基于可選透明加解密的文件保護方法及系統的制作方法

專利名稱：基于可選透明加解密的文件保護方法及系統的制作方法
技術領域：
本發明屬于信息安全技術領域，涉及一種文件保護方法，尤其涉及一種基于可選透明加解密的文件保護方法；同時，本法進一步涉及一種基于可選透明加解密的文件保護系統。
背景技術：
針對計算機應用的普及和互聯網及移動存儲設備的發展，以前的紙質文件逐漸轉變為電子文件，電子文件具有體積小，查看方便等諸多的優點，這也是電子文件得以長足發展的原因。同時電子文件的易更改、易傳播的特性，已經嚴重的影響到了電子文件存儲和交流的安全性，如何有效的對企事業單位內部重要的文件進行統一安全存放、集中管理和使用就成了文件圖紙的安全性面臨的嚴峻的挑戰。目前，對文件的保護主要集中在對文件進行加密，并對不同客戶進行不同的級別的設置，從而達到對文件的保護，這樣就產生了一個問題，因為不管是通過應用程序進行加密或是對全盤進行加密，都會導致用戶通過某一應用程序做出來的文件全部都加密或是對用戶的整個硬盤進行加密，由于軟件本身無法判斷到底此文件是公司內部重要的文件還是用戶自己做的私有文件，如果把這些文件都加密了，不僅冗余了很多根本不重要的文件，而且給員工也帶來了很多的麻煩，浪費了很多資源。

發明內容
本發明所要解決的技術問題是提供一種基于可選透明加解密的文件保護方法， 可保證加密文件的安全性和權限的控制。此外，本發明進一步提供一種基于可選透明加解密的文件保護系統，可保證加密文件的安全性和權限的控制。為解決上述技術問題，本發明采用如下技術方案—種基于可選透明加解密的文件保護方法，所述方法包括如下步驟管理員把需要加密的文件加密、并上傳到指定位置；在用戶授權使用加密過的文件時，文件在打開的同時就會被文件監控單元進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作；并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。 作為本發明的一種優選方案，所有管理員的操作都有詳細的日志記錄，包括管理員登錄的時間，上傳的文件所使用的對稱加密算法，和對哪些文件夾或文件賦予了什么樣的密級。 作為本發明的一種優選方案，授權用戶可正常使用對應的加密算法并賦予用戶相應密級的文件，上傳加密文件的管理員加密文件時使用不同的對稱加密算法，用戶在使用加密文件時也需要對應的對稱加密算法才能打開該文件。作為本發明的一種優選方案，由服務器端根據每個管理者的不同權限來分別經過不同的密鑰組合來授權不同的管理者，并且給管理者提供電子鑰匙的密碼，并規定管理者每個一段時間需重新到管理中心來重新授權和重新設置密碼。一種基于可選透明加解密的文件保護方法，所述方法包括如下步驟步驟1、上傳加密管理員通過上傳加密網關軟件把需要加密的文件上傳到指定位置，上傳的同時所述上傳加密網關軟件選擇不同的對稱加密算法或是組合的算法對文件進行加密操作；步驟2、密級管理員對步驟1中加密過的文件進行分類，通過密級生成器賦予不同的文件夾或文件不同的密級；加密的不同密級的文件被放到服務器上提供給用戶使用；步驟3、在用戶授權使用加密過、賦予用戶對應密級的文件時，文件在打開的同時就會被文件監控單元進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作，并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。作為本發明的一種優選方案，用戶只能打開管理員賦予自己的使用設定加密算法來加密、密級符合的文件。一種基于可選透明加解密的文件保護系統，所述系統包括管理員客戶端，用以將需要加密的文件加密、并上傳到一服務器中的指定位置；訪問客戶端，用以在得到授權后訪問或/和編輯上述加密過的文件；服務器，包括-存儲單元，用以存儲加密的文件；-文件監控單元，用以在加密文件打開的同時，對該文件進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作；并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。作為本發明的一種優選方案，所有管理員的操作都有詳細的日志記錄，包括管理員登錄的時間，上傳的文件所使用的對稱加密算法，和對哪些文件夾或文件賦予了什么樣的密級。作為本發明的一種優選方案，授權用戶可正常使用對應的加密算法并賦予用戶相應密級的文件，上傳加密文件的管理員加密文件時使用不同的對稱加密算法，用戶在使用加密文件時也需要對應的對稱加密算法才能打開該文件。作為本發明的一種優選方案，由服務器端根據每個管理者的不同權限來分別經過不同的密鑰組合來授權不同的管理者，并且給管理者提供電子鑰匙的密碼，并規定管理者每個一段時間需重新到管理中心來重新授權和重新設置密碼。本發明的有益效果在于本發明提出的基于可選透明加解密的文件保護方法及系統，對需要加密的文件進行不同加密算法或是組合的對稱加密算法來加密，并且賦予相應的密級，保證了加密文件的安全性和權限的控制，并且合法的加密算法和對應密級的用戶能正常使用加密的文件，并在使用的過程中對此加密文件進行全程監控，用戶不能破壞加密的屬性，以此來保證企事業單位的重要文件的安全性。


圖1為管理員設置流程圖。圖2為用戶打開加密文件流程圖。圖3為用戶使用加密文件流程圖。
具體實施例方式下面結合附圖詳細說明本發明的優選實施例。實施例一本發明提供了一種實用的、有效的、靈活的方式對文件進行有效的保護。通過對企事業單位重要文件或是成果文件進行統一收集、整理，然后由上傳加密管理員把文件通過統一的工具上傳到服務器，并由密級管理員對文件進行統一的劃分密級。然后再放到服務器上供用戶查看和使用，但是在使用的過程中對這些文件進行全程的監控，從用戶打開這個文件開始，此文件就在全程保護中，禁止把此文件里面的內容拷貝或截屏到明文中，并且對此文件進行另存、導出等都不能使此文件脫密。其中，上傳加密管理員通過電子鑰匙和密碼進入上傳加密網關管理界面，分別選擇幾種可選擇的對稱算法或者是組合的對稱算法來加密不同的文件夾或文件。密級管理員通過電子鑰匙和密碼進入密級生成器中，可以對不同的文件夾或文件賦予1-6級的不同等級(當然可以分為其他數量的級別)。請參閱圖1至圖3，本發明揭示了一種基于可選透明加解密的文件保護方法，所述方法包括如下步驟步驟1上傳加密管理員通過上傳加密網關軟件把需要加密的文件上傳到指定位置，上傳的同時所述上傳加密網關軟件選擇不同的對稱加密算法或是組合的算法對文件進行加密操作。步驟2密級管理員對步驟1中加密過的文件進行分類，通過密級生成器賦予不同的文件夾或文件不同的密級；加密的不同密級的文件被放到服務器上提供給用戶使用。 用戶只能打開管理員賦予自己的使用設定加密算法來加密、密級符合的文件。步驟3在用戶授權使用加密過、賦予用戶對應密級的文件時，文件在打開的同時就會被文件監控單元進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作，并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。用戶使用加密文件的情況包括(1)用戶從服務器上把自己需要用的文件直接打開或是拷貝到本地電腦打開，用戶只能打開管理員賦予自己的使用了某一加密算法來加密、密級符合的文件。(2)用戶在打開加密的文件進行操作的時候，從打開加密文件開始，此加密文件全程受到管控，用戶將不能直接復制或截屏或是使用其他方法來把加密文件的內容轉移到非受控的文件說程序中，但可以直接編輯此文件，編輯后保存或是另存為或是導出等，此文件一直保持加密狀態。但是用戶使用的自己的私有文件，不牽涉到加密文件的將都不被保護， 不被加密。以此來保護企事業單位的重要文件的同時也方便了客戶的使用。綜上所述，本發明提出的基于可選透明加解密的文件保護方法及系統，對需要加密的文件進行不同加密算法或是組合的對稱加密算法來加密，并且賦予相應的密級，保證了加密文件的安全性和權限的控制，并且合法的加密算法和對應密級的用戶能正常使用加密的文件，并在使用的過程中對此加密文件進行全程監控，用戶不能破壞加密的屬性，以此來保證企事業單位的重要文件的安全性。實施例二本發明首先通過不同的管理員(上傳加密管理員、密級管理員)，這些管理員分別使用電子智能鑰匙和密碼進行認證后才能登錄對應的管理界面進行文件的加密或是密級的賦予，用戶在使用這些加密文件的時候，加密文件一直在被全程管控，使用者不能把文件內容復制或是截屏到非控制的文件里面，而且不影響用戶編輯自己的私有文檔。所有管理員的操作都有詳細的日志記錄，包括管理員登錄的時間，上傳的文件所使用的對稱加密算法，和對那些文件夾或文件賦予了什么樣的密級。本發明的具體實現步驟如下步驟A、首先通過企事業單位定期把整理出來的重要文件交由上傳加密管理員，上傳加密管理員通過上傳加密網關軟件把需要加密的文件上傳到指定位置，上傳的同時加密網關軟件可以選擇不同的對稱加密算法或是組合的算法對文件進行加密操作。步驟B、然后密級管理員對這些加密過的文件進行分類，通過密級生成器賦予不同的文件夾或文件不同的密級，既不同的權限。這些加密的不同密級的文件被放到服務器上提供給用戶使用。步驟C、用戶需要安裝相應的客戶端軟件，在用戶使用加密過、賦予用戶對應密級的文件的時候此文件在打開的同時就會被客戶端軟件進行全程監控，用戶操作這些加密過的文件時不允許把文件里面的內容復制到不可控的應用程序中，不能做截屏操作，并且對此加密文件進行保存、另存為或是導出等都不能改變此文件的加密狀態和密級。以此來保護企事業公司內部重要文件。而對平時用戶單獨使用的文件不做任何控制，這樣就在重要文件和方便用戶上找到了一個平衡點。用戶可以正常使用對應的加密算法并賦予用戶相應密級的文件，上傳加密管理員加密文件時使用不同的對稱加密算法，同樣的，用戶在使用加密文件的時候也要是對應的對稱加密算法才能打開此文件。進一步保證文件的安全性和權限的控制。本發明方法進一步包括管理員電子鑰匙ekey的分配步驟由服務器端根據每個管理者(上傳加密管理員和密級生成管理員)的不同權限來分別經過不同的密鑰組合來授權不同的管理者，并且給管理者提供電子鑰匙的密碼，并規定管理者每個一段時間需重新到管理中心來重新授權和重新設置密碼。本發明方法對重要的文件進行不同加密算法或是組合的對稱加密算法來加密，并且賦予相應的密級，保證了加密文件的安全性和權限的控制，并且合法的加密算法和對應密級的用戶能正常使用加密的文件，并在使用的過程中對此加密文件進行全程監控，用戶不能破壞加密的屬性，以此來保證企事業單位的重要文件的安全性。
實施例三本實施例與實施例一的區別在于，本實施例中，基于可選透明加解密的文件保護方法包括如下步驟管理員把需要加密的文件加密、并上傳到指定位置；在用戶授權使用加密過的文件時，文件在打開的同時就會被文件監控單元進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作；并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。用戶只能打開管理員賦予自己的使用設定加密算法來加密、密級符合的文件。本發明同時揭示一種基于可選透明加解密的文件保護系統，所述系統包括管理員客戶端，用以將需要加密的文件加密、并上傳到一服務器中的指定位置；訪問客戶端，用以在得到授權后訪問或/和編輯上述加密過的文件；服務器，包括-存儲單元，用以存儲加密的文件；-文件監控單元，用以在加密文件打開的同時，對該文件進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作；并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。這里本發明的描述和應用是說明性的，并非想將本發明的范圍限制在上述實施例中。這里所披露的實施例的變形和改變是可能的，對于那些本領域的普通技術人員來說實施例的替換和等效的各種部件是公知的。本領域技術人員應該清楚的是，在不脫離本發明的精神或本質特征的情況下，本發明可以以其它形式、結構、布置、比例，以及用其它組件、 材料和部件來實現。在不脫離本發明范圍和精神的情況下，可以對這里所披露的實施例進行其它變形和改變。
權利要求
1.一種基于可選透明加解密的文件保護方法，其特征在于，所述方法包括如下步驟 管理員把需要加密的文件加密、并上傳到指定位置；在用戶授權使用加密過的文件時，文件在打開的同時就會被文件監控單元進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作；并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。
2.根據權利要求1所述的基于可選透明加解密的文件保護方法，其特征在于所有管理員的操作都有詳細的日志記錄，包括管理員登錄的時間，上傳的文件所使用的對稱加密算法，和對哪些文件夾或文件賦予了什么樣的密級。
3.根據權利要求1所述的基于可選透明加解密的文件保護方法，其特征在于授權用戶可正常使用對應的加密算法并賦予用戶相應密級的文件，上傳加密文件的管理員加密文件時使用不同的對稱加密算法，用戶在使用加密文件時也需要對應的對稱加密算法才能打開該文件。
4.根據權利要求1所述的基于可選透明加解密的文件保護方法，其特征在于 由服務器端根據每個管理者的不同權限來分別經過不同的密鑰組合來授權不同的管理者，并且給管理者提供電子鑰匙的密碼，并規定管理者每個一段時間需重新到管理中心來重新授權和重新設置密碼。
5.一種基于可選透明加解密的文件保護方法，其特征在于，所述方法包括如下步驟 步驟1、上傳加密管理員通過上傳加密網關軟件把需要加密的文件上傳到指定位置，上傳的同時所述上傳加密網關軟件選擇不同的對稱加密算法或是組合的算法對文件進行加密操作；步驟2、密級管理員對步驟1中加密過的文件進行分類，通過密級生成器賦予不同的文件夾或文件不同的密級；加密的不同密級的文件被放到服務器上提供給用戶使用；步驟3、在用戶授權使用加密過、賦予用戶對應密級的文件時，文件在打開的同時就會被文件監控單元進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作，并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。
6.根據權利要求5所述的基于可選透明加解密的文件保護方法，其特征在于 用戶只能打開管理員賦予自己的使用設定加密算法來加密、密級符合的文件。
7.一種基于可選透明加解密的文件保護系統，其特征在于，所述系統包括管理員客戶端，用以將需要加密的文件加密、并上傳到一服務器中的指定位置； 訪問客戶端，用以在得到授權后訪問或/和編輯上述加密過的文件； 服務器，包括-存儲單元，用以存儲加密的文件；-文件監控單元，用以在加密文件打開的同時，對該文件進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作；并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。
8.根據權利要求7所述的基于可選透明加解密的文件保護系統，其特征在于所有管理員的操作都有詳細的日志記錄，包括管理員登錄的時間，上傳的文件所使用的對稱加密算法，和對哪些文件夾或文件賦予了什么樣的密級。
9.根據權利要求7所述的基于可選透明加解密的文件保護系統，其特征在于授權用戶可正常使用對應的加密算法并賦予用戶相應密級的文件，上傳加密文件的管理員加密文件時使用不同的對稱加密算法，用戶在使用加密文件時也需要對應的對稱加密算法才能打開該文件。
10.根據權利要求7所述的基于可選透明加解密的文件保護系統，其特征在于 由服務器端根據每個管理者的不同權限來分別經過不同的密鑰組合來授權不同的管理者，并且給管理者提供電子鑰匙的密碼，并規定管理者每個一段時間需重新到管理中心來重新授權和重新設置密碼。
全文摘要
本發明揭示了一種基于可選透明加解密的文件保護方法及系統，所述方法包括如下步驟管理員把需要加密的文件加密、并上傳到指定位置；在用戶授權使用加密過的文件時，文件在打開的同時就會被文件監控單元進行全程監控；用戶操作上述加密過的文件時，所述文件監控單元禁止用戶通過操作把文件里面的內容復制到不可控的應用程序中，禁止用戶對相應文件作截屏操作；并且對該加密文件進行保存、另存或是導出時，對保存、另存或是導出的文件設置與上述相應文件相同的加密狀態及密級。本發明通過對需要加密的文件進行不同加密算法或是組合的對稱加密算法來加密，保證了加密文件的安全性和權限的控制，以此來保證重要文件的安全性。
文檔編號G06F21/00GK102215214SQ20101024017
公開日2011年10月12日 申請日期2010年7月29日 優先權日2010年7月29日
發明者楊磊, 耿振民 申請人:上海華御信息技術有限公司