文件防泄密系統及其工作方法

文件防泄密系統及其工作方法
【專利摘要】本發明涉及一種文件防泄密系統及其工作方法，文件防泄密系統，包括文件服務器、密鑰服務器、認證授權服務器和客戶端；文件防泄密系統的工作方法，包括加密和解密。本發明的一種文件防泄密系統及其工作方法，通過對這些電子文件加載安全標簽，確保文件從創建到銷毀的過程中，對電子文件進行訪問控制和保護，阻止非法傳播，盜用，篡改等高危操作，從而達到信息安全的目的。
【專利說明】文件防泄密系統及其工作方法

【技術領域】
[0001] 本發明公開了一種文件防泄密系統及其工作方法，屬于信息加密及信息安全的技 術領域。

【背景技術】
[0002] 在當今的業務系統中，電子文件作為承載企業安全信息的媒介，其安全性要求將 顯得越來越重要，因此，電子文件，尤其是涉及企業機密的電子文件在系統內部的訪問安全 性要求也將變的越來越高，因此，從電子文件的產生到最終消亡的整個生命周期中，需要對 其進行全程管控，然而用戶訪問涉敏文件的行為，也需要進行控制和審計，必要時，還需要 進行審批。


【發明內容】

[0003] 本發明的目的是克服現有技術存在的缺陷，提供一種通過對涉密的電子文件進行 安全管理，內容加密，訪問控制，從而保護機密的安全的文件防泄密系統及其工作方法。
[0004] 本發明解決其技術問題所采用的技術方案是：一種文件防泄密系統，包括文件服 務器、密鑰服務器、認證授權服務器和客戶端，所述的文件服務器、密鑰服務器、認證授權服 務器和客戶端都分別連接在總線上，所述的文件服務器、密鑰服務器、認證授權服務器和客 戶端之間的連接都是雙向連接。
[0005] -種文件防泄密系統的工作方法，包括加密和解密，所述的加密是指當客戶端對 文件服務器內創建或者下載或者拷貝文件時，客戶端對該文件進行涉敏掃描，一旦符合安 全策略，將通過密鑰服務器對此文件進行加密，生成對應的安全標簽，同時以此為加解密密 鑰，密鑰將和客戶端賬號進行關聯；所述的解密是當客戶端需要訪問文件服務器內加密文 件時，客戶端需要首先進行身份登錄，認證授權服務器確定該客戶端帳號的訪問權限，當客 戶端的權限符合文件的訪問權限時，將自動使用密鑰解密文件，客戶端在獲取到密鑰之后， 對文檔進行解密操作，客戶端可以正常訪問文檔。
[0006] 根據本發明的另一個實施例，進一步包括所述的安全策略主要包括文件屬性，創 建者，訪問時間，關鍵性詞匯以及對應的文件分級信息。
[0007] 根據本發明的另一個實施例，進一步包括所述的加密密鑰將一式兩份，一份發送 到密鑰服務器保存，一份存放在客戶端保存；加密后的文件與加解密密鑰一一對應。
[0008] 根據本發明的另一個實施例，進一步包括所述的解密過程中當加密密鑰在客戶端 時，則直接獲取密鑰解密；當加密密鑰在密鑰服務器時，則需要連接網絡實時下載密鑰并進 行解密。
[0009] 根據本發明的另一個實施例，進一步包括所述的訪問權限包括可編輯，復制剪切 功能，另存為，截屏功能；所述的另存為的文件將會被再次掃描，并加密。
[0010] 有益效果：本發明解決了【背景技術】中存在的缺陷，凡是關鍵的文件資料含合同協 議等文件都必須進行涉敏掃描，涉敏掃描的根據是事先定義的安全策略，安全策略的組成 包括文件屬性，創建者，訪問時間，關鍵性詞匯以及對應的文件分級信息。
[0011] 在對文件進行安全性掃描之后，根據安全策略對文件安全分級，通過算法產生文 件的安全標簽，并上報到密鑰服務器中備案。同時使用該安全標簽作為密鑰，對電子文檔進 行加密，加密后的文檔不可以直接進行打開訪問。
[0012] 自動對加密后的文件進行分級管理，并確定對應的客戶端訪問權限，加密后的文 件與加解密密鑰(安全標簽）一一對應。
[0013] 當訪問加密文件時，認證授權服務器首先需要通過客戶端進行登錄動作，確定其 身份以及權限內容。
[0014] 登錄后，訪問加密文件時，首先會判斷客戶端戶的權限是否符合被訪問文件的安 全要求。如果客戶端的權限符合要求，將查找該加密文件對應的密鑰,如果本地存在，則直 接獲取本地的密鑰，否則向密鑰服務器申請，由密鑰服務器傳回解密密鑰。客戶端在獲取到 密鑰之后，對文檔進行解密操作，客戶端可以正常訪問文檔。
[0015] 訪問文檔的過程中，認證授權服務器將根據權限限制客戶端的操作行為權限。權 限包括可編輯，復制剪切功能，另存為，截屏功能。另存為的文件將會被再次掃描，并加密。

【專利附圖】

【附圖說明】
[0016] 下面結合附圖和【具體實施方式】對本發明作進一步詳細的說明。
[0017] 圖1是本發明的優選實施例的系統部署圖；
[0018] 圖2是本發明的加密流程圖；
[0019] 圖3為本發明的解密流程圖。

【具體實施方式】
[0020] 如圖1-3所示，一種文件防泄密系統，包括文件服務器1、密鑰服務器2、認證授權 服務器3和客戶端4,文件服務器1、密鑰服務器2、認證授權服務器3和客戶端4都分別連 接在總線5上，文件服務器1、密鑰服務器2、認證授權服務器3和客戶端4之間的連接都是 雙向連接。
[0021] 一種文件防泄密系統的工作方法，包括加密和解密，加密是指當客戶端4對文件 服務器1內創建或者下載或者拷貝文件時，客戶端4對該文件進行涉敏掃描，一旦符合安全 策略，將通過密鑰服務器3對此文件進行加密，生成對應的安全標簽，同時以此為加解密密 鑰，加密密鑰將一式兩份，一份發送到密鑰服務器2保存，一份存放在客戶端保存；加密后 的文件與加解密密鑰一一對應，密鑰將和客戶端4賬號進行關聯；解密是當客戶端4需要訪 問文件服務器1內加密文件時，客戶端4需要首先進行身份登錄，認證授權服務器3確定該 客戶端4帳號的訪問權限，當客戶端4的權限符合文件的訪問權限時，將自動使用密鑰解密 文件，客戶端4在獲取到密鑰之后，對文檔進行解密操作，客戶端4可以正常訪問文檔。
[0022] 安全策略主要包括文件屬性，創建者，訪問時間，關鍵性詞匯以及對應的文件分級 信息。
[0023] 解密過程中當加密密鑰在客戶端4時，則直接獲取密鑰解密；當加密密鑰在密鑰 服務器2時，則需要連接網絡實時下載密鑰并進行解密。
[0024] 訪問權限包括可編輯，復制剪切功能，另存為，截屏功能；其中另存為的文件將會 被再次掃描，并加密。
[0025] 硬件環境：
[0026]

【權利要求】
1. 一種文件防泄密系統，其特征在于：包括文件服務器、密鑰服務器、認證授權服務器 和客戶端，所述的文件服務器、文件服務器、認證授權服務器和客戶端都分別連接在總線 上，所述的文件服務器、密鑰服務器、認證授權服務器和客戶端之間的連接都是雙向連接。
2. 如權利要求1所述的一種文件防泄密系統的工作方法，其特征在于：包括加密和解 密，所述的加密是指當客戶端對文件服務器內創建或者下載或者拷貝文件時，客戶端對該 文件進行涉敏掃描，一旦符合安全策略，將通過密鑰服務器對此文件進行加密，生成對應的 安全標簽，同時以此為加解密密鑰，密鑰將和客戶端賬號進行關聯；所述的解密是當客戶端 需要訪問文件服務器內加密文件時，客戶端需要首先進行身份登錄，認證授權服務器確定 該客戶端帳號的訪問權限，當客戶端的權限符合文件的訪問權限時，將自動使用密鑰解密 文件，客戶端在獲取到密鑰之后，對文檔進行解密操作，客戶端可以正常訪問文檔。
3. 根據權利要求2所述的文件防泄密系統的工作方法，其特征在于：所述的安全策略 主要包括文件屬性，創建者，訪問時間，關鍵性詞匯以及對應的文件分級信息。
4. 根據權利要求2所述的文件防泄密系統的工作方法，其特征在于：所述的加密密鑰 將一式兩份，一份發送到密鑰服務器保存，一份存放在客戶端保存；加密后的文件與加解密 密鑰--對應。
5. 根據權利要求4所述的文件防泄密系統的工作方法，其特征在于：所述的解密過程 中當加密密鑰在客戶端時，則直接獲取密鑰解密；當加密密鑰在密鑰服務器時，則需要連接 網絡實時下載密鑰并進行解密。
6. 根據權利要求2所述的文件防泄密系統的工作方法，其特征在于：所述的訪問權限 包括可編輯，復制剪切功能，另存為，截屏功能；所述的另存為的文件將會被再次掃描，并加 Γ t I ο
【文檔編號】H04L29/06GK104281814SQ201310278476
【公開日】2015年1月14日 申請日期:2013年7月3日 優先權日:2013年7月3日
【發明者】鐘丹東 申請人:鐘丹東