CN109583218B - 机密文件保护、定位方法、装置、设备及可读存储介质 - Google Patents
机密文件保护、定位方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN109583218B CN109583218B CN201811407744.XA CN201811407744A CN109583218B CN 109583218 B CN109583218 B CN 109583218B CN 201811407744 A CN201811407744 A CN 201811407744A CN 109583218 B CN109583218 B CN 109583218B
- Authority
- CN
- China
- Prior art keywords
- information
- employee
- employee information
- encryption algorithm
- random string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 157
- 238000007639 printing Methods 0.000 claims description 3
- 230000001010 compromised effect Effects 0.000 description 35
- 238000010586 diagram Methods 0.000 description 19
- 238000012795 verification Methods 0.000 description 8
- 238000013478 data encryption standard Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000004883 computer application Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Abstract
本申请公开一种机密文件保护、定位方法、装置、设备及可读存储介质。该方法包括:接收客户端发送的机密文件获取请求,机密文件获取请求包括:请求员工的员工信息;根据员工信息,生成请求员工的唯一标识;根据唯一标识与员工信息,生成加印信息,其中加印信息包括:唯一标识及根据员工信息经由非对称加密算法加密的密文;根据加印信息,为机密文件添加数字水印;将添加数字水印后的机密文件发送给客户端。该方法能够根据员工信息为机密文件添加数字水印,从而当机密文件被泄露时,准确定位泄露文件的相关责任人。
Description
技术领域
本发明涉及计算机应用技术,具体而言,涉及一种机密文件保护、定位及数字水印生成方法、装置、设备及可读存储介质。
背景技术
在各公司内部,通常存在很多涉及商业秘密、公司信息等敏感信息的机密文件,包括文档、图片、视频等。可能会接触到这些机密文件的人员有开发人员、运维人员、数据库管理员(Database Administrator,DBA)、部门主管、外围BI系统开发人员、外围BI系统运维人员及其他潜在的系统入侵者等。因此,机密信息泄露的风险点很多。
在所述背景技术部分公开的上述信息仅用于加强对本发明的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本发明提供一种机密文件保护、定位及数字水印生成方法、装置、设备及可读存储介质,能够根据请求获取机密文件的员工的员工信息为机密文件添加数字水印,从而当机密文件被泄露时,准确定位泄露文件的相关责任人。
本发明的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明的实践而习得。
根据本发明的一方面,提供一种机密文件保护方法,包括:接收客户端发送的机密文件获取请求,所述机密文件获取请求包括:请求员工的员工信息;根据所述员工信息,生成所述请求员工的唯一标识;根据所述唯一标识与所述员工信息,生成加印信息,其中所述加印信息包括:所述唯一标识及根据所述员工信息经由非对称加密算法加密的密文;根据所述加印信息,为所述机密文件添加数字水印;将添加所述数字水印后的机密文件发送给所述客户端。
根据本发明的一实施方式,根据所述唯一标识与所述员工信息,生成加印信息包括:向加解密服务器发送加印信息请求,所述加印信息请求包括:所述唯一标识及所述员工信息;以及接收所述加解密服务器发送的、由所述加解密服务器生成的加印信息。
根据本发明的一实施方式,在根据所述唯一标识与所述员工信息,生成加印信息之前还包括:根据所述员工信息,按照预先设定的生成规则生成一随机串;以及将所述随机串与所述唯一标识的相对应进行存储;其中,所述根据所述员工信息经由非对称加密算法加密的所述密文,包括:对所述随机串与所述员工信息采用所述非对称加密算法加密后得到的密文。
根据本发明的一实施方式,在所述根据所述唯一标识与所述员工信息,生成加印信息之前还包括:获取对称加密算法密钥;以及将所述对称加密算法密钥与所述唯一标识相对应进行存储;其中,根据所述员工信息经由非对称加密算法加密的所述密文包括:对所述员工信息先根据所述对称加密算法密钥进行加密,再采用所述非对称加密算法加密后得到的密文。
根据本发明的一实施方式,在所述根据所述唯一标识与所述员工信息,生成加印信息之前,上述方法还包括:根据所述第一员工信息,按照预先设定的生成规则生成一随机串;获取对称加密算法密钥;以及将所述随机串、所述对称加密算法密钥与所述唯一标识相对应进行存储;其中,根据所述员工信息经由非对称加密算法加密的所述密文包括:对所述随机串与所述员工信息,先根据所述对称加密算法密钥进行加密,再采用所述非对称加密算法进行加密后得到的密文。
根据本发明的另一方面,提供一种对泄露的机密文件定位方法,包括:获取泄露的机密文件;获取所述机密文件的数字水印中的加印信息,所述加印信息包括:用于标识请求所述机密文件的员工的唯一标识及根据所述员工信息经由非对称加密算法加密的密文;从所述加印信息中获取所述唯一标识;查询是否存储有所述唯一标识;以及如果存储有所述唯一标识,则:对所述密文进行非对称解密,以获取所述员工信息;及根据所述员工信息,定位请求所述机密文件的员工。
根据本发明的一实施方式,对所述密文进行非对称解密,以获取所述员工信息包括:将所述密文发送给加解密服务器请求进行非对称解密;及接收所述加解密服务器发送的所述员工信息。
根据本发明的一实施方式,上述在所述对所述密文进行非对称解密,以获取所述员工信息之后,上述方法还包括:从所述员工信息中,获取一随机串;查询所述随机串与所述唯一标识是否对应;以及如果所述随机串与所述唯一标识对应,则根据所述员工信息,定位请求所述机密文件的员工包括:从所述员工信息中除去所述随机串;及根据除去所述随机串后的所述员工信息,定位请求所述机密文件的员工。
根据本发明的一实施方式,上述在所述对所述密文进行非对称解密,以获取所述员工信息之后,上述方法还包括:查询是否存在与所述唯一标识对应存储的对称加密算法密钥;以及如果存在与所述唯一标识对应存储的对称加密算法密钥,则根据所述员工信息,定位请求所述机密文件的员工包括:根据所述对称加密算法密钥进行解密;及根据经对称解密后的所述员工信息,定位请求所述机密文件的员工。
根据本发明的一实施方式,上述在所述对所述密文进行非对称解密,以获取所述员工信息之后,上述方法还包括:从所述员工信息中,获取一随机串;查询所述随机串与所述唯一标识是否对应;如果所述随机串与所述唯一标识对应,则查询是否存在与所述唯一标识对应存储的对称加密算法密钥;以及如果存在与所述唯一标识对应存储的对称加密算法密钥,则根据所述员工信息,定位请求所述机密文件的员工包括:从所述员工信息中除去所述随机串;根据所述对称加密算法密钥对除去所述随机串后的所述员工信息进行解密,以获得解密后的明文;及根据所述明文,定位请求所述机密文件的员工。
根据本发明的再一方面,提供一种机密文件保护装置,包括:文件请求接收模块,用于接收客户端发送的机密文件获取请求,所述机密文件获取请求包括:请求员工的员工信息;员工标识生成模块,用于根据所述员工信息,生成所述请求员工的唯一标识;加印信息生成模块,用于根据所述唯一标识与所述员工信息,生成加印信息,其中所述加印信息包括:所述唯一标识及根据所述员工信息经由非对称加密算法加密的密文;数字水印添加模块,用于根据所述加印信息,为所述机密文件添加数字水印;水印文件发送模块,用于将添加所述数字水印后的机密文件发送给所述客户端。
根据本发明的再一方面,提供一种对泄露的机密文件定位装置,包括:泄露文件获取模块,用于获取泄露的机密文件;泄露文件获取模块,用于获取泄露的机密文件;加印信息获取模块,用于获取所述机密文件的数字水印中的加印信息,所述加印信息包括:用于标识请求所述机密文件的员工的唯一标识及根据所述员工信息经由非对称加密算法加密的密文;员工标识获取模块,用于从所述加印信息中获取所述唯一标识;员工标识查询模块,用于查询是否存储有所述唯一标识;以及机密文件定位模块,用于当所述员工标识查询模块查询到存储有所述唯一标识时,对所述密文进行非对称解密,以获取所述员工信息;及根据所述员工信息,定位请求所述机密文件的员工。
根据本发明的再一方面,提供一种计算机设备,包括:存储器、处理器及存储在存储器中并可在处理器中运行的可执行指令,处理器执行可执行指令时实现如上述任一种机密文件保护方法。
根据本发明的再一方面,提供一种计算机可读存储介质,其上存储有计算机可执行指令,可执行指令被处理器执行时实现如上述任一种机密文件保护方法。
根据本发明的再一方面,提供一种计算机设备,包括:存储器、处理器及存储在存储器中并可在处理器中运行的可执行指令,处理器执行可执行指令时实现如上述任一种对泄露的机密文件定位方法。
根据本发明的再一方面,提供一种计算机可读存储介质,其上存储有计算机可执行指令,可执行指令被处理器执行时实现如上述任一种对泄露的机密文件定位方法。
根据本发明的机密文件保护方法,在机密文件被请求时,基于员工信息为机密文件生成数字水印,并将添加了数字水印的机密文件提供给请求者。从而使得当该机密文件被泄露时,可以快速定位到相关责任人。此外,添加于机密文件中的数字水印中为通过独立的加解密服务器(集群)加密后的密文,一方面增加了加解密算法的安全性;另一方面也可以防止数字水印中的员工信息被篡改。
根据本发明的对泄露的机密文件定位方法,通过获取该泄露的机密文件中的数字水印,首先通过数字水印中的唯一标识进行验签,确定该数字水印是否为机密文件保护系统所添加;在确定了该数字水印为其所添加后,请求独立的加解密服务器为其解密数字水印中的密文,从而获得可用于定位泄露的机密文件的请求员工的员工信息,以快速定位到相关责任人。此外,添加于机密文件中的数字水印为通过独立的加解密服务器(集群)加密后的密文,在对泄露的机密文件进行定位时,同样由该独立的加解密服务器进行解密,一方面增加了加解密算法的安全性;另一方面也可以防止数字水印中的员工信息被篡改。
根据本发明的为机密文件生成数字水印的方法,在机密文件被请求时,基于员工信息为机密文件生成数字水印,并将添加了数字水印的机密文件提供给请求者。从而使得当该机密文件被泄露时,可以快速定位到相关责任人。此外,添加于机密文件中的数字水印中为通过独立的加解密服务器(集群)加密后的密文,一方面增加了加解密算法的安全性;另一方面也可以防止数字水印中的员工信息被篡改。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本发明。
附图说明
通过参照附图详细描述其示例实施例,本发明的上述和其它目标、特征及优点将变得更加显而易见。
图1是根据一示例性实施方式示出的一种机密文件保护系统的示意图。
图2是根据一示例性实施方式示出的一种机密文件保护方法的流程图。
图3是根据一示例性实施方式示出的另一种机密文件保护方法的流程图。
图4是根据一示例性实施方式示出的再一种机密文件保护方法的流程图。
图5是根据一示例性实施方式示出的再一种机密文件保护方法的流程图。
图6是根据一示例性实施方式示出的再一种机密文件保护方法的流程图。
图7是根据一示例性实施方式示出的一种对泄露的机密文件定位方法的流程图。
图8是根据一示例性实施方式示出的另一种对泄露的机密文件定位方法的流程图。
图9是根据一示例性实施方式示出的再一种对泄露的机密文件定位方法的流程图。
图10是根据一示例性实施方式示出的再一种对泄露的机密文件定位方法的流程图。
图11是根据一示例性实施方式示出的再一种对泄露的机密文件定位方法的流程图。
图12是根据一示例性实施方式示出的一种为机密文件生成数字水印的方法的流程图。
图13是根据一示例性实施方式示出的另一种为机密文件生成数字水印的方法的流程图。
图14是根据一示例性实施方式示出的再一种为机密文件生成数字水印的方法的流程图。
图15是根据一示例性实施方式示出的再一种为机密文件生成数字水印的方法的流程图。
图16是根据一示例性实施方式示出的一种机密文件保护装置的框图。
图17是根据一示例性实施方式示出的一种对泄露的机密文件定位装置的框图。
图18是根据一示例性实施方式示出的一种加解密服务器的框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本发明将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本发明的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知结构、方法、装置、实现、材料或者操作以避免喧宾夺主而使得本发明的各方面变得模糊。
图1是根据一示例性实施方式示出的一种机密文件保护系统的示意图。如图1所示,该机密文件保护系统10包括:客户端102、应用服务器104、加解密服务器106及数据库108。
其中,客户端102与应用服务器104相连接,客户端102中例如可以提供图形化界面,以使请求机密文件的员工可以通过该图形化界面,向应用服务器104发送请求。客户端102例如可以台式计算机、笔记本、智能设备(智能手机、PAD)等,本发明不以此为限。
应用服务器104可以为单台服务器,也可以为服务器集群。应用服务器104接收客户端102的机密文件获取请求,并将添加了水印后的机密文件返回给客户端102,以将添加了水印后的机密文件提供给请求者。
应用服务器104还与数据库108相连接,并将请求员工的相关信息存储在数据库108中。
加解密服务器106与应用服务器104相连接,同样地,可以为单台服务器,也可以为服务器集群。加解密服务器106用于根据应用服务器104的请求,为机密文件生成数字水印;以及当需要定位泄露的机密文件时,根据应用服务器104请求,解密数字水印。
现有技术中,开发人员在开发过程中,必须接触加解密算法,否则无法开发信息系统。可以接触算法就存在非法利用的问题,开发人员可能获得敏感信息的密文,用算法进行解密;系统入侵人员可能登录应用服务器,获取正在运行的程序,从而获取加解密算发包,再取得密文进行解密。因此,本发明将加解密算法部署在专门的加解密服务器106上,从而在应用系统中,不保存加解密的核心算法代码,防止了加解密算法泄露的可能性,进一步确保了加解密算法的安全。
图2是根据一示例性实施方式示出的一种机密文件保护方法的流程图。如图3所示,机密文件保护方法1包括:
在步骤S12中,接收客户端发送的机密文件获取请求,机密文件获取请求包括:请求员工的员工信息。
员工信息例如可以包括:该请求员工的员工工号、该请求员工所在部门、职位等信息。在一些实施例中,例如可以根据请求员工的工号生成其唯一标识。
在步骤S14中,根据员工信息,生成请求员工的唯一标识。
在步骤S16中,根据唯一标识与员工信息,生成加印信息。
其中加印信息包括:唯一标识及根据员工信息经由非对称加密算法加密的密文。
例如,可以由图1中的应用服务器104自行根据唯一标识与员工信息,生成加印信息。
在一些实施例中,在步骤S16之前,机密文件保护方法1还可以包括:根据员工信息,按照预先设定的生成规则生成随机串;以及将随机串与唯一标识的相对应进行存储;其中,根据员工信息经由非对称加密算法加密的密文,包括:对随机串与员工信息采用非对称加密算法加密后得到的密文。
在一些实施例中,在步骤S16之前,机密文件保护方法1还可以包括:获取对称加密算法密钥;以及将对称加密算法密钥与唯一标识相对应进行存储;其中,根据员工信息经由非对称加密算法加密的密文包括:对员工信息先根据对称加密算法密钥进行加密,再采用非对称加密算法加密后得到的密文。
在一些实施例中,在步骤S16之前,机密文件保护方法1还可以包括:获取对称加密算法密钥;以及将对称加密算法密钥与唯一标识相对应进行存储;其中,根据员工信息经由非对称加密算法加密的密文包括:对员工信息先根据对称加密算法密钥进行加密,再采用非对称加密算法加密后得到的密文。
此外,加印信息还可以由加解密服务器106生成。
在一些实施例中,步骤S16还可以包括:向加解密服务器106发送加印信息请求,加印信息请求包括:唯一标识及员工信息;以及接收加解密服务器106发送的、由加解密服务器106生成的加印信息。
在一些实施例中,在向加解密服务器106发送加印信息请求之前还包括:根据第一员工信息,按照预先设定的生成规则生成一随机串;以及将随机串与唯一标识的相对应进行存储;其中,根据员工信息经由非对称加密算法加密的密文包括:对由加解密服务器106根据第一员工信息按照生成规则生成的随机串与员工信息,采用非对称加密算法进行非对称加密后得到的密文。
在一些实施例中,在向加解密服务器106发送加印信息请求之前还包括:获取对称加密算法密钥;以及将对称加密算法密钥与唯一标识相对应进行存储;其中,根据员工信息经由非对称加密算法加密的密文包括:对员工信息先根据对称加密算法密钥进行对称加密,再采用非对称加密算法进行非对称加密后得到的密文。
在一些实施例中,在向加解密服务器106发送加印信息请求之前还包括:根据第一员工信息,按照预先设定的生成规则生成一随机串;获取对称加密算法密钥;以及将随机串、对称加密算法密钥与唯一标识相对应进行存储;其中,加印信息请求还包括:对称加密算法密钥;根据员工信息经由非对称加密算法加密的密文包括:对由加解密服务器106根据第一员工信息按照生成规则生成的随机串与员工信息,先根据对称加密算法密钥进行对称加密,再采用非对称加密算法进行非对称加密后得到的密文。
在步骤S18中,根据加印信息,为机密文件添加数字水印。
在步骤S20中,将添加数字水印后的机密文件发送给客户端。
图3是根据一示例性实施方式示出的另一种机密文件保护方法的流程图。该方法20例如可以应用于图1所示的系统10中,联合参考图1,方法20包括:
在步骤S202中,接收客户端发送的机密文件获取请求。
机密文件获取请求包括:请求员工的第一员工信息。
某一员工通过图1中所示的客户端102向应用服务器104发送机密文件获取请求,机密文件获取请求除了包括上述的请求员工的第一员工信息外,通常还包括所请求文件的标识(ID)。机密文件例如可以包括:文档、图片、视频等,本发明不以此为限。
在步骤S204中,根据第一员工信息,生成请求员工的唯一标识。
如图1中的应用服务器104接收到客户端102发送的机密文件获取请求后,根据其中的第一员工信息,生成请求员工的唯一标识。第一员工信息例如可以包括:该请求员工的员工工号、该请求员工所在部门、职位等信息。在一些实施例中,例如可以根据请求员工的工号生成其唯一标识。
在步骤S206中,将唯一标识存储于数据库中。
例如,图1中的应用服务器104将唯一标识存储于数据库108中。
在步骤S208中,向加解密服务器发送加印信息请求。
该加印信息请求包括:上述唯一标识及第一员工信息。
例如,图1中的应用服务器104向加解密服务器106发送加印信息请求,以请求加解密服务器106为请求员工请求的机密文件生成数字水印。
在步骤S210中,接收加解密服务器发送的加印信息。
如图1中所示,当加解密服务器106根据唯一标识及第一员工信息为应用服务器104生成了用于加印数字水印的加印信息后,向应用服务器104返回加印信息。
其中,加印信息包括:唯一标识及经非对称加密算法加密的、包括第一员工信息的第二员工信息的密文。
非对称加密算法例如可以为RSA,RSA为一种非对称加密算法,所谓非对称,就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密。在通过RSA进行加解密时,通常是公钥加密私钥解密,持有公钥(多人持有)可以对数据加密,但是只有持有私钥(一人持有)才可以解密并查看数据。但在本发明中,由于加解密均在加解密服务器106中进行,因此在对包括第一员工信息的第二员工信息使用RSA非对称加密算法加密时,即可以使用其公钥加密、私钥解密,也可以使用其私钥加密、公钥解密。对于加解密服务器106使用的RSA加密密钥对,既可以存储于加解密服务器106中,并基于一定的时间频率进行更新。或者,为了增加密钥的安全性,也可以存储于数据库108中,也即加密服务器106与数据库108相连接,将其定期更新的密钥对存储于数据库108中。
在步骤S212中,根据加印信息,为机密文件添加数字水印。
数字水印技术(Digital Watermarking)技术是将一些标识信息(即数字水印)直接嵌入数字载体(包括多媒体、文档、软件等)当中,但不影响原载体的使用价值,也不容易被人的知觉系统(如视觉或听觉系统)觉察或注意到。数字水印是信息隐藏技术的一个重要研究方向。本发明通过将加密后的员工信息嵌入被请求的机密文件中,一方面可以在该机密文件被泄露后,快速定位到责任人;另一方面由于嵌入机密文件的员工信息被加密,也可以防止该员工信息被篡改。
在步骤S214中,将添加了数字水印后的机密文件发送给客户端。
根据本发明实施方式提供的机密文件保护方法,在机密文件被请求时,基于员工信息为机密文件生成数字水印,并将添加了数字水印的机密文件提供给请求者。从而使得当该机密文件被泄露时,可以快速定位到相关责任人。此外,添加于机密文件中的数字水印中为通过独立的加解密服务器(集群)加密后的密文,一方面增加了加解密算法的安全性;另一方面也可以防止数字水印中的员工信息被篡改。
应清楚地理解,本发明描述了如何形成和使用特定示例,但本发明的原理不限于这些示例的任何细节。相反,基于本发明公开的内容的教导,这些原理能够应用于许多其它实施方式。
图4是根据一示例性实施方式示出的再一种机密文件保护方法的流程图。同样地,该方法30例如可以应用于图1所示的系统10中。相比于图3所示的方法20,方法30在步骤S208之前还包括:
在步骤S302中,根据第一员工信息,生成一随机串。
例如,图1中所示的应用服务器104根据第一员工信息,生成一随机串。
在步骤S304中,将该随机串及该随机串与该唯一标识的对应关系存储于数据库中。
进一步地,应用服务器104将随机串及该随机串与唯一标识之间的对应关系存储于数据库108中。也即将随机串与唯一标识对应地存储于数据库108中。
方法30中所包含的其他步骤与方法20中的步骤相同,在此不再赘述。
根据本发明实施方式提供的机密文件保护方法,根据员工信息,进一步生成随机串,并将该随机串及随机串与唯一标识的对应关系存储于数据中,从而在定位泄露文件时,可以通过该唯一标识及该随机串对非对称加密进行验签的操作,进一步增强数据水印的安全性。
图5是根据一示例性实施方式示出的再一种机密文件保护方法的流程图。同样地,该方法40例如可以应用于图1所示的系统10中。相比于图3所示的方法20,方法40在步骤S208之前还包括:
在步骤S402中,获取对称加密算法密钥。
例如,如图1中所示的数据库108中存储于用于对称加密算法加密的密钥。该对称加密算法例如可以为DES(Data Encryption Standard,数据加密标准),DES是使用密钥加密的块算法。其入口参数有三个:密钥(key)、数据(data)、工作模式(mode)。其中,key为加密解密使用的密钥,data为加密解密的数据,mode为其工作模式。当工作模式为加密模式时,明文按照64位进行分组,形成明文组,key用于对数据加密,当工作模式为解密模式时,key用于对数据解密。实际运用中,密钥只用到了64位中的56位,这样才具有高的安全性。
该用于对称加密算法加密的密钥在数据库108中可以定期被更新,以提高密钥安全性。应用服务器104可以从数据库108中获取到该密钥。
或者,应用服务器104也可以直接生成该密钥。
在步骤S404中,将对称加密算法密钥及对称加密算法密钥与唯一标识的对应关系存储于数据库中。
进一步地,应用服务器104将对称加密算法密钥及对称加密算法密钥与唯一标识之间的对应关系存储于数据库108中。也即将对称加密算法密钥与唯一标识对应地存储于数据库108中。
在本实施方式中,加印信息请求还包括:对称加密算法密钥;第二员工信息为经对称加密算法加密的第一员工信息的密文。
方法40中所包含的其他步骤与方法20中的步骤相同,在此不再赘述。
根据本发明实施方式提供的机密文件保护方法,进一步获取对称加密算法密钥,并将该密钥及密钥与唯一标识的对应关系存储于数据中,并将该密钥其发送给加解密服务器,从而使加解密服务器在进行非对称加密之前,使用该密钥对员工信息进行对称加密,从而进一步增强员工信息的安全性。
图6是根据一示例性实施方式示出的再一种机密文件保护方法的流程图。同样地,该方法50例如可以应用于图1所示的系统10中。相比于图3所示的方法20,方法50在步骤S208之前还包括:
在步骤S502中,根据第一员工信息,生成一随机串。
例如,图1中所示的应用服务器104根据第一员工信息,生成一随机串。
在步骤S504中,获取对称加密算法密钥。
例如,应用服务器104可以从数据库108中查询当前用于对称加密的密钥。或者,应用服务器104也可以进一步生成对称加密算法密钥。该对称加密算法密钥例如可以为DES加密算法。
在步骤S506中,将随机串、对称加密算法密钥及随机串、对称加密算法与唯一标识的对应关系存储于数据中。
进一步地,应用服务器104将随机串、对称加密算法密钥及随机串、对称加密算法密钥与唯一标识之间的对应关系存储于数据库108中。也即将随机串、对称加密算法密钥与唯一标识对应地存储于数据库108中。
在本实施方式中,所述加印信息请求还包括:对称加密算法密钥;所述第二员工信息包括经对称加密算法加密的第一员工信息的密文。
方法50中所包含的其他步骤与方法20中的步骤相同,在此不再赘述。
根据本发明实施方式提供的机密文件保护方法,根据员工信息,进一步生成随机串,并获取对称加密算法密钥,之后将该随机串、对称加密算法密钥及随机串、对称加密算法密钥与唯一标识的对应关系存储于数据中,从而在定位泄露文件时,可以通过该唯一标识及该随机串对非对称加密进行验签的操作,进一步增强数据水印的安全性;而在进行非对称加密之前使用对称加密算法密钥对员工信息进行对称加密,还可进一步增强员工信息的安全性。
图7是根据一示例性实施方式示出的一种对泄露的机密文件定位方法的流程图。如图7所示,对泄露的机密文件定位方法2包括:
在步骤S22中,获取泄露的机密文件。
在步骤S24中,获取机密文件的数字水印中的加印信息。
加印信息包括:用于标识请求机密文件的员工的唯一标识及根据员工信息经由非对称加密算法加密的密文。
在步骤S26中,从加印信息中获取唯一标识。
在步骤S28中,查询是否存储有唯一标识。
在步骤S30中,如果存储有唯一标识,则对密文进行非对称解密,以获取员工信息及根据员工信息,定位请求机密文件的员工。
例如,如图1中的应用服务器104可以自行对密文进行非对称解密。
在一些实施例中,在对密文进行非对称解密,以获取员工信息之后,对泄露的机密文件定位方法2还包括:从员工信息中,获取随机串;查询随机串与唯一标识是否对应;以及如果随机串与唯一标识对应,则根据员工信息,定位请求机密文件的员工包括:从员工信息中除去随机串;及根据除去随机串后的员工信息,定位请求机密文件的员工。
在一些实施例中,在对密文进行非对称解密,以获取员工信息之后,对泄露的机密文件定位方法2还包括:查询是否存在与唯一标识对应存储的对称加密算法密钥;以及如果存在与唯一标识对应存储的对称加密算法密钥,则根据员工信息,定位请求机密文件的员工包括:根据对称加密算法密钥对员工信息进行解密;及根据经对称解密后的员工信息,定位请求机密文件的员工。
在一些实施例中,在对密文进行非对称解密,以获取员工信息之后,对泄露的机密文件定位方法2还包括:从员工信息中,获取随机串;查询随机串与唯一标识是否对应;如果随机串与唯一标识对应,则查询是否存在与唯一标识对应存储的对称加密算法密钥;以及如果存在与唯一标识对应存储的对称加密算法密钥,则根据员工信息,定位请求机密文件的员工包括:从员工信息中除去随机串;根据对称加密算法密钥对除去随机串后的员工信息进行解密,以获得解密后的明文;及根据明文,定位请求机密文件的员工。
此外,对密文的非对称解密由图1所示的加解密服务器106执行。
在一些实施例中,对密文进行非对称解密,以获取员工信息包括:将密文发送给加解密服务器106请求进行非对称解密及接收加解密服务器106发送的员工信息。
在一些实施例中,接收加解密服务器发送的员工信息之后还包括:从员工信息中,获取一随机串;查询随机串与唯一标识是否对应;以及如果随机串与唯一标识对应,则根据员工信息,定位请求机密文件的员工包括:从员工信息中除去随机串;及根据除去随机串后的员工信息,定位请求机密文件的员工。
在一些实施例中,接收加解密服务器发送的员工信息之后还包括:查询是否存在与唯一标识对应存储的对称加密算法密钥;以及如果存在与唯一标识对应存储的对称加密算法密钥,则根据员工信息,定位请求机密文件的员工包括:将员工信息与对称加密算法密钥发送给加解密服务器,请求进行对称解密;接收经对称解密后的员工信息;及根据经对称解密后的员工信息,定位请求机密文件的员工。
在一些实施例中,接收加解密服务器发送的员工信息之后还包括:从员工信息中,获取一随机串;查询随机串与唯一标识是否对应;如果随机串与唯一标识对应,则查询是否存在与唯一标识对应存储的对称加密算法密钥;以及如果存在与唯一标识对应存储的对称加密算法密钥,则根据员工信息,定位请求机密文件的员工包括:从员工信息中除去随机串;将除去随机串后的员工信息与对称加密算法密钥发送给加解密服务器,请求进行对称解密;接收对除去随机串后的员工信息进行对称解密后的明文;及根据明文,定位请求机密文件的员工。
图8是根据一示例性实施方式示出的另一种对泄露的机密文件定位方法的流程图。该方法60例如可以应用于图1所示的系统10中。联合参考图1,方法60包括:
在步骤S602中,获取泄露的机密文件。
当发现有机密文件被泄露时,例如可将该被泄露的机密文件通过客户端102传输到应用服务器104中。
在步骤S604中,获取机密文件的数字水印中的加印信息。
应用服务器104对该被泄露的机密文件进行解水印操作,从中获取加印信息。
加印信息包括:用于标识请求机密文件的员工的唯一标识及经非对称加密算法加密的、包括员工的第一员工信息的第二员工信息的密文。
其中,第一员工信息例如可以包括:该请求员工的员工工号、该请求员工所在部门、职位等信息。在一些实施例中,例如可以根据请求员工的工号生成其唯一标识。
非对称加密算法例如可以为RSA非对称加密算法。
在步骤S606中,从加印信息中获取该唯一标识。
进一步地,应用服务器104从加印信息中首先获取用于标识请求该机密文件的员工的唯一标识。
在步骤S608中,在数据库中查询是否存储有唯一标识,如果是,则进入步骤S610。
应用服务器104从数据库108中查询是否存储有该唯一标识,如果有存储,表明验签成功,也即该数字水印是通过图1所示的系统10所添加。否则,表明验签失败,也即系统10未对该员工请求的该机密文件进行添加数字水印操作。应用服务器104例如可以向客户端102返回定位失败的通知,或者也可以忽略该机密文件的定位请求等,本发明不以此为限。
在步骤S610中,从加印信息中获取第二员工信息的密文。
应用服务器104进一步地获取加印信息中的经非对称加密算法加密的密文,该密文即为对第二员工信息经非对称加密后得到的密文。
在步骤S612中,将第二员工信息的密文发送给加解密服务器请求进行非对称解密,以获得第二员工信息。
应用服务器104将该密文发送给加解密服务器106,请求加解密服务器106为其进行非对称解密。加解密服务器106通过非对称解密,获得第二员工信息。
在步骤S614中,接收加解密服务器发送的第二员工信息。
加解密服务器106将非对称解密后得到的第二员工信息发送给应用服务器104。
在步骤S616中,根据第二员工信息的第一员工信息,定位请求机密文件的员工。
应用服务器104根据第二员工信息中的第一员工信息,定位请求该机密文件的员工。
根据本发明实施方式提供的对泄露的机密文件定位方法,通过获取该泄露的机密文件中的数字水印,首先通过数字水印中的唯一标识进行验签,确定该数字水印是否为机密文件保护系统所添加;在确定了该数字水印为其所添加后,请求独立的加解密服务器为其解密数字水印中的密文,从而获得可用于定位泄露的机密文件的请求员工的员工信息,以快速定位到相关责任人。此外,添加于机密文件中的数字水印为通过独立的加解密服务器(集群)加密后的密文,在对泄露的机密文件进行定位时,同样由该独立的加解密服务器进行解密,一方面增加了加解密算法的安全性;另一方面也可以防止数字水印中的员工信息被篡改。
图9是根据一示例性实施方式示出的另一种对泄露的机密文件定位方法的流程图。同样地,该方法70例如可以应用于图1所示的系统10中。相比于图8所示的方法60,方法70在步骤S614之后还包括:
在步骤S702中,从第二员工信息中,获取一随机串。
当应用服务器104接收到加解密服务器106发送的第二员工信息时,从第二员工信息中获取该随机串。
在步骤S704中,在数据库中查询该随机串与唯一标识是否对应,如果对应,则进入S7162。
该随机串为加解密服务器106根据与应用服务器104预先设定的随机串生成规则,所生成的随机串,并将其与第一员工信息一起进行非对称加密。当应用服务器104从第二员工信息中获取到该随机串时,可以与数据库108中所存储的与唯一标识对应存储的随机串进行对比,如果两者一致,也即该随机串与数据库108中的唯一标识对应,则标识验签通过,进入步骤S7162。
如果不对应,表示验签失败。应用服务器104例如可以向客户端102返回定位失败的通知,或者也可以忽略该机密文件的定位请求等,本发明不以此为限。
此外,方法70中,步骤S616包括:
在步骤S7162中,从第二员工信息中除去随机串,以获得第一员工信息。
应用服务器104从第二员工信息中除去随机串后,获得第一员工信息。
在步骤S7164中,根据第一员工信息,定位请求所述机密文件的员工。
应用服务器104根据第一员工信息,直接定位请求所述机密文件的员工。
方法70中所包含的其他步骤与方法60中的步骤相同,在此不再赘述。
根据本发明实施方式提供的对泄露的机密文件定位方法,加解密服务器根据员工信息,按照与应用服务器预先设定的规则生成随机串,并将该随机串与第二员工信息一起进行非对称加密。在定位泄露文件时,可以通过判断该随机串与存储于数据库中与唯一标识对应的随机串是否一致来进行验签的操作,进一步增强数据水印的安全性。
图10是根据一示例性实施方式示出的再一种对泄露的机密文件定位方法的流程图。同样地,该方法80例如可以应用于图1所示的系统10中。相比于图8所示的方法60,方法80在步骤S614之后还包括:
在步骤S802中,在数据库中查询是否存在与唯一标识对应存储的对称加密算法密钥,如果存在,则进入步骤S8162。
应用服务器104在数据库108中查询是否存在与唯一标识对应存储的对称加密算法密钥。如果不存在,则表示第二员工信息中的第一员工信息未经对称加密,则可以直接使用该第一员工信息进行泄露的机密文件的定位。
此外,方法80中,步骤S616包括:
在步骤S8162中,将第二员工信息与对称加密算法密钥发送给加解密服务器,请求进行对称解密,以获取第一员工信息。
应用服务器104将第二员工信息与对称加密算法密钥发送给加解密服务器106,请求其进行对称解密,从而获得其中的第一员工信息。
在步骤S8164中,接收第一员工信息。
当加解密服务器106经过对称解密,解密出第一员工信息后,将其发送给应用服务器104。
在步骤S8166中,根据第一员工信息,定位请求机密文件的员工。
应用服务器104根据第一员工信息,直接定位请求所述机密文件的员工。
方法80中所包含的其他步骤与方法60中的步骤相同,在此不再赘述。
在一些实施例中,当在数据库中查询到加印信息中的唯一标识时,还可先查询是否存在与该唯一标识对应存储的对称加密算法密钥,并将其与第二员工信息的密文一起发送给加解密服务器106,以使其在通过非对称解密,解密出第二员工信息的明文后,再通过该对称加密算法密钥,通过对称解密,解密出第一员工信息的明文。
根据本发明实施方式提供的对泄露的机密文件定位方法,由于加印信息中的第一员工信息在进行非对称加密之前,还经过对称加密,从而进一步确保了第一员工信息的安全性。
图11是根据一示例性实施方式示出的再一种对泄露的机密文件定位方法的流程图。同样地,该方法90例如可以应用于图1所示的系统10中。相比于图8所示的方法60,方法90在步骤S614之后还包括:
在步骤S902中,从第二员工信息中,获取一随机串。
当应用服务器104接收到加解密服务器106发送的第二员工信息时,从第二员工信息中获取该随机串。
在步骤S904中,在数据库中查询该随机串与唯一标识是否对应,如果对应,则进入步骤S906。
该随机串为加解密服务器106根据与应用服务器104预先设定的随机串生成规则,所生成的随机串,并将其与第一员工信息一起进行非对称加密。当应用服务器104从第二员工信息中获取到该随机串时,可以与数据库108中所存储的与唯一标识对应存储的随机串进行对比,如果两者一致,也即该随机串与数据库108中的唯一标识对应,则标识验签通过,进入步骤S9162。
如果不对应,表示验签失败。应用服务器104例如可以向客户端102返回定位失败的通知,或者也可以忽略该机密文件的定位请求等,本发明不以此为限。
在步骤S906中,在数据库中查询是否存在与唯一标识对应存储的对称加密算法密钥,如果存在,则进入步骤S9162。
应用服务器104在数据库108中查询是否存在与唯一标识对应存储的对称加密算法密钥。如果不存在,则表示第二员工信息中的第一员工信息未经对称加密,则可以直接将第二员工信息除去随机串后得到第一员工信息,以进行泄露的机密文件的定位。
此外,在方法90中,步骤S616包括:
在步骤S9162中,从第二员工信息中除去随机串,以获得第一员工信息的密文。
应用服务器104从第二员工信息中除去随机串后,获得第一员工信息,也即经过对称加密算法加密后的密文。
在步骤S9164中,将第一员工信息的密文与对称加密算法密钥发送给加解密服务器,请求进行对称解密,以获取第一员工信息。
应用服务器104将第二员工信息中经过对称加密算法加密的密文与对称加密算法密钥发送给加解密服务器106,请求其进行对称解密,从而获得其中的第一员工信息。
在步骤S9166中,接收第一员工信息。
当加解密服务器106经过对称解密,解密出第一员工信息后,将其发送给应用服务器104。
在步骤S9168中,根据第一员工信息,定位请求所述机密文件的员工。
应用服务器104根据第一员工信息,直接定位请求所述机密文件的员工。
方法90中所包含的其他步骤与方法60中的步骤相同,在此不再赘述。
根据本发明实施方式提供的对泄露的机密文件定位方法,一方面,加解密服务器根据员工信息,按照与应用服务器预先设定的规则生成随机串,并将该随机串与第二员工信息一起进行非对称加密。在定位泄露文件时,可以通过判断该随机串与存储于数据库中与唯一标识对应的随机串是否一致来进行验签的操作,进一步增强数据水印的安全性;另一方面,由于加印信息中的第一员工信息在进行非对称加密之前,还经过对称加密,从而进一步确保了第一员工信息的安全性。
图12是根据一示例性实施方式示出的一种为机密文件生成数字水印的方法的流程图。该方法100例如可以应用于图1所示的系统10中。联合参考图1,方法100包括:
在步骤S1002中,接收应用服务器发送的加印信息请求。
加解密服务器106接收到应用服务器104发送的加印信息请求。其中,加印信息请求包括:用于标识请求机密文件的员工的唯一标识及员工的第一员工信息。
在步骤S1004中,对包括第一员工信息的第二员工信息使用非对称加密算法进行加密,生成第二员工信息的密文。
加解密服务器106对包括第一员工信息的第二员工信息使用非对称加密算法进行加密,生成第二员工信息的密文。
非对称加密算法例如可以为RSA。
在步骤S1006中,向应用服务器发送加印信息。
当加解密服务器106对第二员工信息进行非对称加密后,生成加印信息,并将加印信息发送给应用服务器104。其中,加印信息包括:唯一标识及第二员工信息的密文。
根据本发明实施方式提供的为机密文件生成数字水印的方法,在机密文件被请求时,基于员工信息为机密文件生成数字水印,并将添加了数字水印的机密文件提供给请求者。从而使得当该机密文件被泄露时,可以快速定位到相关责任人。此外,添加于机密文件中的数字水印中为通过独立的加解密服务器(集群)加密后的密文,一方面增加了加解密算法的安全性;另一方面也可以防止数字水印中的员工信息被篡改。
图13是根据一示例性实施方式示出的另一种为机密文件生成数字水印的方法的流程图。同样地,该方法110例如可以应用于图1所示的系统10中。相比于图12所示的方法100,方法110在步骤S1004之前还包括:
在步骤S1102中,根据第一员工信息,按照与应用服务器预先设定的随机串生成规则,生成一随机串。
其中,第二员工信息还包括:所述随机串。
加解密服务器106根据与应用服务器104预先设定的随机串生成规则,生成随机串,并将该随机串作为第二员工信息的一部分,一起进行非对称加密。
方法110中所包含的其他步骤与方法100中的步骤相同,在此不再赘述。
根据本发明实施方式提供的为机密文件生成数字水印的方法,根据员工信息,进一步生成随机串,并将该随机串及随机串与唯一标识的对应关系存储于数据中,从而在定位泄露文件时,可以通过该唯一标识及该随机串对非对称加密进行验签的操作,进一步增强数据水印的安全性。
图14是根据一示例性实施方式示出的再一种为机密文件生成数字水印的方法的流程图。同样地,该方法120例如可以应用于图1所示的系统10中。相比于图12所示的方法100,步骤S1004包括:
在步骤S12042中,使用对称加密算法密钥为第一员工信息加密,生成第一员工信息的密文。
在加印信息请求中,还包括:用于对第一员工信息进行对称加密算法加密的对称加密算法密钥。加解密服务器106使用该密钥为第一员工信息进行对称加密,从而生成第一员工信息的密文。对称加密算法例如可以为DES。
在步骤S12044中,对包括第一员工信息的密文的第二员工信息进行非对称加密算法加密,生成第二员工信息的密文。
加解密服务器106对包括第一员工信息的密文的第二员工信息进行非对称加密算法加密,生成第二员工信息的密文。
方法120中所包含的其他步骤与方法100中的步骤相同,在此不再赘述。
根据本发明实施方式提供的为机密文件生成数字水印的方法,进一步获取对称加密算法密钥,并将该密钥及密钥与唯一标识的对应关系存储于数据中,并将该密钥其发送给加解密服务器,从而使加解密服务器在进行非对称加密之前,使用该密钥对员工信息进行对称加密,从而进一步增强员工信息的安全性。
图15是根据一示例性实施方式示出的再一种为机密文件生成数字水印的方法的流程图。同样地,该方法130例如可以应用于图1所示的系统10中。相比于图12所示的方法100,方法130在步骤S1004之前还包括:
在步骤S1302中,根据第一员工信息,按照与应用服务器预先设定的随机串生成规则,生成一随机串;其中,第二员工信息还包括:所述随机串。
加解密服务器106根据与应用服务器104预先设定的随机串生成规则,生成随机串,并将该随机串作为第二员工信息的一部分,一起进行非对称加密。
此外,在方法130中,步骤S1004包括:
在步骤S13042中,使用对称加密算法密钥为第一员工信息加密,生成第一员工信息的密文。
在加印信息请求中,还包括:用于对第一员工信息进行对称加密算法加密的对称加密算法密钥。加解密服务器106使用该密钥为第一员工信息进行对称加密,从而生成第一员工信息的密文。对称加密算法例如可以为DES。
在步骤S13044中,对包括第一员工信息的密文及随机串的第二员工信息进行非对称加密算法加密,生成第二员工信息的密文。
加解密服务器106对包括第一员工信息的密文及随机串的第二员工信息进行非对称加密算法加密,生成第二员工信息的密文。
方法130中所包含的其他步骤与方法100中的步骤相同,在此不再赘述。
根据本发明实施方式提供的为机密文件生成数字水印的方法,根据员工信息,进一步生成随机串,并获取对称加密算法密钥,之后将该随机串、对称加密算法密钥及随机串、对称加密算法密钥与唯一标识的对应关系存储于数据中,从而在定位泄露文件时,可以通过该唯一标识及该随机串对非对称加密进行验签的操作,进一步增强数据水印的安全性;而在进行非对称加密之前使用对称加密算法密钥对员工信息进行对称加密,还可进一步增强员工信息的安全性。
本领域技术人员可以理解实现上述实施方式的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本发明提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本发明示例性实施方式的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
图16是根据一示例性实施方式示出的一种机密文件保护装置的框图。如图16所示,该机密文件保护装置140包括:文件请求接收模块1402、员工标识生成模块1404、加印信息生成模块1406、数字水印添加模块1408及水印文件发送模块1410。
文件请求接收模块1402用于用于接收客户端发送的机密文件获取请求,所述机密文件获取请求包括:请求员工的员工信息。
员工标识生成模块1404用于根据所述员工信息,生成所述请求员工的唯一标识。
加印信息生成模块1046,用于根据所述唯一标识与所述员工信息,生成加印信息,其中所述加印信息包括:所述唯一标识及根据所述员工信息经由非对称加密算法加密的密文。在一些实施例中,员工标识生成模块1404包括:信息发送子模块及信息接收子模块。信息发送子模块用于向加解密服务器发送加印信息请求,所述加印信息请求包括:所述唯一标识及所述员工信息。信息接收子模块用于接收所述加解密服务器发送的、由所述加解密服务器生成的加印信息。
数字水印添加模块1408用于根据加印信息,为机密文件添加数字水印。
水印文件发送模块1410用于将添加数字水印后的机密文件发送给客户端。
在一些实施例中,装置140还包括:随机串生成模块及随机串存储模块。随机串生成模块用于根据所述第一员工信息,按照预先设定的生成规则生成一随机串。随机串存储模块用于将所述随机串与所述唯一标识的相对应进行存储。其中,根据所述员工信息经由非对称加密算法加密的所述密文包括:对由所述加解密服务器根据所述第一员工信息按照所述生成规则生成的随机串与所述员工信息,采用所述非对称加密算法进行非对称加密后得到的密文。
在一些实施例中,装置140还包括:密钥获取模块及密钥存储模块。密钥获取模块用于获取对称加密算法密钥。密钥存储模块用于将所述对称加密算法密钥与所述唯一标识相对应进行存储。其中,根据所述员工信息经由非对称加密算法加密的所述密文包括:对所述员工信息先根据所述对称加密算法密钥进行对称加密,再采用所述非对称加密算法进行非对称加密后得到的密文。
在一些实施例中,装置140还包括:随机串生成模块、密钥获取模块及存储模块。随机串生成模块用于根据所述第一员工信息,按照预先设定的生成规则生成一随机串。密钥获取模块用于获取对称加密算法密钥。存储模块用于将所述随机串、所述对称加密算法密钥与所述唯一标识相对应进行存储。其中,所述加印信息请求还包括:对称加密算法密钥;根据所述员工信息经由非对称加密算法加密的所述密文包括:对由所述加解密服务器根据所述第一员工信息按照所述生成规则生成的随机串与所述员工信息,先根据所述对称加密算法密钥进行对称加密,再采用所述非对称加密算法进行非对称加密后得到的密文。
根据本发明实施方式提供的机密文件保护装置,在机密文件被请求时,基于员工信息为机密文件生成数字水印,并将添加了数字水印的机密文件提供给请求者。从而使得当该机密文件被泄露时,可以快速定位到相关责任人。此外,添加于机密文件中的数字水印中为通过独立的加解密服务器(集群)加密后的密文,一方面增加了加解密算法的安全性;另一方面也可以防止数字水印中的员工信息被篡改。
图17是根据一示例性实施方式示出的一种对泄露的机密文件定位装置的框图。如图17所示,对泄露的机密文件定位装置150包括:泄露文件获取模块1502、加印信息获取模块1504、员工标识获取模块1506、员工标识查询模块1508、机密文件定位模块1510。
其中,泄露文件获取模块1502用于获取泄露的机密文件。
加印信息获取模块1504用于获取机密文件的数字水印中的加印信息,加印信息包括:用于标识请求机密文件的员工的唯一标识及根据所述员工信息经由非对称加密算法加密的密文。
员工标识获取模块1506用于从加印信息中获取唯一标识。
员工标识查询模块1508用于查询是否存储有唯一标识。
机密文件定位模块1510用于当员工标识查询模块1508查询到存储有唯一标识时,对所述密文进行非对称解密,以获取所述员工信息;及根据员工信息,定位请求机密文件的员工。
在一些实施例中,机密文件定位模块1510包括:密文发送子模块及员工信息接收子模块。密文发送子模块用于将所述密文发送给加解密服务器请求进行非对称解密。员工信息接收子模块用于接收所述加解密服务器发送的所述员工信息。
在一些实施例中,对泄露的机密文件定位装置150还包括:随机串获取模块、随机串查询模块。随机串获取模块用于从所述员工信息中,获取一随机串。随机串查询模块用于查询所述随机串与所述唯一标识是否对应。机密文件定位模块1510包括:随机串去除子模块,用于从所述员工信息中除去所述随机串。定位子模块用于根据除去所述随机串后的所述员工信息,定位请求所述机密文件的员工。
在一些实施例中,对泄露的机密文件定位装置150还包括:密钥查询模块,用于查询是否存在与所述唯一标识对应存储的对称加密算法密钥。机密文件定位模块1510包括:解密请求子模块、员工信息接收子模块及定位子模块。解密请求子模块用于将所述员工信息与所述对称加密算法密钥发送给所述加解密服务器,请求进行对称解密。员工信息接收子模块用于接收经对称解密后的所述员工信息。定位子模块用于根据经对称解密后的所述员工信息,定位请求所述机密文件的员工。
在一些实施例中,对泄露的机密文件定位装置150还包括:随机串生成模块、随机串查询模块及密钥查询模块。随机串生成模块用于从所述员工信息中,获取一随机串。随机串查询模块用于查询所述随机串与所述唯一标识是否对应。密钥查询模块用于查询是否存在与所述唯一标识对应存储的对称加密算法密钥。机密文件定位模块1510包括:随机串去除子模块、对称解密请求子模块、明文接收子模块及定位子模块。随机串去除子模块用于从所述员工信息中除去所述随机串。对称解密请求子模块用于将除去所述随机串后的所述员工信息与所述对称加密算法密钥发送给所述加解密服务器,请求进行对称解密。明文接收子模块用于接收对除去所述随机串后的所述员工信息进行对称解密后的明文。定位子模块用于根据所述明文,定位请求所述机密文件的员工。
根据本发明实施方式提供的对泄露的机密文件定位装置,通过获取该泄露的机密文件中的数字水印,首先通过数字水印中的唯一标识进行验签,确定该数字水印是否为机密文件保护系统所添加;在确定了该数字水印为其所添加后,请求独立的加解密服务器为其解密数字水印中的密文,从而获得可用于定位泄露的机密文件的请求员工的员工信息,以快速定位到相关责任人。此外,添加于机密文件中的数字水印为通过独立的加解密服务器(集群)加密后的密文,在对泄露的机密文件进行定位时,同样由该独立的加解密服务器进行解密,一方面增加了加解密算法的安全性;另一方面也可以防止数字水印中的员工信息被篡改。
图18是根据一示例性实施方式示出的一种加解密服务器的框图。如图18所示,加解密服务器160包括:加印请求接收模块1602、员工信息加密模块1604及加印信息发送模块1606。
其中,加印请求接收模块1602用于接收应用服务器发送的加印信息请求,加印信息请求包括:用于标识请求机密文件的员工的唯一标识及员工的第一员工信息。
员工信息加密模块1604用于对包括第一员工信息的第二员工信息使用非对称加密算法进行加密,生成第二员工信息的密文。
加印信息发送模块1606用于向应用服务器发送加印信息。
其中,加印信息包括:唯一标识及第二员工信息的密文。
根据本发明实施方式提供的加解密服务器,在机密文件被请求时,基于员工信息为机密文件生成数字水印,并将添加了数字水印的机密文件提供给请求者。从而使得当该机密文件被泄露时,可以快速定位到相关责任人。此外,添加于机密文件中的数字水印中为通过独立的加解密服务器(集群)加密后的密文,一方面增加了加解密算法的安全性;另一方面也可以防止数字水印中的员工信息被篡改。
需要注意的是,上述附图中所示的框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。
例如,在一些可能的实施方式中,本发明的各个方面可以实现为一种计算机设备。根据本发明实施方式的计算机设备可以包括至少一个处理器以及至少一个存储器。其中,所述存储器有可执行指令,当所述可执行指令被所述处理器执行时,使得所述处理器执行根据本发明各种示例性实施方式的机密文件保护方法中的步骤,或者执行根据本发明各种示例性实施方式的对泄露的机密文件定位方法中的步骤,再或者执行根据本发明各种示例性实施方式的为机密文件生成数字水印的方法中的步骤。
此外,在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其可以存储在一个非易失性可读存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,其包括可执行指令,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行根据本发明各种示例性实施方式的机密文件保护方法中的步骤,或者执行根据本发明各种示例性实施方式的对泄露的机密文件定位方法中的步骤,再或者执行根据本发明各种示例性实施方式的为机密文件生成数字水印的方法中的步骤。
以上具体地示出和描述了本发明的示例性实施方式。应可理解的是,本发明不限于这里描述的详细结构、设置方式或实现方法;相反,本发明意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (5)
1.一种机密文件保护方法,其特征在于,包括:
接收客户端发送的机密文件获取请求,所述机密文件获取请求包括:请求员工的员工信息;
根据所述员工信息,生成所述请求员工的唯一标识;
根据所述员工信息,按照预先设定的生成规则生成随机串;
将所述随机串与所述唯一标识的相对应进行存储;
向加解密服务器发送加印信息请求,所述加印信息请求包括:所述唯一标识、所述随机串及所述员工信息;
接收所述加解密服务器发送的、由所述加解密服务器根据所述唯一标识与所述员工信息生成的加印信息;其中所述加印信息包括:所述唯一标识及根据所述员工信息经由非对称加密算法加密的密文;所述密文包括:对所述随机串与所述员工信息采用所述非对称加密算法加密后得到的密文;
根据所述加印信息,为所述机密文件添加数字水印;
将添加所述数字水印后的机密文件发送给所述客户端;
当所述机密文件被泄露时,获取所述机密文件;获取所述机密文件的数字水印中的所述加印信息;从所述加印信息中获取所述唯一标识;查询是否存储有所述唯一标识;
如果存储有所述唯一标识,则:
将所述密文发送给加解密服务器请求进行非对称解密;
接收所述加解密服务器发送的所述员工信息和所述随机串;
查询所述随机串与所述唯一标识是否对应;及
如果所述随机串与所述唯一标识对应,则根据所述员工信息,定位请求所述机密文件的员工;
其中,所述非对称加密算法采用的由公钥和私钥组成的密钥对被存储于所述加解密服务器中,且所述密钥对基于预设的时间频率进行更新,所述非对称加密算法采用所述公钥进行加密或者采用所述私钥进行加密。
2.根据权利要求1所述的方法,其特征在于,向加解密服务器发送加印信息请求之前,所述方法还包括:
获取对称加密算法密钥;以及
将所述随机串、所述对称加密算法密钥与所述唯一标识相对应进行存储;
其中,所述加印信息请求还包括:所述对称加密算法密钥;所述根据所述员工信息经由非对称加密算法加密的所述密文包括:对所述员工信息,先根据所述对称加密算法密钥进行对称加密,再采用所述非对称加密算法对所述随机串与对称加密后的所述员工信息进行非对称加密后得到的密文。
3.根据权利要求1所述的方法,其特征在于,如果所述随机串与所述唯一标识对应,所述方法还包括:
查询是否存在与所述唯一标识对应存储的对称加密算法密钥;以及
如果存在与所述唯一标识对应存储的对称加密算法密钥,则根据所述员工信息,定位请求所述机密文件的员工包括:
请求所述加解密服务器根据所述对称加密算法密钥对所述员工信息进行解密,以获得解密后的明文;及
根据所述明文,定位请求所述机密文件的员工。
4.一种电子设备,包括:存储器、处理器及存储在所述存储器中并可在所述处理器中运行的可执行指令,其特征在于,所述处理器执行所述可执行指令时实现如权利要求1-3中任一项所述的方法。
5.一种计算机可读存储介质,其上存储有计算机可执行指令,其特征在于,所述可执行指令被处理器执行时实现如权利要求1-3中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811407744.XA CN109583218B (zh) | 2018-11-23 | 2018-11-23 | 机密文件保护、定位方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811407744.XA CN109583218B (zh) | 2018-11-23 | 2018-11-23 | 机密文件保护、定位方法、装置、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109583218A CN109583218A (zh) | 2019-04-05 |
CN109583218B true CN109583218B (zh) | 2021-03-05 |
Family
ID=65924378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811407744.XA Active CN109583218B (zh) | 2018-11-23 | 2018-11-23 | 机密文件保护、定位方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109583218B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110391895B (zh) * | 2019-07-31 | 2020-10-27 | 创新先进技术有限公司 | 数据预处理方法、密文数据获取方法、装置和电子设备 |
CN111159744A (zh) * | 2019-12-30 | 2020-05-15 | 北京每日优鲜电子商务有限公司 | 数据报表的源用户确定方法、装置、设备及存储介质 |
CN115484353A (zh) * | 2021-06-16 | 2022-12-16 | 中移动信息技术有限公司 | 适用于水印图片的处理方法、电子设备及存储介质 |
CN113486309A (zh) * | 2021-07-20 | 2021-10-08 | 阳光电源股份有限公司 | 技术文档的处理方法、数字水印服务器及处理系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103347019A (zh) * | 2013-06-28 | 2013-10-09 | 无锡华御信息技术有限公司 | 一种基于水印技术的防泄密方法 |
CN103379101A (zh) * | 2012-04-20 | 2013-10-30 | 腾讯科技(深圳)有限公司 | 一种水印生成方法、客户端及服务器 |
US20170099149A1 (en) * | 2015-10-02 | 2017-04-06 | Sonimark, Llc | System and Method for Securing, Tracking, and Distributing Digital Media Files |
US20170272252A1 (en) * | 2014-04-30 | 2017-09-21 | International Business Machines Corporation | Self-validating request message structure and operation |
US20170280205A1 (en) * | 2014-03-13 | 2017-09-28 | Verance Corporation | Interactive content acquisition using embedded codes |
US9801048B1 (en) * | 2010-04-15 | 2017-10-24 | Digital Proctor, Inc. | Uniquely identifying a mobile electronic device |
CN107423629A (zh) * | 2017-04-12 | 2017-12-01 | 李晓妮 | 一种文件信息输出防泄密和溯源追踪的方法和系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100442835C (zh) * | 2005-12-27 | 2008-12-10 | 浪潮电子信息产业股份有限公司 | 一种视频节目的数字版权和数字水印保护方法 |
CN102761563A (zh) * | 2011-04-25 | 2012-10-31 | 中国移动通信集团山东有限公司 | 一种传输数据方法、装置及系统 |
CN104202170B (zh) * | 2014-09-22 | 2018-09-04 | 上海众人网络安全技术有限公司 | 一种基于标识的身份认证系统和方法 |
CN106803042A (zh) * | 2015-11-25 | 2017-06-06 | 中国电信股份有限公司 | 基于身份标识的数据处理方法、装置和系统 |
-
2018
- 2018-11-23 CN CN201811407744.XA patent/CN109583218B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9801048B1 (en) * | 2010-04-15 | 2017-10-24 | Digital Proctor, Inc. | Uniquely identifying a mobile electronic device |
CN103379101A (zh) * | 2012-04-20 | 2013-10-30 | 腾讯科技(深圳)有限公司 | 一种水印生成方法、客户端及服务器 |
CN103347019A (zh) * | 2013-06-28 | 2013-10-09 | 无锡华御信息技术有限公司 | 一种基于水印技术的防泄密方法 |
US20170280205A1 (en) * | 2014-03-13 | 2017-09-28 | Verance Corporation | Interactive content acquisition using embedded codes |
US20170272252A1 (en) * | 2014-04-30 | 2017-09-21 | International Business Machines Corporation | Self-validating request message structure and operation |
US20170099149A1 (en) * | 2015-10-02 | 2017-04-06 | Sonimark, Llc | System and Method for Securing, Tracking, and Distributing Digital Media Files |
CN107423629A (zh) * | 2017-04-12 | 2017-12-01 | 李晓妮 | 一种文件信息输出防泄密和溯源追踪的方法和系统 |
Non-Patent Citations (4)
Title |
---|
CIA机密文档追踪工具Scribbles详细分析;ArkTeam;《https://www.freebuf.com/articles/system/133702.html》;20170509;第1-3节 * |
基于数字水印的纸质文档保护研究;张珍珍;《北京电子科技学院学报》;20150630;第23卷(第2期);第51-57页 * |
大数据时代数据隐私安全研究;肖洁;《计算机技术与发展》;20160531;第26卷(第5期);第91-94页 * |
用于信息追踪的文本水印算法;亓文法;《通信学报》;20081031;第29卷(第10期);第183-190页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109583218A (zh) | 2019-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109583218B (zh) | 机密文件保护、定位方法、装置、设备及可读存储介质 | |
CN109583217B (zh) | 一种互联网电商平台用户隐私数据加密及解密方法 | |
Farfoura et al. | A blind reversible method for watermarking relational databases based on a time-stamping protocol | |
EP1485769B1 (en) | A method and arrangement for protecting software | |
KR100749867B1 (ko) | 보안장치상에 암호화시스템을 보안가능하게 설치하는시스템 및 방법 | |
CN108463827B (zh) | 用于检测敏感信息泄漏同时保护隐私的系统和方法 | |
US8756416B2 (en) | Checking revocation status of a biometric reference template | |
KR101371608B1 (ko) | Dbms 및 데이터베이스에서 암호화 방법 | |
WO2006080754A1 (en) | Contents encryption method, system and method for providing contents through network using the encryption method | |
US7805616B1 (en) | Generating and interpreting secure and system dependent software license keys | |
KR20060132547A (ko) | 디지털 저작물 보호 시스템 및 디지털 저작물 보호 방법 | |
CN110086805B (zh) | 基于跨域分布式微服务架构下的信息安全传输方法 | |
CN110955909B (zh) | 个人数据保护方法及区块链节点 | |
CN111831978A (zh) | 一种对配置文件进行保护的方法及装置 | |
Al-Husainy | MAC address as a key for data encryption | |
JP6792191B2 (ja) | 情報送信方法、情報処理方法、プログラム、復号方法、プログラム | |
CN115442046A (zh) | 签名方法、装置、电子设备和存储介质 | |
CN107862210A (zh) | 加密处理方法、系统和计算机设备 | |
KR20090024482A (ko) | 컨텐츠를 이용하기 위한 키 관리 시스템 및 그 방법 | |
KR100464797B1 (ko) | 네트워크 키에 의한 전자문서 암호화 및 암호해독 방법 | |
CN113111360A (zh) | 一种文件处理方法 | |
CN113193954A (zh) | 一种密钥管理方法 | |
KR100467570B1 (ko) | 디지털 콘텐츠를 위한 보안 서비스 방법 및 그를 위한시스템 | |
CN111260365A (zh) | 一种保护交易安全性的加密方法和装置 | |
CN100580686C (zh) | 防止软件被盗用的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: Floor 36, Zheshang Building, No. 718 Jianshe Avenue, Jiang'an District, Wuhan, Hubei 430019 Patentee after: TK.CN INSURANCE Co.,Ltd. Patentee after: TAIKANG INSURANCE GROUP Co.,Ltd. Address before: 156 fuxingmennei street, Xicheng District, Beijing 100031 Patentee before: TAIKANG INSURANCE GROUP Co.,Ltd. Patentee before: TK.CN INSURANCE Co.,Ltd. |