CN101364984B - 一种保证电子文件安全的方法 - Google Patents
一种保证电子文件安全的方法 Download PDFInfo
- Publication number
- CN101364984B CN101364984B CN2008101506246A CN200810150624A CN101364984B CN 101364984 B CN101364984 B CN 101364984B CN 2008101506246 A CN2008101506246 A CN 2008101506246A CN 200810150624 A CN200810150624 A CN 200810150624A CN 101364984 B CN101364984 B CN 101364984B
- Authority
- CN
- China
- Prior art keywords
- file
- authentication
- server
- checking
- select
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种保证电子文件安全的方法,包括加密过程和解密过程,在主动加密的基础上嵌入了被动保护技术,能够使组织在防火墙外部保持对电子文档的控制,动态地管理文档使用策略,将现有IT投资的价值延伸至安全保障与内容管理系统之外,降低了与客户、供应商、合作伙伴及其他有关方共享信息的成本。
Description
技术领域
本发明涉及一种电子文件的加密、解密技术,特别涉及一种保证电子文件安全的方法。
背景技术
在无纸化的数字时代,电子文件的安全成为信息安全中越来越重要的部分。现有文档保护方案主要通过将硬盘上存储的数据加密,以防止用户把数据从内网拷贝到外网,即安装保护方案客户端的计算机上,所有的文档、程序等数据都在用户无察觉的情况下加密存储,用户打开时则文档被透明解密,用户可观看,但是文档被拷贝到其他未安装客户端的计算机上时,由于没有解密程序,无法观看,而且这种解决方案不能控制文件分用户、分权限的使用,也就是说,所有正常使用这台机器的用户对文件都拥有完全的权限;其次如果要跟踪文件的使用情况,则必须在客户端运行自己的进程监听用户的行为,在资源消耗和用户满意度方面存在较大的缺陷。
发明内容
本发明的目的在于克服上述现有技术的缺点,提出一种保证电子文件安全的方法,能够使组织在防火墙外部保持对电子文档的控制,动态地管理文档使用策略,并且充分考虑到加密文件的被动保护方法,将现有IT投资的价值延伸至安全保障与内容管理系统之外,降低了与客户、供应商、合作伙伴及其他有关方共享信息的成本。
本发明的技术方案是这样实现的:
该电子文件的保护策略主要分主动保护和被动保护两部分,主动保护是指依靠加密服务器将文件密级模块嵌入电子文件进行操作分级限制来实现,被动保护是指依靠密集模块中的各项强制预先指令来完成。该方法包括加密过程和解密过程,具体实现如下:
加密过程:首先,文档的初始涉密人员登陆加密服务器,上传需要加密的各类文档,验证完文档格式后,选择需要的加密方式,具体的选择有:
1、是否需要加入服务器身份验证
2、是否需要绑定本机MAC地址进行验证
3、是否需要使用者指纹进行认证
4、选择最大容许验证失败次数
5、选择是否需要进行强制命令
以上5项选择中前3项必须三者至少选其一,后两项为必选项,选择完成后对文档的加密结束;
其次,对加密文档进行权限分配,具体的选项有:
1、选择是否可以打开阅读
2、选择是否可以进行拷贝、剪切操作
3、选择是否可以进行离线操作
4、选择是否侦测截屏软件并禁用
5、选择是否记录加密文件的操作日志并上传
以上5项选择中第3项为必选,其余四项选择是一种或一种以上,选择完成后加密服务器会提示用户对初始文件进行上传备份,上传结束后,服务器会自动输出封装好的EFE加密文件到使用者本地计算机,整个加密过程结束,EFE的全称是enterprise file encrytion即企业级文件加密系统。
解密过程:加密文件在执行操作时,首先会和加密服务器连接,确定使用环境。
如果在局域网中使用,首先会连接加密服务器进行身份验证,根据对应不同的密匙分配不同的操作权限。
在规定中涉密级别比较低的电子文档中,只使用服务器验证一种方法便可以满足基本需要,对于规定总的涉密级别比较高的电子文件来说,预先在文件密集管理模块中嵌入合法MA℃地址,在进行初始操作的时候会自动比对操作计算机的MAC地址是否和预先储存的MAC地址相吻合,便可以有效地防止加密文件在网络上的传播。MAC地址认证和服务器认证相互独立,可以任意单独使用,也可以组合使用,需要指出的是,如果两种认证方式组合使用的话,必须两者全部通过验证,才能对加密文件进行操作。
增加指纹识别模块,对于电子文件的加密又是一个很好的补充,将权限级别不同的指纹嵌入文件密级管理模块,在对文件进行初始操作时会提示用户扫描指纹以获得身份确认。
服务器认证、MAC地址认证、指纹认证都是主动加密保护的模式,用户可以根据不同的密级保护选择不同的策略。比如,局域网内传播的涉密级别低的资料就可以只使用MAC地址认证,这样不仅可以有效地阻止文件的网外传播而且使用简单,不需要复杂的操作,对使用者来说操作习惯没有任何更改。对于涉密级别相对较高的文件来说,三种认方式可以任意两项或三项组合使用,提高安全级别,同样,组合认证方式必须全部通过,并且对应分配的权限相同才可以对加密电子文件进行操作。
如果不在局域网中使用,那么就无法使用服务器验证,所以必须在文件密级管理模块中加入离线加密信息。
离线用户名密码认证,该认证方式使用简单,只需要在对话框中正确填入申请的用户名和密码就能正常使用加密文件。离线加密方式也可以使用MAC地址认证和指纹认证。
离线操作相对于在线操作具有更大的风险性,在资料传送,第三方修改等场合下,加密文件的保护更为重要,所以有加密文件需要离线操作的情况下,必须在密级管理模块中嵌入使用时限、使用方式限制加密信息。
使用时限的完成是指依靠对比计算机时钟来完成,小于或超过规定时间的情况下,即使认证通过,也无法对文什进行操作。
使用方式限制是指依靠调用函数的禁用实现对加密文件拷贝、剪贴、移动之非本地硬盘的操作。
对加密文件的各种认证方式都属于主动加密方式,当加密文件被试图非法法操作的时候,需要有被动保护策略来保证加密文件在某种特定的极端的条件下的安全。
当使用加密文件的第一次认证失败时,被动保护策略就会被启动,依照密级不同的文件,容许认证失败的次数将被分别定义。通常情况下,考虑到误操作,加密服务器认为3次以内的认证通过是合法的。第二次认证朱败的同时,本地计算机将会和加密服务器建立连接,记录认证失败的计算机MAC地址、用户名、时间、加密文件名等详细信息将会被自动上传至服务器上进行审计备份,以便日后对非法操作进行查询。
超过密级容许失败次数的操作,加密服务器将认为是危险操作,根据在线或离线状态,以及加密等级的不同,将会执行强制命令。
强制加密文件上传服务器是基础的被动保护措施,在实际中,要求所有的加密文件都应该有安全的备份存在,在上传完加密文件后,后续的强制命令才能安全的执行。
在密级管理模块中嵌入触发命令,当认证失败次数达到一定条件时,在本地计算机上执行强制关机或者强制粉碎本地受保护文件的操作。
本发明主要针对转换后的文件进行加密和保存,利用文件密级管理模块对电子文件进行权限管理。本发明的主要特点是在主动加密的基础上嵌入了被动保护技术,前者旨在对加密文件进行权限管理、禁止对文件的各类操作,从而有效地避免了文件的二次传播以及盗用;而后者主要适用于涉密级别比较高的场所,被动保护技术采取极端的方法保护加密文件不受非法操作,所以加密服务器的上传备份功能就显得格外重要。
本发明的功能可以分开使用,在涉密级别较低的场所只使用主动加密功能就可以满足大多数的需要,而且成本较低;而在涉密级别高的场所,嵌入被动保护技术可以增加对文件的保护力度。
附图说明
图1为本发明的加密流程图。
图2为本发明的解密流程图。
具体实施方式
下面结合附图对本发明的内容作进一步的详细说明。
参见图1,本发明的加密过程的具体流程是:
首先,文档的初始涉密人员登陆加密服务器,上传需要加密的各类文档,验证完文档格式后,选择需要的加密方式,具体的选择有:
1、是否需要加入服务器身份验证
2、是否需要绑定本机MAC地址进行验证
3、是否需要使用者指纹进行认证
4、选择最大容许验证失败次数
5、选择是否需要进行强制命令
以上5项选择中前3项必须三者至少选其一,后两项为必选项,选择完成后对文档的加密结束;
其次,对加密文档进行权限分配,具体的选项有:
1、选择是否可以打开阅读
2、选择是否可以进行拷贝、剪切操作
3、选择是否可以进行离线操作
4、选择是否侦测截屏软件并禁用
5、选择是否记录加密文件的操作日志并上传
以上5项选择中第3项为必选,其余四项选择是一种或一种以上,选择完成后加密服务器会提示用户对初始文件进行上传备份,上传结束后,服务器会自动输出封装好的EFE加密文件到使用者本地计算机,整个加密过程结束,EFE的全称是enterprise file encrytion即企业级文件加密系统。
参见图2,本发明的解密过程的具体流程是:
首先,对加密文件所使用的网络环境进行检测,自动连接服务器进行认证,判断为在线操作还是离线操作。
如果为在线操作,那么所有的认证都需要得到服务器的许可方可通过,对预先存入密级管理模块的用户名、密码进行验证,或者进行授权MAC地址服务器验证或指纹的比对服务器验证,如果验证通过,则分配密码所对应的操作权限,正确使用文档。
如果判断为离线操作,则也是需要通过用户名密码、MAC地址、指纹验证,其验证方法是客户端验证,用户名密码、MAC地址和指纹验证三者任意组合,并且通过验证的授权必须相同时,才能对文件进行合法操作,正确使用文档。
在进行初始验证时首先进行的是用户名密码的服务器验证,如果验证通过则进行后续验证或者直接获得授权,如果首次验证失败则可以根据加密时设定的最大容许验证失败次数来判断是继续返回验证或者执行强制操作,通常情况下,服务器的缺省最大容许失败次数为3,三次无法通过验证,则将非法操作的计算机MAC地址、操作时间等日志上传服务器进行保存;其次对文件进行强制操作,强制操作的种类依照加密时设定的进行。
通常情况下,加密文件的认证不推荐只使用单一认证方式,即通过了用户名和指纹验证后,还应有后续的验证来确保文件的安全,可以选择MAC地址认证或者指纹认证,其认证的流程相同于首次认证,都依赖于加密初始的设定。
用户名密码验证、MAC地址验证和指纹验证可以任意组合使用,使用规则如下:
1、最大容许失败次数的设定为共同验证次数,无论以何种验证方式,每一验证方式的验证量都不应大于规定次数;
2、验证方式可以分配给一个人,也可分配给多个人,比如:
A获得用户名和密码,B获得指纹授权,则加密文件的打开必须同时两种授权,而且规定次数也应遵循第一种规则;
3、如果选择多人分配验证,则在服务器中可以设定最大容许间隔时间,可以选择要求两人或多人必须同时开启授权方可通过验证。
若文件加密模块中内置了强制命令,则当用户名密码验证、MAC地址验证和指纹验证任意一种验证或是任意组合验证次数超过容许次数后,非法计算机将被强制关机或者强制删除本地文件。对于涉密级别很高的资料,即使文件被窃取,也可以避免非法用户利用穷举的方法进行密码破译,文件不仅不会被打开,而且会被执行非可逆粉碎操作,有效地解决的文件在网络上的安全发布问题。
Claims (2)
1.一种保证电子文件安全的方法,包括加密过程和解密过程,其特征在于,
加密过程的具体流程是:
首先,文档的初始涉密人员登陆加密服务器,上传需要加密的各类文档,验证完文档格式后,选择需要的加密方式,具体的选择有:
1、是否需要加入服务器身份验证
2、是否需要绑定本机MAC地址进行验证
3、是否需要使用者指纹进行认证
4、选择最大容许验证失败次数
5、选择是否需要进行强制命令
以上5项选择中前3项必须三者至少选其一,后两项为必选项,选择完成后对文档的加密结束;
其次,对加密文档进行权限分配,具体的选项有:
1、选择是否可以打开阅读
2、选择是否可以进行拷贝、剪切操作
3、选择是否可以进行离线操作
4、选择是否侦测截屏软件并禁用
5、选择是否记录加密文件的操作日志并上传
以上5项选择中第3项为必选,其余四项选择是一种或一种以上,选择完成后加密服务器会提示用户对初始文件进行上传备份,上传结束后,服务器会自动输出封装好的EFE加密文件到使用者本地计算机,整个加密过程结束,EFE的全称是enterprise fileencrytion即企业级文件加密系统;
解密过程的具体流程是:
首先,对加密文件所使用的网络环境进行检测,自动连接服务器进行认证,判断为在线操作还是离线操作;
如果为在线操作,那么所有的认证都需要得到服务器的许可方可通过,对预先存入密级管理模块的用户名、密码进行验证,或者进行授权MAC地址服务器验证或指纹的比对服务器验证,如果验证通过,则分配密码所对应的操作权限,正确使用文档;
如果判断为离线操作,加密文件需要离线操作的情况下,必须在密级管理模块中嵌入使用时限、使用方式限制加密信息,则也是需要通过用户名密码、MAC地址、指纹验证,其验证方法是客户端验证,用户名密码、MAC地址和指纹验证三者任意组合,并且通过验证的授权必须相同时,才能对文件进行合法操作,正确使用文档;
在判断为离线操作后进行的用户名密码、MAC 地址、指纹验证时,首先进行的是用户名和密码的服务器验证,如果验证通过则进行后续验证或者直接获得授权,如果首次验证失败则可以根据加密时设定的最大容许验证失败次数来判断是继续返回验证或者执行强制操作;
文件加密模块中内置了强制命令,则当用户名密码验证、MAC地址验证和指纹验证任意一种验证或任意组合验证次数超过容许次数后,非法计算机将被强制关机或者强制删除本地文件。
2.根据权利要求1所说的一种保证电子文件安全的方法,其特征在于,用户名密码验证、MAC地址验证和指纹验证任意组合使用,使用规则如下:
1、最大容许失败次数的设定为共同验证次数,无论以何种验证方式,每一验证方式的验证量都不应大于规定次数;
2、验证方式分配给一个人或分配给多个人,分配给多个人时,A获得用户名和密码,B获得指纹授权,则加密文件的打开必须同时需要两种授权,而且规定次数也应遵循第一种规则;
3、选择多人分配验证,则在服务器中可以设定最大容许间隔时间,选择要求两人或多人必须同时开启授权通过验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101506246A CN101364984B (zh) | 2008-08-13 | 2008-08-13 | 一种保证电子文件安全的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008101506246A CN101364984B (zh) | 2008-08-13 | 2008-08-13 | 一种保证电子文件安全的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101364984A CN101364984A (zh) | 2009-02-11 |
CN101364984B true CN101364984B (zh) | 2011-10-05 |
Family
ID=40391134
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101506246A Expired - Fee Related CN101364984B (zh) | 2008-08-13 | 2008-08-13 | 一种保证电子文件安全的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101364984B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104850801A (zh) * | 2015-06-09 | 2015-08-19 | 广东欧珀移动通信有限公司 | 文件加密方法及装置 |
TWI614633B (zh) * | 2012-03-30 | 2018-02-11 | Tokyo Electron Ltd | 操作限制裝置、操作限制方法及電腦程式 |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5116715B2 (ja) * | 2009-03-24 | 2013-01-09 | 京セラドキュメントソリューションズ株式会社 | 画像形成装置及び画像形成システム |
CN102236607B (zh) * | 2010-04-23 | 2013-12-18 | 国民技术股份有限公司 | 一种数据安全保护方法和数据安全保护装置 |
CN102347836A (zh) * | 2010-04-30 | 2012-02-08 | 龚华清 | 电子文档安全阅读系统及其方法 |
CN101957899B (zh) * | 2010-09-17 | 2011-11-23 | 百度在线网络技术(北京)有限公司 | 一种在线应用平台及其控制方法 |
CN101989321A (zh) * | 2010-11-05 | 2011-03-23 | 上海传知信息科技发展有限公司 | 电子书离线阅读版权保护系统及方法 |
CN102651737B (zh) | 2011-02-28 | 2015-11-25 | 国际商业机器公司 | 在云应用环境中用于数据泄漏防护的装置和方法 |
CN102281141B (zh) | 2011-07-26 | 2013-11-06 | 华为数字技术(成都)有限公司 | 一种文档权限管理方法、装置及系统 |
CN102393938B (zh) * | 2011-10-24 | 2015-09-16 | 中国联合网络通信集团有限公司 | 现场支付业务处理方法和智能卡 |
CN102520223B (zh) * | 2011-11-02 | 2014-05-14 | 宁波三星电气股份有限公司 | 用于电能表的软件抗干扰方法 |
CN102693392A (zh) * | 2012-05-18 | 2012-09-26 | 苏州慧飞信息科技有限公司 | 一种保护软件 |
CN103399751A (zh) * | 2013-08-08 | 2013-11-20 | 百度在线网络技术(北京)有限公司 | 文件分享方法、系统和终端 |
CN104580062A (zh) * | 2013-10-09 | 2015-04-29 | 中兴通讯股份有限公司 | 一种安全的共有文档查看方法及装置 |
CN104318172A (zh) * | 2014-10-21 | 2015-01-28 | 合肥星服信息科技有限责任公司 | 基于局域网个性化特征的文件防扩散技术 |
CN105635047A (zh) * | 2014-10-29 | 2016-06-01 | 江苏威盾网络科技有限公司 | 一种基于防火墙的文件级访问准入安全控制系统 |
CN105743857A (zh) * | 2014-12-10 | 2016-07-06 | 深圳云之家网络有限公司 | 数据处理方法、客户端及服务器 |
CN104598787B (zh) * | 2015-01-23 | 2016-06-01 | 浙江远望软件有限公司 | 一种人工授权及提供可信操作环境的文件存储与编辑方法 |
CN106789836B (zh) * | 2015-11-20 | 2020-10-16 | 北大方正集团有限公司 | 电子资源保护方法及系统 |
WO2017120938A1 (zh) * | 2016-01-15 | 2017-07-20 | 张添章 | 一种文件解密时的信息推送方法及智能终端设备 |
WO2017120939A1 (zh) * | 2016-01-15 | 2017-07-20 | 张添章 | 一种文件加密时的传送技术数据的方法及智能终端设备 |
CN106446710A (zh) * | 2016-09-29 | 2017-02-22 | 广州鹤互联网科技有限公司 | 签核文档加密及安全浏览装置与方法 |
CN106603505A (zh) * | 2016-11-28 | 2017-04-26 | 国网河南省电力公司三门峡市陕州供电公司 | 一种云储存模式电子文件可信管控方法及系统 |
CN107070864A (zh) * | 2016-12-30 | 2017-08-18 | 宇龙计算机通信科技(深圳)有限公司 | 基于指纹的安全验证方法及系统 |
CN108664797A (zh) * | 2017-03-30 | 2018-10-16 | 北京北信源软件股份有限公司 | 一种针对pdf文档进行标密和校验的方法及装置 |
CN108985107A (zh) * | 2018-07-13 | 2018-12-11 | 重庆爱思网安信息技术有限公司 | 一种加密电子取证审计系统 |
CN110896400A (zh) * | 2019-12-03 | 2020-03-20 | 厦门一通灵信息科技有限公司 | 一种数据防泄密访问系统 |
CN111277413B (zh) * | 2020-03-06 | 2021-08-06 | 电子科技大学 | 一种适用于代理重加密的密码逆向防火墙方法 |
CN114282175A (zh) * | 2021-12-23 | 2022-04-05 | 黄策 | 一种分布式的数据加解密的方法 |
-
2008
- 2008-08-13 CN CN2008101506246A patent/CN101364984B/zh not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI614633B (zh) * | 2012-03-30 | 2018-02-11 | Tokyo Electron Ltd | 操作限制裝置、操作限制方法及電腦程式 |
CN104850801A (zh) * | 2015-06-09 | 2015-08-19 | 广东欧珀移动通信有限公司 | 文件加密方法及装置 |
CN104850801B (zh) * | 2015-06-09 | 2018-03-13 | 广东欧珀移动通信有限公司 | 文件加密方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101364984A (zh) | 2009-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101364984B (zh) | 一种保证电子文件安全的方法 | |
US11349819B2 (en) | Method and system for digital rights management of documents | |
CN101819612B (zh) | 具有分区的通用内容控制 | |
US7890993B2 (en) | Secret file access authorization system with fingerprint limitation | |
CN100568251C (zh) | 协同工作环境下涉密文档的保护方法 | |
CN102456111B (zh) | 一种Linux操作系统许可控制的方法及系统 | |
EP2207123A2 (en) | Enforcing use of chipset key management services for encrypted storage devices | |
CN107563213B (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
JP4662138B2 (ja) | 情報漏洩防止方法及びシステム | |
CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
CN102084373A (zh) | 备份存储在安全存储设备中的数字内容 | |
CN101329658A (zh) | 加密、解密方法,及应用所述方法的plc系统 | |
CN103581196A (zh) | 分布式文件透明加密方法及透明解密方法 | |
CN104361291B (zh) | 数据处理方法和装置 | |
KR100750697B1 (ko) | 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법 | |
CN104333545A (zh) | 对云存储文件数据进行加密的方法 | |
CN101132275B (zh) | 一种实现数字内容使用权利的安全保护系统 | |
CN103838997A (zh) | 一种单片机密码验证方法及装置 | |
CN107273725B (zh) | 一种针对涉密信息的数据备份方法及系统 | |
KR100523843B1 (ko) | 디지털 저작권 관리 클라이언트에서의 접근권한 제어를위한 접근 제어 목록 기반의 제어 장치 | |
CN107483462B (zh) | 一种外发u盘的操作权限管理系统及方法 | |
KR20170053459A (ko) | 정보 보호를 위한 파일 암복호화 방법 | |
CN111737722B (zh) | 内网终端间数据安全摆渡方法及装置 | |
CN108334787B (zh) | 一种安全文档管理系统 | |
CN115314314A (zh) | 多租户平台的用户数据安全保护方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111005 Termination date: 20170813 |