CN107368749A - 文件处理方法、装置、设备及计算机存储介质 - Google Patents
文件处理方法、装置、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN107368749A CN107368749A CN201710343480.5A CN201710343480A CN107368749A CN 107368749 A CN107368749 A CN 107368749A CN 201710343480 A CN201710343480 A CN 201710343480A CN 107368749 A CN107368749 A CN 107368749A
- Authority
- CN
- China
- Prior art keywords
- file
- security packet
- file destination
- user
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种文件处理方法、装置、设备及计算机存储介质,该方法中,每个文件属于至少一种安全分组,预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组;所述方法包括:获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;确定所述目标文件所属安全分组;判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。本申请实施例能利用安全分组自动判断是否允许用户对文件进行某些处理操作,因此能显著减少人工干预,提高文件处理效率。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及文件处理方法、装置、设备及计算机存储介质。
背景技术
在企业内部,为了防止某些重要信息泄露,目前采用文件加密系统保证数据安全。相关技术中,用户通过文件加密系统对本机存储的文件进行操作,文件加密系统为每个文件进行加密,并限制用户的某些操作,以防止文件泄露。当用户需要进行将文件发送给企业内部用户或外部用户等处理操作时,用户需要通过文件加密系统向管理员发起申请,由管理员审批用户的申请理由或文件的机密情况等,进而判断是否允许该用户进行该操作。此种方式需要管理员人工干预,审批过程耗时较长,处理效率较低。
发明内容
为克服相关技术中存在的问题,本申请提供了文件处理方法、装置、设备及计算机存储介质。
一种文件处理方法,每个文件属于至少一种安全分组,预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组;
所述方法包括:
获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
确定所述目标文件所属安全分组;
判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
可选的,每个用户对应至少一个密钥,所述文件为加密文件,所述文件加密时采用与所述文件相关的用户所对应的密钥进行加密。
可选的,每个所述密钥配置有密钥标识,所述文件携带有该文件加密时所采用的密钥的密钥标识。
可选的,所述处理操作包括将目标文件发送给目的用户的处理操作;
所述方法还包括:
若确定允许所述目标用户进行将目标文件发送给目的用户的处理操作,接收所述目标用户提供的目标文件,所述目标文件采用所述目标用户的密钥进行加密;
将所述目标文件解密,采用所述目的用户对应的密钥进行加密后发送给所述目的用户。
可选的,每种安全分组配置有安全分组标识,所述文件携带有该文件所属安全分组的安全分组标识;
所述确定所述目标文件对应的安全分组,包括:
读取所述目标文件中携带的安全分组标识,通过所述安全分组标识确定所述目标文件对应的安全分组。
可选的,每种安全分组配置有安全分组标识;所述文件还携带有安全分组密文,所述安全分组密文利用该文件加密时所采用的密钥对所述安全分组标识进行加密而得到。
可选的,预先针对每个用户对文件的每种处理操作,配置允许管理员审批用户进行该种处理操作的文件所属安全分组;
所述方法还包括:
若根据判断结果确定不允许所述目标用户对所述目标文件进行所述处理操作,获取针对所述处理请求的相关信息,将所述相关信息发送管理员侧设备,以供匹配所述目标文件所属安全分组、并且匹配该种处理操作的文件所属安全分组的管理员对该处理请求进行审批。
一种文件处理装置,每个文件属于至少一种安全分组,预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组;
所述装置包括:
请求获取模块,用于:获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
安全分组确定模块,用于:确定所述目标文件所属安全分组;
判断模块,用于:判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
处理确定模块,用于:根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
可选的,每个用户对应至少一个密钥,所述文件为加密文件,所述文件加密时采用与所述文件相关的用户所对应的密钥进行加密。
可选的,每个所述密钥配置有密钥标识,所述文件携带有该文件加密时所采用的密钥的密钥标识。
可选的,所述处理操作包括将目标文件发送给目的用户的处理操作;
所述装置还包括加解密模块,用于:
若确定允许所述目标用户进行将目标文件发送给目的用户的处理操作,接收所述目标用户提供的目标文件,所述目标文件采用所述目标用户的密钥进行加密;将所述目标文件解密,采用所述目的用户对应的密钥进行加密后发送给所述目的用户。
可选的,每种安全分组配置有安全分组标识,所述文件携带有该文件所属安全分组的安全分组标识;
所述安全分组确定模块,还用于:
读取所述目标文件中携带的安全分组标识,通过所述安全分组标识确定所述目标文件对应的安全分组。
可选的,每种安全分组配置有安全分组标识;所述文件还携带有安全分组密文,所述安全分组密文利用该文件加密时所采用的密钥对所述安全分组标识进行加密而得到。
可选的,预先针对每个用户对文件的每种处理操作,配置允许管理员审批用户进行该种处理操作的文件所属安全分组;
所述方法还包括审批模块,用于:
若根据判断结果确定不允许所述目标用户对所述目标文件进行所述处理操作,获取针对所述处理请求的相关信息,将所述相关信息发送管理员侧设备,以供匹配所述目标文件所属安全分组、并且匹配该种处理操作的文件所属安全分组的管理员对该处理请求进行审批。
一种计算机设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
确定所述目标文件所属安全分组;
判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
一种计算机存储介质,所述存储介质中存储有程序指令,所述程序指令包括:
获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
确定所述目标文件所属安全分组;
判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
本申请的实施例提供的技术方案可以包括以下有益效果:
本申请中,预先设定了多种安全分组,每个文件属于至少一种安全分组,并预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组,因此安全分组可以对用户的处理操作进行区分,也可以对文件进行区分。当用户需要对某个文件进行某种处理操作时,服务器可以判断预先配置的允许该用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配,从而能自动确定是否允许所述目标用户对所述目标文件进行所述处理操作。本申请实施例能利用安全分组自动判断是否允许用户对文件进行某些处理操作,因此能显著减少人工干预,提高文件处理效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是相关技术中一种文件加密系统的示意图。
图2A是本申请根据一示例性实施例示出的一种文件处理方法的流程图。
图2B是本申请根据一示例性实施例示出的一种文件处理方法的应用场景图。
图2C是本申请实施例示出的一种文件交互流程示意图。
图2D是本申请根据一示例实施例示出的一种文件解密流程示意图。
图2E是本申请根据一示例实施例示出的一种文件调整安全分组的流程示意图。
图3是本申请文件处理装置所在计算机设备的一种硬件结构图。
图4是本申请根据一示例性实施例示出的一种文件处理装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
目前,有些企业或组织会部署文件加密系统,如图1所示,是相关技术中一种文件加密系统的示意图,图1中包括一文件交换平台,以及多个用户的电子设备。文件交换平台建立有用户信息,这些信息包括全部用户的私有密钥。在某些例子中,用户的电子设备可以安装有文件加密客户端,用户的文件加密存储于本地,由文件加密客户端维护,用户需要查阅文件时,由客户端进行解密。在其他例子中,用户的文件也可能加密存储于该文件交换平台,或存储于与该文件交换平台关联的云服务平台中。
当用户需要发送文件给其他用户时,通常是由用户向文件交换平台发起发送请求,文件交换平台将发送请求转发给管理员侧设备,由管理员审批用户的申请理由或文件的机密情况等,进而判断是否允许该用户发送文件。由于此种方式需要管理员人工干预,审批过程耗时较长,处理效率较低。
而本申请实施例中,预先设定了多种安全分组,每个文件属于至少一种安全分组,并预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组,因此安全分组可以对用户的处理操作进行区分,也可以对文件进行区分。当用户需要对某个文件进行某种处理操作时,服务器可以判断预先配置的允许该用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配,从而能自动确定是否允许所述目标用户对所述目标文件进行所述处理操作。本申请实施例能利用安全分组自动判断是否允许用户对文件进行某些处理操作,因此能显著减少人工干预,提高文件处理效率。接下来对本申请实施例进行详细说明。
如图2A所示,图2A是本申请根据一示例性实施例示出的一种文件处理方法的流程图,包括以下步骤201至204:
在步骤201中,获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作。
在步骤202中,确定所述目标文件所属安全分组。
在步骤203中,判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配。
在步骤204中,根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
如图2B所示,图2B是本申请根据一示例性实施例示出的一种文件处理方法的应用场景示意图,结合图2A和图2B进行说明。本申请实施例中的文件,可以包括图像、视频、音频或文档等等任意类型的文件。本实施例可以预先进行安全分组的配置。例如,考虑到企业中各职能部门可能对本部门的文件具有一定的保密要求,可以根据企业中各职能部门的划分情况,划分与每个职能部门对应的安全分组。或者,还可以按照文件本身的保密要求、各用户所属的职能部门、各用户所处岗位的划分等等多种因素,设定不同的安全分组。具体的设定过程,可以根据需要灵活配置,本实施例对此不作限定。在设定了安全分组后,还可以根据实际需要灵活配置文件所分属的安全分组。另一方面,用户对文件的处理操作可能包括有访问、修改、调整安全分组、发送给外部用户等等多种操作,可以理解,不同处理操作对文件处理所涉及的安全权限有可能相同,也有可能不同,因此还可以预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组。
如下表1所示,是本申请实施例示出的一种预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组的示意表格:
表1
上述表1可以理解为用户权限表,表1中涉及4种文件所属的安全分组(通用、X、Y及外包)、4个用户(A至D)、3种处理操作(访问操作、对文件调整其所属的安全组操作、自行解密操作),以及每个用户所允许进行该种处理操作的文件所属安全组。可以理解,上述表格中的4种安全分组、以及3种处理操作只是示例,实际应用中,可以根据需要设定多种所需的安全分组以及多种对文件的处理操作,本实施例对此不作限定。
上述各安全分组的相关信息可以如下表2所示:
表2
上述涉及安全分组的配置信息可以存储在文件交换平台,可以由文件交换平台进行维护。或者,也可以全部存储在各用户的电子设备中,或者,每个用户的电子设备也可以只存储该用户对应的配置信息,即用户的电子设备只存储允许该用户进行各种处理操作的文件所属安全分组。
在一个可选的实现方式中,为了对安全分组进行区分,每种安全分组还可配置有安全分组标识,所述文件携带有该文件所属安全分组的安全分组标识。
所述确定所述目标文件对应的安全分组,包括:
读取所述目标文件中携带的安全分组标识,通过所述安全分组标识确定所述目标文件对应的安全分组。
其中,安全分组标识用于唯一区分各个安全分组,该安全分组标识可以采用安全分组编号、安全分组名称等多种标识,在实际应用中可灵活配置。
为了防止文件泄露、提高文件的安全性,本实施例的文件可以为加密文件,实际应用中,文件在加密时,可以采用由统一的密钥,即全平台内都采用相同密钥,或者是采用由该文件所属安全组的统一密钥,即同一安全组的文件采用统一的密钥;而本实施例中,每个用户对应至少一个密钥,所述文件加密时采用与所述文件相关的用户所对应的密钥进行加密。
其中,每个用户可能对应一个密钥,也可能由于某些情况而对应多个密钥,例如,在某些例子中,用户由于原始密钥泄露而重新分配了密钥,或者是企业为了提高安全性而根据一定时间更新密钥等等。实际应用中,还可以为所有密钥进行编号,以将各个密钥进行区分。其中,对于一个拥有多个密钥的用户,可以采用编号区分不同密钥的分配时间,例如可以是编号值最大的密钥为最新的密钥。用户的各个密钥都可以存储,以在需要的时候采用相应的密钥解密,防止旧的文件被旧的密钥加密而无法解密。
对于文件加密时采用与所述文件相关的用户所对应的密钥进行加密,可以包括多种情况,例如文件由用户提供时,该文件的加密密钥由该提供的用户的密钥进行加密;当文件被另一具有权限的用户调整安全组,由该调整的用户的密钥对文件进行加密;当用户接收到其他用户发送的文件时,该文件存储于用户的电子设备时,由该接收到的用户的密钥对该文件进行加密等等。采用此种方式,由于文件可能经过存储、发送、调整安全组等多种处理操作,可以对文件在各个处理过程中相关的用户所对应的密钥进行加密,可以进一步提高安全性。
实际应用中,可能会出现文件泄露等情况,为了实现跟踪文件的泄漏途径,本实施例中,每个所述密钥还可配置有密钥标识,所述文件携带有该文件加密时所采用的密钥的密钥标识。
密钥标识用于唯一区分每个用户的密钥,为了保证密钥标识的唯一性,实际应用中,密钥标识可以采用前述的密钥编号,或者也可以采用哈希算法生成等等。作为一个例子,可以利用哈希算法对密钥编号进行运算,获得与密钥对应的密钥标识。在其他例子中,还可以是利用哈希算法对密钥进行运算,生成密钥标识。或者,还可以是利用哈希算法对密钥编号、密钥和随机数所构成的组合进行运算,生成密钥标识。通过上述方式,可以保证每个密钥所对应的密钥标识与每一个密钥是一一对应的,各密钥标识是唯一的,不会重复。
如下表3所示,是本实施例示出的用户密钥的示意:
表3
生成密钥标识的作用,可以使文件携带有该文件加密时所采用的密钥的密钥标识,假设该加密的文件由于某些原因泄露,通过分析泄露的文件所携带的密钥标识,即可确定密钥标识所对应的密钥,而由于密钥与用户对应,因此可以确定文件是由哪个用户泄露出去,从而可以跟踪文件的泄露途经。
为了防止文件所属的安全分组标识被恶意篡改,每种安全分组配置有安全分组标识;所述文件还可以携带有利用该文件加密时所采用的密钥对所述安全分组标识进行加密而得到的安全分组密文。
通过上述分析,本申请实施例中一种加密文件的结构可以如下所示:
| 密钥标识 | 安全分组标识 | 加密的文件内容 |
本实施例中,由于安全分组标识是采用用户的密钥进行加密,只有采用该密钥进行解密后,才可以获得安全分组标识,才可识别出该文件属于哪个安全分组,通过上述方式,可以保证文件所属的安全分组不会被恶意篡改,提高文件的安全性。
本申请实施例所提供的文件处理方案可以由电子设备执行,也可以由文件交换平台执行。基于前述预先配置的数据,当目标用户对目标文件具有处理需求,当用户需要对某个文件进行某种处理操作时,服务器可以判断预先配置的允许该用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配,从而能自动确定是否允许所述目标用户对所述目标文件进行所述处理操作。
例如,假设用户A的处理操作是针对文件file1进行调整安全组操作,文件file1所属安全组为通用安全组,以表1为例,根据预先配置的数据,允许用户A进行调整安全组操作的文件所属安全组包括通用和Y,因此可以确定允许用户A对文件file1进行调整安全组操作。
实际应用中,所述处理操作可以包括将目标文件发送给目的用户的处理操作;针对该发送操作,为了进一步保证文件在发送过程的安全,本实施例的方法还可包括:
若确定允许所述目标用户进行将目标文件发送给目的用户的处理操作,接收所述目标用户提供的目标文件,所述目标文件采用所述目标用户的密钥进行加密。
将所述目标文件解密后,采用所述目的用户对应的密钥进行加密发送给所述目的用户。
如图2C所示,是本申请实施例示出的一种文件交互流程示意图,目标用户(用户A)将文件file3发送给目的用户(用户B),若确定允许的情况下,在发送给目的用户时,由于目标文件采用的是目标用户的密钥进行加密,因此需要用目标用户的密钥进行解密,之后再采用目的用户的密钥进行加密,从而可以保证文件的安全性。
在一个可选的实现方式中,本实施例还可以提供记录功能,针对文件的每次处理操作都可以采用日志方式进行记录,因此可以在需要的时候通过读取日志,对文件的各个处理操作进行分析或审核。
实际应用中,可能会出现根据判断结果不允许目标用户对所述目标文件进行所述处理操作的情况,由于目标用户可能有某些特殊理由或情况需要对文件进行操作,针对此种情况,本实施例中,预先针对每个用户对文件的每种处理操作,配置允许管理员审批用户进行该种处理操作的文件所属安全分组。
所述方法还包括:
若根据判断结果确定不允许所述目标用户对所述目标文件进行所述处理操作,获取针对所述处理请求的相关信息,将所述相关信息发送管理员侧设备,以供匹配所述目标文件所属安全分组、并且匹配该种处理操作的文件所属安全分组的管理员对该处理请求进行审批。
本实施例中,还可以由管理员对用户的处理操作进行审批。与前述为用户对文件的每种处理操作的配置一样,本实施例也可以对管理员的审批操作进行配置。具体的,不同管理员的审批权限可能不同,可以预先针对每个用户对文件的每种处理操作,配置允许管理员审批用户进行该种处理操作的文件所属安全分组。
如下表4所示,是本实施例示出的管理员的配置信息的示意:
| 管理员 | 调整安全组 | 文件解密 |
| P1 | 通用,X,Y | 通用,X,Y |
| P2 | 通用,Z | 通用,Z |
| P3 | 外包,通用 | |
| P4 | 外包 |
表4
表4中涉及4个管理员(P1至P4)、2种处理操作(调整安全组操作、文件解密操作),以及每个管理员所允许的审批用户进行该种处理操作的文件所属安全组。举例来说,表格中表明,管理员P2有权限审批将文件安全组进行通用组和Z组的调整,也有权限审批通用组或Z组文件的解密。而P3和P4管理员无任何解密操作的审批权限。实际应用中,管理员的权限信息可以存储于文件交换平台或管理员侧设备,管理员侧设备也可以是只存储该管理员的权限信息。通过上述对管理员的权限信息的预先配置,在需要时,文件交互平台和管理员侧设备可以自动根据该权限信息判断该管理员的具体审批权限。
当根据判断结果确定不允许所述目标用户对所述目标文件进行所述处理操作时,可以向用户提供管理员审批功能,针对该处理请求的相关信息发送给管理员侧设备,具体的相关信息可以包括目标用户、目标文件、处理操作或申请理由等信息,从而由具有权限的管理员对该处理请求进行审批。
如图2D所示,是本申请根据一示例实施例示出的一种文件解密流程示意图,假设用户A发起了对文件file2(该文件所属安全组为Z)的解密请求,若确定用户A允许进行该解密操作,则设备可以自动对文件进行解密。若确定不允许用户A解密文件file2,用户A可以提交申请,该申请中携带有包括解密理由等信息。根据各个管理员的权限,该申请可以由管理员P2审批,该申请可以由文件交换平台发送给管理员P2的电子设备,由管理员P2进行审批。若管理员P2审批同意,则向用户的电子设备发送同意请求,电子设备自动进行解密。若管理员P2审批不同意,则向用户的电子设备发送解密失败结果。
如图2E所示,是本申请根据一示例实施例示出的一种文件调整安全分组的流程示意图,假设用户A发起了对文件file2(该文件所属安全组为Z)的调整安全分组的请求,若确定用户A允许进行该处理操作,则设备可以自动对文件调整安全分组。若确定不允许用户A调整文件file2的安全分组为通用组,用户A可以提交申请,该申请中携带有包括调整理由等信息。根据各个管理员的权限,该申请可以由管理员P2审批,该申请可以由文件交换平台发送给管理员P2的电子设备,由管理员P2进行审批。若管理员P2审批同意,则向用户的电子设备发送同意请求,电子设备自动进行解密。若管理员P2审批不同意,则向用户的电子设备发送不允许的反馈信息。
与前述文件处理方法的实施例相对应,本申请还提供了文件处理装置及其所应用的计算机设备的实施例。
本申请文件处理装置的实施例可以应用在计算机设备上,例如服务器或终端设备。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在文件处理的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请文件处理装置所在计算机设备的一种硬件结构图,除了图3所示的处理器310、内存330、网络接口320、以及非易失性存储器340之外,实施例中装置331所在的服务器或电子设备,通常根据该计算机设备的实际功能,还可以包括其他硬件,对此不再赘述。
如图4所示,图4是本申请根据一示例性实施例示出的一种文件处理装置的框图,每个文件属于至少一种安全分组,预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组;
所述装置包括:
请求获取模块41,用于:获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
安全分组确定模块42,用于:确定所述目标文件所属安全分组;
判断模块43,用于:判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
处理确定模块44,用于:根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
可选的,每个用户对应至少一个密钥,所述文件为加密文件,所述文件加密时采用与所述文件相关的用户所对应的密钥进行加密。
可选的,每个所述密钥配置有密钥标识,所述文件携带有该文件加密时所采用的密钥的密钥标识。
可选的,所述处理操作包括将目标文件发送给目的用户的处理操作;
所述装置还包括加解密模块,用于:
若确定允许所述目标用户进行将目标文件发送给目的用户的处理操作,接收所述目标用户提供的目标文件,所述目标文件采用所述目标用户的密钥进行加密;将所述目标文件解密后,采用所述目的用户对应的密钥进行加密发送给所述目的用户。
可选的,每种安全分组配置有安全分组标识,所述文件携带有该文件所属安全分组的安全分组标识;
所述安全分组确定模块,还用于:
读取所述目标文件中携带的安全分组标识,通过所述安全分组标识确定所述目标文件对应的安全分组。
可选的,每种安全分组配置有安全分组标识;所述文件还携带有利用该文件加密时所采用的密钥对所述安全分组标识进行加密而得到的安全分组密文。
可选的,预先针对每个用户对文件的每种处理操作,配置允许管理员审批用户进行该种处理操作的文件所属安全分组;
所述方法还包括审批模块,用于:
若根据判断结果确定不允许所述目标用户对所述目标文件进行所述处理操作,获取针对所述处理请求的相关信息,将所述相关信息发送管理员侧设备,以供匹配所述目标文件所属安全分组、并且匹配该种处理操作的文件所属安全分组的管理员对该处理请求进行审批。
一种计算机设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
确定所述目标文件所属安全分组;
判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
一种计算机存储介质,所述存储介质中存储有程序指令,所述程序指令包括:
获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
确定所述目标文件所属安全分组;
判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
本申请实施例可采用在一个或多个其中包含有程序代码的存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。计算机可用存储介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括但不限于:相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (16)
1.一种文件处理方法,每个文件属于至少一种安全分组,预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组;
所述方法包括:
获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
确定所述目标文件所属安全分组;
判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
2.根据权利要求1所述的方法,每个用户对应至少一个密钥,所述文件为加密文件,所述文件加密时采用与所述文件相关的用户所对应的密钥进行加密。
3.根据权利要求2所述的方法,每个所述密钥配置有密钥标识,所述文件携带有该文件加密时所采用的密钥的密钥标识。
4.根据权利要求2所述的方法,所述处理操作包括将目标文件发送给目的用户的处理操作;
所述方法还包括:
若确定允许所述目标用户进行将目标文件发送给目的用户的处理操作,接收所述目标用户提供的目标文件,所述目标文件采用所述目标用户的密钥进行加密;
将所述目标文件解密,采用所述目的用户对应的密钥进行加密后发送给所述目的用户。
5.根据权利要求1所述的方法,每种安全分组配置有安全分组标识,所述文件携带有该文件所属安全分组的安全分组标识;
所述确定所述目标文件对应的安全分组,包括:
读取所述目标文件中携带的安全分组标识,通过所述安全分组标识确定所述目标文件对应的安全分组。
6.根据权利要求1所述的方法,每种安全分组配置有安全分组标识;所述文件还携带有安全分组密文,所述安全分组密文利用该文件加密时所采用的密钥对所述安全分组标识进行加密而得到。
7.根据权利要求1所述的方法,预先针对每个用户对文件的每种处理操作,配置允许管理员审批用户进行该种处理操作的文件所属安全分组;
所述方法还包括:
若根据判断结果确定不允许所述目标用户对所述目标文件进行所述处理操作,获取针对所述处理请求的相关信息,将所述相关信息发送管理员侧设备,以供匹配所述目标文件所属安全分组、并且匹配该种处理操作的文件所属安全分组的管理员对该处理请求进行审批。
8.一种文件处理装置,每个文件属于至少一种安全分组,预先为每个用户对文件的每种处理操作,配置允许用户进行该种处理操作的文件所属安全分组;
所述装置包括:
请求获取模块,用于:获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
安全分组确定模块,用于:确定所述目标文件所属安全分组;
判断模块,用于:判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
处理确定模块,用于:根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
9.根据权利要求8所述的装置,每个用户对应至少一个密钥,所述文件为加密文件,所述文件加密时采用与所述文件相关的用户所对应的密钥进行加密。
10.根据权利要求9所述的装置,每个所述密钥配置有密钥标识,所述文件携带有该文件加密时所采用的密钥的密钥标识。
11.根据权利要求8所述的装置,所述处理操作包括将目标文件发送给目的用户的处理操作;
所述装置还包括加解密模块,用于:
若确定允许所述目标用户进行将目标文件发送给目的用户的处理操作,接收所述目标用户提供的目标文件,所述目标文件采用所述目标用户的密钥进行加密;将所述目标文件解密,采用所述目的用户对应的密钥进行加密后发送给所述目的用户。
12.根据权利要求8所述的装置,每种安全分组配置有安全分组标识,所述文件携带有该文件所属安全分组的安全分组标识;
所述安全分组确定模块,还用于:
读取所述目标文件中携带的安全分组标识,通过所述安全分组标识确定所述目标文件对应的安全分组。
13.根据权利要求8所述的装置,每种安全分组配置有安全分组标识;所述文件还携带有安全分组密文,所述安全分组密文利用该文件加密时所采用的密钥对所述安全分组标识进行加密而得到。
14.根据权利要求8所述的装置,预先针对每个用户对文件的每种处理操作,配置允许管理员审批用户进行该种处理操作的文件所属安全分组;
所述方法还包括审批模块,用于:
若根据判断结果确定不允许所述目标用户对所述目标文件进行所述处理操作,获取针对所述处理请求的相关信息,将所述相关信息发送管理员侧设备,以供匹配所述目标文件所属安全分组、并且匹配该种处理操作的文件所属安全分组的管理员对该处理请求进行审批。
15.一种计算机设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
确定所述目标文件所属安全分组;
判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
16.一种计算机存储介质,所述存储介质中存储有程序指令,所述程序指令包括:
获取目标用户对目标文件的处理请求,根据所述处理请求确定所述目标用户所请求的对所述目标文件的处理操作;
确定所述目标文件所属安全分组;
判断允许目标用户进行该处理操作的文件所属安全分组是否与所述目标文件所属安全分组匹配;
根据判断结果确定是否允许所述目标用户对所述目标文件进行所述处理操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710343480.5A CN107368749B (zh) | 2017-05-16 | 2017-05-16 | 文件处理方法、装置、设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710343480.5A CN107368749B (zh) | 2017-05-16 | 2017-05-16 | 文件处理方法、装置、设备及计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107368749A true CN107368749A (zh) | 2017-11-21 |
| CN107368749B CN107368749B (zh) | 2020-09-15 |
Family
ID=60304880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710343480.5A Active CN107368749B (zh) | 2017-05-16 | 2017-05-16 | 文件处理方法、装置、设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107368749B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109471849A (zh) * | 2018-10-12 | 2019-03-15 | 中国平安人寿保险股份有限公司 | 模型处理方法及装置、存储介质和电子设备 |
| CN110765482A (zh) * | 2019-09-19 | 2020-02-07 | 维沃移动通信有限公司 | 一种信息处理方法及终端设备 |
| CN111865567A (zh) * | 2019-04-29 | 2020-10-30 | 科大国盾量子技术股份有限公司 | 量子密钥的中继方法、装置、系统、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1473414A (zh) * | 2001-07-30 | 2004-02-04 | 密刻爱你公司 | 用于保护数字信息的方法及用于其的系统 |
| CN1567255A (zh) * | 2003-09-02 | 2005-01-19 | 四川大学 | 一种安全文件系统的存储及访问控制方法 |
| CN101938497A (zh) * | 2010-09-26 | 2011-01-05 | 深圳大学 | 多级保密文档组结构及其文件访问控制和密钥管理用户终端、服务终端、系统和方法 |
| CN103020257A (zh) * | 2012-12-21 | 2013-04-03 | 曙光信息产业(北京)有限公司 | 数据操作的实现方法和装置 |
| US20130191629A1 (en) * | 2012-01-19 | 2013-07-25 | Laconic Security, Llc | Secure group-based data storage in the cloud |
| US9031876B2 (en) * | 2009-06-19 | 2015-05-12 | Hewlett-Packard Development Company, L.P. | Managing keys for encrypted shared documents |
-
2017
- 2017-05-16 CN CN201710343480.5A patent/CN107368749B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1473414A (zh) * | 2001-07-30 | 2004-02-04 | 密刻爱你公司 | 用于保护数字信息的方法及用于其的系统 |
| CN1567255A (zh) * | 2003-09-02 | 2005-01-19 | 四川大学 | 一种安全文件系统的存储及访问控制方法 |
| US9031876B2 (en) * | 2009-06-19 | 2015-05-12 | Hewlett-Packard Development Company, L.P. | Managing keys for encrypted shared documents |
| CN101938497A (zh) * | 2010-09-26 | 2011-01-05 | 深圳大学 | 多级保密文档组结构及其文件访问控制和密钥管理用户终端、服务终端、系统和方法 |
| US20130191629A1 (en) * | 2012-01-19 | 2013-07-25 | Laconic Security, Llc | Secure group-based data storage in the cloud |
| CN103020257A (zh) * | 2012-12-21 | 2013-04-03 | 曙光信息产业(北京)有限公司 | 数据操作的实现方法和装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109471849A (zh) * | 2018-10-12 | 2019-03-15 | 中国平安人寿保险股份有限公司 | 模型处理方法及装置、存储介质和电子设备 |
| CN109471849B (zh) * | 2018-10-12 | 2024-04-12 | 中国平安人寿保险股份有限公司 | 模型处理方法及装置、存储介质和电子设备 |
| CN111865567A (zh) * | 2019-04-29 | 2020-10-30 | 科大国盾量子技术股份有限公司 | 量子密钥的中继方法、装置、系统、设备及存储介质 |
| CN111865567B (zh) * | 2019-04-29 | 2021-11-30 | 科大国盾量子技术股份有限公司 | 量子密钥的中继方法、装置、系统、设备及存储介质 |
| CN110765482A (zh) * | 2019-09-19 | 2020-02-07 | 维沃移动通信有限公司 | 一种信息处理方法及终端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107368749B (zh) | 2020-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10614244B1 (en) | Sensitive data aliasing | |
| US7526795B2 (en) | Data security for digital data storage | |
| KR101371608B1 (ko) | Dbms 및 데이터베이스에서 암호화 방법 | |
| US20120321078A1 (en) | Key rotation and selective re-encryption for data security | |
| US20080304669A1 (en) | Recipient-signed encryption certificates for a public key infrastructure | |
| US20140331338A1 (en) | Device and method for preventing confidential data leaks | |
| CN104995621A (zh) | 服务器装置、隐匿检索程序、记录介质以及隐匿检索系统 | |
| US11755499B2 (en) | Locally-stored remote block data integrity | |
| CN106022154A (zh) | 数据库加密方法和数据库服务器 | |
| CN106022155A (zh) | 用于数据库安全管理的方法及服务器 | |
| CN107798253A (zh) | 数据脱敏方法及装置 | |
| CN101840471A (zh) | 文档权限控制方法和装置 | |
| US7234060B1 (en) | Generation and use of digital signatures | |
| CN100547598C (zh) | 基于对称密钥加密保存和检索数据 | |
| CN107368749A (zh) | 文件处理方法、装置、设备及计算机存储介质 | |
| US20240022397A1 (en) | Data file encryption and transmission/reception system and data file encryption and transmission/reception method | |
| CN115694921B (zh) | 一种数据存储方法、设备及介质 | |
| US20220179973A1 (en) | Securing data in multitenant environment | |
| CN100525176C (zh) | 一种协同工作环境下信息泄漏防范系统及其实现方法 | |
| CN107145793A (zh) | 一种基于文件双缓存的文件权限管理的方法及装置 | |
| US20210111870A1 (en) | Authorizing and validating removable storage for use with critical infrastrcture computing systems | |
| TW201339884A (zh) | 透過伺服器驗證並授權解密以監控個資檔案之系統及方法 | |
| US10902141B2 (en) | Method, software program product, device, and system for managing data flow from a cloud storage device | |
| WO2022146377A1 (en) | A system for encrypting and tracking personal data | |
| CN115086020A (zh) | 一种云取证方法、系统及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1246894 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200921 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Patentee after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Patentee before: Advanced innovation technology Co.,Ltd. Effective date of registration: 20200921 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Patentee after: Advanced innovation technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Patentee before: Alibaba Group Holding Ltd. |
|
| TR01 | Transfer of patent right |