CN110445804A - 一种关于外发文件的安全使用保护系统 - Google Patents

Abstract

本发明公开了一种关于外发文件的安全使用保护系统，安全使用保护系统基于WEB技术，通过提供互联网在线服务模式进行保护。安全使用保护系统包括安全服务管理平台，阅读器客户端，外发文件制作工具，以及外发文件压缩包四大模块。本发明可以解决外发文件脱离用户安全环境之后，存在的人为调整外发文件的使用环境而导致的权限不可控问题，作为外发文件的所有权人，用户可以通过安全管理平台，实时的跟踪外发文件的使用客户的使用情况，并实时修改该文件的访问权限，因而使得外发文件更安全的地被使用，防止文件被非法使用。

Description

一种关于外发文件的安全使用保护系统

技术领域

本发明涉及计算机文档安全领域，更具体地说，属于一种关于外发文件的安全使用保护系统。

背景技术

当前的技术背景下，很多外发文件都是离线环境，即文件通常需要脱离安全环境，全部依赖外发文件自身进行文件的安全保护，这就带来了很多不可控的安全因素，因为外发文件的使用环境不可控，文件使用的系统环境是可调节的，例如：系统时间，通过时间要素对文件进行阅读时长的控制就成了无效条件，形同虚设。如果通过内部计时方式，同样可以通过文件的复制多份备份，来规避时间权限的限制。阅读次数，由于是离线环境，阅读次数的权限数据，不可避免的要写入文件中，那么用户可以很简单的复制多分文件即可突破阅读次数的限制，所以次数的现在也就变得毫无意义。

当前的外发文件使用模式，对于外发文件安全方案的厂商，提供给客户的安全产品服务环境通常处于局域网环境下，部署在企业内部，对于外发出去的文件将无法实现实时监控，文件的时间和次数控制变得不可控制。

另外，外发文件的访问控制权限和文件解密密钥，或者密码口令，存储于外发文件当中，带来了易遭到暴力破解，或通过调整文件使用环境而绕过等风险。

基于BS架构设计模式，对外发文件进行在线使用的操作权限控制，针对不同的用户将通过多租户模式，进行用户数据的安全隔离，针对外发文件内容进行文件打包和加密处理。通过统一的平台为各个具有文档外发需求的企业，提供安全的外发文件管理平台。

发明内容

针对现有技术存在的不足，本发明的目的在于提供了一种关于外发文件的安全使用保护系统，基于WEB技术，通过提供互联网在线服务模式，为外发文件的安全制作，使用和操作控制提供一个安全的使用环境。

为实现上述目的，本发明提供了如下技术方案：

一种关于外发文件的安全使用保护系统，其特征在于：安全使用保护系统基于WEB技术，通过提供互联网在线服务模式进行保护。

安全使用保护系统包括安全服务管理平台，阅读器客户端，外发文件制作工具，以及外发文件压缩包四大模块。

安全服务管理平台，提供界面操作交互模块，用户身份识别验证模块，权限内容管理和接口服务模块，用户行为日志上报接口和行为日志分析模块；安全服务管理平台搭建一个在线服务安全环境，主要负责外发文件制作工具的合法使用控制，外发文件的操作权限相关数据的存储，获取，外发文件使用者身份的识别控制和用户对外发文件操作行为的日志记录，监控，预警；安全管理平台提供了制作工具使用者身份的授权，认证接口服务，阅读器客户端授权使用者身份和设备识别的接口服务，以及文件操作权限信息和文件加密密钥的反馈服务，同时也提供了阅读客户端对文件操作行为的日志记录上报接口服务；

外发文件制作工具包括用户交互操作管理模块、文件加密封装模块、用户身份识别信息上报模块、控制权限内容上报模块；外发文件制作工具主要功能就是根据用户的不同安全需求，制作各种安全级别和权限的外发文件包；

阅读器客户端，将负责打开并控制文件的操作行为，对文件的操作行为进行监控，从安全管理平台获取外发文件的权限内容，文件加密密钥，并利用密码口令和设备唯一识别码进行用户身份合法性的认证和识别。

作为一种优化的技术方案，外发文件压缩包的存储结构，包括外发文件标识文件头、原始文件的加密压缩文件和文件尾；外发文件标识文件头包含文件扩展名标识，通常3-4个字符，紧接着是后面2个字节作为文件所有者标识内容的长度，再后面是16个字节的所有者标识内容。

作为一种优化的技术方案，外发文件的认证文件包含的三部分内容：用户认证信息，文件权限信息，外发文件加密密钥；文件权限信息和外发文件加密密钥在文件在线使用时将不保存，只在外发文件脱离互联网环境，无法连接安全管理平台时，文件权限信息和外发文件加密密钥两部分的内容将被使用密码口令加密后，再进行存储；在使用时，必须通过密码口令解密后，才可解析文件加密密钥和文件权限信息。此处需要说明权限信息将需要进行；使用日志文件，将记录该文件的读取，打印等使用行为信息，并对其操作行为进行记录；

认证逻辑

打开文件，先验证认证文件是否存在，如果不存在将需要进行联网向安全管理平台进行身份合法性认证，验证合法后产生该文件，将从平台获取文件解密密钥和使用权限信息等数据，写入认证文件；如果文件存在，将校验外发文件信息与认证文件的合法性，如果信息校验一致，则允许文件打开使用。如果不一致，将禁止使用该文件，或者根据控制选项进行删除销毁的操作；

权限验证

当外发文件通过了认证文件的校验之后，将读取该文件的权限使用记录和文件的权限信息，并对文件完成相应权限控制，同时记录本次文件的操作行为，将其写入文件操作行为日志中，当复制了多份文件时，所有文件将共享该操作行为日志记录的数据，以此为依据控制用户的多份文件备份使用的问题。

作为一种优化的技术方案，外发文件制作工具的工作流程是：

首先，外发文件制作工具的使用，需要进行使用者的身份识别认证，只有安全管理平台存在，并配置了相应的账户权限后，该用户才可以登录并使用该工具；

登录后，外发文件制作工具提供了用户操作交互界面，供用户使用配置文件的使用权限，是否支持离线使用；设置密码口令，使用外发文件的设备唯一识别码，然后选择相关的文件，提交工具进行文件打包处理；

提交打包后，打包模块将随机生产加密密钥，或者在允许离线使用时，采用密码口令摘要作为加密密钥，同时为该外发文件生成唯一识别ID，然后利用刚才产生的密钥，将文件唯一识别ID，设备唯一识别码，阅读器版本，作者ID，文件制作时间；进行加密处理存储到一个独立的文件中，然后将添加的文件利用之前产生的密钥进行加密，再与刚建立的存储文件识别信息的加密文件一起，利用ZIP压缩技术进行文件压缩；

最后，针对文件头和文件尾进行处理；文件头存储固定的外发文件所属者的识别标识信息，文件尾部，采用特殊标记符覆盖掉原压缩文件的中央目录末尾标识，从而使得一般的压缩软件无法直接获取外发文件的压缩结构；

文件打包完成之后，制作工具需要将外发文件的相关权限信息，密码口令信息以及文件的加密密钥信息上传到安全管理平台进行存储和管理。至此，外发文件的制作就完成了。

由于采用了上述技术方案，与现有技术相比，本发明可以解决外发文件脱离用户安全环境之后，存在的人为调整外发文件的使用环境而导致的权限不可控问题，例如：修改系统时间，伪造系统绑定信息；复制备份多个文件等，从而阻止了客户轻易突破外发文件的权限限制，进而导致的文件权限失效的问题。作为外发文件的所有权人，用户可以通过安全管理平台，实时的跟踪外发文件的使用客户的使用情况，并实时修改该文件的访问权限，因而使得外发文件更安全的地被使用，防止文件被非法使用。

参照附图和实施例对本发明做进一步说明。

附图说明

图1为本发明一种实施例中外发文件制作处理流程图；

图2为本发明一种实施例中外发文件阅读器的的认证流程图；

图3为本发明一种实施例中文件操作控制流程图；

图4为本发明一种实施例中的外发文件结构图；

图5为本发明一种实施例中的外发文件保护系统架构图。

具体实施方式

实施例

一种关于外发文件的安全使用保护系统，其特征在于：安全使用保护系统基于WEB技术，通过提供互联网在线服务模式进行保护。

安全使用保护系统包括安全服务管理平台，阅读器客户端，外发文件制作工具，以及外发文件压缩包四大模块。

安全服务管理平台，提供界面操作交互模块，用户身份识别验证模块，权限内容管理和接口服务模块，用户行为日志上报接口和行为日志分析模块；安全服务管理平台搭建一个在线服务安全环境，主要负责外发文件制作工具的合法使用控制，外发文件的操作权限相关数据的存储，获取，外发文件使用者身份的识别控制和用户对外发文件操作行为的日志记录，监控，预警；安全管理平台提供了制作工具使用者身份的授权，认证接口服务，阅读器客户端授权使用者身份和设备识别的接口服务，以及文件操作权限信息和文件加密密钥的反馈服务，同时也提供了阅读客户端对文件操作行为的日志记录上报接口服务；

外发文件制作工具包括用户交互操作管理模块、文件加密封装模块、用户身份识别信息上报模块、控制权限内容上报模块；外发文件制作工具主要功能就是根据用户的不同安全需求，制作各种安全级别和权限的外发文件包；

阅读器客户端，将负责打开并控制文件的操作行为，对文件的操作行为进行监控，从安全管理平台获取外发文件的权限内容，文件加密密钥，并利用密码口令和设备唯一识别码进行用户身份合法性的认证和识别。

作为一种优化的技术方案，外发文件压缩包的存储结构，包括外发文件标识文件头、原始文件的加密压缩文件和文件尾；外发文件标识文件头包含文件扩展名标识，通常3-4个字符，紧接着是后面2个字节作为文件所有者标识内容的长度，再后面是16个字节的所有者标识内容。

作为一种优化的技术方案，外发文件的认证文件包含的三部分内容：用户认证信息，文件权限信息，外发文件加密密钥；文件权限信息和外发文件加密密钥在文件在线使用时将不保存，只在外发文件脱离互联网环境，无法连接安全管理平台时，文件权限信息和外发文件加密密钥两部分的内容将被使用密码口令加密后，再进行存储；在使用时，必须通过密码口令解密后，才可解析文件加密密钥和文件权限信息。此处需要说明权限信息将需要进行；使用日志文件，将记录该文件的读取，打印等使用行为信息，并对其操作行为进行记录；

认证逻辑

打开文件，先验证认证文件是否存在，如果不存在将需要进行联网向安全管理平台进行身份合法性认证，验证合法后产生该文件，将从平台获取文件解密密钥和使用权限信息等数据，写入认证文件；如果文件存在，将校验外发文件信息与认证文件的合法性，如果信息校验一致，则允许文件打开使用。如果不一致，将禁止使用该文件，或者根据控制选项进行删除销毁的操作；

权限验证

当外发文件通过了认证文件的校验之后，将读取该文件的权限使用记录和文件的权限信息，并对文件完成相应权限控制，同时记录本次文件的操作行为，将其写入文件操作行为日志中，当复制了多份文件时，所有文件将共享该操作行为日志记录的数据，以此为依据控制用户的多份文件备份使用的问题。

作为一种优化的技术方案，外发文件制作工具的工作流程是：

首先，外发文件制作工具的使用，需要进行使用者的身份识别认证，只有安全管理平台存在，并配置了相应的账户权限后，该用户才可以登录并使用该工具；

登录后，外发文件制作工具提供了用户操作交互界面，供用户使用配置文件的使用权限，是否支持离线使用；设置密码口令，使用外发文件的设备唯一识别码，然后选择相关的文件，提交工具进行文件打包处理；

提交打包后，打包模块将随机生产加密密钥，或者在允许离线使用时，采用密码口令摘要作为加密密钥，同时为该外发文件生成唯一识别ID，然后利用刚才产生的密钥，将文件唯一识别ID，设备唯一识别码，阅读器版本，作者ID，文件制作时间；进行加密处理存储到一个独立的文件中，然后将添加的文件利用之前产生的密钥进行加密，再与刚建立的存储文件识别信息的加密文件一起，利用ZIP压缩技术进行文件压缩；

最后，针对文件头和文件尾进行处理；文件头存储固定的外发文件所属者的识别标识信息，文件尾部，采用特殊标记符覆盖掉原压缩文件的中央目录末尾标识，从而使得一般的压缩软件无法直接获取外发文件的压缩结构；

文件打包完成之后，制作工具需要将外发文件的相关权限信息，密码口令信息以及文件的加密密钥信息上传到安全管理平台进行存储和管理。至此，外发文件的制作就完成了。

在本发明中，在阅读器客户端与安全管理平台的通信过程中，采用web通信技术，基于HTTP协议完成信息传递和处理。关于web通信的安全的问题，以上的阅读器客户端、外发文件制作工具与安全管理平台进行通信时，将通过双向加密和摘要签名方式，保证通信数据安全。双向加密的特点在于，业务请求方利用安全管理平台提供的公共密钥加密对称加密密钥，并利用此对称加密密钥加密请求参数，再对请求参数做摘要签名，然后将以上加密数据组合，向管理平台发起请求。安全管理平台在收到请求后，利用平台私钥解密对称加密密钥，再利用该密钥在解密业务请求的相关参数，然后进行业务合法性验证及业务处理。

那么，本发明的技术防范的要点就是扩大外发文件的安全环境范围，即提供基于互联网服务的安全管理平台，这样保证外发文件在联网情况下，即可做到安全可控的使用。同时，文件的所有控制权限将存储于服务平台，外发文件中不存在任何权限信息，只有阅读客户端程序，通过了安全服务平台的合法认证识别，该客户端才能从服务器获取到加密后的权限文件信息。

通常情况下，目前没有安全服务厂商提供基于互联网环境的下的平台，作为外发文件的安全使用环境。作为安全管理平台，需要针对用户进行多租户模式管理，每个租户需要拥有自己独立的管理和使用范围，我们的互联网安全管理平台，将外发文件的安全环境进行了扩大，只要用户可以连入互联网，所有的用户都可以基于自身的文件安全需要进行独立的定制化管理。

由于安全环境的范围扩大，基于多租户模式的管理，我们的外发文件权限数据，将存储到安全管理平台，外发文件本身将不再存储权限数据信息，这样就会使得所有外发文件只能在安全环境内使用，脱离安全环境文件将无法使用，即使用户对本地系统时间调整，对文件进行多份备份都是无效的。

用户身份认证，基于互联网安全管理平台，外发文件的使用者需要经过平台的身份认证，才可以正常使用外发文件。

文件加密密钥存储于服务器，客户端在使用时，通过身份认证之后，动态下发，然后解密后使用，保证文件在非安全环境下无法被暴力破解。终端外发文件制作工具在文件的制作过程中，将会产生对当前制作的外发文件的加密密钥，该密钥将不会存储于文件中，它将伴随着权限信息上报到服务器，由安全服务管理平台进行统一的管理。

在线使用(处于安全环境下，可与安全管理平台连通)，文件阅读器客户端将从安全管理平台实时获取文件的权限信息，使用记录信息和文件加密密钥，然后对文件的使用进行相应的控制处理，此时服务器也将记录文件的操作行为，并调整权限使用的控制信息，实现对文件的权限控制目标。

依据本发明的使用场景设计，外发文件的使用环境将依赖于互联网服务，需要与安全管理平台进行实时的连通运行，进而实现对外发文件的实时安全控制，外发文件的拥有者可以实时修改文件权限，或者收回文件的使用权限等，使得文件随时可控。

基于外发文件安全的考虑，本发明将外发文件采用了一文一密的方式进行加密处理，加密密钥将通过制作工具，在外发文件的制作的过程中随机产生。同时，加密密钥以及文件的权限控制信息，都要上报安全管理平台进行统一的存储管理，外发文件本身不会存储以上信息。外发文件使用时，需要客户端阅读器客户端，连接安全管理平台服务器接口，由安全管理平台进行密码口令及机器码的认证识别，机器码和密码口令验证通过后，安全管理平台将下发文件的文件操作权限信息及相关的摘要信息以及签名算法，阅读器版本信息等。

文件权限信息，采用摘要签名算法方式处理，阅读器在文件的使用过程中，将对文件操作权限信息内容进行摘要签名验证，只有当验证通过之后才可以执行文档的后续操作请求。

表1：用户行为日志数据结构

表2：文件标识

表3：外发文件权限控制数据结构

针对特殊情况下，需要脱离在线安全环境使用的业务场景或者应用场景，根据安全要求，设备在安装时必须联网验证，并获取相关的安全控制信息，同时记录外发文件的使用环境的设备信息，后续的工作可以进行脱离在线安全环境，进入离线安全环境使用。而在首次使用时进行联网验证和使用记录，以便于安全管理平台对该文件实施安全控制，对于用户使用情况进行隐藏记录，一旦文件被使用过客户端和管理平台都会分别产生使用日志，而客户端将产生认证信息数据和使用数据，如果用户对于脱离网络安全环境的外发文件产生破坏行为，将使用数据记录或验证数据删除或者破坏，客户端阅读器将通过两步验证完成用户行为合法性的校验：首先验证文件是否被使用过，即验证文件是否被合法用户使用，如果校验文件不存在，将需要进行首次使用的联网验证，而如果发现服务器已进行联网验证而验证文件不存在，则认为该文件的操作行为已经存在风险，从而禁止该文件的使用；如果验证文件存在，校验信息一致，将认为文件使用合法，然后从文件使用记录信息读取当前文件的使用情况，对文件进行权限数据的读写控制，完成对权限文件的使用控制，对于文件复制备份等破解方式无效。否则都认为该文件使用行为非法，该文件将不可再被使用。

通过本发明制作的外发文件，在使用过程中，整体加密存储结构保持不变，其内部的文件被打开时，其内容直接从加密压缩包中读取，然后解密并释放到内存中，而不进行落地存储。当文件较大时(此处的文件大小阈值，可自由调整，100M作为参考，视文件具体运行硬件环境确定)，可进行加密释放存储，保证文件不被泄密。

本发明的实施步骤是：

步骤1，根据本发明的组成要求，首先要搭建一个采用BS架构设计的基于web技术实现的安全服务管理平台，该平台采用https协议进行系统的操作管理。

首先安全管理平台需要一个安全运行环境，包括软件及硬件的，通常需要一个Linux或者Windows系统环境，我们选用开源的Linux系统，使用目前主流的sentos作为系统环境，如果采用java开发web服务，则需要安装JDK虚拟机允许环境，通常包含服务处理程序，其依赖允许所需要的环境(JAVA语言需要使用web允许容器服务，例如Tomcat，weblogic，springboot等等)，安装数据库(例如MySQL)，数据库作为所有用户数据，文件相关权限，操作行为等数据的存储载体。启动数据库，安全管理平台等服务。

步骤2，以安全管理平台内置单独管理员账户登录系统，建立外发文件制作的用户，以账户和密码口令方式进行管理，同时基于角色权限管理的要求，给此用户分配制作工具的使用权限。

步骤3，安装外发文件制作工具，当前外发文件制作工具仅限于Windows平台使用。外发工具本身需要安全管理平台进行授权管理，工具在未经授权情况下是无法工作的。所以，制作工具的使用者，需要根据管理人员提供的账户和口令，登录安全管理平台进行身份的合法识别，当认证通过后，才可以正常使用制作工具。

步骤5，选择制作工具按钮，启动制作工具，打开文件添加界面和文件控制权限表单，配置相关的控制权限(阅读，打印次数，到期时间等等)，同时找到并添加需要外发的相关文件，然后确认提交。被选择的文件，将被打包制作成一个外发文件。此时外发文件的阅读器客户端将被同时打包，与外发文件一起形成一个压缩包文件。

步骤6，通过网络传输，或者其他物理媒介，客户获取到外发文件之后，双击解压打开。首先安装阅读器客户端，然后在双击打开外发文件。

通过以上步骤实施，即可实现了对外发文件的安全防护使用。

本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (4)

1.一种关于外发文件的安全使用保护系统，其特征在于：安全使用保护系统基于WEB技术，通过提供互联网在线服务模式进行保护；

安全使用保护系统包括安全服务管理平台，阅读器客户端，外发文件制作工具，以及外发文件压缩包四大模块；

安全服务管理平台，提供界面操作交互模块，用户身份识别验证模块，权限内容管理和接口服务模块，用户行为日志上报接口和行为日志分析模块；安全服务管理平台搭建一个在线服务安全环境，主要负责外发文件制作工具的合法使用控制，外发文件的操作权限相关数据的存储，获取，外发文件使用者身份的识别控制和用户对外发文件操作行为的日志记录，监控，预警；安全管理平台提供了制作工具使用者身份的授权，认证接口服务，阅读器客户端授权使用者身份和设备识别的接口服务，以及文件操作权限信息和文件加密密钥的反馈服务，同时也提供了阅读客户端对文件操作行为的日志记录上报接口服务；

外发文件制作工具包括用户交互操作管理模块、文件加密封装模块、用户身份识别信息上报模块、控制权限内容上报模块；外发文件制作工具主要功能就是根据用户的不同安全需求，制作各种安全级别和权限的外发文件包；

阅读器客户端，将负责打开并控制文件的操作行为，对文件的操作行为进行监控，从安全管理平台获取外发文件的权限内容，文件加密密钥，并利用密码口令和设备唯一识别码进行用户身份合法性的认证和识别。

2.根据权利要求1所述的一种关于外发文件的安全使用保护系统，其特征在于：外发文件压缩包的存储结构，包括外发文件标识文件头、原始文件的加密压缩文件和文件尾；

外发文件标识文件头包含文件扩展名标识，通常3-4个字符，紧接着是后面2个字节作为文件所有者标识内容的长度，再后面是16个字节的所有者标识内容。

3.根据权利要求2所述的一种关于外发文件的安全使用保护系统，其特征在于：外发文件的认证文件包含的三部分内容：用户认证信息，文件权限信息，外发文件加密密钥；文件权限信息和外发文件加密密钥在文件在线使用时将不保存，只在外发文件脱离互联网环境，无法连接安全管理平台时，文件权限信息和外发文件加密密钥两部分的内容将被使用密码口令加密后，再进行存储；在使用时，必须通过密码口令解密后，才可解析文件加密密钥和文件权限信息。此处需要说明权限信息将需要进行；使用日志文件，将记录该文件的读取，打印等使用行为信息，并对其操作行为进行记录；

认证逻辑

打开文件，先验证认证文件是否存在，如果不存在将需要进行联网向安全管理平台进行身份合法性认证，验证合法后产生该文件，将从平台获取文件解密密钥和使用权限信息等数据，写入认证文件；如果文件存在，将校验外发文件信息与认证文件的合法性，如果信息校验一致，则允许文件打开使用。如果不一致，将禁止使用该文件，或者根据控制选项进行删除销毁的操作；

权限验证

当外发文件通过了认证文件的校验之后，将读取该文件的权限使用记录和文件的权限信息，并对文件完成相应权限控制，同时记录本次文件的操作行为，将其写入文件操作行为日志中，当复制了多份文件时，所有文件将共享该操作行为日志记录的数据，以此为依据控制用户的多份文件备份使用的问题。

4.根据权利要求3所述的一种关于外发文件的安全使用保护系统，其特征在于：外发文件制作工具的工作流程是：

首先，外发文件制作工具的使用，需要进行使用者的身份识别认证，只有安全管理平台存在，并配置了相应的账户权限后，该用户才可以登录并使用该工具；

登录后，外发文件制作工具提供了用户操作交互界面，供用户使用配置文件的使用权限，是否支持离线使用；设置密码口令，使用外发文件的设备唯一识别码，然后选择相关的文件，提交工具进行文件打包处理；

提交打包后，打包模块将随机生产加密密钥，或者在允许离线使用时，采用密码口令摘要作为加密密钥，同时为该外发文件生成唯一识别ID，然后利用刚才产生的密钥，将文件唯一识别ID，设备唯一识别码，阅读器版本，作者ID，文件制作时间；进行加密处理存储到一个独立的文件中，然后将添加的文件利用之前产生的密钥进行加密，再与刚建立的存储文件识别信息的加密文件一起，利用ZIP压缩技术进行文件压缩；

最后，针对文件头和文件尾进行处理；文件头存储固定的外发文件所属者的识别标识信息，文件尾部，采用特殊标记符覆盖掉原压缩文件的中央目录末尾标识，从而使得一般的压缩软件无法直接获取外发文件的压缩结构；

文件打包完成之后，制作工具需要将外发文件的相关权限信息，密码口令信息以及文件的加密密钥信息上传到安全管理平台进行存储和管理。至此，外发文件的制作就完成了。