CN116150796B - 用于数据防泄露系统的数据防护方法和装置 - Google Patents
用于数据防泄露系统的数据防护方法和装置 Download PDFInfo
- Publication number
- CN116150796B CN116150796B CN202310409695.8A CN202310409695A CN116150796B CN 116150796 B CN116150796 B CN 116150796B CN 202310409695 A CN202310409695 A CN 202310409695A CN 116150796 B CN116150796 B CN 116150796B
- Authority
- CN
- China
- Prior art keywords
- file
- data
- decryption
- sent
- active
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002265 prevention Effects 0.000 title claims abstract description 101
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000005540 biological transmission Effects 0.000 claims abstract description 81
- 238000012544 monitoring process Methods 0.000 claims abstract description 9
- 230000001960 triggered effect Effects 0.000 claims description 19
- 230000006399 behavior Effects 0.000 description 10
- 238000004590 computer program Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种用于数据防泄露系统的数据防护方法和装置,属于信息安全技术领域,所述方法包括:获取数据发送者上传的待发送文件,并判断所述待发送文件是否为加密文件;若所述待发送文件为加密文件,则生成临时密钥,基于所述临时密钥对所述待发送文件进行加密,得到主动加密文件,并将所述主动加密文件发送至数据接收端的数据防泄露系统。本发明的数据防泄露系统的数据防护方法,可以保证只将加密文件反馈至有阅读权限的数据接收者,提高了在传输过程无法实现安全性监控的加密文件的安全性,降低了数据被泄露的风险。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种用于数据防泄露系统的数据防护方法和装置。
背景技术
任何一个组织,企事业单位,甚至个人都会有一些电子敏感信息,是不能泄露出去的,一旦这些信息被竞争对手获取、公开以及曝光,都会造成无法挽回的损失。因此,为了保护这些电子敏感信息不被泄露,市场上诞生了数据防泄露系统。大部分数据防泄露系统产品都会定义一些策略,当传输的数据命中这些策略时,就会进行阻断,从而防止敏感数据的泄露。
目前对于数据防护的手段都脱离不了以下的思想,即将数据、数据属性以及数据行为同固有的一套规则进行匹配,如果命中就说明有异常或者泄露行为的发生,进而采取某些保护手段。但是,现实场景中,往往无法能顺利地提取到正在被泄露的数据,比如,用户通过FTP发送一个文件时,对文件内容进行了加密,现有的防泄露方案无法通过将文件的密文数据与规则匹配来发现泄露行为的发生,从而可以很轻易的绕过防护系统,导致数据存在泄露风险。
发明内容
本发明提供一种用于数据防泄露系统的数据防护方法和装置,用以解决现有技术中加密文件传输中存在数据泄露风险的缺陷,实现提高了在传输过程无法实现安全性监控的加密文件的安全性。
本发明提供一种用于数据防泄露系统的数据防护方法,所述方法应用于数据发送端的数据防泄露系统,所述方法包括:
获取数据发送者上传的待发送文件,并判断所述待发送文件是否为加密文件;
若所述待发送文件为加密文件,则生成临时密钥,基于所述临时密钥对所述待发送文件进行加密,得到主动加密文件,并将所述主动加密文件发送至数据接收端的数据防泄露系统,以使得所述数据接收端的数据防泄露系统在监听到数据接收者触发的针对所述主动加密文件的解密指令时,获取所述解密指令中包含的解密密钥和解密算法,基于所述解密密钥、所述解密算法以及所述临时密钥对所述主动加密文件进行解密得到解密内容,对所述解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果。
根据本发明提供的一种用于数据防泄露系统的数据防护方法,所述基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果,具体包括:
若阅读权限判别的结果指示所述主动加密文件对应的原文件内容不是敏感信息,或所述数据接收者具备阅读所述主动加密文件对应原文件中的敏感信息的权限,则基于所述临时密钥对所述主动加密文件进行解密得到第一解密文件后,将所述第一解密文件发送至所述解密指令对应的解密程序进行解密得到第二解密文件;其中,所述第二解密文件为向所述数据接收者返回的所述解密指令的解密结果;
若所述数据接收者不具备阅读所述主动加密文件对应原文件中的敏感信息的权限,则直接将所述主动加密文件发送至所述解密指令对应的解密程序进行解密。
根据本发明提供的一种用于数据防泄露系统的数据防护方法,所述判断所述待发送文件是否为加密文件,具体包括:
获取并解析所述待发送文件的原始流量数据包,确定所述待发送文件的传输协议;
基于所述待发送文件的传输协议的类型和加密规则库,确定所述传输协议是否为加密协议;
将所述传输协议与所述加密规则库中所对应的传输协议进行协议版本信息的对比,得到对比结果;
基于所述对比结果,判断所述待发送文件是否为加密文件。
根据本发明提供的一种用于数据防泄露系统的数据防护方法,所述生成临时密钥,基于所述临时密钥对所述待发送文件进行加密,得到主动加密文件,具体包括:
获取所述待发送文件的文件流,并基于所述临时密钥与所述文件流中的数据进行按位异或操作,得到主动加密文件;其中,所述临时密钥的长度与所述待发送文件的文件流的长度相同。
根据本发明提供的一种用于数据防泄露系统的数据防护方法,所述将所述主动加密文件发送至数据接收端的数据防泄露系统之后,所述方法还包括:
将所述数据发送者的用户名、所述主动加密文件的文件发送时间、待发送文件的文件名、所述数据接收者的用户名以及所述临时密钥上传至数据库。
本发明还提供一种用于数据防泄露系统的数据防护方法,所述方法应用于数据接收端的数据防泄露系统,所述方法包括:
接收数据发送端的数据防泄露系统发送的主动加密文件,并获取所述主动加密文件对应的临时密钥;其中,所述主动加密文件是所述数据发送端的数据防泄露系统在判断数据发送者上传的待发送文件为加密文件后,生成临时密钥,并基于所述临时密钥对所述待发送文件进行加密得到的;
当监听到数据接收者触发的针对所述主动加密文件的解密指令时,获取所述解密指令中包含的解密密钥和解密算法,并基于所述解密密钥、所述解密算法以及所述临时密钥对所述主动加密文件进行解密得到解密内容;
对所述解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果。
根据本发明提供的一种用于数据防泄露系统的数据防护方法,所述基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果,具体包括:
若阅读权限判别的结果指示所述主动加密文件对应的原文件内容不是敏感信息,或所述数据接收者具备阅读所述主动加密文件对应原文件中的敏感信息的权限,则基于所述临时密钥对所述主动加密文件进行解密得到第一解密文件后,将所述第一解密文件发送至所述解密指令对应的解密程序进行解密得到第二解密文件;其中,所述第二解密文件为向所述数据接收者返回的所述解密指令的解密结果;
若所述数据接收者不具备阅读所述主动加密文件对应原文件中的敏感信息的权限,则直接将所述主动加密文件发送至所述解密指令对应的解密程序进行解密。
根据本发明提供的一种用于数据防泄露系统的数据防护方法,所述获取所述主动加密文件对应的临时密钥,具体包括:
基于所述数据发送者的用户名、所述主动加密文件的文件发送时间、所述主动加密文件的文件名以及所述数据接收者的用户名,从数据库中获取所述主动加密文件对应的临时密钥。
本发明还提供一种用于数据防泄露系统的数据防护装置,包括:
文件获取单元,用于获取数据发送者上传的待发送文件,并判断所述待发送文件是否为加密文件;
文件发送单元,用于若所述待发送文件为加密文件,则生成临时密钥,基于所述临时密钥对所述待发送文件进行加密,得到主动加密文件,并将所述主动加密文件发送至数据接收端的数据防泄露系统,以使得所述数据接收端的数据防泄露系统在监听到数据接收者触发的针对所述主动加密文件的解密指令时,获取所述解密指令中包含的解密密钥和解密算法,基于所述解密密钥、所述解密算法以及所述临时密钥对所述主动加密文件进行解密得到解密内容,对所述解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果。
本发明还提供一种用于数据防泄露系统的数据防护装置,包括:
文件接收单元,用于接收数据发送端的数据防泄露系统发送的主动加密文件,并获取所述主动加密文件对应的临时密钥;其中,所述主动加密文件是所述数据发送端的数据防泄露系统在判断数据发送者上传的待发送文件为加密文件后,生成临时密钥,并基于所述临时密钥对所述待发送文件进行加密得到的;
文件解密单元,用于当监听到数据接收者触发的针对所述主动加密文件的解密指令时,获取所述解密指令中包含的解密密钥和解密算法,并基于所述解密密钥、所述解密算法以及所述临时密钥对所述主动加密文件进行解密得到解密内容;
文件返回单元,用于对所述解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述用于数据防泄露系统的数据防护方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述用于数据防泄露系统的数据防护方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述用于数据防泄露系统的数据防护方法。
本发明提供的用于数据防泄露系统的数据防护方法和装置,通过对数据发送者上传的待发送文件进行是否为加密文件的判断,并将加密文件进一步加密,并通过加密文件的数据接收端的数据防泄露系统来对数据接收者进行阅读权限判别,从而保证只将加密文件反馈至有阅读权限的数据接收者,提高了在传输过程无法实现安全性监控的加密文件的安全性,降低了数据被泄露的风险。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的数据防泄露系统的数据防护方法的流程示意图之一;
图2是本发明提供的数据防泄露系统的数据防护方法的流程示意图之二;
图3是本发明提供的数据防泄露系统的数据防护装置的结构示意图之一;
图4是本发明提供的数据防泄露系统的数据防护装置的结构示意图之二;
图5是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提出的数据防泄露系统的数据防护方法可以用于企业、机构或者组织内部各不同业务端之间数据传输场景,或者企业机构或者组织与外部业务端之间的数据传输场景。在此种情况下,大量的数据传输需求中包括对敏感数据进行安全传输的需求,敏感数据需要保证安全性。
现有技术中,可以采取不同的防泄漏策略来进行数据安全防护。例如,可以检测用户对目标软件的操作,根据预设的软件管控规则,对操作行为进行管控,审计操作行为是否包括敏感操作信息,进而识别安全风险,并对目标软件进行数据防泄漏管控。在一些场景下,可以进一步使用机器学习的方法,对传统涉密文档检测使用关键词命中的方法来实现更广范围的、更多检测方法的涉密文档检测。
现有技术中,对于数据防护的手段都脱离不了将数据、数据属性以及数据行为同固有的一套规则进行匹配,如果命中就说明有异常或泄露行为的发生,进而采取某些保护手段。但是,现实场景中,我们往往无法能顺利地提取到正在被泄露的数据,比如,用户通过FTP协议发送一个文件时,对文件内容进行了加密,所获取的加密数据无法与现有的防泄露方案中的规则来匹配,进而发现泄露行为的发生。
由于加密机制由各业务方自行控制实现,加密的数据内容无法直接使用,对此,本发明提供一种用于数据防泄露系统的数据防护方法和装置,用于对无法识别的加密数据进行进一步加密,以保护数据的安全。
图1是本发明提供的用于数据防泄露系统的数据防护方法的流程示意图,如图1所示,本发明实施例的数据防泄露系统的数据防护方法应用于数据发送端的数据防泄露系统,本发明实施例的数据防泄露系统的数据防护方法主要包括步骤110以及步骤120。
步骤110,获取数据发送者上传的待发送文件,并判断待发送文件是否为加密文件。
数据防泄漏(Data leakage prevention, DLP)系统是通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。
数据发送端的数据防泄露系统可以通过身份认证和加密控制以及使用日志的统计对内部文件进行控制。
在本实施方式中,数据发送者为使用数据发送端上传并发送待发送文件的人员,可以通过识别数据发送端中的用户账户信息来确定数据发送者,并确定该数据发送者上传的待发送文件。
在此基础上,可以对待发送文件是否加密来进行判断,若待发送文件未被加密,则可以利用相关规则来对待发送文件进行检查,识别是否存在异常或者敏感的信息,进而实现数据安全防护。
在一些实施例中,判断待发送文件是否为加密文件,具体包括步骤111、步骤112、步骤113和步骤114。
步骤111,获取并解析待发送文件的原始流量数据包,确定待发送文件的传输协议。
步骤112,基于待发送文件的传输协议的类型和加密规则库,确定传输协议是否为加密协议。
步骤113,将传输协议与加密规则库中所对应的传输协议进行协议版本信息的对比,得到对比结果;
步骤114,基于对比结果,判断待发送文件是否为加密文件。
需啊说明的是,可以通过对待发送文件流转时的关键网络链路上交换机流量进行旁路镜像,对镜像报文做深度解析获取原始流量数据包。例如,通可以过分布式部署流量探针对多个关键网络交换机节点的数据共享流量进行镜像采集,并解析待发送文件的原始流量数据包,确定数据的传输协议。
传输协议可以包括非加密协议和加密协议,例如,非加密协议可以包括FTP、MYSQL、ORACLE以及HTTP等协议,加密协议可以包括HTTPS、SSH以及SFTP等协议。
具体地,可以对原始流量数据包进行解析,获取原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式,并将原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式,与各种传输协议的字符集合和端口应用层协议格式进行匹配,以确定传输协议。
在此基础上,基于待发送文件的传输协议的类型和加密规则库,确定传输协议是否为加密协议。可以采用加密规则库中预设的加密传输协议对待发送文件的传输协议的类型对应的认证阶段数据包中的字符集合和端口应用层协议格式进行匹配,以确定该传输协议是否为加密传输协议。
若待发送文件采用加密协议传输,即判断出待发送文件被加密,还可以在对待发送文件的原始流量数据包进行镜像采集和解析时,在数据流中提取协议版本信息,协议版本信息包括加密协议特征、加密数据字符分布、加密数据长度特征等信息,对加密协议、加密算法等加密要素进行识别。
例如,可以对主流加密协议如HTTPS、SSH、SFTP以及主流加密算法,包括对称加密算法、非对称加密算法、哈希算法、流式加密算法进行识别,能够对具体的加密算法,如DES、AES、RSA、SHA-1等算法进行识别,并能进一步对加密算法采用的秘钥长度进行识别,从而可以实现对协议版本信息的获取。
换言之,可以将传输协议与加密规则库中所对应的传输协议进行协议版本信息的对比,得到对比结果。
若对比发现对比结果为待发送文件的传输协议中协议版本信息不符合要求,则说明该待发送文件可能为无效加密文件,无需对该发送文件进行监控。
若对比发现对比结果为待发送文件的传输协议中协议版本信息符合要求,则说明该待发送文件被成功且合规地加密,该待发送文件为有效的加密文件。在此种情况下,可以判断该待发送文件确定为加密文件。
在本实施方式中,通过将待发送文件所对应类型的传输协议与预设加密规则库中的传输协议进行对比分析,可以有效识别发送文件的加密情况,进而能够及时掌握待发送文件在对内外部共享时存在的加密安全隐患,及时发现风险点,防止敏感数据被违规泄露,保证数据的保密性和完整性。同时采用旁路镜像部署方式来采集和分析数据,无需对业务做任何改造,且实施容易,能够迅速在数据防泄漏系统中进行部署使用,以便于迅速建立加密合规性检测技术手段。
步骤120,若待发送文件为加密文件,则生成临时密钥,基于临时密钥对待发送文件进行加密,得到主动加密文件,并将主动加密文件发送至数据接收端的数据防泄露系统,以使得数据接收端的数据防泄露系统在监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容,对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果。
由于现有的数据防泄漏检测方式无法对加密文件进行风险识别,在本实施方式中,直接对加密文件再进行加密,以防止数据在泄露后被获取。
换言之,若待发送文件为加密文件,则生成临时密钥,基于临时密钥对待发送文件进行加密,得到主动加密文件,并将主动加密文件发送至数据接收端的数据防泄露系统,
临时密钥可以采用各种加密算法来进行确定,此处对加密算法的类型不作限制。
在一些实施例中,生成临时密钥,基于临时密钥对待发送文件进行加密,得到主动加密文件,具体包括:获取待发送文件的文件流,并基于临时密钥与文件流中的数据进行按位异或操作,得到主动加密文件;其中,临时密钥的长度与待发送文件的文件流的长度相同。
在本实施方式中,将临时密钥的长度与待发送文件的文件流的长度设置为相同,保证了原文与密文的长度相同,实现了临时密钥对待发送文件的加密。
可以理解的是,待发送文件被双重加密发送至了数据接收端的数据接收者。在此种情况下,
数据接收端的数据防泄露系统在监听到数据接收者触发的针对主动加密文件的解密指令时,解密指令可以包括解密密钥和解密算法,进而获取解密指令中包含的解密密钥和解密算法。
在此基础上,数据接收端的数据防泄露系统可以在不同情况下基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容,对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果。
在一些实施例中,数据接收端的数据防泄露系统可以对数据接收者进行权限识别,若数据接收者存在相应权限,则可以将解密密钥、解密算法以及临时密钥对主动加密文件进行双重解密得到解密内容反馈至数据接收者。
若数据接收者不存在相应权限,则可以识别出该次传输行为为异常或者存在安全风险的传输行为,只能将文件进行解密,但是不能将解密后的文件反馈至数据接收者,进而保证了文件的安全。
根据本发明实施例提供的用于数据防泄露系统的数据防护方法,通过对数据发送者上传的待发送文件进行是否为加密文件的判断,并将加密文件进一步加密,并通过加密文件的数据接收端的数据防泄露系统来对数据接收者进行阅读权限判别,从而保证只将加密文件反馈至有阅读权限的数据接收者,提高了在传输过程无法实现安全性监控的加密文件的安全性,降低了数据被泄露的风险。
在一些实施例中,基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果,具体包括以下过程。
若阅读权限判别的结果指示主动加密文件对应的原文件内容不是敏感信息,或数据接收者具备阅读主动加密文件对应原文件中的敏感信息的权限,则基于临时密钥对主动加密文件进行解密得到第一解密文件后,将第一解密文件发送至解密指令对应的解密程序进行解密得到第二解密文件;其中,第二解密文件为向数据接收者返回的解密指令的解密结果。
需要说明的是,在本实施方式中,数据接收端的数据防泄露系统得到解密内容后,可以对解密内容进行分析,确定主动加密文件对应的原文件内容是否为敏感信息,或者,在主动加密文件对应的原文件内容包括敏感信息的情况下,数据接收者是否具备阅读主动加密文件对应原文件中的敏感信息的权限。
在一些场景下,若数据接收者具备阅读主动加密文件对应原文件中的敏感信息的权限,则基于临时密钥对主动加密文件进行解密得到第一解密文件后,将第一解密文件发送至解密指令对应的解密程序进行解密得到第二解密文件反馈至数据接收者。
在另一些场景下,若数据接收者不具备阅读主动加密文件对应原文件中的敏感信息的权限,则直接将主动加密文件发送至解密指令对应的解密程序进行解密,而不将解密后的内容反馈至数据接收者。
在本实施方式中,进一步对主动加密文件进行分析判断,识别其中是否具备敏感信息,进而可以采取相关措施保护敏感信息的安全性,同时也可以对数据接收者接收查阅数据的权限进行精细化设置。
在一些实施例中,将主动加密文件发送至数据接收端的数据防泄露系统之后,本发明实施例的用于数据防泄露系统的数据防护方法还包括:将数据发送者的用户名、主动加密文件的文件发送时间、待发送文件的文件名、数据接收者的用户名以及临时密钥上传至数据库。
需要说明的是,数据库为数据防泄露系统所设置的数据库,该数据库与数据接收端的数据防泄露系统以及数据发送端的数据防泄露系统之间均可以进行安全通信。
在一次文件传输过程完成后,通过对文件对应的数据发送相关的信息以及数据接收相关的信息进行记录,实现了对文件传输过程的记录,即便于数据接收端的数据防泄露系统可以获取密钥,还于在后续有需要的时候进行信息追溯。
本发明实施例还提供另一种用于数据防泄露系统的数据防护方法,应用于数据接收端的数据防泄露系统,如图2所示,用于数据防泄露系统的数据防护方法主要包括步骤210、步骤220以及步骤230。
步骤210,接收数据发送端的数据防泄露系统发送的主动加密文件,并获取主动加密文件对应的临时密钥。
其中,主动加密文件是数据发送端的数据防泄露系统在判断数据发送者上传的待发送文件为加密文件后,生成临时密钥,并基于临时密钥对待发送文件进行加密得到的。
步骤220,当监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,并基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容。
步骤230,对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果。
在本实施方式中,可以对数据接收者进行权限识别,若数据接收者存在相应权限,则可以将解密密钥、解密算法以及临时密钥对主动加密文件进行双重解密得到解密内容反馈至数据接收者。
获取主动加密文件对应的临时密钥,具体包括:基于数据发送者的用户名、主动加密文件的文件发送时间、主动加密文件的文件名以及数据接收者的用户名,从数据库中获取主动加密文件对应的临时密钥。
需要说明的是,数据库为数据防泄露系统所设置的数据库,该数据库与数据接收端的数据防泄露系统以及数据发送端的数据防泄露系统之间均可以进行安全通信,进而保证获取临时密钥的安全性。
若数据接收者不存在相应权限,则可以识别出该次传输行为为异常或者存在安全风险的传输行为,只能将文件进行解密,但是不能将解密后的文件反馈至数据接收者,进而保证了文件的安全。
根据本发明实施例提供的用于数据防泄露系统的数据防护方法,通过对数据接收者进行阅读权限判别,从而保证只将加密文件反馈至有阅读权限的数据接收者,提高了在传输过程无法实现安全性监控的加密文件的安全性,降低了数据被泄露的风险。
在一些实施例中,基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果,具体包括:
若阅读权限判别的结果指示主动加密文件对应的原文件内容不是敏感信息,或数据接收者具备阅读主动加密文件对应原文件中的敏感信息的权限,则基于临时密钥对主动加密文件进行解密得到第一解密文件后,将第一解密文件发送至解密指令对应的解密程序进行解密得到第二解密文件;其中,第二解密文件为向数据接收者返回的解密指令的解密结果;
若数据接收者不具备阅读主动加密文件对应原文件中的敏感信息的权限,则直接将主动加密文件发送至解密指令对应的解密程序进行解密。
需要说明的是,在本实施方式中,在得到解密内容后,可以对解密内容进行分析,确定主动加密文件对应的原文件内容是否为敏感信息,或者,在主动加密文件对应的原文件内容包括敏感信息的情况下,数据接收者是否具备阅读主动加密文件对应原文件中的敏感信息的权限。
在一些场景下,若数据接收者具备阅读主动加密文件对应原文件中的敏感信息的权限,则基于临时密钥对主动加密文件进行解密得到第一解密文件后,将第一解密文件发送至解密指令对应的解密程序进行解密得到第二解密文件反馈至数据接收者。
在另一些场景下,若数据接收者不具备阅读主动加密文件对应原文件中的敏感信息的权限,则直接将主动加密文件发送至解密指令对应的解密程序进行解密,而不将解密后的内容反馈至数据接收者。
在本实施方式中,进一步对主动加密文件进行分析判断,识别其中是否具备敏感信息,进而可以采取相关措施保护敏感信息的安全性,同时也可以对数据接收者接收查阅数据的权限进行精细化设置。
下面对本发明提供的用于数据防泄露系统的数据防护装置进行描述,下文描述的用于数据防泄露系统的数据防护装置与上文描述的应用于数据发送端的数据防泄露系统的用于数据防泄露系统的数据防护方法可相互对应参照。
如图3所示,本发明实施例的用于数据防泄露系统的数据防护装置主要包括文件获取单元310和文件发送单元320。
文件获取单元310用于获取数据发送者上传的待发送文件,并判断待发送文件是否为加密文件;
文件发送单元320用于若待发送文件为加密文件,则生成临时密钥,基于临时密钥对待发送文件进行加密,得到主动加密文件,并将主动加密文件发送至数据接收端的数据防泄露系统,以使得数据接收端的数据防泄露系统在监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容,对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果。
根据本发明实施例提供的用于数据防泄露系统的数据防护装置,通过对数据发送者上传的待发送文件进行是否为加密文件的判断,并将加密文件进一步加密,并通过加密文件的数据接收端的数据防泄露系统来对数据接收者进行阅读权限判别,从而保证只将加密文件反馈至有阅读权限的数据接收者,提高了在传输过程无法实现安全性监控的加密文件的安全性,降低了数据被泄露的风险。
文件发送单元320还用于若阅读权限判别的结果指示主动加密文件对应的原文件内容不是敏感信息,或数据接收者具备阅读主动加密文件对应原文件中的敏感信息的权限,则基于临时密钥对主动加密文件进行解密得到第一解密文件后,将第一解密文件发送至解密指令对应的解密程序进行解密得到第二解密文件;其中,第二解密文件为向数据接收者返回的解密指令的解密结果;
若数据接收者不具备阅读主动加密文件对应原文件中的敏感信息的权限,则直接将主动加密文件发送至解密指令对应的解密程序进行解密。
文件获取单元310还用于获取并解析待发送文件的原始流量数据包,确定待发送文件的传输协议;
基于待发送文件的传输协议的类型和加密规则库,确定传输协议是否为加密协议;
将传输协议与加密规则库中所对应的传输协议进行协议版本信息的对比,得到对比结果;
基于对比结果,判断待发送文件是否为加密文件。
文件发送单元320还用于获取待发送文件的文件流,并基于临时密钥与文件流中的数据进行按位异或操作,得到主动加密文件;其中,临时密钥的长度与待发送文件的文件流的长度相同。
文件发送单元320还用于将数据发送者的用户名、主动加密文件的文件发送时间、待发送文件的文件名、数据接收者的用户名以及临时密钥上传至数据库。
下面对本发明提供的用于数据防泄露系统的数据防护装置进行描述,下文描述的用于数据防泄露系统的数据防护装置与上文描述的应用于数据接收端的数据防泄露系统的用于数据防泄露系统的数据防护方法可相互对应参照。
如图4所示,本发明实施例的用于数据防泄露系统的数据防护装置主要包括文件接收单元410、文件解密单元420和文件返回单元430。
文件接收单元410用于接收数据发送端的数据防泄露系统发送的主动加密文件,并获取主动加密文件对应的临时密钥;其中,主动加密文件是数据发送端的数据防泄露系统在判断数据发送者上传的待发送文件为加密文件后,生成临时密钥,并基于临时密钥对待发送文件进行加密得到的;
文件解密单元420用于当监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,并基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容;
文件返回单元430用于对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果。
根据本发明实施例提供的用于数据防泄露系统的数据防护装置,通过对数据接收者进行阅读权限判别,从而保证只将加密文件反馈至有阅读权限的数据接收者,提高了在传输过程无法实现安全性监控的加密文件的安全性,降低了数据被泄露的风险。
在一些实施例中,文件返回单元430还用于若阅读权限判别的结果指示主动加密文件对应的原文件内容不是敏感信息,或数据接收者具备阅读主动加密文件对应原文件中的敏感信息的权限,则基于临时密钥对主动加密文件进行解密得到第一解密文件后,将第一解密文件发送至解密指令对应的解密程序进行解密得到第二解密文件;其中,第二解密文件为向数据接收者返回的解密指令的解密结果;若数据接收者不具备阅读主动加密文件对应原文件中的敏感信息的权限,则直接将主动加密文件发送至解密指令对应的解密程序进行解密。
在一些实施例中,文件接收单元410还用于基于数据发送者的用户名、主动加密文件的文件发送时间、主动加密文件的文件名以及数据接收者的用户名,从数据库中获取主动加密文件对应的临时密钥。
图5是本发明提供的电子设备的结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、存储器(memory)520、通信接口(Communications Interface)530和通信总线540,其中,处理器510,存储器520,通信接口530通过通信总线540完成相互间的通信。处理器510可以调用存储器520中的逻辑指令,以执行数据防泄露系统的数据防护方法,该方法包括:获取数据发送者上传的待发送文件,并判断待发送文件是否为加密文件;若待发送文件为加密文件,则生成临时密钥,基于临时密钥对待发送文件进行加密,得到主动加密文件,并将主动加密文件发送至数据接收端的数据防泄露系统,以使得数据接收端的数据防泄露系统在监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容,对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果;或者,该方法还包括:接收数据发送端的数据防泄露系统发送的主动加密文件,并获取主动加密文件对应的临时密钥;其中,主动加密文件是数据发送端的数据防泄露系统在判断数据发送者上传的待发送文件为加密文件后,生成临时密钥,并基于临时密钥对待发送文件进行加密得到的;当监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,并基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容;对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果。
此外,上述的存储器520中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的用于数据防泄露系统的数据防护方法,该方法包括:获取数据发送者上传的待发送文件,并判断待发送文件是否为加密文件;若待发送文件为加密文件,则生成临时密钥,基于临时密钥对待发送文件进行加密,得到主动加密文件,并将主动加密文件发送至数据接收端的数据防泄露系统,以使得数据接收端的数据防泄露系统在监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容,对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果;或者,该方法还包括:接收数据发送端的数据防泄露系统发送的主动加密文件,并获取主动加密文件对应的临时密钥;其中,主动加密文件是数据发送端的数据防泄露系统在判断数据发送者上传的待发送文件为加密文件后,生成临时密钥,并基于临时密钥对待发送文件进行加密得到的;当监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,并基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容;对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的用于数据防泄露系统的数据防护方法,该方法包括:获取数据发送者上传的待发送文件,并判断待发送文件是否为加密文件;若待发送文件为加密文件,则生成临时密钥,基于临时密钥对待发送文件进行加密,得到主动加密文件,并将主动加密文件发送至数据接收端的数据防泄露系统,以使得数据接收端的数据防泄露系统在监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容,对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果;或者,该方法还包括:接收数据发送端的数据防泄露系统发送的主动加密文件,并获取主动加密文件对应的临时密钥;其中,主动加密文件是数据发送端的数据防泄露系统在判断数据发送者上传的待发送文件为加密文件后,生成临时密钥,并基于临时密钥对待发送文件进行加密得到的;当监听到数据接收者触发的针对主动加密文件的解密指令时,获取解密指令中包含的解密密钥和解密算法,并基于解密密钥、解密算法以及临时密钥对主动加密文件进行解密得到解密内容;对解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向数据接收者返回的解密指令的解密结果。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种用于数据防泄露系统的数据防护方法,其特征在于,所述方法应用于数据发送端的数据防泄露系统,所述方法包括:
获取数据发送者上传的待发送文件,并判断所述待发送文件是否为加密文件;
若所述待发送文件为加密文件,则生成临时密钥,基于所述临时密钥对所述待发送文件进行加密,得到主动加密文件,并将所述主动加密文件发送至数据接收端的数据防泄露系统,以使得所述数据接收端的数据防泄露系统在监听到数据接收者触发的针对所述主动加密文件的解密指令时,获取所述解密指令中包含的解密密钥和解密算法,基于所述解密密钥、所述解密算法以及所述临时密钥对所述主动加密文件进行解密得到解密内容,对所述解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果;
所述判断所述待发送文件是否为加密文件,具体包括:
获取并解析所述待发送文件的原始流量数据包,确定所述待发送文件的传输协议;所述确定所述待发送文件的传输协议包括:将所述原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式,与各种传输协议的字符集合和端口应用层协议格式进行匹配,以确定所述待发送文件的传输协议;
基于所述待发送文件的传输协议的类型和加密规则库,确定所述传输协议是否为加密协议;
将所述传输协议与所述加密规则库中所对应的传输协议进行协议版本信息的对比,得到对比结果;
基于所述对比结果,判断所述待发送文件是否为加密文件。
2.根据权利要求1所述的用于数据防泄露系统的数据防护方法,其特征在于,所述基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果,具体包括:
若阅读权限判别的结果指示所述主动加密文件对应的原文件内容不是敏感信息,或所述数据接收者具备阅读所述主动加密文件对应原文件中的敏感信息的权限,则基于所述临时密钥对所述主动加密文件进行解密得到第一解密文件后,将所述第一解密文件发送至所述解密指令对应的解密程序进行解密得到第二解密文件;其中,所述第二解密文件为向所述数据接收者返回的所述解密指令的解密结果;
若所述数据接收者不具备阅读所述主动加密文件对应原文件中的敏感信息的权限,则直接将所述主动加密文件发送至所述解密指令对应的解密程序进行解密。
3.根据权利要求1或2所述的用于数据防泄露系统的数据防护方法,其特征在于,所述生成临时密钥,基于所述临时密钥对所述待发送文件进行加密,得到主动加密文件,具体包括:
获取所述待发送文件的文件流,并基于所述临时密钥与所述文件流中的数据进行按位异或操作,得到主动加密文件;其中,所述临时密钥的长度与所述待发送文件的文件流的长度相同。
4.根据权利要求3所述的用于数据防泄露系统的数据防护方法,其特征在于,所述将所述主动加密文件发送至数据接收端的数据防泄露系统之后,所述方法还包括:
将所述数据发送者的用户名、所述主动加密文件的文件发送时间、待发送文件的文件名、所述数据接收者的用户名以及所述临时密钥上传至数据库。
5.一种用于数据防泄露系统的数据防护方法,其特征在于,所述方法应用于数据接收端的数据防泄露系统,所述方法包括:
接收数据发送端的数据防泄露系统发送的主动加密文件,并获取所述主动加密文件对应的临时密钥;其中,所述主动加密文件是所述数据发送端的数据防泄露系统在判断数据发送者上传的待发送文件为加密文件后,生成临时密钥,并基于所述临时密钥对所述待发送文件进行加密得到的;所述数据发送端的数据防泄露系统判断数据发送者上传的待发送文件是否为加密文件包括:所述数据发送端的数据防泄露系统获取并解析所述待发送文件的原始流量数据包,确定所述待发送文件的传输协议;所述确定所述待发送文件的传输协议包括:所述数据发送端的数据防泄露系统将所述原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式,与各种传输协议的字符集合和端口应用层协议格式进行匹配,以确定所述待发送文件的传输协议;所述数据发送端的数据防泄露系统基于所述待发送文件的传输协议的类型和加密规则库,确定所述传输协议是否为加密协议;所述数据发送端的数据防泄露系统将所述传输协议与所述加密规则库中所对应的传输协议进行协议版本信息的对比,得到对比结果;所述数据发送端的数据防泄露系统基于所述对比结果,判断所述待发送文件是否为加密文件;
当监听到数据接收者触发的针对所述主动加密文件的解密指令时,获取所述解密指令中包含的解密密钥和解密算法,并基于所述解密密钥、所述解密算法以及所述临时密钥对所述主动加密文件进行解密得到解密内容;
对所述解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果。
6.根据权利要求5所述的用于数据防泄露系统的数据防护方法,其特征在于,所述基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果,具体包括:
若阅读权限判别的结果指示所述主动加密文件对应的原文件内容不是敏感信息,或所述数据接收者具备阅读所述主动加密文件对应原文件中的敏感信息的权限,则基于所述临时密钥对所述主动加密文件进行解密得到第一解密文件后,将所述第一解密文件发送至所述解密指令对应的解密程序进行解密得到第二解密文件;其中,所述第二解密文件为向所述数据接收者返回的所述解密指令的解密结果;
若所述数据接收者不具备阅读所述主动加密文件对应原文件中的敏感信息的权限,则直接将所述主动加密文件发送至所述解密指令对应的解密程序进行解密。
7.根据权利要求5或6所述的用于数据防泄露系统的数据防护方法,其特征在于,所述获取所述主动加密文件对应的临时密钥,具体包括:
基于所述数据发送者的用户名、所述主动加密文件的文件发送时间、所述主动加密文件的文件名以及所述数据接收者的用户名,从数据库中获取所述主动加密文件对应的临时密钥。
8.一种用于数据防泄露系统的数据防护装置,其特征在于,包括:
文件获取单元,用于获取数据发送者上传的待发送文件,并判断所述待发送文件是否为加密文件;所述文件获取单元还用于获取并解析所述待发送文件的原始流量数据包,确定所述待发送文件的传输协议;基于所述待发送文件的传输协议的类型和加密规则库,确定所述传输协议是否为加密协议;将所述传输协议与所述加密规则库中所对应的传输协议进行协议版本信息的对比,得到对比结果;基于所述对比结果,判断所述待发送文件是否为加密文件;所述文件获取单元还用于将所述原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式,与各种传输协议的字符集合和端口应用层协议格式进行匹配,以确定所述待发送文件的传输协议;
文件发送单元,用于若所述待发送文件为加密文件,则生成临时密钥,基于所述临时密钥对所述待发送文件进行加密,得到主动加密文件,并将所述主动加密文件发送至数据接收端的数据防泄露系统,以使得所述数据接收端的数据防泄露系统在监听到数据接收者触发的针对所述主动加密文件的解密指令时,获取所述解密指令中包含的解密密钥和解密算法,基于所述解密密钥、所述解密算法以及所述临时密钥对所述主动加密文件进行解密得到解密内容,对所述解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果。
9.一种用于数据防泄露系统的数据防护装置,其特征在于,方法包括:
文件接收单元,用于接收数据发送端的数据防泄露系统发送的主动加密文件,并获取所述主动加密文件对应的临时密钥;其中,所述主动加密文件是所述数据发送端的数据防泄露系统在判断数据发送者上传的待发送文件为加密文件后,生成临时密钥,并基于所述临时密钥对所述待发送文件进行加密得到的;所述数据发送端的数据防泄露系统判断数据发送者上传的待发送文件是否为加密文件包括:所述数据发送端的数据防泄露系统获取并解析所述待发送文件的原始流量数据包,确定所述待发送文件的传输协议;所述确定所述待发送文件的传输协议包括:所述数据发送端的数据防泄露系统将所述原始流量数据包中认证阶段数据包中的字符集合和端口应用层协议格式,与各种传输协议的字符集合和端口应用层协议格式进行匹配,以确定所述待发送文件的传输协议;所述数据发送端的数据防泄露系统基于所述待发送文件的传输协议的类型和加密规则库,确定所述传输协议是否为加密协议;所述数据发送端的数据防泄露系统将所述传输协议与所述加密规则库中所对应的传输协议进行协议版本信息的对比,得到对比结果;所述数据发送端的数据防泄露系统基于所述对比结果,判断所述待发送文件是否为加密文件;
文件解密单元,用于当监听到数据接收者触发的针对所述主动加密文件的解密指令时,获取所述解密指令中包含的解密密钥和解密算法,并基于所述解密密钥、所述解密算法以及所述临时密钥对所述主动加密文件进行解密得到解密内容;
文件返回单元,用于对所述解密内容进行阅读权限判别,并基于阅读权限判别的结果确定向所述数据接收者返回的所述解密指令的解密结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310409695.8A CN116150796B (zh) | 2023-04-18 | 2023-04-18 | 用于数据防泄露系统的数据防护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310409695.8A CN116150796B (zh) | 2023-04-18 | 2023-04-18 | 用于数据防泄露系统的数据防护方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116150796A CN116150796A (zh) | 2023-05-23 |
| CN116150796B true CN116150796B (zh) | 2023-12-08 |
Family
ID=86362144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310409695.8A Active CN116150796B (zh) | 2023-04-18 | 2023-04-18 | 用于数据防泄露系统的数据防护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116150796B (zh) |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001285275A (ja) * | 2000-01-26 | 2001-10-12 | Fujitsu Ltd | 暗号通信方法、ファイルアクセスシステム、並びに記録媒体およびコンピュータプログラム |
| CN102710633A (zh) * | 2012-05-29 | 2012-10-03 | 大连佳姆信息安全软件技术有限公司 | 一种涉密电子文件的云安全管理系统及方法 |
| CN104113601A (zh) * | 2014-07-29 | 2014-10-22 | 深圳市中兴移动通信有限公司 | 文件传输方法和装置 |
| CN107180197A (zh) * | 2016-03-09 | 2017-09-19 | 北京京东尚科信息技术有限公司 | 文件操作方法和装置 |
| CN107465506A (zh) * | 2017-09-19 | 2017-12-12 | 北京知道创宇信息技术有限公司 | 用于加密传输数据的客户端、服务器、网络系统及方法 |
| CN109428710A (zh) * | 2017-08-22 | 2019-03-05 | 深圳光启智能光子技术有限公司 | 数据传输方法、装置、存储介质和处理器 |
| CN112637166A (zh) * | 2020-12-15 | 2021-04-09 | 平安科技(深圳)有限公司 | 一种数据传输方法、装置、终端及存储介质 |
| CN112702318A (zh) * | 2020-12-09 | 2021-04-23 | 江苏通付盾信息安全技术有限公司 | 一种通讯加密方法、解密方法、客户端及服务端 |
| CN112906037A (zh) * | 2021-03-26 | 2021-06-04 | 北京三快在线科技有限公司 | 一种通信加密系统、方法及装置 |
| CN112995096A (zh) * | 2019-12-13 | 2021-06-18 | 中移动信息技术有限公司 | 数据加密、解密方法、装置及设备 |
| CN113656248A (zh) * | 2021-08-17 | 2021-11-16 | 江南造船(集团)有限责任公司 | Pdm系统文件上传进程监控捕获方法、系统、介质及装置 |
| CN113965382A (zh) * | 2021-10-21 | 2022-01-21 | 国网安徽省电力有限公司物资分公司 | 一种招标监管名单数据加密算法防篡改方法 |
| CN113992410A (zh) * | 2021-10-28 | 2022-01-28 | 北京永信至诚科技股份有限公司 | 一种私有加密数据识别方法及系统 |
| CN114499837A (zh) * | 2021-12-29 | 2022-05-13 | 广州蚁比特区块链科技有限公司 | 一种报文防泄露方法、装置、系统和设备 |
| CN114884716A (zh) * | 2022-04-28 | 2022-08-09 | 世融能量科技有限公司 | 加密解密方法、装置及介质 |
| CN115277143A (zh) * | 2022-07-19 | 2022-11-01 | 中天动力科技(深圳)有限公司 | 一种数据安全传输方法、装置、设备及存储介质 |
| CN115470533A (zh) * | 2022-09-14 | 2022-12-13 | 重庆长安汽车股份有限公司 | 车辆敏感数据的存储方法、装置、电子设备及存储介质 |
| CN115883199A (zh) * | 2022-11-29 | 2023-03-31 | 中国农业银行股份有限公司 | 一种文件传输方法、装置、电子设备及存储介质 |
-
2023
- 2023-04-18 CN CN202310409695.8A patent/CN116150796B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001285275A (ja) * | 2000-01-26 | 2001-10-12 | Fujitsu Ltd | 暗号通信方法、ファイルアクセスシステム、並びに記録媒体およびコンピュータプログラム |
| CN102710633A (zh) * | 2012-05-29 | 2012-10-03 | 大连佳姆信息安全软件技术有限公司 | 一种涉密电子文件的云安全管理系统及方法 |
| CN104113601A (zh) * | 2014-07-29 | 2014-10-22 | 深圳市中兴移动通信有限公司 | 文件传输方法和装置 |
| CN107180197A (zh) * | 2016-03-09 | 2017-09-19 | 北京京东尚科信息技术有限公司 | 文件操作方法和装置 |
| CN109428710A (zh) * | 2017-08-22 | 2019-03-05 | 深圳光启智能光子技术有限公司 | 数据传输方法、装置、存储介质和处理器 |
| CN107465506A (zh) * | 2017-09-19 | 2017-12-12 | 北京知道创宇信息技术有限公司 | 用于加密传输数据的客户端、服务器、网络系统及方法 |
| CN112995096A (zh) * | 2019-12-13 | 2021-06-18 | 中移动信息技术有限公司 | 数据加密、解密方法、装置及设备 |
| CN112702318A (zh) * | 2020-12-09 | 2021-04-23 | 江苏通付盾信息安全技术有限公司 | 一种通讯加密方法、解密方法、客户端及服务端 |
| CN112637166A (zh) * | 2020-12-15 | 2021-04-09 | 平安科技(深圳)有限公司 | 一种数据传输方法、装置、终端及存储介质 |
| CN112906037A (zh) * | 2021-03-26 | 2021-06-04 | 北京三快在线科技有限公司 | 一种通信加密系统、方法及装置 |
| CN113656248A (zh) * | 2021-08-17 | 2021-11-16 | 江南造船(集团)有限责任公司 | Pdm系统文件上传进程监控捕获方法、系统、介质及装置 |
| CN113965382A (zh) * | 2021-10-21 | 2022-01-21 | 国网安徽省电力有限公司物资分公司 | 一种招标监管名单数据加密算法防篡改方法 |
| CN113992410A (zh) * | 2021-10-28 | 2022-01-28 | 北京永信至诚科技股份有限公司 | 一种私有加密数据识别方法及系统 |
| CN114499837A (zh) * | 2021-12-29 | 2022-05-13 | 广州蚁比特区块链科技有限公司 | 一种报文防泄露方法、装置、系统和设备 |
| CN114884716A (zh) * | 2022-04-28 | 2022-08-09 | 世融能量科技有限公司 | 加密解密方法、装置及介质 |
| CN115277143A (zh) * | 2022-07-19 | 2022-11-01 | 中天动力科技(深圳)有限公司 | 一种数据安全传输方法、装置、设备及存储介质 |
| CN115470533A (zh) * | 2022-09-14 | 2022-12-13 | 重庆长安汽车股份有限公司 | 车辆敏感数据的存储方法、装置、电子设备及存储介质 |
| CN115883199A (zh) * | 2022-11-29 | 2023-03-31 | 中国农业银行股份有限公司 | 一种文件传输方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 一种采用多种加密算法的文件加密方法;姚峰;何成万;胡宏银;;计算机应用与软件(11);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116150796A (zh) | 2023-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112468995B (zh) | 一种基于车联网的可搜索加密隐私保护方法及系统 | |
| CN102812684A (zh) | 实施计算机策略的系统和方法 | |
| KR101496318B1 (ko) | 원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법 | |
| CN114244522B (zh) | 信息保护方法、装置、电子设备及计算机可读存储介质 | |
| KR102100582B1 (ko) | 영상보안시스템에서 형태보존암호 기술을 이용한 프라이버시 마스킹 방법 및 이를 수행하기 위한 기록 매체 | |
| CN117118754B (zh) | 物联网设备的信息交互管理方法、装置、设备及介质 | |
| CN108390857B (zh) | 一种高敏感网络向低敏感网络导出文件的方法和装置 | |
| WO2020058619A1 (fr) | Méthode de traitement confidentiel de logs d'un système d'information | |
| US10812506B2 (en) | Method of enciphered traffic inspection with trapdoors provided | |
| CN107888548A (zh) | 一种信息验证方法及装置 | |
| CN105279447A (zh) | 数据加密方法、解密方法及装置 | |
| CN116150796B (zh) | 用于数据防泄露系统的数据防护方法和装置 | |
| CN111507712A (zh) | 一种基于区块链的用户隐私数据管理方法、系统及终端 | |
| CN105897730A (zh) | 一种用户名及密码信息加密及验证方法 | |
| CN113595982B (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| US20150304289A1 (en) | Notarization agent and method for collecting digital evidence using notarization agent | |
| JP2016076797A (ja) | データ保全におけるセキュリティ構築方法 | |
| CN115442132A (zh) | 客户端与服务端数据加密传输的方法、装置及存储介质 | |
| KR102308248B1 (ko) | 양자난수 기반의 양자암호화칩이 탑재된 비화게이트웨이 및 이를 이용한 IoT디바이스간 비화통신 서비스 제공방법 | |
| KR101286767B1 (ko) | 동적 해싱을 이용한 애플리케이션 프로그램 검증 방법 | |
| KR20120101236A (ko) | 외부 저장장치로의 문서 반출을 실시간 감시하는 패킷분석 기반 문서관리 장치 및 방법 | |
| CN109286927B (zh) | 一种eSIM模组数据安全的保护方法及装置 | |
| US20230308260A1 (en) | Apparatus for Receiving Cryptographically Protected Communication Data and Method for Receiving Cryptographically Protected Communication Data | |
| EP3433992B1 (en) | Cloud storage of data | |
| CN108173828B (zh) | 数据传输方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |