WO2017193950A1

WO2017193950A1 - 一种移动办公方法、服务端、客户端及系统

Info

Publication number: WO2017193950A1
Application number: PCT/CN2017/083869
Authority: WO
Inventors: 查桂峰
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-05-11
Filing date: 2017-05-11
Publication date: 2017-11-16
Also published as: CN107368747A

Abstract

一种移动办公方法、服务端、客户端及系统，该方法包括：对移动办公文件进行签名加密处理，生成并存储加密文件，生成移动办公文件的访问服务信息；客户端根据访问服务信息向服务端发起文件访问请求；服务端调用并发送文件访问请求对应的加密文件；客户端接收加密文件，解密加密文件并加水印展示。通过本方法的实施，在整个过程中，客户端无法直接访问移动办公文件，进而也不能直接获取移动办公应用服务端内存储的移动办公文件，并对其进行修改，使得文件安全性大大增强，解决了相关直接获取移动办公文件导致的文件安全性较低的问题，增强了用户的使用体验。

Description

一种移动办公方法、服务端、客户端及系统

技术领域

本申请涉及移动办公领域，例如涉及一种移动办公方法、服务端、客户端及系统。

背景技术

移动化趋势在最近两年来非常迅猛，设备商、软件开发商等都在关注这个市场的变化，也在挖掘企业市场应用的新机会。

目前很多企业已经实现移动办公，将一些日常频繁使用的业务流程移动化，大大提高了办公效率。但是在相关技术中，移动办公应用客户端可以直接获取移动办公应用服务端内存储的移动办公文件，并对其进行修改，使得文件安全性大大降低。

针对上述问题，提出一种移动办公方法以解决相关直接获取移动办公文件导致的文件安全性较低的问题，是本领域技术人员亟待解决的技术问题。

发明内容

本公开提供了一种移动办公方法、服务端、客户端及系统，以解决相关直接获取移动办公文件导致的文件安全性较低的问题。

本公开提供了一种移动办公方法，其包括：

对移动办公文件进行签名加密处理，生成并存储加密文件，生成移动办公文件的访问服务信息，发送访问服务信息至客户端；

接收客户端根据访问服务信息发起的文件访问请求，调用文件访问请求对应的加密文件，发送对应的加密文件至客户端。

还可以包括：接收所述移动办公文件。

还可以包括：接收移动办公文件对应的权限策略及周期策略，权限策略包括访问范围及文件密级；根据权限策略及周期策略，设置加密文件的访问有效期和/或过期后处理模式和/或可信应用列表。

对移动办公文件进行签名加密处理，生成并存储加密文件可以包括：使用预定哈希算法计算移动办公文件的哈希值，调用数字签名加密算法使用文控服务私钥对预定哈希算法及哈希值进行处理生成签名信息，将签名信息与移动办公文件组成移动办公文件的中间文件，调用对称加密算法使用移动办公文件的加密秘钥对中间文件进行加密，生成加密文件。

在接收客户端根据访问服务信息发起的文件访问请求之后，还可以包括：在文件访问请求中提取客户端的文控服务公钥，查找对应的加密文件的加密秘钥，使用文控服务公钥对加密秘钥进行加密处理，传输加密后的加密秘钥至客户端。

本公开提供了一种移动办公方法，其包括：

根据服务端的访问服务信息向服务端发起文件访问请求，接收服务端返回的与访问服务信息对应的加密文件，解密加密文件并加水印展示。

还可以包括：接收并存储所述服务端发送的所述访问服务信息。

还可以包括：获取加密文件的周期策略及权限策略，对加密文件及其加密密码进行存储管理。

在根据访问服务信息向服务端发起文件访问请求之前，还可以包括：判断是否存储有访问服务信息对应的加密文件，若是，则直接调用。

文件访问请求可以携带文控服务公钥；解密加密文件并展示可以包括：使用文控服务公钥对服务端返回的加密后的加密秘钥进行解密处理，获取加密秘钥，调用对称加密算法使用加密秘钥对加密文件进行解密，获取中间文件，中间文件包括签名信息与移动办公文件，调用数字签名加密算法使用文控服务私钥对签名信息进行签名校验，签名校验通过后，根据水印设置信息对移动办公文件进行水印处理，展示处理后的移动办公文件。

本公开提供了一种移动办公方法，其包括：

服务端接收移动办公文件，对移动办公文件进行签名加密处理，生成并存储加密文件，生成移动办公文件的访问服务信息，发送访问服务信息至客户端；

客户端接收并存储服务端发送的访问服务信息，根据访问服务信息向服务端发起文件访问请求；

服务端接收客户端根据访问服务信息发起的文件访问请求，调用文件访问请求对应的加密文件，发送对应的加密文件至客户端；

客户端接收服务端返回的与访问服务信息对应的加密文件，解密加密文件并加水印展示。

本公开提供了一种用于移动办公的服务端，其包括：

文件管理模块，被配置为对移动办公文件进行签名加密处理，生成并存储加密文件，生成移动办公文件的访问服务信息，发送访问服务信息至客户端；

文件发送模块，被配置为接收客户端根据访问服务信息发起的文件访问请求，调用文件访问请求对应的加密文件，发送对应的加密文件至客户端。

所述文件管理模块还可以被配置为：接收所述移动办公文件。

文件管理模块还可以被配置为接收移动办公文件对应的权限策略及周期策略，权限策略包括访问范围及文件密级；根据权限策略及周期策略，设置加密文件的访问有效期和/或过期后处理模式和/或可信应用列表。

文件管理模块可以被配置为使用预定哈希算法计算移动办公文件的哈希值，调用数字签名加密算法使用文控服务私钥对预定哈希算法及哈希值进行处理生成签名信息，将签名信息与移动办公文件组成移动办公文件的中间文件，调用对称加密算法使用移动办公文件的加密秘钥对中间文件进行加密，生成加密文件。

文件发送模块还可以被配置为在文件访问请求中提取客户端的文控服务公钥，查找对应的加密文件的加密秘钥，使用文控服务公钥对加密秘钥进行加密处理，传输加密后的加密秘钥至客户端。

本公开提供了一种用于移动办公的客户端，其包括：

文件阅读模块，被配置为根据服务端的访问服务信息向服务端发起文件访问请求，接收服务端返回的与访问服务信息对应的加密文件，解密加密文件并加水印展示。

所述客户端还可以包括信息存储模块，被配置为接收并存储所述服务端发送的所述访问服务信息。

信息存储模块还可以被配置为获取加密文件的周期策略及权限策略，对加密文件及其加密密码进行存储管理。

文件阅读模块还可以被配置为在根据访问服务信息向服务端发起文件访问请求之前，判断是否存储有访问服务信息对应的加密文件，若是，则直接调用。

文件访问请求可以携带文控服务公钥；文件阅读模块可以被配置为使用文控服务公钥对服务端返回的加密后的加密秘钥进行解密处理，获取加密秘钥，调用对称加密算法使用加密秘钥对加密文件进行解密，获取中间文件，中间文件包括签名信息与移动办公文件，调用数字签名加密算法使用文控服务私钥对签名信息进行签名校验，签名校验通过后，根据水印设置信息对移动办公文件进行水印处理，展示处理后的移动办公文件。

本公开提供了一种用于移动办公的系统，其包括本公开提供的服务端、以及本公开提供的客户端。

本公开实施例还提供了一种非暂态计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为执行上述方法。

本公开实施例还提供了一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行上述的方法。

本公开的有益效果：

本公开提供了一种移动办公方法，服务端在接收到移动办公文件之后，对移动办公文件进行签名加密处理，生成加密文件并存储，在后续进行移动办公文件使用时，服务端调用客户端请求的移动办公文件的加密文件并发送给客户端，在整个过程中，客户端无法直接访问移动办公文件，进而也不能直接获取移动办公应用服务端内存储的移动办公文件，并对其进行修改，使得文件安全性大大增强，解决了相关直接获取移动办公文件导致的文件安全性较低的问题，增强了用户的使用体验。

附图概述

图1为本公开第一实施例提供的移动办公系统的结构示意图；

图2为本公开第二实施例提供的移动办公方法的流程图；

图3是本公开第三实施例提供的移动办公系统的结构示意图；以及

图4是本公开实施例提供的电子设备的结构示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本公开中一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

现通过实施方式结合附图的方式对本公开做出诠释说明。

第一实施例：

图1为本公开第一实施例提供的移动办公系统的结构示意图，由图1可知，在本实施例中，本公开提供的移动办公系统包括：

服务端1，被配置为通过应用服务器提供的门户接收移动办公文件，对移动办公文件进行签名加密处理，生成并存储加密文件，生成移动办公文件的访问服务信息，发送访问服务信息至客户端2，还被配置为接收客户端2根据访问服务信息发起的文件访问请求，调用文件访问请求对应的加密文件，发送对应的加密文件至客户端2；

客户端2，被配置为接收并存储服务端1发送的访问服务信息，还被配置为根据访问服务信息向服务端1发起文件访问请求，接收服务端返回的与访问服务信息对应的加密文件，解密加密文件并加水印展示。

现结合图1对服务端1及客户端2进行详细分析。

针对服务端1，如图1所示，在本实施例中，本公开提供的服务端1可以包括：

文件管理模块11，被配置为接收移动办公文件，对移动办公文件进行签名加密处理，生成并存储加密文件，生成移动办公文件的访问服务信息，发送访问服务信息至客户端；

文件发送模块12，被配置为接收客户端根据访问服务信息发起的文件访问请求，调用文件访问请求对应的加密文件，发送对应的加密文件至客户端。

在一些实施例中，上述实施例中的文件管理模块11还被配置为接收移动办公文件对应的权限策略及周期策略，权限策略包括访问范围及文件密级；根据权限策略及周期策略，设置加密文件的访问有效期和/或过期后处理模式和/或可信应用列表。

在一些实施例中，上述实施例中的文件管理模块11被配置为使用预定哈希算法计算移动办公文件的哈希值，调用数字签名加密算法使用文控服务私钥对预定哈希算法及哈希值进行处理生成签名信息，将签名信息与移动办公文件组成移动办公文件的中间文件，调用对称加密算法使用移动办公文件的加密秘钥对中间文件进行加密，生成加密文件。

在一些实施例中，上述实施例中的文件发送模块12还被配置为在文件访问请求中提取客户端的文控服务公钥，查找对应的加密文件的加密秘钥，使用文控服务公钥对加密秘钥进行加密处理，传输加密后的加密秘钥至客户端。

针对客户端2，如图1所示，在本实施例中，本公开提供的客户端2可以包括：

信息存储模块21，被配置为接收并存储服务端发送的访问服务信息；

文件阅读模块22，被配置为根据访问服务信息向服务端发起文件访问请求，接收服务端返回的与访问服务信息对应的加密文件，解密加密文件并加水印展示。

在一些实施例中，上述实施例中的信息存储模块21还被配置为获取加密文件的周期策略及权限策略，对加密文件及其加密密码进行存储管理。

在一些实施例中，上述实施例中的文件阅读模块22还被配置为在根据访问服务信息向服务端发起文件访问请求之前，判断是否存储有访问服务信息对应的加密文件，若是，则直接调用。

在一些实施例中，上述实施例中的文件访问请求携带文控服务公钥；文件阅读模块22被配置为使用文控服务公钥对服务端返回的加密后的加密秘钥进行解密处理，获取加密秘钥，调用对称加密算法使用加密秘钥对加密文件进行解密，获取中间文件，中间文件包括签名信息与移动办公文件，调用数字签名加密算法使用文控服务私钥对签名信息进行签名校验，签名校验通过后，根据水印设置信息对移动办公文件进行水印处理，展示处理后的移动办公文件。

第二实施例：

图2为本公开第二实施例提供的移动办公实现方法的流程图，由图2可知，在本实施例中，本公开提供的移动办公实现方法包括以下步骤：

S201：服务端接收移动办公文件，对移动办公文件进行签名加密处理，生成并存储加密文件，生成移动办公文件的访问服务信息，发送访问服务信息至客户端；

S202：客户端接收并存储服务端发送的访问服务信息，根据访问服务信息向服务端发起文件访问请求；

S203：服务端接收客户端根据访问服务信息发起的文件访问请求，调用文件访问请求对应的加密文件，发送对应的加密文件至客户端；

S204：客户端接收服务端返回的与访问服务信息对应的加密文件，解密加密文件并加水印展示。

针对移动办公方法在服务端1的体现可以包括：

接收移动办公文件，对移动办公文件进行签名加密处理，生成并存储加密文件，生成移动办公文件的访问服务信息，发送访问服务信息至客户端；

在一些实施例中，上述实施例中的方法还包括：接收移动办公文件对应的权限策略及周期策略，权限策略包括访问范围及文件密级；根据权限策略及周期策略，设置加密文件的访问有效期和/或过期后处理模式和/或可信应用列表。

在一些实施例中，上述实施例中的对移动办公文件进行签名加密处理，生成并存储加密文件包括：使用预定哈希算法计算移动办公文件的哈希值，调用数字签名加密算法使用文控服务私钥对预定哈希算法及哈希值进行处理生成签名信息，将签名信息与移动办公文件组成移动办公文件的中间文件，调用对称加密算法使用移动办公文件的加密秘钥对中间文件进行加密，生成加密文件。

在一些实施例中，上述实施例中的方法在接收客户端根据访问服务信息发起的文件访问请求之后，还包括：在文件访问请求中提取客户端的文控服务公钥，查找对应的加密文件的加密秘钥，使用文控服务公钥对加密秘钥进行加密处理，传输加密后的加密秘钥至客户端。

针对移动办公方法在客户端2的体现可以包括：

接收并存储服务端发送的访问服务信息；

根据访问服务信息向服务端发起文件访问请求，接收服务端返回的与访问服务信息对应的加密文件，解密加密文件并加水印展示。

在一些实施例中，上述实施例中的方法还包括：获取加密文件的周期策略及权限策略，对加密文件及其加密密码进行存储管理。

在一些实施例中，上述实施例中的方法在根据访问服务信息向服务端发起文件访问请求之前，还包括：判断是否存储有访问服务信息对应的加密文件，若是，则直接调用。

在一些实施例中，上述实施例中的文件访问请求携带文控服务公钥；解密加密文件并展示包括：使用文控服务公钥对服务端返回的加密后的加密秘钥进行解密处理，获取加密秘钥，调用对称加密算法使用加密秘钥对加密文件进行解密，获取中间文件，中间文件包括签名信息与移动办公文件，调用数字签名加密算法使用文控服务私钥对签名信息进行签名校验，签名校验通过后，根据水印设置信息对移动办公文件进行水印处理，展示处理后的移动办公文件。

第三实施例：

现结合应用场景对本公开做出诠释说明。

移动化趋势在最近两年来非常迅猛，设备商、软件开发商等都在关注这个市场的变化，也在挖掘企业市场应用的新机会。目前很多企业已经实现移动办公，将一些日常频繁使用的业务流程移动化，大大提高了办公效率。企业实现移动化需要一个过程，文档安全对政企机构来说头等重要，但一些重要的文档信息在不少企业中还未能完全实现移动化，其原因包括：

1)移动设备不同于普通PC机等设备、容易丢失、文档安全风险更高。

2)移动设备办公不在政企办公区域内，文档内容很容易人为泄露给他人作为证据，很难追查。

3)传统PC端的管控系统不易移植到移动终端，需要结合移动终端安全管控方案一起落实。

4)相关移动文档阅读器对移动系统方案和相关API和插件还在不断完善，不少功能还未具备。

目前，尽管很多政府和企业在办公上已经实现业务流程上的移动化，但针对文档上还是持有保守策略。例如，一些重要的文档移动化后可能只以摘要文档的形式显示查看，而且需要维护人员维护摘要信息，以便领导审批审核；移动邮箱中内容可看，但附件内容无法查看。

鉴于上述问题，本实施例基于安卓系统，针对文档安全实施有效管控的方法，在方便易用的情况下与移动安全管控系统相结合保障文档安全，可根据需要设置不同的文档安全策略实现不同级别的安全管控。

本实施例提供一种可以帮助企业快速实现安卓移动应用内容安全管控的方法，并能让移动应用快速集成使用，保障应用内容安全可控。本实施例提供移动客户端组件和服务端安全管理组件装置，可以很方便地被企业应用快速集成，应用本身无需关注安全管控细节就可以方便地实现文档内容安全加密与权限管控以及文件生命周期管理。通过本实施例可实现移动内容的在线/离线浏览，支持安全水印、内容加密防串改、访问权限策略定期更新、过期自我销毁等安全管控功能。

在实际应用中，本实施例中可以包括客户端与服务端两部分，客户端提供文控服务、加解密服务，服务端提供文件内容管理、密钥管理、权限策略、加解密生命周期以及文档转换服务。客户端与服务端进行双向证书认证与安全加密通信。服务端提供文档的加密存储、权限设置、安全策略以及生命周期管理。服务端提供应用服务接口对文档内容关联权限策略与生命周期设置，并对内容进行签名然后再使用对称加密算法进行加密，每个加密文档分配一个密钥保存在服务端，密钥传输使用客户端公钥加密，只能有该客户端可解密获取密钥，返回给应用服务端的是文控服务信息，不直接暴露存储位置等信息。权限策略包括文档访问范围、读写访问权限、密级分类、可信应用列表设置。客户端提供文控服务，保障文档安全下载、密钥安全获取、管控策略执行与内容阅读的安全，支持在线和离线浏览以及水印显示。客户端文档阅读器组件通信加密受控、文档操作模式由客户端文控服务来驱动，对应用来说无感知，保障应用使用安全。

在企业移动应用中，使用本实施例的移动内容管控方法，无需应用复杂改造，就可以让用户方便地实现内容的移动化安全。本实施例可广泛的用于政企移动应用中，也可以应用在PC侧，通过设置透明加解密等方式实现文档内容的安全管控。

如图3所示，本实施例提供的移动办公实现系统包括两部分：第一部分为服务端1，第二部分为客户端2。客户端2的安全管控服务和应用、阅读器组件等统一使用安全通信组打包安装在企业安全桌面或者沙箱中，与个人应用隔离，客户端的安全管控服务为客户端应用app服务。服务端1包括应用服务端11和内容安全管控服务端12，内容安全管控服务端为应用服务端提供文件安全管控服务。终端与服务端的通信采用证书双向认证和安全加密传输。服务端应用服务器上传内容并进行相应设置，调用内容管理服务实现内容安全管控功能。客户端查看文档通过客户端文控服务进行下载、解密和浏览。

在实际应用中，包括管理人员的文件上传及客户端用户的文件下载及管理，下面结合实际场景来描述实现方法和过程。

移动办公文件的上传包括以下步骤：

步骤一，首先管理人员在应用服务器门户中，选择需要上传的内容，并设置权限策略、周期策略，然后上传。

步骤二，上传时应用服务器先与文控服务建立双向证书安全认证和加密通道，然后再调用内容管控服务端内容管理服务进行文档安全处理。

步骤三，内容管理服务器根据权限设置对文档进行权限设置，包括访问范围、文档密级等。

步骤四，内容管理服务器根据周期策略进行设置，如包括，访问有效期、过期后处理模式(重新更新、自动销毁)，可信应用列表。

步骤五，根据系统设置，对内容文档进行转换，如转为pdf、图片等格式。

步骤六，内容管理服务器调用密钥管理服务，对该内容分配加密密钥，每个内容分配一个。

步骤七，内容管理服务器调用加密服务，对该内容进行签名加密，

首先可以分配hash算法对内容进行hash值计算，然后将hash值和hash算法使用文控服务的私钥和RSA加密算法进行签名，签名与内容一起生成一个新的格式内容，然后再用步骤六中分配的密钥使用对称加密算法，如AES算法进行内容加密，生成最终加密文档。

步骤八，内容管理服务器对加密文档进行存储管理，并建立与权限策略、生命周期策略对应关系并存储。

步骤九，内容管理服务器将该内容的访问服务信息返回给应用服务端保存。该访问服务信息不是内容访问直接地址，而是通过该服务可以通过客户端文控服务间接提供。

上述过程即完成了一个典型的内容上传加密流程，那么对应的，客户端的安全阅读加密文档包括以下步骤：

步骤一，应用移动客户端通过内容访问信息来向客户端文控服务申请文档阅读。申请阅读前先与文控服务建立认证的安全通道。

步骤二，客户端文控服务接受到申请后，先检查本地是否已经有副本等信息，如果有则优先本地处理，进入步骤五，如果没有则进入步骤三进行处理。

步骤三，客户端文控服务，向服务端内容管理服务器建立安全通信并提交该内容阅读申请。

步骤四，服务端内容管理服务器，进行用户权限、授信应用和内容有效期等校验，校验通过后将内容和权限和密钥信息安全加密传输给客户端。

其中密钥将以文控服务客户端公钥进行加密传输给文控服务。

如果是在线浏览，则内容和密钥等不保存在本地，需要每次在线获取。

步骤五，文控服务根据内容信息，使用自己的私钥解密密钥，然后解密文档，并对文档进行签名校验以防被篡改。

步骤六，调用安全阅读器组件阅读解密文件，并根据水印设置信息在阅读组件视图上加上一层叠加的阅读者相关的水印信息，如工号姓名等水印信息。

客户端的文控服务除了上述阅读过程中的服务外，还提供相关的策略检查执行、密钥更新等任务，如：

内容管理：可以负责加密内容的下载以及本地存储管理、签名校验、安全策略的存储管理，以及对应的密钥管理，相互隔离独立。

权限更新：负责根据策略检查内容的权限是否更新，如有更新则及时更新。

周期检查：根据权限策略，检查本地内容是否过期，过期则自动销毁删除，如果在阅读请求时检查发现已经过期，可根据策略决定是否更新或者拒绝访问而自动销毁。

密钥获取：安全获取内容加密密钥，以便后续文档解密。

加解密：阅读时利用本身的私钥对内容密钥解密，并用解密后的密钥对内容解密。

安全阅读：在企业应用安全容器中，为应用提供安全阅读服务，调用阅读器安全只读模式打开解密文档，并根据设置附加用户水印信息。

至此，整个实施方案描述完成。从上述过程来看，客户端文控服务、应用以及服务端内容管理服务和服务端应用有效结合，保障了内容安全可控。对应用来说，内容加解密以及签名过程、存放位置以及密钥安全管理传输都是无感知的，只需使用接口即可。客户端文控服务与服务端内容管理服务交互方式安全有效，文档安全签名以及加解密过程安全可靠，文档与密钥和安全策略分离管理与传输安全灵活。

在文控装置服务端，系统安全管理员可进行系统参数设置、加解密设置以及对内容文档批量更新、备份等维护，这里不在单独描述。本实施例提到的功能操作是相对完善的，也是安全的，可以减少应用改造工作量，为实现内容移动化安全提供了一种实现方式。本方案也可以有选择地进行适当变化以满足实际需要。本实施例所实现的移动内容安全管控装置，是一种新颖的方式，能有效地与数字证书、安全桌面容器等结合，方便应用使用，对正在发展推进的移动电子政务、移动办公等将具有重要意义。

在本实施例中，客户端的内容应用APP是指安装在终端内的移动办公应用APP，仅是用户的操作窗口，用户可以选择办公需要的文件，此时，内容应用APP根据用户选择文件的访问服务信息向文控服务模块发起请求，文控服务模块转发请求至服务端；对应的，服务端的应用服务器是指提供移动办公应用的服务器，在本公开中，仅作为用户上传移动办公文件的窗口以及与客户端进行通信的窗口，移动办公文件完全由内容管理模块处理，应用服务器不再具备移动办公文件的管理功能，这样，服务端在接收到移动办公文件之后，对移动办公文件进行签名加密处理，生成加密文件并存储，在后续进行移动办公文件使用时，服务端调用客户端请求的移动办公文件的加密文件并发送给客户端，在整个过程中，客户端无法直接访问移动办公文件，进而也不能直接获取移动办公应用服务端内存储的移动办公文件，并对其进行修改，使得文件安全性大大增强。

本公开实施例还提供了一种非暂态计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为执行上述任一实施例中的方法。

本公开实施例还提供了一种电子设备的结构示意图。参见图4，该电子设备包括：

至少一个处理器(processor)40，图4中以一个处理器40为例；和存储器(memory)41，还可以包括通信接口(Communications Interface)42和总线43。其中，处理器40、通信接口42、存储器41可以通过总线43完成相互间的通信。通信接口42可以用于信息传输。处理器40可以调用存储器41中的逻辑指令，以执行上述实施例的方法。

此外，上述的存储器41中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。

存储器41作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序，如本公开实施例中的方法对应的程序指令/模块。处理器40通过运行存储在存储器41中的软件程序、指令以及模块，从而执行功能应用以及数据处理，即实现上述方法实施例中的移动办公方法。

存储器41可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端设备的使用所创建的数据等。此外，存储器41可以包括高速随机存取存储器，还可以包括非易失性存储器。

本公开实施例的技术方案可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括一个或多个指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本公开实施例所述方法的全部或部分步骤。而前述的存储介质可以是非暂态存储介质，包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等多种可以存储程序代码的介质，也可以是暂态存储介质。

综上可知，通过本公开的实施，至少存在以下有益效果：

以上仅是本公开的实施方式而已，并非对本公开做任何形式上的限制，凡是依据本公开的技术实质对以上实施方式所做的任意简单修改、等同变化、结合或修饰，均仍属于本公开技术方案的保护范围。

工业实用性

本申请公开的移动办公方法、服务端、客户端及系统，解决了相关直接获取移动办公文件导致的文件安全性较低的问题，增强了用户的使用体验。

Claims

一种移动办公方法，包括：

对移动办公文件进行签名加密处理，生成并存储加密文件，生成所述移动办公文件的访问服务信息，发送所述访问服务信息至客户端；

接收所述客户端根据所述访问服务信息发起的文件访问请求，调用所述文件访问请求对应的加密文件，发送所述对应的加密文件至所述客户端。
如权利要求1所述的方法，还包括：接收所述移动办公文件。
如权利要求1所述的方法，还包括：接收所述移动办公文件对应的权限策略及周期策略，所述权限策略包括访问范围及文件密级；根据所述权限策略及周期策略，设置所述加密文件的访问有效期和/或过期后处理模式和/或可信应用列表。
如权利要求1至3任一项所述的方法，其中，所述对所述移动办公文件进行签名加密处理，生成并存储加密文件包括：使用预定哈希算法计算所述移动办公文件的哈希值，调用数字签名加密算法使用文控服务私钥对所述预定哈希算法及哈希值进行处理生成签名信息，将所述签名信息与所述移动办公文件组成所述移动办公文件的中间文件，调用对称加密算法使用所述移动办公文件的加密秘钥对所述中间文件进行加密，生成所述加密文件。
如权利要求4所述的方法，其中，在接收所述客户端根据所述访问服务信息发起的文件访问请求之后，还包括：在所述文件访问请求中提取所述客户端的文控服务公钥，查找所述对应的加密文件的加密秘钥，使用所述文控服务公钥对所述加密秘钥进行加密处理，传输加密后的加密秘钥至所述客户端。
一种移动办公方法，包括：

根据服务端的访问服务信息向所述服务端发起文件访问请求，接收所述服务端返回的与所述访问服务信息对应的加密文件，解密所述加密文件并加水印展示。
如权利要求6所述的方法，还包括：接收并存储所述服务端发送的所述访问服务信息。
如权利要求6所述的方法，还包括：获取所述加密文件的周期策略及权限策略，对所述加密文件及其加密密码进行存储管理。
如权利要求6所述的方法，其中，在根据所述访问服务信息向所述服务端发起文件访问请求之前，还包括：判断是否存储有所述访问服务信息对应的加密文件，若是，则直接调用。
如权利要求6至9任一项所述的方法，其中，所述文件访问请求携带文控服务公钥；所述解密所述加密文件并展示包括：使用所述文控服务公钥对所述服务端返回的加密后的加密秘钥进行解密处理，获取加密秘钥，调用对称加密算法使用所述加密秘钥对所述加密文件进行解密，获取中间文件，所述中间文件包括签名信息与移动办公文件，调用数字签名加密算法使用文控服务私钥对所述签名信息进行签名校验，签名校验通过后，根据水印设置信息对所述移动办公文件进行水印处理，展示处理后的移动办公文件。
一种移动办公方法，包括：

服务端接收移动办公文件，对所述移动办公文件进行签名加密处理，生成并存储加密文件，生成所述移动办公文件的访问服务信息，发送所述访问服务信息至客户端；

所述客户端接收并存储服务端发送的访问服务信息，根据所述访问服务信息向所述服务端发起文件访问请求；

所述服务端接收所述客户端根据所述访问服务信息发起的文件访问请求，调用所述文件访问请求对应的加密文件，发送所述对应的加密文件至所述客户端；

所述客户端接收所述服务端返回的与所述访问服务信息对应的加密文件，解密所述加密文件并加水印展示。
一种用于移动办公的服务端，包括：

文件管理模块，被配置为对移动办公文件进行签名加密处理，生成并存储加密文件，生成所述移动办公文件的访问服务信息，发送所述访问服务信息至客户端；

文件发送模块，被配置为接收所述客户端根据所述访问服务信息发起的文件访问请求，调用所述文件访问请求对应的加密文件，发送所述对应的加密文件至所述客户端。
如权利要求12所述的服务端，其中，所述文件管理模块还被配置为：接收所述移动办公文件。
如权利要求12所述的服务端，其中，所述文件管理模块还被配置为接收所述移动办公文件对应的权限策略及周期策略，所述权限策略包括访问范围及文件密级；根据所述权限策略及周期策略，设置所述加密文件的访问有效期和/或过期后处理模式和/或可信应用列表。
如权利要求12至14任一项所述的服务端，其中，所述文件管理模块被配置为使用预定哈希算法计算所述移动办公文件的哈希值，调用数字签名加密算法使用文控服务私钥对所述预定哈希算法及哈希值进行处理生成签名信息，将所述签名信息与所述移动办公文件组成所述移动办公文件的中间文件，调用对称加密算法使用所述移动办公文件的加密秘钥对所述中间文件进行加密，生成所述加密文件。
如权利要求15所述的服务端，其中，所述文件发送模块还被配置为在所述文件访问请求中提取所述客户端的文控服务公钥，查找所述对应的加密文件的加密秘钥，使用所述文控服务公钥对所述加密秘钥进行加密处理，传输加密后的加密秘钥至所述客户端。
一种用于移动办公的客户端，包括：

文件阅读模块，被配置为根据服务端的访问服务信息向所述服务端发起文件访问请求，接收所述服务端返回的与所述访问服务信息对应的加密文件，解密所述加密文件并加水印展示。
如权利要求17所述的客户端，还包括信息存储模块，被配置为接收并存储所述服务端发送的所述访问服务信息。
如权利要求17所述的客户端，其中，所述信息存储模块还被配置为获取所述加密文件的周期策略及权限策略，对所述加密文件及其加密密码进行存储管理。
如权利要求17所述的客户端，其中，所述文件阅读模块还被配置为在根据所述访问服务信息向所述服务端发起文件访问请求之前，判断是否存储有所述访问服务信息对应的加密文件，若是，则直接调用。
如权利要求17至20任一项所述的客户端，其中，所述文件访问请求携带文控服务公钥；所述文件阅读模块被配置为使用所述文控服务公钥对所述服务端返回的加密后的加密秘钥进行解密处理，获取加密秘钥，调用对称加密算法使用所述加密秘钥对所述加密文件进行解密，获取中间文件，所述中间文件包括签名信息与移动办公文件，调用数字签名加密算法使用文控服务私钥对所述签名信息进行签名校验，签名校验通过后，根据水印设置信息对所述移动办公文件进行水印处理，展示处理后的移动办公文件。
一种用于移动办公的系统，包括如权利要求12至16任一项所述的服务端、以及如权利要求17至21任一项所述的客户端。
一种非暂态计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为执行权利要求1-5中任一项的方法。
一种非暂态计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为执行权利要求6-10中任一项的方法。
一种非暂态计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为执行权利要求11所述的方法。