云文档加密及解密方法、加密及解密装置、以及处理系统制造方法及图纸

本发明专利技术提供一种云文档加密及解密方法、加密及解密装置、以及处理系统。该云文档加密方法包括：根据预设的文档权限信息选择对应的文档加密密钥对文档体进行加密；分别采用产品保护密钥和机构保护密钥对文档加密密钥进行加密，生成产品文档加密密钥和机构文档加密密钥存储在文档的文档头中；根据存储在文档头的信息计算得到第一哈希值，并将第一哈希值存储在加密后的文档体中，文档头和加密后的文档体构成加密文档；文档头的信息包括：产品文档加密密钥、机构文档加密密钥和文档权限信息；将加密文档发送至服务器。本发明专利技术实现了文档密钥的分散存储，可以优化文档的存储结构，解决了文档密钥集中存储的风险。

Encryption and decryption methods for cloud documents, encryption and decryption devices, and processing systems

The invention provides a method for encryption and decryption of cloud documents, an encryption and decryption device, and a processing system. The cloud document encryption method comprises: according to preset document permission information document encryption key corresponding to encrypt the document body; were used to protect the key products and key protection mechanism of document encryption key for encryption, encryption key and product documentation generation mechanism document encryption key stored in the document header document; according to the information stored in the the document head is calculated by the first hash value and the first hash value encrypted document stored in the body, head and body document document encryption of the encrypted document; document header information includes: product documentation, document encryption key encryption key mechanism and document permissions information sent to the server encrypted document. The invention realizes the decentralized storage of the document key, and can optimize the storage structure of the document, and solve the risk of the centralized storage of the document key.

【技术实现步骤摘要】
云文档加密及解密方法、加密及解密装置、以及处理系统
本专利技术涉及信息安全防护
，具体地，涉及一种云文档加密及解密方法、加密及解密装置、以及处理系统。
技术介绍
随着信息技术的发展，电子文档逐步替代纸质文档，成为企业信息的重要载体。此外，企业(尤其是银行业)内部的各类应用系统，也随时为员工提供各类包含敏感信息的电子文档下载，而信息作为多数企业的核心资产是重点的安全防护对象，因此，文档安全自然成为企业安全中不可或缺的重要组成部分，并逐渐成为企业安全关注的焦点。同时，随着智能手机等移动设备的兴起，文档的跨终端同步及访问需求也日益强烈，云文档成为企业迎合上述需求的主要解决方案，而引入云文档后如何保证文档在客户端及服务器得到一致的安全防护，给各企业提出了新的挑战。传统的文档安全产品专注于文档实体的加密及权限控制，采用密钥集中存储的管理方式，很好的解决了传统终端的文档安全访问控制，但目前的文档密钥及权限集中存储，存在集中存储信息丢失造成所有文档无法正常访问的风险。
技术实现思路
本专利技术实施例的主要目的在于提供一种云文档加密及解密方法、加密及解密装置、以及处理系统，以克服安全产品的不足，优化了文档的存储结构，解决了文档密钥集中存储的风险。为了实现上述目的，本专利技术实施例提供一种云文档加密方法，包括：根据预设的文档权限信息选择对应的文档加密密钥对文档体进行加密；分别采用产品保护密钥和机构保护密钥对文档加密密钥进行加密，生成产品文档加密密钥和机构文档加密密钥存储在文档的文档头中；根据存储在文档头的信息计算得到第一哈希值，并将第一哈希值存储在加密后的文档体中，文档头和加密后的文档体构成加密文档；文档头的信息包括：产品文档加密密钥、机构文档加密密钥和文档权限信息；将加密文档发送至服务器。在其中一种实施例中，文档头的信息还包括：文档ID，作者ID，机构ID、文档生成时间和权限版本号；文档体包括：文档ID、第一哈希值和文档内容。在其中一种实施例中，根据加密文档访问请求解析加密文档的文档头，获取文档头的文档权限信息、机构ID和机构文档加密密钥，并发送文档头的机构ID和机构文档加密密钥至服务器；接收服务器反馈的文档加密密钥，其中，文档加密密钥由服务器根据机构ID解密机构文档加密密钥获得；根据文档权限信息和当前用户身份信息判断当前用户是否有权限访问加密文档；若用户有权限访问加密文档，则采用文档加密密钥解密文档体，并根据当前用户身份提供相应的文档权限。在其中一种实施例中，还包括：根据加密文档访问请求解析加密文档的文档头之前，判断加密文档是否为本地文档；当加密文档为本地文档时，获取文档头的文档权限信息、机构ID和机构文档加密密钥，发送文档头的机构ID和机构文档加密密钥至服务器；当加密文档不是本地文档时，向服务器发送获取加密文档请求；接收来自服务器的加密文档，缓存在本地预设的目录。在其中一种实施例中，还包括：根据加密文档访问请求解析加密文档的文档头之后，获取文档头的文档ID和权限版本号，发送文档头的文档ID和权限版本号至服务器；接收服务器反馈的文档信息；当加密文档的当前权限版本号与文档头的权限版本号相同时，文档信息包括文档加密密钥；当加密文档的当前权限版本号与文档头的权限版本号不同时，文档信息包括文档加密密钥和加密文档的当前文档权限信息；其中，当前权限版本号和当前文档权限信息是由服务器根据文档头的文档ID查询获得。在其中一种实施例中，当加密文档的当前权限版本号与文档头的权限版本号相同时，在接收服务器反馈的文档信息之后，还包括：根据文档加密密钥解密文档体，获得第一哈希值；根据当前文档头的信息计算得到第二哈希值，比较第一哈希值和第二哈希值是否一致以判断文档头是否被篡改；若文档头未被篡改，根据文档权限信息和当前用户身份信息判断当前用户是否有权限访问加密文档。在其中一种实施例中，若文档头被篡改或用户没有权限访问加密文档，则提示用户访问文档失败，并给出用户访问文档失败的原因。在其中一种实施例中，当加密文档的当前权限版本号与文档头的权限版本号不同时，接收服务器反馈的文档信息之后，还包括：根据当前文档权限信息更新文档头的文档权限信息；根据更新后的文档头的信息计算得到第三哈希值；根据第三哈希值更新文档体。在其中一种实施例中，文档权限包括：主权限，包括只读、编辑和完全控制；附加权限，包括复制、打印、分发和离线。在其中一种实施例中，若用户有权限编辑加密文档时，还包括：启动文档定时上传进程，按照预设的时间间隔定时将加密文档修改的内容同步上传至服务器；或，根据文档保存请求或文档关闭请求将加密文档修改的内容同步上传至服务器。本专利技术实施例还提供一种云文档解密方法，包括：接收来自客户端的机构ID、文档ID、权限版本号和机构文档加密密钥；根据文档头的文档ID获取当前加密文档的权限版本号，判断当前加密文档的权限版本号与文档头的权限版本号是否相同；若当前加密文档的权限版本号与文档头的权限版本号相同，根据机构ID选择相应的机构解密密钥解密机构文档加密密钥获得文档加密密钥，发送文档加密密钥至客户端；若当前加密文档的权限版本号与文档头的权限版本号不同，解析文档头的文档ID获取当前加密文档的文档权限信息，根据机构ID选择相应的机构解密密钥解密机构文档加密密钥获得文档加密密钥，发送当前加密文档的文档权限信息和文档加密密钥至客户端。在其中一种实施例中，当机构文档加密密钥或机构解密密钥丢失时，还包括：接收来自客户端的产品文档加密密钥；根据机构ID选择相应的产品解密密钥；根据相应的产品解密密钥解密产品文档加密密钥获得文档加密密钥；发送文档加密密钥至客户端。本专利技术实施例还提供一种云文档加密装置，包括：文档加密密钥模块，用于根据预设的文档权限信息选择对应的文档加密密钥对文档体进行加密；密钥加密模块，用于分别采用产品保护密钥和机构保护密钥对文档加密密钥进行加密，生成产品文档加密密钥和机构文档加密密钥存储在文档的文档头中；加密文档生成模块，用于根据存储在文档头的信息计算得到第一哈希值，并将第一哈希值存储在加密后的文档体中，文档头和加密后的文档体构成加密文档；文档头的信息包括：产品文档加密密钥、机构文档加密密钥和文档权限信息；客户端通信模块，用于将加密文档发送至服务器。在其中一种实施例中，文档头的信息还包括：文档ID，作者ID，机构ID、文档生成时间和权限版本号；文档体包括：文档ID、第一哈希值和文档内容。在其中一种实施例中，还包括：文档解析模块，用于根据加密文档访问请求解析加密文档的文档头，获取文档头的文档权限信息、机构ID和机构文档加密密钥，并发送文档头的机构ID和机构文档加密密钥至服务器；客户端通信模块接收服务器反馈的文档加密密钥，其中，文档加密密钥由服务器根据机构ID解密机构文档加密密钥获得；用户权限判断模块，用于根据文档权限信息和当前用户身份信息判断当前用户是否有权限访问加密文档；文档权限模块，用于采用文档加密密钥解密文档体，并根据当前用户身份信息提供相应的文档权限。在其中一种实施例中，还包括：文档地址判断模块，用于判断加密文档是否为本地文档；客户端通信模块还用于：获取文档头的文档权限信息、机构ID和机构文档加密密钥，发送文档头的机构ID和机构文档加密密钥至服务器；向服务器发送本文档来自技高网...

【技术保护点】
一种云文档加密方法，其特征在于，包括：根据预设的文档权限信息选择对应的文档加密密钥对文档体进行加密；分别采用产品保护密钥和机构保护密钥对所述文档加密密钥进行加密，生成产品文档加密密钥和机构文档加密密钥存储在所述文档的文档头中；根据存储在所述文档头的信息计算得到第一哈希值，并将所述第一哈希值存储在加密后的文档体中，所述文档头和所述加密后的文档体构成加密文档；所述文档头的信息包括：产品文档加密密钥、机构文档加密密钥和文档权限信息；将所述加密文档发送至服务器。

【技术特征摘要】
1.一种云文档加密方法，其特征在于，包括：根据预设的文档权限信息选择对应的文档加密密钥对文档体进行加密；分别采用产品保护密钥和机构保护密钥对所述文档加密密钥进行加密，生成产品文档加密密钥和机构文档加密密钥存储在所述文档的文档头中；根据存储在所述文档头的信息计算得到第一哈希值，并将所述第一哈希值存储在加密后的文档体中，所述文档头和所述加密后的文档体构成加密文档；所述文档头的信息包括：产品文档加密密钥、机构文档加密密钥和文档权限信息；将所述加密文档发送至服务器。2.根据权利要求1所述的云文档加密方法，其特征在于，所述文档头的信息还包括：文档ID，作者ID，机构ID、文档生成时间和权限版本号；所述文档体包括：所述文档ID、所述第一哈希值和文档内容。3.根据权利要求2所述的云文档加密方法，其特征在于，还包括：根据加密文档访问请求解析所述加密文档的文档头，获取所述文档头的文档权限信息、机构ID和机构文档加密密钥，并发送所述文档头的机构ID和机构文档加密密钥至所述服务器；接收所述服务器反馈的文档加密密钥，其中，所述文档加密密钥由所述服务器根据所述机构ID解密所述机构文档加密密钥获得；根据所述文档权限信息和当前用户身份信息判断当前用户是否有权限访问所述加密文档；若用户有权限访问所述加密文档，则采用所述文档加密密钥解密所述文档体，并根据当前用户身份信息提供相应的文档权限。4.根据权利要求3所述的云文档加密方法，其特征在于，还包括：根据加密文档访问请求解析所述加密文档的文档头之前，判断所述加密文档是否为本地文档；当所述加密文档为本地文档时，获取所述文档头的文档权限信息、机构ID和机构文档加密密钥，发送所述文档头的机构ID和机构文档加密密钥至所述服务器；当所述加密文档不是本地文档时，向所述服务器发送获取加密文档请求；接收来自所述服务器的所述加密文档，缓存在本地预设的目录。5.根据权利要求3所述的云文档加密方法，其特征在于，还包括：根据加密文档访问请求解析所述加密文档的文档头之后，获取所述文档头的文档ID和权限版本号，发送所述文档头的文档ID和权限版本号至所述服务器；接收所述服务器反馈的文档信息；当所述加密文档的当前权限版本号与所述文档头的权限版本号相同时，所述文档信息包括所述文档加密密钥；当所述加密文档的当前权限版本号与所述文档头的权限版本号不同时，所述文档信息包括所述文档加密密钥和所述加密文档的当前文档权限信息；其中，所述当前权限版本号和所述当前文档权限信息是由所述服务器根据所述文档头的文档ID查询获得。6.根据权利要求5所述的云文档加密方法，其特征在于，当所述加密文档的当前权限版本号与所述文档头的权限版本号相同时，在接收所述服务器反馈的文档信息之后，还包括：根据所述文档加密密钥解密所述文档体，获得所述第一哈希值；根据当前所述文档头的信息计算得到第二哈希值，比较所述第一哈希值和所述第二哈希值是否一致以判断所述文档头是否被篡改；若所述文档头未被篡改，根据所述文档权限信息和当前用户身份信息判断当前用户是否有权限访问所述加密文档。7.根据权利要求6所述的云文档加密方法，其特征在于：若所述文档头被篡改或用户没有权限访问所述加密文档，则提示用户访问文档失败，并给出用户访问文档失败的原因。8.根据权利要求5所述的云文档加密方法，其特征在于，当所述加密文档的当前权限版本号与所述文档头的权限版本号不同时，接收所述服务器反馈的文档信息之后，还包括：根据所述当前文档权限信息更新所述文档头的文档权限信息；根据更新后的文档头的信息计算得到第三哈希值；根据第三哈希值更新所述文档体。9.根据权利要求3所述的云文档加密方法，其特征在于，所述文档权限包括：主权限，包括只读、编辑和完全控制；附加权限，包括复制、打印、分发和离线。10.根据权利要求3所述的云文档加密方法，其特征在于，若用户有权限编辑所述加密文档时，还包括：启动文档定时上传进程，按照预设的时间间隔定时将所述加密文档修改的内容同步上传至服务器；或，根据文档保存请求或文档关闭请求将所述加密文档修改的内容同步上传至服务器。11.一种云文档解密方法，其特征在于，包括：接收来自客户端的机构ID、文档ID、权限版本号和机构文档加密密钥；根据所述文档头的文档ID获取当前加密文档的权限版本号，判断当前加密文档的权限版本号与所述文档头的权限版本号是否相同；若所述当前加密文档的权限版本号与所述文档头的权限版本号相同，根据所述机构ID选择相应的机构解密密钥解密所述机构文档加密密钥获得文档加密密钥，发送所述文档加密密钥至所述客户端；若所述当前加密文档的权限版本号与所述文档头的权限版本号不同，解析所述文档头的文档ID获取当前加密文档的文档权限信息，根据所述机构ID选择相应的机构解密密钥解密所述机构文档加密密钥获得文档加密密钥，发送当前加密文档的文档权限信息和所述文档加密密钥至所述客户端。12.根据权利要求11所述的云文档解密方法，其特征在于，当所述机构文档加密密钥或所述机构解密密钥丢失时，还包括：接收来自所述客户端的产品文档加密密钥；根据所述机构ID选择相应的产品解密密钥；根据相应的产品解密密钥解密...

【专利技术属性】
技术研发人员：陈锦祥，王辉，赵春，闫玲，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：北京,11