面向文件外发的数据防泄漏控制方法、系统技术方案

本发明专利技术属于数据安全技术领域，提供了一种面向文件外发的数据防泄漏控制方法、系统。该方法包括获取应用程序请求，根据应用程序请求，确定目标文件，并对目标文件进行加密或解密处理，将加密后的目标文件写入磁盘，或加载解密后的目标文件。本发明专利技术面向文件外发的数据防泄漏控制方法、系统，能够防止数据泄漏，提高文件外发的安全性能。

Data leakage prevention control method and system for file outgoing data

The invention belongs to the field of data security technology, and provides a data leakage prevention control method and system for outgoing files. This method includes obtaining application requests, determining target files according to application requests, encrypting or decrypting the target files, writing the encrypted target files to the disk, or loading the decrypted target file. The invention discloses a data leakage prevention control method and system for outgoing files, which can prevent data leakage and improve the safety performance of files.

【技术实现步骤摘要】
面向文件外发的数据防泄漏控制方法、系统
本专利技术涉及数据安全
，具体涉及一种面向文件外发的数据防泄漏控制方法、系统。
技术介绍
外发文件通常采用加密的方式防止文件内容泄漏，但是，解密后的文件未能受到保护，仍有可能导致内容泄漏。并且，以明文形式存储在U盘上的文件，任何人都可以方便的浏览，编辑，若U盘保管不善，机密文件的内容很容易被窃取、篡改。另外，传统的文件加密方式总会改变用户的操作习惯，不能做到强制性加密。如何防止数据泄漏，提高文件外发的安全性能，是本领域技术人员亟需解决的问题。
技术实现思路
针对现有技术中的缺陷，本专利技术提供了一种面向文件外发的数据防泄漏控制方法、系统，能够防止数据泄漏，提高文件外发的安全性能。第一方面，本专利技术提供一种面向文件外发的数据防泄漏控制方法，该方法包括：获取应用程序请求。根据应用程序请求，确定目标文件，并对目标文件进行加密或解密处理。将加密后的目标文件写入磁盘，或加载解密后的目标文件。进一步地，获取应用程序请求之前，该方法还包括：获取文件系统驱动的注册信息。根据应用程序请求，确定目标文件，并对目标文件进行加密或解密处理，包括：根据应用程序请求，确定目标文件，并触发磁盘逻辑卷访问请求。根据文件系统驱动的注册信息，识别磁盘逻辑卷访问请求。根据识别出的磁盘逻辑卷访问请求，对目标文件进行加密或解密处理。基于上述任意面向文件外发的数据防泄漏控制方法实施例，进一步地，根据应用程序请求，确定目标文件，并对目标文件进行加密或解密处理，包括：当应用程序请求为加密写操作IRP包时，则：获取加密密钥。从加密写操作IRP包指定的地址中读取目标文件，目标文件为明文。采用对称加密算法对目标文件进行加密。当应用程序请求为读操作IRP包时，则：判断目标文件是否为加密文件：若是，则对加密文件进行解密。进一步地，获取加密密钥之前，该方法还包括：针对每个文件，随机生成加密密钥，并保存至该文件的文件头。采用非对称加密方式，对文件的文件头进行加密，并将私钥保存至目标服务器。获取加密密钥，包括：向目标服务器申请私钥。根据私钥，确定加密密钥。基于上述任意面向文件外发的数据防泄漏控制方法实施例，进一步地，该方法还包括：加载API函数。采用自定义函数地址替换API函数地址，自定义函数地址，用于在应用程序执行时传输数据。基于上述任意面向文件外发的数据防泄漏控制方法实施例，进一步地，将加密后的目标文件写入磁盘之前，该方法还包括：按照磁盘格式，对内存进行区域划分。根据应用程序请求，访问区域划分后的内存。第二方面，本专利技术提供一种面向文件外发的数据防泄漏控制系统，该系统包括依次连接的I/O管理器、文件系统驱动、存储设备驱动和磁盘，I/O管理器用于获取应用程序请求。文件系统驱动用于根据应用程序请求，确定目标文件，并对目标文件进行加密或解密处理。存储设备驱动用于将加密后的目标文件写入磁盘，或使磁盘加载解密后的目标文件。进一步地，本实施例面向文件外发的数据防泄漏控制系统还包括：服务器，服务器与文件系统驱动连接，服务器用于针对每个文件，随机生成加密密钥，并保存至该文件的文件头，采用非对称加密方式，对文件的文件头进行加密，并保存。由上述技术方案可知，本实施例提供的面向文件外发的数据防泄漏控制方法、系统，综合运用多种技术，能够自动对未加密的目标文件进行加密，实现强制性加密，并且，只有在特定的环境中，才能够对已加密的目标文件进行解密，无需改变用户的操作习惯，防止数据泄漏，提高文件外发的安全性能。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。图1示出了本专利技术所提供的一种面向文件外发的数据防泄漏控制方法的方法流程图；图2示出了本专利技术所提供的APIHOOK技术的原理示意图；图3示出了本专利技术所提供的一种面向文件外发的数据防泄漏控制系统的连接示意图；图4示出了本专利技术所提供的透明文件加密的原理示意图。具体实施方式下面将结合附图对本专利技术技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案，因此只是作为示例，而不能以此来限制本专利技术的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本专利技术所属领域技术人员所理解的通常意义。本专利技术实施例提供的面向文件外发的数据防泄漏控制方法、系统，综合运用多种技术，对文件外发的全过程进行保护，最大限度地防止文件内容泄漏。其中，本专利技术实施例提供的面向文件外发的数据防泄漏控制方法的核心技术为：基于文件系统的透明加解密技术、APIHOOK的防篡改、防打印、防复制、防截屏技术和虚拟磁盘技术。针对特定的应用程序，透明加解密技术确保每个外发文件不能以明文形式外发，外发文件必须使用特定的外发工具才能打开，同时，保持文件的原有格式不变。外发工具首先利用内存创建虚拟的不可见的磁盘，然后解密文件释放到虚拟磁盘上，文件关闭，又以密文形式保存在原始文件目录中，整个过程处于全保护之中。第一方面，本专利技术实施例所提供的一种面向文件外发的数据防泄漏控制方法，结合图1，该方法包括：步骤S1，获取应用程序请求，如应用程序Open、Create、Read、Write和Close文件的请求。步骤S2，根据应用程序请求，确定目标文件，并对目标文件进行加密或解密处理，实现透明加解密，如目标文件在U盘上是密文，在内存中是明文。步骤S3，将加密后的目标文件写入磁盘，或加载解密后的目标文件。由上述技术方案可知，本实施例提供的面向文件外发的数据防泄漏控制方法，能够自动对未加密的目标文件进行加密，实现强制性加密，并且，只有在特定的环境中，才能够自动对已加密的目标文件进行解密，无需改变用户的操作习惯，防止数据泄漏，提高文件外发的安全性能。为了进一步提高本实施例面向文件外发的数据防泄漏控制方法的准确性，具体地，在获取应用程序请求之前，该方法还包括：获取文件系统驱动的注册信息。文件系统驱动工作原理主要是依赖I/O管理器的，若I/O管理器预先取得文件系统驱动的注册信息，则能够有效识别磁盘逻辑卷访问请求。根据应用程序请求，确定目标文件，并对目标文件进行加密或解密处理，包括：根据应用程序请求，确定目标文件，并触发磁盘逻辑卷访问请求。根据文件系统驱动的注册信息，识别磁盘逻辑卷访问请求。根据识别出的磁盘逻辑卷访问请求，对目标文件进行加密或解密处理。在此，本实施例面向文件外发的数据防泄漏控制方法，能够预先获取文件系统驱动的注册信息，并有效识别出磁盘逻辑卷访问请求，提高目标文件加密、解密操作的准确性。具体地，在透明加解密执行方面，结合图4，根据应用程序请求，确定目标文件，并对目标文件进行加密或解密处理时，具体实现过程如下：当应用程序请求为加密写操作IRP包时，则：获取加密密钥与文件加密标志。从加密写操作IRP包指定的地址中读取目标文件，目标文件为明文。采用对称加密算法对目标文件进行加密。向下层传递IRP包，将密文写入磁盘上，同时，将文件的相关信息记录到文件加密属性中。若针对的应用程序并不是特定的应用程序，则不执行透明加解密处理。例如，针对Word文档会自本文档来自技高网...

【技术保护点】
1.一种面向文件外发的数据防泄漏控制方法，其特征在于，包括：获取应用程序请求；根据所述应用程序请求，确定目标文件，并对所述目标文件进行加密或解密处理；将加密后的目标文件写入磁盘，或加载解密后的目标文件。

【技术特征摘要】
1.一种面向文件外发的数据防泄漏控制方法，其特征在于，包括：获取应用程序请求；根据所述应用程序请求，确定目标文件，并对所述目标文件进行加密或解密处理；将加密后的目标文件写入磁盘，或加载解密后的目标文件。2.根据权利要求1所述面向文件外发的数据防泄漏控制方法，其特征在于，获取应用程序请求之前，该方法还包括：获取文件系统驱动的注册信息；根据所述应用程序请求，确定目标文件，并对所述目标文件进行加密或解密处理，包括：根据所述应用程序请求，确定目标文件，并触发磁盘逻辑卷访问请求；根据所述文件系统驱动的注册信息，识别所述磁盘逻辑卷访问请求；根据识别出的磁盘逻辑卷访问请求，对所述目标文件进行加密或解密处理。3.根据权利要求1所述面向文件外发的数据防泄漏控制方法，其特征在于，根据所述应用程序请求，确定目标文件，并对所述目标文件进行加密或解密处理，包括：当所述应用程序请求为加密写操作IRP包时，则：获取加密密钥；从所述加密写操作IRP包指定的地址中读取目标文件，所述目标文件为明文；采用对称加密算法对所述目标文件进行加密；当所述应用程序请求为读操作IRP包时，则：判断目标文件是否为加密文件：若是，则对所述加密文件进行解密。4.根据权利要求3所述面向文件外发的数据防泄漏控制方法，其特征在于，获取加密密钥之前，该方法还包括：针对每个文件，随...

【专利技术属性】
技术研发人员：刘立军，蔡建，汪楫人，
申请(专利权)人：云易天成北京安全科技开发有限公司，
类型：发明
国别省市：北京,11