一种保证电子文件安全的方法,包括加密过程和解密过程,在主动加密的基础上嵌入了被动保护技术,能够使组织在防火墙外部保持对电子文档的控制,动态地管理文档使用策略,将现有IT投资的价值延伸至安全保障与内容管理系统之外,降低了与客户、供应商、合作伙伴及其他有关方共享信息的成本。
【技术实现步骤摘要】
本专利技术涉及一种电子文件的加密、解密技术,特别涉及一种保证 电子文件安全的方法。
技术介绍
在无纸化的数字时代,电子文件的安全成为信息安全中越来越重 要的部分。现有文档保护方案主要通过将硬盘上存储的数据加密, 以防止用户把数据从内网拷贝到外网,即安装保护方案客户端的计算 机上,所有的文档、程序等数据都在用户无察觉的情况下加密存储, 用户打开时则文档被透明解密,用户可观看,但是文档被拷贝到其他 未安装客户端的计算机上时,由于没有解密程序,无法观看,而且这 种解决方案不能控制文件分用户、分权限的使用,也就是说,所有正 常使用这台机器的用户对文件都拥有完全的权限;其次如果要跟踪文 件的使用情况,则必须在客户端运行自己的进程监听用户的行为,在 资源消耗和用户满意度方面存在较大的缺陷。
技术实现思路
本专利技术的目的在于克服上述现有技术的缺点,提出一种保证电子 文件安全的方法,能够使组织在防火墙外部保持对电子文档的控制, 动态地管理文档使用策略,并且充分考虑到加密文件的被动保护方 法,将现有IT投资的价值延伸至安全保障与内容管理系统之外,降 低了与客户、供应商、合作伙伴及其他有关方共享信息的成本。本专利技术的技术方案是这样实现的该电子文件的保护策略主要分主动保护和被动保护两部分,主动 保护是指依靠加密服务器将文件密级模块嵌入电子文件进行操作分 级限制来实现,被动保护是指依靠密集模块中的各项强制预先指令来 完成。该方法包括加密过程和解密过程,具体实现如下加密过程首先,文档的初始涉密人员登陆加密服务器,上传需 要加密的各类文档,验证完文档格式后,选择需要的加密方式,具体 的选择有1、 是否需要加入服务器身份验证2、 是否需要绑定本机MAC地址进行验证3、 是否需要使用者指纹进行认证4、 选择最大容许验证失败次数5、 选择是否需要进行强制命令选择可以是一种或一种以上,选择完成后对文档的加密结束。 其次,对加密文档进行权限分配,具体的选项有-1、 选择是否可以打开阅读2、 选择是否可以进行拷贝、剪切操作3、 选择是否可以进行离线操作4、 选择是否侦测截屏软件并禁用5、 选择是否记录加密文件的操作日志并上传 选择可以是一种或一种以上,选择完成后加密服务器会提示用户对初始文件进行上传备份,上传结束后,服务器会自动输出封装好的EFE加密文件到使用者本地计算机,整个加密过程结束。解密过程加密文件在执行操作时,首先会和加密服务器连接, 确定使用环境。如果在局域网中使用,首先会连接加密服务器进行身份验证,根 据对应不同的密匙分配不同的操作权限。在规定中涉密级别比较低的电子文档中,只使用服务器验证一种 方法便可以满足基本需要,对于规定总的涉密级别比较高的电子文件来说,预先在文件密集管理模块中嵌入合法MAC地址,在进行初始 操作的时候会自动比对操作计算机的MAC地址是否和预先储存的 MAC地址相吻合,便可以有效地防止加密文件在网络上的传播。 MAC地址认证和服务器认证相互独立,可以任意单独使用,也可以 组合使用,需要指出的是,如果两种认证方式组合使用的话,必须两 者全部通过验证,才能对加密文件进行操作。增加指纹识别模块,对于电子文件的加密又是一个很好的补充, 将权限级别不同的指纹嵌入文件密级管理模块,在对文件进行初始操 作时会提示用户扫描指纹以获得身份确认。服务器认证、MAC地址认证、指纹认证都是主动加密保护的模 式,用户可以根据不同的密级保护选择不同的策略。比如,局域网内 传播的涉密级别低的资料就可以只使用MAC地址认证,这样不仅可 以有效地阻止文件的网外传播而且使用简单,不需要复杂的操作,对 使用者来说操作习惯没有任何更改。对于涉密级别相对较高的文件来 说,三种认方式可以任意两项或三项组合使用,提高安全级别,同样,组合认证方式必须全部通过,并且对应分配的权限相同才可以对加密 电子文件进行操作。如果不在局域网中使用,那么就无法使用服务器验证,所以必须 在文件密级管理模块中加入离线加密信息。离线用户名密码认证,该认证方式使用简单,只需要在对话框中 正确填入申请的用户名和密码就能正常使用加密文件。离线加密方式也可以使用MAC地址认证和指纹认证。离线操作相对于在线操作具有更大的风险性,在资料传送,第三 方修改等场合下,加密文件的保护更为重要,所以有加密文件需要离 线操作的情况下,必须在密级管理模块中嵌入使用时限、使用方式限 制加密信息。使用时限的完成是指依靠对比计算机时钟来完成,小于或超过规 定时间的情况下,即使认证通过,也无法对文件进行操作。使用方式限制是指依靠调用函数的禁用实现对加密文件拷贝、剪 贴、移动之非本地硬盘的操作。对加密文件的各种认证方式都属于主动加密方式,当加密文件被 试图非法操作的时候,需要有被动保护策略来保证加密文件在某种特 定的极端的条件下的安全。当使用加密文件的第一次认证失败时,被动保护策略就会被启 动,依照密级不同的文件,容许认证失败的次数将被分别定义。通常 情况下,考虑到误操作,加密服务器认为3次以内的认证通过是合法 的。第二次认证失败的同时,本地计算机将会和加密服务器建立连接,记录认证失败的计算机MAC地址、用户名、时间、加密文件名等详细信息将会被自动上传至服务器上进行审计备份,以便日后对非法操作进行査询。超过密级容许失败次数的操作,加密服务器将认为是危险操作, 根据在线或离线状态,以及加密等级的不同,将会执行强制命令。强制加密文件上传服务器是基础的被动保护措施,在实际中,要 求所有的加密文件都应该有安全的备份存在,在上传完加密文件后, 后续的强制命令才能安全的执行。在密级管理模块中嵌入触发命令,当认证失败次数达到一定条件 时,在本地计算机上执行强制关机或者强制粉碎本地受保护文件的操 作。本专利技术主要针对转换后的文件进行加密和保存,利用文件密级管 理模块对电子文件进行权限管理。本专利技术的主要特点是在主动加密的 基础上嵌入了被动保护技术,前者旨在对加密文件进行权限管理、禁止对文件的各类操作,从而有效地避免了文件的二次传播以及盗用; 而后者主要适用于涉密级别比较高的场所,被动保护技术采取极端的 方法保护加密文件不受非法操作,所以加密服务器的上传备份功能就 显得格外重要。本专利技术的功能可以分开使用,在涉密级别较低的场所只使用主动 加密功能就可以满足大多数的需要,而且成本较低;而在涉密级别高 的场所,嵌入被动保护技术可以增加对文件的保护力度。 附图说明图1为本专利技术的加密流程图。 图2为本专利技术的解密流程图。 具体实施例方式下面结合附图对本专利技术的内容作进一步的详细说明。 参见图1,本专利技术的加密过程的具体流程是首先,文档的初始涉密人员登陆加密服务器,上传需要加密的各 类文档,验证完文档格式后,选择需要的加密方式,具体的选择有6、 是否需要加入服务器身份验证7、 是否需要绑定本机MAC地址进行验证8、 是否需要使用者指纹进行认证9、 选择最大容许验证失败次数10、 选择是否需要进行强制命令选择可以是一种或一种以上,选择完成后对文档的加密结束。 其次,对加密文档进行权限分配,具体的选项有6、 选择是否可以打开阅读7、 选择是否可以进行拷贝、剪切操作8、 选择是否可以进行离线操作9、 选择是否侦测截屏软件并禁用10、 选择是否记本文档来自技高网...
【技术保护点】
一种保证电子文件安全的方法,包括加密过程和解密过程,其特征在于, 加密过程的具体流程是: 首先,文档的初始涉密人员登陆加密服务器,上传需要加密的各类文档,验证完文档格式后,选择需要的加密方式,具体的选择有: 1、是否需要加入服务器身份验证 2、是否需要绑定本机MAC地址进行验证 3、是否需要使用者指纹进行认证 4、选择最大容许验证失败次数 5、选择是否需要进行强制命令 选择可以是一种或一种以上; 其次,对加密文档进行权限分配,具体的选项有: 1、选择是否可以打开阅读 2、选择是否可以进行拷贝、剪切操作 3、选择是否可以进行离线操作 4、选择是否侦测截屏软件并禁用 5、选择是否记录加密文件的操作日志并上传 选择可以是一种或一种以上,选择完成后加密服务器会提示用户对初始文件进行上传备份,上传结束后,服务器会自动输出封装好的EFE加密文件到使用者本地计算机,整个加密过程结束; 解密过程的具体流程是: 首先,对加密文件所使用的网络环境进行检测,自动连接服务器进行认证,判断为在线操作还是离线操作。 如果为在线操作,那么所有的认证都需要得到服务器的许可方可通过,对预先存入密级管理模块的用户名、密码进行验证,或者进行授权MAC地址服务器验证或指纹的比对服务器验证,如果验证通过,则分配密码所对应的操作权限,正确使用文档。 如果判断为离线操作,则也是需要通过用户名密码、MAC地址、指纹验证,其验证方法是客户短验证,可以任意组合,并且通过验证的授权必须相同时,才能对文件进行合法操作,正确使用文档。...
【技术特征摘要】
【专利技术属性】
技术研发人员:孙涛,孙佳,
申请(专利权)人:西安鼎蓝通信技术有限公司,
类型:发明
国别省市:87[中国|西安]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。