一种文件安全控制方法及装置制造方法及图纸

本发明专利技术提供一种文件安全控制方法及对应的装置，应用于主机上，该方法包括：步骤A、在发生已登录域用户将当前主机本地硬盘上的文件向域外复制事件时，为需要复制的当前文件获取对应的加密密钥；步骤B、使用该加密密钥对当前文件中的明文数据进行加密形成密文数据，并将与该加密密钥对应的加密标识保存在该已加密文件的明文区中。相对于现有技术而言，本发明专利技术在保障了文件信息安全的前提下又提高了组织内部用户之间文件交流的效率。

【技术实现步骤摘要】
一种文件安全控制方法及装置
本专利技术涉及电子文件处理技术，尤其涉及一种文件安全控制方法及对应的装置。
技术介绍
随着信息化技术的推广，包括政府机关以及企业在内的各种大型社会组织越来越倾向于采用电子化的方式来保存自身的业务及管理数据。以企业为例，大部分企业的财务报表、员工档案、设计图纸、音像资料等数据通常都采用电子文件的形式予以保存。电子文件已经成为一种不可替代的数据储存方式。电子文件相对于传统的纸质文件的方式有着各种显而易见的卓越优势。比如说电子文件相对于传统的纸质文件更容易被传播，然而更容易被传播意味着电子文件更容易产生信息安全的问题。如何防止文件未经内部合规程序的批准而流传到外部是一个极具挑战的安全工作，也是目前各种社会组织非常迫切的信息化安全需求。针对这种安全需求，目前市场上出现了一些解决方案，主要有如下几类技术：文档权限管理系统、主动型文件加密系统、文档透明加解密系统。这几类技术都可以从一定程度上解决客户端的文件安全问题，但目前还没有一种解决方案，在不影响用户使用的前提下，能做到有效防止用户计算机存放的各类保密文件的泄密。微软公司的RMS系统是一种典型的文档权限管理系统。R本文档来自技高网...

【技术保护点】
一种文件安全控制装置，应用于主机上，该装置包括：加密准备单元以及加密执行单元，其特征在于：加密准备单元，用于在发生已登录域用户将当前主机本地硬盘上的文件向域外复制事件时，为需要复制的当前文件获取对应的加密密钥；加密执行单元，用户使用该加密密钥对当前文件中的明文数据进行加密形成密文数据，并将与该加密密钥对应的加密标识保存在该已加密文件的明文区中。

【技术特征摘要】
1.一种文件安全控制装置，应用于主机上，该装置包括：加密准备单元以及加密执行单元，其特征在于：加密准备单元，用于在发生已登录域用户将当前主机本地硬盘上的文件向域外复制事件时，为需要复制的当前文件获取对应的与该用户身份有关联的加密密钥；在发生未登录域用户将当前主机本地硬盘上的文件向外复制事件时，禁止该复制操作或者为需要复制的当前文件获取对应的与该用户身份无关的加密密钥；其中，域内的主机本地硬盘上的文件以明文形式保存；加密执行单元，用于使用该加密密钥对当前文件中的明文数据进行加密形成密文数据，并将与该加密密钥对应的加密标识保存在该已加密文件的明文区中；其中，该加密密钥为与该用户身份有关联的加密密钥时，该已加密文件的明文区还保存了该用户的用户域标识；所述加密准备单元，进一步用于在发生已登录域用户将当前主机本地硬盘上的文件向域内其他主机复制事件时，允许复制操作透明通过；解密准备单元，用于判断即将复制到本地硬盘上的当前文件是否携带有加密标识，如果仅携带加密标识，则根据该加密标识从预设的密钥生成要素总集中确定出对应的密钥生成要素子集，并根据预设的密钥生成算法使用该密钥生成要素子集生成解密密钥；如果携带加密标识和用户域标识，根据用户域标识从域控服务器上获取对应的密钥生成要素总集，并根据加密标识从密钥生成要素总集中确定出对应的密钥生成要素子集，然后根据预设的密钥生成算法使用密钥生成要素子集生成解密密钥；解密执行单元，用于根据该解密密钥对文件中的密文数据进行解密形成明文数据。2.如权利要求1所述的装置，其特征在于：所述加密准备单元获取对应的加密密钥过程包括：从本地保存的密钥生成要素总集确定出密钥生成要素子集，并根据预定密钥生成算法使用密钥生成子集生成所述加密密钥。3.如权利要求2所述的装置，其特征在于：所述密钥生成要素子集中包括与用户有关联的密钥生成要素。4.如权利要求3所述的装置，其特征在于：所述密钥生成要素子集包括多个密钥生成要素，其中至少一个密钥生成要素与用户有关联。5.如权利要求2所述的装置，其特征在于：所述加密执行单元进一步用于在处理完当前文件之后判断当前文件是否为复制操作中的最后一个文件，如果是则结束，否则选择下一个文件作为当前文件并返回加密准备单元继续处理；所述加密准备单元从本地保存的密钥生成要素总集确定出密钥生成要素子集过程具体为：根据预设的动态规则从本地保存的密钥生成要素总集中确定出密钥生成要素子集。6.如权利要求1所述的装置，其特征在于：所述加密准备单元，进一步用于在发生已登录域用户将当前主机本地硬盘上的文件向域外复制事件时，先判断该用户是否符合例外安全策略，如果是则允许复制操作透明通过，否则继续为需要处理的当前文件获取对应的加密密钥。7.如权利要求1所述的装置，其特征在于：所述加密准备单元，进一步用于在发生未登录域用户将当前主机本地硬盘上的文件向外复制事件时，先判断当前主机是否符合例外安全策略，如果是则允许复制操作透明通过，否则继续禁止该复制操作或者为需要复制的当前文件获取对应的加密密钥。8.如权利要求6或7所述的装置，其特征在于，该装置还包括：配置管理单元，用于从域控服务器获取所述例外安全策略。9.如权利要求1所述的装置，其特征在于：所述解密准备单元，进一步用于在当前文件未携带加密标识时，允许针对当前文件的复制操作透明通过。10.如权利要求1所述的装置，其特征在于：所述解密准备单元，进一步用于先判断是否当前主机的用户已经登录且复制操作的对端在域外，如果是则继续判断即将复制到本地硬盘上的当前文件是否携带有加密标识，如果否，则允许复制操作透明通过。11.如权利要求1所述的装置，其特征在于：所述解密准备单元，进一步用于先判断该用户域标识是否已经缓存，如果否，则根据用户域标识从域控服务器上获取对应的密钥生成要素总集并缓存用户域标识及对应的密钥生成要素总集；如果是，则继续判断加密标识是否已经缓存，如果加密标识已缓存，则从缓存中获取对应的解密密钥，否则根据加密标识从缓存的密钥生成要素总集中确定出对应的密钥生成要素子集，根据对称的密钥生成算法...

【专利技术属性】
技术研发人员：王文中，蔡亦凡，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：