本发明专利技术涉及一种企业级电子文档的安全管理方法,该方法基于一个远程交互平台进行信息交流,所述的远程交互平台包括服务器单元、数据库单元、客户端单元,所述的服务器单元、数据库单元、客户端单元处于一个网络环境中并实现网络连接,所述的服务器单元中安装电子文档安全管理软件。本发明专利技术引入了服务器-客户端系统设计模式、加密环境管理、在线和离线解密管理、文件透明加解密技术,以防止电子文档泄密。电子文档安全管理系统以C/S模式提供基于口令的身份认证、数据完整性保护和不可否认性业务,实现策略服务器控制之下的认证和授权管理,实现对各个电子文档安全管理系统客户端的安全管理和控制。
【技术实现步骤摘要】
本专利技术属于信息安全
,具体涉及。
技术介绍
随着网络的普及和发展,数据安全越来越受到人们的重视。结合《全国档案事业发展“十二五”规划》和全国档案局长馆长会议提出的要求,根据档案事业发展的需要和档案工作实际,围绕档案安全保密的档案安全体系建设,同时针对企业内部网络办公环境,电子文档资源共享、跨部门安全分发的需求快速增长。数据加密作为保障电子文档安全的基本技术之一,得到了广泛的应用,企业级电子文档安全管理策略与信息系统安全保护方法的需求日益凸现。目前,大多数电子文档安全管理方法中,采用透明加解密技术对文档进行实时加解密,文档从文档拥有者发送给接收方以密文形式传送。首先文档接收方向服务器提出解密申请,服务器解密文档后,采用接收方的密钥加密成文档密文,发送给接收方,同时对文档明文进行存储备份。一旦服务器被攻击,文档明文将被泄漏。因此,如何避免服务器转发文档方式,对企业内部电子文档进行安全管理,成为一个重要的研究课题。国际范围,微软的Office系列软件和IE浏览器根据不同的应用需求公布了多个接口,同时引起了很多安全漏洞和安全隐患。如0ffice2003针对Word、Excel、PowerPoint文档提供了基于DRM技术的IRM服务。美国的Authentica公司针对PDF格式电子文档研发了 Secure Documents forPDF系统。系统利用RC4算法进行内容加密,使用PDF公开的Plug-1n技术对PDF文档进行访问控制,授权分配和管理由Policy Server服务器负责完成。国内相关产品中,北大方正Apabi重要文档防扩散系统(Apabi CEB DEM)产品以3DES算法为内容加密算法核心,使用自主开发的文档阅览工具Apabi Reader对自主拥有的CEB板式文件进行控制,并由DRM Server服务器分配和管理权限。当前文件加解密系统主要通过拦截上层应用发往底层磁盘的I/O请求来实现,在应用层到磁盘存储这条通路安装一个过滤程序,当截获写请求时进行数据加密,截获读请求时进行数据解密。但是在基于用户层的加解密过程中,临时文件容易被其他进程拦截,所以其安全性无法得到操作系统的内核机制保护。Windows2000之后,微软推出的EFS支持文件系统加密。EFS采用对称加密算法和非对称加密算法相结合的方式对文件进行加密。该系统通过文件系统过滤驱动来实现文件的加解密,处理过程和操作系统紧密结合,成为其中的一部分。目前在国内,研究学者利用文件系统过滤驱动实现的文件加密系统技术研究多是停留在理论研究阶段,或者只是实现了针对特定类型的文件或目录进行加密;虽然方法与文件格式无关,但是还是基于文件整体加密,完全做到防止泄密,还需配合大量其它技术手段。所以,需要提供一种企业级电子文档安全管理方法。
技术实现思路
本专利技术的目的是提供,该方法基于一个远程交互平台进行信息交流,所述的远程交互平台包括服务器单元、数据库单元、客户端单元,所述的服务器单元、数据库单元、客户端单元处于一个网络环境中并实现网络连接,所述的服务器单元中安装电子文档安全管理软件。本专利技术针对企业内部网络办公环境,提出基于文件透明加解密技术的电子文档安全管理系统,引入了服务器-客户端系统设计模式,引入了加密环境管理,在线和离线解密管理,文件透明加解密技术,以防止电子文档泄密。本专利技术的目的是由下述技术方案实现的:,所述安全管理方法包括以下步骤:(I)电子文档透明解密步骤:A、用户登录电子文档安全管理系统,请求认证和授权,请求获取授权控制策略信息;B、判断电子文档加密状态:用户创建或者打开一个电子文档,该电子文档不包含加密标识,则定义该电子文档是新建文档或者明文文档;该电子文档包含加密标识,则定义该电子文档为密文文档;C、获取授权:用户获取授权控制策略信息,取得读文档授权,则转至步骤D ;未获取到读文档授权,则无法读取密文文档;D、取得读文档授权的用户有权获取授权密钥,根据该授权密钥透明解密密文文档。本专利技术与现有技术相比具有如下优点:本专利技术的方法,支持在线和离线工作模式,系统功能完备,支持文件加密、部门管理、用户管理和策略管理,同时支持外出授权控制、备份恢复功能,系统具备实时加密、透明加解密功能特点,加密时不会产生其他文件,做到加密时的安全保障,同时支持文档在转移或拷贝等情况下的文档安全。以下结合附图和具体实施例对本专利技术作详尽说明。【附图说明】图1是本专利技术的安全管理系统的网络拓扑图;图2是电子文档透明解密流程图;图3是电子文档透明加密流程图;图4是电子文档离线解密流程图。【具体实施方式】实施例一参见图1、图2,,所述安全管理方法包括以下步骤:(I)电子文档透明解密步骤:A、用户登录电子文档安全管理系统,请求认证和授权,请求获取授权控制策略信息;B、判断电子文档加密状态:用户创建或者打开一个电子文档,该电子文档不包含加密标识,则定义该电子文档是新建文档或者明文文档;该电子文档包含加密标识,则定义该电子文档为密文文档;C、获取授权:用户获取授权控制策略信息,取得读文档授权,则转至步骤D ;未获取到读文档授权,则无法读取密文文档;D、取得读文档授权的用户有权获取授权密钥,根据该授权密钥透明解密密文文档。在本实施中,该方法基于一个远程交互平台进行信息交流,所述的远程交互平台包括服务器单元、数据库单元、客户端单元,所述的服务器单元、数据库单元、客户端单元处于一个网络环境中并实现网络连接,所述的服务器单元中安装电子文档安全管理软件;所述的服务器单元包括加密环境管理模块、部门和用户管理模块、加密策略管理模块、密钥管理模块、在线和离线解密管理模块、日志管理模块;所述的客户端单元包括密文解密模块、文件透明加解密模块、在线和离线解密文档模块、加密文件备份模块;所述的数据库单元包括存储用户及部门信息模块、文件密钥模块、文件策略模块、客户端单元操作日志模块。在本实施例中,用户操作所述的客户端单元输入用户账号、用户密码、服务器地址和服务器端口信息,登录电子文档安全管理系统,请求所述的服务器单元的认证和授权,获取授权控制策略信息;在本实施例中,用户操作所述的客户端单元创建或者打开已有电子文档时,读取该电子文档是否包含加密标识,若无法读取该电子文档的加密标识,则该电子文档是新建文档或者明文文档,直接完成对该电子文档内容的读取;若正常读取该电子文档的加密标识,则该电子文档为密文文档,转至步骤C ;在本实施例中,用户操作所述的客户端单元读取所述的授权控制策略信息,如果得到读文档授权,则转至步骤D ;如果未得到读文档授权,则读取密文文档失败;在本实施例中,用户操作所述的客户端单元接收所述的服务器单元发送的授权密钥,根据该授权密钥透明解密密文文档,成功读取该电子文档的内容。在本实施例中,服务器单元用于加密环境管理,提供系统配置管理、部门管理、用户管理、策略管理、密钥管理、在线和离线解密管理、日志审计等功能。加密环境主要是指服务器系统配置,包括服务器配置、数据库配置、启动/停止服务。服务器配置包括服务器端口(如:6000)、文档服务器端口(如:7000)、文档归档目录(如:D:\)。数据库可以选用Microsoft Access2003等,配置信息包括数据库路径本文档来自技高网...
【技术保护点】
一种企业级电子文档的安全管理方法,其特征在于,所述的安全管理方法基于一个企业级电子文档安全管理系统,所述安全管理方法包括以下步骤:(1)电子文档透明解密步骤:A、用户登录电子文档安全管理系统,请求认证和授权,请求获取授权控制策略信息;B、判断电子文档加密状态:用户创建或者打开一个电子文档,该电子文档不包含加密标识,则定义该电子文档是新建文档或者明文文档;该电子文档包含加密标识,则定义该电子文档为密文文档;C、获取授权:用户获取授权控制策略信息,取得读文档授权,则转至步骤D;未获取到读文档授权,则无法读取密文文档;D、取得读文档授权的用户有权获取授权密钥,根据该授权密钥透明解密密文文档。
【技术特征摘要】
1.一种企业级电子文档的安全管理方法,其特征在于,所述的安全管理方法基于一个企业级电子文档安全管理系统,所述安全管理方法包括以下步骤: (1)电子文档透明解密步骤: A、用户登录电子文档安全管理系统,请求认证和授权,请求获取授权控制策略信息; B、判断电子文档加密状态:用户创建或者打开一个电子文档,该电子文档不包含加密标识,则定义该电子文档是新建文档或者明文文档;该电子文档包含加密标识,则定义该电子文档为密文文档; C、获取授权:用户获取授权控制策略信息,取得读文档授权,则转至步骤D;未获取到读文档授权,则无法读取密文文档; D、取得读文档授权的用户有权获取授权密钥,根据该授权密钥透明解密密文文档。2.根据权利要求1所述的安全管理方法,其特征在于,还包括以下步骤: (2)电子文档透明加密步骤: ...
【专利技术属性】
技术研发人员:蒋铭,张小博,胡艳平,庞卫丽,王磊,李倩玉,张德,
申请(专利权)人:中国电子科技集团公司第三研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。