專利名稱:協(xié)同工作環(huán)境下涉密文檔的保護方法
技術領域:
本發(fā)明屬于計算機設計與應用技術領域,涉及電子文件的加密解密技術�����,特別涉及一種協(xié)同工作環(huán)境下涉密文檔的保護方法�����。
背景技術:
隨著企業(yè)信息化的不斷發(fā)展��,企業(yè)的重要資料越來越多的以電子文檔的形式進行保存����,信息的交互也逐漸的采用電子文檔來完成。如何保證含有企業(yè)重要信息的涉密電子文檔在使用�、傳輸���、存儲方面的安全問題�����,已經(jīng)逐漸成為企業(yè)信息化過程中的關鍵問題�����。
傳統(tǒng)的安全技術���,包括防火墻��、入侵檢測�����、防病毒�、信息審計等�����,分別在不同的層次上���,對企業(yè)信息系統(tǒng)中的電子文檔起到一定的保護作用��,但是它們分別基于各自的子系統(tǒng)��,獨立運行���,很難對電子文檔形成系統(tǒng)化的防護體系�。
基于數(shù)據(jù)加密實現(xiàn)電子文檔的保護��,成為目前電子文檔保護的主要方法���,應用數(shù)據(jù)加密技術對文件進行加密����,同時結合其它技術����,實現(xiàn)電子文檔的安全管理。相關的專利查新結果如下①名稱為文件加密方法及裝置�����,申請?zhí)枮镃N961139110;發(fā)明人提出一種文件加密方法����,是利用分層加密的方法確保文件的機密性。其特點是��,先判斷數(shù)據(jù)的型式��,再以適當?shù)倪\算邏輯做數(shù)據(jù)壓縮后���,將數(shù)據(jù)分成數(shù)個階層,分層加密��。在傳送或存儲此加密文件的同時��,并將對應的解壓縮和解密運算附加于加密文件的檔案中���,因此�,接收端只要正確地輸入密碼即可得到正確的數(shù)據(jù)����。
②名稱為一種保證電子文件安全的方法,申請?zhí)枮镃N2004100392930�����;發(fā)明人公開了一種保證電子文件安全的方法,該方法的特點是將電子文件轉換為PDF文件后加密���;客戶端通過嵌入的文檔權限管理模塊實現(xiàn)電子文件的解密和權限管理��。
③名稱為文件的保密管理系統(tǒng)和認證服務器���、客戶機及其程序,申請?zhí)枮镃N2004100862635���;發(fā)明人提出一種文件的保密管理系統(tǒng)����,該系統(tǒng)主要由客戶機和認證服務器組成�;客戶機具有專用的閱讀器,實現(xiàn)具體的文件認證請求���、文件加解密��;認證服務器對客戶機使用者進行認證����,以及對該文件進行解密的信息管理。
④名稱為文件管理裝置��,申請?zhí)枮镃N011169389���;發(fā)明人提出了包括密鑰登記���、文件加密、文件解密的完整的文件加解密的管理裝置����,主要包括密鑰的生成、文件加密密鑰的加解密���、文件的加解密。
⑤名稱為一種信息傳遞保密方法��,申請?zhí)枮镃N2004100279196�����。發(fā)明人提出了一種信息傳遞保密的方法���,該方法利用機器特征碼和/或信息傳遞路徑雙重唯一性的性質��,運用加密算法對發(fā)送信息進行加密保護���,有效控制信息傳遞���,防止竊取,破譯��。
根據(jù)以上已公開專利的分析結果看�,目前單純的文件與解密技術,可以解決文件在加密傳輸���、保密存儲方面的問題����。但是����,在加密文件的使用管理方面,現(xiàn)有的文件保護方法還存在以下四方面的問題a�����、將電子文件轉換為特定文件格式后進行加密��,然后通過授權控制使用,這種方法對被保護文檔的格式限制過于嚴格�����,如果文件格式無法轉換則無法使用�����,不適應對一般文件的保護�;b、應用加密文件專用閱讀器的方法���,由于受閱讀器的限制�����,不僅支持的文件格式會受到限制,加密文件使用的靈活性也會受到影響�����;c��、雖然在一些方法中也應用了文件的權限管理���,但是權限管理的功能比較單一��;d���、加密文件的使用方面�,不完全支持加密編輯�,即在編輯加密文件時,文件的操作無法控制��,文件內(nèi)容容易被泄露���。
發(fā)明內(nèi)容
本發(fā)明的目的是為了克服上述現(xiàn)有技術存在的不足�,提出一種協(xié)同工作環(huán)境下保護涉密文檔的方法���,即基于對網(wǎng)絡化涉密文檔進行加密���,對加密文件的訪問進行授權、對加密文件在保密狀態(tài)下的使用和對涉密文檔的全程審計等管理模塊��,構建一個涉密文檔的保密應用環(huán)境���,在該環(huán)境內(nèi)���,授權用戶可以在授權范圍內(nèi)對涉密文當進行正常操作訪問���,非授權用戶禁止訪問操作涉密文檔,如脫離該環(huán)境��,涉密文檔的訪問也被禁止���。
根據(jù)上述目的�,本發(fā)明的技術解決方案是這樣實現(xiàn)的協(xié)同工作環(huán)境下涉密文檔的保護方法基于對網(wǎng)絡化涉密文檔進行加密�,通過對加密文件的訪問進行授權、對加密文件在保密狀態(tài)下的使用控制和對涉密文檔的全程審計四個管理模塊�����,構建涉密文檔的協(xié)同工作應用環(huán)境�,該方法包括以下步驟a涉密文檔的加密使用涉密文檔加密模塊對涉密文檔進行加密,生成統(tǒng)一格式的加密文件�,文件加密同時支持手動和自動兩種加密方式,可設置自動加密目錄���。
b加密文件的訪問授權通過訪問控制模塊對用戶進行身份驗證,使用加密文件之前下載文件權限策略��;通過該身份驗證,則由訪問控制模塊對用戶進行授權驗證�����,根據(jù)文件授權使用加密文件�����,若沒有通過身份驗證及授權�����,則禁止訪問加密文件���。
c加密文件的保密使用當授權用戶訪問加密文件時��,涉密訪問模塊自動進行透明解密�����,并啟動相應打開程序打開文件��;保證用戶在無泄密狀態(tài)下進行涉密文檔的訪問操作��;訪問結束后����,文件自動加密保存。
d涉密文檔日志審計監(jiān)控涉密文檔的加密�����、授權認證和保密使用���,對涉密文檔日志進行全程跟蹤和反饋�����。
所述的涉密文檔加密模塊是采用公知加密算法實現(xiàn)文件的數(shù)據(jù)加密�。
所述的統(tǒng)一格式是對所要加密的文件格式?jīng)]有限制���,支持對任意格式文件進行加密�����。加密后的新文件為相同擴展名的統(tǒng)一格式��,該文件格式與文件解密程序關聯(lián)對應�。
所述的自動加密目錄是指涉密文檔加密模塊實時監(jiān)測自動加密目錄,對檢測到的新文件進行實時加密�����。
所述的文件權限策略是指對一個文件或一組文件的訪問權限定義為不同權限信息策略����,應用文件權限策略的用戶��,將獲得文件權限策略中定義的文件訪問權限����。
所述的涉密訪問模塊是指對已授權的用戶,由自動解密模塊打開該文件���,由防護控制模塊限制用戶對涉密文檔的泄密操作���;當同時使用兩個以上的加密文件進行內(nèi)容交互時,由協(xié)同編輯模塊負責實現(xiàn)協(xié)同文件編輯�����。
所述的全程日志跟蹤是指對涉密文檔訪問進行全程日志審計��;審計的內(nèi)容包括系統(tǒng)管理日志、用戶認證�����、授權分配��、客戶端認證登錄��、退出操作日志����,涉密文檔的訪問、操作日志以及相關的配置����。
所述的自動解密模塊是指采用公制的解密算法對加密文件進行解密然后打開,解密后使用的打開程序為操作系統(tǒng)中默認的打開程序���。
所述防護控制模塊是指限制用戶對涉密文檔的泄密操作�����,操作結束關閉文件����;文件使用過程中產(chǎn)生的臨時文件保存在臨時目錄中,禁止用戶直接訪問�,加密文件使用結束后,自動刪除臨時文件�;授權用戶在保密狀態(tài)下使用涉密文檔,用戶的文件操作接受防泄密監(jiān)控的限制�����,用戶只能進行授權操作�����,禁止對文件內(nèi)容的泄密操作����。
所述的協(xié)同編輯模塊是指允許非加密文件內(nèi)容復制到加密文件中����,以及加密文件間的相互內(nèi)容復制,禁止將加密文件內(nèi)容復制到非加密文件中�。
本發(fā)明所提出的在協(xié)同工作環(huán)境下保護涉密文檔的方法,結合文件加密����、訪問授權、文件操作控制、日志審計�����,可實現(xiàn)一個涉密文檔的保密應用環(huán)境��,在該環(huán)境內(nèi)��,經(jīng)過授權驗證的用戶可以在授權范圍內(nèi)對涉密文檔進行正常的操作訪問���,而非授權用戶則被禁止訪問操作該涉密文檔����,如脫離該保密環(huán)境�����,涉密文檔的訪問也被禁止���,為涉密文檔在使用過程中進行無泄密訪問提供了一個良好的操作平臺����。
圖1為涉密文檔管理流程框圖���;圖2為涉密文檔管理模塊框圖����;圖3為加密文檔的訪問操作流程圖;圖4為涉密文檔的管理系統(tǒng)框架圖���;具體實施方式
本發(fā)明的主要模塊工作原理和工作過程如下
文件加密模塊是基于合法授權的用戶�,在加密算法本身之外����,合理定義加密的信息�、格式,加密流程�����,保障文檔的基本安全所設計的模塊����。
本系統(tǒng)的文件加密采用公知加密算法對文件進行加密,加密完成后生成新的文件���,文件頭部附加加密的文件頭信息�,然后保存為統(tǒng)一格式的加密文件。加密文件格式為統(tǒng)一文件擴展名���,該文件格式與本發(fā)明方法采用的文件解密對應���。加密文件的文件頭信息標識了加密文件的特征,包括文件唯一標識�����、一致性校驗標識����、源文件名、編輯時間�。支持文件加密的自動操作。
加密過程的具體實現(xiàn)采用公知加密算法AES 256實現(xiàn)文件的數(shù)據(jù)加密�。
加密文件的內(nèi)容分為三部分①文件的版本數(shù)據(jù)即生成加密文件的客戶端程序的版本信息,用于識別加密文件是否是合法的加密文件格式����,該部分數(shù)據(jù)為明文數(shù)據(jù)。
②文件的加密數(shù)據(jù)這是加密文件內(nèi)容的主體�,是應用加密算法對原始文件進行加密后生成的文件數(shù)據(jù),該部分數(shù)據(jù)為加密數(shù)據(jù)�。
③文件的特征數(shù)據(jù)這是加密文件的特征信息���,包括加密文件的唯一ID,原始文件的文件名�、大小、加密數(shù)據(jù)HMAC摘要�,這些信息記錄加密文件的基本特征,該部分數(shù)據(jù)為加密數(shù)據(jù)�����。
加密文件為統(tǒng)一文件格式����,使用相同的文件擴展名SPM�,該擴展名與本方法的文件解密程序相對應,使用其它程序打開加密文件����,文件內(nèi)容顯示為亂碼。
文件的自動加密即對在設定的自動加密目錄內(nèi)新生成的文件�����,實現(xiàn)文件加密過程的自動完成��。具體實現(xiàn)如下1)通過兩個模塊來實現(xiàn)自動加密管理模塊,新文件監(jiān)控模塊���。自動加密管理模塊運行在系統(tǒng)的應用層��,負責自動加密的管理��、設置�����,以及加密操作的具體執(zhí)行����;新文件監(jiān)控模塊運行在系統(tǒng)的內(nèi)核層��,負責對自動加密目錄內(nèi)新建文件的操作進行實時監(jiān)測���。
2)自動加密目錄設置用戶使用自動加密管理模塊�����,在主機文件系統(tǒng)中選擇某一文件夾�����,設定為自動加密目錄��,并將加密目錄的路徑信息通知內(nèi)核的新文件監(jiān)控模塊��。
3)新建文件操作監(jiān)聽新文件監(jiān)控模塊�����,使用公知的文件系統(tǒng)操作過濾技術�,在系統(tǒng)內(nèi)核層對文件系統(tǒng)的操作活動進行監(jiān)控,實時監(jiān)測自動加密目錄內(nèi)的文件新建操作�,對識別到的新建文件操作,實時通知應用層的監(jiān)聽程序��。
4)新文件加密自動加密管理模塊對內(nèi)核層監(jiān)控模塊檢測到的新文件����,進行實施加密操作���。
文件訪問控制模塊主要是為限制外界用戶非法使用內(nèi)部文檔��,以及對內(nèi)部環(huán)境不同部門間不同用戶對文檔的不同使用權限進行劃分��。
在本涉密文檔安全管理方法的設計中����,提出并實現(xiàn)了一種基于用戶、文件���、權限的訪問授權機制�,采用文件權限策略的方法�,對一個或一組文件的訪問權限進行定義。文件權限策略采用集中的管理方式集中定義����、集中分發(fā)、集中維護���、集中保存���。應用了文件權限策略的用戶,將獲得文件權限策略中定義的文件訪問權限����。文件權限采用文件權限策略的方法來實現(xiàn)文件權限策略即對特定文件或文件組的訪問權限的定義。首先選擇策略的文件對象(文件或者文件組)��,然后設定對文件對象的訪問權限,同時設定策略的優(yōu)先級�����,即完成一條文件權限策略的定義����。
文件權限策略定義對象可以是一個文件或一個文件組,訪問權限涵蓋四種權限(只讀�、編輯、打印�����、解密)中的一個或是其組合���,策略優(yōu)先級表示一個策略的優(yōu)先級別��。當一個用戶同時應用兩條包含對相同文件訪問權限定義的文件策略時�����,選擇優(yōu)先級高的策略中的權限定義。定義好的文件權限策略可以分發(fā)應用給指定用戶�����、用戶組,用戶或者用戶組在應用文件權限策略之后�����,將獲得文件權限策略中定義的權限��。文件權限策略的定義�、分發(fā)和維護,采用集中的管理模式��。
用戶文件權限的獲取一個用戶可以同時應用多條文件權限策略�����,用戶在同時應用多條權限策略時���,先對權限策略進行合并處理�����。該合并包括將文件權限策略中對文件組的權限定義��,轉換為具體文件的權限定義��,同時���,將重復的文件權限定義�,根據(jù)權限策略的優(yōu)先級����,選擇優(yōu)先級高的權限定義。
對用戶的文件權限策略進行合并后���,用戶的文件訪問權限為一個對文件的訪問控制列表(ACL)��,包含了用戶對所有擁有權限的文件的權限定義�����,其中對每一個文件的訪問權限對應一個訪問控制單元(ACU)<FileGUID�,F(xiàn)ileName�,UserId,UserPrivilege���,PRI>��。
文件權限的管理過程管理員在管理中心定義各種管理文件權限的文件權限策略����,定義好的權限策略集中保存在策略服務器��。管理員在管理中心將定義好的文件權限策略分發(fā)給用戶���,策略的分發(fā)信息集中保存在策略服務器��。用戶通過客戶端登錄策略服務器����,下載應用給自己的文件權限策略�����,通過合并得到自己的文件訪問權限�。用戶的文件訪問權限在用戶使用加密過程中應用。
用戶請求使用文件時�,依據(jù)文件唯一標識及權限策略授予用戶相應權限。這樣不僅可以限制非法用戶使用��,而且還實現(xiàn)了內(nèi)部用戶對不同文件不同權限級別的劃分��,有效地對涉密文檔進行訪問管理��。
文件授權與身份驗證集成只有通過身份驗證的用戶,才可以下載自己應用的權限策略�����。用戶身份認證模塊支持在線和離線兩種認證在線模式下����,通過連接系統(tǒng)支持平臺用戶輸入用戶名,密碼進行實時身份認證���,離線模式下使用授權證書進行身份認證���。通過定義用戶列表三元組<id,username�,password>,這里id唯一標識合法的用戶���,username和password分別表示用戶的登錄用戶名和密碼�。用戶登錄時綁定登錄IP��、MAC設置�����,限定用戶登錄的地址范圍,進行身份驗證����。認證失敗則客戶端狀態(tài)為離線,禁止使用加密文件�;認證成功��,客戶端將獲得文件密鑰�����,同時獲得當前用戶的文件訪問授權信息���。
離線模式下用戶的身份認證管理用戶授權證書的生成和查看離線授權證書記錄用戶對加密文件訪問的授權信息�,限定用戶可以訪問的加密文件列表����,以及對文件的訪問權限。授權證書附加用戶身份驗證信息��,用戶使用證書需要輸入正確的用戶名和密碼信息登錄���。授權證書包含有效時間區(qū)間�,證書只在有效的時間范圍內(nèi)有效;同時授權證書硬件綁定�,僅在綁定的主機上有效。離線用戶在系統(tǒng)正式使用之前必須加載授權證書��。
上述機制使得對文件的訪問可以不受限于網(wǎng)絡在線的情況�,而僅受限于用戶的身份、具體的文件和權限配置�,從而有效地提高了系統(tǒng)的安全性���。
文件涉密訪問模塊是在協(xié)同工作環(huán)境下����,解決授權用戶使用涉密文檔時,加密文件自動打開����,將文件類型與默認打開方式自動綁定的問題。以及保障用戶操作涉密文檔過程中防止文件內(nèi)容泄密的問題�,即解決編輯中復制、刪除����、截圖等操作的控制問題。
在用戶身份驗證和訪問授權驗證之后�����,啟用本發(fā)明的加密文件使用防護控制模塊。若驗證失敗����,則禁止打開加密文件;通過驗證��,自動對加密文件進行臨時解密��,解密產(chǎn)生的臨時文件使用操作系統(tǒng)默認的打開程序自動打開�,無需專用的閱讀器���,臨時文件禁止用戶直接訪問���。控制文件通過設置應用接口過濾��,從操作系統(tǒng)層對加密文件的操作進行控制��,對所有打開程序采用統(tǒng)一方式進行處理�����,限定默認功能項,以確保加密文件內(nèi)容無法外泄�。
加密文件在被打開之前首先通過公知解密算法的接口進行文件內(nèi)容解密,解密產(chǎn)生的臨時明文文件統(tǒng)一生成在指定的臨時目錄內(nèi)����,其屬性為隱藏,并對該目錄進行文件保護���。采用Windows默認的打開程序打開臨時解密文件��。加密文件打開的同時�,加載協(xié)同編輯模塊對用戶操作進行控制����。打開之后,禁止將加密文件直接以明文形式另存到磁盤中�����,禁止將加密文件的內(nèi)容復制到其它明文文件中����;對加密文件的編輯和打印操作使用授權控制。擁有編輯權限的用戶,在打開加密文件后�����,可以對文件內(nèi)容進行編輯����。文件訪問結束后,如果用戶對文件進行了修改并擁有編輯權限����,則文件自動加密并保存,臨時解密文件自動被刪除�。
本防護控制模塊的自動解密模塊在文件解密中使用與文件加密對應的解密算法程序。打開加密文件����,讀取文件中的版本信息�,并與客戶端版本進行兼容性驗證,如果版本不兼容���,則解密失敗�����。版本驗證通過后����,使用解密算法程序解密文件的特征數(shù)據(jù),得到文件的特征信息�����,即文件名稱�、加密數(shù)據(jù)HMAC摘要。對加密文件中的加密數(shù)據(jù)計算HMAC摘要����,并將結果與特征數(shù)據(jù)中的HMAC摘要進行一致性驗證,如果一致性驗證失敗��,則解密失敗���。通過文件一致性驗證后����,使用特征數(shù)據(jù)中的文件名稱����,創(chuàng)建新文件�。使用解密算法程序解密文件加密數(shù)據(jù)����,將解密結果寫入新創(chuàng)建的文件。文件解密操作完成�����。
臨時文件的保護使用Windows提供的文件屬性管理��,設置臨時目錄的文件屬性為隱藏�,對用戶隱藏臨時目錄?����;诠奈募到y(tǒng)IRP(I/O Request Package��,輸入輸出請求包)過濾技術����,實現(xiàn)對臨時目錄內(nèi)的文件訪問操作的控制�。通過加載內(nèi)核文件過濾驅動,在操作系統(tǒng)內(nèi)核設置IRP監(jiān)控����,對每一個IRP請求���,檢查其對應的文件路徑和進程信息,如果文件路徑為臨時目錄IRP請求�,則應用過濾規(guī)則進行判斷,并應用判斷的結果決定是否禁止IRP請求���。IRP過濾的判斷規(guī)則為允許文件解密進程訪問臨時目錄內(nèi)的文件����;其它進程對臨時目錄內(nèi)文件的訪問權限�����,通過應用層動態(tài)控制�����。由解密進程啟動的應用進程��,在第一次文件過程打開之前�,授予訪問臨時目錄的權限,文件打開完成之后�,取消其訪問臨時目錄的權限�。非解密進程���、同時也非解密進程啟動的應用進程���,禁止訪問臨時目錄。
文件保護實現(xiàn)包括兩個模塊應用層管理模塊��,內(nèi)核層實施模塊����。管理模塊運行在操作系統(tǒng)的應用層,負責通知內(nèi)核實施模塊對IRP過濾的啟動�、關閉,臨時目錄文件路徑的設置���,免過濾進程(即不受進行IRP過濾控制的進程)信息的設置����。實施模塊運行在操作系同的內(nèi)核層�,負責應用定義好的IRP過濾規(guī)則,結合管理模塊設置的路徑和進程信息���,實施具體的IRP過濾操作�,允許免過濾進程對臨時目錄的訪問����,禁止一般進程對臨時目錄的訪問。
協(xié)同編輯模塊監(jiān)控應用程序的菜單�����、工具條���、快捷鍵�����、鼠標及屏幕打印操作��。對加密文件操作進行監(jiān)控主要是應用公知的Windows API Hook技術來實現(xiàn)�。WindowsAPI提供應用程序調(diào)用操作系統(tǒng)功能的接口�����,所有應用程序功能的實現(xiàn)都通過Windows API調(diào)用來實現(xiàn)�����。應用Windows API Hook,可以修改應用程序運行中WindowsAPI函數(shù)的功能模塊定義�,改變程序的內(nèi)部運行結構來實現(xiàn)對加密文件操作的監(jiān)控。在真實Windows API函數(shù)調(diào)用運行之前����,增加加密文件操作的規(guī)則檢驗模塊,對具體的文件操作進行規(guī)則檢查�����,根據(jù)檢查結果決定允許操作或者禁止操作���。WindowsAPI對于所有的應用程序都是相同的����,通過采用Windows API Hook����,可以實現(xiàn)同時對所有應用程序的統(tǒng)一控制。需要Hook的Windows API函數(shù)菜單操作API函數(shù)���,工具條操作API函數(shù)����,快捷鍵菜單API函數(shù),鼠標菜單API函數(shù)�。
應用Windows API Hook進行文件操作監(jiān)控的實現(xiàn)主要包括兩部分Hook的定義�����,Hook的加載����。Hook的定義負責為需要Hook的Windows API函數(shù)定義和實現(xiàn)新的API Hook函數(shù),在API Hook函數(shù)中實現(xiàn)具體的進程操作控制規(guī)則�����。Hook的加載負責向訪問加密文件的進程加載具體的Hook模塊�。Hook定義中操作控制的規(guī)則為對于文件另存、導出��、發(fā)送操作等將文件轉換為其它普通文件操作的函數(shù)�,在APIHook函數(shù)中直接進行返回處理,不執(zhí)行真實的Windows API調(diào)用���;對于打印操作函數(shù)���,在API Hook函數(shù)中進行用戶權限的判斷���,如果用戶擁有打印權限,則允許真實Windows API的調(diào)用����,否則取消真實Windows API的調(diào)用,返回函數(shù)調(diào)用���。Hook定義將增加了操作檢查的API Hook函數(shù)封裝為DLL可執(zhí)行模塊����;Hook實施應用CreateRemoteThread接口���,在打開加密文件的進程中注入包含有Hook定義的DLL模塊��。在加載了包含Hook定義的DLL模塊的進程中��,當用戶調(diào)用具體的文件操作�����,例如文件打印操作�����,就會調(diào)用包含有操作檢驗的API Hook函數(shù)����,應用操作控制的規(guī)則進行判斷,如果允許則API Hook函數(shù)繼續(xù)文件的正常打印��,否則打印失敗�����。
以下結合附圖對本發(fā)明的技術解決方案作詳細的解釋���,并以實施例來說明實現(xiàn)本發(fā)明的目的的操作過程。
參照圖1的涉密文檔管理流程示意圖��,本發(fā)明是在協(xié)同工作環(huán)境下���,基于網(wǎng)絡化用戶認證�,融合文件加密���、訪問控制����、保密使用、信息審計這四種管理機制���,構建一個涉密文檔的應用環(huán)境��,確保在該環(huán)境下涉密文檔正常使用的同時��,防止內(nèi)部信息的非法泄密而設計的一種使用方法��。該方法包含四個模塊及操作步驟1���、涉密文檔的加密采用公知技術加密接口對涉密文檔實施加密管理,原始明文文件統(tǒng)一備份��,常規(guī)文件在應用過程中為密文文件�����,且格式統(tǒng)一����。加密支持手動和自動兩種方式;2���、加密文件訪問控制即對加密文件的訪問授權���。用戶通過訪問控制模塊進行身份驗證����,根據(jù)文件授權使用加密文件�����。加密文件采用集中權限管理模式����,統(tǒng)一定義用戶的文件使用權限����。用戶使用加密文件之前下載文件權限策略,若未通過驗證及授權�,則禁止訪問加密文件。
3���、加密文件涉密使用即加密文件的保密使用��。授權用戶訪問加密文件時�,由自動解密模塊自動進行透明解密,并啟動相應打開程序打開文件��;在防護控制模塊的監(jiān)控下���,用戶進行對涉密文檔的訪問操作����;訪問結束后�����,文件自動加密保存��。
4���、涉密文檔日志審計該步驟全程監(jiān)控涉密文檔的加密���、加密文件訪問授權認證和加密文件的保密使用等,進行完整的日志跟蹤和反饋��。
基于以上四個模塊的組合���,實現(xiàn)協(xié)同環(huán)境下涉密文檔保護需要進行如下工作
A��、劃定涉密文檔應用的環(huán)境范圍�,對環(huán)境內(nèi)所有需要保護的涉密文檔進行加密處理;B�、根據(jù)文檔的管理流程,對涉密文檔的使用進行授權��,用戶對文件的訪問根據(jù)授權進行驗證�����,只有合法用戶可以訪問涉密文檔�����;C��、授權用戶在保密狀態(tài)下使用涉密文檔��,用戶的文件操作接受防泄密監(jiān)控的限制�,用戶只能進行授權操作�,禁止會導致文件內(nèi)容外泄的操作;D����、在前三個步驟中����,同時進行日志審計�����,完整記錄在涉密環(huán)境內(nèi)����,涉密文檔的訪問過程。
參照圖2涉密文檔管理模塊框圖�,其工作機制如下文檔加密模塊該模塊包含自動加密管理模塊和新文件監(jiān)控模塊。文件加密的工作機制是基于公知加密算法���,通過自動加密管理模塊對需要保護的涉密文檔進行文件加密��。所有涉密文檔的存儲�����、傳輸���、使用,均以密文的形式進行操作�。其中的加密操作可選擇手動加密或自動加密���,對文件的格式不作限制,支持對任意文件進行加密����。
在同一涉密文檔保護系統(tǒng)內(nèi),所有的文件加解密均使用相同的密鑰���,該密鑰與系統(tǒng)支持平臺捆綁����,在系統(tǒng)初始化過程中自動生成�,保存在系統(tǒng)支持平臺的服務器上。
手工實現(xiàn)加密文件時��,認證用戶需獲得文件加密所需的密鑰�����,選擇需要加密的文件或文件夾�,由加密程序對選定的文件依次進行加密�����;自動實現(xiàn)加密時,認證用戶需獲得文件加密所需的密鑰�,選擇文件系統(tǒng)中一個現(xiàn)有的文件夾,并將其設置為自動加密目錄�。自動加密通過文件監(jiān)控的內(nèi)核驅動來實現(xiàn),內(nèi)核驅動監(jiān)控自動加密目錄內(nèi)的文件變化��,該新文件監(jiān)控模塊檢測到新文件時立即通知上層應用程序進行加密操作�����。
涉密文檔加密過程中生成一個唯一的ID���,與對應加密文件關聯(lián)捆綁�����,在加密文件之后的使用過程中保持不變����,該ID唯一標識一個加密文件�。
文件訪問控制模塊文件訪問控制分為文件授權、身份驗證和授權驗證三部分���。首先由管理員或用戶對需涉密的文件進行授權����,將加密文件和授權信息集中上傳。一般用戶請求使用文件時�,應首先通過身份驗證,然后根據(jù)文件授權使用加密文件����,即只有在認證網(wǎng)絡內(nèi)、通過授權的合法用戶���,才可以對加密文件進行訪問�����。
文件授權的主要功能是針對加密文件的使用權限給特定用戶授權����。加密文件采用集中的權限管理模式��,統(tǒng)一定義用戶的文件使用權限�,用戶請求使用加密文件前下載文件權限策略。若沒有通過驗證及授權�,則禁止訪問加密文件。
身份驗證的主要功能是對涉密文檔的合法用戶使用時登錄的身份進行檢驗��。若用戶在該協(xié)同辦公環(huán)境內(nèi)�����,啟動客戶端程序進行系統(tǒng)登錄��,輸入用戶名�����,密碼�。后臺程序匹配用戶訪問控制列表進行認證服務器的身份認證或離線證書的身份認證。未安裝�����、未運行該客戶端����,或沒有通過認證則驗證失敗。離線證書為特殊用戶需要脫離涉密環(huán)境離線使用涉密文檔時����,管理中心頒發(fā)的認證授權證書。
授權驗證的主要功能是對合法的內(nèi)部用戶進行文件權限策略的檢驗。若用戶身份合法���,則繼續(xù)進行授權驗證�����。通過匹配對應的文件權限策略文件名�,用戶名���,操作權限���,判別該用戶是否具有打開該文件的權限。若有����,則調(diào)用默認打開程序打開;否則��,禁止訪問該文件�����,打開為亂碼��。
文檔涉密訪問模塊該模塊分為自動解密模塊、防護控制模塊和協(xié)同編輯模塊�。加密文件的保密使用過程基于公知加密算法的對應解密接口,由自動解密模塊對文件透明解密�,解密后啟動臨時文件的默認打開程序打開該文件。防護控制模塊和協(xié)同編輯模塊限制用戶對涉密文檔的泄密操作����。操作結束關閉文件若文件已修改��、且用戶具備修改權限�����,則自動加密新文件��、覆蓋原文件����、刪除臨時文件。文件使用過程中產(chǎn)生的臨時文件保存在設定的臨時目錄中����,禁止用戶直接訪問,加密文件使用結束后�����,文件被自動刪除。
日志審計模塊對涉密文檔資源訪問全程進行日志審計�����,審計的內(nèi)容包括系統(tǒng)管理日志�,包括用戶的認證、授權分配及相關配置�;客戶端認證登錄、退出操作日志�;涉密資源的訪問、操作日志�����。
實施例為了更清楚的理解本發(fā)明�����,以下通過具體的實施例結合附圖對本發(fā)明作進一步的詳細描述�����。
參照圖1涉密文檔管理流程圖和圖2涉密文檔管理模塊框圖����,本發(fā)明對涉密文檔的保護主要通過四個步驟來實現(xiàn)�����,各模塊的相互關系對應圖2首先通過涉密文檔加密模塊對涉密文檔加密對需要保護的涉密文檔進行文件加密�,所有涉密文檔的存儲�、傳輸、使用�����,都以密文的形式進行操作�����;同時加密文件的過程通過日志審計模塊進行審計���,審計的內(nèi)容包括加密文件的名稱,以及進行加密操作的用戶和時間����。
然后通過涉密文檔訪問控制模塊對涉密文檔的訪問進行控制即采用集中式認證管理,對涉密文檔的使用進行授權驗證��。用戶使用加密文件之前,需要通過身份認證和權限驗證���,只有在認證網(wǎng)絡內(nèi)���、通過授權的用戶,才可以對加密文件進行訪問���。同時涉密文檔訪問控制的過程通過日志審計模塊進行審計���,審計的內(nèi)容包括用戶登錄的認證信息,如用戶名��、密碼��、登錄時間等�;請求訪問的文件的名稱及授權分配信息。
通過授權的用戶��,啟動涉密訪問模塊對加密文件進行保密訪問���。授權用戶根據(jù)相應授權使用文件���,在加密文件使用過程中����,為防止涉密文檔內(nèi)容的泄密��,用戶對文件的操作受到限制�����,用戶可以根據(jù)授權瀏覽�、打印、編輯文件內(nèi)容��,除擁有解密權限��,禁止用戶將文件內(nèi)容導出�����、復制到其它非加密文件之中��。同時加密文件通過涉密文檔的日志審計模塊進行審計���,審計的內(nèi)容包括涉密資源信息,即涉密操作涉及的文件的訪問��、操作記錄日志,及退出操作日志����。
最后,通過涉密文檔日志審計模塊進行審計�。文件的加密過程、授權認證過程�����、文件保密使用過程等要在該模塊下進行全程并完整的日志跟蹤��,對用戶的正常的文件操作和異常操作請求都進行日志記錄�,完整監(jiān)控涉密文檔的使用。
參照圖3的加密文件訪問操作流程圖�����,授權用戶請求使用文件�,客戶端啟動自動解密模塊,判斷用戶是否通過訪問控制模塊的驗證�。若通過,則自動解密請求的文件����,以默認打開程序打開�����,由用戶進行相應權限的操作�。在文件操作的過程中�,由防護控制模塊和協(xié)同編輯模塊監(jiān)控,防止任何會導致文件內(nèi)容泄露的情況發(fā)生��。操作完畢���,關閉文件�����。對該文件的內(nèi)容是否經(jīng)過改動及用戶的編輯權限進行判斷����,決定是否保存經(jīng)改動的文件���。若文件內(nèi)容未經(jīng)修改或用戶無該編輯權限,則不予保存����,程序直接結束��。
圖4為涉密文檔的管理系統(tǒng)框架圖��。該文檔保護系統(tǒng)的結構框架由涉密客戶端�、系統(tǒng)支持平臺�、管理中心和文件服務器組成。
(1)涉密客戶端負責涉密文檔使用的申請和具體的使用過程�����,主要包含認證模塊���、文件加解密模塊���、文件保密使用監(jiān)控模塊、日志模塊���。
認證模塊負責向系統(tǒng)支持平臺請求身份認證和訪授權驗證�;文件加解密負責實現(xiàn)基本的文件加解密操作�,其中集成了部分權限驗證的功能,只有授權的用戶才可以進行加解密操作���,加解密過程中同時需要請求服務器���,獲得加解密需要的密鑰信息���,該密鑰信息在整個系統(tǒng)中相同;文件保密使用監(jiān)控模塊�����,負責在用戶使用加密文件過程中��,應用程序操作過濾技術���,對用戶的操作活動進行監(jiān)控�����,禁止用戶的異常文件泄密操作����;日志模塊負責對用戶在客戶端的文件加解密�、文件保密使用等����,進行詳細的日止記錄�,并將日志信息發(fā)送至日志服務器�����。
(2)系統(tǒng)支持平臺負責系統(tǒng)的認證授權�、日志管理、文檔訪問權限管理的后臺支持�����,主要包括管理模塊�����、認證模塊�����,用戶模塊�,LDAP模塊。
管理模塊負責接收并處理來管理中心的命令���,并調(diào)用其它模塊執(zhí)行該命令���;認證模塊負責對所管轄范圍內(nèi)的管理中心�����、客戶端以進行認證和授權���;用戶模塊負責與客戶端進行交互,獲取客戶端的各項信息�����,并將這些信息反饋給其它模塊��;LDAP模塊負責本系統(tǒng)的配置和數(shù)據(jù)的后臺保存和查詢��。
(3)管理中心負責組織機構管理�����、用戶管理���、文檔授權定義和應用����、系統(tǒng)監(jiān)控、系統(tǒng)設置���、日志查詢、報表分析��,提供一個統(tǒng)一的管理平臺����。主要包括系統(tǒng)管理模塊、用戶管理模塊����、文檔授權管理模塊和日志管理模塊。
系統(tǒng)管理模塊提供對整個系統(tǒng)全局參數(shù)的配置管理�����;用戶管理模塊負責用戶的查詢�、設置等;文檔權限管理模塊負責加密文件授權的查詢��、設置等���;日志管理負責對整個系統(tǒng)的日志進行查詢��、報表處理等���。
(4)文件服務器負責涉密文檔的集中保存和管理�,通過文件服務器��,實現(xiàn)協(xié)同工作環(huán)境下����,涉密文檔的集中管理。
文檔保護系統(tǒng)的工作流程如下a)擁有加密權限的用戶在使用涉密客戶端的加密程序�����,對涉密的文檔統(tǒng)一進行加密��,加密后的文件上傳至文件服務器�����;b)負責授權的管理員在管理中心對存放在文件服務器上的加密文件進行集中授權�����,授予不同用戶訪問加密文件的權限;c)用戶對涉密文檔的使用在客戶端進行��,登錄認證服務器�����、用戶身份認證���、下載文件授權、訪問授權驗證��;d)擁有訪問權限的用戶保密使用涉密文檔����,使用過程中文件的加解密過程自動、透明����,用戶文件操作過程防泄密限制;e)涉密客戶端和管理中心自動生成日志信息��,通過管理中心的日志模塊��,可以對整個系統(tǒng)的日志進行審計查看����。
權利要求
1.一種協(xié)同工作環(huán)境下涉密文檔的保護方法��,其特征在于基于對網(wǎng)絡化涉密文檔進行加密����,通過對加密文件的訪問進行授權�、對加密文件在保密狀態(tài)下的使用控制和對涉密文檔的全程審計四個管理模塊,構建涉密文檔的協(xié)同工作應用環(huán)境��,該方法包括以下步驟a涉密文檔的加密使用涉密文檔加密模塊對涉密文檔進行加密���,生成統(tǒng)一格式的加密文件�,文件加密同時支持手動和自動兩種加密方式�����,可設置自動加密目錄����;b加密文件的訪問授權通過訪問控制模塊對用戶進行身份驗證,使用加密文件之前下載文件權限策略�;通過該身份驗證,則由訪問控制模塊對用戶進行授權驗證����,根據(jù)文件授權使用加密文件�����,若沒有通過身份驗證及授權��,則禁止訪問加密文件�;c加密文件的保密使用當授權用戶訪問加密文件時����,涉密訪問模塊自動進行透明解密�,并啟動相應打開程序打開文件;保證用戶在無泄密狀態(tài)下進行涉密文檔的訪問操作�;訪問結束后,文件自動加密保存�;d涉密文檔日志審計監(jiān)控涉密文檔的加密、授權認證和保密使用�����,對涉密文檔日志進行全程跟蹤和反饋�。
2.根據(jù)權利要求1所述的保護方法,其特征在于所述的涉密文檔加密模塊是采用公知加密算法實現(xiàn)文件的數(shù)據(jù)加密�����。
3.根據(jù)權利要求1所述的保護方法,其特征在于所述的統(tǒng)一格式是對所要加密的文件格式?jīng)]有限制����,支持對任意格式文件進行加密;加密后的新文件為相同擴展名的統(tǒng)一格式�,該文件格式與文件解密程序關聯(lián)對應。
4.根據(jù)權利要求1所述的保護方法���,其特征在于所述的自動加密目錄是指涉密文檔加密模塊實時監(jiān)測自動加密目錄�����,對檢測到的新文件進行實時加密��。
5.根據(jù)權利要求1所述的保護方法���,其特征在于所述的文件權限策略是指對一個文件或一組文件的訪問權限定義不同權限信息策略,應用文件權限策略的用戶����,將獲得文件權限策略中定義的文件訪問權限。
6.根據(jù)權利要求1所述的保護方法�����,其特征在于所述的涉密訪問模塊是指對已授權的用戶,由自動解密模塊打開該文件����,由防護控制模塊限制用戶對涉密文檔的泄密操作;當同時使用兩個以上的加密文件進行內(nèi)容交互時���,由協(xié)同編輯模塊負責實現(xiàn)協(xié)同文件編輯�。
7.根據(jù)權利要求1所述的保護方法���,其特征在于所述的全程日志跟蹤是指對涉密文檔訪問進行全程日志審計��;審計的內(nèi)容包括系統(tǒng)管理日志、用戶認證�、授權分配、客戶端認證登錄�����、退出操作日志�����,涉密文檔的訪問、操作日志以及相關的配置����。
8.根據(jù)權利要求5所述的保護方法,其特征在于���,所述的自動解密模塊是指采用公知的解密算法對加密文件進行解密然后打開����,解密后使用的打開程序為操作系統(tǒng)默認的打開程序�。
9.根據(jù)權利要求5所述的保護方法,其特征在于��,所述防護控制模塊是指限制用戶對涉密文檔的泄密操作�,操作結束關閉文件;文件使用過程中產(chǎn)生的臨時文件保存在臨時目錄中���,禁止用戶直接訪問��,加密文件使用結束后�����,自動刪除臨時文件����;授權用戶在保密狀態(tài)下使用涉密文檔,用戶的文件操作接受防泄密監(jiān)控的限制�����,用戶只能進行授權操作���,禁止對文件內(nèi)容的泄密操作��。
10.根據(jù)權利要求5所述的保護方法����,其特征在于����,所述的協(xié)同編輯模塊是指允許非加密文件內(nèi)容復制到加密文件中,以及加密文件間的相互內(nèi)容復制���,禁止將加密文件內(nèi)容復制到非加密文件中。
全文摘要
本發(fā)明公開了一種協(xié)同工作環(huán)境下涉密文檔的保護方法���,該方法基于對網(wǎng)絡化涉密文檔加密���,對加密文件的授權訪問���、保密狀態(tài)下的使用和全程的審計管理模塊及步驟,構建出一個涉密文檔的協(xié)同工作應用環(huán)境��,該涉密文檔保護的步驟為1.劃定涉密文檔應用的環(huán)境范圍�����,對該環(huán)境內(nèi)所有需要保護的涉密文檔進行加密處理�����;2.根據(jù)文檔的管理流程����,對涉密文檔的使用進行授權,用戶對文件的訪問根據(jù)授權進行驗證�,只有合法用戶可以訪問涉密文檔;3.授權用戶在保密狀態(tài)下使用涉密文檔��,只能進行授權操作�����,禁止對文件內(nèi)容的泄密操作;4.在進行涉密文檔訪問的同時進行完整的日志跟蹤和審計�����,為涉密文檔在使用過程中進行無泄密訪問提供了一個良好的操作平臺����。
文檔編號G06F21/00GK1822014SQ20061004196
公開日2006年8月23日 申請日期2006年3月23日 優(yōu)先權日2006年3月23日
發(fā)明者沈明峰, 李勝磊, 張勇, 王軍 申請人:沈明峰, 李勝磊, 張勇, 王軍