[发明专利]文件安全保护系统及其方法

说明书

技术领域

本发明属于安全技术领域，特别是一种涉及计算机文件安全的保护，可用于对信息安全系统等环境下的文件进行安全保护。

背景技术

随着网络技术和信息技术的迅速发展，各种网络应用，例如：电子商务、电子政务、网络办公自动化等也在不断进步。越来越多的传统工作模式都在向互联网迁移。这不仅加快了经济发展的步伐，还极大地改变了人们的工作和生活方式，提高了人们的工作效率和生活质量。

信息化在给人们带来方便的同时，也带来风险和威胁。网络非法入侵、信息窃取与篡改、身份伪造与否认等安全问题严重地阻碍了网络及其应用的发展。由防火墙、虚拟专用网VPN和病毒防范技术等为主要组成部分的传统信息安全系统，已无法应对日趋复杂的网络安全问题，主要体现在以下三方面：

1.传统的信息安全系统以防御来自外部的网络攻击为重点，而目前很多安全威胁来自于网络内部，由于内部人员的疏忽和不合理行为所造成的安全事件日益增多，以防御外部安全攻击为重点的信息安全系统无法有效抵御来自于内部的安全威胁；

2.由于信息系统由服务器、网络、终端三个层面组成，传统安全系统对三个层次的保护是逐级递减的，因而对终端设备的监控与保护措施往往较为简单，难以防范针对终端设备的恶意攻击；

3.传统的信息安全系统主要通过安全访问控制技术来防范可能的网络攻击，由于没有对传输的数据本身进行加密，因而传输的数据有可能被攻击者窃取并破解。

目前，针对以上安全威胁，主要的防范措施有：口令认证、开启防火墙、构建虚拟专用网VPN及使用加密服务。其中：

口令认证，是大部分企业局域网采用的传统技术，这种技术虽然能够提供加密服务，但无法防御和检测来自局域网内部人员的网络攻击和身份假冒，也无法提供不可否认服务。

防火墙，是一种在局域网边界提供安全保护的设备，但它和口令认证技术一样无法防御内部人员的攻击，也不能提供保密服务和不可否认服务。

虚拟专用网，是通过加密和验证技术来保护传输数据的安全。对于不使用公钥基础设施PKI的虚拟专用网VPN，在认证和管理上存在一定的安全缺陷，同样无法防御来自内部网络的攻击。

加密服务，是通过对称加密或是非对称加密算法为用户的数据提供保护。在传统的加密系统中，密钥分散存储在各个客户终端，无法对密钥进行集中管理，密钥管理的风险增大且难以进行安全审计。

发明内容

本发明的目的在于针对上述问题，提出一种文件安全保护系统及其方法，以确保文件在传输过程、存储、共享及访问时的安全性。

实现本发明目的的技术思路是：通过使用证书服务器CA颁发的数字证书，自定义用户密钥存储格式及文件加密存储格式，设计并实现完整的安全防护体系；基于证书服务器CA的安全体系平台通过在信息系统的不同层面上提供安全防护，监测和防御来自于内部与外部的安全威胁，以保证文件在传输过程、存储、共享及访问时的安全性。其技术方案如下：

一.本发明的文件安全保护系统，包括：

统一认证及管理服务器，用于接收客户终端的业务请求，并根据业务请求与证书服务器CA或密钥管理服务器进行通信以完成业务请求，该业务请求包括新用户的注册及现有用户的登陆，证书的签发、查询、注销及更新，公私钥对、个人文件密钥及临时共享文件密钥的产生、注销及更新；

证书服务器CA，用于接收并完成统一认证及管理服务器发送的证书业务请求，包括证书的签发、查询、注销及更新操作，同时对签发的证书进行存储；业务完成后通过统一认证及密钥管理服务器将处理结果转发至客户终端；证书服务器CA签发数字证书时要向密钥管理服务器发送密钥业务请求，等待密钥管理服务器完成业务并接收其返回的公钥后，再签发数字证书；

密钥管理服务器，用于接收并完成证书服务器CA或统一认证及管理服务器发送的密钥业务请求，该业务请求包括公私钥对、个人文件密钥及临时共享文件密钥的产生、查询、注销及更新操作，并对产生的密钥进行存储；业务完成后，将公钥发送至证书服务器CA，将个人文件密钥及临时共享文件密钥发送到统一认证及管理服务器并转发至客户终端；

客户终端，用于为用户提供接入系统的接口及视图操作平台，通过向统一认证及管理服务器发送证书业务请求及密钥业务请求，以获取数字证书、个人文件密钥及临时共享文件密钥，并通过向统一认证及管理服务器发送注册请求或是登陆请求完成注册及登陆。

所述的统一认证及管理服务器，包括安全通信模块、统一认证及管理服务器功能模块和统一认证及管理服务器数据库模块。