[发明专利]一种文件安全控制方法及装置

说明书

技术领域

本发明涉及电子文件处理技术，尤其涉及一种文件安全控制方法及对应的装置。

背景技术

随着信息化技术的推广，包括政府机关以及企业在内的各种大型社会组织越来越倾向于采用电子化的方式来保存自身的业务及管理数据。以企业为例，大部分企业的财务报表、员工档案、设计图纸、音像资料等数据通常都采用电子文件的形式予以保存。电子文件已经成为一种不可替代的数据储存方式。

电子文件相对于传统的纸质文件的方式有着各种显而易见的卓越优势。比如说电子文件相对于传统的纸质文件更容易被传播，然而更容易被传播意味着电子文件更容易产生信息安全的问题。如何防止文件未经内部合规程序的批准而流传到外部是一个极具挑战的安全工作，也是目前各种社会组织非常迫切的信息化安全需求。

针对这种安全需求，目前市场上出现了一些解决方案，主要有如下几类技术：文档权限管理系统、主动型文件加密系统、文档透明加解密系统。这几类技术都可以从一定程度上解决客户端的文件安全问题，但目前还没有一种解决方案，在不影响用户使用的前提下，能做到有效防止用户计算机存放的各类保密文件的泄密。

微软公司的RMS系统是一种典型的文档权限管理系统。RMS系统针对office类文件，使用RMS进行加密授权，无权限用户无法打开文件。经过加密的文件离开指定的AD域网络环境，同样无法打开使用。然而RMS系统仅能针对office文件进行加密授权，不能对非office文件进行保护。缺乏广泛的适用性，比如说对于一个IT企业来说，其可能有大量包括源代码在内的有价值的商业秘密并非是采用Office文件来保存的。此外，RMS系统属于主动加密工具，如果企业内部人员故意泄密保密文件将无法防范。

亿赛通文档透明加密系统是一种典型的文档透明加解密系统。对于需要保护的文件类型，该系统会在文件保存时对其进行强制性的加密，只要写在磁盘上就是加密存储的；文件生成的参与者被系统授权许可使用这些加密的文件，可以接触操作这些内容。如果未经合法许可而带走加密文件，这些加密文件内容将不能够被正常打开，文件内容不会因为文件数据体的扩散而扩散。

透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明，是指对文件使用者来说文件被加密是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开该文件，于是就起来保护文件内容的效果。由于文档透明加解密系统，所有指定类型文件都是强制加密的，因此有如下缺点：文件使用过程需要进行加解密，占用系统资源，有时候会显著影响当前系统性能和用户体验，降低人员的工作效率。而且所有指定类型文件都进行了加密，影响组织内部人员与外部人员的信息交流效率。

发明内容

有鉴于此，本发明提供一种文件安全控制装置，应用于主机上，该装置包括：加密准备单元以及加密执行单元，其中：

加密准备单元，用于在发生已登录域用户将当前主机本地硬盘上的文件向域外复制事件时，为需要复制的当前文件获取对应的加密密钥；

加密执行单元，用户使用该加密密钥对当前文件中的明文数据进行加密形成密文数据，并将与该加密密钥对应的加密标识保存在该已加密文件的明文区中。

本发明还提供一种文件安全控制方法，应用于主机上，该方法包括：

步骤A、在发生已登录域用户将当前主机本地硬盘上的文件向域外复制事件时，为需要复制的当前文件获取对应的加密密钥；

步骤B、使用该加密密钥对当前文件中的明文数据进行加密形成密文数据，并将与该加密密钥对应的加密标识保存在该已加密文件的明文区中。

相对于现有技术而言，本发明通过区分复制操作的对端是否在域内，对于对端在域内的复制操作允许透明通过，对于对端在域外的复制操作则采用加密文件的方式；这种方式在保障了文件中信息安全的前提下又提高了组织内部用户之间文件交流的效率。

附图说明

图1是本发明一种实施方式中一种文件安全控制装置运行环境及逻辑结构框架图。

图2是本发明一种实施方式中一种文件安全控制装置与域内域控服务器交互流程图。

图3是本发明一种实施方式中文件加密处理的详细实现流程图。

图4是本发明一种实施方式中文件解密处理的详细实现流程图。

具体实施方式