[发明专利]一种基于云服务的文件安全管理系统

权利要求书

1.一种基于云服务的文件安全管理系统，其特征在于，所述系统包括： 

云服务器端的认证管理单元：包括证书认证模块、日志模块和外发文件追踪模块。其中，证书认证模块功能为在线认证表明用户身份的数字证书；日志模块的功能为接受从企事业控制中心的用户管理单元上传的日志整理和外发文件的操作记录并存储；外发文件追踪模块功能为对存储的日志中关于外发文件的部分进行处理，实时追踪外发文件的操作状态并通知企事业控制中心。 

企事业控制中心的用户管理单元：包括用户管理模块、证书管理模块、安全策略模块、日志管理模块、VPN(虚拟专网)管理模块、文件存储模块和文件加密模块。其中，用户管理模块的功能为创建和删除用户账户，对用户进行权限控制；证书管理模块的功能为发放证书给客户端和将本地的证书与云服务器上的证书进行同步；安全策略模块的功能为配置文件操作安全策略并将其下发到客户端；日志管理模块的功能为接收从客户端发来的日志，对其进行整理后并上传到云服务器备份；VPN管理模块的功能为管理VPN接入和被管理客户端的用户名和密码；文件存储模块的功能为接收客户端上传的备份文件并存储；文件加密模块功能为对本地文件进行透明加密和解密操作。 

客户端的文件管理单元：包括VPN登录模块、操作控制模块、证书认证模块、外发文件制作模块、文件加密模块、文件备份模块和日志模块。其中，VPN登录模块的功能为系统运行后自动强制进行VPN连接；操作控制模块功能为接收并实施企事业控制中心下发的安全策略，控制用户对文件的操作行为；证书认证模块的功能为发送认证请求到云服务器或企事业控制中心进行证书认证；外发文件制作模块的功能为向企事业控制中心请求外发文件证书，根据获得的证书、待授权文件和外发程序制作成外发文件包(自解压的可执行文件)；文件加密模块的功能为向授权用户提供文件的透明加密 和解密处理；文件备份模块的功能为根据用户的需要将文件备份到企事业控制中心；日志模块的功能为记录客户端的文件操作信息并上传到企事业控制中心。 

2.如权利要求1所述的基于云服务的文件安全管理系统，其特征在于，所述系统中的透明加密技术为当授权用户打开企业提供的授权文件时，客户端程序对授权文件进行自动解密，保存时对授权文件进行自动加密，整个过程对用户透明；当为授权用户打开文件进行操作时将得不到明文。 

3.如权利要求1所述的基于云服务的文件安全管理系统，其特征在于，所述用户管理单元的用户管理模块中的用户分为：管理员(创建和删除用户、管理用户证书和为用户分配权限)、普通用户(根据安全策略和权限范围进行文件操作)和客户用户(企事业的客户，仅能对外发文件进行安全策略内的操作)三种。 

4.如权利要求1所述的基于云服务的文件安全管理系统，其特征在于，所述用户管理单元的安全策略模块的策略配置如下：安全系统中的文件在存盘时会自动加密，在授权客户端打开时会自动解密，未经授权用户打开文件时显示为乱码；控制常用的截图软件，不允许截图操作。 

5.如权利要求1所述的基于云服务的文件安全管理系统，其特征在于，所述文件管理单元在第一次启动时会自动运行证书认证模块进行在线认证，如通过，则可以得到文件明文并在操控控制的范围内执行相关操作，反之，不可；在无互联网络连接的情况下，也可以登录到企事业的内部网络内，通过用户管理单元进行证书认证。 

6.如权利要求1所述的基于云服务的文件安全管理系统，其特征在于，所述文件管理单元的操作控制模块的控制行为为：禁止拷贝明文到其他文件；允许拷贝其他文件内容到本文件；允许编辑本文件、拷贝本文件内容到本文；允许将本文另存为新密文；明文绑定，即另存后的明文绑定本机，只可在本机打开，转发后将无法验证成功。 

7.如权利要求1所述的基于云服务的文件安全管理系统，其特征在于，所述系统中的用户在有外发文件制作需求时，会向企事业控制中心请求外发文件证书，获得证书后，连同待授权文件输入到外发文件制作模块，外发文件制作模块将输入和外发程序制作成外发文件包，传输给客户。 

8.如权利要求1所述的基于云服务的文件安全管理系统，其特征在于，所述文件管理单元的外发文件制作模块中的外发程序的功能包括证书验证、操作控制、日志上传到云服务器和文件加解密。 

9.如权利要求1所述的基于云服务的文件安全管理系统，其特征在于，所述系统中的客户在第一次打开外发文件后会自动在线认证。认证成功，则客户可以正常操作该授权文件。