技術領域

本發明涉及信息安全技術，尤其涉及一種基于透明加解密技術的文件保護方法及系統。

背景技術

隨著電子信息技術的不斷發展和普及，無論是企業、政府，還是個人，都有越來越多的信息以電子文件的形式存放。電子文件給人們帶來便利的同時，也因其易傳播和泄露而存有極大的隱患。

同時，網絡的普及使信息的獲取、共享和傳播更加方便，但也增加了重要信息泄密的風險。比如，黑客持續不斷地攻擊、員工因不當使用造成防火墻失效、存儲有機要信息的存儲介質失竊和遺失、個別員工違規泄露和拷貝等等，都會導致電子文件的泄露，進而給企業帶來重大損失。據統計：超過85%的信息安全威脅來自組織內部，其中，有16%來自內部未授權的存??；在各種安全漏洞造成的損失中，30%～40%是由電子文件的泄露造成的，而防火墻、防病毒、入侵檢測、物理隔離這些常見的內網安全措施也無法有效阻止企業機密信息的泄露。因此，除了部署實施常規的網絡監控軟件外，如何借助現有的透明加解密技術來保護電子文件的安全，是目前亟待解決的問題。

發明內容

有鑒于此，本發明的主要目的在于提供一種文件保護方法及系統，能保證電子文件的安全性以及對電子文件使用權限的控制。

為達到上述目的，本發明的技術方案是這樣實現的：

本發明提供了一種文件保護方法，該方法包括：

客戶終端接收到認證服務器發送的與該客戶終端相對應的文件操作證書后，根據所述文件操作證書確定當前預打開文件的操作進程為合法進程時，對所述合法進程打開后的文件的編輯操作進行控制。

優選地，所述客戶終端接收到認證服務器發送的與該客戶終端相對應的文件操作證書之前，所述方法還包括：

認證服務器為不同用戶群分別設置與所述不同用戶群相對應的文件操作證書，并向所述不同用戶群下的客戶終端發送相應的文件操作證書。

優選地，所述文件操作證書包括：加解密算法及其密鑰、合法進程與文件類型的關聯關系、以及合法進程打開所關聯文件類型的文件后的控制規則。

優選地，在相同用戶群下的各客戶終端的文件操作證書中具有：相同的加解密算法及其密鑰、以及相同的合法進程與文件類型的關聯關系，不同的合法進程打開所關聯文件類型的文件后的控制規則。

優選地，所述合法進程打開所關聯文件類型的文件后的控制規則，包括：

允許對相應文件進行截屏、或打印、或內容拷貝、或保存、或另存、或導出操作，以及禁止對相應文件進行截屏、或打印、或內容拷貝、或保存、或另存、或導出操作；和/或，

允許對相應文件進行保存、另存、或導出時，利用與該文件對應密鑰以及加解密算法對該文件內容進行加密。

優選地，所述根據所述文件操作證書確定當前預打開文件的操作進程為合法進程，包括：

接收到打開文件操作時，獲取所述打開文件操作進程；

確定當前預打開文件的操作進程為不合法進程、且該文件為加密文件時，使加密文件打開后呈現亂碼狀態；

確定當前預打開文件的操作進程為合法進程時、且該文件為加密文件時，利用相應密鑰對該文件內容按照相應加解密算法進行解密，并將解密后的明文傳遞給合法進程，合法進程打開所述明文；

確定當前預打開文件的操作進程為合法進程、且該文件為未加密文件時，合法進程正常打開所述未加密文件。

優選地，所述對所述合法進程打開后的文件的編輯操作進行控制，包括：

若合法進程打開所關聯文件類型的文件后的控制規則為不允許操作，則禁止對該文件進行截屏、或打印、或內容拷貝、或保存、或另存、或導出操作；

若合法進程打開所關聯文件類型的文件后的控制規則為允許操作，則允許對該文件進行截屏、或打印、或內容拷貝、或保存、或另存、或導出操作，和/或，

對該文件進行保存、另存、或導出時，利用與該文件對應密鑰以及加解密算法對該文件內容進行加密。

本發明還提供了一種文件保護系統，該系統包括認證服務器和客戶終端；其中，

所述認證服務器，用于為不同用戶群分別設置與所述不同用戶群相對應的文件操作證書，并向所述不同用戶群下的客戶終端發送相應的文件操作證書；

所述客戶終端，用于接收到認證服務器發送的與該客戶終端相對應的文件操作證書后，根據所述文件操作證書確定當前預打開文件的操作進程為合法進程時，對所述合法進程打開后的文件的編輯操作進行控制。

優選地，所述文件操作證書包括：加解密算法及其密鑰、合法進程與文件類型的關聯關系、以及合法進程打開所關聯文件類型的文件后的控制規則。