技術領域

本發明涉及權限控制領域，具體而言，涉及一種網絡文檔權限控制方法、裝置及系統。

背景技術

隨著互聯網技術的不斷發展，B/S架構的Web應用程序因其易于開發部署、易于訪問、易于使用、維護簡便等優點而成為眾多企業應用的首選。通過瀏覽器，用戶可以輕松訪問Web應用中的各類電子數據和電子文檔，并可導出下載到本地計算機上。然而Web應用中的一些電子文檔涉及企業重要經營信息和知識產權，如：企業戰略規劃、市場營銷策劃、財務報表、經營分析、合同文書、工程建設文檔、設計圖紙等，一旦被非法使用或竊取就會造成信息泄漏，給企業帶來不可挽回的損失。因此亟需加強對Web應用系統中電子文檔的使用防護。

對于Web應用系統中的電子文檔，目前通常的保護措施是在身份認證的基礎上，設置訪問控制列表（即ACL）進行文檔在線訪問控制，使得非法用戶無法訪問受保護電子文檔的URL地址。現有技術的具體實現方案主要包括兩類：（1）在Web應用系統中設置ACL，并在Web應用系統的業務邏輯中根據當前用戶的身份和ACL，判斷用戶是否有對指定URL地址的訪問權限；（2）在Web應用系統前加裝訪問控制網關，在網關中設置ACL，由網關根據當前用戶的身份和ACL，判斷用戶是否有對指定URL地址的訪問權限。

上述訪問控制機制可以防止非法人員直接訪問Web應用系統中的重要電子文檔，而電子文檔一旦被合法用戶下載保存到本地計算機，則明文方式的電子文檔在使用上將不再受控，用戶可以任意發送給內部或外部不相關人員，同時也無法進行追蹤審計。因此，Web應用系統中下載的文檔缺少應有的保護措施，使用風險不可控，極易造成有意或無意的信息泄漏。

針對現有技術中Web應用系統中下載文檔缺少保護措施，無法控制下載文檔的使用風險，從而導致信息泄漏的問題，目前尚未提出有效的解決方案。

發明內容

針對相關技術中Web應用系統中下載文檔缺少保護措施，無法控制下載文檔的使用風險，從而導致信息泄漏的問題，目前尚未提出有效的解決方案，為此，本發明的主要目的在于提供一種網絡文檔權限控制方法、裝置及系統，以解決上述問題。

為了實現上述目的，根據本發明的一個方面，提供了一種網絡文檔權限控制方法，該方法包括：接收終端的文檔下載請求；獲取與文檔下載請求相對應的代理IP地址；將與文檔下載請求對應的網絡數據包轉存至代理IP地址對應的代理空間；在代理空間對網絡數據包進行加密處理，得到加密數據包；根據終端的登錄信息為終端用戶授予操作權限；將加密數據包下載至終端；根據操作權限控制終端用戶對加密數據包的操作。

進一步地，對網絡數據包進行加密處理，得到加密數據包的步驟包括：檢測文檔下載請求是否為指定下載請求；在文檔下載請求為指定下載請求的情況下，檢測網絡數據包是否為指定數據；在網絡數據包為指定數據的情況下，獲取終端的終端IP地址；通過終端IP地址檢測終端上的用戶是否已經登錄；在用戶已經登錄的情況下，對網絡數據包進行加密處理，得到加密數據包。

進一步地，獲取與文檔下載請求相對應的代理IP地址的步驟包括：解析網絡數據包，以獲取網絡數據包的目的IP地址；將目的IP地址修改為代理IP地址。

進一步地，根據終端的登錄信息為終端用戶授予操作權限的步驟包括：在用戶已經登錄的情況下，根據預設的權限策略對該終端用戶授予操作權限；在加密數據包中添加密文文檔標識。

進一步地，根據操作權限控制終端用戶對加密數據包的操作的步驟包括：獲取操作加密數據包的操作請求；根據操作請求獲取密文文檔標識和從代理空間中獲取權限列表，其中，權限列表中保存有操作權限；使用密文文檔標識在權限列表中查詢操作權限；控制終端用戶在操作權限的范圍內對加密數據包操作。

進一步地，檢測網絡數據包是否為指定數據的步驟包括：檢測文檔下載請求的響應頭中是否包含默認文件名；在響應頭中包含默認文件名的情況下，從默認文件名的值中解析出文件名的值；檢測文件名的值中是否包含指定的文檔后綴名；在文件名的值中包含指定的文檔后綴名的情況下，確定網絡數據包為指定數據；在文件名的值中不包含指定的文檔后綴名的情況下，確定網絡數據包不是指定數據。