技術領域

本發明涉及計算機和互聯網領域，尤其涉及一種防止文檔被外泄的技術。

背景技術

隨著計算機技術及網絡技術的普及和發展，豐富的網絡數據資源為人們的生活帶來了極大的便利，同時也帶來了諸多的困惑，例如，在企業中，員工很容易地將一些涉及企業秘密的文件發送到企業之外，從而導致文件泄密。因此，需要一種能夠保護文檔以防止文檔內容外傳的方案。

目前已經提供了各種方案來防止計算設備上的文檔被泄密。一種方案是在計算設備上安裝專門的軟件來封堵硬件接口（如USB接口、紅外接口等）和關閉網絡協議（FTP、HTTP等）來阻止向外部傳輸電子文檔。然而，這種方案上存在技術上的不足之外。首先，該方案需要封堵硬件接口和關閉網絡協議，犧牲計算機的可用性。其次，隨著計算機技術不斷發展，新技術新協議不斷更新，此種方案很難在第一時間防止通過新的存儲介質和傳輸協議的文檔泄密問題。

另外一種方案是在網絡中部署權限管理軟件，同時配置專用的閱讀器來讀取文檔，從而防止電子文檔被泄密。該方案可以設置用戶處理電子文檔的權限，這樣有的用戶只擁有讀取的權限，而有的用戶擁有讀取、修改、打印等多種權限。這樣既達到了防止文件被泄密，也達到了公司知識積累和文件的共享。管理者從使用者下載文檔操作開始控制使用者的讀取、存儲、復制、輸出等權限,使得每使用者只能接觸到自己業務范圍內的有限文檔，防止使用者之間非法復制、拷貝、對外發行、光盤拷貝。這種方案雖然不會受存儲介質和傳輸協議的影響，但該方式需要產生文件后將電子文檔手動轉換成專用閱讀器的文件格式，因此操作繁瑣。另外，這種方式由于需要使用者手動來轉換格式，因此并不能防止使用者主動泄密。

因此，需要的是一種可以解決上述問題、并且對用戶來說基本透明的文檔保護方案。

發明內容

為此，本發明提供一種新的方案以力圖解決或者至少緩解上面存在的問題。

根據本發明的一個方面，提供了一種文檔保護設備，駐留在客戶端上。該客戶端中具有操作系統，該操作系統劃分為用戶空間層和內核層。該文檔保護設備包括：加解密模塊，在用戶空間層運行，監控在客戶端上的應用對文檔的操作，當應用讀取文檔內容時，從客戶端中獲取加密的文檔內容并進行解密，將解密內容放置在臨時存儲空間中以供應用讀取；當應用存儲文檔內容時，將臨時存儲空間中的內容進行加密，并存儲加密的文檔；以及自保護模塊，在內核層中運行，監控臨時存儲空間，以防止除了該應用以外的其他應用訪問該臨時存儲空間。

可選地，在根據本發明的文檔保護設備中，自保護模塊還對所述加解密模塊進行監控，當加解密模塊停止工作時，所述自保護模塊就會清空所述臨時存儲空間中的解密內容。

可選地，根據本發明的文檔保護設備還包括規則管理器，耦接到加解密模塊，該規則管理器包括各種應用進行各種文檔操作的規則；以及加解密模板在監控到應用對文檔的操作時，從規則管理器中獲取與該應用相關聯的文檔操作規則，并確定該應用是否可以進行該文檔操作。

可選地，根據本發明的文檔保護設備還包括客戶端代理模塊，適于與文檔保護服務器進行通信，并耦接到加解密模塊，以將加解密模塊所監控到的文檔操作記錄發送到文檔保護服務器。客戶端代理模塊還包括身份認證部件，適于經由和文檔保護服務器的通信來對客戶端進行認證，并且只允許認證通過的客戶端啟動加解密模塊進行文檔操作。

可選地，在根據本發明的文檔保護設備中，其中加解密模塊在和自保護模塊進行通信時，將自身的校驗信息添加到通信數據中，以便自保護模塊根據該信息確定加解密模塊的身份。

根據本發明的另一個方面，提供了一種文檔保護方法，適于在客戶端上運行。客戶端中具有操作系統，該操作系統劃分為用戶空間層和內核層。該文檔保護方法包括步驟：在用戶空間層監控在客戶端上的應用對文檔的操作，當應用讀取文檔內容時，從客戶端中獲取加密的文檔內容并進行解密，將解密內容放置在臨時存儲空間中以供應用讀取；當應用存儲文檔內容時，將臨時存儲空間中的內容進行加密，并存儲加密的文檔；以及在內核層中監控臨時存儲空間，防止除了該應用以外的其他應用訪問該臨時存儲空間。

可選地，根據本發明的文檔保護方法還包括步驟：在內核層監控用戶空間層監控應用對文檔的操作的步驟，當用戶空間層的監控操作停止工作時，就會清空所述臨時存儲空間中的解密內容。