專利名稱:支持協(xié)同工作的外發(fā)文件安全管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)通訊安全領(lǐng)域�,尤其是指一種支持協(xié)同工作的外發(fā)文件安全管理 系統(tǒng)����。
背景技術(shù):
現(xiàn)代社會企業(yè)之間的競爭歸根到底是技術(shù)實力的競爭,企事業(yè)單位只有保護了自己的商業(yè)機密和創(chuàng)新技術(shù)的安全�����,才可以在對手云集的現(xiàn)代商業(yè)社會立于不敗之地�。如今, 企業(yè)機密信息大量以電子文檔方式存在����,而電子文檔是很容易傳播的。由于Internet網(wǎng)的開放性���,某些敏感或有價值的數(shù)據(jù)面臨被盜用或破壞的風險�����。 交易雙方都要求對于在因特網(wǎng)上進行的一切交易運作都是真實可靠的��,并且要交易參與方 都具有絕對的信心���,因而因特網(wǎng)(Internet)電子商務(wù)系統(tǒng)電子政務(wù)系統(tǒng)必須保證具有十 分可靠的安全保密技術(shù)��,也就是說�,必須保證網(wǎng)絡(luò)安全的四大要素��,即信息傳輸?shù)谋C苄浴?數(shù)據(jù)交換的完整性�、發(fā)送信息的不可否認性、交易者身份的確定性��。同時由于業(yè)務(wù)的需要�, 您可能需要把一些重要的電子文件發(fā)給客戶或合作伙伴,一旦外發(fā)出去����,您就失去了對這 些資料的控制。這些重要的電子文件如果被濫用或無序傳播���,可能會對您的單位或個人帶 來嚴重的損失�����,使得大量工作付之一炬�。
發(fā)明內(nèi)容
為了解決以上問題��,本發(fā)明提供一種能夠?qū)崿F(xiàn)對外發(fā)出去的電子文件的跟蹤管 理��,防止信息的擴散的支持協(xié)同工作的外發(fā)文件安全管理系統(tǒng)���。本發(fā)明采用的技術(shù)方案一種支持協(xié)同工作的外發(fā)文件安全管理系統(tǒng)���,該系統(tǒng)包 括進行授權(quán)和證書制作與管理的系統(tǒng)安全管理中心、獲取證書并打包制作授權(quán)文件的外發(fā) 文件制作工具和對文件加解密和監(jiān)控的隱形客戶端�。進一步的,所述系統(tǒng)安全管理中心包括I�����、打包制作模塊企業(yè)用戶在制作外發(fā)文件包時��,需要得到系統(tǒng)管理中心的授權(quán)�, 創(chuàng)建證書;II����、在線認證模塊對客戶端每次使用授權(quán)文件的權(quán)限進行認證,合法的用戶通過 認證后才可以正常使用授權(quán)文件��;III、證書管理負責證書的生成���,用戶認證通過后對證書的管理���;IV、日志查詢和管理模塊查詢所有的企業(yè)員工打包制作日志�、所有的客戶遠程驗 證日志、當前外發(fā)文件的狀態(tài)管理�,可以時刻跟蹤控制每一個外發(fā)的文件。進一步的���,所述外發(fā)文件制作工具包括I�����、獲取證書模塊從認證服務(wù)器上獲取證書���,證書的信息與文件信息和企業(yè)名稱 信息綁定;II��、外發(fā)授權(quán)文件轉(zhuǎn)換模塊將待外發(fā)的授權(quán)文件加密��;III�、打包制作模塊將證書����、客戶端程序和加密后的授權(quán)文件進行處理�,得到本系統(tǒng)可控制的外發(fā)文件��。進一步的�,所述隱形客戶端包括I、授權(quán)文件第一次使用認證模塊當客戶第一次使用企業(yè)提供的授權(quán)文件時�,客 戶端將在線進行證書認證。認證成功�����,則客戶可以正常使用授權(quán)文件����;II、在線控制模塊以后的用戶使用該文件均需要在線驗證���,通過后才可繼續(xù)使 用����;III���、文件透明加��、解密模塊當合法客戶打開企業(yè)提供的授權(quán)文件時�����,客戶端程序 對授權(quán)文件進行自動解密�,用戶保存時對授權(quán)文件進行自動加密,整個過程對客戶透明���;當 非法客戶對此授權(quán)文件進行操作時將得不到文件明文�����;IV�����、授權(quán)文件使用監(jiān)控模塊當合法客戶在使用企業(yè)提供的授權(quán)文件時����,客戶端程 序?qū)⑷瘫O(jiān)控客戶只能對本文件進行編輯����,不可將文件粘貼�、復(fù)制到其他文件����,確保了文 件的明文不被竊取�����。本產(chǎn)品的關(guān)鍵技術(shù)是數(shù)字證書數(shù)字證書是網(wǎng)絡(luò)通訊中標志通訊各方身份信息的 一系列數(shù)據(jù)����,提供了一種在Internet上驗證您身份的方式,其作用類似于司機的駕駛執(zhí)照 或日常生活中的身份證���。它是一個由權(quán)威機構(gòu)一CA機構(gòu)����,又稱為證書授權(quán)(Certificate Authority)中心發(fā)行的���,人們可以在交往中用它來識別對方的身份�。本發(fā)明是一種支持協(xié) 同工作的外發(fā)文件安全管理的方法���,實現(xiàn)對企業(yè)電子文檔進行安全管理的綜合解決方案�����; 該系統(tǒng)通過采用數(shù)字簽名技術(shù)���、自動加解密技術(shù)以及文檔全過程保護技術(shù)等多種先進技 術(shù)���,實現(xiàn)對文檔內(nèi)容加密并遠程集中存儲,從用戶身份認證管理����、訪問控制管理、文檔密級 安全管理和綜合安全審計等多方面�,對文檔的創(chuàng)建、訪問�、使用、傳輸����、存儲和銷毀整個生命 周期進行有效的安全管理,確保文檔信息的完整性����、保密性和可追溯性�,在兼容現(xiàn)有常見應(yīng) 用系統(tǒng)的前提下��,有效地防止了企業(yè)或組織內(nèi)部機密信息泄漏和擴散�。
圖1外發(fā)文件安全管理系統(tǒng)邏輯結(jié)構(gòu)2隱性文件安全系統(tǒng)詳細框架3文件外發(fā)工具處理流程圖4企業(yè)客戶端打包工具工作原理5客戶端工作原理6管理中心工作原理圖具體實施辦法一種支持協(xié)同工作的外發(fā)文件安全管理系統(tǒng),該系統(tǒng)包括進行授權(quán)和證書制作與 管理的系統(tǒng)安全管理中心�、獲取證書并打包制作授權(quán)文件的外發(fā)文件制作工具和對文件加 解密和監(jiān)控的隱形客戶端。在可執(zhí)行的自解壓壓縮數(shù)據(jù)包中����,包含數(shù)字證書����、加密文檔、文件安全客戶端����。客戶收到文件壓縮包���,雙擊之后自動解壓�����,文件安全客戶端可執(zhí)行程序自動后臺 運行�����,對本地局域網(wǎng)進行端口掃描�����,鏈接到認證服務(wù)器進行數(shù)字證書認證���。一旦認證成功���, 認證服務(wù)器將會把該證書置為“已用狀態(tài)”,下次除了該用戶外��,該數(shù)字證書將無法被驗證 通過���?����?蛻舳塑浖ξ募M行解密�����,并且獲取本地主機的CPU序列號和主板序列號����。并且對打開該文件的進程進行實時監(jiān)控。工作流程見附圖4��。具體如下I�����、用戶可以透明的編輯該文件���,在編輯過程中客戶端程序防止將文件內(nèi)容通過復(fù) 制粘貼的手段復(fù)制到其他窗口以及進程中�����。否則系統(tǒng)將會提示“系統(tǒng)內(nèi)存不足”錯誤信息。II�����、用戶在保存或者關(guān)閉打開的文件時��,客戶端軟件將會采用本地主機指紋(CPU 和主板序列號散列)對該文件進行加密���。III�、用戶在保存或者關(guān)閉打開的文件時,客戶端軟件將會采用本地主機指紋(CPU 和主板序列號散列)對該文件進行加密�����。IV���、客戶端軟件采用注入方式�,存在于所有的進程空間�����,用戶無法卸載刪除����。V、一旦用戶將文件散發(fā)給其他非法用戶�,其他用戶將無法打開文件。管理中心是實施控制的核心�����。其原理如附圖5所示�。2、外發(fā)文件對于實時控制管理的實現(xiàn)��,系統(tǒng)均以證書的方式來操作。如企業(yè)發(fā)現(xiàn) 文件由于誤操作發(fā)送給一個非法的用戶�����,那么可以在認證服務(wù)器將該文件對應(yīng)的數(shù)字證書 置為“無效狀態(tài)”�。下次非法用戶使用該文件的時候,文件將被自動銷毀(不解密)���。
權(quán)利要求
一種支持協(xié)同工作的外發(fā)文件安全管理系統(tǒng)���,其特征在于該系統(tǒng)包括進行授權(quán)和證書制作與管理的系統(tǒng)安全管理中心、獲取證書并打包制作授權(quán)文件的外發(fā)文件制作工具和對文件加解密和監(jiān)控的隱形客戶端��。
2.根據(jù)權(quán)利要求1所述的支持協(xié)同工作的外發(fā)文件安全管理系統(tǒng)��,其特征在于所述 系統(tǒng)安全管理中心包括I�����、打包制作模塊企業(yè)用戶在制作外發(fā)文件包時�,需要得到系統(tǒng)管理中心的授權(quán)��,創(chuàng)建 證書�����;II、在線認證模塊對客戶端每次使用授權(quán)文件的權(quán)限進行認證����,合法的用戶通過認證 后才可以正常使用授權(quán)文件;III�、證書管理負責證書的生成,用戶認證通過后對證書的管理��;IV����、日志查詢和管理模塊查詢所有的企業(yè)員工打包制作日志、所有的客戶遠程驗證日 志�、當前外發(fā)文件的狀態(tài)管理,可以時刻跟蹤控制每一個外發(fā)的文件�。
3.根據(jù)權(quán)利要求1所述的支持協(xié)同工作的外發(fā)文件安全管理系統(tǒng),其特征在于所述 外發(fā)文件制作工具包括I���、獲取證書模塊從認證服務(wù)器上獲取證書����,證書的信息與文件信息和企業(yè)名稱信息 綁定�;II����、外發(fā)授權(quán)文件轉(zhuǎn)換模塊將待外發(fā)的授權(quán)文件加密�����;III���、打包制作模塊將證書����、客戶端程序和加密后的授權(quán)文件進行處理��,得到本系統(tǒng)可 控制的外發(fā)文件��。
4.根據(jù)權(quán)利要求1所述的支持協(xié)同工作的外發(fā)文件安全管理系統(tǒng)���,其特征在于所述 隱形客戶端包括I���、授權(quán)文件第一次使用認證模塊當客戶第一次使用企業(yè)提供的授權(quán)文件時,客戶端 將在線進行證書認證��。認證成功��,則客戶可以正常使用授權(quán)文件�����;II��、在線控制模塊以后的用戶使用該文件均需要在線驗證�����,通過后才可繼續(xù)使用��;III���、文件透明加�����、解密模塊當合法客戶打開企業(yè)提供的授權(quán)文件時��,客戶端程序?qū)κ?權(quán)文件進行自動解密����,用戶保存時對授權(quán)文件進行自動加密,整個過程對客戶透明��;當非法 客戶對此授權(quán)文件進行操作時將得不到文件明文���;IV���、授權(quán)文件使用監(jiān)控模塊當合法客戶在使用企業(yè)提供的授權(quán)文件時,客戶端程序?qū)?全程監(jiān)控客戶只能對本文件進行編輯����,不可將文件粘貼、復(fù)制到其他文件����,確保了文件的 明文不被竊取。
全文摘要
本發(fā)明屬于網(wǎng)絡(luò)通訊安全領(lǐng)域�����,尤其是指一種支持協(xié)同工作的外發(fā)文件控制系統(tǒng)���,該系統(tǒng)包括進行授權(quán)和證書制作與管理的系統(tǒng)安全管理中心����、獲取證書并打包制作授權(quán)文件的外發(fā)文件制作工具和對文件加解密和監(jiān)控的隱形客戶端。本發(fā)明通過采用數(shù)字簽名技術(shù)��、自動加解密技術(shù)以及文檔全過程保護技術(shù)等多種先進技術(shù)�,實現(xiàn)對文檔內(nèi)容加密并遠程集中存儲����,從用戶身份認證管理、訪問控制管理�、文檔密級安全管理和綜合安全審計等多方面,對文檔的創(chuàng)建�、訪問、使用�����、傳輸�����、存儲和銷毀整個生命周期進行有效的安全管理�,確保文檔信息的完整性、保密性和可追溯性��,在兼容現(xiàn)有常見應(yīng)用系統(tǒng)的前提下���,有效地防止了企業(yè)或組織內(nèi)部機密信息泄漏和擴散���。
文檔編號H04L9/32GK101826964SQ20101013818
公開日2010年9月8日 申請日期2010年4月2日 優(yōu)先權(quán)日2010年4月2日
發(fā)明者耿振民, 魏帥衛(wèi) 申請人:無錫華御信息技術(shù)有限公司