技术领域本发明涉及信息安全技术,尤其涉及一种终端中的加密文档的权限控制方法和终端。
背景技术:
文件透明加密技术是针对企业文件包括需求应用而生的一种文件加密技术,所述透明,是指对用户而言加解密过程不会被察觉,当用户打开或编辑受保护文件时,系统将自动对未加密的文件进行加密,对已加密的文件解密,文件在硬盘上以密文形式存储,在内存中则为明文,一旦改变使用环境,由于无法获得自动解密服务而无法打开,从而达到保护文件内容的目的。采用上述利用文件过滤驱动对文件权限进行控制的方式,只能根据文件类型对文件的权限进行控制,并且只能控制读写权限,而对应用层的权限无法进行控制,从而无法满足用户的要求。
技术实现要素:
本发明实施例提供一种终端中的加密文档的权限控制方法和终端,以解决无法对应用层的权限进行控制从而无法满足用户需求的问题。本发明第一方面提供一种终端中的加密文档的权限控制方法,所述终端包括:文件过滤驱动、文件管理模块、文件权限控制模块,所述方法包括:所述文件过滤驱动获取当前用户的用户标识;所述文件过滤驱动获取文件头,所述文件头中包括所述当前用户待打开文件的文件标识;当所述文件头中包括文件加密标识时,所述文件过滤驱动向所述文件管理模块发送文件权限请求指令,所述文件权限请求指令中包括所述用户标识和所述文件标识;所述文件管理模块向权限管理服务器发送接收的所述用户标识和所述文件标识;所述文件管理模块接收所述权限管理服务器发送的文件权限,所述文件权限用于指示所述用户标识所标识的用户对与所述文件标识所标识的文件可执行的操作;所述文件管理模块向所述文件权限控制模块发送所述文件权限;所述文件权限控制模块根据接收的所述文件权限控制当前用户对文件执行的操作。结合第一方面,在第一方面的第一种可能的实现方式中,所述文件权限包括复制操作权限,所述复制操作权限包括所述用户标识所标识的用户可复制的字节数;所述文件权限控制模块根据所述文件权限控制当前用户对文件执行的操作,包括:所述文件权限控制模块根据所述复制操作权限中的所述用户标识所标识的用户可复制的字节数限制当前用户复制所述文件标识所标识的文件中的内容的最大长度。结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述文件管理模块接收文件打开指令之前还包括:所述文件权限控制模块在所述终端的操作系统的剪切板中注册剪切过滤程序;所述文件权限控制模块接收所述复制操作权限之后,还包括:所述文件权限控制模块将所述复制操作权限添加至所述剪切过滤程序中。结合第一方面、第一方面的第一种和第二种可能的实现方式中的任一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述文件权限中包括打印操作权限,所述打印操作权限包括所述用户标识所标识的用户可打印的页数;所述文件权限控制模块根据所述文件权限控制当前用户对文件执行的操作包括:所述文件权限控制模块根据所述打印操作权限中的所述用户标识所标识的用户可打印的页数限制当前用户打印所述文件标识所标识的文件中的内容的最大页数。结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述文件管理模块接收文件打开指令之前还包括:所述文件权限控制模块在所述终端的操作系统的系统打印应用程序接口API中注册打印过滤程序;所述文件权限控制模块接收所述打印操作权限之后,还包括:所述文件权限控制模块将所述打印操作权限添加至打印过滤程序中。结合第一方面,在第一方面的第五种可能的实现方式中,所述文件过滤驱动获取文件头之前,还包括:所述文件管理模块接收文件打开指令,所述文件打开指令中包括所述当前用户待打开文件的文件路径;所述文件管理模块将所述文件路径发送至所述文件过滤驱动。本发明第二方面提供一种终端,包括:文件过滤驱动、文件管理模块、文件权限控制模块,其中,所述文件过滤驱动用于获取当前用户的用户标识;所述文件过滤驱动还用于获取文件头,所述文件头中包括所述当前用户待打开文件的文件标识;当所述文件头中包括文件加密标识时,所述文件过滤驱动还用于向所述文件管理模块发送文件权限请求指令,所述文件权限请求指令中包括所述用户标识和所述文件标识;所述文件管理模块用于向权限管理服务器发送接收的所述用户标识和所述文件标识;所述文件管理模块还用于接收所述权限管理服务器发送的文件权限,所述文件权限用于指示所述用户标识所标识的用户对与所述文件标识所标识的文件可执行的操作;所述文件管理模块还用于向所述文件权限控制模块发送所述文件权限;所述文件权限控制模块用于根据接收的所述文件权限控制当前用户对文件执行的操作。结合第二方面,在第二方面的第一种可能的实现方式中,所述文件权限包括复制操作权限,所述复制操作权限包括所述用户标识所标识的用户可复制的字节数;所述文件权限控制模块具体用于:根据所述复制操作权限中的所述用户标识所标识的用户可复制的字节数限制当前用户复制所述文件标识所标识的文件中的内容的最大长度。结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述文件管理模块还用于:在接收文件打开指令之前,在所述终端的操作系统的剪切板中注册剪切过滤程序;所述文件权限控制模块还用于:在接收所述复制操作权限之后,将所述复制操作权限添加至所述剪切过滤程序中。结合第二方面、第二方面的第一种至第二种可能的实现方式中的任一种可能的实现方式,在第二方面的第三种可能的实现方式中,所述文件权限中还包括打印操作权限,所述打印操作权限包括所述用户标识所标识的用户可打印的页数;所述文件权限控制模块具体用于:所述文件权限控制模块根据所述打印操作权限中的所述用户标识所标识的用户可打印的页数限制当前用户打印所述文件标识所标识的文件中的内容的最大页数。。结合第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,所述文件管理模块还用于:在接收文件打开指令之前,在所述终端的操作系统的系统打印应用程序接口API中注册打印过滤程序;所述文件权限控制模块还用于:在接收所述打印操作权限之后,将所述打印操作权限添加至打印过滤程序中。结合第二方面,在第二方面的第四种可能的实现方式中,所述文件管理模块还用于:在所述文件过滤驱动获取文件头之前,接收文件打开指令,所述文件打开指令中包括所述当前用户待打开文件的文件路径;将所述文件路径发送至所述文件过滤驱动。本发明中,文件过滤驱动获取当前用户的用户标识,还获取包括当前用户待打开文件的文件标识的文件头,当文件头中包括文件加密标识时,文件过滤驱动向文件管理模块发送包括用户标识和文件标识的文件权限请求指令,文件管理模块向权限管理服务器发送接收的用户标识和文件标识,然后接收权限管理服务器发送的用于指示用户标识所标识的用户对与文件标识所标识的文件可执行的操作的文件权限,文件管理模块向文件权限控制模块发送文件权限,文件权限控制模块根据接收的文件权限控制当前用户对文件执行的操作。其中,文件管理模块通过将接收到的权限管理服务器发送的文件权限发送至文件权限控制模块,从而使得文件权限控制模块控制当前用户需要对文件执行应用层的权限,有效满足了用户对文件处理的要求。附图说明为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的终端中的加密文档的权限控制方法的流程图;图2为本发明实施例提供的一种终端的结构示意图;图3为本发明另一实施例提供的一种终端的结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述。本发明可以应用于具有微软视窗(英文:MicrosoftWindows)操作系统的终端,且终端中包括:文件过滤驱动、文件管理模块、文件权限控制模块,其中,文件过滤驱动(英文:Filefilterdriver)为Windows操作系统中已有的驱动,其与功能驱动共同组成Windows操作系统的驱动,而功能驱动是用于处理真正的业务,而文件过滤驱动是挂在功能驱动的上层或下层的驱动,所有功能的调用都会经过上层文件过滤驱动,再到功能驱动,再到下层文件过滤驱动,在文件过滤驱动中可以对功能调用进行处理和判断,从而决定是否继续向下传递。而文件管理模块(英文:Filemanagementmodule)为Windows操作系统中的应用层中的模块,用于管理文件的信息(例如:文件名)和文件的权限(文件的读权限、文件的写权限),而本发明实施例中所涉及的文件管理模块还可以扩展为控制应用层的权限,例如:控制文件的复制权限、控制文件的打印权限等)。而应用层权限控制模块(英文:authorizationcontrolmoduleoftheapplicationlayer)为在Windows操作系统应用层中新增的模块,用于针对必须在应用层控制的权限进行控制,包括和本发明中使用到的剪切板过滤程序、打印过滤程序通信,接收指定文件的应用层权限,并将此权限发送给剪切板过滤程序、打印过滤程序。图1为本发明实施例提供的终端中的加密文档的权限控制方法的流程图,如图1所示,本实施例的方法可以包括:步骤101、文件过滤驱动获取当前用户的用户标识。具体的,由于在公司或者集团内部,不同的部门、不同的职位会对文件具有不同的处理权限,因此,公司或者集团内部的不同部门、不同职位的工作人员会有一个可以标识自己身份的用户标识。当终端打开后,使用终端的当前用户会输入分配的用户标识,此时文件过滤驱动就会获取到当前用户的用户标识。步骤102、文件过滤驱动获取文件头,文件头中包括当前用户待打开文件的文件标识。可选的,在文件过滤驱动获取文件头之前,还包括:文件管理模块接收文件打开指令,文件打开指令中包括当前用户待打开文件的文件路径,文件管理模块将文件路径发送至文件过滤驱动。其中,当前用户需要打开某一个文件时,首先终端应用层中的文件管理模块会接收到一个包含了当前用户待打开文件的路径,然后文件管理模块会将当前用户待打开文件的路径发送至驱动层中的文件过滤驱动,文件过滤驱动根据接收到的当前用户待打开文件的路径从路径对应磁盘中获取当前用户待打开文件的文件头,此文件头中会包括当前用户待打开文件的文件标识,如果此文件被加密了,则文件头中还会包括文件加密标识。步骤103、当文件头中包括文件加密标识时,文件过滤驱动向文件管理模块发送文件权限请求指令,文件权限请求指令中包括用户标识和文件标识。其中,当文件过滤驱动获取到当前用户待打开文件的文件头后,会判断文件头中是否有文件加密标识,如果有,则说明此文件是被加密的,需要请求文件权限,如果文件过滤驱动判断文件头中有加密标识,此时,文件过滤驱动还会从文件头中提取当前用户待打开文件的文件标识,然后向应用层中的文件管理模块发送文件权限请求指令,文件权限请求指令中包括当前用户的用户标识和文件标识,以使文件管理模块可以从权限管理服务器获取当前用户待打开文件的文件权限。步骤104、文件管理模块向权限管理服务器发送接收的用户标识和文件标识。步骤105、文件管理模块接收权限管理服务器发送的文件权限,文件权限用于指示用户标识所标识的用户对与文件标识所标识的文件可执行的操作。步骤106、文件管理模块向文件权限控制模块发送文件权限。步骤107、文件权限控制模块根据接收的文件权限控制当前用户对文件执行的操作。可选的,文件权限包括复制操作权限,复制操作权限包括用户标识所标识的用户可复制的字节数,在步骤102之前还包括:文件权限控制模块在终端的操作系统的剪切板中注册剪切过滤程序,而当文件管理模块向文件权限控制模块发送复制操作权限后,文件权限控制模块会将复制操作权限添加至剪切过滤程序中,从而可以使得文件权限控制模块根据复制操作权限中的用户标识所标识的用户可复制的字节数限制当前用户复制文件标识所标识的文件中的内容的最大长度。本实施例中文件权限控制模块根据复制操作权限中的用户标识所标识的用户可复制的字节数限制当前用户复制文件标识所标识的文件中的内容的最大长度,可以为剪切过滤程序实现此过程,其中,此剪切过滤程序可以为利用已有的Windows操作系统中的钩子(英文:HOOK)的原理编写的程序,进一步的,剪切过滤程序实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当当前用户复制文件标识所标识的文件的消息发出,就会调用系统剪切板的功能,而此时剪切过滤程序就先捕获该复制的消息,也即剪切过滤程序先得到控制权。这时剪切过滤程序可以根据接收到的文件权限控制模块发送的用户标识所标识的用户可复制的字节数限制当前用户复制文件标识所标识的文件中的内容的最大长度,如果用户标识所标识的用户可复制的字节数与当前用户复制文件标识所标识的文件中的内容的字节数相同,则执行复制操作。例如,当用户需要对此文档中的50个字节进行复制,而剪切板过滤程序中的权限项是只可以复制20个字,则用户没有复制50个字节的权限,则终端会提示用户您没有复制的权限或直接中断操作。可选的,文件权限中还包括打印操作权限,打印操作权限包括用户标识所标识的用户可打印的页数,在步骤102之前还包括:文件权限控制模块在终端的操作系统的系统打印应用程序接口(applicationprogramminginterface,缩写:API)中注册打印过滤程序,而当文件管理模块向文件权限控制模块发送打印操作权限后,文件权限控制模块会将打印操作权限添加至打印过滤程序中,从而可以使得文件权限控制模块根据打印操作权限中的用户标识所标识的用户可打印的页数限制当前用户打印文件标识所标识的文件中的内容的最大页数。本实施例中文件权限控制模块根据打印操作权限中的用户标识所标识的用户可打印的页数限制当前用户打印文件标识所标识的文件中的内容的最大页数,可以为打印过滤程序实现此过程,此过打印滤程序同样可以为利用已有的Windows操作系统中的HOOK的原理编写的程序,进一步的,打印过滤程序实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当当前用户打印文件标识所标识的文件的消息发出,就会调用系统打印API的功能,而此时打印过滤程序就会先捕获该复制的消息,也即打印过滤程序先得到控制权。这时打印过滤程序可以根据接收到的文件权限控制模块发送的用户标识所标识的用户可打印的页数限制当前用户打印文件标识所标识的文件中的内容的最大页数,如果用户标识所标识的用户可打印的页数与当前用户请求对文件标识所标识的文件中的打印页数相同,则执行打印操作。本发明实施例提供的终端中的加密文档的权限控制方法,包括:文件过滤驱动获取当前用户的用户标识,还获取包括当前用户待打开文件的文件标识的文件头,当文件头中包括文件加密标识时,文件过滤驱动向文件管理模块发送包括用户标识和文件标识的文件权限请求指令,文件管理模块向权限管理服务器发送接收的用户标识和文件标识,然后接收权限管理服务器发送的用于指示用户标识所标识的用户对与文件标识所标识的文件可执行的操作的文件权限,文件管理模块向文件权限控制模块发送文件权限,文件权限控制模块根据接收的文件权限控制当前用户对文件执行的操作。其中,文件管理模块通过将接收到的权限管理服务器发送的文件权限发送至文件权限控制模块,从而使得文件权限控制模块可以控制当前用户需要对文件执行的应用层的权限,有效满足了用户对文件处理的要求。图2为本发明实施例提供的一种终端的结构示意图,如图2所示,终端200可以包括:文件过滤驱动201、文件管理模块202、文件权限控制模块203,其中,文件过滤驱动201用于获取当前用户的用户标识;文件过滤驱动201还用于获取文件头,文件头中包括当前用户待打开文件的文件标识;当文件头中包括文件加密标识时,文件过滤驱动201还用于向文件管理模块202发送文件权限请求指令,文件权限请求指令中包括用户标识和文件标识;文件管理模块202用于向权限管理服务器发送接收的用户标识和文件标识;文件管理模块202还用于接收权限管理服务器发送的文件权限,文件权限用于指示用户标识所标识的用户对与文件标识所标识的文件可执行的操作;文件管理模块202还用于向文件权限控制模块203发送文件权限;文件权限控制模块203用于根据接收的文件权限控制当前用户对文件执行的操作。可选的,文件权限包括复制操作权限,复制操作权限包括用户标识所标识的用户可复制的字节数;文件权限控制模块203具体用于:根据复制操作权限中的用户标识所标识的用户可复制的字节数限制当前用户复制文件标识所标识的文件中的内容的最大长度。进一步的,文件管理模块202还用于:在接收文件打开指令之前,在终端的操作系统的剪切板中注册剪切过滤程序;文件权限控制模块203还用于:在接收复制操作权限之后,将复制操作权限添加至剪切过滤程序中。可选的,文件权限中还包括打印操作权限,打印操作权限包括用户标识所标识的用户可打印的页数;文件权限控制模块203具体用于:文件权限控制模块203根据打印操作权限中的用户标识所标识的用户可打印的页数限制当前用户打印文件标识所标识的文件中的内容的最大页数。进一步的,文件管理模块202还用于:在接收文件打开指令之前,在终端的操作系统的系统打印应用程序接口API中注册打印过滤程序;文件权限控制模块203还用于:在接收打印操作权限之后,将打印操作权限添加至打印过滤程序中。可选的,文件管理模块202还用于:在文件过滤驱动201获取文件头之前,接收文件打开指令,文件打开指令中包括当前用户待打开文件的文件路径;将文件路径发送至文件过滤驱动201。本实施例的终端,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。图3为本发明另一实施例提供的一种终端的结构示意图,如图3所示,该终端可以为计算机,该终端300可以包括:接口301,存储器302和处理器303。其中,接口301,存储器302和处理器303之间通过通信总线304连接。接口301可以为以下一种或多种:提供有线接口的网络接口控制器(英文:networkinterfacecontroller,缩写:NIC),例如以太网NIC;提供无线接口的NIC,例如无线局域网(英文:wirelesslocalareanetwork,缩写:WLAN)NIC。该终端可以通过接口301向权限管理服务器发送和接收报文。存储器302,存储程序代码,以及存储转发指示消息,并将存储的程序代码传输给处理器303。存储器302,可以是易失性存储器(英文:volatilememory),例如随机存取存储器(英文:random-accessmemory,缩写:RAM);或者非易失性存储器(英文:non-volatilememory),例如快闪存储器(英文:flashmemory),硬盘(英文:harddiskdrive,缩写:HDD)或固态硬盘(英文:solid-statedrive,缩写:SSD);或者上述种类的存储器的组合。处理器303可以是中央处理器(英文:centralprocessingunit,缩写:CPU)。处理器303,获得存储器303中存储的程序代码,并按照获得的程序代码生成文件过滤驱动、文件管理模块和文件权限控制模块。其中,文件过滤驱动获取当前用户的用户标识和文件头,文件头中包括当前用户待打开文件的文件标识,当文件头中包括文件加密标识时,文件过滤驱动向文件管理模块发送文件权限请求指令,文件权限请求指令中包括用户标识和文件标识,然后,文件管理模块向权限管理服务器发送用户标识和文件标识,文件管理模块接收权限管理服务器发送的文件权限,文件权限用于指示用户标识所标识的用户对与文件标识所标识的文件可执行的操作,最后,文件管理模块向文件权限控制模块发送文件权限,文件权限控制模块根据接收的文件权限控制当前用户对文件执行的操作。可选的,文件权限包括复制操作权限,复制操作权限包括用户标识所标识的用户可复制的字节数;文件权限控制模块根据文件权限控制当前用户对文件执行的操作,包括:文件权限控制模块根据复制操作权限中的用户标识所标识的用户可复制的字节数限制当前用户复制文件标识所标识的文件中的内容的最大长度。可选的,文件管理模块接收文件打开指令之前还包括:文件权限控制模块在终端的操作系统的剪切板中注册剪切过滤程序;文件权限控制模块接收复制操作权限之后,还包括:文件权限控制模块将复制操作权限添加至剪切过滤程序中。可选的,文件权限中还包括打印操作权限,打印操作权限包括用户标识所标识的用户可打印的页数;文件权限控制模块根据文件权限控制当前用户对文件执行的操作包括:文件权限控制模块根据打印操作权限中的用户标识所标识的用户可打印的页数限制当前用户打印文件标识所标识的文件中的内容的最大页数。可选的,文件管理模块接收文件打开指令之前还包括:文件权限控制模块在终端的操作系统的系统打印应用程序接口API中注册打印过滤程序;文件权限控制模块接收打印操作权限之后,还包括:文件权限控制模块将打印操作权限添加至打印过滤程序中。进一步的,文件过滤驱动获取文件头之前,还包括:文件管理模块接收文件打开指令,文件打开指令中包括当前用户待打开文件的文件路径;文件管理模块将文件路径发送至文件过滤驱动。本实施例的终端,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:只读存储器(英文:read-onlymemory,缩写:ROM)或RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明权利要求的范围。