基于安全标签的电子文档全生命周期安全防护方法与流程

本发明属于网络安全技术领域，提出了一种基于安全标签的电子文档全生命周期安全架构。

背景技术：

国家秘密和商业秘密是国家、政府、企业的重要无形资产和核心竞争力，电子文档是这类资产的常用载体，安全标签1可实现对电子文档全生命周期的状态记录、轨迹追踪及细粒度安全管控，基于安全标签的电子文档在产生、流转、应用、存储和销毁的全生命周期中，面临以下五点安全隐患。

(1)基于安全标签的电子文档产生阶段的安全隐患

电子文档产生阶段，无法明确电子文档的知悉范围、权限、密级和保密期限，密级变更后难以追溯文档轨迹，密级标识易篡改。定密存在模棱两可、认知不一的问题(多级审批、指定定密审批人)。

(2)基于安全标签的电子文档流转阶段的安全隐患

电子文档的多样性和分散性、频繁的流转与共享，缺乏对大量电子文档的态势掌控及完整详细的流转审计。电子文档在内部网络传输时，存在高密级电子文档流向低密级用户；在非内部网络传输时，传输电子文档存在被窃取、否认发送和接收等安全隐患；在外发时，存在电子文档不是由文件接收人读取的安全隐患。

(3)基于安全标签的电子文档应用阶段的安全隐患

不同工作部门、工作性质的人员对电子文档的需求不同，若电子文档的权限操作权限未经细粒度控制，存在非法访问、拷贝电子文档等安全隐患，

(4)基于安全标签的电子文档存储阶段的安全隐患

存储于终端和服务器的电子文档，存储过程中存在电子文档被篡改、泄露、破坏等安全隐患。重要的电子文档存储于外部环境中，缺少完善的管控手段。

(5)基于安全标签的电子文档销毁阶段的安全隐患

删除电子文档后，需防止通过数据恢复手段恢复电子文档，并获取敏感信息，若在越权使用后，文档应立即销毁。

技术实现要素：

本发明的目的在于提供一种基于虚拟化技术的文档集中管控系统，用于解决上述现有技术的问题。

本发明一种基于安全标签的电子文档全生命周期安全防护方法，其中，包括：s1、请求创建电子文档时，依据下发的策略生成安全标签，通过对比安全标签的权限管控信息，判断是否具备文档的访问权限，若不具备访问权限，执行步骤s10，若具备访问权限，执行步骤s2；s2、文档处于加密状态，判断安全标签的非对称密钥信息，通过非对称密钥信息的校验值，对比文档创建者的公钥信息，验证文档的完整性，若验证不通过，执行步骤s10，若验证通过，执行步骤s3；s3、通过对称密钥信息，进行电子文档的解密，确定文档操作内容，如为销毁文档，则执行s4，如为流转和发送操作，则执行s5，如为阅读、复制以及编辑操作，则执行步骤s6；s4、将文档提交至销毁责任人终端，执行步骤s7；s5、判断安全标签的权限管控信息，是否有外发或流转权限，如果有，则将文档提交至流转责任人终端，执行步骤s8，如果没有，则执行步骤s11；s6、对文档进行阅读、复制以及编辑操作时，判断安全标签的权限管控信息，是否有阅读、复制以及编辑权限，如果有，则执行步骤s9，否则执行步骤s10；s7、在对文档进行销毁时，通过将文档提交至销毁责任人终端，由销毁责任人终端审批，当安全标签销毁信息的审批状态为已通过时，该文档可进行销毁，否则，执行步骤s11；s8、流转责任人终端进行审批信息，如流转责任人终端通过将文档的审批信息定为已通过状态，则该文档可进行流转或外发，执行步骤s12，否则，执行步骤s11；s9、在对文档进行阅读、复制以及编辑操作时，判断安全标签的权限管控信息，对使用者的操作进行管控，在使用者进行读和写操作时，对应的安全标签中读和写的次数减1，当安全标签中的读和写的次数为0时，拒绝使用者的操作并记录；s10、将文档锁定，并记录锁定原因；s11、将失败原因返回至发送者，并记录原因；s12、使用者在对文档进行外发时，通过将文档提交至外发责任人终端，当安全标签权限管控信息的外发次数大于1，流转责任人终端修改安全标签的权限信息，确定文档仅可在已知终端上进行可控操作。

根据本发明的基于安全标签的电子文档全生命周期安全防护方法的一实施例，其中，在电子文档全生命周期中，需部署文档管控服务器，在需进行文档管控的终端部署，文档管控服务器负责安全标签的生成与使用。

根据本发明的基于安全标签的电子文档全生命周期安全防护方法的一实施例，其中，在电子文档产生阶段，用户创建文档时，内核层驱动捕获创建事件，创建安全标签，安全标签保存有电子文档的基本属性、密级属性和文档归属属性，基本属性包括系统用于确定文档的唯一id，唯一id在电子文档的全生命周期中不进行改变，基本属性还包含电子文档的标题、作者、创建及修改时间、类别以及路径；密级属性包括文档的拟定密级、密级审批状态、密级标识状态以及保密期限；文档归属属性包括电子文档产生的单位或部门标识。

根据本发明的基于安全标签的电子文档全生命周期安全防护方法的一实施例，其中，在电子文档存储阶段，安全标签保存电子文档的加密属性，将对称密钥和电子文档的绑定关系发送至文档管控服务器，加密属性包括对称密钥信息和非对称密钥信息、加密状态以及加密算法，对称密钥信息包括证书、校验值以及加密算法内容，以密钥为基础，不同的文件对应不同的密钥信息，生成电子文档密文。

根据本发明的基于安全标签的电子文档全生命周期安全防护方法的一实施例，其中，在电子文档流转阶段，安全标签保存电子文档的非对称密钥信息和审批信息，非对称密钥信息内容包括签名证书、校验值以及加密算法，使用创建者的私钥对安全标签及电子文档密文整体进行签名，流转时的接受者用电子文档创建者的公钥验证签名；审批信息包括流转审批状态以及审批用户。

根据本发明的基于安全标签的电子文档全生命周期安全防护方法的一实施例，其中，在电子文档使用阶段，安全标签根据文档管控服务器下发的权限控制信息，保存电子文档的安全标签的权限控制信息，权限控制信息包括用户授权信息、读、写、打印、刻录、截屏以及水印，针对不同类别的文档设置相应的权限，细粒度的控制、阅读、编辑、打印以及刻录功能的开关及次数，以及使用时是否显示水印，当超过使用次数，电子文档锁定并无法使用。

根据本发明的基于安全标签的电子文档全生命周期安全防护方法的一实施例，其中，在电子文档销毁阶段，安全标签明确电子文档的销毁信息，当文档在产生、存储、流转和使用过程中，若存在违规越权的情况，电子文档自行锁定，并更新销毁信息。

本发明通过研究电子文档在其生命周期不同阶段所面临不同的安全隐患，电子文档安全标签需在每阶段进行特定的设计、配合其他必要的安全防护手段，本发明提出了一种基于安全标签的电子文档全生命周期安全防护方法，为政府、企业提供基于安全标签的全生命周期电子文档安全防护能力。

附图说明

图1所示为基于安全标签的电子文档全生命周期安全防护架构模块图；

图2所示为安全标签的生命周期使用流程图；

图3所示为本发明基于安全标签的电子文档全生命周期安全防护方法的流程图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

图1所示为基于安全标签的电子文档全生命周期安全防护架构模块图，如图1所示，基于安全标签的电子文档全生命周期安全防护架构分为三个部分，第一部分是电子文档安全标签1，安全标签1在电子文档全生命周期中的不同阶段提供不同的安全功能，第二部分是电子文档运行环境安全2，物理环境、终端和服务器、网络及应用为电子文档全生命周期提供安全机制保障，第三部分是文档安全管理制度3，在电子文档全生命周期管理中，应采取的安全制度。

如图1所示，在电子文档全生命周期中，需部署文档管控服务器，在需进行文档管控的终端部署，文档管控服务端与软件负责安全标签1的生成与使用，实现对电子文档的全生命周期管理。

图2所示为安全标签的生命周期使用流程图，如图1以及图2所示，安全标签的生命周期使用流程，包括：

在电子文档产生阶段，用户创建文档时，内核层驱动捕获创建事件，创建安全标签1。安全标签1保存有电子文档的基本属性、密级属性和文档归属属性，基本属性包括系统用于确定文档的唯一id，唯一id在电子文档的全生命周期中不进行改变，基本属性还包含电子文档的标题、作者、创建及修改时间、类别、路径等内容；密级属性包括文档的拟定密级、密级审批状态、密级标识状态、保密期限等内容；文档归属属性包括电子文档产生的单位或部门标识。

在电子文档存储阶段，安全标签1保存电子文档的加密信息，将对称密钥和电子文档的绑定关系发送至文档管控服务端。加密信息包括对称密钥信息和非对称密钥信息、加密状态、加密算法等内容，对称密钥信息包括证书、校验值以及加密算法等内容，以为密钥为基础，采用一文一秘机制，不同的文件对应不同的密钥信息，生成电子文档密文，可提高加密存储的安全性，防止在破解某一个文件后，造成大批量文件的泄露，提供对电子文档的存储加密保护，防止存储的信息被窃取。

在电子文档流转阶段，安全标签1保存电子文档的非对称密钥信息、审批信息，非对称密钥信息内容包括签名证书、校验值、加密算法等内容，使用创建者的私钥对安全标签1及电子文档密文整体进行签名，为确保文件真实性，流转时的接受者用电子文档创建者的公钥验证签名，防止参与电子文档流转的双方或一方否认所做的操作确保传输的机密性、完整性及抗抵赖性；审批信息包括流转审批状态、审批用户，防止不具备审批资格的人员进行外发、内部流转的审批。

在电子文档使用阶段，安全标签1根据文档管控服务器下发的权限控制信息，保存电子文档的安全标签1的权限控制信息，权限控制信息包括用户授权信息、读、写、打印、刻录、截屏、水印等内容，针对不同类别的文档设置相应的权限，细粒度的控制、阅读、编辑、打印、刻录功能的开关及次数，以及使用时是否显示水印等管控，当超过使用次数，电子文档锁定并无法使用，防止低密级人员使用高密级电子文档。

在电子文档销毁阶段，安全标签1明确电子文档的销毁信息，销毁信息包括销毁状态等内容，文档使用者可在日常使用阶段申请文档销毁，当文档在产生、存储、流转和使用过程中，若存在违规越权的情况，电子文档自行锁定，并更新销毁信息。

图3所示为本发明基于安全标签的电子文档全生命周期安全防护方法的流程图，如图1-图3所示，

本发明基于安全标签的电子文档全生命周期安全防护方法包括：

s1、使用者请求创建电子文档时，依据服务端下发的策略生成安全标签1。通过对比安全标签1的权限管控信息，判断使用者是否具备文档的访问等权限，若不具备访问权限，执行步骤s10，若具备访问权限，执行步骤s2；

s2、文档处于加密状态，判断安全标签1的加密信息的非对称密钥信息，通过非对称密钥信息的校验值，对比文档创建者的公钥信息，验证文档的完整性，确保文档未被破坏，若验证不通过，执行步骤s10，若验证通过，执行步骤s3；

s3、通过加密信息的对称密钥信息，实现电子文档的解密，确定使用者的文档操作内容，如为销毁文档，则执行s4，如为流转操作，则执行s5，如为阅读、复制以及编辑等操作，则执行步骤s6；

s4、使用者在对文档进行销毁时，通过将文档提交至销毁责任人终端，执行步骤s7；

s5、使用者在对文档进行内部流转操作时，判断安全标签1的权限管控信息，是否有外发、内部流转等权限，如果有(当安全标签1权限管控信息的内部流转次数大于1)，则将文档提交至内部流转责任人终端，执行步骤s8，如果没有，则执行步骤s11；

s6、使用者在对文档进行阅读、复制以及编辑操作时，判断安全标签1的权限管控信息，是否有阅读、复制以及编辑等权限，如果有，则执行步骤s9，否则执行步骤s10；

s7、使用者在对文档进行销毁时，通过将文档提交至销毁责任人终端，由销毁责任人终端审批，当安全标签1销毁信息的审批状态为已通过时，该文档可进行销毁，否则，执行步骤s11；

s8、内部流转责任人终端进行审批信息，如流转责任人终端通过将文档的审批信息定为已通过状态，则该文档可进行内部流转或外发，执行步骤s12，否则，执行步骤s11；

s9、使用者在对文档进行编辑等操作时，判断安全标签1的权限管控信息，对使用者的操作进行管控，在使用者进行读、写等操作时，对应的安全标签1中读、写的次数减1，当安全标签1中操作次数为0时，拒绝使用者的操作并记录；

s10、将文档锁定，并记录锁定原因；

s11、将失败原因返回至发送者，并记录原因；

s12、使用者在对文档进行外发时，通过将文档提交至外发责任人终端，当安全标签1权限管控信息的外发次数大于1，流转责任人终端修改安全标签1的权限信息，确定文档仅可在已知终端上进行可控操作。已知终端是通过安全标签1定义权限信息的外发终端mac地址、终端序列号等信息，可控操作是通过安全标签1定义对文档的读、写、打印等操作权限。

在电子文档全生命周期中，运行环境和文档安全管理制度3主要安全功能如下：

物理环境安全方面，办公场所、出入人员等需有相应的安全防护手段，防止非授权人员获取电子文档；网络安全方面，实施严格的访问控制策略和机制，查杀恶意代码，并启用入侵防护、边界检测等安全措施，保护电子文档存储、传输的网络环境；主机安全方面，对终端和服务器进行安全加固，制定严格的身份鉴别和访问控制策略，及时更新安全补丁及防恶意代码软件等一系列主机安全管控措施；应用安全方面，设计应用系统时提升应用系统自身的安全性。提升运行环境的安全性，严格执行安全管理制度3，加强电子文档外部安全技术和管理要求，进一步提升电子文档的安全性。

本发明通过研究电子文档在其生命周期不同阶段所面临不同的安全隐患，电子文档安全标签需在每阶段进行特定的设计、配合其他必要的安全防护手段，本发明提出了一种基于安全标签的电子文档全生命周期安全防护方法，为政府、企业提供基于安全标签的全生命周期电子文档安全防护能力。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。