专利名称:支持协同工作的外发文件安全管理系统的制作方法
技术领域:
本发明属于网络通讯安全领域,尤其是指一种支持协同工作的外发文件安全管理 系统。
背景技术:
现代社会企业之间的竞争归根到底是技术实力的竞争,企事业单位只有保护了自己的商业机密和创新技术的安全,才可以在对手云集的现代商业社会立于不败之地。如今, 企业机密信息大量以电子文档方式存在,而电子文档是很容易传播的。由于Internet网的开放性,某些敏感或有价值的数据面临被盗用或破坏的风险。 交易双方都要求对于在因特网上进行的一切交易运作都是真实可靠的,并且要交易参与方 都具有绝对的信心,因而因特网(Internet)电子商务系统电子政务系统必须保证具有十 分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、 数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。同时由于业务的需要, 您可能需要把一些重要的电子文件发给客户或合作伙伴,一旦外发出去,您就失去了对这 些资料的控制。这些重要的电子文件如果被滥用或无序传播,可能会对您的单位或个人带 来严重的损失,使得大量工作付之一炬。
发明内容
为了解决以上问题,本发明提供一种能够实现对外发出去的电子文件的跟踪管 理,防止信息的扩散的支持协同工作的外发文件安全管理系统。本发明采用的技术方案一种支持协同工作的外发文件安全管理系统,该系统包 括进行授权和证书制作与管理的系统安全管理中心、获取证书并打包制作授权文件的外发 文件制作工具和对文件加解密和监控的隐形客户端。进一步的,所述系统安全管理中心包括I、打包制作模块企业用户在制作外发文件包时,需要得到系统管理中心的授权, 创建证书;II、在线认证模块对客户端每次使用授权文件的权限进行认证,合法的用户通过 认证后才可以正常使用授权文件;III、证书管理负责证书的生成,用户认证通过后对证书的管理;IV、日志查询和管理模块查询所有的企业员工打包制作日志、所有的客户远程验 证日志、当前外发文件的状态管理,可以时刻跟踪控制每一个外发的文件。进一步的,所述外发文件制作工具包括I、获取证书模块从认证服务器上获取证书,证书的信息与文件信息和企业名称 信息绑定;II、外发授权文件转换模块将待外发的授权文件加密;III、打包制作模块将证书、客户端程序和加密后的授权文件进行处理,得到本系统可控制的外发文件。进一步的,所述隐形客户端包括I、授权文件第一次使用认证模块当客户第一次使用企业提供的授权文件时,客 户端将在线进行证书认证。认证成功,则客户可以正常使用授权文件;II、在线控制模块以后的用户使用该文件均需要在线验证,通过后才可继续使 用;III、文件透明加、解密模块当合法客户打开企业提供的授权文件时,客户端程序 对授权文件进行自动解密,用户保存时对授权文件进行自动加密,整个过程对客户透明;当 非法客户对此授权文件进行操作时将得不到文件明文;IV、授权文件使用监控模块当合法客户在使用企业提供的授权文件时,客户端程 序将全程监控客户只能对本文件进行编辑,不可将文件粘贴、复制到其他文件,确保了文 件的明文不被窃取。本产品的关键技术是数字证书数字证书是网络通讯中标志通讯各方身份信息的 一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照 或日常生活中的身份证。它是一个由权威机构一CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在交往中用它来识别对方的身份。本发明是一种支持协 同工作的外发文件安全管理的方法,实现对企业电子文档进行安全管理的综合解决方案; 该系统通过采用数字签名技术、自动加解密技术以及文档全过程保护技术等多种先进技 术,实现对文档内容加密并远程集中存储,从用户身份认证管理、访问控制管理、文档密级 安全管理和综合安全审计等多方面,对文档的创建、访问、使用、传输、存储和销毁整个生命 周期进行有效的安全管理,确保文档信息的完整性、保密性和可追溯性,在兼容现有常见应 用系统的前提下,有效地防止了企业或组织内部机密信息泄漏和扩散。
图1外发文件安全管理系统逻辑结构2隐性文件安全系统详细框架3文件外发工具处理流程图4企业客户端打包工具工作原理5客户端工作原理6管理中心工作原理图具体实施办法一种支持协同工作的外发文件安全管理系统,该系统包括进行授权和证书制作与 管理的系统安全管理中心、获取证书并打包制作授权文件的外发文件制作工具和对文件加 解密和监控的隐形客户端。在可执行的自解压压缩数据包中,包含数字证书、加密文档、文件安全客户端。客户收到文件压缩包,双击之后自动解压,文件安全客户端可执行程序自动后台 运行,对本地局域网进行端口扫描,链接到认证服务器进行数字证书认证。一旦认证成功, 认证服务器将会把该证书置为“已用状态”,下次除了该用户外,该数字证书将无法被验证 通过。客户端软件对文件进行解密,并且获取本地主机的CPU序列号和主板序列号。并且对打开该文件的进程进行实时监控。工作流程见附图4。具体如下I、用户可以透明的编辑该文件,在编辑过程中客户端程序防止将文件内容通过复 制粘贴的手段复制到其他窗口以及进程中。否则系统将会提示“系统内存不足”错误信息。II、用户在保存或者关闭打开的文件时,客户端软件将会采用本地主机指纹(CPU 和主板序列号散列)对该文件进行加密。III、用户在保存或者关闭打开的文件时,客户端软件将会采用本地主机指纹(CPU 和主板序列号散列)对该文件进行加密。IV、客户端软件采用注入方式,存在于所有的进程空间,用户无法卸载删除。V、一旦用户将文件散发给其他非法用户,其他用户将无法打开文件。管理中心是实施控制的核心。其原理如附图5所示。2、外发文件对于实时控制管理的实现,系统均以证书的方式来操作。如企业发现 文件由于误操作发送给一个非法的用户,那么可以在认证服务器将该文件对应的数字证书 置为“无效状态”。下次非法用户使用该文件的时候,文件将被自动销毁(不解密)。
权利要求
一种支持协同工作的外发文件安全管理系统,其特征在于该系统包括进行授权和证书制作与管理的系统安全管理中心、获取证书并打包制作授权文件的外发文件制作工具和对文件加解密和监控的隐形客户端。
2.根据权利要求1所述的支持协同工作的外发文件安全管理系统,其特征在于所述 系统安全管理中心包括I、打包制作模块企业用户在制作外发文件包时,需要得到系统管理中心的授权,创建 证书;II、在线认证模块对客户端每次使用授权文件的权限进行认证,合法的用户通过认证 后才可以正常使用授权文件;III、证书管理负责证书的生成,用户认证通过后对证书的管理;IV、日志查询和管理模块查询所有的企业员工打包制作日志、所有的客户远程验证日 志、当前外发文件的状态管理,可以时刻跟踪控制每一个外发的文件。
3.根据权利要求1所述的支持协同工作的外发文件安全管理系统,其特征在于所述 外发文件制作工具包括I、获取证书模块从认证服务器上获取证书,证书的信息与文件信息和企业名称信息 绑定;II、外发授权文件转换模块将待外发的授权文件加密;III、打包制作模块将证书、客户端程序和加密后的授权文件进行处理,得到本系统可 控制的外发文件。
4.根据权利要求1所述的支持协同工作的外发文件安全管理系统,其特征在于所述 隐形客户端包括I、授权文件第一次使用认证模块当客户第一次使用企业提供的授权文件时,客户端 将在线进行证书认证。认证成功,则客户可以正常使用授权文件;II、在线控制模块以后的用户使用该文件均需要在线验证,通过后才可继续使用;III、文件透明加、解密模块当合法客户打开企业提供的授权文件时,客户端程序对授 权文件进行自动解密,用户保存时对授权文件进行自动加密,整个过程对客户透明;当非法 客户对此授权文件进行操作时将得不到文件明文;IV、授权文件使用监控模块当合法客户在使用企业提供的授权文件时,客户端程序将 全程监控客户只能对本文件进行编辑,不可将文件粘贴、复制到其他文件,确保了文件的 明文不被窃取。
全文摘要
本发明属于网络通讯安全领域,尤其是指一种支持协同工作的外发文件控制系统,该系统包括进行授权和证书制作与管理的系统安全管理中心、获取证书并打包制作授权文件的外发文件制作工具和对文件加解密和监控的隐形客户端。本发明通过采用数字签名技术、自动加解密技术以及文档全过程保护技术等多种先进技术,实现对文档内容加密并远程集中存储,从用户身份认证管理、访问控制管理、文档密级安全管理和综合安全审计等多方面,对文档的创建、访问、使用、传输、存储和销毁整个生命周期进行有效的安全管理,确保文档信息的完整性、保密性和可追溯性,在兼容现有常见应用系统的前提下,有效地防止了企业或组织内部机密信息泄漏和扩散。
文档编号H04L9/32GK101826964SQ20101013818
公开日2010年9月8日 申请日期2010年4月2日 优先权日2010年4月2日
发明者耿振民, 魏帅卫 申请人:无锡华御信息技术有限公司