专利名称:一种基于文件过滤驱动的文件流转权限控制系统的制作方法
技术领域:
本实用新型涉及文件过滤驱动技术、文件流转过程中的权限控制技术领域,特别 涉及一种基于文件过滤驱动的文件流转权限控制系统。
背景技术:
1、文件过滤驱动技术文件过滤驱动是由微软公司提供的基于Windows NT文件系统的过滤驱动技术架 构,具体可参见微软相关的技术网站http//www. microsoft, com/whdc/driver/filterdrv/default, mspxhttp://msdn. microsoft, com/en-us/library/ms793580. aspx2、文件流转过程中的权限控制技术文件流转通常借助于OA办公自动化系统的工作流引擎,实现文件在企业内部人 员之间的流转处理,并通过身份认证、权限分配等方式控制文件的流转范围和安全。3、背景技术的方案Windows文件过滤驱动在文件系统上拦截目标请求,在请求到达目标前,过滤驱动 可以扩展或替换原目标请求的功能。通过文件过滤驱动可以实现防病毒过滤、文件备份代 理、文件加密等功能。最新的文件过滤取动采用minifilter架构。文件过滤驱动工作于操作系统的内核模式,处于文件系统(FAT、NTFS等格式)和 1/0管理器之间,拦截1/0管理器发出的对文件系统的IRP(I/0 Request Packet即1/0请 求包)和Fast-Ι/Ο请求,并在分发前进行具体的过滤处理。通过文件过滤驱动对IRP包进 行加解密处理可以实现对文件的透明加解密功能。OA办公自动化系统通常结合企业组织机构/用户信息,借助于工作流引擎,实现 企业各类文档,如PDF、Word、Excel、PowerPonit等文件在企业内部组织和用户间进行流 转,实现协同工作。同时OA借助于一些安全保护机制和权限控制机制,保护企业文件等信 息资源的安全,这些方式包括(1)通过可靠的身份认证方式,如证书智能卡认证,避免非法用户对系统资源的 访问;(2)通过设置文件的密级、设置权限库等方式,控制文件在指定的内部组织和人员 范围内流转;(3)通过文件流转的日志,对文件的流转过程进行审计。4、背景技术的缺陷OA系统作为企业协同工作的平台,流转着大量的企业文件,其中的一些文件涉及 企业秘密、企业机密,这类文件不仅对流转范围有着严格的要求,同时对流转范围内的组织 机构或人员对文件的处理操作权限也有着特定的要求。针对上述安全控制需求,传统的OA文件流转权限控制机制存在以下缺陷(I)OA文件通常以明文方式在系统中流转,对于涉密文件的内容缺少加密保护,文件在服务器上明文存储,OA系统管理员可以轻易获取;(2)虽然也有部分OA系统对涉密文件采用应用层加密方式进行保护,但这种加密 方式在查看时,必然在用户客户端的机器上产生明文文件而导致信息泄密;(3)0A借助于身份认证和权限库,虽然可以控制到文件的在线流转范围,但文件一 旦存储到本地,将不再受任何控制,可以通过电子邮件、即时消息软件、移动存储介质等方 式外发,导致信息泄密;(4)0A系统的权限控制只能控制文件的在线流转范围,有时也能做到在线只读控 制,但对离线文件缺少控制手段,同时也无法对文件的编辑、打印、内容拷贝等操作权限进 行细粒度的控制和跟踪审计。
实用新型内容(一)要解决的技术问题本实用新型解决的技术问题是如何实现文件在流转过程中的安全问题,以及文件 在线流转和离线环境下的全方位、动态、细粒度权限控制。( 二 )技术方案一种基于文件过滤驱动的文件流转权限控制系统,包括文档安全保护客户端、客 户端应用集成控件装置、OA (office automation)服务器、文档安全管理服务器和文档安全 管理服务器自动授权装置,所述客户端应用集成控件装置用于请求文档安全保护客户端对文件进行加密;所述文档安全保护客户端包括文件过滤驱动加密装置,用于当加密文件时,为密文文件添加扩展尾,并上传密钥 至文档安全管理服务器;当解密时,从文档安全服务器端获取该文件的密钥并解密;所述文档安全管理服务器用于存储所述密文文件的密钥,设置密文文件的操作权 限,存储对密文文件的操作日志;文档安全管理服务器自动授权装置连接OA服务器和文档安全管理服务器,用于 OA服务器发文和收文的各个环节对相关的内部组织、用户、用户组进行密文文件的自动授 权。其中,所述文档安全保护客户端还包括文件过滤驱动权限控制装置,用于从文档安全管理服务器中查询对所述密文文件 的权限,对密文文件进行权限控制,所述权限包括阅读、编辑、复制、打印、截屏和分发。其中,所述文档安全保护客户端还用于从文档安全管理服务器中备份所有密文文 件ID和密钥到本地。(三)有益效果本实用新型通过基于文件过滤驱动的透明加解密和API HOOK权限控制,有效增强 了 OA文件流转过程中以及本机存储的涉密文件的内容安全保护强度、动态细粒度权限控 制能力、跟踪审计能力,实现了涉密文件的全方位保护。
图1是根据本实用新型的基于文件过滤驱动的文件流转权限控制系统结构4[0037]图2是根据本实用新型系统中基于文件过滤驱动的透明加解密、细粒度权限控制 示意图;图3是根据本实用新型系统的公文授权权限信息格式和返回结果示意图。
具体实施方式
本实用新型提出的基于文件过滤驱动的文件流转权限控制系统,结合附图和实施 例说明如下。如图1所示,一种基于文件过滤驱动的文件流转权限控制系统,包括文档安全保 护客户端、客户端应用集成控件装置、OA服务器、文档安全管理服务器和文档安全管理服务 器自动授权装置,所述客户端应用集成控件装置用于请求文档安全保护客户端对文件进行 加密;所述文档安全保护客户端包括文件过滤驱动加密装置,用于当加密文件时,为密文 文件添加扩展尾,并上传密钥至文档安全管理服务器;当解密时,从文档安全服务器端获取 该文件的密钥并解密。当用户离线时文档安全保护客户端用于从文档安全管理服务器中备 份所有密文文件ID和密钥到本地,以便离线访问。所述文档安全管理服务器用于存储所述密文文件的密钥,设置密文文件的操作权 限,存储对密文文件的操作日志。文档安全管理服务器自动授权装置连接OA服务器和文档安全管理服务器,用于 OA系统发文和收文的各个环节对相关的内部组织、用户、用户组进行密文文件的自动授权。其中,文档安全保护客户端还包括文件过滤驱动权限控制装置,用于从文档安全 管理服务器中查询对所述密文文件的权限,对密文文件进行权限控制,所述权限包括阅 读、编辑、复制、打印、截屏和分发。本实用新型的基于文件过滤驱动的文件流转权限控制系统工作原理如下OA系统客户端浏览器通过脚本(javascript、vbscript、LotusScript)调用客户 端应用集成控件装置,由文档安全保护客户端完成对OA拟稿或发文过程中添加的指定文 件附件(如涉密文件)的加密。客户端应用集成控件装置中的请求加密方法SD_EnCryptD0CMSg(data),其中输 入参数(data)按以下格式组成字符串identifer氺subject氺confidential氺filepathl|filepath2|filepath3...参■各 组成部分说明identifier :0A 公文的唯一标识;subject =OA公文的主题,如果为空,则传入NULL ;confidential =OA公文的密级,普通1,企业秘密2,企业机密3 ;filepath =OA公文附件的路径,多个路径以|分隔;对于本地上传的文件,使用全路径(例C: \myfiles\filel. doc)对于服务器端文件,使用URL (例http://0a. com. cn/upload/1. doc)返回值成 功时返回1 ;失败时返回0 ;文档安全保护客户端主要由文件过滤驱动加密装置和基于ΑΡΙΗ00Κ的权限控制 装置等组成。文件过滤驱动采用minifilter架构,如图2所示,在内核模式下通过完成端 口(1/0 Completion Port)与上层应用通信,通过客户端加解密模块完成对每个IRP包的加解密。客户端加解密模块采用AES 128位对称加密算法。当合法用户在试图双击打开加密的密文文件时,文件过滤驱动加密装置通过完成 端口向上层文档安全保护客户端请求解密,文档安全保护客户端根据文件尾中的文档ID, 通过HTTPS安全通道从文档安全服务器端获取该文件的解密密钥并在内存中解密数据包。当合法用户编辑密文文件并保存时,文件过滤驱动加密装置通过完成端口向上层 文档安全保护客户端请求加密,文档安全保护客户端根据文档ID所对应的密钥在内存中 加密数据包并返回给文件过滤驱动,由文件过滤驱动加密装置再将加密的数据包写入文件 系统。加密后的密文文件,其扩展名保持不变。为了唯一标识每个密文文件并同时附加 一些信息,因此为密文文件添加扩展尾(512字节),其格式如下 加密标识用于区分密文文件和明文文件;密钥分组长度、密钥长度、加密算法ID、算法名用于记录对称加密算法相关的信 息;文件长度加密前明文文件的长度;文档ID 用于标识密文文件的唯一 ID,由文档安全服务器端统一分配;文件加密采用一文一密,充分保证涉密文件的安全性,密钥由文档安全保护客户 端随机产生并通过安全通道(HTTPS)上传至文档安全管理系统安全存储。上述文件操作过程中,应用读写多少数据,文件过滤驱动就加解密多少数据,用户 无需进行手工加解密操作,因此对于用户而言是透明的。同时,加解密在内存当中完成,在 磁盘上不产生明文文件,再结合内存保护机制,可以在保持合法用户操作习惯和便利性的 同时,有效避免密文文件内容的泄漏。对文件的阅读、编辑保存、内容复制、打印、截屏等操作对于操作系统而言,最终都 转化为一系列API的调用。通过操作系统级API的Η00Κ,结合权限库的联动,可实现对文件 操作权限的细粒度控制。文档安全保护客户端使用detours professional 2. 1库(该版 本不仅支持32位x86平台,而且还对x64和IA64平台上的64位代码提供支持),通过远程 注入(Injection)和钩子(Η00Κ)技术来实现上述控制。控制流程如下文件过滤驱动权限控制装置截获密文文件打开的请求,并向文档安全保护客户端 请求该文件权限,由文档安全保护客户端根据文档ID通过HTTPS安全通道从文档安全服务 器端查询获取当前用户对该文件的操作权限,文件过滤驱动权限控制装置在内存中存储文 件权限。同时,文档安全保护客户端将权限控制DLL注入到该密文文件进程中。用户对密 文文件进行操作时,权限控制DLL截获并向文件过滤驱动请求权限,判断用户对该文件是 否具有相应的操作权限。如果没权限,将发送消息给文档安全客户端,并对用户提示,同时拒绝用户此次操作;如果有权限,将发送消息给文档安全客户端,由文档安全客户端记录用 户操作日志,同时放行此次操作。具体控制实现方法阅读控制进程在请求打开密文文件时,如果该用户无阅读权限,则文件过滤驱动 不提供透明解密功能,非法用户只能看到密文。复制控制通过截获SetClipboardData和GetClipboardData这两个API来完成 用户复制权限控制。编辑控制当用户编辑保存密文文件时,如果该用户无编辑权限,则文件过滤驱动 拒绝写操作。打印控制通过截获OpenPrinterW和StartDocW来完成用户打印权限控制。截屏控制通过设置WH_KEYB0ARD_LL这种类型的键盘钩子来控制对截屏的控制。 只要有加密文档打开,将禁止截屏功能。邮件发送控制被注入的进程如果有邮件发送功能,将被禁止。文档安全管理服务器中的服务系统基于J2EE架构,由组织机构/用户库、权限库、 权限管理服务、日志审计服务等组成。文档安全管理服务器通过设置文档管理员,可以对密文文件的权限存储,并进行 实时管理。文档管理员可以追加或撤销某个用户对密文文件的操作权限,并且实时生效,真 正实现对文件权限的动态管理。文档安全管理服务器支持客户端在登录/注销期间,从服务器端备份当前用户所 能阅读的所有的密文文件的ID、密钥等信息到本地并加密存储,以支持用户在离开网络办 公环境下,对本地密文文件的阅读需求。合法用户在线时对密文文件的每个操作(阅读、编 辑、复制、打印、分发等),都将实时记录日志并发送到文档安全服务器端存储,而离线操作 的日志被加密存储成文件,在用户上线时将自动上传至服务器端存储,从而实现对文件流 转的全方位、动态、细粒度的控制和审计。文档安全系统服务器端采用Web Service接口方式与OA服务器实现集成。一方 面,通过组织机构/用户同步Web Service接口,保持OA系统与文档安全系统组织机构/用 户的一致性;另一方面,在组织机构/用户同步的基础上,通过自动授权Web Service接口, 实现OA系统发文和收文的各个环节对相关的内部组织、用户、用户组进行密文文件的自动 授权。自动授权Web Service接口定义如下月艮务名:AuthorizationService方法String grantRights (String interfacePWD, StringrightsInfoXML)Web Service服务系统参数说明 公文授权权限信息格式和返回结果如图3所示,result :0代表处理失败,1代表处 理成功,error 如果失败,返回中文错误信息。通过服务器端自动授权接口可实现在OA文件流转过程中对组织机构、用户、用户 组的实时授权,无需用户增加额外的手工操作。文件操作权限的定义包括阅读、编辑、复 制、打印、分发等,并可以根据需要进行扩充。对本实用新型做了实验如下某省电信公司需要对OA系统中涉及企业秘密、企业机密的公文进行加密保护并 控制其流转范围,对于普通人员只给阅读权限,综合秘书可以申请打印权限。通过部署实施文档安全保护系统,应用基于文件过滤驱动的文件流转权限控制。首先,通过服务器端Web Service集成接口,OA系统与文档安全保护系统实现 了企业组织机构和用户的同步;在此基础上,OA系统在发文和收文过程中,通过调用Web Service授权接口,实现了密级公文的自动授权。该省电信公司6000多用户安装文档安全保护客户端,在成文时OA系统调用客户 端集成接口,实现省电信公司/各分公司综合秘书对密级公文的加密。密级公文在OA流转过程中,各相关用户通过文档安全保护客户端的文件过滤透 明加解密驱动,按原有习惯阅读处理密级公文,同时密级公文的访问操作日志自动发送到 文档安全服务器端存储。通过文档安全保护系统的实施,大大增强了该省电信公司对密级公文的加密保 护、权限控制、跟踪审计能力,既保持了 OA系统中密级文件流转的方便性,又有效保护了企 业知识产权。以上实施方式仅用于说明本实用新型,而并非对本实用新型的限制,有关技术领 域的普通技术人员,在不脱离本实用新型的精神和范围的情况下,还可以做出各种变化和 变型,因此所有等同的技术方案也属于本实用新型的范畴,本实用新型的专利保护范围应 由权利要求限定。
8
权利要求一种基于文件过滤驱动的文件流转权限控制系统,其特征在于,包括文档安全保护客户端、客户端应用集成控件装置、OA服务器、文档安全管理服务器和文档安全管理服务器自动授权装置,所述客户端应用集成控件装置用于请求文档安全保护客户端对文件进行加密;所述文档安全保护客户端包括文件过滤驱动加密装置,用于当加密文件时,为密文文件添加扩展尾,并上传密钥至文档安全管理服务器;当解密时,从文档安全服务器端获取该文件的密钥并解密;所述文档安全管理服务器用于存储所述密文文件的密钥,设置密文文件的操作权限,存储对密文文件的操作日志;文档安全管理服务器自动授权装置连接OA服务器和文档安全管理服务器,用于对OA服务器发文和收文的各环节内部组织、用户、用户组进行密文文件的自动授权。
2.如权利要求1所述的基于文件过滤驱动的文件流转权限控制系统,其特征在于,所 述文档安全保护客户端还包括文件过滤驱动权限控制装置,用于从文档安全管理服务器中查询对所述密文文件的权 限,对密文文件进行权限控制,所述权限包括阅读、编辑、复制、打印、截屏和分发。
3.如权利要求2所述的基于文件过滤驱动的文件流转权限控制系统,其特征在于,所 述文档安全保护客户端还用于从文档安全管理服务器中备份所有密文文件ID和密钥到本 地。
专利摘要本实用新型公开了一种基于文件过滤驱动的文件流转权限控制系统,包括文档安全保护客户端、客户端应用集成控件装置、OA服务器、文档安全管理服务器和文档安全管理服务器自动授权装置,客户端应用集成控件装置用于请求所述客户端对文件进行加密;所述客户端用于对文件进行加解密;文档安全管理服务器用于存储密文文件密钥,设置密文文件操作权限,存储对密文文件操作日志;文档安全管理服务器自动授权装置用于对OA服务器发文和收文的各环节内部组织、用户、用户组进行密文文件自动授权。本实用新型增强了OA文件流转过程中以及本机存储的涉密文件的内容安全保护强度、动态细粒度权限控制能力、跟踪审计能力,实现了涉密文件的全方位保护。
文档编号H04L29/06GK201682524SQ20102016280
公开日2010年12月22日 申请日期2010年4月19日 优先权日2010年4月19日
发明者章勇 申请人:北京时代亿信科技有限公司