一种外发文档加密保护方法
【技术领域】
[0001] 本发明属于计算机领域,涉及一种外发文档加密保护方法。
【背景技术】
[0002] 在企业对外的交流中,经常会有将内部文件发给外部人员(如合作伙伴)阅读的 需求,甚至是在一定程度上需要保密的文件。这为文件的泄密带来了极大的风险,因为文件 发出去后就完全不受限制了,阅读方获得了文件的全部权限,如阅读方可以随意生成文件 的任意多个副本,可以打印文件,甚至可以直接将文件上传到互联网上进行传播。这为文件 的拥有者可能造成极大损失,也带来了外发文档保护的需求。现有一种外发文档保护的方 案是发出密文文件,强迫打开方在终端安装整套解密环境,流程比较简单,图示如下:
[0003] 传统的外发文档保护其实不是真正的"外发",而是让"外部主机"变成"内部主机" 再去访问文档,这带来的后果是虽然文档不会外泄,但对外部主机自身的其他文档也会产 生一定的影响,如打开其他文件也会像在内部主机一样进行加密,从而导致外部主机需要 看文档时安装整套加解密组件,需要编辑他们自己的文件时又必须卸载加解密组件。
【发明内容】
[0004] 本发明所要解决的技术问题是提供一种控制外发文档加密保护方法。
[0005] 本发明解决上述技术问题所采取的技术方案如下:
[0006] -种外发文档加密保护方法,包括:
[0007] 步骤1)在本地计算机上生成CFP文件后,将CFP文件打包进外发外壳程序中,外 壳程序包括CFP文件和CFP浏览器;
[0008] 步骤2)将打包的外发外壳程序发送给接收计算机;
[0009] 步骤3)在接收计算机上直接双击外发外壳程序,所述外发外壳程序直接启动CFP 浏览器,当用户点击浏览文件按钮时,Cfp浏览器启动一沙箱环境,并将CFP文件释放到沙 箱环境下的特定目录;
[0010]所述Cfp浏览器进一步根据CFP文件格式,启动计算机上的外部应用程序进程,并 在沙箱环境下打开该文件,其中,该CFP文件的配置访问权限为:该特定目录中的文件只能 在沙箱环境下访问。
[0011] 进一步地,优选的方法是,所述外发外壳程序被做成可执行应用程序的格式。
[0012] 进一步地,优选的方法是,所述沙箱环境下启动的应用程序为一沙箱进程,由该应 用程序启动的其他应用程序也都为沙箱进程。
[0013]进一步地,优选的方法是,所述CFP文件的结构包括:包头、文件偏移表、文件块结 构,其中,包头包含全局信息,且包头为自检验;
[0014] 所述文件偏移表包括文件偏移项,文件偏移项指示文件对应在CFP文件中的偏移 信息;
[0015]所述文件块结构又包含文件头和文件体,其中,每个文件块包括一个文件头,用于 描述文件权限和校验信息;一个文件体,为真实文件的密文形式。
[0016] 进一步地,优选的方法是,所述文件头中,具体包括:本包中包含的文件个数、是否 需要密码打开、是否绑定机器、是否使用网络时间。
[0017] 进一步地,优选的方法是,本地生成CFP文件,具体包括:
[0018] 建一个空白的CFP文件,生成包头,并将包头写入CFP文件;
[0019] 根据CFP写入文件的数量计算文件偏移表大小,生成文件偏移表,保留在内存中;
[0020] 跳过文件偏移表的大小,逐个写入文件块,先根据文件权限生成文件头,再将文件 加密到临时目录,往CFP文件写入文件头,再写入加密的源文件,其中,每写入一个文件时 计算文件偏移,填充到内存中的文件偏移表。循环这一操作直到所有文件都被写入CFP文 件;
[0021] 将文件指针调整到文件偏移表的开始处,写入文件偏移表。
[0022] 进一步地,优选的方法是,所述沙箱环境采取DLL注入和API HOOK方式构建,具体 包括:
[0023] Cfp浏览器加载proclimit. dll使自己成为沙箱;
[0024] HOOK API CreateProcessInternalW监视子进程创建,在子进程创建的时候对子 进程注入 proclimit. dll;
[0025]其中,CreateProcessInternalW 的 H00K 处理如下:
[0026] 1)修改进程创建参数,使创建的进程是挂起状态的。
[0027] 2)在挂起的进程的导入表中写入proclimit. dll的全路径,这样当进程继续运行 时会主动加载proclimit. dll。
[0028] 3)让挂起的程序重新跑起来;
[0029] 其中,如果当前进程是CfpViewer. exe,贝丨」不再H00K别的API。
[0030] 进一步地,优选的方法是,基于文件权限控制所述HOOK API CreateProcessInternalW 启动的 API 进程。
[0031] 相对于现有技术,本发明具有以下优点:
[0032] 1.比起传统的外发保护,本方案环境简单,仅仅外发一个exe文件即可完成所有 步骤,不需要安装整套加解密环境。
[0033] 2.本方案不会对接收计算机环境产生污染,有没有泄密意识的上,接收计算机完 全感觉不到打开的外发文件和本地文件有何不同。
[0034] 本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。
【附图说明】
[0035] 下面结合附图对本发明进行详细的描述,以使得本发明的上述优点更加明确。其 中,
[0036] 图1是本发明外发文档加密保护方法的流程示意图;
[0037] 图2是本发明外发文档加密保护方法的流程示意图;
[0038] 图3是本发明外发文档加密保护方法的CFP文件的结构示意图。
【具体实施方式】
[0039] 以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用 技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明 的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合, 所形成的技术方案均在本发明的保护范围之内。
[0040] 另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系 统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处 的顺序执行所示出或描述的步骤。
[0041] 具体来说,CFP :Cis File Package,CIS文件包,外发文件的格式。
[0042] 外发沙箱:由软件生成的一个隔离的环境,在此环境中打开的文件是安全的且不 会被任意泄密。
[0043] 本方案正是为了解决外发的便捷和易用。
[0044] 其中,本方案关键点在于在外部主机上形成外发沙箱,在此沙箱中可以按外发方 设定的权限进行文档浏览,沙箱是一个独立的环境,所以不会对外部主机造成任何影响,外 部主机可以在浏览外发文档的同时进行自己的工作。
[0045] 具体来说,如图1、2、3所示,一种外发文档加密保护方法,包括:
[0046] 步骤1)在本地计算机上生成CFP文件后,将CFP文件打包进外发外壳程序中,外 壳程序包括CFP文件和CFP浏览器;
[0047] 步骤2)将打包的外发外壳程序发送给接收计算机;
[0048] 步骤3)在接收计算机上直接双击外发外壳程序,所述外发外壳程序直接启动CFP 浏览器,当用户点击浏览文件按钮时,Cfp浏览器启动一沙箱环境,并将CFP文件释放到沙 箱环境下的特定目录;
[0049] 所述Cfp浏览器进一步根据CFP文件格式,启动计算机上的外部应用程序进程,并 在沙箱环境下打开该文件,其中,该CFP文件的配置访问权限为:该特定目录中的文件只能 在沙箱环境下访问。
[0050] 进一步地,优选的方法是,所述外发外壳程序被做成可执行应用程序的格式。
[0051] 进一步地,优选的方法是,所述沙箱环境下启动的应用程序为一沙箱进程,由该应 用程序启动的其他应用程序也都为沙箱进程。
[0052] 进一步地,优选的方法是,所述CFP文件的结构包括:包头、文件偏移表、文件块结 构,其中,包头包含全局信息,且包头为自检验;
[0053] 所述文件偏移表包括文件偏移项,文件偏移项指示文件对应在CFP文件中的偏移 信息;
[0054] 所述