[发明专利]一种企业级电子文档的安全管理方法

说明书

技术领域

本发明属于信息安全技术领域，具体涉及一种企业级电子文档的安全管理方法。

背景技术

随着网络的普及和发展，数据安全越来越受到人们的重视。结合《全国档案事业发展“十二五”规划》和全国档案局长馆长会议提出的要求，根据档案事业发展的需要和档案工作实际，围绕档案安全保密的档案安全体系建设，同时针对企业内部网络办公环境，电子文档资源共享、跨部门安全分发的需求快速增长。数据加密作为保障电子文档安全的基本技术之一，得到了广泛的应用，企业级电子文档安全管理策略与信息系统安全保护方法的需求日益凸现。

目前，大多数电子文档安全管理方法中，采用透明加解密技术对文档进行实时加解密，文档从文档拥有者发送给接收方以密文形式传送。首先文档接收方向服务器提出解密申请，服务器解密文档后，采用接收方的密钥加密成文档密文，发送给接收方，同时对文档明文进行存储备份。一旦服务器被攻击，文档明文将被泄漏。因此，如何避免服务器转发文档方式，对企业内部电子文档进行安全管理，成为一个重要的研究课题。

国际范围，微软的Office系列软件和IE浏览器根据不同的应用需求公布了多个接口，同时引起了很多安全漏洞和安全隐患。如Office2003针对Word、Excel、PowerPoint文档提供了基于DRM技术的IRM服务。

美国的Authentica公司针对PDF格式电子文档研发了Secure Documents for PDF系统。系统利用RC4算法进行内容加密，使用PDF公开的Plug-in技术对PDF文档进行访问控制，授权分配和管理由Policy Server服务器负责完成。

国内相关产品中，北大方正Apabi重要文档防扩散系统（Apabi CEB DEM）产品以3DES算法为内容加密算法核心，使用自主开发的文档阅览工具Apabi Reader对自主拥有的CEB板式文件进行控制，并由DRM Server服务器分配和管理权限。

当前文件加解密系统主要通过拦截上层应用发往底层磁盘的I/O请求来实现，在应用层到磁盘存储这条通路安装一个过滤程序，当截获写请求时进行数据加密，截获读请求时进行数据解密。但是在基于用户层的加解密过程中，临时文件容易被其他进程拦截，所以其安全性无法得到操作系统的内核机制保护。

Windows2000之后，微软推出的EFS支持文件系统加密。EFS采用对称加密算法和非对称加密算法相结合的方式对文件进行加密。该系统通过文件系统过滤驱动来实现文件的加解密，处理过程和操作系统紧密结合，成为其中的一部分。

目前在国内，研究学者利用文件系统过滤驱动实现的文件加密系统技术研究多是停留在理论研究阶段，或者只是实现了针对特定类型的文件或目录进行加密；虽然方法与文件格式无关，但是还是基于文件整体加密，完全做到防止泄密，还需配合大量其它技术手段。所以，需要提供一种企业级电子文档安全管理方法。

发明内容

本发明的目的是提供一种企业级电子文档的安全管理方法，该方法基于一个远程交互平台进行信息交流，所述的远程交互平台包括服务器单元、数据库单元、客户端单元，所述的服务器单元、数据库单元、客户端单元处于一个网络环境中并实现网络连接，所述的服务器单元中安装电子文档安全管理软件。本发明针对企业内部网络办公环境，提出基于文件透明加解密技术的电子文档安全管理系统，引入了服务器-客户端系统设计模式，引入了加密环境管理，在线和离线解密管理，文件透明加解密技术，以防止电子文档泄密。

本发明的目的是由下述技术方案实现的：一种企业级电子文档的安全管理方法，所述安全管理方法包括以下步骤：

（1）电子文档透明解密步骤：

A、用户登录电子文档安全管理系统，请求认证和授权，请求获取授权控制策略信息；

B、判断电子文档加密状态：用户创建或者打开一个电子文档，该电子文档不包含加密标识，则定义该电子文档是新建文档或者明文文档；该电子文档包含加密标识，则定义该电子文档为密文文档；

C、获取授权：用户获取授权控制策略信息，取得读文档授权，则转至步骤D；未获取到读文档授权，则无法读取密文文档；

D、取得读文档授权的用户有权获取授权密钥，根据该授权密钥透明解密密文文档。

本发明与现有技术相比具有如下优点：