CN112329050A - 一种文件安全管理终端及*** - Google Patents
一种文件安全管理终端及*** Download PDFInfo
- Publication number
- CN112329050A CN112329050A CN202011095030.7A CN202011095030A CN112329050A CN 112329050 A CN112329050 A CN 112329050A CN 202011095030 A CN202011095030 A CN 202011095030A CN 112329050 A CN112329050 A CN 112329050A
- Authority
- CN
- China
- Prior art keywords
- file
- encrypted
- directory
- security management
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 claims abstract description 23
- 238000001914 filtration Methods 0.000 claims abstract description 22
- 238000000034 method Methods 0.000 claims description 33
- 230000006378 damage Effects 0.000 claims description 25
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Human Computer Interaction (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种文件安全管理终端及***。终端安装有多个应用程序以及存储有多个文件,设置应用程序访问安全文件目录对应文件的权限,安全文件目录对应多个文件;终端上安装的文件过滤驱动用于验证应用程序的权限,具有访问权限的应用程序经文件过滤驱动验证通过后访问安全文件目录对应的文件。本发明通过定义安全文件目录来限定应用程序的访问权限,并通过文件过滤驱动来验证应用程序的权限,以确保只有经过授权的应用程序才能访问受保护文件,提高文件安全性。
Description
技术领域
本发明涉及文件管理领域,更具体地说,涉及一种文件安全管理终端及***。
背景技术
电子文件广泛存在于各种智能终端中,电子文件在提高工作效率的同时也存在安全风险,电子文件一旦被盗将给用户带来巨大损失。特别是对于研发企业、政府部门等保密要求级别高的地方,如何保证文件安全可控使用一直是需要解决的问题。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种文件安全管理终端及***。
本发明解决其技术问题所采用的技术方案是:构造一种文件安全管理终端,终端安装有多个应用程序以及存储有多个文件,设置所述应用程序访问安全文件目录对应文件的权限,所述安全文件目录对应多个文件;
所述终端上安装的文件过滤驱动用于验证应用程序的权限,具有访问权限的应用程序经所述文件过滤驱动验证通过后访问所述安全文件目录对应的文件。
进一步,在本发明所述的文件安全管理终端中,所述终端还包括用于验证用户账户使用所述安全文件目录对应文件权限的第一身份验证单元,所述第一身份验证单元验证通过后允许用户账户访问所述安全文件目录对应的文件。
进一步,在本发明所述的文件安全管理终端中,所述第一身份验证单元验证的用户身份信息包括用户账户、用户密码、用户指纹、用户脸部信息、手机号、电子邮箱、电子狗、USBKey中的一种或几种。
进一步,在本发明所述的文件安全管理终端中,设置每个所述用户账户访问所述安全文件目录中文件的权限。
进一步,在本发明所述的文件安全管理终端中,所述应用程序访问所述安全文件目录对应文件的权限包括读取文件权限、写入文件权限、新建文件权限、另存文件权限;
所述应用程序禁止访问所述终端上存储的所述安全文件目录以外的文件。
进一步,在本发明所述的文件安全管理终端中,所述安全文件目录为一个安全文件夹,所述安全文件目录对应的文件存储在所述安全文件夹内。
进一步,在本发明所述的文件安全管理终端中,所述文件为加密文件;
在所述加密文件读取过程中,所述文件过滤驱动用于解密所述加密文件并将解密后的数据传输至所述应用程序;
在所述加密文件写入过程中,所述文件过滤驱动用于将所述应用程序产生的数据加密后保存至所述加密文件中。
进一步,在本发明所述的文件安全管理终端中,所述加密文件使用流加密算法加密,加密过程中不附加任何其他信息,所述文件过滤驱动使用所述流加密算法对数据进行加密和解密。
进一步,在本发明所述的文件安全管理终端中,所述终端还包括发送单元和接收单元;
所述发送单元用于发送所述加密文件,所述接收单元用于接收所述加密文件并将接收到的加密文件存储至所述安全文件目录。
进一步,在本发明所述的文件安全管理终端中,所述终端还包括第一使用记录单元,所述第一使用记录单元用于记录所述文件的所有操作记录。
进一步,在本发明所述的文件安全管理终端中,所述应用程序在访问所述安全文件目录对应文件过程中,禁止跨应用复制操作、跨应用粘贴操作、截屏操作、录屏操作中的一种或几种。
另外,本发明还提供一种文件安全管理***,包括文件安全服务器和多个终端,所述安全服务器分别通信连接每个所述终端;
每个所述终端安装有多个应用程序以及存储有多个文件,设置所述应用程序访问安全文件目录对应文件的权限,所述安全文件目录对应多个文件;所述终端上安装的文件过滤驱动用于验证应用程序的权限,具有访问权限的应用程序经所述文件过滤驱动验证通过后访问所述安全文件目录对应的文件。
进一步,在本发明所述的文件安全管理***中,至少两个所述终端位于同一局域网内,局域网内的两个终端之间传输所述文件,并将接收的文件保存至所述安全文件目录。
进一步,在本发明所述的文件安全管理***中,所述终端在发送所述文件之前设置所述文件的管理信息,同时发送所述文件和所述管理信息。
进一步,在本发明所述的文件安全管理***中,所述文件为加密文件;
在所述加密文件读取过程中,所述文件过滤驱动用于解密所述加密文件并将解密后的数据传输至所述应用程序;
在所述加密文件写入过程中,所述文件过滤驱动用于将所述应用程序产生的数据加密后保存至所述加密文件中。
进一步,在本发明所述的文件安全管理***中,所述加密文件使用流加密算法加密,加密过程中不附加任何其他信息,所述文件过滤驱动使用所述流加密算法对数据进行加密和解密。
进一步,在本发明所述的文件安全管理***中,其中两个所述终端之间传输所述加密文件,并将接收的所述加密文件保存至所述安全文件目录。
进一步,在本发明所述的文件安全管理***中,两个所述终端位于互联网中。
进一步,在本发明所述的文件安全管理***中,所述终端在发送所述加密文件之前设置所述加密文件的管理信息,同时发送所述加密文件和所述管理信息。
进一步,在本发明所述的文件安全管理***中,所述管理信息包括使用权限白名单、使用权限黑名单、文件使用次数、文件使用时间、文件自动销毁时间、文件一键销毁中的一个或多个。
进一步,在本发明所述的文件安全管理***中,所述文件安全服务器包括用于验证用户账户使用所述安全文件目录对应文件权限的第二身份验证单元,所述第二身份验证单元验证通过后允许用户账户访问所述安全文件目录对应的文件。
进一步,在本发明所述的文件安全管理***中,所述第二身份验证单元验证的用户身份信息由终端上传所述文件安全服务器,所述用户身份信息包括用户账户、用户密码、USBKey、用户指纹、用户脸部信息、电子证书中的一种或几种。
进一步,在本发明所述的文件安全管理***中,所述文件安全服务器包括第二使用记录单元,所述第二使用记录单元用于记录所述文件的所有操作记录,所述操作记录由终端上传所述文件安全服务器。
进一步,在本发明所述的文件安全管理***中,所述应用程序在访问所述安全文件目录对应文件过程中,禁止跨应用复制操作、跨应用粘贴操作、截屏操作、录屏操作中的一种或几种。
进一步,在本发明所述的文件安全管理***中,所述文件安全服务器还包括:
用于审批用户请求的审批请求处理单元;和/或
用于监控文件使用情况的使用监控单元;和/或
用于变更文件属性信息的属性变更单元;和/或
用于传递文件销毁指令的销毁指令传递单元。
实施本发明的一种文件安全管理终端及***,具有以下有益效果:本发明通过定义安全文件目录来限定应用程序的访问权限,并通过文件过滤驱动来验证应用程序的权限,以确保只有经过授权的应用程序才能访问受保护文件,提高文件安全性。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是一实施例提供的文件安全管理终端的结构示意图;
图2是一实施例提供的文件安全管理终端的结构示意图;
图3是一实施例提供的文件安全管理终端的结构示意图;
图4是一实施例提供的文件安全管理***的结构示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发明的具体实施方式。
实施例1
参考图1,本实施例的文件安全管理终端可为台式电脑、笔记本电脑、平板电脑、智能手机、智能手表等智能终端,智能终端安装有操作***,操作***可使用Windows***、IOS***、Android***、Linux***等,终端安装有多个应用程序(APP)以及存储有多个文件,例如应用程序为Office、AutoCAD、UG、SolidWorks等。为限制文件的访问权限,本实施例在终端上设置一个安全文件目录,该安全文件目录对应多个文件,并设置每个应用程序访问安全文件目录对应文件的权限,即应用程序能够访问该安全文件目录下的文件。具体的,应用程序访问安全文件目录对应文件的权限包括读取文件权限、写入文件权限、新建文件权限、另存文件权限;并且应用程序禁止访问终端上存储的安全文件目录以外的文件,这样就严格限制了应用程序的访问范围,应用程序仅能使用安全文件目录下的文件。作为选择,安全文件目录为一个安全文件夹,安全文件目录对应的文件存储在安全文件夹内,即该安全文件夹内的文件为限制访问文件。
进一步,本实施例的终端上安装有文件过滤驱动,该文件过来驱动用于验证应用程序的权限,具有访问权限的应用程序经文件过滤驱动验证通过后访问安全文件目录对应的文件。也就是说,本实施例文件过滤驱动是设置在应用程序和文件之间的一道“安全门”,应用程序在要想访问安全文件目录下的文件时,终端会自动启动文件过滤驱动来验证该应用程序的权限,查看该应用程序是否具有访问安全文件目录下文件的权限;经验证,若该应用程序有权限访问安全文件目录下的文件,则允许该应用程序读取文件;若该应用程序没有权限访问安全文件目录下的文件,则禁止该应用程序加载文件,并弹出提示信息。也就是说,该安全目录不允许除专用安全目录管理应用和注册应用之外的程序访问,且该安全目录不能通过***操作进行操作,操作包括文件和目录的移动,复制,删除,读取,修改。
本实施例通过定义安全文件目录来限定应用程序的访问权限,并通过文件过滤驱动来验证应用程序的权限,以确保只有经过授权的应用程序才能访问受保护文件,提高文件安全性。
实施例2
在实施例1的基础上,为进一步保证安全文件目录下文件的安全,本实施例的文件安全管理终端还包括用于验证用户账户使用安全文件目录对应文件权限的第一身份验证单元,用户想要访问安全文件目录下的文件时需要验证用户身份信息,第一身份验证单元查找该用户账户是否为合法账户以及该用户账户对应的权限。经验证,若第一身份验证单元验证通过后允许用户账户访问安全文件目录对应的文件,则允许该用户使用应用程序访问安全文件目录下的文件,但应用程序访问安全文件目录下的文件依然需要经过文件过来驱动验证权限,验证过程可参考上述实施例,在此不再赘述。作为选择,第一身份验证单元验证的用户身份信息包括但不限于用户账户、用户密码、用户指纹、用户脸部信息、手机号、电子邮箱、电子狗、USBKey等,可根据需要选择一个或多个。
进一步,本实施例的文件安全管理终端还可设置每个用户账户访问安全文件目录中文件的权限,即设置每个用户账户访问安全文件目录的部分文件,每个用户账户的权限可不同。作为选择,本实施例还可设置每个用户账户使用应用程序的权限,即限定每个用户账户能够使用哪些应用程序,不能使用哪些应用程序。
本实施例中每个用户都有对应的用户账户,在用户想要使用安全文件目录下的文件时,首先要登陆自己的用户账户,由第一身份验证单元验证用户身份以及用户权限,以此来确定该用户是否能访问安全文件目录。本实施例设置身份验证单元,进一步确保文件的安全使用。
实施例3
在上述实施例的基础上,为进一步保证安全文件目录下文件的安全,本实施例的文件安全管理终端中文件为加密文件,且由设置在应用程序和文件之间的文件过来驱动来进行加密和解密。具体的,在加密文件读取过程中,文件过滤驱动用于解密加密文件并将解密后的数据传输至应用程序;在加密文件写入过程中,文件过滤驱动用于将应用程序产生的数据加密后保存至加密文件中。
作为选择,本实施例的加密文件使用流加密算法加密,流加密算法在加密过程中不附加任何其他信息,文件过滤驱动使用流加密算法对数据进行加密和解密。可以理解,普通加密算法需要添加文件头、ID、管控信息等附加信息,而本申请的流加密算法在加密过程中不附加任何其他信息,即不需要添加文件头、ID、管控信息等附加信息,这使得加密后的文件与原文件大小完全一致。使用文件过滤驱动在过滤驱动层的技术实现做到了最简,且加密解密效率做到了最高,这样安全文件目录下随时都是加密文件,没有未经加密的原文件,既使终端被暴力拆解,没有文件过滤驱动依然无法解密加密文件,从而有效防止因暴力拆卸存储设备而泄露文件的问题。
本实施例中安全文件目录下的文件都为加密文件,且使用没有附加信息的流加密算法,且使用文件过滤驱动进行加密和解密,进一步确保文件安全,可有效防止因暴力拆卸存储设备而泄露文件的问题。
实施例4
参考图2,在上述实施例的基础上,本实施例的文件安全管理终端中还包括发送单元和接收单元,发送单元用于发送安全文件目录下的文件,接收单元用于接收其他终端的安全文件目录下的文件,并将接收到的文件存储在终端的文件安全目录下,若文件没有存储在安全文件目录下,则无法使用文件。
作为选择,发送文件为普通文件,即未加密文件,则发送单元用于发送安全文件目录下的文件,接收单元用于接收其他终端的安全文件目录下的文件,并将接收到的文件存储在终端的文件安全目录下,若文件没有存储在安全文件目录下,则无法使用文件。
作为选择,若文件为加密文件,则发送单元用于发送加密文件,接收单元用于接收加密文件并将接收到的加密文件存储至安全文件目录。同理,若加密文件没有存储在安全文件目录下,则无法使用加密文件。作为选择,终端之间发送文件可通过网络发送,也可使用移动存储设备拷贝文件。
参考图3,为进一步保证安全文件目录下文件的安全,本实施例的终端在发送加密文件之前设置加密文件的管理信息,同时发送加密文件和管理信息,其中管理信息和加密文件为一个整体文件。作为选择,管理信息包括但不限于使用权限白名单、使用权限黑名单、文件使用次数、文件使用时间、文件自动销毁时间、文件一键销毁等,其中使用权限白名单是指有权使用该文件的用户账户;使用权限黑名单是指禁止使用该文件的用户账户;文件使用次数是指该文件能够被使用的最多次数,达到该使用次数后文件不能继续使用;文件使用时间是指一旦文件被打开使用的时间,当文件被打开使用的时间累积达到文件使用时间,则仅是继续使用文件;文件自动销毁时间是指文件在设置的销毁时刻自动销毁;文件一键销毁是指该文件能够在接收到预设按键信号时销毁。可以理解,加密文件的管理信息不能穷尽列举,能够管理文件的信息都可作为加密文件的管理信息。
本实施例中终端之间传输文件时,需将接收文件存储在安全文件目录下,若接收终端没有安全文件目录,则无法使用接收文件,以此来保证文件传输后依然处于受控状态,保证文件安全。
实施例5
在上述实施例的基础上,本实施例的文件安全管理终端中还包括第一使用记录单元,第一使用记录单元用于记录文件的所有操作记录,操作记录包括但不限于用户账户登录时间、应用程序操作记录、文件修改时间、文件修改内容、文件移动时间、文件移动位置、文件删除时间、文件复制时间等。管理人员具有查看操作记录的权限,其他用户没有权限查看操作记录。
本实施例随时记录文件操作记录,以方便后期查看文件使用情况。
实施例6
在上述实施例的基础上,为进一步保证安全文件目录下文件的安全,本实施例的文件安全管理终端中,应用程序在访问安全文件目录对应文件过程中,禁止跨应用复制操作、跨应用粘贴操作、截屏操作、录屏操作文件内容转移操作,其中跨应用复制操作是指在不同应用程序之间复制内容,跨应用粘贴操作是指在不同应用程序之间粘贴内容。
本实施例禁止跨应用复制操作、跨应用粘贴操作、截屏操作、录屏操作文件内容转移操作,可有效防止在使用文件过程中搬移文件内容,有效保护文件安全。
实施例7
参考图1至图4,本实施例的文件安全管理***包括文件安全服务器和多个终端,安全服务器分别通信连接每个终端,终端的结构和功能和参考上述实施例,在此不再赘述。每个终端安装有多个应用程序以及存储有多个文件,设置应用程序访问安全文件目录对应文件的权限,安全文件目录对应多个文件;终端上安装的文件过滤驱动用于验证应用程序的权限,具有访问权限的应用程序经文件过滤驱动验证通过后访问安全文件目录对应的文件。
本实施例通过定义安全文件目录来限定应用程序的访问权限,并通过文件过滤驱动来验证应用程序的权限,以确保只有经过授权的应用程序才能访问受保护文件,提高文件安全性。
实施例8
在上述实施例的基础上,本实施例文件安全管理***中至少两个终端位于同一局域网内或互联网内,两个终端之间传输文件并将接收的文件保存至安全文件目录。本实施例的文件安全管理终端中还包括发送单元和接收单元,发送单元用于发送安全文件目录下的文件,接收单元用于接收其他终端的安全文件目录下的文件,并将接收到的文件存储在终端的文件安全目录下,若文件没有存储在安全文件目录下,则无法使用文件。
作为选择,发送文件为普通文件,即未加密文件,则发送单元用于发送安全文件目录下的文件,接收单元用于接收其他终端的安全文件目录下的文件,并将接收到的文件存储在终端的文件安全目录下,若文件没有存储在安全文件目录下,则无法使用文件。
作为选择,若文件为加密文件,则发送单元用于发送加密文件,接收单元用于接收加密文件并将接收到的加密文件存储至安全文件目录。同理,若加密文件没有存储在安全文件目录下,则无法使用加密文件。终端在加密文件使用过程中,由设置在应用程序和文件之间的文件过来驱动来进行加密和解密。具体的,在加密文件读取过程中,文件过滤驱动用于解密加密文件并将解密后的数据传输至应用程序;在加密文件写入过程中,文件过滤驱动用于将应用程序产生的数据加密后保存至加密文件中。作为选择,本实施例的加密文件使用流加密算法加密,流加密算法在加密过程中不附加任何其他信息,文件过滤驱动使用流加密算法对数据进行加密和解密。可以理解,普通加密算法需要添加文件头、ID、管控信息等附加信息,而本申请的流加密算法在加密过程中不附加任何其他信息,即不需要添加文件头、ID、管控信息等附加信息,这使得加密后的文件与原文件大小完全一致。使用文件过滤驱动在过滤驱动层的技术实现做到了最简,且加密解密效率做到了最高,这样安全文件目录下随时都是加密文件,没有未经加密的原文件,既使终端被暴力拆解,没有文件过滤驱动依然无法解密加密文件,从而有效防止因暴力拆卸存储设备而泄露文件的问题。
参考图3,为进一步保证安全文件目录下文件的安全,本实施例的终端在发送加密文件之前设置加密文件的管理信息,同时发送加密文件和管理信息,其中管理信息和加密文件为一个整体文件。作为选择,管理信息包括但不限于使用权限白名单、使用权限黑名单、文件使用次数、文件使用时间、文件自动销毁时间、文件一键销毁等,其中使用权限白名单是指有权使用该文件的用户账户;使用权限黑名单是指禁止使用该文件的用户账户;文件使用次数是指该文件能够被使用的最多次数,达到该使用次数后文件不能继续使用;文件使用时间是指一旦文件被打开使用的时间,当文件被打开使用的时间累积达到文件使用时间,则仅是继续使用文件;文件自动销毁时间是指文件在设置的销毁时刻自动销毁;文件一键销毁是指该文件能够在接收到预设按键信号时销毁。可以理解,加密文件的管理信息不能穷尽列举,能够管理文件的信息都可作为加密文件的管理信息。
本实施例中终端之间传输文件时,需将接收文件存储在安全文件目录下,若接收终端没有安全文件目录,则无法使用接收文件,以此来保证文件传输后依然处于受控状态,保证文件安全。
实施例9
在上述实施例的基础上,本实施例的文件安全管理***中文件安全服务器包括用于验证用户账户使用安全文件目录对应文件权限的第二身份验证单元,第二身份验证单元验证通过后允许用户账户访问安全文件目录对应的文件。终端将接收的用户身份信息上传至文件安全服务器,由第二身份验证单元查找该用户账户是否为合法账户以及该用户账户对应的权限。经验证,若第二身份验证单元验证通过后允许用户账户访问安全文件目录对应的文件,则允许该用户使用应用程序访问安全文件目录下的文件,但应用程序访问安全文件目录下的文件依然需要经过文件过来驱动验证权限,验证过程可参考上述实施例,在此不再赘述。作为选择,第二身份验证单元验证的用户身份信息包括但不限于用户账户、用户密码、用户指纹、用户脸部信息、手机号、电子邮箱、电子狗、USBKey等,可根据需要选择一个或多个。
进一步,本实施例的文件安全服务器还可设置每个用户账户访问安全文件目录中文件的权限,即设置每个用户账户访问安全文件目录的部分文件,每个用户账户的权限可不同。作为选择,本实施例还可设置每个用户账户使用应用程序的权限,即限定每个用户账户能够使用哪些应用程序,不能使用哪些应用程序。
本实施例中每个用户都有对应的用户账户,在用户想要使用安全文件目录下的文件时,需要登录文件安全服务器,由第二身份验证单元验证用户身份以及用户权限,以此来确定该用户是否能访问安全文件目录。本实施例设置身份验证单元,进一步确保文件的安全使用。
实施例10
在上述实施例的基础上,本实施例的文件安全管理终端中还包括第二使用记录单元,第二使用记录单元用于记录文件的所有操作记录,操作记录包括但不限于用户账户登录时间、应用程序操作记录、文件修改时间、文件修改内容、文件移动时间、文件移动位置、文件删除时间、文件复制时间等,操作记录由终端上传文件安全服务器。管理人员具有查看操作记录的权限,可通过登录文件安全服务器查看每个用户的使用记录,其他用户没有权限查看操作记录。
本实施例随时记录文件操作记录,以方便后期查看文件使用情况。
实施例11
在上述实施例的基础上,为进一步保证安全文件目录下文件的安全,本实施例的文件安全管理终端中,应用程序在访问安全文件目录对应文件过程中,禁止跨应用复制操作、跨应用粘贴操作、截屏操作、录屏操作文件内容转移操作,其中跨应用复制操作是指在不同应用程序之间复制内容,跨应用粘贴操作是指在不同应用程序之间粘贴内容。
本实施例禁止跨应用复制操作、跨应用粘贴操作、截屏操作、录屏操作文件内容转移操作,可有效防止在使用文件过程中搬移文件内容,有效保护文件安全。
在上述实施例的基础上,一些文件安全管理***中文件安全服务器还包括:用于审批用户请求的审批请求处理单元,用户通过终端上传请求信息,管理人员可通过登录文件安全服务器查看和审核请求信息。
在上述实施例的基础上,一些文件安全管理***中文件安全服务器还包括:用于监控文件使用情况的使用监控单元,在被监控文件被使用时,发送监控报告信息至管理终端。
在上述实施例的基础上,一些文件安全管理***中文件安全服务器还包括:用于变更文件属性信息的属性变更单元,终端上文件安全目录中的文件需要变更管理权限时,管理终端通过文件安全服务器上的属性变更单元发送变更信息至目标终端,目标终端执行该变更信息来变更文件属性。
在上述实施例的基础上,一些文件安全管理***中文件安全服务器还包括:用于传递文件销毁指令的销毁指令传递单元,在某个文件需要销毁时,管理终端通过文件安全服务器的销毁指令传递单元发送销毁指令至目标终端,目标终端收到销毁执行后销毁与目标文件。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上实施例只为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人士能够了解本发明的内容并据此实施,并不能限制本发明的保护范围。凡跟本发明权利要求范围所做的均等变化与修饰,均应属于本发明权利要求的涵盖范围。
Claims (25)
1.一种文件安全管理终端,终端安装有多个应用程序以及存储有多个文件,其特征在于,设置所述应用程序访问安全文件目录对应文件的权限,所述安全文件目录对应多个文件;
所述终端上安装的文件过滤驱动用于验证应用程序的权限,具有访问权限的应用程序经所述文件过滤驱动验证通过后访问所述安全文件目录对应的文件。
2.根据权利要求1所述的文件安全管理终端,其特征在于,所述终端还包括用于验证用户账户使用所述安全文件目录对应文件权限的第一身份验证单元,所述第一身份验证单元验证通过后允许用户账户访问所述安全文件目录对应的文件。
3.根据权利要求2所述的文件安全管理终端,其特征在于,所述第一身份验证单元验证的用户身份信息包括用户账户、用户密码、用户指纹、用户脸部信息、手机号、电子邮箱、电子狗、USBKey中的一种或几种。
4.根据权利要求2所述的文件安全管理终端,其特征在于,设置每个所述用户账户访问所述安全文件目录中文件的权限。
5.根据权利要求1所述的文件安全管理终端,其特征在于,所述应用程序访问所述安全文件目录对应文件的权限包括读取文件权限、写入文件权限、新建文件权限、另存文件权限;
所述应用程序禁止访问所述终端上存储的所述安全文件目录以外的文件。
6.根据权利要求1所述的文件安全管理终端,其特征在于,所述安全文件目录为一个安全文件夹,所述安全文件目录对应的文件存储在所述安全文件夹内。
7.根据权利要求1所述的文件安全管理终端,其特征在于,所述文件为加密文件;
在所述加密文件读取过程中,所述文件过滤驱动用于解密所述加密文件并将解密后的数据传输至所述应用程序;
在所述加密文件写入过程中,所述文件过滤驱动用于将所述应用程序产生的数据加密后保存至所述加密文件中。
8.根据权利要求7所述的文件安全管理终端,其特征在于,所述加密文件使用流加密算法加密,加密过程中不附加任何其他信息,所述文件过滤驱动使用所述流加密算法对数据进行加密和解密。
9.根据权利要求7所述的文件安全管理终端,其特征在于,所述终端还包括发送单元和接收单元;
所述发送单元用于发送所述加密文件,所述接收单元用于接收所述加密文件并将接收到的加密文件存储至所述安全文件目录。
10.根据权利要求6所述的文件安全管理终端,其特征在于,所述终端还包括第一使用记录单元,所述第一使用记录单元用于记录所述文件的所有操作记录。
11.根据权利要求1所述的文件安全管理终端,其特征在于,所述应用程序在访问所述安全文件目录对应文件过程中,禁止跨应用复制操作、跨应用粘贴操作、截屏操作、录屏操作中的一种或几种。
12.一种文件安全管理***,其特征在于,包括文件安全服务器和多个终端,所述安全服务器分别通信连接每个所述终端;
每个所述终端安装有多个应用程序以及存储有多个文件,设置所述应用程序访问安全文件目录对应文件的权限,所述安全文件目录对应多个文件;所述终端上安装的文件过滤驱动用于验证应用程序的权限,具有访问权限的应用程序经所述文件过滤驱动验证通过后访问所述安全文件目录对应的文件。
13.根据权利要求12所述的文件安全管理***,其特征在于,至少两个所述终端位于同一局域网内,局域网内的两个终端之间传输所述文件,并将接收的文件保存至所述安全文件目录。
14.根据权利要求13所述的文件安全管理***,其特征在于,所述终端在发送所述文件之前设置所述文件的管理信息,同时发送所述文件和所述管理信息。
15.根据权利要求12所述的文件安全管理***,其特征在于,所述文件为加密文件;
在所述加密文件读取过程中,所述文件过滤驱动用于解密所述加密文件并将解密后的数据传输至所述应用程序;
在所述加密文件写入过程中,所述文件过滤驱动用于将所述应用程序产生的数据加密后保存至所述加密文件中。
16.根据权利要求15所述的文件安全管理***,其特征在于,所述加密文件使用流加密算法加密,加密过程中不附加任何其他信息,所述文件过滤驱动使用所述流加密算法对数据进行加密和解密。
17.根据权利要求15所述的文件安全管理***,其特征在于,其中两个所述终端之间传输所述加密文件,并将接收的所述加密文件保存至所述安全文件目录。
18.根据权利要求17所述的文件安全管理***,其特征在于,两个所述终端位于互联网中。
19.根据权利要求17所述的文件安全管理***,其特征在于,所述终端在发送所述加密文件之前设置所述加密文件的管理信息,同时发送所述加密文件和所述管理信息。
20.根据权利要求14或19所述的文件安全管理***,其特征在于,所述管理信息包括使用权限白名单、使用权限黑名单、文件使用次数、文件使用时间、文件自动销毁时间、文件一键销毁中的一个或多个。
21.根据权利要求12所述的文件安全管理***,其特征在于,所述文件安全服务器包括用于验证用户账户使用所述安全文件目录对应文件权限的第二身份验证单元,所述第二身份验证单元验证通过后允许用户账户访问所述安全文件目录对应的文件。
22.根据权利要求21所述的文件安全管理***,其特征在于,所述第二身份验证单元验证的用户身份信息由终端上传所述文件安全服务器,所述用户身份信息包括用户账户、用户密码、USBKey、用户指纹、用户脸部信息、电子证书中的一种或几种。
23.根据权利要求12所述的文件安全管理***,其特征在于,所述文件安全服务器包括第二使用记录单元,所述第二使用记录单元用于记录所述文件的所有操作记录,所述操作记录由终端上传所述文件安全服务器。
24.根据权利要求12所述的文件安全管理***,其特征在于,所述应用程序在访问所述安全文件目录对应文件过程中,禁止跨应用复制操作、跨应用粘贴操作、截屏操作、录屏操作中的一种或几种。
25.根据权利要求12所述的文件安全管理***,其特征在于,所述文件安全服务器还包括:
用于审批用户请求的审批请求处理单元;和/或
用于监控文件使用情况的使用监控单元;和/或
用于变更文件属性信息的属性变更单元;和/或
用于传递文件销毁指令的销毁指令传递单元。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011095030.7A CN112329050A (zh) | 2020-10-14 | 2020-10-14 | 一种文件安全管理终端及*** |
| PCT/CN2021/121874 WO2022078222A1 (zh) | 2020-10-14 | 2021-09-29 | 一种文件安全管理终端及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011095030.7A CN112329050A (zh) | 2020-10-14 | 2020-10-14 | 一种文件安全管理终端及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112329050A true CN112329050A (zh) | 2021-02-05 |
Family
ID=74314897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011095030.7A Pending CN112329050A (zh) | 2020-10-14 | 2020-10-14 | 一种文件安全管理终端及*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112329050A (zh) |
| WO (1) | WO2022078222A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022078222A1 (zh) * | 2020-10-14 | 2022-04-21 | 杭州来布科技有限公司 | 一种文件安全管理终端及*** |
| CN115292294A (zh) * | 2022-10-08 | 2022-11-04 | 深圳市海豚网络信息科技有限公司 | 一种数据库安全管理方法和*** |
| WO2024021069A1 (zh) * | 2022-07-29 | 2024-02-01 | 华为技术有限公司 | 访问控制方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117216809B (zh) * | 2023-11-09 | 2024-03-08 | 江苏省测绘资料档案馆 | 一种涉密测绘成果离线分发审批授权***及方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105528553A (zh) * | 2014-09-30 | 2016-04-27 | ***通信集团公司 | 一种数据安全共享的方法、装置和终端 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9355267B2 (en) * | 2009-03-26 | 2016-05-31 | The University Of Houston System | Integrated file level cryptographical access control |
| CN112329050A (zh) * | 2020-10-14 | 2021-02-05 | 杭州来布科技有限公司 | 一种文件安全管理终端及*** |
-
2020
- 2020-10-14 CN CN202011095030.7A patent/CN112329050A/zh active Pending
-
2021
- 2021-09-29 WO PCT/CN2021/121874 patent/WO2022078222A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105528553A (zh) * | 2014-09-30 | 2016-04-27 | ***通信集团公司 | 一种数据安全共享的方法、装置和终端 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022078222A1 (zh) * | 2020-10-14 | 2022-04-21 | 杭州来布科技有限公司 | 一种文件安全管理终端及*** |
| WO2024021069A1 (zh) * | 2022-07-29 | 2024-02-01 | 华为技术有限公司 | 访问控制方法及装置 |
| CN115292294A (zh) * | 2022-10-08 | 2022-11-04 | 深圳市海豚网络信息科技有限公司 | 一种数据库安全管理方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022078222A1 (zh) | 2022-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2008341026C1 (en) | System and method for securing data | |
| US10645091B2 (en) | Methods and systems for a portable data locker | |
| KR101522445B1 (ko) | 기밀 파일을 보호하기 위한 클라이언트 컴퓨터, 및 그 서버 컴퓨터, 및 그 방법 및 컴퓨터 프로그램 | |
| CN112329050A (zh) | 一种文件安全管理终端及*** | |
| US10164980B1 (en) | Method and apparatus for sharing data from a secured environment | |
| CN111147255A (zh) | 数据安全服务*** | |
| CN104102595A (zh) | 一种高保密可移动存储设备 | |
| KR20050053569A (ko) | 문서 원천보안 권한부여 방법 | |
| CN102799539A (zh) | 一种安全优盘及其数据主动防护方法 | |
| KR101496318B1 (ko) | 원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법 | |
| CN103413100A (zh) | 文档安全防范*** | |
| KR20220039779A (ko) | 강화된 보안 암호화 및 복호화 시스템 | |
| KR101858207B1 (ko) | 국군 여가복지전용 보안망 시스템 | |
| US8321915B1 (en) | Control of access to mass storage system | |
| KR102554875B1 (ko) | 원격 업무 환경 제공 장치 및 방법 | |
| CN108985079B (zh) | 数据验证方法和验证*** | |
| Lee et al. | A study on a secure USB mechanism that prevents the exposure of authentication information for smart human care services | |
| CN110933042A (zh) | 一种适用于联盟链的数据安全信使方法及*** | |
| CN115758324B (zh) | 一种数据安全访问控制***与方法 | |
| US20240070303A1 (en) | File Encapsulation Validation | |
| Ramesh | Research Paper on Crytography and Network Security | |
| CN118250081A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| CN116992500A (zh) | 一种数据双层存储的数据防勒索方法及*** | |
| Johnson et al. | Securing stored data | |
| CN116781354A (zh) | 一种基于网络存储单向传输隔离的数据防勒索方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Xiao Lie Inventor after: Bao Jiangding Inventor after: Jiang Chen Inventor after: Ma Xiaojing Inventor before: Xiao Lie Inventor before: Bao Jiangding Inventor before: Jiang Chen |