[发明专利]一种文件安全控制方法及装置

权利要求书

1.一种文件安全控制装置，应用于主机上，该装置包括：加密准备单元以及加密执行单元，其特征在于：

加密准备单元，用于在发生已登录域用户将当前主机本地硬盘上的文件向域外复制事件时，为需要复制的当前文件获取对应的加密密钥；

加密执行单元，用户使用该加密密钥对当前文件中的明文数据进行加密形成密文数据，并将与该加密密钥对应的加密标识保存在该已加密文件的明文区中。

2.如权利要求1所述的装置，其特征在于：所述加密准备单元，进一步用于在发生已登录域用户将当前主机本地硬盘上的文件向域内其他主机复制事件时，允许复制操作透明通过。

3.如权利要求1所述的装置，其特征在于：所述加密准备单元获取对应的加密密钥过程包括：从本地保存的密钥生成要素总集确定出密钥生成要素子集，并根据预定密钥生成算法使用密钥生成子集生成所述加密密钥。

4.如权利要求3所述的装置，其特征在于：所述密钥生成要素子集中包括与用户有关联的密钥生成要素；所述加密执行单元进一步用于将该用户的域标识保存在已加密文件的明文区中。

5.如权利要求4所述的装置，其特征在于：所述密钥生成要素子集包括多个密钥生成要素，其中至少一个密钥生成要素与用户有关联。

6.如权利要求3所述的装置，其特征在于：所述加密执行单元进一步用于在处理完当前文件之后判断当前文件是否为复制操作中的最后一个文件，如果是则结束，否则选择下一个文件作为当前文件并返回加密准备单元继续处理；

所述加密准备单元从本地保存的密钥生成要素总集确定出密钥生成要素子集过程具体为：根据预设的动态规则从本地保存的密钥生成要素总集中确定出密钥生成要素子集。

7.如权利要求1所述的装置，其特征在于：所述加密准备单元，进一步用于在发生已登录域用户将当前主机本地硬盘上的文件向域外复制事件时，先判断该用户是否符合例外安全策略，如果是则允许复制操作透明通过，否则继续为需要处理的当前文件获取对应的加密密钥。

8.如权利要求1所述的装置，其特征在于：所述加密准备单元，进一步用于在发生未登录域用户将当前主机本地硬盘上的文件向外复制事件时，禁止该复制操作或者为需要复制的当前文件获取对应的加密密钥。

9.如权利要求1所述的装置，其特征在于：所述加密准备单元，进一步用于在发生未登录域用户将当前主机本地硬盘上的文件向外复制事件时，先判断当前主机是否符合例外安全策略，如果是则允许复制操作透明通过，否则继续禁止该复制操作或者为需要复制的当前文件获取对应的加密密钥。

10.如权利要求7或9所述的装置，其特征在于，该装置还包括：配置管理单元，用于从域控服务器获取所述例外安全策略。

11.如权利要求1所述的装置，其特征在于：还包括解密准备单元以及解密执行单元；其中

解密准备单元，用于判断即将复制到本地硬盘上的当前文件是否携带有加密标识，如果是则根据该加密标识获取对应的解密密钥；

解密执行单元，用于根据该解密密钥对文件中的密文数据进行解密形成明文数据，并移除保存在该文件明文区中的加密标识。

12.如权利要求11所述的装置，其特征在于：所述解密准备单元，进一步用于在当前文件未携带加密标识时，允许针对当前文件的复制操作透明通过。

13.如权利要求11所述的装置，其特征在于：所述解密准备单元，进一步用于先判断是否当前主机的用户已经登录且复制操作的对端在域外，如果是则继续判断即将复制到本地硬盘上的当前文件是否携带有加密标识，如果否，则允许复制操作透明通过。

14.如权利要求11所述的装置，其特征在于：所述加密文件的明文区还携带有用户域标识，所述解密准备单元，进一步用于根据用户域标识从域控服务器上获取对应的密钥生成要素总集，并根据加密标识从密钥生成要素总集中确定出对应的密钥生成要素子集，然后根据对称的密钥生成算法使用密钥生成要素子集生成解密密钥。