[发明专利]一种加密方法、智能网卡及加密链

说明书

本发明提供了一种加密方法，该方法主要包括以下步骤：生成初始可信度列表步骤任一终端加入局域网时，均先进行自检并获得初始可信度值CO，再将所述初始可信度值CO向局域网内广播，同时接收同一所述局域网的其他终端的初始可信度值CO，依据全部可信终端的所述初始可信度值CO生成初始可信度列表，所有可信终端组成一个可信集群；加密步骤置于可信集群内的加密终端对待加密文件追加可信度列表完成加密，所述可信度列表内至少记录对该文件进行加密的终端信息、加密时间以及所述终端对应的可信度值；本发明提供的方法跟传统DLP(数据防泄漏)技术相比，提高了文件加密的安全性。

技术领域

本发明属于计算机技术领域，特别涉及一种加密方法、智能网卡及加密链。

背景技术

随着信息技术的快速发展，计算机和网络已经成为日常办公、协作互动和通讯交流的必备工具，但是同时也存在着信息的存储、访问控制及信息系统中的计算机终端及服务器的访问控制的安全问题，目前，数据泄露的途径主要有如下三种：一、使用泄露：操作失误导致技术数据泄露或损坏，通过打印、剪切、复制、粘贴、另存为、重命名等操作泄露数据；二、存储泄露：数据中心、服务器、数据库的数据被随意下载、共享泄露，或者离职人员通过U盘、CD/DVD、移动硬盘随意拷走机密资料；或者移动笔记本被盗、丢失或维修造成数据泄露；三、传输泄露：通过email、QQ、MSN等传输机密资料，或者通过网络监听、拦截等方式篡改、伪造传输数据等；现有的DLP数据泄露防护系统主要是以认证服务器为中心，由中心服务器依靠策略下发形式几种管控所有终端，每个终端的管控行为，是通过服务器下发不同策略来体现的，从服务器角度来说就是一对多的，自上而下的，终端之间无法感知彼此的存在，所有终端间的通讯都是通过与服务器交互间接实现的，此种系统存在以下问题：(1)加密文件所承载的信息有限，除了包含基本加密格式信息和校验信息外，还包含解密和访问权限等信息，这些信息都是静态的、一次性的，后续其他终端访问的信息都无法即使动态的追加进来；(2)任何一个加密文件的访问请求认证只涉及到本机和服务器，如果本机认证过程无法得出结论时，将需要与服务器通讯获得进一步认证；(3)任何一台终端，只要DLP客户端安装包能够正常运行安装，就能成为合法的DLP数据终端；(4)终端对服务器依赖程度高，进管在下发了离线策略后，如果超过了配置的离线时间限制，终端将无法继续正常工作，尽管此时终端的所有操作都是合法的；(5)任何一台终端在首次与服务器认证通过后，就一直被默认为合法终端。服务器也不会主动查询终端的可信度。如果该终端被配置了较高的权限，包括超级解密文件；拷贝任意明文文件到可移动设备。如果该终端后期被入侵，后果将不堪设想；(6)当有加密文件在多台终端被同时被访问时，这些终端将同时向服务器发送认证请求，必然会导致服务器的响应出现延迟。

发明内容

为了解决以上技术问题，本发明提供了一种加密方法、智能网卡及加密链。

本发明具体技术方案如下：

本发明提供了一种加密方法，该方法主要包括以下步骤：

生成初始可信度列表步骤任一终端加入局域网时，均先进行自检并获得初始可信度值CO，再将所述初始可信度值CO向局域网内广播，同时接收同一所述局域网的其他终端的初始可信度值CO，依据全部可信终端的所述初始可信度值CO生成初始可信度列表，所有可信终端组成一个可信集群；

加密步骤置于可信集群内的加密终端对待加密文件追加可信度列表加密的终端信息、加密时间以及所述终端对应的可信度值。

本发明还提供一种具有文件加密功能的智能网卡，该智能网卡设置在终端上，所述终端通过所述智能网卡加入局域网，所述智能网卡包括：

生成初始可信度列表模块所述生成初始可信度列表模块被配置为：任一终端加入局域网时，均先进行自检并获得初始可信度值CO，再将所述初始可信度值CO向局域网内广播，同时接收同一所述局域网的其他终端的初始可信度值CO，依据全部可信终端的所述初始可信度值CO生成初始可信度列表，所有可信终端组成一个可信集群；