一种应用于信息安全协同办公的密钥漫游方法及系统

本发明涉及协同办公信息安全领域，特别是涉及一种应用于信息安全协同办公的 密钥漫游方法及系统。

随着企业信息化程度的提高，越来越多的企业更注重信息安全和商业机密保护。 随之诞生的信息安全管理系统本身就是防止企业的信息资料被泄漏。为了保证安全，每个 企业的加密密钥都是不同的。这样，即使都是同款的信息安全软件，也不能互相访问加密的 数据，达到保护企业信息的目的。

在实际应用中，很多企业在信息安全化过程中，特别是有业务往来的企业，大多会 选用相同的信息安全管理软件，这样，这些相关的企业就要求信息安全软件能够给出协同 办公的方案，即如图1所示，A企业的文件在A企业授权的情况下，B企业能够阅读使用，然而， 现有的系统无法满足上述需求，在发送文件给关联企业时，只能是将文件解密完再发送，这 样以明文方式出去不仅容易造成泄密，而且操作麻烦，降低办公效率。

有鉴于此，本发明人专门设计了一种应用于信息安全协同办公的密钥漫游方法及 系统，本案由此产生。

本发明的目的在于提供一种应用于信息安全协同办公的密钥漫游方法及系统，以 解决关联企业间文件的阅读与交互，在信息安全前提下能够灵活使用和提高办公效率。

为了实现上述目的，本发明采用的技术方案为：

一种应用于信息安全协同办公的密钥漫游方法，包括以下步骤：

S01：发送方提交申请参数并申请发送文件；

S02：待接收申请参数后，对接收方的身份进行认证；

S03：待身份认证成功后，对接收方的使用权限进行审批；

S04：审批通过后，将生成可信任的策略并与待发送的文件一起发送给接收方；

S05：接收方收到发送方发送的策略和文件，导入策略并对其进行认证；

S06：策略认证成功后生效，并验证接收方的使用权限；

S07：验证成功后，当接收方打开、关闭或保存上述文件时，将对文件进行加解密操 作。

所述步骤S01中，申请参数包括接收方身份、可使用时间范围以及是否可改变密 钥。

所述步骤S04中，可信任的策略包括接收方身份、可使用时间范围以及是否可改变 密钥。

所述步骤S06中，使用权限包括验证接收方身份、可使用时间范围以及是否可改变 密钥。

所述步骤S07中，当接收方保存文件时，将对文件的加密操作进行判断，该加密操 作包括以固有的密钥进行加密或以新的密钥进行加密，若接收方的使用权限不能改变密钥 而只能以新的密钥进行保存时，则保存文件失败。

应用于信息安全协同办公的密钥漫游系统，包括发送方子系统和接收方子系统，

所述发送方子系统包括：

一申请授权模块，用于发送方提交申请参数和申请发送文件；

一第一安全认证模块，用于确认关联企业信任的身份；

一审批授权模块，用于审批接收方的使用权限；

一策略生成模块，用于生成可信任的策略并与待发送的文件一起发送给接收方；

该申请授权模块连接第一安全认证模块，第一安全认证模块连接审批授权模块， 审批授权模块连接策略生成模块，策略生成模块连接接收方子系统；

所述接收方子系统包括：

一策略导入模块，用于导入发送方发送过来的策略；

一第二安全认证模块，用于确认关联企业信任的身份；

一终端执行模块，用于验证接收方的使用权限；

一加解密模块，用于加解密发送方发送过来的文件；

该策略导入模块连接第二安全认证模块，第二安全认证模块连接终端执行模块， 终端执行模块连接加解密模块，策略导入模块连接发送方子系统。

所述终端执行模块用于验证接收方身份、可使用时间范围以及是否可改变密钥。

所述可信任的策略超过使用时间范围后，终端执行模块则令接收方无法发送方发 送过来的文件。

应用于信息安全协同办公的密钥漫游系统还包括判断模块，判断模块内置于所述 终端执行模块内，当接收方保存文件时，判断模块用于对文件的加密操作进行判断，该加密 操作包括以固有的密钥进行加密和以新的密钥进行加密，若可信任的策略处于使用时间范 围，则以固有的密钥对文件进行加密并保存；若可信任的策略超过使用时间范围，则以新的 密钥对文件进行加密并保存。

采用上述方案后，本发明满足关联企业对信息安全软件协同办公的需求，使文件 能够安全可靠地在关联企业间阅读与交互，不仅确保了文件的安全性，而且整个过程使用 便捷，显著地提高了办公效率。

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发 明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是背景技术协同办公的原理图；

图2是本发明的原理图。

为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白，以下结 合附图和实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用 以解释本发明，并不用于限定本发明。

如图2所示，本发明提供一种应用于信息安全协同办公的密钥漫游方法，包括以下 步骤：

S01：发送方提交申请参数并申请发送文件；

S02：待接收申请参数后，对接收方的身份进行认证；

S03：待身份认证成功后，对接收方的使用权限进行审批；

S04：审批通过后，将生成可信任的策略并与待发送的文件一起发送给接收方；

S05：接收方收到发送方发送的策略和文件，导入策略并对其进行认证；

S06：策略认证成功后生效，并验证接收方的使用权限；

S07：验证成功后，当接收方打开、关闭或保存上述文件时，将对文件进行加解密操 作。

其中，所述步骤S01中，申请参数包括接收方身份、可使用时间范围以及是否可改 变密钥，使申请参数更加多样，以加强对接收方的认证，确保关联企业间文件交互的安全 性。

进一步地，所述步骤S04中，可信任的策略包括接收方身份、可使用时间范围以及 是否可改变密钥，以加强对策略的认证，确保关联企业间文件交互的安全性。

同时，所述步骤S06中，使用权限包括验证接收方身份、可使用时间范围以及是否 可改变密钥，以拓宽使用权限，加强验证的可靠性。

在本实施例中，所述步骤S07中，当接收方保存文件时，将对文件的加密操作进行 判断，该加密操作包括以固有的密钥进行加密或以新的密钥进行加密，若接收方的使用权 限不能改变密钥而只能以新的密钥进行保存时，则保存文件失败，进一步加强了文件使用 的安全性。

本发明还提供了一种应用于信息安全协同办公的密钥漫游系统，包括发送方子系 统和接收方子系统，

所述发送方子系统包括：

一申请授权模块，用于发送方提交申请参数和申请发送文件；

一第一安全认证模块，用于确认关联企业信任的身份，即确认哪些企业可以建立 信任关系；

一审批授权模块，用于审批接收方的使用权限；

一策略生成模块，用于生成可信任的策略并与待发送的文件一起发送给接收方；

该申请授权模块连接第一安全认证模块，第一安全认证模块连接审批授权模块， 审批授权模块连接策略生成模块，策略生成模块连接接收方子系统；

所述接收方子系统包括：

一策略导入模块，用于导入发送方发送过来的策略；

一第二安全认证模块，用于确认关联企业信任的身份；

一终端执行模块，用于验证接收方的使用权限；

一加解密模块，用于加解密发送方发送过来的文件；当用户打开加密文件时，加解 密模块就以该文件匹配的密钥进行解密，从而可以正常打开、编辑修改该文件。

该策略导入模块连接第二安全认证模块，第二安全认证模块连接终端执行模块， 终端执行模块连接加解密模块，策略导入模块连接发送方子系统。

为了加强接收方子系统的安全性，上述终端执行模块进一步地用于验证接收方身 份、可使用时间范围以及是否可改变密钥。

当可信任的策略超过使用时间范围后，终端执行模块则令接收方无法发送方发送 过来的文件，从而保证发送方文件的安全性。

在本实施例中，应用于信息安全协同办公的密钥漫游系统还包括判断模块，判断 模块内置于所述终端执行模块内，当接收方保存文件时，判断模块用于对文件的加密操作 进行判断，该加密操作包括以固有的密钥进行加密和以新的密钥进行加密，若可信任的策 略处于使用时间范围，则以固有的密钥对文件进行加密并保存；若可信任的策略超过使用 时间范围，则以新的密钥对文件进行加密并保存，确保文件使用时和空闲时均具有很强的 安全性。

本发明满足关联企业对信息安全软件协同办公的需求，使文件能够安全可靠地在 关联企业间阅读与交互，不仅确保了文件的安全性，而且整个过程使用便捷，显著地提高了 办公效率。

上述说明示出并描述了本发明的优选实施例，如前所述，应当理解本发明并非局 限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和 环境，并能够在本文所述发明构想范围内，通过上述教导或相关领域的技术或知识进行改 动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附 权利要求的保护范围内。