[发明专利]基于透明加解密的数字内容安全防护系统及加解密方法

摘要

本发明属于信息安全领域，提供了一种基于透明加解密的数字内容安全防护系统，该系统包括客户端的透明加解密模块、访问控制模块、监控模块、认证授权模块和通信代理模块，服务端的管理中心和权限服务器模块，客户端和服务端由通信代理模块和权限服务器模块连接；针对该安全防护系统提供了对数字内容加密、访问控制以及对密文进行打开、读、写操作的动态加解密方法，通过在操作系统底层实现过滤驱动实现对数字内容的透明加解密，并对用户的所有操作记录完整的日志，不但提高了系统安全性，而且加解密速度有了很大的提升，与现有同类产品相比，具有加密方式安全高效、细粒度权限控制、日志审计功能完善、管理方式便捷高效的优点。

主权项

一种基于透明加解密的数字内容安全防护系统，由客户端和服务端组成，其特征在于：所述的客户端包括：透明加解密模块，与通信代理模块交互，用于接收应用程序通过通信代理模块发来的数字内容加密请求，并根据请求对数字内容加密；在打开、读、写操作过程中，通过通信代理模块从服务端动态获取所需的密钥、权限信息，并根据这些信息对被访问的数字内容进行动态加解密；认证授权模块，与通信代理模块交互，向服务端权限服务器发送身份认证信息请求，根据权限服务器返回身份信息对登陆用户进行身份认证，同时从服务端权限服务器获得权限信息，根据身份信息和权限信息对用户进行控制；用户能够通过认证授权模块为其他用户进行密文授权分发；监控模块，与通信代理模块交互，记录用户对系统的使用、对数字内容的操作；通过通信代理模块将记录的操作日志传入服务端的权限服务器并保存在数据库中，以便对数字内容的使用进行审计与追踪；访问控制模块，与通信代理模块交互，用于在用户对数字内容进行访问过程中，截获应用程序对数字内容的打开操作，通过透明加解密模块构造的数据结构获取数字内容的全路径；根据数字内容的全路径从服务端的权限服务器获得数字内容的内容ID及相应权限信息，根据权限信息控制用户对密文的使用；通信代理模块，用以客户端其他各模块与服务端各模块之间的通信连接，发送各种请求或接收请求返回信息，传递客户端与服务端所需数据，屏蔽服务器的异构，支持离线方式使用该系统；所述的服务端包括：管理中心，为系统管理员提供对系统用户管理的统一的接口界面，包括添加新用户、添加用户分组，用户注册时对用户身份进行验证，查看用户对数字内容的操作日志；权限服务器，通过通信代理同客户端各模块交换信息，接收客户端各模块发出的身份认证请求、权限信息请求或密钥信息请求，根据相应请求从数据库中获得数据，返回给客户端各模块的所需信息；数据库，用以保存客户的身份信息，数字内容的权限信息、密钥信息、用户操作日志；服务端的管理中心和权限服务器分别与数据库连接，服务端和客户端通过通信代理模块和权限服务器连接。