一種基于vpn的離線文件的保護系統(tǒng)及方法
【專利摘要】本發(fā)明是一種基于VPN的離線文件的保護系統(tǒng)和方法，該系統(tǒng)是在現(xiàn)有VPN系統(tǒng)的基礎上，在VPN客戶端增加離線文件保護策略層、在VPN網(wǎng)關(guān)端增加離線文件策略配置和管理模塊，構(gòu)成一個協(xié)同工作的離線文件保護系統(tǒng)；本發(fā)明方法主要是通過VPN網(wǎng)關(guān)配置離線文件保護策略并關(guān)聯(lián)相應的受保護對象、根據(jù)權(quán)限分配受保護對象給客戶端、然后客戶端通過離線文件沙盒訪問受保護對象等步驟實現(xiàn)的。本發(fā)明與現(xiàn)有技術(shù)相比，充分結(jié)合了VPN網(wǎng)關(guān)授權(quán)策略分配和多種基于應用層的離線文件保護策略，真正做到了離線文件保護的萬無一失。
【專利說明】—種基于VPN的離線文件的保護系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡應用領(lǐng)域，特別涉及一種基于VPN的離線文件的保護系統(tǒng)及方法，用于內(nèi)網(wǎng)文件在離線狀態(tài)時的安全使用。
【背景技術(shù)】
[0002]隨著客戶端的廣泛使用，特別是基于IOS (—種手持設備操作系統(tǒng))和Android (—種手持設備操作系統(tǒng))的智能手機和平板電腦的普及，越來越多的內(nèi)網(wǎng)文件被保存到客戶端上，這些文件中包含了很多重要的公司和個人資料，如何保護這些離線文件變得越來越重要。
[0003]試想如下的這些場景:(1)員工A因為工作需要，周五下班前在手機上下載了一些重要資料，計劃利用周末時間學習這些資料。但在回家的車上，他的手機被偷了。此時，如何保證外泄的文件無法被打開？ (2)員工B同樣在手機上下載了一些重要資料，為了方便瀏覽這些資料，他還通過互聯(lián)網(wǎng)下載了一個打開這些資料的工具，他不知道，這個工具已經(jīng)被安裝了木馬程序，所有打開的資料都會被傳送到遠程服務器中，此時，如何使所有企業(yè)內(nèi)部的離線文件只能在指定的設備中才能被打開？ (3)員工C同樣在手機上下載了一些重要資料，并且他下載了企業(yè)指定的安全瀏覽文件資料的軟件，為了防止他的手機丟失后，其他人可以通過上述軟件瀏覽文件，管理員提供給他一個密碼，每次都需要輸入這個密碼，并且通過遠端服務器的安全認證后，才能瀏覽離線文件，這個安全功能叫做“動態(tài)在線檢查”；
[4]公司員工去了一個不能上網(wǎng)的地方，同樣需要閱讀一些離線的文件，此時，需要提供“離線安全瀏覽”功能，這功能保證每次切換到文件瀏覽程序時，都需要輸入手機的保護密碼，如果手機沒有設置密碼保護，則無法閱讀離線的文件；(5)為了更好的管理文件的權(quán)限，需要提供“文件/目錄權(quán)限管理”功能，客戶只能下載/保存授權(quán)的文件或者授權(quán)目錄中的文件；(6)在提供離線文件加密的基礎上，如何實現(xiàn)“遠程文件擦除”功能，即管理員可以設置強制擦除遠程在線客戶端設備的文件。
[0004]以上問題均涉及離線文件的安全使用，目前常見的離線文件安全策略主要有兩類，一類是利用客戶端的客戶密碼保護功能來限制其他客戶閱讀文件；另一類是在網(wǎng)絡層限制客戶端登錄和下載文件。前者，只能保護文件的本地瀏覽，不能保護文件外泄；后者限制條件過于局限，無法在應用層更好的控制客戶的離線文件。

【發(fā)明內(nèi)容】

[0005]為解決上述問題，本發(fā)明的目的之一是提出一種基于VPN的離線文件的保護系統(tǒng)，結(jié)合現(xiàn)有VPN系統(tǒng)的特性，可靠、方便地實現(xiàn)內(nèi)網(wǎng)文件在移動設備上的安全使用。
[0006]本發(fā)明的另一目的是提供一種基于VPN的離線文件的保護方法，充分結(jié)合VPN網(wǎng)關(guān)授權(quán)策略下發(fā)和多種基于應用層的離線文件保護策略，真正實現(xiàn)離線文件保護的萬無一失。
[0007]為實現(xiàn)上述目的，本發(fā)明采用了如下的技術(shù)方案:[0008]一種基于VPN的離線文件的保護系統(tǒng)，是由客戶端通過VPN網(wǎng)關(guān)訪問文件服務器構(gòu)成，所述的客戶端包括客戶端操作系統(tǒng)、虛擬網(wǎng)絡層、以及根據(jù)自身需要配備的應用軟件，所述的VPN網(wǎng)關(guān)包括認證授權(quán)模塊及VPN網(wǎng)關(guān)系統(tǒng)，其中所述的客戶端還包括有離線文件保護策略層，所述的VPN網(wǎng)關(guān)還包括有離線文件策略管理模塊和離線文件策略配置模塊。
[0009]進一步地，所述客戶端中的離線文件保護策略層包括:
[0010]文件和目錄下載過濾模塊:用于在VPN客戶端的HTTP/FTP/TCP (文件傳輸協(xié)議)代理中，檢查客戶端發(fā)起的請求，只有請求在受信任列表中，才能下載文件，未受信任請求無法下載；
[0011]文件和目錄保存過濾模塊:用于提供給離線文件沙盒使用的模塊，當離線文件沙盒想保存文件時，需要先檢查該文件是否在受信任列表中，只有該文件在受信任列表中才能保存，否則無法保存；
[0012]文件加解密模塊:用于提供給離線文件沙盒使用的模塊，當離線文件沙盒保存文件時，調(diào)用該模塊進行文件加密，讀取離線文件時，調(diào)用該模塊進行文件解密；
[0013]離線文件沙盒:離線程序的唯一訪問接口，可以下載、瀏覽、保存、打開文件；
[0014]動態(tài)在線檢查模塊:當文件服務器端離線文件保護策略配置強制在線檢查策略時，則每次瀏覽文件前必須到VPN網(wǎng)關(guān)上驗證客戶的權(quán)限，當客戶端客戶被注銷時，自動擦除所有本地的離線文件；
[0015]靜態(tài)密碼保護模塊:用于低安全級別策略，此時客戶端客戶無需上網(wǎng)就可以瀏覽本地離線文件。
[0016]進一步地，所述的VPN網(wǎng)關(guān)包括:
[0017]離線文件策略管理模塊:用于當客戶端客戶登錄VPN網(wǎng)關(guān)后，離線文件策略管理模塊會首先獲取客戶和客戶組的屬性，再通過客戶和客戶組的屬性查找其所有受保護對象，這些受保護對象及其屬性以特定格式傳輸?shù)娇蛻舳?，并應用到客戶端離線文件保護策略層中，如果未查到任何受保護對象，則該客戶端無權(quán)訪問該內(nèi)部網(wǎng)站的任何資源。
[0018]離線文件策略配置模塊:用于支持為每個客戶或者每個客戶組分配一個或者多個受保護對象，每個受保護對象可以關(guān)聯(lián)配置一個或者多個離線文件保護策略和離線文件保護策略組；所述的離線文件保護策略和離線文件保護策略組主要包括:
[0019]a.傳輸加密策略:通過SSL加密傳輸協(xié)議；
[0020]b.文件下載策略:允許瀏覽該文件或文件夾中的文件；
[0021]c.文件保存策略:允許保存該文件；
[0022]d.離線文件瀏覽策略:允許不登錄的情況下瀏覽離線文件；
[0023]e.靜態(tài)密碼保護策略:一段時間不使用軟件，自動鎖屏；
[0024]f.動態(tài)在線檢查策略:動態(tài)檢測與遠程擦除，強制一段時間后重新登陸，如果客戶已被注銷，自動擦除本地所有離線文件。
[0025]在完成本發(fā)明所述系統(tǒng)安裝的基礎上，一種基于VPN的離線文件的保護方法，包括如下的步驟:
[0026]步驟一，通過VPN網(wǎng)關(guān)配置管理接口順序?qū)崿F(xiàn)訪問離線文件策略配置模塊、添加受保護對象、定義離線文件保護策略和策略組，以及關(guān)聯(lián)受保護對象和離線文件保護策略和策略組，分配受保護對象給客戶端；
[0027]步驟二，客戶端客戶登錄網(wǎng)站，獲取受保護對象的列表及訪問導航；通過訪問導航訪問授權(quán)的資源；保存欲離線訪問且被授權(quán)的受保護對象文件至所述客戶端中離線文件沙盒。
[0028]步驟三，根據(jù)所定義的靜態(tài)密碼保護策略，一段時間不使用軟件，自動鎖屏，或定義在設定的時間外自動鎖屏。
[0029]步驟四，根據(jù)動態(tài)在線檢查策略，實現(xiàn)動態(tài)檢測與遠程擦除，即當文件服務器端離線文件保護策略配置強制在線檢查策略時，則每次瀏覽文件前必須到VPN網(wǎng)關(guān)上驗證客戶的權(quán)限，當客戶端客戶被注銷時，自動擦除所有本地的離線文件。
[0030]本發(fā)明系統(tǒng)及方法與現(xiàn)有技術(shù)相比，充分結(jié)合了 VPN網(wǎng)關(guān)授權(quán)策略分配和多種基于應用層的離線文件保護策略，真正做到了離線文件保護的萬無一失。本發(fā)明與現(xiàn)有技術(shù)相比主要有以下幾個特點:
[0031]a.VPN網(wǎng)關(guān)授權(quán)離線文件保護策略的分配:客戶利用VPN網(wǎng)關(guān)接入企事業(yè)單位等內(nèi)網(wǎng)服務時，離線文件保護策略根據(jù)權(quán)限被分配給不同的客戶和客戶組。
[0032]b.授權(quán)文件和目錄下載:利用VPN Proxy (代理服務器)，智能分析客戶下載的文件和目錄，并進行限制。
[0033]c.離線文件沙盒:VPN客戶端軟件中集成了現(xiàn)有技術(shù)離線文件沙盒的功能，所有遠程文件只能在沙盒中被下載、加密保存或瀏覽。
[0034]d.動態(tài)在線檢查:利用VPN?；钏淼?，管理員可以擦除客戶在線設備上的內(nèi)部文件、設置客戶密碼保護等功能。
【專利附圖】

【附圖說明】
[0035]圖1是本發(fā)明系統(tǒng)網(wǎng)絡結(jié)構(gòu)示意圖；
[0036]圖2是本發(fā)明系統(tǒng)客戶端及VPN網(wǎng)關(guān)端構(gòu)成示意圖；
[0037]圖3是本發(fā)明客戶端離線保護策略層構(gòu)成示意圖；
[0038]圖4是本發(fā)明VPN網(wǎng)關(guān)端離線文件策略配置模塊構(gòu)成示意圖；
[0039]圖5是本發(fā)明VPN網(wǎng)關(guān)端工作流程示意圖；
[0040]圖6是本發(fā)明VPN客戶端工作流程示意圖。
【具體實施方式】
[0041]在以下的敘述中，為了使讀者更好地理解本申請而提出了許多技術(shù)細節(jié)。但是，本領(lǐng)域的普通技術(shù)人員可以理解，即使沒有這些技術(shù)細節(jié)和基于以下各實施方式的種種變化和修改，也可以實現(xiàn)本申請各權(quán)利要求所要求保護的技術(shù)方案。
[0042]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明的系統(tǒng)、方法和工作流程作進一步地詳細描述:
[0043]如圖1所示，一種基于VPN的離線文件的保護系統(tǒng)，是由客戶端100通過VPN網(wǎng)關(guān)200，訪問文件服務器300構(gòu)成，其中所述的客戶端可以是手機、筆記本電腦等移動設備，它包括客戶端操作系統(tǒng)、虛擬網(wǎng)絡層、以及根據(jù)自身需要配備的應用軟件，同時還包括有離線文件保護策略層；所述的VPN網(wǎng)關(guān)可以是VPN硬件網(wǎng)關(guān)，也可以是VPN軟件網(wǎng)關(guān)，它包括認證授權(quán)模塊及VPN網(wǎng)關(guān)系統(tǒng)，同時還包括有離線文件策略管理模塊和離線文件策略配置模塊；所述的文件服務器可以是公司內(nèi)部的文件服務器，也可以是云端的文件服務模塊。
[0044]如圖2所示，客戶端100包括有若干應用軟件110，虛擬網(wǎng)絡層120，離線文件保護策略層130，IOS/Aandroid移動操作系統(tǒng)140等；VPN網(wǎng)關(guān)包括有離線文件策略管理模塊210，離線文件策略配置模塊220，認證授權(quán)模塊230，VPN網(wǎng)關(guān)系統(tǒng)240等。概括地說是本發(fā)明系統(tǒng)是在目前VPN系統(tǒng)的基礎上，在VPN客戶端增加了離線文件保護策略層、在VPN網(wǎng)關(guān)端增加離線文件策略配置和管理模塊，兩者協(xié)同工作，構(gòu)成了一個完整的離線文件保護系統(tǒng)。
[0045]進一步地，如圖2和圖3所示，VPN客戶端100中的離線文件保護策略層130包括:
[0046]文件和目錄下載過濾模塊131:用于在VPN客戶端的HTTP/FTP/TCP代理中，檢查客戶端發(fā)起的請求，只有請求在受信任列表中，才能下載文件，未受信任請求無法下載，所述文件包括受保護對象列表和訪問導航等；
[0047]文件和目錄保存過濾模塊132:用于提供給離線文件沙盒使用的模塊，當離線文件沙盒想保存文件時，需要先檢查該文件是否在受信任列表中，在才能保存，否則無法保存；
[0048]文件加解密模塊133:用于提供給離線文件沙盒使用的模塊，當離線文件沙盒保存文件時，調(diào)用該模塊進行文件加密，讀取離線文件時，調(diào)用該模塊進行文件解密；
[0049]離線文件沙盒134:離線程序的唯一訪問接口，可以下載、瀏覽、保存、打開文件；
[0050]動態(tài)在線檢查模塊135:當文件服務器端離線文件保護策略配置強制在線檢查策略時，則每次瀏覽文件前必須到VPN網(wǎng)關(guān)上驗證客戶的權(quán)限，當客戶端客戶被注銷時，自動擦除所有本地的離線文件；
[0051]靜態(tài)密碼保護模塊136:用于低安全級別策略，此時客戶端客戶無需上網(wǎng)就可以瀏覽本地離線文件。
[0052]相協(xié)同地，如圖2和圖4所示，所述的VPN網(wǎng)關(guān)200中包括:
[0053]離線文件策略管理模塊210:用于當客戶登錄VPN網(wǎng)關(guān)后，離線文件策略管理模塊會首先獲取客戶和客戶組的屬性，再通過客戶和客戶組的屬性查找其所有受保護對象，然后這些受保護對象及其屬性以特定格式傳輸?shù)娇蛻舳?，例如以XML格式傳輸，并應用到客戶端離線文件保護策略層中。如果未查到任何受保護對象，則該客戶和客戶組無權(quán)訪問該網(wǎng)站的任何資源。
[0054]離線文件策略配置模塊220:如圖4，用于支持為每個客戶或者每個客戶組分配一個或者多個受保護對象，所述的受保護對象可以是文件和文件夾兩種類型，如圖4中的文件1、文件2及文件夾1。每個受保護對象可以關(guān)聯(lián)配置一個或者多個離線文件保護策略和離線文件保護策略組，如圖4中的離線文件保護策略1、2…n及離線文件保護策略組1。離線文件保護策略可以由一個或者多個離線文件保護策略組構(gòu)成，所述的離線文件保護策略和離線文件保護策略組主要包括:
[0055]a.傳輸加密策略:通過SSL加密傳輸協(xié)議；
[0056]b.文件下載策略:允許瀏覽該文件或文件夾中的文件； [0057]c.文件保存策略:允許保存該文件；
[0058]d.離線文件瀏覽策略:允許不登錄的情況下瀏覽離線文件；[0059]e.靜態(tài)密碼保護策略:若一段時間內(nèi)不使用系統(tǒng)，將自動鎖屏；
[0060]f.動態(tài)在線檢查策略:動態(tài)檢測與遠程擦除，即強制一段時間后重新登陸，檢查到客戶已被注銷，自動擦除本地所有離線文件。
[0061]在完成本發(fā)明所述系統(tǒng)安裝的基礎上，本發(fā)明基于VPN的離線文件的保護方法包括如下的步驟:
[0062]步驟一，通過VPN網(wǎng)關(guān)配置管理接口順序?qū)崿F(xiàn)訪問離線文件策略配置模塊、添加受保護對象、定義離線文件保護策略和策略組，所述的受保護對象可以是一個文件，也可以是一個文件夾；以及關(guān)聯(lián)受保護對象和離線文件保護策略和策略組，分配受保護對象給客戶端；
[0063]步驟二，客戶端客戶登錄網(wǎng)站，獲取受保護對象的列表及訪問導航；通過訪問導航訪問授權(quán)的資源，此時未被保護的資源無法訪問；保存欲離線訪問且被授權(quán)的受保護對象文件至所述客戶端中的離線文件沙盒，所述的所有受保護對象(文件或文件夾)都是經(jīng)過加密的，只有離線文件沙盒才可以打開，此時未授權(quán)的文件無法保存。
[0064]步驟三，根據(jù)所定義的靜態(tài)密碼保護策略，一段時間內(nèi)不使用系統(tǒng)，系統(tǒng)將自動鎖屏。
[0065]步驟四，根據(jù)動態(tài)在線檢查策略，實現(xiàn)動態(tài)檢測與遠程擦除，即當文件服務器端離線文件保護策略配置強制在線檢查策略時，則每次瀏覽文件前必須到VPN網(wǎng)關(guān)上驗證客戶的權(quán)限，當客戶端客戶被注銷時，自動擦除所有本地的離線文件。
[0066]雖然通過參照本發(fā)明的某些優(yōu)選實施方式，已經(jīng)對本發(fā)明進行了圖示和描述，但本領(lǐng)域的普通技術(shù)人員應該明白，可以在形式上和細節(jié)上對其作各種改變，而不偏離本發(fā)明的精神和范圍。
【權(quán)利要求】
1.一種基于VPN的離線文件的保護系統(tǒng)，是由客戶端通過VPN網(wǎng)關(guān)，訪問文件服務器構(gòu)成，所述的客戶端包括客戶端操作系統(tǒng)、虛擬網(wǎng)絡層、以及根據(jù)自身需要配備的應用軟件，所述的VPN網(wǎng)關(guān)包括認證授權(quán)模塊及VPN網(wǎng)關(guān)系統(tǒng)，其特征是所述的客戶端還包括有離線文件保護策略層，所述的VPN網(wǎng)關(guān)包括有離線文件策略管理模塊和離線文件策略配置模塊。
2.根據(jù)權(quán)利要求1所述的基于VPN的離線文件的保護系統(tǒng)，其特征在于所述客戶端中的離線文件保護策略層包括: 文件和目錄下載過濾模塊:用于在VPN客戶端的HTTP/FTP/TCP代理中，檢查客戶端發(fā)起的請求，只有請求在受信任列表中，才能下載文件，未受信任請求無法下載； 文件和目錄保存過濾模塊:用于提供給離線文件沙盒使用的模塊，當離線文件沙盒想保存文件時，需要先檢查該文件是否在受信任列表中，只有該文件在受信任列表中才能保存，否則無法保存； 文件加解密模塊:用于提供給離線文件沙盒使用的模塊，當離線文件沙盒保存文件時，調(diào)用該模塊進行文件加密，讀取離線文件時，調(diào)用該模塊進行文件解密； 離線文件沙盒:離線程序的唯一訪問接口，可以下載、瀏覽、保存、打開文件。
3.根據(jù)權(quán)利要求1所述的基于VPN的離線文件的保護系統(tǒng)，其特征在于客戶端中的離線文件保護策略層還包括: 動態(tài)在線檢查模塊:當文件服務器端離線文件保護策略配置強制在線檢查策略時，則每次瀏覽文件前必須到VPN網(wǎng)關(guān)上驗證客戶的權(quán)限，當客戶端客戶被注銷時，自動擦除所有本地的離線文件。
4.根據(jù)權(quán)利要求1所述`的基于VPN的離線文件的保護系統(tǒng)，其特征在于客戶端中的離線文件保護策略層還包括: 靜態(tài)密碼保護模塊:用于低安全級別策略，此時客戶端客戶無需上網(wǎng)就可以瀏覽本地離線文件。
5.根據(jù)權(quán)利要求1所述的基于VPN的離線文件的保護系統(tǒng)，其特征在于所述的VPN網(wǎng)關(guān)包括: 離線文件策略配置模塊:用于支持為每個客戶或者每個客戶組分配一個或者多個受保護對象，每個受保護對象可以關(guān)聯(lián)配置一個或者多個離線文件保護策略和離線文件保護策略組； 離線文件策略管理模塊:用于當客戶端客戶登錄VPN網(wǎng)關(guān)后，離線文件策略管理模塊會首先獲取客戶組的屬性，再通過客戶和客戶組的屬性查找其所有受保護對象，這些受保護對象及其屬性以特定格式傳輸?shù)娇蛻舳?，并應用到客戶端離線文件保護策略層中，如果未查到任何受保護對象，則該客戶端無權(quán)訪問該內(nèi)部網(wǎng)站的任何資源。
6.根據(jù)權(quán)利要求1所述的基于VPN的離線文件的保護系統(tǒng)，其特征在于所述的離線文件保護策略主要包括: a.傳輸加密策略:通過SSL加密傳輸協(xié)議； b.文件下載策略:允許瀏覽該文件或文件夾中的文件； c.文件保存策略:允許保存該文件； d.離線文件瀏覽策略:允許不登錄的情況下瀏覽離線文件；e.靜態(tài)密碼保護策略:一段時間不使用軟件，自動鎖屏； f.動態(tài)在線檢查策略:動態(tài)檢測與遠程擦除，強制一段時間后重新登陸，如果客戶已被注銷，自動擦除本地所有離線文件。
7.一種基于VPN的離線文件的保護方法，其特征在于包括如下的步驟: 步驟一，通過VPN網(wǎng)關(guān)配置管理接口順序?qū)崿F(xiàn)訪問離線文件策略配置模塊、添加受保護對象、定義離線文件保護策略和策略組，以及關(guān)聯(lián)受保護對象和離線文件保護策略和策略組，分配受保護對象給客戶端； 步驟二，客戶端客戶登錄網(wǎng)站，獲取受保護對象的列表及訪問導航；通過訪問導航訪問授權(quán)的資源；保存欲離線訪問且被授權(quán)的受保護對象文件至所述客戶端中離線文件沙盒。
8.根據(jù)權(quán)利要求7所述的基于VPN的離線文件的保護方法，其特征在于上述步驟還包括: 步驟三，根據(jù)所定義的靜態(tài)密碼保護策略，一段時間不使用軟件，自動鎖屏，或定義在設定的時間外自動鎖屏。
9.根據(jù)權(quán)利要求7所述的基于VPN的離線文件的保護方法，其特征在于上述步驟還包括: 步驟四，根據(jù)動態(tài)在線檢查策略，實現(xiàn)動態(tài)檢測與遠程擦除，若客戶端客戶被注銷，再次登陸時自動擦除遠程的離 線文件。
【文檔編號】G06F21/62GK103793658SQ201210425282
【公開日】2014年5月14日 申請日期:2012年10月30日 優(yōu)先權(quán)日:2012年10月30日
【發(fā)明者】吉嶺, 劉志永 申請人:華耀(中國)科技有限公司