一种文件安全共享系统及文件安全共享服务器、客户端

摘要

本发明提供一种文件安全共享系统及文件安全共享服务器、客户端，利用网络TCP/IP传输技术和文件过滤技术，将内网内部的文件任意的拷贝到共享文件夹里实现加密，内网内的电脑必须访问共享文件必须进入一个安全桌面才可以访问文件。否则所有客户端只能读取自己的数据，从而实现对内部共享文件进行有效的管理和预防窃取。

说明书

技术领域

本发明涉及一种基于文件共享的保密安全技术，特别是涉及一种应用于网络架构中的文 件安全共享系统及文件安全共享服务器、客户端

背景技术

近几年来，随着网络的发展和普及，因特网(Internet)和局域网络(Local Area Network； LAN)逐渐成为办公自动化的主要工具。而网络文件的传输无疑是人们对网络的基本需求， 所谓网络文件传输是指文件遵循一定规则借助因特网或局域网络在各个计算机之间传输，比 如说在客户端与客户端之间、客户端与服务器之间或服务器与服务器之间的交换，实现资源 共享。

现在许多企业，尤其是集团型企业的规模越来越大，在世界各地均建立了分公司，为了 实现总部与分公司或者分公司与分公司之间的文件传输或者资源共享，大多都在各个分公司 内部组建了局域网络。为了实现高速度、大载量以及高保密性的数据传输，大多采用专线连 接，即通过专用线路将各自的局域网络进行互联，专线连接的特点是传输速度快、在线传输 稳定以及传输数据加密，其可实现的业务有企业资源规划(Enterprise Resource Planning； ERP)、办公室自动化(Office Automation；OA)数据互联、ERP或OA文件的拷贝等。

在现有的网络中的客户端与客户端之间、客户端与服务器之间、或服务器与服务器之间 的交换，实现资源共享是以windows默认的共享技术为基础，利用网络TCP/IP传输技术实现 资源共享。然而，在实际的应用中，需要将文件共享通常要求操作者具有一定的电脑知识和 技能，且在文件共享的过程中，也不能记录内部共享文件的移动和活动轨迹，进而对文件的 安全传输和共享造成安全的隐患以及管理成本的增加。

因而，如何提供一种有效的管理手段，以解决现有技术中的上述问题，实已成为本领域 从业者亟待解决的问题。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种文件安全共享系统及文件安 全共享服务器、客户端，用于解决现有技术中存在安全的隐患以及管理成本的增加等问题。

为实现上述目的及其他相关目的，本发明提供一种文件安全共享服务器，应用于包含有 多个客户端的网络架构中，所述文件安全共享服务器至少包括：初始化模块，于初始化作业 时生成一服务器ID及允许客户端访问的文件；监听模块，连接所述初始化模块，用于监听来 自各客户端的信息；日志管理模块，连接所述监听模块，用于记录所述服务器的运行及操作 日志；客户端管理模块，连接所述监听模块，接收到来自一客户端的信息后，对所述客户端 进行分组以使位于同一组的客户端之间可以相互访问；统计管理模块，连接所述客户端管理 模块，用于统计各客户端中共享文件的操作记录；策略分发模块，连接所述客户端管理模块， 用于对所述客户端管理模块分配的组进行加密以生成服务器密钥，同时生成远程控制共享文 件的读写和操作次数的策略，并将该策略和服务器密钥分发给各客户端。

在本发明的文件安全共享服务器中，还包括网络管理模块，连接所述客户端管理模块， 用于接收到来自一客户端的信息后，提取该客户端的IP信息及MAC地址信息以远程设置各 客户端的IP。

在本发明的文件安全共享服务器中，还包括访问管理模块，连接所述网络管理模块，依 据所述网络管理模块设置的IP以使客户端之间相互访问或相互隔离。

在本发明的文件安全共享服务器中，还包括共享管理模块，连接所述日志管理模块，远 程控制以开启或关闭各该客户端的共享。

在本发明的文件安全共享服务器中，所述监听模块监听来自各客户端的信息包括客户端 的机器号信息、IP地址信息、及MAC地址信息。

在本发明的文件安全共享服务器中，所述共享文件的操作记录包括打开次数、创建文件 信息、以及删除文件信息中至少一种。

本发明还提供一种文件安全共享客户端，应用于包含有服务器的网络架构中，并与所述 网络架构中同一群组中的至少另一客户端相连接，所述文件安全共享客户端至少包括：获取 共享模块，遍历服务器或同一群组中的客户端的共享空间，并在所述共享空间中预存有共享 文件时对其进行监听；控制共享模块，连接所述获取共享模块，用于选取监听的共享文件； 密钥初始化模块，连接所述控制共享文件模块，依据所述客户端的机器号和用户号生成对称 密钥；文件加密模块，连接所述控制共享文件模块，依据所述对称密钥对选取的共享文件进 行加密；密钥管理模块，连接所述密钥初始化模块，将所述密钥初始化模块生成的对称密钥 与机器号和用户号进行配对，生成关联信息；密钥获取模块，连接所述密钥管理模块，依据 所述关联信息请求文件管理；策略获取模块，连接所述服务器，获取所述服务器下发的用于 远程控制共享文件的读写和操作次数的策略和服务器密钥；文件管理模块，连接所述密钥获 取模块、文件共享模块、及策略获取模块，依据所述关联信息，将所述服务器下发的策略和 服务器密钥与密钥初始化模块生成的对称密钥进行对比，并于对比通过后请求解密共享文件； 解密模块，连接所述文件管理模块，接收到所述文件管理模块的解密请求后提供共享文件的 读写操作；记录模块，连接所述解密模块，用以记录所述解密模块的操作记录并上传至所述 服务器。

在本发明的文件安全共享客户端中，所述文件加密模块加密的共享文件包括对来自服务 器共享空间中的共享文件以及来自同一群组中的客户端的共享空间中的共享文件。

本发明再一种文件安全共享系统，包括上述的文件安全共享服务器以及文件安全共享客 户端。

如上所述，本发明的文件安全共享系统及文件安全共享服务器、客户端，不要求操作者 具有一定的电脑知识和技能，且在文件共享的过程中，可以记录内部共享文件的移动和活动 轨迹，进而加强了对文件的安全传输和共享造成安全管理，从而实现对内部共享文件进行有 效的管理和预防窃取。

附图说明

图1显示为本发明文件安全共享系统结构示意图。

元件标号说明

1        文件安全共享服务器

10       初始化模块

11       监听模块

12       日志管理模块

13       客户端管理模块

14       统计管理模块

15       策略分发模块

16       网络管理模块

17       访问管理模块

18       共享管理模块

3        文件安全共享客户端

30       获取共享模块

31       控制共享模块

32       密钥初始化模块

33       文件加密模块

34       密钥管理模块

35    密钥获取模块

36    文件管理模块

37    策略获取模块

38    解密模块

39    记录模块

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露 的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加 以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精 神下进行各种修饰或改变。

请参阅图1。需要说明的是，本实施例中所提供的图示仅以示意方式说明本发明的基本 构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸 绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也 可能更为复杂。

请参阅图1，本发明提供一种文件安全共享系统，由文件安全共享服务器1和多个文件 安全共享客户端3组成，所述网络架构中的多个文件安全共享客户端3可位于同一群组中或 不同的群组中，所述文件安全共享服务器1至少包括：初始化模块10，监听模块11，日志管 理模块12，客户端管理模块13，统计管理模块14，策略分发模块15，网络管理模块16，访 问管理模块17，以及共享管理模块18。

所述初始化模块10于初始化作业时生成一服务器ID及允许客户端访问的文件；即授权 初始化时，主要是服务器安装时生成的一个服务器ID和加入允许客户端的共享文件，服务器 放可工作。

所述监听模块11连接所述初始化模块10，用于监听来自各客户端的信息；所述监听模 块11监听来自各客户端的信息包括客户端的机器号信息、IP地址信息、及MAC地址信息。

所述日志管理模块12连接所述监听模块11，用于记录所述服务器的运行及操作日志； 所述日志管理模块12还用于管理服务器运行的日志和服务器操作日志。

所述客户端管理模块13连接所述监听模块11，接收到来自一客户端的信息后，对所述 客户端进行分组以使位于同一组的客户端之间可以相互访问；具体地，所述客户端管理模块 13基于所述监听模块11监的客户端的机器号信息、IP地址信息、或MAC地址信息来对其 进行分组。

所述统计管理模块14连接所述客户端管理模块13，用于统计各客户端中共享文件的操 作记录；于本实施例中，所述共享文件的操作记录包括打开次数、创建文件信息、以及删除 文件信息中至少一种或多种。于实际的实施过程中，所述统计管理模块14连接于所述文件安 全共享客户端3的记录模块，接收所述记录模块上传的操作记录。

所述策略分发模块15连接所述客户端管理模块13，用于对所述客户端管理模块13分配 的组进行加密以生成服务器密钥，同时生成远程控制共享文件的读写和操作次数的策略，并 将该策略和服务器密钥分发给各客户端。

所述网络管理模块16连接所述客户端管理模块13，用于接收到来自一客户端的信息后， 提取该客户端的IP信息及MAC地址信息以远程设置各客户端的IP。即监听从客户端传过来 的IP信息和MAC地址信息，并可以远程更改该客户端的IP，以实现对各客户端的网络管理。

所述访问管理模块17连接所述网络管理模块16，依据所述网络管理模块16设置的IP 以使客户端之间相互访问或相互隔离。

所述共享管理模块18连接所述日志管理模块12，远程控制以开启或关闭各该客户端的 共享。

所述文件安全共享客户端3至少包括：获取共享模块30，控制共享模块31，密钥初始化 模块32，文件加密模块33，密钥管理模块34，密钥获取模块35，文件管理模块36，策略获 取模块37，解密模块38，记录模块39。

所述获取共享模块30遍历服务器或同一群组中的客户端的共享空间，并在所述共享空间 中预存有共享文件时对其进行监听，从计算机上遍历共享并监看是否创建共享。

所述控制共享模块31连接所述获取共享模块30，用于选取监听的共享文件；即共享文 件被控制，必须在允许下远程电脑才能访问和正常读写。

所述密钥初始化模块32连接所述控制共享文件模块，依据所述客户端的机器号和用户号 生成对称密钥AES（Advanced Encryption Standard，密码学中的高级加密标准）。

所述文件加密模块33连接所述控制共享文件模块，依据所述对称密钥对选取的共享文件 进行加密；于本实施例中，所述文件加密模块33加密的共享文件包括对来自服务器共享空间 中的共享文件以及来自同一群组中的客户端的共享空间中的共享文件。

所述密钥管理模块34连接所述密钥初始化模块32，将所述密钥初始化模块32生成的对 称密钥与机器号和用户号进行配对，生成关联信息。

所述密钥获取模块35连接所述密钥管理模块34，依据所述关联信息请求文件管理。

所述策略获取模块37连接所述服务器，获取所述服务器下发的用于远程控制共享文件的 读写和操作次数的策略和服务器密钥。

所述文件管理模块36连接所述密钥获取模块35、文件共享模块、及策略获取模块37， 依据所述关联信息，将所述服务器下发的策略和服务器密钥与密钥初始化模块32生成的对称 密钥进行对比，并于对比通过后请求解密共享文件。

所述解密模块38连接所述文件管理模块36，接收到所述文件管理模块36的解密请求后 提供共享文件的读写操作。所述记录模块39连接所述解密模块38，用以记录所述解密模块 38的操作记录并上传至所述服务器。

综上可知，于客户端初始化完后，启动驻留程序，并检测是否进行脱钩测试，然后遍历 机器的所有共享目录并对共享目录进行监控并用机器号和机器的用户名进行对称加密。通过 密钥置换（密钥管理）和策略的对比，对共享文件进行读写操作和记录。并通过日志模块实 时的保存到服务器上去，给服务器的统计管理模块14提供数据。文件管理通过比对服务器的 策略对共享安全进行喜欢，常驻并接受来自服务器的策略信息。

本发明提供的文件安全共享系统主要是解决内网互相拷贝文件没有文件移动和活动轨迹 的问题，采用本专利设计的管理系统可以有效地管理内部共享文件，而不需要高额的文档管 理也不用太多的电脑知识，它的主要实现步骤如下：

首先，初始化服务器，根据一个机器的ID授权到此计算机，并实现服务器的监听功能； 其次，在内部安装客户端，客户端根据每台电脑生成一个用户名和机器号传送到服务器端， 并检测内部共享文件一并发到服务器，并将文件进行加密；然后，只要在服务器的策略分配 上让用户处于相同的组并允许相互访问，客户机就跟正常一样访问其他装有客户端的电脑， 当然也可以更改服务器上客户端的自动生成的用户名和机器号进行认证后访问，最后，用服 务器的日志功能查看客户机共享文件的每个人的操作记录和文件打开情况。

综上所述，本发明的文件安全共享系统及文件安全共享服务器、客户端，不要求操作者 具有一定的电脑知识和技能，且在文件共享的过程中，可以记录内部共享文件的移动和活动 轨迹，进而加强了对文件的安全传输和共享造成安全管理，从而实现对内部共享文件进行有 效的管理和预防窃取。所以，本发明有效克服了现有技术中的种种缺点而具高度产业利用价 值。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技 术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡 所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等 效修饰或改变，仍应由本发明的权利要求所涵盖。