本發(fā)明涉及電子文件處理技術(shù)，尤其涉及一種文件安全控制方法及對應(yīng)的裝置。

背景技術(shù)：
隨著信息化技術(shù)的推廣，包括政府機關(guān)以及企業(yè)在內(nèi)的各種大型社會組織越來越傾向于采用電子化的方式來保存自身的業(yè)務(wù)及管理數(shù)據(jù)。以企業(yè)為例，大部分企業(yè)的財務(wù)報表、員工檔案、設(shè)計圖紙、音像資料等數(shù)據(jù)通常都采用電子文件的形式予以保存。電子文件已經(jīng)成為一種不可替代的數(shù)據(jù)儲存方式。電子文件相對于傳統(tǒng)的紙質(zhì)文件的方式有著各種顯而易見的卓越優(yōu)勢。比如說電子文件相對于傳統(tǒng)的紙質(zhì)文件更容易被傳播，然而更容易被傳播意味著電子文件更容易產(chǎn)生信息安全的問題。如何防止文件未經(jīng)內(nèi)部合規(guī)程序的批準而流傳到外部是一個極具挑戰(zhàn)的安全工作，也是目前各種社會組織非常迫切的信息化安全需求。針對這種安全需求，目前市場上出現(xiàn)了一些解決方案，主要有如下幾類技術(shù)：文檔權(quán)限管理系統(tǒng)、主動型文件加密系統(tǒng)、文檔透明加解密系統(tǒng)。這幾類技術(shù)都可以從一定程度上解決客戶端的文件安全問題，但目前還沒有一種解決方案，在不影響用戶使用的前提下，能做到有效防止用戶計算機存放的各類保密文件的泄密。微軟公司的RMS系統(tǒng)是一種典型的文檔權(quán)限管理系統(tǒng)。RMS系統(tǒng)針對office類文件，使用RMS進行加密授權(quán)，無權(quán)限用戶無法打開文件。經(jīng)過加密的文件離開指定的AD域網(wǎng)絡(luò)環(huán)境，同樣無法打開使用。然而RMS系統(tǒng)僅能針對office文件進行加密授權(quán)，不能對非office文件進行保護。缺乏廣泛的適用性，比如說對于一個IT企業(yè)來說，其可能有大量包括源代碼在內(nèi)的有價值的商業(yè)秘密并非是采用Office文件來保存的。此外，RMS系統(tǒng)屬于主動加密工具，如果企業(yè)內(nèi)部人員故意泄密保密文件將無法防范。億賽通文檔透明加密系統(tǒng)是一種典型的文檔透明加解密系統(tǒng)。對于需要保護的文件類型，該系統(tǒng)會在文件保存時對其進行強制性的加密，只要寫在磁盤上就是加密存儲的；文件生成的參與者被系統(tǒng)授權(quán)許可使用這些加密的文件，可以接觸操作這些內(nèi)容。如果未經(jīng)合法許可而帶走加密文件，這些加密文件內(nèi)容將不能夠被正常打開，文件內(nèi)容不會因為文件數(shù)據(jù)體的擴散而擴散。透明加密技術(shù)是近年來針對企業(yè)文件保密需求應(yīng)運而生的一種文件加密技術(shù)。所謂透明，是指對文件使用者來說文件被加密是未知的。當使用者在打開或編輯指定文件時，系統(tǒng)將自動對未加密的文件進行加密，對已加密的文件自動解密。文件在硬盤上是密文，在內(nèi)存中是明文。一旦離開使用環(huán)境，由于應(yīng)用程序無法得到自動解密的服務(wù)而無法打開該文件，于是就起來保護文件內(nèi)容的效果。由于文檔透明加解密系統(tǒng)，所有指定類型文件都是強制加密的，因此有如下缺點：文件使用過程需要進行加解密，占用系統(tǒng)資源，有時候會顯著影響當前系統(tǒng)性能和用戶體驗，降低人員的工作效率。而且所有指定類型文件都進行了加密，影響組織內(nèi)部人員與外部人員的信息交流效率。

技術(shù)實現(xiàn)要素：
有鑒于此，本發(fā)明提供一種文件安全控制裝置，應(yīng)用于主機上，該裝置包括：加密準備單元以及加密執(zhí)行單元，其中：加密準備單元，用于在發(fā)生已登錄域用戶將當前主機本地硬盤上的文件向域外復(fù)制事件時，為需要復(fù)制的當前文件獲取對應(yīng)的加密密鑰；加密執(zhí)行單元，用戶使用該加密密鑰對當前文件中的明文數(shù)據(jù)進行加密形成密文數(shù)據(jù)，并將與該加密密鑰對應(yīng)的加密標識保存在該已加密文件的明文區(qū)中。本發(fā)明還提供一種文件安全控制方法，應(yīng)用于主機上，該方法包括：步驟A、在發(fā)生已登錄域用戶將當前主機本地硬盤上的文件向域外復(fù)制事件時，為需要復(fù)制的當前文件獲取對應(yīng)的加密密鑰；步驟B、使用該加密密鑰對當前文件中的明文數(shù)據(jù)進行加密形成密文數(shù)據(jù)，并將與該加密密鑰對應(yīng)的加密標識保存在該已加密文件的明文區(qū)中。相對于現(xiàn)有技術(shù)而言，本發(fā)明通過區(qū)分復(fù)制操作的對端是否在域內(nèi)，對于對端在域內(nèi)的復(fù)制操作允許透明通過，對于對端在域外的復(fù)制操作則采用加密文件的方式；這種方式在保障了文件中信息安全的前提下又提高了組織內(nèi)部用戶之間文件交流的效率。附圖說明圖1是本發(fā)明一種實施方式中一種文件安全控制裝置運行環(huán)境及邏輯結(jié)構(gòu)框架圖。圖2是本發(fā)明一種實施方式中一種文件安全控制裝置與域內(nèi)域控服務(wù)器交互流程圖。圖3是本發(fā)明一種實施方式中文件加密處理的詳細實現(xiàn)流程圖。圖4是本發(fā)明一種實施方式中文件解密處理的詳細實現(xiàn)流程圖。具體實施方式域控技術(shù)在各種社會組織部署的網(wǎng)絡(luò)中已經(jīng)被廣泛應(yīng)用。本發(fā)明基于域控技術(shù)來提出一種更加高效且安全的文件處理機制來滿足用戶對于信息安全問題上的各種嚴苛要求。在以下描述中將以基于LDAP協(xié)議的AD（activedirectory，活動目錄）域為例進行說明，當然本發(fā)明并不排除其他的實現(xiàn)方式。在一種軟件實施方式中，本發(fā)明提供一種文件安全控制裝置。請參考圖1，該裝置作為一個客戶端程序運行在用戶主機上，用戶主機的基本硬件架構(gòu)包括CPU、內(nèi)存、輸入輸入設(shè)備、非易失性存儲器（例如硬盤）以及其他硬件。該文件安全控制裝置可與域內(nèi)的域控服務(wù)器配合工作。從邏輯上來看，該裝置包括：配置管理單元、加密準備單元、加密執(zhí)行單元、解密準備單元以及解密執(zhí)行單元。該裝置對文件一般的加密處理流程包括以下步驟：步驟10，在發(fā)生已登錄域用戶將主機本地硬盤上的文件向域外復(fù)制事件時，加密準備單元獲取對應(yīng)的密鑰；步驟11，加密執(zhí)行單元使用該加密密鑰對該文件中的明文數(shù)據(jù)進行加密形成密文數(shù)據(jù)，并將與該加密密鑰對應(yīng)的加密標識保存在該已加密文件的明文區(qū)中。該裝置對文件一般的解密處理流程包括以下步驟：步驟20，解密準備單元判斷即將復(fù)制到本地硬盤上的當前文件是否攜帶有加密標識，如果是則根據(jù)該加密文件中加密標識獲取對應(yīng)的解密密鑰；步驟21，解密執(zhí)行單元根據(jù)該解密密鑰對文件中的密文數(shù)據(jù)進行解密形成明文數(shù)據(jù)，并移除保存在該文件明文區(qū)中的加密標識。在本發(fā)明中，正常情況下，處于AD域內(nèi)的主機本地硬盤上的文件通常是以明文形式保存的。在一種簡潔的實施方式中，假設(shè)使用當前主機的用戶登錄到AD域了，加密準備單元檢測到用戶將文件復(fù)制出去時，若此時對端也在本AD域中，那么加密準備單元會允許該復(fù)制操作透明通過，不會將復(fù)制操作引導(dǎo)進入加密流程中。這樣的處理可以允許主機在域內(nèi)的文件復(fù)制以明文方式進行。由于復(fù)制操作過程不涉及加密和解密操作，在文件交流比較頻繁的應(yīng)用場景中，可以極大地降低主機在加密和解密上的資源消耗，節(jié)約時間，并可以顯著提升用戶體驗和用戶的工作效率。但是此時如果復(fù)制操作的對端在域外，比如是一個移動硬盤，此時加密準備單元會將復(fù)制操作掛起，先對當前文件執(zhí)行加密處理，加密處理完成后再允許復(fù)制操作繼續(xù)。這樣一來，由于離開AD域的文件通常都進行了加密處理，因此即便文件因為誤操作或者惡意操作而流傳出AD域，也不會產(chǎn)生嚴重的信息安全隱患。如前所述，當域內(nèi)計算機上的文件通過復(fù)制操作離開主機本地硬盤時該文件會被加密，當這些被加密的文件再通過復(fù)制操作回到域內(nèi)計算機時，為了繼續(xù)方便該文件的使用，可以利用加密標識來獲取解密密鑰對其進行解密。加密標識存放在明文區(qū)，明文區(qū)可以是文件頭部，也可以是從數(shù)據(jù)區(qū)擴展出來的擴展區(qū)。文件明文區(qū)的加密標識可以形象地理解為一個密鑰本的索引。在解密過程中，通過該索引可以在密鑰本中獲取對應(yīng)的解密密鑰，然后使用該解密密鑰對文件中的密文數(shù)據(jù)進行解密獲得明文數(shù)據(jù)。由于加密標識與密鑰的對應(yīng)關(guān)系通常存放在域內(nèi)的主機或者服務(wù)器上，因此當文件離開AD域之后，由于域外缺乏這樣的對應(yīng)關(guān)系，因而無法實現(xiàn)文件的解密，如此可確保文件的安全性。以下結(jié)合圖2、圖3以及圖4，以一個接近實際應(yīng)用的示例來繼續(xù)描述該裝置在主機上電運行后執(zhí)行的各種處理流程。在本發(fā)明優(yōu)選的方式中，客戶端程序（指代上述文件安全控制裝置）在主機上電之后，其可以與域控服務(wù)器交互獲取后續(xù)所需運用的一些參數(shù)。一個典型的流程如下：步驟101，配置管理單元在客戶端程序啟動后從指定的域控服務(wù)器上獲取例外安全策略并加以保存；步驟102，配置管理單元判斷使用主機的當前用戶是否已經(jīng)登錄到域上，如果是則根據(jù)該用戶SID從域控服務(wù)器上對應(yīng)獲取密鑰生成要素總集；如果否，則結(jié)束；在優(yōu)選的方式中，本發(fā)明引入了安全例外策略，其主要是為了給后續(xù)文件加密過程提供更為靈活的處理選擇，當然其并不是必須的一種實現(xiàn)。另外，從獲取方式上來說，其也可以通過靜態(tài)配置的方式加以保存。而密鑰生成要素總集也并非必須從域控服務(wù)器上獲取，其可以手工靜態(tài)配置，比如說一個企業(yè)中大部分計算機都分別是由一個唯一用戶使用的話，動態(tài)獲取各種密鑰生成要素并不是必須的手段。本發(fā)明所說的密鑰生成要素可以覆蓋多種可能的要素，比如說域控服務(wù)器的GUID（GloballyUniqueIdentifier）、用戶GUID、主機名稱、用戶Email地址，甚至可能是主機MAC地址以及CPU序列號這些硬件標識。這些標識均可以作為密鑰生成要素的一種加以利用。在本發(fā)明中，密鑰生成要素分為兩種，一種是與用戶有關(guān)聯(lián)的密鑰生成要素，另一種則是與用戶無關(guān)的密鑰生成要素。比如用戶Email地址則是與用戶有關(guān)聯(lián)的，不同用戶的Email地址通常并不相同，當然如果一個企業(yè)內(nèi)部有大量Email地址共用的情況，則可以放棄使用用戶Email地址。再比如說，域控服務(wù)器的GUID則是與用戶無關(guān)的密鑰生成要素，對于多個不同用戶來說，其域控服務(wù)器的GUID通常是相同的。域控服務(wù)器上可以保存這些密鑰生成要素，當用戶需要獲取這些要素時，域控服務(wù)器可以根據(jù)該用戶安全標識（SecurityIdentifier,SID，也可稱為“用戶域標識”）來獲取對應(yīng)的各種密鑰生成要素然后發(fā)送給用戶加以保存，SID是用戶在域內(nèi)的唯一標識，在一個AD域內(nèi)，不同用戶的SID是互不相同的。在安全例外策略以及密鑰生成要數(shù)準備完成后，客戶端程序就可以開始對后續(xù)復(fù)制操作進行安全控制了。需要說明的是，本發(fā)明所說的復(fù)制操作是一個廣義的概念，其可以是簡單地從本地硬盤將文件復(fù)制到USB移動硬盤上，也可能文件共享操作，也可能是FTP上傳等操作。到底哪種復(fù)制操作需要進行安全控制，取決于開發(fā)者對復(fù)制操作的定義，定義越廣泛則安全控制就會更加嚴格。以下描述本實施方式中的加密處理流程。步驟201，在發(fā)生文件復(fù)制到非當前主機的本地磁盤事件時，加密準備單元先判斷使用當前主機的用戶是否已經(jīng)登錄到AD域，如果是則轉(zhuǎn)步驟202，否則轉(zhuǎn)步驟205；步驟202，加密準備單元判斷該用戶是否符合預(yù)設(shè)的例外安全策略，如果是，則允許復(fù)制操作透明通過；否則轉(zhuǎn)步驟203；步驟203，加密準備單元繼續(xù)判斷復(fù)制操作的對端是否在本AD域內(nèi)，如果是，允許復(fù)制操作透明通過；如果否則轉(zhuǎn)步驟204；步驟204，加密準備單元根據(jù)從密鑰生成要素總集中選擇至少一個密鑰生成要素來生成一個密鑰生成要素子集，轉(zhuǎn)步驟207；步驟205，加密準備單元判斷該當前主機是否符合預(yù)設(shè)的例外安全策略，如果是，則允許復(fù)制操作透明通過；否則轉(zhuǎn)步驟206；步驟206，加密準備單元禁止本次復(fù)制操作；或選定一個預(yù)設(shè)的密鑰生成要素子集，然后轉(zhuǎn)步驟207處理；步驟207，加密準備單元根據(jù)預(yù)定密鑰算法使用密鑰生成要素子集生成加密密鑰，轉(zhuǎn)步驟208處理；步驟208，加密執(zhí)行單元獲取下一個待復(fù)制的文件；步驟209，加密執(zhí)行單元對該文件中的數(shù)據(jù)進行加密，并在該文件的明文區(qū)中添加加密標識；然后允許加密后的文件繼續(xù)復(fù)制操作；步驟210，加密執(zhí)行單元判斷當前文件是否為本次復(fù)制操作的最后一個文件，如果是則結(jié)束，否則返回步驟208繼續(xù)選擇下一個文件。在步驟201至步驟210的處理過程中，其大致的流程可以概括如下：先判斷一次復(fù)制操作是否允許其透明通過，對于不允許透明通過的復(fù)制操作，則需要加密處理甚至禁止復(fù)制。而對于加密過程而言，也可以進行區(qū)分，如果使用當前主機的用戶已經(jīng)登錄域，則可以采用一種與用戶身份有關(guān)聯(lián)的加密密鑰；如果使用當前主機的用戶沒有登錄到域，則該用戶在AD域上沒有身份，因此需要采用一種與用戶身份無關(guān)的加密密鑰。如果一個用戶沒有登錄到AD域，此時用戶將文件從本地硬盤復(fù)制出去，這種行為可能會產(chǎn)生一定的信息安全隱患。此時一般的處理機制分為兩種可選的方式，一種是直接禁止該復(fù)制操作，這種方式可以將安全隱患直接消除，但是靈活性稍差，畢竟這種情況下用戶復(fù)制操作仍然有可能是合規(guī)的，盡管這樣的可能性通常比較低。另一種處理方式是根據(jù)預(yù)設(shè)的密鑰生成要素子集來生成一個密鑰，對文件加密之后允許文件的復(fù)制操作繼續(xù)。這種方式相對來說比較均衡，文件經(jīng)過加密之后信息安全性得到了大幅度提高，而允許復(fù)制操作通過則可以提高靈活性，避免影響工作效率的問題。值得注意的是，這個時候由于用戶沒有登錄域，也就是說對于客戶端程序而言，用戶是沒有域身份的，此時就無法選擇與用戶身份相關(guān)的密鑰生成要素。在優(yōu)選的方式中，可以使用域控服務(wù)器GUID或其他與用戶沒有關(guān)聯(lián)的密鑰生成要素來確定出密鑰生成要素子集。為了進一步提高客戶端程序的靈活性，比如說有一些特殊計算機需要經(jīng)常與外部交流非加密文件。此時管理者可以針對這些特殊需求的主機做一些例外的安全策略，對于用戶沒有登錄域的情況，此時加密準備單元會判斷當前主機是否符合例外安全策略，比如說其IP地址或MAC地址是否在一個白名單內(nèi)，如果是，則允許復(fù)制操作透明通過，而無需進行后續(xù)的加密處理過程。如果不在白名單內(nèi)，則意味著不符合例外安全策略，則仍然要繼續(xù)后續(xù)一般的加密處理過程。如果一個用戶已經(jīng)登錄到AD域，若加密準備單元判斷其本次復(fù)制操作的對端也是在本AD域內(nèi)，則無需關(guān)注文件的信息安全問題，因為文件尚未離開AD域內(nèi)，為了提高用戶的工作效率和使用體驗，加密準備單元會允許復(fù)制操作透明通過，免去后續(xù)消耗資源和時間的加密和解密過程。但是如果此時用戶復(fù)制操作的對端是在域外，意味著文件的信息安全很可能存在隱患，此時加密處理仍然需要進行。判斷對端在域內(nèi)還是域外，可以有很多方式來實現(xiàn)，比如說向域控服務(wù)器查詢對端的主機名，再比如說將該對端主機名加上AD域，嘗試與該加上后綴的主機名建立連接，如果能夠互通則說明對端在域內(nèi)，否則在域外；當然如果對端不是一個主機，比如是一個U盤，則顯然不是在域內(nèi)。當然這些判斷方式有很多種，甚至可能會深入到IP地址等層面去判斷；但如何判斷并不是本發(fā)明關(guān)注的重點；本領(lǐng)域普通技術(shù)人員可參考各種現(xiàn)有的協(xié)議規(guī)范加以實現(xiàn)。然而在進行加密處理之前，同樣可以先考慮例外安全策略。在用戶已經(jīng)登錄域的情況下，仍然可能有少數(shù)用戶可能因?qū)嶋H工作中各種復(fù)雜原因而需要直接采用明文的方式將文件復(fù)制到域外。此時，管理者同樣可以在域控服務(wù)器上配置針對用戶的例外安全策略，通過步驟101下發(fā)到主機上。此時加密準備單元可以優(yōu)先判斷該用戶是否符合例外安全策略，比如用戶SID是否在預(yù)設(shè)白名單內(nèi)，如果在則可以允許復(fù)制操作通過，免去后續(xù)的加密處理。通常大部分用戶并不會在白名單內(nèi)，也就是說并不符合例外安全策略，因此大部分情況下會繼續(xù)后續(xù)加密處理。以上描述了從當前主機本地硬盤將文件復(fù)制出去時的整體處理機制?，F(xiàn)在繼續(xù)描述加密過程中密鑰生成以及數(shù)據(jù)加密過程。在本發(fā)明優(yōu)選的方式中，對于一個已經(jīng)用戶登錄到AD域的情況，加密準備單元在確定密鑰生成要素子集的時候可以從密鑰生成要素總集中選擇一個或者多個密鑰生成要素，相應(yīng)地，由于選擇的密鑰生成要素可能與用戶有關(guān)聯(lián)，加密執(zhí)行單元在此時需要同樣將用戶的域標識（比如用戶的SID）添加到加密文件的明文區(qū)中某個指定的位置上。對于一個尚未登錄域的用戶而言，此時加密準備單元通常只能從與用戶無關(guān)的密鑰生成要素（通常已預(yù)先保存在本地）中選擇一個或者多個來生成密鑰生成要素子集。在確定了密鑰生成要素子集中的一個或多個密鑰生成要素之后，加密準備單元可以采用預(yù)定的密鑰生成算法（比如典型的哈希算法）使用該子集中的密鑰生成要素來生成加密密鑰，與用戶登錄到AD域情況不同的是，這種情況下明文區(qū)中可以不用攜帶用戶的域標識了，通常攜帶加密標識即可。請參考表1，假設(shè)采用對稱密鑰的方式，其中加密標識主要是用來表明密鑰是參考哪個密鑰生成要素子集計算出來的。由于解密方通常也擁有與表1相同的表項結(jié)構(gòu)，因此，其可以通過加密標識查表確定使用哪些密鑰生成要素來計算出解密密鑰。表1在加密密鑰生成之后，可以使用該密鑰對文件數(shù)據(jù)區(qū)中的數(shù)據(jù)進行加密，這樣域外的人員即便非法獲取到該文件，其通常也沒有辦法獲取其中的數(shù)據(jù)。然而，對于被加密的文件，后續(xù)有可能會再次被復(fù)制回到AD域中，此時就需要解密。舉例來說，假設(shè)一個企業(yè)某分支機構(gòu)通過VPN方式接入到總部，由于分支機構(gòu)人員較少，其VPN專線帶寬可能較低，比如2Mbps這樣的帶寬。分支機構(gòu)的用戶1希望總部的用戶2給其傳送大量文件，這些文件的大小可能多達幾十GB，此時雖然用戶1和用戶2都已經(jīng)登錄到AD域，但是由于帶寬太小的這種客觀條件的限制。如果按照正常的方式在AD域內(nèi)采用FTP等方式進行復(fù)制，這樣的復(fù)制過程雖然不涉及加密解密過程，但復(fù)制的時間非常長，若中途遇到VPN鏈路不穩(wěn)定，或者遭遇VPN鏈路上其他數(shù)據(jù)流量的沖擊，很可能會的導(dǎo)致復(fù)制操作中斷。若采用傳統(tǒng)方式，用戶1和用戶2通常會采用內(nèi)部安全審批的方式來請求刻錄光盤，然而在文件量非常大的情況下，整個審批流程會非常漫長，影響工作效率。在本發(fā)明中，用戶2可以采用光盤刻錄或者復(fù)制到移動硬盤的方式，現(xiàn)將文件轉(zhuǎn)移到可移動存儲介質(zhì)上，然后通過物流快遞的方式發(fā)往分支機構(gòu)。用戶2將文件復(fù)制到移動存儲介質(zhì)上的時候，顯然這些文件會被加密，信息安全問題得到了有效控制，內(nèi)部通常就無需繁復(fù)的審批流程。而分支機構(gòu)的用戶1收到之后可以快速地通過客戶端程序快速解密或者明文形式的文件；可大大提升工作效率。值得注意的是：在上述實施方式中，加密準備單元可以始終使用相同的密鑰生成要素子集來生成加密密鑰。但是在一些安全性要求較高的場景中，對于登錄域用戶的復(fù)制操作，如果涉及到加密處理，也就是在步驟204或步驟206中，在對下一個文件進行加密時加密準備單元可以按照一些預(yù)設(shè)的動態(tài)規(guī)則來確定密鑰生成要素子集，也就是說密鑰生成要素子集將不是一個靜態(tài)的子集，可能會發(fā)生變化。舉例而言，假設(shè)預(yù)設(shè)的動態(tài)規(guī)則是一個隨機規(guī)則，那么每次密鑰生成要素子集包括哪些密鑰生成要素是不確定的，每對一個文件進行加密就會重新選擇密鑰生成要素子集，動態(tài)地生成加密密鑰。比如說，上一次使用用戶GUID與用戶Email地址組成的子集，本次僅僅使用用戶Email作為子集，再比如說，上次使用的是域控服務(wù)器GUID作為子集，本次使用的是域控服務(wù)器GUID以及域控服務(wù)器的MAC的組合作為子集。這樣一來每個文件加密密鑰都可能是不同的，破解加密文件的難度會極大幅度地提高。以下繼續(xù)介紹本實施方式中解密處理過程。步驟301，在發(fā)生文件復(fù)制到本地硬盤事件時，解密準備單元先判斷文件是否從域外復(fù)制到域內(nèi)，如果不是，則允許復(fù)制操作透明通過；如果是則可能需要對文件進行解密，轉(zhuǎn)步驟302處理；步驟302，解密準備單元獲取下一個文件，然后通過文件明文區(qū)中是否包括加密標識來判斷該文件是否為加密文件，如果不是則允許針對該文件的復(fù)制操作透明通過，轉(zhuǎn)步驟303；如果是，則轉(zhuǎn)步驟304；步驟303，解密準備單元判斷該文件是否為本次復(fù)制操作的最后一個文件，如果是則結(jié)束，否則返回步驟302；步驟304，解密準備單元從加密文件的明文區(qū)中獲取加密標識以及用戶SID；步驟305，解密準備單元判斷用戶SID是否已經(jīng)緩存，如果已經(jīng)緩存則轉(zhuǎn)步驟309，如果沒有緩存則根據(jù)用戶SID從域控服務(wù)器獲取與用戶SID對應(yīng)的密鑰生成要素總集，并緩存該用戶SID以及對應(yīng)的密鑰生成要素總集；轉(zhuǎn)步驟306；步驟306，解密準備單元根據(jù)加密標識從與該用戶SID對應(yīng)的密鑰生成要素總集中確定密鑰生成要素子集；步驟307，解密準備單元根據(jù)預(yù)設(shè)密鑰生成算法使用密鑰生成要素子集生成解密密鑰，轉(zhuǎn)步驟308；步驟308，解密準備單元繼續(xù)判斷加密標識是否已經(jīng)緩存，如果是，則獲取緩存中與該加密標識對應(yīng)的解密密鑰，轉(zhuǎn)步驟309；否則轉(zhuǎn)步驟306；步驟309，解密執(zhí)行單元使用解密密鑰對文件中的加密數(shù)據(jù)進行解密，并移除其中的用戶SID以及加密標識；然后允許復(fù)制操作繼續(xù)進行?？蛻舳顺绦蛟诎l(fā)現(xiàn)一個文件復(fù)制到本地硬盤時，首先其解密準備單元需要判斷本次操作是否可能會涉及到解密操作。從復(fù)制操作的兩端來看，如果復(fù)制兩端都在域內(nèi)，也就是說兩端主機的用戶都登錄到AD域了，那么來自對端的文件定然是未經(jīng)過加密的，此時解密準備單元可以確定本次復(fù)制操作的所有文件都是明文文件，無需解密處理，復(fù)制操作將會被允許透明通過。同樣的道理，如果本端的用戶沒有登錄域，此時可能無法對部分文件進行解密，因為有些文件的解密過程會需要與域控服務(wù)器交互，既然如此，此時解密準備單元可以無需關(guān)注這些文件是否為加密文件，因為文件復(fù)制進入本地磁盤通常不會引發(fā)信息安全問題，此時允許其透明通過即可。在本端已經(jīng)登錄到AD域，而復(fù)制的對端（也就是復(fù)制操作的源端）并沒有登錄到AD域時，比如復(fù)制對端是一個可移動存儲介質(zhì)，此時通常會涉及到解密問題。來自對端的文件可能是加密文件也可能是明文文件，甚至可能是加密文件與明文文件的組成的多個文件的組合，解密準備單元可以通過文件的明文區(qū)中是否攜帶加密標識來確定。加密標識通常會存放在一個事先約定好的字段上，如果這個字段為空或者數(shù)值非法，說明是一個明文文件，此時允許該文件的復(fù)制操作透明通過。如果此時該文件不是最后一個文件，則繼續(xù)選擇下一個文件，否則結(jié)束。如果下一個文件是加密文件，則需要對文件進行解密。解密分為兩種情況，一種情況是加密文件的明文區(qū)僅僅攜帶了加密標識，這說明該文件的加密密鑰是采用預(yù)設(shè)的密鑰生成要素子集生成的，而這些預(yù)設(shè)的密鑰生成要素通常與加密該文件的用戶無關(guān)，此時根據(jù)加密標識可以確定這些密鑰生成要素子集，然后用密鑰生成算法生成解密密鑰，繼而就可以由解密執(zhí)行單元將文件解密了。另一種情況是，加密文件的明文區(qū)不僅攜帶有加密標識，同時還攜帶了用戶SID（通常也是存放在指定的字段中）。這說明之前加密過程中使用了與用戶有關(guān)聯(lián)的密鑰生成要素，即生成加密密鑰的密鑰生成要素子集中至少包括了一個與用戶有關(guān)聯(lián)的密鑰生成要素。此時解密準備單元可以先根據(jù)用戶SID從域控服務(wù)器獲取該用戶的密鑰生成要素總集，然后根據(jù)加密標識與密鑰生成要素子集之間的對應(yīng)關(guān)系從該用戶的密鑰生成要素總集中確定出當前加密文件的密鑰生成要素子集。請參考表1，假設(shè)加密標識為4，用戶2在解密來自用戶1的加密文件時，首先要從域控服務(wù)器獲取密鑰生成要素總集，然后選擇其中用戶1的GUID以及用戶1的Email地址作為密鑰生成要素子集。接下來根據(jù)密鑰生成算法使用密鑰生成要素子集生成解密密鑰。如果加密過程中未使用與用戶有關(guān)聯(lián)的密鑰生成要素，則不涉及用戶SID。為了提高解密過程的效率，在解密過程中，如果涉及用戶SID，則可以將用戶SID和其對應(yīng)的密鑰生成要素總集緩存起來，在解密下一個文件時，如果用戶SID已存在于緩存中，則可以從緩存中獲取到對應(yīng)的密鑰生成要素總集，而無需從域控服務(wù)器上再次獲取對應(yīng)的密鑰生成要素總集。同樣的道理，在第一次處理一個加密標識的時候會生成對應(yīng)的密鑰，此時可以將加密標識和對應(yīng)的密鑰可以緩存起來。在解密下一個文件的時候，如果加密標識已經(jīng)存在，則可以從緩存中獲取到對應(yīng)的解密密鑰，而無需重新計算解密密鑰。值得注意的是，假設(shè)加密端在處理過程中如果使用動態(tài)密鑰的方式，則加密標識與對應(yīng)的解密密鑰緩存可能意義較小，尤其是加密標識有很多種變化的時候，每次加密標識可能都是不一樣的。此外，考慮到一次復(fù)制操作過程中，多個加密文件可能是多個不同用戶加密形成的，此時加密標識的緩存需要緩存在對應(yīng)的用戶SID下，因為不同用戶在加密文件中使用相同的加密標識時，這些相同的加密標識對應(yīng)的解密密鑰是不相同的。加密標識只是表明密鑰生成要素子集中有哪些密鑰生成要素。然而這些密鑰生成要素可能是與用戶有關(guān)聯(lián)的，比如說子集是用戶Email地址，顯然大部分情況下，不同用戶Email地址互不相同，因此生成的解密密鑰也不會相同。以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)。