技术摘要:
本发明提供了一种加密方法,该方法主要包括以下步骤:生成初始可信度列表步骤任一终端加入局域网时,均先进行自检并获得初始可信度值CO,再将所述初始可信度值CO向局域网内广播,同时接收同一所述局域网的其他终端的初始可信度值CO,依据全部可信终端的所述初始可信度 全部
背景技术:
随着信息技术的快速发展,计算机和网络已经成为日常办公、协作互动和通讯交 流的必备工具,但是同时也存在着信息的存储、访问控制及信息系统中的计算机终端及服 务器的访问控制的安全问题,目前,数据泄露的途径主要有如下三种:一、使用泄露:操作失 误导致技术数据泄露或损坏,通过打印、剪切、复制、粘贴、另存为、重命名等操作泄露数据; 二、存储泄露:数据中心、服务器、数据库的数据被随意下载、共享泄露,或者离职人员通过U 盘、CD/DVD、移动硬盘随意拷走机密资料;或者移动笔记本被盗、丢失或维修造成数据泄露; 三、传输泄露:通过email、QQ、MSN等传输机密资料,或者通过网络监听、拦截等方式篡改、伪 造传输数据等;现有的DLP数据泄露防护系统主要是以认证服务器为中心,由中心服务器依 靠策略下发形式几种管控所有终端,每个终端的管控行为,是通过服务器下发不同策略来 体现的,从服务器角度来说就是一对多的,自上而下的,终端之间无法感知彼此的存在,所 有终端间的通讯都是通过与服务器交互间接实现的,此种系统存在以下问题:(1)加密文件 所承载的信息有限,除了包含基本加密格式信息和校验信息外,还包含解密和访问权限等 信息,这些信息都是静态的、一次性的,后续其他终端访问的信息都无法即使动态的追加进 来;(2)任何一个加密文件的访问请求认证只涉及到本机和服务器,如果本机认证过程无法 得出结论时,将需要与服务器通讯获得进一步认证;(3)任何一台终端,只要DLP客户端安装 包能够正常运行安装,就能成为合法的DLP数据终端;(4)终端对服务器依赖程度高,进管在 下发了离线策略后,如果超过了配置的离线时间限制,终端将无法继续正常工作,尽管此时 终端的所有操作都是合法的;(5)任何一台终端在首次与服务器认证通过后,就一直被默认 为合法终端。服务器也不会主动查询终端的可信度。如果该终端被配置了较高的权限,包括 超级解密文件;拷贝任意明文文件到可移动设备。如果该终端后期被入侵,后果将不堪设 想;(6)当有加密文件在多台终端被同时被访问时,这些终端将同时向服务器发送认证请 求,必然会导致服务器的响应出现延迟。
技术实现要素:
为了解决以上技术问题,本发明提供了一种加密方法、智能网卡及加密链。 本发明具体技术方案如下: 本发明提供了一种加密方法,该方法主要包括以下步骤: 生成初始可信度列表步骤任一终端加入局域网时,均先进行自检并获得初始可信 度值CO,再将所述初始可信度值CO向局域网内广播,同时接收同一所述局域网的其他终端 的初始可信度值CO,依据全部可信终端的所述初始可信度值CO生成初始可信度列表,所有 可信终端组成一个可信集群; 加密步骤置于可信集群内的加密终端对待加密文件追加可信度列表加密的终端 4 CN 111600886 A 说 明 书 2/5 页 信息、加密时间以及所述终端对应的可信度值。 本发明还提供一种具有文件加密功能的智能网卡,该智能网卡设置在终端上,所 述终端通过所述智能网卡加入局域网,所述智能网卡包括: 生成初始可信度列表模块所述生成初始可信度列表模块被配置为:任一终端加入 局域网时,均先进行自检并获得初始可信度值CO,再将所述初始可信度值CO向局域网内广 播,同时接收同一所述局域网的其他终端的初始可信度值CO,依据全部可信终端的所述初 始可信度值CO生成初始可信度列表,所有可信终端组成一个可信集群; 加密模块所述加密模块被配置为对待加密文件追加可信度列表加密的终端信息、 加密时间以及所述终端对应的可信度值。 本发明还提供了一种由以上智能网卡构成的用于文件加密解密的加密链,若干智 能网卡在同一个局域网内组成去中心化的网络拓扑模型。 本发明提供的方法跟传统DLP(数据防泄漏)技术相比,提高了文件加密的安全性。 附图说明 图1为本公开加密方法的流程图; 图2为本公开加密方法的流程图; 图3为本公开加密方法的流程图; 图4为本公开加密方法的流程图; 图5为本公开智能网卡的结构框图; 图6为本公开智能网卡的结构框图; 图7为本公开智能网卡的结构框图; 图8为本公开智能网卡的结构框图; 图9为本公开智能网卡的结构框图。
本发明提供了一种加密方法,该方法主要包括以下步骤:生成初始可信度列表步骤任一终端加入局域网时,均先进行自检并获得初始可信度值CO,再将所述初始可信度值CO向局域网内广播,同时接收同一所述局域网的其他终端的初始可信度值CO,依据全部可信终端的所述初始可信度 全部
背景技术:
随着信息技术的快速发展,计算机和网络已经成为日常办公、协作互动和通讯交 流的必备工具,但是同时也存在着信息的存储、访问控制及信息系统中的计算机终端及服 务器的访问控制的安全问题,目前,数据泄露的途径主要有如下三种:一、使用泄露:操作失 误导致技术数据泄露或损坏,通过打印、剪切、复制、粘贴、另存为、重命名等操作泄露数据; 二、存储泄露:数据中心、服务器、数据库的数据被随意下载、共享泄露,或者离职人员通过U 盘、CD/DVD、移动硬盘随意拷走机密资料;或者移动笔记本被盗、丢失或维修造成数据泄露; 三、传输泄露:通过email、QQ、MSN等传输机密资料,或者通过网络监听、拦截等方式篡改、伪 造传输数据等;现有的DLP数据泄露防护系统主要是以认证服务器为中心,由中心服务器依 靠策略下发形式几种管控所有终端,每个终端的管控行为,是通过服务器下发不同策略来 体现的,从服务器角度来说就是一对多的,自上而下的,终端之间无法感知彼此的存在,所 有终端间的通讯都是通过与服务器交互间接实现的,此种系统存在以下问题:(1)加密文件 所承载的信息有限,除了包含基本加密格式信息和校验信息外,还包含解密和访问权限等 信息,这些信息都是静态的、一次性的,后续其他终端访问的信息都无法即使动态的追加进 来;(2)任何一个加密文件的访问请求认证只涉及到本机和服务器,如果本机认证过程无法 得出结论时,将需要与服务器通讯获得进一步认证;(3)任何一台终端,只要DLP客户端安装 包能够正常运行安装,就能成为合法的DLP数据终端;(4)终端对服务器依赖程度高,进管在 下发了离线策略后,如果超过了配置的离线时间限制,终端将无法继续正常工作,尽管此时 终端的所有操作都是合法的;(5)任何一台终端在首次与服务器认证通过后,就一直被默认 为合法终端。服务器也不会主动查询终端的可信度。如果该终端被配置了较高的权限,包括 超级解密文件;拷贝任意明文文件到可移动设备。如果该终端后期被入侵,后果将不堪设 想;(6)当有加密文件在多台终端被同时被访问时,这些终端将同时向服务器发送认证请 求,必然会导致服务器的响应出现延迟。
技术实现要素:
为了解决以上技术问题,本发明提供了一种加密方法、智能网卡及加密链。 本发明具体技术方案如下: 本发明提供了一种加密方法,该方法主要包括以下步骤: 生成初始可信度列表步骤任一终端加入局域网时,均先进行自检并获得初始可信 度值CO,再将所述初始可信度值CO向局域网内广播,同时接收同一所述局域网的其他终端 的初始可信度值CO,依据全部可信终端的所述初始可信度值CO生成初始可信度列表,所有 可信终端组成一个可信集群; 加密步骤置于可信集群内的加密终端对待加密文件追加可信度列表加密的终端 4 CN 111600886 A 说 明 书 2/5 页 信息、加密时间以及所述终端对应的可信度值。 本发明还提供一种具有文件加密功能的智能网卡,该智能网卡设置在终端上,所 述终端通过所述智能网卡加入局域网,所述智能网卡包括: 生成初始可信度列表模块所述生成初始可信度列表模块被配置为:任一终端加入 局域网时,均先进行自检并获得初始可信度值CO,再将所述初始可信度值CO向局域网内广 播,同时接收同一所述局域网的其他终端的初始可信度值CO,依据全部可信终端的所述初 始可信度值CO生成初始可信度列表,所有可信终端组成一个可信集群; 加密模块所述加密模块被配置为对待加密文件追加可信度列表加密的终端信息、 加密时间以及所述终端对应的可信度值。 本发明还提供了一种由以上智能网卡构成的用于文件加密解密的加密链,若干智 能网卡在同一个局域网内组成去中心化的网络拓扑模型。 本发明提供的方法跟传统DLP(数据防泄漏)技术相比,提高了文件加密的安全性。 附图说明 图1为本公开加密方法的流程图; 图2为本公开加密方法的流程图; 图3为本公开加密方法的流程图; 图4为本公开加密方法的流程图; 图5为本公开智能网卡的结构框图; 图6为本公开智能网卡的结构框图; 图7为本公开智能网卡的结构框图; 图8为本公开智能网卡的结构框图; 图9为本公开智能网卡的结构框图。
