网络文档权限控制方法、装置及系统与流程

本发明涉及权限控制领域，具体而言，涉及一种网络文档权限控制方法、装置及系统。

背景技术：
随着互联网技术的不断发展，B/S架构的Web应用程序因其易于开发部署、易于访问、易于使用、维护简便等优点而成为众多企业应用的首选。通过浏览器，用户可以轻松访问Web应用中的各类电子数据和电子文档，并可导出下载到本地计算机上。然而Web应用中的一些电子文档涉及企业重要经营信息和知识产权，如：企业战略规划、市场营销策划、财务报表、经营分析、合同文书、工程建设文档、设计图纸等，一旦被非法使用或窃取就会造成信息泄漏，给企业带来不可挽回的损失。因此亟需加强对Web应用系统中电子文档的使用防护。对于Web应用系统中的电子文档，目前通常的保护措施是在身份认证的基础上，设置访问控制列表（即ACL）进行文档在线访问控制，使得非法用户无法访问受保护电子文档的URL地址。现有技术的具体实现方案主要包括两类：（1）在Web应用系统中设置ACL，并在Web应用系统的业务逻辑中根据当前用户的身份和ACL，判断用户是否有对指定URL地址的访问权限；（2）在Web应用系统前加装访问控制网关，在网关中设置ACL，由网关根据当前用户的身份和ACL，判断用户是否有对指定URL地址的访问权限。上述访问控制机制可以防止非法人员直接访问Web应用系统中的重要电子文档，而电子文档一旦被合法用户下载保存到本地计算机，则明文方式的电子文档在使用上将不再受控，用户可以任意发送给内部或外部不相关人员，同时也无法进行追踪审计。因此，Web应用系统中下载的文档缺少应有的保护措施，使用风险不可控，极易造成有意或无意的信息泄漏。针对现有技术中Web应用系统中下载文档缺少保护措施，无法控制下载文档的使用风险，从而导致信息泄漏的问题，目前尚未提出有效的解决方案。

技术实现要素：
针对相关技术中Web应用系统中下载文档缺少保护措施，无法控制下载文档的使用风险，从而导致信息泄漏的问题，目前尚未提出有效的解决方案，为此，本发明的主要目的在于提供一种网络文档权限控制方法、装置及系统，以解决上述问题。为了实现上述目的，根据本发明的一个方面，提供了一种网络文档权限控制方法，该方法包括：接收终端的文档下载请求；获取与文档下载请求相对应的代理IP地址；将与文档下载请求对应的网络数据包转存至代理IP地址对应的代理空间；在代理空间对网络数据包进行加密处理，得到加密数据包；根据终端的登录信息为终端用户授予操作权限；将加密数据包下载至终端；根据操作权限控制终端用户对加密数据包的操作。进一步地，对网络数据包进行加密处理，得到加密数据包的步骤包括：检测文档下载请求是否为指定下载请求；在文档下载请求为指定下载请求的情况下，检测网络数据包是否为指定数据；在网络数据包为指定数据的情况下，获取终端的终端IP地址；通过终端IP地址检测终端上的用户是否已经登录；在用户已经登录的情况下，对网络数据包进行加密处理，得到加密数据包。进一步地，获取与文档下载请求相对应的代理IP地址的步骤包括：解析网络数据包，以获取网络数据包的目的IP地址；将目的IP地址修改为代理IP地址。进一步地，根据终端的登录信息为终端用户授予操作权限的步骤包括：在用户已经登录的情况下，根据预设的权限策略对该终端用户授予操作权限；在加密数据包中添加密文文档标识。进一步地，根据操作权限控制终端用户对加密数据包的操作的步骤包括：获取操作加密数据包的操作请求；根据操作请求获取密文文档标识和从代理空间中获取权限列表，其中，权限列表中保存有操作权限；使用密文文档标识在权限列表中查询操作权限；控制终端用户在操作权限的范围内对加密数据包操作。进一步地，检测网络数据包是否为指定数据的步骤包括：检测文档下载请求的响应头中是否包含默认文件名；在响应头中包含默认文件名的情况下，从默认文件名的值中解析出文件名的值；检测文件名的值中是否包含指定的文档后缀名；在文件名的值中包含指定的文档后缀名的情况下，确定网络数据包为指定数据；在文件名的值中不包含指定的文档后缀名的情况下，确定网络数据包不是指定数据。为了实现上述目的，根据本发明的另一方面，提供了一种网络文档权限控制装置，该装置包括：接收模块，用于接收终端的文档下载请求；地址转换模块，用于获取与文档下载请求相对应的代理IP地址；转存模块，用于将与文档下载请求对应的网络数据包转存至代理IP地址对应的代理空间；加密模块，用于在代理空间对网络数据包进行加密处理，得到加密数据包；授权模块，用于根据终端的登录信息为终端用户授予操作权限；发送模块，用于将加密数据包下载至终端；控制模块，用于根据操作权限控制终端用户对加密数据包的操作。进一步地，加密模块包括：第一检测模块，用于检测文档下载请求是否为指定下载请求；第二检测模块，用于在文档下载请求为指定下载请求的情况下，检测网络数据包是否为指定数据；第一获取模块，用于在网络数据包为指定数据的情况下，获取终端的终端IP地址；第三检测模块，用于通过终端IP地址检测终端上的用户是否已经登录；加密子模块，用于在用户已经登录的情况下，对网络数据包进行加密处理，得到加密数据包。进一步地，授权模块包括：授权子模块，用于在用户已经登录的情况下，根据预设的权限策略对该终端用户授予操作权限；添加模块，用于在加密数据包中添加密文文档标识。为了实现上述目的，根据本发明的另一方面，提供了一种网络文档权限控制系统，该系统包括：文档安全网关，桥接在交换机与Web应用系统服务器之间，用于在接收终端的文档下载请求之后，获取与文档下载请求相对应的代理IP地址，并将与文档下载请求对应的网络数据包转存至代理IP地址对应的代理空间，同时根据终端的登录信息为终端用户授予操作权限，然后在代理空间对网络数据包进行加密处理，得到加密数据包；文档安全客户端，安装在每个用户终端的计算机上，用于将加密数据包下载至终端，并根据操作权限控制终端用户对加密数据包的操作。通过本发明，采用本发明，在接收终端的文档下载请求之后，获取与文档下载请求相对应的代理IP地址，完成对用户访问的网络目的地址转换（DNAT），并强制进行Web应用访问代理和过滤，自动对目标地址的网络数据包进行加密，并根据终端用户的登录信息为终端用户授予操作权限，在将加密的数据包发送至用户的终端之后，根据操作权限控制终端用户操作加密数据包。解决了现有技术中Web应用系统中下载文档缺少保护措施，无法控制下载文档的使用风险，从而导致信息泄漏的问题，实现了对下载的网络数据包的权限控制。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图1是根据本发明实施例的网络文档权限控制装置的结构示意图；图2是根据本发明实施例的网络文档权限控制系统的结构图；图3是根据图2所示实施例的网络文档权限控制系统的框架图；图4是根据本发明实施例的网络文档权限控制方法的流程图；图5是根据图4所示实施例的网络文档权限控制方法的流程图；以及图6是根据图5所示实施例的网络文档权限控制方法的流程图。具体实施方式需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。图1是根据本发明实施例的网络文档权限控制装置的结构示意图。如图1所示，该装置包括：接收模块10，用于接收终端的文档下载请求；地址转换模块30，用于获取与文档下载请求相对应的代理IP地址；转存模块50，用于将与文档下载请求对应的网络数据包转存至代理IP地址对应的代理空间；加密模块70，用于在代理空间对网络数据包进行加密处理，得到加密数据包；授权模块90，用于根据终端的登录信息为终端用户授予操作权限；发送模块110，用于将加密数据包下载至终端；控制模块130，用于根据操作权限控制终端用户对加密数据包的操作。采用本发明，在通过接收模块接收终端的文档下载请求之后，地址转换模块获取与文档下载请求相对应的代理IP地址，完成对用户访问的网络目的地址转换（DNAT）强制进行Web应用访问代理和过滤，加密模块自动对目标地址的网络数据包进行加密，在授权模块根据终端的登录信息为终端用户授予操作权限之后，通过发送模块将加密数据包下载至终端，并使用控制模块根据操作权限控制终端用户对加密数据包的操作。解决了现有技术中Web应用系统中下载文档缺少保护措施，无法控制下载文档的使用风险，从而导致信息泄漏的问题，实现了对下载的网络数据包的权限控制。根据本发明的上述实施例，加密模块包括：第一检测模块，用于检测文档下载请求是否为指定下载请求；第二检测模块，用于在文档下载请求为指定下载请求的情况下，检测网络数据包是否为指定数据；第一获取模块，用于在网络数据包为指定数据的情况下，获取终端的终端IP地址；第三检测模块，用于通过终端IP地址检测终端上的用户是否已经登录；加密子模块，用于在用户已经登录的情况下，对网络数据包进行加密处理，得到加密数据包。根据本发明的上述实施例，地址转换模块可以包括：解析模块，用于解析网络数据包，以获取网络数据包的目的IP地址；修改模块，用于将目的IP地址修改为代理IP地址。在本发明的上述实施例中，授权模块还可以包括授权子模块，用于在用户已经登录的情况下，根据预设的权限策略对该终端用户授予操作权限；添加模块，用于在加密数据包中密文文档标识。根据本发明的上述实施例，控制模块可以包括：第二获取模块，用于获取操作加密数据包的操作请求；第三获取模块，用于根据操作请求获取密文文档标识和从代理空间中获取权限列表，其中，所述权限列表中保存有所述操作权限；查询模块，用于使用密文文档标识在权限列表中查询操作权限；控制子模块，用于控制终端用户在操作权限的范围内对加密数据包操作。根据本发明的上述实施例，第二检测模块包括：第一子检测模块，用于检测文档下载请求的响应头中是否包含默认文件名；解析子模块，用于在响应头中包含默认文件名的情况下，从默认文件名的值中解析出文件名的值；第二子检测模块，用于检测文件名的值中是否包含指定的文档后缀名；第一处理子模块，用于在文件名的值中包含指定的文档后缀名的情况下，确定网络数据包为指定数据；第二处理子模块，用于在文件名的值中不包含指定的文档后缀名的情况下，确定网络数据包不是指定数据。本发明还提供了一种网络文档权限控制系统，该系统包括：文档安全网关，桥接在交换机与Web应用系统服务器之间，用于在接收终端的文档下载请求之后，获取与文档下载请求相对应的代理IP地址，并将与文档下载请求对应的网络数据包转存至代理IP地址对应的代理空间，同时根据终端的登录信息为终端用户授予操作权限，然后在代理空间对网络数据包进行加密处理，得到加密数据包；文档安全客户端，安装在每个用户终端的计算机上，用于将加密数据包下载至终端，并根据操作权限控制终端用户对加密数据包的操作。如图2和图3所示的网络文档权限控制系统，该系统可以包括：文档安全网关和文档安全客户端。其中，文档安全客户端安装在每个用户终端的计算机上，为下载到本地计算机上的密文电子文档使用提供用户登录认证、文档透明加解密、文档密钥和权限查询、文档操作权限控制和操作日志记录上传功能；文档安全网关桥接在交换机与Web应用系统服务器之间，实现对Web应用中下载的电子文档的自动加密和授权。该系统主要功能模块可以包括：目的地址转换（DNAT）服务模块（即地址转换模块）：用于将文档下载请求对应的网络数据包的解析和目的IP地址转换，从而将用户访问Web应用系统的网络数据包转发至文档安全网关中的Web应用访问代理服务；Web应用访问代理/访问过滤服务模块（即转存模块）：用于将用户的Web应用系统访问请求（即代理IP地址对应的请求）代理转发至Web应用系统服务器，并对HTTP请求和响应进行过滤，根据策略检测用户是否正在请求下载需要保护的电子文档；文档数据流加密/授权服务模块（即加密模块和授权模块）：用于对用户请求下载的文档数据流（即网络数据包）进行加密，并对当前用户（即上述实施例中的终端用户）进行文档操作授权（即授予操作权限）；登录检测与身份认证服务模块：用于检测终端的文档安全客户端是否登录，以及对文档安全客户端登录身份的认证和客户端主机信息的记录（即上述的登录信息）；文档权限查询服务模块（即控制模块）：用于文档安全客户端查询用户文档的操作权限列表；操作日志接收存储与审计服务模块：用于接收从文档安全客户端上传的终端用户的文档操作日志并存储，提供审计服务。文档安全客户端上包括登录认证模块，用户通过该模块登录文档安全客户端；密钥和权限查询模块，即上述实施例中的第三获取模块；文档透明加解密模块，用于过滤驱动透明打开加密数据包；文档权限控制模块，即上述实施例中的控制子模块；以及文档操作日志记录与上传模块，用于上传终端用户的文档操作日志并存储，以供操作日志接收存储于审计服务模块对操作日志进行审计处理。更具体地，如图3所示，在需要对下载文档进行保护的Web应用服务器（设定IP：10.3.43.100）和交换机之间以网桥模式串联文档安全网关（设定网桥的IP：10.3.43.200）；在各用户主机上安装文档安全客户端。Web应用系统可以通过调用文档安全网关的文档发布、文档授权、文档加密等接口，实现对下载文档内容的加密保护和操作授权，并由文档安全客户端配合实现密文文档的使用权限控制和日志记录。通过本发明的上述系统在无需开发改造的情况下，通过网络数据包的目的地址转换、Web应用代理和过滤、基于终端IP地址的用户身份识别、文档的发布和授权、文档数据流的分组对称加密等一系列技术处理流程，实现了下载文档的内容自动加密保护和操作授权；通过文档安全客户端与文档安全网关的联动，实现了Web应用系统中下载保存到用户本地计算机的重要文档的权限控制和操作审计。图4是根据本发明实施例的路由器的选路方法的流程图，如图4所示该方法包括如下步骤：步骤S102，接收终端的文档下载请求。步骤S104，获取与文档下载请求相对应的代理IP地址。步骤S106，将与文档下载请求对应的网络数据包转存至代理IP地址对应的代理空间。步骤S108，在代理空间对网络数据包进行加密处理，得到加密数据包。步骤S110，根据终端的登录信息为终端用户授予操作权限。步骤S112，将加密数据包下载至终端。步骤S114，根据操作权限控制终端用户对加密数据包的操作。采用本发明，在接收终端的文档下载请求之后，获取与文档下载请求相对应的代理IP地址，完成对用户访问的网络目的地址转换（DNAT）强制进行Web应用访问代理和过滤，自动对目标地址的网络数据包进行加密，在授权模块根据终端的登录信息为终端用户授予操作权限之后，通过发送模块将加密数据包下载至终端，并使用控制模块根据操作权限控制终端用户对加密数据包的操作。解决了现有技术中Web应用系统中下载文档缺少保护措施，无法控制下载文档的使用风险，从而导致信息泄漏的问题，实现了对下载的网络数据包的权限控制。根据本发明的上述实施例，对网络数据包进行加密处理，得到加密数据包的步骤可以包括：检测文档下载请求是否为指定下载请求；在文档下载请求为指定下载请求的情况下，检测网络数据包是否为指定数据；在网络数据包为指定数据的情况下，获取终端的终端IP地址；通过终端IP地址检测终端上的用户是否已经登录；在用户已经登录的情况下，对网络数据包进行加密处理，得到加密数据包。根据本发明的上述实施例，获取与文档下载请求相对应的代理IP地址的步骤包括：解析网络数据包，以获取网络数据包的目的IP地址；将目的IP地址修改为代理IP地址。在本发明的上述实施例中，根据终端的登录信息为终端用户授予操作权限的步骤可以包括：在用户已经登录的情况下，根据预设的权限策略对该终端用户授予操作权限；在加密数据包中添加密文文档标识。根据本发明的上述实施例，根据操作权限控制终端用户对加密数据包的操作的步骤可以包括：获取操作加密数据包的操作请求；根据操作请求获取密文文档标识和从代理空间中获取权限列表，其中，权限列表中保存有操作权限；使用密文文档标识在权限列表中查询操作权限；控制终端用户在操作权限的范围内对加密数据包操作。根据本发明的上述实施例，检测网络数据包是否为指定数据的步骤包括：检测文档下载请求的响应头中是否包含默认文件名；在响应头中包含默认文件名的情况下，从默认文件名的值中解析出文件名的值；检测文件名的值中是否包含指定的文档后缀名；在文件名的值中包含指定的文档后缀名的情况下，确定网络数据包为指定数据；在文件名的值中不包含指定的文档后缀名的情况下，确定网络数据包不是指定数据。如图5所示，本发明的实施例具体可以通过如下步骤实现：S201：登录客户端，具体地，终端用户登录文档安全客户端，由文档安全网关完成身份认证，文档安全网关记录用户及其登录的主机信息，包括：IP地址、MAC地址、主机名等。S202：提交文档下载请求，具体地，用户通过浏览器访问Web应用系统，提交电子文档的下载请求。S203：将文档下载请求中的目标IP地址转换为代理IP地址，具体地，文档安全网关通过地址转换模块解析用户请求的网络数据包，将其目的地址由Web应用系统服务器的目的IP地址修改为文档安全网关的Web应用访问代理服务的代理IP地址，并保存该映射关系，完成网络数据包转发。S204：接收代理IP地址的网络数据包，具体地，文档安全网关的Web应用访问代理服务接收到转发的网络数据包，将HTTP访问请求代理提交至Web应用服务器，并对HTTP请求和响应进行过滤，检测是否是指定类型的文档下载请求和文档数据，如果是，执行步骤S205，如果不是则结束。S205：检测用户是否登录客户端。具体地，文档安全网关根据终端用户的终端IP地址（在该实施例中优选可以为客户端IP地址），通过文档安全网关的登录检测服务，检查终端用户的文档安全客户端是否已登录并返回状态，如果未登录，则拒绝文档下载请求，如果登录执行步骤S206。S206：对网络数据包加密得到加密数据包，并对终端用户授予操作权限且对加密数据包添加密文文档标识。具体地，文档安全网关通过其文档数据流加密/授权服务模块对Web应用服务器返回的文档数据流（即网络数据包）进行加密，对客户端的登录用户（即上述实施例中的终端用于）授予策略指定的操作权限，并在文档结束前添加密文文档标识等信息。S207：下载加密数据包至终端，具体地，加密后的文档数据流由文档安全网关返回浏览器，并由用户保存至本地计算机。S208：用户查阅加密数据包。具体地，用户双击本地的密文文档（即加密数据包），文档安全客户端根据当前登录用户身份和解析的密文文档标识，到文档安全网关查询操作权限，获取并缓存权限列表；检测用户是否有权限查阅网络数据（即加密数据包），如果当前用户对操作的密文文档没有任何权限，则拒绝打开文档，如果有则执行步骤S209。S209：文档安全客户端通过文档透明加解密模块过滤驱动透明打开加密数据包，并通过应用层和驱动层的APIHOOK，按权限列表控制用户对文档的各项操作；其中，文档的透明打开、透明使用、透明加解密：是指文档操作过程中的文档内容加密和解密由程序自动完成，无需用户参与，用户使用习惯不变，对加解密过程无感知。具体地，文档安全网关进行文档授权和文档安全客户端进行密文文档（在该实施例中密文文档即为加密数据包）权限控制时的权限定义（括号内为权限定义码）可以包括：阅读【1】：控制密文文档是否可被打开阅读；复制【2】：控制密文文档内容是否可以通过剪贴板复制/剪切；编辑【3】：控制密文文档内容是否可以编辑后保存/另存；打印【4】：控制密文文档是否可以被打印，包括虚拟打印；水印打印【5】：控制密文文档打印时，是否强制加入水印信息；截屏【6】：控制密文文档是否可以被键盘或软件截屏、屏幕录像；解密【7】：控制是否允许将密文文档解密为明文文档；离线【8】：控制是否允许脱离企业办公环境（如：断网）使用密文文档；外发【9】：控制是否允许将密文文档制作成外发包，发送至企业外部机构、客户、合作伙伴；分发【10】：控制是否允许对密文文档进行二次授权，从而控制文档的传播范围；对以上权限还可以进行高级设置：IP/IP地址段限定、MAC地址绑定、机器码绑定、有效期限定。S210：文档安全客户端随时记录用户对密文文档的操作日志，并实时上传至文档安全网关存储，以用于文档操作审计。上述实施例中的ACL：AccessControlList，即访问控制列表，用户/角色可访问的资源列表。更具体地，文档安全网关完成对用户的Web应用访问网络数据包的目的IP地址转换（DNAT）、Web应用系统的访问代理、HTTP请求/响应过滤、下载文档数据流的自动加密和对当前用户文档操作的自动授权，具体实现流程如图6所示：步骤S301：用户通过浏览器的HTTP方式访问受保护的WEB应用系统。具体地，通过浏览器的HTTP方式发送文档下载请求，在文档安全网关上设置需要保护的Web应用系统服务器IP地址、端口和需要保护的文档格式类型。步骤S302：文档安全网关根据设置将HTTP请求包中的目的IP地址修改为文档安全网关中的Web应用代理服务的IP地址。具体地，根据设置的Web应用系统服务器IP地址和端口，以及文档安全网关的IP地址和端口，文档安全网关通过执行命令完成目的IP地址转换（DNAT）设置，例如：通过上述转换，将访问Web应用系统的网络数据包转发至代理IP地址对应的空间，即文档安全网关的Web应用访问代理/过滤服务（该服务使用网桥IP地址）。Web应用访问代理/过滤服务（基于Apache）通过配置实现对Web应用系统的代理访问，代理配置示例如以下所示：步骤S303：Web应用代理服务接收HTTP请求。步骤S304：检测HTTP请求的URL中是否包含指定的文档后缀名。其中，在有的情况下，执行步骤S305，在没有的情况下执行步骤S306。具体地，在Web应用访问代理/过滤服务的mod_proxy_http模块（即上述实施例中的加密模块）中分别对HTTP请求的URL（即链接地址）和HTTP响应头进行过滤，过滤规则如下：HTTP请求的URL是否以文档安全网关保护的文档格式后缀名结束，如果是，则执行步骤S305：设置need_ene＝1，即，设置需要加密的值等于1，表示需要对该URL请求返回的HTTP包体数据（即网络数据包）进行加密和授权；如果没有执行步骤S306：Web应用代理服务向Web应用系统提交URL请求，并接收HTTP响应。步骤S307：检测HTTP响应头中是否包含Content-Disposition（即默认文件名），如果包含，则执行步骤S308：从Content-Disposition的值中解析出filename（即文件名）的值。如果不包含，则执行步骤S311。步骤S309：判断filename的值是否包含指定的文档名后缀。其中，如果是，则执行步骤S310：设置need_enc=1，表示需要对该HTTP响应的包体数据进行加密和授权；如果不是，则执行步骤S311。步骤S311：判断need_enc==1。即判断需要加密的值是否恒等于1，如果是，则执行步骤S312，如果不是，则执行步骤S319：返回HTTP响应数据包。步骤S312：调用客户端登录检测服务接口，通过终端IP地址检测用户登录状态。步骤S313：检测用户是否已经登录。具体地，如果是执行步骤S314；如果不是执行步骤S318。具体地，Web应用访问代理/过滤服务在need_enc标记为1的情况下，根据HTTP连接信息中的终端IP地址（即remote_ip，客户端主机的IP地址），调用登录检测服务，检查该客户端主机的文档安全客户端用户是否已登录，如果返回的状态为未登录，则拒绝HTTP请求，并返回相应的错误提示页面；登录检测服务接口规范：步骤S314：调用文档加密/授权服务接口，发布文档并对当前用户按策略授权。步骤S315：使用文档发布返回的密钥对HTTP响应的文档数据流，按指定分组进行对称加密。其中，具体地，文档数据流即为网络数据包。步骤S316：返回加密的HTTP响应数据包。也即加密数据包。步骤S317：用户根据浏览器提示，保存返回的密文文档数据（即加密数据包）。步骤S318：拒绝HTTP请求，提示用户先登录文档安全客户端。具体地，如果返回的状态是客户端已登录，则可以得到登录的用户标识，Web应用访问代理/过滤服务调用文档数据流加密/授权服务的接口，对HTTP响应包体的下载文档数据流进行分组对称加密和授权，处理过程如下：i）Web应用访问代理/过滤服务调用接口发布请求下载的文档名称，并传递当前登录用户标识；ii）文档数据流加密/授权服务生成文档唯一标识、文档加密密钥并返回，同时给当前登录用户授予策略指定的操作权限；ii）在Web应用访问代理/过滤服务的mod_proxy模块，循环接收HTTP响应的文档数据流，按指定分组大小对数据流进行加密并返回给客户端，在文档结束前添加包含密文标记和密文文档标识等信息的文档尾并返回给客户端。文档发布授权服务接口规范：客户端浏览器接收到HTTP响应和加密后的文档数据流（即加密数据包），提示用户选择路径保存文档。本发明通过文档安全网关对用户访问Web应用系统的HTTP请求和响应进行代理和过滤，实现了对用户下载的指定类型的文档数据流的内容自动加密和操作授权，而业务系统无需任何开发改造；同时，通过文档安全客户端实现了下载到用户本地计算机的密文文档的透明使用、权限控制、日志审计，在兼顾用户使用习惯的同时，有效防护了敏感文档的数据安全。需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。从以上的描述中，可以看出，本发明实现了如下技术效果：采用本发明，在接收终端的文档下载请求之后，获取与文档下载请求相对应的代理IP地址，完成对用户访问的网络目的地址转换（DNAT）强制进行Web应用访问代理和过滤，自动对目标地址的网络数据包进行加密，将加密的数据包发送至用户的终端。解决了现有技术中Web应用系统中下载文档缺少保护措施，无法控制下载文档的使用风险，从而导致信息泄漏的问题，实现了对下载的网络数据包的权限控制。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。