一種數據阻隔與特權控制的方法及系統的制作方法
【專利摘要】本發明涉及一種數據阻隔與特權控制方法及系統,由數據阻隔與特權控制的管理平臺進行規則管理,并在客戶端上實現的方法為:1)以用戶和/或用戶組為單位對待阻隔數據進行阻隔,并通過加密和阻隔標識后得到阻隔數據;2)識別阻隔數據的阻隔標識,對帶有阻隔標識的阻隔數據進行用戶訪問控制;3)在用戶訪問阻隔數據時,根據設定的特權訪問范圍識別當前用戶是否屬于特權用戶或特權組;4)根據特權用戶和/或特權組對阻隔數據進行訪問或訪問阻隔。本發明阻隔是自動、實時的在后臺完成的,不需要用戶手動參與,不需要經過二次轉化,保持了原數據的所有格式和屬性,不會因格式丟失而給用戶的使用帶來困擾。
【專利說明】一種數據阻隔與特權控制的方法及系統
【技術領域】
[0001]本發明涉及企業內部數據的阻隔,以及對阻隔數據的特權訪問控制,屬于信息安全領域。
【背景技術】
[0002]隨著信息化的深入,電子文檔已成為企業關鍵資產的主要載體。對這些電子化的數據進行安全保護,這一觀點已經在企業中達成共識。一般情況下,企業會選擇數據防泄密的安全軟件,對數據進行安全保護。利用數據防泄密的方式保護數據,主要的防護重點是防止數據泄漏到企業外部,但對于企業內部不同用戶或不同部門的數據的使用,無法進行快速、準確的管理和控制。
[0003]目前,對企業內部的數據的控制,具有如下不足:1)只控制數據不泄漏到企業外部,數據在企業內部無任何限制,越權訪問的問題無法遏制;2)對企業內部的數據控制,由個人進行約束,比如用戶本人主動控制數據不被企業內部其他人訪問。此方式受用戶本人的安全意識的制約,不能防止用戶本人有意或無意的交叉泄密;3)對企業內部的數據控制,采取不同用戶具有不同的密鑰的方式,密鑰需要由管理者指定。通過一用戶一密鑰的方式,使用戶之間無法互相解密,以達到防止越權訪問的目的。此方式需要管理者參與密鑰的管理,當用戶規模較大時,大量密鑰將引起管理上的困難;4)對企業內部的數據進行阻隔,需要借助于數據二次轉化,將數據轉為特定的格式或特定的數據包。這種方式增加了流程,而且數據轉化會帶來使用上的不方便,甚至造成數據格式或屬性的丟失;5)對于一些特殊用戶需要使用阻隔數據的場景,缺少特權控制的支持,或者在給特殊用戶使用阻隔數據時需要數據轉化或用戶參與密鑰置換,進一步增加系統整體的冗繁程度。
【發明內容】
[0004]針對當前企業內部數據阻隔和特權控制,本發明公開一種敏捷的數據阻隔與特權控制的方法。利用本發明提供的方法和功能,可實現企業內部強制、自動、實時的數據阻隔,并可設置特權用戶,在權限可控的前提下對阻隔數據進行訪問。
[0005]本發明的技術方案為一種數據阻隔與特權控制方法,其步驟包括:
[0006]I)以用戶和/或用戶組為單位對待阻隔數據進行阻隔,并通過加密和阻隔標識后得到阻隔數據;
[0007]2)識別所述阻隔數據的阻隔標識,對帶有阻隔標識的阻隔數據進行用戶訪問控制;
[0008]3)在用戶訪問所述的阻隔數據時,根據設定的特權訪問范圍識別當前訪問的用戶屬于特權用戶或特權組;
[0009]4)根據所述特權用戶和/或特權組對阻隔數據進行訪問或訪問阻隔。
[0010]更進一步,若以用戶為單位進行阻隔,則阻隔不同用戶間對對方數據的互相訪問;若以用戶組為單位進行阻隔,則允許在同一組的不同用戶對對方數據的互相訪問,若處于不同組的用戶,則阻隔訪問對方的數據。
[0011]更進一步,所述阻隔標識包括:當前用戶唯一標識、阻隔類別、防偽密鑰以及阻隔標識校驗值,所述阻隔類別是標識當前數據是以用戶為單位的阻隔或者以用戶組為單位阻隔;所述防偽密鑰由隨機數和當前用戶唯一標識、當前用戶所屬用戶組、阻隔類別的哈希值組成;所述阻隔標識校驗值由當前用戶唯一標識、當前用戶所屬用戶組唯一標識、阻隔類別和防偽密鑰的哈希值組成。
[0012]更進一步,以用戶為單位對阻隔數據進行訪問控制的方法如下:
[0013]I)啟動應用軟件打開阻隔數據后檢查阻隔標識校驗值;
[0014]2)所述阻隔標識校驗值檢查通過后繼續獲取數據的防偽密鑰;
[0015]3)利用所述防偽密鑰解密當前數據中的用戶標識、用戶所屬用戶組標識以及阻隔類別;
[0016]4)檢查數據中的用戶標識是否與當前訪問數據的用戶標識一致;
[0017]5)數據中的用戶標識與當前訪問數據的用戶標識一致,則解密數據的具體內容,當前用戶可使用阻隔數據;數據中的用戶標識與當前訪問數據的用戶標識不一致,則檢查當前用戶是否對阻隔數據具有特權訪問的權限。
[0018]更進一步,以用戶組為單位對阻隔數據進行訪問控制的方法如下:
[0019]I)啟動應用軟件打開阻隔數據后檢查阻隔標識校驗值;
[0020]2)所述阻隔標識校驗值檢查通過后繼續獲取數據的防偽密鑰;
[0021]3)利用所述防偽密鑰解密當前數據中的用戶標識、用戶所屬用戶組標識以及阻隔類別;
[0022]4)檢查數據中的用戶標識是否與當前訪問數據的用戶標識一致;
[0023]5)若用戶標識與當前訪問數據的用戶標識一致,則解密數據的具體內容當前用戶可使用阻隔數據;
[0024]6)若數據中的用戶標識與當前訪問數據的用戶標識不一致,則繼續檢查當前用戶是否與數據中的用戶處于同一組,如果處于同一組則解密數據原內容,當前用戶可使用阻隔數據;
[0025]7)若當前用戶與數據中的用戶不屬于同一組,檢查當前用戶是否對阻隔數據具有特權訪問的權限。
[0026]更進一步,根據設定的特權訪問范圍對所述阻隔數據進行用戶特權權限控制的方法如下:
[0027]I)特權用戶啟用應用軟件打開阻隔數據,獲得當前特權用戶對阻隔數據的使用權限,包括特權有效的時間段,對數據是否可以修改,是否可以打印;
[0028]2)識別特權用戶對數據的特權生效時間,打開在有效時間段內的阻隔數據;
[0029]3)所述特權用戶對已經打開的阻隔數據進行修改并保存,保存后識別保存動作檢查特權用戶的權限是否可以修改此數據;
[0030]4)所述特權用戶具有修改數據的權限,則保存在本地的阻隔數據更新;
[0031]5)所述特權用戶打印數據,含虛擬打印和/或物理打印;
[0032]6)對打印動作進行識別,檢查特權用戶的權限是否可以打印此數據。
[0033]更進一步,檢查當前用戶是否對阻隔數據具有特權訪問的權限包括:指定用戶對指定用戶的特權權限,指定用戶對指定組的特權權限,指定組對指定用戶的特權權限以及指定組對指定組的特權權限。
[0034]更進一步,對所述阻隔數據設置特權用戶,授權可使用阻隔數據的特權用戶或特權組,授予特權后當前的特權用戶或特權組,對已授權的用戶或用戶組的阻隔數據具有訪問權限;所述特權用戶或特權組對已授權的對象所產生的阻隔數據具有使用權限,所述特權用戶或特權組對未授權的對象所產生的阻隔數據無使用權限。
[0035]更進一步,所述阻隔數據保持原數據的格式,對所述阻隔數據的特權識別對象為原阻隔數據,不對原阻隔數據進行二次轉化。
[0036]本發明還提出一種數據阻隔與特權控制系統,其特征在于,包括:數據阻隔與特權控制的管理平臺和客戶端,所述數據阻隔與特權控制的管理平臺由數據阻隔管理單元組成,所述客戶端由數據阻隔識別單元、阻隔訪問控制單元、特權權限識別單元、特權訪問控制單元組成;
[0037]所述數據阻隔管理單元,用于可指定數據阻隔規則和特權控制規則;
[0038]所述數據阻隔識別單元,根據數據阻隔的規則識別需要進行阻隔的數據,并進行阻隔標識;以用戶和/或用戶組為單位對待阻隔數據進行阻隔,并通過加密和阻隔標識后得到阻隔數據;
[0039]所述阻隔訪問控制單元,對阻隔數據的訪問進行控制,防止非法訪問;解密所述阻隔數據,并對帶有所述阻隔標識的阻隔數據進行用戶訪問控制;
[0040]所述特權權限識別單元,識別特權用戶以及特權用戶的權限,識別特權組以及特權組的權限。在用戶訪問阻隔數據時,根據設定的特權訪問范圍識別當前用戶是否屬于特權用戶或特權組,以便對所述阻隔數據進行用戶特權權限控制;
[0041]所述特權訪問控制單元,根據特權控制規則控制阻隔數據的特權訪問,并按照特權控制規則所允許的權限進行訪問控制;根據所述特權用戶和/或特權組對阻隔數據進行訪問或訪問阻隔。
[0042]通過上述描述可見,本發明可實現如下效果:
[0043]在數據阻隔與特權控制客戶端(簡稱客戶端)中,用戶通過應用軟件使用涉密數據或創建涉密數據時,客戶端自動、實時的完成數據的阻隔。阻隔數據保持原數據的所有格式和屬性。阻隔數據的訪問,受制于數據阻隔規則和特權控制規則,
[0044]具體控制如下:
[0045]對于以用戶為單位的阻隔,當前用戶所產生的阻隔數據,其他非特權用戶無法使用。如果特權控制規則設置某用戶具有訪問當前用戶阻隔數據的特權(即特權用戶),則特權用戶可以使用當前用戶的阻隔數據,但使用權限受特權控制規則所限制的具體權限的約束。首先當前用戶有特權使用阻隔的數據,這是前提。可以使用的前提下,如果具體的特權權限是不允許修改,那么特權用戶只能看阻隔數據,不能修改。
[0046]對于以組為單位的阻隔,當前用戶所產生的阻隔數據,可以由同組內其他用戶使用,但其他組的非特權用戶無法使用。通過這些安全措施,企業的內部數據可以獲得細致的阻隔保護,在阻隔保護的同時,對于一些特殊用戶,可賦予其特權,在受限的條件下使用阻隔數據。
[0047]和現有技術相比,本發明的優勢在于:[0048]本發明通過阻隔規則和特權規則對數據進行內部的訪問控制。數據阻隔不需要管理者參與密鑰的管理或置換,不增加企業的管理成本和復雜度。本發明所涉及的密鑰,是由系統動態、智能生成并使用的。阻隔是自動、實時的在后臺完成的,不需要用戶手動參與,不需要經過二次轉化,保持了原數據的所有格式和屬性,不會因格式丟失而給用戶的使用帶來困擾。同時,對于一些特殊用戶,支持特權控制規則的配置。特權用戶可以直接訪問阻隔數據,不需要對阻隔數據做任何特殊處理。特權用戶在使用阻隔數據時,受到具體的訪問權限的控制。本發明在數據阻隔方面實現敏捷化,方便企業管理者對企業整體的安全體系的控制,也方便終端用戶的使用。所提供的特權控制,能夠靈活的讓特權用戶具備使用阻隔數據的權限,且權限的控制達到細粒度。
【專利附圖】
【附圖說明】
[0049]圖1是本發明數據阻隔與特權控制系統的一實施例中的組成單元示意圖;
[0050]圖2是本發明數據阻隔與特權控制方法的一實施例中文檔阻隔流程示意圖;
[0051]圖3是本發明數據阻隔與特權控制方法的一實施例中文檔阻隔結構圖;
[0052]圖4是本發明數據阻隔與特權控制方法的一實施例中用戶阻隔規則下文檔訪問控制流程圖;
[0053]圖5是本發明數據阻隔與特權控制方法的一實施例中組阻隔規則下文檔訪問控制流程圖;
[0054]圖6是本發明數據阻隔與特權控制方法的一實施例中特權權限控制流程圖。【具體實施方式】
[0055]下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,可以理解的是,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。
[0056]本發明不需要管理員參與密鑰的管理或置換,密鑰的生成、使用都是由系統動態、智能的執行。管理者只需要配置規則對內部數據進行控制,即通過數據阻隔規則對數據進行阻隔,通過特權控制規則對特殊的訪問進行控制,是一種快速、實時的敏捷地數據阻隔和特權控制。同時,對于特權,本發明可以進行權限的細粒度控制,包括可修改控制、是否可打印以及特權生效的時間。通過敏捷的數據阻隔與特權控制,在不增加企業管理成本和管理復雜度的前提下,實現企業內部數據的阻隔與控制,滿足企業對防越權訪問、防交叉泄密的要求。本發明具有普遍的適應性,既適應于傳統PC下的數據阻隔與特權控制,也尤其適應于虛擬化環境(比如Citrix,VMWare都有虛擬化應用,虛擬化桌面的產品)下不同用戶的數據阻隔。
[0057]如圖1是本發明數據阻隔與特權控制系統的一實施例中組成單元示意圖,包括:
[0058]數據阻隔識別單元,根據數據阻隔的規則,識別需要進行阻隔的數據,并進行阻隔標識。
[0059]阻隔訪問控制單元,對阻隔數據的訪問進行控制,防止非法訪問。
[0060]特權權限識別單元,識別特權用戶以及特權用戶的權限。[0061]特權訪問控制單元,根據特權控制規則控制阻隔數據的特權訪問,并按照特權控制規則所允許的權限進行訪問控制。
[0062]本發明提供了一種敏捷的數據阻隔與特權控制的系統,還包括:
[0063]數據阻隔與特權控制的管理平臺上的數據阻隔管理單元,管理員可指定數據阻隔的規則,管理員指定特權控制的規則。
[0064]數據阻隔管理單元,用于配置一系列規則。具體規則包括以用戶或用戶組為單位進行數據的阻隔和以用戶或用戶組為單位的特權范圍的限定。在不同用戶或用戶組之間的數據進行阻隔,數據需要阻隔,會帶上阻隔標識。使用數據時,阻隔識別單元對這類數據,會先讀數據的阻隔標識,根據標識與當前的用戶做比較,識別當前用戶是否可以訪問。阻隔后當前用戶或用戶組只能訪問自己或同組的數據,其他用戶或組的數據無法訪問。處于特權范圍的用戶,則對已授權用戶的數據具有訪問權限,具體特權用戶的權限包括是否可修改,是否可以打印以及特權有效時間。
[0065]數據阻隔識別單元,對阻隔數據進行識別。識別對象為原數據,即不需要事先手動對原數據進行二次轉換,阻隔數據將保持原數據的格式及其他所有屬性特征。
[0066]數據阻隔識別單元,完成原數據的加密和阻隔標識。對原數據加密所用的密鑰,由當前用戶唯一標識與隨機數進行哈希值計算獲得,是動態、智能生成的。對數據的阻隔標識,是通過阻隔規則自動、強制設置的,阻隔后的數據,將帶有特定的阻隔標識,包括實施阻隔的用戶范圍及其他安全標識。
[0067]阻隔訪問控制單元,是對帶有阻隔標識的數據進行訪問控制。如果阻隔規則是以用戶為單位,則不同用戶間不能互相訪問對方的數據;如果阻隔規則是以用戶組為單位,則處于同一組的不同用戶,可以互相訪問對方的數據,處于不同組的用戶,不可訪問對方的數據。
[0068]特權權限識別單元,是對阻隔數據進行訪問并且對是否具有特權進行識別。對阻隔數據的特權識別,其識別對象為原阻隔數據,即不需要對原阻隔數據進行二次轉化,不需要對阻隔數據再制作特定的數據包,而是通過特權控制規則直接識別對原阻隔數據的特權權限。特權權限識別單元識別的特權范圍包括:指定用戶對指定用戶的特權權限,指定用戶對指定組的特權權限,指定組對指定用戶的特權權限以及指定組對指定組的特權權限。
[0069]在特權訪問控制單元中如果給指定用戶賦予特權控制規則,該用戶被稱為特權用戶。如果給指定組賦予特權控制規則,該組被稱為特權組。特權用戶或特權組可以對已授權的阻隔數據進行訪問。數據阻隔以后,用戶可以設置特權用戶,授權可使用阻隔數據的特權用戶或特權組。特權訪問控制單元可對阻隔數據進行特殊控制。對于以用戶或組為單位的阻隔規則下,不同用戶間,不同組間的數據,按照阻隔規則是不可互相訪問的。授予特權后,當前的特權用戶或特權組,就對已授權的對象(用戶或組)的阻隔數據,具有訪問權限。具體的訪問可進行細粒度的控制,包括是否可修改、打印以及具有特權的時間段。
[0070]本發明提供了基于上述數據阻隔與特權控制的工作方法,工作方法如下:
[0071]管理員通過數據阻隔與特權控制管理平臺,設置數據阻隔規則;
[0072]終端用戶在數據阻隔與特權控制客戶端(簡稱客戶端)中,通過應用軟件創建數據,或者訪問已存在的數據,將數據自動阻隔;
[0073]如果終端用戶將阻隔后的數據傳給數據阻隔規則之外的用戶,數據接收者無法使用數據;
[0074]如果終端用戶將阻隔后的數據傳給數據阻隔規則之內的用戶,數據接收者可以使用數據;
[0075]管理員通過數據阻隔與特權控制管理平臺,設置特權控制規則。如果沒有阻隔,任何人之間都可以隨便使用對方的數據,也就不需要再配置特權了 ;
[0076]特權用戶或特權組對已授權的對象所產生的阻隔數據具有使用權限。特權用戶或特權組在使用阻隔數據時,具體的權限受到授權時所指定的權限的約束。特權用戶或特權組對未授權的對象所產生的阻隔數據,無使用權限。
[0077]數據阻隔規則是以用戶或用戶組為單位進行規則制定的,且數據阻隔規則與密鑰管理及密鑰置換無關。特權控制規則是以用戶或用戶組為單位進行規則的制定,且特權控制規則與密鑰管理及密鑰置換無關。
[0078]數據的阻隔由客戶端根據阻隔規則自動執行。阻隔后的數據保持原數據的格式,同時帶有阻隔特征和標識。執行阻隔的行為過程在后臺自動、強制、實時的完成。
[0079]客戶端根據阻隔規則,控制用戶對數據的使用。客戶端在控制阻隔數據的使用時,是通過阻隔標識、當前用戶標識、當前用戶所屬用戶組以及阻隔規則等綜合因素進行判定的。客戶端根據特權控制規則,控制當前用戶對數據的使用。客戶端在控制阻隔數據的使用時,是通過阻隔標識、當前用戶標識、當前用戶所屬用戶組、特權所約束的使用權限等綜合因素進行判定的。
[0080]以下結合附圖對步驟進行詳細的說明。
[0081]將數據阻隔與特權控制的管理平臺和客戶端,分別安裝在不同的計算機中,下面詳細說明數據阻隔與特權控制的工作方法。
[0082]第一,設置數據阻隔規則
[0083]管理員登錄管理平臺,設置數據阻隔規則。數據阻隔規則包括阻隔的范圍,分為以用戶為單位的阻隔和以用戶組為單位的阻隔。
[0084]管理員登錄管理平臺,設置特權控制規則。特權控制規則包括兩個要素:特權擁有者及實施特權的目標。
[0085]第二,識別數據阻隔
[0086]如圖2所示是本發明數據阻隔與特權控制方法的一實施例中文檔阻隔流程示意圖;
[0087]在本實施例中以文檔為例,對本發明的技術方案進行詳細的說明。本領域技術人員清楚地明白本發明請求保護的方案并不以此為限制。終端用戶在客戶端中,通過應用軟件訪問涉密文檔或者新建涉密文檔,客戶端根據所設置的數據阻隔規則,對當前文檔進行實時的阻隔標識,主要包括以下步驟:
[0088]步驟201,終端用戶啟動應用軟件,使用涉密文檔。
[0089]步驟202,客戶端識別數據阻隔規則,判斷是否需要對當前文檔執行阻隔。
[0090]步驟203,客戶端自動對數據進行阻隔標識。
[0091]如圖3所示是本發明數據阻隔與特權控制方法的一實施例中文檔阻隔結構圖。
[0092]阻隔標識由四部分組成,當前用戶唯一標識,當前用戶所屬用戶組的唯一標識,阻隔類別,防偽密鑰和文檔標識校驗值。其中,阻隔類別是標識當前文檔是以用戶為單位的阻隔還是以組為單位的阻隔。由隨機數(R)和當前用戶唯一標識、當前用戶所屬用戶組、阻隔類別的哈希值作為防偽密鑰(K)。利用防偽密鑰對當前用戶唯一標識、當前用戶所屬用戶組、阻隔類別進行加密。當前用戶唯一標識、當前用戶所屬用戶組唯一標識、阻隔類別和防偽密鑰的哈希值,作為文檔標識校驗值。文檔原文由當前用戶標識與隨機數(R)的哈希值作為密鑰進行加密。
[0093]步驟204,終端用戶使用涉密文件結束,關閉涉密文檔。
[0094]步驟205,在用戶本地所存儲的涉密文檔,已經是阻隔文檔。
[0095]第三,用戶阻隔規則下阻隔數據的訪問控制
[0096]如圖4所示是本發明數據阻隔與特權控制方法的一實施例中用戶阻隔規則下文檔訪問控制流程圖。
[0097]用戶在客戶端中,啟動應用軟件,打開阻隔文檔。客戶端根據用戶阻隔規則和特權控制規則,判斷當前用戶是否可以使用文檔。主要包括以下步驟:
[0098]步驟401,在客戶端中,用戶啟動應用軟件,打開阻隔文檔。
[0099]步驟402,客戶端自動檢查文檔標識校驗值。
[0100]步驟403,文檔標識校驗值檢查失敗,不允許打開阻隔文檔,退出應用程序。
[0101]步驟404,文檔標識校驗值檢查通過,客戶端繼續獲取文檔的防偽密鑰。
[0102]步驟405,利用防偽密鑰,解密當前文檔中的用戶標識,用戶所屬用戶組標識,阻隔類別。
[0103]步驟406,客戶端檢查文檔中的用戶標識是否與當前訪問文檔的用戶標識一致。
[0104]步驟407,文檔中的用戶標識與當前訪問文檔的用戶標識一致,則解密文檔的具體內容,當前用戶可使用阻隔文檔。
[0105]步驟408,文檔中的用戶標識與當前訪問文檔的用戶標識不一致,則客戶端自動檢查當前用戶是否對阻隔文檔具有特權訪問的權限。當前用戶具有對阻隔文檔的(訪問或者使用)特權,則執行步驟407,用戶可打開文檔。否則,執行步驟403,不允許打開阻隔文檔,退出應用程序。
[0106]第四,組阻隔規則下阻隔數據的訪問控制
[0107]如圖5所示是本發明數據阻隔與特權控制方法的一實施例中組阻隔規則下文檔訪問控制流程圖。
[0108]用戶在客戶端中,啟動應用軟件,打開阻隔文檔。客戶端根據組阻隔規則和特權控制規則,判斷當前用戶是否可以使用文檔。主要包括以下步驟:
[0109]步驟501,在客戶端中,用戶啟動應用軟件,打開阻隔文檔。
[0110]步驟502,客戶端自動檢查文檔標識校驗值。
[0111]步驟503,文檔標識校驗值檢查失敗,不允許打開阻隔文檔,退出應用程序。
[0112]步驟504,文檔標識校驗值檢查通過,客戶端繼續獲取文檔的防偽密鑰。
[0113]步驟505,利用防偽密鑰,解密當前文檔中的用戶標識,用戶所屬用戶組標識,阻隔類別。
[0114]步驟506,客戶端檢查文檔中的用戶標識是否與當前訪問文檔的用戶標識一致。
[0115]步驟507,文檔中的用戶標識與當前訪問文檔的用戶標識一致,則解密文檔的具體內容,當前用戶可使用阻隔文檔。[0116]步驟508,文檔中的用戶標識與當前訪問文檔的用戶標識不一致,則客戶端繼續檢查當前用戶是否與文檔中的用戶處于同一組。如果處于同一組,則執行步驟507,解密文檔原內容,當前用戶可使用阻隔文檔。
[0117]步驟509,當前用戶與文檔中的用戶不屬于同一組,則客戶端自動檢查當前用戶是否對阻隔文檔具有特權訪問的權限。當前用戶具有對阻隔文檔的特權,則執行步驟507,用戶可打開文檔。否則,執行步驟503,不允許打開阻隔文檔,退出應用程序。
[0118]第五,特權用戶訪問阻隔數據的權限控制
[0119]如圖6所示是本發明數據阻隔與特權控制方法的一實施例中特權權限控制流程圖。
[0120]特權用戶在使用阻隔文檔時,具體的使用權限受所設置的特權控制規則的約束。具體步驟如下:
[0121]步驟601,在客戶端中,特權用戶啟用應用軟件,打開阻隔文檔。
[0122]步驟602,客戶端自動獲得當前特權用戶對阻隔文檔的使用權限,主要包括特權有效的時間段,對文檔是否可以修改,是否可以打印。
[0123]步驟603,客戶端獲取特權用戶的使用權限失敗,則不能成功打開阻隔文檔。
[0124]步驟604,客戶端繼續識別特權用戶對文檔的特權生效時間,如果不在有效時間段內,則禁止打開阻隔文檔。
[0125]步驟605,特權用戶對已經打開的阻隔文檔進行修改,并保存。
[0126]步驟606,客戶端識別保存動作,檢查特權用戶的權限是否可以修改此文檔。
[0127]步驟607,特權用戶無權限修改,則此次保存失敗,而且不能另存。
[0128]步驟608,特權用戶可以修改文檔,則此次保存成功,本地的阻隔文檔更新。
[0129]步驟609,特權用戶打印文檔,含虛擬打印和物理打印兩種打印方式。
[0130]步驟610,客戶端識別打印動作,檢查特權用戶的權限是否可以打印此文檔。
[0131]步驟611,特權用戶無權限打印,則此次打印失敗。
[0132]步驟612,特權用戶有權限打印,則打印成功。
[0133]本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和范圍。這樣,倘若本發明的這些修改和變型屬于本發明權利要求及其同等技術的范圍之內,則本發明也意圖包含這些改動和變型在內。
【權利要求】
1.一種數據阻隔與特權控制方法,其步驟包括: 1)以用戶和/或用戶組為單位對待阻隔數據進行阻隔,并通過加密和阻隔標識后得到阻隔數據; 2)識別所述阻隔數據的阻隔標識,對帶有阻隔標識的阻隔數據進行用戶訪問控制; 3)在用戶訪問所述的阻隔數據時,根據設定的特權訪問范圍識別當前訪問的用戶屬于特權用戶或特權組; 4)根據所述特權用戶和/或特權組對阻隔數據進行訪問或訪問阻隔。
2.如權利要求1所述的數據阻隔與特權控制方法,其特征在于,若以用戶為單位進行阻隔,則阻隔不同用戶間對對方數據的互相訪問;若以用戶組為單位進行阻隔,則允許在同一組的不同用戶對對方數據的互相訪問,若處于不同組的用戶,則阻隔訪問對方的數據。
3.如權利要求1所述的數據阻隔與特權控制方法,其特征在于,所述阻隔標識包括:當前用戶唯一標識、阻隔類別、防偽密鑰以及阻隔標識校驗值,所述阻隔類別是標識當前數據是以用戶為單位的阻隔或者以用戶組為單位阻隔;所述防偽密鑰由隨機數和當前用戶唯一標識、當前用戶所屬用戶組、阻隔類別的哈希值組成;所述阻隔標識校驗值由當前用戶唯一標識、當前用戶所屬用戶組唯一標識、阻隔類別和防偽密鑰的哈希值組成。
4.如權利要求1所述的數據阻隔與特權控制方法,其特征在于,以用戶為單位對阻隔數據進行訪問控制的方法如下: O啟動應用軟件打開阻隔數據后檢查阻隔標識校驗值; 2)所述阻隔標識校驗值檢查通過后繼續獲取數據的防偽密鑰; 3)利用所述防偽密鑰解密當前數據中的用戶標識、用戶所屬用戶組標識以及阻隔類別; 4)檢查數據中的用戶標識是否與當前訪問數據的用戶標識一致; 5)數據中的用戶標識與當前訪問數據的用戶標識一致,則解密數據的具體內容,當前用戶可使用阻隔數據;數據中的用戶標識與當前訪問數據的用戶標識不一致,則檢查當前用戶是否對阻隔數據具有特權訪問的權限。
5.如權利要求1所述的數據阻隔與特權控制方法,其特征在于,以用戶組為單位對阻隔數據進行訪問控制的方法如下: O啟動應用軟件打開阻隔數據后檢查阻隔標識校驗值; 2)所述阻隔標識校驗值檢查通過后繼續獲取數據的防偽密鑰; 3)利用所述防偽密鑰解密當前數據中的用戶標識、用戶所屬用戶組標識以及阻隔類別; 4)檢查數據中的用戶標識是否與當前訪問數據的用戶標識一致; 5)若用戶標識與當前訪問數據的用戶標識一致,則解密數據的具體內容當前用戶可使用阻隔數據; 6)若數據中的用戶標識與當前訪問數據的用戶標識不一致,則繼續檢查當前用戶是否與數據中的用戶處于同一組,如果處于同一組則解密數據原內容,當前用戶可使用阻隔數據; 7)若當前用戶與數據中的用戶不屬于同一組,檢查當前用戶是否對阻隔數據具有特權訪問的權限。
6.如權利要求1所述的數據阻隔與特權控制方法,其特征在于,根據設定的特權訪問范圍對所述阻隔數據進行用戶特權權限控制的方法如下: 1)特權用戶啟用應用軟件打開阻隔數據,獲得當前特權用戶對阻隔數據的使用權限,包括特權有效的時間段,對數據是否可以修改,是否可以打印; 2)識別特權用戶對數據的特權生效時間,打開在有效時間段內的阻隔數據; 3)所述特權用戶對已經打開的阻隔數據進行修改并保存,保存后識別保存動作檢查特權用戶的權限是否可以修改此數據; 4)所述特權用戶具有修改數據的權限,則保存在本地的阻隔數據更新; 5)所述特權用戶打印數據,含虛擬打印和/或物理打印; 6)對打印動作進行識別,檢查特權用戶的權限是否可以打印此數據。
7.如權利要求4或5任意一項所述的數據阻隔與特權控制方法,其特征在于,檢查當前用戶是否對阻隔數據具有特權訪問的權限包括:指定用戶對指定用戶的特權權限,指定用戶對指定組的特權權限,指定組對指定用戶的特權權限以及指定組對指定組的特權權限。
8.如權利要求4或5任意一項所述的數據阻隔與特權控制方法,其特征在于,對所述阻隔數據設置特權用戶,授權可使用阻隔數據的特權用戶或特權組,授予特權后當前的特權用戶或特權組,對已授權的用戶或用戶組的阻隔數據具有訪問權限;所述特權用戶或特權組對已授權的對象所產生的阻隔數據具有使用權限,所述特權用戶或特權組對未授權的對象所產生的阻隔數據無使用權限。
9.如權利要求4或5任意一 項所述的數據阻隔與特權控制方法,其特征在于,所述阻隔數據保持原數據的格式,對所述阻隔數據的特權識別對象為原阻隔數據,不對原阻隔數據進行二次轉化。
10.一種數據阻隔與特權控制系統,其特征在于,包括:數據阻隔與特權控制的管理平臺和客戶端,所述數據阻隔與特權控制的管理平臺由數據阻隔管理單元組成,所述客戶端由數據阻隔識別單元、阻隔訪問控制單元、特權權限識別單元、特權訪問控制單元組成; 所述數據阻隔管理單元,用于可指定數據阻隔規則和特權控制規則; 所述數據阻隔識別單元,根據數據阻隔的規則識別需要進行阻隔的數據,并進行阻隔標識;以用戶和/或用戶組為單位對待阻隔數據進行阻隔,并通過加密和阻隔標識后得到阻隔數據; 所述阻隔訪問控制單元,對阻隔數據的訪問進行控制,防止非法訪問;解密所述阻隔數據,并對帶有所述阻隔標識的阻隔數據進行用戶訪問控制; 所述特權權限識別單元,識別特權用戶以及特權用戶的權限,識別特權組以及特權組的權限,在用戶訪問阻隔數據時,根據設定的特權訪問范圍識別當前用戶是否屬于特權用戶或特權組,對所述阻隔數據進行用戶特權權限控制; 所述特權訪問控制單元,根據特權控制規則控制阻隔數據的特權訪問,并按照特權控制規則所允許的權限進行訪問控制;根據所述特權用戶和/或特權組對阻隔數據進行訪問或訪問阻隔。
【文檔編號】H04L29/06GK103546474SQ201310517179
【公開日】2014年1月29日 申請日期:2013年10月28日 優先權日:2013年10月28日
【發明者】王文宇, 苑海彬, 劉玉紅, 吳生東 申請人:中國軟件與技術服務股份有限公司