CN101527637A - 一种虚拟专有组织平台系统及方法 - Google Patents
一种虚拟专有组织平台系统及方法 Download PDFInfo
- Publication number
- CN101527637A CN101527637A CN200910080805A CN200910080805A CN101527637A CN 101527637 A CN101527637 A CN 101527637A CN 200910080805 A CN200910080805 A CN 200910080805A CN 200910080805 A CN200910080805 A CN 200910080805A CN 101527637 A CN101527637 A CN 101527637A
- Authority
- CN
- China
- Prior art keywords
- organization
- proprietary
- virtual
- member terminal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种虚拟专有组织平台系统及方法,该虚拟专用组织(Virtual Proprietary Organization)平台系统由系统服务器、系统管理台、组织管理台和成员终端通过网络连接而成,通过系统管理台、组织管理台证书授权认证管理系统服务器上虚拟专有组织的方法,以及组织管理台统一配置和部署虚拟专有组织成员终端安全策略的方法,在各种网络上灵活地构建N个能够保护组织专属信息(Organization Proprietary Information)访问安全、存储安全和流转安全的虚拟专有组织系统,从技术层面保护虚拟专有组织的电子信息资产。
Description
技术领域
本发明属于网络信息技术领域,具体涉及一种虚拟专有组织平台系统安全组建虚拟专有组织及组织专属信息安全管理的方法。
背景技术
网络经济时代,虚拟组织以其合作、共赢的思想,在技术、资源、成本等方面具有得天独厚的优势和生命力,越来越成为大中小企业以及个人群体实现产品研发、市场拓展、网上办公的新选择。信息是虚拟组织的关键资源,虚拟组织的非实体性、网络的开放性以及组织成员的异地分布性,对组织信息的安全管理就显得特别的重要,包括对组织信息的访问管理、存储管理和流转管理。
《当代经济》2006年第12期公开了文献《面向虚拟组织的知识管理与创新研究》,探讨了虚拟组织与知识管理之间的内在联系,研究面向虚拟组织的企业间的知识创新体系的关键内容和构建过程,旨在丰富虚拟组织和知识管理与创新的理论和方法,缺乏一种切实可行的实现方法。
现有的虚拟组织解决方案通常是基于虚拟专网(VPN)将虚拟组织中的成员信息系统连接起来,达到成员之间信息交换和共享的目的。VPN在互联网上的集成加密、认证和签名功能,为虚拟组织的建设奠定了一个安全可信的秘密通道。而建设VPN需要硬件的投入和网络的部署,不能满足大量中小企业和个人动态组建临时虚拟组织的需求。
中国专利公开号CN1599322提出了一种实现企业共用虚拟自动化办公网的装置和方法,电信运营商为企业提供共用虚拟办公自动化平台,企业用户在企业共用虚拟自动化办公网服务器上建立其员工的资料数据,企业员工通过企业虚拟自动化办公网接入终端,经电信运营商共用接入网络连接到企业共用办公网服务器,通过自动化办公客户端软件登陆到企业共用虚拟办公自动化平台进行办公,包括员工之间的信息交流和文件传递等。通过该专利的方法,解决了虚拟组织的灵活创建问题和信息资源共享问题,但未涉及如何保护企业的电子信息、防止重要信息泄漏的安全管理问题。
发明内容
本发明针对现有技术中存在的缺陷或不足,提供一种虚拟专有组织平台系统,采用该平台系统,能够为大中小企业以及个人用户灵活地组建专属于自己的虚拟组织,并且由组织者通过部署终端安全策略的方式自行管理着组织成员终端中组织专属信息的访问安全、存储安全和流转安全,我们称这种具有安全管理功能的虚拟组织为虚拟专有组织(VirtualProprietary Organization)。虚拟专有组织平台系统在保障虚拟专有组织正常运转的同时,有效地解决了虚拟专有组织系统中组织专属信息的归属权问题:虚拟专有组织中工作形成的电子信息,我们称之为组织专属信息(Organization Proprietary Information),组织专属信息不完全属于成员,成员能够在工作中正常使用组织专属信息,但在未授权的情况下组织专属信息是无法移出虚拟专有组织,虚拟专有组织拥有组织专属信息的所有权。
具体的,本发明的上述目标是通过以下解决方法实现的:
一种虚拟专有组织平台系统及方法,有一个或多个集群的系统服务器,有一个系统管理台,有N个组织管理台,有N*M个成员终端,系统管理台、组织管理台通过intranet、extranet、internet多种网络形式以C/S或B/S结构连接系统服务器,成员终端通过intranet、extranet、internet多种网络形式以C/S结构连接系统服务器。系统服务器主要实现了证书授权认证服务、用户身份认证服务、成员终端软件下载升级服务、虚拟专有组织管理服务、成员终端文档流转服务、成员终端安全策略服务,成员终端信息审计服务。系统管理台主要实现了虚拟专有组织平台系统的维护和虚拟专有组织的管理。组织管理台主要实现了所属虚拟专用组织成员的管理、所属成员终端安全策略的配置和部署和所属成员终端信息的审计。操作系统手机、PDA、MID、计算机系统免费安装上虚拟专有组织平台系统的成员终端软件后申请成为成员终端,成员终端登陆所属虚拟专有组织自动下载并实时执行组织管理台所部署的终端安全策略,控制成员终端上组织专属信息的访问、存储和流转,并形成操作审计信息发送系统服务器。
系统服务器为所属系统管理台创建的每一个虚拟专有组织分配组织管理台及该组织管理台专属授权证书、用户身份,具体过程如下:
A、组织者向虚拟专有组织平台系统提出组建虚拟专有组织的申请;
B、系统管理台在虚拟专有组织平台系统中新增虚拟专有组织;
C、虚拟专有组织平台系统为虚拟专有组织生成专属的组织管理台授权证书文件或ukey设备;
D、组织者安装组织管理台授权证书文件或插上ukey设备,成为虚拟专有组织平台系统认证的组织管理台;
E、执行组织管理台,选择组织,输入用户名和密码在线验证后进入虚拟专有组织管理状态。
通过上述虚拟专有组织的申请过程,同一个组织管理台能够申请管理多个虚拟专有组织,所管理虚拟专有组织可以在同一系统服务器上,也可以在不同系统服务器上。组织管理台通过登陆时的不同角色管理各个虚拟专有组织,之间互不影响。
系统服务器为所属组织管理台创建的每一个成员终端配置成员信息及该成员终端专属授权证书、用户身份,具体过程如下:
A、成员终端向组织管理台发出加盟组织的申请;
B、组织管理台在虚拟专有组织中新增成员;
C、虚拟专有组织平台系统为成员终端生成专属的成员终端授权证书文件或ukey设备;
D、成员终端安装成员终端授权证书文件或插上ukey设备,成为虚拟专有组织认证的成员终端;
E、执行成员终端登陆,选择组织,输入用户名和密码在线验证后,成员终端从非工作状态进入虚拟专有组织工作状态。
通过上述组织成员申请加盟过程,同一个成员终端能够申请加盟多个虚拟专有组织,所加盟虚拟专有组织可以在同一系统服务器上,也可以在不同系统服务器上,成员终端通过登陆时的不同角色成为所属虚拟专有组织成员,成员终端上各虚拟专有组织之间的工作完全独立、互不影响。
成员终端为每一个虚拟专有组织配置组织专属信息存储区,组织专属信息以加密的方式存储在组织专属信息存储区中,组织专属信息存储区外的信息允许移入组织专属信息存储区,组织专属信息存储区的信息禁止移出组织专属信息存储区,非工作状态下禁止访问组织专属信息存储区,工作状态下只能访问角色所属的组织专属信息存储区而禁止访问其他角色的组织专属信息存储区。每一个虚拟专有组织的加密密钥具有唯一性,虚拟专有组织之间的组织专属信息不具有直接交换使用性,保障了组织专属信息的存储安全。
在工作状态,成员终端的进程分为工作进程和非工作进程,仅允许工作进程访问组织专属信息,工作进程所创建的信息属于组织专属信息只能存储到组织专属信息存储区中,工作进程在访问组织专属信息时,系统自动进行信息加解密处理,并且控制成员终端内或成员终端之间的进程信息通讯,包括:允许工作进程与工作进程间的信息通讯,允许非工作进程与非工作进程间的信息通讯,允许非工作进程到工作进程间的信息通讯,阻止工作进程到非工作进程间的信息通讯,保障了组织专属信息的应用安全。
组织管理台能够将虚拟专有组织的成员配置为X个安全域,每个成员可以是Y个(Y≤X)安全域的成员,在工作状态,仅允许同一安全域的成员终端之间流转组织专属信息,流转时系统自动进行信息加解密、压缩解压缩处理,并且,文档流转接收方成员终端只能将接收到的组织专属信息存入相应的组织专属信息存储区,保障了组织专属信息的流转安全。
组织管理台对所属成员终端的组织专属信息存储区具有控制功能,包括失效成员终端对组织专属信息存储区的访问、远程复制成员终端组织专属信息存储区、清除成员终端组织专属信息存储区,保障了成员离职后的组织专属信息的安全。
在组织管理台授权的情况下,允许所属成员终端以加密方式、加壳方式、明文方式导出组织专属信息存储区中的文档。加密方式:将组织专属信息以加密的方式移出组织专属信息存储区,通过导入的方式存入同组织的成员终端的组织专属信息存储区中;加壳方式:将组织专属信息移出组织专属信息存储区后在信息上绑定密码,在访问加壳信息时验证密码;明文方式:将组织专属信息解密后移出组织专属信息存储区成为普通文档。在组织管理台授权的情况下,允许所属成员终端脱网工作,成员终端脱网工作时仍然受安全策略的控制,脱网的审计信息在上网时自动发送系统服务器。充分保障了虚拟专有组织在组织控制台控制下的工作灵活性。
附图说明
图1是虚拟专有组织平台系统网络结构示意图
图2是虚拟专有组织申请流程图
图3是成员终端加盟虚拟专有组织流程图
图4是虚拟专有组织中成员终端的逻辑关系图
具体实施方法
下面结合附图和具体实施例对本发明进行更详细的描述。
图1示出了本发明的虚拟专有组织平台系统网络结构示意图。从图1可以看出,本发明的虚拟专有组织平台系统101是由系统服务器102、系统管理台103、INTERNET网络104和虚拟专有组织A105、虚拟专有组织B106、虚拟专有组织C107等若干个虚拟专有组织组成。其中,虚拟专有组织A105由组织A管理台108和成员终端A①109、成员终端A②110、成员终端A③111等若干个成员组成;虚拟专有组织B106由组织B管理台112和成员终端B①113、成员终端B②114、成员终端B③115等若干个成员组成;虚拟专有组织C107由组织C管理台116和成员终端C①117、成员终端C②118、成员终端C③119等若干个成员组成。组织A管理台108、组织B管理台112、组织C管理台116可以是不同的组织者在各自的终端上对自己的组织进行管理,也可以是同一个组织者在同一台终端上通过不同角色的切换对三个组织的管理。同样,上述不同组织或相同组织中的成员终端可以是不同的成员在各自的终端上进入自己的组织进行工作,也可以是同一个人在同一台终端上通过不同角色的切换成为同一组织的不同成员或不同组织的成员,例如,成员终端A①109、成员终端A②110可以是同一个人同一台终端在虚拟专有组织A105中的两个角色;成员终端A①109、成员终端B①113、成员终端C①117可以是同一个人同一台终端在虚拟专有组织A105、虚拟专有组织B106、虚拟专有组织C107中的成员。在虚拟专有组织平台系统101的管理下,能够灵活地和方便地构建各种目的的虚拟专有组织,比如,虚拟专有组织A105实现全球化软件研发系统,虚拟专有组织B106实现全球化办公系统,虚拟专有组织C107实现全球化产品营销系统,虚拟专有组织A105、虚拟专有组织B106、虚拟专有组织C107分别在组织A管理台108、组织B管理台112、组织C管理台116的管理下具有组织信息的共享性和安全性、组织结构的全球性和独立性。
下面结合图2说明虚拟专有组织的申请流程,结合图3说明成员终端加盟虚拟专有组织的流程。
图2示出了本发明的虚拟专有组织申请流程图。从图2可以看出,组织者向系统管理台申请虚拟专有组织的交互过程,组织者201通过互联网浏览器的方式登录某虚拟专有组织平台系统运营商网站202,注册成为该虚拟专有组织平台系统运营商网的用户203,然后通过表单的形式进行网上虚拟专有组织的申请204。该虚拟专有组织平台系统的系统管理台205登陆系统打开系统管理台206,对网上虚拟专有组织的申请者进行必要信息的审核207,审核的内容包括虚拟专有组织名称的有效性和合法性、组织者的姓名和有效证件、组织的规模和经营目的等。审核通过后,系统管理台在平台系统中新增组织信息208,使之成为该虚拟专有组织平台系统的合法组织,并生成专属的组织证书文件209。组织者从网上获得组织证书文件210并下载到自己的终端设备211中并进行安装212,组织者打开组织管理台213呈现组织管理台登陆界面,选择组织、输入用户和密码214并传送至系统服务器进行身份验证215,身份确认216后组织管理台进入组织管理状态217,可以进行组织成员的管理、终端安全策略的部署、终端信息的审计等工作218。
图3示出了本发明的成员终端加盟虚拟专有组织流程图。从图3可以看出,成员终端向组织管理台申请加盟虚拟专有组织的交互过程,成员终端301执行虚拟专有组织平台系统的成员终端软件302,选择成员申请输入成员信息303,成员信息包括成员的名称和有效证件、加盟的组织、在组织中的角色等,形成成员申请文件304并将成员申请文件305传送给组织管理台。该虚拟专有组织的组织管理台306登陆系统打开组织管理台307,接收成员申请文件305并导入308,组织管理台在平台系统中新增成员信息309,使之成为该虚拟专有组织的合法成员,并生成专属的组织成员证书文件310并将成员申请文件311传送给成员。成员接收组织成员证书文件311并导入到自己的终端设备312中并进行安装313,成员终端打开用户注册314,选择组织、输入用户和密码315并传送至系统服务器进行身份验证316,身份确认317后成员终端进入组织的工作状态318,可以进行组织专属信息的访问和流转等工作319。
图4示出了本发明的虚拟专有组织中成员终端的逻辑关系图,终端设备从虚拟专有组织平台系统下载安装了成员终端软件后成为成员终端,成员终端加盟一个虚拟专有组织后就会自动创建一个由组织管理台专门部署的成员工作环境,成员工作环境中包括工作进程、安全策略和组织专属信息存储区。工作进程是指与工作有关的应用程序,例如,机械设计AutoCAD、软件设计C++、版本控制SVN、自己研发的应用软件;安全策略是指组织专属信息的访问控制规则,例如,仅允许工作进程访问组织专属信息存储区、禁止工作进程向非工作进程进行信息通讯、授权组织专属信息的导出、组织专属信息流转的安全域;组织专属信息存储区是从普通信息存储区中划定出的存储区,组织专属信息存储区以加密的形式存储组织专属信息。组织管理台能够动态调整每一个成员终端的工作环境,当成员终端登入虚拟专有组织后,成员终端将自动地进入组织管理台为其部署的工作环境,工作进程在安全策略的控制下访问组织专属信息存储区,与同一个安全域中的成员交换组织专属信息;当成员终端登出虚拟专有组织后,成员终端将自动地退出工作环境,成员终端不再具有组织专属信息存储区的访问权和组织专属信息的交换权。
从图4可以看出,安装了成员终端软件405的成员终端①401、成员终端②402、成员终端③403通过互联网404相连接,成员终端①401加盟了虚拟专有组织A和虚拟专有组织B而形成组织A成员环境406和组织B成员环境407,从普通信息存储区408中划分出组织A专属信息存储区417和组织B专属信息存储区420,成员终端②402加盟了虚拟专有组织A和虚拟专有组织C而形成组织A成员环境409和组织B成员环境410,从普通信息存储区411中划分出组织A专属信息存储区421和组织C专属信息存储区424,成员终端③403加盟了虚拟专有组织B和虚拟专有组织C而形成组织B成员环境412和组织C成员环境413,从普通信息存储区414中划分出组织B专属信息存储区427和组织C专属信息存储区430,成员终端①401与成员终端②402通过登陆虚拟专有组织A进行协同工作,成员终端①401与成员终端③403通过登陆虚拟专有组织B进行协同工作,而成员终端②402与成员终端③403通过登陆虚拟专有组织C进行协同工作。
举例来说,虚拟专有组织A为网上办公组织,组织A管理台为成员终端①401的组织A成员部署了工作进程msword、组织专属信息存储区为d:\workarea401A、文件级安全控制、进程级安全控制、授权组织专属信息加密导出、归属dept1安全域,同时,为成员终端②402的组织A成员部署了工作进程msword、组织专属信息存储区为c:\workarea402A、文件级安全控制、进程级安全控制、授权组织专属信息导入、归属dept1安全域。在组织A工作状态,成员终端①401使用工作进程msword创建了文件file.doc,在保存时系统仅允许加密存储到d:\workarea401A目录下;试图用非工作进程wps打开file.doc被系统拒绝,试图将d:\workarea401A目录下的文件拷贝、拖拽出d:\workarea401A目录被系统拒绝,反之能够从d:\workarea401A目录外拷贝、拖拽文件进入d:\workarea401A目录而成为组织A专属信息;用msword打开file.doc能够正常编辑,而试图将打开的file.doc内容通过剪贴、拖拽到非工作进程notepad被系统拒绝,反之能够从非工作进程notepad剪贴、拖拽内容到file.doc中;成员终端①401的组织A成员与成员终端②402的组织A成员同属dept1安全域,成员终端①401的组织A成员能够将组织A专属信息文件file.doc流转给成员终端②402的组织A成员并仅能存储在c:\workarea402A目录下;成员终端①401的组织A成员具有组织专属信息加密导出权和成员终端②402的组织A成员具有组织专属信息导入权,成员终端①401的组织A成员能够将file.doc加密导出为file.doc.sec,通过邮件、MSN等形式发送给成员终端②402的组织A成员,成员终端②402的组织A成员能够将file.doc.sec导入进c:\workarea402A目录为file.doc;成员终端②402的组织A成员进入工作状态,使用工作进程msword能够正常编辑file.doc文件;成员终端①401的组织A成员、成员终端②402的组织A成员在非工作状态禁止浏览组织专属信息存储区d:\workarea401A、c:\workarea402A。成员终端①401的组织A成员、成员终端②402的组织A成员在虚拟专有组织A的框架下组织A管理台保障了成员及成员之间的组织专属信息的安全访问、安全存储和安全流转。
举例来说,虚拟专有组织B为计算机软件研发组织,使用C++开发程序,使用SVN进行版本控制。组织B管理台为成员终端①401的组织B成员部署了工作进程Visual C++和TortoseSVN、组织专属信息存储区为d:\workarea401B、文件级安全控制、进程级安全控制,同时,为成员终端③403的组织B成员部署了工作进程Visual C++和TortoseSVN、组织专属信息存储区为c:\workarea403B、文件级安全控制、进程级安全控制。在组织B工作状态,成员终端①401的组织B成员和成员终端③403的组织B成员通过工作进程Visual C++开发的程序存储在各自的组织B专属信息存储区d:\workarea401B和c:\workarea403B目录下,并通过工作进程TortoseSVN将组织B专属信息存储区中的程序与SVN服务器进行版本控制,check in和check out的程序只能存储到组织B专属信息存储区中,保障虚拟专有组织B在开发过程中和版本控制共享过程中程序的安全性。
举例来说,虚拟专有组织C为项目外包组织,成员终端②402的组织C成员为发包方,成员终端③403的组织C成员为接包方,双方使用msword编写文档,使用AutoCAD进行图纸设计。组织C管理台为成员终端②402的组织C成员部署了工作进程msword和AutoCAD、组织专属信息存储区为c:\workarea402C、文件级安全控制、进程级安全控制、归属dept2安全域,同时,为成员终端③403的组织C成员部署了工作进程msword和AutoCAD、组织专属信息存储区为c:\workarea403C、文件级安全控制、进程级安全控制、归属dept2安全域。在组织C工作状态,成员终端②402的组织C成员和成员终端③403的组织C成员同属dept2安全域,之间构筑了安全的组织C专属信息流转通道,成员终端②402的组织C成员使用工作进程msword编写设计需求文件存入c:\workarea402C目录并流转给成员终端③403的组织C成员存入c:\workarea403C目录,成员终端③403的组织C成员根据设计需求文件编写设计方案文档存入c:\workarea403C目录并流转给成员终端②402的组织C成员存入c:\workarea402C目录,成员终端③403的组织C成员在成员终端②402的组织C成员认可设计方案后使用工作进程AutoCAD进行图纸设计,图纸设计文档存入c:\workarea403C目录并流转给成员终端②402的组织C成员存入c:\workarea402C目录,成员终端②402的组织C成员使用工作进程AutoCAD对图纸设计文档进行审核。在完成外包任务后,组织C管理台能够对成员终端③403的组织C成员的c:\workarea403C目录进行远程复制和清理以及失效成员终端③403的组织C成员,从而保障了发包方对外包项目所形成的电子信息资产的拥有权。
应当理解,上述说明只是用于展示本发明,而不是用于限制本发明的保护范围。
Claims (23)
1、一种虚拟专有组织平台系统及方法,有一个或多个集群的系统服务器,有一个系统管理台,有N个组织管理台,有N*M个成员终端,系统管理台、组织管理台和成员终端通过网络连接系统服务器,其特征在于:
系统服务器实现证书授权认证服务、用户身份认证服务、成员终端软件下载升级服务、虚拟专有组织管理服务、成员终端文档流转服务、成员终端安全策略服务,成员终端信息审计服务;
系统管理台实现虚拟专有组织平台系统的维护和虚拟专有组织的管理;
组织管理台实现所属虚拟专用组织成员的管理、所属成员终端安全策略的配置和部署、所属成员终端信息的审计;
成员终端通过安装的成员终端软件登陆所属虚拟专有组织自动下载并实时执行组织管理台所部署的终端安全策略,控制组织专属信息的访问、存储和流转,并形成操作审计信息发送系统服务器。
2、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:系统服务器为所属系统管理台创建的每一个虚拟专有组织分配组织管理台及该组织管理台专属授权证书、用户身份,该方法包括:
A、组织者向虚拟专有组织平台系统提出组建虚拟专有组织的申请;
B、系统管理台在虚拟专有组织平台系统中新增虚拟专有组织;
C、虚拟专有组织平台系统为虚拟专有组织生成专属的组织管理台授权证书;
D、组织者安装组织管理台授权证书,成为虚拟专有组织平台系统认证的组织管理台;
E、执行组织管理台,选择组织,输入用户名和密码在线验证后进入虚拟专有组织管理状态。
3、如权利要求1或2所述虚拟专有组织平台系统及方法,其特征在于:同一个组织管理台具有申请管理多个虚拟专有组织的功能,所管理虚拟专有组织可以在同一系统服务器上或不同系统服务器上,所管理虚拟专有组织之间互不影响。
4、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:系统服务器为所属组织管理台创建的每一个成员终端配置成员信息及该成员终端专属授权证书、用户身份,该方法包括:
A、成员终端向组织管理台发出加盟组织的申请;
B、组织管理台在虚拟专有组织中新增成员;
C、虚拟专有组织平台系统为成员终端生成专属的成员终端授权证书;
D、成员终端安装成员终端授权证书,成为虚拟专有组织认证的成员终端;
E、执行成员终端登陆,选择组织,输入用户名和密码在线验证后,成员终端从非工作状态进入虚拟专有组织工作状态。
5、如权利要求1或4所述虚拟专有组织平台系统及方法,其特征在于:同一个成员终端具有申请加盟多个虚拟专有组织的功能,所加盟虚拟专有组织可以在同一系统服务器上或不同系统服务器上,成员终端上各虚拟专有组织之间的工作完全独立、互不影响。
6、如权利要求2或4所述虚拟专有组织平台系统及方法,其特征在于:授权证书包括证书文件、ukey设备。
7、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:成员终端为每一个虚拟专有组织配置组织专属信息存储区,组织专属信息以加密的方式存储在组织专属信息存储区中。
8、如权利要求7所述虚拟专有组织平台系统及方法,其特征在于:组织专属信息存储区外的信息允许移入组织专属信息存储区,组织专属信息存储区的信息禁止移出组织专属信息存储区。
9、如权利要求7所述虚拟专有组织平台系统及方法,其特征在于:非工作状态下禁止访问组织专属信息存储区,工作状态下只能访问角色所属的组织专属信息存储区而禁止访问其他角色的组织专属信息存储区。
10、如权利要求7所述虚拟专有组织平台系统及方法,其特征在于:虚拟专有组织的加密密钥具有唯一性,虚拟专有组织之间的组织专属信息不具有直接交换使用性。
11、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:在工作状态,成员终端的进程分为工作进程和非工作进程。
12、如权利要求11所述虚拟专有组织平台系统及方法,其特征在于:仅允许工作进程访问组织专属信息存储区,工作进程所创建的信息属于组织专属信息只能存储到组织专属信息存储区中。
13、如权利要求11或12所述虚拟专有组织平台系统及方法,其特征在于:工作进程在访问组织专属信息时,系统自动进行信息的加解密处理。
14、如权利要求11或12所述虚拟专有组织平台系统及方法,其特征在于:控制成员终端内或成员终端之间进程的信息通讯,包括:
允许工作进程与工作进程间的信息通讯;
允许非工作进程与非工作进程间的信息通讯;
允许非工作进程到工作进程间的信息通讯;
阻止工作进程到非工作进程间的信息通讯。
15、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:组织管理台能够将虚拟专有组织的成员配置为X个安全域,每个成员可以是Y个(Y≤X)安全域的成员。
16、如权利要求14所述虚拟专有组织平台系统及方法,其特征在于:在工作状态,仅允许同一安全域的成员终端之间流转组织专属信息,流转时系统自动进行信息加解密、压缩解压缩处理。
17、如权利要求15所述虚拟专有组织平台系统及方法,其特征在于:文档流转接收方成员终端只能将接收到的组织专属信息存入相应的组织专属信息存储区。
18、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:组织管理台对所属成员终端的组织专属信息存储区具有控制功能,包括失效成员终端对组织专属信息存储区的访问、远程复制成员终端组织专属信息存储区、清除成员终端组织专属信息存储区。
19、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:在组织管理台授权的情况下,允许所属成员终端以加密方式、加壳方式、明文方式导出组织专属信息;
加密方式:将组织专属信息以加密的方式移出组织专属信息存储区,通过导入的方式存入同组织的成员终端组织专属信息存储区;
加壳方式:将组织专属信息移出组织专属信息存储区后在信息上绑定密码,在访问加壳信息时验证密码;
明文方式:将组织专属信息解密后移出组织专属信息存储区成为普通文档;
20、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:在组织管理台授权的情况下,允许所属成员终端脱网工作,成员终端脱网工作时仍然受安全策略的控制,脱网的审计信息在上网时自动发送系统服务器。
21、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:连接系统服务器、系统管理台、组织管理台和成员终端的网络包括intranet、extranet、internet。
22、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:
系统管理台、组织管理台采用C/S结构或B/S结构与所述系统服务器进行交互;
成员终端采用C/S结构与所述系统服务器进行交互。
23、如权利要求1所述虚拟专有组织平台系统及方法,其特征在于:成员终端包括操作系统手机、PDA、MID、计算机系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910080805A CN101527637A (zh) | 2009-03-23 | 2009-03-23 | 一种虚拟专有组织平台系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910080805A CN101527637A (zh) | 2009-03-23 | 2009-03-23 | 一种虚拟专有组织平台系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101527637A true CN101527637A (zh) | 2009-09-09 |
Family
ID=41095346
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910080805A Pending CN101527637A (zh) | 2009-03-23 | 2009-03-23 | 一种虚拟专有组织平台系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101527637A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102148712A (zh) * | 2011-04-21 | 2011-08-10 | 天讯天网(福建)网络科技有限公司 | 基于云计算的服务管理系统 |
CN104268479A (zh) * | 2014-09-29 | 2015-01-07 | 北京奇虎科技有限公司 | 一种文本操作隔离的方法、装置及移动终端 |
CN104507087A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 移动办公的安全服务系统及安全服务方法 |
CN107908332A (zh) * | 2017-11-23 | 2018-04-13 | 东软集团股份有限公司 | 一种应用内文本复制方法、复制装置、存储介质和电子设备 |
CN112311550A (zh) * | 2019-07-26 | 2021-02-02 | 国际组织世界绿色气候机构全球总部股份有限公司 | 国际组织世界绿色气候机构国际绿色认证方法 |
-
2009
- 2009-03-23 CN CN200910080805A patent/CN101527637A/zh active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102148712A (zh) * | 2011-04-21 | 2011-08-10 | 天讯天网(福建)网络科技有限公司 | 基于云计算的服务管理系统 |
CN102148712B (zh) * | 2011-04-21 | 2014-05-14 | 天讯天网(福建)网络科技有限公司 | 基于云计算的服务管理系统 |
TWI460596B (zh) * | 2011-04-21 | 2014-11-11 | ||
CN104268479A (zh) * | 2014-09-29 | 2015-01-07 | 北京奇虎科技有限公司 | 一种文本操作隔离的方法、装置及移动终端 |
CN104268479B (zh) * | 2014-09-29 | 2017-03-01 | 北京奇虎科技有限公司 | 一种文本操作隔离的方法、装置及移动终端 |
CN104507087A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 移动办公的安全服务系统及安全服务方法 |
CN107908332A (zh) * | 2017-11-23 | 2018-04-13 | 东软集团股份有限公司 | 一种应用内文本复制方法、复制装置、存储介质和电子设备 |
CN112311550A (zh) * | 2019-07-26 | 2021-02-02 | 国际组织世界绿色气候机构全球总部股份有限公司 | 国际组织世界绿色气候机构国际绿色认证方法 |
CN112311550B (zh) * | 2019-07-26 | 2023-11-07 | 国际组织世界绿色气候机构全球总部股份有限公司 | 国际组织世界绿色气候机构国际绿色认证方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Mohammed | Cloud identity and access management–a model proposal | |
CN101582769B (zh) | 用户接入网络的权限设置方法和设备 | |
CN103502994B (zh) | 用于处理隐私数据的方法 | |
CN104184735B (zh) | 电力营销移动应用安全防护系统 | |
CN102365648B (zh) | 用于管理数字式互动的系统和方法 | |
CN103875211B (zh) | 一种互联网账号管理方法、管理器、服务器和系统 | |
CN105429752B (zh) | 一种云环境下用户密钥的处理方法及系统 | |
CN104838630A (zh) | 基于策略的应用程序管理 | |
CN108123795A (zh) | 量子密钥芯片的发行方法、应用方法、发行平台及系统 | |
CN104050401A (zh) | 用户权限管理方法及系统 | |
CN103220141B (zh) | 一种基于组密钥策略的敏感数据保护方法和系统 | |
CN104735087A (zh) | 一种基于公钥算法和SSL协议的多集群Hadoop系统安全优化方法 | |
CN103326999A (zh) | 一种基于云服务的文件安全管理系统 | |
CN107959676A (zh) | 一种支持区块链技术加密体系的数据节点热插拔方法 | |
CN104331329A (zh) | 支持域管理的移动办公安全系统及方法 | |
EP3185465A1 (en) | A method for encrypting data and a method for decrypting data | |
CN101527637A (zh) | 一种虚拟专有组织平台系统及方法 | |
CN103535007A (zh) | 分布式网络的管理认证 | |
CN106685919A (zh) | 一种具有被动式动态密钥分发机制的安全云存储方法 | |
CN104219077A (zh) | 一种中小企业信息管理系统 | |
CN202455386U (zh) | 一种用于云存储的安全系统 | |
CN107743125A (zh) | 一种电力业务终端的数据安全管理方法 | |
CN110071813A (zh) | 一种账户权限更改方法系统、账户平台和用户终端 | |
Hardjono et al. | MIT Open Algorithms | |
CN106301791B (zh) | 一种基于大数据平台的统一用户认证授权的实现方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
DD01 | Delivery of document by public notice |
Addressee: Li Min Document name: the First Notification of an Office Action |
|
DD01 | Delivery of document by public notice |
Addressee: Beijing Amgo Technology Co., Ltd. Li Min Document name: Notification that Application Deemed to be Withdrawn Addressee: Beijing Amgo Technology Co., Ltd. Li Min Document name: Notification that Application Deemed not to be Proposed |
|
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090909 |