发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的权限配置系统和相应的设备的权限配置方法。
依据本发明的一个方面,提供了一种设备的权限配置方法,包括:在用户登录用户设备时获取包含用户名的登录信息,并将所述登录信息发送给内网监控服务器;接收内网监控服务器依据所述登录信息反馈的所述用户的权限数据;在所述用户使用所述用户设备中文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限。
本发明一个可选实施例中,所述在用户登录用户设备时获取包含用户名的登录信息,并将所述登录信息发送给内网监控服务器,包括:在用户登录用户设备时获取登录的用户名,并获取所述用户设备的设备标识;将所述用户名和所述设备标识构成登录信息,并将所述登录信息发送给所述内网监控服务器。
本发明一个可选实施例中,还包括:对所述设备中启动文件的接口进行监控;所述在所述用户使用所述用户设备中文件时拦截所述文件,包括:通过所述启动文件的接口监控到所述用户使用所述用户设备中文件时,对所述文件进行拦截。
本发明一个可选实施例中,所述在所述用户使用所述用户设备中文件时拦截所述文件之后,还包括:获取所述文件的文件标识并将所述文件标识发送至所述内网监控服务器;所述内网监控服务器依据所述文件标识确定所述文件的安全属性并将所述文件的安全属性反馈给所述用户设备。
本发明一个可选实施例中,所述依据所述权限数据确定用户对所述文件的使用权限,包括:采用所述文件的安全属性与所述权限数据进行比较,当所述文件的安全属性与所述权限数据中允许使用的文件的属性一致时,所述用户对所述文件具有使用权限;确定所述用户对所述文件具有使用权限之后,还包括:启动所述文件供用户使用。
本发明一个可选实施例中,还包括:对所述用户设备中与文件关联的进程进行监控;所述在所述用户使用所述用户设备中文件时拦截所述文件,包括:通过所述与文件关联的进程监控所述文件,并对所述文件的处理操作进行拦截。
本发明一个可选实施例中,所述依据所述权限数据确定用户对所述文件的使用权限,包括:从内网监控服务器中获取所述用户对文件的操作权限,采用所述操作权限与所述权限数据进行比较,当所述操作权限与所述权限数据中允许执行的操作一致时,所述用户对所述文件具有执行操作的使用权限;确定所述用户对所述文件具有使用权限之后,还包括:对所述文件执行所述处理操作。
本发明一个可选实施例中,还包括:内网监控服务器从内网各用户设备中收集文件,并收集注册内网的用户;分别分配各用户对收集的文件执行操作的操作权限;依据收集的文件以及为用户分配的操作权项建立权限数据库。
本发明一个可选实施例中,还包括:当确定用户对所述文件不具有使用权限时,禁止所述启动所述文件,或禁止所述用户对文件进行所述处理操作。
本发明一个可选实施例中,还包括:将用户需要使用的不具备使用权限的文件的文件标识上传至所述内网监控服务器;所述内网监控服务器依据所述文件标识对所述文件的安全属性或用户对所述文件的操作权限进行修改。
本发明一个可选实施例中,还包括:所述内网监控服务器配置执行所述文件的安全属性或用户对所述文件的操作权限修改的权限时间,则在所述权限时间内所述用户对所述文件具有操作权限或使用权限。
本发明一个可选实施例中,所述接收服务器依据所述登录信息反馈的所述用户的权限数据之后,还包括:清空本地缓存,并对所述用户的权限数据进行存储。
根据本发明的另一个方面,提供了一种权限配置系统,包括:用户设备和内网监控服务器;所述用户设备包括:获取模块,用于在用户登录时获取包含用户名的登录信息;发送模块,用于将所述登录信息发送给所述内网监控服务器;接收模块,用于接收所述内网监控服务器依据所述登录信息反馈的所述用户的权限数据;权限确定模块,用于在所述用户使用文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限;则所述内网监控服务器,用于接收所述用户设备发送的登录信息,以及依据所述登录信息确定所述用户的权限数据并反馈给所述用户设备。
本发明一个可选实施例中,所述获取模块,用于在用户登录设备时获取登录的用户名,并获取所述设备的设备标识,将所述用户名和所述设备标识构成登录信息。
本发明一个可选实施例中,所述用户设备还包括:监控模块,用于对启动文件的接口进行监控;所述权限确定模块,包括:拦截子模块,用于通过所述启动文件的接口监控到所述用户使用文件时,对所述文件进行拦截。
本发明一个可选实施例中,所述拦截子模块,还用于获取所述文件的文件标识;则所述发送模块,还用于并将所述文件标识发送至所述内网监控服务器;所述内网监控服务器,还用于依据所述文件标识确定所述文件的安全属性并将所述文件的安全属性反馈给所述用户设备。
本发明一个可选实施例中,所述权限确定模块,包括:权限比较子模块,用于采用所述文件的安全属性与所述权限数据进行比较,当所述文件的安全属性与所述权限数据中允许使用的文件的属性一致时,所述用户对所述文件具有使用权限;所述用户设备还包括:启动模块,用于在权限比较子模块确定所述用户对所述文件具有使用权限之后,启动所述文件供用户使用。
本发明一个可选实施例中,所述用户设备还包括:监控模块,用于对与文件关联的进程进行监控;所述权限确定模块,包括:拦截子模块,用于通过所述与文件关联的进程监控所述文件,并对所述文件的处理操作进行拦截。
本发明一个可选实施例中,所述接收模块,用于从内网监控服务器中获取所述用户对文件的操作权限;所述权限确定模块包括:权限比较子模块,用于采用所述操作权限与所述权限数据进行比较,当所述操作权限与所述权限数据中允许执行的操作一致时,所述用户对所述文件具有执行操作的使用权限;所述用户设备还包括:处理模块,用于在确定所述用户对所述文件具有使用权限之后,对所述文件执行所述处理操作。
本发明一个可选实施例中,所述内网监控服务器,还用于从内网中各用户设备中收集文件,并手机注册内网的用户;分别分配各用户对收集的文件执行操作的操作权限;依据收集的文件以及为用户分配的操作权项建立权限数据库。
本发明一个可选实施例中,所述用户设备还包括:禁止模块,用于当确定用户对所述文件不具有使用权限时,禁止所述启动所述文件,或禁止所述用户对文件进行所述处理操作。
本发明一个可选实施例中,所述发送模块,还用于将用户需要使用的不具备使用权限的文件的文件标识上传至所述内网监控服务器;所述内网监控服务器,还用于对所述文件的安全属性或用户对所述文件的操作权限进行修改。
本发明一个可选实施例中,所述内网监控服务器,还用于配置执行所述文件的安全属性或用户对所述文件的操作权限修改的权限时间,则在所述权限时间内所述用户对所述文件具有操作权限或使用权限。
本发明一个可选实施例中,所述用户设备还包括:清空并存储模块,用于清空本地缓存,并对所述用户的权限数据进行存储。
根据本发明的权限配置方法,在用户登录用户设备时获取包含用户名的登录信息,接收内网监控服务器依据所述登录信息反馈的所述用户的权限数据,在所述用户使用所述用户设备中文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限。为各用户配置文件的使用权限,使得用户在使用终端时只能使用具有权限的文件,防止用户随意查看、使用文件,保证设备内文件的数据安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种设备的权限配置方法,在用户登录用户设备时获取包含用户名的登录信息,接收内网监控服务器依据所述登录信息反馈的所述用户的权限数据,在所述用户使用该用户设备中文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限。为各用户配置文件的使用权限,使得用户在使用终端时只能使用具有权限的文件,防止用户随意查看、使用文件,保证设备内文件的数据安全。
实施例一
参照图1,示出了根据本发明实施例一提供的设备的权限配置方法流程图。
步骤101,在用户登录用户设备时获取包含用户名的登录信息,并将所述登录信息发送给内网监控服务器。
本实施例中为了保证用户设备中数据的安全,配置了用户对文件的使用权限,以限制用户对文件的使用。因此当用户登录该用户设备中,可以获取用户登录用户设备时采用的用户名,将用户名作为登录信息,然后将该登录信息发送给内网监控服务器,以通过内网监控服务器获取该用户的权限数据。
其中,用户设备为用于使用的计算机终端,如笔记本电脑、台式机、平板电脑等。内网监控服务器用于对内网中的用户设备进行监控,从而完成内网中各用户设备安全性的确定,用户权限的确定,对用户设备中文件的更新等功能。
步骤102,接收内网监控服务器依据所述登录信息反馈的所述用户的权限数据。
内网监控服务器在接收到登录信息后,会依据该登录信息中用户名确定该用户的权限数据并将该权限数据反馈给用户设备,所述权限数据用于对用户使用的文件进行限制,如确定用户能否启动该文件,能否对文件进行修改等。
从而用户设备可以接收到网监控服务器反馈的该用户的权限数据。
步骤103,在所述用户使用所述用户设备中文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限。
用户登录用户设备的操作系统后会使用该用户设备中的文件,此时会对用户使用的文件进行拦截,然后依据网监控服务器中获取的权限数据确定用户对该文件的使用权限,如是否可以启动该文件,是否可以对文件进行修改等。
其中拦截文件可以是对文件本身的拦截,如在启动可执行文件时可以对其进行拦截,在确定用户具有使用权限后再启动该文件;又如在使用办公软件进行文件等修改时,可以拦截办公软件对文件的操作,在确定用户具有使用权限后再进行修改等操作,从而可以防止用户随意查看、修改文件。因此权限数据中可以包括允许使用的文件的属性,也可以包括允许执行的操作等数据信息。
综上所述,在用户登录用户设备时获取包含用户名的登录信息,接收内网监控服务器依据所述登录信息反馈的所述用户的权限数据,在所述用户使用所述用户设备中文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限。为各用户配置文件的使用权限,使得用户在使用终端时只能使用具有权限的文件,防止用户随意查看、使用文件,保证设备内文件的数据安全。
实施例二
基于上述实施例,在对文件进行拦截时,既可以对文件本身进行拦截,也可以对用户对文件所执行的操作进行拦截,然后在分别与权限数据进行比较确定用户对该文件使用具有使用权限。
本实施例进一步论述如何在设备对文件进行拦截并确定用户的使用权限。
参照图2,示出了根据本发明实施例二提供的第一种设备的权限配置方法流程图。
步骤201,在用户登录用户设备时获取登录的用户名,并获取所述设备的设备标识。
步骤202,将所述用户名和所述设备标识构成登录信息,并将所述登录信息发送给所述内网监控服务器。
由于用户使用的用户设备不同,其中存储的文件等数据的重要性也不同,用户登录用户设备时通常会采用用户名和密码等进行登录,因此可以获取登录的用户名,并获取该设备的设备标识,所述设备标识用于唯一标识一台设备,如采用MID值作为设备标识,所述MID(Mobile Internet Device,移动互联网设备)值是通过硬件的编号计算出的唯一的特征值。
然后将用户名和设备标识构成登录信息,将登录信息发送给内网监控服务器,以从内网监控其中获取用户在当前这台用户设备中的权限数据。
步骤203,接收内网监控服务器依据所述登录信息反馈的所述用户的权限数据。
本发明一个可选实施例中,接收服务器依据所述登录信息反馈的所述用户的权限数据之后,还包括:清空本地缓存,并对所述用户的权限数据进行存储。
可以从内网监控服务器中获取其依据登录信息确定的用户的权限数据,从而通过该权限数据可以确定用户对用户设备中文件的使用权限。然后可以清空本地缓存,从而清除该用户设备中一些历史文件使用记录,防止对文件数据的安全造成影响,再将该用户的权限数据存储在设备本地,从而在用户使用所述用户设备时可以随时对权限数据进行调用、比对等操作。
步骤204,对所述用户设备中启动文件的接口进行监控。
步骤205,通过所述启动文件的接口监控到所述用户使用所述用户设备中文件时,对所述文件进行拦截。
用户在登录用户设备后,有时会启动软件等可执行文件进行操作,因此可以对用户设备中启动文件的接口进行监控,如采用钩子程序等对启动文件的接口进行监控,从而用户启动文件时,通过该文件的启动接口可以监控到用户对文件的启动事件,然后可以对该文件进行拦截,暂时禁止文件的启动。
步骤206,获取所述文件的文件标识并将所述文件标识发送至内网监控服务器。
步骤207,从所述内网监控服务器中获取该文件的安全属性。
在拦截文件之后,可以获取该文件的文件标识,文件标识用于唯一标识一个文件,如可以采用文件的MD5值作为文件标识,其中,MD5值即Message-Digest Algorithm5(信息-摘要算法5),用于确保信息传输完整一致。从而每个文件可以计算得到唯一的MD5值。
然后将该文件标识发送至所述内网监控服务器,内网监控服务器在接收到该文件标识以后,内网监控服务器可以依据文件标识确定所述文件的安全属性。例如,在内网监控服务器中保存有各文件标识和文件的安全属性的对应关系,如将对应关系保存在数据表中,从而通过该对应关系可以查询该文件标识对应的安全属性。
步骤208,确定安全属性与权限数据中允许使用的文件的属性是否一致。
采用内网监控服务器中获取的文件的安全属性与所述权限数据进行比较,确定文件的安全属性与所述权限数据中允许使用的文件的属性是否一致。
若是,即确定文件的安全属性与权限数据中允许使用的文件的属性一致,则所述用户对所述文件具有使用权限,执行步骤208。
若否,即确定文件的安全属性与权限数据中允许使用的文件的属性不一致,则所述用户对所述文件不具有使用权限,则不允许用户启动该文件,结束上述流程。
步骤209,启动所述文件供用户使用。
在确定用户对所述文件具有使用权限后,可以启动文件供用户使用。
综上所述,可以对设备中启动文件的接口进行监控,从而对文件本身进行拦截确定用户的使用权限,防止用户启动不具有权限的文件,确保数据的安全。
上述实施例提供了对文件本身进行拦截再确定用户使用权限的技术方案,下面再以实施例论述拦截用户对文件所执行的操作后确定用户使用权限的技术方案。
参照图3,示出了根据本发明实施例二提供的第二种设备的权限配置方法流程图。
步骤301,对用户设备中与文件关联的进程进行监控。
步骤302,通过所述与文件关联的进程监控所述文件,并对所述文件的处理操作进行拦截。
若要监控用户对文件执行的处理操作,就需要在与该文件关联的进程中设置监控接口,对该进程进行监控,如监控对word文档的处理操作,可以在办公软件如Microsoft Word的进程中配置监控接口,用于监控用户对文件的处理操作,如对word文档的编辑等处理操作,又如在Microsoft Word的进程中启动该word文档等。然后在用户对该文件进行处理操作时,拦截该处理操作。
在拦截该处理操作后需要进一步确定用户是否具有执行该处理操作的操作权限,因此本发明一个可选实施例中,还包括预先在内网监控服务器中配置用户的操作权限的步骤:内网监控服务器从内网各用户设备中收集文件,并收集注册内网的用户;分别分配各用户对收集的文件执行操作的操作权限;依据收集的文件以及为用户分配的操作权项建立权限数据库。
即内网监控服务器可以预先收集内网中各设备中具有的文件,如可执行文件、数据文件如文档、表格、图片的等。然后确定每一个用户对各文件所能够执行的操作,进而确定用户对文件可执行的操作权限,然后建立权限数据库保存用户对各文件的操作权限,即该权限数据库中可以包括存储收集的文件的信息,如文件名、文件标识等,并存储用户以该用户的操作权限等。
其中,在为各用户分配对文件的操作权限时,可以按照文件的类别进行分配,如用户A对文档类文件具有操作权项,而用户B对图片类文件具有操作权限,也可以按照文件的生成信息分配,如某一文件是用户A登录用户设备时建立并生成的,则用户A对其具有操作权限。
此外分配操作权项时也可以依据用户的优先级进行分配,如对于企业用户而言,经理、总监等较高优先级的用户可以获取设备中各类文件的操作权项,而对于普通员工由于其优先级较低,则可以按照其职务确定对何种文件具有操作权项。分配操作权限的方法有多种,此处虽未一一列举,不应理解为是对本发明实施例的限制。
步骤303,从内网监控服务器中获取所述用户对文件的操作权限。
然后可以从内网监控服务器中获取用户对该文件的操作权限,如可以获取该文件的文件标识,在将该文件标识发送至内网监控服务器,进一步也可以同时获取与该文件关联的进程对应文件的文件标识,一同发送给内网监控服务器,以使内网监控服务器依据该文件标识确定用户对该文件的操作权限。
步骤304,确定操作权限与权限数据中允许执行的操作是否一致。
采用所述操作权限与所述权限数据进行比较,确定操作权限与权限数据中允许执行的操作是否一致。
若是,即所述操作权限与所述权限数据中允许执行的操作一致,则所述用户对所述文件具有执行操作的使用权限,执行步骤305。
若否,即所述操作权限与所述权限数据中允许执行的操作不一致,则所述用户对所述文件不具有执行操作的使用权限,则禁止用户对该文件的处理操作。
步骤305,对该文件执行所述处理操作。
在确定用户对所述文件具有执行操作的使用权限后,可以结束对文件的拦截,由与文件关联的进程对该文件执行处理操作。
本发明一个可选实施例中,将用户需要使用的不具备使用权限的文件的文件标识上传至所述内网监控服务器,以使所述内网监控服务器对所述文件的安全属性或用户对所述文件的操作权限进行修改。
有时用户临时需要对某些本不具有权限的文件进行处理,如查看一些机密材料,或开启一些软件等,可以将这些文件作为该用户的临时文件,可以通过内网监控服务器修改这些临时文件的安全属性,或修改用户对临时文件的操作权限。
实际处理中,可以将这些临时文件的文件标识上传至内网监控服务器,并上传该用户的用户名,然后在内网监控服务器中进行配置,如将这些临时文件的安全属性修改为与所述权限数据中允许使用的文件的属性一致,或者将该临时文件的操作权限修改为与所述权限数据中允许执行的操作一致,并将上述对文件修改后的权限与该用户的用户名关联,即对其他用户而言该文件的权限并未修改,从而后续在该用户上传用户标识后,获取到的安全属性或操作权限将允许该用户对文件进行启动、修改等操作,使得用户可以对临时文件进行处理。
其中在上传文件标识以及用户名等信息时,可以由该用户自行上传至内网监控服务器,然后内网监控服务器可以依据一些验证数据如验证码等确定是否要进行权限的修改,此外内网监控服务器也可以将该权限修改的信息转发给内网中优先级较高的用户,然后由该优先级较高的用户确定是否进行权限的修改。
与此相对也可以是优先级较高的用户上传文件标识以及用户名等信息给内网监控服务器,该优先级较高的用户具有权限修改文件的安全属性以及用户对文件的操作权限,从而内网监控服务器依据该优先级较高的用户的请求对该用户名对应用户的权限进行修改。
本发明一个可选实施例中,所述内网监控服务器配置执行所述文件的安全属性或用户对所述文件的操作权限修改的权限时间,则在所述权限时间内所述用户对所述文件具有操作权限或使用权限。
实际处理中,通常用户由于某些需求而要对文件进行临时处理时,是具有一定的时限的,如在执行某一项目时,则在该项目有效期内需要对不具有权限的文件进行临时处理,从而服务器在执行对所述文件的安全属性或用户对所述文件的操作权限的修改时,还要配置对该文件的权限进行修改的权限时间,从而在该权限时间内用户对该文件具有操作权限或使用权限,而超过该权限时间后,用户不能在对该文件进行使用或执行操作。
本发明的各实施例之间可以独立执行,也可以彼此交互,如在拦截某些可执行文件后确定用户对该可执行文件具有使用权限,可以启动该可执行文件,该可执行文件的进程后续可以对其他文件进行处理,此时还可以拦截对其他文件的处理操作,进一步确定用户的使用权限。
综上所述,可以对用户设备中与文件关联的进程进行监控,从而监控用户对文件执行的处理操作,进而在确定用户具有使用权限后,允许对文件执行所述处理操作,防止用户任意对文件进行查看、修改,确保数据的安全。
其次,可以对用户本不具有权限的文件进行临时设置,在内网监控服务器中配置用户对一些临时文件的临时使用权限,从而使得在一些特殊情况下用户可以对这些文件进行使用,并且还可以配置临时使用的权限时间,从而在该权限时间内可以使用文件或对文件执行操作,而超出该权限时间后,不再具有对该文件进行使用或执行操作的权限,使得文件的使用更加灵活。
实施例三
参照图4,示出了根据本发明实施例三提供的设备的权限配置系统结构图。
在上述实施例的基础上,本实施例还提供了一种设备的权限配置系统,包括:用户设备40和内网监控服务器41。
其中,用户设备40包括:获取模块401、发送模块402、接收模块403和权限确定模块404。获取模块401,用于在用户登录时获取包含用户名的登录信息;发送模块402,用于将所述登录信息发送给内网监控服务器41;接收模块403,用于接收内网监控服务器41依据所述登录信息反馈的所述用户的权限数据;权限确定模块404,用于在所述用户使用文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限。
内网监控服务器41用于接收所述用户设备40发送的登录信息,以及依据所述登录信息确定所述用户的权限数据并反馈给所述用户设备40。
综上所述,在用户登录时获取包含用户名的登录信息,接收内网监控服务器依据所述登录信息反馈的所述用户的权限数据,在所述用户使用文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限。为各用户配置文件的使用权限,使得用户在使用终端时只能使用具有权限的文件,防止用户随意查看、使用文件,保证设备内文件的数据安全。
参照图5,示出了根据本发明实施例三提供的设备的权限配置系统中用户设备可选结构图。
本发明一个可选实施例中,所述获取模块401,用于在用户登录时获取登录的用户名,并获取所述用户设备40的设备标识,将所述用户名和所述设备标识构成登录信息。
本发明一个可选实施例中,用户设备40还包括:监控模块405,用于对启动文件的接口进行监控;所述权限确定模块404,包括:拦截子模块4041,用于通过所述启动文件的接口监控到所述用户使用文件时,对所述文件进行拦截。
本发明一个可选实施例中,拦截子模块4041,还用于获取所述文件的文件标识;则所述发送模块402,还用于并将所述文件标识发送至所述内网监控服务器41;所述内网监控服务器41还用于依据所述文件标识确定所述文件的安全属性并将所述文件的安全属性反馈给所述用户设备40。
本发明一个可选实施例中,所述权限确定模块404,包括:权限比较子模块4042,用于采用所述文件的安全属性与所述权限数据进行比较,当所述文件的安全属性与所述权限数据中允许使用的文件的属性一致时,所述用户对所述文件具有使用权限;所述用户设备40还包括:启动模块406,用于在权限比较子模块确定所述用户对所述文件具有使用权限之后,启动所述文件供用户使用。
本发明一个可选实施例中,监控模块405,用于对与文件关联的进程进行监控;拦截子模块4041,用于通过所述与文件关联的进程监控所述文件,并对所述文件的处理操作进行拦截。
本发明一个可选实施例中,接收模块403,用于从内网监控服务器41中获取所述用户对文件的操作权限;权限比较子模块4042,用于采用所述操作权限与所述权限数据进行比较,当所述操作权限与所述权限数据中允许执行的操作一致时,所述用户对所述文件具有执行操作的使用权限;所述用户设备40还包括:处理模块407,用于在确定所述用户对所述文件具有使用权限之后,对所述文件执行所述处理操作。
本发明一个可选实施例中,内网监控服务器41,还用于从内网中各用户设备中收集文件,并手机注册内网的用户;分别分配各用户对收集的文件执行操作的操作权限;依据收集的文件以及为用户分配的操作权项建立权限数据库。
本发明一个可选实施例中,用户设备40还包括:禁止模块408,用于当确定用户对所述文件不具有使用权限时,禁止所述启动所述文件,或禁止所述用户对文件进行所述处理操作。
本发明一个可选实施例中,发送模块402,还用于将用户需要使用的不具备使用权限的临时文件的文件标识上传至所述内网监控服务器41;所述内网监控服务器41还用于对所述临时文件的安全属性或用户对所述文件的操作权限进行修改。
本发明一个可选实施例中,内网监控服务器41还用于配置执行所述文件的安全属性或用户对所述文件的操作权限修改的权限时间,则在所述权限时间内所述用户对所述文件具有操作权限或使用权限。
本发明一个可选实施例中,用户设备40还包括:清空并存储模块409,用于清空本地缓存,并对所述用户的权限数据进行存储。
综上所述,可以对用户设备中启动文件的接口进行监控,从而对文件本身进行拦截确定用户的使用权限,防止用户启动不具有权限的文件,确保数据的安全。
其次,可以对用户设备中与文件关联的进程进行监控,从而监控用户对文件执行的处理操作,进而在确定用户具有使用权限后,允许对文件执行所述处理操作,防止用户任意对文件进行查看、修改,确保数据的安全。
再次,可以对用户本不具有权限的文件进行临时设置,在内网监控服务器中配置用户对一些临时文件的临时使用权限,从而使得在一些特殊情况下用户可以对这些文件进行使用,并且还可以配置临时使用的权限时间,从而在该权限时间内可以使用文件或对文件执行操作,而超出该权限时间后,不再具有对该文件进行使用或执行操作的权限,使得文件的使用更加灵活。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的设备的权限配置装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了A1、一种设备的权限配置方法,包括:在用户登录用户设备时获取包含用户名的登录信息,并将所述登录信息发送给内网监控服务器;接收内网监控服务器依据所述登录信息反馈的所述用户的权限数据;在所述用户使用所述用户设备中文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限。
A2、如A1所述的方法,所述在用户登录用户设备时获取包含用户名的登录信息,并将所述登录信息发送给内网监控服务器,包括:在用户登录用户设备时获取登录的用户名,并获取所述用户设备的设备标识;将所述用户名和所述设备标识构成登录信息,并将所述登录信息发送给所述内网监控服务器。
A3、如A1所述的方法,还包括:对所述设备中启动文件的接口进行监控;所述在所述用户使用所述用户设备中文件时拦截所述文件,包括:通过所述启动文件的接口监控到所述用户使用所述用户设备中文件时,对所述文件进行拦截。
A4、如A1或A3所述的方法,所述在所述用户使用所述用户设备中文件时拦截所述文件之后,还包括:获取所述文件的文件标识并将所述文件标识发送至所述内网监控服务器;所述内网监控服务器依据所述文件标识确定所述文件的安全属性并将所述文件的安全属性反馈给所述用户设备。
A5、如A4所述的方法,所述依据所述权限数据确定用户对所述文件的使用权限,包括:采用所述文件的安全属性与所述权限数据进行比较,当所述文件的安全属性与所述权限数据中允许使用的文件的属性一致时,所述用户对所述文件具有使用权限;确定所述用户对所述文件具有使用权限之后,还包括:启动所述文件供用户使用。
A6、如A1所述的方法,还包括:对所述用户设备中与文件关联的进程进行监控;所述在所述用户使用所述用户设备中文件时拦截所述文件,包括:通过所述与文件关联的进程监控所述文件,并对所述文件的处理操作进行拦截。
A7、如A6所述的方法,所述依据所述权限数据确定用户对所述文件的使用权限,包括:从内网监控服务器中获取所述用户对文件的操作权限,采用所述操作权限与所述权限数据进行比较,当所述操作权限与所述权限数据中允许执行的操作一致时,所述用户对所述文件具有执行操作的使用权限;确定所述用户对所述文件具有使用权限之后,还包括:对所述文件执行所述处理操作。
A8、如A1或A7所述的方法,还包括:内网监控服务器从内网各用户设备中收集文件,并收集注册内网的用户;分别分配各用户对收集的文件执行操作的操作权限;依据收集的文件以及为用户分配的操作权项建立权限数据库。
A9、如A1或A5或A7所述的方法,还包括:当确定用户对所述文件不具有使用权限时,禁止所述启动所述文件,或禁止所述用户对文件进行所述处理操作。
A10、如A1所述的方法,还包括:将用户需要使用的不具备使用权限的文件的文件标识上传至所述内网监控服务器;所述内网监控服务器依据所述文件标识对所述文件的安全属性或用户对所述文件的操作权限进行修改。
A11、如A10所述的方法,还包括:所述内网监控服务器配置执行所述文件的安全属性或用户对所述文件的操作权限修改的权限时间,则在所述权限时间内所述用户对所述文件具有操作权限或使用权限。
A12、如A1所述的方法,所述接收服务器依据所述登录信息反馈的所述用户的权限数据之后,还包括:清空本地缓存,并对所述用户的权限数据进行存储。
本发明还公开了B13、一种权限配置系统,包括:用户设备和内网监控服务器;所述用户设备包括:获取模块,用于在用户登录时获取包含用户名的登录信息;发送模块,用于将所述登录信息发送给所述内网监控服务器;接收模块,用于接收所述内网监控服务器依据所述登录信息反馈的所述用户的权限数据;权限确定模块,用于在所述用户使用文件时拦截所述文件,并依据所述权限数据确定所述用户对所述文件的使用权限;则所述内网监控服务器,用于接收所述用户设备发送的登录信息,以及依据所述登录信息确定所述用户的权限数据并反馈给所述用户设备。
B14、如B13所述的系统,所述获取模块,用于在用户登录设备时获取登录的用户名,并获取设备标识,将所述用户名和所述设备标识构成登录信息。
B15、如B13所述的系统,所述用户设备还包括:监控模块,用于对启动文件的接口进行监控;所述权限确定模块,包括:拦截子模块,用于通过所述启动文件的接口监控到所述用户使用文件时,对所述文件进行拦截。
B16、如B13或B15所述的系统:所述拦截子模块,还用于获取所述文件的文件标识;则所述发送模块,还用于并将所述文件标识发送至所述内网监控服务器;所述内网监控服务器,还用于依据所述文件标识确定所述文件的安全属性并将所述文件的安全属性反馈给所述用户设备。
B17、如B16所述的系统,所述权限确定模块,包括:权限比较子模块,用于采用所述文件的安全属性与所述权限数据进行比较,当所述文件的安全属性与所述权限数据中允许使用的文件的属性一致时,所述用户对所述文件具有使用权限;所述用户设备还包括:启动模块,用于在权限比较子模块确定所述用户对所述文件具有使用权限之后,启动所述文件供用户使用。
B18、如B13所述的系统,所述用户设备还包括:监控模块,用于对与文件关联的进程进行监控;所述权限确定模块,包括:拦截子模块,用于通过所述与文件关联的进程监控所述文件,并对所述文件的处理操作进行拦截。
B19、如B18所述的系统:所述接收模块,用于从内网监控服务器中获取所述用户对文件的操作权限;所述权限确定模块包括:权限比较子模块,用于采用所述操作权限与所述权限数据进行比较,当所述操作权限与所述权限数据中允许执行的操作一致时,所述用户对所述文件具有执行操作的使用权限;所述用户设备还包括:处理模块,用于在确定所述用户对所述文件具有使用权限之后,对所述文件执行所述处理操作。
B20、如B13或B19所述的系统:所述内网监控服务器,还用于从内网中各用户设备中收集文件,并手机注册内网的用户;分别分配各用户对收集的文件执行操作的操作权限;依据收集的文件以及为用户分配的操作权项建立权限数据库。
B21、如B13或B17或B19所述的系统,所述用户设备还包括:禁止模块,用于当确定用户对所述文件不具有使用权限时,禁止所述启动所述文件,或禁止所述用户对文件进行所述处理操作。
B22、如B13所述的系统:所述发送模块,还用于将用户需要使用的不具备使用权限的文件的文件标识上传至所述内网监控服务器;所述内网监控服务器,还用于对所述文件的安全属性或用户对所述文件的操作权限进行修改。
B23、如B22所述的系统:所述内网监控服务器,还用于配置执行所述文件的安全属性或用户对所述文件的操作权限修改的权限时间,则在所述权限时间内所述用户对所述文件具有操作权限或使用权限。
B24、如B13所述的系统,所述用户设备还包括:清空并存储模块,用于清空本地缓存,并对所述用户的权限数据进行存储。