CN104318175B - 一种文档保护方法、设备以及系统 - Google Patents
一种文档保护方法、设备以及系统 Download PDFInfo
- Publication number
- CN104318175B CN104318175B CN201410591382.XA CN201410591382A CN104318175B CN 104318175 B CN104318175 B CN 104318175B CN 201410591382 A CN201410591382 A CN 201410591382A CN 104318175 B CN104318175 B CN 104318175B
- Authority
- CN
- China
- Prior art keywords
- document
- content
- application
- encrypted
- application example
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种文档保护方法、设备以及系统。该文档保护设备包括:规则管理器,适于维护一应用列表,该应用列表包括一个或者多个支持对文档进行自适应保护的第一类型应用;加解密模块;文档控制器,适于监控到第一类型应用的应用实例读取文档内容时,判断文档内容是否为加密内容;当所述文档内容为加密内容时,将该应用实例标识为支持对文档进行保护的第一类型应用实例,并指示加解密模块对文档内容进行解密处理,当所述文档内容不是加密内容时,将该应用实例标识为不支持对文档进行保护的第二类型应用实例,并由该应用实例直接读取文档内容放置在临时存储空间。本发明提高了文档保护方案的易用性。
Description
技术领域
本发明涉及计算机和互联网领域,具体涉及一种文档保护方法、设备以及系统。
背景技术
随着计算机技术以及网络技术的普及和发展,丰富的网络数据资源为人们的生活带来了极大的便利,同时也带来了诸多的困惑。例如,在企业中,员工很容易将一些涉及企业秘密的文档发送到企业之外,从而导致文档泄密。因此,能够保护文档以防止文档内容外传的方案随之产生。
目前存在的一种保护文档的方案是对文档进行加解密,即在用户的计算机上安装文档保护客户端,文档以密文方式存储在文档存储器中,让用户需要浏览文档内容时,将加密的文档内容从文档存储器中读取出来并解密,从而将明文呈现给用户。而当用户对文档内容进行了修改等之后并进行存储时,文档保护客户端会对该文档内容进行加密,并存储到文档存储器中。这样即使将该文档从文档存储器复制到外部,该文档也是加密状态,从而防止了文档内容外泄的风险。
然而,在这种方案中,还存在这样的问题,即一旦在用户的计算设备上安装了该文档保护客户端,则该计算设备上的所有支持文档都会被以密文方式进行存储,并进行加解密操作来获得明文的文档。然而在很多的计算设备中,一些文档的重要性并不高,或者不属于需要控制的内容,对这些文档进行加解密保护将该用户的使用带来不便。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的文档保护方法、设备以及系统。
根据本发明的一个方面,提供了一种文档保护设备,驻留在计算设备中,该文档保护设备包括:规则管理器,适于维护一应用列表,该应用列表包括一个或者多个支持对文档进行自适应保护的第一类型应用;加解密模块,适于根据解密指示对加密的文档内容进行解密,将解密内容放置在临时存储空间中以供应用实例读取;根据加密指示对临时存储空间中的内容进行加密,并存储加密的文档;以及文档控制器,适于监控应用实例对文档的操作,当监控到第一类型应用的应用实例读取文档内容时,判断文档内容是否为加密内容;当所述文档内容为加密内容时,将该应用实例标识为支持对文档进行保护的第一类型应用实例,并指示加解密模块对文档内容进行解密处理,当所述文档内容不是加密内容时,将该应用实例标识为不支持对文档进行保护的第二类型应用实例,并由该应用实例直接读取文档内容放置在临时存储空间;当监控到第一类型应用实例存储文档时,指示加解密模块对临时存储空间中的内容进行加密后存储,当监控到第二类型应用实例存储文档时,由该第二类型应用实例直接将临时存储空间中的文档内容进行存储。
可选地,在根据本发明的文档保护设备中,应用列表还包括一个或者多个支持对文档进行保护的第二类型应用;文档控制器监控到第二类型应用的应用实例读取文档内容时,判断文档内容是否为加密内容;当所述文档内容为加密内容时,指示加解密模块对文档内容进行解密处理,当所述文档内容不是加密内容时,由该应用实例直接读取文档内容放置在临时存储空间;当监控到第二类型应用的应用实例存储文档时,指示加解密模块对临时存储空间中的内容进行加密后存储。
可选地,在根据本发明的文档保护设备中,文档控制器中还包括文档转换模块,适于根据用户的相应指示,调用加解密模块将加密文档转换为非加密文档,或者,将非加密文档转换为加密文档。
可选地,在根据本发明的文档保护设备中,所述规则管理器中还存储各种应用的文档操作规则;文档控制器在监控到应用对文档的操作时,从所述规则管理器中获取与应用的文档操作规则,并确定该应用是否可以进行该文档操作。
可选地,在根据本发明的文档保护设备中,文档保护设备还包括客户端代理模块,适于与文档保护服务器进行通信,并耦接到所述文档控制器,以将所述文档控制器所监控到的操作记录发送到文档保护服务器。
可选地,在根据本发明的文档保护设备中,客户端代理模块还包括身份认证部件,适于经由和文档保护服务器的通信来对文档保护设备进行认证,并且只允许认证通过的文档保护设备启动文档控制器进行文档操作。
可选地,在根据本发明的文档保护设备中,客户端代理模块还从所述文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规则,并存储到所述规则管理器。
根据本发明的另一方面,提供了一种文档保护方法,适于在计算设备中运行,该文档保护方法包括:监控计算设备中的应用实例对文档的操作,当监控到支持对文档进行自适应保护的第一类型应用的应用实例读取文档内容时,判断文档内容是否为加密内容;当所述文档内容为加密内容时,将该应用实例标识为支持对文档进行保护的第一类型应用实例,并对文档内容进行解密处理后放置在临时存储空间,当所述文档内容不是加密内容时,将该应用实例标识为不支持对文档进行保护的第二类型应用实例,并由该应用实例直接读取文档内容放置在临时存储空间;以及当监控到第一类型应用实例存储文档时,对临时存储空间中的内容进行加密后存储,当监控到第二类型应用实例存储文档时,由该第二类型应用实例直接将临时存储空间中的文档内容进行存储。
可选地,根据本发明的文档保护方法还包括:当监控到支持对文档进行保护的第二类型应用的应用实例读取文档内容时,判断文档内容是否为加密内容;当所述文档内容为加密内容时,对文档内容进行解密处理后放置在临时存储空间,当所述文档内容不是加密内容时,由该应用实例直接读取文档内容放置在临时存储空间;当监控到第二类型应用的应用实例存储文档时,对临时存储空间中的内容进行加密后存储。
可选地,根据本发明的文档保护方法还包括:根据用户的相应指示,将加密文档转换为非加密文档,或者,将非加密文档转换为加密文档。
可选地,根据本发明的文档保护方法还包括:在监控到应用对文档的操作时,获取与应用的文档操作规则,并确定该应用是否可以进行该文档操作。
可选地,根据本发明的文档保护方法还包括:与文档保护服务器进行通信,以将监控到的操作记录发送到文档保护服务器。
根据本发明的又一方面,提供了一种文档保护系统,包括文档保护服务器以及一个或者多个计算设备,与所述文档保护服务器通信连接,并且在计算设备中驻留有根据本发明的文档保护设备。
在根据本发明的文档保护方案中,根据文档的明文和密文属性来自动确定后续该文档是以明文方式操作还是密文方式操作,从而区别对待重要和不重要的文档,实现了对文档的自适应保护,提高了文档保护方案的易用性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的文档保护系统的结构示意图;
图2示出了根据本发明一个实施例的文档保护设备的结构示意图;
图3示出了根据本发明一个实施例的文档保护方法的流程示意图;以及
图4是布置为实现根据本发明的文档保护方法的示例计算设备900的框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的文档保护系统100的结构示意图。如图1所示,文档保护系统100包括文档保护服务器110以及一个或者多个通过网络与文档保护服务器110通信连接的计算设备120。每个计算设备120中均驻留有文档保护设备200(也可称为文档保护客户端)。计算设备120可以是本领域任何可以处理电子数据的设备,包括但不限于桌面型计算机、笔记本式计算机、个人数字助理、智能移动终端和平板电脑等。计算设备120中通常运行现代的操作系统,利用操作系统来管理计算设备120中的硬件资源。一般来说,现代的操作系统会划分为用户空间层和内核层。根据本发明的一个实施方式,文档保护设备200不仅仅在用户空间层运行,而且其还有一部分部件在操作系统的内核层中运行。
文档保护设备200和文档保护服务器110进行通信,从而可以确保在计算设备120中的特定文档不能在计算设备120之外的其它设备上被查看、修改等。根据一个实施方式,未安装有文档保护设备200的计算设备不能打开文档。另外,文档保护服务器110还可以包括日志存储器112。各个计算设备120中文档保护设备200所监测到的、各个应用对文档的操作记录都会发送到文档保护服务器110并存储到日志存储器112中。这样,当发现某个文档被外泄时,可以根据日志存储器112中存储的操作记录来确定有可能是哪个计算设备120发生了外泄。此外还可以通过对日志存储器112中存储的操作记录进行统计分析来确定文档被外泄的风险性。
文档保护服务器110还可以包括身份认证部件114,适于对各个计算设备处的用户进行身份认证,从而确保只有认证通过的用户才可以使用计算设备120来进行文档操作。
文档保护服务器110还可以包括规则存储器116,其中存储了应用的文档操作规则。例如对于一般用户来说,可以使用word字处理应用来浏览和修改word文档,但是不能打印文档。而对于一般财务人员来说,则可以利用Excel表格处理应用来打开、浏览财务文档,但是不能浏览开发文档。而对于公司的财务总监来说,对于财务文档具有全部权限。又例如,对于word字处理应用,用户可以对其打开的word文档进行截屏操作并获取截屏内容;对于Excel表格处理应用,用户不能通过截屏操作来获取Excel文档内容等。文档保护服务器110可以根据需要更新规则存储器116中存储的规则,并发送给相应的文档保护设备200,以便文档保护设备200可以根据该规则来确定文档操作的权限等。
另外,规则存储器116中还可以存储文档保护系统中与各文档保护设备200相关联的应用列表,以及支持文档保护的格式等。该应用列表中可以包括:一个或多个支持对文档进行自适应性保护的第一类型应用(简称为自适应保护应用),一个或多个支持对文档进行保护的第二类型应用(简称为受保护应用),以及一个或多个不支持对文档进行保护的第三类型应用(简称为不受保护应用)。文档保护设备200可以从规则存储器116获取与自身关联的应用列表以及文档操作规则,并根据该应用列表以及文档操作规则对计算设备上的各种应用对文档的各种操作进行监测和控制,从而提高了文档保护方案的易用性。
以下对文档保护设备200的具体构成和工作原理进行详细介绍。图2示出了根据本发明一个实施例的文档保护设备200的结构示意图。如图2所示,文档保护设备200包括规则管理器210、文档控制器220和加解密模块230。
规则管理器210耦接到文档控制器220,并维护(或存储)一应用列表,该应用列表中包括一个或者多个支持对文档进行自适应保护的第一类型应用。所谓自适应性保护,是指该应用的应用实例对计算设备中的文档进行操作时,会根据文档的明文和密文属性来自动确定后续该文档是以明文方式操作还是以密文方式操作,对于明文文档,后续是以明文方式进行操作,即直接打开,不加密存储;对于密文文档,后续是以密文方式进行操作,即解密打开,加密存储。
文档控制器220监控计算设备中的应用实例对文档的操作。文档控制器220监控到第一类型应用的应用实例读取文档内容时,首先判断文档内容是否为加密内容。当该文档内容为加密内容时,将该应用实例标识为支持对文档进行保护的第一类型应用实例,并指示加解密模块230对文档内容进行解密处理后放置在临时存储空间(例如内存)中,当文档内容不是加密内容时,将该应用实例标识为不支持对文档进行保护的第二类型应用实例,并由该应用实例直接读取文档内容放置在临时存储空间中。
其中,文档控制器220可以打开该文档,通过察看文件头来判断文档是否已经被加密。
后续,文档控制器220监控到第一类型应用实例存储文档时,指示加解密模块230对临时存储空间中的内容进行加密后存储(例如存储到硬盘),当监控到第二类型应用实例存储文档时,由该第二类型应用实例直接将临时存储空间中的文档内容进行存储。
加解密模块230耦接到文档控制器220,适于根据文档控制器220的解密指示对加密的文档内容进行解密,将解密内容放置在临时存储空间中以供应用实例读取;根据文档控制器220的加密指示对临时存储空间中的内容进行加密,并存储加密的文档。
加解密模块230的加解密操作对于上层应用来说是不可见的,或者说是透明的。当应用实施例在打开或编辑指定文档时,加解密模块230根据加密指示自动对未加密的文档进行加密,根据解密指示对已加密的文档自动解密。加解密模块230可以采用本领域的任何加解密技术来进行文档加解密操作,而不脱离本发明的保护范围。
另外,所述应用列表中还包括一个或者多个支持对文档进行保护的第二类型应用。所谓支持对文档进行保护,是指该应用的应用实例对计算设备中的文档进行操作时,不区分文档的明文和密文属性,在存储文档时都进行加密存储,当然,对于密文,需要解密后读取。相应地,文档控制器220监控到第二类型应用的应用实例读取文档内容时,判断文档内容是否为加密内容。当所述文档内容为加密内容时,指示加解密模块230对文档内容进行解密处理并放置在临时存储空间,当所述文档内容不是加密内容时,由该应用实例直接读取文档内容放置在临时存储空间。文档控制器220监控到第二类型应用的应用实例存储文档时,指示加解密模块230对临时存储空间中的内容进行加密后存储。
根据本发明的实施例,规则管理器210所维护的应用列表中除了可以包括支持对文档进行自适应性保护的第一类型应用和支持对文档进行保护的第二类型应用之外,还可以包括一个或多个不支持对文档进行保护的第三类型应用。或者,规则管理器210所维护的应用列表中仅包括支持对文档进行自适应性保护的第一类型应用和支持对文档进行保护的第二类型应用,文档控制器220在监控到应用实例进行文档操作时,将计算设备上除第一类型应用以及第二类型应用之外的其他应用都视为所述第三类型应用。所谓不支持对文档进行保护,是指该应用的应用实例不能解密加密文档,在存储文档时也不进行加密。
例如,该应用列表中的word字处理应用为受保护应用,则通过word可以打开密文文档和明文文档,对打开的密文文档和明文文档均加密存储。AutoCAD制图应用为自适应性保护应用,则通过AutoCAD可以打开密文文档和明文文档,对打开的密文文档加密存储,对打开的明文文档不加密存储。记事本(Notepad)字处理应用为不受保护应用,则通过Notepad不能打开密文文档,仅能打开明文文档,且对打开的明文文档不加密存储。
规则管理器210中还可以存储应用列表中应用的文档操作规则,应用的文档操作规则包括应用列表中的各种应用能够进行文档操作的方式,例如,一些应用的应用实例只能打开文档而不能编辑等,还有一些应用的应用实例不能进行打印等。文档控制器220可以根据规则管理器210中的规则来控制应用的文档操作权限。其中,该文档保护设备的该应用列表以及文档操作规则可以从文档保护服务器110,尤其是文档保护服务器110的规则存储器116中获取。
在一种实现方式中,文档控制器220在用户空间层即应用层中运行,并采用应用层API HOOK(俗称钩子)技术。当各种应用的应用实例对文档进行操作或者用户在计算设备上进行各种操作时,文档控制器220利用APIHOOK在应用层的系统API处可以提前截获包括文档打开、修改、复制、剪切、粘贴、截屏、打印等操作请求,从而可以根据规则管理器210中存储的文档操作规则进行相应的处理。
根据本发明的一个实施例,文档控制器220中还可以包括文档转换模块222,适于根据用户的相应指示,调用加解密模块230将加密文档转换为非加密文档,或者,将非加密文档转换为加密文档。例如,用户需要将一个未加密的非重要文档转换重要文档时,可以通过计算设备的相应接口发出加密指示给文档转换模块222,由文档转换模块222调用加解密模块230将非加密文档转换为加密文档;用户需要将一个加密的重要文档转换非重要文档时,可以通过计算设备的相应接口发出解密指示给文档转换模块222,由文档转换模块222调用加解密模块230将加密文档转换为非加密文档。另外,为了保证系统的安全性,上述文档转换功能可以仅提供给具有文档转换权限的用户使用。
为了和文档保护服务器110进行通信,文档保护设备200还可以包括客户端代理模块240。客户端代理模块240耦接到文档控制器220并且与文档保护服务器110进行通信,以便将文档控制器220监控到的文档操作记录发送到文档保护服务器110,例如存储到日志存储器112中,从而可以后续对该操作记录进行分析,来确定文档泄密路径和可能被泄密的文档。
规则管理器210也可以耦接到客户端代理模块240,从而由客户端代理模块240从文档保护服务器110,尤其是规则存储器116获取最新的与文档保护设备200相关联的应用列表和文档操作规则,并更新到所述规则管理器210。
客户端代理模块240还可以包括身份认证部件242,其通过与文档保护服务器110中的身份认证部件114进行交互,从而对文档保护设备200,尤其是文档保护设备200上的用户进行认证,并且只允许认证通过的文档保护设备200启动文档控制器220来进行文档操作控制。
根据本发明的文档保护设备200,根据文档的明文和密文属性来自动确定后续该文档是以明文方式操作还是密文方式操作,从而区别对待重要和不重要的文档,实现了对文档的自适应保护,提高了文档保护方案的易用性。
图3示出了根据本发明一个实施例的文档保护方法300的流程示意图。文档保护方法300适于在图1所述的计算设备120中执行,尤其适于在图2所示的文档保护设备200中执行。
文档保护方法300始于步骤S310。在步骤S310中,监控计算设备中的应用实例对文档的操作。在一种实现方式中,当各种应用的应用实例对文档进行操作或者用户在计算设备上进行各种操作时,利用API HOOK在应用层的系统API处可以提前截获包括文档打开、修改、复制、剪切、粘贴、截屏、打印等操作请求,从而可以根据计算设备中存储的应用列表和文档操作规则进行相应的处理。其中,该计算设备中的该应用列表以及文档操作规则可以从文档保护服务器,尤其是文档保护服务器的规则存储器中获取。
在步骤S320中,当监控到支持对文档进行自适应保护的第一类型应用的应用实例读取文档内容时,判断文档内容是否为加密内容,当所述文档内容为加密内容时,进入步骤S330,当所述文档内容不是加密内容时进入步骤S340。可以采用UltraEdit或类似的十六进制编辑器打开该文档,通过察看文件头来判断文档是否已经被加密。
在步骤S330中,当所述文档内容为加密内容时,将该应用实例标识为支持对文档进行保护的第一类型应用实例,并对文档内容进行解密处理后放置在临时存储空间。
在步骤S340中,当所述文档内容不是加密内容时,将该应用实例标识为不支持对文档进行保护的第二类型应用实例,并由该应用实例直接读取文档内容放置在临时存储空间。
在步骤S350中,当监控到第一类型应用的应用实例存储文档时,判断该应用实例的类型,当该应用实例为第一类型应用实例时,进入步骤S360,当该应用实例为第二类型应用实例时,进入步骤S370。
在步骤S360中,当监控到第一类型应用实例存储文档时,对临时存储空间中的内容进行加密后存储。
在步骤S370中,当监控到第二类型应用实例存储文档时,由该第二类型应用实例直接将临时存储空间中的文档内容进行存储。
根据本发明的一个实施例,文档保护方法300还包括:
当监控到支持对文档进行适应保护的第二类型应用的应用实例读取文档内容时,判断文档内容是否为加密内容;
当所述文档内容为加密内容时,对文档内容进行解密处理后放置在临时存储空间,当所述文档内容不是加密内容时,由该应用实例直接读取文档内容放置在临时存储空间;
当监控到第二类型应用的应用实例存储文档时,对临时存储空间中的内容进行加密后存储。
根据本发明的实施例,计算设备中存储的应用列表中除了可以包括支持对文档进行自适应性保护的第一类型应用和支持对文档进行保护的第二类型应用之外,还可以包括一个或多个不支持对文档进行保护的第三类型应用。或者,所述应用列表中仅包括支持对文档进行自适应性保护的第一类型应用和支持对文档进行保护的第二类型应用,在监控到应用实例进行文档操作时,将计算设备上除第一类型应用以及第二类型应用之外的其他应用都视为所述第三类型应用。
例如,该应用列表中的word字处理应用为受保护应用,则通过word可以打开密文文档和明文文档,对打开的密文文档和明文文档均加密存储。AutoCAD制图应用为自适应性保护应用,则通过AutoCAD可以打开密文文档和明文文档,对打开的密文文档加密存储,对打开的明文文档不加密存储。记事本(Notepad)字处理应用为不受保护应用,则通过Notepad不能打开密文文档,仅能打开明文文档,且对打开的明文文档不加密存储。
根据本发明的一个实施例,文档保护方法300还包括:根据用户的相应指示,将加密文档转换为非加密文档,或者,将非加密文档转换为加密文档。
根据本发明的一个实施例,文档保护方法300还包括:在监控到应用对文档的操作时,获取与应用的文档操作规则,并确定该应用是否可以进行该文档操作。
根据本发明的一个实施例,文档保护方法300还包括:与文档保护服务器进行通信,以将监控到的操作记录发送到文档保护服务器。
根据本发明的文档保护方法300,根据文档的明文和密文属性来自动确定后续该文档是以明文方式操作还是密文方式操作,从而区别对待重要和不重要的文档,实现了对文档的自适应保护,提高了文档保护方案的易用性。
图4是布置为实现根据本发明的文档保护方法的示例计算设备900的框图。该计算设备900同样可以用于实现根据本发明的计算设备120。
在基本的配置902中,计算设备900典型地包括系统存储器906和一个或者多个处理器904。存储器总线908可以用于在处理器904和系统存储器906之间的通信。
取决于期望的配置,处理器904可以是任何类型的处理,包括但不限于:微处理器(μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器904可以包括诸如一级高速缓存910和二级高速缓存912之类的一个或者多个级别的高速缓存、处理器核心914和寄存器916。示例的处理器核心914可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器918可以与处理器904一起使用,或者在一些实现中,存储器控制器918可以是处理器904的一个内部部分。
取决于期望的配置,系统存储器906可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器906可以包括操作系统920、一个或者多个应用922以及程序数据924。应用922可以包括被配置为实现文档保护方法的文档保护设备926。程序数据924可以包括可用于如此处所述的应用列表928。在一些实施方式中,应用922可以布置为在操作系统上利用程序数据924进行操作。
计算设备900还可以包括有助于从各种接口设备(例如,输出设备942、外设接口944和通信设备946)到基本配置902经由总线/接口控制器930的通信的接口总线940。示例的输出设备942包括图形处理单元948和音频处理单元950。它们可以被配置为有助于经由一个或者多个A/V端口952与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口944可以包括串行接口控制器954和并行接口控制器956,它们可以被配置为有助于经由一个或者多个I/O端口958和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备946可以包括网络控制器960,其可以被布置为便于经由一个或者多个通信端口964与一个或者多个其他计算设备962通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
计算设备900可以实现为小尺寸便携(或者移动)电子设备的一部分,这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。计算设备900还可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文档保护设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (11)
1.一种文档保护设备,驻留在计算设备中,该文档保护设备包括:
规则管理器,适于维护一应用列表,该应用列表包括一个或者多个支持对文档进行自适应保护的第一类型应用,以及一个或多个支持对文档进行保护的第二类型应用,其中,第一类型应用的应用实例对计算设备中的文档进行操作时,会根据文档的明文和密文属性来自动确定后续该文档是以明文方式操作还是以密文方式操作,对于明文文档,后续是以明文方式进行操作,即直接打开,不加密存储,对于密文文档,后续是以密文方式进行操作,即解密打开,加密存储;
加解密模块,适于根据解密指示对加密的文档内容进行解密,将解密内容放置在临时存储空间中以供应用实例读取;根据加密指示对临时存储空间中的内容进行加密,并存储加密的文档;以及
文档控制器,适于监控应用实例对文档的操作:
当监控到第一类型应用的应用实例读取文档内容时,通过察看文件头来判断文档内容是否为加密内容;当所述文档内容为加密内容时,将该应用实例标识为支持对文档进行保护的第一类型应用实例,并指示加解密模块对文档内容进行解密处理,当所述文档内容不是加密内容时,将该应用实例标识为不支持对文档进行保护的第二类型应用实例,并由该应用实例直接读取文档内容放置在临时存储空间;当监控到第一类型应用实例存储文档时,指示加解密模块对临时存储空间中的内容进行加密后存储,当监控到第二类型应用实例存储文档时,由该第二类型应用实例直接将临时存储空间中的文档内容进行存储;
当监控到第二类型应用的应用实例读取文档内容时,通过察看文件头来判断文档内容是否为加密内容;当所述文档内容为加密内容时,指示加解密模块对文档内容进行解密处理,当所述文档内容不是加密内容时,由该应用实例直接读取文档内容放置在临时存储空间;当监控到第二类型应用的应用实例存储文档时,指示加解密模块对临时存储空间中的内容进行加密后存储。
2.如权利要求1所述的文档保护设备,其中,所述文档控制器中还包括文档转换模块,适于根据用户的相应指示,调用加解密模块将加密文档转换为非加密文档,或者,将非加密文档转换为加密文档。
3.如权利要求2所述的文档保护设备,其中,所述规则管理器中还存储各种应用的文档操作规则;以及
所述文档控制器在监控到应用对文档的操作时,从所述规则管理器中获取与应用的文档操作规则,并确定该应用是否可以进行该文档操作。
4.如权利要求3所述的文档保护设备,还包括客户端代理模块,适于与文档保护服务器进行通信,并耦接到所述文档控制器,以将所述文档控制器所监控到的操作记录发送到文档保护服务器。
5.如权利要求4所述的文档保护设备,其中,所述客户端代理模块还包括身份认证部件,适于经由和文档保护服务器的通信来对文档保护设备进行认证,并且只允许认证通过的文档保护设备启动文档控制器进行文档操作。
6.如权利要求4所述的文档保护设备,其中,所述客户端代理模块还从所述文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规则,并存储到所述规则管理器。
7.一种文档保护方法,适于在计算设备中运行,该计算设备中存储一应用列表,该应用列表包括一个或者多个支持对文档进行自适应保护的第一类型应用,以及一个或多个支持对文档进行保护的第二类型应用,其中,第一类型应用的应用实例对计算设备中的文档进行操作时,会根据文档的明文和密文属性来自动确定后续该文档是以明文方式操作还是以密文方式操作,对于明文文档,后续是以明文方式进行操作,即直接打开,不加密存储,对于密文文档,后续是以密文方式进行操作,即解密打开,加密存储,该文档保护方法包括:
监控计算设备中的应用实例对文档的操作,当监控到支持对文档进行自适应保护的第一类型应用的应用实例读取文档内容时:通过察看文件头来判断文档内容是否为加密内容;当所述文档内容为加密内容时,将该应用实例标识为支持对文档进行保护的第一类型应用实例,并对文档内容进行解密处理后放置在临时存储空间,当所述文档内容不是加密内容时,将该应用实例标识为不支持对文档进行保护的第二类型应用实例,并由该应用实例直接读取文档内容放置在临时存储空间;以及
当监控到第一类型应用实例存储文档时,对临时存储空间中的内容进行加密后存储,当监控到第二类型应用实例存储文档时,由该第二类型应用实例直接将临时存储空间中的文档内容进行存储;
当监控到支持对文档进行保护的第二类型应用的应用实例读取文档内容时:通过察看文件头来判断文档内容是否为加密内容;
当所述文档内容为加密内容时,对文档内容进行解密处理后放置在临时存储空间,当所述文档内容不是加密内容时,由该应用实例直接读取文档内容放置在临时存储空间;
当监控到第二类型应用的应用实例存储文档时,对临时存储空间中的内容进行加密后存储。
8.如权利要求7所述的文档保护方法,还包括:根据用户的相应指示,将加密文档转换为非加密文档,或者,将非加密文档转换为加密文档。
9.如权利要求8所述的文档保护方法,还包括:在监控到应用对文档的操作时,获取与应用的文档操作规则,并确定该应用是否可以进行该文档操作。
10.如权利要求9所述的文档保护方法,其中,还包括:与文档保护服务器进行通信,以将监控到的操作记录发送到文档保护服务器。
11.一种文档保护系统,包括
文档保护服务器;以及
一个或者多个计算设备,与所述文档保护服务器通信连接,并且在计算设备中驻留有如权利要求1-6中任一项所述的文档保护设备。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410591382.XA CN104318175B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
| CN201711377845.2A CN107967430B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410591382.XA CN104318175B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711377845.2A Division CN107967430B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104318175A CN104318175A (zh) | 2015-01-28 |
| CN104318175B true CN104318175B (zh) | 2018-01-05 |
Family
ID=52373406
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711377845.2A Active CN107967430B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
| CN201410591382.XA Active CN104318175B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711377845.2A Active CN107967430B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN107967430B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106060806B (zh) * | 2016-05-24 | 2019-06-25 | 中国科学院信息工程研究所 | 一种适用于电路域加密通信的明密通信识别方法 |
| CN107665311A (zh) * | 2016-07-28 | 2018-02-06 | 中国电信股份有限公司 | 认证客户端、加密数据访问方法和系统 |
| CN113259092A (zh) * | 2021-04-04 | 2021-08-13 | 余绍祥 | 一种文档分布式加密系统 |
| CN113742769A (zh) * | 2021-08-03 | 2021-12-03 | 阿里健康科技(杭州)有限公司 | 一种数据处理系统和方法、电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6023506A (en) * | 1995-10-26 | 2000-02-08 | Hitachi, Ltd. | Data encryption control apparatus and method |
| CN102143158A (zh) * | 2011-01-13 | 2011-08-03 | 北京邮电大学 | 基于tpm的数据防泄漏方法 |
| CN103530570A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种电子文档安全管理系统及方法 |
| CN103763313A (zh) * | 2014-01-03 | 2014-04-30 | 深圳市大成天下信息技术有限公司 | 一种文档保护方法和系统 |
| CN103946856A (zh) * | 2013-09-30 | 2014-07-23 | 华为技术有限公司 | 加解密处理方法、装置和设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2256936C (en) * | 1998-12-23 | 2002-04-02 | Hamid Bacha | System for electronic repository of data enforcing access control on data search and retrieval |
| TWI387298B (zh) * | 2007-11-12 | 2013-02-21 | Univ Nat Chunghsing | Interactive Data Backup System |
| CN101561851B (zh) * | 2008-04-16 | 2011-04-20 | 杭州正隆数码科技有限公司 | 一种可不区分文件类型的透明文件加密方法 |
| CN101729550B (zh) * | 2009-11-09 | 2012-07-25 | 西北大学 | 基于透明加解密的数字内容安全防护系统及加解密方法 |
-
2014
- 2014-10-28 CN CN201711377845.2A patent/CN107967430B/zh active Active
- 2014-10-28 CN CN201410591382.XA patent/CN104318175B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6023506A (en) * | 1995-10-26 | 2000-02-08 | Hitachi, Ltd. | Data encryption control apparatus and method |
| CN102143158A (zh) * | 2011-01-13 | 2011-08-03 | 北京邮电大学 | 基于tpm的数据防泄漏方法 |
| CN103530570A (zh) * | 2013-09-24 | 2014-01-22 | 国家电网公司 | 一种电子文档安全管理系统及方法 |
| CN103946856A (zh) * | 2013-09-30 | 2014-07-23 | 华为技术有限公司 | 加解密处理方法、装置和设备 |
| CN103763313A (zh) * | 2014-01-03 | 2014-04-30 | 深圳市大成天下信息技术有限公司 | 一种文档保护方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107967430A (zh) | 2018-04-27 |
| CN107967430B (zh) | 2019-10-18 |
| CN104318175A (zh) | 2015-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104361294B (zh) | 一种文档保护方法、设备以及系统 | |
| CN103763313B (zh) | 一种文档保护方法和系统 | |
| CN105144189B (zh) | 安全云数据库平台 | |
| CN102782697B (zh) | 使用区的信息保护 | |
| US8769605B2 (en) | System and method for dynamically enforcing security policies on electronic files | |
| CN101729550B (zh) | 基于透明加解密的数字内容安全防护系统及加解密方法 | |
| EP3893430A1 (en) | Virtual service provider zones | |
| CN104318175B (zh) | 一种文档保护方法、设备以及系统 | |
| US20140208435A1 (en) | Software modification for partial secure memory processing | |
| TWI493950B (zh) | 條件式電子文件權限控管系統及方法 | |
| AU2012266675B2 (en) | Access control to data stored in a cloud | |
| CN103268456A (zh) | 一种文件安全控制方法及装置 | |
| CN104348838B (zh) | 一种文档管理系统和方法 | |
| CN101840471A (zh) | 文档权限控制方法和装置 | |
| CN104361265A (zh) | 一种文档保护方法、设备以及系统 | |
| CN108734026B (zh) | 数据防泄漏方法、系统、终端及介质 | |
| CN104318174A (zh) | 一种文档保护方法、设备以及系统 | |
| CN104182691B (zh) | 数据保密方法及装置 | |
| CN104408376A (zh) | 一种文档保护方法、设备以及系统 | |
| CN106575341A (zh) | 复合文档访问 | |
| Zhang | An overview of advantages and security challenges of cloud computing | |
| Mehrfeld | Cyber security and Industry 4.0 | |
| Saraswat et al. | Encryption and decryption techniques in cloud computing | |
| Shashikala et al. | Internet of Things (IoT) for Secure Data and M2M Communications—A Study | |
| Okoampa-Larbi et al. | A Proposed Cloud Security Framework for Service Providers in Ghana |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |