CN104361294A - 一种文档保护方法、设备以及系统 - Google Patents
一种文档保护方法、设备以及系统 Download PDFInfo
- Publication number
- CN104361294A CN104361294A CN201410593738.3A CN201410593738A CN104361294A CN 104361294 A CN104361294 A CN 104361294A CN 201410593738 A CN201410593738 A CN 201410593738A CN 104361294 A CN104361294 A CN 104361294A
- Authority
- CN
- China
- Prior art keywords
- document
- application
- content
- clipbook
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种文档保护设备。该文档保护设备包括:规则管理器,适于维护支持对文档进行保护的应用列表;以及文档控制器,适于监控计算设备中的应用对文档的操作,当监控到对源应用所显示文档内容的复制操作时,则当源应用在所述应用列表中时,将所复制的文档内容打上加密标签后放入剪贴板;当监控到在目标应用中的粘贴操作时,若剪贴板中的文档内容具有加密标签,则判断目标应用是否在所述应用列表中;若目标应用在所述应用列表中,则将剪贴板中的文档内容提供给目标应用,若目标应用不在所述应用列表中,则拒绝目标应用访问剪贴板。本发明还公开了一种对应的文档保护方法和包括该文档保护设备的文档保护系统。
Description
技术领域
本发明涉及计算机和互联网领域,具体涉及一种文档保护方法、设备以及系统。
背景技术
随着计算机技术以及网络技术的普及和发展,丰富的网络数据资源为人们的生活带来了极大的便利,同时也带来了诸多的困惑。例如,在企业中,员工很容易将一些涉及企业秘密的文档发送到企业之外,从而导致文档泄密。因此,能够保护文档以防止文档内容外传的方案随之产生。
目前存在的一种保护文档的方案是对文档进行加解密,即在用户的计算机上安装文档保护客户端,文档以密文方式存储在文档存储器中,让用户需要浏览文档内容时,将加密的文档内容从文档存储器中读取出来并解密,从而将明文呈现给用户。而当用户对文档内容进行了修改等之后并进行存储时,文档保护客户端会对该文档内容进行加密,并存储到文档存储器中。这样即使将该文档从文档存储器复制到外部,该文档也是加密状态,从而防止了文档内容外泄的风险。
在这种方案中,用户并不用关注文档是否被加解密而如寻常一样进行操作,称为透明加解密方案。这种方案可以很好解决文档内容外泄的问题。
然而,在这种方案中,透明加解密需要针对某些特定的应用进行加解密处理,对其他应用不做加解密处理。因此,这种方案仅仅对于某些应用程序(例如Office、AutoCAD等)适用,而对于其它应用程序并不适用。因此,可能会存在这样的情况,即当用户利用支持的应用浏览文档时(此时文档为 明文方式),如果将文档的部分内容复制到加解密方案不支持的应用中时,文档会以明文方式被复制走,并由此导致文档泄密。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的文档保护方法、设备以及系统。
根据本发明的一个方面,提供了一种文档保护设备,驻留在计算设备中,该文档保护设备包括:规则管理器,适于维护支持对文档进行保护的应用列表;以及文档控制器,适于监控计算设备中的应用对文档的操作,当监控到对源应用所显示文档内容的复制操作时,则当源应用在所述应用列表中时,将所复制的文档内容打上加密标签后放入剪贴板;当监控到在目标应用中的粘贴操作时,若剪贴板中的文档内容具有加密标签,则判断目标应用是否在所述应用列表中;若目标应用在所述应用列表中,则将剪贴板中的文档内容提供给目标应用,若目标应用不在所述应用列表中,则拒绝目标应用访问剪贴板。
可选地,在根据本发明的文档保护设备中,文档控制器监控到目标应用中的粘贴操作时,若剪贴板中的文档内容不具有加密标签,则将剪贴板中的文档内容直接提供给目标应用。
可选地,在根据本发明的文档保护设备中,文档保护设备还包括加解密模块,耦接到文档控制器;文档控制器监控到应用读取文档内容时,如果该应用在所述应用列表中,则调用加解密模块从计算设备中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取;当监控到应用存储文档内容时,如果该应用在所述应用列表中,则调用加解密模块将临时存储空间中的内容进行加密,并存储加密的文档。
可选地,在根据本发明的文档保护设备中,规则管理器还维护各种应用的文档操作规则;文档控制器在监控到应用对文档的操作时,从所述规则管理器中获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
可选地,根据本发明的文档保护设备还包括客户端代理模块,适于与文档保护服务器进行通信,并耦接到所述文档控制器,以将所述文档控制器所监控到的操作记录发送到文档保护服务器。
可选地,在根据本发明的文档保护设备中,客户端代理模块还包括身份认证部件,适于经由和文档保护服务器的通信来对文档保护设备进行认证,并且只允许认证通过的文档保护设备启动文档控制器进行文档操作。
可选地,在根据本发明的文档保护设备中,客户端代理模块还从所述文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规则,并存储到规则管理器。
根据本发明的另一方面,提供了一种文档保护方法,适于在计算设备中运行,该文档保护方法包括:监控计算设备中的应用对文档的操作,当监控到对源应用所显示文档内容的复制操作时,判断源应用是否在支持对文档进行保护的应用列表中,当源应用在所述应用列表中时,将所复制的文档内容打上加密标签后放入剪贴板;当监控到在目标应用中的粘贴操作时,判断剪贴板中的文档内容是否具有加密标签,若剪贴板中的文档内容具有加密标签,判断目标应用是否在所述应用列表中;以及若目标应用在所述应用列表中,将剪贴板中的文档内容提供给目标应用,若目标应用不在所述应用列表中,则拒绝目标应用访问剪贴板。
可选地,在根据本发明的文档保护方法中,还包括:当监控到目标应用中的粘贴操作时,若剪贴板中的文档内容不具有加密标签,则将剪贴板中的文档内容直接提供给目标应用。
可选地,在根据本发明的文档保护方法中,还包括:当监控到应用读取文档内容时,如果该应用在所述应用列表中,则从计算设备中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取;当监控到应用存储文档内容时,如果该应用在所述应用列表中,则将临时存储空间中的内容进行加密,并存储加密的文档。
可选地,在根据本发明的文档保护方法中,还包括:在监控到应用对文 档的操作时,获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
可选地,在根据本发明的文档保护方法中,还包括:与文档保护服务器进行通信,以将所监控到的操作记录发送到文档保护服务器。
根据本发明的又一方面,提供了一种文档保护系统,包括文档保护服务器以及一个或者多个计算设备,与所述文档保护服务器通信连接,并且在计算设备中驻留有根据本发明的文档保护设备。
在根据本发明的文档保护方案中,对用户从一个源应用打开的文档中复制(包括复制和剪切)部分内容到剪贴板,随后将该部分内容粘贴到目标应用的文档中的操作过程进行监控;当源应用是支持对文档进行保护的应用时,会将剪贴板中的内容打上加密标签,并仅允许支持对文档进行保护的目标应用获取剪贴板中的文档内容,而拒绝不支持对文档进行保护的目标应用访问剪贴板,如此,能够防止通过复制、剪切等方式将要保护的文档内容以明文方式复制走,从而降低了文档内容外泄的风险,提高了文档的安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的文档保护系统的结构示意图;
图2示出了根据本发明一个实施例的文档保护设备的结构示意图;
图3示出了根据本发明一个实施例的文档保护方法的流程示意图;以及
图4是布置为实现根据本发明的文档保护方法的示例计算设备的框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的文档保护系统100的结构示意图。如图1所示,文档保护系统100包括文档保护服务器110以及一个或者多个通过网络与文档保护服务器110通信连接的计算设备120。每个计算设备120中均驻留有文档保护设备200(也可称为文档保护客户端)。计算设备120可以是本领域任何可以处理电子数据的设备,包括但不限于桌面型计算机、笔记本式计算机、个人数字助理、智能移动终端和平板电脑等。计算设备120中通常运行现代的操作系统,利用操作系统来管理计算设备120中的硬件资源。一般来说,现代的操作系统会划分为用户空间层和内核层。根据本发明的一个实施方式,文档保护设备200不仅仅在用户空间层运行,而且其还有一部分部件在操作系统的内核层中运行。
文档保护设备200和文档保护服务器110进行通信,从而可以确保在计算设备120中的特定文档不能在计算设备120之外的其它设备上被查看、修改等。根据一个实施方式,未安装有文档保护设备200的计算设备不能打开文档。另外,文档保护服务器110还可以包括日志存储器112。各个计算设备120中文档保护设备200所监测到的、各个应用对文档的操作记录都会发送到文档保护服务器110并存储到日志存储器112中。这样,当发现某个文档被外泄时,可以根据日志存储器112中存储的操作记录来确定有可能是哪个计算设备120发生了外泄。此外还可以通过对日志存储器112中存储的操作记录进行统计分析来确定文档被外泄的风险性。
文档保护服务器110还可以包括身份认证部件114,适于对各个计算设备处的用户进行身份认证,从而确保只有认证通过的用户才可以使用计算设 备120来进行文档操作。
文档保护服务器110还可以包括规则存储器116,其中存储了不同用户使用各种应用来进行文档操作的规则。例如对于一般用户来说,可以使用word字处理软件来浏览和修改word文档,但是不能打印文档。而对于一般财务人员来说,则可以利用Excel表格处理软件来打开、浏览财务文档,但是不能浏览开发文档。而对于公司的财务总监来说,对于财务文档具有全部权限。文档保护服务器110可以根据需要更新规则存储器116中存储的规则,并发送给相应的文档保护设备200,以便文档保护设备200可以根据该规则来确定文档操作的权限等。
另外,规则存储器116中还可以存储文档保护系统中各文档保护设备200所支持的对文档进行保护的应用列表,以及支持文档保护的格式等。文档保护设备200可以从规则存储器116获取与自身关联的支持对文档进行保护的的应用列表以及文档操作规则,并对用户从一个源应用打开的文档中复制(包括复制和剪切)部分内容到剪贴板,随后将该部分内容粘贴到目标应用的文档中的操作过程进行监控,从而防止通过复制、剪切等方式将要保护的文档内容以明文方式复制走。
以下对文档保护设备200的具体构成和工作原理进行详细介绍。图2示出了根据本发明一个实施例的文档保护设备200的结构示意图。如图2所示,文档保护设备200包括规则管理器210和文档控制器220。
规则管理器210耦接到文档控制器220,并维护支持对文档进行保护的应用列表。例如,该应用列表中包括Word字处理应用、AutoCAD制图应用和Excel表格处理应用这3个应用,说明这些应用是支持对文档进行保护的应用(简称为受保护应用),而记事本(Notepad)字处理应用不在该应用列表中,则说明其不是支持对文档进行保护的应用。其中,文档保护设备的应用列表可以从文档保护服务器110,尤其是文档保护服务器110的规则存储器116中获取。
文档控制器220监控计算设备110中的应用对文档的各种操作。文档控 制器220监控到对计算设备110中的源应用所显示文档内容的复制(包括复制和剪切)操作时,判断源应用是否在规则管理器210所维护的应用列表中,当源应用在所述应用列表中时,将所复制的文档内容打上加密标签后放入剪贴板;当源应用不在所述应用列表中时,则不进行打上加密标签的操作,由源应用将所复制的文档内容放入剪贴板。
文档控制器220监控到在目标应用中的粘贴操作时,判断剪贴板中的文档内容是否具有加密标签,若剪贴板中的文档内容不具有加密标签,则将剪贴板中的文档内容直接提供给目标应用。若剪贴板中的文档内容具有加密标签,则判断目标应用是否在所述应用列表中,若目标应用在所述应用列表中,则将剪贴板中的文档内容提供给目标应用,若目标应用不在所述应用列表中,则拒绝目标应用访问剪贴板。
举个例子,用户通过Word字处理应用打开了一个文档,并在该应用中对该文档执行复制操作,以复制所打开文档的部分内容。此时,文档控制器220监控到该复制操作,发现Word字处理应用在应用列表中,为支持对文档进行保护的应用,于是,将所复制的内容打上加密标签(即在所复制的内容中设置一个标记)后放入剪贴板。后续,在一种情形下,用户通过Excel应用打开了另外一个文档,并在Excel应用中执行粘贴操作,试图将剪贴板中的内容粘贴到该文档中。文档控制器220监控到该粘贴操作,发现剪贴板中的文档内容具有加密标签,并发现Excel应用在应用列表中,为支持对文档进行保护的应用,于是,将剪贴板中的文档内容提供给Excel应用,即将剪贴板中的文档内容粘贴到Excel应用所打开的文档中。在另一种情形下,用户通过记事本应用打开了另外一个文档,并在记事本应用中执行粘贴操作,试图将剪贴板中的内容粘贴到该文档中;文档控制器220监控到该粘贴操作,发现剪贴板中的文档内容具有加密标签,并发现记事本应用不在应用列表中,为不支持对文档进行保护的应用,于是,拒绝记事本访问剪贴板,剪贴板中的文档内容不会粘贴到记事本所打开的文档中。
再举个例子,用户通过记事本应用打开了一个文档,并在记事本应用中 执行复制操作,以复制所打开文档的部分内容。此时,文档控制器220监控到该复制操作,发现记事本应用不在应用列表中,为不支持对文档进行保护的应用,则不进行处理,由记事本将所复制的内容放入剪贴板。后续,文档控制器220监控到在其他应用中执行的粘贴操作时,发现剪贴板中的内容不具有加密标签,则无须判断该应用是否在应用列表中,由该应用获取剪贴板中的内容,并粘贴到该应用所打开的文档中。
在一种实现方式中,文档控制器220在用户空间层即应用层中运行,并采用应用层API HOOK(俗称钩子)技术。当各种应用对文档进行操作时,文档控制器220利用API HOOK在应用层的系统API处可以提前截获包括文档打开、修改、复制、剪切、粘贴、截屏、打印等操作请求,从而可以根据规则管理器中存储的文档操作规则进行相应的处理。
当文档控制器220利用API HOOK截获到用户在源应用中复制或剪切文档内容操作时,当源应用为应用列表中的受保护应用时,可以通过控制SetClipboardData函数把所复制或剪切的文档内容放入剪贴板,并设置相应的标志。
当文档控制器220利用API HOOK截获到用户在目标应用中的粘贴操作时,先判断剪贴板中的文档内容是否具有标志,如果该文档内容具有标志,则进一步判断目标应用是否为受保护应用。若目标应用为受保护应用,就通过GetClipboardData函数获取剪贴板中的内容;若目标应用不是受保护应用,则会在IsClipboardFormatAvailable等函数中返回剪贴板不可用的结果,拒绝目标应用访问剪贴板。如果剪贴板中的文档内容不具有标志,则不需要判断目标应用是否为受保护应用,目标应用可以通过GetClipboardData函数获取剪贴板中的内容。
根据本发明的一个实施例,文档保护设备200还可以包括加解密模块230,耦接到文档控制器220。文档控制器220监控到计算设备120中的应用读取文档内容时,如果该应用在应用列表中,则调用加解密模块230从计算设备120中获取加密的文档内容并进行解密,将解密内容放置在临时存储空 间(例如内存)中以供应用读取;当监控到应用存储文档内容时,如果该应用在所述应用列表中,则调用加解密模块230将临时存储空间中的内容进行加密,并存储加密的文档(例如存储到硬盘)。
加解密模块230的加解密操作对于上层应用来说是不可见的,或者说是透明的。当应用在打开或编辑指定文档时,加解密模块230将自动对未加密的文档进行加密,对已加密的文档自动解密。文档在计算设备120的永久存储器上以密文方式存储,而在应用进行各种操作时,在临时存储空间中以明文方式存在。一旦该文档离开文档保护系统的环境,由于应用无法获得自动解密的服务而无法打开这些文档,从而起到保护文档内容的效果。加解密模块230可以采用本领域的任何加解密技术来进行文档加解密操作,而不脱离本发明的保护范围。
根据本发明的一个实施例,文档保护设备200中的规则管理器210除了维护一个支持对文档进行保护的应用列表之外,还维护各种应用的文档操作规则,例如,一些应用只能打开文档而不能编辑等。文档控制器220在监控到应用对文档的操作时,从所述规则管理器210中获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
为了和文档保护服务器110进行通信,文档保护设备200还可以包括客户端代理模块240。客户端代理模块240耦接到文档控制器220并且与文档保护服务器110进行通信,以便将文档控制器220监控到的文档操作记录发送到文档保护服务器110,例如存储到日志存储器112中,从而可以后续对该操作记录进行分析,来确定文档泄密路径和可能被泄密的文档。
规则管理器210也可以耦接到客户端代理模块240,从而由客户端代理模块240从文档保护服务器110,尤其是规则存储器116获取最新的与文档保护设备200相关联的应用列表和文档操作规则,并更新到所述规则管理器210。
客户端代理模块240还可以包括身份认证部件242,其通过与文档保护服务器110中的身份认证部件114进行交互,从而对文档保护设备200,尤 其是文档保护设备200上的用户进行认证,并且只允许认证通过的文档保护设备200启动文档控制器220来进行文档操作控制。
根据本发明的文档保护设备200,对用户从一个源应用打开的文档中复制(包括复制和剪切)部分内容到剪贴板,随后将该部分内容粘贴到目标应用的文档中的操作过程进行监控;当源应用是支持对文档进行保护的应用时,会将剪贴板中的内容打上加密标签,并仅允许支持对文档进行保护的目标应用获取剪贴板中的文档内容,而拒绝不支持对文档进行保护的目标应用访问剪贴板,如此,能够防止通过复制、剪切等方式将要保护的文档内容以明文方式复制走,从而降低了文档内容外泄的风险,提高了文档的安全性。
图3示出了根据本发明一个实施例的文档保护方法300的流程示意图。文档保护方法300适于在图1所述的计算设备120中执行,尤其适于在图2所示的文档保护设备200中执行,从而可以保护在计算设备120上的各种文档以防止外泄。
文档保护方法300始于步骤S310。在步骤S310中,监控计算设备中的应用对文档的各种操作。在一种实现方式中,采用应用层API HOOK(俗称钩子)技术来进行所述监控。当各种应用对文档进行操作时,利用API HOOK在应用层的系统API处可以提前截获包括文档打开、修改、复制、剪切、粘贴、截屏、打印等操作请求。当监控到对源应用所显示文档的复制(包括复制和剪切)操作时,方法进入步骤S320;当监控到在目标应用中的粘贴操作时,方法进入步骤S340。
在步骤S320中,判断源应用是否在支持对文档进行保护的应用列表中。根据本发明的一个实施方式,应用列表存储在文档保护设备200,尤其是存储在文档保护设备200的规则管理器中。该文档保护设备200的该应用列表可以从文档保护服务器100,尤其是文档保护服务器的规则存储器中获取。例如,该应用列表中包括word字处理应用、AutoCAD制图应用和Excel表格处理应用这3个应用,说明这些应用是支持对文档进行保护的应用(简称为受保护应用),而记事本(Notepad)字处理应用不在该应用列表中,则 说明其不是支持对文档进行保护的应用。
若源应用不在所述应用列表中,则可以确定该源应用不是受保护应用,直接将所复制的内容放入剪贴板。若源应用在所述应用列表中,则可以确定该源应用是受保护应用,方法进入步骤S330。
在步骤S330中,将所复制的文档内容打上加密标签后放入剪贴板。可以通过控制SetClipboardData函数把所复制或剪切的文档内容放入剪贴板,并设置相应的标志
在步骤S340中,判断剪贴板中的文档内容是否具有加密标签,若剪贴板中的文档内容不具有加密标签,则将剪贴板中的文档内容直接提供给目标应用,目标应用可以通过GetClipboardData函数来获取剪贴板中的内容。若剪贴板中的文档内容具有加密标签,方法进入步骤S350。
在步骤S350中,判断目标应用是否在所述应用列表中,若目标应用在所述应用列表中,说明目标应用是受保护应用,方法进入步骤S360;若目标应用不在所述应用列表中,说明目标应用不是受保护应用,方法进入步骤S370。
在步骤S360中,目标应用是受保护的应用,将剪贴板中的文档内容提供给目标应用,例如,目标应用可以通过GetClipboardData函数来获取剪贴板中的内容。
在步骤S370中,目标应用不是受保护的应用,拒绝目标应用访问剪贴板,例如,可以通过在IsClipboardFormatAvailable等函数中返回剪贴板不可用的结果,来拒绝目标应用访问剪贴板。
根据本发明的一个实施例,在步骤S310中,当监控到应用读取文档内容时,如果该应用在所述应用列表中,则从计算设备中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取;当监控到应用存储文档内容时,如果该应用在所述应用列表中,则将临时存储空间中的内容进行加密,并存储加密的文档。
根据本发明的一个实施例,在步骤S310中,在监控到应用对文档的操 作时,获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
根据本发明的一个实施例,所述方法300还包括与文档保护服务器进行通信,以将所监控到的操作记录发送到文档保护服务器的步骤,从而可以后续对该操作记录进行分析,来确定文档泄密路径和可能被泄密的文档。
根据本发明的文档保护方法300,对用户从一个源应用打开的文档中复制(包括复制和剪切)部分内容到剪贴板,随后将该部分内容粘贴到目标应用的文档中的操作过程进行监控;当源应用是支持对文档进行保护的应用时,会将剪贴板中的内容打上加密标签,并仅允许支持对文档进行保护的目标应用获取剪贴板中的文档内容,而拒绝不支持对文档进行保护的目标应用访问剪贴板,如此,能够防止通过复制、剪切等方式将要保护的文档内容以明文方式复制走,从而降低了文档内容外泄的风险,提高了文档的安全性。
图4是布置为实现根据本发明的文档保护方法的示例计算设备900的框图。该计算设备900同样可以用于实现根据本发明的计算设备120。
在基本的配置902中,计算设备900典型地包括系统存储器906和一个或者多个处理器904。存储器总线908可以用于在处理器904和系统存储器906之间的通信。
取决于期望的配置,处理器904可以是任何类型的处理,包括但不限于:微处理器(μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器904可以包括诸如一级高速缓存910和二级高速缓存912之类的一个或者多个级别的高速缓存、处理器核心914和寄存器916。示例的处理器核心914可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器918可以与处理器904一起使用,或者在一些实现中,存储器控制器918可以是处理器904的一个内部部分。
取决于期望的配置,系统存储器906可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器906可以包括操作系统920、一个或 者多个应用922以及程序数据924。应用922可以包括被配置为实现文档保护方法的文档保护设备926。程序数据924可以包括可用于如此处所述的应用列表928。在一些实施方式中,应用922可以布置为在操作系统上利用程序数据924进行操作。
计算设备900还可以包括有助于从各种接口设备(例如,输出设备942、外设接口944和通信设备946)到基本配置902经由总线/接口控制器930的通信的接口总线940。示例的输出设备942包括图形处理单元948和音频处理单元950。它们可以被配置为有助于经由一个或者多个A/V端口952与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口944可以包括串行接口控制器954和并行接口控制器956,它们可以被配置为有助于经由一个或者多个I/O端口958和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备946可以包括网络控制器960,其可以被布置为便于经由一个或者多个通信端口964与一个或者多个其他计算设备962通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
计算设备900可以实现为小尺寸便携(或者移动)电子设备的一部分,这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。计算设备900还可以实现为包括桌面计算机和笔 记本计算机配置的个人计算机。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理 器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文档保护设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种文档保护设备,驻留在计算设备中,该文档保护设备包括:
规则管理器,适于维护支持对文档进行保护的应用列表;以及
文档控制器,适于监控计算设备中的应用对文档的操作,当监控到对源应用所显示文档内容的复制操作时,则当源应用在所述应用列表中时,将所复制的文档内容打上加密标签后放入剪贴板;当监控到在目标应用中的粘贴操作时,若剪贴板中的文档内容具有加密标签,则判断目标应用是否在所述应用列表中;若目标应用在所述应用列表中,则将剪贴板中的文档内容提供给目标应用,若目标应用不在所述应用列表中,则拒绝目标应用访问剪贴板。
2.如权利要求1所述的文档保护设备,其中,文档控制器监控到目标应用中的粘贴操作时,若剪贴板中的文档内容不具有加密标签,则将剪贴板中的文档内容直接提供给目标应用。
3.如权利要求1或2所述的文档保护设备,还包括加解密模块,耦接到文档控制器;以及
文档控制器监控到应用读取文档内容时,如果该应用在所述应用列表中,则调用加解密模块从计算设备中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取;当监控到应用存储文档内容时,如果该应用在所述应用列表中,则调用加解密模块将临时存储空间中的内容进行加密,并存储加密的文档。
4.如权利要求3所述的文档保护设备,其中,所述规则管理器还维护各种应用的文档操作规则;以及
文档控制器在监控到应用对文档的操作时,从所述规则管理器中获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
5.如权利要求4所述的文档保护设备,还包括客户端代理模块,适于与文档保护服务器进行通信,并耦接到所述文档控制器,以将所述文档控制器所监控到的操作记录发送到文档保护服务器。
6.如权利要求5所述的文档保护设备,其中,所述客户端代理模块还包括身份认证部件,适于经由和文档保护服务器的通信来对文档保护设备进行认证,并且只允许认证通过的文档保护设备启动文档控制器进行文档操作。
7.如权利要求5所述的文档保护设备,其中,所述客户端代理模块还从所述文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规则,并存储到所述规则管理器。
8.一种文档保护方法,适于在计算设备中运行,该文档保护方法包括:
监控计算设备中的应用对文档的操作,当监控到对源应用所显示文档内容的复制操作时,判断源应用是否在支持对文档进行保护的应用列表中,当源应用在所述应用列表中时,将所复制的文档内容打上加密标签后放入剪贴板;
当监控到在目标应用中的粘贴操作时,判断剪贴板中的文档内容是否具有加密标签,若剪贴板中的文档内容具有加密标签,判断目标应用是否在所述应用列表中;以及
若目标应用在所述应用列表中,将剪贴板中的文档内容提供给目标应用,若目标应用不在所述应用列表中,则拒绝目标应用访问剪贴板。
9.如权利要求8所述的文档保护方法,还包括:当监控到目标应用中的粘贴操作时,若剪贴板中的文档内容不具有加密标签,则将剪贴板中的文档内容直接提供给目标应用。
10.一种文档保护系统,包括
文档保护服务器;以及
一个或者多个计算设备,与所述文档保护服务器通信连接,并且在计算设备中驻留有如权利要求1至7中任一项所述的文档保护设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410593738.3A CN104361294B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410593738.3A CN104361294B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104361294A true CN104361294A (zh) | 2015-02-18 |
| CN104361294B CN104361294B (zh) | 2017-08-25 |
Family
ID=52528553
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410593738.3A Active CN104361294B (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104361294B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553663A (zh) * | 2015-12-09 | 2016-05-04 | 小米科技有限责任公司 | 验证码输入方法及装置 |
| CN105844173A (zh) * | 2016-03-23 | 2016-08-10 | 福建正孚软件有限公司 | 内存级的文件加解密方法及装置 |
| CN106612376A (zh) * | 2016-12-27 | 2017-05-03 | 努比亚技术有限公司 | 一种移动终端及其文件处理方法 |
| CN109739658A (zh) * | 2018-11-30 | 2019-05-10 | 北京海泰方圆科技股份有限公司 | 一种数据操作方法及装置 |
| CN111274579A (zh) * | 2020-01-15 | 2020-06-12 | 湖北工程学院 | 一种基于计算机的企业文档加密防护系统 |
| CN111291379A (zh) * | 2019-12-30 | 2020-06-16 | 上海上讯信息技术股份有限公司 | 基于Android的车载系统应用检测方法、装置及电子设备 |
| CN111310175A (zh) * | 2019-12-30 | 2020-06-19 | 上海上讯信息技术股份有限公司 | 基于插件化的iOS应用安全监测与防护方法及装置 |
| CN112287372A (zh) * | 2020-11-11 | 2021-01-29 | 三星电子(中国)研发中心 | 用于保护剪贴板隐私的方法和装置 |
| US11336628B2 (en) | 2018-11-01 | 2022-05-17 | Actifile LTD | Methods and systems for securing organizational assets in a shared computing environment |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111581665B (zh) * | 2020-05-09 | 2021-07-06 | 维沃移动通信有限公司 | 数据处理方法、装置和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1822014A (zh) * | 2006-03-23 | 2006-08-23 | 沈明峰 | 协同工作环境下涉密文档的保护方法 |
| CN102638564A (zh) * | 2012-02-16 | 2012-08-15 | 深圳市同洲视讯传媒有限公司 | 一种文档分享装置、分享终端及分享方法 |
| CN102959558A (zh) * | 2010-07-08 | 2013-03-06 | 惠普发展公司,有限责任合伙企业 | 用于文档策略实施的系统和方法 |
| CN103763313A (zh) * | 2014-01-03 | 2014-04-30 | 深圳市大成天下信息技术有限公司 | 一种文档保护方法和系统 |
-
2014
- 2014-10-28 CN CN201410593738.3A patent/CN104361294B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1822014A (zh) * | 2006-03-23 | 2006-08-23 | 沈明峰 | 协同工作环境下涉密文档的保护方法 |
| CN102959558A (zh) * | 2010-07-08 | 2013-03-06 | 惠普发展公司,有限责任合伙企业 | 用于文档策略实施的系统和方法 |
| CN102638564A (zh) * | 2012-02-16 | 2012-08-15 | 深圳市同洲视讯传媒有限公司 | 一种文档分享装置、分享终端及分享方法 |
| CN103763313A (zh) * | 2014-01-03 | 2014-04-30 | 深圳市大成天下信息技术有限公司 | 一种文档保护方法和系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553663A (zh) * | 2015-12-09 | 2016-05-04 | 小米科技有限责任公司 | 验证码输入方法及装置 |
| CN105844173A (zh) * | 2016-03-23 | 2016-08-10 | 福建正孚软件有限公司 | 内存级的文件加解密方法及装置 |
| CN106612376A (zh) * | 2016-12-27 | 2017-05-03 | 努比亚技术有限公司 | 一种移动终端及其文件处理方法 |
| US11336628B2 (en) | 2018-11-01 | 2022-05-17 | Actifile LTD | Methods and systems for securing organizational assets in a shared computing environment |
| CN109739658A (zh) * | 2018-11-30 | 2019-05-10 | 北京海泰方圆科技股份有限公司 | 一种数据操作方法及装置 |
| CN111291379A (zh) * | 2019-12-30 | 2020-06-16 | 上海上讯信息技术股份有限公司 | 基于Android的车载系统应用检测方法、装置及电子设备 |
| CN111310175A (zh) * | 2019-12-30 | 2020-06-19 | 上海上讯信息技术股份有限公司 | 基于插件化的iOS应用安全监测与防护方法及装置 |
| CN111291379B (zh) * | 2019-12-30 | 2023-09-26 | 上海上讯信息技术股份有限公司 | 基于Android的车载系统应用检测方法、装置及电子设备 |
| CN111274579A (zh) * | 2020-01-15 | 2020-06-12 | 湖北工程学院 | 一种基于计算机的企业文档加密防护系统 |
| CN111274579B (zh) * | 2020-01-15 | 2022-07-01 | 湖北工程学院 | 一种基于计算机的企业文档加密防护系统 |
| CN112287372A (zh) * | 2020-11-11 | 2021-01-29 | 三星电子(中国)研发中心 | 用于保护剪贴板隐私的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104361294B (zh) | 2017-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104361294A (zh) | 一种文档保护方法、设备以及系统 | |
| US10614233B2 (en) | Managing access to documents with a file monitor | |
| CN102782697B (zh) | 使用区的信息保护 | |
| US11841956B2 (en) | Systems and methods for data lifecycle protection | |
| Zhang et al. | Neon: system support for derived data management | |
| CN102959558A (zh) | 用于文档策略实施的系统和方法 | |
| CN103975336A (zh) | 对值中的标签进行编码以俘获信息流 | |
| CN104598400A (zh) | 一种外设管理的方法、装置及系统 | |
| CN104348838A (zh) | 一种文档管理系统和方法 | |
| Yuste et al. | Avaddon ransomware: An in-depth analysis and decryption of infected systems | |
| CN104408376A (zh) | 一种文档保护方法、设备以及系统 | |
| Goues et al. | Moving target defenses in the helix self-regenerative architecture | |
| CN104361265A (zh) | 一种文档保护方法、设备以及系统 | |
| CN104318174A (zh) | 一种文档保护方法、设备以及系统 | |
| US20110154364A1 (en) | Security system to protect system services based on user defined policies | |
| CN104318175A (zh) | 一种文档保护方法、设备以及系统 | |
| Pecka et al. | Privilege escalation attack scenarios on the devops pipeline within a kubernetes environment | |
| Kang et al. | A strengthening plan for enterprise information security based on cloud computing | |
| JP2023502343A (ja) | 仮想マシンのコンテンツに基づくクラスタ・セキュリティ | |
| Tedeschi et al. | Information security and threats in mobile appliances | |
| CN108595978A (zh) | 信息屏蔽方法、装置、终端及计算机可读存储介质 | |
| Arbaugh | Security: Technical, social, and legal challenges | |
| TW200825832A (en) | Controlling module for programs and method for the same | |
| Papagiannis et al. | BrowserFlow: Imprecise data flow tracking to prevent accidental data disclosure | |
| Weidman et al. | The acceptable state: An analysis of the current state of acceptable use policies in academic institutions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |