CN104408376A - 一种文档保护方法、设备以及系统 - Google Patents
一种文档保护方法、设备以及系统 Download PDFInfo
- Publication number
- CN104408376A CN104408376A CN201410589509.4A CN201410589509A CN104408376A CN 104408376 A CN104408376 A CN 104408376A CN 201410589509 A CN201410589509 A CN 201410589509A CN 104408376 A CN104408376 A CN 104408376A
- Authority
- CN
- China
- Prior art keywords
- document
- application
- screenshotss
- equipment
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Document Processing Apparatus (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种文档保护方法、设备以及系统。该文档保护设备包括:规则管理器,适于维护支持对文档进行保护的应用列表以及各种应用的文档操作规则;以及文档控制器,适于监控计算设备中的应用对文档的操作以及用户在计算设备上的操作,当监控到用户的截屏操作时,判断截屏区域是否包括所述应用列表中的应用所显示的文档内容;如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许获取截屏内容,如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据规则管理器中的相应规则确定是否允许获取截屏内容。本发明降低了文档内容外泄的风险,提高了文档的安全性。
Description
技术领域
本发明涉及计算机和互联网领域,具体涉及一种文档保护方法、设备以及系统。
背景技术
随着计算机技术以及网络技术的普及和发展,丰富的网络数据资源为人们的生活带来了极大的便利,同时也带来了诸多的困惑。例如,在企业中,员工很容易将一些涉及企业秘密的文档发送到企业之外,从而导致文档泄密。因此,能够保护文档以防止文档内容外传的方案随之产生。
目前存在的一种保护文档的方案是对文档进行加解密,即在用户的计算机上安装文档保护客户端,文档以密文方式存储在文档存储器中,让用户需要浏览文档内容时,将加密的文档内容从文档存储器中读取出来并解密,从而将明文呈现给用户。而当用户对文档内容进行了修改等之后并进行存储时,文档保护客户端会对该文档内容进行加密,并存储到文档存储器中。这样即使将该文档从文档存储器复制到外部,该文档也是加密状态,从而防止了文档内容外泄的风险。
在这种方案中,用户并不用关注文档是否被加解密而如寻常一样进行操作,称为透明加解密方案。这种方案可以很好解决文档内容外泄的问题。
然而,这种方案存在的一个问题是,用户在利用应用查看明文方式的内容的同时,如果利用计算设备进行截屏操作,这很容易可以获得文档的明文内容,并且利用图片的方式将该文档的内容复制走,由此导致文档泄密。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的文档保护方法、设备以及系统。
根据本发明的一个方面,提供了一种文档保护设备,驻留在计算设备中,该文档保护设备包括:规则管理器,适于维护支持对文档进行保护的应用列表以及各种应用的文档操作规则;以及文档控制器,适于监控计算设备中的应用对文档的操作以及用户在计算设备上的操作,当监控到用户的截屏操作时,判断截屏区域是否包括所述应用列表中的应用所显示的文档内容;如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许获取截屏内容,如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据规则管理器中的相应规则确定是否允许获取截屏内容。
可选地,在根据本发明的文档保护设备中,文档控制器在判断截屏区域是否包括所述应用列表中的应用所显示的文档内容之前,还判断截屏区域的尺寸是否小于或等于预定范围,若截屏区域的尺寸小于或等于预定范围,则允许获取截屏内容。
可选地,在根据本发明的文档保护设备中,所述预定范围为50×50像素。
可选地,根据本发明的文档保护设备还包括加解密模块,耦接到文档控制器;文档控制器监控到所述应用列表中的应用读取文档内容时,调用加解密模块从计算设备中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取,当监控到应用存储文档内容时,调用加解密模块将临时存储空间中的内容进行加密,并存储加密的文档。
可选地,在根据本发明的文档保护设备中,文档控制器在监控到应用对文档的操作时,从所述规则管理器中获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
可选地,根据本发明的文档保护设备还包括客户端代理模块,适于与文档保护服务器进行通信,从文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规则,并存储到所述规则管理器。
可选地,在根据本发明的文档保护设备中,客户端代理模块还适于将所述文档控制器所监控到的操作记录发送到文档保护服务器。
可选地,在根据本发明的文档保护设备中,客户端代理模块还包括身份认证部件,适于经由和文档保护服务器的通信来对文档保护设备进行认证,并且只允许认证通过的文档保护设备启动文档控制器进行文档操作。
根据本发明的另一方面,提供了一种文档保护方法,适于在计算设备中运行,该文档保护方法包括:监控计算设备中的应用对文档的操作以及用户在计算设备上的操作,当监控到用户的截屏操作时,判断截屏区域是否包括支持对文档进行保护的应用列表中的应用所显示的文档内容;如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许获取截屏内容;以及如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据应用的文档操作规则确定是否允许获取截屏内容。
可选地,在根据本发明的文档保护方法中,在判断截屏区域是否包括支持对文档进行保护的应用列表中的应用所显示的文档内容之前,还包括:判断截屏区域的尺寸是否小于或等于预定范围,若截屏区域的尺寸小于或等于预定范围,则允许获取截屏内容。
可选地,在根据本发明的文档保护方法中,所述预定范围为50×50像素。
可选地,根据本发明的文档保护方法还包括:监控到所述应用列表中的应用读取文档内容时,从计算设备中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取,当监控到应用存储文档内容时,将临时存储空间中的内容进行加密,并存储加密的文档。
可选地,根据本发明的文档保护方法还包括:在监控到应用对文档的操作时,获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
可选地,根据本发明的文档保护方法还包括:与文档保护服务器进行通信,从文档保护服务器获取所述应用列表和文档操作规则。
可选地,根据本发明的文档保护方法中还包括:将所监控到的操作记录发送到文档保护服务器。
根据本发明的又一方面,提供了一种文档保护系统,包括文档保护服务器以及一个或者多个计算设备,与所述文档保护服务器通信连接,并且在计算设备中驻留有根据本发明的文档保护设备。
在根据本发明的文档保护方案中,对用户在计算设备上进行的截屏操作进行控制,如果截屏区域包括受保护应用所显示的文档内容,则根据相应的文档操作规则确定是否允许获取截屏内容,如此,能够防止通过截屏方式将要保护的文档内容以明文方式复制走,从而降低了文档内容外泄的风险,提高了文档的安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的文档保护系统的结构示意图;
图2示出了根据本发明一个实施例的文档保护设备的结构示意图;
图3示出了根据本发明一个实施例的文档保护方法的流程示意图;以及
图4是布置为实现根据本发明的文档保护方法的示例计算设备900的框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的文档保护系统100的结构示意图。如图1所示,文档保护系统100包括文档保护服务器110以及一个或者多个通过网络与文档保护服务器110通信连接的计算设备120。每个计算设备120中均驻留有文档保护设备200(也可称为文档保护客户端)。计算设备120可以是本领域任何可以处理电子数据的设备,包括但不限于桌面型计算机、笔记本式计算机、个人数字助理、智能移动终端和平板电脑等。计算设备120中通常运行现代的操作系统,利用操作系统来管理计算设备120中的硬件资源。一般来说,现代的操作系统会划分为用户空间层和内核层。根据本发明的一个实施方式,文档保护设备200不仅仅在用户空间层运行,而且其还有一部分部件在操作系统的内核层中运行。
文档保护设备200和文档保护服务器110进行通信,从而可以确保在计算设备120中的特定文档不能在计算设备120之外的其它设备上被查看、修改等。根据一个实施方式,未安装有文档保护设备200的计算设备120不能打开文档。另外,文档保护服务器110还可以包括日志存储器112。各个计算设备120中文档保护设备200所监测到的、各个应用对文档的操作记录都会发送到文档保护服务器110并存储到日志存储器112中。这样,当发现某个文档被外泄时,可以根据日志存储器112中存储的操作记录来确定有可能是哪个计算设备120发生了外泄。此外还可以通过对日志存储器112中存储的操作记录进行统计分析来确定文档被外泄的风险性。
文档保护服务器110还可以包括身份认证部件114,适于对各个计算设备处的用户进行身份认证,从而确保只有认证通过的用户才可以使用计算设备120来进行文档操作。
文档保护服务器110还可以包括规则存储器116,其中存储了应用的文档操作规则。例如对于一般用户来说,可以使用word字处理应用来浏览和修改word文档,但是不能打印文档。而对于一般财务人员来说,则可以利用Excel表格处理应用来打开、浏览财务文档,但是不能浏览开发文档。而对于公司的财务总监来说,对于财务文档具有全部权限。又例如,对于word字处理应用,用户可以对其打开的word文档进行截屏操作并获取截屏内容;对于Excel表格处理应用,用户不能通过截屏操作来获取Excel文档内容等。文档保护服务器110可以根据需要更新规则存储器116中存储的规则,并发送给相应的文档保护设备200,以便文档保护设备200可以根据该规则来确定文档操作的权限等。
另外,规则存储器116中还可以存储文档保护系统中各文档保护设备200所支持的对文档进行保护的应用列表,以及支持文档保护的格式等。文档保护设备200可以从规则存储器116获取与自身关联的、支持对文档进行保护的应用列表以及文档操作规则,并对用户在计算设备上进行的截屏操作进行监测和控制,从而防止通过截屏方式将要保护的文档内容以明文方式复制走。
以下对文档保护设备200的具体构成和工作原理进行详细介绍。图2示出了根据本发明一个实施例的文档保护设备200的结构示意图。如图2所示,文档保护设备200包括规则管理器210和文档控制器220。
规则管理器210耦接到文档控制器220,并维护支持对文档进行保护的应用列表以及各种应用的文档操作规则。例如,该应用列表中包括word字处理应用、AutoCAD制图应用和Excel表格处理应用这3个应用,说明这些应用是支持对文档进行保护的应用(简称为受保护应用),而记事本(Notepad)字处理应用不在该应用列表中,则说明其不是支持对文档进行保护的应用(简称为不受保护应用)。
应用的文档操作规则包括应用列表中的各种应用能够进行文档操作的方式,例如,一些应用只能打开文档而不能编辑等,还有一些应用不能进行打印等。另外,应用的文档操作规则还可以包括能否支持对应用所显示的文档内容的截屏操作等。可以为所有受保护应用设置相同的截屏操作规则,也可以为不同的受保护应用设置不同的截屏操作策略。例如,可以设置允许对word字处理应用打开的word文档进行截屏操作;而不允许对AutoCAD制图应用打开的AutoCAD文档进行截屏操作等。文档控制器220可以根据规则管理器210中的规则来控制应用的文档操作权限。
截屏操作规则还可以包括对截屏操作控制的力度。也就是说,在进行截屏操作规则设置中,除了可以设置是否对截屏操作进行控制之外,还可以设置控制的力度,例如,只禁用<PrintScreen>键截屏;又例如,禁用<PrintScreen>键以及所有截屏软件截屏。
文档保护设备200的该应用列表以及文档操作规则可以从文档保护服务器110,尤其是文档保护服务器110的规则存储器116中获取。
文档控制器220监控计算设备中的各种应用对文档的操作以及用户在计算设备上的操作。当监控到用户的截屏操作时,判断截屏区域是否包括所述应用列表中的应用所显示的文档内容。如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许获取截屏内容。如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据规则管理器210中的相应规则确定是否允许获取截屏内容,如果规则管理器210中的规则表示允许对某受保护应用所显示的文档内容进行截屏,则允许获取截屏内容;如果规则管理器210中的规则表示不允许对某受保护应用所显示的文档内容进行截屏,则不允许获取截屏内容,例如可以对截屏区域进行黑屏处理。
根据本发明的一个实施例,文档控制器220在判断截屏区域是否包括所述应用列表中的应用所显示的文档内容之前,还判断截屏区域的尺寸是否小于或等于预定范围,若截屏区域的尺寸小于或等于预定范围,则直接允许获取截屏内容。这样,可以放过计算设备上的其他应用进行小图标的绘制调用,保证其他应用的程序界面能够正常刷新。其中,所述预定范围例如可以设置为50×50像素。
在一种实现方式中,文档控制器220在用户空间层即应用层中运行,并采用应用层API HOOK(俗称钩子)技术。当各种应用对文档进行操作或者用户在计算设备上进行各种操作时,文档控制器220利用API HOOK在应用层的系统API处可以提前截获包括文档打开、修改、复制、剪切、粘贴、截屏、打印等操作请求,从而可以根据规则管理器210中存储的文档操作规则进行相应的处理。
截屏一般会调用BitBlt()、StretchBlt()等函数,文档控制器220通过控制这些函数,能够获取到截屏的位置和区域,并根据相应的规则来决定是否允许获取截屏内容。如前所述,当截屏区域小于或等于预定范围(例如,只有50×50像素大小时),则直接允许获取截屏内容。示例性代码如下:
当截屏区域大于预定范围时,会判断当前截屏的内容是否包括受保护的应用显示的内容,如果截屏内容不包括受保护应用显示的内容,则直接允许截屏进行,如果截屏内容的一部分(或者全部)包括受保护应用显示的内容,则根据规则管理器210中的相应规则判断是否允许当前用户进行截屏,如果允许,则获取截屏内容;如果不允许,截屏部分会黑屏。上述操作的示例性代码如下:
根据本发明的一个实施例,文档保护设备200还可以包括加解密模块230,耦接到文档控制器220。文档控制器220监控到计算设备120中的应用读取文档内容时,如果该应用在所述应用列表中,则调用加解密模块230从计算设备120中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间(例如内存)中以供应用读取;当监控到应用存储文档内容时,如果该应用在所述应用列表中,则调用加解密模块230将临时存储空间中的内容进行加密,并存储加密的文档(例如存储到硬盘)。
加解密模块230的加解密操作对于上层应用来说是不可见的,或者说是透明的。当应用在打开或编辑指定文档时,加解密模块230将自动对未加密的文档进行加密,对已加密的文档自动解密。文档在计算设备120的永久存储器上以密文方式存储,而在应用进行各种操作时,在临时存储空间中以明文方式存在。一旦该文档离开文档保护系统的环境,由于应用无法获得自动解密的服务而无法打开这些文档,从而起到保护文档内容的效果。加解密模块230可以采用本领域的任何加解密技术来进行文档加解密操作,而不脱离本发明的保护范围。
根据本发明的一个实施例,文档保护设备200中的规则管理器210除了维护一个支持对文档进行保护的应用列表之外,还维护各种应用的文档操作规则。例如,一些应用只能打开文档而不能编辑等。文档控制器220在监控到应用对文档的操作时,从规则管理器210中获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
为了和文档保护服务器110进行通信,文档保护设备200还可以包括客户端代理模块240。客户端代理模块240耦接到文档控制器220并且与文档保护服务器110进行通信,以便将文档控制器220监控到的文档操作记录发送到文档保护服务器110,例如存储到日志存储器112中,从而可以后续对该操作记录进行分析,来确定文档泄密路径和可能被泄密的文档。
规则管理器210也可以耦接到客户端代理模块240,从而由客户端代理模块240从文档保护服务器110,尤其是规则存储器116获取最新的与文档保护设备200相关联的应用列表和文档操作规则,并更新到所述规则管理器210。
客户端代理模块240还可以包括身份认证部件242,其通过与文档保护服务器110中的身份认证部件114进行交互,从而对文档保护设备200,尤其是文档保护设备200上的用户进行认证,并且只允许认证通过的文档保护设备200启动文档控制器220来进行文档操作控制。
根据本发明的文档保护设备200,对用户在计算设备上进行的截屏操作进行控制,如果截屏区域包括受保护应用所显示的文档内容,则根据相应的文档操作规则确定是否允许获取截屏内容,如此,能够防止通过未经授权的截屏操作将要保护的文档内容以明文方式复制走,从而降低了文档内容外泄的风险,提高了文档的安全性。
图3示出了根据本发明一个实施例的文档保护方法300的流程示意图。文档保护方法300适于在图1所述的计算设备120中执行,尤其适于在图2所示的文档保护设备200中执行,从而可以保护在计算设备120上的各种文档以防止外泄。
文档保护方法300始于步骤S310。在步骤S310中,监控计算设备中的应用对文档的操作以及用户在计算设备上的操作,当监控到用户的截屏操作时,判断截屏区域是否包括支持对文档进行保护的应用列表中的应用所显示的文档内容。如果截屏区域不包括所述应用列表中的应用所显示的文档内容,方法进入步骤S320,如果截屏区域包括所述应用列表中的应用所显示的文档内容,方法进入步骤S330。
在一种实现方式中,采用应用层API HOOK(俗称钩子)技术。当各种应用对文档进行操作或者用户在计算设备上进行各种操作时,利用APIHOOK在应用层的系统API处可以提前截获包括文档打开、修改、复制、剪切、粘贴、截屏、打印等操作请求,从而可以根据文档操作规则进行相应的处理。截屏一般会调用BitBlt()、StretchBlt()等函数,通过控制这些函数,能够获取到截屏的位置和区域,并根据相应的规则来决定是否允许获取截屏内容。
在步骤S320中,允许获取截屏内容,并将截屏内容提供给相应的应用。
在步骤S330中,根据应用的文档操作规则确定是否允许获取截屏内容。如果应用的文档操作规则表示允许对某受保护应用所显示的文档内容进行截屏,则允许获取截屏内容;如果应用的文档操作规则表示不允许对某受保护应用所显示的文档内容进行截屏,则不允许获取截屏内容,例如可以对截屏区域进行黑屏处理
根据本发明的一个实施例,文档保护方法300还包括获取应用列表以及文档操作规则的步骤。该应用列表以及文档操作规则可以从文档保护服务器,尤其是文档保护服务器的规则存储器中获取。
例如,该应用列表中包括word字处理应用、AutoCAD制图应用和Excel表格处理应用这3个应用,说明这些应用是支持对文档进行保护的应用(简称为受保护应用),而记事本(Notepad)字处理应用不在该应用列表中,则说明其不是支持对文档进行保护的应用(简称为不受保护应用)。
应用的文档操作规则包括应用列表中的各种应用能够进行文档操作的方式,例如,一些应用只能打开文档而不能编辑等,还有一些应用不能进行打印等。另外,应用的文档操作规则还可以包括能否支持对应用所显示的文档内容的截屏操作等。可以为所有受保护应用设置相同的截屏操作规则,也可以为不同的受保护应用设置不同的截屏操作策略。例如,可以设置允许对word字处理应用打开的word文档进行截屏操作;而不允许对AutoCAD制图应用打开的AutoCAD文档进行截屏操作等。
截屏操作规则还可以包括对截屏操作控制的力度。也就是说,在进行截屏操作规则设置中,除了可以设置是否对截屏操作进行控制之外,还可以设置控制的力度,例如,只禁用<PrintScreen>键截屏;又例如,禁用<PrintScreen>键以及所有截屏软件截屏。
根据本发明的一个实施例,在判断截屏区域是否包括支持对文档进行保护的应用列表中的应用所显示的文档内容之前,还包括:判断截屏区域的尺寸是否小于或等于预定范围,若截屏区域的尺寸小于或等于预定范围,则允许获取截屏内容。这样,可以放过计算设备上的其他应用进行小图标的绘制调用,保证其他应用的程序界面能够正常刷新。其中,所述预定范围例如为50×50像素。
根据本发明的一个实施例,文档保护方法300还包括:监控到所述应用列表中的应用读取文档内容时,从计算设备中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取,当监控到应用存储文档内容时,将临时存储空间中的内容进行加密,并存储加密的文档。另外,在监控到应用对文档的操作时,还可以先获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
根据本发明的一个实施例,文档保护方法300还包括:将所监控到的操作记录发送到文档保护服务器。
根据本发明的文档保护方法300,对用户在计算设备上进行的截屏操作进行控制,如果截屏区域包括受保护应用所显示的文档内容,则根据相应的文档操作规则确定是否允许获取截屏内容,如此,能够防止通过未经授权的截屏操作将要保护的文档内容以明文方式复制走,从而降低了文档内容外泄的风险,提高了文档的安全性。
图4是布置为实现根据本发明的文档保护方法的示例计算设备900的框图。该计算设备900同样可以用于实现根据本发明的计算设备120。
在基本的配置902中,计算设备900典型地包括系统存储器906和一个或者多个处理器904。存储器总线908可以用于在处理器904和系统存储器906之间的通信。
取决于期望的配置,处理器904可以是任何类型的处理,包括但不限于:微处理器(μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器904可以包括诸如一级高速缓存910和二级高速缓存912之类的一个或者多个级别的高速缓存、处理器核心914和寄存器916。示例的处理器核心914可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器918可以与处理器904一起使用,或者在一些实现中,存储器控制器918可以是处理器904的一个内部部分。
取决于期望的配置,系统存储器906可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器906可以包括操作系统920、一个或者多个应用922以及程序数据924。应用922可以包括被配置为实现文档保护方法的文档保护设备926。程序数据924可以包括可用于如此处所述的截屏操作规则928。在一些实施方式中,应用922可以布置为在操作系统上利用程序数据924进行操作。
计算设备900还可以包括有助于从各种接口设备(例如,输出设备942、外设接口944和通信设备946)到基本配置902经由总线/接口控制器930的通信的接口总线940。示例的输出设备942包括图形处理单元948和音频处理单元950。它们可以被配置为有助于经由一个或者多个A/V端口952与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口944可以包括串行接口控制器954和并行接口控制器956,它们可以被配置为有助于经由一个或者多个I/O端口958和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备946可以包括网络控制器960,其可以被布置为便于经由一个或者多个通信端口964与一个或者多个其他计算设备962通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
计算设备900可以实现为小尺寸便携(或者移动)电子设备的一部分,这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。计算设备900还可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文档保护设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种文档保护设备,驻留在计算设备中,该文档保护设备包括:
规则管理器,适于维护支持对文档进行保护的应用列表以及各种应用的文档操作规则;以及
文档控制器,适于监控计算设备中的应用对文档的操作以及用户在计算设备上的操作,当监控到用户的截屏操作时,判断截屏区域是否包括所述应用列表中的应用所显示的文档内容;如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许获取截屏内容,如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据规则管理器中的相应规则确定是否允许获取截屏内容。
2.如权利要求1所述的文档保护设备,其中,文档控制器在判断截屏区域是否包括所述应用列表中的应用所显示的文档内容之前,还判断截屏区域的尺寸是否小于或等于预定范围,若截屏区域的尺寸小于或等于预定范围,则允许获取截屏内容。
3.如权利要求2所述的文档保护设备,其中,所述预定范围为50×50像素。
4.如权利要求1、2或3所述的文档保护设备,还包括加解密模块,耦接到文档控制器;以及
文档控制器监控到所述应用列表中的应用读取文档内容时,调用加解密模块从计算设备中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取,当监控到应用存储文档内容时,调用加解密模块将临时存储空间中的内容进行加密,并存储加密的文档。
5.如权利要求4所述的文档保护设备,其中,文档控制器在监控到应用对文档的操作时,从所述规则管理器中获取应用的文档操作规则,并确定该应用是否可以进行该文档操作。
6.如权利要求5所述的文档保护设备,还包括客户端代理模块,适于与文档保护服务器进行通信,从文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规则,并存储到所述规则管理器。
7.如权利要求6所述的文档保护设备,其中,所述客户端代理模块还适于将所述文档控制器所监控到的操作记录发送到文档保护服务器。
8.如权利要求6所述的文档保护设备,其中,所述客户端代理模块还包括身份认证部件,适于经由和文档保护服务器的通信来对文档保护设备进行认证,并且只允许认证通过的文档保护设备启动文档控制器进行文档操作。
9.一种文档保护方法,适于在计算设备中运行,该文档保护方法包括:
监控计算设备中的应用对文档的操作以及用户在计算设备上的操作,当监控到用户的截屏操作时,判断截屏区域是否包括支持对文档进行保护的应用列表中的应用所显示的文档内容;
如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许获取截屏内容;以及
如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据应用的文档操作规则确定是否允许获取截屏内容。
10.一种文档保护系统,包括
文档保护服务器;以及
一个或者多个计算设备,与所述文档保护服务器通信连接,并且在计算设备中驻留有如权利要求1至8中任一项所述的文档保护设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410589509.4A CN104408376A (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410589509.4A CN104408376A (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104408376A true CN104408376A (zh) | 2015-03-11 |
Family
ID=52646007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410589509.4A Pending CN104408376A (zh) | 2014-10-28 | 2014-10-28 | 一种文档保护方法、设备以及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104408376A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105787373A (zh) * | 2016-05-17 | 2016-07-20 | 武汉大学 | 一种移动办公系统中Android终端数据防泄漏方法 |
| CN106372473A (zh) * | 2016-09-02 | 2017-02-01 | 深圳中兴网信科技有限公司 | 截屏方法、截屏装置、终端和服务器 |
| CN111757024A (zh) * | 2020-07-30 | 2020-10-09 | 青岛海信传媒网络技术有限公司 | 一种控制智能图像模式切换的方法及显示设备 |
| US11496490B2 (en) | 2015-12-04 | 2022-11-08 | Bottomline Technologies, Inc. | Notification of a security breach on a mobile device |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090031301A1 (en) * | 2007-05-24 | 2009-01-29 | D Angelo Adam | Personalized platform for accessing internet applications |
| CN102004878A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种基于反截屏技术的文件数据保护方法 |
| CN103763313A (zh) * | 2014-01-03 | 2014-04-30 | 深圳市大成天下信息技术有限公司 | 一种文档保护方法和系统 |
-
2014
- 2014-10-28 CN CN201410589509.4A patent/CN104408376A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090031301A1 (en) * | 2007-05-24 | 2009-01-29 | D Angelo Adam | Personalized platform for accessing internet applications |
| CN102004878A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种基于反截屏技术的文件数据保护方法 |
| CN103763313A (zh) * | 2014-01-03 | 2014-04-30 | 深圳市大成天下信息技术有限公司 | 一种文档保护方法和系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11496490B2 (en) | 2015-12-04 | 2022-11-08 | Bottomline Technologies, Inc. | Notification of a security breach on a mobile device |
| TWI787159B (zh) * | 2015-12-04 | 2022-12-21 | 美商底線科技公司 | 藉由提供資料安全性漏洞的通知來保全受保護內容的裝置、方法和系統 |
| CN105787373A (zh) * | 2016-05-17 | 2016-07-20 | 武汉大学 | 一种移动办公系统中Android终端数据防泄漏方法 |
| CN105787373B (zh) * | 2016-05-17 | 2018-08-21 | 武汉大学 | 一种移动办公系统中Android终端数据防泄漏方法 |
| CN106372473A (zh) * | 2016-09-02 | 2017-02-01 | 深圳中兴网信科技有限公司 | 截屏方法、截屏装置、终端和服务器 |
| CN111757024A (zh) * | 2020-07-30 | 2020-10-09 | 青岛海信传媒网络技术有限公司 | 一种控制智能图像模式切换的方法及显示设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3610403B1 (en) | Isolated container event monitoring | |
| CN104361294A (zh) | 一种文档保护方法、设备以及系统 | |
| US11475146B2 (en) | Systems and methods for a privacy screen for secure SaaS applications | |
| EP2795829B1 (en) | Cryptographic system and methodology for securing software cryptography | |
| US11893123B2 (en) | Systems and methods for screenshot mediation based on policy | |
| US20210397727A1 (en) | Policy based clipboard access | |
| US8275884B2 (en) | Method and system for securely sharing content | |
| CN103713904A (zh) | 在移动终端工作区内安装应用的方法、相关装置和系统 | |
| CN105843653A (zh) | 一种安全应用配置方法及装置 | |
| US20220329413A1 (en) | Database integration with an external key management system | |
| CN103488954A (zh) | 一种文件加密系统 | |
| CN104408376A (zh) | 一种文档保护方法、设备以及系统 | |
| CN105303074A (zh) | 一种保护Web应用程序安全的方法 | |
| US11886716B2 (en) | System and method to secure a computer system by selective control of write access to a data storage medium | |
| CN104361265A (zh) | 一种文档保护方法、设备以及系统 | |
| CN104318175A (zh) | 一种文档保护方法、设备以及系统 | |
| US8863304B1 (en) | Method and apparatus for remediating backup data to control access to sensitive data | |
| CN110807205B (zh) | 一种文件安全防护方法及装置 | |
| CN104348838A (zh) | 一种文档管理系统和方法 | |
| CN104318174A (zh) | 一种文档保护方法、设备以及系统 | |
| CN112988426A (zh) | 消息的处理方法和装置 | |
| US9245138B2 (en) | Shared preferences in a multi-application environment | |
| US12086281B2 (en) | Unstructured data access control | |
| CN108205631A (zh) | 一种内容复制方法以及装置 | |
| CN117034330B (zh) | 基于macOS的安全防护方法、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150311 |