CN104935560A - 一种数据保护方法及其装置 - Google Patents
一种数据保护方法及其装置 Download PDFInfo
- Publication number
- CN104935560A CN104935560A CN201410110095.2A CN201410110095A CN104935560A CN 104935560 A CN104935560 A CN 104935560A CN 201410110095 A CN201410110095 A CN 201410110095A CN 104935560 A CN104935560 A CN 104935560A
- Authority
- CN
- China
- Prior art keywords
- party application
- limited files
- file
- files
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/53—Network services using third party service providers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种数据保护方法,应用于通过网络接入安全组件实现BYOD场景的终端设备,包括:网络接入安全组件将第三方应用的指定文件注册为受限文件,并保存受限文件与相应的第三方应用之间关联关系;网络接入安全组件接收来自当前第三方应用的文件访问请求,并当相应的目标文件为受限文件时,判断当前第三方应用与目标文件是否相关联;若相关联,则允许当前第三方应用访问,否则不允许。本发明还提出了一种相应的数据保护装置。通过本发明的技术方案,可以通过已有的网络接入安全组件实现对终端设备中第三方应用的统一安全管理,避免了相关应用的独立开发,也减轻了第三方应用的开发与维护量,并且有助于对网络安全和文件数据安全的统一管理。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种数据保护方法及其装置。
背景技术
BYOD(Bring Your Own Device)指携带自己的设备办公(比如个人电脑、手机、平板等),在机场、酒店、咖啡厅等各种场所登录公司邮箱、在线办公系统等,不受时间、地点、设备、人员、网络环境等的限制。
随着移动通信技术的不断发展,人们更加愿意将涉及个人、公司等方面的各种文件、数据等存放在自己的终端设备上,以便于随时进行数据交互和处理操作。
然而,当用户通过终端设备上的第三方应用来处理涉及个人隐私、商业机密等的文件时,这些文件很可能被一些不法分子通过直接访问或其他的第三方应用进行调用等方式获取,从而使用户蒙受精神及物质上的损失。
因此,如何提高第三方应用中文件的安全性,成为目前亟待解决的技术问题。
发明内容
有鉴于此,本发明提供一种数据保护方法及其装置,可以通过已有的网络接入安全组件实现对终端设备中第三方应用的统一安全管理,避免了相关应用的独立开发,也减轻了第三方应用的开发与维护量,并且有助于对网络安全和文件数据安全的统一管理。
为实现上述目的,本发明提供技术方案如下:
一种数据保护方法,应用于通过网络接入安全组件实现BYOD场景的终端设备,包括:
所述网络接入安全组件根据来自所述终端设备中的第三方应用的注册请求,将相应的文件注册为受限文件,并保存所述受限文件与相应的第三方应用之间关联关系;
所述网络接入安全组件接收来自当前第三方应用的文件访问请求,并当相应的目标文件为受限文件时,判断当前第三方应用与所述目标文件是否相关联;
若相关联,则允许当前第三方应用访问所述目标文件,否则不允许。
相应地,本发明还提出了一种数据保护装置,应用于通过网络接入安全组件实现BYOD场景的终端设备,包括:
受限文件管理单元,用于所述网络接入安全组件根据接收到的来自所述终端设备中的第三方应用的注册请求,将相应的文件注册为受限文件,并保存所述受限文件与相应的第三方应用之间关联关系;
关联关系判断单元,用于所述网络接入安全组件在接收来自当前第三方应用的文件访问请求的情况下,若相应的目标文件为受限文件,则判断当前第三方应用与所述目标文件是否相关联;
访问权限管理单元,用于所述网络接入安全组件在所述当前第三方应用与所述目标文件相关联的情况下,允许当前第三方应用访问所述目标文件,否则不允许。
本发明还提出了一种数据保护方法,应用于协助终端设备实现BYOD场景的网络接入安全组件,包括:
根据来自所述终端设备中的第三方应用的注册请求,将相应的文件注册为受限文件,并返回唯一对应于所述受限文件与相应的第三方应用的校验码;
接收来自当前第三方应用的文件访问请求,该文件访问请求中包含校验码;以及
根据该文件访问请求中包含的校验码确定对应的受限文件,对该受限文件执行相应的访问操作并返回访问结果。
相应地,本发明还提出了一种数据保护装置,应用于协助终端设备实现BYOD场景的网络接入安全组件,包括:
受限文件管理单元,用于根据来自所述终端设备中的第三方应用的注册请求,将相应的文件注册为受限文件,并返回唯一对应于所述受限文件与相应的第三方应用的校验码;
文件访问处理单元,用于接收来自当前第三方应用的文件访问请求,该文件访问请求中包含校验码,根据该文件访问请求中包含的校验码确定对应的受限文件,对该受限文件执行相应的访问操作并返回访问结果。
由以上技术方案可见,本发明通过限制对第三方应用中的受限文件的访问,有助于提升涉及到个人隐私、商业机密等的文件安全性;同时,通过已有的网络接入安全组件控制受限文件的访问权限,有助于实现对终端设备上的所有第三方应用中的受限文件的统一管理,从而一方面减轻了第三方应用的开发与维护量,另一方面能够借助于已有的网络接入安全组件的安全管理功能,从而避免了对于相应的管理软件的独立开发。
附图说明
图1示出了根据本发明的一个实施例的数据保护方法的流程示意图;
图2示出了根据本发明的一个实施例的保护第三方应用中的受限文件的示意图;
图3为图1所示实施例的一种实施方式的访问受限文件的示意图;
图4为图1所示实施例的另一种实施方式的访问受限文件的示意图;
图5A为图1所示实施例的一种实施方式的擦除受限文件的示意图;
图5B为图1所示实施例的另一种实施方式的擦除受限文件的示意图;
图6示出了根据本发明的一个实施例的数据保护装置的示意框图;
图7示出了根据本发明的另一个实施例的数据保护方法的流程示意图;
图8为图7所示实施例的访问受限文件的示意图;
图9A为图7所示实施例的一种实施方式的擦除受限文件的示意图;
图9B为图7所示实施例的另一种实施方式的擦除受限文件的示意图;
图10示出了根据本发明的另一个实施例的数据保护装置的示意框图。
具体实施方式
本发明通过限制对第三方应用中需要进行安全保护的受限文件的访问,有助于提升涉及到个人隐私、商业机密等的文件安全性;同时,通过已有的网络接入安全组件控制受限文件的访问权限,有助于实现对终端设备上的所有第三方应用中的受限文件的统一管理,从而一方面减轻了第三方应用的开发与维护量,另一方面能够借助于已有的网络接入安全组件的安全管理功能,从而避免了对于相应的管理软件的独立开发。
为对本发明进行进一步说明,提供下列实施例:
实施例一
图1示出了根据本发明的一个实施例的数据保护方法的流程示意图。
如图1所示,根据本发明的一个实施例的数据保护方法,应用于通过网络接入安全组件实现BYOD场景的终端设备。
其中,安全组件是用于终端设备进行安全认证,并提供本地服务的软件程序。在本发明示例性的技术方案中,所述安全组件可以是协助终端设备接入网络(比如企业内部网络)的客户端软件或者Web安全认证程序,所述安全组件具体用于实现对该终端设备的身份验证、安全状态评估和/或安全策略实施等安全管理功能。作为一种示例性实施例,比如作为该安全组件的网络接入客户端软件可以安装于终端设备中,从而维护终端设备的本地操作以及终端设备与服务端之间的交互过程。当然,所述安全组件也可以Web安全认证程序的方式,直接安装于服务器上实现对终端设备的安全认证。
具体地,该数据保护方法可以包括:
步骤102,网络接入安全组件根据来自所述终端设备中的第三方应用的注册请求,将相应的需要进行安全保护的文件注册为受限文件,并保存所述受限文件与相应的第三方应用之间的关联关系。
其中,受限文件是指对该文件的访问受到限制,使得不具有访问权限的第三方应用将无法直接访问该受限文件。通过对第三方应用中的受限文件的注册管理,有效提升了这些受限文件被访问时的安全性,避免了恶意应用对受限文件的随意访问。具体地,对于文件的访问可以包括对文件内容的读取、写入、复制、移动等操作。
步骤104,网络接入安全组件接收来自当前第三方应用的文件访问请求。
步骤106,网络接入安全组件判断相应的目标文件是否为受限文件。若是,则进入步骤108,否则进入步骤110。
作为本发明的一种示例性实施例,网络接入安全组件可以根据步骤102中的注册情况,建立包含所有受限文件的表格,从而通过在该表格中查找第三方应用对应的目标文件,以确定其是否为受限文件。
步骤108,判断当前第三方应用与所述目标文件是否相关联,若关联则进入步骤110,否则不允许当前第三方应用访问目标文件。
其中,网络接入安全组件具体是通过步骤102中保存的受限文件与相应的第三方应用之间的关联关系,从而确定当前第三方应用是否与其请求访问的受限文件相关联,以避免恶意应用对受限文件的随意访问,有助于提升文件访问的安全性。
步骤110,允许当前第三方应用访问所述目标文件。
其中,通过第三方应用之外的网络接入安全组件来管理受限文件时,一方面分离了相关的管理功能,有助于降低第三方应用的开发难度,使得开发人员仅需要调用网络接入安全组件中相应的管理功能即可,无需单独开发;另一方面有助于对各个第三方应用的所有受限文件的统一管理,避免由于应用开发者的技术水平差异而导致相应第三方应用的受限文件的安全性无法得到保障。
1、网络接入安全组件
在本发明的技术方案中,由已有的网络接入安全组件来实现对各个第三方应用中的受限文件的管理功能,从而一方面能够借用该网络接入安全组件中已有的安全管理功能,避免重复开发相应的功能或应用程序;另一方面,由于在终端设备向企业内部网络进行接入的过程中,网络接入安全组件本身就用于实现如身份验证、安全管理等功能,即用于实现安全管理方面的应用功能,因而由网络接入安全组件实现对受限文件的管理时,使得终端设备中的安全管理功能由该网络接入安全组件进行统一管理,降低了前期开发和后期管理的难度,也易于故障查找和修复等功能的实现。
相关技术中已经提出了很多应用于BYOD场景下的网络接入安全组件。为了便于描述,下面具体以某公司开发的A客户端软件为例,结合图2进行详细说明。其中,图2示出了根据本发明的一个实施例的保护第三方应用中的受限文件的示意图。
如图2所示,假定服务器10位于企业网络,而终端设备20通过安装的A客户端软件实现了BYOD场景的解决方案,并成功接入企业网络、登录至服务器10。
除了网络接入功能,诸如A客户端软件等网络接入客户端软件,往往还承担了身份验证、安全状态评估和/或安全策略实施等功能,从而有助于提升BYOD场景下的系统安全性和可靠性。
而在本发明的技术方案中,正是通过对A客户端软件已有的安全管理功能的应用和扩展,使得A客户端软件能够对终端设备20中所有的第三方应用中的受限文件进行统一、有效管理,从而当这些受限文件中包含有涉及个人隐私、企业内部资料、商业机密等的情况下,显著提升了文件访问的安全性。
2、访问受限文件
实施方式一:直接访问
图3为图1所示实施例的一种实施方式的访问受限文件的示意图。
如图3所示,根据本发明的一种实施方式的访问受限文件的过程包括:
若A客户端软件(用于举例,也可以为其他的网络接入安全组件)允许当前第三方应用访问作为目标的受限文件,则由该A客户端软件向服务器10请求密钥并转发至所述当前第三方应用。
然后,该当前第三方应用按照预设方式将所述密钥和受限文件的存放路径(比如图3所示的“SD/A/Document”)生成组合密钥,并通过该组合密钥执行对受限文件中的文件内容的加密和/或解密操作。对于组合密钥的生成方式,可以由厂商或用户设置,比如将“密钥”和“存放路径”进行顺序排列为“密钥+存放路径”或“存放路径+密钥”,或者采用其他更为复杂的算法来进行组合。
在该技术方案中,通过从服务器10获取密钥,从而在网络访问权限方面限制了不法分子对于受限文件的非法访问;同时,通过将组合密钥关联于受限文件的存放路径,使得受限文件即便被直接移动或复制,也由于存放路径变动而无法访问。因此,通过组合密钥的技术手段,能够显著提升受限文件的安全性。
较为具体地,第三方应用对受限文件采取的访问手段可以包括:对受限文件中的文件内容进行加密或解密,或者对文件本身进行移动或复制。其中,当移动或复制文件时,需要在目标位置创建新的受限文件,并对原始的受限文件中的文件内容进行解密后,将其移动或复制到新的受限文件中,再根据新的受限文件所处的存放路径生成组合密钥,以实现对新的受限文件内的文件内容的加密操作。
需要说明的是:
1)本发明中虽然以“第三方应用”作为相应操作的主体,但本领域技术人员应该理解的是,以上描述仅作为本发明的一个示例性实施例,在实际应用过程中,还有可能通过其他形态的网络接入安全组件与受限文件、第三方应用进行交互,来实现对受限文件的安全保护,在此不一一列举。
2)第三方应用在建立受限文件时,即可向本发明安全组件发起注册,从而使得受限文件在整个生命周期内都能够得到有效的安全保护。
同时,本发明的网络接入安全组件还可以配置至少一个特定存放路径,以用于存放所有的第三方应用相关联的受限文件。那么,第三方应用在建立相应的受限文件时,可以直接将其置于该特定存放路径(比如图3所示的SD/A/Document),以便于A客户端软件的统一、有效的管理。
实施方式二:间接访问
图4为图1所示实施例的另一种实施方式的访问受限文件的示意图。
如图4所示,根据本发明的另一种实施方式的访问受限文件的过程包括:
若A客户端软件(用于举例,也可以为其他的网络接入安全组件)不允许第三方应用1访问作为目标的受限文件,则第三方应用1向该受限文件对应的第三方应用(假定为图4所示的第三方应用2)发起调用请求。
在第三方应用1和第三方应用2之间,可以通过预配置或手动配置的方式建立可信任的调用关系。因此,当第三方应用2接收到第三方应用1对于受限文件的调用请求时,可以采用如图3所示的方式,实现对受限文件的直接访问,具体过程此处不再赘述。
第三方应用2在完成对受限文件的访问后,生成相应的调用结果并返回第三方应用1,则第三方应用1完成了对第三方应用2的间接调用,且严格保证了各第三方应用与受限文件之间的关联关系不被逾越。
3、受限文件擦除
实施方式一
图5A为图1所示实施例的一种实施方式的擦除受限文件的示意图。
如图5A所示,根据本发明的一种实施方式的擦除受限文件的过程包括:
网络接入安全组件接收到来自服务器10的预设控制命令时,解析出该预设控制命令的操作对象;然后,生成定向擦除指令并发送至对应的第三方应用,以由该第三方应用定向擦除对应的受限文件。
具体地,预设控制命令可以对应于一个或多个受限文件;其中,当需要同时擦除多个受限文件时,多个受限文件可以对应于同一个第三方应用,也可以对应于多个第三方应用。
其中,服务器10发出的预设控制命令,可以是在服务器10认为相应的终端设备处于不安全状态下时自动发起的;也可以是在服务器10接收到用户的操作指令后相应生成的,比如在终端设备丢失后,用户通过其他设备接入网络,并向服务器10发出相应的操作指令。
实施方式二
图5B为图1所示实施例的另一种实施方式擦除受限文件的示意图。
如图5B所示,根据本发明的另一种实施方式的擦除受限文件的过程包括:
终端设备中包含的通信模块30(即Modem)直接接收到来自网络接入安全组件的定向擦除指令后,将之发送至对应的第三方应用,以由该第三方应用定向擦除对应的受限文件。
具体地,比如对于终端设备丢失的情况下,用户可以通过其他设备向该终端设备的网络接入安全组件发送上述的预设控制命令,其具体可以采用短信息、彩信、邮件等各种方式来实现。其中,可以在预设控制指令的传输载体中添加验证密码,从而只有当密码正确的情况下,所述网络接入安全组件才生成相应的定向擦除指令,以避免其他用户的恶意擦除操作。
对应于上述的实施例一中的数据保护方法,图6相应地示出了根据本发明的一个实施例的数据保护装置的示意框图。
如图6所示,根据本发明的一个实施例的数据保护装置应用于通过网络接入安全组件实现BYOD场景的终端设备。具体地,该数据保护装置在功能上分别由网络接入安全组件60和第三方应用70来实现。
其中,网络接入安全组件60包括:
受限文件管理单元602,用于所述网络接入安全组件60根据接收到的来自所述终端设备中的第三方应用70的注册请求,将相应的文件注册为受限文件,并保存所述受限文件与相应的第三方应用70之间的关联关系;
关联关系判断单元604,用于所述网络接入安全组件60在接收来自当前第三方应用70的文件访问请求的情况下,若相应的目标文件为受限文件,则判断当前第三方应用70与所述目标文件是否相关联;
访问权限管理单元606,用于所述网络接入安全组件60在所述当前第三方应用70与所述目标文件相关联的情况下,允许当前第三方应用70访问所述目标文件,否则不允许。
在该技术方案中,受限文件是指对该文件的访问受到限制,使得不具有访问权限的第三方应用70将无法直接访问该受限文件。通过对第三方应用70中的受限文件的注册管理,有效提升了这些受限文件被访问时的安全性,避免了恶意应用对受限文件的随意访问。具体地,对于文件的访问可以包括对文件内容的读取、写入、复制、移动等操作。
同时,通过第三方应用70之外的网络接入安全组件60来管理受限文件时,一方面分离了相关的管理功能,有助于降低第三方应用70的开发难度,使得开发人员仅需要调用网络接入安全组件60中相应的管理功能即可,无需单独开发;另一方面有助于对各个第三方应用70的所有受限文件的统一管理,避免由于应用开发者的技术水平差异而导致相应第三方应用70中的受限文件的安全性无法得到保障。
其中,网络接入安全组件60即用于协助终端设备接入网络(比如企业内部网络)且用于实现安全管理功能。比如优选地,网络接入安全组件60还可以包括:网络接入控制单元608,用于所述网络接入安全组件60协助所述终端设备接入网络,并实现对所述终端设备的身份验证、安全状态评估和/或安全策略实施。
优选地,网络接入安全组件60还可以包括:存放路径配置单元610,用于所述网络接入安全组件60配置至少一个特定存放路径,以由每个第三方应用70均将相关联的受限文件存放至所述特定存放路径。
在该技术方案中,通过建立专门用于存放受限文件的特定存在路径,有助于网络接入安全组件60对所有的受限文件的统一管理。
优选地,网络接入安全组件60还可以包括:文件定向擦除单元612,用于在接收到来自用户或者服务器的定向擦除指令后,向对应的第三方应用70发送定向擦除指令,以删除相应的受限文件。
其中,当服务器侧发出预设控制命令时,可以是在服务器侧认为相应的终端设备处于不安全状态下时自动发起的;也可以是在服务器侧接收到用户的操作指令后相应生成的,比如在终端设备丢失后,用户通过其他设备接入网络,并向服务器侧发出相应的操作指令。
当终端设备接收到预设控制命令时,比如对于终端设备丢失的情况下,用户可以通过其他设备向该终端设备发送上述的预设控制命令,其具体可以采用短信息、彩信、邮件等各种方式来实现。其中,可以在预设控制指令的传输载体中添加验证密码,从而只有当密码正确的情况下,网络接入安全组件60才生成相应的定向擦除指令,以避免其他用户的恶意擦除操作。
同时,第三方应用70可以包括:
组合密钥生成单元702,用于在允许当前第三方应用70访问所述目标文件的情况下,当前第三方应用70接收网络接入安全组件60向服务器侧请求的密钥,并按照预设方式将所述密钥和所述目标文件的存放路径生成为组合密钥;以及
文件操作单元704,用于所述当前第三方应用70通过该组合密钥执行对所述目标文件中的文件内容的加密和/或解密操作。
在该技术方案中,通过从服务器侧获取密钥,从而在网络访问权限方面限制了不法分子对于受限文件的非法访问;同时,通过将组合密钥关联于受限文件的存放路径,使得受限文件即便被直接移动或复制,也由于存放路径变动而无法访问。因此,通过组合密钥的技术手段,能够显著提升受限文件的安全性。
较为具体地,第三方应用70对受限文件采取的访问手段可以包括:对受限文件中的文件内容进行加密或解密,或者对文件本身进行移动或复制。其中,当移动或复制文件时,需要在目标位置创建新的受限文件,并对原始的受限文件中的文件内容进行解密后,将其移动或复制到新的受限文件中,再根据新的受限文件所处的存放路径生成组合密钥,以实现对新的受限文件内的文件内容的加密操作。
优选地,第三方应用70还可以包括:调用请求发起单元706,用于在不被允许访问所述目标文件的情况下,所述当前第三方应用70向所述目标文件对应的第三方应用发起调用请求,以由该被调用的第三方应用执行对所述目标文件的访问操作。
在该技术方案中,对于无法直接访问的情况下,第三方应用70可以通过应用间的调用操作,实现对受限文件的间接读取,既实现了文件访问,又严格保证了各第三方应用与受限文件之间的关联关系不被逾越。
实施例二
图7示出了根据本发明的另一个实施例的数据保护方法的流程示意图。
如图7所示,根据本发明的另一个实施例的数据保护方法,应用于协助终端设备实现BYOD场景的网络接入安全组件,包括:
步骤702,根据来自所述终端设备中的第三方应用的注册请求,将相应的需要进行安全保护的文件注册为受限文件,并返回唯一对应于所述受限文件与相应的第三方应用的校验码。
具体地,通过对第三方应用中的受限文件的注册管理,有效提升了这些受限文件被访问时的安全性,避免了恶意应用对受限文件的随意访问,也有助于对各个第三方应用的所有受限文件的统一管理。
其中,在生成校验码时,可以通过比如分别获取该受限文件的信息(比如文件名称、存放路径、文件大小等)和相应的第三方应用的信息(如应用名称、版本号、开发商信息等),使得校验码能够在受限文件与相应的第三方应用之间建立起唯一的关联关系。
步骤704,接收来自当前第三方应用的文件访问请求,该文件访问请求中包含校验码。
具体地,由于校验码在受限文件与相应的第三方应用之间的唯一关联关系,使得第三方应用在文件访问请求中添加该检验码时,即可表明其对于相应的受限文件的访问需求以及其具有相应的访问权限。
步骤706,根据该文件访问请求中包含的校验码确定对应的受限文件,对该受限文件执行相应的访问操作并返回访问结果。
具体地,针对第三方应用提出的文件访问请求,由网络接入安全组件直接执行相应的文件访问操作,使得第三方应用与受限文件之间完全隔离,有助于进一步提升受限文件的安全性。同时,由于第三方应用无需关心具体的受限文件访问过程,只需要发起文件访问请求并接收对应的访问结果,从而有助于降低第三方应用的开发难度,也避免由于应用开发者的技术水平差异而导致相应第三方应用的受限文件的安全性无法得到保障。
1、网络接入安全组件
类似于实施例一的技术方案,由已有的网络接入客户端软件或者Web安全认证程序等形态的网络接入安全组件来实现对各个第三方应用中的受限文件的管理功能,从而一方面能够借用该网络接入安全组件中已有的安全管理功能,避免重复开发相应的功能或应用程序;另一方面,由于在终端设备向企业内部网络进行接入的过程中,网络接入安全组件本身就用于实现如身份验证、安全管理等功能,即用于实现安全管理方面的应用功能,因而由网络接入安全组件实现对受限文件的管理时,使得终端设备中的安全管理功能由该网络接入安全组件进行统一管理,降低了前期开发和后期管理的难度,也易于故障查找和修复等功能的实现。
优选地,还包括:网络接入安全组件根据来自第三方应用的注册请求建立相应的受限文件,并将该受限文件置于预配置的特定存放路径。其中:
一方面,网络接入安全组件可以完成对受限文件的建立、存放、访问等所有管理操作,从而完全将受限文件与第三方应用相互隔离,有助于在物理上隔离受限文件与任意可能存在的恶意应用,提升受限文件的安全性。
另一方面,第三方应用对于受限文件的建立、访问等所有操作,都只需要向网络接入安全组件发起请求并接收响应即可,无需执行具体的建立、访问等操作,从而有助于降低第三方应用的开发量。
同时,通过将受限文件存储于特定存放路径,实际上是对所有受限文件的统一存储,从而有助于网络接入安全组件对这些受限文件的统一管理。
2、访问受限文件
在实施例二中,上文已经描述了由网络接入安全组件实现对受限文件的访问操作,下面仍以A客户端软件为例,并结合图8对其访问的具体过程进行说明。其中,图8为图7所示实施例的访问受限文件的示意图。
如图8所示,根据本发明的一个实施例的访问受限文件的过程包括:
A客户端软件接收到来自当前第三方应用的访问请求,从中获取校验码,并根据校验码确定当前第三方应用希望访问的受限文件。
然后,A客户端软件向服务器10请求密钥,并按照预设方式将所述密钥和受限文件的存放路径(比如图8所示的“SD/A/Document”)生成组合密钥,并通过该组合密钥执行对受限文件中的文件内容的加密和/或解密操作。对于组合密钥的生成方式,可以由厂商或用户设置,比如将“密钥”和“存放路径”进行顺序排列为“密钥+存放路径”或“存放路径+密钥”,或者采用其他更为复杂的算法来进行组合。
在该技术方案中,通过从服务器10获取密钥,从而在网络访问权限方面限制了不法分子对于受限文件的非法访问;同时,通过将组合密钥关联于受限文件的存放路径,使得受限文件即便被直接移动或复制,也由于存放路径变动而无法访问。因此,通过组合密钥的技术手段,能够显著提升受限文件的安全性。
较为具体地,A客户端软件对受限文件采取的访问手段可以包括:对受限文件中的文件内容进行加密或解密,或者对文件本身进行移动或复制。其中,当移动或复制文件时,需要在目标位置创建新的受限文件,并对原始的受限文件中的文件内容进行解密后,将其移动或复制到新的受限文件中,再根据新的受限文件所处的存放路径生成组合密钥,以实现对新的受限文件内的文件内容的加密操作。
3、受限文件擦除
实施方式一
图9A为图7所示实施例的一种实施方式的擦除受限文件的示意图。
如图9A所示,根据本发明的一种实施方式的擦除受限文件的过程包括:
网络接入安全组件接收到来自服务器10的预设控制命令时,解析出该预设控制命令的操作对象,并定向擦除对应的受限文件。
具体地,预设控制命令可以对应于一个或多个受限文件;其中,当需要同时擦除多个受限文件时,多个受限文件可以对应于同一个第三方应用,也可以对应于多个第三方应用。
其中,服务器10发出的预设控制命令,可以是在服务器10认为相应的终端设备处于不安全状态下时自动发起的;也可以是在服务器10接收到用户的操作指令后相应生成的,比如在终端设备丢失后,用户通过其他设备接入网络,并向服务器10发出相应的操作指令。
实施方式二
图9B为图7所示实施例的另一种实施方式的擦除受限文件的示意图。
如图9B所示,根据本发明的另一种实施方式的擦除受限文件的过程包括:
终端设备中包含的通信模块30(即Modem)直接接收到来网络接入自安全组件的预设控制指令,定向擦除对应的受限文件。
具体地,比如对于终端设备丢失的情况下,用户可以通过其他设备向该终端设备的网络接入安全组件发送上述的预设控制命令,其具体可以采用短信息、彩信、邮件等各种方式来实现。其中,可以在预设控制指令的传输载体中添加验证密码,从而只有当密码正确的情况下,所述网络接入安全组件才执行文件擦除操作,以避免其他用户的恶意擦除操作。
对应于上述的实施例二中的数据保护方法,图10相应地示出了根据本发明的另一个实施例的数据保护装置的示意框图。
如图10所示,根据本发明的另一个实施例的数据保护装置80,应用于协助终端设备实现BYOD场景的网络接入安全组件,包括:
受限文件管理单元802,用于根据来自所述终端设备中的第三方应用的注册请求,将相应的文件注册为受限文件,并返回唯一对应于所述受限文件与相应的第三方应用的校验码;
文件访问处理单元804,用于接收来自当前第三方应用的文件访问请求,该文件访问请求中包含校验码,根据该文件访问请求中包含的校验码确定对应的受限文件,对该受限文件执行相应的访问操作并返回访问结果。
在该技术方案中,通过对第三方应用中的受限文件的注册管理,有效提升了这些受限文件被访问时的安全性,避免了恶意应用对受限文件的随意访问,也有助于对各个第三方应用的所有受限文件的统一管理。
具体地,由于校验码在受限文件与相应的第三方应用之间的唯一关联关系,使得第三方应用在文件访问请求中添加该检验码时,即可表明其对于相应的受限文件的访问需求以及其具有相应的访问权限。
其中,针对第三方应用提出的文件访问请求,由网络接入安全组件直接执行相应的文件访问操作,使得第三方应用与受限文件之间完全隔离,有助于进一步提升受限文件的安全性。同时,由于第三方应用无需关心具体的受限文件访问过程,只需要发起文件访问请求并接收对应的访问结果,从而有助于降低第三方应用的开发难度,也避免由于应用开发者的技术水平差异而导致相应第三方应用的受限文件的安全性无法得到保障。
优选地,数据保护装置80还包括:网络接入控制单元806,用于协助所述终端设备接入网络,并实现对所述终端设备的身份验证、安全状态评估和/或安全策略实施。
优选地,所述受限文件管理单元802还用于:根据所述注册请求建立相应的受限文件,并将该受限文件置于预配置的特定存放路径。
在该技术方案中,一方面,网络接入安全组件可以完成对受限文件的建立、存放、访问等所有管理操作,从而完全将受限文件与第三方应用相互隔离,有助于在物理上隔离受限文件与任意可能存在的恶意应用,提升受限文件的安全性。
另一方面,第三方应用对于受限文件的建立、访问等所有操作,都只需要向网络接入安全组件发起请求并接收响应即可,无需执行具体的建立、访问等操作,从而有助于降低第三方应用的开发量。
同时,通过将受限文件存储于特定存放路径,实际上是对所有受限文件的统一存储,从而有助于网络接入安全组件对这些受限文件的统一管理。
优选地,所述文件访问处理单元804还用于:在接收到所述文件访问请求时向服务器侧请求密钥,按照预设方式将所述密钥和对应的受限文件的存放路径生成为组合密钥,并通过该组合密钥执行对该受限文件中的文件内容的加密和/或解密操作。
在该技术方案中,通过从服务器侧获取密钥,从而在网络访问权限方面限制了不法分子对于受限文件的非法访问;同时,通过将组合密钥关联于受限文件的存放路径,使得受限文件即便被直接移动或复制,也由于存放路径变动而无法访问。因此,通过组合密钥的技术手段,能够显著提升受限文件的安全性。
优选地,还包括:文件定向擦除单元808,用于根据所述终端设备接收到的或来自服务器侧的预设控制命令,删除相应的受限文件。
在该技术方案中,当服务器侧发出预设控制命令时,可以是在服务器侧认为相应的终端设备处于不安全状态下时自动发起的;也可以是在服务器侧接收到用户的操作指令后相应生成的,比如在终端设备丢失后,用户通过其他设备接入网络,并向服务器侧发出相应的操作指令。
当终端设备接收到预设控制命令时,比如对于终端设备丢失的情况下,用户可以通过其他设备向该终端设备发送上述的预设控制命令,其具体可以采用短信息、彩信、邮件等各种方式来实现。其中,可以在预设控制指令的传输载体中添加验证密码,从而只有当密码正确的情况下,网络接入安全组件才执行文件擦除操作,以避免其他用户的恶意擦除操作。
因此,本发明通过限制对第三方应用中的受限文件的访问,有助于提升涉及到个人隐私、商业机密等的文件安全性;同时,通过已有的网络接入安全组件控制受限文件的访问权限,有助于实现对终端设备上的所有第三方应用中的受限文件的统一管理,从而一方面减轻了第三方应用的开发与维护量,另一方面能够借助于已有的网络接入安全组件的安全管理功能,从而避免了对于相应的管理软件的独立开发。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (18)
1.一种数据保护方法,应用于通过网络接入安全组件实现BYOD场景的终端设备,其特征在于,包括:
所述网络接入安全组件根据来自所述终端设备中的第三方应用的注册请求,将相应的文件注册为受限文件,并保存所述受限文件与相应的第三方应用之间的关联关系;
所述网络接入安全组件接收来自当前第三方应用的文件访问请求,并当相应的目标文件为受限文件时,判断当前第三方应用与所述目标文件是否相关联;
若相关联,则允许当前第三方应用访问所述目标文件,否则不允许。
2.根据权利要求1所述的数据保护方法,其特征在于,还包括:
在允许当前第三方应用访问所述目标文件的情况下,所述网络接入安全组件向服务器侧请求密钥并转发至所述当前第三方应用;
其中,所述当前第三方应用按照预设方式将所述密钥和所述目标文件的存放路径生成为组合密钥,并通过该组合密钥执行对所述目标文件中的文件内容的加密和/或解密操作。
3.根据权利要求2所述的数据保护方法,其特征在于,还包括:
所述当前第三方应用在不被允许访问所述目标文件的情况下,向所述目标文件对应的第三方应用发起调用请求,以由该被调用的第三方应用执行对所述目标文件的访问操作。
4.根据权利要求1至3中任一项所述的数据保护方法,其特征在于,还包括:
所述网络接入安全组件配置至少一个特定存放路径,以用于存放所有的第三方应用相关联的受限文件。
5.根据权利要求1至3中任一项所述的数据保护方法,其特征在于,还包括:
所述网络接入安全组件根据用户或者服务器发送的预设控制命令,向对应的第三方应用发送定向擦除指令,以删除相应的受限文件。
6.一种数据保护装置,应用于通过网络接入安全组件实现BYOD场景的终端设备,其特征在于,包括:
受限文件管理单元,用于所述网络接入安全组件根据接收到的来自所述终端设备中的第三方应用的注册请求,将相应的文件注册为受限文件,并保存所述受限文件与相应的第三方应用之间的关联关系;
关联关系判断单元,用于所述网络接入安全组件在接收来自当前第三方应用的文件访问请求的情况下,若相应的目标文件为受限文件,则判断当前第三方应用与所述目标文件是否相关联;
访问权限管理单元,用于所述网络接入安全组件在所述当前第三方应用与所述目标文件相关联的情况下,允许当前第三方应用访问所述目标文件,否则不允许。
7.根据权利要求6所述的数据保护装置,其特征在于,还包括:
组合密钥生成单元,用于在允许当前第三方应用访问所述目标文件的情况下,所述当前第三方应用接收所述网络接入安全组件向服务器侧请求的密钥,并按照预设方式将所述密钥和所述目标文件的存放路径生成为组合密钥;以及
文件操作单元,用于所述当前第三方应用通过该组合密钥执行对所述目标文件中的文件内容的加密和/或解密操作。
8.根据权利要求7所述的数据保护装置,其特征在于,还包括:
调用请求发起单元,用于在不被允许访问所述目标文件的情况下,所述当前第三方应用向所述目标文件对应的第三方应用发起调用请求,以由该被调用的第三方应用执行对所述目标文件的访问操作。
9.根据权利要求6至8中任一项所述的数据保护装置,其特征在于,还包括:
存放路径配置单元,用于所述网络接入安全组件配置至少一个特定存放路径,以由每个第三方应用均将相关联的受限文件存放至所述特定存放路径。
10.根据权利要求6至8中任一项所述的数据保护装置,其特征在于,还包括:
文件定向擦除单元,用于接收到用户或者服务器侧接收到所述预设控制命令的情况下,向对应的第三方应用发送定向擦除指令,以删除相应的受限文件。
11.一种数据保护方法,应用于协助终端设备实现BYOD场景的网络接入安全组件,其特征在于,包括:
根据来自所述终端设备中的第三方应用的注册请求,将相应的文件注册为受限文件,并返回唯一对应于所述受限文件与相应的第三方应用的校验码;
接收来自当前第三方应用的文件访问请求,该文件访问请求中包含校验码;以及
根据该文件访问请求中包含的校验码确定对应的受限文件,对该受限文件执行相应的访问操作并返回访问结果。
12.根据权利要求11所述的数据保护方法,其特征在于,还包括:
根据所述注册请求建立相应的受限文件,并将该受限文件置于预配置的特定存放路径。
13.根据权利要求11所述的数据保护方法,其特征在于,还包括:
根据接收到的所述文件访问请求向服务器侧请求密钥,按照预设方式将所述密钥和对应的受限文件的存放路径生成为组合密钥,通过该组合密钥执行对该受限文件中的文件内容的加密和/或解密操作。
14.根据权利要求11至13中任一项所述的数据保护方法,其特征在于,还包括:
根据用户或者服务器侧的预设控制命令,删除相应的受限文件。
15.一种数据保护装置,应用于协助终端设备实现BYOD场景的网络接入安全组件,其特征在于,包括:
受限文件管理单元,用于根据来自所述终端设备中的第三方应用的注册请求,将相应的文件注册为受限文件,并返回唯一对应于所述受限文件与相应的第三方应用的校验码;
文件访问处理单元,用于接收来自当前第三方应用的文件访问请求,该文件访问请求中包含校验码,根据该文件访问请求中包含的校验码确定对应的受限文件,对该受限文件执行相应的访问操作并返回访问结果。
16.根据权利要求15所述的数据保护方法,其特征在于,所述受限文件管理单元还用于:
根据所述注册请求建立相应的受限文件,并将该受限文件置于预配置的特定存放路径。
17.根据权利要求15所述的数据保护方法,其特征在于,所述文件访问处理单元还用于:
在接收到所述文件访问请求时向服务器侧请求密钥,按照预设方式将所述密钥和对应的受限文件的存放路径生成为组合密钥,并通过该组合密钥执行对该受限文件中的文件内容的加密和/或解密操作。
18.根据权利要求15至17中任一项所述的数据保护方法,其特征在于,还包括:
文件定向擦除单元,用于根据用户或者服务器侧的预设控制命令,删除相应的受限文件。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410110095.2A CN104935560B (zh) | 2014-03-21 | 2014-03-21 | 一种数据保护方法及其装置 |
| PCT/CN2015/074010 WO2015139571A1 (en) | 2014-03-21 | 2015-03-11 | Data protection |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410110095.2A CN104935560B (zh) | 2014-03-21 | 2014-03-21 | 一种数据保护方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104935560A true CN104935560A (zh) | 2015-09-23 |
| CN104935560B CN104935560B (zh) | 2019-06-07 |
Family
ID=54122533
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410110095.2A Active CN104935560B (zh) | 2014-03-21 | 2014-03-21 | 一种数据保护方法及其装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104935560B (zh) |
| WO (1) | WO2015139571A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681334A (zh) * | 2016-03-02 | 2016-06-15 | 清华大学 | 一种信息交互系统及方法 |
| CN106503579A (zh) * | 2016-09-29 | 2017-03-15 | 维沃移动通信有限公司 | 一种访问目标文件的方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101273366A (zh) * | 2005-11-02 | 2008-09-24 | 日立软件工程株式会社 | 机密文件保护方法以及机密文件保护系统 |
| CN101364250A (zh) * | 2007-08-08 | 2009-02-11 | 深圳华为通信技术有限公司 | 一种版权信息处理方法及设备 |
| CN102938039A (zh) * | 2011-09-09 | 2013-02-20 | 微软公司 | 针对应用的选择性文件访问 |
| CN103065098A (zh) * | 2011-10-24 | 2013-04-24 | 联想(北京)有限公司 | 访问方法和电子设备 |
| CN103218576A (zh) * | 2013-04-07 | 2013-07-24 | 福建伊时代信息科技股份有限公司 | 电子文件防拷贝的系统和方法 |
| CN103246850A (zh) * | 2013-05-23 | 2013-08-14 | 福建伊时代信息科技股份有限公司 | 文件处理方法和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4636607B2 (ja) * | 2005-06-29 | 2011-02-23 | 株式会社日立ソリューションズ | セキュリティ対策アプリケーションの機密ファイル保護方法 |
| CN101131725A (zh) * | 2007-05-16 | 2008-02-27 | 何鸿君 | 一种文件访问控制方法 |
| KR20100114066A (ko) * | 2008-01-31 | 2010-10-22 | 인터내셔널 비지네스 머신즈 코포레이션 | 암호화된 파일 엑세스를 위한 방법 및 시스템 |
| CN102495986A (zh) * | 2011-12-15 | 2012-06-13 | 上海中标凌巧软件科技有限公司 | 计算机系统中实现避免加密数据被盗用的调用控制方法 |
-
2014
- 2014-03-21 CN CN201410110095.2A patent/CN104935560B/zh active Active
-
2015
- 2015-03-11 WO PCT/CN2015/074010 patent/WO2015139571A1/en active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101273366A (zh) * | 2005-11-02 | 2008-09-24 | 日立软件工程株式会社 | 机密文件保护方法以及机密文件保护系统 |
| CN101364250A (zh) * | 2007-08-08 | 2009-02-11 | 深圳华为通信技术有限公司 | 一种版权信息处理方法及设备 |
| CN102938039A (zh) * | 2011-09-09 | 2013-02-20 | 微软公司 | 针对应用的选择性文件访问 |
| CN103065098A (zh) * | 2011-10-24 | 2013-04-24 | 联想(北京)有限公司 | 访问方法和电子设备 |
| CN103218576A (zh) * | 2013-04-07 | 2013-07-24 | 福建伊时代信息科技股份有限公司 | 电子文件防拷贝的系统和方法 |
| CN103246850A (zh) * | 2013-05-23 | 2013-08-14 | 福建伊时代信息科技股份有限公司 | 文件处理方法和装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681334A (zh) * | 2016-03-02 | 2016-06-15 | 清华大学 | 一种信息交互系统及方法 |
| CN105681334B (zh) * | 2016-03-02 | 2019-03-29 | 湖南岳麓山数据科学与技术研究院有限公司 | 一种信息交互系统及方法 |
| CN106503579A (zh) * | 2016-09-29 | 2017-03-15 | 维沃移动通信有限公司 | 一种访问目标文件的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104935560B (zh) | 2019-06-07 |
| WO2015139571A1 (en) | 2015-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11784823B2 (en) | Object signing within a cloud-based architecture | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| US8341693B2 (en) | Enterprise-wide security system for computer devices | |
| US8588422B2 (en) | Key management to protect encrypted data of an endpoint computing device | |
| JP7152765B2 (ja) | 通信システム、それに用いる通信装置、管理装置及び情報端末 | |
| AU2015296791B2 (en) | Method and system for providing a virtual asset perimeter | |
| CN102378170A (zh) | 一种鉴权及业务调用方法、装置和系统 | |
| CN104641377A (zh) | 用于移动计算设备的数据丢失防护 | |
| WO2015183698A1 (en) | Method and system for implementing data security policies using database classification | |
| JP2003228519A (ja) | デジタル資産にパーベイシブ・セキュリティを提供する方法及びアーキテクチャ | |
| US9521032B1 (en) | Server for authentication, authorization, and accounting | |
| Jeong et al. | An efficient authentication system of smart device using multi factors in mobile cloud service architecture | |
| US20130347125A1 (en) | Secondary Asynchronous Background Authorization (SABA) | |
| US20180359639A1 (en) | Methods and Systems for Protecting Computer Networks by Masking Ports | |
| CN103973715A (zh) | 一种云计算安全系统和方法 | |
| Almarhabi et al. | A Proposed Framework for Access Control in the Cloud and BYOD Environment | |
| KR20230072648A (ko) | 다중 신뢰도 기반 접근통제 시스템 | |
| CN104935560A (zh) | 一种数据保护方法及其装置 | |
| CN113647051A (zh) | 用于安全电子数据传输的系统和方法 | |
| CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
| CN111769956B (zh) | 业务处理方法、装置、设备及介质 | |
| Pawar | A Study on Big Data Security and Data Storage Infrastructure | |
| CN107066874B (zh) | 容器系统间交互验证信息的方法及装置 | |
| Alami-Kamouri et al. | Mobile Agent Security Based on Cryptographic Trace and SOS Agent Mechanisms. | |
| CN110417638B (zh) | 通信数据处理方法和装置、存储介质及电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |