TW201445356A - 基於策略群組的檔案保護系統、其檔案保護方法及電腦可讀取媒體 - Google Patents
基於策略群組的檔案保護系統、其檔案保護方法及電腦可讀取媒體 Download PDFInfo
- Publication number
- TW201445356A TW201445356A TW102118616A TW102118616A TW201445356A TW 201445356 A TW201445356 A TW 201445356A TW 102118616 A TW102118616 A TW 102118616A TW 102118616 A TW102118616 A TW 102118616A TW 201445356 A TW201445356 A TW 201445356A
- Authority
- TW
- Taiwan
- Prior art keywords
- file
- data
- client device
- policy group
- client
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本發明提供一種基於策略群組的檔案保護方法,適用於一檔案保護系統,且此檔案保護方法包括下列步驟。在用戶端的用戶端裝置上執行檔案管理驅動程式。建立用戶端裝置與伺服端的連線,並將用戶端的身份資料傳送至伺服端。伺服端根據身份資料判斷用戶端是否屬於一策略群組。當伺服端判斷用戶端屬於策略群組時,傳送對應策略群組的一憑證資料至用戶端裝置。當檔案管理驅動程式偵測到用戶端裝置安裝的檔案存取應用程式請求執行一檔案的開啟程序時,檔案管理驅動程式根據憑證資料判斷是否允許檔案存取應用程式對該檔案執行該開啟程序。
Description
本發明是關於一種檔案保護系統、其檔案保護方法及電腦可讀取媒體,且特別是一種基於策略群組的檔案保護系統、其檔案保護方法及電腦可讀取媒體。
在現今數位化的時代,幾乎所有資訊都可被數位化儲存,每個人身邊經常可隨手獲取各種不同的數位資訊,同時也很容易就會將不該散播出去的資訊散播出去。因此如何有效的管制授權資訊,保護數位資產不會輕易外泄,並能確實有效地、即時動態地保護與管理文件資產,儼然成為各行各業中資訊管理的一項重大課題。
現今所使用的資訊管理系統一般具有一檔案主機(file server),並且將須管理的電子檔案集中儲存於此檔案主機中,以對電子檔案進行加密與保護。而後,各別使用者透過網路與檔案主機連線並依其權限登入檔案主機來存取電子檔案,並依其權限登入檔案主機來存取電子檔案,例如修改、剪下、複製、貼上、存檔、另存新檔等等。然而此類檔案保護方式並無法完善有效地保護電子檔案不外泄。例如當電子檔案尚未上傳至檔案主機時,電子檔案並不會受到保護,且也無法控管存取電子檔案的使用者
身分,使電子檔案容易外泄。此外,將電子檔案集中儲存於檔案主機的保護方式會帶來許多不便,例如網路中斷時,使用者即無法由檔案主機存取資料,降低工作效率。
有鑑於此,本發明實施例提出一種基於策略群組的檔案保護系統、檔案保護方法及電腦可讀取媒體,可將檔案保護系統內的一檔案依據一動態設定的策略群組分類並對應嵌入加密資料,並透過主動判斷使用者是否屬於該檔案定義的策略群組來判斷是否允許一使用者存取屬於該策略群組的檔案。據此,可有效地管控檔案的存取運作,並提升檔案的安全性。
本發明提供一種基於策略群組的檔案保護方法,適用於一檔案保護系統,且此檔案保護方法包括下列步驟。首先,在用戶端的用戶端裝置上執行一檔案管理驅動程式。其後,建立用戶端裝置與伺服端之間的連線,並將用戶端的身份資料傳送至伺服端。伺服端根據身份資料判斷用戶端是否屬於一策略群組。當伺服端判斷用戶端屬於策略群組時,傳送對應策略群組的一憑證資料至用戶端裝置。當檔案管理驅動程式偵測到用戶端裝置安裝的檔案存取應用程式請求執行檔案的開啟程序時,檔案管理驅動程式根據憑證資料判斷是否允許檔案存取應用程式對該檔案執行該開啟程序。
本發明提供一種基於策略群組的檔案保護方法,適用於一檔案保護系統,且此檔案保護方法包括下列步驟。首先,在用戶端的用戶端裝置上執行檔案管理驅動程式。其次,建立用戶端裝置與伺服端的連線,並將用戶端的身份資料傳送至伺服端。其後,伺服端根據身份資料判斷用戶端是否屬於一策略群組。當伺服端判斷用戶端屬於策略群組時,傳送對應策略群組的一憑證資料至用戶端裝置,其中憑證資料包括一預設存取時間。於此預設存取時間內,當用戶端透過用戶端裝置對檔案進行開啟程序時,檔案
管理驅動程式允許用戶端裝置安裝的檔案存取應用程式對檔案執行開啟程序。
本發明提供一種基於策略群組的檔案保護系統,且此檔案保護系統包括伺服端以及至少一用戶端。伺服端具對應至少一策略群組的一憑證資料。用戶端具有一用戶端裝置,且用戶端裝置包括檔案管理驅動程式、第一記憶單元以及第一處理單元。檔案管理驅動程式用以傳送用戶端的身份資料至伺服端,以獲取對應策略群組的憑證資料。所述檔案管理驅動程式並用以根據憑證資料判斷用戶端是否可存取屬於策略群組的檔案。第一記憶單元用以儲存憑證資料與身份資料。第一處理單元耦接第一記憶單元。第一處理單元並用以執行檔案管理驅動程式。當檔案管理驅動程式被執行而傳送身份資料至伺服端時,伺服端依據身份資料判斷用戶端是否屬於策略群組。當伺服端依據身份資料判斷用戶端屬於策略群組時,傳送憑證資料至用戶端。當檔案管理驅動程式被執行,且偵測到用戶端裝置所安裝的檔案存取應用程式請求執行檔案的開啟程序時,檔案管理驅動程式根據憑證資料判斷是否允許檔案存取應用程式對檔案執行開啟程序。
此外,本發明實施例還提供一種電腦可讀取媒體記錄一組電腦可執行程式,當電腦可讀取記錄媒體被處理器讀取時,處理器可執行上述檔案保護方法中的步驟。
綜上所述,本發明實施例所提供的基於策略群組的檔案保護系統與方法、及其電腦可讀取媒體能夠在提升使用者存取檔案的方便性以及工作效率下,維持檔案的安全性與保密性。
為使能更進一步瞭解本發明之特徵及技術內容,請參閱以下有關本發明之詳細說明與附圖,但是此等說明與所附圖式僅係用來說明本發明,而非對本發明的權利範圍作任何的限制。
1、3‧‧‧基於策略群組的檔案保護系統
11a~11n‧‧‧用戶端
12‧‧‧網路
13‧‧‧伺服端
D1‧‧‧第一部門
D2‧‧‧第二部門
PG1‧‧‧策略群組
31‧‧‧用戶端裝置
311‧‧‧第一操作介面
312‧‧‧第一處理單元
313‧‧‧檔案管理驅動程式
3131‧‧‧檔案加密程式
3132‧‧‧檔案解密程式
314‧‧‧第一記憶單元
3141‧‧‧憑證資料
315‧‧‧第一通訊單元
32‧‧‧網路
33‧‧‧伺服器
331‧‧‧第二操作介面
332‧‧‧第二處理單元
333‧‧‧第二記憶單元
3331‧‧‧策略群組資料
334‧‧‧第二通訊單元
335‧‧‧憑證資料產生程式
S401~S435‧‧‧步驟流程
S501~S513‧‧‧步驟流程
S601~S609‧‧‧步驟流程
S701~S711‧‧‧步驟流程
S801~S805‧‧‧步驟流程
圖1是本發明實施例提供的基於策略群組的檔案保護系統的系統架構示意圖。
圖2是本發明實施例提供的基於策略群組的檔案保護方法的策略群組的架構示意圖。
圖3是本發明實施例提供的基於策略群組的檔案保護系統的功能方塊示意圖。
圖4-1與圖4-2分別是本發明實施例提供的基於策略群組的檔案保護方法的檔案存取流程示意圖。
圖5是本發明實施例提供的檔案加密方法之流程示意圖。
圖6是本發明實施例提供的檔案解密方法之流程示意圖。
圖7為本發明實施例提供的基於策略群組的檔案保護方法的離線工作程序流程示意圖。
圖8為本發明實施例提供的基於策略群組的檔案保護方法的策略群組設定流程圖。
為了增加使用者存取檔案的方便性,同時維持檔案的安全性與保密性,以增加工作時使用者存取檔案的效率,本發明實施例提供一種基於策略群組的檔案保護系統、檔案保護方法及電腦可讀取媒體。本發明實施例提供的檔案保護方法可藉由將一檔案保護系統內的至少一檔案依據一動態設定的策略群組分類並對應嵌入加密資料。
此外,本發明實施例提供的檔案保護方法並可於使用者存取檔案時,透過主動判斷使用者是否屬於該檔案所定義的策略群組來判斷是否允許一使用者存取屬於該策略群組的檔案。在本發明的檔案保護系統的架構下,屬於一策略群組的檔案只能被屬於該策略群組的使用者存取。此檔案保護方法可藉由動態地變更策略群組中的使用者與所屬檔案來變更使用者對檔案的存取權限,進
而可增加檔案存取的安全性。
為了使本發明之內容更為明確,以下特舉實施例作為本發明確實能夠據以實施的範例。
[基於策略群組的檔案保護系統的實施例]
請參照圖1,圖1為本發明實施例提供的基於策略群組的檔案保護系統的系統架構示意圖。在本實施例中,檔案保護系統1包括用戶端(client)11a~11n以及伺服端(server)13,其中用戶端具有一用戶端裝置(未繪示於圖1)。用戶端裝置可以是智慧型手機(smart phone)、個人數位助理(PDA)、平板電腦(tablet)、筆記型電腦(laptop)、桌上型電腦(desktop)或其他可安裝應用程式等的計算機裝置。用戶端11a~11n可使用戶端裝置透過網路12與伺服端13連線,以進行資料傳遞。
在本實施例中,用戶端11a~11n分別可具有相同或不同的用戶端裝置。舉例來說,用戶端11a~11n可以同時是由桌上型電腦來實現。又舉例來說,用戶端11a可為個人數位助理,用戶端11b可為筆記型電腦,用戶端11c可為平板電腦等。總而言之,用戶端的數量以及用戶端裝置的類型可依據檔案保護系統1的實際架構來配置,並非用以限制本發明。
用戶端11a~11n可分別透過網路12與伺服端13連線。用戶端11a~11n與伺服端13的連結方式可以透過有線或無線的方式彼此直接連結或透過中繼的方式間接連結,本發明實施例並不限制。
進一步地說,伺服端的管理者可透過一伺服器(未繪示於圖1)定義一策略群組(policy group),其中策略群組包括至少一個用戶端,例如用戶端11a~11c。策略群組中的用戶端具有存取屬於策略群組檔案的權限。具體地說,於檔案保護系統1中所有屬於策略群組的檔案均嵌入一加密資料,且加密資料可以是用戶端或伺服端於建立檔案或存取檔案時嵌入。再者,於檔案保護系統1中僅
屬於策略群組的用戶端可存取加密資料,並對應解密該檔案。因此,未被伺服端設定為策略群組中的用戶端則是無法存取屬於策略群組的檔案。
詳細地說,檔案保護系統1於本實施例是採用先進檔案加密系統(Advanced Encrypting File System,AEFS)來對欲加密的檔案進行加密。於所屬領域具通常知識者應知作業系統的架構在使用者模式層(user mode)的應用程式端的輸出與輸入作業會先經過內核模式層(kernel mode)的系統輸出入管理員(system IO manager)以及過濾器管理員(filter manager)再到達檔案系統端取得對應應用程式呼叫的檔案資料。而檔案系統端所取得檔案資料亦會經由系統輸出入管理員以及過濾器管理員在到達應用程式端。因此,本實施例中,檔案保護系統1中用戶端11的用戶端裝置的作業系統架構的內核模式層中安裝一檔案管理驅動程式,如先進檔案加密驅動程式(AEFS kernel driver),且此檔案管理驅動程式與過濾器管理員連結。據此,用戶端裝置的作業系統上任何檔案的新增、編輯及讀取動作及資料流動都被檔案管理驅動程式攔截。
當屬於策略群組的檔案產生或儲存時,檔案管理驅動程式會根據憑證資料,決定是否允許用戶端裝置存取該檔案,亦即決定是否對檔案加密或解密。而所有檔案管理驅動程式加密的檔案,不管經由任何方式傳送到何處,在並未經過檔案管理驅動程式加密或解密的程序,用戶端裝置的檔案系統將無法辨識檔案內容資料,進而可達到防止資料外泄之保護。
特別說明的是,策略群組於本實施例中為一伺服端指定具存取特定檔案權限的一群組(group)。於實務上,當檔案保護系統1是應用於企業的資料管理系統時,策略群組可以是依據企業內部的組織架構,例如部門、組別、產線、工作項目或工程計畫來定義。
舉例來說,在產品的開發週期中,一般需要不同的部門的人
彼此合作完成此產品。而在開發週期的不同的開發階段,會有不同部門的人彼此合作,因此會需要建立不同部門的檔案交流方式。
請參照圖2,圖2為本發明實施例提供的基於策略群組的檔案保護方法的策略群組的架構示意圖。假設於一企業內的兩個部門,即第一部門D1(例如研發部)與第二部門D2(例如市場調查部)被指定相互合作共同研究一工作項目(project),而第一部門D1與第二部門D2兩部門各自使用的檔案並無法共用。
如圖2所示,第一部門D1可例如包括用戶端11a、用戶端11b以及用戶端11c,其中用戶端11a(例如經理)的檔案權限大於用戶端11b、11c(如一般員工)。也就是,用戶端11a可以自由存取用戶端11b與用戶端11c所建立的檔案。而用戶端11b與用戶端11c兩者具相同檔案權限,故用戶端11b與用戶端11c彼此的檔案無法互相存取。
同理,第二部門D2可例如包括用戶端11d、用戶端11e以及用戶端11f,其中用戶端11d的檔案權限大於用戶端11e與用戶端11f。也就是,用戶端11d可以自由存取用戶端11e與用戶端11f所建立的檔案。而用戶端11e與用戶端11f兩者具相同檔案權限,故用戶端11e與用戶端11f彼此的檔案無法互相存取。
而當伺服端13根據指定的一工作項目(例如某一產品開發項目)設定一策略群組PG1,且該策略群組PG1包括第一部門D1的用戶端11c以及第二部門D2的用戶端11e。因為用戶端11c與用戶端11e設定為同一策略群組,故用戶端11c與用戶端11e可以互相存取彼此之間的檔案。用戶端11b以及11f因並非在策略群組PG1內,故無法存取策略群組PG1內的檔案。而用戶端11a、用戶端11d則分別因具存取用戶端11c、11e的檔案存取權限,故可以是透過伺服端13的設定而歸屬於策略群組PG1,從而亦可存取策略群組PG1內的檔案。但於實務上,若伺服端13於設定策略群組PG1預先排除用戶端11a與用戶端11d於策略群組PG1之外,
用戶端11a與用戶端11d則無法存取策略群組PG1的檔案。
而策略群組的設定方式可例如是由伺服端的管理者透過一伺服器(未繪示於圖2)所提供的操作介面輸入關於策略群組的設定資料。伺服器隨後根據設定資料產生並儲存對應策略群組的一策略群組資料。策略群組資料記錄關聯於該策略群組的該些用戶端的身份資料(例如登入帳號資料以及用戶端裝置的裝置識別資料)以及屬於策略群組的檔案之檔案控制表。伺服端並根據策略群組資料產生對應策略群組的憑證資料,其中所述憑證資料可用以作為辨識用戶端是否具存取策略群組的檔案權限的憑證。
簡單來說,以圖2所示之策略群組為例,當用戶端11b及11c在分別透過用戶端裝置經網路12與伺服端13的伺服器連線,用戶端11b及11c的用戶端裝置會分別主動傳送一身份資料至伺服端13的伺服器進行驗證。
當伺服端13的伺服器根據身份資料判斷用戶端11c屬於策略群組PG1時,伺服端13的伺服器會對應傳送一憑證資料至用戶端11c的用戶端裝置。而後,用戶端11c的用戶端裝置即可被允許存取屬於策略群組PG1的檔案。當伺服器根據身份資料判斷用戶端11b並不屬於策略群組PG1時,伺服器則不會傳送憑證資料至用戶端11b的用戶端裝置。因此,用戶端11b的用戶端裝置會因無憑證資料而無法存取屬於策略群組PG1的檔案。
每當用戶端11b的用戶端裝置驅動檔案存取應用程式請求執行屬於策略群組PG1的檔案的開啟程序時,用戶端11b的用戶端裝置會將對應的檔案存取請求傳送至伺服端13的伺服器,以再次進行用戶端11b的身分驗證。而當伺服端13的伺服器根據身份資料判斷用戶端11b並不屬於策略群組PG1時,伺服端13的伺服器會即時回傳一身份不符的信息至用戶端11b的用戶端裝置。用戶端11b的用戶端裝置則會因無憑證資料而不被允許存取屬於策略群組PG1的檔案,例如無法解密屬於策略群組PG1的檔案。
也就是,透過本發明的策略群組,不同部門的用戶端即可透過策略群組的設定,來達成檔案交流的目的。同部門中具較高檔案存取權限的用戶端則可以依據伺服端的設定繼承較低檔案存取權限的用戶端的策略群組所屬檔案的檔案存取權限。但非屬於策略群組且不為同部門具較高檔案存取權限的用戶端則不具有策略群組所屬檔案的檔案存取權限,藉此達到保護檔案不外泄的安全性。
再者,本實施例的檔案保護系統1可透過由伺服端動態地設定策略群組,使屬於策略群組不同部門的人,可共用分享彼此建立的檔案,以利產品的開發。從而,可解決部門與部門之間的檔案因無法共用而降低工作效益的問題。如此既增加不同部門間用戶端存取檔案的方便性,又可維持檔案的安全性與保密性,並進而增加工作的效率。
[基於策略群組的檔案保護系統的實施例]
以下針對檔案保護系統中用戶端的用戶端裝置與伺服端的伺服器架構作具體的說明。請參照圖3,圖3為本發明實施例提供的基於策略群組的檔案保護系統的功能方塊示意圖。在本實施例中,檔案保護系統3包括用戶端的用戶端裝置31以及設置於伺服端的伺服器33。用戶端裝置31與伺服器33透過網路32連結,以進行資料傳遞。
用戶端裝置31可例如智慧型手機、個人數位助理、平板電腦、筆記型電腦、桌上型電腦或其他可安裝應用程式等的計算機裝置。
用戶端裝置31包括第一操作介面311、第一處理單元312、檔案管理驅動程式313、第一記憶單元314以及第一通訊單元315。第一操作介面311、檔案管理驅動程式313、第一記憶單元314以及第一通訊單元315分別耦接第一處理單元312。
第一操作介面311用以提供用戶端裝置31的使用者輸入登入用戶端裝置31的帳號資料以及操作用戶端裝置31的指令(例如存
取儲存於用戶端裝置的檔案)。
第一處理單元312是用戶端裝置31的主要運算處理核心,用以啟動及執行安裝儲存於用戶端裝置31的應用程式。第一處理單元312並可透過執行應用程式(例如檔案存取應用程式)來存取檔案。第一處理單元312另可用以進行用戶端裝置31運算資源的分配與管理。第一處理單元312可例如是以微控制器(microcontroller)或嵌入式控制器(embedded controller)等處理晶片設置於用戶端裝置31並利用程式碼編譯方式來實現,但本實施例並不限制。
檔案管理驅動程式313為用戶端裝置31的內建應用程式,且此檔案管理驅動程式313是安裝後設置於作業系統架構的內核模式層,以管控作業系統上任何屬於策略群組檔案的存取程序。
第一記憶單元314用以儲存檔案、應用程式與憑證資料3141。第一記憶單元314所儲存的檔案格式可為一般電子數位文件資料,包括但不限於Microsoft Office檔案、文字檔案、便攜式檔案格式(PDF)、影像檔案或音訊檔案格式等。在此請注意,第一記憶單元314所儲存的檔案,可依據實際作業系統及/或用戶端裝置的實施方式為任意的電子檔案格式,故本實施例並不限制。此外,第一記憶單元314所儲存的檔案並不限於儲存於用戶端裝置31,檔案可以全部或各別儲存於雲端裝置、可移動儲存設備或其他可儲存檔案的儲存裝置。換言之,第一記憶單元314所儲存的檔案可以是用戶端裝置31的使用者利用用戶端裝置31的應用程式建立或是透過網路由伺服器下載,本實施例並不限制。
檔案管理驅動程式313可於執行時,傳送用戶端的一身份資料至該伺服端13,以獲取對應策略群組的憑證資料3141。檔案管理驅動程式313並根據憑證資料3141判斷用戶端是否可存取屬於策略群組的檔案。所述憑證資料3141記錄策略群組檔案的加密資料以及授權資料(例如策略群組中檔案的存取控制列表)。
於檔案管理驅動程式313執行時,用戶端裝置31的使用者透
過第一操作介面311所進行任何檔案存取動作會受到檔案管理驅動程式313的管理與控制。具體而言,若用戶端裝置31的使用者經由第一操作介面311驅動檔案存取應用程式開啟屬於策略群組的檔案時,檔案管理驅動程式313會根據憑證資料3141判斷是否允許用戶端裝置31存取該檔案。檔案管理驅動程式313並會驅動檔案解密程式3132根據用戶端裝置31憑證資料對該檔案進行解密,以解除嵌入檔案的加密資料,進而可供用戶端裝置31的使用者進行瀏覽、修改、剪下、複製、貼上、存檔或另存新檔等檔案編輯程序。
接著,當若用戶端裝置31的使用者經由操作第一操作介面311驅動檔案存取應用程式關閉該檔案時,檔案管理驅動程式313會驅動檔案加密程式3131根據憑證資料3141對該檔案進行加密。也就是,檔案管理驅動程式313會驅動檔案加密程式3131根據憑證資料3141產生並嵌入對應策略群組的加密資料於該檔案。
伺服器33可包括第二操作介面331、第二處理單元332、第二記憶單元333、第二通訊單元334以及憑證資料產生程式335。第二操作介面331、第二記憶單元333、第二通訊單元334以及憑證資料產生程式335分別耦接第二處理單元332。
第二操作介面331用以提供伺服器33的管理者輸入對應策略群組的設定資料,以對應產生一策略群組資料3331。所述設定資料的設定內容可包括策略群組以及屬於策略群組的用戶端資料、用戶端裝置的裝置識別資料以及屬於策略群組的檔案設定等。所述策略群組資料可記錄屬於策略群組的用戶端的身份資料以及屬於策略群組的檔案之檔案控制表。
第二處理單元332是伺服器33的主要運算處理核心,例如伺服器33的中央處理器(central processing unit,CPU),用以啟動及執行安裝儲存於伺服器33的應用程式與檔案,並進行伺服器33資源的分配與管理。第二處理單元332並會根據身份資料與對應
策略群組的策略群組資料,判斷用戶端是否屬於策略群組。
舉例來說,第二處理單元332可根據身份資料中用戶端的帳號資料以及用戶端裝置31的裝置辨識資料(例如裝置序號、服務集標識符(SSID)、使用者身份模組(SIM)資料或其他硬體資訊等)判斷用戶端是否屬於策略群組的組員。
當第二處理單元332判斷用戶端屬於策略群組時,第二處理單元332驅動憑證資料產生程式335根據策略群組資料產生對應策略群組的憑證資料。第二處理單元332並將憑證資料透過第二通訊單元334經網路32傳送至用戶端裝置31的第一記憶單元314儲存。所述憑證資料產生程式335可為伺服器33的內建應用程式。
值得一提的是,當伺服器33的管理者修改或編輯策略群組資料3331,第二處理單元332會驅動憑證資料產生程式335重新產生對應編輯後的策略群組的憑證資料並傳送至用戶端裝置31,以更新用戶端裝置31目前使用的憑證資料3141。
第二記憶單元333用以儲存策略群組資料3331。具體地說,第二記憶單元333用以儲存伺服器33的管理者經由第二操作介面331所輸入的關於策略群組設定資料並透過第二處理單元332的處理所產生的策略群組資料3331。此外,第二記憶單元333另可用於儲存檔案管理驅動程式313,以供用戶端裝置31下載安裝。
第二通訊單元334透過網路32與用戶端裝置31的第一通訊單元315連結。檔案保護系統3的用戶端裝置31與伺服器33透過第一通訊單元315與第二通訊單元334建立連線以互相傳送或接收資料。第一通訊單元315與第二通訊單元334的硬體類型或實體架構並非用以限制本發明。
值得一提的是,第一記憶單元314與第二記憶單元333於此實施例中,可分別是利用快閃記憶體晶片、唯讀記憶體晶片或隨機存取記憶體晶片等揮發性或非揮發性記憶晶片來實現,但本實施例並不以此為限。
簡單來說,當用戶端裝置31的使用者透過第一操作介面311輸入帳號資料登入用戶端裝置31的系統時,第一處理單元312會自動執行檔案管理驅動程式313。檔案管理驅動程式313會驅動第一通訊單元315建立與伺服器33的連線,並將身份資料傳送至伺服器33,以供伺服器33判斷用戶端是否屬於策略群組。若伺服器33判斷用戶端屬於策略群組時,會隨即透過第二通訊單元334經網路32傳送對應策略群組的憑證資料至用戶端裝置31並儲存於用戶端裝置31的第一記憶單元314。而後,當用戶端裝置31的使用者透過第一操作介面311啟動檔案存取應用程式存取一檔案時,檔案管理驅動程式313會根據憑證資料對該欲存取之檔案驅動進行檔案加密程式3131或檔案解密程式3132,以對檔案進行檔案加解密程序。
值得一提的是,用戶端裝置31的使用者還可透過第一操作介面311選擇是否將已加密的檔案利用第一通訊單元315傳送至伺服器33的第二記憶單元333儲存。策略群組的檔案也可由用戶端裝置31的使用者經由伺服器33下載取得。因此,本實施例並不限制用戶端裝置31取得欲編輯檔案的方式。
此外,於本實施例中,任何經檔案管理驅動程式加密的檔案,不管經由任何方式傳送到何處,在並未透過檔案管理驅動程式加密或解密的程序,用戶端裝置的檔案系統將無法辨識檔案內容資料,進而可達到防止資料外泄之保護。
[基於策略群組的檔案保護方法的檔案存取的實施例]
由上述的實施例,本發明可以歸納出一種檔案保護的方法,適用於上述實施例所述之檔案保護系統。請參照圖4-1與圖4-2並同時參照圖3,圖4-1與圖4-2分別為本發明實施例提供的基於策略群組的檔案保護方法的檔案存取流程示意圖。
首先,在步驟S401中,用戶端裝置31的使用者透過第一操作介面311登入用戶端裝置31。用戶端裝置31的使用者可透過於
第一操作介面311輸入使用者於檔案保護系統3中的帳號資料,例如登入名稱與帳號密碼等登入用戶端裝置31。
其次,於步驟S403中,用戶端裝置31隨即自動啟動檔案管理驅動程式313。於使用者登入用戶端裝置31啟動用戶端裝置31的作業系統(例如Window作業系統、Android作業系統或iOS作業系統等)時,用戶端裝置31的第一處理單元312會自動執行檔案管理驅動程式313。
其後,於步驟S405中,檔案管理驅動程式313判斷用戶端裝置31是否可與伺服端的伺服器33連線。檔案管理驅動程式313可透過第一通訊單元315判斷用戶端裝置31是否可經網路32與伺服端的伺服器33建立通訊連結。
若檔案管理驅動程式313判斷用戶端裝置31無法與伺服端的伺服器33連線,則執行步驟S407。反之,若檔案管理驅動程式313判斷用戶端裝置31可與伺服端的伺服器33連線,則執行步驟S409。
在步驟S407中,檔案管理驅動程式313會驅動第一處理單元312執行離線工作程序。具體地說,於離線工作程序中,檔案管理驅動程式313會判斷用戶端裝置31是否具離線憑證資料,且根據離線憑證資料來判斷是否允許用戶端裝置31存取屬於策略群組的檔案。離線工作程序的具體實施方式會藉由後續的實施例加以說明,在此不再贅述。
在步驟S409中,用戶端裝置31的檔案管理驅動程式313驅動第一通訊單元315與伺服端的伺服器33連線並建立通訊連結。接著,於步驟S411中,檔案管理驅動程式313驅動第一通訊單元315傳送對應用戶端的身份資料至伺服器33。檔案管理驅動程式313會將用戶端的身份資料,例如用戶端的帳號資料、用戶端裝置31的裝置序號、服務集標識符以及使用者身份模組資料的至少其中之一或其組合傳送至伺服器33。
而後,於步驟S413中,伺服器33透過第二通訊單元334接收用戶端傳送的身份資料。
於步驟S415中,伺服器33的第二處理單元332會根據用戶端的身份資料與伺服器33的第二記憶單元333儲存的對應策略群組的策略群組資料3331做比對,以判斷用戶端是否屬於該策略群組。第二處理單元332可藉由判斷策略群組資料3331是否記錄有關於用戶端與用戶端裝置的資料來決定用戶端是否屬於該策略群組。
當第二處理單元332判斷用戶端不屬於策略群組時,則執行步驟S417。反之,當第二處理單元332判斷用戶端屬於該策略群組,則執行步驟S419。
在步驟S417中,第二處理單元332產生並驅動第二通訊單元334回傳身份不符之信息至用戶端,並顯示於用戶端裝置31的第一操作介面311。此外,當用戶端裝置31透過第一操作介面311選取欲開啟屬於策略群組的一檔案時,檔案管理驅動程式313禁止用戶端裝置31內建的檔案存取應用程式開啟檔案,並顯示身份不符拒絕開啟的信息。
在步驟S419中,第二處理單元332驅動憑證資料產生程式335根據策略群組資料產生對應策略群組的憑證資料,並透過第二通訊單元334將憑證資料傳送至用戶端的用戶端裝置31。
而後,於步驟S421中,用戶端裝置31接收並儲存伺服器33所傳送的憑證資料3141於第一記憶單元314。
於步驟S423中,用戶端裝置31的使用者透過第一操作介面311選取欲開啟的一檔案。於步驟S425中,當用戶端裝置31的檔案管理驅動程式313偵測到用戶端裝置31內建的檔案存取應用程式請求執行該檔案的開啟程序時,檔案管理驅動程式313根據憑證資料3141判斷是否允許檔案存取應用程式對該檔案執行開啟程序。檔案管理驅動程式313可根據憑證資料3141判斷用戶端裝置
31是否具開啟策略群組的檔案的權限。若檔案管理驅動程式313允許檔案存取應用程式開啟該檔案時,則執行步驟S427。反之,若檔案管理驅動程式313不允許檔案存取應用程式開啟該檔案時,則執行步驟S429。
在步驟S427中,檔案管理驅動程式313驅動用戶端裝置31內建的檔案解密程式3132根據憑證資料3141對該檔案進行檔案解密程序,以允許檔案存取應用程式開啟該檔案。
在步驟S429中,當若檔案管理驅動程式313不允許檔案存取應用程式開啟該檔案(例如當憑證資料驗證錯誤,或該檔案所屬之策略群組不屬於用戶端所屬之策略群組等)時,用戶端裝置31透過第一通訊單元315經網路32傳送對應該檔案的檔案存取請求與用戶端的身份資料至伺服器33,以進行進一步的驗證。
於步驟S431中,伺服器33的第二處理單元332經第二通訊單元334接收對應該檔案的檔案存取請求與用戶端的身分資料。於步驟S433中,第二處理單元332根據策略群組資料內的檔案控制表判斷欲開啟之檔案是否屬於策略群組。同時,第二處理單元332亦根據策略群組資料判斷用戶端是否屬於策略群組以及憑證資料是否正確。
當第二處理單元332判斷該檔案不屬於用戶端所屬之策略群組或是用戶端不屬於策略群組時,則執行步驟S417。當第二處理單元332判斷檔案屬於用戶端所屬之策略群組時,則執行步驟S435。
在步驟S435中,第二處理單元332根據用戶端的身分資料對應之該策略群組更新用戶端目前使用的憑證資料2141並執行步驟S427。
附帶一提的是,伺服端亦可於驗證用戶端屬於策略群組之後,讓用戶端在一允許時間內自由存取屬於策略群組的檔案。具體地說,所述伺服器33於驗證用戶端裝置31的使用者身份後,
傳送記錄有一預設存取時間的憑證資料,其中預設存取時間可例如3小時。在此預設存取時間(即3小時)內,當用戶端裝置31的使用者驅動用戶端裝置31對屬於策略群組的檔案進行開啟程序,檔案管理驅動程式313允許用戶端裝置31的檔案存取應用程式對該檔案執行開啟程序。
以下針對檔案管理驅動程式313於檔案存取應用程式開啟或關閉用戶端裝置31的使用者透過第一操作介面311選定的一檔案的檔案加解密方式做進一步的說明。
請參照圖5並同時參照圖3,圖5為本發明實施例提供的檔案加密方法之流程示意圖。所述檔案加密程式3131如前實施例所述是採用先進檔案加密系統對欲加密的一檔案進行加密。
首先,於步驟S501中,當檔案管理驅動程式313透過偵測到內建的檔案存取應用程式對該檔案進行一關閉程序時,檔案管理驅動程式313驅動檔案加密程式3131。當用戶端裝置31的使用者透過第一操作介面311關閉該檔案時,檔案管理驅動程式313即會驅動檔案加密程式3131,透過嵌入加密資料於該檔案,以對該檔案加密。
於步驟S503中,檔案加密程式3131可於執行時,利用隨機數據組產生第一加密金鑰(first file encrypted key),並儲存於第一記憶單元314內。於步驟S505中,檔案加密程式3131根據憑證資料3141中對應策略群組的加密資料產生第二加密金鑰(second file encrypted key)。於步驟S507中,檔案加密程式3131根據第一加密金鑰與第二加密金鑰對欲加密的該檔案進行檔案加密程序,以加密該檔案。
值得一提的是,於本實施中,所述檔案加密程式3131是以對稱加密方式產生第一加密金鑰,並以非對稱加密方式根據憑證資料3141產生第二加密金鑰,但本實施例並不以此為限。總而言之,檔案加密程式3131對檔案進行加密的方式並非用以限制本發明。
此外,於所屬技術領域具通常知識者應知對稱加密與非對稱加密技術的實施與運用方式,故不再贅述。
接著,於步驟S509中,檔案加密程式3131會將加密後的該檔案儲存於第一記憶單元314。於步驟S511中,檔案管理驅動程式313判斷是否傳送加密的該檔案至伺服器33。例如檔案管理驅動程式313可根據用戶端裝置31的使用者透過第一操作介面311的存取操作判斷是否須將加密的該檔案傳送至伺服器33。
當檔案管理驅動程式313判斷需傳送加密的該檔案至伺服器33時,執行步驟S513。反之,當檔案管理驅動程式313判斷不需傳送加密的該檔案至伺服器33時,則結束檔案加密程序。
另外於步驟S511中,檔案管理驅動程式313判斷用戶端裝置31是否需傳送加密的該檔案至伺服器33,可以根據伺服器33是否傳送檔案上傳指示來決定。總而言之,加密後之檔案的上傳與否並非用以限制本發明。此外,用戶端上傳的檔案的上傳目的地,可以經由檔案管理驅動程式313的程式設定或是經由用戶端裝置31的使用者的設定來決定,本實施例並不限制。
接著,請參照圖6並同時參照圖3,圖6為本發明實施例提供的檔案解密方法之流程示意圖。圖6的檔案解密方法可執行於圖4的步驟S427中。當檔案管理驅動程式313允許用戶端裝置31內建的檔案存取應用程式執行檔案的開啟程序,檔案管理驅動程式313則會驅動檔案解密程式3132執行檔案解密程序來對該檔案進行解密。
詳細地說,首先,在步驟S601中,當檔案管理驅動程式313允許用戶端裝置31的檔案存取應用程式開啟該檔案時,檔案管理驅動程式313驅動檔案解密程式3132對該欲開啟的該檔案進行解密。
於步驟S603,檔案解密程式3132會先根據儲存於第一記憶單元314中的憑證資料3141的加密資料,計算產生對應第二加密金
鑰的第二解密金鑰。於步驟S605,檔案解密程式3132由第一記憶單元314讀取對應第一加密金鑰的第一解密金鑰。於步驟S607中,檔案解密程式3132根據第一解密金鑰與第二解密金鑰對該檔案進行檔案解密程序,以解密該檔案。
於步驟S609中,檔案存取應用程式開啟該檔案並供用戶端裝置31的使用者透過第一操作介面311進行瀏覽、修改以及另存等檔案編輯運作。
[檔案保護方法的離線工作程序的實施例]
請參照圖7並同時參照圖3,圖7為本發明實施例提供的檔案保護方法的離線工作程序流程示意圖。當用戶端裝置31在一段時間內無法與伺服器33連線時,檔案管理驅動程式313會執行離線工作程序(如圖4-1之步驟S407),使第一處理單元312進入離線工作模式。
首先,在步驟S701中,檔案管理驅動程式313會先判斷檔案存取應用程式是否在執行任何屬於策略群組檔案的開啟程序,即偵測用戶端裝置31的使用者是否驅動檔案存取應用程式開啟該檔案。
若檔案管理驅動程式313判斷用戶端裝置31的使用者並未驅動檔案存取應用程式開啟該檔案時,則執行步驟S701繼續偵測判斷檔案是否正被開啟。反之,若檔案管理驅動程式313判斷用戶端裝置31的使用者正驅動檔案存取應用程式開啟該檔案時,則執行步驟S703。
在步驟S703中,檔案管理驅動程式313根據用戶端裝置31中第一記憶單元314儲存的離線憑證資料來判斷是否允許用戶端裝置31的檔案存取應用程式對該檔案進行一開啟程序,其中離線憑證資料記錄有有效期限、策略群組檔案的加密資料以及授權資料(例如策略群組中檔案的存取控制列表,根據離線憑證資料的存取控制列表來判斷該檔案是否屬於關聯於用戶端所屬的策略群
組)。
當檔案管理驅動程式313判斷允許用戶端裝置31的檔案存取應用程式對該檔案進行開啟程序,則執行步驟S707。反之,當檔案管理驅動程式313判斷不允許用戶端裝置31的檔案存取應用程式對該檔案進行開啟程序,則執行步驟S705。
於步驟705中,檔案管理驅動程式313於第一操作介面311上顯示身份不符的信息,並禁止檔案存取應用程式進行該檔案的開啟程序。
於步驟S707中,檔案管理驅動程式313根據離線憑證資料判斷離線憑證資料的有效期限是否在一預設存取有效期限(例如24小時)內。當檔案管理驅動程式313判斷離線憑證資料的有效期限仍在預設存取期限內,則執行步驟S709。反之,當檔案管理驅動程式313判斷離線憑證資料的有效期限已超出預設存取期限,則執行步驟S711。
在步驟S709中,檔案管理驅動程式313驅動檔案解密程式3132根據離線憑證資料透過執行圖6之解密方式解密該檔案,以讓用戶端存取該檔案。而在步驟S711中,檔案管理驅動程式313透過第一操作介面311顯示檔案存取禁止之信息。
[基於策略群組的檔案保護方法的策略群組設定的實施例]
請參照圖8並同時參照圖3,圖8為本發明實施例提供的檔案保護方法的策略群組設定流程圖。
首先,在步驟S801中,伺服器33的第二處理單元332透過第二操作介面331提供一策略群組設定介面。接著,於步驟S803中,伺服器33接收伺服器33的管理者透過策略群組設定介面輸入對應一策略群組的設定資料,例如屬於策略群組的用戶端資料以及檔案列表。於步驟S805中,伺服器33根據策略群組的設定資料產生一策略群組資料3331,其中策略群組資料3331記錄關聯於該策略群組的該些用戶端的身份資料(例如登入帳號資料以及
用戶端裝置的裝置識別資料)以及屬於策略群組的檔案之檔案控制表。每當伺服器33的管理者透過策略群組設定介面更新策略群組的資料時,第二處理單元332會主動驅動憑證資料產生程式335產生修改的憑證資料,並傳送至用戶端裝置31,以更新用戶端裝置21儲存的憑證資料3141。
另外,本發明亦可利用一種電腦可讀取記錄媒體,儲存前述圖4所示的檔案保護方法、圖5所示的檔案加密方法、圖6所示的檔案解密方法、圖7所示的離線工作方法、圖8所示的策略群組設定方法等的電腦程式以執行前述之步驟。此電腦可讀取媒體可以是軟碟、硬碟、光碟、隨身碟、磁帶、可由網路存取之資料庫或熟知此項技術者可輕易思及具有相同功能之儲存媒體。
綜上所述,本發明實施例所提供的基於策略群組的檔案保護方法能夠增加使用者存取檔案的方便性,並維持檔案的安全性與保密性,並進而增加工作的效率。
以上所述僅為本發明之實施例,其並非用以侷限本發明之專利範圍。
3‧‧‧基於策略群組的檔案保護系統
31‧‧‧用戶端裝置
311‧‧‧第一操作介面
312‧‧‧第一處理單元
313‧‧‧檔案管理驅動程式
3131‧‧‧檔案加密程式
3132‧‧‧檔案解密程式
314‧‧‧第一記憶單元
3141‧‧‧憑證資料
315‧‧‧第一通訊單元
32‧‧‧網路
33‧‧‧伺服器
331‧‧‧第二操作介面
332‧‧‧第二處理單元
333‧‧‧第二記憶單元
3331‧‧‧策略群組資料
334‧‧‧第二通訊單元
335‧‧‧憑證資料產生程式
Claims (14)
- 一種基於策略群組的檔案保護方法,適用於一檔案保護系統,且該檔案保護系統用以供至少一用戶端經由網路與一伺服端連線,並對一檔案進行保護,該方法包括:於該用戶端的一用戶端裝置上執行一檔案管理驅動程式;建立該用戶端裝置與該伺服端之間的連線,並將該用戶端的一身份資料傳送至該伺服端,其中該身份資料記錄該用戶端的一帳號資料與該用戶端裝置的一裝置識別資料;該伺服端根據該身份資料判斷該用戶端是否屬於一策略群組;當該伺服端判斷該用戶端屬於該策略群組時,該伺服端傳送對應該策略群組的一憑證資料至該用戶端裝置;以及當該檔案管理驅動程式於執行中偵測到該用戶端裝置安裝的一檔案存取應用程式請求執行該檔案的一開啟程序時,該檔案管理驅動程式根據該憑證資料判斷是否允許該檔案存取應用程式對該檔案執行該開啟程序。
- 如申請專利範圍第1項所述的檔案保護方法,更包括:當該伺服端判斷該用戶端不屬於該策略群組時,該伺服端傳送一身份不符的信息至該用戶端裝置,並顯示於該用戶端裝置的一第一操作介面。
- 如申請專利範圍第1項所述的檔案保護方法,更包括:當該檔案管理驅動程式根據該憑證資料判斷允許該用戶端裝置對該檔案執行該開啟程序時,該檔案管理驅動程式驅動一解密程式根據該憑證資料對該檔案執行一檔案解密程序;該檔案管理驅動程式允許該檔案存取應用程式,執行該開啟程序,開啟該檔案。
- 如申請專利範圍第3項所述的檔案保護方法,更包括:當該檔案管理驅動程式根據該憑證資料判斷不允許該檔 案存取應用程式對該檔案執行該開啟程序時,該檔案管理驅動程式驅動該用戶端裝置傳送該檔案的一檔案存取請求與該身份資料至該伺服端;該伺服端根據該檔案存取請求與一檔案控制表判斷該檔案不屬於該策略群組時,該伺服端傳送一身份不符的信息至該用戶端裝置。
- 如申請專利範圍第3項所述的檔案保護方法,其中在執行該解密程序的該步驟中包括:該檔案解密程式於該用戶端裝置的一記憶單元獲取儲存對應該檔案的一第一解密金鑰;該檔案解密程式根據該憑證資料獲取對應該策略群組的一第二解密金鑰;以及該檔案解密程式根據該第一解密金鑰以及該第二解密金鑰對該檔案進行該解密程序。
- 如申請專利範圍第3項所述的檔案保護方法,其中在開啟該檔案的該步驟之後包括:該檔案管理驅動程式透過該檔案存取應用程式判斷該用戶端裝置是否對該檔案進行一關閉程序;當該檔案管理驅動程式判斷該用戶端裝置執行對應該檔案的該關閉程序時,該檔案管理驅動程式驅動一檔案加密程式根據該憑證資料對該檔案執行一加密程序;於執行該加密程序中,該檔案加密程式產生對應該檔案的一第一加密金鑰;該檔案加密程式根據該憑證資料產生對應該策略群組的一第二加密金鑰;該檔案加密程式根據該第一加密金鑰以及該第二加密金鑰對該檔案進行該加密程序,以嵌入一加密資料於該檔案。
- 如申請專利範圍第6項所述的檔案保護方法,其中該檔案加密 程式是以對稱加密方式產生該第一加密金鑰,該檔案加密程式是以非對稱加密方式根據該憑證資料產生該第二加密金鑰。
- 如申請專利範圍第1項所述的檔案保護方法,其中在於該用戶端與該伺服端連線的該步驟中,包括:當該用戶端無法與該伺服端連線,該檔案管理驅動程式執行一離線工作程序;當該檔案管理驅動程式判斷該用戶端透過該用戶端裝置對該檔案進行該開啟程序時,該檔案管理驅動程式根據儲存於該用戶端裝置的一離線憑證資料判斷是否允許該用戶端裝置對該檔案進行該開啟程序;當該檔案管理驅動程式根據該離線憑證資料判斷允許該用戶端裝置對該檔案進行該開啟程序時,該檔案管理驅動程式驅動一解密程式根據該離線憑證資料對該檔案執行一檔案解密程序。
- 如申請專利範圍第8項所述的檔案保護方法,其中在該檔案管理驅動程式根據於該離線憑證資料判斷是否允許該用戶端裝置對該檔案進行該開啟程序的該步驟中,包括:該檔案管理驅動程式根據該離線憑證資料,判斷該離線憑證資料的一有效期限是否在一預設存取有效期限內;以及若該檔案管理驅動程式判斷該離線憑證資料的該有效期限已超過該預設存取有效期限,顯示一檔案存取禁止信息並禁止該用戶端裝置對該檔案進行該開啟程序。
- 一種基於策略群組的檔案保護系統,包括:一伺服端,具對應至少一策略群組的一憑證資料;以及至少一用戶端,具有一用戶端裝置,且該用戶端裝置包括:一檔案管理驅動程式,用以傳送該用戶端的一身份資料至該伺服端,以獲取對應該策略群組的該憑證資料,該檔案管理驅動程式並用以根據該憑證資料判斷該用戶端 是否可存取屬於該策略群組的一檔案;一第一記憶單元,用以儲存該憑證資料與該身份資料,其中該身份資料包括該用戶端的一帳號資料與該用戶端裝置的一裝置識別資料;及一第一處理單元,耦接該第一記憶單元,並用以執行該檔案管理驅動程式;其中,當該檔案管理驅動程式被執行而傳送該身份資料至該伺服端時,該伺服端依據該身份資料判斷該用戶端是否屬於該策略群組;當該伺服端依據該身份資料判斷該用戶端屬於該策略群組時,傳送該憑證資料至該用戶端;其中當該檔案管理驅動程式被執行,且偵測到該用戶端裝置所安裝的一檔案存取應用程式請求執行該檔案的一開啟程序時,該檔案管理驅動程式根據該憑證資料判斷是否允許該檔案存取應用程式對該檔案執行該開啟程序。
- 如申請專利範圍第10項所述的檔案保護系統,其中該用戶端裝置更包括:一檔案加密程式,用以於該第一處理單元執行該檔案管理驅動程式時,對該檔案執行一檔案加密程序,以嵌入一加密資料於該檔案;一檔案解密程式,用以於該第一處理單元執行該檔案管理驅動程式時,對該檔案執行一檔案解密程序;以及一第一通訊單元,用以與該伺服端連線。
- 如申請專利範圍第10項所述的檔案保護系統,其中該用戶端裝置更包括:一第一操作介面,用以供該用戶端裝置輸入該帳號資料;其中,當該伺服端判斷該用戶端不屬於該策略群組時,該伺服端傳送一身份不符的信息至該用戶端裝置,並顯示於該第一操作介面。
- 如申請專利範圍第12項所述的檔案保護系統,其中該伺服端更包括:一第二操作介面,用以供一管理者輸入對應該策略群組的一設定資料,以產生一策略群組資料,其中該策略群組資料記錄屬於該策略群組的該用戶端的該身份資料、一檔案控制表以及該憑證資料;其中該伺服端根據該檔案控制表判斷該檔案是否屬於該策略群組。
- 一種電腦可讀取儲存媒體,記錄一組程式碼,其中,該組程式碼被一處理器讀取時,該處理器執行該組程式碼以實施如申請專利範圍第1項所述之方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102118616A TWI497342B (zh) | 2013-05-27 | 2013-05-27 | 基於策略群組的檔案保護系統、其檔案保護方法及電腦可讀取媒體 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102118616A TWI497342B (zh) | 2013-05-27 | 2013-05-27 | 基於策略群組的檔案保護系統、其檔案保護方法及電腦可讀取媒體 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201445356A true TW201445356A (zh) | 2014-12-01 |
| TWI497342B TWI497342B (zh) | 2015-08-21 |
Family
ID=52707064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102118616A TWI497342B (zh) | 2013-05-27 | 2013-05-27 | 基於策略群組的檔案保護系統、其檔案保護方法及電腦可讀取媒體 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI497342B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI554908B (zh) * | 2015-11-03 | 2016-10-21 | 澧達科技股份有限公司 | 資料加密系統 |
| TWI578243B (zh) * | 2015-09-21 | 2017-04-11 | Yun Qi | Management Method of Digital Assets Share and Expected Transfer |
| TWI669627B (zh) * | 2017-10-18 | 2019-08-21 | 東海大學 | File protection component and its protection method |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107968763B (zh) * | 2016-10-19 | 2020-10-23 | 巽风数位工程有限公司 | 群组档案管理系统与方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8099758B2 (en) * | 1999-05-12 | 2012-01-17 | Microsoft Corporation | Policy based composite file system and method |
| US8732789B2 (en) * | 2006-05-30 | 2014-05-20 | Iyuko Services L.L.C. | Portable security policy and environment |
| TWI381285B (zh) * | 2009-02-13 | 2013-01-01 | Fineart Technology Co Ltd | 電子檔案權限控管系統 |
| GB2507941B (en) * | 2010-02-22 | 2018-10-31 | Avaya Inc | Secure,policy-based communications security and file sharing across mixed media,mixed-communications modalities and extensible to cloud computing such as soa |
-
2013
- 2013-05-27 TW TW102118616A patent/TWI497342B/zh active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI578243B (zh) * | 2015-09-21 | 2017-04-11 | Yun Qi | Management Method of Digital Assets Share and Expected Transfer |
| TWI554908B (zh) * | 2015-11-03 | 2016-10-21 | 澧達科技股份有限公司 | 資料加密系統 |
| US10484340B2 (en) | 2015-11-03 | 2019-11-19 | Leadot Innovation, Inc. | Data encryption system by using a security key |
| TWI669627B (zh) * | 2017-10-18 | 2019-08-21 | 東海大學 | File protection component and its protection method |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI497342B (zh) | 2015-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8261320B1 (en) | Systems and methods for securely managing access to data | |
| KR101522445B1 (ko) | 기밀 파일을 보호하기 위한 클라이언트 컴퓨터, 및 그 서버 컴퓨터, 및 그 방법 및 컴퓨터 프로그램 | |
| US9268964B1 (en) | Techniques for multimedia metadata security | |
| CN100592313C (zh) | 一种电子文档防泄密系统及实现方法 | |
| JP4735331B2 (ja) | 仮想マシンを利用した情報処理装置および情報処理システム、並びに、アクセス制御方法 | |
| CN103530570A (zh) | 一种电子文档安全管理系统及方法 | |
| US20210286890A1 (en) | Systems and methods for dynamically applying information rights management policies to documents | |
| US20150188910A1 (en) | Policy group based file protection system, file protection method thereof, and computer readable medium | |
| CN103413100B (zh) | 文档安全防范系统 | |
| CN106682521B (zh) | 基于驱动层的文件透明加解密系统及方法 | |
| JP2015527803A (ja) | クラウド・コンピューティング環境での暗号化のためのユーザ端末装置及び暗号化方法 | |
| TWI497342B (zh) | 基於策略群組的檔案保護系統、其檔案保護方法及電腦可讀取媒體 | |
| WO2013013581A1 (zh) | 一种文档权限管理方法、装置及系统 | |
| WO2014150339A2 (en) | Method and system for enabling communications between unrelated applications | |
| WO2011018048A1 (zh) | 权限信息管理方法、装置及系统 | |
| CN101894242A (zh) | 移动电子设备信息安全保护系统及方法 | |
| TWI499931B (zh) | File management system and method | |
| US11531626B2 (en) | System and method to protect digital content on external storage | |
| US20150074057A1 (en) | Method and system for selective preservation of materials related to discovery | |
| CN101561851B (zh) | 一种可不区分文件类型的透明文件加密方法 | |
| TWI573079B (zh) | 電子文件資訊安全控管系統及其方法 | |
| KR20130079004A (ko) | 스마트폰에서 파일 시스템 가상화를 이용한 모바일 정보 보호 시스템 및 가상 보안 환경 제공 방법 | |
| TWI381285B (zh) | 電子檔案權限控管系統 | |
| US20240048361A1 (en) | Key Management for Cryptography-as-a-service and Data Governance Systems | |
| EP3185167B1 (en) | System and method for controlling user access to encrypted data |