TWI444849B

TWI444849B - 透過伺服器驗證並授權解密以監控個資檔案之系統及方法

Info

Publication number: TWI444849B
Application number: TW102119427A
Authority: TW
Inventors: Tung Hsiao Yu; Wei Liang Cheng
Original assignee: Taiwan Dls Corp Ltd
Priority date: 2013-05-31
Filing date: 2013-05-31
Publication date: 2014-07-11
Also published as: TW201339884A

Description

透過伺服器驗證並授權解密以監控個資檔案之系統及方法

一種檔案監控系統及其方法，特別係指一種透過遠端伺服器驗證並授權解密以監控個資檔案之系統及其方法。

新版《個人資料保護法》刪除舊版中有關行業別的適用限制，也就是說，每一個公務機關、非公務機關和接受委託的機關企業以及個人等，對於所擁有的個人資料的蒐集、處理和利用等，都必須受《個人資料保護法》的規範。只要擁有一筆以上的個人資料，就必須遵照《個人資料保護法》蒐集、處理、利用、傳輸、甚至刪除的規範。

其中，《個人資料保護法》中定義不論存放的媒介與形式為何，只要是能夠辨別個人身分的一種資料或兩種以上的資料組合，即為個人資料，其中包含姓名、出生年月日、身分證號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動、醫療、基因、性生活、健康檢查、犯罪前科等的各種組合，例如，姓名加上手機號碼，或者是姓名加上身分證字號等。

由於新版《個人資料保護法》為了要落實個資保護的概念，進一步的將舉證責任由個資的擁有人轉移到取得個資的機關企業上，也就是說，機關企業則必須反過來證明本身並無過失才可以免除個資之擁有人的求償，因此，機關企業勢必要有相對應的措施來證明本身無過失。然而，目前僅有保護個資檔案之內容的機制，例如，加密檔案、禁止複製檔案內容等機制，但並沒有能夠證明本身無過失的機制。

綜上所述，可知先前技術中存在機關企業無法提出證明本身已依據《個人資料保護法》的規範保護個資之證據的問題，因此有必要提出改進的技術手段，來解決此一問題。

有鑒於先前技術存在無法讓機關企業證明本身已依據《個人資料保護法》的規範保護個資的問題，本發明遂揭露一種透過伺服器驗證並授權解密以監控個資檔案之系統及方法，其中：本發明所揭露之透過伺服器驗證並授權解密以監控個資檔案之系統，至少包含：傳輸模組；標記模組，用以搜尋並記錄客戶端所儲存之個資檔案；加密模組，用以加密個資檔案為加密檔案；監控模組，用以於加密檔案被開啟前，獲取個人識別資料，並透過傳輸模組傳送個人識別資料至伺服器，及用以依據伺服器於驗證個人識別資料後所傳回之授權資訊解密加密檔案；其中，伺服器於驗證該個人識別資料後產生存取明細並記錄於記錄檔中，並提供遠端檢視記錄檔，藉以提供遠端監視個資檔案。

本發明所揭露之透過伺服器驗證並授權解密以監控個資檔案之方法，其步驟至少包括：搜尋並記錄客戶端所儲存之個資檔案；加密個資檔案為加密檔案；於加密檔案被開啟前，獲取一個人識別資料；傳送該個人識別資料至一伺服器；接收該伺服器於驗證該個人識別資料後所產生之一授權資訊；依據授權資訊解密加密檔案；其中，伺服器於驗證個人識別資料後產生存取明細並記錄於記錄檔中，並提供遠端檢視記錄檔，藉以提供客戶端遠端監視個資檔案。

本發明所揭露之系統與方法如上，與先前技術之間的差異在於本發明透過將個資檔案加密後，在加密的個資檔案被開啟前，取得伺服器在驗證個人識別資料後所產生的授權資訊，並依據授權資訊解密加密檔案，並在個資檔案被操作時，傳送與操作對應的存取訊息至伺服器，伺服器可以記錄依據個人識別資料的驗證結果及所接收到的存取訊息所產生的存取明細，並提供客戶端遠端檢視存取明細以監視個資檔案，藉以解決先前技術所存在的問題，並可以達成有效保護個資的技術功效。

100、200‧‧‧客戶端

101、201‧‧‧儲存媒體

110‧‧‧標記模組

120‧‧‧加密模組

140、240‧‧‧傳輸模組

160、260‧‧‧監控模組

180、280‧‧‧遮蔽模組

400‧‧‧伺服器

步驟310‧‧‧標記客戶端所儲存之個資檔案

步驟320‧‧‧加密個資檔案為加密檔案

步驟330‧‧‧於加密檔案被開啟前，獲取個人識別資料

步驟341‧‧‧傳送個人識別資料至伺服器

步驟343‧‧‧伺服器驗證個人識別資料

步驟345‧‧‧伺服器產生授權資訊

步驟347‧‧‧伺服器依據存取資訊產生存取明細並記錄於記錄檔中

步驟349‧‧‧接收伺服器所傳回之授權資訊

步驟352‧‧‧依據授權資訊判斷個人識別資料是否通過驗證

步驟356‧‧‧產生並顯示驗證失敗訊息

步驟360‧‧‧依據授權資訊解密加密檔案

步驟372‧‧‧開啟由加密檔案解密產生之個資檔案

步驟376‧‧‧遮蔽個資檔案中之個人資料

步驟378‧‧‧於個資檔案被操作後，產生與操作對應之存取訊息，並傳送至伺服器

步驟380‧‧‧伺服器依據存取資訊產生存取明細並記錄於該記錄檔中

步驟390‧‧‧伺服器提供客戶端遠端檢視記錄檔

第1圖為本發明所提之透過伺服器驗證並授權解密以監控個資檔案之系統架構圖。

第2圖為本發明實施例所提之元件示意圖。

第3A圖為本發明所提之透過伺服器驗證並授權解密以監控個資檔案之方法流程圖。

第3B圖為本發明所提之透過伺服器驗證並授權解密以監控個資檔案之附加方法流程圖。

以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式，內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施，藉此實現本發明可達成的功效。

本發明可以在使用者欲開啟加密後的個資檔案時，將使用者所提供的個人識別資料傳送至伺服器進行驗證，並依據伺服器所傳回的授權資訊解密被加密的個資檔案，同時，伺服器也會記錄驗證結果，另外，本發明也會將使用者對個資檔案所進行的操作提供給伺服器記錄，使得伺服器可以提供遠端監視個資檔案被使用者操作之狀況的服務。

其中，本發明所提之個人識別資料為足以辨識開啟加密檔案之使用者身分的資料，例如個人帳號及/或密碼等，但本發明並不以此為限。另外，使用者對個資檔案所進行之操作包含開啟、關閉、複製、刪除、列印等對個資檔案之操作，也包含對個資檔案之檔案內容之新增修改等操作，但本發明所提之操作同樣不以上述為限。

以下先以「第1圖」本發明所提之透過伺服器驗證並授權解密以監控個資檔案之系統架構圖來說明本發明的系統運作。如「第1圖」所示，本發明之系統含有標記模組110、加密模組120、傳輸模組140、以及監控模組160。

標記模組110負責搜尋客戶端之儲存媒體101中所儲存的個資檔案，並記錄所搜尋到的個資檔案的存取路徑，藉以提供監控模組160 進行監控。

在部分的實施例中，標記模組110也可以不主動搜尋客戶端所儲存的個資檔案，而是被動的等待個資檔案被設定為監控後，才記錄被設定為監控之個資檔案的存取路徑。

加密模組120負責加密存取路徑被標記模組110記錄的個資檔案。在部分的實施例中，加密模組120會以客戶端之使用者的私鑰(private key)加密個資檔案，但本發明並不以此為限。

加密模組120加密個資檔案後會產生新的檔案，在本發明中，加密模組120所產生的新檔案被稱為加密檔案。其中，加密模組120在加密個資檔案後，可以將加密前之原始的個資檔案刪除或隱藏，或是移動至特定的目錄中備份，本發明沒有特別的限制。

一般而言，加密檔案與原始的個資檔案的檔案名稱相同，但副檔名不同，但本發明並不以此為限。若原始之個資檔案與加密檔案存放在不同的目錄中，或原始的個資檔案在加密後會被刪除，則加密檔案的檔案名稱甚至可以與個資檔案相同。

在部分的實施例中，加密模組120更可以將加密檔案分為兩部分，其中一部份透過傳輸模組140傳送至伺服器400儲存，另一部分則做為新的加密檔案。一般而言，被傳送到伺服器400的部分僅有原先之加密檔案的一小部分，例如5%，但本發明並不以此為限。

傳輸模組140負責與伺服器400交換資料。一般而言，傳輸模組140與伺服器400之間會以安全通道傳送資料。

監控模組160負責監控被加密模組120加密產生的加密檔案，並在所監控的加密檔案被操作後，進行對應的處理。

監控模組160可以在所監控的加密檔案被開啟前，提供輸入個人識別資料，並由傳輸模組140傳送被輸入的個人識別資料至伺服器400進行授權驗證。其中，監控模組160可以鉤(hook)入作業系統或檔案系統，藉以在加密檔案被開啟前，先要求輸入個人識別資料，但監控模組160在所監控的加密檔案被開啟前要求輸入個人識別資料之方式並不以此為限。

監控模組160可以提供透過或不透過資料載體的方式輸入個人識別資料。例如，監控模組160可以透過系統外部之資料讀取設備讀取記錄於資料載體中的個人識別資料。其中，本發明所提之資料載體為可以記錄資料的任何物體，包含但不限於USB隨身碟、具有RFID功能的卡片等。另外，監控模組160也可以提供個人識別資料的輸入介面，使得個人識別資料可以由實體鍵盤或虛擬鍵盤被輸入，藉以提供不透過的資料載體的方式輸入個人識別資料。

監控模組160也負責依據傳輸模組140所接收之由伺服器400傳回的授權資訊解密將被開啟的加密檔案。在一部分的實施例中，監控模組160可以依據授權資訊所包含的解密金鑰解密加密檔案，另外，在另一部份的實施例中，授權資訊除了包含解密金鑰之外，還可以包含附加訊息，監控模組160需要先將附加訊息與加密檔案組合為組合檔案後，才能夠使用解密金鑰解密組合檔案來獲得個資檔案，否則加密檔案無法直接使用解密金鑰成功解密，如此，更增加了被加密之個資檔案的安全性。

監控模組160可以在傳輸模組140所接收之授權資訊表示個人識別資料未通過驗證時，產生並顯示驗證失敗訊息。而當授權資訊表示個人識別資料通過驗證時，監控模組160可以開啟解密後的個資檔案，解密後之個資檔案的檔案內容會與原始之個資檔案的檔案內容相同。其中，解密後的個資檔案可能被隱藏或儲存在特定的目錄中，並以寫入鎖定的方式保護個資檔案，但本發明並不以此為限。

在個資檔案被開啟後，若被開啟的個資檔案經過如新增、刪除、修改、列印、關閉等操作，則監控模組160可以產生與被開啟之個資檔案所經過之操作對應的存取訊息，另外，若個資檔案經過複製或刪除等操作，監控模組160也可以產生與被操作之個資檔案對應的存取訊息。其中，監控模組160所產生的存取訊息至少包含進行操作之個人識別資料以及表示被進行之操作的操作識別碼。例如，監控模組160可以透過鉤入的作業系統或檔案系統判斷被監控的個資檔案是否被複製或刪除；監控模組160也會在個資檔案被關閉時，比對被開啟之個資檔案與被開啟之個資檔案的副本，藉以判斷被開啟之個資檔案的檔案內容是否經過新增、刪除或修改；而當個資檔案被列印時，監控模組160會依據被開啟之個資檔案的檔案內容產生列印資料，並將列印資料提供給本發明外部的列印系統，而非直接由外部的列印系統讀取個資檔案的檔案內容。

另外，本發明更可以包含可附加的遮蔽模組180，遮蔽模組180負責在個資檔案被開啟後，遮蔽被開啟之個資檔案中的個人資料。例如，遮蔽模組180可以在判斷出被監控模組160所開啟之個資檔案中屬於個人資料的部分後，將個資檔案中屬於個人資料之部分的部分內容以特定的字元取代，如將護照號碼中間的4碼以「*」號取代等，使得開啟個資檔案的使用者無法觀看到完整的個資，但本發明並不以此為限。

伺服器400負責接收傳輸模組140所傳送的個人識別資料，以及負責驗證所接收到的個人識別資料，並在驗證後產生授權資訊。值得一提的是，不論個人識別資料是否通過伺服器400的驗證，伺服器400都會產生授權資訊，但只有在個人識別資料通過驗證時，授權資訊中才會包含表示驗證成功的符號或資料，而在個人識別資料未通過驗證時，授權資訊中會包含表示驗證失敗的符號或資料。

一般而言，伺服器400會驗證個人識別資料是否有開啟將被開啟之加密檔案的權限，但本發明並不以此為限。在部分的實施例中，伺服器400可以預先記錄與個人識別資料對應之可存取之個資檔案的檔案權限，藉以驗證所接收到的個人識別資料是否對應有存取將被開啟之加密檔案的權限，但伺服器400驗證個人識別資料之方式並不以此為限。

伺服器400也負責依據驗證個人識別資料所產生的驗證結果以及傳輸模組140所傳送的存取資訊產生存取明細，並將所產生之存取明細記錄於記錄檔中。一般而言，伺服器400所產生的存取明細包含個人識別資料、操作識別資料、操作時間、被操作的檔案名稱、操作結果、甚至是操作的客戶端網路位址等，但本發明並不以此為限。

伺服器400也負責提供遠端檢視記錄存取明細的記錄檔，藉以提供遠端監視個資檔案被操作的情況。

此外，在本發明中，特別值得一提的是，標記模組110、加密模組120、傳輸模組140、監控模組160、以及遮蔽模組180可以設置在同一個客戶端中，也可以設置在不同的客戶端中，如「第2圖」所示，標記模組110、加密模組120、以及傳輸模組140被設置在客戶端100中，傳輸模組240、監控模組260、以及遮蔽模組280被設置在客戶端200中，其中，傳輸模組240、監控模組260、以及遮蔽模組280與傳輸模組140、監控模組160、以及遮蔽模組180相同，故不再贅述。

例如，在同一個客戶端中開啟先前加密的個資檔案，此時標記模組110、加密模組120、傳輸模組140、監控模組160都設置同一個客戶端中，而當一個客戶端開啟被其他客戶端加密的個資檔案時，標記模組110、加密模組120、傳輸模組140與傳輸模組240、監控模組260會被設置在不同的兩個客戶端中。

接著以一個實施例來解說本發明的運作系統與方法，並請參照「第2圖」以及「第3A圖」本發明所提之透過伺服器驗證並授權解密以監控個資檔案之方法流程圖。在本實施例中，假設以學校提供廠商印製通訊錄，其中，客戶端100為校方之電腦，客戶端200為廠商之電腦，伺服器400設置在學校中。

首先，客戶端100中的標記模組110可以搜尋客戶端100的儲存媒體101中所儲存的個資檔案，並在搜尋到個資檔案後，記錄所搜尋到之個資檔案的存取路徑。另外，客戶端100的標記模組110也可以在客戶端100的使用者執行將個資檔案加入監控之操作後，記錄被使用者操作之個資檔案的存取路徑。

在客戶端100的標記模組110標記客戶端100的儲存媒體101中所儲存的個資檔案(步驟310)後，將客戶端100的加密模組120可以依據標記模組110記錄之存取路徑加密被標記的個資檔案(步驟320)。

之後，客戶端100的使用者便可以將加密後的個資檔案(加密檔案)提供其客戶端200。例如，透過網路傳送加密後的個資檔案，或是寄送儲存加密後之個資檔案的USB隨身碟或光碟等儲存媒體。

若客戶端200欲開啟加密後的個資檔案(加密檔案)，則客戶端200中同樣需要安裝有本發明。如此，在客戶端200開啟被儲存於儲存媒體201中之加密檔案前，客戶端200的監控模組260可以在客戶端200 中要求客戶端200的使用者提供個人識別資料，藉以獲取開啟加密檔案之使用者的個人識別資料(步驟330)。在本實施例中，若客戶端200連接有讀卡機，則客戶端200的使用者可以將其擁有的使用者卡片接近讀卡機，使得讀卡機可以感應(讀取)到使用者卡片中所記錄的個人識別資料，並將所感應到的個人識別資料提供給監控模組260。

在客戶端200的監控模組260獲取到開啟加密檔案之使用者的個人識別資料後，客戶端200的傳輸模組240可以將監控模組260所獲取到的個人識別資料傳送到伺服器400(步驟341)。

伺服器400在接收到客戶端200所傳送的個人識別資料後，可以驗證所接收到的個人識別資料是否對應有存取將被開啟之加密檔案的權限，並依據驗證結果產生授權資訊(步驟345)。在本實施例中，假設伺服器400會將所接收到的個人識別資料做為索引，在預先建立的資料表中查找是否存在與將被開啟之加密檔案對應的權限，此時，查找的結果即可以做為驗證結果，若有查找到與將被開啟之加密檔案對應的權限，則表示伺服器400所接收到的個人識別資料通過驗證，伺服器400可以讀出與將被開啟之加密檔案對應的權限，若沒有與將被開啟之加密檔案對應的權限，則表示個人識別資料驗證失敗。

在客戶端200的傳輸模組240接收到伺服器400所傳回的授權資訊(步驟349)後，客戶端200的監控模組260可以依據傳輸模組240所接收到的授權資訊判斷被輸入的個人識別資料是否通過驗證(步驟372)，若傳輸模組240所接收到的授權資訊中記錄了個人識別資料通過驗證，則客戶端200的監控模組260可以依據授權資訊解密加密檔案(步驟360)。

事實上，伺服器400在驗證所接收到的個人識別資料是否有存取將被開啟之加密檔案的權限後，也可以依據驗證結果產生存取明細，並將所產生的存取明細記錄到記錄檔中。如此，伺服器400便可以提供客戶端100檢視記錄檔，使得客戶端100的使用者可以遠端監控加密檔案在客戶端200中被操作的情況(步驟390)。

綜上所述，可知本發明與先前技術之間的差異在於具有在加密之個資檔案被開啟前，取得伺服器在驗證個人識別資料後所產生的授權資訊，並依據授權資訊解密加密檔案，並在個資檔案被操作時，傳送與操作對應的存取訊息至伺服器，伺服器可以記錄依據驗證結果及存取訊息所產生的存取明細，並提供客戶端遠端檢視存取明細以監視個資檔案的技術手段，藉由此一技術手段可以解決先前技術所存在的機關企業無法證明本身已依據《個人資料保護法》的規範保護個資之問題，進而達成有效保護個資的技術功效。

此外，如「第3B圖」之流程所示，在上述的實施例中，若客戶端200中還包含遮蔽模組280，則在加密檔案被開啟後，遮蔽模組280可以遮蔽被開啟之加密檔案中的個人資料(步驟376)。

另外，若在加密檔案被開啟後，客戶端200的使用者對被開啟的加密檔案進行任何操作，則客戶端200的監控模組260可以產生與使用者所進行之操作對應的存取訊息，並由客戶端200的傳輸模組240傳送至伺服器400(步驟378)，伺服器400可以在接收到傳輸模組240所傳送的存取訊息後，依據存取資訊產生相對應的存取明細，並將所產生的存取明細記錄於記錄檔中(步驟380)。

再者，本發明之透過伺服器驗證並授權解密以監控個資檔案之方法，可實現於硬體、軟體或硬體與軟體之組合中，亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。

雖然本發明所揭露之實施方式如上，惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者，在不脫離本發明所揭露之精神和範圍的前提下，對本發明之實施的形式上及細節上作些許之更動潤飾，均屬於本發明之專利保護範圍。本發明之專利保護範圍，仍須以所附之申請專利範圍所界定者為準。