获得对受保护文件夹(31)的访问权,且当将受保护文件夹(31)中的指定数据写入到主存储装置(20)内的剪贴板(22)中时,通过使用与受保护文件夹(31)相关联的加密密钥加密数据,并将加密数据写入到剪贴板(22)中,同时,当将保存在剪贴板(22)中的加密数据粘贴到存储在辅助存储装置(30)中的文件中时,解密所述加密数据,并将解密数据粘贴到所述文件中。以此方式,保留了由剪贴板提供的便利性,同时可防止借助剪贴板将受保护数据带出计算机系统。
【技术实现步骤摘要】
本专利技术涉及一种用于防止机密信息泄漏到计算机系统外部的信息泄漏防止方法、装置及其程序。更明确地说,本专利技术涉及一种信息泄漏防止方法和装置及其程序,其中,在保留剪贴板的便利性的同时,采取多项措施来防止借助剪贴板将存储在计算机系统内的通过加密或其他安全手段(例如,“禁出(taking-out forbidden)”手段)而保护的文件夹中的文件数据带出计算机系统。这里,“禁出”手段禁止有人在计算机系统中复制文件后借助因特网将该文件传输到计算机系统外部。
技术介绍
普遍采用加密技术来保护计算机系统中的数据。在众多加密技术中,已知一种称作自动加密的加密技术,当将文件数据存储在指定保护的文件中时,该加密技术一直加密所述文件数据,只有当通过验证后的用户进行读取访问时它才自动解密所述数据,且在写回所述数据时自动加密所述数据,从而在计算机系统内一直以加密的形式存储数据而不允许以解密的纯文本形式保存任何数据。另一方面,从防止信息泄漏的角度出发,公开了这样一种技术,其中在一个管理文件中预先注册了对于允许访问受保护文件夹的应用程序唯一的标识符(程序名称、进程ID等),并且拒绝除了那些已经在管理表中预先注册过的应用程序以外的应用程序访问受保护的文件夹。通过结合上述技术可构建一种防止机密信息泄漏的高度安全的计算机系统。在另一已知技术中,将这样一种特定应用程序指定为可访问受保护文件夹的应用程序其中禁止借助剪贴板(共用存储区)在应用程序之间转移数据的数据转移操作(诸如“复制”、“剪切”和“粘贴”的操作)。根据这种技术,由于禁止借助剪贴板进行数据转移操作,所以可防止机密信息泄漏。另外,为了使禁止带出计算机系统的机密文件可以在计算机系统内与没有被指定为机密文件的其它文件一起使用,专利文献1揭示了这样一种技术,其中,当一个应用程序打开存储在预先指定的机密文件夹中的机密文件时,所打开文件的内容的转移被限制(锁定共用存储区),以使得该文件的内容不会被转移到该机密文件夹外,从而防止机密信息的泄漏(参考专利文献1中的 到 段和中的标号44)。日本特开2002-288030号公报(参考、 到 段和 到 段、到,和专利说明书摘要中的)。然而,由于应用程序普遍具有借助剪贴板在应用程序之间执行数据转移命令的标准功能,所以如果限制或禁止借助剪贴板执行上述操作,则由剪贴板所提供的便利性将大打折扣。如果为了确保便利性,将一个应用程序注册成允许访问受保护文件夹的应用程序,则可以借助剪贴板将数据从所注册的应用程序转移到未注册应用程序而将受保护文件夹中的任何数据带出计算机系统,从而引起对于信息泄漏的安全方面的问题。
技术实现思路
设计本专利技术来解决上述问题,且本专利技术的目的是提供一种信息泄漏防止方法、装置及其程序,其中,在保留剪贴板的便利性的同时,采取多项措施来防止借助剪贴板将存储在计算机系统内的通过加密或其他安全手段(例如,“禁出”手段)而保护的文件夹中的任何数据带出计算机系统。这里,“禁出”手段禁止有人在计算机系统中复制文件后借助因特网将该文件传输到计算机系统外部。实现上述目的的根据本专利技术的信息泄漏防止装置是一种用于防止存储在辅助存储装置内的受保护文件夹中的数据发生泄漏的信息泄漏防止装置,其包括写入单元,其具有对所述受保护文件夹的访问权,且当执行写入操作以将所述受保护文件夹中包含的指定数据写入到主存储装置内的第一共用存储区中时,其通过使用与在受保护文件夹管理表中注册过的所述受保护文件夹相关联的加密密钥对数据进行加密,并将所述加密数据写入到第一共用存储区中;和粘贴单元,其具有对所述受保护文件夹的访问权,且当执行粘贴操作以将保存在所述第一共用存储区中的所述加密数据粘贴到存储在辅助存储装置内的文件中时,解密所述加密数据,并将所述解密数据粘贴到该文件中。在上述信息泄漏防止装置中,当执行写入操作时,所述写入单元将与所述加密数据相关联的标识符写入到主存储装置内提供的独立于所述第一共用存储区而提供的第二共用存储区中,且当执行粘贴操作时,如果存储在第二共用存储区中的标识符与当前保存在第一共用存储区中的数据的标识符匹配,则所述粘贴单元解密所述数据,并将所述解密数据粘贴到文件中,但如果两个标识符不匹配,或如果在第二共用存储区中没有存储标识符,则所述粘贴单元不解密数据而直接将数据粘贴到文件中。上述信息泄漏防止装置包括一个旁路(bypass)单元,该旁路单元不具有对所述受保护文件夹的访问权,且当将存储在辅助存储装置中的未受保护文件夹中的数据写入到第一共用存储区中时,其不对数据加密而将数据写入到第一共用存储区中,且当将当前保存在第一共用存储区中的数据粘贴到文件中时,其不对数据解密而直接将数据粘贴到文件中。实现上述目的的根据本专利技术的信息泄漏防止方法是一种用于防止存储在辅助存储装置内的受保护文件夹中包含的数据发生泄漏的信息泄漏防止方法,其包括获得对所述受保护文件夹的访问权;当将所述受保护文件夹中的指定数据写入到主存储装置内的第一共用存储区中时,通过使用与在受保护文件夹管理表中注册的受保护文件夹相关联的加密密钥对数据进行加密,并将所述加密数据写入到第一共用存储区中;且当将保存在第一共用存储区中的所述加密数据粘贴到存储在辅助存储装置内的文件中时,解密所述加密数据,并将所述解密数据粘贴到文件中。实现上述目的的根据本专利技术的信息泄漏防止程序是一种用于防止存储在辅助存储装置内的受保护文件夹中包含的数据发生泄漏的信息泄漏防止程序,其中,该程序使计算机执行以下步骤获得对所述受保护文件夹的访问权;当将所述受保护文件夹中所包含的指定数据写入到主存储装置内的第一共用存储区中时,通过使用与在受保护文件夹管理表中注册的受保护文件夹相关联的加密密钥对数据进行加密,并将所述加密数据写入到第一共用存储区中;且当将保存在第一共用存储区中的所述加密数据粘贴到存储在辅助存储装置内的文件中时,解密所述加密数据,并将所述解密数据粘贴到文件中。根据第一专利技术,受保护文件夹存储在辅助存储装置内,且可由注册应用程序对其进行访问,且受保护文件夹中的任何数据以加密的形式写入到主存储装置内的第一共用存储区(剪贴板)中;因此,如果通过第一共用存储区将存储在主存储装置中的所有数据带出计算机系统,则由于除了注册应用程序以外的任何其它应用程序都不能解密经加密的数据,所以无法解译数据,从而防止信息泄漏。根据第二专利技术,在将所述加密数据的标识符写入到第二共用存储区中后,如果将没有标识符的未加密数据写入到第一共用存储区中,且存储在第二共用存储区中的标识符保持不变,则检查与写入到第一共用存储区中的数据相关联的标识符,看其是否与存储在第二共用存储区中的标识符匹配,进而验证写入到第一共用存储区中的数据是否是与其对应的加密数据,且经证实后,解密所述加密数据,从而确保解密数据的可靠性。根据第三专利技术,在确保第一共用存储区(剪贴板)甚至对未注册应用程序的便利性的同时,采取多项措施以使得只有注册应用程序可以加密并解密写入到剪贴板的数据;因此,如果未注册应用程序将保存在剪贴板中的加密数据带出计算机系统,则由于加密数据无法解密,所以数据仍无法解译,从而可防止信息泄漏。附图说明图1是表示根据本专利技术一个实施例的信息泄漏防止装置的结构的方框图;图2A是表示由注册应用程序本文档来自技高网...
【技术保护点】
一种信息泄漏防止装置,用于防止辅助存储装置内存储的受保护文件夹中包含的数据发生泄漏,其包括:写入单元,其具有对所述受保护文件夹的访问权,且当执行写入操作以将所述受保护文件夹中包含的指定数据写入到主存储装置内的第一共用存储区中时,其利 用与受保护文件夹管理表中注册的所述受保护文件夹相关联的加密密钥来加密所述数据,并将所述加密数据写入到所述第一共用存储区中;和粘贴单元,其具有对所述受保护文件夹的访问权,且当执行粘贴操作以将保存在所述第一共用存储区中的所述加密数据粘贴 到存储在所述辅助存储装置内的文件中时,解密所述加密数据,并将所述解密数据粘贴到所述文件中。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:宫本裕司,疋田幹人,周四君,田悦,
申请(专利权)人:富士通株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。