本发明专利技术涉及一种用于防止文档被未授权访问的方法和装置,其中,文档保护装置包括:已加密的文档;以及,控制模块,其中,所述控制模块进一步包括:发送模块,用于当所述文档保护装置在计算机上被运行时,向另一装置发送用于请求用来对所述已加密的文档进行解密的加密密钥且包含身份信息和认证信息的消息,其中,所述身份信息和所述认证信息是从连接到所述计算机的便携式存储设备获取的;接收模块,用于从所述另一装置接收所述用于对所述已加密的文档进行解密的加密密钥;解密模块,用于利用所述接收的加密密钥对所述已加密的文档进行解密,以得到明文的文档;以及,管理模块,用于根据文档访问策略来控制用户对所述明文的文档的访问。利用该方法和装置,能够防止文档被未授权访问。
【技术实现步骤摘要】
本专利技术涉及一种用于防止文档被未授权访问的方法和装置。
技术介绍
随着计算机技术的广泛应用,在各个企业中,各种数据和信息通常都会被录入计 算机中存储成文档。各个企业的计算机一般都会与互联网和打印机等连接,而且通常具有 磁盘驱动器和/或USB (通用串口总线)接口等,所以在各个企业中,存储在计算机中的文 档很容易通过互联网被传送到企业外部,或者通过打印机被打印出来并且被携带出企业, 或者被拷贝到磁盘和/或U盘并被携带出企业。从而,存储在计算机中的包含企业数据和 信息的文档很容易被非法地泄露到企业外部,从而被竞争对手获取。为了防止存储在计算机中的包含企业数据和信息的文档被非法地泄露到企业外 部,目前已经提出了一些用于防止文档泄露的方案。这些方案分成两种基于网络的方案和 基于主机的方案。基于网络的方案通过在企业的网络出入口处部属安全网关来防止企业员 工通过各种网络应用将企业的文档泄露到企业外部。基于主机的方案通过在企业的各个计 算机中安装安全代理来监控企业的各个计算机,以防止企业员工将企业的文档通过企业的 各个计算机的主机周边设备接口、打印机和/或便携式存储设备泄露到企业外部。通过应 用这些用于防止文档泄露的方案,很好地防止了存储在企业的计算机中的文档被非法地泄 露到企业外部。然而,在实际中,有时需要将企业的文档拷贝到诸如U盘这样的便携式存储设备 中,以便在没有采用上述用于防止文档泄露的方案的计算机上使用在该便携式存储设备中 的文档。例如,当一个企业Q的员工Y与其他合作企业的员工W开会时,员工Y可能需要将 会议所需的企业Q的一些文档拷贝到U盘中,然后员工W通过把该U盘插入到其笔记本电 脑上来阅读拷贝到该U盘中的企业Q的文档。在这种情况中,由于员工W不属于企业Q,所 以员工W的笔记本电脑很可能没有采用上述用于防止文档泄露的方案,从而不能防止员工 W有意或无意地将该U盘中的企业Q的文档以明文形式传播出去,从而其他人在没有被授权 的情况下就可以访问该文档。
技术实现思路
考虑到现有技术的上述缺陷,本专利技术提供一种用于防止文档被未授权使用的方法 和装置,利用该方法和装置,可以防止文档被未授权访问。按照本专利技术的一种文档保护装置,包括已加密的文档;以及,控制模块,其中,所 述控制模块进一步包括发送模块,用于当所述文档保护装置在计算机上被运行时,向另一 装置发送用于请求用来对所述已加密的文档进行解密的加密密钥且包含身份信息和认证 信息的消息,其中,所述身份信息和所述认证信息是从连接到所述计算机的便携式存储设 备获取的;接收模块,用于从所述另一装置接收所述用于对所述已加密的文档进行解密的 加密密钥;解密模块,用于利用所述接收的加密密钥对所述已加密的文档进行解密,以得到5明文的文档;以及,管理模块,用于根据文档访问策略来控制用户对所述明文的文档的访 问。按照本专利技术的一种便携式存储设备,包括通信接口模块,用于与所述便携式存储 设备所连接的计算机进行通信;安全存储区,用于关联地存储身份信息和原始认证信息; 以及,控制模块,用于当经由所述通信接口模块从所述计算机中的文档保护装置接收到用 于请求身份信息和基本认证信息的消息时,基于所述安全存储区存储的原始认证信息经来 计算基本认证信息,并把所述计算的基本认证信息和所述安全存储区存储的身份信息由所 述通信接口模块发送给所述计算机中的文档保护装置。按照本专利技术的一种用于制作文档的文档保护装置的装置,包括接收模块,用于接 收用户标识、访问密码和用于控制用户对所述文档的访问的文档访问策略;产生模块,用于 产生用来加密所述文档的加密密码;加密模块,用于利用所述产生的加密密钥对所述文档 进行加密,以得到加密的文档;组合模块,用于把所述加密的文档和一个用于控制用户对所 述文档的访问的控制模块组合在一起,以获得文档保护装置;以及,发送模块,用于向便携 式存储设备发送所述接收的用户标识和访问密码以及所述获得的文档保护装置,以及向另 一装置发送所述接收的用户标识、访问密码和文档访问策略以及所述生成的加密密码。按照本专利技术的一种由文档保护装置执行的方法,其中,所述文档保护装置包括已 加密的文档,所述方法包括步骤当所述文档保护装置在计算机上被运行时,向另一装置发 送用于请求用来对所述已加密的文档进行解密的加密密钥且包含身份信息和认证信息的 消息,其中,所述身份信息和所述认证信息是从连接到所述计算机的便携式存储设备获取 的;从所述另一装置接收所述用于对所述已加密的文档进行解密的加密密钥;利用所述接 收的加密密钥对所述已加密的文档进行解密,以得到明文的文档;以及,文档访问策略来控 制用户对所述明文的文档的访问。按照本专利技术的一种由便携式存储设备执行的方法,包括步骤当从所述便携式存 储设备连接的计算机中的文档保护装置接收到用于请求身份信息和基本认证信息的消息 时,基于预先存储的原始认证信息经来计算基本认证信息;以及,把所述计算的基本认证信 息和预先存储的身份信息发送给所述计算机中的文档保护装置。按照本专利技术的一种用于制作文档的文档保护装置的方法,包括步骤接收用户标 识、访问密码和用于控制用户对所述文档的访问的文档访问策略;产生用来加密所述文档 的加密密码;利用所述产生的加密密钥对所述文档进行加密,以得到加密的文档;把所述 加密的文档和一个用于控制用户对所述文档的访问的控制模块组合在一起,以获得文档保 护装置;以及,向便携式存储设备发送所述接收的用户标识和访问密码以及所述获得的文 档保护装置,以及向另一装置发送所述接收的用户标识、访问密码和文档访问策略以及所 述生成的加密密码。附图说明本专利技术的其他特点、特征和优点通过以下结合附图的详细描述将变得更加显而易 见。其中图1是示出按照本专利技术第一实施例的用于防止文档被未授权使用的系统的示意 6图2是示出按照本专利技术第一实施例的便携式存储设备的示意图;图3是示出按照本专利技术第一实施例的用于制作文档保护装置的方法的流程图;以 及图4A-4C是示出按照本专利技术第一实施例的用于访问需要保护的文档的方法的流 程图。具体实施例方式下面,将结合附图详细描述本专利技术的各个实施例。图1是示出按照本专利技术第一实施例的用于防止文档被未授权使用的系统的示意 图。如图1所示,该系统包括管理计算机100、服务器200、便携式存储设备300和目标计算 机400。其中,管理计算机100与服务器200连接,目标计算机400通过网络与服务器200 连接,以及便携式存储设备300可以通过插入到管理计算机100和目标计算机400而与管 理计算机100和目标计算机400连接。管理计算机100用于制作需要保护的文档的文档保护装置。每一个文档保护装置 是一个可执行文件,用于防止一个需要保护的文档被未授权使用。每一个文档保护装置包 括一个已加密的需要保护的文档和一个用于根据文档访问策略来控制用户对该需要保护 的文档的访问的控制模块,其中,该控制模块由可执行程序代码来实现,以及该文档访问策 略可以是文档读、文档写、屏幕打印、文档打印、权限更改和/或位置更改等。当制作好需要保护的文档的文档保护装置时,管理计算机100将作为身份信息的 该用户标识、作为原始认证信息的该访问密码和该共享密码、以及所制作的文档保护装置 存储在便携式存储设备本文档来自技高网...
【技术保护点】
一种文档保护装置,包括:已加密的文档;以及控制模块,其中,所述控制模块进一步包括:发送模块,用于当所述文档保护装置在计算机上被运行时,向另一装置发送用于请求用来对所述已加密的文档进行解密的加密密钥且包含身份信息和认证信息的消息,其中,所述身份信息和所述认证信息是从连接到所述计算机的便携式存储设备获取的;接收模块,用于从所述另一装置接收所述用于对所述已加密的文档进行解密的加密密钥;解密模块,用于利用所述接收的加密密钥对所述已加密的文档进行解密,以得到明文的文档;以及管理模块,用于根据文档访问策略来控制用户对所述明文的文档的访问。
【技术特征摘要】
【专利技术属性】
技术研发人员:郭代飞,隋爱芬,
申请(专利权)人:西门子中国有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。