一种数据阻隔与特权控制的方法及系统技术方案

本发明专利技术涉及一种数据阻隔与特权控制方法及系统，由数据阻隔与特权控制的管理平台进行规则管理，并在客户端上实现的方法为：1）以用户和/或用户组为单位对待阻隔数据进行阻隔，并通过加密和阻隔标识后得到阻隔数据；2）识别阻隔数据的阻隔标识，对带有阻隔标识的阻隔数据进行用户访问控制；3）在用户访问阻隔数据时，根据设定的特权访问范围识别当前用户是否属于特权用户或特权组；4）根据特权用户和/或特权组对阻隔数据进行访问或访问阻隔。本发明专利技术阻隔是自动、实时的在后台完成的，不需要用户手动参与，不需要经过二次转化，保持了原数据的所有格式和属性，不会因格式丢失而给用户的使用带来困扰。

Method and system for data blocking and privilege control

The invention relates to a data block and privilege control method and system of management control rules by the data block and privilege management platform and implementation method on the client: 1) to the user and / or user group to treat data barrier barrier, and through encryption and identification data obtained after the barrier barrier 2); identification data identification of barrier barrier, barrier barrier identification data with user access control; 3) the user access barrier when the data set according to the scope of identifying whether the current user access privileges to user privileges or privilege group; 4) according to the user privileges and / or privileged access to the data block group or access barrier. The barrier is automatic and real-time in the background, users do not need manual participation, do not need to go through the two transformation, keep all the format and attribute of the original data, not because of the loss of the format for users to bring trouble.

【技术实现步骤摘要】
一种数据阻隔与特权控制的方法及系统
本专利技术涉及企业内部数据的阻隔，以及对阻隔数据的特权访问控制，属于信息安全领域。
技术介绍
随着信息化的深入，电子文档已成为企业关键资产的主要载体。对这些电子化的数据进行安全保护，这一观点已经在企业中达成共识。一般情况下，企业会选择数据防泄密的安全软件，对数据进行安全保护。利用数据防泄密的方式保护数据，主要的防护重点是防止数据泄漏到企业外部，但对于企业内部不同用户或不同部门的数据的使用，无法进行快速、准确的管理和控制。目前，对企业内部的数据的控制，具有如下不足:1)只控制数据不泄漏到企业外部，数据在企业内部无任何限制，越权访问的问题无法遏制；2)对企业内部的数据控制，由个人进行约束，比如用户本人主动控制数据不被企业内部其他人访问。此方式受用户本人的安全意识的制约，不能防止用户本人有意或无意的交叉泄密；3)对企业内部的数据控制，采取不同用户具有不同的密钥的方式，密钥需要由管理者指定。通过一用户一密钥的方式，使用户之间无法互相解密，以达到防止越权访问的目的。此方式需要管理者参与密钥的管理，当用户规模较大时，大量密钥将引起管理上的困难；4)对企业内部的数据进行阻隔，需要借助于数据二次转化，将数据转为特定的格式或特定的数据包。这种方式增加了流程，而且数据转化会带来使用上的不方便，甚至造成数据格式或属性的丢失；5)对于一些特殊用户需要使用阻隔数据的场景，缺少特权控制的支持，或者在给特殊用户使用阻隔数据时需要数据转化或用户参与密钥置换，进一步增加系统整体的冗繁程度。
技术实现思路
针对当前企业内部数据阻隔和特权控制，本专利技术公开一种敏捷的数据阻隔与特权控制的方法。利用本专利技术提供的方法和功能，可实现企业内部强制、自动、实时的数据阻隔，并可设置特权用户，在权限可控的前提下对阻隔数据进行访问。本专利技术的技术方案为一种数据阻隔与特权控制方法，其步骤包括:I)以用户和/或用户组为单位对待阻隔数据进行阻隔，并通过加密和阻隔标识后得到阻隔数据；2)识别所述阻隔数据的阻隔标识，对带有阻隔标识的阻隔数据进行用户访问控制；3)在用户访问所述的阻隔数据时，根据设定的特权访问范围识别当前访问的用户属于特权用户或特权组；4)根据所述特权用户和/或特权组对阻隔数据进行访问或访问阻隔。更进一步，若以用户为单位进行阻隔，则阻隔不同用户间对对方数据的互相访问；若以用户组为单位进行阻隔，则允许在同一组的不同用户对对方数据的互相访问，若处于不同组的用户，则阻隔访问对方的数据。更进一步，所述阻隔标识包括:当前用户唯一标识、阻隔类别、防伪密钥以及阻隔标识校验值，所述阻隔类别是标识当前数据是以用户为单位的阻隔或者以用户组为单位阻隔；所述防伪密钥由随机数和当前用户唯一标识、当前用户所属用户组、阻隔类别的哈希值组成；所述阻隔标识校验值由当前用户唯一标识、当前用户所属用户组唯一标识、阻隔类别和防伪密钥的哈希值组成。更进一步，以用户为单位对阻隔数据进行访问控制的方法如下:I)启动应用软件打开阻隔数据后检查阻隔标识校验值；2)所述阻隔标识校验值检查通过后继续获取数据的防伪密钥；3)利用所述防伪密钥解密当前数据中的用户标识、用户所属用户组标识以及阻隔类别；4)检查数据中的用户标识是否与当前访问数据的用户标识一致；5)数据中的用户标识与当前访问数据的用户标识一致，则解密数据的具体内容，当前用户可使用阻隔数据；数据中的用户标识与当前访问数据的用户标识不一致，则检查当前用户是否对阻隔数据具有特权访问的权限。更进一步，以用户组为单位对阻隔数据进行访问控制的方法如下:I)启动应用软件打开阻隔数据后检查阻隔标识校验值；2)所述阻隔标识校验值检查通过后继续获取数据的防伪密钥；3)利用所述防伪密钥解密当前数据中的用户标识、用户所属用户组标识以及阻隔类别；4)检查数据中的用户标识是否与当前访问数据的用户标识一致；5)若用户标识与当前访问数据的用户标识一致，则解密数据的具体内容当前用户可使用阻隔数据；6)若数据中的用户标识与当前访问数据的用户标识不一致，则继续检查当前用户是否与数据中的用户处于同一组，如果处于同一组则解密数据原内容，当前用户可使用阻隔数据；7)若当前用户与数据中的用户不属于同一组，检查当前用户是否对阻隔数据具有特权访问的权限。更进一步，根据设定的特权访问范围对所述阻隔数据进行用户特权权限控制的方法如下:I)特权用户启用应用软件打开阻隔数据，获得当前特权用户对阻隔数据的使用权限，包括特权有效的时间段，对数据是否可以修改，是否可以打印；2)识别特权用户对数据的特权生效时间，打开在有效时间段内的阻隔数据；3)所述特权用户对已经打开的阻隔数据进行修改并保存，保存后识别保存动作检查特权用户的权限是否可以修改此数据；4)所述特权用户具有修改数据的权限，则保存在本地的阻隔数据更新；5)所述特权用户打印数据，含虚拟打印和/或物理打印；6)对打印动作进行识别，检查特权用户的权限是否可以打印此数据。更进一步，检查当前用户是否对阻隔数据具有特权访问的权限包括:指定用户对指定用户的特权权限，指定用户对指定组的特权权限，指定组对指定用户的特权权限以及指定组对指定组的特权权限。更进一步，对所述阻隔数据设置特权用户，授权可使用阻隔数据的特权用户或特权组，授予特权后当前的特权用户或特权组，对已授权的用户或用户组的阻隔数据具有访问权限；所述特权用户或特权组对已授权的对象所产生的阻隔数据具有使用权限，所述特权用户或特权组对未授权的对象所产生的阻隔数据无使用权限。更进一步，所述阻隔数据保持原数据的格式，对所述阻隔数据的特权识别对象为原阻隔数据，不对原阻隔数据进行二次转化。本专利技术还提出一种数据阻隔与特权控制系统，其特征在于，包括:数据阻隔与特权控制的管理平台和客户端，所述数据阻隔与特权控制的管理平台由数据阻隔管理单元组成，所述客户端由数据阻隔识别单元、阻隔访问控制单元、特权权限识别单元、特权访问控制单元组成；所述数据阻隔管理单元，用于可指定数据阻隔规则和特权控制规则；所述数据阻隔识别单元，根据数据阻隔的规则识别需要进行阻隔的数据，并进行阻隔标识；以用户和/或用户组为单位对待阻隔数据进行阻隔，并通过加密和阻隔标识后得到阻隔数据；所述阻隔访问控制单元，对阻隔数据的访问进行控制，防止非法访问；解密所述阻隔数据，并对带有所述阻隔标识的阻隔数据进行用户访问控制；所述特权权限识别单元，识别特权用户以及特权用户的权限，识别特权组以及特权组的权限。在用户访问阻隔数据时，根据设定的特权访问范围识别当前用户是否属于特权用户或特权组，以便对所述阻隔数据进行用户特权权限控制；所述特权访问控制单元，根据特权控制规则控制阻隔数据的特权访问，并按照特权控制规则所允许的权限进行访问控制；根据所述特权用户和/或特权组对阻隔数据进行访问或访问阻隔。通过上述描述可见，本专利技术可实现如下效果:在数据阻隔与特权控制客户端(简称客户端)中，用户通过应用软件使用涉密数据或创建涉密数据时，客户端自动、实时的完成数据的阻隔。阻隔数据保持原数据的所有格式和属性。阻隔数据的访问，受制于数据阻隔规则和特权控制规则，具体控制如下:对于以用户为单位的阻隔，当前用户所产生的阻隔数据，其他非特权用户无法使用。如果特权控制规则本文档来自技高网...

【技术保护点】
一种数据阻隔与特权控制方法，其步骤包括：1）以用户和/或用户组为单位对待阻隔数据进行阻隔，并通过加密和阻隔标识后得到阻隔数据；2）识别所述阻隔数据的阻隔标识，对带有阻隔标识的阻隔数据进行用户访问控制；3）在用户访问所述的阻隔数据时，根据设定的特权访问范围识别当前访问的用户属于特权用户或特权组；4）根据所述特权用户和/或特权组对阻隔数据进行访问或访问阻隔。

【技术特征摘要】
1.一种数据阻隔与特权控制方法，其步骤包括: 1)以用户和/或用户组为单位对待阻隔数据进行阻隔，并通过加密和阻隔标识后得到阻隔数据； 2)识别所述阻隔数据的阻隔标识，对带有阻隔标识的阻隔数据进行用户访问控制； 3)在用户访问所述的阻隔数据时，根据设定的特权访问范围识别当前访问的用户属于特权用户或特权组； 4)根据所述特权用户和/或特权组对阻隔数据进行访问或访问阻隔。2.如权利要求1所述的数据阻隔与特权控制方法，其特征在于，若以用户为单位进行阻隔，则阻隔不同用户间对对方数据的互相访问；若以用户组为单位进行阻隔，则允许在同一组的不同用户对对方数据的互相访问，若处于不同组的用户，则阻隔访问对方的数据。3.如权利要求1所述的数据阻隔与特权控制方法，其特征在于，所述阻隔标识包括:当前用户唯一标识、阻隔类别、防伪密钥以及阻隔标识校验值，所述阻隔类别是标识当前数据是以用户为单位的阻隔或者以用户组为单位阻隔；所述防伪密钥由随机数和当前用户唯一标识、当前用户所属用户组、阻隔类别的哈希值组成；所述阻隔标识校验值由当前用户唯一标识、当前用户所属用户组唯一标识、阻隔类别和防伪密钥的哈希值组成。4.如权利要求1所述的数据阻隔与特权控制方法，其特征在于，以用户为单位对阻隔数据进行访问控制的方法如下: O启动应用软件打开阻隔数据后检查阻隔标识校验值； 2)所述阻隔标识校验值检查通过后继续获取数据的防伪密钥； 3)利用所述防伪密钥解密当前数据中的用户标识、用户所属用户组标识以及阻隔类别； 4)检查数据中的用户标识是否与当前访问数据的用户标识一致； 5)数据中的用户标识与当前访问数据的用户标识一致，则解密数据的具体内容，当前用户可使用阻隔数据；数据中的用户标识与当前访问数据的用户标识不一致，则检查当前用户是否对阻隔数据具有特权访问的权限。5.如权利要求1所述的数据阻隔与特权控制方法，其特征在于，以用户组为单位对阻隔数据进行访问控制的方法如下: O启动应用软件打开阻隔数据后检查阻隔标识校验值； 2)所述阻隔标识校验值检查通过后继续获取数据的防伪密钥； 3)利用所述防伪密钥解密当前数据中的用户标识、用户所属用户组标识以及阻隔类别； 4)检查数据中的用户标识是否与当前访问数据的用户标识一致； 5)若用户标识与当前访问数据的用户标识一致，则解密数据的具体内容当前用户可使用阻隔数据； 6)若数据中的用户标识与当前访问数据的用户标识不一致，则继续检查当前用户是否与数据中的用户处于同一组，如果处于同一组则解密数据原内容，当前用户可使用阻隔数据； 7)若当前用户与数据中的用户不属于同一组，检查当前用户是否对阻隔数据具有特权访问的权限。6.如权利要求1所述的数据阻隔与特权控制方法，其...

【专利技术属性】
技术研发人员：王文宇，苑海彬，刘玉红，吴生东，
申请(专利权)人：中国软件与技术服务股份有限公司，
类型：发明
国别省市：