专利名称:一种分发数据安全方法
技术领域:
本发明涉及一种信息安全领域,具体涉及一种分发数据安全方法。
背景技术:
目前,为了满足分发数据安全的需求,数据源(数据持有单位)对分发给其他单位的数据加以有效控制,但众多解决方案中,存在对用户使用效率影响较大,改变了用户使用习惯,用户体验不好,部署复杂、操作繁琐等缺点。发明内容
本发明的目的是提供一种不影响用户实际使用效率,不改变用户使用习惯,增强了用户体验的分发数据安全方法。
为了达到上述目的,本发明有如下技术方案:
本发明的一种分发数据安全方法,包括:
I)先选择安全磁盘文件存放目录,再填写要建立的安全磁盘大小和安全磁盘盘符,之后创建即可;创建成功后在保存目录下生成一个指定大小的安全磁盘文件,并生成安全磁盘对应的盘符;
2)安全磁盘的数据保护是在开启安全磁盘之时,采用Windows内核的数据保护功能实现,即Windows内核的数据保护驱动将所有对该安全磁盘的写操作,通过Windows文件系统过滤驱动的文件重定向功能,全部重定向到安全磁盘之内,实现对安全磁盘之内数据的保护;
3)根据已确定的数据使用单位的数量,在数据使用单位一方建立经过授权的客户端;
4)数据持有单位通过USB Key设置数据使用单位对数据的使用时间、使用次数的使用权限,设置数据使用单位所使用的计算机网络权限、计算机外部设备的权限;
5)数据持有单位,将受保护数据存放在安全磁盘之内,然后将整个安全磁盘文件分发给数据使用单位;
6)数据使用单位,使用数据持有单位的授权客户端,打开安全磁盘,能正常读写安全磁盘内的数据,而无法将安全磁盘内的数据通过复制、另存为的操作保存到安全磁盘之外。
其中,所述创建是在Windows内核中完成,首先根据安全磁盘的大小生成文件,然后安全磁盘驱动将该文件映射成一个磁盘分区的形式进行读写。
其中,所述安全磁盘在打开状态时,其以一个磁盘分区而存;在关闭状态时,其以一个单独文件存在。
其中,所述计算机外部设备的权限包括禁止使用计算机串口、并口、光驱、软驱、蓝牙、红外、1394和PCMCIA设备或网上邻居、TCP/IP服务。
其中,所述计算机网络权限包括禁止使用因特网或未经授权的局域网。
由于采取了以上技术方案,本发明的优点在于:1、可有效控制数据的安全,使用权限,如使用次数,使用时间。2、不影响用户实际使用效率,大数量的数据尤为突出;3、部署简单,效率高;4、数据分发介质灵活,可以是移动硬盘、U盘或光盘等;5、不改变用户使用习惯,操作简单,用户体验好;6、审计资料全面,方便日后对数据及当事人进行追踪。
具体实施例方式本发明实施时,将数据存放在安全磁盘之内,用户可以正常读写安全磁盘内的数据,而无法将安全磁盘内的数据通过复制、另存为等等操作保存到安全磁盘之外;加之外设控制,以及网络控制,构建起完整的分发数据安全解决方案。所述安全磁盘相当于一个存储数据的加密容器,只有使用经过授权的客户端,才能打开安全磁盘,读写安全磁盘之中的数据。安全磁盘在打开状态时,其以一个磁盘分区而存;在关闭状态时,其以一个单独文件存在。安全磁盘的建立:在建立安全磁盘时,先选择安全磁盘文件存放目录,再填写想要建立的安全磁盘大小和安全磁盘盘符,之后创建即可;整个创建过程实际上是在Windows内核中完成,首先根据安全磁盘的大小生成文件,然后安全磁盘驱动会将该文件映射成一个磁盘分区的形式进行读写;创建成功后在保存目录下生成一个指定大小的安全磁盘文件,并生成安全磁盘对应的盘符;在正常使用安全磁盘之前,先进行格式化。对安全磁盘的操作跟普通分区操作没有任何区别;安全磁盘的数据保护:在开启安全磁盘之时,采用Windows内核技术的数据保护也随之开启,进而保护安全磁盘之内的数据,只能读写在安全磁盘之内进行,而无法通过复制、另存为等操作存储到安全磁盘之外;数据保护驱动会将所有对该安全磁盘的写操作,通过Windows文件系统过滤驱动的文件重定向技术,全部重定向到安全磁盘之内,实现了对安全磁盘之内数据的保护;根据已确定的数据使用单位的数量,在数据使用单位一方建立经过授权的客户端;USB Key:数据持有单位(数据源)设置数据使用单位对数据的使用权限,如使用时间、使用次数等;设置数据持有方计算机网络权限、计算机外部设备等权限;USB用户权限控制:USB Key中存储了数据使用次数、使用时间等控制信息(经过加密),当安全磁盘启动时,首先检测USB Key中的这些控制信息,若这些控制信息已经达到使用次数或使用时间的限制,则安全磁盘将无法启动;依次实现对安全磁盘之内数据的使用时间和使用次数的控制;数据持有单位,即保护数据源,将受保护数据存放在安全磁盘之内,并设置数据的权限(如使用次数,使用时间等),然后将整个安全磁盘文件分发给数据使用方;安全磁盘文件在分发过程中可以用任何介质存储,如移动硬盘,光盘等;
数据使用单位,即对数据进行读写操作方,使用数据持有单位的授权客户端,打开安全磁盘,可以正常读写安全磁盘内的数据,而无法将安全磁盘内的数据通过复制、另存为等等操作保存到安全磁盘之外;加之对计算机外部设备进行有效控制(禁用、过滤、启动等),以及网络控制,构建起来完整的数据保护机制。
所述计算机外部设备控制:
在存储有分发数据(保存在安全磁盘之中)的计算机上,数据保护驱动将会对该计算机可能泄露数据的外部设备或服务采取禁用,如计算机串口、并口、光驱、软驱、蓝牙、红外、1394和PCMCIA设备以及网上邻居、TCP/IP服务的禁用。
所述计算机网络控制:
在存储有分发数据(保存在安全磁盘之中)的计算机上,数据保护驱动将会对该计算机的网络采用禁用策略。但为了满足不影响用户计算机之间的文件共享、传输等工作需求,数据保护模块提供了专用的文件传输工具,来进行文件在计算机之间的网络传输,但传输文件的接收只能被保存在安全磁盘之内。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无法对所有的实施方式予以穷举。凡是属于本发明的技术方案所引伸出的显而易见的变化或变动仍处于本发明的保护范围之列。
权利要求
1.一种分发数据安全方法,其特征在于包括: 1)先选择安全磁盘文件存放目录,再填写要建立的安全磁盘大小和安全磁盘盘符,之后创建即可;创建成功后在保存目录下生成一个指定大小的安全磁盘文件,并生成安全磁盘对应的盘符; 2)安全磁盘的数据保护是在开启安全磁盘之时,采用Windows内核的数据保护功能实现,即Windows内核的数据保护驱动将所有对该安全磁盘的写操作,通过Windows文件系统过滤驱动的文件重定向功能,全部重定向到安全磁盘之内,实现对安全磁盘之内数据的保护; 3)根据已确定的数据使用单位的数量,在数据使用单位一方建立经过授权的客户端; 4)数据持有单位通过USBKey设置数据使用单位对数据的使用时间、使用次数的使用权限,设置数据使用单位所使用的计算机网络权限、计算机外部设备的权限; 5)数据持有单位,将受保护数据存放在安全磁盘之内,然后将整个安全磁盘文件分发给数据使用单位; 6)数据使用单位,使用数据持有单位的授权客户端,打开安全磁盘,能正常读写安全磁盘内的数据,而无法将安全磁盘内的数据通过复制、另存为的操作保存到安全磁盘之外。
2.按照权利要求1所述的一种分发数据安全方法,其特征在于:所述创建是在Windows内核中完成,首先根据安全磁盘的大小生成文件,然后安全磁盘驱动将该文件映射成一个磁盘分区的形式进行读写。
3.按照权利要求1所述的一种分发数据安全方法,其特征在于:所述安全磁盘在打开状态时,其以一个磁盘分区而存;在关闭状态时,其以一个单独文件存在。
4.按照权利要求1所述的一种分发数据安全方法,其特征在于:所述计算机外部设备的权限包括禁止使用计算机串口、并口、光驱、软驱、蓝牙、红外、1394和PCMCIA设备或网上邻居、TCP/IP服务。
5.按照权利要求1所述的一种分发数据安全方法,其特征在于:所述计算机网络权限包括禁止使用因特网或未经授权的局域网。
全文摘要
本发明涉及信息安全领域,本发明公开了一种分发数据安全方法,包括1)安全磁盘的建立;2)安全磁盘的数据保护;3)在数据使用单位一方建立经过授权的客户端;4)数据持有单位通过USBKey设置数据使用单位对数据的使用权限,设置数据使用单位所使用的计算机网络权限、计算机外部设备的权限;5)数据持有单位发给数据使用单位;6)数据使用单位打开安全磁盘,能正常读写安全磁盘内的数据,而无法将安全磁盘内的数据通过复制、另存为的操作保存到安全磁盘之外。本发明不影响用户实际使用效率,不改变用户使用习惯,增强了用户体验。
文档编号G06F12/14GK103150270SQ20121003344
公开日2013年6月12日 申请日期2012年2月15日 优先权日2012年2月15日
发明者曹亚伟 申请人:林善红