表PT,以执行预定的程序,如后续图4的说明。本领域技术人员应可知,图1中所述DLP模块40的硬件可以依照不同的实施例而有各种变化。亦有其它的内部硬件或外围装置,例如快闪只读存储器(Flash ROM)、等效的非挥发内存、或光驱等等,可以附加或取代图1所示的硬件。
[0069]但在另一实施例中,亦可以应用程序的外挂(plugin)模块在终端20上运作,对此可参考现有网页浏览器或是文书处理程序的外挂模块的运作方式,在此不予赘述。
[0070]以下图4显示一实施例中,DLP模块40尝试解密的方法流程图。需说明的是,以下实施例仅针对单一终端20的单一加密文件的情况加以说明,但应可知,DLP模块40可同时对不同的终端20或是同一终端20的不同文件实施以下图4的流程。
[0071]?步骤400 =DLP模块40从终端20接收或是拦截一加密文件,拦截文件的作法可参考习知的DLP或防火墙机制,在此不予赘述。选择性地,此步骤亦包含辨识出加密文件的元数据,例如文件类型、杂凑值、与文件发送来源的使用者ID等。对此可参考Internat1nal Business Machines Corp.的产品 Security Network Protect1n XGS5000或其它下一代的防火墙产品。
[0072].(选择性)步骤402 =DLP模块40根据所辨识出加密文件的元资料,可先初步判断是否要使用收集密码模块30所收集到的密码来尝试解密(例如可透过加密文件的元数据与收集密码模块30所收集到的密码的元数据之间的比对)。若是,则进行到步骤404进行尝试解密,若否,则进行到步骤450的执行既定规则(policy),例如拒绝将此加密文件传送至外部网络50,或是发送信息要求加密文件的发送者提供密码。
[0073]?步骤404 =DLP模块40以收集密码模块30所收集到的密码(参见图2的流程与图3的密码候选表PT)尝试对在步骤400所接收到的加密文件进行解密。较佳地,步骤404系实时进行,也就是紧接在步骤400之后。
[0074]在此步骤中,若密码候选表PT包含复数组密码,DLP模块40可进一步对密码候选表PT进行整理与排序(sorting)。图3实施例中所示的密码候选表PT根据文件加密的时间先后进行排序,DLP模块40并可计算出各密码使用过的次数并加入至密码候选表PT的字段。在其它实施例中,DLP模块40亦根据使用次数、应用程序名称、文件类型、杂凑值、或使用者ID进行排序。排序的结果即可作为尝试解碼的优先级。
[0075]在另一实施例中,DLP模块40根据加密文件的元数据与收集密码模块30所收集到的每一组密码的元数据之间的比对,计算出每一组密码与加密文件的相符程度,进而来决定尝试解码的优先级。而DLP模块40可视实际情况决定相符程度的计算方式,或是可调整元数据中各项目对于相符程度计算的权重,本发明并不欲加以限制。举例来说,可设定为文件类型比使用者ID贡献较多的相符程度。
[0076]?步骤406:若解密成功则流程结束,若所有密码都无法解密,则进行到步骤450执行既定规则(policy)。
[0077]在不脱离本发明精神或必要特性的情况下,可以其它特定形式来体现本发明。应将所述具体实施例各方面仅视为解说性而非限制性。因此,本发明的范畴如随附申请专利范围所示而非如前述说明所示。所有落在申请专利范围之等效意义及范围内的变更应视为落在申请专利范围的范畴内。
【主权项】
1.一种在企业网络中收集加密文件的解密密码的计算机实施方法,该方法包含: 监视在一终端所执行的应用程序; 因应该终端执行一预定应用程序,开始监视该预定应用程序所进行的程序;以及因应该预定应用程序进行一文件加密程序,开始辨识使用者为该文件加密程序所输入的一密码。
2.如权利要求1所述的方法,其中该辨识步骤更包含:辨识该密码的元数据。
3.—种在企业网络中解密加密文件的计算机实施方法,该方法包含: 从一终端接收一加密文件;以及 尝试以如权利要求1或2所述的方法所取得的该密码对该加密文件进行解密。
4.如权利要求3所述的方法,其中该尝试解密步骤实时(real-time)进行。
5.如权利要求3所述的方法,其中该接收该加密文件步骤更包含:辨识该加密文件的元数据; 其中该尝试解密步骤更包含:藉由判断出该加密文件的元数据与以如权利要求2所述的方法所取得的密码的元数据至少部份相符而选取该密码。
6.如权利要求3所述的方法,其中该尝试解密步骤系包含:以如权利要求1或2所述的方法执行多次所取得的复数组密码,尝试对该加密文件进行解密。
7.如权利要求6所述的方法,其中该接收该加密文件步骤更包含辨识该加密文件的元数据; 其中该尝试解密步骤更包含:根据以如权利要求2所述的方法执行多次所取得的该复数组密码的元数据,决定尝试各组密码的顺序。
8.如权利要求6所述的方法,其中该接收该加密文件步骤更包含辨识该加密文件的元数据; 其中该尝试解密步骤更包含:分别判断出该加密文件的元数据与以如权利要求2所述的方法执行多次所取得的该复数组密码的元数据间的相符程度,以决定尝试各组密码的顺序。
9.如权利要求3所述的方法,更包含: 从另一终端接收另一加密文件;以及 尝试以如权利要求1或2所述的方法所取得的该密码对该另一加密文件进行解密。
10.一种在企业网络中收集加密文件的解密密码的装置,该装置包含: 第一监视部件,监视在一终端所执行的应用程序; 第二监视部件,因应该终端执行一预定应用程序,开始监视该预定应用程序所进行的程序;以及 辨识部件,因应该预定应用程序进行一文件加密程序,开始辨识使用者为该文件加密程序所输入的一密码。
11.如权利要求10所述的装置,其中该辨识装置包含:用于辨识该密码的元数据的部件。
12.—种在企业网络中解密加密文件的装置,该装置包含: 接收部件,从一终端接收一加密文件;以及 解密部件,尝试以如权利要求10或11所述的装置所取得的该密码对该加密文件进行解密。
13.如权利要求12所述的装置,其中该解密部件实时(real-time)进行解密。
14.如权利要求12所述的装置,其中该接收部件包含:用于辨识该加密文件的元数据的部件; 其中该解密部件包含:用于藉由判断出该加密文件的元数据与如权利要求11所述的装置所取得的密码的元数据至少部份相符而选取该密码的部件。
15.如权利要求12所述的装置,其中该解密部件包含:以如权利要求10或11所述的装置所取得的复数组密码尝试对该加密文件进行解密的部件。
16.如权利要求15所述的装置,其中该接收部件包含用于辨识该加密文件的元数据的部件; 其中该解密部件包含:用于根据如权利要求11所述的装置所取得的该复数组密码的元数据决定尝试各组密码的顺序的部件。
17.如权利要求15所述的装置,其中该接收部件包含用于辨识该加密文件的元数据的部件; 其中该解密部件包含:用于分别判断出该加密文件的元数据与如权利要求10所述的装置所取得的该复数组密码的元数据间的相符程度以决定尝试各组密码的顺序的部件。
18.如权利要求12所述的装置,更包含: 用于从另一终端接收另一加密文件的部件;以及 用于尝试以如权利要求10或11所述的装置所取得的该密码对该另一加密文件进行解密的部件。
【专利摘要】本发明公开了一种企业网络中解密加密文件的计算机实施方法,包含:收集密码模块辨识在终端进行一文件加密程序所输入的一密码,并储存该密码;数据外泄保护模块接收一加密文件;以及该数据外泄保护模块尝试以该密码对该加密文件进行解密。
【IPC分类】H04L29-06
【公开号】CN104683287
【申请号】CN201310610833
【发明人】蔡亚轩, 余盈鋐
【申请人】国际商业机器公司
【公开日】2015年6月3日
【申请日】2013年11月26日