备对于不同范围内终端的权限管理策略不同,可根据需要对权限管理策略进行设置。举例来说,对于写入普通标签的移动存储设备A,第一预设范围内的终端对应的权限管理策略可设置为:对移动存储设备A可读、可写,而第二预设范围内的终端对应的权限管理策略可设置为:对移动存储设备A只读、不可写。
[0043]则本步骤中根据移动存储设备的ID和所述标签的权限获得预设的权限管理策略具体为:根据移动存储设备的ID和所述标签的权限获得一个或多个预设范围内的终端对应的一个或多个权限管理策略。
[0044]如此,对移动存储设备写入指定权限的标签,以实现分级权限的控制。
[0045]S2:将该移动存储设备的ID和所述权限管理策略发送给预设范围内的终端,以对所述预设范围内的终端授权。
[0046]具体来说,对于写入上述指定标签的移动存储设备,若存在多个预设范围内的终端对应多个权限管理策略,则本步骤具体为:将该移动存储设备的ID和每个权限管理策略,发送给所述权限管理策略对应的预设范围内的终端,以对所述预设范围内的终端授权。S3:当该移动存储设备接入所述预设范围内的终端时,根据所述权限管理策略对所述移动存储设备进行访问权限的控制。
[0047]具体来说,此步骤需对移动存储设备和终端双方进行认证:移动存储设备得写有指定标签,而写入指定标签的该移动存储设备在终端上需被授权。双方均认证成功后,则进一步根据预设的策略对该移动存储设备的访问进行控制。
[0048]举例来说,所述预设范围包括第一预设范围和第二预设范围,则当该移动存储设备A接入第一预设范围内的终端时,根据该第一预设范围终端对应的权限管理策略(如可读、可写),对移动存储设备的读写进行控制;当该移动存储设备A接入第二预设范围内的终端时,根据该第二预设范围终端对应的权限管理策略(如只读、不可写),对移动存储设备的读与进彳丁控制。
[0049]本实施例提供了一种移动存储设备的访问权限控制方法,通过对移动存储设备写入不同权限的标签,并进一步地对预设范围内的终端授权,以实现预设范围内的终端对加标签的移动存储设备的访问控制,从而灵活地对数据在计算机和移动存储设备之间的交换进行安全管理。
[0050]具体来说,步骤S3具体包括如下子步骤:
[0051]S31:当移动存储设备接入终端时,获取所述移动存储设备的ID和标签。
[0052]S32:根据所述移动存储设备ID,判断写入所述标签的移动存储设备的在该终端上是否被授权。
[0053]S33:若所述移动存储设备在该终端已被授权,则获取所述标签对应的权限管理策略,并根据所述标签的权限及权限管理策略,对该移动存储设备的操作进行管理和控制。
[0054]具体来说,标签的权限不同,对移动存储设备的访问控制也不同,如加密标签需先输入密码,普通标签则不用。
[0055]可理解地,若该移动存储设备在该终端上未被授权,且该终端属于预设的管理范围,则无法对该移动存储设备进行操作。
[0056]需要说明的是,在预设的管理范围内(如公司内部),只有写入标签的移动存储设备才能够在预设的管理范围内使用。
[0057]具体来说,若所述指定权限的标签为加密标签,则步骤SI中所述对移动存储设备写入指定权限的标签,具体包括:
[0058]对移动存储设备写入加密标签,并将所述移动存储设备分为启动区、交互区及保密区。
[0059]进一步地,若所述指定权限的标签为加密标签,步骤S3中所述根据所述权限管理策略对所述移动存储设备进行访问权限的控制,具体包括:
[0060]A01、若写入所述加密标签的移动存储设备在该终端上已被授权,则根据该加密标签对应的权限管理策略,通过密码验证后,对所述移动存储设备的交互区和保密区进行访问控制;
[0061]具体来说,若写入加密标签的移动存储设备在该终端上已被授权,则需输入预设的密码,访问交互区或保密区,并根据预设的权限管理策略对交互区或保密区中的文件的读与进彳丁控制。
[0062]A02、若写入所述加密标签的移动存储设备在该终端上未被授权,则禁止打开读取所述移动存储设备。
[0063]具体来说,若写入加密标签的移动存储设备在该终端上未被授权,则无法打开读取该移动存储设备,更不能访问保密区和交互区。
[0064]本实施例中,若所述指定权限的标签为普通标签,则步骤S3中所述根据所述权限管理策略对所述移动存储设备进行访问权限的控制,具体包括:
[0065]B01、若写入所述普通标签的移动存储设备在该终端上已被授权,则根据该普通标签对应的权限管理策略,对所述移动存储设备进行访问控制;
[0066]如此,在管理区域内,写入普通标签的移动存储设备的读写受到预设策略的限制,以防止重要文件的泄漏。
[0067]B02、若写入所述普通标签的移动存储设备在该终端上未被授权,且该终端属于管理区域外,则允许在该终端对所述移动存储设备进行读写操作。
[0068]由此可见,在管理区域外(如公司外部),写入普通标签的移动存储设备仍可使用,且不对读写进行限制。
[0069]本实施例中,若所述指定权限的标签为干扰标签,则步骤S3中所述根据所述权限管理策略对所述移动存储设备进行访问权限的控制,具体包括:
[0070]C01、若写入所述干扰标签的移动存储设备在该终端上已被授权,则根据该干扰标签对应的权限管理策略,对所述移动存储设备进行访问控制;
[0071]C02、若写入所述干扰标签的移动存储设备在该终端上未被授权,则禁止打开读取所述移动存储设备。
[0072]由此可见,在授权的终端上,写入干扰标签的移动存储设备可正常使用,相当于写入普通标签的移动存储设备;而在未授权的终端上,写入干扰标签的移动存储设备无法使用,相当于写入加密标签的移动存储设备。
[0073]进一步地,该方法还包括如下步骤:
[0074]根据该终端对所述移动存储设备的读写操作生成日志,并将所述日志上传至服务器。
[0075]由此可见,本实施例中通过移动存储管理系统对移动存储设备的访问进行控制,进行移动存储及介质的访问控制权限划分等,并对移动存储设备的所有操作形成日志以供审计。
[0076]由此可见,如图2所示,本实施例中,以数据为中心,用户作为数据的使用者,主机作为数据的存储者,移动存储介质作为数据的迀移者,在系统范围内均赋予唯一的标识,三者进行相互认证。只有经认证和授权成功后,才保证合法的用户在合法的机器上访问合法存储介质上的数据,并形成详尽的日志供审计。
[0077]如图3所示,为本发明另一实施例提供的一种移动存储设备的访问权限控制装置的结构示意图,该装置包括:标签写入单元301、终端授权单元302及访问控制单元303。其中:
[0078]标签写入单元301,用于对移动存储设备写入指定权限的标签,并根据所述移动存储设备的ID和所述标签的权限获得预设的权限管理策略;
[0079]终端授权单元302,用于将该移动存储设备的ID和所述权限管理策略发送给预设范围内的终端,以对所述预设范围内的终端授权;
[0080]访问控制单元303,用于当该移动存储设备接入所述预设范围内的终端时,根据所述权限管理策略对所述移动存储设备进行访问权限的控制。
[0081]其中,标签写入单元301和终端授权单元302可位于服务器中,访问控制单元303可位于客户端中。
[0082]本实施例中,所述访问控制单元303,具体用于:
[0083]当移动存储设备接入终端时,获取所述移动存储设备的ID和标签;
[0084]根据所述移动存储设备ID,判断写入所述标签的移动存储设备的在该终端上是否被授权;
[0085]若所述移动存储设备在该终端已被授权,则获取所