专利名称:用于监控可移动设备的接入的方法和装置的制作方法
技术领域:
本发明涉及信息安全技术领域,具体涉及一种用于监控可移动设备的接入的方法,以及,一种用于监控可移动设备的接入的装置。
背景技术:
目前,随着可移动设备的普及和方便数据的传送和携带,可移动设备在日常生活与工作中被广泛使用,而在企业中经常会碰到文件泄密的问题,主要泄密的渠道之一就是可移动设备,对于承受不起数据丢失、泄露的企业而言是一个非常大的威胁。为了保护企业内部的重要资料,有些企业会在企业内部使用安全管理软件,在文件创建、编辑的时候强制自动加密,这样文件就只能在企业内部使用;也有些企业会有各种方式管理可移动设备,比如有些企业采取封闭USB接口无法使用可移动设备以达到防止资 料的泄密的目的,但这些做法带来了诸多不便,不能满足企业正常交流信息的需求。因此,本领域技术人员迫切需要解决的技术问题是提供一种用于监控可移动设备的接入的方法和装置,能够准确追踪资料的来源以及去向,防止被病毒感染,提高可移动设备使用的安全性,保证网络信息,尤其是内网网络信息的安全。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种用于监控可移动设备的接入的方法和相应的一种用于监控可移动设备的接入的装置。依据本发明的一个方面,提供了一种用于监控可移动设备的接入的方法,包括在安全控制服务器中预置合法可移动设备信息的列表;所述安全控制服务器用于控制与其相连的客户端的安全,所述合法可移动设备信息的列表中包括允许接入的可移动设备的唯一识别标识;当客户端监控到有可移动设备的接入时,计算所述可移动设备的唯一识别标识;将所述唯一识别标识发送给安全控制服务器,由安全控制服务器判断所述唯一识别标识是否存在于所述合法可移动设备信息的列表中,若是,则允许所述可移动设备的接入;若否,则拒绝所述可移动设备的接入;当允许所述可移动设备的接入时,监控所述可移动设备的写入操作;将所述写入操作的信息发送至安全控制服务器。可选地,所述当客户端监控到有可移动设备的接入时,计算所述可移动设备的唯一识别标识的步骤包括获取所述可移动设备的硬件属性信息;判断所述可移动设备中是否具有特征标识;若是,则从所述可移动设备中提取特征标识;若否,则依据所述硬件属性信息计算特征标识,并将所述特征标识写入可移动设备中;依据所述可移动设备的硬件属性信息和特征标识计算所述可移动设备的唯一识别标识。可选地,所述的方法还包括若将所述特征标识写入可移动设备中的操作失败时,将所述写入操作失败的信息发送至安全控制服务器;所述安全控制服务器依据所述写入操作失败的信息,拒绝所述可移动设备的接入。可选地,所述安全控制服务器预置有可移动设备允许接入的时间区间,所述的方·法还包括判断所述可移动设备是否在所述允许接入的时间区间内接入;若所述可移动设备是在所述允许接入的时间区间内接入,则安全控制服务器允许所述可移动设备的接入;若所述可移动设备不是在所述允许接入的时间区间内接入,则安全控制服务器拒绝所述可移动设备的接入。可选地,所述硬件属性信息包括可移动设备标识,和/或,可移动设备的制造商信息,和/或,可移动设备的空间大小。可选地,所述依据硬件属性信息计算特征标识,并将所述特征标识写入可移动设备中的步骤包括将所述可移动设备标识,以及,硬件属性信息组合为第一字符串;依据所述第一字符串采用消息摘要算法MD5计算所述可移动设备的特征标识;将所述可移动设备的特征标识写入所述可移动设备中。可选地,依据所述可移动设备的硬件属性信息和特征标识计算所述可移动设备的唯一识别标识的步骤包括将所述可移动设备的特征标识,以及,硬件属性信息组合为第二字符串;依据所述第二字符串采用消息摘要算法MD5计算所述可移动设备的唯一识别标识。可选地,所述可移动设备的接入由客户端中的预设驱动进行监控。可选地,所述接入包括可读的接入、可写的接入和非可读可写的接入。据本发明的另一方面,提供了一种用于监控可移动设备的接入的装置,包括预置合法列表模块,位于安全控制服务器,用于控制与其相连的客户端的安全,所述合法可移动设备信息的列表中包括允许接入的可移动设备的唯一识别标识;唯一识别标识计算模块,位于客户端,用于在监控到有可移动设备的接入时,计算所述可移动设备的唯一识别标识;唯一识别标识发送模块,位于客户端,用于将所述唯一识别标识发送给安全控制服务器;唯一识别标识判断模块,位于安全控制服务器,用于判断所述唯一识别标识是否存在于所述合法可移动设备信息的列表中,若是,则调用放行模块,若否,则调用拒绝模块;
放行模块,用于允许所述可移动设备的接入;拒绝模块,用于拒绝所述可移动设备的接入;接入监控模块,位于客户端,用于在允许所述可移动设备的接入时,监控所述可移动设备的写入操作;写入信息发送模块,位于客户端,用于将所述写入操作的信息发送至安全控制服务器。可选地,所述唯一识别标识计算模块包括硬件属性信息获取子模块,用于获取所述可移动设备的硬件属性信息; 特征标识判断子模块,用于判断所述可移动设备中是否具有特征标识;若是,则调用特征标识提取子模块,若否,则调用特征标识计算子模块;特征标识提取子模块,用于从所述可移动设备中提取特征标识;特征标识计算子模块,用于依据所述硬件属性信息计算特征标识,并将所述特征标识写入可移动设备中;唯一识别标识计算子模块,用于依据所述可移动设备的硬件属性信息和特征标识计算所述可移动设备的唯一识别标识。可选地,所述的装置还包括写入失败信息发送模块,位于客户端,用于若将所述特征标识写入可移动设备中的操作失败时,将所述写入操作失败的信息发送至安全控制服务器;拒绝接入模块,位于安全控制服务器,用于依据所述写入操作失败的信息,拒绝所述可移动设备的接入。可选地,所述安全控制服务器预置有可移动设备允许接入的时间区间,所述的装置还包括时间区间判断模块,位于安全控制服务器,用于判断所述可移动设备是否在所述允许接入的时间区间内接入;若是,则调用时间区间内允许接入模块,若否,则调用时间区间内拒绝接入模块;时间区间内允许接入模块,位于安全控制服务器,用于若所述可移动设备是在所述允许接入的时间区间内接入,则允许所述可移动设备的接入;时间区间内拒绝接入模块,位于安全控制服务器,用于若所述可移动设备不是在所述允许接入的时间区间内接入,则拒绝所述可移动设备的接入。可选地,所述硬件属性信息包括可移动设备标识,和/或,可移动设备的制造商信息,和/或,可移动设备的空间大小。可选地,所述特征标识计算子模块包括第一字符串组合单元,用于将所述可移动设备标识,以及,硬件属性信息组合为第
一字符串;第二计算单元,用于依据所述第一字符串采用消息摘要算法MD5计算所述可移动设备的特征标识;特征标识写入单元,用于将所述可移动设备的特征标识写入所述可移动设备中。可选地,所述唯一识别标识计算子模块包括第二字符串组合单元,用于将所述可移动设备的特征标识,以及,硬件属性信息组合为第二字符串;第二计算单元,用于依据所述第二字符串采用消息摘要算法MD5计算所述可移动设备的唯一识别标识。可选地,所述可移动设备的接入由客户端中的预设驱动进行监控。可选地,所述接入包括可读的接入、可写的接入和非可读可写的接入。根据本发明的一种用于监控可移动设备的接入的方法及装置可以通过在安全控制服务器预置合法可移动设备信息的列表中是否存在可移动设备的唯一识别标识来判断是否允许可移动设备的接入,当可移动设备允许接入时监控可移动设备的写操作,由此解决了企业经常会碰到的可移动设备的泄密问题,取得了能够准确追踪资料的来源以及去向,防止被病毒感染,提高可移动设备使用的安全性,保证网 络信息,尤其是内网网络信息的安全的有益效果。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图1示出了根据本发明一个实施例的一种用于监控可移动设备的接入的方法实施例的步骤流程图;图2示出了根据本发明一个实施例的一种用于监控可移动设备的接入的装置实施例的结构框图。
具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。本发明实施例的核心构思之一在于,通过安全控制服务器预置合法可移动设备信息的列表中是否存在可移动设备的唯一识别标识来判断是否允许可移动设备的接入,当可移动设备允许接入时监控可移动设备的写操作,由此能够准确追踪资料的来源以及去向,提高可移动设备使用的安全性,保证网络信息,尤其是内网网络信息的安全。参照图1,示出了本发明的一种用于监控可移动设备的接入的方法实施例的步骤流程图,具体可以包括以下步骤步骤101,在安全控制服务器中预置合法可移动设备信息的列表;所述安全控制服务器用于控制与其相连的客户端的安全,所述合法可移动设备信息的列表中包括允许接入的可移动设备的唯一识别标识;以在安装了私有云客户端的PC (Personal Computer,个人电脑)上应用本发明为例,安装了私有云客户端的PC可以监控文件,防止被病毒感染,同时会和相应的安全控制服务器进行交互,将本地电脑的一些信息发送给安全控制服务器。PC还可以监控是否有新的设备接入,接入设备的类型,是否是可移动设备等。需要说明的是,在本发明实施例,所述安全控制服务器与客户端形成主控与被控的关系,所述安全控制服务器用于控制与其相连的客户端的安全,例如,局域网中的服务器与客户端。在具体实现中,需要在安全控制服务器中预置合法可移动设备信息的列表,所述合法可移动设备信息的列表中包括允许接入的可移动设备的唯一识别标识,用于对比判断是否与接入的可移动设备的唯一识别标识一致,以此判断可移动设备的接入是否合法。步骤102,当客户端监控到有可移动设备的接入时,计算所述可移动设备的唯一识别标识;在本发明的一种优选实施例中,所述可移动设备的接入可以由客户端中的预设驱 动进行监控。通过在客户端安装预设驱动,利用该驱动针对可移动设备的所有的写入操作进行监控。驱动监控到有可移动设备的接入时,将相关信息上抛给应用层。应用层在获取到信息后,向安全控制服务器发送信息查询是否可以接入。在本发明实施例的一种优选示例中,由于私有云客户端是常驻的,所以可以通过消息函数WM_DEVICECHANGE来监控可移动设备的接入与退出,也可以使用驱动来监控。较佳地,如果安全控制服务器查询超时,也可以弹出该可移动设备,避免占用资源。在本发明的一种优选实施例中,所述步骤102可以包括如下子步骤子步骤S11,获取所述可移动设备的硬件属性信息;子步骤S12,判断所述可移动设备中是否具有特征标识;若是,则执行子步骤S13,若否,则执行子步骤S14;子步骤S13,若是,则从所述可移动设备中提取特征标识;子步骤S14,若否,则依据所述硬件属性信息计算特征标识,并将所述特征标识写入可移动设备中;子步骤S15,依据所述可移动设备的硬件属性信息和特征标识计算所述可移动设备的唯一识别标识。当可移动设备接入到安装了私有云客户端的PC时,获取到接入客户端的可移动设备的硬件属性信息以及特征标识,其中,所述硬件属性信息可以包括可移动设备的固有的硬件属性,以及,可移动设备后续加入的硬件属性。可移动设备的特征标识为依据可移动设备的硬件属性信息计算所得的,所述特征标识可以在可移动设备的硬件属性信息上对可移动设备做进一步的标记,而唯一识别标识是依据可移动设备的硬件属性信息和特征标识计算所得的,即使可移动设备的硬件属性信息相同,也不一定允许将该可移动设备接入,以保证网络信息,尤其是企业内网信息的安全。在本发明的一种优选实施例中,所述硬件属性信息可以包括可移动设备标识,和/或,可移动设备的制造商信息,和/或,可移动设备的空间大小。在本发明的一种优选实施例中,所述子步骤S14的步骤可以包括如下子步骤子步骤S21,将所述可移动设备标识,以及,硬件属性信息组合为第一字符串;
子步骤S22,依据所述第一字符串采用消息摘要算法MD5计算所述可移动设备的特征标识;子步骤S23,将所述可移动设备的特征标识写入所述可移动设备中。在具体实现中,当客户端监控到有可移动设备接入后,获取该可移动设备的标识、可移动设备的制造商信息、可移动设备的空间大小并组合成一组字符串,然后采用MD5算法依据该计算出该可移动设备的特征标识。公知的是,MD5 (Message Digest Algorithm,消息摘要算法第五版)为计算机安全领域广泛使用的一种散列函数,其将数据运算为另一固定长度值,将信息压缩成一种保密的格式。例如,可移动设备的标识为5001,可移动设备的制造商信息为爱国者,可移动设备的空间大小为1000000K,可以组合成一组字符串为5001爱国者1000000,将该字符串采用·MD5算法可以计算得到32位的唯一的可移动设备的特征标识为B64D19F84EEEF997453CDD25738C082C,然后将计算所得的特征标识写入该可移动设备中。在本发明的一种优选实施例中,所述步骤102还可以包括如下子步骤若将所述特征标识写入可移动设备中的操作失败时,将所述写入操作失败的信息发送至安全控制服务器;所述安全控制服务器依据所述写入操作失败的信息,拒绝所述可移动设备的接入。较佳地,若将计算所得的特征标识写入可移动设备操作失败,可以由客户端将写入操作失败的信息发送至安全控制服务器,安全控制服务器依据操作失败的信息可以拒绝该可移动设备的接入,进一步了保证网络信息,尤其是内网网络信息的安全。在本发明的一种优选实施例中,所述子步骤S15的步骤可以包括如下子步骤子步骤S31,将所述可移动设备的特征标识,以及,硬件属性信息组合为第二字符串;子步骤S32,依据所述第二字符串采用消息摘要算法MD5计算所述可移动设备的唯一识别标识。例如,可移动设备的标识为5001,可移动设备的制造商信息为爱国者,可移动设备的空间大小为1000000K,可移动设备的特征标识为B64D19F84EEEF997453CDD25738C082C,可以组合成一组字符串为B64D19F84EEEF997453CDD25738C082C 5001 爱国者 1000000,将该字符串采用MD5算法可以计算得到32位的可移动设备的唯一识别标识为45B51AE3C3445170E39801CA9ACD564D。当然,在实际应用中,不限于MD5算法,本领域技术人员还可以以MD5算法为原则,选择其它适当的算法生成可移动设备的特征标识及唯一识别标识,本发明对此不作限制。步骤103,将所述唯一识别标识发送给安全控制服务器,由安全控制服务器判断所述唯一识别标识是否存在于所述合法可移动设备信息的列表中;若是,则执行步骤104,若否,则执行步骤105;步骤104,允许所述可移动设备的接入;步骤105,拒绝所述可移动设备的接入。本发明实施例中利用客户端与安全控制服务器之间的关联关系管理接入客户端的可移动设备。若接入客户端的可移动设备的唯一识别标识存在于安全控制服务器中合法可移动设备信息的列表中,则表示该可移动设备的接入是合法的,则安全控制服务器允许所述可移动设备的接入。若接入客户端的可移动设备的唯一识别标识不存在于安全控制服务器合法可移动设备信息的列表中,则表示该可移动设备的接入是非法的,安全控制服务器拒绝所述可移动设备的接入。在本发明的一种优选实施例中,所述安全控制服务器中还可以预置可移动设备允许接入的时间区间,在这种情况下,所述的方法还可以包括如下步骤判断所述可移动设备是否在所述允许接入的时间区间内接入;若所述可移动设备是在所述允许接入的时间区间内接入,则安全控制服务器允许所述可移动设备的接入;
若所述可移动设备不是在所述允许接入的时间区间内接入,则安全控制服务器拒绝所述可移动设备的接入。通过针对允许接入的可移动设备设置允许接入的时间区间,使得该可移动设备只可以在允许接入的时间区间内才能够在客户端接入并运行,在允许接入的时间区间外则拒绝该可移动设备的接入,以此更进一步保证网络信息,尤其是内网网络信息的安全。在实际中,还可以针对允许接入的可移动设备设置识别名称,方便管理员的识别及后续的管理。在具体实现中,可以设置允许接入的可移动设备为有可读权限的接入,有可写权限的接入,或有非可读可写权限的接入,所述可移动设备依据其对应的权限在客户端中运行。步骤106,当允许所述可移动设备的接入时,监控所述可移动设备的写入操作;步骤107,将所述写入操作的信息发送至安全控制服务器。较佳地,当可移动设备允许接入可正常使用后,安全控制服务器监控该可移动设备的写入操作,并将每一个写入到可移动设备的情况都发给安全控制服务器。写入的操作包括文件保存到可移动设备和从可移动设备保存到本地磁盘的操作,只要对源路径或目标路径是可移动设备的都进行记录并发送给安全控制服务器,这样能够准确追踪资料的来源以及去向,防止被病毒感染,提高了可移动设备使用的安全性。当可移动设备在客户端中的相关操作完成之后,需要退出该可移动设备时,可以通过SetupDiDestroyDeviceInfoList来卸载的,销毁可移动设备信息集合,并且释放所有关联的内存,在ring3 (CPU最低特权级别)上弹出可移动设备,另外也可以使用驱动来进行卸载。需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。参照图2,示出了本发明的一种用于监控可移动设备的接入的装置实施例的结构框图,具体可以包括如下模块预置合法列表模块201,位于安全控制服务器,用于控制与其相连的客户端的安全,所述合法可移动设备信息的列表中包括允许接入的可移动设备的唯一识别标识;唯一识别标识计算模块202,位于客户端,用于在监控到有可移动设备的接入时,计算所述可移动设备的唯一识别标识;
在本发明的一种优选实施例中,所述可移动设备的接入可以由客户端中的预设驱动进行监控。在本发明的一种优选实施例中,所述唯一识别标识计算模块202可以包括如下子模块硬件属性信息获取子模块,用于获取所述可移动设备的硬件属性信息;特征标识判断子模块,用于判断所述可移动设备中是否具有特征标识;若是,则调用特征标识提取子模块,若否,则调用特征标识计算子模块;特征标识提取子模块,用于从所述可移动设备中提取特征标识;
特征标识计算子模块,用于依据所述硬件属性信息计算特征标识,并将所述特征标识写入可移动设备中;唯一识别标识计算子模块,用于依据所述可移动设备的硬件属性信息和特征标识计算所述可移动设备的唯一识别标识。在本发明的一种优选实施例中,所述的装置还可以包括如下模块写入失败信息发送模块,位于客户端,用于若将所述特征标识写入可移动设备中的操作失败时,将所述写入操作失败的信息发送至安全控制服务器;拒绝接入模块,位于安全控制服务器,用于依据所述写入操作失败的信息,拒绝所述可移动设备的接入。在本发明的一种优选实施例中,所述安全控制服务器预置有可移动设备允许接入的时间区间,所述的装置还可以包括如下模块时间区间判断模块,位于安全控制服务器,用于判断所述可移动设备是否在所述允许接入的时间区间内接入;若是,则调用时间区间内允许接入模块,若否,则调用时间区间内拒绝接入模块;时间区间内允许接入模块,位于安全控制服务器,用于若所述可移动设备是在所述允许接入的时间区间内接入,则允许所述可移动设备的接入;时间区间内拒绝接入模块,位于安全控制服务器,用于若所述可移动设备不是在所述允许接入的时间区间内接入,则拒绝所述可移动设备的接入。在本发明的一种优选实施例中,所述硬件属性信息可以包括可移动设备标识,和/或,可移动设备的制造商信息,和/或,可移动设备的空间大小。在本发明的一种优选实施例中,所述特征标识计算子模块可以包括如下单元第一字符串组合单元,用于将所述可移动设备标识,以及,硬件属性信息组合为第
一字符串;第二计算单元,用于依据所述第一字符串采用消息摘要算法MD5计算所述可移动设备的特征标识;特征标识写入单元,用于将所述可移动设备的特征标识写入所述可移动设备中。在本发明的一种优选实施例中,所述唯一识别标识计算子模块可以包括如下单元第二字符串组合单元,用于将所述可移动设备的特征标识,以及,硬件属性信息组合为第二字符串;第二计算单元,用于依据所述第二字符串采用消息摘要算法MD5计算所述可移动设备的唯一识别标识。唯一识别标识发送模块203,位于客户端,用于将所述唯一识别标识发送给安全控制服务器;唯一识别标识判断模块204,位于安全控制服务器,用于判断所述唯一识别标识是否存在于所述合法可移动设备信息的列表中,若是,则调用放行模块205,若否,则调用拒绝模块206 ;放行模块205,用于允许所述可移动设备的接入;拒绝模块206,用于拒绝所述可移动设备的接入。
在本发明的一种优选实施例中,所述接入可以包括可读的接入、可写的接入和非可读可写的接入。接入监控模块207,位于客户端,用于在允许所述可移动设备的接入时,监控所述可移动设备的写入操作;写入信息发送模块208,位于客户端,用于将所述写入操作的信息发送至安全控制服务器。对于图2的装置实施例而言,由于其与图1的方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式
的权利要求书由此明确地并入该具体实施方式
,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种用于监控可移动设备的接入的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中, 不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
权利要求
1.一种用于监控可移动设备的接入的方法,包括 在安全控制服务器中预置合法可移动设备信息的列表;所述安全控制服务器用于控制与其相连的客户端的安全,所述合法可移动设备信息的列表中包括允许接入的可移动设备的唯一识别标识; 当客户端监控到有可移动设备的接入时,计算所述可移动设备的唯一识别标识; 将所述唯一识别标识发送给安全控制服务器,由安全控制服务器判断所述唯一识别标识是否存在于所述合法可移动设备信息的列表中,若是,则允许所述可移动设备的接入;若否,则拒绝所述可移动设备的接入; 当允许所述可移动设备的接入时,监控所述可移动设备的写入操作; 将所述写入操作的信息发送至安全控制服务器。
2.如权利要求1所述的方法,所述当客户端监控到有可移动设备的接入时,计算所述可移动设备的唯一识别标识的步骤包括 获取所述可移动设备的硬件属性信息; 判断所述可移动设备中是否具有特征标识; 若是,则从所述可移动设备中提取特征标识; 若否,则依据所述硬件属性信息计算特征标识,并将所述特征标识写入可移动设备中; 依据所述可移动设备的硬件属性信息和特征标识计算所述可移动设备的唯一识别标识。
3.如权利要求1或2所述的方法,还包括 若将所述特征标识写入可移动设备中的操作失败时,将所述写入操作失败的信息发送至安全控制服务器; 所述安全控制服务器依据所述写入操作失败的信息,拒绝所述可移动设备的接入。
4.如权利要求1或2所述的方法,所述安全控制服务器预置有可移动设备允许接入的时间区间,所述的方法还包括 判断所述可移动设备是否在所述允许接入的时间区间内接入; 若所述可移动设备是在所述允许接入的时间区间内接入,则安全控制服务器允许所述可移动设备的接入; 若所述可移动设备不是在所述允许接入的时间区间内接入,则安全控制服务器拒绝所述可移动设备的接入。
5.如权利要求2所述的方法,所述硬件属性信息包括可移动设备标识,和/或,可移动设备的制造商信息,和/或,可移动设备的空间大小。
6.如权利要求2或5所述的方法,所述依据硬件属性信息计算特征标识,并将所述特征标识写入可移动设备中的步骤包括 将所述可移动设备标识,以及,硬件属性信息组合为第一字符串; 依据所述第一字符串采用消息摘要算法MD5计算所述可移动设备的特征标识; 将所述可移动设备的特征标识写入所述可移动设备中。
7.如权利要求2或5所述的方法,依据所述可移动设备的硬件属性信息和特征标识计算所述可移动设备的唯一识别标识的步骤包括将所述可移动设备的特征标识,以及,硬件属性信息组合为第二字符串; 依据所述第二字符串采用消息摘要算法MD5计算所述可移动设备的唯一识别标识。
8.如权利要求1所述的方法,所述可移动设备的接入由客户端中的预设驱动进行监控。
9.如权利要求1所述的方法,所述接入包括可读的接入、可写的接入和非可读可写的接入。
10.一种用于监控可移动设备的接入的装置,包括 预置合法列表模块,位于安全控制服务器,用于控制与其相连的客户端的安全,所述合法可移动设备信息的列表中包括允许接入的可移动设备的唯一识别标识; 唯一识别标识计算模块,位于客户端,用于在监控到有可移动设备的接入时,计算所述可移动设备的唯一识别标识; 唯一识别标识发送模块,位于客户端,用于将所述唯一识别标识发送给安全控制服务器; 唯一识别标识判断模块,位于安全控制服务器,用于判断所述唯一识别标识是否存在于所述合法可移动设备信息的列表中,若是,则调用放行模块,若否,则调用拒绝模块; 放行模块,用于允许所述可移动设备的接入; 拒绝模块,用于拒绝所述可移动设备的接入; 接入监控模块,位于客户端,用于在允许所述可移动设备的接入时,监控所述可移动设备的写入操作; 写入信息发送模块,位于客户端,用于将所述写入操作的信息发送至安全控制服务器。
11.如权利要求10所述的装置,所述唯一识别标识计算模块包括 硬件属性信息获取子模块,用于获取所述可移动设备的硬件属性信息; 特征标识判断子模块,用于判断所述可移动设备中是否具有特征标识;若是,则调用特征标识提取子模块,若否,则调用特征标识计算子模块; 特征标识提取子模块,用于从所述可移动设备中提取特征标识; 特征标识计算子模块,用于依据所述硬件属性信息计算特征标识,并将所述特征标识写入可移动设备中; 唯一识别标识计算子模块,用于依据所述可移动设备的硬件属性信息和特征标识计算所述可移动设备的唯一识别标识。
12.如权利要求10或11所述的装置,还包括 写入失败信息发送模块,位于客户端,用于若将所述特征标识写入可移动设备中的操作失败时,将所述写入操作失败的信息发送至安全控制服务器; 拒绝接入模块,位于安全控制服务器,用于依据所述写入操作失败的信息,拒绝所述可移动设备的接入。
13.如权利要求10或11所述的装置,所述安全控制服务器预置有可移动设备允许接入的时间区间,所述的装置还包括 时间区间判断模块,位于安全控制服务器,用于判断所述可移动设备是否在所述允许接入的时间区间内接入;若是,则调用时间区间内允许接入模块,若否,则调用时间区间内拒绝接入模块;时间区间内允许接入模块,位于安全控制服务器,用于若所述可移动设备是在所述允许接入的时间区间内接入,则允许所述可移动设备的接入; 时间区间内拒绝接入模块,位于安全控制服务器,用于若所述可移动设备不是在所述允许接入的时间区间内接入,则拒绝所述可移动设备的接入。
14.如权利要求11所述的装置,所述硬件属性信息包括可移动设备标识,和/或,可移动设备的制造商信息,和/或,可移动设备的空间大小。
15.如权利要求11或14所述的装置,所述特征标识计算子模块包括 第一字符串组合单元,用于将所述可移动设备标识,以及,硬件属性信息组合为第一字符串; 第二计算单元,用于依据所述第一字符串采用消息摘要算法MD5计算所述可移动设备的特征标识; 特征标识写入单元,用于将所述可移动设备的特征标识写入所述可移动设备中。
16.如权利要求11或14所述的装置,所述唯一识别标识计算子模块包括 第二字符串组合单元,用于将所述可移动设备的特征标识,以及,硬件属性信息组合为第二字符串; 第二计算单元,用于依据所述第二字符串采用消息摘要算法MD5计算所述可移动设备的唯一识别标识。
全文摘要
本发明公开了一种用于监控可移动设备的接入的方法和装置,其中,所述装置包括预置合法列表模块,位于安全控制服务器;唯一识别标识计算模块,位于客户端;唯一识别标识发送模块,位于客户;唯一识别标识判断模块,位于安全控制服务器;放行模块,用于允许所述可移动设备的接入;拒绝模块,用于拒绝所述可移动设备的接入;接入监控模块,位于客户端,用于在允许所述可移动设备的接入时,监控所述可移动设备的写入操作;写入信息发送模块,位于客户端,用于将所述写入操作的信息发送至安全控制服务器。本发明能够准确追踪资料的来源以及去向,防止被病毒感染,提高可移动设备使用的安全性,保证网络信息的安全。
文档编号G06F21/44GK103023651SQ20121052078
公开日2013年4月3日 申请日期2012年12月6日 优先权日2012年12月6日
发明者李宇 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司