专利名称:对文档的操作进行控制的方法和装置的制作方法
技术领域:
本发明涉及数据安全技术领域,尤其涉及一种对文档的操作进行控制的 方法和终端设备。
背景技术:
随着网络的日益发展,网络的安全问题越来越突出。人们往往将注意力 集中在来自外部的攻击,所以花大力气和重金部署网络边界的安全产品,如
防火墙、入侵检测系统(IDS, Intrusion detection system)等。然而,来自网络内 部的非法操作所造成的安全问题同样不可忽视,其中最典型的就是文档外泄。 用户如果在内网私自访问外网,就可能会引发信息安全问题,造成重要数据 外泄,对公司造成重大损失。
现有技术中,微软公司和易安信公司将文档加密软件做成文本文档 (word)、电子文档(pdf)等文档的插件,文档启动的时候加载插件。加栽的插 件主要用于(l)控制文档的菜单,将复制粘贴菜单和按钮设置成灰色,以 阻止复制粘贴操作;(2)禁止Ctrl C, Ctrl V, Ctrl~ X等快捷键操作;(3) 才艮据权P艮控制复制粘贴,如,可修改文档可以将内容全部复制出去,只读文 档不能复制操作,只读可复制文档可以将内容复制进当前受控文档。
在对现有技术的研究和实践过程中,发明人发现现有技术中至少存在如下 缺陷只能将内容复制进受控文档,l旦是不能在受控文档内部进行复制粘贴, 给用户造成不方便。
发明内容
本发明实施例要解决的技术问题是提供一种对文档的操作进行控制的方 法和终端设备。能够提高文档的安全性,提高用户体验。
为解决上述技术问题,本发明实施例是通过以下技术方案实现的 本发明实施提供了 一种对文档的操作进行控制的方法,包括 截获复制操作,将剪贴板的数据复制并保存到当前受控文档进程的内存
4空间,并将所述剪贴板上的内容设置为空信息;
截获粘贴操作,当所述粘贴操作满足预设的权限时,通过所述粘贴操作
将所述内存空间中的数据粘贴到当前受控文档。
本发明实施例还提供了 一种终端设备,所述终端设备包括
复制单元,用于截获复制操作,将剪贴板的数据复制并保存到当前受控
文档进程的内存空间;
设置单元,用于将所述剪贴板上的内容设置为空信息;
判断单元,用于截获粘贴操作,对所述粘贴操作的权限进行判断,获得
判断结果;
粘贴单元,用于所述判断单元的判断结果为所述粘贴操作满足预设的权 限时,则通过所述粘贴操作将所述内存空间中的数据粘贴到当前受控文档。
以上技术方案具有以下优点通过将剪贴板的数据保存到当前受控文档 进程的内存空间,并将所述剪贴板上的内容设置为空信息,当粘贴操作符合 预设的权限时,则将通过粘贴操作将当前进程的内存空间中的数据粘贴到当 前受控文档,从而可在受控文档内部进行复制粘贴,提高用户体验。
图l是本发明实施例一提供的对文档的操作进行控制的方法流程图; 图2是本发明实施例二提供的对文档的操作进行控制的方法流程图; 图3是本发明实施例三提供的终端设备的装置示意图; 图4是本发明实施例四提供的终端设备的装置示意图。
具体实施例方式
发明人提出了一种对文档的操作进行控制的方法和终端设备,当对受控 文档中的内容进行复制4喿作时,将剪贴板的内容复制进当前受控文档进程的 内存空间,然后对当前受控文档进程的内存空间中的数据进行加密,并将剪 贴板上的内容设置为空信息。当执行粘贴操作时,根据粘贴操作的权限控制 粘贴操作。从而方便用户对原文档的复制和粘贴操作,同时保证文档的安全 性。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一、
参见图1 ,为本发明实施例一提供的对文档的操作进行控制的方法流程
图,所述对文档的操作进行控制的方法包括 S101:截获复制操作。
S102:将剪贴板的数据复制并保存到当前受控文档进程的内存空间。 S103:将剪贴板上的内容设置为空信息;
具体的,可采用将剪贴板上的数据替换为空格的方式或将剪贴板上的数 据删除的方式,将剪贴板上的内容设置为空信息。
S104:截获粘贴操作;
S105:当所述粘贴操作满足预设的权限时,通过所述粘贴操作将所述内 存空间中的数据粘贴到当前受控文档。
本实施例具有以下技术效果可以根据权限控制受控文档内部的复制粘 贴操作,对于不满足预设权限的粘贴操作,设置剪贴板的数据为空信息,无 法将内容粘贴出去,但可在受控文档内部进行复制粘贴,提高用户体验。
实施例二、
参见图2,为本发明实施例二提供的对文档的操作进行控制的方法流程 图,所述对文档的操作进行控制的方法包括
S201:终端设备截获复制操作。在具体的实施过程中,首先需要在终端 安装文档加密软件。安装完成后,桌面右键菜单会增加"制作加密文件"菜 单,将鼠标移到需要保护的文档上,如将鼠标移到xx.doc文档上,点击右键菜 单,选择制作加密文档,加密后xx.doc文件变成xx.dsm文件。由于安装文档力口 密软件时,在操作系统做了文件关联,因此打开加密文档(如xx.dsm文档) 时,会启动文档加密软件,此文档加密软件注册操作系统窗口全局钩子,钩 住操作系统窗口 (hook windows)复制操作的相关函数如Set Clipboard Data
6函数和Get Clipboard Data函数,并对所有复制才喿作进行过滤。
S202:终端设备将剪贴板的数据复制并保存到当前受控文档进程的内存 空间中。 一般进程的内存空间有2G。
S203:终端设备将剪贴板上的内容设置为空信息。具体的,可釆用将剪 贴板上的数据替换为空格的方式或将剪贴板上的数据删除的方式,将剪贴板 上的内容设置为空信息。
S204:终端设备截获粘贴操作,判断该粘贴操作是否为当前受控文档进 程,如果是,执行S205;否则,执行S206。
S205:终端设备通过粘贴操作将当前进程的内存空间中的数据粘贴到当 前受控文档。例如,调用操作系统窗口的Set Clipboard Data (UINT uFormat, Handle hMem)函数,对此函数的Handle hMem参数赋值,使得函数指向的内 存地址为保存在当前受控文档进程的内存空间中的数据的地址,从而将数 据粘贴到当前受控文档中。
S206:终端设备进一步判断是否为除当前受控文档外的受控文档进程, 如果是,执行S207;否则,执行S203。
S207:终端设备根据预设条件判断是否允许粘贴操作,如果是,执行S205; 否则,进入S203。
其中,上述预设的条件根据具体情况设定,如规定aa.dsm文件具有复制粘 贴cc.dsm文件中内容的权限。
本实施例中,不管是office、 pdf、 cad、图片等等,都支持本文档本进程 复制粘贴,但是拷贝不出去。例如,在受保护的word文档里面,点击右键(或 者Ctrl + c快捷键)对文档中选中的内容"aa"进行复制;然后向打开的其他 文档如txt文件、word文件、email邮箱等粘贴内容,结果粘贴不到任何内容; 在受保护的word文档里面进行粘贴操作,可以粘贴"aa"。
本实施例中,剪贴板的数据始终只有一份,所以不影响操作系统正常的 复制粘贴操作;并且office剪贴板基于windows剪贴板,采用该实施例,在office 剪贴^反中看不到任何揭:作的痕迹。
本实施例具有以下技术效果可以根据权限控制受控文档内部的复制粘贴操作,对于不满足预设权限的粘贴操作,设置剪贴板的数据为空格,无法 将内容粘贴出去。
实施例三、
该实施例相对于实施例一而言,S202之后,还可以包4舌如下过程
终端的文档加密软件对保存在当前受控文档进程的内存空间中的数据进 4亍力o密,进4亍内存^f呆护。
相应的,在S205之前,还包括
对保存在当前受控文档进程的内存空间中的数据进行解密。
该实施例相对于实施例一或实施二而言,具有如下优点当第三方石皮解 程序注入受控文档进程,获取的内容是加密的,无法识别。从而防止了受控 文档的数据不外泄。
下面基于具体场景对本发明实施例提供的,对文档的操作进行控制的方 法进行详细描述
场景一、打开受控文档如孩i软的文本文挡(Microsoftword),在本文档内 进行复制内容才喿作,然后将内容复制到其他非受控文档,复制内容为空,无 法复制出去。
基于场景一的实施方式安装文档加密软件,对某aa.doc进行加密,加密 后aa.doc文件变成aa.dsm文件,由于安装文档加密软件时,在操:作系统^故了文 件关联,所以点击打开aa.dsm文档的时候会启动文档加密软件,选中保护文档 中的内容进行复制,复制操作被文档加密软件截获,文档加密软件替换剪贴 板内容,对剪贴板内容复制,并且保存至当前受控文档进程的内存空间;在 其他文档如xx.txt或者xx.doc进行粘贴的时候,粘贴操作被文档加密软件截获, 文档加密软件经过过滤判断为非受控文档进程,不传递数据,非受控文档进 程无法粘贴到复制的内容。
场景二、打开受控文档如Microsoft Word,在当前受控文档内进行复制内 容操作,然后将内容粘贴到当前受控文档,可以正常复制粘贴。
基于场景二的实施方式安装文档加密软件,对某aa.doc进行加密,加密
8件,由于安装文档加密软件时,在操作系统做了文 件关联,所以点击打开aa.dsm文档的时候会启动文档加密软件,选中保护文档 中的内容进行复制,复制操作被文档加密软件截获,文档加密软件将剪贴板 内容替换为空格,对剪贴板内容复制并且保存至当前受控文档进程的内存空 间;在当前受控文档进行粘贴的时候,粘贴操作被文档加密软件截获,文档 加密软件经过过滤判断为当前受控文档进程,传递正确解密数据,当前受控 文档粘贴到复制的内容。
场景三、打开受控文档如Microsoft Word,在当前受控文档内进4亍复制内 容操作,然后将内容复制到的其他受控文档,通过预设的条件来判断是否可 以复制粘贴,该预设的条件根据具体情况设定,如规定aa.dsm文件具有复制粘 贴cc.dsm文件中内容的权限。
基于场景三的实施方式安装文档加密软件,对某aa.doc进行加密,加密 后aa.doc文件变成aa.dsm文件,由于安装文档加密软件时,在操作系统做了文 件关联,所以点击打开aa.dsm文档的时候会启动文档加密软件,选中保护文档 中的内容进行复制,复制操作被文档加密软件截获,文档加密软件替换剪贴 板内容,对剪贴板内容复制并且保存至当前受控文档进程的内存空间;在其 他受控文档如bb.dsm进行粘贴的时候,粘贴操作被文档加密软件截获,文档 加密软件经过过滤判断为非aa.dsm文档,不传递数据,其他受控文档无法粘贴 到复制的内容。
场景四、用第三方破解程序来注入当前受控文档进程,获取的复制内容 是加密的,无法识别,避免了当前受控文档的数据的外泄。
基于场景四的实施方式安装文档加密软件,对某aa.doc进行加密,加密 后aa.doc文件变成aa.dsm文件,由于安装文档加密软件时,在操作系统做了文 件关联,所以点击打开aa.dsm文档的时候会启动文档加密软件,选中保护文档 中的内容进行复制,复制操作被文档加密软件截获,文档加密软件替换剪贴 板内容,将剪贴板内容保存到当前受控文档进程的内存空间;并且加密。其
他木马程序注入到当前受控文档进程,进行内存暴力搜索,由于复制内容受 加密保护,因此无法破解获取内容,避免了当前受控文档内容的外泄。
9以上对本发明实施例提供的对文档的操作进行控制的方法进行了描述,下 面对本发明实施例提供的终端设备进行描述。
实施例四、
参见图3,为本发明实施例四提供的终端设备的装置示意图,该终端设备 包括
复制单元301,用于截获复制操作,将剪贴板的数据复制并保存到当前受 控文档进程的内存空间。例如,选择制作加密文档,加密后xx.doc文件变成 xx.dsm文件。由于安装文档加密软件时,在操作系统做了文件关联,因此打 开加密文档(如xx.dsm文档)时,启动复制单元301,此复制单元301注册操 作系统窗^全局钩子,钩住操作系统窗口复制操作的相关函数如Set Clipboard Data函数和Get Clipboard Data函数,并对所有复制才喿作进行过滤, 从而截获复制操作。
设置单元302,用于在复制单元301将剪贴板上的数据复制并保存到当前 受控文档进程的内存空间后,将剪贴板上的数据设置为空信息。
判断单元303,用于截获粘贴操作,对粘贴操作的权限进行判断,获得判 断结果。
粘贴单元304,用于判断单元303的判断结果为粘贴操作满足预设的权限 时,通过所述粘贴才喿作将复制单元301保存在当前进程的内存空间中的数据粘 贴到当前受控文档。例如,粘贴操作截获单元302调用操作系统窗口的Set Clipboard Data( UINT uFormat, Handle hMem )函凄t,只于jt匕函数的Handle hMem 参数赋值,使得函数指向的内存地址为保存在当前受控文档进程的内存空 间中的数据的地址,从而将数据粘贴到当前受控文档中。但是对于不满足预 设权限的粘贴操作,则仍然设置剪贴板的数据为空信息。
其中,判断单元303包括
替换子单元,用于在复制单元301将剪贴^1上的数据复制并保存到当前受 控文档进程的内存空间后,将所述剪贴板上的数据替换为空格;或
删除子单元,用于在复制单元301将剪贴板上的数据复制并保存到当前受 控文档进程的内存空间后,将所述剪贴板上的数据删除。
10其中,判断单元303包括
第一判断子单元,用于判断粘贴操作的上下文属于当前受控文档进程时, 则获得判断结果为粘贴操作满足预设的权限。此时可以在当前受控文档执行 粘贴操作。
其中,判断单元303包括
第二判断子单元,用于判断所述粘贴操作的上下文属于非受控文档进程 时,则获得判断所述粘贴操作不满足预设的权限。 其中,判断单元303包括
第三判断子单元,用于判断所述粘贴操作的上下文属于除当前受控文档 进程外的受控文档进程,则根据预设条件判断是否允许粘贴操作,如果是, 获得判断结果为所述粘贴操作满足预设的权限;否则,获得判断结果为所述 粘贴操作不满足预设的权限。
本实施例具有以下技术效果可以根据权限控制受控文档内部的复制粘 贴操作,对于不满足预设权限的粘贴操作,设置剪贴板的数据为空格,无法 将内容粘贴出去。
实施例五、
参见图4,为本发明实施例五提供的终端设备的装置示意图,在实施例三 提供的终端设备的基础上,本实施例提供的终端设备还包括
加密单元401,用于对复制单元401保存在当前受控文档进程的内存空间 中的数据进行加密,做内存保护。
解密单元402,用于判断单元402判断粘贴操作满足预设的权限时,对保 存在当前进程的内存空间中的数据进行解密。
本实施例相对于实施例四提供的终端设备而言,具有如下优点当第三 方破解程序注入受控文档进程,获取的内容是加密的,无法识别。从而防止 了受控文档的lt据不外泄。
以上实施例具有以下技术效果可以控制用户的复制粘贴操作,允许在 受控文档内部进行复制粘贴;控制在受控文档间的复制粘贴;控制受控文档 和非受控文档间的复制粘贴。方^_用户对当前受控文档的复制粘贴才喿作,同时保证文档的安全性。
是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机 可读存储介质中。
上述提到的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。
以上对本发明实施例进行了详细介绍,本文中应用了具体个例对本发明 的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明 的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思 想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内 容不应理解为对本发明的限制。
权利要求
1、一种对文档的操作进行控制的方法,其特征在于,包括截获复制操作,将剪贴板的数据复制并保存到当前受控文档进程的内存空间,并将所述剪贴板上的内容设置为空信息;截获粘贴操作,当所述粘贴操作满足预设的权限时,通过所述粘贴操作将所述内存空间中的数据粘贴到当前受控文档。
2、 根据权利要求l所述的方法,其特征在于,并将所述剪贴板上的内容 设置为空信息,具体包括将所述剪贴板上的数据替换为空格;或 将所述剪贴板上的数据删除。
3、 根据权利要求l所述的方法,其特征在于,所述将将剪贴板的数据复 制并保存到当前受控文档进程的内存空间之后,还包括对保存在所述内存空间中的数据进行加密;相应的,通过所述粘贴操作将所述内存空间中的数据粘贴到当前受控文 档之前,还包括对所述内存空间中的数据进行解密。
4、 根据权利要求l所述的方法,其特征在于,所述粘贴操作满足预设的 权限,包括若所述粘贴操作的上下文属于当前受控文档进程时,则判断所述粘贴操 作满足预设的权限。
5、 根据权利要求l所述的方法,其特征在于,所述粘贴操作满足预设的 权限,包括若所述粘贴操作的上下文属于除当前受控文档进程外的受控文档进程, 则根据预设条件判断是否允许粘贴操作,如果是,判断所述粘贴操作满足预 设的权限;否则,判断所述粘贴操作不满足预设的权限。
6、 一种终端设备,其特征在于,所述终端设备包括复制单元,用于截获复制操作,将剪贴板的数据复制并保存到当前受控 文档进程的内存空间;设置单元,用于将所述剪贴板上的内容设置为空信息;判断单元,用于截获粘贴操作,对所述粘贴操作的权限进行判断,获得判断结果;粘贴单元,用于所述判断单元的判断结果为所述粘贴操作满足预设的权 限时,通过所述粘贴4喿作将所述内存空间中的凄丈据粘贴到当前受控文档。
7、 根据权利要求要求7所述的装置,其特征在于,所述设置单元包括 替换子单元,用于将所述剪贴板上的数据替换为空格;或 删除子单元,用于将所述剪贴板上的数据删除。
8、 根据权利要求6所述的终端设备,其特征在于,所述终端设备还包括 加密单元,用于对保存在所述内存空间中的数据进行加密; 解密单元,用于所述粘贴操作截获单元判断所述粘贴操作满足预设的权限时,对所述内存空间中的数据进行解密。
9、 根据权利要求7所述的终端设备,其特征在于,所述判断单元包括第一判断子单元,用于判断所述粘贴#:作的上下文属于当前受控文档进程时,则获得判断结果为所述粘贴操作满足预设的权限。
10、 根据权利要求7所述的终端设备,其特征在于,所述判断单元包括 第二判断子单元,用于判断所述粘贴操作的上下文属于非受控文档进程时,则获得判断所述粘贴操作不满足预设的权限。
11、 根据权利要求7所述的终端设备,其特征在于,所述判断单元包括 第三判断子单元,用于判断所述粘贴操作的上下文属于除当前受控文档进程外的受控文档进程,则根据预设条件判断是否允许粘贴操作,如果是, 获得判断结果为所述粘贴操作满足预设的权限;否则,获得判断结果为所述 粘贴操作不满足预设的权限。
全文摘要
一种对文档的操作进行控制的方法和终端设备。该方法包括截获复制操作,将剪贴板的数据复制并保存到当前受控文档进程的内存空间,并将所述剪贴板上的内容设置为空信息;截获粘贴操作,对所述粘贴操作的权限进行判断,当所述粘贴操作满足预设的权限时,通过所述粘贴操作将所述内存空间中的数据粘贴到当前受控文档。通过本发明,能够允许在受控文档内部的复制粘贴,提高用户体验。
文档编号G06F21/00GK101441622SQ200810189138
公开日2009年5月27日 申请日期2008年12月29日 优先权日2008年12月29日
发明者健 俞 申请人:成都市华为赛门铁克科技有限公司