专利名称:一种基于权限管控的数据安全操作系统及方法
技术领域:
本发明属于信息安全技术领域,涉及一种数据的安全传输方法,特别是涉及一种基于权限管控的数据安全操作系统及方法。
背景技术:
以计算机、网络和移动存储设备为标志的电子信息化浪潮已经覆盖到社会生活的方方面面,极大的解放了生产力,提高了信息交互的速率和有效性。在信息化全面覆盖的同时,也带来了的安全问题,尤其是信息被非法滥用,例如员工将文档卖给竞争对手,文件被非法窃取等。为解决上述问题,以加密技术为手段的产品逐渐活跃。在加密算法公开化的今天,密钥充当了钥匙和锁的角色,虽然各大厂商都表示加密过后的文件安全性很高,加密产品如何稳定,但是谁也吃不准在通过算法改变了原始数据的情况下,是否会导致在加解
密的转化过程中数据遭到不可逆转的损坏,而且加解密数据时对读写速度的影响也是一个不可避免的事实。可见,在实际实施中存在的加解密速度太慢,破坏文件,不稳定等因素,也进一步预不着保密技术有待于进一步提闻。如何高效地防止机密文件的泄漏,已成为本领域技术人员急需解决的问题。数据安全存在着多个层次,如制度安全、技术安全、运算安全、存储安全、传输安全、产品和服务安全等。对于计算机数据安全来说制度安全治标,技术安全治本,其他安全也是必不可少的环节。数据安全是计算机以及网络等学科的重要研究课题之一。它不仅关系到个人隐私、企业商业隐私;而且数据安全技术直接影响国家安全。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于权限管控的数据安全操作系统及方法,用以实现对数据信息进行操作保护的功能。为实现上述目的及其他相关目的,本发明提供一种基于权限管控的数据安全操作系统及方法。一种基于权限管控的数据安全操作系统,所述基于权限管控的数据安全操作系统包括身份识别设备、客户端、数据采集中心、数据处理中心;所述身份识别设备用以采集预对数据进行操作的用户的身份特征信息;所述客户端与所述身份识别设备相连,用以上传用户的身份特征信息及用户预对数据进行的操作信息;所述数据采集中心存储有全部用户的身份特征信息及其权限;所述数据处理中心与客户端、数据采集中心分别相连,判断所述用户是否有权限执行所述操作信息;若有则允许所述用户通过客户端执行所述操作信息;否则令身份识别设备重新采集用户的身份特征信息。优选地,所述身份识别设备包括指纹识别设备、脸部识别设备、或/和视网膜识别设备。优选地,所述指纹识别设备为一鼠标,所述鼠标上设有指纹扫描模块。一种基于权限管控的数据安全操作方法,所述基于权限管控的数据安全操作方法包括步骤一,客户端上传用户预对数据进行的操作信息;步骤二,数据处理中心判断所述操作信息是否需要权限判定;若不需要则命令客户端直接执行所述操作信息;若需要则执行步骤三;步骤三,身份识别设备采集预对数据进行操作的用户的身份特征信息;步骤四,数据处理中心判断所述用户是否存在;若存在则从数据采集中心调取所述用户的权限;若不存在,则返回执行步骤三;步骤五,数据处理中心判断所述用户是否有权限进行所述操作信息;如有则令客户端执行所述操作信息,并做标记;若没有则返回执行步骤三。
优选地,所述步骤三还包括判断所述身份设备采集针对所述操作信息是否已经采集3次用户的身份特征信息;若是则结束客户端的操作;否则由身份采集设备继续采集。优选地,所述身份识别设备包括指纹识别设备、脸部识别设备、或/和视网膜识别设备;所述身份特征信息包括指纹、脸部特征信息、或/和视网膜特征信息。优选地,所述指纹识别设备为一鼠标,所述鼠标上设有指纹扫描模块。优选地,所述基于权限管控的数据安全操作方法还包括步骤六,数据处理中心将对数据的处理时间、操作行为、操作用户、处理结果以日志的方式上传保存至数据采集中心。优选地,所述基于权限管控的数据安全操作方法还包括创建文件方法,所述创建文件方法包括步骤A,客户端上传创建文件操作信息;步骤B,身份识别设备采集创建文件的用户的身份信息;步骤C,数据处理中心通过数据采集中心判断所述创建文件的用户是否存在;若存在则执行步骤D ;否则将所述创建文件的用户及其身份信息采集存储到数据采集中心,再执行步骤D ;步骤D,客户端输入数据,并将输入数据与所述创建文件的用户的身份信息相关联,构成创建后的新文件。优选地,步骤二所述的需要权限判定的操作信息包括对文件做出增加、删除、更改、查看、截屏、或/和复制。如上所述,本发明所述的基于权限管控的数据安全操作系统及方法,具有以下有益效果本发明采用身份识别设备搜集用户的信息,在对数据操作前进行操作用户的权限判定,符合权限要求的用户才可以执行相应的数据操作,对数据的操作进行管理,实现了对数据的全方位保护。
图I显示为本发明所述的基于权限管控的数据安全操作系统的结构示意图。图2显示为本发明所述的基于权限管控的数据安全操作方法的流程示意图。图3显示为实施例二所述的创建文件方法的流程示意图。元件标号说明
I身份识别设备;2客户端;3数据采集中心;4数据处理中心;11指纹识别设备;12脸部识别设备;13视网膜识别设备。
具体实施例方式以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式
加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。请参阅附图。需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。为了解决现有数据安全的问题,本发明提出一种基于权限管控的数据安全操作系统及方法,其主要是通过身份识别技术,对拥有身份信息的作者制作的数据进行标识,并在增删改查以及传输数据中通过身份标识进行有效的权限管理。由于本发明只是对操作的权限进行管控,不会对数据本身产生改变,也不会由于加解密的数据庞大而影响速度,比较稳定、快捷地解决了数据安全性的问题。 下面结合实施例和附图对本发明进行详细说明。实施例一本实施例提供一种基于权限管控的数据安全操作系统,如图I所示,所述基于权限管控的数据安全操作系统包括身份识别设备I、客户端2、数据采集中心3、数据处理中心4 ;所述身份识别设备I用以采集预对数据进行操作的用户的身份特征信息;所述客户端2与所述身份识别设备I相连,用以上传用户的身份特征信息及用户预对数据进行的操作信息;所述数据采集中心3存储有全部用户的身份特征信息及其权限;所述数据处理中心4与客户端2、数据采集中心3分别相连,判断所述用户是否有权限执行所述操作信息;若有则允许所述用户通过客户端执行所述操作信息;否则令身份识别设备重新采集用户的身份特征信息。进一步,所述身份识别设备I包括指纹识别设备11、脸部识别设备12、或/和视网膜识别设备13。具体地,所述指纹识别设备11为一鼠标,所述鼠标上设有指纹扫描模块。本发明所述的数据安全操作系统中,数据采集中心、数据处理中心、客户端以及适配的身份识别设备缺一不可,身份识别设备是数据安全操作系统的基础,负责搜集用户的信息,并通过数据线将信息不断传送至客户端。在系统运行前要录入相应的身份特征信息以及对应的用户,并保存在数据采集中心里。通过对数据处理中心的设置,凡是符合的操作条件都会触发身份识别设备进行扫描识别,并通过数据处理中心处理后由客户端做出相应的操作。客户端存在进程保护机制,可以防止由于客户端受损而导致系统不生效。本发明采用身份识别设备搜集用户的信息,在对数据操作前进行操作用户的权限判定,符合权限要求的用户才可以执行相应的数据操作,对数据的操作进行管理,实现了对数据的全方位保护。实施例二本实施例提供一种基于权限管控的数据安全操作方法,如图2所示,所述基于权限管控的数据安全操作方法包括SI,客户端上传用户预对数据进行的操作信息。S2,数据处理中心判断所述操作信息是否需要权限判定;若不需要则命令客户端直接执行所述操作信息;若需要则执行步骤S3。具体地,步骤S2所述的需要权限判定的操 作信息包括对文件做出增加、删除、更改、查看、截屏、或/和复制。S3,身份识别设备采集预对数据进行操作的用户的身份特征信息。进一步,所述步骤S3还包括数据处理中心判断所述身份设备采集针对所述操作信息是否已经采集3次用户的身份特征信息;若是则结束客户端的操作;否则由身份采集设备继续采集。进一步,所述身份识别设备包括指纹识别设备、脸部识别设备、或/和视网膜识别设备;所述身份特征信息包括指纹、脸部特征信息、或/和视网膜特征信息。具体地,所述指纹识别设备为一鼠标,所述鼠标上设有指纹扫描模块。S4,数据处理中心判断所述用户是否存在;若存在则从数据采集中心调取所述用户的权限;若不存在,则返回执行步骤S3。S5,数据处理中心判断所述用户是否有权限进行所述操作信息;如有则令客户端执行所述操作信息,并做标记;若没有则返回执行步骤S3。S6,数据处理中心将对数据的处理时间、操作行为、操作用户、处理结果以日志的方式上传保存至数据采集中心。进一步,所述基于权限管控的数据安全操作方法还包括创建文件方法,如图3所示,所述创建文件方法包括步骤A,客户端上传创建文件操作信息;步骤B,身份识别设备采集创建文件的用户的身份信息;步骤C,数据处理中心通过数据采集中心判断所述创建文件的用户是否存在;若存在则执行步骤D ;否则将所述创建文件的用户及其身份信息采集存储到数据采集中心,再执行步骤D ;步骤D,客户端输入数据,并将输入数据与所述创建文件的用户的身份信息相关联,构成创建后的新文件。本实施例所述的基于权限管控的数据安全操作方法的实现系统包括但不限于实施例一所述的基于权限管控的数据安全操作系统。本发明所述的基于权限管控的数据安全操作方法中,客户端负责将指纹识别设备上传的信息传送给数据处理中心分析,并将处理结果作用于客户端;客户端拥有多进程看守功能,防止客户端被强行终止。
所述数据采集中心通过身份识别设备录入身份信息,并将相应的身份信息和身份信息录入者(即用户)通过姓名或者编码的形式关联。所述数据处理中心通过搜集到客户端上传的身份信息和数据采集中心的数据进行对比,将对比结果反馈给客户端执行,并将处理时间、操作行为、操作用户、处理结果等以日志的方式上传到数据采集中心保存;系统功能设置、权限分配的同样需要数据处理中心处理。本发明拥有信息标识和识别、数据访问权限控制、截屏保护、黏贴复制和拖放保护等功能。信息标识和识别是通过身份识别设备将身份信息扫描至客户端并通过客户端上传给数据处理中心处理。在新文件创建时,身份识别设备会采集用户的身份信息,并确认该身份信息存在于数据采集中心后才能输入数据;如果在创建文件时没有扫描到身份信息或者信息不匹配,系统则会弹出提示框,要求对身份信息进行识别;在未得到数据处理中心返回的可录入指令时,无法进行数据的写入;当数据处理中心返回可以录入新用户及其身份信 息的指令时,客户端可以对数据进行写入,并将与写入数据关联的用户信息/代码(或姓名)在属性中以作者的方式标识。其中,数据访问权限控制(即权限管控)是指在对文件做出增、删、改、查等操作的指令时,身份识别设备会将发出指令时扫描到的用户的身份信息通过客户端上传至数据处理中心分析,如果数据所在文件的标识信息显示在该用户执行相应操作的范围之内,即可对该文件执行操作;反之,此文件标识信息在该用户相应操作的范围之外,则限制此时的操作。默认情况下,只有作者本人才对自己创建的文件具有增删改查等所有操作权限,其他用户对该作者制作的文件没有任何操作权限。截屏保护是通过数据处理中心设置,针对客户端或者标识信息(这两个条件也可以同时满足)而言,凡是策略(即截屏保护策略)中对应的客户端或者信息标识的文件被打开,截屏时客户端会将屏幕显示区域变黑,也就无法截取到有效的信息了 ;对于未在策略中对应的客户端或者信息标识的文件,可以正常截屏。黏贴复制和拖放保护同样是通过数据处理中心设置,客户端或者标识信息(这两个条件也可以同时满足)而言,凡是策略(即黏贴复制策略)中对应的客户端或者信息标识的文件内数据,无法复制和拖放。针对个人,也可以对拥有复制黏贴和拖放权限的用户身份进行识别,若扫描符合则可以进行相应的操作。本发明采用身份识别设备搜集用户的信息,在对数据操作前进行操作用户的权限判定,符合权限要求的用户才可以执行相应的数据操作,对数据的操作进行管理,实现了对数据的全方位保护。综上所述,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
权利要求
1.一种基于权限管控的数据安全操作系统,其特征在于,所述基于权限管控的数据安全操作系统包括身份识别设备,用以采集预对数据进行操作的用户的身份特征信息;客户端,与所述身份识别设备相连,用以上传用户的身份特征信息及用户预对数据进行的操作信息;数据采集中心,存储有全部用户的身份特征信息及其权限;数据处理中心,与客户端、数据采集中心分别相连,判断所述用户是否有权限执行所述操作信息;若有则允许所述用户通过客户端执行所述操作信息;否则令身份识别设备重新采集用户的身份特征信息。
2.根据权利要求I所述的基于权限管控的数据安全操作系统,其特征在于所述身份识别设备包括指纹识别设备、脸部识别设备、或/和视网膜识别设备。
3.根据权利要求2所述的基于权限管控的数据安全操作系统,其特征在于所述指纹识别设备为一鼠标,所述鼠标上设有指纹扫描模块。
4.一种基于权限管控的数据安全操作方法,其特征在于,所述基于权限管控的数据安全操作方法包括步骤一,客户端上传用户预对数据进行的操作信息;步骤二,数据处理中心判断所述操作信息是否需要权限判定;若不需要则命令客户端直接执行所述操作信息;若需要则执行步骤三;步骤三,身份识别设备采集预对数据进行操作的用户的身份特征信息;步骤四,数据处理中心判断所述用户是否存在;若存在则从数据采集中心调取所述用户的权限;若不存在,则返回执行步骤三;步骤五,数据处理中心判断所述用户是否有权限进行所述操作信息;如有则令客户端执行所述操作信息,并做标记;若没有则返回执行步骤三。
5.根据权利要求4所述的基于权限管控的数据安全操作方法,其特征在于所述步骤三还包括判断所述身份设备采集针对所述操作信息是否已经采集3次用户的身份特征信息;若是则结束客户端的操作;否则由身份采集设备继续采集。
6.根据权利要求4所述的基于权限管控的数据安全操作方法,其特征在于所述身份识别设备包括指纹识别设备、脸部识别设备、或/和视网膜识别设备;所述身份特征信息包括指纹、脸部特征信息、或/和视网膜特征信息。
7.根据权利要求6所述的基于权限管控的数据安全操作方法,其特征在于所述指纹识别设备为一鼠标,所述鼠标上设有指纹扫描模块。
8.根据权利要求4所述的基于权限管控的数据安全操作方法,其特征在于,所述基于权限管控的数据安全操作方法还包括步骤六,数据处理中心将对数据的处理时间、操作行为、操作用户、处理结果以日志的方式上传保存至数据采集中心。
9.根据权利要求4所述的基于权限管控的数据安全操作方法,其特征在于,所述基于权限管控的数据安全操作方法还包括创建文件方法,所述创建文件方法包括步骤A,客户端上传创建文件操作信息;步骤B,身份识别设备采集创建文件的用户的身份信息;步骤C,数据处理中心通过数据采集中心判断所述创建文件的用户是否存在;若存在则执行步骤D ;否则将所述创建文件的用户及其身份信息采集存储到数据采集中心,再执行步骤D ;步骤D,客户端输入数据,并将输入数据与所述创建文件的用户的身份信息相关联,构成创建后的新文件。
10.根据权利要求9所述的基于权限管控的数据安全操作方法,其特征在于步骤二所述的需要权限判定的操作信息包括对文件做出增加、删除、更改、查看、截屏、或/和复制。
全文摘要
本发明提供一种基于权限管控的数据安全操作系统及方法,该系统包括身份识别设备采集预对数据进行操作的用户的身份特征信息;客户端与身份识别设备相连,上传用户的身份特征信息及用户预对数据进行的操作信息;数据采集中心存储有全部用户的身份特征信息及其权限;数据处理中心与客户端、数据采集中心分别相连,判断用户是否有权限执行操作信息;若有则允许用户通过客户端执行操作信息;否则令身份识别设备重新采集用户的身份特征信息。本发明采用身份识别设备搜集用户的信息,在对数据操作前进行操作用户的权限判定,符合权限要求的用户才可以执行相应的数据操作,对数据的操作进行管理,实现了对数据的全方位保护。
文档编号G06F21/32GK102930194SQ20121035371
公开日2013年2月13日 申请日期2012年9月20日 优先权日2012年9月20日
发明者耿振民, 汪亮 申请人:无锡华御信息技术有限公司