一种文档保护方法、设备以及系统的制作方法
【专利摘要】本发明公开了一种文档保护方法、设备以及系统。该文档保护设备包括:规则管理器,适于维护支持对文档进行保护的应用列表以及各种应用的文档操作规则;以及文档控制器,适于监控计算设备中的应用对文档的操作以及用户在计算设备上的操作,当监控到用户的截屏操作时,判断截屏区域是否包括所述应用列表中的应用所显示的文档内容;如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许获取截屏内容,如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据规则管理器中的相应规则确定是否允许获取截屏内容。本发明降低了文档内容外泄的风险,提高了文档的安全性。
【专利说明】一种文档保护方法、设备以及系统
【技术领域】
[0001] 本发明涉及计算机和互联网领域,具体涉及一种文档保护方法、设备以及系统。
【背景技术】
[0002] 随着计算机技术以及网络技术的普及和发展,丰富的网络数据资源为人们的生活 带来了极大的便利,同时也带来了诸多的困惑。例如,在企业中,员工很容易将一些涉及企 业秘密的文档发送到企业之外,从而导致文档泄密。因此,能够保护文档以防止文档内容外 传的方案随之产生。
[0003] 目前存在的一种保护文档的方案是对文档进行加解密,即在用户的计算机上安装 文档保护客户端,文档以密文方式存储在文档存储器中,让用户需要浏览文档内容时,将加 密的文档内容从文档存储器中读取出来并解密,从而将明文呈现给用户。而当用户对文档 内容进行了修改等之后并进行存储时,文档保护客户端会对该文档内容进行加密,并存储 到文档存储器中。这样即使将该文档从文档存储器复制到外部,该文档也是加密状态,从而 防止了文档内容外泄的风险。
[0004] 在这种方案中,用户并不用关注文档是否被加解密而如寻常一样进行操作,称为 透明加解密方案。这种方案可以很好解决文档内容外泄的问题。
[0005] 然而,这种方案存在的一个问题是,用户在利用应用查看明文方式的内容的同时, 如果利用计算设备进行截屏操作,这很容易可以获得文档的明文内容,并且利用图片的方 式将该文档的内容复制走,由此导致文档泄密。
【发明内容】
[0006] 鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上 述问题的文档保护方法、设备以及系统。
[0007] 根据本发明的一个方面,提供了一种文档保护设备,驻留在计算设备中,该文档保 护设备包括:规则管理器,适于维护支持对文档进行保护的应用列表以及各种应用的文档 操作规则;以及文档控制器,适于监控计算设备中的应用对文档的操作以及用户在计算设 备上的操作,当监控到用户的截屏操作时,判断截屏区域是否包括所述应用列表中的应用 所显示的文档内容;如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允 许获取截屏内容,如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据规 则管理器中的相应规则确定是否允许获取截屏内容。
[0008] 可选地,在根据本发明的文档保护设备中,文档控制器在判断截屏区域是否包括 所述应用列表中的应用所显示的文档内容之前,还判断截屏区域的尺寸是否小于或等于预 定范围,若截屏区域的尺寸小于或等于预定范围,则允许获取截屏内容。
[0009] 可选地,在根据本发明的文档保护设备中,所述预定范围为50X50像素。
[0010] 可选地,根据本发明的文档保护设备还包括加解密模块,耦接到文档控制器;文档 控制器监控到所述应用列表中的应用读取文档内容时,调用加解密模块从计算设备中获取 加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取,当监控到 应用存储文档内容时,调用加解密模块将临时存储空间中的内容进行加密,并存储加密的 文档。
[0011] 可选地,在根据本发明的文档保护设备中,文档控制器在监控到应用对文档的操 作时,从所述规则管理器中获取应用的文档操作规则,并确定该应用是否可以进行该文档 操作。
[0012] 可选地,根据本发明的文档保护设备还包括客户端代理模块,适于与文档保护服 务器进行通信,从文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规 贝1J,并存储到所述规则管理器。
[0013] 可选地,在根据本发明的文档保护设备中,客户端代理模块还适于将所述文档控 制器所监控到的操作记录发送到文档保护服务器。
[0014] 可选地,在根据本发明的文档保护设备中,客户端代理模块还包括身份认证部件, 适于经由和文档保护服务器的通信来对文档保护设备进行认证,并且只允许认证通过的文 档保护设备启动文档控制器进行文档操作。
[0015] 根据本发明的另一方面,提供了一种文档保护方法,适于在计算设备中运行,该文 档保护方法包括:监控计算设备中的应用对文档的操作以及用户在计算设备上的操作,当 监控到用户的截屏操作时,判断截屏区域是否包括支持对文档进行保护的应用列表中的应 用所显示的文档内容;如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则 允许获取截屏内容;以及如果截屏区域包括所述应用列表中的应用所显示的文档内容,则 根据应用的文档操作规则确定是否允许获取截屏内容。
[0016] 可选地,在根据本发明的文档保护方法中,在判断截屏区域是否包括支持对文档 进行保护的应用列表中的应用所显示的文档内容之前,还包括:判断截屏区域的尺寸是否 小于或等于预定范围,若截屏区域的尺寸小于或等于预定范围,则允许获取截屏内容。
[0017] 可选地,在根据本发明的文档保护方法中,所述预定范围为50X50像素。
[0018] 可选地,根据本发明的文档保护方法还包括:监控到所述应用列表中的应用读取 文档内容时,从计算设备中获取加密的文档内容并进行解密,将解密内容放置在临时存储 空间中以供应用读取,当监控到应用存储文档内容时,将临时存储空间中的内容进行加密, 并存储加密的文档。
[0019] 可选地,根据本发明的文档保护方法还包括:在监控到应用对文档的操作时,获取 应用的文档操作规则,并确定该应用是否可以进行该文档操作。
[0020] 可选地,根据本发明的文档保护方法还包括:与文档保护服务器进行通信,从文档 保护服务器获取所述应用列表和文档操作规则。
[0021] 可选地,根据本发明的文档保护方法中还包括:将所监控到的操作记录发送到文 档保护服务器。
[0022] 根据本发明的又一方面,提供了一种文档保护系统,包括文档保护服务器以及一 个或者多个计算设备,与所述文档保护服务器通信连接,并且在计算设备中驻留有根据本 发明的文档保护设备。
[0023] 在根据本发明的文档保护方案中,对用户在计算设备上进行的截屏操作进行控 制,如果截屏区域包括受保护应用所显示的文档内容,则根据相应的文档操作规则确定是 否允许获取截屏内容,如此,能够防止通过截屏方式将要保护的文档内容以明文方式复制 走,从而降低了文档内容外泄的风险,提高了文档的安全性。
[0024] 上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段, 而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够 更明显易懂,以下特举本发明的【具体实施方式】。
【专利附图】
【附图说明】
[0025] 通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通 技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明 的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0026] 图1示出了根据本发明一个实施例的文档保护系统的结构示意图;
[0027] 图2示出了根据本发明一个实施例的文档保护设备的结构示意图;
[0028] 图3示出了根据本发明一个实施例的文档保护方法的流程示意图;以及
[0029] 图4是布置为实现根据本发明的文档保护方法的示例计算设备900的框图。
【具体实施方式】
[0030] 下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开 的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例 所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围 完整的传达给本领域的技术人员。
[0031] 图1示出了根据本发明一个实施例的文档保护系统100的结构示意图。如图1所 示,文档保护系统100包括文档保护服务器110以及一个或者多个通过网络与文档保护服 务器110通信连接的计算设备120。每个计算设备120中均驻留有文档保护设备200 (也可 称为文档保护客户端)。计算设备120可以是本领域任何可以处理电子数据的设备,包括 但不限于桌面型计算机、笔记本式计算机、个人数字助理、智能移动终端和平板电脑等。计 算设备120中通常运行现代的操作系统,利用操作系统来管理计算设备120中的硬件资源。 一般来说,现代的操作系统会划分为用户空间层和内核层。根据本发明的一个实施方式,文 档保护设备200不仅仅在用户空间层运行,而且其还有一部分部件在操作系统的内核层中 运行。
[0032] 文档保护设备200和文档保护服务器110进行通信,从而可以确保在计算设备120 中的特定文档不能在计算设备120之外的其它设备上被查看、修改等。根据一个实施方式, 未安装有文档保护设备200的计算设备120不能打开文档。另外,文档保护服务器110还 可以包括日志存储器112。各个计算设备120中文档保护设备200所监测到的、各个应用对 文档的操作记录都会发送到文档保护服务器110并存储到日志存储器112中。这样,当发 现某个文档被外泄时,可以根据日志存储器112中存储的操作记录来确定有可能是哪个计 算设备120发生了外泄。此外还可以通过对日志存储器112中存储的操作记录进行统计分 析来确定文档被外泄的风险性。
[0033] 文档保护服务器110还可以包括身份认证部件114,适于对各个计算设备处的用 户进行身份认证,从而确保只有认证通过的用户才可以使用计算设备120来进行文档操 作。
[0034] 文档保护服务器110还可以包括规则存储器116,其中存储了应用的文档操作规 贝1J。例如对于一般用户来说,可以使用word字处理应用来浏览和修改word文档,但是不能 打印文档。而对于一般财务人员来说,则可以利用Excel表格处理应用来打开、浏览财务文 档,但是不能浏览开发文档。而对于公司的财务总监来说,对于财务文档具有全部权限。又 例如,对于word字处理应用,用户可以对其打开的word文档进行截屏操作并获取截屏内 容;对于Excel表格处理应用,用户不能通过截屏操作来获取Excel文档内容等。文档保护 服务器110可以根据需要更新规则存储器116中存储的规则,并发送给相应的文档保护设 备200,以便文档保护设备200可以根据该规则来确定文档操作的权限等。
[0035] 另外,规则存储器116中还可以存储文档保护系统中各文档保护设备200所支持 的对文档进行保护的应用列表,以及支持文档保护的格式等。文档保护设备200可以从规 则存储器116获取与自身关联的、支持对文档进行保护的应用列表以及文档操作规则,并 对用户在计算设备上进行的截屏操作进行监测和控制,从而防止通过截屏方式将要保护的 文档内容以明文方式复制走。
[0036] 以下对文档保护设备200的具体构成和工作原理进行详细介绍。图2示出了根据 本发明一个实施例的文档保护设备200的结构示意图。如图2所示,文档保护设备200包 括规则管理器210和文档控制器220。
[0037] 规则管理器210耦接到文档控制器220,并维护支持对文档进行保护的应用列表 以及各种应用的文档操作规则。例如,该应用列表中包括word字处理应用、AutoCAD制图 应用和Excel表格处理应用这3个应用,说明这些应用是支持对文档进行保护的应用(简 称为受保护应用),而记事本(Not印ad)字处理应用不在该应用列表中,则说明其不是支持 对文档进行保护的应用(简称为不受保护应用)。
[0038] 应用的文档操作规则包括应用列表中的各种应用能够进行文档操作的方式,例 如,一些应用只能打开文档而不能编辑等,还有一些应用不能进行打印等。另外,应用的文 档操作规则还可以包括能否支持对应用所显示的文档内容的截屏操作等。可以为所有受 保护应用设置相同的截屏操作规则,也可以为不同的受保护应用设置不同的截屏操作策 略。例如,可以设置允许对word字处理应用打开的word文档进行截屏操作;而不允许对 AutoCAD制图应用打开的AutoCAD文档进行截屏操作等。文档控制器220可以根据规则管 理器210中的规则来控制应用的文档操作权限。
[0039] 截屏操作规则还可以包括对截屏操作控制的力度。也就是说,在进行截屏操作规 则设置中,除了可以设置是否对截屏操作进行控制之外,还可以设置控制的力度,例如,只 禁用〈PrintScreen〉键截屏;又例如,禁用〈PrintScreen〉键以及所有截屏软件截屏。
[0040] 文档保护设备200的该应用列表以及文档操作规则可以从文档保护服务器110, 尤其是文档保护服务器110的规则存储器116中获取。
[0041] 文档控制器220监控计算设备中的各种应用对文档的操作以及用户在计算设备 上的操作。当监控到用户的截屏操作时,判断截屏区域是否包括所述应用列表中的应用所 显示的文档内容。如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许 获取截屏内容。如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据规则 管理器210中的相应规则确定是否允许获取截屏内容,如果规则管理器210中的规则表示 允许对某受保护应用所显示的文档内容进行截屏,则允许获取截屏内容;如果规则管理器 210中的规则表示不允许对某受保护应用所显示的文档内容进行截屏,则不允许获取截屏 内容,例如可以对截屏区域进行黑屏处理。
[0042] 根据本发明的一个实施例,文档控制器220在判断截屏区域是否包括所述应用列 表中的应用所显示的文档内容之前,还判断截屏区域的尺寸是否小于或等于预定范围,若 截屏区域的尺寸小于或等于预定范围,则直接允许获取截屏内容。这样,可以放过计算设备 上的其他应用进行小图标的绘制调用,保证其他应用的程序界面能够正常刷新。其中,所述 预定范围例如可以设置为50X50像素。
[0043] 在一种实现方式中,文档控制器220在用户空间层即应用层中运行,并采用应用 层API HOOK (俗称钩子)技术。当各种应用对文档进行操作或者用户在计算设备上进行各 种操作时,文档控制器220利用API HOOK在应用层的系统API处可以提前截获包括文档打 开、修改、复制、剪切、粘贴、截屏、打印等操作请求,从而可以根据规则管理器210中存储的 文档操作规则进行相应的处理。
[0044] 截屏一般会调用BitBlt ()、StretchBlt ()等函数,文档控制器220通过控制这些 函数,能够获取到截屏的位置和区域,并根据相应的规则来决定是否允许获取截屏内容。如 前所述,当截屏区域小于或等于预定范围(例如,只有50 X 50像素大小时),则直接允许获 取截屏内容。示例性代码如下:
[0045]
【权利要求】
1. 一种文档保护设备,驻留在计算设备中,该文档保护设备包括: 规则管理器,适于维护支持对文档进行保护的应用列表以及各种应用的文档操作规 贝U;以及 文档控制器,适于监控计算设备中的应用对文档的操作以及用户在计算设备上的操 作,当监控到用户的截屏操作时,判断截屏区域是否包括所述应用列表中的应用所显示的 文档内容;如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许获取截 屏内容,如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据规则管理器 中的相应规则确定是否允许获取截屏内容。
2. 如权利要求1所述的文档保护设备,其中,文档控制器在判断截屏区域是否包括所 述应用列表中的应用所显示的文档内容之前,还判断截屏区域的尺寸是否小于或等于预定 范围,若截屏区域的尺寸小于或等于预定范围,则允许获取截屏内容。
3. 如权利要求2所述的文档保护设备,其中,所述预定范围为50X50像素。
4. 如权利要求1、2或3所述的文档保护设备,还包括加解密模块,耦接到文档控制器; 以及 文档控制器监控到所述应用列表中的应用读取文档内容时,调用加解密模块从计算设 备中获取加密的文档内容并进行解密,将解密内容放置在临时存储空间中以供应用读取, 当监控到应用存储文档内容时,调用加解密模块将临时存储空间中的内容进行加密,并存 储加密的文档。
5. 如权利要求4所述的文档保护设备,其中,文档控制器在监控到应用对文档的操作 时,从所述规则管理器中获取应用的文档操作规则,并确定该应用是否可以进行该文档操 作。
6. 如权利要求5所述的文档保护设备,还包括客户端代理模块,适于与文档保护服务 器进行通信,从文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规 贝U,并存储到所述规则管理器。
7. 如权利要求6所述的文档保护设备,其中,所述客户端代理模块还适于将所述文档 控制器所监控到的操作记录发送到文档保护服务器。
8. 如权利要求6所述的文档保护设备,其中,所述客户端代理模块还包括身份认证部 件,适于经由和文档保护服务器的通信来对文档保护设备进行认证,并且只允许认证通过 的文档保护设备启动文档控制器进行文档操作。
9. 一种文档保护方法,适于在计算设备中运行,该文档保护方法包括: 监控计算设备中的应用对文档的操作以及用户在计算设备上的操作,当监控到用户的 截屏操作时,判断截屏区域是否包括支持对文档进行保护的应用列表中的应用所显示的文 档内容; 如果截屏区域不包括所述应用列表中的应用所显示的文档内容,则允许获取截屏内 容;以及 如果截屏区域包括所述应用列表中的应用所显示的文档内容,则根据应用的文档操作 规则确定是否允许获取截屏内容。
10. -种文档保护系统,包括 文档保护服务器;以及 一个或者多个计算设备,与所述文档保护服务器通信连接,并且在计算设备中驻留有 如权利要求1至8中任一项所述的文档保护设备。
【文档编号】G06F21/62GK104408376SQ201410589509
【公开日】2015年3月11日 申请日期:2014年10月28日 优先权日:2014年10月28日
【发明者】李怀秋 申请人:深圳市大成天下信息技术有限公司