一种数据阻隔与特权控制的方法及系统的制作方法
【专利摘要】本发明涉及一种数据阻隔与特权控制方法及系统,由数据阻隔与特权控制的管理平台进行规则管理,并在客户端上实现的方法为:1)以用户和/或用户组为单位对待阻隔数据进行阻隔,并通过加密和阻隔标识后得到阻隔数据;2)识别阻隔数据的阻隔标识,对带有阻隔标识的阻隔数据进行用户访问控制;3)在用户访问阻隔数据时,根据设定的特权访问范围识别当前用户是否属于特权用户或特权组;4)根据特权用户和/或特权组对阻隔数据进行访问或访问阻隔。本发明阻隔是自动、实时的在后台完成的,不需要用户手动参与,不需要经过二次转化,保持了原数据的所有格式和属性,不会因格式丢失而给用户的使用带来困扰。
【专利说明】一种数据阻隔与特权控制的方法及系统
【技术领域】
[0001]本发明涉及企业内部数据的阻隔,以及对阻隔数据的特权访问控制,属于信息安全领域。
【背景技术】
[0002]随着信息化的深入,电子文档已成为企业关键资产的主要载体。对这些电子化的数据进行安全保护,这一观点已经在企业中达成共识。一般情况下,企业会选择数据防泄密的安全软件,对数据进行安全保护。利用数据防泄密的方式保护数据,主要的防护重点是防止数据泄漏到企业外部,但对于企业内部不同用户或不同部门的数据的使用,无法进行快速、准确的管理和控制。
[0003]目前,对企业内部的数据的控制,具有如下不足:1)只控制数据不泄漏到企业外部,数据在企业内部无任何限制,越权访问的问题无法遏制;2)对企业内部的数据控制,由个人进行约束,比如用户本人主动控制数据不被企业内部其他人访问。此方式受用户本人的安全意识的制约,不能防止用户本人有意或无意的交叉泄密;3)对企业内部的数据控制,采取不同用户具有不同的密钥的方式,密钥需要由管理者指定。通过一用户一密钥的方式,使用户之间无法互相解密,以达到防止越权访问的目的。此方式需要管理者参与密钥的管理,当用户规模较大时,大量密钥将引起管理上的困难;4)对企业内部的数据进行阻隔,需要借助于数据二次转化,将数据转为特定的格式或特定的数据包。这种方式增加了流程,而且数据转化会带来使用上的不方便,甚至造成数据格式或属性的丢失;5)对于一些特殊用户需要使用阻隔数据的场景,缺少特权控制的支持,或者在给特殊用户使用阻隔数据时需要数据转化或用户参与密钥置换,进一步增加系统整体的冗繁程度。
【发明内容】
[0004]针对当前企业内部数据阻隔和特权控制,本发明公开一种敏捷的数据阻隔与特权控制的方法。利用本发明提供的方法和功能,可实现企业内部强制、自动、实时的数据阻隔,并可设置特权用户,在权限可控的前提下对阻隔数据进行访问。
[0005]本发明的技术方案为一种数据阻隔与特权控制方法,其步骤包括:
[0006]I)以用户和/或用户组为单位对待阻隔数据进行阻隔,并通过加密和阻隔标识后得到阻隔数据;
[0007]2)识别所述阻隔数据的阻隔标识,对带有阻隔标识的阻隔数据进行用户访问控制;
[0008]3)在用户访问所述的阻隔数据时,根据设定的特权访问范围识别当前访问的用户属于特权用户或特权组;
[0009]4)根据所述特权用户和/或特权组对阻隔数据进行访问或访问阻隔。
[0010]更进一步,若以用户为单位进行阻隔,则阻隔不同用户间对对方数据的互相访问;若以用户组为单位进行阻隔,则允许在同一组的不同用户对对方数据的互相访问,若处于不同组的用户,则阻隔访问对方的数据。
[0011]更进一步,所述阻隔标识包括:当前用户唯一标识、阻隔类别、防伪密钥以及阻隔标识校验值,所述阻隔类别是标识当前数据是以用户为单位的阻隔或者以用户组为单位阻隔;所述防伪密钥由随机数和当前用户唯一标识、当前用户所属用户组、阻隔类别的哈希值组成;所述阻隔标识校验值由当前用户唯一标识、当前用户所属用户组唯一标识、阻隔类别和防伪密钥的哈希值组成。
[0012]更进一步,以用户为单位对阻隔数据进行访问控制的方法如下:
[0013]I)启动应用软件打开阻隔数据后检查阻隔标识校验值;
[0014]2)所述阻隔标识校验值检查通过后继续获取数据的防伪密钥;
[0015]3)利用所述防伪密钥解密当前数据中的用户标识、用户所属用户组标识以及阻隔类别;
[0016]4)检查数据中的用户标识是否与当前访问数据的用户标识一致;
[0017]5)数据中的用户标识与当前访问数据的用户标识一致,则解密数据的具体内容,当前用户可使用阻隔数据;数据中的用户标识与当前访问数据的用户标识不一致,则检查当前用户是否对阻隔数据具有特权访问的权限。
[0018]更进一步,以用户组为单位对阻隔数据进行访问控制的方法如下:
[0019]I)启动应用软件打开阻隔数据后检查阻隔标识校验值;
[0020]2)所述阻隔标识校验值检查通过后继续获取数据的防伪密钥;
[0021]3)利用所述防伪密钥解密当前数据中的用户标识、用户所属用户组标识以及阻隔类别;
[0022]4)检查数据中的用户标识是否与当前访问数据的用户标识一致;
[0023]5)若用户标识与当前访问数据的用户标识一致,则解密数据的具体内容当前用户可使用阻隔数据;
[0024]6)若数据中的用户标识与当前访问数据的用户标识不一致,则继续检查当前用户是否与数据中的用户处于同一组,如果处于同一组则解密数据原内容,当前用户可使用阻隔数据;
[0025]7)若当前用户与数据中的用户不属于同一组,检查当前用户是否对阻隔数据具有特权访问的权限。
[0026]更进一步,根据设定的特权访问范围对所述阻隔数据进行用户特权权限控制的方法如下:
[0027]I)特权用户启用应用软件打开阻隔数据,获得当前特权用户对阻隔数据的使用权限,包括特权有效的时间段,对数据是否可以修改,是否可以打印;
[0028]2)识别特权用户对数据的特权生效时间,打开在有效时间段内的阻隔数据;
[0029]3)所述特权用户对已经打开的阻隔数据进行修改并保存,保存后识别保存动作检查特权用户的权限是否可以修改此数据;
[0030]4)所述特权用户具有修改数据的权限,则保存在本地的阻隔数据更新;
[0031]5)所述特权用户打印数据,含虚拟打印和/或物理打印;
[0032]6)对打印动作进行识别,检查特权用户的权限是否可以打印此数据。
[0033]更进一步,检查当前用户是否对阻隔数据具有特权访问的权限包括:指定用户对指定用户的特权权限,指定用户对指定组的特权权限,指定组对指定用户的特权权限以及指定组对指定组的特权权限。
[0034]更进一步,对所述阻隔数据设置特权用户,授权可使用阻隔数据的特权用户或特权组,授予特权后当前的特权用户或特权组,对已授权的用户或用户组的阻隔数据具有访问权限;所述特权用户或特权组对已授权的对象所产生的阻隔数据具有使用权限,所述特权用户或特权组对未授权的对象所产生的阻隔数据无使用权限。
[0035]更进一步,所述阻隔数据保持原数据的格式,对所述阻隔数据的特权识别对象为原阻隔数据,不对原阻隔数据进行二次转化。
[0036]本发明还提出一种数据阻隔与特权控制系统,其特征在于,包括:数据阻隔与特权控制的管理平台和客户端,所述数据阻隔与特权控制的管理平台由数据阻隔管理单元组成,所述客户端由数据阻隔识别单元、阻隔访问控制单元、特权权限识别单元、特权访问控制单元组成;
[0037]所述数据阻隔管理单元,用于可指定数据阻隔规则和特权控制规则;
[0038]所述数据阻隔识别单元,根据数据阻隔的规则识别需要进行阻隔的数据,并进行阻隔标识;以用户和/或用户组为单位对待阻隔数据进行阻隔,并通过加密和阻隔标识后得到阻隔数据;
[0039]所述阻隔访问控制单元,对阻隔数据的访问进行控制,防止非法访问;解密所述阻隔数据,并对带有所述阻隔标识的阻隔数据进行用户访问控制;
[0040]所述特权权限识别单元,识别特权用户以及特权用户的权限,识别特权组以及特权组的权限。在用户访问阻隔数据时,根据设定的特权访问范围识别当前用户是否属于特权用户或特权组,以便对所述阻隔数据进行用户特权权限控制;
[0041]所述特权访问控制单元,根据特权控制规则控制阻隔数据的特权访问,并按照特权控制规则所允许的权限进行访问控制;根据所述特权用户和/或特权组对阻隔数据进行访问或访问阻隔。
[0042]通过上述描述可见,本发明可实现如下效果:
[0043]在数据阻隔与特权控制客户端(简称客户端)中,用户通过应用软件使用涉密数据或创建涉密数据时,客户端自动、实时的完成数据的阻隔。阻隔数据保持原数据的所有格式和属性。阻隔数据的访问,受制于数据阻隔规则和特权控制规则,
[0044]具体控制如下:
[0045]对于以用户为单位的阻隔,当前用户所产生的阻隔数据,其他非特权用户无法使用。如果特权控制规则设置某用户具有访问当前用户阻隔数据的特权(即特权用户),则特权用户可以使用当前用户的阻隔数据,但使用权限受特权控制规则所限制的具体权限的约束。首先当前用户有特权使用阻隔的数据,这是前提。可以使用的前提下,如果具体的特权权限是不允许修改,那么特权用户只能看阻隔数据,不能修改。
[0046]对于以组为单位的阻隔,当前用户所产生的阻隔数据,可以由同组内其他用户使用,但其他组的非特权用户无法使用。通过这些安全措施,企业的内部数据可以获得细致的阻隔保护,在阻隔保护的同时,对于一些特殊用户,可赋予其特权,在受限的条件下使用阻隔数据。
[0047]和现有技术相比,本发明的优势在于:[0048]本发明通过阻隔规则和特权规则对数据进行内部的访问控制。数据阻隔不需要管理者参与密钥的管理或置换,不增加企业的管理成本和复杂度。本发明所涉及的密钥,是由系统动态、智能生成并使用的。阻隔是自动、实时的在后台完成的,不需要用户手动参与,不需要经过二次转化,保持了原数据的所有格式和属性,不会因格式丢失而给用户的使用带来困扰。同时,对于一些特殊用户,支持特权控制规则的配置。特权用户可以直接访问阻隔数据,不需要对阻隔数据做任何特殊处理。特权用户在使用阻隔数据时,受到具体的访问权限的控制。本发明在数据阻隔方面实现敏捷化,方便企业管理者对企业整体的安全体系的控制,也方便终端用户的使用。所提供的特权控制,能够灵活的让特权用户具备使用阻隔数据的权限,且权限的控制达到细粒度。
【专利附图】
【附图说明】
[0049]图1是本发明数据阻隔与特权控制系统的一实施例中的组成单元示意图;
[0050]图2是本发明数据阻隔与特权控制方法的一实施例中文档阻隔流程示意图;
[0051]图3是本发明数据阻隔与特权控制方法的一实施例中文档阻隔结构图;
[0052]图4是本发明数据阻隔与特权控制方法的一实施例中用户阻隔规则下文档访问控制流程图;
[0053]图5是本发明数据阻隔与特权控制方法的一实施例中组阻隔规则下文档访问控制流程图;
[0054]图6是本发明数据阻隔与特权控制方法的一实施例中特权权限控制流程图。【具体实施方式】
[0055]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0056]本发明不需要管理员参与密钥的管理或置换,密钥的生成、使用都是由系统动态、智能的执行。管理者只需要配置规则对内部数据进行控制,即通过数据阻隔规则对数据进行阻隔,通过特权控制规则对特殊的访问进行控制,是一种快速、实时的敏捷地数据阻隔和特权控制。同时,对于特权,本发明可以进行权限的细粒度控制,包括可修改控制、是否可打印以及特权生效的时间。通过敏捷的数据阻隔与特权控制,在不增加企业管理成本和管理复杂度的前提下,实现企业内部数据的阻隔与控制,满足企业对防越权访问、防交叉泄密的要求。本发明具有普遍的适应性,既适应于传统PC下的数据阻隔与特权控制,也尤其适应于虚拟化环境(比如Citrix,VMWare都有虚拟化应用,虚拟化桌面的产品)下不同用户的数据阻隔。
[0057]如图1是本发明数据阻隔与特权控制系统的一实施例中组成单元示意图,包括:
[0058]数据阻隔识别单元,根据数据阻隔的规则,识别需要进行阻隔的数据,并进行阻隔标识。
[0059]阻隔访问控制单元,对阻隔数据的访问进行控制,防止非法访问。
[0060]特权权限识别单元,识别特权用户以及特权用户的权限。[0061]特权访问控制单元,根据特权控制规则控制阻隔数据的特权访问,并按照特权控制规则所允许的权限进行访问控制。
[0062]本发明提供了一种敏捷的数据阻隔与特权控制的系统,还包括:
[0063]数据阻隔与特权控制的管理平台上的数据阻隔管理单元,管理员可指定数据阻隔的规则,管理员指定特权控制的规则。
[0064]数据阻隔管理单元,用于配置一系列规则。具体规则包括以用户或用户组为单位进行数据的阻隔和以用户或用户组为单位的特权范围的限定。在不同用户或用户组之间的数据进行阻隔,数据需要阻隔,会带上阻隔标识。使用数据时,阻隔识别单元对这类数据,会先读数据的阻隔标识,根据标识与当前的用户做比较,识别当前用户是否可以访问。阻隔后当前用户或用户组只能访问自己或同组的数据,其他用户或组的数据无法访问。处于特权范围的用户,则对已授权用户的数据具有访问权限,具体特权用户的权限包括是否可修改,是否可以打印以及特权有效时间。
[0065]数据阻隔识别单元,对阻隔数据进行识别。识别对象为原数据,即不需要事先手动对原数据进行二次转换,阻隔数据将保持原数据的格式及其他所有属性特征。
[0066]数据阻隔识别单元,完成原数据的加密和阻隔标识。对原数据加密所用的密钥,由当前用户唯一标识与随机数进行哈希值计算获得,是动态、智能生成的。对数据的阻隔标识,是通过阻隔规则自动、强制设置的,阻隔后的数据,将带有特定的阻隔标识,包括实施阻隔的用户范围及其他安全标识。
[0067]阻隔访问控制单元,是对带有阻隔标识的数据进行访问控制。如果阻隔规则是以用户为单位,则不同用户间不能互相访问对方的数据;如果阻隔规则是以用户组为单位,则处于同一组的不同用户,可以互相访问对方的数据,处于不同组的用户,不可访问对方的数据。
[0068]特权权限识别单元,是对阻隔数据进行访问并且对是否具有特权进行识别。对阻隔数据的特权识别,其识别对象为原阻隔数据,即不需要对原阻隔数据进行二次转化,不需要对阻隔数据再制作特定的数据包,而是通过特权控制规则直接识别对原阻隔数据的特权权限。特权权限识别单元识别的特权范围包括:指定用户对指定用户的特权权限,指定用户对指定组的特权权限,指定组对指定用户的特权权限以及指定组对指定组的特权权限。
[0069]在特权访问控制单元中如果给指定用户赋予特权控制规则,该用户被称为特权用户。如果给指定组赋予特权控制规则,该组被称为特权组。特权用户或特权组可以对已授权的阻隔数据进行访问。数据阻隔以后,用户可以设置特权用户,授权可使用阻隔数据的特权用户或特权组。特权访问控制单元可对阻隔数据进行特殊控制。对于以用户或组为单位的阻隔规则下,不同用户间,不同组间的数据,按照阻隔规则是不可互相访问的。授予特权后,当前的特权用户或特权组,就对已授权的对象(用户或组)的阻隔数据,具有访问权限。具体的访问可进行细粒度的控制,包括是否可修改、打印以及具有特权的时间段。
[0070]本发明提供了基于上述数据阻隔与特权控制的工作方法,工作方法如下:
[0071]管理员通过数据阻隔与特权控制管理平台,设置数据阻隔规则;
[0072]终端用户在数据阻隔与特权控制客户端(简称客户端)中,通过应用软件创建数据,或者访问已存在的数据,将数据自动阻隔;
[0073]如果终端用户将阻隔后的数据传给数据阻隔规则之外的用户,数据接收者无法使用数据;
[0074]如果终端用户将阻隔后的数据传给数据阻隔规则之内的用户,数据接收者可以使用数据;
[0075]管理员通过数据阻隔与特权控制管理平台,设置特权控制规则。如果没有阻隔,任何人之间都可以随便使用对方的数据,也就不需要再配置特权了 ;
[0076]特权用户或特权组对已授权的对象所产生的阻隔数据具有使用权限。特权用户或特权组在使用阻隔数据时,具体的权限受到授权时所指定的权限的约束。特权用户或特权组对未授权的对象所产生的阻隔数据,无使用权限。
[0077]数据阻隔规则是以用户或用户组为单位进行规则制定的,且数据阻隔规则与密钥管理及密钥置换无关。特权控制规则是以用户或用户组为单位进行规则的制定,且特权控制规则与密钥管理及密钥置换无关。
[0078]数据的阻隔由客户端根据阻隔规则自动执行。阻隔后的数据保持原数据的格式,同时带有阻隔特征和标识。执行阻隔的行为过程在后台自动、强制、实时的完成。
[0079]客户端根据阻隔规则,控制用户对数据的使用。客户端在控制阻隔数据的使用时,是通过阻隔标识、当前用户标识、当前用户所属用户组以及阻隔规则等综合因素进行判定的。客户端根据特权控制规则,控制当前用户对数据的使用。客户端在控制阻隔数据的使用时,是通过阻隔标识、当前用户标识、当前用户所属用户组、特权所约束的使用权限等综合因素进行判定的。
[0080]以下结合附图对步骤进行详细的说明。
[0081]将数据阻隔与特权控制的管理平台和客户端,分别安装在不同的计算机中,下面详细说明数据阻隔与特权控制的工作方法。
[0082]第一,设置数据阻隔规则
[0083]管理员登录管理平台,设置数据阻隔规则。数据阻隔规则包括阻隔的范围,分为以用户为单位的阻隔和以用户组为单位的阻隔。
[0084]管理员登录管理平台,设置特权控制规则。特权控制规则包括两个要素:特权拥有者及实施特权的目标。
[0085]第二,识别数据阻隔
[0086]如图2所示是本发明数据阻隔与特权控制方法的一实施例中文档阻隔流程示意图;
[0087]在本实施例中以文档为例,对本发明的技术方案进行详细的说明。本领域技术人员清楚地明白本发明请求保护的方案并不以此为限制。终端用户在客户端中,通过应用软件访问涉密文档或者新建涉密文档,客户端根据所设置的数据阻隔规则,对当前文档进行实时的阻隔标识,主要包括以下步骤:
[0088]步骤201,终端用户启动应用软件,使用涉密文档。
[0089]步骤202,客户端识别数据阻隔规则,判断是否需要对当前文档执行阻隔。
[0090]步骤203,客户端自动对数据进行阻隔标识。
[0091]如图3所示是本发明数据阻隔与特权控制方法的一实施例中文档阻隔结构图。
[0092]阻隔标识由四部分组成,当前用户唯一标识,当前用户所属用户组的唯一标识,阻隔类别,防伪密钥和文档标识校验值。其中,阻隔类别是标识当前文档是以用户为单位的阻隔还是以组为单位的阻隔。由随机数(R)和当前用户唯一标识、当前用户所属用户组、阻隔类别的哈希值作为防伪密钥(K)。利用防伪密钥对当前用户唯一标识、当前用户所属用户组、阻隔类别进行加密。当前用户唯一标识、当前用户所属用户组唯一标识、阻隔类别和防伪密钥的哈希值,作为文档标识校验值。文档原文由当前用户标识与随机数(R)的哈希值作为密钥进行加密。
[0093]步骤204,终端用户使用涉密文件结束,关闭涉密文档。
[0094]步骤205,在用户本地所存储的涉密文档,已经是阻隔文档。
[0095]第三,用户阻隔规则下阻隔数据的访问控制
[0096]如图4所示是本发明数据阻隔与特权控制方法的一实施例中用户阻隔规则下文档访问控制流程图。
[0097]用户在客户端中,启动应用软件,打开阻隔文档。客户端根据用户阻隔规则和特权控制规则,判断当前用户是否可以使用文档。主要包括以下步骤:
[0098]步骤401,在客户端中,用户启动应用软件,打开阻隔文档。
[0099]步骤402,客户端自动检查文档标识校验值。
[0100]步骤403,文档标识校验值检查失败,不允许打开阻隔文档,退出应用程序。
[0101]步骤404,文档标识校验值检查通过,客户端继续获取文档的防伪密钥。
[0102]步骤405,利用防伪密钥,解密当前文档中的用户标识,用户所属用户组标识,阻隔类别。
[0103]步骤406,客户端检查文档中的用户标识是否与当前访问文档的用户标识一致。
[0104]步骤407,文档中的用户标识与当前访问文档的用户标识一致,则解密文档的具体内容,当前用户可使用阻隔文档。
[0105]步骤408,文档中的用户标识与当前访问文档的用户标识不一致,则客户端自动检查当前用户是否对阻隔文档具有特权访问的权限。当前用户具有对阻隔文档的(访问或者使用)特权,则执行步骤407,用户可打开文档。否则,执行步骤403,不允许打开阻隔文档,退出应用程序。
[0106]第四,组阻隔规则下阻隔数据的访问控制
[0107]如图5所示是本发明数据阻隔与特权控制方法的一实施例中组阻隔规则下文档访问控制流程图。
[0108]用户在客户端中,启动应用软件,打开阻隔文档。客户端根据组阻隔规则和特权控制规则,判断当前用户是否可以使用文档。主要包括以下步骤:
[0109]步骤501,在客户端中,用户启动应用软件,打开阻隔文档。
[0110]步骤502,客户端自动检查文档标识校验值。
[0111]步骤503,文档标识校验值检查失败,不允许打开阻隔文档,退出应用程序。
[0112]步骤504,文档标识校验值检查通过,客户端继续获取文档的防伪密钥。
[0113]步骤505,利用防伪密钥,解密当前文档中的用户标识,用户所属用户组标识,阻隔类别。
[0114]步骤506,客户端检查文档中的用户标识是否与当前访问文档的用户标识一致。
[0115]步骤507,文档中的用户标识与当前访问文档的用户标识一致,则解密文档的具体内容,当前用户可使用阻隔文档。[0116]步骤508,文档中的用户标识与当前访问文档的用户标识不一致,则客户端继续检查当前用户是否与文档中的用户处于同一组。如果处于同一组,则执行步骤507,解密文档原内容,当前用户可使用阻隔文档。
[0117]步骤509,当前用户与文档中的用户不属于同一组,则客户端自动检查当前用户是否对阻隔文档具有特权访问的权限。当前用户具有对阻隔文档的特权,则执行步骤507,用户可打开文档。否则,执行步骤503,不允许打开阻隔文档,退出应用程序。
[0118]第五,特权用户访问阻隔数据的权限控制
[0119]如图6所示是本发明数据阻隔与特权控制方法的一实施例中特权权限控制流程图。
[0120]特权用户在使用阻隔文档时,具体的使用权限受所设置的特权控制规则的约束。具体步骤如下:
[0121]步骤601,在客户端中,特权用户启用应用软件,打开阻隔文档。
[0122]步骤602,客户端自动获得当前特权用户对阻隔文档的使用权限,主要包括特权有效的时间段,对文档是否可以修改,是否可以打印。
[0123]步骤603,客户端获取特权用户的使用权限失败,则不能成功打开阻隔文档。
[0124]步骤604,客户端继续识别特权用户对文档的特权生效时间,如果不在有效时间段内,则禁止打开阻隔文档。
[0125]步骤605,特权用户对已经打开的阻隔文档进行修改,并保存。
[0126]步骤606,客户端识别保存动作,检查特权用户的权限是否可以修改此文档。
[0127]步骤607,特权用户无权限修改,则此次保存失败,而且不能另存。
[0128]步骤608,特权用户可以修改文档,则此次保存成功,本地的阻隔文档更新。
[0129]步骤609,特权用户打印文档,含虚拟打印和物理打印两种打印方式。
[0130]步骤610,客户端识别打印动作,检查特权用户的权限是否可以打印此文档。
[0131]步骤611,特权用户无权限打印,则此次打印失败。
[0132]步骤612,特权用户有权限打印,则打印成功。
[0133]本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种数据阻隔与特权控制方法,其步骤包括: 1)以用户和/或用户组为单位对待阻隔数据进行阻隔,并通过加密和阻隔标识后得到阻隔数据; 2)识别所述阻隔数据的阻隔标识,对带有阻隔标识的阻隔数据进行用户访问控制; 3)在用户访问所述的阻隔数据时,根据设定的特权访问范围识别当前访问的用户属于特权用户或特权组; 4)根据所述特权用户和/或特权组对阻隔数据进行访问或访问阻隔。
2.如权利要求1所述的数据阻隔与特权控制方法,其特征在于,若以用户为单位进行阻隔,则阻隔不同用户间对对方数据的互相访问;若以用户组为单位进行阻隔,则允许在同一组的不同用户对对方数据的互相访问,若处于不同组的用户,则阻隔访问对方的数据。
3.如权利要求1所述的数据阻隔与特权控制方法,其特征在于,所述阻隔标识包括:当前用户唯一标识、阻隔类别、防伪密钥以及阻隔标识校验值,所述阻隔类别是标识当前数据是以用户为单位的阻隔或者以用户组为单位阻隔;所述防伪密钥由随机数和当前用户唯一标识、当前用户所属用户组、阻隔类别的哈希值组成;所述阻隔标识校验值由当前用户唯一标识、当前用户所属用户组唯一标识、阻隔类别和防伪密钥的哈希值组成。
4.如权利要求1所述的数据阻隔与特权控制方法,其特征在于,以用户为单位对阻隔数据进行访问控制的方法如下: O启动应用软件打开阻隔数据后检查阻隔标识校验值; 2)所述阻隔标识校验值检查通过后继续获取数据的防伪密钥; 3)利用所述防伪密钥解密当前数据中的用户标识、用户所属用户组标识以及阻隔类别; 4)检查数据中的用户标识是否与当前访问数据的用户标识一致; 5)数据中的用户标识与当前访问数据的用户标识一致,则解密数据的具体内容,当前用户可使用阻隔数据;数据中的用户标识与当前访问数据的用户标识不一致,则检查当前用户是否对阻隔数据具有特权访问的权限。
5.如权利要求1所述的数据阻隔与特权控制方法,其特征在于,以用户组为单位对阻隔数据进行访问控制的方法如下: O启动应用软件打开阻隔数据后检查阻隔标识校验值; 2)所述阻隔标识校验值检查通过后继续获取数据的防伪密钥; 3)利用所述防伪密钥解密当前数据中的用户标识、用户所属用户组标识以及阻隔类别; 4)检查数据中的用户标识是否与当前访问数据的用户标识一致; 5)若用户标识与当前访问数据的用户标识一致,则解密数据的具体内容当前用户可使用阻隔数据; 6)若数据中的用户标识与当前访问数据的用户标识不一致,则继续检查当前用户是否与数据中的用户处于同一组,如果处于同一组则解密数据原内容,当前用户可使用阻隔数据; 7)若当前用户与数据中的用户不属于同一组,检查当前用户是否对阻隔数据具有特权访问的权限。
6.如权利要求1所述的数据阻隔与特权控制方法,其特征在于,根据设定的特权访问范围对所述阻隔数据进行用户特权权限控制的方法如下: 1)特权用户启用应用软件打开阻隔数据,获得当前特权用户对阻隔数据的使用权限,包括特权有效的时间段,对数据是否可以修改,是否可以打印; 2)识别特权用户对数据的特权生效时间,打开在有效时间段内的阻隔数据; 3)所述特权用户对已经打开的阻隔数据进行修改并保存,保存后识别保存动作检查特权用户的权限是否可以修改此数据; 4)所述特权用户具有修改数据的权限,则保存在本地的阻隔数据更新; 5)所述特权用户打印数据,含虚拟打印和/或物理打印; 6)对打印动作进行识别,检查特权用户的权限是否可以打印此数据。
7.如权利要求4或5任意一项所述的数据阻隔与特权控制方法,其特征在于,检查当前用户是否对阻隔数据具有特权访问的权限包括:指定用户对指定用户的特权权限,指定用户对指定组的特权权限,指定组对指定用户的特权权限以及指定组对指定组的特权权限。
8.如权利要求4或5任意一项所述的数据阻隔与特权控制方法,其特征在于,对所述阻隔数据设置特权用户,授权可使用阻隔数据的特权用户或特权组,授予特权后当前的特权用户或特权组,对已授权的用户或用户组的阻隔数据具有访问权限;所述特权用户或特权组对已授权的对象所产生的阻隔数据具有使用权限,所述特权用户或特权组对未授权的对象所产生的阻隔数据无使用权限。
9.如权利要求4或5任意一 项所述的数据阻隔与特权控制方法,其特征在于,所述阻隔数据保持原数据的格式,对所述阻隔数据的特权识别对象为原阻隔数据,不对原阻隔数据进行二次转化。
10.一种数据阻隔与特权控制系统,其特征在于,包括:数据阻隔与特权控制的管理平台和客户端,所述数据阻隔与特权控制的管理平台由数据阻隔管理单元组成,所述客户端由数据阻隔识别单元、阻隔访问控制单元、特权权限识别单元、特权访问控制单元组成; 所述数据阻隔管理单元,用于可指定数据阻隔规则和特权控制规则; 所述数据阻隔识别单元,根据数据阻隔的规则识别需要进行阻隔的数据,并进行阻隔标识;以用户和/或用户组为单位对待阻隔数据进行阻隔,并通过加密和阻隔标识后得到阻隔数据; 所述阻隔访问控制单元,对阻隔数据的访问进行控制,防止非法访问;解密所述阻隔数据,并对带有所述阻隔标识的阻隔数据进行用户访问控制; 所述特权权限识别单元,识别特权用户以及特权用户的权限,识别特权组以及特权组的权限,在用户访问阻隔数据时,根据设定的特权访问范围识别当前用户是否属于特权用户或特权组,对所述阻隔数据进行用户特权权限控制; 所述特权访问控制单元,根据特权控制规则控制阻隔数据的特权访问,并按照特权控制规则所允许的权限进行访问控制;根据所述特权用户和/或特权组对阻隔数据进行访问或访问阻隔。
【文档编号】H04L29/06GK103546474SQ201310517179
【公开日】2014年1月29日 申请日期:2013年10月28日 优先权日:2013年10月28日
【发明者】王文宇, 苑海彬, 刘玉红, 吴生东 申请人:中国软件与技术服务股份有限公司