專利名稱:移動電子設備信息安全保護系統(tǒng)及方法
技術領域:
本發(fā)明屬于信息安全技術領域�,涉及一種信息安全保護系統(tǒng),尤其涉及一種移動 電子設備信息安全保護系統(tǒng)��;同時����,本發(fā)明還涉及一種移動電子設備信息安全保護方法���。
背景技術:
隨著信息技術的發(fā)展,越來越多的企事業(yè)單位采用電子技術來處理日常事務����,越 來越多的文件以電子文檔方式的存在。采用電子文檔方式存儲數(shù)據(jù)具有效率高��、成本低��、轉(zhuǎn) 移方便等優(yōu)點�。但同時,使用電子文檔方式儲存數(shù)據(jù)增大了信息被濫用的風險����,例如員工跳 槽、商業(yè)間諜等���。面對此類風險�����,企事業(yè)單位可以在內(nèi)網(wǎng)內(nèi)通過技術或制度手段來管理臺式機器���, 比如封閉USB端口���、內(nèi)外網(wǎng)隔離、使用加密軟件強制加密等��。由于筆記本攜帶方便���、移動辦 公方便的特點,決定了其在公司內(nèi)部存在的必要性�����,但這也給內(nèi)網(wǎng)管理帶來了極為不便的 方面如果采用類似臺式電腦的管理方法�,此時不存在信息流失的風險,但極大地限制 了筆記本電腦的使用功能�,扼殺了筆記本電腦存在的必要性;如果針對筆記本電腦采用安裝加密軟件來進行強制加密��,員工只能用來處理公司 事務�,那么筆記本的娛樂功能就喪失了而且員工不能用來處理私人事務;如果對筆記本電腦安裝加密軟件并進行強制加密�,如果用戶在外使用時間超過其 預設時間,那么用戶不能夠正常使用加密文件���,此時也不能夠正常獲得新的授權(必須通 過第三方工具等)���;如果采用只在公司內(nèi)部加密而攜帶出去不加密(通過在內(nèi)網(wǎng)環(huán)境中與管理中心 的認證來實現(xiàn))�,此時又不方面員工使用加密文件�,不便于員工在公司外面進行加班或操作。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題是提供一種移動電子設備信息安全保護系統(tǒng)����,既能 方便員工在內(nèi)網(wǎng)或脫離內(nèi)網(wǎng)環(huán)境中正常加班,同時在一定條件下又能夠正常使用筆記本電 腦處理私人事務或享受娛樂功能��。此外����,本發(fā)明還提供一種移動電子設備信息安全保護方法,既能方便員工在內(nèi)網(wǎng) 或脫離內(nèi)網(wǎng)環(huán)境中正常加班����,同時在一定條件下又能夠正常使用筆記本電腦處理私人事務 或享受娛樂功能。為解決上述技術問題����,本發(fā)明采用如下技術方案一種移動電子設備信息安全保護系統(tǒng),所述系統(tǒng)包括管理中心��、設置于所述移動 電子設備中的加密認證單元、使用時與移動電子設備連接的身份驗證工具���;所述身份驗證工具包含用戶的身份信息�、使用權限信息����;所述管理中心用以設定各用戶身份驗證工具的使用權限,并將使用權限寫入相應的身份驗證工具中����;所述加密認證單元包括-文件加密模塊��,用以強制執(zhí)行文件加密操作����,針對設定文件進行加密保護;-文件解密模塊�����,用以通過后臺自動將文件解密到內(nèi)存����,不影響文件在磁盤上的加 密狀態(tài);-內(nèi)部認證模塊,用以向管理中心或身份驗證工具發(fā)送請求并獲取命令���,允許具 有使用權限的用戶使用加密文件�����;若無使用權限����,則無法使用加密文件����,但可使用非加密文 件。作為本發(fā)明的一種優(yōu)選方案��,所述移動電子設備連接所述管理中心時����,通過管理 中心控制移動電子設備的加密認證單元;所述移動電子設備未與所述管理中心連接時��,所述信息安全保護系統(tǒng)判斷是否有 有效的身份驗證工具連接�;若有,則通過身份驗證工具控制移動電子設備的加密認證單元�, 允許對應用戶使用加密文件�;若無�,則無法使用加密文件,但可使用非加密文件��。作為本發(fā)明的一種優(yōu)選方案����,所述加密認證單元進一步包括日志記錄模塊,用于 記錄用戶在該移動電子設備上的文件操作���,包括新建�、拷貝�、移動、改名以及刪除操作�。作為本發(fā)明的一種優(yōu)選方案�,所述管理中心包括用戶管理模塊,用以針對用戶或用戶組進行不同的設置�����,通過集中式管理方便管 理員制定實時���、差異化的策略�����;用戶身份識別模塊�,用以通過在線搜集用戶的信息,用于校驗用戶的身份并將策 略信息下發(fā)到制定用戶�;身份驗證工具管理模塊,針對用戶設置身份驗證工具使用權限���,所述使用權限包 括使用時間�����、解密���,并將設置導出為結果文件;日志查詢和管理模塊����,查詢管理員的系統(tǒng)設置和用戶管理操作、管理員授權操作�����, 以及用戶對移動電子設備的文件操作��。作為本發(fā)明的一種優(yōu)選方案,所述用戶驗證工具包括身份識別模塊���,用以根據(jù)里面嵌入的用戶名稱和加密認證單元客戶端的名稱進行 判斷�,實現(xiàn)一一對應����;權限控制模塊,用以根據(jù)里面寫入的周期和權限控制來控制客戶端的使用��。一種上述信息安全保護系統(tǒng)的信息安全保護方法����,所述方法包括如下步驟文件加解密步驟文件加密模塊強制執(zhí)行文件加密操作,針對設定文件進行加密 保護�;文件解密模塊通過后臺自動將文件解密到內(nèi)存,不影響文件在磁盤上的加密狀態(tài)���;權限設定步驟所述管理中心設定各用戶身份驗證工具的使用權限,并將使用權 限寫入相應的身份驗證工具中���;當所述移動電子設備連接所述管理中心時��,通過管理中心控制移動電子設備的加 密認證單元�����;當所述移動電子設備未與所述管理中心連接時�,所述信息安全保護系統(tǒng)判斷是否 有有效的身份驗證工具連接;若有���,則通過身份驗證工具控制移動電子設備的加密認證單 元��,允許對應用戶使用加密文件��;若無�����,則無法使用加密文件����,但可使用非加密文件���。作為本發(fā)明的一種優(yōu)選方案�����,當所述移動電子設備在局域網(wǎng)時����,連接所述管理中心,只能執(zhí)行強制加密操作����,用戶在設定局域網(wǎng)內(nèi)處理的設定機密文件必須經(jīng)過強制加密 處理;所述管理中心設置在服務器中���;其步驟如下所述移動電子設備通過合法方式正常接入到設定局域網(wǎng)�,確保能夠正常與服務器 連通��;所述移動電子設備的加密認證單元通過向管理中心發(fā)送驗證信息向服務器進行 驗證�;如果移動電子設備通過驗證,此時能夠正常使用設定局域網(wǎng)內(nèi)的加密文件�;如果 驗證不通過,不能使用設定局域網(wǎng)內(nèi)的加密文件���;用戶進行正常操作���,在保存文件時文件被加密同時留下用戶在設定局域網(wǎng)內(nèi)操作 文件的日志。作為本發(fā)明的一種優(yōu)選方案�����,管理員登錄管理中心的控制臺對需要進行授權的用 戶進行授權���,其具體步驟如下管理員登錄管理中心���,系統(tǒng)驗證管理員身份的正確性和其授權的操作范圍;管理員選取需要授權的用戶�,設定其使用時間和操作權限;系統(tǒng)判定其用戶是否正在使用身份驗證工具��,如果身份驗證工具尚未過期則將設 置信息導出為結果文件���;如果身份驗證工具過期或此用戶未使用身份驗證工具����,則提示管 理員接入身份驗證工具并將設置信息寫入到身份驗證工具中;管理員將結果文件或身份驗證工具發(fā)送給移動電子設備使用者并留下授權的詳 細記錄�����。作為本發(fā)明的一種優(yōu)選方案����,當用戶攜帶移動電子設備外出使用時,系統(tǒng)會判斷 其預期操作目標并開放相應的權限�,其具體步驟如下用戶開啟移動電子設備并正常打開加密軟件(加密認證單元)客戶端程序;客戶端判斷移動電子設備上是否有正常使用的身份驗證工具��,如有則讀取相應的 信息�;若無則不允許用戶使用加密文件,并保證其操作的文件不被加密保護�;客戶端根據(jù)讀取的身份驗證工具信息進行判斷,如其周期和權限在允許范圍內(nèi)��, 則運行用戶正常讀取和操作機密文件��;若不在其范圍內(nèi)�����,提示用戶向管理員更新授權并進 入無法使用加密文件的模式���;進入可使用加密文件的模式后����,程序正常記錄用戶對文件的操作����,并對文件進行 加密保護。本發(fā)明的有益效果在于本發(fā)明提出的移動電子設備信息安全保護系統(tǒng)及方法��, 既能方便員工在內(nèi)網(wǎng)或脫離內(nèi)網(wǎng)環(huán)境中正常加班����,同時在一定條件下又能夠正常使用筆記 本電腦處理私人事務或享受娛樂功能。當用戶在外使用加密軟件的周期超過其預設周期���, 本發(fā)明還可以提供新授權的解決辦法����。
圖1為局域網(wǎng)內(nèi)筆記本電腦客戶端工作流程圖����。圖2為管理員授權筆記本外出使用流程圖。圖3為筆記本在外使用模式選擇流程圖�。
具體實施例方式下面結合附圖詳細說明本發(fā)明的優(yōu)選實施例。實施例一請參閱圖1,本發(fā)明揭示了一種移動電子設備信息安全保護系統(tǒng)���,所述系統(tǒng)包括管 理中心�、設置于所述移動電子設備中的加密認證單元�、使用時與移動電子設備連接的身份 驗證工具。所述移動電子設備可以為移動筆記本電腦�����,也可以為手機�����、PDA等電子設備����。所述移動電子設備連接所述管理中心時,通過管理中心控制移動電子設備的加密 認證單元�。所述移動電子設備未與所述管理中心連接時,所述信息安全保護系統(tǒng)判斷是否有 有效的身份驗證工具連接�;若有,則通過身份驗證工具控制移動電子設備的加密認證單元�, 允許對應用戶使用加密文件;若無�,則無法使用加密文件����,但可使用非加密文件�。以下分別介紹本發(fā)明各模塊的組成。身份驗證工具所述身份驗證工具包含用戶的身份信息�、使用權限信息。本實施例中��,所述用戶驗 證工具包括身份識別模塊���,用以根據(jù)里面嵌入的用戶名稱和客戶端的名稱進行判斷,實現(xiàn) --對應�����;權限控制模塊�,用以根據(jù)里面寫入的周期和權限控制來控制客戶端的使用。管理中心所述管理中心用以設定各用戶身份驗證工具的使用權限�����,并將使用權限寫入相應 的身份驗證工具中�。本實施例中,所述管理中心包括用戶管理模塊�,用以針對用戶或用戶組進行不同的設置�,通過集中式管理方便管 理員制定實時����、差異化的策略;用戶身份識別模塊���,用以通過在線搜集用戶的信息���,用于校驗用戶的身份并將策 略信息下發(fā)到制定用戶;身份驗證工具管理模塊����,針對用戶設置身份驗證工具使用權限,所述使用權限包 括使用時間�����、解密��,并將設置導出為結果文件�����;日志查詢和管理模塊���,查詢管理員的系統(tǒng)設置和用戶管理操作�、管理員授權操作, 以及用戶對移動電子設備的文件操作�。加密認證單元所述加密認證單元包括-文件加密模塊,用以強制執(zhí)行文件加密操作��,針對設定文件進行加密保護���;-文件解密模塊��,用以通過后臺自動將文件解密到內(nèi)存����,不影響文件在磁盤上的加 密狀態(tài)��;-內(nèi)部認證模塊���,用以向管理中心或身份驗證工具發(fā)送請求并獲取命令,允許具 有使用權限的用戶使用加密文件����;若無使用權限,則無法使用加密文件��,但可使用非加密文 件。-日志記錄模塊���,用于記錄用戶在該移動電子設備上的文件操作�����,包括新建�、拷貝���、
7移動�、改名以及刪除操作�����。以上介紹了本發(fā)明移動電子設備信息安全保護系統(tǒng)����,本發(fā)明在揭示上述移動電子 設備信息安全保護系統(tǒng)的同時,還揭示上述信息安全保護系統(tǒng)的信息安全保護方法�,所述 方法包括如下步驟-文件加解密步驟文件加密模塊強制執(zhí)行文件加密操作,針對設定文件進行加 密保護��;文件解密模塊通過后臺自動將文件解密到內(nèi)存��,不影響文件在磁盤上的加密狀 態(tài);_權限設定步驟所述管理中心設定各用戶身份驗證工具的使用權限�����,并將使用 權限寫入相應的身份驗證工具中�����;-當所述移動電子設備連接所述管理中心時�����,通過管理中心控制移動電子設備的 加密認證單元�����;-當所述移動電子設備未與所述管理中心連接時��,所述信息安全保護系統(tǒng)判斷是 否有有效的身份驗證工具連接��;若有�����,則通過身份驗證工具控制移動電子設備的加密認證 單元�,允許對應用戶使用加密文件;若無���,則無法使用加密文件�,但可使用非加密文件��。當所述移動電子設備在局域網(wǎng)時����,連接所述管理中心,只能執(zhí)行強制加密操作����,用 戶在設定局域網(wǎng)內(nèi)處理的設定機密文件必須經(jīng)過強制加密處理;所述管理中心設置在服務 器中���;其步驟如下-所述移動電子設備通過合法方式正常接入到設定局域網(wǎng)�����,確保能夠正常與服務 器連通�����;-所述移動電子設備的加密認證單元通過向管理中心發(fā)送驗證信息向服務器進行 驗證����;-如果移動電子設備通過驗證,此時能夠正常使用設定局域網(wǎng)內(nèi)的加密文件����;如 果驗證不通過,不能使用設定局域網(wǎng)內(nèi)的加密文件����;-用戶進行正常操作,在保存文件時文件被加密同時留下用戶在設定局域網(wǎng)內(nèi)操 作文件的日志�����。所述方法進一步包括管理員登錄管理中心的控制臺對需要進行授權的用戶進行 授權����,其具體步驟如下-管理員登錄管理中心,系統(tǒng)驗證管理員身份的正確性和其授權的操作范圍�;-管理員選取需要授權的用戶�,設定其使用時間和操作權限;-系統(tǒng)判定其用戶是否正在使用身份驗證工具����,如果身份驗證工具尚未過期則將 設置信息導出為結果文件���;如果身份驗證工具過期或此用戶未使用身份驗證工具,則提示 管理員接入身份驗證工具并將設置信息寫入到身份驗證工具中�;-管理員將結果文件或身份驗證工具發(fā)送給移動電子設備使用者并留下授權的詳 細記錄。當用戶攜帶移動電子設備外出使用時��,系統(tǒng)會判斷其預期操作目標并開放相應的 權限�,其具體步驟如下_用戶開啟移動電子設備并正常打開加密軟件客戶端程序;-客戶端判斷移動電子設備上是否有正常使用的身份驗證工具���,如有則讀取相應 的信息�����;若無則不允許用戶使用加密文件��,并保證其操作的文件不被加密保護�;
-客戶端根據(jù)讀取的身份驗證工具信息進行判斷��,如其周期和權限在允許范圍內(nèi)��, 則運行用戶正常讀取和操作機密文件����;若不在其范圍內(nèi)�����,提示用戶向管理員更新授權并進 入無法使用加密文件的模式��;-進入可使用加密文件的模式后�,程序正常記錄用戶對文件的操作�����,并對文件進行 加密保護�。綜上所述,本發(fā)明提出的移動電子設備信息安全保護系統(tǒng)及方法��,既能方便員工 在內(nèi)網(wǎng)或脫離內(nèi)網(wǎng)環(huán)境中正常加班����,同時在一定條件下又能夠正常使用筆記本電腦處理私 人事務或享受娛樂功能。當用戶在外使用加密軟件的周期超過其預設周期��,本發(fā)明還可以 提供新授權的解決辦法�����。實施例二在公司內(nèi)部���,員工不能處理私人事務或使用筆記本進行娛樂���,此時只能執(zhí)行強制 加密操作,員工在公司內(nèi)部處理的涉及公司核心機密的文件必須經(jīng)過強制加密處理�����,防止 員工通過主動泄密方式將核心文件泄漏出去���。其步驟如下1)員工通過合法方式正常接入到公司內(nèi)網(wǎng)里面��,確保能夠正常與服務器ping通;2)筆記本電腦上的客戶端通過向管理中心發(fā)送用戶名和密碼等驗證信息向服務 器進行驗證����;3)如果筆記本電腦通過驗證����,此時能夠正常使用企業(yè)內(nèi)部的加密文件��;如果驗證 不通過���,不能使用公司內(nèi)部的受保護文件�;4)員工正常進行操作�����,在保存文件時文件被加密同時留下員工在公司內(nèi)部操作文 件的日志�。管理員可以登錄控制臺對需要進行加班的人員進行身份驗證工具(EKEY)授權����, 其具體步驟如下1)管理員登錄控制中心��,系統(tǒng)驗證管理員身份的正確性和其授權的操作范圍�����;2)管理員選取需要在外使用EKEY的用戶,設定其使用時間和操作權限;3)系統(tǒng)判定其用戶是否正在使用EKEY (時間未過期)���,如果EKEY尚未過期則將設 置信息導出為結果文件;如果EKEY過期或此用戶未使用EKEY��,則提示管理員插入EKEY并 將設置信息寫入到EKEY里面�����;4)管理員將結果文件或EKEY發(fā)送給筆記本電腦使用者并留下授權的詳細記錄�。當用戶攜帶筆記本電腦外出使用時,系統(tǒng)會判斷其預期操作目標并開放相應的權 限����,其具體步驟如下1)用戶開啟電腦并正常打開加密軟件客戶端程序;2)客戶端判斷筆記本電腦上是否有正常使用的EKEY����,如有則讀取相應的信息;若 無則進行娛樂模式���,不允許用戶使用加密文件并保證其操作的文件不被加密保護���;3)客戶端根據(jù)讀取的EKEY信息進行判斷�,如其周期和權限在允許范圍內(nèi)����,則運行 用戶正常讀取和操作受保護文件����;若不在其范圍內(nèi)�,提示用戶向管理員更新授權并進入娛 樂模式;4)進入工作模式后�����,程序正常記錄用戶對文件的操作,并對文件進行加密保護�。本發(fā)明在揭示上述方法的同時�����,還揭示了移動電子設備信息安全保護系統(tǒng),該系 統(tǒng)包括加密軟件程序��、管理中心���、用戶身份識別工具(即身份驗證工具)。以下分別揭示各組成部分�����。其中��,加密軟件程序包括I�、文件加密模塊電腦安裝加密軟件后強制執(zhí)行文件加密操作,針對公司內(nèi)部的 核心文件進行保護�����;II����、文件解密模塊通過后臺自動將文件解密到內(nèi)存���,不影響用戶的使用,同時不 影響文件在磁盤上的加密狀態(tài)�����;III��、內(nèi)部認證模塊用于向管理中心或其他身份驗證工具(EKEY等)發(fā)送請求并 獲取管理中心的命令等�����;IV�、日志記錄模塊用于記錄用戶在此電腦上的文件操作(新建、拷貝�、移動、改名 以及刪除等操作)���。其中,管理中心包括I���、用戶管理模塊針對用戶或組進行不同的設置�����,通過集中式管理方便管理員制 定實時����、差異化的策略;II�����、用戶身份識別模塊通過在線搜集用戶的信息���,用于校驗用戶的身份并將策略 信息下發(fā)到制定用戶�;III����、EKEY管理模塊可以針對用戶設置EKEY使用權限,如時間����、解密等,并可以將 設置導出為結果文件����;IV�����、日志查詢和管理模塊查詢管理員的系統(tǒng)設置和用戶管理操作����,管理員EKEY 授權操作�����,以及用戶對客戶端筆記本電腦的文件操作等��。其中�����,用戶身份識別工具包括I����、身份識別模塊能夠根據(jù)里面嵌入的用戶名稱和客戶端的名稱進行判斷,實現(xiàn) --對應���;II、權限控制模塊能夠根據(jù)里面寫入的周期和權限控制來控制客戶端的使用���。這里本發(fā)明的描述和應用是說明性的�����,并非想將本發(fā)明的范圍限制在上述實施例 中���。這里所披露的實施例的變形和改變是可能的�,對于那些本領域的普通技術人員來說實 施例的替換和等效的各種部件是公知的�����。本領域技術人員應該清楚的是�����,在不脫離本發(fā)明 的精神或本質(zhì)特征的情況下����,本發(fā)明可以以其它形式、結構����、布置、比例���,以及用其它組件����、 材料和部件來實現(xiàn)。在不脫離本發(fā)明范圍和精神的情況下����,可以對這里所披露的實施例進 行其它變形和改變。
權利要求
一種移動電子設備信息安全保護系統(tǒng)��,其特征在于所述系統(tǒng)包括管理中心�����、設置于所述移動電子設備中的加密認證單元�、使用時與移動電子設備連接的身份驗證工具;所述身份驗證工具包含用戶的身份信息����、使用權限信息;所述管理中心用以設定各用戶身份驗證工具的使用權限�,并將使用權限寫入相應的身份驗證工具中;所述加密認證單元包括 文件加密模塊�����,用以強制執(zhí)行文件加密操作,針對設定文件進行加密保護���; 文件解密模塊,用以通過后臺自動將文件解密到內(nèi)存��,不影響文件在磁盤上的加密狀態(tài)�; 內(nèi)部認證模塊,用以向管理中心或身份驗證工具發(fā)送請求并獲取命令���,允許具有使用權限的用戶使用加密文件���;若無使用權限,則無法使用加密文件����,但可使用非加密文件。
2.根據(jù)權利要求1所述的移動電子設備信息安全保護系統(tǒng)�,其特征在于所述移動電子設備連接所述管理中心時,通過管理中心控制移動電子設備的加密認證 單元���;所述移動電子設備未與所述管理中心連接時��,所述信息安全保護系統(tǒng)判斷是否有有效 的身份驗證工具連接��;若有�����,則通過身份驗證工具控制移動電子設備的加密認證單元�,允許 對應用戶使用加密文件;若無���,則無法使用加密文件���,但可使用非加密文件。
3.根據(jù)權利要求1所述的移動電子設備信息安全保護系統(tǒng)���,其特征在于所述加密認證單元進一步包括日志記錄模塊��,用于記錄用戶在該移動電子設備上的文 件操作��,包括新建�、拷貝��、移動�、改名以及刪除操作。
4.根據(jù)權利要求1所述的移動電子設備信息安全保護系統(tǒng),其特征在于所述管理中心包括用戶管理模塊����,用以針對用戶或用戶組進行不同的設置,通過集中式管理方便管理員 制定實時�、差異化的策略;用戶身份識別模塊�,用以通過在線搜集用戶的信息�����,用于校驗用戶的身份并將策略信 息下發(fā)到制定用戶��;身份驗證工具管理模塊���,針對用戶設置身份驗證工具使用權限�,所述使用權限包括使 用時間��、解密����,并將設置導出為結果文件;日志查詢和管理模塊���,查詢管理員的系統(tǒng)設置和用戶管理操作�、管理員授權操作,以及 用戶對移動電子設備的文件操作��。
5.根據(jù)權利要求1所述的移動電子設備信息安全保護系統(tǒng)�����,其特征在于所述用戶驗證工具包括身份識別模塊���,用以根據(jù)里面嵌入的用戶名稱和加密認證單元客戶端的名稱進行判 斷���,實現(xiàn)一一對應;權限控制模塊�,用以根據(jù)里面寫入的周期和權限控制來控制客戶端的使用。
6.一種權利要求1至5之一所述信息安全保護系統(tǒng)的信息安全保護方法��,其特征在于�, 所述方法包括如下步驟文件加解密步驟文件加密模塊強制執(zhí)行文件加密操作,針對設定文件進行加密保護���; 文件解密模塊通過后臺自動將文件解密到內(nèi)存�,不影響文件在磁盤上的加密狀態(tài)����;權限設定步驟所述管理中心設定各用戶身份驗證工具的使用權限�,并將使用權限寫 入相應的身份驗證工具中�;當所述移動電子設備連接所述管理中心時,通過管理中心控制移動電子設備的加密認 證單元��;當所述移動電子設備未與所述管理中心連接時����,所述信息安全保護系統(tǒng)判斷是否有有 效的身份驗證工具連接;若有���,則通過身份驗證工具控制移動電子設備的加密認證單元,允 許對應用戶使用加密文件����;若無,則無法使用加密文件����,但可使用非加密文件。
7.根據(jù)權利要求6所述的信息安全保護方法����,其特征在于當所述移動電子設備在局域網(wǎng)時�����,連接所述管理中心��,只能執(zhí)行強制加密操作����,用戶在 設定局域網(wǎng)內(nèi)處理的設定機密文件必須經(jīng)過強制加密處理���;所述管理中心設置在服務器 中�����;其步驟如下所述移動電子設備通過合法方式正常接入到設定局域網(wǎng)��,確保能夠正常與服務器連通����;所述移動電子設備的加密認證單元通過向管理中心發(fā)送驗證信息向服務器進行驗證�����;如果移動電子設備通過驗證��,此時能夠正常使用設定局域網(wǎng)內(nèi)的加密文件;如果驗證 不通過�,不能使用設定局域網(wǎng)內(nèi)的加密文件;用戶進行正常操作�����,在保存文件時文件被加密同時留下用戶在設定局域網(wǎng)內(nèi)操作文件 的日志����。
8.根據(jù)權利要求6所述的信息安全保護方法,其特征在于管理員登錄管理中心的控制臺對需要進行授權的用戶進行授權�,其具體步驟如下 管理員登錄管理中心,系統(tǒng)驗證管理員身份的正確性和其授權的操作范圍�; 管理員選取需要授權的用戶,設定其使用時間和操作權限���;系統(tǒng)判定其用戶是否正在使用身份驗證工具,如果身份驗證工具尚未過期則將設置信 息導出為結果文件�����;如果身份驗證工具過期或此用戶未使用身份驗證工具���,則提示管理員 接入身份驗證工具并將設置信息寫入到身份驗證工具中����;管理員將結果文件或身份驗證工具發(fā)送給移動電子設備使用者并留下授權的詳細記錄。
9.根據(jù)權利要求6所述的信息安全保護方法����,其特征在于當用戶攜帶移動電子設備外出使用時,系統(tǒng)會判斷其預期操作目標并開放相應的權 限�,其具體步驟如下用戶開啟移動電子設備并正常打開加密軟件客戶端程序;客戶端判斷移動電子設備上是否有正常使用的身份驗證工具����,如有則讀取相應的信 息;若無則不允許用戶使用加密文件����,并保證其操作的文件不被加密保護;客戶端根據(jù)讀取的身份驗證工具信息進行判斷�,如其周期和權限在允許范圍內(nèi),則運 行用戶正常讀取和操作機密文件���;若不在其范圍內(nèi)�����,提示用戶向管理員更新授權并進入無 法使用加密文件的模式����;進入可使用加密文件的模式后,程序正常記錄用戶對文件的操作���,并對文件進行加密 保護�。
全文摘要
本發(fā)明揭示了一種移動電子設備信息安全保護系統(tǒng)及方法��,所述系統(tǒng)包括管理中心��、設置于所述移動電子設備中的加密認證單元���、使用時與移動電子設備連接的身份驗證工具�。身份驗證工具包含用戶的身份信息�、使用權限信息;管理中心用以設定各用戶身份驗證工具的使用權限���,并將使用權限寫入相應的身份驗證工具中。加密認證單元包括文件加密模塊��、文件解密模塊����、內(nèi)部認證模塊��;內(nèi)部認證模塊向管理中心或身份驗證工具發(fā)送請求并獲取命令��,允許具有使用權限的用戶使用加密文件��。本發(fā)明提出的移動電子設備信息安全保護系統(tǒng)及方法���,既能方便員工在內(nèi)網(wǎng)或脫離內(nèi)網(wǎng)環(huán)境中正常加班,同時在一定條件下又能夠正常使用筆記本電腦處理私人事務或享受娛樂功能�。
文檔編號G06F21/22GK101894242SQ20101020628
公開日2010年11月24日 申請日期2010年6月22日 優(yōu)先權日2010年6月22日
發(fā)明者劉旭峰, 耿振民 申請人:上海華御信息技術有限公司