亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

實時式控管信息安全的方法

文檔序號:7654137閱讀:206來源:國知局
專利名稱:實時式控管信息安全的方法
技術領域
本發(fā)明有關于數(shù)字權(quán)利管理(Digital Rights Management, DRM),特別是 有關于一種實時式控管信息安全的方法(Information Security Management Method for Immediate Communication)。
背景技術
在現(xiàn)今信息數(shù)字化時代,因特網(wǎng)與計算機已成為各行各業(yè)必備工具,許 多個人數(shù)據(jù)與重要的組織文件都由電子化的方式處理與儲存。文件以電子型 式制作與傳輸勢所必然。
但是,由于計算機與因特網(wǎng)(Internet)科技的方便,衍生許多問題,例如 對于電子文件檔案的管理與保密,電子文件的檔案特點為復制容易,且易于 由因特網(wǎng)或電子郵件的方式散布,故因此對于機密文件的保密有其必要性, 因此需要一套有效的信息安全機制,以善加保護機密電子文件。
數(shù)字內(nèi)容權(quán)利管理(Digital Rights Management, DRM)由軟件或硬件的方 法,限制其數(shù)字內(nèi)容使用方式的統(tǒng)稱。舉例而言,限制某份文件不得打印、 修改或刪除,或限制某段影片僅能在某地區(qū)播放等,上述都為現(xiàn)今普遍的數(shù) 字內(nèi)容權(quán)利管理的功能。例如,Adobe Acrobat、 Microsoft Office、 Windows Media Player等等軟件,依程度上的不同,都具備了部份的功能。
企業(yè)內(nèi)使用的網(wǎng)絡系統(tǒng),大多都通過企業(yè)內(nèi)部局域網(wǎng)絡(Intmnet)加以連 結(jié),由復數(shù)個使用者端與一個服務器端所構(gòu)成,彼此間數(shù)據(jù)的流量相當驚人, 所以造成管理不易。然而,近年來為了避免企業(yè)內(nèi)部數(shù)據(jù)通過因特網(wǎng)外流, 提供了一些手段來解決上述的問題,譬如防火墻、防毒程序的信息安全系 統(tǒng),避免黑客入侵或是企業(yè)員工通過因特網(wǎng)以不正行為造成數(shù)據(jù)外泄。然而,上述的技術并不能完備的防堵機密的信息外流,花費許多心力而 無法有效控管其企業(yè)內(nèi)的信息,每一天總是會有新病毒或技術產(chǎn)生,逃避其 權(quán)限的控管?,F(xiàn)今的技術并未有一完善的方法來改善上述的問題。

發(fā)明內(nèi)容
為解決前述的問題,本發(fā)明主要揭露一種實時式控管信息安全的方法,
應用于一 Client-Server架構(gòu),伺服端的主機得通過一網(wǎng)絡接口與復數(shù)個客戶 端通信,其方法包含通過網(wǎng)絡接口接收該客戶端聯(lián)機的要求與該客戶端身 份信息;通過該網(wǎng)絡接口,傳送權(quán)限政策至該客戶端;該客戶端對一文件檔 案執(zhí)行一操作程序,同時間,通過網(wǎng)絡接口,接收自該客戶端傳送的信息; 通過該伺服端主機的數(shù)據(jù)庫,查詢該客戶端的賬號身份與相關的權(quán)限政策, 確認該操作程序的權(quán)限,并紀錄該操作程序;確認該操作程序的權(quán)限后,傳 送賬號數(shù)據(jù)與該客戶端相關的權(quán)限政策至該客戶端;若該客戶端具有權(quán)限執(zhí) 行該操作程序,則該客戶端自動解密該文件檔案;該客戶端完成該操作程序 后,自動加密該文件檔案;接收自該客戶端傳送的該完成操作程序的文件紀 錄。
本發(fā)明的另一目的在于提供一種實時式控管信息安全的方法,該方法應 用于一 Client-Server架構(gòu),伺服端的主機得通過一網(wǎng)絡接口與復數(shù)個客戶端 通信,該方法包含以下步驟該客戶端通過網(wǎng)絡接口聯(lián)機至該伺服主機;該 客戶端自伺服端主機接收賬號數(shù)據(jù)與權(quán)限政策;該客戶端對一文件檔案執(zhí)行 一操作程序,同時間,通過網(wǎng)絡接口,傳送一信息通知該伺服主機,確認該 操作程序的權(quán)限政策;該伺服端主機確認該操作程序的權(quán)限后,接收自該伺 服端主機傳送的賬號數(shù)據(jù)與該客戶端相關的權(quán)限政策;該客戶端依照該伺服 端傳送的權(quán)限政策,自動設定權(quán)限政策;若該客戶端具有權(quán)限執(zhí)行該操作程 序,則該客戶端自動解密該文件檔案;該客戶端完成該操作程序后,自動加 密該文件檔案;傳送該文件檔案的紀錄數(shù)據(jù)至伺服端主機。本發(fā)明的一優(yōu)點為可同時控管復數(shù)個客戶端,依照各個客戶端使用者的 不同,個別對其權(quán)限作控管,而非僅只能對多數(shù)個客戶端使用單一權(quán)限控管。
本發(fā)明的另一優(yōu)點為可實時監(jiān)控客戶端的操作,當客戶端操作檔案或程 序時,同時間,將立即上傳信息至監(jiān)控客戶端的伺服主機,確認其客戶端的 權(quán)限政策,可實時地防止數(shù)據(jù)外泄的情事。
另外,本發(fā)明的又一優(yōu)點為,其加密的方式為透明式加解密方式,客戶 端受權(quán)限政策控管時,不須再有任何操作的行為,可簡化客戶端操作的程序, 且客戶端將不會察覺任何異狀。


圖l根據(jù)本發(fā)明的較佳實施例,為本發(fā)明應用的例示的架構(gòu)圖。 圖2根據(jù)本發(fā)明的較佳實施例,為本發(fā)明的實時式控管信息安全的方法 的流程圖。
主要組件符號說明
100 :實時式控管信息安全的方法的應用例示的架構(gòu)圖; 110:伺服端主機; 120:網(wǎng)絡接口; 130:客戶端;
S200、 S210、 S220、 S230、 S240、 S250、 S260、 S270、 S280、 S290、 S300、 S310、 S320:步驟。
具體實施例方式
為了更完整了解本發(fā)明及其優(yōu)點,以下參考附圖詳細說明,其中相同數(shù)
字表示相同組件,其中
本發(fā)明將配合其較佳實施例與附圖詳述于下,應理解者為本發(fā)明中所有 的較佳實施例僅為例示之用,因此除文中的較佳實施例外,本發(fā)明也可廣泛 地應用在其它實施例中。且本發(fā)明并不受限于任何實施例,應以權(quán)利要求及其同等領域而定。
貫穿本說明書中,"較佳實施例"意指描述關于較佳實施例的特殊特征、 結(jié)構(gòu)或特性,在本發(fā)明中,其較佳實施例數(shù)目,至少為一個。因此,本說明 書中出現(xiàn)"較佳實施例中",不限定必須完全參照同一實施例。再者,其特 殊特征、結(jié)構(gòu)或特性可使用任何適當方法組合于任一較佳實施例中。
參照圖1,為本發(fā)明的一應用例示的系統(tǒng)架構(gòu)圖100。于較佳實施例,
本發(fā)明的實時式控管信息安全的方法,應用于一 Client-Server架構(gòu)。 一伺服 端主機110通過一網(wǎng)絡接口 120與復數(shù)個客戶端130通信??蛻舳?30為一 具備網(wǎng)絡功能的計算機系統(tǒng)或終端設備。其網(wǎng)絡接口 120可包括為一廣域網(wǎng) 絡(Wide Area Network, WAN)或局域網(wǎng)絡(Local Area Network, LAN)形式的
網(wǎng)絡接口。
如眾所了解,伺服端主機110與客戶端130得包含處理器、數(shù)據(jù)庫、存 儲器、顯示單元、輸出入單元以及網(wǎng)絡連結(jié)功能,此為一般計算機系統(tǒng)所應 具備的單元,但為避免模糊焦點故不贅述,此應為了解該項技藝者所應了解。
伺服端主機110可通過網(wǎng)絡接口 120對于一個或多個的客戶端主機130 做權(quán)限控管。具體述之,伺服端主機110可利用TCP/UDP,通過一伺服端 主機110的控制接口(未顯示)與客戶端130通信。此控制接口用以主控對其 客戶端130的控管功能與程序。于較佳實施例,伺服端主機110可掛載效能 程序,通過此控制接口直接檢閱伺服端主機110的處理效能與硬盤空間。
于較佳實施例,控制接口可包含一網(wǎng)絡(Web)接口的管理接口,由伺服 端主機的管理者操作,負責客戶端130賬號管理、制定欲管理的文件權(quán)限政 策(policy)或其權(quán)限政策范本、批次加密文件、檢視客戶端130與列管文件的 紀錄等等功能。權(quán)限政策模板定義一文件的基本權(quán)限,套用于一群組內(nèi)的客 戶端或為指定特定人士的客戶端。
當客戶端130對一文件檔案或程序執(zhí)行一操作程序時,此程序或文件檔 案被啟動,同時間,客戶端130通過網(wǎng)絡接口 120,立即聯(lián)機至伺服主機110客戶端130傳送信息至伺服端主機110,通過伺服端主機110的數(shù)據(jù)庫系統(tǒng) (未顯示),查詢此客戶端130的賬號身份與其權(quán)限政策,確認此客戶端130 的權(quán)限政策是否符合伺服端主機110所給予此客戶端130的權(quán)限政策,經(jīng)由 伺服端主機110確認后,發(fā)送信息通知客戶端130,其操作程序是否符合此 客戶端130的權(quán)限政策。而后,由安裝于客戶端130的應用程序程序依照伺 服端主機110的權(quán)限政策主動設定其權(quán)限,不需文件作者再次指定權(quán)限。
若客戶端130的操作程序符合權(quán)限政策,則伺服端主機IIO傳送信息至 客戶端130,通過安裝于客戶端130內(nèi)部的應用程序,執(zhí)行客戶端130的透 明式檔案加密技術(Transparent File Encryption, TFE)的功能,并控管客戶端 130的操作權(quán)限。所謂透明式是指客戶端得以于接收到伺服端主機指令后執(zhí) 行,其執(zhí)行程序或過程不使客戶端使用者得以利用視覺方式知悉此指令的執(zhí) 行程序狀態(tài)。
客戶端130使用的文件應用軟件程序(例如Microsoft Office與Adobe Acrobat等系列軟件),需通過透明式加解密引擎處理,才能搜得客戶端130 的檔案系統(tǒng)(File System)。其加密方式可為非對稱式加密與對稱式加密,而 非對稱式加密可為公開金鑰、PKI、 RSA算法及橢圓曲線密碼的其中之一; 而對稱式加密可以是Blowfish、 TripleDES、 DES、 IDEA、 RC5、 CAST-128 和RC2其中之一。于較佳實施例,其加密的算法采用進階加密標準(Advanced Encryption Standard, AES),且至少為256Bits的加密規(guī)格。
伺服端主機110通過客戶端130的應用程序,對于客戶端130的權(quán)限控 管包括但不限于對其控管的文件與客戶端130的使用者行使電子文件檔案閱 讀、修改、內(nèi)容復制、打印、儲存、有效的期限、離線閱讀等等文件使用權(quán) 限控管。
參照圖2,是本發(fā)明實時式控管信息安全方法的流程圖,以下將按序詳 述本發(fā)明的方法步驟。
首先,本發(fā)明的實時式控管信息安全方法應用于一 Client-Server架構(gòu)(參照圖1),伺服端主機110通過網(wǎng)絡接口 120與一個或多個客戶端130通信。
伺服端主機iio預先設定一個或多個以上的權(quán)限政策與客戶端的賬號,并將
其數(shù)據(jù)儲存于伺服端主機110的數(shù)據(jù)庫系統(tǒng)內(nèi)(步驟S200)。于較佳實施例, 伺服端主機110的數(shù)據(jù)庫系統(tǒng)可利用Microsoft的Active Directory建立賬號, 驗證客戶端登入的使用者身份。
于較佳實施例,伺服端主機110對于客戶端130的控管權(quán)限可包括但不 限于禁止客戶端復制功能,且需定期清除剪貼簿(Clipboard)儲存的內(nèi)容; 攔截拖曳與放下(DragandDrop)功能;禁止鍵盤的Print Screen鍵功能;禁止 使用屏幕擷取(ScreenCapture)功育^禁止使用遠程監(jiān)控程序,例如VMWave 與VNC等程序,自遠程計算機使用屏幕擷取功能;若文件的權(quán)限為只讀, 禁止儲存與另存新文件功能;管理打印的功能,需通過Printer Hook;每開 啟一個檔案必須連回伺服端主機,確定權(quán)限政策;開啟文件檔案時,須將文 件檔案的紀錄上傳至伺服端主機110的數(shù)據(jù)庫系統(tǒng);產(chǎn)生新文件檔案時,須 套用伺服端主機110設定的權(quán)限政策;支持離線管理方式;當客戶端130與 伺服端主機110聯(lián)機時,伺服端主機110可取得此客戶端130的權(quán)限政策; 對客戶端130執(zhí)行遠程部署功能;檢查客戶端130的時間期限,避開客戶端 130改變時間規(guī)避伺服端主機110的監(jiān)控。
客戶端130通過網(wǎng)絡接口 120聯(lián)機至伺服端的主機110后,并傳送其身 份的信息供伺服端主機110驗證(步驟S210)。
伺服端主機110通過數(shù)據(jù)庫系統(tǒng),査詢數(shù)據(jù)庫系統(tǒng)內(nèi)是否有此客戶端 130的賬號數(shù)據(jù),驗證此客戶端130的身份(步驟S220)。
若伺服端主機110并無查詢到此客戶端130的身份賬號,或此客戶端130 的賬號身份驗證錯誤,則此客戶端130無法登入伺服主機110,讀取由伺服 端主機110設定的權(quán)限政策所列管的機密文件(步驟S230)。由于本發(fā)明實時
式控管信息安全方法的加解密的方式為透明式加解密,通過安裝于客戶端 130的檔案系統(tǒng)(File System)的透明式加解密程序,對伺服端主機110所列管的文件進行透明式加解密。客戶端130的使用者僅于文件操作過程受權(quán)限控 管,并無任何察覺變動與不便之處,也無須再有任何設定。
若伺服端主機110自數(shù)據(jù)庫系統(tǒng)內(nèi)査詢到客戶端130的數(shù)據(jù),驗證其客 戶端130身份成功,通過數(shù)據(jù)庫系統(tǒng),傳送列管的文件與此客戶端130相關 聯(lián)的權(quán)限政策至此客戶端130(步驟S240)。
客戶端130對一檔案執(zhí)行一操作程序(步驟S250)。例如,開啟任一程序 或電子文件檔案。當此程序或文件被開啟時,同時間,客戶端130通過網(wǎng)絡 接口 120,自動傳送信息至伺服主機110(步驟S260)。
伺服端主機110接收客戶端130傳送的信息后,通過數(shù)據(jù)庫系統(tǒng),查詢 此客戶端130的賬號身份與其權(quán)限政策,確認此客戶端130的權(quán)限政策是否 符合伺服端主機IIO所給予此客戶端130的權(quán)限政策,并紀錄此操作程序于 數(shù)據(jù)庫系統(tǒng)(步驟S270)。
經(jīng)由伺服端主機110確認后,發(fā)送信息通知客戶端130,其操作程序是 否符合此客戶端130的權(quán)限政策(步驟S280)。而后,由安裝于客戶端130的 應用程序程序依照伺服端主機110的權(quán)限政策自動設定其權(quán)限,不需文件作 者再次指定權(quán)限(步驟S290)。
若客戶端130并無權(quán)限對此文件執(zhí)行操作程序,則其文件的密文檔 (Ciphertext)無法解密,客戶端130無法對其文件執(zhí)行操作程序(步驟S300)。
若客戶端130有權(quán)限對此文件進行操作的程序,通過安裝于客戶端130 內(nèi)部的應用程序,執(zhí)行透明式檔案加解密技術的功能,自動解密其文件的密 文檔為明文檔(Plaintext)(步驟S310)。
客戶端130執(zhí)行操作程序并儲存后,應用程序?qū)⒆詣佑诳蛻舳瞬际鸬耐?明式加解密引擎,強制對修改后的文件自動加密(步驟S320)。
最后,客戶端自動將其文件的信息(例如文件的身份證明(ID)、 Header Key、存盤時間等等)上傳至伺服端主機110的數(shù)據(jù)庫系統(tǒng)(步驟S330)。
對熟悉此領域技藝者,本發(fā)明雖以較佳實例闡明如上,然其并非用以限定本發(fā)明的精神。在不脫離本發(fā)明的精神與范圍內(nèi)所作的修改與類似的配 置,均應包含在權(quán)利要求范圍內(nèi),此范圍應覆蓋所有類似修改與類似結(jié)構(gòu), 且應做最寬廣的詮釋。
舉例而言,本發(fā)明提及的控制模塊、解密模塊或應用程序模塊,雖以較 佳實例闡明如上,但上述部分組件可能有其它的選擇名稱。再者,各種相同 功能的組件可以相互代替。上述的與其較佳實施例所揭露其它變化與修改, 并不違背本發(fā)明的范圍與精神。
權(quán)利要求
1.一種實時式控管信息安全的方法,該方法應用于一Client-Server架構(gòu),伺服端的主機得通過一網(wǎng)絡接口與復數(shù)個客戶端通信,其特征在于,所述方法包含以下步驟通過網(wǎng)絡接口接收所述客戶端聯(lián)機的要求與所述客戶端身份信息;通過所述網(wǎng)絡接口,傳送權(quán)限政策至所述客戶端;所述客戶端對一文件檔案執(zhí)行一操作程序,同時間,通過網(wǎng)絡接口,接收自所述客戶端傳送的信息;通過所述伺服端主機的數(shù)據(jù)庫,查詢所述客戶端的賬號身份與相關的權(quán)限政策,確認所述操作程序的權(quán)限,并紀錄所述操作程序;確認所述操作程序的權(quán)限后,傳送賬號數(shù)據(jù)與所述客戶端相關的權(quán)限政策至所述客戶端;若所述客戶端具有權(quán)限執(zhí)行所述操作程序,則所述客戶端自動解密所述文件檔案;所述客戶端完成所述操作程序后,自動加密所述文件檔案;接收自所述客戶端傳送的所述完成操作程序的文件紀錄。
2. 如權(quán)利要求1所述的實時式控管信息安全的方法,其特征在于,所述 方法還包括確認所述文件檔的權(quán)限政策。
3. 如權(quán)利要求1所述的實時式控管信息安全的方法,其特征在于,所述 方法包括若所述客戶端無權(quán)限執(zhí)行所述操作程序,則所述文件的密文檔無法 解密。
4. 如權(quán)利要求1所述的實時式控管信息安全的方法,其特征在于,所述 的加密方式包括一透明式加密方式。
5. 如權(quán)利要求1所述的實時式控管信息安全的方法,其特征在于,所述 的加密方式的種類可包括公開金鑰、RSA算法、橢圓曲線密碼、Blowfish、TripleDES、 DES、 IDEA、 RC5、 CAST-128、 RC2或進階加密標準。
6. —種實時式控管信息安全的方法,該方法應用于一 Client-Server架構(gòu), 伺服端的主機得通過一網(wǎng)絡接口與復數(shù)個客戶端通信,其特征在于,所述方 法包含以下步驟所述客戶端通過網(wǎng)絡接口聯(lián)機至所述伺服主機;所述客戶端自伺服端主機接收賬號數(shù)據(jù)與權(quán)限政策;所述客戶端對一文件檔案執(zhí)行一操作程序,同時間,通過網(wǎng)絡接口,傳 送一信息通知所述伺服主機,確認所述操作程序的權(quán)限政策;所述伺服端主機確認所述操作程序的權(quán)限后,接收自所述伺服端主機傳 送的賬號數(shù)據(jù)與所述客戶端相關的權(quán)限政策;所述客戶端依照所述伺服端傳送的權(quán)限政策,自動設定權(quán)限政策;若所述客戶端具有權(quán)限執(zhí)行所述操作程序,則所述客戶端自動解密所述 文件檔案;所述客戶端完成所述操作程序后,自動加密所述文件檔案; 傳送所述文件檔案的紀錄數(shù)據(jù)至伺服端主機。
7. 如權(quán)利要求6所述的實時式控管信息安全的方法,其特征在于,所述 方法還包括確認所述文件檔的權(quán)限政策。
8. 如權(quán)利要求6所述的實時式控管信息安全的方法,其特征在于,所述的加密方式包括一透明式加密方式。
9. 如權(quán)利要求6所述的實時式控管信息安全的方法,其特征在于,所述 的加密方式的種類可包括公開金鑰、RSA算法、橢圓曲線密碼、Blowfish、 Triple DES、 DES、 IDEA、 RC5、 CAST-128、 RC2或進階加密標準。
10. 如權(quán)利要求6所述的實時式控管信息安全的方法,其特征在于,所述 的所述客戶端依照所述伺服端傳送的信息,自動設定權(quán)限政策,通過安裝于 所述客戶端的應用程序,依照所述權(quán)限政策,控管所述客戶端的權(quán)限。
全文摘要
本發(fā)明揭露一種實時式控管信息安全的方法,應用于Client-Server架構(gòu)。伺服端主機通過網(wǎng)絡接口與復數(shù)個客戶端通信。該方法包含接收客戶端聯(lián)機的要求與客戶端身份信息;通過網(wǎng)絡接口,傳送權(quán)限政策至客戶端;客戶端對文件檔案執(zhí)行操作程序,同時接收自客戶端傳送的信息;通過伺服端主機的數(shù)據(jù)庫,查詢客戶端的賬號身份與相關的權(quán)限政策,確認操作程序的權(quán)限,紀錄操作程序;確認操作程序的權(quán)限后,傳送賬號數(shù)據(jù)與客戶端相關的權(quán)限政策至客戶端;客戶端具有權(quán)限執(zhí)行操作程序,則客戶端自動解密文件檔案;客戶端完成操作程序后,自動加密文件檔案;接收自客戶端傳送的完成操作程序的文件紀錄。本發(fā)明能立即式地控管客戶端的使用權(quán)限。
文檔編號H04L12/58GK101321062SQ20071010893
公開日2008年12月10日 申請日期2007年6月7日 優(yōu)先權(quán)日2007年6月7日
發(fā)明者陳弘儒 申請人:精品科技股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1