企業(yè)網(wǎng)絡(luò)中為了數(shù)據(jù)外泄保護而解密文件的方法與裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明系關(guān)于企業(yè)的資料外泄保護,特別是為了數(shù)據(jù)外泄保護的需要而解密加密文件以進行檢查。
【背景技術(shù)】
[0002]企業(yè)為了確保機密數(shù)據(jù)不會經(jīng)由連外的因特網(wǎng)等電子通信方式而外泄,會設(shè)置有數(shù)據(jù)外泄保護(Data Leakage Protect1n、DLP)機制,以檢查對外的通信內(nèi)容中是否含有機密數(shù)據(jù)。對此可參考 Check Point Software Technologies Ltd.的產(chǎn)品 Check PointDLP Software Blade。
[0003]另一方面,為了進行上述的DLP檢查,當通信內(nèi)容中含有加密文件時,則必須對加密文件進行解密才能檢查?,F(xiàn)有利用暴力破解(Brute-force)的方式來嘗試解密加密文件,但可想見地此方式相當耗時。另外也有藉由剖析(parse)電子郵件內(nèi)容來建立暴力破解方式所需要的字典,對此可參考美國專利公開號US2012/0216046,在此以引用的方式并入本文。
【發(fā)明內(nèi)容】
[0004]本發(fā)明一方面即在于:為了在企業(yè)網(wǎng)絡(luò)中進行DLP檢查,預先收集企業(yè)網(wǎng)絡(luò)內(nèi)的終端進行加密程序所輸入的密碼,加以儲存收集為密碼候選名單,而當日后需要對加密文件進行解密時,則可根據(jù)此密碼候選名單嘗試解密。
[0005]由于要送到企業(yè)網(wǎng)絡(luò)之外的加密文件,大部分都是在企業(yè)網(wǎng)絡(luò)內(nèi)的終端完成加密程序,因此透過此方式,首先可大幅提高密碼的正確性,而不需要暴力破解方式盲目地嘗試解密。
[0006]另一方面,一般來說,企業(yè)網(wǎng)絡(luò)中使用者所能設(shè)想到作為加密使用的密碼數(shù)量相對有限。因此相較于暴力破解方式所使用的字典,藉由本發(fā)明所收集的密碼候選名單短小的多??上氲降?,在嘗試解密的過程中,使用本發(fā)明所產(chǎn)生的密碼候選名單會比使用字典的方式節(jié)省非常多的時間,因此也減少服務中斷(service interrupt1n)的時間,而可達成實時的DLP檢查。
[0007]本發(fā)明另一方面即在于:藉由監(jiān)控企業(yè)網(wǎng)絡(luò)中終端所執(zhí)行的特定應用程序(例如7-Zip或是Microsoft Word)以及該應用程序所進行的文件加密程序,可有效地辨識使用者所輸入的密碼。透過此方式,可不需要全程監(jiān)控使用者在終端上的所有動作或輸入,除了可避免侵犯的隱私問題,亦可大幅降低所需的系統(tǒng)資源。
[0008]根據(jù)本發(fā)明一實施例,一種在企業(yè)網(wǎng)絡(luò)中收集加密文件的解密密碼的計算機實施方法,該方法包含:
[0009]籲監(jiān)視在終端所執(zhí)行的應用程序;
[0010]?因應該終端執(zhí)行一預定應用程序,開始監(jiān)視該預定應用程序所進行的程序;以及
[0011]?因應該預定應用程序進行該一文件加密程序,開始辨識使用者為該文件加密程序所輸入之一密碼。
[0012]根據(jù)本發(fā)明另一實施例,一種在企業(yè)網(wǎng)絡(luò)中解密加密文件的計算機實施方法,該方法包含:
[0013]?從一終端接收一加密文件;以及
[0014]?嘗試以上述在企業(yè)網(wǎng)絡(luò)中收集加密文件的解密密碼的計算機實施方法所取得之該密碼對該加密文件進行解密。
[0015]根據(jù)本發(fā)明另一實施例,一種在企業(yè)網(wǎng)絡(luò)中解密加密文件的計算機實施方法,該方法包含:
[0016]?收集密碼模塊辨識在終端進行一第一文件加密程序所輸入之一第一密碼,并儲存該第一密碼;
[0017]?數(shù)據(jù)外泄保護模塊接收一加密文件;以及
[0018]?數(shù)據(jù)外泄保護模塊嘗試以該第一密碼對該加密文件進行解密。
[0019]根據(jù)本發(fā)明另一實施例,一種在企業(yè)網(wǎng)絡(luò)中收集加密文件的解密密碼的裝置,該裝置包含:
[0020]?第一監(jiān)視部件,監(jiān)視在一終端所執(zhí)行的應用程序;
[0021]?第二監(jiān)視部件,因應該終端執(zhí)行一預定應用程序,開始監(jiān)視該預定應用程序所進行的程序;以及
[0022]?辨識部件,因應該預定應用程序進行一文件加密程序,開始辨識使用者為該文件加密程序所輸入的一密碼。
[0023]根據(jù)本發(fā)明另一實施例,一種在企業(yè)網(wǎng)絡(luò)中解密加密文件的裝置,該裝置包含:
[0024]?接收部件,從一終端接收一加密文件;以及
[0025]籲解密部件,嘗試以如上所述的裝置所取得的該密碼對該加密文件進行解密。
[0026]在本發(fā)明其它實施例中,更提出可實行上述方法之信息設(shè)備以及計算機可讀媒體或計算機程序產(chǎn)品。
[0027]本說明書中所提及的特色、優(yōu)點、或類似表達方式并不表示,可以本發(fā)明實現(xiàn)的所有特色及優(yōu)點應在本發(fā)明之任何單一的具體實施例內(nèi)。而是應明白,有關(guān)特色及優(yōu)點的表達方式是指結(jié)合具體實施例所述的特定特色、優(yōu)點、或特性系包含在本發(fā)明的至少一具體實施例內(nèi)。因此,本說明書中對于特色及優(yōu)點、及類似表達方式的論述與相同具體實施例有關(guān),但亦非必要。
[0028]此外,可以任何合適的方式,在一或多個具體實施例中結(jié)合本發(fā)明所述特色、優(yōu)點、及特性。相關(guān)技術(shù)者應明白,在沒有特定具體實施例之一或多個特定特色或優(yōu)點的情況下,亦可實施本發(fā)明。在其它例子中應明白,特定具體實施例中的其它特色及優(yōu)點可能未在本發(fā)明的所有具體實施例中出現(xiàn)。
[0029]參考以下說明及隨附申請專利范圍或利用如下文所提之本發(fā)明的實施方式,即可更加明了本發(fā)明的這些特色及優(yōu)點。
【附圖說明】
[0030]為了立即了解本發(fā)明的優(yōu)點,請參考如附圖所示的特定具體實施例,詳細說明上文簡短敘述的本發(fā)明。在了解這些圖示僅描繪本發(fā)明的典型具體實施例并因此不將其視為限制本發(fā)明范疇的情況下,參考附圖以額外的明確性及細節(jié)來說明本發(fā)明,附圖中:
[0031]圖1為一種依據(jù)本發(fā)明具體實施例的企業(yè)網(wǎng)絡(luò)示意圖;
[0032]圖2為依據(jù)本發(fā)明具體實施例的收集密碼的方法流程圖;
[0033]圖3為依據(jù)本發(fā)明具體實施例的密碼候選表PT ;
[0034]圖4為依據(jù)本發(fā)明具體實施例的嘗試解密的方法流程圖。
[0035]【主要組件符號說明】
[0036]10 企業(yè)網(wǎng)絡(luò)
[0037]20 終端
[0038]30 收集密碼模塊
[0039]40 DLP 模塊
[0040]42 內(nèi)存
[0041]44 處理器
[0042]50 外部網(wǎng)絡(luò)
[0043]PT 密碼候選表
【具體實施方式】
[0044]本說明書中“一具體實施例”或類似表達方式的引用是指結(jié)合該具體實施例所述的特定特色、結(jié)構(gòu)、或特性包括在本發(fā)明的至少一具體實施例中。因此,在本說明書中,“在一具體實施例中”及類似表達方式的用語的出現(xiàn)未必指相同的具體實施例。
[0045]本領(lǐng)域技術(shù)人員當知,本發(fā)明可實施為信息設(shè)備、方法或作為計算機程序產(chǎn)品的計算機可讀媒體。因此,本發(fā)明可以實施為各種形式,例如完全的硬件實施例、完全的軟件實施例(包含韌體、常駐軟件、微程序代碼等),或者亦可實施為軟件與硬件的實施形式,在以下會被稱為“電路”、“模塊”或“系統(tǒng)”。此外,本發(fā)明亦可以任何有形的媒體形式實施為計算機程序產(chǎn)品,其具有計算機可使用程序代碼儲存于其上。
[0046]—個或更多個計算機可使用或可讀取媒體的組合都可以利用。舉例來說,計算機可使用或可讀取媒體可以是(但并不限于)電子的、磁的、光學的、電磁的、紅外線的或半導體的系統(tǒng)、裝置、設(shè)備或傳播媒體。更具體的計算機可讀取媒體實施例可以包括下列所示(非限定的例示):由一個或多個連接線所組成的電氣連接、可攜式的計算機磁盤、硬盤機、隨機存取內(nèi)存(RAM)、只讀存儲器(ROM)、可抹除程序化只讀存儲器(EPR0M或閃存)、光纖、可攜式光盤片(CD-ROM)、光學儲存裝置、傳輸媒體(例如因特網(wǎng)(Internet)或內(nèi)部網(wǎng)絡(luò)(intranet)之基礎(chǔ)連接)、或磁儲存裝置。需注意的是,計算機可使用或可讀取媒體更可以為紙張或任何可用于將程序行印于其上而使得該程序可以再度被電子化的適當媒體,例如藉由光學掃描該紙張或其