一種移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)權(quán)限控制方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域����,尤其涉及一種移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)權(quán)限控制方法及裝置��。
【背景技術(shù)】
[0002]移動(dòng)存儲(chǔ)設(shè)備就是可以在不同終端間移動(dòng)的存儲(chǔ)設(shè)備�����,大大方便了資料存儲(chǔ)��,因此�,移動(dòng)存儲(chǔ)設(shè)備的使用十分廣泛。
[0003]然而����,對(duì)于敏感或涉密數(shù)據(jù)在計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備之間的交換,缺乏系統(tǒng)的�����、實(shí)用的安全管理方案?���,F(xiàn)有的基于文件的安全管理系統(tǒng)一般都通過(guò)用戶設(shè)定文件安全屬性的方法來(lái)制定安全級(jí)別和允許的操作,雖然對(duì)文件交換的控制進(jìn)行了改進(jìn)���,但依然存在兩個(gè)問(wèn)題:一是在用戶對(duì)文件內(nèi)容了解不足或者在操作失誤的情況下����,容易錯(cuò)誤地設(shè)定安全屬性,導(dǎo)致潛在的安全管理失效�����,降低了系統(tǒng)的可靠性�����;二是這些系統(tǒng)的操作控制往往局限在只讀���、限制打印次數(shù)����、限制部分編輯功能等�,缺乏靈活性和實(shí)用性。
【發(fā)明內(nèi)容】
[0004]針對(duì)現(xiàn)有技術(shù)的缺陷�����,本發(fā)明提供一種移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)權(quán)限控制方法及裝置,能夠?qū)崿F(xiàn)預(yù)設(shè)范圍內(nèi)的終端對(duì)加標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)控制��,靈活地對(duì)數(shù)據(jù)在計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備之間的交換進(jìn)行安全管理��。
[0005]第一方面����,本發(fā)明提供了一種移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)權(quán)限控制方法�����,該方法包括:
[0006]對(duì)移動(dòng)存儲(chǔ)設(shè)備寫(xiě)入指定權(quán)限的標(biāo)簽���,并根據(jù)所述移動(dòng)存儲(chǔ)設(shè)備的ID和所述標(biāo)簽的權(quán)限獲得預(yù)設(shè)的權(quán)限管理策略�����;
[0007]將該移動(dòng)存儲(chǔ)設(shè)備的ID和所述權(quán)限管理策略發(fā)送給預(yù)設(shè)范圍內(nèi)的終端�����,以對(duì)所述預(yù)設(shè)范圍內(nèi)的終端授權(quán)����;
[0008]當(dāng)該移動(dòng)存儲(chǔ)設(shè)備接入所述預(yù)設(shè)范圍內(nèi)的終端時(shí),根據(jù)所述權(quán)限管理策略對(duì)所述移動(dòng)存儲(chǔ)設(shè)備進(jìn)行訪問(wèn)權(quán)限的控制����。
[0009]優(yōu)選地,所述當(dāng)該移動(dòng)存儲(chǔ)設(shè)備接入所述終端時(shí)�����,根據(jù)所述權(quán)限管理策略對(duì)所述移動(dòng)存儲(chǔ)設(shè)備進(jìn)行訪問(wèn)權(quán)限的控制���,包括:
[0010]當(dāng)移動(dòng)存儲(chǔ)設(shè)備接入終端時(shí)���,獲取所述移動(dòng)存儲(chǔ)設(shè)備的ID和標(biāo)簽;
[0011]根據(jù)所述移動(dòng)存儲(chǔ)設(shè)備ID����,判斷寫(xiě)入所述標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備的在該終端上是否被授權(quán);
[0012]若所述移動(dòng)存儲(chǔ)設(shè)備在該終端已被授權(quán)�����,則獲取所述標(biāo)簽對(duì)應(yīng)的權(quán)限管理策略�����,并根據(jù)所述標(biāo)簽的權(quán)限及權(quán)限管理策略,對(duì)該移動(dòng)存儲(chǔ)設(shè)備的操作進(jìn)行管理和控制��。
[0013]優(yōu)選地�,所述指定權(quán)限的標(biāo)簽包括:普通標(biāo)簽、加密標(biāo)簽或干擾標(biāo)簽�。
[0014]優(yōu)選地����,若所述指定權(quán)限的標(biāo)簽為加密標(biāo)簽,則所述對(duì)移動(dòng)存儲(chǔ)設(shè)備寫(xiě)入指定權(quán)限的標(biāo)簽����,包括:
[0015]對(duì)移動(dòng)存儲(chǔ)設(shè)備寫(xiě)入加密標(biāo)簽,并將所述移動(dòng)存儲(chǔ)設(shè)備分為啟動(dòng)區(qū)�����、交互區(qū)及保密區(qū)���。
[0016]優(yōu)選地�����,若所述指定權(quán)限的標(biāo)簽為加密標(biāo)簽��,則所述根據(jù)所述權(quán)限管理策略對(duì)所述移動(dòng)存儲(chǔ)設(shè)備進(jìn)行訪問(wèn)權(quán)限的控制��,包括:
[0017]若寫(xiě)入所述加密標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備在該終端上已被授權(quán)���,則根據(jù)加密標(biāo)簽對(duì)應(yīng)的權(quán)限管理策略�����,通過(guò)密碼驗(yàn)證后���,對(duì)所述移動(dòng)存儲(chǔ)設(shè)備的交互區(qū)和保密區(qū)進(jìn)行訪問(wèn)控制;
[0018]若寫(xiě)入所述加密標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備在該終端上未被授權(quán),則禁止打開(kāi)讀取所述移動(dòng)存儲(chǔ)設(shè)備�。
[0019]優(yōu)選地,若所述指定權(quán)限的標(biāo)簽為普通標(biāo)簽���,則所述根據(jù)所述權(quán)限管理策略對(duì)所述移動(dòng)存儲(chǔ)設(shè)備進(jìn)行訪問(wèn)權(quán)限的控制��,包括:
[0020]若寫(xiě)入所述普通標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備在該終端上已被授權(quán)���,則根據(jù)普通標(biāo)簽對(duì)應(yīng)的權(quán)限管理策略,對(duì)所述移動(dòng)存儲(chǔ)設(shè)備進(jìn)行訪問(wèn)控制���;
[0021]若寫(xiě)入所述普通標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備在該終端上未被授權(quán)����,且該終端屬于管理區(qū)域外,則允許在該終端對(duì)所述移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀寫(xiě)操作�。
[0022]優(yōu)選地,該方法還包括:
[0023]根據(jù)該終端對(duì)所述移動(dòng)存儲(chǔ)設(shè)備的讀寫(xiě)操作生成日志����,并將所述日志上傳至服務(wù)器。
[0024]第二方面���,本發(fā)明提供了一種移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)權(quán)限控制裝置,該裝置包括:
[0025]標(biāo)簽寫(xiě)入單元�,用于對(duì)移動(dòng)存儲(chǔ)設(shè)備寫(xiě)入指定權(quán)限的標(biāo)簽,并根據(jù)所述移動(dòng)存儲(chǔ)設(shè)備的ID和所述標(biāo)簽的權(quán)限獲得預(yù)設(shè)的權(quán)限管理策略��;
[0026]終端授權(quán)單元�����,用于將該移動(dòng)存儲(chǔ)設(shè)備的ID和所述權(quán)限管理策略發(fā)送給預(yù)設(shè)范圍內(nèi)的終端����,以對(duì)所述預(yù)設(shè)范圍內(nèi)的終端授權(quán);
[0027]訪問(wèn)控制單元����,用于當(dāng)該移動(dòng)存儲(chǔ)設(shè)備接入所述預(yù)設(shè)范圍內(nèi)的終端時(shí)�����,根據(jù)所述權(quán)限管理策略對(duì)所述移動(dòng)存儲(chǔ)設(shè)備進(jìn)行訪問(wèn)權(quán)限的控制����。
[0028]優(yōu)選地����,所述指定權(quán)限的標(biāo)簽包括:普通標(biāo)簽、加密標(biāo)簽或干擾標(biāo)簽���。
[0029]優(yōu)選地����,該裝置還包括日志生成單元����,用于:
[0030]根據(jù)該終端對(duì)所述移動(dòng)存儲(chǔ)設(shè)備的讀寫(xiě)操作生成日志,并將所述日志上傳至服務(wù)器�。
[0031 ] 由上述技術(shù)方案可知,本發(fā)明提供一種移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)權(quán)限控制方法及裝置�,通過(guò)對(duì)移動(dòng)存儲(chǔ)設(shè)備寫(xiě)入不同權(quán)限的標(biāo)簽�����,并進(jìn)一步地對(duì)預(yù)設(shè)范圍內(nèi)的終端授權(quán)����,以實(shí)現(xiàn)預(yù)設(shè)范圍內(nèi)的終端對(duì)加標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)控制���,從而靈活地對(duì)數(shù)據(jù)在計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備之間的交換進(jìn)行安全管理�。
【附圖說(shuō)明】
[0032]為了更清楚地說(shuō)明本公開(kāi)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地�����,下面描述中的附圖僅僅是本公開(kāi)的一些實(shí)施例�����,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)的前提下����,還可以根據(jù)這些圖獲得其他的附圖。
[0033]圖1是本發(fā)明一實(shí)施例提供的一種移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)權(quán)限控制方法的流程示意圖�����;
[0034]圖2是本發(fā)明另一實(shí)施例提供的一種移動(dòng)存儲(chǔ)管理系統(tǒng)中用戶����、終端及移動(dòng)存儲(chǔ)設(shè)備間互相認(rèn)證的示意圖;
[0035]圖3是本發(fā)明另一實(shí)施例提供的一種移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)權(quán)限控制裝置的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0036]下面將結(jié)合本公開(kāi)實(shí)施例中的附圖,對(duì)本公開(kāi)實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述����,顯然,所描述的實(shí)施例僅僅是本公開(kāi)一部分實(shí)施例����,而不是全部的實(shí)施例?��;诒竟_(kāi)中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本公開(kāi)保護(hù)的范圍���。
[0037]本實(shí)施例提供了一種移動(dòng)存儲(chǔ)管理系統(tǒng)��,包括服務(wù)器端��、客戶端及專用U盤(pán)注冊(cè)工具���。其中,服務(wù)器端:移動(dòng)存儲(chǔ)系統(tǒng)管理中心���,基于web頁(yè)面管理方式,管理員登陸后配置后系統(tǒng)才能運(yùn)行��,能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中(預(yù)設(shè)的管理范圍)的終端計(jì)算機(jī)����,并檢測(cè)終端計(jì)算機(jī)是否安裝系統(tǒng)客戶端程序����,管理中心內(nèi)置移動(dòng)存儲(chǔ)管理策略中心和報(bào)警中心�����,提供對(duì)網(wǎng)絡(luò)終端的分組管理設(shè)置�。客戶端:安裝在終端計(jì)算機(jī)���,接收系統(tǒng)管理中心分發(fā)的策略���,根據(jù)接受策略實(shí)時(shí)監(jiān)控接入終端計(jì)算機(jī)移動(dòng)存儲(chǔ)設(shè)備的操作行為和狀態(tài),并進(jìn)行管理或者控制�����;終端主機(jī)安全移動(dòng)存儲(chǔ)管理系統(tǒng)客戶端注冊(cè)程序以后�,即使離開(kāi)所在網(wǎng)絡(luò)或不處于任務(wù)網(wǎng)絡(luò)中,仍實(shí)時(shí)受到移動(dòng)存儲(chǔ)管理策略控制����,日志記錄于本地,一經(jīng)連接回網(wǎng)絡(luò),則自動(dòng)上報(bào)日志信息給服務(wù)器�����;專用U盤(pán)注冊(cè)工具:移動(dòng)存儲(chǔ)設(shè)備經(jīng)過(guò)網(wǎng)管人員注冊(cè)(包括打標(biāo)簽���、或設(shè)置訪問(wèn)密碼)工具認(rèn)證后����,該移動(dòng)存儲(chǔ)設(shè)備才能在網(wǎng)絡(luò)中使用����。使用者在使用時(shí)必須輸入使用密碼后才能使用。
[0038]基于上述移動(dòng)存儲(chǔ)管理系統(tǒng)��,圖1示出了本發(fā)明一實(shí)施例提供的一種移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)權(quán)限控制方法的流程示意圖�����,如圖1所示����,該方法包括如下步驟:
[0039]S1:對(duì)移動(dòng)存儲(chǔ)設(shè)備寫(xiě)入指定權(quán)限的標(biāo)簽�,并根據(jù)移動(dòng)存儲(chǔ)設(shè)備的ID和所述標(biāo)簽的權(quán)限獲得預(yù)設(shè)的權(quán)限管理策略。
[0040]具體來(lái)說(shuō),對(duì)移動(dòng)存儲(chǔ)設(shè)備寫(xiě)入標(biāo)簽的過(guò)程即為認(rèn)證的過(guò)程����,只有認(rèn)證后的移動(dòng)存儲(chǔ)設(shè)備才能在預(yù)設(shè)管理范圍內(nèi)使用。
[0041]所述指定權(quán)限的標(biāo)簽包括:普通標(biāo)簽����、加密標(biāo)簽或干擾標(biāo)簽等。寫(xiě)入普通標(biāo)簽和干擾標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備不需密碼即可訪問(wèn)�����,而寫(xiě)入加密標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)備需密碼才能訪問(wèn)��。
[0042]其中���,寫(xiě)入不同權(quán)限標(biāo)簽的移動(dòng)存儲(chǔ)設(shè)