一種移動存儲設(shè)備的訪問權(quán)限控制方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域���,尤其涉及一種移動存儲設(shè)備的訪問權(quán)限控制方法及裝置�����。
【背景技術(shù)】
[0002]移動存儲設(shè)備就是可以在不同終端間移動的存儲設(shè)備��,大大方便了資料存儲��,因此����,移動存儲設(shè)備的使用十分廣泛。
[0003]然而�,對于敏感或涉密數(shù)據(jù)在計算機(jī)和移動存儲設(shè)備之間的交換,缺乏系統(tǒng)的���、實用的安全管理方案?���,F(xiàn)有的基于文件的安全管理系統(tǒng)一般都通過用戶設(shè)定文件安全屬性的方法來制定安全級別和允許的操作����,雖然對文件交換的控制進(jìn)行了改進(jìn)��,但依然存在兩個問題:一是在用戶對文件內(nèi)容了解不足或者在操作失誤的情況下,容易錯誤地設(shè)定安全屬性�,導(dǎo)致潛在的安全管理失效,降低了系統(tǒng)的可靠性���;二是這些系統(tǒng)的操作控制往往局限在只讀��、限制打印次數(shù)����、限制部分編輯功能等�����,缺乏靈活性和實用性����。
【發(fā)明內(nèi)容】
[0004]針對現(xiàn)有技術(shù)的缺陷,本發(fā)明提供一種移動存儲設(shè)備的訪問權(quán)限控制方法及裝置����,能夠?qū)崿F(xiàn)預(yù)設(shè)范圍內(nèi)的終端對加標(biāo)簽的移動存儲設(shè)備的訪問控制,靈活地對數(shù)據(jù)在計算機(jī)和移動存儲設(shè)備之間的交換進(jìn)行安全管理�����。
[0005]第一方面,本發(fā)明提供了一種移動存儲設(shè)備的訪問權(quán)限控制方法�,該方法包括:
[0006]對移動存儲設(shè)備寫入指定權(quán)限的標(biāo)簽,并根據(jù)所述移動存儲設(shè)備的ID和所述標(biāo)簽的權(quán)限獲得預(yù)設(shè)的權(quán)限管理策略�����;
[0007]將該移動存儲設(shè)備的ID和所述權(quán)限管理策略發(fā)送給預(yù)設(shè)范圍內(nèi)的終端��,以對所述預(yù)設(shè)范圍內(nèi)的終端授權(quán)���;
[0008]當(dāng)該移動存儲設(shè)備接入所述預(yù)設(shè)范圍內(nèi)的終端時���,根據(jù)所述權(quán)限管理策略對所述移動存儲設(shè)備進(jìn)行訪問權(quán)限的控制。
[0009]優(yōu)選地��,所述當(dāng)該移動存儲設(shè)備接入所述終端時����,根據(jù)所述權(quán)限管理策略對所述移動存儲設(shè)備進(jìn)行訪問權(quán)限的控制,包括:
[0010]當(dāng)移動存儲設(shè)備接入終端時����,獲取所述移動存儲設(shè)備的ID和標(biāo)簽;
[0011]根據(jù)所述移動存儲設(shè)備ID,判斷寫入所述標(biāo)簽的移動存儲設(shè)備的在該終端上是否被授權(quán)�����;
[0012]若所述移動存儲設(shè)備在該終端已被授權(quán)�,則獲取所述標(biāo)簽對應(yīng)的權(quán)限管理策略�����,并根據(jù)所述標(biāo)簽的權(quán)限及權(quán)限管理策略����,對該移動存儲設(shè)備的操作進(jìn)行管理和控制。
[0013]優(yōu)選地��,所述指定權(quán)限的標(biāo)簽包括:普通標(biāo)簽����、加密標(biāo)簽或干擾標(biāo)簽。
[0014]優(yōu)選地�����,若所述指定權(quán)限的標(biāo)簽為加密標(biāo)簽����,則所述對移動存儲設(shè)備寫入指定權(quán)限的標(biāo)簽���,包括:
[0015]對移動存儲設(shè)備寫入加密標(biāo)簽,并將所述移動存儲設(shè)備分為啟動區(qū)�、交互區(qū)及保密區(qū)。
[0016]優(yōu)選地���,若所述指定權(quán)限的標(biāo)簽為加密標(biāo)簽��,則所述根據(jù)所述權(quán)限管理策略對所述移動存儲設(shè)備進(jìn)行訪問權(quán)限的控制��,包括:
[0017]若寫入所述加密標(biāo)簽的移動存儲設(shè)備在該終端上已被授權(quán)�����,則根據(jù)加密標(biāo)簽對應(yīng)的權(quán)限管理策略���,通過密碼驗證后,對所述移動存儲設(shè)備的交互區(qū)和保密區(qū)進(jìn)行訪問控制;
[0018]若寫入所述加密標(biāo)簽的移動存儲設(shè)備在該終端上未被授權(quán)���,則禁止打開讀取所述移動存儲設(shè)備����。
[0019]優(yōu)選地,若所述指定權(quán)限的標(biāo)簽為普通標(biāo)簽��,則所述根據(jù)所述權(quán)限管理策略對所述移動存儲設(shè)備進(jìn)行訪問權(quán)限的控制�����,包括:
[0020]若寫入所述普通標(biāo)簽的移動存儲設(shè)備在該終端上已被授權(quán)�����,則根據(jù)普通標(biāo)簽對應(yīng)的權(quán)限管理策略��,對所述移動存儲設(shè)備進(jìn)行訪問控制�����;
[0021]若寫入所述普通標(biāo)簽的移動存儲設(shè)備在該終端上未被授權(quán)����,且該終端屬于管理區(qū)域外�,則允許在該終端對所述移動存儲設(shè)備進(jìn)行讀寫操作。
[0022]優(yōu)選地�,該方法還包括:
[0023]根據(jù)該終端對所述移動存儲設(shè)備的讀寫操作生成日志,并將所述日志上傳至服務(wù)器��。
[0024]第二方面,本發(fā)明提供了一種移動存儲設(shè)備的訪問權(quán)限控制裝置���,該裝置包括:
[0025]標(biāo)簽寫入單元��,用于對移動存儲設(shè)備寫入指定權(quán)限的標(biāo)簽��,并根據(jù)所述移動存儲設(shè)備的ID和所述標(biāo)簽的權(quán)限獲得預(yù)設(shè)的權(quán)限管理策略���;
[0026]終端授權(quán)單元,用于將該移動存儲設(shè)備的ID和所述權(quán)限管理策略發(fā)送給預(yù)設(shè)范圍內(nèi)的終端��,以對所述預(yù)設(shè)范圍內(nèi)的終端授權(quán)��;
[0027]訪問控制單元�����,用于當(dāng)該移動存儲設(shè)備接入所述預(yù)設(shè)范圍內(nèi)的終端時�,根據(jù)所述權(quán)限管理策略對所述移動存儲設(shè)備進(jìn)行訪問權(quán)限的控制。
[0028]優(yōu)選地�,所述指定權(quán)限的標(biāo)簽包括:普通標(biāo)簽、加密標(biāo)簽或干擾標(biāo)簽����。
[0029]優(yōu)選地�,該裝置還包括日志生成單元�,用于:
[0030]根據(jù)該終端對所述移動存儲設(shè)備的讀寫操作生成日志,并將所述日志上傳至服務(wù)器�����。
[0031 ] 由上述技術(shù)方案可知����,本發(fā)明提供一種移動存儲設(shè)備的訪問權(quán)限控制方法及裝置���,通過對移動存儲設(shè)備寫入不同權(quán)限的標(biāo)簽�����,并進(jìn)一步地對預(yù)設(shè)范圍內(nèi)的終端授權(quán)�,以實現(xiàn)預(yù)設(shè)范圍內(nèi)的終端對加標(biāo)簽的移動存儲設(shè)備的訪問控制�,從而靈活地對數(shù)據(jù)在計算機(jī)和移動存儲設(shè)備之間的交換進(jìn)行安全管理。
【附圖說明】
[0032]為了更清楚地說明本公開實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地,下面描述中的附圖僅僅是本公開的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些圖獲得其他的附圖�����。
[0033]圖1是本發(fā)明一實施例提供的一種移動存儲設(shè)備的訪問權(quán)限控制方法的流程示意圖�����;
[0034]圖2是本發(fā)明另一實施例提供的一種移動存儲管理系統(tǒng)中用戶�、終端及移動存儲設(shè)備間互相認(rèn)證的示意圖;
[0035]圖3是本發(fā)明另一實施例提供的一種移動存儲設(shè)備的訪問權(quán)限控制裝置的結(jié)構(gòu)示意圖����。
【具體實施方式】
[0036]下面將結(jié)合本公開實施例中的附圖,對本公開實施例中的技術(shù)方案進(jìn)行清楚����、完整地描述���,顯然,所描述的實施例僅僅是本公開一部分實施例��,而不是全部的實施例�。基于本公開中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本公開保護(hù)的范圍���。
[0037]本實施例提供了一種移動存儲管理系統(tǒng)����,包括服務(wù)器端、客戶端及專用U盤注冊工具����。其中,服務(wù)器端:移動存儲系統(tǒng)管理中心�,基于web頁面管理方式,管理員登陸后配置后系統(tǒng)才能運(yùn)行�,能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中(預(yù)設(shè)的管理范圍)的終端計算機(jī)����,并檢測終端計算機(jī)是否安裝系統(tǒng)客戶端程序���,管理中心內(nèi)置移動存儲管理策略中心和報警中心�,提供對網(wǎng)絡(luò)終端的分組管理設(shè)置��??蛻舳?安裝在終端計算機(jī),接收系統(tǒng)管理中心分發(fā)的策略����,根據(jù)接受策略實時監(jiān)控接入終端計算機(jī)移動存儲設(shè)備的操作行為和狀態(tài),并進(jìn)行管理或者控制��;終端主機(jī)安全移動存儲管理系統(tǒng)客戶端注冊程序以后��,即使離開所在網(wǎng)絡(luò)或不處于任務(wù)網(wǎng)絡(luò)中����,仍實時受到移動存儲管理策略控制,日志記錄于本地�����,一經(jīng)連接回網(wǎng)絡(luò),則自動上報日志信息給服務(wù)器�����;專用U盤注冊工具:移動存儲設(shè)備經(jīng)過網(wǎng)管人員注冊(包括打標(biāo)簽����、或設(shè)置訪問密碼)工具認(rèn)證后,該移動存儲設(shè)備才能在網(wǎng)絡(luò)中使用�����。使用者在使用時必須輸入使用密碼后才能使用��。
[0038]基于上述移動存儲管理系統(tǒng)��,圖1示出了本發(fā)明一實施例提供的一種移動存儲設(shè)備的訪問權(quán)限控制方法的流程示意圖����,如圖1所示�,該方法包括如下步驟:
[0039]S1:對移動存儲設(shè)備寫入指定權(quán)限的標(biāo)簽,并根據(jù)移動存儲設(shè)備的ID和所述標(biāo)簽的權(quán)限獲得預(yù)設(shè)的權(quán)限管理策略����。
[0040]具體來說����,對移動存儲設(shè)備寫入標(biāo)簽的過程即為認(rèn)證的過程���,只有認(rèn)證后的移動存儲設(shè)備才能在預(yù)設(shè)管理范圍內(nèi)使用�。
[0041]所述指定權(quán)限的標(biāo)簽包括:普通標(biāo)簽����、加密標(biāo)簽或干擾標(biāo)簽等。寫入普通標(biāo)簽和干擾標(biāo)簽的移動存儲設(shè)備不需密碼即可訪問�����,而寫入加密標(biāo)簽的移動存儲設(shè)備需密碼才能訪問�����。
[0042]其中�����,寫入不同權(quán)限標(biāo)簽的移動存儲設(shè)