一种移动存储设备的访问权限控制方法及装置

摘要

本发明提供了一种移动存储设备的访问权限控制方法，包括：对移动存储设备写入指定权限的标签，并根据所述移动存储设备的ID和所述标签的权限获得预设的权限管理策略；将该移动存储设备的ID和所述权限管理策略发送给预设范围内的终端，以对所述预设范围内的终端授权；当该移动存储设备接入所述预设范围内的终端时，根据所述权限管理策略对所述移动存储设备进行访问权限的控制。本发明还提供了一种移动存储设备的访问权限控制装置，包括标签写入单元、终端授权单元及访问控制单元。本发明能够实现预设范围内的终端对加标签的移动存储设备的访问控制，灵活地对数据在计算机和移动存储设备之间的交换进行安全管理。

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种移动存储设备的访 问权限控制方法及装置。

背景技术

移动存储设备就是可以在不同终端间移动的存储设备，大大方便 了资料存储，因此，移动存储设备的使用十分广泛。

然而，对于敏感或涉密数据在计算机和移动存储设备之间的交换， 缺乏系统的、实用的安全管理方案。现有的基于文件的安全管理系统 一般都通过用户设定文件安全属性的方法来制定安全级别和允许的操 作，虽然对文件交换的控制进行了改进，但依然存在两个问题：一是 在用户对文件内容了解不足或者在操作失误的情况下，容易错误地设 定安全属性，导致潜在的安全管理失效，降低了系统的可靠性；二是 这些系统的操作控制往往局限在只读、限制打印次数、限制部分编辑 功能等，缺乏灵活性和实用性。

发明内容

针对现有技术的缺陷，本发明提供一种移动存储设备的访问权限 控制方法及装置，能够实现预设范围内的终端对加标签的移动存储设 备的访问控制，灵活地对数据在计算机和移动存储设备之间的交换进 行安全管理。

第一方面，本发明提供了一种移动存储设备的访问权限控制方法， 该方法包括：

对移动存储设备写入指定权限的标签，并根据所述移动存储设备 的ID和所述标签的权限获得预设的权限管理策略；

将该移动存储设备的ID和所述权限管理策略发送给预设范围内的 终端，以对所述预设范围内的终端授权；

当该移动存储设备接入所述预设范围内的终端时，根据所述权限 管理策略对所述移动存储设备进行访问权限的控制。

优选地，所述当该移动存储设备接入所述终端时，根据所述权限 管理策略对所述移动存储设备进行访问权限的控制，包括：

当移动存储设备接入终端时，获取所述移动存储设备的ID和标签；

根据所述移动存储设备ID，判断写入所述标签的移动存储设备的 在该终端上是否被授权；

若所述移动存储设备在该终端已被授权，则获取所述标签对应的 权限管理策略，并根据所述标签的权限及权限管理策略，对该移动存 储设备的操作进行管理和控制。

优选地，所述指定权限的标签包括：普通标签、加密标签或干扰 标签。

优选地，若所述指定权限的标签为加密标签，则所述对移动存储 设备写入指定权限的标签，包括：

对移动存储设备写入加密标签，并将所述移动存储设备分为启动 区、交互区及保密区。

优选地，若所述指定权限的标签为加密标签，则所述根据所述权 限管理策略对所述移动存储设备进行访问权限的控制，包括：

若写入所述加密标签的移动存储设备在该终端上已被授权，则根 据加密标签对应的权限管理策略，通过密码验证后，对所述移动存储 设备的交互区和保密区进行访问控制；

若写入所述加密标签的移动存储设备在该终端上未被授权，则禁 止打开读取所述移动存储设备。

优选地，若所述指定权限的标签为普通标签，则所述根据所述权 限管理策略对所述移动存储设备进行访问权限的控制，包括：

若写入所述普通标签的移动存储设备在该终端上已被授权，则根 据普通标签对应的权限管理策略，对所述移动存储设备进行访问控制；

若写入所述普通标签的移动存储设备在该终端上未被授权，且该 终端属于管理区域外，则允许在该终端对所述移动存储设备进行读写 操作。

优选地，该方法还包括：

根据该终端对所述移动存储设备的读写操作生成日志，并将所述 日志上传至服务器。

第二方面，本发明提供了一种移动存储设备的访问权限控制装置， 该装置包括：

标签写入单元，用于对移动存储设备写入指定权限的标签，并根 据所述移动存储设备的ID和所述标签的权限获得预设的权限管理策 略；

终端授权单元，用于将该移动存储设备的ID和所述权限管理策略 发送给预设范围内的终端，以对所述预设范围内的终端授权；

访问控制单元，用于当该移动存储设备接入所述预设范围内的终 端时，根据所述权限管理策略对所述移动存储设备进行访问权限的控 制。

优选地，所述指定权限的标签包括：普通标签、加密标签或干扰 标签。

优选地，该装置还包括日志生成单元，用于：

根据该终端对所述移动存储设备的读写操作生成日志，并将所述 日志上传至服务器。

由上述技术方案可知，本发明提供一种移动存储设备的访问权限 控制方法及装置，通过对移动存储设备写入不同权限的标签，并进一 步地对预设范围内的终端授权，以实现预设范围内的终端对加标签的 移动存储设备的访问控制，从而灵活地对数据在计算机和移动存储设 备之间的交换进行安全管理。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面 将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而 易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域 普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些 图获得其他的附图。

图1是本发明一实施例提供的一种移动存储设备的访问权限控制 方法的流程示意图；

图2是本发明另一实施例提供的一种移动存储管理系统中用户、 终端及移动存储设备间互相认证的示意图；

图3是本发明另一实施例提供的一种移动存储设备的访问权限控 制装置的结构示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方 案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部 分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普 通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例， 都属于本公开保护的范围。

本实施例提供了一种移动存储管理系统，包括服务器端、客户端 及专用U盘注册工具。其中，服务器端：移动存储系统管理中心，基 于web页面管理方式，管理员登陆后配置后系统才能运行，能够自动 发现网络中(预设的管理范围)的终端计算机，并检测终端计算机是 否安装系统客户端程序，管理中心内置移动存储管理策略中心和报警 中心，提供对网络终端的分组管理设置。客户端：安装在终端计算机， 接收系统管理中心分发的策略，根据接受策略实时监控接入终端计算 机移动存储设备的操作行为和状态，并进行管理或者控制；终端主机 安全移动存储管理系统客户端注册程序以后，即使离开所在网络或不 处于任务网络中，仍实时受到移动存储管理策略控制，日志记录于本 地，一经连接回网络，则自动上报日志信息给服务器；专用U盘注册 工具：移动存储设备经过网管人员注册(包括打标签、或设置访问密 码)工具认证后，该移动存储设备才能在网络中使用。使用者在使用 时必须输入使用密码后才能使用。

基于上述移动存储管理系统，图1示出了本发明一实施例提供的 一种移动存储设备的访问权限控制方法的流程示意图，如图1所示， 该方法包括如下步骤：

S1：对移动存储设备写入指定权限的标签，并根据移动存储设备 的ID和所述标签的权限获得预设的权限管理策略。

具体来说，对移动存储设备写入标签的过程即为认证的过程，只 有认证后的移动存储设备才能在预设管理范围内使用。

所述指定权限的标签包括：普通标签、加密标签或干扰标签等。 写入普通标签和干扰标签的移动存储设备不需密码即可访问，而写入 加密标签的移动存储设备需密码才能访问。

其中，写入不同权限标签的移动存储设备对于不同范围内终端的 权限管理策略不同，可根据需要对权限管理策略进行设置。举例来说， 对于写入普通标签的移动存储设备A，第一预设范围内的终端对应的 权限管理策略可设置为：对移动存储设备A可读、可写，而第二预设 范围内的终端对应的权限管理策略可设置为：对移动存储设备A只读、 不可写。

则本步骤中根据移动存储设备的ID和所述标签的权限获得预设的 权限管理策略具体为：根据移动存储设备的ID和所述标签的权限获得 一个或多个预设范围内的终端对应的一个或多个权限管理策略。

如此，对移动存储设备写入指定权限的标签，以实现分级权限的 控制。

S2：将该移动存储设备的ID和所述权限管理策略发送给预设范围 内的终端，以对所述预设范围内的终端授权。

具体来说，对于写入上述指定标签的移动存储设备，若存在多个 预设范围内的终端对应多个权限管理策略，则本步骤具体为：将该移 动存储设备的ID和每个权限管理策略，发送给所述权限管理策略对应 的预设范围内的终端，以对所述预设范围内的终端授权。S3：当该移 动存储设备接入所述预设范围内的终端时，根据所述权限管理策略对 所述移动存储设备进行访问权限的控制。

具体来说，此步骤需对移动存储设备和终端双方进行认证：移动 存储设备得写有指定标签，而写入指定标签的该移动存储设备在终端 上需被授权。双方均认证成功后，则进一步根据预设的策略对该移动 存储设备的访问进行控制。

举例来说，所述预设范围包括第一预设范围和第二预设范围，则 当该移动存储设备A接入第一预设范围内的终端时，根据该第一预设 范围终端对应的权限管理策略(如可读、可写)，对移动存储设备的读 写进行控制；当该移动存储设备A接入第二预设范围内的终端时，根 据该第二预设范围终端对应的权限管理策略(如只读、不可写)，对移 动存储设备的读写进行控制。

本实施例提供了一种移动存储设备的访问权限控制方法，通过对 移动存储设备写入不同权限的标签，并进一步地对预设范围内的终端 授权，以实现预设范围内的终端对加标签的移动存储设备的访问控制， 从而灵活地对数据在计算机和移动存储设备之间的交换进行安全管 理。

具体来说，步骤S3具体包括如下子步骤：

S31：当移动存储设备接入终端时，获取所述移动存储设备的ID 和标签。

S32：根据所述移动存储设备ID，判断写入所述标签的移动存储设 备的在该终端上是否被授权。

S33：若所述移动存储设备在该终端已被授权，则获取所述标签对 应的权限管理策略，并根据所述标签的权限及权限管理策略，对该移 动存储设备的操作进行管理和控制。

具体来说，标签的权限不同，对移动存储设备的访问控制也不同， 如加密标签需先输入密码，普通标签则不用。

可理解地，若该移动存储设备在该终端上未被授权，且该终端属 于预设的管理范围，则无法对该移动存储设备进行操作。

需要说明的是，在预设的管理范围内(如公司内部)，只有写入标 签的移动存储设备才能够在预设的管理范围内使用。

具体来说，若所述指定权限的标签为加密标签，则步骤S1中所述 对移动存储设备写入指定权限的标签，具体包括：

对移动存储设备写入加密标签，并将所述移动存储设备分为启动 区、交互区及保密区。

进一步地，若所述指定权限的标签为加密标签，步骤S3中所述根 据所述权限管理策略对所述移动存储设备进行访问权限的控制，具体 包括：

A01、若写入所述加密标签的移动存储设备在该终端上已被授权， 则根据该加密标签对应的权限管理策略，通过密码验证后，对所述移 动存储设备的交互区和保密区进行访问控制；

具体来说，若写入加密标签的移动存储设备在该终端上已被授权， 则需输入预设的密码，访问交互区或保密区，并根据预设的权限管理 策略对交互区或保密区中的文件的读写进行控制。

A02、若写入所述加密标签的移动存储设备在该终端上未被授权， 则禁止打开读取所述移动存储设备。

具体来说，若写入加密标签的移动存储设备在该终端上未被授权， 则无法打开读取该移动存储设备，更不能访问保密区和交互区。

本实施例中，若所述指定权限的标签为普通标签，则步骤S3中所 述根据所述权限管理策略对所述移动存储设备进行访问权限的控制， 具体包括：

B01、若写入所述普通标签的移动存储设备在该终端上已被授权， 则根据该普通标签对应的权限管理策略，对所述移动存储设备进行访 问控制；

如此，在管理区域内，写入普通标签的移动存储设备的读写受到 预设策略的限制，以防止重要文件的泄漏。

B02、若写入所述普通标签的移动存储设备在该终端上未被授权， 且该终端属于管理区域外，则允许在该终端对所述移动存储设备进行 读写操作。

由此可见，在管理区域外(如公司外部)，写入普通标签的移动存 储设备仍可使用，且不对读写进行限制。

本实施例中，若所述指定权限的标签为干扰标签，则步骤S3中所 述根据所述权限管理策略对所述移动存储设备进行访问权限的控制， 具体包括：

C01、若写入所述干扰标签的移动存储设备在该终端上已被授权， 则根据该干扰标签对应的权限管理策略，对所述移动存储设备进行访 问控制；

C02、若写入所述干扰标签的移动存储设备在该终端上未被授权， 则禁止打开读取所述移动存储设备。

由此可见，在授权的终端上，写入干扰标签的移动存储设备可正 常使用，相当于写入普通标签的移动存储设备；而在未授权的终端上， 写入干扰标签的移动存储设备无法使用，相当于写入加密标签的移动 存储设备。

进一步地，该方法还包括如下步骤：

根据该终端对所述移动存储设备的读写操作生成日志，并将所述 日志上传至服务器。

由此可见，本实施例中通过移动存储管理系统对移动存储设备的 访问进行控制，进行移动存储及介质的访问控制权限划分等，并对移 动存储设备的所有操作形成日志以供审计。

由此可见，如图2所示，本实施例中，以数据为中心，用户作为 数据的使用者，主机作为数据的存储者，移动存储介质作为数据的迁 移者，在系统范围内均赋予唯一的标识，三者进行相互认证。只有经 认证和授权成功后，才保证合法的用户在合法的机器上访问合法存储 介质上的数据，并形成详尽的日志供审计。

如图3所示，为本发明另一实施例提供的一种移动存储设备的访 问权限控制装置的结构示意图，该装置包括：标签写入单元301、终端 授权单元302及访问控制单元303。其中：

标签写入单元301，用于对移动存储设备写入指定权限的标签，并 根据所述移动存储设备的ID和所述标签的权限获得预设的权限管理策 略；

终端授权单元302，用于将该移动存储设备的ID和所述权限管理 策略发送给预设范围内的终端，以对所述预设范围内的终端授权；

访问控制单元303，用于当该移动存储设备接入所述预设范围内的 终端时，根据所述权限管理策略对所述移动存储设备进行访问权限的 控制。

其中，标签写入单元301和终端授权单元302可位于服务器中， 访问控制单元303可位于客户端中。

本实施例中，所述访问控制单元303，具体用于：

当移动存储设备接入终端时，获取所述移动存储设备的ID和标签；

根据所述移动存储设备ID，判断写入所述标签的移动存储设备的 在该终端上是否被授权；

若所述移动存储设备在该终端已被授权，则获取所述标签对应的 权限管理策略，并根据所述标签的权限及权限管理策略，对该移动存 储设备的操作进行管理和控制。

本实施例中，所述指定权限的标签包括：普通标签、加密标签或 干扰标签。

本实施例中，所述指定权限的标签为加密标签，则所述标签写入 单元301，用于：

对移动存储设备写入加密标签，并将所述移动存储设备分为启动 区、交互区及保密区。

进一步地，所述指定权限的标签为加密标签，则所述访问控制单 元303，用于：

若写入所述加密标签的移动存储设备在该终端上已被授权，则根 据加密标签对应的权限管理策略，通过密码验证后，对所述移动存储 设备的交互区和保密区进行访问控制；

若写入所述加密标签的移动存储设备在该终端上未被授权，则禁 止打开读取所述移动存储设备。

本实施例中，所述指定权限的标签为普通标签，则所述访问控制 单元303，用于：

若写入所述普通标签的移动存储设备在该终端上已被授权，则根 据普通标签对应的权限管理策略，对所述移动存储设备进行访问控制；

若写入所述普通标签的移动存储设备在该终端上未被授权，且该 终端属于管理区域外，则允许在该终端对所述移动存储设备进行读写 操作。

优选地，该装置还包括日志生成单元，用于：

根据该终端对所述移动存储设备的读写操作生成日志，并将所述 日志上传至服务器。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述 的比较简单，相关之处参见方法实施例的部分说明即可。

应当注意的是，在本公开的系统的各个部件中，根据其要实现的 功能而对其中的部件进行了逻辑划分，但是，本公开不受限于此，可 以根据需要对各个部件进行重新划分或者组合，例如，可以将一些部 件组合为单个部件，或者可以将一些部件进一步分解为更多的子部件。

本公开的各个部件实施例可以以硬件实现，或者以在一个或者多 个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的 技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器 (DSP)来实现根据本公开实施例的系统中的一些或者全部部件的一些 或者全部功能。本公开还可以实现为用于执行这里所描述的方法的一 部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序 产品)。这样的实现本公开的程序可以存储在计算机可读介质上，或者 可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上 下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本公开进行说明而不是对本公开进行 限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可 设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考 符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利 要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除 存在多个这样的元件。本公开可以借助于包括有若干不同元件的硬件 以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利 要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。 单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词 解释为名称。

以上实施方式仅适于说明本公开，而并非对本公开的限制，有关 技术领域的普通技术人员，在不脱离本公开的精神和范围的情况下， 还可以做出各种变化和变型，因此所有等同的技术方案也属于本公开 的范畴，本公开的专利保护范围应由权利要求限定。