[发明专利]对于机密资源数据的保护

说明书

技术领域

本发明涉及用于一般的计算设备的数据泄漏预防。特别是，本发明涉及到机密资源数据的保护工作。 

背景技术

处于商业或者法律的原因，一些组织和实体的信息类是非常重要和机密的；这些信息有会以文本、数据库、图像、图片的形式保存。一些非法的组织或者个人会从外部通过互联网删除或者破坏这些信息，而且这些信息在互联网传输过程中也存在着被窃取的危险。比如，一个对公司心怀不满的员工有可能会通过电子邮件将这些数据信息传播出去。 

除了一些简单的商业原因，公司不希望机密文件信息被泄漏以外；很多政府部门和公司的文件也只是希望在内部公布，而不希望被外界知晓。HIPAA公司的医疗信息，BASEL II的财务资料，Sarbanes-Oxley的企业法规，而且很多国家也通过了一系列的法规要求企业或者组织保护好个人的信息。公司和企业也正在加强保护公司的机密文件的手段和标准；包括这些文件应该存储在什么地方，这些文件如何的使用方式，使用这些文件的人员，如何保护这些文件不被泄漏。 

科技公司对如何保护机密文件不被泄漏已经开发出了一系列的数据泄漏防护技术；这些技术依靠一些软件和硬件的平台，对机密文件进行监控，使这些文件被保护。比如，基于网关的数据泄漏防护技术将监测安装在公司的互联网平台上；对公司的机密文件进行签名加密保护，当公司外部网络访问这些文件的时候，只有通过这些签名加密的验证才能进行文件的访问。基于主机的数据泄漏防护技术通常是在客户的终端上运行。这种技术可以在向外界发布信息的同时控制内部用户群的信息，比如控制内部用户群成员邮件和信息的交流。传统的数据防护技术通过在软件包里定义一个全局的签名加密对数据进行控制和防护。这种技术通过某些算法计算出签名的可靠性，每个签名在硬盘上占据64位字节的存储空间。假设这个公司有100万个文件需要加密保护，那么 这些签名加密就需要占据64M字节的空间。当需要加密的文件增多时，需要的存储空间会增加，在台式机上，这是完全可以接受的。 

但是在移动设备上(比如移动电话、笔记本电脑、个人数字助理)，通常它们的资源非常的有限，因而它们系统的处理能力也非常的有限，以至于传统的技术不能被应用。甚至，有的移动设备并没有浮点运算的处理能力，它们的数据处理速度和普通台式机相比慢了上千倍。所以，传统的数据防护技术就不能在这些移动设备上应用；但是由于移动设备的使用越来越广泛，如何保护这些移动设备上的机密文件不被泄漏就变得非常的重要了。因此，一种保护移动设备机密文件的技术便变得非常的重要了。 

发明内容

为了实现上述功能，本发明的目的在于提供一种新的技术。这种技术可以保护移动设备上的机密文件不被泄漏。 

本发明通过将一种“局部签名”的技术应用于移动设备，这种技术可以在小内存上运行，并可以对机密文件进行很好的保护。同传统的基于“全局签名”的技术相比较，这种技术更加适合在移动设备上运用；因为移动设备上的机密文件数量比较少，因而需要存储的空间也比较小。在具体的实施中，当机密文件从移动设备上移除的时候，由于不需要重新计算签名，因而可以减少CPU和内存的负担。 

在实施的第一步中，移动设备将验证文件签名，验证通过后将签名的信息发给企业。企业的控制端将签名和全局签名进行比较，然后确认移动设备上哪些文件是机密文件，是需要被保护和防止被泄漏的。当这些签名在企业中验证通过后，这些签名的信息会被反馈回移动设备，并将这些签名存储在局部签名的数据库当中。 

在实施的第二步中，移动设备通过这项机密文件保护技术可以保护设备的机密文件不被盗取。当移动设备的机密文件被访问的时候，通过验证局部签名的有效性；如果签名有效的话，那么文件就可以被访问，如果签名无效，那么访问就会被禁止。 

在实施的第三步中，企业的控制终端可以过滤移动设备发送的签名。因为企业 终端的服务器上包含了所以机密文件的全局签名；移动设备可以通过发送自己的签名访问企业的内部网络。企业的控制终端可以通过比较这些局部签名和企业服务器上的全局签名决定哪些机密文件是可以被移动设备所访问的。 

在实施的第四步中，移动设备的局部签名会随着服务器的全局签名的更新而更新。当服务器的全局签名改变时，移动设备的局部签名也会变化，并且会将这些变化的局部签名重新发送到企业的服务器上。 

在实施的第五步中，当一个新的机密文件在移动设备上创建的时候，移动设备会要求生成一个局部的签名，并会将这个签名和文件的信息发送给企业的服务器。 

附图说明