專利名稱:一種虛擬專有組織平臺(tái)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)信息技術(shù)領(lǐng)域,具體涉及一種虛擬專有組織平臺(tái)系統(tǒng)安全組建虛擬專有組織及組織專屬信息安全管理的方法。
背景技術(shù):
網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代,虛擬組織以其合作、共贏的思想,在技術(shù)、資源、成本等方面具有得天獨(dú)厚的優(yōu)勢和生命力,越來越成為大中小企業(yè)以及個(gè)人群體實(shí)現(xiàn)產(chǎn)品研發(fā)、市場拓展、網(wǎng)上辦公的新選擇。信息是虛擬組織的關(guān)鍵資源,虛擬組織的非實(shí)體性、網(wǎng)絡(luò)的開放性以及組織成員的異地分布性,對(duì)組織信息的安全管理就顯得特別的重要,包括對(duì)組織信息的訪問管理、存儲(chǔ)管理和流轉(zhuǎn)管理。
《當(dāng)代經(jīng)濟(jì)》2006年第12期公開了文獻(xiàn)《面向虛擬組織的知識(shí)管理與創(chuàng)新研究》,探討了虛擬組織與知識(shí)管理之間的內(nèi)在聯(lián)系,研究面向虛擬組織的企業(yè)間的知識(shí)創(chuàng)新體系的關(guān)鍵內(nèi)容和構(gòu)建過程,旨在豐富虛擬組織和知識(shí)管理與創(chuàng)新的理論和方法,缺乏一種切實(shí)可行的實(shí)現(xiàn)方法。
現(xiàn)有的虛擬組織解決方案通常是基于虛擬專網(wǎng)(VPN)將虛擬組織中的成員信息系統(tǒng)連接起來,達(dá)到成員之間信息交換和共享的目的。VPN在互聯(lián)網(wǎng)上的集成加密、認(rèn)證和簽名功能,為虛擬組織的建設(shè)奠定了一個(gè)安全可信的秘密通道。而建設(shè)VPN需要硬件的投入和網(wǎng)絡(luò)的部署,不能滿足大量中小企業(yè)和個(gè)人動(dòng)態(tài)組建臨時(shí)虛擬組織的需求。
中國專利公開號(hào)CN1599322提出了一種實(shí)現(xiàn)企業(yè)共用虛擬自動(dòng)化辦公網(wǎng)的裝置和方法,電信運(yùn)營商為企業(yè)提供共用虛擬辦公自動(dòng)化平臺(tái),企業(yè)用戶在企業(yè)共用虛擬自動(dòng)化辦公網(wǎng)服務(wù)器上建立其員工的資料數(shù)據(jù),企業(yè)員工通過企業(yè)虛擬自動(dòng)化辦公網(wǎng)接入終端,經(jīng)電信運(yùn)營商共用接入網(wǎng)絡(luò)連接到企業(yè)共用辦公網(wǎng)服務(wù)器,通過自動(dòng)化辦公客戶端軟件登陸到企業(yè)共用虛擬辦公自動(dòng)化平臺(tái)進(jìn)行辦公,包括員工之間的信息交流和文件傳遞等。通過該專利的方法,解決了虛擬組織的靈活創(chuàng)建問題和信息資源共享問題,但未涉及如何保護(hù)企業(yè)的電子信息、防止重要信息泄漏的安全管理問題。
發(fā)明內(nèi)容
本發(fā)明針對(duì)現(xiàn)有技術(shù)中存在的缺陷或不足,提供一種虛擬專有組織平臺(tái)系統(tǒng),采用該平臺(tái)系統(tǒng),能夠?yàn)榇笾行∑髽I(yè)以及個(gè)人用戶靈活地組建專屬于自己的虛擬組織,并且由組織者通過部署終端安全策略的方式自行管理著組織成員終端中組織專屬信息的訪問安全、存儲(chǔ)安全和流轉(zhuǎn)安全,我
們稱這種具有安全管理功能的虛擬組織為虛擬專有組織(VirtualProprietary Organization)。虛擬專有組織平臺(tái)系統(tǒng)在保障虛擬專有組織正常運(yùn)轉(zhuǎn)的同時(shí),有效地解決了虛擬專有組織系統(tǒng)中組織專屬信息的歸屬權(quán)
問題虛擬專有組織中工作形成的電子信息,我們稱之為組織專屬信息
(Organization Proprietary Information),組織專屬信息不完全屬于成員,成員能夠在工作中正常使用組織專屬信息,但在未授權(quán)的情況下組織專屬信息是無法移出虛擬專有組織,虛擬專有組織擁有組織專屬信息的所有權(quán)。
具體的,本發(fā)明的上述目標(biāo)是通過以下解決方法實(shí)現(xiàn)的一種虛擬專有組織平臺(tái)系統(tǒng)及方法,有一個(gè)或多個(gè)集群的系統(tǒng)服務(wù)器,有一個(gè)系統(tǒng)管理臺(tái),有N個(gè)組織管理臺(tái),有N*M個(gè)成員終端,系統(tǒng)管理臺(tái)、組織管理臺(tái)通過intranet、 extranet、 internet多種網(wǎng)絡(luò)形式以C/S或B/S結(jié)構(gòu)連接系統(tǒng)服務(wù)器,成員終端通過intranet、 extranet、 internet多種網(wǎng)絡(luò)形式以C/S結(jié)構(gòu)連接系統(tǒng)服務(wù)器。系統(tǒng)服務(wù)器主要實(shí)現(xiàn)了證書授權(quán)認(rèn)證服務(wù)、用戶身份認(rèn)證服務(wù)、成員終端軟件下載升級(jí)服務(wù)、虛擬專有組織管理服務(wù)、成員終端文檔流轉(zhuǎn)服務(wù)、成員終端安全策略服務(wù),成員終端信息審計(jì)服務(wù)。系統(tǒng)管理臺(tái)主要實(shí)現(xiàn)了虛擬專有組織平臺(tái)系統(tǒng)的維護(hù)和虛擬專有組織的管理。組織管理臺(tái)主要實(shí)現(xiàn)了所屬虛擬專用組織成員的管理、所屬成員終端安全策略的配置和部署和所屬成員終端信息的審計(jì)。操作系統(tǒng)手機(jī)、PDA、 MID、計(jì)算機(jī)系統(tǒng)免費(fèi)安裝上虛擬專有組織平臺(tái)系統(tǒng)的成員終端軟件后申請(qǐng)成為成員終端,成員終端登陸所屬虛擬專有組織自 動(dòng)下載并實(shí)時(shí)執(zhí)行組織管理臺(tái)所部署的終端安全策略,控制成員終端上組 織專屬信息的訪問、存儲(chǔ)和流轉(zhuǎn),并形成操作審計(jì)信息發(fā)送系統(tǒng)服務(wù)器。
系統(tǒng)服務(wù)器為所屬系統(tǒng)管理臺(tái)創(chuàng)建的每一個(gè)虛擬專有組織分配組織 管理臺(tái)及該組織管理臺(tái)專屬授權(quán)證書、用戶身份,具體過程如下
A、 組織者向虛擬專有組織平臺(tái)系統(tǒng)提出組建虛擬專有組織的申請(qǐng);
B、 系統(tǒng)管理臺(tái)在虛擬專有組織平臺(tái)系統(tǒng)中新增虛擬專有組織;
C、 虛擬專有組織平臺(tái)系統(tǒng)為虛擬專有組織生成專屬的組織管理臺(tái)授
權(quán)證書文件或ukey設(shè)備;
D、 組織者安裝組織管理臺(tái)授權(quán)證書文件或插上ukey設(shè)備,成為虛擬 專有組織平臺(tái)系統(tǒng)認(rèn)證的組織管理臺(tái);
E、 執(zhí)行組織管理臺(tái),選擇組織,輸入用戶名和密碼在線驗(yàn)證后進(jìn)入 虛擬專有組織管理狀態(tài)。
通過上述虛擬專有組織的申請(qǐng)過程,同一個(gè)組織管理臺(tái)能夠申請(qǐng)管理 多個(gè)虛擬專有組織,所管理虛擬專有組織可以在同一系統(tǒng)服務(wù)器上,也可 以在不同系統(tǒng)服務(wù)器上。組織管理臺(tái)通過登陸時(shí)的不同角色管理各個(gè)虛擬 專有組織,之間互不影響。
系統(tǒng)服務(wù)器為所屬組織管理臺(tái)創(chuàng)建的每一個(gè)成員終端配置成員信息 及該成員終端專屬授權(quán)證書、用戶身份,具體過程如下-
A、 成員終端向組織管理臺(tái)發(fā)出加盟組織的申請(qǐng);
B、 組織管理臺(tái)在虛擬專有組織中新增成員;
C、 虛擬專有組織平臺(tái)系統(tǒng)為成員終端生成專屬的成員終端授權(quán)證書 文件或ukey設(shè)備;
D、 成員終端安裝成員終端授權(quán)證書文件或插上ukey設(shè)備,成為虛擬 專有組織認(rèn)證的成員終端;
E、 執(zhí)行成員終端登陸,選擇組織,輸入用戶名和密碼在線驗(yàn)證后, 成員終端從非工作狀態(tài)進(jìn)入虛擬專有組織工作狀態(tài)。
通過上述組織成員申請(qǐng)加盟過程,同一個(gè)成員終端能夠申請(qǐng)加盟多個(gè) 虛擬專有組織,所加盟虛擬專有組織可以在同一系統(tǒng)服務(wù)器上,也可以在 不同系統(tǒng)服務(wù)器上,成員終端通過登陸時(shí)的不同角色成為所屬虛擬專有組織成員,成員終端上各虛擬專有組織之間的工作完全獨(dú)立、互不影響。
成員終端為每一個(gè)虛擬專有組織配置組織專屬信息存儲(chǔ)區(qū),組織專屬 信息以加密的方式存儲(chǔ)在組織專屬信息存儲(chǔ)區(qū)中,組織專屬信息存儲(chǔ)區(qū)外 的信息允許移入組織專屬信息存儲(chǔ)區(qū),組織專屬信息存儲(chǔ)區(qū)的信息禁止移 出組織專屬信息存儲(chǔ)區(qū),非工作狀態(tài)下禁止訪問組織專屬信息存儲(chǔ)區(qū),工 作狀態(tài)下只能訪問角色所屬的組織專屬信息存儲(chǔ)區(qū)而禁止訪問其他角色 的組織專屬信息存儲(chǔ)區(qū)。每一個(gè)虛擬專有組織的加密密鑰具有唯一性,虛 擬專有組織之間的組織專屬信息不具有直接交換使用性,保障了組織專屬 信息的存儲(chǔ)安全。
在工作狀態(tài),成員終端的進(jìn)程分為工作進(jìn)程和非工作進(jìn)程,僅允許工 作進(jìn)程訪問組織專屬信息,工作進(jìn)程所創(chuàng)建的信息屬于組織專屬信息只能 存儲(chǔ)到組織專屬信息存儲(chǔ)區(qū)中,工作進(jìn)程在訪問組織專屬信息時(shí),系統(tǒng)自 動(dòng)進(jìn)行信息加解密處理,并且控制成員終端內(nèi)或成員終端之間的進(jìn)程信息 通訊,包括允許工作進(jìn)程與工作進(jìn)程間的信息通訊,允許非工作進(jìn)程與 非工作進(jìn)程間的信息通訊,允許非工作進(jìn)程到工作進(jìn)程間的信息通訊,阻 止工作進(jìn)程到非工作迸程間的信息通訊,保障了組織專屬信息的應(yīng)用安 全。
組織管理臺(tái)能夠?qū)⑻摂M專有組織的成員配置為X個(gè)安全域,每個(gè)成員
可以是Y個(gè)(Y《X)安全域的成員,在工作狀態(tài),僅允許同一安全域的
成員終端之間流轉(zhuǎn)組織專屬信息,流轉(zhuǎn)時(shí)系統(tǒng)自動(dòng)進(jìn)行信息加解密、壓縮 解壓縮處理,并且,文檔流轉(zhuǎn)接收方成員終端只能將接收到的組織專屬信 息存入相應(yīng)的組織專屬信息存儲(chǔ)區(qū),保障了組織專屬信息的流轉(zhuǎn)安全。
組織管理臺(tái)對(duì)所屬成員終端的組織專屬信息存儲(chǔ)區(qū)具有控制功能,包 括失效成員終端對(duì)組織專屬信息存儲(chǔ)區(qū)的訪問、遠(yuǎn)程復(fù)制成員終端組織專 屬信息存儲(chǔ)區(qū)、清除成員終端組織專屬信息存儲(chǔ)區(qū),保障了成員離職后的 組織專屬信息的安全。
在組織管理臺(tái)授權(quán)的情況下,允許所屬成員終端以加密方式、加殼方
式、明文方式導(dǎo)出組織專屬信息存儲(chǔ)區(qū)中的文檔。加密方式將組織專屬 信息以加密的方式移出組織專屬信息存儲(chǔ)區(qū),通過導(dǎo)入的方式存入同組織 的成員終端的組織專屬信息存儲(chǔ)區(qū)中;加殼方式將組織專屬信息移出組織專屬信息存儲(chǔ)區(qū)后在信息上綁定密碼,在訪問加殼信息時(shí)驗(yàn)證密碼;明 文方式將組織專屬信息解密后移出組織專屬信息存儲(chǔ)區(qū)成為普通文檔。 在組織管理臺(tái)授權(quán)的情況下,允許所屬成員終端脫網(wǎng)工作,成員終端脫網(wǎng) 工作時(shí)仍然受安全策略的控制,脫網(wǎng)的審計(jì)信息在上網(wǎng)時(shí)自動(dòng)發(fā)送系統(tǒng)服 務(wù)器。充分保障了虛擬專有組織在組織控制臺(tái)控制下的工作靈活性。
圖1是虛擬專有組織平臺(tái)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖
圖2是虛擬專有組織申請(qǐng)流程圖
圖3是成員終端加盟虛擬專有組織流程圖
圖4是虛擬專有組織中成員終端的邏輯關(guān)系圖
具體實(shí)施方法
下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行更詳細(xì)的描述。 圖1示出了本發(fā)明的虛擬專有組織平臺(tái)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖。從圖1 可以看出,本發(fā)明的虛擬專有組織平臺(tái)系統(tǒng)101是由系統(tǒng)服務(wù)器102、系 統(tǒng)管理臺(tái)103、 INTERNET網(wǎng)絡(luò)104和虛擬專有組織A105、虛擬專有組 織B106、虛擬專有組織C107等若干個(gè)虛擬專有組織組成。其中,虛擬專 有組織A105由組織A管理臺(tái)108和成員終端A①109、成員終端A②110、 成員終端A③111等若干個(gè)成員組成;虛擬專有組織B106由組織B管理 臺(tái)112和成員終端B①113、成員終端B②114、成員終端B③115等若干 個(gè)成員組成;虛擬專有組織C107由組織C管理臺(tái)116和成員終端C①117、 成員終端C②118、成員終端C③119等若干個(gè)成員組成。組織A管理臺(tái) 108、組織B管理臺(tái)112、組織C管理臺(tái)116可以是不同的組織者在各自 的終端上對(duì)自己的組織進(jìn)行管理,也可以是同一個(gè)組織者在同一臺(tái)終端上 通過不同角色的切換對(duì)三個(gè)組織的管理。同樣,上述不同組織或相同組織 中的成員終端可以是不同的成員在各自的終端上進(jìn)入自己的組織進(jìn)行工 作,也可以是同一個(gè)人在同一臺(tái)終端上通過不同角色的切換成為同一組織 的不同成員或不同組織的成員,例如,成員終端A①109、成員終端A② 110可以是同一個(gè)人同一臺(tái)終端在虛擬專有組織A105中的兩個(gè)角色;成
10員終端A①109、成員終端B①113、成員終端C①117可以是同一個(gè)人同 一臺(tái)終端在虛擬專有組織A105、虛擬專有組織B106、虛擬專有組織C107 中的成員。在虛擬專有組織平臺(tái)系統(tǒng)101的管理下,能夠靈活地和方便地 構(gòu)建各種目的的虛擬專有組織,比如,虛擬專有組織A105實(shí)現(xiàn)全球化軟 件研發(fā)系統(tǒng),虛擬專有組織B106實(shí)現(xiàn)全球化辦公系統(tǒng),虛擬專有組織C107 實(shí)現(xiàn)全球化產(chǎn)品營銷系統(tǒng),虛擬專有組織A105、虛擬專有組織B106、虛 擬專有組織C107分別在組織A管理臺(tái)108、組織B管理臺(tái)112、組織C 管理臺(tái)116的管理下具有組織信息的共享性和安全性、組織結(jié)構(gòu)的全球性 和獨(dú)立性。
下面結(jié)合圖2說明虛擬專有組織的申請(qǐng)流程,結(jié)合圖3說明成員終端 加盟虛擬專有組織的流程。
圖2示出了本發(fā)明的虛擬專有組織申請(qǐng)流程圖。從圖2可以看出,組 織者向系統(tǒng)管理臺(tái)申請(qǐng)?zhí)摂M專有組織的交互過程,組織者201通過互聯(lián)網(wǎng) 瀏覽器的方式登錄某虛擬專有組織平臺(tái)系統(tǒng)運(yùn)營商網(wǎng)站202,注冊(cè)成為該 虛擬專有組織平臺(tái)系統(tǒng)運(yùn)營商網(wǎng)的用戶203,然后通過表單的形式進(jìn)行網(wǎng) 上虛擬專有組織的申請(qǐng)204。該虛擬專有組織平臺(tái)系統(tǒng)的系統(tǒng)管理臺(tái)205 登陸系統(tǒng)打開系統(tǒng)管理臺(tái)206,對(duì)網(wǎng)上虛擬專有組織的申請(qǐng)者進(jìn)行必要信 息的審核207,審核的內(nèi)容包括虛擬專有組織名稱的有效性和合法性、組 織者的姓名和有效證件、組織的規(guī)模和經(jīng)營目的等。審核通過后,系統(tǒng)管 理臺(tái)在平臺(tái)系統(tǒng)中新增組織信息208,使之成為該虛擬專有組織平臺(tái)系統(tǒng) 的合法組織,并生成專屬的組織證書文件209。組織者從網(wǎng)上獲得組織證 書文件210并下載到自己的終端設(shè)備211中并進(jìn)行安裝212,組織者打開 組織管理臺(tái)213呈現(xiàn)組織管理臺(tái)登陸界面,選擇組織、輸入用戶和密碼214 并傳送至系統(tǒng)服務(wù)器進(jìn)行身份驗(yàn)證215,身份確認(rèn)216后組織管理臺(tái)進(jìn)入 組織管理狀態(tài)217,可以進(jìn)行組織成員的管理、終端安全策略的部署、終 端信息的審計(jì)等工作218。
圖3示出了本發(fā)明的成員終端加盟虛擬專有組織流程圖。從圖3可以 看出,成員終端向組織管理臺(tái)申請(qǐng)加盟虛擬專有組織的交互過程,成員終 端301執(zhí)行虛擬專有組織平臺(tái)系統(tǒng)的成員終端軟件302,選擇成員申請(qǐng)輸 入成員信息303,成員信息包括成員的名稱和有效證件、加盟的組織、在組織中的角色等,形成成員申請(qǐng)文件304并將成員申請(qǐng)文件305傳送給組 織管理臺(tái)。該虛擬專有組織的組織管理臺(tái)306登陸系統(tǒng)打開組織管理臺(tái) 307,接收成員申請(qǐng)文件305并導(dǎo)入308,組織管理臺(tái)在平臺(tái)系統(tǒng)中新增成 員信息309,使之成為該虛擬專有組織的合法成員,并生成專屬的組織成 員證書文件310并將成員申請(qǐng)文件311傳送給成員。成員接收組織成員證 書文件311并導(dǎo)入到自己的終端設(shè)備312中并進(jìn)行安裝313,成員終端打 開用戶注冊(cè)314,選擇組織、輸入用戶和密碼315并傳送至系統(tǒng)服務(wù)器進(jìn) 行身份驗(yàn)證316,身份確認(rèn)317后成員終端進(jìn)入組織的工作狀態(tài)318,可 以進(jìn)行組織專屬信息的訪問和流轉(zhuǎn)等工作319。
圖4示出了本發(fā)明的虛擬專有組織中成員終端的邏輯關(guān)系圖,終端設(shè) 備從虛擬專有組織平臺(tái)系統(tǒng)下載安裝了成員終端軟件后成為成員終端,成 員終端加盟一個(gè)虛擬專有組織后就會(huì)自動(dòng)創(chuàng)建一個(gè)由組織管理臺(tái)專門部 署的成員工作環(huán)境,成員工作環(huán)境中包括工作進(jìn)程、安全策略和組織專屬 信息存儲(chǔ)區(qū)。工作進(jìn)程是指與工作有關(guān)的應(yīng)用程序,例如,機(jī)械設(shè)計(jì) AutoCAD、軟件設(shè)計(jì)C++、版本控制SVN、自己研發(fā)的應(yīng)用軟件;安全 策略是指組織專屬信息的訪問控制規(guī)則,例如,僅允許工作進(jìn)程訪問組織 專屬信息存儲(chǔ)區(qū)、禁止工作進(jìn)程向非工作進(jìn)程進(jìn)行信息通訊、授權(quán)組織專 屬信息的導(dǎo)出、組織專屬信息流轉(zhuǎn)的安全域;組織專屬信息存儲(chǔ)區(qū)是從普 通信息存儲(chǔ)區(qū)中劃定出的存儲(chǔ)區(qū),組織專屬信息存儲(chǔ)區(qū)以加密的形式存儲(chǔ) 組織專屬信息。組織管理臺(tái)能夠動(dòng)態(tài)調(diào)整每一個(gè)成員終端的工作環(huán)境,當(dāng) 成員終端登入虛擬專有組織后,成員終端將自動(dòng)地進(jìn)入組織管理臺(tái)為其部 署的工作環(huán)境,工作進(jìn)程在安全策略的控制下訪問組織專屬信息存儲(chǔ)區(qū), 與同一個(gè)安全域中的成員交換組織專屬信息;當(dāng)成員終端登出虛擬專有組 織后,成員終端將自動(dòng)地退出工作環(huán)境,成員終端不再具有組織專屬信息 存儲(chǔ)區(qū)的訪問權(quán)和組織專屬信息的交換權(quán)。
從圖4可以看出,安裝了成員終端軟件405的成員終端①401、成員 終端②402、成員終端③403通過互聯(lián)網(wǎng)404相連接,成員終端①401加盟 了虛擬專有組織A和虛擬專有組織B而形成組織A成員環(huán)境406和組織 B成員環(huán)境407,從普通信息存儲(chǔ)區(qū)408中劃分出組織A專屬信息存儲(chǔ)區(qū) 417和組織B專屬信息存儲(chǔ)區(qū)420,成員終端②402加盟了虛擬專有組織A和虛擬專有組織C而形成組織A成員環(huán)境409和組織B成員環(huán)境410,從 普通信息存儲(chǔ)區(qū)411中劃分出組織A專屬信息存儲(chǔ)區(qū)421和組織C專屬 信息存儲(chǔ)區(qū)424,成員終端③403加盟了虛擬專有組織B和虛擬專有組織 C而形成組織B成員環(huán)境412和組織C成員環(huán)境413,從普通信息存儲(chǔ)區(qū) 414中劃分出組織B專屬信息存儲(chǔ)區(qū)427和組織C專屬信息存儲(chǔ)區(qū)430, 成員終端①401與成員終端②402通過登陸虛擬專有組織A進(jìn)行協(xié)同工作, 成員終端①401與成員終端③403通過登陸虛擬專有組織B進(jìn)行協(xié)同工作, 而成員終端②402與成員終端③403通過登陸虛擬專有組織C進(jìn)行協(xié)同工 作。
舉例來說,虛擬專有組織A為網(wǎng)上辦公組織,組織A管理臺(tái)為成員 終端①401的組織A成員部署了工作進(jìn)程msword、組織專屬信息存儲(chǔ)區(qū) 為d:\workarea401A、文件級(jí)安全控制、進(jìn)程級(jí)安全控制、授權(quán)組織專屬信 息加密導(dǎo)出、歸屬deptl安全域,同時(shí),為成員終端②402的組織A成員 部署了工作進(jìn)程msword、組織專屬信息存儲(chǔ)區(qū)為c:\workarea402A、文件 級(jí)安全控制、進(jìn)程級(jí)安全控制、授權(quán)組織專屬信息導(dǎo)入、歸屬deptl安全 域。在組織A工作狀態(tài),成員終端①401使用工作迸程msword創(chuàng)建了文 件file.doc,在保存時(shí)系統(tǒng)僅允許加密存儲(chǔ)到d:\workarea401A目錄下;試 圖用非工作進(jìn)程wps打開file.doc被系統(tǒng)拒絕,試圖將d:\workarea401A目 錄下的文件拷貝、拖拽出d:\workarea401A目錄被系統(tǒng)拒絕,反之能夠從 d:\workarea401A目錄外拷貝、拖拽文件進(jìn)入d:\workarea401A目錄而成為 組織A專屬信息;用msword打開file.doc能夠正常編輯,而試圖將打開 的file.doc內(nèi)容通過剪貼、拖拽到非工作進(jìn)程notepad被系統(tǒng)拒絕,反之能 夠從非工作進(jìn)程notepad剪貼、拖拽內(nèi)容到file.doc中;成員終端①401的 組織A成員與成員終端②402的組織A成員同屬deptl安全域,成員終端
① 401的組織A成員能夠?qū)⒔M織A專屬信息文件file.doc流轉(zhuǎn)給成員終端
② 402的組織A成員并僅能存儲(chǔ)在c:\workarea402A目錄下;成員終端① 401的組織A成員具有組織專屬信息加密導(dǎo)出權(quán)和成員終端②402的組織 A成員具有組織專屬信息導(dǎo)入權(quán),成員終端①401的組織A成員能夠?qū)?file.doc加密導(dǎo)出為file.doc.sec,通過郵件、MSN等形式發(fā)送給成員終端 ②402的組織A成員,成員終端②402的組織A成員能夠?qū)ile.doc.sec導(dǎo)
13入進(jìn)c:\workarea402A目錄為file.doc;成員終端②402的組織A成員進(jìn)入 工作狀態(tài),使用工作進(jìn)程msword能夠正常編輯file.doc文件;成員終端① 401的組織A成員、成員終端②402的組織A成員在非工作狀態(tài)禁止瀏覽 組織專屬信息存儲(chǔ)區(qū)d:\workarea401A、 c:\workarea402A。成員終端①401 的組織A成員、成員終端②402的組織A成員在虛擬專有組織A的框架 下組織A管理臺(tái)保障了成員及成員之間的組織專屬信息的安全訪問、安全 存儲(chǔ)和安全流轉(zhuǎn)。
舉例來說,虛擬專有組織B為計(jì)算機(jī)軟件研發(fā)組織,使用C十+開發(fā)程 序,使用SVN進(jìn)行版本控制。組織B管理臺(tái)為成員終端①401的組織B 成員部署了工作進(jìn)程Visual 。++和TortoseSVN、組織專屬信息存儲(chǔ)區(qū)為 d:\workarea401B、文件級(jí)安全控制、進(jìn)程級(jí)安全控制,同時(shí),為成員終端 ③403的組織B成員部署了工作進(jìn)程Visual C十+和TortoseSVN、組織專屬 信息存儲(chǔ)區(qū)為c:\workarea403B、文件級(jí)安全控制、進(jìn)程級(jí)安全控制。在組 織B工作狀態(tài),成員終端①401的組織B成員和成員終端③403的組織B 成員通過工作進(jìn)程Visual 0++開發(fā)的程序存儲(chǔ)在各自的組織B專屬信息存 儲(chǔ)區(qū)d:\workarea401B和c:\workarea403B目錄下,并通過工作進(jìn)程 TortoseSVN將組織B專屬信息存儲(chǔ)區(qū)中的程序與SVN服務(wù)器進(jìn)行版本控 制,check in和check out的程序只能存儲(chǔ)到組織B專屬信息存儲(chǔ)區(qū)中,保 障虛擬專有組織B在開發(fā)過程中和版本控制共享過程中程序的安全性。
舉例來說,虛擬專有組織C為項(xiàng)目外包組織,成員終端②402的組織 C成員為發(fā)包方,成員終端③403的組織C成員為接包方,雙方使用msword 編寫文檔,使用AutoCAD進(jìn)行圖紙?jiān)O(shè)計(jì)。組織C管理臺(tái)為成員終端②402 的組織C成員部署了工作進(jìn)程msword和AutoCAD、組織專屬信息存儲(chǔ)區(qū) 為c:\workarea402C、文件級(jí)安全控制、進(jìn)程級(jí)安全控制、歸屬dept2安全 域,同時(shí),為成員終端③403的組織C成員部署了工作進(jìn)程msword和 AutoCAD、組織專屬信息存儲(chǔ)區(qū)為c:\workarea403C、文件級(jí)安全控制、進(jìn) 程級(jí)安全控制、歸屬dept2安全域。在組織C工作狀態(tài),成員終端②402 的組織C成員和成員終端③403的組織C成員同屬dept2安全域,之間構(gòu) 筑了安全的組織C專屬信息流轉(zhuǎn)通道,成員終端②402的組織C成員使用 工作進(jìn)程msword編寫設(shè)計(jì)需求文件存入c:\workarea402C目錄并流轉(zhuǎn)給成員終端③403的組織C成員存入c:\workarea403C目錄,成員終端③403的 組織C成員根據(jù)設(shè)計(jì)需求文件編寫設(shè)計(jì)方案文檔存入c:\workarea403C目 錄并流轉(zhuǎn)給成員終端②402的組織C成員存入c:\workarea402C目錄,成員 終端③403的組織C成員在成員終端②402的組織C成員認(rèn)可設(shè)計(jì)方案后 使用工作進(jìn)程AutoCAD進(jìn)行圖紙?jiān)O(shè)計(jì),圖紙?jiān)O(shè)計(jì)文檔存入 c:\workarea403C目錄并流轉(zhuǎn)給成員終端②402的組織C成員存入 c:\workarea402C目錄,成員終端②402的組織C成員使用工作進(jìn)程 AutoCAD對(duì)圖紙?jiān)O(shè)計(jì)文檔進(jìn)行審核。在完成外包任務(wù)后,組織C管理臺(tái) 能夠?qū)Τ蓡T終端③403的組織C成員的c:\workarea403C目錄進(jìn)行遠(yuǎn)程復(fù)制 和清理以及失效成員終端③403的組織C成員,從而保障了發(fā)包方對(duì)外包 項(xiàng)目所形成的電子信息資產(chǎn)的擁有權(quán)。
應(yīng)當(dāng)理解,上述說明只是用于展示本發(fā)明,而不是用于限制本發(fā)明的 保護(hù)范圍。
權(quán)利要求
1、一種虛擬專有組織平臺(tái)系統(tǒng)及方法,有一個(gè)或多個(gè)集群的系統(tǒng)服務(wù)器,有一個(gè)系統(tǒng)管理臺(tái),有N個(gè)組織管理臺(tái),有N*M個(gè)成員終端,系統(tǒng)管理臺(tái)、組織管理臺(tái)和成員終端通過網(wǎng)絡(luò)連接系統(tǒng)服務(wù)器,其特征在于系統(tǒng)服務(wù)器實(shí)現(xiàn)證書授權(quán)認(rèn)證服務(wù)、用戶身份認(rèn)證服務(wù)、成員終端軟件下載升級(jí)服務(wù)、虛擬專有組織管理服務(wù)、成員終端文檔流轉(zhuǎn)服務(wù)、成員終端安全策略服務(wù),成員終端信息審計(jì)服務(wù);系統(tǒng)管理臺(tái)實(shí)現(xiàn)虛擬專有組織平臺(tái)系統(tǒng)的維護(hù)和虛擬專有組織的管理;組織管理臺(tái)實(shí)現(xiàn)所屬虛擬專用組織成員的管理、所屬成員終端安全策略的配置和部署、所屬成員終端信息的審計(jì);成員終端通過安裝的成員終端軟件登陸所屬虛擬專有組織自動(dòng)下載并實(shí)時(shí)執(zhí)行組織管理臺(tái)所部署的終端安全策略,控制組織專屬信息的訪問、存儲(chǔ)和流轉(zhuǎn),并形成操作審計(jì)信息發(fā)送系統(tǒng)服務(wù)器。
2、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于系統(tǒng)服務(wù)器為所屬系統(tǒng)管理臺(tái)創(chuàng)建的每一個(gè)虛擬專有組織分配組織管理臺(tái)及該組織管理臺(tái)專屬授權(quán)證書、用戶身份,該方法包括A、 組織者向虛擬專有組織平臺(tái)系統(tǒng)提出組建虛擬專有組織的申請(qǐng);B、 系統(tǒng)管理臺(tái)在虛擬專有組織平臺(tái)系統(tǒng)中新增虛擬專有組織;C、 虛擬專有組織平臺(tái)系統(tǒng)為虛擬專有組織生成專屬的組織管理臺(tái)授權(quán)證書;D、 組織者安裝組織管理臺(tái)授權(quán)證書,成為虛擬專有組織平臺(tái)系統(tǒng)認(rèn)證的組織管理臺(tái);E、 執(zhí)行組織管理臺(tái),選擇組織,輸入用戶名和密碼在線驗(yàn)證后進(jìn)入虛擬專有組織管理狀態(tài)。
3、 如權(quán)利要求1或2所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于同一個(gè)組織管理臺(tái)具有申請(qǐng)管理多個(gè)虛擬專有組織的功能,所管理虛擬專有組織可以在同一系統(tǒng)服務(wù)器上或不同系統(tǒng)服務(wù)器上,所管理虛擬專有組織之間互不影響。
4、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于系統(tǒng)服務(wù)器為所屬組織管理臺(tái)創(chuàng)建的每一個(gè)成員終端配置成員信息及該成員終端專屬授權(quán)證書、用戶身份,該方法包括A、 成員終端向組織管理臺(tái)發(fā)出加盟組織的申請(qǐng);B、 組織管理臺(tái)在虛擬專有組織中新增成員;C、 虛擬專有組織平臺(tái)系統(tǒng)為成員終端生成專屬的成員終端授權(quán)證書;D、 成員終端安裝成員終端授權(quán)證書,成為虛擬專有組織認(rèn)證的成員終端;E、 執(zhí)行成員終端登陸,選擇組織,輸入用戶名和密碼在線驗(yàn)證后,成員終端從非工作狀態(tài)進(jìn)入虛擬專有組織工作狀態(tài)。
5、 如權(quán)利要求1或4所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于.-同一個(gè)成員終端具有申請(qǐng)加盟多個(gè)虛擬專有組織的功能,所加盟虛擬專有組織可以在同一系統(tǒng)服務(wù)器上或不同系統(tǒng)服務(wù)器上,成員終端上各虛擬專有組織之間的工作完全獨(dú)立、互不影響。
6、 如權(quán)利要求2或4所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于授權(quán)證書包括證書文件、ukey設(shè)備。
7、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于成員終端為每一個(gè)虛擬專有組織配置組織專屬信息存儲(chǔ)區(qū),組織專屬信息以加密的方式存儲(chǔ)在組織專屬信息存儲(chǔ)區(qū)中。
8、 如權(quán)利要求7所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于組織專屬信息存儲(chǔ)區(qū)外的信息允許移入組織專屬信息存儲(chǔ)區(qū),組織專屬信息存儲(chǔ)區(qū)的信息禁止移出組織專屬信息存儲(chǔ)區(qū)。
9、 如權(quán)利要求7所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于非工作狀態(tài)下禁止訪問組織專屬信息存儲(chǔ)區(qū),工作狀態(tài)下只能訪問角色所屬的組織專屬信息存儲(chǔ)區(qū)而禁止訪問其他角色的組織專屬信息存儲(chǔ)區(qū)。
10、 如權(quán)利要求7所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于虛擬專有組織的加密密鑰具有唯一性,虛擬專有組織之間的組織專屬信息不具有直接交換使用性。
11、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于-在工作狀態(tài),成員終端的進(jìn)程分為工作進(jìn)程和非工作進(jìn)程。
12、 如權(quán)利要求ll所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于僅允許工作進(jìn)程訪問組織專屬信息存儲(chǔ)區(qū),工作進(jìn)程所創(chuàng)建的信息屬于組織專屬信息只能存儲(chǔ)到組織專屬信息存儲(chǔ)區(qū)中。
13、 如權(quán)利要求11或12所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于工作進(jìn)程在訪問組織專屬信息時(shí),系統(tǒng)自動(dòng)進(jìn)行信息的加解密處理。
14、 如權(quán)利要求11或12所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于控制成員終端內(nèi)或成員終端之間進(jìn)程的信息通訊,包括允許工作進(jìn)程與工作進(jìn)程間的信息通訊;允許非工作進(jìn)程與非工作進(jìn)程間的信息通訊;允許非工作進(jìn)程到工作進(jìn)程間的信息通訊;阻止工作進(jìn)程到非工作進(jìn)程間的信息通訊。
15、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于組織管理臺(tái)能夠?qū)⑻摂M專有組織的成員配置為x個(gè)安全域,每個(gè)成員可以是Y個(gè)(Y《X)安全域的成員。
16、 如權(quán)利要求14所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于在工作狀態(tài),僅允許同一安全域的成員終端之間流轉(zhuǎn)組織專屬信息,流轉(zhuǎn)時(shí)系統(tǒng)自動(dòng)進(jìn)行信息加解密、壓縮解壓縮處理。
17、 如權(quán)利要求15所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于文檔流轉(zhuǎn)接收方成員終端只能將接收到的組織專屬信息存入相應(yīng)的組織專屬信息存儲(chǔ)區(qū)。
18、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于組織管理臺(tái)對(duì)所屬成員終端的組織專屬信息存儲(chǔ)區(qū)具有控制功能,包括失效成員終端對(duì)組織專屬信息存儲(chǔ)區(qū)的訪問、遠(yuǎn)程復(fù)制成員終端組織專屬信息存儲(chǔ)區(qū)、清除成員終端組織專屬信息存儲(chǔ)區(qū)。
19、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于在組織管理臺(tái)授權(quán)的情況下,允許所屬成員終端以加密方式、加殼方式、明文方式導(dǎo)出組織專屬信息;加密方式將組織專屬信息以加密的方式移出組織專屬信息存儲(chǔ)區(qū),通過導(dǎo)入的方式存入同組織的成員終端組織專屬信息存儲(chǔ)區(qū);加殼方式將組織專屬信息移出組織專屬信息存儲(chǔ)區(qū)后在信息上綁定密碼,在訪問加殼信息時(shí)驗(yàn)證密碼;明文方式將組織專屬信息解密后移出組織專屬信息存儲(chǔ)區(qū)成為普通文檔;
20、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于在組織管理臺(tái)授權(quán)的情況下,允許所屬成員終端脫網(wǎng)工作,成員終端脫網(wǎng)工作時(shí)仍然受安全策略的控制,脫網(wǎng)的審計(jì)信息在上網(wǎng)時(shí)自動(dòng)發(fā)送系統(tǒng)服務(wù)器。
21、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于連接系統(tǒng)服務(wù)器、系統(tǒng)管理臺(tái)、組織管理臺(tái)和成員終端的網(wǎng)絡(luò)包括intranet、extranet、 internet 。
22、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于系統(tǒng)管理臺(tái)、組織管理臺(tái)采用C/S結(jié)構(gòu)或B/S結(jié)構(gòu)與所述系統(tǒng)服務(wù)器進(jìn)行交互;成員終端采用C/S結(jié)構(gòu)與所述系統(tǒng)服務(wù)器進(jìn)行交互。
23、 如權(quán)利要求1所述虛擬專有組織平臺(tái)系統(tǒng)及方法,其特征在于成員終端包括操作系統(tǒng)手機(jī)、PDA、 MID、計(jì)算機(jī)系統(tǒng)。
全文摘要
本發(fā)明公開了一種虛擬專有組織平臺(tái)系統(tǒng)及方法,該虛擬專用組織(Virtual Proprietary Organization)平臺(tái)系統(tǒng)由系統(tǒng)服務(wù)器、系統(tǒng)管理臺(tái)、組織管理臺(tái)和成員終端通過網(wǎng)絡(luò)連接而成,通過系統(tǒng)管理臺(tái)、組織管理臺(tái)證書授權(quán)認(rèn)證管理系統(tǒng)服務(wù)器上虛擬專有組織的方法,以及組織管理臺(tái)統(tǒng)一配置和部署虛擬專有組織成員終端安全策略的方法,在各種網(wǎng)絡(luò)上靈活地構(gòu)建N個(gè)能夠保護(hù)組織專屬信息(Organization Proprietary Information)訪問安全、存儲(chǔ)安全和流轉(zhuǎn)安全的虛擬專有組織系統(tǒng),從技術(shù)層面保護(hù)虛擬專有組織的電子信息資產(chǎn)。
文檔編號(hào)H04L9/32GK101527637SQ20091008080
公開日2009年9月9日 申請(qǐng)日期2009年3月23日 優(yōu)先權(quán)日2009年3月23日
發(fā)明者崢 俞, 周海軍, 李曉飛, 楊佃春, 翔 林 申請(qǐng)人:北京安高科技有限公司