[发明专利]基于数字水印的数据安全管理方法、移动终端和系统

说明书

技术领域

本发明涉及数据安全领域，更具体地，涉及基于数字水印的数据安全管理方法、移动终端和系统。

背景技术

当前，随着在企业的内部网络中对移动终端的使用的日益普及，移动化办公逐渐成为企业内网的主要办公方式之一。这种移动终端通常包括智能手机、平板电脑或笔记本等。这些移动终端通常会在企业内WiFi环境、企业外WiFi环境、运营商2G／3G／4G无线接入环境等方式下进行切换工作。对于多种无线环境的适应，使得移动办公更加灵活，也提高了员工的办公效率。

然而，这种对无线环境的适应性在带来便捷的同时，也引起了数据安全方面的问题。对于企业内部的机密信息的安全性来说，存在着可能通过移动终端将这些机密信息泄漏出去的潜在危险。例如，当员工通过企业内网的WiFi环境上网办公所产生和／或获取的与企业机密相关的数据，有可能在移动终端的网络环境发生变化时暴露在公开的无防护网络中，并可能被恶意第三方所窃取；或甚至有可能被内部员工通过移动终端将机密信息携带到外部网络中并恶意传播。目前，还没有针对该问题的完备的安全控制方案。在该情况下，由于对企业机密或敏感数据存在安全控制上的疏漏，而有可能带来机密或敏感数据的无意或有意泄漏，从而为企业带来经济甚至法律方面的重大损失。

发明内容

为了解决上述问题，提供了根据本发明的基于数字水印来管理数据安全的方法、移动终端和系统。

根据本发明的第一方面，提供了一种在移动终端处基于数字水印来管理数据安全的方法。该方法包括：(a)在检测到要发生使得本地数据离开所述移动终端的操作时，判断所述本地数据是否包含数字水印；(b)如果所述本地数据包含数字水印，则根据与所述数字水印相对应的安全策略来判断是否允许所述操作；以及(c)如果判断不允许所述操作，则阻止所述操作。

在一些实施例中，所述数字水印是基于所述移动终端的一项或多项终端识别信息和／或企业标识信息(CI)来生成的。

在一些实施例中，所述一项或多项终端识别信息包括以下至少一项：所述移动终端的国际移动设备识别码(IMEI)、所述移动终端的通信子系统的媒体访问控制(MAC)地址、或向所述移动终端分配的认证信息(AC)。

在一些实施例中，所述数字水印是基于终端摘要信息(DD)和／或企业标识信息(CI)来生成的，所述终端摘要信息(DD)是根据所述移动终端的一项或多项终端识别信息来生成的。

在一些实施例中，所述方法还包括：(d)在检测到从所述移动终端外部接收到数据的操作时，向所述数据中添加数字水印。

在一些实施例中，步骤(d)还包括：在检测到从所述移动终端外部接收到数据的操作时，仅当所述数据来自安全的内部网络地址时，才向所述数据中添加数字水印。

在一些实施例中，步骤(d)还包括：如果接收到的数据包含第二数字水印，则使用所述数字水印来更新所述第二数字水印。

在一些实施例中，步骤(b)还包括：(b1)根据所述数字水印，获取所述移动终端的一项或多项终端识别信息；(b2)根据所述一项或多项终端识别信息，获取相对应的安全策略；以及(b3)基于所述安全策略，判断是否允许所述操作。

在一些实施例中，步骤(c)包括：如果判断不允许所述操作，则通过将所述移动终端的网络状态调整为受限网络，来阻止所述操作。

在一些实施例中，步骤(c)还包括：除了阻止所述操作之外，还向所述移动终端的用户和／或网络管理员告警所述操作不能被执行。

在一些实施例中，在步骤(a)之前，所述方法还包括：(e)建立与安全的内部网络的受限网络连接；(f)根据所述移动终端的用户输入的认证信息(AC)和／或所述移动终端的一项或多项终端识别信息，向所述内部网络中的认证服务器认证所述移动终端；以及(g)如果认证成功，则将所述移动终端与所述内部网络的受限网络连接调整为正常网络连接。

在一些实施例中，步骤(g)还包括：如果认证失败，则返回步骤(f)并重复进行认证，且重复认证次数不超过预定次数。

在一些实施例中，在步骤(e)之后，所述方法还包括：(h)将所述移动终端上的安全策略列表与所述内部网络中的认证服务器中维护的安全策略列表加以同步。

在一些实施例中，如果所述认证服务器中维护的安全策略列表发生变更，则以推送方式要求所述移动终端进行安全策略列表同步。