一种文档保护方法、设备以及系统.pdf

本发明公开了一种文档保护方法、设备以及系统。该文档保护设备包括：规则管理器，适于维护支持对文档进行保护的应用列表以及各种应用的文档操作规则；具有打印内容生成器的文档控制器，适于监控计算设备中的应用对文档的操作，当监控到对所述应用列表中的应用所显示的文档内容的打印操作时，根据规则管理器中的相应规则判断该打印操作是否具有权限，如果不具有打印权限，则拒绝打印；如果具有打印权限，则利用打印内容生成器来生成要打印的内容，并将生成的打印内容发送到打印机控制器处理。本发明降低了文档内容外泄的风险，提高了文档的安全性。

权利要求书
1.  一种文档保护设备，驻留在具有打印机控制器的计算设备中，该打印机控制器适于接收计算设备生成的打印内容，并发送到打印机来进行打印，该文档保护设备包括：
规则管理器，适于维护支持对文档进行保护的应用列表以及各种应用的文档操作规则；以及
具有打印内容生成器的文档控制器，适于监控计算设备中的应用对文档的操作，当监控到对所述应用列表中的应用所显示的文档内容的打印操作时，根据规则管理器中的相应规则判断该打印操作是否具有权限，如果不具有打印权限，则拒绝打印；如果具有打印权限，则利用打印内容生成器来生成要打印的内容，并将生成的打印内容发送到打印机控制器处理。

2.  如权利要求1所述的文档保护设备，其中，所述规则管理器中还存储有进行打印时显示在打印文件上的水印信息模板；以及
文档控制器中的打印内容生成器还根据所述水印信息模板来生成水印内容，并将生成的水印内容与所述打印内容一起发送到打印机控制器处理。

3.  如权利要求2所述的文档保护设备，其中，所述文档控制器先把水印内容发给打印机控制器，并随后将打印内容发给打印机控制器处理；或者，所述文档控制器先把打印内容发给打印机控制器，并随后将水印内容发给打印机控制器处理。

4.  如权利要求1、2或3所述的文档保护设备，还包括客户端代理模块，适于与文档保护服务器进行通信，并耦接到所述文档控制器，以将所述文档控制器所监控到的操作记录发送到文档保护服务器，所述操作记录包括打印记录，所述打印记录包括以下至少之一：打印时间、打印内容、操作用户和水印信息。

5.  如权利要求4所述的文档保护设备，还包括加解密模块，耦接到文档控制器；以及
文档控制器监控到所述应用列表中的应用读取文档内容时，调用加解密模块从计算设备中获取加密的文档内容并进行解密，将解密内容放置在临时存储空间中以供应用读取；当监控到应用列表中的应用存储文档内容时，调用加解密模块将临时存储空间中的内容进行加密，并存储加密的文档。

6.  如权利要求5所述的文档保护设备，其中，所述客户端代理模块还从文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规则，并存储到所述规则管理器中。

7.  如权利要求4所述的文档保护设备，其中，所述客户端代理模块还包括身份认证部件，适于经由和文档保护服务器的通信来对文档保护设备进行认证，并且只允许认证通过的文档保护设备启动文档控制器进行文档操作。

8.  一种文档保护方法，适于在具有打印机控制器的计算设备中运行，该打印机控制器适于接收计算设备生成的打印内容，并发送到打印机来进行打印，该文档保护方法包括：
监控计算设备中的应用对文档的操作，当监控到对应用所显示的文档内容的打印操作时，判断该应用是否在支持对文档进行保护的应用列表中；
当该应用在所述应用列表中时，根据应用的文档操作规则判断该打印操作是否具有权限；
如果不具有打印权限，则拒绝打印；以及
如果具有打印权限，则生成要打印的内容，并将生成的打印内容发送到打印机控制器处理。

9.  如权利要求8所述的文档保护方法，其中，所述生成要打印的内容，并将生成的打印内容发送到打印机控制器处理，包括：
获取进行打印时要显示在打印文件上的水印信息模板，根据所述水印信息模板来生成水印内容，并将生成的水印内容与所述打印内容一起发送到打印机控制器处理。

10.  一种文档保护系统，包括
文档保护服务器；
一个或者多个计算设备，与所述文档保护服务器通信连接，并且在计算设备中驻留有如权利要求1至7中任一项所述的文档保护设备；以及
一个或者多个打印机，与所述计算设备通信连接，适于接收计算设备生成的打印内容，并进行打印。

说明书一种文档保护方法、设备以及系统
技术领域
本发明涉及及计算机和互联网领域，具体涉及一种文档保护方法、设备以及系统。
背景技术
随着计算机技术以及网络技术的普及和发展，丰富的网络数据资源为人们的生活带来了极大的便利，同时也带来了诸多的困惑。例如，在企业中，员工很容易将一些涉及企业秘密的文档发送到企业之外，从而导致文档泄密。因此，能够保护文档以防止文档内容外传的方案随之产生。
目前存在的一种保护文档的方案是对文档进行加解密，即在用户的计算机上安装文档保护客户端，文档以密文方式存储在文档存储器中，让用户需要浏览文档内容时，将加密的文档内容从文档存储器中读取出来并解密，从而将明文呈现给用户。而当用户对文档内容进行了修改等之后并进行存储时，文档保护客户端会对该文档内容进行加密，并存储到文档存储器中。这样即使将该文档从文档存储器复制到外部，该文档也是加密状态，从而防止了文档内容外泄的风险。
在这种方案中，用户并不用关注文档是否被加解密而如寻常一样进行操作，称为透明加解密方案。这种方案可以很好解决文档内容外泄的问题。
但是，在这种方案中，难以解决这样的问题，即用户可以利用打印机将明文方式的文档内容打印出来并以物理拷贝的方式将文档带走，并由此导致文档泄密。
发明内容
鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的文档保护方法、设备以及系统。
根据本发明的一个方面，提供了一种文档保护设备，驻留在具有打印机控制器的计算设备中，该打印机控制器适于接收计算设备生成的打印内容，并发送到打印机来进行打印，该文档保护设备包括：规则管理器，适于维护支持对文档进行保护的应用列表以及各种应用的文档操作规则；以及具有打印内容生成器的文档控制器，适于监控计算设备中的应用对文档的操作，当监控到对所述应用列表中的应用所显示的文档内容的打印操作时，根据规则管理器中的相应规则判断该打印操作是否具有权限，如果不具有打印权限，则拒绝打印；如果具有打印权限，则利用打印内容生成器来生成要打印的内容，并将生成的打印内容发送到打印机控制器处理。
可选地，在根据本发明的文档保护设备中，规则管理器中还存储有进行打印时显示在打印文件上的水印信息模板；以及文档控制器中的打印内容生成器还根据所述水印信息模板来生成水印内容，并将生成的水印内容与所述打印内容一起发送到打印机控制器处理。
可选地，在根据本发明的文档保护设备中，文档控制器先把水印内容发给打印机控制器，并随后将打印内容发给打印机控制器处理；或者，文档控制器先把打印内容发给打印机控制器，并随后将水印内容发给打印机控制器处理。
可选地，根据本发明的文档保护设备还包括客户端代理模块，适于与文档保护服务器进行通信，并耦接到文档控制器，以将文档控制器所监控到的操作记录发送到文档保护服务器，操作记录包括打印记录，所述打印记录包括以下至少之一：打印时间、打印内容、操作用户和水印信息。
可选地，根据本发明的文档保护设备还包括加解密模块，耦接到文档控制器；以及文档控制器监控到所述应用列表中的应用读取文档内容时，调用 加解密模块从计算设备中获取加密的文档内容并进行解密，将解密内容放置在临时存储空间中以供应用读取；当监控到应用列表中的应用存储文档内容时，调用加解密模块将临时存储空间中的内容进行加密，并存储加密的文档。
可选地，在根据本发明的文档保护设备中，客户端代理模块还从文档保护服务器获取与该文档保护设备相关联的应用列表和文档操作规则，并存储到所述规则管理器中。
可选地，在根据本发明的文档保护设备中，客户端代理模块还包括身份认证部件，适于经由和文档保护服务器的通信来对文档保护设备进行认证，并且只允许认证通过的文档保护设备启动文档控制器进行文档操作。
根据本发明的另一方面，提供了一种文档保护方法，适于在具有打印机控制器的计算设备中运行，该打印机控制器适于接收计算设备生成的打印内容，并发送到打印机来进行打印，该文档保护方法包括：监控计算设备中的应用对文档的操作，当监控到对应用所显示的文档内容的打印操作时，判断该应用是否在支持对文档进行保护的应用列表中；当该应用在所述应用列表中时，根据应用的文档操作规则判断该打印操作是否具有权限；如果不具有打印权限，则拒绝打印；以及如果具有打印权限，则利用打印内容生成器来生成要打印的内容，并将生成的打印内容发送到打印机控制器处理。
可选地，在根据本发明的文档保护方法中，所述生成要打印的内容，并将生成的打印内容发送到打印机控制器处理，包括：获取进行打印时要显示在打印文件上的水印信息模板，根据所述水印信息模板来生成水印内容，并将生成的水印内容与所述打印内容一起发送到打印机控制器处理。
可选地，在根据本发明的文档保护方法中，所述将生成的水印内容与所述打印内容一起发送到打印机控制器处理，包括：先把水印内容发给打印机控制器，并随后将打印内容发给打印机控制器处理；或者，先把打印内容发给打印机控制器，并随后将水印内容发给打印机控制器处理。
可选地，根据本发明的文档保护方法还包括：与文档保护服务器进行通 信，以将监控到的操作记录发送到文档保护服务器，所述操作记录包括打印记录，所述打印记录包括以下至少之一：打印时间、打印内容、操作用户和水印信息。
可选地，根据本发明的文档保护方法还包括：监控到所述应用列表中的应用读取文档内容时，从计算设备中获取加密的文档内容并进行解密，将解密内容放置在临时存储空间中以供应用读取；当监控到应用列表中的应用存储文档内容时，将临时存储空间中的内容进行加密，并存储加密的文档。
根据本发明的又一方面，提供了一种文档保护系统，包括：文档保护服务器；一个或者多个计算设备，与所述文档保护服务器通信连接，并且在计算设备中驻留有根据本发明的文档保护设备；以及一个或者多个打印机，与所述计算设备通信连接，适于接收计算设备生成的打印内容，并进行打印。
在根据本发明的文档保护方案中，当监控到用户通过应用列表中的受保护应用来打印文档的操作时，判断打印操作是否具有权限，仅在具有打印权限时，才生成要打印的内容，并将生成的打印内容发送到打印机控制器处理，从而可以防止未经许可的用户打印文档，降低了文档内容外泄的风险，提高了文档的安全性。进一步，即使受保护应用的文档能够被打印，还可以标记出来打印该文档的用户，从而可以在文档被泄露时，能进行溯源。
上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
图1示出了根据本发明一个实施例的文档保护系统的结构示意图；
图2示出了根据本发明一个实施例的文档保护设备的结构示意图；
图3示出了根据本发明一个实施例的文档保护方法的流程示意图；
图4示出了本发明实施例中进行打印策略的设置界面；
图5示出了本发明实施中生成的日志文件的示意图；以及
图6是布置为实现根据本发明的文档保护方法的示例计算设备900的框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的文档保护系统100的结构示意图。如图1所示，文档保护系统100包括文档保护服务器110以及一个或者多个通过网络与文档保护服务器110通信连接的计算设备120。每个计算设备120中均驻留有文档保护设备200(也可称为文档保护客户端)。计算设备120可以是本领域任何可以处理电子数据的设备，包括但不限于桌面型计算机、笔记本式计算机、个人数字助理、智能移动终端和平板电脑等。计算设备120中通常运行现代的操作系统，利用操作系统来管理计算设备120中的硬件资源。一般来说，现代的操作系统会划分为用户空间层和内核层。根据本发明的一个实施方式，文档保护设备200不仅仅在用户空间层运行，而且其还有一部分部件在操作系统的内核层中运行。
文档保护设备200和文档保护服务器110进行通信，从而可以确保在计算设备120中的特定文档不能在计算设备120之外的其它设备上被查看、修改等。根据一个实施方式，未安装有文档保护设备200的计算设备不能打开文档。另外，文档保护服务器110还可以包括日志存储器112。各个计算设备120中文档保护设备200所监测到的、各个应用对文档的操作记录都会发 送到文档保护服务器110并存储到日志存储器112中。这样，当发现某个文档被外泄时，可以根据日志存储器112中存储的操作记录来确定有可能是哪个计算设备120发生了外泄。此外还可以通过对日志存储器112中存储的操作记录进行统计分析来确定文档被外泄的风险性。
文档保护服务器110还可以包括身份认证部件114，适于对各个计算设备处的用户进行身份认证，从而确保只有认证通过的用户才可以使用计算设备120来进行文档操作。
文档保护服务器110还可以包括规则存储器116，其中存储了不同用户使用各种应用来进行文档操作的规则。例如对于一般用户来说，可以使用word字处理应用来浏览和修改word文档，但是不能打印文档。而对于一般财务人员来说，则可以利用Excel表格处理应用来打开、浏览财务文档，但是不能浏览开发文档。而对于公司的财务总监来说，对于财务文档具有全部权限。文档保护服务器110可以根据需要更新规则存储器116中存储的规则，并发送给相应的文档保护设备200，以便文档保护设备200可以根据该规则来确定文档操作的权限等。
另外，规则存储器116中还可以存储文档保护系统中各文档保护设备200所支持的对文档进行保护的应用列表，以及支持文档保护的格式等。
计算设备120还可以连接本地打印机或者经由网络与网络打印机相连接，每个计算设备120还包括打印机控制器122，打印机控制器122可以接收计算设备120生成的打印内容，并发送到打印机130来进行打印。另外，打印机130还可以是虚拟打印机，例如PDF打印机。
针对打印操作，规则存储器116中除了存储用户通过应用进行打印的权限之外，还会存储进行打印时显示在打印文件上的水印信息模板等。
文档保护设备200可以从规则存储器116获取与自身关联的支持对文档进行保护的的应用列表以及文档操作规则，在监控到用户通过应用来打印文档的操作时，会对打印的过程和内容进行控制，以防止未经许可的用户打印受保护应用所打开的文档，从而降低文档内容外泄的风险。
以下对文档保护设备200的具体构成和工作原理进行详细介绍。图2示出了根据本发明一个实施例的文档保护设备200的结构示意图。如图2所示，文档保护设备200包括规则管理器210和文档控制器220。
规则管理器210耦接到文档控制器220，并维护支持对文档进行保护的应用列表以及各种应用的文档操作规则。例如，该应用列表中包括word字处理应用、AutoCAD制图应用和Excel表格处理应用这3个应用，说明这些应用是支持对文档进行保护的应用(简称为受保护应用)，而记事本(Notepad)字处理应用不在该应用列表中，则说明其不是支持对文档进行保护的应用(简称为不受保护应用)。
应用的文档操作规则是指应用列表中的各种应用能够进行文档操作的方式，例如，一些应用只能打开文档而不能编辑等，还有一些应用不能进行打印等。文档控制器220可以根据规则管理器210中的规则来控制应用的文档操作权限。其中，该文档保护设备的该应用列表以及文档操作规则可以从文档保护服务器110，尤其是文档保护服务器110的规则存储器116中获取。
应用的文档操作规则可以包括打印策略，也即规则管理器210中存储有与本文档保护设备关联的打印策略。可以为所有受保护应用设置相同的打印策略，也可以为不同的受保护应用设置不同的打印策略。例如word应用具有打印权限，是指用户能够通过word字处理应用打印word文档；而AutoCAD不具有打印权限，是指用户不能够通过AutoCAD制图软件应用AutoCAD文档。进一步，在设置打印策略时，还可以设置只能将文档打印到指定打印机。
图4示出了本发明实施例中进行打印策略的设置界面。参照图4，可以在文档保护服务器110上进行打印策略的设置，并将设置好的打印策略发送到文档保护设备200的规则管理器210中。在打印策略中，可以对打印进行控制，包括“允许打印”、“禁止打印”和“限制打印”(需要填入合法打印机名称)三种选项。
如果希望终端用户只能将文档打印到指定打印机，则可以选择“限制打 印”，并在填入打印机名称后通过“>”按钮添加至合法打印机列表。打印保护同时也可用于保护虚拟打印机。若终端用户将文档输出为PDF文件，则需要填入相应的PDF打印机名(如“\\Adobe PDF”)。当需要将网络打印机加入合法打印机列表时，应当按照“\\IP地址\打印机名”的格式进行填写。如果使用列表以外的打印机，将会出现打印机错误提示信息。
根据本发明的实施例，可以设置仅允许用户在文档保护服务器110中注册的打印机上进行打印操作，并且能够控制虚拟打印机输出，有效防止用户将文档打印成OCR、FLASH等格式后传播扩散。
文档控制器220监控计算设备110中的应用对文档的各种操作，且文档控制器220中包括打印内容生成器222。
文档控制器220监控到对计算设备110中的应用所显示文档内容的打印操作时，判断该应用是否在规则管理器210所维护的应用列表中，当该应用不在所述应用列表中时，说明该应用为不受保护应用，直接允许该应用打印该文档内容。当应用在所述应用列表中时，说明该应用为受保护应用，需要根据规则管理器210中的相应规则判断该打印操作是否具有权限，如果不具有打印权限，则拒绝打印；如果具有打印权限，则利用打印内容生成器222来生成要打印的内容，并将生成的打印内容发送到打印机控制器122来处理，随后由打印机130将所述打印内容打印出来。
在一种实现方式中，文档控制器220在用户空间层即应用层中运行，并采用应用层API HOOK(俗称钩子)技术。当各种应用对文档进行操作时，文档控制器220利用API HOOK在应用层的系统API处可以提前截获包括文档打开、修改、复制、剪切、粘贴、截屏、打印等操作请求，从而可以根据规则管理器210中存储的文档操作规则进行相应的处理。
举个例子，用户通过word字处理应用打开了一个word文档，并在word中执行打印操作，文档控制器220会通过Hook检测到该行为，并通过StartDocPrinter、EndDocPrinter等函数获取到打印文件名。然后，文档控制器220会根据规则管理器210来判断word是否为支持的应用，如果不是， 则文档控制器220不进行任何操作直接允许打印(不HOOK相关函数，就不会控制打印操作)。
如果word为支持的应用，则根据规则管理器210来判断当前用户是否能够进行打印，如果没有权限进行打印，则直接拒绝打印请求。示例性代码如下：

此例中，word应用具有打印权限，则利用打印内容生成器222来生成要打印的内容，并将生成的打印内容发送到打印机控制器122处理，随后由打印机130将所述打印内容打印出来。
根据本发明的一个实施例，规则管理器210中还可以存储进行打印时显示在打印文件上的水印信息模板。相应地，文档控制器220中的打印内容生成器222还可以根据所述水印信息模板来生成水印内容，并将生成的水印内容与打印内容一起发送到打印机控制器处理。
请继续参照图4，在进行打印策略设置时，如果需要在文档中加入水印，勾选“打印时加入水印”，并可设置水印显示在底层还是顶层。同时可以调节水印颜色深度，调至255时水印颜色最深。水印是一组随机数字和字母组合，可以通过水印来确定什么时间、什么人打印了什么文件。
根据水印显示在底层还是顶层的不同设置，文档控制器220可以先把水印内容发给打印机控制器122，并随后将打印内容发给打印机控制器122处理；或者，文档控制器220先把打印内容发给打印机控制器122，并随后将水印内容发给打印机控制器122处理。
如果设置在底层显示水印，在打印一个新页前在打印机设备上下文 (Device Context，DC)写入水印内容，再把文档内容提交给打印机DC。如果设置在顶层显示水印，则把文档内容提交给打印机DC后，再在打印机DC写入水印内容后再调用EndPage函数完成一个页面的打印。示例性代码如下：

根据本发明的一个实施例，文档保护设备200还可以包括加解密模块230，耦接到文档控制器220。文档控制器220监控到计算设备120中的应用读取文档内容时，如果该应用在应用列表中，则调用加解密模块230从计算设备120中获取加密的文档内容并进行解密，将解密内容放置在临时存储空间(例如内存)中以供应用读取；当监控到应用存储文档内容时，如果该应用在应用列表中，则调用加解密模块230将临时存储空间中的内容进行加密，并存储加密的文档(例如存储到硬盘)。
加解密模块230的加解密操作对于上层应用来说是不可见的，或者说是透明的。当应用在打开或编辑指定文档时，加解密模块230将自动对未加密的文档进行加密，对已加密的文档自动解密。文档在计算设备120的永久存储器上以密文方式存储，而在应用进行各种操作时，在临时存储空间中以明文方式存在。一旦该文档离开文档保护系统的环境，由于应用无法获得自动解密的服务而无法打开这些文档，从而起到保护文档内容的效果。加解密模块230可以采用本领域的任何加解密技术来进行文档加解密操作，而不脱离 本发明的保护范围。
根据本发明的一个实施例，文档保护设备200中的规则管理器210除了维护一个支持对文档进行保护的应用列表之外，还维护各种应用的文档操作规则，例如，一些应用只能打开文档而不能编辑等。文档控制器220在监控到应用对文档的操作时，从所述规则管理器210中获取应用的文档操作规则，并确定该应用是否可以进行该文档操作。
为了和文档保护服务器110进行通信，文档保护设备200还可以包括客户端代理模块240。客户端代理模块240耦接到文档控制器220并且与文档保护服务器110进行通信，以便将文档控制器220监控到的文档操作记录发送到文档保护服务器110，例如存储到日志存储器112中，从而可以后续对该操作记录进行分析，来确定文档泄密路径和可能被泄密的文档。
根据本发明的一个实施例，文档控制器220发送到文档保护服务器110的操作记录可以包括打印记录，所述打印记录包括以下至少之一：打印时间、打印内容、操作用户和水印信息。
图5示出了本发明实施中生成的日志文件的示意图。参照图5，该日志文件中的打印记录包括：打印时间“2007-09-0413:30:17”，打印终端“192.168.1.5(test4)”，对应的文档“Microsoft Word-铁卷电子文档安全系统技术白皮书.DOC”，水印“07d70904051d30009c001b576300700cc”。这样，当发现具有该水印的打印文档时，就很容易确定是谁在什么时间打印了该文档。
规则管理器210也可以耦接到客户端代理模块240，从而由客户端代理模块240从文档保护服务器110，尤其是规则存储器116获取最新的与文档保护设备200相关联的应用列表和文档操作规则，并更新到所述规则管理器210。
客户端代理模块240还可以包括身份认证部件242，其通过与文档保护服务器110中的身份认证部件114进行交互，从而对文档保护设备200，尤其是文档保护设备200上的用户进行认证，并且只允许认证通过的文档保护 设备200启动文档控制器220来进行文档操作控制。
根据本发明的文档保护设备200，当监控到用户通过应用列表中的受保护应用来打印文档的操作时，判断打印操作是否具有权限，仅在具有打印权限时，才生成要打印的内容，并将生成的打印内容发送到打印机控制器处理，从而可以防止未经许可的用户打印文档，降低了文档内容外泄的风险，提高了文档的安全性。进一步，即使受保护应用的文档能够被打印，还可以标记出来打印该文档的用户，从而可以在文档被泄露时，能进行溯源。
图3示出了根据本发明一个实施例的文档保护方法300的流程示意图。文档保护方法300适于在图1所述的计算设备120中执行，尤其适于在图2所示的文档保护设备200中执行，从而可以保护在计算设备120上的各种文档以防止外泄。
文档保护方法300始于步骤S310。在步骤S310中，监控计算设备中的应用对文档的操作，当监控到对应用所显示的文档内容的打印操作时，判断该应用是否在支持对文档进行保护的应用列表中。当该应用不在所述应用列表中时，说明该应用为不受保护应用，直接允许该应用打印该文档内容。当该应用在所述应用列表中时，方法进入步骤S320。在一种实现方式中，采用应用层API HOOK(俗称钩子)技术来进行所述监控。当各种应用对文档进行操作时，利用API HOOK在应用层的系统API处可以提前截获包括文档打开、修改、复制、剪切、粘贴、截屏、打印等操作请求。
在步骤S320中，当应用在所述应用列表中时，说明该应用为受保护应用，需要根据应用的文档操作规则判断该打印操作是否具有权限，如果不具有打印权限，则拒绝打印；如果具有打印权限，方法进入步骤S330。
在步骤S330中，生成要打印的内容，并将生成的打印内容发送到打印机控制器处理，并由打印机将所述打印内容打印出来。
根据本发明的一个实施例，文档保护方法300还包括获取应用列表以及文档操作规则的步骤，所述应用列表以及文档操作规则可以从文档保护服务器，尤其是文档保护服务器的规则存储器中获取。
例如，该应用列表中包括word字处理应用、AutoCAD制图应用和Excel表格处理应用这3个应用，说明这些应用是支持对文档进行保护的应用(简称为受保护应用)，而记事本(Notepad)字处理应用不在该应用列表中，则说明其不是支持对文档进行保护的应用(简称为不受保护应用)。
应用的文档操作规则是指应用列表中的各种应用能够进行文档操作的方式，例如，一些应用只能打开文档而不能编辑等，还有一些应用不能进行打印等。可以为所有受保护应用设置相同的打印策略，也可以为不同的受保护应用设置不同的打印策略。例如word具有打印权限，是指用户能够通过word字处理应用打印word文档；而AutoCAD不具有打印权限，是指用户不能够通过AutoCAD制图应用打印AutoCAD文档。进一步，在设置打印策略时，还可以设置只能将文档打印到指定打印机。
根据本发明的一个实施例，可以在打印文件中显示水印。相应地，在步骤S330中，生成要打印的内容，并将生成的打印内容发送到打印机控制器处理可以包括：利用打印内容生成器获取进行打印时显示在打印文件上的水印信息模板，根据该水印信息模板来生成水印内容，并将生成的水印内容与所述打印内容一起发送到打印机控制器处理。
其中，可以设置在顶层显示水印，也可以设置在底层显示水印。相应地，将将生成的水印内容与打印内容一起发送到打印机控制器处理包括：先把水印内容发给打印机控制器，并随后将打印内容发给打印机控制器处理；或者，先把打印内容发给打印机控制器，并随后将水印内容发给打印机控制器处理。
根据本发明的一个实施例，方法300还包括与文档保护服务器进行通信，以将监控到的操作记录发送到文档保护服务器，所述操作记录包括打印记录，所述打印记录包括以下至少之一：打印时间、打印内容、操作用户和水印信息。
根据本发明的一个实施例，方法300还包括监控到所述应用列表中的应用读取文档内容时，从计算设备中获取加密的文档内容并进行解密，将解密 内容放置在临时存储空间中以供应用读取；当监控到应用列表中的应用存储文档内容时，将临时存储空间中的内容进行加密，并存储加密的文档。
根据本发明的文档保护方法300，当监控到用户通过应用列表中的受保护应用来打印文档的操作时，判断打印操作是否具有权限，仅在具有打印权限时，才生成要打印的内容，并将生成的打印内容发送到打印机控制器处理，从而可以防止未经许可的用户打印文档，降低了文档内容外泄的风险，提高了文档的安全性。进一步，即使受保护应用的文档能够被打印，还可以标记出来打印该文档的用户，从而可以在文档被泄露时，能进行溯源。
图6是布置为实现根据本发明的文档保护方法的示例计算设备900的框图。该计算设备900同样可以用于实现根据本发明的计算设备120。
在基本的配置902中，计算设备900典型地包括系统存储器906和一个或者多个处理器904。存储器总线908可以用于在处理器904和系统存储器906之间的通信。
取决于期望的配置，处理器904可以是任何类型的处理，包括但不限于：微处理器(μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器904可以包括诸如一级高速缓存910和二级高速缓存912之类的一个或者多个级别的高速缓存、处理器核心914和寄存器916。示例的处理器核心914可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器918可以与处理器904一起使用，或者在一些实现中，存储器控制器918可以是处理器904的一个内部部分。
取决于期望的配置，系统存储器906可以是任意类型的存储器，包括但不限于：易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器906可以包括操作系统920、一个或者多个应用922以及程序数据924。应用922可以包括被配置为实现文档保护方法的文档保护设备926。程序数据924可以包括可用于如此处所述的文档操作规则928。在一些实施方式中，应用922可以布置为在操作系统上利 用程序数据924进行操作。
计算设备900还可以包括有助于从各种接口设备(例如，输出设备942、外设接口944和通信设备946)到基本配置902经由总线/接口控制器930的通信的接口总线940。示例的输出设备942包括图形处理单元948和音频处理单元950。它们可以被配置为有助于经由一个或者多个A/V端口952与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口944可以包括串行接口控制器954和并行接口控制器956，它们可以被配置为有助于经由一个或者多个I/O端口958和诸如输入设备(例如，键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备946可以包括网络控制器960，其可以被布置为便于经由一个或者多个通信端口964与一个或者多个其他计算设备962通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块，并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号，它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例，通信介质可以包括诸如有线网络或者专线网络之类的有线介质，以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
计算设备900可以实现为小尺寸便携(或者移动)电子设备的一部分，这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。计算设备900还可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描 述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使 用。
本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文档保护设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。