專利名稱:用于安全地管理對(duì)文件系統(tǒng)的用戶訪問的方法�����、安全設(shè)備����、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種使用用于安全地管理文件系統(tǒng)的用戶訪問的安全設(shè)備的方法�。特別地,它涉及使用一種安全設(shè)備的方法����,該安全設(shè)備由反惡意軟件或流氓軟件的設(shè)計(jì)保護(hù),并且適于與服務(wù)器建立連接,例如SSL/TLS連接等安全連接�����。另外�,本發(fā)明涉及此類設(shè)備,以及包括這種設(shè)備的系統(tǒng)或用于實(shí)現(xiàn)所述方法和對(duì)應(yīng)的服務(wù)器組件的計(jì)算機(jī)程序介質(zhì)���。
背景技術(shù):
PC的安全問題使它們不適合很多功能���,因?yàn)橛脩糨斎氲臄?shù)據(jù)可以被攻擊者操作或拷貝。例如��,交易可以被改變以將錢發(fā)送給不想要的接收者或者訂購(gòu)不想要的貨物�����,或者用戶憑證可被拷貝��,為攻擊者提供對(duì)系統(tǒng)的訪問�,例如用于網(wǎng)銀的證書。為了解決這些問題中的一些�,可以與PC —起使用用戶安全設(shè)備(也是“可信設(shè)備”)。一個(gè)這種解決方案����,IBM區(qū)域可信信息通道(參見Thomas Weigold, ThorstenKramp, Reto Hermann, Frank Horing, Peter BuhIer, Michael Baentsch, “The ZurichTrusted Information Channel-An Efficient Defence against Man-1n—the—Middleand Malicious Software Attacks�,��,�,In P.Lipp, A.-R.Sadeghi, and K.-M.Koch (Eds.):TRUST2008,LNCS4968�,pp.75-91,2008)在服務(wù)提供者(例如銀行)執(zhí)行交易之前允許用戶驗(yàn)證與交易相關(guān)聯(lián)的信息(即在網(wǎng)銀的情況下,數(shù)量和接收者)���。交易在設(shè)備上被驗(yàn)證���,該設(shè)備是安全的并且可以以安全方式向后端系統(tǒng)發(fā)送被驗(yàn)證的信息。此外��,考慮到低成本�����、高容量USB閃存驅(qū)動(dòng)的可用性�����,安全文件管理以成為任何IT組織關(guān)注的領(lǐng)域����。存在兩個(gè)顯著的問題:1.外部數(shù)據(jù)丟失:在設(shè)備例如USB閃存驅(qū)動(dòng)上,大量敏感數(shù)據(jù)可以被容易地存儲(chǔ)和傳輸����。這種設(shè)備的丟失會(huì)造成公司的法律或財(cái)務(wù)的展露。2.雇員數(shù)據(jù)盜竊:敏感數(shù)據(jù)可以容易地被具有通過PC訪問的雇員盜竊��。對(duì)于第一個(gè)問題的解決方案現(xiàn)在出現(xiàn)在市場(chǎng)上��。例如�����,USB驅(qū)動(dòng)上的數(shù)據(jù)可以被加密并且周密碼保護(hù)����。類似于其他IT系統(tǒng),如果輸入錯(cuò)誤的密碼多于指定的次數(shù)�,則設(shè)備鎖定,從而使數(shù)據(jù)不可訪問�。第二個(gè)問題可被解決通過在公司中禁用用于大容量存儲(chǔ)設(shè)備的USB端口。遺憾的是���,這種解決方案也阻止了移動(dòng)存儲(chǔ)設(shè)備的合法的和有用的應(yīng)用��。另一方法是在用戶的PC上使用監(jiān)控軟件以便檢測(cè)和防止違反給定策略的數(shù)據(jù)拷貝���。但是這種軟件解決方案僅和系統(tǒng)以及用于實(shí)現(xiàn)它的應(yīng)用軟件一樣安全�,即�,如果存在確定的攻擊者,它們不能解決這個(gè)問題�。一個(gè)相關(guān)的挑戰(zhàn)是敏感文檔的安全分布。文檔可以在分布之前被加密�,這在文檔傳輸時(shí)保護(hù)了文檔,并且一旦它被存儲(chǔ)在用戶的PC上��,假設(shè)它以加密的形式被存儲(chǔ)�。但是,一旦文檔被解密�����,例如�,為了觀看,它被展露�,因此有風(fēng)險(xiǎn)����。在公司里��,風(fēng)險(xiǎn)被用于處理(例如觀看或打印)文檔的公司的IT基礎(chǔ)設(shè)施的總體安全限制�����。但是��,當(dāng)這種文檔在公司之外被解密時(shí)�,例如���,在有互聯(lián)網(wǎng)連接的PC上����,或者當(dāng)公司PC的安全被損害時(shí)�����,這種文檔再次被展露�����。需要改進(jìn)當(dāng)前用于敏感文檔的安全分布的方法����,并且更一般地��,用于安全地管理用戶對(duì)文件的訪問��。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一個(gè)方面�����,提供了一種用于安全地管理文件系統(tǒng)用戶訪問的方法���,包括步驟:提供安全設(shè)備,后者由反惡意軟件或流氓軟件的設(shè)計(jì)加以保護(hù)��,并且適于通過電信網(wǎng)絡(luò)建立與服務(wù)器的連接����;優(yōu)選地通過連接到所述服務(wù)器的主機(jī)在所述安全設(shè)備與所述服務(wù)器之間建立連接;通過所述建立的連接在所述安全設(shè)備接收標(biāo)識(shí)優(yōu)選地至少部分存儲(chǔ)在所述安全設(shè)備之外的文件的���、與文件系統(tǒng)有關(guān)的數(shù)據(jù)�����;基于從所述服務(wù)器接收的數(shù)據(jù)在所述安全設(shè)備將所述文件系統(tǒng)展露給用戶��,所述文件系統(tǒng)可由用戶導(dǎo)航�����。在實(shí)施方式中�,所述方法和包括下列特征中的一個(gè)或多個(gè):-本發(fā)明的方法還包括步驟:在所述設(shè)備接收針對(duì)訪問標(biāo)識(shí)在展露的文件系統(tǒng)中并且存儲(chǔ)在所述安全設(shè)備之外的外部文件的請(qǐng)求之后�,通過建立在所述安全設(shè)備和所述服務(wù)器之間的連接,在所述安全設(shè)備接收所述外部文件���,用于后來存儲(chǔ)在所述安全設(shè)備上����;-本發(fā)明的方法還包括步驟:通過所述建立的連接���,在所述安全設(shè)備接收標(biāo)識(shí)優(yōu)選地部分存儲(chǔ)在所述安全設(shè)備之外的文件的�����、與更新的文件系統(tǒng)有關(guān)的更新的數(shù)據(jù)����;在所述安全設(shè)備將所述更新的文件系統(tǒng)展露給用戶�,基于從所述服務(wù)器接收的更新的數(shù)據(jù),所述更新的文件系統(tǒng)可被用戶導(dǎo)航,其中��,存儲(chǔ)在所述安全設(shè)備的存儲(chǔ)器上的��、在先前展露的文件系統(tǒng)中被標(biāo)識(shí)并且在更新的文件系統(tǒng)中未被標(biāo)識(shí)的文本優(yōu)選地從所述安全設(shè)備的存儲(chǔ)器被移除����;-在所述安全設(shè)備接收的與文件系統(tǒng)有關(guān)的數(shù)據(jù)和對(duì)應(yīng)的文件系統(tǒng)是特定于用戶的;-接收數(shù)據(jù)的步驟還包括接收對(duì)應(yīng)于在所述對(duì)應(yīng)的文件系統(tǒng)中標(biāo)識(shí)的一個(gè)或多個(gè)文件的數(shù)據(jù)����;-在所述安全設(shè)備展露的文件系統(tǒng)中標(biāo)識(shí)的文件被存儲(chǔ)在若干服務(wù)器上,展露的所述文件系統(tǒng)可由用戶無(wú)縫地導(dǎo)航��;-本發(fā)明的方法還包括步驟:在接收針對(duì)使用在所述展露的文件系統(tǒng)中標(biāo)識(shí)并存儲(chǔ)在所述安全設(shè)備上的內(nèi)部文件的請(qǐng)求之后�����,在所述安全設(shè)備根據(jù)與所述的內(nèi)部文件相關(guān)的更新的使用許可處理所述用戶請(qǐng)求�����,其中通過基于通過在所述安全設(shè)備和所述服務(wù)器之間建立的連接從所述服務(wù)器發(fā)送的許可數(shù)據(jù)來更新用戶許可���,在所述安全設(shè)備獲得所述更新的使用許可��;-本發(fā)明的方法還包括步驟:在接收針對(duì)使用所述內(nèi)部文件的請(qǐng)求之后����,在批準(zhǔn)用于使用所述內(nèi)部文件的請(qǐng)求時(shí),更新與所述內(nèi)部文件相關(guān)的使用許可����;-在所述安全設(shè)備執(zhí)行更新與所述內(nèi)部文件相關(guān)的使用許可�����;-本發(fā)明的方法還包括步驟:在更新與所述內(nèi)部文件相關(guān)的使用許可之后�����,根據(jù)所述更新的使用許可在所述安全設(shè)備命令向用戶接口或應(yīng)用展露所述內(nèi)部文件�����;-更新的使用許可包括參數(shù)�����,例如相關(guān)的文件可被訪問的次數(shù)或者它可被訪問的時(shí)間段��,當(dāng)被處理針對(duì)使用文件的請(qǐng)求的設(shè)備解釋時(shí),該參數(shù)限制對(duì)文件的訪問權(quán)限����;以及-建立在所述安全設(shè)備和所述服務(wù)器之間的連接是安全連接,例如SSL/TLS連接���。根據(jù)另一方面���,本發(fā)明實(shí)現(xiàn)為一種安全設(shè)備,由反惡意軟件或流氓軟件的設(shè)計(jì)保護(hù)并且具有處理裝置�,存儲(chǔ)器和接口,配置用于耦合到或與下列交互:用戶���;一個(gè)或多個(gè)服務(wù)器���,以及優(yōu)選地主機(jī),例如個(gè)人計(jì)算機(jī)或PC�����,所述安全設(shè)備適于建立連接例如與服務(wù)器的TLS/SSL連接����,優(yōu)選地通過主機(jī)��,當(dāng)所述安全設(shè)備通過電信網(wǎng)絡(luò)連接到所述服務(wù)器�����,并且還包括存儲(chǔ)在所述存儲(chǔ)器上的并且被所述處理裝置執(zhí)行用于實(shí)現(xiàn)本發(fā)明的方法的步驟的計(jì)算機(jī)化的方法��。根據(jù)又一方面����,本發(fā)明實(shí)現(xiàn)為一種系統(tǒng)�����,包括:根據(jù)本發(fā)明的所述安全設(shè)備����;個(gè)人計(jì)算機(jī)或PC �����;以及一個(gè)或多個(gè)服務(wù)器��。根據(jù)最后一方面���,本發(fā)明實(shí)現(xiàn)為一種計(jì)算機(jī)程序介質(zhì)�����,包括處理裝置可執(zhí)行用于執(zhí)行根據(jù)本發(fā)明的方法的所有步驟的指令?��,F(xiàn)在將通過非限制的示例并參考
實(shí)現(xiàn)本發(fā)明的方法�、設(shè)備和系統(tǒng)�����。
圖1所示為根據(jù)本發(fā)明的方法的一般實(shí)施方式的步驟的流程圖��;圖2所示為根據(jù)另一更詳細(xì)的實(shí)施方式的方法的步驟的流程圖�����;圖3是根據(jù)本發(fā)明的實(shí)施方式布置的耦合到終端和服務(wù)器�����,并且允許安全地管理文件使用的安全設(shè)備的示意圖��;以及圖4和圖5示意地示出根據(jù)本發(fā)明的實(shí)施方式保持在設(shè)備中示出使用許可和對(duì)應(yīng)文件之間的相互關(guān)系的數(shù)據(jù)結(jié)構(gòu)的示例��。圖4和圖5分別示出在設(shè)備上更新使用許可之前和之后的這種數(shù)據(jù)結(jié)構(gòu)。
具體實(shí)施例方式作為對(duì)下列說明的引言���,首先指出本發(fā)明的一般方面涉及虛擬文件系統(tǒng)的用戶訪問的安全管理�����。所述方法使用用戶安全(或信任的)設(shè)備�����,例如USB閃存驅(qū)動(dòng)����。后者則由反惡意軟件或流氓軟件的設(shè)計(jì)保護(hù)���。它還適于建立到服務(wù)器的連接,例如�����,SSL/TLS連接���,并且優(yōu)選地通過連接到所述服務(wù)器的主機(jī)(并且這個(gè)�����,通過網(wǎng)絡(luò)����,例如因特網(wǎng))。所述安全設(shè)備可以相應(yīng)地接收與文件系統(tǒng)有關(guān)的數(shù)據(jù)(類似文件樹)�。所述文件系統(tǒng)標(biāo)識(shí)文件,其中的某些文件實(shí)際存儲(chǔ)在安全設(shè)備之外�,因此定義了虛擬文件系統(tǒng)。接下來�,設(shè)備基于收到的數(shù)據(jù)對(duì)用戶展露文件系統(tǒng)。文件系統(tǒng)以用戶可導(dǎo)航的形式展露�����,即�,用戶可以請(qǐng)求訪問在文件系統(tǒng)中被標(biāo)識(shí)的文件。因?yàn)槲募到y(tǒng)源于服務(wù)器并且從安全設(shè)備導(dǎo)航�����,相應(yīng)地獲得一種方法�,其允許安全地管理用戶對(duì)虛擬文件系統(tǒng)的訪問。特別地,文件系統(tǒng)可以是特定于用戶的或根據(jù)服務(wù)器策略被更新���,因而改進(jìn)了安全����。對(duì)應(yīng)的文件可從例如服務(wù)器和文件系統(tǒng)獲得��,例如���,如果文件的所需版本不是已經(jīng)存儲(chǔ)在設(shè)備上�����。因此��,存儲(chǔ)在設(shè)備之外的文件可根據(jù)用戶請(qǐng)求被取回��,通過與服務(wù)器建立的連接。這樣�����,安全設(shè)備有效地成為安全高速緩存用于服務(wù)器的�����,其內(nèi)容可響應(yīng)于用戶交互或服務(wù)器決策而改變。有利地��,當(dāng)接收用于使用存儲(chǔ)在設(shè)備上的文件的請(qǐng)求時(shí)�����,設(shè)備可以根據(jù)與文件相關(guān)的使用許可來處理該請(qǐng)求��。這里�,“處理”這種請(qǐng)求典型地意味著:如果可能(基于使用許可),則批準(zhǔn)該請(qǐng)求并且采取步驟執(zhí)行該請(qǐng)求(例如�,如果文件以加密狀態(tài)存儲(chǔ),則開始于對(duì)文件進(jìn)行解密)���。接下來使用許可被更新�,如果需要(即�����,依據(jù)所涉及的許可類型以及請(qǐng)求是否已被許可)����。基于從服務(wù)器發(fā)送的數(shù)據(jù),在第一位置獲得用于處理請(qǐng)求的許可��。因此�,當(dāng)接收到使用文件(即,訪問請(qǐng)求�,例如,觀看或打印文件)的請(qǐng)求時(shí)����,設(shè)備能過根據(jù)對(duì)應(yīng)許可的已更新狀態(tài)(盡可能)來處理請(qǐng)求,例如����,根據(jù)給定的服務(wù)器(即,公司)策略�����。因此��,可以限制對(duì)通過虛擬文件系統(tǒng)而可用的文件的使用���。更具體地,圖1示出方法的一般實(shí)施方式的流程圖�。圖3是通過網(wǎng)絡(luò)耦合到終端和服務(wù)器的安全設(shè)備的示例的示意圖。同時(shí)參考圖1和圖3:本發(fā)明首先且最重要地依賴于安全設(shè)備10(步驟S100)。如所述���,后者由反惡意軟件或流氓軟件的設(shè)計(jì)保護(hù)�����。例如�����,安全設(shè)備可以不具有用于軟件安裝的某些客戶端接口或者將把它暴露給惡意軟件的其他功能��。但是�,設(shè)備通常具有簡(jiǎn)單的用戶輸入和輸出能力�,以用于錄入和查看用戶安全元素,例如PIN或智能卡�����。設(shè)備適于與服務(wù)器和/或任何適當(dāng)?shù)脑?0建立連接91�,例如,相互認(rèn)證連接之類的安全連接�。安全設(shè)備可以具有不經(jīng)過主機(jī)而自己直接與服務(wù)器通信的能力。在這種情況下���,設(shè)備可以具有內(nèi)置的WLAN或GSM適配器���。然而��,在優(yōu)選實(shí)施方式中�,設(shè)備通過因特網(wǎng)之類的電信網(wǎng)絡(luò)35的主機(jī)30連接到服務(wù)器����,該解決方案在人體工程學(xué)方面對(duì)于用戶而言可能更為方便。主機(jī)優(yōu)選地是連接到網(wǎng)絡(luò)的PC���。終端也可以是任何其他合適的源���,例如個(gè)人數(shù)字助理或PDA或移動(dòng)電話。與服務(wù)器的合適類型的安全連接例如是TLS/SSL連接����。除此之外,安全設(shè)備具有存儲(chǔ)在其存儲(chǔ)器中的計(jì)算機(jī)化的方法�,以用于執(zhí)行此后的方法的步驟。此設(shè)備的優(yōu)選特征示出在圖3中��。典型地�,安全設(shè)備10具有耦合到存儲(chǔ)器的處理裝置(或計(jì)算裝置)15�,其通常包括持久和非持久的存儲(chǔ)器15’和15”����。持久存儲(chǔ)器例如存儲(chǔ)將由處理裝置執(zhí)行的上述計(jì)算機(jī)化方法��。此外��,設(shè)備還具有至少一個(gè)接口 20��,例如USB接口��,用于與網(wǎng)絡(luò)35的主機(jī)(例如�,PC30)通信。在實(shí)施方式中����,同一接口 20 (或另一類型的接口)應(yīng)當(dāng)進(jìn)一步允許安全設(shè)備與諸如投影機(jī)、打印機(jī)��、安全PC(例如�,僅用于觀看敏感材料且從不連接到網(wǎng)絡(luò))或任何其他輸出設(shè)備(未不出)的外部設(shè)備通信。如果必要�����,安全設(shè)備具有讀卡器17,用以讀取存儲(chǔ)在外部安全或存儲(chǔ)卡16 (例如����,智能卡)上的用戶證書?��?梢詫?duì)例如存儲(chǔ)在卡上的用戶證書的此類數(shù)據(jù)進(jìn)行安全的適當(dāng)使用���。特別地,使用這種數(shù)據(jù)����,可以通過終端30在用戶I (或者更確切地說,設(shè)備10)與第三方(例如����,服務(wù)器40)之間建立可信連接。在變形中��,用戶證書可以直接存儲(chǔ)于安全設(shè)備的持久存儲(chǔ)器���。其他接口(類似��,控制按鈕18和顯示器12)允許與用戶的直接交互�。在實(shí)踐中,第一步驟(步驟S200)用于將安全設(shè)備10連接到網(wǎng)絡(luò)35的適當(dāng)主機(jī)30�����。為方便說明��,此后認(rèn)為主機(jī)是可通過因特網(wǎng)35連接到服務(wù)器40的PC�����。設(shè)備10繼而可以調(diào)用存儲(chǔ)在其上的計(jì)算機(jī)化方法來觸發(fā)與服務(wù)器40的可信連接����,步驟S300��。例如�,它可以經(jīng)由終端30通過非安全連接92而與服務(wù)器建立安全通信91 (例如,在解鎖卡時(shí))�����。
優(yōu)選地�����,設(shè)備在通過非安全連接92發(fā)起通信91的同時(shí),使用存儲(chǔ)在卡或安全設(shè)備的內(nèi)部存儲(chǔ)器上的用戶證書向服務(wù)器進(jìn)行認(rèn)證�����,例如��,通過發(fā)起對(duì)服務(wù)器的SSL/TLS認(rèn)證�。在此方面,設(shè)置與服務(wù)器通信的設(shè)備可以有利地包括從設(shè)備啟動(dòng)駐留于終端處的代理客戶����,以便該設(shè)備經(jīng)由終端而連接到服務(wù)器(注意,代理也可能駐留在設(shè)備上�,在這種情況下它可被拷貝到主機(jī)PC30以便執(zhí)行)。代理將從設(shè)備接收的比特轉(zhuǎn)發(fā)到因特網(wǎng)���,反之亦然�����?�?梢酝ㄟ^從設(shè)備發(fā)起向服務(wù)器的SSL/TLS認(rèn)證而例如雙向地實(shí)現(xiàn)設(shè)備向服務(wù)器的認(rèn)征�����。在此方面�,存儲(chǔ)器15’還可能已經(jīng)在其上存儲(chǔ)了安全軟件堆,包括加密算法�,例如用于SSL/TLS認(rèn)證的TLS引擎14。它還可存儲(chǔ)USB管理軟件(實(shí)現(xiàn)USB大容量存儲(chǔ)設(shè)備或MSD簡(jiǎn)檔20)��,并且可能存儲(chǔ)有如上所述的預(yù)加載的網(wǎng)絡(luò)代理��。如所述����,用戶證書可存儲(chǔ)在外部安全卡上(例如��,智能卡16)����,諸如支持TLS客戶端認(rèn)證的客戶端-服務(wù)器證書(例如X.509)。智能卡可保存敏感的個(gè)人信息并且具有加密手段�。在變形中,卡不能加密但是被用于對(duì)敏感操作(如果有的話)進(jìn)行簽字�。在其他變形中,卡用于加密和對(duì)操作進(jìn)行簽字二者�����。設(shè)備優(yōu)選地配備有標(biāo)準(zhǔn)智能卡讀卡器17。最后���,設(shè)備具有控制按鈕18 (例如��,確定��、取消等選擇器)以及用于顯示信息的顯示器12�����。它還可以具有用于輸入PIN數(shù)據(jù)的裝置(例如�,按鈕����、轉(zhuǎn)輪、PIN小鍵盤/鍵盤等)�����。因此����,在一個(gè)實(shí)施方式中,SSL/TLS信道被建立在服務(wù)器和設(shè)備之間(步驟S300)。雖然可以更一般地考慮其他類型的安全連接��,但是下文假設(shè)相互認(rèn)證的連接��,例如SSL/TLS連接�。在后續(xù)步驟S350中,與虛擬文件系統(tǒng)有關(guān)的數(shù)據(jù)通過建立的連接從服務(wù)器被發(fā)送��,例如通過如上所述的已建立的相互認(rèn)證的連接91�����。數(shù)據(jù)在設(shè)備被接收����。對(duì)應(yīng)的文件系統(tǒng)標(biāo)識(shí)各種文件����,包括存儲(chǔ)在安全設(shè)備以外的文件。文件系統(tǒng)數(shù)據(jù)例如可以包括對(duì)象標(biāo)識(shí)符(或文件標(biāo)識(shí)符)和表示文件之間關(guān)系(例如�,等級(jí)關(guān)系)的數(shù)據(jù),以便使安全設(shè)備隨后能夠借助于其操作系統(tǒng)(本身是已知的)來重建(rebuilt)用戶可導(dǎo)航的文件系統(tǒng)���。注意����,文件系統(tǒng)被說成是“虛擬”的是因?yàn)槟承┪募v留在安全設(shè)備以外。在步驟S600�����,設(shè)備繼而可以相應(yīng)地以適合用戶導(dǎo)航的形式展露虛擬文件系統(tǒng)�����,例如通過使用設(shè)備內(nèi)置的顯示器和按鈕���。因此��,允許用戶在虛擬文件系統(tǒng)的文件中導(dǎo)航并且可能選擇其中之一�,從而以某種方式請(qǐng)求訪問該文件(如一般地由文件系統(tǒng)導(dǎo)航所知)����。優(yōu)選地,在步驟S350��,許可數(shù)據(jù)與文件系統(tǒng)數(shù)據(jù)一起被發(fā)送并且在設(shè)備處被接收���。然而在變形中�,此類許可數(shù)據(jù)可以在之前或之后被發(fā)送,或是借助于任何合適的算法而對(duì)安全設(shè)備可用�����。它們表示與一個(gè)或多個(gè)文件相關(guān)的使用許可��。對(duì)應(yīng)文件中的某些文件的內(nèi)容可以一起發(fā)送�。但是文件系統(tǒng)、文件和許可數(shù)據(jù)可以在不同時(shí)間被發(fā)送��。因此��,某些文件在某個(gè)點(diǎn)被存儲(chǔ)在設(shè)備上(例如���,他們被較早發(fā)送或從獨(dú)立源獲得����,例如����,從智能卡或通過內(nèi)置按鈕手工輸入)�����,而某些文件則可以在稍后階段獲得(如果必要的話)。許可數(shù)據(jù)例如也可以包括對(duì)象標(biāo)識(shí)符���,以及根據(jù)使用權(quán)限的對(duì)應(yīng)信息���。因?yàn)槟承┪募梢源鎯?chǔ)在安全設(shè)備以外,因此不是所有對(duì)象標(biāo)識(shí)符都需要對(duì)應(yīng)于存儲(chǔ)在安全設(shè)備上的對(duì)象�����。當(dāng)被查詢時(shí)�,設(shè)備能夠獲知什么使用許可與什么文件相關(guān)(在該方面,可以使用唯一的標(biāo)識(shí)符形式體系)��。實(shí)施方式接下來假設(shè)使用與虛擬文件系統(tǒng)的部分或全部文件相關(guān)的許可數(shù)據(jù)���,雖然這種許可數(shù)據(jù)并非強(qiáng)制用于實(shí)現(xiàn)本發(fā)明的所有實(shí)施方式�����。而且�����,為了下文描述�,一個(gè)假設(shè)是:至少一個(gè)文件在某個(gè)點(diǎn)被存儲(chǔ)在安全設(shè)備上,并且在設(shè)備處接收到的許可數(shù)據(jù)包含與該文件有關(guān)的數(shù)據(jù)��。許可數(shù)據(jù)例如可以包括與文件標(biāo)識(shí)符相關(guān)的至少一個(gè)基數(shù)(cardinality) 0可以涉及更多基數(shù)�����,每個(gè)基數(shù)與一類動(dòng)作相關(guān)聯(lián)��。稍后將參考圖4和圖5詳述��。在圖1的實(shí)施方式中��,文件系統(tǒng)數(shù)據(jù)���、文件數(shù)據(jù)和接收的許可數(shù)據(jù)存儲(chǔ)在設(shè)備的存儲(chǔ)器上(未必一定是其持久存儲(chǔ)器)��。接收的數(shù)據(jù)例如可以替代舊數(shù)據(jù)而被存儲(chǔ)����。接收的數(shù)據(jù)也可以是增量文件���,其指示相對(duì)于舊數(shù)據(jù)的改變�;設(shè)備繼而適當(dāng)?shù)馗聰?shù)據(jù)��。但是��,以一種方式或另一種方式�,(在步驟S400)使設(shè)備認(rèn)識(shí)到與虛擬文件系統(tǒng)相關(guān)的已更新數(shù)據(jù)、許可����、以及被存儲(chǔ)或?qū)⒋鎯?chǔ)在其上的相應(yīng)文件。設(shè)備相應(yīng)地保存虛擬文件系統(tǒng)的有關(guān)數(shù)據(jù)�。對(duì)數(shù)據(jù)進(jìn)行更新本身通常是已知的。接下來����,當(dāng)接收到用于訪問文件的請(qǐng)求時(shí),設(shè)備可以根據(jù)服務(wù)器策略���、文件系統(tǒng)或文件自身(存儲(chǔ)或不存儲(chǔ)在設(shè)備上)和/或與該文件或包含該文件的目錄相關(guān)聯(lián)的使用許可的當(dāng)前狀態(tài)���,來處理所述請(qǐng)求(步驟S700)。實(shí)際上�����,目錄列出了在邏輯上被包含于其中的文件的名稱��。有利地,可以依賴于針對(duì)這種目錄的使用許可�,這將從根本上導(dǎo)致限制它們所包含的文件的可見性,即��,使得具有不充分使用許可的目錄中的文件不僅不可訪問���,而且對(duì)于PC以及因此任何可能的惡意軟件而言都是不可見的�����。注意���,在圖1實(shí)施方式的變形中,設(shè)備將在接收到使用文件的請(qǐng)求時(shí)嘗試連接到服務(wù)器��,使得步驟S200-S400實(shí)際上可以在接收到使用文件的用戶請(qǐng)求之后被執(zhí)行��,例如通過內(nèi)置按鈕�����。在所有情況下��,在接收到使用文件的請(qǐng)求時(shí),安全設(shè)備將根據(jù)文件系統(tǒng)����、文件和/或可用使用許可的最近版本來處理該請(qǐng)求����。為描述之目的可以假設(shè):所述數(shù)據(jù)的某些版本(理想地,是最新版本)是通過連接到服務(wù)器并從其獲得有關(guān)數(shù)據(jù)而被獲得��。接下來��,考慮請(qǐng)求的類型:訪問文件的請(qǐng)求例如可以僅僅是觀看文件內(nèi)容的請(qǐng)求��。其他請(qǐng)求還可以隱含打印文件����、執(zhí)行文件,等等�����。稍后將給出示例����。兩種情況要加以區(qū)分。在第一種情況下,步驟S850-S950���,用戶所選擇的文件沒有存儲(chǔ)在設(shè)備上(即�����,夕卜部文件)����。這里�����,設(shè)備將通過與服務(wù)器40建立的連接91接收外部文件(步驟S850)�。優(yōu)選地,設(shè)備命令取回外部文件���。步驟S950��,文件接下來可被存儲(chǔ)在安全設(shè)備上����?���?梢愿鶕?jù)服務(wù)器策略決定是否以及如何取回這種文件���。設(shè)備例如可以嘗試從服務(wù)器取回期望的文件并且后者基于策略而接受或拒絕(訪問權(quán)限、暫停等)����。在變形中��,發(fā)送的文件系統(tǒng)是特定于用戶的(例如��,也基于給定的策略)��,使得在其中標(biāo)識(shí)的所有文件是先前對(duì)該用戶可用的���。在其他變形中��,是否處理用戶請(qǐng)求��,即是否命令取回所請(qǐng)求的文件�,可以在設(shè)備本地處基于設(shè)備可用的一些適當(dāng)算法來決定���。有趣的是�,還可以基于與文件相關(guān)的許可來決定是否取回文件。因此�,可以理解,在實(shí)施方式中“文件許可和“服務(wù)器策略”可以重疊或甚至是相同的��,例如�,在技術(shù)上被實(shí)現(xiàn)為與文件系統(tǒng)的文件相關(guān)聯(lián)的數(shù)字集合。在第二種情況下�,用戶所選擇的文件已經(jīng)存儲(chǔ)在設(shè)備中(內(nèi)部文件),步驟800-900����。這里,根據(jù)與該文件相關(guān)聯(lián)的許可來決定怎樣處理用戶請(qǐng)求�����。例如��,如果使用許可允許�����,所述內(nèi)容被顯示在例如安全設(shè)備10的顯示器12上��。這是可行的�,只要文檔的大小不阻止它�。在其他情況下���,設(shè)備可能例如需要被設(shè)置為與外部輸出設(shè)備通信以完成請(qǐng)求��。請(qǐng)求可以從外部應(yīng)用接收����,例如請(qǐng)求拷貝文件(或傳送其內(nèi)容)的外部應(yīng)用��,以例如用于后續(xù)的顯示或打印�����。如何向外部設(shè)備傳送文件的內(nèi)容本身是已知的�。例如��,安全設(shè)備可被配置為利用使用安全藍(lán)牙配對(duì)(SSP)而可連接到投影機(jī)(例如��,沒有“計(jì)算”能力的顯示設(shè)備��,即不會(huì)暴露給惡意軟件)����。作為另一示例����,安全設(shè)備可使用USB線或安全藍(lán)牙配對(duì)(SSP)連接到打印機(jī)�。這允許文檔直接從安全設(shè)備被打印。如果處于危險(xiǎn)中的文檔不允許通過用戶的PC被打印�,這是特別有用的(由于其相關(guān)的使用許可)。因此���,外部輸出設(shè)備通??梢允谴蛴C(jī)或投影機(jī)�。但是,它也可以是PDA或PC30本身(設(shè)備可能已經(jīng)與其連接)���,針對(duì)其的使用許可可能比投影機(jī)或打印機(jī)更加嚴(yán)格����,這取決于公司策略�����。注意�,在實(shí)施方式中,打印機(jī)或投影機(jī)可以是安全設(shè)備本身的一部分�。優(yōu)選地��,如果使用請(qǐng)求被設(shè)備批準(zhǔn)����,則與文件相關(guān)聯(lián)的使用許可被更新(步驟S900)����。根據(jù)一個(gè)變形,在批準(zhǔn)請(qǐng)求之后更新使用許可優(yōu)選地直接在設(shè)備處被執(zhí)行(通常����,基數(shù)被遞減)。但是對(duì)應(yīng)的數(shù)據(jù)應(yīng)當(dāng)被發(fā)送給服務(wù)器��,其持續(xù)地更新保存在服務(wù)器側(cè)的使用許可����。這樣�����,設(shè)備保存最新的使用許可���。因此����,設(shè)備仍可以處理對(duì)相同文件的另一請(qǐng)求,即使從服務(wù)器獲得已更新許可的后續(xù)嘗試失敗(或現(xiàn)有的許可不授權(quán)獲得更新的許可�����,以例如允許離線使用)����。在這個(gè)變形中,并發(fā)更新機(jī)制通常被實(shí)現(xiàn)在服務(wù)器和安全設(shè)備二者處��。但是在一些點(diǎn)需要協(xié)調(diào)�����。存在協(xié)調(diào)許可的多種可能性(用于對(duì)兩個(gè)數(shù)據(jù)庫(kù)實(shí)例進(jìn)行同步的若干算法是可知的)��。設(shè)備例如可以定期地嘗試連接到服務(wù)器并且得到更新的許可數(shù)據(jù)���,或者在啟動(dòng)�����、對(duì)用戶進(jìn)行認(rèn)證時(shí)或是在接收到另一文件使用請(qǐng)求時(shí)進(jìn)行嘗試���,等等���。在任何情況下,從服務(wù)器接收的許可將可能(當(dāng)可用時(shí))代替本地許可�����。但是���,在沒有服務(wù)器連接的情況下���,設(shè)備優(yōu)選地更新本地許可,并且在使用許可基數(shù)減少到0的情況下可禁止對(duì)文件的訪問?����,F(xiàn)在�,根據(jù)另一變形,在處理文件使用請(qǐng)求時(shí)�,例如在根據(jù)設(shè)備上可用的許可而批準(zhǔn)該請(qǐng)求的情況下����,設(shè)備相應(yīng)地通知服務(wù)器���。服務(wù)器將能夠相應(yīng)地更新使用許可。當(dāng)設(shè)備稍后連接到服務(wù)器時(shí)(例如����,在收到使用文件的另一請(qǐng)求時(shí)),已最新許可被發(fā)送給設(shè)備以用于后續(xù)處理(除了更新的文件系統(tǒng)和文件數(shù)據(jù)之外�����,如果必要的話)����。在這種情況下,并不強(qiáng)制在批準(zhǔn)請(qǐng)求之后直接在設(shè)備處更新許可�����,因?yàn)樵O(shè)備可以有系統(tǒng)地依賴于從服務(wù)器接收的許可��。設(shè)備例如可以定期地嘗試連接到服務(wù)器�����,或是在啟動(dòng)、對(duì)用戶進(jìn)行認(rèn)證時(shí)嘗試連接���,或是在每次收到另一文件使用請(qǐng)求時(shí)嘗試連接�,等等��。這里���,從服務(wù)器接收的許可將代替以前的版本����。但是�����,在這個(gè)變形中���,設(shè)備強(qiáng)烈依賴于服務(wù)器連接的可用性����。例如�,設(shè)備可以在它每次收到使用內(nèi)部文件的請(qǐng)求時(shí)嘗試連接到服務(wù)器。但是���,如果達(dá)到服務(wù)器的嘗試失敗���,則請(qǐng)求無(wú)法基于最新的許可數(shù)據(jù)被處理。因此�����,在無(wú)法獲得較新許可的情況下��,可以想到關(guān)于如何繼續(xù)的幾種回退算法���。一個(gè)解決方案包含拒絕請(qǐng)求�����。另一種解決方案依賴于許可數(shù)據(jù)的以前版本(即�����,在最后的地方被更新)��。中間方案當(dāng)然也是可能的���。因此���,可以調(diào)用若干機(jī)制以用于保存更新的許可,包括完全的集中式解決方案(在批準(zhǔn)請(qǐng)求之后僅服務(wù)器更新許可)直到并發(fā)解決方案(在批準(zhǔn)使用文件的請(qǐng)求時(shí)�����,設(shè)備本地更新許可并且相應(yīng)地通知服務(wù)器)�。實(shí)現(xiàn)什么樣的適當(dāng)機(jī)制可以實(shí)際上取決于安全策略。對(duì)于每個(gè)文件也可以定義不同的解決方案�。另外,使用文件的請(qǐng)求優(yōu)選地被設(shè)備記錄并且可以附加地在服務(wù)器處被記錄��,以用于審計(jì)或被動(dòng)安全之目的�����。
如所述����,文件同樣可以從服務(wù)器獲得(除了它們相關(guān)的許可和文件樹)。在變形中(不是優(yōu)選的)�����,文件可以從用戶的PC或從連接到網(wǎng)絡(luò)的遠(yuǎn)程終端獲得����。在實(shí)施方式中��,期望的文件首先從終端發(fā)送到服務(wù)器�,并且繼而從服務(wù)器被發(fā)送到設(shè)備�����,這改進(jìn)了待分發(fā)文件的安全性和/或控制����。如上所述�����,相關(guān)聯(lián)的許可可以與文件一起發(fā)送��、在發(fā)送文件之前或之后發(fā)送�。在實(shí)施方式中,存儲(chǔ)在設(shè)備上的文件根據(jù)給定的加密方案被加密��。文件可以被設(shè)備本身加密�����。例如,安全設(shè)備具有存儲(chǔ)在其內(nèi)部存儲(chǔ)器中(外部不可訪問)或插入其中的智能卡上的加密密鑰�。在變形中,文件以加密狀態(tài)被傳輸給設(shè)備(并且這獨(dú)立于安全連接固有的加密�����,如果有的話)�,總之使其應(yīng)當(dāng)以加密狀態(tài)被存儲(chǔ)在設(shè)備上。在這兩種情況下����,解密密鑰可以從服務(wù)器被發(fā)送給設(shè)備,或被用戶手工輸入到設(shè)備上�����,以用于隨后響應(yīng)于請(qǐng)求而解密文件�����。另外�,我們注意到,僅僅對(duì)于文件而言����,可以實(shí)現(xiàn)關(guān)于解密密鑰的許可控制機(jī)制�����。最后����,從圖1很清楚的是��,步驟S350-S950 (或者甚至S300-S950或S200-S950)可以按需重復(fù)����,例如����,每次向安全設(shè)備發(fā)送一個(gè)新文件系統(tǒng)、文件或許可數(shù)據(jù)��。特別地��,第一次使用安全設(shè)備(第一使用場(chǎng)景)�����,下面一系列步驟將優(yōu)選地發(fā)生:1.用戶向安全設(shè)備進(jìn)行認(rèn)證��;2.一旦安全設(shè)備已經(jīng)建立與其服務(wù)器的SSL/TLS連接并且已經(jīng)標(biāo)識(shí)其自身和用戶,服務(wù)器發(fā)送用于相應(yīng)用戶的文件結(jié)構(gòu)(此后假設(shè)為文件樹)�����。因?yàn)榘踩O(shè)備第一次被使用�����,因此文件基于在服務(wù)器上配置的策略和設(shè)備的存儲(chǔ)能力而被緩存在安全設(shè)備上(還沒有確定緩存內(nèi)容的任何用戶請(qǐng)求)�����;因此�,可以使用服務(wù)器的文件樹的全部或部分。3.在安全設(shè)備上向用戶顯示文件樹��;其本地拷貝在安全設(shè)備上可用的那些文件優(yōu)選地被如此標(biāo)記(即����,視覺上被標(biāo)識(shí)給用戶),例如���,通過覆蓋綠色的勾選(check)標(biāo)記圖標(biāo)�����。4.當(dāng)用戶訪問在安全設(shè)備上非本地可用的文件時(shí)�,后者從服務(wù)器取回并且存儲(chǔ)文件。如果沒有更多的存儲(chǔ)器可用�,則例如最長(zhǎng)時(shí)段未被使用的文件從安全設(shè)備被移除。作為附加的策略示例���,可以給用戶選項(xiàng)以將文件標(biāo)記為從高速緩存“不可移除”��。5.一旦文件在安全設(shè)備上本地可得�����,用戶可在上文描述的使用許可的約束下訪問該文件。接下來�����,在稍后的階段(后續(xù)使用場(chǎng)景)����,以上步驟2將如下改變:2.一旦安全設(shè)備已經(jīng)與其服務(wù)器建立SSL/TLS連接并且已經(jīng)標(biāo)識(shí)它自己,服務(wù)器為對(duì)應(yīng)的用戶發(fā)送文件樹���。這里��,某些文件已經(jīng)緩存在安全設(shè)備上����。根據(jù)服務(wù)器設(shè)置,安全設(shè)備可以用服務(wù)器提供的文件樹替換其自己的文件樹��,并且從其高速緩存移除不再出現(xiàn)在新文件樹中的任何文件����。注意,如果安全設(shè)備不能連接到服務(wù)器��,它可進(jìn)入離線模式�,其中它僅提供對(duì)當(dāng)前被緩存的那些文件的訪問,并且這收到上述使用許可的約束���。以上的方案和變形可以被下列特征改進(jìn)�����;-如所述�,文件訪問可被報(bào)告給服務(wù)器以用于不可否認(rèn)的審計(jì)或統(tǒng)計(jì)���,或仍然觸發(fā)下文描述的文件操作��。-如上所述�,服務(wù)器可以立即與文件樹一起或是單獨(dú)地向安全設(shè)備發(fā)送要緩存的文檔的列表。相關(guān)聯(lián)的許可可以與列表或文檔本身一起發(fā)送�����。如果僅發(fā)送列表��,安全設(shè)備可以根據(jù)給定的策略加載文件(例如�����,阻塞或異步地)��。-對(duì)于每個(gè)文件�����,多個(gè)版本(修訂)可被緩存�。對(duì)于哪些文檔需要緩存多個(gè)修訂可以在安全設(shè)備處決定(例如�,根據(jù)服務(wù)器事先提供的或從過去的使用模式中得出的列表),或是在安全設(shè)備報(bào)告文件訪問的情況下由服務(wù)器動(dòng)態(tài)決定�。-一旦用戶訪問安全設(shè)備上的文檔,則某些相關(guān)的文檔可被緩存。而且�����,哪些文檔被緩存可以由安全設(shè)備決定(例如����,根據(jù)服務(wù)器事先提供的或從過去的使用模式得出的列表),或是在安全設(shè)備報(bào)告文件訪問的情況下由服務(wù)器動(dòng)態(tài)確定����。-類似地,從高速緩存移除哪些文檔可以由安全設(shè)備決定(例如�,根據(jù)服務(wù)器預(yù)配置的文件集或基于過去的使用模式),或是在安全設(shè)備報(bào)告文件訪問的情況下由服務(wù)器動(dòng)態(tài)決定����。-文件樹可從服務(wù)器部分地發(fā)送給安全設(shè)備并且按需完成。-當(dāng)訪問大于安全設(shè)備上可用存儲(chǔ)器的文件時(shí)����,可以通過從服務(wù)器逐片取回文件而將其動(dòng)態(tài)分割。-由于安全原因�����,服務(wù)器可向安全設(shè)備指示文檔不能被緩存,這樣它從不存儲(chǔ)在安全設(shè)備的持久存儲(chǔ)器上���。-由于安全原因����,服務(wù)器例如可以通過相應(yīng)的許可數(shù)據(jù)向安全設(shè)備指示:文檔可以被緩存但是在離線模式下必須是不可讀的����。換句話說,文檔僅當(dāng)安全設(shè)備連接到服務(wù)器(在線)時(shí)可被讀取�����。-安全設(shè)備的存儲(chǔ)器可被完全“禁用”�����,這樣���,這些文件總是按需從服務(wù)器被下載并且沒有文件被本地緩存��。-安全設(shè)備可以被配置為與幾個(gè)服務(wù)器聯(lián)系并且可從其獲得數(shù)據(jù),由此有效地在設(shè)備已為其被配置的服務(wù)器的“云”中創(chuàng)建無(wú)縫視圖�����。用戶相應(yīng)地可在虛擬文件系統(tǒng)的文件中以無(wú)縫方式導(dǎo)航。-此類服務(wù)器的配置可以被靜態(tài)地控制(在設(shè)備發(fā)布)或可被一組特別指定的“云控制”服務(wù)器更新(假定特定的設(shè)備或多或少地訪問云中的服務(wù)器組中的數(shù)據(jù))���。-盡管如此��,可以使(從在云中使用了一次的服務(wù)器)被下載到設(shè)備的文檔保留在設(shè)備中����,即使是在對(duì)服務(wù)器的關(guān)聯(lián)已從“云控制”服務(wù)器被刪除之后�。這樣,設(shè)備有效地變成以其自己權(quán)限的安全數(shù)據(jù)載體�����,或是原始云的成員(從文檔管理的觀點(diǎn)�����;例如現(xiàn)在可以這樣在云之間交換文檔:僅通過暫時(shí)將一個(gè)云與同一設(shè)備聯(lián)接并且繼而與另一個(gè)聯(lián)接在云之間交換文檔)���。接下來���,參考圖2���,將描述本發(fā)明的方法的另一實(shí)施方式?����?梢岳斫?��,已經(jīng)參考圖1描述的大多數(shù)變形也應(yīng)用于圖2的實(shí)施方式����。這里��,步驟S100���、S200���、S300、S400�、S700、S800�、S850、S900 和 S950 基本上對(duì)應(yīng)于
圖1中的相應(yīng)步驟����。根據(jù)圖2的實(shí)施方式,在實(shí)際嘗試連接到服務(wù)器之前�,設(shè)備優(yōu)選地檢查每個(gè)文件的許可(步驟250)。注意����,并非強(qiáng)制在連接到服務(wù)器之前檢查許可。但是優(yōu)選地這樣做�,以便允許設(shè)備做出是否向PC展露文件(以及甚至列出文件的存在)的任何決策。然后����,在步驟S300,設(shè)備嘗試連接到服務(wù)器�。如果連接成功,設(shè)備更新文件系統(tǒng)�、文件和使用許可數(shù)據(jù),步驟400���,如已參考圖1所述�。接下來�,在步驟S500,設(shè)備可進(jìn)行到本地認(rèn)證用戶(例如�����,通過要求用戶輸入PIN,使用智能卡等�,如已知的)。注意����,如果連接服務(wù)器的先前嘗試失敗,則設(shè)備將直接提示用戶認(rèn)證他(她)自己���,如圖2所示���。在一個(gè)變形中,設(shè)備可在實(shí)際嘗試創(chuàng)建與服務(wù)器的連接之前要求用戶認(rèn)證����。在另一變形中,可請(qǐng)求用戶通過設(shè)備的內(nèi)置按鈕手動(dòng)輸入解密密鑰��。設(shè)備繼而命令(步驟S600)根據(jù)文件系統(tǒng)和與其文件相關(guān)聯(lián)的�����、最近在設(shè)備處被更新的使用許可來展露文件。如上所述��,文件被展露以便被用戶導(dǎo)航���。但是�,文件可以被展露給遵循相同原則的任何應(yīng)用(甚至與將它們展露給用戶無(wú)關(guān))�����。另外�,是否展露文件還將依賴于用戶認(rèn)證的成功�。相應(yīng)地,如果對(duì)應(yīng)的許可不允許(例如���,對(duì)于這個(gè)文件沒有更多使用權(quán)限)���,可以阻止文件被展露。因此����,用戶(或外部應(yīng)用)甚至不會(huì)“看見”處在危險(xiǎn)中的文件,即使用戶在本地被正確認(rèn)證�����,其還減少了誤使用或展露給惡意軟件的風(fēng)險(xiǎn)。下面的步驟描述了用于管理訪問文件的請(qǐng)求的機(jī)制(S700)�����。如上所述���,取決于以下是否成立而調(diào)用不同的機(jī)制:-文件存儲(chǔ)在設(shè)備上:這里基于對(duì)應(yīng)的使用許可����,請(qǐng)求優(yōu)選地被處理(步驟S800)���。在處理請(qǐng)求之后�����,許可被更新�,如果需要的話(步驟S900);或者-文件存儲(chǔ)在設(shè)備之外��,由此通過例如取回被請(qǐng)求的文件用于后續(xù)的存儲(chǔ)���,請(qǐng)求被處理(步驟S850)(步驟S900)����。還如上文所述,除了文件系統(tǒng)數(shù)據(jù)��、文件和文件許可之外���,與服務(wù)器建立的連接還可以允許用于從服務(wù)器向設(shè)備發(fā)送加密密鑰等����。如參考圖1��,這可能涉及不同的場(chǎng)景���。I)如上所述,安全設(shè)備從服務(wù)器并且通過主機(jī)(或者更確切地說����,通過由主機(jī)中繼的連接91)接收所有必需的數(shù)據(jù)。
2)在一個(gè)變形中���,文件數(shù)據(jù)(即�����,文檔)可以從主機(jī)即PC接收����,但是這與服務(wù)器無(wú)關(guān)。3)在另一變形中���,安全設(shè)備可以從與通過其接收其他類型數(shù)據(jù)的主機(jī)不同的終端��、并且可在不同的時(shí)間接收給定的文件數(shù)據(jù)(即��,文檔)����。這里��,終端例如可以是PDA或移動(dòng)電話����。文檔例如可以通過因特網(wǎng)查詢?cè)诮K端被初步下載。假設(shè)對(duì)象標(biāo)識(shí)符對(duì)于該文檔是可用的�,并且文件系統(tǒng)和許可使用了兼容的對(duì)象標(biāo)識(shí)符形式體系,則仍然可以實(shí)現(xiàn)上文描述方法的核心步驟�����。4)其他。現(xiàn)在將參考圖4和圖5�,進(jìn)一步描述至少對(duì)于設(shè)備保存并且利用文件許可的那些優(yōu)選實(shí)施方式而言可在設(shè)備處實(shí)現(xiàn)的數(shù)據(jù)結(jié)構(gòu)的示例。圖4和圖5中所示的分層圖是可存儲(chǔ)在安全設(shè)備上以實(shí)現(xiàn)這些實(shí)施方式的數(shù)據(jù)結(jié)構(gòu)的示意圖����。具體而言,所示數(shù)據(jù)結(jié)構(gòu)一般地包括:-密鑰(用于加密/解密文件);〇這里涉及唯一的密鑰“唯一密鑰”�����,它允許以加密狀態(tài)存儲(chǔ)文件����。當(dāng)然這些密鑰無(wú)須對(duì)整個(gè)設(shè)備是唯一的。它還可以呈現(xiàn)在文件或目錄級(jí)�。-文件(或文件標(biāo)識(shí)符)�;〇包括文件#1到n;-許可,許可的集合包括:
〇許可#1到n�,S卩,每個(gè)文件一個(gè)許可����,或者甚至每個(gè)文件一個(gè)許可的子集。具體地�,許可的集合U�����,j��,k}可以與文件相關(guān)聯(lián)���,如在此所述。這里�����,普通線條表示數(shù)據(jù)結(jié)構(gòu)中的層次關(guān)系����,加粗的線線表示數(shù)據(jù)之間的功能關(guān)系,例如“文件#1”使用“唯一密鑰”被加密并且被允許基于“許可#1”來被訪問����,后者在這個(gè)示例中等于{4,0�����,0}��。許可的集合可以由基數(shù)U,j���,k����,...}組成�����,其中i���,j����,k. .與各個(gè)動(dòng)作相關(guān)聯(lián)�����,即��,每個(gè)數(shù)字代表各個(gè)應(yīng)用被允許訪問文件的次數(shù)����。例如“許可#1”在圖4中等于{4,0����,0},其中4�����,0�,0例如與請(qǐng)求訪問文件#1的應(yīng)用分別相關(guān),用于(I)在設(shè)備上顯示�;(2)在外部輸出設(shè)備上顯示;以及(3)在外部打印機(jī)上打印�����。另外���,因?yàn)樵谶@個(gè)示例中給定的“許可#n”實(shí)際由對(duì)應(yīng)的集合U�����,j���,k}組成���,因此對(duì)應(yīng)于“許可#1”到“許可#n”的層級(jí)是多余的。因此��,圖4所示的數(shù)據(jù)結(jié)構(gòu)的示例明顯地表示:用戶可以要求文件#1僅顯示在設(shè)備上并且僅顯示四次�。當(dāng)請(qǐng)求顯示文件#1時(shí)(即,圖1或2中的步驟700)����,設(shè)備將如下處理請(qǐng)求:`-批準(zhǔn)它(步驟800);-解密文件(使用本示例中必需的唯一密鑰),如果需要的話����;以及-命令顯示文件#1。此外�����,當(dāng)請(qǐng)求已被批準(zhǔn)時(shí)�����,設(shè)備將更新對(duì)應(yīng)的許可(或因此通知服務(wù)器用于后續(xù)的更新)����。許可集合因此變化為{3,0����,0},指示文件仍然可用于在設(shè)備上顯示�����,但是僅剩3次����,如圖5所示。在一個(gè)變形中�����,許可#n可以由集合{tl�����,t2�����,t3.}組成,其中tl�����,t2���,t3. 對(duì)應(yīng)于與文件#n相關(guān)聯(lián)和與各個(gè)應(yīng)用相關(guān)聯(lián)的生命期���。在另一變形中,許可#n可以由集合abc組成��,其中a����、b或c中每一個(gè)可以是r、w��、X或_����,或類似于UNIX許可(rwx指示用戶具有讀、寫�����、執(zhí)行許可,-表示根本沒有許可)�����。注意�����,如果許可僅由生命期或r�、w����、x或-許可組成,則不需要在設(shè)備上處理請(qǐng)求之后更新許可���。在這種情況下����,在處理請(qǐng)求之前��,設(shè)備依賴于保存在服務(wù)器并且從服務(wù)器發(fā)送的許可數(shù)據(jù)是足夠的���。在另一變形中����,許可#n可以由子集{j,t2}����,{k,t3}�����,...}表示���,指示文件#n可被訪問i次以用于顯示在設(shè)備上�����,并且僅在時(shí)段tl (或直到日期tl)����,等等�����。在這種情況下��,如果需要,許可在處理請(qǐng)求之后被更新����。很多其他變更是可能的,例如����,混合發(fā)生��、生命期和r��、w��、X或-許可�����。不應(yīng)將本公開理解為排除使用可替換通信協(xié)議(除了 USB之外)用于加載和檢索文檔或文檔管理證書����。具體地,應(yīng)注意安全設(shè)備可以使用無(wú)線接口例如藍(lán)牙傳輸文檔用于打印或使用GPRS網(wǎng)絡(luò)以從服務(wù)器應(yīng)用請(qǐng)求和檢索文檔訪問證書��。而且�����,適當(dāng)配備的安全設(shè)備將能接收服務(wù)器發(fā)起的文檔和/或證書移除命令而不用任何用戶交互以便進(jìn)一步加強(qiáng)服務(wù)器對(duì)數(shù)據(jù)的控制。實(shí)現(xiàn)至少部分的以上發(fā)明所需的計(jì)算機(jī)程序代碼可以以高級(jí)(例如�����,過程的或面向?qū)ο蟮?編程語(yǔ)言實(shí)現(xiàn)�����,或者以編譯或機(jī)器語(yǔ)言實(shí)現(xiàn)�,如果需要的話;并且在任何一種情況下����,語(yǔ)言可以是匯編或解釋語(yǔ)言。合適的處理器包括通用和專用微處理器�����。注意��,設(shè)備����、終端�、服務(wù)器或接收方執(zhí)行的操作可以存儲(chǔ)在有形地實(shí)現(xiàn)在由可編程處理器執(zhí)行的機(jī)器可讀存儲(chǔ)設(shè)備的計(jì)算機(jī)程序產(chǎn)品中�����;并且本發(fā)明的方法可以由運(yùn)行命令以執(zhí)行本發(fā)明的功能的一個(gè)或多個(gè)可編程處理器執(zhí)行�。在所有情況下,本發(fā)明可以不僅包含安全設(shè)備而且包含包括這個(gè)設(shè)備的系統(tǒng)�����,加上下列中的一個(gè)或多個(gè):終端���、至少一個(gè)服務(wù)器或任何合適的源以及可能附加的設(shè)備例如打印機(jī)或投影機(jī),用于傳遞被安全管理的文件的內(nèi)容�。更一般地,以上發(fā)明可以實(shí)現(xiàn)為數(shù)字電子電路���,或者計(jì)算機(jī)硬件�����、固件���、軟件或其組合����。一般地���,處理器將從只讀存儲(chǔ)器和/或隨機(jī)存取存儲(chǔ)器接收命令和數(shù)據(jù)����。適合有形地實(shí)現(xiàn)計(jì)算機(jī)程序指令和數(shù)據(jù)的存儲(chǔ)設(shè)備包括所有形式的非易失存儲(chǔ)��,包括���,通過舉例�,半導(dǎo)體存儲(chǔ)設(shè)備�����,例如EPROM�����、EEPR0M��、閃存或其他。雖然已參考某些實(shí)施方式說明了本發(fā)明����,本領(lǐng)域技術(shù)人員將理解可以做出多種改變并且可以用等效替換而不脫離本發(fā)明的范圍。此外����,可以對(duì)本發(fā)明的教程做出很多修改以適應(yīng)特定情況或材料而不脫離其范圍。因此����,本發(fā)明不是要限制于公開的特定實(shí)施方式,而是本發(fā)明將包括落在所附權(quán)利要求的范圍中的所有實(shí)施方式�。例如,設(shè)備可以被配置為阻止同時(shí)連接到主機(jī)和外部設(shè)備��。還可以提供電池或者由外部設(shè)備供電����。而且�,雖然設(shè)備優(yōu)選地通過主機(jī)連接到服務(wù)器,但是它具有其自己與服務(wù)器直接通信的能力�,如較早所述。在這種情況下�����,本發(fā)明的優(yōu)選實(shí)施方式的一些特征(即,通過主機(jī)發(fā)生的連接)需要被修改�。顯然,圖1中的步驟S200變成可選的�。在步驟S600,由于內(nèi)置顯示能力等等��,更新的文件可以被展露��。
權(quán)利要求
1.一種用于安全地管理對(duì)文件系統(tǒng)的用戶訪問的方法�����,包括步驟: -提供(Sioo)安全設(shè)備(10)�����,后者由反惡意軟件或流氓軟件的設(shè)計(jì)保護(hù)�,并且適于通過電信網(wǎng)絡(luò)來建立與服務(wù)器(40)的連接; -優(yōu)選地經(jīng)由連接到所述服務(wù)器的主機(jī)�,在所述安全設(shè)備與所述服務(wù)器(40)之間建立(S300)連接(91); -通過建立的所述連接(91)在所述安全設(shè)備處接收(S350)與文件系統(tǒng)有關(guān)的數(shù)據(jù)���,所述數(shù)據(jù)標(biāo)識(shí)優(yōu)選地至少部分地存儲(chǔ)在所述安全設(shè)備外部的文件�; -基于從所述服務(wù)器接收的所述數(shù)據(jù),在所述安全設(shè)備處向用戶展露(S600)所述文件系統(tǒng)���,所述文件系統(tǒng)是所述用戶可導(dǎo)航的��。
2.根據(jù)權(quán)利要求1所述的方法���,還包括步驟: 在所述設(shè)備處接收(S700)針對(duì)訪問在展露的所述文件系統(tǒng)中被標(biāo)識(shí)并且存儲(chǔ)在所述安全設(shè)備外部的外部文件的請(qǐng)求之后,通過在所述安全設(shè)備與所述服務(wù)器(40)之間建立的連接(91)����,在所述安全設(shè)備處接收(S850)所述外部文件以用于在所述安全設(shè)備上的后續(xù)存儲(chǔ)(S950)。
3.根據(jù)權(quán)利要求1或2所述的方法����,還包括步驟: -通過建立的所述連接(91)在所述安全設(shè)備處接收(S970,S350)與更新的文件系統(tǒng)有關(guān)的更新的數(shù) 據(jù)��,所述更新的數(shù)據(jù)標(biāo)識(shí)優(yōu)選地至少部分地存儲(chǔ)在所述安全設(shè)備外部的文件����; -基于從所述服務(wù)器接收的所述更新的數(shù)據(jù),在所述安全設(shè)備處向用戶展露(S600)所述更新的文件系統(tǒng)��,所述更新的文件系統(tǒng)是所述用戶可導(dǎo)航的�,其中, 優(yōu)選地���,存儲(chǔ)在所述安全設(shè)備的存儲(chǔ)器上的��、在先前展露的文件系統(tǒng)中被標(biāo)識(shí)并且在所述更新的文件系統(tǒng)中未被標(biāo)識(shí)的文件從所述安全設(shè)備的所述存儲(chǔ)器被移除���。
4.根據(jù)權(quán)利要求1、2或3所述的方法����,其中在所述安全設(shè)備處接收的與文件系統(tǒng)有關(guān)的數(shù)據(jù)和相應(yīng)的所述文件系統(tǒng)是特定于用戶的。
5.根據(jù)權(quán)利要求1到4中任一項(xiàng)所述的方法���,其中接收(S350)數(shù)據(jù)的步驟還包括:接收與相應(yīng)的所述文件系統(tǒng)中標(biāo)識(shí)的一個(gè)或多個(gè)文件相對(duì)應(yīng)的數(shù)據(jù)���。
6.根據(jù)權(quán)利要求1到5中任一項(xiàng)所述的方法,其中在所述安全設(shè)備處展露的文件系統(tǒng)中所標(biāo)識(shí)的文件存儲(chǔ)在多個(gè)服務(wù)器上����,展露的所述文件系統(tǒng)是所述用戶可無(wú)縫導(dǎo)航的。
7.根據(jù)權(quán)利要求1到6中任一項(xiàng)所述的方法�,還包括步驟: -在接收(S700)針對(duì)使用在展露的所述文件系統(tǒng)中被標(biāo)識(shí)并且被存儲(chǔ)在所述安全設(shè)備上的內(nèi)部文件的請(qǐng)求之后,在所述安全設(shè)備處根據(jù)與所述內(nèi)部文件相關(guān)聯(lián)的更新的使用許可來處理(S800)所述用戶請(qǐng)求�����,其中通過基于通過在所述安全設(shè)備與所述服務(wù)器(40)之間建立的連接(91)從所述服務(wù)器發(fā)送的許可數(shù)據(jù)對(duì)用戶許可進(jìn)行更新(S400,S900)�,從而在所述安全設(shè)備處獲得所述更新的使用許可。
8.根據(jù)權(quán)利要求7所述的方法��,在接收針對(duì)使用所述內(nèi)部文件的所述請(qǐng)求之后����,還包括步驟: -在批準(zhǔn)針對(duì)使用所述內(nèi)部文件的所述請(qǐng)求時(shí),更新(S900)與所述內(nèi)部文件相關(guān)聯(lián)的使用許可��。
9.根據(jù)權(quán)利要求8所述的方法���,其中更新(S900)與所述內(nèi)部文件相關(guān)聯(lián)的使用許可在所述安全設(shè)備處執(zhí)行����。
10.根據(jù)權(quán)利要求8或9所述的方法��,在更新(S400���,S900)與所述內(nèi)部文件相關(guān)聯(lián)的使用許可之后�����,還包括步驟:根據(jù)所述更新的使用許可����,在所述安全設(shè)備處命令(S600)向用戶接口或應(yīng)用展露(S600)所述內(nèi)部文件����。
11.根據(jù)權(quán)利要求7到10中任一項(xiàng)所述的方法,其中更新的使用許可包括參數(shù)���,諸如相關(guān)聯(lián)的文件可被訪問的次數(shù) 或者其可被訪問的時(shí)間段����,該參數(shù)在由處理針對(duì)使用所述文件的請(qǐng)求的所述設(shè)備解釋時(shí)限制對(duì)所述文件的訪問權(quán)限����。
12.根據(jù)在前權(quán)利要求中任一項(xiàng)所述的方法,其中在所述安全設(shè)備與所述服務(wù)器之間建立的連接(91)是安全連接�,諸如SSL/TLS連接。
13.一種安全設(shè)備(10)����,由反惡意軟件或流氓軟件的設(shè)計(jì)保護(hù)并且具有處理裝置(15)、存儲(chǔ)器(15’�����,15”)和接口(17,18���,20)����,被配置為耦合至以下項(xiàng)或與以下項(xiàng)交互: -用戶⑴����; -一個(gè)或多個(gè)服務(wù)器(40),以及 -優(yōu)選地主機(jī)�����,諸如個(gè)人計(jì)算機(jī)或PC (30)����, 當(dāng)所述安全設(shè)備通過電信網(wǎng)絡(luò)被連接至所述服務(wù)器時(shí),所述安全設(shè)備適于優(yōu)選地經(jīng)由主機(jī)(30)建立與服務(wù)器(40)的連接���,諸如TLS/SSL連接���, 并且還包括計(jì)算機(jī)化方法��,所述計(jì)算機(jī)化方法存儲(chǔ)在所述存儲(chǔ)器上并且是所述處理裝置可執(zhí)行的���,用于實(shí)現(xiàn)如權(quán)利要求1到12中任一項(xiàng)所述的步驟�。
14.一種系統(tǒng),包括: -如權(quán)利要求13的所述安全設(shè)備(10); -個(gè)人計(jì)算機(jī)或PC (30);以及 -一個(gè)或多個(gè)服務(wù)器(40)�����。
15.一種計(jì)算機(jī)程序介質(zhì)����,包括處理裝置可執(zhí)行的指令,用于執(zhí)行如權(quán)利要求1到12中任一項(xiàng)所述的方法的全部所述步驟�����。
全文摘要
本發(fā)明主要涉及用于安全地管理對(duì)文件系統(tǒng)的用戶訪問的方法����、安全設(shè)備、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品�。該方法包括步驟提供(S100)安全設(shè)備(10),后者由反惡意軟件或流氓軟件的設(shè)計(jì)保護(hù)��,并且適于通過電信網(wǎng)絡(luò)建立與服務(wù)器(40)的連接;優(yōu)選地通過連接到服務(wù)器的主機(jī)在安全設(shè)備與服務(wù)器(40)之間建立(S300)連接(91)����;通過建立的連接(91)在安全設(shè)備處接收(S350)與文件系統(tǒng)有關(guān)的數(shù)據(jù),其標(biāo)識(shí)優(yōu)選地至少部分地存儲(chǔ)在安全設(shè)備外部的文件���;基于從服務(wù)器接收的數(shù)據(jù)在安全設(shè)備處向用戶展露(S600)文件系統(tǒng)�����,該文件系統(tǒng)是用戶可導(dǎo)航的����。
文檔編號(hào)G06F21/62GK103154965SQ201180049016
公開日2013年6月12日 申請(qǐng)日期2011年10月18日 優(yōu)先權(quán)日2010年10月29日
發(fā)明者M·本奇, H·D·迪克曼, R·J·赫曼, T·克蘭普, M·P·凱珀-哈蒙德, M·C·奧斯伯內(nèi), T·D·魏戈?duì)柕?申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司