專利名稱:用于安全地管理文件的方法�、安全設(shè)備、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種使用安全設(shè)備用于安全地管理向用戶分發(fā)的文件的方法����。具體而言,本發(fā)明涉及一種使用下述安全設(shè)備的方法��,該安全設(shè)備通過防惡意軟件或者惡意件的設(shè)計(jì)被保護(hù)并且適于建立與服務(wù)器的連接�����,例如����,諸如SSL/TLS連接這樣的安全連接�。一致地,本發(fā)明涉及這種設(shè)備以及包括這種設(shè)備的系統(tǒng)或者用于實(shí)施所述方法和對(duì)應(yīng)服務(wù)器部件的計(jì)算機(jī)程序介質(zhì)�����。
背景技術(shù):
PC的安全問題使它們不適合用于許多功能�,因?yàn)橛脩糨斎氲臄?shù)據(jù)可能被攻擊者操控或者復(fù)制。例如���,交易可能被改變以將資金發(fā)送給非期望的收款人或者發(fā)送資金訂購非期望的物品����,或者用戶證書可能被復(fù)制從而向攻擊者提供對(duì)系統(tǒng)的訪問,諸如對(duì)網(wǎng)銀系統(tǒng)的訪問�。為了解決這些問題中的一些問題,用戶安全設(shè)備(也被稱為“受信設(shè)備”)可以與PC—起使用���。一種這樣的解決方案���,即IBM區(qū)域受信信息信道(參見Thomas ffeigold,Thorsten Kramp, Reto Hermann, Frank Horing, Peter Buhler, Michael Baentsch的“The Zurich Trusted Information Channel-An Efficient Defence againstMan-1n-the-Middle and Malicious Software Attacks”�,In P. Lipp, A. -R. Sadeghi, andK. -M. Koch (Eds.) TRUST2008, LNCS4968, pp. 75-91,2008)允許用戶在服務(wù)提供商(例如,銀行)執(zhí)行交易之前驗(yàn)證與交易相關(guān)聯(lián)的信息(例如����,在網(wǎng)銀的情況下為金額和收款人)。該交易在安全的并且可以用安全方式向后臺(tái)系統(tǒng)發(fā)送驗(yàn)證的信息的設(shè)備上被驗(yàn)證����。此外,在低成本��、高容量USB閃速驅(qū)動(dòng)器可用的情況下���,安全文檔管理已經(jīng)成為任何IT組織的關(guān)注領(lǐng)域�。存在兩個(gè)顯著問題1.外部數(shù)據(jù)丟失大量敏感數(shù)據(jù)可以輕易地存儲(chǔ)在諸如USB閃速驅(qū)動(dòng)器這樣的設(shè)備上并被轉(zhuǎn)移。丟失這樣的設(shè)備可能給公司造成法務(wù)或者財(cái)務(wù)暴露��。2.雇員數(shù)據(jù)竊取敏感數(shù)據(jù)可以輕易地被有權(quán)訪問這些數(shù)據(jù)的雇員經(jīng)由PC偷取?����,F(xiàn)在市場(chǎng)上出現(xiàn)對(duì)第一個(gè)問題的解決方案���。例如����,USB驅(qū)動(dòng)器上的數(shù)據(jù)可以被加密和口令保護(hù)����。與其它IT系統(tǒng)相似,如果輸入錯(cuò)誤口令多于指定次數(shù)�����,則設(shè)備鎖死�,由此使數(shù)據(jù)不可訪問����?���?梢酝ㄟ^在公司內(nèi)阻止用于海量存儲(chǔ)設(shè)備的USB端口來解決第二個(gè)問題�����。遺憾的是�,這樣的解決方案也阻止了便攜式存儲(chǔ)設(shè)備的許多合法和有用應(yīng)用。另一方式是在用戶的PC上使用監(jiān)視軟件以便檢測(cè)和阻止違反給定策略的數(shù)據(jù)復(fù)制���。然而�,這樣的軟件解決方案僅與實(shí)施它的應(yīng)用軟件和系統(tǒng)一樣安全��,即��,在存在確定的攻擊者時(shí)�����,它們不能解決問題��。有關(guān)的挑戰(zhàn)是敏感文檔的安全分發(fā)??梢栽诜职l(fā)之前對(duì)文檔加密,這在文檔傳輸途中并且在文檔存儲(chǔ)在用戶的PC上時(shí)(假設(shè)以加密形式存儲(chǔ)文檔)保護(hù)文檔��。然而�,一旦文檔被解密,例如用于查看����,它就被暴露從而有風(fēng)險(xiǎn)。在公司內(nèi)部��,該風(fēng)險(xiǎn)受公司中用于處理(例如�,查看或者打印)該文檔的IT基礎(chǔ)設(shè)施的總體安全性限制。然而���,當(dāng)在公司外部���,例如在具有因特網(wǎng)連接的PC上解密這樣的文檔時(shí),或者在公司PC的安全性受危及時(shí)��,該文檔再次被暴露�����。因而����,存在對(duì)改進(jìn)用于敏感文檔的安全分發(fā)并且更一般地用于安全地管理文件的當(dāng)前方法的需要。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的第一方面�����,提供了一種用于安全地管理文件的方法�����,該方法包括以下步驟提供安全設(shè)備���,其中安全設(shè)備通過防惡意軟件或者惡意件的設(shè)計(jì)被保護(hù)并且適于經(jīng)由通過電信網(wǎng)絡(luò)連接到服務(wù)器的主機(jī)來建立與服務(wù)器的連接�����;在接收到對(duì)使用存儲(chǔ)在安全設(shè)備上的文件的請(qǐng)求后��,在安全設(shè)備處根據(jù)與文件相關(guān)聯(lián)的���、更新的使用權(quán)限來處理請(qǐng)求,其中通過以下操作獲得更新的使用權(quán)限在安全設(shè)備處指令經(jīng)由主機(jī)在安全設(shè)備與服務(wù)器之間建立連接��;并且在設(shè)備處根據(jù)通過所建立的連接從服務(wù)器發(fā)送的權(quán)限數(shù)據(jù)來更新與文件相關(guān)聯(lián)的使用權(quán)限。在實(shí)施例中��,該方法可以包括以下特征中的一個(gè)或者多個(gè)特征-該方法進(jìn)一步包括在設(shè)備處存儲(chǔ)文件的步驟�����,該文件是通過在安全設(shè)備與服務(wù)器之間建立的連接從服務(wù)器發(fā)送的�;-該方法在設(shè)備處接收到請(qǐng)求之后進(jìn)一步包括以下步驟在批準(zhǔn)在安全設(shè)備處接收到的請(qǐng)求后更新與文件相關(guān)聯(lián)的使用權(quán)限;-該方法在接收到對(duì)文件的請(qǐng)求之前并且在更新與文件相關(guān)聯(lián)的使用權(quán)限之后進(jìn)一步包括以下步驟在安全設(shè)備處根據(jù)更新的使用權(quán)限來指令向用戶接口或者應(yīng)用暴露文件����;-經(jīng)由主機(jī)建立的連接是安全連接,諸如SSL/TLS連接�;-根據(jù)給定加密方案對(duì)存儲(chǔ)在設(shè)備上的文件加密,并且其中該方法進(jìn)一步包括以下步驟在安全設(shè)備處接收用于解密文件的解密密鑰�����,該解密密鑰是通過在安全設(shè)備與服務(wù)器之間建立的連接從服務(wù)器發(fā)送的��;-該方法進(jìn)一步包括以下步驟在設(shè)備處使用加密密鑰來加密文件�����,該加密密鑰存儲(chǔ)于設(shè)備的內(nèi)部存儲(chǔ)器或者智能卡上或者由用戶在設(shè)備處輸入��,該內(nèi)部存儲(chǔ)器從外部不可訪問;-更新的使用權(quán)限包括被設(shè)備解譯用于處理對(duì)使用文件的請(qǐng)求的參數(shù)��,該參數(shù)約束對(duì)文件的訪問權(quán)���,諸如能夠訪問所關(guān)聯(lián)的文件的次數(shù)或者能夠訪問它的時(shí)間;-在安全設(shè)備處保持的更新的使用權(quán)限分解成若干子權(quán)限�����,每個(gè)子權(quán)限與給定類型的請(qǐng)求相關(guān)聯(lián)���,例如對(duì)以下各項(xiàng)的請(qǐng)求在設(shè)備處讀?��。辉谕獠看蛴C(jī)處打?��?���;或者從外部設(shè)備讀取�,該外部設(shè)備諸如投影機(jī);-在批準(zhǔn)請(qǐng)求后更新使用權(quán)限的步驟包括在設(shè)備處更新與文件相關(guān)聯(lián)的使用權(quán)限����;-在批準(zhǔn)請(qǐng)求后更新使用權(quán)限的步驟包括通過在安全設(shè)備與服務(wù)器之間建立的連接向服務(wù)器發(fā)送與處理的請(qǐng)求有關(guān)的數(shù)據(jù)��;并且在服務(wù)器處更新與文件相關(guān)聯(lián)的使用權(quán)限��;以及-該方法進(jìn)一步包括以下步驟在服務(wù)器處記錄接收到的對(duì)使用文件的請(qǐng)求���。根據(jù)另一方面,本發(fā)明被實(shí)現(xiàn)化為一種安全設(shè)備����,該安全設(shè)備通過防惡意軟件或者惡意件的設(shè)計(jì)被保護(hù)并且具有處理裝置、存儲(chǔ)器和接口�����,該安全設(shè)備被配置為耦合到以下各項(xiàng)或者與以下各項(xiàng)交互用戶��;主機(jī)(諸如個(gè)人計(jì)算機(jī)或者PC)���,以及服務(wù)器���,安全設(shè)備適于在該安全設(shè)備連接到主機(jī)并且服務(wù)器和主機(jī)通過電信網(wǎng)絡(luò)連接時(shí),經(jīng)由該主機(jī)建立與服務(wù)器的連接��,諸如TLS/SSL連接,并且該安全設(shè)備進(jìn)一步包括存儲(chǔ)于存儲(chǔ)器上并且可由處理裝置執(zhí)行的計(jì)算機(jī)化的方法以用于實(shí)施根據(jù)本發(fā)明的方法的步驟���。根據(jù)又一方面����,本發(fā)明被實(shí)現(xiàn)為一種系統(tǒng),該系統(tǒng)包括根據(jù)本發(fā)明的安全設(shè)備��;個(gè)人計(jì)算機(jī)或者PC �����;以及服務(wù)器�。根據(jù)最后一個(gè)方面,本發(fā)明被實(shí)現(xiàn)為一種計(jì)算機(jī)程序介質(zhì)����,該計(jì)算機(jī)程序介質(zhì)包括可由處理裝置執(zhí)行的用于執(zhí)行根據(jù)本發(fā)明的方法的所有步驟的指令?����,F(xiàn)在將通過非限制示例并且參照附圖來描述實(shí)現(xiàn)本發(fā)明的方法�����、設(shè)備和系統(tǒng)����。
圖1是描繪根據(jù)本發(fā)明的方法的一般實(shí)施例的步驟的流程圖;圖2是描繪根據(jù)另一更詳細(xì)的實(shí)施例的方法的步驟的流程圖�;圖3是根據(jù)本發(fā)明實(shí)施例布置的耦合到終端和服務(wù)器并且允許安全地管理文件使用安全設(shè)備的示意性表示;以及圖4和圖5示意性地描繪根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)結(jié)構(gòu)的示例�,這些示例示出在設(shè)備中保持的使用權(quán)限與對(duì)應(yīng)文件之間的相互關(guān)系。圖4和圖5分別示出在該設(shè)備處更新使用權(quán)限之前和之后的這種數(shù)據(jù)結(jié)構(gòu)��。
具體實(shí)施例方式作為下文描述的引言����,首先轉(zhuǎn)向本發(fā)明的一般方面��,該方面涉及一種用于安全地管理文件的方法��。該方法利用用戶安全設(shè)備(或者受信設(shè)備)����,后者通過防惡意軟件或者惡意件的設(shè)計(jì)被保護(hù)�。在接收到對(duì)使用存儲(chǔ)在設(shè)備上的文件的請(qǐng)求時(shí),設(shè)備根據(jù)與文件相關(guān)聯(lián)的更新的使用權(quán)限來處理該請(qǐng)求�����?�!疤幚怼闭?qǐng)求通常意味著如果可能(基于更新的使用權(quán)限)則批準(zhǔn)該請(qǐng)求�����,并且后續(xù)采取步驟以執(zhí)行該請(qǐng)求(例如��,如果在加密狀態(tài)下存儲(chǔ)文件��,則從解密該文件開始)����。如果必要,則后續(xù)更新使用權(quán)限這實(shí)際上依賴于所涉及的權(quán)限類型以及是否已經(jīng)批準(zhǔn)了請(qǐng)求��。用于處理請(qǐng)求的權(quán)限在一開始通過首先在設(shè)備處指令建立與服務(wù)器的連接來獲得�,該連接經(jīng)由所述服務(wù)器所連接到的電信網(wǎng)絡(luò)中的主機(jī)來建立,其例如是SSL/TLS連接��。接下來�����,設(shè)備根據(jù)通過建立的連接從服務(wù)器發(fā)送的數(shù)據(jù)來更新使用權(quán)限����。例如,如果還沒有在設(shè)備上存儲(chǔ)文件的所需版本�,則也可能從服務(wù)器發(fā)送處于危險(xiǎn)的文件(file at stake)。當(dāng)接收到對(duì)使用文件的請(qǐng)求(即訪問請(qǐng)求��,例如查看或者打印文件)時(shí)�,該設(shè)備例如能夠根據(jù)給定的服務(wù)器(即,公司)策略����、根據(jù)對(duì)應(yīng)權(quán)限的更新狀態(tài)來處理請(qǐng)求。因此,有可能約束對(duì)(來自服務(wù)器的)可為用戶所用的文件的使用并且這依賴于給定的策略�。更具體而言,圖1描繪了圖示該方法的一般實(shí)施例的流程圖�。圖3是經(jīng)由網(wǎng)絡(luò)耦合到終端和服務(wù)器的安全設(shè)備的示例的示意性表示。一起參照?qǐng)D1和圖3 :本發(fā)明首先并且首要地依賴于安全設(shè)備10(步驟S100)���。正如所言���,通過設(shè)計(jì)來保護(hù)安全設(shè)備以抵擋惡意軟件或者惡意件。例如�����,安全設(shè)備可以被剝奪用于軟件安裝或者會(huì)使它暴露于惡意件的其它功能的一些客戶端接口�。然而,該設(shè)備通常被提供有簡(jiǎn)單用戶輸入和輸出能力以用于輸入和回顧用戶安全要素���,例如PIN或者智能卡。該設(shè)備適于經(jīng)由電信網(wǎng)絡(luò)35 (諸如����,因特網(wǎng)網(wǎng)絡(luò))的主機(jī)30來建立與服務(wù)器和/或任何適當(dāng)源40的連接91,例如安全連接�,諸如相互認(rèn)證的連接。主機(jī)優(yōu)選地是連接到網(wǎng)絡(luò)的PC。終端可以另外是任何其它適當(dāng)源�����,諸如個(gè)人數(shù)字助理或者PDA或者移動(dòng)電話����。一種與服務(wù)器的適當(dāng)類型的安全連接是TLS/SSL連接。此外��,安全設(shè)備被提供有存儲(chǔ)在它的存儲(chǔ)器中的計(jì)算機(jī)化的方法以用于執(zhí)行下文描述的方法的步驟�����。在圖3中描繪該設(shè)備的優(yōu)選特征�����。通常����,安全設(shè)備10具有耦合到存儲(chǔ)器的處理裝置(或者計(jì)算裝置)15,該存儲(chǔ)器通常包括永久和非永久存儲(chǔ)器15’和15”�����。永久存儲(chǔ)器存儲(chǔ)例如用于由所述處理裝置執(zhí)行的、上文提到的計(jì)算機(jī)化的方法��。此外�����,設(shè)備還進(jìn)一步被提供有用于與網(wǎng)絡(luò)35的主機(jī)(例如PC30)通信的至少一個(gè)接口 20���,例如USB接口���。在實(shí)施例中,相同接口 20 (或者另一類型的接口)還應(yīng)當(dāng)允許安全設(shè)備與外部設(shè)備通信����,所述外部設(shè)備諸如投影機(jī)(beamer)、打印機(jī)����、安全PC(例如,僅用于查看敏感材料而從不連接到網(wǎng)絡(luò)的PC)或者任何其它輸出設(shè)備(未示出)�����。如果必要����,則安全設(shè)備具有用于讀取存儲(chǔ)器卡16 (例如,智能卡)上存儲(chǔ)的用戶證書的卡讀取器17�。可以安全地進(jìn)行對(duì)這樣的數(shù)據(jù)的適當(dāng)使用��,例如對(duì)卡上存儲(chǔ)的用戶證書的適當(dāng)使用�����。具體而言���,可以使用這樣的數(shù)據(jù)�,經(jīng)由終端30在用戶1(或者嚴(yán)格來講�,為設(shè)備10)與第三方(例如,服務(wù)器40)之間建立可信賴連接���。在一種變體中��,可以在安全設(shè)備的永久存儲(chǔ)器上直接存儲(chǔ)用戶證書����。其他接口(諸如�����,控制按鈕18和顯示器12)允許與用戶的直接交互。在實(shí)踐中����,第一步驟是將安全設(shè)備10連接(步驟S200)到網(wǎng)絡(luò)35的適當(dāng)主機(jī)30。為了舉例說明�����,此后認(rèn)為主機(jī)是可通過因特網(wǎng)網(wǎng)絡(luò)35連接到服務(wù)器40的PC����。設(shè)備10然后可以調(diào)用在其上存儲(chǔ)的計(jì)算機(jī)化的方法以觸發(fā)與服務(wù)器40的可信賴連接,步驟S300�����。例如��,它可以(例如�����,在解鎖卡時(shí))經(jīng)由終端30通過非安全連接92建立與服務(wù)器的安全通信91�����。優(yōu)選地��,在通過非安全連接92發(fā)起通信91之時(shí)���,例如通過向服務(wù)器發(fā)起SSL/TLS認(rèn)證����、使用在卡上或者在安全設(shè)備的內(nèi)部存儲(chǔ)器上存儲(chǔ)的用戶證書���,向服務(wù)器認(rèn)證該設(shè)備��。就這一點(diǎn)而言�����,設(shè)置設(shè)備與服務(wù)器通信可以有利地包括從設(shè)備啟動(dòng)駐留在終端處的代理客戶端�,以便該設(shè)備經(jīng)由該終端連接到服務(wù)器(注意�����,代理有可能也駐留在設(shè)備上)����。代理向因特網(wǎng)中繼從設(shè)備接收的比特并且反之亦然�?�?梢酝ㄟ^從設(shè)備向服務(wù)器發(fā)起SSL/TLS認(rèn)證來例如雙向地實(shí)現(xiàn)向服務(wù)器認(rèn)證設(shè)備����。就這一點(diǎn)而言,存儲(chǔ)器15”還可能已經(jīng)在其上存儲(chǔ)了包括加密算法的安全軟件棧���,諸如用于SSL/TLS認(rèn)證的TLS引擎14���。它可以進(jìn)一步存儲(chǔ)(實(shí)現(xiàn)USB海量存儲(chǔ)設(shè)備或者M(jìn)SD簡(jiǎn)檔20的)USB管理軟件,并且可能存儲(chǔ)如上文提到的預(yù)先加載的聯(lián)網(wǎng)代理���。正如所言��,可以在存儲(chǔ)器卡(例如��,智能卡16)上存儲(chǔ)用戶證書���,諸如支持TLS-客戶端認(rèn)證的客戶端-服務(wù)器憑證(例如X. 509)。智能卡可以保持敏感個(gè)人信息并且具有加密裝置。在變體中�����,卡不能加密�����,但是如果有則用來對(duì)敏感操作簽名(sign)�。在更多其它變體中����,卡用于加密和簽名操作二者。設(shè)備優(yōu)選地配備有標(biāo)準(zhǔn)智能卡讀取器17�����。最后��,設(shè)備具有控制按鈕18(例如��,OK����、取消等選擇器)和用于顯示信息的顯示器12。它還可以被提供有用于輸入PIN數(shù)據(jù)的裝置(例如,按鈕���、旋轉(zhuǎn)輪�����、PIN板/鍵盤等)���。因此,在一個(gè)實(shí)施例中����,在服務(wù)器與設(shè)備之間建立SSL/TLS信道(步驟S300)。另夕卜���,可以設(shè)想其它類型的可信賴連接���。在后續(xù)步驟(S350)中,通過所建立的連接從服務(wù)器發(fā)送權(quán)限數(shù)據(jù)���,所建立的連接例如是如上文提到的�����、所建立的相互認(rèn)證的連接91�。在設(shè)備處接收所述數(shù)據(jù)。它們代表與一個(gè)或者多個(gè)文件相關(guān)聯(lián)的使用權(quán)限��??梢砸黄鸢l(fā)送對(duì)應(yīng)文件。然而����,它們可能已經(jīng)被存儲(chǔ)在設(shè)備上(它們被更早發(fā)送或者從獨(dú)立源獲得)�����,或者它們?nèi)匀豢梢栽谝院箅A段被獲得�����。權(quán)限數(shù)據(jù)可以例如包括與使用權(quán)的程度有關(guān)的對(duì)應(yīng)信息以及對(duì)象標(biāo)識(shí)符(或者文件標(biāo)識(shí)符)�����。并非所有所述對(duì)象標(biāo)識(shí)符都需要與存儲(chǔ)在安全設(shè)備上的對(duì)象相對(duì)應(yīng)設(shè)備能夠在被查詢什么用戶權(quán)限與給定文件相關(guān)聯(lián)時(shí)獲取該用戶權(quán)限�。另外,出于本說明書的目的����,假設(shè)在安全設(shè)備上的某一點(diǎn)存儲(chǔ)了至少一個(gè)文件并且在設(shè)備處接收到的權(quán)限數(shù)據(jù)包含屬于該文件的數(shù)據(jù)��。權(quán)限數(shù)據(jù)可以例如由與文件標(biāo)識(shí)符關(guān)聯(lián)的至少一個(gè)基數(shù)(cardinality)構(gòu)成�����?����?梢园ǜ嗷鶖?shù)�����,每個(gè)基數(shù)與至少一個(gè)動(dòng)作類型相關(guān)聯(lián)���。后文將參照?qǐng)D4和圖5進(jìn)一步說明。在接收到權(quán)限數(shù)據(jù)時(shí)����,在設(shè)備的存儲(chǔ)器上(而未必在永久存儲(chǔ)器上)存儲(chǔ)該權(quán)限數(shù)據(jù)?���?梢岳绱鎯?chǔ)接收的權(quán)限數(shù)據(jù)來替換較舊數(shù)據(jù)���。權(quán)限數(shù)據(jù)可以另外是指示相對(duì)于較舊數(shù)據(jù)的改變的增量(delta)文件;設(shè)備然后更新它的權(quán)限數(shù)據(jù)�。另外,以一種方式或者另一方式�����,使設(shè)備了解(步驟S400)與在其上存儲(chǔ)的給定文件相關(guān)聯(lián)的����、更新的使用權(quán)限。設(shè)備相應(yīng)地保持與在其上存儲(chǔ)的一個(gè)或者多個(gè)文件相關(guān)聯(lián)的使用權(quán)限�。更新數(shù)據(jù)本身一般是已知的����。接下來,在接收到對(duì)使用文件的請(qǐng)求時(shí)�����,設(shè)備根據(jù)與該文件或者包含該文件的目錄相關(guān)聯(lián)的使用權(quán)限的當(dāng)前狀態(tài)來處理所述請(qǐng)求(步驟S700)����。實(shí)際上��,目錄列出了在邏輯上被包含其中的文件的名稱���。可以有利地依賴用于這樣的目錄的使用權(quán)限�����,這將基本上導(dǎo)致對(duì)它們所包含的文件的可見性的限制��,即��,使得目錄內(nèi)的文件具有不充分的使用權(quán)限����,不僅PC不可訪問,而且對(duì)PC不可見�����。注意���,在圖1或者圖2的實(shí)施例的變體中���,設(shè)備將在接收到對(duì)使用文件的請(qǐng)求后嘗試連接到服務(wù)器��,從而可以在接收到對(duì)使用文件的請(qǐng)求之后實(shí)際地執(zhí)行步驟S200-S400�。在該情況下�����,根據(jù)對(duì)該文件的更近的使用權(quán)限來處理請(qǐng)求�。然而在所有情況下,在接收到對(duì)使用文件的請(qǐng)求后���,安全設(shè)備根據(jù)更新的權(quán)限來處理該請(qǐng)求�����,其中已經(jīng)通過連接到服務(wù)器并且從服務(wù)器獲得權(quán)限數(shù)據(jù)來獲得了更新的權(quán)限����。接下來���,關(guān)于請(qǐng)求的類型對(duì)使用文件的請(qǐng)求可以例如簡(jiǎn)單地是對(duì)查看文件內(nèi)容的請(qǐng)求。如果用戶權(quán)限允許�����,則例如在安全設(shè)備10的顯示器12上顯示所述內(nèi)容。只要文檔的大小不阻止這樣做���,這就是可行的�����。在其它情況下�,可能例如需要設(shè)置設(shè)備與外部輸出設(shè)備進(jìn)行通信以完成請(qǐng)求��?��?梢詮耐獠繎?yīng)用接收下述請(qǐng)求�����,該請(qǐng)求例如請(qǐng)求復(fù)制文件(或者傳遞其內(nèi)容)例如用于后續(xù)顯示或者打印�����。如何向外部設(shè)備傳遞文件的內(nèi)容本身是已知的��。例如�����,安全設(shè)備可以被配置為����,例如使用安全藍(lán)牙配對(duì)(SSP)可連接到投影機(jī)(例如,無“計(jì)算”能力的顯示設(shè)備����,其不會(huì)被暴露于惡意件)。作為另一示例�,安全設(shè)備使用USB線纜或者安全藍(lán)牙配對(duì)(SSP)可連接到打印機(jī)。這允許從安全設(shè)備直接打印文檔���。如果不允許經(jīng)由用戶的PC打印處于危險(xiǎn)的文檔(由于它的關(guān)聯(lián)使用權(quán)限)�,則這尤為有用�。因此,外部輸出設(shè)備可以典型的是打印機(jī)或者投影機(jī)�。另外,依賴于公司策略�����,其也可以是(設(shè)備可能已經(jīng)被連接到的)PDA或者PC30本身���,用于該P(yáng)DA或者PC30的使用權(quán)限可能比用于投影機(jī)或者打印機(jī)的使用權(quán)限更嚴(yán)格��。注意�,在實(shí)施例中���,打印機(jī)或者投影機(jī)可以是安全設(shè)備本身的一部分���。在所有情況下,如果設(shè)備批準(zhǔn)了該使用請(qǐng)求����,則更新與處于危險(xiǎn)的文件相關(guān)聯(lián)的使用權(quán)限(步驟S900)。依次評(píng)述���。根據(jù)第一變體�����,優(yōu)選地在設(shè)備上直接執(zhí)行在批準(zhǔn)請(qǐng)求之后更新使用權(quán)限(步驟S900)(通常遞減基數(shù))���。然而,應(yīng)當(dāng)向服務(wù)器發(fā)送對(duì)應(yīng)數(shù)據(jù)�����,該服務(wù)器一致地更新服務(wù)器側(cè)所保持的使用權(quán)限。這樣��,設(shè)備保持最新使用權(quán)限�。因此,即使用于從服務(wù)器獲得更新的權(quán)限的后續(xù)嘗試失敗(或者現(xiàn)有權(quán)限未要求獲得更新的權(quán)限�����,例如以允許離線使用)���,設(shè)備仍然可以處理對(duì)相同文件的另一請(qǐng)求����。在這一變體中����,在服務(wù)器和在安全設(shè)備二者處實(shí)施并行更新機(jī)制。然而���,在某一點(diǎn)需要協(xié)調(diào)(reconciliation)����。存在用于協(xié)調(diào)權(quán)限的若干可能性(已知用于同步兩個(gè)數(shù)據(jù)庫實(shí)例的若干算法)。設(shè)備可以例如定期地嘗試連接到服務(wù)器并且獲得更新的權(quán)限數(shù)據(jù)�����,或者在啟動(dòng)�����、認(rèn)證用戶時(shí)或者在接收到另一文件使用請(qǐng)求等時(shí)嘗試連接�。在任何情況下�����,從服務(wù)器接收的權(quán)限將在可用時(shí)可能取代本地權(quán)限�����。然而�����,在無服務(wù)器連接時(shí)��,設(shè)備優(yōu)選地更新本地權(quán)限從而有可能在使用權(quán)限基數(shù)減少至零時(shí)����,使對(duì)文件的訪問成為不可能?��,F(xiàn)在,根據(jù)第二變體���,在處理文件使用請(qǐng)求后�,設(shè)備相應(yīng)地并且如果在必要時(shí)(例如���,僅在批準(zhǔn)請(qǐng)求后)通知服務(wù)器���。服務(wù)器因而應(yīng)當(dāng)能夠更新使用權(quán)限。當(dāng)設(shè)備以后連接到服務(wù)器時(shí)(例如�,在接收到對(duì)使用文件的另一請(qǐng)求后),向設(shè)備發(fā)送最新權(quán)限以用于后續(xù)處理�����。在該情況下��,不要求在批準(zhǔn)請(qǐng)求之后在設(shè)備上直接更新權(quán)限�����,因?yàn)樵O(shè)備應(yīng)當(dāng)系統(tǒng)地依賴于從服務(wù)器接收到的權(quán)限�����。同樣,設(shè)備可以例如定期地嘗試連接到服務(wù)器或者在啟動(dòng)、認(rèn)證用戶時(shí)嘗試連接����,或者每當(dāng)接收到另一文件使用請(qǐng)求時(shí)嘗試連接等�。于是,從服務(wù)器接收到的權(quán)限將取代先前版本�����。然而,在該變體中�����,設(shè)備強(qiáng)烈地依賴于服務(wù)器連接的可用性。例如����,設(shè)備可以在每次它接收到對(duì)使用文件的請(qǐng)求時(shí)嘗試連接到服務(wù)器���。然而�,如果用于到達(dá)服務(wù)器的嘗試失敗��,則不能基于最新權(quán)限數(shù)據(jù)來處理請(qǐng)求。因此�,可以關(guān)于在不能達(dá)到較新權(quán)限的情況下如何繼續(xù)來設(shè)想若干回退算法����。一種解決方案由拒絕請(qǐng)求構(gòu)成����。另一解決方案將依賴于權(quán)限數(shù)據(jù)的先前版本���。中間解決方案當(dāng)然也是有可能的。因此�,可以調(diào)用若干機(jī)制用于保持更新的權(quán)限,其范圍從全集中式解決方案(僅服務(wù)器在批準(zhǔn)請(qǐng)求之后更新權(quán)限)到并行解決方案(設(shè)備在批準(zhǔn)對(duì)使用文件的請(qǐng)求后本地更新權(quán)限并且相應(yīng)地通知服務(wù)器)。什么機(jī)制適合于實(shí)施實(shí)際上依賴于所保持的安全策略���。在所有情況下��,對(duì)使用文件的請(qǐng)求優(yōu)選地由設(shè)備記錄并且還可以在服務(wù)器處被額外地記錄,以用于審計(jì)或者被動(dòng)安全性的目的�����。正如所言,如上文描述的那樣�,(除了文件的關(guān)聯(lián)權(quán)限之外)也可以例如經(jīng)由安全連接91從服務(wù)器獲得文件�����。在(非優(yōu)選的)變體中�����,可以從用戶的PC或者從連接到網(wǎng)絡(luò)的遠(yuǎn)程終端獲得文件����。在實(shí)施例中����,期望的文件首先被從終端發(fā)送到服務(wù)器、然后被從服務(wù)器發(fā)送到設(shè)備���,這提高待分發(fā)的文件的安全性和/或控制����。如更早指出的那樣,可以在發(fā)送文件之前或者之后一起發(fā)送關(guān)聯(lián)權(quán)限���。在實(shí)施例中���,根據(jù)給定加密方案來加密設(shè)備上存儲(chǔ)的文件。文件可以由設(shè)備本身來加密����。例如,安全設(shè)備被提供有存儲(chǔ)在(從外部不可訪問的)其內(nèi)部存儲(chǔ)器中或者插入其中的智能卡上的加密密鑰�。在一種變體中,在加密狀態(tài)下向設(shè)備傳送文件(并且如果有則這獨(dú)立于安全連接固有的加密)����,從而該文件總而言之應(yīng)當(dāng)在加密狀態(tài)下被存儲(chǔ)在設(shè)備上。在兩種情況下��,可以從服務(wù)器向設(shè)備發(fā)送或者由用戶在設(shè)備上人工輸入解密密鑰���,以用于例如在以后階段和在請(qǐng)求時(shí)解密文件。附帶提一點(diǎn)��,注意權(quán)限控制機(jī)制也可以相對(duì)于解密密鑰而被實(shí)施���,與針對(duì)文件的實(shí)施一樣����。接下來,參照?qǐng)D2��,將描述本發(fā)明的方法的另一實(shí)施例����。應(yīng)當(dāng)理解上述變體中的若干變體也適用于圖2的實(shí)施例。這里�,步驟S100、S200����、S300、S400�、S700、S800和S900實(shí)質(zhì)上對(duì)應(yīng)于它們?cè)趫D1
中的對(duì)應(yīng)步驟��。根據(jù)圖2的實(shí)施例��,設(shè)備優(yōu)選地在實(shí)際嘗試與服務(wù)器的連接之前檢查每個(gè)文件的權(quán)限(步驟250)�。注意,并非必須在連接到服務(wù)器之前檢查權(quán)限�。然而,優(yōu)選地這樣做以便允許設(shè)備做出關(guān)于是否向PC暴露文件(和甚至是否列出文件的存在)的任何決定。然后����,設(shè)備嘗試連接到服務(wù)器,步驟S300�����。如果連接成功���,則如已經(jīng)參照?qǐng)D1描述的那樣����,設(shè)備基于從服務(wù)器接收到的權(quán)限數(shù)據(jù)來更新每個(gè)文件的使用權(quán)限�����,步驟400����。接下來�,設(shè)備可以繼續(xù)以在本地認(rèn)證用戶(例如,如原本已知的那樣�,通過要求用戶輸入PIN、使用智能卡等),步驟S500����。注意,如果用于連接到服務(wù)器的先前嘗試失敗���,則設(shè)備將如圖2中描繪的那樣直接提示用戶認(rèn)證她(他)自己��。在一種變體中���,設(shè)備可以在實(shí)際嘗試與服務(wù)器的連接之前要求用戶認(rèn)證。在另一變體中�����,可以請(qǐng)求用戶人工輸入解密密鑰���。有利地�����,可以在設(shè)備處根據(jù)近來在設(shè)備處更新的����、與文件相關(guān)聯(lián)的使用權(quán)限來指令(步驟S600)(例如,向用戶接口或者任何應(yīng)用)暴露文件����。附帶提一點(diǎn),是否暴露文件還應(yīng)當(dāng)依賴于用戶認(rèn)證的成功��。因而�����,如果對(duì)應(yīng)權(quán)限不允許暴露文件(例如���,沒有用于該文件的更多使用權(quán))��,則可以阻止文件被暴露�。因此��,即使在本地正確認(rèn)證了用戶��,用戶(或者外部應(yīng)用)仍然甚至不會(huì)“看見”處于危險(xiǎn)的文件�����,這進(jìn)一步減少誤用風(fēng)險(xiǎn)���。接下來的步驟描述了一種機(jī)制����,根據(jù)該機(jī)制來處理(步驟S800)對(duì)訪問存儲(chǔ)在設(shè)備上的文件的請(qǐng)求(S700)���,即基于更新的權(quán)限�����。在處理請(qǐng)求之后�,如果必要?jiǎng)t更新權(quán)限(步驟 S900)���。如更早描述的那樣���,除了單獨(dú)文件權(quán)限之外,與服務(wù)器建立的連接還可以允許從服務(wù)器向設(shè)備發(fā)送文件��、加密密鑰等�。如參照?qǐng)D1進(jìn)一步指出的那樣,可以涉及不同場(chǎng)景�����。I)在第一場(chǎng)景中,如更早所言�����,安全設(shè)備從服務(wù)器并且經(jīng)由主機(jī)(或者更確切地經(jīng)由主機(jī)所中繼的連接91)來接收文件��。
2)在第二場(chǎng)景中���,安全設(shè)備初始地從主機(jī)(即PC)接收文檔�,但是這獨(dú)立于服務(wù)器����。3)在第三場(chǎng)景中,安全設(shè)備可以從與通過其接收到權(quán)限的主機(jī)不同的終端并且可能在不同時(shí)間接收給定文件�����。這里����,該終端可以例如是PDA或者移動(dòng)電話?���?梢岳缤ㄟ^因特網(wǎng)查詢?cè)诮K端處初步下載的文檔�����。假如對(duì)象標(biāo)識(shí)符可用于該文檔并且數(shù)據(jù)權(quán)限使用兼容對(duì)象標(biāo)識(shí)符形式,那么仍然可以實(shí)施如更早描述的方法的核心步驟���。4)等等?���,F(xiàn)在將關(guān)于可以在設(shè)備處實(shí)施的��、用于保持和利用文件權(quán)限的數(shù)據(jù)結(jié)構(gòu)的示例進(jìn)行進(jìn)一步描述并且該描述將參照?qǐng)D4和圖5����。圖4和圖5中表示的分層圖形繪圖是可以在安全設(shè)備上存儲(chǔ)的用于實(shí)施本發(fā)明實(shí)施例的數(shù)據(jù)結(jié)構(gòu)的示意性表示。具體而言����,所描繪的數(shù)據(jù)結(jié)構(gòu)主要包括:-密鑰(用于加密/解密文件);O這里涉及唯一的密鑰“唯一密鑰”,該密鑰允許在加密狀態(tài)下存儲(chǔ)文件���。當(dāng)然����,這一密鑰無需對(duì)于整個(gè)設(shè)備都是唯一的。它也可以存在于文件或者目錄級(jí)���。一文件�;O包括文件#1至η ;-權(quán)限��,權(quán)限集合包括:O權(quán)限#1至η�����,即每個(gè)文件有一個(gè)權(quán)限或者甚至每個(gè)文件有一個(gè)權(quán)限子集���。具體而言����,如這里描繪的那樣�����,可以將權(quán)限集合U��,j�,k}與文件相關(guān)聯(lián)。這里簡(jiǎn)單線條代表數(shù)據(jù)結(jié)構(gòu)中的層級(jí)關(guān)系,而粗線條代表數(shù)據(jù)之間的功能關(guān)系�,例如使用“唯一密鑰”來加密并且允許基于“權(quán)限#1”來訪問“文件#1”,權(quán)限#1在這一示例中等于{4���,0�����,0}。權(quán)限集合可以由基數(shù)U���,j��,k��,...}構(gòu)成���,其中i, j,k����,...與相應(yīng)動(dòng)作關(guān)聯(lián),即每個(gè)數(shù)代表相應(yīng)應(yīng)用被允許訪問文件的次數(shù)��。例如,“權(quán)限#1”等于圖4中的{4���,0�,0}���,其中4�,0��,O例如分別與請(qǐng)求訪問文件#1的應(yīng)用關(guān)聯(lián):用于(I)在設(shè)備處顯示����;(2)在外部輸出設(shè)備處顯示;以及(3)在外部打印機(jī)處打印���。附帶提一點(diǎn)��,由于給定“權(quán)限#n”在這一示例中實(shí)際上由對(duì)應(yīng)集合U���,j,k}構(gòu)成�,所以與“權(quán)限#1”至“權(quán)限#n”對(duì)應(yīng)的層級(jí)水平是多余的。因此�����,圖4中描繪的數(shù)據(jù)結(jié)構(gòu)的示例顯然意味著用戶可能僅需要在設(shè)備處顯示文件#1并且僅顯示四次。在請(qǐng)求顯示文件#1(也就是圖1或者圖2中的步驟700)時(shí)�����,設(shè)備將通過以下操作處理請(qǐng)求:-批準(zhǔn)它(步驟800)��;-如果必要?jiǎng)t解密它(在這一示例中有必要使用唯一密鑰)��;并且-指令顯示文件#1��。另外��,設(shè)備應(yīng)當(dāng)在請(qǐng)求已經(jīng)被批準(zhǔn)時(shí)更新對(duì)應(yīng)權(quán)限(或者相應(yīng)地向服務(wù)器通知后續(xù)更新)��。如圖5中所見��,相應(yīng)地將權(quán)限集合改變成{3�����,0����,0}從而指示文件仍然可用于在設(shè)備處顯示,但是僅剩三次����。
在一種變體中,權(quán)限#n可以由集合It1, t2����,t3,...}構(gòu)成���,其中t1; t2��,t3...對(duì)應(yīng)于與文件#n并且與相應(yīng)應(yīng)用相關(guān)聯(lián)的生命期����。在另一變體中����,權(quán)限#n可以由集合abc構(gòu)成,其中a�、b或者c中的每一個(gè)可以是與UNIX權(quán)限相似的r、w����、x或者-(rwx指示用戶具有讀取��、寫入�、執(zhí)行權(quán)限�,一表示完全無權(quán)限)。注意���,如果權(quán)限僅由生命期或者r��、w����、x或者-權(quán)限構(gòu)成�����,則無需在設(shè)備處處理請(qǐng)求之后更新權(quán)限�。在這一情況下�����,設(shè)備在處理請(qǐng)求之前依賴于在服務(wù)器保持的以及從服務(wù)器發(fā)送的權(quán)限數(shù)據(jù)就足夠了����。在另一變體中���,權(quán)限#n可以由子集{{i, tj , {j, t2}, {k, t3},…}表示從而指示可以在設(shè)備處訪問文件#ni次以用于顯示并且僅持續(xù)時(shí)段& (或者直至日期^等。在這一情況下����,在處理請(qǐng)求之后,如果必要?jiǎng)t更新權(quán)限�。許多其他變體是可能的,例如混合事件�����、生命期和r�、w、X或者-權(quán)限?�,F(xiàn)在���,將描 述一個(gè)具體實(shí)施例�����,該具體實(shí)施例涉及上文已經(jīng)討論的多個(gè)特征并且解決在背景技術(shù)章節(jié)中討論的兩個(gè)主要問題�。這里��,安全設(shè)備配備有充足的閃速存儲(chǔ)器,從而它可以用作文檔存儲(chǔ)庫����,諸如通常的USB閃速驅(qū)動(dòng)器。潛在地��,可以與作為用戶證書存儲(chǔ)庫的智能卡一起使用的安全設(shè)備可以與其中安全地存儲(chǔ)了文檔的服務(wù)器建立相互認(rèn)證的TLS/SSL連接�。可以使用TLS/SSL連接安全地向安全設(shè)備傳輸加密的文檔并且在安全設(shè)備上存儲(chǔ)加密的文檔��。如更早指出的那樣����,安全設(shè)備是沒有如下客戶端接口的安全設(shè)備:這些客戶端接口用于軟件安裝或者將會(huì)使設(shè)備暴露于惡意件的其它功能。因此���,在向安全設(shè)備傳送并且在安全設(shè)備上存儲(chǔ)文檔之時(shí)不會(huì)暴露它���。解決更早描述的兩個(gè)主要問題如下:1.外部數(shù)據(jù)損失:由于加密了文檔并且通過在服務(wù)器與安全設(shè)備之間的直接TLS連接來傳輸文檔,所以沒有在向安全設(shè)備傳輸文檔時(shí)暴露該文檔的風(fēng)險(xiǎn)�。由于在安全設(shè)備上存儲(chǔ)文檔時(shí)及以后���,文檔被加密并且/或者攜帶用來解密文檔的密鑰的證書存儲(chǔ)庫受PIN保護(hù)����,所以僅正確的用戶才能夠通過安全設(shè)備的正常接口訪問文檔。由于存儲(chǔ)的文檔被加密�,所以對(duì)硬件的物理攻擊也不會(huì)暴露文檔。在從外部不可訪問的安全設(shè)備的內(nèi)部閃存中或者在智能卡上存儲(chǔ)加密密鑰���,這向文檔管理證書提供更高級(jí)別的保護(hù)�。2.雇員數(shù)據(jù)竊取:安全設(shè)備的認(rèn)證機(jī)制允許服務(wù)器來驗(yàn)證設(shè)備是真正的安全設(shè)備并且驗(yàn)證安全設(shè)備的用戶的身份���。服務(wù)器驅(qū)動(dòng)的應(yīng)用用來允許用戶對(duì)存儲(chǔ)在他的安全設(shè)備上的文檔進(jìn)行請(qǐng)求��。文檔可以源于用戶的PC或者服務(wù)器�����。由于已經(jīng)使用安全設(shè)備向服務(wù)器認(rèn)證了用戶�,所以服務(wù)器具有用于確定該用戶是否被允許向安全設(shè)備復(fù)制所請(qǐng)求的數(shù)據(jù)的充足信息���。另外�,服務(wù)器可以記錄所有這樣的請(qǐng)求用于審計(jì)的目的���。安全設(shè)備不提供用于用戶從PC直接在它上面存儲(chǔ)文件的接口����。以這一方式,服務(wù)器根據(jù)公司的策略來控制可以在設(shè)備上存儲(chǔ)哪些文檔�����。不能繞過該服務(wù)器/安全設(shè)備控制在設(shè)備上存儲(chǔ)任何文檔��。當(dāng)服務(wù)器向安全設(shè)備發(fā)送文檔時(shí)��,它也將發(fā)送關(guān)聯(lián)權(quán)限��,這些權(quán)限將控制用戶能夠如何訪問文檔(例如�����,是否和在哪些條件之下允許用戶從安全設(shè)備向他的PC導(dǎo)出文檔)�����。注意�,關(guān)于上述第二個(gè)問題,文檔可以源于服務(wù)器以及用戶的PC�。因此,提供的解決方案不僅是用于控制用戶可以向閃速驅(qū)動(dòng)器上復(fù)制哪些文檔的機(jī)制,它還向公司給予一種用于向認(rèn)證的用戶分發(fā)文檔的方式�,使得文檔絕不會(huì)不適當(dāng)?shù)乇┞督oPC����。除了上文提到的對(duì)文檔存儲(chǔ)和取回(解密)的服務(wù)器控制之外,安全設(shè)備本身也提供用于允許用戶以很細(xì)微粒度的方式��、即甚至在逐個(gè)文檔的基礎(chǔ)上��,請(qǐng)求訪問具體文檔的內(nèi)置能力��。用戶可以例如通過使用安全設(shè)備的內(nèi)置顯示器來瀏覽和選擇單個(gè)文件以請(qǐng)求解密和導(dǎo)出單個(gè)文件��,從而例如在安全設(shè)備已經(jīng)被連接到的打印機(jī)上打印它們���。在該情況下���,ZTIC可能離線(它優(yōu)選地連接到離線打印機(jī))。用于這樣做的基本權(quán)限必須在該操作之前由使用上文提到的應(yīng)用的服務(wù)器批準(zhǔn)并且存儲(chǔ)于安全設(shè)備上���。這樣的權(quán)限還可以由有限生命期擴(kuò)充以例如通過允許用戶對(duì)文檔的僅有限數(shù)目的本地解密來進(jìn)一步降低無意中暴露文檔的風(fēng)險(xiǎn)�。注意��,應(yīng)當(dāng)理解在本公開內(nèi)容中排除使用(USB之外的)備選通信協(xié)議用于加載和取回文檔或者文檔管理證書。具體而言�,應(yīng)當(dāng)注意安全設(shè)備可以使用無線接口,諸如藍(lán)牙以傳送用于打印的文檔或者使用GPRS網(wǎng)絡(luò)以請(qǐng)求和取回來自服務(wù)器應(yīng)用的文檔訪問證書����。另外,適當(dāng)配備的安全設(shè)備應(yīng)當(dāng)能夠接收服務(wù)器發(fā)起的文檔和/或證書去除命令而無任何用戶交互以便進(jìn)一步加強(qiáng)服務(wù)器對(duì)數(shù)據(jù)的控制��?����?梢杂酶呒?jí)(例如���,面向過程或者對(duì)象的)編程語言或者如果希望則用匯編或者機(jī)器語言實(shí)現(xiàn)用于實(shí)施上述發(fā)明的至少一些部分所需要的計(jì)算機(jī)程序代碼�;并且在任何情況下��,語言可以是編譯或者解譯語言�。適當(dāng)處理器包括通用和專用微處理器。注意����,可以在機(jī)器可讀存儲(chǔ)介質(zhì)中有形地實(shí)現(xiàn)的計(jì)算機(jī)程序產(chǎn)品上存儲(chǔ)設(shè)備、終端��、服務(wù)器或者接收者執(zhí)行的操作以用于由可編程處理器執(zhí)行;并且本發(fā)明的方法步驟可以由執(zhí)行指令的一個(gè)或者多個(gè)可編程處理器執(zhí)行以執(zhí)行本發(fā)明的功能�。在所有情況下,本發(fā)明可以不僅涵蓋安全設(shè)備而且涵蓋用以下各項(xiàng)中的一項(xiàng)或者多項(xiàng)擴(kuò)充的��、包括該設(shè)備的系統(tǒng)用于傳遞安全管理的文件的內(nèi)容的終端����、至少一個(gè)服務(wù)器或者任何適當(dāng)源和可能的附加設(shè)備���,諸如打印機(jī)或者投影機(jī)��。更一般而言�,可以在數(shù)字電子電路中或者在計(jì)算機(jī)硬件��、固件�����、軟件中或者在它們的組合中實(shí)施上述發(fā)明�����。一般而言����,處理器將從只讀存儲(chǔ)器和/或隨機(jī)存取存儲(chǔ)器接收指令和數(shù)據(jù)���。適合于有形地實(shí)現(xiàn)計(jì)算機(jī)程序指令和數(shù)據(jù)的存儲(chǔ)設(shè)備包括所有形式的非易失性存儲(chǔ)器,這些形式例如包括半導(dǎo)體存儲(chǔ)器設(shè)備���,諸如EPROM�、EEPR0M�、閃速存儲(chǔ)器或者其它形式。盡管已經(jīng)參照某些實(shí)施例描述了本發(fā)明�,但是本領(lǐng)域技術(shù)人員將理解可以進(jìn)行各種改變并且可以替換為等效實(shí)施例而不脫離本發(fā)明的范圍。此外�,可以進(jìn)行許多修改以使特定情形或者材料適應(yīng)本發(fā)明的教導(dǎo)而不脫離它的范圍。因此�����,旨在于本發(fā)明不限于所公開的具體實(shí)施例���,但是本發(fā)明將包括落入所附權(quán)利要求書的范圍內(nèi)的所有實(shí)施例�����。例如���,可以配置設(shè)備以諸如防止同時(shí)連接到主機(jī)和外部設(shè)備二者�����。該設(shè)備還可以被提供有電池或者由外部設(shè)備供電���。
權(quán)利要求
1.一種用于安全地管理文件的方法,包括以下步驟: -提供(SlOO)安全設(shè)備(10)���,其中所述安全設(shè)備: 通過防惡意軟件或者惡意件的設(shè)計(jì)被保護(hù),并且 適于經(jīng)由通過電信網(wǎng)絡(luò)連接到服務(wù)器(40)的主機(jī)來建立與所述服務(wù)器的連接��; -在接收到(S700-S800)對(duì)使用存儲(chǔ)在所述安全設(shè)備上的文件的請(qǐng)求時(shí)���,在所述安全設(shè)備處根據(jù)與所述文件相關(guān)聯(lián)的����、更新的使用權(quán)限來處理所述請(qǐng)求�, 其中通過以下操作來獲得所述更新的使用權(quán)限: -在所述安全設(shè)備處指令(S300)經(jīng)由所述主機(jī)在所述安全設(shè)備與所述服務(wù)器(40)之間建立連接(91);以及 -在所述設(shè)備處根據(jù)通過所建立的連接(91)從所述服務(wù)器發(fā)送的權(quán)限數(shù)據(jù)來更新(S400)與所述文件相關(guān)聯(lián)的使用權(quán)限。
2.根據(jù)權(quán)利要求1所述的方法�����,進(jìn)一步包括在所述設(shè)備處存儲(chǔ)所述文件的步驟,所述文件是通過在所述安全設(shè)備與所述服務(wù)器(40)之間建立的連接(91)從所述服務(wù)器發(fā)送的�。
3.根據(jù)權(quán)利要求1或者2所述的方法,在所述設(shè)備處接收到所述請(qǐng)求之后進(jìn)一步包括以下步驟: -在批準(zhǔn)在所述安全設(shè)備處接收到的所述請(qǐng)求后�,更新(S900)與所述文件相關(guān)聯(lián)的所述使用權(quán)限。
4.根據(jù)權(quán)利要求1�����、2或者3所述的方法����,在接收到對(duì)使用所述文件的所述請(qǐng)求之前并且在更新與所述文件相關(guān)聯(lián)的所述使用權(quán)限之后,進(jìn)一步包括以下步驟: 在所述安全設(shè)備處根據(jù)所述更新的使用權(quán)限來指令(S600)向用戶接口或者應(yīng)用暴露所述文件�。
5.根據(jù)權(quán)利要求1至4中的任一項(xiàng)權(quán)利要求所述的方法,其中經(jīng)由所述主機(jī)建立的連接(91)是安全連接�����,諸如SSL/TLS連接����。
6.根據(jù)權(quán)利要求1至5中的任一項(xiàng)權(quán)利要求所述的方法,其中存儲(chǔ)在所述設(shè)備上的所述文件根據(jù)給定加密方案被加密��,并且其中所述方法進(jìn)一步包括以下步驟: -在所述安全設(shè)備處接收用于解密所述文件的解密密鑰�,所述解密密鑰是通過在所述安全設(shè)備與所述服務(wù)器(40)之間建立的連接(91)從所述服務(wù)器發(fā)送的�����。
7.根據(jù)權(quán)利要求1至6中的任一項(xiàng)權(quán)利要求所述的方法���,進(jìn)一步包括在所述設(shè)備處使用加密密鑰來加密文件的步驟,所述加密密鑰存儲(chǔ)于所述設(shè)備的內(nèi)部存儲(chǔ)器或智能卡上����、或者由用戶在所述設(shè)備處輸入,其中所述內(nèi)部存儲(chǔ)器不可從外部訪問�����。
8.根據(jù)權(quán)利要求1至7中的任一項(xiàng)權(quán)利要求所述的方法�����,其中所述更新的使用權(quán)限包括被所述設(shè)備解譯以用于處理對(duì)使用所述文件的請(qǐng)求的參數(shù)����,所述參數(shù)限制對(duì)所述文件的訪問權(quán)��,諸如能夠訪問所關(guān)聯(lián)的文件的次數(shù)或者能夠訪問所關(guān)聯(lián)的文件的時(shí)間���。
9.根據(jù)前述權(quán)利要求中的任一項(xiàng)權(quán)利要求所述的方法����,其中在所述安全設(shè)備處保持的所述更新的使用權(quán)限分解成若干子權(quán)限,每個(gè)子權(quán)限與給定類型的請(qǐng)求相關(guān)聯(lián)���,例如對(duì)下述的請(qǐng)求: -在所述設(shè)備處讀?����?�;-在外部打印機(jī)處打?�?;或者-從外部設(shè)備讀取����,所述外部設(shè)備諸如是投影機(jī)。
10.根據(jù)權(quán)利要求3所述的方法��,其中在批準(zhǔn)所述請(qǐng)求后更新所述使用權(quán)限的所述步驟包括: -在所述設(shè)備處更新(S900)與所述文件相關(guān)聯(lián)的所述使用權(quán)限����。
11.根據(jù)權(quán)利要求3或者10所述的方法���,其中在批準(zhǔn)所述請(qǐng)求后更新所述使用權(quán)限的所述步驟包括: -通過在所述安全設(shè)備與所述服務(wù)器(40)之間建立的連接(91)向所述服務(wù)器發(fā)送與所處理的請(qǐng)求有關(guān)的數(shù)據(jù);以及 -在所述服務(wù)器處更新(S900)與所述文件相關(guān)聯(lián)的所述使用權(quán)限�。
12.根據(jù)前述權(quán)利要求中的任一項(xiàng)權(quán)利要求所述的方法,進(jìn)一步包括在所述服務(wù)器處記錄接收到的對(duì)使用所述文件的所述請(qǐng)求的步驟�����。
13.一種安全設(shè)備(10)��,通過防惡意軟件或者惡意件的設(shè)計(jì)被保護(hù)并且具有處理裝置(15)����、存儲(chǔ)器(15’�����,15”)和接口(17,18���,20)����,被配置以耦合到以下各項(xiàng)或者與以下各項(xiàng)交互: -用戶⑴���; -主機(jī),諸如個(gè)人計(jì)算機(jī)或者PC (30)�����,以及 -服務(wù)器(40)��, 所述安全設(shè)備適于在所述安全設(shè)備連接到主機(jī)(30)并且服務(wù)器(40)和所述主機(jī)通過電信網(wǎng)絡(luò)連接時(shí),經(jīng)由所述主機(jī)來建立與所述服務(wù)器的連接�����,諸如TLS/SSL連接���, 并且進(jìn)一步包括存儲(chǔ)在所述存儲(chǔ)器上并且可由所述處理裝置執(zhí)行的計(jì)算機(jī)化的方法�,以用于實(shí)施根據(jù)權(quán)利要求1至10中的任一項(xiàng)權(quán)利要求所述的步驟�。
14.一種系統(tǒng),包括: -根據(jù)權(quán)利要求13所述的安全設(shè)備(10); -個(gè)人計(jì)算機(jī)或者PC (30);以及 -服務(wù)器(40)����。
15.一種計(jì)算機(jī)程序介 質(zhì)���,包括可由處理裝置執(zhí)行以用于執(zhí)行根據(jù)權(quán)利要求1至10中的任一項(xiàng)權(quán)利要求所述的方法的所有所述步驟的指令���。
全文摘要
本發(fā)明主要地涉及一種用于安全地管理文件的方法����、安全設(shè)備和計(jì)算機(jī)程序產(chǎn)品����。該方法可以包括以下步驟-提供(S100)安全設(shè)備(10)�����,其中安全設(shè)備通過防惡意軟件或者惡意件的設(shè)計(jì)被保護(hù)并且適于經(jīng)由主機(jī)建立與服務(wù)器(40)的連接10���,該主機(jī)通過電信網(wǎng)絡(luò)連接到服務(wù)器;-在接收到(S700-S800)對(duì)使用存儲(chǔ)在安全設(shè)備上的文件的請(qǐng)求后����,在安全設(shè)備處根據(jù)與該文件相關(guān)聯(lián)的���、更新的使用權(quán)限來處理請(qǐng)求,15其中通過以下操作來獲得更新的使用權(quán)限-在安全設(shè)備處指令(S300)經(jīng)由主機(jī)在安全設(shè)備與服務(wù)器(40)之間建立連接(91)�����;并且-在設(shè)備處根據(jù)通過建立的連接(91)從服務(wù)器發(fā)送的權(quán)限數(shù)據(jù)來更新(S400)與文件相關(guān)聯(lián)的使用權(quán)限��。
文檔編號(hào)G06F21/62GK103080946SQ201180042945
公開日2013年5月1日 申請(qǐng)日期2011年8月8日 優(yōu)先權(quán)日2010年9月16日
發(fā)明者M·本特施, P·布萊爾, D·H·戴克曼, R·J·赫爾曼, F·赫林, M·P·凱珀, D·A·奧爾蒂斯-耶佩斯, T·D·韋戈德 申請(qǐng)人:國際商業(yè)機(jī)器公司