專利名稱:用于確定預定義數(shù)據(jù)是否被復制到客戶端機器的方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及用于確定預定義數(shù)據(jù)是否被復制到客戶端機器的方法和系統(tǒng)。
背景技術:
保護諸如財政�����、制造���、研究和開發(fā)�、產(chǎn)品��、客戶��、銷售和定價信息等的敏感信息是重要的商業(yè)目的。雇員通常在位于雇主所擁有的受保護建筑物中的辦公室工作時訪問敏感信息��。雇員在離開辦公室的時候���,諸如在商務出差或者因其它原因旅行或者在家工作時��,可能需要訪問敏感信息�����。如果當雇員位于受保護的公司建筑物之外時將敏感信息從公司服務器傳送到客戶端機器����,則存在敏感信息可能會丟失����、被非雇員看到或者以其它方式泄密的風險���。例如�,客戶端機器可能丟失或被盜�。
發(fā)明內(nèi)容
本發(fā)明提供一種用于確定預定義數(shù)據(jù)是否被復制到客戶端機器的方法、計算機程序產(chǎn)品和數(shù)據(jù)處理系統(tǒng)�����。接收來自客戶端機器的對預定義數(shù)據(jù)的請求。確定客戶端機器是否處在用于接收該預定義數(shù)據(jù)的可接受的位置��,即安全位置����。如果客戶端機器處在可接受的位置,則將所請求的預定義數(shù)據(jù)復制到客戶端機器�����,并且如果該客戶端機器處在不可接受的位置�����,則防止復制該預定義數(shù)據(jù)��。
圖1描述客戶端機器�����、服務器和通過主機定義的網(wǎng)絡的圖形表示��;圖2是定義了根據(jù)本發(fā)明第一實施例的由服務器使用來確定客戶端機器是否處在可接受的位置的算法的流程圖�;
圖3是示例性的跟蹤路由����;圖4是定義了根據(jù)本發(fā)明第二實施例的由服務器使用來確定客戶端機器是否處在可接受的位置的算法的流程圖����;圖5是示例性的跟蹤路由;圖6是定義了根據(jù)本發(fā)明第三實施例的由服務器使用來確定客戶端機器是否處在可接受的位置的算法的流程圖�;圖7是定義了根據(jù)本發(fā)明第四實施例的由服務器使用來確定客戶端機器是否處在可接受的位置的算法的流程圖。
具體實施例方式
本領域技術人員將明白�����,本發(fā)明可以具體實現(xiàn)為一種方法�����、系統(tǒng)或計算機程序產(chǎn)品���。因此���,本發(fā)明可以采用的形式有完全硬件實施例��、完全軟件實施例(包括固件����、駐留軟件��、微代碼等)或者結合軟件和硬件方面的實施例��,其可以在此處統(tǒng)稱為“電路”����、“模塊”或“系統(tǒng)”�。此外,本發(fā)明可以采用在計算機可用存儲介質上的計算機程序產(chǎn)品的形式����,其中在該介質中包含計算機可用程序代碼。
可以利用任何合適的計算機可用或計算機可讀介質��。計算機可用或計算機可讀介質可以是例如電子的�����、磁的���、光的�、電磁的���、紅外的或半導體系統(tǒng)��、裝置���、設備或傳播介質��,但不限于此�����。計算機可讀介質的更特定的例子(非窮舉列表)將包括以下具有一根或多根線的電連接���、便攜式計算機磁盤、硬盤�����、隨機存取存儲器(RAM)�、只讀存儲器(ROM)、可擦除可編程只讀存儲器(EPROM或閃存)����、光纖、便攜式致密盤只讀存儲器(CD-ROM)、光存儲設備�����、傳輸媒體(諸如支持因特網(wǎng)或內(nèi)聯(lián)網(wǎng)的傳輸媒體)����、或磁存儲設備����。注意,計算機可用或計算機可讀介質甚至可以是紙或在其上打印程序的其它適合的介質���,因為程序可以經(jīng)由例如對紙或其它介質的光掃描而被電捕獲��,如果需要��,接著可進行編譯��、解釋或者否則以合適的方式進行另外的處理�����,并且接著存儲在計算機存儲器中�。在本文檔的上下文中,計算機可用或計算機可讀介質可以是可以包含�����、存儲����、傳遞、傳播或傳送程序以由指令執(zhí)行系統(tǒng)����、裝置或設備使用或者結合指令執(zhí)行系統(tǒng)、裝置或設備使用的任何介質����。計算機可用介質可以包括這樣的傳播數(shù)據(jù)信號,無論是在基帶內(nèi)還是作為載波的一部分�����,該信號中包含計算機可用程序代碼���。計算機可用程序代碼可以使用任何合適的介質來傳輸�,其中合適的介質包括但不限于因特網(wǎng)���、有線線路��、光纖光纜�����、RF等���。
用于執(zhí)行本發(fā)明的操作的計算機程序代碼可以以面向對象的編程語言,諸如Java�、Smalltalk、C++等來編寫�����。然而�����,用于執(zhí)行本發(fā)明的操作的計算機程序代碼還可以以諸如“C”編程語言或類似編程語言的傳統(tǒng)程序編程語言來編寫��。程序代碼可以完全在用戶的計算機上執(zhí)行����、部分地在用戶的計算機上執(zhí)行��、作為單獨的軟件包來執(zhí)行�、部分地在用戶的計算機上執(zhí)行����、部分地在遠程計算機上執(zhí)行、完全在遠程計算機或服務器上執(zhí)行�����。在后一情形中���,遠程計算機可以通過局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)連接到用戶的計算機�,或者該連接可以連接到外部計算機(例如�,使用因特網(wǎng)服務供應商通過因特網(wǎng)連接)。
下面參考根據(jù)本發(fā)明實施例的方法����、裝置(系統(tǒng))和計算機程序產(chǎn)品的流程示和/或框圖來說明本發(fā)明。應該理解����,流程示和/或框圖的每個框以及流程示和/或框圖中的框的組合可以由計算機程序指令來實現(xiàn)?����?梢詫⑦@些計算機程序指令提供給通用計算機、專用計算機或其它可編程數(shù)據(jù)處理裝置的處理器以產(chǎn)生一種機器�����,使得該指令在經(jīng)由計算機或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時���,創(chuàng)建用于實現(xiàn)流程圖和/或框圖的一個或多個框中指定的功能/動作的裝置。
這些計算機程序指令還可以存儲在計算機可讀存儲器中�,其可以指示計算機或其它可編程數(shù)據(jù)處理裝置以特定的方式運行,從而存儲在計算機可讀存儲器中的指令產(chǎn)生一種制品�,其包括用于實現(xiàn)流程圖和/或框圖的一個或多個框中指定的功能/動作的裝置。
計算機程序指令還可以加載到計算機或其它可編程數(shù)據(jù)處理裝置上��,以使得在計算機或其它可編程裝置執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)過程��,使得在計算機或其它可編程裝置上執(zhí)行的指令提供用于實現(xiàn)流程圖和/或框圖的一個或多個框中指定的功能/動作的步驟�。
現(xiàn)在參考附圖,圖1描述客戶端機器110��、服務器120(此處也稱為系統(tǒng))和通過一個或多個主機135定義的因特網(wǎng)130的圖形表示����?����?蛻舳藱C器110可以包括諸如個人計算機或筆記本計算機之類的具有web瀏覽器的計算機�����,或者諸如個人數(shù)字助理(PDA)或無線(或蜂窩)電話之類的無線設備�。到因特網(wǎng)130的無線連接可以經(jīng)由紅外��、光或無線電連接來實現(xiàn)�。客戶端機器110可以運行文件傳輸協(xié)議客戶端軟件��。服務器120可以包括服務器計算機120A��,其運行例如文件傳輸協(xié)議服務器軟件����,并且存儲數(shù)據(jù)??蛻舳藱C器110可以發(fā)起與服務器120的連接,并且一旦連接后就可以請求來自服務器120的數(shù)據(jù)����。數(shù)據(jù)可以包括文本文檔�、圖����、照片等?����?梢灶A期����,服務器120可以替代地包括彼此耦合的多個服務器計算機。
在所圖示的實施例中��,服務器120為公司A所擁有���,并且在物理上位于公司A所擁有和控制的建筑物B內(nèi),參見圖1��。因此���,公司A能夠維護服務器120和存儲在服務器120內(nèi)的數(shù)據(jù)的安全�����。公司A可以包括任何營利的或非營利的組織�,包括具有一個或多個雇員的企業(yè)、醫(yī)院���、政府和大學����。
在所圖示的實施例中�,由服務器120所存儲和控制的數(shù)據(jù)的至少一部分可以包含“敏感信息”?��!懊舾行畔ⅰ笨梢园ü鞠MS持機密的信息�,諸如財政�����、制造�����、研發(fā)����、產(chǎn)品����、客戶�、銷售和/或定價信息等?!懊舾行畔ⅰ边€可以包括醫(yī)療、學術和/或稅務記錄/信息����。包含敏感信息的數(shù)據(jù)部分在此處也被稱為“預定義數(shù)據(jù)”。
雇員通常在位于公司A所擁有和控制的建筑物(諸如建筑物B�����,參見圖1)中的辦公室工作時訪問包括敏感信息的數(shù)據(jù)�。然而,雇員在商務出差或者因其它原因旅行或者在家工作時��,可能需要訪問包含敏感信息的數(shù)據(jù)����。在圖1中���,客戶端機器110被示為位于遠離公司A所擁有和控制的地產(chǎn)的地方��。當在辦公室之外工作的時候���,對客戶端機器110具有控制的雇員可能希望將包含敏感信息的數(shù)據(jù)下載到客戶端機器110�����。然而�,出于安全原因����,如果機器110位于不理想的或不可接受的地理位置,則公司A可能希望防止將包含敏感信息的數(shù)據(jù)復制(即下載)到客戶端機器110�。例如,公司A可確定如果機器110位于機場����,則不應該將包含敏感信息的文檔下載到客戶端機器110。然而�,如果機器110位于該機器110所分配給的雇員的家中,則公司A可允許將包含敏感信息的文檔下載到客戶端機器110��。
現(xiàn)在參考圖2���,提供了流程圖140�,該流程圖140定義了根據(jù)本發(fā)明第一實施例的由服務器120使用來確定客戶端機器110是否處在可接受的位置的算法。
在步驟142�,服務器120響應于接收到來自客戶端機器110的針對包括敏感信息的數(shù)據(jù)的請求,執(zhí)行TCP/IP網(wǎng)絡跟蹤路由命令���,以便確定信息包在從服務器120通過因特網(wǎng)130行進到客戶端機器110時所采用的路由�。如現(xiàn)有技術中所熟知的�����,從服務器120發(fā)送到客戶端機器110的文件可以以多個信息包的形式來發(fā)送����。信息包在從服務器120行進到客戶端機器110時跨一個或多個網(wǎng)絡行進。主機135(諸如路由器��、服務器等設備)被提供在沿路由的每對網(wǎng)絡之間�,并且用于在該對網(wǎng)絡之間傳送信息包,參見圖1�����。跟蹤路由定義了信息包在從服務器120行進到客戶端機器110時可以遍歷的主機135��。圖3示出了從Yahoo.com處的服務器到具有IP地址192.168.1.1的客戶端機器的示例性跟蹤路由T1���。
在步驟144��,服務器120確定信息包在從服務器120行進到客戶端機器110時可以遍歷的主機135的數(shù)目����。在步驟146���,服務器142確定跟蹤路由中包括初始服務器和客戶端機器在內(nèi)的主機的數(shù)目是否小于預定義數(shù)目�,例如20個主機��。如果是�,則服務器120確定客戶端機器110處在可接受的位置,參見步驟149��。在圖3示出的示例性跟蹤路由T1中�,主機的數(shù)目等于17,其包括在Yahoo.com處的服務器和在地址192.168.1.1處的客戶端機器����。因為示例性T1中的主機的數(shù)目小于20,所以由服務器120將所請求的包含敏感信息的數(shù)據(jù)下載到客戶端機器110�����。然而,如果服務器142確定主機的數(shù)目不小于預定義數(shù)目�����,則服務器142將該位置定義為不可接受��,參見步驟148����,并且不將所請求的包含敏感信息的數(shù)據(jù)下載到客戶端機器110。
現(xiàn)在參考圖4��,提供了流程圖150����,該流程圖150定義了根據(jù)本發(fā)明第二實施例的由服務器120使用來確定客戶端機器110是否處在可接受的位置的算法。
在步驟152����,服務器120響應于接收到來自客戶端機器110的針對包括敏感信息的數(shù)據(jù)的請求,執(zhí)行TCP/IP網(wǎng)絡跟蹤路由命令��,以便確定信息包在從服務器120通過因特網(wǎng)130行進到客戶端機器110時所采用的路由��。服務器120存儲這樣的列表,其標識被預定義為不安全的并且其可位于沿著服務器120與客戶端機器110之間的可能路由上的主機��。主機135可以由其IP地址或通過域名服務器映射到該IP地址的全稱域名來標識�����。在不安全主機列表上列出的每個不安全主機可以根據(jù)其IP地址��、其全稱域名或其全稱域名的任何部分(例如��,主機名或域名)來定義���。
在步驟154,服務器120確定沿跟蹤路由發(fā)現(xiàn)的任何主機135是否在定義為不安全的主機的列表上被列出��。如果是�����,則客戶端機器110的位置被發(fā)現(xiàn)是不可接受的����,參見步驟156。如果在定義為不安全的主機的列表上沒有發(fā)現(xiàn)沿著該跟蹤路由的主機135���,則服務器120確定客戶端機器110處在可接受的位置���,參見步驟158���。
出于說明的目的,假設具有對應域名“oar.net”的任何IP地址是不安全的����,并且因此被放置在定義為不安全的主機的列表上。另外�,定義為不安全的主機的列表可以包括由一排三個星號標識并且沒有相關聯(lián)的IP地址的任何主機。三個星號和沒有相關聯(lián)的IP地址可對應于沒有對跟蹤路由查詢進行響應的主機��。在圖5中列出的示例性跟蹤路由T2中��,4號主機具有域名“oar.net”���。因為在所說明的例子中�����,在定義為不安全的主機的列表上發(fā)現(xiàn)了域名“oar.net”�����,所以服務器120不將所請求的文檔下載到客戶端機器110�����。還應該注意�����,在圖5列出的跟蹤路由T2中�,7號主機由三個星號定義并且沒有相關聯(lián)的IP地址�。因此,出于該附加原因�,服務器120不將所請求的文檔下載到客戶端機器110。
現(xiàn)在參考圖6�����,提供了流程圖160���,該流程圖160定義了根據(jù)本發(fā)明第三實施例的由服務器120使用來確定客戶端機器110是否處在可接受的位置的算法����。
在步驟162��,服務器120響應于接收到來自客戶端機器110的針對包括敏感信息的數(shù)據(jù)的請求,執(zhí)行TCP/IP網(wǎng)絡跟蹤路由命令��,以便確定信息包在從服務器120通過因特網(wǎng)130行進到客戶端機器110時所采用的路由��。服務器120存儲這樣的列表��,其標識被預定義為可信的或安全的并且其可位于沿著服務器120與客戶端機器110之間的可能路由上的主機���。在可信主機的列表上列出的每個主機可以由其IP地址����、其全稱域名或其全稱域名的任何部分(例如��,主機名或域名)來定義���。
在步驟164�����,服務器120確定沿跟蹤路由發(fā)現(xiàn)的所有主機135是否都在定義為可信主機的主機列表上被發(fā)現(xiàn)����。如果是,則客戶端機器110的位置被發(fā)現(xiàn)是可接受的�����,參見步驟166����。如果在定義為可信的主機的列表上沒有發(fā)現(xiàn)沿著該跟蹤路由的單個主機135,則服務器120確定客戶端機器110處在不可接受的位置�,參見步驟168。
例如�,可信主機列表可以包括在跟蹤路由T2中發(fā)現(xiàn)的除了具有域名“oar.net”的主機之外的所有主機�����。因此�����,在該例子中����,因為在可信主機列表上沒有發(fā)現(xiàn)4號主機,所以服務器120不將所請求的文檔下載到客戶端機器110�。
現(xiàn)在參考圖7,提供了流程圖170,該流程圖170定義了根據(jù)本發(fā)明第四實施例的由服務器120使用來確定客戶端機器110是否處在可接受的位置的算法��。
服務器120存儲這樣的列表�,其標識對應于每個不安全的或不可接受的位置的IP地址、全稱域名或全稱域名的任何部分�。在步驟172,服務器120響應于接收到來自客戶端機器110的針對包括敏感信息的數(shù)據(jù)的請求��,確定分配給客戶端機器110的IP地址�����、全稱域名或全稱域名的有關部分是否在根據(jù)IP地址�、全稱域名或全稱域名的部分而定義的不可接受的位置的列表上。如果該列表根據(jù)全稱域名或全稱域名的一部分來定義�����,則服務器120可以采用其接收的客戶端機器110的IP地址����,并且在名稱服務器中查詢?nèi)Q域名或全稱域名的一部分。例如�,不可接受的位置的列表可以通過包括“.iq”的對應域名來定義。因此��,服務器120不會將包含敏感信息的數(shù)據(jù)下載到具有包括“.iq”的域名的客戶端機器110。還可以預期���,列表可以指示在IP地址的4個數(shù)字中的第一個數(shù)字中不包括“9”的所有IP地址是不安全的����。因此�����,在IP地址的4個數(shù)字中的第一個數(shù)字中包括“9”的任何IP地址(例如9.x.x.x)將被認為是可接受的和安全的��,即��,如果客戶端機器110具有包括9.x.x.x的IP地址�,則服務器120將把包含敏感信息的數(shù)據(jù)下載到該客戶端機器110�。還可以預期,不可接受的位置的列表可以根據(jù)對應的主機名來定義��。例如�����,列表可以指示具有包括“foobar”的對應主機名的任何位置是不安全的����。因此�����,具有全稱域名“foobar.ibm.com”的客戶端機器(其中主機名包括“foobar”并且域名包括“ibm.com”)將不能從服務器120接收包含敏感信息的數(shù)據(jù)���。
可以預期,可以定義兩組或更多組的安全位置���。例如���,公司A可以將第一組安全位置定義為對應于包含高級敏感信息的高級安全數(shù)據(jù),而將第二組安全位置定義為對應于包含中級敏感信息的中級安全數(shù)據(jù)����。因此,可接受的IP地址或全稱域名(即�,對應于可接受的位置)的第一列表可以被定義用于接收包括高級敏感信息的數(shù)據(jù),而可接受的IP地址或全稱域名(即����,對應于可接受的位置)的第二列表可以被定義用于接收包括中級敏感信息的數(shù)據(jù)。落在第一組中的安全位置可以包括公司A的高級職員的家�����。落在第二組中的安全位置可以包括公司A的中級管理人員的家以及高級職員的家。第二列表可以包括在第一列表中列出的所有IP地址或全稱域名�����。
作為替代���,在對于接收包含高級敏感信息的數(shù)據(jù)而言被認為是不可接受的主機的IP地址或全稱域名的列表上可以發(fā)現(xiàn)對應于中級管理人員的家的IP地址或全稱域名����。然而�����,在對于接收包括中級敏感信息的數(shù)據(jù)而言是不可接受的IP地址或全稱域名的列表上可以不會發(fā)現(xiàn)對應于高級職員和中級管理人員的家的IP地址或全稱域名���。
附圖中的流程圖和框圖說明了根據(jù)本發(fā)明的各個實施例的系統(tǒng)��、方法和計算機程序產(chǎn)品的體系結構、功能以及可能實現(xiàn)的操作���。在這方面�,流程圖或框圖的每個框可以表示模塊、段或代碼的一部分�����,其包括一個或多個用于實現(xiàn)指定邏輯功能的可執(zhí)行指令�����。還應該注意����,在某些替代實現(xiàn)中,框中標注的功能可以不以圖中標注的次序發(fā)生�����。例如����,順序示出的兩個框實際上可以基本同時執(zhí)行,或者有時多個框可以以相反的次序執(zhí)行���,這取決于所涉及的功能�����。還應該注意���,框圖和/或流程示的每個框以及框圖和/或流程示的框的組合可以由執(zhí)行指定功能或動作的專用的基于硬件的系統(tǒng)或者專用硬件和計算機指令的組合來實現(xiàn)����。
此處使用的術語僅出于描述具體實施例的目的���,并且并不旨在限制本發(fā)明�。如此處所用的��,單數(shù)形式“一”�、“一個”和“該”意在也包括復數(shù)形式,除非上下文中另外有明確的指示���。還應該理解����,術語“包括”和/或“包含”在本說明書中使用時指定所陳述的特征��、整體�����、步驟���、操作����、單元和/或組件的存在����,但是不排除一個或多個其它特征、整體���、步驟�����、操作��、單元���、組件和/或它們的組的存在或增加。
權利要求中的所有裝置或步驟加功能單元的對應的結構�、材料、動作和等同物旨在包括如特別主張那樣的用于執(zhí)行結合其它主張的單元的功能的任何結構���、材料或動作����。已經(jīng)出于說明和描述的目的給出了本發(fā)明的描述,但是其并不旨在窮舉或者將本發(fā)明限制在所公開的形式��。對于本領域普通技術人員而言����,在不背離本發(fā)明的范圍和精神的情況下,許多改進和變型是顯然的����。實施例的選擇和描述是為了最佳地解釋本發(fā)明的原理和實際應用,并且使得本領域普通技術人員能夠理解本發(fā)明的適于預期的具體使用的具有各種改進的各種實施例����。
已經(jīng)詳細地描述了本申請的發(fā)明并且參考本發(fā)明優(yōu)選實施例,顯然在不背離權利要求限定的本發(fā)明的范圍的情況下���,改進和變型都是可能的�����。
權利要求
1.一種用于確定由服務器控制的預定義數(shù)據(jù)是否被復制到客戶端機器的方法���,包括接收來自所述客戶端機器的對所述預定義數(shù)據(jù)的請求��;確定所述客戶端機器是否處在用來接收所述預定義數(shù)據(jù)的可接受的位置;以及如果所述客戶端機器處在可接受的位置�,則將所述所請求的預定義數(shù)據(jù)復制到所述客戶端機器,并且如果所述客戶端機器處在不可接受的位置�����,則防止將所述預定義數(shù)據(jù)復制到所述客戶端機器�。
2.根據(jù)權利要求1所述的方法,其中確定所述客戶端機器是否處在可接受的位置包括跟蹤信息包從所述服務器到達所述客戶端機器所采取的路由�����。
3.根據(jù)權利要求2所述的方法����,其中如果沿著所述服務器與所述客戶端機器之間的所述路由的主機的數(shù)目小于預定義數(shù)目,則確定所述客戶端機器處在可接受的位置�。
4.根據(jù)權利要求2所述的方法,進一步包括存儲標識每個能夠位于沿著所述服務器與所述客戶端機器之間的所述路由的不安全主機的列表�,并且其中如果在所述列表上沒有發(fā)現(xiàn)沿著所述路由的主機,則確定所述客戶端機器處在可接受的位置。
5.根據(jù)權利要求2所述的方法�����,進一步包括存儲標識每個能夠位于沿著所述服務器與所述客戶端機器之間的所述路由的可信主機的列表�����,并且其中如果在所述列表上發(fā)現(xiàn)沿著所述路由的所有主機���,則確定所述客戶端機器處在可接受的位置��。
6.根據(jù)權利要求1所述的方法�,進一步包括存儲包括對應于至少一個不安全位置的IP地址���、全稱域名和全稱域名的一部分中的至少之一的列表�����,并且其中所述確定所述客戶端機器是否處在可接受的位置包括確定所述客戶端機器的全稱域名�����、所述全稱域名的一部分�����、或者IP地址�����,并且將所述所確定的全稱域名�����、所述全稱域名的一部分����、或者IP地址與所述列表進行比較���,并且如果在所述列表上沒有發(fā)現(xiàn)所述客戶端機器的所述全稱域名����、所述全稱域名的一部分或者所述IP地址����,則確定所述客戶端機器處在可接受的位置。
7.根據(jù)權利要求1所述的方法���,其中所述預定義數(shù)據(jù)包括高級安全數(shù)據(jù)和中級安全數(shù)據(jù)中的一種�,并且所述確定所述客戶端機器是否處在可接受的位置包括定義對應于所述高級安全數(shù)據(jù)的第一組可接受的位置和對應于所述中級安全數(shù)據(jù)的第二組可接受的位置。
8.一種用于確定預定義數(shù)據(jù)是否被復制到客戶端機器的系統(tǒng)���,包括用于接收來自所述客戶端機器的對所述預定義數(shù)據(jù)的請求的模塊�����;用于確定所述客戶端機器是否處在用來接收所述預定義數(shù)據(jù)的可接受的位置的模塊���;以及用于在所述客戶端機器處在可接受的位置的情況下將所述所請求的預定義數(shù)據(jù)復制到所述客戶端機器,以及在所述客戶端機器處在不可接受的位置的情況下防止將所述預定義數(shù)據(jù)復制到所述客戶端機器的模塊�����。
9.根據(jù)權利要求8所述的系統(tǒng)�����,其中所述用于確定所述客戶端機器是否處在可接受的位置的模塊跟蹤信息包從所述系統(tǒng)到達所述客戶端機器所采取的路由���。
10.根據(jù)權利要求9所述的系統(tǒng)�����,其中所述用于確定所述客戶端機器是否處在可接受的位置的模塊在沿著所述系統(tǒng)與所述客戶端機器之間的所述路由的主機的數(shù)目小于預定義數(shù)目的情況下確定所述客戶端機器處在可接受的位置����。
11.根據(jù)權利要求9所述的系統(tǒng),進一步包括用于存儲標識每個能夠位于沿著所述系統(tǒng)與所述客戶端機器之間的所述路由的不安全主機的列表的模塊�,并且其中所述用于確定所述客戶端機器是否處在可接受的位置的模塊在所述列表上沒有發(fā)現(xiàn)沿著所述路由的主機的情況下確定所述客戶端機器處在可接受的位置。
12.根據(jù)權利要求9所述的系統(tǒng)�����,進一步包括用于存儲包含每個能夠位于沿著所述系統(tǒng)與所述客戶端機器之間的所述路由的可信主機的列表的模塊��,并且其中所述用于確定所述客戶端機器是否處在可接受的位置的模塊在所述列表上發(fā)現(xiàn)沿著所述路由的所有主機的情況下確定所述客戶端機器處在可接受的位置���。
13.根據(jù)權利要求8所述的系統(tǒng),進一步包括用于存儲包括對應于至少一個不安全位置的IP地址�����、全稱域名和全稱域名的一部分中的至少之一的列表的模塊���,并且其中所述用于確定所述客戶端機器是否處在可接受的位置的模塊確定所述客戶端機器的所述全稱域名���、所述全稱域名的一部分���、或者IP地址,并且將所述所確定的全稱域名���、所述全稱域名的一部分�����、或者IP地址與所述列表進行比較���,并且在所述列表上沒有發(fā)現(xiàn)所述客戶端機器的所述全稱域名、所述全稱域名的一部分或者所述IP地址的情況下確定所述客戶端機器處在可接受的位置��。
14.根據(jù)權利要求8所述的系統(tǒng)����,其中所述預定義數(shù)據(jù)包括高級安全數(shù)據(jù)和中級安全數(shù)據(jù)中的一種,并且所述用于確定所述客戶端機器是否處在用于接收所述預定義數(shù)據(jù)的可接受的位置的模塊定義對應于所述高級安全數(shù)據(jù)的第一組可接受的位置和對應于所述中級安全數(shù)據(jù)的第二組可接受的位置����。
全文摘要
接收來自客戶端機器的對預定義數(shù)據(jù)的請求。確定客戶端機器是否處在用于接收該預定義數(shù)據(jù)的可接受的位置����。如果該客戶端機器處在可接受的位置�,則將所請求的預定義數(shù)據(jù)復制到該客戶端機器�,并且如果該客戶端機器處在不可接受的位置,則防止復制該預定義數(shù)據(jù)����。
文檔編號H04L29/06GK101067838SQ20071010471
公開日2007年11月7日 申請日期2007年4月25日 優(yōu)先權日2006年5月2日
發(fā)明者A·沙克拉, D·M·奧格爾, D·卡明斯基 申請人:國際商業(yè)機器公司