專利名稱:用于安全地管理對文件系統(tǒng)的用戶訪問的方法����、安全設備����、系統(tǒng)和計算機程序產(chǎn)品的制作方法
技術(shù)領域:
本發(fā)明涉及一種使用用于安全地管理文件系統(tǒng)的用戶訪問的安全設備的方法。特別地��,它涉及使用一種安全設備的方法,該安全設備由反惡意軟件或流氓軟件的設計保護��,并且適于與服務器建立連接����,例如SSL/TLS連接等安全連接。另外����,本發(fā)明涉及此類設備,以及包括這種設備的系統(tǒng)或用于實現(xiàn)所述方法和對應的服務器組件的計算機程序介質(zhì)�。
背景技術(shù):
PC的安全問題使它們不適合很多功能,因為用戶輸入的數(shù)據(jù)可以被攻擊者操作或拷貝����。例如,交易可以被改變以將錢發(fā)送給不想要的接收者或者訂購不想要的貨物���,或者用戶憑證可被拷貝�,為攻擊者提供對系統(tǒng)的訪問�����,例如用于網(wǎng)銀的證書�。為了解決這些問題中的一些,可以與PC —起使用用戶安全設備(也是“可信設備”)����。一個這種解決方案,IBM區(qū)域可信信息通道(參見Thomas Weigold, ThorstenKramp, Reto Hermann, Frank Horing, Peter BuhIer, Michael Baentsch, “The ZurichTrusted Information Channel-An Efficient Defence against Man-1n—the—Middleand Malicious Software Attacks����,,���,In P.Lipp, A.-R.Sadeghi, and K.-M.Koch (Eds.):TRUST2008����,LNCS4968���,pp.75-91,2008)在服務提供者(例如銀行)執(zhí)行交易之前允許用戶驗證與交易相關聯(lián)的信息(即在網(wǎng)銀的情況下�����,數(shù)量和接收者)�。交易在設備上被驗證���,該設備是安全的并且可以以安全方式向后端系統(tǒng)發(fā)送被驗證的信息���。此外�����,考慮到低成本�����、高容量USB閃存驅(qū)動的可用性�����,安全文件管理以成為任何IT組織關注的領域��。存在兩個顯著的問題:1.外部數(shù)據(jù)丟失:在設備例如USB閃存驅(qū)動上���,大量敏感數(shù)據(jù)可以被容易地存儲和傳輸。這種設備的丟失會造成公司的法律或財務的展露�����。2.雇員數(shù)據(jù)盜竊:敏感數(shù)據(jù)可以容易地被具有通過PC訪問的雇員盜竊����。對于第一個問題的解決方案現(xiàn)在出現(xiàn)在市場上����。例如�����,USB驅(qū)動上的數(shù)據(jù)可以被加密并且周密碼保護��。類似于其他IT系統(tǒng)�����,如果輸入錯誤的密碼多于指定的次數(shù)�����,則設備鎖定��,從而使數(shù)據(jù)不可訪問��。第二個問題可被解決通過在公司中禁用用于大容量存儲設備的USB端口�。遺憾的是�,這種解決方案也阻止了移動存儲設備的合法的和有用的應用。另一方法是在用戶的PC上使用監(jiān)控軟件以便檢測和防止違反給定策略的數(shù)據(jù)拷貝�����。但是這種軟件解決方案僅和系統(tǒng)以及用于實現(xiàn)它的應用軟件一樣安全,即�,如果存在確定的攻擊者,它們不能解決這個問題�。一個相關的挑戰(zhàn)是敏感文檔的安全分布。文檔可以在分布之前被加密�,這在文檔傳輸時保護了文檔,并且一旦它被存儲在用戶的PC上�����,假設它以加密的形式被存儲��。但是��,一旦文檔被解密�,例如,為了觀看����,它被展露,因此有風險���。在公司里����,風險被用于處理(例如觀看或打印)文檔的公司的IT基礎設施的總體安全限制。但是�����,當這種文檔在公司之外被解密時����,例如�,在有互聯(lián)網(wǎng)連接的PC上,或者當公司PC的安全被損害時���,這種文檔再次被展露����。需要改進當前用于敏感文檔的安全分布的方法�����,并且更一般地����,用于安全地管理用戶對文件的訪問����。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一個方面���,提供了一種用于安全地管理文件系統(tǒng)用戶訪問的方法��,包括步驟:提供安全設備�����,后者由反惡意軟件或流氓軟件的設計加以保護��,并且適于通過電信網(wǎng)絡建立與服務器的連接�����;優(yōu)選地通過連接到所述服務器的主機在所述安全設備與所述服務器之間建立連接���;通過所述建立的連接在所述安全設備接收標識優(yōu)選地至少部分存儲在所述安全設備之外的文件的、與文件系統(tǒng)有關的數(shù)據(jù)�����;基于從所述服務器接收的數(shù)據(jù)在所述安全設備將所述文件系統(tǒng)展露給用戶��,所述文件系統(tǒng)可由用戶導航。在實施方式中���,所述方法和包括下列特征中的一個或多個:-本發(fā)明的方法還包括步驟:在所述設備接收針對訪問標識在展露的文件系統(tǒng)中并且存儲在所述安全設備之外的外部文件的請求之后����,通過建立在所述安全設備和所述服務器之間的連接���,在所述安全設備接收所述外部文件��,用于后來存儲在所述安全設備上;-本發(fā)明的方法還包括步驟:通過所述建立的連接��,在所述安全設備接收標識優(yōu)選地部分存儲在所述安全設備之外的文件的�、與更新的文件系統(tǒng)有關的更新的數(shù)據(jù);在所述安全設備將所述更新的文件系統(tǒng)展露給用戶���,基于從所述服務器接收的更新的數(shù)據(jù)�,所述更新的文件系統(tǒng)可被用戶導航��,其中�����,存儲在所述安全設備的存儲器上的、在先前展露的文件系統(tǒng)中被標識并且在更新的文件系統(tǒng)中未被標識的文本優(yōu)選地從所述安全設備的存儲器被移除����;-在所述安全設備接收的與文件系統(tǒng)有關的數(shù)據(jù)和對應的文件系統(tǒng)是特定于用戶的;-接收數(shù)據(jù)的步驟還包括接收對應于在所述對應的文件系統(tǒng)中標識的一個或多個文件的數(shù)據(jù)�����;-在所述安全設備展露的文件系統(tǒng)中標識的文件被存儲在若干服務器上����,展露的所述文件系統(tǒng)可由用戶無縫地導航;-本發(fā)明的方法還包括步驟:在接收針對使用在所述展露的文件系統(tǒng)中標識并存儲在所述安全設備上的內(nèi)部文件的請求之后����,在所述安全設備根據(jù)與所述的內(nèi)部文件相關的更新的使用許可處理所述用戶請求,其中通過基于通過在所述安全設備和所述服務器之間建立的連接從所述服務器發(fā)送的許可數(shù)據(jù)來更新用戶許可���,在所述安全設備獲得所述更新的使用許可���;-本發(fā)明的方法還包括步驟:在接收針對使用所述內(nèi)部文件的請求之后,在批準用于使用所述內(nèi)部文件的請求時��,更新與所述內(nèi)部文件相關的使用許可;-在所述安全設備執(zhí)行更新與所述內(nèi)部文件相關的使用許可���;-本發(fā)明的方法還包括步驟:在更新與所述內(nèi)部文件相關的使用許可之后�����,根據(jù)所述更新的使用許可在所述安全設備命令向用戶接口或應用展露所述內(nèi)部文件���;-更新的使用許可包括參數(shù),例如相關的文件可被訪問的次數(shù)或者它可被訪問的時間段�,當被處理針對使用文件的請求的設備解釋時,該參數(shù)限制對文件的訪問權(quán)限�;以及-建立在所述安全設備和所述服務器之間的連接是安全連接,例如SSL/TLS連接�。根據(jù)另一方面,本發(fā)明實現(xiàn)為一種安全設備����,由反惡意軟件或流氓軟件的設計保護并且具有處理裝置���,存儲器和接口����,配置用于耦合到或與下列交互:用戶;一個或多個服務器��,以及優(yōu)選地主機���,例如個人計算機或PC���,所述安全設備適于建立連接例如與服務器的TLS/SSL連接,優(yōu)選地通過主機�,當所述安全設備通過電信網(wǎng)絡連接到所述服務器,并且還包括存儲在所述存儲器上的并且被所述處理裝置執(zhí)行用于實現(xiàn)本發(fā)明的方法的步驟的計算機化的方法����。根據(jù)又一方面,本發(fā)明實現(xiàn)為一種系統(tǒng)�,包括:根據(jù)本發(fā)明的所述安全設備;個人計算機或PC �����;以及一個或多個服務器��。根據(jù)最后一方面�����,本發(fā)明實現(xiàn)為一種計算機程序介質(zhì),包括處理裝置可執(zhí)行用于執(zhí)行根據(jù)本發(fā)明的方法的所有步驟的指令?����,F(xiàn)在將通過非限制的示例并參考
實現(xiàn)本發(fā)明的方法��、設備和系統(tǒng)�����。
圖1所示為根據(jù)本發(fā)明的方法的一般實施方式的步驟的流程圖���;圖2所示為根據(jù)另一更詳細的實施方式的方法的步驟的流程圖����;圖3是根據(jù)本發(fā)明的實施方式布置的耦合到終端和服務器��,并且允許安全地管理文件使用的安全設備的示意圖�����;以及圖4和圖5示意地示出根據(jù)本發(fā)明的實施方式保持在設備中示出使用許可和對應文件之間的相互關系的數(shù)據(jù)結(jié)構(gòu)的示例�����。圖4和圖5分別示出在設備上更新使用許可之前和之后的這種數(shù)據(jù)結(jié)構(gòu)�。
具體實施例方式作為對下列說明的引言,首先指出本發(fā)明的一般方面涉及虛擬文件系統(tǒng)的用戶訪問的安全管理�。所述方法使用用戶安全(或信任的)設備,例如USB閃存驅(qū)動�����。后者則由反惡意軟件或流氓軟件的設計保護。它還適于建立到服務器的連接,例如���,SSL/TLS連接,并且優(yōu)選地通過連接到所述服務器的主機(并且這個,通過網(wǎng)絡����,例如因特網(wǎng))����。所述安全設備可以相應地接收與文件系統(tǒng)有關的數(shù)據(jù)(類似文件樹)。所述文件系統(tǒng)標識文件���,其中的某些文件實際存儲在安全設備之外����,因此定義了虛擬文件系統(tǒng)。接下來����,設備基于收到的數(shù)據(jù)對用戶展露文件系統(tǒng)。文件系統(tǒng)以用戶可導航的形式展露�,即,用戶可以請求訪問在文件系統(tǒng)中被標識的文件��。因為文件系統(tǒng)源于服務器并且從安全設備導航����,相應地獲得一種方法,其允許安全地管理用戶對虛擬文件系統(tǒng)的訪問��。特別地����,文件系統(tǒng)可以是特定于用戶的或根據(jù)服務器策略被更新,因而改進了安全���。對應的文件可從例如服務器和文件系統(tǒng)獲得���,例如,如果文件的所需版本不是已經(jīng)存儲在設備上����。因此,存儲在設備之外的文件可根據(jù)用戶請求被取回����,通過與服務器建立的連接。這樣����,安全設備有效地成為安全高速緩存用于服務器的,其內(nèi)容可響應于用戶交互或服務器決策而改變����。有利地,當接收用于使用存儲在設備上的文件的請求時�,設備可以根據(jù)與文件相關的使用許可來處理該請求。這里���,“處理”這種請求典型地意味著:如果可能(基于使用許可)�����,則批準該請求并且采取步驟執(zhí)行該請求(例如����,如果文件以加密狀態(tài)存儲,則開始于對文件進行解密)����。接下來使用許可被更新,如果需要(即���,依據(jù)所涉及的許可類型以及請求是否已被許可)����?�;趶姆掌靼l(fā)送的數(shù)據(jù)�����,在第一位置獲得用于處理請求的許可�����。因此��,當接收到使用文件(即����,訪問請求����,例如�,觀看或打印文件)的請求時���,設備能過根據(jù)對應許可的已更新狀態(tài)(盡可能)來處理請求�,例如��,根據(jù)給定的服務器(即�,公司)策略。因此��,可以限制對通過虛擬文件系統(tǒng)而可用的文件的使用���。更具體地�,圖1示出方法的一般實施方式的流程圖��。圖3是通過網(wǎng)絡耦合到終端和服務器的安全設備的示例的示意圖��。同時參考圖1和圖3:本發(fā)明首先且最重要地依賴于安全設備10(步驟S100)����。如所述����,后者由反惡意軟件或流氓軟件的設計保護��。例如�,安全設備可以不具有用于軟件安裝的某些客戶端接口或者將把它暴露給惡意軟件的其他功能。但是����,設備通常具有簡單的用戶輸入和輸出能力,以用于錄入和查看用戶安全元素�,例如PIN或智能卡。設備適于與服務器和/或任何適當?shù)脑?0建立連接91�,例如,相互認證連接之類的安全連接���。安全設備可以具有不經(jīng)過主機而自己直接與服務器通信的能力���。在這種情況下,設備可以具有內(nèi)置的WLAN或GSM適配器��。然而�����,在優(yōu)選實施方式中,設備通過因特網(wǎng)之類的電信網(wǎng)絡35的主機30連接到服務器�,該解決方案在人體工程學方面對于用戶而言可能更為方便。主機優(yōu)選地是連接到網(wǎng)絡的PC���。終端也可以是任何其他合適的源���,例如個人數(shù)字助理或PDA或移動電話��。與服務器的合適類型的安全連接例如是TLS/SSL連接�����。除此之外���,安全設備具有存儲在其存儲器中的計算機化的方法����,以用于執(zhí)行此后的方法的步驟����。此設備的優(yōu)選特征示出在圖3中。典型地,安全設備10具有耦合到存儲器的處理裝置(或計算裝置)15�,其通常包括持久和非持久的存儲器15’和15”。持久存儲器例如存儲將由處理裝置執(zhí)行的上述計算機化方法���。此外��,設備還具有至少一個接口 20�����,例如USB接口���,用于與網(wǎng)絡35的主機(例如,PC30)通信��。在實施方式中��,同一接口 20 (或另一類型的接口)應當進一步允許安全設備與諸如投影機��、打印機��、安全PC(例如����,僅用于觀看敏感材料且從不連接到網(wǎng)絡)或任何其他輸出設備(未不出)的外部設備通信�����。如果必要��,安全設備具有讀卡器17�����,用以讀取存儲在外部安全或存儲卡16 (例如����,智能卡)上的用戶證書���。可以對例如存儲在卡上的用戶證書的此類數(shù)據(jù)進行安全的適當使用���。特別地�����,使用這種數(shù)據(jù)����,可以通過終端30在用戶I (或者更確切地說,設備10)與第三方(例如�����,服務器40)之間建立可信連接���。在變形中����,用戶證書可以直接存儲于安全設備的持久存儲器�。其他接口(類似,控制按鈕18和顯示器12)允許與用戶的直接交互���。在實踐中�,第一步驟(步驟S200)用于將安全設備10連接到網(wǎng)絡35的適當主機30���。為方便說明����,此后認為主機是可通過因特網(wǎng)35連接到服務器40的PC��。設備10繼而可以調(diào)用存儲在其上的計算機化方法來觸發(fā)與服務器40的可信連接�,步驟S300�。例如����,它可以經(jīng)由終端30通過非安全連接92而與服務器建立安全通信91 (例如,在解鎖卡時)�����。
優(yōu)選地��,設備在通過非安全連接92發(fā)起通信91的同時��,使用存儲在卡或安全設備的內(nèi)部存儲器上的用戶證書向服務器進行認證�����,例如�,通過發(fā)起對服務器的SSL/TLS認證���。在此方面���,設置與服務器通信的設備可以有利地包括從設備啟動駐留于終端處的代理客戶,以便該設備經(jīng)由終端而連接到服務器(注意����,代理也可能駐留在設備上���,在這種情況下它可被拷貝到主機PC30以便執(zhí)行)。代理將從設備接收的比特轉(zhuǎn)發(fā)到因特網(wǎng)����,反之亦然?�?梢酝ㄟ^從設備發(fā)起向服務器的SSL/TLS認證而例如雙向地實現(xiàn)設備向服務器的認征����。在此方面,存儲器15’還可能已經(jīng)在其上存儲了安全軟件堆���,包括加密算法�,例如用于SSL/TLS認證的TLS引擎14�。它還可存儲USB管理軟件(實現(xiàn)USB大容量存儲設備或MSD簡檔20),并且可能存儲有如上所述的預加載的網(wǎng)絡代理�。如所述���,用戶證書可存儲在外部安全卡上(例如�,智能卡16)����,諸如支持TLS客戶端認證的客戶端-服務器證書(例如X.509)。智能卡可保存敏感的個人信息并且具有加密手段��。在變形中��,卡不能加密但是被用于對敏感操作(如果有的話)進行簽字���。在其他變形中����,卡用于加密和對操作進行簽字二者����。設備優(yōu)選地配備有標準智能卡讀卡器17。最后����,設備具有控制按鈕18 (例如���,確定����、取消等選擇器)以及用于顯示信息的顯示器12。它還可以具有用于輸入PIN數(shù)據(jù)的裝置(例如����,按鈕、轉(zhuǎn)輪��、PIN小鍵盤/鍵盤等)��。因此�����,在一個實施方式中����,SSL/TLS信道被建立在服務器和設備之間(步驟S300)。雖然可以更一般地考慮其他類型的安全連接��,但是下文假設相互認證的連接��,例如SSL/TLS連接。在后續(xù)步驟S350中��,與虛擬文件系統(tǒng)有關的數(shù)據(jù)通過建立的連接從服務器被發(fā)送��,例如通過如上所述的已建立的相互認證的連接91���。數(shù)據(jù)在設備被接收���。對應的文件系統(tǒng)標識各種文件,包括存儲在安全設備以外的文件�。文件系統(tǒng)數(shù)據(jù)例如可以包括對象標識符(或文件標識符)和表示文件之間關系(例如,等級關系)的數(shù)據(jù)����,以便使安全設備隨后能夠借助于其操作系統(tǒng)(本身是已知的)來重建(rebuilt)用戶可導航的文件系統(tǒng)。注意���,文件系統(tǒng)被說成是“虛擬”的是因為某些文件駐留在安全設備以外���。在步驟S600,設備繼而可以相應地以適合用戶導航的形式展露虛擬文件系統(tǒng)�,例如通過使用設備內(nèi)置的顯示器和按鈕。因此����,允許用戶在虛擬文件系統(tǒng)的文件中導航并且可能選擇其中之一�����,從而以某種方式請求訪問該文件(如一般地由文件系統(tǒng)導航所知)。優(yōu)選地�,在步驟S350,許可數(shù)據(jù)與文件系統(tǒng)數(shù)據(jù)一起被發(fā)送并且在設備處被接收�����。然而在變形中��,此類許可數(shù)據(jù)可以在之前或之后被發(fā)送�����,或是借助于任何合適的算法而對安全設備可用�。它們表示與一個或多個文件相關的使用許可。對應文件中的某些文件的內(nèi)容可以一起發(fā)送�。但是文件系統(tǒng)、文件和許可數(shù)據(jù)可以在不同時間被發(fā)送�����。因此,某些文件在某個點被存儲在設備上(例如���,他們被較早發(fā)送或從獨立源獲得�,例如����,從智能卡或通過內(nèi)置按鈕手工輸入),而某些文件則可以在稍后階段獲得(如果必要的話)���。許可數(shù)據(jù)例如也可以包括對象標識符�,以及根據(jù)使用權(quán)限的對應信息�����。因為某些文件可以存儲在安全設備以外����,因此不是所有對象標識符都需要對應于存儲在安全設備上的對象。當被查詢時��,設備能夠獲知什么使用許可與什么文件相關(在該方面����,可以使用唯一的標識符形式體系)����。實施方式接下來假設使用與虛擬文件系統(tǒng)的部分或全部文件相關的許可數(shù)據(jù)���,雖然這種許可數(shù)據(jù)并非強制用于實現(xiàn)本發(fā)明的所有實施方式���。而且��,為了下文描述����,一個假設是:至少一個文件在某個點被存儲在安全設備上,并且在設備處接收到的許可數(shù)據(jù)包含與該文件有關的數(shù)據(jù)�。許可數(shù)據(jù)例如可以包括與文件標識符相關的至少一個基數(shù)(cardinality) 0可以涉及更多基數(shù),每個基數(shù)與一類動作相關聯(lián)��。稍后將參考圖4和圖5詳述��。在圖1的實施方式中���,文件系統(tǒng)數(shù)據(jù)���、文件數(shù)據(jù)和接收的許可數(shù)據(jù)存儲在設備的存儲器上(未必一定是其持久存儲器)��。接收的數(shù)據(jù)例如可以替代舊數(shù)據(jù)而被存儲�。接收的數(shù)據(jù)也可以是增量文件���,其指示相對于舊數(shù)據(jù)的改變�����;設備繼而適當?shù)馗聰?shù)據(jù)���。但是,以一種方式或另一種方式��,(在步驟S400)使設備認識到與虛擬文件系統(tǒng)相關的已更新數(shù)據(jù)�、許可、以及被存儲或?qū)⒋鎯υ谄渖系南鄳募?�。設備相應地保存虛擬文件系統(tǒng)的有關數(shù)據(jù)����。對數(shù)據(jù)進行更新本身通常是已知的。接下來���,當接收到用于訪問文件的請求時�,設備可以根據(jù)服務器策略、文件系統(tǒng)或文件自身(存儲或不存儲在設備上)和/或與該文件或包含該文件的目錄相關聯(lián)的使用許可的當前狀態(tài)���,來處理所述請求(步驟S700)���。實際上,目錄列出了在邏輯上被包含于其中的文件的名稱��。有利地���,可以依賴于針對這種目錄的使用許可,這將從根本上導致限制它們所包含的文件的可見性����,即,使得具有不充分使用許可的目錄中的文件不僅不可訪問�����,而且對于PC以及因此任何可能的惡意軟件而言都是不可見的�����。注意��,在圖1實施方式的變形中,設備將在接收到使用文件的請求時嘗試連接到服務器�,使得步驟S200-S400實際上可以在接收到使用文件的用戶請求之后被執(zhí)行,例如通過內(nèi)置按鈕���。在所有情況下�,在接收到使用文件的請求時����,安全設備將根據(jù)文件系統(tǒng)、文件和/或可用使用許可的最近版本來處理該請求�����。為描述之目的可以假設:所述數(shù)據(jù)的某些版本(理想地���,是最新版本)是通過連接到服務器并從其獲得有關數(shù)據(jù)而被獲得�。接下來����,考慮請求的類型:訪問文件的請求例如可以僅僅是觀看文件內(nèi)容的請求。其他請求還可以隱含打印文件��、執(zhí)行文件���,等等����。稍后將給出示例。兩種情況要加以區(qū)分��。在第一種情況下��,步驟S850-S950����,用戶所選擇的文件沒有存儲在設備上(即,夕卜部文件)����。這里��,設備將通過與服務器40建立的連接91接收外部文件(步驟S850)����。優(yōu)選地,設備命令取回外部文件����。步驟S950����,文件接下來可被存儲在安全設備上���?��?梢愿鶕?jù)服務器策略決定是否以及如何取回這種文件。設備例如可以嘗試從服務器取回期望的文件并且后者基于策略而接受或拒絕(訪問權(quán)限�����、暫停等)���。在變形中����,發(fā)送的文件系統(tǒng)是特定于用戶的(例如���,也基于給定的策略)����,使得在其中標識的所有文件是先前對該用戶可用的。在其他變形中����,是否處理用戶請求,即是否命令取回所請求的文件�,可以在設備本地處基于設備可用的一些適當算法來決定。有趣的是��,還可以基于與文件相關的許可來決定是否取回文件����。因此,可以理解�,在實施方式中“文件許可和“服務器策略”可以重疊或甚至是相同的,例如�,在技術(shù)上被實現(xiàn)為與文件系統(tǒng)的文件相關聯(lián)的數(shù)字集合。在第二種情況下��,用戶所選擇的文件已經(jīng)存儲在設備中(內(nèi)部文件)�,步驟800-900。這里����,根據(jù)與該文件相關聯(lián)的許可來決定怎樣處理用戶請求���。例如����,如果使用許可允許,所述內(nèi)容被顯示在例如安全設備10的顯示器12上�。這是可行的,只要文檔的大小不阻止它�����。在其他情況下���,設備可能例如需要被設置為與外部輸出設備通信以完成請求���。請求可以從外部應用接收,例如請求拷貝文件(或傳送其內(nèi)容)的外部應用��,以例如用于后續(xù)的顯示或打印�����。如何向外部設備傳送文件的內(nèi)容本身是已知的����。例如,安全設備可被配置為利用使用安全藍牙配對(SSP)而可連接到投影機(例如,沒有“計算”能力的顯示設備�,即不會暴露給惡意軟件)。作為另一示例�,安全設備可使用USB線或安全藍牙配對(SSP)連接到打印機。這允許文檔直接從安全設備被打印��。如果處于危險中的文檔不允許通過用戶的PC被打印���,這是特別有用的(由于其相關的使用許可)���。因此,外部輸出設備通??梢允谴蛴C或投影機。但是����,它也可以是PDA或PC30本身(設備可能已經(jīng)與其連接),針對其的使用許可可能比投影機或打印機更加嚴格�,這取決于公司策略。注意����,在實施方式中,打印機或投影機可以是安全設備本身的一部分��。優(yōu)選地����,如果使用請求被設備批準,則與文件相關聯(lián)的使用許可被更新(步驟S900)�。根據(jù)一個變形,在批準請求之后更新使用許可優(yōu)選地直接在設備處被執(zhí)行(通常�����,基數(shù)被遞減)�。但是對應的數(shù)據(jù)應當被發(fā)送給服務器,其持續(xù)地更新保存在服務器側(cè)的使用許可�。這樣,設備保存最新的使用許可��。因此����,設備仍可以處理對相同文件的另一請求,即使從服務器獲得已更新許可的后續(xù)嘗試失敗(或現(xiàn)有的許可不授權(quán)獲得更新的許可�����,以例如允許離線使用)�。在這個變形中�����,并發(fā)更新機制通常被實現(xiàn)在服務器和安全設備二者處��。但是在一些點需要協(xié)調(diào)�。存在協(xié)調(diào)許可的多種可能性(用于對兩個數(shù)據(jù)庫實例進行同步的若干算法是可知的)�����。設備例如可以定期地嘗試連接到服務器并且得到更新的許可數(shù)據(jù)����,或者在啟動、對用戶進行認證時或是在接收到另一文件使用請求時進行嘗試�,等等。在任何情況下�����,從服務器接收的許可將可能(當可用時)代替本地許可�。但是,在沒有服務器連接的情況下�����,設備優(yōu)選地更新本地許可,并且在使用許可基數(shù)減少到0的情況下可禁止對文件的訪問?,F(xiàn)在,根據(jù)另一變形�,在處理文件使用請求時��,例如在根據(jù)設備上可用的許可而批準該請求的情況下�,設備相應地通知服務器。服務器將能夠相應地更新使用許可�����。當設備稍后連接到服務器時(例如�,在收到使用文件的另一請求時),已最新許可被發(fā)送給設備以用于后續(xù)處理(除了更新的文件系統(tǒng)和文件數(shù)據(jù)之外����,如果必要的話)。在這種情況下�,并不強制在批準請求之后直接在設備處更新許可,因為設備可以有系統(tǒng)地依賴于從服務器接收的許可���。設備例如可以定期地嘗試連接到服務器����,或是在啟動、對用戶進行認證時嘗試連接����,或是在每次收到另一文件使用請求時嘗試連接,等等�。這里,從服務器接收的許可將代替以前的版本�����。但是�����,在這個變形中���,設備強烈依賴于服務器連接的可用性����。例如�����,設備可以在它每次收到使用內(nèi)部文件的請求時嘗試連接到服務器���。但是,如果達到服務器的嘗試失敗���,則請求無法基于最新的許可數(shù)據(jù)被處理。因此���,在無法獲得較新許可的情況下��,可以想到關于如何繼續(xù)的幾種回退算法����。一個解決方案包含拒絕請求�����。另一種解決方案依賴于許可數(shù)據(jù)的以前版本(即,在最后的地方被更新)�。中間方案當然也是可能的。因此����,可以調(diào)用若干機制以用于保存更新的許可,包括完全的集中式解決方案(在批準請求之后僅服務器更新許可)直到并發(fā)解決方案(在批準使用文件的請求時���,設備本地更新許可并且相應地通知服務器)�����。實現(xiàn)什么樣的適當機制可以實際上取決于安全策略�。對于每個文件也可以定義不同的解決方案����。另外����,使用文件的請求優(yōu)選地被設備記錄并且可以附加地在服務器處被記錄,以用于審計或被動安全之目的�。
如所述,文件同樣可以從服務器獲得(除了它們相關的許可和文件樹)���。在變形中(不是優(yōu)選的)��,文件可以從用戶的PC或從連接到網(wǎng)絡的遠程終端獲得。在實施方式中�����,期望的文件首先從終端發(fā)送到服務器��,并且繼而從服務器被發(fā)送到設備����,這改進了待分發(fā)文件的安全性和/或控制。如上所述�,相關聯(lián)的許可可以與文件一起發(fā)送、在發(fā)送文件之前或之后發(fā)送����。在實施方式中,存儲在設備上的文件根據(jù)給定的加密方案被加密���。文件可以被設備本身加密�。例如�����,安全設備具有存儲在其內(nèi)部存儲器中(外部不可訪問)或插入其中的智能卡上的加密密鑰���。在變形中���,文件以加密狀態(tài)被傳輸給設備(并且這獨立于安全連接固有的加密�����,如果有的話)�,總之使其應當以加密狀態(tài)被存儲在設備上��。在這兩種情況下��,解密密鑰可以從服務器被發(fā)送給設備�����,或被用戶手工輸入到設備上�����,以用于隨后響應于請求而解密文件�。另外�����,我們注意到���,僅僅對于文件而言�,可以實現(xiàn)關于解密密鑰的許可控制機制。最后����,從圖1很清楚的是,步驟S350-S950 (或者甚至S300-S950或S200-S950)可以按需重復��,例如��,每次向安全設備發(fā)送一個新文件系統(tǒng)�、文件或許可數(shù)據(jù)。特別地���,第一次使用安全設備(第一使用場景)���,下面一系列步驟將優(yōu)選地發(fā)生:1.用戶向安全設備進行認證;2.一旦安全設備已經(jīng)建立與其服務器的SSL/TLS連接并且已經(jīng)標識其自身和用戶��,服務器發(fā)送用于相應用戶的文件結(jié)構(gòu)(此后假設為文件樹)�����。因為安全設備第一次被使用����,因此文件基于在服務器上配置的策略和設備的存儲能力而被緩存在安全設備上(還沒有確定緩存內(nèi)容的任何用戶請求)����;因此��,可以使用服務器的文件樹的全部或部分���。3.在安全設備上向用戶顯示文件樹���;其本地拷貝在安全設備上可用的那些文件優(yōu)選地被如此標記(即,視覺上被標識給用戶)���,例如�,通過覆蓋綠色的勾選(check)標記圖標��。4.當用戶訪問在安全設備上非本地可用的文件時�,后者從服務器取回并且存儲文件。如果沒有更多的存儲器可用�,則例如最長時段未被使用的文件從安全設備被移除。作為附加的策略示例���,可以給用戶選項以將文件標記為從高速緩存“不可移除”。5.一旦文件在安全設備上本地可得�,用戶可在上文描述的使用許可的約束下訪問該文件�����。接下來��,在稍后的階段(后續(xù)使用場景)���,以上步驟2將如下改變:2.一旦安全設備已經(jīng)與其服務器建立SSL/TLS連接并且已經(jīng)標識它自己,服務器為對應的用戶發(fā)送文件樹�。這里,某些文件已經(jīng)緩存在安全設備上��。根據(jù)服務器設置�����,安全設備可以用服務器提供的文件樹替換其自己的文件樹����,并且從其高速緩存移除不再出現(xiàn)在新文件樹中的任何文件。注意����,如果安全設備不能連接到服務器,它可進入離線模式��,其中它僅提供對當前被緩存的那些文件的訪問,并且這收到上述使用許可的約束�����。以上的方案和變形可以被下列特征改進����;-如所述,文件訪問可被報告給服務器以用于不可否認的審計或統(tǒng)計����,或仍然觸發(fā)下文描述的文件操作。-如上所述����,服務器可以立即與文件樹一起或是單獨地向安全設備發(fā)送要緩存的文檔的列表。相關聯(lián)的許可可以與列表或文檔本身一起發(fā)送���。如果僅發(fā)送列表���,安全設備可以根據(jù)給定的策略加載文件(例如,阻塞或異步地)��。-對于每個文件,多個版本(修訂)可被緩存��。對于哪些文檔需要緩存多個修訂可以在安全設備處決定(例如�,根據(jù)服務器事先提供的或從過去的使用模式中得出的列表)���,或是在安全設備報告文件訪問的情況下由服務器動態(tài)決定�。-一旦用戶訪問安全設備上的文檔��,則某些相關的文檔可被緩存�。而且,哪些文檔被緩存可以由安全設備決定(例如�,根據(jù)服務器事先提供的或從過去的使用模式得出的列表),或是在安全設備報告文件訪問的情況下由服務器動態(tài)確定�。-類似地,從高速緩存移除哪些文檔可以由安全設備決定(例如����,根據(jù)服務器預配置的文件集或基于過去的使用模式),或是在安全設備報告文件訪問的情況下由服務器動態(tài)決定����。-文件樹可從服務器部分地發(fā)送給安全設備并且按需完成。-當訪問大于安全設備上可用存儲器的文件時����,可以通過從服務器逐片取回文件而將其動態(tài)分割�����。-由于安全原因���,服務器可向安全設備指示文檔不能被緩存,這樣它從不存儲在安全設備的持久存儲器上��。-由于安全原因����,服務器例如可以通過相應的許可數(shù)據(jù)向安全設備指示:文檔可以被緩存但是在離線模式下必須是不可讀的。換句話說����,文檔僅當安全設備連接到服務器(在線)時可被讀取。-安全設備的存儲器可被完全“禁用”�����,這樣�����,這些文件總是按需從服務器被下載并且沒有文件被本地緩存。-安全設備可以被配置為與幾個服務器聯(lián)系并且可從其獲得數(shù)據(jù)��,由此有效地在設備已為其被配置的服務器的“云”中創(chuàng)建無縫視圖��。用戶相應地可在虛擬文件系統(tǒng)的文件中以無縫方式導航�����。-此類服務器的配置可以被靜態(tài)地控制(在設備發(fā)布)或可被一組特別指定的“云控制”服務器更新(假定特定的設備或多或少地訪問云中的服務器組中的數(shù)據(jù))�����。-盡管如此��,可以使(從在云中使用了一次的服務器)被下載到設備的文檔保留在設備中����,即使是在對服務器的關聯(lián)已從“云控制”服務器被刪除之后�。這樣,設備有效地變成以其自己權(quán)限的安全數(shù)據(jù)載體����,或是原始云的成員(從文檔管理的觀點;例如現(xiàn)在可以這樣在云之間交換文檔:僅通過暫時將一個云與同一設備聯(lián)接并且繼而與另一個聯(lián)接在云之間交換文檔)��。接下來,參考圖2�����,將描述本發(fā)明的方法的另一實施方式���??梢岳斫?�,已經(jīng)參考圖1描述的大多數(shù)變形也應用于圖2的實施方式���。這里�,步驟S100��、S200�����、S300���、S400����、S700、S800����、S850、S900 和 S950 基本上對應于
圖1中的相應步驟����。根據(jù)圖2的實施方式,在實際嘗試連接到服務器之前����,設備優(yōu)選地檢查每個文件的許可(步驟250)�����。注意��,并非強制在連接到服務器之前檢查許可�。但是優(yōu)選地這樣做,以便允許設備做出是否向PC展露文件(以及甚至列出文件的存在)的任何決策�����。然后��,在步驟S300,設備嘗試連接到服務器�。如果連接成功,設備更新文件系統(tǒng)���、文件和使用許可數(shù)據(jù)���,步驟400,如已參考圖1所述����。接下來,在步驟S500�,設備可進行到本地認證用戶(例如,通過要求用戶輸入PIN����,使用智能卡等,如已知的)��。注意�����,如果連接服務器的先前嘗試失敗���,則設備將直接提示用戶認證他(她)自己����,如圖2所示。在一個變形中�����,設備可在實際嘗試創(chuàng)建與服務器的連接之前要求用戶認證�。在另一變形中,可請求用戶通過設備的內(nèi)置按鈕手動輸入解密密鑰���。設備繼而命令(步驟S600)根據(jù)文件系統(tǒng)和與其文件相關聯(lián)的���、最近在設備處被更新的使用許可來展露文件����。如上所述,文件被展露以便被用戶導航�。但是,文件可以被展露給遵循相同原則的任何應用(甚至與將它們展露給用戶無關)�����。另外,是否展露文件還將依賴于用戶認證的成功��。相應地����,如果對應的許可不允許(例如,對于這個文件沒有更多使用權(quán)限)�����,可以阻止文件被展露����。因此,用戶(或外部應用)甚至不會“看見”處在危險中的文件���,即使用戶在本地被正確認證��,其還減少了誤使用或展露給惡意軟件的風險�����。下面的步驟描述了用于管理訪問文件的請求的機制(S700)��。如上所述��,取決于以下是否成立而調(diào)用不同的機制:-文件存儲在設備上:這里基于對應的使用許可�,請求優(yōu)選地被處理(步驟S800)。在處理請求之后���,許可被更新��,如果需要的話(步驟S900);或者-文件存儲在設備之外�����,由此通過例如取回被請求的文件用于后續(xù)的存儲����,請求被處理(步驟S850)(步驟S900)����。還如上文所述��,除了文件系統(tǒng)數(shù)據(jù)��、文件和文件許可之外�����,與服務器建立的連接還可以允許用于從服務器向設備發(fā)送加密密鑰等。如參考圖1���,這可能涉及不同的場景�����。I)如上所述�,安全設備從服務器并且通過主機(或者更確切地說���,通過由主機中繼的連接91)接收所有必需的數(shù)據(jù)���。
2)在一個變形中,文件數(shù)據(jù)(即���,文檔)可以從主機即PC接收��,但是這與服務器無關�。3)在另一變形中����,安全設備可以從與通過其接收其他類型數(shù)據(jù)的主機不同的終端、并且可在不同的時間接收給定的文件數(shù)據(jù)(即,文檔)���。這里��,終端例如可以是PDA或移動電話����。文檔例如可以通過因特網(wǎng)查詢在終端被初步下載�。假設對象標識符對于該文檔是可用的,并且文件系統(tǒng)和許可使用了兼容的對象標識符形式體系�,則仍然可以實現(xiàn)上文描述方法的核心步驟。4)其他?�,F(xiàn)在將參考圖4和圖5��,進一步描述至少對于設備保存并且利用文件許可的那些優(yōu)選實施方式而言可在設備處實現(xiàn)的數(shù)據(jù)結(jié)構(gòu)的示例����。圖4和圖5中所示的分層圖是可存儲在安全設備上以實現(xiàn)這些實施方式的數(shù)據(jù)結(jié)構(gòu)的示意圖。具體而言��,所示數(shù)據(jù)結(jié)構(gòu)一般地包括:-密鑰(用于加密/解密文件);〇這里涉及唯一的密鑰“唯一密鑰”���,它允許以加密狀態(tài)存儲文件。當然這些密鑰無須對整個設備是唯一的。它還可以呈現(xiàn)在文件或目錄級���。-文件(或文件標識符)�;〇包括文件#1到n;-許可�����,許可的集合包括:
〇許可#1到n�,S卩,每個文件一個許可�����,或者甚至每個文件一個許可的子集�。具體地,許可的集合U��,j���,k}可以與文件相關聯(lián)��,如在此所述��。這里����,普通線條表示數(shù)據(jù)結(jié)構(gòu)中的層次關系,加粗的線線表示數(shù)據(jù)之間的功能關系�,例如“文件#1”使用“唯一密鑰”被加密并且被允許基于“許可#1”來被訪問,后者在這個示例中等于{4�,0,0}���。許可的集合可以由基數(shù)U�,j�,k,...}組成�����,其中i�����,j�����,k. .與各個動作相關聯(lián)���,即�,每個數(shù)字代表各個應用被允許訪問文件的次數(shù)�。例如“許可#1”在圖4中等于{4,0�����,0}����,其中4,0�,0例如與請求訪問文件#1的應用分別相關,用于(I)在設備上顯示�����;(2)在外部輸出設備上顯示�����;以及(3)在外部打印機上打印���。另外���,因為在這個示例中給定的“許可#n”實際由對應的集合U�����,j���,k}組成,因此對應于“許可#1”到“許可#n”的層級是多余的����。因此,圖4所示的數(shù)據(jù)結(jié)構(gòu)的示例明顯地表示:用戶可以要求文件#1僅顯示在設備上并且僅顯示四次����。當請求顯示文件#1時(即,圖1或2中的步驟700)�,設備將如下處理請求:`-批準它(步驟800);-解密文件(使用本示例中必需的唯一密鑰),如果需要的話�����;以及-命令顯示文件#1��。此外�,當請求已被批準時����,設備將更新對應的許可(或因此通知服務器用于后續(xù)的更新)�����。許可集合因此變化為{3��,0�����,0}����,指示文件仍然可用于在設備上顯示�,但是僅剩3次,如圖5所示�����。在一個變形中���,許可#n可以由集合{tl��,t2�����,t3.}組成���,其中tl��,t2���,t3. 對應于與文件#n相關聯(lián)和與各個應用相關聯(lián)的生命期。在另一變形中���,許可#n可以由集合abc組成�,其中a�����、b或c中每一個可以是r����、w、X或_�,或類似于UNIX許可(rwx指示用戶具有讀�����、寫�����、執(zhí)行許可����,-表示根本沒有許可)���。注意,如果許可僅由生命期或r����、w、x或-許可組成����,則不需要在設備上處理請求之后更新許可。在這種情況下����,在處理請求之前�����,設備依賴于保存在服務器并且從服務器發(fā)送的許可數(shù)據(jù)是足夠的�����。在另一變形中��,許可#n可以由子集{j�,t2}��,{k���,t3}��,...}表示���,指示文件#n可被訪問i次以用于顯示在設備上,并且僅在時段tl (或直到日期tl)�����,等等。在這種情況下���,如果需要���,許可在處理請求之后被更新。很多其他變更是可能的����,例如,混合發(fā)生�、生命期和r、w�、X或-許可。不應將本公開理解為排除使用可替換通信協(xié)議(除了 USB之外)用于加載和檢索文檔或文檔管理證書���。具體地,應注意安全設備可以使用無線接口例如藍牙傳輸文檔用于打印或使用GPRS網(wǎng)絡以從服務器應用請求和檢索文檔訪問證書����。而且,適當配備的安全設備將能接收服務器發(fā)起的文檔和/或證書移除命令而不用任何用戶交互以便進一步加強服務器對數(shù)據(jù)的控制��。實現(xiàn)至少部分的以上發(fā)明所需的計算機程序代碼可以以高級(例如�,過程的或面向?qū)ο蟮?編程語言實現(xiàn),或者以編譯或機器語言實現(xiàn),如果需要的話��;并且在任何一種情況下�,語言可以是匯編或解釋語言。合適的處理器包括通用和專用微處理器���。注意�����,設備�����、終端���、服務器或接收方執(zhí)行的操作可以存儲在有形地實現(xiàn)在由可編程處理器執(zhí)行的機器可讀存儲設備的計算機程序產(chǎn)品中;并且本發(fā)明的方法可以由運行命令以執(zhí)行本發(fā)明的功能的一個或多個可編程處理器執(zhí)行���。在所有情況下����,本發(fā)明可以不僅包含安全設備而且包含包括這個設備的系統(tǒng)�����,加上下列中的一個或多個:終端、至少一個服務器或任何合適的源以及可能附加的設備例如打印機或投影機�����,用于傳遞被安全管理的文件的內(nèi)容�。更一般地,以上發(fā)明可以實現(xiàn)為數(shù)字電子電路��,或者計算機硬件�、固件、軟件或其組合����。一般地,處理器將從只讀存儲器和/或隨機存取存儲器接收命令和數(shù)據(jù)���。適合有形地實現(xiàn)計算機程序指令和數(shù)據(jù)的存儲設備包括所有形式的非易失存儲�,包括�,通過舉例��,半導體存儲設備�����,例如EPROM、EEPR0M�����、閃存或其他���。雖然已參考某些實施方式說明了本發(fā)明�,本領域技術(shù)人員將理解可以做出多種改變并且可以用等效替換而不脫離本發(fā)明的范圍�。此外,可以對本發(fā)明的教程做出很多修改以適應特定情況或材料而不脫離其范圍�����。因此����,本發(fā)明不是要限制于公開的特定實施方式,而是本發(fā)明將包括落在所附權(quán)利要求的范圍中的所有實施方式�����。例如�����,設備可以被配置為阻止同時連接到主機和外部設備。還可以提供電池或者由外部設備供電��。而且�����,雖然設備優(yōu)選地通過主機連接到服務器����,但是它具有其自己與服務器直接通信的能力,如較早所述��。在這種情況下����,本發(fā)明的優(yōu)選實施方式的一些特征(即,通過主機發(fā)生的連接)需要被修改���。顯然����,圖1中的步驟S200變成可選的����。在步驟S600,由于內(nèi)置顯示能力等等���,更新的文件可以被展露���。
權(quán)利要求
1.一種用于安全地管理對文件系統(tǒng)的用戶訪問的方法,包括步驟: -提供(Sioo)安全設備(10)���,后者由反惡意軟件或流氓軟件的設計保護���,并且適于通過電信網(wǎng)絡來建立與服務器(40)的連接; -優(yōu)選地經(jīng)由連接到所述服務器的主機����,在所述安全設備與所述服務器(40)之間建立(S300)連接(91); -通過建立的所述連接(91)在所述安全設備處接收(S350)與文件系統(tǒng)有關的數(shù)據(jù)�,所述數(shù)據(jù)標識優(yōu)選地至少部分地存儲在所述安全設備外部的文件; -基于從所述服務器接收的所述數(shù)據(jù)�����,在所述安全設備處向用戶展露(S600)所述文件系統(tǒng)��,所述文件系統(tǒng)是所述用戶可導航的。
2.根據(jù)權(quán)利要求1所述的方法��,還包括步驟: 在所述設備處接收(S700)針對訪問在展露的所述文件系統(tǒng)中被標識并且存儲在所述安全設備外部的外部文件的請求之后�,通過在所述安全設備與所述服務器(40)之間建立的連接(91),在所述安全設備處接收(S850)所述外部文件以用于在所述安全設備上的后續(xù)存儲(S950)�。
3.根據(jù)權(quán)利要求1或2所述的方法,還包括步驟: -通過建立的所述連接(91)在所述安全設備處接收(S970����,S350)與更新的文件系統(tǒng)有關的更新的數(shù) 據(jù),所述更新的數(shù)據(jù)標識優(yōu)選地至少部分地存儲在所述安全設備外部的文件�����; -基于從所述服務器接收的所述更新的數(shù)據(jù)��,在所述安全設備處向用戶展露(S600)所述更新的文件系統(tǒng)��,所述更新的文件系統(tǒng)是所述用戶可導航的�����,其中�����, 優(yōu)選地,存儲在所述安全設備的存儲器上的���、在先前展露的文件系統(tǒng)中被標識并且在所述更新的文件系統(tǒng)中未被標識的文件從所述安全設備的所述存儲器被移除。
4.根據(jù)權(quán)利要求1��、2或3所述的方法��,其中在所述安全設備處接收的與文件系統(tǒng)有關的數(shù)據(jù)和相應的所述文件系統(tǒng)是特定于用戶的��。
5.根據(jù)權(quán)利要求1到4中任一項所述的方法�����,其中接收(S350)數(shù)據(jù)的步驟還包括:接收與相應的所述文件系統(tǒng)中標識的一個或多個文件相對應的數(shù)據(jù)��。
6.根據(jù)權(quán)利要求1到5中任一項所述的方法����,其中在所述安全設備處展露的文件系統(tǒng)中所標識的文件存儲在多個服務器上,展露的所述文件系統(tǒng)是所述用戶可無縫導航的�����。
7.根據(jù)權(quán)利要求1到6中任一項所述的方法���,還包括步驟: -在接收(S700)針對使用在展露的所述文件系統(tǒng)中被標識并且被存儲在所述安全設備上的內(nèi)部文件的請求之后�,在所述安全設備處根據(jù)與所述內(nèi)部文件相關聯(lián)的更新的使用許可來處理(S800)所述用戶請求,其中通過基于通過在所述安全設備與所述服務器(40)之間建立的連接(91)從所述服務器發(fā)送的許可數(shù)據(jù)對用戶許可進行更新(S400���,S900)�����,從而在所述安全設備處獲得所述更新的使用許可�����。
8.根據(jù)權(quán)利要求7所述的方法���,在接收針對使用所述內(nèi)部文件的所述請求之后,還包括步驟: -在批準針對使用所述內(nèi)部文件的所述請求時����,更新(S900)與所述內(nèi)部文件相關聯(lián)的使用許可。
9.根據(jù)權(quán)利要求8所述的方法����,其中更新(S900)與所述內(nèi)部文件相關聯(lián)的使用許可在所述安全設備處執(zhí)行。
10.根據(jù)權(quán)利要求8或9所述的方法,在更新(S400����,S900)與所述內(nèi)部文件相關聯(lián)的使用許可之后,還包括步驟:根據(jù)所述更新的使用許可����,在所述安全設備處命令(S600)向用戶接口或應用展露(S600)所述內(nèi)部文件。
11.根據(jù)權(quán)利要求7到10中任一項所述的方法��,其中更新的使用許可包括參數(shù)��,諸如相關聯(lián)的文件可被訪問的次數(shù) 或者其可被訪問的時間段�,該參數(shù)在由處理針對使用所述文件的請求的所述設備解釋時限制對所述文件的訪問權(quán)限����。
12.根據(jù)在前權(quán)利要求中任一項所述的方法,其中在所述安全設備與所述服務器之間建立的連接(91)是安全連接����,諸如SSL/TLS連接。
13.一種安全設備(10)���,由反惡意軟件或流氓軟件的設計保護并且具有處理裝置(15)����、存儲器(15’,15”)和接口(17����,18,20)�,被配置為耦合至以下項或與以下項交互: -用戶⑴; -一個或多個服務器(40)����,以及 -優(yōu)選地主機,諸如個人計算機或PC (30)��, 當所述安全設備通過電信網(wǎng)絡被連接至所述服務器時��,所述安全設備適于優(yōu)選地經(jīng)由主機(30)建立與服務器(40)的連接����,諸如TLS/SSL連接, 并且還包括計算機化方法�����,所述計算機化方法存儲在所述存儲器上并且是所述處理裝置可執(zhí)行的�,用于實現(xiàn)如權(quán)利要求1到12中任一項所述的步驟���。
14.一種系統(tǒng),包括: -如權(quán)利要求13的所述安全設備(10); -個人計算機或PC (30);以及 -一個或多個服務器(40)���。
15.一種計算機程序介質(zhì)���,包括處理裝置可執(zhí)行的指令,用于執(zhí)行如權(quán)利要求1到12中任一項所述的方法的全部所述步驟��。
全文摘要
本發(fā)明主要涉及用于安全地管理對文件系統(tǒng)的用戶訪問的方法����、安全設備����、系統(tǒng)和計算機程序產(chǎn)品。該方法包括步驟提供(S100)安全設備(10)���,后者由反惡意軟件或流氓軟件的設計保護�,并且適于通過電信網(wǎng)絡建立與服務器(40)的連接����;優(yōu)選地通過連接到服務器的主機在安全設備與服務器(40)之間建立(S300)連接(91)����;通過建立的連接(91)在安全設備處接收(S350)與文件系統(tǒng)有關的數(shù)據(jù)���,其標識優(yōu)選地至少部分地存儲在安全設備外部的文件���;基于從服務器接收的數(shù)據(jù)在安全設備處向用戶展露(S600)文件系統(tǒng),該文件系統(tǒng)是用戶可導航的�。
文檔編號G06F21/62GK103154965SQ201180049016
公開日2013年6月12日 申請日期2011年10月18日 優(yōu)先權(quán)日2010年10月29日
發(fā)明者M·本奇, H·D·迪克曼, R·J·赫曼, T·克蘭普, M·P·凱珀-哈蒙德, M·C·奧斯伯內(nèi), T·D·魏戈爾德 申請人:國際商業(yè)機器公司