CN107003831A - 用于安全文档控制的安全评估系统和方法 - Google Patents
用于安全文档控制的安全评估系统和方法 Download PDFInfo
- Publication number
- CN107003831A CN107003831A CN201580061924.5A CN201580061924A CN107003831A CN 107003831 A CN107003831 A CN 107003831A CN 201580061924 A CN201580061924 A CN 201580061924A CN 107003831 A CN107003831 A CN 107003831A
- Authority
- CN
- China
- Prior art keywords
- file
- shielded
- access
- security
- document
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/93—Document management systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
Abstract
系统可以被分解为一个或多个部件。可以评估每个部件以将安全分数归属于每个部件。可以基于该安全分数以及表征系统的概率性的安全降级的衰减率度量为系统生成综合安全分数。可以将衰减率度量应用于综合安全分数以获取当前综合安全分数。可单独使用或与其它标准一起使用综合安全分数以控制对文档的访问。
Description
相关申请的交叉引用
本发明要求于2014年9月16日提交的申请号为62/051,251、名称为“Leveragingsecurity Metrics for Document Control”的美国临时申请的优先权,以及于2014年11月11日提交的申请号为62/078,143、名称为“Secure Transaction Ecosystem”的美国临时申请的优先权;所述美国临时申请的每一者的全部内容通过引用结合在本申请中。本申请还通过引用将以下申请的全部内容并入本申请:2014年10月24日提交的申请号为14/523,577、名称为“Autonomous Control Systems and Methods”的美国专利申请,2015年2月27日提交的申请号为14/634,562、名称为“Security Evaluation Systems and Methods”的美国专利申请,以及2015年9月15日提交的申请号为14/855,196、名称为“SecurityEvaluation Systems and Methods for Secure Document Control”的美国专利申请。
附图说明
图1为根据本发明的实施方式的安全模块。
图2为根据本发明的实施方式的安全分数推导。
图3为根据本发明的实施方式的资产。
图4为根据本发明的实施方式的资产评估。
图5A-图5D为根据本发明的实施方式的资产细分。
图6为根据本发明的实施方式的基础安全分数证书。
图7为根据本发明的实施方式的基础安全分数证书。
图8为根据本发明的实施方式的安全分数降级。
图9为根据本发明的实施方式的安全要求证书。
图10为根据本发明的实施方式的基础安全分数证书。
图11为根据本发明的实施方式的安全要求证书。
图12为根据本发明的实施方式的归一化安全分数比较。
图13为根据本发明的实施方式的归一化安全分数比较。
图14为根据本发明的实施方式的安全验证。
图15为根据本发明的实施方式的安全比较。
图16为根据本发明的实施方式的安全验证。
图17为根据本发明的实施方式的互相安全验证。
图18为根据本发明的实施方式的安全验证。
图19为根据本发明的实施方式的安全验证。
图20为根据本发明的实施方式的安全验证。
图21为根据本发明的实施方式的安全验证。
图22为根据本发明的实施方式的增强安全要求证书。
图23为根据本发明的实施方式的受保护文档。
图24A-图24B为根据本发明的实施方式的安全性核实。
图25为根据本发明的实施方式的安全验证。
图26为根据本发明的实施方式的受保护文档。
图27为根据本发明的实施方式的受保护文档。
图28为根据本发明的实施方式的示例性透镜系统。
图29为根据本发明的实施方式的安全交易生态系统。
具体实施方式
由于内容所有者在向其他任何人发送或提供文档时,都会失去对该文档的控制,因此可能难以控制和保护信息。本文所述的系统和方法可以保护文档以确保对文档和/或其中包含的信息的访问仅限于被授权对其进行访问的对象。可以限制和/或阻止对文档未经授权的查看、打印和/或编辑。例如,可由多人共享的网络打印机可以提供对敏感信息的不同级别的访问。本文所描述的系统和方法可以用于保护网络打印机以防止对文档未经授权的打印。此外,本文所描述的系统和方法可以保护其它能够访问文档的设备(例如个人电脑(PC)、智能手机、扫描仪等)以阻止任何类型的、对文档未经授权的访问。文档控制不仅可以促进对企业/组织安全政策的服从,而且还可以促进对例如法定保密规范的遵守。
被所公开的系统和方法保护的文档可以包括数据全部或部分的任意电子的或物理的表现,如数据库、照片、文件、电子邮件、金融交易、图像等或其任意部分。例如,本文所描述的一些实施方式可以保护监管的和/或敏感的信息(regulated and/or sensitiveinformation,RSI),以确保对这些信息的访问仅限于被授权访问它们的对象。RSI可以包括任何敏感信息,例如支付卡信息(payment card information PCI)、电子投票数据、财务、SOX、HIPAA或其它监管或敏感信息。RSI可存储在一个或多个电子文件中,且在某些情况下可以仅仅是文件的一部分。整体的安全方法可以被提供,其中对RSI的访问可以由数据所有者控制并且限于被授权的设备和个人。RSI活动可以被监控和记录。即使在物理和数字介质之间传输RSI和/或在未经授权的实体访问或获取RSI的情况下,也可以保护RSI。例如,即使未经授权的人员获得对RSI的物理访问,该人员可能也无法读取、使用或利用RSI。本申请所描述的方法可以为保护RSI提供完整的生态系统。在一些实施例中,随着对该生态系统的组分的开发和推广,可以分阶段引入所描述的方法,以逐渐增强安全性。
本申请所描述的系统和方法可提供如下的安全特征中的部分或全部:认证(专门辨别个体和/或设备的能力),授权(指定、限制和/或实施访问权限的能力),不可否认性(任何变化或访问都可被记录,使得事实发生后不能否认变化或访问),数据保密性(保证受保护的信息只能由被授权访问该信息的对象获得),数据完整性(保证在未授权的情况下数据不被更改),和/或数据可用性(保证受保护的信息可用于授权的使用)。
在本文中所描述的系统和方法可以包括一个或多个计算机,该计算机也可以被称为处理器。计算机可以为能够执行算术操作和/或逻辑操作的任何一个或多个可编程机器。在一些实施方式中,计算机可以包括处理器、存储器、数据存储设备、和/或其它公知的或新型的部件。可以在物理上或者通过网络或无线链路连接这些部件。计算机还可以包括可指导前文提及的部件的操作的软件。计算机可以被称为由相关领域中的普通技术人员常用的术语,诸如服务器、PC、移动设备、路由器、交换机、数据中心、分布式计算机和其它术语。计算机可以促进多个用户和/或其它计算机之间的通信、可以提供数据库、可以执行数据的分析和/或转换、和/或执行其它功能。将由普通技术人员所理解,在本文中所使用的那些术语为可互换的,以及可以使用能够执行所描述功能的任何计算机。计算机可以借助一个或多个网络而彼此链接。网络可以为任何多个完全或部分互连的计算机,其中,一些或全部计算机能够彼此通信。将由普通技术人员所理解,计算机之间的连接在一些情况下可以为有线的(例如,借助以太网连接、同轴连接、光学连接、或其它有线连接)或可以为无线的(例如,借助Wi-Fi、WiMax、或其它无线连接)。计算机之间的连接可以使用任何协议,包括面向连接协议(诸如TCP)或无连接协议(诸如UDP)。至少两个计算机可以交换数据所通过的任何连接可以为网络的基础。在一些实施方式中,在所描述的系统和方法中使用的计算机可以是专门配置用于文档安全的专用计算机。例如,设备可以配备有被配置为一起工作以评估和保护文档和/或执行本文所述的其他功能的专用处理器、专用存储器、专用通信部件等。
量子安全模块和归一化安全分数
本文所描述的系统和方法可以基于量子安全性模型(Quantum Security Model,QSM)保护一个或多个系统中的文件。QSM是一种安全测量和比较方法。QSM可以提供一种以一致的方式分解系统和评估基本部件的归一化方法,其可允许更准确地理解和测量相互依赖性。QSM可以提供一种将所得到的对基本部件的评估归一化为可量化的分数的方法。QSM可允许资源所有者指定它们识别和接受的评估(签名)权限。可以使用QSM方法来评估系统或设备的当前安全状态和可能的未来安全性状态二者。QSM可允许各个资源所有者在授予访问权限之前指定和核实资产的安全分数。在共享资源或服务之前,QSM可以使具有计算能力的资产彼此相互认证。在本文所描述的系统和方法中,可以使用QSM来控制对各个文件(“受保护的文档”)或文件集合的访问。
在QSM中,可以通过在设备、系统、或实体(“资产”)上执行评估过程来实现公共测量,其中期望商定的、可复制的、独立可验证的安全等级确定。符号化为(“qS”)且发音为(“qSec”)的量子安全单元可以为基于QSM测量系统的安全性的标准单元。qSec可以为类似于量子力学中的粒子的位置的瞬时值,从而它可以仅在由观察者进行测量的时刻被最好地评估且最好地获知。在测量之后,可以随着时间推移以降级的精度仅概率性地确定粒子的位置。作为量子测量的qSec可以分享该特性。可以假定系统可以从安全视角被看成波浪式系统,以及可以应用量子力学的原理。系统的安全性为该系统的性质。时间推移连同系统的常规功能和操作及其环境全部可以影响系统的安全性。因此,系统的安全性可以为动态的且安全性的已知状态自然可以为瞬时的。类似于粒子的位置,可以针对精确的时刻量化地限定系统的安全性。测量结果可以提供在量子安全单元中表示的安全测量值,其中,0值表示系统中完全缺乏任何安全性,以及增大值指示较高的安全性。
在系统安全性测量过程期间,可以从待评估的标准导出1qSec表示的值。各个标准可以具有关于其对安全性的影响的公共值范围。而且,各个标准可以具有产生该范围内的结果的相关联的评估过程。标准加权方法可以应用于各个标准,以及公共值范围可以变为安全值尺度,量子安全测量值代表该安全值尺度(如以qSec表示)。例如,qSec值可以表示矩阵力学中的特征值。处于不同时间段的不同观察者可以根据其视角在理论上不同地解释这个值,且可以期望将其自身的概率性过滤器应用到qSec值或执行其自身的测量过程以确定系统的qSec值。因此,可以预先确定该值,从而当分类系统安全性时以有意义的方式利用qSec测量。该预先确定可以自动地来完成,可以由用户来设置、和/或可以在系统初始化时或系统初始化之前来设置。
图1为根据本发明的实施方式的安全模块100。安全模块100可以包括处理器110和物理存储器115,例如规则数据库122和/或证书数据库124。规则数据库122可以存储各种访问控制规则,如在下文更详细地描述。证书数据库124可以存储针对设备、文档、用户等的各种证书,如在下文更详细地描述。安全模块100还可以包括子模块,诸如可以导出和/或更新安全分数的评分模块132、可以确定是否满足安全规则的验证模块134、和/或可以自动地或手动地限定安全规则和/或访问许可的许可模块136。注意,本文中描述成执行安全验证或描述成QSM启用设备或QSM设备的任何设备可以包括安全模块100,且可以使用安全模块100执行如所描述的关于QSM的验证和/或其它过程。
图2为根据本发明的实施方式的安全分数推导200。可以对资产执行评估过程以确定其安全等级。为了实现该结果,可以在评估的结尾生成表示资产的安全等级的归一化安全分数。可以通过如下过程使分数归一化:该过程针对通过出于评定目的而预定义分组(“安全类别”)220所分离的资产的主要功能(其做什么、其目的),应用预定的一组安全标准(“安全目标”)210。对于每个安全目标210,可以对资产的安全类别中的每一安全类别进行评定,以及可以产生落在分配给安全目标的范围内的安全分数(“目标分数”)。对于每个分数的重要度可以随着资产变化或甚至情况变化而变化。当已经产生了所有的目标分数时,可以使用预定义的目标分数聚合方法(例如加权平均)组合上述所有目标分数,形成归一化安全分数(“NSS”)230。
图3为根据本发明的实施方式的资产230,示出了可用在一些实施方式中的安全类别220和安全目标210的具体示例。例如,资产230可以具有存储、处理和传输安全类别220,这可以对应于由资产230执行的主要功能(例如数据存储、数据处理、和数据传输)。各个安全类别220可以具有授权(AZ)安全目标210、机密性(C)安全目标210、完整性(I)安全目标210、可用性(AV)安全目标210、不可否认性(NR)安全目标210、和认证(AI)安全目标210。基于与安全类别220相关联的各个功能类别多好地对安全目标210评分,用于资产230的NSS可以提供资产230总体上多好地满足安全目标210的指示。
图4为根据本发明的实施方式的资产评估300。一些资产可以为复杂的(例如由许多子部件组成)。对于这些复杂的资产,可以独立地对每个子部件执行测量技术(诸如图4的技术300)以导出针对每个子部件的NSS值。可以组合这些子部件的值以产生最高阶资产的NSS。可以选择资产用于评估,以及评估可以开始305。一个或多个安全类别220可以被识别,以及每个安全类别220可以被评估310。每个安全类别220可以包括一个或多个安全目标210,以及每个安全目标210可以被评估315。安全模块100可以确定是否可以针对安全目标210计算安全目标分数320。如果可以,则安全目标分数计算可以开始325,以及可以产生其安全目标分数330。在下文更详细地讨论安全目标分数计算的示例。当已经计算分数335时,下一个安全目标210可以被选择315。如果无法针对安全目标210计算安全目标分数320,则安全模块100可以确定是否应当细分资产340。一些资产可能太复杂而无法直接导出安全目标分数,或可以包括先前已评估的多个部件、设备和/或系统。为了适应这些情况,可以细分资产。
图5A至图5D为根据本发明的实施方式的资产细分示例1200和示例1250。图5A使用笔记本电脑作为示例示出这个原理,其中,该笔记本电脑被划分为CPU、操作系统、和GPU部件。图5B示出净水装置作为另一示例,其中,该装置被划分为水收集系统、净化系统、和饮用水系统部件。如所示,一些子资产可以仅促成单一安全类别分数,而其它子资产可以促成多个安全类别。图5C示出了可以如何将来自图5A的笔记本电脑子资产进一步分解为具体驱动器(在驱动器子资产下)和具体应用程序(在应用程序子资产下)。在图示中,将应用程序子资产的虚拟机(Virtual Machine,VM)子资产进一步分解为在VM下运转的应用程序。可以按需重复该过程,直到可以准确地评估每个子资产。图5D示出了来自图5B的预净化子资产的净水子资产的进一步分解,证明了QSM可以适用于需要评估的任何关键的基础设施部件或资产,无论资产的类型如何。在资产所属的领域中的技术人员可以遵循该方法论且递归地将任何复杂系统分解为进一步的子资产,直到系统由基元(可以或已经对其执行评估的子资产)组成。在水装置示例中,这些可以为比如护栏、防护装置和锁的子资产,其对物理安全性的影响可以很好地被存档记录且可以被量化。
返回参照图4,如果细分不可行,则可以分配默认的安全目标分数345,以及评估300可以移到下一个安全目标315。如果将要完成细分340,则安全模块100可以限定子资产350和子资产加权方程355。如上所述,子资产自身可以进一步被划分,在该情况下,可以对进一步划分的子资产执行分析。对于每个子资产360,可以执行资产评估365以及可以产生安全目标分数370。可以评估所有的安全目标分数375,以及可以评估安全类别分数380。如果具有更多待评估的安全类别220,则下一安全类别220可以被选择310,以及可以对该下一安全类别220的安全目标210执行上文所描述的评估。当已经评估了所有的安全类别220时,资产评估可以结束385。对于图3的资产230,其具有三个安全类别220,每个安全类别220具有六个安全目标210,总共可以执行十八次评估。
利用NSS、目标分数集、和导出的安全规则连同加密技术(诸如公钥-私钥证书),数字资产可以安全地将其安全等级连同执行资产评估的时间一起存储在基础安全分数证书(Base Security Score Certificate,BSSC)中。图6为根据本发明的实施方式的BSSC 700。BSSC 700可以包括对于各个安全目标210和类别220的分数。对于图3的示例性资产230,BSSC 700可以为三元组的安全类别220分数(SCS),每个SCS反过来可以为六元组安全目标2210分数。图7为用于图3的资产230的示例性BSSC 700。该示例性BSSC 700可以具有基础安全分数(BSS),其表达成BSS=((传输SCS),(存储SCS),(处理SCS))或BSS=((TC,TI,TAZ,TAI,TAV,TNR),(SC,SI,SAZ,SAI,SAV,SNR),(PC,PI,PAZ,PAI,PAV,PNR)),其中,C=机密性,I=完整性,AZ=授权,AI=认证,AV=可用性,以及NR=不可否认性。例如,BSSC 700可以由个人、企业、管理机构或政府机构来签订。BSSC700可以包括签发证书的日期/时间和证书将到期的日期/时间。BSSC 700还可以包括用于NSS的衰减率,这在下文更详细地描述。
为了将安全的瞬时性(意味着安全可以具有使随后的测量降级的高概率)考虑在内,安全衰减率(rate of decay,ROD)算法可以用于将自从进行了在BSSC中记录的最后NSS评估而已发生的概率性安全降级考虑在内。考虑到自从最初签发BSSC起经过的时间,可以使用ROD为系统确定现实的安全分数。用于计算ROD的算法可以取决于为了对系统评分所选择的度量标准。通过使用NSS和目标分数集作为输入,连同最后评估的时间(以及可选地,其它安全规则或记录的资产使用历史),可以计算新的NSS分数并将其用于更准确的公共安全比较。
图8为根据本发明的实施方式的安全分数下降900。线910示出系统在无随着时间变化保持恒定的ROD值的情况下的安全性。然而,系统运转越长久,对于该系统来说越可能变得受损。通过线920示出了这种安全性降低,其示出了每时间单位0.01的线性ROD。线930和线940示出了在将可负面影响系统的安全性的事件考虑在内时系统随着时间变化的安全性。线930表示四个安全事件,这四个安全事件降低系统的安全性但不引起ROD的变化。线940描绘了相同的四个事件,但呈现为这些事件中的每一事件还改变ROD值。在图8中描绘的事件可以为例如将USB设备连接到系统、将系统连接到不可信网络、浏览恶意网站、或安装下载的应用程序的结果。
为了允许资产保留重要事件的历史,QSM可以支持证书链或安全分数链(SecurityScore Chain,SSC)的概念。BSSC可以在任何SSC中提供基础证书。资产可以修改分数并利用BSSC签名新证书,从而创建SSC。当创建SSC时,资产可以包括为何进行修改的记录。在图8中,在线930或线940上的每个事件之后,可以进行对SSC的更新,反映对ROD的改变以及将引起这些改变的事件存档记录。如果向BSSC给出ROD,则新安全分数可以针对任何衰减(例如,如线940所示)而调整,这是因为链中的新证书将具有新的签发日期/时间。到期日期/时间不可以被延长超出BSSC的期满时间,但是可以被缩短(如果合适)。另外,如果合适,则可以修改ROD以反映新的风险和威胁。
图9为根据本发明的实施方式的安全要求证书(SRC)1400。SRC(比如BSSC)可以为加密保护的签名文档,其包含用于各个安全目标210分数(SOS)的安全要求权重(SRW)、用于各个安全目标210的安全权重、授权的BSSC和SSC签名、和/或最小归一化安全分数(NSS)。NSS可以为QSM中的最高等级分数以及可以通过将安全要求证书中的安全要求权重应用于基础安全分数中的安全目标分数来计算。在数学上,SRW可以类似于BSSC(例如,3元组的安全类别权重(SCW)(这可以为各个类别促成NSS的百分比权重),每个SCW为安全目标权重(SOW)的6元组值(这为归于各个SOS值的百分比权重)。例如,对于图3和图7的示例,SRW可以被表示为:SRW=(传输SCW(传输SOW),存储SCW(存储SOW),处理SCW(处理SOW))或SRW=(SCW(TC,TI,TAZ,TAI,TAV,TNR),SCW(SC,SI,SAZ,SAI,SAV,SNR),SCW(PC,PI,PAZ,PAI,PAV,PNR))。
NSS可以提供可用于评估给定资产随时间(ΔT)的安全态势的度量标准。该分数可以用于例如认证资产、授权访问、比较资产的安全效用、或确定应当在何处对给定资产进行改进。NSS可以如下来计算:NSS=(BSS*SRW)-(ROD*ΔT)。因此,用于图3和图7的示例的NSS可以为NSS=(SCWT*(TC*TWC+TI*TWI+TAZ*TWAZ+TAI*TWAI+TAV*TWAV+TNR*TWNR)+SCWS*(SC*SWC+SI*SWI+SAZ*SWAZ+SAI*SWAI+SAV*SWAV+SNR*SWNR)+SCWP*(PC*PWC+PI*PWI+PAZ*PWAZ+PAI*PWAI+PAV*PWAV+PNR*PWNR))–(ROD*(T当前–T签发))。
图10为根据本发明的实施方式的基础安全分数证书1500。在本示例中,BSS=((6.05,3.47,3.83,4.89,5.42,3.46),(6.52,4.45,5.78,5.09,6.43,4.80),(4.52,4.89,2.69,3.68,6.79,2.64))。ROD为0.013/天,以及在2014年2月22日签发证书且期满时间为2014年8月24日。图11为根据本发明的实施方式的安全要求证书1600。在本示例中,SRW=(0%(0%,0%,0%,0%,0%,0%),65%(25%,40%,5%,5%,25%,0%),35%(17%,17%,17%,16%,17%,16%))。在传输安全目标权重中的0.0权重示出该特定资产拥有者不关心或不利用传输活动。对于独立机器或智能卡,这类场景可以存在,该独立机器或智能卡可以不具有传输数据的任何部件但具有存储和处理能力。在SRC中列出的最小所需NSS为5.0且签发日期或T当前=2014年3月23日。下文为存储部分的详细计算;其它详细计算被省略:
存储部分=0.65*(0.25*6.05+0.4*3.47+0.05*3.83+0.05*4.89+0.25*5.42+0.0*3.46)=3.05,
NSS=(0+3.05+1.93)-(0.013*(2014年3月23日-2014年2月22日)=(4.98-(0.013*29))=4.6。
可以将这个计算的NSS与存储的最小NSS值相比较,如果这个计算的NSS大于最小NSS值,则可以被批准。在上文示例中,由于为4.6的计算NSS小于SRC许可(5.0),因此该设备将会被拒绝。
可以比较和对比NSS值,允许安全等级指标被应用到资产的安全性。图12为根据本发明的实施方式的NSS比较400。可以将NSS值410与NSS指标420相比较以确定用于资产的NSS是否指示该资产具有最小所需安全等级。例如,NSS指标420可以指示具有5.5或更大的分数的资产具有可接受的安全等级,以及具有小于5.5的分数的资产不具有可接受的安全等级。在图12的示例中,资产具有6.8的NSS且因此超出5.5的要求。另外,可以比较两个或更多个资产以确定它们是否具有相同的或差异大的安全等级,或确定哪些资产更安全。图13为根据本发明的实施方式的NSS比较500。在本示例中,资产1具有为6.8的NSS值510,且资产2具有为7.2的NSS值520,因此资产2可以被视为比资产1更安全。基于商定的预定安全目标和类别连同预定分数聚合过程和公共安全测量方法,传递性可以暗示安全比较是商定的、可复制的、可独立验证的安全比较。
利用NSS和目标分数集,可以进行扩展的安全比较,该扩展的安全比较通常可以测量资产的更具体的安全属性。图14为根据本发明的实施方式的安全验证600。资产610(例如USB设备)可以具有计算的NSS(例如6.8)。QSM启用系统620可以在与资产交互之前证实资产安全600。例如借助用户输入,可以要求系统620执行使用资产的操作(例如,到USB设备的写操作)2630。资产610可以将其NSS 640发送到系统620。系统620可以评估NSS(例如通过执行如图12所示的比较)。如果NSS评估指示足够安全,则操作可以继续进行。否则,可以阻止操作。
图15为根据本发明的实施方式的安全比较2100,其中比较两个不同的系统。系统#1具有比系统#2低的NSS分数,但系统#1具有比系统#2高的用于存储机密性的类别分数。诸如这些的比较可以用于确定购买哪个产品(例如,哪个产品最满足用户的安全需求)、或确定应当首先升级哪些系统、或通知关于系统安全性的其它决定。
图16为根据本发明的实施方式的安全验证800,其中,资产(笔记本电脑810)的BSSC可以用于与企业网络820交互。资产810可以尝试加入网络820且可以提供BSSC 830。网络820可以评估BSSC并决定资产810是否安全840。在本示例中,资产810在其BSSC中具有低于网络820所需的阈值的NSS,因此网络820拒绝访问资产810。
使用QSM/NSS
SOS可以提供通过计算安全度量标准所确定的基于概率性的评估,上述安全度量标准可以描述受损的概率。这个概率性方程可以被表达成SOS=P(受损|安全测量≠威胁)。SOS为由于实施的安全测量不防范威胁而造成的资产受损的概率性似然度,其中,威胁为具有给定动机的行动者可利用漏洞的随时间变化的概率性表达。威胁=P(时间|行动者|动机|漏洞)。
时间可以被拉出且被携带在BSSC中,表示为ROD,以允许SOS为一组值。ROD可以指示SOS对时间曝光有多敏感。相比于较低的ROD,较高的ROD可以指示对资产的威胁随着时间增大更多。
例如,NSS可以具有0到10的范围,其中0为不安全且10为完全安全。如果给定资产具有770天的保质期(或直到需要修补或更新的时间)且没有其它因素促成缩短或延长该保质期,则计算ROD的一种方式可以为通过采用最大NSS值10并将其除以770天。ROD=10(最大NSS值)/(直到受损的100%可能性的天数)=10/770=0.013/天。通过将所计算的NSS减少ROD乘以时间(天)变化,无论系统的安全与否,在770天结束时,分数将会为零。换言之,在不采取一些行动的情况下,系统可以被视为不安全。实际上,可以具有大于零的某最小值,在该最小值,系统可以被视为不安全,以及该值可以被表示为SRC中的最小NSS。
另一示例可以涉及处于军事基地的弹药库。弹药库上的保险库门可以促成一个安全部件(“S1”)。使保险库额定为6小时的穿透级别,以及使供应商测试指示对于访问不受限制的熟练攻击者而言,在6小时时间段之后,有60%穿透率,之后穿透率以每小时5%增加。因此,S1为0.95,其中ROD步长在6小时达到0.6以及此后每小时稳定的0.05衰减。随着这种在保险室的BSS中清楚地说明,指挥者可以命令守卫每3小时漫步经过该库(本质上为门重新设置ROD)。这两个因素可以一起促成用于门的一致的0.95的S1。
当评估寻求获得资源的访问权的资产的BSSC时,SRC可以指定由该资源识别和接受哪些签名者。这可以保护资源抵抗通过生成由未授权的签名者所签名的BSSC来伪造安全分数的企图。另外,指定受信任的签名者的能力可以允许所使用的安全度量标准和对于NSS的评估尺度的变化。例如,安全度量标准可以基于桑迪亚RAM系列评估以及这类规范可以允许在从0到100的范围中从桑迪亚RAM系列评估到NSS的转换。同样地,另一实施方式可以使用卡弗(CARVER)方法论或某种成对比较评估以及可以使用QSM 0-10规格。类似地,一实施方式可以利用所有权度量标准和0.00到1.00的规格。上述组合中的任一者和全部可以被用在复杂系统的评估中,NSS和QSM方法论可以允许其内含物。由于度量标准的不确定性,QSM可以通过增大衰减率且减小NSS将方法论中的已知缺点考虑在内。因此,可以在短期内使现存系统和评估平衡,直到可以执行有效的QSM评估。
资产之间加强的认证和授权过程可以利用上文所描述的公共安全测量和比较方法。这可以通过如下来完成:迫使实时评估推导出资产的NSS和目标分数集或者利用存储在BSSC中的来自过去的评估的信息以及可选地使用资产的衰减率算法。附加的安全规则(诸如存储在BSSC中的安全规则)也可以被用作认证或授权安全标准。可以单向地针对参与认证或授权过程的资产之一进行安全等级验证,如上文所描述的示例性安全验证中所示。在一些实施方式中,可以执行双向验证(或者当两个或更多个资产正尝试彼此认证或授权时,所有方向的验证),其中,各个资产验证它者的安全等级。图17为根据本发明的实施方式的互相安全验证1000。在本示例中,笔记本电脑1010可以确认企业网络1020的BSSC,且企业网络3020可以确认笔记本电脑1010的BSSC,以及每个资产可以单独地决定另一资产是否具有高到足以允许交互的安全性。
在一些实施方式中,在验证过程期间的安全规则实施可以促进参与认证或授权的资产中的一者或多者的重新评估。图18为根据本发明的实施方式的安全验证1100。资产(笔记本电脑1110)的BSSC可以用于与企业网络1120交互。资产1110可以尝试加入网络1120且可以提供其BSSC 1130。网络1120可以评估BSSC且决定资产1110不安全1140。在本示例中,资产1110在其BSSC中具有低于网络1120所需的阈值的NSS,因此网络1120拒绝访问资产1110。作为响应,可以通过安全模块100对资产1110重新评估1150。如上所述,NSS值可以随着时间下降。此外,可以随着时间在资产上实现新的安全特征。因此,重新评估1150可以生成用于更新的BSSC的新NSS值。在本示例中,新值指示资产1110安全到足以与网络1120交互。资产1110可以进行加入网络1120的第二次尝试且可以提供其更新的BSSC 1160。网络1120可以评估BSSC且决定资产1110是安全的1170。
可以自动地执行具有内置的处理能力的设备(诸如服务器、PC、和路由器)的QSM评估。这可以通过运行QSM过程来完成,该QSM过程利用后端数据库、计算机上的配置信息的扫描、和/或自动渗透测试工具的组合来生成NSS。这可以允许服务供应商或网络至少需要针对希望连接到其服务的设备的最小安全态势,上述设备可能还未经历全面QSM评估。
该自动操作可以被视为继先发制人地保护QSM设备之后的步骤。如果识别到新的漏洞或其它威胁,则后端数据库可以搜索易受影响的且采取先发制人动作的注册设备。该动作可以降低其NSS、撤回其必然发生的事、和/或建议资产拥有者他们应当例如禁用特定服务或安装补丁或更新或建议系统管理员有威胁。在一些实施方式中,由于许多计算机网络的性质,因此这些先发制人的服务可能需要设备和后端服务之间的周期性通信。
自动评估和证书生成还可以允许针对访问系统执行实时评估,该系统可以具有特别高的安全要求,其中例如甚至已发几天的证书可以是不可接受的。这些高安全性系统可以要求当前(例如那天、那周等)的证书。在一些实施方式中,这可以自动地来处理。在一些实施方式中,在每次请求利用系统资源时,自动QSM评估过程可以允许系统要求重新评估和换发新证。
如下附加的示例说明了可以将QSM用于认证和/或授权的场景。出于本章节的目的,可以假设QSM内的设备具有SSC。具有其自身计算资源的设备或系统也可以被假设具有SRC。可以不具有SRC的设备的示例为USB记忆棒。由于许多USB记忆棒不具有其自身的计算资源,因此它们可能无法将其SRC与其接收的SSC相比较,所以对于它们来说可以不存在具有SRC的理由。此外,用于自身无计算资源的设备的SSC可以仅为BSSC,这是因为该设备无法从BSSC更新SSC。
使用QSM的设备可以利用SSC以便执行设备认证和授权网络访问。该认证和授权可以是互相的,允许各实体认证和授权它者,如上所述。利用自动化的QSM评估工具,该互相认证可以被扩展到外部设备,该外部设备可以要求对网络资源的临时或偶然的访问,诸如在公司办公室加入Wi-Fi访问点、访问在线商户等。资源拥有者可能无法要求可需要偶尔访问其资源的每个设备的物理评定,其中要求QSM评估工具的下载或访问作为登记或注册过程的一部分可以为切实可行的。然后QSM工具可以基于自动扫描生成自动化的BSSC,如上文所讨论,以及然后设备可以在被授予对网络资源的访问之前参与互相认证交换。
图19为根据本发明的实施方式的安全验证1800。在连接到网络时,设备可以将其SSC(或者在一些实施方式中BSSC)提供给网络1810。由于SSC为加密签名的证书,因此SSC对于设备来说可以是独特的。因此,可以利用SSC来向网络认证设备(而非用户)。该网络可以出于记录目的而利用SSC来识别可能以恶意或可疑方式活动的任何设备。在一些实施方式中,网络管理员可以利用SSC来基于设备的当前安全等级决定是否允许该设备加入网络。可以允许满足要求的设备加入网络1820。除了简单地授予或不授予访问外,还可以利用SSC来确定设备被授权访问哪些网段。例如,不满足企业的安全要求的设备可以被放在访客网络上,允许该设备访问因特网同时阻止访问企业资源1830。
图20为根据本发明的实施方式的安全验证1900。设备还可以利用SSC(或者在一些实施方式中BSSC)以便认证和授权网络本身。由于网络本身可以具有加密签名的SSC,因此设备可以有能力识别其正试图加入的网络。该方法可以消除网络伪造的可能性,无论有线的、无线的、还是蜂窝式。用户和/或系统管理员可以利用SSC以便限制设备将使用哪些网络。例如,企业管理员可以配置笔记本电脑,使得笔记本电脑仅能够连接到企业网络、雇员家里的指定远程路由器、和指定的蜂窝网络。雇员可能无法将其设备连接到任何其它网络。在本示例中,笔记本电脑可以将其SSC发送到网络1910。如果不针对NSS依从性评估网络,则该网络可以忽略SSC 1920。在该情况下,笔记本电脑可以拒绝连接到网络,因为不满足SRC1930。
此外,由于可以不定期更新SSC,因此系统管理员可以允许设备加入不太安全的网络。设备的SSC可以被更新以指示其已加入了哪个不安全网络。由于导致的SSC降低,企业网络可以在允许设备再次加入网络之前迫使该设备被重新评估。例如,当雇员带着其笔记本电脑旅行时,这类技术可以是有用的。另外,用户或系统管理员可以利用网络的SSC来授权可允许网络访问哪些设备资源。例如,设备的防火墙可以防止不满足特定安全等级的网络被允许访问设备上运行的文件共享或网络服务器。
图21为根据本发明的实施方式的安全验证2000。除了认证和授权网络外,计算机还可以基于设备的SSC(或者在一些实施方式中BSSC)认证和授权设备。例如,USB存储设备可以包含SSC并在连接到计算机时将SSC发送到计算机2010。如果SSC不满足特定标准(例如,不充分地加密静止的数据),则主机可以阻止用户将信息复制到USB棒2020。另外,如果主机可以检测正被复制的数据的性质,则关于是否允许复制发生的决定2020可以基于数据本身和目标设备的SSC的组合。对于许多其它类型的设备,类似的示例可以存在。在一些实施方式中,可以修改设备之间的握手以便确保一直传输SSC。例如,作为USB握手协议的一部分,主机和从设备二者可以共享其SSC。这可以允许设备执行互相认证和授权。
设备还可以利用SSC来允许对设备自身上的敏感信息的访问。例如,如果SSC满足特定标准,则具有受信任的计算空间的设备可以配置成仅授予对设备上的加密信息的访问。受信任的计算处理器可以检测访问加密卷的尝试,然后确定当前SSC是否满足对于该加密卷的标准。即使用户知道解密密钥,设备也可以阻止其解密信息,这是因为该设备(其可能已受损)不再受信任。这可以启动专门设计的计算设备,该计算设备使用用于敏感存储的分离部件,这可以要求SSC遵守SRC。本质上,敏感存储部件可以被系统看成分离的设备。
硬件产品和软件产品可以利用用户提供的SRC和期望的SSC(在可用范围内)来自动地配置用于建立SOS的参数和设置以确保依从性。将重担从用户移除以确定在产品配置中可用参数的什么组合可以提供功能和安全。同样地,资源拥有者可以要求特定服务或设备在访问其资源时被禁用或停止。使用自动配置过程和QSM自动评估过程二者可以允许这种类型的动态配置匹配安全要求。
SSC可以提供产品采购信息。产品制造商可以提供用于产品上线的SSC,允许顾客在其特定安全环境中执行产品之间的直接比较。类似地,网站可以允许潜在顾客提交SRC以便获知什么产品满足其安全要求。这可以允许顾客在进行购买之前判断哪个产品产生期望的安全增强或性能。甚至可能开发系统以运转系统的模拟,从而获知实施新产品或配置可以如何影响整体安全。制造商可以有能力量化他们可以提供给用户的安全性的量,以及示出他们针对给定安全SRC在其竞争者之上增加多少安全性。
QSM文件控制
可以针对一个已授权的接收者或一组接收者,使用公/私钥对,对受保护的文件进行加密。私钥可以被创建和存储在专门指定的QSM授权者上。授权者例如可以是安全模块100,该安全模块100的许可模块136和/或其它元件被配置为处理增强的SRC 2220和如下所述的相关联的文件控制方法。公/私钥对可以和全局唯一ID(GUID)一起存储在数据库中。受保护的文件可以被配置为例如包含要受保护的文件以及SRC的压缩档案的形式。一组许可键值对可被用于定义每个GUID的权限。此外,SRC可以,例如通过验证应用程序的BSSC和主机设备的BSSC,指定哪些应用程序被允许对受保护的文件进行作用。
图22是根据本发明的实施方式的增强SRC 2200。增强SRC 2200可与上述其它SRC类似,但增加了一个或多个访问控制列表(access control list,ACL)。ACL可以定义具有在文件上执行任务的许可的应用。例如,图22中的SRC 2200包括打印ACL(打印ACL可包括允许打印该文件的应用的列表)、查看ALC(查看ALC可包括允许查看该文件的应用的列表)、编辑ACL(编辑ACL可包括允许编辑文件的应用的列表)和复制/传输ACL(复制/传输ACL可包括允许复制和/或发送文件的应用的列表)。SRC 2200的示例ACL不应被视为可以实现的可能类型的ACL的完整列表。授权者可以负责确保根据ACL对请求者和尝试访问数据的机器或应用程序进行授权,并根据BSSC确保请求者和尝试访问数据的机器或应用程序满足最低安全要求。
图23是根据本发明的实施方式的受保护的文档2300。加密文档2300可以包括增强SRC 2310、未加密元数据2320以及可以包括受保护数据的加密文档档案2330。尽管未授权的个人可以看到文档存在并能查看未加密的部分,但在加密文档档案2330中的任何受保护内容可以保持安全。可以对受保护的文档2300进行数字签名,并被加密以为文档2300的真实性和作者作保证。此外,可以类似地对文件的更改进行数字签名。
图24A-图24B是根据本发明的实施例方式的安全核实2400和2450。QSM文档控制可以为查看、打印或编辑文档提供额外的安全级别。例如,文档的查看权可以限于特定的启用QSM的应用程序或基于由ACL和SSC(或者在一些实施方式中为BSSC)分别定义的主机计算机的QSM值。由于QSM应用程序可以实施QSM文档保护,因此在受信任的主机计算机上需要启用QSM的应用程序可以提供增强保护。例如,安全性设置可以仅允许其它用户查看文档,而不提供打印或编辑文档的能力。也可以利用专门的查看应用程序使得用户明显地更难以复制文件,这是由于用户可以查看的永久地存储在用户的计算机上的唯一版本是加密的受保护文档。可以基于外部因素限制文档,例如基于查看的计算机所处的地理或物理位置,或基于查看者查看文档时位于哪个网络上,将特定文档的查看限于一定次数。例如,当位于企业网络上时,可以将文档的查看限于企业计算机。
通过QSM,对显示受保护文档的系统要求可以宽泛,如QSM分数,或者可以严格,例如如用户、系统、QSM分数和物理位置。在设置被授权的查看者和系统权限时,可以要求使用QSM应用程序进行显示。例如,可以基于用户、查看系统或其组合,由文档所有者授权查看权限。文档所有者可以决定哪些用户被允许在哪个系统中查看文档。当用户想要查看受保护的QSM文档时,整个受保护的文档(加密版本以及SRC)和关于请求查看的用户的信息可以被发送给QSM授权者。受保护的文档可以利用只有QSM授权者知道的密钥加密,强迫查看者利用授权者以解密消息。这可阻止受损的查看系统或QSM分数降低到低于所要求的级别的系统能够绕过用于该文档的安全性措施。
在图24A的核实2400,启用QSM的笔记本电脑2410可尝试访问受保护的文档。用于笔记本电脑2410自身的SRC、用于试图访问文档的程序的SRC、笔记本电脑2410的标识和/或笔记本用户可以与该文档一起被发送给QSM授权者2420以进行核实2430。QSM授权者2420可以检查文档要求和证书,并确定笔记本电脑2410和软件的安全性级别足够高。QSM授权者2420还可以对照ACL检查笔记本电脑2410和/或笔记本电脑2410的用户以确定笔记本电脑2410和/或用户是否被允许访问受保护的文档。如果安全性级别足够高且笔记本电脑2410和/或用户在ACL上,可以提供对文档的访问2440。在图24B的核实2450中,启用QSM的笔记本电脑2410可试图访问受保护的文档。用于笔记本电脑2410自身的SRC、用于试图访问文档的程序的SRC、笔记本电脑2410的标识和/或笔记本电脑用户可以与该文档一起被发送给QSM授权者2420以进行核实2460。QSM授权者2420可以检查文档要求、证书、和标识,并确定一个或多个SRC不满足访问要求,和/或笔记本电脑2410和/或用户没有访问权限。因此,对文档的访问可以被拒绝2470。
在很多情况下,类似信息可以通常以不同的“须知”程度被散布给多个受众。QSM文档可以被利用以在内容或段落级别而不是简单地在文档级别保护文件。内容标记(例如段落分类)可以基于作者的标记自动加密信息。试图查看或打印文档的用户只可以看见该文档的他们被授权访问的部分。这种“修订”可以透明地发生(即,令未授权的部分完全消失)或非透明地发生(即文本被涂掉)。可以实施上述安全核实,且在将文档呈现给查看者之前,可以按照需要,依据查看者的安全级别加密该文档。
例如,图26为根据本发明的实施方式的受保护文档2600。文档2600可以包括多种级别的信息,包括未分类信息2630、机密信息2632和2634、和受保护的最高机密的信息2636、2368。甚至可以保护最低级别的未分类信息2630。被授权机密级别的用户可以只能看到未分类级别2630和机密级别2632、2643的内容。被授权最高机密级别的用户可以能够看到所有受保护的内容,包括最高机密的内容2636、2638。各个内容部分可以分别具有其自身的安全要求,或者如图所示,可以按照安全级别被分类。此外,可以基于ACL进一步限制内容访问。ACL可以与安全要求一起使用以定义设备和/或用户对受保护信息的权限。因此,在一个示例中,根据ACL的定义,用户对于某些最高机密内容2636可以具有打印和查看权限,但对于其它最高机密内容2638仅有查看权限。
此外,可以基于允许查看给定文档的次数、查看计算机所处的地理位置、观看者在查看文档时所处的网络等来限制文档访问。例如,在企业网络上时,查看文档可以限于企业计算机。
编辑受保护文档在性质上可以与查看文档类似。在一些实施方式中,为了确保维持QSM保护,可以需要专业的编辑。文档控制元数据可以限制用户只能编辑特定的区域或页面。当利用QSM文档控制以进行编辑时,还可以控制版本化。为了允许文件大小优化,用户可以能够控制需要维持的文档版本数量。版本化例如可以被设置为-1(无版本化)、0(无限制的版本)、n(除当前版本之外要保持多个版本)。
QSM还可以控制文档打印和/或复制。在一些实施方式中,在设置打印权限时,可以要求使用用于查看和编辑的QSM应用程序。文件所有者可以基于例如用户、打印机或其组合,授予打印权限。所有者可以决定哪些用户被允许打印该文档。所有者还可以确定哪些打印机(或打印机组)被允许打印该文档。QSM分数和/或QSM证书可以被用于确定授权。此外,某些用户可以被允许只能在某些打印机上进行打印。
企业和组织可以使用安全等级定义证书(Security Level DefinitionsCertificate,SLDC)创建信息分类。SLDC可以包括针对每个分类的安全要求以及用于每个分类的标签。SLDC可以被加载到产生QSM保护的文档的启用QSM的应用程序和设备中。此外,SLDC可以指示文档是应当整体还是分区地进行保护。例如,用户可以能够手动选择文件(或文件的部分)的分类,并且应用程序可以自动运用所需的安全措施。此外,应用程序和设备本身可以自动识别敏感信息,然后自动保护信息或提示用户核实分类。SLDC可以能够确保最低安全性适合一文档且可以被用户修改以增大安全性(例如通过将文件的一些部分分类到更高安全性)。安全级别可以被预定义和/或可以由用户定制。当应用程序和设备将SLDC设置应用于受保护的文档时,它们可以使用实际上的要求,而不是依赖于容易用户友好的标签。这可允许在可以通过不同方式应用标签的各种平台上打开(或限制)文档。
图25是根据本发明的实施方式的安全性验证2500。当用户想要打印受保护的QSM文档时,整个受保护的文档(加密版本连同SRC)可以连同关于请求打印的副本的用户和/或用户的计算机的信息一起发送给打印机。受保护的文档可以使用只有QSM授权者知道的密钥进行加密,强制打印机利用授权者来解密该消息。在一些实施方式中,在授权者已确认该设备被允许打印文档之后,授权设备可以利用相互认证的SSL协议,以将解密的文档发送回打印机并更新文档的SRC。这可阻止受损打印机或其QSM评分已经降低到低于所需级别的打印机能够绕过用于该文档的安全措施。在图25的验证2500中,启用QSM的笔记本电脑2510可以尝试打印受保护的文档。用于笔记本电脑2510的SRC、文档、以及笔记本电脑2410和/或笔记本电脑用户的标识可以被发送2540到启用QSM的打印机2530。用于笔记本电脑2510的SRC、用于打印机2530的SRC、笔记本电脑2410和/或笔记本用户的标识、打印机2530的标识以及文档可以被发送给QSM授权者2520进行核实2550。QSM授权者2520可以检查文档要求和证书,并确定笔记本电脑2510和打印机2530的安全级别足够高,且笔记本电脑2410、打印机2530和/或用户在ACL上。因此,可以授予打印文档的权限2560。
QSM文档控制硬件示例
被设计用于创建或处理文档的硬件可以被配置用于直接处理QSM保护的文档。例如,打印机、成像设备和传真机都可以都被配置用于本机地支持QSM文档控制。一种防篡改的简单实现方式可以是这样一种机制,该机制被配置成使得尝试访问打印机的处理区域将使安全存储区域(存储BSSC和SRC的位置)变得不可用。
专门的QSM设备可以包括安全处理器和具有防篡改安全措施的存储区域。可适用于QSM设备的示例性安全处理器和存储区域在申请号为14/523577、名称为“AutonomousControl Systems and Methods”的美国专利申请中公开,其通过引用结合在本申请中。安全处理器可以提供安全性的物理层,该物理层包括监控和动作模块,该监控和动作模块被配置用于实时持续分析任意数量的设备或系统间的连接状态并对抗预设程序的出界状态作用。使用安全处理器监控QSM保护的文档可以是一种过滤掉对访问或处理受保护文档的未授权的尝试的安全方法。
例如,打印器(例如任何产生数字图像或文档的硬表示或物理表示的设备,例如复印机、打印机、传真机、寄存器等)可以启用QSM。QSM文档控制可以允许受保护的文档自身在文档内携带和保持安全性控制。启用QSM的打印机可以通过将文档和打印机的BSSC提供给相关联的授权者来处理QSM保护的文档。在授权者已经确认设备被允许打印文档之后,授权者可以利用相互认证的SSL协议以将解密的文档发送回打印机并更新文档的SRC。可替选地,如果打印机有其自己的非对称密钥对,授权者可以使用打印机的公钥对文档进行加密并将文档传输给设备。打印机的安全处理器然后可以解密并打印文档,然后将文档从设备上删除。
在一些实施方式中,打印机可以具有受保护的分段存储。安全的打印任务可以在不被监控的情况下被打印,然后在它们输入所需的PIN(或使用物理键)以解锁存储盘之后,被用户采集。在一些实施方式中,打印机可被配置为嵌入不可见水印,该水印例如指示打印该硬拷贝的用户和打印机。这可允许泄露的文档被追溯到其来源。在一些实施方式中,打印机可以利用专门的纸张和/或油墨,该纸张和/或油墨可对扫描仪和复印机的强光作出反应,导致原件(和任何副本)变得不可读。
成像设备(例如,捕捉图像并生成包含该图像的文件的任何设备,如数码相机、传真机、扫描仪/复印机和医疗成像仪,如MRI,X-RAY和CT扫描仪)也可以启用QSM。启用QSM的数字成像设备可以自动生成受保护的文档。用户可以能够自动保护单个文档和/或整个“会话”,从而使成像设备在一旦图像被拍摄时,就加密图像。例如,“会话”可以持续到用户选择结束QSM会话或持续到成像设备断电或进入睡眠。QSM成像设备可以在授权者处进行注册,允许该用户生成必需的公钥和私钥对。例如,成像设备可以使用为注册到该设备的公钥来加密图像(和可选地元数据)。这可只允许该用户访问图像,直到他们决定授权其他用户或设备为止。除了有助于保护图像,启用QSM的图像还可以帮助用户维护版权和许可保护,并证明其对作品的所有权。
如传真机等通信设备也可以启用QSM。启用QSM的传真机可以允许共享传真机(例如位于办公室或商业办公服务零售点的共享传真机)安全地发送和接收文档。作为传真协商过程的一部分,两台机器都可以展示其BSSC。如果其中一台设备没有BSSC,或者BSSC的分数不够高,则设备可以拒绝该连接或允许用户返回标准传真协议。用户或管理员可以控制该行为。
当从启用QSM的传真机发送传真时,过程可以如下进行。用户可以输入接收者的电话号码以及预先共享的PIN或接收者的公共QSM证书。用户可以扫描封面和受保护的文档。
接收传真时,启用QSM的传真机可将传真保存为QSM保护的文档。图27是根据本发明的实施方式的受保护的文档2700。在该示例性的文档中,可以不加密封面页2722,以准许一些人理解应该如何分发文档。封面页2722可以与SRC 2710以及其它未加密的元数据2720存储在相同的级别。可以生成确认页面,该确认页面可以提供时间戳、页数和/或分辨率细节。确认页面可有助于确保整个传真以及被收到,但并不会透露传真本身的细节。还可以利用确认页面进行计费。被传真的文档2730的内容可以通过用户提供的PIN或从授权者获得的用户公钥进行加密。传真可以作为加密的受保护的文档进行存储,直到预期的接收者能够通过展示正确的私钥或预先共享的PIN来证明其所有权。只有在建立所有权之后,传真机才能允许文档被打印。也可以将受保护的文档复制到USB存储棒(启用QSM的或未启用QSM)或其它存储设备,从而可以使用其它系统建立所有权。
被设计用于创建或处理文档的硬件可以被设计或改装为直接处理受保护的文档。例如,可以提供专门的透镜(例如眼镜、护目镜或观看屏幕),例如通过与计算机的物理或无线连接而具有输入和输出能力的QSM增强透镜,该物理或无线连接从物理上改变透镜的光学性质或者与计算机协作以将信息部分地显示在透镜上以及部分地显示在专门的监控器或打印页面上,使得透镜和监控器或专门的打印介质需要能够显示受保护的信息。图28是根据本发明的实施方式的示例性透镜系统2800。这些透镜可要求某种形式的生物计量信息(如视网膜扫描)来解锁证书(如QSM证书)。该证书可用于建立相互认证的加密安全通道,其中部分或全部受保护数据显示在透镜上,和/或部分或全部受保护数据显示在监控器或打印页面上。其简单形式可与3D电影呈现的方式类似,其中,需要特殊的眼镜来清晰地观看立体图像。在另一个形式中,例如图28的示例,可以提供代码2810来代替受保护的数据。透镜2800然后可以直接以加密形式接收受保护的数据,并为已授权用户解密和显示受保护数据2820。如果用户移除眼镜或以其他方式“断开”安全连接,则可要求进行生物计量身份验证,以重新建立安全连接。为了防止“回复”生物攻击,除了提供生物计量标记之外,还可以使用双因子认证。例如,除了提供视网膜或指纹扫描之外,还可以向用户呈现需要特定移动或响应以验证身份的视觉或音频挑战。
与成像类似,在计算机上创建的文档可以在创建时被保护,并且类似于分类文档中的部分标记,可以适当地识别和“标记”每个元素、段落、图像、HIPAA项目、RSI等。然后可以通过在增强SRC内维持的ACL来控制这些元素。同样,可以识别数据库中的或数字形式的字段,并且输入的任何信息可以被该形式或记录的ACL自动保护。自此以后,可以与文档一起维护和携带该被保护的信息。
由于可以修改销售点设备(Point of Sale Device,POSD)以保护文档,因此扫描信用卡或从某其它设备接受付款可以不会使RSI被暴露给未经授权的个人或设备。POSD可以具有隔离和加密的安全存储区域,该安全存储区域包含QSM证书,以向客户和零售商保证该设备尚未被篡改和/或是真实的。例如,图29是根据本发明的实施方式的安全交易生态系统2900。示例性的POSD可以包括信用卡处理器2910和/或收银机2920。如上所述,这些设备可以使用QSM来保护信用卡数据。当授权者2930确认显示设备(例如计算机2940和/或打印机2950)的QSM证书符合用于显示敏感信用卡数据的规则时,可以允许显示数据,而未授权的设备可能被拒绝访问数据。这可以保护信用卡RSI免遭盗窃或欺诈。
对文档的保护可以扩展到实体卡,如信用卡、政府ID和包含RSI的访问牌。由于信息可以以受保护的形式存储在物理介质中,因此如果卡丢失、被盗或被复制,则可以不提供对RSI的访问。此外,为了确保该卡是真实的,可以将某种形式的加密水印、标签或标识符嵌入到卡中,该卡将卡颁发者和卡被发给的个体的身份关联。
可以将插件或附加件应用于公司邮件服务器、邮件客户端、Web服务器、Web浏览器以及通常用于传输、查看或处理敏感数据的其它应用程序。这些插件可以基于SLDC对数据执行QSM控制。插件可阻止在不发生首先正确地保护敏感信息的情况下,员工(有意或无意地)发送该敏感信息。例如,键入到电子邮件中的社会安全号码或信用卡号码可以被自动保护并路由到启用QSM的应用程序或安全邮件应用程序。在一些实施方式中,可以自动检测键入到文档的特定类型的信息(例如社会安全号码),并促使程序提示用户,由于该类型的信息存在于文档中,因此需要施加一定程度的保护。
专门的监控器可用于处理受保护的文档。这些监控器可以具有系统可修改的电致发光(或类似的)镜片或滤光器,这样的镜片或滤光器可以以禁止未经授权的用户查看或拍摄受保护文档的方式改变或掩蔽受保护的文档。在这种监控器中,可以始终在屏幕上看见非RSI内容,但RSI内容对于未经授权的用户可以是不可见的。监控器可以具有内置的生物计量检测或接近检测,使得当存在通过认证的用户时才将显示受保护的文档。接近标识的实现方式:发送设备(例如访问牌中内置的NFC标记)可以包括能安全被发送给监控器的用户身份信息。例如,监控器可提出挑战问题以在显示受保护的文档之前进一步核实身份。作为另一步骤,还可以将验证码发送给用户的移动电话,且可要求用户在开始能够进行查看的受保护的会话之前输入该验证码。当不再检测到接近时,会话可以终止。在另一个实施方式中,可以要求佩戴由系统通过密码认证的专用透镜系统的已授权用户处理或修改监控器上显示的信息以正确显示受保护的文档。可替选地,可以将受保护的文档发送给透镜,同步程序可以将显示的页面与透镜的视野对准,使得投影到透镜上的受保护文档将与监控器上显示的未受保护数据对齐。在一些仅仅监控器的实现方式的实施方式中,可以显示可见部件和不可见部件的组合,这可使自动数码摄像机增大其快门速度,使快门比显示文档更快(即,可以将文档以两个或更多个“交错的”或“分阶段的”部分进行展示,观看者的大脑可将该两个或更多个部分混合为单个图像,但是被照片不完整地捕获)。如果可以手动将摄像机设置到一个较低的快门速度,则未受保护的部件可能会使图像过度饱和,从而再次使RSI变得无法读取。
安全的文档控制实现的示例
为节约成本,企业和/或个人常常共享打印机。这可能造成敏感信息被留在打印机上,进而将信息泄露给不应当对其进行访问的个人。与专门的QSM打印机组合的QSM文档控制可阻止除已授权个人之外的对打印材料进行访问。打印机可以等待打印该文档直到用户位于打印机处(通过要求PIN)时,或将较大的打印任务存储在只有通过正确的PIN或物理键才能访问的安全盘中。QSM文档控制还可以提供打印任务的不可否认性。由于打印机记录可以是加密备份的,因此客户可能无法对他们在给定时间段内打印的页数进行质疑。
QSM文档控制可允许商业打印机服务以向客户提供可量化的安全性。由于材料可以被保护,使得只有服务中的的打印机才能访问这些材料,因此客户无需担忧员工盗窃这些材料的软拷贝。即使员工盗窃了文件,授权者也可以阻止员工对文件真正做任何事情。此外,虽然进行恶意打印服务的员工可能会尝试窃取文档的物理副本,但这种情况发生的可能性可以大大降低。QSM控制可以限制能够被打印的副本的数量,使得恶意员工需要将硬拷贝用物理办法带到另一个地方进行复制。此外,商店可以利用通过物理方法控制的打印机以在期望的接受者不在场的情况下,防止员工访问打印的材料。
可以利用QSM文档控制来根据HIPAA要求保护健康记录。根据实际的了解需要,文档可以被分成不同的访问级别(类似于政府区划)。例如,保险公司可以被授予访问权,以查看某些测试实际上是否已经实施,但不能查看测试结果。可以阻止在不受信任的计算机上打开QSM保护的文档。医生可以从个人计算机访问他们的电子邮件,但可需要在其安全的QSM网络上的受信任的计算机上或甚至物理地在医院里,以访问敏感的病人记录或附件。
启用QSM的闭路电视(closed-circuit television,CCTV)成像设备可以自动加密照片或视频输入,防止它们被未经批准的用户查看。成像设备可以被配置成仅允许某些用户访问某些计算机或限制对某些计算机的访问。除了提供CCTV供应的安全传输之外,QSM文档控制还可以提供照片被拍摄的地点和时间的加密证据。这可以被证明,对于在图像的真实性被讨论的刑事或民事案件来说是有用的。
类似于保护CCTV供应,QSM文档的真实性可通过密码方式证明这一事实,在分析通过QSM文档控制保护的记录时或将这样的记录用作法律证据时,可以是有用的。每个记录条目可以自动单独保护,以确保记录不能修改或变动。需要注意的是,尽管QSM文档控制可以维持文档的真实性,但可能无法直接保持记录的准确性。但是,由于记录条目创建时设备的QSM分数可以被获知,因此记录的相对完整性也可以被获知。
实体,例如政府实体,可以使用可以被利用的多个安全性分类以确定哪些个体可以访问哪些信息。QSM文档控制可允许文档不论其环境如何都可以保持其安全性。文档的分类级别可阻止其在未授权访问的机器上被查看。例如,在仅仅被评级为用于机密信息的机器上不可以意外地查看到最高机密文档。这可以防止无意泄漏和内部威胁的故意破坏。启用QSM的机器可以不允许用户创建文档的未受保护版本。因此,非QSM机器可能无法解密信息,因为只有QSM授权者才可以有所需的密钥。对于保密的网络和信息,只能从该保密的网络访问QSM授权者,这意味着如果从该保密的网络中移除文档,则该文档可能无法被解密。由于保密的文档的敏感性,QSM授权者可以强制执行QSM机器和QSM用户/组授权。用户可以具有与其登录相关联的证书,QSM授权者可以利用该证书来核实用户是否具有必需的许可级别。
对于查看具有受保护的RSI的物理文档的情况,考虑一文档,使得非RSI以纯文本形式可视,但任何受保护的RSI仅仅可见为加密的字符串、如图26的示例所示的“QR”代码、或不可见的光学签名。可以使用例如智能手机或平板电脑等设备来查看文档,并以用于文档的“增强现实”形式对受保护的RSI进行数字解码,覆盖和显示。智能手机或平板电脑可以通过指纹传感器或其它安全设备在生物统计学上绑定到用户。除非用户被认证,使得设备提供身份验证(例如,通过阳性指纹识别),否则智能手机或平板电脑无法被解锁。自定义QR读卡器应用可以使用设备的摄像机查看受保护的物理文档,并搜索编码或加密的RSI。SRC被嵌入到应用程序中,ACL可以核实,在解码受保护的RSI之前,用户能够看见受保护的RSI。在验证用户的权限之后,应用程序可以使用字符识别(OCR)或QR扫描算法以读入受保护的RSI,并将解码的/解密的RSI覆盖在屏幕上的编码/加密的RSI上面或代替屏幕上的编码的/加密的RSI。如果SRC权限允许,用户可以将文档读入应用程序以进行编辑,存储或传输。在另一个实施方式中,上述可穿戴式透镜也可以实现这种增强现实方案。
尽管上文已描述了各种实施方式,但是应当理解,通过示例而非限制的方式呈现了这些实施方式。对于相关领域中的技术人员将显而易见的是,在不脱离精神和范围的情况下可以进行各种形式和细节改变。事实上,在阅读上文描述之后,对于相关领域中的技术人员将显而易见的是如何实现替选实施方式。
此外,应当理解,仅出于示例目的呈现了突出功能和优势的任何附图。所公开的方法和系统均足够灵活且可配置使得可以以所示出的方式以外的方式来利用这些方法和系统。
尽管术语“至少一个”可以经常被用在说明书、权利要求和附图中,但是术语“一”、“该”、“所述”等在说明书、权利要求和附图中也表示“至少一个”或“该至少一个”。
最后,申请人的意图是仅包括明确语言“用于...的部件”或“用于...的步骤”的权利要求根据35U.S.C.112(f)来理解。不明确包括短语“用于...的部件”或“用于...的步骤”的权利要求不根据35U.S.C.112(f)来理解。
Claims (80)
1.一种用于控制对文档的访问的系统,包括:
包括处理器和物理存储器的安全模块,所述处理器被构造且布置成用于:
从试图访问受保护的电子文件的一部分的设备接收包括安全分数的证书;
将所述安全分数与所述存储器中的用于所述受保护的电子文件的文件访问规则进行比较,以确定所述安全分数是否满足所述文件访问规则;
当所述安全分数满足所述文件访问规则时,提供对所述受保护的电子文件的所述部分的访问;以及
当所述安全分数不满足所述文件访问规则时,拒绝对所述受保护的电子文件的所述部分的访问。
2.如权利要求1所述的系统,其中,所述处理器还被构造且布置成用于:
基于存储在所述存储器中的访问控制信息,确定所述设备和/或所述设备的用户是否被允许访问所述文件;
当所述设备和/或所述设备的用户被允许访问所述文件时,提供对所述受保护的电子文件的所述部分的访问;以及
当所述设备和/或所述设备的用户不被允许访问所述文件时,拒绝对所述受保护的电子文件的所述部分的访问。
3.如权利要求1所述的系统,其中,所述处理器还被构造且布置成用于保护所述受保护的电子文件。
4.如权利要求3所述的系统,其中,保护所述受保护的电子文件包括:
对所述电子文件加密;
生成公钥/私钥对;以及
将所述私钥存储在所述存储器中。
5.如权利要求1所述的系统,其中,所述处理器还被构造且布置成用于生成所述文件访问规则。
6.如权利要求5所述的系统,其中,生成所述文件访问规则包括:
识别所述受保护的电子文件中的待被保护的一部分;以及
限定用于访问所识别的所述部分的所需安全分数。
7.如权利要求5所述的系统,其中,生成所述文件访问规则包括:
识别所述受保护的电子文件中的待被保护的多个部分;以及
限定用于访问所识别的所述多个部分中的每个部分的所需安全分数,其中所识别的所述多个部分中的至少两个部分具有不同的所需安全分数。
8.如权利要求1所述的系统,其中,所述安全分数包括当前的归一化安全分数。
9.如权利要求1所述的系统,其中,所述文件访问规则包括安全等级指标。
10.如权利要求1所述的系统,其中,提供对所述受保护的电子文件的所述部分的访问包括生成用于所述设备的可接受的安全性的标记。
11.如权利要求1所述的系统,其中,所述受保护的电子文件包括文档。
12.如权利要求1所述的系统,其中,提供对所述受保护的电子文件的所述部分的访问包括允许对所述受保护的电子文件的所述部分进行查看、编辑、打印、复制或传输、或者其组合。
13.如权利要求12所述的系统,其中,所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。
14.如权利要求1所述的系统,其中,拒绝对所述受保护的电子文件的所述部分的访问包括阻止对所述受保护的电子文件的所述部分进行查看、编辑、打印、复制或传输,或者其组合。
15.如权利要求13所述的系统,其中,所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。
16.一种用于控制对文档的访问的方法,包括:
通过包括处理器和物理存储器的安全模块中的所述处理器,从试图访问受保护的电子文件的一部分的设备接收包括安全分数的证书;
通过所述处理器将所述安全分数与所述存储器中的用于所述受保护的电子文件的文件访问规则进行比较,以确定所述安全分数是否满足所述文件访问规则;
当所述安全分数满足所述文件访问规则时,通过所述处理器提供对所述受保护的电子文件的所述部分的访问;以及
当所述安全分数不满足所述文件访问规则时,通过所述处理器拒绝对所述受保护的电子文件的所述部分的访问。
17.如权利要求16所述的方法,还包括:
通过所述处理器,基于存储在所述存储器中的访问控制信息,确定所述设备和/或所述设备的用户是否被允许访问所述文件;
当所述设备和/或所述设备的用户被允许访问所述文件时,通过所述处理器提供对所述受保护的电子文件的所述部分的访问;以及
当所述设备和/或所述设备的用户不被允许访问所述文件时,通过所述处理器拒绝对所述受保护的电子文件的所述部分的访问。
18.如权利要求16所述的方法,还包括通过所述处理器保护所述受保护的电子文件。
19.如权利要求18所述的方法,其中,保护所述受保护的电子文件包括:
对所述电子文件加密;
生成公钥/私钥对;以及
将所述私钥存储在所述存储器中。
20.如权利要求16所述的方法,还包括通过所述处理器生成所述文件访问规则。
21.如权利要求19所述的方法,其中,生成所述文件访问规则包括:
识别所述受保护的电子文件中的待被保护的一部分;以及
限定用于访问所识别的所述部分的所需安全分数。
22.如权利要求19所述的方法,其中,生成所述文件访问规则包括:
识别所述受保护的电子文件中的待被保护的多个部分;以及
限定用于访问所识别的所述多个部分中的每个部分的所需安全分数,其中所识别的所述多个部分中的至少两个部分具有不同的所需安全分数。
23.如权利要求16所述的方法,其中,所述安全分数包括当前的归一化安全分数。
24.如权利要求16所述的方法,其中,所述文件访问规则包括安全等级指标。
25.如权利要求16所述的方法,其中,提供对所述受保护的电子文件的所述部分的访问包括生成用于所述设备的可接受的安全性的标记。
26.如权利要求16所述的方法,其中,所述受保护的电子文件包括文档。
27.如权利要求16所述的方法,其中,提供对所述受保护的电子文件的所述部分的访问包括允许对所述受保护的电子文件的所述部分进行查看、编辑、打印、复制或传输、或者其组合。
28.如权利要求27所述的系统,其中,所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。
29.如权利要求16所述的方法,其中,拒绝对所述受保护的电子文件的所述部分的访问包括阻止对所述受保护的电子文件的所述部分进行查看、编辑、打印、复制或传输、或者其组合。
30.如权利要求29所述的系统,其中,所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。
31.一种用于控制对文档的访问的系统,包括:
包括设备安全模块的文件处理设备,所述设备安全模块包括设备处理器和设备物理存储器,所述设备处理器被构造且布置成用于:
发送受保护的电子文件;以及
发送包括用于所述文件处理设备的安全分数的证书以请求对所述受保护的电子文件的访问;以及
包括授权者安全模块的授权者,所述授权者安全模块包括授权者处理器和授权者物理存储器,所述授权者处理器被构造且布置成用于:
接收所述证书和所述受保护的电子文件;
将所述安全分数与所述授权者存储器中的所述受保护的电子文件的文件访问规则进行比较,以确定所述安全分数是否满足所述文件访问规则;
当所述安全分数满足所述文件访问规则时,通过将所述受保护的电子文件转换为可访问的版本并将所述可访问的版本发送给所述文件处理设备,提供对所述受保护的电子文件的所述部分的访问;以及
当所述安全分数不满足所述文件访问规则时,拒绝对所述受保护的电子文件的所述部分的访问。
32.如权利要求31所述的系统,其中,所述授权者还被构造且布置成用于:
基于存储在所述存储器中的访问控制信息,确定所述设备和/或所述设备的用户是否被允许访问所述文件;
当所述设备和/或所述设备的用户被允许访问所述文件时,提供对所述受保护的电子文件的所述部分的访问;以及
当所述设备和/或所述设备的用户不被允许访问所述文件时,拒绝对所述受保护的电子文件的所述部分的访问。
33.如权利要求31所述的系统,其中,所述授权者处理器还被构造且布置成用于保护所述受保护的电子文件。
34.如权利要求33所述的系统,其中,保护所述受保护的电子文件包括:
对所述电子文件加密;
生成公钥/私钥对;以及
将所述私钥存储在所述存储器中。
35.如权利要求31所述的系统,其中,所述授权者处理器还被构造且布置成用于生成所述文件访问规则。
36.如权利要求35所述的系统,其中,生成所述文件访问规则包括:
识别所述受保护的电子文件中的待被保护的一部分;以及
限定用于访问所识别的所述部分的所需安全分数。
37.如权利要求35所述的系统,其中,生成所述文件访问规则包括:
识别所述受保护的电子文件中的待被保护的多个部分;以及
限定用于访问所识别的所述多个部分中的每个部分的所需安全分数,其中所识别的所述多个部分中的至少两个部分具有不同的所需安全分数。
38.如权利要求31所述的系统,其中,所述安全分数包括当前的归一化安全分数。
39.如权利要求31所述的系统,其中,所述文件访问规则包括安全等级指标。
40.如权利要求31所述的系统,其中,提供对所述受保护的电子文件的所述部分的访问包括生成用于所述设备的可接受的安全性的标记。
41.如权利要求31所述的系统,其中,所述受保护的电子文件包括文档。
42.如权利要求31所述的系统,其中,所述设备处理器还被构造且布置成用于:
接收所述可访问的版本;以及
进行与所述可访问的版本的查看、编辑、打印、复制或传输、或者其组合相关联的处理。
43.如权利要求42所述的系统,其中,所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。
44.如权利要求31所述的系统,其中所述受保护的电子文件存储在所述设备存储器中。
45.如权利要求31所述的系统,还包括第二文件处理设备,所述第二文件处理设备包括第二设备安全模块,所述第二设备安全模块包括第二设备处理器和第二设备物理存储器;其中,
所述第二设备处理器被构造且布置成用于:
选择供访问的所述受保护的电子文件;
指示所述设备访问所述受保护的电子文件;以及
发送包括用于所述第二文件处理设备的第二安全分数的第二证书以请求对所述受保护的电子文件的访问;以及
所述授权者处理器还被构造且布置成用于:
接收所述第二证书;
将所述第二安全分数与所述授权者存储器中的用于所述受保护的电子文件的所述文件访问规则进行比较,以确定所述第二安全分数是否满足所述文件访问规则;
当所述安全分数和所述第二安全分数都满足所述文件访问规则时,提供对所述受保护的电子文件的所述部分的访问;以及
当所述安全分数和所述第二安全分数中的至少一者不满足所述文件访问规则时,拒绝对所述受保护的电子文件的所述部分的访问。
46.如权利要求45所述的系统,其中,所述设备处理器还被构造且布置成用于:
从所述第二设备处理器接收所述第二证书;以及
发送所述第二证书以及所述证书。
47.如权利要求45所述的系统,其中:
所述第二设备处理器还被构造且布置成用于发送所述受保护的电子文件;以及
所述设备处理器还被构造且布置成用于在发送所述受保护的电子文件之前接收所述受保护的电子文件。
48.如权利要求45所述的系统,其中,所述受保护的电子文件存储在所述设备存储器或所述第二设备存储器上,或存储在所述设备存储器和所述第二设备存储器二者上。
49.一种用于控制对文档的访问的方法,包括:
通过包括设备处理器和设备物理存储器的设备安全模块的所述设备处理器,发送受保护的电子文件;
通过所述设备处理器发送包括用于所述文件处理设备的安全分数的证书,以请求对所述受保护的电子文件的访问;
通过包括授权者处理器和授权者物理存储器的授权者安全模块的所述授权者处理器,接收所述证书和所述受保护的电子文件;
通过所述授权者处理器,将所述安全分数与所述授权者存储器中的用于所述受保护的电子文件的文件访问规则进行比较,以确定所述安全分数是否满足所述文件访问规则;
当所述安全分数满足所述文件访问规则时,通过所述授权者处理器,通过将所述受保护的电子文件转换为可访问的版本并将所述可访问的版本发送到所述文件处理设备,提供对所述受保护的电子文件的所述部分的访问;以及
当所述安全分数不满足所述文件访问规则时,通过所述授权者处理器拒绝对所述受保护的电子文件的所述部分的访问。
50.如权利要求49所述的方法,还包括:
通过所述授权者处理器,基于存储在所述存储器中的访问控制信息,确定所述设备和/或所述设备的用户是否被允许访问所述文件;
当所述设备和/或所述设备的用户被允许访问所述文件时,通过所述授权者处理器提供对所述受保护的电子文件的所述部分的访问;以及
当所述设备和/或所述设备的用户不被允许访问所述文件时,通过所述授权者处理器拒绝对所述受保护的电子文件的所述部分的访问。
51.如权利要求49所述的方法,还包括:通过所述授权者处理器保护所述受保护的电子文件。
52.如权利要求51所述的方法,其中,保护所述受保护的电子文件包括:
对所述电子文件加密;
生成公钥/私钥对;以及
将所述私钥存储在所述存储器中。
53.如权利要求49所述的方法,还包括:通过所述授权者处理器生成所述文件访问规则。
54.如权利要求53所述的方法,其中,生成所述文件访问规则包括:
识别所述受保护的电子文件中的待被保护的一部分;以及
限定用于访问所识别的所述部分的所需安全分数。
55.如权利要求53所述的方法,其中,生成所述文件访问规则包括:
识别所述受保护的电子文件中的待被保护的多个部分;以及
限定用于访问所识别的所述多个部分中的每个部分的所需安全分数,其中所识别的所述多个部分中的至少两个部分具有不同的所需安全分数。
56.如权利要求49所述的方法,其中,所述安全分数包括当前的归一化安全分数。
57.如权利要求49所述的方法,其中,所述文件访问规则包括安全等级指标。
58.如权利要求49所述的方法,其中,提供对所述受保护的电子文件的所述部分的访问包括生成用于所述设备的可接受的安全性的标记。
59.如权利要求49所述的方法,其中,所述受保护的电子文件包括文档。
60.如权利要求49所述的方法,还包括:
通过所述设备处理器接收所述可访问的版本;以及
通过所述设备处理器进行与所述可访问的版本的查看、编辑、打印、复制或传输、或其组合相关联的处理。
61.如权利要求60所述的系统,其中,所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。
62.如权利要求49所述的方法,其中,所述受保护的电子文件存储在所述设备存储器中。
63.如权利要求49所述的方法,还包括:
通过包括第二设备处理器和第二设备物理存储器的第二设备安全模块的所述第二设备处理器,选择供访问的所述受保护的电子文件;
通过所述第二设备处理器指示所述设备访问所述受保护的电子文件;
通过所述第二设备处理器发送包括用于所述第二文件处理设备的第二安全分数的第二证书以请求访问所述受保护的电子文件;
通过所述授权者处理器接收所述第二证书;
通过所述授权者处理器,将所述第二安全分数与所述授权者存储器中的用于所述受保护的电子文件的所述文件访问规则进行比较,以确定所述第二安全分数是否满足所述文件访问规则;
当所述安全分数和所述第二安全分数都满足所述文件访问规则时,通过所述授权者处理器,提供对所述受保护的电子文件的所述部分的访问;以及
当所述安全分数和所述第二安全分数中的至少一者不满足所述文件访问规则时,通过所述授权者处理器,拒绝对所述受保护的电子文件的所述部分的访问。
64.如权利要求63所述的方法,还包括:
通过所述设备处理器,从所述第二设备处理器接收所述第二证书;以及
通过所述设备处理器发送所述第二证书以及所述证书。
65.如权利要求63所述的方法,还包括:
通过所述第二设备处理器,发送所述受保护的电子文件;以及
通过所述设备处理器,在发送所述受保护的电子文件之前接收所述受保护的电子文件。
66.如权利要求63所述的方法,其中,所述受保护的电子文件存储在所述设备存储器或所述第二设备存储器上,或存储在所述设备存储器和所述第二设备存储器二者上。
67.一种安全性评估方法,包括:
通过处理器接收系统的分解,其中,所述系统分解为一个或多个部件;
通过所述处理器评估每个所述部件以将安全分数归属于每个所述部件;
通过所述处理器,基于所述安全分数生成用于所述系统的综合安全分数;
通过所述处理器生成衰减率度量,所述衰减率度量表征所述系统的概率性的安全降级;
通过所述处理器将所述衰减率度量应用于所述综合安全分数以获取当前综合安全分数;
通过所述处理器提供所述当前综合安全分数;
基于所述当前综合安全分数与安全等级指标的比较,选择性地生成用于所述系统的可接受的安全性的标记;以及
通过所述处理器,基于所述可接受的安全性的标记的值,控制对数字文件或数字文件集合的许可权限。
68.如权利要求67所述的方法,还包括创建压缩档案,所述压缩档案包括所述数字文件或所述数字文件集合、以及包括所述可接受的安全性的标记的安全要求证书,并且创建一组许可键值对以及用于验证所述系统上的应用程序的基础安全分数证书的验证数据。
69.如权利要求67所述的方法,还包括将包括真实性标记和创始者标记的已加密数字签名应用于所述数字文件或所述数字文件集合中的每个数字文件,其中,在文件创建时应用所述数字签名,以及每当所述数字文件或所述数字文件集合发生变化时将所述数字签名更新或应用为第二加密数字签名。
70.如权利要求67所述的方法,还包括基于所述可接受的安全性的标记的值控制对数字文件的一部分的访问和许可,所述控制包括选择性地显示所述数字文件的一部分或在视觉上覆盖所述数字文件的所显示的部分。
71.如权利要求67所述的方法,还包括基于所述可接受的安全性的标记的值,实施用以允许打印、复制、显示、编辑和/或传输数字文件的属性、设置和许可。
72.如权利要求67所述的方法,还包括自动实施安全控制,所述安全控制将与文档相关联的属性、设置和许可指定到所述文档的物理实例。
73.如权利要求67所述的方法,还包括将所述数字文件中指定的安全属性转发给硬件设备,使得所述硬件设备实现相关联的物理安全方法。
74.一种安全性评估系统,包括:
处理器,所述处理器被配置用于:
接收系统的分解,其中,所述系统分解为一个或多个部件;
评估每个所述部件以将安全分数归属于每个所述部件;
基于所述安全分数生成用于所述系统的综合安全分数;
生成衰减率度量,所述衰减率度量表征所述系统的概率性的安全降级;
将所述衰减率度量应用于所述综合安全分数以获取当前综合安全分数;
提供所述当前综合安全分数;以及
基于所述当前综合安全分数与安全等级指标的比较,选择性地生成用于所述系统的可接受的安全性的标记;以及
与所述处理器通信的文档处理设备,所述文档处理设备被配置用于基于所述可接受的安全性的标记的值,控制对数字文件或数字文件集合的许可。
75.如权利要求74所述的系统,其中,所述处理器还被配置用于创建压缩档案,所述压缩档案包括所述数字文件或所述数字文件集合、以及包括所述可接受的安全性的标记的安全要求证书,并且创建一组许可键值对以及用于验证所述系统上的应用程序的基础安全分数证书的验证数据。
76.如权利要求74所述的系统,其中,所述处理器还被配置用于将包括真实性标记和创始者标记的已加密数字签名应用于所述数字文件或所述数字文件集合中的每个数字文件,其中,在文件创建时应用所述数字签名,以及每当所述数字文件或所述数字文件集合发生变化时将所述数字签名更新或应用为第二加密数字签名。
77.如权利要求74所述的系统,其中,所述文档处理设备还被配置用于基于所述可接受的安全性的标记的值控制对数字文件的一部分的访问和许可,所述控制包括选择性地显示所述数字文件的一部分或在视觉上覆盖所述数字文件的所显示的部分。
78.如权利要求74所述的系统,其中,所述文档处理设备还被配置用于基于所述可接受的安全性的标记的值,实施用以允许打印、复制、显示、编辑和/或传输数字文件的属性、设置和许可。
79.如权利要求78所述的系统,其中,所述文档处理设备还被配置用于实施安全控制,所述安全控制将与文档相关联的属性、设置和许可指定到所述文档的物理实例。
80.如权利要求78所述的系统,其中,所述文档处理设备还被配置用于将所述数字文件中指定的安全属性转发给硬件设备,使得所述设备实现相关联的物理安全方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462078143P | 2014-11-11 | 2014-11-11 | |
US62/078,143 | 2014-11-11 | ||
PCT/US2015/060212 WO2016044859A1 (en) | 2014-09-16 | 2015-11-11 | Security evaluation systems and methods for secure document control |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107003831A true CN107003831A (zh) | 2017-08-01 |
Family
ID=58646000
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580061924.5A Pending CN107003831A (zh) | 2014-11-11 | 2015-11-11 | 用于安全文档控制的安全评估系统和方法 |
Country Status (3)
Country | Link |
---|---|
KR (1) | KR20170082608A (zh) |
CN (1) | CN107003831A (zh) |
CA (1) | CA2965156A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110032840A (zh) * | 2019-04-16 | 2019-07-19 | 广东欧谱曼迪科技有限公司 | 一种对外接存储设备的医疗器械访问权限控制的方法 |
CN113704221A (zh) * | 2021-11-01 | 2021-11-26 | 佳瑛科技有限公司 | 一种基于分布式环境存储电子文档的方法及系统 |
CN114417099A (zh) * | 2022-01-21 | 2022-04-29 | 黑龙江中医药大学 | 一种基于rfid标签的档案管理系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11062098B1 (en) | 2020-08-11 | 2021-07-13 | Capital One Services, Llc | Augmented reality information display and interaction via NFC based authentication |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050102513A1 (en) * | 2003-11-10 | 2005-05-12 | Nokia Corporation | Enforcing authorized domains with domain membership vouchers |
US20070143629A1 (en) * | 2004-11-29 | 2007-06-21 | Hardjono Thomas P | Method to verify the integrity of components on a trusted platform using integrity database services |
US20080077703A1 (en) * | 2006-09-22 | 2008-03-27 | Samsung Electronics Co., Ltd. | Method and apparatus for transmitting/receiving content by interconnecting internet protocol television with home network |
US20080155649A1 (en) * | 2006-12-26 | 2008-06-26 | Sophia Maler | System and method for multi-context policy management |
US20110247081A1 (en) * | 2010-03-30 | 2011-10-06 | Private Access, Inc. | System and method for selectively redacting information in electronic documents |
US8892249B2 (en) * | 2011-08-26 | 2014-11-18 | Elwha Llc | Substance control system and method for dispensing systems |
WO2016044859A1 (en) * | 2014-09-16 | 2016-03-24 | Temporal Defense Systems, Llc | Security evaluation systems and methods for secure document control |
-
2015
- 2015-11-11 CN CN201580061924.5A patent/CN107003831A/zh active Pending
- 2015-11-11 KR KR1020177015850A patent/KR20170082608A/ko unknown
- 2015-11-11 CA CA2965156A patent/CA2965156A1/en not_active Abandoned
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050102513A1 (en) * | 2003-11-10 | 2005-05-12 | Nokia Corporation | Enforcing authorized domains with domain membership vouchers |
US20070143629A1 (en) * | 2004-11-29 | 2007-06-21 | Hardjono Thomas P | Method to verify the integrity of components on a trusted platform using integrity database services |
US20080077703A1 (en) * | 2006-09-22 | 2008-03-27 | Samsung Electronics Co., Ltd. | Method and apparatus for transmitting/receiving content by interconnecting internet protocol television with home network |
US20080155649A1 (en) * | 2006-12-26 | 2008-06-26 | Sophia Maler | System and method for multi-context policy management |
US7987495B2 (en) * | 2006-12-26 | 2011-07-26 | Computer Associates Think, Inc. | System and method for multi-context policy management |
US20110247081A1 (en) * | 2010-03-30 | 2011-10-06 | Private Access, Inc. | System and method for selectively redacting information in electronic documents |
US8892249B2 (en) * | 2011-08-26 | 2014-11-18 | Elwha Llc | Substance control system and method for dispensing systems |
WO2016044859A1 (en) * | 2014-09-16 | 2016-03-24 | Temporal Defense Systems, Llc | Security evaluation systems and methods for secure document control |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110032840A (zh) * | 2019-04-16 | 2019-07-19 | 广东欧谱曼迪科技有限公司 | 一种对外接存储设备的医疗器械访问权限控制的方法 |
CN110032840B (zh) * | 2019-04-16 | 2022-12-02 | 广东欧谱曼迪科技有限公司 | 一种对外接存储设备的医疗器械访问权限控制的方法 |
CN113704221A (zh) * | 2021-11-01 | 2021-11-26 | 佳瑛科技有限公司 | 一种基于分布式环境存储电子文档的方法及系统 |
CN114417099A (zh) * | 2022-01-21 | 2022-04-29 | 黑龙江中医药大学 | 一种基于rfid标签的档案管理系统 |
CN114417099B (zh) * | 2022-01-21 | 2022-09-09 | 黑龙江中医药大学 | 一种基于rfid标签的档案管理系统 |
Also Published As
Publication number | Publication date |
---|---|
CA2965156A1 (en) | 2016-03-24 |
KR20170082608A (ko) | 2017-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20160078247A1 (en) | Security evaluation systems and methods for secure document control | |
Eichelberg et al. | Cybersecurity in PACS and medical imaging: an overview | |
Andriole | Security of electronic medical information and patient privacy: what you need to know | |
Cundiff | Reasonable measures to protect trade secrets in a digital environment | |
CN107003831A (zh) | 用于安全文档控制的安全评估系统和方法 | |
Furnell | Securing information and communications systems: Principles, technologies, and applications | |
Baars et al. | Foundations of information security based on ISO27001 and ISO27002 | |
Roratto et al. | Security information in production and operations: a study on audit trails in database systems | |
Shukla et al. | Data Ethics and Challenges | |
Weiss et al. | Auditing IT infrastructures for compliance | |
Parker | Managing threats to health data and information: toward security | |
CN101939748A (zh) | 通过信任委托的激活 | |
Habibu et al. | A study of users’ compliance and satisfied utilization of biometric application system | |
Al Qartah | Evolving ransomware attacks on healthcare providers | |
Nielsen | CS651 computer systems security foundations 3d imagination cyber security management plan | |
Loren et al. | Computer Software-Related Litigation: Discovery and the Overly-Protective Order | |
Mercuri | Courtroom considerations in digital image forensics | |
Graves | Confidentiality, electronic health records, and the clinician | |
Bitar et al. | Gdpr: Securing personal data in compliance with new eu-regulations | |
Naranjo Rico | Holistic business approach for the protection of sensitive data: study of legal requirements and regulatory compliance at international level to define and implement data protection measures using encryption techniques | |
Habibu | Development of secured algorithm to enhance the privacy and security template of biometric technology | |
Ahmed et al. | Towards The Data Security And Digital Evidence Based Solution In Bangladesh Perspective | |
Wen et al. | Privacy and security in E-healthcare information management | |
Alshammari et al. | Towards a principled approach for engineering privacy by design | |
Dugonjić et al. | Safety Aspects in Shared Medical it Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1240665 Country of ref document: HK |
|
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170801 |