Systemandmethodforsecuringdata的製作方法

2023-04-27 13:15:26

專利名稱：System and method for securing data的製作方法
技術領域：
本發明涉及用於保密數據的系統和方法，並特別但不只涉及用於保密以電子形式 發送的數據對象的系統和方法。
背景技術：
在線上環境中，電子數據常常被從一個點分發到另一個點。在有必要保密數據免 受未授權使用或訪問的情況下，特別在數據是機密的或要求保護的情況下，用戶可以—— 在將數據在未受保護的網絡上發送之前——使用一個系統來加密數據。一些用於加密數據的系統和方法是已知的。這些系統，允許用戶選擇數據對象， 然後通過客戶端的操作，用密碼或其他類型的密鑰(如PIN(個人識別號碼)、生物標記，等 等)加密數據對象，以產生加密數據文件。然後這個數據文件對於未授權用戶而言是「被保 密的」，因為數據文件的內容不能被用戶看到，除非該用戶有正確的信息能夠使該文件「公 開」。當要求解密數據文件時，擁有密碼的授權用戶可以使用客戶端解密數據文件。這樣的系統在用戶幾乎沒有或完全沒有意願分發加密的數據文件的情況下是有 用的。在這種安排中，一旦數據對象被加密，數據對象就可以經由不安全的網絡分發。然 而，用戶也必須找到一種方法來為已授權的人分發密碼，以解密對象。常常是，為了效率的 目的，密碼經不安全的網絡分發，自身沒有任何加密。這增加了數據對象變得不安全的可能 性，因為密碼可以被攔截或分發到未授權的一方。進一步的考慮是由標準加密提供的保護等級是最小的，因為加密密鑰存儲在加密 數據文件本身中。也就是，一旦文件被接收，黑客就擁有解密數據文件所需的所有數據。再 者，若用戶技術上不精通，選擇了易破解的密碼，意味著數據對象易於用「暴力」方法來解
r t [ ο即使在更安全和更可靠的密碼被用來加密數據對象的情況下，用戶仍然不能夠控 制數據對象被使用的方式，因為一旦密碼和數據對象已經被分發，對文件進行操作的許可 會被完全轉移到接收用戶。例如，在用戶加密數據對象，並經由國際網際網路發送數據對象 到另一地方的情況下，接收用戶仍可能在對對象的安全沒有任何考慮的情況下分發數據對 象。例如，第三方可以將密碼和加密數據對象一起自由分發，或移去全部加密並因此允許多 個未知的用戶訪問數據對象。這些限制使用戶很難安全地控制電子文件中的數據。

發明內容
在本發明的第一方面中，提供一種用於保密由第一用戶分發到至少一個接收用戶 的數據的方法，包括以下步驟響應來自第一用戶的請求用密鑰來加密數據；並把密鑰的 位置記錄到資料庫中，其中一旦資料庫接收來自所述至少一個接收用戶的要求授權的請 求，則在所述至少一個接收用戶授權後向其提供密鑰。在一個實施方案中，提供進一步的步驟資料庫接收規則，該規則被安排以限制所述至少一個接收用戶與數據的交互。在一個實施方案中，授權的步驟包括以下進一步的步驟將至少一個接收用戶的 標識配置文件(identification profile)與預定標準比較，其中，如果所述預定標準匹配 所述標識配置文件，則所述至少一個接收用戶被授權。在一個實施方案中，標識配置文件包括至少一個描述了所述至少一個接收用戶的 特徵的標準。在一個實施方案中，第一用戶與客戶端應用程式交互，客戶端應用程式向中央源 要求密鑰。在一個實施方案中，至少一個用戶與至少一個接收端應用程式交互，所述至少一 個接收端應用程式被安排為向中央源要求授權以解密數據。在一個實施方案中，密鑰由中央源和客戶端應用程式兩者之一產生。在一個實施方案中，中央源包括網閘伺服器組件，其被安排為保護伺服器免受未 授權用戶影響。在一個實施方案中，中央源進一步包括日誌伺服器組件，其被安排以記錄接收用 戶對數據採取的任何行為。在一個實施方案中，數據作為加密的數據串，被包含在文件包中。在一個實施方案中，文件包是安全文檔，被安排為由接收端應用程式處理。在一個實施方案中，為數據對象提供安全信封，安全信封被安排用來封入數據，以 使得當數據在信封中時，所述至少一個接收用戶與數據的交互被第一用戶建立的規則限 制。在本發明的第二方面中，提供一種用於保密由第一用戶分發到至少一個接收用戶 的數據的系統，包括被安排為響應來自第一用戶的請求用密鑰來加密數據的模塊；和，被 安排為把密鑰的位置記錄到資料庫中的例程，其中一旦資料庫接收來自所述至少一個接收 用戶的要求授權的請求，則在所述至少一個接收用戶授權後向其提供密鑰。在第二方面的一個實施方案中，資料庫被安排以接收規則，該規則被安排以限制 所述至少一個接收用戶與數據的交互。在第三方面的一個實施方案中，提供一種電腦程式，包括至少一個用來控制計 算機系統以實施本發明第一方面的方法的指令。


現在僅通過舉例方式參考附圖，描述本發明的實施方案。在附圖中圖1是依照本發明的一個實施方案的系統的方塊圖；並且圖2是依照圖1實施方案的系統的一個方面的操作的流程圖；並且圖3是依照圖1實施方案的系統的第二方面的操作的流程圖；並且圖4是圖解了圖1的實施方案的多個伺服器組件的方塊圖；並且圖5是依照本系統實施方案的文件包的實施例；並且圖6是圖解說明依照本系統實施方案的安全數據對象的實施例；並且圖7是圖解說明依照本系統實施方案的安全數據對象的另一個實施例。具體實施方案 參考圖1，本發明的一個實施方案被安排以提供用於保密數據的系統，該系統包括 中央源100，其被安排以響應來自第一用戶的請求用密鑰來加密數據，該系統還包括授權服 務器組件一其被安排以接收授權請求，並且一旦接收用戶被授權，則將接收用戶引導至 該密鑰，以解密數據。在這個實施方案中，依照本發明的這個實施方案的系統和方法和相關的軟體和/ 或硬體應用程式可以在諸如圖1中所示出的示例設備上執行。在圖1中，示出中央源的示 意圖，在這個實施方案中，中央源是適合用於本發明的實施方案的伺服器100。伺服器100 可以用於執行應用程式和/或系統服務，所述應用程式和/或系統服務如本發明的實施方 案的用以保密數據的系統和方法。參見圖1，伺服器100可以包括接收、存儲和執行合適的計算機指令所需的適當組 件。這些組件包括處理器102，只讀存儲器(ROM) 104，隨機存取存儲器(RAM) 106，輸入/輸 出設備例如磁碟驅動器108、輸入設備110 (如乙太網接口，USB接口，等等)、顯示器112例 如液晶顯示器、發光顯示器或任何其他適合的顯示器，和通信鏈路114。伺服器包括可以安 裝在ROM 104、RAM 106或磁碟驅動器108中且可以由處理器102執行的指令。可以提供多 個通信鏈路114，其各自與一個或多個計算設備例如伺服器、個人計算機、終端、無線或手持 計算設備等連接。通過電話線或其他類型的通信鏈路，多個通信鏈路中的至少一個可以與 外部計算網絡連接。在一個具體的實施方案中，設備可以包括存儲設備，例如磁碟驅動器108，其可以 包含固態驅動器、硬碟驅動器、光碟機動器或磁帶驅動器。伺服器100可以使用單個磁碟驅動 器或多個磁碟驅動器。伺服器100也可以使用適合的作業系統116，其存在於伺服器100的 磁碟驅動器上或ROM中。在一些實施方案中，第一用戶使用計算機120執行客戶端應用程式130。在一個實 施例中，計算機可以是使用Intel/AMD晶片組，具有如Windows 、MAC OS 或Linux操作系 統或者是本領域技術人員注意到的作業系統的個人計算機，計算機可以是被安排用於執行 計算功能的行動裝置，例如，PALM 或IPAQ 設備。在這個實施方案中，客戶端應用程式是用任何計算機語言實現的軟體程序，其被 安排為存在計算機120的存儲設備上。客戶端應用程式130的實現的其他實施例是可行的， 其中包括，但不僅限於存儲在ROM、可編程陣列、光碟機、智慧卡、存儲單元、永久性記憶模塊中 的計算指令。在一個實施例中，客戶端應用程式130具有為用戶安排的用於引導任何輸入 或輸出的接口，或者，在其他實施例中，客戶端應用程式與已存在的軟體或作業系統應用程 序——例如但不限於Open Office 或Microsoft Office ——嵌在一起，且因此將附加的 功能添加到這些軟體中。客戶端應用程式130有通信埠，其被安排以和伺服器100通信。當用戶啟動應 用程序130時，應用程式130經由安全連接，如SSL或SSH連接，與伺服器100接觸。在一 個實施例中，該應用程式發送自身唯一的識別碼，或I P地址或其他信息，以便伺服器100 能夠識別該用戶和用戶在其中進行操作的計算機120。這使伺服器100能夠控制系統在保 密數據方面的安全性——通過，在支持客戶端應用程式130和伺服器100之間的通信會話 之前，實現對這種通信會話的授權。
在一些實施方案中，參照圖2，第一用戶使用客戶端應用程式130來選擇要求加密 的數據(202)。數據可能以文件101、地址、指針或對象的形式存在。通過使用接口，第一用 戶能夠拖放或指向和選擇需要的數據，一旦文件被選擇，客戶端應用程式130能夠開始為 保密數據而所需的保密過程。在此處描述的實施方案中，保密過程開始於封裝數據(204)，以創建數據對象，從 而使得所有的數據(以文件、對象、地址、指針或任何組合存在)可以被集成並被認為是單 個安全數據對象140。一旦安全數據對象140被創建，則安全數據對象140隨後被用戶描 述，此處用戶可以指定權限或規則來描述對象(206)。權限或規則被安排以控制數據對象 140被交互或被操作的方式。在一個實施例中，權限可以要求安全數據對象140中的數據文 件是只讀的或僅可以列印的。在另一個實施例中，權限或規則可以包括，在任何具體IP地 址範圍內使用特定類型計算機的何等級別的用戶能夠訪問文件。一旦權限已經被第一用戶設定，客戶端應用程式130向第一用戶提供建立訪問控 制列表(208)的功能，該列表列出了被授權為接收和與安全數據對象140交互的接收用戶。 在一個實施例中，訪問控制列表也可以限定為鑑別接收用戶所需的鑑別機制。例如，該機制 可以要求接收用戶正通過具有特定識別碼的計算機來操作，或者用戶正操作特定的本地網 絡，或者該接收用戶已經被一些形式的生物特徵掃描認可。本領域的技術人員也會注意到 其他鑑別接收用戶的變體方式。在這個實施方案中，當訪問控制列表建立時，客戶端應用程式130開始加密過程 (210)。在一個實施例中，加密過程使用AES (高級加密標準)、或美國聯邦信息處理標準 (FIPS)(例如參見『http://www.nist. gov/aes')或其他本領域的技術人員可以注意到的 加密方法。為啟動加密過程(210)，客戶端應用程式130可以自己產生用於加密的密鑰，或 者在其他實施例中，從伺服器100中獲取密鑰。在加密過程中，密鑰沒有和數據對象140 — 同加密，因此任何加密的安全數據140中均將不含有密鑰。這提供了較強程度的保護，因為 密鑰不在安全數據對象140中，希望解密安全數據對象140的黑客不能利用暴力方法等方 法解密安全數據對象140。加密安排設置了只有擁有從與安全數據對象140分立的且獨立 的源中提取的密鑰的用戶才可以解密安全數據對象140。當完成加密過程(210)後，客戶端應用程式130將返回完全加密的安全數據對象 140(212)。在一個實施例中，通過把加密的數據文件放在文件包500中來創建安全數據對 象140，這可以用XML或其他適合的計算機語言完成。在此實施例中，圖5中示出的文件包 500提供元數據502來描述安全數據對象140，以致當對象被接收者或用戶的客戶端應用程 序打開時，應用程式被告知一些與安全數據對象140相關的信息，以對這裡所描述的保密 過程進行支持。安全數據對象作為文件存儲在計算機120上的存儲器或存儲設備中。第一 用戶可以有經分布通道135分布對象的權利，通道135的形式有電子郵件、FTP、SSH、存儲 器、CD、USB設備、永久性存儲器或其他電子形式。在一個實施方案中，存在於接收用戶計算機122上的接收端應用程式132被安排 解密安全數據對象140。當獲得安全數據對象140後，接收用戶啟動接收端應用程式132，在 一個實施例中，接收端應用程式可以集成到電子郵件軟體中，並因此而在安全數據對象140 經由電子郵件被接收時，自動啟動。參考圖3，接收端應用程式與伺服器100通信，並建立與 伺服器100的安全連接(302)。伺服器100開始授權過程(304)，由此，在一個實施例中，接
7收端應用程式132發送識別碼到伺服器，以使得接收用戶被識別。在一個實施例中，接收用戶被要求輸入足以被鑑別的細節。鑑別方法是那些當安 全對象140被創建時已經被第一用戶限定的方法，且如上文所限定的，這些方法可以涉及 生物特徵掃描、密碼、問題、或本領域技術人員可以注意到的其他形式的鑑別方法。在成功鑑別接收用戶(304)後，接收端應用程式132向伺服器100請求由第一用 戶許可給接收用戶的與一些具體權利有關的權限和訪問權限(306)。一旦接到這些權利，接 收用戶被限制僅以第一用戶限定的權限和規則交互。在一些實施例中——其中接收用戶僅 被允許查看安全數據對象140之內的數據文件——瀏覽器被接收端應用程式132啟動。瀏 覽器被安排為僅顯示文件，並拒絕接收用戶去編輯文件的任何嘗試。在這個實施方案中，接收端應用程式132開始解密過程(308)，首先向伺服器100 請求被引導至解密密鑰，該密鑰是用於加密安全數據對象的密鑰。伺服器100可在伺服器 中存儲密鑰，在這種情況下，密鑰被傳送到接收端應用程式132。然而，在一些實施例中，密 鑰可以存儲在位於不同位置的分立的伺服器中，並相應地，伺服器100僅向接收端應用程 序132發送從該分立的伺服器獲得密鑰的指示。在另一個實施例中，密鑰可以存儲在不同 的存儲介質中，例如智慧卡或USB鎖或CD ROM，在這種情況下，伺服器100向接收端應用程 序發送指示，指導用戶尋找包含密鑰的相關存儲介質。在成功獲得密鑰(308)後，接收端應用程式132解密安全數據對象(310)並將數 據發送到接收用戶，所述接收用戶受限於已經由第一用戶所安排的權限和規則建立的限制 (312)。接收用戶對數據的每個操作或交互被記錄，並且日誌返回到伺服器100以供存儲和 查看(314)。參考圖4，在一些實施方案中，伺服器100包括一些伺服器組件，包括，但不僅限 於； 網閘伺服器組件410;·授權伺服器組件412 ； 管理伺服器組件414;·身份伺服器組件416 ；·資料庫伺服器組件418 ；和，·備份伺服器組件419。這些伺服器組件中的每一個可以被配置在單個伺服器上，或者在圖4所示的實施 例中作為伺服器100中以計算機語言、機器碼或ROM實現的計算機軟體而存在，用以提供這 些伺服器組件中的每一個的功能。這些伺服器組件均被安排與其他伺服器組件通信並被組 合以提供伺服器100，以提供依照本發明的一個實施方案的用於保密數據的系統和方法。在這裡描述的實施方案中，當客戶端應用程式或接收端應用程式在與伺服器100 通信時，網閘伺服器組件410啟動應用程式(130，132)與伺服器100之間的會話。一旦被 初始化，網閘伺服器組件410引導所述應用程式連接到鑑別伺服器組件412，以鑑別用戶。通過引導所有的初始連接經過網閘伺服器組件410，進一步增強了伺服器上安全 性，因為網閘伺服器組件410進一步被安排為過濾掉可能損害伺服器組件400的安全性的 惡意和/或列入黑名單的網絡連接。本領域的技術人員可以理解，可以實施許多網閘服務 器組件410得以實施的變體，所述變體包括，但不限於能分析即將到來的通信的硬體和/或軟體防火牆伺服器組件。如果用戶計算機120、122和伺服器100之間的連接滿足網閘伺服器組件410的要 求，則鑑別伺服器組件412會試圖檢驗和授權該用戶。這首先涉及伺服器組件從身份服務 器組件416獲取一些記錄，身份伺服器組件416存儲識別標誌，包括但不僅限於用戶配置文 件、用戶鑑別手段、密碼等等。在讀出數據之後，用戶，不論是第一用戶還是接收用戶，必須 被鑑別以繼續對伺服器100的訪問。在一些實施例中，鑑別伺服器組件412可以要求用戶 輸入密碼、配置文件細節或可以檢測用戶ID、IP位址、計算機識別碼、生物特徵驗證或其他 能夠和身份伺服器組件416中的數據交叉參照的內容，以鑑別和授權客戶端會話，以使得 用戶可以繼續訪問伺服器組件400。一旦成功完成鑑別過程，伺服器100就能夠繼續前進到為客戶端應用程式130或 接收端應用程式132處理任何請求，以便提供此處描述的保密數據的系統和方法。如果創 建安全數據對象140的第一用戶已經選擇包括一些權限或規則去限制接收用戶與安全數 據對象交互和操作安全數據對象的方式，管理伺服器組件414提供使這些權限和規則可以 被輸入、存儲和執行的功能。在這個實施方案中，管理伺服器組件414允許客戶端應用程式132輸入和存儲至 少一個會限制接收用戶對數據對象的後續使用的權限。管理伺服器組件具有一個接口，對 客戶端應用程式130開放，指向第一用戶創建的安全數據對象。在接口的一個實施例中，第 一用戶可以從權限列表中進行選擇，以描述安全數據對象140。這些規則包括，但不限於_數據對象的讀、寫、列印權限；和，-數據對象的拷貝權限；和，-數據對象的分享權限；和，-數據對象的重分配；和，-允許訪問數據對象的特定時間段；和，-允許訪問數據對象的人或人群；和，-允許備份數據對象的人、或環境；和，-允許訪問數據對象的計算機的位置，包括計算機的網絡位置或地理位置。一旦規則被第一用戶建立，用戶能夠選擇經由接口保存規則。用戶可以選擇觸發 資料庫伺服器組件418的提交按鈕或開關，以將關於安全數據對象418的規則和權限記錄 到資料庫中。資料庫，如本領域技術人員可以理解的，包括，但不限於，關係資料庫管理系 統(RDBMS)(例如Oracle 或Microsoft Access )，面向對象資料庫系統、平面文件(flat file)或其他文件結構。一旦這些規則和權限被寫入資料庫，當接收用戶獲得對相關的安全 數據對象的訪問時，這些規則和權限可以被獲取。系統的操作可以參考圖2和3所概括的過程來描述。首先，第一用戶準備和選擇要 求被加密和分發的數據。在一個實施例中，數據可以是一個或多個數據文件，其包括文檔、 電子數據表、電子郵件、文本、圖表、多媒體或其他形式的計算機數據。選擇數據後，第一用 戶開啟客戶端應用程式130，在一個實施例中，客戶端應用程式作為軟體應用程式運行在第 一用戶的計算機上(202)。一旦應用程式被初始化，客戶端模塊接觸伺服器100，其中網閘 伺服器組件執行一系列的檢驗，以確認連接的完整(203)。一旦網閘伺服器組件410允許該 連接，授權伺服器組件412被運行，以鑑別該用戶，從而使得該用戶可以被識別為安全對象的已授權創作者。當用戶通過匹配授權伺服器組件的要求(例如，輸入密碼、密鑰或生物特 徵掃描)而被授權後，客戶端應用程式繼續保持與伺服器100的連接並允許用戶加入要求 加密的數據文件以形成安全數據對象。在一些實施例中，用戶可以將一個或多個文件拖進 客戶端應用程式132的接口並選擇關閉數據對象，以使文件接著被結合形成單個數據對象 (202)。在這個實施方案中，第一用戶被引向伺服器的管理伺服器組件414，由此，第一用 戶被給予描述數據對象140被接收用戶操作的方式的機會。在一個實施例中，第一用戶訪 問接口，並被提供各種規則和權限，以便控制數據對象被操縱的方式。這些操縱的一些實施 例之前已經描述了。規則和權限被接收端應用程式132執行，該接收端應用程式被接收用 戶用於訪問安全數據對象140。一旦輸入和選擇規則和權限，用戶可以選擇觸發經由伺服器 100的資料庫伺服器組件而被寫入資料庫的規則的提交開關或按鈕。在權限被寫入資料庫 的該實施例中，權限以訪問控制列表(ACL) (208)的形式寫入，該訪問控制列表然後由服務 器100的資料庫伺服器組件418存放回。—旦完成數據文件或對象的權限和規則的選擇，用戶可以加密對象(210)。在一個 實施例中，客戶端應用程式130隨後創建密鑰，以加密數據，形成安全數據對象。加密過程 保證密鑰不嵌入進安全數據對象中，從而使安全對象自身不會以任何形式暴露加密密鑰。 在另一個實施例中，客戶端應用程式130從伺服器100請求密鑰，該伺服器產生適合於數 據加密的隨機密鑰。用戶可以選擇在伺服器100上存儲密鑰還是把密鑰存儲在其他地方， 但指示伺服器100密鑰被存儲在何處，以便將授權的接收用戶引向密鑰。這種安排減少了 存儲在伺服器100上密鑰的數量，從而將安全漏洞的危險分散到其他伺服器。在這個過程 中，黑客在找相關密鑰方面會有額外的困難，因為所述位置不是直接被任何未授權的用戶 所知。—旦客戶端應用程式已經加密了第一用戶選擇的數據；安全數據對象由客戶端應 用程序130形成。一旦加密過程(210)完成，安全數據對象140已準備好經分布通道135 由任意數量的接收用戶採用。在一些實施例中，第一用戶可以僅把安全對象用電子郵件發 送到單個或多個接收者，或者可以把對象分布在壓縮磁碟上、通用串行總線(USB)鎖或其 他計算機可讀媒介。本安排的一個直接優勢是允許用戶經過任意不安全通道分布安全對 象，因為黑客會發現，在沒有找到密鑰來解密數據對象的同時，來破解安全數據對象140是 非常困難的。因為安全數據對象140已經以加密密鑰不在安全數據對象140內的方式被加 密，因此安全數據對象140很難被解密。安全數據對象被接收用戶接收後，接收用戶開啟之前所描述的接收端應用程式 132，並加載安全數據對象140到接收端應用程式132中。在一些實施例中，這可以涉及選擇 安全數據對象140並拖放到接收端應用程式132提供的接口中。在其他實施例中，接收端應 用程序可以集成到存在的軟體包，例如，Microsoft WordTM、ExcelTM、PowerPointTM、Access 、 Internet Explore 或其他類似的軟體包，之內。在成功加載安全數據對象140後，當接收 端應用程式132連接到100時，接收用戶被中央伺服器100鑑別。鑑別可以是提供物理智 能卡、USB鎖、生物特徵數據、密碼、位於用戶計算機上的唯一用戶ID、IP位址或任何組合， 其中的任意一種，或其他可提供的確認技術。在接收用戶成功授權和鑑別後，接收端應用程 序132會與伺服器100通信，並被引向訪問解密密鑰。解密密鑰可以存儲在伺服器100上。
10但是，在一些情況中，伺服器僅存儲指針，指針指向保存密鑰的相關的分立位置。在一個實 施例中，可將解密密鑰存儲在隨後的相對於安全數據對象分立分布的智慧卡中。無論如何， 中央伺服器100會引導接收用戶到適合的位置，以獲取解密密鑰。這可能需要接收用戶一 方有一些額外的動作，例如訪問分立的伺服器或定位含有密鑰的物理媒介(例如，向計算 機122插入智慧卡)。一旦成功獲得解密密鑰，接收端應用程式132就可以解密安全數據對 象140並允許用戶在一些權限和規則的限制下操作安全數據對象140，所述權限和規則可 以是已經被第一用戶設置好的權限和規則。在一個實施例中，第一用戶已經限制接收用戶 對安全數據對象內的已經被加密的一個文檔的編輯能力，接收用戶不能對文檔做出或保存 任何修改，而僅限於讀、訪問和列印文檔。在可替代的實施方案中，安全數據對象可以作為圖6所示的安全信封存在。在安 全數據對象是安全信封600的情況下，信封作為文件被存儲，該文件將存儲在安全信封600 中的各數據文件602封入。信封完全在前面描述的安全數據對象系統的保護下。然而，一 旦信封內的文件被拖出，並從安全信封中移走，併到達用戶計算機接口(例如，桌面或他們 自身的文件系統)上，現有系統610施加的控制和保護即被撤銷，允許接收用戶完全與數據文 件交互和操作數據文件，一如該接收用戶擁有文件的買斷權(outright)605時所允許的。在這 個實施例中，第一用戶可以創建權限，以保證接收用戶不能從安全信封中移走任何數據文件。在安全數據對象作為安全文檔700存在的其他實施方案中，數據文件本身使用參 考圖7所描述的系統和方法加密。在這個情況中，整個文件702必須只能經客戶端應用程 序訪問，並且，除非另外允許的，其不能被接收用戶分發或完整拷貝。有利的是，所描述的實施方案，不以任何方式與加密的數據交互。換句話說，將要 加密的數據不再「經過」或存儲在中央源。這種安排消除了提供會吸引黑客的數據的中央 樞紐(centralized hub)的危險。在一些實施方案中，系統作為伺服器組件被提供給網絡上或在線接口上的用戶。 在這個實施方案中，提供給用戶下載和允許應用程式130的權限，以依照已經提到的步驟， 加密或解密數據對象。該許可可以限制應用程式130的功能。在一個實施例中，自由許可 會限制應用程式130僅解密文件，但是一旦付款，則許可可以延伸到允許應用程式130加密 文件。在其他實施例中，許可可以限制可以加密或解密的文件的類型並從而限制用戶只能 訪問特定的文件。這個實施例在整體或集體環境中特別有效，這裡每個用戶可以被授予不 同的許可，以對特定數據對象加密或解密。儘管沒有要求，這裡參考圖描述的實施方案可以經由應用程式程序接口(API)來 實施或作為供開發人員使用的一系列函數庫，來實施，並可以被包括在別的軟體應用程式， 例如終端或個人計算機作業系統或手持計算設備作業系統，之中。一般來說，程序模塊包括 例程、程序、對象、組件和執行或支持特定功能的執行的數據文件，可以理解，軟體應用程式 的功能可以在一些例程、對象或組件上分解，以獲得與實施方案和此處所要求保護的更寬 的發明相同的功能。這些改變和修改是在本領域技術人員的眼界範圍內的。可以理解，在本發明的方法和系統由計算系統實施或部分由計算系統實施的情況 下，可以採用任何適合的計算系統結構。這會包括獨立計算機、網絡計算機和專用計算設 備。術語「計算系統」和「計算設備」被使用，而且這些術語用於覆蓋任何合適的可以實施 上述功能的計算機硬體安排。
權利要求
一種用於保密由第一用戶分發到至少一個接收用戶的數據的方法，包括以下步驟 響應來自第一用戶的請求用密鑰來加密數據；並， 把密鑰的位置記錄到資料庫中，其中一旦資料庫接收來自所述至少一個接收用戶的要求授權的請求，則在所述至少一個接收用戶授權後向其提供密鑰。
2.根據權利要求1所述的方法，包括進一步的步驟資料庫接收規則，所述規則被安排 以限制所述至少一個接收用戶與數據的交互。
3.根據權利要求1或2所述的方法，其中，授權的步驟包括以下進一步的步驟-將所述至少一個接收用戶的標識配置文件與預定標準比較，其中，如果所述預定標準 匹配所述標識配置文件，則所述至少一個接收用戶被授權。
4.根據權利要求3所述的方法，其中，標識配置文件包括至少一個描述了所述至少一 個接收用戶的特徵的標準。
5.根據前面權利要求中任一個所述的方法，其中，第一用戶與客戶端應用程式交互，客 戶端應用程式向中央源要求密鑰。
6.根據權利要求5所述的方法，其中，所述至少一個用戶與至少一個接收端應用程式 交互，所述至少一個接收端應用程式被安排為向中央源要求授權以解密數據。
7.根據前面權利要求中任一個所述的方法，其中，密鑰由中央源和客戶端應用程式兩 者之一產生。
8.根據前面權利要求中任一個所述的方法，其中，中央源包括網間伺服器組件，其被安 排以保護伺服器免受未授權用戶影響。
9.根據任意權利要求8所述的方法，其中，中央源進一步包括日誌伺服器組件，其被安 排以記錄所述接收用戶對數據採取的任何行為。
10.根據前面權利要求中任一個所述的方法，其中，數據作為加密的數據串，被包含在 文件包中。
11.根據權利要求10所述的方法，其中，所述文件包是安全文檔，其被安排為由接收端 應用程式處理。
12.根據權利要求10或11所述的方法，其中，為數據對象提供安全信封，安全信封被安 排用來封入數據，以使得當數據在信封中時，所述至少一個接收用戶與數據的交互被第一 用戶建立的規則限制。
13.一種用於保密由第一用戶分發到至少一個接收用戶的數據的系統，包括-被安排為響應來自第一用戶的請求用密鑰來加密數據的模塊；和，_被安排為把密鑰的位置記錄到資料庫中的例程，其中一旦資料庫接收來自所述至少 一個接收用戶的要求授權的請求，則在所述至少一個接收用戶授權後向其提供密鑰。
14.根據權利要求13所述的系統，其中，資料庫被安排以接收規則，該規則被安排以限 制所述至少一個接收用戶與數據的交互。
15.根據權利要求13或14所述的系統，其中，所述例程將所述至少一個接收用戶的標 識配置文件與預定標準比較，其中，如果預定標準匹配標識配置文件，所述至少一個接收用 戶被授權。
16.根據權利要求15所述的系統，其中，所述標識配置文件包括至少一個描述了所述 至少一個接收用戶的特徵的標準。
17.根據權利要求15-16中任一個所述的系統，其中，第一用戶與客戶端應用程式交 互，客戶端應用程式向中央源要求密鑰。
18.根據權利要求17所述的系統，其中，所述至少一個用戶與至少一個接收端應用程 序交互，所述至少一個接收端應用程式被安排為向中央源要求授權以解密數據。
19.根據權利要求15-18中任一個所述的系統，其中，密鑰由中央源和客戶端應用程式 兩者之一產生。
20.根據權利要求15-19中任一個所述的系統，其中，中央源包括網閘伺服器組件，其 被安排為保護伺服器免於未授權用戶的影響。
21.根據任意權利要求20的系統，其中，中央源進一步包括日誌伺服器組件，其被安排 以記錄所述接收用戶對數據採取的任何行為。
22.根據權利要求15-21中任一個所述的系統，其中，數據作為加密的數據串，被包含 在文件包中。
23.根據權利要求22所述的系統，其中，文件包是安全文檔，其被安排為由接收端機應 用程序處理。
24.根據權利要求22或23所述的系統，其中，為數據對象提供安全信封，安全信封被安 排用來封入數據，以使得當數據在信封中時，所述至少一個接收用戶與數據的交互被第一 用戶建立的規則限制。
25.一種電腦程式，包括至少一個指令，用於控制計算機系統，以實現根據權利要求 1到12中任一個所述的方法。
26.一種計算機可讀媒介，提供權利要求25的電腦程式。
全文摘要
文檔編號H04L9/08GK101953111SQ20088012686
公開日2011年1月19日 申請日期2008年12月22日 優先權日2007年12月21日
發明者Nussbaum Lawrence Edward, Thompson Stephen 申請人:Cocoon Data Pty Ltd