亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于上下文的數(shù)據(jù)訪問控制的制作方法

文檔序號:9524483閱讀:451來源:國知局
基于上下文的數(shù)據(jù)訪問控制的制作方法
【專利說明】基于上下文的數(shù)據(jù)訪問控制
[0001]對相關(guān)申請的交叉引用
[0002]本申請要求于2014年5月30日提交的標(biāo)題為“Context Based Data AccessControl”的美國臨時(shí)專利申請N0.62/005, 943的優(yōu)先權(quán),其內(nèi)容通過引用其全部被并入于此。
技術(shù)領(lǐng)域
[0003]本公開內(nèi)容一般涉及對計(jì)算設(shè)備加密數(shù)據(jù)。
【背景技術(shù)】
[0004]移動(dòng)設(shè)備被用來存儲(chǔ)和處理數(shù)據(jù)。通常,存儲(chǔ)在移動(dòng)設(shè)備上的數(shù)據(jù)包括敏感的個(gè)人信息(例如,姓名、地址、信用卡信息、密碼等)或秘密的企業(yè)信息(例如,客戶信息、醫(yī)療記錄等)?,F(xiàn)代的移動(dòng)設(shè)備通常被配置成對存儲(chǔ)在移動(dòng)設(shè)備上的數(shù)據(jù)加密并使得所述數(shù)據(jù)僅在特定的條件下才可用(例如,當(dāng)設(shè)備被解鎖時(shí)、當(dāng)輸入有效的密碼時(shí)等)。

【發(fā)明內(nèi)容】

[0005]在一些實(shí)施方式中,存儲(chǔ)在移動(dòng)設(shè)備上的加密的數(shù)據(jù)(例如,應(yīng)用數(shù)據(jù)、密鑰串?dāng)?shù)據(jù)、存儲(chǔ)的密碼等)可以基于移動(dòng)設(shè)備的上下文被訪問(例如,解密、使得可用)。上下文可以包括當(dāng)前的設(shè)備狀態(tài)(例如,鎖定、解鎖、在第一次解鎖之后等)。上下文可以包括當(dāng)前的設(shè)備設(shè)置(例如,通行碼(passcode)啟用/禁用、密碼強(qiáng)度等)。上下文可以包括已被移動(dòng)設(shè)備接收到的數(shù)據(jù)(例如,指紋掃描、輸入的通行碼、位置信息、接收到的加密密鑰、時(shí)間信息)。
[0006]特定的實(shí)施方式提供至少以下優(yōu)點(diǎn):基于上下文的訪問控制在指定何時(shí)可以訪問存儲(chǔ)在移動(dòng)設(shè)備上的敏感數(shù)據(jù)時(shí)可以允許更大的靈活性?;谏舷挛牡脑L問控制可以確保敏感數(shù)據(jù)在認(rèn)可的時(shí)間、認(rèn)可的地方并且由認(rèn)可的人訪問?;谏舷挛牡脑L問控制可以通過使得對敏感數(shù)據(jù)的訪問更容易來提升用戶的體驗(yàn)。
[0007]在附圖和以下描述中闡述了一個(gè)或多個(gè)實(shí)施方式的細(xì)節(jié)。其它特征、方面和潛在的優(yōu)點(diǎn)根據(jù)描述和附圖以及權(quán)利要求會(huì)是清晰的。
【附圖說明】
[0008]圖1是被配置成將寫入到移動(dòng)設(shè)備上的存儲(chǔ)裝置的數(shù)據(jù)加密和解密的示例移動(dòng)設(shè)備的框圖。
[0009]圖2是說明用于對移動(dòng)設(shè)備執(zhí)行基于上下文的數(shù)據(jù)訪問控制的示例加密密鑰層次結(jié)構(gòu)的框圖。
[0010]圖3說明了用于利用圖2的加密密鑰層次結(jié)構(gòu)和基于上下文的數(shù)據(jù)訪問控制解密文件的示例過程。
[0011]圖4說明了用于基于數(shù)據(jù)保護(hù)類別策略檢索類別密鑰的示例過程。
[0012]圖5是用于基于上下文的訪問控制的示例過程的流程圖。
[0013]圖6是可以實(shí)施圖1-5的特征和過程的示例計(jì)算設(shè)備的框圖。
[0014]各個(gè)附圖中相同的附圖標(biāo)記指示相同的元素。
【具體實(shí)施方式】
[0015]圖1是被配置成將寫入到移動(dòng)設(shè)備100上的存儲(chǔ)裝置的數(shù)據(jù)加密和解密的示例移動(dòng)設(shè)備100的框圖。在一些實(shí)施方式中,移動(dòng)設(shè)備100可以被配置有數(shù)據(jù)保護(hù)模塊102。例如,數(shù)據(jù)保護(hù)模塊102可以是由在移動(dòng)設(shè)備100的芯片組上制造的專用安全協(xié)處理器執(zhí)行的軟件模塊。例如,所述安全協(xié)處理器獨(dú)立于應(yīng)用處理器并且處理移動(dòng)設(shè)備100的所有加密/解密和安全功能。安全協(xié)處理器利用其自己的安全引導(dǎo)和與應(yīng)用處理器分開的個(gè)性化的軟件更新。即使內(nèi)核已被破壞,它也提供用于數(shù)據(jù)保護(hù)密鑰管理的所有加密操作并且維護(hù)數(shù)據(jù)保護(hù)的完整性。
[0016]在一些實(shí)施方式中,安全協(xié)處理器使用加密的存儲(chǔ)器并且包括硬件隨機(jī)數(shù)發(fā)生器。安全協(xié)處理器與應(yīng)用處理器之間的通信被隔離到中斷驅(qū)動(dòng)的郵箱和共享的存儲(chǔ)器數(shù)據(jù)緩沖區(qū)。在一些實(shí)施方式中,在制造期間,安全協(xié)處理器被提供有系統(tǒng)其它部分不可訪問的它自己的唯一標(biāo)識符(UID)。當(dāng)設(shè)備啟動(dòng)時(shí),臨時(shí)密鑰被創(chuàng)建,并且與UID —起被用來加密移動(dòng)設(shè)備100的存儲(chǔ)器空間的安全協(xié)處理器的部分。此外,由安全協(xié)處理器保存到移動(dòng)設(shè)備100的文件系統(tǒng)的數(shù)據(jù)被密鑰(例如,通行碼,密碼104)與UID —起加密。
[0017]在一些實(shí)施方式中,安全協(xié)處理器負(fù)責(zé)處理來自觸摸識別傳感器106的指紋數(shù)據(jù)。例如,觸摸ID傳感器106可以接收(例如,掃描)指紋并且安全協(xié)處理器可以確定是否存在針對注冊的指紋的匹配。當(dāng)安全協(xié)處理器確定所述指紋與一個(gè)注冊的指紋匹配時(shí),安全協(xié)處理器可以使得能夠訪問移動(dòng)設(shè)備100、存儲(chǔ)在移動(dòng)設(shè)備100上的應(yīng)用數(shù)據(jù)和/或存儲(chǔ)在移動(dòng)設(shè)備100上的密鑰串?dāng)?shù)據(jù)(例如,存儲(chǔ)的密碼、用戶信息等)。觸摸ID傳感器106與安全協(xié)處理器之間的通信被配置成使得芯片組和應(yīng)用處理器不能訪問觸摸ID傳感器數(shù)據(jù)。
[0018]在一些實(shí)施方式中,安全協(xié)處理器可以直接訪問移動(dòng)設(shè)備100的其它組件,以獲得訪問控制和/或加密操作所需的數(shù)據(jù)。例如,安全協(xié)處理器可以直接訪問位置處理器(例如,GPS)和系統(tǒng)時(shí)鐘,使得位置數(shù)據(jù)和/或時(shí)間數(shù)據(jù)不能被移動(dòng)設(shè)備100上運(yùn)行的其它應(yīng)用和/或進(jìn)程欺騙。
[0019]在一些實(shí)施方式中,數(shù)據(jù)保護(hù)模塊102可以通過構(gòu)造和管理加密密鑰的層次結(jié)構(gòu)來保護(hù)移動(dòng)設(shè)備100上的數(shù)據(jù)(例如,應(yīng)用數(shù)據(jù)、密鑰串?dāng)?shù)據(jù)等)。數(shù)據(jù)保護(hù)模塊102可以通過將每個(gè)文件分配給數(shù)據(jù)保護(hù)類別在每個(gè)文件(或每個(gè)密鑰串項(xiàng))的基礎(chǔ)上保護(hù)數(shù)據(jù)。例如,數(shù)據(jù)保護(hù)模塊102可以通過鎖定和解鎖(加密和解密)被用于加密每個(gè)文件的數(shù)據(jù)保護(hù)類別密鑰來控制可訪問性。
[0020]在一些實(shí)施方式中,移動(dòng)設(shè)備100可以包括應(yīng)用108。例如,應(yīng)用108可以生成需要存儲(chǔ)在移動(dòng)設(shè)備100的數(shù)據(jù)存儲(chǔ)(例如,存儲(chǔ)器、硬盤、閃速存儲(chǔ)器等)中的數(shù)據(jù)。應(yīng)用108可以將包括所述數(shù)據(jù)(例如,文件數(shù)據(jù)112)的寫請求110發(fā)送到數(shù)據(jù)保護(hù)模塊102。當(dāng)發(fā)送寫請求110時(shí),應(yīng)用108可以為文件數(shù)據(jù)112指定數(shù)據(jù)保護(hù)類別。例如,數(shù)據(jù)保護(hù)類別可以與控制文件何時(shí)可以被訪問或解密的策略相關(guān)聯(lián)。
[0021]在一些實(shí)施方式中,在接收到寫請求110時(shí),數(shù)據(jù)保護(hù)模塊102可以用對應(yīng)于指定的數(shù)據(jù)保護(hù)類別的類別加密密鑰加密文件數(shù)據(jù)112,并將加密的文件數(shù)據(jù)112寫到加密文件數(shù)據(jù)庫114。例如,文件數(shù)據(jù)112可以利用由上述安全協(xié)處理器生成的加密密鑰進(jìn)行加密。在一些實(shí)施方式中,密鑰可以由隨機(jī)數(shù)發(fā)生器(例如,上述硬件隨機(jī)數(shù)發(fā)生器)生成。在一些實(shí)施方式中,密鑰可以基于密碼104和/或安全協(xié)處理器UID生成。
[0022]在一些實(shí)施方式中,應(yīng)用108可以存儲(chǔ)或訪問移動(dòng)設(shè)備100上加密的密鑰串?dāng)?shù)據(jù)。例如,加密的密鑰串?dāng)?shù)據(jù)(例如,密碼、信用卡信息、用戶身份信息等)可以存儲(chǔ)在數(shù)據(jù)庫120中。數(shù)據(jù)庫120中的每一條目或項(xiàng)可以利用每項(xiàng)(per-1tem)的密鑰單獨(dú)加密。每一項(xiàng)可以與指定控制項(xiàng)何時(shí)能被訪問或解密的策略的數(shù)據(jù)保護(hù)類別相關(guān)聯(lián)。例如,應(yīng)用108可以將包括密鑰串項(xiàng)118的寫請求116發(fā)送到數(shù)據(jù)保護(hù)模塊102。例如,寫請求116可以為密鑰串項(xiàng)118指定數(shù)據(jù)保護(hù)類別。響應(yīng)于接收密鑰串寫請求116,數(shù)據(jù)保護(hù)模塊102可以利用與數(shù)據(jù)保護(hù)類別相關(guān)聯(lián)的加密密鑰加密密鑰串項(xiàng)118并且將加密的密鑰串項(xiàng)118存儲(chǔ)在加密的密鑰串?dāng)?shù)據(jù)庫120中。
[0023]在一些實(shí)施方式中,當(dāng)寫請求中指定無效的數(shù)據(jù)保護(hù)類別時(shí),數(shù)據(jù)保護(hù)模塊102將不會(huì)寫密鑰串項(xiàng)或數(shù)據(jù)文件。例如,如果指定的數(shù)據(jù)保護(hù)類別與需要在移動(dòng)設(shè)備100上啟用和設(shè)置密碼的策略相關(guān)聯(lián),并且移動(dòng)設(shè)備100沒有進(jìn)行密碼保護(hù),則數(shù)據(jù)保護(hù)模塊102將不會(huì)將密鑰串項(xiàng)或文件數(shù)據(jù)加密和寫到加密的密鑰串?dāng)?shù)據(jù)庫120或加密文件數(shù)據(jù)庫114。相反,數(shù)據(jù)保護(hù)模塊102將向應(yīng)用108返回錯(cuò)誤,指示為寫操作指定了無效的數(shù)據(jù)保護(hù)類別。
[0024]雖然隨后的段落按照文件、文件內(nèi)容、文件元數(shù)據(jù)等描述了基于上下文的訪問控制機(jī)制,但是類似的機(jī)制也可以被用來保護(hù)密鑰串?dāng)?shù)據(jù)、密鑰串項(xiàng)、密鑰串元數(shù)據(jù)等。例如,密鑰串?dāng)?shù)據(jù)庫中的每個(gè)密鑰串項(xiàng)(條目)都可以利用為以下各個(gè)文件描述的相同的基于上下文的訪問控制機(jī)制進(jìn)行處理和保護(hù)。雖然密鑰串項(xiàng)和文件是不同的(例如,數(shù)據(jù)庫中的條目與單獨(dú)的文件),但是以下描述的加密密鑰層次結(jié)構(gòu)、加密機(jī)制和/或基于上下文的訪問控制機(jī)制可以被用來為密鑰串項(xiàng)和單獨(dú)文件兩者都提供訪問控制。
[0025]圖2是說明用于對移動(dòng)設(shè)備執(zhí)行基于上下文的數(shù)據(jù)訪問控制的示例加密密鑰層次結(jié)構(gòu)的框圖200。例如,文件(或密鑰串項(xiàng))202可以利用每文件(或每項(xiàng))的密鑰204加密。文件密鑰204可以由數(shù)據(jù)保護(hù)模塊102(例如,利用安全協(xié)處理器)生成。
[0026]在一些實(shí)施方式中,文件元數(shù)據(jù)210可以包括類別信息206。例如,類別信息206可以包括識別針對文件內(nèi)容202指定的數(shù)據(jù)保護(hù)類別的信息。如上所述,數(shù)據(jù)保護(hù)類別可以由與文件內(nèi)容或密鑰串項(xiàng)202相關(guān)聯(lián)的應(yīng)用來指定。
[0027]在一些實(shí)施方式中,文件密鑰204可以利用類別密鑰208加密。例如,數(shù)據(jù)保護(hù)類別可以具有對應(yīng)的類別密鑰208,類別密鑰208用于為與數(shù)據(jù)保護(hù)類別相關(guān)聯(lián)的文件內(nèi)容202加密文件密鑰204。如以下進(jìn)一步描述的,類別密鑰208可以根據(jù)與數(shù)據(jù)保護(hù)類
當(dāng)前第1頁1 2 3 4 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會(huì)獲得點(diǎn)贊!
1