将公司数字信息限制在公司界限内的方法

摘要

一种实施虚拟公司界限的方法可以包括客户端设备对用户与所述客户端设备的交互做出响应而从服务器设备上的网站请求敏感内容。所述服务器设备能够确定所述用户和/或客户端设备是否被允许访问所述敏感内容。所述客户端设备上的安全元件能够在所述服务器设备和所述客户端设备之间建立会话密钥。所述服务器设备能够渲染所述敏感内容并且将其发送到所述客户端设备，所述客户端设备能够向所述用户显示所述内容。

说明书

技术领域

所公开的技术通常涉及数据安全，并且更加具体地涉及用于在实施组织机构的数据使用策略的同时防止从用户端点泄露敏感信息的技术。

背景技术

员工们为了在他们的工作生活和个人生活中都处于被通知、被连接和可工作的状态，他们倾向于使用多种流行且不同的产品，例如智能电话和平板计算设备，以便访问和利用多种社交联网和即时消息传送技术中的任意一种。这些产品以及与其相关联的应用对于信息技术(IT)团队来讲是具有挑战性的，特别是因为员工越来越希望使用他们喜欢的移动设备同时用于个人和工作用途。也就是说，用户倾向于在能够用于访问企业应用和数据的相同设备上存储个人数据并且安装基于互联网的游戏。

对于具有随时/随地访问的永远在线环境的用户需求正在从根本上改变支持和服务要求。实际上，这些消费类技术和工具正在有效地打破传统的IT壁垒。无论是否被允许，当员工将他们的诸如Ipad的个人设备带入某些区域中时，基于开放客户端的信道上的公司信息共享的好处导致了不期望的信息泄露。个人和公司应用的混合加剧了数据的风险。尽管主要关注点经常是电子邮件，但是存在诸如网络访问、文件共享以及使用网络共享数据的社交媒体的许多其它目标区域。并且，公司经常经历由利用这样的混合的网络罪犯和内部威胁进行的以公司为目标的网络钓鱼、公司间谍攻击的增加。

在敏感数据贯穿组织机构移动时，包括移动到公司外部的目的地，对该敏感数据在静止和传送期间的监控、追踪和管制的当前尝试倾向于遇到许多限制，例如绕开恶意数据移动以及IT部门的可见性。例如以奥罗拉(Aurora)为例的高级持续威胁，拷贝到USB设备中作为维基泄密等等。并且，在浏览期间，数据典型地需要在终端用户的平台处被解密，这对于诸如屏幕抓取工具的各种威胁经常变得很脆弱。这样的尝试对性能和可用性方面并非没有影响。例如，为了保护数据，IT团队可能运行许多管制应用和套件，例如防病毒(AV)软件、防火墙、基于主机的入侵防护系统(HIPS)、文件完整性监控(FIM)应用、应用控制、加密等等。然而，所有这些保护措施会消耗客户端设备的处理能力和电池电量。并且，由于不断变化的监管环境，应对这些变化需要付出高昂的代价。

附图说明

在附图中通过示例而非限制的方式说明了所公开技术的实施例，在附图中，类似的附图标记指代类似的元件。

图1是说明其中可以实现所公开技术的实施例的典型环境的示例的框图。

图2是说明根据所公开技术的实施例的安全系统的第一示例的框图。

图3是说明根据所公开技术的实施例的安全系统的第二示例的框图。

图4是说明根据所公开技术的实施例实施虚拟公司界限实现虚拟公司界限的第一示例的流程图。

图5是说明根据所公开技术的实施例实施虚拟公司界限实现虚拟公司界限的第二示例的流程图。

具体实施方式

图1是说明其中可以实现所公开技术的实施例的典型环境100的示例的框图。在该示例中，公司具有可以访问公司资源104的各种员工102，该公司资源例如是内联网网站、电子邮件服务器以及存储或促进对敏感数据、信息、内容或其任意组合的访问的多个设备或应用中的任意一个。员工102可以与在正常业务操作的过程期间被允许进入公司场所的多个承包商106和/或临时访客108中的任意一个一起工作。然而，公司可能不希望为承包商106或临时访客108提供到公司资源104的某些访问，可能是完全的或者甚至是受限或者被限制的。

在该示例中，虚拟公司界限110被实现为保护公司的资源104，并且特别是存储在其上的敏感数据，免受寻求访问和/或破坏这样的数据的网络罪犯114的攻击。如果网络罪犯114访问或者拷贝由公司资源104存储的任何敏感数据，他们可能接着寻求出卖或者以其它方式将这样的数据或信息传输给诸如竞争对手、新闻记者等等的第三方116。可选地或者此外，可能存在公司想要向其发送某些数据或信息或者提供对这样的数据的访问的商业伙伴112，这样的数据可能包括敏感数据。

所公开技术的实施例可以向公司或者诸如信息技术(IT)部门的团队提供能力和更大的控制，以便克服目前所尝试的解决方案的许多限制。实施例可以用于保护诸如台式机或笔记本电脑、平板计算设备或智能电话的用户端点处的诸如文本/文档、视频、音频等等的公司和/或敏感数字内容，使得审计和访问控制服务器(AAS)不能够被绕开。

例如，当用户访问敏感内容时，用户的身份和设备会被IT部门的AAS认证，以便确保该访问局限于例如具有IT部门批准的设备的被授权用户。该设备可以由IT部门拥有或者属于用户的个人财产。因此，在公司内，可以促进并且有效地维护公司内带自己设备(bring-your-own-device(BYOD))模型的部署。

在其中敏感数据或内容被以加密的格式发布给用户的设备的某些实施例中，对加密的数据进行解密的密钥可以由IT部门的AAS提供。在这样的实施例中，敏感数据或内容可以总是以加密的格式驻留在客户端设备上。这样的实现可以极大地降低例如用户的笔记本电脑被盗时信息泄漏的风险。

在涉及未授权用户和/或未授权设备非法拷贝敏感数据或内容的情况中，该实现可以干扰或者甚至阻止该未授权用户和/或设备在没有经过AAS认证和访问检查的情况下浏览、打印该内容等等。结果，在这样的实施例中，敏感数据或内容在设备之间的任何尝试的移动都可能无法绕过IT部门的AAS。

在所公开技术的某些实现中，客户端设备上敏感数据或内容的保护与该客户端设备上其它应用中的漏洞是不相关的。结果是，经常实质上降低了对于监控软件及相关联的成本、性能和电池需求的要求。这样的实现也可以在关于设备的选择和消费化方面具有更大的员工灵活性。

在某些实施例中，可以向数据或内容添加额外的水印以便防止被例如恶意用户拍摄和传播。

所公开技术的实现可以包括安全元件。如在本文中使用的，安全元件通常是指抵抗恶意软件和/或硬件攻击的执行环境，可以用于证实所述执行环境的远程方属性。

所公开技术的实现也可以包括安全子画面。如在本文中使用的，安全子画面是指在设备的屏幕上安全地显示位图使得它不会被例如恶意软件从屏幕上抓取的能力。安全子画面可以包括但不局限于受保护的音频/视频路径(PAVP)和/或高带宽数字内容保护(HDCP)技术。

在某些实施例中，多个认证方法中的任意一个可以用于查验用户的身份。根据数据策略的要求，这样的认证技术可以被单独实现或者组合实现。

例如，取决于所述安全元件和显示保护技术的能力，所公开技术的实施例可以按照多种不同方式中的任意一种来实现。

考虑其中名叫约翰的用户需要从他公司的内联网网站strategy.acme.com访问某些采购相关文档的示例。约翰具有被配备有强大的认证技术的IT批准的平板电脑。约翰访问了在内联网站点strategy.acme.com上共享的关于计划采购的加密的数据。在认证了用户的身份并且检查了访问许可之后，资源库中的文档被加密和释放。然而，由于鱼叉式网络钓鱼攻击，约翰的平板电脑上现在可能具有木马或者其它不期望的和/或恶意的软件。

图2是说明根据所公开技术的实施例实现虚拟公司界限的安全系统200的第一示例的框图。系统200包括网站202，例如公司内部网站或者内联网，例如strategy.acme.com。网站202可以存储加密的内容、信息或数据204，例如位图文件、视频流、或者虚拟地可以被加密并且存储在诸如服务器的机器上的任何其它类型的数据、内容或者信息。

系统200还包括客户端设备210，例如平板计算设备或者智能电话。客户端设备210具有与其相关联的用于向用户视觉地呈现信息的显示器220。显示器220可以与客户端设备210集成，或者它可以位于远离客户端设备210的位置，例如经由无线连接而连接到客户端设备210。

在该示例中，用户正在使用连接到网站202的客户端设备210。对用户例如使用客户端设备210上的网络浏览器212或其它应用与客户端设备210的交互做出响应，客户端设备210可以发送对于来自网站202的诸如敏感文档或内容的敏感信息的请求，如由230指示的。

用户的身份可以经由多个标准认证方法中的任意一种向网络应用进行认证。例如，在服务器侧上，访问控制系统可以用于检查用户被允许访问特定的采购文档。基于检查的肯定结果，服务器可以接着发送响应以便激活某些客户端保护特征。例如，如由232指示的，网络浏览器212可以具有调用安全元件214中的应用的扩展。

在某些实施例中，如由234指示的，可以建立会话密钥。在该示例中，安全元件214验证网站202的身份，并且接着在网站202的网络应用和客户端设备210上的图形芯片集216之间建立短暂的受保护音频/视频路径(PAVP)会话密钥(Ks)。可以通过在使用客户端设备210上的秘密建立的安全信道上来建立会话密钥Ks。在某些实施例中，可以对此进行预先配置。客户端设备210可以向服务器通知它的能力和身份。

在该示例中，如由236指示的，服务器侧应用可以在服务器上例如以.pdf、.doc或其它格式来渲染敏感内容204。在该示例中，这一渲染的位图被使用会话密钥Ks进行加密，并且随后被发送到客户端设备210上的网络浏览器212。

如由240指示的，客户端设备210上的网络浏览器212的扩展可以向客户端设备210上的图形芯片集216发送加密的内容，以便使该内容经由高带宽数字内容保护(HDCP)在显示器220上呈现给用户，如由242指示的。可以接着根据显示器220上的非安全内容将页面222显示给用户。

在某些实施例中，客户端设备可以具有可扩展的安全元件能力，例如具有图形的PAVP信道。在这样的实施例中，要被显示的图形可以通过例如以HDCP为例的保护性措施被保护。诸如公司内联网的网络上的敏感内容可以被直接构造在安全元件内，并且由安全元件传送到客户端设备的图形子系统。

图3是说明根据所公开技术的实施例实现虚拟公司界限的安全系统300的第二示例的框图。在该示例中，系统300包括诸如公司的内联网的网站302以及诸如手持计算设备、平板设备或者智能电话的客户端设备310。与图2的客户端设备210一样，图3的客户端设备310具有与其相关联的显示器320，该显示器320可以与客户端设备310集成或者与客户端设备310分离，例如经由无线连接而连接到客户端设备310。

在该示例中，用户需要访问某个采购谈判的最新状态。使用他或她的客户端设备310，例如笔记本电脑、平板计算机或智能电话，用户连接到公司内联网302或者其它网站并且发送对于与采购谈判有关的信息或者内容304的请求，如由330指示的。所请求的信息可以包括敏感文档或者其它类型的信息、数据或内容。

一旦在330建立了连接，就可以如332指示的使用安全元件314来执行认证和访问检查。例如，可以经由多个已知认证技术中的任意一种向客户端设备310上的网络应用312或其它应用认证用户的身份。在服务器侧上，访问控制系统可以确认用户是否被允许访问所请求的采购文档。服务器可以随后发送响应以便激活某些客户端保护特征，并且客户端设备310上的网络浏览器312的扩展可以调用安全元件314中的应用。

在该示例中，如由334指示的，可以建立客户端网络应用安全会话密钥(Ks)。安全元件314可以验证网站302的身份。一旦安全元件314证实了网站302，它就可以在网站302上的网络应用和安全元件314之间建立加密的通道。网站302上的网络应用可以通过该加密的通道，例如使用安全套接层(SSL)连接，向安全元件314发送敏感内容。客户端设备310可以向服务器通知它的能力和身份。

如由336指示的，安全元件314可以对于客户端设备310上的图形芯片集316建立短暂的PAVP会话密钥(Ks)。安全元件314可以利用应用在客户端设备310上例如以.pdf、.doc的格式来渲染敏感内容。

在该示例中，也如由336指示的，安全元件314可以使用会话密钥(Ks)对所渲染的位图进行加密，并且将所产生的数据发送到客户端设备310上的图形芯片集316，用于例如经由HDCP在屏幕320上向用户进行安全显示，如由338指示的。

图4是说明根据所公开技术的实施例实施虚拟公司界限的第一示例400的流程图。在402，用户使用诸如平板计算设备的客户端设备从诸如用户的公司内联网的网站请求敏感数据。所请求的数据可以包括多种数据类型、文件格式和多媒体内容等等中的任意一种。

在404，执行认证和访问检查。例如，服务器侧访问控制系统可以执行检查以便确定用户和/或客户端设备是否被允许访问所请求的信息。在确定这样的授权存在时，服务器可以发送响应以便激活客户端保护特征，并且客户端设备上的网络浏览器应用可以调用客户端设备上的安全元件中的应用。

在406，建立会话密钥。例如，客户端设备上的安全元件可以验证网站的身份，并且在服务器设备上的网络应用和客户端设备上的图形芯片集之间建立诸如PAVP会话密钥的会话密钥。客户端设备可以向服务器通知它的能力和身份。

在408，服务器侧应用在服务器上渲染敏感内容。所渲染的数据被使用会话密钥进行加密，并且接着被发送到客户端设备上的浏览器应用，如在410指示的。浏览器扩展将所加密的内容发送到图形芯片集，以便经由显示器被视觉地呈现给用户，如在412指示的。所述显示器可以与客户端设备集成或者与客户端设备物理地分离。可以使用诸如HDCP的内容保护技术来显示所述内容，使得根据非安全内容来将页面显示给用户。

图5是说明根据所公开技术的实施例实施虚拟公司界限的第二示例500的流程图。在502，用户使用诸如平板计算设备的客户端设备从诸如该用户的公司内联网的网站请求敏感内容。在504，执行认证和访问检查。这与在图4的方法400中的404处发生的处理类似。

在506，建立客户端-网络应用安全会话密钥。例如，客户端设备上的安全元件可以验证网站的身份。客户端设备上的安全元件在服务器设备上的网络应用和安全元件自身之间建立加密的通道，如由508指示的。

在510，服务器设备上的网络应用通过加密的信号，例如使用SSL，向所述安全元件发送所述敏感内容。客户端设备可以向服务器设备通知其能力和身份。

在512，客户端设备上的安全元件对于客户端设备上的图形芯片集建立会话密钥。安全元件接着在客户端设备上渲染敏感内容。如由514指示的。安全元件对所渲染的内容进行加密，并且将其发送到客户端设备上的图形芯片集，如由516指示的。

在518，经由显示器将内容视觉地呈现给用户。该显示器可以与客户端设备集成，或者与客户端设备物理上分离。例如，该显示器可以经由无线通信信道连接到客户端设备。所述内容可以使用诸如HDCP的内容保护技术进行显示。

所公开技术的实施例可以被结合在各种类型的架构中。例如，某些实施例可以被实现为下面各项中的任意一项或者其组合：使用母版互连的一个或多个微芯片或集成电路、图形和/或视频处理器、多核处理器、硬连线逻辑、由存储器设备存储并且由微处理器执行的软件、固件、专用集成电路(ASIC)和/或现场可编程门阵列(FPGA)。本文使用的术语“逻辑”可以例如包括软件、硬件或者它们的任意组合。

尽管本文描述和说明了具体实施例，但是本领域的普通技术人员应当理解，在不偏离所公开技术的实施例的范围的情况下，广泛的可选和/或等同实现可以取代所示出和描述的具体实施例。本申请意在涵盖本文中说明和描述的实施例的任何修改和变化。因此，明确地期望所公开技术的实施例仅由下面权利要求及其等同物限定。