专利名称:用于在显示器上产生安全状态指示符的系统及方法
技术领域:
本发明大致涉及数据的保护,尤其涉及在例如包括移动装置的计算装置上的数据保护。
背景技术:
机密或者别的敏感数据通常被存储在计算装置上。这样的数据可能包括例如与用户有关的电子邮件信息、联系信息以及计划调度信息的内容。对于例如台式计算机的大型计算装置,可以采用物理安全装置以防止对计算装置本身未授权的访问,并从而,防止对其中的数据的未授权的访问。但是,手提或移动装置可能会被认为不太安全,这是因为它们体积相对小的特点,所以更可能丢失或者被偷。结果是,通常期望保护移动装置上的敏感数据以防止未授权的用户访问这样的信息,尤其是在该装置丢失或被偷之后。
大多数的移动装置提供装置锁定功能以防止未授权的第三人使用。移动装置的锁定可以通过例如用户手动启动,或者在预定的超时期间或移动装置插入机座之后自动启动。当移动装置在锁定状态时,对装置的访问被阻止,直到用户成功地被授权,例如输入合适的装置访问密码。
发明内容
根据一个安全方案,当装置处于锁定状态时,存储在装置上的数据(例如数据的子集被指定为敏感的)被加密。这就提供了额外的安全性,因为敏感数据不能以未加密的形式重现,例如在存储库从装置中移去的情况下。进而,当数据被加密时,在装置上执行的应用程序被阻止访问敏感数据,以提供更大的安全度。
当例如移动装置的计算装置被锁定时,该装置会更明确地被认为处于安全状态,如果装置上的数据(例如,装置上的所有数据,或者被指定为敏感的装置上的所有数据)被加密,从而希望访问数据的应用程序不能解密数据以加以利用。本发明的实施例旨在提供一种用于在装置的显示器上产生安全指示符的系统和方法,以指示锁定装置何时处于安全状态。
在本发明的一个主要方面中,提供一种在计算装置的显示器上产生安全指示符的方法,其中安全数据被存储在计算装置上,其中,当安全数据被加密时,该安全数据使用解密形式的至少一个加密密钥而被解密,其中该方法包括以下步骤检测计算装置何时达到锁定状态;当计算装置处于锁定状态时,通过位于计算装置上的一个或多个应用程序,确定是否所有安全数据都可以被解密;当计算装置处于锁定状态时,如果在确定步骤中确定,至少一些安全数据可以通过至少一个或多个应用程序中的一个来解密,则显示第一指示符;以及当计算装置处于锁定状态时,如果在确定步骤中确定,没有任何安全数据可以被计算装置上的一个或多个应用程序解密时,显示第二指示符。
为了更好的理解本发明的实施例,并且更清楚地示出它是怎样实现效果的,将通过通过示例的方式参照附图进行说明,其中图1是一个实施例的移动装置的方框图;图2是图1的移动装置的通信子系统组件的方框图;图3是无线网络的一个节点的方框图;图4A是解释本发明的一个实施例中在显示器上产生安全指示符的方法的步骤的流程图;以及图4B是解释本发明的另一个实施例中在显示器上产生安全指示符的方法的步骤的流程图。
具体实施例方式
本发明的一些实施例使用移动台。移动台是一种具有高级数据通信能力的双向通信装置,能够与其它计算系统通信,并且它通常在此也被称为移动装置。移动装置也可以包括语音通信的能力。根据由移动装置提供的功能,它可以被称为数据信息装置、双向寻呼机、具有数据通信能力的蜂窝电话、无线因特网装置,或者数据通信装置(具有或不具有电话能力)。移动装置通过收发站网络与其它装置通信。
为了帮助读者理解移动装置的结构以及该移动装置如何与其它装置通信,参考图1至图3。
首先参考图1,一个实施例中的移动装置的方框图通常由100示出。移动装置100包括许多组件,控制组件为微处理器102。微处理器102控制移动装置100的整个操作。包括数据和语音通信的通信功能通过通信子系统104执行。通信子系统104从无线网络200接收消息并发送消息给无线网络200。在这个移动装置100的实施例中,通信子系统104根据全球移动通信系统(GSM)以及通用分组无线服务(GPRS)标准构造。GSM/GPRS无线网络被用于全世界范围,并且期望这些标准最终将被增强数据GSM环境(EDGE)以及通用移动电信服务(UMTS)取代。新标准仍然将被限定,但是相信这些新标准与这里描述的网络特性相类似,并且本领域技术人员也应当理解,本发明试图使用将来会发展的任何其它合适的标准。具有网络200的无线链路连接通信子系统104代表一个或多个不同的射频(RF)信道,其根据特定用于GSM/GPRS通信的被限定协议来操作。利用较新的网络协议,这些信道能够支持电路开关语音通信和分组交换数据通信。
尽管与移动装置100相关的无线网络是移动装置100的一个实施例中的GSM/GPRS无线网络,但是在不同实施例中,其它无线网络也可以与移动装置100相联系。可以被采用的不同种类的无线网络包括,例如,数据—中心无线网络、语音—中心无线网络以及双模网络,该双模网络可以支持在相同的物理基站上的语音和数据通信。被结合的双模网络包括但不限制于码分多址(CDMA)或者CDMA2000网络、GSM/GPRS网络(如上所述),以及像EDGE和UMTS的未来第三代(3G)网络中。一些老的数据—中心网络的例子包括MobitexTM无线电网以及DataTACTM无线电网。老的语音—中心数据网络的例子包括如GSM的个人通信系统(PCS)网络以及时分多址连接(TDMA)系统。
微处理器102也与另外的子系统相互作用,子系统例如是随机存储器(RAM)106、闪存108、显示器110、备用输入/输出(I/O)子系统112、串行口114、键盘116、扬声器118、话筒120、近程通信122以及其它装置124。
移动装置100的一些子系统执行与通信相关的功能,而其它子系统可以提供“常驻”或者在装置上的功能。通过示例,显示器110和键盘116可以被用作和通信相关的功能,例如键入通过网络200传送的文本信息,并且可以被用作例如计算器或者任务列表的装置一常驻功能。由微处理器102使用的操作系统软件通常被存储在例如闪存108的永久存储器中,其可以有选择地为只读存储器(ROM)或者类似的存储元件(未示出)。本领域的技术人员将理解,操作系统、特定装置应用程序、或者其部分可以暂时被存入到例如RAM106的易失性存储器中。
在完成所需的网络注册或者启动程序之后,移动装置100可以经网络200发送并接收通信信号。网络访问与移动装置100的订户或者用户相关。为了识别订户,移动装置100需要订户识别模块或者“SIM”卡126插入到SIM接口128中,以与网络通信。SIM126是传统的“智能卡”的一种,该“智能卡”被用作识别移动装置100的订户并且使移动装置100个人化。没有SIM126,移动装置100和网络200之间的通信操作是不完全的。通过插入SIM126到SIM接口128中,订户可以访问所有的订购服务器。服务可以包括万维网浏览和消息传送、例如电子邮件、语音邮件、短信服务(SMS),以及多媒体信息服务(MMS)。更高级的服务可以包括销售点、现场服务以及销售能力自动化。SIM126包括处理器和用于存储信息的存储器。一旦SIM126被插入SIM接口128中,它就被连接连接到微处理器102。为了识别用户,SIM126包含一些用户参数,例如国际移动订户识别(IMSI)。使用SIM126的优点是,订户不需要被任何单独物理移动装置约束。SIM126也可以为移动装置存储额外的订户信息,包括数据清单(或日历)信息和最近访问信息。
移动装置100是一种蓄电池供能装置,包括用于接收一个或多个可再充电电池130的电池接口132。电池接口132被连接到调节器(未示出),其帮助电池130提供电源V+给移动装置100。尽管当前技术使用电池,但例如微型燃料电池的未来的技术也可以提供能量给移动装置100。
除了其操作系统功能,微处理器102还能够使得移动装置100上的软件应用程序被执行。在制造期间,控制基本装置操作的一组应用程序将被安装在移动装置100上,该组应用程序包括数据以及语音通信应用程序。可以被载入移动装置100上的另外的应用程序可以是个人信息管理程序(PIM)。PIM具有组织和管理感兴趣的数据项的功能,比如电子邮件、日历事件、语音邮件、约会和任务项目,但是并不限于这些数据项目。PIM应用程序能够经无线网络200发送和接收数据项。PIM数据项可以经无线网络200利用移动装置订户的对应数据项无缝集成、同步、以及更新,其中对应数据项是被存储的和/或与主计算机系统有关。该功能在移动设备100中创建出了一个涉及这些项的镜像主计算机。当主计算机系统是移动装置订户的办公计算机系统时,这一点是尤其有益的。
其它的应用程序也可以经网络200、辅助输入/输出子系统112、串行口114、近程通信子系统122或任何其它合适的子系统124而载入到移动装置100上。应用程序安装的灵活性增加了移动装置100的功能性,还可以提供增强装置功能、通信相关功能,或者两者皆备。例如,安全通信应用程序使得电子商务功能和其它这样的财务交易功能可以使用移动装置100来执行。
串行口114使得订户能够通过外部设备或软件应用程序设置优选权,并通过提供信息或软件下载到移动设备100而不是经无线通信网络,拓展移动装置100的能力。交替下载路径可以例如用于经一个直接、可靠、可信的连接加载一个加密密钥到移动装置100上,以提供安全的设备通信。
近程通信子系统122提供了移动装置100和不同系统或装置之间的通信,而不必利用网络200。例如,子系统122可以包括用于近程通信的红外装置以及相关电路和元件。近程通信的例子可以包括红外数据协会(IrDA)开发的标准,即蓝牙(Bluetooth),以及IEEE开发的802.11标准家族。
在使用中,接收到的信号,比如文本信息、电子邮件信息或者网页下载,将由通信子系统104处理,并输入到微处理器102。然后,微处理器102处理接收到的信号,以输出到显示器110或可选的输出到辅助输入/输出子系统112。订户还可以例如利用键盘116、结合显示器110甚至可能结合辅助输入/输出子系统112,来编写数据项。辅助子系统112可以包括这些装置,比如接触式屏幕、鼠标、跟踪球、红外指印检测器或者具有动态按钮按压功能的滚轮。键盘116是一种字母数字式键盘和/或电话型袖珍键盘。编写的内容可以在网络200上经通信子系统104传输。
对于语音通信而言,移动装置100的整个运行基本类似,不同之处在于,接收的信号输出到扬声器118,传输信号由话筒120产生。可选的语音或音频输入/输出子系统,比如语音消息记录子系统,还可以应用到移动装置100上。虽然语音或音频信号输出最初经扬声器118实现,但是显示器110也可以用于提供额外的信息,比如主叫用户的识别、语音呼叫的持续时间、或者其它语音呼叫相关信息。
现在参照图2,示出了图1的通信子系统组件104的方框图。通信子系统104包括接收器150、传送器152、一个或多个嵌入的或内置的天线元件154和156、本地振荡器(Los)158、以及比如数字信号处理器(DSP)160的处理模块。
通信子系统104的特别设计依赖于网络200,其中移动装置100在该网络中运行,所以应当理解,图2中的设计仅仅作为一个例子。经网络200由天线154接收的信号输入到接收器150,该接收器可以执行比如信号放大、下变频变换、过滤、信道选择以及模数(A/D)变换等等普通接收器功能。接收信号的模数变换使得更加复杂的通信功能可以在DSP160中执行,比如解调、解码。以类似的方式,传输信号被DSP160处理,包括调制和编码。这些DSP处理信号输入到传送器152,以用于数模变换、上变频变换、过滤、放大以及经天线156在网络200上传输。DSP160不仅处理通信信号,还提供接收器和传送器控制。例如,施加到接收器150和传送器152中的通信信号的增益可以经DSP160中执行的自动增益控制算法而适当的控制。
移动装置100和网络200之间的无线连接可以包含一个或多个不同信道,以及在移动装置100和网络200之间使用的相关协议,其中不同的信道通常是不同的RF信道。RF信道是一种需要节约使用的限制资源,主要是因为移动装置100的整体带宽的限制以及受限的电池能量。
当移动装置100完全运行时,传送器152通常被键控,或者仅当它发送到网络200时开启,否则其关闭以节约资源。类似的,接收器150也周期性关闭以节约能量,直到在指定时间段它需要接收信号或信息(如果有的话)才开启。
现在参照图3,示出无线网络的一个节点202的方框图。实际上,网络200包括一个或多个节点202。移动装置100在无线网络200内和节点202通信。在图3的实施例中,节点202根据通用分组无线业务(GPRS)和全球移动通信系统(GSM)技术而构建。节点202包括一个带有相关塔站206的基站控制器(BSC)204、用于在GSM中支持GPRS的分组控制单元(PCU)208、移动交换中心(MSC)210、本地位置寄存器(HLR)212、访问者位置寄存器(VLR)214、服务GPRS支持节点(SGSN)216、网关GPRS支持节点(GGSN)218、以及动态主机配置协议(DHCP)220。这一系列部件并不是GSM/GPRS网络内每一个节点202的完全列表,而只是通常使用于经网络200通信的一系列部件。
在GSM网络中,MSC210连接到BSC204以及一个陆上通信网络,比如公用切换电话网(PSTN)222,以满足电路切换需求。经PCU208、SGSN216以及GGSN218到公共或专用网络(因特网)224(这里通常也称为共用网络基础结构)的连接表示用于具有GPRS功能的移动装置的数据路径。在拓展有GPRS功能的GSM网络中,BSC204还包括分组控制单元(PCU)208,其连接到SGSN216以控制分段、无线信道分配以及满足分组切换需求。为了追踪移动装置位置并能够进行电路切换和分组切换管理,在MSC210和SGSN216之间共用一个HLR212。提供MSC210来控制到VLR214的访问。
站206是一种固定收发站。站206和BSC204一起形成固定收发设备。固定收发设备为特定覆盖区域提供无线网络覆盖,这些特定区域通常被称为“单元”。固定收发设备在其单元内经站206传输信号到移动装置,以及从移动装置接收信号。在其控制器的控制下,固定收发设备通常执行这样的功能,比如信号的调制、可能的编码和/或加密,其中该信号根据特定的、通常为预定的通信协议和参数而被传输到移动装置。如果需要,固定收发设备类似的对任何在其单元内从移动装置100接收的通信信号进行解调、可能的解码以及解密。在不同的节点之间,通信协议和参数可以改变。例如,一个节点可以采用一个不同的调制方案,并以不同于其它节点的频率运行。
对于具体网络中注册过的移动装置100,比如用户概况的永久性配置数据被存储在HLR212中。HLR212还包含用于每一个注册移动装置的位置信息,并能够查询确定移动装置的当前位置。MSC210响应一组位置区域,并存储当前VLR214中的响应区域中的移动装置的数据。进而,VLR214还包含那些正在访问其它网络的移动装置上的信息。VLR214中的信息包括一部分从HLR212传输到VLR214以获取更快访问的永久性移动装置数据。提供从一个远程HLR212节点传输额外信息到VLR214,这些节点之间的通信量将减少,从而语音和数据服务能够以更快的响应时间提供,同时,仅需要利用较少的计算资源。
SGSN216和GGSN218是为在GSM内支持GPRS而添加的部件,GPRS支持也就是分组切换数据支持。通过保持对每一个移动装置100的位置追踪,SGSN216和MSC210具有无线网络200内的类似响应性。SGSN216还执行安全功能,以及对网络200的数据通信进行访问控制。GGSN218提供和外部分组切换网络之间的互连网络连接,并经因特网协议(IP)干线网连接到一个或多个SGSN216,其中该干线网在网络200内运行。在正常运行期间,给定的移动装置100必须执行“GPRS连接”,以查询到一个IP地址并访问数据服务。由于综合业务数字网(ISDN)地址被用于路由选择呼入和呼出,所以该要求在电路切换语音信道中并不存在。当前,所有具有GPRS功能的网络都使用专用的、动态指定的IP地址,所以需要一个DHCP服务器220连接到GGSN218。有许多装置可以进行动态IP指定,包括利用远程认证拨入用户服务(RADIUS)服务器和DHCP服务器的组合。一旦GPRS连接完成,就建立一条从移动装置100开始,经PCU208、SGSN216到达GGSN218内的接入点节点(APN)的逻辑连接路径。APN表示IP隧道的逻辑末端,其能够获取直接因特网兼容服务或专用网络连接。每一个移动装置100必须分配给一个或多个APN,并且不首先执行到已经被授权使用的APN的GPRS连接,移动装置100将不能交换数据,因此,在这种情况下,APN还表示用于网络200的一种安全装置。APN可以被认为类似于一个因特网域名,比如“myconnection.wireless.com”。
一旦GPRS连接完成,就创建一个隧道(tunnel),使用任何能够在IP分组中被支持的协议,所有的业务都可以在标准IP分组中交换。这包括建隧道方法,比如在一些IP安全性(Ipsec)连接和虚拟个人网络(VPN)结合使用的情况下,通过IP的IP方法。这些隧道还被认为是分组数据协议(PDP)上下文,并在网络200中这些隧道的数量受到限制。为了最大程度利用PDP上下文,网络200将为每一个PDP上下文启动一个空闲定时器,以测定是否缺乏活性。当移动装置100不使用PDP上下文时,PDP上下文将重新分配,IP地址将返回到IP地址池,其中该地址池被DHCP服务器220管理。
本发明的实施例大致涉及数据保护,更具体而言涉及计算装置上的数据保护。虽然这里描述的本发明的实施例涉及移动装置,但是至少一些实施例可以应用到计算装置而不是移动装置。
在一个实施例中,移动装置(图1中的移动装置100)提供装置锁定功能,以防止未授权第三人使用。移动装置锁定可以通过例如用户手动启动,或者在预定的超时期间或移动装置插入机座之后自动启动。
根据一种安全策略,当移动装置100处于锁定状态时,存储在移动装置100的数据(或者已经指定为敏感的那些数据的子集)被加密。在该实施例中,这种安全策略通过移动装置100上的数据保护系统来实现。数据保护系统可以实现为软件模块、应用程序或者实用程序,它们位于移动装置100上并可以执行(例如,通过图1的微处理器102来执行)。在一个变型实施例中,数据保护系统可以实现为硬件。这里描述的数据保护系统不必要实现为一个单独的模块,在一些变型实施例中,该系统的一部分或所有功能都可以集成到移动装置100中的、一个或多个其它应用程序或模块当中。
在移动装置100中,通过数据保护系统来控制对存储器(例如,闪存108)存储内容的访问。数据保护系统对接收的数据进行加密,将该加密数据存储到存储器中,并为移动装置100的部件解密这些存储数据。在一个实施例中,由移动装置100的部件来启动对于存储器存储内容的读取和写入操作,这些操作经数据保护系统而执行。在一个变型实施例中,移动装置100的部件可以直接访问存储器,仅当数据被存储加密或者加密数据需要解密以被使用时,这些部件和数据保护系统进行相互作用。
为便于阐述,下面的描述将涉及,在需要数据保护的地方,通常通过数据的数据保护系统来进行数据加密和解密。然而,本领域技术人员将会理解,并不是所有存储的数据都需要以这种方式来保密。例如,仅仅那些特别相关于移动装置100的用户的数据才被保密。此外,通过用户或者通过移动装置100上的应用程序执行来自动执行,具体的数据项和具体的数据类型可以指定为敏感的数据,从而它可以通过这种方式来保密。作为进一步的例子,仅仅那些存储在移动装置100特定的存储器中的数据才被指定以保护。在变型实施例中还可以采用其它结构和构造。
在该实施例中,数据保护系统可以被启用或者禁止使用,仅当数据保护系统被启用时数据才被加密和/或解密。用户可以被允许启用和/或禁止使用数据保护系统。在一个变型实施例中,例如通过一个管理器(可能根据信息技术(IT)策略),数据保护系统可以被启用和/或禁止使用。
在运行中,数据保护系统在位于存储器(图1的闪存108)中的密钥存储器中,访问加密密钥。在一个实施例中,在密钥存储器中,存储至少一各对称的密钥,其用于保密数据的加密和解密。为了保护加密密钥不被未授权使用,密钥以加密形式存储在密钥存储器中。例如通过正确输入用户装置密码,加密密钥随后被解密。然后在该密钥存储器,或者在另一个存储器(例如,图1中的RAM106)或一个超高速缓冲存储器当中,可以存储一个解密密钥的拷贝,从而每次需要它时不必再次解密。然而,在该实施例中,当移动装置100被锁定时,该解密对称密钥会被删除。下一次移动装置100再被解锁时(例如,通过用户输入正确的密码),该加密对称密钥能够被再次解密。
进而,根据上述安全策略,当移动装置100处于锁定状态时,需要保密的数据(例如,被认为是敏感的数据)被加密。由于移动装置锁定通常能够在任何时候启动,所以,即使一个应用程序出现在执行某个动作的过程中时,其中该动作对在解密状态下的某数据还未完成(例如,安全数据项的分类),还是希望允许这样的应用程序完成过程中的该动作,而不是在装置锁定时使得该数据立即加密从而中断该动作。
为了便于获得该功能性,移动装置100的数据保护系统例如可以进一步发“准入许可证”给应用程序以寻求到安全数据的访问。当一个应用程序需要执行某个要求访问安全数据的动作时,该应用程序能够从数据保护系统中申请到一准入许可证(ticket)。如果移动装置100处于未锁定状态,数据保护系统将立即发准入许可证给该应用程序。另一方面,如果移动装置100处于锁定状态,数据保护系统将不发准入许可证给该应用程序,以防止该应用程序访问到该安全数据。该申请可以被拒绝,从而当移动装置100随后变成未锁定时该应用程序将再次申请一准入许可证;或者,数据保护系统会响应于原始申请而延迟准入许可证的发放,直到移动装置100随后变成未锁定,在该未锁定状态,准入许可证会自动发送给应用程序。
只要一个应用程序持有一张有效的准入许可证,该应用程序将能允许访问到安全数据。即使移动装置100随后变成锁定,该应用程序也能够继续访问安全数据,直到该应用程序释放了该准入许可证。应用程序仅期望在一短期时间内使用准入许可证以完成某个动作,当该动作完成后将随即释放该准入许可证。在变型实施例中,准入许可证仅在特定的时间间隔内被认为是有效的,超过该时间间隔准入许可证将视为释放。
数据保护系统保持追踪每一个已经领到准入许可证但是还没有释放该准入许可证的应用程序。由于存在显著的准入许可证,所以,即使移动装置100变成锁定,但是因为具有准入许可证的应用程序仍然准许访问到安全数据,因此,需要解密安全数据的加密密钥仍然保持为不需要密码(in the clear)。然而,一旦数据保护系统测定所有发出的准入许可证都已经被释放并且移动装置100处于锁定状态,则解密的加密密钥的拷贝被删除。因此,存储为加密形式的安全数据不再被该状态下的应用程序解密,移动装置100会被认为处于安全状态。
本发明的实施例大致是为了提供一种用于在计算装置的显示器上产生一个安全指示符的系统和方法,以指示锁定装置何时处于安全状态。
参照图4A,示出一张流程图,阐述了在本发明的一个实施例中的、用于在显示器上产生一个安全指示符的方法的各个步骤,该方法通常用300表示。该方法便于用户识别计算装置(例如,图1的移动装置100)锁定时何时处于安全状态。
如上所述,在步骤302示出的涉及移动装置100的正常运行中,准入许可证被发出(例如,通过数据保护系统执行到移动装置100上)给申请访问安全数据以对安全数据执行动作的应用程序,而计算装置处于未锁定状态。这些准入许可证然后在该动作完成时被释放。
在步骤310中,数据保护系统检测计算装置何时进入锁定状态。只要计算装置处于未锁定状态,数据保护系统就能继续发准入许可证(例如,在步骤302中)。
在步骤320中,数据保护系统判断那些在计算装置处于未锁定状态时领到准入许可证的应用程序是否都已经释放了它们的准入许可证。如果是,任何能够被应用程序使用以访问安全数据的、解密形式的加密密钥都在步骤328删除,安全状态指示符在步骤330显示在计算装置上。
在一个实施例中,步骤330中显示的安全状态指示符是一个类似被锁住的挂锁的图标。在变型实施例中也可以使用其它的安全状态指示符。
当该装置被安全的锁定时,该安全状态指示符被显示,以使得它能够清楚的被用户看到。例如,该安全状态指示符可以显示在计算装置显示器的带标上。
步骤330显示的安全状态指示符表示,计算装置并不仅仅是被锁定以防止未授权的用户访问,而是不但被锁定而且处于安全状态(也就是,安全的锁定),从而计算装置上的应用程序不能访问安全数据(例如,已经被指定为敏感的数据)。安全状态指示符保持显示,直到计算装置回到未锁定状态,或者直到应用程序被允许访问安全数据为止。
如果在步骤320,数据保护系统判断并不是所有那些在计算装置处于未锁定状态时收到准入许可证的应用程序已经释放了它们的准入许可证,则在步骤340中,表示非安全状态的指示符显示在计算装置中。
在一个实施例中,步骤340中显示的非安全状态指示符是一个类似未锁定挂锁的图标。在在变型实施例中也可以使用其它的非安全状态指示符。
当该装置被安全锁定时,非安全状态指示符被显示,使得它可以清楚的被用户看到。例如,该非安全状态指示符可以显示在计算装置显示器的带标上。
步骤340显示的非安全状态指示符表示,虽然计算装置处于锁定状态,但是该计算装置并没有处于安全状态,这是因为至少一个应用程序还是可以访问安全数据,还是可以解密安全数据。进而,该计算装置不应当认为是安全的,这是因为用于解密安全数据的加密密钥仍然以解密状态存在于存储器存储内容中,攻击者可以潜伏的获取该密钥并用于解密安全数据。通过重复步骤320,可以监测显著准入许可证的状态,非安全状态指示符可以继续显示,直到检测到计算装置的安全状态,或者,直到计算装置回到未锁定状态,或者直到应用程序被允许访问安全数据为止。
参照图4B,示出一张流程图,阐述了在本发明的一个实施例中的、用于在显示器上产生一个安全指示符的方法的各个步骤,该方法通常用300b表示。该方法便于用户识别计算装置(例如,图1的移动装置100)锁定时何时处于安全状态。
方法300b类似于方法300,不同之处在于,方法300b可以应用于这样的实施例中,其中解密的安全数据标为例如明文。当一个应用程序申请访问安全数据时,数据保护系统会解密该申请的安全数据,在存储器中存储该解密数据,并标注该解密数据为明文,如步骤304所示。此外,为了更大的安全度,当计算装置变成锁定时,例如通过数据保护系统,标注为明文的数据(这里通常称为明码文本目标)会被删除。如果需要持久存储明文对象,并且该目标并未存储为加密形式,则在计算装置变成锁定之后它会被数据保护系统加密。具有还未释放的准入许可证的应用程序被允许持有一些明文对象,直到它们不再需要,即明文对象被释放的时刻为止(例如,被删除)。
在本发明的一个实施例中,计算装置不被认为是处于安全状态,直到(1)计算装置处于未锁定状态时已经领到准入许可证的所有应用程序已经释放了它们的准入许可证;(2)所有的明明文对象已经被释放。因此,在步骤320b,数据保护系统判定是否上述两个条件都满足。如果是,则安全状态指示符在步骤330被显示。如果不是,非安全状态指示符在步骤340被显示。
在本发明的一个变型实施例中,除了上述涉及方法300或方法300b的标准,还可以建立其它标准来判别计算装置是否获得安全状态。在变型实施例中,也可以定义并测定两个以上的状态。
在本发明的一个变型实施例中,可以采用第三状态指示符来表示这样的状态,即,已经测定(1)计算装置处于未锁定状态时已经领到准入许可证的所有应用程序已经释放了它们的准入许可证;(2)并非所有的明文对象都已经被释放。在该实施例中,例如可以采用表示三种状态(也就是,准入许可证存在并且存在,不存在准入许可证但是明文存在,准入许可证和明文均不存在)的三态图标。
在本发明的一个变型实施例中,数据保护系统可以建构成允许在特定时间,安全状态可以根据方法300来测定,或者根据方法300b来测定。数据保护系统可以被用户来构建,和/或根据可能的IT策略,可以例如由管理者来构建。
在本发明的实施例中,用于产生安全指示符的方法的各个步骤可以是可执行的软件指令,其存储在计算机可读媒介中,该媒介可以包括传输型媒介。
本发明已经参照大量的实施例来描述。然而,本领域技术人员将会理解,不脱离本发明的范围,可以进行其它的变型和改变,其中本发明的范围由所附的权利要求来限定。
权利要求
1.一种在计算装置的显示器上产生安全指示符的方法,其中安全数据被存储在计算装置上,当安全数据被加密时,可以使用解密形式的至少一个加密密钥而解密该安全数据,其中该方法包括以下步骤a)检测计算装置何时达到锁定状态;b)当计算装置处于锁定状态时,确定是否能够通过位于计算装置上的任何一个或多个应用程序,解密所有安全数据;c)当计算装置处于锁定状态时,如果在确定步骤中确定,至少一些安全数据能够通过至少一个或多个应用程序中的一个来解密,则显示第一指示符;以及d)当计算装置处于锁定状态时,如果在确定步骤中确定,没有任何安全数据能够被计算装置上的一个或多个应用程序解密时,则显示第二指示符。
2.根据权利要求1的方法,其中计算装置是移动装置。
3.根据权利要求1或2的方法,其中第一指示符是类似于未锁定挂锁的图标,其中第二指示符是类似于锁定挂锁的图标。
4.根据权利要求1至3任何一个的方法,还包括以下步骤当计算装置未处于锁定状态时,向每一个要求访问安全数据以执行动作的应用程序发出准入许可证,其中每一个应用程序在动作完成时释放该发出的准入许可证;以及基于确定发出的准入许可证已经被释放,删除该至少一个加密密钥,从而没有一个安全数据能够由计算装置上的该一个或多个应用程序解密。
5.根据权利要求4的方法,进而包括以下步骤对于至少一个应用程序的每一个,当安全数据的子集被相应应用程序解密以使用而计算装置未处于锁定状态时,标注安全数据的该子集为明文,其中该相应应用程序在使用该子集后删除该标注的子集;以及确定在第二标识符被显示前所有标注的子集都被删除。
6.一种用于在计算装置上执行的软件应用程序,该应用程序包括多个存储在计算机可读媒介上的指令,该指令用于执行权利要求1至5任何一个所述的用于在计算装置的显示器上产生安全指示符的方法。
7.一种用于在计算装置的显示器上产生安全指示符的数据保护系统,其中安全数据存储在计算装置上,当安全数据被加密时,该数据保护系统使用解密形式的至少一个加密密钥对安全数据解密,其中该数据保护系统进一步执行a)检测计算装置何时达到锁定状态;b)当计算装置处于锁定状态时,确定是否可以通过位于计算装置上的任何一个或多个应用程序,对所有安全数据解密;c)当计算装置处于锁定状态时,如果在确定步骤中确定,至少一些安全数据能够通过至少一个或多个应用程序中的一个来解密,则显示第一指示符;以及d)当计算装置处于锁定状态时,如果在确定步骤中确定,没有任何安全数据能够被计算装置上的一个或多个应用程序解密时,则显示第二指示符。
8.根据权利要求7的数据保护系统,其中计算装置是移动装置。
9.根据权利要求7或8的数据保护系统,其中第一指示符是类似于未锁定挂锁的图标,其中第二指示符是类似于锁定挂锁的图标。
10.根据权利要求7至9任何一个的数据保护系统,还执行当计算装置未处于锁定状态时,向每一个要求访问安全数据以执行动作的应用程序发出准入许可证,其中每一个应用程序在动作完成时释放该发出的准入许可证;以及基于确定发出的准入许可证已经被释放,删除该至少一个加密密钥,从而没有一个安全数据能够由计算装置上的该一个或多个应用程序解密。
11.根据权利要求10的数据保护系统,还执行对于至少一个应用程序的每一个,当安全数据的子集被相应应用程序解密以使用而计算装置未处于锁定状态时,标注安全数据的该子集为明文,其中该相应应用程序在使用该子集后删除该标注的子集;以及确定在第二标识符被显示前所有标注的子集都被删除。
全文摘要
提供一种用于在计算装置(例如,移动装置)的显示器上产生安全指示符的方法和系统,该标识符表示计算装置在锁定状态下何时处于安全状态。测定(例如,通过数据保护系统)当计算装置处于锁定状态时,至少一些存储在计算装置上的安全数据能否被计算装置上的任何应用程序解密。一个图标或其它标识符被显示,表示安全状态已经获取。在一个实施例中,如果测定所有准入许可证都已经被解除,并且任何解密的加密密钥都已经被删除,则认为已经获得安全状态,其中上述准入许可证在计算装置未锁定时发送到计算装置的应用程序,而上述解密的加密密钥可以用于解密安全数据。
文档编号G06F1/00GK1744743SQ20051009780
公开日2006年3月8日 申请日期2005年8月30日 优先权日2004年9月3日
发明者尼尔·P·亚当斯, 迈克尔·S·布朗, 赫伯特·A·利特尔 申请人:捷讯研究有限公司