针对设备数据的安全策略的制作方法
【专利摘要】描述了用于提供针对设备数据的安全策略的技术。在实现中,设备上的数据以加密形式存储。为了保护加密数据免于被未经授权的实体解密,如果检测到为了获得对设备数据的未经授权的访问的尝试,则技术使得解密密钥能够被闭塞。在实现中,解密密钥能够以各种方式闭塞,诸如通过删除解密密钥、覆写存储器中的加密密钥、对加密密钥进行加密等等。实施例使得闭塞的解密密钥能够经由恢复体验而恢复。例如,恢复体验能够包括请求恢复口令的认证过程。如果提供正确的恢复口令,则能够提供闭塞的解密密钥。
【专利说明】针对设备数据的安全策略
【背景技术】
[0001]当今的个体可以访问多种多样的设备,这些设备能够被用于执行诸如工作有关的 任务、个人活动、娱乐活动等等之类的各种任务。虽然一些设备可以专用于诸如工作有关的 目的之类的特定目的,但是许多设备被视为"混合用途"设备。例如,个体的智能电话能够 被用于执行诸如做出个人电话呼叫、拍照片、发送消息等等之类的个人任务。智能电话还可 以被用于诸如发送和接收工作有关的电子邮件、读取和编辑工作文档、管理工作联络等等 之类的工作有关的活动。
[0002] 这样的混合用途设备的一个结果是各种类型的数据可以存储在特定设备上。例 如,工作有关的文档可以本地存储在智能电话上以使得个体能够使用智能电话查看文档。 虽然将数据本地存储在设备上能够为个体提供对数据的便捷访问,但是其还可能呈现相当 大的安全风险。例如,存储在设备上的敏感数据可能潜在地暴露给获取该设备的未经授权 的占有的个体。
[0003] 用于保护存储在设备上的数据的一些技术通过简单地从设备擦除数据来响应于 对数据所尝试的未经授权的访问的指示。虽然这在某些情形中对保护数据免于未经授权的 访问能够是有效的,但是其还可能导致重要数据的丢失。例如,考虑其中孩童尝试获得对其 父母的电话的访问以玩游戏的场景。诸如有限重试逻辑或用于策略实施的企业服务器之类 的与电话相关联的安全功能性可以将该尝试解释为个体为了获得对敏感数据的未经授权 的访问的尝试。作为响应,安全功能性能够使电话上的数据被擦除。这不仅可能导致重要 数据的丢失,而且能够呈现相当明显的不便之处,因为可能实现重配置过程以将设备返回 到功能状态。
【发明内容】
[0004] 提供本
【发明内容】
来以简化的形式引入以下在【具体实施方式】中进一步描述的概念 的选择。本
【发明内容】
不旨在标识所要求保护的主题的关键特征或本质特征,也不旨在被用 作对确定所要求保护的主题的范围的帮助。
[0005] 描述了用于提供针对设备数据的安全策略的技术。在至少一些实现中,设备上的 数据以加密形式存储。为了由设备的功能性(例如应用)所利用,加密数据从存储来读取、使 用解密密钥来解密并且被提供给功能性。为了保护加密数据免于被未经授权的实体解密, 如果检测到为了获得对设备数据的未经授权的访问的尝试,则技术使得解密密钥能够被闭 塞(occlude)。在实现中,解密密钥能够以各种方式闭塞,诸如通过删除解密密钥、在存储器 中覆写加密密钥、对加密密钥进行加密等等。
[0006] 实施例使得闭塞的解密密钥能够经由恢复体验(experience)进行恢复。例如,恢 复体验能够包括从用户请求高级认证信息的认证过程。这样的高级认证信息能够包括可以 由授权用户取得(retrieve)的高熵恢复口令。如果用户提供正确的恢复口令,则恢复体 验能够使闭塞的解密密钥被恢复,例如,去闭塞。在实现中,在闭塞的解密密钥已经得以恢 复之后,用户能够向设备提供标准认证信息,诸如设备登录体验的一部分之类。如果认证 成功,则经恢复的解密密钥能够被用于解密设备上的数据,使得数据能够被设备的用户和/ 或功能性"不受阻碍地"访问。
[0007] 实施例提供了能够被用于保护存储在设备上的数据免于未经授权的访问的安全 策略。例如,如果特定条件存在,则安全策略能够指定用于设备的解密密钥被闭塞。这样 的条件的示例能够涉及许多不成功的设备登录尝试、经由非受信的设备访问加密数据的尝 试、解密密钥和/或安全有关凭证的明确撤销、在特定时间处设备"签到"的失败等等。
【专利附图】
【附图说明】
[0008] 参照附图描述【具体实施方式】。在图中,参考标号的(多个)最左侧数字标识其中该 参考标号第一次所出现的图。在描述和附图中的不同实例中相同参考标号的使用可以指示 类似或相同的项。
[0009] 图1是可操作以采用本文所讨论的技术的示例性实现中的环境的图示。
[0010] 图2是描述了依照一个或多个实施例的方法中的步骤的流程图。
[0011] 图3是描述了依照一个或多个实施例的方法中的步骤的流程图。
[0012] 图4是描述了依照一个或多个实施例的方法中的步骤的流程图。
[0013] 图5图示了如参照图1所描述的示例性系统和计算设备,其被配置成实现本文所 描述的技术的实施例。
【具体实施方式】
[0014] 概沭 描述了用于提供针对设备数据的安全策略的技术。在实现中,设备上的数据以加密形 式存储。为了由设备的功能性(例如应用)所利用,加密数据从存储来读取、使用解密密钥来 解密并且被提供给功能性。为了保护加密数据免于被未经授权的实体解密,如果检测到为 了获得对设备数据的未经授权的访问的尝试,则技术使得解密密钥能够被闭塞。在实现中, 解密密钥能够以各种方式闭塞,诸如通过删除解密密钥、在存储器中覆写加密密钥、对加密 密钥进行加密等等。
[0015] 实施例使得闭塞的解密密钥能够经由恢复体验进行恢复。例如,恢复体验能够包 括从用户请求高级认证信息的认证过程。这样的高级认证信息能够包括可以由授权用户取 得的高熵恢复口令。如果用户提供正确的恢复口令,则恢复体验能够使闭塞的解密密钥被 恢复,例如,去闭塞。在实现中,在闭塞的解密密钥已经得以恢复之后,用户能够向设备提供 标准认证信息,诸如设备登录体验的一部分之类。如果认证成功,则经恢复的解密密钥能够 被用于解密设备上的数据,使得数据能够被设备的用户和/或功能性"不受阻碍地"访问。
[0016] 实施例提供了能够被用于保护存储在设备上的数据免于未经授权的访问的安全 策略。例如,如果特定条件存在,则安全策略能够指定用于设备的解密密钥被闭塞。这样 的条件的示例能够涉及许多不成功的设备登录尝试、经由非受信的设备访问加密数据的尝 试、解密密钥和/或安全有关凭证的明确撤销、在特定时间处设备"签到"的失败等等。
[0017] 已经依照一个或多个实施例呈现了示例性实现的概述,现在考虑其中可以采用示 例性实现的示例性环境。
[0018] 示例件环塏 图1是可操作以采用用于提供针对设备数据的安全策略的技术的示例性实现中的环 境100的图示。环境100包括客户端设备102,其能够体现为任何适合的计算设备,诸如,作 为示例而非限制,台式计算机、便携式计算机、诸如个人数字助理(PDA)之类的手持式计算 机、移动电话、平板计算机和相似物。下文在图5中示出并描述客户端设备102的各种不同 的示例。
[0019] 将图1的客户端设备102图示为包括应用104,其表示经由客户端设备102执行 各种任务的功能性。这样的任务的示例包括万维网浏览、文字处理、电子邮件、内容消耗(例 如视频和/或音频)、社交联网等等。例如,应用104能够包括万维网浏览器,其表示被配置 成经由网络106进行导览(navigate)的功能性。网络106可以包括和/或采取各种各样 的不同配置,诸如因特网、广域网(WAN)、局域网(LAN)、无线网络、公共电话网络、内联网等 等。另外,尽管示出单个网络106,但是网络106可以被配置成包括多个网络。应用104例 如可以被配置成经由网络106进行导览以与从网络资源可用的内容交互以及将数据传送 到网络资源,例如执行下载和上载。
[0020] 另外图示为客户端设备102的一部分的是加密数据108,可以使用各种不同数据 加密技术对其加密。加密数据108例如能够存储在驻留于客户端设备102上的某种形式的 计算机可读存储媒介上。下文参照图5讨论这样的计算机可读存储媒介的示例。在实现中, 加密数据108能够包括用户和/或企业数据,诸如内容(图像、视频、音频等等)、文档、联络、 电子邮件等等。加密数据108还能够包括系统数据,诸如操作系统(0S)数据、用于客户端 设备102的系统文件、应用文件(例如可执行文件)等等。
[0021] 客户端设备102还包括安全模块110,其表示管理和/或执行用于客户端设备102 的各种安全有关的任务的功能性。例如,安全模块110可以被配置成加密客户端设备102 的数据,使得数据能够作为加密数据108的一部分被存储。各种类型的数据能够被安全模 块110加密并且作为加密数据108的一部分被包括,加密数据108的示例在上文提供。
[0022] 安全模块110包括至少一个解密密钥112,其表示能够被用于解密加密数据108的 数据的一部分。例如安全模块110能够使用解密密钥112来解密加密数据108以将数据置 于能够被人类识别(例如人类可读形式)、能够被应用104用来执行任务、和/或能够被客户 端设备102用作执行系统级操作的一部分的形式。
[0023] 另外作为安全模块110的一部分被包括的是安全策略114,其表示能够触发安全 过程的条件和/或事件。例如,如果安全模块110检测到安全策略114中的一个的违反,则 安全模块110能够使解密密钥112闭塞。下文详细讨论安全策略114的示例。
[0024] 安全模块110还包括设备状况模块116,其表示监视和/或报告客户端设备102的 状态信息的功能性。例如,安全策略114中的一个或多个能够指定客户端设备102的特定 状态条件。如果设备状况模块116检测到特定状态条件的变化,则设备状况模块116能够 提供已经违反安全策略114之一的通知。
[0025] 例如,设备状况模块116能够追踪用于诸如处理器、存储器设备、输入/输出设备 等等之类的客户端设备102的各种组件的标识符。因此,设备状况模块116能够维护用于 客户端设备102的已知组件的简档。如果设备状况模块116检测到未知组件正在尝试与客 户端设备102交互,则设备状况模块116能够触发安全策略114之一的违反。例如,设备 状况模块116能够检测未知的中央处理单元(CPU)或非受信的CPU配置正在尝试访问存储 在客户端设备102上的数据,诸如加密数据108。作为响应,安全模块110能够使解密密钥 112闭塞,使得能够防止未知CPU访问解密密钥112和解密加密数据108。下文呈现其它状 态有关的信息的示例。
[0026] 另外作为客户端设备102的一部分被包括的是恢复模块118,其表示使得能够恢 复闭塞的安全密钥的功能性。例如,如果解密密钥112响应于安全策略114之一的违反而闭 塞,则恢复模块118能够发起恢复过程,其可以使得能够恢复(例如,去闭塞)解密密钥112。 下文讨论恢复过程的详细示例。
[0027] 环境100还包括安全服务120,其表示管理和/或执行实体的安全过程的功能性。 安全服务能够由可以经由网络106与客户端设备102通信的远程资源来实现。例如,安全 服务120能够管理与客户端设备102的用户相关联的企业实体(例如商务)的安全过程。安 全服务120包括至少一个安全状况列表122,其追踪用于各种项的安全状况。例如,安全状 况列表122能够指定是否已经撤销特定项的受信状况,诸如客户端设备、安全密钥、数字证 书、安全凭证等等。
[0028] 安全服务120例如能够接收客户端设备102可能被未经授权的个体占有的指示。 例如,客户端设备102的授权用户能够将客户端设备102已经丢失或被盗通知给安全服务 120。安全服务120能够使客户端设备102的受信状况被撤销,其能够记录在安全状况列表 122中。例如,安全服务120能够撤销解密密钥112,其能够在安全状况列表122中被标记 为已被撤销。当客户端设备102向安全服务120签到时,客户端设备102能够访问安全状 况列表122并且检测到解密密钥112被撤销。作为响应,安全模块110能够使解密密钥112 闭塞。可替换地或附加地,安全服务120能够向客户端设备102推送被撤销项的通知,诸如 通过向客户端设备102推送安全状况列表122的副本。
[0029] 已经描述了其中可以操作本文所描述的技术的示例性环境,现在考虑依照一个或 多个实施例的一些示例性过程的讨论。
[0030] 示例件讨稈 以下讨论描述依照一个或多个实施例的用于提供针对设备数据的安全策略的示例性 过程。在以下讨论的各部分中,将参照图1的环境100。
[0031] 图2是描述了依照一个或多个实施例的方法中的步骤的流程图。在实现中,该方 法描述了将设备配置成保护安全密钥的示例性方式。
[0032] 步骤200生成解密密钥,其被配置成用于解密设备的加密数据。例如,安全模块 110能够生成解密密钥112,其能够被用于解密加密数据108。步骤202产生恢复密钥,其能 够被用于如果解密密钥被闭塞则恢复该解密密钥。例如,响应于安全策略的违反,能够对解 密密钥进行加密以闭塞它。能够将恢复密钥提供为可以被用于恢复闭塞的解密密钥的恢复 过程的一部分,如下文更加详细地讨论的那样。
[0033] 图3是描述了依照一个或多个实施例的方法中的步骤的流程图。在实现中,该方 法描述了保护数据免于未经授权的访问的示例性方式。
[0034] 步骤300检测用于设备的安全策略的违反。例如,安全模块110能够检测安全策 略114中的一个或多个的违反。在以下章节中讨论示例性安全策略。在实现中,特定安全策 略可以不基于明确表述的策略,而是可以基于将事件或条件解释为造成潜在的安全风险。
[0035] 步骤302使被配置成用于解密设备的加密数据的安全密钥闭塞。例如,安全模块 110能够响应于检测到客户端设备102的安全策略的违反而闭塞解密密钥112。
[0036] 在实现中,能够使用各种不同技术闭塞安全密钥。例如,能够通过擦除和/或用随 机值覆写存储安全密钥的存储器的一部分来闭塞安全密钥。
[0037] 可替换地,能够通过加密安全密钥(例如通过使用中间安全密钥)来闭塞安全密 钥。因此,为了恢复加密的安全密钥,用户可以提供中间安全密钥和/或与中间密钥相关联 的私人密钥。例如,用户可以使用某种形式的输入机制键入中间安全密钥。可替换地或附 加地,用户可以提供中间安全密钥所位于的地方的指示,诸如能够从其中取得中间安全密 钥的远程和/或受保护的存储位置。例如,中间安全密钥可以由安全服务120存储。如果 成功执行恢复过程以恢复加密的安全密钥,则中间密钥能够由客户端设备102从安全服务 120取得并且被用于解密加密的安全密钥。
[0038] 能够采用许多不同的变型来确保已经闭塞的安全密钥不能被未经授权的实体取 得。例如,能够响应于安全策略的违反的指示而用随机数据(例如多次)覆写存储安全密钥 的存储器的一部分。这能够服务于进一步遮掩或闭塞被写入到存储器的该部分的安全密钥 值。
[0039] 作为另一变型,能够将安全密钥划分成区段(例如,拆分),并且能够将每个区段存 储在存储器的分离的部分(例如扇区)中。因此,如果擦除或覆写操作在存储器的一部分上 失败,则能够擦除和/或覆写存储器的其它部分上的安全密钥的其它部分。例如,如果存储 器扇区故障防止了存储安全密钥的片段的存储器的一部分被擦除或覆写,则其它存储器扇 区仍然能够被擦除和/或覆写以防止安全密钥的所有部分暴露给未经授权的实体。
[0040] 步骤304发起针对闭塞的安全密钥的恢复过程。例如,恢复模块118能够在解密 密钥112被闭塞之后启动可以使得能够恢复解密密钥112的恢复过程。下文详细讨论示例 性恢复过程。
[0041] 在至少一些实现中,在实现安全密钥闭塞过程之前做出关于恢复密钥是否持久化 到至少一个外部位置(例如客户端设备102的外部)的确定。如果不能够确定安全密钥是否 已经持久化到另一位置,则一些实现可以避免闭塞安全密钥。例如,客户端设备可以保持在 主认证(例如登录)模式中。
[0042] 图4是描述了依照一个或多个实施例的方法中的步骤的流程图。在实现中,该方 法描述了执行以上参照图3所讨论的方法的步骤304的详细方式。
[0043] 步骤400响应于安全密钥被闭塞而发起设备重启。例如,安全模块110能够响应 于解密密钥112基于安全策略114之一的违反被闭塞而发起客户端设备102的重启。
[0044] 步骤402检测用于设备的操作系统数据不可用。例如,用于客户端设备102的操 作系统(0S)数据能够以加密形式存储,诸如加密数据108的一部分。因此,在其中解密密 钥112没有闭塞的典型运转场景中,0S数据能够从存储读取并且用解密密钥112解密。解 密的0S数据然后能够作为起动客户端设备102的一部分被加载(例如,加载到主存储器中) 以使得客户端设备102能够执行用于客户端设备102的各种任务。然而,在其中解密密钥 112已经闭塞的场景中,0S数据不能够被解密和加载。
[0045] 步骤404启动请求恢复密钥的设备恢复体验。例如,用于客户端设备102的起动 加载器能够检测0S数据不可用,并且能够通知恢复模块118发起恢复体验。恢复模块118 能够提供用于恢复密钥的提示,诸如经由客户端设备102显示的并且提示用户提供恢复密 钥的图形用户接口(GUI)。在实现中,恢复模块118不受阻碍地(例如,未加密)存储在客户 端设备102上,使得设备恢复体验能够在解密密钥112被闭塞的事件中启动。例如,恢复模 块118能够在客户端设备102上的固件中实现。
[0046] 在实现中,恢复密钥包括能够被客户端设备102的用户访问但是不易对客户端设 备102可用的信息。例如,恢复密钥能够是未存储在客户端设备102上的长(例如48字符 或更多)、高熵口令。可替换地或附加地,恢复密钥能够包括其它形式的认证,诸如生物学认 证、智能卡认证、经由RFID设备的射频标识(RFID)、回答挑战问题等等。
[0047] 作为另一示例,恢复密钥能够作为分离的认证体验的一部分被访问。例如,用户能 够向安全服务120提供分离的口令和/或其它认证因素。如果认证因素正确,则用户能够 被提供有恢复密钥,和/或恢复密钥能够从安全服务120自动传送到客户端设备102。作 为又一个示例,恢复密钥可以由与设备相关联的企业人员取得,诸如系统管理员、信息技术 (IT)人员等等。
[0048] 步骤406确定是否提供了正确的恢复密钥。如果提供了正确的恢复密钥,则步骤 408使得能够恢复解密密钥。例如,能够将客户端设备102重启到请求诸如标准口令之类的 登录信息的标准设备登录体验中。在实现中,标准口令可以指低熵口令。例如,标准口令可 以是能够被用于解锁设备的四位数字个人标识号码(PIN)。如果用户成功地恢复解密密钥 112,则能够起动客户端设备102并且解密密钥112能够被用于解密加密数据108。可替换 地或附加地,可以将登录体验并入到恢复体验中。
[0049] 在实现中,对已经闭塞的安全密钥的恢复可以是基于安全密钥如何被闭塞的。例 如,如果安全密钥通过在存储器中被擦除和/或覆写而被闭塞,则能够从远程资源(例如安 全服务120)取得安全密钥。可替换地,如果安全是用中间安全密钥加密的,则中间安全密 钥能够被取得并被用于解密安全密钥。
[0050] 返回到步骤406,如果未提供正确的恢复密钥,则步骤410防止解密密钥被恢复。 例如,客户端设备102能够保持在恢复体验模式中并且等待正确的恢复密钥。可替换地或 附加地,如果提供正确恢复密钥的阈值数目的尝试都失败,则客户端设备102能够导致擦 除和/或覆写存储在客户端设备102上的数据中的一些或全部的存储器消除,其可以包括 消除解密密钥112。
[0051] 作为对上文讨论的恢复过程的替换实现,可以从客户端设备的远程资源取得解密 密钥。例如,解密密钥可以由与客户端设备相关联的企业人员(诸如系统管理员、信息技术 (IT)人员等等)从安全服务120取得。
[0052] 已经讨论了一些示例性过程,现在考虑依照一个或多个实施例的一些示例性安全 策略的讨论。
[0053] 安全策略 各种不同的安全策略能够被用于保护与设备相关联的数据免于未经授权的访问。例 如,安全策略能够基于许多不同的设备有关的考虑,诸如设备认证状态、设备硬件状态、设 备连接性状况等等。下文讨论的是能够依照一个或多个实施例实现的一些示例性安全策 略,例如作为上文讨论的安全策略114的一部分。另外,安全策略能够由客户端设备102完 整或部分地实施并且独立于远程资源。示例性安全策略不旨在限制所要求保护的实施例, 而是仅仅出于图示的目的而被呈现。
[0054] 失败的认证 在实现中,设备能够采用使得用户能够访问设备的数据和功能性的登录过程。例如,当 设备被供电和/或从休眠模式醒来时,能够呈现请求口令或其它认证因素的登录提示。如 果用户提供正确的认证因素,则用户能够被准许访问设备的数据和功能性。例如,参照客户 端设备102,提供正确的认证因素可以使得能够实现对解密密钥112的访问和/或准许解密 密钥112的正在进行的使用,使得能够解密和利用加密数据108。
[0055] 然而,如果用户未能提供正确的认证因素,则设备能够屏蔽对数据和/或功能性 的访问。例如,未成功提供正确认证因素能够使设备保持在登录体验中,使得除非提供正确 的认证因素,否则设备的数据和其它功能性不可用。
[0056] 在实现中,能够采用基于与设备相关联的失败登录尝试的数目的安全策略。例如, 能够预先指定设备的失败登录尝试的阈值数目。如果实际失败登录尝试的数目达到和/或 超过阈值数目(例如五次失败登录尝试),则能够锁定设备,使得进一步的登录尝试不被准 许并且安全策略的违反被触发。例如,参照客户端设备102,安全模块110能够使解密密钥 112闭塞。另外,恢复模块118能够发起恢复过程,如上文所讨论的那样。在至少一些实施 例中,登录尝试的阈值数目是可配置的。例如,各种不同的实体能够指定阈值数目,诸如用 户、网络管理员、IT人员等等。
[0057] 当追踪失败登录尝试的数目时,实施例能够将各种不同的登录技术视为失败登录 尝试的总数目的一部分。例如,如果个体未能提供正确的口令,并且然后未能提供正确的拇 指纹,并且还未能正确地响应于挑战问题,则这些能够被计为三次失败的登录尝试。因此, 失败登录尝试的数目能够基于不同登录技术和/或认证因素而累加。另外,失败登录尝试 能够基于来自多个不同用户的登录尝试。
[0058] 实现这样的安全策略能够防止未经授权的用户在尝试中重复猜测口令和/或提 供不同的认证因素以获得对设备数据和/或功能性的未经授权的访问。
[0059] 夸信状况的撤销 在实现中,安全策略能够指定设备有关项的受信状况可以被撤销。这样的设备有关项 的示例包括设备自身、设备所使用的数字证书、与设备相关联的安全密钥、安全凭证等等。
[0060] 在示例性实现中,安全策略能够指定客户端设备102周期性地查询安全服务120 以得到撤销信息,诸如在安全状况列表122中列举的项的撤销状况。如果撤销信息指示已 经撤销客户端设备102的受信状况,则能够闭塞解密密钥112并且发起恢复过程。如上文提 到的,能够响应于用户指示设备已经丢失或被盗而撤销设备的受信状况。附加地或可替换 地,能够基于已经泄露安全密钥、数字证书和/或其它安全有关项的指示而撤销受信状况。
[0061] 在其中设备可以进入休眠和/或睡眠模式的实现中,设备能够被配置成自动从这 样的模式摆脱(例如,醒来)以查询撤销信息。例如,能够指定撤销间隔(例如,每4个小时), 在此之后设备查询撤销信息。如果撤销间隔在设备处于睡眠模式中时届满,则设备能够自 动唤醒并且查询撤销信息。因此,技术使得各种实体能够监视设备的受信状况,并且撤销设 备的受信状况以保护设备数据免于未经授权的访问。
[0062] 在至少一些实施例中,能够将撤销信息从远程资源推送到客户端设备。例如,安全 服务120能够将撤销数据推送到客户端设备102,例如作为通知的一部分。可替换地或附加 地,远程资源能够访问设备的功能性以发起闭塞安全密钥的过程。例如,安全服务120能够 检测到已经违反安全策略114之一。作为响应,安全服务120能够与作为受信实体(例如基 于受信数字证书)的安全模块110通信并且提示安全模块闭塞解密密钥112。因此,实现可 以使得客户端设备能够独立于客户端设备对撤销信息的查询而接收撤销信息。
[0063] 强制签到 在实现中,能够采用这样的安全策略,其指定如果设备未签到,则与设备相关联的安全 密钥被自动闭塞。例如,安全模块110能够被配置成周期性地向安全服务120签到,例如以 查询撤销信息和/或以确认设备102当前处于受信状态中。如果安全模块110在签到间隔 已经届满之后尝试签到并且不能联系安全服务120,则安全模块110能够触发安全策略违 反。例如,安全模块110能够闭塞解密密钥112和/或锁定设备102,使得不能访问设备数 据。
[0064] 采用这样的签到过程可以使得数据能够在其中设备已经失去网络连接性并且因 此不能与远程服务通信以检查撤销信息的场景中保持安全。这样的场景能够出现在未经授 权的用户获取设备并且防止设备与远程资源通信(诸如通过禁用设备的网络通信功能性) 的时候。
[0065] 设各状杰 在实现中,能够采用这样的安全策略,其指定如果特定设备状态条件发生变化,则已经 违反安全策略。示例性设备状态条件包括硬件状态、软件状态、网络状态等等。
[0066] 参照硬件状态,对于设备的各种已知的硬件组件,能够将硬件标识符记入日志并 且对其进行监视。如果未知硬件尝试与设备交互(例如以获取设备数据),则能够生成安全 过程的违反的通知。例如,未经授权的用户能够将数据存储设备从客户端设备102移除, 并且将数据存储设备连接至不同的设备。未经授权的用户例如能够尝试使用不同的设备来 从数据存储设备访问设备数据。设备状况模块116能够存储在数据存储设备上,并且能够 检测未知设备正在与数据存储设备交互。设备状况模块116能够通知未知设备的安全模块 110,其能够使解密密钥112闭塞以防止未经授权的用户访问解密密钥112和解密加密数据 108。
[0067] 软件状态能够包括各种软件有关的条件。例如,软件状态能够包括应用的更新状 况,诸如为应用安装的补丁的指示。在实现中,能够获得应用的补丁 (例如来自应用开发 商),其可以修理应用的安全易损性。因此,如果确定未为应用安装可用补丁,则设备状况模 块116能够触发安全策略违反以防止将客户端设备102暴露于可能的安全风险。
[0068] 另一软件状态能够涉及软件的特定片段的受信状况。如果软件被指示为非受信的 (例如在安全状况列表122中),则能够触发安全策略的违反。
[0069]另外的软件状态能够指推荐软件,其被指定为指示健康的运行环境。例如,安全有 关的软件(例如防病毒软件)能够用于验证在设备上不存在恶意软件。如果推荐软件不存在 和/或未在设备上运行,则能够触发安全策略违反。
[0070] 网络状态能够指各种网络有关的条件,诸如设备所连接到的特定网络、设备正在 访问的网络资源(例如网站)等等。如果检测到不安全的网络条件,则能够触发安全策略的 违反。例如,如果设备状况模块116检测到客户端设备102正在与非受信服务器和/或非 受信网站通信,则设备状况模块116能够触发安全策略违反。
[0071] 时钟状况 在实现中,能够采用这样的安全策略,其指定如果时间有关的变化发生,则已经违反安 全策略。例如,未经授权的用户可能尝试修改与设备相关联的时间参数,诸如实际设备时 间。未经授权的用户例如可能尝试回滚设备时间以避免触发特定的安全有关的事件。参照 上文讨论的周期性设备签到,未经授权的用户可能尝试实现时间回滚以避免触发如果设备 未能在签到间隔届满之后签到而能够发生的安全策略违反。
[0072] 因此,实现能够采用对时间有关的变化进行监视的时间验证机制。例如,能够将时 钟实现为受信时间设备,其诸如在受信硬件中和/或在驻留于客户端设备上的固件中。受 信时间设备例如能够实现为受信平台模块(TPM)设备。如果检测到时钟未如期运转,则能 够触发安全策略违反。例如,非正常运转的时钟可能是未经授权的实体在更改设备时间和 /或另一时间参数的尝试中的可能篡改的指示。因此,如果检测到潜在的时钟篡改,则能够 触发安全策略违反。
[0073] 地理定位 在实现中,能够采用指定设备的地理参数的安全策略。例如,客户端设备能够采用功能 性来确定客户端设备的地理位置。这样的功能性的示例包括全球定位系统(GPS)功能性、 手机三角测量功能性、基于网络的定位等等。
[0074] 地理安全策略能够指定如果设备在特定地理区域之外,则违反安全策略。例如,企 业实体能够限定与实体相关联的地理区域,诸如在物理机构附近的限定区域。如果检测到 客户端设备在限定的地理区域之外,则能够触发安全策略的违反。另外,获取地理定位信息 的尝试可能失败,例如,由于设备定位功能性被禁用。在实现中,如果客户端设备不能获取 地理定位信息,则能够触发安全策略的违反。
[0075] 作为另一示例,能够将特定地理区指定为不安全的,例如与非受信实体相关联。如 果确定设备处于不安全的地理区中,则能够触发安全策略的违反。因此,能够为设备指定安 全策略以便基于设备的位置来控制对设备数据的访问。
[0076] 已经讨论了 一些示例性安全策略,现在考虑依照一个或多个实施例的一些实现变 型的讨论。
[0077] 实现夺型 依照一个或多个实施例,能够采用本文所讨论的实现上的许多不同变型。
[0078] 某于硬件的安全 在实现中,能够在硬件内实现各种安全过程以保护数据免于未经授权的访问。例如,与 客户端设备相关联的数据存储设备能够被配置成在设备自身内执行数据加密和解密。在这 样的实现中,数据存储设备能够在数据存储设备自身内存储和利用解密密钥。由于数据存 储设备在内部执行解密,因此数据存储设备无需向诸如客户端设备的0S之类的其它组件 发布解密密钥。因此,如果未经授权的用户试图从数据存储设备访问解密密钥,则数据存储 设备能够独立于在主机客户端设备上施行的软件而闭塞解密密钥。
[0079] 自动闭塞 在实现中,能够响应于各种事件而自动闭塞安全密钥。例如,当设备进入特定模式时, 能够作为响应而闭塞用于该设备的加密密钥。这样的模式的示例包括锁定模式、睡眠模式、 休眠模式等等。在实现中,设备能够响应于用户行为而进入锁定模式,诸如提供请求设备进 入锁定模式的输入之类。
[0080] 为了在设备从这样的模式摆脱之后恢复闭塞的加密密钥,设备能够与远程资源通 信以确认其状况。例如,当客户端设备102从这样的模式摆脱时,安全模块110能够查询安 全服务120以得到客户端设备102的安全状况。如果安全状况指示客户端设备102的受信 状况尚未撤销,则能够将解密密钥112还原到客户端设备102。否则,如果客户端设备102 的受信状况已被撤销和/或对安全服务120的尝试连接失败,则客户端设备102能够启动 恢复过程。上文讨论了示例性恢复过程。
[0081] 已经讨论了 一些示例性实现变型,现在考虑依照一个或多个实施例的示例性系统 和设备的讨论。
[0082] 示例件系统和设各 图5 -般地在500处图示了示例性系统,其包括表示可以实现本文所描述的各种技术 的一个或多个计算系统和/或设备的示例性计算设备502。例如,上文参照图1讨论的客户 端设备102能够体现为计算设备502。计算设备502可以是例如服务提供商的服务器、与客 户端相关联的设备(例如客户端设备)、片上系统和/或任何其它适合的计算设备或计算系 统。
[0083] 如图所示的示例性计算设备502包括彼此通信耦合的处理系统504、一个或多个 计算机可读媒介506和一个或多个输入/输出(I/O)接口 508。尽管未示出,但是计算设备 502还可以包括将各种组件彼此耦合的系统总线或其它数据和命令转移系统。系统总线能 够包括不同总线结构中的任一个或组合,诸如利用各种总线架构中的任一种的存储器总线 或存储器控制器、外围总线、通用串行总线、和/或处理器或局部总线。还设想到各种其它 示例,诸如控制和数据线。
[0084] 处理系统504表示使用硬件执行一个或多个操作的功能性。因此,将处理系统504 图示为包括可以被配置为处理器、功能块等等的硬件元件510。这可以包括作为专用集成电 路或使用一个或多个半导体形成的其它逻辑设备的硬件中的实现。硬件元件510不受限于 形成它们的材料或其中采用的处理机制。例如,处理器可以包括(多个)半导体和/或晶体 管(例如电子集成电路(1C))。在这样的上下文中,处理器可执行的指令可以是电子可执行 的指令。
[0085] 将计算机可读媒介506图示为包括存储器/存储512。存储器/存储512表示与 一个或多个计算机可读媒介相关联的存储器/存储容量。存储器/存储512可以包括易失 性媒介(诸如随机存取存储器(RAM))和/或非易失性媒介(诸如只读存储器(ROM)、闪速存 储器、光盘、磁盘等等)。存储器/存储512可以包括固定媒介(例如RAM、ROM、固定硬盘驱 动等等)以及可移动媒介(例如闪速存储器、可移动的硬盘驱动、光盘等等)。计算机可读媒 介506可以如下文进一步描述的各种其它方式进行配置。
[0086] (多个)输入/输出接口 508表示这样的功能性,其允许用户向计算设备502键入命 令和信息,并且还允许使用各种输入/输出设备向用户和/或其它组件或设备呈现信息。输 入设备的示例包括键盘、光标控制设备(例如鼠标)、麦克风(例如用于语音识别和/或话音 输入)、扫描仪、触摸功能性(例如被配置成检测物理触摸的电容性或其它传感器)、相机(例 如,其可以采用可见波长或诸如红外频率之类的不可见波长来对并不牵涉作为手势的触摸 的移动进行检测)等等。输出设备的示例包括显示设备(例如监视器或投影仪)、扬声器、打 印机、网络卡、触觉响应设备等等。因此,计算设备502可以如下文进一步描述的各种方式 进行配置以支持用户交互。
[0087] 在本文中,可以在软件、硬件元件或程序模块的一般上下文中描述各种技术。一般 而言,这样的模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、元件、组 件、数据结构等等。如本文所使用的术语"模块"、"功能性"和"组件"一般表示软件、固件、 硬件或其组合。本文所描述的技术的特征是独立于平台的,这意味着技术可以在具有各种 处理器的各种商用计算平台上实现。
[0088] 所描述的模块和技术的实现可以存储在某种形式的计算机可读媒介上或者跨某 种形式的计算机可读媒介进行传输。计算机可读媒介可以包括可被计算设备502访问的各 种媒介。作为示例而非限制,计算机可读媒介可以包括"计算机可读存储媒介"和"计算机 可读信号媒介"。
[0089] "计算机可读存储媒介"可以指使得能够实现信息的持久化和/或非暂时性存储 的媒介和/或设备,这与纯粹的信号传输、载波或信号本身形成对比。因此,计算机可读存 储媒介不包括信号承载媒介。计算机可读存储媒介包括诸如易失性和非易失性、可移动和 不可移动媒介之类的硬件,和/或在适于诸如计算机可读指令、数据结构、程序模块、逻辑 元件/电路、或其它数据之类的信息的存储的方法或技术中实现的存储设备。计算机可 读存储媒介的示例可以包括但不限于,RAM、ROM、EEPR0M、闪速存储器或其它存储器技术、 CD-ROM、数字多功能盘(DVD)或其它光学存储、硬盘、磁盒、磁带、磁盘存储或其它磁性存储 设备、或其它存储设备、有形媒介、或适于存储期望的信息并且可以被计算机访问的制造 品。
[0090] "计算机可读信号媒介"可以指被配置成将指令传输到计算设备502的硬件(诸如 经由网络)的信号承载介质。信号媒介典型地可以包含计算机可读指令、数据结构、程序模 块、或调制数据信号中的其它数据,诸如载波、数据信号或其它输运机制。信号媒介还包括 任何信息递送媒介。术语"调制数据信号"意指这样的信号,其特性中的一个或多个以这样 的方式设置或改变以便将信息编码在信号中。作为示例而非限制,通信媒介包括诸如有线 网络或直接有线连接之类的有线媒介,以及诸如声学、射频(RF)、红外和其它无线媒介之类 的无线媒介。
[0091] 如先前所描述的,硬件元件510和计算机可读媒介506表示指令、模块、可编程设 备逻辑和/或以硬件形式实现的固定设备逻辑,其可以用在一些实施例中以实现本文所描 述的技术的至少一些方面。硬件元件可以包括集成电路或片上系统、专用集成电路(ASIC)、 现场可编程门阵列(FPGA)、复杂可编程逻辑设备(CPLD)的组件、以及在硅或其它硬件设备 中的其它实现。在该上下文中,硬件元件可以作为处理设备操作,其执行由硬件元件以及被 用于存储指令以供施行的硬件设备(例如先前所描述的计算机可读存储媒介)体现的指令、 模块和/或逻辑限定的程序任务。
[0092] 前述的组合还可以被用于实现本文所描述的各种技术和模块。因此,软件、硬件或 程序模块和其它程序模块可以实现为在某种形式的计算机可读存储媒介上体现的和/或 由一个或多个硬件元件510体现的一个或多个指令和/或逻辑。计算设备502可以被配置 成实现对应于软件和/或硬件模块的特定指令和/或功能。因此,可由计算设备502执行 的模块作为软件的实现可以至少部分地在硬件中完成,例如通过计算机可读存储媒介和/ 或处理系统的硬件元件510的使用。指令和/或功能可以由一个或多个制造品(例如一个 或多个计算设备502和/或处理系统504)可执行/可操作以实现本文所描述的技术、模块 和示例。
[0093] 如图5中进一步图示的,示例性系统500使得当在个人计算机(PC)、电视设备和/ 或移动设备上运行应用时能够实现用于无缝用户体验的普适环境。当在利用应用、玩视频 游戏、观看视频等等的同时从一个设备转换到下一个时,服务和应用基本上类似地运行在 所有三个环境中以得到共同的用户体验。
[0094] 在示例性系统500中,多个设备通过中央计算设备互连。中央计算设备可以在多 个设备本地,或者可以远离多个设备定位。在一个实施例中,中央计算设备可以是通过网 络、因特网、或其它数据通信链路连接到多个设备的一个或多个服务器计算机的云。
[0095] 在一个实施例中,该互连架构使得功能性能够跨多个设备递送以向多个设备的用 户提供共同且无缝的体验。多个设备中的每一个可以具有不同的物理需求和能力,并且中 央计算设备使用平台来使得能够实现既适应于该设备又对所有设备共用的体验到设备的 递送。在一个实施例中,创建目标设备的类别并且使体验适应于设备的一般类别。设备的 类别可以由设备的物理特征、使用类型或其它共同特性来限定。
[0096] 在各种实现中,计算设备502可以采取各种不同的配置,诸如用于计算机514、移 动装置516和电视518用途。这些配置中的每一个包括可以具有一般不同的构造和能力的 设备,并且因此计算设备502可以根据不同设备类别中的一个或多个进行配置。例如,计算 设备502可以实现为包括个人计算机、台式计算机、多屏计算机、膝上型计算机、上网本等 等的计算机514类设备。
[0097] 计算设备502还可以实现为包括诸如移动电话、便携式音乐播放器、便携式游戏 设备、平板计算机、多屏计算机等等之类的移动设备的移动装置516类设备。计算设备502 还可以实现为包括具有或连接到休闲观看环境中的一般较大屏幕的设备的电视518类设 备。这些设备包括电视、机顶盒、游戏控制台等等。
[0098] 本文所描述的技术可以被计算设备502的这些各种配置所支持并且不限于本文 所描述的技术的特定示例。例如,参照客户端设备102和/或安全服务120讨论的功能性 可以全部或部分地通过分布式系统的使用来实现,诸如通过如下文所描述的经由平台522 的"云"520。
[0099] 云520包括和/或表示用于资源524的平台522。平台522对云520的硬件(例如 服务器)和软件资源的潜在功能性进行抽象。资源524可以包括在计算设备502的远程服 务器上施行计算机处理时能够被利用的应用和/或数据。资源524还能够包括通过因特网 和/或通过诸如蜂窝或Wi-Fi网络之类的订户网络提供的服务。
[0100] 平台522可以对资源和功能进行抽象以将计算设备502与其它计算设备连接。平 台522还可以服务于对资源的缩放比例进行抽象以向所遭遇的经由平台522实现的资源 524的需求提供对应的缩放水平。因此,在互连设备实施例中,本文所描述的功能性的实现 可以遍及系统500分布。例如,功能性可以部分地在计算设备502上以及经由对云520的 功能性进行抽象的平台522来实现。
[0101] 本文所讨论的是可以被实现以执行本文所讨论的技术的许多方法。方法的各方面 可以在硬件、固件、或软件、或其组合中实现。方法被示出为指定由一个或多个设备执行的 操作的块组,并且不必受限于所示出的通过相应块来执行操作的顺序。另外,依照一个或多 个实现,关于特定方法示出的操作可以与不同方法的操作组合和/或互换。方法的各方面 能够经由上文关于环境100所讨论的各种实体之间的交互来实现。
[0102] 结论 描述了用于提供针对设备数据的安全策略的技术。尽管以特定于结构特征和/或方法 学动作的语言描述了实施例,但是要理解,在随附权利要求中限定的实施例不必受限于所 描述的特定特征或动作。而是,特定特征和动作是作为实现所要求保护的实施例的示例性 形式而被公开的。
【权利要求】
1. 一种计算机实现的方法,包括: 检测用于设备的安全策略的违反;以及 响应于所述检测,使被配置成用于解密所述设备的加密数据的安全密钥闭塞。
2. 如权利要求1中所描述的方法,其中所述安全策略指定针对所述设备的失败登录尝 试的阈值数目,并且其中所述检测包括检测针对所述设备的已经失败的登录尝试的数目已 经达到所述阈值数目。
3. 如权利要求2中所描述的方法,其中针对所述设备的已经失败的登录尝试的数目是 基于两种或更多种不同类型的认证因素。
4. 如权利要求1中所描述的方法,其中所述检测包括检测所述设备的受信状况已被撤 销。
5. 如权利要求1中所描述的方法,其中所述检测包括检测所述设备未成功向远程安全 服务签到。
6. 如权利要求1中所描述的方法,其中所述检测包括检测所述设备的状态中的变化, 所述状态包括硬件状态、软件状态或网络状态中的一个或多个。
7. -种计算机实现的方法,包括: 响应于被配置成用于解密设备的加密数据的安全密钥被闭塞的指示而启动恢复体验, 所述恢复体验请求恢复密钥; 确定正确的恢复密钥是否作为所述恢复体验的一部分而被提供;以及 如果提供了正确的恢复密钥,则使得所述安全密钥能够被恢复。
8. 如权利要求7中所描述的计算机实现的方法,其中响应于用于所述设备的安全策 略的违反的指示而闭塞所述安全密钥,所述指示从所述设备或远程实体中的一个或多个接 收。
9. 如权利要求7中所描述的计算机实现的方法,其中所述安全密钥被闭塞的指示包括 所述设备的操作系统数据不可用的指示。
10. 如权利要求7中所描述的计算机实现的方法,其中通过对所述安全密钥进行加密 来闭塞所述安全密钥,并且其中,如果提供了正确的恢复密钥,则使用中间安全密钥来为所 述设备解密所述安全密钥。
【文档编号】G06F21/60GK104094275SQ201380008765
【公开日】2014年10月8日 申请日期:2013年1月28日 优先权日:2012年2月9日
【发明者】D.M.英加尔斯, N.J.伊德, C.R.麦考莱, O.T.乌雷歇, M.J.格拉斯, S.维纳亚克, P.D.亚当 申请人:微软公司