HTML表的授权的 历史,等等),可允许对私有数据的自动的解锁。对于使用HTWS协议的网络流,代理140还可 W操作为安全套接层(S化)中间人(MitM),W便处置HTTPS网络流而不生成安全警告。在至 少一个实施例中,可W经由经加密的通信(例如,用代理140的公钥加密)来填充数据存储 145,并且数据存储145仅利用对应的私钥、在代理140内部是可解密的。运些方法旨在是说 明性的且不是限制性的,因为可W在本文中公开的用于保护私有数据的系统的实施例中实 现任何数量的其他解锁机制。此外,运些解锁机制中的一个或多个机制还可W与任何协议 一起工作,运些协议包括但不限于,HTTP、SDPY、FTP、SMTP、邮局协议(POP )、网际消息访问协 议(IMP)等等。
[0039] 在至少一个实施例中,可W经由分开的安全协议或通信链路来执行解锁机制。可 W使用不同的介质、信道或协议将授权请求提供给客户机设备。例如,代理可W经由UDP协 议要求客户机设备内部的受信任的执行环境(TEE)来验证操作客户机的人类用户的生物计 量特征。TEE能W对用户不可见的方式来运么做(例如,面部识别),由此提供授权并且允许 W用户友好的方式来解锁私有数据。在另一示例中,代理可W从请求登录证书的网页的上 下文中请求指纹扫描。代理对服务器传输的修改于是可包括完全去除登录请求页,其中,生 物计量特征允许代理W对于用户透明的方式进行登录。
[0040] 在操作意义上,能W修改模块141来配置代理140, W便在飞行中修改对象,所述对 象包含对从服务器120发送到客户机设备130的私有数据的请求。可W在网络通信的任何层 级上实现修改模块141。例如,它可W在应用层传输上操作,或者它可W在传输(例如,TCP/ IP分组)层级上操作。还可W采用任何其他合适的修改方法。所请求的私有数据可W包括与 客户机设备130的用户或者对应于来自服务器的网络流的其他网络代理设备相关联的一个 或多个私有数据项(例如,用户名、密码、账号、通行短语、家庭地址、个人数据、宗教归属、某 些照片,等等)。修改模块141可W配置成用于确定:哪个服务与此请求相关联;W及在此对 象中请求了什么类型的私有数据项。修改模块141还可W判定数据存储145是否包括与客户 机设备130(和/或对应于来自服务器的网络流的另一网络代理设备)相关联的、具有与所请 求的私有数据项相同的类型、并且与那个特定的服务(例如,服务122)相关联的私有数据 项。存储在数据存储145中的所有私有数据项可W潜在地与单个用户、单个客户机应用或单 个嵌入式控制器相关联。在运些场景中,修改模块141可能不必确定(多个)网络代理设备与 所存储的私有数据项之间的关联。
[0041] 当在数据存储145中发现由服务器请求的私有数据项时,修改模块141可W创建具 有对于对解锁所请求的私有数据的授权的请求的、经修改的对象。可W通过修改原始对象 的副本,通过生成新对象或通过修改原始对象来创建经修改的对象。在一些场景中,原始对 象的副本可能需要被保存,W便稍后在将所请求的私有数据提供给请求服务器时使用。可 将具有授权请求的经修改的对象而不是具有私有数据请求的原始对象提供给目的地客户 机设备。在至少一个实施例中,授权请求可W被显示在客户机设备的屏幕上,并且可W提供 让用户输入所要求的授权的提示。用户可W提供适当的授权(例如,输入预共享的一次性密 码、生物计量数据、多因子认证,等等授权代理140解锁与请求服务相关联的用户私有数 据。
[0042] 代理140可W包括响应模块142, W便响应于授权请求来处置来自客户机设备的通 信。响应模块142可W配置成用于从客户机设备130接收响应,并且用于验证包含在响应中 的任何授权信息。如果对授权信息的验证指示授权信息是有效的,则代理140可W从数据存 储145获取相关的私有数据项。响应模块142可W将运些私有数据项提供给请求服务(例如, 服务器120的服务122)。
[0043] 在示例场景中,假设由服务122发送到客户机设备130的对象是请求用户名和密码 的HTML网页。代理140识别出HTML网页包括配置成用于接受用户名和密码的用户输入的字 段。代理140可W捜索数据存储145W判定用户名和密码是否与目的地客户机设备(和/或用 户)相关联,W及是否与服务120相关联。如果找到了用户名和密码,则代理140可W用对授 权的请求来创建经修改的HTML网页。对授权的请求包括用于解锁用户名和密码的授权机 审IJ。代理140可W将经修改的HTML网页发送至客户机设备130,并且可W从客户机设备130接 收响应。如果响应中的授权信息是有效的,则代理140可W从数据存储145中获取相关的用 户名和密码数据项。代理还可W用从数据存储145中获取的用户名和密码数据项来填充原 始的HTML网页的用户名和密码字段。随后,可基于完成的HTML网页,将响应(例如,HTML POST请求)发送至服务器120。
[0044] 图2示出提供网络环境200的替代实施例,在网络环境200中,系统配置成用于保护 私有数据。网络环境200可W包括网络210W及具有服务222的服务器220,它们与先前参照 图1示出并描述的网络110和具有服务122的服务器120类似。网络环境200还包括客户机设 备230,此客户机设备230可W具有与图1的客户机设备130类似的一些组件。例如,客户机设 备230可W包括浏览器232、用户接口 237、存储器元件238W及处理器239。在一些实施例中, 客户机设备230还可W包括配置成用于自动地向服务器(诸如,服务器220)认证的客户机应 用234。然而,不像客户机设备130那样,W受信任的执行环境235中的代理240和数据存储 245来配置客户机设备230。对于受信任的执行环境的至少一些配置,可W经由由设备的制 造商签名的软件在客户机设备(例如,移动电话)中实现代理240W确保代理240的代码不遭 恶意软件破坏。代理240可W配置成用于仅在受信任的执行环境235内部运行。
[0045] 在至少一个实施例中,能W与参照图1所描述的那些模块(例如,修改模块141、响 应模块142、受保护数据存储模块143)类似的模块来配置代理240。具体而言,代理240能W 与代理140充当客户机设备130与服务器120之间的中介相同的方式来充当客户机设备230 与服务器220之间的中介。代理240的模块可W包括用于W下操作的代码:拦截从服务器220 到客户机设备230的途中的网络流,所述网络流具有请求私有数据的对象;创建经修改对象 W请求对访问相关的私有数据的授权;W及当接收到有效的授权信息时,将所请求的私有 数据提供给服务器220。
[0046] 受信任的执行环境235通过允许代理240的代码在客户机设备230内的安全环境中 操作来保护代理240和数据存储245免受恶意攻击(例如,恶意软件的攻击)。在受信任的执 行环境235的至少一些实施例中,仅执行受信任的代码。受信任的执行环境235可W有效地 将代理240和数据存储245与客户机设备230的其他软件隔离。因此,数据存储245中的私有 数据可W保持受保护并且是安全的。受信任的执行环境的示例包括但不限于,由加利福尼 亚州圣克拉拉市的英特尔⑥公司提供的英特尔? vPro?技术、由英特尔公司提供的 英特尔⑥软件防护扩展、移动设备上的安全元件或信任区域、安全飞地、操作化va环境的智 能卡,等等。安全代理(诸如,受信任的执行环境235中的代理240)确保了仅由安全代理来传 输私有数据。结果,当安全代理控制网络通信时,由代理240传递至服务器220的私有数据不 可由恶意软件(包括在内核层级、在管理程序层级操作或者甚至来自固件或硬件(例如,隐 匿技术(rootki t)和隐匿程序(bootki t)的恶意软件)访问。
[0047] 本文中公开的实施例提供具有若干优点的私有数据保护。首先,可实现代理140、 240W便与客户机设备一起使用而无需修改客户机设备的任何浏览器(运经常会是成本高 昂的)。还可W避免对由其他通信协议使用的软件的改变。另外,代理140、240的实现也不要 求服务器侧(例如,120或220)上的改变,并且代理(例如,140或240)的操作对于服务器是完 全透明的。需要用户行为(或客户机应用或嵌入式控制器行为)的简单改变,W便当已经请 求私有数据时来提供适当的授权。在至少一个实施例中,可W在客户机设备上显示提供给 客户机设备的经修改的HTML网页。被包括在经修改的HTML网页中的授权请求可W向用户提 供有关需要什么来授权对用户的私有数据的访问的指令(例如,而不是"登录:"和"密码:" 请求,用户可W看到"提供0TP号码W解锁您的登录和密码:")。此外,如果没有与发送对由 代理接收的私有数据的原始请求的服务相关联的私有数据项,则授权请求可向用户提供有 关填充数据存储的流程的指令。
[004引另一个优点包括保护除认证证书之外的任何类型的私有数据的灵活性。将数据指 定为是私有的仅设及:用私有数据来填充数据存储;创建与所存储的私有数据的适当的关 联(例如,由服务器、客户机设备、用户、客户机应用、嵌入式控制器提供的服务);W及将所 存储的私有数据与指示其类型的适当的标签或描述符相关联。如果需要,代理可W容易地 配置成用于识别对来自服务器的网络通信中的那种类型的私有数据的请求。
[0049]本文中公开的至少一些实施例的另一个益处在于,可W在代理内部并且W对用户 透明的方式来处置对密码改变的周期性的服务器请求。代理可W标识来自服务器的、改变 对应于与由此服务器提供的特定的服务相关联的一个或多个私有数据项的一个或多个证 书(例如,期满的密码)的请求。代理可w发起对期满的密码的改变,在没有用户干设的情况 下处置此事务,并且在数据存储145中反映新证书。在此场景中,用户将甚至不必知道密码, 运提供了抵抗基于贿赂、敲诈或拷问的攻击的附加的安全性。
[0050] 此系统的实现方式还在企业环境或其他多用户环境中提供优点。可W在外围设备 中实现安全代理(例如,代理140),运减少了端点(例如,客户机设备130)丢失私有数据的风 险。在企业中实现此系统可W是极具成本效益的,可W在多个端点上容纳现有的浏览器,并 且可W容纳自带设备(BY0D)场景。为了发起此系统,W安全的方式分离地填充安全存储仓 (例如,数据存储145)。可W由每一个用户为他或她使用的所有的客户机设备提供用于填充 安全存储仓的数据项。一旦填充了安全存储仓,当使用所标识的客户机设备时,此系统就可 开始提供对私有数据的保护。在企业环境中,本文中公开的实施例可W允许对访问外部服 务(例如,122或222)的的集中式、透明的管理。能W不可见的方式来供应证书,使得所有员 工享有立即的访问。可W由管理员W对用户完全透明的方式来创建并管理所需的证书。可 采用客户机设备/用户标识/认证的任何外部手段来解锁访问(例如,进入日志、域登录、经 由动态主机配置协议(DHCP)来分配IP地址、生物计量特征、多因子认证,等等)。
[0051] 关于与客户机设备130、230、代理140W及服务器120、220相关联的内部结构,运些 设备可W包括用于存储用于在本文概述的操作中使用的数据和信息(包括指令、逻辑和/或 代码)的易失性和/或非易失性存储器元件(例如,存储器元件138、148、238)。当适当时并且 基于特定的需要,客户机设备130、230、代理140W及服务器120、220可W将数据和信息保持 在任何合适的存储器元件(例如,随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM (PROM)、可擦PROM巧PROM)、电EPROM(邸PROM)、盘驱动器、软盘、紧致盘R0M(CD-ROM)、数字多 功能盘(DVD)、闪存、磁光盘、专用集成电路(ASIC)或能够存储数据和信息的其他类型的非 易失性机器可读存储介质)、软件、硬件、固件中,或保持在任何其他合适的组件、设备、元件 或对象中。本文中讨论的任何存储器项(例如,存储器元件138、148、238)应当被解释为被涵 盖在广义的术语"存储器元件"内。此外,在客户机设备130、230、代理140W及服务器120、 220中被使用、存储、跟踪、发送、或接收的信息可W在任何存储结构中提供,所述存储结构 包括但不限于,储存库、数据库、寄存器、队列、表或高速缓存,可W在任何合适的时间帖处 引用所有运些。任何此类存储结构(例如,数据存储145、245)也可W被包括在如本文中所使 用的广义的术语"存储器元件"中。
[0052] 在示例实现方式中,代理140、240可W包括用于实现或促成本文中概括的操作的 软件模块(例如,修改模块141、响应模块142、受保护数据存储模块143)。能W任何适当的方 式合适地组合或分割运些模块,运可W基于特定的配置和/或供应需要。在一些实施例中, 此类操作中的一个或多个可W由硬件和/或固件执行,可在运些元件外部实现,或可被包括 在某个其他计算设备中W实现所预期的功能。运些元件还可W包括可W与其他计算设备协 调W实现本文中概述的操作的软件(或往复式软件)。
[0053] 在某些示例实现方式中,可W由在一个或多个有形的介质(例如,在ASIC中提供的 嵌入式逻辑、数字信号处理器(DSP)指令、将由一个或多个处理器或其他类似的机器执行的 软件(潜在地包括目标代码和源代码)等)中编码的逻辑来实现本文中概述的功能,所述有 形的介质可W包括非暂态机器可读存储介质。客户机设备130、230、代理140 W及服务器 120、220可W包括可W执行用于执行本文中讨论的活动的逻辑或算法的一个或多个处理器 (例如,处理器139、149、239)。处理器可^执行与数据相关联的任何类型的指令^实现本文 中详细描述的操作。在一个示例中,处