块和所 述响应模块仅在所述受信任的执行环境中被执行。
[0115] 在示例32中,示例17至30中的任一项所述的主题可W任选地包括:所述装置是与 所述客户机设备分开的代理。
[0116] 示例33是一种用于保护私有数据的方法,所述方法包括W下步骤:由代理拦截从 服务器到客户机设备的途中的网络流;标识所述网络流的对象中对私有数据项的请求;在 数据存储中标识所述私有数据项;将包括授权请求的经修改的对象提供给所述客户机设 备;W及当接收到有效的授权信息时,将所述私有数据项发送至所述服务器。
[0117] 在示例34中,示例33所述的主题可W任选地包括:从所述客户机设备接收授权信 息;判定所述授权信息是否是有效的;W及如果所述授权信息被确定为是有效的,则获取所 述私有数据项。
[0118] 在示例35中,示例33至34中的任一项所述的主题可W任选地包括:确定用于所述 私有数据项的解锁机制;W及至少部分地基于所述解锁机制来创建包括所述授权请求的经 修改的对象。
[0119] 在示例36中,示例35所述的主题可W任选地包括:所述解锁机制选自包括W下各 项的一组解锁机制:一次性密码、用户的生物计量标识W及多因子认证过程。
[0120] 在示例37中,示例33至36中的任一项所述的主题可W任选地包括:确定由对所述 私有数据项的所述请求指示的数据类型,其中,所述数据存储中的所述私有数据项与所述 数据类型W及由所述服务器提供的服务相关联。
[0121] 在示例38中,示例33至37中的任一项所述的主题可W任选地包括:所述数据存储 中的所述私有数据项与W下各项中的至少一者相关联:所述客户机设备、所述客户机设备 的用户W及在所述客户机设备上执行的客户机应用。
[0122] 在示例39中,示例33至38中的任一项所述的主题可W任选地包括:所述私有数据 项是密码。
[0123] 在示例40中,示例33至39中的任一项所述的主题可W任选地包括:当所述授权信 息不是有效的时,不将所述私有数据项提供给所述服务器。
[0124] 在示例41中,示例33至40中的任一项所述的主题可W任选地包括:所述对象是超 文本标记语言化TML)网页。
[0125] 在示例42中,示例41所述的主题可W任选地包括:当接收到所述有效的授权信息 时,从所述数据存储获取所述私有数据项;当接收到所述有效的授权信息时,通过将所述私 有数据项插入到所述HTML网页中来完成所述HTML网页;W及基于所述完成的HTML网页来将 响应发送至所述服务器。
[01%] 在示例43中,示例33至42中的任一项所述的主题可W任选地包括:所述数据存储 包括一个或多个私有数据项的多个集合,所述多个集合分别与多个服务相关联。
[0127] 在示例44中,示例33至42中的任一项所述的主题可W任选地包括:所述代理包括 多个数据集合,所述多个数据集合中的每一个集合与至少一个网络代理设备相关联,其中, 每一个数据集合包括至少一个私有数据项的一个或多个集合,其中,特定的数据集合的至 少一个私有数据项的所述一个或多个集合分别与不同的服务相关联。
[0128] 在示例45中,示例33至44中的任一项所述的主题可W任选地包括:所述客户机设 备选自包括W下各项的一组客户机设备:配置成用于使用户能够经由浏览器来访问所述服 务器的计算设备;包括客户机应用的计算设备,所述客户机应用配置成用于自动地向由所 述服务器提供的服务认证;W及嵌入式控制器,配置成用于自动地向由所述服务器所提供 的所述服务认证。
[0129] 在示例46中,示例33至45中的任一项所述的主题可W任选地包括:所述修改模块 被进一步配置成用于:拦截从所述服务器到所述客户机设备的途中的另一网络流;标识改 变一个或多个证书的请求,所述一个或多个证书对应于一个或多个特定的私有数据项,所 述一个或多个特定的私有数据项与由所述服务器提供的特定的服务相关联;选择一个或多 个新证书而不将所述网络流转发到所述客户机设备;W及用所述一个或多个新证书来更新 所述数据存储中的所述一个或多个特定的私有数据项。
[0130] 在示例47中,示例33至46中的任一项所述的主题可W任选地包括在所述客户机设 备上的受信任的执行环境中执行:标识对所述私有数据项的所述请求;标识在所述数据存 储中的所述私有数据项;W及将所述经修改的对象提供给所述客户机设备。
[0131] 在示例48中,示例33至46中的任一项所述的主题可W任选地包括:所述代理与所 述客户机设备是分开的。
[0132] 示例49是一种用于保护私有数据的装置,所述装置包括用于执行如示例33至48中 的任一项所述的方法的设备。
[0133] 在示例50中,示例49所述的主题可任选地包括用于执行所述方法的、包括至少一 个处理器和至少一个存储器元件的设备。
[0134] 在示例51中,示例50所述的主题可W任选地包括:所述至少一个存储器元件包括 机器可读指令,当执行所述机器可读指令时,所述机器可读指令使所述装置执行示例33至 48中的任一项所述的方法。
[0135] 在示例52中,示例49至51中的任一项所述的主题可W任选地包括:所述装置是计 算设备。
[0136] 示例53是至少一种机器可读存储介质,包括用于保护私有数据的指令,当执行所 述指令时,所述指令实现如在示例17至48中任一项中所陈述的方法或装置。
[0137] 示例54是一种用于保护私有数据的装置,所述装置包括:用于由代理拦截从服务 器到客户机设备的途中的网络流的设备;用于标识所述网络流的对象中对私有数据项的请 求的设备;用于在数据存储中标识所述私有数据项的设备;用于将包括授权请求的经修改 的对象提供给所述客户机设备的装置;W及用于当接收到有效的授权信息时将所述私有数 据项发送至所述服务器的装置。
【主权项】
1. 至少一种机器可读存储介质,具有存储在其上的、用于保护私有数据的指令,其中, 当由至少一个处理器执行所述指令时,所述指令使所述至少一个处理器: 拦截从服务器到客户机设备的途中的网络流; 标识所述网络流的对象中对私有数据项的请求; 在数据存储中标识所述私有数据项; 将包括授权请求的经修改对象提供给所述客户机设备;以及 当接收到有效的授权信息时,将所述私有数据项发送至所述服务器。2. 如权利要求1所述的至少一种机器可读存储介质,其中,当由所述至少一个处理器执 行所述指令时,所述指令进一步使所述至少一个处理器: 从所述客户机设备接收授权信息; 判定所述授权信息是否是有效的;以及 如果所述授权信息被确定为是有效的,则获取所述私有数据项。3. 如权利要求1所述的至少一种机器可读存储介质,其中,当由所述至少一个处理器执 行所述指令时,所述指令进一步使所述至少一个处理器: 确定用于所述私有数据项的解锁机制;以及 至少部分地基于所述解锁机制来创建包括所述授权请求的经修改的对象。4. 如权利要求3所述的至少一种机器可读存储介质,其中,所述解锁机制选自包括以下 各项的一组解锁机制:一次性密码、用户的生物计量标识以及多因子认证过程。5. 如权利要求1所述的至少一种机器可读存储介质,其中,当由所述至少一个处理器执 行所述指令时,所述指令进一步使所述至少一个处理器: 确定由对所述私有数据项的所述请求指示的数据类型,其中,所述数据存储中的所述 私有数据项与所述数据类型以及由所述服务器提供的服务相关联。6. 如权利要求1所述的至少一种机器可读存储介质,其中,所述数据存储中的所述私有 数据项与以下各项中的至少一者相关联:所述客户机设备、所述客户机设备的用户以及在 所述客户机设备上执行的客户机应用。7. 如权利要求1所述的至少一种机器可读存储介质,其中,所述私有数据项是密码。8. 如权利要求1所述的至少一种机器可读存储介质,其中,当所述授权信息不是有效的 时,不将所述私有数据项提供给所述服务器。9. 如权利要求1所述的至少一种机器可读存储介质,其中,所述对象是超文本标记语言 (HTML)网页。10. 如权利要求9所述的至少一种机器可读存储介质,其中,当由所述至少一个处理器 执行所述指令时,所述指令进一步使所述至少一个处理器: 从所述数据存储获取所述私有数据项; 当接收到所述有效的授权信息时,通过将所述私有数据项插入到所述HTML网页中来完 成所述HTML网页;以及 基于所述完成的HTML网页来将响应发送至所述服务器。11. 如权利要求1至10中的任一项所述的至少一种机器可读存储介质,其中,所述数据 存储包括一个或多个私有数据项的多个集合,所述多个集合分别与多个服务相关联。12. 如权利要求1至10中的任一项所述的至少一种机器可读存储介质,其中,所述代理 包括多个数据集合,所述多个数据集合中的每一个集合与至少一个网络代理设备相关联, 其中,每一个数据集合包括至少一个私有数据项的一个或多个集合,其中,特定的数据集合 的至少一个私有数据项的所述一个或多个集合分别与不同的服务相关联。13. 如权利要求1至10中的任一项所述的至少一种机器可读存储介质,其中,所述客户 机设备选自包括以下各项的一组客户机设备: 配置成用于使用户能够经由浏览器来访问所述服务器的计算设备; 包括客户机应用的计算设备,所述客户机应用配置成用于自动地向由所述服务器提供 的服务认证;以及 嵌入式控制器,配置成用于自动地向由所述服务器提供的所述服务认证。14. 如权利要求1至10中的任一项所述的至少一种机器可读存储介质,其中,当由所述 至少一个处理器执行所述指令时,所述指令进一步使所述至少一个处理器: 拦截从所述服务器到所述客户机设备的途中的另一网络流; 标识改变一个或多个证书的请求,所述一个或多个证书对应于一个或多个特定的私有 数据项,所述一个或多个特定的私有数据项与由所述服务器提供的特定的服务相关联; 选择一个或多个新证书而不将所述网络流转发到所述客户机设备;以及用所述一个或 多个新证书来更新所述数据存储中的所述一个或多个特定的私有数据项。15. 如权利要求1至10中的任一项所述的至少一种机器可读存储介质,其中,所述指令 配置成用于在所述客户机设备上的受信任的执行环境中执行。16. 如权利要求1至10中的任一项所述的至少一种机器可读存储介质,其中,在与所述 客户机设备分开的代理中实现所述至少一种机器可读存储介质。17. -种用于保护数据的装置,所述装置包括: 至少一个存储器元件; 至少一个处理器,耦合到所述至少一个存储器元件; 修改模块,当由所述至少一个处理器执行所述修改模块时,所述修改模块配置成用于: 标识当网络流在从服务器到客户机设备的途中时由所述装置拦截的所述网络流的对 象中的对私有数据项的请求; 在数据存储中标识所述私有数据项;以及 将包括授权请求的经修改对象提供给所述客户机设备;以及 响应模块,当由至少一个处理器执行所述响应模块时,所述响应模块配置成用于:当接 收到有效的授权信息时,将所述私有数据项发送至所述服务器。18. 如权利要求17所述的装置,其中,所述响应模块进一步配置成用于: 从所述客户机设备接收授权信息; 判定所述授权信息是否是有效的;以及 如果所述授权信息被确定为是有效的,则获取所述私有数据项。19. 如权利要求17所述的装置,其中,所述修改模块进一步配置成用于: 确定用于所述私有数据项的解锁机制;以及 至少部分地基于所述解锁机制来创建包括所述授权请求的所述经修改的对象。20. 如权利要求17所述的装置,其中,所述修改模块进一步配置成用于: 确定由对所述私有数据项的所述请求指示的数据类型,其中,所述数据存储中的所述 私有数据项与所述数据类型以及由所述服务器提供的服务相关联。21. 如权利要求17至20中的任一项所述的装置,进一步包括所述客户机设备,其中,所 述客户机设备包括受信任的执行环境,并且其中,所述修改模块和所述响应模块仅在所述 受信任的执行环境中被执行。22. 如权利要求17至20中的任一项所述的装置,其中,所述装置是与所述客户机设备分 开的代理。23. -种用于保护私有数据的方法,所述方法包括以下步骤: 由代理拦截从服务器到客户机设备的途中的网络流; 标识所述网络流的对象中对私有数据项的请求; 在数据存储中标识所述私有数据项; 将包括授权请求的经修改的对象提供给所述客户机设备;以及 当接收到有效的授权信息时,将所述私有数据项提供给所述服务器。24. 如权利要求23所述的方法,其中,所述数据存储中的所述私有数据项与以下各项中 的至少一者相关联:所述客户机设备、所述客户机设备的用户以及在所述客户机设备上执 行的客户机应用。25. 如权利要求23至24中的任一项所述的方法,其中,所述数据存储包括一个或多个私 有数据项的多个集合,所述多个集合分别与多个服务相关联。
【专利摘要】在实施例中提供了用于保护私有数据的技术。实施例配置成用于:拦截从服务器到客户机设备的途中的网络流;标识此网络流的对象中对私有数据项的请求;在数据存储中标识此私有数据项;将包括授权请求的经修改的对象提供给客户机设备;以及当接收到有效的授权信息时,将此私有数据项发送至服务器。实施例还配置成用于:从客户机设备接收授权信息;判定此授权信息是否是有效的;以及如果此授权信息被确定为是有效的,则获取私有数据项。实施例还配置成用于:确定用于私有数据项的解锁机制;以及至少部分地基于此解锁机制来创建包括授权请求的经修改的对象。
【IPC分类】H04L9/32
【公开号】CN105659520
【申请号】
【发明人】I·穆迪科
【申请人】迈克菲股份有限公司
【公开日】2016年6月8日
【申请日】2013年11月25日