DE60218615T2

DE60218615T2 - Verfahren und Architektur zur durchdringenden Absicherung von digitalen Gütern

Info

Publication number: DE60218615T2
Application number: DE60218615T
Authority: DE
Inventors: Michael Michio Portola Valley Ouye; Alain Menlo Park Rossman; Hal Menlo Park Hildebrand; Klimenty Morgan Hill Vainstein; Chang-Ping Palo Alto Lee; Denis Jacques Paul Palo Alto Garcia; Nicholas Michael Menlo Park Ryan; Patrick Zuili; Senthilvasan San Carlos Supramaniam; Weiqing Huang; Serge Menlo Park Humpich
Original assignee: Pervasive Security Systems Inc Menlo Park; Pervasive Security Systems Inc
Current assignee: Intellectual Ventures I LLC
Priority date: 2001-12-12
Filing date: 2002-12-11
Publication date: 2007-11-08
Anticipated expiration: 2022-12-12
Also published as: EP1320011A3; US7260555B2; US7913311B2; US7729995B1; US20030110131A1; JP2003228519A; DE60218615D1; EP1320011A2; US20080034205A1; EP1320011B1

Description

Die vorliegende Erfindung bezieht sich auf den Bereich des Schutzes von Daten in einer Unternehmensumgebung und insbesondere bezieht sie sich auf Prozesse zum Bereitstellen einer allgegenwärtigen Absicherung von digitalen Werten zu jedem Zeitpunkt.
Das Internet ist das am schnellsten wachsende Telekommunikationsmedium in der Geschichte. Dieses Wachstum und der leichte Zugang den es bietet, hat deutlich die Möglichkeit verbessert, um fortgeschrittene Informationstechnologien sowohl für den öffentlichen als auch den privaten Bereich zu verwenden.
Es bietet noch nie dagewesene Möglichkeiten zur Interaktion und zum Austausch von Daten zwischen Firmen und Privatpersonen. Die Vorteile, die das Internet bietet, bringen jedoch einen bedeutend größeren Anteil an Risiko hinsichtlich der Vertraulichkeit und der Integrität mit sich. Das Internet ist ein weitgehend offenes, öffentliches und internationales Netzwerk von miteinander verbundenen Computern und elektrischen Geräten. Ohne richtige Sicherheitsmittel kann eine unautorisierte Person oder Maschine jede Information abfangen, die über das Internet geschickt wird und sogar Zugang zu proprietären Informationen erhalten, die auf mit dem Internet verbundenen Computern gespeichert sind, aber ansonsten im Allgemeinen der Öffentlichkeit nicht zugänglich sind.
Es sind viele Bemühungen im Gange, die auf den Schutz proprietärer Informationen abzielen, die über das Internet gesendet werden und die den Zugang zu den Computern kontrollieren, die proprietäre Informationen aufweisen. Kryptographie erlaubt Personen das Vertrauen, das in der physikalischen Welt zu finden ist, auf die elektronische Welt zu übertragen und erlaubt somit Personen, Geschäfte elektronisch zu tätigen, ohne sich Sorgen um Betrug und Täuschung machen zu müssen. Hunderttausende Personen interagieren jeden Tag elektronisch miteinander, ob durch Email, E-Commerce (über das Internet abgewickelte Geschäfte), Geldautomaten oder Mobiltelefone. Der fortwährende Anstieg von elektronisch übermittelten Informationen hat zu einem vermehrten Vertrauen in die Kryptographie geführt.
Einer der anhaltenden Bemühungen zum Schutz der über das Internet versendeten proprietären Informationen ist das Verwenden einer oder mehrer kryptographischen Technik(en), um eine private Kommunikationssitzung zwischen zwei kommunizierenden Computern im Internet zu schützen. Die kryptographischen Techniken stellen eine Möglichkeit bereit, um Informationen über einen unsicheren Informationskanal zu übertragen, ohne die Inhalte der Information irgendjemandem, der auf dem Kommunikationskanal mithört, zu offenbaren. Durch das Verwenden eines Verschlüsslungsprozesses bei einer kryptographischen Technik kann eine Partei die Inhalte der Daten auf dem Transportweg vom Zugriff einer unautorisierten dritten Person schützen, obwohl die zugedachte Partei die Daten dennoch lesen kann, indem ein korrespondierender Entschlüsselungsprozess verwendet wird.
Eine Firewall ist eine andere Sicherheitsmaßnahme, die die Ressourcen eines privaten Netzwerks vor Benutzern anderer Netzwerke schützt. Es wurde jedoch berichtet, dass viele unautorisierte Zugriffe auf proprietäre Informationen aus dem Inneren erfolgen, im Gegensatz zu denen von Außerhalb. Ein Beispiel für jemanden, der unautorisierten Zugriff von innerhalb erhält, ist, wenn auf geheime oder proprietäre Informationen durch jemanden innerhalb einer Organisation zugegriffen wird, obwohl dieser dies nicht tun sollte. Auf Grund der offenen Beschaffenheit des Internets bleiben vertragliche Informationen, Kundendaten, Kommunikation der Geschäftsführung, Produktspezifikationen und ein Menge von vertraulichem und proprietärem, geistigem Eigentum verfügbar und somit anfällig für unzulässigen Zugriff und die Verwendung durch unautorisierte Benutzer innerhalb oder außerhalb eines angeblich geschützten Umkreises.
Ein Regierungsbericht des General Accounting Offices (GAO) beschreibt detailliert die „erheblichen und überall vorhandenen Computersicherheitsschwächen in sieben Organisationen innerhalb des U.S. Handelsministeriums, wobei die weite Verbreitung von Computersicherheitsschwächen innerhalb der gesamten Organisation die Integrität von einigen der empfindlichsten Systeme der Beamten ernsthaft gefährdet hat." Weiter führt er aus: „Unter der Verwendung von leicht verfügbarer Software und üblichen Techniken zeigten wir die Möglichkeit auf, in sensible Systeme des Handelsministeriums von sowohl innerhalb als auch von außerhalb des Handelsministeriums einzudringen, wie durch das Internet," und „Personen von innerhalb sowie außerhalb des Handelsministeriums können zu diesen Systemen Zugriff erhalten und sensible wirtschaftliche, finanzielle, persönliche und vertrauliche Geschäftsdaten lesen, kopieren, ändern und löschen." Der Bericht folgert ferner, dass „Eindringlinge den Betrieb von Systemen stören können, die für die Aufgabe des Ministeriums kritisch sind."
Viele Firmen und Organisationen suchen tatsächlich nach wirksamen Möglichkeiten, um ihre proprietären Informationen zu schützen. Typischerweise verwenden Firmen und Organisationen Firewalls, virtuelle, private Netzwerke (Virtual Private Networks)(VPNs) und Einbruchserkennungssysteme (Intrusion Detection Systems), um Schutz zu bieten. Unglücklicherweise haben sich diese verschiedenen Sicherheitsmittel als unzureichend erwiesen, um proprietäre Informationen zuverlässig zu schützen, die sich in privaten Netzwerken befinden. Abhängig von den Passwörtern zum Zugriff auf sensible Dokumente von Innerhalb werden beispielsweise oft Sicherheitslücken bekannt oder entdeckt, falls das Passwort wenige Zeichen lang ist. Deshalb besteht die Notwendigkeit zu jedem Zeitpunkt wirksamere Möglichkeiten zum Sichern und Schützen von digitalen Werten bereitzustellen.
WO 01/63387 A2 bezieht sich auf manipulationssicheren Dateitransfer zwischen einem entfernt arbeitenden Benutzer und einem gesicherten Serversystem. Daten, die vom Server zum entfernten Benutzer übertragen werden, werden am Server verschlüsselt und auf der Benutzerseite entschlüsselt. Zum Zugriff auf die gesicherten Daten auf dem Server ist für den Benutzer am entfernten System eine Zugriffsberechtigung notwendig, die einen entfernten Autorisierungsprozess erfordert. Nachdem auf den Server zugegriffen wurde, wird eine gesicherte Verbindung für die gesicherte Übertragung aufgebaut. Das empfangene Datenpaket wird auf der Seite des entfernten Systems entschlüsselt.
US-A-5,991,402 offenbart das Verwenden einer Anwendung (Software), die selbst verschlüsselt ist, um Softwarepiraterie zu verhindern.
Es ist Aufgabe der Erfindung, ein Verfahren bereitzustellen, das die Manipulationssicherheit von einem Datenverarbeitungssystem weiter verbessert.
Die Erfindung ist in Anspruch 1 definiert.
Besondere Ausführungsbeispiele sind Gegenstand von abhängigen Ansprüchen.
Dieser Absatz dient dem Zweck einige Aspekte der vorliegenden Erfindung zusammenzufassen und um einige bevorzugte Ausführungsbeispiele kurz vorzustellen.
Vereinfachungen oder Weglassungen können verwendet worden sein, um das Undeutlichmachen des Zwecks des Abschnitts zu verhindern. Solche Vereinfachungen oder Weglassungen sind nicht beabsichtigt, um den Schutzbereich der vorliegenden Erfindung zu beschränken.
Die vorliegende Erfindung bezieht sich auf Verfahren, Systeme, Architekturen und Softwareprodukte, um allgegenwärtige Sicherheit für digitale Werte zu jedem Zeitpunkt zur Verfügung zu stellen und ist besonders für eine Unternehmensumgebung geeignet. Im Allgemeinen bedeutet allgegenwärtige Sicherheit, dass digitale Werte zu jedem Zeitpunkt gesichert sind und nur durch autorisierte Benutzer mit geeigneten Zugriffsrechten oder -berechtigungen darauf zugreifen können, wobei die digitalen Werte verschiedene Arten von Dokumenten, Multimediadateien, Daten, ausführbarem Code, Bildern und Texten umfassen können, aber nicht darauf beschränkt sind.
Bei einem Aspekt der vorliegenden Erfindung ist ein auf einem Serverrechner ausführbares Servermodul dazu ausgelegt, eine Zugriffkontrollverwaltung (AC-Verwaltung) für eine Gruppe von Benutzern, Softwareagenten oder Geräten bereitzustellen, die das Bedürfnis haben, auf die durch das Zugriffkontrollmanagement gesicherte Dokumente zuzugreifen. Innerhalb des Servermoduls können verschiedene Zugriffsregeln für die gesicherten Dokumente und/oder Zugriffsberechtigungen für die Benutzer oder Softwareagenten erstellt, aktualisiert und verwaltet werden, so dass die Benutzer, Softwareagenten oder Geräte mit den passenden Zugriffsberechtigungen auf die gesicherten Dokumente zugreifen können, falls es durch die entsprechenden Zugriffsregeln in den gesicherten Dokumenten gestattet wird. Gemäß einem Ausführungsbeispiel umfasst ein gesichertes Dokument einen Header und einen verschlüsselten Datenteil. Der Header umfasst zum Kontrollieren des Zugriffs auf den verschlüsselten Datenteil verschlüsselte Sicherheitsinformationen. Ein Benutzerschlüssel, der einem authentifizierten Benutzer zugeordnet ist, muss zum Entschlüsseln der verschlüsselten Sicherheitsinformationen abgefragt werden. Wenn einmal die Sicherheitsinformationen verfügbar sind, werden die Zugriffsregeln der Sicherheitsinformationen abgefragt und können gegen die Zugriffsberechtigungen des Benutzers, der auf das gesicherte Dokument zugreift, abgewogen werden. Falls ein solches Abwiegen erfolgreich ist, wird ein Dateischlüssel von den Sicherheitsinformationen abgerufen und verwendet, um den verschlüsselten Datenteil zu entschlüsseln, wodurch eine unverschlüsselte Fassung des gesicherten Dokuments dem Benutzer verfügbar gemacht wird.
Bei einem anderen Aspekt der vorliegenden Erfindung wird die AC-Verwaltung in einer verteilten Weise ausgeführt. Eine Anzahl von lokalen Serverrechnern wird verwendet, um im Wesentlichen im Auftrag eines zentralen Servers, der für die zentralisierte AC-Verwaltung verantwortlich ist, zu arbeiten. Solch eine verteilte Art sichert die Zuverlässigkeit, Verlässlichkeit und Skalierbarkeit der AC-Verwaltung, die durch einen zentralen Server durchgeführt wird. Gemäß einem Ausführungsbeispiel wird eine Cache-Version des Servermoduls geladen und auf einen lokalen Server aufgeführt. Infolgedessen ist eine direkte Absprache mit dem zentralen Server für ein Clientrechner nicht notwendig, wenn dieser auf gesicherte Dokumente zugreift. Tatsächlich kann auf gesicherte Dokumente immer noch zugegriffen werden, sogar dann, wenn der zentrale Server heruntergefahren ist oder eine Verbindung dorthin nicht verfügbar ist.
Bei einem noch anderen Aspekt der vorliegenden Erfindung, kann die lokale Version für einen lokalen Server dynamisch neu konfiguriert werden, abhängig vom aktuellen Standort des Benutzers. Gemäß eines Ausführungsbeispiels ist eine lokale Version für einen lokalen Server so konfiguriert, dass sie nur die Benutzer, die Softwareagenten oder die Geräte bedient, die lokal für den lokalen Server sind oder durch den lokalen Server zuvor authentifiziert wurden. Wenn sich ein Benutzer von einem Standort zu einem anderen Standort bewegt, wird durch Erkennen eines neuen Standorts des Benutzers, der sich von einem bisherigen Standort wegbewegt hat, eine lokale Version für den neuen Standort neu konfiguriert, um Unterstützung für den Benutzer hinzuzufügen, während gleichzeitig eine lokale Version für den bisherigen Standort neu konfiguriert wird, um die Unterstützung für den Benutzer zu beseitigen. Die Sicherheit erhöht sich demzufolge, während die AC-Verwaltung effizient durchgeführt werden kann, um sicherzustellen, dass jederzeit nur ein Zugang durch den Benutzer in der gesamten Organisation erlaubt ist, ungeachtet wie viele Standorte die Organisation hat oder welche Zugriffsberechtigungen dem Benutzer gestattet werden können.
Bei noch einem anderen Aspekt der Erfindung ist das Format der gesicherten Dokumente so gestaltet, dass die Sicherheitsinformation eines Dokuments bei dem Dokument bleibt, so dass es jederzeit gesichert ist. Dieser integrierte Mechanismus vereinfacht beispielsweise den Transport von gesicherten Dokumenten zu anderen Standorten ohne den Verlust der darin enthaltenen Sicherheitsinformationen und/oder ohne Schwierigkeiten auf die gesicherten Dokumente von den anderen Standorten zuzugreifen. Gemäß eines Ausführungsbeispieles umfasst eine gesicherte Datei oder ein gesichertes Dokument zwei Teile: einen Anhang, bezeichnet als ein Header, und ein verschlüsseltes Dokument oder ein Datenteil. Der Header weist Sicherheitsinformationen auf, die auf die Zugriffsregel und einen Dateischlüssel verweisen oder diese einschließen. Die Zugriffsregeln vereinfachen eingeschränkten Zugriff auf die gesicherten Dokumente und legen im Wesentlichen fest wer/wann/wie/wo auf das gesicherte Dokument zugreifen kann bzw. zugegriffen werden kann. Der Dateischlüssel wird verwendet, um den verschlüsselten Datenteil zu entschlüsseln/verschlüsseln. Nur diejenigen, die die passenden Zugriffsberechtigungen aufweisen, wird gestattet, den Dateischlüssel zum Verschlüsseln/Entschlüsseln des verschlüsselten Datenteils abzurufen. Abhängig von einer genauen Implementierung kann zum Vereinfachen des Erkennens der Sicherheitsart des Sicherheitsdokuments der Header andere Informationen (z.B. eine Markierung, eine Unterschrift oder eine Versionsnummer) aufweisen. Alternativ können die beiden Teile, verschlüsselte Sicherheitsinformationen und der verschlüsselte Datenteil wieder verschlüsselt werden, um eine gesicherte Datei oder ein gesichertes Dokument darzustellen.
Bei noch einem anderen Aspekt der vorliegenden Erfindung ist ein auf einem Clientrechner ausführbares Clientmodul dazu ausgelegt, Zugriffskontrolle für die gesicherten Dokumente vorzusehen, die sich in einem lokalen Speicher, auf einem andern Computer oder irgendwo in einem Datennetzwerk befinden können. Gemäß einem Ausführungsbeispiel umfasst das Clientmodul ein Dokumentsicherungsmodul, das dazu ausgelegt ist, in einem Betriebssystem betrieben zu werden. Insbesondere arbeitet das Dokumentsicherungsmodul an einem Punkt, den ein Dokument, auf das zugegriffen wurde, passieren würde, wobei das Dokument beispielsweise geprüft oder dessen Sicherheitsart erkannt werden kann. Falls das Dokument gesichert ist, erhält das Dokumentsicherungsmodul einen Benutzer- oder Gruppenschlüssel, um die Sicherheitsinformationen des Headers für die Zugriffregeln zu entschlüsseln. Falls für einen Benutzer, der auf ein Dokument zugreift, festgestellt wird, dass er die Zugriffsberechtigung für das gesicherte Dokument aufweist, wird von den Sicherheitsinformationen ein Dateischlüssel abgerufen und ein Verschlüsselungsmodul aktiviert, um den verschlüsselten Datenteil mit dem Dateischlüssel zu entschlüsseln. Ähnlich verschlüsselt das Verschlüsselungsmodul unverschlüsselte Daten aus dem Dokument, um den verschlüsselten Datenteil zu erzeugen, wenn ein Dokument gesichert werden muss. Das Dokumentsicherungsmodul integriert geeignete oder gewünschte Sicherheitsinformationen mit dem verschlüsselten Datenteil, um das gesicherte Dokument zu erzeugen. Da das Dokumentsicherungsmodul in einem Betriebssystem betrieben wird, ist der Verschlüsselungs-/Entschlüsselungsprozess für den Benutzer transparent.
Bei noch einem anderen Aspekt der vorliegenden Erfindung aktiviert ein Clientmodul auf einem Clientrechner ein Offlinezugriffsmodul, um ein Offlinezugriffsmechanismus für die Benutzer bereitzustellen, die unterwegs sind. Wenn ein Benutzer veranlasst wird, sich von einem netzwerkversorgtem Betriebsgebäude zu entfernen, oder sich auf einer Geschäftsreise befindet, kann eine Offlinezugriffsanfrage durch ein Offlinezugriffsmodul auf dem Clientrechner generiert und an einen AC-Server weitergeleitet werden. Als Antwort kann der AC-Server dem Benutzer die Offlinezugriffsanfrage gestatten, ebenso wie dem Clientrechner, von dem der Benutzer auf gesicherte Dokumente offline zugreifen wird. Gemäß eines Ausführungsbeispiels kann der AC-Server abgeänderte(n) oder vorläufige(n) Zugriffsregeln, Zugriffsberechtigungen oder einen Benutzerschlüssel bereitstellen, die automatisch ablaufen werden, wenn eine bestimmte Zeit abgelaufen ist oder sie werden ungültig, wenn der Clientrechner das nächste Mal mit dem AC-Server verbunden wird. Folglich kann der Benutzer auf einige oder alle gesicherten Dokumente auf dem Clientrechner zugreifen und kann gleichzeitig gesicherte Dokumente erstellen, auf die alle zugegriffen werden kann oder die mit den vorläufigen Zugriffsregeln, Zugriffsberechtigungen oder dem Benutzerschlüssel gesichert werden. Während der Offlinezugriffsdauer kann zum Aufzeichnen alle Aktivitäten des Benutzers, der auf die gesicherten Dokumente zugreift, ein Zugriffberichtsmanager aktiviert werden. Wenn der Clientrechner wieder mit dem AC-Server verbunden wird, können die Zugriffsaktivitäten auf die gesicherten Dokumente an den AC-Server gemeldet werden, um die Zugriffskontrollverwaltung und die Synchronisation der gesicherten Dokumente zu vereinfachen, auf die zugegriffen oder die offline erstellt wurden.
Bei noch einem andern Aspekt der vorliegenden Erfindung ist ein Verfahren vorgesehen, um eine Zugriffskontrollverwaltung für elektronische Daten bereitzustellen, wobei das Verfahren folgendes umfasst:
Authentifizieren eines Benutzers, der versucht auf die elektronischen Daten zuzugreifen;
Erhalten eines privaten Schlüssels und eines öffentlichen Schlüssels, die beide dem Benutzer zugeordnet sind, wobei die elektronischen Daten, falls gesichert, einen Header und einen verschlüsselten Datenteil aufweisen, wobei der Header ferner Sicherheitsinformationen aufweist;
Verschlüsseln der Sicherheitsinformationen mit dem öffentlichen Schlüssel, wenn die elektronischen Daten in einen Speicher geschrieben werden sollen; und
Entschlüsseln der Sicherheitsinformationen mit dem privaten Schlüssel, wenn auf die elektronischen Daten durch eine Anwendung zugegriffen wird.
Bei einem besonderen Ausführungsbeispiel weist die Authentifizierung des Benutzers folgendes auf:
Herstellen einer Verbindung mit einem Clientrechner, von dem der Benutzer versucht auf die elektronischen Daten zuzugreifen;
Anfordern von Berechtigungsnachweisinformationen vom Benutzer; und
Empfangen von Berechtigungsnachweisinformationen vom Clientrechner über die gesicherte Verbindung.
In einem Ausführungsbeispiel weist das Verschlüsseln der Sicherheitsinformationen mit dem öffentlichen Schlüssel folgendes auf:
Empfangen von Zugriffsregeln und einem Dateischlüssel, wobei der Dateischlüssel verwendet wurde, um den verschlüsselten Datenteil auf dem Clientrechner zu erzeugen;
Aufnehmen der Zugriffsregeln und eines Dateischlüssels zu den Sicherheitsinformationen; und
Verschlüsseln der Sicherheitsinformationen mit dem öffentlichen Schlüssel.
Bei einem Fall weist das Verfahren ferner folgendes auf:
Erzeugen des Headers mit den darin verschlüsselten Sicherheitsinformationen; und
Hochladen des Headers zum Clientrechner, wo der Header mit dem verschlüsselten Datenteil kombiniert wird.
Bei einem anderen Ausführungsbeispiel werden die Zugriffsregeln in einer Markupsprache dargestellt.
Bei einem Ausführungsbeispiel weist das Entschlüsseln der Sicherheitsinformationen mit dem privaten Schlüssel folgendes auf:
Empfangen des Headers von dem Clientrechner über die Verbindung;
Analysieren der Sicherheitsinformationen aus dem Header; und
Entschlüsseln der Sicherheitsinformationen mit dem privaten Schlüssel.
In einem Fall weist das Verfahren fernern folgendes auf:
Erhalten von Zugriffsregeln von den Sicherheitsinformationen;
Feststellen, ob die Zugriffsregeln eine Zugriffsberechtigung des Benutzers anpassen;
wenn die Feststellung erfolgreich ist,
Erhalten eines Dateischlüssels von den Sicherheitsinformationen; und
Senden des Dateischlüssels an den Clientrechner über die Verbindung.
wenn die Feststellung fehlschlägt,
Senden einer Fehlernachricht an den Clientrechner über die Verbindung.
Gemäß eines anderen Aspekts der vorliegenden Erfindung wird ein Verfahren vorgesehen, um eine Zugriffskontrollverwaltung für elektronische Daten bereitzustellen, wobei das Verfahren folgendes aufweist:
Empfangen einer Anfrage zum Zugriff auf elektronische Daten durch eine Anwendung;
Ermitteln der Sicherheitsart der elektronischen Daten;
wenn die Sicherheitsart anzeigt, dass die elektronischen Daten gesichert sind, weisen die elektronischen Daten einen Header und einen verschlüsselten Datenteil auf, wobei der Header ferner folgende Sicherheitsinformationen umfasst,
Ermitteln aus den Sicherheitsinformationen, ob der Benutzer die notwendige Zugriffsberechtigung aufweist, um auf den verschlüsselten Datenteil zuzugreifen; und
Entschlüsseln des verschlüsselten Datenteils nur, nachdem ermittelt wurde, dass der Benutzer die notwendige Zugriffsberechtigung aufweist, um auf den verschlüsselten Datenteil zuzugreifen.
Bei einem Ausführungsbeispiel weist das Ermitteln aus den Sicherheitsinformationen folgendes auf, wenn der Benutzer die notwendige Zugriffsberechtigung besitzt:
Entschlüsseln der Sicherheitsinformationen mit dem Benutzerschlüssel;
Erhalten der Zugriffsregeln von den Sicherheitsinformationen; und
Abwägen der Zugriffsregeln gegen die Zugriffsberechtigung des Benutzers.
In einem Fall weist es ferner das Erhalten eines Dateischlüssels aus den Sicherheitsinformationen auf, falls das Abwägen der Zugriffsregeln gegen die Zugriffsberechtigung erfolgreich ist.
Bei einem Ausführungsbeispiel weist das Verfahren ferner folgendes auf:
Herstellen einer Verbindung mit einem Server, der eine Zugriffskontrollverwaltung ausführt;
Senden einer Authentifikationsanfrage an den Server, die zum Authentifizieren des Benutzers eine Kennung umfasst, die den Benutzer in der Zugriffskontrollverwaltung identifiziert;
Weiterleiten des Headers zum Server; und
Empfangen eines vom Header abgerufenen Dateischlüssels.
In einem Fall weist das Verfahren ferner folgendes auf:
Aktivieren eines Verschlüsselungsmoduls; und
Entschlüsseln des verschlüsselten Datenteils durch das Verschlüsselungsmodul mit dem erhaltenen Dateischlüssel.
Bei einem anderen Ausführungsbeispiel weist das Verfahren ferner folgendes auf:
Herstellen einer Verbindung mit einem Server, der eine Zugriffskontrollverwaltung ausführt;
Senden einer Authentifikationsanfrage an den Server, die zum Authentifizieren des Benutzers eine Kennung umfasst, die den Benutzer für die Zugriffskontrollverwaltung identifiziert;
Empfangen einer Authentifikationsnachricht, nachdem der Benutzer authentifiziert ist; und
Lokales Aktivieren des Benutzerschlüssels auf dem Clientrechner.
Gemäß einem noch anderen Ausführungsbeispiel der vorliegenden Erfindung, wird ein System zum Bereitstellen einer Zugriffskontrollverwaltung für elektrische Daten vorgeschlagen, wobei das Verfahren Folgendes aufweist:
ein Clientrechner, der ein Dokumentsicherungsmodul ausführt, das an einem Punkt betrieben wird, den die elektronischen Daten passieren müssen,
wobei das Dokumentsicherungsmodul die Sicherheitsart der elektronischen Daten ermittelt;
ein Zugriffskontrollserver, der mit dem Clientrechner über ein Netzwerk gekoppelt ist, wobei der Zugriffskontrollserver eine Kontoverwaltung umfasst, die alle Benutzer verwaltet, die auf elektronische Daten zugreifen; und
wobei der Clientrechner und/oder ein Benutzer davon durch das Dokumentsicherungsmodul mit dem Zugriffskontrollserver authentifiziert wird; und
wobei die Zugriffsregeln in den gesicherten, elektronischen Daten durch einen Benutzerschlüssel abgerufen werden, der dem Benutzer zugeordnet ist.
Bei einem Ausführungsbeispiel werden die Zugriffsregeln gegen die Zugriffsberechtigung des Benutzers abgewogen.
Bei einem besonderen Ausführungsbeispiel aktiviert das Dokumentsicherungsmodul ein Verschlüsselungsmodul, um einen verschlüsselten Datenteil in den gesicherten, elektronischen Daten mit einem Dateischlüssel zu entschlüsseln, der daraus erhalten wurde, nachdem das Dokumentsicherungsmodul ermittelt, dass die Zugriffsberechtigung des Benutzers durch die Zugriffsregeln genehmigt wird.
Bei einem Fall bleibt der Benutzerschlüssel auf dem Zugriffkontrollserver, der Teile der gesicherten, elektronischen Daten empfängt; und wobei die Zugriffsregeln und der Dateischlüssel von dem Teil der gesicherten, elektronischen Daten erhalten werden.
Bei einem besonderen Ausführungsbeispiel leitet der Zugriffkontollserver den Dateischlüssel über das Netzwerk an den Clientrechner weiter.
Bei einem anderen Ausführungsbeispiel bleibt der Benutzerschlüssel auf dem Clientrechner und wird aktiviert, wenn sowohl der Clientrechner als auch der Benutzer durch den Zugriffkontrollserver authentifiziert ist.
Gemäß eines noch anderen Aspekts der vorliegenden Erfindung wird ein System zum Bereitstellen einer Zugriffskontrollverwaltung für elektronische Daten vorgesehen, wobei das Verfahren Folgendes aufweist:
eine Speichereinrichtung, die wenigstens eine geeignete Stelle aufweist, die zum gesicherten Aufbewahren der elektronischen Daten ausgelegt ist, wobei die gesicherten, elektronischen Daten verschlüsselte Sicherheitsinformationen aufweisen, die ferner wenigstens eine Menge von Zugriffsregeln und einen Dateischlüssel einschließen;
einen Clientrechner, der mit der Speichereinrichtung gekoppelt ist und der ein Dokumentsicherungsmodul ausführt, das an einem Punkt betrieben wird, den die elektronischen Daten von der geeigneten Stelle passieren müssen, wenn sie durch eine Anwendung ausgewählt werden;
einen Zugriffskontrollserver, der mit dem Clientrechner über ein Netzwerk gekoppelt ist und der einen Teil der elektronischen Daten empfängt, die die verschlüsselten Sicherheitsinformationen vom Clientrechner einschließen, wobei die verschlüsselten Sicherheitsinformationen durch einen Benutzerschlüssel entschlüsselt werden, der einem Benutzer zugeordnet ist, der die Anwendung auf dem Clientrechner ausführt, um auf die elektrischen Daten zuzugreifen nachdem sowohl der Benutzer als auch der Clientrechner authentifiziert wurden;
wobei der Satz von Zugriffsregeln gegen die Zugriffsberechtigung des Benutzers auf dem Zugriffkontrollserver abgewogen werden, und, falls erfolgreich, der Dateischlüssel an den Clientrechner zurückgegeben wird, um eine Wiederherstellung der elektronischen Daten in eine unverschlüsselter Form zu vereinfachen.
Die vorliegende Erfindung umfasst zum Ausführen auf einer Berechnungseinrichtung ein Softwareprodukt, um eine Zugriffskontrollverwaltung für elektronische Daten bereitzustellen, wobei das Softwareprodukt Folgendes aufweist:
einen Programmcode zum Betreiben des Verfahrens, wie es vorstehend definiert wurde.
Eine der Aufgaben der vorliegenden Erfindung besteht darin, einen genetischen Sicherheitsmechanismus bereitzustellen, der gesicherte, digitale Werte jederzeit schützen kann.
Andere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden durch Betrachten der folgenden, detaillierten Beschreibung eines Ausführungsbeispiels zusammen mit den beigefügten Zeichnungen offensichtlich.
Diese und andere Merkmale, Aspekte und Vorteile der vorliegenden Erfindung werden anhand der folgenden Beschreibung, der beigefügten Ansprüchen und der beiliegenden Zeichnungen besser verstanden, wobei:
1A eine grundlegende Systemkonfiguration zeigt, in der die vorliegende Erfindung gemäß einem bevorzugten Ausführungsbeispiel ausgeführt werden kann;
1B eine Konfiguration zeigt, bei der ein zentraler Server und lokale Server verwendet werden;
1C eine Konfiguration zeigt, wie sie für eine kleine Gruppe von Benutzern geeignet ist, wobei keine lokalen Server verwendet werden;
1C interne Konstruktionsblöcke einer Berechnungseinrichtung (z.B. eines Clientrechners, eines zentralen Servers und eines lokalen Servers) zeigt, durch die die vorliegende Erfindung implementiert und ausgeführt werden kann;
2A ein Abbildungsdiagramm des Sicherns eines erstellten Dokuments ist;
2B eine beispielhafte Struktur eines gesicherten Dokuments darstellt, das einen Header und einen verschlüsselten Datenteil aufweist;
2C.1 eine andere beispielhafte Struktur eines gesicherten Dokuments darstellt, das mehrere Informationen von Benutzern in einem Header und einem verschlüsselten Teil aufweist;
2C.2 noch eine andere beispielhafte Struktur eines gesicherten Dokuments darstellt, die Sicherheitsblöcke in einem Header und einen verschlüsselten Teil aufweist;
2C.3 einen beispielhaften Header in einer Markup-Sprache zeigt, der der gesicherten Dokumentstruktur entspricht, die in 2C.2 dargestellt ist;
2D eine beispielhafte graphische Benutzeroberfläche (graphical user interface) (GUI) zeigt, die verwendet werden kann, um die Zugriffsregeln durch Benutzer festzulegen oder zu erstellen;
2E eine Verzeichnisstruktur zeigt, die einen nicht verschlüsselten Ordner und gesicherte (aktive) Ordner aufweist, wobei der nicht verschlüsselte Ordner im Allgemeinen dem Speichern von Systemdateien oder Dateien, die nicht zum Schützen vorgesehen sind, dient und wobei die gesicherten Ordner für Datendateien und Dokumente in gesicherter Form vorgesehen sind;
3 eine beispielhafte Realisierung zeigt, wie ein Dokumentsicherungsmodul, das mit einem Betriebssystem (z.B. WINDOWS 2000) zusammenarbeitet und darin betrieben wird, sicherstellt, dass ein Dokument, dass gesichert wurde, transparent für einen Benutzer ist;
4A ein Ablaufdiagramm des Prozesses der Sicherung eines Dokuments zeigt, das gemäß einem Ausführungsbeispiel der vorliegenden Erfindung erstellt wurde;
4B ein Ablaufdiagramm eines beispielhaften Prozesses des Empfangens der Zugriffsregeln zeigt und das in den Prozess der 4A enthalten sein kann, um den Prozess des Sichern eines Dokuments zu vereinfachen;
4C ein Ablaufdiagramm eines Prozesses des Zugreifens auf ein gesichertes Dokument gemäß eines Ausführungsbeispiels zeigt, und das in Verbindung mit 3 verstanden werden soll;
5A ein Funktionsblockdiagramm einer (Zugriffskontroll-) Servereinrichtung zeigt, in der sich ein Servermodul in einem Speicherbereich befindet und durch einen oder mehrere Prozessor(en) der Servereinrichtung ausführbar ist;
5B.1 bzw. 5B.2 zwei Strukturen darstellt, wobei eine beispielhafte Zugriffsberechtigungen für die Benutzer zeigt und die andere zeigt, was sich in einer Benutzerschlüsselverwaltung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung befinden kann;
5B.3 ein Ablaufdiagramm zum Aktualisieren eines Benutzerschlüsselprozesses zeigt;
5B.4 ein Ablaufdiagramm eines serverunterstützten Prozesses zum Zugreifen auf gesicherte Dokumente gemäß einem Ausführungsbeispiel zeigt, und in Verbindung mit 3 verstanden werden soll;
5B.5 ein Ablaufdiagramm eines serverunterstützten Prozesses zum Sichern eines Dokuments gemäß einem Ausführungsbeispiel zeigt, und das ebenfalls in Verbindung mit 3 verstanden werden soll;
5C ein funktionelles Blockdiagramm einer lokalen Servereinrichtung zeigt, die in vielerlei Hinsicht ähnlich dem Server ist, wie er in 5A dargestellt wurde;
5D eine Tabelle von allen Benutzern mit unterschiedlichen Zugriffsberechtigungen zeigt, wobei die Tabelle durch einen zentralen Server verwaltet wird;
5E entsprechende Tabellen zeigt, wobei auf jede durch einen lokalen Server zugegriffen wird, wodurch Benutzer folglich nur einen entsprechenden lokalen Server überprüfen brauchen; niemand wäre beeinträchtigt, wenn andere lokale Server aus irgendeinem Grund nicht verfügbar sind oder vom zentralen Server getrennt sind;
5F die Erreichbarkeit für jeden der Benutzer darstellt, wobei anstelle von drei identischen Cache-Modulen, die jeweils John erlauben, von irgendeinem der drei Standorte zuzugreifen, nur ein Cache-Modul dazu ausgelegt ist, John zu erlauben, von einem der drei Standorte zu einem Zeitpunkt zuzugreifen;
5G eine dynamisch cachende Zugriffskontrollverwaltung zeigt, wobei John zu einem anderen Cache-Modul hinzugefügt wird, das nun John bedienen kann, der sich von einem anderen Standort fortbewegt hat;
5H bzw. 5I die wechselnde Erreichbarkeit für Benutzer als Folge der dynamisch gecachten Zugriffkontrollverwaltung zeigt;
6A ein Ablaufdiagramm eines Benutzerauthentifikationsprozesses zeigt, der auf einen zentralen Server oder auf einem lokalen Server implementiert sein kann;
6B ein Ablaufdiagramm des dynamischen Konfigurierens des Zugriffkontrollverwaltungsprozesses zeigt, der auf einem lokalen Server oder mehreren lokalen Servern zusammen mit einem zentralen Server implementiert sein kann;
6C ein Ablaufdiagramm des Neukonfigurierens der lokalen Modulprozesse gemäß einem Ausführungsbeispiel zeigt, das in 6B verwendet werden kann;
7A ein funktionales Blockdiagramm eines Clientrechners zeigt, das zum Ausführen der vorliegenden Erfindung verwendet werden kann;
7B ein Ablaufdiagramm des Bereitstellens einer Offlinezugriffsverarbeitung gemäß eines Ausführungsbeispiels der vorliegenden Erfindung zeigt; und
7C eine Abänderung der Zugriffsregeln darstellt, die in einem gesicherten Dokument untergebracht werden, auf das durch Benutzer A, B, C und D zugegriffen werden kann, wobei Benutzer A Offlinezugriff angefordert hat und die Anforderung genehmigt wurde, während die Benutzer B, C und D nicht auf das gesicherte Dokument offline zugreifen können.
Die vorliegende Erfindung bezieht sich auf Prozesse, Systeme, Architekturen und Softwareprodukte zum Bereitstellen von allgegenwärtiger Sicherheit von digitalen Werten zu jedem Zeitpunkt. Im Allgemeinen bedeutet allgegenwärtige Sicherheit, dass digitale Werte zu jedem Zeitpunkt geschützt sind und nur authentifizierte Benutzer mit angemessenen Zugriffsberechtigungen darauf zugreifen können. Die vorliegende Erfindung ist insbesondere für eine Unternehmensumgebung geeignet.
In der folgenden Beschreibung werden zahlreiche spezifische Details dargelegt, um ein besseres Verständnis der vorliegenden Erfindung zu liefern. Nichtsdestotrotz ist es für den Fachmann offensichtlich, dass die vorliegende Erfindung ohne die spezifischen Details ausgeführt werden kann. Die Beschreibung und die darin enthaltenen Repräsentationen sind die üblichen Mittel, die von erfahrenen und ausgebildeten Personen in diesem Bereich verwendet werden, um am effektivsten den Inhalt ihrer Arbeit anderen Fachleuten gegenüber auszudrücken. Bei anderen Fällen werden bekannte Verfahren, Prozeduren, Komponenten und Schaltkreise nicht im Detail beschrieben, um unnötig verwirrende Aspekte bei der vorliegenden Erfindung zu vermeiden.
Der Verweis hierin auf „ein Ausführungsbeispiel" bedeutet, dass ein bestimmtes Merkmal, eine Struktur oder eine Eigenschaft, die in Verbindung mit dem Ausführungsbeispiel beschrieben wird, in wenigstens einem Ausführungsbeispiel der Erfindung eingeschlossen sein kann. Das Vorkommen der Formulierung „bei einem Ausführungsbeispiel" an verschiedenen Orten der Beschreibung beziehen sich nicht immer notwendigerweise auf das gleiche Ausführungsbeispiel, noch sind einzelne oder alternative Ausführungsbeispiele gegenüber anderer Ausführungsbeispiele ausschließend.
Ferner kennzeichnet die Reihenfolge der Blöcke in Prozessablaufdiagrammen oder Diagrammen, die ein oder mehrere Ausführungsbeispiele der Erfindung darstellen, nicht von Natur aus irgendeine besondere Reihenfolge, noch werden irgendwelche Beschränkungen in Bezug auf die Erfindung impliziert.
Um die Beschreibung der vorliegenden Erfindung zu vereinfachen, wird es für notwendig erachtet, Definitionen für einige Begriffe bereitzustellen, die in der gesamten Offenbarung verwendet werden. Es sollte erwähnt werden, dass die nachfolgenden Definitionen zum Erleichtern des Verstehens sind und die vorliegende Erfindung gemäß einem Ausführungsbeispiel beschrieben wird. Die Definitionen können einige Beschränkungen hinsichtlich des Ausführungsbeispieles aufweisen, wobei die eigentliche Bedeutung des Begriffs Anwendbarkeit weit über solch ein Ausführungsbeispiel aufweist, was durch einen Fachmann abgeschätzt werden kann:
Digitaler Wert – definiert eine Art von elektronischen Daten, die verschiedene Typen von Dokumenten, Multimediadateien, Streaming-Daten, dynamische oder statische Daten, ausführbaren Code, Bilder und Texte umfasst, aber nicht darauf beschränkt sind.
Datei oder Dokument – hier gegenseitig austauschbar verwendet, kennzeichnen eine Art von digitalen Werten und befindet sich im Allgemeinen in einem unverschlüsselten Zustand, was bedeutet, dass auf sie durch eine Anwendung oder mehrere Anwendungen ohne eine vorherige Kenntnis zugegriffen werden kann, wobei der Zugriff auf eine Datei oder ein Dokument eine Anforderung ist, die darin resultiert, dass die Datei oder das Dokument geöffnet, angezeigt, bearbeitet, abgespielt, angehört, gedruckt wird oder in einem Format oder Produkt vorliegt, das von einem Benutzer gewünscht wird, der den Zugriff auf die Datei oder das Dokument angefordert hat.
Geschützte Datei oder geschütztes Dokument – definiert eine Art eines digitalen Werts, auf das ohne vorheriges Wissen nicht zugegriffen werden kann. Beispiele für ein vorheriges Wissen können ein Passwort, ein Sicherheitsausdruck, biometrische Informationen oder ein oder mehrere Schlüssel aufweisen, sind jedoch nicht darauf beschränkt.
Verschlüsselte Datei oder verschlüsseltes Dokument bezeichnet eine Datei oder ein Dokument, die/das mit einer Verschlüsselung verschlüsselt wurde (z.B. eine Implementierung kryptographischer Techniken).
Dateischlüssel – ist ein Beispiel für ein vorheriges Wissen, das auch als Chiffrierschlüssel bezeichnet wird und, einmal erhalten, verwendet werden kann, um das verschlüsselte Dokument zu entsperren oder zu entschlüsseln.
Benutzerschlüssel – ist ein anderer Chiffrierschlüssel, der einem Benutzer oder einer Gruppe von Benutzern zugeordnet ist oder der einen Benutzer oder eine Gruppe von Benutzern identifiziert und verwendet werden kann, um den Dateischlüssel zu erhalten. Gemäß einem Format der geschützten Datei wird ein Benutzerschlüssel verwendet, um einen Dateischlüssel abzurufen, der wiederum das verschlüsselte Dokument entsperrt oder entschlüsselt, während ein unterschiedlicher Benutzerschlüssel oder der gleiche Benutzerschlüssel verwendet werden kann, um den Dateischlüssel zu verbergen oder zu verschlüsseln.
Zugriffsberechtigung – ist ein Recht oder sind mehrere Rechte, das/die ein Benutzer hinsichtlich einer gesicherten Datei oder einem gesichertem Dokument haben kann. Ein Benutzer kann nur in der Lage sein, auf eine gesicherte Datei von einem ausgewiesenen Ort während einer speziellen Zeitdauer zuzugreifen, wenn seine Zugriffsberechtigung ihn beschränkt dies zu tun. Wahlweise kann eine Zugriffsberechtigung andere Beschränkungen für einen speziellen Host, an dem sich der Benutzer angemeldet hat, ein Dateitübertragungsprotokoll, eine Zugriffsanwendung (Modell und/oder Version), eine Berechtigung, um eine Zugriffsberechtigung anderen (z.B. einem Berater) oder Mitgliedschaft in anderen Gruppen zu gewähren, u.s.w. festlegen.
Zugriffsregeln – sind Markierungen oder ausgewiesene Berechtigungen, um das zu beschränken, was ein Benutzer mit einer geschützten Datei oder einem geschütztem Dokument tun kann. Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung können wenigstens einige der Zugriffsregeln in einer geschützten Datei oder einem geschützten Dokument eingeschlossen sein. In einigen Fällen können die Zugriffsregeln durch einen Benutzer mit geeigneter Zugriffsberechtigung ausdehnbar sein.
Clienteinrichtung, Computer oder Maschine – hier gegenseitig austauschbar verwendet, stellt eine Teminaleinrichtung dar, die typischerweise von einem Benutzer verwendet wird, um auf geschützte Dokumente zuzugreifen.
Servereinrichtung, Computer oder Maschine – hier gegenseitig austauschbar verwendet, stellt eine Recheneinrichtung dar. Gemäß einem Ausführungsbeispiel kann solch eine Recheneinrichtung eine Zugriffskontrollverwaltung (AC-Verwaltung) für geschützte Dokumente vorsehen, die von einer Clientmaschine oder einem Benutzer zugänglich sind.
Clientmodul – bezeichnet im Allgemeinen eine ausführbare Version eines Ausführungsbeispiels der vorliegenden Erfindung und ist typischerweise auf eine Clienteinrichtung geladen, um Funktionen, Merkmale, Nutzen und Vorteile zu liefern, die in der vorliegenden Erfindung betrachtet werden.
Servermodul – bezeichnet im Allgemeinen eine ausführbare Version eines Ausführungsbeispiels der vorliegenden Erfindung und ist typischerweise auf eine Servereinrichtung geladen, um Funktionen, Merkmale, Nutzen und Vorteile zu liefern, die bei der vorliegenden Erfindung ins Auge gefasst werden.
Server und Client – falls nicht anderweitig speziell oder explizit angegeben, kann ein Server entweder eine Servermaschine oder ein Servermodul bezeichnen und ein Client kann entweder eine Clientmaschine oder ein Clientmodul bezeichnen und in jedem Fall sollte die besondere Bedeutung aus dem Zusammenhang klar sein.
Ausführungsbeispiele der vorliegenden Erfindung werden hier mit Bezug auf 1A–7C erörtert. Ein Fachmann wird trotzdem leicht einsehen, dass die detaillierte Beschreibung, die hier mit Bezug auf diese Figuren gegeben wird, beispielhaften Zwecken dient, da die Erfindung über diese begrenzten Ausführungsbeispiele hinaus geht.
1A zeigt eine grundsätzliche Systemkonfiguration, in der die Erfindung gemäß einem Ausführungsbeispiele betrieben werden kann. Dokumente oder Dateien, wie Produktbeschreibungen, Kundenlisten und Preislisten können mit Hilfe eines Autorensystems erstellt werden, das auf einen Clientcomputer 100 aufgeführt wird, der eine Desktoprecheneinrichtung, ein Laptopcomputer oder eine mobile Recheneinrichtung sein kann. Beispielhafte Autorensysteme können Microsoft Office (z.B. Microsoft Word, Microsoft PowerPoint und Microsoft Excel), Adobe FrameMaker und Adobe Photoshop umfassen.
Gemäß einem Ausführungsbeispiel ist der Clientcomputer 100 mit einem Clientmodul bestückt, das eine gelinkte und kompilierte oder interpretierte Fassung eines Ausführungsbeispiels der vorliegenden Erfindung ist und mit einem Server 104 oder 106 über ein Datennetzwerk (z.B. das Internet oder ein lokales Netzwerk) kommunizieren kann. Gemäß einem anderen Ausführungsbeispiel ist der Clientrechner 100 mit dem Server 104 durch eine eigene Verbindung gekoppelt. Wie weiter unten erklärt werden wird, ist ein Dokument, das durch ein Autorensystem erstellt wird, durch das Clientmodul geschützt, das nachfolgend detailliert beschrieben wird. Das Clientmodul, falls ausgeführt, ist so ausgelegt, dass es sicherstellt, dass ein geschütztes Dokument jederzeit in einem Speicher (z.B. einer Festplatte oder einem anderen Datenspeicher) geschützt ist. Auf Grund der vorliegenden Erfindung werden die Dokumente in einem geschützten Zustand gespeichert und nur Benutzer mit geeigneten Zugriffsberechtigungen können darauf zugreifen. Eine Zugriffsberechtigung oder Zugriffsberechtigungen für einen Benutzer können im Allgemeinen eine Anzeigeerlaubnis, Kopiererlaubnis, eine Druckerlaubnis, eine Bearbeitungserlaubnis, eine Übertragungserlaubnis, eine Hochlade-/Herunterladeerlaubnis und eine Standorterlaubnis umfassen, müssen jedoch nicht darauf beschränkt sein.
Gemäß einem Ausführungsbeispiel lässt man ein erstelltes Dokument einen Verschlüsselungsprozess durchlaufen, was bevorzugt transparent für einen Benutzer ist. Mit andern Worten wird das erzeugte Dokument durch die Autorenanwendung verschlüsselt oder entschlüsselt, so dass dem Benutzer der Prozess nicht bewusst wird. Ein Schlüssel (hier als ein Benutzerschlüssel bezeichnet) zum Abrufen eines Dateischlüssels, um ein verschlüsseltes Dokument zu entschlüsseln, wird einer Zugriffsberechtigung zugeordnet. Nur ein Benutzer mit einer geeigneten Zugriffsberechtigung kann auf das geschützte Dokument zugreifen.
Bei einem Szenario kann ein geschütztes Dokument über ein Netzwerk 110 auf eine Rechen- oder Speichereinrichtung 102 geladen werden, die als ein zentraler Speicher dient. Das Netzwerk 110 weist vorzugsweise eine eigene Verbindung zwischen dem Computer 100 und der Rechnungseinheit 102 auf, obwohl dies nicht notwendig ist. Solch eine Verbindung kann durch ein internes Netzwerk in einem Unternehmen oder einem geschützten Kommunikationsprotokoll (z.B. VPN und HTTPS) über das Internet bereitgestellt werden. Alternativ kann solch eine Verbindung einfach durch eine TCP/IP-Verbindung bereitgestellt werden. Als solche kann auf geschützte Dokumente auf dem Computer 100 entfernt zugegriffen werden.
Bei einem anderen Szenario sind der Computer 100 und die Rechen- und Speichereinrichtung 102 untrennbar, in welchem Fall die Rechen- oder Speichereinrichtung 102 ein lokaler Speicher sein kann, um geschützte Dokumente aufzubewahren oder um geschützte Netzwerkresourcen (z.B. dynamische Webinhalte, Resultate von einer Datenbankabfrage oder einem live Multimedia-Feed) zu empfangen. Unabhängig davon, wo sich die geschützten Dokumente oder die geschützten Quellen tatsächlich befinden, kann ein Benutzer mit einer geeigneten Zugriffsberechtigung auf die geschützten Dokumente oder Quellen vom Computer 100 oder der Einrichtung 102 mittels einer Anwendung (z.B. Internet Explorer, Microsoft Word oder Acrobat Reader) zugreifen.
Die Servermaschine 104, manchmal als ein lokaler Server bezeichnet, ist eine Recheneinheit, die zwischen ein Netzwerk 108 und das Netzwerk 110 gekoppelt ist. Gemäß einem Ausführungsbeispiel führt der Server 104 eine lokale Version eines Servermoduls einer gelinkten und kompilierten Version eines Ausführungsbeispiels der vorliegenden Erfindung aus. Wie nachfolgend beschrieben wird, ist eine lokale Version ein ortsgebundenes Servermodul, das dazu ausgelegt ist, einer Gruppe von bestimmten Benutzern oder Clientrechnern oder einem Standort zu dienen. Eine andere Servermaschine 106, auch als ein zentraler Server bezeichnet, ist eine Recheneinheit, die mit dem Netzwerk 108 gekoppelt ist. Der Server 106 führt das Servermodul aus und sieht eine zentralisierte Zugriffskontrollverwaltung (AC-Verwaltung) für eine gesamte Organisation oder ein gesamtes Unternehmen vor. Entsprechend bilden lokale Module auf lokalen Servern jeweils in Abstimmung mit dem Zentralserver einen verteilten Mechanismus, um eine verteilte AC-Verwaltung vorzusehen. Solch eine verteilte Zugriffkontrollverwaltung stellt die Verlässlichkeit, Zuverlässigkeit und Skalierbarkeit einer zentralisierten AC-Verwaltung sicher, die durch den zentralen Server für ein gesamtes Unternehmen oder einen Betriebsstandort abgewickelt wird. Wie ferner nachfolgend erläutert wird, unterhält das Servermodul auf dem zentralen Server eine Datenbank und steht mit dieser in Verbindung, wobei die Datenbank eine Liste von Benutzern und entsprechenden Zugriffsberechtigungen für die gesamte Organisation oder das Unternehmen und Regeln für Ordner oder Dateien aufweist, aber nicht darauf beschränkt ist, während ein lokales Modul dazu ausgelegt sein kann, einen Teil oder eine ganze Datenbank zu pflegen oder mit dieser in Verbindung zu treten, womit eine Gruppe von Benutzern lokal durch den lokalen Server bedient werden kann.
1B zeigt ein Szenario, bei dem ein zentraler Server und lokale Server verwendet werden. Das Szenario kann einem großen Unternehmen entsprechen, das mehrere geographische Standorte oder Büros besitzt. Ein zentraler Server 106 pflegt eine Datenbank, die die Zugriffsberechtigungen und die Zugriffsregeln im gesamten Unternehmen verwaltet. Eines der Merkmale bei diesem Szenario ist die zugrunde liegende Fähigkeit, Fehlertoleranz und eine effiziente AC-Verwaltung für eine große Gruppe von Benutzern vorzusehen. Anstelle eines zentralen Servers 106, der die AC-Verwaltung für jeden der Benutzer an einem einzigen Standort durchführt, wird eine Anzahl von lokalen Servern 104 (z.B. 104-A, 104-4, ... und 104-N) in einer verteilten Weise verwendet, um die einzelnen Standorte oder Büros zu versorgen. Jeder der lokalen Server 104 führt ein lokales Modul aus, das von dem Servermodul abgeleitet oder dupliziert ist, das auf dem zentralen Server 106 aufgeführt wird, um diese Benutzer zu verwalten, die lokal zu den jeweiligen Servern 104 sind. Der zentrale Server 106 kann die AC-Verwaltung zentralisieren, zusätzlich kann er falls notwendig die Benutzer verwalten.
Gemäß einem Ausführungsbeispiel kann ein lokales Modul eine angepasste Version des Servermoduls sein, das nur für einige Standorte oder eine Gruppe von Benutzern effizient läuft. Zum Beispiel ist ein lokaler Server 104-A nur für die Benutzer oder die Computer 102-A des Standorts A verantwortlich, während ein lokaler Server 104-B nur für die Benutzer oder Computer 102-B des Standorts B verantwortlich ist. Folglich wird die Zugangskontrolle nicht unterbrochen, auch wenn der zentrale Server 106 für Wartungsarbeiten heruntergefahren werden muss, oder zum Zeitpunkt, zu dem ein Benutzer Zugriff auf geschützte Dokumente benötigt, nicht in Betrieb ist. Die detaillierte Arbeitsweise des lokalen Servers 104 zusammen mit dem zentralen Server 106 wird nachfolgend weiter beschrieben.
Gemäß einem anderen Ausführungsbeispiel ist ein lokales Modul eine replizierte Version des Servermoduls und tauscht jede Aktualisierung mit dem Servermodul aus, wenn es verbunden ist (z.B. periodisch oder auf Anfrage). Abhängig von der Implementierung kann ein Teil oder das gesamte Servermodul auf einem lokalen Server dupliziert werden, um sicherzustellen, dass die Kommunikation mit Benutzern oder deren Clientmaschinen effizient und fehlertolerant ist. Folglich wird die Zugriffskontrolle nicht unterbrochen sein, sogar wenn der zentrale Server 106 für Wartungsarbeiten heruntergefahren werden muss oder zum Zeitpunkt, zu dem ein Benutzer Zugriff auf geschützte Dokumente benötigt, nicht in Betrieb ist. Zum Beispiel kann in solch einer Situation jeder der lokalen Server 104 befördert werden und die Stelle des zentralen Servers einnehmen. Wenn der zentrale Server 106 in Betrieb ist oder mit dem lokalen Servern 104 kommuniziert, werden Informationen, die auf den jeweiligen lokalen Servern über die Benutzer und deren Aktivitäten gesammelt wurden, zurück an den zentralen Server 106 gesendet. Die genaue Arbeitsweise des lokalen Servers 104 zusammen mit dem zentralen Server 106 wird bezüglich dieser Beziehung auch nachfolgend weiter erläutert.
1C zeigt eine Konfiguration, die für eine kleine Gruppe von Benutzern geeignet ist. Bei dieser Konfiguration werden keine lokalen Server verwendet. Ein Servercomputer 112 ist mit dem Servermodul geladen und jeder der Benutzer oder der Terminalrechner 116 (nur einer wird hier gezeigt) wird mit einem Clientmodul geladen. Folglich führt der Servercomputer 112 die AC-Verwaltung für jeden der Benutzer oder den Terminalcomputer 116 aus.
Es sollte bemerkt werden, dass es keine klare Unterscheidung zwischen einer kleinen Gruppe und einer großen Gruppe von Benutzern gibt, was die Zahl angeht. Durch die Beschreibung hierin wird der Fachmann verstehen, wie die AC-Verwaltung zwischen einer oder mehreren anderen Recheneinrichtungen aufzuteilen oder auszubalanzieren ist. Um die folgende Beschreibung der vorliegenden Erfindung zu vereinfachen, wird das in 1B gezeigte Szenario angenommen. Der Fachmann wird verstehen, dass die Beschreibung hierin ebenso auf 1C oder auf Situationen, bei denen andere mögliche Szenarien zwischen einem oder mehreren zentralen Servern oder einem oder mehreren lokalen Servern gewünscht wird, anwendbar ist.
1D zeigt interne Konstruktionsblöcke einer Recheneinrichtung 118, auf der ein Ausführungsbeispiel der vorliegenden Erfindung implementiert und ausgeführt werden kann. Die Einrichtung 118 kann einer Clienteinrichtung (z.B. Computer 100, 102 in 1A und 1B oder Computer 116 in 1C) oder einer Servereinrichtung (z.B. Server 104, 106 in 1A und 1B oder Server 112 in 1C) entsprechen. Wie in 1D gezeigt, umfasst die Einrichtung 118 eine Zentraleinheit (CPU) 122, die mit einem Datenbus 120 gekoppelt ist, und eine Einrichtungsschnittstelle 124. Die CPU 122 führt Instruktionen aus, um Daten zu verarbeiten, und verwaltet vielleicht für synchronisierte Operationen alle Einrichtungen und Schnittstellen, die mit dem Datenbus 120 gekoppelt sind. Die Instruktionen, die ausgeführt werden, können beispielsweise zu Treibern, zum Betriebssystem, zu Betriebsmitteln oder zu Anwendungen gehören. Eine Einrichtungsschnittstelle 124 kann mit einer externen Einrichtung gekoppelt sein, wie die Recheneinrichtung 102 der 1A, wodurch die geschützten Dokumente davon im (Haupt)Speicher 132 oder im Speicher 136 durch den Datenbus 120 empfangen werden können. Eine Anzeigeschnittstelle 126, eine Netzwerkschnittstelle 128, eine Druckerschnittstelle 130 und eine Diskettenlaufwerkschnittstelle 138 sind ebenfalls mit dem Datenbus 120 gekoppelt. Im Allgemeinen kann ein Clientmodul, ein lokales Modul oder ein Servermodul einer ausführbaren Version eines Ausführungsbeispiels der vorliegenden Erfindung im Speicher 136 durch die Diskettenlaufwerkschnittstelle 138, die Netzwerkschnittstelle 128, die Einrichtungsschnittstelle 124 oder andere Schnittstellen, die mit dem Datenbus 120 gekoppelt sind, gespeichert werden. Die Ausführung eines solchen Moduls durch die CPU 122 kann die Recheneinrichtung 118 veranlassen, wie bei der vorliegenden Erfindung gewünscht, zu arbeiten. Bei einem Ausführungsbeispiel sieht die Einrichtungsschnittstelle 124 eine Schnittstelle zum Kommunizieren mit einer Aufzeichnungseinrichtung 125 (z.B. einem Fingerabdrucksensor, einem Chipkartenleser oder einem Stimmenrekorder) vor, um die Authentifikation eines Benutzers der Recheneinrichtung 118 zu vereinfachen.
Der Hauptspeicher 132, wie zum Beispiel ein Speicher mit wahlfreiem Zugriff (random access memory) (RAM) ist auch mit dem Datenbus 120 gekoppelt, um der CPU 122 Instruktionen und Zugriff zum Datenspeicher 136 für Daten und andere Befehle zu liefern. Insbesondere wenn gespeicherte Anwendungsprogrammbefehle ausgeführt werden, wie zum Beispiel ein Dokumentsicherungsmodul bei der vorliegenden Erfindung, wird die CPU 122 veranlasst, die Daten zu manipulieren, um die bei der vorliegenden Erfindung erwarteten Ergebnisse zu erzielen. Ein Festwertspeicher (read only memory) (ROM) 134 wird zum Speichern ausführbarer Instruktionen vorgesehen, wie beispielsweise ein Basic Input/Output Operation System (BIOS) zum betreiben einer Tastatur 140, einer Anzeige 128 und einer Zeigeeinrichtung 142, falls diese existieren.
Bezug nehmend auf 2A, wird nun eine Abbildung des Sicherns eines erzeugten Dokuments 200 gezeigt. Nachdem das Dokument 200 mit einer Anwendung oder einem Autorensystem (z.B. Microsoft WORD) erstellt wurde, wird beim Starten eines „Speichern-", „Speichern als-" oder „ Schließen-" Befehls oder durch automatisches Speichern, das durch ein Betriebssystem, die Anwendung selbst oder eine Anwendung, die zuvor beim Server registriert wurde, aufgerufen wird, das erstellte Dokument 200 veranlasst, ein Sicherungsverfahren 201 zu durchlaufen. Das Sicherungsverfahren 201 beginnt mit einem Verschlüsselungsverfahren 202; nämlich das Dokument 200, das erstellt wurde oder in einen Speicher geschrieben wurde, wird durch eine Verschlüsselung mit einem Dateischlüssel verschlüsselt. Mit anderen Worten, das verschlüsselte Dokument kann nicht ohne den Dateischlüssel (z.B. einen Chiffrierschlüssel) geöffnet werden.
Eine Menge von Zugriffsregeln 204 werden für das Dokument 200 empfangen und sind einem Header 206 zugeordnet. Im Allgemeinen legen die Zugriffsregeln 204 fest oder bestimmen, wer und/oder wie auf das einmal gesicherte Dokument 200 zugegriffen werden kann. In einigen Fällen legen die Zugriffsregeln 204 auch fest oder bestimmen, wann oder wo auf das Dokument 200 zugegriffen werden kann. Typischerweise ist ein Header eine Dateistruktur geringen Umfangs und umfasst oder verlinkt vielleicht Sicherheitsinformationen über ein resultierendes geschütztes Dokument. Abhängig von einer exakten Implementierung können die Sicherheitsinformationen gänzlich in einem Header eingeschlossen sein oder durch einen Zeiger, der im Header eingeschlossen ist, darauf zeigen. Gemäß einem Ausführungsbeispiel sind die Zugriffsregeln 204 als Teil der Sicherheitsinformationen im Header 206 eingeschlossen. Die Sicherheitsinformationen umfassen ferner den Dateischlüssel und in einigen Fällen eine Offlinezugriffsberechtigung (z.B. in den Zugriffsregeln), sollte solch ein Zugriff von einem autorisierten Benutzer angefordert werden. Die Sicherheitsinformationen werden dann durch eine Verschlüsselung mit einem Benutzerschlüssel verschlüsselt, der einem autorisierten Benutzer zugeordnet ist, um verschlüsselte Sicherheitsinformationen 210 zu erzeugen. Der verschlüsselte Header wird, falls keine anderen Informationen hinzugefügt werden, an das verschlüsselte Dokument 212 angehängt, um ein geschütztes Dokument 208 zu erzeugen.
Es ist verständlich, dass eine Verschlüsselung basierend auf einem der vielen Verschlüsselungs/Entschlüsselungsverfahren implementiert werden kann. Beispiele für solche Verfahren können den Data-Encryption-Standart-Algorithmus (DES), die Blowfish-Block-Verschlüsselung und die Twofish-Verschlüsselung umfassen, sind jedoch nicht darauf beschränkt. Die Funktionsweise der vorliegenden Erfindung ist deshalb nicht auf eine Auswahl dieser häufig verwendeten Verschlüsselungs/Entschlüsselungsverfahren beschränkt. Jedes Verschlüsselungs-/Entschlüsselungsverfahren, das effektiv und zuverlässig ist, kann verwendet werden. Um unklare Aspekte der vorliegenden Erfindung zu vermeiden, werden deshalb die Details der Verschlüsselungs/Entschlüsselungsverfahren hier nicht weiter diskutiert.
Im Wesentlichen weist das geschützte Dokument 208 zwei Teile auf, dass Dokument selbst und die entsprechenden Sicherheitsinformationen hierfür, wobei beide in verschlüsselter Form vorliegen. Um auf das Dokument zugreifen zu können, muss man den Dateischlüssel erhalten, der verwendet wird, um das Dokument zu verschlüsseln, und nun in den verschlüsselten Sicherheitsinformationen eingeschlossen ist. Um den Dateischlüssel zu erhalten, muss man authentifiziert sein, um einen Benutzer- oder Gruppenschlüssel zu bekommen und einen Zugriffstest zu bestehen, bei dem die Zugriffsregeln der Sicherheitsinformationen gegen die Zugriffsberechtigung des Benutzers abgewogen werden.
Gemäß einem Ausführungsbeispiel werden die verschlüsselten Sicherheitsinformationen, die die Zugriffsregeln oder den Header aufweisen, zu Beginn des verschlüsselten Dokuments (Datenteil) platziert, um ein frühes Erkennen der geschützten Art eines geschützten Dokuments zu erleichtern. Einer der Vorteile einer solchen Platzierung ist es, einer Zugangsanwendung (z.B. einem Autoren- oder Anzeigensystem) es zu ermöglichen, sofort ein Dokumentsicherungsmodul zu aktivieren, um den Header zu entschlüsseln. Die Zugriffsregeln können bei der erfolgreichen Entschlüsselung des Headers mit einem authentifizierten Benutzerschlüssel gegen die Zugriffsberechtigung des Benutzers überprüft werden. Falls der Benutzer, der das geschützte Dokument angefordert hat, die geeignete Zugriffsberechtigung aufweist, werden die unverschlüsselten Inhalte des Dokuments in die Zugriffsanwendung geladen, anderenfalls wird eine Verweigerungsmitteilung (z.B eine Nachricht oder ein leeres Dokument) an den Benutzer gesendet. Trotzdem können die verschlüsselten Sicherheitsinformationen oder der Header überall in der Nähe oder im verschlüsselten Dokument platziert werden und kann manchmal nicht an den verschlüsselten Datenteil angrenzend eingeschlossen sein. Aufgrund der vorliegenden Erfindung ist der verschlüsselte Header immer an dem verschlüsselten Datenteil angehängt, die Sicherheitsinformationen bleiben nämlich bei dem Dokument, das geschützt wird. Dieser integrierte Mechanismus vereinfacht den Transport von geschützten Dokumenten zu andern Standorten, ohne den Verlust der darin enthaltenen Sicherheitsinformationen.
Eines der Merkmale der vorliegenden Erfindung ist, dass das Dokument, das geschützt wird, transparent für den Benutzer ist. Mit anderen Worten ist ein geschütztes Dokument oder eine Datei dazu ausgelegt, eine identische Dateierweiterung aufzuweisen, wie die Datei bevor sie geschützt wurde, so dass eine Anwendung, die dazu ausgelegt ist, auf die Datei zuzugreifen, ausgeführt werden kann, um auf die geschützte Datei zuzugreifen. Zum Beispiel kann auf ein neu erstelltes Microsoft Word Dokument xyz.doc durch eine Anwendung WINWORD.EXE zugegriffen werden. Nachdem es den Sicherungsprozess durchlaufen hat, wird das geschützte Dokument beibehalten, um denselben Dateinamen, z.B. xyz.doc zu erhalten, auf die immer noch durch die selbe Anwendung WINWORD.EXE zugegriffen werden kann, außer das nun die Anwendung damit scheitern kann, das Dokument zu öffnen, falls die Zugriffsregeln darin einem Benutzer nicht erlauben, dies zu tun.
Alternativ erscheint ein geschütztes Dokument in einem Ordner im Wesentlichen ähnlich zu einem regulären Dokument und startet dieselbe Anwendung, wenn es aktiviert wird, außer dass die Anwendung scheitern würde, auf die Inhalte darin zuzugreifen. Zum Beispiel können Icons oder Dateinamen von geschützten Dokumenten in einer unterschiedlichen Farbe oder mit einer optischen Kennzeichnung erscheinen, um sie von nicht-geschützten Dokumenten zu unterscheiden. Wenn ein geschütztes Dokument unabsichtlich auf einem Rechner oder einem lesbaren Medium (z.B. CD oder Diskette) landet, würde auf das geschützte Dokument kein erfolgreicher Zugriff möglich sein, falls ein Benutzer des Rechners oder ein Rechner zum Lesen des lesbaren Mediums keinen geeigneten Benutzerschlüssel aufweist oder falls der Benutzer nicht authentifiziert werden kann.
Es sollte erwähnt werden, dass der Header in einem geschützten Dokument unterschiedlich aufgebaut sein kann als für einige Formate hierin oben beschreiben wurde, ohne von den Grundsätzen der vorliegenden Erfindung abzuweichen. Zum Beispiel kann ein geschütztes Dokument einen Header mit einer Vielzahl von verschlüsselten Headern aufweisen, wobei jeder nur durch einen bestimmten Benutzer oder eine Benutzergruppe aufgerufen werden kann. Alternativ kann ein Header in einem geschützten Dokument mehr als einen Satz von Sicherheitsinformationen aufweisen, wobei jeder Satz für einen bestimmten Benutzer oder eine Benutzergruppe ist, während ein einziger Dateischlüssel von allen verwendet werden kann. Einige oder alle der Zugriffsregeln können durch Benutzer, die auf das geschützte Dokument zugreifen können, betrachtet beziehungsweise aktualisiert werden.
Wie nachfolgend weiter beschreiben wird, benötigt ein Benutzer für den Zugriff auf ein geschütztes Dokument einen Benutzerschlüssel oder Benutzerschlüssel, um die verschlüsselten Sicherheitsinformationen oder den Header zuerst zu entschlüsseln. Bei einem Ausführungsbeispiel sind der Schlüssel oder die Schlüssel einem Benutzerlogin auf einem lokalen Server oder einem zentralen Server zugeordnet. Eine entsprechende Zugriffsberechtigung, die dem Benutzer zugeordnet ist, wird validiert, falls der Benutzer authentifiziert wurde oder sofort bei dem Server registriert wurde und sich richtig angemeldet hat. Abhängig von der Erlaubnis und den Zugriffsberechtigungen legen die Zugriffsregeln in dem gesicherten Dokument fest, ob die Inhalte in dem Dokument dem Benutzer gezeigt werden sollen.
Gemäß einem Ausführungsbeispiel liegen die Zugriffsregeln in einer Markupsprache, wie HTML und SGML, vor. Bei einem bevorzugten Ausführungsbeispiel handelt es sich bei der Markupsprache um Extensible Access Control Markuplanguage (XACMAL), die im Wesentlichen eine XML Spezifikation zum Ausdrücken von Richtlinien für einen Informationszugriff ist. XACML kann im Wesentlichen eine fein abgestufte Kontrolle der autorisierten Aktivitäten, den Effekt der Merkmale des Zugriffsanforderers, das Protokoll, über das die Anfrage gemacht wurde, eine Autorisierung, basierend auf Klassen von Aktivitäten und Inhaltsintrospektion (z.B. Autorisierung, basierend auf sowohl dem Anforderer als auch den Attributwerten innerhalb des Ziels, wo die Werte der Attribute für den Richtlinienschreiber nicht bekannt sein können) ansprechen. Zusätzlich kann XACML ein Richtlinienautorisierungsmodell vorschlagen, um Implementierer des Autorisierungsmechanismusses zu leiten.
Nachfolgend wird ein Beispiel für die Zugriffsregeln, die in XACML ausgedrückt werden, gezeigt:
Die eigentliche Bedeutung des obigen Beispiels ist, dass „jedes neue durch ACCTG (Buchhaltungsgruppe) erstellte PDF-Dokument von MKTG (Marketinggruppe) und von PR (public relationship Gruppe) betrachtet und gedruckt werden kann, unter der Bedingung, dass die Dokumente über gesichertes HTTP heruntergeladen werden und auf diese vor 5:00 PM an den Tagen vor dem 3. August 2002 zugegriffen wurde."
2B zeigt eine exemplarische Struktur eines geschützten Dokuments 220, die einen Header 222 und einen verschlüsselten Datenteil aufweist. Der Header 222 weist einen Sicherheitsinformationsblock 226 mit verschlüsselten Sicherheitsinformationen auf, die den Zugriff auf das verschlüsselte Dokument 224 hauptsächlich kontrollieren. Bei einer bestimmten Implementierung weist der Header 222 eine Markierung 227 (z.B. einen vorher festgelegten Satz von Daten) auf, um anzudeuten, dass das Dokument 220 geschützt ist. Der Sicherheitsinformationsblock 226 weist ein oder mehrere Benutzer-IDs 228, Zugriffsregeln 229, wenigstens einen Dateischlüssel 230 und andere Informationen 231 auf. Die Benuter-IDs 228 beinhalten eine Liste von autorisierten Benutzern, gegen die Zugriffsregeln 229 abgewogen werden können, bevor der Dateischlüssel 230 abgerufen werden kann. Die Zugriffsregeln 229 legen wenigstens fest, wer und wie auf das geschützte Dokument 224 zugreifen kann bzw. zugegriffen werden kann. Abhängig von einer Implementierung können die anderen Informationen 231 verwendet werden, um andere Informationen aufzuweisen, die einen gesicherten Zugriff auf das verschlüsselte Dokument 224 vereinfachen, wobei das Beispiel Versionsnummern oder Autorenidentifikatoren aufweisen kann.
Im Allgemeinen ist ein Dokument mit einer Verschlüsslung (z.B. einem symmetrischen oder asymmetrischen Verschlüsselungsverfahren) verschlüsselt. Verschlüsslung ist die Transformation von Daten in eine Form, so dass es ohne entsprechendes Wissen (z.B. einen Schlüssel) unmöglich ist, sie zu lesen. Ihr Zweck ist es, den Datenschutz zu garantieren, indem Informationen von jedem versteckt gehalten werden, für den diese nicht gedacht sind, sogar für jene, die Zugriff auf andere verschlüsselte Daten besitzen. Entschlüsslung ist das Gegenteil von Verschlüsslung. Verschlüsslung und Entschlüsslung benötigt im Allgemeinen die Verwendung von einigen geheimen Informationen, die als Schlüssel bezeichnet werden. Bei einigen Veschlüsselungsmechanismen wird der gleiche Schlüssel für Verschlüsslung als auch Entschlüsslung verwendet; bei anderen Mechanismen sind die Schlüssel, die für Verschlüsslung und Entschlüsslung verwendet werden, unterschiedlich. Zum Zwecke der Dokumentzugriffskontrolle kann der Schlüssel oder können die Schlüssel, gemeinsam als Dateischlüssel bezeichnet, der gleiche oder unterschiedliche Schlüssel für die Verschlüsslung und die Entschlüsslung sein und sind vorzugsweise in den Sicherheitsinformationen eingeschlossen, die im Header enthalten sind oder auf die der Header verweist, und einmal erhalten, zum Entschlüsseln des verschlüsselten Dokuments verwendet werden kann.
Um sicherzustellen, dass der Schlüssel nicht von jedem erhalten werden kann oder für jeden zugänglich ist, wird der Schlüssel selbst durch die Zugriffsberechtigungen und -regeln geschützt. Falls ein Benutzer, der das Dokument anfordert, die geeigneten Zugriffsberechtigungen aufweist, die durch die Zugriffsregeln bewilligt werden können, wird der Schlüssel abgerufen, um mit der Entschlüsslung des verschlüsselten Dokuments fortzufahren.
Um sicherzustellen, dass die Sicherheitsinformationen oder der Header (falls keine Kennzeichnung implementiert ist) nicht leicht erkennbar ist, wird der Header selbst mit einer Verschlüsslung verschlüsselt. Abhängig von einer exakten Implementierung kann die Verschlüsslung des Headers identisch oder nicht identisch zu der sein, die für das Dokument verwendet wird. Der Schlüssel (als ein Benutzerschlüssel bezeichnet) zum Entschlüsseln des verschlüsselten Headers kann beispielsweise in einem lokalen Speicher der Terminaleinrichtung gespeichert sein und wird nur aktiviert, wenn der Benutzer, dem er zugeordnet ist, authentifiziert ist. Folglich kann nur ein autorisierter Benutzer auf das geschützte Dokument zugreifen.
Wahlweise können die zwei verschlüsselten Teile (z.B. der verschlüsselte Header und das verschlüsselte Dokument) noch einmal verschlüsselt sein und nur durch einen Benutzerschlüssel entschlüsselt werden. Bei einer anderen Option können die verschlüsselten Teile (entweder einer oder alle) durch einen Fehlerprüfteil 225 auf Fehler geprüft werden, wie die Verwendung einer zyklischer Redundanzprüfung zum Sicherstellen, dass keine Fehler in das verschlüsselte Teil/in die verschlüsselten Teile oder das gesicherte Dokument 220 geraten sind.
2C.1 stellt eine exemplarische Struktur eines geschützten Dokuments 236 dar, das einen Header 238 und einen verschlüsselten Teil 239 aufweist. Der Header 238 erlaubt vier verschiedene Einträge 240–243, um auf das geschützte Dokument 236 zuzugreifen. Die vier verschiedenen Einträge 240–243 weisen zwei individuelle Benutzer und zwei Gruppenbenutzer auf, wobei die Gruppenbenutzer bedeuten, dass jeder in einer Gruppe auf das Dokument mit den gleichen Berechtigungen zugreifen könnte. Die zwei individuellen Benutzer haben zwei unterschiedliche Zugriffsberechtigungen. Ein Benutzer A kann das Dokument nur lesen, während ein Benutzer D das Dokument lesen und bearbeiten kann. Während jeder in Gruppe B das Dokument lesen und bearbeiten kann, kann jeder in Gruppe C das Dokument nur drucken. Jeder Eintrag hat eine entsprechende ID, um den entsprechenden Benutzern und ihren eigenen Zugriffsregeln zugeordnet zu werden. Gemäß einem Ausführungsbeispiel ist der Header 238 in dem geschützten Dokument 236 in vier entsprechende Sub-Header 240–243 unterteilt, wobei jeder für einen Benutzer oder eine Gruppe bestimmt ist und einen Dateischlüssel darin enthält und mit einem separaten Benutzerschlüssel verschlüsselt ist. Mit anderen Worten wird nur der Header 240, der für Benutzer A bestimmt ist, mit einem Benutzerschlüssel (z.B. Schlüssel A) entschlüsselt, der dem Benutzer A gehört und den Benutzer authentifiziert, wenn Benutzer A das geschützte Dokument 236 anfordert; der Rest der Sub-Header 241–243 bleibt verschlüsselt. Auf jeden Fall kann das geschützte Dokument mit einem Schlüssel (z.B. Dateischlüssel) entschlüsselt werden, der vom entschlüsselten Sub-Header abgerufen wird, sobald einer der Sub-Header 241–243 entschlüsselt ist.
2C.2 stellt eine andere exemplarische Struktur eines geschützten Dokuments 250 dar, das einen Header 252 und einen verschlüsselten Teil 254 aufweist. Der Header 252 weist ferner einen Benutzerblock 256 und einen Regelblock 258 auf. Der Benutzerblock 256 weist einen unverschlüsselten und einen verschlüsselten Teil 260 auf. Der unverschlüsselte Teil weist (eine) Benutzer/Gruppen-ID(s) und (eine) Blockversionsnummer(n) auf. Der verschlüsselte Teil 260 ist mit einem Benutzerschlüssel gemäß einer Verschlüsslung verschlüsselt. Falls es eine Anzahl von N unterschiedlichen Gruppen/Benutzern mit möglichen unterschiedlichen Zugriffsberechtigungen gibt, wird es N solche verschlüsselte Teile geben, wobei jedes mit einem entsprechenden Benutzerschlüssel verschlüsselt ist. Der verschlüsselte Teil 260 weist unter anderen Dingen den Dateischlüssel auf, der, einmal erhalten, verwendet werden kann, um den verschlüsselten Datenteil 254 zu entschlüsseln. Zusätzlich weist der verschlüsselte Teil 260 die Verschlüsslungsinformationen auf, um die Verschlüsslung/Entschlüsslung des verschlüsselten Teils 254 zu vereinfachen.
Der Regelblock 258 kann einzeln verschlüsselt sein oder mit dem verschlüsselten Dokument 254 verschlüsselt sein, wobei der Dateischlüssel verwendet wird, der schließlich im Benutzerblock 256 gespeichert ist. Einer der Vorteile der Verwendung des Dateischlüssels anstelle des individuellen Benutzerschlüssels, um den Regelblock 258 zu verschlüsseln, ist einen Mechanismus für alle autorisierten Benutzer/Gruppen bereitzustellen, um zu sehen, wer welche Zugriffsregeln und Rechte besitzt. Gemäß einem Ausführungsbeispiel kann eine Zufallszahl oder ein Ergebnis aus einem Initialisierungsprozess (z.B. ein Vektor) zu Beginn des Regelblocks 258 hinzugefügt werden, um einen Angriff gegen den Regelblock 258 zu verhindern.
2C.3 zeigt einen exemplarischen Header 266, der der zweiten Dokumentstruktur von 2C.2 entspricht. Der Header 266 weist eine Zahl von Segmenten auf. Zusätzlich zu diesen unverschlüsselten Segmenten sind Segmente 267–269 verschlüsselt. Insbesondere ist die geschützte Datei dazu ausgelegt, durch zwei Gruppen abgerufen zu werden: Marketing und Technik. Allen Benutzern in den zwei Gruppen sollte es möglich sein, auf die Datei mit einem authentifizierten Benutzerschlüssel zuzugreifen. Gemäß einem Ausführungsbeispiel ist das Segment 267 mit einem Benutzerschlüssel verschlüsselt, der speziell für Marketingbenutzer bestimmt ist, während das Segment 268 mit einem Benutzerschlüssel verschlüsselt ist, der speziell für die Technik bestimmt ist. Trotzdem können beide der Segmente 267 und 268 jeweils mit einem einzelnen Benutzerschlüssel entschlüsselt werden. Auf jeden Fall weisen die verschlüsselten Segmente im Header 266 einen Dateischlüssel 270 zusätzlich zu entsprechenden Verschlüsselungsinformationen über die verwendete Verschlüsslung auf.
Der Regelblock (z.B. ein Segment) 269 weist zwei Sätze 271 und 272 von Zugriffsregeln (Details der Regeln werden nicht gezeigt) auf, einen für jeden der zwei Benutzergruppen. Der Regelblock 269 wird mit einem Schlüssel verschlüsselt, wie dem Dateischlüssel 270 oder irgendeinen anderen Schlüssel, abhängig davon, welche Verschlüsslung verwendet wird. Gemäß einem Ausführungsbeispiel sollte einer der verschlüsselten Segmente in den Benutzerblöcken 267 und 268 mit einem authentifizierten Benutzerschlüssel entschlüsselt sein 269, um den Dateischlüssel 270 abzurufen. Bevor der Dateischlüssel 270 für die Entschlüsslung des verschlüsselten Datenteils verwendet wird, wird der Regelblock 269 mit dem Dateischlüssel 270 entschlüsselt. Die Zugriffsregeln werden dann gegen die Zugriffsberechtigung des Benutzers abgewogen. Falls der Benutzer nicht berechtigt ist, auf das geschützte Dokument zuzugreifen, wird der Dateischlüssel 270 nicht für die Entschlüsselung des verschlüsselten Datenteils verwendet. Falls dem Benutzer gestattet ist, auf das geschützte Dokument zuzugreifen, wird der Dateischlüssel 270 dann für die Entschlüsslung des verschlüsselten Datenteils verwendet.
Es sollte erwähnt werden, dass 2C.1, 2C.2 und 2C.3 nur exemplarische Strukturen von geschützten Dokumenten sind. Bei einer alternativen Implementierung kann der Dateischlüssel, der notwendig ist, um das Dokument zu entschlüsseln, allein verschlüsselt sein und in einem separaten Block im Header aufbewahrt werden. Der Dateischlüssel wird abrufbar, wenn einer der Sub-Header (der den Dateischlüssel nicht länger aufbewahrt) entschlüsselt ist. Bei noch einer anderen alternativen Implementierung kann eine Kennzeichnung oder Nachricht oder können mehrere Kennzeichnungen oder Nachrichten in den Sicherheitsinformationen eines geschützten Dokuments eingeschlossen sein, wobei die Kennzeichnungen oder Nachrichten angeben, wie sicher das geschützte Dokument sein kann. Ein geschütztes Dokument kann zum Beispiel als ein normales, ein vertrauliches, ein geheimes oder ein streng geheimes Dokument klassifiziert werden, das unterschiedliche Zugriffsebenen benötigt. Dementsprechend können mehrere Ebenen von Verschlüsslung für den Dateischlüssel und/oder die Zugriffsregeln verwendet werden, um sicherzustellen, dass nur einem autorisierten Benutzer oder Benutzern Zugriff auf das geschützte Dokument erlaubt wird. Andere Implementierungsmöglichkeiten sind ebenfalls möglich, und zwar in Anbetracht der hierin erfolgenden Beschreibung, und sollen nicht der Reihe nach aufgelistet werden, um unklare Aspekte der vorliegenden Erfindung zu vermeiden.
2D zeigt eine exemplarische graphische Benutzeroberfläche (GUI) 275 die verwendet werden kann, um Zugriffsregeln festzulegen oder zu erstellen. Die GUI 275 kann aktiviert und/oder angezeigt werden, wenn ein Benutzer ein geschütztes Dokument fertigstellt und bereit ist, es an einem bestimmten Platz (z.B. einem Ordner oder einem Repository) zu speichern oder ein unverschlüsseltes oder neues Dokument bereit ist, an einen bestimmten Platz abgelegt zu werden. Gemäß einem Ausführungsbeispiel werden alle Daten am bestimmten Platz im Wesentlichen die gleichen Zugriffsregeln aufweisen. Abhängig von einer genauen Implementierung kann die GUI 275 dynamisch generiert werden oder durch den zentralen Server kontrollierte werden, um Benutzer einzuschließen, die das Bedürfnis haben können, auf die Daten an diesen ausgewiesenen Ort zuzugreifen. Die GUI 275 vereinfacht das Festlegen der Zugriffsregeln, die der Benutzer beabsichtigt, zu vergeben. Wie in 2D gezeigt, kann eine ausgewählte Benutzergruppe ausgewählt werden, um zu einer Zugriffsliste 276 hinzugefügt zu werden. Aktionen 277 legen unter Verwendung der GUI 275 fest, wie auf Daten an dem bestimmten Platz zugegriffen werden kann. Die Aktionen 277 können unter Verwendung der GUI 275 gesetzt werden. Folglich können die Parameter, die die Zugriffsregeln festlegen, graphisch festgelegt werden und nun von der GUI 277 entnommen werden, um in das Dokument (z.B. in die Sicherheitsinformation des Headers) eingeschlossen werden zu können. Bei einem Ausführungsbeispiel werden die Zugriffsregeln in einer temporären Datei (z.B. in einem Markupsprachformat) aufbewahrt, die einem bestimmten Ordner zugeordnet ist und wahlweise verschlüsselt ist. Die temporäre Datei kann dann an den verschlüsselten Teil angehängt werden, wenn das Dokument als eine geschützte Datei in einen lokalen Speicher geschrieben wird.
Manchmal kann ein Benutzer das Bedürfnis haben, einen Satz von vorher festgelegten Zugriffsregeln zu exportieren oder zu importieren. In diesem Fall kann die temporäre Datei, die die Zugriffsregeln aufweist, exportiert, heruntergeladen oder auf ein anderes Gerät oder in einen anderen Ordner importiert werden. Das Exportieren/Importieren von Zugriffsregeln bietet für einen Benutzer Vorteile, da der Benutzer die Zugriffsregeln nicht von Grund auf erstellen muss.
Eines der Merkmale zum Einrichten eines Satzes von Zugriffregeln für einen bestimmten Ort oder Ordner ist, einen Sicherungsmechanismus für Benutzer zum Erstellen von gesicherten Dokumenten bereitzustellen, ohne anzugeben wer/wie/wann/wo auf die Dokumente zugreifen kann/zugegriffen werden kann. 2E beschreibt eine Verzeichnisstruktur 280 mit einem unverschlüsselten Ordner 281 und einen gesicherten Ordner 282. Der unverschlüsselte Ordner 281 ist im Wesentlichen zum Speichern von Systemdateien oder Dateien, die man nicht beabsichtigt zu verschlüsseln. Der geschützte Ordner 282 weist mehrere Unterordner auf, die für jede Zugriffsschicht entsprechend strukturiert werden können. Zum Beispiel kann auf ein Dokument „employee List" jeder zugreifen, der Zugriffsberechtigungen für Zugriffebene A besitzt. Ähnlich kann jeder auf die Dokumente „product milestone" und „product specification" oder „product schedule" zugreifen, der eine Zugriffsberechtigung für Ordner 284 der Zugriffsebene B beziehungsweise für Ordner 286 der Zugriffsebene C besitzt. Ähnlich wird ein erstelltes Dokument, falls es im Ordner „design team 2" platziert wird, automatisch mit den entsprechenden Zugriffsregeln verschlüsselt, die nur denen den Zugriff gestatten, die Zugriffsberechtigungen für die Zugriffsebene B besitzen. Bei diesem Ausführungsbeispiel sind die Zugriffsebenen hierarchisch, was bedeutet, dass ein Benutzer mit Autorisierung für Zugriffsebene A nicht nur auf Elemente der Zugriffsebene A zugreifen kann, sondern auch auf die niedrigeren Zugriffsebenen B und C, die eine Untermenge der Zugriffsebene A sind.
Anders als bei Systemen gemäß dem Stand der Technik, bei denen geschützte Dokumente durch ein Verschlüsselungsverfahren verschlüsselt werden, das durch einen Benutzer gestartet wird, besteht eines der Merkmale bei der vorliegenden Erfindung darin, das ein Verschlüsselungsverfahren (z.B. Verschlüsslung/Entschlüsslungsverfahren) aktiviert wird, das, soweit es den Benutzer betrifft, transparent ist. Mit anderen Worten, der Benutzer nimmt nicht wahr, dass ein Dokument durch das Verschlüsslungsverfahren geschützt wird, während es in einen Speicher geschrieben wird.
3 zeigt eine exemplarische Implementierung 300, wie ein Dokumentsicherungsmodul (DSM) 302 mit einem Betriebssystem 304 (z.B. WINDOWS 2000) interagiert und darin betrieben wird, um sicherzustellen, dass ein Dokument in einer Weise geschützt wird, die transparent für den Benutzer ist.
Eine Anwendung 306 (z.B. eine am Server registrierte Anwendung wie Microsoft Word) arbeitet über ein Betriebssystem (OS) 304 und kann aktiviert werden, um auf ein in einem Speicher 308 gespeichertes Dokument zuzugreifen. Der Speicher 308 kann ein lokaler Speicherplatz (z.B. Festplatte) sein oder sich entfernt befinden (z.B. anderes Gerät). Abhängig von der Sicherheitsart (geschützt contra nicht-geschützt) des Dokuments, auf das zugegriffen wird, kann das DSM 302 ein Verschlüsselungsmodul 310 aktivieren. Gemäß einem Ausführungsbeispiel ist das DSM 302 in vielerlei Art analog zu einem Gerätetreiber, der allgemeinere Eingabe/Ausgabebefehle eines Betriebssystems in Nachrichten umwandelt, die ein unterstütztes Gerät/Modul verstehen kann. Abhängig von dem OS, in dem die vorliegende Erfindung implementiert wird, kann das DSM als ein V × D (virtueller Gerätetreiber), einem Kernel oder in einem anderen geeigneten Format implementiert werden. Das Verschlüsselungsmodul 310 ist in den DSM 302 eingeschlossen oder wird durch das DSM 302 kontrolliert und kann für Operationen aktiviert werden, wenn ein geschütztes Dokument betroffen ist.
Ein Benutzer wählt im Betrieb ein geschütztes Dokument aus, das einer Anwendung 306 (z.B. MS WORD, PowerPoint oder Drucken) zugeordnet ist. Die Anwendung 306 arbeitet mit dem geschützten Dokument, wobei ein API (z.B. createFile, ein Common Dialog File Open Dialog in der Win32 API von MS Windows) aufgerufen wird, um auf den Installable File System (IFS) Manager 312 zuzugreifen. Falls festgestellt wird, dass eine „Öffnen"-Anfrage von der Anwendung 306 getätigt wird, wird die Anfrage an einen geeigneten Dateisystemtreiber (FSD) 314 weitergereicht, um auf das angeforderte, geschützte Dokument zuzugreifen. Zur gleichen Zeit wird das Verschlüsselungsmodul 310 aktiviert und ein authentifizierter Benutzerschlüssel wird von einem lokalen Speicher abgerufen, um den Header in dem angefragten, geschützten Dokument zu entschlüsseln. Wenn der verschlüsselte Header entschlüsselt ist und die Zugriffregeln darin erfolgreich gegen die Zugriffsrechte des Benutzers abgewogen wurden, wird dann ein Dateischlüssel aus dem Header des geschützten Dokuments abgerufen und das Verschlüsselungsmodul 310 fährt fort, das verschlüsselte Dokument in dem DSM 302 zu entschlüsseln. Die unverschlüsselten Inhalte werden dann an die Anwendung 306 durch den IFS Manager 312 zurückgegeben. Falls die Anwendung 306 zum Beispiel ein Autorenwerkzeug ist, werden die unverschlüsselten Inhalte angezeigt. Falls die Anwendung 306 ein Druckwerkzeug ist, werden die unverschlüsselten Inhalte an einen bestimmten Drucker geschickt.
Wenn erkannt wird, dass eine „Neu"-Anfrage gemacht wurde, was bedeutet, dass ein geschütztes Dokument erstellt oder verfasst wird, wird ein Dateischlüssel in dem DSM 302 (z.B. durch das Verschlüsselungsmodul 310) erzeugt und der Dateischlüssel wird danach verwendet, um die Inhalte in einem Dokument zu verschlüsseln, das erstellt wurde. Um sicherzustellen, dass der lokale Speicher immer die verschlüsselten Dokumente aufweist, wird jedes Mal eine „Schreiben"-Anfrage (z.B. ein „Speichern"-Befehl in Microsoft Word) durch einen Benutzer oder automatisch durch die Anwendung 306 oder das OS 304 gemacht, egal welche Inhalte in dem Dokument, das verarbeitet oder verfasst wird, durch das Verschlüsslungsmodul 310 mit dem Dateischlüssel im DSM 302 verschlüsselt werden. Wenn eine „Schließen"-Anfrage getätigt wird, wird der Dateischlüssel in einem Header gespeichert, egal welche Zugriffsregeln er beinhaltet, die der Benutzer darauf angewendet hat. Der Header wird dann mit einem authentifizierten Benutzerschlüssel verschlüsselt und an das verschlüsselte Dokument angehängt, bevor das Dokument zum Speichern im Speicher 308 (z.B. ein Ordner oder eine vorgesehene Speicherstelle) an die geeignete FSD (z.B. 314) gesendet wird. Als Ergebnis wird ein geschütztes Dokument erstellt.
Bei einem anderen Ausführungsbeispiel kann ein Betriebssystem-Zugriff (OS-Zugriff), bekannt als die ProcessID-Eigenschaft, verwendet werden, um eine Anwendung (als ein Argument der AppActivate-Methode) zu aktivieren. Der Parameter ProcessID identifiziert die Anwendung und eine Ereignisbehandlungsroutine hiervon übernimmt notwendige Parameter, um den OS-Zugriff zum Installable File System (IFS) Manager 312 fortzusetzen, der verantwortlich für die Vermittlung des Zugriffs verschiedener Dateisystemkomponenten ist. Insbesondere ist der IFS Manager 312 dazu ausgelegt, als ein Einstiegspunkt für Prozesse, wie das Öffnen, das Schließen, das Lesen, das Schreiben von Dateien und etc. zu agieren. Mit einem oder mehreren weitergegebenen Kennzeichnungen oder Parametern aktiviert der Zugriff das DSM 302. Falls das Dokument, auf das die Anwendung zugreift, regulär (nicht geschützt) ist, wird das Dokument von einem der Dateisystemtreiber (FSD) (z.B. FSD 314) abgerufen und durch das DSM 302 weitergeleitet und anschließend durch den IFS Manager 312 in die Anwendung geladen. Wenn das Dokument, auf das durch die Anwendung zugegriffen wird, andererseits geschützt ist, aktiviert das DSM 302 das Verschlüsslungsmodul 310 und fährt fort einen autorisierten Benutzerschlüssel zu erhalten, um die Zugriffsregeln darin abzurufen. Wenn die Zugriffsberechtigungen den Zugriffsregeln genügen, wird ein Dateischlüssel abgerufen, um den verschlüsselten Datenteil des geschützten Dokuments durch die Verschlüsslung zu entschlüsseln. Als Ergebnis wird der Datenteil oder das Dokument in unverschlüsseltem Zustand durch den IFS-Manager 312 in die Anwendung geladen.
Gemäß einem Ausführungsbeispiel befindet sich der DSM 302 auf einer lokalen Platte (z.B. Speicher 136 von 1D) in einer Datei, die wie eine dynamisch gelinkte Bibliothek (DLL) strukturiert ist, typischerweise mit einer SYS oder einer IFS Erweiterung und während der Systeminitialisierung geladen wird. Sobald das DSM 302 installiert und initialisiert ist, kommuniziert ein Kernel mit ihm bezüglich logischer Anfragen für das Öffnen, Lesen, Schreiben, Suchen, Schließen von Dateien und so weiter. Durch den IFS-Manager 312 übersetzt der FSD 314 diese Anfragen – unter Verwendung von Kontrollstrukturen und Tabellen, die sich auf den Datenträger selbst befinden – in Anfragen zum Lesen und Schreiben von Sektoren, für die er spezielle Kerneleinstiegspunkte, File System Helpers (FsHlps) genannt, aufrufen kann. Der Kernel reicht die Anforderungen für Sektor E/A an einen geeigneten Gerätetreiber weiter und gibt die Ergebnisse (z.B. das angeforderte Dokument) an den FSD 314 zurück. Beim Empfangen der Ergebnisse vom FSD 314, die anzeigen, dass das angeforderte Dokument geschützt ist, aktiviert das DSM 302 das darin eingeschlossene Verschlüsselungsmodul 310, um das Dokument zu entschlüsseln, falls dies durch die Zugriffsregeln im geschützten Dokument erlaubt wird.
4A zeigt ein Ablaufdiagramm eines Verfahrens 400 zum Schützen eines Dokuments, das gemäß einem Ausführungsbeispiel der vorliegenden Erfindung erstellt wird. Bei 402 wird ein leeres Dokument durch eine Autorenanwendung geöffnet oder erstellt, die durch einen Benutzer ausgewählt oder aktiviert wird. Bei einem bevorzugten Verfahren kann der Benutzer das Dokument in einem Ordner speichern, der bereits mit einem Satz von Zugriffsregeln eingerichtet wurde. Bei 404 wird der Satz von vorher festgelegten Zugriffsregeln empfangen, vorzugsweise in einer Markupsprache. Wie oben beschrieben, können die Zugriffsregeln auch durch Importieren einer zuvor erstellten Datei empfangen werden, die die gewünschten Zugriffsregeln, Vorgaben der Benutzerzugriffsberechtigungen oder individuell erstellte Benutzerzugriffsberechtigungen aufweisen.
Bei 406 wird von einem Verschlüsslungsmodul für das Dokument ein geheimer Chiffrierschlüssel (z.B. ein Dateischlüssel) erzeugt und typischerweise in einer temporären Datei gespeichert, auf die ein gewöhnlicher Benutzer üblicherweise nicht zugreifen kann. Die temporäre Datei wird automatisch gelöscht, wenn das geschützte Dokument fertig ist (z.B. bei einem „Schließen"-Befehl der Anwendung). Bei 408 wird das Dokument überprüft, um zu sehen, ob eine Anfrage, das Dokument in den lokalen Speicher zu schreiben, gemacht wurde. Falls solch eine Anfrage festgestellt wird (die manuell durch den Benutzer oder periodisch durch das Autorenwerkzeug oder ein OS getätigt werden kann), wird das Dokument mit dem Dateischlüssel bei 410 verschlüsselt. Einer der Merkmale der vorliegenden Erfindung ist, dass das gespeicherte Dokument immer im Speicher verschlüsselt ist, sogar wenn dieses immer noch bearbeitet (z.B. verfasst, editiert oder überarbeitet) wird. Wenn der Benutzer mit dem Dokument fertig ist, wird eine „Schließen"-Anfrage aktiviert, um das Dokument zu schließen. Bei 412 wird eine solche Anfrage festgestellt. Sobald solch eine Anfrage empfangen wird, bedeutet dies, dass eine geschützte Version des Dokuments in den Speicher geschrieben wird. Bei 413 sind die Zugriffsregeln und der Dateischlüssel in die Sicherheitsinformationen eingeschlossen, die mit dem authentifizierten Benutzerschlüssel verschlüsselt werden. Abhängig von der Implementierung können Kennzeichnung oder Signatur und die Sicherungsinformationen im Header eingeschlossen sein. Wahlweise kann der Header die Sicherheitsinformationen ohne eine Kennzeichnung aufweisen. Bei 414 wird der Header an das verschlüsselte Dokument aus 410 angehängt und das geschützte Dokument wird danach bei 418 in den Speicher gelegt.
Wie oben beschrieben weist das geschützte Dokument zwei verschlüsselte Teile auf, den Header mit verschlüsselten Sicherheitsinformationen und den verschlüsselten Datenteil (z.B. das verschlüsselte Dokument). Die zwei Teile in den geschützten Dokumenten werden jeweils mit zwei unterschiedlichen Schlüsseln verschlüsselt, dem Dateischlüssel und dem Benutzerschlüssel. Alternativ können die zwei verschlüsselten Teile nochmals mit einem anderen Schlüssel (oder durch Verwenden desselben Benutzerschlüssels) bei 416 verschlüsselt werden.
Bei dem Fall, dass es eine Anzahl von Zugriffsregelsätzen gibt, jeder für einen bestimmten Benutzer oder eine Gruppe von Benutzern, ist es verständlich, dass die verschlüsselten Zugriffsregeln bei 413 mit anderen Sätzen von verschlüsselten Zugriffsregeln in einen Regelblock eingegliedert werden, wie in 2C.2 dargestellt. So beeinflusst ein Zugriff von einem Benutzer oder einer Gruppe nicht andere Benutzer oder Gruppen, aber die anderen Benutzer oder Gruppen werden vielleicht eine aktualisierte Version des verschlüsselten Dokuments sehen.
4B zeigt ein Ablaufdiagramm eines exemplarischen Verfahrens 430 zum Empfangen der Zugriffsregeln. Das Verfahren 430 kann bei 404 von 4A ausgeführt werden, um das Verfahren zum Schützen eines Dokuments zu vereinfachen. Um einen Benutzer weniger zu belasten, stellt die vorliegende Erfindung, wie nachfolgend weiter beschrieben wird, einen einmaligen Authentifizierungsmechanismus bereit, welcher sich erheblich von Systemen gemäß Stand der Technik unterscheidet, bei denen eine Benutzerauthentifikation für jeden Zugriff auf ein geschütztes Dokument erforderlich ist. Sobald ein Benutzer im Betrieb authentifiziert wurde, um auf ein geschütztes Dokument zuzugreifen, ist die Authentifizierung des Benutzers nicht mehr notwendig. Sobald der Benutzer authentifiziert ist, kann er/sie auch auf andere geschützte Dokumente zugreifen, ohne nochmals authentifiziert zu werden.
Im Allgemeinen gibt es wenigstens zwei Situationen, bei denen der Benutzer authentifiziert werden muss, bevor er auf geschützte Dokumente zugreifen kann. Bei einer ersten Situation ist eine Clientmaschine mit einem Netzwerk (z.B. LAN) gekoppelt und ein Benutzer davon muss sich durch Bereitstellen seiner Berechtigungsnachweisinformationen authentifizieren, wenn es das erste Mal ist, dass die Clientmaschine verwendet wird. Üblicherweise stellt die Berechtigungsnachweisinformationen einen Satz aus Benutzername und Passwort dar. Wenn der Benutzer registriert ist, werden die bereitgestellten Berechtigungsnachweisinformationen mit der Identität des Benutzers auf dem Server übereinstimmen und folglich wird der Benutzer authentifiziert worden sein. Sobald der Benutzer authentifiziert ist, kann ein dem Benutzer zugeordneter Benutzerschlüssel aktiviert oder authentifiziert werden. Der Benutzer kann nun die Clientmaschine verwenden und danach auf geschützte Dokumente zugreifen. Andere mögliche Berechtigungsnachweisinformationen können die biometrischen Informationen des Benutzers einschließen, wie Fingerabdruck und Sprache, etc., die von einer an die Clientmaschine angeschlossen geeigneten Einrichtung erhalten werden können. Eine solche Einrichtung kann ein Fingerabdrucksensor von DigitalPersona, Inc. mit der Adresse 805 Veterans Boulevard, Suite 301, Redwood City, CA 94063 sein. Wenn biometrische Informationen des Benutzers erfasst werden, kann verifiziert werden, was der Benutzer behauptet zu sein. Abhängig von einer Implementierung kann ein Benutzerschlüssel lokal gespeichert werden oder entfernt liegend abgerufen werden. Auf jeden Fall ist der Benutzerschlüssel vorzugsweise in einem unlesbaren Format (z.B. mit einem Zugangsschlüssel, der einem Benutzer zugeordnet ist, verschlüsselt oder verwürfelt), bevor er authentifiziert wird, um ein mögliches Hacking zu verhindern. Die Authentifizierung des Benutzers oder die biometrischen Informationen des Benutzers können verwendet werden, um den Benutzerschlüssel zu validieren, abzurufen oder zu authentifizieren. Demzufolge ist ein authentifizierter Benutzerschlüssel in nicht verschlüsselter Form leicht für den Benutzer verfügbar, um auf jedes geschützte Dokument zugreifen zu können. Bei einer zweiten Situation kann eine Clientmaschine, die mit einem Netzwerk gekoppelt ist, sich auf das einstellen, was immer der Benutzer hiervon beabsichtigt zu tun, solange er kein geschütztes Dokument anfordert. Wenn es zu einer Anfrage eines geschützten Dokuments kommt, wird das Benutzerauthentifizierungsverfahren aufgerufen.
Zurückverweisend auf 4B, wird das Benutzerauthentifizierungsverfahren aufgerufen, wobei eine Kommunikation zu einem Server (z.B. Server 104 oder 106) bei 432 überprüft wird. Falls festgestellt wird, dass keine Verbindung zum Server verfügbar ist, was bedeuten kann, dass die Clientmaschine nicht an einem Netzwerk hängt oder der Server heruntergefahren ist oder andere Gründe vorliegen, hat der Benutzer wenigstens drei Möglichkeiten. Erstens kann der Benutzer nun nur auf nicht geschützte Dokumente zugreifen oder kann geschützte Dokumente bei 434 erzeugen, falls ein öffentlicher Benutzerschlüssel verfügbar ist oder auf der Clientmaschine gespeichert ist. Zweitens kann der Benutzer weiter versuchen, mit dem Server zu kommunizieren, in welchem Fall das Verfahren 430 zurück zu 432 geht, bis eine geschützte Kommunikationsverbindung eingerichtet ist. Drittens kann der Benutzer ein anderes Merkmal, das durch die vorliegende Erfindung geboten wird, nämlich Offlinezugang bei 433, ausnützen. Kurz gesagt, kann der Benutzer auf eine begrenzte Anzahl von geschützten Dokumenten auf der Clientmaschine zugreifen, wobei die Details hiervon nachfolgend bereitgestellt werden.
Es wird angenommen, dass eine gesicherte Verbindung (möglicherweise über HTTPS, VPN, SSL) zwischen der Clientmaschine und dem Server hergestellt ist. Das Verfahren 430 geht nun zu 436, wo der Benutzer und/oder die Clientmaschine selbst authentifiziert werden müssen. In einigen Fällen ist es notwendig, sicherzustellen, dass auf ein geschütztes Dokument nur von einem Benutzer von einer zugelassenen Maschine zugegriffen werden kann. Deshalb ist es bei solchen Fällen notwendig, den Benutzer sowie die Clientmaschine, von der der Benutzer auf geschützte Dokumente zugreift, zu authentifizieren.
Soweit es den Benutzer betrifft, muss der Benutzer seine Berechtigungsnachweisinformationen (z.B. Benutzername/Passwort) liefern, um verifiziert zu werden. Sobald der Benutzer durch den Server authentifiziert ist, muss die Clientmaschine authentifiziert werden. Um sicherzustellen, dass ein Benutzer auf ein oder mehrere vorgesehene lokale Computer eingeschränkt ist und auf geschützte Dokumente nur von diesen vorgesehenen lokalen Computern zugreifen kann, wird festgestellt, ob der Benutzer einen der vorgesehenen lokalen Computer verwendet, um auf die geschützten Dokumente zuzugreifen. Im Betrieb und bei 436 wird das Identifizierungsmerkmal der Clientmaschine (z.B. eine Nummer von einer Netzwerkkarte) durch den Server überprüft, um festzustellen: 1) ob diese Clientmaschine verwendet werden kann, um auf geschützte Dokumente zuzugreifen; und 2) ob die Kombination der Clientmaschine und des Benutzers gültig ist. Falls das Überprüfungsverfahren erfolgreich ist, geht das Verfahren 430 zu 438 weiter, andernfalls kann der Benutzer bei 434 nur mit nicht-geschützten Dokumenten arbeiten.
Ein Benutzerschlüssel, der einem Benutzer zugeordnet ist, wird bei 438 authentifiziert. Zu diesem Zeitpunkt kann der Benutzer auf geschützte Dokumente zugreifen. Ob der Benutzer das geschützte Dokument öffnen kann, legen natürlich letztlich die entsprechenden Zugriffsberechtigungen des Benutzers sowie die Zugriffsregeln in einem geschützten Dokument fest.
Nachdem der Benutzer und die Clientmaschine, die der Benutzer verwendet, authentifiziert beziehungsweise verifiziert sind, wird der Benutzerschlüssel aktiviert (z.B. betriebsfertig gemacht). Der Benutzerschlüssel kann neu erstellt worden sein oder in einem unleserlichen Format gespeichert worden sein. Das Benutzerauthentifizierungsverfahren ruft den Benutzerschlüssel in einer Form ab, die leicht verwendet werden kann, und/oder bekommt den Benutzerschlüssel auf die Clientmaschine.
Es wird angenommen, dass der Benutzer auf ein geschütztes Dokument zugreift oder ein geschütztes Dokument erstellt. Bei 440 ist die Benutzerzugriffsberechtigung aktiviert, die ursprünglich von einem Administrator festgelegt wurde, die festlegt wann, wo und auf welche Art von geschützten Dokumenten er/sie zugreifen kann. Ähnlich können vorgegebene Zugriffsregeln für spezielle Ordner zum Speichern von geschützten Dokumenten zum Anzeigen oder Erfassen bei 442 verfügbar sein und können in eine temporäre Datei gespeichert werden, um schließlich an ein verschlüsseltes Dokument angehängt zu werden (in einem verschlüsselten Format), auf das durch den Benutzer zugegriffen wird oder das erstellt wird.
Obwohl die Beschreibung des Prozesses 430 in 4B auf dem Benutzerauthorisierungsverfahren basiert, das zusammen mit einem Server gebildet wird, ist es für den Fachmann klar, dass die Beschreibung leicht auf andere Mittel zum Durchführen der Benutzerauthentifizierung anwendbar ist. Zum Beispiel kann der Benutzerschlüssel wie oben beschrieben, durch biometrische Informationen des Benutzers authentifiziert, validiert oder abgerufen werden.
Nimmt man nun auf 4C Bezug, so ist dort ein Ablaufdiagramm des Verfahrens 450 zum Zugreifen auf ein geschütztes Dokument gemäß einem Ausführungsbeispiel dargestellt, das zusammen mit 3 verstanden werden soll. Bei 452 wird eine Anwendung mit einem Dokument gestartet, das spezifisch ist, zum Beispiel WINWORD.EXE wird aktiviert, um eine Datei mit dem Namen xyz.doc zu öffnen. Wie oben erläutert, identifiziert eine Behandlungsroutine des Betriebssystems die Anwendung und springt in das Betriebssystem, wobei der IFS-Manager bei 454 aufgerufen wird. Der IFS-Manager aktiviert ein DSM-Modul bei 456 und zur gleichen Zeit übergibt der IFS-Manager die Behandlungsroutine, um bei 458 das geschützte Dokument aus einem Speicher zu empfangen. Da das ausgewählte Dokument durch das DSM-Modul weitergegeben wird, ist für das ausgewählte Dokument festgelegt, ob es bei 460 geschützt oder nicht-geschützt ist. Im Allgemeinen gibt es wenigstens zwei Wege, um die geschützte Art des ausgewählten Dokuments zu untersuchen. Ein erster möglicher Weg ist, dass das DSM-Modul nach einer Kennzeichnung am Anfang des Dokuments sucht. Wie oben beschrieben, wird bei einigen geschützten Dokumenten im Header eine Kennzeichnung, wie eine Menge von vorher festgelegten Daten, platziert, um anzuzeigen, dass das Dokument, auf das zugegriffen wird, geschützt ist. Falls keine solche Kennzeichnung gefunden wird, geht das Verfahren 450 zu 470, das ausgewählte Dokument wird nämlich als nicht geschützt angenommen und kann somit das DSM-Modul passieren und aus dem IFS Manager in die Anwendung geladen werden. Ein zweiter möglicher Weg ist, dass das DSM-Modul nach einem Header in einem geschützten Dokument sucht. Ist es ein geschütztes Dokument, gibt es einen Header, der an einen verschlüsselten Datenteil angehängt ist. Das Datenformat des Headers sollte im Vergleich zum ausgewählten Dokument unregelmäßig sein, falls dieses nicht geschützt wäre. Falls das DSM-Modul feststellt, dass das ausgewählte Dokument kein unregelmäßiges Datenformat aufweist, wie es von der Anwendung benötigt wird, geht das Verfahren 450 zu 470; für das ausgewählte Dokument wird nämlich angenommen, dass es nicht geschützt ist und somit durch das DSM-Modul weitergegeben werden kann und aus dem IFS-Manager in die Anwendung geladen werden kann.
Falls nun bei 460 festgestellt wird, dass das ausgewählte Dokument allerdings geschützt ist, geht das Verfahren 450 zu 462, wo der Header oder Sicherheitsinformationen darin mit dem authentifizierten Benutzerschlüssel entschlüsselt werden. Bei 464 werden die Zugriffsregeln in den entschlüsselten Sicherheitsinformationen abgerufen. Bei 466 werden die Zugriffsregeln mit den Zugriffsberechtigungen, die dem Benutzer zugeordnet sind, verglichen (oder dagegen abgewogen). Falls das Abwiegen scheitert, was bedeutet, dass dem Benutzer nicht gestattet ist, auf dieses bestimmte Dokument zuzugreifen, kann eine Benachrichtigung oder Warnmeldung durch das DSM-Modul erzeugt werden, um bei 467 dem Benutzer angezeigt zu werden. Alternativ kann die Anwendung selbst eine Warnnachricht anzeigen, wenn sie scheitert, das ausgewählte Dokument zu öffnen. Falls das Abwiegen erfolgreich abläuft, was bedeutet, dass dem Benutzer gestattet ist, auf dieses bestimmte Dokument zuzugreifen, wird bei 468 ein Dateischlüssel von den Sicherheitsinformationen abgerufen und durch ein durch das DSM-Modul aktiviertes Verschlüsselungsmodul verwendet, um den verschlüsselten Datenteil in dem ausgewählten (geschützten) Dokument zu entschlüsseln. Demzufolge wird bei 470 das entschlüsselte Dokument oder die unverschlüsselten Inhalte des ausgewählten Dokuments aus dem IFS Manager in die Anwendung geladen.
Nun Bezug nehmend auf 5A, wo ein funktionales Blockdiagramm einer Servereinrichtung 500 gezeigt wird, in der ein Servermodul 502 in einem Speicher 503 liegt und durch einen oder mehrere Prozessoren 501 ausführbar ist/sind. Die Servereinrichtung 500 weist auch eine Netzwerkschnittstelle 504 auf, um die Kommunikation zwischen dem Server 500 und anderen Einrichtungen in einem Netzwerk und einen lokalen Speicherplatz 505 zu vereinfachen. Das Servermodul 502 ist eine ausführbare Version eines Ausführungsbeispiels der vorliegenden Erfindung und liefert, wenn ausgeführt, Merkmale/Ergebnisse, die bei der vorliegenden Erfindung betrachtet werden. Gemäß einem Ausführungsbeispiel weist das Servermodul 502 eine Administrationsschnittstelle 506, einen Kontenmanager 508, einen Benutzerschlüsselmanager 510, einen Benutzermonitor 512, einen lokalen Servermanager 514, einen Partnerzugriffsmanager 516, einen Zugriffsberichtmanager 518 und einen Regelmanager 520 auf.
Administrationsschnittstelle 506:
Wie die Namen andeuten, vereinfacht die Administrationsschnittstelle 506 einem Systemadministrator, Benutzer zu registrieren und den Benutzern entsprechende Zugriffsberechtigungen zu bewilligen, und die Administrationsschnittstelle 506 ist ein Einstiegspunkt zum Servermodul, von welchen aus alle Submodule oder die Ergebnisse hiervon gestartet, aktualisiert und gemanaget werden können. Bei einem Ausführungsbeispiel richtet der Systemadministrator hierarchische Zugriffsebenen für verschiedene aktive Ordner, Speicherorte, Benutzer oder Benutzergruppen ein. Wie zum Beispiel in 5B.1 gezeigt wird, können verschiedenen Benutzern unterschiedliche Zugriffsberechtigungen zugewiesen werden. Benutzer A kann eine Führungskraft oder ein Filialleiter sein, der alle Zugriffberechtigungen für jedes geschützte Dokument besitzt. Benutzer B besitzt beschränkte Zugriffsberechtigungen, während jeder in Benutzergruppe C die gleichen Zugriffsberechtigungen teilt. Die Berechtigungen können folgendes aufweisen, ohne aber darauf beschränkt zu sein: öffnen, bearbeiten, schreiben, drucken, kopieren, herunterladen und andere. Beispiele für andere Berechtigungen sind: Ändern der Zugriffsberechtigungen für andere Benutzer, Zugreifen auf geschützte Dokumente von einem oder mehreren Orten und Einrichten einer Menge von Zugriffsregeln für einen Ordner, die von den zuvor eingerichteten (möglicherweise durch den Systemadministrator) abweichen. Die entsprechenden Benutzer-IDs, die den Benutzern zugewiesen sind, vereinfachen die Verwaltung aller Benutzer. Falls nicht speziell anders angegeben, wird ein Benutzer oder eine entsprechende Benutzer-ID hier austauschbar verwendet, um einen menschlichen Benutzer, einen Softwareagenten oder eine Gruppe von Benutzern und/oder Softwareagenten zu identifizieren. Zusätzlich zu einem menschlichen Benutzer, der auf ein geschütztes Dokument zugreifen muss, muss eine Softwareanwendung oder ein -agent manchmal auf das geschützte Dokument zugreifen, um weiter fortzufahren. Entsprechend betrifft der „Benutzer", wie hier verwendet, nicht notwendigerweise einen Menschen, falls nicht speziell angegeben. Allgemein ist einem Benutzer, der auf ein geschütztes Dokument zugreifen will, ein Benutzerschlüssel zugeordnet, um zu erlauben, einen verschlüsselten Header in einem geschützten Dokument zu entsperren (entschlüsseln). Das Ablaufen oder die Neuerstellung eines Benutzerschlüssels kann durch den Systemadministrator initialisiert werden. Gemäß einem Ausführungsbeispiel ist die Aministrationsschnittstelle 506 eine graphische Oberfläche, die Optionen für verschiedene Aufgaben zeigt, die ein authentifizierter Systemadministrator oder Anwender zum Arbeiten brauchen kann.
Kontomanager 508:
Im Wesentlichen ist der Kontomanager eine Datenbank oder eine Schnittstelle zu einer Datenbank 507 (z.B. eine Oracle Datenbank), die all die registrierten Benutzer und ihre entsprechenden Zugriffsberechtigungen und vielleicht entsprechende Benutzerschlüssel (z.B. private und öffentliche Schlüssel) verwaltet. Im Betrieb authentifiziert der Kontomanager 508 einen Benutzer, wenn der Benutzer sich am Server 500 anmeldet, und stellt auch fest, ob der Benutzer auf geschützte Dokumente vom Ort, an dem der Benutzer sich momentan befindet, zugreifen kann. Im Allgemeinen ist es der Kontomanager 508, wo ein Unternehmen in der Lage sein kann, seine Benutzer zu kontrollieren.
Benutzerschlüsselmanager 510:
Dieses Modul ist dazu ausgelegt, eine Kopie der Schlüssel für jeden der Benutzer in einer Organisation aufzubewahren. Gemäß einem Anwendungsbeispiel ist der Benutzerschlüsselmanager 510 nicht aktiviert, um die Schlüssel darin abzurufen. In einigen Situationen kann ein Schlüssel durch den Systemadministrator abgerufen werden, um auf ein geschütztes Dokument zuzugreifen, im Falle dass der Schlüssel auf der Clientmaschine beschädigt ist oder der Benutzer oder die Benutzer, der/die die Zugriffsberechtigung zum Zugreifen auf das geschützte Dokument besitzt/besitzen, nicht länger verfügbar ist/sind. Optional ist der Benutzerschlüsselmanager 510 dazu ausgelegt, einige oder alle der Schlüssel darin aus Sicherheitsgründen auslaufen zu lassen. Bei einem Fall ist ein Benutzer nicht länger bei der Organisation, weshalb der zugehörige Benutzerschlüssel manuell im Benutzerschlüsselmanager 510 außer Kraft gesetzt werden kann. Bei einem anderen Fall wurde ein Benutzerschlüssel für eine lange Zeit verwendet, weshalb der Benutzerschlüsselmanager dazu ausgelegt ist, den alten Schlüssel des Benutzers außer Kraft zu setzen und ihn mit einem neu erzeugten Schlüssel zu ersetzen. Solch eine Ersetzung kann für den Benutzer transparent gestaltet werden und der neue Schlüssel kann auf eine Clientmaschine geladen werden, wenn der Benutzer sich das nächste Mal von dort anmeldet. Gemäß einem anderen Ausführungsbeispiel bewahrt der Benutzerschlüsselmanager 510 einen privaten Schlüssel und einen öffentlichen Schlüssel für jeden der Benutzer. Der öffentliche Schlüssel wird verwendet, um Sicherheitsinformationen in einem Header zu verschlüsseln und der private Schlüssel wird verwendet, um die Sicherheitsinformationen im Header zu entschlüsseln. 5B.2 zeigt eine exemplarische Tabelle, die durch den Benutzerschlüsselmanager 510 zusammen mit dem Kontomanager 508 erweitert werden kann.
Benutzermonitor 512:
Dieses Modul ist dazu ausgelegt, Anfragen und Aufenthaltsorte der Benutzer zu überwachen. Typischerweise wird einem Benutzer gestattet, auf geschützte Dokumente von einem oder mehreren festgelegten Orten oder vernetzten Computern zuzugreifen. Falls ein Benutzer eine höhere Zugriffsberechtigung besitzt (z.B. um Zugriff von mehr als den Orten oder den vernetzten Computern zu gestatten), kann der Benutzermonitor 512 dazu ausgelegt sein, sicherzustellen, dass der Benutzer zu jedem Zeitpunkt nur einen Zugriff von einem der registrierten Orte oder Computern aufweist. Zusätzlich kann der Benutzermonitor 512 dazu ausgelegt und vorgesehen sein, eine Zugriffsanforderung von einer Aktualisierung der Zugriffsberechtigungen periodisch anzustoßen oder zu beantworten.
Lokaler Servermanager 514:
Dieses Modul ist für die Verteilung eines geeigneten, lokalen Moduls für einen lokalen Server verantwortlich, der einen vorher festgelegten Ort oder eine vorher festgelegte Gruppe von Benutzern bedient. Gemäß einem Ausführungsbeispiel repliziert der lokale Servermanager 514 einige oder alle der auf dem Server 500 ausgeführten Servermodule 502 und verteilt die replizierten Kopien an all die lokalen Server. Folglich kann ein Benutzer auf geschützte Dokumente überall innerhalb des Netzwerkbereichs zugreifen, der durch die lokalen Server abgedeckt wird, ohne bei einem einzigen zentralen Server, nämlich dem Server 500, authentifiziert zu sein. Gemäß einem anderen Ausführungsbeispiel repliziert der lokale Servermanager 514 einige der Servermodule 502, die auf dem Server 500 ausgeführt werden, und verteilt die replizierten Kopien an einen entsprechenden lokalen Server. Bei diesem Ausführungsbeispiel wird jeder der lokalen Server seine eigene angepasste Replikation des Servermoduls 502 haben. Wenn ein Benutzer eine ausreichend umfangreiche Zugriffsberechtigung hat (z.B. Zugreifen von mehr als einem Ort oder einem Computer gestattet) und der Benutzermonitor 512 feststellen kann, dass der Benutzer von einem ursprünglich konfigurierten Ort, der durch einen lokalen Server verwaltet wird, zu einem anderen erlaubten Ort, der durch einen anderen lokalen Server verwaltet wird, umgezogen ist. Durch einen Hinweis ist der lokale Servermanager 514 dazu ausgelegt, ein lokales Modul für den lokalen Server umzukonfigurieren, den der Benutzer neu kontaktiert hat. Der Benutzer wird nämlich als ein Benutzer zum lokalen Server hinzugefügt, der neu kontaktiert wurde. Falls es notwendig ist, dass der Benutzer zu jedem Zeitpunkt nur von einem Computer zugreifen kann, unabhängig davon, wo es in einer Organisation ist, kann der lokale Servermanager 514 auch das lokale Modul für den lokalen Server erneut konfigurieren, den der Benutzer zuvor kontaktiert hatte. Folglich wird der Benutzer von dem lokalen Server entfernt, den der Benutzer zuvor kontaktiert hatte.
Partnerzugriffsmanager 516:
Ein spezielles Modul, um Nicht-Arbeitnehmer-Konten zu verwalten. Die Nicht-Arbeitnehmer können Berater für ein Unternehmen sein, was verlangt, dass die Berater auf gewisse, geschützte Dokumente zugreifen können. Der Partnerzugriffsmanager 516 arbeitet im Allgemeinen zusammen mit anderen Modulen auf dem Server, führt jedoch zusätzliche Beschränkungen für solche Benutzer ein, die direkt durch den Partnerzugriffsmanager 516 verwaltet werden. Bei einer Anwendung erstellt der Partnerzugriffsmanager 516 eine Anfrage an den Benutzerschlüsselmanager 510, um einen Schlüssel oder ein Schlüsselpaar für einen Berater ungültig werden zu lassen, wenn eine Beschäftigung des Beraters endet.
Zugriffsberichtmanager 518:
Ein Modul ist dazu ausgelegt, mögliche Zugriffsaktivitäten aufzuzeichnen oder zu verfolgen und arbeitet primär mit einem entsprechenden Submodul in einem auf einer Clientmaschine ausgeführten Clientmodul zusammen. Der Zugriffberichtmanager 518 wird vorzugsweise durch den Systemadministrator aktiviert und auf die Inhalte, die im Zugriffsberichtmanager 518 erfasst werden, sollte nur durch den Systemadministrator oder mit Berechtigung zugegriffen werden können.
Regelmanager 520:
Im Allgemeinen ist der Regelmanager 520 ein Durchsetzungsmechanismus von verschiedenen Zugriffsregeln. Gemäß einem Aspekt ist der Regelmanager 520 dazu ausgelegt Regeln zu bestimmen, basierend auf i) Datentypen (z.B. Microsoft Word), ii) Gruppenbenutzern oder Einzelpersonen, iii) geeignete Rechte und iv) Dauer der Zugriffsregeln. Typischweise ist ein Satz von Regeln eine Richtlinie. Eine Richtlinie kann aktiviert, deaktiviert, bearbeitet, angewendet und rückgängig gemacht (z.B. eine oder zwei Ebenen) werden. Richtlinien, die durch den Regelmanager 520 verwaltet werden, arbeiten vorzugsweise auf einer globalen Ebene. Sie werden während des Anmeldevorgangs (nachdem der Benutzer authentifiziert ist) auf die Clientmaschine geladen und können dynamisch aktualisiert werden. Zusätzlich können entsprechende Richtlinien aktiven Ordnern (z.B. diese festegelegten Orte, um geschützte Dokumente zu speichern) zugeordnet sein. Diese Richtlinien werden auch auf die Clientmaschine heruntergeladen und aktualisiert. Einfache Richtlinien sind auch in das Dokument eingebettet und liefern dokumentspezifische Richtlinien. Gemäß einem Ausführungsbeispiel wird ein Header durch einen lokalen Server von einem Client empfangen und die Zugriffsregeln auf dem Header werden abgerufen. Der Schlüsselmanager 510 wird darauf aufgerufen, um die verschlüsselten Sicherheitsinformationen im Header zu entschlüsseln. Der Regelmanager 520 wird auch darauf aufgerufen, um die Zugriffsregeln von den Sicherheitsinformationen zu analysieren und um die Zugriffsregeln gegen die Zugriffsberechtigung des Benutzers abzuschätzen oder abzuwägen, um festzustellen, ob auf das geschützte Dokument durch den Benutzer zugegriffen werden kann. Falls die Bewertung oder das Abwägen erfolgreich ist, wird ein Dateischlüssel abgerufen und an den Client zurückgesendet.
Es sollte darauf hingewiesen werden, dass das Servermodul 502 in 5A gemäß einem Ausführungsbeispiel der vorliegenden Erfindung einige exemplarische Module aufführt und nicht jedes Modul im Servermodul 502 implementiert sein muss, um die vorliegende Erfindung auszuführen. Der Fachmann kann in Anbetracht der Beschreibung verstehen, dass durch verschiedene Kombinationen der Module sowie Modifikationen, verschiedene gewünschte Funktionen, Nutzen oder Vorteile erzielt werden können, die bei der vorliegenden Erfindung genannt sind.
Nun nimmt man auf 5B.3 Bezug, wo ein Ablaufdiagramm eines Verfahrens 510 zum Aktualisieren eines Benutzerschlüssels 510 gezeigt wird. Wie oben beschrieben, besteht in einigen Fällen der Bedarf, einen Benutzerschlüssel ablaufen zu lassen und den abgelaufenen Benutzerschlüssel mit einem neuen zu aktualisieren. Vorzugsweise geht das Verfahren 510 für den Benutzer unbemerkt von statten, beispielsweise wenn der Benutzer sich am Server anmeldet. Optional wird der Benutzer hinsichtlich des Aktualisierens seines Benutzerschlüssels benachrichtigt. Im Allgemeinen gibt es wenigstens zwei Situationen, die das Ablaufen/Aktualisieren eines Benutzerschlüssels erforderlich machen. Wenn ein Benutzer bei einer Organisation kündigt, ist es aus Sicherheitsgründen wünschenswert, den dem Benutzer zugeordneten Benutzerschlüssel ungültig zu machen. Demzufolge wartet das Verfahren 510 bei 511 auf eine manuelle Anforderung. Wenn einem Administrationsmanager ein ausscheidender Arbeitnehmern angezeigt wird, kann solch eine manuelle Anforderung stattfinden.
Alternativ kann eine Organisation oder der Systemadministrator einen Zeitplan einrichten, um jeden unter Verwaltung stehenden Benutzerschlüssel zum Beispiel alle sechs Monate ungültig werden zu lassen und die abgelaufenen Benutzerschlüssel durch einen neuen zu ersetzen. Bei 512 wartet das Verfahren auf eine zeitlich festgelegte Anfrage.
In jedem Fall wird der Schlüsselmanager im Servermodul beraten, wenn das Verfahren 510 bei 514 veranlasst wird, mit einer Anfrage von 511 oder 512 fortzufahren, um einen Benutzerschlüssel nachzuschlagen, der ins Auge gefasst oder gesucht wird. Sobald der Zielschlüssel abgerufen wird, wird bei 516 ein entsprechender, neuer Schlüssel mit einer Verschlüsslung erzeugt. Gemäß einem Ausführungsbeispiel ist die verwendete Verschlüsslung die gleiche oder eine im Wesentlichen identische, wie die, die in einem Clientmodul zum Verschlüsseln/Entschlüsseln des Headers in einem geschützten Dokument verwendet wird. Dies wird sicherstellen, dass der neu erzeugte Benutzerschlüssel verwendbar ist, wenn dieser auf einer Clienteinrichtung verfügbar ist. Gemäß einem anderen Ausführungsbeispiel wird ein einem Benutzer zugeordnetes Schlüsselpaar aktualisiert. Da die zwei Schlüssel auf dem Server aufbewahrt werden und niemals den Server verlassen, kann jede geeignete Verschlüsslung zum Gebrauch geeignet sein, um die Benutzerschlüssel zu aktualisieren.
Abhängig von der aktuellen Situation und einer Implementierung, bei der der/die Benutzerschlüssel ersetzt wird/werden, kann der neu erzeugte Schlüssel (können die neu erzeugten Schlüssel) beim Schlüsselmanager aufbewahrt werden oder an eine Clientmaschine ausgegeben werden, wenn ein korrespondierender Benutzer sich von dort das nächste Mal anmeldet. Bei 518 wartet der Prozess 510 auf eine Entscheidung, ob die neu erzeugten Schlüssel bei dem Server bleiben oder auf einen Client geladen werden. Falls die Entscheidung darin besteht, den neu erzeugt Schlüssel (die neu erzeugten Schlüssel) auf dem Server zu behalten, geht das Verfahren 510 zu 522, bei welchem die neuen Schlüssel dem gleichen Benutzer zugeordnet werden. Falls die Entscheidung darin besteht, die neu erzeugten Schlüssel an den Benutzer auszugeben, wenn diese sich das nächste Mal am Server anmeldet, geht das Verfahren 510 zu 522. Bei 522 wartet das Verfahren 510 auf einen Kontakt vom Benutzer. Wie oben beschrieben kann der Benutzer sich zu jedem Zeitpunkt von einer Clientmaschine anmelden, wenn er auf ein geschütztes Dokument zugreifen muss. Falls solch ein Kontakt erfolgt, wird der Server die Berechtigungsnachweisinformationen vom Benutzer empfangen, um sicherzustellen, dass der Benutzer derjenige ist, der er vorgibt zu sein. Nachdem der Benutzer authentifiziert ist, werden bei 524 die neuen Schlüssel mit den Berechtigungsnachweisinformationen verschlüsselt. Die Berechtigungsnachweisinformationen werden durch den Benutzer bereitgestellt, wenn dieser eine Authentifizierung anfordert und kann einen Satz von Benutzername und Passwort oder ein biometrisches Merkmal (z.B. einen Fingerabdruck) des Benutzers aufweisen. Ungeachtet welche Verschlüsslung verwendet wird, werden die neu erzeugten Schlüssel bei 524 in ein unleserliches Format konvertiert. Die verschlüsselten, neuen Schlüssel werden dann bei 526 auf die Clientmaschine geladen oder übertragen. Beim Empfangen der verschlüsselten, neuen Schlüssel wird die Clientmaschine bei 528 veranlasst, die verschlüsselten, neuen Schlüssel zu entschlüsseln, um die neuen Benutzerschlüssel zugleich für den Zugriff auf geschützte Dokumente oder zum Schützen von Dokumenten verfügbar zu machen. In einigen Fällen kann das Clientmodul auf der Clientmaschine vorgesehen sein, um in festgelegten Ordnern alle verfügbaren, geschützten Dokumente zu überprüfen, deren Header durch den alten Benutzerschlüssel ursprünglich verschlüsselt wurden. Diese Dokumente können nun mit dem neuen Schlüssel erneut verschlüsselt werden, um sicherzustellen, dass die geschützten Dokumente in der Tat geschützt sind. Bei einem bevorzugten Ausführungsbeispiel kann das Aktualisieren von Benutzerschlüssel, soweit es dem Benutzer angeht, transparent durchgeführt werden. Mit anderen Worten erkennen die Benutzer nicht, dass der Prozess 510 stattgefunden hat und die neuen Schlüssel werden nun installiert.
Nun wird auf 5B.4 Bezug genommen, wo ein Ablaufdiagramm eines servergestützten Verfahrens 530 zum Zugreifen auf geschützte Dokumente gemäß einem ersten Ausführungsbeispiels der vorliegenden Erfindung gezeigt wird. Das Verfahren 530 wird nachstehend mit Bezug auf 3 erläutert. Eines der Merkmale im Verfahren 530 ist, wie ferner nachfolgend beschrieben wird, dass ein Benutzerschlüssel oder Benutzerschlüssel (z.B. ein privater und ein öffentlicher Schlüssel) niemals den Server verlassen, wo die Schlüssel erzeugt werden, was den Grad der Sicherheit hinsichtlich der Schlüssel erhöht.
Es wird angenommen, dass ein Benutzer versucht auf geschützte Dokumente von einer Clientmaschine zuzugreifen und durch einen Server (z.B. Server 500) authentifiziert wurde, auf dem die Zugriffskontrollverwaltung läuft. Wenn ein geschütztes Dokument ausgewählt ist, stellt das Dokumentsicherungsmodul (DSM) 302 von 3 fest, dass ein Benutzerschlüssel notwendig ist, um auf die Sicherheitsinformationen im geschützten Dokument zuzugreifen. Gemäß diesem Ausführungsbeispiel ist das DSM 302 dazu ausgelegt, den Header vom geschützten Dokument abzuspalten und dann den Header an den Server zu schicken. Bei 532 wird solch ein Header von der Clientmaschine empfangen. Wie bereits beschrieben, weist der Header Sicherheitsinformationen in einer verschlüsselten Form auf. Bei 534 wird ein dem Benutzer zugeordneter privater Benutzerschlüssel abgerufen. Der private Benutzerschlüssel kann zum Beispiel vom Schlüsselmanager abgerufen werden. Die verschlüsselten Sicherheitsinformationen im Header werden dann mit dem abgerufenen privaten Benutzerschlüssel bei 536 entschlüsselt. Als Ergebnis werden bei 538 die Zugriffsregeln für dieses geschützte Dokument erhalten.
Zur gleichen Zeit wird bei 540 die Zugriffsberechtigung für den Benutzer abgerufen. Die Zugriffsberechtigung kann zum Beispiel von dem Kontomanager abgerufen werden. Mit der festgelegten Zugriffsberechtigung und den Zugriffsregeln des Dokuments findet eine Beurteilung bei 542 statt, um festzustellen, ob ein Zugriffsrecht gewährt werden kann. Falls die Zugriffsberechtigung des Benutzers gemäß den Zugriffsregeln keinen Zugriff gestattet, geht das Verfahren 530 zu 544. Bei 544 kann eine Fehlermeldung erzeugt werden, um diese an die Clientmaschine weiterzuleiten, so dass der Benutzer weiß, dass seine Zugriffsberechtigung ihm nicht gestattet, auf das ausgewählte Dokument zuzugreifen. Auf der anderen Seite jedoch geht das Verfahren 530 zu 546, falls die Zugriffsberechtigung des Benutzers gemäß den Zugriffsregeln Zugriff erlaubt. Bei 546 kann der Dateischlüssel in der Sicherheitsinformation abgerufen werden. Bei 548 wird der Dateischlüssel an die Clientmaschine weitergeleitet. Mit dem erhaltenen Dateischlüssel aktiviert das DSM 302 das Verschlüsslungsmodul 310, um den verschlüsselten Datenteil des ausgewählten Dokuments zu entschlüsseln.
5B.5 zeigt ein Ablaufdiagramm eines servergestützten Verfahrens 550 zum Schützen eines Dokuments gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Verfahren 550 wird nachfolgend mit Bezug auf 3 erläutert. Es wird angenommen, dass ein Benutzer gerade ein Dokument fertiggestellt hat und sich entschieden hat, das Dokument zu schützen. Ein möglicher Weg, um das Dokument zu schützen, besteht, wie oben beschrieben, darin, es in einen festgelegten Ordner zu legen, bei dem eine Menge von Zugriffsregeln voreingestellt sind oder mit dem eine Menge von Zugriffsregeln verknüpft sind. Mit anderen Worten können alle Dokumente im Ordner im Wesentlichen gleiche Zugriffsregeln aufweisen.
Entsprechend wird das DSM 302 aktiviert und im Gegenzug auch das Verschlüsslungsmodul 310 aktiviert. Falls das Dokument das erste Mal geschützt wird, wird das Verschlüsslungsmodul 310 einen neuen Dateischlüssel erzeugen. Falls die Datei bereits besteht, wird das Verschlüsslungsmodul 310 typischerweise keinen neuen Dateischlüssel erzeugen, sofern dies nicht angefordert wurde. Bevor das Verfahren 550 beginnt, wird auch angenommen, dass der Benutzer authentifiziert wurde und eine Verbindung zwischen der Clientmaschine und dem Server hergestellt ist.
Beim Empfangen des Dateischlüssels bei 552 von der Clientmaschine wird ein dem Benutzer zugeordneter öffentlicher Benutzerschlüssel abgerufen, beispielsweise bei 554 von dem Schlüsselmanager. Die Zugriffsregeln für das Dokument werden bei 556 erhalten. Wie oben beschrieben gibt es eine Anzahl von Möglichkeiten, um die Zugriffsregeln zu erhalten. Ein möglicher Weg ist, sie direkt von der Clientmaschine zu empfangen. Ein anderer möglicher Weg ist, sie von dem Regelmanager lokal zu bekommen, falls das Dokument in einen Ordner gelegt wurde, der durch das System eingerichtet wurde. Im Anbetracht der Zugriffsregeln und des Dateischlüssels ist es nun möglich, bei 558 die Sicherheitsinformationen auszubilden. Die Sicherheitsinformationen werden dann bei 560 mit dem öffentlichen Benutzerschlüssel verschlüsselt. Bei einem Ausführungsbeispiel ähnlich dem in 2C.2 werden die Zugriffsregeln und der Dateischlüssel in ein Segment gelegt, falls es bereits andere Segmente in dem Regelblock gibt.
Der Header für das Dokument wird bei 562 erzeugt. Abhängig von der Implementierung kann der Header andere Informationen (z.B. eine Kennzeichnung) aufweisen, die nicht verschlüsselt sind. Ein Benutzerblock, der den aktuellen Benutzer aufweist, wird alternativ auch dem Header hinzugefügt. Der Header wird dann bei 564 an die Clientmaschine weitergeleitet, wo der Header dem verschlüsselten Datenteil beigefügt oder integriert wird, um ein geschütztes Dokument zu erzeugen. Es sollte erwähnt werden, dass das Verfahren 550 auch anwendbar ist, wenn ein geschütztes Dokument überarbeitet und in einem Speicher gespeichert wird.
5C zeigt ein funktionelles Blockdiagramm einer lokalen Servereinrichtung 570. Die lokale Servereinrichtung 570 ist im Allgemeinen ähnlich der eines Servers, der in 5A dargestellt ist. Folglich müssen viele in 5C dargestellte Teile nicht erneut beschrieben werden, um unklare Aspekte der vorliegenden Erfindung zu vermeiden. Wie in 5C gezeigt, führt die lokale Servereinrichtung 570 auch ein Modul aus, das hier als lokales Modul 572 bezeichnet ist, welches dazu ausgelegt ist, eine vollständige oder teilweise Replikation des Servermoduls 502 der 5A zu sein. Als eines der Merkmale bei der vorliegenden Erfindung sieht das lokale Modul 572 die Verlässlichkeit, die Zuverlässigkeit und die Skalierbarkeit der zentralisierten Zugriffskontrollverwaltung vor, die durch den zentralen Server 500 von 5A durchgeführt wird. So müssen nicht alle Authentifizierungsanfragen an einem zentralen Punkt verarbeitet werden, ohne die Kontrolle über die Zugriffkontrollverwaltung zu verlieren. Ein anderes Merkmal der vorliegenden Erfindung besteht darin, dass die Benutzer nicht betroffen sind, wenn der zentrale Server, für Wartungsarbeiten heruntergefahren wird und die Verbindung zu dem zentralen Server nicht verfügbar ist. Die Zuverlässigkeit, den Benutzern zu dienen, wird außerordentliche verbessert, wenn eine Zahl von lokalen Servern verwendet wird und jeder eine Replikation des Servermoduls aufweist. Die Wahrscheinlichkeit, dass ein Benutzer auf ein geschütztes Dokument zugreifen will, aber nicht authentifiziert werden kann, ist minimiert.
Gemäß einem Ausführungsbeispiel ist das lokale Modul 572 eine lokalisierte Version von einigen der Servermodule 502 auf dem zentralen Server 500 und bedient die Benutzer, die lokal zum lokalen Server sind. Zum Beispiel zeigt 5D eine Tabelle 584 von all den Benutzern, die durch den zentralen Server 500 verwaltet werden. Unter den Benutzern ist Johns Zugriffsberechtigung 585 auf Stufe 10 (die als höchste angenommen wird) und er kann auf geschützte Dokumente jeden Tag zu jeder Uhrzeit von jedem der drei Orte zugreifen. Dells Zugriffsberechtigung 586 ist auf Stufe 1 (die als niedrigste angenommen wird) und er kann auf geschützte Dokumente Montag bis Freitag acht Stunden (z.B. 9:00AM–5PM) pro Tag und nur von Ort A zugreifen. Mikes Zugriffsberechtigung 587 ist auf Stufe 5 und er kann Montag bis Samstag 12 Stunden und nur von den Orten A und B zugreifen. Falls jeweils drei lokale Server für die drei Orte A, B und C verwendet werden, kann es, wie in 5E gezeigt, drei unterschiedliche Zugriffskontrollverwaltungsmöglichkeiten geben, wobei jede einem lokalen Server zugeordnet ist. Folglich müssen die lokalen Benutzer nur bei dem entsprechenden lokalen Server überprüft werden und keiner der Benutzer würde betroffen sein, falls andere lokale Server aus irgendwelchen Gründen heruntergefahren sind oder vom zentralen Server getrennt sind.
5F stellt die Erreichbarkeit für jeden der Benutzer dar. Das lokale Modul 572, das mit dem Benutzermonitor 512 im Servermodul 500 arbeitet, kann dynamisch konfiguriert werden. Anstelle drei lokale Module aufzuweisen, die jeweils John erlauben, von jedem der drei Standorte zuzugreifen, ist bei einem Ausführungsbeispiel nur ein lokales Modul dazu ausgelegt, John von einem der drei Standorte zu jedem Zeitpunkt Zugriff zu gestatten. Einer der Vorteile der zusätzlichen Sicherheit, das dieses dynamische Konfigurationsmechanismus liefert, ist, dass auf die geschützten Dokumente von John jeweils nur zu einem Zeitpunkt von einem Standort zugegriffen werden kann. Eigentlich ist es für eine Person kein gewünschtes Sicherheitsmerkmal, sich von zwei physikalischen Standorten gleichzeitig an einem System anzumelden oder auf geschützte Dokumente zuzugreifen. Ebenfalls aus Sicherheitsgründen ist es bevorzugt, dass einem Benutzer, ungeachtet seiner Zugriffsberechtigung, zu jedem Zeitpunkt jeweils nur ein einziger Zugriffsstandort erlaubt wird.
5G zeigt eine dynamische Konfiguration, die die Zugriffskontrollverwaltung betrifft. Zu einem Zeitpunkt weiß das System, dass John von Standort A zugreift. Wenn John sich zu Standort B bewegt, stellt der zentrale Server (z.B. der Benutzermonitor im Servermodul) bei seiner Anmeldung seinen Aufenthaltsort fest und benachrichtigt folglich den lokalen Servermanager 514, um die lokalen Modulen von beiden, Standort A und Standort B, neu zu konfigurieren. Wie in 5G gezeigt, ist die lokale Zugriffskontrollverwaltung 589 auf einen lokalen Server für Standort A nicht länger für John verantwortlich, während die lokale Zugriffskontrollverwaltung 590 auf einem lokalen Server für Standort B die Zuständigkeit für John übernimmt. Folglich ist John nun berechtigt auf geschützte Dokumente von Standort B zuzugreifen, nicht länger aber von Standort A. 5H stellt graphisch dar, das Johns Erreichbarkeit sich vom Standort A zu Standort B verschoben hat. Daher kann John zusammen mit Mike auf geschützte Dokumente von Standort B zugreifen und beiden ist es temporär nicht erlaubt, auf Dokumente von Standort A zuzugreifen.
Falls Mike sich zufällig zu Standort A bewegt, werden die lokalen Module, wie in 5I gezeigt, erneut konfiguriert. Aufgrund Johns Zugriffsberechtigung kann John auf geschützte Dokumente vom Standort C zugreifen, falls er sich dorthin bewegt.
6A zeigt ein Ablaufdiagramm eines Benutzerauthentifizierungsverfahrens 600, das auf dem zentralen Server 500 oder dem lokalen Server 570 implementiert sein kann. Wie oben beschrieben, gibt es mindestens zwei Situationen, bei denen das Verfahren 600 aufgerufen wird – anfängliche Anmeldung an eine vernetzte Clientmaschine und erster Zugriff auf ein geschütztes Dokument. Wenn eine dieser Situationen eintritt, initialisiert ein Clientmodul auf der Clientmaschine ein Anfrage, die an einen Server übertragen wird, auf dem ein Modul läuft, das die Zugriffskontrollverwaltung zum Starten des Prozesses 600 bereitstellt.
Bei 602 wartet der Server auf die Anfrage. Beim Empfangen der Anfrage von der Clientmaschine fährt der Server bei 604 fort, festzustellen, ob der Benutzer und die Clientmaschine, von der der Benutzer versucht auf ein geschütztes Dokument zuzugreifen, authentifiziert wurde. Falls beide bereits authentifiziert wurden, gibt es weder für den Benutzer noch für die Clientmaschine einen Authentifizierungsprozess. Auf der anderen Seite fährt der Authentifizierungsprozess fort, wenn der Benutzer und die Clientmaschine nicht bereits authentifiziert wurden. Bei einem Ausführungsbeispiel kann der Server eine gesicherte Verbindung mit der Clientmaschine initialisieren, falls sowohl der Server als auch die Clientmaschine mit einem offenen Netzwerk gekoppelt sind, wobei solch eine Verbindung über HTTPS sein kann oder durch VPN unterstützt wird. Alternativ kann eine direkte Verbindung zwischen dem Client und dem Server vorliegen, falls ein anderes Authentifizierungsmittel verwendet wird.
Bei 606 antwortet der Server auf die empfangene Anfrage mit einer Authentifizierungsantwort. Abhängig von der Implementierung kann solch eine Antwort ein Dialogfenster, das auf dem Bildschirm der Clientmaschine angezeigt wird, ein Befehl oder andere Anforderung sein. In jedem Fall benötigt die Antwort, dass die Berechtigungsnachweisinformationen durch den Benutzer bereitgestellt werden. Wie zuvor beschrieben, können die Berechtigungsnachweisinformationen ein Satz aus Benutzernamen und Passwort oder biometrische Informationen des Benutzers sein und müssen von dem Benutzer bei 608 empfangen werden, bevor die Authentifizierung fortfahren kann.
Beim Empfangen der Berechtigungsnachweisinformationen bei 610 muss der Server feststellen, ob der Benutzer autorisiert ist, um auf irgendein geschütztes Dokument zugreifen zu können, das in einem Repository, einem lokalen Speicher, dem Server selbst oder anderen über das Netzwerk erreichbaren Einrichtungen verwaltet wird. Dies kann eine Übereinstimmung des erhaltenen Berechtigungsnachweises mit dem, was zuvor auf dem Server gespeichert wurde, umfassen. Es sollte bemerkt werden, dass der Server der zentrale Server oder ein lokaler Server sein kann. Der Fachmann kann verstehen, dass die Beschreibung ebenso auf eines der Szenarien angewendet werden kann. Falls der Vergleich fehl schlägt, der Benutzer nämlich nicht autorisiert ist, geht das Verfahren 600 zurück zum Start, um fortzufahren, auf eine Anfrage zu warten. Mit anderen Worten wird die aktuelle Anfrage, um auf die geschützten Dokumente zuzugreifen oder sich bei dem System anzumelden, abgebrochen. Falls der Vergleich erfolgreich ist, wird der Benutzer als autorisiert erkannt.
Zum gleichen Zeitpunkt durchläuft die Clientmaschine vielleicht durch eine IP-Adresse oder durch eine Netzwerkkartenidentifikation oder durch andere Mittel, die die Clientmaschine eindeutig identifizieren, eine ähnliche Authentifizierung.
Bei einer Authentifizierung von sowohl dem Benutzer als auch der Clientmaschine geht das Verfahren 600 zu 612, wo die Zugriffsberechtigung des Benutzers abgerufen und aktiviert wird. Abhängig von der Implementierung kann eine Aktivierung der Zugriffsberechtigung des Benutzers ein Herunterladen einer Datei, die die Zugriffsberechtigung für die Clientmaschine enthält, eine Entschlüsselung einer lokalen Datei, die die Zugriffsberechtigung enthält, oder einfach ein Aktivieren des Benutzers in einem Speicherplatz des Servers sein. In jedem Fall ist zu diesem Zeitpunkt die Zugriffsberechtigung des Benutzers leicht zugänglich, wodurch dem Benutzer das Zugreifen auf die geschützten Dokumente von der authentifizierten Clientmaschine gestattet wird.
Gemäß einem Ausführungsbeispiel wird XML-RPC verwendet, um die Kommunikation zwischen einem Server (z.B. einem lokalen Server oder einem zentralen Server) und einer Clientmaschine zu vereinfachen. XML-RPC ist eine einfache und portierbare Möglichkeit, um entfernte Prozeduraufrufe über HTTP durchzuführen. Es kann mit Perl, Java, Python, C, C++, PHP und vielen anderen Programmiersprachen verwendet werden. Zusätzlich erlaubt XML-RPC Software, die auf unterschiedlichen Betriebssystemen läuft, die in unterschiedlichen Umgebungen laufen, Prozeduraufrufe über ein Datennetzwerk durchzuführen. Es wird HTTP für den Transport und XML als Dekodierung für entfernten Prozeduraufruf verwendet. XML-RPC ist dazu ausgelegt, so einfach wie möglich zu sein, während es erlaubt, komplexe Datenstrukturen zu übertragen, zu verarbeiten und zurückzugeben.
Bei einem Ausführungsbeispiel der Implementierung des dynamischen Konfigurationsmechanismus kontaktiert der Benutzer den Server von einer Clientmaschine, wobei das lokale Modul auf dem lokalen Server kontrolliert wird, um festzustellen, ob es die Autorisierung aufweist, um den Benutzer von der Clientmaschine an diesem Standort zu bedienen. Falls nicht, wird der lokale Server mit dem zentralen Server kommunizieren, um festzustellen, ob das lokale Modul neu konfiguriert oder aktualisiert werden soll, um anschließend den Benutzer von der Clientmaschine an diesem Standort zu unterstützen. Mit dem neu konfigurierten, lokalen Modul kann der Benutzer und die Clientmaschine authentifiziert werden und die Zugriffsberechtigung des Benutzers wird zugänglich gemacht, womit dem Benutzer gestattet wird, auf geschützte Dokumente von der authentifizierten Clientmaschine zuzugreifen.
Um das obige Ausführungsbeispiel fortzuführen, werden ein oder mehrere lokale Server verwendet, um eine lokalisierte Version des Servermoduls zu speichern, um nur eine lokalisierte Zugriffskontrollverwaltung bereitzustellen.
6B zeigt ein Ablaufdiagramm des dynamischen Konfigurierens des Zugriffkontrollmanagementverfahren 620, das in einem Server oder mehreren lokalen Servern implementiert sein kann. Das Verfahren 620 wird bei 610 und 612 von 6A durchgeführt. Bei 610 wurde der Benutzer als authentifiziert ermittelt. Bei 622 muss der Server als nächstes die Zahl der Standorte oder Computer bestimmen, von denen der Benutzer autorisiert ist, um auf das geschützte Dokument zuzugreifen. Im Betrieb wird die Zugriffsberechtigung des Benutzers überprüft. Typischerweise weißt die Zugriffsberechtigung des Benutzers Informationen auf, die aufzeigen, wo (z.B. ein erlaubter Standort, ein geographischer Standort oder ein lokales Netzwerk) und/oder welche lokalen Computer der Benutzer verwenden kann (z.B. erlaubte Computer). Bei einigen Fällen reist ein Benutzer viel zwischen einigen Büros in unterschiedlichen geographischen Orten, wodurch der Benutzer privilegiert sein kann, auf geschützte Dokumente von einem dieser geographischen Orte/Computern zuzugreifen.
Bei 624 wird der aktuelle Standort des Benutzers, von dem die Anfrage empfangen wurde, überprüft, um festzustellen, ob es von den erlaubten Standorten in der Zugriffsberechtigung ist. Wenn der aktuelle Standort nicht unter den erlaubten Standorten ist, geht das Verfahren 620 zu 626, wodurch ein Hinweis an den Benutzer gesendet oder einfach die Anfrage verweigert werden kann. Falls der aktuelle Standort unter den erlaubten Standorten ist, geht das Verfahren 620 zu 628, wo das lokale Modul, das gegenwärtig eine Zugriffskontrollverwaltung bereitstellt, überprüft wird (z.B. im lokalen Servermanager 514 von 5A), um festzustellen, ob der Benutzer unter der lokalisierten Zugriffskontrollverwaltung ist. Falls der Benutzer unter der lokalisierten Zugriffskontrollverwaltung des lokalen Moduls ist, geht der Prozess 620 zu 612 von 6A. Falls der Benutzer nicht unter der lokalisierten Zugriffskontrollverwaltung des lokalen Moduls ist, muss der Server bei 630 festlegen, welches lokale Modul zuvor eine lokale Zugriffskontrollverwaltung für den Benutzer bereitgestellt hat. Sobald die Informationen von den lokalen Modulen der unterschiedlichen lokalen Servern gesammelt wurde, findet bei 632 eine Neukonfiguration der lokalen Module statt. Im Wesentlichen wird die Benutzerunterstützung von einem lokalen Modul entfernt und bei einem anderen lokalen Modul hinzugefügt, was ferner in 6C beschrieben wird.
Bei 634 werden die neu konfigurierten, lokalen Module jeweils auf die entsprechenden lokalen Servern geladen. Folglich kann der Benutzer auf geschützte Dokumente von dem neuen Standort zugreifen, während das System sicherstellt, dass zu jedem Zeitpunkt nur einem Standort/Computer eine Zugriffserlaubnis erteilt wird.
Eines der Merkmale im Mechanismus des dynamischen Neukonfigurierens der lokalen Module ist die Verlässlichkeit, die Zuverlässigkeit und die Skalierbarkeit der zentralen Zugriffskontrollverwaltung durch den zentralen Server 500 von 5A. Wenn ein Unternehmen viele Angestellte in mehreren Standorten hat, können die lokalen Server hinzugefügt werden, um den Erfordernissen nachzukommen, ohne die Leistungsfähigkeit zu beeinträchtigen. In Wirklichkeit sind die Benutzer für eine vorher festgelegte Zeitdauer nicht sehr beeinträchtigt, falls die jeweiligen Verbindungen zwischen dem zentralen Server und den lokalen Servern nicht verfügbar sind.
6C zeigt ein Ablaufdiagramm des Verfahrens 640 gemäß einem Ausführungsbeispiel zum neuen Konfigurieren der lokalen Module. Das Verfahren 640 ist zum Beispiel eine Verarbeitung, die bei 632 von 6B durchgeführt wird. Bei 642 wird ein erstes lokales Modul identifiziert, das zuvor den Benutzer am ersten Standort unterstützt hat. Bei 644 ist das erste lokale Modul neu konfiguriert, um im Wesentlichen die Unterstützung für den Benutzer am ersten Standort zu entfernen. Das neu konfigurierte, erste, lokale Modul wird dann bei 646 auf den entsprechenden lokalen Server geladen, um gültig zu werden, so dass der Benutzer nicht länger von diesem lokalen Server unterstützt wird. Bei 648 wird ein zweites lokales Modul identifiziert, um den Benutzer am zweiten Standort (z.B. wo sich der Benutzer momentan befindet) zu unterstützen. Bei 650 wird das zweite lokale Modul neu konfiguriert, um im Wesentlichen die Unterstützung für den Benutzer am zweiten Standort hinzuzufügen. Das neu konfigurierte, zweite lokale Modul wird bei 652 dann auf den entsprechenden lokalen Server geladen, um gültig zu sein, so dass der Benutzer nur von dem lokalen Server unterstützt wird.
Die Konfiguration eines Zugriffs des Benutzers auf ein geschütztes Dokument wird manchmal als Bereitstellungsverfahren bezeichnet. Der dynamische Bereitstellung, die oben beschieben wurde, wird zugetraut, die notwendigen Sicherheitsmittel bereitzustellen, die von einem großem Unternehmen benötigt werden, das Angestellte in verschiedenen Standorten hat, ohne den Verlust der zentralisierten Zugriffskontrollverwaltung bei einem zentralen Server. Ferner kann die Verwendung von mehreren lokalen Servern zum Unterstützen des zentralen Servers erhöhte Verlässlichkeit, Zuverlässigkeit und Skalierbarkeit liefern.
Nun wird auf 7A Bezug genommen, wo ein funktionales Blockdiagramm einer Clientmaschine 700 gezeigt wird. Wie hierin verwendet, ist die Clientmaschine 700 eine Recheneinheit, die primär von einem Benutzer verwendet wird, um auf geschützte Dokumente zuzugreifen. Die Clientmaschine 700 kann zum Beispiel ein Desktopcomputer, eine mobile Einrichtung oder ein Laptopcomputer sein. Gemäß einem Ausführungsbeispiel weist die Clientmaschine 700 einen Prozessor 701, ein Clientmodul 702, einen Speicherplatz 703, eine Netzwerkschnittstelle 705 und einen lokalen Speicher 707 auf. Das Clientmodul 702 befindet sich in dem Speicherplatz 703 und liefert, wenn es vom Prozessor 701 ausgeführt wird, Merkmale, Vorteile und Nutzen, die in der vorliegenden Erfindung betrachtet werden. Durch die Netzwerkschnittstelle 705 ist die Clientmaschine 700 fähig, mit andern Computern, wie einem Server, über ein Datennetzwerk zu kommunizieren. Von der Clientmaschine 700 kann ein Benutzer auf geschützte Dokumente zugreifen, die in einem Repository (Speicher) 706 liegen, das auf der Clientmaschine 700, einer anderen vernetzten Einrichtung oder anderen Speichermitteln sein kann. Ein Clientmodul 702 ist eine ausführbare Version eines Ausführungsbeispiels der vorliegenden Erfindung. Gemäß einem Ausführungsbeispiel weist das Clientmodul 702 eine Zahl von Submodulen auf, die ein Zugriffsberichtmodul 704, ein Benutzerverifizierungsmodul 710, einen Schlüsselmanager 708, ein Dokumentsicherungsmodul 711 und einen Offlinezugriffsmanager 714 umfasst.
Zugriffsberichtmodul 704:
Dieses Modul ist ein Softwareagent, der dazu ausgelegt ist, Zugriffsaktivität aufzuzeichnen und einem authentifizierten Benutzer zuzuordnen. Es berichtet an ein Zugriffsberichtsmodul des zentralen Servers, so dass ein Datensatz erstellt werden kann, auf welches geschützte Dokument durch welchen Benutzer während welcher Zeit zugegriffen wurde. Insbesondere ist das Zugriffsberichtsmodul 704 aktiviert, um Zugriffsaktivitäten des Benutzers zu erfassen, wenn die Clientmaschine nicht vernetzt ist. Die Zugriffsaktivitäten werden später mit dem Gegenstück auf dem Server synchronisiert, um die Zugriffskontrollverwaltung für den Offlinezugriff zu vereinfachen.
Schlüsselmanager 708:
Eines der Ziele für den Schlüsselmanager 708 besteht darin, sicherzustellen, dass ein geschütztes Dokument immer noch verwendbar ist, wenn auf das geschützte Dokument durch eine Anwendung zugegriffen wird, die plötzlich abstürzt. Gemäß einem Ausführungsbeispiel wird der Dateischlüssel dann kopiert oder eine Kopie davon wird im Schlüsselmanager 708 gespeichert (gecacht), nachdem der verschlüsselte Header entschlüsselt wurde. Der Dateischlüssel wird dann verwendet, um das verschlüsselte Dokument zu entschlüsseln. Ein unverschlüsseltes Dokument ist nun für die Anwendung verfügbar. Falls die Anwendung aufgrund eines Stromausfalls abstürzt oder durch eine andere Anwendung oder das OS beeinträchtigt wird, kann der Dateischlüssel im Header beschädigt werden. Falls keine Kopie des Dateischlüssels verfügbar ist, könnte das geschützte Dokument nicht mehr verwendbar sein, da das verschlüsselte Dokument nicht ohne den Dateischlüssel entschlüsselt werden kann. In diesem Fall kann der im Schlüsselmanager aufbewahrte, zurückgehaltene Schlüssel verwendet werden, um den beschädigten Schlüssel zu ersetzen und das verschlüsselte Dokument zu entschlüsseln. Nachdem der Benutzer die Datei wieder speichert, wird der Dateischlüssel wieder im Header abgelegt. Ein anderer Zweck des Schlüsselmanagers 708 besteht im Cachen eines Benutzerschlüssel oder von Benutzerschlüsseln eines authentifizieren Benutzers.
Benutzerverifizierungsmodul 710:
Dieses Modul ist verantwortlich, festzustellen, ob ein Benutzer, der auf ein geschütztes Dokument zugreift, authentifiziert wurde, anderenfalls wird es eine Anfrage zur Authentifizierung bei einem lokalen Server oder einem zentralen Server initialisieren. Mit andern Worten wird das Benutzerverifizierungsmodul 710 immer befragt, bevor eine Erlaubnis an den Benutzer gewährt wird, der Zugriff auf ein geschütztes Dokument begehrt. Gemäß einem Ausführungsbeispiel sind ein Benutzerschlüssel oder – schlüssel von einem authentifizierten Benutzer im Schlüsselmanager 708 gespeichert (gecacht), sobald der Benutzer durch das Benutzerverifizierungsmodul mittels des Servers authentifiziert wurde. Wenn auf ein geschütztes Dokument zugegriffen wird, muss der Benutzerschlüssel vom Schlüsselmanager 708 abgerufen werden, um die verschlüsselten Sicherheitsinformationen im Header des geschützten Dokuments zu entschlüsseln.
Dokumentsicherungsmodul 711:
Wie oben beschrieben, weist das DSM 711 eine Verschlüsslung 712 auf, die verwendet wird, um an einen Datei/Benutzerschlüssel zu generieren und ein Dokument/Header zu verschlüsseln/entschlüsseln. Zusätzlich können andere Sicherungsmittel in DSM 711 implementiert sein, zum Beispiel ein Filter, um zu verhindern, dass Inhalte aus einem geschützten Dokument in ein nicht geschütztes Dokument oder eine Verknüpfung von einem geschützten Dokument/Originalquelle zu einem anderen Dokument oder einer Empfängerquelle kopiert wird.
Offlinezugriffsmanager 714:
Dieses Modul tritt nur in Kraft, wenn die vernetzte Clientmaschine vom Netzwerk getrennt ist, nämlich die Kommunikation mit einem lokalen Server oder einem zentralen Server momentan nicht verfügbar ist. Zum Beispiel wenn ein Benutzer unterwegs ist und immer noch Zugriff auf einige geschützte Dokumente auf einem Laptopcomputer braucht. Wenn eine direkte Befragung nicht verfügbar ist, wird der Offlinezugriffsmanager 714 aktiviert, um sicherzustellen, dass der autorisierte Benutzer immer noch auf geschützte Dokumente zugreifen kann, aber nur für eine beschränkte Zeitdauer und vielleicht mit einer eingeschränkten Berechtigung.
Es sollte darauf hingewiesen werden, dass das Clientmodul 702 in 7A einige exemplarische Submodule gemäß einem Ausführungsbeispiels der vorliegenden Erfindung aufführt und nicht jedes Modul im Servermodul 702 implementiert werden muss, um die vorliegende Erfindung auszuführen. Der Fachmann kann verstehen, dass für verschiedene hierin beschriebene Kombinationen der Submodule gewisse Funktionen Nutzen und Vorteile erreichen werden können, die in der vorliegenden Erfindung betrachtet werden.
Viele Aspekte der Arbeitsweise des Clientmoduls 702 wurden oben beschrieben. Das Clientmodul 702 kann eine Offlinezugriffsfähigkeit bereitstellen, um einem Benutzer das Arbeiten mit einem geschützten Dokument entfernt hinsichtlich eines Servers (z.B. der zentrale Server oder ein lokaler Server) zu erlauben. Die Abhängigkeit vom Server (entweder einem der zentralen Server oder einem der lokalen Server) ist so minimal, dass die Merkmale ebenso für mobile Benutzer anwendbar sind. Nun wird Bezug auf 7B genommen, wo ein Ablaufdiagramm zum Bereitstellen des Offlinezugriffsverfahrens 720 in Übereinstimmung mit einem Ausführungsbeispiel der vorliegenden Erfindung gezeigt wird.
Wenn ein Benutzer sich entschlossen hat, sich von einem Betriebsgelände für eine bestimmte Zeit zu entfernen und Zugriff auf einige geschützte Dokumente auf einer Clientmaschine (z.B. ein Laptopcomputer) benötigt, den der Benutzer mit sich herumträgt, kann der Benutzer eine Vorauthentifizierung vom Server erhalten, bevor der Benutzer die Clientmaschine vom Netzwerk trennt. Bei 722 wird die Vorauthentifizierungsanfrage auf der Clientmaschine getätigt, um eine Bewilligung einer Offlinezugriffanfrage von einem Server (z.B. einem zentralen Server oder einem lokalen Server) zu begehren. Abhängig von einer genauen Implementierung kann eine Antwort auf die Vorauthentifizierungsanfrage, die vom Server empfangen wird, ein Dialogfenster sein, das weitere Informationen vom Benutzer für den Server abfragt, um mit der Offlinezugriffanfrage fortzufahren.
Bei 724 gibt der Benutzer notwendige Informationen für die Offlinezugriffanfrage ein, die eine spezielle Zeitperiode und die Identität des Benutzers aufweisen kann. Die Offlinezugriffanfrage kann vielleicht auch die Namen der geschützten Dokumente oder Verzeichnisse/Ordner aufweisen, in welchen sich geschützte Dokumente befinden und auf welche offline zugegriffen wird. Im Allgemeinen wird die spezifische Zeit manuell eingegeben oder ausgewählt, während die Identität des Benutzers automatisch eingegeben wird, da der Benutzer typischerweise zuvor authentifiziert wurde und die Clientmaschine die Identität des Benutzers besitzt. Die Offlinezugriffanfrage wird dann an den Server weitergeleitet, wo die Offlinezugriffanfrage weiter verarbeitet wird. Es wird angenommen, dass der Benutzer autorisiert ist, solch eine Offlinezugriffsberechtigung zu haben.
Im Betrieb gibt es etliche mögliche Wege, um die Offlinezugriffsfähigkeit zu aktivieren. Ein exemplarischer Weg ist, eine zeitempfindliche Zugriffsänderung für die gewünschten, geschützten Dokumente zu platzieren, zum Beispiel wird der Benutzer vorauthentifiziert, indem ein Paar von neu erzeugten, kurzlebigen Benutzerschlüsseln erteilt wird oder der Schlüssel des Benutzers oder die Schlüssel des Benutzers in unleserlicher Form auf die Clientmaschine (nur der private Schlüssel wird benötigt, falls nur auf geschützte Dokumente zugegriffen wird und beide sind erforderlich, falls auch neu erzeugte Dokumente geschützt werden) hochgeladen werden. Mit anderen Worten wurden die Zugriffsberechtigung des Benutzers oder die Zugriffsregeln in den ausgewählten, geschützten Dokumenten für die begehrte Dauer aktualisiert. Abhängig von der Implementierung werden dementsprechend die geänderten Zugriffsregeln, die geänderte Zugriffsberechtigung oder ein zeitempfindlicher Benutzerschlüssel (zeitempfindliche Benutzerschlüssel) bei 726 vom Server empfangen.
Bei 728 werden die ursprünglichen Zugriffsregeln oder die ursprüngliche Zugriffsberechtigung des Benutzers oder der ursprüngliche Benutzerschlüssel (die ursprünglichen Benutzerschlüssel) abgeändert, aktualisiert oder vorläufig überschrieben. Wenn die geänderten Zugriffsregeln empfangen werden, werden die geschützten Dokumente weiterverarbeitet, um die Änderungen in die Zugriffsregeln aufzunehmen, so dass der Benutzer später auf diese Zugreifen kann, sogar wenn er offline ist. Wenn die geänderte Zugriffsberechtigung empfangen wird, wird die ursprüngliche Zugriffsberechtigung des Benutzers vorläufig mit den empfangenen Änderungen überarbeitet, so dass der Benutzer nun auf geschützte Dokumente offline zugreifen kann. Wenn die zeitempfindlichen Benutzerschlüssel empfangen werden, werden die ursprünglichen Schlüssel des Benutzers gesperrt (z.B in ein unleserliches Format umgewandelt oder sie sind nicht ohne weiteres verwendbar) und die neu empfangenen Schlüssel werden während der Offlinezugriffsdauer gültig sein. 7C stellt dar, dass eine Änderung der Zugriffsregeln in einem geschützten Dokument platziert wird, auf das durch Benutzer A, B, C und D zugegriffen werden kann, wobei Benutzer A Offlinezugriff angefordert hat und Offlinezugriff für die Anfrage gewährt wurde, während Benutzer B, C und D nicht auf die geschützten Dokumente offline zugreifen können.
Aus Sicherheitsgründen wird die Änderung typischerweise durch das Ende der spezifischen Offlinezeit ungültig, unabhängig davon, ob der Benutzer zurückgekehrt ist oder nicht. Dieses Merkmal ist für Situationen wichtig, bei denen die Clientmaschine (z.B. ein Laptopcomputer) vom Benutzer getrennt ist oder im Besitz einer unautorisierten Person ist, da auf die geschützten Dokumente der Clientmaschine nicht länger mit dem abgelaufenen Benutzerschlüsseln zugegriffen werden kann, sogar wenn die vertrauenswürdigen Informationen des Benutzers (Benutzername/Passwort) von einem Hacker ausspioniert wurden. Deshalb fährt das Verfahren 720 bei 730 fort, zu überprüfen, ob die Offlinezeit abgelaufen ist. Falls nicht, kann der Benutzer immer noch auf die geschützten Dokumente offline zugreifen. Wenn festgestellt wird, dass die Offlinezeit abgelaufen ist, geht das Verfahren 720 zu 734, wo die ursprünglichen Zugriffsregeln wieder hergestellt werden, so dass auf die geschützten Dokumente nicht länger offline zugegriffne werden kann.
Ähnlich kann die geänderte Zugriffsberechtigung des Benutzers so ausgelegt sei, dass sie ebenfalls abläuft, wenn festgestellt wird, dass die Offlinezeit abgelaufen ist, wobei das Verfahren 720 zu 734 geht, wo die ursprüngliche Zugangsberechtigung des Benutzers hergestellt wird, so dass auf die geschützten Dokumente nicht länger offline zugegriffen werden kann. Gemäß einem Ausführungsbeispiel wird die geänderte Zugriffsberechtigung durch die ursprüngliche Zugriffsberechtigung überschrieben.
Um der Situation Rechenschaft zu tragen, bei der der Benutzer seine Reise abbrechen kann, kann das Verfahren 720 dazu ausgelegt sein, die Wiederherstellung der ursprünglichen Einstellung für die geschützten Dokumente oder die Zugriffsberechtigung des Benutzers zu initialisieren. Bei 732 erkennt die Clientmaschine, dass eine Verbindung zu einem Zugriffsverwaltungsserver hergestellt wurde; folglich wird angenommen, dass der Offlinezugang nicht länger benötigt wird. Das Verfahren 720 geht zu 734, wo die Wiederherstellung der ursprünglichen Einstellung für die geschützten Dokumente, der Zugriffsberechtigung des Benutzers oder der Schlüssel des Benutzers stattfindet. Folglich kann auf die geschützten Dokumente nicht länger offline von der Clientmaschine zugegriffen werden.
In jedem Fall ist es wünschenswert, das Zugriffsberichtmodul 704 im Clientmodul 702 aufzurufen, um die Zugriffsaktivitäten des Benutzers während des Offlinezugriffs aufzuzeichnen. Wenn der Benutzer das nächste Mal mit dem Server eine Verbindung herstellt, können die Zugriffsaktivitäten der geschützten Dokumente an den Server gemeldet werden, um die Zugriffskontrollverwaltung oder die Synchronisation der geschützten Dokumente, auf die während der Offlinezeit zugegriffen wurde, zu vereinfachen.
Es gibt zahlreiche Funktionen, Vorteile und Vorzüge bei der vorliegenden Erfindung. Einer von den Funktionen, Vorteilen und Vorzügen besteht darin, dass der Sicherungsmechanismus, der bei der vorliegenden Erfindung betrachtet wird, ausgewählte digitale Werte zu jedem Zeitpunkt unter Schutz hält, indem Zugriffsregeln in den geschützten digitalen Werten verwendet werden. So können nur autorisierte Benutzer mit authentifizierten Maschinen auf die geschützten, digitalen Werte bzw. Güter zugreifen. Andere Funktionen, Nutzen und Vorteile sind für den Fachmann im Hinblick auf die detaillierte Beschreibung offensichtlich.
Die vorliegende Erfindung kann als ein Verfahren, ein System, ein computerlesbares Medium, ein Computerprodukt oder in anderen Formen, die erreichen was hierin gewünscht wird, implementiert sein. Der Fachmann wird verstehen, dass die Beschreibung ebenso auf verschiedene unterschiedliche Einrichtungen angewendet oder damit verwendet werden kann, in Bezug auf verschiedene Kombinationen, Ausführungsbeispiele oder Einrichtungen, die hier in der Beschreibung vorgesehen werden.
Die oben erläuterten Verfahren, Abläufe oder Schritte und Merkmale beziehen sich gegenseitig aufeinander und jedes wird unabhängig als neu gemäß über dem Stand der Technik erachtet. Die offenbarten Verfahren, Abläufe oder Schritte und Merkmale können einzeln ausgeführt werden oder in jeder beliebigen Kombination, um ein neues und nicht-offensichtliches System oder einen Teil eines Systems vorzusehen. Es sollte verstanden werden, dass auch die Verfahren, die Abläufe oder die Schritte und Merkmale in Kombination eine ebenso unabhängig neue Kombination ergeben, selbst wenn sie in ihrem weitesten Sinne kombiniert werden, z.B. mit weniger als der speziellen Art, in der jedes/jeder der Verfahren, Abläufe oder Schritte und Merkmale in die Praxis umgesetzt wurde.
Die vorstehende Beschreibung von Ausführungsbeispielen ist für verschiedene Aspekte/Ausführungsbeispiele der vorliegenden Erfindung illustrativ. Verschiedene Modifikationen an der vorliegenden Erfindung können an den bevorzugten Ausführungsbeispielen durch den Fachmann getätigt werden, ohne vom Umfang der Erfindung, wie durch die beigefügten Ansprüche definiert, abzuweichen.

Claims

Verfahren zum Vorsehen einer Zugriffskontrollverwaltung für elektronische Daten, wobei das Verfahren folgendes umfasst: Empfangen (458) einer Zugriffsanfrage bezüglich der elektronischen Daten (220) von einer Anwendung (306), wobei die Anwendung (306) über ein Betriebssystem (304) ausgeführt wird; Ermitteln (460) der Sicherheitsart der elektronischen Daten (220); falls die Sicherheitsart anzeigt (460), dass die elektronischen Daten (220) geschützt sind, umfassen die elektronischen Daten (220) einen Header (222) und einen verschlüsselten Datenteil (224), wobei der Header ferner Sicherheitsinformationen aufweist; Ermitteln (466) anhand der Sicherheitsinformationen (226) und der Systemrichtlinien, ob der Benutzer notwendige Zugriffsrechte besitzt, um auf den verschlüsselten Datenteil (224) zuzugreifen; und Entschlüsseln (468) des verschlüsselten Datenteils (224) nur dann, wenn für den Benutzer festgestellt wurde, dass er die nötigen Zugriffsrechte für den Zugriff auf den verschlüsselten Datenteil besitzt; dadurch gekennzeichnet, dass das Ermitteln (460) der Sicherheitsart der elektronischen Daten (220) im Betriebssystem (304) auf dem Client-Rechner (100) ausgeführt wird, wenn die elektronischen Daten vom Betriebssystem (304) zur Anwendung (306) verschoben werden.
Verfahren nach Anspruch 1, wobei das Ermitteln (466) anhand der Sicherheitsinformationen (226) und der Systemrichtlinien, ob der Benutzer notwendige Zugriffsrechte besitzt, folgendes aufweist: Entschlüsseln (468) der Sicherheitsinformationen mit dem Benutzer-Schlüssel; Abrufen von Zugriffsregeln aus den Sicherheitsinformationen (226); und Abwägen der Zugriffsregeln gegen die Zugriffsrechte des Benutzers und die Systemrichtlinien.
Verfahren nach Anspruch 1 oder 2, ferner aufweisend: Abrufen eines Dateischlüssels aus den Sicherheitsinformationen (226), falls das Abwägen der Zugriffsregeln gegen die Zugriffsrechte erfolgreich war.
Verfahren nach einem vorangehenden Anspruch, ferner aufweisend: Herstellen einer Verbindung mit einem Server (106, 500), der eine Zugriffskontrollverwaltung ausführt; Senden einer Authentifikationsanfrage an den Server, die zum Authentifizieren des Benutzers eine Kennung umfasst, die den Benutzer für die Zugriffskontrollverwaltung identifiziert; Weiterleiten (532) des Headers (222) zum Server (106, 500); und Empfangen (548) eines vom Header (222) abgerufenen Dateischlüssels.
Verfahren nach Anspruch 4, ferner aufweisend: Aktivieren eines Chiffriermoduls (310); und Entschlüsseln des verschlüsselten Datenteils (224) durch das Chiffriermodul (310) mit dem erhaltenen Dateischlüssel.
Verfahren nach einem vorangehenden Anspruch, ferner aufweisend: Herstellen einer Verbindung mit einem Server (106, 500), der eine Zugriffskontrollverwaltung ausführt; Senden (602) einer Authentifikationsanfrage an den Server (106, 500), die zum Authentifizieren des Benutzers eine Kennung umfasst, die den Benutzer für die Zugriffskontrollverwaltung identifiziert; Empfangen einer Authentifikationsnachricht, nachdem der Benutzer authentifiziert ist; und lokales Aktivieren (612) des Benutzerschlüssels auf dem Client-Rechner (100).
Verfahren nach einem vorangehenden Anspruch, wobei die Sicherheitsinformationen (226) verschlüsselt sind und der Header (222) ferner eine Signatur, die besagt, dass die elektronischen Daten (220) geschützt sind, die verschlüsselten Sicherheitsinformationen (226), die eine Menge von Regeln umfassen, und einen Dateischlüssel umfasst, und wobei die Zugriffsregeln in einer Auszeichnungssprache formuliert sind.
Verfahren nach einem vorangehenden Anspruch, wobei ein Sicherungsmodul (302) im Betriebssystem (304) eingebettet ist und das Sicherungsmodul aktiviert wird, um die elektronischen Daten (220) abzufangen, falls die Sicherheitsart aufzeigt, dass die elektronischen Daten geschützt sind.
Verfahren nach Anspruch 8, wobei das Sicherungsmodul (302) so konfiguriert ist, dass es die Systemrichtlinien befragt und bestätigt, dass der Benutzer wenigstens einige der notwendigen Zugriffsrechte besitzt, um auf die verschlüsselten Datenteil (224) zugreifen zu können, bevor er fortfährt die elektronischen Daten (220) zu bearbeiten.
Verfahren nach einem vorangehenden Anspruch, wobei die Systemrichtlinien von einem entfernt angeordneten Server-Rechner (106, 500) auf den Client-Rechner (100) verteilt werden, so dass der Zugriff auf die elektronischen Daten immer kontrolliert wird.