將公司數(shù)字信息限制在公司界限內(nèi)的方法
【專利摘要】一種實(shí)施虛擬公司界限的方法可以包括客戶端設(shè)備對用戶與所述客戶端設(shè)備的交互做出響應(yīng)而從服務(wù)器設(shè)備上的網(wǎng)站請求敏感內(nèi)容。所述服務(wù)器設(shè)備能夠確定所述用戶和/或客戶端設(shè)備是否被允許訪問所述敏感內(nèi)容。所述客戶端設(shè)備上的安全元件能夠在所述服務(wù)器設(shè)備和所述客戶端設(shè)備之間建立會(huì)話密鑰。所述服務(wù)器設(shè)備能夠渲染所述敏感內(nèi)容并且將其發(fā)送到所述客戶端設(shè)備，所述客戶端設(shè)備能夠向所述用戶顯示所述內(nèi)容。
【專利說明】將公司數(shù)字信息限制在公司界限內(nèi)的方法

【技術(shù)領(lǐng)域】
[0001]所公開的技術(shù)通常涉及數(shù)據(jù)安全，并且更加具體地涉及用于在實(shí)施組織機(jī)構(gòu)的數(shù)據(jù)使用策略的同時(shí)防止從用戶端點(diǎn)泄露敏感信息的技術(shù)。

【背景技術(shù)】
[0002]員工們?yōu)榱嗽谒麄兊墓ぷ魃詈蛡€(gè)人生活中都處于被通知、被連接和可工作的狀態(tài)，他們傾向于使用多種流行且不同的產(chǎn)品，例如智能電話和平板計(jì)算設(shè)備，以便訪問和利用多種社交聯(lián)網(wǎng)和即時(shí)消息傳送技術(shù)中的任意一種。這些產(chǎn)品以及與其相關(guān)聯(lián)的應(yīng)用對于信息技術(shù)(IT)團(tuán)隊(duì)來講是具有挑戰(zhàn)性的，特別是因?yàn)閱T工越來越希望使用他們喜歡的移動(dòng)設(shè)備同時(shí)用于個(gè)人和工作用途。也就是說，用戶傾向于在能夠用于訪問企業(yè)應(yīng)用和數(shù)據(jù)的相同設(shè)備上存儲(chǔ)個(gè)人數(shù)據(jù)并且安裝基于互聯(lián)網(wǎng)的游戲。
[0003]對于具有隨時(shí)/隨地訪問的永遠(yuǎn)在線環(huán)境的用戶需求正在從根本上改變支持和服務(wù)要求。實(shí)際上，這些消費(fèi)類技術(shù)和工具正在有效地打破傳統(tǒng)的IT壁壘。無論是否被允許，當(dāng)員工將他們的諸如Ipad的個(gè)人設(shè)備帶入某些區(qū)域中時(shí)，基于開放客戶端的信道上的公司信息共享的好處導(dǎo)致了不期望的信息泄露。個(gè)人和公司應(yīng)用的混合加劇了數(shù)據(jù)的風(fēng)險(xiǎn)。盡管主要關(guān)注點(diǎn)經(jīng)常是電子郵件，但是存在諸如網(wǎng)絡(luò)訪問、文件共享以及使用網(wǎng)絡(luò)共享數(shù)據(jù)的社交媒體的許多其它目標(biāo)區(qū)域。并且，公司經(jīng)常經(jīng)歷由利用這樣的混合的網(wǎng)絡(luò)罪犯和內(nèi)部威脅進(jìn)行的以公司為目標(biāo)的網(wǎng)絡(luò)釣魚、公司間諜攻擊的增加。
[0004]在敏感數(shù)據(jù)貫穿組織機(jī)構(gòu)移動(dòng)時(shí)，包括移動(dòng)到公司外部的目的地，對該敏感數(shù)據(jù)在靜止和傳送期間的監(jiān)控、追蹤和管制的當(dāng)前嘗試傾向于遇到許多限制，例如繞開惡意數(shù)據(jù)移動(dòng)以及IT部門的可見性。例如以奧羅拉(Aimm1)為例的高級(jí)持續(xù)威脅，拷貝到USB設(shè)備中作為維基泄密等等。并且，在瀏覽期間，數(shù)據(jù)典型地需要在終端用戶的平臺(tái)處被解密，這對于諸如屏幕抓取工具的各種威脅經(jīng)常變得很脆弱。這樣的嘗試對性能和可用性方面并非沒有影響。例如，為了保護(hù)數(shù)據(jù)，IT團(tuán)隊(duì)可能運(yùn)行許多管制應(yīng)用和套件，例如防病毒(AV)軟件、防火墻、基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)、文件完整性監(jiān)控(FIM)應(yīng)用、應(yīng)用控制、力口密等等。然而，所有這些保護(hù)措施會(huì)消耗客戶端設(shè)備的處理能力和電池電量。并且，由于不斷變化的監(jiān)管環(huán)境，應(yīng)對這些變化需要付出高昂的代價(jià)。

【專利附圖】

【附圖說明】
[0005]在附圖中通過示例而非限制的方式說明了所公開技術(shù)的實(shí)施例，在附圖中，類似的附圖標(biāo)記指代類似的元件。
[0006]圖1是說明其中可以實(shí)現(xiàn)所公開技術(shù)的實(shí)施例的典型環(huán)境的示例的框圖。
[0007]圖2是說明根據(jù)所公開技術(shù)的實(shí)施例的安全系統(tǒng)的第一示例的框圖。
[0008]圖3是說明根據(jù)所公開技術(shù)的實(shí)施例的安全系統(tǒng)的第二示例的框圖。
[0009]圖4是說明根據(jù)所公開技術(shù)的實(shí)施例實(shí)施虛擬公司界限實(shí)現(xiàn)虛擬公司界限的第一示例的流程圖。
[0010]圖5是說明根據(jù)所公開技術(shù)的實(shí)施例實(shí)施虛擬公司界限實(shí)現(xiàn)虛擬公司界限的第二示例的流程圖。

【具體實(shí)施方式】
[0011]圖1是說明其中可以實(shí)現(xiàn)所公開技術(shù)的實(shí)施例的典型環(huán)境100的示例的框圖。在該示例中，公司具有可以訪問公司資源104的各種員工102，該公司資源例如是內(nèi)聯(lián)網(wǎng)網(wǎng)站、電子郵件服務(wù)器以及存儲(chǔ)或促進(jìn)對敏感數(shù)據(jù)、信息、內(nèi)容或其任意組合的訪問的多個(gè)設(shè)備或應(yīng)用中的任意一個(gè)。員工102可以與在正常業(yè)務(wù)操作的過程期間被允許進(jìn)入公司場所的多個(gè)承包商106和/或臨時(shí)訪客108中的任意一個(gè)一起工作。然而，公司可能不希望為承包商106或臨時(shí)訪客108提供到公司資源104的某些訪問，可能是完全的或者甚至是受限或者被限制的。
[0012]在該示例中，虛擬公司界限110被實(shí)現(xiàn)為保護(hù)公司的資源104，并且特別是存儲(chǔ)在其上的敏感數(shù)據(jù)，免受尋求訪問和/或破壞這樣的數(shù)據(jù)的網(wǎng)絡(luò)罪犯114的攻擊。如果網(wǎng)絡(luò)罪犯114訪問或者拷貝由公司資源104存儲(chǔ)的任何敏感數(shù)據(jù)，他們可能接著尋求出賣或者以其它方式將這樣的數(shù)據(jù)或信息傳輸給諸如競爭對手、新聞?dòng)浾叩鹊鹊牡谌?16?？蛇x地或者此外，可能存在公司想要向其發(fā)送某些數(shù)據(jù)或信息或者提供對這樣的數(shù)據(jù)的訪問的商業(yè)伙伴112，這樣的數(shù)據(jù)可能包括敏感數(shù)據(jù)。
[0013]所公開技術(shù)的實(shí)施例可以向公司或者諸如信息技術(shù)(IT)部門的團(tuán)隊(duì)提供能力和更大的控制，以便克服目前所嘗試的解決方案的許多限制。實(shí)施例可以用于保護(hù)諸如臺(tái)式機(jī)或筆記本電腦、平板計(jì)算設(shè)備或智能電話的用戶端點(diǎn)處的諸如文本/文檔、視頻、音頻等等的公司和/或敏感數(shù)字內(nèi)容，使得審計(jì)和訪問控制服務(wù)器(AAS)不能夠被繞開。
[0014]例如，當(dāng)用戶訪問敏感內(nèi)容時(shí)，用戶的身份和設(shè)備會(huì)被IT部門的AAS認(rèn)證，以便確保該訪問局限于例如具有IT部門批準(zhǔn)的設(shè)備的被授權(quán)用戶。該設(shè)備可以由IT部門擁有或者屬于用戶的個(gè)人財(cái)產(chǎn)。因此，在公司內(nèi)，可以促進(jìn)并且有效地維護(hù)公司內(nèi)帶自己設(shè)備(bring-your-own-device (BYOD))模型的部署。
[0015]在其中敏感數(shù)據(jù)或內(nèi)容被以加密的格式發(fā)布給用戶的設(shè)備的某些實(shí)施例中，對加密的數(shù)據(jù)進(jìn)行解密的密鑰可以由IT部門的AAS提供。在這樣的實(shí)施例中，敏感數(shù)據(jù)或內(nèi)容可以總是以加密的格式駐留在客戶端設(shè)備上。這樣的實(shí)現(xiàn)可以極大地降低例如用戶的筆記本電腦被盜時(shí)信息泄漏的風(fēng)險(xiǎn)。
[0016]在涉及未授權(quán)用戶和/或未授權(quán)設(shè)備非法拷貝敏感數(shù)據(jù)或內(nèi)容的情況中，該實(shí)現(xiàn)可以干擾或者甚至阻止該未授權(quán)用戶和/或設(shè)備在沒有經(jīng)過AAS認(rèn)證和訪問檢查的情況下瀏覽、打印該內(nèi)容等等。結(jié)果，在這樣的實(shí)施例中，敏感數(shù)據(jù)或內(nèi)容在設(shè)備之間的任何嘗試的移動(dòng)都可能無法繞過IT部門的AAS。
[0017]在所公開技術(shù)的某些實(shí)現(xiàn)中，客戶端設(shè)備上敏感數(shù)據(jù)或內(nèi)容的保護(hù)與該客戶端設(shè)備上其它應(yīng)用中的漏洞是不相關(guān)的。結(jié)果是，經(jīng)常實(shí)質(zhì)上降低了對于監(jiān)控軟件及相關(guān)聯(lián)的成本、性能和電池需求的要求。這樣的實(shí)現(xiàn)也可以在關(guān)于設(shè)備的選擇和消費(fèi)化方面具有更大的員工靈活性。
[0018]在某些實(shí)施例中，可以向數(shù)據(jù)或內(nèi)容添加額外的水印以便防止被例如惡意用戶拍攝和傳播。
[0019]所公開技術(shù)的實(shí)現(xiàn)可以包括安全元件。如在本文中使用的，安全元件通常是指抵抗惡意軟件和/或硬件攻擊的執(zhí)行環(huán)境，可以用于證實(shí)所述執(zhí)行環(huán)境的遠(yuǎn)程方屬性。
[0020]所公開技術(shù)的實(shí)現(xiàn)也可以包括安全子畫面。如在本文中使用的，安全子畫面是指在設(shè)備的屏幕上安全地顯示位圖使得它不會(huì)被例如惡意軟件從屏幕上抓取的能力。安全子畫面可以包括但不局限于受保護(hù)的音頻/視頻路徑(PAVP)和/或高帶寬數(shù)字內(nèi)容保護(hù)(HDCP)技術(shù)。
[0021]在某些實(shí)施例中，多個(gè)認(rèn)證方法中的任意一個(gè)可以用于查驗(yàn)用戶的身份。根據(jù)數(shù)據(jù)策略的要求，這樣的認(rèn)證技術(shù)可以被單獨(dú)實(shí)現(xiàn)或者組合實(shí)現(xiàn)。
[0022]例如，取決于所述安全元件和顯示保護(hù)技術(shù)的能力，所公開技術(shù)的實(shí)施例可以按照多種不同方式中的任意一種來實(shí)現(xiàn)。
[0023]考慮其中名叫約翰的用戶需要從他公司的內(nèi)聯(lián)網(wǎng)網(wǎng)站strategy, acme, com訪問某些采購相關(guān)文檔的示例。約翰具有被配備有強(qiáng)大的認(rèn)證技術(shù)的IT批準(zhǔn)的平板電腦。約翰訪問了在內(nèi)聯(lián)網(wǎng)站點(diǎn)strategy, acme, com上共享的關(guān)于計(jì)劃采購的加密的數(shù)據(jù)。在認(rèn)證了用戶的身份并且檢查了訪問許可之后，資源庫中的文檔被加密和釋放。然而，由于魚叉式網(wǎng)絡(luò)釣魚攻擊，約翰的平板電腦上現(xiàn)在可能具有木馬或者其它不期望的和/或惡意的軟件。
[0024]圖2是說明根據(jù)所公開技術(shù)的實(shí)施例實(shí)現(xiàn)虛擬公司界限的安全系統(tǒng)200的第一示例的框圖。系統(tǒng)200包括網(wǎng)站202，例如公司內(nèi)部網(wǎng)站或者內(nèi)聯(lián)網(wǎng)，例如strategy, acme,com。網(wǎng)站202可以存儲(chǔ)加密的內(nèi)容、信息或數(shù)據(jù)204，例如位圖文件、視頻流、或者虛擬地可以被加密并且存儲(chǔ)在諸如服務(wù)器的機(jī)器上的任何其它類型的數(shù)據(jù)、內(nèi)容或者信息。
[0025]系統(tǒng)200還包括客戶端設(shè)備210，例如平板計(jì)算設(shè)備或者智能電話?？蛻舳嗽O(shè)備210具有與其相關(guān)聯(lián)的用于向用戶視覺地呈現(xiàn)信息的顯示器220。顯示器220可以與客戶端設(shè)備210集成，或者它可以位于遠(yuǎn)離客戶端設(shè)備210的位置，例如經(jīng)由無線連接而連接到客戶端設(shè)備210。
[0026]在該示例中，用戶正在使用連接到網(wǎng)站202的客戶端設(shè)備210。對用戶例如使用客戶端設(shè)備210上的網(wǎng)絡(luò)瀏覽器212或其它應(yīng)用與客戶端設(shè)備210的交互做出響應(yīng)，客戶端設(shè)備210可以發(fā)送對于來自網(wǎng)站202的諸如敏感文檔或內(nèi)容的敏感信息的請求，如由230指示的。
[0027]用戶的身份可以經(jīng)由多個(gè)標(biāo)準(zhǔn)認(rèn)證方法中的任意一種向網(wǎng)絡(luò)應(yīng)用進(jìn)行認(rèn)證。例如，在服務(wù)器側(cè)上，訪問控制系統(tǒng)可以用于檢查用戶被允許訪問特定的采購文檔?；跈z查的肯定結(jié)果，服務(wù)器可以接著發(fā)送響應(yīng)以便激活某些客戶端保護(hù)特征。例如，如由232指示的，網(wǎng)絡(luò)瀏覽器212可以具有調(diào)用安全元件214中的應(yīng)用的擴(kuò)展。
[0028]在某些實(shí)施例中，如由234指示的，可以建立會(huì)話密鑰。在該示例中，安全元件214驗(yàn)證網(wǎng)站202的身份，并且接著在網(wǎng)站202的網(wǎng)絡(luò)應(yīng)用和客戶端設(shè)備210上的圖形芯片集216之間建立短暫的受保護(hù)音頻/視頻路徑(PAVP)會(huì)話密鑰(Ks)?？梢酝ㄟ^在使用客戶端設(shè)備210上的秘密建立的安全信道上來建立會(huì)話密鑰Ks。在某些實(shí)施例中，可以對此進(jìn)行預(yù)先配置?？蛻舳嗽O(shè)備210可以向服務(wù)器通知它的能力和身份。
[0029]在該示例中，如由236指示的，服務(wù)器側(cè)應(yīng)用可以在服務(wù)器上例如以.pdf,, doc或其它格式來渲染敏感內(nèi)容204。在該示例中，這一渲染的位圖被使用會(huì)話密鑰Ks進(jìn)行加密，并且隨后被發(fā)送到客戶端設(shè)備210上的網(wǎng)絡(luò)瀏覽器212。
[0030]如由240指示的，客戶端設(shè)備210上的網(wǎng)絡(luò)瀏覽器212的擴(kuò)展可以向客戶端設(shè)備210上的圖形芯片集216發(fā)送加密的內(nèi)容，以便使該內(nèi)容經(jīng)由高帶寬數(shù)字內(nèi)容保護(hù)(HDCP)在顯示器220上呈現(xiàn)給用戶，如由242指示的?？梢越又鶕?jù)顯示器220上的非安全內(nèi)容將頁面222顯示給用戶。
[0031]在某些實(shí)施例中，客戶端設(shè)備可以具有可擴(kuò)展的安全元件能力，例如具有圖形的PAVP信道。在這樣的實(shí)施例中，要被顯示的圖形可以通過例如以HDCP為例的保護(hù)性措施被保護(hù)。諸如公司內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)上的敏感內(nèi)容可以被直接構(gòu)造在安全元件內(nèi)，并且由安全元件傳送到客戶端設(shè)備的圖形子系統(tǒng)。
[0032]圖3是說明根據(jù)所公開技術(shù)的實(shí)施例實(shí)現(xiàn)虛擬公司界限的安全系統(tǒng)300的第二示例的框圖。在該示例中，系統(tǒng)300包括諸如公司的內(nèi)聯(lián)網(wǎng)的網(wǎng)站302以及諸如手持計(jì)算設(shè)備、平板設(shè)備或者智能電話的客戶端設(shè)備310。與圖2的客戶端設(shè)備210 —樣，圖3的客戶端設(shè)備310具有與其相關(guān)聯(lián)的顯示器320，該顯示器320可以與客戶端設(shè)備310集成或者與客戶端設(shè)備310分離，例如經(jīng)由無線連接而連接到客戶端設(shè)備310。
[0033]在該示例中，用戶需要訪問某個(gè)采購談判的最新狀態(tài)。使用他或她的客戶端設(shè)備310，例如筆記本電腦、平板計(jì)算機(jī)或智能電話，用戶連接到公司內(nèi)聯(lián)網(wǎng)302或者其它網(wǎng)站并且發(fā)送對于與采購談判有關(guān)的信息或者內(nèi)容304的請求，如由330指示的。所請求的信息可以包括敏感文檔或者其它類型的信息、數(shù)據(jù)或內(nèi)容。
[0034]一旦在330建立了連接，就可以如332指示的使用安全元件314來執(zhí)行認(rèn)證和訪問檢查。例如，可以經(jīng)由多個(gè)已知認(rèn)證技術(shù)中的任意一種向客戶端設(shè)備310上的網(wǎng)絡(luò)應(yīng)用312或其它應(yīng)用認(rèn)證用戶的身份。在服務(wù)器側(cè)上，訪問控制系統(tǒng)可以確認(rèn)用戶是否被允許訪問所請求的采購文檔。服務(wù)器可以隨后發(fā)送響應(yīng)以便激活某些客戶端保護(hù)特征，并且客戶端設(shè)備310上的網(wǎng)絡(luò)瀏覽器312的擴(kuò)展可以調(diào)用安全元件314中的應(yīng)用。
[0035]在該示例中，如由334指示的，可以建立客戶端網(wǎng)絡(luò)應(yīng)用安全會(huì)話密鑰(Ks)。安全元件314可以驗(yàn)證網(wǎng)站302的身份。一旦安全元件314證實(shí)了網(wǎng)站302，它就可以在網(wǎng)站302上的網(wǎng)絡(luò)應(yīng)用和安全元件314之間建立加密的通道。網(wǎng)站302上的網(wǎng)絡(luò)應(yīng)用可以通過該加密的通道，例如使用安全套接層(SSL)連接，向安全元件314發(fā)送敏感內(nèi)容。客戶端設(shè)備310可以向服務(wù)器通知它的能力和身份。
[0036]如由336指示的，安全元件314可以對于客戶端設(shè)備310上的圖形芯片集316建立短暫的PAVP會(huì)話密鑰(Ks)。安全元件314可以利用應(yīng)用在客戶端設(shè)備310上例如以.pdf、,doc的格式來渲染敏感內(nèi)容。
[0037]在該示例中，也如由336指示的，安全元件314可以使用會(huì)話密鑰(Ks)對所渲染的位圖進(jìn)行加密，并且將所產(chǎn)生的數(shù)據(jù)發(fā)送到客戶端設(shè)備310上的圖形芯片集316，用于例如經(jīng)由HDCP在屏幕320上向用戶進(jìn)行安全顯示，如由338指示的。
[0038]圖4是說明根據(jù)所公開技術(shù)的實(shí)施例實(shí)施虛擬公司界限的第一示例400的流程圖。在402，用戶使用諸如平板計(jì)算設(shè)備的客戶端設(shè)備從諸如用戶的公司內(nèi)聯(lián)網(wǎng)的網(wǎng)站請求敏感數(shù)據(jù)。所請求的數(shù)據(jù)可以包括多種數(shù)據(jù)類型、文件格式和多媒體內(nèi)容等等中的任意一種。
[0039]在404，執(zhí)行認(rèn)證和訪問檢查。例如，服務(wù)器側(cè)訪問控制系統(tǒng)可以執(zhí)行檢查以便確定用戶和/或客戶端設(shè)備是否被允許訪問所請求的信息。在確定這樣的授權(quán)存在時(shí)，服務(wù)器可以發(fā)送響應(yīng)以便激活客戶端保護(hù)特征，并且客戶端設(shè)備上的網(wǎng)絡(luò)瀏覽器應(yīng)用可以調(diào)用客戶端設(shè)備上的安全元件中的應(yīng)用。
[0040]在406，建立會(huì)話密鑰。例如，客戶端設(shè)備上的安全元件可以驗(yàn)證網(wǎng)站的身份，并且在服務(wù)器設(shè)備上的網(wǎng)絡(luò)應(yīng)用和客戶端設(shè)備上的圖形芯片集之間建立諸如PAVP會(huì)話密鑰的會(huì)話密鑰?？蛻舳嗽O(shè)備可以向服務(wù)器通知它的能力和身份。
[0041]在408，服務(wù)器側(cè)應(yīng)用在服務(wù)器上渲染敏感內(nèi)容。所渲染的數(shù)據(jù)被使用會(huì)話密鑰進(jìn)行加密，并且接著被發(fā)送到客戶端設(shè)備上的瀏覽器應(yīng)用，如在410指示的。瀏覽器擴(kuò)展將所加密的內(nèi)容發(fā)送到圖形芯片集，以便經(jīng)由顯示器被視覺地呈現(xiàn)給用戶，如在412指示的。所述顯示器可以與客戶端設(shè)備集成或者與客戶端設(shè)備物理地分離?？梢允褂弥T如HDCP的內(nèi)容保護(hù)技術(shù)來顯示所述內(nèi)容，使得根據(jù)非安全內(nèi)容來將頁面顯示給用戶。
[0042]圖5是說明根據(jù)所公開技術(shù)的實(shí)施例實(shí)施虛擬公司界限的第二示例500的流程圖。在502，用戶使用諸如平板計(jì)算設(shè)備的客戶端設(shè)備從諸如該用戶的公司內(nèi)聯(lián)網(wǎng)的網(wǎng)站請求敏感內(nèi)容。在504，執(zhí)行認(rèn)證和訪問檢查。這與在圖4的方法400中的404處發(fā)生的處理類似。
[0043]在506，建立客戶端-網(wǎng)絡(luò)應(yīng)用安全會(huì)話密鑰。例如，客戶端設(shè)備上的安全元件可以驗(yàn)證網(wǎng)站的身份。客戶端設(shè)備上的安全元件在服務(wù)器設(shè)備上的網(wǎng)絡(luò)應(yīng)用和安全元件自身之間建立加密的通道，如由508指示的。
[0044]在510，服務(wù)器設(shè)備上的網(wǎng)絡(luò)應(yīng)用通過加密的信號(hào)，例如使用SSL，向所述安全元件發(fā)送所述敏感內(nèi)容。客戶端設(shè)備可以向服務(wù)器設(shè)備通知其能力和身份。
[0045]在512，客戶端設(shè)備上的安全元件對于客戶端設(shè)備上的圖形芯片集建立會(huì)話密鑰。安全元件接著在客戶端設(shè)備上渲染敏感內(nèi)容。如由514指示的。安全元件對所渲染的內(nèi)容進(jìn)行加密，并且將其發(fā)送到客戶端設(shè)備上的圖形芯片集，如由516指示的。
[0046]在518，經(jīng)由顯示器將內(nèi)容視覺地呈現(xiàn)給用戶。該顯示器可以與客戶端設(shè)備集成，或者與客戶端設(shè)備物理上分離。例如，該顯示器可以經(jīng)由無線通信信道連接到客戶端設(shè)備。所述內(nèi)容可以使用諸如HDCP的內(nèi)容保護(hù)技術(shù)進(jìn)行顯示。
[0047]所公開技術(shù)的實(shí)施例可以被結(jié)合在各種類型的架構(gòu)中。例如，某些實(shí)施例可以被實(shí)現(xiàn)為下面各項(xiàng)中的任意一項(xiàng)或者其組合:使用母版互連的一個(gè)或多個(gè)微芯片或集成電路、圖形和/或視頻處理器、多核處理器、硬連線邏輯、由存儲(chǔ)器設(shè)備存儲(chǔ)并且由微處理器執(zhí)行的軟件、固件、專用集成電路(ASIC)和/或現(xiàn)場可編程門陣列(FPGA)。本文使用的術(shù)語“邏輯”可以例如包括軟件、硬件或者它們的任意組合。
[0048]盡管本文描述和說明了具體實(shí)施例，但是本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，在不偏離所公開技術(shù)的實(shí)施例的范圍的情況下，廣泛的可選和/或等同實(shí)現(xiàn)可以取代所示出和描述的具體實(shí)施例。本申請意在涵蓋本文中說明和描述的實(shí)施例的任何修改和變化。因此，明確地期望所公開技術(shù)的實(shí)施例僅由下面權(quán)利要求及其等同物限定。
【權(quán)利要求】
1.一種實(shí)施虛擬公司界限的方法，包括: 用戶的客戶端設(shè)備從服務(wù)器設(shè)備上的網(wǎng)站請求敏感內(nèi)容； 所述服務(wù)器設(shè)備確定所述用戶和所述客戶端設(shè)備中的一個(gè)或兩者是否被允許訪問所述敏感內(nèi)容； 所述客戶端設(shè)備上的安全元件在所述服務(wù)器設(shè)備上的網(wǎng)絡(luò)應(yīng)用和所述客戶端設(shè)備上的圖形芯片集之間建立會(huì)話密鑰； 所述服務(wù)器設(shè)備上的服務(wù)器應(yīng)用對所述敏感內(nèi)容進(jìn)行渲染和加密，并且將被加密的渲染的內(nèi)容發(fā)送到所述客戶端設(shè)備上的瀏覽器應(yīng)用； 所述瀏覽器應(yīng)用的擴(kuò)展將所述被加密的渲染的內(nèi)容發(fā)送到所述圖形芯片集；并且 所述圖形芯片集使顯示器將被渲染的內(nèi)容視覺地呈現(xiàn)給所述用戶。
2.如權(quán)利要求1所述的方法，其中，所述安全元件建立所述會(huì)話密鑰包括:所述安全元件驗(yàn)證所述網(wǎng)站的網(wǎng)站身份。
3.如權(quán)利要求1所述的方法，其中，所述客戶端設(shè)備請求敏感內(nèi)容是對所述用戶和所述客戶端設(shè)備之間的交互做出的響應(yīng)。
4.如權(quán)利要求1所述的方法，其中，所述會(huì)話密鑰是短暫的受保護(hù)音頻/視頻路徑(PAVP)會(huì)話密鑰。
5.如權(quán)利要求1所述的方法，其中，所述安全元件通過使用所述客戶端設(shè)備上的秘密的安全信道來建立所述會(huì)話密鑰。
6.如權(quán)利要求1所述的方法，其中，所述圖形芯片集包括安全子畫面生成器。
7.如權(quán)利要求1所述的方法，進(jìn)一步包括:所述顯示器針對將所述被渲染的內(nèi)容視覺地呈現(xiàn)給所述用戶而使用高帶寬數(shù)字內(nèi)容保護(hù)(HDCP)。
8.如權(quán)利要求1所述的方法，其中，所述顯示器與所述客戶端設(shè)備集成。
9.如權(quán)利要求1所述的方法，其中，所述客戶端設(shè)備包括由下列項(xiàng)目構(gòu)成的組中的一個(gè):筆記本電腦、手持計(jì)算設(shè)備、平板計(jì)算設(shè)備和智能電話。
10.一種實(shí)施虛擬公司界限的方法，包括: 用戶的客戶端設(shè)備從服務(wù)器設(shè)備上的網(wǎng)站請求敏感內(nèi)容； 所述服務(wù)器設(shè)備確定所述用戶和所述客戶端設(shè)備中的一個(gè)或兩者是否被允許訪問所述敏感內(nèi)容； 對確定所述用戶和所述客戶端設(shè)備中的一個(gè)或兩者被允許訪問所述敏感內(nèi)容做出響應(yīng)，所述服務(wù)器設(shè)備將所述敏感內(nèi)容發(fā)送到所述客戶端設(shè)備； 所述客戶端設(shè)備上的安全元件在所述安全元件和所述客戶端設(shè)備上的圖形芯片集之間建立會(huì)話密鑰； 所述安全元件對所述敏感內(nèi)容進(jìn)行渲染和加密，并且將被加密的渲染的內(nèi)容發(fā)送到所述客戶端設(shè)備上的所述圖形芯片集；并且 所述圖形芯片集使顯示器將被渲染的內(nèi)容視覺地呈現(xiàn)給所述用戶。
11.如權(quán)利要求10所述的方法，其中，所述客戶端設(shè)備請求所述敏感內(nèi)容是對所述用戶和所述客戶端設(shè)備之間的交互做出的響應(yīng)。
12.如權(quán)利要求10所述的方法，進(jìn)一步包括所述安全元件在所述服務(wù)器設(shè)備上的網(wǎng)絡(luò)應(yīng)用和所述安全元件之間建立加密的信道。
13.如權(quán)利要求12所述的方法，其中，所述服務(wù)器設(shè)備將所述敏感內(nèi)容發(fā)送到所述客戶端設(shè)備包括:所述網(wǎng)絡(luò)應(yīng)用經(jīng)由所述加密的信道將所述敏感內(nèi)容發(fā)送到所述安全元件。
14.如權(quán)利要求10所述的方法，其中，所述會(huì)話密鑰包括受保護(hù)音頻/視頻路徑(PAVP)會(huì)話密鑰。
15.如權(quán)利要求10所述的方法，進(jìn)一步包括:所述顯示器針對將所述被渲染的內(nèi)容視覺地呈現(xiàn)給所述用戶而使用高帶寬數(shù)字內(nèi)容保護(hù)(HDCP)。
16.如權(quán)利要求10所述的方法，其中，所述顯示器與所述客戶端設(shè)備集成。
17.如權(quán)利要求10所述的方法，其中，所述客戶端設(shè)備包括由下列項(xiàng)目構(gòu)成的組中的一個(gè):筆記本電腦、手持計(jì)算設(shè)備、平板計(jì)算設(shè)備和智能電話。
18.—種系統(tǒng),包括: 服務(wù)器設(shè)備，被配置為執(zhí)行服務(wù)器應(yīng)用、存儲(chǔ)敏感內(nèi)容并且對請求和肯定認(rèn)證做出響應(yīng)而通過加密的信道發(fā)送所述敏感內(nèi)容； 客戶端設(shè)備，被配置為運(yùn)行瀏覽器應(yīng)用，所述客戶端設(shè)備包括: 安全元件，被配置為在所述服務(wù)器設(shè)備上的網(wǎng)絡(luò)應(yīng)用和所述安全元件之間建立所述加密的信道，并且通過所述加密的信道從所述服務(wù)器設(shè)備接收所述敏感內(nèi)容且對所接收的敏感內(nèi)容進(jìn)行加密；以及 圖形芯片集，被配置為從所述安全元件接收被加密的渲染的內(nèi)容；以及 顯示器，被配置為對從所述圖形芯片集接收的指令做出響應(yīng)而將所述敏感內(nèi)容視覺地呈現(xiàn)給所述用戶。
19.如權(quán)利要求18所述的系統(tǒng)，其中，所述顯示器與所述客戶端設(shè)備集成。
20.如權(quán)利要求18所述的系統(tǒng)，其中，所述顯示器與所述客戶端設(shè)備在物理上分離，并且其中，所述顯示器通過無線通信信道與所述客戶端設(shè)備進(jìn)行通信。
21.如權(quán)利要求18所述的系統(tǒng)，其中，所述客戶端設(shè)備包括由下列項(xiàng)目構(gòu)成的組中的一個(gè):筆記本電腦、手持計(jì)算設(shè)備、平板計(jì)算設(shè)備和智能電話。
【文檔編號(hào)】H04L29/06GK104169940SQ201180076130
【公開日】2014年11月26日 申請日期:2011年12月29日 優(yōu)先權(quán)日:2011年12月29日
【發(fā)明者】V·費(fèi)加德, J·馬丁, R·拉爾, M·謝勒, T·科倫貝格 申請人:英特爾公司