使用动态网络属性的数字资产保护策略制造技术

技术编号:19248348 阅读:30 留言:0更新日期:2018-10-24 10:02
本文公开了用于确定是否允许或继续允许访问受保护数据资产的各种系统和方法。例如,一种方法包括:接收访问受保护数据资产的请求,其中请求是从第一用户设备接收的;确定是否许可对受保护数据资产的访问,其中该确定包括评估与第一用户设备相关联的一个或多个准则,并且该准则包括与第一策略约束相关联的第一信息;以及响应于确定要许可对受保护数据资产的访问而许可对受保护数据资产的访问。

Digital asset protection strategy using dynamic network attributes

Various systems and methods for determining whether or not access to protected data assets is permitted or continued are disclosed. For example, a method includes receiving a request to access a protected data asset from a first user device, and determining whether access to the protected data asset is permitted, wherein the determination includes evaluating one or more criteria associated with the first user device, and the criteria include a first policy. First information associated with constraints; and access to protected data assets is permitted in response to determining access to protected data assets to be licensed.

【技术实现步骤摘要】
【国外来华专利技术】使用动态网络属性的数字资产保护策略相关申请本申请根据美国法典§119(e)的第35章来要求以下各项的国内权益:于2016年2月15日提交的题为“DynamicLocationTrackingforDigitalAssetPolicy”的序列号为62/295,492美国临时专利申请;于2016年2月15日提交的题为“DataAnalyticsasaPolicyInformationPoint”的序列号为62/295,485的美国临时专利申请;于2016年2月15日提交的题为“MethodtoEnableRichPolicyEnforcementonStatelessClients”的序列号为62/295,487的美国临时专利申请;于2016年2月16日提交的题为“DigitalAssetProtectionPolicyUsingDynamicNetworkAttributes”的序列号为62,295,495的美国临时专利申请;以及于2016年12月21日提交的题为“DigitalAssetProtectionPolicyUsingDynamicNetworkAttributes”的序列号为15/387,123的美国专利申请。出于所有目的,上述临时和非临时专利申请中的每一个均通过引用整体并入本文,并且好像在本文完全和充分阐述一样。
技术介绍
鉴于最近引人注目的安全漏洞的数目,对企业数字数据资产的保护变得越来越重要。作为一些非限制性示例,数字数据资产(或简称“数据资产”)包括诸如文档、电子表格、数字图像、源代码、和其他形式的数字数据之类的数据。当前的认证和数据保护方案通常通过网络应用用户认证来专注于保护对资产本身的访问。例如,在许多当前环境中,通过用户名和密码进行简单认证后,就可以许可对数字数据资产的访问。但是,数据资产可以驻留在文件系统或数据库中,在这些文件系统或数据库中,一旦被第一次访问,数据资产就可以在整个企业网络中(并且在很多情况下,超出原来的企业网络)以不受控制和未加密的方式被操纵、移动、存储、共享或以其他方式流动。因此,如由各种安全漏洞所部分证明的那样,当前的认证和数据保护方案通常不足以充分保护这种数字数据资产。附图说明通过参考附图,本公开可以在其对本领域技术人员显而易见的众多目标、特征、和优点方面更好地被理解。图1A是根据一个实施例的系统的框图,包括策略存储库、数据访问控制服务器、用户设备(例如,客户端计算设备,其除硬件和其他软件之外还包括安全代理)、用户接口、数据分析和报告服务、以及其他特征。图1B是根据一个实施例的诸如图1A的系统之类系统的框图,该系统包括位置功能。图1C是描绘根据一个实施例的图1A和图1B中描绘的系统的替代配置和实施例的框图。图2是示出根据诸如本文所公开的方法和系统的网络架构的示例的框图。图3是描绘适合于实现根据诸如本文所公开的系统和方法的实施例的系统的各方面的网络架构的框图。图4是示出根据一个实施例的可以实现本公开的示例联网设备的组件的框图。图5是示出根据一个实施例的可以实现本公开的示例联网设备的组件的框图。图6是根据一个实施例的适合于实现本公开的各方面的网络架构的简化框图。图7是示出根据一个实施例的可由安全代理执行以许可对受保护数据资产的访问的动作的流程图。图8是描绘根据一个实施例的用于评估一个或多个策略的过程的简化流程图。图9是描绘根据一个实施例的用于以足够的粒度来确定位置的过程的简化流程图。具体实施方式概览在独立权利要求中阐述了本专利技术的各方面,并且在从属权利要求中阐述了优选特征。一个方面的特征可以单独应用于这些方面或与其他方面组合应用。本公开提供了用于数据保护的方法和系统的示例,其采用动态网络和其他信息来控制对数字数据资产(包括物理资产,例如,物理设备;以及数据资产,例如,计算机文件和其他形式的数据,如本文更详细讨论的)的访问。诸如本文描述的方法和系统利用信息源(例如,网络和安全信息)并将该信息与丰富的策略信息耦合以控制对这种数字数据资产的访问(例如,通过控制哪些数据资产可以被解密,由谁来控制,以及受到什么约束)。还描述了用于实现本文所描述的方法的系统和装置,其包括网络节点、计算机程序、计算机程序产品、计算机可读介质、和在有形介质上编码的用于实现这些方法的逻辑。例如,通过使用诸如本文所描述的方法和系统,管理员或其他实体可以表达和实施在一个或多个粒度级别考虑位置信息的策略,以限制对诸如文档之类的数据资产的访问。作为一个示例,医生可能仅在他或她位于患者房间时才能访问患者记录。然而,当医生移动到不太安全的位置(例如,自助餐厅)时,他或她在该位置不应具有查看文档的权限。作为另一示例,膝上型或平板计算机可以仅在相关联的蜂窝设备(例如,蜂窝电话)位于预定距离(例如,10英尺)内时才可访问文档,这可以防止在蜂窝设备(可能由用户持有)与用于访问文档的膝上型计算机或台式计算机分开时对文档的继续访问。在一个实施例中,该预定距离可以通过例如如下各项来确定:通过基于设备之间的无线连接的可用性来考虑设备之间的地理距离,通过要求两个设备在同一无线接入点(WAP)上,或通过其他一些机制。通过在访问权限被许可时解密文档(先前已加密的),然后在访问权限被去除时将该文档返回到其加密格式来部分地控制访问文档的能力。更具体地,用于数据保护的方法和系统(例如,本文描述的那些)提供对物理和/或虚拟位置的使用以及从网络信息、身份、和其他相关信息收集的位置信息,以定位用户、设备、数据资产、和/或它们的某种组合,从而充分地通知策略服务器对一个或多个策略的实施。在其最基本和最根本的层面上,诸如本文所描述的方法和系统通过加密和解密来保护数据资产,从而为数据保护增加了新的维度。然而,实现本文公开的方法和系统的平台提供比简单的加密和解密更多的功能。例如,这些方法和系统通过使用本文所描述的一种或多种技术来控制对那些数据资产的访问,从而保护可移动数据资产。因此,在设备受损或数据资产被错误地发送给非预期的接收者的情况下,这些方法和系统至少会在策略属性未被首先实施的情况下防止数据资产的数据被解密(从而防止基础(underlying)数据资产以任何有意义的方式被访问),这将在下面更详细地讨论。此外,这种控制可以以提供额外安全性的方式来实现,例如,经由与一个或多个安全监视和控制模块的通信和/或通过警告一个或多个安全管理实体(例如,系统管理员、安全管理器、和/或其他这样的一方)关于未批准的访问请求或其他潜在故障事件的发生。在某些实施例中,这样的方法和系统提供对策略引擎的使用,该策略引擎允许个人或实体(例如,管理员)控制对数字数据资产的访问并加密那些数据资产。在其他功能中,策略引擎决定用户和/或用户设备是否具有访问数据的能力,这可以被称为“单个策略决策点”。策略引擎的属性将允许管理员使用来自各种系统的各种输入。这些输入的示例包括但不限于由身份服务引擎(ISE)和/或移动服务引擎(MSE)生成的信息以及各种附加能力和服务(例如,可能例如通过内联姿势节点(IPN)提供的姿势评估)。某些实施例还包括分析各种基础事件和事件日志的能力,以构建从平台学习以动态调整策略的完整遥测和分析引擎。结合诸如本文所公开的方法和系统的其他方面,网络用本文档来自技高网...

【技术保护点】
1.一种方法,包括:接收访问受保护数据资产的请求,其中所述请求是从第一用户设备接收的;确定是否许可对所述受保护数据资产的访问,其中所述确定包括评估与所述第一用户设备相关联的一个或多个准则,并且所述准则包括与第一策略约束相关联的第一信息;以及响应于确定要许可对所述受保护数据资产的访问而许可对所述受保护数据资产的访问。

【技术特征摘要】
【国外来华专利技术】2016.02.15 US 62/295,492;2016.02.15 US 62/295,485;1.一种方法,包括:接收访问受保护数据资产的请求,其中所述请求是从第一用户设备接收的;确定是否许可对所述受保护数据资产的访问,其中所述确定包括评估与所述第一用户设备相关联的一个或多个准则,并且所述准则包括与第一策略约束相关联的第一信息;以及响应于确定要许可对所述受保护数据资产的访问而许可对所述受保护数据资产的访问。2.根据权利要求1所述的方法,其中,所述第一策略约束包括第一位置信息,并且所述第一位置信息指示所述第一用户设备的地理位置。3.根据权利要求2所述的方法,其中,所述准则还包括与第二策略约束相关的第二信息,所述第二策略约束包括第一用户组信息,并且所述第一用户组信息指示与所述第一用户设备的用户相关联的用户组。4.根据权利要求1至3中任一项所述的方法,其中,所述受保护数据资产被加密,并且所述提供访问包括提供针对所述受保护数据资产的解密信息。5.根据权利要求1至4中任一项所述的方法,其中,对所述受保护数据资产的所述访问限于所述第一用户设备。6.根据权利要求1至5中任一项所述的方法,其中,所述访问限于预定时间段。7.根据权利要求1至6中任一项所述的方法,还包括:在许可访问之后,从所述第一用户设备接收更新的位置信息,其中所述更新的位置信息指示所述第一用户设备的地理位置已经改变,以及使用所述更新的位置信息来确定是否撤销对所述受保护数据资产的访问。8.一种系统,包括:微处理器;以及非暂态计算机可读存储介质,包括可由所述微处理器执行的计算机指令,其中所述计算机指令被配置为执行包括以下步骤的方法:接收访问受保护数据资产的请求,其中所述请求是从第一用户设备接收的;确定是否许可对所述受保护数据资产的访问,其中所述确定包括评估与所述第一用户设备相关联的一个或多个准则,并且所述准则包括与第一策略约束相关联的第一信息;以及响应于确定要许可对所述受保护数据资产的访问而许可对所述受保护数据资产的访问。9.根据权利要求8所述的系统,其中,所述第一策略约束包括第一位置信息,并且所述第一位置信息指示所述第一用户设备的地理位置。10.根据权利要求9所述的系统,其中,所述准则还包括与第二策略约束相关联的第二信息,所述第二策略约束包括第一用户组信息,并且所述第一用户组信息指示与所述第一用户设备的用户相关联的用户组。11.根据权利要求8至10中任一项所述的系统,其中,所述受保护数据资产被加密,并且所述提供访问包括提供针对所述受保护数据资产的解密信息。12.根据权利...

【专利技术属性】
技术研发人员:保罗·昆恩迈克尔·E·利曼迈克·米兰诺戴维·D·沃德詹姆斯·古伊查德列奥尼德·桑德勒摩希·克拉夫奇克埃莱娜·里法尔达林·米勒
申请(专利权)人:思科技术公司
类型:发明
国别省市:美国,US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1