用于安全文档控制的安全评估系统和方法技术方案

系统可以被分解为一个或多个部件。可以评估每个部件以将安全分数归属于每个部件。可以基于该安全分数以及表征系统的概率性的安全降级的衰减率度量为系统生成综合安全分数。可以将衰减率度量应用于综合安全分数以获取当前综合安全分数。可单独使用或与其它标准一起使用综合安全分数以控制对文档的访问。

【技术实现步骤摘要】
【国外来华专利技术】用于安全文档控制的安全评估系统和方法相关申请的交叉引用本专利技术要求于2014年9月16日提交的申请号为62/051,251、名称为“LeveragingsecurityMetricsforDocumentControl”的美国临时申请的优先权，以及于2014年11月11日提交的申请号为62/078,143、名称为“SecureTransactionEcosystem”的美国临时申请的优先权；所述美国临时申请的每一者的全部内容通过引用结合在本申请中。本申请还通过引用将以下申请的全部内容并入本申请：2014年10月24日提交的申请号为14/523,577、名称为“AutonomousControlSystemsandMethods”的美国专利申请，2015年2月27日提交的申请号为14/634,562、名称为“SecurityEvaluationSystemsandMethods”的美国专利申请，以及2015年9月15日提交的申请号为14/855,196、名称为“SecurityEvaluationSystemsandMethodsforSecureDocumentControl”的美国专利申请。附图说明图1为根据本专利技术的实施方式的安全模块。图2为根据本专利技术的实施方式的安全分数推导。图3为根据本专利技术的实施方式的资产。图4为根据本专利技术的实施方式的资产评估。图5A-图5D为根据本专利技术的实施方式的资产细分。图6为根据本专利技术的实施方式的基础安全分数证书。图7为根据本专利技术的实施方式的基础安全分数证书。图8为根据本专利技术的实施方式的安全分数降级。图9为根据本专利技术的实施方式的安全要求证书。图10为根据本专利技术的实施方式的基础安全分数证书。图11为根据本专利技术的实施方式的安全要求证书。图12为根据本专利技术的实施方式的归一化安全分数比较。图13为根据本专利技术的实施方式的归一化安全分数比较。图14为根据本专利技术的实施方式的安全验证。图15为根据本专利技术的实施方式的安全比较。图16为根据本专利技术的实施方式的安全验证。图17为根据本专利技术的实施方式的互相安全验证。图18为根据本专利技术的实施方式的安全验证。图19为根据本专利技术的实施方式的安全验证。图20为根据本专利技术的实施方式的安全验证。图21为根据本专利技术的实施方式的安全验证。图22为根据本专利技术的实施方式的增强安全要求证书。图23为根据本专利技术的实施方式的受保护文档。图24A-图24B为根据本专利技术的实施方式的安全性核实。图25为根据本专利技术的实施方式的安全验证。图26为根据本专利技术的实施方式的受保护文档。图27为根据本专利技术的实施方式的受保护文档。图28为根据本专利技术的实施方式的示例性透镜系统。图29为根据本专利技术的实施方式的安全交易生态系统。具体实施方式由于内容所有者在向其他任何人发送或提供文档时，都会失去对该文档的控制，因此可能难以控制和保护信息。本文所述的系统和方法可以保护文档以确保对文档和/或其中包含的信息的访问仅限于被授权对其进行访问的对象。可以限制和/或阻止对文档未经授权的查看、打印和/或编辑。例如，可由多人共享的网络打印机可以提供对敏感信息的不同级别的访问。本文所描述的系统和方法可以用于保护网络打印机以防止对文档未经授权的打印。此外，本文所描述的系统和方法可以保护其它能够访问文档的设备(例如个人电脑(PC)、智能手机、扫描仪等)以阻止任何类型的、对文档未经授权的访问。文档控制不仅可以促进对企业/组织安全政策的服从，而且还可以促进对例如法定保密规范的遵守。被所公开的系统和方法保护的文档可以包括数据全部或部分的任意电子的或物理的表现，如数据库、照片、文件、电子邮件、金融交易、图像等或其任意部分。例如，本文所描述的一些实施方式可以保护监管的和/或敏感的信息(regulatedand/orsensitiveinformation,RSI)，以确保对这些信息的访问仅限于被授权访问它们的对象。RSI可以包括任何敏感信息，例如支付卡信息(paymentcardinformationPCI)、电子投票数据、财务、SOX、HIPAA或其它监管或敏感信息。RSI可存储在一个或多个电子文件中，且在某些情况下可以仅仅是文件的一部分。整体的安全方法可以被提供，其中对RSI的访问可以由数据所有者控制并且限于被授权的设备和个人。RSI活动可以被监控和记录。即使在物理和数字介质之间传输RSI和/或在未经授权的实体访问或获取RSI的情况下，也可以保护RSI。例如，即使未经授权的人员获得对RSI的物理访问，该人员可能也无法读取、使用或利用RSI。本申请所描述的方法可以为保护RSI提供完整的生态系统。在一些实施例中，随着对该生态系统的组分的开发和推广，可以分阶段引入所描述的方法，以逐渐增强安全性。本申请所描述的系统和方法可提供如下的安全特征中的部分或全部：认证(专门辨别个体和/或设备的能力)，授权(指定、限制和/或实施访问权限的能力)，不可否认性(任何变化或访问都可被记录，使得事实发生后不能否认变化或访问)，数据保密性(保证受保护的信息只能由被授权访问该信息的对象获得)，数据完整性(保证在未授权的情况下数据不被更改)，和/或数据可用性(保证受保护的信息可用于授权的使用)。在本文中所描述的系统和方法可以包括一个或多个计算机，该计算机也可以被称为处理器。计算机可以为能够执行算术操作和/或逻辑操作的任何一个或多个可编程机器。在一些实施方式中，计算机可以包括处理器、存储器、数据存储设备、和/或其它公知的或新型的部件。可以在物理上或者通过网络或无线链路连接这些部件。计算机还可以包括可指导前文提及的部件的操作的软件。计算机可以被称为由相关领域中的普通技术人员常用的术语，诸如服务器、PC、移动设备、路由器、交换机、数据中心、分布式计算机和其它术语。计算机可以促进多个用户和/或其它计算机之间的通信、可以提供数据库、可以执行数据的分析和/或转换、和/或执行其它功能。将由普通技术人员所理解，在本文中所使用的那些术语为可互换的，以及可以使用能够执行所描述功能的任何计算机。计算机可以借助一个或多个网络而彼此链接。网络可以为任何多个完全或部分互连的计算机，其中，一些或全部计算机能够彼此通信。将由普通技术人员所理解，计算机之间的连接在一些情况下可以为有线的(例如，借助以太网连接、同轴连接、光学连接、或其它有线连接)或可以为无线的(例如，借助Wi-Fi、WiMax、或其它无线连接)。计算机之间的连接可以使用任何协议，包括面向连接协议(诸如TCP)或无连接协议(诸如UDP)。至少两个计算机可以交换数据所通过的任何连接可以为网络的基础。在一些实施方式中，在所描述的系统和方法中使用的计算机可以是专门配置用于文档安全的专用计算机。例如，设备可以配备有被配置为一起工作以评估和保护文档和/或执行本文所述的其他功能的专用处理器、专用存储器、专用通信部件等。量子安全模块和归一化安全分数本文所描述的系统和方法可以基于量子安全性模型(QuantumSecurityModel,QSM)保护一个或多个系统中的文件。QSM是一种安全测量和比较方法。QSM可以提供一种以一致的方式分解系统和评估基本部件的归一化方法，其可允许更准确地理解和测量相互依赖性。QSM可以提供一种将所得到的对本文档来自技高网...

【技术保护点】
一种用于控制对文档的访问的系统，包括：包括处理器和物理存储器的安全模块，所述处理器被构造且布置成用于：从试图访问受保护的电子文件的一部分的设备接收包括安全分数的证书；将所述安全分数与所述存储器中的用于所述受保护的电子文件的文件访问规则进行比较，以确定所述安全分数是否满足所述文件访问规则；当所述安全分数满足所述文件访问规则时，提供对所述受保护的电子文件的所述部分的访问；以及当所述安全分数不满足所述文件访问规则时，拒绝对所述受保护的电子文件的所述部分的访问。

【技术特征摘要】
【国外来华专利技术】2014.11.11 US 62/078,1431.一种用于控制对文档的访问的系统，包括：包括处理器和物理存储器的安全模块，所述处理器被构造且布置成用于：从试图访问受保护的电子文件的一部分的设备接收包括安全分数的证书；将所述安全分数与所述存储器中的用于所述受保护的电子文件的文件访问规则进行比较，以确定所述安全分数是否满足所述文件访问规则；当所述安全分数满足所述文件访问规则时，提供对所述受保护的电子文件的所述部分的访问；以及当所述安全分数不满足所述文件访问规则时，拒绝对所述受保护的电子文件的所述部分的访问。2.如权利要求1所述的系统，其中，所述处理器还被构造且布置成用于：基于存储在所述存储器中的访问控制信息，确定所述设备和/或所述设备的用户是否被允许访问所述文件；当所述设备和/或所述设备的用户被允许访问所述文件时，提供对所述受保护的电子文件的所述部分的访问；以及当所述设备和/或所述设备的用户不被允许访问所述文件时，拒绝对所述受保护的电子文件的所述部分的访问。3.如权利要求1所述的系统，其中，所述处理器还被构造且布置成用于保护所述受保护的电子文件。4.如权利要求3所述的系统，其中，保护所述受保护的电子文件包括：对所述电子文件加密；生成公钥/私钥对；以及将所述私钥存储在所述存储器中。5.如权利要求1所述的系统，其中，所述处理器还被构造且布置成用于生成所述文件访问规则。6.如权利要求5所述的系统，其中，生成所述文件访问规则包括：识别所述受保护的电子文件中的待被保护的一部分；以及限定用于访问所识别的所述部分的所需安全分数。7.如权利要求5所述的系统，其中，生成所述文件访问规则包括：识别所述受保护的电子文件中的待被保护的多个部分；以及限定用于访问所识别的所述多个部分中的每个部分的所需安全分数，其中所识别的所述多个部分中的至少两个部分具有不同的所需安全分数。8.如权利要求1所述的系统，其中，所述安全分数包括当前的归一化安全分数。9.如权利要求1所述的系统，其中，所述文件访问规则包括安全等级指标。10.如权利要求1所述的系统，其中，提供对所述受保护的电子文件的所述部分的访问包括生成用于所述设备的可接受的安全性的标记。11.如权利要求1所述的系统，其中，所述受保护的电子文件包括文档。12.如权利要求1所述的系统，其中，提供对所述受保护的电子文件的所述部分的访问包括允许对所述受保护的电子文件的所述部分进行查看、编辑、打印、复制或传输、或者其组合。13.如权利要求12所述的系统，其中，所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。14.如权利要求1所述的系统，其中，拒绝对所述受保护的电子文件的所述部分的访问包括阻止对所述受保护的电子文件的所述部分进行查看、编辑、打印、复制或传输，或者其组合。15.如权利要求13所述的系统，其中，所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。16.一种用于控制对文档的访问的方法，包括：通过包括处理器和物理存储器的安全模块中的所述处理器，从试图访问受保护的电子文件的一部分的设备接收包括安全分数的证书；通过所述处理器将所述安全分数与所述存储器中的用于所述受保护的电子文件的文件访问规则进行比较，以确定所述安全分数是否满足所述文件访问规则；当所述安全分数满足所述文件访问规则时，通过所述处理器提供对所述受保护的电子文件的所述部分的访问；以及当所述安全分数不满足所述文件访问规则时，通过所述处理器拒绝对所述受保护的电子文件的所述部分的访问。17.如权利要求16所述的方法，还包括：通过所述处理器，基于存储在所述存储器中的访问控制信息，确定所述设备和/或所述设备的用户是否被允许访问所述文件；当所述设备和/或所述设备的用户被允许访问所述文件时，通过所述处理器提供对所述受保护的电子文件的所述部分的访问；以及当所述设备和/或所述设备的用户不被允许访问所述文件时，通过所述处理器拒绝对所述受保护的电子文件的所述部分的访问。18.如权利要求16所述的方法，还包括通过所述处理器保护所述受保护的电子文件。19.如权利要求18所述的方法，其中，保护所述受保护的电子文件包括：对所述电子文件加密；生成公钥/私钥对；以及将所述私钥存储在所述存储器中。20.如权利要求16所述的方法，还包括通过所述处理器生成所述文件访问规则。21.如权利要求19所述的方法，其中，生成所述文件访问规则包括：识别所述受保护的电子文件中的待被保护的一部分；以及限定用于访问所识别的所述部分的所需安全分数。22.如权利要求19所述的方法，其中，生成所述文件访问规则包括：识别所述受保护的电子文件中的待被保护的多个部分；以及限定用于访问所识别的所述多个部分中的每个部分的所需安全分数，其中所识别的所述多个部分中的至少两个部分具有不同的所需安全分数。23.如权利要求16所述的方法，其中，所述安全分数包括当前的归一化安全分数。24.如权利要求16所述的方法，其中，所述文件访问规则包括安全等级指标。25.如权利要求16所述的方法，其中，提供对所述受保护的电子文件的所述部分的访问包括生成用于所述设备的可接受的安全性的标记。26.如权利要求16所述的方法，其中，所述受保护的电子文件包括文档。27.如权利要求16所述的方法，其中，提供对所述受保护的电子文件的所述部分的访问包括允许对所述受保护的电子文件的所述部分进行查看、编辑、打印、复制或传输、或者其组合。28.如权利要求27所述的系统，其中，所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。29.如权利要求16所述的方法，其中，拒绝对所述受保护的电子文件的所述部分的访问包括阻止对所述受保护的电子文件的所述部分进行查看、编辑、打印、复制或传输、或者其组合。30.如权利要求29所述的系统，其中，所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。31.一种用于控制对文档的访问的系统，包括：包括设备安全模块的文件处理设备，所述设备安全模块包括设备处理器和设备物理存储器，所述设备处理器被构造且布置成用于：发送受保护的电子文件；以及发送包括用于所述文件处理设备的安全分数的证书以请求对所述受保护的电子文件的访问；以及包括授权者安全模块的授权者，所述授权者安全模块包括授权者处理器和授权者物理存储器，所述授权者处理器被构造且布置成用于：接收所述证书和所述受保护的电子文件；将所述安全分数与所述授权者存储器中的所述受保护的电子文件的文件访问规则进行比较，以确定所述安全分数是否满足所述文件访问规则；当所述安全分数满足所述文件访问规则时，通过将所述受保护的电子文件转换为可访问的版本并将所述可访问的版本发送给所述文件处理设备，提供对所述受保护的电子文件的所述部分的访问；以及当所述安全分数不满足所述文件访问规则时，拒绝对所述受保护的电子文件的所述部分的访问。32.如权利要求31所述的系统，其中，所述授权者还被构造且布置成用于：基于存储在所述存储器中的访问控制信息，确定所述设备和/或所述设备的用户是否被允许访问所述文件；当所述设备和/或所述设备的用户被允许访问所述文件时，提供对所述受保护的电子文件的所述部分的访问；以及当所述设备和/或所述设备的用户不被允许访问所述文件时，拒绝对所述受保护的电子文件的所述部分的访问。33.如权利要求31所述的系统，其中，所述授权者处理器还被构造且布置成用于保护所述受保护的电子文件。34.如权利要求33所述的系统，其中，保护所述受保护的电子文件包括：对所述电子文件加密；生成公钥/私钥对；以及将所述私钥存储在所述存储器中。35.如权利要求31所述的系统，其中，所述授权者处理器还被构造且布置成用于生成所述文件访问规则。36.如权利要求35所述的系统，其中，生成所述文件访问规则包括：识别所述受保护的电子文件中的待被保护的一部分；以及限定用于访问所识别的所述部分的所需安全分数。37.如权利要求35所述的系统，其中，生成所述文件访问规则包括：识别所述受保护的电子文件中的待被保护的多个部分；以及限定用于访问所识别的所述多个部分中的每个部分的所需安全分数，其中所识别的所述多个部分中的至少两个部分具有不同的所需安全分数。38.如权利要求31所述的系统，其中，所述安全分数包括当前的归一化安全分数。39.如权利要求31所述的系统，其中，所述文件访问规则包括安全等级指标。40.如权利要求31所述的系统，其中，提供对所述受保护的电子文件的所述部分的访问包括生成用于所述设备的可接受的安全性的标记。41.如权利要求31所述的系统，其中，所述受保护的电子文件包括文档。42.如权利要求31所述的系统，其中，所述设备处理器还被构造且布置成用于：接收所述可访问的版本；以及进行与所述可访问的版本的查看、编辑、打印、复制或传输、或者其组合相关联的处理。43.如权利要求42所述的系统，其中，所述访问控制信息针对对所述受保护的电子文件的所述部分进行的查看、编辑、打印、复制和传输中的至少两者提供不同的许可权限。44.如权利要求31所述的系统，其中所述受保护的电子文件存储在所述设备存储器中。45.如权利要求31所述的系统，还包括第二文件处理设备，所述第二文件处理设备包括第二设备安全模块，所述第二设备安全模块包括第二设备处理器和第二设备物理存储器；其中，所述第二设备处理器被构造且布置成用于：选择供访问的所述受保护的电子文件；指示所述设备访问所述受保护的电子文件；以及发送包括用于所述第二文件处理设备的第二安全分数的第二证书以请求对所述受保护的电子文件的访问；以及所述授权者处理器还被构造且布置成用于：接收所述第二证书；将所述第二安全分数与所述授权...

【专利技术属性】
技术研发人员：马克·塔克，查尔斯·埃尔登，杰瑞德·卡罗，罗纳德·兰斯·贾斯汀，
申请(专利权)人：时空防御系统有限责任公司，
类型：发明
国别省市：美国,US