一种基于策略的实时数据文件访问控制方法与系统技术方案

本发明专利技术提供了一种用于网络环境中的文件内容保护和基于策略的访问控制的方法和系统。它包括在端点设备上运行的端点模块和在密钥存储服务器上运行的密钥存储模块。创建和使用文件的端点计算设备生成内容加密密钥和独特文件标识符(UFI)，每个文件都有不同的加密密钥和独特文件标识符(UFI)。使用内容密钥对文件进行加密，并将UFI附加到加密文件以创建受保护文件。耦合的UFI和内容密钥被发送到要存储的密钥存储服务器。为了访问受保护文件，端点模块读取UFI并将其发送到密钥存储区，密钥存储区以与该UFI相关联的策略的评估结果决定访问权，如果授予访问权限，则发送内容密钥，以便解密该文件。

【技术实现步骤摘要】
【国外来华专利技术】一种基于策略的实时数据文件访问控制方法与系统相关申请的引用本申请要求于2017年3月17日提交的申请号为62/472,562，标题为“提供文件的安全存储和允许基于策略的访问控制的新系统和软件申请”的临时申请公开的专利技术。在此要求美国法典35条第119(e)款美国临时申请的保护，并且上述申请通过引用加入至本文中。
本专利技术涉及信息安全和访问控制领域。更具体地，本专利技术涉及通过加密和实时评估分配给文件的访问策略来进行文件访问控制，当可以用独特文件标识符标识文件时。本专利技术还涉及在计算机网络环境中识别和跟踪对文件的所有副本的访问的领域。
技术介绍
未经授权访问数据文件已成为对企业、组织、政府和个人隐私的重大威胁。与此同时，世界变得比以往任何时候都更紧密地联系在一起，文件共享呈指数级增长。控制谁可以访问文件以及何时可以访问文件的能力已经成为网络安全的中心，但是缺乏平衡共享和访问控制的解决方案。加密已经被用来保护文件的内容，让用户可以控制谁可以访问文件，但是它也使得文件共享变得困难。一种方法是在一组用户之间使用共享密钥；另一种方法是将权限文件附加到加密文件，并依赖打开该文件的应用程序来本文档来自技高网...

【技术保护点】
1.一种网络环境中的计算机系统包括方法，所述方法通过独特字符串、数字、精心编制的属性、或文件属性组合识别分布式计算机网络环境中的数据文件，并对所述文件实施预设置的操作应用；该方法包括以下组件和步骤：通过计算机网络连接到至少一个存储模块的计算机设备上的端点模块，包括:a)读取数据文件，并计算或从其他设备获取独特字符串，或使用文件属性的组合作为所述文件的独特文件标识符(UFI)，b)将UFI存储到所述数据文件中，采用的方法包括将其附加到文件开始段中，或使其成为文件名的一部分或全部，或当UFI不只使用文件属性时，将其写入单独的元文件中，并将其与所述文件结合创建单一的存档文件，和c)将所述UFI及任何...

【技术特征摘要】
【国外来华专利技术】2017.03.16 US 62/472,5621.一种网络环境中的计算机系统包括方法，所述方法通过独特字符串、数字、精心编制的属性、或文件属性组合识别分布式计算机网络环境中的数据文件，并对所述文件实施预设置的操作应用；该方法包括以下组件和步骤：通过计算机网络连接到至少一个存储模块的计算机设备上的端点模块，包括:a)读取数据文件，并计算或从其他设备获取独特字符串，或使用文件属性的组合作为所述文件的独特文件标识符(UFI)，b)将UFI存储到所述数据文件中，采用的方法包括将其附加到文件开始段中，或使其成为文件名的一部分或全部，或当UFI不只使用文件属性时，将其写入单独的元文件中，并将其与所述文件结合创建单一的存档文件，和c)将所述UFI及任何耦合数据发送至存储模块中，和存储模块包括；a)从端点模块接收UFI和耦合项,确认UFI在其数据库和与其连接的所有其他存储模块中的唯一性b)存储UFI及耦合数据，和c)处理来自端点模块请求中与UFI唯一链接的操作项的请求，和d)将来自以上操作项的结果发送到请求端点模块；和通过计算机网络连接到至少一个存储模块的计算机设备上的端点模块，包括:a)读取文件的UFI并使用所述UFI请求来自存储模块的操作项b)接收来自存储模块的操作结果，和c)将操作结果应用于与所述UFI链接的文件。2.根据权利要求1所述的网络环境中计算机网络的方法，其特征在于UFI还包括通过从其连接的所有存储模块中查询UFI的存在与否来确认UFI的唯一性的方法。3.根据权利要求1所述的网络环境中计算机网络方法，其特征在于当UFI不是仅使用文件属性时，端点模块进一步将UFI附加到数据文件上，以便它可以与所述文件一起移动，并允许具有本地文件读取权的任何用户通过文件系统获取。4.根据权利要求1所述的网络环境中计算机网络的方法，其特征在于存储模块进一步包括接口和方法，用于接受和应用与所述UFI相关联的动作项的变更，并存储操作项与特定UFI的链接，以便在给定特定UFI时，能够可靠地检索操作项。5.一种计算机网络系统包括方法，所述方法实现能够通过使用加密密钥对文件加密来保护数据文件不被非法访问，通过独特文件标识符(UFI)建立加密数据文件与加密和解密密钥之间的唯一链接，用耦合的UFI检索密钥，并仅能在在允许访问数据的情况时向请求解密模块提供密钥，以便对该文件进行解密；所述方法包括以下组件和步骤：通过计算机网络连接到至少一个存储模块的计算机终端的端点加密模块，包括：a)生成加密密钥，并使用密钥加密文件，和b)使用伪随机字符串、数字或文件属性的组合创建来获取一个独特文件标识符(UFI)，并通过查询所连接的或由设备分配给所述文件的所有存储模块来确定UFI的唯一性，和c)将该UFI附于该特定加密文件，UFI无须该文件密钥的协助即可被检索，和d)将UFI和密钥发送到密钥存储模块，和e)从本地计算设备中删除加密密钥；计算机设备上的密钥存储模块，所述计算机设备通过计算机网络与网络中所有运行端点加密和端点解密模块连接，密钥存储模块包括：a)处理来自具有耦合密钥和UFI的端点加密模块的请求，和b)储存该UFI及其关联的密钥，和c)处理来自端点解密模块的请求，和d)向端点解密模块提供与所请求的UFI耦合的密钥；和在计算机设备上的端点解密模块，所述计算机设备通过计算机网络连接到至少一个存储模块，端点解密模块包括：a)开启加密文件并提取UFI，和b)代表授权用户向所有密钥存储模块发送包含UFI的密钥的请求，和c)接收密钥，和c)解密文件。6.根据权利要求5所述的网络环境中计算机系统方法,其中文件的独特文件标识符(UFI)进一步包括可以是所有密钥存储器中一个独特的和不可变更的字符串,数字,或文件属性的组合，所述密钥存储器是互联的以服务相同的网络环境，以确保每次使用特定UFI从密钥存储器中只检索出一个且相同的结果集。7.根据权利要求5所述的网络环境中计算机系统的方法,其中数据文件可使用随机生成的对称或非对称密钥对数据文件进行加密，如此密钥在文件中是足够独特的，将使用同一密钥解密多个文件的可能性降到最低。8.根据权利要求5所述的网络环境中计算机系统的方法，其特征在于加密和解密特定文件所需的所有密钥被发送到密钥存储器，并从端点加密模块中移除，确保存储在密钥存储器唯一的密钥与所述UFI相关，密钥存储器模块使用表或类似的数据结构存储耦合密钥和所述UFI，这样所有耦合的密钥可以用特定的UFI检索。9.根据权利要求5所述的网络环境中计算机系统的方法，其中密钥存储模块还包括存储、检索和计算权限，所述权限附加于由UFI确认的数据文件...

【专利技术属性】
技术研发人员：于俊，
申请(专利权)人：于俊，
类型：发明
国别省市：美国,US