计算机系统控制对数据的访问。在用户的端点设备处实例化基于图像文件的安全容器,其中该安全容器包括对应于该用户的加密数据。通过验证用户的凭证来认证对安全容器的访问请求。响应于验证用户的凭证,准许对数据的访问。通过解密和允许访问数据的一部分来控制对数据的访问,其中数据的附加部分被解密并基于用户行为而变得可访问。行为而变得可访问。行为而变得可访问。
【技术实现步骤摘要】
用于控制对数据的访问的安全智能容器
技术介绍
[0001]本公开的实施例涉及数据访问,并且更具体地,涉及存储数据并控制对所存储的数据的访问的安全智能容器。
[0002]用户经常交换被认为是敏感的、机密的或以其他方式值得防护于其他人的数据。控制对数据的访问的传统解决方案,例如公钥密码术和基于用户的访问控制,具有各种优点和缺点。然而,传统的方法不能考虑当未授权个人获得对数据的访问或当授权用户开始执行非法动作时产生的安全威胁。例如,组织的成员可能决定泄漏该组织的受口令保护的商业机密,或者黑客可能通过非法手段获得对加密数据的访问。因此,需要以不仅防止未授权访问而且还扩展对可访问数据的保护的方式来控制对数据的访问。
技术实现思路
[0003]根据本公开的一个实施例,一种计算机系统控制对数据的访问。在用户的端点设备处实例化基于图像文件的安全容器,其中该安全容器包括对应于该用户的加密数据。通过验证用户的凭证来认证对安全容器的访问请求。响应于验证用户的凭证,准许对数据的访问。通过解密和允许访问数据的一部分来控制对数据的访问,其中数据的附加部分被解密并基于用户行为而变得可访问。
附图说明
[0004]通常,在各个附图中相同的附图标记用于表示相同的组件。
[0005]图1是描绘根据本公开的实施例的用于控制对数据的访问的计算环境的框图;
[0006]图2是描绘根据本公开的实施例的用于控制对数据的访问的计算系统的框图;
[0007]图3是描绘根据本公开的实施例的创建数据容器的方法的流程图;
[0008]图4是描绘根据本公开的实施例的访问存储在数据容器中的数据的方法的流程图;
[0009]图5是示出根据本公开的实施例的检测数据访问违规的方法的流程图;以及
[0010]图6是描绘根据本公开的实施例的计算设备的框图。
具体实施方式
[0011]本公开的实施例涉及数据访问,并且更具体地,涉及存储数据并控制对所存储的数据的访问的安全智能容器。容器是可以包括用于应用和其它数据的代码的软件包。容器是为可移植性而设计的,通常包括对任何所包括的应用的依赖关系,从而使得容器化的应用能够跨各种计算环境快速且可靠地执行。除了支持应用的执行之外,容器还可以存储任何期望的数据。例如,容器可以包括专有格式的数据,该专有格式的数据可由用户通过也包括在容器中的应用来访问。
[0012]容器可从图像文件实例化,该图像文件可例如经由电子邮件在计算设备之间传输。在计算设备处实例化容器向用户展示了虚拟文件系统和虚拟文件。虚拟文件系统可以
加密的形式存储任何需要保护的数据,并且另外包括实施引擎的可执行代码,该可执行代码使得授权用户能够访问数据,同时监视访问。实施引擎可以基于各种因素控制对数据的访问,例如访问的性质、计算环境、用户的身份和/或用户行为。
[0013]因此,本公开实施例使得能够安全地共享和访问数据,同时在访问事件期间扩展对数据的保护。具体地,当前未被访问的数据保持加密,并且即使授权用户也只能一次仅访问该用户被允许访问的数据的一部分。此外,当用户访问数据时,监视用户的行为以识别任何可疑行为,诸如试图一次访问比支持特定使用情况合理必需的数据更多的数据,或者在数据中搜索可疑的关键字。因此,本公开实施例提供了对数据访问控制的改进,其中实际应用将保护不仅扩展到初始访问点,而且还扩展到用户访问数据的整个时间期间。
[0014]应当注意,在整个说明书中对特征、优点或类似语言的引用并不意味着可以利用本文公开的实施例实现的所有特征和优点应当是本公开的任何单个实施例或者在本公开的任何单个实施例中。而是,涉及特征和优点的语言被理解为意味着结合实施例描述的特定特征、优点或特性被包括在本公开的至少一个实施例中。因此,在整个说明书中,对特征、优点和类似语言的讨论可以但不一定是指相同的实施例。
[0015]此外,本公开的所描述的特征、优点和特性可以以任何合适的方式组合在一个或多个实施例中。相关领域的技术人员将认识到,可以在没有特定实施例的一个或多个特定特征或优点的情况下实践本公开。在其它情况下,在某些实施例中可以认识到可能不在本公开的所有实施例中存在的附加特征和优点。
[0016]这些特征和优点将从以下附图、描述和所附权利要求书中变得更加完全显而易见,或者可以通过对下文所阐述的本公开的实施例的实践来学习。
[0017]现在将参考附图详细描述本公开的实施例。图1是描绘根据本公开的实施例的用于控制对数据的访问的计算环境100的框图。如图所示,计算环境100包括第一客户端设备105A、一个或多个附加客户端设备105B
‑
105N以及网络150。应当理解,计算环境100的组件之间的功能划分是出于解释本公开实施例的目的而选择的,并且不应被解释为限制性示例。
[0018]每个客户端设备105A
‑
105N包括网络接口(I/F)106、至少一个处理器107和包括主机应用115的存储器110。每个客户端设备105A
‑
105N可以包括膝上型计算机、平板计算机、上网本计算机、个人计算机(PC)、台式计算机、个人数字助理(PDA)、智能电话、瘦客户端、或者能够执行计算机可读程序指令的任何可编程电子设备。网络接口106使每个客户端设备105A
‑
105N的组件能够通过诸如网络150的网络发送和接收数据。通常,客户端设备105A
‑
105N使得用户能够以受控的方式共享数据容器和访问数据。例如,客户端设备105A的用户可以将数据添加到容器,该数据被安全地保存为图像文件并被传送到另一设备,诸如客户端设备105B,以供另一用户访问。每个客户端设备105A
‑
105N可以包括内部和外部硬件组件,如参考图6进一步详细描绘和描述的。
[0019]主机应用115可以包括一个或多个模块或单元以执行下面描述的本公开实施例的各种功能。主机应用115可以由任何数量的软件和/或硬件模块或单元的任何组合来实现,并且可以驻留在客户端设备105A
‑
105N中的任何一个的存储器110内,以便由诸如处理器107之类的处理器来执行。
[0020]在一些实施例中,主机应用115使得用户能够创建安全容器并将数据添加到该容
器。客户端设备105A的用户可以根据一个或多个参数来定义容器,所述参数诸如容器的大小、容器的文件系统类型、安全地存储在容器中的数据的数据加密类型等。另外,当用户经由主机应用115创建容器时,用户可选择选项来定义哪些动作或发生构成数据访问违规。例如,当容器在未授权计算环境中实例化时,当用户试图使用特定的词或短语查询数据时,或者当用户试图以超过任何合法使用情况的速率访问数据时,容器的实施引擎可以检测到访问违规并随后阻止用户访问数据。一旦用户最终确定了容器的配置,则数据可以被添加到容器,并且可以为数据定义用户访问许可。例如,数据可以被加密,使得不同的用户可以使用唯一的口令或访问密钥来访问数据的不本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于控制对安全容器的访问的计算机实现的方法,包括:在用户的端点设备处实例化基于图像文件的安全容器,其中所述安全容器包括与所述用户相对应的加密数据;通过验证所述用户的凭证来认证对所述安全容器的访问请求;响应于验证所述用户的所述凭证,准许对所述数据的访问;以及通过解密和启用对所述数据的一部分的访问来控制对所述数据的访问,其中所述数据的附加部分被解密并基于用户行为而变得可访问。2.根据权利要求1所述的计算机实现的方法,还包括:分析所述用户行为以确定访问违规已发生;以及响应于确定所述访问违规已发生,暂停所述用户对所述数据的访问。3.根据权利要求2所述的计算机实现的方法,其中分析所述用户行为以识别一个或多个事件,并且其中通过以下操作来确定所述访问违规:基于与所识别的一个或多个事件相对应的一个或多个风险子分数来计算总风险分数;以及确定所述总风险分数满足预定阈值。4.根据权利要求1所述的计算机实现的方法,其中所述用户行为包括对所述数据的访问速率。5.根据权利要求1所述的计算机实现的方法,其中所述用户行...
【专利技术属性】
技术研发人员:AT奥拉齐奥,M瑟尔,C佩平,LW马斯卡伦纳斯,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。