用于从多个装置访问数据的方法和系统制造方法及图纸

本申请涉及用于从多个装置访问数据的方法和系统。一种在装置上访问数据的方法，其中数据远离装置存储或者存储在可移动存储设备中，所述方法包括以下步骤：(i)从装置发送访问数据的请求，请求包括与装置相关联的安全元件或存储卡的识别码；(ii)至少部分地基于识别码，验证是将允许还是将拒绝对数据的访问；以及(iii)因此允许或拒绝装置对数据的访问。及(iii)因此允许或拒绝装置对数据的访问。及(iii)因此允许或拒绝装置对数据的访问。

【技术实现步骤摘要】
用于从多个装置访问数据的方法和系统
[0001]本申请是申请日为2014年8月29日、国际申请号为PCT/GB2014/052640、中国申请号为201480053687.3、专利技术名称为“用于从多个装置访问数据的系统”的中国专利申请的分案申请。


[0002]本专利技术涉及数据访问领域。更具体地，本专利技术涉及用于从多个装置访问数据的系统。

技术介绍

[0003]本领域公知向用户提供基于云的数据存储设备。可以从多个装置访问这种基于云的存储设备。
[0004]例如，Dropbox
TM
是一种向用户提供用于他们数据的基于云的远程存储设备的系统。数据可包括例如用移动电话拍摄的照片。一旦将数据从移动电话上传到例如远程存储设备中，就可以从诸如笔记本电脑或台式电脑的连接到互联网的其他装置访问该数据。用256位AES加密算法加密所存储的数据，并且在许可访问他们的数据之前，用户必须经由网站来输入他们登记的电子邮件地址和口令。
[0005]但是，这种系统的一个问题是，如果第三方发现了用户的电子邮件地址和口令，那么第三方也可从任何装置访问所存储的数据。因此，需要一种可以从一个或多个装置访问的更安全的远程存储设备系统。

技术实现思路

[0006]根据本专利技术的第一方面，提供一种在装置上访问数据的方法，其中所述数据远离所述装置存储或者存储在可移动存储设备中，所述方法包括以下步骤：(i)从所述装置发送访问所述数据的请求，所述请求包括与所述装置相关联的安全元件或存储卡的识别码；(ii)至少部分地基于所述识别码，验证是将允许还是将拒绝对所述数据的访问；以及(iii)因此允许或拒绝所述装置对所述数据的访问。
[0007]仅当提供与装置相关联的正确的识别码才因此允许对数据的访问。因此可以防止未授权装置访问数据，因为它们不能提供正确的识别码。
[0008]如上所述，请求包括与装置相关联的安全元件或存储卡的识别码。但是，可以按照修改的形式将识别码包括在请求中，例如，按照加密的形式和/或与一个或多个进一步的代码、数据或信息组合。
[0009]待访问的数据包括能够存储在存储器中的任何形式数据。例如，它可包括一个或多个文件数据、数据库、应用、软件、和/或服务。下面讨论服务的一些示例。
[0010]优选地，经由安全通道发送识别码。替代或附加地，可将识别码加密。这能够使得处理更安全，并帮助防止识别码被拦截和/或被第三方发现。
[0011]进一步的(附近或替代的)可能性将是基于安全元件或存储卡的识别码以及来自
装置的一个或多个其他元件或代码，在装置上生成代码。然后可以发送这个生成的代码，并且例如这个生成的代码仅对于特定会话有效。因此即使它被拦截，也将对第三方没有用处。
[0012]可将数据存储在可移动存储设备装置、云、或远程数据存储设备的其他形式中。例如，可将数据存储在USB密钥、笔记本电脑、计算机服务器(个人或公司)、计算机网络(个人或公司)、平板电脑或电话中。
[0013]请求还可包括在装置上输入的密码或PIN并且步骤(ii)还可包括基于密码或PIN验证是将允许还是将拒绝对数据的访问。因此，为了访问数据可以要求双因素认证。
[0014]可通过与装置相关联的安全元件或存储卡(例如SIM或虚拟SIM)(首先)验证密码或PIN。
[0015]替代或附加地，可以远离装置验证密码或PIN，例如在被布置为控制对数据的访问的访问控制器上。
[0016]在通过安全元件或存储卡验证密码或PIN的情况下，优选地按照安全和/或受保护的方式将该验证的结果传送给例如访问控制器，例如经由安全通道。例如，可按照证书、加密代码、会话代码或加密会话代码的形式传送结果。优选地，仅在验证成功时，即，在输入正确的密码或PIN时，传送验证的结果。
[0017]在远离装置验证密码或PIN的情况下，例如在访问控制器上，优选按照安全和/或受保护的方式将密码或PIN传送给例如访问控制器。例如，可经由安全通道和/或在传送之前将密码或PIN加密来传送密码或PIN。
[0018]替代或附加地，请求可包括表示装置的用户固有的事物的数据，并且步骤(ii)还可包括基于表示装置的用户固有的事物的数据验证是将允许还是将拒绝对数据的访问。因此，为了访问数据可以要求双因素认证或三因素认证，并且仅许可授权用户对数据的访问。
[0019]例如，表示装置的用户固有的事物的数据可包括表示关于用户的遗传学和/或生物统计学信息的数据，诸如指纹或虹膜数据。
[0020]替代或附加地，对于使用PIN和/或表示装置的用户固有的事物的数据的认证(使用识别码的双因素认证或三因素认证)，以下形式的认证是可能的。
[0021]请求可包括包含位置的数据(即，用户尝试由其访问数据的地方)，并且步骤(ii)还可包括基于位置验证是将允许还是将拒绝对数据的访问。
[0022]请求可包括包含时间的数据(即，用户尝试访问数据的时间)，并且步骤(ii)还包括基于时间验证是将允许还是将拒绝对数据的访问。
[0023]请求可包括指示用户是群组一部分的数据，并且步骤(ii)还包括基于群组的另一个成员(例如管理者)是否正在访问数据，验证是将允许还是将拒绝对数据的访问。
[0024]安全元件或存储卡例如是“智能对象”或者具有唯一识别码的安全或防篡改硬件装置，识别码本身理论上也是安全和防篡改的。安全元件或存储卡例如可以是SIM、虚拟SIM、SIM软件、TPM(可信平台模块)、SE(安全元件)、TEE(可信执行环境)、微型SD、存储卡、USB密钥或智能卡。
[0025]如上所述，安全元件的一个普通示例是SIM卡。在所有GSM移动装置以及在智能电话中都提供SIM卡。但是，SIM卡是由电话网络提供，因此不易访问(其含义是不易将小程序下载至SIM，或修改SIM)。此外，装置的操作系统可能没有与SIM交互的软件工具包。为了克服上述缺点，可以下载虚拟SIM(软件SIM)，虚拟SIM能够作为应用被载入至装置上。虚拟SIM
表现得像实体SIM，意思是它能够接收和处理小程序，并安全地存储小程序、凭证、密钥和算法等等。
[0026]安全元件或存储卡可以是本地形式、远程形式或可移动形式的存储器的任何一种。
[0027]优选将安全元件或存储卡的识别码妥善保护，并存储在例如安全元件或存储卡的保险箱中。
[0028]在本专利技术的优选实施例中，安全元件或存储卡用于创建安全通道，和/或加密识别码和/或PIN或密码。
[0029]可将数据存储在与装置相关联的分区中，例如存储器分区，并且请求可包括指定例如待访问的分区的分区的数据。
[0030]在安全元件或存储卡与分区之间可创建安全通道，然后安全通道能够用于在装置与分区之间传送数据、文件、凭证或其他形式填充数据。
[0031]因此，所述方法可包括步骤：(iv)在装置与远程或可移动存储设备之间执行相互认证处理；(v)在装置与远程或可移动存储设备之间本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种在装置上访问数据的方法，其中所述数据远离所述装置或者在可移动存储设备中存储在与所述装置相关联的多个分区中，所述分区被存储在所述装置中，所述方法包括以下步骤：(i)基于由所述装置从信号发射装置读取的信号，从所述多个分区中确定要访问的所选择的分区；(ii)从所述装置发送访问所述数据的请求，所述请求包括指定要访问的所选择的分区的信息和与所述装置相关联的安全元件的识别码；(iii)至少部分地基于所述识别码，验证是将允许还是将拒绝对所述数据的访问；以及(iv)因此允许或拒绝所述装置对所述数据的访问。2.根据权利要求1所述的方法，其中所述数据存储在云中。3.根据权利要求1所述的方法，其中所述请求包括在所述装置上输入的密码或PIN，并且步骤(iii)还包括基于所述密码或PIN，验证是将允许还是将拒绝对所述数据的访问。4.根据权利要求1所述的方法，其中所述请求包括表示所述装置的用户固有的事物的数据，并且步骤(iii)还包括基于表示所述装置的用户固有的事物的数据，验证是将允许还是将拒绝对所述数据的访问，和/或其中所述请求包括包含位置的数据，并且步骤(iii)还包括基于所述位置验证是将允许还是将拒绝对所述数据的访问；和/或其中所述请求包括包含时间的数据，并且步骤(iii)还包括基于所述时间验证是将允许还是将拒绝对所述数据的访问；和/或其中所述请求包括指示所述用户是群组一部分的数据，并且步骤(iii)包括基于所述群组的另一个成员是否正在访问所述数据，验证是将允许还是将拒绝对所述数据的访问。5.根据权利要求4所述的方法，其中表示所述装置的用户固有的事物的数据包括表示关于所述用户的遗传学和/或生物统计学信息的数据。6.根据权利要求1所述的方法，其中所述安全元件或存储卡是与所述装置相关联的SIM、虚拟SIM、SIM软件、TPM、SE、TEE、微型SD、存储卡、USB密钥或智能卡。7.根据权利要求1所述的方法，其中所述数据存储在与所述装置相关联的分区中，并且所述请求包括指定所述分区的数据，并且优选地，其中所述数据帮助连接到第三方服务。8.根据权利要求7所述的方法，其中指定所述分区的所述数据包括以下的一个或多个：
‑
PIN或密码；以及
‑
表示所述装置的用户固有的事物的数据。9.根据权利要求8所述的方法，其中表示所述装置的用户固有的事物的数据包括表示关于所述用户的遗传学和/或生物统计学信息的数据。10.根据权利要求1所述的方法，其中所述装置是电话、平板电脑、笔记本电脑、台式电脑、TV、机顶盒、相机、汽车、游戏机、眼镜、手表、Chromecast、智能计量仪或者能够向远程装置发送和接收数据的任何其他装置。11.根据权利要求1所述的方法，在步骤(i)
‑
(iv)之前所述方法包括：将安全元件或存储卡的识别码登记到所述数据。12.根据权利要求11所述的方法，其中一个以上的安全元件或存储卡的识别码与所述数据相关联。
13.一种包括装置和数据访问控制器的系统，所述数据访问控制器用于控制从所述装置访问数据，所述数据远离所述装置或者在可移动存储设备中存储在与所述装置相关联的多个分区中，所述分区被存储在所述装置中，其中所述装置被布置为从信号发射装置读取识别要访问的所述分区的信号，向所述数据访问控制器发送访问所述数据的请求，所述请求包括与所述装置相关联的安全元件或存储卡的识别码；以及所述数据访问控制器被布置为至少部分地基于所述识别码，验证是将允许还是将拒绝对所述数据的访问，以及因此允许或拒绝所述装置对所述数据的访问。14.一种从装置访问基于云或基于网络的第三方服务的方法，所述方法包括以下步骤：(i)从所述装置向与所述装置相关联的基于云的分区发送请求，所述分区包括用于帮助连接到所述第三方服务的数据，所述请求包括与所述装置相关联的安全元件或存储卡的识别码；(ii)至少部分地基于所述识别码，验证是将允许还是将拒绝对所述分区的访问；以及(iii)因此允许或拒绝所述装置对所述分区的访问；以及在允许对所述分区的访问之后：(iv)将凭证传输给所述第三方服务，其中要求识别和/或访问所述分区的信息是从发射装置读取的。15.根据权利要求14所述的方法，其中所述信号发射装置是蓝牙、BLE、wifi、zigbee、NFC、GPS、或ISO 14443装置，或者利用任何其他形式的无接触通信的装置。16.根据权利要求1所述的方法，进一步...

【专利技术属性】
技术研发人员：克里斯托弗，
申请(专利权)人：利伯蒂沃特斯有限公司，
类型：发明
国别省市：