场所感知安全性和策略编排 |
|||||||
| 申请号 | CN201580029022.3 | 申请日 | 2015-06-23 | 公开(公告)号 | CN106465100A | 公开(公告)日 | 2017-02-22 |
| 申请人 | 迈克菲股份有限公司; | 发明人 | R·普尔纳查得兰; S·沙希德扎德; S·达斯; V·J·齐默; S·瓦什斯; P·沙玛; | ||||
| 摘要 | 跟踪 站检测在所述跟踪站的短程无线模 块 的通信范围内的移动 数据处理 系统(DPS)。响应于检测到所述移动DPS,所述跟踪站从所述移动DPS的安全模块中获得所述DPS的标识数据。所述跟踪站使用所述标识数据来获得用于 访问 所述移动DPS上的安全存储设备的凭证。所述跟踪站基于与所述DPS相关的多个因素(比如,所述移动DPS的身份、所述移动DPS的 位置 、所述移动DPS的能 力 等)来自动地生成所述移动DPS的安全配置数据。所述跟踪站使用所述凭证来将所述安全配置数据写入所述移动DPS的所述安全存储设备中。所述安全配置数据要求所述移动DPS自动地禁用或启用至少一个部件。对其他 实施例 进行了描述并要求保护。 | ||||||
| 权利要求 | 1.一种用于支持数据处理系统的场所感知安全性的方法,所述方法包括: |
||||||
| 说明书全文 | 场所感知安全性和策略编排[0001] 相关申请的交叉引用 [0002] 本申请要求于2014年6月30日提交的题为“Location-Based Data Security(基于位置的数据安全性)”的美国非临时申请号14/320,505以及于2014年12月4日提交的题为“Premises-Aware Security and Policy Orchestration(场所感知安全性和策略编排)”的美国非临时申请14/560,141的优先权,所述申请通过引用结合在此。 技术领域背景技术[0004] 公司内的不同部门可能位于建筑物内的不同位置。具有移动数据处理系统的雇员可以在不同时间访问不同部门。公司的管理层可能想要对在每一个不同位置中进行操作的数据处理系统实施不同的安全策略。例如,管理层可能想要在第一层实施相对开放的安全策略、在第二层实施中间安全策略、并且在顶层实施严格的安全策略。 [0005] 然而,可能难以或者不可能使用常规的计算机安全方法来编排这种安全策略,特别是在可能将数据处理系统从一个位置移动到另一个位置的时候。 [0007] 图1是示例性场所感知安全性系统的示意图。 [0008] 图2是具有场所感知安全性的示例性数据处理系统的框图。 [0009] 图3A和图3B呈现了用于使用场所感知安全性的示例性过程的流程图。 [0010] 图4A和图4B呈现了用于使用场所感知安全性的示例性过程的另一个流程图。 具体实施方式[0011] 如以上所指示的,本公开描述了利用场所感知来编排并实施多方面安全策略的方法和装置。如以下更加详细地描述的,具有移动数据处理系统的个人可以从建筑物内的一个位置行进到另一个位置,并且数据处理系统可以在每一个不同的位置中自动地实施不同的安全限制。为了本公开的目的,当在不同的位置中使用数据处理系统时,自动地实施针对数据处理系统的不同安全限制的能力可以被称为场所感知安全性(PAS)。此外,PAS可以基于两个或多个因素(包括如设备位置、设备能力、用户身份和/或用户凭证等属性)的组合来实施安全策略。 [0012] 基于位置的安全性(LBS)的典型常规方法取决于可信网络。然而,常规网络可能不总是安全的。例如,组织的网络安全可能被蠕虫、病毒等攻破,特别是在网络不限于由组织所提供的数据处理系统使用,但相反被配置成用于允许用户在网络上利用其自己的设备的时候。相比而言,本公开描述了LBS的方法,在至少一个实施例中,所述方法确保:即使已经损害了网络安全,客户端系统也遵循所规定的安全策略。 [0013] 为了展示的目的,本公开描述了一个或多个示例性实施例。然而,本教导不限于那些特定实施例。 [0014] 图1是示例性PAS系统10的示意图。为了展示的目的,本公开将PAS系统10描述为由被称为ACME的假设的组织或企业控制。在示例性实施例中,ACME使用PAS系统10来在建筑物102内实施安全限制。相应地,ACME的计算机安全管理员已经将建筑物102配置有三个不同的安全区域:大厅、区域A和区域B。个人或用户可以携带移动数据处理系统(DPS)20进入建筑物102内的不同安全区域。ACME可以在建筑物102中使用管理DPS 130连同跟踪站122A和 122B来编排建筑物102内的计算机安全。跟踪站还可以被称为管理控制台或安全控制台。管理DPS 130还可以被称为安全控制台。如安全控制台和移动DPS 20等物品可以被共同地称为PAS系统10或PAS管理网络10。 [0015] 接入点112为建筑物102提供局域网(LAN)覆盖。由接入点112提供的LAN 110可以使用有线通信技术和/或无线通信技术。在图1的实施例中,接入点112使用中间距离无线技术。 [0016] 任何适当技术或技术组合可以用于在LAN内进行中间距离通信,包括但不限于遵循各种电气和电子工程师协会(IEEE)802.11标准或协议中的一项或多项的技术。为了本公开的目的,所有802.11协议可以被称作WiFi协议。 [0017] 此外,不同的个域网(PAN)120A和120B覆盖安全区域中的每一个安全区域之间的对应滞塞点。例如,跟踪站122A可以使用无线通信模块124A来提供PAN 120A,并且跟踪站122B可以使用无线通信模块124B来提供PAN120B。如以下更加详细地描述的,那些无线通信模块可以使用短程无线技术来从移动DPS中读取数据并且向其写入数据。PAN还可以被称为气隙网络或者无线PAN(WPAN)。 [0018] 任何适当技术或技术组合可以用于在PAN内进行短程通信,包括但不限于:(a)遵循各种射频标识(RFID)标准或协议中的一项或多项的技术;以及(b)遵循IEEE 802.15标准或协议的技术,包括802.15.1(例如,蓝牙)和802.15.4(例如,ZigBee)。 [0019] 相应地,跟踪站可以基于RFID、蓝牙、ZigBee、或者用于与移动DPS通信的任何其他适当的协议来确定移动DPS的位置。 [0020] 此外,跟踪站和移动DPS可以使用短程无线技术(有可能结合中间距离无线技术和/或有线技术)来进行LAN通信。 [0021] 为了本公开的目的,中间距离无线技术可以具有距离无线路由器或其他无线接入点约300英尺、约200英尺、约100英尺或者更短的室内范围。相比而言,短程无线技术可以具有约33英尺、约6英尺或更短的室内范围。例如,在图1的实施例中,接入点112可以被实施为支持多个不同802.11协议(包括具有约230英尺的室内范围的至少一项协议(例如,802.11n))的无线路由器;并且无线通信模块124A和124B可以使用以865-868兆赫兹(MHz)或902-928MHz进行操作的具有约6英尺的室内范围的超高频(UHF)RFID阅读器。 [0022] 在至少一个实施例中,滞塞点被设计成用于强迫所有用户:(a)每当他们在大厅与区域A之间移动时,穿过PAN 120A;并且(b)每当他们在区域A与区域B之间移动时,穿过PAN 120B。此外,PAN 120A和PAN 120B被实施为具有互不重叠的但是与LAN 110的至少一部分重叠的范围。因此,在图1的实施例中,每一个PAN覆盖单个滞塞点。 [0023] 管理DPS 130可以经由LAN 110来与跟踪站通信。此外或可替代地,管理DPS 20可以直接经由RFID或其他无线或有线通信协议来与跟踪站通信。如果PAS系统10的安全设置允许,那么移动DPS 20还可以使用LAN 110。管理DPS 130和/或建筑物102内的其他数据处理系统还可以经由如互联网等广域网(WAN)140来与一个或多个远程数据处理系统150通信。 [0024] 如以下关于图2而更加详细地描述的,移动DPS 20包括安全存储部件,即使在移动DPS 20断电的时候,跟踪站也可以从所述安全存储部件中读取并向其写入。类似地,跟踪站122A和122B使用允许跟踪站即使在移动DPS 20断电的时候也从移动DPS 20的安全存储部件中读取或者向其写入的通信技术来实施PAN。 [0025] 图2是框图,更加详细地描绘了移动DPS 20。如所示出的,移动DPS 20包括与各种硬件部件(比如,管理处理器30、随机存取存储器(RAM)60、大容量存储设备80和相机36)通信的至少一个主机处理器22。 [0026] 管理处理器30可以包括管理安全代理(MSA)34和网络端口32。可替代地,管理处理器和网络端口可以驻留在单独的模块中,并且管理处理器可以驻留在网络端口与主机处理器之间。管理处理器30可以独立于移动DPS 20中的任何操作系统或用户应用而执行MSA 34。因此,MSA 34可以被称为带外执行实体。为了提供独立性和防篡改的隔离执行,管理处理器30可以执行来自专用于管理处理器30并且从移动DPS 20的其他部件中隔离的存储设备中的MSA 34。另外地,MSA 34可以允许如管理DPS 130等其他数据处理系统在移动DPS 20睡眠和/或断电的时候经由LAN 110和端口32来与移动DPS 20通信。例如,管理处理器30可以包括如针对与Intel Corporation(因特尔公司)描述和/或发布的名称或商标为INTEL ACTIVE MANAGEMENT TECHNOLOGY(因特尔主动管理技术,AMT)的技术相关联的管理引擎(ME)而描述的特征等特征。在其他实施例中,管理处理器可以使用其他技术。 [0027] 在图1的实施例中,主机处理器22包括多个执行单元,包括一个或多个通用核24、一个或多个图形单元26、以及安全模块40。 [0028] 可以使用任何适当的存储技术或存储技术组合(包括但不限于硬盘驱动器(HDD)、固态驱动器(SSD)、只读存储器(ROM)、和/或其他类型的非易失性或易失性存储技术)来实施大容量存储设备80。大容量存储设备80包括可以被加载到RAM 60中并且可由核24执行的各种指令集。那些指令集可以包括操作系统62以及可能在操作系统62上运行的用户应用64和66。那些指令集还包括安全编排代理(SOA)72。SOA 72还可以被称为基于位置的安全代理(LBSA)。如以下所解释的,核24可以在可信执行环境(TEE)70中运行SOA 72。此外,TEE 70可以独立于任何操作系统或用户应用而进行操作。因此,SOA 72可以被称为带外执行实体。可信执行环境还可以被称为安全执行环境。在其他实施例中,SOA无需在TEE中运行。以下关于图3A和图3B而更加详细地描述了TEE 70。 [0029] 在图2的实施例中,安全模块40包括适合用于RFID通信的天线42。其他实施例可以使用具有适合用于其他类型的短程无线通信的天线的安全模块。 [0030] 在图2的实施例中,安全模块40还包括安全存储设备44。例如,安全模块40可以被实施为嵌入式安全元件,并且安全模块40可以包括如所描述的名称或商标为Wireless Credential Exchange(无线凭证交换,WCE)的特征等特征。此外或可替代地,安全模块40可以包括如由所描述或发布的名称或商标为如Monza、Monza X等的RFID集成电路(IC)所提供的特征等特征。 [0031] 为了本公开的目的,安全存储设备是被保护防止未经授权的访问的存储设备。换言之,安全存储设备不可由未授权实体访问。例如,安全存储设备44可由密码保护。如以下更加详细地描述的,跟踪站122A和122B可以经由天线42来与安全存储设备44通信,条件是(a)移动DPS 20已经被配置成用于将跟踪站122A和122B识别为授权实体或者(b)跟踪站122A和122B已经被提供有保护安全存储设备44防止未经授权的访问的密码。 [0032] 而且,硬接线通信信道或总线(例如,集成电路间(I2C)总线)可以允许如SOA 72等主机处理器22上的TEE 70内的软件访问安全存储设备44。然而,经由硬接线信道来进行的对安全存储设备44的访问可由访问控制机构(比如,个人识别号码(PIN)、密码、或者要求用于解锁访问的另一个因素)保护。这可以包括基于移动DPS 20的操作阶段的锁定,其中,可以在平台重启之后立即访问存储设备,但是之后,在运行第三方代码(比如,操作系统或用户软件)之前,存储设备锁定。此外或可替代地,在运行时期间,经由授权值(比如,密码)的呈现,安全存储设备44可以是可解锁的。例如,根据来自Trusted Computing Group(可信计算组织)的Opal存储规范,可以将安全存储设备44实施为Opal驱动,或者可以像智能卡一样保护安全存储设备44。相应地,至安全存储设备44的硬接线信道可以被称为安全信道。 [0033] 此外,如以下所指示的,跟踪站可以独立于硬接线总线而使用如RFID等短程无线协议来从安全存储设备44中读取和/或向其写入。在跟踪站与安全模块40之间的通信也可以独立于移动DPS 20上的任何操作系统或用户应用。如以上所指示的,跟踪站甚至能够在移动DPS 20睡眠或断电的时候从安全存储设备中读取并向其写入。因此,在跟踪站与安全模块40之间的通信可以被称为是带外的。 [0034] 由于安全存储设备44用于存储安全设置并且安全存储设备44被保护防止经由有线端口和无线端口两者来进行的未经授权的访问,所以安全存储设备44可以被称为防篡改策略存储设备。在一个实施例中,使用因特尔公司描述的名称或商标为无线凭证交换(WCE)或处理器安全存储设备(PSS)的技术来实施安全存储设备44。WCE涉及具有某个本地存储设备和计算的RFID设备。使用WCE,设备可以存储响应于入射射频(RF)波的少量秘钥资料。此存储设备可以用于保持策略信息或其他秘钥资料。在其他实施例中,其他技术可以用于保护安全存储设备。 [0035] 对于图1,管理DPS 130和/或远程DPS 150可以包括如在移动DPS 20中的部件等部件和/或任何其他适当部件。 [0036] 再次参照图2,安全存储设备44包括移动DPS 20的PAS设置51。如所展示的,PAS设置51可以包括(a)用于唯一地标识移动DPS 20的当前用户的用户标识符(UID)50,(b)用于列出移动DPS 20内的功能单元的设备能力列表(DCL)52,(c)移动DPS 20的当前安全配置(CSC)54,以及(d)移动DPS 20的默认安全配置(DSC)56。DCL 52可以标识在平台上呈现的不同模块、部件或功能单元。例如,DCL 52可以标识如在移动DPS 20上呈现的应用64和66以及相机36。DCL 52还可以指示哪些部件当前是活跃的或启用的,以及那些部件是不活跃的或禁用的。因此,DCL 52可以充当“白名单”和/或“黑名单”。 [0037] 安全模块40还可以包括用于唯一地标识移动DPS 20的系统标识符(SID)48。此外,可以采用加密的形式来存储SID 48,从而使得只有授权实体(例如,跟踪站122A和122B)可以确定SID 48的明文形式。 [0038] 在图2的实施例中,安全模块40在至少一些方面像RFID标签一样进行操作。相应地,安全模块40被或多或少地实施为RFID模块或者具有唯一标识符的芯片,并且该唯一标识符可以用作SID 48。可替代地,任何其他适当的标识符都可以用作SID。 [0039] 用于使用LAN 110来进行操作的移动DPS可以包括ACME拥有的系统(例如,工作膝上计算机)以及个人拥有的系统(例如,ACME雇员拥有的智能电话)。个人拥有的系统还可以被称为“自带设备”或“BYOD”。在一个实施例中,在那些BYOD可以使用LAN 110之前,必须由ACME管理员配设并注册BYOD。 [0040] 在用于将移动DPS 20配置成用于使移动DPS 20能够在建筑物102内被使用的初步过程期间,ACME安全管理员可以将初始PAS设置51加载到安全存储设备44中。而且,由于安全存储设备44仅可由授权实体访问,所以管理员可以将移动DPS 20加载有用于标识所有跟踪站的数据,应当允许所述跟踪站从安全存储设备44中读取和/或向其写入。例如,那些跟踪站的标识符可以被称为安全控制台凭证(SCC)58,并且SCC 58可以被存储在安全存储设备44中。因此,在经授权的跟踪站与已经被注册为在LAN 110内进行操作的移动DPS之间存在绑定。 [0041] 管理员还可以将SOA 72安装在移动DPS 20上。此外或可替代地,在制造期间或者在其他某个时间点,可以安装所要求的软件和设置中的一些或所有。 [0042] 为了使管理员能够从安全存储设备44中读取并向其写入,特别是在BYOD的情况下,移动DPS 20的所有者可以向管理员提供安全存储设备44的密码。可替代地,特别是在ACME拥有的设备的情况下,管理员可能已经知道密码,并且根据设计,管理员可能具有允许管理员重写用户设置的更高特权。 [0043] 管理员还可以向PAS系统10的安全控制台注册移动DPS 20。作为该注册过程的一部分,管理员可以与跟踪台122A和122B共享SID 48和安全存储设备44的密码。如以下所指示的,跟踪站122A和122B随后可以使用经注册的SID来认证移动DPS 20,并且跟踪站122A和122B可以使用密来从安全存储设备44中读取并向其写入。管理员还可以与管理DPS 130以及跟踪站122A和122B共享用于解密SID 48的秘钥。例如,管理员可以向安全控制台提供私钥,并且管理员可以向移动DPS 20提供用于加密SID 48的相应公钥。 [0044] 图3A和图3B呈现了从移动DPS 20的角度的用于使用PAS的示例性过程的流程图。每当用户激活移动DPS 20时(例如,当从待机状态恢复时、当从睡眠中醒来时、当被解锁时、在断电或复位之后启动时等),或者每当移动DPS 20进入或者退出受保护的位置时,可以开始该过程。如在框302处所示出的,当激活移动DPS 20时,或者当移动DPS 20进入或退出受保护的位置时,移动DPS 20可以在TEE 70中启动SOA 72。 [0045] 另外地,移动DPS 20可以验证SOA 72没有被篡改。在一个实施例中,循环冗余码(CRC)用于执行此验证。在图2的实施例中,移动DPS 20包括以名称或商标Intel Trusted Execution Technology(因特尔可信执行技术,TXT)而已知的特征,并且TEE 70是测量启动环境(MLE)的一部分。此外或可替代地,移动DPS 20可以使用以名称或商标Intel Software Guard Extensi ons(因特尔软件保护扩展,SGX)而已知的技术来在安全区域中启动SOA 72,该安全区域在图2中被展示为TEE 70。相应地,移动DPS 20可以测量SOA 72、可以验证该测量、并且可以在成功验证之后在核24上的TEE 70内启动SOA 72。可以在www.intel.com/content/dam/www/public/us/en/documents/wh ite-papers/trusted-execution-technology-security-paper.pdf.中获得关于 TXT的更多信息。可以在网上 (software.intel.com/en-us/attestation-sealing-withs oftware-guard-extensions)获得关于 SGX的更多信息。 [0046] 在其他实施例中,其他技术可以用于提供TEE。例如,可由移动DPS的芯片组中的一个或多个安全代理保护SOA。此安全代理(或者这些安全代理)可以定期检查SOA的完整性,例如,通过将SOA的哈希存储在安全代理的受保护的存储设备中以及使用对安全代理的隔离执行来判定SOA是否已经由意料之外的实体修改。换言之,如果SOA具有函数A和函数B,那么安全代理可以在启动时计算哈希(函数A||函数B)=摘要_黄金值。在随后的时间,安全代理可以基于SOA的当前内容(比如,在时间t=1时,摘要=D(1),在时间t=2时,摘要=D(2)等,其中,在时间=t时,D(t)=哈希(函数A||函数B))来重新计算摘要。如果任何D(t)不等于D(0),那么安全代理可以断定发生了损坏。因此,安全代理可以充当标记,通过检测SOA是否已经损坏来保护SOA,如果检测到损坏,那么在可能造成任何进一步损害之前有可能停止SOA。 [0047] 可替代地,可以分解或划分单片式SOA,并且可以将SOA的安全关键部分移动到安全代理中。为了展示的目的,来自SOA的代码的安全关键部分可以被称为“函数A”,并且安全代理内的相应代码可以被称为“函数B”。函数B可以是函数A的隔离的、受保护的实施方式。因此,当SOA调用函数A时,SOA实际上可以经由发送至安全代理的IPC来调用函数B的服务类别。在一个实施例中,建立SOA,从而使得在启动时,安全关键部分被迁移到安全处理器中。 因此,可以将某些任务或功能卸载到安全代理上。此安全代理可以具有隔离的存储和执行设施,因此提供隔离的卸载或SOA功能的部分。移动DPS可以使用动态应用加载程序(DAL)来加载这种安全代理,并且安全代理可以使用进程间或处理器间通信(IPC)通过主机嵌入式通信接口(HECI)总线来与像核24和/或安全模块40等部件通信。此外或可替代地,可以使用ARM Ltd.(ARM有限公司)描述的名称或商标为TrustZone的技术来实施TEE。 [0048] 此外或可替代地,TEE可以作为防篡改的、安全的、隔离的执行环境,独立于主机处理器而进行操作。例如,可以使用管理处理器上的专用融合式安全可管理性引擎(CSME)来实施TEE。例如,CSME可以像MSA 34一样进行操作。 [0049] 其他实施例可以使用以上技术的任何适当组合和/或其他技术来保护TEE。 [0050] 在一个实施例中,SOA 72被保护并且被验证为在平台层是安全的。换言之,验证和保护由在操作系统层以下并且在用户应用层以下执行的部件提供,从而使得操作系统中或者用户应用中的错误代码或恶意代码不能损坏SOA72。例如,SOA 72可由移动DPS 20的原始设备制造商(OEM)和原始设备制造商(ODM)进行数字签名,并且在平台启动期间,有可能作为可信根的一部分,移动DPS 20上的启动前加载程序可以使用该签名来验证SOA 72的真实性和纯度。 [0051] 在平台启动之后,TEE 70可以阻止在移动DPS 20中运行的未授权实体(例如,应用、操作系统、库、驱动程序、虚拟机、虚拟机监视器、过程、线程等)对SOA 72的访问或修改。在一个实施例中,移动DPS 20不允许任何软件在TEE内执行,除非该软件已经被首先验证为是安全的。例如,移动DPS 20可以使用如因特尔公司所描述的名称或商标为Launch Control Policy(启动控制策略,LCP)的技术等技术来控制代码进入TEE中。移动DPS 20还可以阻止任何软件在TEE之外执行以访问TEE保护的存储区域中的任何存储区域。在各种实施例中,TEE可以被实施为安全区域、虚拟化分区、虚拟机、沙箱等。 [0052] 此外或可替代地,可以对SOA进行签名和验证。例如,在允许SOA执行之前,移动DPS可以使用如被Microsoft Corp.(微软公司)称为Code Integrity(代码完整性,CI)的技术等技术来密码地验证SOA。 [0053] 如在框310处所示出的,在移动DPS 20启动SOA 72之后,SOA 72可以自动地判定是否针对移动DPS 20而启用了PAS。如在框312处所示出的,如果没有启用PAS,那么SOA 72可以终止自己,并且之后,移动DPS 20可以在没有以下所描述的SOA 72的特征的情况下进行操作(例如,没有动态地应用策略变化来动态地配置或约束硬件或软件利用)。 [0054] 如在框314处所示出的,如果启用了PAS,那么SOA 72可以读取移动DPS 20的PAS设置51。例如,SOA 72可以使用移动DPS 20的硬接线总线来从安全存储设备44中读取PAS设置51。而且,为了获得对安全存储设备44中的数据的访问,SOA 72可以使用密码或者正保护安全存储设备44的其他控制因子。例如,如果安全存储设备被实施为Opal驱动,那么SOA可以提供Opal样式的授权值。可替代地,SOA可以首先使用令牌值来开封或发布秘钥,并且之后,SOA可以使用该秘钥来解密存储设备。可替代地,可以强制执行挑战/响应验证。移动DPS可以使用任何适当的技术来密封秘钥和/或存储设备中的其他数据,包括但不限于可信平台模块(TPM)和 SGX。 [0055] 在另一个实施例中,安全模块和主机处理器两者都驻留在单个集成电路(IC)或“片上系统”(SOC)上,并且他们经由SOC内部的硬接线总线来与彼此通信。在这种实施例中,SOA可能能够在没有密码的情况下经由硬接线总线来对安全存储设备进行读取。 [0056] 如在框316处所示出的,在从安全存储设备44中读取PAS设置51之后,SOA 72则可以应用移动DPS 20的PAS设置51。如以下关于图3B的框350、352、360、362、370和372而更加详细地描述的,当应用PAS设置51时,SOA 72可以根据CSC 54来配置移动DPS 20。之后,移动DPS 20可以根据CSC 54所指定的约束来进行操作。相应地,如CSC 54等物品可以被称为安全关键策略物体。 [0057] 如在框320处所示出的,之后,SOA 72可以等待移动DPS 20接收新的PAS设置(例如,新的CSC)。例如,如以下关于图4而更加详细地描述的,移动DPS 20可以响应于跟踪站检测移动DPS 20正在进入或离开与跟踪站相关联的安全区域而从跟踪站中接收新的PAS设置。 [0058] 然而,在移动DPS 20允许跟踪站从安全存储设备44中读取和/或向其写入之前,移动DPS 20可以要求跟踪站提供凭证(例如,跟踪站的唯一标识符)。如以上所指示的,之后,移动DPS 20可以基于所接收的凭证并且基于经授权的跟踪站的在对移动DPS 20的注册期间被提供给移动DPS 20的标识符来验证跟踪站是授权实体。此外或可替代地,如以上所指示的,跟踪站可能需要提供安全存储设备44的密码,以便从安全存储设备44中读取或向其写入。 [0059] 一旦移动DPS 20接收新的PAS设置,图3A的过程就可以穿过页面连接符A到达图3B。当移动DPS 20接收新的PAS设置时,旧的设置可以被称为原始PAS设置。 [0060] 如在图3B的框350处所示出的,响应于移动DPS 20接收新的PAS设置,SOA 72可以自动地判定那些设置是否要求对移动DPS 20的任何硬件限制作出改变。如在框352处所示出的,如果新的PAS设置涉及不同于原始设置的硬件限制,那么SOA 72可以重新配置移动DPS 20的硬件能力。例如,如果原始CSC没有强加任何硬件限制并且新的CSC禁止使用任何相机,那么SOA 72可以通过自动地禁用相机36来作出响应。在其他情况下,新的CSC可能使SOA 72来启用一个或多个禁用的硬件部件。作为禁用或启用相机36的补充或可替代形式,响应于接收新的CSC,SOA 72可以禁用或启用其他类型的硬件,包括但不限于:输入/输出(I/O)集线器、通用串行总线(USB)端口、音频端口、键盘端口、存储器模块、非易失性存储设备、协处理器或加速器、网络接口卡(NIC)、电源按钮等。 [0061] 在一个实施例中,操作系统向SOA授予硬件管理特权。在另一个实施例中,SOA被嵌入到类型1管理程序(即,不具有基础操作系统的管理程序),并且SOA具有对硬件资源的直接访问。在其他实施例中,可以使用其他技术来给予SOA硬件管理特权。 [0062] SOA 72可以使用任何适当的技术来启用和禁用硬件部件。例如,SOA 72可以遮挡或阻塞对SOC地址空间中的设备命令/状态寄存器的访问。此外或可替代地,SOA 72可以针对PCI设备而使用禁用设备选择(devsel#)线。此外或可替代地,SOA 72可以避免上报设备存在于用于上报硬件属性的一个或多个工业标准数据结构(例如,高级配置与电源接口(ACPI)表)中和/或在用于上报硬件属性的一个或多个专有数据结构中。此外或可替代地,如果作为管理程序的一部分而进行操作,那么SOA可以通过避免I/O事务穿过虚拟设备到达物理设备或者通过移除“设备模型”实例来禁用设备,从而使得客户OS不能辨别或发现该设备。此外或可替代地,SOA可以指示暴露于客户OS的虚拟设备在已经激活禁用动作的时候对于命令请求是非功能性的。 [0063] 此外,如在框360处所示出的,SOA 72自动地判定新的PAS设置51是否要求对移动DPS 20的任何软件限制作出改变。如在框362处所示出的,如果新的PAS设置51涉及不同于原始设置的软件限制,那么SOA 72可以重新配置移动DPS 20的软件能力。例如,如果原始CSC没有强加任何软件限制并且新的CSC禁止使用任何web浏览器应用,那么SOA 72可以通过自动地禁用移动DPS 20中的所有web浏览器应用来作出响应。在其他情况下,新的CSC可能使SOA 72启用一个或多个禁用的软件部件。 [0064] SOA 72可以使用任何适当的技术来禁用和启用软件部件。例如,SOA 72可以通过对与软件部件的接口进行修改、替换或者“劫持”来禁用该部件。例如,SOA 72可以使用访问控制逻辑(ACL)层来调解对服务的访问。例如,如果软件部件提供了被称为ServiceX的服务,那么SOA 72可以插入拦截对ServiceX的所有调用的ServiceXAclLayer,并且ServiceXAclLayer可以包括用于在不同的预定条件下允许或阻止对ServiceX的访问的策略对象。之后,SOA72可以使用ServiceXAclLayer连同其策略对象来决定来自ServiceX的调用程序的请求是否应当经由ServiceXAclLayer来传递,或者相反,ServiceXAclLayer是否应当返回“不可用”错误。此外或可替代地,SOA 72可以通过改变OS 62的控制面板中的应用或系统设置来禁用软件部件。此外或可替代地,SOA 72可以使用环境变量来禁用软件部件。这种环境变量可以是固件接口的一部分(例如,统一可扩展固件接口(UEFI)),并且可以在系统管理模式(SMM)下与OS 62共享这种环境变量。 [0065] 如在框370处所示出的,之后,SOA 72可以自动地判定新的PAS设置51是否要求对移动DPS 20的任何其他安全限制作出改变。例如,PAS设置51可以授予对数据(例如,LAN 110上的特定文件或文件夹)的访问或者对网络资源(例如,网络打印机)的访问,移动DPS 20通常不具有对所述网络资源的访问,或者PAS设置51可以拒绝移动DPS 20通常具有的访问。如在框372处所示出的,如果新的PAS设置51涉及不同于原始设置的限制,那么SOA 72可以根据新的设置来重新配置移动DPS 20的能力。例如,PAS系统10可以被配置成用于阻止除了特定移动DPS(如果该移动DPS由特定用户在特定安全区域中操作)以外的所有移动DPS访问网络上的特定文件夹中的文件。 [0066] SOA 72可以使用DCL 52来确定呈现了哪些部件、哪些部件是活跃的或者启用的、以及那些部件是不活跃的或者禁用的。而且,SOA 72可以更新DCL52,以反映SOA 72作出的改变。 [0067] SOA 72可以使用以上关于禁用部件而描述的相同种类的技术来启用部件。 [0068] 如以上所描述的,一旦SOA 72已经重新配置了移动DPS 20的能力,图3B的过程就可以穿过页面连接符B回到图3A的框320,SOA继续监测移动DPS 20是否接收新的PAS设置,并且相应地继续。 [0069] 图4A和图4B呈现了从跟踪站或跟踪系统的角度的用于使用PAS的示例性过程的流程图。如以上所指示的,跟踪站可以包括无线通信模块。图4的过程可以开始于跟踪站(例如,跟踪站122A)等待数据处理系统(例如,移动DPS 20)进入无线通信模块(例如,无线通信模块124A)的范围中。如在框412处所示出的,一旦移动DPS 20进入无线通信模块124A的范围中,跟踪站122A就通过自动地从移动DPS 20中读取PAS设置51来做出响应。具体地,移动DPS 20可以(a)从安全模块中读取SID 48,(b)解密SID 48(如果有必要),(c)基于SID 48来查找安全存储设备44的密码,以及之后(d)使用该密码来从安全存储设备44中读取PAS设置51。因此,跟踪站122A可以将SID 48用作令牌或数据库索引来查找移动DPS 20中的安全存储设备44的密码。 [0070] 此外或可替代地,在移动DPS 20允许跟踪站122A访问安全存储设备44之前,移动DPS 20可以要求跟踪站122A提供其他类型的凭证,并且移动DPS 20可以基于跟踪站122A提供的凭证结合在配置期间接收的跟踪站凭证或标识符来判定跟踪站122A是否是授权实体。 [0071] 如以上所指示的,PAS设置51包括如UID 50等用户凭证。在读取PAS设置51之后,跟踪站122A则可以验证用户凭证和设备凭证。具体地,如在框420处所示出的,跟踪站122A可以判定移动DPS 20的安全凭证是否良好。例如,跟踪站122A可以基于SID 48来验证移动DPS 20被注册为经授权的设备。如在框430处所示出的,如果设备凭证是良好的,那么跟踪站 122A可以判定移动DPS 20的当前用户的安全凭证是否良好。例如,SOA 72可以基于UID 50来验证移动DPS 20的当前用户被注册为授权用户。 [0072] 如在框432处所示出的,如果设备凭证或用户凭证不是良好的,那么跟踪站122A可以采取补救措施或保护措施。例如,跟踪站122A可以将新的CSC 54写入安全存储设备44中,并且该新的配置可以使移动DPS 20禁用移动DPS 20的一些或所有硬件和/或软件部件。例如,如果跟踪站122A正保护非常敏感的资源,并且移动DPS 20不具有良好的凭证,那么新的设置可以完全关闭并且禁用或“堵住”移动DPS 20。为了重新启用移动DPS 20,则可能有必要将移动DPS 20带到不同的跟踪站(例如,由ACME的安全管理员在安全房间中操作的跟踪站)。其他可能的补救动作包括但不限于:加密移动DPS 20中的数据中的一些或所有数据或者擦除移动DPS 20中的数据中的一些或所有数据,以及之后关闭和/或堵住移动DPS。在采取补救动作之后,图4B的过程则可以结束。 [0073] 然而,再次参照框430,如在框440处所示出的,如果设备凭证和用户凭证是良好的,那么跟踪站122A可以判定移动DPS 20是否正在进入区域A。若是,则过程可以穿过页面连接符C到达图4B。如在框442处所示出的,之后,跟踪站122A可以保存原始PAS设置以供随后使用。如在框444处所示出的并且如以下更加详细地描述的,跟踪站122A还可以针对在区域A内对移动DPS 20的操作而确定合适的新PAS设置。如在框446处所示出的,之后,跟踪站122A可以利用无线通信模块124A来将新的PAS设置写入安全存储设备44中。例如,跟踪站 122A可以使用安全存储设备44的密码来将新的CSC 54写入安全存储设备44中。 [0074] 如以上关于图3A和图3B而描述的,响应于接收新的PAS设置,移动DPS 20可以根据那些配置来自动地重新配置其安全配置。 [0075] 然而,再次参照图4A,如在框450处所示出的,如果移动DPS 20没有正在进入区域A,那么跟踪站122A可以判定移动DPS是否正在离开区域A。如在框460处所示出的,如果移动DPS 20正在离开区域A,那么跟踪站122A可以判定移动DPS 20是否正与合法所有者或授权用户一起离开。如在框432处所指示的并且如以上和以下更加详细地描述的,如果移动DPS 20由未经授权的个人携带,那么跟踪站122A可以自动地采取补救措施来阻止对移动DPS 20的未授权使用和/或来通知合法所有者。然而,如在框462处所示出的,如果移动DPS 20与合法所有者一起离开,那么跟踪站122A可以利用无线通信模块124A来将原始PAS设置恢复至安全存储设备44。如以上关于图3A和图3B而描述的,响应于让原始PAS设置恢复,移动DPS 20可以根据那些配置来自动地重新配置其安全配置。之后,图4A中的过程可以结束。 [0076] 如以上所指示的,在一个实施例中,除非跟踪站具有用于与安全存储设备交谈的凭证,跟踪站不能从移动DPS中的安全存储设备中读取或向其写入。可以使用任何适当的技术来验证这种凭证。例如,在进行向安全存储设备的跟踪站写入之前或者结合所述跟踪站写入,跟踪站和移动DPS内的安全存储设备可以执行秘钥交换协议。 [0077] 如以上所指示的,当跟踪站122A确定移动DPS 20正在进入区域A时,跟踪站122A可以自动地确定移动DPS 20的用于在区域A内进行操作的同时使用的适当的新PAS设置。在确定哪些PAS设置适合于移动DPS 20的时候,跟踪站122A可以考虑许多不同的因素,包括但不限于:设备身份、用户身份、日期、当日时间、对区域A的特定预定限制等。此外,跟踪站122A考虑的因素中的一些或所有因素可能来自管理DPS 130。此外或可替代地,管理DPS 130可以确定适当的新PAS设置,并且管理DPS 130之后可以将那些设置发送至跟踪站122A,以便传递至移动DPS 20。如已经描述的,跟踪站122A可以实时地将如CSC 54等安全令牌写入或者闪存到移动DPS 20上。如以上关于图3A和图3B所描述的,新的安全令牌可能触发对移动DPS 20的安全设置的重新配置。 [0078] 此外,当移动DPS 20进入和离开区域B时,跟踪站122B可以执行与以上关于图4而描述为由跟踪站122A执行的操作相同种类的操作。例如,跟踪站122B可以判定移动DPS 20是正在进入还是正在离开区域B等。 [0079] 可以使用任何适当的技术来判定移动DPS 20是正在进入还是正在离开区域。例如,管理DPS 130可以基于来自跟踪站122A和122B的数据来跟踪移动DPS 20的位置。此外或可替代地,当移动DPS 20运动时,跟踪站122A和122B可以与彼此通信,就像塔之间的蜂窝电话呼叫转移一样。 [0080] 此外或可替代地,移动DPS位于跟踪站的范围内时,跟踪站可以将动态安全配置加载到移动DPS中,并且之后跟踪站可以采用心跳的方式、以任何适当的周期来与移动DPS交换挑战/响应令牌。一旦移动DPS离开跟踪站的范围,移动DPS上的SOA就可能自动地擦除或忽视跟踪站所配设的动态安全配置并且响应于检测到心跳的丢失而还原到原始或默认安全配置。 [0081] 在一个实施例中,滞塞点中的一些或所有滞塞点还具有标记阅读器,并且要求每一个个人在穿过滞塞点之前扫描他或她的标记。之后,跟踪站可以从标记阅读器中获得用户凭证,并且跟踪站和/或管理DPS可以使用那些凭证来进行附加安全功能。例如,如果来自标记的用户凭证与来自移动DPS 20的UID 50不匹配,那么安全控制台可以将消息发送至移动DPS 20的经注册的用户或所有者,以便通知经注册的所有者移动DPS 20正由通过标记来标识的个人携带。安全控制台还可以提供其他细节,比如,移动DPS正在进入和/或离开的位置以及时间。此外或可替代地,安全控制台可以采取如以上关于图4A的框432而讨论的补救措施等补救措施。 [0082] 此外或可替代地,滞塞点可以具有监控相机、生物计量扫描仪、指纹阅读器、以及用于识别穿过滞塞点的个人的其他技术,并且滞塞点可以使用这些物品而不是卡阅读器(或者除了卡阅读器以外)来判定带着设备穿过滞塞点的个人是否是该设备的经注册的所有者或者授权用户。 [0083] 通过使用本文中所描述的技术,对于要强加到在建筑物102内进行操作的数据处理系统上的安全限制,ACME的安全管理员具有大的灵活性。例如,跟踪站可以被配置成用于禁用某些应用或者在区域A中使用的所有数据处理系统的某些类型的应用,但是例外的是,允许某些指定机器上的某些指定用户在指定的日期的指定时间期间内利用那些应用。类似地,跟踪站可以被配置成用于仅允许区域B内的某些机器上的某个用户访问特定资源,比如,指定的网络文件夹。 [0084] 此外,由于跟踪站即使在移动DPS 20睡眠或断电的时候也可以从安全存储设备44中读取或者向其写入,所以在穿过PAN 120A或PAN 120B之前,用户不能通过关闭移动DPS 20来克服安全限制。而且,由于跟踪站没有使用LAN 110来访问安全存储设备44,所以即便在LAN 110的安全受到任何破坏的情况下,跟踪站和移动DPS 20也可以实施预定安全限制。 相应地,安全策略编排可以被称为是独立于网络的或者独立于LAN的。同样地,安全策略编排还可以独立于MSA 34和管理处理器30。 [0085] 此外,由于SOA 72在TEE 70内进行操作,所以移动DPS 20上的恶意软件可能难以或者不可能克服跟踪站强加的安全限制。 [0086] 如已经描述的,企业安全管理员可以基于多个上下文因素来将PAS系统配置有用于控制对计算资源的访问的安全设置,有可能包括(但不限于)建筑物内的个别移动DPS的精确位置、移动DPS的当前用户的身份、日期、时间等。每一个移动DPS可以采用防篡改的方式来将其PAS设置保留在安全存储设备中。即使移动DPS被恶意软件损坏,由于SOA在TEE中运行,所以移动DPS中的SOA也将被保护免受恶意软件的影响。此外或可替代地,可以对SOA进行签名和验证,以保证其完整性。因此,尽管存在影响移动DPS的操作系统的恶意软件并且尽管企业中存在敌对IP网络,安全存储设备和TEE也使移动DPS能够可靠地实施安全管理员规定的安全限制。 [0088] 由于PAS系统包括位于已知位置处的已知跟踪站,所以PAS系统提供对移动DPS的精确识别和地理定位。而且,由于可以严密地保护提供识别信息和地理定位信息的每一个跟踪站,并且由于每一个跟踪站经由带外信道来与移动DPS通信,所以跟踪站可以被考虑为防篡改源。在一个实施例中,跟踪站在不使用如网络和IP地址等可伪造属性的情况下确定位置。 [0089] 根据本教导,管理员可以容易地将PAS系统配置成用于实施各种各样的安全策略。例如,安全管理员可以根据未经授权的个人使用的设备的物理位置来限制或者允许对计算资源的访问。例如,信息技术(IT)管理员可以限制兼职雇员使用的DPS允许仅在受限制的访问实验室内并且仅在DPS不具有可操作相机的情况下访问机密文件。 [0090] 类似地,如果ACME想要禁止在ACME建筑物外部使用某个移动DPS,则每当安全控制台检测到正在将移动DPS从建筑物中移除时,安全控制台可以被编程成用于自动地将故障安全策略加载到移动DPS中。任何人一试图在ACME建筑物外部操作移动DPS,故障安全策略就可以使该移动DPS中的SOA自动地启用或堵住移动DPS。此外或可替代地,故障安全策略可以使SOA对移动DPS中的数据中的一些或所有数据的预定部分执行完全加密。此外或可替代地,如果移动DPS在其离开时正在运行,那么故障安全策略可以强迫移动DPS关闭自己并且只要移动DPS位于经授权的区域外部就禁用通电。 [0091] 作为另一个示例,如果医院中的医生和护士应该共享移动DPS,那么根据当前用户是否是医生或护士、根据在哪一层使用移动DPS等,PAS系统可以被配置成用于将不同的PAS设置加载到移动DPS中。PAS设置可能导致医生具有在某些位置或区域内开处方的权利,而那些权利并不授予给护士。而且,如果移动DPS不位于经授权的位置或区域内,那么PAS设置可以阻止医生开处方。 [0092] 鉴于在本文中所描述和展示的原理和示例性实施例,将认识到可以在不背离这种原理的情况下在排列和细节上对所展示的实施例进行修改。此外,上述的讨论集中于特定的实施例,但设想其他配置。此外,尽管在本文中使用如“一个实施例(an embodiment)”、“一个实施例(one embodiment)”、“另一实施例(another embodiment)”等表达,但这些短语意在一般指实施例可能性,并且不旨在将本发明限制到特定实施例配置。如在本文中所使用的,这些短语可以指相同的实施例或不同的实施例,并且这些实施例可以组合到其他实施例中。 [0093] 任何合适的操作环境和编程语言(或操作环境和编程语言的组合)可以被用来实现在本文中所描述的部件。如以上所指示的,本发明的教导可用于在许多不同类型的数据处理系统中获得益处。示例性数据处理系统包括但不限于分布式计算系统、超级计算机、高性能计算系统、计算集群、大型计算机、小型计算机、客户端-服务器系统、个人计算机(PC)、工作站、服务器、便携式计算机、膝上型计算机、平板计算机、个人数字助理(PDA)、电话、手持式设备、娱乐设备(如音频设备、视频设备、音频/视频设备(例如,电视机和机顶盒))、车辆用处理系统以及用于处理或发送信息的其他设备。因此,除非另有明确说明或上下文需要,对任何特定类型的数据处理系统(例如,移动设备)的引用应该被理解为也包括其他类型的数据处理系统。此外,除非另有明确说明,被描述为耦合到彼此、彼此通信、响应于彼此等的元件不需要是彼此连续通信的并且不需要直接耦合到彼此。同样,当一个部件被描述为从另一个部件接收数据或向另一个部件发送数据时,该数据可通过一个或多个中间部件来发送或接收,除非另有明确说明。另外,可以将数据处理系统的一些部件实现为具有用于与总线进行通信的接口(例如,连接器)的适配卡。可替代地,可以使用如可编程或不可编程逻辑设备或阵列、应用专用集成电路(ASIC)、嵌入式计算机、智能卡等部件将设备或部件实现为嵌入式控制器。为了本公开的目的,术语“总线”包括可以由两个以上的设备共享的路径以及点对点路径。 [0094] 本公开可以指指令、函数、过程、数据结构、应用程序、微代码、配置设置以及其他类型的数据。如以上所描述的,当数据被机器或设备访问时,机器或设备可以通过执行任务、定义抽象数据类型或低级硬件上下文和/或执行其他操作作出响应。例如,数据存储设备、RAM和/或快闪存储器可以包括各种指令集,这些指令集当被执行时执行各种操作。这样的指令集可以一般地被称为软件。另外,术语“程序”可以一般用于覆盖范围广泛的软件构造,包括应用、例程、模块、驱动程序、子程序、过程以及其他类型的软件部件。此外,在上文被描述为在一个示例性实施例中驻留在特定设备上的应用和/或其他数据在其他实施例中可以驻留在一个或多个其他设备上。并且在上文被描述为在一个示例性实施例中在一个特定设备上执行的计算操作在其他实施例中可以由一个或多个其他设备执行。 [0095] 还应该理解,在此所描述的硬件和软件部件表示合理地自包含使得每个功能元件可以基本上独立于其他功能元件被设计、构造或更新的功能元件。在替代性实施例中,部件中的许多部件可以实现为硬件、软件或硬件和软件的组合,用于提供在此所描述和展示的功能。例如,替代实施例包括用于执行本发明的操作的机器可访问媒体编码指令或控制逻辑。这样的实施例也可以被称为程序产品。这样的机器可访问介质可以包括但不限于有形存储介质(如磁盘、光盘、RAM、ROM等)以及处理器、控制器和包括RAM、ROM和/或其他存储设备的其他部件。为了本公开的目的,术语“ROM”可以一般用于指非易失性存储器设备,如可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、快闪ROM、快闪存储器等。在一些实施例中,用于实现所描述的操作的控制逻辑中的一些或全部可以以硬件逻辑来实现(例如,作为集成电路芯片的一部分、可编程门阵列(PGA)、ASIC等)。在至少一个实施例中,所有部件的指令可以存储在非瞬态机器可访问介质中。在至少一个其他实施例中,可以使用两个或更多个非瞬态机器可访问介质来存储部件的指令。例如,一个部件的指令可以存储在一个介质中,并且另一个部件的指令可以存储在另一个介质中。替代地,一个部件的指令的一部分可以存储在一个介质中,并且该部件的其他指令(以及其他部件的指令)可以存储在一个或多个其他介质中。指令还可以在分布式环境中使用,并且可以被本地和/或远程地存储以供单处理器或多处理器机器访问。 [0096] 此外,虽然已经关于以特定顺序执行的特定操作描述了一个或多个示例性过程,但是可以对这些过程应用许多修改以得到本发明的许多替代实施例。例如,替代实施例可以包括使用比所有所公开的操作更少的操作的过程、使用附加操作的过程以及其中在此所公开的个别操作被组合、细分、重新排列或以其他方式改变的过程。 [0097] 鉴于从在此所描述的示例性实施例可以容易地得出的多种有用的排列,该详细描述旨在仅作为说明性的,并且不应被视为限制覆盖的范围。 [0098] 下面的示例涉及进一步的实施例。 [0099] 示例A1是一种用于支持场所感知安全性的跟踪站。所述跟踪站包括:至少一个处理器;与所述处理器通信的短程无线模块;以及指令,所述指令当由所述处理器执行时使所述跟踪站执行各种操作。那些操作包括:(a)检测在所述短程无线模块的通信范围内的数据处理系统(DPS);(b)响应于检测到所述DPS,使用所述短程无线模块来从所述DPS的安全模块获得所述DPS的标识数据;(c)使用所述DPS的所述标识数据来获得用于访问所述DPS的所述安全模块中的安全存储设备的凭证;以及(d)在从所述安全模块获得所述标识数据之后,基于与所述DPS相关的多个因素来自动地生成所述DPS的安全配置数据。所述多个因素包括所述DPS的身份、所述DPS的位置、以及来自由以下各项组成的组中的至少一个因素:所述DPS的能力、所述DPS的用户的身份、以及时间因素。所述操作还包括:使用所述短程无线模块和所述凭证来将所述安全配置数据写入所述DPS的所述安全模块中的所述安全存储设备中。所述安全配置数据要求所述DPS自动地执行来自由以下各项组成的组中的至少一项操作:禁用所述DPS的至少一个部件以及启用所述DPS的至少一个部件。 [0100] 示例A2包括如示例A1所述的特征,并且所述操作进一步包括:在自动地生成所述DPS的安全配置数据之前,使用所述凭证来从所述安全存储设备读取所述DPS的设备能力列表。 [0101] 示例A3包括如示例A1所述的特征,并且所述操作进一步包括:(a)当个人正带着所述DPS离开安全区域时,基于来自除了所述DPS以外的设备的信息来自动地确定谁正带着所述DPS离开;(b)自动地判定正带着所述DPS离开的所述个人是否是所述DPS的授权用户;以及(c)响应于确定了正带着所述DPS离开的所述个人不是所述DPS的授权用户而自动地采取补救措施来阻止对所述DPS的未授权使用。示例A3还可以包括如示例A2所述的特征。 [0102] 示例A4包括如示例A1所述的特征,并且与所述DPS相关的所述多个因素进一步包括策略数据,当所述DPS处于预定位置时,所述策略数据使所述预定位置与所述DPS的待禁用的一个或多个部件的预定列表相关联。示例A4还可以包括如示例A2至A3中任何一项或多项所述的特征。 [0103] 示例A5包括如示例A1所述的特征,并且与所述DPS相关的所述多个因素进一步包括策略数据,所述策略数据规定了针对所述DPS的第一用户的第一安全限制集合以及针对所述DPS的第二用户的第二安全限制集合。示例A5还可以包括如示例A2至A4中任何一项或多项所述的特征。 [0104] 示例A6包括如示例A1所述的特征,并且所述策略数据使针对所述第一用户的所述第一安全限制集合与预定位置相联系,并且所述策略数据使针对所述第二用户的所述第二安全限制集合与同一个预定位置相联系。示例A6还可以包括如示例A2至A5中任何一项或多项所述的特征。 [0105] 示例A7包括如示例A1所述的特征,并且与所述DPS相关的所述多个因素进一步包括策略数据,所述策略数据规定了针对所述DPS的所述用户在第一位置中的第一安全限制集合以及针对所述用户在第二位置中的第二安全限制集合。示例A7还可以包括如示例A2至A6中任何一项或多项所述的特征。 [0106] 示例A8包括如示例A1所述的特征,并且所述操作进一步包括:(a)使用所述短程无线模块来从所述DPS的所述安全模块获得原始安全配置数据;(b)响应于检测到所述DPS来判定所述DPS是正在进入还是正在离开与所述跟踪站相关联的位置;(c)响应于确定了所述DPS正在进入与所述跟踪站相关联的所述位置而保存所述原始安全配置数据;以及(d)响应于确定了所述DPS正在离开与所述跟踪站相关联的所述位置而使用所述短程无线模块来将所述原始安全配置数据往回发送至所述DPS的所述安全模块。示例A8还可以包括如示例A2至A7中任何一项或多项所述的特征。 [0107] 示例A9包括如示例A1所述的特征,并且所述使用所述短程无线模块和所述凭证来将所述安全配置数据写入所述DPS的所述安全模块中的所述安全存储设备中的操作包括:使用除了WiFi以外的无线协议来将所述安全配置数据写入所述DPS的所述安全存储设备中。示例A9还可以包括如示例A2至A8中任何一项或多项所述的特征。 [0108] 示例B是一种场所感知安全性系统。所述场所感知安全性系统包括根据示例A1所述的跟踪站。所述场所感知安全性系统还包括移动数据处理系统(DPS),所述移动数据处理系统包括:(a)安全编排代理,当由所述移动DPS执行时,所述安全编排代理在可信执行环境内执行;(b)安全模块,所述安全模块具有仅可由授权实体访问的安全存储设备,其中,不论所述移动DPS是通电还是断电都可以从所述安全存储设备无线地读取以及向所述安全存储设备无线地写入;以及(c)存储在所述安全模块中的设备能力列表,其中,所述设备能力列表标识所述移动DPS的可由所述安全编排代理禁用的一个或多个部件。所述安全模块可操作用于执行包括以下各项的操作:(a)在所述移动DPS已经进入所述跟踪站的通信范围之后,向所述跟踪站标识所述移动DPS;(b)与所述跟踪站共享所述设备能力列表;(c)在向所述跟踪站标识所述移动DPS并且与所述跟踪站共享所述设备能力列表之后,从所述跟踪站接收安全配置数据,其中,所述安全配置数据标识所述移动DPS的待禁用或待启用的至少一个部件;以及(d)将所述安全配置数据存储在所述安全存储设备中。所述安全编排代理可操作用于响应于所述安全配置数据被所述安全存储设备存储而根据所述安全配置数据来自动地禁用或启用所述移动DPS的一个或多个部件。 [0109] 示例C1是一种用于支持数据处理系统的场所感知安全性的方法。所述方法包括:(a)检测在跟踪站的短程无线模块的通信范围内的数据处理系统(DPS);(b)响应于检测到所述DPS,使用所述短程无线模块来从所述DPS的安全模块中获得所述DPS的标识数据;(c)使用所述标识数据来获得用于访问所述DPS上的安全存储设备的凭证;(d)在获得所述标识数据之后,基于与所述DPS相关的多个因素来自动地生成所述DPS的安全配置数据,其中,所述多个因素包括所述DPS的身份、所述DPS的位置、以及来自由以下各项组成的组中的至少一个因素:(i)所述DPS的能力;(ii)所述DPS的用户的身份;以及(iii)时间因素;以及(e)使用所述短程无线模块和所述凭证来将所述安全配置数据写入所述DPS的所述安全存储设备中,其中,所述安全配置数据要求所述DPS自动地禁用或启用所述DPS的至少一个部件。 [0110] 示例C2包括如示例C1所述的特征,并且所述方法进一步包括:在自动地生成所述DPS的安全配置数据之前,使用所述凭证来从所述安全存储设备读取所述DPS的设备能力列表。 [0111] 示例C3包括如示例C1所述的特征,并且所述方法进一步包括:在自动地生成所述DPS的安全配置数据之前,使用所述凭证来从所述安全存储设备读取所述DPS的设备能力列表。示例C3还可以包括如示例C2所述的特征。 [0112] 示例C4包括如示例C1所述的特征,并且所述方法进一步包括:(a)当个人正带着所述DPS离开安全区域时,基于来自除了所述DPS以外的设备的信息来自动地确定谁正带着所述DPS离开;(b)自动地判定正带着所述DPS离开的所述个人是否是所述DPS的授权用户;以及(c)响应于确定了正带着所述DPS离开的所述个人不是所述DPS的授权用户而自动地采取补救措施来阻止对所述DPS的未授权使用。示例C4还可以包括如示例C2至C3中任何一项或多项所述的特征。 [0113] 示例C5包括如示例C1所述的特征,并且与所述DPS相关的所述多个因素进一步包括策略数据,当所述DPS处于预定位置时,所述策略数据使所述预定位置与所述DPS的待禁用或待启用的一个或多个部件的预定列表相关联。示例C5还可以包括如示例C2至C4中任何一项或多项所述的特征。 [0114] 示例C6包括如示例C1所述的特征,并且与所述DPS相关的所述多个因素进一步包括策略数据,所述策略数据规定了针对所述DPS的第一用户的第一安全限制集合以及针对所述DPS的第二用户的第二安全限制集合。示例C6还可以包括如示例C2至C5中任何一项或多项所述的特征。 [0115] 示例C7包括如示例C6所述的特征,并且所述策略数据使针对所述第一用户的所述第一安全限制集合与预定位置相联系,并且所述策略数据使针对所述第二用户的所述第二安全限制集合与同一个预定位置相联系。示例C7还可以包括如示例C2至C5中任何一项或多项所述的特征。 [0116] 示例C8包括如示例C1所述的特征,并且与所述DPS相关的所述多个因素进一步包括策略数据,所述策略数据规定了针对所述DPS的所述用户在第一位置中的第一安全限制集合以及针对所述用户在第二位置中的第二安全限制集合。示例C8还可以包括如示例C2至C7中任何一项或多项所述的特征。 [0117] 示例C9包括如示例C1所述的特征,并且所述方法进一步包括:(a)使用所述短程无线模块来从所述DPS的所述安全模块获得原始安全配置数据;(b)响应于检测到所述DPS而判定所述DPS是正在进入还是正在离开与所述跟踪站相关联的位置;(c)响应于确定了所述DPS正在进入与所述跟踪站相关联的所述位置而保存所述原始安全配置数据;以及(d)响应于确定了所述DPS正在离开与所述跟踪站相关联的所述位置而使用所述短程无线模块来将所述原始安全配置数据往回发送至所述DPS的所述安全模块。示例C9还可以包括如示例C2至C8中任何一项或多项所述的特征。 [0118] 示例C10包括如示例C1所述的特征,并且所述使用所述短程无线模块和所述凭证来将所述安全配置数据写入所述DPS的所述安全模块中的所述安全存储设备中的操作包括:使用除了WiFi以外的无线协议来将所述安全配置数据写入所述DPS的所述安全存储设备中。示例C10还可以包括如示例C2至C9中任何一项或多项所述的特征。 [0119] 示例D1是一种用于支持场所感知安全性的方法。所述方法包括:(a)在数据处理系统(DPS)内创建可信执行环境;(b)在所述可信执行环境内执行安全编排代理;(c)在所述DPS已经进入跟踪站的短程无线模块的通信范围之后,使用短程无线协议来向所述跟踪站标识所述DPS并且与所述跟踪站共享来自所述安全模块的设备能力列表,其中,所述设备能力列表标识所述DPS的可由所述安全编排代理禁用的一个或多个部件;(d)在向所述跟踪站标识所述DPS并且与所述跟踪站共享所述设备能力列表之后,通过所述短程无线协议从所述跟踪站中接收安全配置数据,其中,所述安全配置数据标识所述DPS的待禁用的至少一个部件;(e)将所述安全配置数据存储在所述安全模块的安全存储设备中,其中,所述安全存储设备仅可由授权实体访问,并且其中,不论所述DPS是通电还是断电都可以从所述安全存储设备无线地读取以及向所述安全存储设备无线地写入;以及(f)响应于所述安全配置数据被存储在所述安全模块的所述安全存储设备中而根据所述安全配置数据来自动地禁用所述DPS的一个或多个部件。所述自动地禁用所述DPS的一个或多个部件的操作由所述安全编排代理执行。而且,所述短程无线协议包括除了WiFi以外的无线协议。 [0120] 示例D2包括如示例D1所述的特征,并且在根据所述安全配置数据来自动地禁用所述DPS的一个或多个部件之前,所述安全编排代理经由安全信道来从所述安全存储设备读取所述安全配置数据。 [0121] 示例D3包括如示例D1所述的特征,并且所述安全编排代理还向所述跟踪站标识所述DPS的当前用户。示例D3还可以包括如示例D2所述的特征。 [0122] 示例D4包括如示例D1所述的特征,并且所述安全模块执行包括以下各项的操作:(a)判定所述跟踪站是否是授权实体;以及(b)只有在所述跟踪站是授权实体时才与所述跟踪站共享所述设备能力列表。示例D4还可以包括如示例D2至D3中任何一项或多项所述的特征。 [0123] 示例D5包括如示例D1所述的特征,并且所述方法进一步包括:在启动所述安全编排代理之前,验证所述安全编排代理的完整性。示例D5还可以包括如示例D2至D4中任何一项或多项所述的特征。 [0124] 示例D6包括如示例D1所述的特征,并且所述方法进一步包括:在启动所述安全编排代理之后,周期性地验证所述安全编排代理的完整性。示例D6还可以包括如示例D2至D5中任何一项或多项所述的特征。 [0125] 示例D7包括如示例D1所述的特征,并且所述自动地禁用所述DPS的一个或多个部件的操作包括:(a)自动地禁用硬件部件;以及(b)自动地禁用软件部件。示例D7还可以包括如示例D2至D6中任何一项或多项所述的特征。 [0126] 示例D8包括如示例D1所述的特征,并且所述向所述跟踪站标识所述DPS的操作包括与所述跟踪站共享所述DPS的唯一标识符的加密版本,所述加密版本已经以公钥来加密,所述公钥对应于由所述跟踪站持有的私钥。示例D8还可以包括如示例D2至D7中任何一项或多项所述的特征。 [0127] 示例D9包括如示例D1所述的特征,并且所述短程无线协议包括射频识别(RFID)协议。示例D9还可以包括如示例D2至D8中任何一项或多项所述的特征。 [0128] 示例E是至少一种机器可访问介质,包括用于支持场所感知安全性的计算机指令。所述计算机指令响应于在数据处理系统上被执行而使所述数据处理系统执行根据示例C1至C10和D1至D9中任何一项或多项所述的方法。 [0129] 示例F是一种支持场所感知安全性的数据处理系统。所述数据处理系统包括:处理元件;响应于所述处理元件的至少一个机器可访问介质;以及至少部分地存储在所述至少一个机器可访问介质中的计算机指令。另外,响应于被执行,所述计算机指令使所述数据处理系统执行根据示例C1至C10和D1至D9中任何一项或多项所述的方法。 [0130] 示例G是一种场所感知安全性系统,所述场所感知安全性系统包括(a)用于执行根据示例C1至C10中任何一项或多项所述的方法的跟踪站;以及(b)用于执行根据示例D1至D9中任何一项或多项所述的方法的移动数据处理系统。 [0131] 示例H是一种支持场所感知安全性的数据处理系统。所述数据处理系统包括:用于执行如示例C1至C10和D1至D9中任何一项或多项所述的方法的装置。 [0132] 示例I1是一种用于支持场所感知安全性的装置。所述装置包括:机器可访问介质;以及在所述机器可访问介质中的数据,所述数据当由跟踪站访问时使所述跟踪站执行各种操作。这些操作包括:(a)检测在所述跟踪站的短程无线模块的通信范围内的数据处理系统(DPS);(b)响应于检测到所述DPS而使用所述短程无线模块,从所述DPS的安全模块获得所述DPS的标识数据;(c)使用所述DPS的所述标识数据来获得用于访问所述DPS上的安全存储设备的凭证;以及(d)在从所述安全模块中获得所述标识数据之后,基于与所述DPS相关的多个因素来自动地生成所述DPS的安全配置数据。所述多个因素包括所述DPS的身份、所述DPS的位置、以及来自由以下各项组成的组中的至少一个因素:(i)所述DPS的能力、(ii)所述DPS的用户的身份、以及(iii)时间因素。所述操作进一步包括:使用所述短程无线模块和所述凭证来将所述安全配置数据写入所述DPS的所述安全模块中的所述安全存储设备中,其中,所述安全配置数据要求所述DPS自动地禁用或启用所述DPS的至少一个部件。 [0133] 示例I2包括如示例I1所述的特征,并且所述操作进一步包括:在自动地生成所述DPS的安全配置数据之前,使用所述凭证来从所述安全存储设备读取所述DPS的设备能力列表。而且,与所述DPS相关的所述多个因素进一步包括策略数据,所述策略数据规定了针对所述DPS的第一用户的第一安全限制集合以及针对所述DPS的第二用户的第二安全限制集合。所述策略数据使针对所述第一用户的所述第一安全限制集合与预定位置相联系。所述策略数据还使针对所述第二用户的所述第二安全限制集合与同一个预定位置相联系。 [0134] 示例J1是一种支持场所感知安全性的数据处理系统。所述数据处理系统包括:(a)安全编排代理,当由所述数据处理系统(DPS)执行时,所述安全编排代理在可信执行环境内执行;(b)安全模块,所述安全模块具有仅可由授权实体访问的安全存储设备,其中,不论所述DPS是通电还是断电都可以从所述安全存储设备中无线地读取以及向所述安全存储设备无线地写入;以及(c)存储在所述安全模块中的设备能力列表,其中,所述设备能力列表标识所述DPS的可由所述安全编排代理禁用的一个或多个部件。所述安全模块可操作用于执行包括以下各项的操作:(d)在所述DPS已经进入所述跟踪站的通信范围之后,向所述跟踪站标识所述DPS;(e)与所述跟踪站共享所述设备能力列表;(f)在向所述跟踪站标识所述DPS并且与所述跟踪站共享所述设备能力列表之后,从所述跟踪站中接收安全配置数据,其中,所述安全配置数据标识所述DPS的待禁用的至少一个部件;以及(g)将所述安全配置数据存储在所述安全存储设备中。所述安全编排代理可操作用于响应于所述安全配置数据被所述安全存储设备存储而根据所述安全配置数据来自动地禁用所述DPS的一个或多个部件。 [0135] 示例J2包括如示例J1所述的特征,并且所述安全编排代理可操作用于经由安全信道来从所述安全存储设备中读取所述安全配置数据。 [0136] 示例J3包括如示例J1所述的特征,并且所述安全模块还可操作用于向所述跟踪站标识所述DPS的当前用户。示例J3还可以包括如示例J2所述的特征。 [0137] 示例J4包括如示例J3所述的特征,并且所述安全模块可操作用于执行包括以下各项的进一步操作:(a)判定所述跟踪站是否是授权实体;以及(b)只有在所述跟踪站是授权实体时才与所述跟踪站共享所述设备能力列表。示例J4还可以包括如示例J2所述的特征。 [0138] 示例J5包括如示例J1所述的特征,并且所述数据处理系统进一步包括加载程序(loader),所述加载程序在启动所述安全编排代理之前当被执行时验证所述安全编排代理的完整性。示例J5还可以包括如示例J2至J5中任何一项或多项所述的特征。 [0139] 示例J6包括如示例J1所述的特征,并且所述数据处理系统进一步包括安全代理,所述安全代理当被执行时周期性地验证所述安全编排代理的完整性。示例J6还可以包括如示例J2至J6中任何一项或多项所述的特征。 [0140] 示例J7包括如示例J1所述的特征,并且所述安全模块包括射频识别(RFID)模块。示例J7还可以包括如示例J2至J6中任何一项或多项所述的特征。 [0141] 示例J8包括如示例J1所述的特征,并且所述安全编排代理可操作用于自动地禁用硬件部件和软件部件。示例J8还可以包括如示例J2至J7中任何一项或多项所述的特征。 [0142] 示例J9包括如示例J1所述的特征,并且所述安全模块包括所述DPS的唯一标识符的加密版本,所述加密版本已经以公钥来加密,所述公钥对应于由所述跟踪站持有的私钥。而且,所述向所述跟踪站标识所述DPS的操作包括与所述跟踪站共享所述DPS的所述唯一标识符的所述加密版本。示例J9还可以包括如示例J2至J8中任何一项或多项所述的特征。 [0143] 示例J10包括如示例J1所述的特征,并且所述设备能力列表还标识可由所述安全编排代理启用的一个或多个部件。所述安全编排代理标识待启用的至少一个部件,并且所述安全编排代理可操作用于响应于所述安全配置数据被所述安全存储设备存储而根据所述安全配置数据来自动地启用所述DPS的一个或多个部件。示例J10还可以包括如示例J2至J9中任何一项或多项所述的特征。 |
||||||
QQ群二维码
意见反馈
意见反馈