用于被跟踪设备的隐私管理 |
|||||||
| 申请号 | CN201510148024.6 | 申请日 | 2009-07-17 | 公开(公告)号 | CN104751073B | 公开(公告)日 | 2017-12-22 |
| 申请人 | 绝对软件公司; | 发明人 | C·C·麦卡西; D·G·拉乌兰; T·韦伯; | ||||
| 摘要 | 本 发明 涉及一种由用户计算设备执行的、使得在所述用户计算设备上创建的数据(“所创建的数据”)能够在具有对用户隐私的保护的情况下存储在一个远程存储系统的方法以及一种存储指示用户计算设备执行一种方法的程序代码的非瞬态计算机可读介质。通过从被 跟踪 的设备发送到远程 位置 的计算机的数据的有条件加密,允许监控或跟踪为企业和私人目的所共享的 电子 设备的同时保护私人数据,其中,数据传送可以用于跟踪、监控、数据备份或者用于在丢失或偷窃情况下的找回。 | ||||||
| 权利要求 | 1.一种由用户计算设备执行的、使得在所述用户计算设备上创建的数据能够在具有对用户隐私的保护的情况下存储在一个远程存储系统上的方法,该方法包括: |
||||||
| 说明书全文 | 用于被跟踪设备的隐私管理[0001] 本申请是申请日为2009年7月17日、申请号为200980132961.5(国际申请号为PCT/CA2009/001028)、名称为“用于被跟踪设备的隐私管理”的发明专利申请的分案申请。 背景技术[0002] 本公开文本涉及在允许电子设备被跟踪的同时对用户隐私的保护。 [0003] 膝上型计算机以及不断增长的其他电子设备——例如移动电话、PDA、智能电话(例如BlackBerryTM、iPhoneTM)、记忆棒、个人媒体设备(例如iPodTM)、游戏设备和个人计算机——正在被远程跟踪,以使得它们万一被偷窃后还能够被重新找回。这些跟踪通过发送位置信息到远端存储站点或者电子邮件服务器来实现。 [0004] 私有信息被例行地存储在电子设备——例如个人计算机、膝上型计算机和个人数字助理——中,对于保护这些私有或敏感数据以及在这些电子设备丢失或者被偷窃后重新找回这些设备的需要是不言而喻的。然而,当对这些设备和/或数据提供保护时,需要考虑到这些设备的用户的隐私。 发明内容[0005] 本发明内容不是描绘在本文中描述和要求的主题范围的概述。作为下文将呈现的详细描述的前言,本发明内容以简化形式讨论主题的各个方面,从而提供对主题的基本理解。 [0006] 在许多情况中,雇主会希望跟踪发给其雇员的所有膝上型计算机(或者其他电子设备)。出于隐私的原因,一些雇员会反对膝上型计算机被跟踪24/7,这是因为一个人的个人位置和历史个人位置的搜集被认为是私人数据。尤其是如果雇主已经允许雇员在工作时间之外使用膝上型计算机用于个人用途,则更是如此。关注的焦点是雇主是否做监控,或者不相关的第三方(例如安全公司)是否做监控。 [0007] 本文中描述的主题提供了用于对从被跟踪的设备传送到远程位置处的计算机的数据的有条件加密的系统和方法。数据传送可以用于跟踪、用于监控目的、数据备份或者用于在丢失或偷窃情况下的找回。 [0008] 在一个实施方案中有关于加密的几个方面。为了防止未授权的访问,私人数据在被传送到远程位置之前被加密,并且在没有私人密钥的情况下不能被解密。数据在发送到远程位置之前是否被加密可以取决于数据是私人数据还是企业数据,而私人或企业数据的确定可以根据特定条件。条件可以是临时的,例如对于在一天中特定时间(例如工作时间)期间产生的数据,该数据被认为是企业相关的,并且在传送之前不被加密,或者被预加密并且可在远程站点使用企业相关的解密密钥解密。对于在其他时间例如在工作时间之外产生的数据,该数据可以被认为是私人的并且在传送之前被加密。在一个优选实施方案中,私人数据仅在设备用户的同意下才可使用私人解密密钥解密。 [0009] 被传送的数据通常是位置或位置相关的信息,例如IP地址、GPS坐标、Wi-Fi信号强度、基站信号强度、处于这些位置的时刻、在这些位置的时间花费、和设备的识别标记,但是也可以包括访问的网址、键盘敲击、电子邮件消息、软件版本、运行的软件、设备规格、鼠标移动以及创建、删除、拷贝、移动、打开、点击、选择和/或修改的文件或文件的细节。然而,对于本领域技术人员容易理解的是,公开的主题同样可以被用于保护使用共享的企业和私人用途设备创建的其他私人数据,或者带有或者不带有位置或位置相关信息。其他可以被保护的私人数据包括,例如用途数据、访问的网站、播放的视频和音频文件、下载、键盘敲击、屏幕截图、电子邮件、文件和任何其他私人数据。附图说明 [0010] 为了对所公开的主题的性质和优势以及优选的使用模式有更详尽的理解,应该参考下文中详细的描述,并结合附图阅读。在附图中,相同的参考数字指代相同或类似的步骤或部件。 [0011] 图1是根据所公开的主题的一个实施方案的结合在膝上型计算机中的用于数据的有条件加密的系统和方法的示意性功能框图。 [0012] 图2是示意性表示根据所公开的主题的实施方案的用于数据的有条件加密的系统和方法的被偷窃后的流程处理的功能流程图。 [0013] 图3是示意性表示根据所公开的主题的实施方案的用于数据的有条件加密的系统和方法的加密过程的功能流程图。 [0014] 图4是示意性表示根据所公开的主题的替代实施方案的用于数据的有条件加密的系统和方法的加密过程的功能流程图。 [0015] 图5是示意性表示根据所公开的主题的另一些替代实施方案的用于数据的有条件加密的系统和方法的加密过程的功能流程图。具体实施方案 [0016] A.技术 [0017] 代理,如本文所用的,是软件、硬件或固件代理,这些代理理想地是持久的和秘密的,并且存在于计算机或其他电子设备中。代理优选地提供需要与远程服务器通信的服务功能。代理是防篡改的并且可以被启用而用于支持和/或提供各种服务,例如数据删除、防火墙保护、数据加密、位置跟踪、消息通知以及软件配置和升级。代理的一个示例性实施方案是商用产品Computrace AgentTM。构成Computrace AgentTM的基础的技术已经在美国和其他国家被公开并授予了专利,所述专利已经被共同转让给绝对软件公司(Absolute Software Corporation)。例如,参见美国专利第5,715,174号;第5,764,892号;第5,802,280号;第6,244,758号;第6,269,392号;第6,300,863号和第6,507,914号以及相关外国专利。代理的持久功能的细节在美国专利申请公开文本No.US2005/0216757和No.US2006/ 0272020中公开。这些文档的技术公开内容以参引的方式全部纳入本说明书中,如同在本文中进行了完全阐述一样。使用与Computrace AgentTM等价的代理是可行的,或者更低优选地使用具有较少功能性的替代代理。对于本公开文本的目的,代理的最少功能贡献是帮助电子设备和监控中心之间进行通信。通信可以由代理或监控中心发起,或者由这二者一起发起。 [0018] 主机,这是待被保护的电子设备,该电子设备通常被用于共享的企业和私人用途。主机的实例包括膝上型计算机、上网本或智能电话。代理存在于主机中。 [0019] 监控中心,这是代理与之通信或者向其发送消息的监护服务器或者其他计算机或服务器。监控中心可以是电子邮件服务器或者可以是服务器或其他计算机的分布。例如,假设可提供给主机因特网连接,那么代理可以以一些选择的合适的间隔呼叫监控中心以报告主机位置,如果存在任何软件升级则下载该软件升级,并且修复在主机上或者应该被安装在主机上的安全模块。在本文所公开的实施方案中,代理会将位置信息和/或任何其他期望被传送的数据上传到位于监控中心的远程存储设施。到监控中心的通信可以通过例如有线或无线电话网络,WIFI、WIMAX、电缆或卫星而发生。 [0020] 加密,一般假设在远程设备之间——例如在主机和监控中心之间——传送的任何数据在传输期间被加密。然而,在该文档中,除非上下文另有需要,否则术语“加密”一般指的是有条件的层面的加密,所述加密可以是私人加密或企业加密,而不是指通常在传输期间采用的加密。再者,在本文中术语“加密”主要用于私人数据(包括私人位置信息和/或任何其他期望被传送的私人数据),所述私人数据被传送并保持加密,并且除非提供私人解密密钥否则不能够在远程存储中心被解密。术语“加密”也涉及主机设备的用户,所述用户是私人数据的拥有者,当他的私人数据被传送或被拷贝到远程存储设施时他能够控制该数据是否被加密。私人数据也可以被称为个人数据。企业数据也可以被称为团体数据、公司数据或非个人数据。 [0021] 本文的具体实施方式主要依据本发明的方法或过程、操作的符号表征、功能和特征来呈现。这些方法描述和表征是本领域技术人员所使用的,向本领域其他技术人员最有效地传递他们的工作内容的手段。本文中的软件实施方法或过程总体上被设想为导致期望结果的步骤的自协调序列。这些步骤涉及物理量的物理处理。通常但不是必须的,这些物理量采取能够被存储、传送、合并、比较和以其他方式处理的电信号或磁信号的形式。还应理解,硬件、软件和固件之间的界线并不总是明显的,对于本领域技术人员应理解,软件实施过程可以在硬件、固件或软件中以代码指令的形式实现,例如以微码的形式和/或以存储的程序指令的形式。一般而言,除非另有指示,不失一般性地,单数单元可以是复数,反之亦然。阳性词形的使用可涉及阳性词形、阴性词形或二者。 [0022] B.示例性实施方案 [0023] 图1中示出了优选实施方案的框图。主机电子设备1——例如膝上型计算机——包括代理2,该代理2经由因特网4、经由其他一些电信网路、或经由这些的组合,定期地、不定期地、随机地、半随机地和/或根据触发器,与监控中心3处的远程存储12通信。SMS消息例如可以用于所有或一些通信中。 [0024] 代理2可操作地连接到存储器6中的包括计算机可读指令的加密引擎5,加密引擎5根据也存储在存储器6中的加密规则9加密将要传送的公司数据7和/或私人数据8。一个或多个加密密钥——例如公司密钥10和私人密钥11——可以被存储在电子设备1的存储器6中。例如为了便于将公司数据7和私人数据8分别存储在不同的数据存储区中,存储器6可以被分成几个部分和/或不同类型的存储器。在一个典型应用中,设备1的用户可以在存储器6中创建私人目录或文件夹,进入所述私人目录或文件夹的被识别为私人数据8的任何数据可以与公司数据7分开。 [0025] 主机设备1也包括位置设备15,例如GPS或A-GPS接收器设备,或者其他一些执行位置确定的设备。位置设备15可以被包含在电子设备1的存储器6中,或者如图1中示出的可以是与存储器6分开的部件或模块。可以有一个、两个或更多个位置设备15,每一个位置设备15采用不同的原理运行或者一个作为另一个的备用。电子设备1一般包含处理器16以及到因特网4或其他通信网络的接口19,处理器16用于处理包含在存储器6中的指令并且经由总线18从存储器6中读取数据或者向存储器6写入数据。应理解,连接到因特网4的设备1在一些情况中可以被认为是因特网4的一部分。 [0026] 代理2定期地、不定期地、随机地、半随机地和/或根据触发器向监控中心3和/或远程存储设备12发送数据7、8,数据7、8可以包括位置信息。数据在代理2和监控中心3之间的传输可以是对于用户透明地发生。在发送之前,私人数据存储区8中的私人位置数据(即在工作时间外记录或收集的位置数据)可以被加密,并且公司数据存储区7中的公司位置数据可以是未加密的。数据存储区7、8中的位置数据可以仅暂时存在于电子设备1中。 [0027] 在监控中心3处,两种类型的数据7a、8a可以被存储在一起,或者可以在被分类器模块25分类之后存储在分开的数据库中。例如,没有加密的公司数据7可以在设备1中被同样标记为公司数据7,或者可以在监控中心3处被同样识别为公司数据7,并且随后被存储在数据存储区7a中。在发送之前被加密的私人数据8可以在设备1中被同样标记为私人数据8,或者可以在监控中心3处被同样识别为私人数据8,并且随后被存储在数据存储区8a中。远程存储12可以在拥有电子设备1的公司或企业处所处,或者在第三方安全公司的处所处,或者可以是位于另一个计算机或服务器中,或者分布在多个计算机或服务器中。如果被存储的公司数据7a没有被加密(除了在传输过程中暂时被加密),公司能够访问公司数据7a,但是不能够在没有被提供对私人解密密钥11a的使用权的情况下对私人数据8a进行译码。可能的是,在公司数据7和私人数据8被代理2发送到远程存储12之前,加密引擎5加密公司数据7和私人数据8,在该情况中,公司的管理员需要公司解密密钥10a以将数据7a转换成有意义(未加密)的格式。在任一种情况中,使用仅为电子设备1的用户所知道的私人加密密钥11或者密码来加密被传送或被复制的私人数据8。公司无权访问私人加密密钥11,并且不能对存储在监控中心3的私人的数据8a进行解译。 [0028] 监控中心3可以是服务器,其包含:到网络4的接口23;总线14,服务器内部的部件经由总线14通信;以及处理器13,其用于处理远程存储12中的计算机可读指令。指令的实例可以是用于对分类器模块25中进入的数据进行分类的指令、允许解密密钥输入的程序、允许访问数据的程序等等。加密的私人数据8a也可以被存储在远程存储12中,可以被加密或者可以不被加密的公司数据7a也可以存储在远程存储12中。电子设备1、网络4和监控中心3之间的链路20、21可以是有线、无线或电缆的。 [0029] 如果用户希望访问他的私人数据8a——例如在电子设备1被偷窃之后,他可以使用终端30经由因特网4访问远程存储12。该数据可以被下载到终端30,并且用户的私人解密密钥11a可以被用于解密数据8a。第一密码可以被用于取回私人数据8a,而第二密码或解密密钥11a可以被用于解密私人数据8a。作为替代,为了解密私人数据8a,解密密钥11a可以被提供给监控中心3。 [0030] 在电子设备1被偷窃或丢失的情况中,图2示出了用户通常会经历的过程。在步骤40的偷窃在步骤42被报告给警察和拥有电子设备1的公司,并且在步骤44用户提供该用户的解密密钥11a给公司。这可以经由另一个被连接到因特网4的计算机30,或者可以直接给公司管理员。在步骤46,解密密钥/密码11a会允许数据存储区8a中的一些或全部私人位置信息被公司和/或安全公司解密,以使得私人位置信息可以被提供给执法当局,执法当局随后在步骤48试图找回电子设备1。管理电子设备1的监控的企业、公司和/或安全公司有权访问公司位置数据7a(如果公司数据7a也已经被加密,则使用公司解密密钥10a)并且可以使得执法当局可以使用此信息。这意味着用户有可能仅在偷窃的情况中牺牲位置隐私,但是不会在日常或者在无偷窃时牺牲位置隐私。在一些实施方案中,对私人位置数据8a的访问仅回溯至偷窃日期和时间、或者至尽量接近可以被确定偷窃的日期和时间,或者至偷窃被报告的日期和时间,以使得全部或大部分用户位置隐私没有被损害到。 [0031] 在私人密钥的提供会显示历史位置数据或者其他私人信息的实施方案中,对于从不想让他们的雇主可获得他们的任何私人信息的雇员的来说,使用第三方安全公司可以是优选的。 [0032] 私人数据8可以通过一组规则来加密。图3示出了在步骤49代理加载之后,其在步骤50确保加密引擎的可用。加密引擎随后在步骤51检验一天中的时间并且在步骤52取得加密规则9,以在步骤53确定是否加密私人数据8。仅作为一个实例,简单规则可以是数据7、8在周一到周五的上午9点至下午5点的时间不被加密。在该实例中,假设事实上无论数据本身是私人的或商业相关的,在工作时间期间所产生的数据都被作为公司数据7。在工作时间期间,在步骤55没有加密,并且公司数据7(包括所有数据7、8)在步骤56被传送到远程存储12。远程存储12可以位于用户工作处所处的监控中心3内,或者可以在其他场所。在数据已经被传送的步骤56后,过程循环回到检验时间步骤51,以使得在一设置的时延后,或者在更多的数据被创建后,更多的数据时时被传送。在这些时间之外,即在正常工作时间之外,所有的数据被假设为私人数据8,并且用仅电子设备1的用户所知的私人密钥11和/或密码加密。私人数据8在步骤54被加密并在步骤56被传送到远程存储设施3中。在数据已经被传送的步骤56后,过程循环回到检验时间步骤51,以使得在一时延后更多的数据可以被传送。 [0033] 其他时段可以被设置作为上述时间表的例外,并且可以考虑到例如假期时间。可以在与监控中心通信期间经由代理2修改或更新规则——包括涉及时段的规则。例如,在偷窃的情况中,停止所有私人加密的修改的规则可以经由代理2通信给加密规则模块9。该实施方案可以免去用户给找回人员提供私人解密密钥11a的必要。 [0034] 可以用仅为企业、公司、电子设备1的拥有者或管理员所知的密钥10加密企业或公司数据7。作为替代,可以有用于公司数据存储的分开的加密过程发生在远程监控站点3。如此,用户不能访问公司加密密钥。 [0035] 在一些实施方案中,规则9的应用可以取决于用户输入密码。如图4中示出的,在步骤60在电子设备启动后,在步骤62电子设备提示用户输入密码。如果在步骤63密码被正确输入,则在步骤64规则9被应用,并且根据私人加密密钥11加密私人数据8。如果在步骤63密码输入错误而转入步骤65或没有输入,则不根据私人加密密钥11加密数据8,因为在这种情况中,要么是设备1已经被偷窃,要么是用户仅希望使用该设备用于工作相关的任务。无论数据是否被加密,数据都会在步骤68被传送到远程存储3。在传送步骤68后,在步骤69系统在过程中回转,以使得更多的数据可以不时地、定期地,或者当需要时被传送。 [0036] 在一个替代实施方案中,公司数据7和私人数据8默认不被加密。当期望使用设备1用于私人事务时,用户可选择输入会导致被传送到远程存储12的数据被预先加密的密码,但是仅对于一段设置的时段。参考图5,设备1被配置为在步骤70接受密码的输入。一旦输入正确的密码后,设备1就会提示用户选择私人持续时间,该私人持续时间例如可以从一组标准时段例如30分钟、6小时和1周中选择。其他时间也是可能的,用户可以选择输入最长至预定的最大值的任何时间。设备1在步骤72从用户处接受期望的私人持续时间的输入,并随后在步骤74监控所述私人持续时间是否已经过去。在选择的时段内,在步骤76使用私人密钥11加密所有数据8,这是因为假设在该时段内电子设备的所有使用是用于私人数据8。加密的数据随后在步骤78被发送到远程存储12。如果在步骤74选择的私人持续时间在步骤77已经过去,则不使用私人密钥加密数据,这是因为假设在持续时间之后创建的数据是公司数据7,公司数据7在没有被加密的情况下(或者使用公司密钥10被加密)在步骤78被发送到远程存储12。在步骤78传送数据后,无论是否加密,过程回到步骤74,以使得可以就私人持续时间是否已经过去而不时地做出检测,并且如果必要,可以传送更多数据。 [0037] 示例性规则 [0038] 以下是可以被用于使用用户私人密钥加密的规则的实施例: [0039] 1.总是加密。在被偷窃后,用户提供密钥。这种情况适合于位置数据正被记录的地方。 [0040] 2.总是加密。在用户和拥有者提供他们的联合密钥的各自的部分之后数据的解密是可能的。 [0041] 3.对于在工作日之外的时段,根据私人密钥加密。 [0042] 4.如示例性规则(3),但是该规则可以被修改,以考虑到假期和可变的工作时间。 [0043] 5.如示例性规则(3),但是仅当用户在启动或开启时输入密码才可以被激活。 [0044] 6.如图5的实施方案中,在用户请求后暂时根据私人密钥加密。用户可以输入期望的私人持续时间,或者该期望的私人持续时间可以是固定的。取决于一天中的时间,可以有不同的时段。例如,在午餐时间前后可以是20分钟。在晚上,可以是5个小时。在周末可以是一天。 [0045] 替代和变体 [0046] 附图中的步骤可以按照与示出的不同顺序来执行,或者在分开显示处联合执行。 [0047] 指出私人加密时段结束或者即将结束的信号(例如听得见的信号或者设备上产生的看得见的弹出消息)可以由代理产生并且给予用户。所述信号可以是伪装信号,即不给窃贼任何有关在设备中安装有视窗或跟踪保护的提示。 [0048] 用于加密的用户密码可以由代理在每个加密时段结束时从设备中删除。这会防止窃贼为了隐藏他的行踪而试图使用该密码加密位置数据。 [0049] 在用户的私人密钥提供给安全公司后,系统可以被配置为仅解密回溯一段特定时段(例如两周)的数据。这可以通过定期删除远程存储设备中的旧数据来布置。可替代地,私人加密密钥可以作为时间函数,以使得给定的解密密钥仅开启当前和未来数据,而不是历史数据。 [0050] 对于私人和公司数据,没有必要在它被创建时就被传送。数据可以在电子设备1中本地存储在其各自的数据存储区7、8中,直到设备1和监控中心3之间的连接可用,或者直到代理应该启动到监控中心3的通信或响应监控中心3的时间。 [0051] 虽然已经关于保护私人位置数据描述了一个实施方案,但是所公开的主题同样可以用于保护使用共享的企业和私人使用设备产生的其他私人数据。其他可以被保护的私人数据包括用途数据、访问网站、播放的视频和音频文件、下载、键盘敲击、屏幕截图、电子邮件、文件和任何其他私人数据。 [0052] 本描述是目前执行本文中所公开的和所要求保护的主题的预期的最好模式。做出本描述的目的是为了说明主题的一般原理,并不是被理解为限制意义。从对作为主题基础的原理的理解中,对于本领域技术人员明显的是,在不偏离本公开文本的范围的情况下,主题可以在多个实施中找到效用。 |
||||||
