用于安全地管理文件的方法、安全设备、系统和计算机程序产品.pdf

本发明主要地涉及一种用于安全地管理文件的方法、安全设备和计算机程序产品。该方法可以包括以下步骤：-提供(S100)安全设备(10)，其中安全设备通过防恶意软件或者恶意件的设计被保护并且适于经由主机建立与服务器(40)的连接10，该主机通过电信网络连接到服务器；-在接收到(S700-S800)对使用存储在安全设备上的文件的请求后，在安全设备处根据与该文件相关联的、更新的使用权限来处理请求，15其中通过以下操作来获得更新的使用权限：-在安全设备处指令(S300)经由主机在安全设备与服务器(40)之间建立连接(91)；并且-在设备处根据通过建立的连接(91)从服务器发送的权限数据来更新(S400)与文件相关联的使用权限。

权利要求书一种用于安全地管理文件的方法，包括以下步骤：
‑提供(S100)安全设备(10)，其中所述安全设备：
通过防恶意软件或者恶意件的设计被保护，并且
适于经由通过电信网络连接到服务器(40)的主机来建立与所述服务器的连接；
‑在接收到(S700‑S800)对使用存储在所述安全设备上的文件的请求时，在所述安全设备处根据与所述文件相关联的、更新的使用权限来处理所述请求，
其中通过以下操作来获得所述更新的使用权限：
‑在所述安全设备处指令(S300)经由所述主机在所述安全设备与所述服务器(40)之间建立连接(91)；以及
‑在所述设备处根据通过所建立的连接(91)从所述服务器发送的权限数据来更新(S400)与所述文件相关联的使用权限。
根据权利要求1所述的方法，进一步包括在所述设备处存储所述文件的步骤，所述文件是通过在所述安全设备与所述服务器(40)之间建立的连接(91)从所述服务器发送的。
根据权利要求1或者2所述的方法，在所述设备处接收到所述请求之后进一步包括以下步骤：
‑在批准在所述安全设备处接收到的所述请求后，更新(S900)与所述文件相关联的所述使用权限。
根据权利要求1、2或者3所述的方法，在接收到对使用所述文件的所述请求之前并且在更新与所述文件相关联的所述使用权限之后，进一步包括以下步骤：
在所述安全设备处根据所述更新的使用权限来指令(S600)向用户接口或者应用暴露所述文件。
根据权利要求1至4中的任一项权利要求所述的方法，其中经由所述主机建立的连接(91)是安全连接，诸如SSL/TLS连接。
根据权利要求1至5中的任一项权利要求所述的方法，其中存储在所述设备上的所述文件根据给定加密方案被加密，并且其中所述方法进一步包括以下步骤：
‑在所述安全设备处接收用于解密所述文件的解密密钥，所述解密密钥是通过在所述安全设备与所述服务器(40)之间建立的连接(91)从所述服务器发送的。
根据权利要求1至6中的任一项权利要求所述的方法，进一步包括在所述设备处使用加密密钥来加密文件的步骤，所述加密密钥存储于所述设备的内部存储器或智能卡上、或者由用户在所述设备处输入，其中所述内部存储器不可从外部访问。
根据权利要求1至7中的任一项权利要求所述的方法，其中所述更新的使用权限包括被所述设备解译以用于处理对使用所述文件的请求的参数，所述参数限制对所述文件的访问权，诸如能够访问所关联的文件的次数或者能够访问所关联的文件的时间。
根据前述权利要求中的任一项权利要求所述的方法，其中在所述安全设备处保持的所述更新的使用权限分解成若干子权限，每个子权限与给定类型的请求相关联，例如对下述的请求：
‑在所述设备处读取；
‑在外部打印机处打印；或者
‑从外部设备读取，所述外部设备诸如是投影机。
根据权利要求3所述的方法，其中在批准所述请求后更新所述使用权限的所述步骤包括：
‑在所述设备处更新(S900)与所述文件相关联的所述使用权限。
根据权利要求3或者10所述的方法，其中在批准所述请求后更新所述使用权限的所述步骤包括：
‑通过在所述安全设备与所述服务器(40)之间建立的连接(91)向所述服务器发送与所处理的请求有关的数据；以及
‑在所述服务器处更新(S900)与所述文件相关联的所述使用权限。
根据前述权利要求中的任一项权利要求所述的方法，进一步包括在所述服务器处记录接收到的对使用所述文件的所述请求的步骤。
一种安全设备(10)，通过防恶意软件或者恶意件的设计被保护并且具有处理装置(15)、存储器(15’，15”)和接口(17，18，20)，被配置以耦合到以下各项或者与以下各项交互：
‑用户(1)；
‑主机，诸如个人计算机或者PC(30)，以及
‑服务器(40)，
所述安全设备适于在所述安全设备连接到主机(30)并且服务器(40)和所述主机通过电信网络连接时，经由所述主机来建立与所述服务器的连接，诸如TLS/SSL连接，
并且进一步包括存储在所述存储器上并且可由所述处理装置执行的计算机化的方法，以用于实施根据权利要求1至10中的任一项权利要求所述的步骤。
一种系统，包括：
‑根据权利要求13所述的安全设备(10)；
‑个人计算机或者PC(30)；以及
‑服务器(40)。
一种计算机程序介质，包括可由处理装置执行以用于执行根据权利要求1至10中的任一项权利要求所述的方法的所有所述步骤的指令。

说明书用于安全地管理文件的方法、安全设备、系统和计算机程序产品
技术领域
本发明涉及一种使用安全设备用于安全地管理向用户分发的文件的方法。具体而言，本发明涉及一种使用下述安全设备的方法，该安全设备通过防恶意软件或者恶意件的设计被保护并且适于建立与服务器的连接，例如，诸如SSL/TLS连接这样的安全连接。一致地，本发明涉及这种设备以及包括这种设备的系统或者用于实施所述方法和对应服务器部件的计算机程序介质。
背景技术
PC的安全问题使它们不适合用于许多功能，因为用户输入的数据可能被攻击者操控或者复制。例如，交易可能被改变以将资金发送给非期望的收款人或者发送资金订购非期望的物品，或者用户证书可能被复制从而向攻击者提供对系统的访问，诸如对网银系统的访问。
为了解决这些问题中的一些问题，用户安全设备(也被称为“受信设备”)可以与PC一起使用。一种这样的解决方案，即IBM区域受信信息信道(参见Thomas Weigold，Thorsten Kramp，Reto Hermann，Frank，Peter Buhler，Michael Baentsch的“The Zurich Trusted Information Channel‑An Efficient Defence against Man‑in‑the‑Middle and Malicious Software Attacks”，In P.Lipp，A.‑R.Sadeghi，and K.‑M.Koch(Eds.)：TRUST2008，LNCS4968，pp.75‑91，2008)允许用户在服务提供商(例如，银行)执行交易之前验证与交易相关联的信息(例如，在网银的情况下为金额和收款人)。该交易在安全的并且可以用安全方式向后台系统发送验证的信息的设备上被验证。
此外，在低成本、高容量USB闪速驱动器可用的情况下，安全文档管理已经成为任何IT组织的关注领域。存在两个显著问题：
1.外部数据丢失：大量敏感数据可以轻易地存储在诸如USB闪速驱动器这样的设备上并被转移。丢失这样的设备可能给公司造成法务或者财务暴露。
2.雇员数据窃取：敏感数据可以轻易地被有权访问这些数据的雇员经由PC偷取。
现在市场上出现对第一个问题的解决方案。例如，USB驱动器上的数据可以被加密和口令保护。与其它IT系统相似，如果输入错误口令多于指定次数，则设备锁死，由此使数据不可访问。
可以通过在公司内阻止用于海量存储设备的USB端口来解决第二个问题。遗憾的是，这样的解决方案也阻止了便携式存储设备的许多合法和有用应用。另一方式是在用户的PC上使用监视软件以便检测和阻止违反给定策略的数据复制。然而，这样的软件解决方案仅与实施它的应用软件和系统一样安全，即，在存在确定的攻击者时，它们不能解决问题。
有关的挑战是敏感文档的安全分发。可以在分发之前对文档加密，这在文档传输途中并且在文档存储在用户的PC上时(假设以加密形式存储文档)保护文档。然而，一旦文档被解密，例如用于查看，它就被暴露从而有风险。在公司内部，该风险受公司中用于处理(例如，查看或者打印)该文档的IT基础设施的总体安全性限制。然而，当在公司外部，例如在具有因特网连接的PC上解密这样的文档时，或者在公司PC的安全性受危及时，该文档再次被暴露。
因而，存在对改进用于敏感文档的安全分发并且更一般地用于安全地管理文件的当前方法的需要。
发明内容
根据本发明的第一方面，提供了一种用于安全地管理文件的方法，该方法包括以下步骤：提供安全设备，其中安全设备通过防恶意软件或者恶意件的设计被保护并且适于经由通过电信网络连接到服务器的主机来建立与服务器的连接；在接收到对使用存储在安全设备上的文件的请求后，在安全设备处根据与文件相关联的、更新的使用权限来处理请求，其中通过以下操作获得更新的使用权限：在安全设备处指令经由主机在安全设备与服务器之间建立连接；并且在设备处根据通过所建立的连接从服务器发送的权限数据来更新与文件相关联的使用权限。
在实施例中，该方法可以包括以下特征中的一个或者多个特征：
‑该方法进一步包括在设备处存储文件的步骤，该文件是通过在安全设备与服务器之间建立的连接从服务器发送的；
‑该方法在设备处接收到请求之后进一步包括以下步骤：在批准在安全设备处接收到的请求后更新与文件相关联的使用权限；
‑该方法在接收到对文件的请求之前并且在更新与文件相关联的使用权限之后进一步包括以下步骤：在安全设备处根据更新的使用权限来指令向用户接口或者应用暴露文件；
‑经由主机建立的连接是安全连接，诸如SSL/TLS连接；
‑根据给定加密方案对存储在设备上的文件加密，并且其中该方法进一步包括以下步骤：在安全设备处接收用于解密文件的解密密钥，该解密密钥是通过在安全设备与服务器之间建立的连接从服务器发送的；
‑该方法进一步包括以下步骤：在设备处使用加密密钥来加密文件，该加密密钥存储于设备的内部存储器或者智能卡上或者由用户在设备处输入，该内部存储器从外部不可访问；
‑更新的使用权限包括被设备解译用于处理对使用文件的请求的参数，该参数约束对文件的访问权，诸如能够访问所关联的文件的次数或者能够访问它的时间；
‑在安全设备处保持的更新的使用权限分解成若干子权限，每个子权限与给定类型的请求相关联，例如对以下各项的请求：在设备处读取；在外部打印机处打印；或者从外部设备读取，该外部设备诸如投影机；
‑在批准请求后更新使用权限的步骤包括：在设备处更新与文件相关联的使用权限；
‑在批准请求后更新使用权限的步骤包括：通过在安全设备与服务器之间建立的连接向服务器发送与处理的请求有关的数据；并且在服务器处更新与文件相关联的使用权限；以及
‑该方法进一步包括以下步骤：在服务器处记录接收到的对使用文件的请求。
根据另一方面，本发明被实现化为一种安全设备，该安全设备通过防恶意软件或者恶意件的设计被保护并且具有处理装置、存储器和接口，该安全设备被配置为耦合到以下各项或者与以下各项交互：用户；主机(诸如个人计算机或者PC)，以及服务器，安全设备适于在该安全设备连接到主机并且服务器和主机通过电信网络连接时，经由该主机建立与服务器的连接，诸如TLS/SSL连接，并且该安全设备进一步包括存储于存储器上并且可由处理装置执行的计算机化的方法以用于实施根据本发明的方法的步骤。
根据又一方面，本发明被实现为一种系统，该系统包括：根据本发明的安全设备；个人计算机或者PC；以及服务器。
根据最后一个方面，本发明被实现为一种计算机程序介质，该计算机程序介质包括可由处理装置执行的用于执行根据本发明的方法的所有步骤的指令。
现在将通过非限制示例并且参照附图来描述实现本发明的方法、设备和系统。
附图说明
图1是描绘根据本发明的方法的一般实施例的步骤的流程图；
图2是描绘根据另一更详细的实施例的方法的步骤的流程图；
图3是根据本发明实施例布置的耦合到终端和服务器并且允许安全地管理文件使用安全设备的示意性表示；以及
图4和图5示意性地描绘根据本发明实施例的数据结构的示例，这些示例示出在设备中保持的使用权限与对应文件之间的相互关系。图4和图5分别示出在该设备处更新使用权限之前和之后的这种数据结构。
具体实施方式
作为下文描述的引言，首先转向本发明的一般方面，该方面涉及一种用于安全地管理文件的方法。该方法利用用户安全设备(或者受信设备)，后者通过防恶意软件或者恶意件的设计被保护。在接收到对使用存储在设备上的文件的请求时，设备根据与文件相关联的更新的使用权限来处理该请求。“处理”请求通常意味着：如果可能(基于更新的使用权限)则批准该请求，并且后续采取步骤以执行该请求(例如，如果在加密状态下存储文件，则从解密该文件开始)。如果必要，则后续更新使用权限：这实际上依赖于所涉及的权限类型以及是否已经批准了请求。用于处理请求的权限在一开始通过首先在设备处指令建立与服务器的连接来获得，该连接经由所述服务器所连接到的电信网络中的主机来建立，其例如是SSL/TLS连接。接下来，设备根据通过建立的连接从服务器发送的数据来更新使用权限。例如，如果还没有在设备上存储文件的所需版本，则也可能从服务器发送处于危险的文件(file at stake)。
当接收到对使用文件的请求(即访问请求，例如查看或者打印文件)时，该设备例如能够根据给定的服务器(即，公司)策略、根据对应权限的更新状态来处理请求。因此，有可能约束对(来自服务器的)可为用户所用的文件的使用并且这依赖于给定的策略。
更具体而言，图1描绘了图示该方法的一般实施例的流程图。图3是经由网络耦合到终端和服务器的安全设备的示例的示意性表示。
一起参照图1和图3：本发明首先并且首要地依赖于安全设备10(步骤S100)。正如所言，通过设计来保护安全设备以抵挡恶意软件或者恶意件。例如，安全设备可以被剥夺用于软件安装或者会使它暴露于恶意件的其它功能的一些客户端接口。然而，该设备通常被提供有简单用户输入和输出能力以用于输入和回顾用户安全要素，例如PIN或者智能卡。
该设备适于经由电信网络35(诸如，因特网网络)的主机30来建立与服务器和/或任何适当源40的连接91，例如安全连接，诸如相互认证的连接。主机优选地是连接到网络的PC。终端可以另外是任何其它适当源，诸如个人数字助理或者PDA或者移动电话。一种与服务器的适当类型的安全连接是TLS/SSL连接。
此外，安全设备被提供有存储在它的存储器中的计算机化的方法以用于执行下文描述的方法的步骤。
在图3中描绘该设备的优选特征。通常，安全设备10具有耦合到存储器的处理装置(或者计算装置)15，该存储器通常包括永久和非永久存储器15’和15”。永久存储器存储例如用于由所述处理装置执行的、上文提到的计算机化的方法。
此外，设备还进一步被提供有用于与网络35的主机(例如PC30)通信的至少一个接口20，例如USB接口。在实施例中，相同接口20(或者另一类型的接口)还应当允许安全设备与外部设备通信，所述外部设备诸如投影机(beamer)、打印机、安全PC(例如，仅用于查看敏感材料而从不连接到网络的PC)或者任何其它输出设备(未示出)。
如果必要，则安全设备具有用于读取存储器卡16(例如，智能卡)上存储的用户证书的卡读取器17。可以安全地进行对这样的数据的适当使用，例如对卡上存储的用户证书的适当使用。具体而言，可以使用这样的数据，经由终端30在用户1(或者严格来讲，为设备10)与第三方(例如，服务器40)之间建立可信赖连接。在一种变体中，可以在安全设备的永久存储器上直接存储用户证书。
其他接口(诸如，控制按钮18和显示器12)允许与用户的直接交互。
在实践中，第一步骤是将安全设备10连接(步骤S200)到网络35的适当主机30。为了举例说明，此后认为主机是可通过因特网网络35连接到服务器40的PC。
设备10然后可以调用在其上存储的计算机化的方法以触发与服务器40的可信赖连接，步骤S300。例如，它可以(例如，在解锁卡时)经由终端30通过非安全连接92建立与服务器的安全通信91。
优选地，在通过非安全连接92发起通信91之时，例如通过向服务器发起SSL/TLS认证、使用在卡上或者在安全设备的内部存储器上存储的用户证书，向服务器认证该设备。就这一点而言，设置设备与服务器通信可以有利地包括从设备启动驻留在终端处的代理客户端，以便该设备经由该终端连接到服务器(注意，代理有可能也驻留在设备上)。代理向因特网中继从设备接收的比特并且反之亦然。可以通过从设备向服务器发起SSL/TLS认证来例如双向地实现向服务器认证设备。
就这一点而言，存储器15”还可能已经在其上存储了包括加密算法的安全软件栈，诸如用于SSL/TLS认证的TLS引擎14。它可以进一步存储(实现USB海量存储设备或者MSD简档20的)USB管理软件，并且可能存储如上文提到的预先加载的联网代理。正如所言，可以在存储器卡(例如，智能卡16)上存储用户证书，诸如支持TLS‑客户端认证的客户端‑服务器凭证(例如X.509)。智能卡可以保持敏感个人信息并且具有加密装置。在变体中，卡不能加密，但是如果有则用来对敏感操作签名(sign)。在更多其它变体中，卡用于加密和签名操作二者。设备优选地配备有标准智能卡读取器17。最后，设备具有控制按钮18(例如，OK、取消等选择器)和用于显示信息的显示器12。它还可以被提供有用于输入PIN数据的装置(例如，按钮、旋转轮、PIN板/键盘等)。
因此，在一个实施例中，在服务器与设备之间建立SSL/TLS信道(步骤S300)。另外，可以设想其它类型的可信赖连接。
在后续步骤(S350)中，通过所建立的连接从服务器发送权限数据，所建立的连接例如是如上文提到的、所建立的相互认证的连接91。在设备处接收所述数据。它们代表与一个或者多个文件相关联的使用权限。可以一起发送对应文件。然而，它们可能已经被存储在设备上(它们被更早发送或者从独立源获得)，或者它们仍然可以在以后阶段被获得。权限数据可以例如包括与使用权的程度有关的对应信息以及对象标识符(或者文件标识符)。并非所有所述对象标识符都需要与存储在安全设备上的对象相对应：设备能够在被查询什么用户权限与给定文件相关联时获取该用户权限。另外，出于本说明书的目的，假设在安全设备上的某一点存储了至少一个文件并且在设备处接收到的权限数据包含属于该文件的数据。权限数据可以例如由与文件标识符关联的至少一个基数(cardinality)构成。可以包括更多基数，每个基数与至少一个动作类型相关联。后文将参照图4和图5进一步说明。
在接收到权限数据时，在设备的存储器上(而未必在永久存储器上)存储该权限数据。可以例如存储接收的权限数据来替换较旧数据。权限数据可以另外是指示相对于较旧数据的改变的增量(delta)文件；设备然后更新它的权限数据。另外，以一种方式或者另一方式，使设备了解(步骤S400)与在其上存储的给定文件相关联的、更新的使用权限。设备相应地保持与在其上存储的一个或者多个文件相关联的使用权限。更新数据本身一般是已知的。
接下来，在接收到对使用文件的请求时，设备根据与该文件或者包含该文件的目录相关联的使用权限的当前状态来处理所述请求(步骤S700)。实际上，目录列出了在逻辑上被包含其中的文件的名称。可以有利地依赖用于这样的目录的使用权限，这将基本上导致对它们所包含的文件的可见性的限制，即，使得目录内的文件具有不充分的使用权限，不仅PC不可访问，而且对PC不可见。
注意，在图1或者图2的实施例的变体中，设备将在接收到对使用文件的请求后尝试连接到服务器，从而可以在接收到对使用文件的请求之后实际地执行步骤S200‑S400。在该情况下，根据对该文件的更近的使用权限来处理请求。然而在所有情况下，在接收到对使用文件的请求后，安全设备根据更新的权限来处理该请求，其中已经通过连接到服务器并且从服务器获得权限数据来获得了更新的权限。
接下来，关于请求的类型：对使用文件的请求可以例如简单地是对查看文件内容的请求。如果用户权限允许，则例如在安全设备10的显示器12上显示所述内容。只要文档的大小不阻止这样做，这就是可行的。在其它情况下，可能例如需要设置设备与外部输出设备进行通信以完成请求。可以从外部应用接收下述请求，该请求例如请求复制文件(或者传递其内容)例如用于后续显示或者打印。如何向外部设备传递文件的内容本身是已知的。
例如，安全设备可以被配置为，例如使用安全蓝牙配对(SSP)可连接到投影机(例如，无“计算”能力的显示设备，其不会被暴露于恶意件)。作为另一示例，安全设备使用USB线缆或者安全蓝牙配对(SSP)可连接到打印机。这允许从安全设备直接打印文档。如果不允许经由用户的PC打印处于危险的文档(由于它的关联使用权限)，则这尤为有用。因此，外部输出设备可以典型的是打印机或者投影机。另外，依赖于公司策略，其也可以是(设备可能已经被连接到的)PDA或者PC30本身，用于该PDA或者PC30的使用权限可能比用于投影机或者打印机的使用权限更严格。注意，在实施例中，打印机或者投影机可以是安全设备本身的一部分。
在所有情况下，如果设备批准了该使用请求，则更新与处于危险的文件相关联的使用权限(步骤S900)。
依次评述。
根据第一变体，优选地在设备上直接执行在批准请求之后更新使用权限(步骤S900)(通常递减基数)。然而，应当向服务器发送对应数据，该服务器一致地更新服务器侧所保持的使用权限。这样，设备保持最新使用权限。因此，即使用于从服务器获得更新的权限的后续尝试失败(或者现有权限未要求获得更新的权限，例如以允许离线使用)，设备仍然可以处理对相同文件的另一请求。在这一变体中，在服务器和在安全设备二者处实施并行更新机制。然而，在某一点需要协调(reconciliation)。存在用于协调权限的若干可能性(已知用于同步两个数据库实例的若干算法)。设备可以例如定期地尝试连接到服务器并且获得更新的权限数据，或者在启动、认证用户时或者在接收到另一文件使用请求等时尝试连接。在任何情况下，从服务器接收的权限将在可用时可能取代本地权限。然而，在无服务器连接时，设备优选地更新本地权限从而有可能在使用权限基数减少至零时，使对文件的访问成为不可能。
现在，根据第二变体，在处理文件使用请求后，设备相应地并且如果在必要时(例如，仅在批准请求后)通知服务器。服务器因而应当能够更新使用权限。当设备以后连接到服务器时(例如，在接收到对使用文件的另一请求后)，向设备发送最新权限以用于后续处理。在该情况下，不要求在批准请求之后在设备上直接更新权限，因为设备应当系统地依赖于从服务器接收到的权限。同样，设备可以例如定期地尝试连接到服务器或者在启动、认证用户时尝试连接，或者每当接收到另一文件使用请求时尝试连接等。于是，从服务器接收到的权限将取代先前版本。然而，在该变体中，设备强烈地依赖于服务器连接的可用性。例如，设备可以在每次它接收到对使用文件的请求时尝试连接到服务器。然而，如果用于到达服务器的尝试失败，则不能基于最新权限数据来处理请求。因此，可以关于在不能达到较新权限的情况下如何继续来设想若干回退算法。一种解决方案由拒绝请求构成。另一解决方案将依赖于权限数据的先前版本。中间解决方案当然也是有可能的。
因此，可以调用若干机制用于保持更新的权限，其范围从全集中式解决方案(仅服务器在批准请求之后更新权限)到并行解决方案(设备在批准对使用文件的请求后本地更新权限并且相应地通知服务器)。什么机制适合于实施实际上依赖于所保持的安全策略。
在所有情况下，对使用文件的请求优选地由设备记录并且还可以在服务器处被额外地记录，以用于审计或者被动安全性的目的。
正如所言，如上文描述的那样，(除了文件的关联权限之外)也可以例如经由安全连接91从服务器获得文件。在(非优选的)变体中，可以从用户的PC或者从连接到网络的远程终端获得文件。在实施例中，期望的文件首先被从终端发送到服务器、然后被从服务器发送到设备，这提高待分发的文件的安全性和/或控制。如更早指出的那样，可以在发送文件之前或者之后一起发送关联权限。
在实施例中，根据给定加密方案来加密设备上存储的文件。文件可以由设备本身来加密。例如，安全设备被提供有存储在(从外部不可访问的)其内部存储器中或者插入其中的智能卡上的加密密钥。在一种变体中，在加密状态下向设备传送文件(并且如果有则这独立于安全连接固有的加密)，从而该文件总而言之应当在加密状态下被存储在设备上。在两种情况下，可以从服务器向设备发送或者由用户在设备上人工输入解密密钥，以用于例如在以后阶段和在请求时解密文件。附带提一点，注意权限控制机制也可以相对于解密密钥而被实施，与针对文件的实施一样。
接下来，参照图2，将描述本发明的方法的另一实施例。应当理解上述变体中的若干变体也适用于图2的实施例。
这里，步骤S100、S200、S300、S400、S700、S800和S900实质上对应于它们在图1中的对应步骤。
根据图2的实施例，设备优选地在实际尝试与服务器的连接之前检查每个文件的权限(步骤250)。注意，并非必须在连接到服务器之前检查权限。然而，优选地这样做以便允许设备做出关于是否向PC暴露文件(和甚至是否列出文件的存在)的任何决定。
然后，设备尝试连接到服务器，步骤S300。如果连接成功，则如已经参照图1描述的那样，设备基于从服务器接收到的权限数据来更新每个文件的使用权限，步骤400。
接下来，设备可以继续以在本地认证用户(例如，如原本已知的那样，通过要求用户输入PIN、使用智能卡等)，步骤S500。注意，如果用于连接到服务器的先前尝试失败，则设备将如图2中描绘的那样直接提示用户认证她(他)自己。在一种变体中，设备可以在实际尝试与服务器的连接之前要求用户认证。在另一变体中，可以请求用户人工输入解密密钥。
有利地，可以在设备处根据近来在设备处更新的、与文件相关联的使用权限来指令(步骤S600)(例如，向用户接口或者任何应用)暴露文件。附带提一点，是否暴露文件还应当依赖于用户认证的成功。因而，如果对应权限不允许暴露文件(例如，没有用于该文件的更多使用权)，则可以阻止文件被暴露。因此，即使在本地正确认证了用户，用户(或者外部应用)仍然甚至不会“看见”处于危险的文件，这进一步减少误用风险。
接下来的步骤描述了一种机制，根据该机制来处理(步骤S800)对访问存储在设备上的文件的请求(S700)，即基于更新的权限。在处理请求之后，如果必要则更新权限(步骤S900)。
如更早描述的那样，除了单独文件权限之外，与服务器建立的连接还可以允许从服务器向设备发送文件、加密密钥等。如参照图1进一步指出的那样，可以涉及不同场景。
1)在第一场景中，如更早所言，安全设备从服务器并且经由主机(或者更确切地经由主机所中继的连接91)来接收文件。
2)在第二场景中，安全设备初始地从主机(即PC)接收文档，但是这独立于服务器。
3)在第三场景中，安全设备可以从与通过其接收到权限的主机不同的终端并且可能在不同时间接收给定文件。这里，该终端可以例如是PDA或者移动电话。可以例如通过因特网查询在终端处初步下载的文档。假如对象标识符可用于该文档并且数据权限使用兼容对象标识符形式，那么仍然可以实施如更早描述的方法的核心步骤。
4)等等。
现在将关于可以在设备处实施的、用于保持和利用文件权限的数据结构的示例进行进一步描述并且该描述将参照图4和图5。图4和图5中表示的分层图形绘图是可以在安全设备上存储的用于实施本发明实施例的数据结构的示意性表示。具体而言，所描绘的数据结构主要包括：
‑密钥(用于加密/解密文件)；
О这里涉及唯一的密钥“唯一密钥”，该密钥允许在加密状态下存储文件。当然，这一密钥无需对于整个设备都是唯一的。它也可以存在于文件或者目录级。
一文件；
О包括文件#1至n；
‑权限，权限集合包括：
О权限#1至n，即每个文件有一个权限或者甚至每个文件有一个权限子集。具体而言，如这里描绘的那样，可以将权限集合{i，j，k}与文件相关联。
这里简单线条代表数据结构中的层级关系，而粗线条代表数据之间的功能关系，例如使用“唯一密钥”来加密并且允许基于“权限#1”来访问“文件#1”，权限#1在这一示例中等于{4，0，0}。
权限集合可以由基数{i，j，k，...}构成，其中i，j，k，...与相应动作关联，即每个数代表相应应用被允许访问文件的次数。例如，“权限#1”等于图4中的{4，0，0}，其中4，0，0例如分别与请求访问文件#1的应用关联：用于
(1)在设备处显示；
(2)在外部输出设备处显示；以及
(3)在外部打印机处打印。
附带提一点，由于给定“权限#n”在这一示例中实际上由对应集合{i，j，k}构成，所以与“权限#1”至“权限#n”对应的层级水平是多余的。
因此，图4中描绘的数据结构的示例显然意味着用户可能仅需要在设备处显示文件#1并且仅显示四次。在请求显示文件#1(也就是图1或者图2中的步骤700)时，设备将通过以下操作处理请求：
‑批准它(步骤800)；
‑如果必要则解密它(在这一示例中有必要使用唯一密钥)；并且
‑指令显示文件#1。
另外，设备应当在请求已经被批准时更新对应权限(或者相应地向服务器通知后续更新)。如图5中所见，相应地将权限集合改变成{3，0，0}从而指示文件仍然可用于在设备处显示，但是仅剩三次。
在一种变体中，权限#n可以由集合{t1，t2，t3，...}构成，其中t1，t2，t3...对应于与文件#n并且与相应应用相关联的生命期。
在另一变体中，权限#n可以由集合abc构成，其中a、b或者c中的每一个可以是与UNIX权限相似的r、w、x或者‑(rwx指示用户具有读取、写入、执行权限，‑‑‑表示完全无权限)。
注意，如果权限仅由生命期或者r、w、x或者‑权限构成，则无需在设备处处理请求之后更新权限。在这一情况下，设备在处理请求之前依赖于在服务器保持的以及从服务器发送的权限数据就足够了。
在另一变体中，权限#n可以由子集{{i，t1}，{j，t2}，{k，t3}，...}表示从而指示可以在设备处访问文件#ni次以用于显示并且仅持续时段t1(或者直至日期t1)等。在这一情况下，在处理请求之后，如果必要则更新权限。许多其他变体是可能的，例如混合事件、生命期和r、w、x或者‑权限。
现在，将描述一个具体实施例，该具体实施例涉及上文已经讨论的多个特征并且解决在背景技术章节中讨论的两个主要问题。
这里，安全设备配备有充足的闪速存储器，从而它可以用作文档存储库，诸如通常的USB闪速驱动器。潜在地，可以与作为用户证书存储库的智能卡一起使用的安全设备可以与其中安全地存储了文档的服务器建立相互认证的TLS/SSL连接。可以使用TLS/SSL连接安全地向安全设备传输加密的文档并且在安全设备上存储加密的文档。如更早指出的那样，安全设备是没有如下客户端接口的安全设备：这些客户端接口用于软件安装或者将会使设备暴露于恶意件的其它功能。因此，在向安全设备传送并且在安全设备上存储文档之时不会暴露它。
解决更早描述的两个主要问题如下：
1.外部数据损失：由于加密了文档并且通过在服务器与安全设备之间的直接TLS连接来传输文档，所以没有在向安全设备传输文档时暴露该文档的风险。由于在安全设备上存储文档时及以后，文档被加密并且/或者携带用来解密文档的密钥的证书存储库受PIN保护，所以仅正确的用户才能够通过安全设备的正常接口访问文档。由于存储的文档被加密，所以对硬件的物理攻击也不会暴露文档。在从外部不可访问的安全设备的内部闪存中或者在智能卡上存储加密密钥，这向文档管理证书提供更高级别的保护。
2.雇员数据窃取：安全设备的认证机制允许服务器来验证设备是真正的安全设备并且验证安全设备的用户的身份。服务器驱动的应用用来允许用户对存储在他的安全设备上的文档进行请求。文档可以源于用户的PC或者服务器。由于已经使用安全设备向服务器认证了用户，所以服务器具有用于确定该用户是否被允许向安全设备复制所请求的数据的充足信息。另外，服务器可以记录所有这样的请求用于审计的目的。安全设备不提供用于用户从PC直接在它上面存储文件的接口。以这一方式，服务器根据公司的策略来控制可以在设备上存储哪些文档。不能绕过该服务器/安全设备控制在设备上存储任何文档。当服务器向安全设备发送文档时，它也将发送关联权限，这些权限将控制用户能够如何访问文档(例如，是否和在哪些条件之下允许用户从安全设备向他的PC导出文档)。
注意，关于上述第二个问题，文档可以源于服务器以及用户的PC。因此，提供的解决方案不仅是用于控制用户可以向闪速驱动器上复制哪些文档的机制，它还向公司给予一种用于向认证的用户分发文档的方式，使得文档绝不会不适当地暴露给PC。
除了上文提到的对文档存储和取回(解密)的服务器控制之外，安全设备本身也提供用于允许用户以很细微粒度的方式、即甚至在逐个文档的基础上，请求访问具体文档的内置能力。用户可以例如通过使用安全设备的内置显示器来浏览和选择单个文件以请求解密和导出单个文件，从而例如在安全设备已经被连接到的打印机上打印它们。在该情况下，ZTIC可能离线(它优选地连接到离线打印机)。用于这样做的基本权限必须在该操作之前由使用上文提到的应用的服务器批准并且存储于安全设备上。这样的权限还可以由有限生命期扩充以例如通过允许用户对文档的仅有限数目的本地解密来进一步降低无意中暴露文档的风险。
注意，应当理解在本公开内容中排除使用(USB之外的)备选通信协议用于加载和取回文档或者文档管理证书。具体而言，应当注意安全设备可以使用无线接口，诸如蓝牙以传送用于打印的文档或者使用GPRS网络以请求和取回来自服务器应用的文档访问证书。
另外，适当配备的安全设备应当能够接收服务器发起的文档和/或证书去除命令而无任何用户交互以便进一步加强服务器对数据的控制。
可以用高级(例如，面向过程或者对象的)编程语言或者如果希望则用汇编或者机器语言实现用于实施上述发明的至少一些部分所需要的计算机程序代码；并且在任何情况下，语言可以是编译或者解译语言。适当处理器包括通用和专用微处理器。注意，可以在机器可读存储介质中有形地实现的计算机程序产品上存储设备、终端、服务器或者接收者执行的操作以用于由可编程处理器执行；并且本发明的方法步骤可以由执行指令的一个或者多个可编程处理器执行以执行本发明的功能。在所有情况下，本发明可以不仅涵盖安全设备而且涵盖用以下各项中的一项或者多项扩充的、包括该设备的系统：用于传递安全管理的文件的内容的终端、至少一个服务器或者任何适当源和可能的附加设备，诸如打印机或者投影机。
更一般而言，可以在数字电子电路中或者在计算机硬件、固件、软件中或者在它们的组合中实施上述发明。
一般而言，处理器将从只读存储器和/或随机存取存储器接收指令和数据。适合于有形地实现计算机程序指令和数据的存储设备包括所有形式的非易失性存储器，这些形式例如包括半导体存储器设备，诸如EPROM、EEPROM、闪速存储器或者其它形式。
尽管已经参照某些实施例描述了本发明，但是本领域技术人员将理解可以进行各种改变并且可以替换为等效实施例而不脱离本发明的范围。此外，可以进行许多修改以使特定情形或者材料适应本发明的教导而不脱离它的范围。因此，旨在于本发明不限于所公开的具体实施例，但是本发明将包括落入所附权利要求书的范围内的所有实施例。例如，可以配置设备以诸如防止同时连接到主机和外部设备二者。该设备还可以被提供有电池或者由外部设备供电。