具体实施方式
在以下描述中,阐述了大量的具体细节。然而,应理解,即使没有这些具体细节,也可以实施本发明的实施方式。在其他情况中,为了不使得本说明书难以理解,没有详细示出公知的电路、结构和技术。利用所包括的描述,本领域的普通技术人员将能够实现适当的功能而无需过度试验。
本说明书中所提及的“一个实施方式”、“实施方式”和“示例性实施方式”等表示所描述的实施方式可包括特定的特征、结构或特性,但是每个实施方式不一定包括所述特定的特征、结构或特性。此外,这样的措辞不一定指同一实施方式。此外,当结合一实施方式描述特定的特征、结构或特性时,无论是否明确描述,均认为结合其他实施方式实现这样的特征、结构或特性在本领域的技术人员的知识范围内。
在以下的说明书和权利要求书中,可能使用术语“联接”和“连接”以及它们的派生词。应该理解,这些术语并不意欲作为彼此的同义词。“联接”用来表示可能互相直接物理接触或直接电接触的或可能不互相直接物理接触或直接电接触的两个或更多个元件共同操作或相互作用。“连接”用来表示在互相联接的两个或更多个元件之间建立通信。
图1为根据本发明的一个实施方式的示例性的个人便携式安全网络访问***。***100包括安全终端115A-115N、内容服务器和/或交易服务器120A-120N和130A-130N(下文为内容服务器)、客户105、安全个人存储设备110和密钥管理服务器125。安全终端115A-115N适用以仅当安全个人存储设备被***时才激活。也就是说,在安全个人存储设备没有被***或附接的情况下,安全终端不能运作。安全终端115A-115N不存储任何与客户相关的数据(例如,数据文件、账号凭证、客户设置或偏好、生物识别样本等)。当将安全个人存储设备从安全终端移走时,该安全终端清除其内存,由此从该安全终端删除任何表示客户使用的内存印迹。
通过将安全个人存储设备110***到安全终端115A-115N中的任一个,客户105启动与该安全终端的安全计算会话。由客户105所有/使用的安全个人存储设备110(例如,安全数码卡(SD卡)、闪存盘、拇指驱动器、光盘等)存储特定于客户105的数据(例如,用户数据文件、账号凭证、设置/偏好等)。在将安全个人存储设备110***或附接入安全终端115A-115N中的一个之后,该安全终端将通电、启动并开始认证应用程序以验证***或附接该安全个人存储设备110的人拥有该安全个人存储设备。该认证将包括生物识别验证(例如,声纹验证、指纹分析、视网膜扫描、笔迹分析,或声纹验证、指纹分析、视网膜扫描和笔迹分析等的任一组合)或类似机密的、基于非文字的认证。在经过认证之后,客户105可以使用该安全终端以使用本地应用程序(例如,媒体播放器、办公套件应用程序、电子邮件应用程序、游戏等)、通过网络(例如,局域网(LAN)、广域网(WAN)(例如,互联网)、无线局域网(WLAN)等)访问服务和/或内容。
一些内容供应商和/或服务供应商将能够提供对其内容和/或服务的安全访问且能够提供在交付他们的内容和/或服务时的从不拒绝。安全访问仅对通过安全终端115A-115N认证的客户有效。例如,安全终端115A-115N包括用来访问内容服务器120A-120N和内容服务器130A-130N的定制的安全终端网络浏览器。内容服务器120A-120N包括安全内容和/或安全服务125A-125N,而内容服务器130A-130N包括不安全的内容和/或不安全的服务135A-135N。基于对提供安全个人存储设备110的客户的安全终端验证以及对安全内容和/或安全服务125A-125N发放给安全个人存储设备110中的安全个人存储设备标识符(id)280的账号凭证的认证,安全终端115A-115N和内容服务器120A-120N中的每一个适用于允许访问安全内容和/或安全服务125A-125N。例如,内容服务器120A-120N适用于识别来自定制的安全终端网络浏览器(相对于来自不同类型的计算设备的其他类型的网络浏览器)的连接并且因此识别一安全终端(例如,安全终端115A-115N中的一个)正在被使用。内容服务器120A-120N信任使用该安全终端的客户是名副其实的(即,拥有安全个人存储设备110的人)且可以信任该安全个人存储设备110上的信息(例如,账号凭证)。也支持在计算会话中的任何时候进行客户再验证。如果针对于安全内容和/或安全服务125A-125N中的所选择的一个,在安全个人存储设备110上具有账号凭证,则相应的服务器可以使用这些凭证来认证客户并且允许访问内容和/或服务,而客户无需输入用户名/密码、个人识别号码(PIN)或其他识别信息。如果针对所选择的内容和/或服务,安全个人存储设备110上没有账号凭证,则服务器可以创建账号凭证并且将其与安全个人存储设备110关联,该账号凭证随后可通过安全终端115A的电子设备被写入到安全个人存储设备110中。当安全终端下一次利用该安全个人存储设备110针对该安全内容和/或安全服务访问该服务器时,存储设备110中的账号凭证用于认证客户并且自动地将客户指引到该内容和/或服务。
安全终端115A-115N和内容服务器120A-120N与密钥管理服务器125联接。密钥管理服务器125管理安全终端115A-115N和安全个人存储设备(例如,安全个人存储设备110)之间的PKI(公钥基础设施)轮换,并且管理安全终端115A-115N和内容服务器120A-120N之间的PKI轮换。
对安全个人存储设备110的PKI键控访问创建了支持公共安全终端和私人安全终端115A-115N的机会。安全终端115A-115N中的一些安全终端为私营企业安全终端。私营企业安全终端115A-115N在将安全个人存储设备(诸如安全个人存储设备110)关联至安全终端115A-115N中的一个或一组的方面上是有限制的,而公共安全终端允许任何在公共网络上建立的安全个人存储设备。在一些实施方式中,安全个人存储设备110仅可以用在安全终端115A-115N中的特定的一个安全终端上或安全终端115A-115N的两个或两个以上的安全终端的组上,而在其他实施方式中,安全个人存储设备110可以用在安全终端115A-115N的任一个上。
在一个实施方式中,内容服务器/交易服务器120A基于客户的身份显示目标广告。例如,由于个人便携式安全网络访问***100认证客户105在使用网络资源,因此与计算设备(在给定的时间段中,许多不同的客户可使用该计算设备)相反,广告可以专门针对客户105在使用安全个人存储设备110时的动作。为了说明,内容服务器120A可存储用于安全个人存储设备标识符280的一个或多个信息记录程序(cookie)。针对客户105的广告的选择可以定制成从检查与安全个人存储设备标识符280关联的信息记录程序而得出的人口统计学数据/市场数据。应该理解,信息记录程序不透露客户105的身份。
图2示出根据本发明的一个实施方式的在安全个人存储设备、安全终端和内容服务器之间的相互作用的更详细的视图。通过在操作1将安全个人存储设备110***安全终端115A,客户105启动与该终端的安全计算会话。在安全个人存储设备110被***之前,安全终端115A不能够通电。安全个人存储设备110的***完成了使安全终端115A的电源电路运行,使得该安全终端115A通电以供客户使用。在一个实施方式中,安全个人存储设备110的***自动地使安全终端115A完全通电(或可替选地,自休眠恢复),而在其他实施方式中,该***允许安全终端115A由客户105通电(例如,客户105将按下电源按钮以使安全终端从休眠返回到可用的状态)。因此在操作2处,完成电源电路215并且电力被应用到安全终端115A。此外,安全终端115A启动其操作***并且开始客户认证模块242。
在向安全终端115A认证客户105期间,将使用安全个人存储设备110上存储的唯一识别数据。在经过认证之后,将在客户105和安全终端115A之间建立安全计算会话,允许客户105使用安全终端115A的应用程序(例如,包括定制的安全终端网络浏览器244)。尽管客户105可使用安全终端115A的应用程序,但应该理解,安全终端115A不存储且不保留与客户105A关联的任何数据(无论是用户文件还是用户计算机活动);然而,受权限保护的且本地的应用程序数据可以被存储在安全个人存储设备110上。在会话安全约束内,安全终端115A可允许批准的外部程序从独立的可移除设备总线通道启动或将数据保存到独立的可移除设备总线通道。当安全计算会话结束和/或安全个人存储设备110被从安全终端115A移除时,安全终端115A永久地擦除其临时内存,由此从安全终端115A删除任何表示客户105使用的内存印迹。
由客户105所有/使用的安全个人存储设备110(例如,SD卡、闪存盘、拇指驱动器、光盘等)存储特定于客户的数据(例如,用户产生的数据文件、用于一个或多个网络账号的账号凭证等),这些数据可以在与安全终端115A和内容服务器120A的安全计算会话期间使用和/或产生。例如,如图1中所示,安全个人存储设备110包括客户特定认证数据存储器232、资源对象存储区236(其包括账号凭证、计算会话需求、资源需求、加密密钥等)和用户数据238。客户特定认证数据存储器232存储客户105的在注册期间收集以及在客户认证期间由安全终端115A使用的独特信息。在一个实施方式中,可以采用保证合格的注册来验证所提供的客户属性以支持年龄或地点限制的交易或年龄或地点限制的内容访问。例如,客户特定认证数据包括生物识别数据中的一个或多个(例如,声纹验证样本、指纹样本、视网膜扫描图像、手写样本等中的一个或多个)以及如果注册保证合格的话还包括其他属性(诸如客户105的出生日期)。在一些实施方式中,客户特定认证数据存储器232不包括个人信息,这些个人信息包括客户的姓名、地址、社会保险号、电话号码、电子邮件地址等。如将在下文更详细地描述,在一个实施方式中,安全终端115A包括允许客户105训练用于认证的生物识别数据(提供生物识别样本)的能力。客户105也可在授权地点(例如,当注册和/或购买安全个人存储设备110时)训练生物识别数据。
资源对象存储区236包括对用于不同的资源所有者的资源对象包的支持或对来自同一所有者的多个资源的支持。如本文所使用的,资源所有者为向客户提供资源(内容和/或服务)的内容和/或服务供应商。通常,资源所有者提供安全的资源。每个资源对象包可包括用于所提供的安全资源的账号凭证(例如,一个或多个用户名和密码或其他认证密钥)(例如,用于客户105的账号的凭证)。资源对象包还可包括计算会话需求。例如,一些资源在被允许被访问之前可需要配置一些安全终端设置(例如,VPN(虚拟私人网络)设置、代理设置、防火墙设置、年龄特定核实等)。在一个实施方式中,资源对象存储区236的内容对于客户105是未知的,也不能由客户105读取。在一些实施方式中,资源对象存储区236的内容(例如,账号凭证、计算会话需求、资源需求和加密密钥等)由内容服务器(例如,内容服务器120)创建。例如,内容供应商A可生成用于客户105的特定的用户名和密码(或者其他认证标识符)以及内容供应商B可生成用于客户105的不同的特定的用户名和密码。如将在下文中更详细的描述的,当认证客户105时,账号凭证由内容服务器使用,并且可以替代内容服务器通常使用的标准用户名/密码和/或个人识别号询问使用以创建零点击账号访问体验,这也免除了社会工程偷窃风险。
在一些实施方式中,例如那些涉及第三方保证合格注册的实施方式,客户特定认证数据存储器232还包括客户105的出生日期,该出生日期可以用于限制客户105可用的服务。在一个实施方式中,通过自身注册训练的安全个人存储设备不能包括认证数据(例如,生物识别认证数据)之外的客户属性。例如,内容和/或服务供应商可以基于年龄限制他们的内容和/或服务的可用性。例如,一些内容和/或服务可以限制于高于一定年龄的客户、低于一定年龄(例如,定向于未成年人的聊天室)的客户、在一定年龄的组内的客户等。在一些实施方式中,客户105的出生日期将不被存储,除非并且直到客户105证实他/她的年龄。例如,当购买安全个人存储设备110或者当在授权地点处在监管下注册安全个人存储设备110时,可以要求客户105通过显示政府下发的ID来出示年龄的证据。
用户数据238包括在安全计算会话期间产生和保存的任何数据(例如,受权限管理的内容文件、应用设置(例如,浏览器书签)、安全终端设置(例如,字体大小等)等)。在一些实施方式中,安全终端115包括用于可移动媒体的端口或插槽,以使得除了安全个人存储设备110之外,客户105还使用所述可移动媒体来存储用户数据文件。
在与安全终端115A的安全计算会话期间使用或产生的、存储在安全个人存储设备110上的信息可以被加密(例如,通过安全终端115)。在一个实施方式中,安全终端115A需要生物识别源的人密钥来解密加密卷234。例如,客户特定认证数据存储器232被包含在加密卷230内以及资源对象存储区236和用户数据238被包含在加密卷234内。加密卷234被包含在加密卷230内。对加密卷进行加密的目的是,使它们仅可由合适的安全终端(例如,安全终端115)解密。在一些实施方式中,在客户特定认证数据存储器232中的数据用于解密加密卷234。例如,在安全终端115和/或客户105访问用户数据238或资源对象存储区236之前,必须向安全终端115成功地认证客户105。应该理解,在图1中示出的加密方案为示例性的,并且其他加密方案可以在实施方式中被采用(例如,单一加密卷、非嵌套加密卷等)。
安全个人存储设备110还包括安全个人存储设备标识符280。在一个实施方式中,安全个人存储设备标识符280为在安全个人存储设备110的制造期间植入的不可改动的唯一的硬件标识符。因此每个不同的安全个人存储设备具有不同并且唯一的存储设备标识符。
安全终端115A包括认证模块242,认证模块242用以认证对应于在安全个人存储设备110上存储的信息的客户的身份。因此在操作3处,认证模块242基于在安全个人存储设备110中的客户特定认证数据存储器232中的信息和客户105输入的数据(例如,生物识别输入诸如声纹样本)来执行认证过程。具体的生物识别认证机制将在下文更详细地描述。如果认证过程不成功,将不允许客户105使用安全终端115A。然而,如果认证过程是成功的,则可以开始安全计算会话。
因此,在操作4处,会话接口控制模块246创建安全计算会话。在创建会话之后,客户105能够访问并且使用资源(例如,诸如本地应用程序的本地资源、网络资源(不安全的资源和/或安全的资源)等)。会话停止锁定计时器开始于会话创建,并且资源所有者建立的频率包括对会话再验证计时器的支持。如上文所述,一些资源在它们被允许访问之前可要求配置某些终端设置。因此,会话接口控制模块246访问安全个人存储设备110的资源对象存储区236以确定并应用任何可应用的资源需求。这将在下文更详细地描述。
如果所选择的资源为网络资源(例如,网站),则定制的安全终端网络浏览器244用来连接到该资源。定制的安全终端网络浏览器244为能够访问安全网络资源和不安全的网络资源的网络浏览器。安全网络资源为那些没有针对个人便携式安全网络访问***100定制的并且被信任的网络资源。例如,一些网站可包括针对安全终端(诸如安全终端115A)具体定制的***分。不是安全终端的计算设备可能不能访问该***分。不安全的网络资源为那些不受信任的网络资源(例如,没有针对个人便携式安全网络访问***100定制的常规互联网网站)。举例而言,内容服务器120A允许使用***100安全访问网络资源。因此在操作5处,终端115A通过定制的安全终端网络浏览器244连接到内容服务器120A。
内容服务器120A包括浏览器识别模块250,以确定用于输入连接请求的网络浏览器的类型;属于安全终端浏览器的网络浏览器(诸如浏览器244)被定向到安全终端认证模块262,而其他网络浏览器(来自作为非安全终端的计算设备)被重定向到内容服务器120的不***分(这没有示出)。因此在操作6处,浏览器识别模块250确定用于输入连接请求的浏览器类型为定制的安全终端网络浏览器244。
安全终端认证模块262基于一个或多个加密密钥来认证安全终端。例如,安全终端115A和内容服务器120A交换加密密钥,以及当请求访问内容服务器120A时,安全终端115传送特定的加密密钥。安全终端115A的硬件安全逻辑270包括密钥存储区275,该密钥存储区275存储内容服务器和/或安全个人存储设备之间的加密密钥。如果安全终端115A不能被认证,则内容服务器120A将拒绝其访问(至少拒绝访问内容服务器120A的***分)。因此,在操作7,安全终端认证模块262针对安全终端115A执行认证过程。出于说明的目的,安全终端115A通过认证过程。
在认证安全终端115A之后的某时间,在操作8处,客户认证模块264根据针对安全个人存储设备标识符280,安全个人存储设备110上的(存储在资源对象存储区236中的)账号凭证是否与客户账号凭证存储区268中的账号凭证匹配来确定客户105(通过安全个人存储设备标识符280识别)是否被授权使用服务和/或访问所请求的内容。如果所述账号凭证匹配,则浏览器244被导向到该内容和/或服务,通常无需来自用户的进一步互动。当然,应该理解,内容服务器120A可以在任何时候要求生物识别认证以证实客户105的身份(例如,在完成金融交易之前等)。
如果在客户账号凭证存储区268中没有账号凭证(例如,这是客户105首次使用安全终端尝试访问内容服务器120A),则客户认证模块264可使一系列的问题显示给客户105,以证实他/她的身份并且如果客户105没有注册的话则以创建账号。在客户105已经证实他/她的身份之后,设备和客户关联模块266创建账号凭证并且将其与安全个人存储设备标识符280关联。接着可将所创建的账号凭证写入资源对象存储区236。因此在操作9处,账号凭证被写入资源对象存储区236。
当客户105从安全终端115A移除安全个人存储设备110时,安全计算会话终止。安全计算会话也可以以其它方式终止,这将在下文更详细地描述。在操作10处,客户105从安全终端115A移除安全个人存储设备110。硬件安全逻辑270确保,当安全个人存储设备110被移除时,安全终端115A的临时内存被永久地擦除。安全逻辑270包括内存擦除电子器件278,其用于当将安全个人存储设备110从安全终端115移除时永久地擦除安全终端115的临时内存。例如,内存擦除电子器件278将所有的值设置为零。此外,在一些实施方式中,硬件安全逻辑170含有防干扰的电子器件,使得如果设备被干扰(例如,安全终端115未经许可而被物理地打开的情形等),临时内存擦除电子器件278擦除安全终端115A的内存和密钥存储区275中的任何密钥。
图3为根据本发明的一个实施方式的示例性个人便携式安全网络访问***100。将参考图2的示例性实施方式描述图3的操作。然而,应该理解,可通过本发明的与参考图2讨论的实施方式不同的实施方式实现图3的操作,并且参考图2讨论的实施方式可以执行与参考图3讨论的实施方式不同的操作。
在框310处,安全终端115A掉电(或可替选地处于休眠状态中)。应该理解,在该状态中,安全终端115上没有存储客户数据或客户设置。流程从框310移动到框315,在框315中,客户105将安全个人存储设备110***安全终端115A。安全个人存储设备110的***完成了使安全终端的电源电路运作,这允许安全终端115A通电,如在框320中所指示的。控制从框320移到框325。
在框325处,安全终端115A开始初始化程序,该初始化程序包括启动其操作***和开始客户认证模块242。例如,在***安全个人存储设备110时,安全终端115A上的固件被激活,使得操作***启动以及认证模块242开始。应该理解,在未被认证的情况下,客户105不能使用安全终端115。控制从框325移到框330。
在框330处,认证模块242确定安全个人存储设备110是否适当地被格式化用于在安全终端115A中使用(例如,加密卷230和加密卷234以及它们的内容是否已在安全个人存储设备110上创建)。在一些实施方式中,安全终端115A接纳空白存储设备(例如,现货购买的未特别标识为安全个人存储器的存储设备)并且使它们格式化以允许在安全终端115A中使用。在一些实施方式中,客户可以购买预格式化的安全个人存储设备。如果安全个人存储设备110被正确地格式化,那么流程移动到框340,否则流程移动到框335,在框335中,该设备被格式化以用于在安全终端115中使用(例如,创建加密卷230和加密卷234等)。流程从框335移动到框340。
在框340处,认证模块242接下来确定生物识别训练是否已经在安全个人存储设备110上完成。例如,认证模块242可访问安全个人存储设备110的客户特定认证数据存储器232以确定是否存储了足够数量的生物识别样本来认证客户105。在一些实施方式中,安全个人存储设备110可包括被安全终端115接受的多个不同的生物识别样本类型。例如,如果在图书馆中使用安全终端115,则非语言的生物识别认证取代语言的生物识别认证可能是合适的。在一些实施方式中,客户105可以在生物识别认证机制之间选择。如果生物识别训练没有完成(至少对于所选择的生物识别认证机制而言),则流程移动到框345,在框345中,认证模块242启动生物识别认证训练应用程序;否则流程移动到框350,在框350中,认证模块242开始一个或多个生物识别挑战。
图4为示出根据一个实施方式的用于生物识别训练机制的示例性操作的流程图。将关于认证模块242描述图4的操作;然而应该理解,图4的操作可以由安全终端115A的不同的模块和/或逻辑来执行。
在框410处,认证模块242接收来自客户105的生物识别认证类型的选择以训练(例如,语音、视网膜扫描、笔迹分析、指纹分析等),并且流程移动到框415。当然应该理解,在一些实施方式中,没有给客户105用以选择生物识别认证的类型以训练的选项。也就是说,在一些实施方式中,安全终端115A需要针对一个或多个生物识别认证类型进行训练。在这样的实施方式中,不执行框410的操作。
安全终端115A可针对不同的生物识别认证类型而需要不同数量的生物识别样本。在框415处,针对所需要的生物识别样本的数量(或者如果客户105要求,则更多个),循环开始。流程随后移动到框420,在框420中,用挑战模式提示客户105。举例而言,该挑战可要求客户105阅读书的段落、写大量的字符或字、提供一个或多个指纹等。挑战模式可以以视觉的方式(例如,在安全终端115A的显示器上)和/或听觉的方式(例如,通过安全终端115A的扬声器)提示。控制从框420移到框425。
在框425处,认证模块242从生物识别输入流读取来自客户105的生物识别响应。流程随后移动到框430,在框430中,认证模块242基于该响应创建数字样本以与挑战提示关联。然后,流程移动到框435,在框435中,操作420-430将重复,直到完成所需数量(或者如果期望的话则更多数量)的挑战样本。当所述数量的挑战样本完成时,则流程移动到框440,在框440中,认证模块242创建生物识别样本并将其存储在安全个人存储设备110的客户特定认证数据存储器232中。流程从框440移动到框445,且生物识别训练完成。
应该理解,在允许访问之前,安全终端115A可要求客户105通过多种不同类型的生物识别认证。在这样的情况下,客户必须完成用于多种生物识别认证类型的训练。
在一个实施方式中,基本上在生物识别样本被存储在安全个人存储设备110的客户特定认证数据存储器232中稍后不久,安全终端115A清除其临时内存(例如,硬件安全逻辑170的内存擦除电子器件278清除安全终端115A的易失性内存)。在任何情况中,客户105的生物识别样本将不永久地存储在安全终端115A上。
返回参考图3,在框350处,认证模块242启动生物识别认证机制对客户105执行认证。图5为示出根据一个实施方式的用于生物识别认证机制的示例性操作的流程图。将关于认证模块242描述图5的操作;然而,应该理解,图5的操作可以由安全终端115A的不同的模块和/或逻辑实现。
在框510处,认证模块242接收来自客户105的生物识别认证类型的选择以用于认证,并且流程移动到框515。当然,应该理解,在一些实施方式中,没有给客户105用以选择生物识别认证的类型以用于认证目的的选项。也就是说,在一些实施方式中,在允许访问之前,安全终端115A要求一个或多个特定的生物识别认证机制成功地执行。在这样的实施方式中,不执行框510的操作。
如上文所述,安全终端115A可要求客户105通过多个生物识别挑战(用于单一的生物识别认证类型或用于多个生物识别认证类型)以得到认证。因此,在框515处,针对认证所需的数量的生物识别挑战,循环开始。流程随后移动到框520,在框520中,认证模块242从安全个人存储设备110的客户特定认证数据存储器232选择所选择或所需的生物识别认证类型中的生物识别挑战(例如,随机地)。流程从框520移动到框525,在框525中,利用所选择的生物识别挑战提示客户105。与关于生物识别训练的描述类似,生物识别挑战可以以视觉的方式(例如,在安全终端115A的显示器上)和/或听觉的方式(例如,通过安全终端115A的扬声器)提示。流程随后移动到框530。
在框530处,认证模块242从生物识别输入流读取来自客户105的生物识别响应。流程随后移动到框535,在框535中,认证模块242确定来自客户105的生物识别响应是否基本上匹配于在安全个人存储设备110的客户特定认证数据存储器232中存储的生物识别样本。如果生物识别输入基本上匹配,则客户105通过生物识别挑战并且流程移动到框545,在框545中,操作520-535重复,直到客户105通过所需数量的生物识别挑战。如果客户105通过所需数量的生物识别挑战,则流程移动到框550并且客户105得到认证以使用安全终端115A。
然而,如果客户105未通过生物识别挑战(生物识别输入基本上不匹配于存储的生物识别样本),则流程移动到框540,在框540中,采用替代的动作。例如,可将不同的生物识别挑战提示给客户105。然而,在一些实施方式中,在认证模块242确定客户105不是安全个人存储设备110的所有者/使用者之前,客户105具有有限数量的他/她可以不通过的生物识别挑战。在这样的情况下,安全终端115A可以立即断电并使其内存擦除。
因此,应该清楚,在***安全个人存储设备110时,只有以生物识别方式训练过安全个人存储设备110的客户才可以访问该存储设备并且能够使用安全终端115A。因此,如果安全个人存储设备110丢失或被盗,存储在该设备上的数据将不能被读取并且不能在任何安全终端中使用。
返回参考图3,在客户105被认证之后,流程移动到框355,在框355中,安全终端115创建安全计算会话,该安全计算会话允许客户105访问安全的资源和不安全的资源。例如,客户105可使用安全终端115A来发送或检索电子邮件、编写文档或其他的办公相关文件、播放音乐和/或视频文件、玩游戏等。应该注意,安全终端115A不能存储任何用户数据或其他设置(例如,应用程序设置、偏好等);该信息要求被存储在外部设备(例如,在基于网络的应用程序的情况下为内容服务器,安全个人存储设备110,其他可移除的存储设备等)上。
根据客户105已经访问什么样的资源(例如,安全的,不安全的等),安全计算会话可经受不同的安全级别。不同的安全级别也限制客户105当前可以使用什么样的服务/应用程序。例如,当计算会话处于最高的安全级别时,客户105可以访问安全的资源(例如,安全的互联网网站)和不安全的资源。与此相反,当计算会话处于最低的安全级别时,客户105不能访问安全的资源(例如,安全的互联网网站)并且不能保存任何在该计算会话期间产生的数据,直到计算会话被重新启动(其将参考图8更详细地描述)。
首先,将安全的计算会话设置为最高的安全级别,允许客户105访问安全的资源和不安全的资源,这由框360示出。流程随后移动到框365,在框365中,安全终端115基于当前安全级别为客户105显示若干不同的资源选项。这些资源选项可包括本地应用程序、网络应用程序、安全网站、不安全的网站等。这些选项可通过定制的终端网络浏览器244(或其他应用程序)显示给用户。
图12A-图12C示出用于为客户105显示资源选项的示例性用户界面。尽管图12A-图12C示出选项卡的具体表现,但应该理解,在不同的实施方式中,资源选项可以以不同的方式被显示或呈现给客户105。图12A-图12C各包括当前安全级别域1215、重新启动计算会话按钮1220、以及保存和退出按钮1225。当前安全级别域1215指示计算会话的当前安全级别。重新启动计算会话按钮1220允许客户105重新启动计算会话,其将参考图8更详细地描述。保存和退出按钮1225允许客户105保存在计算会话期间产生的数据(例如,保存到安全个人存储设备110)。如将参考图6更详细地描述的,如果当前安全级别不够,则客户105可能不能将数据保存到安全个人存储设备110。
图12A示出本地应用程序选项卡1210,其显示安全终端的一个或多个本地应用程序。在一个实施方式中,无论计算会话的当前安全级别如何,本地应用程序选项卡1210上显示的各个应用程序可以被使用。
图12B示出安全网络资源选项卡1240,其显示一个或多个安全的网络资源(例如,安全的互联网网站)。在一个实施方式中,安全网络资源选项卡1240显示一组一个或多个非针对客户105定制的默认安全网络资源(例如,安全的网络资源)(例如,客户105可能不具有与这些安全网络资源的一个或多个有关的账号),然而在其他的实施方式中,选项卡1240显示一组一个或多个针对客户105具体定制的安全网络资源(例如,其中客户105具有账号的那些安全网络资源)。例如,其中客户105具有账号的安全网络资源的名称和/或URL(统一资源定位符)可被存储在资源对象存储区236中。这些名称和/或链接可以显示在安全网络资源选项卡1240中。
如图12B中所示,安全网络资源选项卡1240包括安全通知窗口1245。当计算会话的安全级别不是足以访问所显示的安全网络资源的级别时,可以显示安全通知窗口1245。在一个实施方式中,为了提升安全级别,计算会话必须被重新启动。安全通知窗口1245警告客户105,所显示的资源要求高的安全级别,并且计算会话必须被重新启动。用户可以使用重新启动会话按钮1220以重新启动会话和/或移除安全个人存储设备110并且开始认证过程(例如,在图3的框315处开始)以重新启动会话。
图12C示出不安全的网络资源选项卡1250,其显示具有一个或多个不安全的网络资源的组。当计算会话安全级别为高时,不安全的网络资源选项卡1250可显示警告,该警告指示使用所显示的不安全的网络资源的任一个将导致安全级别降低。
还应该理解,客户105并非一定要从图12A-图12C中显示的资源中的一种资源进行选择。例如,客户105可进入在图12A-图12B中没有显示的网站地址。
返回参考图3,流程从框365移动到框370,在框370中,安全终端115A接收来自客户105的资源选项的选择(该资源选项必须符合当前安全级别)。根据当前安全级别,所选择的资源选项可以为安全的资源或不安全的资源。流程随后移动到框375,在框375中,根据针对所选择的资源选项的会话要求(如果有的话)配置安全终端115。
如上文所述,一些资源可要求配置某些安全终端设置或其他需求,作为连接的先决条件。例如,公司电子邮件资源可要求至公司电子邮件服务器的虚拟专用网络(VPN)连接。图9为示出根据一个实施方式的基于资源需求来动态地配置安全终端的示例性操作的流程图。将关于计算会话接口控制模块246描述图9的操作;然而,应该理解,图9的操作可以通过安全终端115A的不同的模块和/或逻辑执行。
图9的操作开始于框910,在框910中,计算会话接口控制模块246访问资源对象存储区236以读取对应于所选择的资源的资源对象包。流程随后移动到框915,在框915中,接口控制模块246确定资源是否规定特定的网络接口。例如,一些资源可要求来自特定的蜂窝供应商的蜂窝数据连接,而其他资源可要求通过特定网络供应商的Wi-Fi连接等。如果选择了特定的网络接口,则流程移动到框920,在框920中,接口控制模块246试图建立并且连接到所需的网络连接;否则流程移动到框925。流程从框920移动到框930,在框930中,确定网络接口连接是否成功。如果成功,则流程移动到框925;否则流程移动到框935并且采用替选的动作(例如,客户被告知不能访问所选择的资源)。
在框925处,接口控制模块246确定资源是否要求VPN或隧道传输。如果否,则流程移动到框945。如果是,则流程移动到框940,在框940中,安全终端115A尝试建立VPN连接或隧道传输并且流程移动到框950。在框950处,确定VPN连接或其他隧道技术是否成功。如果成功,则流程移动到框945,否则流程移动到框955,在框955中,采用替选的动作(例如,客户被告知,因为不能建立VPN连接或隧道,不能访问所选择的资源)。
在框945处,接口控制模块246确定资源是否规定其他的终端配置或设置(例如,防火墙设置、代理设置、年龄要求等)。例如,如上文所述,资源所有者可根据要求超过一定的年龄、低于一定的年龄、在一定的年龄范围内等而建立网站(或其他内容)。如果否,则流程移动到框965。如果是,则流程移动到框960,在框960中,接口控制模块246尝试配置所述其他设置并且流程移动到框970。例如,如果资源识别年龄要求,则会话接口控制模块246访问客户特定授权数据存储区232以确定其是否包括出生日期。在一个实施方式中,如果出生日期没有存储在数据存储区232上,客户105可仅访问一般内容。如果客户的出生日期在数据存储区232上,会话接口控制模块246确定客户是否满足年龄要求。在框970处,确定配置是否成功。如果成功,则流程移动到框965,否则流程移动到框935,在框935中,采取替选的动作(例如,客户被告知不能访问所选择的资源)。
在框965处,接口控制模块246确定资源是否用于本地应用程序(例如,媒体播放器、文字处理程序、电子邮件客户端等)。如果是,则流程移动到框975,在框975中,尝试加载该应用程序并且流程移动到框985。如果资源不是本地应用程序(例如,其为网站),则流程移动到框980,在框980中,安全终端定制的网络浏览器244被加载并且被导向资源的特定URL并且流程移动到框985。在框985处,确定应用程序(或者本地应用程序或者网络浏览器244)是否成功加载。如果该应用程序没有被成功加载,则流程移动到框955,在框955中,采用替选的动作;否则流程移动到框990,在框990中,安全终端115A连接到资源来源。
返回参考图3,在框375中根据用于所选择的资源选项的会话要求配置安全终端115A之后,流程随后移动到框380,在框380中,执行所选择的资源选项。选择的资源选项可以为通过安全终端定制的网络浏览器244访问的网络资源。
如上文所述,一些内容和/或服务供应商可通过使用本文中描述的安全***来提供安全内容和/或安全服务。图6为示出根据一个实施方式的使用图1的个人便携式安全网络访问***来访问网络内容的示例性操作的流程图。将参考图2的示例性实施方式描述图6的操作。然而,应该理解,图6的操作可以通过与参考图2讨论的实施方式不同的本发明的实施方式来执行,并且参考图2讨论的实施方式可以执行与参考图6讨论的实施方式不同的操作。
图6的操作开始于框610,在框610中,计算设备连接到内容服务器(例如,内容服务器120A)。内容服务器120A随后确定正用于所述连接的浏览器的类型。流程随后移动到框612,在框612中,内容服务器120A确定该连接是否来自定制的安全终端网络浏览器(并且因此来自安全终端诸如安全终端115A)。如果是,则流程移动到框614,否则流程移动到框616,在框616中,将不是安全终端的该计算设备重定向到内容服务器120A的不安全的部分。
在框614处,内容服务器120A向安全个人存储设备110请求安全个人存储设备标识符280。安全终端115A访问该标识符并且将其发送到内容服务器120A。流程随后移动到框618,在框618中,内容服务器120确定是否为安全个人存储设备标识符280分配了账号凭证(例如,用户名和密码或其他认证密钥)。例如,客户认证模块264访问客户账号凭证268以确定是否存在针对安全个人存储设
备标识符280的账号凭证。在一个实施方式中,直到客户105首次使用安全终端诸如安全终端115A访问内容服务器120A之后,账号凭证才会存在。如果有针对标识符280的账号凭证,则流程移动到框640;否则流程移动到框620。
在框620处,内容服务器120接收并显示来自客户安全问卷的答案以证实客户105的身份。例如,安全问卷可包括一系列个人问题,由于客户和内容服务器120的以前的业务关系,所述系列的个人问题已为内容服务器120所知(例如,祖母的婚前姓,第一个宠物等)。框620中的操作也可涉及个人账号辅助(例如,与客户服务代表的相互作用)。一旦满足客户的身份,则流程移动到框622,在框622中,确定客户对选择的资源是否具有访问权利(例如,客户105是否具有内容和/或服务供应商的账号)。例如,客户认证模块264访问客户账号272以确定客户105是否有访问权利。如果客户不具有访问权利,则流程移动到框624,在框624中,执行账号辅助。例如,客户被提供注册账号的选项等。如果客户具有访问权利,则流程移动到框626。
在框626处,内容服务器120A创建针对安全个人存储设备标识符280的账号凭证。在一个实施方式中,客户105将永远不会了解账号凭证的内容。账号凭证可以是用户名和密码或其他唯一认证密钥。流程从框626移动到框628,在框628中,创建的账号凭证被存储在内容服务器120A上(例如,在客户账号凭证268中)。作为存储创建的账号凭证的部分,将所述账号凭证与安全个人存储设备标识符280关联。流程从框628移动到框630。
在框630处,将创建的账号凭证写入安全个人存储设备110(例如,资源对象存储区236中)。因此,当客户105下一次使用安全个人存储设备110通过安全终端访问内容服务器120A时,内容服务器120A将从安全个人存储设备110检索出所产生的账号凭证并且自动地使客户105进入他/她的账号(通常无需进一步的用户互动)。因此,代替用户名和密码和/或个人识别号码(PIN),当访问需要访问认证的网络内容时(假定网络内容是安全的并且是个人便携式安全网络访问***的一部分),客户可以简单地使用安全个人存储设备110。因此,当使用个人便携式安全网络访问***中的安全个人存储设备110时,客户105不需要担心忘记用户名、密码等。流程从框630移动到框632,在框632中,安全终端115A重新初始化网络连接并且流程返回到框610。
返回参考框640(内容服务器120A已识别出针对安全个人存储设备标识符280的账号凭证),内容服务器120A向安全终端115A请求账号凭证并且从安全终端115接收到来自安全个人存储设备110的账号凭证(例如,存储在资源对象存储区236中)。流程随后移动到框642,在框642中,内容服务器120A(例如,认证模块264)确定来自安全个人存储设备110的账号凭证是否匹配于服务器120A的账号凭证(例如,存储在客户账号凭证268中)。如果所述凭证匹配,则流程移动到框648,在框648中,客户105被认证并且被清除账号访问。内容服务器120A可自动地使客户105进入他/她的账号。
如果所述凭证不匹配,则流程移动到框644,在框644中,服务器120A命令安全终端115A删除来自资源对象存储区236的那些账号凭证(它们随后被删除)。流程随后移动到框646,在框646中,服务器120A删除来自客户账号凭证存储区268的账号凭证和所述账号凭证与安全个人存储设备标识符280的关联。流程随后移动到框650,在框650中,客户105被告知,账号凭证是无效的并且安全个人存储设备110可能存在问题或者他们在内容服务器120A处的账号可能已经被盗用。
返回参考图3,在框380中的所选择的资源选项开始执行之后的某时间,流程移动到框385,在框385中,将安全级别调整到当前资源级别(如果需要的话)。例如,如果安全级别处于最高级别(允许不安全的资源访问和安全的资源访问)并且所执行的资源处于较低的级别,则安全级别将被调整为该较低的级别。在一些实施方式中,安全级别不能提高,直到计算会话被重新启动为止。流程从框385移动到框390,在框390中,防止需要更高安全级别的选项被访问。例如,在图12A-图12C的示例性用户界面中,那些选项可以变灰或不可选择或者不显示。流程从框390移回到框365。
在一个实施方式中,在经过一段时间而客户105没有与安全终端115A相互作用之后,安全终端115A可以被锁定或进入休眠模式,在这样的情况下,用于客户105的认证过期。因此,为了再次使用安全终端115A,客户105必须对安全终端115A再次授权。因此,如果认证超时发生或安全终端115进入休眠模式,如在图3中通过框395指示,如果客户105想要向安全终端115再次认证,则控制移到框330。
客户105可在操作期间的任何时刻从安全终端115A移除安全个人存储设备110。如上文所述,这将导致安全计算会话终止(如果存在安全计算会话的话)并且安全终端115A的临时内存被清除,使得与客户105关联的数据的痕迹不保留在安全终端115A上。在一些情况中,客户105也可以选择重新启动安全计算会话而不移除安全个人存储设备110(例如,当前安全级别防止访问所需的网络资源,发生的认证超时,等)。
图8为示出根据本发明的一个实施方式的用于终止安全计算会话的示例性操作的流程图。将参考图2的示例性实施方式描述图8的操作。然而,应该理解,图8的操作可以通过本发明的与参考图2讨论的实施方式不同的实施方式执行,并且参考图2讨论的实施方式可以执行与参考图8讨论的实施方式不同的操作。
在框810处,在安全终端115A上检测到会话终止动作事件。这可以是客户启动的会话终止动作事件(例如,客户105可能想要重新启动会话)或安全终端115A启动的会话终止事件(例如,已经发生认证超时)。流程从框810移动到框820。在框815中,客户105A(或其他用户)已经从安全终端115A移除安全个人存储设备110。流程也从框815移动到框820。
在框820处,通过电子器件使安全终端***内存(例如,RAM)变成空白,使得与客户105A关联的数据的痕迹没有保留或无法检索到。例如,内存擦除电子器件278通过将所有的值设置为零来永久地擦除安全终端***内存。流程从框820移动到框830,在框830中,确定安全个人存储设备110是否在安全终端115A内。如果是,则流程移回到图3的框325,在框325中,开始认证模块242以允许客户105向安全终端115A重新认证。如果安全个人存储设备110没有在安全终端115A中,则流程移动到框835,在框835中,终端断电。
在计算会话期间可产生数据。例如,客户105可创建文档、保存书签等。如上文所述,如果当前安全级别允许,则该数据可以被保存到安全个人存储设备110上(例如,用户数据存储区238中)。例如,如果客户105浏览不安全的网络资源(例如,不受信任的网站),则在允许客户105将数据存储到他/她的安全个人存储设备110上可具有一定程度的风险(例如,如果数据包括病毒、恶意软件或其他恶意数据)。因此,在一个实施方式中,除非当前安全级别允许写入,否则安全终端115A防止向个人存储设备110进行写入。在一些实施方式中,在计算会话期间的任一时刻,客户105可尝试将数据保存到安全个人存储设备110。
图7为示出根据本发明的一个实施方式的用于处理数据保存请求的示例性操作的流程图。将参考图2的示例性实施方式描述图7的操作。然而,应该理解,图7的操作可以通过本发明的与参考图2讨论的实施方式不同的实施方式执行,并且参考图2讨论的实施方式可以执行与参考图7讨论的实施方式不同的操作。
在框710处,在安全终端115A上检测到会话保存动作事件。在一个实施方式中,仅客户可启动保存事件,而在其他的实施方式中,安全终端115A可启动保存事件(例如,当将账号凭证写到安全个人存储设备110中时)。流程从框710移动到框720,在框720中,确定当前安全级别是否允许保存到安全个人存储设备110。如上文所述,一些安全级别可能不允许向安全个人存储设备110进行写入。如果允许保存,则流程移动到框730,在框730中,会话数据被保存到安全个人存储设备110(例如,在用户数据存储区238中)。如果不允许保存,则流程移动到框740,在框740中,采用替选的动作(例如,客户105被告知,因当前安全级别不能保存数据)。
图10为示出客户105在用于多个网络服务供应商的多个网络接口之间进行选择的示例性操作的流程图。例如,客户105可具有用于多个无线服务供应商的账号。这对于旅行者来说尤其常见。操作开始于框1010处,在框1010中,安全终端115A从安全个人存储设备110检索出客户105订购的网络供应商。例如,可用的网络供应商的列表可以被存储在资源对象存储区236中。流程随后移动到框1020,在框1020中,安全终端115A针对可用的运营商信号扫描其网络接口。安全终端115A还将网络接口的列表显示给客户105。流程随后移动到框1030,在框1030中,安全终端115A接收来自客户105的对于所述可用的订购的运营商中的一个运营商的选择。然后,流程移动到框1040,在框1040中,安全终端115A针对所选择的运营商配置文件更改其配置。流程从框1040移动到框1050。
在框1050处,安全终端115A使用用于该运营商的客户凭证连接到至该运营商的所选择的网络接口。客户凭证被存储在资源对象存储区236中。流程随后移动到框1060,在框1060中,安全终端115A更新包括会话锁定超时的计算会话偏好。例如,不同的网络供应商(和不同的网络接口)可具有不同的会话闭锁计时器和如上文参照图9描述的其他计算会话偏好。在计算会话偏好被更新之后,流程移动到框1070,在框1070中,启动电话应用程序(或使用运营商的网络的其他应用程序)。
因此,本发明的实施方式允许客户在无线服务供应商之间动态切换而不需要用于各个无线服务供应商的的独立的硬件设备,诸如不同的SIM(用户身份识别)卡。
图11为示出根据本发明的一个实施方式的资源所有者提供资源要求的示例性操作的流程图。将参照图2的示例性实施方式描述图11的操作。然而,应该理解,图11的操作可通过本发明的与参照图2所讨论的实施方式不同的实施方式执行,并且参照图2所讨论的实施方式可以执行与参照图11讨论的实施方式不同的操作。
图11的操作开始于框1110,在框1110中,资源所有者设置用于他们的网络的安全配置文件***偏好,如果需要安全传输的话则安全配置文件***偏好包括PKI密钥。在一个实施方式中,安全配置文件***偏好包括可以访问资源所有者的网络的安全终端115A的核准的本地应用程序和VPN客户端应用程序。安全配置文件***偏好可以以分层的文件夹结构表示。流程从框1110移动到框1115,在框1115中,为资源所有者呈现出用于资源特定安全终端会话配置的大量的选项和输入域。例如,选项和输入域可包括VPN设置、代理设置、防火墙设置等中的一个或多个。流程从框1115移动到框1120。在框1120处,为资源所有者呈现用于客户会话需求(例如,会话计时器、再验证计时器、年龄证实等)的大量的选项和输入域。
在选择终端配置需求和客户认证需求之后,流程移动到框1125,在框1125中,资源所有者启动对象包以传输到安全个人存储设备110。流程从框1125移动到框1130,在框1130中,创建配置文档和支持文档的压缩存档。应该理解,在一些实施方式中,压缩是可选的。流程从框1130移动到框1135,在框1135中,确定资源是否为可公共访问的资源。如果不是可公共访问的资源,则流程移动到框1140,在框1140中,用服务器的私人PKI密钥加密存档,并且该存档附带有其公共PKI凭证。如果其为可公共访问的资源,则流程移动到框1145,在框1145中,用服务器的私人PKI密钥加密存档(安全终端115A具有公共的PKI凭证)。流程从框1140和框1145移动到框1150,在框1150中,包被置于注册服务器上以和如上文所述的账号凭证一起分配给安全个人存储设备110。
图13为示出可以在本发明的一些实施方式中使用的示例性计算机***的框图。例如,计算机***1300的示例性架构可被包括在安全终端115A中。应该理解,尽管图13示出计算机***的各种部件,但目的并不是代表使部件互连的任何具体架构或方式,这是由于这样的细节与本发明关系不大。应该理解,具有较少部件或较多部件的其他计算机***也可以与本发明一起使用。
如图13中所示,计算机***1300是一种形式的数据处理***,其包括总线1350,总线1350与处理***1320、电源1325、存储器1330和非易失性存储器1340(例如,硬盘驱动器、闪存存储器和相变存储器(PCM)等)联接。总线1350可通过本领域中公知的各种桥接件、控制器和/或适配器而互相连接。处理***1320可从存储器1330和/或非易失性存储器1340检索指令,并且执行这些指令以进行如上文所述的操作。总线1350将上述部件互连到一起并且还将这些部件互连至可选扩展坞(dock)1360、显示控制器&显示设备1370、输入/输出设备1080(例如,NIC(网络接口卡)、光标控制(例如,鼠标、触摸屏和触摸板等)、键盘等)、可移除的安全个人存储设备1385(例如,安全个人存储设备110)和可选的无线收发器1090(例如,蓝牙、WiFi和红外等)。
可选的扩展坞1360可以被用作至***设备的桌上型连接。这允许安全终端115在被置于扩展坞1360中时取代个人计算机塔的所有功能中的大多数功能。当与扩展坞1360一起使用时,安全终端115还可以将电影发送到大屏幕高清晰度的电视机或其他设备。
可以使用在一个或多个电子设备(例如,安全终端和内容服务器等)上存储和执行的代码和数据来实现图中所示的技术。这样的电子设备使用机器可读的媒介存储和传输(在内部传输和/或经过网络而与其他电子设备传输)代码和数据,机器可读的媒介诸如机器可读的存储媒介(例如,磁盘、光盘、随机存取存储器、只读存储器、闪存存储设备、相变存储器)和机器可读的传输媒介(例如,电、光、声音或其他形式的传播信号–诸如载波、红外信号、数字信号等)。此外,这样的电子设备通常包括一组联接到一个或多个其他部件的一个或多个处理器,所述一个或多个其他部件诸如一个或多个存储设备、用户输入/输出设备(例如,键盘、触摸屏和/或显示器)以及网络连接。该组处理器和其他部件的联接通常通过一个或多个总线和桥接件(也被称为总线控制器)。存储设备和携带网络通信量的信号分别表示一个或多个机器可读的存储介质和机器可读的传输介质。因此,给定电子设备的存储设备通常存储用于在该电子设备的一个或多个处理器的组上执行的代码和/或数据。当然,可以使用软件、固件和/或硬件的不同的组合实现本发明的实施方式的一部分或多个部分。
尽管已经关于认证用户以用于网络访问的安全终端和安全个人存储设备描述了本发明的实施方式,但实施方式并不限于此。安全终端使用安全个人存储设备认证用户的用途可提供认证和/或为用户提供安全访问以:使用设备或机器、访问硬件、访问网站、访问网络、开门或进入房间、使用ATM、从事交易、访问并使用安全数字媒介内容(电影、音乐等)。
在一些实施方式中,安全个人存储设备包括资源对象,该资源对象允许安全个人存储设备充当选民登记卡、驾驶执照、票(例如,运动会或演出的票)、交易卡(例如,银行业务)等。
为了说明本文中描述的***的使用的示例,电影工作室可具有在图12中示出的界面上的安全站点。该工作室可以列出他们正出售的所有的电影片名和电影价格。工作室可以对他们的电影分类,即,新发布影片、冒险和喜剧等。工作室在他们的站点上可以具有预告片和评论。安全终端用户(例如,客户105)可注册娱乐账号,并且用户名和密码将被存储在他们的安全个人存储设备上。该账号将允许用户保存所购买的所有电影的列表(电影库)。随后该用户可以从他们的电影库将任何电影下载到他们的安全个人存储设备上并且每个电影观看多少次都行。可以直接在该安全终端上或通过扩展坞1360在另一显示器上观看电影。
尽管附图中的流程图示出本发明的一些实施方式所执行的操作的特定顺序,然而应该理解,这样的顺序为示例性的(例如,可替选的实施方式可以以不同的顺序执行、将某几个操作组合、重复某几个操作等)。
尽管已根据一些实施方式描述本发明,但本领域的技术人员可以理解,本发明不限于所描述的实施方式,在所附的权利要求的精神和范围内,可以带有改动和变型来实施本发明。因此,本说明书被视为示例性的而非限制性的。