TWI575387B - 安全同步裝置、方法及其電腦程式產品 - Google Patents
安全同步裝置、方法及其電腦程式產品 Download PDFInfo
- Publication number
- TWI575387B TWI575387B TW103122793A TW103122793A TWI575387B TW I575387 B TWI575387 B TW I575387B TW 103122793 A TW103122793 A TW 103122793A TW 103122793 A TW103122793 A TW 103122793A TW I575387 B TWI575387 B TW I575387B
- Authority
- TW
- Taiwan
- Prior art keywords
- agent
- space
- item
- isolation space
- operating system
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 43
- 238000004590 computer program Methods 0.000 title claims description 13
- 238000002955 isolation Methods 0.000 claims description 72
- 230000001360 synchronised effect Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 3
- 238000009434 installation Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 19
- 238000007726 management method Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 2
- 125000006850 spacer group Chemical group 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/178—Techniques for file synchronisation in file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/18—Legal services
- G06Q50/184—Intellectual property management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Tourism & Hospitality (AREA)
- Technology Law (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Primary Health Care (AREA)
- Marketing (AREA)
- Human Resources & Organizations (AREA)
- Operations Research (AREA)
- General Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Description
本發明係關於一種安全同步裝置、方法及其電腦程式產品;更具體而言,本發明係關於一種用於配置一隔離空間之安全同步裝置、方法及其電腦程式產品。
隨著科技之快速發展,現今人們傾向於使用電子裝置(例如:電腦、數位照相機等)來記錄各種種類之資訊。於此同時,隨著不同類型之資料儲存媒體(例如:外接可攜式硬碟、通用串列匯流排(universal serial bus;USB)磁碟、儲存伺服器等)之出現,人們可輕易地複製及/或備份電子物件(例如:檔案、資料夾等)。
由企業的角度觀之,一企業之雇員所創建及接收之電子物件屬於該企業之智慧財產。因此,當電子物件愈易於被複製及/或備份時,企業之智慧財產也就愈容易被洩露。為了保護智慧財產,已有一些相關的技術被研發出來,例如:遠端桌面服務(remote desktop service)、基於網路之編輯工具(web-based editing tools)及數位版權管理(digital right management)等技術。以下將簡潔闡述各該技術。
就遠端桌面服務技術而言,客戶端裝置上必須安裝遠端桌面客戶端應用程式。在該客戶端裝置上,當遠端桌面伺服器運作時,使用者可透過遠端桌面客戶端應用程式於另一遠端機器上查看甚至控制桌面工作階段(desktop session)。遠端桌面服務提供安全的環境,在該環境中能夠藉由一網路控制工作階段之方式執行幾乎所有應用程式及對應功能。然而,遠端桌面服務依賴於使用之通訊協定(protocol),且其可能表現不佳並大量地消耗網路頻寬。當網路出現擁塞狀況時,遠端桌面服務之效能將巨幅地下降。就基於網路之編輯工具而言,相較於傳統編輯工具,其支援之資料類型較少且具有之功能亦較少。對於蘋果iTunes商店(Apple’s iTunes store)、谷歌Play商店(Google’s Play store)等所用之數位版權管理(digital right management;DRM),只有真正封閉的平台方可保護電子物件及資源。然而,當真正封閉平台之控制策略造成使用受數位版權管理保護之應用程式上之不便時,使用者將會抗拒使用此類數位版權管理技術。
綜上所述,諸如遠端桌面服務、基於網路之編輯工具及數位版權管理等技術皆具有其缺陷。因此,本領域仍亟需一種能夠輕易地複製及/或備份電子檔案並保護智慧財產之技術。
本發明之一目的在於提供一種安全同步裝置,其係包含一儲存單元、一介面以及一處理單元。該介面經由一網路而電性連接至一儲存伺服器。該處理單元電性連接至該儲存單元及該介面。該處理單元用以執行一作業系統,且執行安裝於該作業系統上之一代理程式(agent program)。該代理程式於該儲存單元中配置一隔離空間,並經由該介面而於該隔離空間與該儲存伺服器之間同步一物件。該隔離空間僅能由安裝於該作業系統上之該代理程式識別,且位於該隔離空間中之該物件僅能經由該代理程式存取。
本發明之另一目的在於提供一種用於一電子裝置之安全同步方法。該電子裝置經由一網路而電性連接至一儲存伺服器。該安全同步方法包含以下步驟:(a)執行一作業系統,(b)執行安裝於該作業系統上之一代理程式,(c)由該代理程式於該電子裝置中配置一隔離空間,以及(d)由該代理程式經由該介面而於該隔離空間與該儲存伺服器之間同步一物件。該隔離空間僅能由安裝於該作業系統上之該代理程式識別,且位於該隔離空間中之該物件僅能經由該代理程式存取。
本發明之再一目的在於提供一種電腦程式產品,其係包含複數個程式指令。經由一電子裝置載入該電腦程式產品後,該電子裝置執行該等程式指令以執行一安全同步方法。該電子裝置經由一網路而電性連接至一儲存伺服器。該安全同步方法包含以下步驟:(a)執行一作業系統,(b)執行安裝於該作業系統上之一代理程式,(c)由該代理程式於該電子裝置中配置一隔離空間,以及(d)由該代理程式經由該介面而於該隔離空間與該儲存伺服器之間同步一物件。該隔離空間僅能由安裝於該作業系統上之該代理程式識別,且位於該隔離空間中之該物件僅能經由該代理程式存取。
簡言之,本發明具有安裝於一作業系統上並於該作業系統上執行之一代理程式。該代理程式配置一隔離空間,並於該隔離空間與一儲存伺服器之間同步任何物件。該隔離空間僅能由安裝於該作業系統上之該代理程式識別,故儲存於該隔離空間中之任何物件僅能經由該代理程式存取。因此,該隔離空間可被視為用於儲存物件之一安全空間,且可達成該隔離空間與該儲存伺服器間之安全同步。
此外,該代理程式能夠監測儲存於該隔離空間中之物件之每一輸入/輸出操作,因此該代理程式可防止對儲存於該隔離空間中之該(等)物件執行一未被授權之輸入/輸出操作。如此一來,可達成智慧財產管理。此外,使用者仍可於一客戶端裝置上享受由安裝於作業系統上之應用程式所提供之多種功能。
以下結合附圖闡述本發明之詳細技術及較佳實施例,俾使本發明所屬技術領域中具有通常知識者能理解所請求保護之發明之特徵。
1‧‧‧安全同步系統
10‧‧‧隔離空間
11‧‧‧安全同步裝置
13‧‧‧網路
15‧‧‧儲存伺服器
30‧‧‧擴展空間
102‧‧‧作業系統
104‧‧‧代理程式
106‧‧‧物件
108‧‧‧物件
111‧‧‧處理單元
113‧‧‧介面
115‧‧‧儲存單元
202‧‧‧隔離物件列表
204‧‧‧過濾列表
310‧‧‧應用程式
312‧‧‧物件
S501、S503、S505、S507、S509‧‧‧步驟
S611、S613、S615‧‧‧步驟
S711、S713、S715、S717‧‧‧步驟
S811、S813‧‧‧步驟
S911、S913、S915‧‧‧步驟
第1圖係描繪本發明第一實施例之系統之示意圖;
第2圖係描繪本發明第二實施例之系統之示意圖;
第3圖係描繪本發明第三實施例之系統之示意圖;
第4圖係描繪本發明第四實施例之系統之示意圖;
第5圖係描繪本發明第五實施例之安全同步方法之流程圖;
第6圖係描繪本發明第六實施例之安全同步方法之流程圖;
第7圖係描繪本發明第七實施例之安全同步方法之流程圖;
第8圖係描繪本發明第八實施例之安全同步方法之流程圖;以及
第9圖為根據本發明第九實施例之安全同步方法之流程圖。
以下將透過實施例來解釋安全同步裝置、方法及其電腦程式產品。然而,該等實施例並非用以限制本發明需在如該等實施例所述之任何環境、應用或方式方能實施。因此,關於實施例之說明僅為闡釋本發明之目的,而非用以限制本發明之範圍。應理解,在以下實施例及圖式中,與本發明非直接相關的元件已省略而未繪示。
本發明之一第一實施例為一用於安全同步之系統1,其示意圖係描繪於第1圖中。系統1包含一安全同步裝置11、一網路13以及一儲存伺服器15。安全同步裝置11包含一處理單元111、一介面113以及一儲存單元115。處理單元111電性連接至介面113及儲存單元115,且介面113經由網路13而電性連接至儲存伺服器15。
處理單元111可為各種處理器、中央處理單元(central processing unit;CPU)、微處理器或本發明所屬技術領域中具有通常知識者所知之其他計算裝置其中之任一者。介面113可為任何能夠經由各種網路接收並傳送訊號之介面。儲存單元115可為一記憶體、一通用串列匯流排(USB)碟、一硬碟、一光碟(compact disk;CD)、一隨身碟、一磁帶、一資料庫或本發明所屬技術領域中具有通常知識者所知且具有相同功能之任何其他儲存媒體或電路。
處理單元111執行一作業系統102,且執行安裝於作業系統102上之一代理程式104。換言之,代理程式104於作業系統102之上運作,且代理程式104位於作業系統102之上一層。代理程式104於儲存單元115中配置一隔離空間10。應強調者,於作業系統102之上,隔離空間10僅能由代理程式104識別。因此,在安全同步裝置11中,任何安裝於作業系統102上之其他應用程式皆無法知悉隔離空間10之存在。
代理程式104經由介面113於隔離空間10與儲存伺服器15之間同步任何物件,其中一物件可為一檔案或一資料夾。具體而言,當有需要時(例如:當一物件已被修改或創建時、到達一預定時間時,等等),代理程式104可將一物件自隔離空間10同步至儲存伺服器15,或將一物件自儲存伺服器15同步至隔離空間10。舉例而言,使用者可經由代理程式104而於隔離空間10中創建一物件106,然後代理程式104再將物件106自隔離空間10同步至儲存伺服器15。再舉例而言,代理程式104判斷隔離空間10中不存在物件108之複本,故代理程式104將物件108自儲存伺服器15同步至隔離空間10。
由於隔離空間10僅能由安裝於作業系統102上之代理程式104識別,故任何儲存於隔離空間10中之物件(包含物件106、物件108)僅能經由代理程式104存取。因此,隔離空間10可被視為用於儲存物件之一安全空間,且可達成安全同步裝置11與儲存伺服器15間之安全同步。
在某些實施例中,代理程式104可進一步地藉由監測儲存於隔離空間10中之物件之每一輸入/輸出操作而防止對儲存於隔離空間10中之該(等)物件(包含物件106、物件108)執行一未被授權之輸入/輸出操作。一未被授權之輸入/輸出操作係指將一物件自隔離空間10傳送及/或複製至一未被授權之目的地之一輸入/輸出操作,例如將儲存於隔離空間10中之一物件附加至一電子郵件、將儲存於隔離空間10中之一物件複製至一通用串列匯流排磁碟等。由於代理程式104監測儲存於隔離空間10中之物件之每一輸入/輸出操作,故代理程式104能夠達到:(a)攔截一欲存取儲存於隔離空間10中之一物件之輸入/輸出操作,(b)判斷該輸入/輸出操作未被授權,以及(c)基於該判斷結果而忽略該未被授權之輸入/輸出操作。
舉例而言,代理程式104攔截一欲存取儲存於隔離空間10中之物件106之輸入/輸出操作,並根據該輸入/輸出操作判斷出物件106之目的地。代理程式104判斷該目的地是否為一被授權之目的地。若該目的地為一被授權之目的地,則代理程式104將容許該輸入/輸出操作存取物件106。相反的,若該目的地為一未被授權之目的地,則代理程式104忽略該未被授權之輸入/輸出操作。應注意,不同使用者/企業可能會需要不同之安全等級,故未被授權之目的地及未被授權之輸入/輸出操作可因情形而異。
簡言之,代理程式104於儲存單元115中配置一隔離空間10,並經由介面113於隔離空間10與儲存伺服器15之間同步任何物件。由於任何儲存於隔離空間10中之物件僅能經由代理程式104存取,故隔離空間10可被視為用於儲存物件之一安全空間,且可達成安全同步裝置11與儲存伺服器15間之安全同步。此外,藉由監測儲存於隔離空間10中之物件之每一輸入/輸出操作,代理程式104能夠防止對儲存於隔離空間10中之該(等)物件執行一未被授權之輸入/輸出操作,故可達成智慧財產之管理。
關於本發明之一第二實施例,請參照第2圖。在第二實施例中,安全同步裝置11能夠執行與第一實施例所述者相同之操作,具有與第一實施例所述者相同之功能,且能達成與第一實施例所述者相同之結果。因此,以下說明僅闡述第二實施例與第一實施例不同之處。
在本實施例中,隔離空間10更儲存有一隔離物件列表202,隔離物件列表202用於記錄與儲存於隔離空間10中之各物件相關之一資訊。每一資訊可為一物件之一名稱、一物件之一目錄或任何可唯一地辨識一物件之資訊。當一物件被創建或修改時,物件之資訊可被記錄至隔離物件列表202。舉例而言,在一使用者經由代理程式104創建物件之後,代理程式104將物件106之名稱記錄於隔離物件列表202中。再舉例而言,在代理程式104將物件108自儲存伺服器15同步至隔離空間10之後,代理程式104將物件108之名稱記錄於隔離物件列表202中。如此一來,代理程式104能夠以有效率之方式獲知並識別儲存於隔離空間10中之確切的物件。
在本實施例中,隔離空間10亦儲存有一過濾列表204。過濾列表204記錄至少一個關於被授權操作及/或未被授權操作之規則。因此,在代理程式104攔截一欲存取儲存於隔離空間10中之一物件之輸入/輸出操作之後,代理程式104根據過濾列表204中之至少一個規則判斷該輸入/輸出操作係為一被授權之操作或為一未被授權之操作。
需說明者,儘管本實施例中之隔離空間10中儲存了隔離物件列表202及過濾列表204二者,但在某些其他實施例中,依使用者/企業所要求之方案而定,隔離空間10中可能未儲存隔離物件列表202或可能未儲存過濾列表204。
透過上述說明可知,第二實施例針對安全同步及智慧財產之管理提供了一更加細緻化之運作機制。
關於本發明之一第三實施例,請參照第3圖。在第三實施例中,安全同步裝置11能夠執行與第一實施例所述者相同之操作,具有與第一實施例所述者相同之功能,且能達成與第一實施例所述者相同之結果。因此,在以下說明中,僅闡述第三實施例與第一實施例不同之處。
在本實施例中,處理單元111更執行安裝於作業系統102上之一應用程式310。應用程式310並不知曉隔離空間10之存在,故無法直接存取儲存於隔離空間10中之物件(包含物件106、物件108)。然而,應用程式310可經由代理程式104而存取儲存於隔離空間10中之物件。當代理程式104自應用程式310接收對一物件(例如:物件106)之一存取請求時,代理程式104更於隔離空間10中供應該物件至應用程式310。舉例而言,一使用者可經由代理程式104瀏覽儲存於隔離空間10中之物件,然後經由一滑鼠點擊一特定物件(例如:物件106,其可為一微軟Word文件)。在此種情況下,代理程式104自應用程式310(例如:微軟Word應用程式)接收對此特定物件(例如:物件106)之一存取請求,然後於隔離空間10中供應該物件至應用程式310。請注意,上述範例並非用以限制本發明之範圍。應用程式可藉由其他方式而經由代理程式104存取儲存於隔離空間10中之物件。
有時儲存於隔離空間10中之物件會被修改(例如:使用者經由應用程式310編輯物件106)。當任何儲存於隔離空間10中之物件(例如:物件106)被修改時,代理程式104將判斷該(等)物件已被修改,儲存修改後之該物件於隔離空間10中,並經由介面113將修改後之該物件自隔離空間10同步至儲存伺服器15。
有時代理程式104將另一物件312儲存於隔離空間10之外,且位於儲存單元115之內。舉例而言,使用者透過應用程式310經由代理程式104修改儲存於隔離空間10中之物件106,再將修改後之該物件儲存於隔離空間10之外且位於儲存單元115之內,作為物件312。儲存有物件312之空間被視為一擴展空間30。當發生此類情形時,擴展空間30僅能由安裝於作業系統102上之代理程式104識別,且位於擴展空間30中之物件312僅能經由代理程式104存取。
需說明者,擴展空間30為可擴展的。當代理程式104再次地將另一(其他)物件(未繪示)儲存於隔離空間10之外且位於儲存單元115之內時,擴展空間30即被擴展。擴展空間30被擴展成包含儲存物件312及另一(其他)物件之空間。被擴展後之擴展空間30仍僅能由安裝於作業系統102上之代理程式104識別,且位於被擴展後之擴展空間30中之物件312及另一(其他)物件亦僅能經由代理程式104存取。
藉由將代理程式104安排在介於應用程式310與儲存於隔離空間10之物件之間,應用程式310可在代理程式104之控制下存取儲存於隔離空間10中之物件。由於應用程式310對儲存於隔離空間10中之物件之任何存取皆受到代理程式104之監測,故可防止任何欲存取儲存於隔離空間10中之物件之未被授權之操作。此外,代理程式104所監測之空間為可擴展的,更為使用者提供了更多靈活性。
關於本發明之一第四實施例,請參照第4圖。在第四實施例中,安全同步裝置11能夠執行與第三實施例所述者相同之操作,具有與第三實施例所述者相同之功能,且能達成與第三實施例所述者相同之結果。因此,在以下說明中,僅闡述第四實施例與第三實施例不同之處。
在本實施例中,隔離空間10更儲存有一隔離物件列表202及一過濾列表204。簡言之,隔離物件列表202用於記錄與儲存於隔離空間10及擴展空間30中之每一物件相關之一資訊,俾使代理程式104能夠以一有效率之方式獲知並識別出儲存於隔離空間10及擴展空間30中之確切的物件。如在第三實施例中所詳細闡述的,擴展空間30之範圍可藉由對儲存於隔離空間10及/或擴展空間30中之物件執行操作而被擴展。因此,每當擴展空間30之範圍發生變化時,隔離物件列表202皆將被代理程式104相應地更新。過濾列表204記錄至少一個關於被授權操作及/或未被授權操作之規則。因此,代理程式104可相應地判斷一被攔截之輸入/輸出操作係為一被授權之操作或是一未被授權之操作。由於隔離物件列表202及過濾列表204之內容及作用已於第二實施例中予以詳述,故不再對其予以贅述。
類似地,儘管本實施例中之隔離空間10儲存了隔離物件列表202及過濾列表204二者,但在某些其他實施例中,依使用者/企業所要求之方案而定,隔離空間10中可能未儲存隔離物件列表202或可能未儲存過濾列表204。
藉由以上說明可知,第四實施例為安全同步及智慧財產之管理提供了一更為細緻化及靈活之機制。
本發明之一第五實施例為一種安全同步方法,其流程圖係描繪於第5圖中。該安全同步方法用於一電子裝置(例如:第一實施例及第二實施例中之安全同步裝置11)。該電子裝置經由一網路電性連接至一儲存伺服器。
首先,電子裝置執行步驟S501,以執行該電子裝置中之一作業系統。之後,電子裝置執行步驟S503,以執行安裝於該作業系統上之一代理程式。接下來,代理程式執行步驟S505,以於電子裝置中配置一隔離空間。應注意,在步驟S505中配置之隔離空間僅能由安裝於作業系統上之代理程式識別。
接著,代理程式執行步驟S507,以經由介面而於隔離空間與儲存伺服器之間同步一物件。該物件可為一檔案或一資料夾。該同步動作可為自隔離空間至儲存伺服器之同步,或自儲存伺服器至隔離空間之同步。舉例而言,當一使用者於另一步驟(未繪示)中經由代理程式而於隔離空間中創建一物件時,代理程式執行步驟S507以將該物件自隔離空間同步至儲存伺服器。再舉例而言,當代理程式執行另一步驟(未繪示)以判斷隔離空間中不存在儲存於儲存伺服器中之一物件之複本時,步驟S507將該物件自儲存伺服器同步至隔離空間。如上所述,隔離空間僅能由安裝於作業系統上之代理程式識別,因此位於隔離空間中之物件僅能經由代理程式存取。
接下來,代理程式執行步驟S509,將與物件相關之一資訊記錄於一隔離物件列表中,其中該隔離物件列表儲存於該隔離空間中。與物件相關之資訊可為任何能夠唯一地辨識物件之資訊。藉由隔離物件列表,代理程式能夠以一有效率之方式獲知並識別儲存於隔離空間中之確切的物件。然而,需說明者,在某些其他實施例中可省略步驟S509。
除上述步驟外,第五實施例亦能執行第一實施例及第二實施例所描述之所有操作及功能。所屬技術領域具有通常知識者可直接瞭解第五實施例如何基於上述第一實施例及第二實施例以執行此等操作及功能,故不贅述。
本發明之一第六實施例係為一種安全同步方法,其流程圖係描繪於第6圖中。該安全同步方法用於一電子裝置(例如:第一實施例及第二實施例中之安全同步裝置11)。該電子裝置經由一網路電性連接至一儲存伺服器。
在本實施例中,該安全同步方法先執行步驟S501至S509,該等步驟之細節不再贅述。接下來,代理程式執行步驟S611,判斷物件已被修改。接著,代理程式執行步驟S613,儲存被修改之該物件於隔離空間中。之後,代理程式執行步驟S615,經由介面將被修改之該物件自隔離空間同步至儲存伺服器。
除了上述步驟,第六實施例亦能執行第一實施例及第二實施例所描述之所有操作及功能。所屬技術領域具有通常知識者可直接瞭解第六實施例如何基於上述第一實施例及第二實施例以執行此等操作及功能,故不贅述。
本發明之一第七實施例為一種安全同步方法,其流程圖係描繪於第7圖中。該安全同步方法用於一電子裝置(例如:第一實施例及第二實施例中之安全同步裝置11)。該電子裝置經由一網路電性連接至一儲存伺服器。
在本實施例中,該安全同步方法執行步驟S501至S509,該等步驟之細節不再贅述。接下來,代理程式監測物件之每一輸入/輸出操作,藉此代理程式能防止一未被授權之輸入/輸出操作被執行於該物件。更具體而言,代理程式執行步驟S711,攔截一欲存取物件之輸入/輸出操作。接著,代理程式執行步驟S713,判斷該輸入/輸出操作是否被授權。若代理程式判斷該輸入/輸出操作為被授權者,則代理程式執行步驟S715以容許該被授權之輸入/輸出操作。相反的,若代理程式判斷該輸入/輸出操作為未被授權者,則代理程式執行步驟S717,忽略該未被授權之輸入/輸出操作。
在某些其他實施例中,隔離空間可儲存有一過濾列表。該過濾列表記錄至少一個關於被授權之操作及/或未被授權之操作之規則。因此,步驟S713根據過濾列表中之該至少一個規則而判斷輸入/輸出操作為被授權者或未被授權者。
除了上述步驟,第七實施例亦能執行第一實施例及第二實施例所描述之所有操作及功能。所屬技術領域具有通常知識者可直接瞭解第七實施例如何基於上述第一實施例及第二實施例以執行此等操作及功能,故不贅述。
本發明之一第八實施例為一種安全同步方法,其流程圖係描繪於第8圖中。該安全同步方法用於一電子裝置(例如:第三實施例中之安全同步裝置11)。該電子裝置經由一網路電性連接至一儲存伺服器。
在本實施例中,該安全同步方法執行步驟S501至S509,該等步驟之細節不再贅述。之後,代理程式執行步驟S811,儲存另一物件於一擴展空間中。該擴展空間位於隔離空間之外,且位於電子裝置之內。應注意者,該擴展空間僅能由安裝於作業系統上之代理程式識別,且儲存於該擴展空間中之另一物件僅能經由代理程式存取。請注意,該擴展空間為可擴展的。當步驟S811被重複地執行(一次或多次)以將再一(些)物件儲存於隔離空間之外且位於電子裝置之內時,擴展空間便被擴展。擴展空間被擴展成包含用於儲存步驟S811中所提及之所有物件之空間。被擴展後之擴展空間仍僅能由安裝於作業系統上之代理程式識別,且儲存於被擴展後之擴展空間中之物件僅能經由代理程式存取。
接下來,代理程式執行步驟S813,將與儲存於擴展空間中之物件相關之一資訊記錄於隔離物件列表中。由於擴展空間之範圍可被擴展(如在步驟S811中所述),故每當擴展空間之範圍發生變化時(亦即,每當重複步驟S811時),隔離物件列表將被代理程式相應地更新。
除了上述步驟,第八實施例亦能執行第三實施例所描述之所有操作及功能。所屬技術領域具有通常知識者可直接瞭解第八實施例如何基於上述第三實施例以執行此等操作及功能,故不贅述。
本發明之一第九實施例為一種安全同步方法,其流程圖係描繪於第9圖中。該安全同步方法用於一電子裝置(例如:第三實施例及第四實施例中之安全同步裝置11)。該電子裝置經由一網路電性連接至一儲存伺服器。
在本實施例中,該安全同步方法執行步驟S501至S509,該等步驟之細節不再贅述。接著,電子裝置執行步驟S911,執行作業系統之上之一應用程式。接下來,代理程式執行步驟S913,自該應用程式接收物件之一存取請求。然後,代理程式執行步驟S915,於隔離空間中供應第一物件至該應用程式。
除了上述步驟,第九實施例亦能執行第三實施例及第四實施例所描述之所有操作及功能。所屬技術領域具有通常知識者可直接瞭解第九實施例如何基於上述第三實施例及第四實施例以執行此等操作及功能,故不贅述。
此外,本發明所屬技術領域中具有通常知識者應理解,某些其他實施例可將上述步驟S501至S509、S611至S615、S711至S717、S811至S813以及S911至S915整合於一個實施例中,故此處不再贅述具體細節。
第五實施例至第九實施例中所闡述之安全同步化方法各可由具有複數個指令之一電腦程式產品實現。各電腦程式產品 可為能被於網路上傳輸之檔案,亦 可被儲存於一非暫態電腦可讀取儲存媒體中。 針對各電腦程式產品, 在其所包含之該等指令被載入至一電子裝置(例如:第一實施例至第四實施例中之安全同步化裝置11)之後,該電腦程式產品執行第五實施例至第九實施例其中之一所述之安全同步化方法。該非暫態電腦可讀取儲存媒體可為一電子產品,例如:一唯讀記憶體(read only memory;ROM)、一快閃記憶體、一軟碟、一硬碟、一光碟(compact disk;CD)、一隨身碟、一磁帶、一可由網路存取之資料庫或本發明所屬技術領域中具有通常知識者所知且具有相同功能之任何其他儲存媒體。
綜上所述,本發明具有安裝於一作業系統上並於該作業系統上執行之一代理程式。該代理程式配置一隔離空間,並於該隔離空間與一儲存伺服器之間同步任何物件。該隔離空間僅能由安裝於該作業系統上之代理程式識別,故儲存於該隔離空間中之任何物件僅能經由該代理程式存取。因此,隔離空間可被視為用於儲存物件之一安全空間,且可達成隔離空間與儲存伺服器間之安全同步。
此外,代理程式藉由監測儲存於隔離空間中之物件之每一輸入/輸出操作而防止對該(等)物件執行一未被授權之輸入/輸出操作。由於儲存於隔離空間中之物件無法被複製及備份至一未被授權之目的地,故可達成智慧財產之管理。
此外,任何於作業系統之上運作之應用程式皆不知曉隔離空間及儲存於其中之物件之存在。儘管如此,於作業系統之上運作之應用程式可經由代理程式而存取儲存於隔離空間中之物件。因此,相較於先前技術(例如:遠端桌面服務、基於網路之編輯工具及數位版權管理),就智慧財產管理之達成而言,藉由本發明之技術,使用者可享受由客戶端裝置(例如:第一實施例至第四實施例中之安全同步裝置11)所供應之應用程式所提供之多種功能,且所消耗之網路頻寬較小。
上述實施例僅用來例舉本發明的部分實施態樣,以及闡釋本發明的技術特徵,但並非用來限制本發明的保護範疇。任何熟悉此技術者可輕易完成的改變或均等性的安排均屬於本發明所主張的範圍,而本發明的權利保護範圍以申請專利範圍為準。
國內寄存資訊【請依寄存機構、日期、號碼順序註記】
國外寄存資訊【請依寄存國家、機構、日期、號碼順序註記】
S501、S503、S505、S507、S509、S711、S713、S715、S717‧‧‧步驟
Claims (21)
- 【第1項】一種安全同步裝置,包含:
一儲存單元;
一介面,經由一網路電性連接至一儲存伺服器;以及
一處理單元,電性連接至該儲存單元及該介面,用以執行一作業系統,且執行一安裝於該作業系統上之一代理程式(agent program),該代理程式於該儲存單元中配置一隔離空間,且經由該介面於該隔離空間與該儲存伺服器之間同步一第一物件;
其中,該隔離空間僅能由安裝於該作業系統上之該代理程式識別,且位於該隔離空間中之該第一物件僅能經由該代理程式存取。 - 【第2項】如請求項1所述之安全同步裝置,其中該代理程式於該隔離空間中創建該第一物件,且該第一物件係被該代理程式經由該介面自該隔離空間同步至該儲存伺服器。
- 【第3項】如請求項1所述之安全同步裝置,其中該第一物件係被該代理程式經由該介面自該儲存伺服器同步至該隔離空間。
- 【第4項】如請求項1所述之安全同步裝置,其中該處理單元更執行該作業系統之上之一應用程式,該代理程式更自該應用程式接收對該第一物件之一存取請求,且該代理程式於該隔離空間中供應該第一物件至該應用程式。
- 【第5項】如請求項4所述之安全同步裝置,其中該代理程式更判斷該第一物件已被修改,儲存修改後之該第一物件於該隔離空間中,且經由該介面將修改後之該第一物件自該隔離空間同步至該儲存伺服器。
- 【第6項】如請求項1所述之安全同步裝置,其中該代理程式藉由監測每一欲存取該第一物件之輸入/輸出操作而防止對該第一物件執行一未被授權之輸入/輸出操作。
- 【第7項】如請求項1所述之安全同步裝置,其中該代理程式更攔截一欲存取該第一物件之輸入/輸出操作,判斷該輸入/輸出操作未被授權,並忽略未被授權之該輸入/輸出操作。
- 【第8項】如請求項7所述之安全同步裝置,其中該隔離空間儲存有一過濾列表(filtering list),且該代理程式根據該過濾列表來判斷該輸入/輸出操作未被授權。
- 【第9項】如請求項1所述之安全同步裝置,其中該代理程式更於一擴展空間(extended space)中儲存一第二物件,該擴展空間位於該隔離空間之外且位於該儲存單元之內,該擴展空間僅能由安裝於該作業系統上之該代理程式識別,且位於該擴展空間中之該第二物件僅能經由該代理程式存取。
- 【第10項】如請求項1所述之安全同步裝置,其中該隔離空間儲存有一隔離物件列表,且與該第一物件相關之一資訊被記錄於該隔離物件列表中。
- 【第11項】一種用於一電子裝置之安全同步方法,該電子裝置經由一網路電性連接至一儲存伺服器,該安全同步方法包含以下步驟:
執行一作業系統;
執行安裝於該作業系統上之一代理程式;
由該代理程式於該電子裝置中配置一隔離空間;以及
由該代理程式經由該介面而於該隔離空間與該儲存伺服器之間同步一第一物件;
其中,該隔離空間僅能由安裝於該作業系統上之該代理程式識別,且位於該隔離空間中之該第一物件僅能經由該代理程式存取。 - 【第12項】如請求項11所述之安全同步方法,更包含以下步驟:
由該代理程式於該隔離空間中創建該第一物件;
其中,該同步步驟係將該第一物件自該隔離空間同步至該儲存伺服器。 - 【第13項】如請求項11所述之安全同步方法,其中該同步步驟係藉由該代理程式而將該第一物件自該儲存伺服器同步至該隔離空間。
- 【第14項】如請求項11所述之安全同步方法,更包含以下步驟:
執行該作業系統之上之一應用程式;
由該代理程式自該應用程式接收該第一物件之一存取請求;以及
由該代理程式於該隔離空間中供應該第一物件至該應用程式。 - 【第15項】如請求項14所述之安全同步方法,更包含以下步驟:
由該代理程式判斷該第一物件已被修改;
由該代理程式儲存修改後之該第一物件於該隔離空間中;以及
由該代理程式經由該介面將修改後之該第一物件自該隔離空間同步至該儲存伺服器。 - 【第16項】如請求項11所述之安全同步方法,更包含以下步驟:
由該代理程式藉由監測該第一物件之每一輸入/輸出操作而防止對該第一物件執行一未被授權之輸入/輸出操作。 - 【第17項】如請求項11所述之安全同步方法,更包含以下步驟:
由該代理程式攔截一欲存取該第一物件之輸入/輸出操作;
由該代理程式判斷該輸入/輸出操作未被授權;以及
由該代理程式忽略未被授權之該輸入/輸出操作。 - 【第18項】如請求項17所述之安全同步方法,其中該隔離空間儲存有一過濾列表,且該判斷步驟根據該過濾列表來判斷該輸入/輸出操作未被授權。
- 【第19項】如請求項11所述之安全同步方法,更包含以下步驟:
由該代理程式於一擴展空間中儲存一第二物件;
其中,該擴展空間位於該隔離空間之外且位於該電子裝置之內,該擴展空間僅能由安裝於該作業系統上之該代理程式識別,且位於該擴展空間中之該第二物件僅能經由該代理程式存取。 - 【第20項】如請求項11所述之安全同步方法,其中該隔離空間儲存有一隔離物件列表,且與該第一物件相關之一資訊被記錄於該隔離物件列表中。
- 【第21項】一種電腦程式產品,經由一電子裝置載入該電腦程式產品後, 該電子裝置執行該電腦程式產品所包含之複數個程式指令,以執行 一安全同步方法,該電子裝置經由一網路電性連接至一儲存伺服器,該安全同步方法包含以下步驟:
執行一作業系統;
執行安裝於該作業系統上之一代理程式;
由該代理程式於該電子裝置中配置一隔離空間;以及
由該代理程式經由該介面而於該隔離空間與該儲存伺服器之間同步一第一物件;
其中,該隔離空間僅能由安裝於該作業系統上之該代理程式識別,且位於該隔離空間中之該物件僅能經由該代理程式存取。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/292,901 US9552365B2 (en) | 2014-05-31 | 2014-05-31 | Secure synchronization apparatus, method, and non-transitory computer readable storage medium thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201544968A TW201544968A (zh) | 2015-12-01 |
| TWI575387B true TWI575387B (zh) | 2017-03-21 |
Family
ID=54701981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103122793A TWI575387B (zh) | 2014-05-31 | 2014-07-02 | 安全同步裝置、方法及其電腦程式產品 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9552365B2 (zh) |
| CN (1) | CN105279454B (zh) |
| TW (1) | TWI575387B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10402308B2 (en) * | 2015-12-09 | 2019-09-03 | Sap Se | Sandboxing for custom logic |
| US9967139B2 (en) * | 2015-12-15 | 2018-05-08 | Quanta Computer Inc. | Remote zone management of JBOD systems |
| US20210182054A1 (en) * | 2019-12-16 | 2021-06-17 | Intuit Inc. | Preventing unexpected behavior in software systems due to third party artifacts |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200507571A (en) * | 2003-06-06 | 2005-02-16 | Microsoft Corp | Architecture for connecting a remote client to a local client desktop |
| TW200807986A (en) * | 2006-07-17 | 2008-02-01 | Acer Inc | Remote data transmission system and method |
| CN101964798A (zh) * | 2010-10-15 | 2011-02-02 | 德讯科技股份有限公司 | 基于远程桌面协议的多图形协议统一代理*** |
| US20130060842A1 (en) * | 2011-08-21 | 2013-03-07 | World Software Corporation | Remote desktop and data management system |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3526435B2 (ja) * | 2000-06-08 | 2004-05-17 | 株式会社東芝 | ネットワークシステム |
| EP1233333A1 (en) | 2001-02-19 | 2002-08-21 | Hewlett-Packard Company | Process for executing a downloadable service receiving restrictive access rights to al least one profile file |
| US6826662B2 (en) | 2001-03-22 | 2004-11-30 | Sony Computer Entertainment Inc. | System and method for data synchronization for a computer architecture for broadband networks |
| US7464067B2 (en) * | 2002-04-10 | 2008-12-09 | Hotbutton Solutions Inc. | Object monitoring and management system |
| US7370066B1 (en) | 2003-03-24 | 2008-05-06 | Microsoft Corporation | System and method for offline editing of data files |
| US7908653B2 (en) | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
| US8266378B1 (en) * | 2005-12-22 | 2012-09-11 | Imation Corp. | Storage device with accessible partitions |
| US7702692B2 (en) | 2006-02-16 | 2010-04-20 | Oracle International Corporation | Method and apparatus for preventing unauthorized access to computer system resources |
| US7979891B2 (en) | 2006-05-09 | 2011-07-12 | Oracle International Corporation | Method and system for securing execution of untrusted applications |
| CN101523342A (zh) * | 2006-08-07 | 2009-09-02 | 查查检索有限公司 | 用于分支组搜索的方法、***和计算机可读存储器 |
| BRPI0714273A2 (pt) * | 2006-08-07 | 2014-10-29 | Chacha Search Inc | "método para prover uma busca de grupo de interesse, mídia de armazenamento que pode ser lida por computador, sistema de busca de informações para prover a busca de informações para prover a busca do grupo de interesse executado por buscadores humanos, mídia de armazenamento que pode ser lida por computador para controlar para controlar um computador que inclui um registro do grupo de interesse, mídia de armazenamento que pode ser lida por computador para controlar um computador que inclui um registro do buscador do grupo de interesse, mídia de armazenamento que pode ser lida por computador para controlar um computador que inclui um registro da autorização do grupo de interesse e interface" |
| US8448255B2 (en) | 2008-07-14 | 2013-05-21 | Apple Inc. | Secure file processing |
| US8224934B1 (en) | 2009-03-09 | 2012-07-17 | Netapp, Inc. | Running third party applications as embedded agents in a storage management server |
| US8627451B2 (en) | 2009-08-21 | 2014-01-07 | Red Hat, Inc. | Systems and methods for providing an isolated execution environment for accessing untrusted content |
| US8224796B1 (en) | 2009-09-11 | 2012-07-17 | Symantec Corporation | Systems and methods for preventing data loss on external devices |
| US8190947B1 (en) * | 2010-02-11 | 2012-05-29 | Network Appliance, Inc. | Method and system for automatically constructing a replica catalog for maintaining protection relationship information between primary and secondary storage objects in a network storage system |
| US8666944B2 (en) * | 2010-09-29 | 2014-03-04 | Symantec Corporation | Method and system of performing a granular restore of a database from a differential backup |
| US8468600B1 (en) | 2011-03-04 | 2013-06-18 | Adobe Systems Incorporated | Handling instruction received from a sandboxed thread of execution |
| US8528083B2 (en) | 2011-03-10 | 2013-09-03 | Adobe Systems Incorporated | Using a call gate to prevent secure sandbox leakage |
-
2014
- 2014-05-31 US US14/292,901 patent/US9552365B2/en active Active
- 2014-07-02 TW TW103122793A patent/TWI575387B/zh active
- 2014-07-22 CN CN201410349746.3A patent/CN105279454B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200507571A (en) * | 2003-06-06 | 2005-02-16 | Microsoft Corp | Architecture for connecting a remote client to a local client desktop |
| TW200807986A (en) * | 2006-07-17 | 2008-02-01 | Acer Inc | Remote data transmission system and method |
| CN101964798A (zh) * | 2010-10-15 | 2011-02-02 | 德讯科技股份有限公司 | 基于远程桌面协议的多图形协议统一代理*** |
| US20130060842A1 (en) * | 2011-08-21 | 2013-03-07 | World Software Corporation | Remote desktop and data management system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105279454B (zh) | 2017-12-22 |
| US20150347448A1 (en) | 2015-12-03 |
| TW201544968A (zh) | 2015-12-01 |
| US9552365B2 (en) | 2017-01-24 |
| CN105279454A (zh) | 2016-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6336675B2 (ja) | 複数の異種データ管理システムからの情報資産メタデータを集約するためのシステム及び方法 | |
| JP6216886B2 (ja) | リンク解除されたデバイスにおける未同期コンテンツ・アイテムの管理技術 | |
| US8930423B1 (en) | Method and system for restoring encrypted files from a virtual machine image | |
| US20180121672A1 (en) | Restricting access to content | |
| US10740190B2 (en) | Secure data protection and recovery | |
| US9251187B2 (en) | Metadata-driven version management service in pervasive environment | |
| US9740583B1 (en) | Layered keys for storage volumes | |
| WO2013151899A1 (en) | Device pinning capability for enterprise cloud service and storage accounts | |
| CN108351922B (zh) | 对受保护的文件应用权利管理策略的方法、***以及介质 | |
| EP3416081B1 (en) | Digital forensics system | |
| EP3103048A1 (en) | Content item encryption on mobile devices | |
| KR102037656B1 (ko) | 데이터 파일들 보호 | |
| WO2018170608A1 (en) | Systems and methods for multi-region data center connectivity | |
| US9977912B1 (en) | Processing backup data based on file system authentication | |
| TWI575387B (zh) | 安全同步裝置、方法及其電腦程式產品 | |
| US20140236898A1 (en) | System and method for facilitating electronic discovery | |
| US10102204B2 (en) | Maintaining access control lists in non-identity-preserving replicated data repositories | |
| US20140215209A1 (en) | Enterprise distributed free space file system | |
| TWI528210B (zh) | 同步裝置、方法及其電腦程式產品 | |
| US10938919B1 (en) | Registering client devices with backup servers using domain name service records | |
| EP2816499B1 (en) | Multi-layer data security | |
| US10824748B2 (en) | Method and system for low overhead control/status handshake for remote shared file server | |
| Kirkbride et al. | Hardware Details and/dev | |
| JP2016042341A (ja) | バックアップシステム | |
| JP2019135577A (ja) | 制御プログラム、制御方法及び情報処理装置 |