安全地使用公共服务以实现私人或企业目的的方法和系统

摘要

本发明涉及一种安全地使用公共服务以实现私人或企业目的的方法和系统。公开了一种用于为企业处理内容的方法、系统、装置和计算机程序。所述方法包括：使用至少一个企业策略审查要通过数据通信网络发送到公共服务的内容，以便判定所述内容是否包括安全数据；以及响应于标识安全数据，修改要发送到所述公共服务的所述内容，使得在所述公共服务处呈现所述内容时，在视觉上感觉不到安全数据的存在。所述修改步骤可以包括以隐写方式将所述安全数据或指向所述安全数据的链接嵌入诸如图像数据之类的容器。

说明书

技术领域

本发明的示例性实施例一般地涉及公共和专用通信网络、企业网络、 消费者网络、社交媒体站点、基于云的服务，并且涉及用于例如通过使用 隐写、加密和基于令牌的技术隐藏通过通信网络发送的内容的技术。

背景技术

公司以及一般意义上的企业越来越多地将其部分或全部信息技术 （IT）外包给供应商，并且更多地依赖源于企业外部的产品。IT发展成消 费者领域形成一种趋势：其中企业希望利用现有消费者服务以实现企业目 的，同时保持作为大多数企业软件的特征的高度管理和安全性。作为一个 非限制性实例，企业可能希望依靠商用在线存储供应商存储全部企业业务 内容而不是托管它们自己的内容服务器，但仍然能够管理和跟踪数据，犹 如将数据存储在内部存储设备上那样。依赖供应商可靠执行这些任务以达 到满意的程度时，将承担一定的风险，并且在不同方之间需要大量通信以 便确保建立和维护适当的服务水平。

发明内容

在一个方面，本发明提供一种用于为企业处理内容的方法。所述方法 包括：使用至少一个企业策略审查要通过数据通信网络发送到公共服务的 内容，以便判定所述内容是否包括安全数据；以及响应于标识安全数据， 修改要发送到所述公共服务的所述内容，使得在所述公共服务处呈现所述 内容时，在视觉上感觉不到安全数据的存在。

在进一步方面，本发明提供一种用于为企业处理内容的系统。所述系 统包括：至少一个数据处理器；至少一个计算机可读介质，其存储可由所 述至少一个数据处理器执行的软件程序指令；以及到数据通信网络的至少 一个接口。在所述系统中，所述软件程序指令的执行导致执行操作，所述 操作包括：使用至少一个企业策略审查要通过数据通信网络发送到公共服 务的内容，以便判定所述内容是否包括安全数据；以及响应于标识安全数 据，修改要经由所述至少一个接口发送到所述公共服务的所述内容，使得 在所述公共服务处呈现所述内容时，在视觉上感觉不到安全数据的存在。

附图说明

图1示出一个合适的和示例性的虚拟私有企业（VPE）模型的概览图， 其中企业用户经由其相应的网络访问企业服务和公共服务；

图2示出可如何通过VPE系统管理客户端对网络的访问的一个非限制 性实例的概览图；

图3提供使用两个示例性公共服务操作的图2中所示的VPE管理器的 概览图；

图4提供用于图3中所示的社交媒体服务的示例性令牌化方案的概览 图；

图5示出其中一组协作者使用VPE系统安全地共享在公共服务上发布 的文档的情况；

图6示出用于解释通过图2中所示的VPE管理器令牌化安全内容的本 发明方法的逻辑流程图；

图7示出用于解释在VPE管理器处恢复令牌化后的安全内容的本发明 方法的逻辑流程图；

图8示出体现为能够实现本发明实施例的数据处理系统时的图2的 VPE网关/VPE管理器的一个合适实施例的框图；

图9示出根据本发明的不同实施例的方法的一个非限制性实例。

具体实施方式

使用本发明的不同示例性实施例使能创建至少一个虚拟私有企业 （VPE），其中公开可用的消费者服务可以由企业使用，但管理和安全水 平高于通常在消费者空间中需要的水平。使用本发明的实施例使能将与消 费者服务的交互视为虚拟分区，其中可以独立于个人活动而管理企业相关 活动。这种管理可以包括使用跟踪、集成到企业相关系统和安全性。

本发明的实施例可以至少部分地实现为软件中间件，其能够在企业和 供应商服务之间代理请求。软件中间件代理的一个目的是增加供应商服务 的操作透明度，并且针对其中需要保持数据机密性的情况提供某种水平的 保护。在该服务的一个实例中，企业可以依赖一个或多个第三方存储提供 商，这些提供商在存储业务数据方面可能可信，也可能不可信。在该非限 制性实例中，本发明的一个方面是提供基于客户端和服务器的工具以便透 明地拦截企业和第三方存储提供商之间的通信。根据适当的一个或多个策 略，本发明可以通过加密或者借助某种其它技术保护数据。

虚拟化的另一个实例是跟踪消费者服务的使用。例如，企业员工可以 使用社交媒体站点。本发明可以拦截源于企业中对该社交媒体站点的请求， 并且修改请求以便反映相关交互与企业相关的事实。例如，向某个社交媒 体站点发布帖子的员工可以具有应用于员工的工作相关帖子的标签，以使 其它员工更容易查找工作相关帖子。在这种情况下，帖子例如可以涉及安 排会议、或者协作审查正在进行的文档、或者任何企业工作相关的活动。 机密信息可以在发布之前被加密，并且该数据可以被解密并由企业员工读 取，但不能由社交媒体站点的公共用户读取。

服务水平协议（SLA）也可以利用本发明，方法是允许更密切监视第 三方服务而无需来自第三方IT管理人员的干预。这通过使得客户能够确 保第三方提供适当的服务水平，提高透明度。这可以扩展以便允许客户配 置服务的某些方面。作为一个实例，企业可以请求将与以前员工或已终止 项目相关的数据存档并存储在比较便宜的存储装置中。

当企业（例如盈利组织、非盈利组织或政府机构）可能需要将其企业 网络扩展到在因特网上运行的消费者服务时，本发明的实施例实例尤其有 用。公共服务（例如公共网络以及可通过公共网络到达的社交媒体站点） 通常不可信，这将阻止使用这些服务以实现企业目的。本发明的实施例通 过允许在具有某些隐私保护保证的情况下将安全内容发送到公共服务，解 决此问题和其它问题。本发明的实施例超出了使用简单加密，而是采用令 牌化方法，该方法允许将安全企业内容与公共服务无缝集成，即使针对未 被授权查看安全企业内容的那些用户也是如此。例如，安全企业内容可以 存在，但以向未授权查看者隐藏实际安全内容的格式无缝集成到公共服务 中。本发明的实施例可以利用多个通道，企业用户可以采用这些通道，通 过跨通道对数据进行分区实现协作以便进一步提高安全性。

因特网已发展成一种用于构建许多人可以使用的大规模服务的平台。 开发人员可以轻松并廉价地构建和部署能够向上扩展到数百万个用户的应 用，同时将基础架构的管理遗留给第三方供应商。全面部署的服务（例如 在线商店和社交媒体站点）不断发展以支持十亿个以上的用户，并且轻松 地由非技术用户使用。某些第三方供应商扮演双重角色：它们既是大型电 子商务站点，也是在构建大规模系统中利用其专业知识的应用平台提供商。

许多企业现在发现，利用这种容易获得的廉价计算基础架构具有吸引 力。企业现在将其至少某些IT、某些需要外包给这些第三方供应商，而不 是承担建立和运营内部计算环境的成本和风险，这些第三方供应商能够降 低成本，至少因为它们能够利用规模经济。例如，某种提供的电子邮件的 品牌版本越来越受到大学和企业的欢迎，这些大学和企业不希望运营它们 自己的内部电子邮件基础架构。

但是，这种外包IT发展趋势的更广泛应用和适应存在障碍。希望将 其部分或全部运营移动到所谓“云”的那些企业的一个严重障碍是有关安 全性和信任的问题。第三方服务供应商在处理机密信息方面不一定可信。 此外，某些第三方供应商可能提出服务条款，这些服务条款明确行使用户 上传到服务的任何数据的所有权。

研究和行业领域持续努力以开发各种技术，以便允许依靠不可信提供 商存储数据。某些技术并未广泛应用于实践中，因为它们产生增加的存储 和访问要求。在混淆数据方面进行的更多实际尝试主要集中于加密。例如， 具有多种建议用于加密用户生成的内容，该内容发布到社交媒体站点，其 中仅具有适当加密密钥的那些用户可以读取该内容。在这种情况下，即使 对于服务提供商而言，数据也仅显示为混乱文本。

本发明的实施例提供改进的技术以便利用不可信服务提供商实现企业 使用，由此将企业IT基础架构扩展到基于云的服务，这些基于云的服务 可能不直接由企业管理。本发明的实施例允许形成虚拟私有企业（VPE） 网络，其中可以将企业IT功能与公共服务无缝集成。不同于需要管理员 访问底层服务提供商平台（例如虚拟机实例）的先前建议，本发明的实施 例涉及使用仅使得高级用户接口可用的那些消费者/公共服务（例如社交媒 体站点）。

图1示出一个合适的和示例性的VPE模型的概览图，其中企业用户1 经由其相应的网络2A和3A访问企业服务2和公共服务3。虽然防火墙4 通常将两个服务分开，但允许数据自由地从企业服务2传递到公共服务3 （尽管采用转换后的状态），以便当数据在企业网络2A的外部时保护数 据。企业用户1可以使用作为VPE基础架构一部分提供的VPE工具，从 公共服务3检索数据并且读取/修改数据。

本发明的一个方面是能够保持用户体验。与简单使用数据加密相反， 使用本发明的实施例允许将企业内容无缝集成到消费者公共服务中。例如， 可以使用基于令牌的方案将用户从公共服务3重定向到企业内容。进一步 通过实例，本发明的实施例可以将企业内容存储在公共服务上并且使用隐 写技术，以便针对非企业用户隐瞒和隐藏内容的公共表示。

本发明的实施例还可以利用存在于许多社交媒体站点中的社交网络以 便提高安全性。在一个实施例中，可以使用秘密共享将企业内容发送给一 组人，由此仅当在社交图中连接该组的某一数量人员（但可能少于所有人 员）时，才可对内容进行解密。

VPE系统管理客户端对网络的访问。图2示出可如何实现这种系统的 一个非限制性实例的概览图。在图2中，客户端10连接到网络以便发送和 接收内容。某些内容是安全的，并且应仅可由VPE网络中的其它客户端查 看。其它内容是不安全的（即，公共的）。客户端10具备VPE监视器12， 其用作策略实施点（PEP）或策略实施节点（PEN）。VPE监视器12负 责评估客户端10希望通过网络发送的内容，并且负责判定是否应将内容转 发到VPE网关14。VPE网关14根据一个或多个策略，确定要在处理内容 之前针对内容采取的一个或多个正确动作。注意，该操作在某些方面类似 于虚拟专用网络（VPN），其允许客户端在位于企业网络防火墙的外部时， 通过隧道进入企业网络。但是，不同于VPN，VPE不仅管理连接，而且 还管理客户端10与企业网络外部的公共服务3（在企业防火墙4的另一侧） 之间的更高级交互。

安装在客户端10处的监视器12可以采取多种可能的形式。例如，采 用类似于VPN客户端的方式，监视器12可以安装在客户端10的操作系 统（OS）级别，并且因此可以能够监视客户端机器（例如，客户端工作站、 或个人计算机、或便携式计算机、或平板计算机、或智能电话等）上的所 有活动。作为另一个非限制性实例，监视器12可以嵌入单个应用中，并且 因此可以仅监视该特定应用的使用。作为另一个非限制性实例，VPE监视 器12可以实现为用户在访问公共服务之前安装的浏览器插件。如果用户例 如访问社交媒体站点，则浏览器插件可以拦截页面加载，并且使用新输入 字段替换部分或全部输入字段，这一新输入字段使得用户能够输入安全和 不安全的数据，例如，可以将单个文本字段分成两个文本字段，一个用于 安全数据，一个用于不安全数据。备选地，可以在部分或全部文本字段的 旁边添加复选框，用户可以复选该复选框以便指示输入到关联文本字段中 的内容表示安全内容。

一旦监视器12基于至少一个企业策略确定内容是安全内容，它就将内 容转发到VPE网关14。VPE管理器16位于网关14处或以其它方式与网 关14通信。VPE管理器16负责在将安全内容发送到公共服务3（例如， 发送到社交媒体站点）之前，针对安全内容应用正确转换。转换依赖于企 业策略，并且可以由某个适当的企业权威人员（例如首席信息官（CIO）） 建立。作为一个策略实例，CIO可以指定上传到某个消费者服务文件共享 存储装置/系统的所有文档必须应用AES128加密并且不大于200MB。另 一个策略实例是发布到社交媒体站点的所有文本（携带机密企业信息）均 应被令牌化（下面描述），并且应被封装在某个图像（例如显示企业标志 的图像）中。可以使用隐写技术（有时也称为“水印”或“数字水印”） 将机密企业信息嵌入图像中，以便查看图像的普通人在视觉上感觉不到该 信息。

VPE管理器16应用正确转换之后，它可以将安全数据存储在网关14 本地的某个数据储存库（存储器）18中，然后将表示数据的令牌发送到公 共服务3。注意，这并非严格需要，因为令牌内容本身可以包含以某种方 式加密的安全内容，以使未授权用户不可能查看内容。但是，为了提供与 公共服务3的更无缝集成，可以以隐瞒加密内容的方式嵌入令牌内容，或 者备选地它可以以这样一种方式被加密：保留未加密数据的某些特性（例 如排序顺序）。例如，如果加密内容是人名列表，则仍然可以按字母顺序 对加密后的姓名进行分类和排序。

当客户端10访问公共服务3时，监视器12负责与网关14上的VPE 管理器16联系，以便反向执行任何安全内容的令牌化。VPE管理器16能 够检测令牌化后的内容并反向执行上述过程，以便可在客户端10处查看安 全内容。

图3提供使用两个示例性公共服务3操作的VPE管理器16的概览图， 这两个公共服务3例如是数据或文档共享空间或服务3'和社交媒体空间或 服务或站点3''。在图3中，VPE管理器16连接到服务驱动器20，服务驱 动器20实现必需的协议以便访问公共服务3中的一个关联公共服务。服务 驱动器20还使能针对公共服务3添加企业控制特性，以便确保以保护方式 传送安全内容。

如图所示，两个示例性公共服务3'和3''均具有它自己的服务驱动器 20。作为一个实例，文档共享服务3'的服务驱动器20可以用于上传、下 载和删除文档共享服务3'上的文件。服务驱动器20还可以实现一种或多 种加密方法，可以应用这些加密方法以便在将内容上传到公共服务之前保 护内容。社交媒体空间3''的服务驱动器20不同于文档共享服务3'的服务 驱动器20，因为它可以使用公共协议与社交媒体服务交互，以便发布状态 消息、上传和查看图片、加入组、管理社交网络等。此外，服务驱动器20 实现必需的特性以使用户能够标识哪些内容安全，并且还可以实现将安全 内容发布到社交媒体站点所需的令牌化方案。

图4提供用于图3中所示的社交媒体服务3''的示例性令牌化方案的概 览图。在图4中，用户通过可以形成VPE网关14一部分的安全内容令牌 化过程24，将安全内容22A和不安全（公共）内容22B两者发布到社交 媒体服务3''。本发明的实施例还可以仅将安全内容22A（例如，状态消息） 发布为加密文本。但是，对于其它能够读取状态的用户，加密文本在视觉 上可感觉到并且可以显示为混乱文本。为了避免这类不期望的用户界面问 题，通过允许在发布内容之前将内容嵌入更具用户友好性的容器中，针对 所有用户获得更无缝的体验。在图4中，VPE网关14通过使用基于服务 驱动器20实现的模型来组合安全内容22A和公共内容22B而令牌化安全 内容22A。在图4中所示的实例中，所使用的模型是包含三部分的令牌， 该令牌包括在没有转换的情况下发布的公共内容22B、可选隐藏标签或标 记22D（例如URL或其它文本提示），以及在由其他媒体提供以用作内 容容器22C的图像中隐瞒（隐藏）的安全内容22A。隐瞒过程可以采取多 种不同的形式，例如：

加密安全内容22A并且使用隐写技术将其嵌入所提供的图像中，以便 形成处理后的图像22C'；或者

将安全内容22A存储在VPE网关16本地（例如，存储在存储器18 中），并且使用隐写技术仅将表示内容的令牌嵌入到图像22C'中。

在第一种情况下，将安全内容22A存储在社交媒体站点3"的服务器 上，但采用加密形式。使用数字隐写技术，可以将信息嵌入到图像的“嘈 杂”位中。本发明的实施例利用这种能力以便针对加密文本使用图像22C' 作为更具用户友好性的容器，其中将加密文本以查看媒体社交站点的普通 用户感觉不到的方式存储在图像22C'的“嘈杂”位中。图像22C'可以是任 意合适的图像数据，例如企业标志。注意，在其它实施例中，作为非限制 性实例，容器可以包括音频数据、视频数据、文档或文档图像。

在第二种情况下，可能存在将所有安全内容22A存储在企业网络2A 内的策略要求。在这种情况下，本发明使用某个本地存储系统（例如存储 器18）存储用户的文本（内容）并且创建是该内容的唯一标识符（UUID） 的令牌。根据本发明的此方面，将UUID以感觉不到的方式嵌入图像22C' 中，而不是嵌入加密文本。例如，UUID可以是统一资源定位符（URL）， 其表示返回到仅可由VPE网络2A中的客户端访问的安全内容的链接。

图4示出在社交媒体站点3"上呈现时令牌模型的实例将如何显示。对 于公共用户而言，帖子看似仅为具有与其关联的某些文本的图像。但是， 当使用具备VPE监视器12的客户端10访问时，例如通过使用标签或标记 检测令牌化后的内容的存在，并且VPE监视器12操作以便：1）将令牌转 发到VPE网关14；2）VPE网关14然后处理内容以便检索安全内容；以 及3）VPE网关14将安全内容22A发送到客户端10。例如，当VPE客户 端10访问图4中的页面时，客户端10不需要呈现图像22C，而是仅呈现 加密文本，该加密文本以隐写方式嵌入在图像22C中并且随后被解密。

可以指出的是，将令牌化与数据共享服务3'一起使用可以基于类似的 属性和功能，但可以在本质上更简单。例如，服务驱动器20只需在数据上 传到文档共享服务3'之前对数据进行加密，并且在读取文档时代表客户端 10对文档进行解密。还可以采用特定的加密技术以便保留底层数据的属 性。例如，为了与数据共享服务3'更无缝地集成，可以使用保留文档标题 的字母顺序的加密方法，以便可以以与未加密文档相同的方式对标题进行 排序。

应该指出，VPE管理器16的部分或全部功能可以包含在服务驱动器 （多个）20中。

本发明的实施例还允许跨一组用户对令牌进行分区，以便通过以下操 作确保提高安全性：仅当该组的所有用户都能够访问令牌分区时，或者仅 当提供小于该组中用户总数的某一数量的用户时，才允许访问数据。这可 以在以下情况下有用：其中协作者需要提高安全性，以及其中可以跨不同 的公共服务存储令牌以便单个服务不可以访问加密内容。可以使用一种称 为“秘密共享”的加密技术，其中算法将安全内容分成多个块。仅当用户 可以访问适当数量的分区时，才可以对内容进行成功解密。本发明的实施 例可以利用这些技术并且可以在许多公共服务中使用社交网络。

公知的秘密共享方案的一个实例是沙米尔（Shamir’s）算法。在该方 案中，可以将秘密分成k个部分，由此对至少n个部分的访问使得仅从这 些部分的内容（即，不需要其它加密密钥）计算秘密很容易。例如，这些 部分可以表示用于通过算术方法得出秘密的抛物线方程中的点。对少于n 个部分的访问使得计算秘密很困难。

图5示出其中一组协作者使用VPE安全地共享在公共服务上发布的文 档的情况。在图5中，VPE管理器16将文档分成四个部分，并且向需要 访问文档的每个用户发送一个部分。用户可以通过使用社交媒体或数据共 享站点的内置消息传送系统接收其令牌。例如，某些社交媒体站点提供实 用工具，该实用工具允许用户向彼此发送私人消息，或者发布只有选择的 一组人可以查看的内容。某些数据共享站点允许用户通过生成指向内容的 链接并经由电子邮件发送该链接，与其它用户共享该内容。

图6示出用于解释通过VPE管理器16令牌化安全内容的本发明方法 的逻辑流程图。在VPE监视器12标识需要将内容（可能需要被令牌化） 发送到公共服务3之后，所述逻辑流程图开始（开始方框）。在这种情况 下，将内容组织为内容“块”或内容“部分”或内容“分区”，并且令牌 化过程单独考虑每个块。例如，用户可以将数据输入到用户浏览器中呈现 的表单中。监视器12将每个表单项作为块发送以便评估。可以回想，在上 面提供的社交媒体实例中，服务驱动器20可能已改变社交媒体服务页面的 VPE视图以插入其它表单元素，以便输入安全和不安全的内容。

在图6中，处理所接收内容的每个块以便判定它是否是安全块。如果 块不安全（例如，是公共块），则将该块添加到出站令牌内容的公共部分。 如果确定该块是安全块，则加载所述内容类型需要的令牌模型。针对公共 服务需要的内容类型，存在一种令牌模型。例如，一个社交媒体站点可以 具有用于状态更新的一个令牌模型、用于图像上传的一个令牌模型，以及 用于注释的一个令牌模型。令牌模型指定应如何处理块，这包括如何通过 将内容嵌入容器对象（例如图像容器22C）来隐瞒块（如果应隐瞒块）。 完成所有处理之后，创建最终令牌对象。如果最终令牌对象包含引用安全 内容的链接，则将安全内容存储在本地并且使用该链接进行索引。否则， 将新令牌添加到出站令牌内容。重复所述方法直到处理所有块。VPE管理 器16然后将最终令牌内容发送到公共服务3。

图7示出用于解释在VPE管理器16处恢复令牌化后的安全内容的本 发明方法的逻辑流程图。当客户端10从公共服务3访问内容时，所述逻辑 流程图开始。VPE监视器12检测该类型的操作并扫描内容以判定它是否 包含任何令牌内容（例如，是否存在与内容关联的某种类型的标记或标志 或标签）。如果发现令牌内容，则加载适当的令牌模型，并且所述系统从 令牌内容检索令牌。令牌可以是加密后的安全内容数据本身，或者是指向 存储在VPE管理器16本地的内容的链接。如果存在链接，则VPE管理器 16检索关联的内容，否则它使用适当的方法对内容进行解密并且使用安全 内容代替令牌内容。在任何一种情况下，内容均被发送到客户端10。

在示例性的一般意义上，本发明的实施例操作以使能在公共服务处（例 如，在社交媒体站点或数据共享站点处）以视觉上感觉不到的方式呈现安 全数据，从而使得公共服务的一组选定用户能够访问安全数据，例如仅某 个企业的成员或某个企业成员子集才能访问安全数据。在与企业关联的一 个或多个实际和/或虚拟数据处理器处，该操作可以需要使用隐写技术将安 全数据嵌入某种类型的信息容器中（例如，嵌入包括公共服务处的人员可 感觉到的图像数据、视频数据、音频数据、文档数据等中的一个或多个的 信息容器内）和/或通过使用某种类型的令牌化，由此例如将指向安全数据 的链接以感觉不到的方式嵌入在公共服务处呈现的某个屏幕图像中，例如 通过以隐写方式将链接编码到屏幕图像中。可以使用安全数据和/或链接的 加密，也可以不使用。可以与公共、不安全的数据一起在公共服务处以非 侵入方式选择性地呈现/提供“隐藏的”安全数据，从而为公共服务的用户 提供增强的视觉体验。还可以与上述技术结合或组合采用“秘密共享”技 术，以便使能将安全数据分发给一组相关用户。

图8示出当体现为数据处理系统100时的VPE网关/VPE管理器16 的一个合适实施例的框图。数据处理系统100能够实现本发明的各实施例。 系统100可以是位于企业中的独立系统，或者它可以是在云平台提供商/ 供应商/源处实例化为一个或多个虚拟机的系统。系统100包括至少一个数 据处理器（DP）110，其包含至少一个CPU，CPU连接到存储计算机程序 代码或软件（SW）130的至少一个存储器120，例如基于半导体的存储器 和基于磁盘的存储器中的一个或多个。SW130当由至少一个数据处理器 110执行时，导致执行实现本发明的方法的操作。SW130可以包括数据加 密/解密程序的一个或多个实例。SW130还可以包括程序的一个或多个实 例，这些程序被配置为以隐写方式将数据嵌入容器（例如图像数据）中， 并且还从容器检索以隐写方式嵌入的数据。以下接口也连接到数据处理器 110：到客户端10处的监视器12的接口（IF）140A，以及另一个接口140B， 接口140B用于可能经由企业防火墙4连接到数据通信网络3A（例如，连 接到因特网）。接口140A、140B可以是网络接口，例如以下之一或两者： 局域网（LAN）（包括无线LAN（WLAN））或广域网（WAN）（包括 因特网）。数据处理器110也可以连接到至少一个大容量存储设备150， 其存储内容，当数据处理器110构造并发送表示内容的令牌时缓存该内容。

应该注意，无论体现为分离硬件还是体现为云平台硬件和软件（例如， CPU、存储设备、数据库管理器、操作系统等），数据处理系统100都可 以物理上存在于相关企业的一个位置处，或者它可以物理上存在于两个或 更多位置处并且跨这些位置分布。系统100和/或虚拟化系统100的云平台 硬件和软件的实际实现以及实例化的一个或多个位置并不明确地与本发明 实施例的描述密切相关。

可以类似地构造监视器12和/或服务驱动器（多个）20，以便包括至 少一个CPU、存储器、软件和至少两个接口，一个是到客户端10的接口， 另一个是到VPE管理器16的接口。备选地，监视器12可以完全实现为软 件应用，其位于客户端10的计算平台上，并且使用客户端10的任意合适 的数据通信接口（例如，LAN或WAN）与VPE管理器16通信。

图9示出根据本发明的不同实施例的方法的一个非限制性实例。图9 中所示的方法是一种用于为企业处理内容的方法，并且包括：在方框9A， 使用至少一个企业策略审查要通过数据通信网络发送到公共服务的内容， 以便判定内容是否包括安全数据。在方框9B，执行一个步骤，该步骤响应 于标识安全数据，修改要发送到公共服务的内容，使得在所述公共服务处 呈现所述内容时，在视觉上感觉不到安全数据的存在。

在图9中所示的方法中，修改步骤可以包括以隐写方式将所述安全数 据嵌入在容器中，例如嵌入包括图像数据的容器中。在以隐写方式嵌入容 器中之前，可以加密安全数据。

在图9中所示的方法中，修改步骤可以包括将安全数据存储在仅可在 企业内访问的存储介质中，并且以隐写方式将指向所存储的安全数据的链 接嵌入容器中，例如嵌入包括图像数据的容器中。

在图9中所示的方法中，要发送到公共服务的内容可以包括公共数据 以及安全数据或者指向所述安全数据的链接。

在图9中所示的方法中，可以对安全数据进行分区，使得多个用户中 的每个用户可以访问所述安全数据的一个分区。

在图9中所示的方法中，审查内容的步骤可以包括审查所述内容的各 块，并且针对每个块，判定该块是包括公共数据还是安全数据，如果该块 包括安全数据，则修改该块，使得在所述公共服务处呈现时在视觉上感觉 不到所述安全数据，以及当审查了所有块时，将包括具有公共数据和修改 后的安全数据的各块的所述内容发送到所述公共服务。

在图9中所示的方法以及在先前的段落中，修改该块的步骤可以包括 以隐写方式将具有安全数据的该块嵌入与所述公共数据一起发送的容器； 或者将具有安全数据的各块存储在仅可在所述企业内访问的存储介质中， 并以隐写方式将指向所存储的具有安全数据的各块的链接嵌入所述容器。

本发明的另一方面是一种包含计算机程序指令的计算机可读存储介 质，当由至少一个数据处理器执行时，所述计算机程序指令导致执行图9 中所示的方法以及描述图9的上述若干段落。

本发明的实施例使得企业能够以安全方式使用公共服务3（例如文件 共享站点或社交媒体站点）而不会对通信施加限制。相反，各实施例增强 通信以便确保它们遵循至少一个企业策略。本发明的实施例使能将安全内 容无缝集成到公共服务3中，其中可以隐瞒或隐藏令牌或加密数据本身， 以便它在公共服务3中显示为“正常”内容。

本发明的实施例提供令牌和非令牌方法以便将安全内容发送到公共服 务，并且通过将隐瞒数据用作屏蔽，提供安全和不安全内容的更无缝集成。 本发明的实施例可以利用社交组以便将安全内容存储在公共服务中时，执 行更安全的“秘密共享”。使用本发明的实施例不需要访问任何底层虚拟 机部署。

本发明的实施例不同于常规系统/方法，这些常规系统/方法仅力求保 护网络资源以免未授权使用，并且集中于通过在用户与公共服务交互期间 修改数据的传输和存储方式，增强授权用户和公共服务之间的通信。本发 明的实施例增强通信以便可以以受管方式并且根据可以生效的任意适用的 （企业或其它）策略进行通信，而不是限制客户端与服务器之间的通信。 例如，可以混淆数据和/或所述系统可以动态改变用户与公共服务的交互模 式，以便仅授权用户可以读取在公共服务上写入的数据。使用本发明的实 施例将增强针对企业使用的消费者等级服务，即使这些消费者/公共服务未 提供对企业策略需要的特性的本机支持。各实施例基本上不知道可能正在 使用的任何底层分组级别安全机制。

本发明的一个示例性方面提供一种机制，该机制允许除了加密内容之 外还包括明文内容，以便贡献的安全内容与不安全（公共）内容更无缝集 成。例如，可以将加密内容存储在可信服务器上，并且仅将指向该数据的 链接存储在不可信、公开可用的服务器上。可以通过水印算法混淆该链接 （例如，以隐写方式混淆），随后可以解释该链接以便链接到安全内容并 且显示安全内容。此外，如果应用批准将加密信息存储在不可信服务器中， 则本发明可以应用“秘密共享”逻辑以便针对同一社交网络中的用户而将 加密内容分区。对该信息的访问需要是组的一部分，以便对来自构成分区 的安全内容进行解密。

与某些常规方案（它们通过监视和过滤，尝试限制人员向社交网络或 其它公共服务发布帖子的能力）相反，本发明的实施例允许人员以及整个 组织使用公共服务以实现企业目的。

本发明的实施例将社交网络和其它公共服务视为商用服务（应该鼓励 企业利用该服务），并且提供对企业策略实施的其它非本机支持。

本发明的一个方面是例如通过以非干扰方式将加密内容与公共服务数 据集成，提供将增强的通信无缝集成到公共服务中。与此相关的是能够隐 瞒令牌或者甚至加密数据本身，以便它在公共服务中显示为正常内容。例 如，可以使用令牌以不可见的方式对图像令牌印水印。本发明的实施例能 够识别水印，并且当令牌需要由用户读取时，使用实际数据代替令牌。此 外，本发明允许用户添加不安全内容作为公共发布的一部分，这本身可以 充当安全内容的令牌。

在一个方面，本发明的实施例提供一种方法，所述方法通过提供企业 拦截器功能（可能包含在VPE监视器12和/或VPE管理器16中）以便拦 截去往消费者服务3的数据/业务，针对至少一个消费者服务（例如，针对 社交网络）提供数据控制，所述方法还根据至少一个企业策略提供数据的 选择性处理/过滤。选择性处理/过滤可以包括以下项中的至少一个：实施 用于访问数据的认证/访问策略；对数据进行加密；部分修改数据内容（例 如，通过选择性包含或选择性加密）；添加钩点/标签以进行索引和/或过 滤；重定向数据和/或对数据进行分区。企业拦截器通过在公共消费者服务 （例如社交网络站点）处实施企业策略，提供数据的选择性处理。

所属技术领域的技术人员知道，本发明的各个方面可以实现为系统、 方法或计算机程序产品。因此，本发明的各个方面可以具体实现为以下形 式，即：完全的硬件实施方式、完全的软件实施方式（包括固件、驻留软 件、微代码等），或硬件和软件方面结合的实施方式，这里可以统称为“电 路”、“模块”或“系统”。此外，本发明的各个方面还可以实现为在一 个或多个计算机可读介质中的计算机程序产品的形式，该计算机可读介质 中包含计算机可读的程序代码。

可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可 以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质 例如可以是—但不限于—电、磁、光、电磁、红外线、或半导体的系统、 装置或器件，或者上述的任意合适的组合。计算机可读存储介质的更具体 的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式计 算机盘、硬盘、随机存取存储器（RAM）、只读存储器（ROM）、可擦 式可编程只读存储器（EPROM或闪存）、光纤、便携式紧凑盘只读存储 器（CD-ROM）、光存储器件、磁存储器件、或者上述的任意合适的组合。 在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质， 该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括例如在基带中或者作为载波一部分传 播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号 可以采用多种形式，包括—但不限于—电磁信号、光信号或上述的任意合 适的组合。计算机可读的信号介质可以是计算机可读存储介质以外的任何 计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令 执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括 —但不限于—无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的 各个方面的操作的计算机程序代码，所述程序设计语言包括面向对象的程 序设计语言—诸如Java、Smalltalk、C++等，还包括常规的过程式程序设 计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在 单个本地计算机上执行、部分地在本地计算机上执行、作为一个独立的软 件包执行、部分在本地计算机上部分在远程计算机上执行、或者完全在远 程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以 通过任意种类的网络—包括LAN或WAN—连接到本地计算机，或者，可 以连接到外部计算机（例如利用因特网服务提供商来通过因特网连接）。

将参照根据本发明实施例的方法、装置（系统）和计算机程序产品的 流程图和/或框图描述本发明的各个方面。应当理解，流程图和/或框图的 每个方框以及流程图和/或框图中各方框的组合，都可以由计算机程序指令 实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可 编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过 计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/ 或框图中的一个或多个方框中规定的功能/动作的装置。

也可以把这些计算机程序指令存储在计算机可读介质中，这些指令使 得计算机、其它可编程数据处理装置、或其它设备以特定方式工作，从而， 存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的 一个或多个方框中规定的功能/动作的指令的制造品（article of  manufacture）。

也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、 或其它设备上，使得在计算机、其它可编程装置或其它设备上执行一系列 操作步骤，以产生计算机实现的过程，从而使得在计算机或其它可编程装 置上执行的指令提供实现流程图和/或框图中的一个或多个方框中规定的 功能/动作的过程。

附图中的流程图和框图显示了根据本发明的不同实施例的系统、方法 和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程 图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述 模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的 可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功 能可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上 可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的 功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/ 或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬 件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在此使用的术语只是为了描述特定的实施例并且并非旨在作为本发明 的限制。如在此使用的，单数形式“一”、“一个”和“该”旨在同样包 括复数形式，除非上下文明确地另有所指。还将理解，当在此说明书中使 用时，术语“包括”和/或“包含”指定了声明的特性、整数、步骤、操作、 元素和/或组件的存在，但是并不排除一个或多个其它特性、整数、步骤、 操作、元素、组件和/或其组的存在或增加。

下面权利要求中的对应结构、材料、操作以及所有功能性限定的装置 或步骤的等同替换，旨在包括任何用于与在权利要求中具体指出的其它元 件相组合地执行该功能的结构、材料或操作。出于示例和说明目的给出了 对本发明的描述，但所述描述并非旨在是穷举的或是将本发明限于所公开 的形式。在不偏离本发明的范围和精神的情况下，对于所属技术领域的普 通技术人员来说许多修改和变化都将是显而易见的。实施例的选择和描述 是为了最佳地解释本发明的原理和实际应用，并且当适合于所构想的特定 使用时，使得所属技术领域的其它普通技术人员能够理解本发明的具有各 种修改的各种实施例。

因此，当结合附图和所附权利要求阅读时，鉴于以上说明，对于相关 技术领域的技术人员来说各种修改和改变可以变得显而易见。仅作为某些 实例，所属技术领域的技术人员可以使用其它类似或等效的数学表达式。 但是，对本发明的教导的所有这些和类似的修改仍然落入本发明的范围。