RU2501081C2 - Многофакторная защита контента - Google Patents

Многофакторная защита контента Download PDF

Info

Publication number
RU2501081C2
RU2501081C2 RU2010114241/08A RU2010114241A RU2501081C2 RU 2501081 C2 RU2501081 C2 RU 2501081C2 RU 2010114241/08 A RU2010114241/08 A RU 2010114241/08A RU 2010114241 A RU2010114241 A RU 2010114241A RU 2501081 C2 RU2501081 C2 RU 2501081C2
Authority
RU
Russia
Prior art keywords
content
key
factor
recipient
access server
Prior art date
Application number
RU2010114241/08A
Other languages
English (en)
Other versions
RU2010114241A (ru
Inventor
Рушми У. МАЛАВИАРАЧЧИ
Мэйер КАМАТ
Дэвид Б. КРОСС
Original Assignee
Майкрософт Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Майкрософт Корпорейшн filed Critical Майкрософт Корпорейшн
Publication of RU2010114241A publication Critical patent/RU2010114241A/ru
Application granted granted Critical
Publication of RU2501081C2 publication Critical patent/RU2501081C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Finance (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

Изобретение относится, в общем, к компьютерной технике и, более конкретно, к защите контента в вычислительных окружениях. Техническим результатом является повышение надежности защиты контента. Получатель принимает контент от издателя. Некоторый контент регулируется сервером доступа. Сервер доступа управляет пользованием управляемого контента со стороны получателя посредством взаимодействия с доверенным агентом на получателе. Контент шифруется по ключу контента, и контент связан с информацией политики. Информация политики включает в себя ключ контента для дешифрования контента. Информация политики шифруется по ключу сервера доступа, что позволяет серверу доступа дешифровать информацию политики. Ключ контента принимается от сервера доступа. Ключ контента шифруется по ключу доверенного агента. Ключ контента дополнительно шифруется по дополнительному фактору(ам), задающему дополнительную защиту контента помимо обеспеченной доверенным агентом. Ключ контента дешифруется с использованием ключа доверенного агента и, по меньшей мере, одного дополнительного фактора. Контент дешифруется с использованием ключа контента. 3 н. и 17 з.п. ф-лы, 4 ил.

Description

Область техники, к которой относится изобретение
Настоящее изобретение относится, в общем, к компьютерной технике и, более конкретно, к защите контента в вычислительных окружениях.
Предшествующий уровень техники
Компьютеры и вычислительные системы влияют на практически каждый аспект современной жизни. Компьютеры широко применяются на рабочих местах, в местах отдыха, учреждениях здравоохранения, на транспорте, в развлекательных целях, для ведения домашнего хозяйства и т.д.
Пользователи часто испытывают необходимость в защите данных. Эту защиту можно обеспечивать различными методами шифрования и с использованием различных средств управления доступом на основе мандатов. Например, доступ к важным данным можно регулировать или защищать путем использования паролей или смарткарт в качестве средств аутентификации или ключей шифрования. Если пользователь может предоставить надлежащий пароль или смарткарту, то пользователю может быть предоставлен доступ к данным.
Заявленное изобретение не ограничивается вариантами осуществления, которые позволяют преодолеть те или иные недостатки уровня техники или реализуются только в вышеописанных окружениях. Напротив, это описание предшествующего уровня техники призвано лишь иллюстрировать одну из областей технологии, где можно практически использовать некоторые описанные здесь варианты осуществления.
Сущность изобретения
Один из описанных здесь вариантов осуществления включает в себя способ, осуществляемый в вычислительном окружении. Способ включает в себя этапы для защиты контента. Способ включает в себя этап, на котором на получателе принимают контент от издателя. По меньшей мере, некоторый доступ к контенту, используемый получателем, регулируется сервером доступа. Сервер доступа предназначен для управления пользованием управляемым контентом со стороны получателя посредством взаимодействия с доверенным агентом, привязанным к компьютерной системе получателя. Контент шифруется по ключу контента, и контент связан с информацией политики. Информация политики включает в себя ключ контента для дешифрования контента. Информация политики шифруется по ключу сервера доступа, что позволяет серверу доступа дешифровать информацию политики. На получателе ключ контента принимается от сервера доступа. Ключ контента зашифрован по ключу доверенного агента, благодаря чему доверенный агент может дешифровать ключ контента. Ключ контента дополнительно шифруется по, по меньшей мере, одному дополнительному фактору, задающему дополнительную защиту контента помимо защиты контента, обеспеченной доверенным агентом. На получателе ключ контента дешифруется с использованием ключа доверенного агента и упомянутого по меньшей мере одного дополнительного фактора. Затем контент дешифруется с использованием ключа контента.
В другом варианте осуществления реализована система. Система включает в себя компьютерную систему получателя. Компьютерная система получателя выполнена с возможностью приема контента от издательской компьютерной системы, прямо или косвенно. Компьютерная система получателя включает в себя доверенный агент. Доверенный агент включает в себя программное или аппаратное обеспечение, которое осуществляет связь с сервером доступа для приема авторизации для доступа к контенту совместно с ограничениями по использованию контента. Доверенный агент включает в себя ключ доверенного агента для дешифрования данных от сервера доступа. Компьютерная система получателя дополнительно включает в себя доверенное приложение, сконфигурированное для связи с доверенным агентом для доступа к контенту, регулируемого сервером доступа. Компьютерная система получателя дополнительно включает в себя ключ фактора, предназначенный для дешифрования данных от доверенного агента, и ключ пользователя, охраняемый доверенным агентом и предназначенный для дешифрования данных от сервера доступа. Данные от сервера доступа включают в себя ключ контента для дешифрования контента от издательской компьютерной системы.
Это краткое изложение сущности изобретения призвано обозначить в упрощенном виде основные концепции, которые дополнительно описаны ниже в «подробном описании». Это краткое изложение сущности изобретения не призвано выявлять ключевые признаки или существенные признаки заявленного изобретения и никоим образом не определяет объем заявленного изобретения.
Дополнительные признаки и преимущества изложены в нижеследующем описании и частично могут быть поняты из описания или могут быть изучены путем практического применения идей изобретения. Признаки и преимущества изобретения можно реализовать и получить посредством инструментов и комбинаций, конкретно указанных в формуле изобретения. Признаки настоящего изобретения можно лучше понять из нижеследующего описания и формулы изобретения или можно изучить путем практического применения изобретения, согласно изложенному ниже.
Краткое описание чертежей
Для описания того, каким образом можно получить вышеописанные и другие преимущества и признаки изобретения, более конкретное описание изобретения, кратко изложенного выше, будет представлено со ссылкой на конкретные варианты его осуществления, которые проиллюстрированы в прилагаемых чертежах. С учетом того, что эти чертежи изображают лишь типичные варианты осуществления изобретения и, таким образом, не призваны ограничивать его объем, изобретение будет описано и объяснено с дополнительной степенью конкретизации и детализации с использованием прилагаемых чертежей, в которых:
фиг.1A - система, допускающая защиту контента;
фиг.1B - альтернативная система, допускающая защиту контента;
фиг.1C - еще одна альтернативная система, допускающая защиту контента;
фиг.2 - способ осуществления доступа к защищенному контенту.
Подробное описание
Некоторые описанные здесь варианты осуществления могут содержать компьютер специального назначения или общего назначения, включающий в себя различное компьютерное оборудование, более подробно рассмотренное ниже.
Цифровой контент можно защищать путем шифрования контента по факторам защиты. Факторы защиты привязаны к криптографическим устройствам или ключам. Существует несколько разных классов факторов, использующих разные мандаты, например, что-нибудь известное, например, пароль или персональный идентификационный номер (ПИН), что-нибудь вещественное, например, аппаратные жетоны безопасности, например, смарткарту, или какую-либо характеристику пользователя, например, биометрические характеристики. Этот тип защиты обычно позволяет любому пользователю, который может представить надлежащий мандат, осуществлять доступ к защищенному контенту. Заметим, что некоторые факторы могут охватывать более чем один класс. Например, смарткарты могут требовать что-то вещественное, т.е. саму смарткарту, и что-то известное, т.е. ПИН.
Дополнительный тип защиты контента связан с ограниченным использованием контента. В окружениях с ограниченным использованием контента центральная организация управляет использованием контента и доступом к нему. Управление может опираться на идентификацию пользователя, пытающегося использовать или получить доступ к контенту, на действие, предпринимаемое в отношении контента, на время суток, на местоположение или другие условия. В порядке примера, центральная организация может разрешать некоторым пользователям полный доступ к контенту, включая редактирование и возможность передавать контент за пределы организации. Для других пользователей доступ может быть ограничен только чтением. В другом примере, можно запретить передачу особо важного контента за пределы организации безотносительно к идентификации пользователя.
Чтобы гарантировать выполнение ограничений по использованию, можно использовать доверенный агент на машине пользователя, которая осуществляет связь с централизованным сервером доступа, который принимает решения по авторизации и ограничениям использования в отношении доступа конкретного пользователя к конкретному контенту. Приложения, использующие контент, являются доверенными приложениями, которые способны взаимодействовать с доверенным агентом. Доверенные приложения - это приложения, которым доверено применять ограничения по использованию.
Некоторые из описанных здесь вариантов осуществления позволяют издателю публиковать контент для пользователя, причем контент защищается путем шифрования по криптографическому фактору, например, как проиллюстрировано выше, а также за счет того, что инфраструктуре управления пользованием контентом разрешается распоряжаться контентом. В некоторых вариантах осуществления, уровень прав доступа можно определять с помощью одного или нескольких факторов. Дополнительно, некоторые варианты осуществления позволяют осуществлять шифрование на основе факторов независимо от того, осведомлен ли издатель об используемом общем типе фактора или конкретном используемом факторе. Кроме того, некоторые варианты осуществления позволяют издателю устанавливать в политике дополнительные факторы, которые следует использовать для защиты контента. Установку можно осуществлять путем установления общего фактора, путем установления конкретного фактора, который следует использовать, или установка может быть неявной, зависящей от типа защищаемого контента.
Примеры представлены на фиг.1A-1C. Например, на фиг.1A показан издатель 102. Издатель 102 публикует контент 104, политику 106 и ключ контента 107 для получателя 108. Контент 104 шифруется с использованием ключа 107 контента. Как будет рассмотрено более подробно ниже, политика 106 может включать в себя информацию, например, ограничения по использованию и, в некоторых вариантах осуществления, установку дополнительных факторов шифрования. Политику 106 и ключ 107 контента можно шифровать по ключу 109 сервера доступа, чтобы политику 106 и ключ 107 контента можно было дешифровать на сервере 110 доступа, используемом для управления пользованием контента. Заметим, что шифрование по ключу не обязано включать в себя использование ключа для осуществления шифрования. Например, шифрование с использованием асимметричных ключей осуществляется путем шифрования по открытому ключу на шифрующем субъекте и дешифрования с использованием личного ключа на дешифрующем субъекте.
В данном примере получатель 108 передает политику 106 и ключ 107 контента на сервер 110 доступа. Заметим, что, хотя показано, что политика 106 и ключ 107 контента передаются совместно в одном жетоне, их также можно передавать по отдельности или иным надлежащим образом. Это справедливо для всех примеров, где показано, что объекты передаются совместно. Затем сервер 110 доступа может дешифровать политику 106 и ключ 107 контента. Сервер доступа 110 передает версию политики 106a и ключа контента 107 на доверенный агент 112 получателя 108. Политика 106a может быть подмножеством полной политики 106, которая применяется к получателю, запрашивающему доступ к контенту. В одном варианте осуществления, политика 106a и ключ 107 контента передаются в жетоне 114 авторизации. Политику 106a и ключ 107 контента можно шифровать до их передачи на доверенный агент 112. Например, сервер доступа может шифровать политику 106a и ключ контента 107, передаваемые на доверенный агент 112, по ключу 113 доверенного агента, благодаря чему доверенный агент 112 может дешифровать политику 106a и ключ 107 контента. Сервер 110 доступа также может шифровать политику 106a с использованием дополнительного фактора, чтобы политику 106a и ключ 107 контента можно было дешифровать с использованием ключа 116 фактора на получателе 108. В одном варианте осуществления, фактор может представлять собой фактор, установленный в политике 106, передаваемой от издателя 102 получателю 108.
Перейдем к более подробному описанию ряда ключей, упомянутых выше. В одном варианте осуществления, защита контента включает в себя фазу обеспечения или самообеспечения. На фазе самообеспечения формируется ключ 113 доверенного агента. Ключ 113 доверенного агента может представлять собой уникальный, случайный криптографический ключ для доверенного агента 112 на заданной машине. Как описано выше, доверенный агент 112 - это программный или аппаратный компонент, которому организация доверяет применять политики от ее имени. Ключ 113 доверенного агента защищен доверенным агентом 112 и потому привязан к заданной машине, например, машине получателя 108. Ключ 113 доверенного агента используется только доверенным агентом 112 и не выходит за пределы доверенного агента 112. Доверенные приложения, например, доверенное приложение 117, может вызывать доверенный агент 112, когда требуется ключ доверенного агента.
Также могут формироваться ключи пользователя, находящиеся в распоряжении организации, для пользователей. Например, ключ 119 пользователя может формироваться для получателя 108. Ключи пользователя, находящиеся в распоряжении организации, принадлежат организации, но выдаются пользователям, например, получателю 108. Получателю 108 предоставляется возможность использовать ключ 118 пользователя только, как указано организационными политиками, которые применяются к потреблению или созданию защищенного контента. Заметим, что издатель 102 также может находиться на самообеспечении, чтобы получать надлежащие ключи пользователя, находящиеся в распоряжении организации, например, ключ 120 пользователя, показанный на фиг.1.
Когда соответствующие участники системы защиты контента находятся на самообеспечении, издатель 102 создает контент 104 и защищает его с помощью политики 106, которую может задавать либо издатель 102, либо организация издателя. Создается издательская лицензия 122, показанная на фиг.1A, содержащая политику защиты информации для информации и ключа контента, которые оба зашифрованы по ключу 109 сервера доступа. Затем контент 104 делается доступным для получателя 108 посредством любого надлежащего механизма. В одном варианте осуществления, когда политика защиты информации в политике 106 применяется к защищенному контенту 104, политика 106 может требовать использования конкретного фактора защиты (например, смарткарты) при осуществлении доступа к контенту 104. Этот фактор может требоваться для доступа ко всему контенту 104 или может требоваться для доступа к конкретным фрагментам контента 104, в зависимости от политики. Другие варианты осуществления, предусматривающие дифференциацию прав доступа в зависимости от используемых факторов, будут более подробно рассмотрены ниже.
Для доступа к защищенному контенту 104 получателю 108 требуется жетон 114 авторизации от сервера 110 доступа, описывающий политику 106a для доступа этого конкретного получателя к этому конкретному контенту 104 и содержащий ключ 107 контента, который можно шифровать по ключу 118 пользователя, находящемуся в распоряжении организации, данного получателя. Этот жетон 114, включающий в себя политику 106a и ключ 107 контента, показанный на фиг.1, может извлекаться получателем 108 из сервера 110 доступа или может быть заранее извлечен от имени получателя, как показано на фиг.1B и 1C, более подробно рассмотренных ниже. Когда дополнительные факторы защиты требуются согласно политике 106a или по иной причине, ключ 107 контента шифруется по ключу 118 пользователя, находящемуся в распоряжении организации, данного получателя и по ключам, принадлежащим необходимым дополнительным факторам. Например, в одном варианте осуществления, ключ контента 107 в жетоне 114 авторизации можно шифровать по ключу смарткарты, представленному ключом 116 фактора.
Когда жетон 114 авторизации и ключи получены в режиме самообеспечения, получатель 108 имеет ключевой материал, необходимый для доступа к защищенному контенту 104. Доверенный агент 112 использует свой ключ доверенного агента для дешифрования ключа 118 пользователя, находящегося в распоряжении организации данного получателя, который затем используется для дешифрования ключа 107 контента из жетона 114 авторизации. Получателю также может понадобиться использовать жетон или жетоны безопасности, например, ключ 116 фактора, которые обеспечивают дополнительные факторы, которые уже были обеспечены, например, посредством внеполосного процесса, для дешифрования ключа 107 контента.
Затем доверенный агент 112 использует этот ключ контента для дешифрования контента 104 и передачи дешифрованного контента на доверенное приложение 117, при условии, что приложение будет применять любые политики использования (например “не печатать”), которые были установлены для этого контента 104. Для контента 104, подлежащего дешифрованию, доверенный агент 112 применяется совместно с дополнительными факторами защиты.
Хотя на фиг.1A показан пример, где политика 106 и ключ 107 контента передаются непосредственно от получателя 108 на сервер доступа, можно реализовать другие варианты осуществления. Например, на фиг.1B показан пример, где издатель 102 передает контент 104 получателю, тогда как политика 106 и ключ 107 контента передаются непосредственно на сервер 110 доступа. Затем сервер доступа может обеспечить жетон 114 авторизации, включающий в себя политику 106a и ключ 107 контента для доверенного агента 112 получателя 108. Затем доверенный агент 112 и получатель могут дешифровать ключ 107 контента и контент 104 с использованием ключа 107 контента и других установленных факторов, как описано выше.
На фиг.1C показан еще один альтернативный вариант осуществления, где посредник может содействовать обеспечению политики 106 и ключа 107 контента. В примере, показанном на фиг.1C, издатель 102 обеспечивает контент 104, политику 106 и ключ 107 контента для посредника 124. Например, контентом 104 в данном примере может быть сообщение электронной почты, а посредником 124 может быть почтовый сервер. Посредник передает контент 104 получателю 108 и передает политику 106 и ключ 107 контента на сервер 110 доступа. В показанном варианте осуществления, сервер 110 доступа может обеспечивать жетон 114 доступа для посредника 124, который затем обеспечивает жетон доступа для получателя 108 посредством доверенного агента 112. Затем дешифрование может осуществляться, как описано выше. В альтернативном варианте осуществления, сервер 110 доступа затем передает получателю 108 посредством доверенного агента 112 жетон 114 доступа, включающий в себя политику 106a и ключ 107 контента.
На фиг.2 показан способ 200. Способ 200 включает в себя различные этапы для доступа к защищенному контенту. Способ 200 включает в себя этап, на котором принимают контент, связанный с политикой и зашифрованный до ключа контента (этап 202). Это можно осуществлять, например, на получателе 108, показанном на фиг.1A. В этом примере, доступ к, по меньшей мере, некоторому контенту, используемому получателем 108, регулируется сервером доступа 110. Сервер доступа 110 выполнен с возможностью управления пользованием управляемым контентом со стороны получателя посредством взаимодействия с доверенным агентом 112, привязанным к получателю. Как указано выше, контент 104 шифруется по ключу 107 контента. Кроме того, контент связан с информацией политики. Информация политики включает в себя ключ 107 контента для дешифрования контента. Информация политики может дополнительно включать в себя дополнительную политику 106, определяющую порядок использования контента или доступа к нему. Информация политики, включающая в себя ключ 107 контента, шифруется по ключу 109 сервера доступа, что позволяет серверу доступа 110 дешифровать информацию 122 политики.
Способ 200 дополнительно включает в себя этап, на котором принимают ключ контента, зашифрованный по ключу доверенного агента и по меньшей мере еще одному фактору (этап 204). Например, на получателе 108, получатель 108 может принимать от сервера 110 доступа ключ 107 контента. В этом примере, ключ 107 контента зашифрован по ключу 113 доверенного агента, благодаря чему доверенный агент 112 может дешифровать ключ 107 контента. Ключ контента дополнительно шифруется по, по меньшей мере, одному дополнительному фактору, например, по ключу 116 фактора, задающему дополнительную защиту контента помимо защиты контента, обеспеченной доверенным агентом. Если требуются множественные факторы, вышеописанный процесс можно повторять для каждого фактора или когда каждый фактор требуется для каждого конкретного фрагмента контента, требующего этот конкретный фактор.
Способ 200 дополнительно включает в себя этап, на котором дешифруют ключ контента с использованием ключа доверенного агента и другого фактора (этап 206). Например, на получателе 108 можно осуществлять дешифрование ключа 107 контента с использованием ключа 113 доверенного агента и ключа 116 фактора. Способ 200 дополнительно включает в себя этап, на котором дешифруют контент с использованием ключа контента (этап 208).
Способ 200 также можно осуществлять, когда по меньшей мере еще один фактор установлен в информации политики. Например, политика 106, передаваемая от издателя 102, может включать в себя информацию, устанавливающую один или несколько факторов. В одном варианте осуществления по меньшей мере один фактор устанавливается, в целом, как класс факторов. Например, общая установка может указывать, что достаточно любого фактора смарткарты. В других вариантах осуществления по меньшей мере один фактор устанавливается в явном виде. Например, информация политики может указывать, что следует использовать тип шифрования или шифрование, подписанное конкретным органом. В еще одном варианте осуществления по меньшей мере один фактор неявно определяется классификацией, по меньшей мере, части контента. Например, определенные типы контента могут требовать определенный тип фактора или конкретный фактор. В порядке примера, контент высокой значимости для бизнеса может требовать использования смарткарты, тогда как контент низкой значимости для бизнеса может требовать лишь ввода пароля.
Для осуществления установки факторов, в одном варианте осуществления, администраторы могут указывать, какие факторы защиты установлены и доступны в их организациях. Эти факторы могут отображаться обратно в профили сертификатов, которые указывают тип защиты (например, смарткарты, биометрию и т.д.) или обратно в каталог или хранилище, содержащий(ее) информацию открытого ключа для каждого фактора защиты, принадлежащего каждому пользователю. Сервер доступа может отображать требования фактора защиты из политики защиты информации в профили сертификатов, которые описывают конкретные факторы, и/или извлекать сертификаты конкретного фактора из каталога. Установив эту информацию конфигурации, администраторы могут задавать профили политики защиты информации, которые могут требовать только однофакторную защиту или могут требовать многофакторную защиту. Эти профили политики также могут указывать, какие конкретно требуются факторы защиты и какой уровень доступа обеспечен для каждого фактора защиты. Они также могут указывать фрагменты контента, которые нужно защищать с использованием многофакторной защиты, и другие фрагменты, которые нужно защищать с использованием однофакторной защиты. Например, может быть так, что контент низкой значимости для бизнеса не нуждается в защите, контент средней значимости для бизнеса нужно защищать одним фактором (стандартный мандат), и контент высокой значимости для бизнеса нужно защищать множественными факторами.
В зависимости от общей политики защиты информации для организации, издатели контента могут выбирать из заранее определенного шаблона политик при защите контента, они могут задавать свои собственные политики защиты информации, или система защиты информации может автоматически защищать контент с помощью некоторой применимой политики.
Шифрование ключа контента по, по меньшей мере, одному или нескольким факторам можно осуществлять несколькими разными способами. Например, в одном варианте осуществления, ключ контента шифруется по, по меньшей мере, одному фактору путем шифрования ключа контента по одному или нескольким ключам, соответствующим одному или нескольким факторам. В другом альтернативном варианте осуществления, контент шифруется по, по меньшей мере, одному фактору путем шифрования контента по единому ключу, выведенному из множественных факторов. Например, вместо того, чтобы шифровать ключ контента по множественным ключам фактора защиты (включая ключ, находящийся в распоряжении организации), ключ контента или сам контент можно защищать с использованием уникального ключа, выведенного из комбинации всех задействованных ключей фактора защиты. Один механизм создания этого выведенного ключа контента предусматривает генерацию случайной строки для каждого фактора защиты и, затем, использование каждой строки в качестве аргумента функции вывода ключа, например, PBKDF2 (функции вывода ключа на основе пароля). Полученный выведенный ключ контента используется для шифрования контента и затем уничтожается. Каждая случайная строка шифруется фактором защиты, для которого она была сгенерирована, и результат сохраняется в жетоне авторизации. Для дешифрования контента требуется, чтобы каждый жетон дешифровал свою случайную строку, чтобы результаты можно было ввести в функцию вывода ключа, в результате чего получается выведенный ключ контента, который может дешифровать контент.
В одном варианте осуществления, информация политики может указывать ограничения по использованию для контента. Например, способ 200 может осуществляться так, что на этапе приема от сервера доступа ключа контента, принимают жетон авторизации, указывающий ограничения по использованию в отношении контента. Ограничения по использованию применяются доверенным агентом, например, доверенным агентом 112 и/или доверенным приложением, например, доверенным приложением 117.
Кроме того, ограничения по использованию можно применять в зависимости от дополнительного(ых) фактора(ов). Например, способ 200 может дополнительно включать в себя этап, на котором приложение на получателе использует дешифрованный контент. Пользование контентом со стороны приложения ограничивается на основании фактора или факторов, используемых для дешифрования контента. В альтернативном варианте осуществления, пользование контентом со стороны пользователя ограничивается на основании фактора или факторов, используемых для дешифрования контента. В еще одном альтернативном варианте осуществления, ключ контента предназначен только для дешифрования указанного(ых) фрагмента или фрагментов контента, в соответствии с политикой на основании доступного(ых) дополнительного(ых) фактора или факторов.
Ниже приведены дополнительный примеры, где изменяющиеся уровни доступа разрешены на основании доступных факторов. Например, потребителю может предоставляться тот или иной уровень доступа к контенту на основании факторов, доступных во время осуществления доступа к контенту. Рассмотрим два примера: когда доступ к фрагментам контента можно осуществлять с использованием стандартного мандата, в то время, как доступ к другим фрагментам контента можно осуществлять только при наличии вторичного фактора определенного типа (например, смарткарты); и когда доступ к контенту в режиме только чтения осуществляется с использованием стандартного мандата, и в режиме чтения/записи с использованием вторичного фактора определенного типа (например, смарткарты). Многофакторная защита может применять эти политики криптографически.
В первом случае, когда общий доступ к защищенному контенту осуществляется на основании стандартного мандата, тогда как некоторые фрагменты ограничены вторичным фактором, каждый фрагмент можно шифровать с использованием отдельного ключа контента, причем каждый ключ контента зашифрован надлежащими дополнительными факторами. В порядке оптимизации, все фрагменты, подчиняющиеся общей политике, можно шифровать одним и тем же ключом контента, что дает по одному ключу контента на политику для контента, а не по одному ключу контента на фрагмент контента.
Во втором случае, когда доступ в режиме только чтения осуществляется на основании стандартного мандата, тогда как доступ в режиме записи ограничен вторичным фактором, контент можно шифровать с использованием асимметричного ключа. При создании контента, он шифруется с использованием одной половины асимметричной пары ключей контента (которая обычно называется открытым ключом). Жетон авторизации содержит ключ дешифрования, защищенный по стандартному ключу, находящемуся в распоряжении организации, данного пользователя. Это позволяет пользователю осуществлять доступ к контенту с использованием лишь стандартного мандата. Жетон авторизации также содержит ключ шифрования, защищенный по второму фактору, например, смарткарте. Таким образом, контент невозможно изменить в отсутствие второго фактора, дающего доступ к ключу шифрования. Конечный результат аналогичен подписыванию контента с помощью второго фактора, но, в отличие от подписи, средству проверки не нужно доверять сертификату подписывающей стороны.
Варианты осуществления могут предусматривать дополнительные функции в некоторых системах защиты информации. Например, в некоторых системах может быть желательно реализовать варианты осуществления, где издателю не требуется знать множественные ключи фактора защиты всех получателей для публикации контента, защищенного множественными факторами. Дополнительно, может быть желательно поддерживать сценарий автономной работы, чтобы получатель, имеющий необходимые ключевой материал и факторы защиты, имел возможность доступа к защищенному контенту, даже когда сервер доступа недоступен.
Для реализации системы, где издателю не требуется знать множественные ключи фактора защиты всех получателей, сервер доступа, совместно с каталогом, может обеспечивать уровень косвенности. В одном варианте осуществления, издателю нужно знать только открытый ключ сервера доступа для защиты информации. Затем, при генерации жетона авторизации, сервер доступа может либо запрашивать надлежащие сертификаты у получателя, либо извлекать их из каталога. Для реализации системы, где поддерживаются сценарии автономной работы, допускается предвыборка или кэширование жетонов авторизации на машинах-клиентах.
Некоторые варианты осуществления системы допускают ротацию или смену ключей в отношении конкретного фактора защиты для конкретного пользователя. В зависимости от причины ротации ключей, система может совершать разные действия. Например, может происходить проверка аннулирования до дешифрования контента, чтобы аннулированный фактор защиты нельзя было использовать для дешифрования контента. Такое аннулирование лишает силы любые жетоны авторизации, привязанные к этому ключу фактора защиты. Пользователь получает новые ключи посредством процесса, установленного организацией, для ротаций ключей, после чего пользователь извлекает новые жетоны авторизации для всего контента, защищенного с использованием этого фактора, что позволяет использовать новые ключи фактора для доступа к контенту.
Альтернативно, если ротация или смена ключей осуществляется в основном, для поддержания «гигиены» ключей, и если фактор защиты может поддерживать множественные “предыдущие” пары ключей помимо “текущей” пары ключей, то можно продолжать разрешать доступ к контенту, не требуя новых жетонов авторизации. Система может быть приспособлена своевременно получать новые жетоны авторизации, зашифрованные по новым ключам фактора защиты по мере возможности, но восприятие пользователя может оставаться незатронутым в процессе.
Варианты осуществления также могут включать в себя компьютерно-считываемые носители для переноса или хранения компьютерно-выполняемых инструкций или структур данных, сохраненных на них. Такие компьютерно-считываемые носители могут представлять собой любые доступные носители, к которым может обращаться компьютер общего назначения или специального назначения. В порядке примера, но не ограничения, такие компьютерно-считываемые носители могут содержать ОЗУ, ПЗУ, ЭСППЗУ, CD-ROM или другое оптическое дисковое запоминающее устройство, магнитное дисковое запоминающее устройство или другие магнитные запоминающие устройства, или любой другой носитель, который можно использовать для переноса или хранения желаемого средства программного кода в виде компьютерно-выполняемых инструкций или структур данных, и к которому может обращаться компьютер общего назначения или специального назначения. При переносе или обеспечении информации посредством сетевого или другого коммуникационного соединения (проводного, беспроводного или комбинированного) на компьютер, компьютер рассматривает соединение как компьютерно-считываемый носитель. Таким образом, любое такое соединение справедливо именовать компьютерно-считываемым носителем. Комбинации вышеприведенных примеров также подлежат включению в понятие компьютерно-считываемых носителей.
Компьютерно-выполняемые инструкции содержат, например, инструкции и данные, которые предписывают компьютеру общего назначения, компьютеру специального назначения или устройству обработки специального назначения осуществлять определенную функцию или группу функций. Хотя изобретение было описано в отношении структурных признаков и/или этапов способа, следует понимать, что изобретение, заданное в формуле изобретения, не ограничивается конкретными признаками или этапами, описанными выше. Напротив, конкретные признаки или этапы, описанные выше, раскрыты в качестве примеров реализации формулы изобретения.
Настоящее изобретение можно реализовать в других конкретных формах, не отходя от его сущности или основных характеристик. Описанные варианты осуществления также рассматриваются во всех отношениях лишь как иллюстративные, но не ограничительные. Таким образом, объем изобретения определяется нижеследующей формулой изобретения, а не вышеприведенным описанием. Все изменения, согласующиеся с формулой изобретения и ее эквивалентами, подлежат включению в ее объем.

Claims (20)

1. Реализуемый в вычислительном окружении способ защиты контента, содержащий этапы, на которых:
на получателе (108), в котором доступ к, по меньшей мере, некоторому контенту, используемому получателем (108), регулируется сервером (110) доступа, причем сервер (110) доступа выполнен с возможностью управления пользованием управляемым контентом со стороны получателя посредством взаимодействия с доверенным агентом (112), привязанным к получателю (108), принимают контент (104) от издателя (102), причем контент (104) зашифрован по ключу (107) контента, при этом контент (104) связан с информацией (122) политики, причем информация (122) политики содержит ключ контента (107) для дешифрования контента (104), при этом информация (122) политики зашифрована по ключу (109) сервера доступа, что позволяет серверу доступа (110) дешифровать информацию (122) политики;
на получателе (108) принимают от сервера доступа (110) ключ контента (107), причем ключ контента (107) зашифрован по ключу (110) доверенного агента, благодаря чему доверенный агент (112) может дешифровать ключ (107) контента, причем ключ контента (107) дополнительно зашифрован по, по меньшей мере, одному дополнительному фактору, задающему дополнительную защиту контента помимо защиты контента, обеспеченной доверенным агентом (112);
на получателе (108) дешифруют ключ (107) контента с использованием ключа (113) доверенного агента и упомянутого по меньшей мере одного дополнительного фактора (116); и
дешифруют контент (104) с использованием ключа (107) контента.
2. Способ по п.1, в котором упомянутый по меньшей мере один фактор устанавливают в информации политики.
3. Способ по п.2, в котором упомянутый по меньшей мере один фактор устанавливают обобщенно как класс факторов.
4. Способ по п.2, в котором упомянутый по меньшей мере один фактор устанавливают в явном виде.
5. Способ по п.2, в котором упомянутый по меньшей мере один фактор неявно определяется классификацией по меньшей мере части контента.
6. Способ по п.1, в котором информация политики указывает ограничения по использованию для контента.
7. Способ по п.1, в котором ключ контента зашифрован по, по меньшей мере, одному фактору путем шифрования ключа контента по одному или нескольким ключам, соответствующим одному или нескольким факторам.
8. Способ по п.1, в котором ключ контента зашифрован по, по меньшей мере, одному фактору путем шифрования ключа контента по единому ключу, выведенному из множественных факторов.
9. Способ по п.1, в котором при дешифровании контента с использованием ключа контента и упомянутого по меньшей мере одного фактора доверенный агент использует ключ доверенного агента для дешифрования ключа пользователя, и используют ключ пользователя для дешифрования ключа контента от сервера доступа.
10. Способ по п.1, в котором при приеме от сервера доступа ключа контента принимают жетон авторизации, указывающий ограничения по использованию в отношении контента, при этом ограничения по использованию применяются доверенным агентом.
11. Способ по п.1, дополнительно содержащий этап, на котором приложение на получателе использует дешифрованный контент, причем пользование контентом со стороны приложения ограничивается на основании фактора или факторов, используемых для дешифрования контента.
12. Способ по п.1, в котором пользование контентом со стороны пользователя ограничивается на основании фактора или факторов, используемых для дешифрования контента.
13. Способ по п.1, в котором ключ контента предназначен только для дешифрования указанного фрагмента или фрагментов контента, как задано политикой на основании доступного дополнительного фактора или факторов.
14. Способ по п.1, дополнительно содержащий этапы, выполняемые на получателе, на которых:
принимают информацию политики, зашифрованную по ключу сервера доступа, и
передают информацию политики, зашифрованную по ключу сервера доступа, на сервер доступа.
15. Способ по п.1, в котором при приеме от сервера доступа ключа контента принимают ключ контента от одного или нескольких посредников, которые принимают ключ контента от сервера доступа.
16. Система для защиты контента, содержащая компьютерную систему (108) получателя, причем компьютерная система (108) получателя предназначена для приема контента (104) от издательской компьютерной системы (102), причем компьютерная система получателя содержит:
доверенный агент (112), причем доверенный агент (112) содержит программное или аппаратное обеспечение, которое осуществляет связь с сервером (110) доступа для приема ограничений по использованию контента в отношении контента (104), причем доверенный агент содержит ключ (113) доверенного агента для дешифрования данных от сервера (110) доступа;
доверенное приложение (117), сконфигурированное для связи с доверенным агентом (112) для доступа к контенту (104), регулируемого сервером (110) доступа;
ключ (116) фактора, предназначенный для дешифрования данных от сервера (110) доступа, причем эти данные содержат ключ контента для дешифрования контента (104) от издательской компьютерной системы; и
ключ (118) пользователя, охраняемый доверенным агентом и предназначенный для дешифрования данных от доверенного агента (112).
17. Система по п.16, в которой ключ фактора соответствует фактору, установленному издателем.
18. Система по п.17, в которой ключ фактора устанавливается обобщенно издателем как класс факторов.
19. Система по п.17, в которой ключ фактора устанавливается в явном виде издателем.
20. Система для защиты контента, содержащая:
издатель (102), причем издатель (102) выполнен с возможностью передачи шифрованного контента (104) получателям, при этом издатель (102) дополнительно выполнен с возможностью передачи ключа (107) контента, используемого для дешифрования шифрованного контента (104), и политики (106), задающей, как разрешено использовать шифрованный контент (104), причем политика (106) дополнительно содержит установку одного или нескольких дополнительных факторов защиты для защиты шифрованного контента (104);
получатель (108), подключенный к издателю (102), причем получатель (108) выполнен с возможностью приема контента (104) от издателя (102), при этом получатель (108) дополнительно содержит доверенный агент (112), выполненный с возможностью управления использованием контента на получателе (108); и
сервер (110) доступа, подключенный к доверенному агенту (112) получателя (108), причем сервер (110) доступа выполнен с возможностью приема политики (106) и ключа (107) контента от издателя и выполнен с возможностью обеспечения политики (106a) доступа и ключа (107) контента от сервера (110) доступа для получателя (108) посредством доверенного агента (112).
RU2010114241/08A 2007-10-11 2008-10-07 Многофакторная защита контента RU2501081C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/870,964 US8059820B2 (en) 2007-10-11 2007-10-11 Multi-factor content protection
US11/870,964 2007-10-11
PCT/US2008/079118 WO2009048893A2 (en) 2007-10-11 2008-10-07 Multi-factor content protection

Publications (2)

Publication Number Publication Date
RU2010114241A RU2010114241A (ru) 2011-10-20
RU2501081C2 true RU2501081C2 (ru) 2013-12-10

Family

ID=40534215

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010114241/08A RU2501081C2 (ru) 2007-10-11 2008-10-07 Многофакторная защита контента

Country Status (6)

Country Link
US (1) US8059820B2 (ru)
EP (1) EP2212822B1 (ru)
JP (1) JP5361894B2 (ru)
CN (1) CN101821747B (ru)
RU (1) RU2501081C2 (ru)
WO (1) WO2009048893A2 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2723916C2 (ru) * 2016-03-08 2020-06-18 Алибаба Груп Холдинг Лимитед Устройство и способ обработки опубликованной информации и система публикации информации
RU2756048C2 (ru) * 2017-01-26 2021-09-24 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Адресация доверенной среды исполнения с использованием ключа шифрования
RU2756040C2 (ru) * 2017-01-26 2021-09-24 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Адресация доверенной среды исполнения с использованием ключа подписи

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10181953B1 (en) 2013-09-16 2019-01-15 Amazon Technologies, Inc. Trusted data verification
US9552491B1 (en) * 2007-12-04 2017-01-24 Crimson Corporation Systems and methods for securing data
US9258312B1 (en) 2010-12-06 2016-02-09 Amazon Technologies, Inc. Distributed policy enforcement with verification mode
US9237155B1 (en) 2010-12-06 2016-01-12 Amazon Technologies, Inc. Distributed policy enforcement with optimizing policy transformations
US8769642B1 (en) 2011-05-31 2014-07-01 Amazon Technologies, Inc. Techniques for delegation of access privileges
US8973108B1 (en) * 2011-05-31 2015-03-03 Amazon Technologies, Inc. Use of metadata for computing resource access
WO2013009290A1 (en) * 2011-07-11 2013-01-17 Hewlett-Packard Development Company, Lp Policy based data management
US9178701B2 (en) 2011-09-29 2015-11-03 Amazon Technologies, Inc. Parameter based key derivation
US9203613B2 (en) 2011-09-29 2015-12-01 Amazon Technologies, Inc. Techniques for client constructed sessions
US9197409B2 (en) 2011-09-29 2015-11-24 Amazon Technologies, Inc. Key derivation techniques
US8892870B2 (en) * 2012-03-12 2014-11-18 Sony Corporation Digital rights management for live streaming based on trusted relationships
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US8739308B1 (en) 2012-03-27 2014-05-27 Amazon Technologies, Inc. Source identification for unauthorized copies of content
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
CN103379098B (zh) * 2012-04-19 2017-02-22 华为技术有限公司 一种内容分享的方法、装置及其网络***
US9660972B1 (en) 2012-06-25 2017-05-23 Amazon Technologies, Inc. Protection from data security threats
US9258118B1 (en) 2012-06-25 2016-02-09 Amazon Technologies, Inc. Decentralized verification in a distributed system
US9407440B2 (en) 2013-06-20 2016-08-02 Amazon Technologies, Inc. Multiple authority data security and access
US9521000B1 (en) 2013-07-17 2016-12-13 Amazon Technologies, Inc. Complete forward access sessions
US9798888B2 (en) 2013-07-30 2017-10-24 Hewlett Packard Enterprise Development Lp Data management
US9237019B2 (en) 2013-09-25 2016-01-12 Amazon Technologies, Inc. Resource locators with keys
US9311500B2 (en) 2013-09-25 2016-04-12 Amazon Technologies, Inc. Data security using request-supplied keys
CN106664198B (zh) * 2013-10-07 2020-05-08 福奈提克斯有限责任公司 用于编制安全对象的方法和计算机可读介质
US10243945B1 (en) 2013-10-28 2019-03-26 Amazon Technologies, Inc. Managed identity federation
US9420007B1 (en) 2013-12-04 2016-08-16 Amazon Technologies, Inc. Access control using impersonization
US9628516B2 (en) 2013-12-12 2017-04-18 Hewlett Packard Enterprise Development Lp Policy-based data management
US9374368B1 (en) 2014-01-07 2016-06-21 Amazon Technologies, Inc. Distributed passcode verification system
US9369461B1 (en) 2014-01-07 2016-06-14 Amazon Technologies, Inc. Passcode verification using hardware secrets
US9292711B1 (en) 2014-01-07 2016-03-22 Amazon Technologies, Inc. Hardware secret usage limits
US9262642B1 (en) 2014-01-13 2016-02-16 Amazon Technologies, Inc. Adaptive client-aware session security as a service
US10771255B1 (en) 2014-03-25 2020-09-08 Amazon Technologies, Inc. Authenticated storage operations
US9258117B1 (en) 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
US10326597B1 (en) 2014-06-27 2019-06-18 Amazon Technologies, Inc. Dynamic response signing capability in a distributed system
US20160036826A1 (en) * 2014-07-29 2016-02-04 Mcafee, Inc. Secure content packaging using multiple trusted execution environments
US10205710B2 (en) * 2015-01-08 2019-02-12 Intertrust Technologies Corporation Cryptographic systems and methods
US10122692B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Handshake offload
US10122689B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Load balancing with handshake offload
US10116440B1 (en) 2016-08-09 2018-10-30 Amazon Technologies, Inc. Cryptographic key management for imported cryptographic keys
WO2018057762A1 (en) * 2016-09-26 2018-03-29 Google Llc A user interface for access control enabled peer-to-peer sharing
US20180115535A1 (en) * 2016-10-24 2018-04-26 Netflix, Inc. Blind En/decryption for Multiple Clients Using a Single Key Pair
WO2020190246A1 (en) * 2019-03-21 2020-09-24 Google Llc Content encryption

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2260918C2 (ru) * 2001-04-18 2005-09-20 Моторола, Инк. Система и способ безопасного и удобного управления цифровым электронным контентом

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060178997A1 (en) * 1996-01-11 2006-08-10 General Dynamics Advanced Information Systems, Inc. Systems and methods for authoring and protecting digital property
US6098056A (en) * 1997-11-24 2000-08-01 International Business Machines Corporation System and method for controlling access rights to and security of digital content in a distributed information system, e.g., Internet
JP4353552B2 (ja) * 1998-06-18 2009-10-28 富士通株式会社 コンテンツサーバ,端末装置及びコンテンツ送信システム
JP3002184B1 (ja) * 1998-09-18 2000-01-24 日本電信電話株式会社 コンテンツ利用装置とコンテンツ利用プログラムを記録した記録媒体
JP2001147899A (ja) * 1999-11-22 2001-05-29 Hitachi Ltd コンテンツ配布システム
DK1195734T3 (da) 2000-01-21 2008-05-13 Sony Corp Anlæg til dataautentificering
JP2001211159A (ja) * 2000-01-27 2001-08-03 Victor Co Of Japan Ltd コンテンツ情報復号化方法、コンテンツ情報復号化装置
US20050149759A1 (en) 2000-06-15 2005-07-07 Movemoney, Inc. User/product authentication and piracy management system
US20030023862A1 (en) 2001-04-26 2003-01-30 Fujitsu Limited Content distribution system
US7373515B2 (en) 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
JP4196561B2 (ja) * 2001-12-12 2008-12-17 日本電気株式会社 コンテンツ配信方法、サーバ端末、中継サーバ、サーバクラスタ及びプログラム
JP2003298565A (ja) * 2002-03-29 2003-10-17 Matsushita Electric Ind Co Ltd コンテンツ配信システム
US7549060B2 (en) 2002-06-28 2009-06-16 Microsoft Corporation Using a rights template to obtain a signed rights label (SRL) for digital content in a digital rights management system
US7703128B2 (en) * 2003-02-13 2010-04-20 Microsoft Corporation Digital identity management
GB0312877D0 (en) * 2003-06-05 2003-07-09 Koninkl Philips Electronics Nv Secure transfer of data
US7703141B2 (en) * 2004-03-11 2010-04-20 Microsoft Corporation Methods and systems for protecting media content
US20050228993A1 (en) 2004-04-12 2005-10-13 Silvester Kelan C Method and apparatus for authenticating a user of an electronic system
US7437771B2 (en) * 2004-04-19 2008-10-14 Woodcock Washburn Llp Rendering protected digital content within a network of computing devices or the like
US20060253894A1 (en) 2004-04-30 2006-11-09 Peter Bookman Mobility device platform
US7774824B2 (en) 2004-06-09 2010-08-10 Intel Corporation Multifactor device authentication
US7386720B2 (en) 2005-02-14 2008-06-10 Tricipher, Inc. Authentication protocol using a multi-factor asymmetric key pair
US20060235795A1 (en) 2005-04-19 2006-10-19 Microsoft Corporation Secure network commercial transactions
US8972743B2 (en) * 2005-05-16 2015-03-03 Hewlett-Packard Development Company, L.P. Computer security system and method
US20070022196A1 (en) 2005-06-29 2007-01-25 Subodh Agrawal Single token multifactor authentication system and method
US20070011452A1 (en) 2005-07-08 2007-01-11 Alcatel Multi-level and multi-factor security credentials management for network element authentication
US9118656B2 (en) 2006-01-26 2015-08-25 Imprivata, Inc. Systems and methods for multi-factor authentication
JP2006197640A (ja) * 2006-03-06 2006-07-27 Nec Corp 暗号化データ配信サービスシステム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2260918C2 (ru) * 2001-04-18 2005-09-20 Моторола, Инк. Система и способ безопасного и удобного управления цифровым электронным контентом

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2723916C2 (ru) * 2016-03-08 2020-06-18 Алибаба Груп Холдинг Лимитед Устройство и способ обработки опубликованной информации и система публикации информации
RU2756048C2 (ru) * 2017-01-26 2021-09-24 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Адресация доверенной среды исполнения с использованием ключа шифрования
RU2756040C2 (ru) * 2017-01-26 2021-09-24 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Адресация доверенной среды исполнения с использованием ключа подписи

Also Published As

Publication number Publication date
US20090097660A1 (en) 2009-04-16
EP2212822B1 (en) 2022-05-18
EP2212822A4 (en) 2017-05-10
US8059820B2 (en) 2011-11-15
WO2009048893A3 (en) 2009-07-16
EP2212822A2 (en) 2010-08-04
JP5361894B2 (ja) 2013-12-04
RU2010114241A (ru) 2011-10-20
CN101821747B (zh) 2012-12-26
WO2009048893A2 (en) 2009-04-16
CN101821747A (zh) 2010-09-01
JP2011501269A (ja) 2011-01-06

Similar Documents

Publication Publication Date Title
RU2501081C2 (ru) Многофакторная защита контента
CN109144961B (zh) 授权文件共享方法及装置
US7774611B2 (en) Enforcing file authorization access
US7526649B2 (en) Session key exchange
US11675922B2 (en) Secure storage of and access to files through a web application
EP3412001B1 (en) A method of data transfer and cryptographic devices
EP3345372B1 (en) Secure key management and peer-to-peer transmission system with a controlled, double-tier cryptographic key structure and corresponding method thereof
US20070271618A1 (en) Securing access to a service data object
US11757639B2 (en) Method, apparatus, and computer-readable medium for secured data transfer over a decentrlaized computer network
CN103003822A (zh) 对平台资源的域认证控制
JP2005228346A (ja) コンテンツとエンティティとを関連付ける方法
US7266705B2 (en) Secure transmission of data within a distributed computer system
KR101809974B1 (ko) 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증시스템 및 보안인증방법
JP5992535B2 (ja) 無線idプロビジョニングを実行するための装置及び方法
WO2022148182A1 (zh) 一种密钥管理方法及相关设备
Guo et al. Using blockchain to control access to cloud data
CN113329003B (zh) 一种物联网的访问控制方法、用户设备以及***
CN116601916A (zh) 作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥
CN114398623A (zh) 一种安全策略的确定方法
US20090327704A1 (en) Strong authentication to a network
CN114762291A (zh) 共享用户的用户特定数据的方法、计算机程序和数据共享***
Kaffel-Ben Ayed et al. A generic Kerberos-based access control system for the cloud
KR101809976B1 (ko) 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법
CN109067868A (zh) 一种用于对云数据存储的方法和***
WO2021073383A1 (zh) 一种用户注册方法、用户登录方法及对应装置

Legal Events

Date Code Title Description
PC41 Official registration of the transfer of exclusive right

Effective date: 20150526

MM4A The patent is invalid due to non-payment of fees

Effective date: 20191008