用于管理文档的数字使用权限的方法和设备的制作方法

文档序号:6484771阅读:251来源:国知局
用于管理文档的数字使用权限的方法和设备的制作方法
【专利摘要】用于管理文档的数字使用权限的方法、设备和系统包括移动计算设备,所述移动计算设备具有包括在其中的数字权限管理(DRM)执行引擎。所述移动计算设备可以与诸如企业数字权限管理(EDRM)服务器的服务器进行通信,以便获取安全文档和相关联的文档使用权限策略。所述文档和使用权限策略被存储在所述移动计算设备的安全存储器中。所述移动计算设备的DRM执行引擎在本地执行所述相关联的文档使用权限策略的同时,提供对被请求的文档的访问。在一些实施例中,所述移动计算设备可以用作对于可通信地耦接到所述移动计算设备的其它计算设备的代理和/或用作对于这样的计算设备的本地EDRM。
【专利说明】用于管理文档的数字使用权限的方法和设备
【背景技术】
[0001]数字权限管理(DRM)技术通过限制请求对安全文档的访问的个体的数字特权(例如,查看权限、修改权限等等)来提供对这样的文档的访问和使用控制。对于安全文档的数字特权通常由可以使数字特权与诸如做出请求的个体的身份的特定标准相关的数字使用权限策略来限定。
[0002]企业数字权限管理(EDRM)系统由公司和其它大型实体使用以便由大群体的用户提供安全文档的企业范围的使用控制和监控。典型地,EDRM系统被体现为由客户端计算机通过网络接入的一个或多个服务器。
【专利附图】

【附图说明】
[0003]在附图中通过示例而非限制的方式来说明本文描述的发明。为了说明的简单和清楚,不一定按照比例来绘制附图中说明的元件。例如,为了清楚起见,可以相对于其它元件来放大一些元件的尺寸。进而,在被认为适当的场合,在附图中重复附图标记以便指示相对应或类似的元件。
[0004]图1是用于管理移动计算设备上的文档的数字使用权限的系统的一个实施例的简化框图;
[0005]图2是图1的移动计算设备的软件环境的简化框图;
[0006]图3是用于管理图1的移动计算设备上的文档的数字使用权限的方法的一个实施例的简化流程图;
[0007]图4是用于管理文档的数字使用权限的系统的另一实施例的简化框图;以及
[0008]图5是用于管理在图4的系统的计算设备上访问的文档的数字使用权限的方法的一个实施例的简化流程图。
【具体实施方式】
[0009]尽管本公开的概念易于实现各种修改和可选形式,但是在附图中通过示例的方式示出了并且在本文中详细描述了其具体的示例性实施例。然而应该理解,并不意在将本公开的概念局限于公开的特定形式,而是相反,本发明意在涵盖落入如所附权利要求限定的本发明的精神和范围内的所有修改、等效和可选形式。
[0010]在下面的描述中,阐述了诸如逻辑实现、操作码、指定操作数的手段、资源划分/共享/复制实现、系统部件的类型和相互关系以及逻辑划分/集成选择的各种具体细节,以便提供对本公开的更加全面的理解。然而,本领域的普通技术人员将认识到,可以在没有这样的具体细节的情况下来实践本公开的实施例。在其它实例中,没有详细地示出控制结构、门级电路和全软件指令序列,以便不混淆本发明。使用包括的描述,本领域的普通技术人员将能够在不进行过度实验的情况下来实现适当的功能。
[0011]在说明书中对“一个实施例”、“实施例”、“示例实施例”等等的提及指示描述的实施例可以包括特定的特征、结构或特性,但是每一个实施例可能不一定都包括该特定的特征、结构或特性。而且,这样的短语不一定都指代相同的实施例。进而,当结合实施例来描述特定的特征、结构或特性时,主张的是,结合不管是否被明确描述的其它实施例来实现这样的特征、结构或特性在本领域的普通技术人员的知识范围内。
[0012]本发明的实施例可以在硬件、固件、软件或其任何组合中实现。在计算机系统中实现的本发明的实施例可以包括部件之间的一个或多个基于总线的互连和/或部件之间的一个或多个点到点互连。也可以将本发明的实施例实现为存储在有形机器可读介质上的指令,该指令可以由一个或多个处理器进行读取和执行。有形机器可读介质可以包括用于以机器(例如,计算设备)可读的形式存储或传输信息的任何有形机制。例如,有形机器可读介质可以包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光学存储介质、闪存设备等等。
[0013]典型的EDRM服务器对于所有安全文档提供使用权限策略的单点执行。然而,只有当对这样的EDRM服务器的访问可用时才能够实现这样的数字权限执行。这样,仅在其中到EDRM服务器的网络接入可用的那些时间期间才提供对EDRM服务器上的安全文档的访问。可选地,如果仅在到EDRM服务器的网络接入可用时才执行文档使用权限,则会违背对安全文档的控制。
[0014]现在参照图1,用于管理文档的数字使用权限的系统100包括能够通过网络106彼此进行通信的移动计算设备102和企业数字权限管理(EDRM)服务器104。如下面更详细讨论的,移动计算设备102包括本地数字权限管理(DRM)执行引擎130,并且这样,系统100包括数字使用权限策略的多点执行(即,至少EDRM服务器104和移动计算设备102)。
[0015]在使用中,移动计算设备102配置为通过网络106与EDRM服务器104进行通信以便从服务器104下载安全文档。此外,从EDRM服务器104下载与被请求的文档相关联的文档使用权限策略。使用权限策略限定与该文档相关联的数字权限,并且使这些权限与特定的标准相关。这样的数字权限可以包括通常与文档相关联的任何数字权限,例如查看权限、保存权限、修改权限、删除权限等等。所述文档使用权限策略还使数字权限与特定的标准相关,该特定的标准例如是移动计算设备102的用户的身份(例如,不管用户是否具有查看权限、修改权限等等)、移动计算设备102的识别特征(例如,不管文档是否能够被保存在特定的移动计算设备102上)、移动计算设备102的位置(例如,不管是否可以在移动计算设备的当前位置中访问被请求的文档)、当前日期和/或时间(例如,不管在当前时间是否能够访问被请求的文档)、总密钥或密码的有效性(例如,不管用户是否输入了正确的密码或密钥)、EDRM服务器104的连接状态(例如,不管移动计算设备102是否能够与EDRM服务器104进行通信)、和/或诸如通常与企业数字权限管理系统相关联的那些标准的其它标准。
[0016]在从EDRM服务器104下载安全文档和相关联的数字使用权限策略之后,将该文档和策略存储在移动计算设备102的安全存储器单元中。如下面更详细讨论的,这样的下载处理可以包括移动计算设备102到EDRM服务器104的认证、加密密钥的交换和/或其它安全措施。此外,可以将文档和相关联的数字使用权限策略从EDRM服务器104下载并且以加密的格式存储在移动计算设备102上。移动计算设备102的本地DRM执行引擎130执行与该移动计算设备102上的文档相关联的数字使用权限策略。也就是说,即使到EDRM服务器104的网络连接不可用,也通过DRM执行引擎130根据与安全文档相关联的使用权限策略来控制和管理移动计算设备102上的安全文档的访问和使用。例如,如果使用权限策略规定相关联的文档不能够由当前用户修改,则DRM执行引擎130确保不对移动计算设备102上的文档做出任何修改。按照这种方式,系统100包括数字使用权限策略的多点执行。
[0017]尽管图1中仅说明性示出了一个移动计算设备102、一个EDRM服务器104和一个网络106,但是系统100可以包括具有类似或不同架构的任何数量的移动计算设备102、EDRM服务器104和网络106。例如,系统100可以包括多个移动计算设备102,每一个移动计算设备102包括配置为与一个或多个EDRM服务器104进行通信以便从服务器104获取安全文档和相关联的使用权限策略的本地DRM执行引擎。
[0018]移动计算设备102可以被体现为能够执行本文描述的功能的任何类型的移动计算设备。例如,移动计算机设备102可以被体现为智能电话、移动互联网设备、手持计算机、膝上型计算机、个人数字助理、电话设备或其它便携式计算设备。在图1的说明性实施例中,移动计算设备102包括处理器110、芯片集114、存储器116、一个或多个外围设备118和通信电路120。在一些实施例中,可以将前述部件中的几个结合在移动计算设备102的母板上,而其它部件可以例如经由外围端口可通信地耦接到该母板。而且,应该认识到,移动计算设备102可以包括在计算机和/或计算设备中通常发现的其它部件、子部件和设备,为了描述的清楚,图1中没有对这些进行说明。
[0019]移动计算设备102的处理器110可以被体现为能够执行软件/固件的任何类型的处理器,例如微处理器、数字信号处理器、微控制器等等。处理器110被说明性地体现为具有处理器核心112的单核心处理器。然而,在其它实施例中,处理器Iio可以被体现为具有多个处理器核心112的多核心处理器。此外,移动计算设备102可以包括具有一个或多个处理器核心112的额外的处理器110。
[0020]移动计算设备102的芯片集114可以包括存储器控制器集线器(MCH或“北桥”)、输入/输出控制器集线器(ICH或“南桥”)和固件设备。芯片集114的固件设备可以被体现为用于存储基本输入/输出系统(BIOS)数据和/或指令和/或其它信息的存储器设备(例如,在移动计算设备102的引导期间使用的BIOS驱动器)。然而,在其它实施例中,可以使用具有其它配置的芯片集。例如,在一些实施例中,芯片集114可以被体现为平台控制器集线器(PCH)。在这样的实施例中,存储器控制器集线器(MCH)可以被结合在处理器110中或者以其它方式与处理器110相关联,并且处理器110可以与存储器116直接进行通信(如图1中的虚线所示)。
[0021]处理器110经由多个信号路径可通信地耦接到芯片集114。这些信号路径(以及图1中说明的其它信号路径)可以被体现为能够促进移动计算设备102的部件之间的通信的任何类型的信号路径。例如,信号路径可以被体现为任何数量的布线、电缆、光导、印刷电路板迹线、通孔、总线、居间设备和/或类似设备。
[0022]移动计算设备102的存储器116可以被体现为一个或多个存储器设备或数据存储单元,例如包括动态随机存取存储器设备(DRAM)、同步动态随机存取存储器设备(SDRAM)、双数据率同步动态随机存取存储器设备(DDR SDRAM)、闪存设备和/或其它易失性存储器设备。存储器116经由多个信号路径可通信地耦接到芯片集114。尽管在图1中仅说明了单个存储器设备116,但是在其它实施例中,移动计算设备102可以包括额外的存储器设备。可以将各种数据和软件存储在存储器设备116中。例如,构成由处理器110执行的软件堆的一个或多个操作系统、应用、程序、库和驱动器可以在执行期间存在于存储器116中。而且,存储在存储器116中的软件和数据可以在存储器116和外围设备118的数据存储设备之间进行交换,作为存储器管理操作的一部分。
[0023]移动计算设备102的外围设备118可以包括任何数量的外围或接口设备。例如,外围设备118可以包括显示器、键盘、鼠标、诸如内部或外部硬驱的一个或多个数据存储设备和/或其它外围设备。包括在外围设备118中的特定设备可以例如取决于移动计算设备102的期望使用。外围设备118经由多个信号路径可通信地耦接到芯片集114,从而允许芯片集114和/或处理器110从外围设备118接收输入并且将输出发送到外围设备118。
[0024]移动计算设备102的通信电路120可以被体现为用于使能移动计算设备102和EDRM服务器104之间通过网络106的通信的任何数量的设备和电路。通信电路120经由多个信号路径可通信地耦接到芯片集114。通信电路120可以包括一个或多个有线和/或无线网络接口以便促进通过网络106的有线和/或无线部分的通信。
[0025]如上面讨论的,移动计算设备102还包括数字权限管理(DRM)执行引擎130。DRM执行引擎130被体现为配置为执行与移动计算设备102上的安全文档相关联的使用权限策略的硬件和相关联的固件/软件。例如,DRM执行引擎130可以被体现为安全协处理器、受信平台模块(TPM)和/或其它安全增强硬件和相关联的固件/软件模块。在一些实施例中,DRM执行引擎130可以形成芯片集114的一部分(例如,在其中DRM执行引擎130被体现为安全处理器的实施例中)。
[0026]移动计算设备102还包括安全存储器132,其经由多个信号路径可通信地耦接到DRM执行引擎130。安全存储器132专用于DRM执行引擎130。在一些实施例中,安全存储器132可以被体现为存储器116的多个安全存储器单元或者仅由DRM执行引擎130可访问的单独存储器设备。如下面更详细讨论的,DRM执行引擎130配置为将安全文档和相关联的使用权限策略存储在安全存储器132中。
[0027]在一些实施例中,移动计算设备102还可以包括一个或多个传感器134。传感器134可以被体现为能够生成关于移动计算设备102的上下文数据的任何类型的传感器。例如,传感器134可以被体现为配置为生成指示移动计算设备102的位置的信号数据的全球定位系统(GPS)电路、配置为生成指示某一生物计量参数(例如,用户的指纹)的信号数据的生物计量读取器和/或类似电路。在这样的实施例中,DRM执行引擎130可以配置为以由传感器134生成的信号数据为基础来执行文档使用权限策略,如下面更详细讨论的。
[0028]网络106可以被体现为任何数量的各种有线和/或无线电信网络。例如,网络106可以被体现为或以其它方式包括一个或多个蜂窝网络、电话网络、局域网或广域网、公开可用的全球网络(例如,互联网)或其任何组合。而且,网络106可以包括任何数量的额外设备以便促进移动计算设备102和诸如路由器、交换机、居间计算机和/或类似设备的EDRM服务器104之间的通信。移动计算设备102和EDRM服务器104可以使用任何适当的通信协议以便通过网络106彼此进行通信,例如取决于网络106的特定类型。
[0029]EDRM服务器104可以被体现为配置为执行诸如文档使用监控和数字权限执行的典型EDRM功能的任何类型的企业DRM服务器。此外,与典型的企业DRM服务器不同,EDRM服务器104配置为还传输与特定的被请求的文档相关联的数字使用权限策略,如下面更详细讨论的。在图1的说明性实施例中,EDRM服务器104包括处理器150、存储器152和通信电路154。在一些实施例中,可以将前述部件中的几个结合在EDRM服务器104的母板上,而其它部件可以例如经由外围端口可通信地耦接到该母板。而且,应该认识到,EDRM服务器104可以包括在计算机和/或计算设备中通常发现的其它部件、子部件和设备,为了描述的清楚,图1中没有对这些进行说明。
[0030]EDRM服务器104的处理器150可以被体现为能够执行软件/固件的任何类型的处理器,例如微处理器、数字信号处理器、微控制器等等。此外,处理器150可以被体现为单核心处理器、多核心处理器或多个处理器,每一个处理器具有一个或多个核心。EDRM服务器104的存储器152可以被体现为一个或多个存储器设备或数据存储单元,例如包括动态随机存取存储器设备(DRAM)、同步动态随机存取存储器设备(SDRAM)、双数据率同步动态随机存取存储器设备(DDR SDRAM)、闪存设备和/或其它易失性存储器设备。可以将各种数据和软件存储在存储器设备152中。例如,构成由处理器150执行的软件堆的一个或多个操作系统、应用、程序、库和驱动器可以在执行期间存在于存储器116中。EDRM服务器104的通信电路154可以被体现为用于使能EDRM服务器104和移动计算设备102之间通过网络106的通信的任何数量的设备和电路。例如,通信电路154可以包括一个或多个有线和/或无线网络接口以便促进通过网络106的有线和/或无线部分的通信。
[0031]现在参照图2,DRM执行引擎130被体现为如上面讨论的硬件和相关联的固件/软件模块和设备。在说明性实施例中,DRM执行引擎130包括应用程序接口(API)200以便促进DRM执行引擎130和移动计算设备102上的本地应用或软件服务之间的交互。这样的本地应用可以被体现为在移动计算设备102上执行的任何软件或固件应用(例如,文字处理应用),该移动计算设备102请求对其数字权限由DRM执行引擎130管理的文档的访问。
[0032]移动计算设备102还包括安全文档数据库202和本地DRM策略数据库204。数据库202、204被存储在安全存储器132中并且可以被体现为任何类型的数据库,例如关系数据库、平面文件数据库或其它数据结构。在一些实施例中,安全文档数据库202和DRM策略数据库204可以被加密或者以其它方式包括某种形式的安全性。如上面讨论的,移动计算设备102与EDRM服务器104通信以便获取安全文档和相关联的使用权限策略。移动计算设备102的DRM执行引擎130配置为将从EDRM服务器104下载的任何安全文档存储在安全文档数据库202中并且将相关联的使用权限策略存储在DRM策略数据库204中。DRM执行引擎130以存储在DRM策略数据库204中的使用权限策略为基础来控制安全文档的使用。此外,在其中移动计算设备102包括一个或多个传感器134的实施例中,DRM执行引擎130可以配置为部分地以从传感器134接收到的传感器数据206为基础来执行文档使用权限策略。
[0033]现在参照图3,在使用中,移动计算设备102可以配置为执行用于管理设备102上的文档的数字使用权限的方法300。例如,方法300或其部分可以由DRM执行引擎130执行。方法300开始于方框302,在方框302中,移动计算设备102确定用户是否请求了对存储在EDRM服务器104上的安全文档的访问。如果为是,则方法300进行到方框304,在方框304中,移动计算设备102通过网络106连接到EDRM服务器104。在方框306中,将移动计算设备102认证到EDRM服务器104。可以使用任何适当的方法和技术来认证移动计算设备102。例如,可以以移动计算设备102的唯一识别密钥(例如,媒体访问控制(MAC)地址、全局唯一标识符(GUID)等等)为基础来认证移动计算设备102。此外或者可选地,可以以一个或多个加密密钥、密码、总密钥、生物计量数据和/或其它安全措施为基础来认证移动计算设备102。
[0034]如果在方框306中没有正确地认证移动计算设备102,则EDRM服务器104拒绝该请求并且方法300结束。然而,如果在方框306中成功认证了移动计算设备102,则在方框308中移动计算设备102从EDRM服务器104下载被请求的安全文档。此外,在方框308中,移动计算设备102下载对于被请求的文档的相关联的文档使用权限策略。如上面讨论的,在一些实施例中,可以从EDRM服务器104以加密的格式下载安全文档和使用权限策略。在方框310中,移动计算设备102的DRM执行引擎130将下载的文档存储在安全文档数据库202中并且将相关联的使用权限策略存储在DRM策略数据库204中。应该认识到,移动计算设备102可以从EDRM服务器104获取并存储多个安全文档以及相关联的使用权限策略。这样,移动计算设备102可以在任何时间点处具有分别存储在数据库202、204中的多个文档和策略。
[0035]在移动计算设备102从EDRM104获取并存储了被请求的文档和相关联的使用权限策略之后,在方框312中,移动计算设备102的用户可以请求该文档的访问或使用。如果这样,则方法300进行到方框314,在方框314中,确定对于被请求的文档的使用权限。为了这样做,DRM执行引擎130可以从DRM策略数据库204获取与被请求的文档相关联的使用权限策略。DRM执行引擎130可以随后以该使用权限策略为基础来确定对于被请求的文档的当前使用权限。如上面讨论的,使用权限策略限定了与该文档相关联的数字权限,该数字权限可以包括通常与文档相关联的任何数字权限,例如查看权限、保存权限、修改权限、删除权限等等。文档使用权限策略还使数字权限与特定的标准相关,该特定的标准例如是移动计算设备102的用户的身份、移动计算设备102的识别特征、移动计算设备102的位置、当前日期和/或时间、总秘钥或密码的有效性、EDRM服务器104的连接状态和/或诸如通常与企业数字权限管理系统相关联的那些标准的其它标准。在其中移动计算设备102包括一个或多个传感器134的实施例中,DRM执行引擎130可以以使用权限策略和传感器数据206为基础来确定对于被请求的文档的当前使用权限。例如,如果相关联的使用权限策略规定仅当移动计算设备位于特定位置处(例如,在工作)时才可以查看该文档,则DRM执行引擎130配置为以传感器数据206为基础来确定移动计算设备102的位置。
[0036]在方框316中,DRM执行引擎130验证对于该文档的使用权限。也就是说,DRM执行引擎130以在相关联的使用权限策略中阐述的额外标准(例如,用户的身份、设备102的识别特征、位置、时间、日期、总密钥认证等等)为基础来确定是否验证了该文档的被请求的使用(例如,查看、修改、存储、删除等等)。如果为是,则DRM执行引擎130从安全文档数据库202获取安全文档,并且在执行对于该文档的使用权限策略的同时允许移动计算设备102上的文档的被请求的使用。然而,如果DRM执行引擎130确定没有验证该文档的被请求的使用(例如,当使用权限策略禁止对文档的用户请求的修改时,这样的修改),则在方框320中,DRM执行引擎130拒绝对安全文档的访问。此外,在一些实施例中,在方框322中,DRM执行引擎130可以执行额外的安全功能,例如以记录安全侵犯、警告EDRM服务器104、向移动计算设备102的用户显示警告和/或一个或多个额外的安全功能为例。按照这种方式,移动计算设备102的DRM执行引擎130提供与安全文档相关联的数字使用权限策略的本地点执行。
[0037]现在参照图4,在一些实施例中,系统100还可以包括一个或多个额外的计算设备400。该额外的计算设备400可能不能够与EDRM服务器104直接和/或通过网络106进行通信。然而,该额外的计算设备400可以能够通过个人域网(PAN)等等(例如,使用红外(IR)通信、蓝牙?通信、近场通信(NFC)等等)与移动计算设备102进行直接通信。在这样的实施例中,如下面更详细讨论的,移动计算设备102可以用作对于该额外的计算设备400的代理以便从EDRM服务器104获取安全文档和/或当对EDRM服务器400的访问不可用时用作对于计算设备400的本地EDRM服务器。
[0038]该额外的计算设备400可以被体现为能够执行本文描述的功能的任何类型的计算设备。例如,计算设备400可以被体现为桌上型计算机、膝上型计算机、智能电话、移动互联网设备、手持计算机、数字平板电脑、个人数字助理、电话设备或者其它移动或静止计算设备。在图4的说明性实施例中,每一个额外的计算设备400包括处理器402、存储器404和通信电路406。在一些实施例中,可以将前述部件中的几个结合在移动计算设备400的母板上,而其它部件可以例如经由外围端口可通信地耦接到该母板。而且,应该认识到,计算设备400可以包括在计算设备中通常发现的其它部件、子部件和设备,为了描述的清楚,图4中没有对这些进行说明。
[0039]计算设备400的处理器402可以被体现为能够执行软件/固件的任何类型的处理器,例如微处理器、数字信号处理器、微控制器等等。此外,处理器402可以被体现为单核心处理器、多核心处理器或多个处理器,每一个处理器具有一个或多个核心。计算设备400的存储器404可以被体现为一个或多个存储器设备或数据存储单元,例如包括动态随机存取存储器设备(DRAM)、同步动态随机存取存储器设备(SDRAM)、双数据率同步动态随机存取存储器设备(DDR SDRAM)、闪存设备和/或其它易失性存储器设备。可以将各种数据和软件存储在存储器设备404中。例如,构成由处理器402执行的软件堆的一个或多个操作系统、应用、程序、库和驱动器可以在执行期间存在于存储器404中。计算设备400的通信电路406可以被体现为用于使能计算设备400和诸如IR发射机、蓝牙?发射机、NFC发射机和/或类似设备的移动计算设备102之间的通信的任何数量的设备和电路。然而,在一些实施例中,通信电路406可能不支持通过网络106与EDRM服务器104的通信。
[0040]现在参照图5,在使用中,移动计算设备102可以配置为执行用于管理在计算设备400上访问的文档的数字使用权限的方法500。例如,方法500或其部分可以由移动计算设备102的DRM执行引擎130执行。方法500开始于方框502,在方框502中,移动计算设备102确定是否从额外的计算设备400之一接收到访问安全文档的请求。如上面讨论的,计算设备400可以配置为通过个人域网(PAN)使用诸如以IR通信、蓝牙?通信、近场通信和/或类似技术为例的通信技术与移动计算设备102进行通信。
[0041]如果移动计算设备102从额外的计算设备400之一接收到对于安全文档的请求,则方法500进行到方框504。在方框504中,移动计算设备102确定到EDRM服务器104的网络接入是否可用。如果为是,则在方框506中,移动计算设备102通过从EDRM服务器104下载安全文档来用作对于做出请求的计算设备400的代理。为了这样做,在方框508中,移动计算设备102通过网络106连接到EDRM服务器104。在方框510中,将移动计算设备102认证到EDRM服务器104。如上面讨论的,可以使用任何适当的方法和技术来认证移动计算设备102。例如,可以以移动计算设备102的唯一识别密钥(例如,媒体访问控制(MAC)地址、全局唯一标识符(⑶ID)等等)为基础来认证移动计算设备102。此外或者可选地,可以以一个或多个加密密钥、密码、总密钥、生物计量数据和/或其它安全措施为基础来认证移动计算设备102。
[0042]如果在方框510中没有正确地认证移动计算设备102,则EDRM服务器104拒绝该请求并且方法500结束。然而,如果在方框510中成功认证了移动计算设备102,则在方框514中,移动计算设备102从EDRM服务器104下载被请求的安全文档。此外,在方框514中,移动计算设备102下载对于被请求的文档的相关联的使用权限策略。如上面讨论的,在一些实施例中,可以从EDRM服务器104以加密的格式下载安全文档和使用权限策略。移动计算设备102的DRM执行引擎130将下载的文档存储在安全文档数据库202中并且将相关联的使用权限策略存储在DRM策略数据库204中。
[0043]在移动计算设备102从EDRM104获取并存储了被请求的文档和相关联的使用权限策略之后,在方框516中,移动计算设备102在执行与文档相关联的使用权限策略的同时,向做出请求的计算设备400提供对文档的访问。例如,如果移动计算设备102的DRM执行引擎130根据相关联的使用权限策略确定不应该在当前位置处访问该文档,则在方框516中,DRM执行引擎130可以拒绝到额外的计算设备400的接入。
[0044]现在返回参照方框504,如果移动计算设备102确定到EDRM服务器104的网络接入不可用,则方法500进行到方框520。在方框520中,移动计算设备102的DRM执行引擎130确定由额外的计算设备400请求的文档是否被本地存储在移动计算设备102上(例如,存储在安全文档数据库202中)。如果为否,则被请求的文档在当前时间不可用,并且方法500循环回到方框502。
[0045]然而,如果移动计算设备102确实包括被请求的文档的本地存储的拷贝,则方法500进行到方框522,在方框522中,移动计算设备用作对于做出请求的计算设备400的本地EDRM服务器。为了这样做,在方框524中,移动计算设备102的DRM执行引擎130以使用权限策略为基础来确定并验证对于被请求的文档的当前使用权限。例如,DRM执行引擎130可以从DRM策略数据库204获取与被请求的文档相关联的使用权限策略。DRM执行引擎130可以随后以使用权限策略为基础,并且在一些实施例中以上面详细讨论的传感器数据206为基础,来确定对于被请求的文档的当前使用权限。此外,DRM执行引擎130验证对于该文档的使用权限。也就是说,DRM执行引擎130以在相关联的使用权限策略中阐述的额外标准(例如,用户的身份、设备102的识别特征、位置、时间、日期、总密钥认证等等)为基础来确定是否验证了所述文档的被请求的使用(例如,查看、修改、存储、删除等等)。如果为是,则在方框526中,移动计算设备102在执行与文档相关联的使用权限策略的同时,向做出请求的计算设备400提供对文档的访问。
[0046]尽管在附图和前面的描述中详细说明和描述了本公开,但是认为这样的说明和描述在本质上是示例性而非限制性的,应该理解,仅示出和描述了说明性实施例,并且期望保护在本公开的精神内的所有改变和修改。
【权利要求】
1.一种方法,包括: 在移动计算设备上建立数字权限管理(DRM)执行引擎; 将文档和相关联的文档使用权限策略从服务器下载到所述移动计算设备; 将所述文档和所述相关联的文档使用权限策略存储在所述移动计算设备上的安全存储器中;并且 使用所述DRM执行引擎来执行所述移动计算设备上的所述文档的所述相关联的文档使用权限策略。
2.如权利要求1所述的方法,其中,建立DRM执行引擎包括在所述移动计算设备的安全处理器上建立DRM执行引擎。
3.如权利要求1所述的方法,其中,下载所述文档和所述相关联的文档使用权限策略包括将所述移动计算设备认证到所述服务器,并且对所述移动计算设备被认证做出响应而下载所述文档和所述相关联的文档使用权限策略。
4.如权利要求1所述的方法,其中,下载所述文档和所述相关联的文档使用权限策略包括通过网络从企业数字权限管理(EDRM)服务器下载所述文档和所述相关联的文档使用权限策略。
5.如权利要求1所述的方法,其中,下载所述相关联的文档使用权限策略包括以下列项目中的至少一个为基础来下载使数字使用权限与所述文档相关的相关联的文档使用权限策略:所述移动计算设备 的识别特征、所述移动计算设备的用户的身份、所述移动计算设备的位置、当前日期、当前时间、总秘钥以及到企业数字权限管理(EDRM)服务器的连接状态。
6.如权利要求5所述的方法,其中,对于所述文档的所述数字使用权限包括下列项目中的至少一个:查看权限、修改权限、打印权限和保存权限。
7.如权利要求1所述的方法,其中,存储所述文档和所述相关联的文档使用权限策略包括将所述文档和所述相关联的文档使用权限策略存储在所述移动计算设备上专用于所述移动计算设备的安全处理器的安全存储器空间中。
8.如权利要求1所述的方法,其中,存储所述文档包括以加密的格式存储所述文档。
9.如权利要求1所述的方法,其中,执行所述相关联的文档使用权限策略包括遵照所述相关联的文档使用权限策略来提供对于所述移动计算设备上的所述文档的数字使用权限。
10.如权利要求9所述的方法,其中,对于所述文档的所述数字使用权限包括下列项目中的至少一个:查看权限、修改权限、打印权限和保存权限。
11.如权利要求1所述的方法,进一步包括从所述移动计算设备的传感器接收传感器数据,并且 其中,执行所述相关联的文档使用权限策略包括以所述相关联的文档使用权限策略和所述传感器数据为基础来提供对所述移动计算设备上的所述文档的访问。
12.如权利要求1所述的方法,进一步包括: 在所述移动计算设备上从另一计算设备接收对于存储在所述服务器上的安全文档的请求; 对接收到所述请求做出响应而将所述安全文档和所述安全文档的文档使用权限策略从所述服务器下载到所述移动计算设备; 将所述安全文档和所述安全文档的所述文档使用权限策略存储在所述移动计算设备的所述安全存储器中;并且 遵照所述安全文档的所述文档使用权限策略来向所述另一计算设备提供对所述安全文档的访问。
13.如权利要求1所述的方法,进一步包括: 在所述移动计算设备上从另一计算设备接收对于存储在所述服务器上的安全文档的请求; 确定所述安全文档是否被本地存储在移动计算设备上; 确定到所述服务器的网络连接是否可用;并且 对(i)所述安全文档被本地存储在所述移动计算设备上和(ii)到所述服务器的网络连接不可用做出响应,遵照存储在所述移动计算设备上的所述安全文档的文档使用权限策略来向所述另一计算设备提供对存储在所述移动计算设备上的所述安全文档的访问。
14.包括多个指令的一个或多个有形机器可读介质,所述指令对被执行做出响应而使移动计算设备执行下列操作: 在所述移动计算设备的安全处理器中建立数字权限管理(DRM)执行引擎; 经由所述移动计算设备接收对于文档的请求; 对接收到所述请求做出响应而将所述文档和相关联的文档使用权限策略从服务器下载到所述移动计算设备的安全存储器;并且 在使用所述DRM执行引擎执行所述相关联的文档使用权限策略的同时,提供对所述移动计算设备上的所述文档的访问。
15.如权利要求14所述的一个或多个有形机器可读介质,其中,所述多个指令进一步使所述移动计算设备执行下列操作: 从所述移动计算设备的传感器接收传感器数据;并且 以所述相关联的文档使用权限策略和所述传感器数据为基础来提供对所述移动计算设备上的所述文档的访问。
16.如权利要求14所述的一个或多个有形机器可读介质,其中,所述多个指令进一步使所述移动计算设备执行下列操作: 从另一计算设备接收对于存储在所述服务器上的安全文档的请求; 对接收到所述请求做出响应而将所述安全文档和所述安全文档的文档使用权限策略从所述服务器下载到所述移动计算设备的所述安全存储器;并且 遵照所述安全文档的所述文档使用权限策略来向所述另一计算设备提供对所述安全文档的访问。
17.如权利要求14所述的一个或多个有形机器可读介质,其中,所述多个指令进一步使所述移动计算设备执行下列操作: 从另一计算设备接收对于存储在所述服务器上的安全文档的请求; 确定所述安全文档是否被本地存储在移动计算设备上以及到所述服务器的网络连接是否可用;并且 对(i)所述安全文档被本地存储在所述移动计算设备上和(ii)到所述服务器的网络连接不可用做出响应,遵照存储在所述移动计算设备上的所述安全文档的文档使用权限策略来向所述另一计算设备提供对存储在所述移动计算设备上的所述安全文档的访问。
18.—种移动计算设备,包括: 数字权限管理(DRM)执行引擎; 处理器;以及 存储器设备,所述存储器设备具有存储在其中的多个指令,所述指令当由所述处理器执行时使所述DRM执行引擎执行下列操作: 将文档和相关联的文档使用权限策略从服务器下载到所述移动计算设备; 将所述文档和所述相关联的文档使用权限策略存储在所述存储器设备的安全存储器单兀中;并且 使用所述DRM执行引擎来执行所述移动计算设备上的所述文档的所述相关联的文档使用权限策略。
19.如权利要求18所述的移动计算设备,其中,所述数字权限管理(DRM)执行引擎包括安全协处理器。
20.如权利要求18所述的移动计算设备,进一步包括传感器,其中,所述多个指令进一步使所述DRM执行引擎以从所述传感器接收到的传感器数据为基础来执行所述文档的所述相关联的文档使用权限策略。·
【文档编号】G06F21/60GK103597494SQ201180071331
【公开日】2014年2月19日 申请日期:2011年12月22日 优先权日:2011年4月2日
【发明者】J·巴卡, S·艾斯, A·罗斯, T·科伦贝格, D·摩根 申请人:英特尔公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1