CN101263500A - 数据访问控制 - Google Patents

数据访问控制 Download PDF

Info

Publication number
CN101263500A
CN101263500A CN200680033233.5A CN200680033233A CN101263500A CN 101263500 A CN101263500 A CN 101263500A CN 200680033233 A CN200680033233 A CN 200680033233A CN 101263500 A CN101263500 A CN 101263500A
Authority
CN
China
Prior art keywords
data
data processing
described data
data cell
control information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200680033233.5A
Other languages
English (en)
Other versions
CN101263500B (zh
Inventor
H·瓦里斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Technologies Oy
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of CN101263500A publication Critical patent/CN101263500A/zh
Application granted granted Critical
Publication of CN101263500B publication Critical patent/CN101263500B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种数据处理机制,其中将小型二进制标签附加于数据(每个消息和文件)用于控制数据的访问和处理。该标签包含专用比特,用于指示其各种使用权,诸如复制、转发、编辑以及编辑标签本身的权利。该标签由数据的作者或由处理数据的任何其他方创建,包括中间件代理以及基于诸如作者和/或接收方的网络或所有权域之类的上下文环境的数据的可能接收方。

Description

数据访问控制
技术领域
本发明涉及数据访问控制。本发明尤其但非排他性地涉及移动通信中的数据访问控制。
背景技术
在现代信息社会中,以电子形式分布信息是非常容易的。可以使用电子邮件、因特网新闻组、即时消息发送、多媒体消息发送服务(MMS)和短消息服务(SMS)单独地发送各种类型的消息和计算机可读文件,或者将它们发送到预定或甚至非限定接收方组。最后两个示例是由现代蜂窝电信网络提供的服务,其他示例是支持因特网的服务并且还是由现代移动电话支持的服务。
通信的便捷还给访问控制带来了新的困难,因为需要存储具有版权的、机密的、私有的以及共同所有的数据,并且将其传送到不同的接收方。为了控制数据访问,已经设计了各种机制。例如,已经开发了特定的基础结构解决方案,包括防火墙、封闭的内部网、由办公套件应用(诸如Microsoft WordTM和PKZipTM)以及专用加密应用(包括PGP(极好的隐私))提供的对文档的密码保护加密。以诸如超文本标记语言(HTML)之类的标记语言提供基于环球信息网(WWW)的主页,并且由密码控制访问。数据的访问控制还覆盖对数据操纵的控制,诸如打印、复制、编辑和重新分布。数字版权管理(DRM)和由开放移动联盟TM(OMA)以及除此之外的VerisignTM指定的不同的检验系统分别支持内容的认证和完整性保护,从而一个人可以信任数据来自于给定源并且某种程度上是可靠的(VerisignTM),并且从而尊重数据的所有权。诸如Adobe AcrobatReaderTM之类的某些应用用于在查看文档内容时,保护内容免受编辑、复制以及打印。OMA DRM采取额外的步骤并且还应该阻止对内容的未经授权的分布以保护诸如铃声销售之类的业务不被免费复制。
然而,值得注意的是,任何内容保护仍旧允许用户实际看到和/或听到受保护的内容,受保护的内容对于使用合适的介质记录器或通过抽头到诸如扬声器之类的用户拥有的数据输出设备的线缆进行的简单复制还是非常暴露的。质量可能会略微下降,但是仍旧存在此类风险。而且,利用通用的可用软件通常很容易破解诸如办公应用实行的密码之类的应用专用数据控制访问方法。加密或其他访问保护通常还包括提示并且从用户读取密码或智能卡,对于诸如个人电子邮件之类的正常文档而言这是非常费力的。例如,当内容保护妨碍进行正常的备份复制时,合法使用也是很复杂的,并且甚至可能导致失败。结果,可能大部分现有的非公共电子内容仍是未经保护和未经控制的,并且因此即使没有任何恶意,也可以很容易地以不希望的方式,来散步这些内容。
发明内容
本发明的目的是避免或至少减轻现有技术中存在的问题。
根据本发明的第一方面,提供一种数据单元,包括用于控制数据单元处理的控制信息,其中控制信息包括旨在管理对数据单元的访问的数据处理条件的二进制表示。
有优势地,数据单元允许将访问条件存储到数据单元中的微小(minute)标签中,从而后续的处理可以考虑数据单元处理中的可能限制。该处理可以包括访问数据单元、修改数据单元、从数据单元中电子地复制信息、转发数据单元以及在特定域之上传递数据单元中之一。
该数据单元可以由文件或消息组成或者包含文件或消息。有优势地,该数据单元中的控制信息的物理布置可以在改变数据单元的表示的时候加以转换,例如当将文件转换为消息或将消息转换为文件时。
该数据单元可以包含指示是否允许对数据单元进行电子修改的修改指示符。有优势地,该修改指示符可以用于选择性地允许或不允许生成该数据单元的电子衍生物(derivative)。根据配有该修改指示符的资料,很容易定义是否允许扩展修改并且允许何种扩展修改。
该修改指示符可以指示是否允许对控制信息本身的修改。如果允许,那么后续用户可以更新(添加、改变或移除)任何或所有处理条件。对于提供用于与其他人或组织进行有效合作的装置,这一点可能尤其有用。
该数据单元可以包含数据分类符,该数据分类符用于将数据单元独立于应用地分类到给定的类别中,从而分类地控制对数据单元的处理。
根据本发明的第二方面,提供一种数据处理管理器,用于控制对信息的处理,该管理器包括向数据单元提供根据本发明第一方面的处理条件的装置。
该数据处理管理器可以包含用于创建或更新控制信息的装置。该数据处理管理器可以包含用于基于对数据单元的源的检测;其他状态信息;以及本地策略而形成标签的装置。该数据处理管理器可以额外地或可选地能够进行以下任何一项内容:合并标签、复制标签或从其他标签导出标签。
该数据处理管理器可以驻留在客户端设备处,诸如数据服务器之类的中间单元处或可访问客户端设备或诸如数据服务器之类的中间单元的专用网络互联单元处。
根据本发明的第三方面,提供一种包括第二方面的数据处理管理器的元件。可以从包括以下内容的组中选择该元件:数据终端;数据服务器;用于控制数据终端的计算机程序;用于控制数据服务器的计算机程序;包括用于控制数据终端的计算机程序的组件;包括用于控制数据服务器的计算机程序的组件;包括用于控制数据终端的计算机程序的存储介质;以及包括用于控制数据服务器的计算机程序的存储介质。
该数据终端可以是消息收发代理。该消息收发代理可以是消息的接收方和/或发送方。有优势地,消息的接收方和/或消息的发送方可以添加或更新处理条件。
该数据终端能够针对处理条件查询服务器。该服务器可以是域名服务器(DNS)。
根据本发明的第四方面,提供一种数据处理设备,该数据处理设备能够接收包括包含数据处理条件的控制信息的数据单元;其中该数据处理设备包括:
用于从数据单元获取数据处理条件的装置,以及
用于验证数据处理条件以及用于使预定数据处理动作符合所述数据处理条件的装置。
有优势地,该数据处理设备可以以相似的方式使用处理条件验证用于任何应用的任何类型的数据,并且因此实现通用数据访问权管理。
该数据处理设备可以具有与数据单元的逻辑关系,从而该数据处理设备是以下两者之一:接收方和发送方。
根据本发明的第五方面,提供一种用于创建或更新数据单元的方法,该方法包括以下步骤:
获取数据单元;
生成旨在管理对数据单元的访问的数据处理条件;
生成用于控制对数据单元的处理的控制信息,其中控制信息包括数据处理条件的二进制表示;以及
在数据单元中包含控制信息。
根据本发明的第六方面,提供一种计算机程序,用于控制数据处理管理器以创建或更新数据单元,包括:
计算机可执行程序代码,用于使得数据处理管理器获取数据单元;
计算机可执行程序代码,用于使得数据处理管理器生成旨在管理对数据单元的访问的数据处理条件;
计算机可执行程序代码,用于使得数据处理管理器生成用于控制对数据单元的处理的控制信息,其中控制信息包括数据处理条件的二进制表示;以及
计算机可执行程序代码,用于使得数据处理管理器在数据单元中包含所述控制信息
根据本发明的第七方面,提供一种计算机程序,用于控制能够接收数据单元的数据处理设备,该数据单元包括包含数据处理条件的控制信息;其中计算机程序包括:
计算机可执行程序代码,用于使得数据处理设备从数据单元中获取数据处理条件,以及
计算机可执行程序代码,用于使得数据处理设备验证数据处理条件以及用于使预定的数据处理动作符合数据处理条件。
根据本发明的第八方面,提供一种文件系统,该文件系统能够将数据单元与相关的控制信息逻辑地存储在一起,其中控制信息包含旨在控制独立于应用的信息的有效使用的数据处理条件,其中数据将在多个应用中使用。
该文件系统可以从诸如FAT和NTFS之类的已知文件系统扩展而来,其中该文件系统支持将控制信息和数据单元一起进行逻辑存储和取回。该控制信息可以与数据单元物理地存储在一起或者物理地分开存储,但有优势地,该文件系统能够针对尝试访问数据单元的任何应用生成控制信息。可替换地,文件系统可以配置用于将对数据单元的访问引入数据处理管理器用于在将数据单元移交正在请求的应用之前进行访问权解析。
根据本发明的第九方面,提供一种协议栈,该协议栈能够形成控制信息,包括:
用于获取数据单元的装置;
用于生成旨在管理对数据单元的访问的数据处理条件的装置;
用于生成用于控制对数据单元的处理的控制信息的装置,其中控制信息包括数据处理条件的二进制表示;以及
用于在数据单元中包含控制信息的装置。
出于简便考虑,仅参考本发明的一个方面示出了本发明的各种实施方式,但是应该理解相应实施方式也可以应用于其他方面。
附图说明
现在将参考附图仅以示例的方式描述本发明,其中:
图1示出了根据本发明的实施方式的用于因特网协议(IP)网络的通信环境中的网络域之间的数据访问控制的数据所有权机制;
图2示出了根据本发明的实施方式的IP终端的通用结构;
图3示出了根据本发明的实施方式可以将数据所有权机制分成三个功能独立的主要组件。
图4示出了根据本发明的实施方式的数据所有权解析的主要步骤;
图5示出了关于根据本发明的实施方式的用于入站数据业务的初始解析的流程图;
图6示出了根据本发明的实施方式用于对来自于应用中的新所有权解析查询的所有权策略管理器(OPM)服务器处理的主要步骤;
图7示出了根据本发明的实施方式用于对应用查询的数据对象的访问控制决定的OPM服务器处理;
图8示出了根据本发明的实施方式的对于来自于OPM服务器的标签解析查询的处理;以及
图9示出了根据本发明的实施方式,如果端点标识符是地址,则对于来自于主机文件的标签搜索进行如下处理。
具体实施方式
图1示出了在因特网协议(IP)网络中通信的背景下网络域之间的数据访问控制的数据所有权机制的示例性实施方式,即网络通常(可能向后)兼容IP版本4。图1包括表示IP网络1(通常是因特网或相应地操作内部网)、多个IP终端2、域名服务器(DNS)3以及在IP网络1上传送的IP包4的示意性云状图。IP终端2和IP网络1中的包括DNS服务器3的服务器均包括一般的计算设备并且具有如图2中示出的基本结构,该基础结构示出了IP设备或终端2的一般结构。
IP终端2包含存储器21,该存储器21包括工作存储器22以及存储操作指令或软件24的永久存储器23。该软件可以实现根据本发明的实施方式的文件系统和/或协议栈。该IP设备20进一步包括用于根据软件24控制IP设备20的操作的处理器25。而且,IP终端2包括用于交换IP包的输入/输出(IO)块26。该IO块可以包含有线数据端口27、诸如红外(IR)端口之类的无线数据端口28、低功率射频(LPRF)模块(诸如蓝牙模块)或蜂窝或卫星通信块。基本上,对于理解下文描述下述假设是足够的,假设不同的实体(服务器和客户端)通常是借助多用途固定计算机或通信设备或者无线计算机或通信设备中的软件提供的功能,并且假设一个设备实际上可以同时运行一个或多个客户端和/或服务器功能。客户端通常指可以在IP网络上访问由服务器共享的服务的设备。
本发明涉及创建、获取、管理以及使用特定数据访问控制标签。接下来结合入站以及出站IP网络业务考虑数据所有权的范围,可以以数据流细节的可变程度以及加标签准确度来使用标签。按渐增的复杂性对潜在实现的三个类型的划分呈现如下:
1.在大部分网络或终端不支持的情况下,以非常有限的方式使用数据所有权机制。在终端中,基于本地配置自主解析该标签,并且在所有权域级别识别所有者。多个独立的所有者聚集为组,其中终端或用户可以假设类似的所有者偏好(preference)。
2.终端可以利用DNS查询解析网络域、节点或用户指定标签信息,配置该DNS查询进入由支持数据所有权机制的网络域所有者记录的DNS服务器。
3.远程端点也支持数据所有权。在IP报头或连接信令中包括所有者偏好和/或身份数据(ID)。这导致了包或流级别标签解析。
关于本地标签和远程定义的标签的共存,存在两个可替换方案:
●本地配置仅是用户猜测,并且利用DNS获取的远程标签更好地反映了真实的所有者偏好,因为其是由网络域的系统管理员配置和保持的。因此,远程标签优于本地配置。
●来自于远程DNS服务器的可用标签仅是应用于平均外部节点的最佳近似。用户可以修整该标签以反映与网络域的所有者的唯一关系,并且因此,本地配置优于远程标签。
本发明的第一实施方式使用基于DNS的方法。如果存在本地配置,则默认使用本地配置,并且仅当没有发现本地配置时才使用远程标签。这允许用户为他们的公共访问网络域配置更多的指定标签。数据所有权组件
数据所有权组件
图3示出了可以将数据所有权机制分割成的三个功能上独立的主要组件。这些组件通过IP网络可以彼此互相访问并且表示如下:
31.所有权策略管理器(OPM)通常是存储在客户端以及服务器的存储器中的一段软件。OPM控制全部数据所有权解析。OPM启动该解析,管理数据所有者和偏好的识别,导出用于给定数据对象的决定并且将这个决定提供给策略实施。
●OPM客户端是使用由OPM服务器提供的数据所有权服务的应用或服务的一部分。其主要的目的是实现用于所有权查询以及响应的API。OPM客户端还能够触发解析并且然后实施或实现经解析的所有权决定。
●OPM服务器负责从接收来自于应用的查询中抽取所有权相关身份信息、为了匹配标签查询名称解析、基于包含在该标签中的所有者身份和偏好做出决定,并且将此决定传送回OPM客户端。
32.通常存储在服务器存储器中的所有权数据库(ODB)存储并且保持了所有者身份和所有者偏好以及允许OPM对各种数据对象做出一致决定的解析状态信息。所有者身份存储作为域并且所有者偏好存储作为标签。OPM服务器针对此信息查询ODB。ODB内容可以是动态的,其中他们不包含本地的、用户配置的所有者信息。注意ODB可以存储在客户端或服务器上。如果使用例如本地定义的主机文件,则ODB可以被配置或独立存储在客户端中。可替换地,可以高速缓存ODB并且可以由OPM“服务器”(间接地由应用“客户端”)访问,或者如果查询域名服务器(DNS)中的记录,则可以在终端之外存储ODB,并且然后高速缓存查询标签响应;可选地,客户端可以存储一些标签结果。
33.修改并且扩展域名解析器以便其可以接收来自于OPM服务器的所有者标签查询,处理新的DNS资源记录类型并且解释本地名称定义使得现有文件可以存储所有者偏好标签。现有DNS服务器不需要被修改,但是利用额外的所有权资源记录增强了DNS服务器的包含网络域名信息的配置文件。在本领域中已知可以改编这些记录。
所有权解析由最能够实施所有权结果的应用触发,该应用感知其内容。在管理数据对象的I/O时,应用触发该解析。然后,解析前进到图4中示出的以下主要阶段:
41.应用OPM客户端向OPM服务器进行查询从而接收用于已接收或已发送数据的所有者策略决定。
42.OPM服务器从OPM客户端查询中抽取远程端点标识符(REPI),检查REPI是否属于已知的所有权域中之一并且决定是否需要用于所有权域(OD)的新的所有者偏好标签。如果端点位于任何已知OD之外,则该解析结束而不实施策略。然后,将给出此结果作为对OPM客户端的响应。
43.OPM服务器将远程端点标识符重新格式化到其对名称解析器的查询中的参数中。根据此查询,其取回OD的所有者偏好标签。
44名称解析器首先搜索涉及本地配置的主机文件中给定OD的标签。如果不存在匹配,则它检查它的高速缓存树。如果仍旧不存在匹配,则它向端点的远程DNS服务器进行查询。如果也不存在端点的DNS所有者资源记录,则标签解析结束而没有发现标签。基于此响应,OPM服务器可以给出决定“没有策略实施”作为其对OPM客户端的响应。
45.OPM服务器从名称解析器接收了标签。根据端点OD和所有者偏好信息,它做出了所有权决定,该决定是告知应该如何处理数据对象。它给出了此决定作为对OPM客户端的响应。
46.应用OPM客户端接收该决定并且以适合其使用的协议的方式实施该决定,例如:
○允许/拒绝在入站/出站连接中使用数据,或
○允许/拒绝在入站/出站事务中使用数据。
所有权策略管理器示例的Symbian实现
在本发明在Symbian上的示例实现中,OPM服务器向OPM客户端提供API以进行关于该客户端与之具有业务的远程端点的查询,并且解析相应标签以及涉及它们的OD的访问控制决定。示例中的功能性限于允许或拒绝与特定远程端点的业务。在此情况中,OPM客户端可以驻留在各种组件中:
●具有与远程端点的连接的应用或服务。
●与远程端点进行事务操作的应用或服务。
●与另一个终端内部应用或服务交换数据的应用或服务。
●监控与远程端点的终端连接的中间件。
具有OPM客户端的API
OPM服务器API接收来自于应用或服务的查询,从而解析标签并且决定OD的访问控制。该应用查询使用以下方法:
TUint RDataOwnershipResolver::OwnershipQuery(TUint16TQueryIndex,TUint16 TRefIndex)
此方法解析了标签以及来自于OPM客户端提供的标识符的访问控制决定。TQueryIndex是对查询表格的索引,其还包含用于OPM服务器决定的占位符。TRefIndex也是对查询表格的索引,并且其仅用于出站数据业务。如果该查询涉及先前经标识的入站业务,即,如果所述数据先前接收自网络,则使用TRefIndex。如果该查询是针对入站数据业务的,或如果出站数据不是原始接收来自于网络的,则TRefIndex是NULL(空)。
OPM服务器使用以下方法发送经解析的标签和涉及OD的访问控制决定作为对OPM客户端的响应:
void RDataOwnershipResolver::OwnershipResponse(TUint16QueyIndex,TUint8 OwnerIndex)。
具有名称解析器的API
名称解析器接收来自于OPM服务器的查询从而基于在OwnershipQuery中提供的DNS ID解析标签。该查询方法如下:
TUint CDataOwnershipResolver::OwnerTagQuery(TUint16 TRefIndex,TText TOwnerID,TUint Type)
此方法解析了来自于由OPM服务器提供的标识符的标签。
TRefIndex是对查询表格的索引。OwnerID是待解析的试验性所有者ID域名。
名称解析器发送涉及OD的经解析的标签以查询OPM服务器。
该响应方法如下:
void CDataOwnershipResolver::OwnerTagResponse(TUint16 RefIndex,Tag)该标签包含指向由OwnerIndex字段表明的字段的集合。
查询表格格式
在OwnershipQuery中,OPM客户端标识与其具有业务的网络互联实体,出于解析涉及该OD的标签的目的交换该业务。该查询可以包含以下信息:
●16比特查询索引标识专用于OD的决定以及数据业务方向对。
●8比特所有者索引用于对OD进行参考并且发现远程端点属于的OD(以及其涉及的标签)。
●决定是描述访问控制决定的布尔变量,该决定查询应该应用于数据的应用或服务,其值零表示允许数据业务,并且值一表示拒绝数据业务。
●远程端点的IPv4地址由一个包含全地址的32比特字段指示。
●远程端点的IPv6地址由四个可以组成全128比特地址的32比特字段指示。
●端掩码是应用于IPv4地址或IPv6地址的比特掩码,其指示地址范围。
●端名称是包含类似于相应标签字段的试验性所有者ID域名的255个ASCII字符阵列。对于查询来说,端名称或端地址中的一个端地址可以是空。
表1查询表格
  列名称   描述   类型 是否为空?
  QUERY_INDEX   查询和决定索引  TUint16   否
  QUERY_OWNER_INDEX   OD和子域索引的指针  TUint8   否
  QUERY_DECISION   决定允许或拒绝  TBool   否
  QUERY_ADDR_IPV4   端IPv4地址  TText   是
  QUERY_ADDR_IPV6_A   端IPv6地址,最高32比特  TText
  QUERY_ADDR_IPV6_B   端IPv6地址,次高32比特  TText   是
  QUERY_ADDR_IPV6_C   端IPv6地址,次低32比特  TText
  QUERY_ADDR_IPV6_D   端IPv6地址,最低32比特  TText   是
  QUERY_PEER_MASK   识别端地址访问  TUint8   是
  范围的比特掩码长度
 QUERY_PEER_NAME   OwnerID作为URI:用户@主 、用户@域、主机或域  TText   是
所有者数据库结构
多个查询(QueryIndex)可以针对相同的OD(OwnerIndex)。每个OD仅具有一个所有者偏好标签。该查询中的端点标识符需要在映射之后匹配OD的OwnerID中的端点标识符范围。对于出站查询,如果已经从已知的网络域接收了数据,则可能已经提供了OD。因此,所有权解析数据对象的关系可以从由应用OPM客户端进行的查询开始到OPM服务器,该关系如下所示:
QueryIndex    (标识唯一的决定)
○PeerAddr    (端点IPv4或IPv6地址)
○PeerMask
○PeerName    (255个ASCII字符的阵列)
○DataDirection    (在查询时间使用,否则为空)
○Decision    (允许或拒绝)
○OwnerIndex    (标识唯一的所有者作为域)
■DataDirection    (在存储期间)
■GlobalDefFlags
■LocalDefFlags
■PrefFlags    (包含所有者的数据使用偏好)
■Timestamp
■OwnerID
解析中的结构对于名称解析器以及经由该解析的用户是不可见的,因为OPM服务器管理查询端点标识符与OD所有者标识符的映射和匹配。在此实现示例中,RefIndex可以用来代替OwnerIndex,因为可以将RefIndex用作标签信息和所有者OD的索引。
数据所有权解析的启动
应用和服务可以容易地检测它们何时启动出站连接或事务,并且使用它们的OPM客户端执行针对该业务的数据所有权查询。在通过主机名连接到套接字之后,该连接包括成功的名称查找,从名称记录中抽取所有权标签。基于包含在标签中的所有权决定,请求应用或服务将继续建立连接或者在该动作开始之前取消它。
对于入站连接,更需要数据所有权的处理。远程端点发起连接或事务。本地应用或服务具有用于入站连接的活跃监听套接字打开,并且不决定它是否应该继续建立该连接。应用的OPM客户端需要触发用于入站连接的所有权解析。
随着图5中示出如下修改的发生,用于入站数据业务的解析启动如下述处理步骤:
51.应用使用函数Listen()来接收入站连接尝试,之后,客户端接口开始保持接收处理器对象。扩展应用以便它一执行Listen()函数就使用RDataOwnershipResolver建立到OPM服务器的会话。
当存在入站连接尝试时,Listen()调用函数receive()用于接受它。对此进行扩展以便应用在紧接receive()之前使用函数getpeername()来得到所连接流套接字的远程端点地址。getpeername()是由Symbian支持的标准C/POSIX套接字操作的部分,但是它仅针对TCP连接工作。为了启动用于使用诸如UDP之类的其他传输协议的入站数据的解析,该应用可以使用其他信息。
52.然后应用的OPM客户端或者首先使用函数gethostbyaddr()将地址解析为OD名称并且查询具有域名的RDataOwnershipResolver作为OwnerID,或者在查询中直接使用端点地址。
53.如果应用客户端分布函数StopListening(),则客户端接口取消接收处理器对象并且不再接收入站连接尝试。
OPM解析结构
大部分所有权解析发生在OPM服务器中,其接收来自于应用的OPM客户端的查询并且向名称解析器进行其标签查询。
图6示出了OPM服务器处理来自于应用的新所有权解析查询的主要步骤。注意数据对象缩写为“流”,但是可等效应用其他类型的信息交换。
61.接收来自于OPM客户端的OwnershipQuery()并且确认该查询格式是正确的并且确认参数值在它们的范围之内。该查询必须包含端点名称或地址。
62.如果流是出站流并且查询的所有者索引字段是空,则向应用的OPM客户端返回“允许访问”决定。缺乏引用的所有者索引意味着数据对象属于用户。
●如果发现匹配的OD,则不保护数据,因为用户正在将其发送到一个信任的已知OD以适当地处理用户的数据。
●尽管没有发现匹配的OD,也不保护数据,因为用户正主动地尝试发送它。
63.如果流是出站流并且该查询包括所有者索引字段中的值,则从引用的所有者的OD接收数据对象并且该数据对象属于该所有者。
●如果没有发现匹配的OD,则应用查询是错误的,或者系统已经错误地丢失了由所有者索引指示的域记录。
●如果发现匹配的OD,则出站流采用较早的入站流的OD。然后,OPM服务器使用CreateResolvableID()函数将发现的OD标识符转换为可以在名称解析器中处理的格式。然后,它利用OwnerTagQuery()向名称解析器进行标签查询。如果异步API处于使用中,则来自于名称解析器的随后的OwnerTagResponse()可以通过在对名称解析器进行的OPM服务器的查询中包括应用查询索引而与该查询相关联。64.如果流是入站流,则所有者索引字段是空,并且OPM服务器仅需要解析所有者的OD。
●如果没有发现匹配的OD,则从已知的OD之外的端点接收数据,诸如因特网。OPM服务器向应用的OPM客户端返回“允许访问”决定,因为数据是公共的。
●如果发现了匹配域,则数据对象属于该OD。OPM服务器搜索针对该OD做出的较早决定。
○如果没有发现较早决定,则创建新的所有者索引记录并且从应用查询中复制端点标识符。OPM服务器使用CreateResolvableID()函数将查询的端点地址或名称标识符转换为可以在名称解析器中处理的格式。然后,它利用OwnerTagQuery()向名称解析器进行标签查询。
○如果发现了较早决定,则OPM使用CreateResolvableID()函数将发现的OD标识符转换为名称解析器格式。然后,它利用OwnerTagQuery()向名称解析器进行标签查询。这允许该标签在各自的决定中改变。还可以添加定时器以控制对相同OD的新查询的速率,例如,通过考虑在先前解析的标签中使用时间戳字段。65.从名称解析器接收OwnerTagResponse()并且确认该查询格式是正确的并且确认参数值在它们的范围之内。该查询必须参考包含在前述OwnerTagQuery()中的所有者索引。
66.如果响应不包含标签,则查询端点标识符或经解析的OD标识符不会导致主机文件、高速缓存或对远程DNS服务器的查询中的匹配。如果存在任何不同版本的标识符,则OPM服务器可以利用不同版本的标识符重新尝试。它使用CreateShorterID()函数创建了新的QueryID并且在新的OwnerTagQuery()中发送它。
●例如,OPM服务器首先尝试最详细的MX记录,并且如果不存在匹配,则它减去用户部分并且尝试作为结果的主机名称或地址以得到越来越不具体的名称:user@host→user@domain→host→OD,从而该尝试在箭头方向上变得更不具体。
●该域可以构建成两个层级(例如,DNS主机级和DNS域级)。
●如果标识符不能进一步减少,则不存在标签以及因此不存在此OD的所有者偏好。OPM服务器向应用的OPM客户端返回“允许访问”决定,因为OD的所有者隐含地允许数据作为公共数据处理。
67.如果响应包含标签,则OPM服务器将其分配给新创建的所有者索引或刷新引用的现有所有者索引中的标签。然后,它搜索启动标签解析的查询。
●如果标签与先前一个相同,则OPM服务器可以仅应用较早的决定。
●如果标签与先前一个不同,则OPM服务器利用DecideAccess()函数做出决定。
68.OPM服务器使用OwnershipResponse()发送该决定到OPM客户端,包括引用上述来自OPM客户端的查询。
OPM服务器、ODB和名称解析器的交互
OPM服务器如下搜索用于应用QueryIndex和Ownerlndex内容的ODB:
●FindByOwner(PeerName,PeerAddr)方法通过将PeerName或PeerAddr与ODB所有者OD表格的相应选择符进行匹配来发现域。
●FindByRefIndex(RefIndex)方法通过将针对所有者OD的RefIndex与ODB所有者OD表格条目进行匹配来发现OD。
●FindQueryByRefIndex(RefIndex)方法发现启动解析的
OwnershipQuery以及对由RefIndex指定的所有者OD的决定。
RefIndex与包含在存储在ODB中的每个OwnershipQueries中的RefIndex匹配。如果发现多个,则选择最早的查询。
OPM服务器与名称解析器进行交互,除了上述较早OwnerTagQuery()和OwnerTagQuery(),重新格式化端点或在查询和响应中使用的OD标识符包括如下:
●CreateResolvableID(&Type,&QueryID,InputID)方法将PeerName或PeerAddr作为输入并且存储格式化为可以作为名称解析器函数GetByAddress()或GetByName()的自变量给出的字符串的QueryID。
数据使用偏好的处理
图7示出了根据本发明的实施方式用于对通常在DecideAccess()函数中的应用查询的数据对象的访问控制决定进行的OPM服务器处理,其中步骤如下:
71.比较源OD标识符(引用的OD标识符)和目的地OD标识符(查询端点)。如果OD完全匹配,则继续。如果它们不匹配,则查看分布和粒度标志。
●如果没有设置分布和粒度标志,则OD差异没有影响并且解析可以继续到下一步。
●如果设置了分布标志而没有设置粒度标志,则整个父OD可以共享数据。使用导出自查询端点的更通用的标识符。如果这匹配,则解析可以继续到下一步。否则解析导致“拒绝访问”。
●如果没有设置分布标志而设置了粒度标志,则仅子域可以共享数据。OD不匹配并且因此解析导致“拒绝访问”决定。
●如果设置了分布和粒度标志两者,则数据仅可以与明确声明的OD共享。OD不匹配并且因此解析导致“拒绝访问”决定。
72.如果没有设置解释标志并且OD标识符的比较导致了“拒绝访问”决定,如果粒度标志也没有设置,则决定改变为“允许访问”决定。
73.如果设置了复制标志,它将包括在到OPM客户端的OwnershipResponse()中。
74.如果设置了完整性标志,它将包括在到OPM客户端的
OwnershipResponse()中。
默认决定是“允许”,对于决定的最低有效位,值为零(0)。值一(1)表示“拒绝”。将复制和完整性标志复制到下一个决定的最低有效位,并且将由应用实施。表5包含用于OPM服务器的采样算法以在对数据对象做出访问控制决定时执行。
标签解析
OPM服务器在其所有权解析过程期间从名称解析器查询标签内容。名称解析器使用本地主机文件、高速缓存和远程DNS服务器以发现针对所有者的正确标签。因此,针对存储和访问本地配置两者以及直接从所有者的OD中取回标签使用相同的机制。
标签解析发生在名称解析器中。通过添加用于OPM服务器的CDataOwnershipResolver的请求处理器、修改主机文件查找结果、修改具有改变的高速缓存树结构的高速缓存查找并且在DNS查询中添加对新所有权资源记录类型的支持而对标签解析进行修改。OPM服务器负责将经解析的标签信息存储到ODB中。
名称解析器的请求处理器管理来自于OPM服务器的每个标签查询以及去往OPM服务器的每个标签查询。不需要改变名称解析器接口。将标签字段添加到在客户端和套接字服务器之间通过的TNameRecord类是足够的。图8示出了根据本发明实施方式的名称解析器的操作,其具有以下步骤:
81.从OPM服务器接收OwnerTagQuery()。该查询必须在字符串中包含端点名称或地址。
82.检查是否在主机文件中已经针对给定的端点标识符定义了标签。如果发现了,则使用OwnerTagResponse()将标签返回给OPM服务器。
83.如果在主机文件中不存在匹配,则检查标签是否已经包含在名称解析器高速缓存中作为对负责包括端点标识符的OD的DNS服务器的较早成功的DNS查询的结果。如果发现了,则使用
OwnerTagResponse()将该标签返回给OPM服务器。
84.如果在高速缓存中也不存在匹配,则进行DNS查询。
●如果不存在来自于DNS查询的匹配,针对此端点标识符的标签解析已经失败。使用OwnerTagResponse()将空标签返回给OPM服务器。
●如果存在来自于DNS查询的匹配,则高速缓存经解析的标签并且然后使用OwnerTagResponse()将其返回给OPM服务器。
主机文件
典型的主机文件在每行上包含地址、对应于该地址的主机名以及主机名的别名。字段以空格或制表键隔开,并且斜线(hash)标记表示注释。当不可兼容的解析器读取经修改的主机文件,或当经修改的解析器读取未经修改的主机文件时,标签解析相关修改不应该引起任何错误。注释也应该保持注释。由于这些要求,在方案中使用别名主机名。
如果可以将标签本地配置用于主机,需要将其写在主机名的第一别名中。此人造别名的格式是“<标签>.<主机名>.own”,其中“主机名”是原始主机名,“own”表示本发明实施方式中的所有权资源记录,并且“标签”将下面的标签字段编码为八个十六进制字符:
●GlobalDefFlags(在此设计中为00)
●PrefFlags(在此设计中利用0x7e对xx掩码)
●Timestamp(在此设计中为0000)
示例性经修改的条目如下:“10.0.0.1 host.example.com00320000.host.example.com.own host”。
图9示出了根据本发明的实施方式,如果端点标识符是地址,对来自于主机文件的标签搜索进行的如下处理,该处理具有以下步骤:
91.检查存在主机名的别名。选择第一别名。
92.检查别名比主机名长至少五个字符。
93.检查以“.<主机名>.own”结束的别名。将此部分从字符串中移除。
94.检查剩余的包括十六进制的字符串。应用掩码以获得支持的标签。
如果端点标识符是主机名,则进行反向查找,从而首先获得地址,然后进行检查该地址的上述四个步骤。
这些改变可以与不兼容的名称解析组件共存。如果经修改的解析器读取未经修改的主机文件,则它不能发现与上述格式匹配的主机名别名。因此,它不能发现任何标签,并且它继续进行对高速缓存的检查。
如果不兼容的解析器读取经修改的主机文件,则它将适当地将地址解析为主机名并且将主机名解析为地址。未经修改的主机文件仅存的差异是将额外的别名连同正确的结果一起返回。当使用主机文件时,不影响包括人造新别名的从主机名或别名的反向映射。仅当解析器出于某些原因使用主机文件首先将地址解析为别名,并且然后尝试将此反向映射为具有正常DNS查询的地址时,由于不存在顶级(top)OD“.own”,而将出现错误。
名称解析器高速缓存
名称解析器高速缓存包含执行DNS查询的(提问,应答)对的树,各名称空间均有一个该树。树的根是顶级OD并且分支包含其余主机名的点分隔部分。提问包含Namespace ID、OD名称、DNS查询类型以及DNS查询类字段。该查询类型与DNS资源记录类型相同,并且利用新的数据所有权类型EDnsQtype_OWN对其进行扩展。该树的实现在名称解析器高速缓存之外是不可见的。将对新查询类型的支持添加到函数CDndCache::FindL,该函数将指针返回给应答。
对DNS服务器的标签查询
DNS服务器保持资源记录,诸如主机名和地址。例如,在BINDDNS服务器实现中,配置存储在符合指定格式的区数据库文件中。当不兼容的解析器查询经修改的DNS服务器配置时,或当经修改的解析器查询未经修改的配置时,所有权标签解析相关修改不应该引起任何错误。标签格式也应该与其他资源记录以及本地解析器高速缓存一致。
OWN资源记录包含相同的标签部分作为对主机文件的附加。将这些资源记录编码为总共八个十六进制字符。还存在额外的字段,其允许管理员使用唯一的标识符,诸如社会安全号码(SSN)指定实际的所有者,这导致了如下类型的条目“主机名查询类型标签OwnerID”,例如:“host.examle.com.OWN 003200001234567890”。
如果端点标识符是主机名,则DNS服务器发现并且返回带有匹配主机名的OWN类型条目的字段。如果端点标识符是地址,则解析器进行反向查找以获得主机名并且然后如上所述继续进行。
如果经修改的解析器读取未经修改的主机文件,它不能发现主机的任何OWN记录,并且因此不返回标签。如果不兼容的解析器读取经修改的区数据库文件,它忽略任何OWN记录。因此,该改变不引起不兼容组件的问题。
DNS协议中的消息需要与上述那些一致的改变。消息中的OWNRR格式将包含以下字段:
●NAME(点符号中的节点名称)
●TYPE(尽管IANA没有分配,但是使用“99”作为EDnsQType)
●CLASS(使用“IN”,即因特网类型)
●TTL(专用主机,默认使用与A或AAAA记录相同的)
●RELENGTH(尽管可以基于OwnerID类型而改变,但是使用2+2+4+10=18八位字节)
●RDATA(标签内容:GlobalDefFlags,PrefFlags,Timestamp,OwnerID)
示例情况
消息发送
终端具有处理多个类型消息的消息发送应用,这些消息类型诸如有SMS、多媒体消息发送服务(MMS)、即时消息发送(IM)、电子邮件和在线通知。大部分此类消息已经使用了IP端点标识符,诸如用户MX记录、主机名或通用资源标识符(URI)。用户可以使用同一帐户用于工作相关和私有消息发送。
用户希望避免偶然地将消息转发到错误的OD。他允许在条目之间复制以及粘贴内容,因为该情况不太可能偶然发生。因此,如果用户有意为之,他能够在OD之间移动消息内容。
下列事件序列可以发生:
1.用户已经将端点集合配置到主机文件的OD中。
○具有MX记录的独立通信者:家庭成员和朋友
○具有A记录的网络端点:内部网、服务、家庭和朋友家庭网
2.应用也可能从附加文件报头检测所有者
○进行两个查询并且应用更多的限制性决定(用于邮件的决定或用于附加文件的决定)
3.用户接收电子邮件消息并且在接收时,应用的OPM客户端查询OPM服务器以发现它是否可能获取邮件。该应用存储所有者索引值,其将OD识别为部分电子邮件标题。
4.用户希望回复此工作邮件并且从地址簿中添加两个额外的接收者。应用的OPM客户端隐含地允许默认回复联系人,但是检查可以发送到两个额外接收者的消息。
5.对于两个额外的接收者,应用应用的OPM客户端查询OPM服务器。在该查询中,在接收了该邮件时,它使用存储的所有者索引作为对所有者的参考。
RDataOwnershipResolver:: OwnershipQuery(QueryIndex,RefIndex)
6.OPM服务器利用
RDataOwnershipResolver:OwnershipResponse(QueryIndex,RefIndex)响应应用。
7.假设第一额外接收者是公司同事。MX端点匹配存储在主机文件中的公司标识符,即,公司的DNS域名。
○决定是“允许访问”,因此添加接收者。
8.假设第二额外接收者是朋友。MX端点匹配存储在主机文件中的朋友标识符,即,朋友的MX记录。
○决定是“拒绝访问”,因此不添加接收者。
○应用创建具有警告消息和选项的用户对话框以通过从电话本中重新选择而改变接收者。
该决定还可以基于所有者标签包含其他命令,包括:
●群体标签中的“复制”标志是1(不允许复制):
○如果不包括作为引用的原始消息:任何“允许访问”的接收者。
○如果包括作为引用的原始消息:仅允许发送到一个“允许访问”的接收者。从收件箱内删除已接收的原始电子邮件并且删除在“发送项目”文件夹内已发送电子邮件的引用部分,因为必定仅存在该消息的一个实例。
●群体标签中的“完整性”标志是1(保护完整性):
○如果不包括作为引用的原始消息:任何“允许访问”的接收者。
○如果不包括作为引用的原始消息:任何“允许访问”的接收者,但是阻止该用户修改引用部分中的任何内容。
如果用户希望通过将消息移动到档案中,保存该消息为独立文件或将其发送到打印队列来输出该消息,则应用需要将整个标签(包括OD名称)附加到该消息上。
浏览器
客户端终端具有能够处理多个类型交互文档的浏览器应用,多个类型交互文档诸如web页面、表格、聊天室和web博客。端点标识符是主机名或URL。相同的浏览器用于浏览私有服务并且用于与朋友聊天。
当允许文档用于公共因特网内容时,用户希望防止将所显示文档的部分复制并且粘贴到错误的OD的意外事件。用户还希望防止使用存储用于另一个OD的条目来填充的表格。
下列事件序列发生:
1.用户将作为A记录的端点集合配置到主机文件的OD中。
2.用户取回并且打开文档。在接收时,应用的OPM客户端查询OPM服务器以发现应用是否可以显示该文档。应用存储所有者索引值,其识别记录当前经高速缓存的内容的内部寄存器中的OD。
○如果文档是表格并且用户随后向其输入数据,则也将相同的所有者索引值附加到经高速缓存的表格条目。
3.用户希望从他的朋友所浏览的文档向聊天室复制感兴趣的文本。应用的OPM客户端检查该文本是否可以复制。
4.应用的OPM客户端查询OPM服务器。在该查询中,应用使用存储的所有者索引作为对所有者的参考。
RDataOwnershipResolver::OwnershipQuery(QueryIndex,RefIndex)
5.OPM服务器利用
RDataOwnershipResolver:OwnershipResponse(QueryIndex,RefIndex)响应应用。
6.假设该聊天室是公共站点。原始端点匹配存储在主机文件中的朋友标识符(朋友的web服务器的DNS主机名),但是目标端点不匹配任何OD并且因此是“公共因特网”。
○决定是“拒绝访问”,因此不能粘贴文本。
○应用创建具有警告消息(“你正在试图将你朋友的私有数据复制到因特网”)以及选项的用户对话框以例如通过选择另一个浏览器窗口来复制-粘贴某些不同的数据。
决定也可以基于所有者标签而包括其他命令,诸如:
●朋友的标签中的“复制”标志是1(不允许复制):
○尽管决定是“允许访问”,但是从高速缓存中删除该文档。当然,如果朋友仍旧使其可用,则用户可以稍后获取该文档。
○如果目的地OD是“公共因特网”,“允许访问”决定也可以改为“拒绝访问”,因为接收OD没有数据所有权支持并且因此不能无意地复制该文档。
●朋友的标签中的“完整性”标志是1(保护完整性):
○如果用户尝试复制朋友的整个文档:保持“允许访问”决定。
○如果用户尝试仅复制朋友的文档的一部分:任何“允许访问”决定变为“拒绝访问”。应用创建具有选项的用户对话框以复制并粘贴整个文档。
如果用户希望通过将文档保存为文件或打印它来输出文档,那么应用需要向该文档附加整个标签(包括OD名称)。
其他使用情况
可以在备份方案中使用本发明,其中仅可以备份可以复制并且不是临时的群体文件,然而忽略任何其他人(例如从因特网上下载的)所有的文件,或符合主要访问限制的文件。
本发明还可以用在文件交换方案中,诸如端到端软件,其中用不同于其他端的文件的方式处理去往以及来自于可识别的朋友和其他已知端的文件。
所有者标识符
允许一个人声明一段数据的所有权的标识符应该是可升级的并且可输出到其他节点。这种可通用的ID需要是唯一的。因此,需要管理ID空间。而且,由于ID最终可以定义所有者,即合法实体,所以ID应该是基于自然人和法人(诸如组织)的国家指定注册的。另一方面,希望保持匿名的任何人可以仅忽略这种所有权标记。所有者偏好
所有者偏好针对给定标准的最简单形式仅是“是/否”标志。那么每个偏好的结果需要与此布尔逻辑一致。另一方面,因为该机制是基于尽力(best effort)的,那么可以存在硬(明确)偏好和软偏好。这也意味着偏好可能符合解释。
旨在用于数据所有权中的所有者偏好标志包含管理标签解释的部分,而其他的是涉及数据的实际偏好。某些标志的解释也可以取决于其他标志的值。
偏好标志如下(标志名称,值为零时以及值为一时):
●版本0:基本的1:扩展的
指示是否存在额外的所有者规则
●解释  0:尽力的  1:严格的
指示尽力对于标签一致性(compliance)是否足够
●复制  0:多个  1:单个
指示是否可以存在数据的多个实例
●分布  0:无限制的  1:有限制的
指示是否可以将数据传递到其目的地OD
●粒度  0:聚集的  1:详细的
指示目的地OD是否是狭义定义的
●完整性0:可修改的1:静态的
指示是否可以对数据进行修改或转换
●继承  0:自发的  1:强制的
指示是否应该改变经修改数据的所有权
●持久性  0:可存储的  1:暂时的
数据是否可以存储用于之后的使用
因此,可以利用仅一个字节,作为默认值的0x00描述所有者偏好。涉及偏好的某些效果需要考虑标志的组合:
●复制和分布标志
00  可以复制给任何人
01  可以在OD内复制
10  可以转发给任何人
11  可以在OD内转发
●分布和粒度标志
00  可以传递给任何人
01  可以在相关OD内传递给任何人
10  可以仅传递给父(parent)OD成员
11  可以仅传递给明确的OD成员
●完整性和继承标志
00  可以修改并且支配数据
01  可以修改但保留先前的所有权
10  不可修改但可以支配所有权
11  内容和所有权都不可修改
所有者分类
某些标签内容可以是全局明确的,而另一些可以保持在终端内部范围内。所有者定义向终端传递了关于所有者的上下文信息,并且可以具有全局和本地范围部分。所有者定义可以用在数据的所有者分类中。每个定义可以利用仅一字节,作为默认值的0x00描述。
全局定义标志可以如下(标志名称,值为零时以及值为一时):
●版本  0:基本的  1:扩展的
指示是否在定义中存在额外部分
●范围  0:全局的  1:本地的
指示所有者ID是否由注册员或终端提供
●源    0:在线  1:离线
指示所有者ID是否由IP栈或其他I/O使用
●编码  0:遗传的  1:标准的
指示所有者ID空间是否由旧ID补丁而成,或者是否是新的统一ID类型
●人    0:自然的  1:法律上的
指示所有者是个人还是组织
●时间类型  0:原始的1:访问
指示时间戳指数据所有者ID创建还是修改
●时间尺度  0:日期  1:时间
指示数据所有者ID的时间戳是以天计还是以分钟时间尺度计
●原创性    0:创建者  1:模糊的
指示所有者ID描述数据的作者还是分布者
某些定义需要考虑标志的组合:
1.范围和源标志
00  默认:压缩的、唯一的DNS域/主机名
01  压缩的、唯一的国家指定注册实体
10  终端内部组成ID
11  终端内部相关索引
2.范围、源和编码标志
000  继承的(base36),IDLen<1300(压缩的通用比特)
001  IDN(Unicode),IDLen<~2k-3k(压缩的通用比特)
010  继承的(压缩的Huffman CC+VATID/EIN/SSN/ITIN),IDLen 64
011  为将来的使用而保留,例如统一的全局自然/法人注册
10x  为将来的使用而保留,例如经解析的供应商/运营商注册
11x  索引,IDLen 8比特(010)或16比特(011)
3.范围和人标志
00  默认:范围、源和编码标志描述SSN/ITIN或用户@域
01  默认:范围、源和编码标志描述VATID/EIN或OD
10  用户自己的数据
11  属于组织的用户的数据
4.时间类型和时间尺度标志
00  默认:原始创建日期(例如1900+天)
01  具有有限有效周期的临时数据
10  可解析的所有者(在该天从DNS名称中)
11  分布的具有有限有效周期的数据
5.人和原创性标志
00  默认:作为创建者的所有者数据
01  所有者的共享或经修改的数据
10  组织的自动生成的数据
11  组织支配的数据
本地定义标志可以如下(标志名称,值为零时以及值为一时):
●版本  0:基本的  1:扩展的
指示是否在定义中存在额外部分
●接收  0:远程的  1:本地的
指示所拥有的数据是从网络还是从传感器接收的
●精确度    0:导出的  1:准确的
指示所有者ID是导出的还是已知的
●认证  0:弱  1:强
指示所有者ID是估计的还是验证的
●关系    0:无关的  1:相关的
指示所有者是否是与用户相同组织的成员
●权限0:独立的1:共享的
指示所有者的所有权是完全的还是部分的
●目的  0:私有的  1:商业的
指示所有权的性质是盈利的还是非盈利的
●暴露性  0:系统  1:服务
指示所有者对数据的可访问的程度
某些定义需要考虑标志的组合,全局以及本地所有者定义:
1.范围和精确度标志
00  默认:来自于会话端点解析等的ID
01  嵌入在数据中或根据权限取回的ID
10  从选择器或模式推知的ID
11  从授权的本地映射解析的ID
2.精确度和认证标志
00  默认:使用模糊输入的解析
01  基于唯一的、可验证的输入的解析
10  不信任的ID核验者
11  信任的ID核验者
3.人和关系标志
00  默认:所有者是独立于用户的一个人
01  所有者是与用户相关的个人
10  在所有者组织中用户没有成员资格
11  用户是所有者组织的成员
4.原创性和权限标志
00  默认:所有者是外部的个人
01  共享外部数据所有权
10  用户所拥有的数据
11  用户与其他人共享所有权
适用性
可以针对很对目的使用数据所有权。此描述中描述的主要用途是对于入站和/或出站数据的访问控制。数据所有权还可以用于进程间通信中的访问控制,其中进程可以检查是否可以将数据发送到接收进程。
对于使用本地资源的控制是数据所有权的另一个主要用途。特别是策略和配置可以从多个源达到并且需要由彼此不冲突的不同所有者应用该策略。根据简单标签结构以及主观规则解释,通常还可能从不同的源合并策略。
DRM和数据所有权
由于尽力方法,本发明通常不同于典型的数字版权管理(DRM)机制。该假设是用户具有尊重某些类型数据的所有权和限制的动机,并且假设可以默认地将此敏感性(sensitivity)传送到其他类型的数据。默认打开该机制并且允许渐进地限制更多的接收者权。相同的标准标签用于任何类型的数据。也解决了对于数据的重用、包含、参考或完整性的需要。这意味着数据所有权与DRM并行操作并且可以对DRM进行补充。如果需要,可以将其转变为DRM机制,例如对于将数据输出到已知不支持数据所有权的节点。
基于标签的所有权管理可以大体完成如下:
●重用:如果允许,组合以下功能
●包含:如果转换,决定所有者ID修改
●参考:所包含的所有者ID,用于聚集使用OD ID
●完整性:使用完整性比特来选择是否可以转换
数据所有权可以允许在全新的区域或以新的方式使用DRM:
1.置于HTML标签中的所有权标签:一个标签在报头并且在例如段落或列表标签中是例外(没有时间、所有者ID)。浏览器可以控制如何处理全部文档或指定段落
○完整性要求防止部分复制(需要正确地引用)
○文档是限制复制的,但一个数字列表不是限制复制的
○在群体文档中,一个段落仅在群体内部
2.基于标签的媒体流控制:每个标签总是定义数据处理直到对下一个标签进行处理
○第一标签允许复制和分布,设置许可条款内容
○在不允许复制之后30秒是第二标签,因此第一个30秒成为销售样品(但是知识产权的许可属于作者)
假设用户拍摄了图片,并且电话利用时间和位置数据对其进行注释。当发送给朋友时,该注释是被限制的(不在朋友域之外分布或复制),从而图片的标签允许转发-这通常在足够的外延上保护了用户的隐私。
已经描述了本发明的特定实现和实施方式。对于本领域的技术人员来说应该清楚本发明不限于上述实施方式的细节,而是可以在不脱离本发明特征的情况下使用等效装置以其他实施方式实现本发明。在上述内容中,将大量特征作为示例的部分进行了描述,并且不论技术上是否可能,应该将这些特征视为可选的并且可以与描述中的不同的其他示例进行组合。例如,本发明还可以用于各种电子设备,尤其是便携式电子书、PDA设备、游戏设备、音乐播放器、支持DRM的能够对内容提供限制访问(租用的)的机顶盒以及GPS定位设备。因此,本发明的范围仅由所附权利要求书限制。

Claims (26)

1.一种数据单元,包括用于控制所述数据单元的处理的控制信息,其中所述控制信息包括旨在管理对所述数据单元的访问的数据处理条件的二进制表示。
2.根据权利要求1所述的数据单元,其中所述处理包括以下项目中任何一个:访问所述数据单元、修改所述数据单元、从所述数据单元中电子地复制信息、转发所述数据单元以及在特定域之上传递所述数据单元。
3.根据权利要求1或2所述的数据单元,其中所述数据单元中的所述控制信息的物理布置在对所述数据单元的所述表示进行改变时加以转换。
4.根据前述权利要求中任意一项所述的数据单元,其中所述数据单元包含修改指示符从而指示数据单元的电子修改是否是可允许的。
5.根据权利要求4所述的数据单元,其中所述修改指示符指示对所述控制信息本身的修改是否是可允许的。
6.根据前述权利要求中任意一项所述的数据单元,其中所述数据单元包含数据分类符,用于将所述数据单元独立于应用地分类到给定类别中,从而分类地控制对所述数据单元的处理。
7.一种数据处理管理器,用于控制对信息的处理,该数据处理管理器包括向数据单元提供控制信息的装置,所述控制信息包括旨在管理对所述数据单元的访问的数据处理条件的二进制表示。
8.根据权利要求7所述的数据处理管理器,其中所述数据处理管理器包含用于基于一项或多项以下内容而形成所述标签的装置:所述数据单元的源的检测;其他状态信息;以及本地策略。
9.根据权利要求7或8所述的数据处理管理器,其中所述数据处理管理器额外地或可选地能够进行以下动作中任何一项:合并标签、复制标签或从其他标签导出标签。
10.根据权利要求7到9中任意一项所述的数据处理管理器,其中所述数据处理管理器驻留在客户端设备处,诸如数据服务器之类的中间单元处或专用网络互联单元处,该专用网络互联单元可访问客户端设备或诸如数据服务器之类的中间单元。
11.根据权利要求7到10中任意一项所述的数据处理管理器,其中所述数据处理管理器驻留在从包括以下内容的组中所选择的元件处:客户端设备;诸如数据服务器之类的中间单元;专用网络互联单元,其可访问客户端设备或诸如数据服务器之类的中间单元;数据终端;数据服务器;用于控制数据终端的计算机程序;用于控制数据服务器的计算机程序;包括用于控制数据终端的计算机程序的组件;包括用于控制数据服务器的计算机程序的组件;包括用于控制数据终端的计算机程序的存储介质;以及包括用于控制数据服务器的计算机程序的存储介质。
12.根据权利要求7到11中任意一项所述的数据处理管理器,其中所述数据处理管理器是消息发送代理。
13.根据权利要求12所述的数据处理管理器,其中根据消息的接收和/或所述消息的发送而添加或更新所述处理条件。
14.根据权利要求7到13中任意一项所述的数据处理管理器,其中所述数据处理管理器能够针对所述处理条件查询服务器。
15.根据权利要求7到14中任意一项所述的数据处理管理器,其中所述数据处理管理器能够针对所述处理条件查询域名服务器(DNS)。
16.一种数据处理设备,所述数据处理设备能够接收包括控制信息的数据单元,所述控制信息包含数据处理条件;其中所述数据处理设备包括:
用于从所述数据单元获取所述数据处理条件的装置,以及
用于验证所述数据处理条件以及用于使预定数据处理动作符合所述数据处理条件的装置。
17.根据权利要求16所述的数据处理设备,所述数据处理设备能够以相似的方式使用所述处理条件验证用于任何应用的任何类型的数据,并且因此实现通用数据访问权管理。
18.根据权利要求16或17中任意一项所述的数据处理设备,其中所述数据处理设备具有与所述数据单元的逻辑关系,从而所述数据处理设备是以下两者之一:接收方和发送方。
19.一种用于创建或更新数据单元的方法,包括以下步骤:
获取数据单元;
生成旨在管理对所述数据单元的所述访问的数据处理条件;
生成用于控制对所述数据单元的处理的控制信息,其中所述控制信息包括所述数据处理条件的二进制表示;以及
在所述数据单元中包含所述控制信息。
20.一种计算机程序,用于控制数据处理管理器以创建或更新数据单元,该计算机程序包括:
计算机可执行程序代码,用于使得所述数据处理管理器获取数据单元;
计算机可执行程序代码,用于使得所述数据处理管理器生成旨在管理对所述数据单元的访问的数据处理条件;
计算机可执行程序代码,用于使得所述数据处理管理器生成用于控制对所述数据单元的处理的控制信息,其中所述控制信息包括所述数据处理条件的二进制表示;以及
计算机可执行程序代码,用于使得所述数据处理管理器在所述数据单元中包含所述控制信息。
21.一种计算机程序,用于控制能够接收数据单元的数据处理设备,所述数据单元包括控制信息,所述控制信息包含数据处理条件;其中所述计算机程序包括:
计算机可执行程序代码,用于使得所述数据处理设备从所述数据单元中获取所述数据处理条件,以及
计算机可执行程序代码,用于使得所述数据处理设备验证所述数据处理条件以及用于使预定的数据处理动作符合所述数据处理条件。
22.一种文件系统,所述文件系统能够将数据单元与相关的控制信息逻辑地存储在一起,其中所述控制信息包含旨在控制独立于应用的信息的有效使用的数据处理条件,所述数据旨在多个应用中使用。
23.根据权利要求22所述的文件系统,其中所述控制信息是将所述数据单元物理地存储在一起或者分开存储。
24.根据权利要求22或23所述的文件系统,所述文件系统能够针对尝试访问所述数据单元的应用生成所述控制信息。
25.根据权利要求22到24中任意一项所述的文件系统,配置所述文件系统以将对所述数据单元的访问引入数据处理管理器用于在将所述数据单元移交正在请求的应用之前进行访问权解析。
26.一种协议栈,所述协议栈能够形成所述控制信息,所述协议栈包括:
用于获取数据单元的装置;
用于生成旨在管理对所述数据单元的访问的数据处理条件的装置;
用于生成用于控制对所述数据单元的处理的控制信息的装置,其中所述控制信息包括所述数据处理条件的二进制表示;以及
用于在所述数据单元中包含所述控制信息的装置。
CN200680033233.5A 2005-09-12 2006-09-08 用于控制对信息的处理的方法和装置 Expired - Fee Related CN101263500B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/224,617 US8082451B2 (en) 2005-09-12 2005-09-12 Data access control
US11/224,617 2005-09-12
PCT/FI2006/050384 WO2007031600A1 (en) 2005-09-12 2006-09-08 Data access control

Publications (2)

Publication Number Publication Date
CN101263500A true CN101263500A (zh) 2008-09-10
CN101263500B CN101263500B (zh) 2011-10-12

Family

ID=37856613

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200680033233.5A Expired - Fee Related CN101263500B (zh) 2005-09-12 2006-09-08 用于控制对信息的处理的方法和装置

Country Status (4)

Country Link
US (1) US8082451B2 (zh)
EP (1) EP1924942A4 (zh)
CN (1) CN101263500B (zh)
WO (1) WO2007031600A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106485155A (zh) * 2015-08-24 2017-03-08 阿里巴巴集团控股有限公司 一种基于字段注释的加密方法和设备
WO2018113756A1 (zh) * 2016-12-21 2018-06-28 北京奇虎科技有限公司 一种即时通信发送方法、控制方法、发送端及接收端
CN113347037A (zh) * 2021-06-07 2021-09-03 中国建设银行股份有限公司 一种数据中心访问方法及装置

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8825702B2 (en) * 2004-02-24 2014-09-02 Oracle International Corporation Sending control information with database statement
US8463612B1 (en) * 2005-11-08 2013-06-11 Raytheon Company Monitoring and collection of audio events
US8028908B2 (en) 2006-05-01 2011-10-04 Patrick Shomo Systems and methods for the secure control of data within heterogeneous systems and networks
US8606926B2 (en) * 2006-06-14 2013-12-10 Opendns, Inc. Recursive DNS nameserver
US8713188B2 (en) * 2007-12-13 2014-04-29 Opendns, Inc. Per-request control of DNS behavior
JP4456137B2 (ja) * 2007-07-11 2010-04-28 富士通株式会社 電子文書管理プログラム、該プログラムを記録した記録媒体、電子文書管理装置、および電子文書管理方法
US20100064033A1 (en) * 2008-09-08 2010-03-11 Franco Travostino Integration of an internal cloud infrastructure with existing enterprise services and systems
US8676989B2 (en) 2009-04-23 2014-03-18 Opendns, Inc. Robust domain name resolution
GB2479916A (en) * 2010-04-29 2011-11-02 Nec Corp Access rights management of locally held data based on network connection status of mobile device
US8688733B2 (en) * 2012-03-16 2014-04-01 International Business Machines Corporation Remote inventory manager
US20150356249A1 (en) * 2014-06-09 2015-12-10 Green Line Business Group, LLC Patient status notification
US9626171B2 (en) 2015-07-24 2017-04-18 Oracle International Corporation Composing a module system and a non-module system
US10078497B2 (en) 2015-07-24 2018-09-18 Oracle International Corporation Bridging a module system and a non-module system
US10104090B2 (en) * 2015-08-25 2018-10-16 Oracle International Corporation Restrictive access control for modular reflection
US10191753B2 (en) 2016-03-30 2019-01-29 Oracle International Corporation Generating verification metadata and verifying a runtime type based on verification metadata
US10394528B2 (en) 2016-03-30 2019-08-27 Oracle International Corporation Returning a runtime type loaded from an archive in a module system
US20180077089A1 (en) * 2016-09-14 2018-03-15 sndmsg, inc. Multifaceted message platform
US10387142B2 (en) 2016-09-16 2019-08-20 Oracle International Corporation Using annotation processors defined by modules with annotation processors defined by non-module code
US10282184B2 (en) 2016-09-16 2019-05-07 Oracle International Corporation Metadata application constraints within a module system based on modular dependencies
US10848410B2 (en) 2017-03-29 2020-11-24 Oracle International Corporation Ranking service implementations for a service interface
US11102243B1 (en) * 2019-06-26 2021-08-24 Amazon Technologies, Inc. Resource address resolution based on resource ownership changes to block communications with computing resources
FR3110801A1 (fr) * 2020-05-25 2021-11-26 Orange Procédé de délégation de la livraison de contenus à un serveur cache
NL2026701B1 (en) * 2020-10-19 2022-06-14 Microsoft Technology Licensing Llc Systems and methods for providing feedback to webpage owners

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4621321A (en) * 1984-02-16 1986-11-04 Honeywell Inc. Secure data processing system architecture
US20040148503A1 (en) * 2002-01-25 2004-07-29 David Sidman Apparatus, method, and system for accessing digital rights management information
US20030101190A1 (en) * 2001-03-14 2003-05-29 Microsoft Corporation Schema-based notification service
US6965975B2 (en) * 2001-03-31 2005-11-15 Lg Electronics Inc. Apparatus and method for moving contents having a restricted number of copies between storage media
US20020157002A1 (en) * 2001-04-18 2002-10-24 Messerges Thomas S. System and method for secure and convenient management of digital electronic content
US7222104B2 (en) 2001-05-31 2007-05-22 Contentguard Holdings, Inc. Method and apparatus for transferring usage rights and digital work having transferrable usage rights
US20030177248A1 (en) * 2001-09-05 2003-09-18 International Business Machines Corporation Apparatus and method for providing access rights information on computer accessible content
EP2110975A1 (en) 2002-05-06 2009-10-21 Bentley Systems, Incorporated Method and system for digital signatures
GB2405232B (en) * 2003-08-21 2007-01-03 Hewlett Packard Development Co A method of and apparatus for controlling access to data
US7761863B2 (en) * 2004-06-08 2010-07-20 Covia Labs, Inc. Method system and data structure for content renditioning adaptation and interoperability segmentation model
US7530113B2 (en) * 2004-07-29 2009-05-05 Rockwell Automation Technologies, Inc. Security system and method for an industrial automation system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106485155A (zh) * 2015-08-24 2017-03-08 阿里巴巴集团控股有限公司 一种基于字段注释的加密方法和设备
WO2018113756A1 (zh) * 2016-12-21 2018-06-28 北京奇虎科技有限公司 一种即时通信发送方法、控制方法、发送端及接收端
CN113347037A (zh) * 2021-06-07 2021-09-03 中国建设银行股份有限公司 一种数据中心访问方法及装置
CN113347037B (zh) * 2021-06-07 2022-07-12 中国建设银行股份有限公司 一种数据中心访问方法及装置

Also Published As

Publication number Publication date
US20070061456A1 (en) 2007-03-15
EP1924942A1 (en) 2008-05-28
US8082451B2 (en) 2011-12-20
EP1924942A4 (en) 2012-01-25
CN101263500B (zh) 2011-10-12
WO2007031600A1 (en) 2007-03-22

Similar Documents

Publication Publication Date Title
CN101263500B (zh) 用于控制对信息的处理的方法和装置
Bellwood et al. UDDI Version 3.0
CN1703048B (zh) 网络服务应用协议和soap处理模型
US20030050911A1 (en) Schema-based services for identity-based access to profile data
US20070266118A1 (en) Contact management system and method
JP2008276564A (ja) データベースの更新方法
CN113259504B (zh) 基于DOA/handle标识解析技术的数据管理系统
US20090177751A1 (en) Mail transmission method
CN1820264B (zh) 名称解析的系统和方法
CN110807144B (zh) 互联网自定义信息发布和搜索服务系统
JP4998302B2 (ja) メール誤配信防止システム、メール誤配信防止方法、及びメール誤配信防止用プログラム
WO2010070763A1 (ja) 電子メール配信装置、電子メール配信システム、および、電子メール配信プログラム
JP2005107877A (ja) 名刺、名刺情報管理システム、名刺情報管理方法、および、プログラム
US7103632B2 (en) Method of transmitting messages between two computers connected to a network and corresponding messaging system
Field et al. Resource-oriented lightweight information exchange (ROLIE)
Boubez et al. UDDI Data Structure Reference V1. 0
Williamson et al. Referral whois (rwhois) protocol V1. 5
Bellwood et al. UDDI Version 3.0. 1 Specification
Williamson et al. RFC2167: Referral Whois (RWhois) Protocol V1. 5
Hollenbeck et al. RFC 9083: JSON Responses for the Registration Data Access Protocol (RDAP)
Burtrum DNS Queries over XMPP (DoX)
Wild et al. Message Archive Management
Hedberg et al. A Tagged Index Object for use in the Common Indexing Protocol
Bryson et al. XEP-0204: Collaborative Data Objects
Bergeson et al. Lightweight Directory Access Protocol (LDAP) Schema for Universal Description, Discovery, and Integration version 3 (UDDIv3)

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20160119

Address after: Espoo, Finland

Patentee after: NOKIA TECHNOLOGIES OY

Address before: Espoo, Finland

Patentee before: NOKIA Corp.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20111012