CN101833615A - 基于身份联合的数字资源权限控制方法 - Google Patents
基于身份联合的数字资源权限控制方法 Download PDFInfo
- Publication number
- CN101833615A CN101833615A CN200910047325A CN200910047325A CN101833615A CN 101833615 A CN101833615 A CN 101833615A CN 200910047325 A CN200910047325 A CN 200910047325A CN 200910047325 A CN200910047325 A CN 200910047325A CN 101833615 A CN101833615 A CN 101833615A
- Authority
- CN
- China
- Prior art keywords
- digital
- identity
- server
- digital resource
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及基于身份联合的数字资源权限控制方法,包括以下步骤:数字权限控制服务器分别从多个第三方身份提供服务器请求得到信任证书;数字资源发送端电子装置对需发送的数字资源进行安全保护处理,生成被保护数字资源文件以及数字资源保护相关元数据;通过数字权限控制服务器将数字资源保护相关元数据写入数字权限控制数据库;被保护数字资源文件通过传播渠道传播给接收端电子装置;接收端电子装置通过一个第三方身份提供服务器向数字权限控制服务器验证身份后,从数字权限控制服务器得到相应的数字资源使用权限。本发明使文件的传播更加安全,易用性也得到了大幅的提高;可直接指定不同第三方身份系统用户的权限,并对其实行有效的控制。
Description
技术领域
本发明涉及数字权限管理(DRM,Digital Rights Management)领域,特别是涉及一种基于身份联合的数字资源权限控制方法。
背景技术
数字资源,如计算机文件、数字出版物等,其访问资源权限的控制及保护,是知识产权保护中的重要问题。
现有的数字资源权限控制方法通常分别加密及数字水印等类型。其中,数字水印对于跟踪数字资源的出处具有优势,而加密则对保护数字资源的机密性及实际的权限控制具有优势。
现有的加密型数字资源权限控制方法中,通常其密钥本身由用户在数字资源控制服务上的帐号(用户名/密码)或其终端设备的唯一标识进行保护。即只有在被保护数字资源的使用者在该资源控制服务处拥有帐号并正确提供用户名/密码,或该使用者所使用的终端设备的唯一标识在该资源控制服务处有所登记并得到其认可的情况下,该使用者才能顺利得到密钥,并对被保护的数字资源进行解密得到原文进行使用。
但是,这些加密型数字资源权限控制方法均有一个共同的缺点:如果使用者需要将该被保护的数字资源在一定范围内进行合法的传播时,该使用者不得不将其帐号/密码等信息共享给这些人,从而可能导致该帐号下的其他资源被泄漏。
如果该被保护资源是由普通密码派生的密钥进行加密,则传播时可以直接将该密码与被保护文档一起传与他人,但是由于传播过程中的风险,该密码有可能被中间人截获,从而使被保护的文档的数据也被泄露。
发明内容
本发明所要解决的技术问题就是为了克服上述现有技术存在的缺陷而提供一种基于身份联合的数字资源权限控制方法。
本发明的目的可以通过以下技术方案来实现:基于身份联合的数字资源权限控制方法,其特征在于,包括以下步骤:
a.数字权限控制服务器分别从多个第三方身份提供服务器请求得到信任证书;
b.数字资源发送端电子装置对需发送的数字资源进行安全保护处理,生成被保护数字资源文件以及数字资源保护相关元数据;
c.通过数字权限控制服务器将数字资源保护相关元数据写入数字权限控制数据库;
d.被保护数字资源文件通过传播渠道传播给接收端电子装置;
e.接收端电子装置通过一个第三方身份提供服务器向数字权限控制服务器验证身份后,从数字权限控制服务器得到相应的数字资源使用权限。
所述的信任证书为相应第三方身份提供服务器的公有信任证书,该公有信任证书用于验证经相应第三方身份提供服务器私有信任证书数字签名后的身份证明文件。
所述的数字资源保护相关元数据包括资源标识、数字权限控制服务器标识以及保护类型。
所述的步骤b进一步包括:
b1.检查当前数字资源是否已进行过安全保护处理,若是,则执行步骤b2,若否,则执行b3;
b2.向数字权限控制服务器验证当前操作用户是否拥有该数字资源的管理权限,若是,则执行步骤b5,若否,则执行步骤b8;
b3.为该资源生成数字资源保护相关元数据以及密钥;
b4.在数字资源中写入数字资源保护相关元数据,并通过密钥进行加密;
b5.读入当前操作用户指定的接受方信息;
b6.通过数字权限控制服务器将接受方信息,以及密钥写入数字权限控制数据库;
b7.安全保护处理结束。
所述的接受方信息包括接收方身份标识以及权限标识。
所述的步骤e进一步包括:
e1.检测数字资源是否为被保护数字资源,若是,则执行e2,若否,则执行步骤e15;
e2.从数字资源中提取数字资源保护相关元数据;
e3.根据数字资源保护相关元数据向数字权限控制服务器请求相应的政策、规则文件(Policy);
e4.根据获得的政策、规则文件,接收端电子装置提示用户选择相应的第三方身份提供服务器;
e5.根据选择将接收端电子装置接入该第三方身份提供服务器;
e6.接收端电子装置在第三方身份提供服务器上进行用户身份验证;
e7.第三方身份提供服务器检测是否通过验证,若是,则执行步骤e8,若否,则执行步骤e15;
e8.获得第三方身份提供服务器返回的身份证明文件;
e9.接收端电子装置将该身份证明文件以及权限请求提交给权限控制服务器;
e10.数字权限控制服务器根据相应信任证书验证身份证明文件的合法性;
e11.若步骤e10返回的结果为非法,则执行步骤e15;若合法,则检测数字权限控制数据库中是否具有数字资源标识、接受方身份标识、请求权限信息均对应的记录,若是,则执行步骤e12,若否,则执行步骤e15。
e12.数字权限控制服务器返回包含有密钥的授权文件给接收端电子装置;
e13.接收端电子装置使用授权文件对被保护数字资源文件进行解密,执行步骤e15;
e14.拒绝权限请求;
e15.步骤e结束。
所述的步骤e进一步包括:
e1.检测数字资源是否为被保护数字资源,若是,则执行e2,若否,则执行步骤e14;
e2.从数字资源或接收端电子装置中提取数字资源保护相关元数据以及相应的政策、规则文件(Policy);
e3.根据获得的政策、规则文件,接收端电子装置提示用户选择相应的第三方身份提供服务器;
e4.根据选择将接收端电子装置接入该第三方身份提供服务器;
e5.接收端电子装置在第三方身份提供服务器上进行用户身份验证;
e6.第三方身份提供服务器检测是否通过验证,若是,则执行步骤e7,若否,则执行步骤e14;
e7.获得第三方身份提供服务器返回的身份证明文件;
e8.接收端电子装置将该身份证明文件以及权限请求提交给权限控制服务器;
e9.数字权限控制服务器根据相应信任证书验证身份证明文件的合法性;
e10.若步骤e9返回的结果为非法,则执行步骤e14;若合法,则检测数字权限控制数据库中是否具有数字资源标识、接受方身份标识、请求权限信息均对应的记录,若是,则执行步骤e11,若否,则执行步骤e14。
e11.数字权限控制服务器返回包含有密钥的授权文件给接收端电子装置;
e12.接收端电子装置使用授权文件对被保护数字资源文件进行解密,执行步骤e15;
e13.拒绝权限请求;
e14.步骤e结束。
所述的第三方身份提供服务器为Windows Live ID身份验证服务器、Gmail ID身份验证服务器或Microsoft Active Directory Federation Service身份验证服务器。
与现有技术相比,本发明使文件的传播更加安全,易用性也得到了大幅的提高;用户可以在控制数字资源权限时,直接指定不同第三方身份系统的用户的权限,并对其实行有限的控制,这在现有的技术中都是很难实现的;其次,本发明由于引入了多方身份提供者,为不同网络服务的进一步合作提供了契机。
附图说明
图1为本发明的流程图;
图2为本发明的原理图;
图3为本发明的安全保护处理的流程图;
图4为本发明的一个验证解密流程图;
图5为本发明的另一个验证解密流程图。
具体实施方式
下面结合附图对本发明作进一步说明。
如图1所示,基于身份联合的数字资源权限控制方法,包括以下步骤:
a.数字权限控制服务器分别从多个第三方身份提供服务器请求得到信任证书;
b.数字资源发送端电子装置对需发送的数字资源进行安全保护处理,生成被保护数字资源文件以及数字资源保护相关元数据;
c.通过数字权限控制服务器将数字资源保护相关元数据写入数字权限控制数据库;
d.被保护数字资源文件通过传播渠道传播给接收端电子装置;
e.接收端电子装置通过一个第三方身份提供服务器向数字权限控制服务器验证身份后,从数字权限控制服务器得到相应的数字资源使用权限。
所述的信任证书为相应第三方身份提供服务器的公有信任证书,该公有信任证书用于验证经相应第三方身份提供服务器私有信任证书数字签名后的身份证明文件。
所述的数字资源保护相关元数据包括资源标识、数字权限控制服务器标识以及保护类型等。
如图2,本实施例通过与网络身份提供者(Identity Provider)的互操作,实现权限指定时,指定者可以直接使用接收者的网络身份(如Hotmail,Gmail帐号)做为权限指定的受体,从而避免了接收者必须在同样的网络权限服务处注册、或必须或者被保护文档的密码等过程,减少了可能暴露秘密的步骤,从而提高了安全性,同时提高了易用性。其中:
数字资源文件11为待保护的数字文件,如JPG,DOC,PDF等文件;
数字资源发送端电子装置12对数字资源进行保护处理;
保护处理后的被保护数字资源文件13,可以在网络上安全传输;
数字权限控制服务器14,通常以网络服务的方式提供;
实际存储数字资源权限控制描述、密钥等的数字权限控制数据库15;
接收方用于打开被保护数字文件的接收端电子装置16;
实际证明接收方身份的第三方身份提供者(Identity Provider)服务器17,如Windows Live ID、Gmail ID等;当然,该身份服务亦可为数字权限控制服务自身所提供;在此情况下,该系统将要求接收方也在数字权限控制服务上拥有帐号。
数字资源发送端电子装置12、数字权限控制服务器14以及第三方身份提供服务器17均可为计算机,接收端电子装置16可以是手机、计算机、掌上电脑等。
如图3,本实施例的步骤b进一步包括:
b1.检查当前数字资源是否已进行过安全保护处理,若是,则执行步骤b2,若否,则执行b3;
b2.向数字权限控制服务器验证当前操作用户是否拥有该数字资源的管理权限,若是,则执行步骤b5,若否,则执行步骤b8;
b3.为该资源生成数字资源保护相关元数据以及密钥;
b4.在数字资源中写入数字资源保护相关元数据,并通过密钥进行加密;
b5.读入当前操作用户指定的接受方信息;
b6.通过数字权限控制服务器将接受方信息,以及密钥写入数字权限控制数据库;
b7.安全保护处理结束。
如图4所示,本实施例的步骤e进一步包括:
e1.检测数字资源是否为被保护数字资源,若是,则执行e2,若否,则执行步骤e15;
e2.从数字资源中提取数字资源保护相关元数据;
e3.根据数字资源保护相关元数据向数字权限控制服务器请求相应的政策、规则文件(Policy);
e4.根据获得的政策、规则文件,接收端电子装置提示用户选择相应的第三方身份提供服务器;
e5.根据选择将接收端电子装置接入该第三方身份提供服务器;
e6.接收端电子装置在第三方身份提供服务器上进行用户身份验证;
e7.第三方身份提供服务器检测是否通过验证,若是,则执行步骤e8,若否,则执行步骤e15;
e8.获得第三方身份提供服务器返回的身份证明文件;
e9.接收端电子装置将该身份证明文件以及权限请求提交给权限控制服务器;
e10.数字权限控制服务器根据相应信任证书验证身份证明文件的合法性;
e11.若步骤e10返回的结果为非法,则执行步骤e15;若合法,则检测数字权限控制数据库中是否具有数字资源标识、接受方身份标识、请求权限信息均对应的记录,若是,则执行步骤e12,若否,则执行步骤e15。
e12.数字权限控制服务器返回包含有密钥的授权文件给接收端电子装置;
e13.接收端电子装置使用授权文件对被保护数字资源文件进行解密,执行步骤e15;
e14.拒绝权限请求;
e15.步骤e结束。
其中,政策、规则文件(Policy)也可以直接设置于数字资源文件或预设于接收端电子装置中,这样就不需要向数字权限控制服务器请求了,而是直接从数字资源或接收端电子装置中提取数字资源保护相关元数据以及相应的政策、规则文件,如图5。
所述的第三方身份提供服务器为Windows Live ID身份验证服务器、Gmail ID身份验证服务器或Microsoft Active Directory Federation Service身份验证服务器等。
Claims (8)
1.基于身份联合的数字资源权限控制方法,其特征在于,包括以下步骤:
a.数字权限控制服务器分别从多个第三方身份提供服务器请求得到信任证书;
b.数字资源发送端电子装置对需发送的数字资源进行安全保护处理,生成被保护数字资源文件以及数字资源保护相关元数据;
c.通过数字权限控制服务器将数字资源保护相关元数据写入数字权限控制数据库;
d.被保护数字资源文件通过传播渠道传播给接收端电子装置;
e.接收端电子装置通过一个第三方身份提供服务器向数字权限控制服务器验证身份后,从数字权限控制服务器得到相应的数字资源使用权限。
2.根据权利要求1所述的基于身份联合的数字资源权限控制方法,其特征在于,所述的信任证书为相应第三方身份提供服务器的公有信任证书,该公有信任证书用于验证经相应第三方身份提供服务器私有信任证书数字签名后的身份证明文件。
3.根据权利要求1或2所述的基于身份联合的数字资源权限控制方法,其特征在于,所述的数字资源保护相关元数据包括资源标识、数字权限控制服务器标识以及保护类型。
4.根据权利要求3所述的基于身份联合的数字资源权限控制方法,其特征在于,所述的步骤b进一步包括:
b1.检查当前数字资源是否已进行过安全保护处理,若是,则执行步骤b2,若否,则执行b3;
b2.向数字权限控制服务器验证当前操作用户是否拥有该数字资源的管理权限,若是,则执行步骤b5,若否,则执行步骤b8;
b3.为该资源生成数字资源保护相关元数据以及密钥;
b4.在数字资源中写入数字资源保护相关元数据,并通过密钥进行加密;
b5.读入当前操作用户指定的接受方信息;
b6.通过数字权限控制服务器将接受方信息,以及密钥写入数字权限控制数据库;
b7.安全保护处理结束。
5.根据权利要求4所述的基于身份联合的数字资源权限控制方法,其特征在于,所述的接受方信息包括接收方身份标识以及权限标识。
6.根据权利要求5所述的基于身份联合的数字资源权限控制方法,其特征在于,所述的步骤e进一步包括:
e1.检测数字资源是否为被保护数字资源,若是,则执行e2,若否,则执行步骤e15;
e2.从数字资源中提取数字资源保护相关元数据;
e3.根据数字资源保护相关元数据向数字权限控制服务器请求相应的政策、规则文件;
e4.根据获得的政策、规则文件,接收端电子装置提示用户选择相应的第三方身份提供服务器;
e5.根据选择将接收端电子装置接入该第三方身份提供服务器;
e6.接收端电子装置在第三方身份提供服务器上进行用户身份验证;
e7.第三方身份提供服务器检测是否通过验证,若是,则执行步骤e8,若否,则执行步骤e15;
e8.获得第三方身份提供服务器返回的身份证明文件;
e9.接收端电子装置将该身份证明文件以及权限请求提交给权限控制服务器;
e10.数字权限控制服务器根据相应信任证书验证身份证明文件的合法性;
e11.若步骤e10返回的结果为非法,则执行步骤e15;若合法,则检测数字权限控制数据库中是否具有数字资源标识、接受方身份标识、请求权限信息均对应的记录,若是,则执行步骤e12,若否,则执行步骤e15。
e12.数字权限控制服务器返回包含有密钥的授权文件给接收端电子装置;
e13.接收端电子装置使用授权文件对被保护数字资源文件进行解密,执行步骤e15;
e14.拒绝权限请求;
e15.步骤e结束。
7.根据权利要求5所述的基于身份联合的数字资源权限控制方法,其特征在于,所述的步骤e进一步包括:
e1.检测数字资源是否为被保护数字资源,若是,则执行e2,若否,则执行步骤e14;
e2.从数字资源或接收端电子装置中提取数字资源保护相关元数据以及相应的政策、规则文件;
e3.根据获得的政策、规则文件,接收端电子装置提示用户选择相应的第三方身份提供服务器;
e4.根据选择将接收端电子装置接入该第三方身份提供服务器;
e5.接收端电子装置在第三方身份提供服务器上进行用户身份验证;
e6.第三方身份提供服务器检测是否通过验证,若是,则执行步骤e7,若否,则执行步骤e14;
e7.获得第三方身份提供服务器返回的身份证明文件;
e8.接收端电子装置将该身份证明文件以及权限请求提交给权限控制服务器;
e9.数字权限控制服务器根据相应信任证书验证身份证明文件的合法性;
e10.若步骤e9返回的结果为非法,则执行步骤e14;若合法,则检测数字权限控制数据库中是否具有数字资源标识、接受方身份标识、请求权限信息均对应的记录,若是,则执行步骤e11,若否,则执行步骤e14。
e11.数字权限控制服务器返回包含有密钥的授权文件给接收端电子装置;
e12.接收端电子装置使用授权文件对被保护数字资源文件进行解密,执行步骤e15;
e13.拒绝权限请求;
e14.步骤e结束。
8.根据权利要求6或7所述的基于身份联合的数字资源权限控制方法,其特征在于,所述的第三方身份提供服务器为Windows Live ID身份验证服务器、GmailID身份验证服务器或Microsoft Active Directory Federation Service身份验证服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910047325A CN101833615A (zh) | 2009-03-10 | 2009-03-10 | 基于身份联合的数字资源权限控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910047325A CN101833615A (zh) | 2009-03-10 | 2009-03-10 | 基于身份联合的数字资源权限控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101833615A true CN101833615A (zh) | 2010-09-15 |
Family
ID=42717683
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910047325A Pending CN101833615A (zh) | 2009-03-10 | 2009-03-10 | 基于身份联合的数字资源权限控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101833615A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014005286A1 (zh) * | 2012-07-03 | 2014-01-09 | 厦门简帛信息科技有限公司 | 一种数字资源的管理方法及装置 |
| CN103973736A (zh) * | 2013-01-30 | 2014-08-06 | 华为终端有限公司 | 一种数据共享的方法及装置 |
| WO2015027814A1 (zh) * | 2013-08-27 | 2015-03-05 | 华为终端有限公司 | 一种文件共享方法及装置 |
-
2009
- 2009-03-10 CN CN200910047325A patent/CN101833615A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014005286A1 (zh) * | 2012-07-03 | 2014-01-09 | 厦门简帛信息科技有限公司 | 一种数字资源的管理方法及装置 |
| CN103973736A (zh) * | 2013-01-30 | 2014-08-06 | 华为终端有限公司 | 一种数据共享的方法及装置 |
| WO2014117649A1 (zh) * | 2013-01-30 | 2014-08-07 | 华为终端有限公司 | 一种数据共享的方法及装置 |
| US9129125B2 (en) | 2013-01-30 | 2015-09-08 | Huawei Device Co., Ltd. | Data sharing method and device |
| CN103973736B (zh) * | 2013-01-30 | 2017-12-29 | 华为终端(东莞)有限公司 | 一种数据共享的方法及装置 |
| WO2015027814A1 (zh) * | 2013-08-27 | 2015-03-05 | 华为终端有限公司 | 一种文件共享方法及装置 |
| US9825924B2 (en) | 2013-08-27 | 2017-11-21 | Huawei Device (Dongguan) Co., Ltd. | File sharing method and apparatus |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11196729B2 (en) | Methods and systems for distributing encrypted cryptographic data | |
| AU2016201462B2 (en) | Methods and systems for distributing cryptographic data to authenticated recipients | |
| CN102546171B (zh) | 用于安全元件认证的方法 | |
| US20150304736A1 (en) | Technologies for hardening the security of digital information on client platforms | |
| US20160351080A1 (en) | System, Design and Process for Secure Documents Credentials Management Using Out-of-Band Authentication | |
| CN110636043A (zh) | 一种基于区块链的文件授权访问方法、装置及系统 | |
| CN112232814B (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| KR101809974B1 (ko) | 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증시스템 및 보안인증방법 | |
| CN104283686A (zh) | 一种数字版权保护方法及其系统 | |
| KR101496318B1 (ko) | 원격 디지털 포렌식 환경에서 보안 제공 장치 및 그 방법 | |
| KR101809976B1 (ko) | 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법 | |
| CN101833615A (zh) | 基于身份联合的数字资源权限控制方法 | |
| CN110602075A (zh) | 一种加密访问控制的文件流处理的方法、装置及系统 | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| KR101478526B1 (ko) | 인증 정보를 이용한 비밀 키 관리 시스템 및 이를 이용한 비밀 키 제공 방법 | |
| KR102055888B1 (ko) | 정보 보호를 위한 파일 암복호화 방법 | |
| CN110619236A (zh) | 一种基于文件凭证信息的文件授权访问方法、装置及系统 | |
| CN101833614A (zh) | 按件保护的数字资源权限控制方法 | |
| CN104580161A (zh) | 一种基于安全标识文件的软件实名认证方法和装置 | |
| CN112199688A (zh) | 文件的加密防护方法及访问控制系统 | |
| CN104580195B (zh) | 一种基于软件数字证书安全的权限发布获取控制方法 | |
| KR102542840B1 (ko) | 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템 | |
| CN102724043A (zh) | 对数字版权保护的单一用户授权系统 | |
| KR101298216B1 (ko) | 복수 카테고리 인증 시스템 및 방법 | |
| CN118611905A (zh) | 数据安全通信方法、终端设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100915 |