CN102592069A - 通过挂钩内核本地api管理数字权限的设备和方法 - Google Patents
通过挂钩内核本地api管理数字权限的设备和方法 Download PDFInfo
- Publication number
- CN102592069A CN102592069A CN2011103650421A CN201110365042A CN102592069A CN 102592069 A CN102592069 A CN 102592069A CN 2011103650421 A CN2011103650421 A CN 2011103650421A CN 201110365042 A CN201110365042 A CN 201110365042A CN 102592069 A CN102592069 A CN 102592069A
- Authority
- CN
- China
- Prior art keywords
- drm
- content
- unit
- application program
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000008569 process Effects 0.000 claims description 28
- 230000008859 change Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 6
- 239000003795 chemical substances by application Substances 0.000 abstract description 11
- 239000008186 active pharmaceutical agent Substances 0.000 abstract 2
- 241000256836 Apis Species 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 45
- 238000012545 processing Methods 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 238000002347 injection Methods 0.000 description 6
- 239000007924 injection Substances 0.000 description 6
- 238000007689 inspection Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 5
- 238000007639 printing Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/106—Enforcing content protection by specific content processing
- G06F21/1064—Restricting content processing at operating system level
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
提供了一种管理数字权限的设备和方法。代理单元管理应用了DRM的应用程序以及针对由应用了DRM的应用程序处理的内容的权限,并且对由应用程序处理的内容进行加密或解密。权限管理单元对用户进行认证,并管理对由应用程序处理的内容的用户权限。内核API挂钩单元通过挂钩内核本地API监视文件的输入/输出,请求权限管理单元验证针对将被处理的内容的用户权限,并且当验证了针对所述内容的用户权限时,请求代理单元对所述内容进行加密或解密。
Description
技术领域
本发明涉及一种管理数字权限的设备和方法,更具体地说,涉及一种通过挂钩内核本地API(应用程序编程接口)来管理数字权限的设备和方法。
背景技术
数字权限管理(DRM)是用于保护各种数字内容(诸如电子书、音乐、视频、游戏、软件、股票信息、图像等)免遭非法复制并用于设置对电子文档的访问权限以防止内部人员和外部人员泄露信息的技术。过去,黑客或病毒执行多数信息泄露事件。然而,最近,由于认证的内部人员或相关组织为了金钱而引起信息泄露事件,因此弥补现有安全方案中固有的缺点的呼声也越来越强烈。几乎商业实体的所有文档都是数字化的,并且用于共享数字化文档的系统被越来越多地引入。因此,如多数代表性文档安全技术一样企业DRM(E-DRM)也被注意到了。在国内外迅速发展的企业DRM方案代表满足目前安全市场的需求的各种技术的进步。特别地,在要求更高级的信息安全方案的市场中,对于应用这些技术的新产品的需求增长。直接地加密包含核心信息的内容并基于预定义的权限控制内容的使用的DRM方案通过满足上述市场需求的核心安全基础架构而占有有利位置。
在典型DRM处理技术中,内核驱动器或过滤驱动器实现DRM处理。因此,典型DRM处理技术在电子文档或数字化文件的DRM处理中仅支持特定应用程序,从而必须额外地开发额外DRM模块,从而需要额外开发时间和成本。此外,典型DRM处理技术通过使用逆向工程来分析特定应用程序,并通过使用DLL(动态链接库)注入方法控制和监视应用程序中的特定消息、指令和用户界面(UI)。在这种情况下,典型DRM处理技术通过内核驱动器或过滤驱动器控制DRM处理并管理数字权限。
然而,在典型DRM处理技术中存在以下限制。第一,由于应基于使用逆向工程的特定应用程序的分析结果来开发用于对应应用程序的控制的DLL,因此,开发新DLL耗费较长时间。因此,在开发时间期间可能产生安全问题。第二,被注入以在用户级操作的模块可能与其它程序相冲突而产生稳定性问题。第三,在通过内核驱动器的DRM处理中,与其它内核驱动器或程序的冲突可能产生并引发系统崩溃。第四,由于在改变内核或操作系统的过程中开发新内核驱动器,因此降低了灵活性。
发明内容
本发明在于提供一种管理数字权限的设备和方法,所述设备和方法可对所有应用程序的新产品或版本执行DRM处理,因此立即对电子文件的泄露做出响应。
本发明还在于提供一种记录用于在计算机中执行管理数字权限的方法的程序的非瞬时计算机可读介质,所述方法可对所有应用程序的新产品或版本执行DRM处理,因此立即对电子文件的泄露进行处理。
根据本发明的一方面,提供了一种管理数字权限的设备,包括:代理单元,管理应用了DRM的应用程序以及针对由应用了DRM的应用程序处理的内容的权限,并且对由应用了DRM的应用程序处理的内容进行加密或解密;权限管理单元,对用户进行认证,并管理针对由应用了DRM的应用程序处理的内容的用户权限;内核API挂钩单元,通过内核本地API的挂钩监视文件的输入/输出,当检测到内容正在被应用了DRM的应用程序处理时,请求权限管理单元验证针对将被处理的内容的用户权限,并且当验证了针对将被处理的内容的用户权限时,请求代理单元对将被处理的内容进行加密或解密,其中,针对应用了DRM的每个应用程序驱动所述代理单元、权限管理单元以及内核API挂钩单元。
根据本发明的另一方面,提供了一种管理数字权限的方法,包括:(a)当驱动应用了DRM的应用程序时,将DRM引擎模块注入应用了DRM的应用程序;(b)通过挂钩内核本地API监视文件的输入/输出,并且当检测到内容正在被应用了DRM的应用程序处理的时,认证针对在应用了DRM的应用程序中将被处理的内容的用户权限;(c)当验证了针对将被处理的内容的用户权限时,选择性地对将被处理的内容进行加密或解密;(d)将加密的或解密的内容返给内核本地API,其中,在用户级执行步骤(a)和步骤(c),在内核级执行步骤(b)和步骤(d)。
附图说明
对于本领域的普通技术人员而言,通过参照附图详细描述本发明的示例性实施例,本发明的上述和其它对象、特点和优点将变得更清楚,其中:
图1是示出根据本发明示例性实施例的管理数字权限的设备的配置的框图;
图2是示出执行根据本发明示例性实施例的管理数字权限的方法的过程的流程图;
图3是示出以根据本发明示例性实施例的管理数字权限的方法来读取文档的过程的流程图;
图4是示出以根据本发明示例性实施例的管理数字权限的方法来写入文档的过程的流程图;
图5是示出以根据本发明示例性实施例的管理数字权限的方法执行文档打印、剪贴板复制以及屏幕捕捉的过程的流程图。
具体实施方式
下面将参照附图详细描述本发明的示例性实施例。当结合本发明的示例性实施例来显示并描述本发明时,本领域技术人员将清楚,在不脱离本发明的精神和范围的情况下,可以做出各种修改。
根据本发明示例性实施例的管理数字权限的设备和方法应该满足以下要求。第一,所述设备和方法应包括DRM处理结构,所述DRM处理结构可自动地将DRM应用在所有应用程序产生的电子文件上。第二,所述设备和方法应立即对应用程序的新版本或产品做出响应。第三,所述设备和方法应最小化与其它应用程序或模块的冲突的可能性。第四,即使当改变了操作程序或内核时,所述设备和方法也应应用增强的可用性和灵活性。第五,所述设备和方法应通过简单模块改变来方便功能的添加和改进。
图1是示出根据本发明示例性实施例的管理数字权限的设备的配置的框图。
参照图1,管理数字权限100的设备包括代理单元110、权限管理单元120和内核API挂钩单元130。
代理单元110将DRM处理模块注入应用程序用于应用程序的控制,管理针对应用DRM的内容(在下文,“DRM内容”)的权限,并对DRM内容进行加密/解密。为此,代理单元110包括通信单元112、用户策略管理单元114、注入单元116、文档权限管理单元118以及加密/解密单元119。
通信单元112是用于执行代理单元110和管理DRM策略的管理服务器(未示出)之间的通信的元件,并将与DRM相关的策略发送到管理服务器/从管理服务器接收与DRM相关的策略。然后,从管理服务器接收的DRM策略可包括:用于每个应用程序或内容的信息、关于应用了DRM的应用程序的信息以及关于用户权限的允许/限制/改变的信息。因此,特定应用程序(例如,MS EXEL、MS WORD等)被设置为通过从管理服务器提供给代理单元110的DRM策略来执行DRM处理,并改变或限制特定用户或用户组对特定文档的访问。此外,在特定时间段期间,可临时改变或限制用户对特定应用程序或内容的访问权限。与此相似,根据从管理服务器接收的DRM策略的属性,将从管理服务器接收的DRM策略传送到文档权限管理单元118和权限管理单元120。在下面的描述中,将使用文档作为示例来描述内容,但是所述内容包括用于传送诸如视频、图片和网络文档而写入的带有电子格式的文件。
用户策略管理单元114执行改变(即,添加或删除)设置给用户或文档的用户权限的功能。因此,用户可在他/她的权限内改变对文档的访问权限。此外,从管理服务器接收的关于用户权限的信息可被反映在DRM处理中。
注入单元116驱动每个应用程序的DRM引擎以控制该应用程序。为此,当向系统供电以执行初始化操作(例如,启动)时,一起驱动注入单元116。注入单元116监视在操作系统(OS)上执行的所有应用程序。并且,在执行应用了DRM的应用程序时,注入单元116驱动DRM引擎以监视文件的输入/输出。在这种情况下,注入单元116可包括应用了DRM的应用程序的列表。然而,为了更加灵活的操作,文档权限管理单元118可管理应用了DRM的应用程序的列表。此外,当驱动了应用程序时,注入单元116询问文档权限管理单元118以确认对应的应用程序是否是应用了DRM的应用程序。与只针对每个应用程序的管理数字权限的现有设备不同,根据本发明的管理数字权限的设备100可在不管应用程序的类型的情况下通过这种配置执行数字权限的管理(例如,在Hancom公司的Hangul程序的情况下,使用对应程序的内部函数执行管理数字权限)。
文档权限管理单元118管理应用了DRM的应用程序的列表,并管理每个程序或文档的权限信息。与特定应用程序对应的权限信息可包括关于由应用程序处理的打印、存储和修改任何文档的权限的临时限制信息。与文档对应的权限信息可包括关于对文档的发送、复制和编辑权限的信息。文档权限管理单元118可通过权限管理控制各种适合于企业环境的权限。
加密/解密单元119对文档执行加密和解密。加密/解密单元119可被包括在内核API挂钩单元130中的加密/解密控制单元134控制,并将文档的加密和解密结果输出到加密/解密控制单元134。
权限管理单元120是用于在用户级操作的元件,并执行针对DRM文档的访问历史管理和针对文档的处理的用户权限管理,例如用户认证、修改、打印、复制等。为此,权限管理单元120包括用户认证单元122、用户权限管理单元124和使用历史管理单元126。
用户认证单元122基于关于用户或用户终端的标识信息对文档或应用程序的用户权限进行验证,并输出用户认证的结果。此外,用户权限管理单元124基于用户认证的结果处理与对文档的读取、写入、修改、捕捉、剪贴板使用和打印权限关联的事件。因此,如果用户权限不包括打印文档的权限,则用户权限管理单元124通过阻止应用程序的打印函数来不执行打印文档的指令。使用历史管理单元126管理与DRM文档的打开、修改和存储相关的使用历史。历史管理单元126是视需要被选择性地包括的元件。可在使用上述用户认证的其它计算机中支持对文档的访问,并且可通过使用历史管理来准确地管理关于文档使用(即,打开、存储、删除、打印和捕捉)的日志信息。
内核API挂钩单元130挂钩内核本地API以监视文件的输入/输出,并基于此控制代理单元110和权限管理单元120的操作。内核本地API在windows操作系统上被内部地使用。将windows操作系统的内核本地API分类为仅可使用在内核模式中的以“Nt”开头的API以及可在用户模式中使用的以“Zw”开头的API。不论应用程序如何,内核本地API是公共的,因此内核本地API可通过挂钩在应用程序中独立地执行DRM处理。然而,由于通过每个应用程序的逆向分析执行API挂钩并且多种API被用于文件的输入/输出而引起对应用程序的依赖性,因此通过使用API挂钩的典型DRM管理技术具有局限性。
对于通过内核本地API挂钩的DRM处理,内核API挂钩单元130包括权限控制单元132、加密/解密控制单元134和高速缓存处理单元136。在这种情况下,如果需要可包括高速缓存处理单元136。
权限控制单元132询问代理单元110的文档权限管理单元118和权限管理单元120的权限管理单元124以确认对与从加密/解密控制单元134通知的文件输入/输出事件对应的文档的权限,并将确认结果传送到加密/解密控制单元134以控制存储和解密权限。在此时,权限控制单元132询问文档权限管理单元118是否根据从管理服务器接收的权限策略来设置用户权限的临时限制。
加密/解密控制单元134挂钩内核本地API以检测文件输入/输出事件。如上所述,针对应用了DRM的每个应用程序驱动根据本发明的管理数字权限的设备。因此,加密/解密控制单元134可在内核本地API中识别由加密/解密控制单元134管理的应用程序引起的文件输入/输出事件。此外,加密/解密控制单元134询问权限控制单元132关于文档的权限,所述文档是文件输入/输出事件的对象,并根据该询问结果,处理文档的解密、加密、存储和修改。此外,当必须对文档进行解密(即,请求文档的读取)时,加密/解密控制单元134询问高速缓存处理单元136是否先前已经解密了该文档。如果请求读取的文档被确认为已经被解密了,则加密/解密控制单元134从高速缓存处理单元136接收解密的文档,并将该接收的文档提供给文件输入/输出内核本地API。与此不同,如果请求读取的文档被确认为未被解密,则加密/解密控制单元134请求加密/解密单元119对加密的文档进行解密,从加密/解密控制单元134接收解密的文档,并将该接收的文档提供给文件输入/输出内核本地API。当内核本地API事件发生(诸如剪贴板复制、屏幕捕捉或文档打印)时,加密/解密控制单元134根据通过权限控制单元132确认的设置给文档的权限或用户对文档的权限将结果提供给文件输入/输出内核本地API。
上面描述了加密/解密控制单元134检测文件输入/输出内核本地API并返回检测结果作为示例。另一方面,权限控制单元132可检测文件输入/输出内核本地API,并且每个对应元件可返回结果。作为示例,在文档读取的情况下,如果确认了对请求读取的文档的读取权限,则权限控制单元132请求加密/解密控制单元134对文档进行解密,且加密/解密控制单元134询问高速缓存控制单元136是否先前已经解密了该文档。如果先前已经解密了该文档,则高速缓存控制单元136将解密的文档直接或通过加密/解密控制单元134提供给对应文件输入/输出内核本地API。与此不同,如果文档被确认为未被解密,则加密/解密控制单元134请求加密/解密单元119对加密的文档进行解密,从加密/解密控制单元134接收解密的文档,并将接收的文档提供给文件输入/输出内核本地API。
如果文件输入/输出内核本地API事件与文档写入对应,则加密/解密控制单元134请求加密/解密单元119对被写入的文档进行加密。然后,加密/解密控制单元134接收从加密/解密单元119接收的加密的文档,并将该接收的文档提供给高速缓存处理单元136,从而高速缓存处理单元136可存储该文档。此外,加密/解密控制单元134将该接收的文档提供给文件输入/输出内核本地API。在检测到与文档修改对应的文件输入/输出内核本地API事件的情况下,与文件加密相关的过程与文档写入的情况一样,但是添加了确认文档修改权限的过程。
高速缓存处理单元136是用于防止打开的文档被重复加密或解密的元件。因此,高速缓存处理单元136从加密/解密控制单元134接收最先加密或解密的文档并将该文档存储在内置的高速缓存器中。如果从加密/解密控制单元134输入了将被处理的文档是否已经被解密的询问,则高速缓存处理单元136搜索高速缓存器,然后将文档返回加密/解密控制单元134或将通知文档未被解密的信号输出到加密/解密控制单元134。
图2是示出执行根据本示例性实施例的管理数字权限的方法的过程的流程图。
参照图2,在启动系统时,运行注入模块并监视应用程序是否在运行(S200)。此时,注入模块监视在OS上运行的所有应用程序(S210),并检查运行的应用程序是否是将被应用DRM的预定应用程序(S220)。如果运行的应用程序是将被应用DRM的预定应用程序,则注入模块将实现根据本发明的管理数字权限的方法的DRM引擎模块注入应用程序(S230)。注入应用程序的DRM引擎模块挂钩内核本地API以对文档执行DRM处理(S240)。
图3是示出以根据本发明示例性实施例的管理数字权限的方法来读取文档的过程的流程图。
参照图3,从应用了DRM的应用程序输出文档读取命令(S300)。DRM引擎模块监视内核本地API中的文档读取事件(S310)。然后,DRM引擎模块检查用户是否具有对文档的权限(S320)。如果确认用户不具有读取的权限(S330),则DRM引擎模块阻止文档被打开(S340)。与此不同,如果确认用户具有读取的权限(S330),则DRM引擎模块检查文档是否先前已经被解密(S350)。如果确认解密的文档不存在(S360),则DRM引擎模块对文档解密(S370),并将解密的文档存储在高速缓存器中(S380)。然后,DRM引擎模块调用原始内核本地API,并传送解密的文档(S395)。与此不同,如果确认解密的文档存在(S360),则DRM引擎模块不执行新的解密处理,而是直接调用原始内核本地API并传送存储的文档。
图4是示出以根据本发明示例性实施例的管理数字权限的方法来写入文档的过程的流程图。
参照图4,从应用了DRM的应用程序输出文档打开命令输出(S400)。DRM引擎模块监视内核本地API中的文档打开事件(S410)。然后,DRM引擎模块检查用户是否具有对文档的权限(S420)。如果确认用户不具有对文档的修改权限(S430),则DRM引擎模块阻止文档被存储(S440)。与此不同,如果确认用户具有修改权限(S430),则DRM引擎模块检查文档是否已经被改变(S450)。如果确认文档已经被改变,则DRM引擎模块对文档进行加密(S460)。在该处理中,DRM引擎模块可根据设置将加密的文档存储在高速缓存器中。最后,DRM引擎模块调用原始内核本地API并传送加密的文档(S470)。
图5是示出以根据本发明示例性实施例的管理数字权限的方法执行文档打印、剪贴板复制以及屏幕捕捉的过程的流程图。
参照图5,当从应用了DRM的应用程序输出诸如文档打印、剪贴板复制、屏幕捕捉的运行命令(S500)时,DRM引擎模块检查为文档设置了哪些权限(S510)。在这种情况下,打印权限和剪贴板复制权限包括在用户权限中,而屏幕捕捉权限包括在文档权限中。如果确认为文档设置了对运行命令(例如,剪贴板复制)的权限(S520),则DRM引擎模块允许请求的处理(S530)。与此不同,如果确认没有对文档设置对运行指令的权限(S520),则DRM引擎模块拒绝请求的处理(S540)。
可在参照图1的根据本发明示例性实施例的管理数字权限的设备上执行参照图2至图5的根据本发明示例性实施例的管理数字权限的方法。在这种情况下,根据本发明的管理数字权限的设备用作DRM引擎模块。此外,可用软件实现参照图2至图5的根据本发明示例性实施例的管理数字权限的方法。在这种情况下,将DRM引擎模块作为程序安装在目标系统中,并由包括在DRM引擎模块中的注入模块将DRM引擎模块注入应用了DRM的应用程序中。
通过使用如上所述的管根据本发明的理数字权限的设备和方法,可对所有应用程序执行DRM处理,从而立即对电子文件泄露做出响应并将DRM应用于各种格式的电子文件。此外,由于特定应用程序的注入所需的DLL不单独存在,因此可减小引擎的大小,从而有效地使用存储介质。此外,在内核级,执行控制和DRM处理,但是只执行DRM处理的控制和请求,从而减少处理过程以最小化不必要的资源占用。因此,虽然正在应用DRM,但是可以在计算机不变慢的情况下增强稳定性。与现有DRM技术相比,由于速度提高了40%或更多并且内核级操作稳定性,因此可提供舒适的计算机环境。此外,引入DRM的公司可在不增加模块开发成本的情况下扩大应用了DRM的应用程序的范围,从而有效地减少成本。
响应于增加的私人信息、秘密的信息财产和工业技术泄露以及发展的黑客和信息泄露技术,根据本发明的管理数字权限的设备和方法可使用诸如用户权限和加密的DRM处理来防止信息技术泄露中的解密并只允许授权的人员对电子文档或具有与电子文档对应的电子文件格式的电子财富使用对应文档。本发明不依赖于特定应用程序,从而对所有应用程序的新产品或版本执行DRM处理并立即对电子文档的泄露做出响应。此外,应用了DRM的应用程序的局限性被最小化,从而与现有方法相比,很大地扩大了DRM的应用范围。
还可将本发明实施为计算机可读记录介质上的计算机可读代码。计算机可读记录介质是可存储其后可被计算机系统读取的数据的任何数据存储装置。计算机可读记录介质的示例包括:只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘、光学数据存储装置以及载波(诸如通过互联网的数据传输)。还可将计算机可读记录介质分布到与计算机系统连接的网络上,从而以分布方式存储并运行计算机可读代码。
参照本发明优选实施例具体地显示和描述了本发明。不应将本发明解释为限制在这里阐述的实施例。本领域技术人员将理解,在不脱离由权利要求限定的本发明的精神和范围的情况下,可以对其进行形式和细节的各种改变。
Claims (16)
1.一种管理数字权限的设备,所述设备包括:
代理单元,管理应用了DRM的应用程序以及针对由应用了DRM的应用程序处理的内容的权限,并且对由应用了DRM的应用程序处理的内容进行加密或解密;
权限管理单元,对用户进行认证,并管理针对由应用了DRM的应用程序处理的内容的用户权限;
内核API挂钩单元,通过内核本地API的挂钩监视文件的输入/输出,当检测到内容正被应用了DRM的应用程序进行处理时,请求权限管理单元针对将被处理的内容的用户权限进行验证,当认证了针对将被处理的内容的用户权限时,请求代理单元对将被处理的内容进行加密或解密,
其中,针对应用了DRM的每个应用程序驱动所述代理单元、权限管理单元以及内核API挂钩单元。
2.如权利要求1所述的设备,其中,所述代理单元包括:
用户策略管理单元,基于从用户或管理DRM策略的管理服务器接收的权限信息改变对内容的权限或用户的权限;
文档权限管理单元,管理应用了DRM的应用程序的列表,并管理针对每个文档和应用了DRM的每个应用程序的权限信息;
注入单元,当正在运行应用了DRM的应用程序时,监视在操作系统上运行的应用程序,并针对每个应用程序驱动代理单元、权限管理单元以及内核API挂钩单元;
加密/解密单元,响应于来自内核API挂钩单元的对内容进行加密或解密的请求,对内容进行加密或解密,并且将加密或解密的内容返给内核API挂钩单元。
3.如权利要求2所述的设备,其中,从管理服务器接收的权限信息包括:针对应用了DRM的每个内容或应用程序的权限信息、关于应用了DRM的应用程序的信息以及关于用户权限的允许/限制/改变的信息。
4.如权利要求2所述的设备,其中,当检测到应用程序正在运行时,注入单元询问文档权限管理单元正在运行的应用程序是否是应用了DRM的应用程序。
5.如权利要求1所述的设备,其中,所述权限管理单元包括:
用户认证单元,对应用了DRM的内容或应用程序的用户权限进行验证,并输出对用户的认证结果;
用户权限管理单元,基于关于用户的认证结果管理对读取、写入、修改、捕捉、剪贴板使用和打印的用户权限,并且响应于来自内核API挂钩单元的验证将被处理的内容的权限的请求而返回认证结果。
6.如权利要求5所述设备,其中,权限管理单元还包括:使用历史管理单元,管理包括应用了DRM的应用程序的打开、修改和存储的使用历史。
7.如权利要求1所述的设备,其中,内核API挂钩单元包括:
权限控制单元,请求代理单元和权限管理单元验证针对与文件输入/输出事件对应的内容的用户权限,并输出验证结果;
加密/解密控制单元,挂钩内核本地API以检测文件输入/输出事件,请求权限管理单元验证针对与文件输入/输出事件对应的将被处理的内容的用户权限,把将被处理的内容传送到代理单元以直接基于验证结果进行加密或解密。
8.如权利要求1所述的设备,其中,内核API挂钩单元包括:
权限控制单元,挂钩内核本地API检测文件输入/输出事件,请求代理单元和权限管理单元验证针对与检测到的文件输入/输出事件对应的将被处理的内容的用户权限;
加密/解密控制单元,基于验证结果把将被处理的内容传送到代理单元以直接进行加密或解密。
9.如权利要求7或8所述的设备,其中,内核API挂钩单元还包括:高速缓存处理单元,从加密/解密控制单元接收先前加密或解密的内容,并将所述内容存储在内置的高速缓存器中,从而防止打开的文档被重复地加密或解密,并且当从加密/解密控制单元输入了是否已经对将被处理的内容进行了加密或解密的询问时,搜索高速缓存器,并返回内容或输出内容未被解密的通知。
10.一种管理数字权限的方法,所述方法包括:
(a)当驱动应用了DRM的应用程序时,将DRM引擎模块注入应用了DRM的应用程序;
(b)通过挂钩内核本地API监视文件的输入/输出,并且当检测到内容正在被应用了DRM的应用程序进行处理时,验证针对将被在应用了DRM的应用程序中处理的内容的用户权限;
(c)当验证了针对将被处理的内容的用户权限时,选择性地对将被处理的内容进行加密或解密;
(d)将加密的或解密的内容返给内核本地API,
其中,在用户级执行步骤(a)和步骤(c),在内核级执行步骤(b)和步骤(d)。
11.如权利要求10所述的方法,其中,步骤(a)包括:当检测到的应用程序是在应用了DRM的应用程序的预定列表中时,将DRM引擎模块注入检测到的应用程序。
12.如权利要求10所述的方法,其中,用户对内容的权限或对内容设置的权限基于从用户或管理DRM策略的管理服务器接收的权限信息是可改变的。
13.如权利要求12所述的方法,其中,从管理服务器接收的权限信息包括:针对应用了DRM的每个内容或应用程序的权限信息,关于应用了DRM的应用程序的信息以及关于用户权限的允许/限制/改变的信息。
14.如权利要求10所述的方法,还包括:(e)更新包括应用了DRM的内容的打开、修改和存储的使用历史。
15.如权利要求10所述的方法,其中,步骤(c)包括:
(c1)挂钩内核本地API以检测文件输入/输出事件;
(c2)验证针对与文件输入/输出事件对应的将被处理的内容的用户权限,对用户进行认证,并管理针对在应用了DRM的应用程序中将被处理的内容的用户权限;
(c3)基于验证结果对内容进行加密或解密。
16.如权利要求15所述的方法,其中,步骤(c)还包括:(c4)搜索存储先前加密或解密的内容的高速缓存器,并读出内容,从而防止内容被重复加密或解密。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2010-0112146 | 2010-11-11 | ||
| KR1020100112146A KR20120050742A (ko) | 2010-11-11 | 2010-11-11 | 커널 네이티브 에이피아이의 후킹 처리를 통한 디지털 저작권 관리 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102592069A true CN102592069A (zh) | 2012-07-18 |
| CN102592069B CN102592069B (zh) | 2015-05-06 |
Family
ID=44992704
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110365042.1A Active CN102592069B (zh) | 2010-11-11 | 2011-11-11 | 通过挂钩内核本地api管理数字权限的设备和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8752201B2 (zh) |
| EP (1) | EP2453378A3 (zh) |
| JP (1) | JP5415512B2 (zh) |
| KR (1) | KR20120050742A (zh) |
| CN (1) | CN102592069B (zh) |
| SG (1) | SG181235A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105631311A (zh) * | 2015-04-27 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 应用程序的权限管理方法、装置和终端 |
| CN110837648A (zh) * | 2019-10-23 | 2020-02-25 | 云深互联(北京)科技有限公司 | 文档的处理方法、装置及设备 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101064143B1 (ko) * | 2010-08-20 | 2011-09-15 | 주식회사 파수닷컴 | Drm 환경에서의 클립보드 보호 시스템 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
| KR101997605B1 (ko) * | 2012-02-24 | 2019-07-08 | 삼성전자 주식회사 | 휴대단말기의 어플리케이션 처리장치 및 방법 |
| CN103593238A (zh) | 2012-08-16 | 2014-02-19 | 腾讯科技(深圳)有限公司 | 控制应用程序编程接口调用的方法及装置 |
| CN103679009A (zh) * | 2012-09-19 | 2014-03-26 | 珠海市君天电子科技有限公司 | 终端安全防御的方法及终端安全防御装置 |
| KR101394369B1 (ko) * | 2012-11-13 | 2014-05-13 | 주식회사 파수닷컴 | 가상 폴더를 이용한 보안 콘텐츠 관리 장치 및 방법 |
| US10063380B2 (en) | 2013-01-22 | 2018-08-28 | Amazon Technologies, Inc. | Secure interface for invoking privileged operations |
| US9503268B2 (en) * | 2013-01-22 | 2016-11-22 | Amazon Technologies, Inc. | Securing results of privileged computing operations |
| CN103268451B (zh) * | 2013-06-08 | 2017-12-05 | 上海斐讯数据通信技术有限公司 | 一种基于移动终端的动态权限管理系统 |
| US9710659B2 (en) * | 2014-08-28 | 2017-07-18 | Virtru Corporation | Methods and systems for enforcing, by a kernel driver, a usage restriction associated with encrypted data |
| US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
| US10977342B2 (en) | 2015-10-14 | 2021-04-13 | Arris Enterprises Llc | High definition secure playback with downloadable DRM for android platforms |
| CN105426754B (zh) * | 2015-11-13 | 2018-04-27 | 上海斐讯数据通信技术有限公司 | 一种权限管理方法及系统 |
| CN105657550A (zh) * | 2016-02-04 | 2016-06-08 | 四川长虹电器股份有限公司 | Android电视系统中音视频安全权限管理系统 |
| US10698986B2 (en) * | 2016-05-12 | 2020-06-30 | Markany Inc. | Method and apparatus for embedding and extracting text watermark |
| US10977361B2 (en) * | 2017-05-16 | 2021-04-13 | Beyondtrust Software, Inc. | Systems and methods for controlling privileged operations |
| CN109670332A (zh) * | 2017-10-13 | 2019-04-23 | 哈尔滨安天科技股份有限公司 | 应用数据保护方法、装置及其设备 |
| US11238174B2 (en) * | 2019-01-31 | 2022-02-01 | Salesforce.Com, Inc. | Systems and methods of database encryption in a multitenant database management system |
| CN110086786A (zh) * | 2019-04-15 | 2019-08-02 | 努比亚技术有限公司 | 可穿戴设备及其数据监控方法和计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002031632A2 (en) * | 2000-10-11 | 2002-04-18 | Sealedmedia Limited | A method for controlling access to protected content |
| CN1354936A (zh) * | 2000-04-14 | 2002-06-19 | 韩国稀客股份有限公司 | 基于数字签名证书保护文件系统的方法和装置 |
| US20030084281A1 (en) * | 2001-10-25 | 2003-05-01 | Fujitsu Limited | Data management system, data processing system, and computer-readable medium having on which data management program is recorded |
| WO2003058485A1 (en) * | 2002-01-12 | 2003-07-17 | Coretrust, Inc. | Method and system for the information protection of digital content |
| WO2009072755A2 (en) * | 2007-12-07 | 2009-06-11 | Markany Inc. | Digital information security system, kernel driver apparatus and digital information security method |
| WO2009093768A1 (en) * | 2008-01-25 | 2009-07-30 | Fasoo. Com Co., Ltd | System and method for preventing drm client crash using process separate execution |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6961858B2 (en) * | 2000-06-16 | 2005-11-01 | Entriq, Inc. | Method and system to secure content for distribution via a network |
| US7991697B2 (en) * | 2002-12-16 | 2011-08-02 | Irdeto Usa, Inc. | Method and system to digitally sign and deliver content in a geographically controlled manner via a network |
| JP4874568B2 (ja) * | 2004-05-14 | 2012-02-15 | パナソニック株式会社 | アプリケーション管理装置及び管理方法 |
| KR100564731B1 (ko) * | 2004-08-13 | 2006-03-28 | (주)잉카엔트웍스 | 네트워크를 통하여 개인 휴대 단말기로 데이터를 전송하는방법 및 그 시스템 |
| JP4234770B1 (ja) * | 2007-10-10 | 2009-03-04 | 株式会社東芝 | 再生装置および再生制御方法 |
| US9027123B2 (en) * | 2008-12-08 | 2015-05-05 | Nec Corporation | Data dependence analyzer, information processor, data dependence analysis method and program |
-
2010
- 2010-11-11 KR KR1020100112146A patent/KR20120050742A/ko not_active Application Discontinuation
-
2011
- 2011-11-10 SG SG2011082823A patent/SG181235A1/en unknown
- 2011-11-10 EP EP11188621.4A patent/EP2453378A3/en not_active Withdrawn
- 2011-11-11 CN CN201110365042.1A patent/CN102592069B/zh active Active
- 2011-11-11 US US13/294,422 patent/US8752201B2/en active Active
- 2011-11-11 JP JP2011247754A patent/JP5415512B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1354936A (zh) * | 2000-04-14 | 2002-06-19 | 韩国稀客股份有限公司 | 基于数字签名证书保护文件系统的方法和装置 |
| WO2002031632A2 (en) * | 2000-10-11 | 2002-04-18 | Sealedmedia Limited | A method for controlling access to protected content |
| US20030084281A1 (en) * | 2001-10-25 | 2003-05-01 | Fujitsu Limited | Data management system, data processing system, and computer-readable medium having on which data management program is recorded |
| WO2003058485A1 (en) * | 2002-01-12 | 2003-07-17 | Coretrust, Inc. | Method and system for the information protection of digital content |
| WO2009072755A2 (en) * | 2007-12-07 | 2009-06-11 | Markany Inc. | Digital information security system, kernel driver apparatus and digital information security method |
| WO2009093768A1 (en) * | 2008-01-25 | 2009-07-30 | Fasoo. Com Co., Ltd | System and method for preventing drm client crash using process separate execution |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105631311A (zh) * | 2015-04-27 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 应用程序的权限管理方法、装置和终端 |
| CN110837648A (zh) * | 2019-10-23 | 2020-02-25 | 云深互联(北京)科技有限公司 | 文档的处理方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5415512B2 (ja) | 2014-02-12 |
| US20120124675A1 (en) | 2012-05-17 |
| EP2453378A2 (en) | 2012-05-16 |
| CN102592069B (zh) | 2015-05-06 |
| EP2453378A3 (en) | 2013-09-18 |
| SG181235A1 (en) | 2012-06-28 |
| US8752201B2 (en) | 2014-06-10 |
| KR20120050742A (ko) | 2012-05-21 |
| JP2012104121A (ja) | 2012-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102592069B (zh) | 通过挂钩内核本地api管理数字权限的设备和方法 | |
| US9461819B2 (en) | Information sharing system, computer, project managing server, and information sharing method used in them | |
| CN103763313B (zh) | 一种文档保护方法和系统 | |
| US20100299759A1 (en) | Digital information security system, kernal driver apparatus and digital information security method | |
| US20040039932A1 (en) | Apparatus, system and method for securing digital documents in a digital appliance | |
| US9699193B2 (en) | Enterprise-specific functionality watermarking and management | |
| CN110889130B (zh) | 基于数据库的细粒度数据加密方法、系统及装置 | |
| CN101729550A (zh) | 基于透明加解密的数字内容安全防护系统及加解密方法 | |
| JP2007241513A (ja) | 機器監視装置 | |
| US8776258B2 (en) | Providing access rights to portions of a software application | |
| CN104834835A (zh) | 一种Windows平台下的通用数字版权保护方法 | |
| CN107294955B (zh) | 电子文件加密中间件管控系统及方法 | |
| US20120233712A1 (en) | Method and Device for Accessing Control Data According to Provided Permission Information | |
| WO2014150339A2 (en) | Method and system for enabling communications between unrelated applications | |
| WO2024002103A1 (zh) | 一种数据资产的管理方法及数据资产主动管理系统 | |
| WO2024002105A1 (zh) | 一种数据资产的使用控制方法、客户端及中间服务平台 | |
| JP2010238031A (ja) | 外部記憶デバイス、外部記憶デバイスに記憶されたデータを処理するための方法、プログラムおよび情報処理装置 | |
| US7966460B2 (en) | Information usage control system, information usage control device and method, and computer readable medium | |
| JP4674479B2 (ja) | セキュリティ管理システム、サーバ装置、クライアント端末及びそれに用いるセキュリティ管理方法 | |
| US8756426B2 (en) | Functionality watermarking and management | |
| US9552463B2 (en) | Functionality watermarking and management | |
| KR101945687B1 (ko) | 하이브리드 클라우드를 이용한 전자 문서 관리 시스템 및 그 방법 | |
| KR100901014B1 (ko) | 가상 환경상에서의 응용 프로그램 실행 장치 및 방법 | |
| CN101271502A (zh) | 一种带有大容量文件存储功能的软件保护装置 | |
| CN115310108A (zh) | 一种基于数据提取的电子文档共享控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |