CN102656591B - 使用基于属性的加密的数字权利管理 - Google Patents
使用基于属性的加密的数字权利管理 Download PDFInfo
- Publication number
- CN102656591B CN102656591B CN201080057624.7A CN201080057624A CN102656591B CN 102656591 B CN102656591 B CN 102656591B CN 201080057624 A CN201080057624 A CN 201080057624A CN 102656591 B CN102656591 B CN 102656591B
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- attribute
- content
- licence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000001012 protector Effects 0.000 claims abstract description 13
- 238000000034 method Methods 0.000 claims description 28
- 230000036541 health Effects 0.000 claims description 10
- 238000007726 management method Methods 0.000 description 25
- 239000003795 chemical substances by application Substances 0.000 description 15
- 238000004590 computer program Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000013500 data storage Methods 0.000 description 4
- 230000000474 nursing effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012946 outsourcing Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1015—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to users
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1012—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to domains
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/603—Digital right managament [DRM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
Abstract
用于数字权利管理系统的数据提供器(1)包括数据保护器(2),其用于根据多个属性之上的访问策略,使用基于属性的加密来保护数据(20)。许可证发布器(3)发布包括使用权(18)的集合的表示的许可证(17),其中所述使用权(18)的集合与所述数据(20)有关(19),以便对具有满足所述访问策略的属性的多个实体(10)授予关于所述数据(20)的所述使用权(18)。数据接收器(10)包括数据访问子系统,其用于根据与属性的集合有关的解密密钥(16),使用基于属性的解密来访问数据。所述数据接收器(10)还包括使用约束子系统(12),其用于基于包括与所述数据有关的(19)使用权(18)的集合的表示的许可证(17),来约束对所述数据(20)的所述访问。
Description
技术领域
本发明涉及数字权利管理。本发明进一步涉及提供受保护的数据和访问受保护的数据。
背景技术
现代健康护理通信架构往往是开放的、互连的环境:敏感的患者记录不再存在于健康护理提供者内部物理隔离的主机(在这里可以采取物理安全措施来保护数据和系统)上。患者文件更应该保存在数据外包(outsource)给部分可信的服务器或者在部分可信的服务器上处理的环境中,以便使家庭医生、医学专家甚至是非医学护理提供者去集中(de-centralize)地访问。为了使记录在不同的健康护理提供者之中共享或者与外部方共享,可以利用促进以数据为中心的保护的端对端的安全技术:密码保护数据并使数据外包或者甚至自由地浮(float)于网络上。
DRM是用于提供端对端安全的有效解决方案。在DRM系统中,用个人用户的公钥对内容密钥进行加密。在接收到包括加密的内容密钥的DRM许可证和受保护的内容时,通过使用个人的私钥来解密内容密钥。然后,使用解密的内容密钥来解密所述内容。这种解决方案目前用于诸如音乐和视频分配等娱乐情境中。在健康护理情境中,基于诸如用户的职责、隶属部门、所属团体和/或语境信息等用户的属性,来授权对数据的访问。例如,策略可以是仅与直接护理提供者共享患者数据,这里直接护理提供者可以包括许多不同的个人。当不同的个人请求患者的PHR时,服务器必须确定哪些个人满足策略(基于他们的属性),用每个个人的公钥加密内容密钥,并且存储和管理每个个体的密钥。
JordanC.N.Chong等的论文“SecurityAttributesBasedDigitalRightsManagement”,ProtocolsandSystemsforInteractiveDistributedMultimedia,LectureNotesinComputerScience,2515/2002卷,339-352页提出了通过引入负责发布不同证书(即身份证书、属性证书和数字证书)的多个权限的数字权利管理系统。当前技术水平的DRM系统基于身份证书运行,该身份证书将用户的身份与他/她的公钥绑定在一起。在请求内容期间,用户对适当的权限出示此证书。在成功评估身份证书之后,对用户发布数字许可证,他/她可以使用该数字许可证来解密内容,并且DRM客户端会实施许可证中概述的数字权利。在所引用的论文中,介绍了第二级控制:属性证书。在成功评估身份证书和属性证书两者之后,发布数字许可证。数字许可证包含用用户的公钥加密的内容密钥,该内容密钥能够由DRM客户端使用相应的私钥来解密。
发明内容
具有改善的数字权利管理系统将是有利的。为了更好地解决此关注,本发明的第一方面提供了用于数字权利管理系统的数据提供器,包括:
-数据保护器,其用于根据多个属性之上的访问策略,使用基于属性的加密来保护数据;以及
-许可证发布器,其用于发布包括使用权的集合的表示的许可证,其中所述使用权的集合与所述数据有关,以便对具有满足所述访问策略的属性的多个实体授予关于所述数据的所述使用权。
由于使用基于属性的加密来保护数据,所以可以使用属性的集合之上的策略来控制对数据的访问。这样,不必要对用户单独发布加密的信息。相反,基于属性的加密允许产生可由多个用户访问的单个数据的表示。这样,可以降低例如在密钥管理复杂度和/或计算复杂度方面的开销。此外,通过许可证控制使用权。因为可以构造许可证,使其适用于所有能够使用他们的解密密钥来访问受保护的数据的用户,所以这使得可以通过单个许可证对用户组设置使用权。
数据可以包括内容。数据保护器可以包括:
-密钥加密器,其用于使用所述基于属性的加密来加密内容密钥的表示,以获得加密的内容密钥;以及
-内容加密器,其用于基于所述内容密钥来加密所述内容。
由于基于属性的加密,能够通过加密来实施基于属性的访问策略。满足访问策略的解密密钥能够用于解密加密的内容密钥。因此,不必要对每个具有访问权利的用户单独加密内容密钥。相反,其(唯一的)解密密钥满足访问策略的个体用户能够使用相同的加密的内容密钥。这使得密钥管理更加简单。
或者,数据保护器可以包括数据加密器,其用于使用基于属性的加密来加密所述数据。可以用基于属性的加密直接加密数据或内容。可以省略对称的内容密钥的加密。
基于属性的加密可以包括基于密文策略属性的加密。这里,密文与属性的集合之上的策略有关;密钥与一个或多个属性有关。
可以设置许可证发布器,以包括许可证中的访问策略的表示。这样,从许可证中可以清楚哪些解密密钥可以用来访问数据。
系统可以包括密钥生成器,其用于生成与多个属性的子集有关的私钥。这种私钥能够分配至属性的子集所适用于的用户。然后,该用户可以使用密钥来访问所保护的数据。例如,这使得对用户的不同角色或关联提供属性。
本发明的另一方面提供了用于数字权利管理系统的数据接收器,包括:
-数据访问子系统,其用于根据与属性的集合有关的解密密钥,使用基于属性的解密来访问数据;以及
-使用约束子系统,其用于基于包括与所述数据有关的使用权的集合的表示的许可证,来约束对所述数据的访问。
当根据访问策略限制解密能力时,通过许可证能够给这种类型的数据接收器使用权。与属性的集合有关的解密密钥确定通过基于属性的解密接收器能够访问哪些数据。因为相同的密文能够由具有与满足访问策略的属性有关的密钥的不同的接收器解密,所以不必对相同信息加密多次并随后将这些不同加密的拷贝传输至单独的接收器。这可以降低计算开销并且可以使数据管理更加简单。使用约束子系统可以应用许可证中所规定的使用权。这样,可以实现具体的使用权。
数据可以包括内容。数据访问子系统可以包括:
-密钥解密器,其用于使用基于属性的解密来解密加密的内容密钥的表示,以获得解密的内容密钥;以及
-内容解密器,其用于基于解密的内容密钥的表示来解密内容。
在此系统中,内容密钥的表示仅需要加密一次,使其能够由具有适当的、相应的解密密钥的多个接收器解密。能够使用内容密钥来解密内容,这可以比基于属性的解密更有效。由于结合了数字权利管理和基于属性的加密的优点,所以密钥解密器和内容解密器有效地实现了基于策略的访问控制。
数据访问子系统可以包括数据解密器,其用于使用基于属性的解密来解密数据。这是可选的方案,其可以在不使用分离加密的内容密钥的情况下实现。
可以结合使用所阐述的数据提供器和数据接收器,其中数据提供器可以提供数据接收器可以访问的数据。
本发明的另一方面提供了用于数字权利管理系统的许可证,包括使用权的集合的表示,其中使用权的集合与根据属性的集合之上的访问策略而使用基于属性的加密所保护的数据有关。能够结合基于属性的加密使用这种类型的许可证来保护数据。许可证可以用于所有其解密密钥能够用于访问数据的接收器。或者,可以向不同接收器提供定义不同使用权的不同许可证。
本发明的另一方面提供了包括如上所述的数据接收器的计算机系统,其用于访问由如上所述的数据提供器提供的个人健康记录。
本发明的另一方面提供了用于数字权利管理系统的提供数据的方法,包括:
-根据多个属性之上的访问策略,使用基于属性的加密来保护数据;以及
-发布包括使用权的集合的表示的许可证,其中所述使用权的集合与所述数据有关,以便对具有满足所述访问策略的属性的多个实体授予关于所述数据的所述使用权。
本发明的另一方面提供了用于数字权利管理系统的接收数据的方法,包括:
-根据与属性的集合有关的解密密钥,使用基于属性的解密来访问数据;以及
基于包括与所述数据有关的使用权的集合的表示的许可证,来约束对至少部分所述数据的所述访问。
本发明的另一方面提供了包括计算机可读指令的计算机程序产品,所述计算机可读指令用于使处理器系统执行所阐述的方法中的任一个或两者。
本领域技术人员会理解可以以任何认为有用的方式来结合上述实施例、实施方式和/或本发明的方面中的两个或更多个。
基于本描述,本领域技术人员能够进行对应于所描述的系统的修改和变型的图像采集装置、工作站、系统和/或计算机程序产品的修改和变型。
附图说明
根据以下描述的实施例,本发明的这些和其它方面会变得明显,并且将会参照以下描述的实施例来阐明本发明的这些和其它方面。在附图中:
图1是数字权利管理系统的示图;
图2是提供数据的方法的流程图;
图3是接收数据的方法的流程图;
图4是现有技术的DRM系统的示图;以及
图5至7是DRM系统的不同架构的示图。
具体实施方式
图4示出了数字权利管理(DRM)系统的总体架构的示例。由M.Petkovic和W.Jonker(eds.)的“Security,PrivacyandTrustinmoderndatamanagement”,PartIV;Spinger-Verlag,2007获知这种系统。所示的系统可以包括至少三个部件。提供数据404的数据服务器401,数据404例如为一个或多个由DRM系统保护的信息记录/文件(或内容)。可以通过用合适的加密密钥(诸如内容密钥)加密数据404来实现保护。设置许可证服务器402来提供许可证405,许可证405准许访问受保护的信息404并且描述了在什么条件(使用权)下允许谁/什么(目标)来访问信息。许可证402可以包含内容密钥的加密版本。这种许可证(或部分许可证)可以以二进制形式来编码,或者作为诸如公开数字权利语言(ODRL)、或MPEG21或另一形式的计算机可编译数据等基于xml的语言中的字符串。
可以允许DRM客户端403访问受保护的数据。DRM客户端可以包括将依照DRM系统以及许可证中所描述的策略和使用权所固有的策略和使用权而工作的抗干扰部件。DRM客户端可以在由用户控制的设备上实现。数据服务器401和许可证服务器402可以在信息所有者的控制之下。这两个部件可以在或者可以不在同一物理服务器设备上实现。
如果用户想要访问信息404的某个片段,则用户可以使用DRM客户端403来获取受保护的(例如,加密的)信息记录404。由于兼容的(compliant)DRM客户端403不会在没有许可证405的情况下访问信息,所以DRM客户端也可以从许可证服务器获取许可证405。如在许可证405中所提到的,通过对于DRM系统可以是特定的密钥管理模式,DRM客户端403能够查找到链接至目标信息记录404的解密密钥,从而解密内容密钥。这种密钥管理模式可以包括加密的密钥的分级,其中最后一个密钥可以包括内容密钥而其它密钥可以用来有效寻址和/或选择目标(即,受保护的数据所寻址到的一个或多个用户)。内容密钥能够用来解密信息记录404。当且仅当满足使用权所规定的所有条件时,DRM客户端403可以使用内容密钥来解密信息记录404。
图1示出了包括数据提供器1和数据接收器10的数字权利管理(DRM)系统的示图。系统可以包括多个数据提供器1和/或多个数据接收器10。例如,可以实现包括数据提供器1的集中式数据储存库。这种数据可以由多个数据接收器10中的任一个来从集中式数据储存库获得。数据提供器1可以通过网络连接至数据接收器10。也有可能来自数据提供器1的数据存储在分离的数据库中,或者存储在可由数据接收器10访问的可移动存储介质上。
如以下将会解释的,数据提供器1可以包括使用基于属性的加密来保护数据20的数据保护器2。可以根据多个属性之上的访问策略,执行该基于属性的加密。数据提供器1还可以包括用于发布许可证17的许可证发布器3,许可证发布器3包括使用权18的集合的表示。该使用权18的集合可以与数据20有关。例如,在许可证17中可以包括关联19。例如,这种关联可以包括数据的标识符或数据20的统一资源定位符(URL)。许可证17可以用来授予关于数据20的使用权18。可以将这些使用权授予具有满足访问策略的属性的多个实体10,数据保护器2使用该访问策略来保护数据20。有可能对具有满足数据保护器2所使用的访问策略的属性的实体10的子集授予使用权。
数据提供器1可以使用内容密钥加密模式。在此描述中,将使用这种内容密钥加密模式所保护的数据称为内容。在这种情况下,数据保护器2可以包括密钥加密器4,该密钥加密器4用于使用基于属性的加密来加密内容密钥,以获得加密的内容密钥。数据保护器2还可以包括内容加密器5,该内容加密器5用于基于该内容密钥来加密内容。数据保护器2可以使用不同的加密密钥和/或策略来加密内容密钥的多个拷贝,从而使内容密钥能够由不同的用户和/或用户组加密。可以使用相同的内容密钥来加密一次数据。
在此示例中,描述了两级密钥管理分级(加密的数据和加密的内容密钥)。然而,这不是限制。更深分级也是有可能的。这种分级可以是树状分级。部分分级可以与目标有关,部分分级可以与内容有关。为了密钥分配中的效率和/或访问(部分)数据的效率,可以引入这种分级。
或者,数据提供器1可以包括数据加密器6,该数据加密器6用于使用基于属性的加密来加密数据20。在这种情况下,不需要中间内容密钥。
可以设置数据保护器2(特别是内容密钥加密器4和/或数据加密器6)所使用的基于属性的加密,以便执行基于密文策略属性的加密。这种加密产生了能够用解密密钥来解密的密文,该解密密钥与满足由访问策略定义的一些特殊约束的属性的集合有关。
可以设置许可证发布器3以包括许可证17中的访问策略21的表示。这允许数据接收器10容易地确定它是否已经通过评估许可证来访问数据。然后,数据接收器10不需要处理数据20,以便知道它是否能够解密数据20。
数据提供器1可以包括密钥生成器7,该密钥生成器7用于生成与多个属性的子集有关的私钥。该私钥可以是用于诸如基于密文策略属性的加密等基于属性的加密模式的解密密钥。这种私钥可以分配至系统中的数据接收器10。对于密钥的分配而言,可以使用私人带外信道,然而这不是限制。
图中示出了用于数字权利管理系统的数据接收器10的示例。实际上,更多这种数据接收器可以参与到数字权利管理系统中。数据接收器10可以包括数据访问子系统11,该数据访问子系统11用于使用基于属性的解密来访问数据20。根据与属性的集合有关的解密密钥16,可以执行这种基于属性的解密。
数据接收器10还可以包括使用约束子系统12。这种使用约束子系统12可以基于许可证17来约束对数据20的访问。许可证17可以包括使用权18的集合的表示,使用权18的集合通过关联19与数据20有关。例如通过阻挡任何会侵犯使用权18的动作,使用约束子系统12可以实施这些使用权18。可以使这种使用约束子系统12以及数据访问子系统11和/或解密密钥16抗干扰,以避免简单绕过使用权18。
如上所述,数据20可以包括内容和/或加密的内容密钥。这种数据可以由包括密钥解密器13和内容解密器14的数据访问子系统11来访问。可以设置密钥解密器13,以便使用基于属性的解密来解密加密的内容密钥。通过这种方式,获得了解密的内容密钥。可以设置内容解密器14,以便基于解密的内容密钥来解密内容。例如,由内容解密器14执行的该后面的解密步骤可以基于对称密钥解密。
或者,数据访问子系统11可以包括数据解密器15,该数据解密器15用于使用基于属性的解密来直接解密数据20。
可以用于数字权利管理系统的许可证17可以包括使用权18的集合的表示、使用权的集合与数据20的关联19,该数据20根据属性的集合之上的访问策略而使用基于属性的加密来保护。许可证还可以包括访问策略21的表示,访问策略21用于数据20的保护中的基于属性的加密步骤中。
例如,数据可以包括一个或多个个人健康记录。可以用基于不同的访问策略的加密来保护不同的数据项。此外,不同的许可证可以与不同的数据项有关。多于一个的许可证可以与相同的数据片段有关。例如,不同的许可证可以用于不同的用户,或者可以用于在不同的时间间隔期间使用。为此,许可证可以包括对有效期的描述。数据接收器10可以是例如PC的计算机系统的部分,所述计算机系统还包括使用户能控制计算机系统的用户界面、用于显示数据的表示的显示器、用于允许通过有线或无线网络的通信的通信端口,和/或用于处理可移动存储介质的读取器和/或写入器。数据和/或许可证可以通过网络和/或可移动存储介质来传递。
图2示出了用于数字权利管理系统的提供数据的方法。该方法可以包括根据多个属性之上的访问策略而使用基于属性的加密来保护数据的步骤201。该方法还可以包括发布包括使用权的集合的表示的许可证的步骤202,其中使用权的集合与数据有关,以便对具有满足访问策略的属性的多个实体授予关于数据的使用权。许可证还可以包括访问策略的表示。
图3示出了用于数字权利管理系统的接收数据的方法。该方法可以包括根据与属性的集合有关的解密密钥而使用基于属性的解密来访问数据的步骤301。该方法还可以包括基于包括与数据有关的使用权的集合的表示的许可证,限制对至少部分数据的访问的步骤302。许可证还可以包括访问策略的表示。可以针对属性的集合匹配该访问策略的表示,以便验证许可证是否意在结合属性的集合使用。如果属性的集合不符合访问策略,则该方法可以包括拒绝访问数据和/或拒绝使用许可证。
可以通过计算机程序产品来实现这些方法,该计算机程序产品包括用于使处理器系统执行相应方法的计算机可读指令。
即使在加密了数据之后,由访问策略和使用权所反映的用户的特权也可以随时间而变。这种特权的变化可以通过提供具有与不同属性的集合有关的新解密密钥16的接收器10来实现。另外,可以提供新许可证。然而,也有可能能够使用相同的许可证,在此情况下,解密密钥16确定特定许可证对接收器10是否有效。例如,能够通过基于属性的加密来加密许可证,其中基于接收器的解密密钥16,基于属性的加密的策略确定许可证是否适用于特定接收器10。
敏感健康信息的共享和分配引起了关于访问控制的特殊问题。基于用户的属性(例如,用户的角色、与部门的隶属关系,等等),可以支配对数据的访问。
图5、6和7示出了DRM系统架构的示例。可以使用针对图1所描述的数据提供器1和/或数据接收器10来实现这些架构。另外,可以结合这些示例架构中的任一个来使用针对图2和3所解释的方法。可以使用于此阐述的产品和方法来实现附图中未示出的其它架构。在附图中,用相同的附图标记来标记相似的处理步骤和对象。
参照图5,在步骤S1中,数据所有者501使用诸如高级加密标准(AES)等任何当前技术水平的分组密码,用内容加密密钥CK来加密他或她的内容(例如个人健康记录),并将其存储在诸如基于网络的数据储存库等后端服务502上。
在步骤S2中,数据所有者501用规定了数据所有者501愿意对谁共享他/她的内容的属性的集合之上的访问策略P来加密内容密钥CK。
在步骤S3中,数据所有者501发送加密的内容密钥CK和策略P(即ECPABE(CK),P),根据该策略P,对可信的第三方503加密CK。在此示例中,所使用的加密模式是基于密文策略属性的加密CP-ABE。然而,这不是限制。
在步骤S4中,用户505通过客户端设备或数据接收器504,从后端服务502请求内容。
在步骤S5中,后端服务502发送内容至数据接收器504。数据以加密的形式发送。
在步骤S6中,数据接收器504从可信的第三方503请求许可证。该请求可以包含用户505的属性并且还可以包含其它信息,诸如用户想要在数据上执行的动作和使用的目的等。
在用户的属性和其它可能的信息的验证之后,在步骤S7中,可信的第三方503会将所请求的许可证发送至DRM客户端。许可证可以包含使用权、加密的内容密钥和/或其它信息,诸如许可证的发布器等。
在步骤S8中,DRM客户端设备或数据接收器504为用户解密内容,并实施使用许可证中所描述的使用权。
图6示出了另一架构。在图6中所示的架构中,在步骤S1中,数据所有者501使用诸如高级加密标准(AES)等任何当前技术水平的分组密码,用内容加密密钥CK来加密他或她的数据(诸如PHR或内容)。另外,根据规定了患者愿意对谁共享他/她的数据(诸如PHR或内容等)的属性的集合之上的访问策略P,数据所有者501使用基于属性的加密来加密内容密钥CK。
在步骤S2中,数据所有者501在后端服务502上连同加密的许可证(可以包含使用ABE加密的所加密的内容密钥)一起存储加密的数据。在可信的第三方503验证了用户505的身份之后,可信的第三方503向数据接收器504提供与用户505的属性有关的私人解密密钥。
在步骤S3中,数据接收器504从后端服务502请求数据。在步骤S4中,后端服务502将加密的数据连同许可证一起发送至请求数据接收器504。在步骤S5中,数据接收器504使用用户505的私钥来解密内容密钥CK。在这里,假设DRM客户端已经具有与用户的属性有关的私钥(或多个私钥)。此私钥已经由可信的第三方503发布。然后,数据接收器504使用内容密钥CK来解密内容。DRM客户端实施许可证中所描述的使用权。
图7示出了替代的架构。在此架构中,直接使用ABE来加密内容。
在图7中所示的步骤S1中,根据规定了数据所有者愿意与谁共享他/她的数据的属性的集合之上的访问策略P,数据所有者501直接使用ABE来加密他或她的数据(诸如个人健康记录或其它内容等)。
在步骤S2中,数据所有者501在后端服务502上存储加密的数据和有关的受保护的许可证。对于其它架构而言,可以通过数字签名或者通过加密或相反来保护许可证。许可证可以包含据以加密数据的策略、关于内容的使用权限和/或一些其它信息,诸如关于证书的签名人的信息。在可信的第三方503验证了用户505的身份和属性之后,可信的第三方503可以向数据接收器504提供与用户505的属性有关的私钥。
在步骤S3中,用户505通过客户端设备或数据接收器504,从后端服务502请求数据。在步骤S4中,后端服务502将加密的数据和许可证发送至请求数据接收器504。在步骤S5中,客户端设备504使用ABE的解密算法并使用与用户的属性有关的私钥来解密数据。数据接收器504实施许可证中所描述的使用许可。
在下文中,通过示例的方式,描述了待与数字权利管理系统一起使用的许可证的可能结构。许可证可以包括诸如许可证的发布器、版本号等总体信息。许可证还可以包括关于许可证的目标的信息(描述许可证意在给谁使用权)。这种目标信息可以包括目标用户或目标设备的标识符。附加地或替代地,目标信息可以包括多个属性之上的策略。在后一情况下,目标信息可以通过组中的各个成员的属性之上的策略来表示数据接收器或用户组。许可证还可以包括使用策略的表示。这种使用策略可以描述授予一个或多个目标用户和/或一个或多个数据接收器的使用权。取决于所使用的特定保护模式,许可证可以包括使用基于属性的加密而加密的内容密钥。替代地或附加地,许可证可以包括受保护的内容的链接或索引或标识符。也可以省略这种链接。在后一情况下,内容可以包括一个或多个可适用的许可证的标识符。
基于密文策略属性的加密算法可以包括以下四种可以在加密模式下由不同施动者运行的主要算法。
Setup(1k):配置算法可以具有作为输入的隐含安全参数。可以输出公用参数PK和主密钥MK。此算法可以由受信任方运行。
KeyGeneration(MK,S):密钥生成算法可以视为输入主密钥MK和与待生成的密钥有关的属性的集合S。可以输出私钥SK。此算法可以由受信任方运行。
Encrypt(PK,M,P):加密算法可以视为输入公用参数PK、消息M和属性总体之上的策略P。该算法可以加密M并产生密文C,从而仅使拥有与满足访问策略P的属性的集合有关的密钥的用户能够解密消息。消息M可以包括使用CP-ABE加密的内容密钥(CK)。此算法可以由数据所有者运行。
Decrypt(C,SK):解密算法可以视为输入与访问策略P有关的密文C和与属性的集合S有关的私钥SK。如果属性的集合S满足访问策略P,则该算法能够解密密文并且可以返回解密的消息M。此算法可以由DRM客户端或数据接收器运行。这种数据接收器可以由可以请求访问数据的终端用户控制。该终端用户可以是数据所有者的医生、护士、朋友或家庭成员。
数据提供器可以包括以访问受控的方式提供健康数据的医学数据储存库或服务器。然而,诸如版权保护、使用在线媒体分配或可移动存储媒体等其它应用也是可能的。
应当理解本发明也适用于适合将本发明付诸实践的计算机程序,特别是载体上或载体中的计算机程序。该程序可以具有源代码、目标代码、中间源代码和诸如部分编译形式的目标代码的形式,或者具有适合在根据本发明的方法的实施方式中使用的任何其它形式。还应当理解这种程序可以具有许多不同的架构设计。例如,可以将实现根据本发明的方法或系统的功能的程序代码划分为一个或多个子例程。在这些子例程之中分配功能的许多不同的方法对本领域技术人员来说将会是明显的。子例程可以一起存储在一个可执行文件中,以形成自包含的程序。这种可执行文件可以包括计算机可执行指令,例如,处理器指令和/或解译器指令(例如,Java解译器指令)。或者,一个或多个或所有子例程可以存储在至少一个外部库文件中,并且例如在运行时间时,与主程序静态或动态地链接。主程序包含对至少一个子例程的至少一次调用。子例程还可以包括互相的功能调用。涉及计算机程序产品的实施例包括对应于于此阐述的至少一种方法的每个处理步骤的计算机可执行指令。可以将这些指令划分为子例程和/或存储在一个或多个可以被静态或动态链接的文件中。涉及计算机程序产品另一实施例包括对应于于此阐述的至少一种系统和/或产品的每个模块的计算机可执行指令。可以将这些指令划分为子例程和/或存储在一个或多个可以被静态或动态链接的文件中。
计算机程序的载体可以是能承载程序的任何实体或设备。例如,该载体可以包括存储介质,诸如ROM等,例如,CD-ROM或半导体ROM,或例如软盘或硬盘的磁性记录介质。此外,载体可以是可传输诸如电信号或光信号等的载体,该电信号或光信号可以通过电缆或光缆或通过无线电或其它方式来传送。当程序嵌入到这种信号中时,载体可以由这种线缆或其它设备或模块构成。或者,载体可以是其中嵌入有程序的集成电路,该集成电路适合于执行相关方法,或者适合于在相关方法的执行中使用。
应当注意上述实施例用于说明本发明而非限制本发明,本领域技术人员能够在不脱离所附权利要求的范围的情况下设计许多替代实施例。在权利要求中,置于括号之间的任何附图标记不应当视为限制权利要求。动词“包括”及其变化形式的使用不排除除权利要求中所陈述的元件或步骤以外的元件或步骤的存在。元件前的冠词“一”不排除多个这种元件的存在。本发明可以通过包括若干独特的元件的硬件来实现,还可以通过合适编程的计算机来实现。在列举有若干模块的装置权利要求中,可以由同一项硬件来体现这些模块中的若干。事实是在互不相同的从属权利要求中所记载的某些措施不表示不能有利地使用这些措施的组合。
Claims (14)
1.一种用于数字权利管理系统的数据提供器,包括:
数据保护器,其用于对数据进行加密以创建加密的内容,所述加密的内容能够由内容密钥解密,并且根据使用数据的多个实体的多个属性之上的访问策略,使用基于属性的加密来对所述内容密钥进行加密以提供加密的内容密钥;以及
许可证发布器,其用于发布包括所述加密的内容密钥和使用权的集合的表示的许可证,其中所述使用权的集合与所述数据有关,以便对具有满足所述访问策略的所述多个属性的所述多个实体授予所述使用权。
2.根据权利要求1所述的数据提供器,其中所述数据保护器包括:
密钥加密器,其用于加密所述内容密钥的表示,以提供所述加密的内容密钥;以及
内容加密器,其用于基于所述内容密钥来加密所述内容。
3.根据权利要求1所述的数据提供器,其中所述基于属性的加密包括基于密文策略属性的加密。
4.根据权利要求1所述的数据提供器,其中设置所述许可证发布器,以包括所述许可证中的所述访问策略的表示。
5.根据权利要求1所述的数据提供器,还包括密钥生成器,其用于生成与所述多个属性的子集有关的私钥。
6.一种用于数字权利管理系统的数据接收器,包括:
数据访问子系统,其用于从数据提供器接收加密的内容并且从许可证发布器接收包括加密的内容密钥和使用权的集合的表示的许可证,其中所述使用权的集合与所述加密的内容相关,并且用于根据与使用数据的多个实体的多个属性有关的解密密钥,使用基于属性的解密来对所述加密的内容密钥进行解密,以提供所述内容密钥;以及
使用约束子系统,其用于基于包括在所述许可证中的所述使用权的集合,来约束对所述数据的所述访问。
7.根据权利要求6所述的数据接收器,其中所述数据访问子系统包括:
密钥解密器,其用于使用所述基于属性的解密来解密所述加密的内容密钥;以及
内容解密器,其用于使用所述内容密钥来解密所述加密的内容。
8.一种数字权利管理系统,包括根据权利要求1所述的数据提供器和根据权利要求6所述的数据接收器。
9.一种用于根据权利要求8的数字权利管理系统的许可证,包括使用权的集合的表示,以及所述使用权的集合与根据所述多个属性之上的访问策略而使用基于属性的加密所保护的数据的关联。
10.一种计算机系统,包括根据权利要求6所述的数据接收器,所述计算机系统用于访问由根据权利要求1所述的数据提供器提供的个人健康记录。
11.一种用于数字权利管理系统的提供数据的方法,包括:
通过使用内容密钥对数据进行加密以提供加密的内容,并且根据使用所述数据的多个实体的多个属性之上的访问策略,使用基于属性的加密对所述内容密钥进行加密以创建加密的内容密钥,来保护所述数据;以及
发布包括所述加密的内容密钥和使用权的集合的表示的许可证,其中所述使用权的集合与所述数据有关,以便对具有满足所述访问策略的所述多个属性的所述多个实体授予关于所述数据的所述使用权。
12.一种用于数字权利管理系统的接收数据的方法,包括:
接收加密的内容,所述加密的内容包括使用内容密钥进行加密的数据,接收包括所述内容密钥的加密和使用权的集合的表示的许可证,其中所述使用权的集合与所述数据有关,并且根据与使用所述数据的多个实体的多个属性有关的解密密钥,使用基于属性的解密来解密加密的内容密钥,以提供所述内容密钥;以及
基于包括在所述许可证中的所述使用权的集合,来约束对至少部分所述数据的访问。
13.一种用于数字权利管理系统的提供数据的装置,包括:
用于通过使用内容密钥对数据进行加密以提供加密的内容,并且根据使用所述数据的多个实体的多个属性之上的访问策略,使用基于属性的加密对所述内容密钥进行加密以创建加密的内容密钥来保护所述数据的模块;以及
用于发布包括所述加密的内容密钥和使用权的集合的表示的许可证,其中所述使用权的集合与所述数据有关,以便对具有满足所述访问策略的所述多个属性的所述多个实体授予关于所述数据的所述使用权的模块。
14.一种用于数字权利管理系统的接收数据的装置,包括:
用于接收加密的内容,所述加密的内容包括使用内容密钥进行加密的数据,用于接收包括所述内容密钥的加密和使用权的集合的表示的许可证,其中所述使用权的集合与所述数据有关,并且用于根据与使用所述数据的多个实体的属性有关的解密密钥,使用基于属性的解密来解密加密的内容密钥,以提供所述内容密钥的模块;以及
用于基于包括在所述许可证中的所述使用权的集合,来约束对至少部分所述数据的访问的模块。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP09179905 | 2009-12-18 | ||
EP09179905.6 | 2009-12-18 | ||
PCT/IB2010/055792 WO2011073894A1 (en) | 2009-12-18 | 2010-12-14 | Digital rights management using attribute-based encryption |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102656591A CN102656591A (zh) | 2012-09-05 |
CN102656591B true CN102656591B (zh) | 2015-12-16 |
Family
ID=43798425
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080057624.7A Active CN102656591B (zh) | 2009-12-18 | 2010-12-14 | 使用基于属性的加密的数字权利管理 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20120260094A1 (zh) |
EP (1) | EP2513832A1 (zh) |
JP (1) | JP2013514577A (zh) |
CN (1) | CN102656591B (zh) |
RU (1) | RU2012130355A (zh) |
WO (1) | WO2011073894A1 (zh) |
Families Citing this family (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8635464B2 (en) * | 2010-12-03 | 2014-01-21 | Yacov Yacobi | Attribute-based access-controlled data-storage system |
US8634563B2 (en) * | 2010-12-17 | 2014-01-21 | Microsoft Corporation | Attribute based encryption using lattices |
US8863227B2 (en) * | 2011-01-05 | 2014-10-14 | Futurewei Technologies, Inc. | Method and apparatus to create and manage a differentiated security framework for content oriented networks |
US9077525B2 (en) * | 2011-06-24 | 2015-07-07 | Microsoft Technology Licensing, Llc | User-controlled data encryption with obfuscated policy |
GB201111138D0 (en) * | 2011-06-30 | 2011-08-17 | Leman Micro Devices Uk Ltd | Personal health data collection |
JP5650630B2 (ja) * | 2011-11-22 | 2015-01-07 | 日本電信電話株式会社 | 鍵交換システム、鍵交換装置、鍵交換方法、鍵交換プログラム |
US9465950B2 (en) | 2012-03-06 | 2016-10-11 | Nokia Technologies Oy | Methods, apparatuses, and computer-readable storage media for securely accessing social networking data |
US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
US9521370B2 (en) | 2012-07-12 | 2016-12-13 | Elwha, Llc | Level-two decryption associated with individual privacy and public safety protection via double encrypted lock box |
US9825760B2 (en) | 2012-07-12 | 2017-11-21 | Elwha, Llc | Level-two decryption associated with individual privacy and public safety protection via double encrypted lock box |
US10277867B2 (en) | 2012-07-12 | 2019-04-30 | Elwha Llc | Pre-event repository associated with individual privacy and public safety protection via double encrypted lock box |
US9596436B2 (en) * | 2012-07-12 | 2017-03-14 | Elwha Llc | Level-one encryption associated with individual privacy and public safety protection via double encrypted lock box |
US9042546B2 (en) | 2012-10-16 | 2015-05-26 | Elwha Llc | Level-two encryption associated with individual privacy and public safety protection via double encrypted lock box |
CN104641591B (zh) * | 2012-09-21 | 2018-02-02 | 诺基亚技术有限公司 | 用于基于信任级别提供对共享数据的访问控制的方法和装置 |
EP2909964B1 (en) * | 2012-10-17 | 2019-04-24 | Nokia Technologies Oy | Method and apparatus for providing secure communications based on trust evaluations in a distributed manner |
US8559631B1 (en) * | 2013-02-09 | 2013-10-15 | Zeutro Llc | Systems and methods for efficient decryption of attribute-based encryption |
US9547771B2 (en) * | 2013-02-12 | 2017-01-17 | Amazon Technologies, Inc. | Policy enforcement with associated data |
US10211977B1 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Secure management of information using a security module |
US10210341B2 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
US9300464B1 (en) | 2013-02-12 | 2016-03-29 | Amazon Technologies, Inc. | Probabilistic key rotation |
US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
US10467422B1 (en) | 2013-02-12 | 2019-11-05 | Amazon Technologies, Inc. | Automatic key rotation |
US9608813B1 (en) | 2013-06-13 | 2017-03-28 | Amazon Technologies, Inc. | Key rotation techniques |
US9369441B2 (en) | 2013-06-04 | 2016-06-14 | Intel Corporation | End-to-end secure communication system |
WO2014196964A1 (en) | 2013-06-04 | 2014-12-11 | Intel Corporation | Application integrity protection via secure interaction and processing |
WO2014196966A1 (en) * | 2013-06-04 | 2014-12-11 | Intel Corporation | Technologies for hardening the security of digital information on client platforms |
CN105164692A (zh) | 2013-07-30 | 2015-12-16 | 惠普发展公司,有限责任合伙企业 | 数据管理 |
US9397835B1 (en) | 2014-05-21 | 2016-07-19 | Amazon Technologies, Inc. | Web of trust management in a distributed system |
CN104023009B (zh) * | 2014-05-26 | 2017-08-22 | 国云科技股份有限公司 | 一种Web系统许可证验证方法 |
US9774577B2 (en) * | 2014-06-24 | 2017-09-26 | Tata Consultancy Services Limited | Device, system and method providing data security and attribute based data access in participatory sensing |
US9954849B2 (en) | 2014-06-27 | 2018-04-24 | Oath (Americas) Inc. | Systems and methods for managing secure sharing of online advertising data |
US9438421B1 (en) | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
WO2016014048A1 (en) * | 2014-07-23 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Attribute-based cryptography |
US9866392B1 (en) | 2014-09-15 | 2018-01-09 | Amazon Technologies, Inc. | Distributed system web of trust provisioning |
US10764037B2 (en) * | 2014-12-23 | 2020-09-01 | Nokia Technologies Oy | Method and apparatus for duplicated data management in cloud computing |
WO2016115663A1 (en) * | 2015-01-19 | 2016-07-28 | Nokia Technologies Oy | Method and apparatus for heterogeneous data storage management in cloud computing |
US9374373B1 (en) | 2015-02-03 | 2016-06-21 | Hong Kong Applied Science And Technology Research Institute Co., Ltd. | Encryption techniques for improved sharing and distribution of encrypted content |
US10469477B2 (en) | 2015-03-31 | 2019-11-05 | Amazon Technologies, Inc. | Key export techniques |
US9477825B1 (en) * | 2015-07-10 | 2016-10-25 | Trusted Mobile, Llc | System for transparent authentication across installed applications |
CN105450650B (zh) * | 2015-12-03 | 2019-03-08 | 中国人民大学 | 一种安全移动电子健康记录访问控制系统 |
KR102469562B1 (ko) * | 2015-12-18 | 2022-11-22 | 삼성전자주식회사 | 개인의 전자 헬스 자료를 공유하기 위한 장치 및 방법 |
US10951405B2 (en) * | 2016-01-29 | 2021-03-16 | Micro Focus Llc | Encryption of community-based security information |
JP6366883B2 (ja) * | 2016-04-27 | 2018-08-01 | 三菱電機株式会社 | 属性連携装置、転送システム、属性連携方法及び属性連携プログラム |
CN106941482B (zh) * | 2016-12-20 | 2020-01-03 | 中国科学技术大学 | 一种基于密钥派生的数据存储和访问控制方法 |
US10726152B1 (en) * | 2018-03-02 | 2020-07-28 | Allscripts Software, Llc | Computing system that facilitates digital rights management for healthcare records |
US11316662B2 (en) | 2018-07-30 | 2022-04-26 | Koninklijke Philips N.V. | Method and apparatus for policy hiding on ciphertext-policy attribute-based encryption |
US11133926B2 (en) * | 2018-11-05 | 2021-09-28 | Paypal, Inc. | Attribute-based key management system |
US12001523B2 (en) | 2020-09-29 | 2024-06-04 | International Business Machines Corporation | Software access through heterogeneous encryption |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1836195A (zh) * | 2003-08-19 | 2006-09-20 | 国际商业机器公司 | 使用个人标识信息标签和目的服务功能集合的pii数据访问控制工具的实现和使用 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7136838B1 (en) * | 1999-03-27 | 2006-11-14 | Microsoft Corporation | Digital license and method for obtaining/providing a digital license |
US7395245B2 (en) * | 2001-06-07 | 2008-07-01 | Matsushita Electric Industrial Co., Ltd. | Content usage management system and server used in the system |
US20040088541A1 (en) * | 2002-11-01 | 2004-05-06 | Thomas Messerges | Digital-rights management system |
JP4380480B2 (ja) * | 2004-09-16 | 2009-12-09 | ソニー株式会社 | ライセンス処理装置,プログラム,およびライセンス処理方法 |
JP2008015622A (ja) * | 2006-07-03 | 2008-01-24 | Sony Corp | 著作権保護記憶媒体、情報記録装置及び情報記録方法、並びに情報再生装置及び情報再生方法 |
US8023646B2 (en) * | 2006-11-08 | 2011-09-20 | Voltage Security, Inc. | Identity-based-encryption extensions formed using multiple instances of an identity based encryption scheme |
US20090080658A1 (en) * | 2007-07-13 | 2009-03-26 | Brent Waters | Method and apparatus for encrypting data for fine-grained access control |
JP4462343B2 (ja) * | 2007-12-19 | 2010-05-12 | 富士ゼロックス株式会社 | 情報利用制御システム、情報利用制御装置、および情報利用制御プログラム |
JP2009181598A (ja) * | 2009-05-21 | 2009-08-13 | Fujitsu Ltd | デジタル著作権管理のための情報処理装置 |
EP2502381B9 (en) * | 2009-11-19 | 2015-02-25 | Nagravision S.A. | Method for public-key attribute-based encryption with respect to a conjunctive logical expression. |
-
2010
- 2010-12-14 CN CN201080057624.7A patent/CN102656591B/zh active Active
- 2010-12-14 RU RU2012130355/08A patent/RU2012130355A/ru unknown
- 2010-12-14 US US13/516,503 patent/US20120260094A1/en not_active Abandoned
- 2010-12-14 WO PCT/IB2010/055792 patent/WO2011073894A1/en active Application Filing
- 2010-12-14 JP JP2012543968A patent/JP2013514577A/ja active Pending
- 2010-12-14 EP EP10809079A patent/EP2513832A1/en not_active Withdrawn
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1836195A (zh) * | 2003-08-19 | 2006-09-20 | 国际商业机器公司 | 使用个人标识信息标签和目的服务功能集合的pii数据访问控制工具的实现和使用 |
Also Published As
Publication number | Publication date |
---|---|
RU2012130355A (ru) | 2014-01-27 |
JP2013514577A (ja) | 2013-04-25 |
CN102656591A (zh) | 2012-09-05 |
EP2513832A1 (en) | 2012-10-24 |
US20120260094A1 (en) | 2012-10-11 |
WO2011073894A1 (en) | 2011-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102656591B (zh) | 使用基于属性的加密的数字权利管理 | |
KR102265652B1 (ko) | 블록체인 기반의 디지털 권리 관리 | |
CN101872399B (zh) | 基于双重身份认证的动态数字版权保护方法 | |
CN100552793C (zh) | 基于数字权限管理重放内容的方法和设备及便携式存储器 | |
CN101107611B (zh) | 私有的和受控的所有权共享的方法、设备和系统 | |
KR100746030B1 (ko) | 권리 위임에 의해 권리 객체를 대리하여 생성하는 방법 및장치 | |
CN109559124A (zh) | 一种基于区块链的云数据安全共享方法 | |
CN109559117A (zh) | 基于属性基加密的区块链合约隐私保护方法与系统 | |
KR101687945B1 (ko) | 데이터 아이템들에 대한 보안 액세스를 위한 데이터 아이템들의 아이덴티티-기반 암호화 | |
KR20050074494A (ko) | 콘텐트 동작들을 승인하는 방법 및 장치 | |
CN103366102A (zh) | 用于内容传输和分配的数字版权管理系统 | |
KR20050123105A (ko) | 데이터 보호 관리 장치 및 데이터 보호 관리 방법 | |
CN101802833A (zh) | 向在应用执行环境中运行的应用提供本地存储服务 | |
CN101142599A (zh) | 基于硬件识别的数字权利管理系统 | |
CN1954281A (zh) | Drm系统中的处理权限 | |
JP2014508456A (ja) | 緊急時の個人健康記録へのセキュアなアクセス | |
CN110996319B (zh) | 一种对软件服务做激活授权管理的系统及方法 | |
JP2021525030A (ja) | ユーザ保護ライセンス | |
CN102057379B (zh) | 保健数据处理的方法和系统 | |
KR102605087B1 (ko) | 의료 클라우드 환경에서 환자의 의료 데이터 공유 시스템 및 방법 | |
CN117294496B (zh) | 一种基于区块链的智能家庭监控数据安全管理方法 | |
CN109644185A (zh) | 用于进行安全电子数据通信的方法和装置 | |
KR20090024482A (ko) | 컨텐츠를 이용하기 위한 키 관리 시스템 및 그 방법 | |
Luo et al. | Attribute-Based Traceable Anonymous Proxy Signature Strategy for Mobile Healthcare | |
EP2299379A1 (en) | Digital rights management system with diversified content protection process |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |