CN108476135B - 用于控制数据访问的方法、设备和计算机可读存储介质 - Google Patents
用于控制数据访问的方法、设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN108476135B CN108476135B CN201780007149.4A CN201780007149A CN108476135B CN 108476135 B CN108476135 B CN 108476135B CN 201780007149 A CN201780007149 A CN 201780007149A CN 108476135 B CN108476135 B CN 108476135B
- Authority
- CN
- China
- Prior art keywords
- access
- data
- decision
- context
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 238000003860 storage Methods 0.000 title claims description 19
- 230000004044 response Effects 0.000 claims abstract description 22
- 238000013475 authorization Methods 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 33
- 238000004458 analytical method Methods 0.000 claims description 22
- 238000004891 communication Methods 0.000 description 56
- 238000012545 processing Methods 0.000 description 10
- 238000012854 evaluation process Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000012512 characterization method Methods 0.000 description 6
- 238000013500 data storage Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 230000002567 autonomic effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000011511 automated evaluation Methods 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/101—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种控制对数据的访问的系统和方法。从请求设备接收对访问所请求数据的访问请求,并确定请求设备的上下文。至少基于所述请求和所述上下文确定所请求数据的访问模式。确定上下文和访问模式之间的偏差,并且基于确定偏差,发送对允许或拒绝访问请求的决策请求。基于对决策请求的响应,允许访问所请求数据。
Description
技术领域
本公开一般涉及控制对数据的访问,并且更具体地涉及为设备提供访问受控数据的授权。
背景技术
数据能够存储在允许各种设备或用户访问该数据的许多类型的系统和设备上。具有受控制的访问的数据能够包括许多类型的信息,诸如文档、图像、视频数据、处理资源定义、其他数据或这些的组合。包括敏感信息的数据能够通过各种技术得到保护。用于保护数据的技术的示例包括数字版权管理(DRM)和信息版权管理(IRM)。这些技术通常包括加密数据和强制实施数据的防问控制。在一些技术中,通过输入的用户名和密码组合提供访问控制以获得对文档的访问。在一些示例中,这样的数据能够存储在对许多其他设备可用的设备上,诸如存储在连接到互联网的服务器上的数据。
附图说明
附图中,相同的附图标记在各个视图中指代相同或功能相似的元素,并且与下面的详细描述一起被并入并形成说明书的一部分,用于进一步说明各种实施例并且解释所有根据本公开的各种原理和优点,其中:
图1示出了根据示例的数据访问环境;
图2示出了根据示例的数据集保护配置界面;
图3示出了根据示例的访问请求评估过程;
图4示出了根据示例的通知处理过程;
图5示出了根据示例的通知上下文显示;以及
图6是可以实现本文公开的系统和方法的电子设备和相关联组件的框图。
具体实施方式
根据需要,本文公开了详细的实施例;然而,应该理解,所公开的实施例仅仅是示例,并且下面描述的系统和方法可以以各种形式实施。因此,本文公开的具体结构和功能细节不应被解释为限制,而仅仅作为权利要求的基础和作为教导本领域技术人员以几乎任何适当详细的结构和功能来以各种方式使用本主题的代表性基础。此外,本文使用的术语和短语不是限制性的,而是提供对概念的可理解的描述。
这里使用的术语“一”或“一个”被定义为一个或多于一个。本文使用的术语“多个”被定义为两个或多于两个。如本文所用,术语“另一个”定义为至少第二个或更多个。本文使用的术语“包括”和“具有”被定义为包括(即,开放式语言)。本文使用的术语“耦合”被定义为“连接”,但不一定是直接的,也不一定是机械的。术语“被配置为”描述硬件、软件或硬件和软件的组合,其适于,被设置为,被布置为,被构建为,被组合为,被构造为,被设计为或具有这些特性的任何组合以执行给定功能。术语“适于”描述能够具有给定功能,能够容纳,制造给定功能,或适合于执行给定功能的硬件、软件或硬件和软件的组合。
以下描述的系统和方法用于基于请求访问数据的设备的上下文来提供访问数据的授权。在各种示例中,请求访问的设备的上下文能够包括设备的任何表征或与设备相关联的任何条件。例如,设备的上下文能够包括但不限于以下中的一个或多个:访问请求的日期或时间,设备在做出访问请求时的地理位置,做出访问请求的设备的互联网协议(IP)地址,描述做出访问请求的设备使用的软件的数据,做出访问请求的设备的设备标识符(ID)、任何其他上下文描述或这些的组合。
可以通过任何合适的技术使数据可用于一个或多个请求设备。例如,数据能够通过任何合适的技术(诸如经由电子通信)传递给请求设备。在一个示例中,能够通过任何合适的技术来保护数据,使得需要外部授权来对数据执行一个或多个功能。可被指定为需要授权的功能包括,例如,查看数据,经由任何合适的技术访问数据,使用数据,修改数据,将数据发送给任何其他设备,或者访问或使用部分或所有数据,或任何其他此类操作或过程。数据能够通过任何合适的技术可用于请求设备,诸如通过存储在请求设备上,由请求设备经由与存储设备的通信来访问,通过任何其他合适的检索技术或这些的组合来访问。
可以通过任何合适的技术来控制对受保护数据的访问。针对受保护数据的访问控制技术的示例包括数字版权管理(DRM)和信息版权管理(IRM)。在一个示例中,数字版权管理(DRM)技术能够被应用于限制对数据的访问并限制对数据的允许使用。在一个示例中,访问具有由DRM技术控制的访问的数据可以包括向监视数据的访问控制的远程服务器请求解密密钥或其他授权令牌。请求这样的解密密钥或其他授权令牌是请求设备做出的访问请求的示例。访问请求的示例包括请求设备发送向DRM密钥服务器请求DRM密钥的请求,以便访问受DRM技术保护的数据。在一些示例中,能够访问特定类型的数据的应用程序包括支持请求DRM密钥来访问数据的处理。DRM密钥服务器能够确定是否要将DRM密钥提供给请求设备。在一些情况下,DRM密钥可能会限制可以使用数据的使用类型。
访问受控制或受保护的数据能够是任何类型的数据。在一个示例中,受保护的数据和访问受控制的数据能够包括任何内容、资产、资源、数据(例如,文档、文件、电子邮件、消息、图像、视频、媒体或任何数字数据)、任何其他类型的数据或这些数据的组合。在一个示例中,当用户或其他过程将数据保护或访问控制方案应用于特定数据集时,称为创建受保护或访问受控制的数据。在以下讨论的上下文中,创建受保护数据是指将任何访问控制、数据保护、任何其他类型的控制或这些控制的组合应用和配置到任何数据,无论该数据是否已经存在,正被创建,要被未来处理所修改,是任何类型的数据,或这些的组合。
在一些示例中,记录与特定数据相关联的请求以便支持对访问模式的确定。能够记录的请求包括但不限于对访问全部或部分特定数据的请求、对访问全部或部分特定数据以用于一个或多个特定用途的请求、对访问全部或部分特定数据以用于特定请求设备的任何用途或特定用途的请求。各种示例中的访问模式包括对访问受DRM技术保护的数据的任何表征。各种示例中的访问模式能够包括但不限于诸如以下任何表征:请求设备从其处请求访问的位置、请求设备访问数据的时间量、请求对数据执行的操作、请求执行特定操作的频率、要对其执行操作的数据的量、任何其他一个或多个表征、或这些的组合。访问模式还可以包括请求设备在其下请求访问的环境的表征,诸如请求设备是通过
连接、蜂窝数据连接、有线数据连接还是其他类型的数据连接进行通信。访问模式还可以定义其他设备如何请求访问,诸如许多设备是否同时,在相似的时间,在彼此的特定时间间隔内或类似的观察中请求访问特定数据。可以通过任何合适的技术来定义或创建访问模式。例如,能够基于针对特定数据或数据组的访问请求的累积历史来定义访问模式。在另外的示例中,访问模式能够基于例如请求设备的上下文的指定范围、请求设备针对特定数据或数据组的观察到的上下文,基于任何技术,或基于这些的任何组合。通常,访问模式能够与一个数据集,与数据组,与根据任何合适的技术定义的组,或者这些的组合相关联。
在一个示例中,对访问特定数据的请求能够使得对对访问请求的通知被发送给指定的授权设备。在一个示例中,受信任的人使用授权设备来控制和授权对特定数据的访问。在各种示例中,每个数据集或数据组能够与对访问请求的通知所发往的特定授权设备相关联。在一个示例中,能够基于将发送访问请求的请求设备的上下文与所确定的与数据相关联的访问模式进行比较,将通知发送给授权设备。
在一些示例中,对访问数据的授权能够基于自动化过程,该过程利用标准来评估请求设备的上下文,以确定是否访问请求合法并且能够被同意,或者是否请求设备的上下文指示访问请求可能是可疑的并且因此被拒绝。确定是应该同意还是拒绝请求的自动化过程能够包括任何类型的评估处理,包括例如人工智能、决策树、其他技术或这些的组合。在一些示例中,自动化过程可以确定请求设备的上下文是否在允许访问特定数据内的数据的标准内,并且如果该自动化过程未能确定应该同意访问,则向授权设备发送通知,以允许该设备的用户确定是应该同意还是应该拒绝访问。
在一个示例中,针对特定数据配置DRM访问能够包括指定要应用的授权处理类型。例如,创建受例如DRM技术保护的受保护数据的人可以指定:基于对发送给授权设备的通知的响应来提供对数据的所有授权。在另一个示例中,这种受保护数据的创建者能够指定允许自动授权的条件,诸如响应于某个地理区域或指定的互联网协议地址范围内的访问请求,并且不满足那些指定条件的访问请求仅基于对到授权设备的通知的响应而得到同意。在又一示例中,受保护数据的创建者能够指定所有访问请求将由执行对请求设备的上下文的自动评估的自动化过程来处理。在一个示例中,在这些不同类型的授权处理中进行的选择能够基于对数据的灵敏度以及对该数据的未授权传播可能具有的影响的判断。在此上下文中,创建受保护数据是指将保护、访问控制、其他控制或其组合配置到数据,而不管数据是否已存在、是否正在创建、是否是引用未来将要创建或修改的其他数据的数据、是否是任何类型的数据、或者这些的组合。
在一些示例中,对允许或拒绝访问请求的决策还可以基于数据访问策略。例如,公司可能这样的政策:员工不得从特定国家访问某些数据。来自这些国家的访问请求将被拒绝。
图1示出了根据示例的数据访问环境100。数据访问环境100描绘了能够使用受保护数据的请求设备130。该示出的示例中的网络160用于支持多个设备(诸如所示的请求设备130和DRM密钥管理器102)之间或当中的数据通信。网络160还能够支持其他设备之间或当中的数据通信,如下所述。
在该示例中,请求设备130通过向DRM密钥管理器102发送访问请求来访问受DRM技术保护的数据。该示例中的DRM密钥管理器102能够基于用户安全分析模块104提供的授权来对同意访问受保护数据进行影响。如果用户安全分析模块104允许请求设备执行所请求数据使用,则DRM密钥管理器102针对该数据检索授权令牌(诸如来自密钥存储器110的DRM密钥),并将该授权令牌发送给请求设备。在一个示例中,用户安全分析模块104包括可编程处理器,可编程处理器被配置为执行程序以实现根据本文描述的示例操作的上下文处理器。用户安全分析模块104还包括数据接口,数据接口从请求设备接收对访问所请求数据的访问请求。在一个示例中,该数据接口与DRM密钥管理器102通信。在另外的示例中,用户安全分析模块104的数据接口能够与其他组件通信,诸如与请求设备本身直接通信或通过任何其他中间组件通信。
请求设备130包括存储装置134,存储装置134被示出为包含受保护数据136。在各种示例中,存储装置134能够存储多个数据集,其中一些数据受到保护,一些数据未被保护,或者这些的组合。在一些示例中,其他受保护数据154能够存储在远程位置,诸如存储在可由请求设备130经由任何合适的电子通信技术访问的云存储装置152中。
在一个示例中,请求设备130包括各种应用程序或其他设施以使用受保护数据,诸如数据136。在一个示例中,这样的应用程序或其他设施能够与DRM接口132一起操作以便与DRM密钥管理器102通信来接收访问令牌(诸如DRM密钥)使用,该访问令牌用于允许访问受保护数据136。通常,请求设备130能够使用任何合适的技术来访问受保护数据。
在该示例中,DRM密钥管理器102从远程设备(诸如所示的请求设备130)接收对访问受保护数据的请求。通常,能够存在大量与DRM密钥管理器102通信的请求设备,以请求对各种受保护数据的访问。由DRM密钥管理器102接收的一些防问请求能够包括关于请求设备的上下文的信息。请求设备的上下文能够包括请求设备的任何特征,诸如上面描述的那些特征。在一个示例中,从请求设备接收的上下文包括提交访问请求的请求设备的地理位置。
在一个示例中,DRM密钥管理器102被配置为将至少一些对受保护数据的访问请求发送给用户安全分析模块104。这些访问请求包括关于发送访问请求的请求设备的上下文信息。在一个示例中,用户安全分析模块104记录所接收的访问请求以及请求设备的上下文。在一个示例中,用户安全分析模块104基于对多个接收到的访问请求以及发送那些请求的请求设备的上下文的分析来确定访问模式数据112。在一个示例中,能够通过分析多个接收到的访问请求来确定请求设备的典型特征或上下文。然后,在一些示例中,能够将随后接收的访问请求与在访问模式数据中定义的典型特征进行比较,以确定随后接收的访问请求是否与针对对受保护数据的访问已经观察到的典型特征一致或相异,其中,针对该受保护数据接收到了访问请求。
用户安全分析模块104还包含访问规则114,访问规则114定义在同意访问受保护数据时要做出的决策的类型。在一个示例中,当受保护数据配置有例如针对其使用的DRM控制时,配置要应用于数据的保护的用户能够定义各种访问规则114。访问规则114的示例在下面进一步详细描述。
在各种示例中,针对特定受保护数据或受保护数据组的访问规则114可以具有针对每个受保护数据组件的每种使用类型指定的若干决策模式中的任何一种。一种类型的访问决策模式包括将对访问请求的通知发送给指定的授权设备,使得该授权设备的用户能够评估访问请求并确定是允许还是拒绝访问请求。另一种类型的访问决策模式是自动访问决策,其中将发送访问请求的设备的上下文与各种上下文定义进行比较,以自动确定是同意还是拒绝所请求的访问。在各种示例中,这样的自动访问决策能够基于任何评估技术,诸如与定义的上下文定义的比较,通过人工智能过程使用任何合适的技术进行评估以根据先前接收的访问请求来评估提交访问请求的上下文请求设备,任何其他技术或这些的组合。在一些示例中,访问规则可以指定不需要对访问数据的决策。
在一个示例中,用户安全分析模块104能够将决策请求发送给决策模块106。在示例中,决策模块106执行处理以支持与是允许还是拒绝所请求的访问请求有关的指定决策。在一个示例中,由用户安全分析模块104发送的决策请求能够指定决策是基于自动确定还是基于对提供给授权设备的通知的响应。在其他示例中,决策模块106能够支持其他类型的决策。
在自动决策的情况下,决策模块106与自主决策处理器116一起操作。在一个示例中,自主决策处理器116实现各种自动处理以评估是允许还是拒绝所接收的访问请求。自主决策处理器116能够访问由用户安全分析模块104确定的模式数据112,以支持对允许或拒绝访问请求的决策。下面详细描述由自主决策处理器116做出的自动决策的细节。
在基于发送给授权设备的通知的决策的情况下,决策模块106与通知管理器118一起操作。在一个示例中,通知管理器118向授权设备120发送通知。在一个示例中,可以在访问规则114中定义针对特定数据的访问请求被发往的特定授权设备120。在这种情况下,通知管理器118将基于访问用户安全分析模块104中的访问规则114来确定向哪个授权设备120发送通知。在另外的示例中,授权设备120能够通过任何合适的技术来指定,诸如将针对特定类型数据的所有通知发送给指定的授权设备120。
各种示例中的通知包括对提交访问请求的请求设备130的上下文进行描述的信息。然后,授权设备120的用户能够查看对请求设备130的上下文的描述,并确定是允许还是拒绝该请求。在示例中,授权设备120将响应发送回通知管理器118,指示是允许还是拒绝所接收的访问请求。在示例中,通知管理器118经由网络150与授权设备120通信。在另外的示例中,通知管理器118和授权设备120之间的通信能够使用任何合适的通信技术或通信技术的组合。
决策管理器106从自主决策处理器116或通知管理器118接收对允许或拒绝特定访问请求的指示。在一个示例中,决策管理器106向用户安全分析模块104返回对允许或拒绝访问请求的指示。在一些示例中,用户安全分析模块104能够将所接收的决策包括在访问模式数据中,作为确定与可允许的访问请求或与可疑的访问请求相关联并且可能需要进一步的决策处理的上下文的进一步基础。在示例中,自主决策处理器116能够使用允许或拒绝访问请求的历史作为用于自动确定允许或拒绝访问的进一步的基础。此外,决策模块106所允许的访问请求的请求设备的上下文的历史能够成为未来确定要从决策模块106请求哪种类型的访问确定的基础。
图2示出了根据示例的数据集保护配置界面200。数据集保护配置界面200是允许用户配置要应用于数据的DRM保护的用户界面的示例。在示例中,通过数据集保护配置界面200提供的信息存储在上述访问规则114中。
数据集保护配置界面200包括具有标签“DATA”的数据指定行202和允许指定正被配置保护的数据的数据标识框210。该示例中的数据标识框210描绘了“文件A”,并且是包含其数据将被保护的数据的数据文件的表示。在其他示例中,能够使用任何合适的数据标识。
数据集保护配置界面200包括“始终通知”行204。“始终通知”行204具有两个选择框,“是”框212和“否”框214。在一个示例中,这些两个选择框是互斥的,使得选择“是”框212使“否”框214被取消选择,反之亦然。在该示例中选择“是”框212配置所指定数据的访问规则,以使得对于针对指定数据内的数据的所有访问请求,通知被发送给授权设备120。在一些示例中,对于非常敏感的信息可能期望这种级别的决策。在一些示例中,当选择“否”框214时,用户安全分析模块104确定发送访问请求的请求设备的上下文是否在可接受的范围内。如果在选择“否”框214时确定上下文在可接受的范围内,则在不通知授权设备120的情况下并且可以基于其他决策模块输入或基于其他定义的访问规则114来允许访问请求。
数据集保护配置界面200具有“授权”行206,“授权”行206具有“通知”框220和“自动”框222。在一个示例中,当在“始终通知”行204选择了“否”框214时选择“通知”框222使得用户安全分析模块104在向授权设备发送通知之前确定发送访问请求的请求设备的上下文是否不在可接受的范围内。如果选择“自动”框222,则决策模块106将其决策基于自主决策处理器116内的处理。
数据集保护配置界面200具有“授权代理”行208。“授权代理”行208具有授权设备标识符输入框230,其允许指定通知将被发送给的授权设备120的标识符。所示示例描绘了授权设备标识符输入框230内的“自己”标识符,以指示应该向与配置数据集保护的人相关联的设备发送通知。通常,任何设备都能够被设置为授权设备120,并且在一些示例中,能够将多个设备指定为全都接收对访问请求的通知。
图3示出了根据示例的访问请求评估过程300。访问请求评估过程300是由上面讨论的用户安全分析模块104执行的处理的示例。
在302处,访问请求评估过程300从请求设备接收对访问数据的访问请求。在一个示例中,该请求包括对请求设备的上下文的指示。如上所述,请求设备的上下文能够是任何合适的上下文,包括例如请求设备的地理位置。在示例中,确定请求设备的上下文包括从访问请求中或从与请求设备的其他通信中提取上下文数据。在一些示例中,能够基于来自其他来源的信息来确定另外的上下文信息,诸如从任何源获得的请求设备的地理位置信息。
通常,对数据的访问能够指定对访问所有数据或仅访问数据的一部分的请求。对访问数据的请求还能够指定特定类型的访问,诸如访问以仅查看数据,访问以修改数据,访问以将数据重新发送给其他设备,任何其他类型的使用,或这些的组合。
在一个示例中,在304处,访问请求评估过程300确定数据的访问规则是否要求始终向授权设备120通知访问请求。在示例中,经由上述数据集保护配置界面200设置该配置。如果要提供通知,则在314处提供通知,并且如下所述继续处理。
如果不是始终提供通知,则在一个示例中,在306处,访问请求评估过程300存储请求设备的上下文,并进一步确定或细化正在请求访问的数据的访问模式。在示例中,通过注意通常存在于请求设备的上下文中的特征来确定访问模式,该请求设备请求访问接收到访问请求的数据。在一些示例中,访问模式可以记录发送由决策模块106允许的访问请求的请求设备的上下文。在一些示例中,基于由决策模块106处理的若干初始访问请求来确定新数据的访问模式。在示例中,确定访问模式能够包括基于针对所请求数据的多个接收到的访问请求的特性来确定访问模式。确定访问模式还能够基于响应于多个决策请求而接收的授权响应。例如,如果做出允许先前接收的具有上下文特征的访问请求的决策,则访问模式可以指示来自具有类似上下文的请求设备的访问请求符合访问模式并且不可疑,因此应该允许它们。
通过在308处确定当前上下文是否偏离所确定的访问模式,继续访问请求评估过程300。如上所述,在一些示例中,基于发送对数据或相关数据的先前访问请求的请求设备的上下文来确定访问模式。如果确定发送访问请求的请求设备的上下文不偏离在几个先前访问请求上识别出的访问模式,则在324处授权所请求的访问。
如果确定发送访问请求的请求设备的上下文偏离访问模式,则确定是否将通知发送给授权设备120。如果不发送通知给授权设备120,则在312处执行关于是批准还是拒绝访问请求的自动确定。这种自动确定能够通过任何合适的技术确定,诸如应用硬决策规则、模糊逻辑决策规则、人工智能技术、任何其他技术或这些的组合。通常,该自动确定能够基于任何合适的因素,包括但不限于请求设备的当前上下文、请求设备的一个或多个访问请求模式、具有共同上下文特征的多个请求设备的一个或多个访问请求模式、所有请求设备的一个或多个访问请求模式、基于任何信息、或基于这些的组合。
在312处执行的自动确定还能够确定仅同意接收到的访问请求中所请求的权限的子集。例如,请求设备可以发送对数据集的完全访问的访问请求。自动确定可以基于请求设备的任何合适的上下文来决定同意对请求设备的只读访问。在另一示例中,请求设备可以发送打印文档的十(10)页的访问请求。基于各种标准,诸如该特定请求设备的打印历史,自动化过程可以确定仅授权打印8页的权限。通常,确定允许在授权请求中请求的权限的子集能够基于任何合适的一个或多个因素,包括但不限于上面列出的自动确定所基于的因素。
如果基于在304处确定的对始终通知的配置或者在310处确定需要通知而确定将通知发送给授权设备,则在314处将通知发送给授权设备。通知能够提供关于请求设备的上下文的信息,诸如在下面描述的示例中呈现的。
在发送通知之后,在316处接收授权响应。在一些示例中,未接收到响应被解释为拒绝访问的响应。在320处,基于所接收的来自授权设备120的授权响应或基于自动确定,确定授权是肯定的或否定的。如果在320处确定授权是肯定的,则在一个示例中,所请求的访问已获得授权和允许。在另外的示例中,如上所述,授权能够指定仅为请求设备授权所请求的权限的子集,其中该子集少于所请求的总权限集。在授权仅授权所请求的权限的子集的情况下,在324处,对仅使用权限子集的访问进行授权。如果在320处确定授权不是肯定的,则拒绝所请求的访问。然后,访问请求评估过程300结束。
图4示出了根据示例的通知处理过程400。在一个示例中,通知处理过程400由授权设备120在接收来自通知管理器118的通知时执行。
通知处理过程400在402处接收对请求设备的数据访问请求的通知。该通知包含对请求设备的上下文的指示以及对请求访问的数据集的指示,并且可以包括对正在请求的数据的访问类型的指示,包括将访问的数据的使用类型。
在404处,通知处理过程400向用户呈现请求设备的上下文。下面进一步详细描述上下文的示例表示。
在406处,通知处理过程400接收来自设备的用户的授权响应。授权响应可以是从用户接收的“允许”或“拒绝”输入。
在408处,通知处理过程400发送对授权响应的指示。在示例中,该指示能够被发送回发送通知的通知管理器118。在其他示例中,通知能够被发送给任何合适的一个或多个目的地,诸如直接发送给用户安全分析模块104,直接发送给DRM密钥管理器102,发送给任何合适的目的地,或者这些的组合。然后,通知处理过程400结束。
图5示出了根据示例的通知上下文显示500。通知上下文显示500是呈现给授权设备的用户的对请求设备的上下文的呈现的示例。通知上下文显示500是由上述通知处理过程400呈现的呈现示例。
通知上下文显示500显示与从请求设备接收的访问请求相关联的信息。通知上下文显示500呈现由请求设备提供的信息,或者基于与请求设备相关联的信息导出的信息。
通知上下文显示500具有标题502,其指示“接收到的存疑访问请求”。该标题向授权设备的用户通知接收到访问请求,对于该访问请求,需要提供他或她的批准或拒绝。通知上下文显示500包括访问请求中包括的信息。访问请求中包括的信息包括“数据”行504中的信息,在该示例中,该数据指示访问请求是针对“文档A”的。
通常,访问请求将包括请求设备的互联网协议(IP)地址。在所示示例中,通知处理过程400确定与指定IP地址相关联的国家,并确定IP地址可能位于的城市。这种信息能够通过任何合适的技术来确定。通知上下文显示500包括“请求者IP国家”行506,其指示请求设备的IP地址与“国家A”中的设备相关联。“请求者估计IP位置”行508指示城市“城市B”是请求设备的IP在国家A内的可能位置。
由发送访问请求的请求设备提供的其他信息包括在“请求者操作系统”行512中呈现的信息,该信息指示访问请求指示了请求设备的操作系统是“未知”。在一些示例中,设备的操作系统可以由请求设备指定,或者操作系统能够通过任何合适的技术确定。“请求者用户名”行412指示在该示例中请求设备的用户的名称是“ABC”。“请求者电话号码”行414指示请求设备的用户的电话号码是“1234567”。
通知上下文显示500包括“允许”按钮520和“拒绝”按钮522。呈现通知上下文显示500的授权设备的用户能够选择这些按钮中的一个作为由通知处理过程400接收的授权响应,如上所述。
图6是电子设备和相关联组件600的框图,其中可以实现本文公开的系统和方法。在各种示例中,电子设备652能够是无线双向通信设备的示例。各种示例中的电子设备652能够是执行数据通信、数据和语音通信、文本通信、各种其他类型的通信或这些的组合的设备。这样的电子设备与一个或多个网络650通信,网络650能够包括用于语音、文本、数据或这些的组合的有线或无线通信能力。在一个示例中,网络650使用任何合适的有线或无线通信协议。可以使用模拟或数字无线通信信道来执行无线语音通信。在一些示例中,数据通信允许电子设备652经由互联网与其他计算机系统通信。能够结合上述系统和方法的电子设备的示例包括例如数据消息设备、双向寻呼机、具有文本和数据消息传递能力的蜂窝电话、无线互联网设备或可能包括也可能不包括电话功能的数据通信设备。
所示电子设备652是包括双向无线通信功能的示例电子设备。这样的电子设备可以包括通信系统元件,诸如无线发射机610、无线接收机612以及诸如一个或多个天线元件614和616的相关联组件。数字信号处理器(DSP)608执行处理以从接收的无线信号中提取数据并产生要传输的信号。通信系统的特定设计可以取决于通信网络和设备旨在操作所用的相关联无线通信协议。
电子设备652包括控制电子设备652的整体操作的微处理器602。微处理器602与上述通信系统元件交互并且还与其他设备系统交互。在各种示例中,电子设备652能够包括各种组件中的一个或多个,诸如数据存储器606、随机存取存储器(RAM)604、辅助输入/输出(I/O)设备638、数据端口628、显示器634、键盘636、耳机632、音频声音再现系统670、麦克风630、短程通信系统620、电源系统622、其他系统或这些的组合。
一个或多个电力存储或供应元件(诸如电池624)连接到电力系统622以向电子设备652的电路提供电力。电力系统622包括用于向电子设备652提供电力的电力分配电路并且还包含用于管理电池624的再充电的电池充电电路(或用于向另一个电力存储元件补充电力的电路)。电力系统622从外部电源654接收电力。电力系统622能够通过专用外部电力连接器(未示出)或通过数据端口628内的电力连接连接到外部电源654。电力系统622包括电池监视电路,其可操作以向电子设备652的各种组件提供一个或多个电池状态指示器的状态,诸如剩余容量、温度、电压、电流消耗等。
数据端口628能够通过各种数据通信模式(诸如通过光通信电路的高速数据传输)支持电子设备652和其他设备之间的数据通信。数据端口628能够支持与例如外部计算机或其他设备的通信。在一些示例中,数据端口628能够包括电力连接以向电子设备652提供外部提供的电力,从电子设备652向其他外部连接的设备提供电力,或两者兼具。例如,电子配件的数据端口628能够向诸如微处理器602的电子电路提供电力,并且支持在微处理器602和通过数据端口628连接的远程电子设备之间交换数据。
通过数据端口628的数据通信使用户能够通过外部设备或通过软件应用程序设置偏好,并通过电子设备652和外部数据源之间的直接连接而不是通过无线数据通信网络实现信息或软件交换来扩展设备的能力。除了数据通信之外,数据端口628还向电力系统622提供电力以对电池624充电或向电子设备652的电子电路(诸如微处理器602)供电。
微处理器602使用的操作系统软件存储在数据存储器606中。数据存储器606的示例能够包括例如闪存、基于磁的存储设备、其他易失性或非易失性数据存储元件等。一些示例能够使用包括电池备份RAM或其他非易失性存储数据元件的数据存储606来存储操作系统、其他可执行程序或两者。操作系统软件、设备应用软件或其部分能够临时加载到诸如RAM 604的易失性数据存储器中。经由无线通信信号或通过有线通信接收的数据也能够存储到RAM 604。
除了其操作系统功能之外,微处理器602还能够在电子设备652上执行软件应用程序。控制基本设备操作的一组应用程序,包括至少数据和语音通信应用程序,能够在制造期间安装在电子设备652上。在一个示例中,用于支持上述过程的程序和其他数据能够安装在电子设备652的存储器中。能够加载到设备上的应用程序的其他示例可以是具有组织和管理与设备用户有关的数据项的能力的个人信息管理器(PIM)应用程序,诸如但不限于电子邮件、日历事件、语音邮件、约会和任务项。应用程序能够包括可以在制造期间安装或者从另一个可信和验证的来源安装的上述基本应用程序,以及可以在任何时间安装的用户应用程序。
还可以通过例如无线网络650、辅助I/O设备638、数据端口628、短程通信系统620或这些接口的任何组合将其他应用程序加载到电子设备652上。然后,这些应用程序能够由用户安装在RAM 604或非易失性存储器中以供微处理器602执行。
在数据通信模式中,诸如文本消息或网页下载的接收信号由包括无线接收机612和无线发射机610的通信系统处理,并且由微处理器602提供通信数据,微处理器602能够进一步处理接收到的数据。在一些示例中,电子设备652包括显示器、输出端口或这些的组合。在这样的示例中,能够处理所接收的数据以输出到显示器634,或者替代地,输出到辅助I/O设备638或数据端口628。在包括键盘636或其他类似的输入设施的电子设备652的示例中,电子设备652的用户还可以使用能够包括完整的字母数字键盘或电话型键盘的键盘636结合显示器并且可能还有辅助I/O设备638来构成数据项,诸如电子邮件消息。然后,这些构成的项目能够通过通信系统在通信网络上传输。
对于语音通信,电子设备652的整体操作基本上类似,不同之处在于通常将接收信号提供给耳机632并且通常由麦克风630产生用于传输的信号。替代语音或音频I/O系统,诸如语音消息记录系统也可以在电子设备652上实现。虽然语音或音频信号输出通常主要通过耳机632实现,但是在包括显示器634的电子设备652的示例中,显示器634也可以例如用于提供主叫方身份、语音呼叫持续时间或其他语音呼叫相关信息的指示。
取决于电子设备652的条件或状态,可以禁用与系统电路相关联的一个或多个特定功能,或者可以禁用整个系统电路。例如,如果电池温度低,则可以禁用语音功能,但是仍然可以通过通信系统启用数据通信,诸如电子邮件。
短程通信系统620提供电子设备652与不同系统或设备(其不一定是类似设备)之间的数据通信。例如,短程通信系统620包括红外设备和相关联电路和组件或基于射频的通信模块,诸如支持
通信的通信模块,以提供与具有类似功能的系统和设备的通信,包括如上所述的数据文件传输通信。短距离通信系统还能够包括一个或多个组件以支持无线链路上的通信,诸如
近场通信(NFC)、任何其他短程链路或这些的组合。
媒体读取器660能够连接到辅助I/O设备638,以允许例如将计算机程序产品的计算机可读程序代码加载到电子设备652中以存储到闪存606中。媒体读取器660的一部分是诸如CD/DVD驱动器的光学驱动器,其可用于将数据存储到计算机可读介质或存储产品(诸如计算机可读存储介质662)或从计算机可读介质或存储产品(诸如计算机可读存储介质662)读取数据。合适的计算机可读存储的示例媒体包括诸如CD或DVD的光学存储介质、磁介质或任何其他合适的数据存储设备。可替代地,媒体读取器660能够通过数据端口628连接到电子设备,或者可替代地,计算机可读程序代码能够通过无线网络650提供给电子设备652。
信息处理系统
本主题可以用硬件、软件或硬件和软件的组合来实现。系统可以在一个计算机系统中以集中方式实现,或者以分布式方式实现,其中不同的元件分布在若干互连的计算机系统上。任何类型的计算机系统-或适于执行本文所述方法的其他装置-都是合适的。硬件和软件的典型组合可以是具有计算机程序的通用计算机系统,该计算机程序在被加载和执行时控制计算机系统,使得它执行本文所述的方法。
本主题还可以嵌入在计算机程序产品中,该计算机程序产品包括能够实现本文所述方法的所有特征,并且当加载到计算机系统中时能够执行这些方法。本上下文中的计算机程序是指一组指令的任何语言、代码或符号的任何表达,旨在使具有信息处理能力的系统直接或在以下任一或两者之后执行特定功能a)转换为另一种语言、代码或符号;b)以不同的材料形式复制。
每个计算机系统尤其可以包括一个或多个计算机和至少一个计算机可读介质等,其允许计算机从计算机可读介质读取数据、指令、消息或消息包以及其他计算机可读信息。计算机可读介质可以包括体现非易失性存储器的非暂时性计算机可读存储介质,诸如只读存储器(ROM)、闪存、磁盘驱动器存储器、CD-ROM和其他永久存储器。另外,计算机介质可以包括易失性存储器,诸如RAM、缓冲器、高速缓冲存储器和网络电路。此外,计算机可读介质可以包括暂态状态介质中的计算机可读信息,诸如网络链接和/或网络接口,包括有线网络或无线网络,其允许计算机读取这样的计算机可读信息。
非限制性实施例
尽管已经公开了主题的特定实施例,但是本领域普通技术人员将理解,在不脱离所公开主题的精神和范围的情况下,可以对特定实施例进行改变。因此,本公开的范围不限于特定实施例,并且所附权利要求旨在覆盖本公开范围内的任何和所有这样的应用、修改和实施例。
Claims (14)
1.一种用于控制对数据的访问的方法,包括:
累积对所请求数据的访问请求历史,所述访问请求历史包括做出访问请求的各请求设备的相应上下文;
基于对所述访问请求历史中的每个访问请求中包含的相应上下文进行的分析,确定针对所述所请求数据的访问模式;
在累积所述访问请求历史之后,从请求设备接收对访问所述所请求数据的当前访问请求;
确定所述请求设备的上下文;
确定所述请求设备的上下文和所述访问模式之间是否存在偏差;
基于确定存在所述偏差,发送对允许或拒绝所述访问请求的决策请求;以及
基于对所述决策请求的响应,允许或拒绝访问所述所请求数据。
2.根据权利要求1所述的方法,其中,所述所请求数据受到数字版权管理或信息版权管理中的至少一个的保护,以及
其中,允许访问包括:在所述数字版权管理或所述信息版权管理下授予密钥。
3.根据权利要求1所述的方法,其中,发送所述决策请求包括向自动决策过程请求授权,以及
其中,所述允许基于从所述自动决策过程接收的响应。
4.根据权利要求1所述的方法,其中,发送所述决策请求包括:将包括所述请求设备的上下文的通知发送给与所述所请求数据相关联的授权设备,其中,所述授权设备从所述授权设备的用户接收对所述当前访问请求的授权决策,以及
其中,所述允许还基于对从所述授权设备接收到的通知的响应。
5.根据权利要求4所述的方法,还包括:在配置对所述所请求数据的保护期间,接收与所述所请求数据相关联的授权设备的标识符。
6.根据权利要求1所述的方法,其中,发送所述决策请求包括:
在向授权设备发送通知或向自动决策过程请求授权之间进行选择,其中,所述授权设备从所述授权设备的用户接收授权决策;以及
根据所述选择执行以下任一项:
向所述授权设备发送所述通知,或者
向所述自动决策过程发送决策请求,以及
其中,所述允许还基于相应地从所述授权设备和所述自动决策过程中的一个接收到的响应。
7.根据权利要求6所述的方法,其中,所述选择基于在定义所述所请求数据的访问控制期间通过用户输入提供的标准。
8.根据权利要求1所述的方法,其中,所述允许基于以下中的一个或多个:所述请求设备的当前上下文、所述请求设备的访问请求的一个或多个模式、具有公共上下文特性的多个请求设备的访问请求的一个或多个模式、以及所有请求设备的访问请求的一个或多个模式。
9.一种用于控制对数据的访问的设备,包括:
上下文处理器,所述上下文处理器在操作时:
累积对所请求数据的访问请求历史,所述访问请求历史包括做出访问请求的各请求设备的相应上下文;
基于对所述访问请求历史中的每个访问请求中包含的相应上下文进行的分析,确定针对所述所请求数据的访问模式;
确定发送对所述所请求数据的当前访问请求的请求设备的上下文;
确定所述请求设备的上下文和所述访问模式之间是否存在偏差;
基于确定存在所述偏差,发送对允许或拒绝所述访问请求的决策请求;以及
基于对所述决策请求的响应,允许或拒绝访问所述所请求数据;以及
数据接口,所述数据接口在操作时从所述请求设备接收所述当前访问请求。
10.根据权利要求9所述的设备,其中,所述所请求数据受到数字版权管理或信息版权管理中的至少一个的保护,以及
其中,所述上下文处理器在操作时允许通过在所述数字版权管理或信息版权管理下授予密钥来允许访问。
11.根据权利要求9所述的设备,其中,所述上下文处理器在操作时通过还执行以下操作来发送所述决策请求:
在向授权设备发送通知或向自动决策过程请求授权之间进行选择,其中,所述授权设备从所述授权设备的用户接收授权决策;以及
根据所述选择执行以下任一项:
向所述授权设备发送所述通知,或者
向所述自动决策过程发送所述决策请求,以及
其中,所述允许还基于相应地从所述授权设备和所述自动决策过程中的一个接收到的响应。
12.根据权利要求11所述的设备,其中,所述选择基于在定义所述所请求数据的访问控制期间通过用户输入提供的标准。
13.根据权利要求11所述的设备,其中,所述自动决策过程基于适合的因素允许访问所述所请求数据的子集,所述适合的因素包括:所述请求设备的当前上下文、所述请求设备的访问请求的一个或多个模式、具有公共上下文特性的多个请求设备的访问请求的一个或多个模式、以及所有请求设备的访问请求的一个或多个模式。
14.一种计算机可读存储介质,具有用其实现的计算机可读程序代码,所述计算机可读程序代码包括用于执行权利要求1至8中任一项所述的方法的指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/018,643 | 2016-02-08 | ||
| US15/018,643 US9961082B2 (en) | 2016-02-08 | 2016-02-08 | Access control for digital data |
| PCT/US2017/015958 WO2017139145A1 (en) | 2016-02-08 | 2017-02-01 | Access control for digital data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108476135A CN108476135A (zh) | 2018-08-31 |
| CN108476135B true CN108476135B (zh) | 2022-09-30 |
Family
ID=59496600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780007149.4A Active CN108476135B (zh) | 2016-02-08 | 2017-02-01 | 用于控制数据访问的方法、设备和计算机可读存储介质 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9961082B2 (zh) |
| EP (2) | EP4287555A3 (zh) |
| CN (1) | CN108476135B (zh) |
| CA (1) | CA3007005C (zh) |
| ES (1) | ES2959808T3 (zh) |
| WO (1) | WO2017139145A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10375077B1 (en) * | 2016-08-12 | 2019-08-06 | Symantec Corporation | Systems and methods for mediating information requests |
| US11791024B2 (en) * | 2017-01-23 | 2023-10-17 | Merative Us L.P. | Implementing localized device specific limitations on access to patient medical information |
| US10972258B2 (en) | 2018-07-31 | 2021-04-06 | Mcafee, Llc | Contextual key management for data encryption |
| AU2019366169B2 (en) * | 2018-10-26 | 2023-03-30 | Servicenow Canada Inc. | Sensitive data detection and replacement |
| US11457032B2 (en) * | 2019-05-23 | 2022-09-27 | Kyndryl, Inc. | Managing data and data usage in IoT network |
| US11620297B2 (en) * | 2020-02-26 | 2023-04-04 | Jpmorgan Chase Bank, N.A. | Method and system for data usage analysis |
| US20220345457A1 (en) * | 2021-04-22 | 2022-10-27 | Microsoft Technology Licensing, Llc | Anomaly-based mitigation of access request risk |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101310474A (zh) * | 2005-11-18 | 2008-11-19 | Lg电子株式会社 | 用于装置之间的数字版权管理的方法和系统 |
| CN101512479A (zh) * | 2006-09-12 | 2009-08-19 | 奥多比公司 | 对数字内容的部分的选择性访问 |
| US7783666B1 (en) * | 2007-09-26 | 2010-08-24 | Netapp, Inc. | Controlling access to storage resources by using access pattern based quotas |
| CN102077207A (zh) * | 2008-06-27 | 2011-05-25 | 微软公司 | 用于内容访问的基于流水线的授权 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2833446B1 (fr) * | 2001-12-12 | 2004-04-09 | Viaccess Sa | Protocole de controle du mode d'acces a des donnees transmises en mode point a point ou point multi-point |
| US7389430B2 (en) * | 2002-12-05 | 2008-06-17 | International Business Machines Corporation | Method for providing access control to single sign-on computer networks |
| TW200718147A (en) * | 2005-10-31 | 2007-05-01 | Telepaq Technology Inc | Data protection method and the corresponding decryption module |
| US8286254B2 (en) * | 2005-11-16 | 2012-10-09 | Cisco Technology, Inc. | Behavioral learning for interactive user security |
| US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
| US8239954B2 (en) * | 2007-05-07 | 2012-08-07 | Microsoft Corporation | Access control based on program properties |
| US8479265B2 (en) * | 2008-07-02 | 2013-07-02 | Oracle International Corporation | Usage based authorization |
| US8863303B2 (en) * | 2008-08-12 | 2014-10-14 | Disney Enterprises, Inc. | Trust based digital rights management systems |
| CN101883107B (zh) * | 2010-06-18 | 2014-06-04 | 华为技术有限公司 | 实现上下文感知业务应用的方法和相关装置 |
| WO2014063121A1 (en) * | 2012-10-19 | 2014-04-24 | Mcafee, Inc. | Personal safety and emergency services |
| WO2015168203A1 (en) * | 2014-04-29 | 2015-11-05 | PEGRight, Inc. | Characterizing user behavior via intelligent identity analytics |
| CN104580163B (zh) * | 2014-12-19 | 2018-08-24 | 南阳师范学院 | 私有云环境下访问控制策略构建系统 |
-
2016
- 2016-02-08 US US15/018,643 patent/US9961082B2/en active Active
-
2017
- 2017-02-01 ES ES17750582T patent/ES2959808T3/es active Active
- 2017-02-01 CA CA3007005A patent/CA3007005C/en active Active
- 2017-02-01 EP EP23191758.4A patent/EP4287555A3/en active Pending
- 2017-02-01 WO PCT/US2017/015958 patent/WO2017139145A1/en unknown
- 2017-02-01 EP EP17750582.3A patent/EP3414866B1/en active Active
- 2017-02-01 CN CN201780007149.4A patent/CN108476135B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101310474A (zh) * | 2005-11-18 | 2008-11-19 | Lg电子株式会社 | 用于装置之间的数字版权管理的方法和系统 |
| CN101512479A (zh) * | 2006-09-12 | 2009-08-19 | 奥多比公司 | 对数字内容的部分的选择性访问 |
| US7783666B1 (en) * | 2007-09-26 | 2010-08-24 | Netapp, Inc. | Controlling access to storage resources by using access pattern based quotas |
| CN102077207A (zh) * | 2008-06-27 | 2011-05-25 | 微软公司 | 用于内容访问的基于流水线的授权 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3414866A1 (en) | 2018-12-19 |
| ES2959808T3 (es) | 2024-02-28 |
| EP3414866B1 (en) | 2023-10-04 |
| WO2017139145A1 (en) | 2017-08-17 |
| EP3414866C0 (en) | 2023-10-04 |
| US9961082B2 (en) | 2018-05-01 |
| CA3007005C (en) | 2024-02-13 |
| CA3007005A1 (en) | 2017-08-17 |
| US20170230369A1 (en) | 2017-08-10 |
| CN108476135A (zh) | 2018-08-31 |
| EP4287555A3 (en) | 2024-02-28 |
| EP4287555A2 (en) | 2023-12-06 |
| EP3414866A4 (en) | 2019-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108476135B (zh) | 用于控制数据访问的方法、设备和计算机可读存储介质 | |
| US8949929B2 (en) | Method and apparatus for providing a secure virtual environment on a mobile device | |
| USRE46916E1 (en) | System and method for secure management of mobile user access to enterprise network resources | |
| US11516251B2 (en) | File resharing management | |
| US8798579B2 (en) | System and method for secure management of mobile user access to network resources | |
| EP3192002B1 (en) | Preserving data protection with policy | |
| EP1678618B1 (en) | Method, device and program product for application authorization | |
| EP2936378B1 (en) | Orchestrated interaction in access control evaluation | |
| US20130091542A1 (en) | Application marketplace administrative controls | |
| TW201110642A (en) | Connectivity dependent application security for remote devices | |
| EP3337149B1 (en) | Device restrictions during events | |
| US10032044B2 (en) | Multi-party authentication and authorization | |
| US8552833B2 (en) | Security system for managing information on mobile wireless devices | |
| CN103778379B (zh) | 管理设备上的应用执行和数据访问 | |
| US20100023523A1 (en) | Method and apparatus for managing data having access restriction information | |
| US9106766B2 (en) | Phone call management | |
| Olsson et al. | 5G zero trust–A Zero-Trust Architecture for Telecom | |
| US20230092455A1 (en) | Systems and methods for managing access to data based on a geographic location requirement | |
| JP2020052497A (ja) | 情報処理装置およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1260235 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240605 Address after: Ai Erlandubailin Patentee after: Maliki Innovation Co.,Ltd. Country or region after: Ireland Address before: Voight, Ontario, Canada Patentee before: BlackBerry Ltd. Country or region before: Canada |