CN109863494A - 数据防护系统 - Google Patents
数据防护系统 Download PDFInfo
- Publication number
- CN109863494A CN109863494A CN201780065363.5A CN201780065363A CN109863494A CN 109863494 A CN109863494 A CN 109863494A CN 201780065363 A CN201780065363 A CN 201780065363A CN 109863494 A CN109863494 A CN 109863494A
- Authority
- CN
- China
- Prior art keywords
- data
- access
- request
- result
- data protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 140
- 238000012795 verification Methods 0.000 claims abstract description 56
- 238000000034 method Methods 0.000 claims description 23
- 239000013598 vector Substances 0.000 claims description 19
- 230000002265 prevention Effects 0.000 claims description 14
- 235000013399 edible fruits Nutrition 0.000 claims description 5
- 238000001228 spectrum Methods 0.000 claims description 3
- 230000001012 protector Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 12
- 238000006243 chemical reaction Methods 0.000 description 9
- 239000000284 extract Substances 0.000 description 8
- 230000008901 benefit Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007634 remodeling Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/101—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种数据防护系统(102)以用于检测请求通信实体(104)对多个数据令牌中的数据令牌的未授权访问。所述数据防护系统(102)包括:用于从所述请求通信实体(104)接收请求对所述数据令牌进行访问的访问请求的防护接口(102a),所述访问请求包括表示第一信息内容的第一信息数据;数据防护器(102b),具有用于对所述数据令牌的所述访问进行规定的访问规则,所述数据防护器(102b)用于从所述信息数据提取与所述信息内容相关的属性并且将所述访问规则应用到所提取的属性以获得当前验证结果;以及用于判定所述当前验证结果与预存储验证结果是否匹配的决策器(102d),所述预存储验证结果是通过将所述访问规则应用到先前从所述请求通信实体(104)接收的访问请求中所提取的先前属性而得到的,先前接收的访问请求包括表示第二信息内容的第二信息数据,所述决策器(102d)用于在所述当前验证结果与所述预存储验证结果并不匹配时发出表示所述未授权访问的警告消息。
Description
技术领域
总体而言,本发明涉及通信系统领域。更具体地,本发明涉及一种系统、设备和方法以用于检测通信系统中数据的未授权访问。
背景技术
互联网协议(IP)网络、智能电话或计算机等的多种网络上的数据通信近年来急剧增长。智能电话、计算机或其它网络接入设备的可购性和可用性致使它们在多种应用中的使用变得普及。
随着互联网和其它通信网络的访问变得越来越简单,这些网络越来越多地被用于涉及例如图像、音频、视频和文本等的数据传输的应用。例如,可请求用于计算机软件、音乐、视频和其它应用的数据,并且经由互联网传送。网络用户、数据供应商和所述用户对数据传输和其它内容的请求的数目正在非常迅速地增长。然而,当前系统的局限性会限制以可靠、安全、有效和可购的方式满足需求的能力。具体地,网络数据传输的挑战涉及与数字权利管理相关联的介质权利管理。例如,为了禁止和/或防止欺诈行为,诸如数据的复制、散布或其它未授权使用,有必要采取安全预防措施。
因此,需要改进的系统、设备和方法以用于检测通信系统中数据的未授权访问。
发明内容
本发明的目的是提供改进的系统、设备和方法以用于检测通信系统中数据的未授权访问。
上述和其它目的由独立权利要求的主题实现。从从属权利要求、具体实施方式和附图容易理解另外的具体实施形式。
根据第一方面,本发明涉及一种数据防护系统,用于检测请求通信实体对多个数据令牌中的数据令牌的未授权访问,所述数据防护系统包括:防护接口,所述防护接口用于从所述请求通信实体接收请求对所述数据令牌进行访问的访问请求,所述访问请求包括表示第一信息内容的第一信息数据;数据防护器,所述数据防护器具有用于对所述数据令牌的所述访问进行规定的访问规则,所述数据防护器用于从所述信息数据提取与所述信息内容相关的属性并且将所述访问规则应用到所提取的属性以获得当前验证结果;以及决策器,所述决策器用于判定所述当前验证结果是否匹配预存储验证结果,所述预存储验证结果是通过将所述访问规则应用到先前从所述请求通信实体接收的访问请求中所提取的先前属性而得到的,先前接收的所述访问请求包括表示第二信息内容的第二信息数据,所述决策器用于在所述当前验证结果与所述预存储验证结果并不匹配时发出表示所述未授权访问的警告消息。
本发明的优势在于,存储所述验证结果允许所述数据防护系统在一个步骤中执行所述请求通信实体的认证和匹配,因为,这样一来,所述数据防护系统可使用取决于所述请求通信实体的时间戳保存每个"认证链"和数据令牌的元数据。尽管执行上述操作允许获得所述当前验证结果,所述数据防护系统可执行有关于所述请求通信实体的历史防护元数据("反应链")的匹配,以便例如检测潜在欺诈或向上述请求通信实体推荐信息或数据令牌。尽管所述认证的目的在于防止所述请求通信实体的欺诈行为,匹配的目的在于向所述请求通信实体提供可匹配其兴趣的内容的建议。
在具体实施形式中,所述防护接口用于从所述请求通信实体接收请求对所述数据令牌进行访问的先前访问请求,其中所述数据防护器用于从所述第二信息数据提取属性以获得所提取的先前属性并将所述访问规则应用到所提取的先前属性以获得先前验证结果。
在具体实施形式中,所述信息内容由数据流表示,并且所述数据防护器用于从所述信息内容中提取相应的所述属性。
在具体实施形式中,所述数据防护器用于识别所述信息内容,以提取相应的所述属性。
在具体实施形式中,所述数据防护器用于提取所述信息内容的频谱以获得相应的所述属性。
在具体实施形式中,所述信息内容为图形信息,所述图形信息为图片、视频或音频信息或文本信息,所述音频信息尤其为声音文件。
在具体实施形式中,所述决策器用于对所述当前验证结果与所述先前验证结果进行比较或相关,以判定所述当前验证结果是否与所述先前验证结果相匹配。
在具体实施形式中,所述决策器用于在所述当前验证结果与所述先前验证结果不同时判定所述当前验证结果与所述预存储验证结果不匹配;或者在所述预存储验证结果与所述当前验证结果相同时判定所述当前验证结果与所述预存储验证结果相匹配。
在具体实施形式中,所述决策器用于将多个先前验证结果与所述当前验证结果进行比较,并且如果所述预存储验证结果与所述先前验证结果中的大多数不同,那么判定所述当前验证结果并不匹配所述预存储验证结果;或者如果所述预存储验证结果与所述先前验证结果中的大多数相同,那么确定所述当前验证结果匹配所述预存储验证结果。
在具体实施形式中,所述先前验证结果包括形成先前结果向量的多个结果条目,尤其为二进制结果条目,其中所述当前验证结果包括形成当前结果向量的多个结果条目,尤其为二进制结果条目,其中所述决策器用于将所述先前结果向量的所述结果条目与所述当前结果向量的所述结果条目进行比较、或者对所述先前结果向量与所述当前结果向量进行相关、或者从所述当前结果向量减去所述先前结果向量,以判定所述当前验证结果是否并不匹配所述预存储验证结果。
在具体实施形式中,所述数据令牌由数字数据形成,或者所述数据令牌由用于访问数字数据,尤其是访问形成数字组的数字数据空间的数字访问数据形成。
在具体实施形式中,所述数据防护系统由计算机可执行代码形成,对所述计算机可执行代码进行数字签名,尤其是利用基于所述计算机可执行代码生成的哈希(Hash)值对所述计算机可执行代码进行数字签名。
根据第二方面,本发明涉及一种数据防护方法,用于检测一请求通信实体对多个数据令牌中的数据令牌的未授权访问。所述数据防护方法包括以下步骤:从所述请求通信实体接收请求对所述数据令牌进行访问的访问请求,所述访问请求包括表示第一信息内容的第一信息数据;从所述信息数据提取与所述信息内容相关的属性;将访问规则应用到所提取的属性以获得当前验证结果,所述访问规则对所述数据令牌的所述访问进行规定;以及判定所述当前验证结果是否匹配预存储验证结果,所述预存储验证结果是通过将所述访问规则应用到先前从所述请求通信实体接收的访问请求中所提取的先前属性而得到的,先前接收的访问请求包括表示第二信息内容的第二信息数据,所述决策器用于果在所述当前验证结果与所述预存储验证结果并不匹配时发出表示所述未授权访问的警告消息。
根据第三方面,本发明涉及一种通信设备,所述通信设备包括根据所述第一或第二方面及其具体实施形式中的任何一个的数据防护系统和通信接口,所述通信接口用于经通信网络接收所述访问请求,并且将所述所接收的访问请求传递到所述防护接口。
在具体实施形式中,所述通信接口为无线接口,尤其为LTE接口、UMTS接口、WiFi接口、NFC接口或红外接口。
在具体实施形式中,所述数据防护系统为软件代码,所述软件代码可根据所述软件代码的拥有者所限定的规则从服务器下载。
根据第四方面,本发明涉及一种数据防护系统,用于防护一请求通信实体对多个数据中的数据令牌进行访问,所述数据防护系统包括:防护接口,所述防护接口用于从所述请求通信实体接收请求对所述数据令牌进行访问的访问请求,所述访问请求包括表示信息内容的信息数据;以及数据防护器,所述数据防护器具有用于对所述数据令牌的所述访问进行规定的访问规则,所述数据防护器用于从所述信息数据提取与所述信息内容相关的属性,并且确定所述所提取的属性是否满足所述访问规则,其中所述数据防护器还用于在所提取的属性满足所述访问规则时输出第一输出信号,或者在所述所提取的属性违背所述访问规则时输出第二输出信号。
在具体实施形式中,所述数据防护系统还包括另一数据防护器,所述另一数据防护器具有用于对所述数据令牌的所述访问进行规定的另一访问规则,所述另一访问规则不同于所述访问规则,所述另一数据防护器用于从所述信息数据提取与所述信息内容相关的另一属性,并且确定所述另一所提取的属性是否满足所述另一访问规则,其中所述另一数据防护器还用于在所述另一所提取的属性满足所述另一访问规则时输出第一输出信号,或者在所述另一所提取的属性违背所述另一访问规则时输出第二输出信号。
在具体实施形式中,所述信息内容由数据流表示,并且所述数据防护器用于从所述信息内容提取相应的所述属性。
在具体实施形式中,所述数据防护器用于识别所述信息内容,以提取相应的所述属性。
在具体实施形式中,所述数据防护器用于提取所述信息内容的频谱以获得相应的所述属性。
在具体实施形式中,所述相应的数据防护器用于将所述相应的所提取的属性与参考属性进行比较,以确定相应的所提取的属性是否满足所述相应的规则。
在具体实施形式中,所述数据防护系统还包括决策器,所述决策器用于在所述数据防护系统的每一数据防护器输出所述第一信号时输出使能信号以用于准许所述请求通信实体对所述数据令牌的访问,或者在所述数据防护器输出所述第二信号时,那么输出禁止信号。
在具体实施形式中,所述防护接口用于在所述决策器输出所述使能信号时在所述请求通信实体与所述数据令牌之间建立通信信道;或者在所述决策器输出所述禁止信号时拒绝所述访问请求。
在具体实施形式中,所述防护接口用于输出表示所述使能信号的视频信号以供显示器显示,或者所述数据防护系统包括显示器以供显示所述使能信号。
在具体实施形式中,所述数据防护系统由计算机可执行代码形成,对所述计算机可执行代码进行数字签名,尤其利用基于所述计算机可执行代码生成的Hash值对所述计算机可执行代码进行数字签名。
在具体实施形式中,所述防护接口为HTML接口、或HTTP接口、或GUI接口、或API接口。
根据第五方面,本发明涉及一种数据防护方法,用于防护一请求通信实体对多个数据中的数据令牌的访问。所述数据防护方法包括以下步骤:从所述请求通信实体接收请求对所述数据令牌的访问的访问请求,所述访问请求包括表示信息内容的信息数据;从所述所接收的信息数据提取与所述信息内容相关的属性;确定所述所提取的属性是否满足访问规则;以及如果所述所提取的属性满足所述访问规则,那么输出第一输出信号,或者如果所述所提取的属性违背所述访问规则,那么输出第二输出信号。
根据第六方面,本发明涉及一种通信设备。所述通信设备包括所述第一方面及其具体实施形式中的一个的所述数据防护系统和通信接口,所述通信接口用于经通信网络接收所述访问请求,并且将所述所接收的访问请求传递到所述防护接口。
在具体实施形式中,所述通信接口为无线接口,尤其为LTE接口、或UMTS接口、或WiFi接口、或NFC接口、或红外接口。
在具体实施形式中,所述通信设备用于执行所述第二方面的所述数据防护方法。
在具体实施形式中,所述数据防护系统为软件代码,所述软件代码可根据所述软件代码的拥有者所限定的规则从服务器下载。
在具体实施形式中,所述软件代码为Java或Objective-C代码。
本发明可以通过硬件和/或软件实现。
本发明的所有方面的具体实施形式可彼此组合。
附图说明
将参考以下附图对本发明的其他实施方式进行描述,其中:
图1示出了根据一种实施方式的通信系统的示意图,所述通信系统包括经通信信道通信的数据防护系统和请求通信实体;
图2示出了根据一种实施方式的数据防护系统与请求通信实体的用户之间的通信流的示意图;
图3a示出了根据一种实施方式的含有与数据防护系统相关的信息的表的示例性条目;
图3b示出了根据一种实施方式的含有与数据防护系统相关的信息的表的示例性条目;
图4示出了根据一种实施方式的含有与数据防护系统相关的信息的两个示例性表;
图5示出了根据一种实施方式的用于检测请求通信实体对多个数据中的数据令牌的未授权访问的数据防护方法的示意图;
图6示出了根据一种实施方式的通信系统的示意图,所述通信系统包括经通信信道通信的通信设备和请求通信实体;
图7示出了根据一种实施方式的用于防护请求通信实体对多个数据中的数据令牌的访问的数据防护方法的示意图;以及
图8示出了根据一种实施方式的通信系统的示意图,所述通信系统包括经通信信道通信的通信设备和请求通信实体。
在附图中,相同的附图标记将用于相同或功能上等效的特征。
具体实施方式
在以下具体实施方式中,参考构成说明书的部分并且以图示的方式示出可实践本发明的具体方面的附图。应当理解,本发明可在其它方面中实践,并且可在不偏离本发明的范围的情况下进行结构或逻辑上的改变。因此,并不在限制意义上理解以下具体实施方式,因为本发明的范围由随附权利要求限定。
例如,应当理解,结合所描述方法的公开内容对用于执行所述方法的对应设备或系统也将大体适用,反之亦然。例如,如果描述了特定方法步骤,那么对应设备可包括用以执行所描述方法步骤的单元,即使此类单元并未明确描述或在附图中示出。
此外,在以下具体实施方式和权利要求中,描述了具有功能框或处理单元的实施方式,所述功能框或处理单元彼此连接或交换信号。应当理解,本发明也涵盖包括附加功能框或处理单元的实施方式,所述附加功能框或处理单元被设置在下文所描述实施方式的功能框或处理单元之间。
最后,应当理解,本文所描述的多种示例性方面的特征可彼此组合,除非另有具体要求。
图1示出了根据一种实施方式的通信系统100的示意图,所述通信系统100包括经通信信道110通信的数据防护系统102和请求通信实体104。
在一种实施方式中,数据防护系统102可用于检测请求通信实体104对多个数据令牌中的数据令牌的未授权访问。数据防护系统102可包括防护接口102a,所述防护接口102a用于从请求通信实体104接收对数据令牌进行访问的访问请求。所述访问请求包括表示第一信息内容的第一信息数据。此外,数据防护系统102可包括数据防护器102b,所述数据防护器102b具有用于规定对数据令牌进行访问的访问规则,其中数据防护器102b用于从信息数据提取与信息内容相关的属性并将访问规则应用到所提取的属性以获得当前验证结果。此外,数据防护系统102可包括决策器102d,所述决策器102d用于确定当前验证结果是否匹配预存储验证结果,所述预存储验证结果是通过将访问规则应用到先前从请求通信实体104接收的访问请求中所提取的先前属性而得到的,所述先前接收的访问请求包括表示第二信息内容的第二信息数据。决策器102d也可用于在当前验证结果与预存储验证结果并不匹配时发出表示未授权访问的警告消息访问。
在一种实施方式中,相应的信息内容可为元内容(meta content),具体地,请求通信实体104的地理位置或与请求实体104的用户104a相关的个人信息,并且相应的数据防护器102b可用于提取相应的元内容以获得相应的属性。
在另一种实施方式中,决策器102d可用于在当前验证结果与预存储验证结果相匹配时输出使能信号。
此外,在另一种实施方式中,如果决策器102d输出使能信号,那么决策器102d可用于在请求通信实体104与数据令牌之间建立通信信道,或者如果决策器102d输出警告信号,那么拒绝访问请求。
在一种实施方式中,防护接口102a可为HTML接口、或HTTP接口、或GUI接口、或API接口。
通信信道110可为有线的或无线的通信信道。
在一种实施方式中,数据防护系统102可包括防护接口102a,所述防护接口102a可用于从请求通信实体104接收请求对数据令牌进行访问的访问请求,所述访问请求可比较表示信息内容的信息数据。此外,数据防护系统102可包括数据防护器102b,所述数据防护器102b具有用于规定对数据令牌进行访问的访问规则。所述数据防护器102b可用于从信息数据提取与信息内容相关的属性并确定所提取的属性是否满足访问规则。此外,数据防护器102b可用于在所提取的属性满足访问规则时输出第一输出信号,或者在所提取的属性不符合访问规则时输出第二输出信号。
在一种实施方式中,数据防护系统102可包括决策器102d,其中决策器102d可用于在数据防护系统102中的每个数据防护器102b都输出第一信号时输出使能信号以允许请求通信实体104对数据令牌进行访问,或者在数据防护器102b输出第二信号时输出禁止信号。
通信信道110可为有线的或无线的通信信道。
在一种实施方式中,数据防护器102b的相应的信息内容可为元内容,具体地,请求通信实体104的地理位置或与请求通信实体104的用户相关的个人信息,并且数据102b防护器可用于提取相应的元内容以获得相应的属性。
图2示出了根据一种实施方式的数据防护系统102与请求通信实体104的用户104a之间的通信流的示意图。
在此实施方式中,请求通信实体104的用户104a请求对数据令牌(例如,图片、文本或视频)Ic进行访问,其中数据令牌由数据防护系统102防护,并且提供信息数据Iu到数据防护系统102。首先,数据防护器(例如,102b和102c)从请求通信实体104的所提供的信息数据Iu(例如,图片中的物体)提取属性。然后,数据防护器(例如,102b和102c)中的每个将一组限定规则G1(IU),G2(IU),...,Gn(IU)应用到所述属性,并且获得组合的"认证链”或当前验证结果r:
r=G1(IU)∧G2(IU)∧...∧Gn(IU),
其中符号∧表示逻辑AND运算符。然后,将当前验证结果r传递到决策器102d。基于当前验证结果r,决策器102d可确定当前验证结果r是否与预存储验证结果相匹配。如果当前验证结果r与预存储验证结果相匹配,那么决策器102d准许请求通信实体104对所请求的数据令牌Ic进行访问,否则拒绝对所请求的数据令牌Ic进行访问。
存储验证结果r的优势在于允许数据防护系统102在一个步骤中执行请求通信实体104的认证和匹配,因为,这样一来,数据防护系统102使用取决于请求通信实体104的时间戳保存每个“认证链”和数据令牌的元数据。尽管执行上述操作允许获得当前验证结果r,数据防护系统102可执行与有关请求通信实体104的历史防护元数据("反应链")的匹配,以便例如检测潜在欺诈或向请求通信实体104推荐信息或数据令牌。尽管所述认证的目的在于防止请求通信实体104的欺诈行为,匹配的目的在于向请求通信实体104提供可匹配其兴趣的内容的建议。
有利地,借助上述"反应链",数据防护系统102可保存与请求通信实体104相关的以下元数据:数据令牌类型和标题、访问规则类型或防护类型、任务和结果、时间戳、每数据令牌的访问规则或防护的量,和示出请求通信实体104与特定数据令牌之间的关系的元数据。
此外,数据防护系统102的另一优势在于允许加密与请求通信实体104相关的个人数据,同时仍能够执行认证和匹配,即使请求通信实体104的用户104a的简档和信息本身(数据令牌)可加密。
图3a和3b示出了根据一种实施方式的含有与数据防护系统102相关的信息的表的示例性条目。具体地,该表示出了请求通信实体104的用户104a的欺诈行为的实例。事实上,在此实施方式中,用户104a具有带有65个条目的"反应链”,并且想要破解访问规则或防护88(年龄防护),以便访问数据令牌7(图片令牌)。数据防护系统102识别出了潜在的欺诈行为,因为在用户104a的反应链中存在有关年龄防护的逻辑错误。如图3b中的表中所示,在时刻t3,用户104a被证实大于18岁,并且这意味着在如图3a中所示的时刻t65(在t3之后),不可能小于18岁。
图4示出根据实施方式的含有与数据防护系统102相关的信息的两个示例性表。具体地,图示出了反应链的实例。所述实例为请求通信实体104的用户104a对特定数据令牌的反应链的实例,示出用户104a对哪些数据令牌感兴趣。反应链可视为可与其它用户的反应链进行比较的结果向量,其中不同用户的相似的结果向量将形成较小角度。最相似或最匹配的结果向量之间的差异可由数据防护系统102用以对其它用户给出建议。例如,图4中的用户Alice对数据令牌5、15、18、34和48作出了反应,而图4中的用户Bob对数据令牌5、16、18、21和48作出反应。由于这些结果向量之间的差异很小,可视为相似的。在数据防护系统102的实施方式中,Bob可从数据防护系统102接收含有数据令牌15和34的建议,而Alice可接收数据令牌16和31。
图5示出根据实施方式的用于检测请求通信实体104对多个数据中的数据令牌的未授权访问的数据防护方法500的示意图。数据防护方法500包括以下步骤:
从请求通信实体104接收502请求对数据令牌的进行访问的访问请求,所述访问请求包括表示第一信息内容的第一信息数据;
从信息数据提取504与信息内容相关的属性;
将访问规则应用506到所提取的属性以获得当前验证结果,所述访问规则规定对数据令牌的访问;以及
确定508当前验证结果是否匹配预存储验证结果,所述预存储验证结果是通过将访问规则应用到先前从一请求通信实体104接收的访问请求中所提取的先前属性而得到的,先前接收的访问请求包括表示第二信息内容的第二信息数据,所述决策器102d用于在当前验证结果与预存储验证结果不匹配时发出表示未授权访问的警告消息。
图6示出了根据一种实施方式的通信系统600的示意图,所述通信系统600包括经通信信道110通信的通信设备602和请求通信实体104。通信设备602可包括数据防护系统102和通信接口。所述通信接口用于接收通信信道110上的访问请求,并且将所接收的访问请求传递到数据防护系统102的防护接口102a。
在一种实施方式中,数据防护系统102由可执行软件代码形成,并且通信设备602包括用于执行可执行软件代码的处理器。在一种实施方式中,可对计算机可执行代码进行数字签名。对可执行代码进行数字签名的优势在于允许通信设备602的处理器识别签名,并且通过签名以验证可执行代码尚未修改。这样一来,可执行代码可受数字签名保护,因为如果可执行代码的任何部分改变,那么数字签名将变为无效。对可执行代码进行签名也可与数据防护系统102的身份、配置简档、或应用组合使用,以便确保至少以下方面:
数据防护系统102可由可信实体构建并标记;
数据防护系统102可在指定的开发设备上运行;以及
数据防护系统102可用于避免受信实体并未添加到数据防护系统102的服务。
此外,对可执行代码进行数字签名也可允许受信实体移除或重新设计数据防护系统102。
在一种实施方式中,通信设备602可包括用于访问规则存储的存储器602a,以及数据防护系统102可用于从存储器602a读取相应的访问规则。
在一种实施方式中,通信设备602可为智能电话或个人计算机。
在一种实施方式中,通信设备602可用于执行数据防护方法500。
图7示出了根据一种实施方式的用于防护请求通信实体104对多个数据中的数据令牌进行访问的数据防护方法700的示意图。在该实施方式中,方法700可包括以下步骤:
从请求通信实体104接收702请求对数据令牌进行访问的访问请求,所述访问请求包括表示信息内容的信息数据;
从所接收的信息数据提取704与信息内容相关的属性;
确定706所提取的属性是否满足访问规则;以及
如果所提取的属性满足访问规则,那么输出708第一输出信号,或者如果所提取的属性违背访问规则,那么输出第二输出信号。
图8示出根据一种实施方式的通信系统800的示意图,所述通信系统600包括经通信网络或信道110通信的通信设备802和请求通信实体104。在一种实施方式中,通信设备802可包括数据防护系统102和通信接口,其中所述通信接口可用于接收通信网络或信道110上的访问请求,并且将所接收的访问请求传递到防护接口102a。
通信信道110可为有线的或无线的通信信道。
在一种实施方式中,数据防护系统102可由可执行软件代码形成,并且通信设备802可包括用于执行可执行软件代码的处理器。在一种实施方式中,可对计算机可执行代码进行数字签名。对可执行代码进行数字签名的优势在于允许通信设备802的处理器识别签名,并且通过签名验证可执行代码未被修改。这样一来,可由数字签名对可执行代码进行保护,因为如果可执行代码的任何部分改变,那么数字签名变为无效。对可执行代码进行签名也可与数据防护系统102的身份、配置简档、或应用组合使用,以便确保至少以下方面:
数据防护系统102可由可信实体构建并标记;
数据防护系统102可在指定的开发设备上运行;以及
数据防护系统102可用于避免受信实体并未添加到数据防护系统102的服务。
此外,对可执行代码进行签名可允许受信实体移除或重新设计数据防护系统102。
在一种实施方式中,通信设备802可包括用于存储访问规则的存储器802a,以及数据防护系统102可从存储器802a读取相应的访问规则。
在一种实施方式中,通信设备802可为智能电话或个人计算机。
在另一实施方式中,通信设备802可用于执行数据防护方法700。
尽管本发明的特定特征或方面可能相对于若干具体实施或实施方式中的仅一个公开,此类特征或方面可与如对于任何给定或特定应用可为期望或有利的其它具体实施例或实施方式的一个或多个其它特征组合。此外,在术语“包括”、“具有”、“带有”、或其其它变型用于具体实施方式或权利要求的意义上,此类术语可旨在以相似于术语“包含”的方式为包括性的。另外,术语“示例性”、“举例来说”和“例如”仅意味实例,而不是最佳或最优的。可使用术语“耦接”和“连接”及其衍生语。应当理解,所述术语可用以指示两个元件彼此协作或相互作用,而不管所述两个元件是否直接物理或电性接触,或者所述两个元件彼此是否并非直接接触。
尽管本文已图示并描述了具体方面,本领域的普通技术人员应当理解,多种替代和/或等效具体实施方式可在不偏离本公开的范围的情况下取代所示出和描述的具体方面。本申请旨在覆盖本文讨论的具体方面的任何改型或变型。
尽管以具有对应标号的特定次序定义权利要求中的元件,除非权利要求暗示了实现所述元件中的一些或全部的特定次序,否则所述元件未必旨在受限于以上述特定次序实现。
依据上述教导内容,本领域的技术人员将容易理解许多替代、修改和变型。当然,本领域的技术人员将容易认识到,本发明存在除本文所述应用以外的许多应用。尽管已参考一个或多个特定实施方式来描述本发明,本领域的技术人员将认识到,可在不偏离本发明的范围的情况下对其进行许多改变。因此,应当理解,在权利要求及其等效的范围内,本发明可按不同于本文具体描述的方式来实践。
Claims (15)
1.一种数据防护系统(102),用于检测一请求通信实体(104)对多个数据令牌中的数据令牌的未授权访问,其特征在于,所述数据防护系统(102)包括:
防护接口(102a),所述防护接口(102a)用于从所述请求通信实体(104)接收请求对所述数据令牌进行访问的访问请求,所述访问请求包括表示第一信息内容的第一信息数据;
数据防护器(102b),所述数据防护器(102b)具有用于对所述数据令牌的所述访问进行规定的访问规则,所述数据防护器(102b)用于从所述信息数据提取与所述信息内容相关的属性,并且将所述访问规则应用到所提取的属性以获得当前验证结果;以及
决策器(102d),所述决策器(102d)用于判定所述当前验证结果与预存储验证结果是否匹配,所述预存储验证结果是通过将所述访问规则应用到先前从所述请求通信实体(104)接收的访问请求中所提取的先前属性而得到的,先前接收的所述访问请求包括表示第二信息内容的第二信息数据,所述决策器(102d)用于在所述当前验证结果与所述预存储验证结果并不匹配时发出表示所述未授权访问的警告消息。
2.如权利要求1所述的数据防护系统(102),其特征在于,所述防护接口(102a)用于从所述请求通信实体(104)接收请求对所述数据令牌进行访问的先前访问请求,其中所述数据防护器(102b)用于从所述第二信息数据提取属性以获得所提取的先前属性并将所述访问规则应用到所提取的先前属性以获得先前验证结果。
3.如权利要求1或2所述的数据防护系统(102),其特征在于,所述信息内容由数据流表示,并且所述数据防护器(102b)用于从所述信息内容中提取相应的所述属性。
4.如前述权利要求中任一项所述的数据防护系统(102),其特征在于,所述数据防护器(102b)用于识别所述信息内容以提取相应的所述属性。
5.如前述权利要求中任一项所述的数据防护系统(102),其特征在于,所述数据防护器(102b)用于提取所述信息内容的频谱以获得相应的所述属性。
6.如前述权利要求中任一项所述的数据防护系统(102),其特征在于,所述信息内容为图形信息,所述图形信息尤其为图片、视频、音频信息或文本信息,所述音频信息尤其为声音文件。
7.如前述权利要求中任一项所述的数据防护系统(102),其特征在于,所述决策器(102d)用于对所述当前验证结果与所述先前验证结果进行比较或相关,以判定所述当前验证结果是否与所述先前验证结果相匹配。
8.如权利要求7所述的数据防护系统(102),其特征在于,所述决策器(102d)用于在所述当前验证结果与所述先前验证结果不同时判定所述当前验证结果与所述预存储验证结果不匹配;或者在所述预存储验证结果与所述当前验证结果相同时判定所述当前验证结果与所述预存储验证结果相匹配。
9.如前述权利要求中任一项所述的数据防护系统(102),其特征在于,所述决策器(102d)用于将多个先前验证结果与所述当前验证结果进行比较,并且如果所述预存储验证结果与所述先前验证结果中的大多数不同,那么判定所述当前验证结果与所述预存储验证结果不匹配;或者如果所述预存储验证结果与所述先前验证结果中的大多数相同,那么判定所述当前验证结果与所述预存储验证结果相匹配。
10.如前述权利要求中任一项所述的数据防护系统(102),其特征在于,所述先前验证结果包括形成先前结果向量的多个结果条目,尤其为二进制结果条目,其中所述当前验证结果包括形成当前结果向量的多个结果条目,尤其为二进制结果条目,其中所述决策器(102d)用于将所述先前结果向量的所述结果条目与所述当前结果向量的所述结果条目进行比较、或者对所述先前结果向量与所述当前结果向量进行相关、或者从所述当前结果向量减去所述先前结果向量,以判定所述当前验证结果是否与所述预存储验证结果并不匹配。
11.如前述权利要求中任一项所述的数据防护系统(102),其特征在于,所述数据令牌由数字数据形成,或者所述数据令牌由用于访问数字数据,尤其是访问形成数字组的数字数据空间的数字访问数据形成。
12.如前述权利要求中任一项所述的数据防护系统(102),其特征在于,所述数据防护系统(102)由计算机可执行代码形成,以及对所述计算机可执行代码进行数字签名,尤其是利用基于所述计算机可执行代码生成的哈希值对所述计算机可执行代码进行数字签名。
13.一种数据防护方法(500),用于检测一请求通信实体(104)对多个数据令牌中的数据令牌的未授权访问,其特征在于,所述数据防护方法(500)包括:
从所述请求通信实体(104)接收(502)请求对所述数据令牌进行访问的访问请求,所述访问请求包括表示第一信息内容的第一信息数据;
从所述信息数据提取(504)与所述信息内容相关的属性;
将访问规则应用(506)到所提取的属性以获得当前验证结果,所述访问规则对所述数据令牌的所述访问进行规定;以及
判定(508)所述当前验证结果与预存储验证结果是否匹配,所述预存储验证结果是通过将所述访问规则应用到先前从所述请求通信实体(104)接收的访问请求中所提取的先前属性而得到的,先前接收的所述访问请求包括表示第二信息内容的第二信息数据,所述决策器(102d)用于在所述当前验证结果与所述预存储验证结果不匹配时发出表示所述未授权访问的警告消息。
14.一种通信设备(602),其特征在于,包括:
如前述权利要求1至13中任一项所述的数据防护系统(102);以及
通信接口,所述通信接口用于经通信网络(110)接收所述访问请求,并且将所接收的访问请求传递到所述防护接口(102a)。
15.如权利要求14所述的通信设备(602),其特征在于,所述通信接口为无线接口,尤其为LTE接口、UMTS接口、WiFi接口、NFC接口或红外接口。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16185149.8 | 2016-08-22 | ||
| EP16185166.2A EP3287919A1 (en) | 2016-08-22 | 2016-08-22 | Data guard system |
| EP16185149.8A EP3287931A1 (en) | 2016-08-22 | 2016-08-22 | Data guard system |
| EP16185166.2 | 2016-08-22 | ||
| PCT/EP2017/071072 WO2018036983A1 (en) | 2016-08-22 | 2017-08-22 | Data guard system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109863494A true CN109863494A (zh) | 2019-06-07 |
Family
ID=59683582
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780065363.5A Pending CN109863494A (zh) | 2016-08-22 | 2017-08-22 | 数据防护系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20190207943A1 (zh) |
| CN (1) | CN109863494A (zh) |
| WO (1) | WO2018036983A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2019263471A1 (en) * | 2018-05-04 | 2020-11-26 | Digital Age Experts Llc | Emulation of cloud computing service regions |
| CN113254011B (zh) * | 2021-06-01 | 2024-02-27 | 深圳博沃智慧科技有限公司 | 动态接口配置方法和电子政务系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6345361B1 (en) * | 1998-04-06 | 2002-02-05 | Microsoft Corporation | Directional set operations for permission based security in a computer system |
| EP1653655A1 (en) * | 2004-10-29 | 2006-05-03 | Research In Motion Limited | System and method for verifying digital signatures on certificates |
| WO2007047846A2 (en) * | 2005-10-18 | 2007-04-26 | Intertrust Technologies Corporation | Methods for digital rights management |
| US20140143890A1 (en) * | 2006-05-30 | 2014-05-22 | Dell Products L.P. | Dynamic constraints for content rights |
-
2017
- 2017-08-22 WO PCT/EP2017/071072 patent/WO2018036983A1/en active Application Filing
- 2017-08-22 US US16/327,529 patent/US20190207943A1/en not_active Abandoned
- 2017-08-22 CN CN201780065363.5A patent/CN109863494A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6345361B1 (en) * | 1998-04-06 | 2002-02-05 | Microsoft Corporation | Directional set operations for permission based security in a computer system |
| EP1653655A1 (en) * | 2004-10-29 | 2006-05-03 | Research In Motion Limited | System and method for verifying digital signatures on certificates |
| WO2007047846A2 (en) * | 2005-10-18 | 2007-04-26 | Intertrust Technologies Corporation | Methods for digital rights management |
| US20140143890A1 (en) * | 2006-05-30 | 2014-05-22 | Dell Products L.P. | Dynamic constraints for content rights |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018036983A1 (en) | 2018-03-01 |
| US20190207943A1 (en) | 2019-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108684041B (zh) | 登录认证的系统和方法 | |
| US20170034183A1 (en) | Method and system for user authentication | |
| CN105262779B (zh) | 身份认证方法、装置及系统 | |
| US9489503B2 (en) | Behavioral stochastic authentication (BSA) | |
| US20160267493A1 (en) | Product anti-counterfeiting method, apparatus and system | |
| CN110046482A (zh) | 身份核实方法及其系统 | |
| KR101315076B1 (ko) | Drm 보호 콘텐트 재배포 방법 | |
| US20150333911A1 (en) | Id system and program, and id method | |
| FR2854303A1 (fr) | Procede de securisation d'un terminal mobile et applications de procede, l'execution d'applications necessitant un niveau de securite eleve | |
| CN107181714A (zh) | 基于业务码的验证方法和装置、业务码的生成方法和装置 | |
| US9124571B1 (en) | Network authentication method for secure user identity verification | |
| CN108154048B (zh) | 资产信息处理方法和装置 | |
| CN109492424A (zh) | 数据资产管理方法、数据资产管理装置及计算机可读介质 | |
| CN109033784A (zh) | 在通信网络中身份认证方法和装置 | |
| CN109743306B (zh) | 一种账号安全性评估方法、系统、设备及介质 | |
| CN109863494A (zh) | 数据防护系统 | |
| CN108885656A (zh) | 账户访问 | |
| CN108063748A (zh) | 一种用户认证方法、装置及系统 | |
| CN106529232A (zh) | 开机启动方法及装置 | |
| KR20170085423A (ko) | 사용자 단말 장치 및 이에 의한 개인 정보 제공 방법 | |
| CN117375986A (zh) | 一种应用访问方法、装置、服务器 | |
| KR101742105B1 (ko) | Qr코드를 통한 전화번호 보안 인증 장치, 시스템 및 방법 | |
| US20200076589A1 (en) | Security authentication method for generating secure key by combining authentication elements of multi-users | |
| CA2898587C (en) | Digitised handwritten signature authentication | |
| CN109086624A (zh) | 登录方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190607 |
|
| WD01 | Invention patent application deemed withdrawn after publication |