CN1156765C - 对本地保持的数据提供访问控制的保密机制 - Google Patents
对本地保持的数据提供访问控制的保密机制 Download PDFInfo
- Publication number
- CN1156765C CN1156765C CNB001359711A CN00135971A CN1156765C CN 1156765 C CN1156765 C CN 1156765C CN B001359711 A CNB001359711 A CN B001359711A CN 00135971 A CN00135971 A CN 00135971A CN 1156765 C CN1156765 C CN 1156765C
- Authority
- CN
- China
- Prior art keywords
- data
- processing equipment
- data processing
- attribute
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
提供数据处理装置和方法,其能够从一个数据处理装置控制对保持(例如在队列上)在另一个数据处理装置处的数据的访问。当请求者希望访问保持在本地数据处理装置处的数据时,必须发送请求到远程数据处理装置以确定数据的保密属性(例如,从数据库检索队列属性)。由于与远程系统的通信需要确定该远程装置能记录对于数据访问的请求,因此直到在本地数据处理装置处完全确定了保密属性,请求者才能访问数据。
Description
技术领域
本发明涉及对保持在数据处理装置上的数据的控制访问以改善保密或检查跟踪。
背景技术
已知很多方案中服务器计算机执行保密机制来控制对保持在服务器计算机上的数据的访问,如果满足保密控制,则数据仅被分布到请求客户数据处理设备。这个访问控制与比较请求用户或设备的ID和服务器上保持的访问特许列表一样简单,或者可包括检查口令或包括使用加密算法的各种方案。使用加密的一个例子涉及以加密形式保持在服务器上的数据,并且当远程用户请求该数据时,在服务器上执行请求者的识别和验证,然后数据仅经保密通信信道被发送到请求者。
另外,数据通常以加密或其它受保护的形式被分布到客户设备,使得数据在传送到客户期间不可读出,并且在客户设备处在把解码密钥如解密密钥用于解码数据后该数据才仅在客户设备是可读出的。从而,已知保密机制在数据在网络内的数据处理系统之间进行发送时被用于保护数据。用于保密通信的加密的使用是加密技术的一种非常普通的用途,因为通常认为在数据跨网络被发送时数据最易于受到窃听者的攻击(截取数据、和拷贝或修改数据)。
加密套接字协议层(SSL)是网景通信公司开发的保密协议,用于提供因特网上的数据保密和保密性。SSL协议支持服务器和客户验证,并且是申请依赖于,允许协议如HTTP、Telnet、NNTP或FTP透明地成层在它的顶部上。SSL是基于公共密钥加密的并且用在加密密钥的协商中,以及用于在与申请进行数据交换之前验证服务器。SSL通过使用加密、验证和消息验证代码保持传输信道的保密性和完整性。
标准Java(TM)启动网络服务器提供加密套接字协议层(SSL)以加密网络服务器与兼容的网络浏览器之间的数据流。但是,SSL有若干个问题,这是由于对所有类型的数据仅有一个水平的加密引起的:
一数据被解密,从而在服务器与浏览器内被保持为不受保护的格式;
一根据SSL或零(clear)加密在网络服务器与网络浏览器之间传送的数据一没有中间协议;和
一数据不被压缩。
GB-A-2337671(IBM记录摘要参考UK998045)通过限定一种机制从而在具有预定的水平的保密性、加密和压缩的安全会话的环境中运行Servlets而减轻了这些问题。尽管在这种环境中该文献提供了一些优点,但是GB-A-2337671仅是传统情况的保密属性的一个例子,该保密属性被限定在通信的伙伴之间并且通信伙伴完全控制在它们之间访问通信的数据。
也已知加密模式是用于保护对数据的访问或在本地数据处理系统上的应用,即用于本地识别和验证。在GB-A-2329499(IBM记录摘要参考UK997052)中描述了一种例子,其中在能够操作在柜上运行的应用程序之前仍要求零售柜的操作员输入它们的口令并插入智能卡到柜中。智能卡保持第一部分解密密钥并且口令包括第二部分密钥,它们一起产生一个解密密钥,使得特定的解密的应用程序可被执行或者使得加密的数据被读出。
GB-A-2329499是通常的情况的一种例子,其中希望访问本地数据或服务的可信任的用户控制着相关的解码器密钥或部分密钥。控制密钥的请求者的这一特征在远程保密通信例子中也通常是真实的,在这些例子中解密性能(或功能码或功能键或两者)与加密的数据一起被传送到接收器装置,使得数据在接收时被解密。
发明内容
在第一方面,本发明提供一种控制对数据的访问的方法,包括:
响应于来自请求者的对于以编码形式存储在第一数据处理装置上的编码数据的访问的请求,从第一数据处理装置上的解码控制器向第二数据处理装置发送请求以确定访问所述编码数据的解码处理的属性;
响应于对第二数据处理装置的所述请求,第一数据处理装置在所述解码控制器接收所述确定的属性;
在第一数据处理装置根据确定的属性执行解码处理,并且所述解码控制器和任何接收到的解码属性与请求者相互隔离。
由于要求对第二数据处理装置的请求确定解码处理的属性,第二数据处理装置具有一定程度的控制对存储在第一数据处理装置(例如,在易失性存储器或非易失性盘存储器)上的数据的访问。因此第二数据处理装置为了检查跟踪的目的能记录数据访问操作并能被用于执行附加的保密机制。
远程系统对本地存储的数据访问的控制不同于传统的数据访问控制方法,这些传统方法通常仅使用与本地存储的数据相关的本地执行的访问控制。在传统的方法中,如果把加密用于在网络通信期间保护数据,那么在传送数据时,解密处理通常完全限定在本地数据处理装置处。
应注意本发明不要求用户数据访问请求与发送到第二数据处理装置的请求之间是一一对应的关系。可以仅在用户希望访问具有阈值之上的保密水平的数据时或者数据具有不同于当前授权的保密类别的保密类别时发生与第二数据处理装置的通信。解码控制器优选地确定何时对第二数据处理装置发送请求,以确定解码属性,并且这可包括许多用户对第二数据处理装置的一个请求或多个应用程序请求,或者包括一个用户对第二数据处理装置的多个请求或应用程序请求。
甚至在它们被解码控制器接收到并被存储在第一数据处理装置的易失性存储器上时,解码属性都优选被保持为对请求者是不可访问的(屏蔽的),意思是请求者不能读出或存储关于属性的任何细节。请求者可利用解码处理,从而使用处理的属性,但是从不能对属性进行直接访问或控制。这是不同于解密、验证和解压缩的传统的应用的,在那些情况下,请求者可直接访问各个密码符、验证符和压缩符分量。在本文中“请求者”可是应用程序或个人。
优选地,解码处理的属性仅响应于来自特定请求者的对特定存储的数据组块或队列的访问的请求确定,仅对于特定的请求来确定属性并且从不把属性传送到第一数据处理装置的非易失性存储器,而是仅保持在易失性存储器中,属性的细节是不可见的或不能由请求者所保留。尤其,没有向请求者应用程序提供用于访问属性的机制,并且在每个请求者的对话结束时从易失性主存储器中删除这些属性。这意味着属性确定对于当前请求者的对话是特定的,根据本发明的这一实施例,对于随后的要求访问相同的数据的或者相同保密水平的其它数据的请求者的对话必须重复对第二数据处理装置的请求。这有助于第二数据处理装置保持数据访问的记录并且还有助于提供对每一会话的保密控制。
请求者验证可作为由解码处理分离开的步骤来执行,以仅在成功地验证请求者后才执行解码,或者作为解码处理的一个步骤来执行。解码优选地包括存储在第一数据处理装置上的加密数据的解密。
在本发明的一个优选实施例中,解码处理的属性包括标识符:如果有的话,则是用在加密中的或解密所需要的加密符;如果有的话,则是用在压缩中的或解压缩需要的压缩符;和用于请求者验证的验证符。在确定处理分量的这些标识符后,如果执行这些处理分量的程序代码可在本地装置上利用,则解码控制器能开始执行解码处理。解码控制器优选地检查是否识别出的编码是本地可利用的,如果不是,开始从第二数据处理装置上以保密方式(例如加密或数字地加符号的)下载编码。
另外,从第二数据处理装置获得的属性可附加地或选择地包括实施解码(如加密符算法、压缩符算法和验证符算法或其它的处理组成部分)的程序代码。这些属性可附加地或选择地包括一个或多个解密密钥或验证密钥。
根据一个实施例实施本发明的保密机制要求第一数据处理装置的用户输入个人标识和口令,和/或一个或多个解码密钥或部分密钥,用于用户验证。该机制可要求输入多个部分密钥,这些密钥每一个由不同的人来保持,例如如果金融顾问持有第一部分密钥,并且他的每个顾客持有第二部分密钥,则要求两者来建立对话,在该对话与顾客相关的保密数据是可访问的。这样,要求网络通信来执行解码时,使得数据访问的远程登录是可能的,顾客具有控制网络通信自身或随后的解码处理。这个例子表明本发明可用于控制对本地存储的数据的访问,使得如果仅对于当前对话能够访问,则必须让顾客验证该对话,顾客是保密的,从而甚至在数据被存储在数据的提供者或金融顾问所拥有的计算机上时,他们的数据的保密性也受到保护。本地数据访问的远程登录请求和审核提供随后的确认。
本发明有附加的优点是不需要第一数据处理装置(可以是PDA或仅带有有限的存储资源的其它小型计算设备)上的复杂的数据分割。由于本发明的数据访问机制可用于实现对不同数据项的独立访问,即使这些数据项被存储在通常的数据组块中,对其存在不同访问权的数据可被存储在通常的数据组块中或队列中,而不需要保密分割成数据存储结构的一部分。
在第二方面,本发明提供一种数据处理装置,包括:
处理单元;
数据存储装置;
通信装置,用于经网络从可连接于所述数据处理装置的数据处理系统发送和接收通信;和
解码控制器,响应于来自请求者的对以编码的形式存储在所述数据存储装置中的编码数据访问的请求,经所述通信装置发送请求到另一个数据处理装置以确定访问所述编码数据的解码处理的属性以及经所述通信装置接收所述确定的属性;
其中解码控制器适合于控制处理单元的操作来根据确定的属性执行解码处理,并且所述解码控制器和任何接收到的解码属性与请求者相互隔离。
根据本发明的一个优选的实施例,参考上面的第二数据处理装置当用于实施本发明时具有下面的组件:处理单元;存储一个或多个解码处理的属性的数据存储单元,该处理与以编码的形式存储在第一数据处理装置上的特定的数据相关;一个访问控制器组件,用于响应于来自第一数据处理装置上的解码控制器的请求,从数据存储装置检索存储的属性并发送检索的属性到解码控制器。
属性可被保持在队列定义数据库中,该数据库在网络内或是集中保持的或是分布式的,为的是可从运行上述的解码控制器的所有的数据处理系统对其进行访问。
在本发明的一个实施例中,其中第一数据处理装置上的数据可跨网络从第三数据处理装置来发送,第三数据处理装置包括编码控制器,能够从第二数据处理装置获得属性并在跨网络把数据发送到第一数据处理装置之前使用该属性来编码数据。
在第三方面,本发明提供一种数据处理系统,包括根据本发明第二方面的第一数据处理装置,和一个第二数据处理装置,所述第一数据处理装置与所述第二数据处理装置通过通信介质相连接:
所述第二数据处理装置包括:
处理单元;
数据存储装置存储一个或多个解码处理的属性,该解码处理与以编码的形式存储在所述第一数据处理装置上的特定的数据相关;和
一个访问控制器组件,用于响应于来自所述第一数据处理装置的请求,从所述数据存储装置检索存储的属性,并用于发送检索的属性到所述第一数据处理装置。
在第四方面,本发明提供一种计算机程序实施功能,用于控制数据处理装置的操作,在数据处理装置上程序运行来执行下面的用于控制对编码的数据的访问的方法中的步骤:响应于来自请求者的对于以编码形式存储在第一数据处理装置上的数据的访问的请求,从第一数据处理装置上的解码控制器发送请求到第二数据处理装置以确定用于访问编码的数据的解码处理的属性;响应于对第二数据处理装置的所述请求,在所述解码控制器处接收所述确定的属性;根据确定的属性执行解码处理。
本发明可作为包括计算机可读出记录媒体的程序产品来实施,该媒体具有记录其上的计算机可读出的程序代码,程序代码实施用于控制数据处理装置的操作的功能,在该数据处理装置上运行程序代码来执行上述方法的步骤。解码控制器和访问控制器组件的每一个可以独立的计算机程序产品来实施,用于在不同的数据处理装置上来运行,以提供对编码的存储数据的访问的改进的控制。
附图说明
本发明的优选实施例将参考附图以举例的方式进行具体描述,其中:
图1是数据处理系统网络的示意图,其中可实施本发明;
图2表示根据本发明的一个实施例的访问控制方法的步骤。
具体实施方式
参考图1,本发明在经数据通信网络30连接起来的第一数据处理装置10和第二数据处理装置20中是可实施的。第一数据处理装置10可以是任何数据处理设备或系统,如台式、膝上型或手掌大小的计算设备、交互式电视机或机顶盒、个人数字助理(PDA)、移动电话或交通工具或任何其它装置内的内置式处理设备。第一数据处理装置有利地包括处理单元、包括易失性存储器和辅助存储器的数据存储装置、内部通信总线和外部通信连接、一个或多个输入设备和显示器。
本发明尤其适用于移动数据处理设备,因为对存储在这些设备上的数据保持保密性中所固有的问题比办公室设备中更明显。另外,移动设备中的可利用的数据存储源通常比办公室式计算机更受限制,从而尤其对于移动设备不需要无效分割数据的保密模式。
第二数据处理装置可以是任何数据处理设备或系统,从而数据通信网络可是异机种的网络,其中连接了多种不同类型的数据处理装置,如例如互联网或内联网。
可把若干计算机程序安装在图1的第一数据处理装置10中,包括操作系统软件40、数据访问管理器程序50和一个或多个应用程序60。在本发明的第一实施例中,数据访问管理器程序50是队列管理器程序,其使用异步消息和排队来管理应用程序之间跨异机种的网络的消息(和由此相互操作)的可靠通信。
队列管理器程序50处理从位于相同或其它数据处理装置上的应用程序60接收的消息的跨网络的传送,把接收到的消息存储在用于各个应用程序的输入消息队列80上,并在应用程序准备好时处理随后的从输入队列检索的存储的消息,以由本地应用程序60来处理。队列管理器还处理消息经输出队列(或“传送队列”)和经与其它系统100上的接收者代理90’(“消息信道代理”)合作的本地系统上的发送代理90(或“消息信道代理”)的从本地应用程序向其它数据处理装置上的远程应用的发送。
消息排队和商业可应用的消息排队产品在1994年在MeGraw-Hill由B.Blakeley,H.Harris&R.Lewis在“使用MQI通信和排队”中进行了说明,在下面的可由IBM公司利用的出版物中也进行了说明:“消息传送和排队导言”(IBM文件序号GC33-0805-00)以及“MQSeries-消息队列接口技术参考”(IBM文件序号SC33-0850-01)。计算机经其使用消息排队来通信的网络可以是互联网、内联网或任何计算机或数据通信网络。IBM和MQSeries是IBM公司的商标。
IBM的MQSeries消息传送软件产品提供交易通信支持,在根据消息传送协议工作的逻辑单元内同步化消息,该协议甚至在系统或通信失效的情况下确保一次并且仅一次的消息传递。MQSeries产品通过最终不从发送者系统上的存储器删除消息而提供有保障的传递,直到确认该消息被接收器系统并且通过使用复杂的恢复设施安全地存储下来。一确认了成功存储,在提交消息发送之前,消息从发送者系统处的存储器删除以及在接收器系统处插入到存储器都被保持“怀疑”,并且在失效情况下可自动被返回。这个消息传输协议和相关的交易概念与恢复设施在国际专利申请WO95/10805和美国专利US5465328中进行了描述,这两篇文献被添加来作为参考。
MQSeries产品提供的消息排队程序问通信支持使得各个应用程序能够发送消息到任何一个其它的目标应用程序的输入队列,并且各个目标应用可异步地从其输入队列中取出这些消息来进行处理。这提供应用程序之间有保障的消息传递,这些应用程序可在分布式异机种计算机网络上传播,但是在应用程序之间的可能互联图中很复杂。
本发明能够提供附加数据访问控制,包括数据访问和/或改进的保密性的记录,以增强上述消息传递机制。
根据本发明的第一实施例的队列管理器程序50包括解码控制器组件70。将参考使用请求访问保持在应用程序的输入队列80中的消息的请求者应用程序60的例子对解码控制器组件的结构和功能实施具体描述。
当应用程序60’发出“PutMessage(输入消息)”API呼叫来发送消息到目标队列80(为了由目标应用程序60进行随后的检索)时,发送者系统上的队列管理器50’处理消息向网络的下一个节点的传输,该网络把发送者和目标系统相互连接。这包括访问用于目标队列80的队列定义110的发送者系统100的队列管理器50’以确定需要什么保密属性。例如,各个消息队列的保密属性可在数据库中限定,如可由网络中的所有队列管理器程序访问的分布式LDAP目录。数据库被存储在远程数据处理装置20上。如果用于目标队列的队列定义110包括一个或多个特定加密符120的标识(例如3DES),压缩符130(例如,游程长度编码)或验证符140(例如,SHA或MD5),然后发送者队列管理器50’在经网络发送消息之前应用需要的加密、压缩或验证。
如上所述,应用程序60经本地数据处理装置10上的队列管理器程序50请求访问它的输入队列中的消息。应用程序发出“GetMessage(得到消息)”API呼叫并且队列管理器识别出队列中的下一个消息。假设消息在经网络传送之前被编码,应用程序不能访问消息数据,直到已经执行了解码处理。在应用程序的直接控制下不能执行解码,因为应用程序不能确定什么编码处理或已经使用了处理。即使应用程序或应用程序的用户已经有相关的解密密钥,这一点也是真实的。
用于与实施解码控制器70的并执行解码处理的队列管理器程序50通信的请求者应用的唯一机制是经API呼叫限定的API(应用编程接口-未示出)。API不提供用于应用程序访问队列的保密属性的任何方式。从应用看,对队列保密属性的访问经下面的机制不可见地来执行。
对于应用程序或用户也是不可见的,开始在本地装置上不可利用对需要的解码处理的完整定义。本地数据处理装置上的输入消息队列包括类别属性150。属性类别加密保密属性类别密码符160、压缩符170和验证符180。对于当前对话中的第一次,在请求者应用程序发出“得到消息”以从特定的队列检索消息时,队列管理器生成类别属性的一种情况,但是此时类别密码符、压缩符和验证符的情况的特性不被完全定义在本地装置上。保密属性类别的情况仅包括对第二数据处理装置上的远程队列定义的参考。
当发出“GetMessage(得到消息)”时,在本地装置上已经可利用相关密码符、压缩符和验证符的完整定义的情况下,解码控制器组件70检查本地数据处理装置10的高速缓冲存储器190。注意到如果这是在当前应用程序或用户对话中的第一数据访问请求,那么在本地装置上通常还不能利用队列和消息属性的完整定义(由于在对话之间保密属性最好不在本地装置上保留)。但是,本发明与这样的方案是兼容的,其中临界保密水平被限定,并且具有临界值以下的保密水平的某些消息队列把它们的保密属性完全定义在本地数据处理装置上而不依赖于用于特定的通信对话的远程存储的属性的检索。但是,本发明可用于提供一种机制,用于发送请求到第二数据处理系统,以确定用于具有这种临界值以上的保密水平的消息队列的属性。如果这不是当前应用或用户对话的第一数据访问请求,那么队列属性可以在本地高速缓冲存储器中。
注意在上面的描述中,不动态地对每个对话协商保密属性,在本发明的第一实施例中,预定的保密属性对于每个对话独立地来检索。但是,对各个队列的保密属性或解码密钥可周期地被改变(例如每天)以降低电脑黑客裂解编码的机率的窗口。
还注意到尽管队列上的每个消息可潜在地具有与其它消息不同的保密属性,在粒度(granularity)水平上的保密控制通常由应用程序来实施而不是由队列管理器实施。本发明的第一实施例在队列水平实施保密属性。从而对于每个目标队列的队列属性的唯一一个定义(尽管可能多个复制品)被保持在队列定义的数据库中,并且这是与发送到那一队列的所有消息相关的。
当队列管理器50确定对其发出“获得消息”的消息需要解码并且确定相关的解码处理属性没有完全定义在本地数据处理装置的存储器190中时,队列管理器的解码控制器70建立与保持相关队列定义110的(例如保持至少一部分的队列定义数据库的复制品)第二数据处理装置20的通信信道。解码控制器70从第二数据处理装置发出请求来确定队列的相关保密属性。队列定义包括队列的保密属性的完整定义。从第二数据处理装置的存储器中由运行在第二数据处理装置20上的访问控制器组件200(例如数据库查找程序)检索这些属性。访问控制器组件200记录下对队列属性的请求并且该属性被返回到第一数据处理装置上的解码控制器70。属性被接收到并被存储在第一数据处理系统10上的易失性存储器190中。
这样,在与第二数据处理装置100通信之前,本地队列80包含实际的消息数据(例如,经指示器到本地盘存储器210),但是,用于本地队列的保密属性160、170、180没有被完全定义在本地数据处理装置上(参考在这一阶段的远程队列定义110,保密属性160、170、180是空的),而远程数据处理装置20保持用于队列80的完全的保密属性定义115,而且通常不保持排队的消息的拷贝。
已经接收到属性后,如果实施解码的程序代码当前在第一数据处理装置上是可利用的,第一数据处理装置10上的队列管理器50的解码控制器70能实施解码处理。注意到在本发明的第一实施例中,队列定义的保密属性仅是编码/解码算法的识别符—编码/解码程序代码被分开并且可永久地保持在第一数据处理装置上,或者在需要时动态地从服务器来下载。还与属性分开的是需要用于解密或验证的解码器密钥,这些密钥被安全地在用户之间或在交互操作的应用程序之间进行互换。
一接收到属性,解码控制器70检查用于识别出的解码处理的相关程序代码当前是否可在第一数据处理装置上利用(“本地”可利用),如果不能,它开始从第二数据处理装置20或另一个数据处理装置上的编码库下载需要的程序代码。
本地找到解码程序代码或下载它后,现在解码控制器能够使用这个编码执行解码处理。当当前用户对话或应用程序对话结束时,检索的保密属性从第一数据处理装置10的易失性存储器190删除,使得在第一数据处理装置上不保留保密属性的记录。由于从易失性存储器190删除该属性并且该属性从不会被传送到第一数据处理系统的非易失性盘存储器210,必须对于每一个对话重复网络通信,使得按对话地来跟踪数据访问,并且确保加强对每一个对话的任何保密控制如验证检查或解密,还通过仅参考本地存储的消息不绕过任何保密控制。
有利地是,使用解码处理的第一步骤能使用检索的属性识别出的验证符执行用户验证。另外,用户验证可较早实施,或者在向第二数据处理装置发送请求之前验证用户为第一数据处理装置的授权用户,或者在第二数据处理装置上的访问控制器提供请求的属性之前在第二数据处理装置上进行验证。下一步骤能够解密加密的消息,然后再一个步骤能够解压缩压缩的数据。
这样,本发明能够进行与远程访问控制特征兼容的保密控制,以用若干不同方式来实施。本发明可与已知的保密特征组合来实施。
在本发明的另一个实施例中,实施解密、解压缩和验证的实际程序代码可作为属性被存储在队列定义数据库中,不是仅存储标识符作为属性。解码密钥、尤其是公共密钥可同样地是存储在队列定义数据库中的属性。
本发明的实施例在控制对使用消息排队经网络来发送的数据的访问的情况中进行了如上的描述。本发明同样可实施来响应于用户或软磁盘或CD-ROM的数据输入控制对不经网络进行传输的而是被存储在当前用户或应用对话范围之外的数据处理装置上的数据的访问。在这种情况中,本发明有相同的优点:控制对本地保持的数据的访问以进行审核或改进保密性。
这样,本发明提供一种机制,用于控制本地用户或应用的对存储(例如在队列中)在客户设备上的数据的访问,这是不同于在服务器计算机处的对保持在服务器上的数据的访问的通常控制的。解码客户系统上的数据需要的处理的特征不完全被定义在客户设备上,直到执行了与服务器的通信,并且甚至优选地不可见对请求应用的完全的处理定义,并且该定义仅被完全定义在用于当前请求者对话的客户设备上,从而在客户设备是离线时数据是不可访问的,即使服务器不保持那一数据的拷贝,服务器计算机能控制并记录对存储在客户设备上的数据的访问。
在本发明的特定实施例中,可要求在第一数据处理装置上和在发送者数据处理装置上开始消息传输的处理完全定义用于数据编码和随后的数据访问的保密属性。例如,不仅仅识别和应用预定的编码和解码处理,可参考关于许可的加密强度的规则使用密码符协商,如在UK专利申请GB9907303.4所述的那样(IBM参考UK999021),该文献组合在这里来作为参考。另外,参考发送和接收系统的性能可以协商属性,如加密符、压缩符或其它服务属性的质量。
在上述的例示的实施例,操作系统软件40和数据访问管理器50作为独立的组件来描述。在另一个实施例中,数据访问管理器和操作系统可作为单一计算机程序实施。从而,数据访问管理器功能可仅是实施本发明的软件产品的功能的一个方面。
Claims (13)
1.一种控制对数据的访问的方法,包括:
响应于来自请求者的对于以编码形式存储在第一数据处理装置上的编码数据的访问的请求,从第一数据处理装置上的解码控制器向第二数据处理装置发送请求以确定访问所述编码数据的解码处理的属性;
响应于对第二数据处理装置的所述请求,第一数据处理装置在所述解码控制器接收所述确定的属性;
在第一数据处理装置根据确定的属性执行解码处理,并且所述解码控制器和任何接收到的解码属性与请求者相互隔离。
2.根据权利要求1的方法,其中请求者经应用编程接口与数据访问管理器通信,该数据访问管理器包括所述解码控制器。
3.根据权利要求1的方法,其中接收到的属性在被接收到时被存储在第一数据处理装置的易失性存储器中,并且在当前请求者对话的结束时从所述存储器将其删除,从而,对于每个请求者对话都必须重复一个请求,该请求用以确定解码处理的属性,每个请求者对话都要求对所述编码数据的访问。
4.根据前面任何一项权利要求的方法,其中解码处理的确定的属性包括一个或多个标识符:用在加密中的或解密所需要的加密符;用在压缩中的和解压缩需要的压缩符;和用于请求者验证的验证符。
5.根据权利要求4的方法,在接收所述确定的属性后,包括步骤:
检查实施所述识别出的加密符、压缩符和验证符的程序代码是否被存储在第一数据处理装置上;并且如果没有,开始从第二数据处理装置或另一个数据处理装置下载各个程序代码。
6.根据权利要求4的方法,其中解码处理的确定的属性包括实施解码处理的程序代码。
7.根据权利要求4的方法,其中解码处理的确定的属性包括用在解密或验证中的一个或多个解码密钥。
8.根据权利要求4的方法,包括在第二数据处理装置处记录所述请求以确定属性。
9.根据权利要求4的方法,包括在确定解码处理的属性之前对于第二数据处理装置的请求者进行验证。
10.一种数据处理装置,包括:
处理单元;
数据存储装置;
通信装置,用于经网络从可连接于所述数据处理装置的数据处理系统发送和接收通信;和
解码控制器,响应于来自请求者的对以编码的形式存储在所述数据存储装置中的编码数据访问的请求,经所述通信装置发送请求到另一个数据处理装置以确定访问所述编码的数据的解码处理的属性以及经所述通信装置接收所述确定的属性;
其中解码控制器适合于控制处理单元的操作来根据确定的属性执行解码处理,并且所述解码控制器和任何接收到的解码属性与请求者相互隔离。
11.一种数据处理系统,包括权利要求10的一种数据处理装置,所述数据处理装置称为第一数据处理装置,和一个第二数据处理装置,所述第一数据处理装置与所述第二数据处理装置通过通信介质相连接:
所述第二数据处理装置包括:
处理单元;
数据存储装置存储一个或多个解码处理的属性,该解码处理与以编码的形式存储在所述第一数据处理装置上的特定的数据相关;和
一个访问控制器组件,用于响应于来自所述第一数据处理装置的请求,从所述数据存储装置检索存储的属性,并用于发送检索的属性到所述第一数据处理装置。
12.根据权利要求11的数据处理系统,其特征在于所述第二数据处理装置还包括用于记录所述请求以确定属性的装置。
13.根据权利要求11或1 2的数据处理系统,其特征在于所述第二数据处理装置还包括用于在检索解码处理的存储的属性之前验证请求者的装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB9930793.6 | 1999-12-22 | ||
GB9930793A GB2364139B (en) | 1999-12-22 | 1999-12-22 | A security mechanism providing access control for locally-held data |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1304099A CN1304099A (zh) | 2001-07-18 |
CN1156765C true CN1156765C (zh) | 2004-07-07 |
Family
ID=10867146
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB001359711A Expired - Fee Related CN1156765C (zh) | 1999-12-22 | 2000-12-19 | 对本地保持的数据提供访问控制的保密机制 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20010007128A1 (zh) |
CN (1) | CN1156765C (zh) |
GB (1) | GB2364139B (zh) |
Families Citing this family (71)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7546337B1 (en) | 2000-05-18 | 2009-06-09 | Aol Llc, A Delaware Limited Liability Company | Transferring files |
US7366779B1 (en) | 2000-06-19 | 2008-04-29 | Aol Llc, A Delaware Limited Liability Company | Direct file transfer between subscribers of a communications system |
US20030065922A1 (en) * | 2001-09-28 | 2003-04-03 | Fredlund John R. | System and method of authenticating a digitally captured image |
US7240211B2 (en) * | 2001-10-09 | 2007-07-03 | Activcard Ireland Limited | Method of providing an access request to a same server based on a unique identifier |
US20030140052A1 (en) * | 2001-12-18 | 2003-07-24 | Shawn Thomas | Method and system for asset transition quality control |
US8533597B2 (en) * | 2003-09-30 | 2013-09-10 | Microsoft Corporation | Strategies for configuring media processing functionality using a hierarchical ordering of control parameters |
JP4934471B2 (ja) * | 2007-03-28 | 2012-05-16 | キヤノン株式会社 | データ通信システム |
US10057641B2 (en) * | 2009-03-25 | 2018-08-21 | Sony Corporation | Method to upgrade content encryption |
CN102262633B (zh) * | 2010-05-27 | 2012-11-28 | 武汉力龙数码信息科技有限公司 | 一种面向全文检索的结构化数据安全检索方法 |
US9436838B2 (en) * | 2012-12-20 | 2016-09-06 | Intel Corporation | Secure local web application data manager |
US9384033B2 (en) | 2014-03-11 | 2016-07-05 | Vmware, Inc. | Large receive offload for virtual machines |
US9742682B2 (en) * | 2014-03-11 | 2017-08-22 | Vmware, Inc. | Large receive offload for virtual machines |
US9755981B2 (en) | 2014-03-11 | 2017-09-05 | Vmware, Inc. | Snooping forwarded packets by a virtual machine |
CN105787376A (zh) * | 2014-12-26 | 2016-07-20 | 深圳市中兴微电子技术有限公司 | 一种数据安全存取方法和装置 |
CN104778077B (zh) * | 2015-04-27 | 2018-03-27 | 华中科技大学 | 基于随机和连续磁盘访问的高速核外图处理方法及系统 |
US11153319B2 (en) * | 2015-10-21 | 2021-10-19 | Okta, Inc. | Flexible implementation of user lifecycle events for applications of an enterprise |
CN105426239A (zh) * | 2015-11-03 | 2016-03-23 | 大唐微电子技术有限公司 | 一种在Java卡中实现本地方法调用的方法及装置 |
CN105809059B (zh) * | 2016-03-11 | 2019-02-01 | 广东正全科技股份有限公司 | 一种对象属性伪装转化的方法及其系统 |
US9838377B1 (en) * | 2016-05-11 | 2017-12-05 | Oracle International Corporation | Task segregation in a multi-tenant identity and data security management cloud service |
US10878079B2 (en) | 2016-05-11 | 2020-12-29 | Oracle International Corporation | Identity cloud service authorization model with dynamic roles and scopes |
US9838376B1 (en) | 2016-05-11 | 2017-12-05 | Oracle International Corporation | Microservices based multi-tenant identity and data security management cloud service |
US10581820B2 (en) | 2016-05-11 | 2020-03-03 | Oracle International Corporation | Key generation and rollover |
US10425386B2 (en) | 2016-05-11 | 2019-09-24 | Oracle International Corporation | Policy enforcement point for a multi-tenant identity and data security management cloud service |
US10341410B2 (en) | 2016-05-11 | 2019-07-02 | Oracle International Corporation | Security tokens for a multi-tenant identity and data security management cloud service |
US9781122B1 (en) | 2016-05-11 | 2017-10-03 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
US10454940B2 (en) | 2016-05-11 | 2019-10-22 | Oracle International Corporation | Identity cloud service authorization model |
US9934623B2 (en) * | 2016-05-16 | 2018-04-03 | Wi-Tronix Llc | Real-time data acquisition and recording system |
US10530578B2 (en) | 2016-08-05 | 2020-01-07 | Oracle International Corporation | Key store service |
US10735394B2 (en) | 2016-08-05 | 2020-08-04 | Oracle International Corporation | Caching framework for a multi-tenant identity and data security management cloud service |
US10255061B2 (en) | 2016-08-05 | 2019-04-09 | Oracle International Corporation | Zero down time upgrade for a multi-tenant identity and data security management cloud service |
US10721237B2 (en) | 2016-08-05 | 2020-07-21 | Oracle International Corporation | Hierarchical processing for a virtual directory system for LDAP to SCIM proxy service |
US10516672B2 (en) | 2016-08-05 | 2019-12-24 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
US10585682B2 (en) | 2016-08-05 | 2020-03-10 | Oracle International Corporation | Tenant self-service troubleshooting for a multi-tenant identity and data security management cloud service |
US10263947B2 (en) | 2016-08-05 | 2019-04-16 | Oracle International Corporation | LDAP to SCIM proxy service |
US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
US10511589B2 (en) | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
US10846390B2 (en) | 2016-09-14 | 2020-11-24 | Oracle International Corporation | Single sign-on functionality for a multi-tenant identity and data security management cloud service |
US10791087B2 (en) | 2016-09-16 | 2020-09-29 | Oracle International Corporation | SCIM to LDAP mapping using subtype attributes |
US10567364B2 (en) | 2016-09-16 | 2020-02-18 | Oracle International Corporation | Preserving LDAP hierarchy in a SCIM directory using special marker groups |
US10484243B2 (en) | 2016-09-16 | 2019-11-19 | Oracle International Corporation | Application management for a multi-tenant identity cloud service |
US10445395B2 (en) | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
WO2018053258A1 (en) | 2016-09-16 | 2018-03-22 | Oracle International Corporation | Tenant and service management for a multi-tenant identity and data security management cloud service |
US10341354B2 (en) | 2016-09-16 | 2019-07-02 | Oracle International Corporation | Distributed high availability agent architecture |
US10904074B2 (en) | 2016-09-17 | 2021-01-26 | Oracle International Corporation | Composite event handler for a multi-tenant identity cloud service |
US10261836B2 (en) | 2017-03-21 | 2019-04-16 | Oracle International Corporation | Dynamic dispatching of workloads spanning heterogeneous services |
US10454915B2 (en) | 2017-05-18 | 2019-10-22 | Oracle International Corporation | User authentication using kerberos with identity cloud service |
US10313926B2 (en) | 2017-05-31 | 2019-06-04 | Nicira, Inc. | Large receive offload (LRO) processing in virtualized computing environments |
US10348858B2 (en) | 2017-09-15 | 2019-07-09 | Oracle International Corporation | Dynamic message queues for a microservice based cloud service |
US10831789B2 (en) | 2017-09-27 | 2020-11-10 | Oracle International Corporation | Reference attribute query processing for a multi-tenant cloud service |
US11271969B2 (en) | 2017-09-28 | 2022-03-08 | Oracle International Corporation | Rest-based declarative policy management |
US10834137B2 (en) | 2017-09-28 | 2020-11-10 | Oracle International Corporation | Rest-based declarative policy management |
US10705823B2 (en) | 2017-09-29 | 2020-07-07 | Oracle International Corporation | Application templates and upgrade framework for a multi-tenant identity cloud service |
US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
US10931656B2 (en) | 2018-03-27 | 2021-02-23 | Oracle International Corporation | Cross-region trust for a multi-tenant identity cloud service |
US11165634B2 (en) | 2018-04-02 | 2021-11-02 | Oracle International Corporation | Data replication conflict detection and resolution for a multi-tenant identity cloud service |
US10798165B2 (en) | 2018-04-02 | 2020-10-06 | Oracle International Corporation | Tenant data comparison for a multi-tenant identity cloud service |
US11258775B2 (en) | 2018-04-04 | 2022-02-22 | Oracle International Corporation | Local write for a multi-tenant identity cloud service |
US11012444B2 (en) | 2018-06-25 | 2021-05-18 | Oracle International Corporation | Declarative third party identity provider integration for a multi-tenant identity cloud service |
US10764273B2 (en) | 2018-06-28 | 2020-09-01 | Oracle International Corporation | Session synchronization across multiple devices in an identity cloud service |
US11693835B2 (en) | 2018-10-17 | 2023-07-04 | Oracle International Corporation | Dynamic database schema allocation on tenant onboarding for a multi-tenant identity cloud service |
US11321187B2 (en) | 2018-10-19 | 2022-05-03 | Oracle International Corporation | Assured lazy rollback for a multi-tenant identity cloud service |
US11651357B2 (en) | 2019-02-01 | 2023-05-16 | Oracle International Corporation | Multifactor authentication without a user footprint |
US11061929B2 (en) | 2019-02-08 | 2021-07-13 | Oracle International Corporation | Replication of resource type and schema metadata for a multi-tenant identity cloud service |
US11321343B2 (en) | 2019-02-19 | 2022-05-03 | Oracle International Corporation | Tenant replication bootstrap for a multi-tenant identity cloud service |
US11669321B2 (en) | 2019-02-20 | 2023-06-06 | Oracle International Corporation | Automated database upgrade for a multi-tenant identity cloud service |
US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
US11611548B2 (en) | 2019-11-22 | 2023-03-21 | Oracle International Corporation | Bulk multifactor authentication enrollment |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5237614A (en) * | 1991-06-07 | 1993-08-17 | Security Dynamics Technologies, Inc. | Integrated network security system |
JP3073590B2 (ja) * | 1992-03-16 | 2000-08-07 | 富士通株式会社 | 電子化データ保護システム、使用許諾者側装置および使用者側装置 |
EP0632397A3 (en) * | 1993-07-02 | 1995-08-16 | Nippon Telegraph & Telephone | Book data service system with data delivery by broadcast. |
US5625690A (en) * | 1993-11-15 | 1997-04-29 | Lucent Technologies Inc. | Software pay per use system |
US5754646A (en) * | 1995-07-19 | 1998-05-19 | Cable Television Laboratories, Inc. | Method for protecting publicly distributed software |
US20040167857A1 (en) * | 1995-12-20 | 2004-08-26 | Nb Networks | Systems and methods for prevention of peer-to-peer file sharing |
CA2271012A1 (en) * | 1996-11-25 | 1998-06-04 | Hyperlock Technologies, Inc. | Method for securely triggering the playing of crippled local media through the web |
US6421726B1 (en) * | 1997-03-14 | 2002-07-16 | Akamai Technologies, Inc. | System and method for selection and retrieval of diverse types of video data on a computer network |
GB2324935A (en) * | 1997-05-01 | 1998-11-04 | Motorola Ltd | Prevention of unauthorised data download |
EP1650757A1 (en) * | 1997-05-13 | 2006-04-26 | Kabushiki Kaisha Toshiba | Information ciphering method and apparatus, information reproducing method and apparatus |
US7103574B1 (en) * | 1999-03-27 | 2006-09-05 | Microsoft Corporation | Enforcement architecture and method for digital rights management |
US6625734B1 (en) * | 1999-04-26 | 2003-09-23 | Disappearing, Inc. | Controlling and tracking access to disseminated information |
-
1999
- 1999-12-22 GB GB9930793A patent/GB2364139B/en not_active Expired - Fee Related
-
2000
- 2000-12-19 CN CNB001359711A patent/CN1156765C/zh not_active Expired - Fee Related
- 2000-12-21 US US09/745,863 patent/US20010007128A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20010007128A1 (en) | 2001-07-05 |
GB2364139B (en) | 2004-05-26 |
GB2364139A (en) | 2002-01-16 |
CN1304099A (zh) | 2001-07-18 |
GB9930793D0 (en) | 2000-02-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1156765C (zh) | 对本地保持的数据提供访问控制的保密机制 | |
US8301896B2 (en) | Multi-level file digests | |
CN111783075B (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
US6665709B1 (en) | Method, apparatus, and system for secure data transport | |
US7475258B2 (en) | Exclusive encryption | |
CN1833398B (zh) | 安全数据解析器方法和系统 | |
CN1176564C (zh) | 使移动设备符合法律规定 | |
CN1218598C (zh) | 移动通信装置和数据隐蔽方法 | |
CN1299182C (zh) | 便携盒式数据存储器的无线安全访问管理系统和方法 | |
US11943350B2 (en) | Systems and methods for re-using cold storage keys | |
US7725716B2 (en) | Methods and systems for encrypting, transmitting, and storing electronic information and files | |
US20030081790A1 (en) | System for ensuring data privacy and user differentiation in a distributed file system | |
US20070057048A1 (en) | Method and/or system to authorize access to stored data | |
US20020178366A1 (en) | Method for performing on behalf of a registered user an operation on data stored on a publicly accessible data access server | |
US20070055891A1 (en) | Protocol translation | |
EP1176507A2 (en) | Information processing method, inter-task communication method, and computer-executable program for the same | |
CN1679066A (zh) | 网络连接加密 | |
CN1675878A (zh) | 用于保护存储内容的移动网络鉴权 | |
CN1697367A (zh) | 一种用于通过通信网络不暴露专用数据对密码保护的专用数据进行恢复的方法和系统 | |
CN1690910A (zh) | 文件锁定器和提供及使用文件锁定器的机制 | |
WO2000065766A2 (en) | Controlling and tracking access to disseminated information | |
WO2004042537A2 (en) | System and method for securing digital messages | |
CN1304610A (zh) | 用于保密数据传送系统的保密方法和设备 | |
CN114092039A (zh) | 一种基于区块链的可配置流程审批方法及系统 | |
CN1488117A (zh) | 内容分布系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C19 | Lapse of patent right due to non-payment of the annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |