CN1859086A - 一种内容分级访问控制系统和方法 - Google Patents
一种内容分级访问控制系统和方法 Download PDFInfo
- Publication number
- CN1859086A CN1859086A CN 200510048284 CN200510048284A CN1859086A CN 1859086 A CN1859086 A CN 1859086A CN 200510048284 CN200510048284 CN 200510048284 CN 200510048284 A CN200510048284 A CN 200510048284A CN 1859086 A CN1859086 A CN 1859086A
- Authority
- CN
- China
- Prior art keywords
- key
- attribute class
- attribute
- content
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种内容分级访问控制系统和方法。该系统包括内容发布子系统和内容使用子系统;所述内容发布子系统逐级生成级别密钥,并使用所有级别密钥逐级加密数据记录后,发布给内容使用子系统;内容发布子系统根据使用者权限信息,设置使用者的控制密钥和级别密钥,并将上述信息生成密钥集合发布给内容使用子系统;内容使用子系统判断接收到的密钥集合是否设置有控制密钥,如果有则用自身生成的所有级别密钥逐级解密数据记录,否则直接使用所述级别密钥解密数据记录。本发明的这种系统和方法设置控制密钥Kc进行权限控制,故提高了数据内容访问的安全性,为网络系统提供更为灵活的控制方式。
Description
技术领域
本发明涉及信息管理技术,尤指一种内容分级访问控制系统和方法。
背景技术
通信网络的快速发展,使得信息数据的传输、分发越来越便捷。随之而来的,对于重要的、具有高价值的数字信息内容,其安全性的保护要求也越来越高。所谓安全性保护指的是加密数据内容以保证其传输安全,或者当某个数据记录允许有多个使用者时,为上述使用者设置访问权限,使得不同的使用者在查看相同数据记录时,只能获得自身权限允许范围的内容。
针对这种安全性保护需求,Intel提出了一项有关多维内容保护的专利,该专利将数据记录按级别进行划分,并为不同级别的内容设置不同的密钥,通过高级别密钥和预定算法能够直接推导出低级别密钥。比如对于支持不同分辨率的视频数据,设置1,2,...,n这n个访问级别,每个访问级别支持的分辨率有所不同,以访问级别1为最高级别,从级别密钥1能够逐级推导出其它级别密钥,再用这些级别密钥对数据内容进行加密,比如用级别密钥n加密访问级别n的内容,依次类推。在解密时,拥有高级别密钥的使用者能够解密低于本级别的所有内容。比如使用者获得级别密钥n-1,不仅能解密出访问级别n-1的内容,还能通过推导出级别密钥n获得访问级别n的内容。但是,该方法只适用于具有严格等级定义的场景,即获得高级别密钥的使用者必定能够解密出低级别内容,故应用较为局限。对于不必体现等级的数据内容,该方法无法按照要求赋予使用者对应的访问权限,即无法将系统要求的非等级关系体现出来,故灵活性差。
此外,该方法无法控制密钥集合的使用,使用者一旦拥有某个数据记录的密钥集合,就能够不受限制地任意传输和复制该记录内容。
发明内容
有鉴于此,本发明的主要目的在于提供一种内容分级访问控制系统,以加强对密钥使用的管理和控制,提高内容访问的灵活度。
本发明的又一目的在于提供一种内容分级访问控制方法,通过权限控制使得数据内容的访问更为安全、灵活。
为达到上述目的,本发明的技术方案具体是这样实现的:
【与最后定稿的权利要求保持一致】
由上述技术方案可见,本发明的这种内容分级访问控制系统和方法,将每条数据记录按照属性类划分,比如游戏类、音乐类等,对不同的属性类数据按照预设的访问级别分别加密,并设置用于权限控制的控制密钥Kc。系统在将加密后的数据记录发布给使用者/使用组后,还会下发该使用者/使用组的密钥集合K。使用者/使用组利用密钥集合K中不同属性类数据的级别密钥和控制密钥Kc,解密出允许自身查看的数据内容。如果使用者/使用组获得控制密钥Kc,就能按照递推级别分配方式解密数据内容,否则按照单独级别分配方式解密,故该方法使得数据内容的访问更为安全、可靠,从而为网络系统提供更为灵活、适应性强的权限控制。
此外,本发明利用数字版权管理(DRM)系统对密钥集合K进行保护后,再将密钥集合K分发给使用者/使用组,增强了访问控制的安全性,通过DRM系统控制密钥集合K的获取,使得系统能够进一步限制使用者/使用组。
附图说明
图1为本发明中内容分级访问控制系统的组成结构;
图2为本发明中实现内容分级访问控制的流程;
图3为本发明一个较佳实施例中分级密钥组的生成流程;
图4为本发明一个较佳实施例中加密数据记录的流程;
图5为本发明一个较佳实施例中密钥集合K的发布流程;
图6为本发明一个较佳实施例中内容使用子系统解密数据内容的流程。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
由于网络上传输的大多数数据记录都可以划分为多个属性类,比如游戏类、音乐类等,故本发明中将待分布的所有数据记录统一划分为基本属性和多个分类属性,每个属性类可以包括一个或多个属性。其中,基本属性数据按照现有的方法进行权限控制,比如利用公钥对授予使用者查看该基本属性数据的权限,或用明文表示等,此处不再赘述。对于每个属性类或属性类中的每个属性,可以设定该属性类的总访问级数,并从中为每个属性选择一个访问级别。这样,自身级别低于该访问级别的使用者/使用组将无法查看到上述属性类数据。通过这种分级访问的方式,系统能够很好地控制不同使用者/使用组对数据记录中某属性类数据的访问情况。
表一所示的数据结构是本发明中将数据记录按照属性类划分的一个具体实例,其中每条数据记录按照多个维度划分成基本属性、属性类1、属性类2和属性类3。
内容分类 | 基本属性 | 属性类1 | 属性类2 | 属性类3 | ||||||
属性1 | 属性2 | 属性3 | 属性4 | 属性5 | 属性6 | 属性7 | 属性8 | 属性9 | ||
记录1 | …… | …… | …… | …… | …… | …… | …… | …… | …… | …… |
记录2 | …… | …… | …… | …… | …… | …… | …… | …… | …… | …… |
记录3 | …… | …… | …… | …… | …… | …… | …… | …… | …… | …… |
表一
由于基本属性是一般、公共的属性,比如某条数据记录的标识等,故使用者/使用组只要获得访问该数据记录的授权,就能查看其中的基本属性数据。在表一中,每个属性类又包括一个以上属性,比如属性类1具有属性1、属性2和属性3这三个属性,属性类数据的内容也相应地按上述设置分字段保存。
为了加强数据内容的访问控制,可以预先设置1,2,...,n这n个访问级别,其中以访问级别1为最高级别,按照每个属性类数据的重要程度、详细程度、类别或者自定义的暴露情况等,为其中的每个属性赋予一个访问级别,比如设置属性类2中属性4的访问级别为2等。
进一步地,为每个属性类设置控制权限,使得上述访问级别能够灵活地体现为包含关系或并列关系。所述控制权限包括递推级别分配和单独级别分配这两种方式,其中递推级别分配体现为包含关系,也就是使用者能够查看小于等于自身访问级别的属性类数据,比如最高级1能够查看2到n之间所有级别的属性类数据等;对于单独级别分配方式,访问级别之间体现为并列关系,使用者只能查看与自身的访问级别匹配的属性类数据,比如访问级别为2的使用者只能查看访问级别为2的属性类数据等。
设置了属性类数据的访问级别后,需要为该属性类生成对应的分级密钥组,并用密钥组中的级别密钥分别加密属性类数据中的每个属性内容。假设系统中的数据记录共划分为m个属性类,其中第i个属性类的分级密钥组为Ki={ki1,ki2,...,kin},组内的ki1、ki2和kin等对应的是属性类i中从级别1到级别n每个访问级别的级别密钥,那么所有属性类的分级密钥组的集合为{K1,K2,...,Ki,...,Km}。
进一步地,在分级密钥组中设置控制密钥Kc进行权限控制,如果使用者获得Kc,就采用递推级别分配方式解密属性类数据,否则只能采用单独级别分配方式。为了满足权限控制的需求,分级密钥组的生成遵循一定的算法,该算法具有以下特点:在控制密钥Kc已知的条件下,高级别的级别密钥可以唯一推导出低级别的级别密钥,但是低级别的级别密钥无法推导出高级别的级别密钥,即该密钥生成算法不可逆。上述密钥生成算法可以用单向散列函数实现,比如Hash(k1,Kc)=k2表示由一级密钥k1推导出二级密钥k2,其中k1相对k2而言是高级别密钥,Kc为控制密钥。
假设使用者获得的密钥集合K={{{k12},Kc1},{{k21}},{{k33,k31}}},这表明该使用者对属性类1的访问级别为2,控制权限为递推级别分配;属性类2的访问级别为1,控制权限为单独级别分配;属性类3中两个属性的访问级别分别为3和1,控制权限为单独级别分配。
基于上述对数据内容的属性类划分和分级访问控制,本发明的分级访问控制系统具体包括:内容发布子系统11和内容使用子系统12,其中内容发布子系统11设置在服务器端,用于管理和加密待发布的数据内容,并记录和维护使用者权限信息;内容使用子系统12设置在用户端,用于从内容发布子系统11接收或下载所需的数据记录,并根据所赋予的权限解密和查看数据记录的内容。内容发布子系统11可以主动广播待发布的数据记录给内容使用子系统12,或者根据使用者的下载请求下发数据内容。
所述内容发布子系统11又包括:内容存储模块111、属性级别对照表112、密钥管理模块113、内容发布模块114、权限控制模块115和DRM版权发布模块116。
内容存储模块111按照预先划分的属性维度,对数据记录分字段存储,并通过属性类标识加以区分。
属性级别对照表112中保存的是每个属性类或每个属性与其访问级别的对应关系。假设某条数据记录共设置七个访问级别,表二是所述属性级别对照表的一个具体实例。
内容分类 | 属性类1 | 属性类2 | 属性类3 | ||||||
属性1 | 属性2 | 属性3 | 属性4 | 属性5 | 属性6 | 属性7 | 属性8 | 属性9 | |
访问级别 | 3 | 2 | 4 | 2 | 2 | 2 | 3 | 5 | 1 |
表二
密钥管理模块113根据属性级别对照表112中设置的访问级别,生成和存储所有属性类的分级密钥组,其中不同的属性类可以使用不同的分级密钥组。
内容发布模块114用于获取内容存储模块111中的数据记录,并根据属性级别对照表112中定义的访问级别,从密钥管理模块113中获得所需的级别密钥,对该数据记录的属性类数据分别加密,再将加密后的数据内容分发给内容使用子系统12。
权限控制模块115用来保存使用者权限信息,比如某个使用者对每个属性类的控制权限,以及该使用者针对所有属性类中每个属性的访问级别等。
DRM版权发布模块116从权限控制模块115中查找到某个使用者/使用组的使用者权限信息,并根据每个属性类中每个属性的访问级别,从密钥管理模块113获取对应的级别密钥,记录在密钥集合K中。此外,DRM版权发布模块116还需要判断每个属性类的控制权限,如果所述控制权限为递推级别分配,则从密钥管理模块113获取该属性类的控制密钥Kc,并记录在密钥集合K的对应位置,如果所述控制权限为单独级别分配,则密钥集合K中就不会记录该属性类的控制密钥Kc。此后,将该使用者/使用组的密钥集合K用DRM系统保护后,发送给内容使用子系统12。
DRM系统保护密钥集合K的方法具体为:将密钥集合K作为DRM系统中的媒体对象进行加密,并将加密媒体对象的密钥封装在数字版权对象(RO)中,发送给对应的使用者/使用组。由于利用DRM系统进行数据保护的方法为现有技术,故此处不赘述。经过DRM系统保护后,一方面可以限制使用者对密钥集合K的使用,另一方面也为系统计费提供方便。
所述内容使用子系统12又包括:内容接收模块121、内容查看模块122和DRM代理模块123。
内容接收模块121用于接收、存储内容发布子系统11中的内容发布模块114发送的数据记录。
DRM代理模块123用于接收、管理内容发布子系统11中的DRM版权发布模块116发送的RO,并在使用者/使用组要求查看数据记录时,解密RO获得该使用者/使用组的密钥集合K,传递给内容查看模块122。
内容查看模块122用密钥集合K中的级别密钥解密对应的属性类数据,获得在该使用者/使用组的权限允许范围内的数据内容。如果某个属性类为递推级别分配方式,则以集合K中记录的级别密钥和控制密钥Kc为参数,利用预先设置的密钥生成算法生成其它低级别的密钥,使得使用者能够查看到所有授权的属性类数据。
此外,本发明还提供了一种能够提高数据访问安全性的方法,该分级访问方法的具体实现见图2,包括以下步骤:
步骤201、内容发布子系统11将待发布的数据记录划分为至少一个属性类,为上述每个属性类的每个属性设置对应的访问级别,并保存该数据记录中所有属性和自身访问级别的对应关系。
步骤202、内容发布子系统11为每个属性类设置控制密钥Kc,并根据控制密钥Kc以及上述的对应关系,生成该属性类的分级密钥组,加密对应的属性类数据,并将完成加密的数据记录发布给内容使用子系统12。
该步骤中,所述数据记录的所有属性类分级密钥组的生成流程见图3,具体包括以下步骤:
a1、为数据记录中的第i个属性类设置控制密钥Kc,随机产生该属性类的初始密钥,并将所述初始密钥设置为该属性类的最高级密钥。
a2、保存上述生成的级别密钥,并判断是否需要为属性类i生成其它低级别密钥,如果是则执行步骤a3,否则执行步骤a5。
a3、根据密钥生成算法推导出属性类i的下一级密钥,并判断本次推导出的级别密钥是否为最低级密钥,如果是则执行步骤a4,否则返回执行步骤a2。
以表二所示的对应关系为例,属性类1中的最高级密钥为二级密钥,该密钥并非系统设置的最低级密钥,故将步骤a1中生成的初始密钥设为属性类1的二级密钥,并重复执行步骤a2~a3,以推导出属性类1的三级密钥到七级密钥。
a4、将控制密钥Kc和上述生成的所有级别密钥记录为属性类i的分级密钥组。
a5、根据属性级别对照表判断是否已经为该数据记录的所有属性类生成分级密钥组,如果是则流程结束,否则返回执行步骤a1。
上述过程中,由于为每个属性类生成的初始密钥是不同的,故用于加密不同属性类数据的分级密钥组也是不同的,比如属性类1和属性类2的二级密钥就各不相同。
生成分级密钥组后,用其加密对应属性类数据的具体流程见图4,包括以下步骤:
b1、根据待发布数据记录的字段设置,从内容存储模块中取出其中的第i个属性类数据。
b2、从密钥管理模块中获得属性类i的分级密钥组,根据属性类中每个属性的访问级别,选择与该访问级别对应的级别密钥,加密所述属性类数据中属于该属性的内容。
b3、判断该数据记录的所有属性类数据是否都已加密,如果是则执行步骤b4,否则返回执行步骤b1。
b4、将加密后的数据记录发布给内容使用子系统12的使用者/使用组。
步骤203、内容发布子系统11根据自身记录的使用者权限信息,为使用者/使用组生成密钥集合K,并将其下发给所述使用者/使用组。
该步骤中,每个使用者/使用组的密钥集合K的发布流程见图5,包括以下步骤:
c1、DRM版权发布模块从权限控制模块获取使用者权限信息,并根据第i个属性类的控制权限,从密钥管理模块获得相应的级别密钥和控制密钥。
如果为单独级别分配方式,则从密钥管理模块获取属性类i中每个属性的级别密钥;如果为递推级别分配方式,则获取属性类i的控制密钥Kc和每个属性的级别密钥。
c2、DRM版权发布模块判断该使用者/使用组的所有属性类密钥是否生成完毕,如果是则执行步骤c3,否则返回执行步骤c1。
c3、将该使用者/使用组的所有属性类密钥生成密钥集合K,并用DRM系统保护后,发送给上述使用者/使用组。
表三是权限控制模块中保存的使用者权限信息的一个具体实例,对于使用者/使用组1而言,其密钥集合K={{{k13,k13,k13},Kc1},{{k23,k23}}},而使用者/使用组2的密钥集合K={{{k14,k15,k13}},{{k25,k25},Kc2}}。
属性类1 | 属性类2 | ||||||
访问级别 | 控制权限 | 访问级别 | 控制权限 | ||||
属性1 | 属性2 | 属性3 | 属性4 | 属性5 | |||
使用者/使用组1 | 3 | 3 | 3 | Kc1 | 3 | 3 | None |
使用者/使用组2 | 4 | 5 | 3 | None | 5 | 5 | Kc2 |
表三
步骤204、内容使用子系统12接收到数据记录后,根据自身获得的密钥集合K解密出相应的数据内容,供使用者查看。
该步骤中,内容使用子系统12解密数据内容的流程见图6,具体包括以下步骤:
d1、内容使用子系统12的DRM代理模块接收到RO后,解密获得密钥集合K。上述RO的解密过程为现有技术,此处不再赘述。
d2、内容查看模块读取密钥集合K中记录的属性类i的密钥信息,并判断使用者/使用组对该属性类的控制权限,如果存在属性类i的控制密钥Kc则为递推级别分配方式,执行步骤d3;否则为单独级别分配方式,执行步骤d4。
d3、用属性类i的最高级密钥和控制密钥Kc,逐级推导出所有低级别密钥,并逐一利用上述获得的所有级别密钥解密该属性类数据,然后执行步骤d5。
d4、根据属性类i的密钥信息中记录的每个属性的级别密钥,分别解密出对应的属性类数据中每个属性的内容。
比如,对于使用者/使用组1,密钥集合K中记录的属性类1的级别密钥为k13,且属性类1具有控制密钥Kc1,则使用者/使用组1通过三级密钥k13解密出属性类1中允许访问级别3查看的所有内容,并通过密钥生成算法和控制密钥Kc1推导出四级密钥k14,再利用四级密钥k14解密属性类1中允许访问级别4查看的所有内容。重复执行上述步骤,直至属性类1中访问级别低于3的所有内容都被解密出来。通过上述方法,使用者/使用组1能够查看到属性类1中所有自身有权查看的数据内容。
d5、内容查看模块判断密钥集合K中的所有属性类的密钥信息是否均被使用,如果是则流程结束,否则返回执行步骤d2。
上述过程中,在用DRM系统对密钥集合K加密时,还可以在RO中限制密钥集合K的使用次数、使用时间等权限,如果使用者使用密钥集合K超出上述限制,就无法通过密钥集合K查看到相应的数据内容。
由上述的实施例可见,本发明的这种内容分级访问控制系统和方法,将每条数据记录按照属性类划分,对不同的属性类数据按照预先设置的访问级别分别加密,并设置用于权限控制的控制密钥Kc。如果使用者/使用组获得控制密钥Kc,就能按照递推级别分配方式解密数据内容,否则按照单独级别分配方式解密,故该方法能够提高数据内容访问的安全性,为网络系统提供更为灵活、适应性强的权限控制。
Claims (14)
1、一种内容分级访问控制系统,其特征在于,该系统包括内容发布子系统和内容使用子系统;
所述内容发布子系统根据预先设置的控制密钥和访问级别,逐级生成级别密钥,并使用上述生成的所有级别密钥逐级加密数据记录后,发布给内容使用子系统;
内容发布子系统根据使用者权限信息,设置使用者的控制密钥和级别密钥,并将上述信息生成密钥集合发布给内容使用子系统;
内容使用子系统判断接收到的密钥集合是否设置有控制密钥,如果有则利用级别密钥和控制密钥逐级生成其它低级别密钥,并用自身生成的所有级别密钥逐级解密数据记录,否则直接使用所述级别密钥解密数据记录。
2、根据权利要求1所述的系统,其特征在于,所述内容发布子系统包括:内容存储模块、内容发布模块、密钥管理模块、权限控制模块以及版权发布模块;
其中,内容存储模块用于保存按照属性类划分的数据记录;密钥管理模块根据自身生成的控制密钥和预先设置的属性级别对应关系,逐级生成级别密钥,并使用上述生成的级别密钥加密数据记录中的对应属性类数据,再由内容发布模块将加密后的数据记录发布给内容使用子系统;
权限控制模块用于保存使用者权限信息;版权发布模块根据使用者权限信息中记录的控制权限和访问级别,从密钥管理模块获取该使用者对每个属性类的控制密钥和级别密钥,生成密钥集合发布给内容使用子系统。
3、根据权利要求2所述的系统,其特征在于,所述密钥管理模块为数据记录的每个属性类生成控制密钥,并按照属性级别对应关系和随机生成的初始密钥,逐级推导出每个属性类的各个级别密钥。
4、根据权利要求2所述的系统,其特征在于,所述使用者权限信息包括:使用者对每个属性类的控制权限,以及该使用者针对属性类中每个属性的访问级别;
则版权发布模块从密钥管理模块获取对应属性的级别密钥,并根据每个属性类的控制权限进行判断,如果是递推级别分配,则获取该属性类的控制密钥,如果是单独级别分配则不获取所述控制密钥,并将所获得的级别密钥和控制密钥生成密钥集合。
5、根据权利要求2所述的系统,其特征在于,所述版权发布模块对密钥集合执行数字版权管理保护,并将所生成的数字版权对象发布给内容使用子系统。
6、根据权利要求1至5任一项所述的系统,其特征在于,所述内容使用子系统包括:内容接收模块、内容查看模块和DRM代理模块;
内容接收模块用于从内容发布子系统接收数据记录;DRM代理模块用于接收数字版权对象,并解密出其中的密钥集合送至内容查看模块;
内容查看模块按照属性类逐一查看密钥集合的内容,如果该属性类设置有控制密钥,则利用控制密钥和该属性类的级别密钥逐级生成其它低级别密钥,并用所生成的所有级别密钥逐级解密该属性类数据,如果没有设置控制密钥,则直接利用级别密钥解密该属性类数据。
7、一种内容分级访问控制方法,其特征在于,将数据记录划分为至少一个属性类,为每个属性类设置对应的控制密钥和访问级别,并预先设置使用者权限信息,该方法包括以下步骤:
a、发布端根据所述控制密钥和访问级别,为每个属性类逐级生成级别密钥,并使用上述生成的所有级别密钥逐级加密对应的属性类数据,再将加密后的数据记录发布给使用者/使用组;
b、发布端根据使用者权限信息,设置该使用者/使用组在对应属性类的控制密钥和级别密钥,并将所有属性类的上述信息生成密钥集合,发布给使用者/使用组;
c、使用者/使用组利用接收到的密钥集合,对数据记录的所有属性类分别进行解密,获得所述数据记录的内容。
8、根据权利要求7所述的方法,其特征在于,每个属性类至少包括一个属性,则所述为每个属性类设置访问级别的方法为:设定每个属性类的总访问级数,并从中为该属性类的每个属性选择一个访问级别。
9、根据权利要求8所述的方法,其特征在于,步骤a所述逐级生成每个属性类的级别密钥的方法具体为:发布端为所述属性类随机生成初始密钥,并从预先为该属性类的所有属性设置的访问级别中确定该属性类的最高级别,将初始密钥设置为该属性类的最高级密钥;
利用密钥生成算法和控制密钥,将所述最高级密钥逐级向下推导,从而获得该属性类从最高级别到最低级别的所有级别密钥,保存在发布端。
10、根据权利要求9所述的方法,其特征在于,所述密钥生成算法为单向散列函数。
11、根据权利要求8所述的方法,其特征在于,步骤a所述加密属性类数据的方法为:根据属性类中每个属性的访问级别,选择与该访问级别对应的级别密钥,加密所述属性类数据中属于该属性的内容。
12、根据权利要求7所述的方法,其特征在于,所述使用者权限信息包括:使用者对每个属性类的控制权限,以及该使用者针对属性类中每个属性的访问级别;
则步骤b所述生成使用者/使用组的密钥集合的方法为:从使用者权限信息中获取每个属性类的访问级别,并将该属性类对应的级别密钥记录在密钥集合;
判断每个属性类的控制权限,如果所述控制权限为递推级别分配,则获取该属性类的控制密钥并记录在密钥集合中,如果所述控制权限为单独级别分配,则不在密钥集合中记录该属性类的控制密钥。
13、根据权利要求7所述的方法,其特征在于,步骤b所述发布密钥集合的方法进一步包括:发布端将密钥集合通过数字版权管理系统保护后,生成对应的数字版权对象发送给使用者/使用组;
则步骤c中,使用者/使用组通过数字版权管理系统解密接收到的数字版权对象,获得所述的密钥集合。
14、根据权利要求7所述的方法,其特征在于,步骤c所述根据密钥集合解密数据记录的方法为:
使用者/使用组读取密钥集合中记录的每个属性类的密钥信息,并判断所述属性类是否存在控制密钥,如果存在则利用该属性类数据的最高级密钥,逐级推导出所有低级别密钥,并利用上述获得的所有级别密钥逐级解密该属性类数据;如果该属性类数据不存在控制密钥,使用者/使用组根据该属性类中记录的级别密钥,解密出属性类数据的对应内容。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2005100482842A CN1859086B (zh) | 2005-12-31 | 2005-12-31 | 一种内容分级访问控制系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2005100482842A CN1859086B (zh) | 2005-12-31 | 2005-12-31 | 一种内容分级访问控制系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1859086A true CN1859086A (zh) | 2006-11-08 |
CN1859086B CN1859086B (zh) | 2010-06-09 |
Family
ID=37297953
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2005100482842A Active CN1859086B (zh) | 2005-12-31 | 2005-12-31 | 一种内容分级访问控制系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1859086B (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005352B (zh) * | 2007-01-23 | 2010-10-27 | 华为技术有限公司 | 一种防范网络游戏外挂的方法、系统、服务器及终端设备 |
CN101938497A (zh) * | 2010-09-26 | 2011-01-05 | 深圳大学 | 多级保密文档组结构及其文件访问控制和密钥管理用户终端、服务终端、系统和方法 |
CN102165444A (zh) * | 2008-09-30 | 2011-08-24 | 苹果公司 | 对主机发布的内容进行访问控制 |
CN101383828B (zh) * | 2008-10-13 | 2011-12-21 | 中国电信股份有限公司 | 一种JavaScript对象的调用方法、系统和终端 |
CN102461060A (zh) * | 2009-06-11 | 2012-05-16 | 微软公司 | 安全网络包围区中的密钥管理 |
CN102934107A (zh) * | 2010-02-18 | 2013-02-13 | 株式会社尼康 | 信息处理装置、便携式装置以及信息处理系统 |
CN101729574B (zh) * | 2008-10-31 | 2013-05-08 | 中兴通讯股份有限公司 | 一种iptv业务内容分级保护的系统、装置及方法 |
CN103107992A (zh) * | 2013-02-04 | 2013-05-15 | 杭州师范大学 | 面向云存储加密数据共享的多级权限管理方法 |
US8533156B2 (en) | 2008-01-04 | 2013-09-10 | Apple Inc. | Abstraction for representing an object irrespective of characteristics of the object |
CN103326849A (zh) * | 2012-12-14 | 2013-09-25 | 无锡华御信息技术有限公司 | 一种物联网安全传输的方法 |
US8805846B2 (en) | 2008-09-30 | 2014-08-12 | Apple Inc. | Methods and systems for providing easy access to information and for sharing services |
CN104426886A (zh) * | 2013-09-05 | 2015-03-18 | 国家广播电影电视总局广播科学研究院 | 一种数字媒体内容保护方法及装置、服务器、终端 |
CN104794408A (zh) * | 2015-04-27 | 2015-07-22 | 上海青橙实业有限公司 | 文件加密方法及终端系统 |
CN106411920A (zh) * | 2016-10-25 | 2017-02-15 | 广东欧珀移动通信有限公司 | 数据分享方法及装置 |
US9628276B2 (en) | 2009-06-11 | 2017-04-18 | Microsoft Technology Licensing, Llc | Discovery of secure network enclaves |
CN103746798B (zh) * | 2013-12-12 | 2017-12-26 | 中国科学院深圳先进技术研究院 | 一种数据访问控制方法及系统 |
CN109831298A (zh) * | 2019-01-31 | 2019-05-31 | 阿里巴巴集团控股有限公司 | 区块链中安全更新密钥的方法及节点、存储介质 |
CN111386673A (zh) * | 2019-11-29 | 2020-07-07 | 支付宝(杭州)信息技术有限公司 | 用于基于区块链系统的加密密钥管理的方法和设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0766471A1 (en) * | 1994-12-27 | 1997-04-02 | Kabushiki Kaisha Toshiba | Transmitter, receiver, communication processing system integrating them, and digital television broadcasting system |
US6735313B1 (en) * | 1999-05-07 | 2004-05-11 | Lucent Technologies Inc. | Cryptographic method and apparatus for restricting access to transmitted programming content using hash functions and program identifiers |
US20030002668A1 (en) * | 2001-06-30 | 2003-01-02 | Gary Graunke | Multi-level, multi-dimensional content protections |
US7349538B2 (en) * | 2002-03-21 | 2008-03-25 | Ntt Docomo Inc. | Hierarchical identity-based encryption and signature schemes |
CN100499450C (zh) * | 2003-04-22 | 2009-06-10 | 国际商业机器公司 | 数字资源的分层密钥生成方法及其设备 |
-
2005
- 2005-12-31 CN CN2005100482842A patent/CN1859086B/zh active Active
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005352B (zh) * | 2007-01-23 | 2010-10-27 | 华为技术有限公司 | 一种防范网络游戏外挂的方法、系统、服务器及终端设备 |
US8533156B2 (en) | 2008-01-04 | 2013-09-10 | Apple Inc. | Abstraction for representing an object irrespective of characteristics of the object |
US8805846B2 (en) | 2008-09-30 | 2014-08-12 | Apple Inc. | Methods and systems for providing easy access to information and for sharing services |
CN102165444A (zh) * | 2008-09-30 | 2011-08-24 | 苹果公司 | 对主机发布的内容进行访问控制 |
CN102165444B (zh) * | 2008-09-30 | 2014-10-01 | 苹果公司 | 对主机发布的内容进行访问控制 |
US8734872B2 (en) | 2008-09-30 | 2014-05-27 | Apple Inc. | Access control to content published by a host |
CN101383828B (zh) * | 2008-10-13 | 2011-12-21 | 中国电信股份有限公司 | 一种JavaScript对象的调用方法、系统和终端 |
CN101729574B (zh) * | 2008-10-31 | 2013-05-08 | 中兴通讯股份有限公司 | 一种iptv业务内容分级保护的系统、装置及方法 |
US9742560B2 (en) | 2009-06-11 | 2017-08-22 | Microsoft Technology Licensing, Llc | Key management in secure network enclaves |
CN102461060A (zh) * | 2009-06-11 | 2012-05-16 | 微软公司 | 安全网络包围区中的密钥管理 |
US9628276B2 (en) | 2009-06-11 | 2017-04-18 | Microsoft Technology Licensing, Llc | Discovery of secure network enclaves |
CN102461060B (zh) * | 2009-06-11 | 2014-08-20 | 微软公司 | 安全网络包围区中的密钥管理 |
CN102934107A (zh) * | 2010-02-18 | 2013-02-13 | 株式会社尼康 | 信息处理装置、便携式装置以及信息处理系统 |
US9626151B2 (en) | 2010-02-18 | 2017-04-18 | Nikon Corporation | Information processing device, portable device and information processing system |
CN101938497B (zh) * | 2010-09-26 | 2013-01-30 | 深圳大学 | 多级保密文档组设置方法及其文件访问控制和密钥管理用户终端、服务终端、系统和方法 |
CN101938497A (zh) * | 2010-09-26 | 2011-01-05 | 深圳大学 | 多级保密文档组结构及其文件访问控制和密钥管理用户终端、服务终端、系统和方法 |
CN103326849A (zh) * | 2012-12-14 | 2013-09-25 | 无锡华御信息技术有限公司 | 一种物联网安全传输的方法 |
CN103107992B (zh) * | 2013-02-04 | 2015-06-17 | 杭州师范大学 | 面向云存储加密数据共享的多级权限管理方法 |
CN103107992A (zh) * | 2013-02-04 | 2013-05-15 | 杭州师范大学 | 面向云存储加密数据共享的多级权限管理方法 |
CN104426886A (zh) * | 2013-09-05 | 2015-03-18 | 国家广播电影电视总局广播科学研究院 | 一种数字媒体内容保护方法及装置、服务器、终端 |
CN104426886B (zh) * | 2013-09-05 | 2018-06-01 | 国家广播电影电视总局广播科学研究院 | 一种数字媒体内容保护方法及装置、服务器、终端 |
CN103746798B (zh) * | 2013-12-12 | 2017-12-26 | 中国科学院深圳先进技术研究院 | 一种数据访问控制方法及系统 |
CN104794408A (zh) * | 2015-04-27 | 2015-07-22 | 上海青橙实业有限公司 | 文件加密方法及终端系统 |
CN104794408B (zh) * | 2015-04-27 | 2017-12-08 | 上海青橙实业有限公司 | 文件加密方法及终端系统 |
CN106411920A (zh) * | 2016-10-25 | 2017-02-15 | 广东欧珀移动通信有限公司 | 数据分享方法及装置 |
CN109831298A (zh) * | 2019-01-31 | 2019-05-31 | 阿里巴巴集团控股有限公司 | 区块链中安全更新密钥的方法及节点、存储介质 |
CN111386673A (zh) * | 2019-11-29 | 2020-07-07 | 支付宝(杭州)信息技术有限公司 | 用于基于区块链系统的加密密钥管理的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN1859086B (zh) | 2010-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1859086A (zh) | 一种内容分级访问控制系统和方法 | |
CN1199389C (zh) | 内容信息的传送与记录方法和装置以及解密方法与装置 | |
CN1257648C (zh) | 多级多维内容保护方法 | |
CN103731432B (zh) | 一种支持多用户的可搜索加密方法 | |
US6886098B1 (en) | Systems and methods for compression of key sets having multiple keys | |
US9866377B2 (en) | Unified broadcast encryption system | |
KR101371608B1 (ko) | Dbms 및 데이터베이스에서 암호화 방법 | |
US7536016B2 (en) | Encrypted content data structure package and generation thereof | |
US7711114B2 (en) | System and method for assigning sequence keys to a media player to enable flexible traitor tracing | |
CN101040275A (zh) | 内容加密方法、系统和利用该加密方法通过网络提供内容的方法 | |
CN1977490A (zh) | 存储媒体处理方法、存储媒体处理装置以及程序 | |
CN1392700A (zh) | 保护内容数据的系统和方法 | |
CN1886939A (zh) | 使用包含家庭网络成员装置的信息的智能卡构建家庭域的系统和方法 | |
CN1171015A (zh) | 条件存取系统和允许这种存取的智能卡 | |
CN1771487A (zh) | 使用散列链来限制可以访问内容的次数的方法及设备 | |
CN1949238A (zh) | 提供drm许可证的方法和系统 | |
CN1977489A (zh) | 内容管理方法、内容管理用程序以及电子设备 | |
CN1805337A (zh) | 一种基于秘密共享密码机制的用户管理方法 | |
EP2103032A2 (en) | Privacy enhanced comparison of data sets | |
CN104009838A (zh) | 多媒体内容分段加密方法 | |
CN104901968B (zh) | 一种安全云存储系统中的密钥管理分发方法 | |
CN1479484A (zh) | 用于分层加密的设备和方法 | |
CN1371059A (zh) | 数据发布系统 | |
CN1645797A (zh) | 在数字版权管理系统中使用的优化安全数据传输的方法 | |
CN1748209A (zh) | 对加密的数字数据进行复制和解密的方法及其设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |