EA006790B1 - Способ создания и обработки потоков данных, которые содержат зашифрованные и дешифрованные данные - Google Patents

Способ создания и обработки потоков данных, которые содержат зашифрованные и дешифрованные данные Download PDF

Info

Publication number
EA006790B1
EA006790B1 EA200500347A EA200500347A EA006790B1 EA 006790 B1 EA006790 B1 EA 006790B1 EA 200500347 A EA200500347 A EA 200500347A EA 200500347 A EA200500347 A EA 200500347A EA 006790 B1 EA006790 B1 EA 006790B1
Authority
EA
Eurasian Patent Office
Prior art keywords
data
license
encrypted
portions
language
Prior art date
Application number
EA200500347A
Other languages
English (en)
Other versions
EA200500347A1 (ru
Inventor
Эгиль Канестрем
Поль Берг
Original Assignee
Соспита Ас
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Соспита Ас filed Critical Соспита Ас
Publication of EA200500347A1 publication Critical patent/EA200500347A1/ru
Publication of EA006790B1 publication Critical patent/EA006790B1/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

Клиентский фильтр обеспечен для фильтрации данных, следующих к сетевым серверам и от них. Фильтр имеет соединение со средством идентификации, содержащим лицензии, которые включают в себя криптографические ключи. Любые данные, которые загружаются или выгружаются через сеть, проходят через фильтр до того, как они будут представлены пользователю или серверу. Фильтр идентифицирует теги в данных и использует информацию в лицензиях для определения данных, которые будут пропускаться через фильтр. Для выгрузки фильтр шифрует выделенные тегами данные с помощью выбранной лицензии. Для загрузки выделенные тегами данные дешифруются, если надлежащая лицензия найдена, и эти данные представляются пользователю.

Description

Область техники, к которой относится изобретение
Настоящее изобретение описывает способ для защиты и опубликования отобранных частей информации среди равноправных пользователей в компьютерной системе.
Предшествующий уровень техники
Современные компьютерные среды обычно предоставляют возможность доступа к различным сетям с широким диапазоном услуг и поставщиков услуг, в которых осуществляется обмен информацией, данными и программным обеспечением. Чтобы защитить данные, которые обрабатываются и которыми осуществляется обмен, реализованы различные механизмы принудительного выполнения требований безопасности, такие как аутентификация (установление подлинности), контроль доступа и шифрование. Например, контроль доступа к ресурсу, такому как сервер, может осуществляться посредством основанной на пароле аутентификации. Файл данных может быть зашифрован на локальной рабочей станции и сохранен на локальном жестком диске, файловом сервере локальной сети или выгружен (опубликован) на удаленный сервер по сети Интернет. Возможно, более чем один пользователь сможет извлекать зашифрованный файл, но только уполномоченные (авторизованные) пользователи, которые владеют ключом, способны дешифровать и, таким образом, просматривать этот файл. Этот сценарий проиллюстрирован на фиг. 1, где данные зашифрованы и сделаны доступными на сервере. Локальный клиент (1) может зашифровать (80) данные (10) и сделать зашифрованные данные (20) доступными на сервере (2). Клиент затем может получить зашифрованные данные (20), дешифровать их (90) и получить незашифрованные данные (11).
Проблемой при этом традиционном подходе является предоставление возможности совместного использования совместно размещенных элементов данных с разными требованиями безопасности среди соответствующих групп уполномоченных пользователей. В контексте многоуровневой безопасности эта проблема обозначена как «наивысший (системный) уровень полномочий», где данные имеют тенденцию выходить на более высокий уровень безопасности, чем конкретно требуемый. Например, в двухуровневой системе безопасности в доступе к ресурсу отказано всем тем пользователям, которые не способны предоставить информацию аутентификации. Если только части содержимого файла по своей сути являются уязвимыми, то в таком случае, поскольку целый файл был зашифрован, рядовые пользователи, которые не обладают ключом дешифрования, уже не смогут осуществлять доступ к неуязвимым частям этого файла.
Сущность изобретения
Первой задачей настоящего изобретения является предоставление способа, который обеспечивает возможность совместного использования соответствующих частей данных и в это же самое время защищает те другие части данных, которые нуждаются в защите. Необходимо, чтобы информация совместно использовалась и в это же самое время была защищена. Это также обеспечивает возможность доступности данных на отдельных уровнях в многоуровневой системе безопасности. Второй задачей настоящего изобретения является предоставление способа санкционирования (авторизации) и отмены санкционирования доступа к данным, который обеспечивает возможность легкого управления санкционированием и отменой санкционирования пользователя.
Перечень чертежей
Вышеизложенное краткое описание сущности изобретения так же, как и последующее подробное описание предпочтительных вариантов осуществления изобретения, будут лучше понятны при прочтении в совокупности с прилагаемыми чертежами. В целях иллюстрирования изобретения изложен показанный на чертежах вариант осуществления, который предпочтителен на текущий момент. Должно быть понятно, однако, что изобретение не ограничено конкретными структурами и инструментальными средствами, которые показаны.
Фиг. 1 - распространение конфиденциальных данных в соответствии с предшествующим уровнем техники;
фиг. 2 - иллюстрация принципа защиты частей данных в первом варианте осуществления настоящего изобретения.
фиг. 3 - иллюстрация принципа защиты частей данных во втором варианте осуществления настоящего изобретения с вовлечением внешнего защищенного устройства и где зашифрованные данные распространяются посредством сервера;
фиг. 4 - блок-схема последовательности операций процесса защиты данных;
фиг. 5 - блок-схема последовательности операций процесса представления данных;
фиг. 6 - краткое изложение блок-схемы последовательности операций взятой в целом последовательности обработки данных;
фиг. 7 - блок-схема последовательности операций, описывающая последовательность обработки данных, когда задействованы права контроля доступа;
фиг. 8 - иллюстрация отбора частей информации, подлежащих защите в Ιιΐιηΐ-редакторе;
фиг. 9 - иллюстрация временного рабочего окна, которое предоставляет пользователю возможность выбирать конкретную лицензию, которая будет использована для шифрования;
фиг. 10 - результат после защиты части кода;
- 1 006790 фиг. 11 - иллюстрация вида в окне браузера, когда данные дешифрованы и представлены в качестве обычного 111т1-кода.
Подробное описание изобретения
Определенного рода терминология использована в настоящем описании только для удобства, а не для принятия в качестве ограничения настоящего изобретения. На чертежах одни и те же ссылочные символы используются для обозначения одних и тех же элементов по нескольким чертежам.
1. Определения/замечания.
Воспроизведение - в одном из примеров является файлом электронной публикации, таким как страница на языке гипертекстовой разметки (НТМЬ-страница).
Приложение редактора данных или редактор - компьютерное приложение, которое используется при представлении (просмотре, браузинге, проигрывании, исполнении и т.п.) данных пользователям приложения.
Лицензия - может включать в себя (1) идентификационный номер, (2) криптографическую информацию, (3) права контроля доступа. Лицензия может быть основанным на пароле криптографическим ключом без других ассоциированных атрибутов или идентификаторов (ГО).
Данные - данные/информация, которые имеют некоторую разновидность структуры или синтаксиса, когда они представляются пользователю, и которые используются для хранения информации (которая может быть сжата), такой как текстовые документы, изображения, звук, видео, приложения программного обеспечения и другие данные интеллектуальной собственности.
Средство идентификации - смарт-карта (пластиковая карта, содержащая микропроцессор) или нечто подобное с возможностью обработки данных и возможностью хранения информации. Средство идентификации может быть программным средством идентификации, то есть средством идентификации, хранящимся на накопителе на жестких дисках персонального компьютера.
Настоящее изобретение использовано в качестве фильтра в разных приложениях, где данные редактируются и представляются. Этот раздел предусматривает подробное изложение различных частей изобретения. Это изложение разделено на четыре части. В первой части рассматривается содержимое лицензии и определяются требования, когда лицензии хранятся на средствах идентификации. Вторая часть соответствует установке фильтра. В третьей части подробно обсуждается приготовление данных, подлежащих представлению на сервере сети Интернет, и в четвертой части обсуждается представление данных пользователю. В конце четвертой части предложен пример фильтра безопасности в Й1т1-кодировке.
Набор из криптографического ключа и способа шифрования, вместе с некоторыми другими атрибутами, назван лицензией. Каждая лицензия идентифицирована идентификационным номером. Каждая лицензия с конкретным идентификационным номером имеет одну и ту же криптографическую информацию. В дополнение к шифровальным ключам лицензия может содержать атрибуты прав доступа и другие ограничительные условия, подобные временным и количественным ограничениям.
Средство идентификации в настоящем изобретении является носителем для хранения криптографической информации. Если средство идентификации является смарт-картой, то в таком случае она должна быть использована в считывателе смарт-карты, который присоединен к пользовательскому персональному компьютеру (ПК, РС). Средство идентификации сконструировано с микропроцессором, памятью, интерфейсом ввода/вывода и иногда с криптографическим сопроцессором. Средство идентификации в настоящем изобретении может быть либо средством идентификации только с памятью, либо средством идентификации, выполненным с возможностью обработки потоков данных. Настоящие имеющиеся в обращении средства идентификации имеют низкую пропускную способность, что требует, чтобы на ПК, присоединенном к средству идентификации, выполнялись сложные расчеты, подобные шифрованию и дешифрованию. Известные из уровня техники средства идентификации содержат контроллеры И8В (универсальной последовательной шины), которые обеспечивают более высокую пропускную способность. Настоящее изобретение не ограничено использованием специального средства идентификации и, таким образом, сложные расчеты могут иметь место либо на ПК, либо на средстве идентификации. Средство идентификации также может быть данными, хранящимися на ПК, то есть программным средством идентификации.
Установленный фильтр включает в себя интерфейс, который является доступным редактору, используемому для подготовки данных, подлежащих совместному использованию. Фильтр может быть доступным из редактора посредством использования дополнений в меню, «горячих» клавиш, пиктограмм («иконок») на панелях инструментов или подобного. Та же самая установка может быть использована со стороны считывателя, но в этом случае доступ может быть более или менее автоматизированным в отношении просматриваемых данных. Для браузеров Интернет, фильтр в типичном случае будет установлен в качестве программы-посредника.
Фиг. 2 показывает систему и способ для защиты потока данных на автономной клиентской рабочей станции (10) с фильтром (16) безопасности. Фиг. 2 сверх того иллюстрирует подготовку данных, выполняемую редактором (12), постоянно расположенным на клиенте (10). Редактор (12) имеет аналоговый интерфейс для пользователя, что предполагает, что данные представляются в удобочитаемой и понятной для пользователя форме. Некоторые редакторы имеют возможность представлять данные образом, по
- 2 006790 добным тому, как это делает программа представления данных или считыватель, но это не является требованием настоящего изобретения. Данные могут быть в форматах языка программирования (например, 1ауа, С/С++, У1киа1 Ваис и т.д.), текстового языка (например, Ыт1, документа М1стокой \Уогб. хт1 (расширяемого языка разметки) и т.д.), аудиоданных (тр3, теау, πνί и т.д.), видеоданных (тред, фшсйте, ау1 и т.д.), изображения ()ред, дй, рпд и т.д.) и других форматах. Редактор в настоящем изобретении должен быть выполнен с возможностью помечания данных, которые должны быть защищены, имея результатом и помеченные (122), и непомеченные (121) данные. Типичным техническим приемом для помечания данных является нажатие и удерживание кнопки мыши наряду с перемещением курсора по данным, как это сделано в большинстве текстовых редакторов. Когда данные помечены, активируется фильтр (16) безопасности, и пользователь имеет возможность выбрать лицензию (221), которая должна быть использована при защите данных. Эта последовательность операций может быть повторена с разными частями отобранных данных и разными выбранными лицензиями. Криптографическая информация, найденная в выбранной лицензии (221), затем используется в защите помеченных данных (122) криптографическим средством (24). Существует более простой вариант осуществления, когда пароль выполняет роль лицензии. Пароль может быть в таком случае аналогичен криптографической информации, подобной секретному ключу, хранимому в лицензии. В самом простом варианте осуществления данные непосредственно шифруются посредством криптографической информации, найденной в выбранной лицензии, но также существуют и более усовершенствованные модели, например, в которых ключ шифрования, использованный для шифрования данных, включен в заголовок данных, но зашифрован с помощью криптографической информации, найденной в выбранной лицензии.
Если формат представления имеет поддержку основанных на синтаксисе комментариев, таких как в языках разметки, то защищенные данные включают в поля комментариев вместе с идентифицирующими тегами (неотображаемыми элементами разметки) для применяемой защиты и используемой лицензии, и первоначальные помеченные данные стирают. Другие варианты осуществления формата могут включать заголовки, которые могут быть использованы для той же самой цели. Например, зашифрованная порция данных может быть включена в заголовок на языке форматирования мультимедийных данных, такого как заголовок (тег) Ш3 формата тр3. Защищенные части данных, таким образом, могут не проявляться в редакторе, в зависимости от того, видимы ли комментарии или нет. Данные (14) теперь состоят из защищенных (142) и незащищенных (141) частей, где защищенные части включают в себя теги (150), идентифицирующие лицензию, которая использовалась при защите, например, идентификационный номер лицензии и зашифрованные данные (160). Зашифрованные данные (160) могут содержать больше информации, чем просто шифрование помеченных данных (122), например, права контроля доступа (АСК) и другие ограничительные условия, а также профили сообщения незашифрованных данных для защиты целостности. Этот процесс защиты показан на блок-схеме последовательности операций по фиг. 4. В случаях с АСЯ как защищенные данные, так и лицензия должны иметь права АСК., которые можно сравнивать. АСК наиболее ценны при использовании аппаратных средств идентификации, подобных смарткартам, где сравнение ограничительных условий, соответствующих лицензии, может быть выполнено в защищенной среде.
Фиг. 2 иллюстрирует хронологическую последовательность обработки данных в качестве идущей от цифры 1 к цифре 2.
На другом конце линии распространения находится считыватель (18) данных (14). Считыватель и редактор необязательно должны быть на одном и том же клиенте. Если фильтр (16) безопасности имеется на клиенте, то данные (14) пропускают в виде потока через фильтр (16) безопасности до того, как они будут представлены пользователю. Если информация (150) лицензии, включающая в себя возможные ограничительные условия, найденная в защищенных данных (142) фильтром безопасности (16), и компоненты (22) принудительного применения лицензии, вызванные информацией в хранящейся лицензии (221), предоставляют пользователю законное право на снятие защиты с зашифрованной части (160) защищенных данных (142), то в таком случае данные дешифруют. Если нет, то данные могут не быть представлены, в зависимости от формата данных. Если зашифрованные данные (160) включают в себя профили сообщения, то они также могут быть проверены на законность, то есть на предмет того, что данные не были изменены после того, как защита имела место, до представления данных. Фиг. 2 иллюстрирует хронологическую последовательность обработки данных в качестве идущей от цифры 3 к цифре 4. Фиг. 5 показывает блок-схему последовательности операций обработки данных в процессе представления.
Фиг. 3 иллюстрирует альтернативный вариант осуществления, использующий средство (30) идентификации и сетевой сервер (40), где клиент (10) является тем же самым, что и на фиг. 2, но данные (44) передаются на сервер (40) после защиты и сохранения. Данные (44) также включают в себя незащищенные данные (441) и защищенные данные (442), где защищенные данные (442) включают в себя идентификационные данные (450) лицензии и зашифрованные данные (460). Несмотря на то, что это не показано на фиг. 3, ограничительные условия также могут быть включены в защищенные данные (442). Хранение лицензий также реализуется в отношении средства (30) идентификации, где средство идентификации может быть отделено от главного компьютера. Средство (30) идентификации включает в себя компонен
- 3 006790 ты (32) принудительного применения лицензии и хранилище (321) лицензии, в дополнение к криптографическому средству (34). Редактор (12) и считыватель (18) не обязаны быть на одном и том же клиенте (10). В реальных приложениях обычно будет несколько клиентских рабочих станций (10) с ассоциированными компонентами (22 на фиг. 2, 32 на фиг. 3) принудительного применения лицензии, и процесс (12) редактирования будет выполняться на одной рабочей станции, а процесс представления будет выполняться на другой рабочей станции. Фиг. 3 иллюстрирует хронологическую последовательность обработки данных в качестве идущей от цифры 1 к цифре 4.
Фиг. 6 показывает краткое изложение всей последовательности операций обработки данных для обеих фаз защиты (подготовки) и представления.
В специальном случае права контроля доступа (АСЯ) или другие ограничительные условия являются частью зашифрованных данных. В этом случае недостаточно иметь корректную идентификацию лицензии и криптографическую информацию в лицензии, но АСЯ или другие ограничительные условия также должны быть корректными. Ограничительные условия, в типичном случае, будут находиться в первой части зашифрованных данных, а остаток данных будет дешифрован, только если лицензия имеет корректные ограничительные условия. Является возможным иметь ограничительные условия одновременно в данных и в лицензии (например, АСЯ, которые должны быть подвергнуты сравнению), только в лицензии (например, в случае, когда срок действия лицензии может истечь со временем или когда лицензия может быть законной только в течение определенного количества раз) или в данных (например, в случае, когда срок действия зашифрованных данных может истечь со временем). Другие способы также могут существовать.
Фиг. 7 - высокоуровневая блок-схема последовательности операций обработки АСЯ.
Пример, использующий язык гипертекстовой разметки (НТМЬ).
Так как Интернет является наиболее используемой сетью для совместного использования информации и всемирная паутина (^ог1б \νίάο \УсЬ) является наиболее используемым интерфейсом для этого совместного использования, то в настоящем примере подробно обсуждается фильтр безопасности в качестве фильтра между Интернетом и клиентским браузером.
В этом примере браузер используется для осуществления доступа к тееЬ-страницам. Есть простые способы получения содержимого \геЬ без использования браузера. Однако для ясности, пример, представленный в настоящем описании, ориентирован на процесс, основанный на браузере. Объем настоящего изобретения включает в себя такие не связанные с браузером способы доступа к тееЬ-страницам. В меню предпочтений браузера пользователь имеет возможность задать фильтр.
Фаза подготовки информации, которая должна быть совместно использована на сервере сети Интернет, состоит из помечания информации, которая требует специальных прав доступа, и шифрования этих частей. Специальный случай, где это решение не может быть реализовано, подробно обсужден в конце этого раздела. Согласно этому примеру пользователь принимает решение в отношении того, какие части информации шифровать и какие лицензии использовать. Так как большинство тееЬ-страниц созданы с помощью языка гипертекстовой разметки (1111111), то этот язык будет использован в качестве примера. VеЬ-страница является непрерывным документом, состоящим из 111т1-тегов и обычного текста. Теги описывают то, каким образом текст будет представлен в средстве визуализации. Некоторые теги имеют ссылки на изображения и другие тееЬ-страницы. Теги являются видимыми только при просмотре исходного кода в браузере и могут быть сконструированы следующим образом:
<ТАСИАМЕ '1ад ορίίοη8'> '1ех1' </ΤΛΟΝΛΜΕ> (<Имя_тега 'опции тега'> 'текст' </Имя_тега>)
Для знающих синтаксис 111т1 должно быть понятно, что эта конструкция соответствует большинству тегов, но не всем. Примером может быть заголовок страницы <Т1ТЬЕ>’№еЬ Е111ег</Т1ТЕЕ> (<Заголовок>VеЬ-фильтр</Заголовок>)
Специальным тегом является тег комментария. Текст внутри комментария не будет влиять на представление страницы при нормальном режиме просмотра браузера, и тег комментария не требует закрывающего тега. Конструкцией тега комментария является <! - - Это комментарий - ->
Фиг. 8 показывает процесс помечания данных в редакторе, в данном случае, в редакторе Мюгокой ЕгойРаде (показана только порция содержимого). В примере по фиг. 8 данные являются частью текста, отформатированного в 1Шп1 и используемого в качестве тееЬ-страницы. Для формирования защищенного элемента данных пользователь помечает части, которые будут зашифрованы. Затем пользователь активирует функциональные возможности шифрования фильтра, к примеру, посредством выбора пиктограммы на панели инструментов редактора (не показана) . Когда пользователь активирует фильтр, новое диалоговое окно появляется и позволяет пользователю выбрать лицензию, постоянно находящуюся на средстве идентификации, подлежащем использованию для защиты. Фиг. 9 иллюстрирует окно диалога, предоставляющее пользователю возможность выбора разных лицензий. Когда лицензия выбрана, имеет место шифрование отобранных частей. Для средств идентификации с низкой пропускной способностью, таких как средства идентификации, основанные на смарт-карте, шифрование происходит путем загрузки криптографической информации лицензии в ПК. Для средств идентификации с высокой пропускной способностью, таких как программные средства идентификации, данные можно перенести в виде потока на средство идентификации и оперативно (на лету) зашифровать без необходимости того, чтобы какая
- 4 006790 либо криптографическая информация лицензии покидала средство идентификации. Исходные данные в Ιιΐιηΐ-докумснтс стирают и зашифрованные данные затем возвращают в документ в теги комментария. Укороченная версия защищенных данных может выглядеть следующим образом:
<!- - Рго1сс1сб Ысеп5еГО=123 А1654 0Е2Е32... - -> <!- - Защищенный ГО лицензии=123 А1654 0Е2Е32... - ->
Зашифрованные данные кодируют из чисто двоичного набора в набор символов, который приемлем для протокола передачи гипертекста. Два параметра вставлены в комментарий. Первый является строкой идентификации, рго!ес1еб («защищенный»), которая показывает, что этот комментарий содержит в себе зашифрованные данные, и вторая строка, Ь1сеп8еГО=123 («ГО лицензии=123»), соответствует лицензии, которая использовалась при защите. В комментарий не включена никакая криптографическая информация о лицензии. Любые параметры ограничительных условий будут частью зашифрованных данных, в дополнение к параметрам контроля целостности, подобным профилю сообщения или результату хэширования. Фиг. 10 показывает защищенную тееЬ-страницу. То есть фиг. 10 показывает ту же самую вебстраницу, что и фиг. 8, но после применения защиты. Так как Ιιΐιηΐ имеет основанные на синтаксисе комментарии, защищенные части не проявляются в редакторе.
Когда изображения являются частью защищенных данных, новые изображения создаются вместе с формированием зашифрованных ссылок на эти изображения.
После такого шифрования и модификации исходного Ιιΐιηΐ-документа. этот документ и любые возможные изображения могут быть выгружены на общедоступный \\сЬ-сервер. Этот сервер не является доверенным, и вся защита содержимого Ιιΐιηΐ-документа заключается в силе шифрования. Одним из подходящих вариантов использования такого фильтра для обработки тееЬ-содержимого могут быть организации, которые желают скрыть их информацию для каждого, кроме их доверенных членов. Даже если администраторы и агентства с законными правами на осуществление доступа к содержимому такого сайта могут получать данные, они не будут в удобочитаемой форме.
Другим путем подготовки зашифрованных документов является отбор данных на уровне исходного кода и последующая активация лицензионного диалогового окна фильтра. Оставшаяся часть шифрования и замещения исходных данных является той же самой, что и в примере с редактором.
Существует третий вариант подготовки зашифрованных данных, но в этом случае пользователь не обладает специальным контролем в отношении того, какие части должны быть зашифрованы. Это делается посредством использования форм в Ыт1-документах. Форма существует в теЬ-странице на вебсервере и может предоставить просматривающему \\сЬ-страницу возможность вставить текст в текстовые поля. Эти поля будут иметь теги, используемые для идентификации и последующего использования введенных данных. Как в случае с осуществленной вручную защитой, формы могут содержать имена тегов, идентифицирующие то, что их содержимое подлежит шифрованию. Форма, имеющая эти функциональные возможности, предоставлена ниже:
<ТЕХТАКЕА ΝΑΜΕ=Рго1ес1ес1 123 СОЬ8=60 К0А8=4> </ТЕХТАЕЕА> <Область_текста имя= Защищенный 123 Колонки=60 Строки=4> </Область_текста>
В этом случае текст, введенный в форму, будет зашифрован, когда данные посылаются из браузера через фильтр. Фильтр будет находить корректную лицензию, в данном случае лицензию с Ь1сеп8еГО=123 (идентификатором лицензии, равным 123), исходя из идентификационного номера лицензии, предоставленного в форме, и будет использовать криптографическую информацию в этой лицензии для шифрования посылаемых данных. На стороне сервера эти данные могут быть идентифицированы посредством тега и использованы в динамических теЬ-страницах. Области применения для этой схемы включают в себя простые гостевые книги, предъявление пароля, комплексные базы данных и другое. Также могут быть созданы другие формы, которые предоставляют пользователю возможность выбора лицензий.
Фаза просмотра состоит из идентификации фильтром зашифрованных частей Ыт1-документа, поиска лицензии с заданным номером лицензии и, если эта лицензия существует на пользовательском средстве идентификации, дешифрования и представления данных пользователю в качестве нормального документа в пользовательском браузере.
Фиг. 11 иллюстрирует этот процесс. Когда корректная лицензия найдена перед тем, как \\сЬстраница достигнет браузера, тогда защищенные данные дешифруют и представляют вместе с остатком данных. Взаимодействие с пользователем в этом процессе просмотра отсутствует. Если пользователь не обладает лицензией с заданным номером лицензии, то данные остаются зашифрованными, и пользователь будет видеть в браузере только части, которые незашифрованы. Если пользователь не будет анализировать исходный код Ыт1-документа, пользователь не сможет определить, защищены ли какие-либо части кода или нет. Исключение имеет место, если шифрование явным образом указано в незашифрованном тексте, или если удаление зашифрованного текста дает неестественный контекст в 111т1документе.
Могут быть сделаны изменения в описанных выше вариантах осуществления изобретения, не выходя за рамки его широкой изобретательской концепции. Настоящее изобретение, таким образом, не ог
- 5 006790 раничено раскрытыми конкретными вариантами осуществления, но предназначено для охвата модификаций в пределах сущности и объема настоящего изобретения.

Claims (48)

  1. ФОРМУЛА ИЗОБРЕТЕНИЯ
    1. Способ шифрования данных, которые первоначально не зашифрованы, содержащий этапы, на которых (a) отбирают одну или более порций незашифрованных данных, которые должны быть зашифрованы;
    (b) ассоциируют лицензию с порциями данных, которые должны быть зашифрованы, причем лицензия включает в себя данные идентификатора лицензии и криптографическую информацию;
    (c) защищают упомянутые порции данных, используя криптографическую информацию ассоциированной лицензии посредством того, что
    ί) непосредственно используют криптографическую информацию, найденную в лицензии, для шифрования отобранной порции данных или
    и) шифруют отобранную порцию данных с помощью заданного пользователем или случайного ключа шифрования, шифруют этот ключ с помощью криптографической информации, найденной в лицензии, и включают этот зашифрованный ключ в качестве заголовка к зашифрованным данным; и (б) замещают каждую отобранную первоначально незашифрованную порцию данных ее соответствующей зашифрованной версией этой порции данных.
  2. 2. Способ по п.1, в котором данные выражены языком программирования.
  3. 3. Способ по п.2, в котором замещенные порции данных согласуются с синтаксисом языка программирования.
  4. 4. Способ по п.3, в котором замещенные порции данных включают в поле комментария языка программирования.
  5. 5. Способ по п.3, дополнительно включающий в себя этап, на котором (е) включает теги в данные с целью идентификации идентификатора лицензии, используемого при шифровании на этапе (с), при этом идентифицирующие теги лицензии включают в поле комментария языка программирования.
  6. 6. Способ по п.1, в котором данные выражены основанным на синтаксисе языком форматирования мультимедийных данных.
  7. 7. Способ по п.6, в котором замещенные порции данных согласуются с синтаксисом языка форматирования мультимедийных данных.
  8. 8. Способ по п.7, в котором замещенные порции данных включают в поле комментария языка форматирования мультимедийных данных.
  9. 9. Способ по п.7, в котором замещенные порции данных включают в заголовок языка форматирования мультимедийных данных.
  10. 10. Способ по п.7, дополнительно содержащий этап, на котором (е) включают теги в данные с целью идентификации идентификатора лицензии, используемого при шифровании на этапе (с), при этом идентифицирующие теги лицензии включают в поле комментария языка форматирования мультимедийных данных.
  11. 11. Способ по п.1, в котором данные выражены языком разметки.
  12. 12. Способ по п.11, в котором замещенные порции данных включены в поле комментария языка разметки.
  13. 13. Способ по п.12, дополнительно содержащий этап, на котором (е) включают теги в данные с целью идентификации идентификатора лицензии, используемого при шифровании на этапе (с), при этом идентифицирующие теги лицензии включают в поле комментария языка разметки.
  14. 14. Способ по п.11, в котором замещенные порции данных согласуются с синтаксисом языка разметки.
  15. 15. Способ по п.1, дополнительно содержащий этап, на котором (е) включают теги в данные с целью идентификации идентификатора лицензии, используемого на этапе (с) шифрования.
  16. 16. Способ по п.15, дополнительно содержащий этап, на котором (ί) сохраняют данные лицензии и криптографическую информацию в средстве идентификации.
  17. 17. Способ по п.16, в котором защита дополнительно включает в себя права контроля доступа, и этап (ί) дополнительно содержит этап, на котором сохраняют права контроля доступа в средстве идентификации.
  18. 18. Способ по п.16, в котором лицензия дополнительно включает в себя временное ограничительное условие.
  19. 19. Способ по п.16, в котором лицензия дополнительно включает в себя количественное ограничительное условие.
    - 6 006790
  20. 20. Способ по п.1, в котором на этапе (а), по меньшей мере, порцию данных не отбирают для шифрования, так что после этапа (с) способ завершен, при этом данные включают в себя комбинацию отобранных зашифрованных порций и неотобранных незашифрованных порций.
  21. 21. Способ по п.20, дополнительно содержащий этап, на котором (б) создают воспроизведение комбинации зашифрованных порций и незашифрованных порций.
  22. 22. Способ по п.1, в котором порции данных, которые должны быть отобраны на этапе (а), вручную отбираются пользователем.
  23. 23. Способ по п.1, в котором первоначально незашифрованные данные представляют на дисплее интерфейса пользователя, и порции данных, которые должны быть отобраны на этапе (а), отбирают посредством выделения этих порций данных на дисплее интерфейса пользователя.
  24. 24. Способ по п.1, в котором последовательность этапов повторяют для еще одной лицензии, что дает в результате множество разных зашифрованных порций данных.
  25. 25. Способ по п.1, в котором защищают целостность зашифрованных данных посредством использования зашифрованного профиля сообщения.
  26. 26. Способ по п.1, в котором лицензия является основанным на пароле ключом шифрования.
  27. 27. Способ дешифрования данных, которые включают в себя одну или более зашифрованных порций данных, содержащий этапы, на которых (a) обнаруживают наличие зашифрованной порции данных в исходном блоке данных;
    (b) осуществляют доступ к данным лицензии из памяти данных лицензии и (c) используют данные лицензии, полученные из памяти данных лицензии, чтобы определить, существует ли действительная лицензия для приема дешифрованной версии зашифрованной порции данных, и если это так, то (ί-ί) дешифруют зашифрованную порцию данных путем непосредственного использования криптографической информации ассоциированной лицензии, полученной из памяти данных лицензии, или (ί-ίί) дешифруют криптографический ключ в заголовке зашифрованных данных, используя криптографическую информацию ассоциированной лицензии, полученной из памяти данных лицензии, и дешифруют упомянутую порцию данных путем использования дешифрованного криптографического ключа; и (й) замещают зашифрованную порцию данных дешифрованной версией этой порции данных.
  28. 28. Способ по п.27, в котором этап (с) дополнительно содержит этап на котором (ίίί) представляют дешифрованную версию порций данных на экране дисплея.
  29. 29. Способ по п.28, в котором исходный блок данных включает в себя одну или более незашифрованных порций, вкрапленных в дешифрованную порцию, и этап (с)(ш) дополнительно содержит этап, на котором представляют упомянутые незашифрованные порции и дешифрованную порцию на экране дисплея в едином унифицированном незашифрованном виде.
  30. 30. Способ по п.29, в котором имеется множество разных зашифрованных порций данных, каждая из которых имеет уникальную лицензию, и этапы (а)-(с) повторяют для каждой из упомянутых разных порций данных, а этап (с)(ш) дополнительно содержит этап, на котором представляют незашифрованные порции и дешифрованные порции на экране дисплея в едином унифицированном незашифрованном виде.
  31. 31. Способ по п.29, в котором, если пользователь определен как не имеющий действительной лицензии для приема дешифрованной версии зашифрованной порции данных, то этап (с)(ш) дополнительно содержит этап, на котором представляют только незашифрованные порции данных на экране дисплея в воспроизведении данных.
  32. 32. Способ по п.27, в котором данные выражены основанным на синтаксисе языком форматирования мультимедийных данных.
  33. 33. Способ по п.32, в котором зашифрованная порция данных согласуется с синтаксисом языка форматирования мультимедийных данных.
  34. 34. Способ по п.33, в котором зашифрованную порцию данных включают в поле комментария языка форматирования мультимедийных данных.
  35. 35. Способ по п.32, в котором зашифрованную порцию данных включают в заголовок языка форматирования мультимедийных данных.
  36. 36. Способ по п.27, в котором данные выражены языком разметки.
  37. 37. Способ по п.36, в котором зашифрованная порция данных согласуется с синтаксисом языка разметки.
  38. 38. Способ по п.37, в котором порцию зашифрованных данных включают в поле комментария языка разметки.
  39. 39. Способ по п.27, в котором данные выражены языком программирования.
  40. 40. Способ по п.39, в котором порция зашифрованных данных согласуется с синтаксисом языка программирования.
  41. 41. Способ по п.40, в котором зашифрованную порцию данных включают в поле комментария языка программирования.
    - 7 006790
  42. 42. Способ по п.27, в котором лицензию идентифицируют тегами в данных.
  43. 43. Способ по п.27, в котором данные лицензии, хранящиеся в памяти данных лицензии, и зашифрованные данные включают в себя права контроля доступа, и этап (с) дополнительно содержит этап, на котором определяют, существуют ли надлежащие права контроля доступа для приема дешифрованной версии зашифрованной порции данных.
  44. 44. Способ по п.27, в котором данные лицензии, хранящиеся в памяти данных лицензии, включают в себя временные ограничительные условия, и этап (с) дополнительно содержит этап, на котором определяют, является ли временное ограничительное условие законным на текущий момент времени для приема дешифрованной версии зашифрованной порции данных.
  45. 45. Способ по п.27, в котором данные лицензии, хранящиеся в памяти данных лицензии, включают в себя количественное ограничительное условие, и этап (с) дополнительно содержит этап, на котором определяют, является ли количественное ограничительное условие законным для приема дешифрованной версии зашифрованной порции данных, и если это так, то (1) дешифруют порцию данных и (ΐΐ) уменьшают параметр, соответствующий количественному ограничительному условию.
  46. 46. Способ по п.27, в котором имеется множество разных зашифрованных порций данных, каждая из которых имеет уникальную лицензию, и этапы (а)-(с) повторяют для каждой из упомянутых разных порций данных.
  47. 47. Способ по п.25, в котором удостоверяются в надлежащей целостности данных.
  48. 48. Способ по п.25, в котором память данных лицензии постоянно находится на средстве идентификации, и этап (Ъ) дополнительно содержит этап, на котором осуществляют доступ к данным лицензии и криптографической информации из средства идентификации.
EA200500347A 2002-08-14 2003-08-13 Способ создания и обработки потоков данных, которые содержат зашифрованные и дешифрованные данные EA006790B1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NO20023860A NO20023860D0 (no) 2002-08-14 2002-08-14 Fremgangsmåte for å generere og prosessere dataströmmer som inneholder krypterte og dekrypterte data
PCT/NO2003/000275 WO2004017184A1 (en) 2002-08-14 2003-08-13 Method for creating and processing data streams that contain encrypted and decrypted data

Publications (2)

Publication Number Publication Date
EA200500347A1 EA200500347A1 (ru) 2005-08-25
EA006790B1 true EA006790B1 (ru) 2006-04-28

Family

ID=19913897

Family Applications (1)

Application Number Title Priority Date Filing Date
EA200500347A EA006790B1 (ru) 2002-08-14 2003-08-13 Способ создания и обработки потоков данных, которые содержат зашифрованные и дешифрованные данные

Country Status (6)

Country Link
US (1) US20060107325A1 (ru)
EP (1) EP1543401A1 (ru)
AU (1) AU2003251245A1 (ru)
EA (1) EA006790B1 (ru)
NO (1) NO20023860D0 (ru)
WO (1) WO2004017184A1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2614928C1 (ru) * 2015-09-30 2017-03-30 Акционерное общество "Лаборатория Касперского" Система и способ шифрования при передаче веб-страницы приложению пользователя

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060005017A1 (en) * 2004-06-22 2006-01-05 Black Alistair D Method and apparatus for recognition and real time encryption of sensitive terms in documents
CN101023433A (zh) * 2004-07-02 2007-08-22 皇家飞利浦电子股份有限公司 安全单元和保护数据的方法
US7664109B2 (en) * 2004-09-03 2010-02-16 Microsoft Corporation System and method for distributed streaming of scalable media
GB0421774D0 (en) * 2004-09-30 2004-11-03 Ttp Communications Ltd Source code protection
JP4883342B2 (ja) * 2005-09-06 2012-02-22 ソニー株式会社 情報処理装置および方法、並びにプログラム
JP4818279B2 (ja) * 2005-12-22 2011-11-16 富士通株式会社 プログラム処理装置、プログラム処理方法及びプログラム
US7962638B2 (en) 2007-03-26 2011-06-14 International Business Machines Corporation Data stream filters and plug-ins for storage managers
US20090077390A1 (en) * 2007-09-14 2009-03-19 Particio Lucas Cobelo Electronic file protection system having one or more removable memory devices
US8850544B1 (en) * 2008-04-23 2014-09-30 Ravi Ganesan User centered privacy built on MashSSL
US9350714B2 (en) * 2013-11-19 2016-05-24 Globalfoundries Inc. Data encryption at the client and server level
IN2014CH01332A (ru) * 2014-03-13 2015-09-18 Infosys Ltd
DE102015108859B4 (de) * 2015-06-03 2018-12-27 Cortec Gmbh Verfahren und System zum Verarbeiten von Datenströmen
RU2613535C1 (ru) * 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
US9590958B1 (en) * 2016-04-14 2017-03-07 Wickr Inc. Secure file transfer
DE112018000705T5 (de) 2017-03-06 2019-11-14 Cummins Filtration Ip, Inc. Erkennung von echten filtern mit einem filterüberwachungssystem
WO2019180675A1 (en) * 2018-03-22 2019-09-26 Trulyprotect Oy Systems and methods for hypervisor-based protection of code
CN111464428B (zh) * 2020-03-31 2022-03-01 维沃移动通信有限公司 音频处理方法、服务器、电子设备及计算机可读存储介质
CN113486305B (zh) * 2021-09-08 2021-12-17 深圳市信润富联数字科技有限公司 一种基于过滤、拦截及加密技术的软件License验证方法及系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5473692A (en) * 1994-09-07 1995-12-05 Intel Corporation Roving software license for a hardware agent
WO1998042098A1 (en) * 1997-03-14 1998-09-24 Cryptoworks, Inc. Digital product rights management technique
US6386894B2 (en) * 2000-04-28 2002-05-14 Texas Instruments Incorporated Versatile interconnection scheme for beverage quality and control sensors
EP1184771B1 (de) * 2000-08-24 2004-08-04 Wibu-Systems AG Verfahren zum Schutz von Computer-Software und/oder computerlesbaren Daten sowie Schutzgerät
US6915425B2 (en) * 2000-12-13 2005-07-05 Aladdin Knowledge Systems, Ltd. System for permitting off-line playback of digital content, and for managing content rights
JP2002158985A (ja) * 2000-11-17 2002-05-31 Hitachi Ltd デジタルコンテンツ配布システム、デジタルコンテンツ配布方法、デジタルコンテンツ配布装置、情報処理装置、および、デジタルコンテンツ記録媒体
US20030088517A1 (en) * 2001-04-13 2003-05-08 Xyleco, Inc. System and method for controlling access and use of private information
US7151831B2 (en) * 2001-06-06 2006-12-19 Sony Corporation Partial encryption and PID mapping

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2614928C1 (ru) * 2015-09-30 2017-03-30 Акционерное общество "Лаборатория Касперского" Система и способ шифрования при передаче веб-страницы приложению пользователя

Also Published As

Publication number Publication date
US20060107325A1 (en) 2006-05-18
NO20023860D0 (no) 2002-08-14
EA200500347A1 (ru) 2005-08-25
WO2004017184A1 (en) 2004-02-26
AU2003251245A1 (en) 2004-03-03
EP1543401A1 (en) 2005-06-22

Similar Documents

Publication Publication Date Title
EA006790B1 (ru) Способ создания и обработки потоков данных, которые содержат зашифрованные и дешифрованные данные
US9990474B2 (en) Access control for selected document contents using document layers and access key sequence
US7668316B2 (en) Method for encrypting and decrypting metadata
US7979700B2 (en) Apparatus, system and method for securing digital documents in a digital appliance
KR101287518B1 (ko) Epub 기반 컨텐츠에 대한 디지털 저작권 관리장치 및 방법, 그리고 사용자 권한에 따른 epub 기반 컨텐츠 제공장치 및 방법
US20070011469A1 (en) Secure local storage of files
US20020077986A1 (en) Controlling and managing digital assets
EP1320015A2 (en) System and method for providing manageability to security information for secured items
US20070016771A1 (en) Maintaining security for file copy operations
US20070011749A1 (en) Secure clipboard function
US20060018484A1 (en) Information processing device, information processing system, and program
US10061932B1 (en) Securing portable data elements between containers in insecure shared memory space
US20060294377A1 (en) Method for encrypting/decrypting e-mail, and storage medium and module
US8887290B1 (en) Method and system for content protection for a browser based content viewer
US20040059945A1 (en) Method and system for internet data encryption and decryption
KR100440037B1 (ko) 문서보안 시스템
KR100819382B1 (ko) 디지털 정보 저장 시스템, 디지털 정보 보안 시스템,디지털 정보 저장 및 제공 방법
KR101368827B1 (ko) 콘텐츠의 객체별 권한 설정 장치 및 방법, 그리고 객체별 권한에 따른 콘텐츠 제공 장치 및 방법
EP1410629A1 (en) System and method for receiving and storing a transport stream
KR101151211B1 (ko) 보안 디지털 문서 제공 방법 및 시스템, 보안 패키지 생성 장치 및 보안 패키지 실행 방법
CN108540426A (zh) 一种实现数据处理的方法、装置及服务器
Halboob et al. Privacy policies for computer forensics
Kim Protecting metadata of access indicator and region of interests for image files
JP2000099385A (ja) ファイルを複数ユーザで共有するためのセキュリティ方法ならびにシステム及び同方法がプログラムされ記録される記録媒体
Wolfe Evidence analysis

Legal Events

Date Code Title Description
MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): AZ KG MD TJ TM