JP2009512959A - オペレーティングシステム非依存型データ管理 - Google Patents

オペレーティングシステム非依存型データ管理 Download PDF

Info

Publication number
JP2009512959A
JP2009512959A JP2008538124A JP2008538124A JP2009512959A JP 2009512959 A JP2009512959 A JP 2009512959A JP 2008538124 A JP2008538124 A JP 2008538124A JP 2008538124 A JP2008538124 A JP 2008538124A JP 2009512959 A JP2009512959 A JP 2009512959A
Authority
JP
Japan
Prior art keywords
data
security
policy
security policy
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008538124A
Other languages
English (en)
Other versions
JP4769304B2 (ja
Inventor
ロス、アラン、ディー.
モーガン、デニス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2009512959A publication Critical patent/JP2009512959A/ja
Application granted granted Critical
Publication of JP4769304B2 publication Critical patent/JP4769304B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

本発明の装置及び方法は、オペレーティングシステムに依存しないデジタル著作権管理を提供する。データに対するリクエストを出すことが可能であり、リクエストはセキュリティモジュールによってモニタリング可能である。セキュリティモジュールは、ホストオペレーティングシステムに依存せず、リクエストされたデータのデジタル著作権を管理する。従って、デジタル著作権管理は、ホストオペレーティングシステムのコンテキスト外で発生する。セキュリティモジュールは、データを分類し、データ分類に基づいてセキュリティポリシーを決定しうる。ポリシーは、ローカル又はリモートで格納されてもよく、また、そのポリシーの対象であるデータに関連付けられうる。
【選択図】 なし

Description

本発明の実施形態は、コンピュータデバイスのセキュリティ、より具体的には、企業向けデジタル著作権管理に係る。
企業は、現在、その企業内で作成及び/又は処理されるデータの知的所有(IP)権の保護について課題に直面している。従業員は、特定のデータに関するIP権の目的に関する企業の関心や、従業員自身が作成及び作業するデータを分類する方法について熟知していない場合がある。企業は、データのIP権の保護に関する公式な指示書を発行することがあるが、この指示書は従業員が指示に従う場合にのみ有効である。企業は適切な手順が正しく守られていないことを、手遅れな段階で知ることが多い。
デジタル著作権管理(DRM)は存在するが、伝統的に、コンパクトディスク(CD)又はマルチメディアの保護の範囲に限定されている。さらに、DRMがコンピュータデバイス内の他のデータに適用されうる場合でも、従来のDRM技術は、オペレーティングシステムに排他的に依存してデータへのアクセスを制御する。1つの企業において、ユーザは、ユーザ自身のコンピュータデバイスの管理者であって、任意のセキュリティ制御なしでIPを作成、変更、また分配するようオペレーティングシステム内で許可を有しうる。
以下の説明は、本発明の実施形態を例示する様々な図面の説明を含む。図面は、限定的ではなく例示的に理解すべきである。
セキュリティ・ケイパビリティ・マネジャを有するシステムの一実施形態を示すブロック図である。
デジタル著作権管理ポリシーを決定し適用するセキュリティ・ケイパビリティ・マネジャを有するシステムの一実施形態を示すブロック図である。
遠隔ポリシーサーバに結合されるセキュリティ・ケイパビリティ・マネジャを有するシステムの一実施形態を示すブロック図である。
セキュリティ・ケイパビリティ・マネジャによって管理されるポリシーに従ってデータにアクセスするアプリケーションの一実施形態を示すブロック図である。
セキュリティ・ケイパビリティ・マネジャの一実施形態を示すブロック図である。
文書作成の一実施形態を説明するフロー図である。
文書変更の一実施形態を説明するフロー図である。
本願に使用するように、1つ以上の「実施形態」への参照は、本発明の少なくともひとつの実施に含まれる特定の機能、構造、又は特徴を説明するとして理解するものとする。従って、本願に登場する「一実施形態では」又は「代替実施形態では」との表現は、本発明の様々な実施形態及び実施を説明するものであり、また、必ずしも全てが同一の実施形態を指すとは限らない。しかし、互いに排他的でもない。図面の説明を含む特定の詳細及び実施の説明を以下に示し、これらは、以下に説明する一部の又は全ての実施形態を説明し、また、本願に記載する新規性概念の他の潜在的な実施形態又は実施も説明する。本発明の実施形態の概説を以下に示し、次に図面を参照する詳細な説明を示す。
コンピュータデバイスは、データセキュリティ管理を供給するセキュリティモジュールを含むことが可能であるハードウェアプラットホームを含む。従って、データのセキュリティは、ホストオペレーティングシステム及び常駐アプリケーションから分離可能である。セキュリティモジュールの1つの例として、カリフォルニア州サンタクララのインテル社から入手可能なAMT(アクティブ・マネジメント・テクノロジ)を使用するモジュールが挙げられる。データに対するリクエストがプラットホーム上で生成されると、セキュリティモジュールは、そのリクエストをモニタリングして、そのリクエストに関連付けられる又はそのリクエストによって示唆されるセキュリティ問題を管理可能である。従って、リクエストは、プラットホーム上のホストオペレーティングからデータ管理システムに対して生成可能であり、セキュリティモジュールが、データのデジタル著作権管理(DRM)の適用及び実施を保証可能である。本願に使用するように、リクエストとは、メモリと記憶装置間のデータの両方向での交換と理解する。メモリは一般的に、揮発性システムメモリを指し、記憶装置は不揮発性記憶装置を指す。リクエストはさらに、プロセッサ又は中央演算処理ユニット(CPU)による、メモリ(例えば、キャッシュ、ランダムアクセスメモリ(RAM))からのデータのアクセス又は呼出しを指す。データは、1つ以上のビットの情報のまとまりを指す。本願で使用するDRMは、一般的に、セキュリティの管理と、任意のデータへの潜在的なアクセス/変更/作成制限を指す。より具体的には、DRMは、データ分類、(ユーザの)認証、データを使用するための認可、及び否認防止(例えば、デジタル証明書を介するユーザの本人性の証明)のうちの1つ以上を制御する企業内のポリシーサービスを指す場合もある。
プラットホーム上のセキュリティモジュールは、プラットホーム上の1つ以上のオペレーティングシステムに依存しない。本願に使用するように、「オペレーティングシステム非依存」とは、オペレーティングシステムが一般的に、セキュリティモジュールに直接アクセスする能力を検出しない又は有さないという概念を指す。オペレーティングシステムに依存しないセキュリティモジュールは、オペレーティングシステムと同様の攻撃に対する脆弱性を有さない。従って、オペレーティングシステムに障害が発生する又は攻撃される場合でも、セキュリティモジュールのインテグリティは、影響を受けない。「オペレーティングシステム非依存」と称する以外に、このようなシステムは、「帯域外(アウト・オブ・バンド)」で、オペレーティングシステムより論理的に「下位」のシステム、又は、セキュリティモジュールが一般的に存在するためにオペレーティングシステムにより制御/管理されるハードウェア又はソフトウェアを必要としないという概念を示唆する他の用語によっても称されうる。しかし、セキュリティモジュールの機能は、オペレーティングシステムにより制御されるハードウェア/ソフトウェアと関連しうる。
一実施形態では、1つのアプリケーションがオペレーティングシステム内に存在する、又は、オペレーティングシステム下で実行する。このアプリケーションは、セキュリティモジュールとインターフェイスする。オペレーティングシステム下で実行するアプリケーションは、オペレーティングシステムにより管理/スケジューリングされるプログラムを指す。アプリケーションは、オペレーティングシステム内で、例えば、オペレーティングシステムのセキュリティカーネル又は他のシステムアプリケーション又はネイティブコンポーネントとして存在可能である。アプリケーションは、セキュリティモジュールと通信して、データに関する情報又はデータにアクセス可能にするプログラムを供給する。一実施形態では、アプリケーションは、セキュリティモジュールがデータを分類することが可能となるよう情報を供給する。
メモリ内にデータをロードするよう記憶装置から、又は、データの全て又は一部を交換する又は新しく作成されたデータを記憶装置内に格納するようメモリからリクエストが出されると同時又は後に、セキュリティモジュールは、データに関する動作をモニタリング可能である。プラットホームプロセッサによってメモリ内のデータへの動作(例えば、ロード、アクセス、作成)に関してリクエストが出されると同時又は後に、セキュリティモジュールは、動作をモニタリング可能である。いずれの場合においても、動作をモニタリングすることには、データのタイプ、データに関連付けられるセキュリティポリシー、又はデータに関連付けられるべきセキュリティポリシーを決定することと、適切なセキュリティポリシー規則又は手順が正しく実行されていることを保証することを含みうる。
一実施形態では、セキュリティモジュールは、選択された新しく作成されたデータに強制アクセス制御を与える。強制アクセス制御を与えるデータの選択は、データタイプ、プラットホームの地理ロケーション(例えば、特定の企業施設内、企業施設の特定の場所内、現場外)、プラットホームの仮想ロケーション(例えば、特定のローカルエリアネットワーク(LAN)内又は仮想LAN内、特定のワイヤレスLAN(WLAN)上、非セキュアなネットワーク上)、ファイルタイプ(例えば、特定のファイル拡張子によって指定される)、文書タイプ(例えば、1つ以上の特定のファイル拡張子によって指定される、特定のテンプレートから作成される、特定のタイプの他のデータからコピー又は複製される)、データの目的(例えば、プレゼンテーション、コード、内部文書)、ユーザの本人性(例えば、ユーザ名又はパスワードの組み合わせ、任意のデジタル証明書、特定のデジタル証明書、メディアアクセス制御(MAC)アドレス)、データを暗号化するために使用される暗号化鍵の長さ(例えば、128ビット以上、256ビット以上)、特定のキーワードを有する(例えば、プロジェクトコード名)等の決定によって決定可能である。上述のいずれも本願では「データタイプ」を指すものとして考えうる。一実施形態では、全ての新しく作成されたデータは、それに関連付けられる強制アクセス制御を有する。なお、強制アクセス制御は、データの作成者がオペレーティングシステムにおいて認可を有するか否かに関係なくデータに適用可能である。従って、ユーザは、自分のコンピュータデバイス上でデータを生成し、セキュリティモジュールは、ユーザがセキュリティ規則を理解する又はセキュリティ規則をトリガすることを試みる必要なくその文書にセキュリティ規則を関連付け可能である。
一実施形態では、データとのセキュリティ規則の関連付けは、特定のデータに対する特定のポリシーの関連付けを指す。別の実施形態では、セキュリティ規則の関連付けは、データに対するデフォルトのセキュリティポリシーの関連付けを指す。同一のデフォルト・セキュリティ・ポリシーを使用しても、データタイプに依存して異なるデフォルトポリシーが存在してもよい。セキュリティモジュールによるセキュリティ関連付けは、不測の又は悪意のあるデータの変更の可能性を低減するだけでなく、政府及び規制基準(例えば、2002年のサーベンス・オクスリー(SOX)法(H.R.3763))とのコンプライアンスも増加しうる。
図1は、セキュリティ・ケイパビリティ・マネジャを有するシステムの一実施形態を示すブロック図である。ホストシステム100は、電子システム又はコンピュータシステムを表す。例えば、ホストシステム100は、モバイルコンピュータ装置又はモバイルコンピュータプラットホームでありうる。モバイルコンピュータ装置は、ラップトップコンピュータ、ハンドヘルドコンピュータシステム、携帯情報端末(PDA)、スマートホン等を含みうる。ホストシステム100は、デスクトップコンピュータ、サーバ型コンピュータ、又は、ワークステーションであってもよい。ホストシステム100は、バス又はバスシステム102を含む。バス102は、任意の数の線路、コンポーネント、ブリッジ等であると理解し、複数のプラットホームコンポーネント間の相互接続性を供給する。バス102は、1つ以上のマルチドロップ及び/又はシングルドロップ通信経路を含みうる。バス102は、コンポーネントを互いに結合するための1つの機構を表す。他の形式の相互接続又は結合を使用してもよい。本願で使用するように、「結合された」とは、必ずしも物理的に接続されたことを意味するわけではないが、「物理的に接続された」という意味を有する場合もある。「結合された」又は「相互接続された」とは、物理的な接続性、通信上の結合、及び/又は、電気的な結合を意味してもよい。
プロセッサ110は、ホストシステム100の1つ以上のコンピュータ素子を表す。プロセッサ110は、任意のタイプのコンピュータ素子であってよく、1つ以上の中央演算処理ユニット(CPU)、処理コア、デジタル信号プロセッサ(DPS)、プログラム可能な論理装置(PLD)、マイクロコントローラ等、又はこれらの任意の組み合わせを含みうる。プロセッサ110は、一般的に、ホストシステム100に対して演算リソースを与え、ホストシステム100の主な演算を実行する。プロセッサ100は、その上でホストオペレーティングシステムが実行されるハードウェア環境を与える。ホストシステム100はさらに、メモリ120を含む。メモリ120は、動的ランダムアクセスメモリ(DRAM)、同期DRAM(SRAM)、ダブルデータレートRAM(DDR RAM)等、又はこれらの任意の組み合わせを含むランダムアクセスメモリ(RAM)の1つ以上のコンポーネントを含みうる。メモリ120はさらに、キャッシュの1つ以上の素子を含むと理解してもよい。一般的に、メモリ120は、コンピュータ110が演算/実行するための命令及びデータを供給する一時的な記憶装置を提供する。メモリ120は、ホストシステム100上で実行されるべきプログラムがロードされるリソースを提供可能である。メモリ120内に格納される他のデータ又は命令のうち、メモリ120は、1つ以上のアプリケーション122及びオペレーティングシステム(OS)124を含むことができる。OS124は、ホストシステム100のソフトウェアコンピュータ環境の主なコンポーネントである。
一実施形態では、メモリ120はさらに、デジタル著作権管理(DRM)アプリケーション126を含む。このアプリケーション126は、OS124とセキュリティ・ケイパビリティ・マネジャ130をインターフェイスさせる1つ以上のソフトウェアコンポーネントを表す。DRMアプリケーション126は、OS124のネイティブコンポーネントであっても、別個のアプリケーション、機能、動的リンクライブラリ(DLL)等として存在してもよい。DRMアプリケーション126は、OS124とセキュリティ・ケイパビリティ・マネジャ130との間の通信を供給する。例えば、DRMアプリケーション126は、データに関する情報をセキュリティ・ケイパビリティ・マネジャ130に供給する、及び/又は、データに適用されるセキュリティに関する情報をセキュリティ・ケイパビリティ・マネジャ130から受信しうる。
ホストシステム100はさらに、ユーザとのインタラクティブ性、及び/又は、ホストシステム100の周辺コンポーネント及び装置との相互接続を供給する1つ以上のコンポーネントを表す1つ以上の入出力(I/O)インターフェイス140を含む。ホストシステム100はさらに、有線及び/又は無線でありうる1つ以上のネットワークインターフェイス150を含みうる。ネットワークインターフェイス150は、ハードウェアコンポーネント(例えば、インターフェイス回路、インターフェイスポート、コントローラ)、並びにソフトウェアコンポーネントの両方を表し、有線又は無線インターフェイスのどちらか又は両方に対してハードウェアコンポーネント(例えば、ドライバ)を実行する。
ホストシステム100は、不揮発的にデータ及び/又はプログラムを格納する1つ以上のコンポーネントを表す大容量記憶装置160を含む。不揮発性記憶装置とは、その記憶装置に電力が供給されなくてもその情報を維持する記憶装置である。従って、大容量記憶装置160は、1つ以上のリムーバブル記憶装置162(例えば、光学/磁気ディスクドライブ)、不揮発性記憶装置164(例えば、フラッシュ、又は、汎用シリアルバス(USB)記憶装置互換性を含む他の半導体に基づく記憶システム)、又は磁気ハードディスクドライブ(HDD)166、又はそれらの任意の組み合わせを含みうる。
一実施形態では、ホストシステム100は、ホストシステム100においてデータに対するセキュリティをモニタリング及び/又は管理するセキュリティ・ケイパビリティ・マネジャ130を含む。セキュリティ・ケイパビリティ・マネジャ130は、本願に説明する任意の実施形態によるセキュリティモジュールを表す。セキュリティ・ケイパビリティ・マネジャ130は、セキュリティ・ケイパビリティ・マネジャ130のローカルに格納される1つ以上のセキュリティポリシー、又は、ホストシステム100から遠隔で(例えば、ネットワークインターフェイス150を介して)得られる1つ以上のセキュリティポリシー、又は任意の組み合わせを表すポリシー132を含む。ポリシー132は、ポリシー132が関連付けられるデータのアクセス、使用、及び/又は伝播に関連する規則を供給する。セキュリティ・ケイパビリティ・マネジャ130は、OS124に依存せず、また、ホストシステム100のホストオペレーティングシステムのコンテキストから引き離されたセキュリティポリシーの管理を供給する。
図2は、デジタル著作権管理ポリシーを決定及び適用するセキュリティ・ケイパビリティ・マネジャを有するシステムの一実施形態を示すブロック図である。ホストシステム200は、本願に記載する任意の実施形態によるホストシステム又はプラットホームの一例である。ホストシステム200は、ホストシステム200上で命令を実行するプロセッサを表すCPU210を含む。CPU210は、1つ以上の装置及び/又は処理コアを含みうる。OS220は、システム200のホストオペレーティングシステムであり、CPU210上で実行される。一実施形態では、ホストシステム200は、AMTの考えに基づいて構築されうるプラットホーム管理230を含む。
プラットホーム管理230は、OS220に依存せず、また、一般的にCPU210とは別個の制御及び/又は処理論理を有する。一実施形態では、プラットホーム管理230は、メモリコントローラハブ上に存在する。プラットホーム管理230は、セキュリティ・ケイパビリティ・マネジャ(CM)232及びポリシー234を含む。ポリシー234は、ローカルポリシーであっても、リモートポリシー250を含む遠隔装置から取得されてもよい。リモートポリシー250は、ネットワークポリシーサーバからであってもよい。ポリシー234は、データ262に関連付けられた又は関連付けられる規則又は条件を表す。データ262にポリシー234を関連付けることは、ポリシー234をデータ262に対して適用可能にすること、又は、データ262のアクセス又は使用をポリシー234に応じて制限することを指す。データ262は、関連付けられるポリシー234の影響下に置かれる。ポリシー234の関連付けは、ポリシー234の仕様を示すよう、又は、ポリシー234をアクセスする場所を示すようデータ262にメタデータ又は追加情報を追加することを含む。一実施形態では、ポリシー234は、データ262の主なファイル/文書と共に又はそうでなければ関連付けられて保存される拡張マークアップ言語(XML)を含む。
セキュリティ・ケイパビリティ・マネジャ232は、本願に開示する任意の実施形態によるセキュリティモジュール又はセキュリティ・マネジャを表す。セキュリティ・ケイパビリティ・マネジャ232は、データ262に適用されるべきポリシー234を管理する。ポリシー234の管理は、ポリシー234をデータに関連付け、そのポリシーが準拠されているかどうかを決定する、及び/又はポリシーの不履行を施行するセキュリティ・ケイパビリティ・マネジャ232の機能、又は、ポリシー決定又はポリシー施行に関連する任意の他の機能を指す。データ262へのアクセスは、ポリシー234の施行に従って拒否又は制限されうる。
一実施形態では、管理アプリケーション222は、OS220のネイティブコンポーネントとして又はOS220下で動作する別個のアプリケーションとしてOS220に関連付けられる。セキュリティ・ケイパビリティ・マネジャ232は、アプリケーション222に結合されて、OS220下でリクエストされたデータのセキュリティに関してアプリケーション222とインターフェイスしうる。一般的に、データ262に対するリクエストは、OS220のコンテキストにおいて(例えば、OS220によって、OS220の環境上で実行するアプリケーションによって)出され、セキュリティ・ケイパビリティ・マネジャ232は、そのデータにセキュリティポリシーを実施する。セキュリティ・ケイパビリティ・マネジャ232のインターフェイスは、図2に示すように、直接的であっても、例えば、CPU210といった1つ以上の他のコンポーネントを介してもよい。
プラットホーム管理230は、ホストシステム200の周辺サポートを与える1つ以上のコンポーネントを表す入出力(I/O)ハブ240に結合される。例えば、1つ以上のネットワーク接続性機構がホストシステム200内で利用可能でありうる。I/Oハブ240は、ワイヤレスネットワークインターフェイス回路を表すワイヤレスLAN(WLAN)242と、有線ネットワークインターフェイス回路の一例であるイーサネット(登録商標)244に結合される。
I/Oハブ240はさらに、任意のタイプの不揮発性記憶装置でありうる記憶装置260に結合されてもよい。記憶装置260は、図2では、ホストシステム200内にあるように示すが、記憶装置260は、ホストシステム200内に存在することに限定されない。一実施形態では、記憶装置260は、ネットワークを介して遠隔でホストシステム200の外部にあり、例えば、WLAN242及び/又はイーサネット(登録商標)244を介してアクセス可能でありうる。記憶装置260は、その中にデータ262が格納されうる場所を提供する。従って、データ262は、ホストシステム200に対してローカルであるデータ、及び/又は、ネットワーク上で共有されるデータでありうる。なお、図2では、記憶装置260とメモリ280との間にもデータ262を示す。このような場所におけるデータ262の記載は、ホストシステム200のほんの一面を表すに過ぎないことを理解する。データ262は、例えば、記憶装置260内にあっても、メモリ280内にあっても、CPU210上で実行されても、キャッシュ内にあってもよい。これらの様々な場所間でのデータ262の「動き」は、DRM272及び/又はDRM274によって制御されうる。DRM272/274は、別個のデジタル著作権規則に基づいても基づいていなくてもよい。一実施形態では、DRM272及びDRM274は、データ262への異なる動作でのポリシー234の適用である。本願で使用するように、データ262の「動き」又は「動作」とは、データ262の1つ以上のビットへの一対以上の演算を指す。従って、ロード、保存、修正、変更、読出し、送信、印刷等は全て、データ262の「動き」又は「動作」として考えられうるデータ262に対して発生しうる演算を指す。DRMは、データ262に対して1つ以上の動作がリクエストされるとチェックされ、ポリシー234が、1つ以上の動作に関して制限又は限定を適用しうる。
一般的に、データ262の作成、データ262の変更、データ262のアクセス、データ262の伝送等は全て、ポリシー234の対象であるデータ262に対して出されるリクエストであり、そのポリシー2324は、セキュリティ・ケイパビリティ・マネジャ232によって管理/処理/制御される。これらのリクエストは、OS220のコンテキストにおいて出され、また、セキュリティは、OS220又はOS220のコンテキストにおける(例えば、OS220下で実行する)コンポーネントによって管理されるのではなく、プラットホーム管理230のオペレーティングシステム非依存のコンポーネント(例えば、セキュリティ・ケイパビリティ・マネジャ232)によって管理される。セキュリティ・ケイパビリティ・マネジャ232は、ポリシー234に関してホストシステム200に対してローカルであるポリシー実施ポイントであることも可能である。これは、セキュリティ・ケイパビリティ・マネジャ232がポリシー234をデータ262に適用するからである。一実施形態では、セキュリティ・ケイパビリティ・マネジャ232はさらに、ポリシー234を生成する、及び/又は、遠隔/外部ポリシー250からポリシー234を取得し、データ262へのポリシーの正しい適用に関する決定(例えば、どの規則をデータ262に関連付けるか、特定のユーザはデータをアクセスしてもいいよう認可されているか、どの規則を一人以上のユーザに適用するか等)を行いうる。従って、セキュリティ・ケイパビリティ・マネジャ232は、ホストシステム200上に存在するポリシー決定ポイントでもありうる。
図3は、遠隔ポリシーサーバに結合されるセキュリティ・ケイパビリティ・マネジャを有するシステムの一実施形態を示すブロック図である。ホストシステム310は、本願に記載する任意の実施形態によるシステム又はプラットホームを表し、本願に記載する任意の実施形態によるセキュリティモジュール又はケイパビリティ・マネジャを表すセキュリティ・ケイパビリティ・マネジャ320を有する。セキュリティ・ケイパビリティ・マネジャ320は、本願に説明する任意の方法で、ホストシステム310におけるデータに対するポリシー322を管理及び適用する。セキュリティ・ケイパビリティ・マネジャ320は、ネットワーク330に直接又は間接的に結合されうる。セキュリティ・ケイパビリティ・マネジャ320の結合は、ネットワークインターフェイス回路の一般的に利用可能であるネットワークポート/リソースを介するか、及び/又は、アウト・オブ・バンド通信リンクであってもよい。アウト・オブ・バンド通信リンクは、ホストシステム310のホストオペレーティングシステムにアクセスすることのできない通信チャネル/線路を指す。
ネットワーク330は、セキュリティ・ケイパビリティ・マネジャ320がサーバ340及び/又はDRMポリシーサービス350とインターフェイスするための接続を提供する。サーバ340は、サーバクラスのコンピュータ装置又はネットワーク管理サービスを有するコンピュータ装置を表す。DRMポリシーサービスは、サーバ340のサービスであるか、又は、ネットワーク330又は別のネットワーク(図示せず)上の別のロケーションからサーバ340によってアクセスされうる。DRMポリシーサービス350は、ホストシステム300のデータに実施するポリシーをセキュリティ・ケイパビリティ・マネジャ320に与える、ホストシステム300から遠隔のエンティティである。DRMポリシーサービス350は、様々な規則又はポリシーを有するポリシー342にアクセスしうる。これらのポリシーは、セキュリティ・ケイパビリティ・マネジャ320がセキュリティを実施する対象であるデータのタイプに基づいて異なりうる。ポリシー342は、セキュリティ・ケイパビリティ・マネジャ320が利用可能でありうるリモートポリシーを表す。セキュリティポリシーをローカルで作成することに加えて、一実施形態では、セキュリティ・ケイパビリティ・マネジャ320は、ポリシー342にアクセスし、そのポリシーの一部又は全てをポリシー322としてローカルに格納し、それによりセキュリティ・ケイパビリティ・マネジャ320がポリシー決定ポイントとして作動することを可能にしてもよい。
図4は、セキュリティ・ケイパビリティ・マネジャによって管理されるポリシーに従ってデータにアクセスするアプリケーションの一実施形態を示すブロック図である。アプリケーション410は、一般的に、ホストオペレーティングシステムのコンテキストにおいて、データに対するリクエストを生成するホストシステム上のプログラム又はアプリケーションを表す。アプリケーション410は、データを呼出し/取得するルーチン412を含みうる。データの呼出しとは、データにアクセスする又はデータを変更することでありうる。データの呼出し又は取得はさらに、1つ以上のビットを新しいデータ素子(例えば、ファイル、文書)として管理するためにリソースを割り当てるようホストオペレーティングシステムに対するリクエストを表しうる。ルーチン412は、一部の又は全てのデータの場合にDRM420の適用に従う。機密データ、ネットワークで共有されるデータ、特定のユーザ、プロジェクトに関連するデータ、及び/又は他のデータは、セキュリティ・ケイパビリティ・マネジャ430によって管理される関連付けられるセキュリティを有しうる。
一実施形態では、セキュリティ・ケイパビリティ・マネジャ440は、1つ以上の形式の固定記憶装置を表す不揮発性(nv)記憶装置442を含む又はその記憶装置へのアクセスを有する。一実施形態では、不揮発性記憶装置442は、セキュリティ・ケイパビリティ・マネジャ440の専用であり、他のエンティティは不揮発性記憶装置442にアクセスすることができない。一実施形態では、不揮発性記憶装置442は、TCG(トラステッド・コンピューティング・グループ)のTPM(トラステッド・プラットホーム・モジュール)である又はTPMを含む。従って、TPM又は他の記憶装置の場合、不揮発性記憶装置442は、セキュア(安全)であるか又は単独メモリであることが可能である。不揮発性記憶装置442は、他のコンポーネントがその記憶装置にアクセスすることが許可されないことで単純にセキュアにされる又は孤立させられることが可能である。不揮発性記憶装置442は、ホストオペレーティングシステムが利用可能なハードウェアプラットホームのコンポーネント(例えば、CPU、メインシステムメモリ、ハードドライブ等)が記憶装置に直接アクセスすることができない場合にアウト・オブ・バンドでありうる。セキュリティ・ケイパビリティ・マネジャ440は、例えば、ポリシー又はデジタル署名を不揮発性記憶装置442上に格納可能である。セキュリティ・ケイパビリティ・マネジャ440は、揮発性メモリにもデータを格納してもよい。ポリシーは、不揮発性メモリ内にローカルで格納されるのではなく、それが必要となる度に取得されてもよい。一実施形態では、ポリシーは、不揮発性記憶装置442内に選択的に格納される。例えば、特定のレベルのセキュリティ又は高いレベルのセキュリティのデータは、ネットワークからポリシーを取得することが常に求められうる。或いは、特定のレベルのセキュリティ又は高いレベルのセキュリティのデータは、不揮発性記憶装置442に常に格納されていてもよい。さらに、特定のデータタイプのセキュリティポリシーが不揮発性記憶装置442内に常に格納されていてもよい。従って、情報は、不揮発性記憶装置442内に選択的に格納可能である。
データ430は、ルーチン412がリクエストをする対象である、本願に記載するようなデータを表す。メタデータ432がデータ430に関連付けられてデータ430のセキュリティポリシーに関する情報を与える。一実施形態では、メタデータ432は、データ430に適用する規則を有するXMLファイルである。ポリシー460は、データ430に関連付けられるポリシーを表す。ポリシー460は、データ430に対する許可又は使用事例に関する1つ以上のアイテム又は条件を含みうる。ポリシー460は説明したように、メタデータ432内に存在する、メタデータ432によって指し示される、又は、メタデータ432とは独立して存在することが可能である。
一実施形態では、デフォルトポリシー450が、新しいデータの作成時に適用される。デフォルトポリシー450は、例えば、セキュリティ・ケイパビリティ・マネジャ440がデータ430用のセキュリティポリシーが存在しないと決定する場合、変更時にデータ430と関連付けされることも可能である。データ430は、一般的に、「データタイプ」として本願に説明した多数の要素に依存してセキュリティの複数のレベルのうちの1つに対してデフォルトとして設定可能である。例えば、企業は、データ430の最も厳しい制御を与える「機密」から、データ430にほとんど又はまったくセキュリティ規則を適用しない「公開」まで様々なセキュリティポリシーレベルを有しうる。デフォルトポリシー450は、データがまだセキュリティポリシーを有していない場合に全てのデータに適用される複数のレベルのうちの1つに設定されることが可能である。或いは、デフォルトポリシー450は、データタイプに対応するレベルを決定することが可能である。従って、特定の地理的な場所にあるデータには、異なる地理的な場所からのデータに与えられるものより厳しいポリシー規則が与えられうる。従って、データセキュリティポリシーの実施及び/又は施行がデータタイプに関連するのと同様に、デフォルトポリシーもデータタイプに基づきうる。
図5は、セキュリティ・ケイパビリティ・マネジャの一実施形態を示すブロック図である。図5のセキュリティ・ケイパビリティ・マネジャは、本願に記載する任意の実施形態によるセキュリティ・ケイパビリティ・マネジャの一例である。マネジャ300は、マネジャ500の指示演算に対する論理機能制御を与える制御論理510、及び/又は、マネジャ500の指示演算に関連付けられるハードウェアを含む。論理は、ハードウェア論理回路及び/又はソフトウェアルーチンでありうる。一実施形態では、マネジャ500は、制御論理510に命令を供給するコードシーケンス及び/又はプログラムを表す1つ以上のアプリケーション520を含む。マネジャ500は、メモリ530、及び/又は、データ及び/又は命令を格納するためにメモリリソース530へのアクセスを含む。メモリ530は、マネジャ500に対してローカルであるメモリ、及び/又は、その上にマネジャ500が存在するホストシステムのメモリを含みうる。マネジャ500はさらに、マネジャ500の外部のエンティティ(電子的、又は、人間)について、マネジャ500への/マネジャ500からのアクセスインターフェイスを表す1つ以上のインターフェイス540を含む。インターフェイス540は、マネジャ500から、その上にマネジャ500が存在するホストシステムの他のコンポーネントへのインターフェイス、及び、ホストシステムの外部のエンティティへのインターフェイスを含みうる。
マネジャ500はさらに、マネジャ500がセキュリティポリシーの管理を供給することを可能にする1つ以上の機能を表す管理エンジン550を含む。これらの機能は、データタイプ決定特徴552、ポリシーアクセス特徴554、ポリシー割り当て特徴556、ポリシー適用特徴558、ID証明特徴560、データアクセス特徴562のうちの1つ以上を含むか、又は、これらによって与えられうる。他の特徴を含んでもよく、それにより、図示するものより複雑又は簡単な管理エンジン550の他のバージョンをもたらす。本願に使用するように、特徴とは、ハードウェア、ソフトウェア、又はそれらの組み合わせに関係なく、機能、モジュール、ルーチン、サブシステム等を指しうる。従って、「特徴」は、限定的な意味ではなく例示的な意味で解釈されるべきである。各特徴は、マネジャ500内のモジュールでありうる。
データタイプ決定特徴552は、管理エンジン550が、詳細に上述したようにセキュリティポリシー管理目的でデータタイプを決定することを可能にする。一般的なカテゴリを使用して、ユーザ属性、ホストシステムの場所、データ機能等を定義しうる。データタイプは、管理エンジン550によってアクセスされてもよく、管理エンジン550は、例えば、メモリマネジャから情報を単純に取得しうる。或いは、管理エンジン550は、データタイプを決定するために、データに対するリクエストを処理してもよい。
ポリシーアクセス特徴554は、管理エンジン550が、データに関連付ける及び/又はデータに実施するポリシーを取得することを可能にする。一実施形態では、ポリシーアクセス特徴554は、ポリシーを生成する能力を含む。一実施形態では、ポリシーアクセス特徴554は、ポリシーを取得するために遠隔ポリシーサービスにアクセスする能力を含む。ポリシーアクセス特徴554は、データに対して取得したポリシーをローカルに格納又はキャッシュする能力を含んでもよい。ポリシーは、データに対してセキュリティ管理に関する動作が発生する度に、ネットワークロケーションから取得されてもよい。
ポリシー割り当て特徴556は、管理エンジン550が、データにセキュリティポリシーを関連付けることを可能にする。例えば、セキュリティ・ケイパビリティ・マネジャ500は、ポリシー割り当て特徴556内にXML生成器を含みうる。ポリシー割り当て特徴556は、他のタイプのメタデータファイルの生成器も含みうる。ポリシー割り当て特徴556は、データタイプ決定特徴552と共に動作し、それにより、データタイプを分類しうる。データに割り当てられる又は関連付けられるポリシーは、決定されたデータ分類に全体的に又は部分的に基づくことが可能である。
ポリシー適用特徴558は、管理エンジン550が、データに関連付けられるポリシーを実施することを可能にする。ポリシー適用特徴558は、従って、セキュリティ・ケイパビリティ・マネジャ500が、リクエストを出すユーザのデータへのアクセスを制限する又は制御を限定することを可能にしうる(アクセス又は制御とは、例えば、閲覧、コピー、印刷である)。ポリシー適用特徴558は、ホストオペレーティングシステムのコンテキストにおいて動作する外部アプリケーションとインターフェイスしてセキュリティポリシーを実施してもよい。
ID証明特徴560は、管理エンジン550が、リクエストを出すユーザに否認防止証明を実行することを可能にする。否認防止は、デジタル署名でデータに署名をすることを含みうる。従って、ID証明特徴560は、データが有効なデジタル署名を有するか否かを決定しうる。有効なデジタル署名は、受信者に、データが署名元からであることを示す。従って、データが生成されて署名されると、そのデータは、デジタル署名に基づいてデータの供給元を確認/証明することのできる別のエンティティに送信されることが可能である。一実施形態では、セキュリティ・ケイパビリティ・マネジャ500は、リクエストを出しているユーザの本人性による証明なしにデータを変更又は作成することを拒否する。
データアクセス特徴562は、管理エンジン550が、リクエストをモニタリング又は受信する、及び/又はデータにアクセスすることを可能にする。データアクセス特徴562は、セキュリティ・ケイパビリティ・マネジャ500が、セキュリティ・ケイパビリティ・マネジャ500が一部を構成するプラットホームのホストオペレーティングシステム下でデータに対していつデータリクエストが出されたのかを決定することを可能にする。モニタリングは、セキュリティポリシーの対象であるデータ又はセキュリティポリシーの対象となるべきデータがいつ処理されるべきかを決定する能力を指す。データは、フラグ又はマークが付けられうる。これは、メモリマネジャ又はファイルマネジャ内で行われうる。データへのアクセスとは、データ自体及び/又はデータについての情報を取得するセキュリティ・ケイパビリティ・マネジャ500の能力を指しうる。
マネジャ500は、ハードウェア、ソフトウェア、及び/又は、これらの組み合わせを含みうる。マネジャ500又はその構成コンポーネントがソフトウェアを含む場合、ソフトウェアデータ、命令、及び/又は構成は、機械/電子装置/ハードウェアによって製品を介して与えられうる。製品は、命令、データ等を供給するためのコンテンツを有する機械アクセス可能/可読媒体を含みうる。コンテンツは、例えば、ファイラ、ディスク、又はディスクコントローラといった電子装置内に本願に記載するようにあり、説明した様々な演算又は実行を行いうる。機械アクセス可能な媒体は、機械(例えば、コンピュータ装置、電子装置、電子システム/サブシステム等)によってアクセス可能な形式で情報/コンテンツを供給する(即ち、格納及び/又は送信する)任意の機構を含む。例えば、機械アクセス可能媒体は、記録可能/非記録可能媒体(例えば、読出し専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、磁気ディスク記憶媒体、光学記憶媒体、フラッシュメモリ装置等)、及び、電気的、光学的、音響的、又は他の形式の伝播信号(例えば、搬送波、赤外線信号、デジタル信号等)を含む。機械アクセス可能媒体はさらに、電子装置の動作時に実行されうる、記憶装置上にロードされたコードを有する電子装置を含みうる。従って、そのようなコードを有する電子装置を供給することは、上述したようなコンテンツを有する製品を供給することと理解しうる。さらに、コードをデータベース又は他のメモリロケーション上に格納することと、伝播信号による通信媒体を介するダウンロードのためにコードを提供することは、上述したようなコンテンツを有する製品を提供することと理解しうる。
図6は、文書作成の一実施形態を説明するフロー図である。工程602において、マーク付けされたデータにアクセスするようリクエストが出される。リクエストに関しては上述した。データにアクセスすることは、データの作成、変更、又は他のローディング及び使用を指す。マーク付けされたデータとは、セキュリティ指示子を有するデータを指す。セキュリティ指示子とは、データはセキュリティポリシーの対象であることをフラグするメタデータ、データヘッダ、又は他の機構を指す。データにアクセスするアプリケーションは、次に、データはセキュリティの対象であるという事実に基づいて演算を実行することができる。指示子は、データの作成時、又は、データの作成後にデータに付されうる。指示子は、データ作成者によって生成されても、システム管理者又はセキュリティモジュールによってデータに追加されてもよい。一実施形態では、セキュリティモジュールは、データはセキュリティポリシーの対象とすべきか否かを決定するために作成時にデータにセマンティック検索を実行する。例えば、セキュリティポリシーは、文書内のスマートタグと同一又は類似の機構を使用して、データ中にキーワード又はフレーズが登場することを決定しうる。
リクエストは、ホストオペレーティングシステム下のアプリケーションのコンテキストにおいて出される。工程604において、アプリケーションは、マーク付けされたデータがアクセス又は作成されるとプラットホーム権利マネジャにアクセスする。プラットホーム権利マネジャは、セキュリティを取り扱うオペレーティングシステム内のアプリケーション、又は、本願に記載するようなセキュリティモジュール、又はその両方を指す。工程606において、プラットホーム権利マネジャは、作成されるべき新しいデータに対してアプリケーションからの作成リクエストを受信する。工程608において、プラットホーム権利マネジャは、データのデータタイプに対するセキュリティポリシーを確認する。セキュリティポリシーは、本願に記載したように、ローカルであってもリモートであってもよく、また、データタイプも上述した。データタイプに対するセキュリティポリシーを確認することは、データのデータタイプを決定することを含みうる。この決定は、データタイプが既知である又は示唆される場合には比較的単純であり、又は、既知ではない又は示唆されない場合にはプラットホーム権利マネジャによる特定の演算を行わなくてはならないこともある。
工程610において、データタイプに応じたデータの作成のためのポリシーが存在しない場合、工程612において、ポリシーは定義されていないので、デフォルトのポリシーがデータに関連付けられる。デフォルトのポリシーは、データタイプに基づいて選択可能でありうる。工程610において、ポリシーが存在する場合、工程614におけるデータ作成が承認される。工程612から関連付けられるポリシーをデータが有することになった場合もデータ作成は承認される。工程616において、セキュリティポリシーはデータに関連付けられる特定の制御を有する。この制御は、データを使用又はアクセス可能な方法に影響を与える。工程618において、データは作成され、利用可能にされる。作成及び利用可能にすることには、メモリマネジャ又は記憶装置テーブルにデータを登録する(例えば、ファイル名を割り当てる)ことを含むことが可能である。なお、データは、データを特定の参照又はファイル名と共に保存する前に作成且つ利用可能にされると考えられる。一実施形態では、否認防止が使用されるので、作成されたデータにはデジタル署名が付けられ保存される(工程620)。
図7は、文書変更の一実施形態を説明するフロー図である。なお、図7の文書変更を参照して説明するフローと、図6の文書作成との間には多くの類似性がある。一実施形態では、プロセスは、示す相違点以外は同一であってもよい。工程702において、マーク付けされたデータを変更するようリクエストが出される。工程704において、リクエストに対するコンテキストを与えるアプリケーションは、マーク付けされたデータが変更されるべき場合にプラットホーム権利マネジャにアクセスする。工程706において、プラットホーム権利マネジャは、アプリケーションから変更リクエストを受信する。工程708において、プラットホーム権利マネジャは、データのデータタイプに対するセキュリティポリシーを確認する。
工程710において、データにポリシーがまだ適用されていない場合、工程712において、ポリシーは定義されず、デフォルトのポリシーがデータに関連付けられる。なお、既存のデータに対するポリシーの遡及適用も、本願に記載したようなセキュリティモジュールの配置によって可能である。データは、アクセスされる度に又は変更される度に評価されて、そのデータに対してポリシーが存在するか否かを決定することが可能である。さらに、ポリシーが既に適用されているか否かの決定には、最新のポリシーがデータに適用されているか否かを決定することを含むことが可能である。最新のポリシーがデータに適用されていない場合、デフォルトポリシーを関連付けるのではなく、ポリシーを単純に更新することが可能である。従って、データは、本願に記載するセキュリティモジュールによって最新の状態に維持されることが可能である。デフォルトポリシー又は更新されたポリシーは、データタイプに基づいて選択可能であることが可能である。工程710において、ポリシーが既に適用されている場合、また、潜在的に最新である場合、工程714において、データ変更が承認される。工程712から関連付けられるポリシーをデータが有することになった場合もデータ変更は承認される。工程716において、セキュリティポリシーはデータに関連付けられる特定の制御を有する。この制御は、データを使用又はアクセス可能な方法に影響を与える。工程718において、データはオープンにされ、利用可能にされる。一実施形態では、否認防止が使用されるので、作成されたデータにはデジタル署名が付けられ保存される(工程720)。
本願の記載内容以外に、様々な修正を、本発明の範囲から逸脱することなく本発明の開示した実施形態及び実施例に行ってもよい。従って、本願における実施形態及び実施例は、限定的な意味合いではなく例示的に解釈すべきである。本発明の範囲は、請求項を参照することによってのみ測られるべきである。

Claims (23)

  1. セキュリティモジュールにおいて、該セキュリティモジュールによって管理されるセキュリティポリシーの対象であるデータに対するリクエストを受信する工程であって、前記セキュリティモジュールは、前記データがその上でアクセスされるプラットホームの一部であり、前記データがその下でアクセスされるオペレーティングシステムには依存せず、また、前記データに対して前記セキュリティポリシーを実施する、工程と、
    前記データのタイプに少なくとも部分的に基づいて前記データにセキュリティポリシーを関連付ける工程であって、該データ管理ポリシーは、前記セキュリティモジュールにより実施される、データセキュリティ管理方法。
  2. 前記データに対する前記リクエストは、既存データを変更するリクエストを含む、請求項1に記載の方法。
  3. 前記データに対する前記リクエストは、新しく作成されたデータを格納するリクエストを含む、請求項1に記載の方法。
  4. 前記データに前記セキュリティポリシーを関連付ける工程は、前記新しく作成されたデータにセキュリティポリシーを自動的に割り当てる工程をさらに含む、請求項2に記載の方法。
  5. 前記セキュリティポリシーは、ネットワーク全体で共有されるデータのデジタル著作権管理(DRM)を含む、請求項1に記載の方法。
  6. 前記データに前記セキュリティポリシーを関連付ける工程は、データタイプを決定するよう前記データを分類する工程をさらに含む、請求項1に記載の方法。
  7. 前記データを分類する工程は、ファイルタイプ、文書タイプ、又は前記データの目的の少なくとも1つに基づいて前記データタイプを特定する工程を含む、請求項6に記載の方法。
  8. 前記データを分類する工程は、前記データをリクエストするユーザの本人性、前記プラットホームの地理的ロケーション、ネットワーク上での前記プラットホームの仮想ロケーション、前記データの暗号化に使用される暗号化鍵の長さの少なくとも1つに基づいて前記データタイプを特定する工程を含む、請求項6に記載の方法。
  9. 前記データを分類する工程は、前記データのセマンティック検索に基づいて前記データタイプを特定する工程を含む、請求項6に記載の方法。
  10. 前記データの前記セマンティック検索は、特定のキーワードを見つけるよう前記データを検索することを含む、請求項9に記載の方法。
  11. 前記データに前記セキュリティポリシーを関連付ける工程は、前記データの前記タイプに対するデフォルト・セキュリティ・ポリシーに従って前記データにデフォルト・セキュリティ・ポリシーを関連付ける工程を含む、請求項1に記載の方法。
  12. 前記セキュリティモジュールに対して、リクエストを出すユーザの本人性を証明するようデジタル証明書で前記データに署名をする工程をさらに含む、請求項1に記載の方法。
  13. 機械に演算を実行させる命令を供給するようその上にコンテンツが格納された機械アクセス可能媒体を含む製品であって、
    前記命令は、
    データリクエストの対象であるデータにセキュリティポリシーを関連付けるよう決定する命令と、
    前記データのタイプを分類する命令と、
    前記データの前記タイプの分類に少なくとも部分的に基づいて前記データに関連付けるセキュリティポリシーを選択する命令と、
    前記データに前記選択されたセキュリティポリシーを関連付ける命令と、
    を含み、
    前記セキュリティポリシーは、セキュリティモジュールにより管理され、
    前記セキュリティモジュールは、その下で前記データリクエストが生成されるオペレーティングシステムに依存しない、製品。
  14. 前記コンテンツはさらに、前記オペレーティングシステム非依存型セキュリティモジュールを介して前記オペレーティングシステムのコンテキストにおいて前記選択されたセキュリティポリシーを実施する命令を含む、請求項13に記載の製品。
  15. 前記セキュリティモジュールを介して前記選択されたセキュリティポリシーを実施する命令は、前記データのコピー、印刷、又は保存の少なくとも1つを制限する命令を含む、請求項14に記載の製品。
  16. 前記データに前記選択されたセキュリティポリシーを関連付ける命令は、
    前記セキュリティポリシーを示す拡張マークアップ言語(XML)ファイルを生成する命令と、
    前記データに前記XMLファイルを関連付ける命令と、
    を含む、請求項13に記載の製品。
  17. 前記セキュリティポリシーを示す拡張マークアップ言語(XML)ファイルを生成する命令は、前記セキュリティポリシーの規則の記憶ロケーションを示す命令を含む、請求項16に記載の製品。
  18. ホストオペレーティングシステムと、データに対するリクエストを生成するアプリケーションを実行するホストプロセッサと、
    前記ホストプロセッサに結合され、前記ホストオペレーティングシステムのコンテキスト外であり、前記データに対する前記リクエストについて前記ホストプロセッサをモニタリングし、前記リクエストに呼応して前記データに関連付けられるセキュリティポリシーを決定し、前記データのセキュリティ制御を供給するよう前記データに前記決定されたセキュリティポリシーを関連付ける、セキュリティ・ケイパビリティ・マネジャと、
    を含む、データセキュリティを管理する装置。
  19. 前記セキュリティ・ケイパビリティ・マネジャは、AMT(アドバンスド・マネジメント・テクノロジ)に準拠する、請求項18に記載の装置。
  20. 前記セキュリティポリシーをその上に格納するTPM(トラステッド・プラットホーム・モジュール)をさらに含む、請求項18に記載の装置。
  21. ホストオペレーティングシステムと、データに対するリクエストを生成するアプリケーションを実行するホストプロセッサと、
    前記ホストプロセッサに結合され、前記ホストオペレーティングシステムのコンテキスト外であり、前記データに対する前記リクエストについて前記ホストプロセッサをモニタリングし、前記データのタイプに少なくとも部分的に基づいて、前記リクエストに呼応して前記データに関連付けられるセキュリティポリシーを決定し、前記データのセキュリティ制御を供給するよう前記データに前記決定されたセキュリティポリシーを関連付ける、セキュリティ・ケイパビリティ・マネジャと、
    前記セキュリティポリシーを格納するよう前記セキュリティ・ケイパビリティ・マネジャに結合される単独の不揮発性記憶装置と、
    を含む、データセキュリティを管理するシステム。
  22. 前記単独の不揮発性記憶装置は、セキュアなアウト・オブ・バンドの記憶装置を含む、請求項21に記載のシステム。
  23. 前記単独の不揮発性記憶装置は、前記データの前記タイプに少なくとも部分的に基づいて前記セキュリティポリシーを選択的に格納する、請求項21に記載のシステム。
JP2008538124A 2005-11-12 2006-11-09 オペレーティングシステム非依存型データ管理 Expired - Fee Related JP4769304B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/271,292 US7565685B2 (en) 2005-11-12 2005-11-12 Operating system independent data management
US11/271,292 2005-11-12
PCT/US2006/043642 WO2007058889A2 (en) 2005-11-12 2006-11-09 Operating system independent data management

Publications (2)

Publication Number Publication Date
JP2009512959A true JP2009512959A (ja) 2009-03-26
JP4769304B2 JP4769304B2 (ja) 2011-09-07

Family

ID=37969591

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008538124A Expired - Fee Related JP4769304B2 (ja) 2005-11-12 2006-11-09 オペレーティングシステム非依存型データ管理

Country Status (5)

Country Link
US (1) US7565685B2 (ja)
EP (1) EP1946238B1 (ja)
JP (1) JP4769304B2 (ja)
CN (1) CN100592311C (ja)
WO (1) WO2007058889A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010113705A (ja) * 2008-08-26 2010-05-20 Symantec Corp 仮想化されたブロック入出力切り替えによるアプリケーション管理のエージェントレス・エンフォースメント
JP2011526391A (ja) * 2008-06-27 2011-10-06 マイクロソフト コーポレーション アプリケーションセットに対する保護されたコンテンツの許可

Families Citing this family (104)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7748031B2 (en) * 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
US8024806B2 (en) 2006-10-17 2011-09-20 Intel Corporation Method, apparatus and system for enabling a secure location-aware platform
US8239916B2 (en) * 2006-11-06 2012-08-07 At&T Intellectual Property I, L.P. Methods, data processing systems, and computer program products for assigning privacy levels to data elements
US8250360B2 (en) * 2006-11-29 2012-08-21 The Boeing Company Content based routing with high assurance MLS
ES2730219T3 (es) * 2007-02-26 2019-11-08 Microsoft Israel Res And Development 2002 Ltd Sistema y procedimiento para una protección automática de datos en una red informática
US20080235754A1 (en) * 2007-03-19 2008-09-25 Wiseman Willard M Methods and apparatus for enforcing launch policies in processing systems
US8255988B2 (en) * 2007-03-28 2012-08-28 Microsoft Corporation Direct peripheral communication for restricted mode operation
US8281043B2 (en) * 2010-07-14 2012-10-02 Intel Corporation Out-of-band access to storage devices through port-sharing hardware
US8751435B2 (en) * 2010-12-23 2014-06-10 Intel Corporation System and method for determining client-based user behavioral analytics
US9038158B1 (en) 2011-07-07 2015-05-19 Symantec Corporation Systems and methods for enforcing geolocation-based policies
WO2013081623A1 (en) * 2011-12-01 2013-06-06 Intel Corporation Secure provision of a digital content protection scheme
US20140143147A1 (en) * 2011-12-20 2014-05-22 Rajesh Poornachandran Transaction fee negotiation for currency remittance
EP2810205A4 (en) 2012-01-30 2015-07-15 Hewlett Packard Development Co ACCESS TO SECURE INFORMATION ON A NETWORK
US20140096270A1 (en) * 2012-09-28 2014-04-03 Richard T. Beckwith Secure data containers and data access control
US20140115672A1 (en) * 2012-10-18 2014-04-24 Roger Wood Storing and Accessing Licensing Information in Operating System-Independent Storage
WO2014062252A1 (en) * 2012-10-19 2014-04-24 Mcafee, Inc. Secure disk access control
US9202070B2 (en) * 2012-10-31 2015-12-01 Broadcom Corporation Input/output gatekeeping
US9342666B2 (en) * 2012-10-31 2016-05-17 Intel Corporation Providing security support for digital rights management in different formats
US9436838B2 (en) * 2012-12-20 2016-09-06 Intel Corporation Secure local web application data manager
GB2515736A (en) * 2013-07-01 2015-01-07 Ibm Controlling access to one or more datasets of an operating system in use
US10560439B2 (en) * 2014-03-27 2020-02-11 Arris Enterprises, Inc. System and method for device authorization and remediation
CN104318169A (zh) * 2014-09-26 2015-01-28 北京网秦天下科技有限公司 基于安全策略来防止本地文件泄漏的移动终端和方法
US9589105B2 (en) * 2015-03-25 2017-03-07 International Business Machines Corporation Securing protected health information based on software designation
CN105653467A (zh) * 2015-05-21 2016-06-08 宇龙计算机通信科技(深圳)有限公司 一种存储空间分配方法及装置
US9858412B2 (en) 2015-06-25 2018-01-02 Intel Corporation Secure trusted execution environment data store
CN107103245B (zh) * 2016-02-23 2022-08-02 中兴通讯股份有限公司 文件的权限管理方法及装置
US20220164840A1 (en) 2016-04-01 2022-05-26 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
CN106022039A (zh) * 2016-05-14 2016-10-12 东北电力大学 一种电子信息安全存储系统及存储方法
US11354435B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US11418492B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US11301796B2 (en) 2016-06-10 2022-04-12 OneTrust, LLC Data processing systems and methods for customizing privacy training
US11341447B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Privacy management systems and methods
US11295316B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US11544667B2 (en) 2016-06-10 2023-01-03 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11586700B2 (en) 2016-06-10 2023-02-21 OneTrust, LLC Data processing systems and methods for automatically blocking the use of tracking tools
US11354434B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US10740487B2 (en) 2016-06-10 2020-08-11 OneTrust, LLC Data processing systems and methods for populating and maintaining a centralized database of personal data
US11416798B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US11366786B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing systems for processing data subject access requests
US11651106B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10284604B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing and scanning systems for generating and populating a data inventory
US11403377B2 (en) 2016-06-10 2022-08-02 OneTrust, LLC Privacy management systems and methods
US11416590B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11416109B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US11651104B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Consent receipt management systems and related methods
US10997318B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US11328092B2 (en) 2016-06-10 2022-05-10 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US11481710B2 (en) 2016-06-10 2022-10-25 OneTrust, LLC Privacy management systems and methods
US11343284B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US11438386B2 (en) 2016-06-10 2022-09-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11366909B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10510031B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US11188862B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Privacy management systems and methods
US11294939B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US11277448B2 (en) 2016-06-10 2022-03-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11134086B2 (en) 2016-06-10 2021-09-28 OneTrust, LLC Consent conversion optimization systems and related methods
US11410106B2 (en) 2016-06-10 2022-08-09 OneTrust, LLC Privacy management systems and methods
US10592648B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Consent receipt management systems and related methods
US11392720B2 (en) 2016-06-10 2022-07-19 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US11727141B2 (en) 2016-06-10 2023-08-15 OneTrust, LLC Data processing systems and methods for synching privacy-related user consent across multiple computing devices
US10685140B2 (en) 2016-06-10 2020-06-16 OneTrust, LLC Consent receipt management systems and related methods
US11227247B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US11461500B2 (en) 2016-06-10 2022-10-04 OneTrust, LLC Data processing systems for cookie compliance testing with website scanning and related methods
US11475136B2 (en) 2016-06-10 2022-10-18 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US11336697B2 (en) 2016-06-10 2022-05-17 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11520928B2 (en) 2016-06-10 2022-12-06 OneTrust, LLC Data processing systems for generating personal data receipts and related methods
US11416589B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10318761B2 (en) 2016-06-10 2019-06-11 OneTrust, LLC Data processing systems and methods for auditing data request compliance
US11222142B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for validating authorization for personal data collection, storage, and processing
US10878127B2 (en) 2016-06-10 2020-12-29 OneTrust, LLC Data subject access request processing systems and related methods
US11625502B2 (en) * 2016-06-10 2023-04-11 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US10909265B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Application privacy scanning systems and related methods
US11222139B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems and methods for automatic discovery and assessment of mobile software development kits
US10846433B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing consent management systems and related methods
US10949565B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10909488B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Data processing systems for assessing readiness for responding to privacy-related incidents
US11188615B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Data processing consent capture systems and related methods
US11675929B2 (en) 2016-06-10 2023-06-13 OneTrust, LLC Data processing consent sharing systems and related methods
US10678945B2 (en) 2016-06-10 2020-06-09 OneTrust, LLC Consent receipt management systems and related methods
US11636171B2 (en) 2016-06-10 2023-04-25 OneTrust, LLC Data processing user interface monitoring systems and related methods
US11562097B2 (en) 2016-06-10 2023-01-24 OneTrust, LLC Data processing systems for central consent repository and related methods
US10013577B1 (en) 2017-06-16 2018-07-03 OneTrust, LLC Data processing systems for identifying whether cookies contain personally identifying information
US11544409B2 (en) 2018-09-07 2023-01-03 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US10803202B2 (en) 2018-09-07 2020-10-13 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US11165883B2 (en) 2019-01-02 2021-11-02 Bank Of America Corporation Entry point classification of requests requiring access to data
US11562093B2 (en) * 2019-03-06 2023-01-24 Forcepoint Llc System for generating an electronic security policy for a file format type
US11328089B2 (en) * 2019-09-20 2022-05-10 International Business Machines Corporation Built-in legal framework file management
EP4179435A1 (en) 2020-07-08 2023-05-17 OneTrust LLC Systems and methods for targeted data discovery
EP4189569A1 (en) 2020-07-28 2023-06-07 OneTrust LLC Systems and methods for automatically blocking the use of tracking tools
US11693948B2 (en) * 2020-08-04 2023-07-04 International Business Machines Corporation Verifiable labels for mandatory access control
US11475165B2 (en) 2020-08-06 2022-10-18 OneTrust, LLC Data processing systems and methods for automatically redacting unstructured data from a data subject access request
US11436373B2 (en) 2020-09-15 2022-09-06 OneTrust, LLC Data processing systems and methods for detecting tools for the automatic blocking of consent requests
US11526624B2 (en) 2020-09-21 2022-12-13 OneTrust, LLC Data processing systems and methods for automatically detecting target data transfers and target data processing
EP4241173A1 (en) 2020-11-06 2023-09-13 OneTrust LLC Systems and methods for identifying data processing activities based on data discovery results
WO2022159901A1 (en) 2021-01-25 2022-07-28 OneTrust, LLC Systems and methods for discovery, classification, and indexing of data in a native computing system
WO2022170047A1 (en) 2021-02-04 2022-08-11 OneTrust, LLC Managing custom attributes for domain objects defined within microservices
US20240111899A1 (en) 2021-02-08 2024-04-04 OneTrust, LLC Data processing systems and methods for anonymizing data samples in classification analysis
US20240098109A1 (en) 2021-02-10 2024-03-21 OneTrust, LLC Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system
US11775348B2 (en) 2021-02-17 2023-10-03 OneTrust, LLC Managing custom workflows for domain objects defined within microservices
WO2022178219A1 (en) 2021-02-18 2022-08-25 OneTrust, LLC Selective redaction of media content
US11533315B2 (en) 2021-03-08 2022-12-20 OneTrust, LLC Data transfer discovery and analysis systems and related methods
US11562078B2 (en) 2021-04-16 2023-01-24 OneTrust, LLC Assessing and managing computational risk involved with integrating third party computing functionality within a computing system
US11620142B1 (en) 2022-06-03 2023-04-04 OneTrust, LLC Generating and customizing user interfaces for demonstrating functions of interactive user environments
US11983418B2 (en) * 2022-06-27 2024-05-14 Western Digital Technologies, Inc. Security indicator on a data storage device

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318719A (ja) * 2001-04-24 2002-10-31 Hitachi Ltd 高信頼計算機システム
JP2003242015A (ja) * 2001-12-12 2003-08-29 Pervasive Security Systems Inc 指定場所を介したファイルアクセス管理
JP2004259280A (ja) * 2003-02-27 2004-09-16 Microsoft Corp デジタル著作権管理(drm)システムにおけるデジタルライセンスとユーザとの結び付け、およびユーザと複数のコンピューティングデバイスとの結び付け
JP2004280236A (ja) * 2003-03-13 2004-10-07 Fuji Xerox Co Ltd 権限管理装置、権限設定装置、データファイル、権限管理方法、及びそのプログラム
WO2005052770A1 (en) * 2003-11-19 2005-06-09 Intel Corporation A method and apparatus for implementing subscriber identity module (sim) capabilities in an open platform
JP2005167589A (ja) * 2003-12-02 2005-06-23 Internatl Business Mach Corp <Ibm> 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム
JP2005259112A (ja) * 2004-02-13 2005-09-22 Ricoh Co Ltd 情報処理装置、情報処理方法、情報処理プログラム及び記録媒体、並びに資源管理装置

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5511159A (en) * 1992-03-18 1996-04-23 At&T Corp. Method of identifying parameterized matches in a string
US5771354A (en) * 1993-11-04 1998-06-23 Crawford; Christopher M. Internet online backup system provides remote storage for customers using IDs and passwords which were interactively established when signing up for backup services
US7080051B1 (en) * 1993-11-04 2006-07-18 Crawford Christopher M Internet download systems and methods providing software to internet computer users for local execution
US6470398B1 (en) * 1996-08-21 2002-10-22 Compaq Computer Corporation Method and apparatus for supporting a select () system call and interprocess communication in a fault-tolerant, scalable distributed computer environment
US5850516A (en) * 1996-12-23 1998-12-15 Schneier; Bruce Method and apparatus for analyzing information systems using stored tree database structures
US6493698B1 (en) * 1999-07-26 2002-12-10 Intel Corporation String search scheme in a distributed architecture
JP3344394B2 (ja) * 1999-12-24 2002-11-11 インターナショナル・ビジネス・マシーンズ・コーポレーション 配列の変換方法、構造解析方法、装置及び記録媒体
US6842823B1 (en) * 2000-04-14 2005-01-11 Stratus Technologies Bermuda Ltd Methods and apparatus for persistent volatile computer memory
US6802022B1 (en) * 2000-04-14 2004-10-05 Stratus Technologies Bermuda Ltd. Maintenance of consistent, redundant mass storage images
US6901481B2 (en) * 2000-04-14 2005-05-31 Stratus Technologies Bermuda Ltd. Method and apparatus for storing transactional information in persistent memory
JP4305593B2 (ja) 2000-07-17 2009-07-29 ソニー株式会社 データ記録再生方法および装置、データ記録装置および方法
US20020065885A1 (en) * 2000-11-30 2002-05-30 Mark Buonanno Multimedia B2B opportunity and error detection and resolution engine
US7082523B2 (en) * 2002-12-16 2006-07-25 Intel Corporation Bridging memory access across pre-boot and runtime phases
GB2398134A (en) 2003-01-27 2004-08-11 Hewlett Packard Co Applying a data handing policy to predetermined system calls
US7535899B2 (en) * 2003-12-18 2009-05-19 Intel Corporation Packet classification
US7440461B2 (en) * 2003-12-23 2008-10-21 Intel Corporation Methods and apparatus for detecting patterns in a data stream
US7653727B2 (en) * 2004-03-24 2010-01-26 Intel Corporation Cooperative embedded agents
US20050229246A1 (en) * 2004-03-31 2005-10-13 Priya Rajagopal Programmable context aware firewall with integrated intrusion detection system
US20050246529A1 (en) * 2004-04-30 2005-11-03 Microsoft Corporation Isolated persistent identity storage for authentication of computing devies
US7594124B2 (en) * 2004-06-09 2009-09-22 Intel Corporation Cross validation of data using multiple subsystems
US7561515B2 (en) * 2004-09-27 2009-07-14 Intel Corporation Role-based network traffic-flow rate control
US20060075481A1 (en) * 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
US7571474B2 (en) * 2004-12-30 2009-08-04 Intel Corporation System security event notification aggregation and non-repudiation
US7631354B2 (en) * 2004-12-30 2009-12-08 Intel Corporation System security agent authentication and alert distribution
US7644416B2 (en) * 2005-02-10 2010-01-05 Google Inc. Access to a target object with desired functionality
US20070056042A1 (en) * 2005-09-08 2007-03-08 Bahman Qawami Mobile memory system for secure storage and delivery of media content
US7693838B2 (en) * 2005-11-12 2010-04-06 Intel Corporation Method and apparatus for securely accessing data

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318719A (ja) * 2001-04-24 2002-10-31 Hitachi Ltd 高信頼計算機システム
JP2003242015A (ja) * 2001-12-12 2003-08-29 Pervasive Security Systems Inc 指定場所を介したファイルアクセス管理
JP2004259280A (ja) * 2003-02-27 2004-09-16 Microsoft Corp デジタル著作権管理(drm)システムにおけるデジタルライセンスとユーザとの結び付け、およびユーザと複数のコンピューティングデバイスとの結び付け
JP2004280236A (ja) * 2003-03-13 2004-10-07 Fuji Xerox Co Ltd 権限管理装置、権限設定装置、データファイル、権限管理方法、及びそのプログラム
WO2005052770A1 (en) * 2003-11-19 2005-06-09 Intel Corporation A method and apparatus for implementing subscriber identity module (sim) capabilities in an open platform
JP2005167589A (ja) * 2003-12-02 2005-06-23 Internatl Business Mach Corp <Ibm> 情報処理装置、サーバ装置、情報処理装置のための方法、サーバ装置のための方法および装置実行可能なプログラム
JP2005259112A (ja) * 2004-02-13 2005-09-22 Ricoh Co Ltd 情報処理装置、情報処理方法、情報処理プログラム及び記録媒体、並びに資源管理装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
CSNG200300681011, 工藤 道治,外1名, "XACL:XMLアクセス制御規則記述言語", 電子情報通信学会技術研究報告, 20010605, 第101巻,第110号, p.81−88, JP, 社団法人電子情報通信学会 *
CSNG200501111006, 太田 賢 Ken Ohta, "携帯機の安全な機能拡張のための信頼できるデバイスフレームワーク Trusted Device Framework for Secure", 情報処理学会研究報告 Vol.2005 No.16 IPSJ SIG Technical Reports, 20050223, 第2005巻, 第49−56頁, JP, 社団法人情報処理学会 Information Processing Socie *
JPN6007001838, 工藤 道治,外1名, "XACL:XMLアクセス制御規則記述言語", 電子情報通信学会技術研究報告, 20010605, 第101巻,第110号, p.81−88, JP, 社団法人電子情報通信学会 *
JPN6010053428, 太田 賢 Ken Ohta, "携帯機の安全な機能拡張のための信頼できるデバイスフレームワーク Trusted Device Framework for Secure", 情報処理学会研究報告 Vol.2005 No.16 IPSJ SIG Technical Reports, 20050223, 第2005巻, 第49−56頁, JP, 社団法人情報処理学会 Information Processing Socie *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011526391A (ja) * 2008-06-27 2011-10-06 マイクロソフト コーポレーション アプリケーションセットに対する保護されたコンテンツの許可
JP2010113705A (ja) * 2008-08-26 2010-05-20 Symantec Corp 仮想化されたブロック入出力切り替えによるアプリケーション管理のエージェントレス・エンフォースメント

Also Published As

Publication number Publication date
JP4769304B2 (ja) 2011-09-07
CN101008966A (zh) 2007-08-01
US7565685B2 (en) 2009-07-21
WO2007058889A8 (en) 2008-10-09
EP1946238A2 (en) 2008-07-23
US20070113266A1 (en) 2007-05-17
WO2007058889A2 (en) 2007-05-24
CN100592311C (zh) 2010-02-24
WO2007058889A3 (en) 2007-07-19
EP1946238B1 (en) 2013-10-02

Similar Documents

Publication Publication Date Title
JP4769304B2 (ja) オペレーティングシステム非依存型データ管理
US10645091B2 (en) Methods and systems for a portable data locker
US20190311150A1 (en) Secure data synchronization
US9558343B2 (en) Methods and systems for controlling access to resources and privileges per process
EP2599027B1 (en) Protecting documents using policies and encryption
US7908476B2 (en) Virtualization of file system encryption
KR101549385B1 (ko) 애플리케이션 세트에 대한 보호 콘텐츠의 라이센싱
US7636851B2 (en) Providing user on computer operating system with full privileges token and limited privileges token
JP2021525418A (ja) 小さいフットプリントのエンドポイント・データ損失防止(dlp)
US20070112772A1 (en) Method and apparatus for securely accessing data
US20120131646A1 (en) Role-based access control limited by application and hostname
CN108351922B (zh) 对受保护的文件应用权利管理策略的方法、系统以及介质
JP2012146317A (ja) ネットワーク・セキュリティ・システムおよび方法
US20190238560A1 (en) Systems and methods to provide secure storage
US20070079364A1 (en) Directory-secured packages for authentication of software installation
WO2018171171A1 (en) Methods and apparatus for containerized secure computing resources
US10992713B2 (en) Method of and system for authorizing user to execute action in electronic service
Pramanik et al. Security policies to mitigate insider threat in the document control domain
US8132261B1 (en) Distributed dynamic security capabilities with access controls
Zhang et al. Security enforcement model for distributed usage control
US20050210448A1 (en) Architecture that restricts permissions granted to a build process
KR102430882B1 (ko) 클라우드 환경 내 이벤트 스트림 방식의 컨테이너 워크로드 실행 제어 방법, 장치 및 컴퓨터-판독 가능 기록 매체
Ochilov Creating Secure File Systems in Open-Source Operating Systems
KR20100101769A (ko) 컴퓨터용 데이터 보안시스템 및 데이터 보안방법
Jing et al. TRIPLEMON: A multi-layer security framework for mediating inter-process communication on Android

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110502

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110531

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110617

R150 Certificate of patent or registration of utility model

Ref document number: 4769304

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees