用于数字权限管理的撤回状态检查
阅读:30发布:2020-05-12
专利汇可以提供用于数字权限管理的撤回状态检查专利检索,专利查询,专利分析的服务。并且本 发明 涉及用于数字权限管理的 撤回 状态检查,本发明的方法、装置或有形的计算机介质(其存储计算机可执行代码或程序代码)执行或促进:维持标识了已经与其发生交互的多个设备的信息;向远程可信任方传输标识多个设备的信息;基于所传输的信息,从该可信任方接收关于标识的设备的可信任度的状态信息;以及基于对应于一个或多个设备的所接收状态信息,控制随后与一个或多个设备的交互,该交互涉及 电子 内容的 访问 权限的转移或交换。,下面是用于数字权限管理的撤回状态检查专利的具体信息内容。
1.一种设备实现的方法,包括:
维持标识已经与其发生交互的多个设备的信息;
向远程可信任方传输标识所述多个设备的所述信息;
基于所述传输的信息,从所述可信任方接收关于所述已标识设备 的可信任度的状态信息;以及
基于对应于所述一个或多个设备的所接收的状态信息,控制随后 与一个或多个设备的交互,所述交互涉及电子内容的访问权限的转 移或交换。
2.根据权利要求1所述的方法,其中所述访问权限包括与所述 电子内容相关联的使用规则或许可。
3.根据权利要求2所述的方法,其中所述访问权限进一步包括 内容密钥。
4.根据权利要求1所述的方法,其中所述维持包括存储标识与 其建立连接的设备的信息。
5.根据权利要求4所述的方法,其中所述存储的信息包括所述 设备的标识符(ID)。
6.根据权利要求4所述的方法,其中所述存储的信息标识已经 与其交换了对电子内容的访问权限的设备。
7.根据权利要求1所述的方法,其中所述访问权限包括权限对 象。
8.根据权利要求1所述的方法,其中所述控制对与一个或多个 设备的交互加以控制,以根据所述状态信息建立可信任或非可信任 的网络。
9.根据权利要求1所述的方法,其中所述状态信息包括所述一 个或多个已标识设备的撤回状态。
10.根据权利要求1所述的方法,其中所述控制包括:
根据所述状态信息检查设备的状态;以及
根据所述检查的状态来控制所述设备对所述访问权限的访问。
11.根据权利要求10所述的方法,其中如果对应于所述设备的 所述状态信息反映为不可信,则禁止对所述访问权限进行访问。
12.根据权利要求10所述的方法,其中如果对应于所述设备的 所述状态信息反映为可信任,则允许对所述访问权限进行访问。
13.根据权利要求1所述的方法,其中所述可信任方是电子内容 访问权限的发布者。
14.根据权利要求13所述的方法,其中所述访问权限的发布者 是权限发布器。
15.根据权利要求1所述的方法,进一步包括与所述设备交换状 态信息。
16.根据权利要求1所述的方法,进一步包括基于与所述其他设 备的状态信息交换而与所述其他设备建立可信任或非可信任的网 络。
17.根据权利要求1所述的方法,其中所述状态信息包括所述传 输的信息中那些已标识设备中的可信任和/或不可信任设备的定制的 列表。
18.根据权利要求1所述的方法,其中所述状态信息由所述可信 任方根据通过在线证书状态协议(OCSP)收集的信息生成。
19.根据权利要求1所述的方法,其中在可信任方请求对保护的 电子内容的访问权限时,将所述维持的信息传输到所述可信任方。
20.根据权利要求1所述的方法,其中所述状态信息包括所述可 信任实体的数字签名。
21.根据权利要求1所述的方法,其中实现根据权利要求1所述 的方法的设备包括通信设备。
22.根据权利要求1所述的方法,其中实现根据权利要求1所述 的方法的所述设备包括安全可移除介质。
23.一种装置,包括:
通信接口,用于接收和传输信息;以及
一个或多个处理器,用于执行计算机可执行代码以便于控制以下 操作:
维持标识已经与其发生交互的多个设备的信息;
向远程可信任方传输标识所述多个设备的所述信息;
基于所述传输的信息,从所述可信任方接收关于所述已标识 设备的可信任度的状态信息;以及
基于对应于所述一个或多个设备的所接收的状态信息,控制 随后与一个或多个设备的交互,所述交互涉及电子内容的访问权 限的转移或交换。
24.一种具有计算机可执行代码的有形的计算机介质,当所述计 算机可执行代码由计算机执行时,其执行以下方法,包括:
维持标识已经与其发生交互的多个设备的信息;
向远程可信任方传输标识所述多个设备的所述信息;
基于所述传输的信息,从所述可信任方接收关于所述已标识设备 的可信任度的状态信息;以及
基于对应于所述一个或多个设备的所接收的状态信息,控制随后 与一个或多个设备的交互,所述交互涉及电子内容的访问权限的转 移或交换。
25.一种方法,包括:
从设备接收标识已经与所述通信设备发生交互的设备的信息;
基于所述接收的信息生成关于所述已标识设备的可信任度的状 态信息;以及
向所述设备传输所述状态信息。
26.根据权利要求25所述的方法,其中所述生成操作包括:
从一个或多个可信任第三方请求和接收关于所述标识的设备的 可信任度的信息;以及
根据从所述一个或多个可信任第三方接收的所述信息来创建状 态信息。
27.根据权利要求26所述的方法,其中所述请求采用在线证书 状态协议(OCSP)。
28.根据权利要求26所述的方法,其中所述状态信息包括来自 所述通信设备的所述信息中那些已标识的设备中的可信任和/或不可 信任设备的定制的列表。
29.根据权利要求25所述的方法,进一步包括:
从所述通信设备接收对所保护电子内容的访问权限的请求;以及
向所述设备提供访问权限。
30.根据权利要求29所述的方法,其中所述访问权限是与所述 所受保护电子内容相关联的权限对象。
31.根据权利要求29所述的方法,其中标识设备的所述信息作 为访问权限的事务的部分从所述设备接收。
32.根据权利要求25所述的方法,其中所述状态信息包括向所 述设备传输所述状态信息的可信任实体的数字签名。
33.根据权利要求25所述的方法,其中所述状态信息包括所述 已标识的设备的撤回状态。
34.一种装置,包括:
通信接口,用于接收和传输信息;以及
一个或多个处理器,用于执行计算机可执行代码以便于控制以下 操作:
从设备接收标识已经与所述通信设备发生交互的设备的信 息;
基于所述接收的信息生成关于所述已标识设备的可信任度 的状态信息;以及
向所述设备传输所述状态信息。
35.一种具有计算机可执行代码的有形的计算机介质,当所述计 算机可执行代码由计算机执行时,其执行以下方法,包括:
从设备接收标识已经与所述通信设备发生交互的设备的信息;
基于所述接收的信息生成关于所述已标识设备的可信任度的状 态信息;以及
向所述设备传输所述状态信息。
技术领域
本发明涉及通信,并且更具体地涉及用于对内容的访问的分发 以及对在多个设备间其访问权限的分发进行管理的技术。
背景技术
诸如电视广播、因特网内容之类的内容和存储在预记录介质上 的内容在当前经济中是有价值的商品。因而,存在对保护此类内容 防止非法复制的关注。当前,可以以各种格式将内容从内容分发器 传递给特定设备。例如,可以以未保护或加密的方式传递内容。而 且,可以使用有条件访问(CA)或数字权限管理(DRM)技术来保 护内容。
发明内容
根据一个实施方式,公开了一种方法、装置或有形的计算机介 质(其存储计算机可执行代码或程序代码)执行或促进:维持标识 了已经与其发生交互的多个设备的信息;向远程可信任方传输标识 多个设备的信息;基于传输的信息,从该可信任方接收关于标识的 设备的可信任度的状态信息;以及基于对应于一个或多个设备的所 接收状态信息,控制随后与一个或多个设备的交互,该交互涉及电 子内容的访问权限的转移或交换。
根据另一个实施方式,公开了一种方法、装置或有形的计算机 介质(其存储计算机可执行代码或程序代码)执行或促进:从设备 接收标识了已经与通信设备发生交互的设备的信息;基于所接收的 信息生成关于已标识设备的可信任度的状态信息;以及向设备传输 状态信息。
附图说明
在附图中,同样的附图标记一般指示相同的、功能上类似的和/ 或结构上类似的元素。元素首次出现的附图以附图标记最左侧的数 字指示。将参考附图描述各种示例性实施方式,附图中:
图1是根据一个实施方式的示例性操作环境的图示,在该操作 环境中,可以分发内容和访问权限;
图2是一个示例性操作情况的框图;
图3是另一个示例性操作情况的框图;
图4是示例性访问模块和示例性用户输出模块的框图;
图5是根据一个实施方式的示例性过程的流程图,通过该过程, 设备允许访问内容和/或其访问权限;
图6是根据一个实施方式的示例性过程的流程图,通过该过程, 设备获取其他设备的状态信息;
图7是根据一个实施方式的示例性过程的流程图,通过该过程, 可信任方向设备提供设备的状态信息;
图8是根据一个实施方式的示例性计算机系统的框图;以及
图9是根据一个实施方式的示例性可移除或便携式存储器设备 或单元的框图。
根据另一个实施方式,公开了一种方法、装置或有形的计算机 介质(其存储计算机可执行代码或程序代码)执行或促进:从设备 接收标识了已经与通信设备发生交互的设备的信息;基于所接收的 信息生成关于已标识设备的可信任度的状态信息;以及向设备传输 状态信息。
附图说明
在附图中,同样的附图标记一般指示相同的、功能上类似的和/ 或结构上类似的元素。元素首次出现的附图以附图标记最左侧的数 字指示。将参考附图描述各种示例性实施方式,附图中:
图1是根据一个实施方式的示例性操作环境的图示,在该操作 环境中,可以分发内容和访问权限;
图2是一个示例性操作情况的框图;
图3是另一个示例性操作情况的框图;
图4是示例性访问模块和示例性用户输出模块的框图;
图5是根据一个实施方式的示例性过程的流程图,通过该过程, 设备允许访问内容和/或其访问权限;
图6是根据一个实施方式的示例性过程的流程图,通过该过程, 设备获取其他设备的状态信息;
图7是根据一个实施方式的示例性过程的流程图,通过该过程, 可信任方向设备提供设备的状态信息;
图8是根据一个实施方式的示例性计算机系统的框图;以及
图9是根据一个实施方式的示例性可移除或便携式存储器设备 或单元的框图。
具体实施方式
I.操作环境
在详细描述各种实施方式之前,描述其中可以使用一个或多个 示例性实施方式的环境是有帮助的。因而,图1是根据一个实施方 式的操作环境的图示,在该操作环境中,可以在设备间分发内容和 其访问权限。该环境包括内容分发器104、权限发布器(例如权限发 布器或授权的代理)106、第一设备108、第二设备110和便携式存 储器设备114。设备108、110和114可以与单个用户或不同用户相 关联。内容分发器104和权限发布器106二者可以是访问权限的发 布器。
访问权限通常包括使用规则或关联或链接到某些内容的类似规 则。访问权限可以是凭证(voucher),其可以包括标识相应内容条 目的数据、内容分发器和使用规则。使用规则可以反映许可、限制 和/或义务的集合,在该集合下,可以许可对用户或某些设备的访问。 凭证也可以包括一个或多个普通形式(公钥)或加密的加密密钥。 凭证可以具有限制的有效性。
通过示例,使用规则可以记载相应内容条目呈现、读取、写入、 复制、存储、移动和/或转移所接收内容的用户或处理器的权限。使 用规则可以将内容条目的呈现限制为规定的次数、或将分发或共享 限制为规定数量的用户/设备。此外,使用规则可以限制内容条目到 其他设备和/或其他用户的转移。使用规则还可以设置关于使用相应 内容条目的临时限制。例如,临时的使用规则可以要求内容条目将 仅在规定的时段内存储或可访问,并且地理使用规则可以要求内容 条目仅在规定的区域中存储或可访问。此外,使用规则仅可以临时 具有有限的有效性。
使用规则可以表达为一个或多个数据文件。这些数据文件可以 是各种格式。例如,数据文件可以使用基于XML的标记语言,诸如 开放数字权限语言(ODRL)或可扩展权限标记语言(XrML)。数 据文件还可以直接使用XML。ODRL提供涉及内容的术语和条件的 表达,条件诸如许可、限制和义务。XrML提供用于指定和管理与内 容相关联的权限和条件的技术。
访问权限的示例是凭证,诸如以开放移动联盟(OMA)数字权 限管理(DRM)标准的版本2.0来描述和实现的权限对象。在该标 准中,每个DRM内容具有与其相关联的权限对象。在没有DRM内 容关联的权限对象时,不可以对其进行访问,可以连同其关联的DRM 内容或与其关联的DRM内容分离地分发权限对象。当前也已经提出 扩展OMA DRM标准,以允许在多个设备(例如已知或未知设备) 之间分发或共享权限对象和内容。可以通过有线或无线网络在设备 之间连接或通过设备或向设备分发或交换内容和权限对象,设备诸 如可移除或便携式存储器设备。这些实现由开放移动联盟有限公司 在其文档:Secure Content Exchange Requirements,Candidate Version 1.0,2006年10月20日,OMA-RD-SCE-V1_0-20061020-C(2006); 以及OMA Secure Removable Media Requirements,Candidate Version 1.0,2006年10月10日,OMA-RD-SRM-V1_0-20061010-C(2006)中 更详细地进行了描述。
返回图1,内容分发器104可以包括内容提供器和/或服务提供 器,其向一个或多个设备传输内容条目和/或访问权限,或提供设计 内容条目分发的服务。内容条目的示例包括(但不限于)视频广播、 多媒体内容、超文本文档和文件。内容分发器104例如可以是数字 视频广播机。可以以保护(例如,有条件的加密访问)或未加密的 格式保护此类传输。如果在服务环境中实现,则设备可能需要预先 注册服务。注册可以包括向内容分发器提供用户或设备的标识信息 支付或账户信息等等,并且提供信息或数据以促进向设备传递服务, 信息或数据包括各种密钥(例如,内容条目加密密钥(CIEK)、定 价属性密钥等)和定价信息。
尽管内容分发器104可以传输内容条目以及访问权限,访问权 限还可以独立传递或通过可信任或授权代理随后进行修改。因此, 内容条目和其关联的访问权限可以一起传输或在不同的时间传输, 或通过不同介质传输。此类内容条目和访问权限可以包括指针、索 引或关联数据,在需要时,关联数据允许其彼此关联。
如图1所示,公共加密密钥和私有加密密钥对还可以与设备108 和110相关联。特别地,第一设备108具有公钥124和相应的私钥 126。第二设备110具有公钥142和相应的私钥144。此外,公钥152 和相应的私钥154与权限的发布器相关联,例如,权限发布器106。 根据相应的公钥和私钥,这些设备可以采用非对称加密技术来加密 和解密信息,诸如内容条目、访问权限、加密密钥、定价属性或任 何要保护的其他信息。
各种网络耦合图1的设备。例如,网络120耦合内容分发器104 和第一设备108,网络122耦合第一设备108和第二设备110,网络 125耦合第一设备108和权限发布器106,网络130耦合权限发布器 106和内容分发器104,并且网络127耦合权限发布器106到一个或 多个可信任实体112A、112B。
网络120、122、125、127和130每个都可以是任何合适的网络, 该网络支持耦合的设备和实体之间的信息转移。例如,网络120可 以是广播网络。广播网络的示例包括陆地和卫星无线电视分发系统, 诸如DVB-T、DVB-C、DVB-H(手持DVB)、ATSC和ISDB系统。 网络120也可以是广播有线网络,诸如有线数据服务接口规范 (DOCSIS)网络。可替换地,网络120可以是基于分组的网络,诸 如因特网。
如其他示例,网络120、122、125、127、130中的一个或多个 可以是有线或无线蜂窝网络。此外,这些网络中的一个或多个可以 是短程近距网,其采用诸如蓝牙或超宽带(UWB)等技术。因而, 设备104、106、108和110中的一个或多个可以实现为诸如移动电 话、移动个人数字助理(PDA)、移动计算机等的移动设备。尽管 图1示出了不同的网络,但在实施方式中,单个网络可以替代网络 120、122、125、127和130中的两个或更多。
而且,在图1的设备和实体之间,在某些实施方式中不仅可以 存在单个网络而且可以存在两个或多个网络。这些网络可以用于设 备和实体间的消息传送和/或(内容)数据转移。例如,用户终端(诸 如第一设备108)可以包括DVB接收器、移动电话以及额外具有蓝 牙连接。
如图1进一步示出的,权限发布器106可以涉及管理设备间的 内容分发。权限发布器106可以被内容分发器104信任并且被授权 代表自己而工作。因此,当权限发布器106实现为不同于内容分发 器104的实体时,其可以执行转移给内容分发器104的动作。此类 动作的示例包括交换现有的访问权限(例如,使用规则)、创建新 的访问权限(例如,使用规则)、交易内容访问的事务,诸如为内 容确定定价并且获取支付等等。其他示例性动作可以包括内容与设 备或也称为域的多个设备集合的绑定的修改,以及域的修改。可替 换地,域可以有例如第一设备108的设备定义或修改,该设备可以 作为管理设备而工作。
然而,内容分发器104可以设置对给予权限发布器106的授权 的限制。例如,内容分发器104可以对该授权施加时间限制。此类 时间限制可以指定特定的时间(例如,月/日/年),在该时间处,该 授权过期。此外,内容分发器104可以在任何时间撤回该授权。而 且,内容分发器104授予权限发布器106的任何授权可以包括各种 限制和/或条件。例如,内容分发器104可以将授权限制为某种类型 的内容。这样的内容类型包括低价内容、过时内容、较低级别内容 或其任何组合。因此,内容分发器104可以对权限发布器106施加 限制(或限制的授权),从而不允许权限发布器106执行内容分发 器104可以执行的所有功能。
权限发布器106可以由诸如第一设备108的设备本地访问。例 如,权限发布器106可以定位在公共可用的位置,诸如第一设备108 的附近电脑亭。因而,在此类实现中,网络125可以是诸如蓝牙网 络的ad hoc近距网络。而且,权限发布器106可以位于不同于内容 分发器104的区域或地域中。在此类位置中,权限的“原始”所有 者(即,内容分发器104)可能不可访问。因此,权限发布器106 提供本地内容访问替代来自于内容分发器104的中央内容访问。该 特征减轻了来自内容分发器104的通信和处理负载。
尽管图1仅示出了单个内容分发器,权限发布器106可以由多 个内容分发器信任。类似地,尽管图1仅示出了单个权限发布器(例 如,授权的代理),内容分发器104可以信任多个权限发布器。而 且,在此处的各种示例性实施方式中,内容分发器104可以执行权 限发布器106的作用或反之亦然。如上所述,权限发布器106可以 在移动电话中实现。在此类实现中,权限发布器106可以操作为某 个人的个人权限发布器,或多人(例如,家庭成员)之间的共享权 限发布器。
如上所述,可以在多个设备间分发或交换内容和其访问权限, 例如以凭证或权限对象的形式。例如,内容分发器104可以连同访 问权限传输内容条目,该访问权限被授权为由第一设备108接收。 如所希望的,例如可以从相同的源或单独从不同源一起提供这两个 条目。在接收这些条目时或之后,第一设备108的用户可以希望将 该内容和/或其访问权限转发、转移、传输、移动、分发等到一个或 多个其他设备,诸如第二设备110。可以通过跨网络(例如网络122) 的通信或连接来执行这些。可替换地,可以在第一设备110处或由 第一设备110将此类信息存储或转移到便携式存储器设备114上并 且通过设备114转移到第二设备110。存储器设备114的示例在下面 参考图3、图8和图9的设备300、814、816和900描述。
根据各种实施方式,一个设备可以将内容条目(以及其他相关 联的信息)和/或访问权限转移到符合特定条件的接收设备,特定条 件例如接收设备的可信任度(或不可信任度)。因此,由于用于允 许对内容或其访问权限或两者的访问(例如,复制、呈现、写入、 读取、交换、传输、分发、转移等)的前提,设备可以检查设计其 可信任度的其他设备的状态。这例如可以包括执行撤回状态检查, 例如源设备检查接收(sink)设备的撤回状态(例如,证书撤回状态) 等和/或反之亦然。例如,如果接收设备的状态已经撤回(例如,接 收设备的证书不再有效等),那么访问权限和/或内容对于其他设备 不可访问。否则,如果其状态是有效的或没有撤回,那么访问权限 或内容对其他设备是可访问的。访问权限和/或内容的访问性可以进 一步符合其他限制,诸如由访问权限提供的限制。
撤回状态检查可以使用诸如证书撤回列表(CRL)或在线证书状 态协议(OCSP)等方法完成。然而,使用CRL可以包括设备的存 储空间和处理的充分使用,因为CRL可以包含关于多个其他设备或 实体的信息,这些设备或实体可以从来不与诸如第一设备108的设 备交互。而且,OCSP的使用将要求设备维持或具有可用的通信能力 以与OCSP应答器通信,不可能总是这样的情况,诸如对于非联网 的设备或那些不总是连接到网络等的设备。
因而,在一个或多个示例性实施方式,设备(例如,第一设备 108、存储器设备114等)可以保持跟踪、收集和/或维持关于那些已 经与其发生某些交互的设备的信息,交互例如数据(例如,内容, 访问权限等)的交换或传输或转移或分发、联系、通信、连接、事 务等。设备可以从可信任方(例如内容分发器104或权限发布器106) 请求关于选择设备的可信任度(或不可信任度)的状态信息,设备 例如是那些已经与其发生交互的设备。例如,设备可以向可信任方 传输标识(例如,设备标识符(ID))那些已经与其发生交互的设 备的信息。
可信任方继而可以生成关于标识的设备的可信任度(或不可信 任度)的定制或可选状态信息。这可以限定可信任方(例如内容分 发器104或权限发布器106)请求或收集来自于诸如可信任实体 112A、112B的其他实体的状态信息(并且它们可以进一步从其他实 体请求状态,等)。可信任实体112A、112B可以是OCSP应答器、 证书认证(CA)或其他可信任实体。然后,可信任方可以从维持的、 请求的或收集的信息获取针对每个识别的设备的具体可信任度状 态,并且向状态请求设备提供该定制状态信息以便在与其他设备的 交互中使用(例如,数据转移等)。
该状态信息可以采用列表形式(例如,良好或可信任设备列表 (白名单)和/或不良或不可信任设备列表(黑名单)等)并且可以 对应于那些标识的设备的状态撤回信息(例如,根据那些标识设备 的撤回设备或未撤回设备的列表)。仅将状态撤回检查提供为可以 用于检查设备可信任度的状态信息类型的一个示例。同样,也可以 使用取决于安全或认证协议的其他类型的信息。
状态信息可以针对用户或设备或事件或域(例如,设备的组) 进行定制以减少其他方法的存储和处理,诸如在向OCSP的在线状 态检查提供妥协时使用CRL。通常,设备间连接到几个其他设备。 因此,此类配置可以例如用于具有有限的处理、网络访问和/或存储 能力的那些设备。针对域,单个设备可以收集那些设备的设备ID, 域中的任意一个设备都与那些设备进行交互,并且单个设备从可信 任方获取标识设备的状态信息。可替换地,可以在域中的设备之间 交换状态信息。
设备可以配置为根据预定的条件请求或更新或修改此类状态信 息,预定条件可以由用户定义。例如,也可以在访问可信任方的某 些内容期间或作为访问可信任方的某些内容的事务的一部分从各种 可信任方(诸如权限的发布者,例如内容分发器104或权限发布器 106)请求定制的状态信息。还可以设置设备来以预定的时间、在当 前状态信息的有效性过期等时、在可用网络或通信访问从其可以获 取此类信息的可信任方时,周期性地请求或更新或修改此类信息。 也可以根据用户命令请求、更新或修改定制的状态信息。更新或修 改的操作可以包括传输已经与其发生交互的设备的更新列表。该更 新列表还可以在特定条件下(例如,在一段时间之后,新设备交互 等)被更新或修改。
如上所述,设备可以维持和采用定制的状态信息来在与此类其 他设备进行任何其他交货或特定类型的交互之前,检查另一设备的 可信任度(或不可信任度)。该交互可以包括或涉及在设备之间的 访问权限或内容的转移、复制、读取、写入、移动、传输或分发。 这可以包括向另一设备提供数据(例如,内容和/或访问权限)的副 本或从一个设备向另一设备完全地移动原始数据的情况。
如其他示例性方面,设备通常可以交换它们的定制的状态信息 和其他设备的定制的状态信息(例如,在时间段内收集的)。通过 此类交换,可能建立可信任或非可信任(例如,撤回的)设备的网 络。例如,可信任或非可信任设备的网络可以建立并且在设备与其 他设备交互时扩展(例如,类似于树分支)。这样,可以创建设备 的域并且将其更新为访问以及共享特定的内容。
II.操作情况
根据各种示例性实施方式,多个示例性情况可以用于在设备之 间分发或允许对数据(诸如内容和/或其访问权限和/或状态信息等) 的访问。
A.第一示例性情况
图2是一个示例性操作情况的框图。如该示例所示,第一设备 108可以包括:安全模块220,用于控制对诸如存储在存储器228中 的数据的访问;访问模块222,用于以与内容关联的访问权限访问诸 如内容条目的内容;用户输出模块224,用于输出访问的内容;以及 事务/历史日志226,用于跟踪并且收集关于已经与其发生交互的其 他设备的信息。该收集的信息可以包括设备的标识(ID)信息、任 何交互的时间、交互(例如,对访问权限、内容等的访问的交换) 的类型、通信(例如,有线连接、无线连接、安全连接、不安全连 接等)的类型或可以用于选择请求关于其的状态信息的设备的任何 信息。
第二设备110也包括类似的组件,诸如安全模块230、访问模块 232、用户输出模块234、事务/历史日志236和存储器238。
在示例性操作中,如标记202所示出的,第一设备108从内容 分发器104接收内容条目,并且第一设备108可以连同内容条目接 收其访问权限(例如凭证、权限对象、使用规则等),如标记204 所示出,或可以独立地从另一源(例如,权限发布器106)接收其访 问权限,如标记206所示出。
第一设备108还可以从诸如权限发布器106的可信任方接收状 态信息。例如,如上所述,第一设备108可以请求特定设备的状态 信息,例如那些已经与其发生交互或特定类型的交互的设备。这可 以包括向可信任方传输这些特定设备的ID信息,如标记212所示出。 在该示例中,可信任方可以是权限发布器106,并且ID信息可以在 某些内容的访问权限的事务期间提供。如上所述,此类请求可以在 这样的条件下自动启动,该条件可以预先预定并设置,或可以根据 用户请求或命令人工预定和设置。
之后,例如权限发布器106的可信任方根据或基于接收的设备 ID信息从收集的关于状态的信息和/或维持的关于状态的信息生成 定制的状态信息。例如,权限发布器可以从一个或多个实体112A、 112B(例如,CA、OCSP应答器等)请求特定的所标识设备的状态, 如标记250所示出,并且从其接收状态,如标记252所示出。状态 的收集可以包括从可信任实体的一个级别到另一级别的多个请求和 应答,以此类推。权限发布器106继而可以根据设备的传输的ID信 息创建例如第一设备108的请求设备的定制的状态信息。该定制的 信息可以涉及状态撤回并且可以是一个或多个列表(例如,良好、 可信任或白名单和/或不良、不可信任或黑名单)的形式。可以以其 他示例性形式提供状态信息以使得设备能够确定其他设备的可信任 度(或不可信任度)。然后,创建的状态信息可以传输到第一设备 108,如标记214所示出,并且存储在存储器228中。
在诸如访问权限、内容和/或状态信息的数据将要传输到、转移 到、移动到另一设备,与另一设备进行交换、分发到或对另一设备 可访问的情况中,另一设备例如第二设备110,第一设备108根据状 态信息确定第二设备110是否可信任。例如,第一设备108可以通 过评估状态信息来检查针对第二设备,状态是否已经撤回,例如其 整数是否仍旧有效。如果确定第二设备106不可信任,则第一设备 108不提供对于诸如访问权限和/或内容和/或状态信息的数据的访 问。如果可信任,则第一设备108向第二设备110提供对此类数据 的访问(例如,读取、写入、复制、移动等),如标记208、210和 211所示出。
尽管示出第一设备108为从内容分发器104接收内容条目,但 是第一设备108可以仅是已经从某些其他设备或通过超级分布 (superdistribution)已经接收内容条目和其访问权限的下游设备。
B.第二示例性情况
图3是另一示例性操作情况的框图。该情况类似于图2中的示 例性情况,除了可移除或便携式存储设备(例如,可移除存储器300) 用于获取以及转移诸如内容条目、访问权限和/或状态信息的数据, 如标记310所示出。可移除存储器302可以具有安全层302以执行 认证或其他安全相关特征,如上所述,以防止对存储在其上的数据 的未授权的访问。可移除存储器300的示例参考图8和图9在下面 描述。
在数据访问或转移之前的安全检查可以根据数据如何或何时转 移或可访问在多个情况中发生。例如,对于可信任度的检查可以发 生在数据对于从第一设备到可移除存储器300可访问(例如,读取、 写入、复制、移动等)时,以及在数据对于从可移除存储器300到 第二设备110可访问时。
尽管该示例示出了可连接至第一和第二设备108、110的可移除 存储器300,但是可移除存储器300可以是具有诸如无线和有线通信 的通信能力的设备。同样,可移除存储器300能够独立地从权限发 布器106获取和访问数据,诸如状态信息、访问权限和/或内容,并 且根据所需向其他设备提供此类数据。可移除存储器300可以通信 地通过物理连接(例如,接口/线)或无线或其组合与其他设备连接。
C.数字证书
上述情况可以包括设备的认证和诸如内容、访问权限、定制的 状态信息和/或顶级属性密钥或其他密钥的秘密信息的转移和使用。 为了确保利用公钥加密此类秘密信息,诸如权限发布器106和第二 设备110的设备的公钥可以在数字证书中转移到其他设备。这验证 了公钥属于这些设备并且建立这些设备作为可信任实体。
上述情况中和这里的设备可以采用证书认证(例如,可信任实 体112A或112B)以在数字证书中嵌入它们的公钥。在实施方式中, 证书认证通过加密设备的公钥(以及其他标识信息)来创建此类证 书,从而可以使用证书认证的公钥对其进行解密。该公钥可以公共 获取(例如,通过因特网)。当设备接收数字证书时,其可以通过 利用证书认证的公钥解密证书来获取发送者的公钥。
如上所述,设备例如可以通过检查其他设备的数字证书是否仍 旧有效或已经撤回来评估其他设备的可信任度(或不可信任度)。
III.访问和输出模块
如上所述,第一设备108和第二设备110每个都可以包括访问 模块和用户输出模块。这些模块的示例在图4中示出。
如图4所示,访问模块402可以包括解密模块414、416和418。 此外,访问模块402可以包括耦合至解密模块416和418的显示引 擎420。这些元素可以以硬件、软件、固件或以其任何组合实现。
每个解密模块414、416和418具有用于接收加密的数据的输入 接口(以“I”指示),以及用于接收加密密钥的输入接口(以“K” 指示)。此外,这些模块中的每个包括用于输出解密数据的输出接 口(以“O”指示)。
访问模块402接收安全内容密钥406、保护的内容条目408和保 护的使用规则410。安全内容密钥406是以设备的公钥加密的内容密 钥,在设备中实现访问模块402。如图4所示,解密模块414以对应 的设备的私钥412解密安全内容密钥406,在设备中实现访问模块 402。该解密生成内容密钥407。
图4示出了解密模块416接收保护的内容条目408和内容密钥 407以生成内容条目450。解密模块418接收保护的使用规则410和 内容密钥407以生成使用规则451。该生成可以基于对称加密技术, 因为内容密钥407还可以用于生成保护的内容条目408以及保护的 使用规则410。
将内容条目450和使用规则452发送到显示引擎,其中内容条 目被解码或显示在输出信号454中。该解码或显示符合使用规则的 任何限制或条件。
图4示出了用户输出模块404可以包括一个或多个显示器422, 以及用于向用户输出信号454的一个或多个扬声器424。然而,用户 输出模块404可以包括其他设备,如对相关领域技术人员显而易见 的。
上述内容仅提供为示例,并且其他访问和用户模块实现可以用 于访问以及输出或显示内容(保护的或未保护的)。
IV.处理
图5是根据实施方式的示例性处理500的流程图,通过该处理 500,设备可以允许对内容、访问权限和/或状态信息或其他类型的信 息的访问。处理500可以例如由图1的设备106、108、114执行。
处理500开始于步骤502,在步骤502中,设备接收或维持内容 和对该内容的访问权限。在步骤504,设备进行交互或处于与另一设 备的交互过程中。在步骤506,设备确定其他设备是否可信任。这可 以包括认证或安全操作,例如检查其他设备的状态以查看其他设备 的证书是否已经撤回或检查撤回状态。例如,设备检查状态信息, 该状态信息可以包括来自于可信任方(例如,权限发布器106或内 容分发器104)的定制状态信息,或通过状态信息的转移或交换来自 于其他可信任设备或通常来自于其他设备的定制状态信息。
在步骤508,如果其他设备是可信任的,那么设备允许对访问权 限、内容和/或诸如状态信息的其他信息的访问。否则,如果其他设 备是不可信任的,例如其状态已经撤回,那么处理500终止。
通过示例,处理500可以在第一设备108和第二设备110、第一 设备108和存储器设备114或存储器设备114和第二设备110之间 传输或交换或访问数据(例如,访问权限、内容等)是实现。可以 在设备间访问、传输或交互数据的任何时候执行利用状态信息的安 全检查。
当使用可移除或便携式存储器(例如,设备114、300)时,根 据便携式存储器设备的通信能力或便携式存储器设备在状态信息事 务期间是否附接于状态信息请求设备(例如,第一设备110),状态 信息可以直接或经由另一个设备从可信任方传输到便携式存储器设 备。
图6是根据实施方式的示例性处理600的流程图,通过该处理 600,设备获取其他设备的状态信息。处理600可以例如由图1的设 备106、108、114执行。
处理600开始于步骤602,在步骤602中,设备维持已经与其发 生交互的设备的标识(ID)信息。例如,设备可以跟踪已经与其发 生交互的设备,并且收集和存储标识此类设备的信息,诸如在历史 或事务日志(例如,ID、日期、用户和/或事务类型)包含此类设备 的ID。该信息可以根据事务历史或日志等维持或生成。
在步骤604,设备向可信任方(例如,权限发布者)请求新的或 更新的状态信息,并且传输已经与其发生交互的设备的ID信息。该 ID信息可以是新的或更新的状态信息。例如,ID列表的发送可以基 于预定的参数,例如交互的类型(例如,访问权限、连接等的交换)、 交互的时段(例如,持续30日)、设备的用户等。这些参数可以由 用户预定义或设置或修改。
在步骤606,设备接收所识别设备的状态信息。在步骤608,设 备评估该状态信息以确定其他设备的可信任度为交互的条件。如上 所述,交互可以设计例如访问权限、内容等数据的访问或分发。在 不足610,设备还可以向其他设备传输状态信息或与其他设备交互状 态信息以促进形成可信任或非可信任的网络。
图7是根据实施方式的示例性处理700的流程图,通过该处理 700可信任方(或实体)向状态请求设备提供设备的状态信息。处理 700例如可以由可信任方执行,诸如权限发布者,例如图1的内容分 发器104、权限发布器106。该处理可以作为事务的部分执行以在某 些服务或产品(例如,购买的内容)等注册期间获取内容的访问权 限。
处理700开始于步骤702,在步骤702中,可信任方从状态请求 设备接收设备的标识(ID)信息。如上所述,这些所标识设备可以 是那些请求设备已经与其发生交互的设备。在步骤704,可信任方针 对或根据所标识的设备生成状态信息。如上所述,这可以包括例如 从其他可信任实体收集状态以及针对所标识设备的状态信息的创 建。在步骤706,可信任方向设备传输状态信息。在步骤708,可信 任方还可以根据请求向设备传输访问权限(新的或修改的)。
这里描述的各种处理通常可以由包括固件的软件通过一个或多 个处理器或一个或多个硬线的或集成电路或其组合实现。软件实现 可以采用具有计算机可执行代码的有形介质实现,在计算机可执行 代码由一个或多个处理器读取并执行时,执行上述和这里描述的处 理。这处理提供为几个示例。这些处理不限于描述的操作或操作的 顺序,可以对其进行修改以执行上述各种功能。
V.计算机系统
如上所述,设备104、106、108和110可以包括软件组件。因 而,这些设备可以以一个或多个计算机系统实现。在图8中示出了 计算机系统801的示例。计算机系统801表示任何信号或多处理器 计算机。可以使用单线程和多线程计算机。可以使用一体或分布式 存储器系统。
计算机系统801包括一个或多个处理器,诸如处理器804。一个 或多个处理器804可以执行实现上述功能的软件。每个处理器804 连接至通信基础设施802(例如,通信总线、四通线或网络)。根据 该示例性计算机系统描述各种软件实施方式。在阅读该描述后,相 关领域技术人员将明白如何使用其他计算机系统合伙计算机架构实 现本文上述特征和功能。
计算机系统801包括优选为随机访问存储器(RAM)的主存储 器807。计算机系统801还可以包括次级存储器808。次级存储器808 例如可以包括硬盘驱动器810和/或可移除存储驱动器812,其表示 软盘驱动器、磁带驱动器、光盘驱动器等。可移除存储驱动器812 以公知的方式从可移除存储单元814读取和/或向可移除存储单元 814写入。可移除存储单元814表示由可移除存储驱动器812读取和 写入的软盘、磁带、光盘等。应该理解,可移除存储单元814包括 计算机可用存储介质,该存储介质具有存储于其中的计算机软件和/ 或数据。
在备选实施方式中,次级存储器808可以包括用于允许计算机 程序或其他指令加载到计算机系统801中的其他类似装置。此类装 置可以包括程序盒式存储器和盒式接口(诸如在视频游戏设备中出 现的)、可移除存储器芯片(诸如EPROM、PROM或闪存)以及相 关联的插口,和其他可移除存储单元822以及允许从可移除存储单 元822向计算机系统801转移软件和数据的接口。
根据各种实施方式,可移除存储设备814或822可以采用便携 式介质的形式,诸如安全可移除介质(SRM),其包括保护存储数 据免受未授权访问的装置。例如,SRM可以包括一个或多个处理器 和安全存储区域,并且能够执行安全相关操作(诸如加密和认证) 以控制对所存储数据的访问(例如,读取、写入、更新等)。安全 相关操作可以通过模块或代理(例如,SRM代理)实现。SRM可以 例如是安全存储器卡(SMC)、智能卡、多媒体卡(MMC)、安全 数据(SD)、USB闪存驱动器(USD)等。如上所述,SRM可以用 于存储内容和/或此类内容的权限对象。下面参考图9讨论便携式或 可移除存储设备(例如,114、300、814和822)的示例。
计算机系统801还可以包括通信接口824。通信接口824允许软 件和数据在计算机系统801和外部设备之间经由通信路径827进行 转移。通信接口827的示例包括调制解调器、网络接口(诸如以太 网卡)、蓝牙和/或其他短程无线网络模块等。经由通信接口827转 移的软件和数据是以信号828的形式,该信号828可以是电的、电 磁的、光的或其他能够由通信接口824经由通信路径827接收的信 号。注意,通信接口824提供一种装置,计算机系统801可以通过 该装置接口连接到诸如因特网的网络。
可以使用运行(即,执行)在类似于关于图8在上面描述的环 境中的软件实现各种实施方式。在本文档中,术语“计算机程序产 品”通常用于表示可移除存储单元814和822、安装在硬盘驱动器 810中的硬盘或通过通信路径827(无线链路或线缆)携带软件到通 信接口824的信号。计算机可用介质可以包括磁介质、光介质或其 他可记录介质或传输载波或其他信号的介质。这些计算机程序产品 是用于向计算机系统801提供软件的装置。
计算机程序(也称作计算机控制逻辑)存储在主存储器807和/ 或次级存储器808中。也可以经由通信接口824接收计算机程序。 当此类计算机程序执行时,其使得计算机系统801能够执行上述各 种特征。特别地,当计算机程序执行时,其使得处理器804能够执 行上述各种特征。因而,此类计算机程序表示计算机系统801的控 制器。
各种实施方式可以以软件、固件、硬件或其任何组合实现为控 制逻辑。在使用软件实现的实施方式中,软件可以存储在计算机程 序产品中并且使用可移除存储驱动器812、硬盘驱动器810或接口 820加载到计算机系统801中。可替换地,可以通过通信路径827 将计算机程序产品下载到计算机系统801中。当一个或多个处理器 804执行控制逻辑(软件)时,其使得处理器804执行上述各种实施 方式的功能。
在另一实施方式中,可能以固件和/或使用诸如专用集成电路 (ASIC)的硬件组件的硬件实现各种特征和功能。对于本领域的技 术人员实施硬件状态机从而执行这里描述的功能将是明显的。
VI.便携式或可移除存储器
如上所述,便携式或可移除存储器设备(例如,114、300、814、 822)可以用于接收、维持、存储和转移除其他事物之外的各种数据, 诸如内容条目和/或访问权限以及状态信息(例如,状态撤回信息) 或计算机程序可执行代码。可移除/便携式存储器设备900示出了一 个示例。
如图所示,存储器设备900包括一个或多个处理器902(例如, 微处理器)、用于存储数据的存储器904、用于控制到所存储数据的 访问的安全层906和用于向设备900和从设备900传送数据的通信 接口908。安全层906可以通过安全模块或代理实现,诸如如上所述 的SRM代理。如计算机系统801,存储器设备900还可以通过执行 计算机程序或计算机可执行代码来执行各种功能和操作,并且包括 取决于存储器类型(例如,智能卡、闪存等)的通信功能(例如, 无线或有线)。
VII.结论
虽然已经在上面描述了本发明的各种实施方式,但是应该理解 仅通过示例而不是限制的方式呈现了它们。因而,相关领域的技术 人员将明白,可以在其中做出形式和细节方面的各种改变而不脱离 本发明的精神和范围。因此,本发明的宽度和范围不应该由任何上 述示例性实施方式限制,而是应该仅根据以下权利要求书和它们的 等同物限制。
在详细描述各种实施方式之前,描述其中可以使用一个或多个 示例性实施方式的环境是有帮助的。因而,图1是根据一个实施方 式的操作环境的图示,在该操作环境中,可以在设备间分发内容和 其访问权限。该环境包括内容分发器104、权限发布器(例如权限发 布器或授权的代理)106、第一设备108、第二设备110和便携式存 储器设备114。设备108、110和114可以与单个用户或不同用户相 关联。内容分发器104和权限发布器106二者可以是访问权限的发 布器。
访问权限通常包括使用规则或关联或链接到某些内容的类似规 则。访问权限可以是凭证(voucher),其可以包括标识相应内容条 目的数据、内容分发器和使用规则。使用规则可以反映许可、限制 和/或义务的集合,在该集合下,可以许可对用户或某些设备的访问。 凭证也可以包括一个或多个普通形式(公钥)或加密的加密密钥。 凭证可以具有限制的有效性。
通过示例,使用规则可以记载相应内容条目呈现、读取、写入、 复制、存储、移动和/或转移所接收内容的用户或处理器的权限。使 用规则可以将内容条目的呈现限制为规定的次数、或将分发或共享 限制为规定数量的用户/设备。此外,使用规则可以限制内容条目到 其他设备和/或其他用户的转移。使用规则还可以设置关于使用相应 内容条目的临时限制。例如,临时的使用规则可以要求内容条目将 仅在规定的时段内存储或可访问,并且地理使用规则可以要求内容 条目仅在规定的区域中存储或可访问。此外,使用规则仅可以临时 具有有限的有效性。
使用规则可以表达为一个或多个数据文件。这些数据文件可以 是各种格式。例如,数据文件可以使用基于XML的标记语言,诸如 开放数字权限语言(ODRL)或可扩展权限标记语言(XrML)。数 据文件还可以直接使用XML。ODRL提供涉及内容的术语和条件的 表达,条件诸如许可、限制和义务。XrML提供用于指定和管理与内 容相关联的权限和条件的技术。
访问权限的示例是凭证,诸如以开放移动联盟(OMA)数字权 限管理(DRM)标准的版本2.0来描述和实现的权限对象。在该标 准中,每个DRM内容具有与其相关联的权限对象。在没有DRM内 容关联的权限对象时,不可以对其进行访问,可以连同其关联的DRM 内容或与其关联的DRM内容分离地分发权限对象。当前也已经提出 扩展OMA DRM标准,以允许在多个设备(例如已知或未知设备) 之间分发或共享权限对象和内容。可以通过有线或无线网络在设备 之间连接或通过设备或向设备分发或交换内容和权限对象,设备诸 如可移除或便携式存储器设备。这些实现由开放移动联盟有限公司 在其文档:Secure Content Exchange Requirements,Candidate Version 1.0,2006年10月20日,OMA-RD-SCE-V1_0-20061020-C(2006); 以及OMA Secure Removable Media Requirements,Candidate Version 1.0,2006年10月10日,OMA-RD-SRM-V1_0-20061010-C(2006)中 更详细地进行了描述。
返回图1,内容分发器104可以包括内容提供器和/或服务提供 器,其向一个或多个设备传输内容条目和/或访问权限,或提供设计 内容条目分发的服务。内容条目的示例包括(但不限于)视频广播、 多媒体内容、超文本文档和文件。内容分发器104例如可以是数字 视频广播机。可以以保护(例如,有条件的加密访问)或未加密的 格式保护此类传输。如果在服务环境中实现,则设备可能需要预先 注册服务。注册可以包括向内容分发器提供用户或设备的标识信息 支付或账户信息等等,并且提供信息或数据以促进向设备传递服务, 信息或数据包括各种密钥(例如,内容条目加密密钥(CIEK)、定 价属性密钥等)和定价信息。
尽管内容分发器104可以传输内容条目以及访问权限,访问权 限还可以独立传递或通过可信任或授权代理随后进行修改。因此, 内容条目和其关联的访问权限可以一起传输或在不同的时间传输, 或通过不同介质传输。此类内容条目和访问权限可以包括指针、索 引或关联数据,在需要时,关联数据允许其彼此关联。
如图1所示,公共加密密钥和私有加密密钥对还可以与设备108 和110相关联。特别地,第一设备108具有公钥124和相应的私钥 126。第二设备110具有公钥142和相应的私钥144。此外,公钥152 和相应的私钥154与权限的发布器相关联,例如,权限发布器106。 根据相应的公钥和私钥,这些设备可以采用非对称加密技术来加密 和解密信息,诸如内容条目、访问权限、加密密钥、定价属性或任 何要保护的其他信息。
各种网络耦合图1的设备。例如,网络120耦合内容分发器104 和第一设备108,网络122耦合第一设备108和第二设备110,网络 125耦合第一设备108和权限发布器106,网络130耦合权限发布器 106和内容分发器104,并且网络127耦合权限发布器106到一个或 多个可信任实体112A、112B。
网络120、122、125、127和130每个都可以是任何合适的网络, 该网络支持耦合的设备和实体之间的信息转移。例如,网络120可 以是广播网络。广播网络的示例包括陆地和卫星无线电视分发系统, 诸如DVB-T、DVB-C、DVB-H(手持DVB)、ATSC和ISDB系统。 网络120也可以是广播有线网络,诸如有线数据服务接口规范 (DOCSIS)网络。可替换地,网络120可以是基于分组的网络,诸 如因特网。
如其他示例,网络120、122、125、127、130中的一个或多个 可以是有线或无线蜂窝网络。此外,这些网络中的一个或多个可以 是短程近距网,其采用诸如蓝牙或超宽带(UWB)等技术。因而, 设备104、106、108和110中的一个或多个可以实现为诸如移动电 话、移动个人数字助理(PDA)、移动计算机等的移动设备。尽管 图1示出了不同的网络,但在实施方式中,单个网络可以替代网络 120、122、125、127和130中的两个或更多。
而且,在图1的设备和实体之间,在某些实施方式中不仅可以 存在单个网络而且可以存在两个或多个网络。这些网络可以用于设 备和实体间的消息传送和/或(内容)数据转移。例如,用户终端(诸 如第一设备108)可以包括DVB接收器、移动电话以及额外具有蓝 牙连接。
如图1进一步示出的,权限发布器106可以涉及管理设备间的 内容分发。权限发布器106可以被内容分发器104信任并且被授权 代表自己而工作。因此,当权限发布器106实现为不同于内容分发 器104的实体时,其可以执行转移给内容分发器104的动作。此类 动作的示例包括交换现有的访问权限(例如,使用规则)、创建新 的访问权限(例如,使用规则)、交易内容访问的事务,诸如为内 容确定定价并且获取支付等等。其他示例性动作可以包括内容与设 备或也称为域的多个设备集合的绑定的修改,以及域的修改。可替 换地,域可以有例如第一设备108的设备定义或修改,该设备可以 作为管理设备而工作。
然而,内容分发器104可以设置对给予权限发布器106的授权 的限制。例如,内容分发器104可以对该授权施加时间限制。此类 时间限制可以指定特定的时间(例如,月/日/年),在该时间处,该 授权过期。此外,内容分发器104可以在任何时间撤回该授权。而 且,内容分发器104授予权限发布器106的任何授权可以包括各种 限制和/或条件。例如,内容分发器104可以将授权限制为某种类型 的内容。这样的内容类型包括低价内容、过时内容、较低级别内容 或其任何组合。因此,内容分发器104可以对权限发布器106施加 限制(或限制的授权),从而不允许权限发布器106执行内容分发 器104可以执行的所有功能。
权限发布器106可以由诸如第一设备108的设备本地访问。例 如,权限发布器106可以定位在公共可用的位置,诸如第一设备108 的附近电脑亭。因而,在此类实现中,网络125可以是诸如蓝牙网 络的ad hoc近距网络。而且,权限发布器106可以位于不同于内容 分发器104的区域或地域中。在此类位置中,权限的“原始”所有 者(即,内容分发器104)可能不可访问。因此,权限发布器106 提供本地内容访问替代来自于内容分发器104的中央内容访问。该 特征减轻了来自内容分发器104的通信和处理负载。
尽管图1仅示出了单个内容分发器,权限发布器106可以由多 个内容分发器信任。类似地,尽管图1仅示出了单个权限发布器(例 如,授权的代理),内容分发器104可以信任多个权限发布器。而 且,在此处的各种示例性实施方式中,内容分发器104可以执行权 限发布器106的作用或反之亦然。如上所述,权限发布器106可以 在移动电话中实现。在此类实现中,权限发布器106可以操作为某 个人的个人权限发布器,或多人(例如,家庭成员)之间的共享权 限发布器。
如上所述,可以在多个设备间分发或交换内容和其访问权限, 例如以凭证或权限对象的形式。例如,内容分发器104可以连同访 问权限传输内容条目,该访问权限被授权为由第一设备108接收。 如所希望的,例如可以从相同的源或单独从不同源一起提供这两个 条目。在接收这些条目时或之后,第一设备108的用户可以希望将 该内容和/或其访问权限转发、转移、传输、移动、分发等到一个或 多个其他设备,诸如第二设备110。可以通过跨网络(例如网络122) 的通信或连接来执行这些。可替换地,可以在第一设备110处或由 第一设备110将此类信息存储或转移到便携式存储器设备114上并 且通过设备114转移到第二设备110。存储器设备114的示例在下面 参考图3、图8和图9的设备300、814、816和900描述。
根据各种实施方式,一个设备可以将内容条目(以及其他相关 联的信息)和/或访问权限转移到符合特定条件的接收设备,特定条 件例如接收设备的可信任度(或不可信任度)。因此,由于用于允 许对内容或其访问权限或两者的访问(例如,复制、呈现、写入、 读取、交换、传输、分发、转移等)的前提,设备可以检查设计其 可信任度的其他设备的状态。这例如可以包括执行撤回状态检查, 例如源设备检查接收(sink)设备的撤回状态(例如,证书撤回状态) 等和/或反之亦然。例如,如果接收设备的状态已经撤回(例如,接 收设备的证书不再有效等),那么访问权限和/或内容对于其他设备 不可访问。否则,如果其状态是有效的或没有撤回,那么访问权限 或内容对其他设备是可访问的。访问权限和/或内容的访问性可以进 一步符合其他限制,诸如由访问权限提供的限制。
撤回状态检查可以使用诸如证书撤回列表(CRL)或在线证书状 态协议(OCSP)等方法完成。然而,使用CRL可以包括设备的存 储空间和处理的充分使用,因为CRL可以包含关于多个其他设备或 实体的信息,这些设备或实体可以从来不与诸如第一设备108的设 备交互。而且,OCSP的使用将要求设备维持或具有可用的通信能力 以与OCSP应答器通信,不可能总是这样的情况,诸如对于非联网 的设备或那些不总是连接到网络等的设备。
因而,在一个或多个示例性实施方式,设备(例如,第一设备 108、存储器设备114等)可以保持跟踪、收集和/或维持关于那些已 经与其发生某些交互的设备的信息,交互例如数据(例如,内容, 访问权限等)的交换或传输或转移或分发、联系、通信、连接、事 务等。设备可以从可信任方(例如内容分发器104或权限发布器106) 请求关于选择设备的可信任度(或不可信任度)的状态信息,设备 例如是那些已经与其发生交互的设备。例如,设备可以向可信任方 传输标识(例如,设备标识符(ID))那些已经与其发生交互的设 备的信息。
可信任方继而可以生成关于标识的设备的可信任度(或不可信 任度)的定制或可选状态信息。这可以限定可信任方(例如内容分 发器104或权限发布器106)请求或收集来自于诸如可信任实体 112A、112B的其他实体的状态信息(并且它们可以进一步从其他实 体请求状态,等)。可信任实体112A、112B可以是OCSP应答器、 证书认证(CA)或其他可信任实体。然后,可信任方可以从维持的、 请求的或收集的信息获取针对每个识别的设备的具体可信任度状 态,并且向状态请求设备提供该定制状态信息以便在与其他设备的 交互中使用(例如,数据转移等)。
该状态信息可以采用列表形式(例如,良好或可信任设备列表 (白名单)和/或不良或不可信任设备列表(黑名单)等)并且可以 对应于那些标识的设备的状态撤回信息(例如,根据那些标识设备 的撤回设备或未撤回设备的列表)。仅将状态撤回检查提供为可以 用于检查设备可信任度的状态信息类型的一个示例。同样,也可以 使用取决于安全或认证协议的其他类型的信息。
状态信息可以针对用户或设备或事件或域(例如,设备的组) 进行定制以减少其他方法的存储和处理,诸如在向OCSP的在线状 态检查提供妥协时使用CRL。通常,设备间连接到几个其他设备。 因此,此类配置可以例如用于具有有限的处理、网络访问和/或存储 能力的那些设备。针对域,单个设备可以收集那些设备的设备ID, 域中的任意一个设备都与那些设备进行交互,并且单个设备从可信 任方获取标识设备的状态信息。可替换地,可以在域中的设备之间 交换状态信息。
设备可以配置为根据预定的条件请求或更新或修改此类状态信 息,预定条件可以由用户定义。例如,也可以在访问可信任方的某 些内容期间或作为访问可信任方的某些内容的事务的一部分从各种 可信任方(诸如权限的发布者,例如内容分发器104或权限发布器 106)请求定制的状态信息。还可以设置设备来以预定的时间、在当 前状态信息的有效性过期等时、在可用网络或通信访问从其可以获 取此类信息的可信任方时,周期性地请求或更新或修改此类信息。 也可以根据用户命令请求、更新或修改定制的状态信息。更新或修 改的操作可以包括传输已经与其发生交互的设备的更新列表。该更 新列表还可以在特定条件下(例如,在一段时间之后,新设备交互 等)被更新或修改。
如上所述,设备可以维持和采用定制的状态信息来在与此类其 他设备进行任何其他交货或特定类型的交互之前,检查另一设备的 可信任度(或不可信任度)。该交互可以包括或涉及在设备之间的 访问权限或内容的转移、复制、读取、写入、移动、传输或分发。 这可以包括向另一设备提供数据(例如,内容和/或访问权限)的副 本或从一个设备向另一设备完全地移动原始数据的情况。
如其他示例性方面,设备通常可以交换它们的定制的状态信息 和其他设备的定制的状态信息(例如,在时间段内收集的)。通过 此类交换,可能建立可信任或非可信任(例如,撤回的)设备的网 络。例如,可信任或非可信任设备的网络可以建立并且在设备与其 他设备交互时扩展(例如,类似于树分支)。这样,可以创建设备 的域并且将其更新为访问以及共享特定的内容。
II.操作情况
根据各种示例性实施方式,多个示例性情况可以用于在设备之 间分发或允许对数据(诸如内容和/或其访问权限和/或状态信息等) 的访问。
A.第一示例性情况
图2是一个示例性操作情况的框图。如该示例所示,第一设备 108可以包括:安全模块220,用于控制对诸如存储在存储器228中 的数据的访问;访问模块222,用于以与内容关联的访问权限访问诸 如内容条目的内容;用户输出模块224,用于输出访问的内容;以及 事务/历史日志226,用于跟踪并且收集关于已经与其发生交互的其 他设备的信息。该收集的信息可以包括设备的标识(ID)信息、任 何交互的时间、交互(例如,对访问权限、内容等的访问的交换) 的类型、通信(例如,有线连接、无线连接、安全连接、不安全连 接等)的类型或可以用于选择请求关于其的状态信息的设备的任何 信息。
第二设备110也包括类似的组件,诸如安全模块230、访问模块 232、用户输出模块234、事务/历史日志236和存储器238。
在示例性操作中,如标记202所示出的,第一设备108从内容 分发器104接收内容条目,并且第一设备108可以连同内容条目接 收其访问权限(例如凭证、权限对象、使用规则等),如标记204 所示出,或可以独立地从另一源(例如,权限发布器106)接收其访 问权限,如标记206所示出。
第一设备108还可以从诸如权限发布器106的可信任方接收状 态信息。例如,如上所述,第一设备108可以请求特定设备的状态 信息,例如那些已经与其发生交互或特定类型的交互的设备。这可 以包括向可信任方传输这些特定设备的ID信息,如标记212所示出。 在该示例中,可信任方可以是权限发布器106,并且ID信息可以在 某些内容的访问权限的事务期间提供。如上所述,此类请求可以在 这样的条件下自动启动,该条件可以预先预定并设置,或可以根据 用户请求或命令人工预定和设置。
之后,例如权限发布器106的可信任方根据或基于接收的设备 ID信息从收集的关于状态的信息和/或维持的关于状态的信息生成 定制的状态信息。例如,权限发布器可以从一个或多个实体112A、 112B(例如,CA、OCSP应答器等)请求特定的所标识设备的状态, 如标记250所示出,并且从其接收状态,如标记252所示出。状态 的收集可以包括从可信任实体的一个级别到另一级别的多个请求和 应答,以此类推。权限发布器106继而可以根据设备的传输的ID信 息创建例如第一设备108的请求设备的定制的状态信息。该定制的 信息可以涉及状态撤回并且可以是一个或多个列表(例如,良好、 可信任或白名单和/或不良、不可信任或黑名单)的形式。可以以其 他示例性形式提供状态信息以使得设备能够确定其他设备的可信任 度(或不可信任度)。然后,创建的状态信息可以传输到第一设备 108,如标记214所示出,并且存储在存储器228中。
在诸如访问权限、内容和/或状态信息的数据将要传输到、转移 到、移动到另一设备,与另一设备进行交换、分发到或对另一设备 可访问的情况中,另一设备例如第二设备110,第一设备108根据状 态信息确定第二设备110是否可信任。例如,第一设备108可以通 过评估状态信息来检查针对第二设备,状态是否已经撤回,例如其 整数是否仍旧有效。如果确定第二设备106不可信任,则第一设备 108不提供对于诸如访问权限和/或内容和/或状态信息的数据的访 问。如果可信任,则第一设备108向第二设备110提供对此类数据 的访问(例如,读取、写入、复制、移动等),如标记208、210和 211所示出。
尽管示出第一设备108为从内容分发器104接收内容条目,但 是第一设备108可以仅是已经从某些其他设备或通过超级分布 (superdistribution)已经接收内容条目和其访问权限的下游设备。
B.第二示例性情况
图3是另一示例性操作情况的框图。该情况类似于图2中的示 例性情况,除了可移除或便携式存储设备(例如,可移除存储器300) 用于获取以及转移诸如内容条目、访问权限和/或状态信息的数据, 如标记310所示出。可移除存储器302可以具有安全层302以执行 认证或其他安全相关特征,如上所述,以防止对存储在其上的数据 的未授权的访问。可移除存储器300的示例参考图8和图9在下面 描述。
在数据访问或转移之前的安全检查可以根据数据如何或何时转 移或可访问在多个情况中发生。例如,对于可信任度的检查可以发 生在数据对于从第一设备到可移除存储器300可访问(例如,读取、 写入、复制、移动等)时,以及在数据对于从可移除存储器300到 第二设备110可访问时。
尽管该示例示出了可连接至第一和第二设备108、110的可移除 存储器300,但是可移除存储器300可以是具有诸如无线和有线通信 的通信能力的设备。同样,可移除存储器300能够独立地从权限发 布器106获取和访问数据,诸如状态信息、访问权限和/或内容,并 且根据所需向其他设备提供此类数据。可移除存储器300可以通信 地通过物理连接(例如,接口/线)或无线或其组合与其他设备连接。
C.数字证书
上述情况可以包括设备的认证和诸如内容、访问权限、定制的 状态信息和/或顶级属性密钥或其他密钥的秘密信息的转移和使用。 为了确保利用公钥加密此类秘密信息,诸如权限发布器106和第二 设备110的设备的公钥可以在数字证书中转移到其他设备。这验证 了公钥属于这些设备并且建立这些设备作为可信任实体。
上述情况中和这里的设备可以采用证书认证(例如,可信任实 体112A或112B)以在数字证书中嵌入它们的公钥。在实施方式中, 证书认证通过加密设备的公钥(以及其他标识信息)来创建此类证 书,从而可以使用证书认证的公钥对其进行解密。该公钥可以公共 获取(例如,通过因特网)。当设备接收数字证书时,其可以通过 利用证书认证的公钥解密证书来获取发送者的公钥。
如上所述,设备例如可以通过检查其他设备的数字证书是否仍 旧有效或已经撤回来评估其他设备的可信任度(或不可信任度)。
III.访问和输出模块
如上所述,第一设备108和第二设备110每个都可以包括访问 模块和用户输出模块。这些模块的示例在图4中示出。
如图4所示,访问模块402可以包括解密模块414、416和418。 此外,访问模块402可以包括耦合至解密模块416和418的显示引 擎420。这些元素可以以硬件、软件、固件或以其任何组合实现。
每个解密模块414、416和418具有用于接收加密的数据的输入 接口(以“I”指示),以及用于接收加密密钥的输入接口(以“K” 指示)。此外,这些模块中的每个包括用于输出解密数据的输出接 口(以“O”指示)。
访问模块402接收安全内容密钥406、保护的内容条目408和保 护的使用规则410。安全内容密钥406是以设备的公钥加密的内容密 钥,在设备中实现访问模块402。如图4所示,解密模块414以对应 的设备的私钥412解密安全内容密钥406,在设备中实现访问模块 402。该解密生成内容密钥407。
图4示出了解密模块416接收保护的内容条目408和内容密钥 407以生成内容条目450。解密模块418接收保护的使用规则410和 内容密钥407以生成使用规则451。该生成可以基于对称加密技术, 因为内容密钥407还可以用于生成保护的内容条目408以及保护的 使用规则410。
将内容条目450和使用规则452发送到显示引擎,其中内容条 目被解码或显示在输出信号454中。该解码或显示符合使用规则的 任何限制或条件。
图4示出了用户输出模块404可以包括一个或多个显示器422, 以及用于向用户输出信号454的一个或多个扬声器424。然而,用户 输出模块404可以包括其他设备,如对相关领域技术人员显而易见 的。
上述内容仅提供为示例,并且其他访问和用户模块实现可以用 于访问以及输出或显示内容(保护的或未保护的)。
IV.处理
图5是根据实施方式的示例性处理500的流程图,通过该处理 500,设备可以允许对内容、访问权限和/或状态信息或其他类型的信 息的访问。处理500可以例如由图1的设备106、108、114执行。
处理500开始于步骤502,在步骤502中,设备接收或维持内容 和对该内容的访问权限。在步骤504,设备进行交互或处于与另一设 备的交互过程中。在步骤506,设备确定其他设备是否可信任。这可 以包括认证或安全操作,例如检查其他设备的状态以查看其他设备 的证书是否已经撤回或检查撤回状态。例如,设备检查状态信息, 该状态信息可以包括来自于可信任方(例如,权限发布器106或内 容分发器104)的定制状态信息,或通过状态信息的转移或交换来自 于其他可信任设备或通常来自于其他设备的定制状态信息。
在步骤508,如果其他设备是可信任的,那么设备允许对访问权 限、内容和/或诸如状态信息的其他信息的访问。否则,如果其他设 备是不可信任的,例如其状态已经撤回,那么处理500终止。
通过示例,处理500可以在第一设备108和第二设备110、第一 设备108和存储器设备114或存储器设备114和第二设备110之间 传输或交换或访问数据(例如,访问权限、内容等)是实现。可以 在设备间访问、传输或交互数据的任何时候执行利用状态信息的安 全检查。
当使用可移除或便携式存储器(例如,设备114、300)时,根 据便携式存储器设备的通信能力或便携式存储器设备在状态信息事 务期间是否附接于状态信息请求设备(例如,第一设备110),状态 信息可以直接或经由另一个设备从可信任方传输到便携式存储器设 备。
图6是根据实施方式的示例性处理600的流程图,通过该处理 600,设备获取其他设备的状态信息。处理600可以例如由图1的设 备106、108、114执行。
处理600开始于步骤602,在步骤602中,设备维持已经与其发 生交互的设备的标识(ID)信息。例如,设备可以跟踪已经与其发 生交互的设备,并且收集和存储标识此类设备的信息,诸如在历史 或事务日志(例如,ID、日期、用户和/或事务类型)包含此类设备 的ID。该信息可以根据事务历史或日志等维持或生成。
在步骤604,设备向可信任方(例如,权限发布者)请求新的或 更新的状态信息,并且传输已经与其发生交互的设备的ID信息。该 ID信息可以是新的或更新的状态信息。例如,ID列表的发送可以基 于预定的参数,例如交互的类型(例如,访问权限、连接等的交换)、 交互的时段(例如,持续30日)、设备的用户等。这些参数可以由 用户预定义或设置或修改。
在步骤606,设备接收所识别设备的状态信息。在步骤608,设 备评估该状态信息以确定其他设备的可信任度为交互的条件。如上 所述,交互可以设计例如访问权限、内容等数据的访问或分发。在 不足610,设备还可以向其他设备传输状态信息或与其他设备交互状 态信息以促进形成可信任或非可信任的网络。
图7是根据实施方式的示例性处理700的流程图,通过该处理 700可信任方(或实体)向状态请求设备提供设备的状态信息。处理 700例如可以由可信任方执行,诸如权限发布者,例如图1的内容分 发器104、权限发布器106。该处理可以作为事务的部分执行以在某 些服务或产品(例如,购买的内容)等注册期间获取内容的访问权 限。
处理700开始于步骤702,在步骤702中,可信任方从状态请求 设备接收设备的标识(ID)信息。如上所述,这些所标识设备可以 是那些请求设备已经与其发生交互的设备。在步骤704,可信任方针 对或根据所标识的设备生成状态信息。如上所述,这可以包括例如 从其他可信任实体收集状态以及针对所标识设备的状态信息的创 建。在步骤706,可信任方向设备传输状态信息。在步骤708,可信 任方还可以根据请求向设备传输访问权限(新的或修改的)。
这里描述的各种处理通常可以由包括固件的软件通过一个或多 个处理器或一个或多个硬线的或集成电路或其组合实现。软件实现 可以采用具有计算机可执行代码的有形介质实现,在计算机可执行 代码由一个或多个处理器读取并执行时,执行上述和这里描述的处 理。这处理提供为几个示例。这些处理不限于描述的操作或操作的 顺序,可以对其进行修改以执行上述各种功能。
V.计算机系统
如上所述,设备104、106、108和110可以包括软件组件。因 而,这些设备可以以一个或多个计算机系统实现。在图8中示出了 计算机系统801的示例。计算机系统801表示任何信号或多处理器 计算机。可以使用单线程和多线程计算机。可以使用一体或分布式 存储器系统。
计算机系统801包括一个或多个处理器,诸如处理器804。一个 或多个处理器804可以执行实现上述功能的软件。每个处理器804 连接至通信基础设施802(例如,通信总线、四通线或网络)。根据 该示例性计算机系统描述各种软件实施方式。在阅读该描述后,相 关领域技术人员将明白如何使用其他计算机系统合伙计算机架构实 现本文上述特征和功能。
计算机系统801包括优选为随机访问存储器(RAM)的主存储 器807。计算机系统801还可以包括次级存储器808。次级存储器808 例如可以包括硬盘驱动器810和/或可移除存储驱动器812,其表示 软盘驱动器、磁带驱动器、光盘驱动器等。可移除存储驱动器812 以公知的方式从可移除存储单元814读取和/或向可移除存储单元 814写入。可移除存储单元814表示由可移除存储驱动器812读取和 写入的软盘、磁带、光盘等。应该理解,可移除存储单元814包括 计算机可用存储介质,该存储介质具有存储于其中的计算机软件和/ 或数据。
在备选实施方式中,次级存储器808可以包括用于允许计算机 程序或其他指令加载到计算机系统801中的其他类似装置。此类装 置可以包括程序盒式存储器和盒式接口(诸如在视频游戏设备中出 现的)、可移除存储器芯片(诸如EPROM、PROM或闪存)以及相 关联的插口,和其他可移除存储单元822以及允许从可移除存储单 元822向计算机系统801转移软件和数据的接口。
根据各种实施方式,可移除存储设备814或822可以采用便携 式介质的形式,诸如安全可移除介质(SRM),其包括保护存储数 据免受未授权访问的装置。例如,SRM可以包括一个或多个处理器 和安全存储区域,并且能够执行安全相关操作(诸如加密和认证) 以控制对所存储数据的访问(例如,读取、写入、更新等)。安全 相关操作可以通过模块或代理(例如,SRM代理)实现。SRM可以 例如是安全存储器卡(SMC)、智能卡、多媒体卡(MMC)、安全 数据(SD)、USB闪存驱动器(USD)等。如上所述,SRM可以用 于存储内容和/或此类内容的权限对象。下面参考图9讨论便携式或 可移除存储设备(例如,114、300、814和822)的示例。
计算机系统801还可以包括通信接口824。通信接口824允许软 件和数据在计算机系统801和外部设备之间经由通信路径827进行 转移。通信接口827的示例包括调制解调器、网络接口(诸如以太 网卡)、蓝牙和/或其他短程无线网络模块等。经由通信接口827转 移的软件和数据是以信号828的形式,该信号828可以是电的、电 磁的、光的或其他能够由通信接口824经由通信路径827接收的信 号。注意,通信接口824提供一种装置,计算机系统801可以通过 该装置接口连接到诸如因特网的网络。
可以使用运行(即,执行)在类似于关于图8在上面描述的环 境中的软件实现各种实施方式。在本文档中,术语“计算机程序产 品”通常用于表示可移除存储单元814和822、安装在硬盘驱动器 810中的硬盘或通过通信路径827(无线链路或线缆)携带软件到通 信接口824的信号。计算机可用介质可以包括磁介质、光介质或其 他可记录介质或传输载波或其他信号的介质。这些计算机程序产品 是用于向计算机系统801提供软件的装置。
计算机程序(也称作计算机控制逻辑)存储在主存储器807和/ 或次级存储器808中。也可以经由通信接口824接收计算机程序。 当此类计算机程序执行时,其使得计算机系统801能够执行上述各 种特征。特别地,当计算机程序执行时,其使得处理器804能够执 行上述各种特征。因而,此类计算机程序表示计算机系统801的控 制器。
各种实施方式可以以软件、固件、硬件或其任何组合实现为控 制逻辑。在使用软件实现的实施方式中,软件可以存储在计算机程 序产品中并且使用可移除存储驱动器812、硬盘驱动器810或接口 820加载到计算机系统801中。可替换地,可以通过通信路径827 将计算机程序产品下载到计算机系统801中。当一个或多个处理器 804执行控制逻辑(软件)时,其使得处理器804执行上述各种实施 方式的功能。
在另一实施方式中,可能以固件和/或使用诸如专用集成电路 (ASIC)的硬件组件的硬件实现各种特征和功能。对于本领域的技 术人员实施硬件状态机从而执行这里描述的功能将是明显的。
VI.便携式或可移除存储器
如上所述,便携式或可移除存储器设备(例如,114、300、814、 822)可以用于接收、维持、存储和转移除其他事物之外的各种数据, 诸如内容条目和/或访问权限以及状态信息(例如,状态撤回信息) 或计算机程序可执行代码。可移除/便携式存储器设备900示出了一 个示例。
如图所示,存储器设备900包括一个或多个处理器902(例如, 微处理器)、用于存储数据的存储器904、用于控制到所存储数据的 访问的安全层906和用于向设备900和从设备900传送数据的通信 接口908。安全层906可以通过安全模块或代理实现,诸如如上所述 的SRM代理。如计算机系统801,存储器设备900还可以通过执行 计算机程序或计算机可执行代码来执行各种功能和操作,并且包括 取决于存储器类型(例如,智能卡、闪存等)的通信功能(例如, 无线或有线)。
VII.结论
虽然已经在上面描述了本发明的各种实施方式,但是应该理解 仅通过示例而不是限制的方式呈现了它们。因而,相关领域的技术 人员将明白,可以在其中做出形式和细节方面的各种改变而不脱离 本发明的精神和范围。因此,本发明的宽度和范围不应该由任何上 述示例性实施方式限制,而是应该仅根据以下权利要求书和它们的 等同物限制。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 消息撤回方法及装置 | 2020-05-11 | 742 |
| 一种消息撤回方法及装置 | 2020-05-12 | 38 |
| 一种基于即时通信的聊天信息撤回控制方法 | 2020-05-14 | 563 |
| 使用证书撤回列表的内容控制系统和方法 | 2020-05-14 | 872 |
| 消息撤回方法及装置 | 2020-05-11 | 978 |
| 一种短信息撤回方法和终端 | 2020-05-13 | 334 |
| 可撤回组件 | 2020-05-11 | 627 |
| 用于撤回数据转移操作的方法及装置 | 2020-05-13 | 250 |
| 一种邮件撤回方法及系统 | 2020-05-12 | 698 |
| 一种基于区块链的账户撤回方法及系统 | 2020-05-14 | 132 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈