用於管理文檔的數字使用權限的方法和設備的製作方法

2023-10-04 18:55:04

用於管理文檔的數字使用權限的方法和設備的製作方法
【專利摘要】用於管理文檔的數字使用權限的方法、設備和系統包括移動計算設備，所述移動計算設備具有包括在其中的數字權限管理（DRM）執行引擎。所述移動計算設備可以與諸如企業數字權限管理（EDRM）伺服器的伺服器進行通信，以便獲取安全文檔和相關聯的文檔使用權限策略。所述文檔和使用權限策略被存儲在所述移動計算設備的安全存儲器中。所述移動計算設備的DRM執行引擎在本地執行所述相關聯的文檔使用權限策略的同時，提供對被請求的文檔的訪問。在一些實施例中，所述移動計算設備可以用作對於可通信地耦接到所述移動計算設備的其它計算設備的代理和/或用作對於這樣的計算設備的本地EDRM。
【專利說明】用於管理文檔的數字使用權限的方法和設備
【背景技術】
[0001]數字權限管理(DRM)技術通過限制請求對安全文檔的訪問的個體的數字特權(例如，查看權限、修改權限等等)來提供對這樣的文檔的訪問和使用控制。對於安全文檔的數字特權通常由可以使數字特權與諸如做出請求的個體的身份的特定標準相關的數字使用權限策略來限定。
[0002]企業數字權限管理(EDRM)系統由公司和其它大型實體使用以便由大群體的用戶提供安全文檔的企業範圍的使用控制和監控。典型地，EDRM系統被體現為由客戶端計算機通過網絡接入的一個或多個伺服器。
【專利附圖】

【附圖說明】
[0003]在附圖中通過示例而非限制的方式來說明本文描述的發明。為了說明的簡單和清楚，不一定按照比例來繪製附圖中說明的元件。例如，為了清楚起見，可以相對於其它元件來放大一些元件的尺寸。進而，在被認為適當的場合，在附圖中重複附圖標記以便指示相對應或類似的元件。
[0004]圖1是用於管理移動計算設備上的文檔的數字使用權限的系統的一個實施例的簡化框圖；
[0005]圖2是圖1的移動計算設備的軟體環境的簡化框圖；
[0006]圖3是用於管理圖1的移動計算設備上的文檔的數字使用權限的方法的一個實施例的簡化流程圖；
[0007]圖4是用於管理文檔的數字使用權限的系統的另一實施例的簡化框圖；以及
[0008]圖5是用於管理在圖4的系統的計算設備上訪問的文檔的數字使用權限的方法的一個實施例的簡化流程圖。
【具體實施方式】
[0009]儘管本公開的概念易於實現各種修改和可選形式，但是在附圖中通過示例的方式示出了並且在本文中詳細描述了其具體的示例性實施例。然而應該理解，並不意在將本公開的概念局限於公開的特定形式，而是相反，本發明意在涵蓋落入如所附權利要求限定的本發明的精神和範圍內的所有修改、等效和可選形式。
[0010]在下面的描述中，闡述了諸如邏輯實現、操作碼、指定操作數的手段、資源劃分/共享/複製實現、系統部件的類型和相互關係以及邏輯劃分/集成選擇的各種具體細節，以便提供對本公開的更加全面的理解。然而，本領域的普通技術人員將認識到，可以在沒有這樣的具體細節的情況下來實踐本公開的實施例。在其它實例中，沒有詳細地示出控制結構、門級電路和全軟體指令序列，以便不混淆本發明。使用包括的描述，本領域的普通技術人員將能夠在不進行過度實驗的情況下來實現適當的功能。
[0011]在說明書中對「一個實施例」、「實施例」、「示例實施例」等等的提及指示描述的實施例可以包括特定的特徵、結構或特性，但是每一個實施例可能不一定都包括該特定的特徵、結構或特性。而且，這樣的短語不一定都指代相同的實施例。進而，當結合實施例來描述特定的特徵、結構或特性時，主張的是，結合不管是否被明確描述的其它實施例來實現這樣的特徵、結構或特性在本領域的普通技術人員的知識範圍內。
[0012]本發明的實施例可以在硬體、固件、軟體或其任何組合中實現。在計算機系統中實現的本發明的實施例可以包括部件之間的一個或多個基於總線的互連和/或部件之間的一個或多個點到點互連。也可以將本發明的實施例實現為存儲在有形機器可讀介質上的指令，該指令可以由一個或多個處理器進行讀取和執行。有形機器可讀介質可以包括用於以機器(例如，計算設備)可讀的形式存儲或傳輸信息的任何有形機制。例如，有形機器可讀介質可以包括只讀存儲器(ROM)、隨機存取存儲器(RAM)、磁碟存儲介質、光學存儲介質、快閃記憶體設備等等。
[0013]典型的EDRM伺服器對於所有安全文檔提供使用權限策略的單點執行。然而，只有當對這樣的EDRM伺服器的訪問可用時才能夠實現這樣的數字權限執行。這樣，僅在其中到EDRM伺服器的網絡接入可用的那些時間期間才提供對EDRM伺服器上的安全文檔的訪問。可選地，如果僅在到EDRM伺服器的網絡接入可用時才執行文檔使用權限，則會違背對安全文檔的控制。
[0014]現在參照圖1，用於管理文檔的數字使用權限的系統100包括能夠通過網絡106彼此進行通信的移動計算設備102和企業數字權限管理(EDRM)伺服器104。如下面更詳細討論的，移動計算設備102包括本地數字權限管理(DRM)執行引擎130，並且這樣，系統100包括數字使用權限策略的多點執行(即，至少EDRM伺服器104和移動計算設備102)。
[0015]在使用中，移動計算設備102配置為通過網絡106與EDRM伺服器104進行通信以便從伺服器104下載安全文檔。此外，從EDRM伺服器104下載與被請求的文檔相關聯的文檔使用權限策略。使用權限策略限定與該文檔相關聯的數字權限，並且使這些權限與特定的標準相關。這樣的數字權限可以包括通常與文檔相關聯的任何數字權限，例如查看權限、保存權限、修改權限、刪除權限等等。所述文檔使用權限策略還使數字權限與特定的標準相關，該特定的標準例如是移動計算設備102的用戶的身份(例如，不管用戶是否具有查看權限、修改權限等等)、移動計算設備102的識別特徵(例如，不管文檔是否能夠被保存在特定的移動計算設備102上)、移動計算設備102的位置(例如，不管是否可以在移動計算設備的當前位置中訪問被請求的文檔)、當前日期和/或時間(例如，不管在當前時間是否能夠訪問被請求的文檔)、總密鑰或密碼的有效性(例如，不管用戶是否輸入了正確的密碼或密鑰)、EDRM伺服器104的連接狀態(例如，不管移動計算設備102是否能夠與EDRM伺服器104進行通信)、和/或諸如通常與企業數字權限管理系統相關聯的那些標準的其它標準。
[0016]在從EDRM伺服器104下載安全文檔和相關聯的數字使用權限策略之後，將該文檔和策略存儲在移動計算設備102的安全存儲器單元中。如下面更詳細討論的，這樣的下載處理可以包括移動計算設備102到EDRM伺服器104的認證、加密密鑰的交換和/或其它安全措施。此外，可以將文檔和相關聯的數字使用權限策略從EDRM伺服器104下載並且以加密的格式存儲在移動計算設備102上。移動計算設備102的本地DRM執行引擎130執行與該移動計算設備102上的文檔相關聯的數字使用權限策略。也就是說，即使到EDRM伺服器104的網絡連接不可用，也通過DRM執行引擎130根據與安全文檔相關聯的使用權限策略來控制和管理移動計算設備102上的安全文檔的訪問和使用。例如，如果使用權限策略規定相關聯的文檔不能夠由當前用戶修改，則DRM執行引擎130確保不對移動計算設備102上的文檔做出任何修改。按照這種方式，系統100包括數字使用權限策略的多點執行。
[0017]儘管圖1中僅說明性示出了一個移動計算設備102、一個EDRM伺服器104和一個網絡106，但是系統100可以包括具有類似或不同架構的任何數量的移動計算設備102、EDRM伺服器104和網絡106。例如，系統100可以包括多個移動計算設備102，每一個移動計算設備102包括配置為與一個或多個EDRM伺服器104進行通信以便從伺服器104獲取安全文檔和相關聯的使用權限策略的本地DRM執行引擎。
[0018]移動計算設備102可以被體現為能夠執行本文描述的功能的任何類型的移動計算設備。例如，移動計算機設備102可以被體現為智慧型電話、移動網際網路設備、手持計算機、膝上型計算機、個人數字助理、電話設備或其它可攜式計算設備。在圖1的說明性實施例中，移動計算設備102包括處理器110、晶片集114、存儲器116、一個或多個外圍設備118和通信電路120。在一些實施例中，可以將前述部件中的幾個結合在移動計算設備102的母板上，而其它部件可以例如經由外圍埠可通信地耦接到該母板。而且，應該認識到，移動計算設備102可以包括在計算機和/或計算設備中通常發現的其它部件、子部件和設備，為了描述的清楚，圖1中沒有對這些進行說明。
[0019]移動計算設備102的處理器110可以被體現為能夠執行軟體/固件的任何類型的處理器，例如微處理器、數位訊號處理器、微控制器等等。處理器110被說明性地體現為具有處理器核心112的單核心處理器。然而，在其它實施例中，處理器Iio可以被體現為具有多個處理器核心112的多核心處理器。此外，移動計算設備102可以包括具有一個或多個處理器核心112的額外的處理器110。
[0020]移動計算設備102的晶片集114可以包括存儲器控制器集線器(MCH或「北橋」)、輸入/輸出控制器集線器(ICH或「南橋」)和固件設備。晶片集114的固件設備可以被體現為用於存儲基本輸入/輸出系統(BIOS)數據和/或指令和/或其它信息的存儲器設備(例如，在移動計算設備102的引導期間使用的BIOS驅動器)。然而，在其它實施例中，可以使用具有其它配置的晶片集。例如，在一些實施例中，晶片集114可以被體現為平臺控制器集線器(PCH)。在這樣的實施例中，存儲器控制器集線器(MCH)可以被結合在處理器110中或者以其它方式與處理器110相關聯，並且處理器110可以與存儲器116直接進行通信(如圖1中的虛線所示)。
[0021]處理器110經由多個信號路徑可通信地耦接到晶片集114。這些信號路徑(以及圖1中說明的其它信號路徑)可以被體現為能夠促進移動計算設備102的部件之間的通信的任何類型的信號路徑。例如，信號路徑可以被體現為任何數量的布線、電纜、光導、印刷電路板跡線、通孔、總線、居間設備和/或類似設備。
[0022]移動計算設備102的存儲器116可以被體現為一個或多個存儲器設備或數據存儲單元，例如包括動態隨機存取存儲器設備(DRAM)、同步動態隨機存取存儲器設備(SDRAM)、雙數據率同步動態隨機存取存儲器設備(DDR SDRAM)、快閃記憶體設備和/或其它易失性存儲器設備。存儲器116經由多個信號路徑可通信地耦接到晶片集114。儘管在圖1中僅說明了單個存儲器設備116，但是在其它實施例中，移動計算設備102可以包括額外的存儲器設備。可以將各種數據和軟體存儲在存儲器設備116中。例如，構成由處理器110執行的軟體堆的一個或多個作業系統、應用、程序、庫和驅動器可以在執行期間存在於存儲器116中。而且，存儲在存儲器116中的軟體和數據可以在存儲器116和外圍設備118的數據存儲設備之間進行交換，作為存儲器管理操作的一部分。
[0023]移動計算設備102的外圍設備118可以包括任何數量的外圍或接口設備。例如，外圍設備118可以包括顯示器、鍵盤、滑鼠、諸如內部或外部硬驅的一個或多個數據存儲設備和/或其它外圍設備。包括在外圍設備118中的特定設備可以例如取決於移動計算設備102的期望使用。外圍設備118經由多個信號路徑可通信地耦接到晶片集114，從而允許晶片集114和/或處理器110從外圍設備118接收輸入並且將輸出發送到外圍設備118。
[0024]移動計算設備102的通信電路120可以被體現為用於使能移動計算設備102和EDRM伺服器104之間通過網絡106的通信的任何數量的設備和電路。通信電路120經由多個信號路徑可通信地耦接到晶片集114。通信電路120可以包括一個或多個有線和/或無線網絡接口以便促進通過網絡106的有線和/或無線部分的通信。
[0025]如上面討論的，移動計算設備102還包括數字權限管理(DRM)執行引擎130。DRM執行引擎130被體現為配置為執行與移動計算設備102上的安全文檔相關聯的使用權限策略的硬體和相關聯的固件/軟體。例如，DRM執行引擎130可以被體現為安全協處理器、受信平臺模塊(TPM)和/或其它安全增強硬體和相關聯的固件/軟體模塊。在一些實施例中，DRM執行引擎130可以形成晶片集114的一部分(例如，在其中DRM執行引擎130被體現為安全處理器的實施例中)。
[0026]移動計算設備102還包括安全存儲器132，其經由多個信號路徑可通信地耦接到DRM執行引擎130。安全存儲器132專用於DRM執行引擎130。在一些實施例中，安全存儲器132可以被體現為存儲器116的多個安全存儲器單元或者僅由DRM執行引擎130可訪問的單獨存儲器設備。如下面更詳細討論的，DRM執行引擎130配置為將安全文檔和相關聯的使用權限策略存儲在安全存儲器132中。
[0027]在一些實施例中，移動計算設備102還可以包括一個或多個傳感器134。傳感器134可以被體現為能夠生成關於移動計算設備102的上下文數據的任何類型的傳感器。例如，傳感器134可以被體現為配置為生成指示移動計算設備102的位置的信號數據的全球定位系統(GPS)電路、配置為生成指示某一生物計量參數(例如，用戶的指紋)的信號數據的生物計量讀取器和/或類似電路。在這樣的實施例中，DRM執行引擎130可以配置為以由傳感器134生成的信號數據為基礎來執行文檔使用權限策略，如下面更詳細討論的。
[0028]網絡106可以被體現為任何數量的各種有線和/或無線電信網絡。例如，網絡106可以被體現為或以其它方式包括一個或多個蜂窩網絡、電話網絡、區域網或廣域網、公開可用的全球網絡(例如，網際網路)或其任何組合。而且，網絡106可以包括任何數量的額外設備以便促進移動計算設備102和諸如路由器、交換機、居間計算機和/或類似設備的EDRM伺服器104之間的通信。移動計算設備102和EDRM伺服器104可以使用任何適當的通信協議以便通過網絡106彼此進行通信，例如取決於網絡106的特定類型。
[0029]EDRM伺服器104可以被體現為配置為執行諸如文檔使用監控和數字權限執行的典型EDRM功能的任何類型的企業DRM伺服器。此外，與典型的企業DRM伺服器不同，EDRM伺服器104配置為還傳輸與特定的被請求的文檔相關聯的數字使用權限策略，如下面更詳細討論的。在圖1的說明性實施例中，EDRM伺服器104包括處理器150、存儲器152和通信電路154。在一些實施例中，可以將前述部件中的幾個結合在EDRM伺服器104的母板上，而其它部件可以例如經由外圍埠可通信地耦接到該母板。而且，應該認識到，EDRM伺服器104可以包括在計算機和/或計算設備中通常發現的其它部件、子部件和設備，為了描述的清楚，圖1中沒有對這些進行說明。
[0030]EDRM伺服器104的處理器150可以被體現為能夠執行軟體/固件的任何類型的處理器，例如微處理器、數位訊號處理器、微控制器等等。此外，處理器150可以被體現為單核心處理器、多核心處理器或多個處理器，每一個處理器具有一個或多個核心。EDRM伺服器104的存儲器152可以被體現為一個或多個存儲器設備或數據存儲單元，例如包括動態隨機存取存儲器設備(DRAM)、同步動態隨機存取存儲器設備(SDRAM)、雙數據率同步動態隨機存取存儲器設備(DDR SDRAM)、快閃記憶體設備和/或其它易失性存儲器設備。可以將各種數據和軟體存儲在存儲器設備152中。例如，構成由處理器150執行的軟體堆的一個或多個作業系統、應用、程序、庫和驅動器可以在執行期間存在於存儲器116中。EDRM伺服器104的通信電路154可以被體現為用於使能EDRM伺服器104和移動計算設備102之間通過網絡106的通信的任何數量的設備和電路。例如，通信電路154可以包括一個或多個有線和/或無線網絡接口以便促進通過網絡106的有線和/或無線部分的通信。
[0031]現在參照圖2，DRM執行引擎130被體現為如上面討論的硬體和相關聯的固件/軟體模塊和設備。在說明性實施例中，DRM執行引擎130包括應用程式接口(API)200以便促進DRM執行引擎130和移動計算設備102上的本地應用或軟體服務之間的交互。這樣的本地應用可以被體現為在移動計算設備102上執行的任何軟體或固件應用(例如，文字處理應用)，該移動計算設備102請求對其數字權限由DRM執行引擎130管理的文檔的訪問。
[0032]移動計算設備102還包括安全文檔資料庫202和本地DRM策略資料庫204。資料庫202、204被存儲在安全存儲器132中並且可以被體現為任何類型的資料庫，例如關係資料庫、平面文件資料庫或其它數據結構。在一些實施例中，安全文檔資料庫202和DRM策略資料庫204可以被加密或者以其它方式包括某種形式的安全性。如上面討論的，移動計算設備102與EDRM伺服器104通信以便獲取安全文檔和相關聯的使用權限策略。移動計算設備102的DRM執行引擎130配置為將從EDRM伺服器104下載的任何安全文檔存儲在安全文檔資料庫202中並且將相關聯的使用權限策略存儲在DRM策略資料庫204中。DRM執行引擎130以存儲在DRM策略資料庫204中的使用權限策略為基礎來控制安全文檔的使用。此外，在其中移動計算設備102包括一個或多個傳感器134的實施例中，DRM執行引擎130可以配置為部分地以從傳感器134接收到的傳感器數據206為基礎來執行文檔使用權限策略。
[0033]現在參照圖3，在使用中，移動計算設備102可以配置為執行用於管理設備102上的文檔的數字使用權限的方法300。例如，方法300或其部分可以由DRM執行引擎130執行。方法300開始於方框302，在方框302中，移動計算設備102確定用戶是否請求了對存儲在EDRM伺服器104上的安全文檔的訪問。如果為是，則方法300進行到方框304，在方框304中，移動計算設備102通過網絡106連接到EDRM伺服器104。在方框306中，將移動計算設備102認證到EDRM伺服器104。可以使用任何適當的方法和技術來認證移動計算設備102。例如，可以以移動計算設備102的唯一識別密鑰(例如，媒體訪問控制(MAC)地址、全局唯一標識符(GUID)等等)為基礎來認證移動計算設備102。此外或者可選地，可以以一個或多個加密密鑰、密碼、總密鑰、生物計量數據和/或其它安全措施為基礎來認證移動計算設備102。
[0034]如果在方框306中沒有正確地認證移動計算設備102，則EDRM伺服器104拒絕該請求並且方法300結束。然而，如果在方框306中成功認證了移動計算設備102，則在方框308中移動計算設備102從EDRM伺服器104下載被請求的安全文檔。此外，在方框308中，移動計算設備102下載對於被請求的文檔的相關聯的文檔使用權限策略。如上面討論的，在一些實施例中，可以從EDRM伺服器104以加密的格式下載安全文檔和使用權限策略。在方框310中，移動計算設備102的DRM執行引擎130將下載的文檔存儲在安全文檔資料庫202中並且將相關聯的使用權限策略存儲在DRM策略資料庫204中。應該認識到，移動計算設備102可以從EDRM伺服器104獲取並存儲多個安全文檔以及相關聯的使用權限策略。這樣，移動計算設備102可以在任何時間點處具有分別存儲在資料庫202、204中的多個文檔和策略。
[0035]在移動計算設備102從EDRM104獲取並存儲了被請求的文檔和相關聯的使用權限策略之後，在方框312中，移動計算設備102的用戶可以請求該文檔的訪問或使用。如果這樣，則方法300進行到方框314，在方框314中，確定對於被請求的文檔的使用權限。為了這樣做，DRM執行引擎130可以從DRM策略資料庫204獲取與被請求的文檔相關聯的使用權限策略。DRM執行引擎130可以隨後以該使用權限策略為基礎來確定對於被請求的文檔的當前使用權限。如上面討論的，使用權限策略限定了與該文檔相關聯的數字權限，該數字權限可以包括通常與文檔相關聯的任何數字權限，例如查看權限、保存權限、修改權限、刪除權限等等。文檔使用權限策略還使數字權限與特定的標準相關，該特定的標準例如是移動計算設備102的用戶的身份、移動計算設備102的識別特徵、移動計算設備102的位置、當前日期和/或時間、總秘鑰或密碼的有效性、EDRM伺服器104的連接狀態和/或諸如通常與企業數字權限管理系統相關聯的那些標準的其它標準。在其中移動計算設備102包括一個或多個傳感器134的實施例中，DRM執行引擎130可以以使用權限策略和傳感器數據206為基礎來確定對於被請求的文檔的當前使用權限。例如，如果相關聯的使用權限策略規定僅當移動計算設備位於特定位置處(例如，在工作)時才可以查看該文檔，則DRM執行引擎130配置為以傳感器數據206為基礎來確定移動計算設備102的位置。
[0036]在方框316中，DRM執行引擎130驗證對於該文檔的使用權限。也就是說，DRM執行引擎130以在相關聯的使用權限策略中闡述的額外標準(例如，用戶的身份、設備102的識別特徵、位置、時間、日期、總密鑰認證等等)為基礎來確定是否驗證了該文檔的被請求的使用(例如，查看、修改、存儲、刪除等等)。如果為是，則DRM執行引擎130從安全文檔資料庫202獲取安全文檔，並且在執行對於該文檔的使用權限策略的同時允許移動計算設備102上的文檔的被請求的使用。然而，如果DRM執行引擎130確定沒有驗證該文檔的被請求的使用(例如，當使用權限策略禁止對文檔的用戶請求的修改時，這樣的修改)，則在方框320中，DRM執行引擎130拒絕對安全文檔的訪問。此外,在一些實施例中，在方框322中，DRM執行引擎130可以執行額外的安全功能，例如以記錄安全侵犯、警告EDRM伺服器104、向移動計算設備102的用戶顯示警告和/或一個或多個額外的安全功能為例。按照這種方式，移動計算設備102的DRM執行引擎130提供與安全文檔相關聯的數字使用權限策略的本地點執行。
[0037]現在參照圖4，在一些實施例中，系統100還可以包括一個或多個額外的計算設備400。該額外的計算設備400可能不能夠與EDRM伺服器104直接和/或通過網絡106進行通信。然而，該額外的計算設備400可以能夠通過個人域網(PAN)等等(例如，使用紅外(IR)通信、藍牙?通信、近場通信(NFC)等等)與移動計算設備102進行直接通信。在這樣的實施例中，如下面更詳細討論的，移動計算設備102可以用作對於該額外的計算設備400的代理以便從EDRM伺服器104獲取安全文檔和/或當對EDRM伺服器400的訪問不可用時用作對於計算設備400的本地EDRM伺服器。
[0038]該額外的計算設備400可以被體現為能夠執行本文描述的功能的任何類型的計算設備。例如，計算設備400可以被體現為桌上型計算機、膝上型計算機、智慧型電話、移動網際網路設備、手持計算機、數字平板電腦、個人數字助理、電話設備或者其它移動或靜止計算設備。在圖4的說明性實施例中，每一個額外的計算設備400包括處理器402、存儲器404和通信電路406。在一些實施例中，可以將前述部件中的幾個結合在移動計算設備400的母板上，而其它部件可以例如經由外圍埠可通信地耦接到該母板。而且，應該認識到，計算設備400可以包括在計算設備中通常發現的其它部件、子部件和設備，為了描述的清楚，圖4中沒有對這些進行說明。
[0039]計算設備400的處理器402可以被體現為能夠執行軟體/固件的任何類型的處理器，例如微處理器、數位訊號處理器、微控制器等等。此外，處理器402可以被體現為單核心處理器、多核心處理器或多個處理器，每一個處理器具有一個或多個核心。計算設備400的存儲器404可以被體現為一個或多個存儲器設備或數據存儲單元，例如包括動態隨機存取存儲器設備(DRAM)、同步動態隨機存取存儲器設備(SDRAM)、雙數據率同步動態隨機存取存儲器設備(DDR SDRAM)、快閃記憶體設備和/或其它易失性存儲器設備。可以將各種數據和軟體存儲在存儲器設備404中。例如，構成由處理器402執行的軟體堆的一個或多個作業系統、應用、程序、庫和驅動器可以在執行期間存在於存儲器404中。計算設備400的通信電路406可以被體現為用於使能計算設備400和諸如IR發射機、藍牙?發射機、NFC發射機和/或類似設備的移動計算設備102之間的通信的任何數量的設備和電路。然而，在一些實施例中，通信電路406可能不支持通過網絡106與EDRM伺服器104的通信。
[0040]現在參照圖5，在使用中，移動計算設備102可以配置為執行用於管理在計算設備400上訪問的文檔的數字使用權限的方法500。例如，方法500或其部分可以由移動計算設備102的DRM執行引擎130執行。方法500開始於方框502，在方框502中，移動計算設備102確定是否從額外的計算設備400之一接收到訪問安全文檔的請求。如上面討論的，計算設備400可以配置為通過個人域網(PAN)使用諸如以IR通信、藍牙?通信、近場通信和/或類似技術為例的通信技術與移動計算設備102進行通信。
[0041]如果移動計算設備102從額外的計算設備400之一接收到對於安全文檔的請求，則方法500進行到方框504。在方框504中，移動計算設備102確定到EDRM伺服器104的網絡接入是否可用。如果為是，則在方框506中，移動計算設備102通過從EDRM伺服器104下載安全文檔來用作對於做出請求的計算設備400的代理。為了這樣做，在方框508中，移動計算設備102通過網絡106連接到EDRM伺服器104。在方框510中，將移動計算設備102認證到EDRM伺服器104。如上面討論的，可以使用任何適當的方法和技術來認證移動計算設備102。例如，可以以移動計算設備102的唯一識別密鑰(例如，媒體訪問控制(MAC)地址、全局唯一標識符(⑶ID)等等)為基礎來認證移動計算設備102。此外或者可選地，可以以一個或多個加密密鑰、密碼、總密鑰、生物計量數據和/或其它安全措施為基礎來認證移動計算設備102。
[0042]如果在方框510中沒有正確地認證移動計算設備102，則EDRM伺服器104拒絕該請求並且方法500結束。然而，如果在方框510中成功認證了移動計算設備102，則在方框514中，移動計算設備102從EDRM伺服器104下載被請求的安全文檔。此外，在方框514中，移動計算設備102下載對於被請求的文檔的相關聯的使用權限策略。如上面討論的，在一些實施例中，可以從EDRM伺服器104以加密的格式下載安全文檔和使用權限策略。移動計算設備102的DRM執行引擎130將下載的文檔存儲在安全文檔資料庫202中並且將相關聯的使用權限策略存儲在DRM策略資料庫204中。
[0043]在移動計算設備102從EDRM104獲取並存儲了被請求的文檔和相關聯的使用權限策略之後，在方框516中，移動計算設備102在執行與文檔相關聯的使用權限策略的同時，向做出請求的計算設備400提供對文檔的訪問。例如，如果移動計算設備102的DRM執行引擎130根據相關聯的使用權限策略確定不應該在當前位置處訪問該文檔，則在方框516中，DRM執行引擎130可以拒絕到額外的計算設備400的接入。
[0044]現在返回參照方框504，如果移動計算設備102確定到EDRM伺服器104的網絡接入不可用，則方法500進行到方框520。在方框520中，移動計算設備102的DRM執行引擎130確定由額外的計算設備400請求的文檔是否被本地存儲在移動計算設備102上(例如，存儲在安全文檔資料庫202中)。如果為否，則被請求的文檔在當前時間不可用，並且方法500循環回到方框502。
[0045]然而，如果移動計算設備102確實包括被請求的文檔的本地存儲的拷貝，則方法500進行到方框522，在方框522中，移動計算設備用作對於做出請求的計算設備400的本地EDRM伺服器。為了這樣做，在方框524中，移動計算設備102的DRM執行引擎130以使用權限策略為基礎來確定並驗證對於被請求的文檔的當前使用權限。例如，DRM執行引擎130可以從DRM策略資料庫204獲取與被請求的文檔相關聯的使用權限策略。DRM執行引擎130可以隨後以使用權限策略為基礎，並且在一些實施例中以上面詳細討論的傳感器數據206為基礎，來確定對於被請求的文檔的當前使用權限。此外，DRM執行引擎130驗證對於該文檔的使用權限。也就是說，DRM執行引擎130以在相關聯的使用權限策略中闡述的額外標準(例如，用戶的身份、設備102的識別特徵、位置、時間、日期、總密鑰認證等等)為基礎來確定是否驗證了所述文檔的被請求的使用(例如，查看、修改、存儲、刪除等等)。如果為是，則在方框526中，移動計算設備102在執行與文檔相關聯的使用權限策略的同時，向做出請求的計算設備400提供對文檔的訪問。
[0046]儘管在附圖和前面的描述中詳細說明和描述了本公開，但是認為這樣的說明和描述在本質上是示例性而非限制性的，應該理解，僅示出和描述了說明性實施例，並且期望保護在本公開的精神內的所有改變和修改。
【權利要求】
1.一種方法，包括: 在移動計算設備上建立數字權限管理(DRM)執行引擎； 將文檔和相關聯的文檔使用權限策略從伺服器下載到所述移動計算設備； 將所述文檔和所述相關聯的文檔使用權限策略存儲在所述移動計算設備上的安全存儲器中；並且 使用所述DRM執行引擎來執行所述移動計算設備上的所述文檔的所述相關聯的文檔使用權限策略。
2.如權利要求1所述的方法，其中，建立DRM執行引擎包括在所述移動計算設備的安全處理器上建立DRM執行引擎。
3.如權利要求1所述的方法，其中，下載所述文檔和所述相關聯的文檔使用權限策略包括將所述移動計算設備認證到所述伺服器，並且對所述移動計算設備被認證做出響應而下載所述文檔和所述相關聯的文檔使用權限策略。
4.如權利要求1所述的方法，其中，下載所述文檔和所述相關聯的文檔使用權限策略包括通過網絡從企業數字權限管理(EDRM)伺服器下載所述文檔和所述相關聯的文檔使用權限策略。
5.如權利要求1所述的方法，其中，下載所述相關聯的文檔使用權限策略包括以下列項目中的至少一個為基礎來下載使數字使用權限與所述文檔相關的相關聯的文檔使用權限策略:所述移動計算設備 的識別特徵、所述移動計算設備的用戶的身份、所述移動計算設備的位置、當前日期、當前時間、總秘鑰以及到企業數字權限管理(EDRM)伺服器的連接狀態。
6.如權利要求5所述的方法，其中，對於所述文檔的所述數字使用權限包括下列項目中的至少一個:查看權限、修改權限、列印權限和保存權限。
7.如權利要求1所述的方法，其中，存儲所述文檔和所述相關聯的文檔使用權限策略包括將所述文檔和所述相關聯的文檔使用權限策略存儲在所述移動計算設備上專用於所述移動計算設備的安全處理器的安全存儲器空間中。
8.如權利要求1所述的方法，其中，存儲所述文檔包括以加密的格式存儲所述文檔。
9.如權利要求1所述的方法，其中，執行所述相關聯的文檔使用權限策略包括遵照所述相關聯的文檔使用權限策略來提供對於所述移動計算設備上的所述文檔的數字使用權限。
10.如權利要求9所述的方法，其中，對於所述文檔的所述數字使用權限包括下列項目中的至少一個:查看權限、修改權限、列印權限和保存權限。
11.如權利要求1所述的方法，進一步包括從所述移動計算設備的傳感器接收傳感器數據，並且 其中，執行所述相關聯的文檔使用權限策略包括以所述相關聯的文檔使用權限策略和所述傳感器數據為基礎來提供對所述移動計算設備上的所述文檔的訪問。
12.如權利要求1所述的方法，進一步包括: 在所述移動計算設備上從另一計算設備接收對於存儲在所述伺服器上的安全文檔的請求； 對接收到所述請求做出響應而將所述安全文檔和所述安全文檔的文檔使用權限策略從所述伺服器下載到所述移動計算設備； 將所述安全文檔和所述安全文檔的所述文檔使用權限策略存儲在所述移動計算設備的所述安全存儲器中；並且 遵照所述安全文檔的所述文檔使用權限策略來向所述另一計算設備提供對所述安全文檔的訪問。
13.如權利要求1所述的方法，進一步包括: 在所述移動計算設備上從另一計算設備接收對於存儲在所述伺服器上的安全文檔的請求； 確定所述安全文檔是否被本地存儲在移動計算設備上； 確定到所述伺服器的網絡連接是否可用；並且 對(i)所述安全文檔被本地存儲在所述移動計算設備上和(ii)到所述伺服器的網絡連接不可用做出響應，遵照存儲在所述移動計算設備上的所述安全文檔的文檔使用權限策略來向所述另一計算設備提供對存儲在所述移動計算設備上的所述安全文檔的訪問。
14.包括多個指令的一個或多個有形機器可讀介質，所述指令對被執行做出響應而使移動計算設備執行下列操作: 在所述移動計算設備的安全處理器中建立數字權限管理(DRM)執行引擎； 經由所述移動計算設備接收對於文檔的請求； 對接收到所述請求做出響應而將所述文檔和相關聯的文檔使用權限策略從伺服器下載到所述移動計算設備的安全存儲器；並且 在使用所述DRM執行引擎執行所述相關聯的文檔使用權限策略的同時，提供對所述移動計算設備上的所述文檔的訪問。
15.如權利要求14所述的一個或多個有形機器可讀介質，其中，所述多個指令進一步使所述移動計算設備執行下列操作: 從所述移動計算設備的傳感器接收傳感器數據；並且 以所述相關聯的文檔使用權限策略和所述傳感器數據為基礎來提供對所述移動計算設備上的所述文檔的訪問。
16.如權利要求14所述的一個或多個有形機器可讀介質，其中，所述多個指令進一步使所述移動計算設備執行下列操作: 從另一計算設備接收對於存儲在所述伺服器上的安全文檔的請求； 對接收到所述請求做出響應而將所述安全文檔和所述安全文檔的文檔使用權限策略從所述伺服器下載到所述移動計算設備的所述安全存儲器；並且 遵照所述安全文檔的所述文檔使用權限策略來向所述另一計算設備提供對所述安全文檔的訪問。
17.如權利要求14所述的一個或多個有形機器可讀介質，其中，所述多個指令進一步使所述移動計算設備執行下列操作: 從另一計算設備接收對於存儲在所述伺服器上的安全文檔的請求； 確定所述安全文檔是否被本地存儲在移動計算設備上以及到所述伺服器的網絡連接是否可用；並且 對(i)所述安全文檔被本地存儲在所述移動計算設備上和(ii)到所述伺服器的網絡連接不可用做出響應，遵照存儲在所述移動計算設備上的所述安全文檔的文檔使用權限策略來向所述另一計算設備提供對存儲在所述移動計算設備上的所述安全文檔的訪問。
18.—種移動計算設備，包括: 數字權限管理(DRM)執行引擎； 處理器；以及 存儲器設備，所述存儲器設備具有存儲在其中的多個指令，所述指令當由所述處理器執行時使所述DRM執行引擎執行下列操作: 將文檔和相關聯的文檔使用權限策略從伺服器下載到所述移動計算設備； 將所述文檔和所述相關聯的文檔使用權限策略存儲在所述存儲器設備的安全存儲器單兀中；並且 使用所述DRM執行引擎來執行所述移動計算設備上的所述文檔的所述相關聯的文檔使用權限策略。
19.如權利要求18所述的移動計算設備，其中，所述數字權限管理(DRM)執行引擎包括安全協處理器。
20.如權利要求18所述的移動計算設備，進一步包括傳感器，其中，所述多個指令進一步使所述DRM執行引擎以從所述傳感器接收到的傳感器數據為基礎來執行所述文檔的所述相關聯的文檔使用權限策略。·
【文檔編號】G06F21/60GK103597494SQ201180071331
【公開日】2014年2月19日 申請日期:2011年12月22日 優先權日:2011年4月2日
【發明者】J·巴卡, S·艾斯, A·羅斯, T·科倫貝格, D·摩根 申請人:英特爾公司