基於位置的許可證籤發的製作方法

2023-05-19 12:24:51 1

專利名稱：基於位置的許可證籤發的製作方法
技術領域：
本發明涉及提供一種用於提供基於位置的數字權限管理的方法和系統。
背景技術：
數字權限管理有助於保護並安全傳送在計算機、可攜式裝置、或網絡裝置上使用的內容。內容所有者用密鑰鎖定他們的內容，從而如果用戶未獲得密鑰則在用戶得到加鎖內容時不能使用該內容。為了獲得該密鑰，用戶從發證權威機構處獲取許可證，並將該許可證存儲在他們的裝置上。一旦獲得了該密鑰，則可根據在許可證中指定的規則或權限來在用戶裝置上訪問該內容。許可證包括對權限的附加限制，包括的項如開始時間和日期、持續時間、以及可運用權限的次數。例如，許可證中的權限可使客戶能訪問特定計算機上的內容，並將該內容複製到可攜式裝置中。

發明內容
本發明涉及提供一種用於提供基於位置的數字權限管理的方法和系統。
根據本發明一方面，通過在許可證內指定消費裝置的許可位置，受保護內容的數學權限被限制在特定位置或區域內。這使得內容所有者能夠指定可消費受保護內容的地理位置/區域。
根據本發明另一方面，裝置從位置實體中獲取其位置，該位置然後根據許可證內的位置約束進行評估。如果該裝置位於位置約束內，則內容可被訪問。在允許訪問某內容之前獲取裝置的位置有助於防止用戶在按許可證中所定義的被視為禁止位置的區域中訪問受保護文檔。例如，位置約束可被設置成在競爭者辦公室的鄰近地區用戶不能訪問敏感的公司保密文檔。


圖1和2示出可在本發明示例性實施例中使用的示例性計算裝置；圖3是一般示出基於位置的數字權限管理系統的功能框圖；
圖4示出移動裝置上DRM黑盒與基於網絡的位置實體之間的交互；以及圖5根據本發明各方面示出當裝置移動時用於訪問位置受限內容的過程。
具體實施例方式
一般而言，本發明涉及提供一種用於提供基於位置的數字權限管理的方法和系統。
說明性系統圖3是根據本發明各方面一般示出基於位置的數字權限管理系統的功能框圖。激活伺服器310、許可證伺服器320、內容伺服器330、位置伺服器340、以及計算裝置350是諸如結合圖1所述的計算裝置。移動裝置360是諸如結合圖2所述的移動計算裝置。
如所示，用戶可在計算裝置350和移動裝置360上嘗試訪問從內容伺服器330中獲取的受保護內容。一般而言，駐留在計算裝置350上的DRM(數字權限管理)黑盒355和駐留在移動計算裝置360上的DRM黑盒365被配置成基於位置約束來限制對內容的訪問。DRM黑盒被配置成實施由許可證伺服器320籤發的DRM許可證。DRM許可證可包括關於與內容相關聯的一個或多個權限的位置約束。根據一實施例，通過在許可證內指定消費裝置的許可位置，內容的數字權限被限制在特定位置或區域中。這使得內容所有者能指定可消費受保護內容的地理位置/區域。位置約束可用各種方法表達。例如，位置約束可使用任意多邊形、郵編、地理實體名字(城市、市區、縣、州、國家、疆域等)等。
黑盒被配置成執行許多不同操作，包括檢查與內容相關聯的許可證，以及檢查該許可證內的位置約束。黑盒355和365保持與位置實體340的安全聯繫。
當用戶嘗試對受保護內容實施位置受限權限時，用戶裝置上的DRM黑盒(355、365)向信任位置實體(340)發送一請求，以驗證該裝置是否滿足對已請求的權限的位置約束。根據一實施例，該請求包含DRM黑盒的公鑰證書並用DRM黑盒的私鑰來籤名。該公鑰/私鑰信息使得位置實體340能驗證該請求正由信任的DRM黑盒作出。
根據本發明一實施例，該裝置可周期性地向位置實體340求驗，以確定該裝置是否已經移出或移入在位置約束中指定的許可地理區域。獲取裝置的位置有助於防止用戶在按許可證中所定義的被視為禁止位置的區域中訪問受保護文檔。例如，位置約束可被設置成當裝置在其校園之一內時用戶可訪問公司文檔，而當裝置在其校園之外時則不能訪問該文檔。
DRM黑盒355和365還被配置成與伺服器進行有關激活、許可證籤發、獲取內容、並確定裝置的位置的通信。黑盒355和365可使用若干客戶機-伺服器協議的任一協議來通信。
如果信任位置實體340確定滿足了位置約束，則DRM黑盒允許在裝置上實施對內容的權限。否則，則阻止用戶實施該權限。
手機/尋呼機網絡390是負責從無線裝置收發消息的網絡。手機/尋呼機網絡390可包括無線和有線組件。例如，手機/尋呼機網絡390可包括與有線電話網絡相連結的手機信號發射塔。通常，手機信號發射塔運送與手機、長途通信連結等的往返通信。
網關380路由手機/尋呼機網絡390與WAN/LAN 370之間的消息。例如，計算機用戶可發送地址為手機的消息。網關380提供一種用於從WAN/LAN 370向手機/尋呼機網絡390傳送消息的方法。相反，具有與手機網絡相連的裝置的用戶也可瀏覽網絡。網關380使得超連結文本協議(HTTP)消息能在WAN/LAN 370和手機/尋呼機網絡390之間傳送。
激活伺服器310被配置成提供具有唯一黑盒以及向每個裝置提供唯一身份的機器/用戶證書的裝置。
許可證伺服器320被配置成存儲並提供許可證及其對授權接受該許可證的裝置的相關聯權限。內容所有者在DRM許可證中指定受保護內容的位置約束。
內容伺服器330被配置成存儲並提供可受到裝置的位置約束的內容。該內容可包括裝置從許可證伺服器320中獲取訪問內容的許可證所必需的信息。
在可訪問任何受保護內容之前，DRM黑盒被安裝在諸如計算裝置350或移動裝置360的裝置上。現有的用來基於PC的硬體特徵來創建唯一黑盒的技術可用於移動裝置。然而，諸如行動電話的移動裝置與PC和其它計算裝置的不同之處在於它們具有唯一的硬體標識符，而移動運營商使用該唯一標識符來驗證其網絡上的電話。例如，IMSI(國際移動訂購者身份)號用作在運營商網絡上的GSM電話的唯一標識符。ESN(電子序列號)用作CDMA電話的唯一標識符。ESN號是在製造時硬接線到電話中的唯一號碼。IMSI號被包含在SIM(訂購者身份模塊)中。SIM是一種密碼學安全智慧卡，沒有它GSM電話就不被允許進入行動網路。該唯一號碼可用於創建DRM黑盒365並將該唯一號碼存儲在黑盒的機器證書中。每次調用DRM黑盒365時，它都驗證機器證書中的唯一標識符與移動裝置的唯一標識符相匹配。如果該驗證失敗，則DRM黑盒365拒絕許可任何權限。一旦安裝了黑盒，裝置就隨時可消費受保護文檔了。
位置實體340被配置成向裝置提供位置信息。根據一實施例，位置伺服器340使用安全連結與移動運營商通信，在該安全連結上可發送對位置的請求並接收響應。根據一實施例，位置實體340評估位置約束。根據一實施例，諸如微軟MapPoint服務的外部服務可由位置實體340使用以確定一坐標是否滿足位置約束。可使用許多方法來評估位置約束，只要這些評估是安全的防篡改和欺騙的。
根據一實施例，位置實體伺服器340可與移動載體通信，以確定移動裝置所處位置。大多數行動電話網絡知道移動裝置在其網絡上的近似位置。行動網路知道正在處理該裝置手機信號發射塔，並可提供手機信號發射塔的緯度和經度。此外，美國的行動網路正在實現更精確的位置技術，諸如輔助GPS(A-GPS)、到達時間差(TDOA)、增強式的觀察時間差(EOTD)等，以遵從FCC的E-911命令。這些技術通常使移動裝置的位置能被高精確度地(5-10秒內100-300米的精確度)快速確定。此外，除A-GPS之外，這些技術無需對現有的行動電話作任何更改。
DRM黑盒與位置實體之間的交互圖4根據本發明各方面示出移動裝置上的DRM黑盒與基於網絡的位置實體之間的交互。
當用戶嘗試訪問受位置約束限制的內容時，DRM黑盒440接收對位置受限權限的請求。例如，媒體播放器可請求播放受位置限制的媒體文件。在接收請求之後，DRM黑盒440創建了對位置實體410的位置請求。根據一實施例，位置請求包含對在受保護內容的DRM許可證中指定的對請求權限的位置約束；在黑盒的機器證書中包含的裝置的唯一標識符(IMSI/ESN號)；以及有助於防止捕捉和重放攻擊的隨機數。黑盒用其私鑰對該請求籤名。
然後黑盒440獲取基於網絡的位置實體410的地址。該地址可在DRM許可證、DRM特定配置文件中給出、由用戶提供、或存儲在裝置440的其它地方。一旦獲得了位置實體410的地址，黑盒440就經安全通道把位置約束請求發送給基於網絡的位置實體410。
根據一實施例，位置實體410使用IMSI/ESN號來確定請求裝置的移動運營商。當位置限制指定一個移動運營商的列表時，實體410驗證該移動運營商是否被位置約束所允許。然後實體410向移動運營商420發送包括裝置的唯一標識符的位置請求，詢問請求裝置的當前位置。
移動運營商420確定具有該唯一標識符的裝置的緯度和經度，並將其發送回位置實體410。如果移動運營商420不能定位該裝置，則向位置實體410返回一錯誤。
如果實體410接收來自移動運營商420的錯誤，則實體410向DRM黑盒440返回一錯誤，則黑盒不準許該請求的權限。
如果實體410從移動運營商420接收緯度和經度，則它使用該位置信息來評估位置約束。根據另一實施例，約束的評估可在另一位置上執行。例如，可在裝置430、移動運營商420、或某些其它信任裝置上執行該評估。一旦評估完成，實體410將評估結果(根據一實施例是TRUE/FALSE)附在由黑盒440發送的原始位置請求上，並用其私鑰對該結果信息籤名。它還將其自己的公鑰證書附在籤名的信息上，並將其發送到黑盒440。為了幫助確保密鑰的完整性，該實體的公鑰由受到DRM黑盒信任的根實體來鑑定。
在接收到該響應之後，DRM黑盒440驗證該評估結果響應包含其原始請求，以及該響應由一信任實體籤名。根據一實施例，DRM黑盒驗證響應上的實體的籤名，並驗證實體的公鑰證書。
如果驗證成功，且實體已評估出約束為真，則黑盒允許請求的權限，並解密受保護內容。否則，請求的權限被拒絕。
DRM黑盒可使用各種技術，諸如代碼模糊、防篡改代碼分段、使用機器代碼等來防止惡意用戶「送入」與行動電話的實際唯一標識符不同的唯一標識符。
然而，如果用戶可在其裝置上以某種方式改變該唯一標識符，則可能會破壞安全性。假設用戶有兩個電話A和B。他以某種方式改變B的唯一標識符，使之與A相同。現在他在B上安裝了一個DRM黑盒，並在B上下載受保護內容和許可證。用戶將A置於「允許」位置併到了B的「禁用」位置。他關閉了B上的無線天線、將其接到PC上、並使用PC的網際網路連接來向位置實體發送請求。注意該請求具有A的唯一標識符。因為只有A在運營商的網絡上，運營商將返回A的位置，用戶將能在「禁用」位置中在B上訪問受保護內容。如果該無線天線已關閉或電話已連接，則可通過DRM黑盒的檢查來阻止該類襲擊。如果任一情況為真，則黑盒拒絕所有的位置受限權限。
移動時訪問位置受限內容圖5根據本發明各方面示出當裝置移動時用於訪問位置受限內容的過程。在起始框後，過程移到框510，其中應用程式嘗試行使一位置受限權限。移到判定框520，作出關於約束的有效評估是否存在的判定。根據一實施例，黑盒作出這個判定。當該約束的有效評估存在時，過程移到框530，其中根據評估的結果許可或拒絕權限。然後過程移到結束框。
當有效評估不存在時，過程流到框540，其中位置約束被提交給位置實體。移到框550，確定裝置的位置並評估約束。然後過程返回到判定框520。
根據一實施例，約束的評估可僅在一時間段內有效。當該時間段過期時，可重新提交位置約束來進行評估。該時間段可用許多不同方法來設置。例如，時間段可在位置約束中指定，或由黑盒隨機選擇。如果位置實體返回FALSE或失敗，則該黑盒可否定權限(即停止解密任何更多的內容)。
「有效直到」或「有效時間段」值也可添加到從黑盒發送的響應中。然後黑盒可在有效期內許可對內容的權限，並在有效期結束時重新提交位置約束。位置實體還可通過在較短時間段內向移動運營商發送至少兩個位置請求來確定所需時間段，以評估移動裝置的速度和行進方向。一般而言，與位置約束相距越大，可設置的時間段也越大。
示例性位置約束根據本發明一實施例，約束可用XML標記來指定。也可使用其它指定位置約束的方法。在本節中提供若干樣本約束，但不嘗試進行窮舉。我們的方案無需使用任何特定語言/標記來指定位置約束。任何可由計算機評估且無任何歧義的正式語言都可用來表達位置約束。某些示例包括XML；XrML；布爾表達式；一階謂詞演算；諸如VBScript、JavaScript等的腳本語言；諸如Visual Basic、C#、Java、C++等的程式語言。
以下示例性約束使得PLAY權限能在繞緯度＝30N、經度＝50W半徑1000米的區域或郵編為98705的區域內行使。
RIGHTPLAY/RIGHT
LOCATION
ALLOW
CIRCLE
LATITUDE30N/LATITUDE
LONGITUDE50W/LONGITUDE
RADIUS1000/RADIUS
/CIRCLE
ZIPCODE98075/ZIPCODE
/ALLOW
/LOCATION
以下約束在華盛頓州King縣阻止PLAY權限。
RIGHTPLAY/RIGHT
LOCATION
BLOCK
COUNTYKING/COUNTY
STATEWA/STATE
COUNTRYUSA/COUNTRY
/BLOCK
/LOCATION
以下約束僅允許來自OPERATOR1和OPERATOR2移動運營商的位置數據(內容所有者僅信任這些運營商會提供精確位置)，並在郵編98075和98052的區域內允許PLAY權限。
RIGHTPLAY/RIGHT
LOCATION
ALLOW
ZIPCODE98075/ZIPCODE
ZIPCODE98052/ZIPCODE
/ALLOW
MOBILEOPERATORLIST
ALLOW
OPERATOROPERATOR1/OPERATOR
OPERATOROPERATOR2/OPERATOR
ALLOW
/MOBILEOPERATORLIST/LOCATION
以下約束僅不允許來自FLYBYNIGHT移動運營商的位置數據(內容所有者不信任該運營商會提供精確位置)。RIGHTPLAY/RIGHTLOCATION
ALLOW
ZIPCODE98075/ZIPCODE
ZIPCODE98052/ZIPCODE
/ALLOW
MOBILEOPERATORLIST
BLOCK
OPERATORFLYBYNIGHT/OPERATOR
/BLOCK
/MOBILEOPERATORLIST
/LOCATION
說明性操作環境參照圖1，用於實現本發明的一示例系統包括諸如計算裝置100的計算裝置。在其非常基本的配置中，計算裝置100通常包括至少一個處理單元102和存儲器104。取決於計算裝置的準確配置和類型，系統存儲器104可以是易失性的(諸如RAM)、非易失性的(諸如ROM、快閃記憶體等等)、或兩者的某些組合。系統存儲器104通常包括作業系統105、一個或多個應用程式106，並可包括程序數據107。在以下詳細描述的本發明在應用程式106內實現。
計算裝置100還可具有附加特徵或功能。例如，計算裝置100還可包括其它(可移動的和/或不可移動的)數據存儲裝置，諸如，磁碟、光碟、或磁帶。這種其它存儲器在圖1由可移動存儲器109和不可移動存儲器110示出。計算機存儲介質包括以用來存儲諸如計算機可讀指令、數據結構、程序模塊、或其它數據的信息的任何方法或技術實現的易失性和非易失性、可移動和不可移動的介質。存儲器104、可移動存儲器109和不可移動存儲器110都是計算機存儲介質的示例。計算機存儲介質包括，但不限於RAM、ROM、EEPROM、快閃記憶體或其它存儲器技術、CD-ROM、數位化多功能盤(DVD)或其它光學存儲器、磁盒、磁帶、磁碟存儲器、其它磁性存儲裝置、或可用來存儲所需信息並可由計算裝置100訪問的任何其它介質。任何這種計算機存儲介質可以是裝置100的一部分。計算裝置100還可具有諸如鍵盤、滑鼠、筆、語音輸入裝置、觸摸輸入裝置等的輸入裝置112。還可包括諸如顯示器、揚聲器、印表機等的輸出裝置114。
計算裝置100還可包含使裝置能與其它計算裝置118諸如經網絡通信的通信連接116。網絡包括區域網和廣域網，以及包括但不限於內聯網和外聯網的其它大型網絡。通信連接116是通信介質的一個示例。通信介質通常體現為計算機可讀指令、數據結構、程序模塊、或其它諸如載波或其它傳送機制的已調製數據信號中的其它數據，並包括任何信息傳送介質。術語「已調製數據信號」意指具有以這種把信息編碼到信號中的方式來設置或改變的一個或多個特徵的信號。作為示例，而非限制，通信介質包括諸如有線網絡或直接有線連接的有線介質，以及諸如聲學、RF、紅外和其它無線介質的無線介質。術語計算機可讀介質在此使用時包括存儲介質和通信介質。
圖2示出可在本發明一實現實施例中使用的移動計算裝置。參照圖2，用於實現本發明的一示例性系統包括移動計算裝置，諸如移動計算裝置200。移動計算裝置200包括處理器260、存儲器262、顯示器228、以及按鍵板232。存儲器262一般包括易失性存儲器(例如RAM)和非易失性存儲器(例如ROM、快閃記憶體等)。移動計算裝置200包括作業系統264，諸如來自微軟公司的Windows CE作業系統，或駐留在存儲器262並在處理器260上執行的另一作業系統。按鍵板232可以是按鍵式數字撥號盤(諸如在典型電話上)、多鍵鍵盤(諸如常規鍵盤)。顯示器228可以是液晶顯示器或任何其它類型的通常用於移動計算裝置的顯示器。顯示器228可以是觸摸感應式的，並可用作輸入裝置。
一個或多個應用程式266被載入存儲器262並在作業系統264上運行。黑盒駐留在移動計算裝置200上，並被編程為執行與實施與DRM許可證相關聯的位置約束相關的指令。移動計算裝置200還包括存儲器262內的非易失性存儲器268。非易失性存儲器268可用來存儲持久信息，如果切斷移動計算裝置200的電源該信息也不應丟失。
移動計算裝置200包括電源270，它可實現為一個或多個電池。電源270還可包括外部電源，諸如AC適配器或對電池補充或充電的充電器。
移動計算裝置200被示為具有兩種類型的外部通知機制LED 240和音頻接口274。這些裝置可直接與電源270耦合，從而當被激活時，即使處理器260和其它組件都會關閉以節約電池電源，它們可保留由通知機制所指示的一段時間。音頻接口274被用來向用戶提供可聽信號，並從用戶處接收可聽信號。例如，音頻接口274可與揚聲器耦合用來提供可聽輸出，並可與話筒耦合用來接收可聽輸入，比如進行電話對話。
移動通信裝置200還包括執行傳送和接收無線電頻率通信功能的諸如無線接口層272的通信連接。無線接口層272提供移動通信裝置200與外部世界的無線連接。根據一實施例，在作業系統264的控制下進行對無線接口層272的往返傳送。換言之，可經作業系統264把由無線接口層272接收的通信傳播到應用程式266，反之亦然。
以上的說明書、示例和數據提供了本發明組成的製造和使用。由於可作本發明的許多實施例不背離本發明的精神和範圍，本發明駐留於所附權利要求書中。
權利要求
1.一種用於提供對在裝置上訪問的內容進行基於位置的數字權限管理的方法，其特徵在於，包括確定對所述裝置作出的請求權限的位置約束是否存在；確定信任位置確定實體；從所述信任位置實體獲取所述裝置的位置；根據所述位置約束評估所述裝置的位置；以及基於所述評估阻止或允許對該內容的訪問。
2.如權利要求1所述的方法，其特徵在於，從所述信任位置實體獲取所述裝置的位置還包括使用所述裝置和所述信任位置實體的安全連接。
3.如權利要求1所述的方法，其特徵在於，根據所述位置約束來評估所述裝置的位置從所述裝置遠程執行。
4.如權利要求1所述的方法，其特徵在於，根據所述位置約束來評估所述裝置的位置從所述裝置本地執行。
5.如權利要求1所述的方法，其特徵在於，還包括在所述裝置移動時獲取所述裝置的位置，並評估所述裝置的位置。
6.如權利要求1所述的方法，其特徵在於，所述位置約束使用以下至少之一來表達地理描述、郵編以及地理實體名字。
7.如權利要求1所述的方法，其特徵在於，獲取所述裝置的位置包括確定以下至少之一所述裝置的緯度和經度；所述裝置的球坐標；以及所述裝置所處的地理實體名字。
8.一種用於提供對內容的基於位置的數字權限管理的系統，其特徵在於，包括裝置，包括黑盒，可操作執行以下動作，包括確定是否存在對與所述內容相關聯的請求權限的位置約束；向信任位置實體發送對所述裝置的位置請求；以及根據所述位置限制，基於對所述裝置的位置的評估來阻止或允許對所述內容的訪問；且其中所述位置實體可操作來執行以下動作，包括接收對所述裝置的位置的請求；以及確定所述裝置的位置。
9.如權利要求8所述的系統，其特徵在於，所述位置實體還被配置成根據所述位置約束來評估所述裝置的位置，以確定所述內容是否可由所述裝置來訪問。
10.如權利要求8所述的系統，其特徵在於，所述位置實體還被配置成與所述裝置安全地通信。
11.如權利要求8所述的系統，其特徵在於，所述位置約束指定受信任的行動網路。
12.如權利要求8所述的系統，其特徵在於，所述位置實體是受信任的行動網路。
13.如權利要求8所述的系統，其特徵在於，所述位置還包括無線天線，且其中所述黑盒還被配置成在以下條件的至少之一發生時拒絕任何位置受限權限當所述無線天線已經關閉時以及所示裝置已連接時。
14.如權利要求8所述的系統，其特徵在於，根據所述位置約束基於對所述裝置的位置的評估來阻止或允許對所述內容的訪問還包括接收來自所述位置實體的位置，並根據所述位置約束來評估所述位置。
15.如權利要求8所述的系統，其特徵在於，所述裝置還被配置成當所述位置移動時發送對所述位置的請求。
16.如權利要求15所述的系統，其特徵在於，所述位置約束指定位置請求的頻率。
17.如權利要求15所述的系統，其特徵在於，所述位置實體還被配置成指定位置請求的頻率。
18.如權利要求17所述的系統，其特徵在於，所述裝置還包括用來唯一表示所述裝置的IMSI/ESI標識符。
19.如權利要求8所述的系統，其特徵在於，所述位置約束可用以下至少之一來表達地理描述、郵編以及地理實體名字。
20.一種具有計算機可執行指令的計算機可讀介質，所述指令用於提供對在裝置上訪問的內容進行基於位置的數字權限管理，其特徵在於，包括確定對所述裝置作出的請求權限的位置約束是否存在；從信任位置實體獲取所述裝置的位置；以及基於根據所述位置約束對所述裝置的位置的評估來阻止或允許對該內容的訪問。
21.如權利要求20所述的計算機可讀介質，其特徵在於，從所述信任位置實體獲取所述裝置的位置還包括使用所述裝置和所述信任位置實體的安全連接。
22.如權利要求20所述的計算機可讀介質，其特徵在於，還包括在所述裝置移動時獲取所述裝置的位置，並評估所述裝置的位置。
23.如權利要求20所述的計算機可讀介質，其特徵在於，所述位置約束使用以下至少之一來表達地理描述、郵編以及地理實體名字。
24.如權利要求20所述的計算機可讀介質，其特徵在於，所述位置約束使用以下至少語言的至少之一來表達XML；XrML；布爾表達式；一階謂詞算法；諸腳本語言；正式程式語言。
25.如權利要求20所述的計算機可讀介質，其特徵在於，獲取所述裝置的位置包括確定以下至少之一所述裝置的緯度和經度；所述裝置的球坐標；以及所述裝置所處的地理實體名字。
全文摘要
本發明提供一種用於基於位置的數字權限管理的方法和系統。通過在許可證內指定消費裝置的許可位置，受保護內容的數字權限受限於特定位置或區域。這使得內容所有者能指定可消費受保護內容的地理位置、區域。該裝置從位置實體中獲取其位置，然後根據該許可證內的位置約束來評估該位置。如果裝置在位置約束內，則可訪問該內容。在允許訪問某內容之前獲得裝置的位置有助於避免用戶在被視為許可證內定義的禁用位置的區域內訪問受保護文檔。
文檔編號G06F1/00GK1749914SQ20051010417
公開日2006年3月22日 申請日期2005年9月16日 優先權日2004年9月16日
發明者P·杜布利什, S·A·伊馬姆 申請人:微軟公司