專利名稱:無需客戶端訪問組件瀏覽企業(yè)數(shù)字權(quán)限管理下的內(nèi)容的制作方法
技術(shù)領(lǐng)域:
本披露總體上涉及計算機(jī)企業(yè)數(shù)字權(quán)限管理系統(tǒng),更確切地說�,涉及能使沒有客戶端訪問組件的用戶瀏覽企業(yè)數(shù)字權(quán)限管理下的內(nèi)容���。
背景技術(shù):
企業(yè)數(shù)字權(quán)限管理(E-DRM或ERM)是指對企業(yè)層級(例如,公司��、大學(xué)��、政府部門��、 等等)的數(shù)字內(nèi)容應(yīng)用訪問控制��。E-DRM�����,有時也稱為信息權(quán)限管理(IRM)�,總體上旨在防止企業(yè)專有的數(shù)字內(nèi)容被未經(jīng)授權(quán)而使用。在E-DRM系統(tǒng)下����,管轄的內(nèi)容典型地是加密的或以其他方式不可訪問的。試圖訪問管轄的內(nèi)容是由E-DRM系統(tǒng)管轄的�,E-DRM系統(tǒng)僅允許許可級別的用戶訪問許可的內(nèi)容。特定數(shù)字內(nèi)容的特定訪問級別(例如��,讀�、寫���、復(fù)制、執(zhí)行����、等等)可以提供給特定用戶或組。E-DRM系統(tǒng)傳統(tǒng)上要求在每個管轄的計算設(shè)備上部署客戶端E-DRM訪問組件�����??蛻舳薊-DRM訪問組件攔截并管理客戶端試圖訪問E-DRM控制下的本地數(shù)字內(nèi)容。這些本地內(nèi)容可以包括建立和/或存儲在客戶端上的管轄的內(nèi)容���。通過攔截和管理訪問要求���,客戶端E-DRM訪問組件僅為用戶提供許可內(nèi)容的許可訪問。這情況發(fā)生在用戶希望訪問E-DRM控制的內(nèi)容�,但客戶端E-DRM訪問組件是不可用的���。實例包括用戶正在操作不具有客戶端E-DRM訪問組件的智能電話或其他便攜式計算設(shè)備���、用戶在從共享或公共計算機(jī)訪問互聯(lián)網(wǎng)的區(qū)域中�、用戶正在操作家用計算機(jī)��、等等�����。 將希望解決這些問題����。
發(fā)明內(nèi)容
一個E-DRM遠(yuǎn)程緩存系統(tǒng)能使一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶瀏覽在企業(yè)數(shù)字權(quán)限管理下的內(nèi)容。操作沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的一個計算設(shè)備(例如����,一個客戶端)的用戶將有待瀏覽的加密的(或以其他方式不可訪問的) E-DRM管轄的內(nèi)容傳輸?shù)嚼缭谝粋€服務(wù)器上運(yùn)行的一個E-DRM遠(yuǎn)程緩存系統(tǒng)。該E-DRM 遠(yuǎn)程緩存系統(tǒng)接收該E-DRM管轄的內(nèi)容��,并將其臨時存儲在一個緩存器中�����。將該內(nèi)容存儲在該緩存器中多長時間可以基于這樣的標(biāo)準(zhǔn)��,如�,指定的時間段、訪問的數(shù)目�、訪問用戶的數(shù)目和身份�����、等等�����。該E-DRM遠(yuǎn)程緩存系統(tǒng)確定這位用戶是否具有足夠的訪問權(quán)限來瀏覽緩存器存儲的內(nèi)容���。這可以包括確定這位用戶是否具有閱讀訪問權(quán),或這位用戶是否具有特定E-DRM遠(yuǎn)程緩存系統(tǒng)授予的訪問權(quán)限����,如,無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件�����、基于地理位置的訪問權(quán)��、基于網(wǎng)絡(luò)位置的訪問權(quán)����、基于計算設(shè)備類型的訪問權(quán)�����、和/或基于當(dāng)前時間的訪問權(quán)來瀏覽E-DRM管轄的內(nèi)容的權(quán)限。如果這位用戶不具有足夠的訪問權(quán)限來瀏覽E-DRM管轄的內(nèi)容�����,那么E-DRM遠(yuǎn)程緩存系統(tǒng)將該內(nèi)容轉(zhuǎn)換成一種安全����、可瀏覽的格式 (例如,安全pdf��、基于快閃的DRM��、等等)�����,并將其安全地傳輸給這位用戶��。這能使這位用戶無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件來瀏覽E-DRM管轄的內(nèi)容�����。在某些實施方案中,這種E-DRM遠(yuǎn)程緩存系統(tǒng)嵌入一個未加密地址(address inthe clear)�,以便向該地址發(fā)送用于瀏覽的內(nèi)容(例如,電子郵件地址���、URL�、等等)��,而這是以其他方式加密的E-DRM管轄的內(nèi)容��。然后這個嵌入的地址可以被自動誘發(fā)��,以將該內(nèi)容發(fā)送到該E-DRM遠(yuǎn)程緩存系統(tǒng)��。在某些實施方案中��,這位用戶將實際的E-DRM管轄的內(nèi)容傳輸?shù)皆揈-DRM遠(yuǎn)程緩存系統(tǒng)�����。在其他實施方案中��,這位用戶傳輸該內(nèi)容的一個標(biāo)識符�,如一個散列(hash)。在這種情況下�,該E-DRM遠(yuǎn)程緩存系統(tǒng)確定該內(nèi)容是否是本地可訪問的�����,例如,因為它已經(jīng)在該緩存器中�,或包括在一個本地可訪問的備份或歸檔系統(tǒng)中。如果該內(nèi)容是本體可訪問的�����,那么該E-DRM遠(yuǎn)程緩存系統(tǒng)在本地獲得該內(nèi)容��,從而節(jié)省傳輸時間并提高性能�。如果不是,那么該E-DRM遠(yuǎn)程緩存系統(tǒng)從這位用戶獲得該內(nèi)容��。在某些實施方案中�,該E-DRM遠(yuǎn)程緩存系統(tǒng)將一個獨特的數(shù)字標(biāo)識(一個指紋) 添加到所接收的E-DRM管轄的內(nèi)容上。該獨特的數(shù)字標(biāo)識隨后可以被用來識別受損的 E-DRM管轄的內(nèi)容的來源��,該內(nèi)容由一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶瀏覽�。在本概述中以及在以下的詳細(xì)說明中說明的這些特征及優(yōu)點并不是包攬無遺的, 并且具體地講�����,通過參看本發(fā)明的附圖、說明書����、以及權(quán)利要求書,很多額外的特征和優(yōu)點對于相關(guān)領(lǐng)域中普通技術(shù)人員而言將變得清楚���。另外��,應(yīng)該注意到本說明書中所使用的語言的選擇主要是為了易讀性和指導(dǎo)性的目的��,并且也許不是被選用為描繪或限制本發(fā)明的主題�,對于確定這種發(fā)明主題必須求助于權(quán)利要求書��。
圖I是根據(jù)某些實施方案的一個示例性網(wǎng)絡(luò)架構(gòu)的框圖���,其中可以實現(xiàn)一個 E-DRM遠(yuǎn)程緩存系統(tǒng)����。圖2是根據(jù)某些實施方案的適于實現(xiàn)一個E-DRM遠(yuǎn)程緩存系統(tǒng)的一臺計算機(jī)系統(tǒng)的框圖����。圖3是根據(jù)某些實施方案的一個E-DRM遠(yuǎn)程緩存系統(tǒng)的操作的框圖。圖4是展示根據(jù)某些實施方案的一個E-DRM遠(yuǎn)程緩存系統(tǒng)的操作步驟的流程圖�。這些圖示僅為展示的目的描繪了多個實施方案�。本領(lǐng)域的普通技術(shù)人員將容易地從以下說明中認(rèn)識到��,可以使用在此所展示的這些結(jié)構(gòu)以及方法的替代實施方案而不背離在此說明的原理�����。
具體實施例方式圖I是展示一個示例性網(wǎng)絡(luò)架構(gòu)100的框圖�����,其中可以實現(xiàn)一個E-DRM遠(yuǎn)程緩存系統(tǒng)101����。所展示的網(wǎng)絡(luò)構(gòu)架100包括多個客戶端103AU03B和103N�����,以及多個服務(wù)器105A 和105N���。在圖I中���,E-DRM遠(yuǎn)程緩存系統(tǒng)101被展示為分布在服務(wù)器105A與客戶端103A 之間?���?梢岳斫?��,這僅是一個實例,并且在不同實施方案中���,這個系統(tǒng)101的不同功能可以具體化在一個客戶端103��、一個服務(wù)器105或分布在多個客戶端103和/或服務(wù)器105之間的其他設(shè)備上��??梢赃M(jìn)一步理解����,雖然E-DRM遠(yuǎn)程緩存系統(tǒng)101的功能可以具體化在一個客戶端103上,但是在這個系統(tǒng)101下���,客戶端103不包含(或至少不需要)一個客戶端企業(yè)數(shù)字權(quán)限管理訪問組件�。
可以使用如在圖2中所展示的并在以下描述的計算機(jī)系統(tǒng)210來實現(xiàn)客戶端103 和服務(wù)器105�。客戶端103和服務(wù)器105例如經(jīng)由如在以下結(jié)合圖2描述的一個網(wǎng)絡(luò)接口 248或調(diào)制解調(diào)器247以通信方式連接到一個網(wǎng)絡(luò)107��?����?蛻舳?03能使用例如一個網(wǎng)頁瀏覽器或其他客戶端軟件(未示出)來訪問服務(wù)器105上的申請和/或數(shù)據(jù)。雖然圖I作為一個實例展示了三個客戶端和兩個服務(wù)器�����,但是在實際中�,可以部署更多的(或更少的)客戶端103和/或服務(wù)器105。在一個實施方案中�����,網(wǎng)絡(luò)107是互聯(lián)網(wǎng)的形式���。在其他實施方案中可以使用其他網(wǎng)絡(luò)107或基于網(wǎng)絡(luò)的環(huán)境,例如���,一個公共�����、私人或公司LAN���、WAN����、WiFi-網(wǎng)絡(luò)或它們的組合�。在某些實施方案中,網(wǎng)絡(luò)107可以是一個或多個類型的細(xì)胞/移動網(wǎng)絡(luò)(例如�����,CDMA�、GSM、iDEN)和/或數(shù)據(jù)服務(wù)(例如���,GPRS, PDC-P����、CDPD��、3G��、4G���、等等)的形式��。圖2是適于實現(xiàn)一個E-DRM遠(yuǎn)程緩存系統(tǒng)101的一臺計算機(jī)系統(tǒng)210的框圖��??蛻舳?03和服務(wù)器105都可以實現(xiàn)為這種計算機(jī)系統(tǒng)210的形式?����?梢岳斫?��,一臺計算機(jī)系統(tǒng)210可以包括一臺桌上型或膝上型計算機(jī)����,但也可以是任何其他類型的計算設(shè)備的形式�,例如,一個移動電話����、一個智能電話����、一個個人數(shù)字助理、一個游戲設(shè)備����、一個簡易客戶端�����、一臺netbook計算機(jī)���、一個網(wǎng)絡(luò)電視設(shè)備、具有瀏覽器的一臺電視���、等等���。如以下說明的,在圖2中所展示的組件僅是示例性的�����,并且計算機(jī)系統(tǒng)可以如所希望的具有更少�����、更多或不同的組件�。如圖2中所展示的,計算機(jī)系統(tǒng)210的一個組件是一個總線212��。總線212以通信方式連接到計算機(jī)系統(tǒng)210的其他組件上�,例如,至少一個處理器214����、系統(tǒng)內(nèi)存217 (例如,隨機(jī)存取存儲器(RAM)��、只讀存儲器(ROM)��、快閃存儲器)�、一個輸入/輸出(I/O)控制器 218、以通信方式連接到諸如一個揚(yáng)聲器系統(tǒng)220的一個外部聲音設(shè)備的一個音頻輸出接口 222����、以通信方式連接到諸如一個顯示屏224的一個外部視頻輸出設(shè)備的一個顯示適配器226、諸如串行端口 230的一個或多個接口�、通用串行總線(USB)插口 230、并行端口(未示出)����、等等���,一個鍵盤控制器233以通信方式連接到一個鍵盤232上���,一個存儲接口 234 以通信方式連接到至少一個硬盤244 (或其他形式的磁性介質(zhì))上��,一個軟盤驅(qū)動器237構(gòu)造為接收一個軟盤238��,一個主機(jī)總線適配器(HBA)接口卡片235A構(gòu)造為與一個光纖通道 (FC)網(wǎng)絡(luò)連接��,一個HBA接口卡片235B構(gòu)造為連接到一個SCSI總線239上����,一個光盤驅(qū)動器240構(gòu)造為接收一個光盤242���,一個鼠標(biāo)246 (或其他點擊設(shè)備)例如經(jīng)由一個USB插口 228連接到總線212上�,一個調(diào)制解調(diào)器247例如經(jīng)由一個串行端口 230連接到總線212 上���,并且一個網(wǎng)絡(luò)接口 248例如直接連接到總線212上�����。其他組件(未示出)(例如�����,文檔掃描器�、數(shù)碼相機(jī)、打印機(jī)���、等等)可以一種類似方式連接�����。相反�,不需要存在圖2中所展示的所有組件���。這些組件可以不同于圖2所示的方式互相連接���。總線212允許處理器214與系統(tǒng)內(nèi)存217之間的數(shù)據(jù)連通����,如以上所指出的,該系統(tǒng)內(nèi)存可以包括ROM和/或快閃存儲器以及RAM��。RAM典型地是加載操作系統(tǒng)和應(yīng)用程序的主存儲器��。除其他代碼之外���,該ROM和/或快閃存儲器可以包含控制某些基本硬件操作的基本輸入輸出系統(tǒng)(BIOS)�����。應(yīng)用程序可以存儲在一個本地計算機(jī)可讀介質(zhì)(例如�����,硬盤 244����、光盤242)上�����,并且加載到系統(tǒng)內(nèi)存217并由處理器214執(zhí)行����。應(yīng)用程序還可以從一個遠(yuǎn)程位置(即,一個遠(yuǎn)程定位的計算機(jī)系統(tǒng)210)��,例如經(jīng)由網(wǎng)絡(luò)接口 248或調(diào)制解調(diào)器247加載到系統(tǒng)內(nèi)存217���。在圖2中��,E-DRM遠(yuǎn)程緩存系統(tǒng)101被展示為存在于系統(tǒng)內(nèi)存217中�����。 E-DRM遠(yuǎn)程緩存系統(tǒng)101的工作在以下結(jié)合圖3更詳細(xì)地解釋���。存儲接口 234連接到一個或多個硬盤244 (和/或其他標(biāo)準(zhǔn)存儲介質(zhì))上�����。該(這些)硬盤244可以是計算機(jī)系統(tǒng)210的一部分���,或可以是物理上分開的并通過其他接口系統(tǒng)訪問。網(wǎng)絡(luò)接口 248和/或調(diào)制解調(diào)器247可以直接或間接地以通信方式連接到諸如互聯(lián)網(wǎng)的一個網(wǎng)絡(luò)107上��。這種連接可以是有線的或無線的����。圖3展示了一個E-DRM遠(yuǎn)程緩存系統(tǒng)101,其中一些模塊存在于一個客戶端103的系統(tǒng)內(nèi)存217中��,而其他模塊存在于一個服務(wù)器105的系統(tǒng)內(nèi)存217中��。這個E-DRM遠(yuǎn)程緩存系統(tǒng)101被展示為分布在兩個計算機(jī)系統(tǒng)210之間��,但是如以上所述����,更多�����、更少或不同功能的E-DRM遠(yuǎn)程緩存系統(tǒng)101可以存在于一個客戶端103、一個服務(wù)器105��、或分布在多個計算機(jī)系統(tǒng)210之間的其他設(shè)備上�����,包括在一個基于云的計算環(huán)境中���,在該基于云的計算環(huán)境中�����,E-DRM遠(yuǎn)程緩存系統(tǒng)101的功能設(shè)置為在一個網(wǎng)絡(luò)107上服務(wù)�??梢岳斫猓m然E-DRM遠(yuǎn)程緩存系統(tǒng)101的功能可以具體化在客戶端103上���,但是在這個系統(tǒng)101下�����,客戶端103不包含(或至少不需要)一個客戶端企業(yè)數(shù)字權(quán)限管理訪問組件���??梢岳斫?����,雖然E-DRM遠(yuǎn)程緩存系統(tǒng)101在圖3中被展示為一組模塊,但是所展示的E-DRM遠(yuǎn)程緩存系統(tǒng)101表現(xiàn)出多種功能的集合�,這些功能可以如所希望的具體化為一個單一的或其他多個模塊?�?梢岳斫?��,E-DRM遠(yuǎn)程緩存系統(tǒng)101的模塊可以具體化(例如��,作為目標(biāo)代碼或可執(zhí)行的圖像)在任何計算機(jī)系統(tǒng)210的系統(tǒng)內(nèi)存217(例如�,RAM����、R0M、快閃存儲器)內(nèi),這樣���, 當(dāng)計算機(jī)系統(tǒng)210的處理器214處理一個模塊時��,計算機(jī)系統(tǒng)210執(zhí)行相關(guān)的功能���。如在此所使用的,術(shù)語“計算機(jī)系統(tǒng)”�、“計算機(jī)”�����、“客戶端”��、“客戶端計算機(jī)”�、“服務(wù)器”、“服務(wù)器計算機(jī)”和“計算設(shè)備”意味著構(gòu)造為和/或編程為執(zhí)行所述功能的一臺或多臺計算機(jī)��。另外�,實現(xiàn)E-DRM遠(yuǎn)程緩存系統(tǒng)101的功能的程序代碼存儲在計算機(jī)可讀存儲介質(zhì)上。任何形式的計算機(jī)可讀介質(zhì)可在此背景下使用����,例如磁性的或光學(xué)存儲介質(zhì)。如在此所使用的, 術(shù)語“計算機(jī)可讀存儲介質(zhì)”不意味著從一個基礎(chǔ)物理介質(zhì)上分離的電信號�����。如圖3中所展示的�,不具有一個客戶端E-DRM訪問組件的一個客戶端103的用戶 301仍可以訪問本地E-DRM管轄的內(nèi)容303。在這種情況下���,用戶301接收或以其他方式獲得E-DRM管轄的內(nèi)容303 (例如���,通過這位用戶的工作計算機(jī)的遠(yuǎn)程訪問、通過電子郵件����、等等)。現(xiàn)在用戶301具有在客戶端103上的本地E-DRM管轄的內(nèi)容303�����,但是E-DRM管轄的內(nèi)容303是加密的(或以其他方式不可訪問的)�����,因此在不使用一個客戶端E-DRM訪問組件的情況下通常不能訪問�。為了在不使用一個客戶端E-DRM訪問組件的情況下允許訪問,一個客戶端傳輸模塊305將E-DRM管轄的內(nèi)容303傳輸?shù)椒?wù)器105上的一個緩存模塊307。這可以通過向與緩存模塊307相關(guān)的一個電子郵件地址發(fā)送E-DRM管轄的內(nèi)容303來做�����。在一個實施方案中��,這個電子郵件地址作為與加密的E-DRM管轄的內(nèi)容303 —起的明確文本(例如����,XML) 來嵌入。在其他實施方案中�����,這個電子郵件地址通過客戶端傳輸模塊305以其他方式(例如�����,通過用戶301設(shè)置���、與客戶端傳輸模塊305關(guān)聯(lián)存儲、等等)獲得�。E-DRM管轄的內(nèi)容 303還可以下載到與緩存模塊307相關(guān)的一個地址(例如,一個統(tǒng)一資源定位器)�。這個地址可以未加密地嵌入加密的E-DRM管轄的內(nèi)容303之中,或以其他方式接受客戶端傳輸模塊305的訪問。當(dāng)從客戶端傳輸模塊305收到E-DRM管轄的內(nèi)容303時��,緩存模塊307將內(nèi)容303 臨時存儲在服務(wù)器105上的一個緩存器325中�����。一個E-DRM身份驗證模塊309訪問緩存存儲的E-DRM管轄的內(nèi)容303�,并與一個E-DRM服務(wù)模塊327連通。E-DRM服務(wù)模塊327保持并管理指定給具有權(quán)限的用戶301的信息��,并使用常規(guī)的E-DRM功能來確定用戶301是否具有瀏覽內(nèi)容303的訪問權(quán)限(閱讀權(quán)限)�。如果用戶301不具有E-DRM管轄的內(nèi)容303 的閱讀權(quán)限,那么設(shè)置為不訪問內(nèi)容303���。另一方面��,如果這位用戶不具有閱讀權(quán)限��,那么一個內(nèi)容轉(zhuǎn)換模塊311將加密的(或以其他方式不可訪問的)緩存存儲的內(nèi)容303轉(zhuǎn)換成一種安全�、可瀏覽的格式313��,以便能由用戶301安全瀏覽�。內(nèi)容轉(zhuǎn)換模塊311使用常規(guī)技術(shù)將加密的內(nèi)容轉(zhuǎn)換成一種安全、可瀏覽的格式313 (例如����,安全的pdf���、基于快閃的DRM、轉(zhuǎn)換成圖形圖像的文字����、瀏覽器控件、等等)�����。一個服務(wù)器端傳輸模塊315將安全�����、可瀏覽的格式313中的內(nèi)容傳輸?shù)接捎脩?01 訪問的客戶端103��。為了保持E-DRM管轄的內(nèi)容303安全��,通過使用諸如SSL等的一種技術(shù)將可瀏覽的格式313傳輸?shù)娇蛻舳?03�。然后用戶301可以例如在一個瀏覽器(未不出) 中閱讀可瀏覽的格式313中的內(nèi)容�����。因為不存在客戶端E-DRM訪問模塊來限制客戶端上的E-DRM管轄的內(nèi)容303的使用,所以可瀏覽的內(nèi)容313設(shè)置為它僅可瀏覽���,而不能復(fù)制���、粘貼、打印��、修改�、屏幕抓圖、等等���。這是甚至當(dāng)用戶301具有多于僅閱讀E-DRM管轄的內(nèi)容303權(quán)限的權(quán)限的情況���。沒有一個客戶端E-DRM訪問模塊來強(qiáng)制遵守一個用戶301可具有的任何其他權(quán)限(例如,復(fù)制但不能修改的權(quán)限)�,設(shè)置只讀可瀏覽的內(nèi)容313防止了未經(jīng)授權(quán)使用客戶端103上的內(nèi)容303。例如����,如果這位用戶具有復(fù)制權(quán)限并被允許復(fù)制一個E-DRM管轄的文件303,那么在不存在一個客戶端E-DRM訪問模塊的情況下�����,沒有什么可以防止該復(fù)制文件被修改或以其他未經(jīng)授權(quán)的方式訪問。緩存模塊309可以將E-DRM管轄的內(nèi)容303存儲在服務(wù)器105上的緩存器325中足夠長的時間����,以便用戶301能瀏覽它,然后在瀏覽之后刪除它(一次性使用)����。緩存模塊 309還可以根據(jù)所需標(biāo)準(zhǔn)保持緩存存儲的E-DRM管轄的內(nèi)容303 (例如,給定的一段時間���,直到用戶301瀏覽給定的次數(shù)�,直到被一個給定組中的每個或某一百分比或數(shù)目的用戶301 訪問)�。在某些實施方案中,一個新的E-DRM權(quán)限被定義為提供或拒絕沒有一個客戶端 E-DRM訪問模塊而瀏覽E-DRM管轄的內(nèi)容303的明確權(quán)限���。換句話說��,不是簡單地允許任何用戶301以至少閱讀權(quán)限訪問E-DRM管轄的內(nèi)容303����,而是特定用戶301可通過E-DRM遠(yuǎn)程緩存系統(tǒng)101延長和/或拒絕這個特定訪問級別����。在這些實施方案中,E-DRM服務(wù)模塊327 保持并管理涉及具有這個新的E-DRM權(quán)限的用戶301的信息��,并且E-DRM身份驗證模塊309 僅允許具有這個訪問權(quán)限級別的用戶301訪問緩存存儲的E-DRM管轄的內(nèi)容303��。在某些實施方案中��,E-DRM身份驗證模塊309基于用戶301的地理和/或網(wǎng)絡(luò)位置來限制訪問緩存存儲的E-DRM管轄的內(nèi)容303�����。例如���,這種訪問可以僅提供給位于某些國家�����、在特定辦公地點的用戶301�,經(jīng)由與互聯(lián)網(wǎng)相對的內(nèi)部網(wǎng)����,從某個子網(wǎng),從與固定位置的計算設(shè)備相對的一個移動設(shè)備等訪問服務(wù)器105�。E-DRM身份驗證模塊309還可以基于,例如���,由用戶301操作的計算設(shè)備210的類型�,或基于時間(例如,允許僅在辦公時間內(nèi)����、僅在周末、等訪問)來限制訪問����。基于這些因素限制訪問的間隔級別是一個可變設(shè)計參數(shù)��?�?梢岳斫?�,如果有待訪問的特定E-DRM管轄的內(nèi)容303已經(jīng)存在于服務(wù)器105位于其中的一個云/服務(wù)環(huán)境中��,那么執(zhí)行時間可以顯著提高����。如果是這種情況,那么客戶端傳輸模塊305將不需要將E-DRM管轄的內(nèi)容303傳輸?shù)椒?wù)器105上的緩存模塊307�����,從而提高整個過程的速度����。可以理解���,E-DRM遠(yuǎn)程緩存系統(tǒng)101不操作為存儲所有E-DRM管轄的內(nèi)容303���,而是作為用于如上述被訪問的特定E-DRM管轄的內(nèi)容303的一個緩存系統(tǒng)。 但是��,存在許多種可能的情況�����,其中用戶301希望訪問的特定E-DRM管轄的內(nèi)容303已經(jīng)可在服務(wù)器105上訪問���,而無需從客戶端103下載該內(nèi)容303��。這可能是以下的情況��,例如����,如果個人用戶或企業(yè)廣泛使用基于云的備份或歸檔系統(tǒng)在位置中,那么服務(wù)器105位于其中的后臺環(huán)境在相同位置中�。在這種情況下,用戶301尋找的特定E-DRM管轄的內(nèi)容303可能已經(jīng)在該備份或歸檔系統(tǒng)中���。另一種可能性是用戶301試圖訪問的特定E-DRM管轄的內(nèi)容303可能仍存在于緩存器325中���,因為它更早被存儲在那里,并且仍未根據(jù)如以上的在適當(dāng)位置的緩存標(biāo)準(zhǔn)而被刪除����。因此,在某些實施方案中����,確定用戶301試圖訪問的特定E-DRM管轄的內(nèi)容303是否已經(jīng)存在于服務(wù)器端105上。在這些實施方案中���,客戶端傳輸模塊305將內(nèi)容303的一個標(biāo)識符317 (例如����,一個散列)傳輸?shù)骄彺婺K307��,該緩存模塊307將標(biāo)識符317傳遞到一個內(nèi)容定位模塊319。內(nèi)容定位模塊319檢查用于被用戶301尋找的特定E-DRM管轄的內(nèi)容303存在的服務(wù)器端��。如果內(nèi)容303位于該服務(wù)器端上����,那么它存儲在緩存器325中 (除非它已經(jīng)位于緩存器325中)�,并且從如上述的點進(jìn)行處理。如果內(nèi)容303不位于該服務(wù)器端上��,那么服務(wù)器端傳輸模塊315將一個對應(yīng)通知(未展不)傳輸回到客戶端傳輸模塊305�。客戶端傳輸模塊305通過將內(nèi)容303傳輸?shù)椒?wù)器105來響應(yīng)���,并且從如上述的點進(jìn)行處理��。在某些實施方案中�,一個指紋模塊321將一個獨特的數(shù)字標(biāo)識323 (指紋)添加到存儲在緩存器325中的E-DRM管轄的內(nèi)容303的每個實例上�。圖3展示了如位于服務(wù)器 105上的指紋模塊321,而在其他實施方案中��,指紋模塊321可以位于客戶端103上或如所希望的分布在多個計算設(shè)備之間���。獨特的數(shù)字標(biāo)識323可以識別用戶301����、內(nèi)容303、傳輸時間和/或該內(nèi)容從其傳輸?shù)挠嬎阍O(shè)備(客戶端103)���。更確切地說��,獨特的數(shù)字標(biāo)識323 可以包括單一用途或一次性使用的指紋�����,以反映特定用戶301在特定日期/時間從一個特定客戶端設(shè)備103訪問的特定指紋可瀏覽的內(nèi)容313��。通過指紋識別內(nèi)容303�����,如果隨后發(fā)現(xiàn)任何E-DRM管轄的內(nèi)容303是受損的(compromised)��,那么獨特的數(shù)字標(biāo)識323可以用來明白地確定受損內(nèi)容303的來源�。圖4展示了根據(jù)某些實施方案的一個E-DRM遠(yuǎn)程緩存系統(tǒng)101 (圖I)的操作步驟�����。 緩存模塊307 (圖3)從沒有本地客戶端E-DRM訪問組件的用戶301 (圖3)接收401用來訪問的E-DRM管轄的內(nèi)容303 (圖3)����。緩存模塊307 (圖3)將內(nèi)容303 (圖3)存儲403在服務(wù)器105 (圖I)上的一個緩存器325 (圖3)中�。E-DRM身份識別模塊309 (圖3)確定用戶 301 (圖3)是否具有內(nèi)容303 (圖3)的閱讀權(quán)限����。如果用戶301 (圖3)不具有內(nèi)容303 (圖 3)的閱讀權(quán)限,那么拒絕407用戶301 (圖3)訪問內(nèi)容303 (圖3)�。如果用戶301 (圖3) 具有閱讀權(quán)限,那么內(nèi)容轉(zhuǎn)換模塊311 (圖3)將緩存器存儲的內(nèi)容303(圖3)轉(zhuǎn)換409成一種安全����、可瀏覽的格式313 (圖3)���,并任選地將一個獨特的數(shù)字標(biāo)識323 (圖3)添加411到轉(zhuǎn)換的內(nèi)容313(圖3)上���。服務(wù)器端傳輸模塊315 (圖3)將安全、可瀏覽的格式313 (圖 3)中的內(nèi)容安全地傳輸413到客戶端103 (圖1)��,以便為用戶301 (圖3)僅提供閱讀訪問����。如熟悉本領(lǐng)域技術(shù)的人們將會理解的,本發(fā)明能夠以多種其他具體的形式來實施而不背離其精神或本質(zhì)性特征����。同樣�����,這些部分��、模塊��、代理器����、管理器���、部件�、功能�、過程、動作����、層、特征��、屬性���、方法以及其他方面的特定的命名以及劃分不是強(qiáng)制性的或有重要意義的���,并且實施本發(fā)明或其特征的機(jī)理可以具有不同的名稱��、劃分和/或形式���。為了解釋的目的,已經(jīng)參考具體實施方案描述了上述說明���。但是����,以上展示性的討論并非旨在是窮盡性的或者將本發(fā)明限制在所披露的確切形式上�����。鑒于以上教授內(nèi)容可進(jìn)行許多修改和變化���。選擇和描述這些實施方案,以便更好地解釋相關(guān)原理和它們的實際應(yīng)用���,從而能使本領(lǐng)域的普通技術(shù)人員更好地利用具有或不具有如可適用于特定使用的各種修改的不同實施方案�。
權(quán)利要求
1.一種計算機(jī)實施的方法,該方法使一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶能夠瀏覽在企業(yè)數(shù)字權(quán)限管理下的內(nèi)容���,該方法包括以下步驟通過一臺計算機(jī)從一個沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的遠(yuǎn)程定位的用戶處接收由一個企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一個標(biāo)識符��;通過一臺計算機(jī)將由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的已識別的內(nèi)容臨時存儲在一個緩存器中��;通過一臺計算機(jī)確定這位用戶是否具有足夠的訪問權(quán)限來瀏覽由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的已識別的內(nèi)容�����;響應(yīng)于對這位用戶具有足夠的訪問權(quán)限來瀏覽由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的已識別的內(nèi)容進(jìn)行的確定����,通過一臺計算機(jī)將該內(nèi)容轉(zhuǎn)換成一種安全的��、可瀏覽的格式�����;并且將處于安全的�����、可瀏覽的格式的內(nèi)容安全地傳輸給這位用戶,這樣使得這位用戶能夠瀏覽由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容而無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件�。
2.如權(quán)利要求I所述的方法,進(jìn)一步包括通過一臺計算機(jī)將一個未加密地址嵌入由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容中����,所嵌入的地址包括一個地址,用于對該地址傳輸由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容用于瀏覽而無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件���;并且其中����,通過一臺計算機(jī)從這個沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶處接收由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一個標(biāo)識符進(jìn)一步包括作為該內(nèi)容被傳輸?shù)剿度氲牡刂返慕Y(jié)果而接收由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容��。
3.如權(quán)利要求I所述的方法��,其中�����,通過一臺計算機(jī)從這個沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶處接收由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一個標(biāo)識符進(jìn)一步包括通過一臺計算機(jī)從這個沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶處接收由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容���。
4.如權(quán)利要求I所述的方法,其中�����,通過一臺計算機(jī)從這個沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶處接收由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一個標(biāo)識符進(jìn)一步包括通過一臺計算機(jī)從這個沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶處接收由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的一個標(biāo)識符;確定已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容對于該計算機(jī)是否是本地可訪問的�;并且根據(jù)已識別的內(nèi)容對于該計算機(jī)是否是本地可訪問的來由該計算機(jī)獲得已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容。
5.如權(quán)利要求4所述的方法��,其中����,根據(jù)已識別的內(nèi)容對于該計算機(jī)是否是本地可訪問的來由該計算機(jī)獲得已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容進(jìn)一步包括確定已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容對于該計算機(jī)是本地可訪問的;并且通過該計算機(jī)獲得已識別的內(nèi)容�,而該內(nèi)容是通過該計算機(jī)在本地由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的。
6.如權(quán)利要求I所述的方法�����,其中�,通過一臺計算機(jī)將已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容臨時存儲在該緩存器中進(jìn)一步包括由一臺計算機(jī)根據(jù)至少一個標(biāo)準(zhǔn)將已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容臨時存儲在該緩存器中,而該標(biāo)準(zhǔn)是來自以下各項組成的一個組��,即一個給定的時間量的事件�����、已識別的內(nèi)容被瀏覽的次數(shù)、瀏覽已識別的內(nèi)容的用戶數(shù)目、以及瀏覽已識別的內(nèi)容的用戶的身份��。
7.如權(quán)利要求I所述的方法��,其中���,通過一臺計算機(jī)確定這位用戶具有足夠的訪問權(quán)限來瀏覽已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容進(jìn)一步包括 通過一臺計算機(jī)確定這位用戶具有涉及所識別內(nèi)容的����、在該企業(yè)數(shù)字權(quán)限管理系統(tǒng)下的至少一項權(quán)限�,該權(quán)限是來自以下各項組成的一個組,即閱讀訪問權(quán)�����、無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的瀏覽訪問權(quán)�����、基于地理位置的訪問權(quán)��、基于網(wǎng)絡(luò)位置的訪問權(quán)�、基于計算設(shè)備類型的訪問權(quán)、基于以前的訪問頻率的訪問權(quán)��、基于以前的訪問量的訪問權(quán)�����、以及基于當(dāng)前時間的訪問權(quán)���。
8.如權(quán)利要求I所述的方法���,進(jìn)一步包括通過一臺計算機(jī)對至少一個客戶授予涉及由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的至少一些內(nèi)容的在該企業(yè)數(shù)字權(quán)限管理系統(tǒng)下的至少一項權(quán)限,該權(quán)限是來自以下各項組成的一個組��,即無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件而瀏覽的訪問權(quán)�、基于地理位置的訪問權(quán)、基于網(wǎng)絡(luò)位置的訪問權(quán)�、基于計算設(shè)備類型的訪問權(quán)、基于以前的訪問頻率的訪問權(quán)����、 基于以前的訪問量的訪問權(quán)、以及基于當(dāng)前時間的訪問權(quán)�。
9.如權(quán)利要求I所述的方法,進(jìn)一步包括通過一臺計算機(jī)將一個獨特的數(shù)字標(biāo)識添加到已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一些實例上�����;并且響應(yīng)于對一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶傳輸了所識別內(nèi)容而其隨后受損的一個實例��,通過一臺計算機(jī)使用一個添加的獨特數(shù)字標(biāo)識來確定該受損內(nèi)容的來源。
10.至少一種存儲計算機(jī)程序產(chǎn)品的計算機(jī)可讀存儲介質(zhì)�����,該計算機(jī)程序產(chǎn)品用于使一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶能夠瀏覽在企業(yè)數(shù)字權(quán)限管理下的內(nèi)容����,該計算機(jī)程序產(chǎn)品包括用于從一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的遠(yuǎn)程定位的用戶處接收由一個企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一個標(biāo)識符的程序代碼;用于將已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容臨時存儲在一個緩存器中的程序代碼����;用于確定這位用戶是否具有足夠的訪問權(quán)限來瀏覽已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的程序代碼;響應(yīng)于對這位用戶具有足夠的訪問權(quán)限來瀏覽已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容進(jìn)行的確定���,用于將該內(nèi)容轉(zhuǎn)換成一種安全的���、可瀏覽的格式的程序代碼;以及用于將該內(nèi)容以這種安全的�����、可瀏覽的格式安全地傳輸給這位用戶的程序代碼��,這樣使得這位用戶能夠瀏覽由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容而無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件��。
11.如權(quán)利要求10所述的計算機(jī)程序產(chǎn)品,進(jìn)一步包括用于將一個未加密地址嵌入由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容中的程序代碼���,所嵌入的地址包括一個地址,以便對該地址傳輸由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容用于瀏覽而無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件��;并且其中����,該用于從這位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶處接收由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一個標(biāo)識符的程序代碼進(jìn)一步包括作為該內(nèi)容被傳輸?shù)剿度氲刂返慕Y(jié)果而用于接收由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的程序代碼。
12.如權(quán)利要求10所述的計算機(jī)程序產(chǎn)品���,其中�,用于確定這位用戶具有足夠的訪問權(quán)限來瀏覽已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的程序代碼進(jìn)一步包括用于確定這位用戶具有涉及已識別內(nèi)容的�����、在該企業(yè)數(shù)字權(quán)限管理系統(tǒng)下的至少一項權(quán)限的程序代碼�,該權(quán)限是來自以下各項組成的一個組,即閱讀訪問權(quán)��、無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的瀏覽訪問權(quán)��、基于地理位置的訪問權(quán)�����、基于網(wǎng)絡(luò)位置的訪問權(quán)、基于計算設(shè)備類型的訪問權(quán)��、基于以前的訪問頻率的訪問權(quán)�����、基于以前的訪問量的訪問權(quán)�����、以及基于當(dāng)前時間的訪問權(quán)�。
13.如權(quán)利要求10所述的計算機(jī)程序產(chǎn)品,進(jìn)一步包括用于將一個獨特的數(shù)字標(biāo)識添加到已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一些實例上的程序代碼����;以及響應(yīng)于對一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶傳輸了所識別內(nèi)容而其隨后受損的一個實例,用于使用一個添加的獨特數(shù)字標(biāo)識來確定該受損內(nèi)容來源的程序代碼�����。
14.一種計算機(jī)系統(tǒng)�,該計算機(jī)系統(tǒng)用于使一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶能夠瀏覽在企業(yè)數(shù)字權(quán)限管理下的內(nèi)容,該計算機(jī)系統(tǒng)包括一個處理器���;系統(tǒng)內(nèi)存�;用于從一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的遠(yuǎn)程定位的用戶處接收由一個企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一個標(biāo)識符的裝置;用于將已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容臨時存儲在一個緩存器中的裝置��;用于確定這位用戶是否具有足夠的訪問權(quán)限來瀏覽已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的裝置�;響應(yīng)于對這位用戶具有足夠的訪問權(quán)限來瀏覽已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容進(jìn)行的確定,用于將該內(nèi)容轉(zhuǎn)換成一種安全的��、可瀏覽的格式的裝置���;以及用于將該內(nèi)容以這種安全的、可瀏覽的格式安全地傳輸給這位用戶的裝置��,這樣使得這位用戶能夠瀏覽由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容而無需客戶端企業(yè)數(shù)字權(quán)限管理訪問組件��。
15.如權(quán)利要求15所述的計算機(jī)系統(tǒng)��,進(jìn)一步包括用于將一個獨特的數(shù)字標(biāo)識添加到已識別的由該企業(yè)數(shù)字權(quán)限管理系統(tǒng)管轄的內(nèi)容的至少一些實例上的裝置����;以及響應(yīng)于對一位沒有客戶端企業(yè)數(shù)字權(quán)限管理訪問組件的用戶傳輸了所識別內(nèi)容而其隨后受損的一個實例,用于使用一個添加的獨特數(shù)字標(biāo)識來確定該受損內(nèi)容來源的裝置�。
全文摘要
一種E-DRM遠(yuǎn)程緩存系統(tǒng)能使移位沒有客戶端E-DRM訪問組件的用戶在多種客戶端設(shè)備上瀏覽E-DRM管轄的內(nèi)容。用戶將有待瀏覽的不可訪問的E-DRM管轄的內(nèi)容傳輸?shù)竭@種遠(yuǎn)程緩存系統(tǒng)上�。這種遠(yuǎn)程系統(tǒng)接收該內(nèi)容��、將其臨時存儲在一個緩存器中��、并確定這位用戶是否具有足夠的權(quán)限來瀏覽該內(nèi)容��。如果這位用戶具有足夠的訪問權(quán)限����,遠(yuǎn)程系統(tǒng)將該內(nèi)容轉(zhuǎn)換成一種安全的����、可瀏覽的格式并將其安全地傳輸給這位用戶。這位用戶無需E-DRM客戶端訪問組件即可瀏覽這一E-DRM管轄的內(nèi)容��。該E-DRM遠(yuǎn)程緩存系統(tǒng)可將一個獨特的數(shù)字標(biāo)識添加到所接收的內(nèi)容上����。該標(biāo)識可以隨后被用于識別受損內(nèi)容的來源。
文檔編號G06F7/04GK102597947SQ201080039756
公開日2012年7月18日 申請日期2010年9月10日 優(yōu)先權(quán)日2009年9月10日
發(fā)明者B·韋頓, R·科頓 申請人:賽門鐵克公司