网络域之间的数据对象传输制造技术

技术编号:19561940 阅读:24 留言:0更新日期:2018-11-25 00:31
提供了用于处理网络域之间的数据对象的传输的机制。由第一网络域的第一数据控制器执行一种方法。所述方法包括获得向第二网络域的第二数据控制器传输数据对象的请求。所述方法包括获得标识第一网络域和第二网络域之间的数据对象的许可传输的标识符。所述方法包括向数据对象提供加密完整性签名。所述方法包括根据标识符启用数据对象向第二网络域的传输。

Data Object Transfer Between Network Domains

A mechanism is provided to handle the transmission of data objects between network domains. A method is executed by the first data controller of the first network domain. The method includes obtaining a request for transmitting a data object to a second data controller of the second network domain. The method includes obtaining an identifier identifying the licensed transmission of data objects between the first and second network domains. The method includes providing an encrypted integrity signature to a data object. The method includes enabling the transmission of data objects to the second network domain according to the identifier.

【技术实现步骤摘要】
【国外来华专利技术】网络域之间的数据对象传输
本文提出的实施例涉及数据对象处理,具体涉及用于处理网络域之间的数据对象的传输的方法、数据控制器、计算机程序和计算机程序产品。
技术介绍
在通信网络中,针对给定的通信协议、其参数和部署有该通信网络的物理环境,获得良好性能和容量可能是一种挑战。例如,在数据可能在网络域之间移动的通信网络中,需要监测和跟踪并且可选地限制一些特定数据对象从一个网络域移动到另一个网络域或者以满足数据对象所属的网络域的需求的方式呈现数据对象。限制网络域之间数据对象移动的需求相对较新,并且支持这种需求的技术是有限的。现有技术以数字权利管理(DRM)或数据泄漏保护(DLP)为中心,数字权利管理(DRM)的一个目的是控制允许哪些实体访问数据对象以及在哪些方面允许,数据泄漏保护(DLP)的一个目的是控制敏感数据对象不会泄露给未授权方。美国专利申请US5664017A定义了一种用于与国家主权进行一对一加密通信的方法。该方法基于由密钥控制的加密消息,但是未能提供控制允许跨管辖区域发送何种信息的方法。因此,仍然需要在具有至少两个网络域的网络中改进处理数据对象。
技术实现思路
本文的实施例的目的是提供网络域之间的数据对象的有效处理。根据第一方面,提出了一种用于处理网络域之间的数据对象的传输的方法。所述方法由第一网络域的第一数据控制器执行。所述方法包括获得向第二网络域的第二数据控制器传输数据对象的请求。所述方法包括获得标识第一网络域和第二网络域之间的数据对象的许可传输的标识符。所述方法包括向数据对象提供加密完整性签名。所述方法包括根据标识符启用数据对象向第二网络域的传输。根据第二方面,提出了一种用于处理网络域之间的数据对象的传输的第一网络域的数据控制器。数据控制器包括处理电路。处理电路被配置为使数据控制器获得向第二网络域的另一数据控制器传输数据对象的请求。处理电路被配置为使数据控制器获得标识第一网络域和第二网络域之间的数据对象的许可传输的标识符。处理电路被配置为使数据控制器向数据对象提供加密完整性签名。处理电路被配置为使数据控制器根据标识符启用数据对象向第二网络域的传输。根据第三方面,提出了一种用于处理网络域之间的数据对象的传输的第一网络域的数据控制器。数据控制器包括处理电路和计算机程序产品。计算机程序产品存储指令,所述指令在被处理电路执行时使数据控制器执行若干操作或步骤。操作或步骤涉及数据控制器获得向第二网络域的另一数据控制器传输数据对象的请求。操作或步骤涉及数据控制器获得标识第一网络域和第二网络域之间的数据对象的许可传输的标识符。操作或步骤涉及数据控制器向数据对象提供加密完整性签名。操作或步骤涉及数据控制器根据标识符启用数据对象向第二网络域的传输。根据第四方面,提出了一种用于处理数据域之间的数据对象的传输的第一网络域的数据控制器。数据控制器包括获得模块,该获得模块被配置为获得向第二网络域的另一数据控制器传输数据对象的请求。数据控制器包括获得模块,该获得模块被配置为获得标识第一网络域和第二网络域之间的数据对象的许可传输的标识符。数据控制器包括提供模块,该提供模块被配置为为向数据对象提供加密完整性签名。数据控制器包括启用模块,该启用模块被配置为根据标识符启用数据对象向第二网络域的传输。根据第五方面,提出了一种用于处理网络域之间的数据对象的传输的计算机程序,所述计算机程序包括计算机程序代码,所述计算机程序代码当在第一网络域的数据控制器的处理电路上运行时,使所述数据控制器执行根据第一方面所述的方法。根据第六方面,提出了一种用于处理网络域之间的数据对象的传输的方法。由第二网络域的第二数据控制器执行所述方法。所述方法包括从第一网络域的第一数据控制器获得数据对象。所述数据对象具有第一数据控制器的加密完整性签名。所述方法包括获得标识在第二网络域中数据对象的许可处理的标识符。根据第七方面,提出了一种用于处理网络域之间的数据对象的传输的第二网络域的数据控制器。数据控制器包括处理电路。处理电路被配置为使数据控制器从第一网络域的第一数据控制器获得数据对象。所述数据对象具有第一数据控制器的加密完整性签名。处理电路被配置为使数据控制器获得标识在第二网络域中数据对象的许可处理的标识符。根据第八方面,提出了一种用于处理网络域之间的数据对象的传输的第二网络域的数据控制器。数据控制器包括处理电路和计算机程序产品。所述计算机程序产品存储指令,所述指令在被处理电路执行时使数据控制器从第一网络域的第一数据控制器获得数据对象。所述数据对象具有第一数据控制器的加密完整性签名。所述计算机程序产品存储指令,所述指令在被处理电路执行时使数据控制器获得标识在第二网络域中数据对象的许可处理的标识符。根据第九方面,提出了一种用于处理网络域之间的数据对象的传输的第二网络域的数据控制器。数据控制器包括获得模块,该获得模块被配置为从第一网络域的第一数据控制器获得数据对象。所述数据对象具有第一数据控制器的加密完整性签名。数据控制器包括获得模块,该获得模块被配置为获得标识在第二网络域中数据对象的许可处理的标识符。根据第十方面,提出了一种用于处理网络域之间的数据对象的传输的计算机程序,所述计算机程序包括计算机程序代码,所述计算机程序代码当在第二网络域的数据控制器的处理电路上运行时,使数据控制器执行根据第六方面所述的方法。根据第十一方面,提出了一种包括根据第五方面和第十方面中的至少一个方面的计算机程序和存储计算机程序的计算机可读存储介质的计算机程序产品。计算机可读存储介质可以是非暂时性的计算机可读存储介质。有利地,这些方法、这些数据控制器和这些计算机程序提供了网络域之间的数据对象的有效传输。有利地,这些方法、这些数据控制器和这些计算机程序提供了对网络域之间的数据对象的移动的有效监测。有利地,这些方法、这些数据控制器和这些计算机程序提供了对网络域之间的数据对象的移动的有效控制。有利地,这些方法、这些数据控制器和这些计算机程序提供了对数据对象所绑定的网络域进行评估的可能性,而不会泄露数据对象的信息内容。有利地,这些方法、这些数据控制器和这些计算机程序提供了定义网络域之间的数据传输的多级安全控制的可能性。有利地,这些方法、这些数据控制器和这些计算机程序提供了数据对象中包含的信息的增强标记,例如,使用KSI签名,其可以作为数据对象的组成部分包含在内或者作为与数据对象相关联的元数据的一部分包含在内。应当注意,在适当的情况下,可以将第一、第二、第三、第四、第五、第六、第七、第八、第九、第十和第十一方面的任何特征应用于任何其他方面。同样,第一方面的任何优点可以等同地适用于第二、第三、第四、第五、第六、第七、第八、第九、第十和/或第十一方面,反之亦然。通过以下详细公开、所附从属权利要求以及附图,所附实施例的其他目的、特征和优点将变得显而易见。一般地,除非本文另有明确说明,否则权利要求中使用的所有术语根据其
中的普通含义来解释。除非另有明确说明,否则对“一/一个/所述元件、设备、组件、装置、步骤等”的所有引用应被开放地解释为指代元件、设备、组件、装置、步骤等中的至少一个实例。除非明确说明,否则本文公开的任何方法的步骤不必以所公开的确切顺序来执行。附图说明下面参照附图以示例方式描述本专利技术构思,本文档来自技高网
...

【技术保护点】
1.一种用于处理网络域(110a、110b、110c)之间的数据对象的传输的方法,由第一网络域(110a)的第一数据控制器(200a)执行所述方法,所述方法包括:获得(S102)向第二网络域(110b、110c)的第二数据控制器(200b、200c)传输数据对象的请求;获得(S106)标识所述第一网络域(110a)和所述第二网络域(110b、110c)之间的数据对象的许可传输的标识符;向数据对象提供(S110)加密完整性签名;以及根据所述标识符启用(S112)数据对象向所述第二网络域(110b、110c)的传输。

【技术特征摘要】
【国外来华专利技术】1.一种用于处理网络域(110a、110b、110c)之间的数据对象的传输的方法,由第一网络域(110a)的第一数据控制器(200a)执行所述方法,所述方法包括:获得(S102)向第二网络域(110b、110c)的第二数据控制器(200b、200c)传输数据对象的请求;获得(S106)标识所述第一网络域(110a)和所述第二网络域(110b、110c)之间的数据对象的许可传输的标识符;向数据对象提供(S110)加密完整性签名;以及根据所述标识符启用(S112)数据对象向所述第二网络域(110b、110c)的传输。2.根据权利要求1所述的方法,其中,获得所述请求包括:从所述第二数据控制器(200b、200c)获得(S102a)向第二网络域(110b、110c)传输数据对象的请求。3.根据权利要求1所述的方法,其中,获得所述请求包括:从所述第一数据控制器(200a)的本地发送功能获得(S102b)向第二网络域(110b、110c)传输数据对象的请求。4.根据权利要求1所述的方法,还包括:将数据对象与位置标签相关联(S104),所述位置标签标识所述第一网络域(110a);以及基于所述标识符,提供(S108)将所述位置标签绑定到数据对象的加密域签名。5.根据权利要求1所述的方法,其中,所述许可传输包括以下至少一种:防止向所述第二网络域(110b、110c)传输数据对象、允许向所述第二网络域(110b、110c)传输数据对象、防止在第二网络域(110b、110c)传输中修改数据对象、允许在第二网络域(110b、110c)中修改数据对象、以及在向所述第二网络域(110b、110c)传输数据对象之前需要在所述第一网络域(110a)中修改数据对象。6.根据权利要求5所述的方法,其中,数据对象的修改包括以下至少一项:将至少第一数据对象部分和第二对象部分组合到数据对象中,以及在第二网络域(110b、110c)中对数据对象进行解密。7.根据权利要求5所述的方法,其中,所述许可传输要求在向所述第二网络域(110b、110c)传输数据对象之前修改数据对象。8.根据权利要求7所述的方法,其中,所述许可传输要求在向第二网络域(110b、110c)传输数据对象之前,对数据对象进行以下至少一种操作:划分为至少第一数据对象部分和第二对象部分、进行加密和匿名化。9.根据权利要求1所述的方法,其中,所述启用处理包括:向所述第二网络域(110b、110c)传输(S112a)数据对象;或者防止(S112b)向所述第二网络域(110b、110c)传输数据对象。10.根据权利要求1所述的方法,还包括:从所述第二数据控制器(200b、200c)获得(S114)已经发生了要防止向所述第二网络域(110b、110c)传输数据对象所针对的数据对象的传输的通知;以及响应于已经获得所述通知而发布(S116)消息。11.一种用于处理网络域(110a、110b、110c)之间的数据对象的传输的方法,由第二网络域(110b、110c)的第二数据控制器(200b、200c)执行所述方法,所述方法包括:从第一网络域(110a)的第一数据控制器(200a)获得(S204)数据对象,其中,所述数据对象具有所述第一数据控制器(200a)的加密完整性签名;以及获得(S206)标识在所述第二网络域(110b、110c)中数据对象的许可处理的标识符。12.根据权利要求11所述的方法,还包括:向第一数据控制器(200a)提供(S202)向第二网络域(110b、110c)传输数据对象的请求。13.根据权利要求11所述的方法,其中所述许可处理包括以下至少一种:防止向所述第二网络域(110b、110c)传输数据对象、允许向所述第二网络域(110b、110c)传输数据对象、防止在所述第二网络域(110b、110c)传输中修改数据对象、允许在所述第二网络域(110b、110c)中修改数据对象。14.根据权利要求11所述的方法,还包括:验证(S208)所述加密完整性签名。15.根据权利要求11所述的方法,还包括:根据所述标识符在所述第二网络域(110b、110c)中处理(S210)数据对象。16.根据权利要求15所述的方法,其中,所述处理数据对象包括:根据所述标识符修改(S210a)数据对象。17.根据权利要求16所述的方法,其中,所述修改数据对象包括以下至少一种:将数据对象的至少第一数据对象部分和数据对象的第二对象部分组合(S210aa)到数据对象中,以及对数据对象进行解密(S210ab)。18.根据权利要求15所述的方法,其中,所述处理数据对象包括:当根据所述许可处理,防止向所述第二网络域(110b、110c)传输数据对象时,丢弃(S210b)数据对象。19.根据权利要求18所述的方法,还包括:通知(S210c)所述第一数据控制器(200a)已经发生了要防止向所述第二网络域(110b、110c)传输数据对象所针对的数据对象的传输。20.根据权利要求11所述的方法,其中,标识在所述第二网络域(110b、110c)中数据对象的许可处理的标识符是从所述第二网络域(110b、110c)中的本地规则库或从所述第一数据控制器(200a)获得的。21.根据前述权利要求中任一项所述的方法,其中,所述加密完整性签名基于无密钥签名基础设施KSI。22.一种用于处...

【专利技术属性】
技术研发人员:米凯尔·亚蒂宁朱卡·于利塔洛哈里·哈卡拉阿里·皮耶蒂凯宁肯尼特·马特松
申请(专利权)人:瑞典爱立信有限公司
类型:发明
国别省市:瑞典,SE

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1