[发明专利]用于基于策略的资产的管理的方法和装置

权利要求书

1.一种由一个或多个计算设备实现的用于管理资产的使用的方法，所述方法包括：

完成与资产相关联的资产设备和与所述资产的所有者相关联的所有者设备之间的注册过程；

将与所述用户相关联的安全策略从策略所有者设备发射到与用户相关联的用户设备，其中所述安全策略表达用于使用所述资产的条件和限制，并且与用于保护到所述资产的所述通信的加密密钥不同；

将所述安全策略从用户设备发射到所述资产设备；

由所述用户设备请求所述资产的指定使用；以及

仅当所述策略允许所述请求的使用时才授予所述请求。

2.根据权利要求1所述的方法，其中所述安全策略被绑定到所述用户设备的指纹，并且还包括对所述策略进行加密和签名的所述策略所有者设备。

3.根据权利要求2所述的方法，其中所述策略所有者设备由所述资产的所述所有者控制。

4.根据权利要求2所述的方法，其中所述策略所有者设备由除了已经被给予创建策略的权限的所述资产的所述所有者之外的一方控制。

5.根据权利要求2所述的方法，其中所述资产设备存储包括用户ID、用户指纹、访问策略属性和与所述所有者设备的共享秘密的数据结构，并且其中所述所有者设备存储包括资产ID、资产指纹、访问策略属性和所述共享秘密的数据结构。

6.根据权利要求2所述的方法，其中所述用户设备存储包括资产ID和资产指纹以及与所述策略所有者的共享秘密的数据结构。

7.根据权利要求2所述的方法，其中所述资产的所述使用包括对所述资产的内部的物理访问。

8.根据权利要求2所述的方法，其中所述资产是计算资源，并且所述使用包括对所述计算资源的访问。

9.根据权利要求1所述的方法，其中所述注册过程包括：

在所述所有者设备和所述资产设备之间交换公共密钥，所述公共密钥由由证书管理机构用身份证书签名签名；

导出共享秘密；以及

通过使用所述公共密钥和所述共享秘密对通信进行加密和签名来保护所述所有者设备和所述资产设备之间的所述通信。

10.一种用于管理资产的使用的装置，所述装置包括：

至少一个计算机处理器；

至少一个存储器设备，其耦合到所述至少一个计算机处理器且在其上存储指令，所述指令在由所述至少一个处理器执行时使得所述至少一个处理器：

在与资产相关联的资产设备和与所述资产的所有者相关联的所有者设备之间完成注册过程；

将与所述用户相关联的安全策略从策略所有者设备发射到与用户相关联的用户设备，其中所述安全策略表达用于使用所述资产的条件和限制，并且与用于保护到所述资产的所述通信的加密密钥不同；

　　将所述安全策略从用户设备发射到所述资产设备；

由所述用户设备请求所述资产的指定使用；以及

　　仅当所述策略允许所述请求的使用时才授予所述请求。

11.根据权利要求10所述的装置，其中所述安全策略被绑定到所述用户设备的指纹，并且还包括对所述策略进行加密和签名的所述策略所有者设备。

12.根据权利要求10所述的装置，其中所述策略所有者设备由所述资产的所述所有者控制。

13.根据权利要求10所述的装置，其中所述策略所有者设备由除了已被给予创建策略的权限的所述资产的所有者之外的一方控制。

14.根据权利要求10所述的装置，其中所述资产设备存储包括用户ID、用户指纹、访问策略属性和与所述所有者设备的共享秘密的数据结构，并且其中所述所有者设备存储包括资产ID、资产指纹、访问策略属性和所述共享秘密的数据结构。