网络域之间的数据对象传输的制作方法

本文提出的实施例涉及数据对象处理，具体涉及用于处理网络域之间的数据对象的传输的方法、数据控制器、计算机程序和计算机程序产品。

背景技术

在通信网络中，针对给定的通信协议、其参数和部署有该通信网络的物理环境，获得良好性能和容量可能是一种挑战。

例如，在数据可能在网络域之间移动的通信网络中，需要监测和跟踪并且可选地限制一些特定数据对象从一个网络域移动到另一个网络域或者以满足数据对象所属的网络域的需求的方式呈现数据对象。

限制网络域之间数据对象移动的需求相对较新，并且支持这种需求的技术是有限的。

现有技术以数字权利管理(drm)或数据泄漏保护(dlp)为中心，数字权利管理(drm)的一个目的是控制允许哪些实体访问数据对象以及在哪些方面允许，数据泄漏保护(dlp)的一个目的是控制敏感数据对象不会泄露给未授权方。

美国专利申请us5664017a定义了一种用于与国家主权进行一对一加密通信的方法。该方法基于由密钥控制的加密消息，但是未能提供控制允许跨管辖区域发送何种信息的方法。

因此，仍然需要在具有至少两个网络域的网络中改进处理数据对象。

技术实现要素：

本文的实施例的目的是提供网络域之间的数据对象的有效处理。

根据第一方面，提出了一种用于处理网络域之间的数据对象的传输的方法。所述方法由第一网络域的第一数据控制器执行。所述方法包括获得向第二网络域的第二数据控制器传输数据对象的请求。所述方法包括获得标识第一网络域和第二网络域之间的数据对象的许可传输的标识符。所述方法包括向数据对象提供加密完整性签名。所述方法包括根据标识符启用数据对象向第二网络域的传输。

根据第二方面，提出了一种用于处理网络域之间的数据对象的传输的第一网络域的数据控制器。数据控制器包括处理电路。处理电路被配置为使数据控制器获得向第二网络域的另一数据控制器传输数据对象的请求。处理电路被配置为使数据控制器获得标识第一网络域和第二网络域之间的数据对象的许可传输的标识符。处理电路被配置为使数据控制器向数据对象提供加密完整性签名。处理电路被配置为使数据控制器根据标识符启用数据对象向第二网络域的传输。

根据第三方面，提出了一种用于处理网络域之间的数据对象的传输的第一网络域的数据控制器。数据控制器包括处理电路和计算机程序产品。计算机程序产品存储指令，所述指令在被处理电路执行时使数据控制器执行若干操作或步骤。操作或步骤涉及数据控制器获得向第二网络域的另一数据控制器传输数据对象的请求。操作或步骤涉及数据控制器获得标识第一网络域和第二网络域之间的数据对象的许可传输的标识符。操作或步骤涉及数据控制器向数据对象提供加密完整性签名。操作或步骤涉及数据控制器根据标识符启用数据对象向第二网络域的传输。

根据第四方面，提出了一种用于处理数据域之间的数据对象的传输的第一网络域的数据控制器。数据控制器包括获得模块，该获得模块被配置为获得向第二网络域的另一数据控制器传输数据对象的请求。数据控制器包括获得模块，该获得模块被配置为获得标识第一网络域和第二网络域之间的数据对象的许可传输的标识符。数据控制器包括提供模块，该提供模块被配置为为向数据对象提供加密完整性签名。数据控制器包括启用模块，该启用模块被配置为根据标识符启用数据对象向第二网络域的传输。

根据第五方面，提出了一种用于处理网络域之间的数据对象的传输的计算机程序，所述计算机程序包括计算机程序代码，所述计算机程序代码当在第一网络域的数据控制器的处理电路上运行时，使所述数据控制器执行根据第一方面所述的方法。

根据第六方面，提出了一种用于处理网络域之间的数据对象的传输的方法。由第二网络域的第二数据控制器执行所述方法。所述方法包括从第一网络域的第一数据控制器获得数据对象。所述数据对象具有第一数据控制器的加密完整性签名。所述方法包括获得标识在第二网络域中数据对象的许可处理的标识符。

根据第七方面，提出了一种用于处理网络域之间的数据对象的传输的第二网络域的数据控制器。数据控制器包括处理电路。处理电路被配置为使数据控制器从第一网络域的第一数据控制器获得数据对象。所述数据对象具有第一数据控制器的加密完整性签名。处理电路被配置为使数据控制器获得标识在第二网络域中数据对象的许可处理的标识符。

根据第八方面，提出了一种用于处理网络域之间的数据对象的传输的第二网络域的数据控制器。数据控制器包括处理电路和计算机程序产品。所述计算机程序产品存储指令，所述指令在被处理电路执行时使数据控制器从第一网络域的第一数据控制器获得数据对象。所述数据对象具有第一数据控制器的加密完整性签名。所述计算机程序产品存储指令，所述指令在被处理电路执行时使数据控制器获得标识在第二网络域中数据对象的许可处理的标识符。

根据第九方面，提出了一种用于处理网络域之间的数据对象的传输的第二网络域的数据控制器。数据控制器包括获得模块，该获得模块被配置为从第一网络域的第一数据控制器获得数据对象。所述数据对象具有第一数据控制器的加密完整性签名。数据控制器包括获得模块，该获得模块被配置为获得标识在第二网络域中数据对象的许可处理的标识符。

根据第十方面，提出了一种用于处理网络域之间的数据对象的传输的计算机程序，所述计算机程序包括计算机程序代码，所述计算机程序代码当在第二网络域的数据控制器的处理电路上运行时，使数据控制器执行根据第六方面所述的方法。

根据第十一方面，提出了一种包括根据第五方面和第十方面中的至少一个方面的计算机程序和存储计算机程序的计算机可读存储介质的计算机程序产品。计算机可读存储介质可以是非暂时性的计算机可读存储介质。

有利地，这些方法、这些数据控制器和这些计算机程序提供了网络域之间的数据对象的有效传输。

有利地，这些方法、这些数据控制器和这些计算机程序提供了对网络域之间的数据对象的移动的有效监测。

有利地，这些方法、这些数据控制器和这些计算机程序提供了对网络域之间的数据对象的移动的有效控制。

有利地，这些方法、这些数据控制器和这些计算机程序提供了对数据对象所绑定的网络域进行评估的可能性，而不会泄露数据对象的信息内容。

有利地，这些方法、这些数据控制器和这些计算机程序提供了定义网络域之间的数据传输的多级安全控制的可能性。

有利地，这些方法、这些数据控制器和这些计算机程序提供了数据对象中包含的信息的增强标记，例如，使用ksi签名，其可以作为数据对象的组成部分包含在内或者作为与数据对象相关联的元数据的一部分包含在内。

应当注意，在适当的情况下，可以将第一、第二、第三、第四、第五、第六、第七、第八、第九、第十和第十一方面的任何特征应用于任何其他方面。同样，第一方面的任何优点可以等同地适用于第二、第三、第四、第五、第六、第七、第八、第九、第十和/或第十一方面，反之亦然。通过以下详细公开、所附从属权利要求以及附图，所附实施例的其他目的、特征和优点将变得显而易见。

一般地，除非本文另有明确说明，否则权利要求中使用的所有术语根据其技术领域中的普通含义来解释。除非另有明确说明，否则对“一/一个/所述元件、设备、组件、装置、步骤等”的所有引用应被开放地解释为指代元件、设备、组件、装置、步骤等中的至少一个实例。除非明确说明，否则本文公开的任何方法的步骤不必以所公开的确切顺序来执行。

附图说明

下面参照附图以示例方式描述本发明构思，附图中：

图1、图2、图3和图4是示出了根据实施例的包括网络域的通信网络的示意图；

图5、图6、图7和图8是根据实施例的方法的流程图；

图9a是示出了根据实施例的数据控制器的功能单元的示意图；

图9b是示出了根据实施例的数据控制器的功能模块的示意图；以及

图10示出了根据实施例的包括计算机可读装置的计算机程序产品的一个示例。

具体实施方式

现在将在下文参考其中示出本发明的特定实施例的附图来更全面地描述本发明构思。然而，本发明构思可以按多种不同形式来体现，并且不应当被解释为受到本文阐述的实施例的限制。相反，通过示例给出这些实施例，使得本公开将透彻和完整，并且向本领域技术人员充分地传达本发明构思的范围。在说明书全文中，相似的标记指代相似的元素。由虚线示出的任何步骤或特征应当被视为可选的。

现在参考图1。图1是示出了可应用本文呈现的实施例的通信网络100a的示意图。通信网络100a包括网络域110a、110b、110c。每个网络域110a、110b、110c包括数据控制器200a、200b、200c。下面将提供数据控制器200a、200b、200c的细节。

通信网络100a还包括无密钥签名基础设施(ksi)120。一般而言，ksi是用于提供时间戳和完整性验证服务的全球分布式系统。ksi仅使用哈希函数加密，允许验证仅依赖于哈希函数的安全性以及通常称为区块链的公共分类帐的可用性。通信网络100a还包括中央存储库130。中央存储库130充当全局网络规则集实例，并且包括网络域110a、110b、110c的策略规则。策略规则定义允许和不允许网络域110a、110b、110c之间的数据对象的传输。策略规则还可以定义与网络域110a、110b、110c之间的数据对象的传输延迟相关的控制，直到已经经过定义的宽限期为止，和/或如果数据对象的存在时间已经超过预定义的时间长度，则允许数据对象的传输。借助于中央存储库130，全局网络规则集被分发到数据控制器200a、200b、200c中的策略信息点(见下文)。

数据对象是指经定义的数据片段，其受特定网络域110a、110b、110c之间的传输的限制约束。

数据控制器200a、200b、200c是指被配置为由其自身或与至少一个其他数据控制器一起来确定数据对象的处理的目的和方法的设备。

给定数据控制器200a、200b、200c的网络域110a、110b、110c是指网络100a的一部分，该给定数据控制器的权限的范围在该部分上。

数据主权涉及已经转换并以二进制数字形式存储为数据对象的信息概念，其中数据对象受其所在网络域的规则约束，或者在适用的情况下受与网络域内数据对象的位置相关的治理限制约束。

位置标签是指指示已在哪个网络域中处理数据对象的信息。

域签名是指将位置标签绑定到数据对象的唯一标识符。

加密完整性签名是指唯一标识符，使得以不可信的方式证明域签名成为可能。

数字签名(ds)模块是指通过使用ksi120来验证数据对象的完整性的实体。

监测是指由本地监测器模块执行的动作，用于基于通知信息监督受特定网络域约束的数据对象不从该特定网络域向另一网络域传输。

在本地监测器模块中提供的策略信息点(pip)模块从跟踪器模块接收对数据对象的预期传输的指示，并分析是否在网络域之间进行传输，然后将该信息传递给执行器模块。每个策略信息点包括用于允许和不允许在网络域之间传输数据对象的本地规则库。

本地监测器模块中提供的策略决策点(pdp)模块基于从策略信息点接收的信息来决定允许还是不允许数据对象的传输。

由执行器模块提供的策略执行点(pep)模块位于每个网络域中，并且基于来自策略决策点的输入来插入域签名并验证域签名的完整性。

跟踪是指由跟踪器模块执行的动作，用于保持跟踪受从给定网络域向外传输的限制约束的数据对象，以及用于在从给定网络域传输数据对象时通知监测系统。跟踪器模块位于数据对象可以跨越的每个网络域边界处。跟踪器模块基于连接点的数据库向本地监测器模块指示数据对象将从何处移动到何处以及将数据对象与位置标签相关联。

数据泄漏(或丢失)防止(dlp)是指被配置为在使用中、在传输中或在休息时检测和/或防止向给定网络域传输数据对象和/或从给定网络域传输数据对象的技术系统。数字版权管理(drm)是指被配置为限制对专有或受版权保护的数据对象的使用、传输和/或修改的技术系统。drm和dlp都无法对数据对象的网络域位置和其他元数据提供监测、控制和透明评估。

因此，本文公开的实施例涉及用于处理网络域110a、110b、110c之间的数据对象的传输的机制。为了获得这种机制，提供了第一网络域110a的数据控制器200a、由第一网络域110a的数据控制器200a执行的方法、包括代码的计算机程序产品(例如以计算机程序的形式)，所述代码当在第一网络域110a的数据控制器200a的处理电路上运行时，使第一网络域110a的数据控制器200a执行该方法。为了获得这种机制，还提供了第二网络域110b、110c的数据控制器200b、200c、由第二网络域110b、110c的数据控制器200b、200c执行的方法、以及包括代码的计算机程序产品(例如，以计算机程序的形式)，所述代码当在第二网络域110b、110c的数据控制器200b、200c的处理电路上运行时，使第二网络域110b、110c的数据控制器200b、200c执行该方法。

图5和图6是示出了由第一网络域110a的数据控制器200a执行的用于处理网络域110a、110b、110c之间的数据对象的传输的方法的实施例的流程图。图7和图8是示出了由第二网络域110b、110c的数据控制器200b、200c执行的用于处理网络域110a、110b、110c之间的数据对象的传输的方法的实施例的流程图。这些方法有利地被作为计算机程序420a、420b来提供。

现在参考图5，其示出了根据一个实施例的由第一网络域110a的数据控制器200a执行的用于处理网络域110a、110b、110c之间的数据对象的传输的方法。因此，数据控制器200a将被表示为第一数据控制器200a(而第二网络域110b、110c的数据控制器200b、200c将被表示为第二数据控制器200b、200c)。

s102：第一数据控制器200a获得向第二网络域110b、110c的第二数据控制器200b、200c传输数据对象的请求。下面将公开这种请求的不同示例。

在使数据对象可供第二数据控制器200b、200c使用之前，第一数据控制器200a检查允许哪种类型的数据对象的传输，并因此执行步骤s106：

s106：第一数据控制器200a获得标识第一网络域110a和第二网络域110b、110c之间的数据对象的许可传输的标识符。

在获得标识符后，第一数据控制器200a对数据对象进行签名，如步骤s110：

s110：第一数据控制器200a向数据对象提供加密完整性签名。

然后，由第一数据控制器200a执行步骤s112来启用数据对象的传输：

s112：第一数据控制器200a根据标识符启用数据对象向第二网络域110b、110c的传输。

第一数据控制器200a可以有不同的方式来获得标识第一网络域110a和第二网络域110b、110之间的数据对象的许可传输的标识符。根据一个实施例，标识符是从第一网络域110a中的本地规则库获得的。这种本地规则库的一个示例是pip模块。相应地，第一数据控制器200a的pip模块可以从中央存储库130获取标识符。

根据一个实施例，还向数据对象提供标识符，并且标识符还可以标识在第二网络域110b、110c中数据对象的许可处理。然后可以向标识符提供加密完整性签名。

可以有不同的方式来提供加密完整性签名。根据一个实施例，加密完整性签名基于完整性保护或诸如无密钥签名基础设施(ksi)的区块链技术。

现在参考图6，其示出了根据另外的实施例的由第一网络域110a的数据控制器200a执行的用于处理网络域110a、110b、110c之间的数据对象的传输的方法。参照图5执行步骤s102、s106、s110和s112，因此省略了对其的重复描述。

在步骤s102中，第一数据控制器200a可以有不同的方式来获得请求。现在将依次描述与其相关的不同实施例。

根据第一实施例，从第二数据控制器200b、200c获得请求。因此，根据该实施例，第一数据控制器200a被配置为通过执行步骤s102a来获得向第二数据控制器200b、200c传输数据对象的请求：

s102a：第一数据控制器200a从第二数据控制器200b、200c获得向第二网络域110b、110c传输数据对象的请求。

根据第二实施例，从第一网络域110a中的本地发送功能获得请求。因此，根据该实施例，第一数据控制器200a被配置为通过执行步骤s102b来获得向第二数据控制器200b、200c传输数据对象的请求：

s102b：第一数据控制器200a从第一数据控制器200a的本地发送功能获得向第二网络域110b、110c传输数据对象的请求。

在启用数据对象向第二网络域110b、110c的传输之前，第一数据控制器200a可以有不同的方式来处理数据对象。根据一个实施例，第一数据控制器200a通过执行步骤s104和s108来将数据对象与位置标签相关联，并且提供加密域签名：

s104：第一数据控制器200a将数据对象与位置标签相关联。位置标签标识第一网络域110a。

s108：第一数据控制器200a基于标识符(如在步骤s106中获得的)提供将位置标签绑定到数据对象的加密域签名。

根据一个实施例，因此在步骤s102和步骤s106之间执行步骤s104，并且在步骤s106和步骤s110之间执行步骤s108。

可能存在不同类型的数据对象的许可传输。现在将依次描述与其相关的不同实施例。

根据一个实施例，许可传输包括：防止向第二网络域110b、110c传输数据对象；允许向第二网络域110b、110c传输数据对象；防止在第二网络域110b、110c传输中修改数据对象；允许在第二网络域110b、110c中修改数据对象；在向第二网络域110b、110c传输数据对象之前，需要在第一网络域110a中修改数据对象；或其任何组合。

关于在第二网络域110b、110c中执行的修改，许可传输可以与数据对象的许可处理相关联。根据另一实施例，数据对象的修改因此包括将至少第一数据对象部分和第二对象部分组合到数据对象中、在第二网络域110b、110c中对数据对象进行解密，或其任何组合。

数据对象的许可传输可以涉及在向第二网络域110b、110c传输数据对象之前在第一数据控制器200a处所需的修改。根据另一实施例，许可传输因此需要在向第二网络域110b、110c传输数据对象之前修改数据对象。

在向第二网络域110b、110c传输数据对象之前，需要在第一数据控制器200a处执行的所需修改可以存在不同的示例。根据另一实施例，许可处理要求在向第二网络域110b、110c传输数据对象之前，将数据对象划分为至少第一数据对象部分和第二对象部分、对数据对象进行加密、匿名化、假名化，或其任何组合。更详细地，数据对象可以被划分为至少第一数据对象部分和第二对象部分，以由第二网络域110b、110c中的单独接收机接收，使得第二网络域110b中没有单个接收机获得这样划分的数据对象的所有部分，或者一个第二网络域110b和另一个第二网络域110c接收相互不同的数据对象部分集。此外，可以单独地进一步修改至少第一数据对象部分和第二对象部分中的每一个；一些可以按原样传输，一些经加密，一些经匿名化，或者以其他方式修改。

可以有不同的方式来启用数据对象向第二网络域110b、110c的传输，如步骤s112。现在将公开涉及这些方式的不同实施例。

根据第一实施例，数据对象被传输，因此第一数据控制器200a被配置为作为步骤s112的一部分，执行步骤s112a以启用数据对象的传输：

s112a：第一数据控制器200a向第二网络域110b、110c传输数据对象。

根据第二实施例，数据对象被防止传输，因此第一数据控制器200a被配置为作为步骤s112的一部分，执行步骤s112b以启用数据对象的传输：

s112b：第一数据控制器200a防止向第二网络域110b、110c传输数据对象。

第一数据控制器200a可以有不同的方式来处理被防止向第二网络域110b、110c传输的数据对象仍被传输到第二网络域110b、110c或以其他方式可供第二网络域110b、110c使用的场景。根据一个实施例，第一数据控制器200a被配置为如果不允许传输数据对象，则通过执行步骤114和s116，发布违规通知：

s114：第一数据控制器200a从所述第二数据控制器200b、200c获得已经发生了要防止向所述第二网络域110b、110c传输数据对象所针对的数据对象的传输的通知。

s116：第一数据控制器200a响应于已经获得通知而发布消息。

现在参考图7，其示出了根据一个实施例的由第二网络域110b、110c的数据控制器200b、200c执行的用于处理网络域110a、110b、110c之间的数据对象的传输的方法。因此，数据控制器200b、200c将被表示为第二数据控制器200b、200c(而第一网络域110a的数据控制器200a将被表示为第一数据控制器200a)。

如上面参考步骤s112a所公开的，在实施例中，第一数据控制器200a向第二网络域110b、110c传输数据对象。假设第二数据控制器200b、200c获得经传输的数据对象，因此被配置为执行步骤s204：

s204：第二数据控制器200b、200c从网络域110a的第一数据控制器200a获得数据对象。如上所述，所述数据对象和标识符具有第一数据控制器200a的加密完整性签名。

上面提供了如何提供加密完整性签名的示例。因此，根据一个实施例，加密完整性签名基于完整性保护或诸如无密钥签名基础设施(ksi)的区块链技术。

第二数据控制器200b、200c需要知道允许数据对象的哪种处理，因此被配置为执行步骤s206：

s206：第二数据控制器200b、200c获得标识在第二网络域110b、110c中数据对象的许可处理的标识符。

可以有不同的方式使第二数据控制器200b、200c获得标识在第二网络域110b、110c中数据对象的许可处理的标识符。根据第一实施例，从第二网络域110b、110c中的本地规则库获得标识符。这种本地规则库的一个示例是pip模块。相应地，第二数据控制器200b、200c的pip模块可以从中央存储库130获取标识符。根据第二实施例，从第一数据控制器200a获得标识符。在后一种情况下，标识符可以与数据对象一起提供，并且被提供有第一数据控制器200a的加密完整性签名。在从本地规则库和第一数据控制器200a二者获得标识符的情况下，由本地规则库定义的处理优先。

现在参考图8，其示出了根据另外的实施例的由第二网络域110b、110c的数据控制器200b、200c执行的用于处理网络域110a、110b、110c之间的数据对象的传输的方法。参照图7执行步骤s204和s206，因此省略了对其的重复描述。

如上所述，第一数据控制器200a在步骤s102中获得请求的一种方式是从第二数据控制器200b、200c获得请求。因此，根据一个实施例，第二数据控制器200b、200c被配置为执行步骤s202：

s202：第二数据控制器200b、200c向第一数据控制器200a提供向第二网络域110b、110c传输数据对象的请求。

可以存在不同类型的在第二网络域110b、110c中数据对象的许可处理。根据一个实施例，许可处理包括：防止向第二网络域110b、110c传输数据对象；允许向第二网络域110b、110c传输数据对象；防止在第二网络域110b、110c传输中修改数据对象；允许在第二网络域110b、110c中修改数据对象；或其任何组合。

所述数据对象具有加密完整性签名。因此，第二数据控制器200b、200c可以被配置为通过执行步骤s208来检查完整性签名未被篡改：

s208：第二数据控制器200b、200c验证加密完整性签名。

在从第一数据控制器200a获得数据对象之后，并且可选地在也已验证加密完整性签名之后，第二数据控制器200b、200c可以如步骤s210来处理数据对象：

s210：第二数据控制器200b、200c根据(如步骤s206中获得的)标识符在第二网络域110b、110c中处理数据对象。

第二数据控制器200b、200c可以有不同的方式来在第二网络域110b、110c中处理数据对象。根据一个实施例，第二数据控制器200b、200c被配置为通过执行步骤s210a来在步骤s210中处理数据对象：

s210a：第二数据控制器200b、200c根据标识符修改数据对象。

第二数据控制器200b、200c可以有不同的方式来修改数据对象。根据一个实施例，第二数据控制器200b、200c被配置为通过执行步骤s210aa、s210ab中的任何步骤来在步骤s210a中修改数据对象：

s210aa：第二数据控制器200b、200c将数据对象的至少第一数据对象部分与数据对象的第二对象部分组合成数据对象。因此，该实施例对应于第一数据控制器200a在向第二网络域110b、110c传输数据对象之前已将数据对象划分为第一数据对象部分和第二对象部分的情况。如上所述，数据对象的每个部分可以被提供给第二网络域110b、110c中的不同接收机，因此第二数据控制器200b、200c可以包括用于接收数据对象的不同部分的若干接收机。

s210ab：第二数据控制器200b、200c对数据对象进行解密。因此，该实施例对应于第一数据控制器200a在向第二网络域110b、110c传输数据对象之前已对数据对象进行加密的情况。

此外，在数据对象已被假名化的情况下，第二数据控制器200b、200c可被配置为对数据对象进行去假名化。

如果不允许向第二网络域110b、110c传输数据对象，则修改可能涉及丢弃数据对象。根据一个实施例，第二数据控制器200b、200c因此被配置为通过执行步骤s210b来在步骤s210中处理数据对象：

s210b：当根据许可处理，要防止向第二网络域110b、110c传输数据对象时，第二数据控制器200b、200c丢弃数据对象。

一旦丢弃了数据对象，第二数据控制器200b、200c可以有不同的方式来动作。例如，第二数据控制器200b、200c可以通知第一数据控制器200a。根据一个实施例，第二数据控制器200b、200c因此被配置为通过执行步骤s210c来在步骤s210中处理数据对象：

s210c：第二数据控制器200b，200c通知第一数据控制器200a已经发生了要防止向所述第二网络域110b、110c传输数据对象所针对的数据对象的传输。

现在，将详细公开基于至少一些上述公开的实施例的由第一网络域110a的数据控制器200a和第二网络域110b的数据控制器200b执行的用于处理网络域110a、110b之间的数据对象的传输的第一特定实施例。

这里具体参考图2。图2是示出了作为图1的通信网络100a的一部分的通信网络100b的示意图。因此省略了对通信网络100b的元件的重复描述。

该第一特定实施例涉及允许从网络域110a和网络域110b传输数据对象的场景。

s301：第一数据控制器200a从本地数据库读取数据对象，并使用第一数据控制器200a中的ksi通过数字签名模块验证数据对象的完整性。

s302：第一数据控制器200a将数据对象从数据库提供给第一数据控制器200a中的跟踪器模块。

s303：第一数据控制器200a中的跟踪器模块向第一数据控制器200a中的本地监测器模块指示数据对象来自何处(即，来自哪个网络域)以及数据对象将向何处(即，哪个网络域)传输。跟踪器模块将位置标签与数据对象相关联。

s304：第一数据控制器200a中的策略决策点模块从第一数据控制器200a中的策略信息点模块(充当本地规则库)读取数据对象的允许/不允许处理。策略决策点模块分析将在有还是没有修改的情况下在网络域之间传输数据对象，然后将信息传递给第一数据控制器200a中的执行器模块。

s305：执行器模块基于从策略决策点模块传递的信息，通过将域签名绑定到对象的位置标签来插入域签名，并且如果允许传输经修改的数据对象，则执行器模块相应地修改数据对象。

s306：策略决策点模块通过将加密完整性签名绑定到域签名来将加密完整性签名绑定到数据对象以对域签名进行完整性保护。

s307：第一数据控制器200a向第二网络域110b提供数据对象。

s308：第二数据控制器200b中的跟踪器模块获得数据对象和域签名。

s309：跟踪器模块将域签名传递给第二数据控制器200b中的本地监测器模块，以获得数据对象来自何处(即，来自哪个网络域)以及数据对象将向何处(即，哪个网络域)传输的信息。

s310：第二数据控制器200b中的策略决策点模块从第二数据控制器200b中的策略信息点模块(充当本地规则库)读取数据对象的允许/不允许处理。策略决策点模块分析数据对象是在有还是没有修改的情况下在网络域之间传输的，然后将信息传递给第二数据控制器200b中的执行器模块。

s311：执行器模块基于从第二数据控制器200b中的策略决策点模块接收的指令进行动作。如果允许传输经修改的数据对象，则执行器模块相应地修改数据对象。

s312：执行器模块通过验证加密完整性签名来验证域签名的完整性。

s313：跟踪器模块将数据对象与加密完整性签名一起传递给第二数据控制器200b中的数字签名模块。

s314：数字签名模块在将数据对象存储在本地数据库之前验证数据对象的完整性。

现在，将详细公开基于至少一些上述公开的实施例的由第一网络域110a的数据控制器200a和第二网络域110b的数据控制器200b执行的用于处理网络域110a、110b之间的数据对象的传输的第二特定实施例。

这里具体参考图3。图3是示出了作为图1的通信网络100a的一部分的通信网络100c的示意图。因此省略了对通信网络100c的元件的重复描述。

该第二特定实施例涉及允许从网络域110a和网络域110b传输数据对象(包括数据对象的修改)的场景。

s401：第一数据控制器200a从本地数据库读取数据对象，并使用第一数据控制器200a中的ksi通过数字签名模块验证数据对象的完整性。

s402：第一数据控制器200a将数据对象从数据库提供给第一数据控制器200a中的跟踪器模块。

s403：第一数据控制器200a中的跟踪器模块向第一数据控制器200a中的本地监测器模块指示数据对象来自何处(即，来自哪个网络域)以及数据对象将向何处(即，哪个网络域)传输。跟踪器模块将位置标签与数据对象相关联。

s404：第一数据控制器200a中的策略决策点模块从第一数据控制器200a中的策略信息点模块(充当本地规则库)读取数据对象的允许/不允许处理。策略决策点模块分析将在有还是没有修改的情况下在网络域之间传输数据对象，然后将信息传递给第一数据控制器200a中的执行器模块。

当允许传输经修改的数据对象时，策略信息点模块提供允许如何修改数据对象的规则。一个示例涉及数据对象是否应在传输之前被划分为较小的数据对象。一个示例涉及哪些较小的数据对象允许在网络域之间传输，以及哪些较小的数据对象不允许在网络域之间传输。一个示例涉及数据对象(例如，隐私相关数据对象)是否应在传输之前进行匿名化或假名化。一个示例涉及是否应在向另一网络域传输数据对象之前，对数据对象进行加密。

s405：执行器模块基于从策略决策点模块传递的信息，通过将域签名绑定到对象的位置标签来插入域签名，并且如果允许传输经修改的数据对象，则执行器模块相应地修改数据对象。

s406：策略决策点模块通过将加密完整性签名绑定到域签名来将加密完整性签名绑定到数据对象以对域签名进行完整性保护。

s407：第一数据控制器200a向第二网络域110b提供数据对象。

s408：第二数据控制器200b中的跟踪器模块获得数据对象和域签名。

s409：跟踪器模块将域签名传递给第二数据控制器200b中的本地监测器模块，以获得数据对象来自何处(即，来自哪个网络域)以及数据对象将向何处(即，哪个网络域)传输的信息。

s410：第二数据控制器200b中的策略决策点模块从第二数据控制器200b中的策略信息点模块(充当本地规则库)读取数据对象的允许/不允许处理。策略决策点模块分析数据对象是在有还是没有修改的情况下在网络域之间传输的，然后将信息传递给第二数据控制器200b中的执行器模块。

当允许传输经修改的数据对象时，策略信息点模块提供允许如何修改数据对象的规则。一个示例涉及数据对象在传输之前是否被划分为较小的数据对象，以及因此是否要组合较小的对象。一个示例涉及向网络域传输之前数据对象是否已被加密，以及因此是否要对数据对象进行解密。如果数据对象应当被加密但是由第二数据控制器200b获得的数据对象是未加密的，则第二数据控制器200b可以丢弃数据对象。

s411：执行器模块基于从第二数据控制器200b中的策略决策点模块接收的指令进行动作。如果允许传输经修改的数据对象，则执行器模块相应地修改数据对象。

s412：执行器模块通过验证加密完整性签名来验证域签名的完整性。

s413：跟踪器模块将数据对象与加密完整性签名一起传递给第二数据控制器200b中的数字签名模块。

s414：数字签名模块在将数据对象存储在本地数据库之前验证数据对象的完整性。

现在，将详细公开基于至少一些上述公开的实施例的由第一网络域110a的数据控制器200a和第二网络域110c的数据控制器200c执行的用于处理网络域110a、110c之间的数据对象的传输的第三特定实施例。

这里具体参考图4。图4是示出了作为图1的通信网络100a的一部分的通信网络100d的示意图。因此省略了对通信网络100d的元件的重复描述。

该第三特定实施例涉及不允许从网络域110a和网络域110c传输数据对象的场景。

s501：第一数据控制器200a从本地数据库读取数据对象，并使用第一数据控制器200a中的ksi通过数字签名模块验证数据对象的完整性。

s502：第一数据控制器200a将数据对象从数据库提供给第一数据控制器200a中的跟踪器模块。

s503：第一数据控制器200a中的跟踪器模块向第一数据控制器200a中的本地监测器模块指示数据对象来自何处(即，来自哪个网络域)以及数据对象将向何处(即，哪个网络域)传输。跟踪器模块将位置标签与数据对象相关联。

s504：第一数据控制器200a中的策略决策点模块从第一数据控制器200a中的策略信息点模块(充当本地规则库)读取数据对象的允许/不允许处理。策略决策点模块分析将在有还是没有修改的情况下在网络域之间传输数据对象，然后将信息传递给第一数据控制器200a中的执行器模块。

s505：如果不允许传输数据对象，则执行器模块将丢弃数据对象传输并产生数据丢弃消息。

在下文中，在步骤s506-s511中假设仍然向第二网络域110c传输数据对象，尽管应当防止这种传输。为了本描述的完整，以及为了描述当获得不允许向第二数据控制器200c的网络域110c传输的数据对象时第二数据控制器200c所执行的操作，提供了步骤s506-s511。更详细地，可以执行由第二数据控制器200c执行的步骤s508-s511，以便检测未授权地向第二网络域110c传输数据对象的尝试。

s506：策略决策点模块通过将加密完整性签名绑定到数据对象来对域签名进行完整性保护。

s507：第一数据控制器200a向第二网络域110c提供数据对象。

s508：第二数据控制器200b中的跟踪器模块获得数据对象和域签名。

s509：跟踪器模块将域签名传递给第二数据控制器200c中的本地监测器模块，以获得数据对象来自何处(即，来自哪个网络域)以及数据对象将向何处(即，哪个网络域)传输的信息。

s510：第二数据控制器200b中的策略决策点模块从第二数据控制器200b中的策略信息点模块(充当本地规则库)读取数据对象的允许/不允许处理。策略决策点模块分析数据对象是在有还是没有修改的情况下在网络域之间传输的，然后将信息传递给第二数据控制器200b中的执行器模块。

s511：执行器模块基于从第二数据控制器200b中的策略决策点模块接收的指令进行动作。如果不允许传输数据对象，则执行器模块丢弃数据对象并生成数据丢弃消息。

图9a中以多个功能单元的方式示意性地示出了根据实施例的数据控制器200a、200b、200c的组件。数据控制器200a、200b、200c被配置为选择性地充当第一网络域110a的数据控制器200a并且充当第二网络域110b、110c的数据控制器200b、200c。

使用能够执行计算机程序产品310a、310b(如图10中)(例如，具有存储介质230的形式)中存储的软件指令的合适的中央处理单元(cpu)、多处理器、微控制器、数字信号处理器(dsp)等中的一种或多种的任意组合来提供处理单元210。处理电路210还可以被提供为至少一个专用集成电路(asic)或现场可编程门阵列(fpga)。

具体地，处理电路210被配置为使数据控制器200a、200b、200c执行一组操作或步骤s102-s210，如上所述。例如，存储介质230可以存储该组操作，并且处理电路210可以被配置为从存储介质230获取该组操作，以使数据控制器200a、200b、200c执行该组操作。该组操作可以被提供为一组可执行指令。处理电路210由此被布置为执行本文公开的方法。

存储介质230还可以包括持久存储设备，其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装的存储器中的任意单独一个或组合。

数据控制器200a、200b、200c还可以包括用于至少与另一数据控制器200a、200b、200c进行通信的通信接口220。由此，通信接口220可以包括一个或多个发送机和接收机，发送机和接收机包括模拟和数字组件和合适数量的无线通信天线和有线通信端口。

处理电路210例如通过向通信接口220和存储介质230发送数据和控制信号，通过从通信接口220接收数据和报告，以及通过从存储介质230中获取数据和指令来控制数据控制器200a、200b、200c的总体操作。省略了数据控制器200a、200b、200c的其他组件以及相关功能以不使本文提出的概念模糊。

图9b以多个功能模块的方式示意性地示出了根据实施例的数据控制器200a、200b、200c的组件。

第一网络域110a的数据控制器200a包括多个功能模块；被配置为执行步骤s102的获得模块210a、被配置为执行步骤s106的获得模块210b、被配置为执行步骤s110的提供模块210c以及被配置为执行步骤s112的启用模块210d。第一网络域110a的数据控制器200a还可以包括多个可选功能模块，例如以下任何模块：被配置为执行步骤s102a的获得模块210e、被配置为执行步骤s102b的获得模块210f、被配置为执行步骤s104的关联模块210g、被配置为执行步骤s108的提供模块210h、被配置为执行步骤s112a的传输模块210i、被配置为执行步骤s112b的防止模块210j、被配置为执行步骤s114的获得模块210k以及被配置为执行步骤s116的发布模块2101。

第二网络域110b、110c的数据控制器200b、200c包括被配置为执行步骤s204的获得模块210m和被配置为执行步骤s206的获得模块210v。第二网络域110b、110c的数据控制器200b、200c还可以包括多个可选功能模块，例如以下任何模块：被配置为执行步骤s202的提供模块210n、被配置为执行步骤s208的验证模块210o、被配置为执行步骤s210的处理模块210p、被配置为执行步骤s210a的修改模块、被配置为执行步骤s210aa的组合模块210r、被配置为执行步骤s210ab的解密模块210s、被配置为执行步骤s210b的丢弃模块210t以及被配置为执行步骤s210c的通知模块210u。

一般地，每个功能模块210a-210u可以在硬件或在软件中实现。优选地，一个或多个或所有功能模块210a-210u可以由处理电路210(可能与功能单元220和/或230协作)来实现。因此，处理电路210可以被布置为从存储介质230获取由功能模块210a-210u提供的指令，并且执行这些指令，由此执行本文所公开的任何步骤。

数据控制器200a、200b、200c可被提供为独立的设备或至少一个其他设备的一部分。备选地，数据控制器200a、200b、200c的功能可以分布在至少两个设备或节点之间。因此，由数据控制器200a、200b、200c执行的指令的第一部分可以在第一设备中执行，并且由数据控制器200a、200b、200c执行的指令的第二部分可以在第二设备中执行；本文公开的实施例不限于可以在其上执行由数据控制器200a、200b、200c执行的指令的任何特定数量的设备。因此，根据本文公开的实施例的方法适于由驻留在云计算环境中的数据控制器200a、200b、200c执行。因此，尽管在图9a中示出了单个处理电路210，但是处理电路210可以分布在多个设备或节点之间。这同样适用于图9b的功能模块210a-210u和图10的计算机程序320a、320b(见下文)。

图10示出了包括计算机可读装置330的计算机程序产品310a、310b的一个示例。在该计算机可读装置330上，可以存储计算机程序320a，该计算机程序320a可以使处理电路210和操作性地耦合到处理电路210的实体和设备(例如，通信接口220和存储介质230)执行根据本文描述的实施例的方法。因此，计算机程序320a和/或计算机程序产品310a可以提供用于执行本文公开的第一网络域110a的数据控制器200a的任何步骤的装置。在该计算机可读装置330上，可以存储计算机程序320b，该计算机程序320b可以使处理电路310和操作性地耦合到处理电路310的实体和设备(例如，通信接口320和存储介质330)执行根据本文描述的实施例的方法。因此，计算机程序320b和/或计算机程序产品310b可以提供用于执行本文公开的第二网络域110b、110c的数据控制器200b、200c的任何步骤的装置。

在图10的示例中，计算机程序产品310a、310b被示为光盘，例如cd(高密度盘)或dvd(数字多功能盘)或蓝光盘。计算机程序产品310a、310b还可以体现为存储器，例如随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom)、或电可擦除可编程只读存储器(eeprom)，以及更具体地实现为诸如usb(通用串行总线)存储器的外部存储器或诸如小型闪存的闪速存储器形式的设备的非易失性存储介质。因此，当计算机程序310a、320b在这里被示意性地示出为所描绘的光盘上的轨道时，计算机程序320a、320b可以以适合于计算机程序产品310a、310b的任何方式存储。

以上已经参考一些实施例主要地描述了发明构思。然而，本领域技术人员容易理解的是：上述公开之外的在如由所附专利权利要求所限定的发明构思的范围之内的其它实施例同样是可能的。