Служба репутации контента на основе декларации

ПРЕДШЕСТВУЮЩИЙ УРОВЕНЬ ТЕХНИКИ

Для того чтобы гарантировать, что цифровые данные соответствуют политикам бизнеса, обеспечения безопасности и другим политикам, тенденцией в последние годы было подвергать такие данные непрерывно увеличивающемуся числу процессов оценки перед осуществлением доступа. Примеры таких процессов включают в себя «санитарные» сканирования (на наличие вирусов), фильтрацию, классификации и анализ данных. В частности интенсивные в вычислительном отношении операции могут включать в себя, например, сканирования на наличие вируса/программы-шпиона, обнаружение спама, обнаружения ключевых слов, обнаружение вредоносных/ненадлежащих/запрещенных универсальных указателей информационных ресурсов (URL), предотвращение утечки данных, классификацию данных и т.д.

Число технологий сканирования/классификации, которым должна подвергаться порция контента, продолжало увеличиваться со временем. Кроме того, размер типичной порции контента, которая нуждается в сканировании, изменился в большую сторону и не показал признака стабилизации. Обе эти тенденции имеют результатом постоянно увеличивающийся объем ресурсов компьютера (центрального процесса (ЦП, CPU), памяти, полосы частот сети и т.д.), которые необходимы для выполнения сканирования/классификации.

Проблема дополнительно осложняется фактом, что данные обычно должны многократно повторно анализироваться, повторно сканироваться и/или повторно классифицироваться различными продуктами обеспечения безопасности и соответствия, если перемещаются внутри или по сетям компьютеров. Эти продукты обычно устанавливаются на настольных компьютерах, блокнотных компьютерах типа «ноутбук», различных серверах (подобных почтовому, файловому, обеспечения сотрудничества и т.д.) и службах в «облаке». Поскольку данные проходят каждую точку из этих точек маршрута, одинаковые, интенсивные в вычислительном отношении операции часто выполняются еще и еще раз. Это имеет следствием сниженные производительность и пропускную способность системы и требует установки дополнительных аппаратных средств, программного обеспечения и т.д. В отношении услуг, дополнительные издержки могут оказывать прямое влияние на рентабельность услуги.

КРАТКОЕ ОПИСАНИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ

В некоторых вариантах осуществления изобретения система может содержать базу данных и один или несколько серверов. База данных может, например, сохранять множество деклараций контента для ранее оцененных элементов данных, причем каждая декларация из множества деклараций контента связывается в базе данных с соответствующим сохраненным цифровым «отпечатком» (идентификационной меткой) оцененного ранее элемента данных. Сервер(ы) может, например, конфигурироваться для приема определенного цифрового отпечатка элемента данных от клиентского устройства на другом сетевом узле, для подачи запроса к базе данных с использованием определенного цифрового отпечатка в качестве первичного ключа и для передачи одной или нескольких деклараций контента, возвращенных по запросу, на клиентское устройство.

В некоторых вариантах осуществления сервер(ы) может быть дополнительно сконфигурирован с возможностью принимать декларацию(и) контента и цифровой отпечаток, связанный с ней, от одного или нескольких компьютеров на другом сетевом узле и побуждать сохранение в базе данных принятой декларации(ий) контента и цифрового отпечатка, связанного с ней.

В некоторых вариантах осуществления клиентское устройство может содержать один или несколько компьютеров, сконфигурированных с возможностью обрабатывать элемент данных с помощью хеш-функции для определения цифрового отпечатка элемента данных, посылать на сервер(ы) первое сообщение, содержащее определенный цифровой отпечаток элемента данных, принимать от сервера(ов) второе сообщение, содержащее декларацию(и) контента, возвращенную по запросу, и принимать решение относительно того, каким образом далее обрабатывать элемент данных, на основании декларации(ий) контента, включенной во второе сообщение.

В некоторых вариантах осуществления способ идентификации одной или нескольких деклараций контента для элемента данных заключает в себе сравнение цифрового отпечатка элемента данных с сохраненным цифровым отпечатком, связанным с декларацией(ями) контента. Если определенный цифровой отпечаток совпадает с сохраненным цифровым отпечатком, то определяют, что одна или несколько деклараций контента связаны с определенным цифровым отпечатком элемента данных.

В некоторых вариантах осуществления один или несколько машиночитаемых носителей кодируются командами, которые при исполнении одним или несколькими процессорами на первом сетевом узле побуждают процессор(ы) выполнять способ идентификации одной или нескольких деклараций контента относительно элемента данных, который включает в себя этапы (a) сравнения определенного цифрового отпечатка элемента данных с сохраненным цифровым отпечатком, связанным с декларацией(ями) контента, и (b) если определенный цифровой отпечаток совпадает с сохраненным цифровым отпечатком, то определения того, что одна или несколько деклараций контента связаны с определенным цифровым отпечатком элемента данных.

В некоторых вариантах осуществления декларация(и) контента и цифровой отпечаток, связанный с ней, могут приниматься от одного или нескольких компьютеров на другом сетевом узле, и принятая декларация(и) контента и цифровой отпечаток, связанный с ней, могут быть хранимыми постоянно.

В некоторых вариантах осуществления определенный цифровой отпечаток может приниматься от одного или нескольких компьютеров в другом сетевом узле, и декларация(и) контента, определенная подлежащей связыванию с определенным цифровым отпечатком элемента данных, может передаваться на один или несколько компьютеров в другом сетевом узле.

В некоторых вариантах осуществления сертификат контента, включающий в себя и хранимый цифровой отпечаток, и декларацию(и) контента, может приниматься от одного или нескольких компьютеров в другом сетевом узле.

В дополнение к предшествующим иллюстративным вариантам осуществления или вместо них, одно или несколько из нижеследующих характеристик, признаков и/или функций могут быть дополнительно или альтернативно представлены или применены на практике согласно некоторым вариантам осуществления изобретения:

• Результаты «санитарии», фильтрации, классификации контента и других процессов анализа контента могут быть выражены в виде набора деклараций контента.

• формирование (цифровых) отпечатков может использоваться в качестве неагрессивного и надежного механизма для связывания деклараций контента с данными, которые были обработаны.

• Служба репутации контента может принять, агрегировать и сохранять декларации контента, поданные участвующими доверенными сторонами.

• Служба репутации контента может запрашиваться относительно деклараций, связанных с конкретной порцией данных.

• Существующие декларации контента могут объявляться недействительными, если изменяется конфигурация и/или политика безопасности, которая использовалась при выдаче этих деклараций.

• Чувствительные ко времени декларации могут быть аннулированы и удалены из базы данных службы репутации при истечении заранее заданного периода времени.

• Служба репутации контента может быть независимой от форматов данных, являющихся защищаемыми. Например, когда вычисляется цифровой отпечаток, данные можно интерпретировать просто как поток байтов, а не как данные конкретного формата, так что сведения о форматах данных системе не требуются.

• Служба репутации контента может быть независимой от транспортных протоколов, используемых для переноса данных.

• Служба репутации контента может быть независимой от типа хранилища, где хранятся данные.

• Со службой репутации контента можно осуществлять связь (с целью подачи и запроса деклараций), используя различные сетевые протоколы.

• Использование службы репутации контента может обеспечить, что декларации, которые были созданы для файла (или другого цифрового контента), будут связываться со всеми другими копиями того же файла.

• Экспортирование набора деклараций контента и запись его состояния (сериализация) в защищенный и верифицируемый "сертификат контента" могут позволять его передачу заинтересованным сторонам, которые по некоторым причинам не могут осуществлять связь непосредственно со службой репутации (или вовсе не осведомлены о ней). Система может, например, использовать в качестве средства известные и принятые, основанные на стандартах технологии, чтобы форматировать и защищать такой сертификат контента. Клиентское приложение может, например, быть способным связывать сертификат контента с данными, для которых он был выдан, а также считывать одну или несколько деклараций относительно таких данных.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Не подразумевается, что сопроводительные чертежи вычерчены в масштабе. На чертежах каждый идентичный или почти идентичный компонент, который иллюстрируется на различных фигурах, представлен сходной числовой позицией. В целях ясности не каждый компонент может помечаться позицией на каждом чертеже.

На чертежах:

Фиг.1 - схема, показывающая иллюстративный пример сети, в которой различные клиенты могут осуществлять доступ к службе репутации контента;

Фиг.2 - иллюстративный пример процедуры, которую клиент может исполнять, чтобы подать одну или несколько деклараций на службу репутации контента;

Фиг.3 - иллюстративный пример процедуры, которую клиент может исполнять для приема одной или нескольких существующих деклараций, сохраняемых службой репутации контента;

Фиг.4 - концептуальное представление набора деклараций, включая фактические данные декларации для изображения;

Фиг.5 - иллюстративный пример процедуры, которая может исполняться сервером службы репутации контента, чтобы обрабатывать клиентский запрос на подачу декларации;

Фиг.6 - иллюстративный пример процедуры, которую сервер службы репутации контента может исполнять, чтобы обрабатывать клиентский запрос для извлечения и возврата декларации контента; и

Фиг.7 - иллюстративный пример того, как может выглядеть набор деклараций, показанный на Фиг.4, если экспортируется в качестве сертификата контента.

ПОДРОБНОЕ ОПИСАНИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ

Авторы установили, что выполняемое существующими системами избыточное сканирование имеет место, поскольку прикладная программа или служба, исполняющаяся на одном компьютере, неспособна использовать результаты, которые создавались другими приложениями (исполняющимися на том же компьютере или на одном или нескольких различных компьютерах) над тем же контентом. Антивирусные приложения являются хорошим примером. В существующих системах файл (и возможно его идентичные копии), перемещающийся внутри организации, обычно должен многократно сканироваться, если он перемещается между различными компьютерами и серверами (электронной почты, файловым, обеспечения сотрудничества и т.д.). Заявители дополнительно установили, что такие повторные сканирования и классификация могут избегаться, например, путем обеспечения защищенного способа совместного использования результатов предшествующих сканирований и классификаций со всеми экземплярами того же приложения или службы и других заинтересованных сторон, которые могут использовать эти результаты.

В некоторых вариантах осуществления настоящего изобретения результаты сканирований, классификаций или любых других операций, выполняемых над цифровым контентом, могут сохраняться в виде набора деклараций контента в централизованном репозитории (хранилище), являющемся доступным заинтересованным сторонам, таким образом, что декларации связываются с данными, по которым они формировались. В некоторых вариантах осуществления, например, это может выполняться благодаря использованию централизованной службы репутации контента, которая является доступной по сети. Такой механизм может позволять, что будущие повторные сканирования и/или повторные классификации неизмененных (или дублированных) данных избегаются полностью или, по меньшей мере, частично. В некоторых вариантах осуществления результаты (наборы деклараций) могут храниться отдельно от данных, к которым относится декларация, и процесс не потребует каких-либо модификаций для самих данных. Такое решение может таким образом обеспечить целостность и аутентичность любых выданных деклараций.

В некоторых вариантах осуществления результаты для различных типов контента на основании технологий «санитарии» и/или фильтрации, которые выполняются в течение анализа/контроля/сканирования контента, могут быть сделаны доступными в виде набора деклараций контента. Доверенные службы и приложения могут, например, подавать результаты своих операций на службу репутации контента для хранения наряду с идентификатором, который может использоваться впоследствии для доступа к таким результатом. В некоторых вариантах осуществления, например, цифровой отпечаток для оцененного контента может использоваться в качестве такового идентификатора. Любая участвующая сторона может после этого запросить существующие декларации для заданной порции цифрового контента путем вычисления цифрового отпечатка рассматриваемых данных (или иного определения идентификатора) и посылки его в виде части запроса на службу репутации контента. Служба репутации контента может затем возвратить декларации (если имеются), связанные с данными, на запрашивающий узел. Служба репутации контента может, например, сохранять декларации в реляционной базе данных, которая использует идентификатор в качестве ключа.

Подобный способ может таким образом позволять, чтобы декларации контента повторно использовались в будущее время для различного назначения. Одно такое назначение может состоять в возможности избегать повторный анализ/контроль/сканирование данных, когда они не изменяются, если они проходят компьютеры в сети. Другое такое назначение может состоять в предоставлении возможности потребителям данных для принятия верифицируемых доверительных решений, используя набор деклараций контента. Еще одно назначение может состоять в уменьшении потребления ресурсов компьютера, используемых для «санитарии», фильтрации, классификации и других проверок контента по сети. Кроме того, в некоторых вариантах осуществления, анализ деклараций контента, находящихся в базе данных службы репутации контента, может предоставить приемлемую статистическую информацию в отношении использования данных, географической миграции данных, источников инфекции и т.д.

На фиг.1 показан иллюстративный вариант осуществления системы 100, в которой на службу 102 репутации контента можно осуществлять доступ по сети 104. Как показано, служба 102 репутации контента может, например, содержать один или несколько серверов 106 (или другие вычислительные устройства) с наличием достаточных вычислительных возможностей для обработки запросов от всех из остальных устройств в системе 100, которым необходимо осуществлять доступ к службе 102. Вычислительные устройства службы 102 репутации контента могут принимать любую форму из многочисленных форм, в зависимости от операционных требований и масштаба системы 100, в которой она развернута, и изобретение не требует использования вычислительных устройств какого-либо конкретного типа или конфигурации. Для крупномасштабных реализаций могут, например, использоваться традиционные способы масштабирования и/или балансировки загрузки, чтобы распределять обработку запросов между различными серверами и/или другими вычислительными ресурсами, развернутыми в рамках службы 102.

База данных 108 может иметь любую форму из многочисленных форм и конфигураций, и изобретение не ограничивается использованием какого-либо конкретного типа базы данных. В некоторых вариантах осуществления, например, база данных 108 может быть реляционной базой данных, которая хранит и осуществляет доступ к одной или нескольким декларациям контента, связанным с конкретными порциями цифрового контента, используя ключи. В некоторых вариантах осуществления такие ключи могут, например, содержать цифровые отпечатки для цифрового контента, для которого служба поддерживает одну или несколько деклараций контента. В зависимости от соображений рабочей характеристики и размера базы данных могут использоваться различные таблицы и внешние ключи, чтобы улучшить рабочие характеристики. Например, в некоторых вариантах осуществления, таблица может отображать цифровые отпечатки на внутренние ключи идентификационных атрибутов, и каждый такой внутренний ключ идентификационных атрибутов может использоваться для осуществления доступа к одной или нескольким декларациям контента, связанным с ним. Следует оценить, однако, что в других вариантах осуществления база данных 108 может содержать любую другую архитектуру базы данных или механизм хранения данных, способный связывать идентификаторы (например, цифровые отпечатки) с соответствующими хранимыми декларациями. В некоторых вариантах осуществления декларации контента могут даже сохраняться в адресно-индексированном устройстве хранения, например накопителе на жестком диске или оперативном запоминающем устройстве (ОЗУ, RAM), и может использоваться таблица для отображения цифровых отпечатков (или прочего другого идентификатора) на адреса в памяти для соответствующих деклараций контента. Как используется в документе, термин "база данных" предназначен охватывать все такие архитектуры хранения.

Сеть 104 может быть любой из многочисленных сетей или группами сетей и изобретение не ограничивается использованием сети какого-либо конкретного типа конфигурации. Сеть 104 может, например, содержать локальную сеть, такую как используется в корпоративной среде, и/или глобальную сеть, такую как сеть Интернет. Любая архитектура сети и/или протокол связи могут использоваться в различных вариантах осуществления. Лишь несколько примеров подходящих сетей и протоколов включают в себя стандарт Ethernet, «маркерное кольцо», протокол управления передачей/Интернет-протокол (TCP/IP), протокол передачи гипертекста (HTTP), простой протокол доступа к объектам (SOAP), архитектуру передачи представительного состояния (REST), удаленный вызов процедуры (RPC), (стандарт расширяемого языка разметки) XML-RPC и т.д.

Как показано на фиг.1, в дополнение к самой службе 102 репутации контента, система 100 может дополнительно содержать различные клиенты, которые могут осуществлять связь со службой 102 по сети 104. Иллюстрируются несколько примеров вычислительных устройств, которые могут быть клиентами службы (например, поскольку они способны подавать декларации контента на службу 102 и/или способны осуществлять доступ к декларациям, поддерживаемым службой). Следует оценить, однако, что могут использоваться типы устройств в дополнение к показанным или вместо них, и изобретение не ограничивается использованием какого-либо конкретного типа устройства. В примере по фиг.1 иллюстрируемые клиенты включают в себя портативный компьютер 110, принтер/факс/сканер 112, сервер 114, настольный компьютер 116 и переносное вычислительное устройство (например, персональный цифровой ассистент (PDA), смартфон и т.д.) 118.

Как используется в настоящем документе, "сетевой узел" относится к устройству или группе устройств, которые имеют или совместно используют уникальный адрес, или компонент адреса, в сети. При некоторых обстоятельствах данный сетевой узел может содержать один или несколько подузлов. В таком случае один компонент сетевого адреса может однозначно идентифицировать узел в сети, а другой компонент адреса может однозначно идентифицировать каждый из подузлов. В примере по фиг.1 каждая единица из службы 102 репутации контента, портативного компьютера 110, принтера/факса/сканера 112, сервера 114, настольного компьютера 116 и переносного вычислительного устройства 118 может находиться в другом узле сети 104.

В некоторых вариантах осуществления служба 102 репутации контента может, например, принять, агрегировать, сохранить и предоставить по запросу декларации о цифровом контенте (файлах или любом другом типе данных). Кроме того, в некоторых вариантах осуществления, могут предприниматься шаги для обеспечения, что только доверенным сторонам позволяется подавать декларации на службу 102. В таких вариантах осуществления декларации, поданные от неизвестных или недоверенных клиентов, не будут приняты. В некоторых вариантах осуществления не имеется ограничений относительно того, каким клиентам разрешается просматривать существующие декларации.

Как отмечено выше, в некоторых вариантах осуществления декларации могут связываться с данными с помощью цифровых отпечатков. Вычисление цифрового отпечатка может выполняться любым из многочисленных способов, и изобретение не ограничивается каким-либо конкретным способом формирования отпечатков. В некоторых вариантах осуществления, например, цифровые отпечатки могут вычисляться с использованием криптографической хэш-функции. Такая реализация может обеспечить хорошее единообразие результирующих цифровых отпечатков и, в зависимости от используемой хэш-функции, может существенно минимизировать возможность коллизий (либо случайных, либо намеренных). Поскольку криптографическая хэш-функция является односторонней, является невозможным вывести исходный контент (или даже его характер) исходя из значения хэш-функции. Примерами подходящих хэш-функций являются функции по стандартному алгоритму шифрования методом хэширования SHA-1, SHA-256, и SHA-512. Следует оценить, однако, что другие способы формирования отпечатков могут дополнительно или альтернативно использоваться в некоторых вариантах осуществления. Например, для приложений, где безопасность данных не является предметом рассмотрения, может дополнительно или альтернативно использоваться некриптографическая хэш-функция.

Цифровые отпечатки могут в целом надежно определяться с минимальным вычислительным усилием, и одинаковая порция данных будет всегда выдавать одинаковый цифровой отпечаток. Соответственно, в вариантах осуществления, которые используют цифровые отпечатки в качестве идентификаторов деклараций, любая модификация по отношению к данным будет иметь результатом другой цифровой отпечаток и автоматически разорвет связь всех существующих деклараций с модифицированной копией файла.

На фиг.2 и 3 показаны примеры, каким образом клиенты могут использовать цифровые отпечатки при взаимодействии со службой 102 репутации контента. В частности, на фиг.2 показан иллюстративный пример процедуры, которую клиент (например, одно из вычислительных устройств 110, 112, 114, 116 и 118, показанных на фиг.1) может исполнять, чтобы подать одну или несколько деклараций на службу 102 репутации контента, и на фиг.3 показан пример процедуры, которую клиент может исполнять для приема одной или нескольких существующих деклараций, поддерживаемых службой 102. Иллюстрируемые процедуры, например, могут быть реализованы с использованием команд, хранимых в читаемом компьютером носителе, к которым процессор клиентской машины может осуществлять доступ и исполнять их.

Как показано на фиг.2, после обработки данных (например, выполнения сканирования на наличие вируса или вредоносного программного обеспечения, классификации данных и т.д.) (этап 202) клиент может создать одну декларацию или несколько деклараций, выражающих результаты обработки, которая была непосредственно выполнена (этап 204). После создания одной или нескольких деклараций клиент может вычислить цифровой отпечаток для данных (этап 206) и затем подать одну или несколько деклараций вместе с вычисленным цифровым отпечатком данных на службу 102 репутации контента, например, путем посылки сообщения на службу 102 через сеть 104 (этап 208). Как обсуждено дополнительно ниже, в некоторых вариантах осуществления такое сообщение может включать в себя цифровой сертификат клиентской стороны, подписанный доверенным центром сертификации (Certification Authority), идентифицирующий продукт, используемый для создания одной или нескольких деклараций. Такой способ может, например, помочь предотвращению потенциальных атак, намеренных испортить базу данных 108.

Как показано на фиг.3, прежде чем передать ресурсы на оценивание контента конкретной порции данных (например, путем выполнения сканирования на наличие вируса или вредоносного программного обеспечения, классификации данных и т.д.), клиент может вычислить цифровой отпечаток для данных (этап 302) и подать цифровой отпечаток на службу 102 репутации контента в виде части запроса существующих деклараций (этап 304). Если служба репутации 102 идентифицирует какие-либо декларации, связанные с поданным цифровым отпечатком, она может извлечь и возвратить эти декларации на клиент (этап 306). Клиент может затем принять дальнейшее решение относительно того, оценивать ли данные и/или каким образом оценивать, на основании информации, содержащейся в любой из возвращенных деклараций (этап 308). В некоторых вариантах осуществления сообщения, принятые службой 102 репутации контента, могут нести действительный, верифицируемый сертификат, таким образом позволяя клиентам подтвердить, что они осуществляют связь с доверенным источником. Кроме того, в некоторых вариантах осуществления возвращенные декларации также могут быть подписаны в цифровой форме, чтобы дополнительно повысить безопасность и надежность системы.

В некоторых вариантах осуществления неограниченное число деклараций контента может связываться с данной порцией данных. Хотя такие декларации могут создаваться различными доверенными издателями, в случае, если они выданы по той же порции данных (каковое дает такое же значение цифрового отпечатка), они все могут быть сгруппированы согласно цифровому отпечатку.

В некоторых реализациях, когда клиент выполняет запрос на службу 102 репутации контента, чтобы возвратить декларации о цифровом контенте, клиент может либо запросить все существующие декларации, либо сузить объем возвращаемого набора путем указания типа деклараций, которыми он интересуется (например, издатель, время, в которое декларации были выданы, утверждения контента и т.д.).

Как отмечено выше, в некоторых реализациях, любая модификация данных приведет к другому вычисленному цифровому отпечатку. Таким образом, любая модификация файла будет автоматически разрывать связь файла со всеми ранее выданными декларациями.

В Таблице 1 (ниже) показан иллюстративный пример характеристик/атрибутов, которые могут содержаться в одиночной декларации контента.

Как указано ранее, в некоторых вариантах осуществления, множественные декларации, потенциально выданные различными объектами, могут существовать в базе данных 108 службы 102 репутации контента. Если запрошены, такие декларации могут быть возвращены в виде "набора деклараций".

В Таблице 2 (ниже) показан иллюстративный пример того, каким образом такой набор деклараций может быть форматирован.

Фиг.4 является концептуальным представлением набора деклараций, включающим фактические данные декларации (в этом случае, для изображения).

В некоторых вариантах осуществления различные наборы деклараций могут быть возвращены в различных форматах в зависимости от протокола, используемого для осуществления связи со службой 102 репутации контента. Клиенты могут, например, осуществлять связь со службой, используя сообщения SOAP (веб-услуга) или любого другого сетевого протокола, который поддерживает защиту на основании либо соединения, либо передачи пакетов/сообщений (например, REST, HTTP, RPC, XML-PRC и т.д.). В некоторых вариантах осуществления реализация службы может также поддерживать множественные привязки и/или быть в состоянии осуществлять связь, используя различные протоколы одновременно. Служба репутации контента может быть установлена в помещениях, в облаке или и там, и там.

Как отмечено выше, в некоторых вариантах осуществления, чтобы предотвращать порчу базы данных и другие типы атак, только доверенным приложениям можно позволять подавать декларации контента. Доверительный механизм может, например, использовать широко используемые промышленные стандарты, такие как WS-Trust и сертификаты стороны клиента и сервера для такой цели.

В некоторых вариантах осуществления, независимо от протокола, используемого для осуществления связи со службой 102 репутации контента, все декларации контента могут храниться в централизованной реляционной базе данных 108 с цифровым отпечатком, используемым в качестве первичного ключа.

На фиг.5 и 6 показаны примеры того, каким образом служба 102 репутации контента может обрабатывать принятые запросы от клиентов, чтобы подавать и извлекать декларации контента. В частности на фиг.5 показан иллюстративный пример процедуры, которую один или несколько серверов 106 службы 102 репутации контента могут исполнять, вместе с базой данных 108, чтобы обрабатывать клиентский запрос для подачи одной или нескольких деклараций, и на фиг.6 показан пример процедуры, которую такой сервер(ы) может исполнять, вместе с базой данных, чтобы обрабатывать клиентский запрос для извлечения и возврата одной или нескольких деклараций контента. Иллюстрируемые процедуры могут, например, реализовываться, используя команды, сохраненные в одном или нескольких читаемых компьютером носителях, к которым может осуществлять доступ и которые может исполнять один или несколько процессоров сервера(ов) 106 и/или контроллеров базы данных 108.

Как показано на фиг.5, приняв запрос клиента для подачи одной или нескольких деклараций на службу 102 (этап 502), если та же декларация (например, тот же тип декларации и утверждения) еще не существуют в базе данных 108 (см. этап 503), сервер 106 может форматировать принятую декларацию(и) и записать ее(их) в базу данных 108, используя принятый цифровой отпечаток в качестве первичного ключа для элемента базы данных (этап 504). Как отмечено выше, в некоторых вариантах осуществления сервер(ы) 106 может отказаться принять какие-либо новые подачи деклараций, которые не подписаны доверенным центром сертификации, или не идентифицирует продукт, используемый, для создания декларации.

В некоторых вариантах осуществления, если установлено, что такая же декларация уже существует в базе данных 108 для поданного цифрового отпечатка (см. этап 503), служба 102 репутации контента может оценивать контент новой декларации по отношению к таковой, существующей декларации и обновлять некоторую или всю информацию в декларации на основании этой оценки (этап 505).

Одним примером сценария, в котором служба 102 репутации контента может обновлять информацию для существующей декларации, является тот, где, например, недавно поданная декларация содержит версию подписи вируса, которая является более новой, чем версия подписи вируса существующей декларации, связанной с тем же цифровым отпечатком. Такой сценарий может иметь место, например, когда клиент принимает решение сканировать файл, несмотря на наличие существующей декларации для файла, поскольку клиент обладает более новой версией подписи вируса, чем та, которая отражена в существующей декларации. После выполнения сканирования с использованием обновленной версии подписи вируса клиент в таком сценарии может, например, подать декларацию вируса (отражающую версию подписи вируса, которая использовалась для сканирования) на службу 102 репутации контента.

При приеме службой 102 репутации контента такой декларации, она может, например, определить, что декларация того же типа, с тем же утверждением (и возможно даже от того же издателя) уже существует. Служба 102 репутации контента может затем, например, сравнить версии подписи вируса, а также даты и времена создания соответственных деклараций и обновить элементы в базе данных 108 (например, столбцы базы данных) тем, что она определяет являющимся самой актуальной и достоверной информацией для декларации. В случае обновленной версии подписи вируса обновленные элементы для существующей декларации могут, например, включать в себя дату и время сканирования вируса и версии подписи вируса, используемой при сканировании.

Как показано на фиг.6, приняв запрос клиента, извлечь существующие декларации (этап 602), сервер 106 может сформулировать запрос базы данных, используя цифровой отпечаток, включенный в клиентский запрос, в качестве первичного ключа (этап 604). Если совпадающий цифровой отпечаток существует в базе данных 108 (этап 606), сервер 106 может извлечь декларацию(и), связанную с цифровым отпечатком (этап 608), отфильтровать эти декларации согласно любому критерию, указанному клиентом (этап 609), и осуществить возврат данных отфильтрованных деклараций (которые могут быть либо подмножеством данных извлеченных деклараций, либо всем набором деклараций, если фильтрация не используется, или если какие-либо критерии фильтрации клиент не определил) на запрашивающий клиент (этап 610). Если соответствующий цифровой отпечаток не существует в базе данных (этап 606), сервер 106 может информировать клиент, что не были найдены соответствующие декларации (этап 612). Служба 102 репутации контента может таким образом идентифицировать любые декларации, которые связаны с данной порцией данных, путем сравнения вычисленного цифрового отпечатка данных (принятого от клиента) с цифровым отпечатком, сохраненным в базе данных, который связан с декларациями, для рассматриваемых данных.

Практически, декларации контента могут создаваться, когда данные подвергаются некоторому типу анализа впервые в рамках системы 100. После этого, поскольку данные перемещаются внутри системы и к ним необходимо осуществлять доступ, ранее выданные декларации могут использоваться для получения необходимой информации о данных, не анализируя их снова. В некоторых вариантах осуществления могут добавляться дополнительные декларации относительно данных, когда новые типы сканирований выполняются над данными, таким образом расширяя набор деклараций новой информацией.

Следующий практический пример иллюстрирует, каким образом служба 102 репутации контента может использоваться, чтобы минимизировать ресурсы, которые необходимо уделить исследованию контента конкретной порции данных. Во-первых, можно рассмотреть общую ситуацию, где файл документа (например, документа MICROSOFT WORD®) присоединен к электронному письму, которое послано кому-то внутри организации. Приняв электронную почту с вложением, пограничный сервер организации может сканировать вложение, определять, что оно не имеет вируса, программы-шпиона и вредоносных URL, и создать три декларации с помощью службы 102 репутации контента. Получатель может затем, например, принять файл и переслать его на внутренний сайт SHAREPOINT® организации. (Можно предположить, что политика безопасности, которая принудительно выполняется на этом сайте SHAREPOINT®, требует, чтобы все файлы сканировались на наличие вирусов, программы-шпиона, вредоносных URL и DLP (предотвращение утечки данных)). В течение загрузки сканер безопасности для сайта SHAREPOINT® может вычислить цифровой отпечаток файла и послать запрос на службу 102 репутации контента. Набор деклараций, включающий в себя три ранее созданные декларации, может затем быть возвращен. В результате сканер безопасности может определить, что только DLP сканирование должно выполняться над файлом и, после выполнения такого сканирования, может выдать дополнительные декларации DLP на службу репутации контента. После этого, если, например, тот же файл пересылается по сети на другой сайт SHAREPOINT® внутри организации, сканер безопасности для этого сайта SHAREPOINT® может принять решение, что не требуется выполнять другие сканирования, поскольку запрос на службу репутации контента этим сканером безопасности вернет все необходимые декларации.

Важно, в большинстве обстоятельств, что издержки, обусловленные взаимодействием со службой 102 репутации контента, могут быть значительно ниже таковых для фактического сканирования или другого процесса оценки данных. Следует также отметить, что в некоторых вариантах осуществления, введение дополнительных процессов контроля данных (каковое увеличивает время сканирования/оценки) не окажет неблагоприятного воздействия на подачу декларации и время поиска.

В некоторых вариантах осуществления служба 102 репутации контента может экспортировать декларацию или набор деклараций контента в виде подписанного цифровой подписью файла, например, файла в формате XML. Этот "сертификат контента" может, например доставляться с наличием соответствующих данных или без них (если получатель уже имеет эти данные) сторонам, которые по той или иной причине не имеют доступа к службе репутации контента и не могут осуществлять связь с нею непосредственно. Несмотря на этот факт, получатель может надежно верифицировать действительность сертификата контента, и, при действительном - может принять решение доверять некоторым или всем включенным декларациям контента.

На фиг.7 показан пример того, какой вид может иметь набор деклараций, показанный на фиг.4, если экспортируется в качестве сертификата контента. Такой XML-файл может, например, подписываться с использованием заключенной в оболочку XML цифровой подписи. Получатель такого файла может сначала верифицировать цифровую подпись, чтобы убедиться, что целостность XML является неповрежденной. Если подпись является действительной, получатель может, например, вычислить цифровой отпечаток для данных, используя алгоритм, указанный в XML. Если результирующее значение соответствует значению цифрового отпечатка в XML, то получатель может определить, что все декларации в этом XML-файле являются релевантными по отношению к данным и им можно доверять. Таким образом, в некоторых вариантах осуществления, получатель такого сертификата контента способен идентифицировать одну или несколько деклараций, которые связаны с данной порцией данных, путем сравнения вычисленного цифрового отпечатка для данных с цифровым отпечатком, включенным в сертификат контента, который также содержит декларацию(и). В некоторых вариантах осуществления может обеспечиваться инструментальное средство верификации, которое автоматизирует верификацию таких сертификатов контента.

Хотя, возможно, по меньшей мере, в некоторых обстоятельствах нежелательно, в некоторых вариантах осуществления сертификаты контента могут дополнительно или альтернативно являться непосредственно добавленными в конец или вложенными внутри файла, к которому они относятся. Одним примером типа файла, где такая реализация может быть возможной, является электронная почта. Сертификат контента может, например, помещаться в зону заголовка сообщения электронной почты, не влияя на остальную часть контента электронной почты. Некоторые форматы файлов, например файлов MICROSOFT OFFICE®, также допускают расширяемость, где может сохраняться дополнительная полезная нагрузка. Кроме того, в некоторых вариантах осуществления может использоваться базовый конверт обертывания файла, который хранит и исходный файл, и сертификат контента. Формирователь оболочки файла Generic File Protection (GFP) корпорации Microsoft® может, например, использоваться для такой цели.

Использование сертификатов контента для элементов данных (в качестве отдельных ли файлов, или в качестве информации, добавляемых в конец или встраиваемых внутри таких элементов) может также предложить некоторую дополнительную гибкость, когда сам элемент данных был модифицирован. В некоторых вариантах осуществления, например, по меньшей мере, некоторой повторной классификации контента (например, PII, HBI, и т.д.) можно избежать, используя технологию классификации, которая генерирует "мягкий хэш", который может использоваться для определения, насколько близким является документ к оригиналу. В таких вариантах осуществления, если это результат находится в пределах допуска, можно избежать процесса полной повторной классификации.

Описав, таким образом, несколько аспектов, по меньшей мере, одного варианта осуществления этого изобретения, следует понимать, что различные изменения, модификации и улучшения легко придут на ум специалистам в данной области техники.

Подразумевается, что такие изменения, модификации и улучшения будут частью этого раскрытия, и подразумевается, что будут находиться в рамках существа и объема изобретения. Соответственно, предшествующее описание и чертежи приведены лишь в качестве примера.

Вышеописанные варианты осуществления настоящего изобретения могут быть реализованы любым из многих способов. Например, варианты осуществления могут быть реализованы с использованием аппаратных средств, программного обеспечения или комбинации таковых. При реализации в виде программного обеспечения программный код может исполняться на любом подходящем процессоре или совокупности процессоров, независимо от того, обеспечен ли он в одном компьютере или распределен между многими компьютерами. Такие процессоры могут быть реализованы в виде интегральных схем, с одним или несколькими процессорами в компоненте интегральной схемы. Однако процессор может быть реализован с использованием схемного решения в любом подходящем формате.

Кроме того, следует оценить, что компьютер может быть осуществлен в любой форме из ряда форм, таких как смонтированный в стойке компьютер, настольный компьютер, портативный или планшетный компьютер. Дополнительно, компьютер может быть встроенным в устройство, в целом не считающееся компьютером, но с подходящими возможностями обработки, включая персональный цифровой ассистент (PDA), смартфон или любое другое подходящее переносное или стационарное электронное устройство.

К тому же, компьютер может иметь одно или несколько устройств ввода и вывода. Эти устройства могут использоваться, среди прочего, чтобы представлять пользовательский интерфейс. Примеры устройств вывода, которые могут использоваться для обеспечения пользовательского интерфейса, включают в себя принтеры или экраны устройства отображения для визуального представления выводимой информации, и динамики или другие генерирующие звук устройства для звукового представления выводимой информации. Примеры устройств ввода данных, которые могут использоваться для пользовательского интерфейса, включают в себя клавиатуры и указательные устройства, такие как мышь, сенсорные панели и планшеты для цифрового ввода. В качестве другого примера, компьютер может принимать входную информацию посредством распознавания речи или в другом звуковом формате.

Такие компьютеры могут быть взаимно соединенными посредством одной или нескольких сетей в любой подходящей форме, включая в состав локальную сеть или глобальную сеть, такую как сеть предприятия или сеть Интернет. Такие сети могут основываться на любой подходящей технологии и могут работать согласно любому подходящему протоколу, и могут включать в себя беспроводные сети, проводные сети или волоконно-оптические сети.

Кроме того, различные способы или процессы, в общих чертах представленные в документе, могут быть кодированными в виде программного обеспечения, которое является исполнимым на одном или нескольких процессорах, использующих любую из множества операционных систем или платформ. Дополнительно, такое программное обеспечение может быть записано с использованием любого из ряда подходящих языков программирования и/или инструментальных средств программирования или написания сценариев, а также может компилироваться в виде исполнимого кода на машинном языке или промежуточного кода, который исполняется на платформе или виртуальной машине.

В этом отношении, изобретение может быть осуществлено в виде читаемого компьютером носителя (или множественных читаемых компьютером носителей) (например, машинной памяти, одного или нескольких гибких дисков, компакт-дисков (CD), оптических дисков, цифровых видеодисков (DVD), магнитных лент, флэш-памяти, схемных конфигураций в программируемой вентильной матрице или других полупроводниковых устройствах, или другом непромежуточном, материальном носителе данных компьютера), кодированного с наличием одной или нескольких программ, которые при исполнении на одном или нескольких компьютерах или других процессорах выполняют способы, которые реализуют различные варианты осуществления изобретения, обсужденного выше. Читаемый компьютером носитель или носители могут быть мобильными, так что программа или программы, хранимые на нем, могут быть загружены на один или несколько различных компьютеров или других процессоров, чтобы реализовывать различные аспекты настоящего изобретения, как обсуждено выше. Как используется в документе, термин "невременный читаемый компьютером носитель" охватывает только читаемый компьютером носитель, который может считаться являющимся продукцией (то есть, изделием) или машиной.

Термины "программа" или "программное обеспечение" используются в документе в общем смысле для ссылки на любой тип машинного кода или набора исполнимых компьютером команд, которые могут использоваться для программирования компьютера или другого процессора, чтобы реализовать различные аспекты настоящего изобретения, как обсуждено выше. Дополнительно, следует оценить, что согласно одному аспекту этого варианта осуществления, одной или нескольким компьютерным программам, которые при исполнении выполняют способы по настоящему изобретению, не требуется находиться на одном компьютере или процессоре и могут распределяться в модульной форме между многими различными компьютерами или процессорами, чтобы реализовывать различные аспекты настоящего изобретения.

Исполнимые компьютером команды могут иметь многие формы, такие как программные модули, исполняемые одним или несколькими компьютерами или другими устройствами. Обычно, программные модули включают в себя процедуры, программы, объекты, компоненты, структуры данных и т.д., которые выполняют особые задачи или реализуют особые абстрактные типы данных. Обычно функциональность программных модулей может комбинироваться или распределяется, как требуется в различных вариантах осуществления.

Кроме того, структуры данных могут храниться в читаемых компьютером носителях в любой подходящей форме. Для простоты иллюстрации структуры данных могут быть показаны с наличием полей, которые связаны по позиции в структуре данных. Такие взаимосвязи подобным образом можно осуществить назначением хранения для полей в зависимости от позиций в читаемом компьютером носителе, который передает взаимосвязи между полями. Однако может использоваться любой подходящий механизм, чтобы устанавливать взаимосвязь между информацией в полях структуры данных, включая использование указателей, тегов или других механизмов, которые устанавливают взаимосвязь между элементами данных.

Различные аспекты настоящего изобретения могут использоваться отдельно, в комбинации или во множестве структур, не обсужденных специально в вариантах осуществления, описанных в предшествующем, и, следовательно, не ограничиваются в его применении подробностями и структурой компонентов, изложенных в предшествующем описании или проиллюстрированных на чертежах. Например, аспекты, описанные в одном варианте осуществления, могут комбинироваться любым образом с аспектами, описанными в других вариантах осуществления.

Кроме того, изобретение может быть осуществлено в виде способа, для которого был обеспечен пример. Действия, выполняемые в виде части способа, могут быть упорядочены любым подходящим образом. Соответственно, могут создаваться исполнения, в которых действия выполняются в порядке следования, отличающемся от иллюстрируемого, каковое может включать в себя выполнение некоторых действий одновременно, даже если показаны в виде последовательных действий в иллюстративных вариантах осуществления.

Использование порядковых терминов, таких как "первый", "второй", "третий" и т.д., в пунктах формулы изобретения, чтобы модифицировать элемент формулы, само по себе не означает какого-либо приоритета, предшествования или порядка следования одного пункта формулы над другим, или временного порядка, в котором выполняются действия способа, а используются просто в качестве меток, чтобы различать один пункт формулы, имеющий некоторое имя, от другого элемента, имеющего такое же имя (если бы не использование порядкового термина), чтобы различать пункты формулы.

Кроме того, фразеология и терминология, используемые в документе, предназначены для цели описания и не должны рассматриваться в качестве ограничения. Использование терминов "включающий в себя", "содержащий" или "имеющий", "содержащийся", "заключающий в себе" и разновидностей таковых в документе предназначено для охвата элементов, перечисленных после него, и эквивалентов таковых, а также дополнительных элементов.

1. Способ обработки деклараций контента для элементов данных, содержащий этапы, на которых:
принимают посредством сервера множество деклараций контента для элемента данных, причем множество деклараций контента для элемента данных включает в себя декларации контента, поданные множеством различных издателей, которые сканировали элемент данных на предмет вредоносного содержимого, при этом каждая декларация контента из множества деклараций контента для элемента данных идентифицирует издателя, который подал эту декларацию контента, указывает время и результат сканирования, выполненного издателем, и подается с цифровым отпечатком элемента данных, вычисленным издателем с использованием хеш-функции;
сохраняют посредством сервера множество деклараций контента для элемента данных в базе данных, которая связывает каждую декларацию контента из множества деклараций контента для элемента данных с цифровой подписью элемента данных, которая подавалась с этой декларацией контента;
группируют посредством сервера совокупность деклараций контента из множества деклараций контента для элемента данных, которые подавались разными издателями с одним и тем же цифровым отпечатком элемента данных, причем данный один и тот же цифровой отпечаток элемента данных был вычислен этими разными издателями с использованием конкретной хеш-функции;
принимают посредством сервера от вычислительного устройства запрос извлечения имеющихся деклараций контента, ассоциированных с порцией данных, причем данный запрос включает в себя определенный цифровой отпечаток этой порции данных, вычисленный вычислительным устройством с использованием упомянутой конкретной хеш-функции;
в ответ на упомянутый запрос, извлекают посредством сервера набор деклараций контента, включающий в себя упомянутую совокупность деклараций контента из множества деклараций контента для элемента данных, которые были поданы разными издателями, по определению того, что:
упомянутый определенный цифровой отпечаток порции данных совпадает с упомянутым одним и тем же цифровым отпечатком элемента данных, ассоциированным с каждой из упомянутой совокупности деклараций контента, и
каждая из упомянутой совокупности деклараций контента была подана в пределах заранее определенного периода времени; и
возвращают посредством сервера на вычислительное устройство упомянутый набор деклараций контента для обеспечения вычислительному устройству возможности определять, следует ли сканировать упомянутую порцию данных на предмет вредоносного содержимого.

2. Способ по п. 1, дополнительно содержащий этапы, на которых:
принимают посредством сервера новую декларацию контента для элемента данных; и
оценивают посредством сервера эту новую декларацию контента для элемента данных по отношению к любым сохраненным декларациям контента для элемента данных, которые ассоциированы с цифровым отпечатком элемента данных, подаваемым с этой новой декларацией контента.

3. Способ по п. 2, в котором:
каждая декларация контента из множества деклараций контента для элемента данных дополнительно идентифицирует антивирусное приложение, используемое для выполнения упомянутого сканирования, и версию этого антивирусного приложения, и
упомянутая новая декларация контента для элемента данных указывает время и результаты сканирования, выполненного вычислительным устройством в отношении упомянутой порции данных с использованием более новой версии антивирусного приложения, идентифицируемого по меньшей мере одной из упомянутой совокупности деклараций контента.

4. Способ по п. 1, дополнительно содержащий этап, на котором удостоверяются посредством сервера в том, что каждая декларация контента из множества деклараций контента для элемента данных была подана доверенным издателем.

5. Способ по п. 1, дополнительно содержащий этап, на котором подписывают цифровым образом сообщение, используемое для передачи упомянутого набора деклараций контента на вычислительное устройство, которое послало упомянутый запрос.

6. Способ по п. 1, дополнительно содержащий этап, на котором принимают посредством сервера сертификат контента для каждой декларации контента из множества деклараций контента для элемента данных, причем каждый сертификат контента подписан доверенным центром сертификации и идентифицирует продукт, используемый для создания этой декларации контента.

7. Способ по п. 1, в котором упомянутый набор деклараций контента содержит:
декларацию контента, показывающую результаты антивирусного сканирования, выполненного первым издателем, и
декларацию контента, показывающую результаты сканирования на предмет вредоносного программного обеспечения, выполненного вторым издателем.

8. Машиночитаемый носитель, на котором закодированы команды, которые при их исполнении компьютером предписывают компьютеру выполнять способ, содержащий этапы:
прием множества деклараций контента для элемента данных, причем множество деклараций контента для элемента данных включает в себя декларации контента, поданные множеством различных издателей, которые сканировали элемент данных на предмет вредоносного содержимого, при этом каждая декларация контента из множества деклараций контента для элемента данных идентифицирует издателя, который подал эту декларацию контента, указывает время и результат сканирования, выполненного издателем, и подается с цифровым отпечатком элемента данных, вычисленным издателем с использованием хеш-функции;
сохранение множества деклараций контента для элемента данных в базе данных, которая связывает каждую декларацию контента из множества деклараций контента для элемента данных с цифровой подписью элемента данных, которая подавалась с этой декларацией контента;
группирование совокупности деклараций контента из множества деклараций контента для элемента данных, которые подавались разными издателями с одним и тем же цифровым отпечатком элемента данных, причем данный один и тот же цифровой отпечаток элемента данных был вычислен этими разными издателями с использованием конкретной хеш-функции;
прием от вычислительного устройства запроса извлечения имеющихся деклараций контента, ассоциированных с порцией данных, причем данный запрос включает в себя определенный цифровой отпечаток этой порции данных, вычисленный вычислительным устройством с использованием упомянутой конкретной хеш-функции;
извлечение, в ответ на упомянутый запрос, набора деклараций контента, включающего в себя упомянутую совокупность деклараций контента из множества деклараций контента для элемента данных, которые были поданы разными издателями, по определению того, что:
упомянутый определенный цифровой отпечаток порции данных совпадает с упомянутым одним и тем же цифровым отпечатком элемента данных, ассоциированным с каждой из упомянутой совокупности деклараций контента, и
каждая из упомянутой совокупности деклараций контента была подана в пределах заранее определенного периода времени; и
возврат на вычислительное устройство упомянутого набора деклараций контента для обеспечения вычислительному устройству возможности определять, следует ли сканировать упомянутую порцию данных на предмет вредоносного содержимого.

9. Машиночитаемый носитель по п. 8, в котором способ дополнительно содержит:
прием новой декларации контента для элемента данных; и
оценивание этой новой декларации контента для элемента данных по отношению к любым сохраненным декларациям контента для элемента данных, которые ассоциированы с цифровым отпечатком элемента данных, подаваемым с этой новой декларацией контента.

10. Машиночитаемый носитель по п. 9, при этом:
каждая декларация контента из множества деклараций контента для элемента данных дополнительно идентифицирует антивирусное приложение, используемое для выполнения упомянутого сканирования, и версию этого антивирусного приложения, и
упомянутая новая декларация контента для элемента данных указывает время и результаты сканирования, выполненного вычислительным устройством в отношении упомянутой порции данных с использованием более новой версии антивирусного приложения, идентифицируемого по меньшей мере одной из упомянутой совокупности деклараций контента.

11. Машиночитаемый носитель по п. 8, при этом упомянутый набор деклараций контента содержит:
декларацию контента, показывающую результаты антивирусного сканирования, выполненного первым издателем, и
декларацию контента, показывающую результаты сканирования на предмет вредоносного программного обеспечения, выполненного вторым издателем.

12. Машиночитаемый носитель по п. 8, в котором способ дополнительно содержит этап, на котором подписывают цифровым образом сообщение, используемое для передачи упомянутого набора деклараций контента на вычислительное устройство, которое послало упомянутый запрос.

13. Машиночитаемый носитель по п. 8, в котором способ дополнительно содержит прием сертификата контента для каждой декларации контента из множества деклараций контента для элемента данных, причем каждый сертификат контента подписан доверенным центром сертификации и идентифицирует продукт, используемый для создания этой декларации контента.

14. Машиночитаемый носитель по п. 8, в котором способ дополнительно содержит удостоверение в том, что каждая декларация контента из множества деклараций контента для элемента данных была подана доверенным издателем.

15. Серверная система, выполненная с возможностью обработки деклараций контента для элементов данных, содержащая:
процессор, выполненный с возможностью исполнения машиноисполняемых инструкций; и
память, в которой хранятся машиноисполняемые инструкции для:
приема множества деклараций контента для элемента данных, причем множество деклараций контента для элемента данных включает в себя декларации контента, поданные множеством различных издателей, которые сканировали элемент данных на предмет вредоносного содержимого, при этом каждая декларация контента из множества деклараций контента для элемента данных идентифицирует издателя, который подал эту декларацию контента, указывает время и результат сканирования, выполненного издателем, и подается с цифровым отпечатком элемента данных, вычисленным издателем с использованием хеш-функции;
сохранения множества деклараций контента для элемента данных в базе данных, которая связывает каждую декларацию контента из множества деклараций контента для элемента данных с цифровой подписью элемента данных, которая подавалась с этой декларацией контента;
группирования совокупности деклараций контента из множества деклараций контента для элемента данных, которые подавались разными издателями с одним и тем же цифровым отпечатком элемента данных, причем данный один и тот же цифровой отпечаток элемента данных был вычислен этими разными издателями с использованием конкретной хеш-функции;
приема от вычислительного устройства запроса извлечения имеющихся деклараций контента, ассоциированных с порцией данных, причем данный запрос включает в себя определенный цифровой отпечаток этой порции данных, вычисленный вычислительным устройством с использованием упомянутой конкретной хеш-функции;
извлечения, в ответ на упомянутый запрос, набора деклараций контента, включающего в себя упомянутую совокупность деклараций контента из множества деклараций контента для элемента данных, которые были поданы разными издателями, по определению того, что:
упомянутый определенный цифровой отпечаток порции данных совпадает с упомянутым одним и тем же цифровым отпечатком элемента данных, ассоциированным с каждой из упомянутой совокупности деклараций контента, и
каждая из упомянутой совокупности деклараций контента была подана в пределах заранее определенного периода времени; и
возврата на вычислительное устройство упомянутого набора деклараций контента для обеспечения вычислительному устройству возможности определять, следует ли сканировать упомянутую порцию данных на предмет вредоносного содержимого.

16. Система по п. 15, в которой в памяти дополнительно хранятся машиноисполняемые инструкции для:
приема новой декларации контента для элемента данных; и
оценивания этой новой декларации контента для элемента данных по отношению к любым сохраненным декларациям контента для элемента данных, которые ассоциированы с цифровым отпечатком элемента данных, подаваемым с этой новой декларацией контента.

17. Система по п. 16, в которой:
каждая декларация контента из множества деклараций контента для элемента данных дополнительно идентифицирует антивирусное приложение, используемое для выполнения упомянутого сканирования, и версию этого антивирусного приложения, и
упомянутая новая декларация контента для элемента данных указывает время и результаты сканирования, выполненного вычислительным устройством в отношении упомянутой порции данных с использованием более новой версии антивирусного приложения, идентифицируемого по меньшей мере одной из упомянутой совокупности деклараций контента.

18. Система по п. 15, в которой упомянутый набор деклараций контента содержит:
декларацию контента, показывающую результаты антивирусного сканирования, выполненного первым издателем, и
декларацию контента, показывающую результаты сканирования на предмет вредоносного программного обеспечения, выполненного вторым издателем.

19. Система по п. 15, в которой в памяти дополнительно хранятся машиноисполняемые инструкции для цифровой подписи сообщения, используемого для передачи упомянутого набора деклараций контента на вычислительное устройство, которое послало упомянутый запрос.

20. Система по п. 15, в которой в памяти дополнительно хранятся машиноисполняемые инструкции для приема сертификата контента для каждой декларации контента из множества деклараций контента для элемента данных, причем каждый сертификат контента подписан доверенным центром сертификации и идентифицирует продукт, используемый для создания этой декларации контента.