專利名稱:聯(lián)網(wǎng)環(huán)境中被引用共享資源訪問驗證和訪問權(quán)限管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及共享資源的訪問權(quán)限的管理�����。
背景技術(shù):
網(wǎng)絡(luò)計算使得人們能協(xié)作以促進目標(biāo)完成的方式發(fā)生巨大變化。在普遍可得到網(wǎng)絡(luò)計算技術(shù)之前����,彼此合作的個人的小組僅能夠在孤立的、個人化的計算環(huán)境中操作����,這些計算環(huán)境僅通過直接的、人與人的聯(lián)系�����、電話和傳真機相聯(lián)系��。最重要的是����,諸如文檔、消息和數(shù)據(jù)庫的計算資源的創(chuàng)建和管理僅能通過將共享資源打印出來以及從人到人手動傳送打印副本來共享��。
現(xiàn)在網(wǎng)絡(luò)計算的普遍存在允許電子可共享資源的自動共享��,包括合作者直接訪問組的共享資源�。如在合作環(huán)境中常見的那樣,這些資源可包括中央存儲的文檔和數(shù)據(jù)庫。就共享資源可被聯(lián)網(wǎng)環(huán)境中的所有參與者自由訪問而沒有限制而言����,資源共享在性質(zhì)上是無縫的。然而����,大多數(shù)復(fù)雜的聯(lián)網(wǎng)環(huán)境不允許無約束地訪問共享資源,而是提供至少某種程度的對共享資源的訪問控制����。
通常,訪問控制系統(tǒng)基于試圖訪問共享資源的用戶的身份而限制對共享資源的訪問�。受限的訪問的范圍可從完全拒絕對共享資源的訪問到限制可在資源上執(zhí)行的操作,諸如能否編輯����、打印����、刪除或以其他方式修改資源。在許多情況中���,訪問限制不僅可基于試圖訪問的用戶的明確身份����,而且訪問限制可基于用戶的位置、用戶的類別�����、或任何其他的可識別因素���。
時常在聯(lián)網(wǎng)環(huán)境中����,可將對基礎(chǔ)共享資源的引用并入第二資源中�����,作為舉例��,該第二資源諸如電子郵件��、即時消息和共享文檔�。這樣,訪問第二資源的查看者可僅通過選擇鏈接而容易地定位到基礎(chǔ)資源�。然而,當(dāng)查看者不享有對鏈接的基礎(chǔ)資源的適當(dāng)訪問權(quán)限時會出現(xiàn)問題���。例如��,當(dāng)查看者通過選擇嵌入的鏈接而試圖訪問基礎(chǔ)共享資源時�����,可能完全拒絕查看者的訪問�,而不向查看者提供任何求助手段。在這種情況中����,查看者只剩下通過找到有權(quán)修改對基礎(chǔ)資源的訪問控制限制以有利于查看者的參與者,來人工地解決拒絕訪問�����。
發(fā)明內(nèi)容
本發(fā)明處理有關(guān)管理對聯(lián)網(wǎng)環(huán)境中共享資源的訪問控制的現(xiàn)有技術(shù)的缺陷��,并且提供一種用于對被引用的共享資源的自動管理和訪問權(quán)限驗證的新穎和非顯而易見的方法���、系統(tǒng)和裝置�。在這方面�,一種用于聯(lián)網(wǎng)環(huán)境中被引用的共享資源的訪問驗證和訪問權(quán)限管理的方法可包括在被配置以在聯(lián)網(wǎng)環(huán)境中分配的初級共享資源中并入到基礎(chǔ)共享資源的引用�,以及為初級共享資源指定被指定的查看者。作為舉例,初級共享資源可以是電子郵件�、即時消息、聊天會話和共享文檔����。同樣,作為舉例���,基礎(chǔ)共享資源可以是電子郵件��、即時消息��、聊天會話和共享文檔����。
可確定被指定的查看者是否被允許訪問所述基礎(chǔ)共享資源�����。為此��,該確定步驟可包括查閱用于該基礎(chǔ)共享資源的訪問控制列表以確定被指定的查看者是否被允許訪問該基礎(chǔ)共享資源�。然而,在將初級共享資源提供給被指定的查看者之前���,當(dāng)確定被指定的查看者不被允許訪問基礎(chǔ)共享資源的時候可通知初級共享資源的作者����。
例如,在將初級共享資源提供給被指定的查看者之前��,當(dāng)確定不允許被指定的查看者訪問基礎(chǔ)共享資源時���,可提示初級共享資源的作者將權(quán)限授予被指定的查看者以查看基礎(chǔ)共享資源�。作為另一示例�,在將初級共享資源提供給被指定的查看者之前,當(dāng)確定被指定的查看者不被允許訪問基礎(chǔ)共享資源時���,可執(zhí)行一自動過程以請求被指定查看者查看基礎(chǔ)共享資源的權(quán)限或向其授予該權(quán)限���。
所述并入步驟可包括在被配置以在聯(lián)網(wǎng)環(huán)境中分配的初級共享資源中并入多個到相應(yīng)基礎(chǔ)共享資源的引用。在該情況下�����,該方法進一步可包括為所述多個引用中的每一個執(zhí)行所述確定步驟���,并且當(dāng)確定所述被指定的查看者不被允許訪問至少一個基礎(chǔ)共享資源的時候執(zhí)行所述通知步驟��。同樣����,所述指定步驟可包括為初級共享資源指定多個被指定的查看者��。在該情況下�����,該方法進一步可包括為多個被指定的查看者中的每一個執(zhí)行所述確定步驟�����,并且當(dāng)確定多個被指定的查看者中的任何一個不被允許訪問基礎(chǔ)共享資源的時候執(zhí)行所述通知步驟���。
一種用于聯(lián)網(wǎng)環(huán)境中被引用的共享資源的訪問驗證和訪問權(quán)限管理的方法也可包括查看包含到基礎(chǔ)共享資源的鏈接的初級共享資源����,選擇所述到基礎(chǔ)共享資源的鏈接��,確定是否存在查看所述基礎(chǔ)共享資源的必要權(quán)限�����,以及在提供欠缺權(quán)限的通知之前,識別能夠授予所述必要權(quán)限的用戶��,并且與所述欠缺權(quán)限通知一起提供指定該用戶的通知�。
本發(fā)明的其他方面將部分地在隨后的說明部分中闡述,并且部分地根據(jù)描述將是顯而易見的���,或者可通過實施發(fā)明而獲知��。借助于在所附權(quán)利要求中特別指出的元件和組合將實現(xiàn)和達到發(fā)明的這些方面�����。應(yīng)該理解����,前面的一般描述和隨后的詳細描述僅是示例性或說明性的�,而不限制所要求保護的本發(fā)明。
被并入到本說明書并構(gòu)成本說明書一部分的附圖示出了本發(fā)明的實施例�,并與說明一起用于解釋本發(fā)明的原理。此處示出的實施例是目前優(yōu)選的����,然而可以理解,發(fā)明不限于所示的精確的布置和手段�����,附圖中圖1是聯(lián)網(wǎng)環(huán)境的示意圖,該聯(lián)網(wǎng)環(huán)境被配置為用于對聯(lián)網(wǎng)環(huán)境中的被引用的共享資源的訪問驗證和訪問權(quán)限管理�����;圖2A是說明用于對被引用的共享資源的�、作者啟動的訪問驗證和訪問權(quán)限管理的過程的流程圖���;以及圖2B是說明用于對被引用的共享資源的����、查看者啟動的訪問驗證和訪問權(quán)限管理的過程的流程圖����。
具體實施例方式
本發(fā)明是一種用于對聯(lián)網(wǎng)環(huán)境中被引用的共享資源的訪問驗證和訪問權(quán)限管理的方法、系統(tǒng)和裝置����。根據(jù)本發(fā)明,可將對基礎(chǔ)共享資源的鏈接嵌入到初級共享資源諸如電子郵件����、即時消息����、聊天室記錄(posting)或共享文檔等等中�����。值得注意的是����,共享資源可具有一個或多個相關(guān)的訪問控制,所述訪問控制指定用于被授權(quán)的查看者的一組必要的權(quán)限����。無論如何,在聯(lián)網(wǎng)環(huán)境中可指定初級共享資源以由一個或多個查看者所查看���,并且可發(fā)布該初級共享資源以為一個或多個被指定的查看者所查看�。
然而�,在發(fā)布初級共享資源以由一個或多個指定的查看者所查看之前,可基于相關(guān)的訪問控制而確定是否允許每一被指定的查看者訪問由鏈接所引用的基礎(chǔ)共享資源����。如果否,那么可將權(quán)限欠缺通知給初級共享資源的作者并且向其提供校正所述欠缺的機會。類似地����,一旦指定的查看者查看了初級共享資源,可在打開到基礎(chǔ)資源的鏈接之前驗證查看者��。就查看者的權(quán)限欠缺而言����,可將能夠修改權(quán)限的用戶的身份提供給查看者�。
在更加具體的解釋中,圖1示意性說明了被配置以用于聯(lián)網(wǎng)環(huán)境中被引用的共享資源的訪問驗證和訪問權(quán)限管理的聯(lián)網(wǎng)環(huán)境�。該聯(lián)網(wǎng)環(huán)境可包括至少一個創(chuàng)作平臺110,該創(chuàng)作平臺經(jīng)由計算機通信網(wǎng)絡(luò)130而連接到至少一個查看平臺120���。(為簡單說明的目的而僅示出了單個創(chuàng)作平臺110和查看平臺120)可配置創(chuàng)作計算機110以創(chuàng)建��、編輯或以其他方式修改可被一個或多個查看平臺120所共享的初級共享資源140����。
重要的是����,到一個或多個基礎(chǔ)共享資源160的一個或多個鏈接150可被并入作為初級共享資源140的內(nèi)容的一部分。查看者可通過選擇相應(yīng)的一個鏈接150而訪問基礎(chǔ)共享資源160。在這方面�����,當(dāng)基礎(chǔ)共享資源160是共享文檔時��,可將共享文檔載入并呈現(xiàn)在一查看器中���。作為比較��,當(dāng)基礎(chǔ)共享資源160是數(shù)據(jù)庫時��,可激活數(shù)據(jù)庫以便由查看者訪問��。無論如何���,對基礎(chǔ)共享資源160的查看可由在訪問控制信息170的數(shù)據(jù)存儲內(nèi)指定的一組必要權(quán)限來限制。
可選地���,可在初級共享資源140中定義一個或多個角色(未示出)��。當(dāng)對基礎(chǔ)共享資源160的一個或多個鏈接150被添加到初級共享資源140時���,可將適合于角色(role-appropriate)的權(quán)限授予具有該角色的所有被指定的接受者。在這方面,可將角色映射到聯(lián)網(wǎng)環(huán)境中的權(quán)限集�����,其中所述聯(lián)網(wǎng)環(huán)境已被配置為在基礎(chǔ)共享資源160內(nèi)嵌入到共享資源160的鏈接150���。因此�����,角色機制可被擴展以從抽象等級向下傳播到由其他基礎(chǔ)共享資源中的鏈接所引用的所有共享資源����。
根據(jù)本發(fā)明�����,創(chuàng)作平臺110可包括作者訪問驗證邏輯200A��。在創(chuàng)作初級共享資源140的時候�����,作者訪問驗證邏輯200A可分析每一鏈接150和初級共享資源140的相應(yīng)被指定的查看者以確定被指定的查看者是否享有查看由鏈接150引用的基礎(chǔ)共享資源160所需的必要權(quán)限�。當(dāng)在被指定的查看者和被指定的一個共享資源160之間檢測到不相容性時,可提示作者該不相容性并且提供給作者校正該不相容性的機會���。作為另一種選擇��,一自動化過程可自動地校正該不相容性���,例如通過請求對被指定的查看者的權(quán)限或向其授予權(quán)限,從而被指定的查看者可訪問由鏈接150引用的基礎(chǔ)資源160����。
與創(chuàng)作平臺110相似,查看平臺120可包括查看者訪問驗證邏輯200B���。在查看初級共享資源140的時候����,查看者訪問驗證邏輯200B可分析每一鏈接150以確定查看者是否享有查看由鏈接150引用的基礎(chǔ)共享資源160所需的必要權(quán)限��。當(dāng)在查看者和被指定的一個共享資源160之間檢測到不相容性時���,可提示查看者不相容性�����,并且通過聯(lián)系能夠?qū)⒈匾獧?quán)限授予查看者的指定用戶而提供校正不相容性的機會���。
為了進一步說明本發(fā)明的一特定方面��,圖2A是說明用于對被引用的共享資源的���、作者啟動的訪問驗證和訪問權(quán)限管理的過程的流程圖,并且圖2B是說明用于對被引用的共享資源的���、查看者啟動的訪問驗證和訪問權(quán)限管理的過程的流程圖�����。首先參考圖2A���,在塊210�,可創(chuàng)建、編輯或以其他方式修改初級共享資源���。在塊215���,可將到基礎(chǔ)共享資源的鏈接包含于初級共享資源��。例如���,可將到基礎(chǔ)共享資源的超鏈接嵌入到初級共享資源。
在塊220�����,可指定初級共享資源的指定查看者����。在這方面,就初級共享資源是電子郵件或即時消息而言����,可指定對于該電子郵件或即時消息的被指定接受者的身份。隨后��,在塊225�����,可將用于被指定的查看者的權(quán)限與由基礎(chǔ)共享資源所要求的一組權(quán)限相比較����。如果在判定塊230中��,確定用于被指定的查看者的權(quán)限滿足了由基礎(chǔ)共享資源所要求的權(quán)限�,則在塊250��,可設(shè)置初級共享資源�����,這可包括公布以便由被指定的查看者所查看�,或者直接傳輸?shù)奖恢付ǖ牟榭凑摺?br>
如果在判定塊230,確定用于被指定的查看者的權(quán)限不滿足基礎(chǔ)共享資源所要求的權(quán)限�����,則在塊235����,可將該欠缺通知初級共享資源的作者??蛇x地,在判定塊240���,可通過在塊245中授予必要的權(quán)限而向作者提供校正所述欠缺的機會。作為另一種選擇�,當(dāng)不允許作者修改用于基礎(chǔ)共享資源的權(quán)限時���,可向作者提供請求合適的用戶將權(quán)限授予被指定的查看者的機會。這樣�,不需要設(shè)置初級共享資源而不管被指定的接受者是否可訪問鏈接的基礎(chǔ)共享資源。
作為對于塊235到240子過程的一種替代方案�,可使用一自動過程來解決訪問權(quán)限。具體地��,一服務(wù)可運行以在已建立的安全策略內(nèi)基于共享動作解決隱含的訪問請求���。這可以通過作者預(yù)先選擇這樣一優(yōu)選項來顯現(xiàn)�����,該優(yōu)選項指定�����,當(dāng)該作者共享鏈接時����,作者寧愿自動嘗試為被指定接受者添加訪問權(quán)�。隨后,當(dāng)作者將一鏈接添加到初級共享資源時�����,可自動管理訪問權(quán)。作為一示例��,該自動動作可包括從被引用資源的擁有者請求對被引用資源的訪問權(quán)�。
現(xiàn)在轉(zhuǎn)向圖2B,一旦被指定的接受者接收了初級共享資源以便查看���,則在塊260可打開初級共享資源以便查看����。在塊265��,可選擇到基礎(chǔ)資源的嵌入式鏈接以便激活��。隨后�,在塊270,可將用于被指定的查看者的權(quán)限與基礎(chǔ)共享資源所要求的一組權(quán)限相比較�����。在判定塊275���,可確定用于被指定的查看者的權(quán)限是否滿足基礎(chǔ)共享資源所要求的權(quán)限�。如果滿足���,則在塊280����,可啟動到基礎(chǔ)共享資源的鏈接�����。
如果在判定塊275����,確定用于被指定的查看者的權(quán)限不滿足基礎(chǔ)共享資源所要求的權(quán)限,則在塊285���,可向查看者提供這樣的用戶的聯(lián)系信息���,該用戶被分配了授予對基礎(chǔ)共享資源的必要權(quán)限的權(quán)限。另外����,在塊290,可將訪問基礎(chǔ)共享資源的權(quán)限請求轉(zhuǎn)發(fā)給該用戶。這樣����,被指定的查看者就不需要進行該用戶的手動發(fā)現(xiàn)。
本發(fā)明可以硬件����、軟件、或硬件和軟件的結(jié)合來實現(xiàn)�。可在一個計算機系統(tǒng)中以集中的方式�、或者以不同元件分布在幾個互連的計算機系統(tǒng)中的分布方式實現(xiàn)本發(fā)明方法和系統(tǒng)的實施。任一類型的計算機系統(tǒng)或者適于執(zhí)行在此所述方法的其他裝置適合于執(zhí)行在此描述的功能�����。
硬件和軟件的一種典型組合可以是具有這樣的計算機程序的通用計算機系統(tǒng)����,該計算機程序當(dāng)被載入和執(zhí)行時,控制該計算機系統(tǒng)以使它執(zhí)行在此所述的方法�����。本發(fā)明也可被嵌入到計算機程序產(chǎn)品中���,所述計算機程序產(chǎn)品包括使能實現(xiàn)在此所述方法的所有特征�����,并且當(dāng)其被載入計算機系統(tǒng)時�,能夠執(zhí)行這些方法���。
當(dāng)前上下文中的計算機程序或應(yīng)用意指一組指令的任何語言�、代碼或符號的任何表達�����,該組指令旨在使得具有信息處理能力的系統(tǒng)直接地或者在a)轉(zhuǎn)換為另一語言����、代碼或符號;b)以不同物質(zhì)形式再現(xiàn)這兩者中的任何一個或兩者之后執(zhí)行特定的功能����。值得注意的是,本發(fā)明可以體現(xiàn)在其他特定形式中��,而不脫離發(fā)明的精神和基本屬性�,因此���,應(yīng)參考所附權(quán)利要求而不是以上說明書來指示本發(fā)明的范圍。
權(quán)利要求
1.一種用于聯(lián)網(wǎng)環(huán)境中被引用的共享資源的訪問驗證和訪問權(quán)限管理的方法��,該方法包括以下步驟在被配置以在該聯(lián)網(wǎng)環(huán)境中分配的初級共享資源中并入對基礎(chǔ)共享資源的引用�;為所述初級共享資源指定被指定的查看者;確定所述被指定的查看者是否被允許訪問所述基礎(chǔ)共享資源��;以及在將所述初級共享資源提供給所述被指定的查看者之前�,當(dāng)確定所述被指定的查看者不被允許訪問所述基礎(chǔ)共享資源的時候通知所述初級共享資源的作者。
2.權(quán)利要求1的方法�����,其中所述并入步驟包括在被配置以在該聯(lián)網(wǎng)環(huán)境中分配的初級共享資源中并入多個對相應(yīng)基礎(chǔ)共享資源的引用的步驟����,并且其中該方法還包括以下步驟為所述多個引用中的每一引用執(zhí)行所述確定步驟,以及當(dāng)確定所述被指定的查看者不被允許訪問至少一個所述基礎(chǔ)共享資源的時候執(zhí)行所述通知步驟�。
3.權(quán)利要求1的方法,其中所述確定步驟包括以下步驟查閱用于所述基礎(chǔ)共享資源的訪問控制列表以確定所述被指定的查看者是否滿足被允許訪問所述基礎(chǔ)共享資源的角色�。
4.權(quán)利要求1的方法,其中所述確定步驟包括以下步驟查閱用于所述基礎(chǔ)共享資源的訪問控制列表以確定是否允許所述被指定的查看者訪問所述基礎(chǔ)共享資源���。
5.權(quán)利要求1的方法��,其中所述通知步驟包括以下步驟在將所述初級共享資源提供給所述被指定的查看者之前����,當(dāng)確定所述被指定的查看者不被允許訪問所述基礎(chǔ)共享資源時,提示所述初級共享資源的作者將權(quán)限授予所述被指定的查看者以查看所述基礎(chǔ)共享資源����。
6.權(quán)利要求1的方法,其中所述初級共享資源和基礎(chǔ)共享資源中的每一個是電子郵件��、即時消息�、聊天會話���、和共享文檔之一���。
7.權(quán)利要求1的方法,還包括以下步驟代替當(dāng)確定所述被指定的查看者不被允許訪問所述基礎(chǔ)共享資源時通知所述初級共享資源的所述作者���,自動為所述被指定的查看者訪問所述基礎(chǔ)共享資源從所述基礎(chǔ)共享資源的擁有者請求權(quán)限�。
8.一種用于聯(lián)網(wǎng)環(huán)境中被引用的共享資源的訪問驗證和訪問權(quán)限管理的方法��,該方法包括以下步驟查看包含到基礎(chǔ)共享資源的鏈接的初級共享資源�;選擇到所述基礎(chǔ)共享資源的所述鏈接��;確定是否存在查看所述基礎(chǔ)共享資源的必要權(quán)限��;以及在提供欠缺權(quán)限的通知之前�,識別能夠授予所述必要權(quán)限的用戶�,并且與所述欠缺權(quán)限的通知一起提供指定所述用戶的通知。
9.權(quán)利要求8的方法�,其中所述初級共享資源是電子郵件、即時消息�、聊天會話、和共享文檔之一��。
10.權(quán)利要求9的方法�,其中所述基礎(chǔ)共享資源是電子郵件、即時消息��、聊天會話����、和共享文檔之一。
11.一種機器可讀存儲器���,其上存儲有用于聯(lián)網(wǎng)環(huán)境中被引用的共享資源的訪問驗證和訪問權(quán)限管理的計算機程序��,該計算機程序包括例行的一組指令�,該組指令當(dāng)被機器執(zhí)行時,致使該機器執(zhí)行上述方法權(quán)利要求中的任何一個的步驟��。
全文摘要
一種用于對被引用的共享資源的訪問權(quán)限的自動管理和驗證的方法�����、系統(tǒng)和裝置��。一種用于聯(lián)網(wǎng)環(huán)境中被引用的共享資源的訪問驗證和訪問權(quán)限管理的方法可包括在被配置以在聯(lián)網(wǎng)環(huán)境中分配的初級共享資源中并入到基礎(chǔ)共享資源的引用�,以及為所述初級共享資源指定被指定的查看者?���?纱_定所述被指定的查看者是否被允許訪問所述基礎(chǔ)共享資源。然而��,在將所述初級共享資源提供給所述被指定的查看者之前�����,當(dāng)確定所述被指定的查看者不被允許訪問所述基礎(chǔ)共享資源的時候����,可通知所述初級共享資源的作者����。
文檔編號H04L9/32GK1842029SQ20061006650
公開日2006年10月4日 申請日期2006年3月28日 優(yōu)先權(quán)日2005年3月31日
發(fā)明者C·R·希爾, D·E·威爾遜 申請人:國際商業(yè)機器公司