专利名称:以密码控制对文档的访问的制作方法
以密码控制对文档的访问
背景技术:
授予对用户数据的访问通常以程序执行。即,操作系统或Web服务基于用户的访 问权限来授予对数据的访问。该模型尤其是在web托管环境中不是非常安全,在该环境中 用户的数据存储在可由多个其它用户或进程访问的服务器上。如果服务器的安全性受损, 则用户的数据可能在没有用户的许可或在用户不知道的情况下被访问。处理用户的数据所 涉及的实体越多,该数据越不安全。概述简言之,此处所描述的主题各方面涉及以密码控制对文档的访问。在各方面,文档 被加密以保护它们不受未授权访问。设法访问文档的安全主体首先获得该文档。该文档包 括标识与该文档相关联的安全数据的标识符。安全数据包括含有对有权访问该文档的安全 主体的授权的加密部分。具有适当的密钥的安全主体可以解密其安全数据中的授权,以获 得可被用来访问该文档的一个或多个其它密钥。这些其它密钥对应于安全主体所具有的对 于该文档的访问权限。提供本概述以简要地标识在以下详细描述中进一步描述的主题的一些方面。本概 述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保 护的主题的范围。除非上下文清楚地指示,否则短语“此处所描述的主题”指的是详细描述中所描述 的主题。术语“方面”应被当作“至少一个方面”。标识详细描述在所描述的主题的各方面 不旨在标识所要求保护的主题的关键特征或必要特征。上述各方面和此处所描述的主题的其它方面是作为示例示出的,并且不受附图限 制,附图中相同的附图标记指示相似的元素,附图中附图简述
图1是表示其中可结合此处所描述的主题的各方面的示例性通用计算环境的框 图;图2是概括地表示此处所描述的主题的各方面可以在其中操作的示例性环境的 框图;图3是概括地表示根据此处所描述的主题的各方面的、可参与提供对文档的访问 的一组示例性实体的框图;图4示出可以结合此处所描述的主题的各方面使用的一些示例性数据结构;图5是概括地表示根据此处所描述的主题的各方面的、可在访问文档时发生的示 例性动作的流程图;以及图6是表示被配置成根据此处所描述的主题的各方面操作的示例性设备的框图。详细描述示例性操作环境图1示出可在其上实现此处所描述主题的各方面的合适的计算系统环境100的示 例。计算系统环境100仅为合适的计算环境的一个示例,并非旨在对此处所描述的主题的各方面的使用范围或功能提出任何局限。也不应该把计算环境100解释为对示例性操作环 境100中示出的任一组件或其组合有任何依赖性或要求。此处所描述的主题的各方面可与众多其它通用或专用计算系统环境或配置一起 操作。适于与此处所描述的主题的各方面一起使用的公知的计算系统、环境和/或配置的 示例包括,但不限于,个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基 于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型机、大型计算机、包括上述 系统或设备中的任一个的分布式计算环境等。此处所描述的主题的各方面可在由计算机执行的诸如程序模块等计算机可执行 指令的一般上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类 型的例程、程序、对象、组件、数据结构等等。此处所描述的主题的各方面也可以在其中任务 由通过通信网络链接的远程处理设备执行的分布式计算环境中实现。在分布式计算环境 中,程序模块可以位于包括存储器存储设备在内的本地和远程计算机存储介质中。参考图1,用于实现此处所描述的主题的各方面的示例性系统包括计算机110形 式的通用计算设备。计算机110的组件可以包括但不限于,处理单元120、系统存储器130和 将包括系统存储器在内的各种系统组件耦合至处理单元120的系统总线121。系统总线121 可以是几种类型的总线结构中的任何一种,包括存储器总线或存储控制器、外围总线、以及 使用各种总线体系结构中的任一种的局部总线。作为示例而非局限,这样的体系结构包括 工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频 电子技术标准协会(VESA)局部总线和外围部件互连(PCI)总线(也称为夹层(Mezzanine) 总线)。计算机110通常包括各种计算机可读介质。计算机可读介质可以是能由计算机 110访问的任何可用介质,而且包含易失性和非易失性介质以及可移动、不可移动介质。作 为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质 包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法 或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于, RAM、ROM、EEPR0M、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、 磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期望的信息并可由计算机110 访问的任一其它介质。通信介质通常以诸如载波或其它传输机制等已调制数据信号来体现 计算机可读指令、数据结构、程序模块或其它数据,并包括任何信息传送介质。术语“已调制 数据信号”指的是其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作 为示例而非限制,通信介质包括有线介质,诸如有线网络或直接线连接,以及无线介质,诸 如声学、RF、红外线和其它无线介质。上述的任意组合也应包含在计算机可读介质的范围 内。系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质,如只 读存储器(ROM) 131和随机存取存储器(RAM) 132。基本输入/输出系统133 ¢10 包括如 在启动时帮助在计算机110内的元件之间传输信息的基本例程,它通常储存在ROM 131中。 RAM 132通常包含处理单元120可以立即访问和/或目前正在其上操作的数据和/或程序 模块。作为示例而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程 序数据137。
计算机110也可以包括其它可移动/不可移动、易失性/非易失性计算机存储介 质。仅作为示例,图1示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器 141,从可移动、非易失性磁盘152中读取或向其写入的磁盘驱动器151,以及从诸如⑶ROM 或其它光学介质等可移动、非易失性光盘156中读取或向其写入的光盘驱动器155。可以在 示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括 但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动 器141通常由不可移动存储器接口,诸如接口 140连接至系统总线121,磁盘驱动器151和 光盘驱动器155通常由可移动存储器接口,诸如接口 150连接至系统总线121。以上描述并在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提 供了对计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,硬盘驱动 器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意, 这些组件可以与操作系统134、应用程序135、其它程序模块136和程序数据137相同,也可 以与它们不同。操作系统144、应用程序145、其它程序模块146和程序数据147在这里被 标注了不同的标号是为了说明至少它们是不同的副本。用户可以通过输入设备,诸如键盘 162和定点设备161(通常指鼠标、跟踪球或触摸垫)向计算机20输入命令和信息。其它输 入设备(未示出)可包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪、手持式PC的触 敏屏或其它写字板等。这些和其它输入设备通常由耦合至系统总线的用户输入接口 160连 接至处理单元120,但也可以由其它接口和总线结构,诸如并行端口、游戏端口或通用串行 总线(USB)连接。监视器191或其它类型的显示设备也经由接口,诸如视频接口 190连接 至系统总线121。除监视器以外,计算机也可以包括其它外围输出设备,诸如扬声器197和 打印机196,它们可以通过输出外围接口 190连接。计算机110可使用至一个或多个远程计算机,如远程计算机180的逻辑连接在网 络化环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备 或其它常见网络节点,且通常包括上文相对于计算机110描述的许多或所有元件,尽管在 图1中只示出存储器存储设备181。图1中所示的逻辑连接包括局域网(LAN) 171和广域网 (WAN) 173,但也可以包括其它网络。这样的联网环境在办公室、企业范围计算机网络、内联 网和因特网中是常见的。当在LAN联网环境中使用时,计算机110通过网络接口或适配器170连接至LAN 171。当在WAN联网环境中使用时,计算机110通常包括调制解调器172或用于通过诸如因 特网等WAN 173建立通信的其它装置。调制解调器172可以是内置或外置的,它可以通过 用户输入接口 160或其它合适的机制连接至系统总线121。在网络化环境中,相对于计算机 110所描述的程序模块或其部分可被储存在远程存储器存储设备中。作为示例而非限制, 图1示出了远程应用程序185驻留在存储器设备181上。可以理解,所示的网络连接是示 例性的,且可以使用在计算机之间建立通信链路的其它手段。控制对文档的访问图2是概括地表示此处所描述的主题的各方面可以在其中操作的示例性环境的 框图。该环境包括用户设备205-207、存储设备210-212、托管应用程序215、服务220-223 和网络225。用户可以使用用户设备205来将数据存储在存储设备210上。用户数据随后可以由用户设备205-207、服务220-223和托管应用程序215访问。用户数据还可被复制到复制 设备211-212上。用户设备206和207可由存储数据的用户来操作,或可由该用户向其给予对该数 据的访问权限的其它用户来操作。例如,在工作时,用户可具有用户用来将该数据存储在存 储设备210上的计算机(例如用户设备20 。在家中,用户可以具有用户用来访问该数据 的另一计算机(例如用户设备206)。用户还可以具有用户用来访问该数据的蜂窝电话或其 它电子设备(例如用户设备207)。在用户旅行时,用户可以经由用户随身携带的计算机或 经由用户能够使用的另一计算机或电子设备来访问该数据。如上所述,用户可能想要使其他用户有权访问该数据并可能授予其他用户这种访 问。这些用户可以根据他们的访问权限使用计算机或其它电子设备(例如用户设备206和 207)来访问该数据。用户可能想要经由托管应用程序215来访问该数据。例如,用户可以经由web浏 览器访问托管应用程序215,并随后可以经由托管应用程序215来访问该数据。用户可能想要使特定服务有权访问用户的数据。例如用户可能想要使广告服务器 221访问用户的数据以向该用户或其他用户提供相关广告。用户可能想要是搜索引擎220 有权访问用户的数据以允许其他用户找到该用户的数据。用户可能想要使档案服务222有 权访问该数据以创建该数据的档案备份。用户还可能出于各种目的而想要使其它服务223 有权访问该数据。用户可能想要向有权访问用户数据的每一实体给出可随各实体而不同的特定一 组访问权限。例如,用户可能想要档案服务能够复制数据但不能够以有意义的方式读数据 或修改数据。能够复制数据而不能以以有意义的方式读数据或修改数据有时被称为“只复 制”访问。作为另一示例,用户可能想要使广告服务器221和搜索引擎220能够读数据但不 能向该数据写。用户可能想要使某些同事具有对该数据的读/写访问,而使其它商业伙伴 具有对该数据的读访问或只复制访问。网络225表示用于从一个实体向另一个实体传达数据的任何机制和/或一个或多 个设备的集合,并可包括内联网络和互联网络、因特网、电话线、蜂窝网络、连网设备等。用 户可能想要使网络225的设备能够复制数据来将其发送到其它实体,但不能够改变该数据 或以有意义的方式读取它。设备(例如设备205-207和210-21 的示例包括蜂窝电话、文本消息收发设备、 智能电话、连网设备、结合图1所述的专用和通用电子设备(或其部分)、以上的组合或变型等。本领域技术人员将理解,使多个实体处理或有权访问数据使得更难以保持数据安 全和确保如所需那样来控制访问。如下所述,此处所描述的主题的各方面解决对访问的控 制。图3是概括地表示根据此处所描述的主题的各方面的、可参与提供对文档的访问 的一组示例性实体的框图。这些实体包括请求实体305、零个或更多中间实体310和330、 存储访问实体315、存储设备320和安全数据储存库335。在一个实施例中,请求实体是诸如计算机等电子设备,而中间实体310和330是零 个或更多连网设备、服务器、或请求实体和存储访问实体315和/或安全数据储存库335之间的其它设备。存储访问实体315是能够访问其上存储所请求的文档的存储设备(例如存 储设备320)的设备。此处所使用的文档包括能够被存储在存储设备上的任何长度的位的任何集合。如 结合图4更详细地描述的,文档的版本可包括文档标识符、安全数据标识符、和加密数据, 以及其它数据。文档标识符在特定名字空间中唯一地标识文档。安全数据标识符可被用来 检索关于文档的安全数据。加密数据可包括例如用户想要保护的内容,如文字处理文件、电 子表格、其它数据、可被用来解密其它数据的密钥、或对用户而言很重要的任何其它数据。因为数据被加密,所以其只可由具有用于解密该数据的密钥的人来有意义地读 取。如以下详细描述的,这些密钥保持在安全数据储存库中的安全数据中。使用适当的密 钥,用户可以解密加密数据并访问其中的内容。存储设备320是能够存储数据的任何计算机可读介质,并可包括例如分布式文件 系统。以上已经结合图1描述了一些适用于存储设备320的示例性计算机可读介质。安全数据储存库335存储关于存储在存储设备320上的文档的安全数据。安全数 据储存库335可包括一个设备或彼此共同工作的若干个设备。安全数据储存库335可包括 文档的每一版本的安全数据记录。请求实体305可以通过向安全数据储存库发送包括在文 档中的安全数据标识符并请求其所标识的安全数据,来请求对应于所检索的文档的安全数 据记录。在一个实施例中,安全数据可以存储在文档本身中。在该实施例中,请求实体可以 直接从该文档获得安全数据。在一个实施例中,实体305、310、315和330中的一个或多个可以是在一个或多个 设备上执行的一个或多个进程或组件。在一个实施例中,存储设备320和/或安全数据储存 库335可以是包括在请求实体305在其上执行的设备中的设备或者是附连到其上的设备。 存储在存储设备320中的文档可由请求实体305在其上执行的设备的用户从另一设备置于 存储设备320上,或可由例如文件复制基础结构置于存储设备320上。如可看到的,在以上结合图3描述的示例性操作环境中,文档可以通过到达和始 自设法访问该文档的实体的路线中的多个实体。加密文档的数据并指示需要什么安全数据 来解密该数据允许该数据安全地存储在任何存储设备上和设备的任何配置中。图4示出可以结合此处所描述的主题的各方面使用的一些示例性数据结构。可为 文档的每一版本存储一文档版本数据结构(例如文档版本数据结构400)。每一文档版本数 据结构400可包括各个字段,包括文档标识符405、安全数据标识符410、时间戳415、加密数 据420和签名425。文档标识符405可被用来在给定名字空间中唯一地标识文档。例如,具有http类 句法的统一资源标识符(URI)(例如live^/alice/users/filel.txt)可被用来在给定名 字空间中标识文档。安全数据标识符410可被用来标识与该文档相关联的安全数据。在一个实施例 中,安全数据标识符410是安全数据结构(例安全数据结构427)中的各字段(除自身之 外)的散列。散列接收输入数据并计算定长输出数据。给定足够大的定长输出数据和合适 的散列,该散列有效地提供输入流的唯一标识符。时间戳字段410可包括指示该版本何时创建的时间戳。如上所述,加密数据字段420可包括用户想要保护的任何内容。签名字段425包括可被用来确保文档版本数据结构400是由授权用户创建的并且 从创建以来未被改变的任何一个或多个机制。文档版本数据结构400可包括更多或更少的字段,只要其包括用于标识或包括关 于该文档的安全数据的机制和用于加密所需数据的机制即可。安全数据结构427可包括安全数据标识符字段430、一个或多个授权字段435、一 个或多个密钥440、和签名425。在一个实施例中,安全数据标识符字段430中的安全数据 标识符可以如上所述地计算(即作为安全数据结构427的其它字段的散列)。授权字段435包括有权访问文档版本数据结构400的每一安全主体的授权。在一 些实施例中,安全主体是可经由被称为认证的技术来肯定地标识和验证的实体。在其它实 施例中,安全主体可包括从与另一文档相关联的安全数据解密的密钥。安全主体可包括用 户、机器、服务、进程、其它实体、解密密钥、或以上的一个或多个的复合(例如组)。每一授 权可由一密钥来加密,该密钥可由安全主体所持有或创建的密钥解密。公钥/私钥密码是 可被用来加密/解密授权的一种机制。因为特定安全主体可具有许多密钥并且安全文档中可有多个授权,所以在一个 实施例中,一种优化提供了密钥提示,该密钥提示提供可被用来解密授权的密钥的前几位 (以纯文本)。该密钥提示允许实体快速地确定其应当尝试解密哪些授权,因为实体可以简 单地将这前几位与其密钥进行比较。在有数百或数千个授权时,该机制所提供的时间节省 可以是显著的。因为可以只提供几位(例如2和16之间),所以用来加密/解密授权的机 制的强度不会被显著地弱化。如果需要,则可以通过使用更长的密钥来增加该机制的强度。在一个实施例中,授权包括允许安全主体执行关于一文档版本的一个或多个访问 权限的加密密钥。例如,可以给予一用户主体读文档、创建文档的新版本、改变哪些安全主 体可以访问该文档、以及执行关于该文档的任何其它安全相关动作的权限。可以给予另一 用户主体只读或只写访问。未被给予关于一文档的任何权限的实体可仍然具有只复制访问 (即复制但不能有意义地读加密数据的能力)。这些实体例如可被用于存档文档。在另一实施例中,授权可包括允许安全主体解密安全数据结构427别处(例如密 钥440中)的附加密钥的加密密钥。这些附加密钥可向安全主体授予对文档的访问权限。 可以这样做例如来减少安全数据结构427所需的空间,因为授权中的单个密钥可被用来解 密安全数据结构427中别处的多个密钥。在安全数据结构427包括数百或数千个授权时, 多个授权可以共享共同的一组访问权限。尽管对应于这些访问权限的密钥可以包括在授权 本身中,但在每一授权中提供允许安全主体解密安全数据结构427中别处的访问密钥的单 个密钥可更加节省空间。密钥440可包括如上所述的可对应于文档中所授予的访问权限的加密私钥。如上 所述,这些密钥可由授权字段435中所获得的密钥来解密。签名字段445可以用与数据结构400的签名字段425相似的方式来使用。安全数据结构427可包括更多或更少的字段,要其包括用于向授权用户提供访问 其相关联的文档的密钥的机制即可。文档版本数据结构400可包括标识另一文档版本数据结构的标识符。其它文档版 本数据结构可包括允许访问该文档的密钥。这一机制可被用来提供对文档的组访问。例如,
9与第一文档版本数据结构相关联的安全数据结构中的授权可对应于一个组的各个成员所 持有的密钥。该组中具有适当密钥的任何成员都能够从安全数据中获得成员密钥,该成员 密钥允许该成员根据在与第二文档相关联的安全数据中授予该组的权限来访问第二文档。 因此,访问文档可涉及访问中间文档。在另一实施例中,文档版本数据结构400可省略标识符。在该实施例中,另一机制 可暗示第一文档的安全数据中的密钥可提供对第二文档的访问。例如,如果已知第一文档 提供对另一文档的组访问,则可以对于用户尝试访问的每一其它文档的安全数据中的每一 授权,来尝试来自第一文档的安全数据的成员密钥。上述密钥提示可以加速该过程。图5是概括地表示根据此处所描述的主题的各方面的、可在访问文档时发生的示 例性动作的流程图。在框505处,动作开始。在框510处,实体请求包括加密数据的文档。例如,参考图3,请求实体305发送对 存储在存储设备320上的文档的请求。在框515处,实体接收该请求。例如,参考图3,中间实体310或存储访问实体315 中的一个接收该请求。在框520处,向请求者发送文档。例如,参考图3,从存储设备320中检索文档并发 送给请求实体305。在框525处,请求者获得文档。例如,参考图3,请求实体305接收文档。在框530处,实体作出请求并获得与文档相关联的安全数据。例如,参考图3,请 求实体305从文档获得安全标识符,并将该安全标识符与请求一起发送到安全数据储存库 335。在其中安全数据包括在文档中的各实施例中,请求实体305可以从文档本身获得安全 数据。在框535处,解密安全数据(例如授权)的至少一部分来获得关于文档的授权访 问动作的指示。例如,参考图3和图4,请求实体305解密授权字段435中的授权,并确定请 求实体305具有对文档的读访问。在框540处,从安全数据获得对应于该动作的密钥。在一个实施例中,密钥从框 535的解密动作获得;在另一实施例中,密钥从安全文档的另一部分获得。例如,参考图3和 图4,请求实体305从授权字段435获得读文档的密钥。在框545处,使用密钥来执行该动作。例如,参考图3和图4,请求实体305使用密 钥来解密加密数据字段420中的加密数据。在框550,动作结束。在一个实施例中,各动作以结合图5描述的次序发生。在其 它实施例中,以上相对图5所描述的各动作能以另一次序和/或并行发生而不背离此处所 描述的主题的精神或范围。此外,应当理解,各动作可以或可以不非常接近地发生。例如, 文件同步系统可以周期性地请求文档并将其存储在本地。稍后,在用户想要查看文档时,用 户可以设法打开文档并且可发生获得安全数据和解密文档的其它动作。图6是表示被配置成根据此处所描述的主题的各方面操作的示例性设备的框图。 设备605可包括请求组件610、密码组件615、文档定位器620、安全数据组件625、数据存储 630和通信机制635。请求组件610表示上述请求实体。密码组件615被用来加密和解密数据,并可包 括例如密码例程库。
文档定位器620确定文档位于何处,这可以或者在本地数据存储630上或者在设 备605外部的某一数据存储上。安全数据组件625与安全数据交互来获得关于文档的访问权限。通信机制635允许设备605与其它设备通信以例如获得文档和安全数据。通信机 制640可以是结合图1所述的网络接口或适配器170、调制解调器172或用于建立通信的任 何其它装置。可以理解,可以实现图6所示的设备605的其它变型而不背离此处所描述的主题 的各方面的精神或范围。可以理解,设备605上可以存在更多、更少或其它组件而不背离此 处所描述的主题的各方面的精神或范围。如从上述详细描述中可以看见,已经描述了关于以密码控制对文档的访问的各方 面。尽管此处所描述的主题的各方面易于作出各种修改和替换构造,但其某些说明性实施 例在附图中示出并在上面被详细地描述。然而,应当理解,并不旨在将所要求保护的主题的 各方面限制于所公开的具体形式,而是相反地,目的是要覆盖落入此处所描述的主题的各 方面的精神和范围之内的所有修改、替换构造和等效方案。
权利要求
1.一种具有计算机可执行指令的计算机可读介质(130、141、152、156、181),所述指令 在被执行时执行以下动作获得包括加密数据的文档(525),所述文档包括标识与该文档相关联的安全数据的标 识符,所述安全数据的至少部分被加密;解密所述安全数据的至少一部分以获得所授权的对于所述文档的动作的指示(535);从所述安全数据获得与所述动作相关联的密钥(540);使用所述密钥来执行所述动作(545)。
2.如权利要求1所述的计算机可读介质,其特征在于,获得包括加密数据的文档包括 第一设备从位于所述设备外部的数据存储请求所述文档。
3.如权利要求2所述的计算机可读介质,其特征在于,获得所述包括加密数据的文档 还包括通过至少一个中间设备传送所述文档。
4.如权利要求1所述的计算机可读介质,其特征在于,还包括发送对所述安全数据的 请求并用所述请求提供所述标识符。
5.如权利要求1所述的计算机可读介质,其特征在于,所述动作包括解密包括在所述 文档中的所述加密数据。
6.如权利要求1所述的计算机可读介质,其特征在于,所述动作包括改变什么实体被 允许访问所述文档。
7.如权利要求1所述的计算机可读介质,其特征在于,所述动作包括指示文档在所指 示的时间被修改。
8.如权利要求1所述的计算机可读介质,其特征在于,所述动作包括创建所述文档的 新版本。
9.如权利要求1所述的计算机可读介质,其特征在于,所述安全数据被包括在所述文 档中。
10.如权利要求1所述的计算机可读介质,其特征在于,所述安全数据不被包括在所述 文档中。
11.一种至少部分地由计算机实现的方法,所述方法包括接收对包括加密数据的文档的请求(515),所述文档包括标识与所述文档相关联的安 全数据的标识符,所述安全数据的至少部分被加密,所述安全数据的被加密的至少部分指 示被授权的关于访问所述文档的动作;以及响应于所述请求,发送所述文档(520)。
12.如权利要求11所述的方法,其特征在于,所述请求是从第一设备发送的,并且其中 发送所述文档包括向处于到所述第一设备的路线中的第二设备发送所述文档。
13.如权利要求12所述的方法,其特征在于,还包括向存储所述文档的设备转发所述 请求并在发送所述文档之前从所述设备接收所述文档。
14.如权利要求11所述的方法,其特征在于,所述请求是由有权访问其上存储所述文 档的存储设备的设备来接收的,并且所述方法还包括从所述存储设备检索所述文档。
15.如权利要求11所述的方法,其特征在于,被授权的关于访问所述文档的动作包括 解密所述文档中包括的所述加密数据。
16.如权利要求11所述的方法,其特征在于,被授权的关于访问所述文档的动作包括创建所述文档的新版本。
17.一种在计算环境中的装置(110、605),包括可用于请求对文档的访问的请求组件(610),所述文档包括标识与该文档相关联的安 全数据的标识符,所述安全数据的至少部分被加密,所述安全数据指示被授权的对于所述 文档的动作;可用于确定所述文档的位置的文档定位器(620);以及 可用于对所述文档执行所述动作的密码组件(615)。
18.如权利要求17所述的装置,其特征在于,还包括可用于获得所述安全数据的安全 数据组件。
19.如权利要求17所述的装置,其特征在于,所述文档的位置包括所述请求组件在其 上操作的设备外部的数据存储。
20.如权利要求17所述的装置,其特征在于,所述动作包括解密所述文档的加密部分。
全文摘要
此处所描述的主题的各方面涉及以密码控制对文档的访问。在各方面,文档被加密以保护它们不受未授权的访问。设法访问文档的安全主体首先获得该文档。该文档包括标识与该文档相关联的安全数据的标识符。安全数据包括含有对有权访问该文档的安全主体的授权的加密部分。具有适当的密钥的安全主体可以解密其安全数据中的授权,以获得可被用来访问该文档的一个或多个其它密钥。这些其它密钥对应于安全主体所具有的对于该文档的访问权限。
文档编号G06F15/16GK102138145SQ200880003230
公开日2011年7月27日 申请日期2008年1月22日 优先权日2007年1月26日
发明者C·W·里德 申请人:微软公司