专利名称:用于内容访问的基于流水线的授权的制作方法
用于内容访问的基于流水线的授权背景1.背景和相关技术计算机系统和相关技术影响社会的许多方面。的确,计算机系统处理信息的能力 已转变了人们生活和工作的方式。计算机系统现在通常执行在计算机系统出现以前手动执 行的许多任务(例如,文字处理、日程安排和账目结算等)。最近,计算机系统已彼此耦合并 耦合到其它电子设备以形成计算机系统和其它电子设备可以在其上传输电子内容的有线 和无线计算机网络。因此,许多计算任务的执行被分布在多个不同的计算机系统和/或多 个不同的计算组件上。不过,虽然电子内容对于许多计算机系统来说都是可访问的,但电子内容的创作 者可能希望对所述电子数据的访问进行限制。在某些环境中,一种或多种访问机制,例如密 码保护、设定文件属性(如只读等)、防火墙等等,都可以被用于限制对电子内容的访问。这 些机制实质上为被授权的任意人员提供了相同的电子内容访问级别。然而,如果一个用户 能够访问一个文件,通常也不会对该用户能够对该文件的内容如何处理进行限制。例如,如 果一个用户能够读取文件,则该用户可以将该文件复制到其他用户能够访问的另一位置, 用户可以打印该文件并将其遗留在某处等等,这些通常都不会被限制。因此,在某些环境中,电子内容的创作者可能希望为他们的电子内容提供更多可 配置的和/或更细粒度的访问控制。在这些其他环境中,内容创作者可以使用数字权限管 理(DRM)来控制对他们的电子内容的访问。DRM通常包括由内容创作者用于限制对电子内 容(或其实例)的利用的访问控制技术。这样,已经开发了各种不同类型的DRM用于保护 各种不同类型的电子内容,例如,图片、电影、视频、音乐、程序、多媒体、游戏、文档等。一种类别的DRM,企业权限管理(ERM)经常被用于控制对例如电子邮件消息、文字 处理文档和网页等文档的访问。权限管理服务(冊幻是一种ERM解决方案。RMS可以被用 于加密文档,并且通过基于服务器的策略来保护文档在除特定人或组、在某些环境、在某些 条件下或在某段时间周期之外不被解密。对于单独的文档,可以允许或不允许基于文档的 操作,例如打印、复制、编辑、转发和删除。RMS管理员可以部署RMS模板以将这些权限一起 组织成预定策略,所述预定策略可被一起应用到内容。因此,RMS保护的内容可以由启用RMS的应用程序来创建。RMS保护的内容被加密 并可包含嵌入的使用策略,该使用策略定义了每个用户或组对于内容具有的权限。一种RMS 系统通过将权限分配给可信实体来工作,这些可信实体是单个用户或用户组。以逐个实体 基础来分配权限。RMS定义并识别多个默认权限,例如对读取、复制、打印、保存、转发和编辑 的许可,并可扩展为识别附加权限(每个应用程序将必须显示地实现)。为了保护内容,用户指定要被应用到内容的使用策略。用户随后将内容和使用策 略提交给启用RMS的应用程序,启用RMS的应用程序将该使用策略应用到内容。虽然用户 (具有足够的技术知识)可以从无到有地来创建他们自己的使用策略,用户更通常地是访 问预先创建的定义使用策略的策略模板。例如,用户可以从RMS服务器请求使用策略模板。 使用策略随后被附加给文档。当用户请求对内容的访问时,评估使用策略以确定该用户的访问权限。因此,对RMS (或其他DRM机制)的使用在商业设置以保护商业网络中专有或机密 信息的领域中正变得日益流行。例如,一个大型公司的CEO可能希望分发包含商业机密的 电子邮件。然而,由于该信息的机密性质,该CEO可能希望限制接收者针对该消息可以采取 的行动。例如,CEO可能希望对该机密信息的读取、复制、打印和保存进行高级别的管理,然 而,她可能希望限制其他雇员为只读访问或根本不能访问。因此,通过使用RMS,CE0可以指 定谁被授权查看受保护的消息,并且他们针对其可采取什么行动。然而,在许多组织(例如商业)中,内容使用策略(例如包括在模板中)被分布并 散布到许多RMS服务器上。在这种环境中,在一个组织中的不同的子组织(例如分部、部门 等)通常从不同的RMS服务器获得内容使用策略。这种内容使用策略的分布性质导致在应 用和维护内容使用策略时的许多问题。至少一个问题为在定义所述内容使用策略时的困难。例如,一个组织可以具有可 应用到该组织内公布的任意内容的组织范围的策略。为了使得组织范围的策略可用,所述 组织范围的策略必须被推广到该组织中的任何RMS服务器。这样,就要求管理员单独访问 每个RMS服务器并更新该RMS服务器处的组织范围的策略。基于组织中RMS服务器的数目, 单独访问并更新RMS服务器会使得管理员资源紧张。而且,对组织范围的策略的频繁改变 也会增加管理员资源的紧张度。然而,最终,即使管理员很努力工作,还是没有办法来准确 预测每个可能请求访问内容的用户的权限。而且,一个组织中不同的予组织可以具有配置用于改变和/或补充组织范围的策 略的其他特定策略。子组织策略可能是有益的,因为他们允许子组织(分部、部门等)在不 影响整个组织的情况下满足他们特定的策略需求。例如,会计部门可以具有会计特定需求, 而所述需求不适用于组织的其他部门。因此,会计部门可以配置会计策略以满足会计特定 需求,而不需要将该会计策略强加于组织的其他部门。在一些环境中,子组织的创建和控制被分布到这些子组织本身以外(例如不同的 子组织可以控制他们自身的RMS服务器)。不幸地是,策略的分布创建和维护会导致潜在地 不期望的、未经同意的、不兼容的等策略的创建。为了验证子组织仅使用经同意的、兼容的 策略,可能要求管理员访问许多RMS服务器(例如对于每个子组织)并查看任意的组织策 略。所述管理员可以移除所识别的任何未经同意的、不兼容的等使用策略。这样,在一些环 境中,管理员被部分指派为管控内容使用策略。因此,降低了管理员执行其他计算机和网络 相关任务的可利用率。在一些环境中,管理员可以将策略的创建和维护限制到授权人员。然而,该授权人 员仍然必须访问每个RMS服务器以创建和维护组织策略以及任何子组织特定策略。这样, 在一些组织中,管理任务可以跨子组织被分布。这样,总是存在这样一些机会,(例如内容 使用)策略会变得不一致或对于指定的接收者不存在。例如,如果在内容已经使用内容使 用策略被保护之后改变该内容使用策略,用户可能被给予或被限制成对所述文档的不合适 的访问。简要概述本发明涉及用于基于工作流的内容访问授权的方法、系统和计算机程序产品。计 算机系统接收具有现存访问策略的内容。所述计算机系统确定所接收内容的任意预期接收者的访问权限没有被充分表示在现存访问策略中。响应于确定所述预期接收者的访问权限 没有被充分表示在现存访问策略中,所述计算机系统触发一工作流以评估所述预期接收者 的访问权限。所述工作流至少部分地自动进行所述评估以便减少与评估所述预期用户的访 问权限相关联的人为干预。所述计算机系统为所触发的工作流提供了用于评估在所接收内容中所述预期接 收者的访问权限的相关输入。所述工作流接收用于评估在所接收内容中预期接收者的访问 权限的相关输入。所述工作流根据所述相关输入评估所述预期接收者的访问权限。评估包 括以定义的行动顺序处理所述相关输入以更充分地表示和/或确定所接收内容中该预期 接收者的访问权限。所述工作流形成所述内容中该预期接收者的被更充分地表示的权限的指示。所述 工作流将被更充分地表示的权限的指示返回给应用程序。所述计算机系统从工作流接收所 述指示。所述计算机系统根据所接收的指示中的所述被更充分地表示的权限为所述预期的 接收者提供对所接收内容的访问。提供本发明内容是为了以精简的形式介绍将在以下具体实施方式
中进一步描述 的一些概念。本概述并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用 于帮助确定所要求保护的主题的范围。本发明的附加特征和优点将在以下描述中叙述,且其一部分根据本说明书将是显 而易见的,或可通过对本发明的实践来获知。本发明的特征和优点可通过在所附权利要求 书中特别指出的工具和组合来实现和获得。本发明的这些和其他特征将通过以下描述和所 附权利要求书变得更加显而易见,或可通过对下文中所述的本发明的实践来领会。附图简述为了描述可获得本发明的上述和其它优点和特征的方式,将通过引用附图中示出 的本发明的具体实施例来呈现以上简要描述的本发明的更具体描述。可以理解,这些附图 只描绘了本发明的各典型实施例,并且因此不被认为是对其范围的限制,将通过使用附图 并利用附加特征和细节来描述和解释本发明,在附图中
图1示出了便于基于工作流的内容访问授权的示例计算机体系结构的视图。图2示出基于工作流的内容访问的授权的示例方法的流程图。详细描述本发明涉及用于基于工作流的内容访问授权的方法、系统和计算机程序产品。计 算机系统接收具有现存访问策略的内容。所述计算机系统确定所接收内容的任意预期接收 者的访问权限没有被充分表示在现存访问策略中。响应于确定所述预期接收者的访问权限 没有被充分表示在现存访问策略中,所述计算机系统触发一工作流以评估所述预期接收者 的访问权限。所述工作流至少部分地自动进行所述评估以便减少与评估所述预期用户的访 问权限相关联的人为干预。所述计算机系统为所触发的工作流提供了用于评估在所接收内容中所述预期接 收者的访问权限的相关输入。所述工作流接收用于评估在所接收内容中预期接收者的访问 权限的相关输入。所述工作流根据所述相关输入评估所述预期接收者的访问权限。评估包 括以定义的行动顺序处理所述相关输入以更充分地表示和/或确定所接收内容中该预期 接收者的访问权限。
所述工作流形成所述内容中该预期接收者的被更充分地表示的权限的指示。所述 工作流将被更充分地表示的权限的指示返回给应用程序。所述计算机系统从工作流接收所 述指示。所述计算机系统根据所接收的指示中的所述被更充分地表示的权限为所述预期的 接收者提供对所接收内容的访问。本发明的各实施例可以包括或利用包含计算机硬件的专用或通用计算机,这将在 下文中更详细地讨论。本发明范围内的各实施例还包括用于承载或存储计算机可执行指令 和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可由通用或 专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理 存储介质。承载计算机可执行指令的计算机可读介质是传输介质。由此,作为示例而非限 制,本发明的各实施例可包括至少两种完全不同的计算机可读介质物理存储介质和传输 介质。物理存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁 存储设备、或可用于存储计算机可执行指令或数据结构形式的所需程序代码装置且可由通 用或专用计算机访问的任何其他介质。对于本说明书和所附权利要求书,“网络”被定义为允许在计算机系统和/或模块 和/或其他电子设备之间传输电子数据的一个或多个数据链路。当信息通过网络或另一通 信连接(硬连线、无线、或硬连线或无线的组合)传输或提供给计算机时,该计算机将该连 接适当地视为传输介质。传输介质可包括可用于携带计算机可执行指令或数据结构形式的 所需程序代码装置并可由通用或专用计算机访问的网络和/或数据链路。上面各项的组合 也应该包括在计算机可读介质的范围内。此外,应当理解,在到达各种计算机系统组件之后,计算机可执行指令或数据结构 形式的程序代码装置可从传输介质自动转移到物理存储介质(或者相反)。例如,通过网 络或数据链路接收到的计算机可执行指令或数据结构可被缓存在网络接口模块(例如, “NIC”)内的RAM中,然后最终被传送到计算机系统RAM和/或计算机系统处的较不易失的 物理存储介质。由此,应当理解,物理存储介质可被包括在同样(或甚至主要)利用传输介 质的计算机系统组件中。计算机可执行指令包括例如使通用计算机、专用计算机或专用处理设备执行某一 功能或一组功能的指令和数据。计算机可执行指令可以是例如二进制代码、诸如汇编语言 等中间格式指令、或甚至源代码。尽管用结构特征和/或方法动作专用的语言描述了本主 题,但可以理解的是,所附权利要求书中定义的主题不必限于上述特征或动作。相反,上述 特征和动作是作为实现权利要求的示例形式而公开的。本领域的技术人员将理解,本发明可以在具有许多类型的计算机系统配置的网络 计算环境中实践,这些计算机系统配置包括个人计算机、台式计算机、膝上型计算机、消息 处理器、手持式设备、多处理器系统、基于微处理器的或可编程消费电子设备、网络PC、小型 计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等等。本发明也可以在其中通 过网络链接(或者通过硬连线数据链路、无线数据链路,或者通过硬连线和无线数据链路 的组合)的本地和远程计算机系统两者都执行任务的分布式系统环境中实践。在分布式系 统环境中,程序模块可以位于本地和远程存储器存储设备中。图1示出了便于基于工作流的内容访问授权的示例计算机体系结构100。如所述,计算机体系结构100包括计算机系统101、计算机系统105、工作流103以及外部资源 104。所描绘的组件中的每一个可通过系统总线和/或诸如例如局域网(“LAN”)、广域网 (“WAN”)或甚至因特网等网络(或作为网络的一部分)彼此连接。因此,所描绘的组件中 的每一个以及任何其他连接的组件都可以创建消息相关数据并通过网络交换消息相关数 据(例如,网际协议(“IP”)数据报和利用IP数据报的其他更高层协议,诸如传输控制协 议(“TCP”)、超文本传输协议(“HTTP”)、简单邮件传输协议(“SMTP”)等)。计算机系统101被配置用于接收给预期消息接收者的消息。计算机系统101可以 是预期接收者的目的计算机系统(例如用户桌面计算机)或可以是存储内容以便后续传送 给预期接收者的目的计算机系统的计算机系统(例如电子邮件服务器)。计算机系统101 包括策略模块102。策略模块102被配置用于评估用于所接收内容的保护策略以确定预期 接收者是否被授权访问该消息。策略模块102可以与保护服务器(例如数字权限管理服务 器)交互以确定内容的预期接收者是否被授权访问所述内容。
当保护策略没有充分表示预期接收者的权限时,计算机系统101可以触发工作流 (例如工作流103),所述工作流103被配置为更充分地表示预期接收者的权限。工作流是一种可重复的活动模式,通过排序各种元素以形成一工作过程来构建。 当被应用到对信息访问的授权时,工作流可以修改现存信息访问策略、创建新的策略并将 其应用于信息、移除现存策略以及为对内容的访问做出授权决策。例如,可以根据某一情况 (通过相关输入来表示)和驱动所述工作流的商业逻辑来添加、改变或移除策略元素。商业 逻辑可以包括从外部源(例如验证在HR数据库中用户的角色)取回数据、从赞同者处获得 授权(例如通知适合的人并请求他们的同意,从m个人中的每个人、某个人或η个人),创建 日志记录并对其验证或甚至启动其他工作流。或者,或结合策略元素修改,工作流还可以返回指示请求者是否被允许访问受保 护内容的授权决策。授权决策可以异步发生,例如,当要求人为干预或授权时。工作流可以由人或程序性事件来明示地触发,或者它可以在信息访问系统请求授 权决策时被隐含地触发。例如,可以通过接收包含受保护内容的消息、重新分类内容、将内 容移动到新位置、与其他实体共享内容等来触发工作流。工作流可以是编码的或数据驱动的。编码的工作流包括以预定顺序执行的程序性 代码。数据驱动的工作流包括描述基于所接收的输入要执行的行动和这些行动的顺序的数 据文件。就是说,所述行动实质上被组件化以允许基于所接收的输入和各个组件的输出来 描述通过所述工作流的许多路径。当做出请求时,所述请求可以包括保护策略相对于许多输入的评估。因此,计算机 系统101可以提交相关输入(例如工作流输入116)给工作流以确定内容中的预期接收者 的权限。相关输入可以包括所请求的资源或信息、请求者的身份以及一些有关发生访问的 环境的上下文(机器身份、机器健康状态、物理位置等)。计算机系统101被配置为从工作 流接收结果并实施所述结果中指示的决策。在计算机系统101存储用于后续传送的内容的实施例中,计算机系统105可被配 置作为预期接收者的目的计算机系统。在这些实施例中,计算机系统101可以发送内容、更 新的访问策略以及授权决策给计算机系统105以实施。外部资源104包括当执行行动时工作流可以引用的其他资源。外部资源104可包括,例如数据库、人员、日志文件和其他工作流。这样,在一些实施例中,在处理相关输入的 过程中,当修改策略或做出授权决策时,一个工作流可以触发另一工作流。图2示出基于工作流的内容访问授权的示例方法200的流程图。方法200将参考 计算机体系结构100中的组件和数据来描述。
方法200包括接收内容的动作,所接收的内容具有现存访问策略(动作201)。例 如,计算机系统101可以接收消息111。消息111包含内容112以及预期接收者标识符113。 预期接收者标识符113可以是标识通过计算机系统101访问内容的用户、组等的任意数据, 例如电子邮件地址、用户名、组名等。计算机系统101还接收保护策略114,所述保护策略 114被单独地、与消息111 一起或包含在消息111中被接收。保护策略114可以指示一个或 多个主要内容的权限,例如内容112中的用户和/或组。保护策略114可以由数字权限管 理(DRM)系统进行管理。方法200包括确定所接收内容的预期接收者的访问权限没有充分表示在现存访 问策略中的动作(动作202)。例如,计算机系统101可以确定内容112中预期接收者131 的访问权限没有充分表示在保护策略114中。计算机系统101可以确定预期接收者标识符 113对应于用户131。策略模块102随后可以处理保护策略114以确定保护策略114是否 充分表示内容112中用户131的权限。例如在当预期接收者的权限没有包括在保护策略中时、如果执行特定操作的权限 没有被包括在保护策略中时等情况下,保护策略中表示的权限是没有被充分表示的。例如, 如果预期接收者131没有被包括在保护策略114中,则内容112中预期接收者131的权限 没有被充分表示。类似地,如果预期接收者131打算编辑内容112,但保护策略114没有指 示对预期接收者131的写允许,则内容112中预期接收者131的权限没有被充分表示。或者,即使当保护策略指示内容中的权限,策略模块102也可以由于其他因素来 确定所述权限没有被充分表示。其他因素可包括保护策略114是旧的、内容112的商业所 有者期望在允许对内容112访问之前增强详细审查、策略模块102中的逻辑指示要执行进 一步的访问检查、策略模块102不能处理保护策略114等。这样,如果保护策略指示预期接 收者具有相对于内容的权限,策略模块102仍然可以确定所述权限没有被充分表示(并且 要被重新评估并修改权限)。例如,可能是保护策略114授权预期接收者131对内容112的 不受限访问。然而,策略模块102可以把保护策略114看作预期接收者131的没有充分表 示的权限。在一些实施例中,策略模块102缺少授权内容访问的能力,计算机系统不包括策 略模块或计算机系统101出于一些其他原因要求外部的内容访问授权。在一些实施例中, 计算机系统101隐含地确定任意所接收的保护策略没有充分表示内容中预期接收者的权 限。就是说,由于计算机系统101没有被配置为授权内容访问,在任意所接收的保护策略中 本来就没有充分表示预期接收者权限。方法200包括响应于确定预期接收者的访问权限没有被充分表示在现存访问策 略中而触发工作流以评估预期接收者的访问权限的动作,所述工作流至少部分自动执行所 述评估以便减少与评估所述预期接收者访问权限相关联的人为干预(动作203)。例如,计 算机系统101响应于确定(内容112中)预期接收者131的权限没有充分表示在保护策略 114中来触发工作流103。工作流103可至少部分自动执行对预期接收者131的权限的评估以便减少确定所述预期接收者131的权限所需的人为干预。方法200包括向被触发的工作流提供用于评估在所接收内容中所述预期接收者 的访问权限的相关输入的动作(动作204)。例如,计算机系统101能够向工作流103提供 工作流输入116。至少部分基于工作流输入116,工作流103可以评估内容112中的预期接 收者131的权限。工作流输入可以包括,例如内容112、预期接收者131的身份、发生访问的 环境的上下文(例如机器身份、机器健康状态、物理位置)等。如果要在计算机系统101处 访问内容112,计算机系统· 101可以提供其自己的环境上下文。另一方面,如果要在计算 机系统105处访问内容112,计算机系统101可以提供计算机系统105的环境上下文。方法200包括接收用于评估在所接收内容中预期接收者的访问权限的相关输入, 所述相关输入是由所述计算机系统响应于确定在所接收内容中预期接收者的访问权限没 有充分表示在用于所接收内容的现存访问策略中而被发送的(动作205)。例如,工作流103 可以从计算机系统101接收工作流输入116。计算机系统101响应于确定(内容112中) 预期接收者131的访问权限没有充分表示在保护策略114中而发送工作流输入116。方法200包括基于所述相关输入评估预期接收者的访问权限的动作,所述评估包 括以定义的动作顺序处理所述相关输入以更充分地表示所接收的内容中预期接收者的访 问权限(动作206)。对于编码的工作流, 程序性代码可以预定顺序处理工作流输入来评估 预期接收者131的权限。对于数据驱动的工作流,工作流103可基于工作流输入初始确定 动作顺序。工作流103可随后使用所述工作流输入116执行所确定的动作顺序以评估预期 接收者131的权限。例如,工作流输入116可以由工作流103中的一系列动作来处理以更 充分表示内容112中预期接收者131的权限。被更充分地表示的权限可以包括对保护策略 114中策略项的改变和/或允许/拒绝对内容112的访问的授权决策。在执行期间,工作流103可以参考外部资源104。例如,工作流103可以查询一个 或多个实体以寻求同意,从数据库中访问数据、联系DRM服务器、触发更多工作流等。方法200包括形成内容中的预期接收者的被更充分地表示的权限的指示的动作 (动作207)。例如,工作流可以形成指示内容112中预期接收者131的被更充分地表示的 权限的工作流响应117。工作流响应117可以包括对保护策略114中策略项的改变和/或 允许/拒绝对内容112的访问的授权决策。形成工作流响应117的时间周期可以根据工作流103的配置而改变。例如,当不 需要参考外部资源104或当参考外部资源104被限制于进一步的电子数据时,工作流103 可以相对快速地生成工作流响应117。另一方面,当参考外部资源104依赖于进一步的人为 输入时,例如,管理员的赞成,工作流响应117的生成可以变得更长。方法200包括将所述被更充分地表示的权限的指示返回给应用程序的动作(动 作208)。例如,工作流103可以将工作流响应117返回给计算机系统101。方法200包括 从所述工作流接收指示,所述指示更充分地表示了在所述内容中预期接收者的权限(动作 209)。例如,计算机系统101能够从工作流103接收工作流响应117。方法200包括根据所接收的指示中的所述被更充分地表示的权限为所述预期接 收者提供对所接收内容的访问(动作210)。例如,计算机系统101可以根据工作流响应117 中被更充分地表示的权限为所述预期接收者131提供对内容112的访问。在一些实施例中(当工作流响应117包括策略项更新时),将工作流117转发到策略模块102。策略模块102可以处理在工作流响应117中所指示的策略项修改以生成经 更新的访问策略118。经更新的访问策略118可以更充分地表示内容112中的预期接收者 131的权限。当适合时,策略模块102可以随后使用经更新的访问策略118来允许/拒绝对 内容112的预期接收者131的访问。在其他 实施例中,计算机系统101依靠工作流响应117中所包含的授权决策来允 许/拒绝对内容112的预期接收者131的访问。在进一步的实施例中(当工作流响应117包括策略项更新和授权决策时),计算机 系统101可以既生成经更新的访问策略118又依靠所包含的授权来允许/拒绝对内容112 的访问。当在计算机系统101处访问内容112时,计算机系统101可以实现授权决策来允 许/拒绝在计算机系统101处对内容112的预期接收者131的访问。另一方面,如果要在计算机系统105处访问内容112,计算机系统101将适合的信 息随内容112 —起转发给计算机系统105。例如,计算机系统101可以向计算机系统105转 发经更新的访问策略118。在计算机系统105处的策略模块可以处理经更新的访问策略118 以允许/拒绝对内容112的访问。或者或通过结合,计算机系统101可以发送授权119给 计算机系统105。计算机系统105可以实现(经处理的或所接收的)授权处理以允许/拒 绝在计算机系统105处对内容112的预期接收者131的访问。在一些实施例中,计算机系统101是消息(例如电子邮件)服务器,它存储消息直 到消息(例如电子邮件)客户机请求所述消息。计算机系统105是包括消息客户机的终端 用户计算机系统。这样,预期接收者131可以使用所述消息客户机来访问来自计算机系统 101的消息。计算机系统101可以被配置为保留含有受保护内容的消息直到预期接收者的访 问权限被充分地表示。就是说,计算机系统101不会响应于对消息的请求将消息返回给消 息客户机,直到受保护内容中的预期接收者的权限被充分表示。例如,计算机系统101可以 保留消息111,直到工作流103完成。在工作流103完成并且策略项更新和/或授权被处理之后,计算机系统101可以 使得消息111可用。计算机系统105可以随后请求消息111。响应于所述请求,计算机系 统101可以发送消息111和一个或多个经更新的访问策略118和授权119。由于计算机系 统101执行更新保护策略和/或授权内容访问的处理,即使不能实质性消除在消息客户机 上的处理负担,也能显著地减少这些处理负担。例如,当接收到经更新的访问策略118时,计算机系统105可以更加容易地确定在 内容112中预期接收者131的权限,因为,经更新的访问策略118更充分地表示了预期接收 者131的权限。就是说,减轻了计算机系统105必须更新保护策略114的要求。接收到授 权119时,计算机系统105可以依靠授权119来允许/拒绝对内容112的预期接收者131 的访问。这样,减轻了计算机系统105必须做出完全授权决策的要求。因此,消息客户机从 在计算机系统101处执行处理中获得了好处,使得所述消息客户机能够更充分地允许/拒 绝对受保护内容的访问。这在消息通信环境中特别有用,例如电子邮件,在这些环境中,在被请求之前,消 息会在消息服务器上驻留一定时间。电子邮件服务器可以延迟电子消息的可用性,直到受保护内容中的访问权限被充分表示。而且,通过使用工作流来做出授权决策,对信息的访问可以变得更加灵活,使得其 能够在其生命周期中遵循所期望的信息流程。这种灵活性允许组织保护他们的信息,而不 需要担心所述保护会阻断商业的自然流程。例如,工作流的使用还便利于至少下述方面。在一个方面,创作者创建机密文档, 并用特定策略来保护它,并将其发送给接收者。接收者和创作者可以一起合作该文档一段 时间。随后 ,接收者决定将该文档发送给其管理者以获得对该文档的反馈,该管理者并没有 被包括在所述特定策略中。当该管理者试图访问所述内容时,信息访问系统可以确定在所 述特定策略中他/她没有被授权访问。因此,应用一个工作流以解决该情况。所述信息访问系统可以代表管理者向创作者发送访问请求。创作者可以同意来自 (例如)他的电子邮件收件箱的所述访问请求,而不需要修改文档上的策略或重新分发该 文档。工作流随后可以修改策略本身并通知管理者所述访问被授权。当该管理者尝试再次 访问该文档时,基于来自所述工作流的授权,将授权该访问。而且,所述信息访问系统可以检测到该管理者将不能访问其发送的所述文档并且 此时它可以自动应用该工作流(在文档请求之前),可选地,保留所述信息不进行最终传 递,直到访问被授权。在另一方面,公司A中的创作者试图将受保护的机密文档向外发送到公司B的外 部合作者。当检测到这种行为时,消息通信系统可以启动工作流,该工作流在将所述文档发 送给该外部合作者之前,首先把该文档发送到合法文档以获得同意,并随后发送给管理者 以获得最终签字。在该处理的每个步骤中,信息访问系统基于所述工作流相应地修改所述 策略。本发明可具体化为其它具体形式而不背离其精神或本质特征。所描述的实施例在 各个方面都只作为说明性的,而不是限制性的。因此,本发明的范围由所附权利要求书而不 是由前面的描述指出。在权利要求的等效方案内的含义和范围内的所有更改都将包括在它 们的范围内。
权利要求
1.在计算机体系结构(100)中的一种用于确定对访问内容(112)的内容接收者(131) 的权限的方法,所述方法包括接收内容(112)的动作,所接收的内容(112)具有现存的访问策略(114);确定所接收的内容(11 的预期接收者(131)的访问权限没有被充分表示在现存访问 策略(114)中的动作;响应于确定预期接收者的访问权限没有被充分表示在现存访问策略(114)中而触发 工作流(103)以评估预期接收者(131)的访问权限的动作,所述工作流(103)至少部分自 动执行所述评估以便减少与评估预期接收者访问权限相关联的人为干预;为所触发的工作流(10 提供用于评估在所接收的内容(11 中所述预期接收者 (131)的访问权限的相关输入(116)的动作;从所述工作流接收指示(117)的动作,所述指示更充分地表示了在所述内容中预期接 收者的权限;根据所接收的指示中的所述被更充分地表示的权限(117)为所述预期接收者(131)提 供对所接收的内容(112)的访问的动作。
2.如权利要求1所述的方法,其特征在于,所述触发工作流以评估预期接收者(131)的 访问权限的动作包括响应于在所述预期接收者所知的用于访问内容的位置处接收所述内 容来触发工作流的动作。
3.如权利要求1所述的方法,其特征在于,所述触发工作流以评估预期接收者的访问 权限的动作包括响应于所述预期接收者试图访问所接收的内容来触发工作流的动作。
4.如权利要求1所述的方法,其特征在于,所述触发工作流以评估预期接收者的访问 权限的动作包括触发以预定顺序执行的基于代码的工作流的动作。
5.如权利要求1所述的方法,其特征在于,所述触发工作流以评估预期接收者的访问 权限的动作包括触发数据驱动的工作流的动作,所述数据驱动的工作流描述要执行的行 动以及基于与试图访问所接收的内容的预期接收者相关的环境来执行所描述的行动的顺 序。
6.如权利要求1所述的方法,其特征在于,所述为所触发的工作流提供相关输入的动 作包括为所触发的工作流提供受保护内容、所述预期接收者的身份、文档特定信息以及发 生访问的环境的上下文中的一个或多个的动作,所触发的工作流被配置为接收各种不同的 属性作为输入。?
7.如权利要求1所述的方法,其特征在于,从所述工作流接收指示的动作包括接收策 略项要被加入现存策略、从现存策略中移除或在现存策略中修改的指示的动作。
8.如权利要求6所述的方法,其特征在于,根据所接收的指示中的所述被更充分地表 示的权限为所述预期的接收者提供对所接收的内容的访问的动作包括将策略项加入现存 策略、从现存策略中移除策略项或在现存策略中修改策略项的动作。
9.如权利要求1所述的方法,其特征在于,所述从工作流接收指示的动作包括从所述 工作流和计算机用户中的至少一个接收授权决策的动作。
10.如权利要求1所述的方法,其特征在于,还包括通知所述预期接收者他们已经被授权访问所接收的内容的动作。
11.如权利要求1所述的方法,其特征在于,还包括检测所述预期接收者正请求对所接收的内容的访问的动作;以及其中触发工作流的动作包括响应于检测到所述请求触发工作流。
12.如权利要求1所述的方法,其特征在于,还包括阻止对所述受保护内容的访问,直到从所述工作流接收到所述指示。
13.在计算机体系结构(100)中的一种用于确定对访问内容(112)的内容接收者 (131)的权限的方法,所述方法包括工作流(130)接收用于评估在所接收的内容(112)中预期接收者(131)的访问权限的 相关输入(116)的动作,所述相关输入(116)是响应于确定在所接收的内容(11 中预期 接收者的访问权限没有充分表示在用于所接收的内容的现存访问策略(114)中而从计算 机系统(101)发送的;所述工作流(103)基于所述相关输入(116)评估预期接收者的访问权限的动作,所述 评估包括以定义的行动顺序处理所述相关输入(116)以更充分地表示所接收的内容中预 期接收者的权限;所述工作流形成所述内容中预期接收者的被更充分表示的权限的指示(117)的动作;以及所述工作流将被更充分地表示的权限的指示(117)返回给应用程序的动作。
14.如权利要求13所述的方法,其特征在于,所述工作流评估预期接收者的访问权限 的动作包括所述工作流从外部数据源检索参考数据。
15.如权利要求13所述的方法,其特征在于,所述工作流评估预期接收者的访问权限 的动作包括所述工作流从一个或多个赞同人处请求授权以实现访问策略改变。
16.如权利要求13所述的方法,其特征在于,所述工作流评估预期接收者的访问权限 的动作包括所述工作流启动一个或多个附加工作流。
17.如权利要求13所述的方法,其特征在于,所述工作流评估预期接收者的访问权限 的动作包括基于编码的工作流执行预定的动作序列。
18.如权利要求13所述的方法,其特征在于,所述工作流评估预期接收者的访问权限 的动作包括数据驱动的工作流以一顺序执行所描述的行动,其中所述顺序基于与试图访 问所接收的内容的预期接收者相关的环境。
19.如权利要求13所述的方法,其特征在于,形成所述内容中预期接收者的被更充分 表示的权限的指示的动作包括确定要应用到现存访问策略的访问策略改变的动作。
20.一种计算机系统,所述计算机系统包括一个或多个处理器;系统存储器;一种或多种其上存储有计算机可执行指令的物理存储介质,所述计算机可执行指令在 所述处理器之一处执行时使得所述计算机系统接收内容,所接收的内容具有现存访问策略;确定所接收的内容的预期接收者的访问权限没有被充分表示在现存访问策略中;响应于确定预期接收者的访问权限没有被充分表示在现存访问策略中而触发工作流 以评估预期接收者访问权限,所述工作流至少部分自动执行所述评估以便减少与评估预期 接收者访问权限相关联的人为干预;为所触发的工作流提供用于评估在所接收的内容中所述预期接收者的访问权限的相 关输入;从所述工作流接收指示,所述指示更充分地表示了在所述内容中预期接收者的权限; 根据所接收的指示中的所述被更充分地表示的权限为所述预期的接收者提供对所接 收内容的访问,这包括以下的一个或多个更新所述保护策略中的策略元素以生成经更新 的保护策略以及依靠授权决策;以及 其中所述工作流被配置成接收用于评估在所接收的内容中预期接收者的访问权限的相关输入,所述相关输入是 响应于确定在所接收的内容中预期接收者的访问权限没有被充分表示在用于所接收的内 容的现存访问策略中而由所述计算机系统发送的;基于所述相关输入评估预期接收者的访问权限,评估包括以定义的行动顺序处理所述 相关输入以更充分地表示所接收的内容中预期接收者的访问权限、这包括以下的一个或多 个指示所述保护策略中的策略项要被更新以及生成对所述预期接收者的授权决策; 形成所述内容中预期接收者的被更充分地表示的权限的指示;以及 将被更充分地表示的权限的指示返回给应用程序。
全文摘要
本发明涉及用于基于工作流的内容访问授权的方法、系统和计算机程序产品。当保护策略没有充分表示受保护内容中预期接收者的权限时,可触发一工作流。工作流处理相关输入以更充分地表示受保护内容中预期接收者的权限。工作流可以提供策略项更新以及针对该受保护内容的授权决策。通过使用工作流来做出授权决策,对信息的访问可以变得更加灵活,使得其能够在其生命周期中遵循所期望的信息流程。这种灵活性允许组织保护他们的信息,而不需要担心所述保护会阻断商业的自然流程。
文档编号G06F21/00GK102077207SQ200980124798
公开日2011年5月25日 申请日期2009年6月25日 优先权日2008年6月27日
发明者C·G·拜尔, F·德隆巴尔德, K·D·雷, R·U·马拉维拉希奇, S·C·科特里尔 申请人:微软公司