访问许可权利审查

摘要

一种用于运行包括多个网络对象的企业计算机网络的系统，所述系统包括：监测和收集功能块，用于获得关于所述网络对象的访问许可和实际使用状况中的至少一项的持续更新的信息；以及所有者权利审查功能块，能够向至少一个网络对象的至少一个所有者呈现授权状态的可视觉识别的标识，该授权状态的可视觉识别的标识包括未被所述至少一个网络对象的所述至少一个所有者授权的用户的特定标识。

说明书

相关申请的引用

引用2010年2月16日提交的，名为“ENTERPRISE LEVEL DATA  MANAGEMENT”的12/673,691序列号美国专利申请，其为2010年1月 27日提交的名为“ENTERPRISE LEVEL DATA MANAGEMENT”的 PCT\IL2010\000069号的国家阶段申请，其公开据此通过引用并入本文且 据此依照37CFR 1.78(a)(1)和(2)(i)要求其优先权。

同时引用2010年6月14日提交的，名为“ACCESS PERMISSIONS  ENTITLEMENT REVIEW”的12/814,807序列号美国专利申请，其公开据 此通过引用并入本文且据此依照37CFR 1.78(a)(1)和(2)(i)要求其优先权。

同时引用下列受让人所有的专利和专利申请，其公开据此通过引用并 入本文：

7,555,482和7,606,801号美国专利；

2007/0244899、2008/0271157、2009/0100058、2009/0119298和 2009/0265780号美国公开专利申请；以及

61/240,726号美国临时专利申请。

技术领域

本发明总的来说涉及数据管理，更具体地，涉及企业级数据管理。

背景技术

下列专利公开文献被认为反映了技术现状：

美国专利号：5,465,387、5,899,991、6,338,082、6,393,468、6,928,439、 7,031,984、7,068,592、7,403,925、7,421,740、7,555,482和7,606,801；以 及

美国公布专利申请号：2003/0051026、2004/0249847、2005/0108206、 2005/0203881、2005/0120054、2005/0086529、2006/0064313、2006/0184530、 2006/0184459和2007/0203872。

发明内容

本发明为数据管理提供了改进的系统和方法论。

因此，根据本发明的优选实施方式，提出一种用于运行包括多个网络 对象的企业计算机网络的系统，该系统包括：监测和收集功能块（机能）， 用于获得关于网络对象的访问许可和实际使用状况中的至少一项的持续 更新的信息；以及所有者权利审查功能块，可向至少一个网络对象的至少 一个所有者呈现授权状态的可视觉识别的标识，该标识包括未被所述至少 一个网络对象的所述至少一个所有者授权的用户的特定标识。

优选地，该系统存在于连接到企业级网络的计算机服务器上，该网络 连接多种计算机和存储设备。

根据本发明的优选实施方式，所有者权利审查功能块可周期性地向所 述至少一个网络对象的所述至少一个所有者呈现授权状态的可视觉识别 的标识。另外，授权状态的可视觉识别的标识包括所述至少一个网络对象 的所述至少一个所有者所拥有的网络对象的列表。

优选地，对网络对象的列表中的每个网络对象，授权状态的可视觉识 别的标识包括对网络对象的列表中的该每个网络对象具有访问许可的用 户和用户组的列表。另外，对于对网络对象的列表中的每个网络对象具有 访问许可的用户和用户组的列表中的每个用户或用户组，授权状态至少包 括指示访问许可是否未被所述至少一个网络对象的所述至少一个所有者 授权的标识。

根据本发明的另一优选实施方式，还提出一种用于运行包括多个网络 对象的企业计算机网络的系统，该系统包括：监测和收集功能块，用于获 得关于网络对象的访问许可和实际使用状况中的至少一项的持续更新的 信息；以及所有者权利审查功能块，可向至少一个网络对象的至少一个所 有者呈现授权状态的可视觉识别的标识，并且要求所述至少一个所有者确 认或修改授权状态。

优选地，该系统存在于连接到企业级网络的计算机服务器上，该网络 连接至多种计算机和存储设备。

根据本发明的优选实施方式，所有者权利审查功能块可周期性地向所 述至少一个网络对象的所述至少一个所有者呈现授权状态的可视觉识别 的标识，并周期性地要求所述至少一个所有者确认或修改授权状态。另外， 授权状态的可视觉识别的标识包括所述至少一个网络对象的所述至少一 个所有者所拥有的网络对象的列表。

优选地，对网络对象的列表中的每个网络对象，授权状态的可视觉识 别的标识包括对网络对象的列表中的每个网络对象具有访问许可的用户 和用户组的列表。另外，对于对网络对象的列表中的每个网络对象具有访 问许可的用户和用户组的列表中的每个用户或用户组，授权状态至少包括 指示访问许可是否未被所述至少一个网络对象的所述至少一个所有者授 权的标识和向所述至少一个网络对象的所述至少一个所有者建议是否应 撤销用户或用户组的访问许可的撤销建议。

优选地，撤销建议包括关于撤销建议的文本理由。附加地或者可选地， 所有者权利审查功能块包括访问许可修改功能块。优选地，访问许可修改 功能块被预先设定为根据撤销建议对访问许可进行修改。

根据本发明的优选实施方式，当所述至少一个网络对象的所述至少一 个所有者利用访问许可修改功能块修改对网络对象的列表中的任意项的 访问许可时，所有者权利审查功能块要求所述至少一个网络对象的所述至 少一个所有者写出修改对网络对象的列表中的任意项的访问许可的理由。 优选地，当至少一个网络对象的至少一个所有者选择忽略与至少一个网络 对象相关的撤销建议时，所有者权利审查功能块要求至少一个网络对象的 至少一个所有者写出忽略与所述至少一个网络对象相关的撤销建议的理 由。

根据本发明的又一优选实施方式，进一步提出一种用于运行包括多个 网络对象的企业计算机网络的方法，该方法包括：监测和收集关于网络对 象的访问许可和实际使用状况中的至少一项的持续更新的信息；以及，向 至少一个网络对象的至少一个所有者呈现包括授权状态的可视觉识别的 标识的权利审查，该授权状态的可视觉识别的标识包括未被所述至少一个 网络对象的所述至少一个所有者授权的用户的特定标识。

根据本发明的再一优选实施方式，再进一步提出一种用于运行包括多 个网络对象的企业计算机网络的方法，该方法包括：监测和收集关于网络 对象的访问许可和实际使用状况中的至少一项的持续更新的信息；以及， 向至少一个网络对象的至少一个所有者呈现包括授权状态的可视觉识别 的标识的权利审查，并要求所述至少一个所有者确认或修改授权状态。

附图说明

结合下列图例，本发明将在随后的详细描述中得到更全面的理解和领 会，在附图中：

图1A和图1B是根据本发明优选实施方式构造并实施的访问许可权 利系统的操作的简化示意图。

具体实施方式

现参考图1A和图1B，它们是示出根据本发明优选实施方式构造并 实施的访问许可权利系统的简图。

该系统优选适用于运行包括诸如不同用户、用户群和网络资源的多个 网络对象的公司计算机网络，且包括：

监测和收集功能块，用于获得关于网络对象的访问许可和实际使用状 况中的至少一项的持续更新的信息；以及

所有者权利审查功能块，可向至少一个网络对象的至少一个所有者呈 现可视觉识别的授权状态的标识，并要求所述至少一个所有者确认或修改 授权状态，其中，该授权状态的标识包括未被所述至少一个网络对象的所 述至少一个所有者授权的用户的特定标识。

用于此应用的术语“网络对象”被定义为包括任何商用计算机操作 系统上由用户组成的企业计算机网络资源。网络对象的示例包括结构性的 和非结构性的计算机数据资源，诸如文件和文件夹、以及用户组。

网络对象的所有者负责网络对象的许可授权，例如，许可可包括对文 件的读或写许可、对文件夹的修改许可（例如创建或删除文件的许可）、 对用户组的修改许可（例如从组中添加或删除用户的许可）。

如图1A所示，系统可存在于服务器100上，服务器100连接于企业 级网络102，企业级网络102可能连接了千百计的计算机104和存储设备 106。在任意给定的时间定义一个矩阵（未示出），其包括这一时间企业中 所有的网络对象。系统对矩阵进行多方面的修改，该修改针对网络对象的 访问许可和网络对象的实际使用状况。

周期性地，系统向网络中的所有网络对象所有者呈现数据权利审查。 例如，如图1A所示，2009年7月1日上午9点网络对象所有者110得到 了一份季度性权利审查112，要求网络对象所有者110审查、按需修改和 批准。

季度性权利审查112优选包括网络对象所有者110所拥有的文件夹列 表。对每一个文件夹，权利审查112优选包括当前对该文件夹具有访问许 可的用户和用户组的列表，而对每个当前对该文件夹具有访问许可的用户 和用户组，权利审查112优选包括：

标识，指示访问许可是否之前未被网络对象所有者110授权；

撤销建议，可由系统向网络对象所有者110提供，建议将访问许可从 用户或用户组处撤销；

访问许可修改功能块，包括“允许”选项和“删除”选项，由此系统 基于系统的现状和撤销建议来预选这两个选项中的一个；以及

说明文本域，由网络对象所有者110在修改当前的访问许可时（不管 是否作为撤销建议的结果）或在决定忽略撤销建议时进行填写。其中，由 系统提供撤销建议，说明域将由系统预先填写，并将包含关于撤销建议的 简短的理由。

例如，如图1A所示，权利审查112指示丹、山姆和汤姆、以及用户 组组1和组2的成员目前拥有对文件夹1的访问许可，并且还指示所有者 110并未授权汤姆对文件夹1的访问许可。权利审查112包括撤销丹对文 件夹1的访问许可的撤销建议，理由基于丹实际并没有访问文件夹1的事 实。权利审查112还包括撤销汤姆对文件夹1的访问许可的撤销建议，理 由基于汤姆对文件夹1的访问许可并未被所有者110授权的事实。

如图1A所示，在之后的一个时间，如上午9点30分，网络对象所 有者110审查了权利审查112并决定尽管系统提出了相反的撤销建议，仍 继续允许丹对文件夹1的访问许可，并为这么做写出了辩解说明，该说明 是丹要求访问文件夹1。网络对象所有者110还决定如系统所建议的，撤 销汤姆对文件夹1的访问许可。

一旦完成对权利审查112的审查和修改，网络对象所有者110优选批 准该报告，例如通过勾选适当批准语句旁的复选框。之后网络对象所有者 110提交完成的报告，例如点击提交按钮，从而将报告提交给系统并优选 发送到企业IT管理员114。该系统利用报告中的信息修改用户对网络对象 的访问许可，例如通过修改特定用户对特定网络对象的访问许可，或通过 修改特定用户的组员关系以使特定组中的成员可允许访问特定网络对象。

附加地或者可选地，如图1B所示，在2009年7月1日上午9点提 供给网络对象所有者110的季度性权利审查112优选包括网络对象所有者 110所拥有的用户组列表。对每个用户组，权利审查112优选包括当前对 用户组具有访问许可的用户的列表，而对每个当前对用户组具有访问许可 的用户，权利审查112优选包括：

标识，指示访问许可是否未被网络对象所有者110授权；

撤销建议，可由系统向网络对象所有者110提供，建议从用户撤销访 问许可；

所有者决定选项按钮，包括“允许”选项和“删除”选项，由此系统 基于系统的现状和撤销建议来预选这两个选项中的一个；以及

说明文本域，由网络对象所有者110在修改当前的访问许可时（不管 是否作为撤销建议的结果）或在决定忽略撤销建议时进行填写。其中，由 系统提供撤销建议，说明域将由系统预先填写，并将包含对撤销建议的简 短的理由。

例如，如图1B所示，权利审查112标识丹、山姆和汤姆当前具有对 组1的访问许可，并且还标识所有者110并未授权汤姆对组1的访问许可。 权利审查112包括撤销丹对组1的访问许可的撤销建议，理由基于丹实际 并没有访问组1的事实。权利审查112还包括撤销汤姆对组1的访问许可 的撤销建议，理由基于汤姆对组1的访问许可并未被所有者110授权的事 实。

如图1B所示，在之后的一个时间，如上午9点30分，网络对象所 有者110审查了权利审查112并决定尽管系统提出了相反的撤销建议，仍 继续允许丹对组1的访问许可，并为这么做写出了辩解说明，该说明是丹 要求访问组1。网络对象所有者110还决定如系统所建议的，撤销汤姆对 组1的访问许可。

一旦完成对权利审查112的审查和修改，网络对象所有者110优选批 准该报告，例如通过勾选适当批准语句旁的复选框。之后网络对象所有者 110提交完成的报告，例如点击提交按钮，从而将报告提交给系统并优选 发送到企业IT管理员114。该系统利用报告中的信息修改用户对网络对象 的访问许可，例如通过修改特定用户对特定网络对象的访问许可，或通过 修改特定用户的组员关系以使特定组中的成员可允许访问特定网络对象。

本领域技术人员应当理解，本发明不限于以上具体所示和所述的内 容。本发明的范围不仅包括上述的各种特性的组合和子组合，还包括本领 域技术人员阅读前述内容而进行的并不在现有技术中的其变形。