联网环境中被引用共享资源访问验证和访问权限管理方法

摘要

一种用于对被引用的共享资源的访问权限的自动管理和验证的方法、系统和装置。一种用于联网环境中被引用的共享资源的访问验证和访问权限管理的方法可包括：在被配置以在联网环境中分配的初级共享资源中并入到基础共享资源的引用，以及为所述初级共享资源指定被指定的查看者。可确定所述被指定的查看者是否被允许访问所述基础共享资源。然而，在将所述初级共享资源提供给所述被指定的查看者之前，当确定所述被指定的查看者不被允许访问所述基础共享资源的时候，可通知所述初级共享资源的作者。

说明书

技术领域

本发明涉及共享资源的访问权限的管理。

背景技术

网络计算使得人们能协作以促进目标完成的方式发生巨大变化。在普遍可得到网络计算技术之前，彼此合作的个人的小组仅能够在孤立的、个人化的计算环境中操作，这些计算环境仅通过直接的、人与人的联系、电话和传真机相联系。最重要的是，诸如文档、消息和数据库的计算资源的创建和管理仅能通过将共享资源打印出来以及从人到人手动传送打印副本来共享。

现在网络计算的普遍存在允许电子可共享资源的自动共享，包括合作者直接访问组的共享资源。如在合作环境中常见的那样，这些资源可包括中央存储的文档和数据库。就共享资源可被联网环境中的所有参与者自由访问而没有限制而言，资源共享在性质上是无缝的。然而，大多数复杂的联网环境不允许无约束地访问共享资源，而是提供至少某种程度的对共享资源的访问控制。

通常，访问控制系统基于试图访问共享资源的用户的身份而限制对共享资源的访问。受限的访问的范围可从完全拒绝对共享资源的访问到限制可在资源上执行的操作，诸如能否编辑、打印、删除或以其他方式修改资源。在许多情况中，访问限制不仅可基于试图访问的用户的明确身份，而且访问限制可基于用户的位置、用户的类别、或任何其他的可识别因素。

时常在联网环境中，可将对基础共享资源的引用并入第二资源中，作为举例，该第二资源诸如电子邮件、即时消息和共享文档。这样，访问第二资源的查看者可仅通过选择链接而容易地定位到基础资源。然而，当查看者不享有对链接的基础资源的适当访问权限时会出现问题。例如，当查看者通过选择嵌入的链接而试图访问基础共享资源时，可能完全拒绝查看者的访问，而不向查看者提供任何求助手段。在这种情况中，查看者只剩下通过找到有权修改对基础资源的访问控制限制以有利于查看者的参与者，来人工地解决拒绝访问。

发明内容

本发明处理有关管理对联网环境中共享资源的访问控制的现有技术的缺陷，并且提供一种用于对被引用的共享资源的自动管理和访问权限验证的新颖和非显而易见的方法、系统和装置。在这方面，一种用于联网环境中被引用的共享资源的访问验证和访问权限管理的方法可包括：在被配置以在联网环境中分配的初级共享资源中并入到基础共享资源的引用，以及为初级共享资源指定被指定的查看者。作为举例，初级共享资源可以是电子邮件、即时消息、聊天会话和共享文档。同样，作为举例，基础共享资源可以是电子邮件、即时消息、聊天会话和共享文档。

可确定被指定的查看者是否被允许访问所述基础共享资源。为此，该确定步骤可包括：查阅用于该基础共享资源的访问控制列表以确定被指定的查看者是否被允许访问该基础共享资源。然而，在将初级共享资源提供给被指定的查看者之前，当确定被指定的查看者不被允许访问基础共享资源的时候可通知初级共享资源的作者。

例如，在将初级共享资源提供给被指定的查看者之前，当确定不允许被指定的查看者访问基础共享资源时，可提示初级共享资源的作者将权限授予被指定的查看者以查看基础共享资源。作为另一示例，在将初级共享资源提供给被指定的查看者之前，当确定被指定的查看者不被允许访问基础共享资源时，可执行一自动过程以请求被指定查看者查看基础共享资源的权限或向其授予该权限。

所述并入步骤可包括在被配置以在联网环境中分配的初级共享资源中并入多个到相应基础共享资源的引用。在该情况下，该方法进一步可包括为所述多个引用中的每一个执行所述确定步骤，并且当确定所述被指定的查看者不被允许访问至少一个基础共享资源的时候执行所述通知步骤。同样，所述指定步骤可包括为初级共享资源指定多个被指定的查看者。在该情况下，该方法进一步可包括为多个被指定的查看者中的每一个执行所述确定步骤，并且当确定多个被指定的查看者中的任何一个不被允许访问基础共享资源的时候执行所述通知步骤。

一种用于联网环境中被引用的共享资源的访问验证和访问权限管理的方法也可包括：查看包含到基础共享资源的链接的初级共享资源，选择所述到基础共享资源的链接，确定是否存在查看所述基础共享资源的必要权限，以及在提供欠缺权限的通知之前，识别能够授予所述必要权限的用户，并且与所述欠缺权限通知一起提供指定该用户的通知。

本发明的其他方面将部分地在随后的说明部分中阐述，并且部分地根据描述将是显而易见的，或者可通过实施发明而获知。借助于在所附权利要求中特别指出的元件和组合将实现和达到发明的这些方面。应该理解，前面的一般描述和随后的详细描述仅是示例性或说明性的，而不限制所要求保护的本发明。

附图说明

被并入到本说明书并构成本说明书一部分的附图示出了本发明的实施例，并与说明一起用于解释本发明的原理。此处示出的实施例是目前优选的，然而可以理解，发明不限于所示的精确的布置和手段，附图中：

图1是联网环境的示意图，该联网环境被配置为用于对联网环境中的被引用的共享资源的访问验证和访问权限管理；

图2A是说明用于对被引用的共享资源的、作者启动的访问验证和访问权限管理的过程的流程图；以及

图2B是说明用于对被引用的共享资源的、查看者启动的访问验证和访问权限管理的过程的流程图。

具体实施方式

本发明是一种用于对联网环境中被引用的共享资源的访问验证和访问权限管理的方法、系统和装置。根据本发明，可将对基础共享资源的链接嵌入到初级共享资源诸如电子邮件、即时消息、聊天室记录(posting)或共享文档等等中。值得注意的是，共享资源可具有一个或多个相关的访问控制，所述访问控制指定用于被授权的查看者的一组必要的权限。无论如何，在联网环境中可指定初级共享资源以由一个或多个查看者所查看，并且可发布该初级共享资源以为一个或多个被指定的查看者所查看。

然而，在发布初级共享资源以由一个或多个指定的查看者所查看之前，可基于相关的访问控制而确定是否允许每一被指定的查看者访问由链接所引用的基础共享资源。如果否，那么可将权限欠缺通知给初级共享资源的作者并且向其提供校正所述欠缺的机会。类似地，一旦指定的查看者查看了初级共享资源，可在打开到基础资源的链接之前验证查看者。就查看者的权限欠缺而言，可将能够修改权限的用户的身份提供给查看者。

在更加具体的解释中，图1示意性说明了被配置以用于联网环境中被引用的共享资源的访问验证和访问权限管理的联网环境。该联网环境可包括至少一个创作平台110，该创作平台经由计算机通信网络130而连接到至少一个查看平台120。(为简单说明的目的而仅示出了单个创作平台110和查看平台120)可配置创作计算机110以创建、编辑或以其他方式修改可被一个或多个查看平台120所共享的初级共享资源140。

重要的是，到一个或多个基础共享资源160的一个或多个链接150可被并入作为初级共享资源140的内容的一部分。查看者可通过选择相应的一个链接150而访问基础共享资源160。在这方面，当基础共享资源160是共享文档时，可将共享文档载入并呈现在一查看器中。作为比较，当基础共享资源160是数据库时，可激活数据库以便由查看者访问。无论如何，对基础共享资源160的查看可由在访问控制信息170的数据存储内指定的一组必要权限来限制。

可选地，可在初级共享资源140中定义一个或多个角色(未示出)。当对基础共享资源160的一个或多个链接150被添加到初级共享资源140时，可将适合于角色(role-appropriate)的权限授予具有该角色的所有被指定的接受者。在这方面，可将角色映射到联网环境中的权限集，其中所述联网环境已被配置为在基础共享资源160内嵌入到共享资源160的链接150。因此，角色机制可被扩展以从抽象等级向下传播到由其他基础共享资源中的链接所引用的所有共享资源。

根据本发明，创作平台110可包括作者访问验证逻辑200A。在创作初级共享资源140的时候，作者访问验证逻辑200A可分析每一链接150和初级共享资源140的相应被指定的查看者以确定被指定的查看者是否享有查看由链接150引用的基础共享资源160所需的必要权限。当在被指定的查看者和被指定的一个共享资源160之间检测到不相容性时，可提示作者该不相容性并且提供给作者校正该不相容性的机会。作为另一种选择，一自动化过程可自动地校正该不相容性，例如通过请求对被指定的查看者的权限或向其授予权限，从而被指定的查看者可访问由链接150引用的基础资源160。

与创作平台110相似，查看平台120可包括查看者访问验证逻辑200B。在查看初级共享资源140的时候，查看者访问验证逻辑200B可分析每一链接150以确定查看者是否享有查看由链接150引用的基础共享资源160所需的必要权限。当在查看者和被指定的一个共享资源160之间检测到不相容性时，可提示查看者不相容性，并且通过联系能够将必要权限授予查看者的指定用户而提供校正不相容性的机会。

为了进一步说明本发明的一特定方面，图2A是说明用于对被引用的共享资源的、作者启动的访问验证和访问权限管理的过程的流程图，并且图2B是说明用于对被引用的共享资源的、查看者启动的访问验证和访问权限管理的过程的流程图。首先参考图2A，在块210，可创建、编辑或以其他方式修改初级共享资源。在块215，可将到基础共享资源的链接包含于初级共享资源。例如，可将到基础共享资源的超链接嵌入到初级共享资源。

在块220，可指定初级共享资源的指定查看者。在这方面，就初级共享资源是电子邮件或即时消息而言，可指定对于该电子邮件或即时消息的被指定接受者的身份。随后，在块225，可将用于被指定的查看者的权限与由基础共享资源所要求的一组权限相比较。如果在判定块230中，确定用于被指定的查看者的权限满足了由基础共享资源所要求的权限，则在块250，可设置初级共享资源，这可包括公布以便由被指定的查看者所查看，或者直接传输到被指定的查看者。

如果在判定块230，确定用于被指定的查看者的权限不满足基础共享资源所要求的权限，则在块235，可将该欠缺通知初级共享资源的作者。可选地，在判定块240，可通过在块245中授予必要的权限而向作者提供校正所述欠缺的机会。作为另一种选择，当不允许作者修改用于基础共享资源的权限时，可向作者提供请求合适的用户将权限授予被指定的查看者的机会。这样，不需要设置初级共享资源而不管被指定的接受者是否可访问链接的基础共享资源。

作为对于块235到240子过程的一种替代方案，可使用一自动过程来解决访问权限。具体地，一服务可运行以在已建立的安全策略内基于共享动作解决隐含的访问请求。这可以通过作者预先选择这样一优选项来显现，该优选项指定，当该作者共享链接时，作者宁愿自动尝试为被指定接受者添加访问权。随后，当作者将一链接添加到初级共享资源时，可自动管理访问权。作为一示例，该自动动作可包括从被引用资源的拥有者请求对被引用资源的访问权。

现在转向图2B，一旦被指定的接受者接收了初级共享资源以便查看，则在块260可打开初级共享资源以便查看。在块265，可选择到基础资源的嵌入式链接以便激活。随后，在块270，可将用于被指定的查看者的权限与基础共享资源所要求的一组权限相比较。在判定块275，可确定用于被指定的查看者的权限是否满足基础共享资源所要求的权限。如果满足，则在块280，可启动到基础共享资源的链接。

如果在判定块275，确定用于被指定的查看者的权限不满足基础共享资源所要求的权限，则在块285，可向查看者提供这样的用户的联系信息，该用户被分配了授予对基础共享资源的必要权限的权限。另外，在块290，可将访问基础共享资源的权限请求转发给该用户。这样，被指定的查看者就不需要进行该用户的手动发现。

本发明可以硬件、软件、或硬件和软件的结合来实现。可在一个计算机系统中以集中的方式、或者以不同元件分布在几个互连的计算机系统中的分布方式实现本发明方法和系统的实施。任一类型的计算机系统或者适于执行在此所述方法的其他装置适合于执行在此描述的功能。

硬件和软件的一种典型组合可以是具有这样的计算机程序的通用计算机系统，该计算机程序当被载入和执行时，控制该计算机系统以使它执行在此所述的方法。本发明也可被嵌入到计算机程序产品中，所述计算机程序产品包括使能实现在此所述方法的所有特征，并且当其被载入计算机系统时，能够执行这些方法。

当前上下文中的计算机程序或应用意指一组指令的任何语言、代码或符号的任何表达，该组指令旨在使得具有信息处理能力的系统直接地或者在a)转换为另一语言、代码或符号；b)以不同物质形式再现这两者中的任何一个或两者之后执行特定的功能。值得注意的是，本发明可以体现在其他特定形式中，而不脱离发明的精神和基本属性，因此，应参考所附权利要求而不是以上说明书来指示本发明的范围。