权限管理政策的动态应用方法

摘要

所揭示的是一种用于通过允许管理员将特定权限管理政策与消息的特定发送者和接收者、与拥有定义用户和用户组的特定公用准则的用户组、与消息的特定属性以及与特定环境属性相关联，来向消息动态地应用权限管理政策的方法。同样揭示的还有一种用于允许管理员在受权限管理保护的消息通过消息传输代理时自动更新它的方法。管理员可在常规的间隔或特别的基础上确定消息传输代理扫描了所储存的消息以确定内容是否过期。如果内容的确已过期，则管理员可采取措施令过期的内容被完全删除、用更新的内容来刷新、或用指示原始内容已过期的墓碑来替换。

说明书

技术领域

本发明一般涉及权限管理系统中受保护内容的分发，尤其涉及向一段数据动 态地应用权限管理的方法以及更新符合权限管理政策的一段数据的方法。

发明背景

权限管理服务提供了通过限制授权接收者可以对电子内容所采取的行动来保 护电子内容的所有权/版权的软件。术语内容指的是以数字格式储存的信息和数据， 包括：图片、电影、视频、音乐、程序、多媒体、游戏、文档等等。权限管理服务 的几个主要功能是控制许可授权，使得内容仅由授权的中介或确保有许可证的最终 用户解锁，以及依照购买条件或许可证或由作者施加的其它条件(例如，准许的副 本数量、播放次数、许可证有效的时间间隔或期限、或者可以在内容上执行的行动， 如进一步分发、打开或访问、打印等等)来控制内容的使用。权限管理服务的另一 功能可以是识别内容的非授权副本的来源以进一步与盗版抗争。

最初，权限管理的概念用于对诸如数字期刊、书籍、照片、教育资料、视频、 音乐等在商业上销售的材料的在线盗版进行保护。然而，权限管理的使用已经在商 业设置中变得越来越普及，设置以保护商业网络内的专有或机密信息。例如，大企 业的CEO可能希望分发包括贸易秘密的电子邮件。然而，由于该信息的机密特性， CEO可能希望限制接收者对于该内容可采取的行动。例如，CEO可能希望允许高 级管理阅读、复制、打印和保存机密信息；然而，她可能希望将其他雇员限于只读 访问或完全不能访问。因此，通过使用权限管理服务，CEO能够指定谁被授权来 查看受保护的内容以及他们可对其采取什么行动。

以上仅示出了商业网络环境中控制内容的重要性的许多示例中的一个。尽管 权限管理正变为商业环境中的一种普及工具，然而当前该系统中存在若干缺陷和不 足。例如，通常，使用权限管理政策来保护一段电子邮件的责任完全地依赖于发送 者。即，如果发送者希望保护电子邮件(例如，通过限制电子邮件消息的转发/保 存/打印/复制或设置消息过期的条件来使其机密)，他必须选择接收者，然后手动 地向电子邮件应用适当的权限管理保护。在某些情况下，保护与模板(默认的或管 理员创建的)相关联，在其它情况下，发送者依照特定的准则来保护电子邮件。不 幸的是，经验表明，用户为遵守安全政策而经受的磨练越多，用户将遵守的可能性 就越小。因此，发送者的雇主可能期望一旦发送者创建了电子邮件消息并启动消息 的发送就动态地向该电子邮件消息应用权限管理的能力。

现有权限管理服务的另一缺陷在发送者设置内容过期的日期时出现。内容过 期的行为是，当接收者试图打开已过期的文档(或电子邮件)时，该文档为空。在 封面下，该内容仍存在，然而它在运行时被编程地移除。给定足够的时间，熟练的 黑客能够在它访问过期权限管理保护文件时破解它。此外，存在令低层内容超出期 望的过期时间而持久保存的另外的缺陷。例如，企业可能具有应用于特殊类型信息 的邮件保留政策(例如，律师事务所可能要求关于特定案件的所有邮件在2年以后 清除)。另外，随着带有丰富(并且大的)内容的电子邮件的持续增长，用户比以 往任何适合发送更多且更大的电子邮件。这一情况导致电子邮件服务器上的存储膨 胀并强迫电子邮件管理员为其用户分配越来越多的盘空间。因此，对确保任何过期 的权限保护电子邮件或电子邮件附件在通过诸如电子邮件服务器等邮件传输代理 时被删除的方法存在需求。

发明概述

鉴于上述原因，本发明提供了一种通过允许管理员将特定权限管理政策与消 息的特定发送者和/或接收者相关联来动态地向消息应用权限管理政策的方法。在 一个实施例中，管理员可将特定的权限管理政策与诸如电子邮件分发列表等已建立 的用户组相关联。另外，管理员可将特定的权限管理政策与处理特定公共准则的用 户组相关联，这些公共准则定义了用户和/或用户组，如华盛顿州雷蒙德市的微软 公司的现用目录(Active Directory)服务定义的用户的属性。

另外，本发明提供了一种用于通过允许管理员将特定的权限管理政策与特定 的消息属性相关联来动态地向消息应用权限管理政策的方法。在一个实施例中，管 理员可基于诸如消息内容、发送和接收方以及消息日期等属性来关联特定的权限管 理政策。

本发明的另一方法提供了一种用于通过允许管理员将特定的权限管理政策与 特定的环境属性相关联来动态地向消息应用权限管理政策的方法。在一个实施例 中，管理员可基于诸如接收者的位置、日时、网络通信量程度、接收者是在线还是 离线、以及接收者计算机设备上的特定软件和/或硬件配置等环境属性来关联特定 的权限管理政策。

鉴于上述内容，本发明也提供了一种允许管理员在受权限管理保护的消息和/ 或附加到该消息的受权限管理保护的文档通过消息传输代理时自动更新它们的方 法。在一个实施例中，管理员可在传统的间隔或特别的基础上确定消息传输代理扫 描了储存的消息以确定内容是否过期。如果内容的确过期，则管理员可采取措施以 完全删除过期的内容、用更新的内容刷新、或用指示原始内容已过期的墓碑来替换。

附图简述

尽管所附权利要求书用细节阐明了本发明的特征，然而，本发明连同其目的 和优点可以通过结合附图阅读以下详细描述来最好地理解，附图中：

图1是其中可实现本发明的方法的示例性计算机体系结构的示意图；

图2a是示出启用了示例性权限管理的消息通信体系结构的示意图；

图2b是示出启用了示例性权限管理的消息通信体系结构的示意图；

图3是示出启用了权限管理的消息通信体系结构的示意图，它采用了本发明 的动态权限管理政策应用方法；

图4是示出本发明的动态权限管理政策应用方法的流程图；

图5是示出使受权限管理保护的消息的内容过期的示例性方法的示意图；

图6是示出用于自动更新受权限管理保护的消息的本发明的方法的示意图； 以及

图7是示出用于自动更新受权限管理保护的消息的本发明的方法的示意图。

发明详细描述

在以下描述中，将参考由一个或多个计算机执行的行动和操作的符号表示来 描述本发明，除非另外指明。由此，可以理解，这类行动和操作，有时称为计算机 执行的，包括计算机的处理单元对以结构化形式表示数据的电信号的操纵。这一操 纵变换了数据或在计算机的存储器系统中的位置上维持它，从而以本领域的技术人 员都理解的方式重配置或改变了计算机的操作。维持数据的数据结构是存储器的物 理位置，具有数据的格式所定义的具体特性。然而，尽管在上述的上下文环境中描 述本发明，它并不意味着限制，如本领域的技术人员所理解的，后文所描述的行动 和操作的各方面也可以硬件实现。

转向附图，其中，相同的参考标号指相同的元素，本发明被示出为在合适的 计算环境中实现。以下描述基于所示出的本发明的实施例，并且不应当被解释为相 对于此处未明确描述的替换实施例而限制本发明。

I.示例性环境

参考图1，本发明涉及连接的计算机网络上的网络节点之间的通信。每一网络 节点驻留在具有许多不同计算机体系结构之一的计算机中。为描述的目的，图1 示出了可用于这些设备的示例性计算机体系结构的示意图。所描绘的体系结构仅是 合适的计算环境的一个示例，并非暗示对本发明的使用范围或功能的局限。也不应 将计算设备解释为对图1所示的任一组件或其组合具有任何依赖或需求。本发明可 以使用众多其它通用或专用计算或通信环境或配置来操作。适合使用本发明的众所 周知的计算系统、环境和配置包括但不限于：移动电话、袖珍计算机、个人计算机、 服务器、多处理器系统、基于微处理器的系统、小型机、大型机、以及包括任一上 述系统或设备的分布式计算环境等等。

在其最基本的配置中，计算装置100通常包括至少一个处理单元102和系统 存储器104。系统存储器104可以是易失性(如RAM)、非易失性(如ROM、闪 存)或两者的某一组合。这一最基本配置在图1中由虚线106示出。

计算装置100也可包含具有另外特征和功能的存储介质设备108和110。例如， 它们可包括另外的存储(可移动和不可移动)，包括但不限于，PCMCIA卡、磁 盘和光盘、以及磁带。这类另外的存储在图1中由可移动存储108和不可移动存储 110示出。计算机存储介质可包括以用于储存如计算机可读指令、数据结构、程序 模块或其它数据等信息的任一方法和技术实现的易失性和非易失性、可移动和不可 移动介质。存储器104、可移动存储108和不可移动存储110都是计算机存储介质 的示例。计算机存储介质包括但不限于，RAM、ROM、EEPROM、闪存或其它存 储器技术、CD-ROM、数字多功能盘(DVD)或其它光存储、磁盒、磁带、磁盘 存储或其它磁存储设备、或可以用来储存期望的信息并可由计算装置访问的任一其 它介质。

计算装置100也可包含允许它与其它装置进行通信的通信信道112。通信信道 112是通信介质的一个示例。通信介质通常可以在诸如载波或其它传输机制等已调 制数据信号中包含计算机可读指令、数据结构、程序模块或其它数据，并包括任一 信息传送介质。术语“已调制数据信号”指以对信号中的信息进行编码的方式设置 或改变其一个或多个特征的信号。作为示例而非局限，通信介质包括有线介质，如 有线网络或直接连线连接，以及无线介质，如声学、RF、红外和其它无线介质。 本发明使用的术语计算机可读介质包括存储介质和通信介质。计算装置100也可具 有诸如键盘、鼠标、笔、语音输入组件和触摸输入设备等输入组件114。输出组件 116包括屏幕显示器、扬声器、打印机以及用于驱动它们的呈现模块(通常称为“适 配器”)。计算装置100具有电源118。所有这些组件在本领域中都是公知的，并 且不需要在此详细讨论。

II.权限管理的交互式应用

本发明针对用于动态地对消息应用权限管理政策的方法以及允许管理员动态 地更新受权限管理保护的消息的方法。以下本发明的描述被描述为在诸如华盛顿州 雷蒙德市的微软公司的Exchange等消息传输代理应用程序中实现。如本领域的普 通技术人员可以理解的，在一个实施例中，受保护的消息是电子邮件通信，它应当 被理解为包括会议请求、联系人、任务、文档和在Exchange以及其它消息传输代 理应用程序中实现的类似数据项目。

参考图2a和2b，表示了一种采用权限管理方案的示例性消息系统体系结构。 在权限管理服务中登记并向权限管理服务器200注册的消息发送者100可选择在发 送时向消息202应用权限管理保护。通常，发送者100选择消息编辑器的工具栏上 的“Protect(保护)”按钮。或者，发送者也可从消息编辑器的菜单中选择“Protect” 菜单项目。在选择了保护消息202的适当机制之后，发送者100为消息202选择期 望的保护。例如，可以有允许发送者100从保护列表(例如，不要转发、不要保存、 不要打印、不要复制和使内容过期)中进行选择以应用于消息202的选项。或者， 选择保护选项可提示发送者100从由管理员定义的权限管理模板列表中进行选择。 例如，可存在名为“Confidential(机密)”的模板，当发送者100选择该模板以应 用于消息202时，它向消息202应用一组预定的保护，如不转发和不打印。

在为消息202选择了适当的保护之后，权限管理客户机应用程序204启动与 权限管理服务器200的联系，以获取连同受保护消息202一起发送给消息接收者 208的发行许可证206。因此，权限管理客户机应用程序204加密消息202的内容， 并向权限管理服务器200作出对发行许可证206的请求。这一请求可包括诸如权限 表达式、被加密成权限管理服务器的公钥的内容密钥、以及内容的散列等东西。权 限表达式通常指定受保护内容打算供谁使用以及该消息的每一接收者可以做的事 情。内容密钥(未示出)是通常由权限管理客户机应用程序204创建的对称密钥， 用于加密/解密受保护内容。最后，散列可稍后当内容由消息接收者208接收并打 开时用于验证内容未被改变。

权限管理服务器200然后可创建发行许可证206，它可以是由权限管理服务器 200签署的已加密信息。该信息可以简单地为权限表达式、内容密钥标识符和/或内 容散列的任一组合。因此，当权限管理服务器200稍后接收发行许可证206和对使 用许可证210(下文描述)的请求时，可向权限管理服务器200确保它就是创建发 行许可证206的那一个。此外，权限管理服务器200可在签发如下文描述的使用许 可证210时使用内容密钥标识符在其数据库中查找内容密钥。

之后，权限管理客户机应用程序204接收发行许可证206，该许可证现在可被 附加到受保护内容202以发送到消息接收者208。这通常是一次操作，通常在消息 发送者100首次发送受保护内容时完成。受保护消息202和发行许可证206可以通 过简单地将发行许可证206附加到受保护消息202并将其转发给其消息传输代理 212，从消息发送者100发送到消息接收者208。发送者消息传输代理212然后找 出适当的接收者消息传输代理212，并将受保护消息202以及发行许可证206转发 给接收者消息传输代理212。当接收者208登录到其消息传输代理212时，接收者 消息传输代理212将受保护消息202和发行许可证206发送到接收者208。

接收者208可将消息202识别为受保护的，并试图从权限管理服务器200获 取使用许可证210。首先，权限管理客户机应用程序204可向权限管理服务器200 作出对使用许可证210的请求。通常，对使用许可证210的请求将包括发行许可证 206和接收者的用户证书214，权限管理服务器200使用它们来验证接收者208是 授权用户。

一旦权限管理服务器200验证了发行许可证206的真实性和接收者208的身 份，它可向权限管理客户机应用程序204发送包括先前保存的内容密钥的使用许可 证210。内容密钥应当被加密成接收者的私钥(未示出)，它可在注册过程中获得。 因此，当权限管理客户机应用程序204接收包含已加密的内容密钥的使用许可证 210时，它可提供使用许可证210以确保应用程序是可信的来处理经解密的内容。 权限管理客户机应用程序204然后可使用私钥来解密内容密钥，并随后使用内容密 钥来解密受保护的内容202。权限管理客户机应用程序204然后可向适当的应用程 序提供经解密的内容以及发行许可证206和/或使用许可证210中定义的限制，以 在受保护内容上施加适当的限制。

III.权限管理政策的动态应用

如上所述，通常使用权限管理政策来保护消息的责任完全依赖于消息发送者。 即，如果发送者希望保护消息(例如，通过限制消息的转发/保存/打印/复制或设置 消息过期的条件令其机密)，则他必须选择接收者，然后手动地向消息应用适当的 权限管理保护。不幸的是，经验表明，用户为遵守安全政策而经受的磨难越多，用 户将遵守的可能性就越小。因此，发送者的雇主可能期望一旦发送者创建了消息并 启动消息的发送时向消息动态地应用权限管理的能力。

转向图3和4，示出了一种用于对消息动态地应用权限管理政策的方法。本发 明提供了通过允许管理员将特定权限管理政策与消息的特定发送者和/或接收者相 关联而对消息的权限管理动态应用。在一个实施例中，管理员可将特定的权限管理 政策与诸如电子邮件分发列表等已建立的用户组相关联。

从步骤400开始，管理员用消息管理工具300创建分发列表。下一步，在步 骤402，在创建分发列表时，管理员可选择用于分发列表的属性的选项，以对该分 发列表启用权限管理。从此处开始，消息管理工具300允许管理员指定与该分发列 表相关联的权限。在步骤404，这些使用权限储存在配置数据库302(由现用目录 304中指定的分发列表的GUID引用)，并且分发列表在现用目录304中的分发列 表对象上被标记为“受权限管理保护”。在步骤406，发送者100发送定址到给定 分发列表的消息202，并且消息传输306从现用目录304中检索分发列表成员资格 以及成员列表。消息传输306核查“受权限管理保护”标志。由于分发列表是受权 限管理保护的，因此在步骤408，消息传输代理212创建对发行许可证206的请求。 使用服务器上的权限管理DLL 308，消息传输代理212生成内容密钥并创建对权限 管理服务器200的请求。然而，与在请求中指定使用权限相反，消息传输代理212 引用分发列表的GUID。接着，在步骤410，权限管理服务器200从消息传输代理 212接收请求、查找对应于分发列表GUID的使用权限、并生成发行许可证206。 权限管理服务器200然后将内容密钥密封成消息传输代理212私钥，并向消息传输 代理212返回发行许可证206。最后，在步骤412，消息传输代理212用内容密钥 加密消息202，并将发行许可证206绑定到消息202并将消息202发送给到分发列 表。

尽管以上示例示出了基于分发列表为消息动态应用权限管理政策的方法，然 而本发明也构想若干替换实施例。在以上示例中，消息管理员可以替代地将特定的 权限管理政策与处理特定公共准则的用户组相关联，这些公共准则定义了用户和/ 或用户组，如由华盛顿州雷蒙德市的微软公司的现用目录服务定义的用户属性。例 如，管理员可定义用于这些或可能其它不同用户账户属性的、位于特定建筑物中的 或特定组织群组或它们的某种组合的所有发送者和/或接收者的权限管理政策。

本发明构想的替换实施例也提供了用于通过允许管理员将特定权限管理政策 与消息的特定属性相关联来向消息动态地应用权限管理政策的方法。在这一实施例 中，管理员可基于诸如内容、发送和接收方、以及消息日期等消息属性来关联特定 的权限管理。

本发明的另一方法提供了一种用于通过允许管理员将特定的权限管理政策与 特定的环境属性相关联来向消息动态地应用权限管理政策的方法。例如，管理员可 基于诸如接收者的位置、日时、网络通信量级别、接收者是在线还是离线、以及接 收者计算机设备上的特定软件和/或硬件配置等环境属性来关联特定的权限管理政 策。

IV.受权限管理保护的消息的自动更新

受权限管理保护的文档的一个特征是在文档上设置过期信息。当作者在文档 或电子邮件上设置权限管理保护时，他被给予使内容过期的选项。转向图5，示出 了受权限管理保护的消息202的过期。过期的行为是，当过期时，由消息接收者 100打开的消息202为空。在封面下，该内容仍存在，但是在运行时它在消息正文 500中用对接收者的内容已过期的通知来替代。内容的剥取在编程上由内容过滤代 码502实现，它在消息打开之前确定是否满足由消息发送者设置的过期条件。

上述过程由于若干原因并不理想。第一，在一段内容上设置过期日期的要点 是向作者确保没有人能够在已过了过期日期之后还能访问内容。对受权限保护的文 档给定足够的时间，熟练的黑客能够砸开该文档。其次，许多企业具有应用于特殊 类型信息的电子邮件保留政策。例如，律师事务所可要求关于特定案例的所有电子 邮件在2年后删除。由此，对于这些政策的所有现有的电子邮件需要在适当的时间 从消息传输代理中清除。如果电子邮件的内容没有被完全删除，则权限管理服务器 理论上能够破解该内容，导致未被完全删除并仍然可被检索的内容。第三，随着带 有丰富(且大的)内容的电子邮件的持续增长，用户比以往任何时候发送更多且更 大的电子邮件。结果，电子邮件管理员被强迫为其用户分配越来越多的盘空间。通 过允许管理员删除过期权限管理内容(电子邮件和附件)的选项，可缓和这一情况。

参考图6和7，示出了一种用于自动更新受权限管理保护的消息202的方法。 该方法确保任何过期的受权限管理保护的消息202或该消息的受权限管理保护的 附件在通过消息传输代理212时被删除或更新。从步骤700开始，消息202到达消 息存储214。接着，在步骤702，扫描消息202以找出受权限管理保护的消息和/ 或附件。这可以通过识别内容类或邮件应用编程接口(MAPI)属性来实现。

继续步骤704，对于受权限管理保护的消息202，消息传输代理212预许可消 息202。预许可是一种方法，其中，并非需要消息接收者向权限管理服务器提交用 户证书并请求使用许可证，而是消息传输代理能够代表消息接收者获取使用许可 证。因此，消息接收者可从消息传输代理访问使用许可证并解密受保护的内容，而 无需向权限管理服务器请求使用许可证。对于进一步的信息，参考美国专利申请 “Pre-licensing of Rights Management Protected Content(受权限管理保护的内容的 预许可)”，其发明人为John Gerard Speare等人，代理案卷号13768.4498，于2003 年MMM DD提交，该专利申请对于它所描述的所有内容都整体结合于此。

在预许可消息202之后，在步骤706，创建附加的MAPI或替换地为多用途因 特网邮件扩展(MIME)属性，它包含经签署的扩展权限标记语言(XrML)数据。 XrML是一种基于XML的权限表达式语言(REL)标准。XrML提供了一种用于 表达和管理数字内容和服务的权限和政策的公共、对用户简单的手段。它是一种灵 活的、可扩展的、以及互操作的标准，它被配备以满足任何组织的需求，而不管行 业、平台、格式、媒体类型、商业模型或递送体系结构如何。对于进一步的信息， 见http://www.xrml.org，对于其描述的所有内容都整体结合于此。

接着，在步骤708，使用消息管理工具300，消息管理员可配置消息更新应用 程序600，以对XML串进行语法分析来确定内容是否过期。消息管理员可调度消 息传输代理212在常规的间隔(例如，每天、每小时)或按需执行消息更新应用程 序600。或者，消息传输代理212可利用权限管理“许可证阅读器”实用程序(未 图示)来对XrML数据进行语法分析，以确定过期信息。接着，在步骤710，扫描 过期的内容，以找出字符集，从所有附件和非RFC822报头中剥取。最后在步骤 712，可依照原始消息的字符集用已停用的消息(例如，“该消息的受权限管理保 护的内容已过期”)来填充消息正文602。

尽管以上示例示出了用于自动更新受权限管理保护的消息，然而本发明也构 想若干替换实施例。在上述示例中，消息可替代地被完全清除，与用墓碑作为消息 正文的替代保留在消息存储中相反。或者，可用比过期内容更加新的内容来刷新消 息正文。

对于进一步的消息，见微软公司的“Microsoft Rights Management Solutions for the Enterprise：Persistent Policy Expression and Enforcement for Digital Information”， http://www.microsoft.com/windowsserver2003/docs/RMS.doc，2003年6月，该文档 对于它所描述的所有内容都整体结合于此。

鉴于可应用本发明的原理的许多可能的实施例，应当认识到，此处相对于附 图所描述的实施例仅意味着说明性的，并不应当作为限制本发明的范围。例如，出 于性能原因，本发明的方法可以用硬件而非软件来实现。因此，此处描述的本发明 构想所有这样的实施例都落入所附权利要求书及其等效技术方案的范围之内。