專利名稱:云計算環境內對電子通信中的文檔的動態訪問控制的制作方法
技術領域:
本發明一般涉及訪問控制。具體地,本發明涉及云計算環境內對電子通信(例如,電子郵件)中的文檔的動態訪問控制。
背景技術:
隨著電子通信(例如,電子郵件、即時消息等)繼續成為商業和個人通信的標準,對這種通信的訪問控制的需求增長。例如,考慮電子郵件,始發方/發送方無法控制電子郵件消息和/或所附的文檔可能被發送(以及重發)到何地以及一旦其被分發誰可以訪問該內容。在多個地方(例如,不同的電子郵件收件箱)存儲多個文檔可能在服務器和網絡上產生過多的處理和存儲量。現有的方案致力于發送與文檔關聯的元數據而不是提供訪問控制。此外,根據現有方案,一旦有人已給另一人發送了文檔,始發方/發送方可以約束(通過多種轉發)接收該文檔的人的唯一方法是通過“防止復制”或者其它禁止以其原始形式重發該文檔的這種特征。這樣的方法非常嚴格并且給電子郵件桌面客戶端增加了負擔。
發明內容
本發明提供了一種管理和控制文檔傳輸和電子通信的方案。具體地,本發明解決了擁有對與多種類型的數據通信關聯的數據(文檔、圖像文件以及下文中稱之為“文檔”的附件)的控制的問題。按這種思路,本發明提供了一種輻射狀通信模型以在有效性、效率、靈活性和控制方面獲得多重效益。這種類型的粒度控制對云計算環境內的信息共享是至關重要的。此方法對協作工具也是有用的,可以由對輻射狀系統的訪問控制列表的創建和管理進行擴充。在這方面,本發明解決了隨著文檔在多人之間轉發或者通信能夠動態地更新訪問控制列表的問題。通過對文檔已被發送給何人(以及何地)的分析不斷更新這些ACL。本發明的第一方面提供了一種用于在云計算環境內提供對電子通信中的文檔的動態訪問控制的方法,包括在所述云計算環境內接收電子通信,所述電子通信帶有文檔;從所述電子通信中移除所述文檔;將所述文檔存儲在文檔數據庫中;為所存儲的文檔生成訪問控制列表,所述訪問控制列表識別所述電子通信的發送方和初始收件人組;以及基于所述訪問控制列表控制對所述文檔數據庫中的文檔的訪問。本發明的第二方面提供了一種用于提供對電子通信中的文檔的動態訪問控制的云計算機系統,包括包括指令的存儲器介質;與所述存儲器介質耦合的總線;以及與所述總線耦合的處理器,當執行所述指令時所述處理器引起所述云計算機系統在所述云計算環境內接收電子通信,所述電子通信帶有文檔;從所述電子通信中移除所述文檔;將所述文檔存儲在文檔數據庫中;為所存儲的文檔生成訪問控制列表,所述訪問控制列表識別所述電子通信的發送方和初始收件人組;以及基于所述訪問控制列表控制對所述文檔數據庫中的文檔的訪問。本發明的第三方面提供了一種計算機可讀介質,包括用于在云計算環境內提供對電子通信中的文檔的動態訪問控制的程序,所述計算機可讀介質包括用于引起云計算機系統執行如下步驟的程序代碼在所述云計算環境內接收電子通信,所述電子通信帶有文檔;從所述電子通信中移除所述文檔;將所述文檔存儲在文檔數據庫中;為所存儲的文檔生成訪問控制列表,所述訪問控制列表識別所述電子通信的發送方和初始收件人組;以及基于所述訪問控制列表控制對所述文檔數據庫中的文檔的訪問。本發明的第四方面提供了一種用于部屬云服務以用于在云計算環境內提供對電子通信中的文檔的動態訪問控制的方法,包括提供云計算機基礎設施,所述云計算機基礎設施可操作為在所述云計算環境內接收電子通信,所述電子通信帶有文檔;從所述電子通信中移除所述文檔;將所述文檔存儲在文檔數據庫中;為所存儲的文檔生成訪問控制列表,所述訪問控制列表識別所述電子通信的發送方和初始收件人組;以及基于所述訪問控制列表控制對所述文檔數據庫中的文檔的訪問
結合附圖根據對本發明的各方面的下列詳細描述可更容易理解本發明的這些和 其它特征,其中圖I示出了根據本發明的云系統節點。圖2示出了根據本發明的云計算環境。圖3示出了根據本發明的云抽象模型層。圖4示出了根據本發明的說明性的架構圖。圖5示出了根據本發明的方法的流程圖。附圖不必按比例繪制。附圖僅是示意性說明,不意在描述本發明的特定參數。附圖旨在僅描述本發明的典型實施例,因此不應理解為限制本發明的范圍。在附圖中,相同的編號表不相同的兀件。
具體實施例方式為了方便起見,優選實施例的詳細說明具有如下部分I .云計算定義II .優選實施例的詳細實現I .云計算定義下列定義摘自隨同此申請遞交的IDS上引用的由Peter Mell和Tim Grance在2009 年 10 月 7 曰所著的 “Draft NIST Working Definition of Cloud Computing,,,并且隨附了其副本。云計算是一種可以便捷地、按需通過網絡訪問共享的可配置計算資源池(例如,網絡、服務器、存儲器、應用及服務)的模型,該計算資源可以最少的管理投入或者服務提供商交互被快速地提供和發布。該云模型提高了可用性并由至少五個特征、至少三種服務模型和至少四種部署模型組成。特征如下按需自助服務消費者可以單方面自動地配置所需的計算能力,諸如服務器時間和網絡存儲,而無需與每個服務的提供商進行人工交互。寬網絡訪問在網絡上可用并以標準的機制訪問的能力,標準的機制通過異構的薄或厚客戶端平臺(例如移動電話、膝上型計算機、PDA)促進使用。資源池匯集提供商的計算資源以使用多租戶模型來服務多個消費者,按照用戶需要將不同的物理和虛擬資源動態地分配或再分配。其具有位置無關性,因為客戶通常無法控制或者無法知道所提供的資源的確切位置,但是可以在較高抽象層面上指定位置(例如國家、州或者數據中心)。資源的示例包括存儲、處理、存儲器、網絡帶寬以及虛擬機。快速彈性結構可以快速和有彈性地提供的能力,在某些情況下可以自動地實現快速擴容以及快速地發布以快速上線。對消費者來說,可提供的能力通常似乎是不受限的,并且可以隨時按所需量購買。可測量的服務云系統通過利用某種程度抽象的計量能力來自動地控制和優化某種服務的資源使用(例如存儲、處理、帶寬或者活動的用戶賬號)。可以監視、控制和報告資源使用以對提供商和消費者雙方提供對所利用的服務的透明性。
服務模型如下云軟件即服務(SaaS):提供給消費者的、使用在云基礎設施上運行的提供商的應用的能力。可以從各種不同的客戶端設備通過像Web瀏覽器這樣的薄客戶端接口來訪問應用(例如基于Web的電子郵件)。消費者不管理或者控制包括網絡、服務器、操作系統、存儲器或者甚至單個的應用能力的底層云基礎設施,有限的用戶特定的應用配置設置可能例外。云平臺即服務(PaaS):提供給消費者的、在云基礎設施上部署消費者創建或者獲取的應用的能力,這些應用使用提供商所支持的編程語言和工具開發。消費者不管理或者控制包括網絡、服務器、操作系統或者存儲的底層云基礎設施,但控制所部署的應用以及應用主機的環境配置。云基礎設施即服務(IaaS):提供給消費者的、提供處理、存儲、網絡和消費者能夠部署和運行包括操作系統和應用的任意軟件的其他基礎性的計算資源的能力。消費者不管理或者控制底層云基礎設施,但擁有對操作系統、存儲、部署的應用的控制,并可能擁有對選擇網絡組件(例如,主機防火墻)的有限控制。部屬模型如下私有云特定為一個組織運行的云基礎設施。其可以由該組織或者第三方管理,并且可以位于場內(on-premises)或者場外(off-premises)。社區云由多個組織共享并支持有共享話題(例如使命、安全需求、政策和合規性考慮)的特定社區的云基礎設施。其可以由該組織或者第三方管理,并且可以位于場內或者場外。公共云對公眾或者大的業界群組開放,并由銷售該云服務的組織所擁有的云基礎設施。混合云由兩個或多個各自保持獨立實體,但通過促進數據和應用的可移植性(例如,用于云之間的負載均衡的云爆發)的標準的或私有的技術綁定在一起的云(私有的、社區的或公共的)組成的云基礎設施。云計算環境是面向服務的并著眼于無國籍、低耦合、模塊化和語義互操作性。II .優選實施例的實現本發明提供了管理和控制文檔傳輸和電子通信的方案。具體地,本發明解決了控制數據(文檔、圖像文件 和附件)-下文中稱之為與多種類型的數據通信關聯的“文檔”的問題。按這種思路,本發明提供了輻射狀通信模型以在有效性、效率、靈活性和控制方面獲得多重效益。這種類型的粒度控制對云計算環境內的信息共享是至關重要的。此方法對協作工具也是有用的,可以由對輻射狀系統的訪問控制列表(ACL)的創建和管理進行擴充。在這方面,本發明解決了隨著文檔在多人之間轉發或者通信能夠動態地更新ACL的問題。通過對文檔已被發送給何人(以及何地)的分析不斷更新這些ACL。現在參考圖1,示出了示例性云計算節點的示意圖。云計算節點10只是適當的云計算節點的一個示例,無意限制對本發明此處描述的使用或者功能性的范圍。不管怎樣,云計算節點10能夠被實施和/或執行上述部分I中列舉的任何功能。在云計算節點10中有計算機系統/服務器12,該計算機系統/服務器12是可操作的,具有很多其他通用或專用計算系統環境或配置。已知的適用于計算機系統/服務器12的計算系統、環境和/或配置的示例包括但不限于個人計算機系統、服務器計算機系統、薄客戶端、厚客戶端、手持或者膝上型設備、多處理器系統、基于微處理器的系統、機頂盒、可編程的電子消費品、網絡PC、小型計算機系統、大型計算機系統以及包括上述任一系統或者設備的分布式云計算環境等。計算機系統/服務器12可以在計算機系統可執行指令的通用語境中描述,諸如由計算機系統執行的程序模塊。通常,程序模塊包括執行特定任務或實現特定抽象數據類型的例程、程序、對象、組件、邏輯、數據結構等等。示例性的計算機系統/服務器12可以實踐在分布式云計算環境中,其中任務由通過通信網絡連接的遠程處理設備執行。在分布式云計算環境中,程序模塊可以位于包括存儲器存儲設備的本地和遠程計算機系統存儲媒體中。如圖I中所示,以通用計算設備的形式示出了云計算節點10中的計算機系統/服務器12。計算機系統/服務器12的組件可以包括但不限于一個或者多個處理器或者處理單元16、系統存儲器28以及總線18,總線18與包括系統存儲器18到處理器16的各種系統組件耦合。總線18表示幾種類型的總線結構中的任何一種或多種,包括使用任何一種總線結構的存儲器總線或者存儲器控制器、外圍總線、加速圖形端口、以及處理器或者局域總線。作為示例而不是限制,這種結構包括工業標準體系結構(ISA)總線、微通道結構(MCA)總線、增強型ISA (EISA)總線、視頻電子標準協會(VESA)局域總線、以及外圍部件互連(PCI)總線。計算機系統/服務器12 —般包括多種計算機系統可讀介質。這種介質可以是可由計算機系統/服務器12訪問的任何可用的介質,并且其包括易失性和非易失性介質以及可移性和非可移性介質。系統存儲器28可以包括易失性存儲器形式的計算機系統可讀介質,諸如隨機存取存儲器(RAM)30和/或高速緩沖存儲器32。計算機系統/服務器12可進一步包括其它可移性/非可移性、易失性/非易失性計算機系統存儲介質。僅作為示例,可以提供存儲系統34以用作讀取/寫入非可移性、非易失性磁介質(未示出,且通常稱為“硬盤驅動器”)。盡管沒有示出,但可以提供用于讀取和寫入可移性、非易失性磁盤的磁盤驅動器(例如,“軟盤”)以及用于讀取或寫入可移性、非易失性光盤的光盤驅動器,諸如CD-ROM、DVD-ROM或者其它光學介質。在這種情況下,每個介質都可以通過一個或者多個數據媒介接口與總線18相連。如下面將進一步描述和記載的,存儲器28可以包括具有程序模塊組(例如,至少一組)的至少一個程序產品,該程序模塊被配置成執行本發明的功能。作為示例但非限制,具有程序模塊組(至少一組)42的程序/實用程序40可以存儲在存儲器28中,以及操作系統、一個或者多個應用程序、其它程序模塊和程序數據中。操作系統、一個或者多個應用程序、其它程序模塊和程序數據或者其某些組合中每個都可以包括網絡環境實現。程序模塊42通常執行此處描述的本發明的功能和/或方法。計算機系統/服務器12還可以與下列設備通信一個或者多個 外部設備14,諸如鍵盤、定點設備、顯示器24等;一個或者多個使用戶能夠與計算機系統/服務器12交互的設備;和/或使計算機系統/服務器12能夠與一個或者多個其它計算設備通信的任何設備(例如,網卡、調制解調器等)。這種通信可以經由I/O接口 22發生。還有,計算機系統/服務器12可以與一個或者多個網絡(諸如(局域網)、通用廣域網(WAN)和/或公用網(例如,因特網))通信。如所描述的,網絡適配器20經由總線18與計算機系統/服務器12的其它組件通信。應理解的是,盡管沒有示出,但其它硬件和/或軟件組件可以結合計算機系統/服務器12使用。示例包括但不限于微代碼、設備驅動器、冗余處理單元、外部磁盤驅動器陣列、RAID系統、磁帶驅動器、數據歸檔存儲系統等。現在參考圖2,描述了說明性的云計算環境50。如圖所示,云計算環境50包括一個或者多個云計算節點10,云計算節點10與諸如像個人數字助理(PDA)或者蜂窩電話54A、臺式計算機54B、膝上型計算機54C和/或汽車計算機系統54N的計算設備通信。這允許基礎設施、平臺和/或軟件作為來自云計算環境50的服務(如上面部分I中所描述的)從而不需要每個客戶端分別保持這些資源。應理解的是,圖2中示出的計算設備54A-N的類型僅意在用作說明,并且云計算環境50可以與任何類型的計算機化的設備通過任何類型的網絡和/或網絡/可尋址的連接(例如,使用web瀏覽器)通信。現在參考圖3,示出了由云計算環境50 (圖2)提供的功能性抽象層組。應預先理解的是,圖3中示出的組件、層和功能性僅意在用作說明,并且本發明不被其所限制。如所描述的,提供了下列層和相應的功能硬件和軟件層60包括硬件和軟件組件。硬件組件的示例包括主機,在一個示例中為IBM z!Series 系統;基于Risc (精簡指令集計算機)結構的服務器,在一
個示例中為 IBM pSeries 系統;ibm xSeries 系統;IBM BladeCenter 系統;存儲
設備;網絡和網絡組件。軟件組件的示例包括網絡應用服務器軟件,在一個示例中為IBM WebSphere 應用服務器軟件;和數據庫軟件,在一個示例中為數據庫軟件。(IBM、zSeries、pSeries、xSeries, BladeCenter、WebSphere 和 DB2 是國際商用機器公司在美國、其它國家或者兩者中的商標。)虛擬化層62提供抽象層,根據該抽象層可以提供下列示例性的虛擬實體虛擬服務器;虛擬存儲器;虛擬網絡,包括虛擬專用網絡;虛擬應用;以及虛擬客戶端。管理層64提供如下描述的示例性功能。資源供應提供了對被用于執行云計算環境內的任務的計算資源和其它資源的動態采購。計量和定價提供在云計算環境內使用資源時的價格跟蹤、以及對這些資源消費的計費或者計價。在一個示例中,這些資源可以包括應用軟件許可證。安全性提供了對用戶和任務的身份認證,以及對數據和其它資源的保護。用戶入口為用戶和系統管理員提供了對云計算環境的訪問。服務等級(level)管理提供了云計算資源分配和管理以符合所需的服務等級。服務等級協議(SLA)計劃和實現對云計算資源進行預先安排和采購以依照SLA預先考慮未來需求。
工作負載層66提供利用云計算環境的功能性。從該層可以提供的工作負載和功能的示例包括映射和導航;軟件開發和生命周期管理;虛擬課堂教育交付;數據解析處理;事務處理;以及動態訪問控制。一般來說,工作負載層66的動態訪問控制功能性結合圖4-5實現如此處討論的本發明的功能。如上所述,本發明提供了從對等(一對一或者一對多)通信介質(諸如云計算)提取文檔并將文檔存儲在集中并可廣泛訪問的電子信息庫中的系統。本發明可以用到該集中式文檔存儲的鏈接代替該文檔,將該鏈接發送給始發方/發送方和收件人雙方,并且最重要的是創建到基于收件人和始發方/發送方的地址的當前安全化的(secured)文檔的訪問控制列表以確保對消息和/或所附文檔的認證的正當手段。于是始發方/發送方有能力管理文檔的訪問控制列表,不管文檔已被發送到何處。收件人可以驗證可能基于其地址(或者任何其它唯一的標識符,諸如私鑰、密碼等)的存儲。如果收件人列表上有一個收件人以前從沒使用過該系統,則中央信息庫將自動生成將被作為獨立通信發送的密碼。已對文檔存儲進行認證的用戶將具有對發送給他們的所有文檔的中央訪問權。此外,該過程促進文檔的中央信息庫的創建以改進版本控制和保持(retention)。本發明可以通過對代理或者其它執行自動ACL更新和文檔到元數據轉換的代碼的使用而被實施。使用案例根據這些概念,下列說明性的用例可以實現如下創建提供數據庫管理功能性(條目創建、刪除和編輯)和訪問控制管理功能性的服務,包括用戶ID、密碼管理、用戶和密碼驗證、密碼管理(創建、重置和修改)的創建。代理攔截通信并從該通信中移除文檔,而用指針指向服務中的條目。 (I)將具有內嵌文檔的郵件發送給多個收件人發送包含文檔的電子郵件。服務器代理處理該電子郵件,并基于收件人和始發方/發送方來創建具有訪問控制列表的服務條目。然后代理移出每個文檔并用到服務中的每個關聯條目的超鏈接來代替該消息。通過移出任何附件減小了郵件大小,并且在文檔存儲在中央信息庫中的基礎上,減小了客戶端/服務器通信之外的網絡流量。文檔的始發方/發送方擁有對文檔的控制以提供認證和由ACL提供的授權服務。本發明導致對存儲和帶寬的更高效和有效使用,增強的文檔安全性,文檔可以由所有者動態地修改,并且該文檔的收件人有權訪問最新版本。處理引擎被轉移到服務器代理以提供對文檔的必要控制。(2)將已完成處理的郵件轉發給多個不同的收件人代理確定電子郵件包含指向服務中的條目的指針,并且自動地更新該條目的訪問控制列表以包括電子郵件的收件人。對該條目的訪問控制列表的添加是可由該條目的所有者以及該電子郵件的始發方/發送方管理的。減小了郵件大小,減小了網絡流量,條目的所有者可以監控文檔被發送給了誰,被轉發的郵件的始發方/發送方可以為被轉發到的用戶的子集管理隨后對文檔的訪問。(3)到收件人的即時消息文檔由于即時消息作為電子通信的一種形式可能變的更豐富(richer),可能有通過該介質共享文檔的期望和需求。本發明的應用可以允許文檔被有效地和高效地分發給即時消息社區的成員。文檔可能不需要被本地存儲,由于只有需要查看資料(material)的收件人需要訪 問該條目,因此可以節省網絡帶寬。文檔的訪問控制列表可以使條目的所有者能夠基于該訪問控制列表確定誰有權訪問。通過對中央信息庫的使用文檔的版本控制將維持現狀。(4)被分發的文檔的版本控制條目的所有者能夠編輯條目的內容。數據庫可以基于唯一的標識符來存儲條目中文檔修改的修改歷史,使訪問控制列表中的用戶可獲得文檔的最新版本。訪問控制列表和有效時間戳可能仍然能夠查看文檔的先前版本(指代特定的通信中)。在收件人可能需要更新文檔的情況下,服務器代理可能能夠基于唯一的標識符來創建文件的附加副本。這可能允許其它用戶根據原始文件被發送時的參數設置修改原始文件。基于一定的標準,取決于該文件有多接近于其原始內容使得原始文件可能被限制編輯或者修改。一旦文件已被以任何形式更新或者編輯,則服務器代理能夠向所有收件人發出另一電子消息以向他們通知新的修改。另一個選擇是服務器代理插入一段元數據到文件或者文件名中以容易地識別修改并實施對文件的版本控制。這可以允許更好的修改控制和可能需要訪問同一文檔的團隊成員之間的合作。修改控制可能需要在所有參與方(諸如電子通信的相同形式、即時消息或者對等文件共享)之間使用的系統的基礎上而被實施。(5)時間靈敏度為管理時間靈敏度的問題和對文檔的共享,集中式ACL服務需要確保中央信息庫僅允許對文件的訪問以及基于一定的時間標準對文檔的修改。這可能必須包括對不同時區、工作時間表和信息的靈敏度以對時間戳的操作進行監控從而確保該系統不被利用。(6)云計算由于云計算的相對匿名,在透明度相對缺乏的基礎上對管理安全性和文檔共享的需求是至關重要的,在其上文檔可以基于云基礎設施的可用性而被發送。使用集中式ACL服務或者潛在地專用服務,具體地對于細粒度(finegrained)授權和對特定文檔的訪問,用于管理這些文檔的中央信息庫可以調節云內任何安全性的缺乏,只要集中式ACL或者安全服務組知道不同的端點和客戶端不需要作為文檔管理系統的部分來被安全化。該系統是基于至少兩部分的I、客戶端或者基于服務器的代理自動地在數據庫中創建訪問控制列表和條目。代理可以在客戶端郵件或者信息傳送系統上、或者在郵件或者消息服務器上運行。2、將數據庫中條目的顯示提供給用戶的服務,以及管理用戶ID、密碼、訪問控制列表和條目內容的能力。
參考圖4,將使用邏輯/處理流程圖來更好的描述下文中列舉的功能。當在通信處理流程中出現文檔時的代理和服務代理70攔截包含文檔(例如,附加的文檔)的電子通信(例如,郵件或者即時消息,下文中稱之為“通信”)。在服務中為每個包含在通信中的文檔創建用于存儲在條目數據庫76中的條目(Entry) 72。條目的所有權和到條目的訪問控制列表被分配給通信的始發方/發送方。基于收件人目的地地址的列表來為條目72創建包含用戶ID的訪問控制列表74,并且始發方/發送方地址存儲在訪問控制數據庫78中。用戶ID是收件人目的地和始發方/發送方源地址。 在服務中(I)核實(對經過驗證的用戶ID)或者(2)創建(“新”用戶ID)用戶ID。對于創建的用戶ID 為這些“新”電子郵件地址創建自動密碼。 向訪問控制列表上的每個“新”用戶ID發送通信,該通信包含用戶ID和自動地生成的密碼、以及如何修改該密碼并為服務器上今后的訪問核實帳戶和用戶ID的細節。不管怎樣,用戶ID被存儲和/或從用戶數據庫80獲取。包含在通信中的文檔被移除/提取、存儲在文檔數據庫82中、并被在服務中創建的引用指針(電子鏈接)代替。該電子鏈接“指”向文檔數據庫82內文檔的位置和/或條目數據庫76中的條目72。通過引用該指針、在服務中輸入其用戶ID和密碼來驗證訪問控制列表的成員身份,通信的收件人可以訪問文檔。當在通信過程中出現指向服務的指針時的代理和服務郵件被轉發給包含指向服務中的條目72的指針的新的收件人組。如果服務器(例如,圖I中的計算機系統/服務器12)上的條目72沒有被“安全化”,則該新郵件的收件人被添加到服務器上的條目72的訪問控制列表74。用戶ID驗證和創建按照上面概述的處理發生。服務器上條目72的所有者被以電子郵件的形式告知對訪問控制列表的修改。服務器上條目72的所有者可以根據下面描述的處理來管理服務器上條目的訪問控制列表。被轉發的郵件的始發方/發送方可以根據下面描述的處理來管理該附加的訪問控制列表74的子集。根據這些概念可以提供下列功能與他人共享由該處理創建的條目可以根據上面描述的處理來更新服務中條目的訪問控制列表。引用指向服務中條目的指針的新郵件或者通信可以被分別發送給多個收件人,無需轉發初始通信機制(郵件或者即時消息)并獨立于用戶ID和訪問控制列表的自動生成。管理服務中的用戶ID用戶ID注冊以及密碼管理該用戶ID的能力是開放的。用戶ID管理可以包括注冊“目的地”或者“始發地”地址(通常為電子郵件地址)以及創建與該地址相同的用戶ID的能力。
用戶ID可使 用密碼管理 對服務上的新用戶ID的密碼的創建。 通過將自動生成的密碼傳輸給該地址來重置服務上的用戶ID的密碼。 通過現有密碼和新密碼的輸入對用戶ID的密碼的修改。 管理服務上條目的訪問控制列表服務中條目的所有者可以編輯條目的整個訪問控制列表,并且從條目的訪問控制列表中添加和移除用戶ID。訪問控制列表可以被設置為“安全的”以僅包含為條目創建的用戶ID和由條目的所有者添加或者修改的用戶ID。如果條目由訪問控制列表的成員分配,則該成員可以管理在該分配中引用的用戶ID的子集。該子集也可以被條目的所有者管理。管理服務器上條目的內容服務中條目的所有者可以編輯服務中的條目,提供更新的文檔。服務可以創建文檔的不同版本的修改日志以使用戶能夠確定在特定的通信中指代的是文檔的哪個版本。現在參考圖5,示出了根據本發明的方法流程圖。在步驟SI中,接收帶有文檔(例如,附加的)的電子通信。在步驟S2中,從電子通信中移除文檔。在步驟S3中,文檔被存儲在文檔數據庫中,并且提供了到該數據庫的引用。在步驟S4中,為所存儲的附加的文檔生成訪問控制列表,該訪問控制列表識別電子通信的發送方和初始收件人組。在步驟S5中,確定試圖訪問該文檔的用戶是否已被授權(基于訪問控制列表)。如果沒有,則在步驟S6中該訪問被拒絕。如果已被授權,則在步驟S7中經由諸如鏈接的電子引用允許訪問。雖然此處示出和描述為動態訪問控制方案,但應理解的是,本發明進一步提供了各種可選實施例。例如,在一個實施例中,本發明提供了包括計算機程序代碼的計算機可讀/可用介質以使計算機基礎設施能夠提供如此處討論的動態訪問控制功能性。在這方面,計算機可讀/可用介質包括執行本發明的各種處理中的每一種的程序代碼。應理解的是,術語計算機可讀介質或者計算機可用介質包括程序代碼的任何一個或者多個類型的物理實現。特別地,計算機可讀/可用介質可以包括實現在一個或者多個便攜式存儲物品(例如,光盤、磁盤、磁帶等)上、實現在計算設備的一個或者多個數據存儲部分(諸如存儲器28 (圖I)和/或存儲系統34 (圖I)(例如,固定硬盤、只讀存儲器、隨機存取存儲器、高速緩沖存儲器等))上的程序代碼、和/或實現為遍歷網絡(例如,在程序代碼的有線/無線電子分發期間)的數據信號(例如,傳播信號)。在另一實施例中,本發明提供了一種在訂閱、廣告和/或費用基礎上執行本發明的處理的方法。也就是說,諸如方案集成商的服務提供商可以提供(offer to provide)動態訪問控制。這種情況下,服務提供商可以創建、保持、支撐等計算機基礎設施,諸如為一個或者多個客戶執行本發明的處理的計算機系統12 (圖I)。反過來,服務提供商可以根據訂閱和/或費用協議從客戶處接收支付,和/或服務提供商可以從廣告內容向一個或者多個第三方的銷售接收支付。在再一實施例中,本發明提供了一種用于提供動態訪問控制功能性的計算機實現的方法。這種情況下,可以提供諸如計算機系統12 (圖I)的計算機基礎設施,并且可以獲得(例如,創建、購買、使用、修改等)并向計算機基礎設施部署一個或者多個用于執行本發明的處理的系統。在這方面,系統的部署可以包括下列中的一個或者多個(1)在諸如計算機系統12 (圖I)的計算設備上安裝來自計算機可讀介質的程序代碼;(2)將一個或者多個計算設備添加到計算機基礎設施;以及(3)合并和/或修改計算機基礎設施的一個或者多個現有系統以使計算機基礎設施能夠執行本發明的處理。在此處使用時,應理解的是,術語“程序代碼”和“計算機程序代碼”是同義的并且表示旨在引起具有信息處理能力的計算設備直接地或者在下列步驟之一或者兩者之后執行特定功能的任何語言、代碼或者表示法的指令集的任何表達Ca)轉換到另一語言、代碼或者表示法;和/或(b)以不同的物質形式再現。在這方面,程序代碼可以實現為下列中的一個或者多個應用/軟件程序、組件軟件/函數庫、操作系統、用于特定計算設備的基礎設備系統/驅動器,等等。依此可以提供適于存儲和/或執行程序代碼的數據處理系統,其可以包括至少一 個可以通過系統總線直接或者間接地通信耦合到存儲器元件的處理器。存儲器元件可以包括但不限于在程序代碼的實際執行過程中采用的本地存儲器、大容量存儲、和提供至少某些程序代碼的暫時存儲以降低在執行過程中必須從大容量存儲中獲取的時間碼的數目的高速緩沖存儲器。輸入/輸出或者設備(包括但不限于鍵盤、顯示器、定點設備等)可以直接地或者通過介入其間的設備控制器耦合到系統。網絡適配器也可以耦合到系統以使數據處理系統能夠通過其間的專用或者公共網絡的任何組合耦合到其它處理系統、遠程打印機、存儲設備等。說明性的網絡適配器包括但不限于調制解調器、電纜調制解調器以及以太網卡。為了圖示和描述的目的已示出了本發明各個方面的前述描述。其目的不是窮舉或者將本發明限制為所公開的精確形式,顯然可以做出許多修改和變型。對本領域的技術人員來說顯而易見的這種修改和變型旨在被包括在由所附權利要求書所限定的本發明的范圍內。
權利要求
1.一種用于在云計算環境內提供對電子通信中的文檔的動態訪問控制的方法,包括 在所述云計算環境內接收電子通信,所述電子通信帶有文檔; 從所述電子通信中移除所述文檔; 將所述文檔存儲在文檔數據庫中; 為所存儲的文檔生成訪問控制列表,所述訪問控制列表識別所述電子通信的發送方和初始收件人組;以及 基于所述訪問控制列表控制對所述文檔數據庫中的文檔的訪問。
2.如權利要求I所述的方法,進一步包括提供對存儲在信息庫中的文檔的引用。
3.如權利要求2所述的方法,所述引用包括電子鏈接。
4.如權利要求2或3所述的方法,進一步包括用所述電子鏈接代替所述文檔。
5.如任一在先權利要求所述的方法,進一步包括基于初始收件人組中至少之一對電子消息的轉發來動態地更新所述訪問控制列表以包括被轉發的收件人組。
6.如任一在先權利要求所述的方法,進一步包括允許所述電子通信的發送方對所述訪問控制列表的管理。
7.如任一在先權利要求所述的方法,所述電子通信是電子郵件消息。
8.如任一在先權利要求所述的方法,所述方法包括配置為結合電子消息處理應用工作的云服務。
9.如任一在先權利要求所述的方法,其中所述訪問控制列表識別所述發送方的地址和所述收件人的地址。
10.如任一在先權利要求所述的方法,其中所述收件人對所述文檔數據庫進行認證。
11.如任一在先權利要求所述的方法,進一步包括 生成與文檔數據庫中的文檔關聯的條目;以及 允許所述電子通信的發送方對所述條目的管理。
12.如任一在先權利要求所述的方法,進一步包括 更新所述文檔;以及 存儲與修改中的更新關聯的數據。
13.一種用于提供對電子通信中的文檔的動態訪問控制的云計算機系統,所述云計算機系統包括含有指令的存儲器介質和與所述存儲器介質耦合的總線;所述系統包括 與所述總線耦合的處理器,在執行所述指令時引起所述云計算機系統執行以下步驟 在所述云計算環境內接收電子通信,所述電子通信帶有文檔; 從所述電子通信中移除所述文檔; 將所述文檔存儲在文檔數據庫中; 為所存儲的文檔生成訪問控制列表,所述訪問控制列表識別所述電子通信的發送方和初始收件人組;以及 基于所述訪問控制列表控制對所述文檔數據庫中的文檔的訪問。
14.如權利要求13所述的云計算機系統,所述云計算機系統被進一步引起執行以下步驟提供對存儲在信息庫中的文檔的引用。
15.如權利要求14所述的云計算機系統,所述引用包括電子鏈接。
16.如權利要求14或15所述的云計算機系統,所述云計算機系統被進一步引起執行以下步驟用所述電子鏈接代替所述文檔。
17.如權利要求13到16中任一所述的云計算機系統,所述云計算機系統被進一步引起執行以下步驟基于初始收件人組中至少之一對電子消息的轉發來動態地更新所述訪問控制列表以包括被轉發的收件人組。
18.如權利要求13到17中任一所述的云計算機系統,所述云計算機系統被進一步引起執行以下步驟允許所述電子通信的發送方對所述訪問控制列表的管理。
19.如權利要求13到18中任一所述的云計算機系統,所述電子通信是電子郵件消息。
20.如權利要求13到19中任一所述的云計算機系統,所述云計算機系統被進一步引起執行以下步驟結合電子消息處理應用工作。
21.如權利要求13到20中任一所述的云計算機系統,其中所述訪問控制列表識別所述發送方的地址和所述收件人的地址。
22.如權利要求13到21中任一所述的云計算機系統,其中所述收件人對所述文檔數據庫進行認證。
23.如權利要求13到22中任一所述的云計算機系統,所述云計算機系統被進一步引起執行以下步驟 生成與文檔數據庫中的文檔關聯的條目;以及 允許所述電子通信的發送方對所述條目的管理。
24.如權利要求13到23中任一所述的云計算機系統,所述云計算機系統被進一步引起執行以下步驟 更新所述文檔;以及 存儲與修改中的更新關聯的數據。
25.—種包括存儲在計算機可讀介質上的計算機程序代碼的計算機程序,當加載到計算機系統中并在其上執行時所述計算機程序引起所述計算機系統執行根據權利要求I到12中任一所述的方法的所有步驟。
26.一種用于在云計算環境內部署云服務以提供對電子通信中的文檔的動態訪問控制的方法,包括 提供云計算機基礎設施,所述云計算機基礎設施可操作為 在所述云計算環境內接收電子通信,所述電子通信帶有文檔; 從所述電子通信中移除所述文檔; 將所述文檔存儲在文檔數據庫中; 為所存儲的文檔生成訪問控制列表,所述訪問控制列表識別所述電子通信的發送方和初始收件人組;以及 基于所述訪問控制列表控制對所述文檔數據庫中的文檔的訪問。
全文摘要
本發明提供了一種管理和控制文檔傳輸和電子通信的方案。具體地,本發明解決了擁有對與多種類型的數據通信關聯的數據(文檔、圖像文件以及附件,下文中稱之為“文檔”)的控制的問題。按這種思路,本發明提供了一種輻射狀通信模型以在有效性、效率、靈活性和控制方面獲得多重效益。這種類型的粒度控制對云計算環境內的信息共享是至關重要的。此方法對協作工具也是有用的,可以由對輻射狀系統的訪問控制列表的創建和管理進行擴充。在這方面,本發明解決了隨著文檔在多人之間轉發或者通信能夠動態地更新訪問控制列表的問題。通過對文檔已被發送給何人(以及何地)的分析不斷更新這些ACL。
文檔編號H04L12/58GK102640162SQ201080054526
公開日2012年8月15日 申請日期2010年11月15日 優先權日2009年12月3日
發明者C·J·道森, M·D·肯策爾斯基, S·麥克米倫 申請人:國際商業機器公司