数据文件访问控制制造技术

在一种实施方式中，生成数据文件和策略。该策略继而与所述数据文件相关联，其中所述策略包括一个或多个未分配账号以及访问控制定义，该控制定义定义了与所述一个或多个未分配账号中的每一个相关联的访问许可。

【技术实现步骤摘要】
【国外来华专利技术】优先权要求本PCT申请要求享受2006年10月23日提交的、标题为“DATAFILE ACCESS CONTROL”的美国专利申请序列号11/585,418的申请日，根据35U.S.C.§120或365(c)在此要求优先权，并通过引用将其全部内容在此并入。
本申请涉及控制对数据文件的访问权。
技术介绍
通常，数据文件的分发者或发布者愿意以安全的方式分发数据文件，并且仅允许选定的目标用户有权访问。传统上，数据文件的分发者在数据文件管理系统内搜索需要包括在与访问数据文件相关联的策略中的目标用户。搜索结果只显示数据文件管理系统已知的目标用户。如果分发者发现目标用户不存在，则分发者可以通过向策略添加目标用户的电子邮件地址来添加目标用户，以及向目标用户发送邀请通知电子邮件来创建账号并将其包含在策略中。然而，一旦数据文件(以及策略)已经创建和分发，则在不创建新的数据文件和相关策略的情况下，其后无法添加新的目标用户。附图说明通过附图中的示例而非限制方式图示了本专利技术，附图中类似的参考标号指示类似的元件，其中：图1是示出了用于数据管理系统的操作环境的示例实施方式的框图；-->图2A示出了包括嵌入的策略信息的数据文件的示例实施方式；图2B是数据库表格示例形式的访问控制列表(ACL)的实施方式；图3是示出了数据文件管理系统中认证和提供工作流的示例实施方式的框图；图4示出了用于数据文件控制和提供目标用户的示例实施方式的流程图；图5是示出了用于提供向目标用户提供数据文件访问权的认证数据的示例实施方式的流程图；图6是示出了用于提供向目标用户提供数据文件访问权的认证数据的示例实施方式的流程图；图7是示出了用于监控数据文件的离线和在线访问权的示例实施方式的流程图；以及图8示出了计算机系统的示例形式的机器的图形化表示，在该计算机系统中可以执行一组指令以使得该机器执行此处所讨论的一个或多个操作。具体实施方式在下面的描述中，出于解释的目的，阐述了多个具体细节以便提供对本专利技术的实施方式的全面理解。然而，对于本领域技术人员来说很明显，本专利技术可以不需要这些具体细节而实施。此处所使用的“数据文件”除其他之外包括“电子文档”以及“电子数据文件”。术语数据文件和电子数据文件包括一组电子数据，其既包括存储在便携式有形介质(例如压缩盘(CD)、闪存驱动等)上的数据文件中的电子数据，又包括通过网络接收以及动态处理或(永久性或临时性)存储以供随后处理的电子数据。电子数据可以包括但不限于，加密的文本文件和非加密的文本文件，音频文件/可视文件(例如，音乐、视频和语音)等等。数据文件可以表示为操作系统(OS)或软件应用的图形目标用户界面(GUI)中的-->单个数据文件图标。而且，对数据文件的参考不必对应于整个数据文件。例如，在一组协同文件中，数据文件可以是对整个数据文件的一部分的参考，等等。“目标用户”是目标用户(个人)、目标用户群组、旨在于接收和访问安全数据文件的过程或实体。例如，目标用户可以是被定义为包括企业内的所有副经理的目标用户群组。为了简单起见，此处将目标用户主要用作目标个人。不过，可以理解，如上所定义的，目标用户可以是目标个人或实体的群组，而不脱离此处所述新颖特征及其等效物。过程可以是应用或程序。例如，对个人不提供访问权，但是对特定目标应用(除了其他应用之外)可以提供对数据文件的访问权。实体可以是一个或多个非个人，诸如机器或虚拟的电子邮件账号。其他术语包括：“目标用户管理系统”，其是包含目标用户账号信息(例如，轻量级目录访问协议(LDAP))的数据库；“提供”可以包括通过自我服务过程(例如，电子邮件注册过程)创建目标用户账号；“发布者”是分发数据文件的个人或实体；“策略”包括(除了其他之外)部分地定义了目标用户可以用来访问数据文件的一个或多个访问许可的访问控制定义，策略可以进一步包括嵌入有数据文件的组件以及服务器上的组件；“访问控制列表”(ACL)是目标用户与许可的映射(例如，Unassigned1(未分配1)和JohnSmith可以打印数据文件，而Unassigned2(未分配2)仅可以查阅数据文件，等等)；以及对数据文件的“访问”包括但不限于打开、查阅、编辑、打印以及执行数据文件内的代码。在各种实施方式中，此处所描述的各种系统和技术可以与多种不同类型的数据文件一起使用。例如，便携式文档格式(PDF)数据文件。PDF数据文件的格式是California州San Jose市的Adobe系统公司提出的。PDF数据文件是以平台无关数据文件格式的电子数据文件的一个实例，其可以定义电子数据文件的外观。这种数据文件格式可以是平台无关存储格式，其能够存储多种不同类型的数据，-->包括图形、动画和声音。所定义的外观可以针对多种类型的显示设备而定义，从而提供控制数据文件的界面风格的数据文件创建器/编辑器，而无需考虑最终目的设备。在各种实施方式中，这种格式的数据文件的优点在于：数据文件管理系统不需要绑定在特定软件开发平台上的架构(例如，系统可以设计为在Java和.NET上运行)。因此，数据文件管理系统可以容易地跨过各种平台而工作。在各种实施方式中，所描述的系统和技术可以在数据文件管理系统中使用，该数据文件管理系统继而可以由与数据文件管理有关的企业使用。数据文件管理系统可以作为单机系统或者作为另一系统的组件而运行，并且可以通过控制谁可以访问(例如查阅、编辑、打印)数据文件、数据文件是否驻留在服务器上、以及目标用户是在线访问还是以离线模式在本地访问，从而提供持久的数据文件安全。在一种实施方式中，数据文件管理系统的部分可以用于创建与数据文件相关联的策略，该数据文件可以分发给网络架构(诸如客户端-服务器架构)中的一个或多个目标用户(例如，在客户端机器上)。策略可以包括一个或多个未分配账号，这些未分配账号具有相关联的许可，这些许可与数据文件关联的各种权利(例如，打印、查阅、复制等)有关。当目标用户与包括(例如，嵌入)在数据文件的策略部分中的一个或多个未分配账号之一相关联时，该目标用户可以被授予对某些或整个数据文件的访问权。可以通过目标用户的请求或通过数据文件管理员选择(push out)目标用户，来提供将被授予访问权的目标用户。附加地，可以基于与数据文件的访问权<本文档来自技高网...

【技术保护点】
一种方法，包括：　生成数据文件；　生成策略，所述策略包括一个或多个未分配账号以及访问控制定义，所述访问控制定义定义了与所述一个或多个未分配账号中的每一个相关联的访问许可；以及　将所述策略与所述数据文件相关联。

【技术特征摘要】
【国外来华专利技术】US 2006-10-23 11/585,4181.一种方法，包括：
生成数据文件；
生成策略，所述策略包括一个或多个未分配账号以及访问控制定
义，所述访问控制定义定义了与所述一个或多个未分配账号中的每
一个相关联的访问许可；以及
将所述策略与所述数据文件相关联。
2.如权利要求1的方法，包括将目标用户与所述一个或多个未
分配账号的第一未分配账号相关联。
3.如权利要求2的方法，包括将属于所述第一未分配账号的认
证数据传送至所述目标用户，所述目标用户使用所述认证数据来访
问所述数据文件。
4.如权利要求3的方法，其中所述认证数据是对应于所述第一
未分配账号的用户名以及用于激活与所述访问控制定义相关联的访
问密钥的口令，所述访问控制定义定义了与所述第一未分配账号相
关联的访问许可。
5.如权利要求3的方法，包括接收联系消息，其指示目标用户
在线且具有对所述数据文件的访问权。
6.如权利要求3的方法，包括基于确定所述目标用户未在离线
阈值时间内传送联系消息，撤消目标用户对所述数据文件的访问权。
7.如权利要求3的方法，包括基于所述目标用户超过访问阈值
而访问所述数据文件，撤消所述目标用户对所述数据文件的访问权。
8.如权利要求7的方法，其中所述访问阈值是根据所述数据文
件何时被传送到所述目标用户而确定的时间。
9.如权利要求7的方法，其中所述访问阈值是所述目标用户访
问所述数据文件的次数。
10.如权利要求1的方法，其中与所述数据文件的访问权相关联
的所述访问许可包括以下至少一个：查阅、打印、编辑、分发和复
制。
11.如权利要求1的方法，包括接收来自所述目标用户针对所述
数据文件的访问权的请求。
12.如权利要求11的方法，其中所述来自所述目标用户针对所
述数据文件的访问权的请求包括用于访问所述数据文件的支付信
息。
13.如权利要求11的方法，包括接收来自所述目标用户用于续
订对所述数据文件的访问权的第二请求。
14.如权利要求13的方法，包括续订对所述数据文件的访问权
以及维持所述目标用户与所述第一未分配账号的关联。
15.如权利要求1的方法，包括接收来自数据文件管理员的、用
于向目标用户提供对所述数据文件的访问权的请求。
16.一种系统，包括：
文件创建模块，用于生成数据文件；以及
策略创建模块，用于创建策略以及将所述策略与所述数据文件相
关联，其中所述策略包括一个或多个未分配账号以及访问控制定义，
所述访问控制定义定义了与所述一个或多个未分配账号中的每一个
相关联的访问许可。
17.如权利要求16的系统，包括映射模块，用于将目标用户映
射至所述一个或多个未分配账号的第一未分配账号。
18.如权利要求17的系统，其中在所述映射模块映射之前，代
理模块接收来自数据文件管理员的用于允许所述目标用户访问所述
数据文件的请求。
19.如权利要求17的系统，包括认证模块，用于将用于所述第
一未分配账号的认证数据传送至客户端机器的目标用户，所述认证
数据被用于根据与所述第一未分配账号相关联的所述访问许可来访
问所述数据文件。
20.如权利要求19的系统，包括认证模块，用于传送新的认证
数据以向目标用户提供所述数据文件的新的访问级别。
21.如权利要求19的系统，包括代理模块，用于接收来自所述
目...

【专利技术属性】
技术研发人员：JD赫巴克，
申请(专利权)人：奥多比公司，
类型：发明
国别省市：US[]