对至少一个数字文件的差异化策略的应用制造技术

在用于在多个工作流程参与者(110a-110n)当中对具有多个原子单元（122a-122n）的至少一个数字文件(120a-120n)应用差异化策略的方法(300)中，其中，原子单元被分配以多个所述差异化策略中的至少一个差异化策略，细化所述至少一个数字文件(304)，以识别所述原子单元和分配给所述原子单元的所述差异化策略中的所述至少一个差异化策略。此外，根据分配给所述原子单元的所述差异化策略中的所述至少一个差异化策略来聚合所述原子单元(306)；以及将相应的密钥集合关联到(308)经聚合的原子单元，其中，公共的密钥集合与被分配以相同策略的所述经聚合的原子单元相关联。

【技术实现步骤摘要】
【国外来华专利技术】对至少一个数字文件的差异化策略的应用相关申请的交叉引用本申请包含与序列号为TBD（代理人案号201000332-1）、标题为“ProvidingDifferentialAccesstoaDigitalDocument”、于与文本相同的日期提交的共同待审且共同转让的PCT申请共同的主题，藉此该PCT申请的公开内容通过引用以其整体被并入。
技术介绍
近年来，存在远离在纸上打印信息而朝着使用包含数字内容的数字文件前进的增加的趋势。数字文件的示例包括例如便携式文件格式（pdf）文件、电子表格、电子图、通过使用文字处理应用而生成的文件、以及html页面。数字文件还可以包括复合文件，复合文件包括不同类型的格式的混合。在纸件文件的情况下，使用个人的签名或其他手写标记来确定被授权的个人是否进行了对文件的各种改变或添加。然而，这种修改对于数字文件来说不可能或不方便，因为这些类型的修改将需要个人打印数字文件、对文件进行签名或以其他方式对文件进行标记，并扫描所标记的文件以证明该个人进行了修改。控制对文件（纸件和电子二者）的访问的这种方式容易被攻击并且可能容易被伪造。已经提出用于防止或减少对数字文件的攻击和伪造的各种技术。典型地，这些技术采用数据库，在数据库上存储数字文件，并且，通过防止用户对数据库或数据库所连接至的网络的访问来控制对该数据库或网络的访问，除非该用户持有某秘密信息，诸如用户标识和密码。同样地，为了使这些安全性技术实行对数字文件的访问控制，用户需要被授权对数据库或网络进行访问。然而，典型地，出于各种安全性原因（诸如，为了防止拥有该数据库或网络的公司或政府实体的承包商或非雇员进行访问），禁止或不期望对该数据库或网络进行访问。通常，出于简明和适应性的目的，作为整体提供或者根本不提供访问控制。附图说明根据参考图的以下描述，对于本领域的技术人员而言本专利技术的特征将变得显而易见，在图中：图1图示了根据本专利技术的实施例的数字文件工作流程的简化示意图；图2示出了根据本专利技术的实施例的、包含图1中描绘的差异化策略应用设备的差异化策略应用系统的简化框图；图3A和3B共同示出了根据本专利技术的实施例的、用于在多个工作流程参与者当中对至少一个数字文件应用差异化策略的方法的流程图；图3C示出了根据本专利技术的实施例的、图3A中描绘的方法中的步骤304的更详细的图示；图4通过图表描绘了根据本专利技术的实施例的、可以依照其实现图3A和3B中描绘的方法的步骤中的一些步骤的方式；图5示出了根据本专利技术的实施例的、将差异化访问提供给多个工作流程参与者所依照的方式的图；以及图6示出了根据本专利技术的实施例的、可以被用作用于实现或者执行图3A-3C中描绘的过程中的一个或多个的平台的计算机系统的框图。具体实施方式出于简明和示意的目的，通过主要参照示例实施例来描述本专利技术。在以下描述中，阐述了许多具体细节，以提供对实施例的透彻理解。然而，对本领域普通技术人员来说将显而易见的是，可以在不限于这些具体细节的情况下实施本专利技术。在其他实例中，未详细描述公知的方法和结构，以避免不必要地模糊实施例的描述。本文所公开的是用于在多个工作流程参与者当中对至少一个数字文件应用差异化策略（诸如安全性策略）的方法和设备。该(一个或多个)数字文件可以包括复合文件，复合文件由具有分离的文件或可寻址的文件片段的形式的多种个体可寻址和可访问的部分（单元）组成。例如，所述单元可以包括个体文件、文件组、或文件片段，诸如html片段、xml节点、展示幻灯片、文字处理文本框、电子表格文件的部分、包含图的电子对象、具有flash视频能力的电子对象等等。贯穿本公开，将个体可寻址和可访问部分记载为“原子单元”。此外，特定数字文件的原子单元可以包括与彼此相同的格式或不同的格式。差异化安全性策略可以定义例如：原子单元是否将被加密，工作流程参与者是否将被授权访问原子单元并且哪些工作流程参与者将被授权访问原子单元，将要授权给工作流程参与者的不同的访问级别等。差异化安全性策略可以进一步定义将被响应于正被满足的各种条件而应用于原子单元的动作。例如，差异化安全性策略可以定义：当原子单元包括指定的信息或元数据时，该原子单元将被加密。作为另一示例，差异化安全性策略可以定义：不同的工作流程参与者将被授权对原子单元的不同的访问级别，例如，当该原子单元包括特定值时，特定的工作流程参与者可以被授权对原子单元的只读访问级别。因此，例如，原子单元中的某些（诸如个体文件）可以被整体地加密，原子单元中的某些（诸如文件片段）可以被单独地加密，以及至少一个数字文件的原子单元中的某些可以不被加密。关于原子单元是否被加密的确定可以基于原子单元是否包括一个或多个引出一个或多个策略的应用的项。例如，如果一个或多个原子单元包括所述一个或多个项，则该一个或多个原子单元可以被识别为被选择用于加密。在多个策略适用于相同的原子单元的情况下，可以采用一个或多个规则来解决策略之间的冲突。所述一个或多个规则可以包括例如：依照指定或随机次序的来自每个策略的动作的分别应用、来自最高安全性要求策略的动作的应用、在给定类别中的最高级别策略中定义的动作的应用等。本文公开的方法和设备还被配置成：应用差异化策略，同时使得用于应用差异化策略的加密、解密、签名以及验证密钥的数目实质上最小化。可以基于安全性策略、通过一个或多个数字文件的细化而使密钥的数目实质上最小化。一般而言，例如根据一个或多个安全性需要，所述细化将(一个或多个)数字文件分裂成已经被分配了不同策略的原子单元。为了安全性(加密)起见，这些原子单元（其可以包括来自一个或多个数字文件/档案的部分）被聚合，并且当被解密时被重新集合。针对不同的工作流程参与者，还可以对原子单元分配不同的策略。因此，对于第一工作流程参与者而言可以对同一原子单元分配第一策略，而对于第二工作流程参与者而言分配第二策略。通过实现本文公开的方法和设备，被分配了相同策略的一个或多个数字文件中的原子单元可以被识别并且聚合在一起。此外，可以生成密钥的公共集合以用于/分配给那些原子单元。因此，通过其中一个或多个数字文件包括十个(10)原子单元的示例（其按照本文公开的细化产生三个(3)不同策略，而不是用于原子单元的十个不同的密钥集合），仅需要三个不同的密钥集合来使得能够实施差异化安全性策略。在这点上，用于提供并且实施差异化安全性策略所需的密钥的数目、以及需要被执行以使得能够实施差异化安全性策略的各个加密/解密、签名以及验证操作的数目会被实质上最小化。在原子单元的聚合和密钥集合与原子单元的关联之后，本文公开的方法和设备还在工作流程参与者当中提供对原子单元的差异化访问。在一个实施例中，工作流程参与者中的至少一个在公共和统一安全的环境中的至少一个之外。换句话说，例如，多个用户可能正在具有不同安全性级别的环境中访问文件。此外，可以通过控制针对数字文件或数字文件中包含的一个或多个原子单元而向工作流程参与者中的每一个供给的密钥的类型和数目，来提供差异化访问。因此，在一个方面，可以以相对简单且低廉的方式提供并且实施被授权给工作流程参与者的不同级别的访问。贯穿本公开，附图标记之后的术语“n”旨在表示大于1的整数值。此外，术语“一”和“一个”旨在表示特定元素中的至少一个。首先参照图1，其中本文档来自技高网...

【技术保护点】
一种用于在多个工作流程参与者(110a‑110n)当中对至少一个数字文件(120a‑120n)应用差异化策略的方法(300)，所述至少一个数字文件包括多个原子单元(122a‑122n)，其中，所述原子单元被分配以多个所述差异化策略中的至少一个差异化策略，所述方法包括：使用处理器来细化所述至少一个数字文件(304)，以识别所述原子单元和分配给所述原子单元的所述差异化策略中的所述至少一个差异化策略；根据分配给所述原子单元的所述差异化策略中的所述至少一个差异化策略来聚合所述原子单元(306)；以及将相应的密钥集合关联到经聚合的原子单元(308)，其中，公共的密钥集合与被分配以相同策略的所述经聚合的原子单元相关联。

【技术特征摘要】
【国外来华专利技术】1.一种用于在多个工作流程参与者(110a-110n)当中对至少一个数字文件(120a-120n)应用差异化策略的方法(300)，所述至少一个数字文件包括多个原子单元(122a-122n)，其中，所述原子单元被分配以多个所述差异化策略中的至少一个差异化策略，所述方法包括：使用处理器来细化所述至少一个数字文件(304)，以识别所述原子单元和分配给所述原子单元的所述差异化策略中的所述至少一个差异化策略；根据分配给所述原子单元的所述差异化策略中的所述至少一个差异化策略来聚合所述原子单元(306)；以及将相应的密钥集合关联到经聚合的原子单元(308)，其中，公共的密钥集合与被分配以相同策略的所述经聚合的原子单元相关联。2.根据权利要求1所述的方法(300)，其中，聚合所述原子单元(306)进一步包括：将被分配了相同策略的所述识别的原子单元组合成单个逻辑策略单元，并且其中，关联相应的密钥集合(308)进一步包括关联用于所述单个逻辑策略单元的相应的密钥。3.根据权利要求1所述的方法(300)，其中，所述差异化策略包括被配置成提供由所述多个工作流程参与者对所述原子单元的差异化访问的安全性策略，其中，细化所述至少一个数字文件(304)进一步包括：细化所述至少一个数字文件以识别被针对所述工作流程参与者中的每一个而分配给所述原子单元的所述差异化策略(304)。4.根据权利要求3所述的方法(300)，其中，细化所述至少一个数字文件(304)进一步包括：根据针对所述工作流程参与者中的每一个而分配给所述原子单元的所述差异化策略来使所述原子单元对准。5.根据权利要求4所述的方法(300)，其中，细化所述至少一个数字文件(304)进一步包括：对于所述工作流程参与者(110a-110n)中的每一个，确定连续原子单元是否已经被分配了相同策略(352)；以及响应于确定连续原子单元已经被分配了相同策略，将所述连续原子单元组合成策略区(354)。6.根据权利要求1所述的方法(300)，进一步包括：基于分配给所述原子单元的所述差异化策略，来识别将被同时授权给所述工作流程参与者中的每一个的对所述原子单元的访问级别(310)；以及根据授权给所述工作流程参与者的针对所述原子单元的所识别的访问级别，给所述工作流程参与者中的每一个供给与所述原子单元相关联的所述密钥集合的一个或多个子集(314)。7.根据权利要求6所述的方法(300)，其中，所述密钥集合中的每一个包括加密密钥、解密密钥、签名密钥以及验证密钥中的至少一个，并且其中，给所述工作流程参与者中的每一个供给所述密钥集合的一个或多个子集(314)进一步包括：对于每个原子单元，给被识别为被授权不许访问级别的所述工作流程参与者供给所述验证密钥，而排除用于该原子单元的所述签名密钥、所述加密密钥、以及所述解密密钥；给被识别为被授权只读访问级别的所述工作流程参与者供给所述解密密钥和所述验证密钥，而排除用于该原子单元的所述加密和所述签名密钥；以及给被识别为被采用修改访问级别加以授权的所述工作流程参与者供给用于所述至少一个原子单元的所述加密密钥、所述解密密钥、所述签名密钥以及所述验证密钥。8.根据权利要求6所述的方法(300)，进一步包括：基于被分配给所述原子单元的所述策略来确定所述原子单元中的哪些将被加...

【专利技术属性】
技术研发人员：SJ辛斯克，H巴林斯基，
申请(专利权)人：惠普发展公司，有限责任合伙企业，
类型：发明
国别省市：美国;US