CN101282330B - 网络存储访问权限管理方法及装置、网络存储访问控制方法 - Google Patents
网络存储访问权限管理方法及装置、网络存储访问控制方法 Download PDFInfo
- Publication number
- CN101282330B CN101282330B CN2007100911315A CN200710091131A CN101282330B CN 101282330 B CN101282330 B CN 101282330B CN 2007100911315 A CN2007100911315 A CN 2007100911315A CN 200710091131 A CN200710091131 A CN 200710091131A CN 101282330 B CN101282330 B CN 101282330B
- Authority
- CN
- China
- Prior art keywords
- user
- network storage
- authorized
- metadata
- memory access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种网络存储访问权限管理方法及装置、网络存储访问控制方法,其通过在与所述授权用户对应的授权用户网络存储访问权限元数据中,根据授权用户请求操作的存储访问权限信息,操作授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限,从而允许被授权用户访问被授权用户的网络存储。
Description
技术领域
本发明涉及通信领域,尤其涉及网络存储访问权限管理技术。
背景技术
OMA(Open Mobile Alliance,开放移动联盟)是制定移动通信系统标准的国际组织,其提出了包括PoC(一键通)、IM(Instant Messaging,即时消息)、以及CPM(Call Protocol Message,融合消息)等基于SIP(Session InitiationProtocol,会话初始协议)的消息业务的规范。该规范通过部署在网络侧的OMA消息系统来实现对消息业务的存储功能。所述OMA消息系统的架构如图1所示,包括:“消息内容存储器”、“消息元数据服务器”、“消息服务器”,以及“聚合代理”、“搜索代理”和“核心网”。所述“消息元数据服务器”包括“网络存储权限访问控制器”和“消息业务元数据文件管理器”。
所述“消息内容存储器”用于负责管理存储用户使用消息业务过程中实际收发的消息业务的消息文件,所述消息业务包括:消息、会话历史以及其中可能包含的多媒体数据等历史通信数据。
所述“消息元数据服务器”,用于负责用户消息业务的配置信息和描述用户消息业务的元数据信息的存储和管理。所述用户消息业务的配置信息包括:消息业务设置信息,如联系列表、预定义群组、用户访问策略等;所述描述元数据信息包括:描离线消息和会话历史通信数据的元数据等,这些元数据一般通过“消息业务元数据文件”等媒体文件存储。
所述“消息元数据服务器”中的“消息业务元数据文件管理器”,用于负责管理其内的“消息业务元数据文件”等媒体文件,所述“消息业务元数据文件”中存储着配置信息和消息业务的元数据信息等。
所述“消息元数据服务器”中的“网络存储权限访问控制器”,用于根据所述“消息业务元数据文件管理器”中管理的媒体文件中的数据进行访问权限的控制。
所述“消息服务器”用于负责消息业务逻辑控制,即控制所述“消息内容存储器”存储和管理消息业务,控制“消息元数据服务器”存储和管理用户消息业务的配置信息。
所述“聚合代理”,是网络中为用户提供访问消息元数据的代理,主要执行对拥有管理消息元数据的权限的授权客户端的鉴权,以及路由网络存储访问请求至适当的网络实体,譬如消息元数据服务器、搜索代理。
所述“搜索代理”,用于接收客户端经聚合代理转发来的消息元数据查询请求,并将该请求发送至适当的消息元数据存储实体,譬如“消息元数据服务器”。还用于将接收到查询响应中的搜索结果进行整合,并经聚合代理返回至用户客户端。
当客户端访问所记录的消息业务时,首先通过所述“聚合代理”访问“消息元数据服务器”中记录的消息业务的元数据信息;然后根据所述元数据信息,经“核心网”与所述“消息服务器”交互,访问“消息内容存储器”中的消息业务内容。
目前,“消息元数据服务器”在记录用户消息业务的元数据信息时,通常按照应用语义对同一用户的所有元数据信息进行分类,将同一应用语义下的元数据归为一类,然后按照“XML文件目录”(XML Documents Directory)元数据文件中的目录结构来组织该用户的消息业务的所有元数据信息。其逻辑结构如图2所示,可以看出,其包括:<xcap-directory>根节点、所述根节点下的子节点<folder>、所述子节点<folder>下的<entry>子节点。
其中所述<xcap-directory>根节点代表某用户的所有消息业务对应的元数据信息的根目录;其下的每个子节点<folder>,分别对应所述用户在同一应用语义标识(AUID)下的某类特定消息业务的所有元数据信息;所述<entry>子节点则指向某个具体的消息业务元数据文件,如图中列举的“deferred-list”、“cpm-rules”、“history-list”和“index”四类消息业务元数据文件。
当组织好某个用户所拥有的所有元数据信息后,将所述“XML文件目录”存储到为所述用户预留的存储空间中,以便所述网络存储拥有用户根据网络存储的元数据信息访问相应的网络存储,包括网络存储元数据和/或网络存储消息业务。
本发明的发明人发现,现有的消息系统是按照应用语义,将某个用户的所有消息业务的元数据信息进行分类的,这样无法分级组织某个应用语义下的元数据;
另外,现有的消息系统中,网络存储拥有用户只能根据自己所拥有的“XML文件目录”中的元数据信息访问自己的网络存储,还不允许其它用户访问自己的网络存储。
发明内容
本发明的实施例提供一种网络存储访问权限管理方法及装置、网络存储访问控制方法,其能够允许其它用户访问网络存储拥有用户的网络存储。为描述方便,本发明的实施例中将网络存储拥有用户称为授权用户,将能够访问所述网络存储拥有用户的网络存储的用户称为被授权用户。
本发明的实施例通过如下技术方案实现:
本发明的实施例提供了一种网络存储访问权限管理方法,其包括:
获得授权用户的网络存储访问权限操作请求,所述请求中携带授权用户请求操作的存储访问权限信息,所述请求中携带授权用户请求操作的存储访问权限信息包括授权用户的身份标识,所述存储访问权限信息涉及的网络存储目录或网络存储文件相关信息,以及包括:至少一个被授予访问权限的被授权用户的身份标识,或者,至少一个不能被授予访问权限的访问用户的身份标识;
根据所述授权用户的身份标识,以及网络存储元数据目录或网络存储文件的相关信息,查找对应于授权用户的身份标识的消息业务网络存储访问权限管理元数据文件;
根据授权用户请求操作的存储访问权限信息,在授权用户的网络存储访问权限元数据中,操作授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限;
所述根据授权用户请求操作的存储访问权限,操作存储访问权限的过程,具体包括:
在授权用户的网络存储访问权限元数据文件中,根据所述授权用户请求授予的存储访问权限信息,创建授权用户为被授权用户设置的存储访问权限元数据;
或者,
在授权用户的网络存储访问权限元数据文件中,根据所述授权用户请求更新的存储访问权限信息,更改授权用户为被授权用户设置的存储访问权限元数据;
或者,
在授权用户的网络存储访问权限元数据文件中,根据所述授权用户请求撤回的存储访问权限,删除授权用户为被授权用户设置的存储访问权限元数据。
本发明的实施例还提供了一种网络存储访问控制方法,其包括:
获得被授权用户针对授权用户网络存储的访问请求,所述请求中携带需要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信息,需要访问的网络存储所对应的授权用户的身份标识以及请求用户的身份标识;
根据授权用户的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,将授权用户网络存储元数据文件中被授权用户具有访问权限的元数据提供给所述被授权用户;
所述根据所述授权用户的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,将授权用户网络存储元数据文件中被授权用户具有访问权限的元数据提供给所述被授权用户的过程,具体包括:
检索授权用户的“存储授权策略”元数据文件中的与被授权用户访问的授权用户网络存储目录或网络存储文件的相关信息对应的存储授权策略元数据,获得与所述被授权用户身份标识对应的存储访问权限元数据;将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元数据提供给所述被授权用户;
或者,
检索授权用户的“用户访问策略”元数据文件中的与被授权用户访问的授权用户网络存储目录或网络存储文件的相关信息对应的用户访问规则元数据,获得与所述被授权用户身份标识对应的用户访问规则;根据所述用户访问规则,在对应的网络存储元数据文件中,获得与所述被授权用户身份标识对应的存储访问权限元数据;将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元数据提供给所述被授权用户。
本发明的实施例还提供了一种网络存储访问权限管理装置,其包括:
“网络存储权限访问控制器”和“消息业务元数据文件管理器”;
所述“网络存储权限访问控制器”,用于获得授权用户的网络存储访问权限操作请求,所述请求中携带授权用户请求操作的存储访问权限信息,所述请求中携带授权用户请求操作的存储访问权限信息包括授权用户的身份标识,所述存储访问权限信息涉及的网络存储目录或网络存储文件相关信息,以及包括:至少一个被授予访问权限的被授权用户的身份标识,或者,至少一个不能被授予访问权限的访问用户的身份标识;根据所述“消息业务元数据文件管理器”中的存储访问权限信息,对所述授权用户的网络存储访问权限操作请求,进行合法性验证;
所述“消息业务元数据文件管理器”,用于根据所述“网络存储权限访问控制器”通过验证的网络存储访问权限操作请求,查找对应于授权用户的身份标识的消息业务网络存储访问权限管理元数据文件,在授权用户的网络存储访问权限元数据中,根据所述授权用户请求操作的存储访问权限信息,操作授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限;
所述“消息业务元数据文件管理器”包括:
权限授予单元,用于根据所述“网络存储权限访问控制器”获得的网络存储访问权限操作请求,在授权用户的网络存储访问权限元数据文件中,根据所述授权用户请求授予的存储访问权限信息,创建授权用户为被授权用户设置的存储访问权限元数据;
或者,
权限更新单元,用于根据所述“网络存储权限访问控制器”获得的网络存储访问权限操作请求,在与所述授权用户对应的网络存储访问权限元数据文件中,根据所述授权用户请求更新的存储访问权限信息,更改授权用户为被授权用户设置的存储访问权限元数据;
或者,
第一权限删除单元,用于根据所述“网络存储权限访问控制器”获得的网络存储访问权限操作请求,在与所述授权用户对应的网络存储访问权限元数据文件中,根据所述授权用户请求撤回的存储访问权限,删除授权用户为被授权用户设置的存储访问权限元数据。
本发明的实施例还提供了另一种网络存储访问权限管理装置,其包括:
“网络存储权限访问控制器”和“消息业务元数据文件管理器”;
所述“网络存储权限访问控制器”,用于获得被授权用户针对授权用户网络存储的访问请求,所述请求中携带需要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信息,需要访问的网络存储所对应的授权用户的身份标识以及请求用户的身份标识;根据所述“消息业务元数据文件管理器”中与所述授权用户对应的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,对所述被授权用户的访问请求进行合法性验证;对通过验证的访问请求,向所述“消息业务元数据文件管理器”请求所述被授权用户具有访问权限的元数据,并将所述“消息业务元数据文件管理器”反馈的元数据提供给所述被授权用户;
所述“消息业务元数据文件管理器”,用于将与所述授权用户对应的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,反馈给所述“网络存储权限访问控制器”。
由上述本发明的实施例提供的具体实施方案可以看出,其通过在与所述授权用户对应的授权用户网络存储访问权限元数据中,根据授权用户请求操作的存储访问权限信息,操作授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限,从而允许被授权用户访问被授权用户的网络存储。
附图说明
图1为背景技术提供的OMA消息系统的架构图;
图2为背景技术提供的“XML文件目录”元数据文件中的目录结构的逻辑结构图;
图3为本发明第一实施例提供的“XML文件目录”元数据文件的目录结构的逻辑结构图;
图4为本发明第一实施例提供的流程图;
图5为本发明第一实施例提供的“存储授权策略”应用语义的消息业务元数据的目录结构的逻辑结构图;
图6为本发明第一实施例提供的“用户访问策略”应用语义的用户访问控制信息的目录结构的逻辑结构图;
图7为本发明第一实施例中,基于“存储授权策略”方案,实现授予、更改和撤回网络存储访问权限的流程图;
图8为本发明第一实施例中,第一种通知变化的网络存储访问权限方案的流程;
图9为本发明第一实施例中,第二种通知变化的网络存储访问权限方案的流程;
图10为本发明第一实施例中,第三种通知变化的网络存储访问权限方案的流程图;
图11为本发明第一实施例中,第四种通知变化的网络存储访问权限方案的流程图;
图12为本发明第二实施例中提供的的流程图;
图13为本发明第二实施例中授权用户对网络存储元数据访问请求的合法性进行鉴定的流程图;
图14为对拥有“读/写”权限的被授权用户的访问,进行控制的流程图;
图15为本发明第三实施例提供的结构原理图;
图16为本发明第四实施例提供的结构原理图。
具体实施方式
本发明的第一实施例提供了一种网络存储访问权限管理方法,在实施所述第一实施例时,需要按照消息业务的属性,对某一用户的同一应用语义下的消息业务的元数据信息进行分类;为每个类别的元数据建立网络存储目录;并建立所述网络存储目录与存储所述元数据的网络存储元数据文件(即媒体文件)之间的映射关系。
所述消息业务的属性,包括同一应用下消息业务的主题″subject″属性、消息业务执行时间“date”属性等。按照所述消息业务的属性,将同一用户同一应用语义下的所有消息业务的元数据进行分类,将属性相同的消息业务的元数据归到一类中,得到不同类别的元数据;为每个类别的元数据建立网络存储目录,并建立所述网络存储目录与存储所述元数据的网络存储元数据文件之间的映射关系。还可以将每个类别的元数据进一步细分,得到所述类别的下一级元数据,并为其建立下一级网络存储目录。
可以按照“XML文件目录”元数据文件中定义的网络存储目录结构来组织该用户的消息业务的所有元数据信息,其逻辑结构如图3所示:可以看出,其包括:<xcap-directory>根节点、所述根节点下的<folder>子节点、所述根节点下的<folder>子节点下的<folder>子节点、<entry>子节点。
其中所述<xcap-directory>根节点代表某用户的所有消息业务对应的元数据信息的根目录;其下的<folder>子节点代表同一应用语义下不同消息业务属性对应的元数据的“网络存储目录”;所述根节点下的<folder>子节点下的<folder>子节点代表按照消息业务的属性,对其上一级的<folder>子节点所代表的元数据的“网络存储目录”对应的元数据更细分后,得到的元数据对应的“网络存储目录”;<entry>节点代表具体存储所述元数据的“网络存储元数据文件”。
其中,每一个<folder>节点携带唯一标识″id″和“网络存储目录”的属性信息,如主题″subject″属性信息。每一个<folder>节点下代表具体存储所述元数据的文件的<entry>子节点也携带唯一标识″id″属性,还可以携带URI属性,用于指向具体的消息业务元数据文件。
为描述方便,本实施例中将存储具体元数据的网络存储元数据文件(也称为媒体文件)和存储消息业务内容的消息文件,统称为网络存储文件。
为了允许其它被授权用户访问授权用户所拥有的网络存储,每个授权用户可以在“消息元数据服务器”中,为自己的网络存储目录或网络存储元数据文件所对应的元数据的网络存储权限进行管理,从而控制其它被授权用户的访问权限。本发明第一实施例的具体实施过程如图4所示,包括:
步骤S101,请求用户发送网络存储访问权限操作请求,所述请求中携带授权用户请求操作的被授权用户的存储访问权限信息;
其中,所述授权用户请求操作的被授权用户的存储访问权限信息包括:
授权用户的身份标识,至少一个被授予访问权限的被授权用户的身份标识和所述存储访问权限信息涉及的网络存储目录或网络存储文件相关信息。其中所述网络存储目录或网络存储文件的相关信息可以是所述网络存储目录或网络存储文件的标识。
或者,授权用户的身份标识,所述授权用户请求操作的被授权用户的存储访问权限信息包括至少一个不能被授予访问权限的访问用户的身份标识和所述存储访问权限信息涉及的网络存储目录或网络存储文件相关信息。其中所述网络存储目录或网络存储文件的相关信息可以是所述网络存储目录或网络存储文件的标识。
所述至少一个被授予访问权限的被授权用户的身份标识,以及所述至少一个不能被授予访问权限的访问用户的身份标识,均可以通过存储的用户列表携带,分别对应白名单用户列表和黑名单用户列表。本实施例中仅以所述授权用户请求操作的被授权用户的存储访问权限信息包括至少一个被授予访问权限的被授权用户的身份标识为例进行说明。
另外,所述授权用户请求操作的被授权用户的存储访问权限信息还可以包括如下信息中的至少一个:访问权限类别,权限过期时间,权限授予时间等。
所述访问权限类别包括:文件和目录权限,权限的继承属性,权限的锁属性等。
所述文件和目录访问权限可以包括Full Control“完全控制”、Modify“修改”、List Folder Content“列出目录内容”、Read“读取”、Write“写入”,以及文件和目录访问权限的优先级别。
所述“完全控制”,表示权限只能由授权用户拥有,即只能由授权用户操作(授予、更改、撤回)文件和目录的权限;
请求用户访问请求中所需的文件或目录访问权限的优先级别必须低于或等于请求用户所拥有的该文件或目录权限优先级别;请求用户同一文件或目录的高优先级权限将覆盖低优先级权限。
所述权限的继承属性,将影响文件和目录权限,如果对目录设置该继承权限后,表示在该目录中创建的新文件和子文件夹默认将继承这些权限。
所述权限的锁属性,将影响文件或目录权限是否允许请求用户查看,如果对文件或目录某个权限的“锁”属性设置为真,表示文件或目录的该权限信息禁止请求用户查看。
步骤S102a~b,“聚合代理”和授权用户,根据所述请求中携带的请求用户的身份标识进行双向鉴定。鉴定通过后,获取经鉴定可信任的请求用户的身份标识。
“聚合代理”将施加本地安全策略,譬如利用HTTP数字摘要(HTTPDigest)对接收到的初始请求发出质询,并根据授权用户的反馈,或者返回未授权(Unauthorized)失败响应,或者鉴定通过后,获取经鉴定可信任的请求用户的身份标识。
步骤S103,“聚合代理”转发网络存储访问权限操作请求,给“消息元数据服务器”,所述请求中携带请求用户请求操作的被授权用户的存储访问权限信息。其中所述授权用户请求操作的被授权用户的存储访问权限信息包括:经过鉴定后的所述请求用户的身份标识,所述存储访问权限中涉及到的网络存储目录或网络存储文件的相关信息,如网络存储目录或网络存储文件的标识ID;以及,被授权用户的身份标识。
步骤S104,所述网络存储访问权限操作请求到达“消息元数据服务器”后,所述“消息元数据服务器”通过其内的“网络存储访问权限控制器”,根据请求中携带的网络存储目录或网络存储文件的相关信息对应的资源访问路径上的授权用户身份标识,以及请求用户身份标识,判断请求用户是否为授权用户,若不是,则拒绝该请求;若是,则认为其是合法请求用户,接收其网络存储权限操作请求。
该步骤中,“网络存储访问权限控制器”判断请求用户是否为授权用户时,比较请求用户身份标识与请求中携带的网络存储目录或网络存储文件的相关信息对应的资源访问路径上的授权用户身份标识是否一致,若一致,则认为请求用户是授权用户,为合法用户;若不一致,则认为请求用户不是授权用户,为非合法用户。
步骤S105,所述“网络存储访问权限控制器”将所述网络存储访问权限操作请求发送到“消息元数据服务器”中的“消息业务元数据文件管理器”。所述请求中携带请求用户请求操作的所述请求用户的存储访问权限信息。其中,所述请求用户请求操作的所述请求用户的存储访问权限信息中包括:请求用户的身份标识,所述访问权限中涉及到的网络存储目录或网络存储文件标识,被授权用户的身份标识。
步骤S106,所述“消息业务元数据文件管理器”接收到所述网络存储访问权限操作请求后,根据所述请求用户的身份标识,以及网络存储元数据目录或网络存储文件的相关信息,查找对应于请求用户身份标识的消息业务网络存储访问权限管理元数据文件;
在所述网络存储访问权限管理元数据文件中,根据所述请求用户请求中携带的请求操作的所述请求用户的存储访问权限信息,操作与所述被授权用户标识对应的存储访问权限元数据。具体实现时,可以采用两种方法来实现,如下:
第一种方法为基于“存储授权策略”的操作方法:该方法通过新定义的“存储授权策略”(Storage Authorization Policy)应用语义的消息业务元数据,实现授权用户对其网络存储权限的管理,如权限的授予、更改和撤回。所述消息业务元数据包括一些访问控制信息和存储访问权限信息。其中,所述访问控制信息包括:请求用户的身份标识,以及网络存储访问权限中涉及到的消息业务元数据标识等。所述存储访问权限信息中的信息如步骤S101中所列,包括:访问权限类别、权限授予时间、权限过期时间等。
新定义的“存储授权策略”(Storage Authorization Policy)应用语义的消息业务元数据,可以采用如图5所示的目录结构存储,称作“存储授权策略”元数据文件。
图5中,<authorization>元素代表授权用户网络存储目录或网络存储文件的存储授权策略,并为它赋予一个与该网络存储目录或网络存储文件相关联的授权用户全局唯一的标识“ID”;所述<authorization>元素下的<principal>子元素,代表所述存储授权策略<authorization>中创建的一个与被授权用户对应的存储访问权限元数据,所述存储访问权限元数据<principal>元素包括:被授予请求用户B的标识“URI”,访问权限类别<access>子元素,权限授予时间<date>子元素,权限过期时间<expiry>子元素等。
基于上述定义的“存储授权策略”元数据文件结构,操作所述请求用户标识对应的存储访问权限元数据时,根据所述请求用户请求中携带的请求操作的所述请求用户的存储访问权限信息,在对应于授权用户身份标识的“存储授权策略”元数据文件中创建与所述被授权用户标识对应的存储访问权限信息;或者,根据所述请求用户请求中携带的请求操作的所述请求用户的存储访问权限信息,在对应于授权用户身份标识的“存储授权策略”的元数据文件中更新与所述被授权用户标识对应的存储访问权限信息;或者,根据所述请求用户请求中携带的请求操作的所述请求用户的存储访问权限信息,在对应于授权用户身份标识的“存储授权策略”的元数据文件中删除与所述被授权用户标识对应的存储访问权限信息。
第二种方法为基于“用户访问策略”的操作方法,该方法将访问控制信息和存储访问权限信息相分离,利用已被OMA标准采纳的用户访问策略(UserAccess Policy)应用语义元数据定义用户网络存储访问控制规则,实现基于授权用户自定义规则的网络存储访问控制;具体的存储访问权限信息则存储在与网络存储访问控制规则相关联的授权用户网络存储目录或网络存储文件元数据文件之中。
图6为上述用户访问策略元数据文件结构定义逻辑视图,其中采用<rule>元素定义用户访问控制信息,或者施用于“XML文件目录”元数据中一个<folder>元素所代表的整个网络存储目录的访问控制信息,或者仅针对一个<entry>元素代表的某网络存储目录中存储的消息、会话历史、多媒体数据文件的访问控制信息,本发明实施例根据授权用户请求的具体实现问题,通过比较<rule>元素与<folder>、<entry>元素在各自唯一标识″id″属性之间关系来判断访问控制信息在<folder>元素还是在<entry>元素中。进一步,还可以在<rule>元素定义<conditions>和<actions>元素,分别对应<folder>元素或<entry>元素的访问条件和访问动作。
基于“用户访问策略”元数据文件,操作所述请求用户标识对应的存储访问权限元数据时,在对应于授权用户身份标识的“用户访问策略”元数据文件中创建与所述被授权用户标识对应的网络存储访问控制规则,以及根据所述请求中携带的请求操作的存储访问权限信息,在与网络存储访问控制规则相关联的授权用户网络存储目录或网络存储文件元数据文件中创建与所述被授权用户标识对应的存储访问权限信息;或者,根据所述请求中携带的请求操作的存储访问权限信息,在与网络存储访问控制规则相关联的授权用户网络存储目录或网络存储文件元数据文件中更改与所述被授权用户标识对应的存储访问权限信息;或者,在对应于授权用户身份标识的“用户访问策略”元数据文件中删除与所述被授权用户标识对应的网络存储访问控制规则,以及根据所述请求中携带的请求操作的存储访问权限信息,在与网络存储访问控制规则相关联的授权用户网络存储目录或网络存储文件元数据文件中删除与所述被授权用户标识对应的存储访问权限信息。
步骤S107~步骤S109,反馈网络存储权限操作响应。
上述网络存储访问权限操作请求可以包括如下几种请求:网络存储访问权限授予请求、网络存储访问权限更改请求和网络存储访问权限撤回请求。
下面结合第一实施例中的步骤S106中的“存储授权策略”为例,具体描述上述几种不同的网络存储访问权限操作请求的具体实施情况,如图7所示:
步骤S201~S204,授权用户A经由“聚合代理”向“消息元数据服务器”发送获取网络存储目录结构的请求(XCAP GET);所述“消息元数据服务器”根据所述请求,将其存储的用户A的网络存储目录及其对应的网络存储元数据文件的元数据反馈给所述授权用户A;
步骤S205~S206,所述授权用户A获取到所述网络存储目录及其对应的网络存储目录元数据文件的元数据后,可以通过终端设备浏览其网络存储目录,并查看某目录下的消息业务元数据,从中选择出想要授权给用户B访问的网络存储目录对应的网络存储目录元数据文件的元数据,或网络存储目录元数据文件的元数据,并设置具体的访问权限;然后经由“聚合代理”发送网络存储访问权限授予请求(XCAP PUT)给“消息元数据服务器”,所述请求中携带授权用户A请求授予用户B的网络存储访问权限。其中所述网络存储访问权限包括:授权用户A的身份标识,所述访问权限中涉及到的网络存储目录或网络存储文件的标识,被授权用户B的身份标识。
步骤S207~S209,“消息元数据服务器”中的“网络存储访问权限控制器”根据请求中授权用户A的身份标识向“消息业务元数据文件管理器”发送关于授权用户A的网络存储权限操作请求,其中携带请求授予的所述被授权用户B的存储访问权限信息,以及访问权限所涉及的网络存储目录或网络存储文件的标识;
收到请求后“消息业务元数据文件管理器”将检索授权用户A的“存储授权策略”元数据文件(如图5所示),分析其中是否存在与所述请求中携带的网络存储目录或文件标识对应的存储授权策略元数据,即图5中的<authorization>元素。如果不存在,则新创建一个代表请求中网络存储目录或文件存储授权策略的<authorization>元素,并为它赋予一个与该网络存储目录或文件相关联的用户A全局唯一的标识“ID”;同时,为此新创建的存储授权策略<authorization>元数据创建一个与请求中授予用户B的网络存储访问权限相对应的存储访问权限元数据,即图中的<principal>元素,所述存储访问权限元数据<principal>元素包括:被授予用户B的标识“URI”,访问权限类别<access>子元素,权限授予时间<date>子元素,权限过期时间<expiry>子元素等。
如果授权用户A的“存储授权策略”元数据文件中,已经存在与所述请求中携带的网络存储目录或网络存储元数据文件标识对应的存储授权策略<authorization>元数据,则“消息业务元数据文件管理器”直接为此存储授权策略元数据创建一个与请求中授予用户B的网络存储访问权限相对应的存储访问权限<principal>元数据。
“消息业务元数据文件管理器”只有全部完成上述步骤后,才会向“网络存储访问权限控制器”返回操作成功响应,否则返回失败响应。
“消息元数据服务器”经由聚合代理向用户A客户端返回响应。
步骤S210,当“消息元数据服务器”创建新的存储权限策略完毕后,请求用户B将收到网络存储访问权限通知,其中包含授权用户A所授权的网络存储目录标识及其权限信息。下面给出网络存储访问权限发生变化后用户B接收通知的几种可选流程:
第一种方式:“消息服务器”通过主动订阅“消息元数据服务器”中的网络存储访问权限通知,获得发生变化的网络存储访问权限元数据,并将其通知给所述网络存储访问权限元数据中对应的被授权用户,具体实现如图8所示,包括:
步骤S1~4,消息服务器发送SIP SUBSCRIBE(SIP订阅)请求订阅“消息元数据服务器”中存储的授权用户A对应的存储访问权限元数据的状态变化通知;
步骤S5~6,一旦授权用户A执行网络存储权限操作或者由于某网络存储权限因过期而被系统自动删除,导致“消息元数据服务器”中授权用户A对应的存储访问权限元数据中的用户B的授权信息状态发生改变,“消息元数据服务器”向“消息服务器”发送SIP NOTIFY(SIP通知);所述通知中携带请求用户B改变后的网络存储权限;
步骤S7~8,“消息服务器”向用户B发送SIP MESSAGE(SIP消息),通知其所被授予的网络存储权限发生改变。
第二种方式:“消息元数据服务器”发现网络存储访问权限发生变化后,将变化后的网络存储访问权限元数据通知给所述网络存储访问权限元数据中对应的被授权用户,具体实现如图9所示,包括:
步骤1,一旦授权用户A执行网络存储权限操作或者由于某网络存储权限因过期而被系统自动删除,导致“消息元数据服务器”中授权用户A对应的存储访问权限元数据中的用户B的授权信息状态发生改变,则“消息元数据服务器”向用户B发送SIP MESSAGE通知,所述通知中携带用户B变化后的网络存储权限;
步骤2,请求用户B向消息元数据服务器返回响应。
第三种方式:授权用户在操作其网络存储访问权限后,经由“消息服务器”将变化后的网络存储访问权限,通知给所述网络存储访问权限元数据中对应的被授权用户。具体实现如图10所示,包括:
步骤1~2,一旦授权用户A执行网络存储权限操作,导致“消息元数据服务器”中的授权用户A对应的存储访问权限元数据中的针对用户B的授权信息状态发生改变,则授权用户A向“消息服务器”发送SIP MESSAGE通知消息,所述通知消息中携带用户B变化后的网络存储权限。
步骤3~4,“消息服务器”向用户B转发SIP MESSAGE通知。
第四种方式:请求用户向“消息元数据服务器”订阅网络存储访问权限通知;网络存储访问权限发生变化后,“消息元数据服务器”将变化后的网络存储访问权限通知给所述网络存储访问权限元数据中对应的被授权用户。具体实现如图11所示,包括:
步骤1~4,请求用户B发送SIP SUBSCRIBE请求订阅“消息元数据服务器”中存储的授权用户A对应的存储访问权限元数据的状态变化通知;
步骤5~6,一旦由于授权用户A执行网络存储访问权限操作或者由于某网络存储权限因过期而被系统自动删除,导致“消息元数据服务器”中存储的授权用户A对应的存储访问权限元数据中涉及用户B的授权信息状态发生改变,则消息元数据服务器向用户B发送SIP NOTIFY通知消息,所述通知消息中携带用户B变化后的网络存储权限。
上述是授予请求用户网络存储访问权限的流程。对于更新网络存储访问权限的流程,具体如下:
步骤S211~S212,所述授权用户A还可以请求更新授予用户B的网络存储访问权限,为此,用户A浏览已经授予用户B的网络存储目录或网络存储文件的权限并重新设置新的访问权限;然后经由“聚合代理”发送网络存储访问权限更新请求(XCAP PUT)给“消息元数据服务器”,所述请求中携带用户A的身份标识;请求更新用户B的网络存储访问权限,以及,所述访问权限中涉及到的网络存储目录或网络存储文件的标识。
“消息元数据服务器”中的“网络存储访问权限控制器”根据请求中授权用户A的身份标识,向“消息业务元数据文件管理器”发送关于授权用户A的网络存储权限操作请求,其中携带请求更新操作的所述用户B的存储访问权限信息。其中所述存储访问权限信息包括:授权用户A的身份标识,访问权限所涉及的网络存储目录或网络存储文件的相关信息,以及用户B的身份标识。
收到请求后“消息业务元数据文件管理器”将检索授权用户A的“存储授权策略”元数据文件中与所述请求中网络存储目录或网络存储元数据文件的相关信息对应的授权策略元数据<authorization>元素,并根据请求中携带的请求更新操作的所述请求用户B的存储访问权限信息,更改所述授权策略元数据<authorization>元素中代表所述被授权用户标识对应的存储访问权限元数据的<principal>元素。
当“消息元数据服务器”更改存储权限策略元数据完毕后,用户B将收到网络存储访问权限变化通知,其中包含授权用户A所更改的网络存储目录或网络存储文件标识及其对应的网络存储权限信息。网络存储访问权限发生变化后,用户B接收通知的方式可以采取上述几种可选流程实现,这里不再详细描述。
授权用户A想要撤回已经授权给请求用户B的网络存储访问权限时,其通过如下流程实现:
步骤S213~S216,所述授权用户A还可以请求撤回授予用户B的网络存储访问权限,为此,用户A浏览已经授予用户B的网络存储目录或网络存储文件的权限并有选择地撤回访问权限;然后经由“聚合代理”发送网络存储访问权限撤回请求(XCAP DELETE)给“消息元数据服务器”,所述请求中携带请求撤回用户B的网络存储访问权限。其中所述网络存储访问权限包括用户A的身份标识,所述访问权限中涉及到的网络存储目录或网络存储文件的标识,以及用户B的身份标识。
“消息元数据服务器”中的“网络存储访问权限控制器”根据请求中授权用户A的身份标识向“消息业务元数据文件管理器”发送关于授权用户A的网络存储权限操作请求,其中携带请求撤回操作的所述用户B的存储访问权限信息。其中所述存储访问权限信息包括:用户A的身份标识,访问权限所涉及的网络存储目录或网络存储文件的相关信息,以及用户B的身份标识。
收到请求后“消息业务元数据文件管理器”将检索授权用户A的“存储授权策略”元数据文件中与所述请求中网络存储目录或网络存储元数据文件的相关信息对应的授权策略元数据<authorization>元素,并根据请求中携带的请求撤回操作的所述用户B的存储访问权限信息,删除所述授权策略元数据<authorization>元素中代表所述被授权用户标识对应的存储访问权限元数据的<principal>元素。
当“消息元数据服务器”删除存储权限策略完毕后,请求用户B将收到网络存储访问权限变化通知,其中包含授权用户A所撤回的网络存储目录标识及其权限信息。网络存储访问权限发生变化后用户B接收通知的方式可以采取上述几种可选流程实现,这里不再详细描述。
上述是结合第一实施例中的步骤S106中的“存储授权策略”来描述上述几种不同的网络存储访问权限操作请求的具体实施情况的,如果结合第一实施例中的步骤S106中的“用户访问策略”,则网络存储访问权限操作的情况如下:
一、对于网络存储访问权限授予操作
“消息元数据服务器”中的“网络存储访问权限控制器”根据请求中携带授权用户A的身份标识,向“消息业务元数据文件管理器”发送有关授权用户A的网络存储权限授予请求,其中携带请求授予的所述请求用户B的存储访问权限信息。其中所述存储访问权限信息包括:授权用户A的身份标识,访问权限所涉及的网络存储目录或网络存储文件的相关信息,以及被授权用户B的身份标识;
“消息业务元数据文件管理器”收到请求后,首先,检索授权用户A的“用户访问策略”元数据文件(如图6所示),分析其中是否存在与所述请求中携带的网络存储目录或网络存储元数据文件标识相对应的访问规则元数据,即图6中的<rule>元素。如果不存在,则新创建一个代表请求中网络存储目录或网络存储元数据文件访问规则元数据的<rule>元素,并为它赋予一个与该网络存储目录或网络存储元数据文件相关联的授权用户A全局唯一的标识“ID”;同时作如下操作:将用户B的标识“URI”加入到<rule>元素中的代表访问控制条件的<condition>子元素中,并设置<rule>元素中代表访问控制动作<action>子元素中的<allow-invite>元素值为“accept”,以表示允许用户B访问该访问控制规则对应的用户A的网络存储目录或网络存储文件。
如果授权用户A的“用户访问策略”元数据文件中,已经存在代表与所述请求中携带的网络存储目录或网络存储元数据文件标识对应的访问规则元数据的<rule>元素,则“消息业务元数据文件管理器”直接对此访问规则元数据施加同样的操作。
其次,“消息业务元数据文件管理器”还将根据所述请求中携带的网络存储目录或网络存储元数据文件标识,定位与上述访问规则对应的授权用户A的网络存储元数据文件,譬如“会话历史”元数据文件。“消息业务元数据文件管理器”将在所述授权请求涉及到的网络存储元数据文件中,创建与请求中携带的授予用户B的网络存储访问权限相对应的存储访问权限元数据,其中包括:请求用户B的标识“URI”,代表访问权限类别的<access>子元素,代表权限授予时间的<date>子元素,代表权限过期时间的<expiry>子元素等。
“消息业务元数据文件管理器”只有全部完成上述步骤后,才会向“网络存储访问权限控制器”返回操作成功响应,否则返回失败响应。
二、对于网络存储访问权限更新操作
“消息元数据服务器”中的“网络存储访问权限控制器”根据请求中携带授权用户A的身份标识,向“消息业务元数据文件管理器”发送有关授权用户A的网络存储权限更新请求,其中携带请求更新的所述请求用户B的存储访问权限信息。所述存储访问权限信息包括授权用户A的身份标识,访问权限所涉及的网络存储目录或网络存储文件的相关信息,以及被授权用户B的身份标识;
“消息业务元数据文件管理器”收到请求后,检索授权用户A的“用户访问策略”元数据文件中与所述请求中携带的网络存储目录或网络存储元数据文件标识相对应的访问规则元数据,即图6中的<rule>元素,并根据所述请求中携带的网络存储目录或网络存储元数据文件标识,定位与上述访问规则对应的授权用户A的网络存储元数据文件,譬如“会话历史”元数据文件。“消息业务元数据文件管理器”将在所述更新请求涉及到的网络存储元数据文件中,根据请求更新的所述用户B的存储访问权限信息,更改与用户B身份标识对应的存储访问权限元数据。
三、对于网络存储访问权限撤回操作
“消息元数据服务器”中的“网络存储访问权限控制器”根据请求中携带授权用户A的身份标识,向“消息业务元数据文件管理器”发送有关授权用户A的网络存储权限撤回请求,其中携带:请求撤回的所述用户B的存储访问权限信息。其中,所述存储访问权限信息包括授权用户A的身份标识,访问权限所涉及的网络存储目录或网络存储文件的相关信息,以及被授权用户B的身份标识;
“消息业务元数据文件管理器”,根据所述授权用户A的身份标识,检索所述授权用户A身份标识对应的“用户访问策略”元数据文件中与所述网络存储目录或网络存储文件的相关信息对应的访问规则元数据,即图6中的<rule>元素,并在所述<rule>元素下的<condition>子元素中,删除用户B的身份标识;同时,根据所述请求中携带的网络存储目录或网络存储元数据文件标识,定位与上述访问规则对应的授权用户A的网络存储元数据文件,譬如“会话历史”元数据文件。“消息业务元数据文件管理器”将在所述撤回请求涉及到的网络存储元数据文件中,根据请求撤回的所述用户B的存储访问权限信息,删除与用户B身份标识对应的存储访问权限元数据。
经过上述具体实施方案,授权用户能够对其所拥有的网络存储,进行网络存储权限管理,从而可以利用其管理的网络存储访问权限,控制请求用户访问自己的网络存储。为此,本发明第二实施例提供了一种网络存储访问控制方法,其具体实施过程如图12所示,包括:
步骤S301,请求用户发送网络存储元数据访问请求;所述请求中携带所述请求用户需要访问的网络存储信息。其中所述请求用户需要访问的网络存储信息包括:需要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信息,需要访问的网络存储所对应的授权用户的身份标识请求用户的身份标识;
步骤S302a~b,所述请求用户和“聚合代理”之间进行双向鉴定;鉴定通过后,聚合代理获取经鉴定可信的请求用户的身份标识。
如果请求用户与被访问授权用户的网络存储分属不同网络域中,则所述“聚合代理”还可以支持请求用户跨域访问,即请求用户所在网络域中“聚合代理”将经过身份鉴别的请求路由到授权用户所在网络域中的“聚合代理”;
步骤S303,“聚合代理”向“消息元数据服务器”发送网络存储元数据访问请求,所述请求中携带:所述请求用户需要访问的网络存储信息。其中所述请求用户需要访问的网络存储信息包括:请求用户的身份标识,需要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信息,需要访问的网络存储所对应的授权用户的身份标识。
步骤S304,所述“消息元数据服务器”中的“网络存储访问权限控制器”接收到所述网络存储元数据访问请求后,根据所述请求中携带的授权用户的身份标识、所述网络存储目录或网络存储元数据文件的相关信息,以及请求用户的身份标识,获得授权用户授予所述请求用户的存储访问权限元数据;根据所获得的存储访问权限元数据,对请求用户发送的网络存储元数据访问请求进行合法性鉴定,如果鉴定为合法请求,则继续执行步骤S305;如果鉴定为不合法请求,则拒绝所述网络存储元数据访问请求。
具体对所述网络存储元数据访问请求进行合法性鉴定的流程如图13所示,包括:
步骤S3041,“消息元数据服务器”根据所述网络存储元数据访问请求中携带的请求用户的身份标识,以及请求中携带的网络存储目录或网络存储元数据文件的相关信息对应的授权用户身份标识,判断所述请求用户是否为授权用户,若是,则执行步骤S3042,认为请求用户发送的网络存储元数据访问请求合法,转向步骤S305;若所述请求用户不为授权用户,则执行步骤S3043。
步骤S3041和步骤S3042中,“消息元数据服务器”中的“网络存储访问权限控制器”可以根据请求中携带的网络存储目录或网络存储元数据文件的相关信息,找到对应的授权用户身份标识,然后将所述网络存储元数据访问请求中携带的请求用户的身份标识,与所找到的授权用户身份标识进行比较,如果一致,则认为所述请求用户为“授权用户”,否则,认为所述请求用户不为授权用户。
步骤S3043,所述“网络存储访问权限控制器”请求“消息业务元数据文件管理器”查询所述请求用户被授予的访问权限,所述请求中携带被访问授权用户的身份标识、所述网络存储目录或网络存储元数据文件的相关信息、请求用户的身份标识等。
“消息业务元数据文件管理器”根据所述请求中携带的信息,查找所述请求用户身份标识对应的存储访问权限元数据。具体可以采用两种方法实现:
第一种方法是基于“存储授权策略”的实现方法
检索与所述被访问授权用户的身份标识对应的“存储授权策略”元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,检索是否存在与请求用户身份标识对应的存储访问权限;
第二种方法是基于“用户访问策略”的实现方法
检索与所述被访问授权用户的身份标识对应的“用户访问策略”元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,检索是否存在与请求用户身份标识对应的用户访问规则;如果存在,则在与所述用户访问规则对应的网络存储元数据文件中检索与请求用户身份标识对应的存储访问权限。
步骤S3044,“网络存储访问权限控制器”根据所述“消息业务元数据文件管理器”的反馈结果,判断是否存在授予所述请求用户的访问权限,若存在,则执行步骤S3045;否则,执行步骤S3046。
步骤S3045,“网络存储访问权限控制器”根据所述授予所述请求用户的访问权限,判断所述网络存储访问请求中携带的网络存储目录或网络存储元数据文件的相关信息是否符合授权,即请求用户访问请求中所需的文件或目录的访问权限的优先级别必须低于或等于请求用户所拥有的该文件或目录权限优先级别。若符合,则执行步骤S3042;否则,执行步骤S3046。
步骤S3046,“网络存储访问权限控制器”拒绝所述网络存储元数据访问请求。
步骤S305,将判定为合法的网络存储元数据访问请求,发送给“消息业务元数据文件管理器”,所述请求中携带所述请求用户需要访问的网络存储信息。其中所述请求用户需要访问的网络存储信息包括:请求用户的身份标识,需要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信息,需要访问的网络存储所对应的授权用户的身份标识。
步骤S306~309,所述“消息业务元数据文件管理器”根据所述网络存储元数据访问请求中携带的网络存储目录或网络存储元数据文件的相关信息,获取网络存储元数据;对所述网络存储元数据访问请求进行响应,并在响应中携带所获取到的网络存储元数据。
步骤S310,所述请求用户根据所述响应,获得所述网络存储元数据;发送网络存储内容访问请求给“消息服务器”,其中携带所述网络存储元数据,以及所述请求用户的身份标识。
步骤S311,所述消息服务器请求消息元数据服务器对所述网络存储内容访问请求进行合法性鉴定,如果鉴定为合法请求,则继续执行步骤S312;如果鉴定为不合法请求,则拒绝所述网络存储内容访问请求。
具体的鉴定流程,与步骤S304中的实现流程类似,这里不再详细描述。
步骤S312,所述“消息服务器”发送网络存储访问请求给“消息内容存储器”;所述请求中携带所请求的消息业务网络存储对应的元数据;
步骤S313~314,所述“消息内容存储器”根据所述元数据,检索到相应的消息业务网络存储,并经过“消息服务器”反馈网络存储检索响应给所述用户客户端;
步骤S315,建立请求用户客户端与“消息内容存储器”之间的数据传输通道,通过所述数据传输通道,所述“消息内容存储器”将所检索到的消息业务网络存储内容发送给所述请求用户;
或者,请求用户客户端将消息业务本地存储内容上传至“消息内容存储器”。
下面,假设在授权用户A授予请求用户B拥有会话历史网络存储目录的“读/写”权限的情况下,以基于“存储授权策略”的操作方法为例,对上述网络存储访问流程进行详细说明,实现流程如图14所示,包括:
步骤S401~403,请求用户B希望访问授权用户A的网络存储,为此请求用户B首先要获取授权用户A授予请求用户B的网络存储权限,于是请求用户B经由聚合代理、搜索代理向“消息元数据服务器”发送存储权限查询(HTTPPOST)请求消息,其中携带如下信息:所述请求用户需要访问的网络存储信息。其中所述请求用户需要访问的网络存储信息包括:请求用户的身份标识,需要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信息,需要访问的网络存储所对应的授权用户的身份标识。
步骤S404,“消息元数据服务器”检索请求用户“存储授权策略”元数据,并进行访问控制。具体如下:
“消息元数据服务器”中的“消息业务元数据文件管理器”,在“网络存储访问权限控制器”的控制下按照HTTP POST请求中携带的被访问授权用户的身份标识、所述网络存储目录或网络存储元数据文件的相关信息,检索授权用户A的身份标识对应的存储授权策略元数据文件中,是否存在所述网络存储目录或网络存储文件的相关信息对应的存储授权策略元数据;若存在,则根据所述请求用户的身份标识,在所述存储授权策略元数据中,查找所述请求用户B身份标识对应的存储访问权限元数据;如果所述存储访问权限元数据中存在相应的授权信息,则“网络存储访问权限控制器”接收该请求,然后执行步骤S405;否则,“网络存储访问权限控制器”拒绝该请求。
步骤S405~407,“网络存储访问权限控制器”通过网络存储权限查询响应,将“消息业务元数据文件管理器”返回的搜索结果,经由搜索代理、聚合代理,向请求用户B返回,其中携带授权用户A授予请求用户B的网络存储访问权限信息。
步骤S408~410,请求用户B在终端查看授权用户A授予其的网络存储目录或网络存储元数据文件的权限信息,发现自己拥有授权用户A的某会话历史网络存储目录的“读/写”权限,为了查看此目录中的会话历史内容,请求用户B发送网络存储元数据获取(XCAP GET)请求,并经由“聚合代理”到达“消息元数据服务器”。所述XCAP GET请求中携带如下信息:所述请求用户需要访问的网络存储信息。其中所述请求用户需要访问的网络存储信息包括:请求用户的身份标识,所述请求用户需要访问的某会话历史消息业务对应的网络存储目录或网络存储元数据文件的相关信息,需要访问的网络存储所对应的授权用户的身份标识。
步骤S411,“消息元数据服务器”收到XCAP GET请求后,检索所述请求用户B“存储授权策略”元数据和“会话历史”元数据,并进行相应的控制。
具体实现如下:
首先检索授权用户A“存储授权策略”元数据文件中有关授权用户A授予请求用户B的网络存储访问权限信息,具体实现与步骤S404中的相关描述类似,这里不再详细描述。
在判断请求用户B拥有网络存储拥有授权用户A的网络存储访问权限后,“网络存储访问权限控制器”将会结合“消息业务元数据文件管理器”检索到有关用户B的授权信息。
按照如图13所示的对所述网络存储元数据访问请求进行合法性鉴定的流程,判断请求用户B的此次访问请求是否符合授权用户A对其所作的授权,“网络存储访问权限控制器”只会接收经过合法的网络存储访问请求。
步骤S412~413,“消息元数据服务器”通过网络存储元数据获取响应,返回授权用户A所授予的会话历史元数据信息,并经由聚合代理到达请求用户B;
步骤S414,请求用户B浏览授权用户A网络存储中授权的会话历史元数据信息,为了获取会话历史实际内容,请求用户B客户端向“消息服务器”发送网络存储内容获取请求,譬如SIP INVITE,其中:“Request-URI”指出消息网络存储URl,如“historyhostname”,此外MIME SDP消息体中将direction属性设置为“a=recvonly”,并包含会话历史元数据信息,譬如网络存储目录中的消息标识(msg-id)构成的URI List。
步骤S415~419,收到SIP INVITE请求后,“消息服务器”和“消息元数据服务器”协调执行用户访问策略控制,为合法的请求用户建立起“消息内容存储器”与请求用户B之间的会话历史内容传输通道,并通过所述传输通道,将“消息内容存储器”中的会话历史内容传输给所述请求用户B。具体如下:
“消息服务器”请求“消息元数据服务器”中的“网络存储访问权限控制器”执行与步骤S404类似的访问权限控制。如果接受请求用户B的请求,则“消息服务器”向请求用户B返回SIP 200 OK响应,并在收到请求用户B再次发送的SIP ACK应答后,建立起“消息内容存储器”与请求用户B之间的会话历史内容传输通道,譬如MSRP通道。至此,请求用户B通过所述传输通道,可以接收授权用户A网络存储中其所请求的并具有访问权限的会话历史信息。
步骤S420~425,请求用户B还拥有授权用户A授予的该会话历史网络存储目录的“写”权限,因此除了可以获取目录中授权用户A的会话历史外,还可以将本地数据上传至该目录,为此请求用户B向“消息服务器”发送网络存储内容上传请求,譬如SIP INVITE,其中:“Request-URI”指出消息网络存储实体所在的URI,如“historyhostname”,此外MIME SDP消息体将direction属性设置为“a=sendonly”,并包含上传数据所要存放的用户A网络存储,譬如网络存储目录标识“id”或会话历史文件名称“file-name”。
“消息服务器”将请求“消息元数据服务器”执行与步骤S404类似的访问策略控制,一旦接受请求用户B的请求,将建立起“消息内容存储器”与请求用户B之间的数据传输通道。至此,请求用户B可以通过建立的数据传输通道,譬如MSRP通道,将本地数据上传至其所具有写权限的授权用户A的网络存储之中。
数据传输成功后,“消息服务器”还将请求“消息元数据服务器”更新授权用户A的消息业务元数据信息,以反映授权用户A网络存储中新增加的数据。
与图8至图11中介绍的通知流程类似,当请求用户B成功完成向授权用户A的“消息内容存储器”中“写”数据后,授权用户A将收到网络存储变化通知。
上述是以请求中携带的存储访问权限信息中包括至少一个被授予访问权限的授权用户的身份标识为例,进行说明的,当请求中携带的存储访问权限信息中包括至少一个不能被授予访问权限的授权用户的身份标识时,对不同的操作请求对应的操作如下:
一、对于网络存储访问权限授予操作
检索授权用户的“存储授权策略”元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求授予的存储访问权限信息,创建与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
或者,
检索与所述授权用户的身份标识对应的用户访问策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,创建与被授权用户身份标识对应的用户访问规则;同时,在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求授予的存储访问权限信息,创建与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
二、对于网络存储访问权限更新操作
检索与所述授权用户身份标识对应的存储授权策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求更新的存储访问权限信息,更改与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
或者,
在所述授权用户的身份标识对应的“用户访问策略”元数据文件中的与所述授权用户请求操作的存储访问权限信息涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,检索与不能被授予访问权限的访问用户的身份标识对应的用户访问规则;并且在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求更新的存储访问权限信息,更改与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
三、对于网络存储访问权限删除操作
检索与所述授权用户的身份标识对应的存储授权策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
或者,
检索与所述授权用户的身份标识对应的用户访问策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,删除与所述不能被授予访问权限的访问用户的身份标识对应的用户访问规则;同时,在与所述被删除的用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
本发明的第三实施例提供一种网络存储访问权限管理装置,其结构如图15所示,包括“网络存储权限访问控制器”和“消息业务元数据文件管理器”。所述“网络存储权限访问控制器”和“消息业务元数据文件管理器”包括:权限授予单元、权限更新单元和第一权限删除单元。所述权限授予单元包括:第一权限授予子单元和第二权限授予子单元。所述权限更新单元包括第一权限更新子单元和第二权限更新子单元。所述第一权限删除单元包括:第一权限删除子单元和第二权限删除子单元。
所述“消息业务元数据文件管理器”还可以包括:第二权限删除单元。所述第二权限删除单元包括:第三权限删除子单元和第四权限删除子单元。
所述“消息业务元数据文件管理器”还可以包括:通知服务器。
所述网络存储访问权限管理装置中的各个元器件之间的交互关系如下:
所述“网络存储权限访问控制器”,获得授权用户的网络存储访问权限操作请求,所述请求中携带授权用户请求操作的存储访问权限信息;所述存储访问权限信息包括授权用户的身份标识,所述存储访问权限信息涉及的网络存储目录或网络存储文件相关信息,至少一个被授权用户的身份标识或至少一个不能被授予访问权限的访问用户的身份标识;根据所述“消息业务元数据文件管理器”中存储访问权限信息,对所述授权用户的网络存储访问权限操作请求,进行合法性验证;
所述“消息业务元数据文件管理器”,根据所述“网络存储权限访问控制器”通过验证的网络存储访问权限操作请求,在与所述授权用户的身份标识,以及网络存储目录或网络存储文件相关信息对应的授权用户网络存储访问权限元数据中,根据所述授权用户请求操作的存储访问权限信息,操作授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限。其根据不同网络存储访问权限操作请求,执行相应的处理,具体如下:
通过权限授予单元,根据所述“网络存储权限访问控制器”获得的网络存储访问权限操作请求,在与所述授权用户的身份标识,以及网络存储目录或网络存储文件相关信息对应的网络存储访问权限元数据文件中,根据所述授权用户请求授予的存储访问权限信息,将相应的存储访问权限元数据授予给相应的被授权用户。具体处理可以采用两种方案进行:
第一种方案,通过第一权限授予子单元,检索与所述授权用户的身份标识对应的“存储授权策略”元数据文件,并在其中的与授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求授予的存储访问权限信息,创建与被授权用户身份标识对应的存储访问权限元数据;或者,检索授权用户的“存储授权策略”元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求授予的存储访问权限信息,创建与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
第二种方案,通过第二权限授予子单元,检索与所述授权用户的身份标识对应的用户访问策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,创建与被授权用户身份标识对应的用户访问规则;同时,在与所述用户访问规则对应的网络存储元数据文件中根据所述请求中携带的请求授予的存储访问权限信息,创建与被授权用户身份标识对应的存储访问权限元数据,或者,检索与所述授权用户的身份标识对应的用户访问策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,创建与被授权用户身份标识对应的用户访问规则;同时,在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求授予的存储访问权限信息,创建与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
通过权限更新单元,根据所述“网络存储权限访问控制器”获得的网络存储访问权限操作请求,在与所述授权用户的身份标识,以及网络存储目录或网络存储文件相关信息对应的网络存储访问权限元数据文件中,根据所述授权用户请求更新的存储访问权限信息,更改授权用户为被授权用户设置的存储访问权限元数据;具体处理可以采用两种方案进行:
第一种方案,通过第一权限更新子单元,检索与所述授权用户身份标识对应的存储授权策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求更新的存储访问权限信息,更改与被授权用户身份标识对应的存储访问权限元数据;或者,用于检索与所述授权用户身份标识对应的存储授权策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求更新的存储访问权限信息,更改与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
第二种方案,通过第二权限更新子单元,在所述授权用户的身份标识对应的“用户访问策略”元数据文件中,检索与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,与所述被授权用户身份标识对应的用户访问规则;并且在与所述用户访问规则对应的网络存储元数据文件中,或对应的“网络存储目录”所关联的网络存储元数据文件中,根据所述请求中携带的请求更新的存储访问权限信息,更改与所述被授权用户身份标识对应的存储访问权限元数据;或者,用于在所述授权用户的身份标识对应的“用户访问策略”元数据文件中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,检索与不能被授予访问权限的访问用户的身份标识对应的用户访问规则;并且在与所述用户访问规则对应的网络存储元数据文件中,或对应的“网络存储目录”所关联的网络存储元数据文件中,根据所述请求中携带的请求更新的存储访问权限信息,更改与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
通过第一权限删除单元,根据所述“网络存储权限访问控制器”获得的网络存储访问权限操作请求,在与所述授权用户的身份标识,以及网络存储目录或网络存储文件相关信息对应的网络存储访问权限元数据文件中,根据所述授权用户请求撤回的存储访问权限,删除授权用户为被授权用户设置的存储访问权限元数据。具体处理可以采用两种方案进行:
第一种方案,通过第一权限删除子单元,检索与所述授权用户的身份标识对应的存储授权策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述被授权用户身份标识对应的存储访问权限元数据;或者,用于检索与所述授权用户的身份标识对应的存储授权策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
第二种方案,通过第二权限删除子单元,检索与所述授权用户的身份标识对应的用户访问策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,删除与所述被授权用户身份标识对应的用户访问规则;同时,在与所述被删除的用户访问规则对应的网络存储元数据文件中,或对应的“网络存储目录”所关联的网络存储元数据文件中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述被授权用户身份标识对应的存储访问权限元数据;或者,用于检索与所述授权用户的身份标识对应的用户访问策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,删除与所述不能被授予访问权限的访问用户的身份标识对应的用户访问规则;同时,在与所述被删除的用户访问规则对应的网络存储元数据文件中,或对应的网络存储目录所关联的网络存储元数据文件中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
另外,所述“消息业务元数据文件管理器”还可以通过第二权限删除单元,用于在所述授权用户对应的网络存储访问权限元数据中,授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限的过期时间到达时,删除该存储访问权限元数据。具体处理可以采用两种方案进行:
第一种方案,通过第三权限删除子单元,在与所述授权用户身份标识对应的存储授权策略元数据文件中,当某个被授权用户身份标识对应的存储访问权限元数据中的权限过期时间到达时,则删除该存储访问权限元数据;
第二种方案,通过第四权限删除子单元,在与所述授权用户身份标识对应的网络存储文件中,或对应的网络存储目录所关联的网络存储文件中,当某个被授权用户身份标识对应的存储访问权限元数据中的权限过期时间到达时,则删除该存储访问权限元数据;同时,在与所述授权用户身份标识对应的“用户访问策略”元数据文件中,删除与该存储访问权限元数据对应的用户访问规则元数据。
另外,一旦“消息业务元数据文件管理器”中的元数据发生变化,所述消息元数据服务器还能够通知变化后的元数据,具体实现如下:
通过通知服务器,当根据授权用户的网络存储访问权限操作请求,操作所述授权用户的网络存储目录或网络存储文件的存储访问权限后,将发生变化的网络存储访问权限元数据,通知给所述网络存储访问权限元数据中对应的被授权用户;或者,当授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限的权限过期时间到达后,将发生变化的网络存储访问权限元数据,通知给所述网络存储访问权限元数据中对应的被授权用户。
所述通知服务器在通知被授权用户变化后的存储访问权限元数据时,还可以将能够采用的访问方式,通知给所述访问用户。
本发明的第四实施例提供一种网络存储访问权限管理装置,其结构如图16所示,包括“网络存储权限访问控制器”和“消息业务元数据文件管理器”。
其中所述“消息业务元数据文件管理器”包括:第一访问请求处理单元和第二访问请求处理单元。
所述“消息业务元数据文件管理器”还可以包括:数据更新单元。
所述“消息业务元数据文件管理器”还可以包括:通知服务器。
所述网络存储访问权限管理装置中的各个元器件之间的交互关系如下:
当被授权用户访问授权用户的网络存储时,所述“网络存储权限访问控制器”,获得被授权用户针对授权用户网络存储目录或网络存储文件的访问请求,所述访问请求中携带所述被授权用户的身份标识,授权用户身份标识,以及被授权用户请求访问的授权用户网络存储目录或网络存储文件的相关信息;向所述“消息业务元数据文件管理器”请求所述被授权用户身份标识对应的存储访问权限信息;
此时,所述“消息业务元数据文件管理器”,将与所述授权用户对应的网络存储访问权限元数据中的与所述被授权用户身份标识对应的存储访问权限信息,提供给所述“网络存储权限访问控制器”;
所述“网络存储权限访问控制器”根据所述“消息业务元数据文件管理器”返回的信息获得所述“消息业务元数据文件管理器”中与所述授权用户对应的网络存储访问权限元数据中的与所述被授权用户身份标识对应的存储访问权限信息;利用所述存储访问权限信息,对所述被授权用户的访问请求进行合法性验证;对通过验证的访问请求,向所述“消息业务元数据文件管理器”请求所述被授权用户具有访问权限的元数据;
此时,所述“消息业务元数据文件管理器”将授权用户网络存储文件中,或网络存储目录所关联的网络存储文件中所述被授权用户具有访问权限的元数据,提供给所述“网络存储权限访问控制器”;具体处理时可以采取两种方案实现:
第一种方案,通过第一请求处理单元,检索与所述授权用户身份标识对应的“存储授权策略”元数据文件中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据,获得与所述被授权用户身份标识对应的存储访问权限元数据;将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元数据,反馈给所述“网络存储权限访问控制器”;
第二种方案,通过第二请求处理单元,检索与所述授权用户的身份标识对应的“用户访问策略”元数据文件中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据,获得与所述被授权用户身份标识对应的用户访问规则;根据所述用户访问规则,在对应的网络存储元数据文件中,或对应的网络存储目录所关联的网络存储元数据文件中,获得与所述被授权用户身份标识对应的存储访问权限元数据;将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元数据,反馈给所述“网络存储权限访问控制器”。
所述“网络存储权限访问控制器”将所述“消息业务元数据文件管理器”返回的元数据提供给所述被授权用户;
所述“网络存储权限访问控制器”获得被授权用户针对所述元数据对应的网络存储消息内容的访问请求,所述访问请求中携带所述被授权用户的身份标识,授权用户身份标识,以及被授权用户请求访问的授权用户网络存储消息内容对应的元数据;此时所述“网络存储权限访问控制器”同样向所述“消息业务元数据文件管理器”请求与所述授权用户对应的网络存储访问权限元数据中的与所述被授权用户身份标识对应的存储访问权限信息,以验证本次访问请求的合法性;验证通过后,对经过认为合法的访问请求,将授权用户网络存储元数据文件中,或网络存储目录所关联的网络存储元数据文件中所述被授权用户具有访问权限的元数据,提供给“消息服务器”,通过“消息服务器”向“消息内容存储器”请求所述被授权用户具有访问权限的元数据对应的消息内容。
之后通过所述“消息服务器”与“核心网”的交互控制,建立“消息内容存储器”与所述被授权用户之间的数据传输通道。通过所述数据传输通道,所述被授权用户可以上传消息内容,或者读取消息内容。
对于被授权用户上传的消息内容,经过“消息服务器”控制,在“消息内容存储器”中所述授权用户所拥有的网络存储消息内容中添加、更改或删除的信息,随后,所述“消息服务器”会发出请求,以控制所述“消息业务元数据文件管理器”根据所述变化的信息,更新授权用户网络存储目录或网络存储文件中相应的元数据信息。
所述“消息业务元数据文件管理器”通过数据更新单元,获得“消息服务器”发送的请求,所述请求中携带:根据被授权用户上传的消息内容在“消息内容存储器”中所述授权用户所拥有的网络存储内容中添加、更改或删除操作后变化的信息;所述数据更新单元根据所述变化的信息,更新授权用户网络存储目录或网络存储文件中相应的元数据信息。
另外,一旦“消息业务元数据文件管理器”中的元数据发生变化,所述消息元数据服务器还能够通知变化后的元数据,具体实现如下:
通过通知服务器,当根据被授权用户上传的消息内容在授权用户对应的网络存储文件中,或对应的网络存储目录所关联的网络存储文件中更新相应的元数据信息后,将变化后的元数据,通知给所述授权用户,和/或,具有该网络存储目录和/或网络存储文件访问权限的被授权用户。
所述通知服务器在通知被授权用户变化后的存储访问权限元数据时,还可以将能够采用的访问方式,通知给所述访问用户。
由上述本发明实施例提供的具体实施方案可以看出,其通过在与所述授权用户对应的授权用户网络存储访问权限元数据中,根据授权用户请求操作的存储访问权限信息,操作授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限,从而允许被授权用户访问被授权用户的网络存储。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (31)
1.一种网络存储访问权限管理方法,其特征在于,包括:
获得授权用户的网络存储访问权限操作请求,所述请求中携带授权用户请求操作的存储访问权限信息,所述请求中携带授权用户请求操作的存储访问权限信息包括授权用户的身份标识,所述存储访问权限信息涉及的网络存储目录或网络存储文件相关信息,以及包括:至少一个被授予访问权限的被授权用户的身份标识,或者,至少一个不能被授予访问权限的访问用户的身份标识;
根据所述授权用户的身份标识,以及网络存储元数据目录或网络存储文件的相关信息,查找对应于授权用户的身份标识的消息业务网络存储访问权限管理元数据文件;
根据授权用户请求操作的存储访问权限信息,在授权用户的网络存储访问权限元数据中,操作授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限;
所述根据授权用户请求操作的存储访问权限,操作存储访问权限的过程,具体包括:
在授权用户的网络存储访问权限元数据文件中,根据所述授权用户请求授予的存储访问权限信息,创建授权用户为被授权用户设置的存储访问权限元数据;
或者,
在授权用户的网络存储访问权限元数据文件中,根据所述授权用户请求更新的存储访问权限信息,更改授权用户为被授权用户设置的存储访问权限元数据;
或者,
在授权用户的网络存储访问权限元数据文件中,根据所述授权用户请求撤回的存储访问权限,删除授权用户为被授权用户设置的存储访问权限元数据。
2.如权利要求1所述的方法,其特征在于,还包括:
按照消息业务的属性,对同一应用下消息业务的元数据,进行分类;为每个类别的元数据建立网络存储目录,并建立所述网络存储目录与存储所述元数据的网络存储文件之间的关联关系。
3.如权利要求2所述的方法,其特征在于,所述网络存储目录中还包括:
为每个类别的元数据的下一级元数据建立的下一级网络存储目录。
4.如权利要求1所述的方法,其特征在于,所述请求操作的存储访问权限信息还包括如下信息中的至少一个:文件和目录的访问权限,权限的继承属性,权限的锁属性,权限过期时间,权限授予时间。
5.如权利要求4所述的方法,其特征在于,所述文件和目录的访问权限包括如下属性信息中的至少一个:完全控制、修改、列出目录内容、读取、写入、文件和目录访问权限的优先级别。
6.如权利要求1所述的方法,其特征在于,所述根据授权用户请求授予的存储访问权限,创建存储访问权限元数据的过程,具体包括:
检索授权用户的“存储授权策略”元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求授予的存储访问权限信息,创建与被授权用户身份标识对应的存储访问权限元数据;
或者,
检索授权用户的“存储授权策略”元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求授予的存储访问权限信息,创建与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
或者,
检索与所述授权用户对应的用户访问策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,创建与被授权用户身份标识对应的用户访问规则;同时,在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求授予的存储访问权限信息,创建与被授权用户身份标识对应的存储访问权限元数据;
或者,
检索与所述授权用户对应的用户访问策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,创建与被授权用户身份标识对应的用户访问规则;同时,在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求授予的存储访问权限信息,创建与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
7.如权利要求1所述的方法,其特征在于,所述根据授权用户请求更新的存储访问权限,更改存储访问权限元数据的过程,具体包括:
检索与所述授权用户对应的存储授权策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求更新的存储访问权限信息,更改与被授权用户身份标识对应的存储访问权限元数据;
或者,
检索与所述授权用户对应的存储授权策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求更新的存储访问权限信息,更改与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
或者,
在所述授权用户对应的“用户访问策略”元数据文件中,检索与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,与所述被授权用户身份标识对应的用户访问规则;并且在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求更新的存储访问权限信息,更改与所述被授权用户身份标识对应的存储访问权限元数据;
或者,
在所述授权用户对应的“用户访问策略”元数据文件中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,检索与不能被授予访问权限的访问用户的身份标识对应的用户访问规则;并且在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求更新的存储访问权限信息,更改与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
8.如权利要求1所述的方法,其特征在于,所述根据授权用户请求撤回的存储访问权限,删除存储访问权限元数据的过程,具体包括:
检索与所述授权用户对应的存储授权策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述被授权用户身份标识对应的存储访问权限元数据;
或者,
检索与所述授权用户对应的存储授权策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
或者,
检索与所述授权用户对应的用户访问策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,删除与所述被授权用户身份标识对应的用户访问规则;同时,在与所述被删除的用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述被授权用户身份标识对应的存储访问权限元数据;
或者,
检索与所述授权用户对应的用户访问策略元数据文件,并在其中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,删除与所述不能被授予访问权限的访问用户的身份标识对应的用户访问规则;同时,在与所述被删除的用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
9.如权利要求1所述的方法,其特征在于,还包括:
在授权用户的网络存储访问权限元数据中,授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限的过期时间到达时,删除与所述被授权用户身份标识对应的存储访问权限元数据。
10.如权利要求9所述的方法,其特征在于,所述权限过期时间到达时,删除与所述被授权用户身份标识对应的存储访问权限元数据的过程,具体包括:
在授权用户的“存储授权策略”元数据文件中,当某个被授权用户身份标识对应的存储访问权限元数据中的权限过期时间到达时,则删除该存储访问权限元数据;
或者,
在授权用户的网络存储元数据文件中,当某个被授权用户身份标识对应的存储访问权限元数据中的权限过期时间到达时,则删除该存储访问权限元数据;同时,在授权用户的“用户访问策略”元数据文件中,删除与所述被授权用户该存储访问权限对应的用户访问规则元数据。
11.如权利要求9所述的方法,其特征在于,还包括:
当根据授权用户的网络存储访问权限操作请求,操作所述授权用户的网络存储目录或网络存储文件的存储访问权限后,将发生变化的网络存储访问权限元数据,通知给所述网络存储访问权限元数据中对应的被授权用户;
或者,
当授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限的权限过期时间到达后,将发生变化的网络存储访问权限元数据,通知给所述网络存储访问权限元数据中对应的被授权用户。
12.如权利要求11所述的方法,其特征在于,在通知被授权用户变化后的存储访问权限元数据时,将能够采用的访问方式,通知给所述被授权用户。
13.一种网络存储访问控制方法,其特征在于,包括:
获得被授权用户针对授权用户网络存储的访问请求,所述请求中携带需要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信息,需要访问的网络存储所对应的授权用户的身份标识以及请求用户的身份标识;
根据授权用户的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,将授权用户网络存储元数据文件中被授权用户具有访问权限的元数据提供给所述被授权用户;
所述根据所述授权用户的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,将授权用户网络存储元数据文件中被授权用户具有访问权限的元数据提供给所述被授权用户的过程,具体包括:
检索授权用户的“存储授权策略”元数据文件中的与被授权用户访问的授权用户网络存储目录或网络存储文件的相关信息对应的存储授权策略元数据,获得与所述被授权用户身份标识对应的存储访问权限元数据;将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元数据提供给所述被授权用户;
或者,
检索授权用户的“用户访问策略”元数据文件中的与被授权用户访问的授权用户网络存储目录或网络存储文件的相关信息对应的用户访问规则元数据,获得与所述被授权用户身份标识对应的用户访问规则;根据所述用户访问规则,在对应的网络存储元数据文件中,获得与所述被授权用户身份标识对应的存储访问权限元数据;将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元数据提供给所述被授权用户。
14.如权利要求13所述的方法,其特征在于,还包括:
获得被授权用户针对与所述元数据对应的网络存储消息内容的访问请求;
根据授权用户的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,对所述被授权用户的访问请求进行合法性验证;为通过验证的被授权用户建立与授权用户网络存储之间的数据传输通道,利用所述数据传输通道,进行所述被授权用户与授权用户网络存储之间的数据传输。
15.如权利要求14所述的方法,其特征在于,还包括:
利用所述数据传输通道,获得被授权用户上传的消息内容;根据所述上传的消息内容,在所述授权用户所拥有的网络存储内容中,添加、更改或删除相应的信息,并根据变化后的信息,更新授权用户网络存储目录或网络存储文件中相应的元数据信息。
16.如权利要求15所述的方法,其特征在于,还包括:
当根据被授权用户上传的消息内容在授权用户对应的网络存储文件中,或对应的网络存储目录所关联的网络存储文件中更新相应的元数据信息后,将变化后的元数据,通知给所述授权用户,和/或,具有该网络存储目录和/或网络存储文件访问权限的被授权用户。
17.如权利要求16所述的方法,其特征在于,在通知被授权用户变化后的存储访问权限元数据时,将能够采用的访问方式,通知给所述被授权用户。
18.一种网络存储访问权限管理装置,其特征在于,包括:
“网络存储权限访问控制器”和“消息业务元数据文件管理器”;
所述“网络存储权限访问控制器”,用于获得授权用户的网络存储访问权限操作请求,所述请求中携带授权用户请求操作的存储访问权限信息,所述请求中携带授权用户请求操作的存储访问权限信息包括授权用户的身份标识,所述存储访问权限信息涉及的网络存储目录或网络存储文件相关信息,以及包括:至少一个被授予访问权限的被授权用户的身份标识,或者,至少一个不能被授予访问权限的访问用户的身份标识;根据所述“消息业务元数据文件管理器”中的存储访问权限信息,对所述授权用户的网络存储访问权限操作请求,进行合法性验证;
所述“消息业务元数据文件管理器”,用于根据所述“网络存储权限访问控制器”通过验证的网络存储访问权限操作请求,查找对应于授权用户的身份标识的消息业务网络存储访问权限管理元数据文件,在授权用户的网络存储访问权限元数据中,根据所述授权用户请求操作的存储访问权限信息,操作授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限;
所述“消息业务元数据文件管理器”包括:
权限授予单元,用于根据所述“网络存储权限访问控制器”获得的网络存储访问权限操作请求,在授权用户的网络存储访问权限元数据文件中,根据所述授权用户请求授予的存储访问权限信息,创建授权用户为被授权用户设置的存储访问权限元数据;
或者,
权限更新单元,用于根据所述“网络存储权限访问控制器”获得的网络存储访问权限操作请求,在与所述授权用户对应的网络存储访问权限元数据文件中,根据所述授权用户请求更新的存储访问权限信息,更改授权用户为被授权用户设置的存储访问权限元数据;
或者,
第一权限删除单元,用于根据所述“网络存储权限访问控制器”获得的网络存储访问权限操作请求,在与所述授权用户对应的网络存储访问权限元数据文件中,根据所述授权用户请求撤回的存储访问权限,删除授权用户为被授权用户设置的存储访问权限元数据。
19.如权利要求18所述的网络存储访问权限管理装置,其特征在于,所述权限授予单元包括:
第一权限授予子单元,用于检索与所述授权用户对应的“存储授权策略”元数据文件,并在其中的与授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求授予的存储访问权限信息,创建与被授权用户身份标识对应的存储访问权限元数据;或者,检索授权用户的“存储授权策略”元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求授予的存储访问权限信息,创建与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;或者,
第二权限授予子单元,用于检索与所述授权用户对应的用户访问策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,创建与被授权用户身份标识对应的用户访问规则;同时,在与所述用户访问规则对应的网络存储元数据文件中根据所述请求中携带的请求授予的存储访问权限信息,创建与被授权用户身份标识对应的存储访问权限元数据,或者,检索与所述授权用户对应的用户访问策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,创建与被授权用户身份标识对应的用户访问规则;同时,在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求授予的存储访问权限信息,创建与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
20.如权利要求18所述的网络存储访问权限管理装置,其特征在于,所述权限更新单元包括:
第一权限更新子单元,用于检索与所述授权用户对应的存储授权策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求更新的存储访问权限信息,更改与被授权用户身份标识对应的存储访问权限元数据;或者,用于检索与所述授权用户身份标识对应的存储授权策略元数据文件,并在其中的与被授权用户访问的授权用户网络存储目录或网络存储文件的所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求更新的存储访问权限信息,更改与不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
或者,
第二权限更新子单元,用于在所述授权用户对应的“用户访问策略”元数据文件中,检索与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,与所述被授权用户身份标识对应的用户访问规则;并且在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求更新的存储访问权限信息,更改与所述被授权用户身份标识对应的存储访问权限元数据;或者,用于在所述授权用户对应的“用户访问策略”元数据文件中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,检索与不能被授予访问权限的访问用户的身份标识对应的用户访问规则;并且在与所述用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求更新的存储访问权限信息,更改与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
21.如权利要求18所述的网络存储访问权限管理装置,其特征在于,所述第一权限删除单元包括:
第一权限删除子单元,用于检索与所述授权用户对应的存储授权策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述被授权用户身份标识对应的存储访问权限元数据;或者,用于检索与所述授权用户对应的存储授权策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据;
或者,
第二权限删除子单元,用于检索与所述授权用户对应的用户访问策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,删除与所述被授权用户身份标识对应的用户访问规则;同时,在与所述被删除的用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述被授权用户身份标识对应的存储访问权限元数据;或者,用于检索与所述授权用户对应的用户访问策略元数据文件,并在其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中,删除与所述不能被授予访问权限的访问用户的身份标识对应的用户访问规则;同时,在与所述被删除的用户访问规则对应的网络存储元数据文件中,根据所述请求中携带的请求撤回的存储访问权限信息,删除与所述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。
22.如权利要求18至21任意一项所述的网络存储访问权限管理装置,其特征在于,所述“消息业务元数据文件管理器”还包括:
第二权限删除单元,用于在授权用户对应的网络存储访问权限元数据中,授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限的过期时间到达时,删除与所述被授权用户身份标识对应的存储访问权限元数据。
23.如权利要求22所述的网络存储访问权限管理装置,其特征在于,所述第二权限删除单元包括:
第三权限删除子单元,用于在授权用户的“存储授权策略”元数据文件中,当某个被授权用户身份标识对应的存储访问权限元数据中的权限过期时间到达时,则删除该存储访问权限元数据;
或者,
第四权限删除子单元,用于在授权用户的网络存储元数据文件中,当某个被授权用户身份标识对应的存储访问权限元数据中的权限过期时间到达时,则删除该存储访问权限元数据;同时,在授权用户的“用户访问策略”元数据文件中,删除与所述被授权用户该存储访问权限对应的用户访问规则元数据。
24.如权利要求22所述的网络存储访问权限管理装置,其特征在于,还包括:
通知服务器,用于当根据授权用户的网络存储访问权限操作请求,操作所述授权用户的网络存储目录或网络存储文件的存储访问权限后,将发生变化的网络存储访问权限元数据,通知给所述网络存储访问权限元数据中对应的被授权用户;或者,当授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限的权限过期时间到达后,将发生变化的网络存储访问权限元数据,通知给所述网络存储访问权限元数据中对应的被授权用户。
25.如权利要求24所述的网络存储访问权限管理装置,其特征在于,所述通知服务器还用于:在通知被授权用户变化后的存储访问权限元数据时,将能够采用的访问方式,通知给所述被授权用户。
26.一种网络存储访问权限管理装置,其特征在于,包括:
“网络存储权限访问控制器”和“消息业务元数据文件管理器”;
所述“网络存储权限访问控制器”,用于获得被授权用户针对授权用户网络存储的访问请求,所述请求中携带需要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信息,需要访问的网络存储所对应的授权用户的身份标识以及请求用户的身份标识;根据所述“消息业务元数据文件管理器”中与所述授权用户对应的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,对所述被授权用户的访问请求进行合法性验证;对通过验证的访问请求,向所述“消息业务元数据文件管理器”请求所述被授权用户具有访问权限的元数据,并将所述“消息业务元数据文件管理器”反馈的元数据提供给所述被授权用户;
所述“消息业务元数据文件管理器”,用于将与所述授权用户对应的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,反馈给所述“网络存储权限访问控制器”。
27.如权利要求26所述的网络存储访问权限管理装置,其特征在于,所述“消息业务元数据文件管理器”包括:
第一请求处理单元,用于检索授权用户的“存储授权策略”元数据文件中的与被授权用户访问的授权用户网络存储目录或网络存储文件的相关信息对应的存储授权策略元数据,获得与所述被授权用户身份标识对应的存储访问权限元数据;将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元数据,反馈给所述“网络存储权限访问控制器”;
或者,
第二请求处理单元,用于检索授权用户的“用户访问策略”元数据文件中的与被授权用户访问的授权用户网络存储目录或网络存储文件的相关信息对应的用户访问规则元数据,获得与所述被授权用户身份标识对应的用户访问规则;根据所述用户访问规则,在对应的网络存储元数据文件中,获得与所述被授权用户身份标识对应的存储访问权限元数据;将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元数据,反馈给所述“网络存储权限访问控制器”。
28.如权利要求26所述的网络存储访问权限管理装置,其特征在于,所述“网络存储权限访问控制器”,还用于:
获得被授权用户针对所述元数据对应的网络存储消息内容的访问请求;根据所述“消息业务元数据文件管理器”中授权用户的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息,对所述被授权用户的访问请求进行合法性验证;对通过验证的访问请求,将授权用户网络存储元数据文件中所述被授权用户具有访问权限的元数据,提供给“消息服务器”;获得“消息服务器”根据所述元数据向“消息内容存储器”请求的所述被授权用户具有访问权限的元数据对应的消息内容,并将其提供给被授权用户。
29.如权利要求28所述的网络存储访问权限管理装置,其特征在于,所述“消息业务元数据文件管理器”还包括:
数据更新单元,用于获得“消息服务器”发送的请求,所述请求中携带:根据被授权用户上传的消息内容,在“消息内容存储器”中所述授权用户所拥有的网络存储内容中添加、更改或删除的信息;根据所述变化的信息,更新授权用户网络存储目录或网络存储文件中相应的元数据信息。
30.如权利要求28所述的网络存储访问权限管理装置,其特征在于,还包括:
通知服务器,用于当根据被授权用户上传的消息内容在授权用户对应的网络存储文件中更新相应的元数据信息后,将变化后的元数据,通知给所述授权用户,和/或,具有该网络存储目录和/或网络存储文件访问权限的被授权用户。
31.如权利要求30所述的网络存储访问权限管理装置,其特征在于,所述通知服务器还用于:在通知被授权用户变化后的存储访问权限元数据时,将能够采用的访问方式,通知给所述被授权用户。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100911315A CN101282330B (zh) | 2007-04-04 | 2007-04-04 | 网络存储访问权限管理方法及装置、网络存储访问控制方法 |
| PCT/CN2007/071365 WO2008122185A1 (fr) | 2007-04-04 | 2007-12-28 | Procede et appareil de gestion de permission d'acces a une memoire reseau et procede de controle d'acces a une memoire reseau |
| US12/571,485 US20100023491A1 (en) | 2007-04-04 | 2009-10-01 | Method and apparatus for network storage access rights management |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100911315A CN101282330B (zh) | 2007-04-04 | 2007-04-04 | 网络存储访问权限管理方法及装置、网络存储访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101282330A CN101282330A (zh) | 2008-10-08 |
| CN101282330B true CN101282330B (zh) | 2013-08-28 |
Family
ID=39830466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100911315A Expired - Fee Related CN101282330B (zh) | 2007-04-04 | 2007-04-04 | 网络存储访问权限管理方法及装置、网络存储访问控制方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20100023491A1 (zh) |
| CN (1) | CN101282330B (zh) |
| WO (1) | WO2008122185A1 (zh) |
Families Citing this family (62)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100941535B1 (ko) * | 2006-06-09 | 2010-02-10 | 엘지전자 주식회사 | 디지털 저작권 관리에서 장치의 도메인 탈퇴 방법, 그 장치및 그 시스템 |
| US10417586B2 (en) * | 2007-08-31 | 2019-09-17 | Red Hat, Inc. | Attaching ownership to data |
| KR101773183B1 (ko) | 2009-02-05 | 2017-09-12 | 삼성전자주식회사 | 통신 시스템에서 세션 히스토리 송수신 방법 |
| JP5643292B2 (ja) * | 2009-04-20 | 2014-12-17 | インターデイジタル パテント ホールディングス インコーポレイテッド | 複数のドメインのシステムおよびドメイン所有権 |
| US9870480B2 (en) | 2010-05-27 | 2018-01-16 | Varonis Systems, Inc. | Automatic removal of global user security groups |
| WO2011148376A2 (en) * | 2010-05-27 | 2011-12-01 | Varonis Systems, Inc. | Data classification |
| CN103026336B (zh) * | 2010-05-27 | 2017-07-14 | 瓦欧尼斯系统有限公司 | 自动操作架构 |
| US9077623B2 (en) | 2010-12-13 | 2015-07-07 | Microsoft Technology Licensing, Llc | Network management system supporting customizable groups |
| WO2012087646A2 (en) * | 2010-12-22 | 2012-06-28 | Intel Corporation | A system and method to protect user privacy in multimedia uploaded to internet sites |
| CN103415847B (zh) | 2011-01-24 | 2017-11-17 | 慧与发展有限责任合伙企业 | 用于访问服务的系统和方法 |
| CN102624757A (zh) * | 2011-01-26 | 2012-08-01 | 中山爱科数字家庭产业孵化基地有限公司 | 一种云计算环境下的数据安全访问的方法 |
| US9680839B2 (en) | 2011-01-27 | 2017-06-13 | Varonis Systems, Inc. | Access permissions management system and method |
| CN103314355B (zh) | 2011-01-27 | 2018-10-12 | 凡诺尼斯系统有限公司 | 访问权限管理系统及方法 |
| CN102104607B (zh) * | 2011-03-10 | 2013-11-06 | 易程(苏州)软件股份有限公司 | 访问业务的安全控制方法、装置及系统 |
| JP5659051B2 (ja) * | 2011-03-17 | 2015-01-28 | 株式会社東芝 | 通信媒体、icカード、及び通信方法 |
| US9369307B2 (en) | 2011-07-12 | 2016-06-14 | Bank Of America Corporation | Optimized service integration |
| US8719919B2 (en) | 2011-07-12 | 2014-05-06 | Bank Of America Corporation | Service mediation framework |
| US8448237B2 (en) | 2011-07-12 | 2013-05-21 | Bank Of America Corporation | Virtual private internet |
| US9015320B2 (en) * | 2011-07-12 | 2015-04-21 | Bank Of America Corporation | Dynamic provisioning of service requests |
| CN102281141B (zh) * | 2011-07-26 | 2013-11-06 | 华为数字技术(成都)有限公司 | 一种文档权限管理方法、装置及系统 |
| CN103136483A (zh) * | 2011-11-22 | 2013-06-05 | 中兴通讯股份有限公司 | 数据卡及其外接存储卡多用户访问方法 |
| KR101330051B1 (ko) * | 2011-11-29 | 2014-01-13 | 에스케이텔레콤 주식회사 | 수신불능 단말로의 파일 전송 장치 및 기록매체 |
| SG11201403482TA (en) | 2011-12-21 | 2014-07-30 | Ssh Comm Security Oyj | Automated access, key, certificate, and credential management |
| CN102710623B (zh) * | 2012-05-23 | 2014-03-12 | 中国电力科学研究院 | 一种基于多方交互的智能电网用电信息隐私保护方法 |
| US8959574B2 (en) * | 2012-06-21 | 2015-02-17 | Google Technology Holdings LLC | Content rights protection with arbitrary correlation of second content |
| US9330277B2 (en) | 2012-06-21 | 2016-05-03 | Google Technology Holdings LLC | Privacy manager for restricting correlation of meta-content having protected information based on privacy rules |
| US9058385B2 (en) | 2012-06-26 | 2015-06-16 | Aol Inc. | Systems and methods for identifying electronic content using video graphs |
| US9064154B2 (en) | 2012-06-26 | 2015-06-23 | Aol Inc. | Systems and methods for associating electronic content |
| CN103886241B (zh) * | 2012-12-19 | 2017-11-03 | 联想(北京)有限公司 | 一种安全认证的方法以及一种电子设备 |
| CN103078859B (zh) * | 2012-12-31 | 2016-03-02 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| EP2950497B1 (en) | 2013-01-18 | 2018-03-07 | LG Electronics Inc. | Method and apparatus for controlling access in wireless communication system |
| US9122412B1 (en) * | 2013-02-26 | 2015-09-01 | Netapp, Inc. | System and method for producing tree perspectives of storage systems |
| US10631019B2 (en) * | 2013-06-18 | 2020-04-21 | Vecima Networks Inc. | Remote storage digital video recording optimization method and system |
| US9467450B2 (en) * | 2013-08-21 | 2016-10-11 | Medtronic, Inc. | Data driven schema for patient data exchange system |
| CN105376203B (zh) * | 2014-08-26 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 交互信息的处理方法、装置及系统 |
| CN104618482B (zh) * | 2015-02-02 | 2019-07-16 | 浙江宇视科技有限公司 | 访问云数据的方法、服务器、传统存储设备、系统 |
| CN105162668B (zh) * | 2015-09-17 | 2018-09-18 | 小米科技有限责任公司 | 连接解除方法及装置 |
| KR101689196B1 (ko) * | 2015-10-23 | 2016-12-23 | 삼성전자주식회사 | 통신 시스템에서 세션 히스토리 송수신 방법 |
| CN105871801A (zh) * | 2015-12-07 | 2016-08-17 | 乐视云计算有限公司 | 一种盗链的检测方法及装置 |
| CN105592162B (zh) * | 2016-01-20 | 2019-05-17 | 歌尔股份有限公司 | 基于多类型文件的上传方法及系统 |
| CN105792178A (zh) * | 2016-04-29 | 2016-07-20 | 宇龙计算机通信科技(深圳)有限公司 | 生成和获取用于删除isd-p域的授权的方法及装置 |
| CN106055968B (zh) * | 2016-05-31 | 2019-09-17 | 北京金山安全软件有限公司 | 一种权限设置方法、装置及电子设备 |
| CN107786594B (zh) * | 2016-08-26 | 2021-01-19 | 杭州爱钥医疗健康科技有限公司 | 业务请求处理方法及装置 |
| CN107948126B (zh) * | 2016-10-13 | 2021-09-03 | 阿里巴巴集团控股有限公司 | 一种报表查看方法及设备 |
| CN107967416B (zh) | 2016-10-19 | 2021-07-09 | 华为技术有限公司 | 版权维权检测的方法、装置和系统 |
| WO2018090256A1 (zh) | 2016-11-16 | 2018-05-24 | 华为技术有限公司 | 一种目录删除方法、装置和存储服务器 |
| JP6880684B2 (ja) * | 2016-12-05 | 2021-06-02 | 富士フイルムビジネスイノベーション株式会社 | ファイル管理装置及びプログラム |
| US11500824B1 (en) * | 2017-04-03 | 2022-11-15 | Amazon Technologies, Inc. | Database proxy |
| US11106540B1 (en) | 2017-04-03 | 2021-08-31 | Amazon Technologies, Inc. | Database command replay |
| US11182496B1 (en) | 2017-04-03 | 2021-11-23 | Amazon Technologies, Inc. | Database proxy connection management |
| US11392603B1 (en) * | 2017-04-03 | 2022-07-19 | Amazon Technologies, Inc. | Database rest API |
| CN107436920A (zh) * | 2017-07-01 | 2017-12-05 | 武汉斗鱼网络科技有限公司 | Node.js权限控制方法、存储介质、电子设备及系统 |
| CN109388331A (zh) * | 2017-08-02 | 2019-02-26 | 学习王科技股份有限公司 | 具备数据保全功能的多用途双接口储存装置 |
| CN108632238A (zh) * | 2017-09-18 | 2018-10-09 | 北京视联动力国际信息技术有限公司 | 一种权限控制的方法和装置 |
| CN108170757B (zh) * | 2017-12-22 | 2020-07-07 | 郑州云海信息技术有限公司 | 一种数据文件读取方法、装置及设备 |
| US10728187B2 (en) | 2018-04-05 | 2020-07-28 | Global Relay Communications Inc. | System and method for processing messages with organization and personal interaction controls |
| CN110197075B (zh) * | 2018-04-11 | 2023-03-17 | 腾讯科技(深圳)有限公司 | 资源访问方法、装置、计算设备以及存储介质 |
| CN108768948B (zh) * | 2018-04-28 | 2021-04-16 | 努比亚技术有限公司 | 一种访问权限管理方法、服务器及计算机可读存储介质 |
| CN112105026B (zh) * | 2019-06-17 | 2022-07-12 | 华为技术有限公司 | 一种授权控制的方法、装置以及存储介质 |
| CN110489155B (zh) * | 2019-08-26 | 2024-01-09 | 北京达佳互联信息技术有限公司 | 数据文件管理方法、装置、电子设备及介质 |
| CN110636054B (zh) * | 2019-09-05 | 2020-08-21 | 珠海格力电器股份有限公司 | 资源的复用方法、装置、设备和系统 |
| CN114025000B (zh) * | 2021-10-29 | 2023-05-30 | 建信金融科技有限责任公司 | 网络访问关系的建立方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1617507A (zh) * | 2003-11-12 | 2005-05-18 | 鸿富锦精密工业(深圳)有限公司 | 用户权限管理系统及方法 |
| CN1855832A (zh) * | 2005-04-18 | 2006-11-01 | 索尼株式会社 | 会议系统和终端装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7426329B2 (en) * | 2003-03-06 | 2008-09-16 | Microsoft Corporation | Systems and methods for receiving, storing, and rendering digital video, music, and pictures on a personal media player |
| US7395339B2 (en) * | 2003-08-07 | 2008-07-01 | International Business Machines Corporation | Method and system for providing on-demand media streaming from a user's own library to a receiving device of the user |
| US20050132191A1 (en) * | 2003-12-16 | 2005-06-16 | Joshi Ajit P. | Method for authenticating different rendering devices with different service providers |
| US20050138137A1 (en) * | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Using parameterized URLs for retrieving resource content items |
| KR100643281B1 (ko) * | 2004-10-09 | 2006-11-10 | 삼성전자주식회사 | 홈 네트워크에서의 보안 서비스 제공 장치, 시스템 및 방법 |
| US7574746B2 (en) * | 2005-03-31 | 2009-08-11 | International Business Machines Corporation | Access validation and management of access permissions to referenced shared resources in a networked environment |
| US9467322B2 (en) * | 2005-12-27 | 2016-10-11 | Rovi Solutions Corporation | Methods and apparatus for integrating media across a wide area network |
| US7984066B1 (en) * | 2006-03-30 | 2011-07-19 | Emc Corporation | Mandatory access control list for managed content |
| US7738900B1 (en) * | 2007-02-15 | 2010-06-15 | Nextel Communications Inc. | Systems and methods of group distribution for latency sensitive applications |
| US8185949B2 (en) * | 2008-11-20 | 2012-05-22 | Cisco Technology, Inc. | UPnP CDS user profile |
-
2007
- 2007-04-04 CN CN2007100911315A patent/CN101282330B/zh not_active Expired - Fee Related
- 2007-12-28 WO PCT/CN2007/071365 patent/WO2008122185A1/zh active Application Filing
-
2009
- 2009-10-01 US US12/571,485 patent/US20100023491A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1617507A (zh) * | 2003-11-12 | 2005-05-18 | 鸿富锦精密工业(深圳)有限公司 | 用户权限管理系统及方法 |
| CN1855832A (zh) * | 2005-04-18 | 2006-11-01 | 索尼株式会社 | 会议系统和终端装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008122185A1 (fr) | 2008-10-16 |
| CN101282330A (zh) | 2008-10-08 |
| US20100023491A1 (en) | 2010-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101282330B (zh) | 网络存储访问权限管理方法及装置、网络存储访问控制方法 | |
| US9667717B2 (en) | Personal digital server (PDS) | |
| CN100542140C (zh) | 一种访问用户数据的方法及用户档案管理服务器 | |
| CN100533440C (zh) | 基于对共享式数据的访问权限来提供服务 | |
| CN100555944C (zh) | 利用gprs技术管理及共享移动通信终端信息的方法 | |
| US7103351B2 (en) | Policy service system and methodology | |
| CN101321306B (zh) | 创建业务、部署业务的方法、装置 | |
| EP2045987B1 (en) | A network storage system and a control method for accessing the network storage content | |
| US20030130953A1 (en) | Systems and methods for monitoring the presence of assets within a system and enforcing policies governing assets | |
| CN100488098C (zh) | 信息处理设备及方法 | |
| US7376652B2 (en) | Personal portal and secure information exchange | |
| US20080189294A1 (en) | Method and apparatus for sharing content | |
| CN103314558A (zh) | 策略管理 | |
| CN101553782B (zh) | 用于管理可扩展标记语言文档管理服务器历史的系统和方法 | |
| US20110051913A1 (en) | Method and System for Consolidating Communication | |
| CN102947797A (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| WO2012000543A1 (en) | Method for selectively distributing information in a computer or communication network, and physical entities therefor | |
| CN1943204A (zh) | 通信系统中数据的控制使用 | |
| US7657925B2 (en) | Method and system for managing security policies for databases in a distributed system | |
| CN1494011A (zh) | 数据存储系统 | |
| EP1394656A2 (en) | Data management system, method of providing access to a database and security structure | |
| US20070162980A1 (en) | SYSTEM AND METHOD FOR PROVIDING CONTENT SECURITY IN UPnP SYSTEMS | |
| CN1849600A (zh) | 提供资源的基于联系人的共享的用户界面的系统和方法 | |
| JP2004206595A (ja) | データ保管システム、データ管理方法、データ保管サービス装置、データの受け渡し方法 | |
| CN106330899A (zh) | 私有云设备账号管理方法、系统、电子设备及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING WEIBEN INTELLECTUAL PROPERTY MANAGEMENT CO Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20141114 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518129 SHENZHEN, GUANGDONG PROVINCE TO: 100080 HAIDIAN, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20141114 Address after: 100080 room 401A, building 27, 1 Xin Lu, Haidian District, Beijing Patentee after: Beijing Weiben Intellectual Property Management Co. Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20151104 Address after: 100080, No. 8 West Beichen Road, Beijing, Beichen Century Center, block A, 10, Chaoyang District Patentee after: Beijing Jingdong Shangke Information Technology Co., Ltd. Address before: 100080 room 401A, building 27, 1 Xin Lu, Haidian District, Beijing Patentee before: Beijing Weiben Intellectual Property Management Co. Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130828 Termination date: 20170404 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |