CN101681492A - 通过具有访问控制列表的模糊性来集成安全 - Google Patents
通过具有访问控制列表的模糊性来集成安全 Download PDFInfo
- Publication number
- CN101681492A CN101681492A CN200880019229A CN200880019229A CN101681492A CN 101681492 A CN101681492 A CN 101681492A CN 200880019229 A CN200880019229 A CN 200880019229A CN 200880019229 A CN200880019229 A CN 200880019229A CN 101681492 A CN101681492 A CN 101681492A
- Authority
- CN
- China
- Prior art keywords
- user
- content
- visit
- information
- data structure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/957—Browsing optimisation, e.g. caching or content distillation
- G06F16/9574—Browsing optimisation, e.g. caching or content distillation of access to content, e.g. by caching
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
- G06F16/972—Access to data in other repository systems, e.g. legacy data or dynamic Web page generation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
此处所描述的主题的各方面涉及提供和限制对内容的访问。在各方面,向用户提供标识内容和用户的信息(例如URL)。结合向用户提供该信息,更新数据结构(例如访问控制列表)以表明该用户可以访问该内容。该用户可以使用该信息来访问该内容和/或可以将这一信息发送给其他用户。其他用户可以使用该信息(例如通过将其传递给浏览器)来访问该内容,并可以被添加到该数据结构中以使他们随后可以在不使用该信息的情况下访问该内容。随后可以撤消经由使用该信息而对该内容的访问。
Description
背景技术
在共享照片时,计算机用户可以将他们的照片上传到服务器,并随后向想要查看这些照片的朋友发送统一资源定位符(URL)。接收到该URL的任何用户都可以点击它或将它置于web浏览器的地址域中来查看照片。
尽管这一方法允许人们共享照片,但它有若干缺点。例如,在用户试图重新查看所共享的不同的相册时,这一方法可能变得不便于使用,因为用户可能需要搜索各个电子邮件来获得URL。此外,可以将URL转发给其他用户或可以将该URL公布在网站上。这可以允许比该个人最初发送该URL时所预期的更多的用户查看照片。
概述
简言之,此处所描述的主题的各方面涉及提供和限制对内容的访问。在各方面,向用户提供标识内容和用户身份的信息(例如URL)。结合向用户提供该信息,更新数据结构(例如访问控制列表)以指示该用户可以访问该内容。该用户可以使用该信息来访问该内容和/或可以将这一信息发送给其他用户。其他用户可以使用该信息(例如通过点击链接,将其传递给浏览器等)来访问该内容,并可以被添加到该数据结构中以使他们随后可以在不使用该原始信息的情况下访问该内容。随后可以撤消对该内容的访问。
提供本概述以简要地标识在以下详细描述中进一步描述的主题的一些方面。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
除非上下文清楚地指出,否则短语“此处所描述的主题”指的是详细描述中所描述的主题。术语“方面”应被当作“至少一个方面”。标识详细描述中所描述的主题的各方面不旨在标识所要求保护的主题的关键特征或必要特征。
上述各方面和此处所描述的主题的其它方面是借助于示例说明的,并且不受附图限制,附图中相同的标号指出相似的元素,附图中:
附图简述
图1是表示其中可结合此处所描述的主题的各方面的示例性通用计算环境的框图;
图2是表示此处所描述的主题的各方面可在其中实现的示例性环境的框图;
图3是表示被配置成根据此处所描述的主题的各方面操作的示例性设备的框图;
图4是根据此处所描述的主题的各方面指出可以访问相册的用户的示例性数据结构;以及
图5-7是根据此次所描述的主题的各方面概括地表示可发生的示例性动作的流程图。
详细描述
示例性操作环境
图1示出可在其上实现此处所描述主题的各方面的合适的计算系统环境100的示例。计算系统环境100仅为合适的计算环境的一个示例,并非旨在对此处所描述的主题的各方面的使用范围或功能提出任何局限。也不应该把计算环境100解释为对示例性操作环境100中示出的任一组件或其组合有任何依赖性或要求。
此处所描述的主题的各方面可与众多其它通用或专用计算系统环境或配置一起操作。适用于此处所描述的主题的各方面的公知的计算系统、环境和/或配置的示例包括,但不限于,个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型机、大型计算机、包括上述系统或设备的任一个的分布式计算环境等。
此处所描述的主题的各方面可在由计算机执行的诸如程序模块等计算机可执行指令的一般上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。此处所描述的主题的各方面也可以在其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境中实现。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地和远程计算机存储介质中。
参考图1,用于实现此处所描述的主题的各方面的示例性系统包括计算机110形式的通用计算设备。计算机110的组件可以包括但不限于,处理单元120、系统存储器130和将包括系统存储器在内的各种系统组件耦合至处理单元120的系统总线121。系统总线121可以是几种类型的总线结构中的任何一种,包括存储器总线或存储控制器、外围总线、以及使用各种总线体系结构中的任一种的局部总线。作为示例而非局限,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线和外围部件互连(PCI)总线(也称为夹层(Mezzanine)总线)。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是能由计算机110访问的任何可用介质,而且包含易失性和非易失性介质以及可移动、不可移动介质。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期望的信息并可由计算机110访问的任一其它介质。通信介质通常以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并包括任何信息传送介质。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作为示例而非限制,通信介质包括有线介质,诸如有线网络或直接线连接,以及无线介质,诸如声学、RF、红外线和其它无线介质。上述的任意组合也应包含在计算机可读介质的范围内。
系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质,如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出系统133(BIOS)包括如在启动时帮助在计算机110内的元件之间传输信息的基本例程,它通常储存在ROM 131中。RAM 132通常包含处理单元120可以立即访问和/或目前正在其上操作的数据和/或程序模块。作为示例而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110也可以包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图1示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器141,从可移动、非易失性磁盘152中读取或向其写入的磁盘驱动器151,以及从诸如CD ROM或其它光学介质等可移动、非易失性光盘156中读取或向其写入的光盘驱动器155。可以在示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器141通常通过诸如接口140等不可移动存储器接口连接到系统总线121,而磁盘驱动器151和光盘驱动器155则通常由诸如接口150等可移动存储器接口连接至系统总线121。
以上描述并在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提供了对计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,硬盘驱动器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意,这些组件可以与操作系统134、应用程序135、其它程序模块136和程序数据137相同,也可以与它们不同。操作系统144、应用程序145、其它程序模块146和程序数据147在这里被赋予了不同的标号是为了说明至少它们是不同的副本。用户可以通过输入设备,诸如键盘162和定点设备161(通常指的是鼠标、跟踪球或触摸垫)向计算机20输入命令和信息。其它输入设备(未示出)可包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪、手持式PC的触敏屏或其它写字板等。这些和其它输入设备通常通过耦合至系统总线的用户输入接口160连接至处理单元120,但也可以由其它接口和总线结构,诸如并行端口、游戏端口或通用串行总线(USB)连接。监视器191或其它类型的显示设备也经由接口,诸如视频接口190连接至系统总线121。除监视器以外,计算机还可以包括其它外围输出设备,诸如扬声器197和打印机196,它们可以通过输出外围接口190连接。
计算机110可使用至一个或多个远程计算机,如远程计算机180的逻辑连接在网络化环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见网络节点,且通常包括上文相对于计算机110描述的许多或所有元件,尽管在图1中只示出存储器存储设备181。图1中所示的逻辑连接包括局域网(LAN)171和广域网(WAN)173,但也可以包括其它网络。这样的联网环境在办公室、企业范围计算机网络、内联网和因特网中是常见的。
当在LAN联网环境中使用时,计算机110通过网络接口或适配器170连接至LAN 171。当在WAN联网环境中使用时,计算机110通常包括调制解调器172或用于通过诸如因特网等WAN 173建立通信的其它装置。调制解调器172可以是内置或外置的,它可以通过用户输入接口160或其它合适的机制连接至系统总线121。在网络化环境中,相对于计算机110所描述的程序模块或其部分可被储存在远程存储器存储设备中。作为示例而非限制,图1示出了远程应用程序185驻留在存储器设备181上。可以理解,所示的网络连接是示例性的,且可以使用在计算机之间建立通信链路的其它手段。
安全集成
如上所述,模糊URL提供了共享照片的方便机制。模糊URL是依赖于一般不知道的或不容易猜测的URL来限制对照片的访问的URL。然而,能够集成URL和访问控制列表(ACL)提供了共享照片的更灵活方式。
虽然此处所描述的主题的各方面是结合照片来描述的,但在其它实施例中,可以通过此处所描述的机制来共享其它数据。在一个实施例中,包括文本、超链接、多媒体内容、一个或一组文件、一个或多个任何其它数据结构等的任何内容可以置于服务器上并可经由此处所描述的机制和技术来访问。因此,尽管在某些实施例中可以通过此处所描述的主题的各方面来共享的内容包括置于服务器上的照片图像和相册,但在其它实施例中,此处所描述的各方面适用于置于服务器上的文件或其它数据结构。此外,除非另外明确指出,否则在某些实施例中,术语“照片”和“相册”以及在用作词语(例如相册ID、各照片、各相册)的一部分时可以用“内容”来替换,而不管它们在该详细描述中的哪里出现。在其它实施例中,术语“照片”和“相册”具有在下一段中所描述的定义。
如此处使用的,在某些实施例中,相册是一个或多个图像的集合。图像不必是由照相机拍摄的,并可以是扫描的或创建的图像。如此处使用的,在某些实施例中,照片包括可以存储在计算机可读介质上的图像,并且也不必是由照相机拍摄的。
此外,虽然此处频繁使用术语服务器,但可以认识到,该术语也可涵盖能够提供对照片和/或相册的访问的客户机、对等体、分布在一个或多个计算机上的一个或多个进程的集合、一个或多个独立的存储设备、一个或多个其它设备的集合、以上的一个或多个的组合,等等。
图2是表示所描述的主题的各方面可在其中实现的示例性环境的框图。该环境包括服务器205-207和客户机220-223,并可包括其它组件(未示出)。各种实体可以经由各种网络彼此通信,这些网络包括办公室内和办公室间网络以及网络215。在一个实施例中,网络215可包括因特网。
服务器205-207和客户机220-223中的每一个可以在一个或多个计算机(例如,结合图1描述的计算机110)上实现。服务器205-207可包括分别向诸如客户机220-223等授权客户机提供照片的数据共享组件210-213。在一个实施例中,服务器205-207可以复制照片以用于例如可缩放性和冗余性。在另一实施例中,服务器205-207可各自存放特定照片子集。客户机可以意指或将其配置成可访问存放所需照片的服务器。
客户机可包括分别允许客户机220-223访问服务器205-207上的照片的数据访问组件230-233。在一个实施例中,数据访问组件可包括web浏览器。在另一实施例中,数据访问组件可包括与一个或多个服务器进行通信以获得其上的照片的一个应用程序、一个或多个进程、组件等。
虽然上述环境包括三个服务器和四个客户机,但可以理解,可以采用更多、更少的这些实体或这些实体的不同组合而不背离此处所描述的主题的各方面的精神或范围。此外,该环境中包括的各实体和通信网络可以用本领域技术人员所理解的各种方式来配置而不背离此处所描述的主题的各方面的精神或范围。
图3是表示被配置成根据此处所描述的主题的各方面操作的示例性设备的框图。设备305可包括数据共享组件310、存储335、以及通信机制340。数据共享组件310可包括许可逻辑315、撤消组件317、页面构建器320、以及策略组件330。设备305可对应于图2的服务器205-207中的一个。数据共享组件310对应于图2的数据共享组件210-212。
通信机制340允许设备305与其它设备通信,以提供允许对相册的访问的信息以及接收对该相册的请求。通信机制340可以是结合图1所述的网络接口或适配器170、调制解调器172或用于建立通信的任何其它机制。
存储335是能够存储包括相册和图像的内容的任何存储介质。存储335还可以存储访问控制列表。存储335可包括文件系统、数据库、诸如RAM等易失性存储器、其它存储、以上的某种组合等,并可以分布在多个设备中。存储335可以在设备305的外部或内部。在一个实施例中,访问控制列表和内容可以存储在类似于存储335的两个或更多个分开的存储上。在另一实施例中,访问控制列表和内容可以存储在类似于存储335的单个存储上。
在操作中,设备305可以从一客户机(诸如客户机220-223中的一个)接收查看相册中的照片的请求。该请求可以来自具有登录用户的客户机或具有非登录用户的客户机。在一个实施例中,登录用户是标识了他或她自己并提供了认证该用户的凭证(例如,用户名和口令)的用户。
在其它实施例中,以上使用的术语“标识”可以表示客户机提供了将用户置于授权类用户的信息而实际上不标识该特定用户。这可以通过例如提供客户机的IP地址来完成。设备305或其它位置上的服务可以将该IP地址与授权类用户进行匹配并相应地授予访问权限。可以理解,可以使用标识或不标识特定用户的许多其它授权方案而不背离此处所描述的主题的各方面的精神或范围。
在用户登录到设备305时,可以使用许可逻辑315来确定应当允许该用户访问什么相册。为作出这一判定,许可逻辑315可以使用访问控制列表(ACL)。ACL可以表示一用户列表,并还可以指出每一用户对照片所具有的访问权限。在一个实施例中,访问权限只包括读照片的能力。在另一实施例中,访问权限可包括读、写、删除、修改、创建等。每一相册和/或照片可以与一ACL相关联。
与相册相关联的ACL可以在各个时刻改变。例如,在首次创建相册时,该相册的所有者可以指明将可以访问该相册的照片的用户。在此后的任何时间,所有者可以更新与该相册相关联的ACL以添加或删除可以访问该相册的照片的用户。所有者还可以更新向ACL中列出的每一用户授予什么访问权限。如以下更详细地讨论的,ACL可以在所有者向用户发送邀请该用户访问相册的照片的电子邮件时更新。
在一个实施例中,相册的每一图像也可以与ACL相关联。如果一图像与一ACL相关联,则该图像的ACL控制何时确定是否授予对该图像的访问。图像的所有者可以改变图像的ACL,这与该所有者可如何改变包含该图像的相册的ACL相似。
在一个实施例中,改变相册的ACL自动地改变该相册中的所有图像的ACL以匹配给予该相册的ACL。在另一实施例中,改变相册的ACL不自动地改变该相册中的所有图像的ACL。这一行为可以例如经由用户界面中的复选框或其它控件来控制。
所有者稍后可以撤消在该所有者向用户发送电子邮件时(或任何其它时刻)所授予的访问权限而不删除或移动相册或照片。这些权限可由撤消组件317来撤消,撤消组件317可以基于数据共享组件310接收到的撤消请求来修改存储335中的访问权限。
如上所述,在某些实施例中,用户身份可能未包括在发送给另一用户的URL中。此外,同一URL可以发送给一个或多个其他用户。向提供该URL的任何用户授予对该内容的访问(除非基于URL的访问已被撤消)。URL所授予的权限可被撤消,从而禁止后续使用该URL的任何用户的访问,假定该用户也不具有对该内容的其它权限。为向新用户组授予权限,可以撤消基于该URL的访问并可以发送到该内容的新URL。
在使用许可逻辑315确定用户应当被授予访问什么相册的权限后,页面构建器320可以显示这些相册(或缩略图、图标、链接、或到它们的其它参照)。页面构建器320还可以显示其它文本、链接、多媒体材料等,并可以在所显示的页面上的各个位置显示相册的照片。另外,页面构建器320可以显示用户可对相册采取的动作。
对于登录用户,许可逻辑315可以使用与相册相关联的ACL来确定应当给予用户对于特定相册的什么访问权限(如果有的话)。如果不应给予该用户对特定相册的访问,则该相册可以不显示并可以不在显示给该用户的任何索引或链接中示出。注意,即使登录用户点击了与特定相册相关联的URL,该用户也可能能够查看他已被给予访问权限的其它相册。
非登录用户也可能能够获得对相册的访问。这可以通过请求与URL相关联的内容来完成。例如,URL较早可能已经经由电子邮件给予用户。例如,相册的所有者可能想要某一群朋友能够查看该相册内的照片。为使之成为可能,所有者可以向朋友发送包括链接的电子邮件(或使之被发送),该链接在被选择时提供对照片的访问。
在一个实施例中,该链接可采取http://域名/路径名/值(http://domain_name/path_name/VALUE)的形式,其中值是通过用密钥加密相册ID和/或用户ID来创建的。在服务器接收该值时,该值可以解密相册ID和/或用户ID。在获得相册ID后,服务器可以访问与该相册ID相关联的ACL。如果ACL向具有解密的用户ID的用户授予访问权限,则服务器随后可以授予对相册内的照片的访问。
在另一实施例中,诸如发送者ID和时间戳等其它数据也可以在该链接中加密。在另一实施例中,该链接可以采取http://域名/路径名/值的形式,其中值是GUID。GUID可以与(或实际上是)相册ID和/或用户ID相关联。在接收到该链接时,可以使用该GUID来查找(或实际上可以用作)相册ID和/或用户ID,随后可以如上所示地使用这些ID。
在向朋友发送链接时,照片的所有者可以利用包括联系人、各朋友群体、电子邮件地址等的用户界面。结合发送链接,用户界面可以命令服务器将链接中所包括的用户、电子邮件地址、和群体添加到与该链接中所标识的相册相关联的ACL中。通过将链接中所包括的用户和群体添加到ACL,这些用户和群体也可以在不使用该链接的情况下访问那些照片。例如,一用户或群体的成员可以登录到包括该照片的服务器。服务器可以检查已给予该用户或成员访问权限的相册,并可以显示到这些相册的链接。
注意,通过允许将群体与ACL相关联,可以向用户授予或拒绝访问而不改变ACL本身。例如,如果群体的成员被删除,则该成员不再具有由与该群体相关联的ACL所指出的权限。如果向该群体添加了新成员,则随后可以向该成员授予由与该群体相关联的ACL所指出的权限。
向服务器注册的用户(例如,具有用户帐户)还可以经由链接访问照片而不必登录到服务器。他们可以简单地点击链接,这使得他们的浏览器向服务器发送值。使用该值,服务器可以给予他们对适当的相册的访问权限。
在向未登录的用户给予对相册的访问权限时,服务器可以询问用户该用户是否想要登录或向服务器注册。已经在服务器上拥有帐户的用户可以输入用户名和口令或提供某些其它凭证。一旦完成这些,页面构建器320可以显示相册,将用户添加到与该相册相关联的ACL以使用户稍后可以在不使用先前发出的URL的情况下访问该相册,并还允许该用户访问其具有访问权限的其它相册。
在服务器上尚未具有帐户的用户(例如,未注册的用户)可以视需要在服务器上创建帐户。如果用户决定不创建帐户,则仍然可以向该用户示出相册,假定与值的用户ID相关联的访问权限尚未被撤消。随着用户继续使用该帐户,该用户可能能够访问该用户先前被经由链接授予访问权限的相册,只要该用户指出他或她应被添加到与该相册相关联的ACL。
在用户创建帐户后,数据共享组件310可以共享ACL来指明该用户可以访问那些照片。数据共享组件310还可以提供用户如何获得访问权限的指示。例如,数据共享组件310可以指出该用户经由链接中所标识的用户获得了查看相册的权限。
这具有有趣的结果。用户可以将链接转发给其他用户,而其他用户又可以将该链接转发给另一些用户,以此类推。用户可以将该链接公布在网站上,并允许其他用户获得该链接。只要与该链接的用户ID相关联的访问权限未被撤消,则使用该链接的任何用户都可以访问由该链接所标识的照片。
在另一实施例中,如果链接不包括用户ID,则接收到该链接的用户可以将其转发给其他用户,将其公布在网站上、或以其它方式将其给予其他用户。可以向这些其他用户给予由该链接所标识的对相册的访问权限,除非并且直到与该链接(而非用户ID)相关联的访问权限被撤消为止。
在又一实施例中,可以只向实际上使用该链接访问相册的第一固定数量的用户授权访问权限。可以使用链接访问相册的用户的数量可以例如通过用户界面来配置。
服务器可以跟踪特定链接被用来访问一相册的次数(例如,通过图4的一列数据结构400)。尽管该信息不必标识谁访问了相册,但其可以提供链接如何广泛地被进一步分发的指示。例如,已经通过特定链接被访问了数千次的相册可以指示该链接已经与许多其他用户共享了。每一链接被用来访问相册的次数可由该相册的所有者获得。所有者可以使用这一信息来猜测链接已被除该链接最初被转发给的那个人之外的大量的人访问了。如果所有者希望撤消对该链接的访问权限,则该所有者可以这样做。在此时之后对该链接的后续使用将不被允许访问该相册。
所有者可以向其他用户发送链接,并指示该链接不允许其他用户将该链接转发给另一些用户。在这种情况下,该链接可以编码相册ID或对相册的参考而非用户ID。在服务器接收到与该链接相关联的请求时,服务器可以确定发送该请求的用户是否也登录到该计算机。如果否,则服务器可以确定该用户不被允许查看相册(除非相册是供任何用户查看的)。如果用户登录到服务器,则服务器随后可以查找与相册相关联的ACL来确定是否应当向该用户给予对该相册的访问权限。
如果用户将该链接转发给另一用户,则遵循以上指示的同一过程。除非用户独立地具有对照片的访问权限,则仅仅通过点击URL不向该用户授予对照片的访问权限。这一过程允许根据ACL具有访问权限的那些用户访问相册,但不允许根据ACL不具有访问权限的那些用户访问相册。因此,相册的所有者可以使用这一机制来确保只有所有者向其发送该链接的用户才可以访问相册。当然,如果一用户将该用户的凭证给了其他用户,则这些其他用户也可能能够访问相册,但可以预计,通常大多数用户不会将他们的凭证给予其他用户,并且如果他们这样做,则可以使用上述访问跟踪机制来猜测这已经发生——至少在用户将他或她的凭证广泛地分发给其他用户的情况下。
可以预期,至少存在其中用户可以尝试访问与链接相关联的相册的四种不同的场景。在第一种情况下,登录到服务器的用户使用该链接来访问相册。在该第一种情况下,登录的用户也是该链接所标识的用户。在第二种情况下,登录的用户使用该链接来访问相册,但登录的用户与该链接所标识的用户不相同。在第三和第四种情况下,未登录到服务器的用户使用该链接来访问相册。在这些情况下,用户可以依赖于链接中所包括的凭证来访问相册并可以不登录到服务器。在这些情况下,用户可以与该链接中所标识的用户相同或不同。用户可以在服务器上具有或不具有帐户。
在第一和第二种情况下,服务器可以使用最具许可性的访问权限来确定是否向用户授予对相册的访问权限。例如,如果用户具有访问相册的权限,但该链接的权限已被撤消,则向该用户给予访问相册的权限。注意,在第一种情况下,该链接中所标识的用户和登录的用户是相同的。在这种情况下,如果该链接的权限已被撤消,则这也可以撤消用户的权限,所以用户不再可以在使用或不使用该链接的情况下访问照片。
在第二种情况下,如果该链接授予访问相册的权限,但用户尚未被经由ACL授予这些权限,则可以给予该用户访问该相册的权限。还可以询问该用户其是否希望被添加到与该相册相关联的ACL,以用于对该相册的后续访问。
在第三和第四种情况下,可以单独地通过该链接所授予的权限来确定访问相册的权限。如果用户随后登录或向服务器注册,则可以给该用户一个机会指明该用户是否应被添加到与相册相关联的ACL以用于该相册的后续访问。
策略组件330可以确定向其它组件呈现哪一身份。例如,如果具有第一用户ID的登录用户使用了用第二用户ID编码的URL来请求对相册的访问,则策略组件330可以允许第一用户ID的任何ACL修改并将第一和第二用户ID提供给许可逻辑315以确定应当向用户给予访问权限的相册。
图4是根据此处所描述的主题的各方面的指明可以访问相册的用户的示例性数据结构。数据结构405包括两列:用户ID 405和访问410。在数据结构的每一行中是对应于这些列的两个字段。每一行可包括用户ID和对与该用户ID相关联的用户所允许的访问。
在一个实施例中,只具有单列用户ID 405可以是足够的。在该实施例中,如果用户在用户ID字段中列出,则用户对相册的读访问。如果用户未在用户ID字段中列出,则不允许用户对相册的访问。
然而,在其它实施例中,访问列410可包括每一用户具有什么类型的访问权限(例如读、写、创建等)。另外,访问字段(或数据结构400中的另一字段)可以表示用户如何获得了该用户所具有的访问(例如,经由另一用户)。例如,如果Jordan和Mary使用发送给John的链接获得了对相册的访问,则数据结构400中的Jordan和Mary的访问条目可以指明他们通过John得到了对相册的访问权限。
在一实施例中,经由URL(或以其它方式)给予了对相册的访问的用户可以向其他用户发送不同的URL来给予他们对该URL的访问。如果这些其他用户表示他们希望被添加到对该相册的ACL,则给予他们访问的用户的表示也可以存储在ACL中。例如,如果经由John发送的URL允许Jordan访问,并且随后Jordan创建新URL并将其发送给Mary,则可以在ACL中存储Mary被Jordan允许访问的指示。
在一个实施例中,用户ID列405可包括一个或多个用户的ID群。一个或多个用户的群体中的任何用户都具有在该群的相关联的访问字段中所指出的访问权限。
可以认识到,可以使用许多类型的数据结构来实现数据结构400的目的。例如,数据结构可以将相册ID作为其一个列。在该数据结构中,对多个相册的访问可以包括在一个数据结构中。基于此处的教导,对于本领域普通技术人员而言,合适的数据结构的其它示例将变得显而易见。可以使用这些数据结构而不背离此处所描述的主题的各方面的精神或范围。
图5-7是根据此次所描述的主题的各方面的概括地表示可发生的示例性动作的流程图。为解释简明起见,结合图5-7描述的方法被描绘和描述为一系列动作。可以理解和明白,此处所描述的主题的各方面不受所示出的动作和/或动作次序的限制。在一个实施例中,动作以如下描述的次序发生。然而,在其它实施例中,动作可以并行地发生,以另一次序发生,和/或与此处未呈现和描述的其它动作一起发生。此外,并非所有示出的动作都是实现根据此处所描述的主题的各方面的方法所必需的。另外,本领域的技术人员可以理解和明白,方法可经由状态图或事件替代地被表示为一系列相互关联的状态。
转向图5,在框505处,动作开始。在框507处,接收用户想要与一组一个或多个其他用户共享内容的指示。例如,用户可以打开用户界面并从用户列表和/或用户群中选择该用户想要其能够查看该内容。
在框510处,提供标识该内容的信息。例如,参考图2,数据共享组件211可以经由电子邮件向与客户机220相关联的用户提供到一相册的链接,该电子邮件包括该链接。如上所述,该链接可以编码相册的相册ID和用户的用户ID。这一信息可以如上所述地加密。
在框515处,更新数据结构来表明该用户可以访问该内容。例如,参考图4,可以用表明允许由用户ID John所标识的用户访问具有标识符1的相册的行来更新数据结构400。注意,在某些实施例中,与框515相关联的动作可以在与框510相关联的动作之前或与其并行地发生。
在520处,接收访问内容的请求。例如,参考图3,通信机制340可以从用户接收对一相册的请求。例如,该请求可包括用户ID和相册ID。
在框525处,作出关于该请求是否是来自登录用户的判定。如上所述,用户可以登录或未登录到包括该相册的服务器。在一个实施例中,这可以通过从客户机获得cookie或其它数据结构来确定。
在框530处,如果请求来自登录用户,则动作在框535处继续;否则,动作在图6的框610处继续。
在框535处,取决于用户对发生这一点的期望来将用户添加到数据结构,如在图7中更详细地描述的。
在框540处,取决于该用户和第一用户访问该内容的权限的更多许可性来授予对内容的访问。如上所述,用户可以具有独立于该链接来访问内容的权限。如果情况是这样并且在该链接中授予的权限已被撤消,则用户仍然可以能够访问该内容。如果除该链接之外,用户不具有访问该内容的权限,则该链接授予这些权限,除非其被撤消。
在框545处,动作结束。
转向图6,在框610处,询问用户该用户是否想要提供用户标识。如上所述,该用户可能想要匿名地访问该内容或通过给出该用户的标识来更容易地进行后续访问。
在框615处,如果用户想要提供标识,则动作在框620处继续;否则,动作在框640处继续。
在框620处,获得用户的标识。例如,参考图3,设备305可以经由通信机制340获得用户凭证。
在框625处,取决于用户的响应来将该用户添加到数据结构,如结合图7中更详细地描述的。例如,用户可能在系统上具有帐户。如果是这样,则用户可能想要登录到该帐户,以使该用户稍后可以在不需要该链接的情况下查看该内容。如果用户不具有帐户,则该用户可能需要注册一帐户,以使该用户不必保持各链接来查看该用户已经被给予访问的内容。
在框630处,与在图5的框540处发生的动作相类似,取决于用户和第一用户的权限的更多许可性来向用户授予对该内容的访问。
在框640处,取决于第一用户访问该内容的权限来向用户授予对该内容的访问。只要第一用户的权限未被撤消,则链接将允许用户使用第一用户的权限来访问该内容。
在框645,动作结束。
转向图7,动作在框705处开始。在框610处,出于早先所描述的原因,询问用户该用户是否想要被添加到数据结构中以用于后续访问。
用户想要被添加,则在框715处,动作在框720处继续;否则,动作在框725处继续。
在框720处,将用户添加到数据结构,并且可任选地还可以在数据结构中表明通过哪一使用来添加了该用户。例如,参考图4,Jordan可被添加到数据结构400,带有Jordan经由John的访问添加的指示。
在框725处,动作返回。
虽然以上某些实施例通过向其他用户发送URL来作为允许这些其他用户查看内容的手段,但在其它实施例中,这可以用其它方式来完成。例如,可以经由TCP、UDP、HTTP、对等协议、或某一其它协议来发送加密或部分加密的信息分组(有时称为“票据”)。这可以例如经由电子邮件,在两个用户参与在线聊天会话时,在游戏或其它交互期间等等来完成。该票据可以标识URL能标识的任何事物,包括内容和/或用户身份。接收票据的用户可以使用它来访问与该票据相关联的内容。本领域技术人员将认识到,还可以使用用于共享票据的许多其它机制而不背离此处所描述的主题的各方面的精神或范围。
此外,虽然有所提到使用URL来标识内容的位置,但在其它实施例中,可以使用统一资源标识符(URI)、在文件系统中的位置的标识符、数据库中的索引、全局唯一标识符(GUID)、或用于标识内容的位置的任何其它机制。在其它实施例中,本文中对URL的每一参考应当用对用于标识内容的位置的这些其它机制中的一个或多个的参考来替换。
如从上述详细描述中可以看到,已经描述了关于访问内容的各方面。尽管此处所描述的主题的各方面易于作出各种修改和替换构造,但其某些说明性实施例在附图中示出并在上面被详细地描述。然而,应当理解,并不旨在将所要求保护的主题的各方面限制于所公开的具体形式,而是相反地,目的是要覆盖落入此处所描述的主题的各方面的精神和范围之内的所有修改、替换构造和等效方案。
Claims (20)
1.一种具有计算机可执行指令的计算机可读介质(130、141、152、156、181),所述指令在被执行时执行以下动作:
提供标识内容和第一用户的信息(510);
更新数据结构以表明所述第一用户可以访问所述内容(515);
从第二用户接收所述信息(520);以及
取决于所述第二用户的响应,将该第二用户添加到所述数据结构以表明所述第二用户可以访问所述内容(535)。
2.如权利要求1所述的计算机可读介质,其特征在于,所述信息是加密的。
3.如权利要求1所述的计算机可读介质,其特征在于,所述信息包括进一步标识所述内容所在的服务器的域和路径的链接。
4.如权利要求1所述的计算机可读介质,其特征在于,所述信息经由电子邮件从所述第一用户提供给所述第二用户。
5.如权利要求1所述的计算机可读介质,其特征在于,取决于所述第二用户的响应将所述第二用户添加到所述数据结构包括在所述第二用户指示要完成所述添加的情况下将所述第二用户添加到所述数据结构。
6.如权利要求1所述的计算机可读介质,其特征在于,还包括更新所述数据结构以表明经由所述信息而被添加到所述数据结构的所述第一用户和任何用户不再被允许访问所述内容。
7.如权利要求6所述的计算机可读介质,其特征在于,还包括基于所述数据结构中包括的向所述第二用户授予访问权限的其它信息来允许所述第二用户访问所述内容。
8.如权利要求1所述的计算机可读介质,其特征在于,所述第二用户在不标识所述第二用户的情况下提供所述信息,并且还包括向所述第二用户提供对所述内容的访问。
9.如权利要求1所述的计算机可读介质,其特征在于,所述数据结构包括将对所述内容的访问权限与用户进行关联的访问控制列表。
10.如权利要求1所述的计算机可读介质,其特征在于,还包括跟踪接收到所述信息的次数,并将所述次数提供给所述内容的所有者。
11.如权利要求1所述的计算机可读介质,其特征在于,所述内容包括含有一个或多个图像的相册。
12.一种至少部分地由计算机实现的方法,所述方法包括:
接收用户想要与一个或多个其他用户的组共享内容的指示(507);
更新将标识符与对所述内容的访问权限进行关联的数据结构(515);
向所述一个或多个用户提供一个或多个链接(510),所述链接中的至少一个包括标识所述内容的信息;
结合访问所述内容的请求来接收所述信息(520);以及
访问所述数据结构以确定与所述信息相关联的用户是否具有对所述内容的访问权限(540)。
13.如权利要求12所述的方法,其特征在于,还包括访问所述数据结构以确定所述请求的发送者是否具有访问所述内容的权限,并且如果是,则即使与所述信息相关联的用户不具有对所述内容的访问权限也提供对所述内容的访问。
14.如权利要求12所述的方法,其特征在于,还包括撤消经由所述链接中的一个或多个所获得的对所述内容的访问权限。
15.如权利要求12所述的方法,其特征在于,向所述一个或多个用户提供一个或多个链接包括向所述一个或多个用户中的每一个发送电子邮件,所述电子邮件中的至少一个包括标识向其发送该电子邮件的用户的信息。
16.如权利要求12所述的方法,其特征在于,所述内容包括文本、超链接、多媒体内容、文件、以及数据结构中的一个或多个。
17.如权利要求12所述的方法,其特征在于,访问所述数据结构以确定与所述信息相关联的用户是否具有对所述内容的访问权限包括确定所述用户是否包括在所述一个或多个用户的组中。
18.一种在计算环境中的装置,包括:
能够存储标识符和访问权限的存储(335),所述标识符标识一个或多个用户,每一标识符与至少一个访问权限相关联,所述访问权限表明授予与每一访问权限所关联的标识符相关联的用户的权限;
可用于至少部分地基于结合对内容的请求接收到的信息来确定是否要向请求者授予对所述内容的访问的许可组件(315),所述信息包括用户标识符和内容标识符;以及
可用于至少部分地基于授予对其访问的内容来创建一页面以供显示的页面构建器(320)。
19.如权利要求18所述的装置,其特征在于,所述许可组件还可用于至少部分地基于授予登录用户的访问权限来确定是否要向所述请求者授予对内容的访问。
20.如权利要求18所述的装置,其特征在于,还包括可用于接收对基于所述信息而授予的访问权限的撤消的撤消组件,所述撤消组件还可用于响应于所述撤消来修改所述存储中的访问权限。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/762,885 US7984512B2 (en) | 2007-06-14 | 2007-06-14 | Integrating security by obscurity with access control lists |
US11/762,885 | 2007-06-14 | ||
PCT/US2008/064956 WO2008156975A1 (en) | 2007-06-14 | 2008-05-28 | Integrating security by obscurity with access control lists |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101681492A true CN101681492A (zh) | 2010-03-24 |
CN101681492B CN101681492B (zh) | 2013-10-30 |
Family
ID=40133600
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008800192292A Active CN101681492B (zh) | 2007-06-14 | 2008-05-28 | 通过具有访问控制列表的模糊性来集成安全 |
Country Status (4)
Country | Link |
---|---|
US (2) | US7984512B2 (zh) |
EP (1) | EP2156402B1 (zh) |
CN (1) | CN101681492B (zh) |
WO (1) | WO2008156975A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104335222A (zh) * | 2012-04-02 | 2015-02-04 | Varonis系统公司 | 用于请求访问文件的方法和装置 |
CN107851279A (zh) * | 2015-05-19 | 2018-03-27 | 电子湾有限公司 | 智能发布列表引擎 |
CN113302645A (zh) * | 2018-11-13 | 2021-08-24 | 班克公司 | 定义和管理分布式账本信托网络中的表单 |
CN114375564A (zh) * | 2019-09-11 | 2022-04-19 | 微软技术许可有限责任公司 | 验证和提供可访问的电子消息 |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7984512B2 (en) * | 2007-06-14 | 2011-07-19 | Microsoft Corporation | Integrating security by obscurity with access control lists |
US8387153B2 (en) * | 2008-01-23 | 2013-02-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Communication arrangement |
US20090199277A1 (en) * | 2008-01-31 | 2009-08-06 | Norman James M | Credential arrangement in single-sign-on environment |
US9325716B2 (en) * | 2008-12-30 | 2016-04-26 | Nokia Technologies Oy | Method, apparatus and computer program for enabling access to remotely stored content |
US8839457B2 (en) | 2010-04-12 | 2014-09-16 | Google Inc. | Image storage in electronic documents |
US8806190B1 (en) | 2010-04-19 | 2014-08-12 | Amaani Munshi | Method of transmission of encrypted documents from an email application |
US9449007B1 (en) * | 2010-06-29 | 2016-09-20 | Emc Corporation | Controlling access to XAM metadata |
US8601549B2 (en) * | 2010-06-29 | 2013-12-03 | Mckesson Financial Holdings | Controlling access to a resource using an attribute based access control list |
US9241000B2 (en) * | 2010-09-22 | 2016-01-19 | Abdullah Celik Erdal | Trusted social network |
US9477838B2 (en) | 2012-12-20 | 2016-10-25 | Bank Of America Corporation | Reconciliation of access rights in a computing system |
US9489390B2 (en) | 2012-12-20 | 2016-11-08 | Bank Of America Corporation | Reconciling access rights at IAM system implementing IAM data model |
US9639594B2 (en) | 2012-12-20 | 2017-05-02 | Bank Of America Corporation | Common data model for identity access management data |
US9542433B2 (en) | 2012-12-20 | 2017-01-10 | Bank Of America Corporation | Quality assurance checks of access rights in a computing system |
US9529629B2 (en) | 2012-12-20 | 2016-12-27 | Bank Of America Corporation | Computing resource inventory system |
US9495380B2 (en) | 2012-12-20 | 2016-11-15 | Bank Of America Corporation | Access reviews at IAM system implementing IAM data model |
US9483488B2 (en) | 2012-12-20 | 2016-11-01 | Bank Of America Corporation | Verifying separation-of-duties at IAM system implementing IAM data model |
US9189644B2 (en) | 2012-12-20 | 2015-11-17 | Bank Of America Corporation | Access requests at IAM system implementing IAM data model |
US9537892B2 (en) | 2012-12-20 | 2017-01-03 | Bank Of America Corporation | Facilitating separation-of-duties when provisioning access rights in a computing system |
US9659179B1 (en) * | 2012-12-28 | 2017-05-23 | Google Inc. | Access control |
US10303778B2 (en) | 2013-01-28 | 2019-05-28 | Virtual Strongbox, Inc. | Virtual storage system and method of sharing electronic documents within the virtual storage system |
US10990688B2 (en) * | 2013-01-28 | 2021-04-27 | Virtual Strongbox, Inc. | Virtual storage system and method of sharing electronic documents within the virtual storage system |
CN111918204A (zh) * | 2014-10-03 | 2020-11-10 | 交互数字专利控股公司 | 用于限制直接发现的方法 |
EP3262525A4 (en) * | 2015-02-24 | 2019-03-06 | Brightsquid Dental Ltd. | SYSTEM AND METHOD FOR ENABLING A DATA STORAGE AND RECYCLING SYSTEM WITH MULTIPLE PLACES |
US9384337B1 (en) | 2015-04-27 | 2016-07-05 | Microsoft Technology Licensing, Llc | Item sharing based on information boundary and access control list settings |
CN105446901A (zh) * | 2015-12-28 | 2016-03-30 | 青岛海信移动通信技术股份有限公司 | 多用户终端数据处理方法和装置 |
US10769731B2 (en) * | 2016-01-26 | 2020-09-08 | Facebook, Inc. | Adding paid links to media captions in a social networking system |
US10972380B2 (en) * | 2016-04-05 | 2021-04-06 | Versa Networks, Inc. | Method for configuring a connection using redundant service nodes |
CN107943876B (zh) * | 2017-11-14 | 2022-01-07 | 北京思特奇信息技术股份有限公司 | 一种页面响应方法和系统 |
US20200125752A1 (en) * | 2018-10-19 | 2020-04-23 | Intralinks, Inc. | Method and system for anonymous information rights management to allow tracking of downloaded documents without authentication |
CN109525652B (zh) * | 2018-10-31 | 2021-07-23 | 北京小米移动软件有限公司 | 信息分享方法、装置、设备和存储介质 |
US11606362B2 (en) * | 2020-05-27 | 2023-03-14 | Microsoft Technology Licensing, Llc | Privacy-preserving composite views of computer resources in communication groups |
US11438329B2 (en) * | 2021-01-29 | 2022-09-06 | Capital One Services, Llc | Systems and methods for authenticated peer-to-peer data transfer using resource locators |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060095779A9 (en) * | 2001-08-06 | 2006-05-04 | Shivaram Bhat | Uniform resource locator access management and control system and method |
US20060224735A1 (en) * | 2005-03-31 | 2006-10-05 | International Business Machines Corporation | Access validation and management of access permissions to referenced shared resources in a networked environment |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6457130B2 (en) * | 1998-03-03 | 2002-09-24 | Network Appliance, Inc. | File access control in a multi-protocol file server |
JP3857409B2 (ja) * | 1998-03-17 | 2006-12-13 | 富士通株式会社 | 分散処理システム、分散処理方法及び分散処理プログラムを記録したコンピュータ読み取り可能な記録媒体 |
US6279111B1 (en) * | 1998-06-12 | 2001-08-21 | Microsoft Corporation | Security model using restricted tokens |
US6981217B1 (en) * | 1998-12-08 | 2005-12-27 | Inceptor, Inc. | System and method of obfuscating data |
US6978381B1 (en) * | 1999-10-26 | 2005-12-20 | International Business Machines Corporation | Enhancement to a system for automated generation of file access control system commands |
KR100329545B1 (ko) * | 2000-04-21 | 2002-04-01 | 김태주 | 유해사이트의 접속차단 서비스 제공장치 및 방법 |
AU2000278025A1 (en) | 2000-08-21 | 2001-06-25 | Authoriszor Limited | System and method for managing pseudo uniform resource locators in a security system |
US7085736B2 (en) * | 2001-02-27 | 2006-08-01 | Alexa Internet | Rules-based identification of items represented on web pages |
US7007025B1 (en) * | 2001-06-08 | 2006-02-28 | Xsides Corporation | Method and system for maintaining secure data input and output |
DE60301726T2 (de) * | 2002-02-07 | 2006-07-13 | Qualcomm Cambridge Limited | Verfahren und vorrichtung zur bereitstellung von inhalt für ein mobiles endgerät |
US20040010710A1 (en) * | 2002-07-10 | 2004-01-15 | Wen-Hao Hsu | Method and system for filtering requests to a web site |
US20040068521A1 (en) * | 2002-10-04 | 2004-04-08 | Haacke E. Mark | Individual and user group webware for information sharing over a network among a plurality of users |
US7136945B2 (en) * | 2003-03-31 | 2006-11-14 | Sony Corporation | Method and apparatus for extending protected content access with peer to peer applications |
US7490133B1 (en) * | 2003-06-18 | 2009-02-10 | Microsoft Corporation | Context-sensitive content level semantic information propagation system and method |
GB2403099B (en) * | 2003-06-20 | 2007-01-24 | Hewlett Packard Development Co | Sharing image items |
US7567987B2 (en) * | 2003-10-24 | 2009-07-28 | Microsoft Corporation | File sharing in P2P group shared spaces |
US7379930B2 (en) * | 2004-02-25 | 2008-05-27 | Ricoh Company, Ltd. | Confidential communications executing multifunctional product |
US8234374B2 (en) * | 2004-04-26 | 2012-07-31 | Microsoft Corporation | Privacy model that grants access rights and provides security to shared content |
US7606821B2 (en) * | 2004-06-30 | 2009-10-20 | Ebay Inc. | Method and system for preventing fraudulent activities |
US7254837B2 (en) * | 2004-07-13 | 2007-08-07 | Fields Daniel M | Apparatus and method for storing and distributing encrypted digital content |
US9697373B2 (en) * | 2004-11-05 | 2017-07-04 | International Business Machines Corporation | Facilitating ownership of access control lists by users or groups |
US20060106802A1 (en) * | 2004-11-18 | 2006-05-18 | International Business Machines Corporation | Stateless methods for resource hiding and access control support based on URI encryption |
US20060122936A1 (en) * | 2004-12-06 | 2006-06-08 | Dirk Balfanz | System and method for secure publication of online content |
US7323999B2 (en) * | 2005-03-11 | 2008-01-29 | International Business Machines Corporation | Automatic subscriptions to shared repositories with notifications reflecting accesses by important other users and keywords stored in a personal interest profile |
US20060235897A1 (en) * | 2005-04-15 | 2006-10-19 | O'hara Charles G | Mapping information technology system architecture |
US7904557B1 (en) * | 2007-03-26 | 2011-03-08 | Emc Corporation | Granting access to a content unit stored on an object addressable storage system |
US7984512B2 (en) * | 2007-06-14 | 2011-07-19 | Microsoft Corporation | Integrating security by obscurity with access control lists |
-
2007
- 2007-06-14 US US11/762,885 patent/US7984512B2/en active Active
-
2008
- 2008-05-28 EP EP08756353.2A patent/EP2156402B1/en active Active
- 2008-05-28 WO PCT/US2008/064956 patent/WO2008156975A1/en active Application Filing
- 2008-05-28 CN CN2008800192292A patent/CN101681492B/zh active Active
-
2011
- 2011-06-10 US US13/158,273 patent/US8424105B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060095779A9 (en) * | 2001-08-06 | 2006-05-04 | Shivaram Bhat | Uniform resource locator access management and control system and method |
US20060224735A1 (en) * | 2005-03-31 | 2006-10-05 | International Business Machines Corporation | Access validation and management of access permissions to referenced shared resources in a networked environment |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104335222A (zh) * | 2012-04-02 | 2015-02-04 | Varonis系统公司 | 用于请求访问文件的方法和装置 |
CN107851279A (zh) * | 2015-05-19 | 2018-03-27 | 电子湾有限公司 | 智能发布列表引擎 |
CN113302645A (zh) * | 2018-11-13 | 2021-08-24 | 班克公司 | 定义和管理分布式账本信托网络中的表单 |
CN114375564A (zh) * | 2019-09-11 | 2022-04-19 | 微软技术许可有限责任公司 | 验证和提供可访问的电子消息 |
Also Published As
Publication number | Publication date |
---|---|
CN101681492B (zh) | 2013-10-30 |
EP2156402B1 (en) | 2018-11-14 |
US7984512B2 (en) | 2011-07-19 |
EP2156402A4 (en) | 2012-09-19 |
US20080313703A1 (en) | 2008-12-18 |
US8424105B2 (en) | 2013-04-16 |
EP2156402A1 (en) | 2010-02-24 |
WO2008156975A1 (en) | 2008-12-24 |
US20110247083A1 (en) | 2011-10-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101681492B (zh) | 通过具有访问控制列表的模糊性来集成安全 | |
US10819782B2 (en) | Personal digital server (PDS) | |
JP6961818B2 (ja) | データ共有方法、クライアント、サーバ、コンピューティングデバイス、及び記憶媒体 | |
EP2756444B1 (en) | Resource access authorization | |
US8997246B2 (en) | System and/or method for authentication and/or authorization via a network | |
US20070220016A1 (en) | Secured content syndication on a collaborative place | |
US20150310188A1 (en) | Systems and methods of secure data exchange | |
US20080154774A1 (en) | Systems and methods for managing access to real estate content | |
WO2007039865A2 (en) | System and/or method for authentication and/or authorization | |
US20130246384A1 (en) | Providing access to documents in an online document sharing community | |
US20100010998A1 (en) | Document storage access on a time-based approval basis | |
CN1943204A (zh) | 通信系统中数据的控制使用 | |
CN102246170A (zh) | 协作书签 | |
KR20080011165A (ko) | 여러 애플리케이션 간의 네트워크 id를 위한 장치 및방법 | |
Kirkham et al. | The personal data store approach to personal data security | |
US20200387583A1 (en) | Method of Selective Online Dissemination of Digital Assets | |
US11586760B2 (en) | System and method for associating multiple logins to a single record in a database | |
Roscheisen | A Network-centric design for relationship-based rights management | |
US20230115858A1 (en) | Method of Selective Online Dissemination of Digital Assets | |
IE20210161U1 (en) | Method And System For Verifying The Authenticity Of Content Associated With An Entity | |
Czenko et al. | Trust in virtual communities | |
TUD et al. | Requirements and concepts for privacy-enhancing access control in social networks and collaborative workspaces |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150506 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20150506 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |