WO2008122185A1 - Procede et appareil de gestion de permission d'acces a une memoire reseau et procede de controle d'acces a une memoire reseau - Google Patents

Description

说明书 网络存储访问权限管理方法及装置、 网络存储访问控制方法 技术领域

[1] 本发明涉及通信领域， 尤其涉及网络存储访问权限管理技术。

背景技术

OMA) 是制定移动通信系统标准的国际组织， 其提出了包括无线一键通 （Push

SIP) 的消息业务的规范。 该规范通过部署在网络侧的 OMA消息系统来实现对消 息业务的存储功能。 所述 OMA消息系统的架构如图 1所示， 包括： 消息内容存储 器、 消息元数据服务器、 消息服务器， 以及聚合代理、 搜索代理和核心网。 所 述消息元数据服务器包括网络存储权限访问控制器和消息业务元数据文件管理

[3] 所述消息内容存储器用于负责管理存储用户使用消息业务过程中实际收发的消 息业务的消息文件， 所述消息业务包括： 消息、 会话历史以及其中可能包含的 多媒体数据等历史通信数据。

[4] 所述消息元数据服务器， 用于负责用户消息业务的配置信息和描述用户消息业 务的元数据信息的存储和管理。 所述用户消息业务的配置信息包括： 消息业务 设置信息， 如联系列表、 预定义群组、 用户访问策略等； 所述描述的元数据信 息包括： 描述的离线消息和会话历史通信数据的元数据等， 这些元数据一般通 过消息业务元数据文件等媒体文件存储。

[5] 所述消息元数据服务器中的消息业务元数据文件管理器， 用于负责管理其内的 消息业务元数据文件等媒体文件， 所述消息业务元数据文件中存储着配置信息 和消息业务的元数据信息等。

[6] 所述消息元数据服务器中的网络存储权限访问控制器， 用于根据所述消息业务 元数据文件管理器中管理的媒体文件中的数据进行访问权限的控制。

[7] 所述消息服务器用于负责消息业务逻辑控制， 即控制所述消息内容存储器存储 和管理消息业务， 控制消息元数据服务器存储和管理用户消息业务的配置信息

[8] 所述聚合代理， 是网络中为用户提供访问消息元数据的代理， 主要执行对拥有 管理消息元数据的权限的授权客户端的鉴权， 以及路由网络存储访问请求至适 当的网络实体， 譬如消息元数据服务器、 搜索代理。

[9] 所述搜索代理， 用于接收客户端经聚合代理转发来的消息元数据査询请求， 并 将该请求发送至适当的消息元数据存储实体， 譬如消息元数据服务器。 还用于 将接收到査询响应中的搜索结果进行整合， 并经聚合代理返回至用户客户端。

[10] 当客户端访问所记录的消息业务吋， 首先通过所述聚合代理访问消息元数据服 务器中记录的消息业务的元数据信息； 然后根据所述元数据信息， 经核心网与 所述消息服务器交互， 访问消息内容存储器中的消息业务内容。

[11] 目前， 消息元数据服务器在记录用户消息业务的元数据信息吋， 通常按照应用 语义对同一用户的所有元数据信息进行分类， 将同一应用语义下的元数据归为 一类， 然后按照扩展标签语言文件目录 (Extensible Markup Language Documents Directory, XML Documents

Directory) 元数据文件中的目录结构来组织该用户的消息业务的所有元数据信息 。 其逻辑结构如图 2所示， 可以看出， 其包括： cap-directory^ 节点、 所述根 节点下的子节点<&10^1 、 所述子节点 <1^>010^1 下的<6^^>子节点。

其中所述^^叩- ！"^^)!^〉根节点代表某用户的所有消息业务对应的元数据信息 的根目录； 其下的每个子节点 _<folder>， 分别对应所述用户在同一应用语义 （Ap

AUID) 下的某类特定消息业务的所有元数据信息； 所述 <^^7>子节点则指向某 个具体的消息业务元数据文件， 如图中列举的 'deferred-list'、 'cpm-rules'、 'history- list'和' index'四类消息业务元数据文件。

当组织好某个用户所拥有的所有元数据信息后， 将所述 XML文件目录存储到为 所述用户预留的存储空间中， 以便所述网络存储拥有用户根据网络存储的元数 据信息访问相应的网络存储， 包括网络存储元数据和 /或网络存储消息业务。

[14] 本发明的发明人发现， 现有的消息系统中， 网络存储拥有用户只能根据自己所 拥有的 XML文件目录中的元数据信息访问自己的网络存储， 还不允许其它用户 访问自己的网络存储。

对发明的公开

技术解决方案

[15] 本发明的实施例提供一种网络存储访问权限管理方法、 网络存储访问控制方法 及网络存储访问权限管理装置， 能够允许其它用户访问网络存储拥有用户的网 络存储。 为描述方便， 本发明的实施例中将网络存储拥有用户称为授权用户， 将能够访问所述网络存储拥有用户的网络存储的用户称为被授权用户。

[16] 本发明的实施例通过如下技术方案实现：

[17] 本发明的实施例提供了一种网络存储访问权限管理方法， 其包括：

[18] 获得授权用户的网络存储访问权限操作请求， 所述请求中携带授权用户请求操 作的存储访问权限信息；

[19] 根据授权用户请求操作的存储访问权限信息， 在授权用户的网络存储访问权限 元数据中， 操作授权用户为被授权用户设置的网络存储目录或网络存储文件的 存储访问权限。

[20] 本发明的实施例还提供了一种网络存储访问控制方法， 其包括：

[21] 获得被授权用户针对授权用户网络存储的访问请求；

[22] 根据授权用户网络存储访问权限元数据中与所述被授权用户对应的存储访问权 限信息， 将授权用户网络存储元数据文件中被授权用户具有访问权限的元数据 提供给所述被授权用户。

[23] 本发明的实施例还提供了一种网络存储访问权限管理装置， 其包括网络存储权 限访问控制器和消息业务元数据文件管理器。

[24] 所述网络存储权限访问控制器， 用于获得授权用户的网络存储访问权限操作请 求， 所述请求中携带授权用户请求操作的存储访问权限信息； 根据所述消息业 务元数据文件管理器中的存储访问权限信息， 对所述授权用户的网络存储访问 权限操作请求， 进行合法性验证； [25] 所述消息业务元数据文件管理器， 用于根据所述网络存储权限访问控制器通过 验证的网络存储访问权限操作请求， 在授权用户的网络存储访问权限元数据中 ， 根据所述授权用户请求操作的存储访问权限信息， 操作授权用户为被授权用 户设置的网络存储目录或网络存储文件的存储访问权限。

[26] 本发明实施例还提供了另一种网络存储访问权限管理装置， 其包括网络存储权 限访问控制器和消息业务元数据文件管理器。

[27] 所述网络存储权限访问控制器， 用于获得被授权用户针对授权用户网络存储的 访问请求； 根据所述消息业务元数据文件管理器中与所述授权用户对应的网络 存储访问权限元数据中的与所述被授权用户对应的存储访问权限信息， 对所述 被授权用户的访问请求进行合法性验证； 对通过验证的访问请求， 向所述消息 业务元数据文件管理器请求所述被授权用户具有访问权限的元数据， 并将所述 消息业务元数据文件管理器反馈的元数据提供给所述被授权用户；

[28] 所述消息业务元数据文件管理器， 用于将与所述授权用户对应的网络存储访问 权限元数据中的与所述被授权用户对应的存储访问权限信息， 反馈给所述网络 存储权限访问控制器。

有益效果

[29] 实施本发明， 具有如下有益效果：

[30] 通过实施本发明的实施例， 在与所述授权用户对应的授权用户网络存储访问权 限元数据中， 根据授权用户请求操作的存储访问权限信息， 操作授权用户为被 授权用户设置的网络存储目录或网络存储文件的存储访问权限， 从而允许被授 权用户访问授权用户的网络存储。

附图说明

[31] 图 1为背景技术提供的 OMA消息系统的架构图；

[32] 图 2为背景技术提供的 XML文件目录元数据文件中的目录结构的逻辑结构图； [33] 图 3为本发明第一实施例提供的 XML文件目录元数据文件的目录结构的逻辑结 构图；

[34] 图 4为本发明第一实施例提供的流程图；

[35] 图 5为本发明第一实施例提供的存储授权策略应用语义的消息业务元数据的目 录结构的逻辑结构图；

[36] 图 6为本发明第一实施例提供的用户访问策略应用语义的用户访问控制信息的 目录结构的逻辑结构图；

[37] 图 ₇为本发明第一实施例中， 基于存储授权策略方案， 实现授予、 更改和撤回 网络存储访问权限的流程图；

[38] 图 8为本发明第一实施例中， 第一种通知变化的网络存储访问权限方案的流程

[39] 图 9为本发明第一实施例中， 第二种通知变化的网络存储访问权限方案的流程

[40] 图 10为本发明第一实施例中， 第三种通知变化的网络存储访问权限方案的流程 图；

[41] 图^为本发明第一实施例中， 第四种通知变化的网络存储访问权限方案的流程 图；

[42] 图 12为本发明第二实施例中提供的流程图；

[43] 图 13为本发明第二实施例中授权用户对网络存储元数据访问请求的合法性进行 鉴定的流程图；

[44] 图 14为对拥有'读 /写'权限的被授权用户的访问， 进行控制的流程图；

[45] 图 15为本发明第三实施例提供的结构原理图；

[46] 图 16为本发明第四实施例提供的结构原理图。

本发明的实施方式

[47] 本发明的第一实施例提供了一种网络存储访问权限管理方法， 在实施所述第一 实施例吋， 需要按照消息业务的属性， 对某一用户的同一应用语义下的消息业 务的元数据信息进行分类； 为每个类别的元数据建立网络存储目录； 并建立所 述网络存储目录与存储所述元数据的网络存储元数据文件 （可以是媒体文件） 之间的关联关系， 这样， 相比现有技术的按照应用语义将某个用户的所有消息 业务的元数据信息进行分类的消息系统， 可以解决其无法分级组织某个应用语 义下的元数据的问题。

[48] 所述消息业务的属性， 包括同一应用下消息业务的主题属性 （gP'subject'属性） 、 消息业务执行吋间属性 （即 'date'属性） 等。 按照所述消息业务的属性， 将同 一用户同一应用语义下的所有消息业务的元数据进行分类， 将属性相同的消息 业务的元数据归到一类中， 得到不同类别的元数据； 为每个类别的元数据建立 网络存储目录， 并建立所述网络存储目录与存储所述元数据的网络存储元数据 文件之间的关联关系。 还可以将每个类别的元数据进一步细分， 得到所述类别 的下一级元数据， 并为其建立下一级网络存储目录。

[49] 可以按照 'XML文件目录'元数据文件中定义的网络存储目录结构来组织该用户 的消息业务的所有元数据信息， 其逻辑结构如图 3所示： 可以看出， 其包括： <x cap-directory>根节点、 所述根节点下的<&10^1 子节点、 所述根节点下的<1^>010^1 子节点下的 <&1 1 子节点、 <¾1«17>子节点， 需要说明的是， 结构中各子节点对 应各元素， 如<&10^>子节点对应 <folder>元素。

[50] 其中所述^^叩- ！"^^)!^〉根节点代表某用户的所有消息业务对应的元数据信息 的根目录； 其下的 <folde_r>子节点代表同一应用语义下不同消息业务属性对应的 元数据的网络存储目录； 所述根节点下的<&1 1 子节点下的 <&1^1 子节点代 表按照消息业务的属性， 对其上一级的 <folde_r>子节点所代表的元数据的网络存 储目录对应的元数据更细分后， 得到的元数据对应的网络存储目录； <^1^>节 点代表具体存储所述元数据的网络存储元数据文件。

[51] 其中， 每一个 <folder>子节点携带唯一标识 'id'和网络存储目录的属性信息， 如 's ubject'属性信息。 每一个 <folde_r>子节点下代表具体存储所述元数据的文件的<¾1« ^>子节点也携带唯一标识 'id'属性， 还可以携带 URI属性， 用于指向具体的消息 业务元数据文件。

为描述方便， 本实施例中将存储具体元数据的网络存储元数据文件 （也称为媒 体文件） 和存储消息业务内容的消息文件， 统称为网络存储文件。

[53] 为了允许其它被授权用户访问授权用户所拥有的网络存储， 每个授权用户可以 在消息元数据服务器中， 为自己的网络存储目录或网络存储元数据文件所对应 的元数据的网络存储权限进行管理， 从而控制其它被授权用户的访问权限。 本 发明第一实施例的具体实施过程如图 4所示， 包括：

[54] 步骤 S101 , 请求用户发送网络存储访问权限操作请求， 所述请求中携带授权用 户请求操作的被授权用户的存储访问权限信息；

[55] 其中， 所述授权用户请求操作的被授权用户的存储访问权限信息包括：

[56] 授权用户的身份标识， 至少一个被授予访问权限的被授权用户的身份标识和所 述存储访问权限信息涉及的网络存储目录或网络存储文件相关信息。 其中所述 网络存储目录或网络存储文件的相关信息可以是所述网络存储目录或网络存储 文件的标识；

[57] 或者， 授权用户的身份标识， 所述授权用户请求操作的被授权用户的存储访问 权限信息包括至少一个不能被授予访问权限的访问用户的身份标识和所述存储 访问权限信息涉及的网络存储目录或网络存储文件相关信息。 其中所述网络存 储目录或网络存储文件的相关信息可以是所述网络存储目录或网络存储文件的 标识。

[58] 所述至少一个被授予访问权限的被授权用户的身份标识， 以及所述至少一个不 能被授予访问权限的访问用户的身份标识， 分别对应白名单用户列表和黑名单 用户列表， 可以分别或同吋通过存储的用户列表携带。 本实施例中仅以所述授 权用户请求操作的被授权用户的存储访问权限信息包括至少一个被授予访问权 限的被授权用户的身份标识为例进行说明， 但不仅限于此。

[59] 另外， 所述授权用户请求操作的被授权用户的存储访问权限信息还可以包括如 下信息中的至少一个： 访问权限类别， 权限过期吋间， 权限授予吋间等。

[60] 所述访问权限类别包括： 所述网络存储文件或网络存储目录的访问权限， 所述 网络存储文件或网络存储目录的访问权限的继承属性， 所述网络存储文件或网 络存储目录的访问权限的锁属性等。

[61] 所述网络存储文件或网络存储目录的访问权限可以包括完全控制 （Full

Content) 、 读取 （Read) 、 写入 （Write) ， 以及所述网络存储文件或网络存储 目录的访问权限的优先级别。

所述完全控制， 表示权限只能由授权用户拥有， 即只能由授权用户操作 （授予 、 更改、 撤回） 文件和目录的权限；

请求用户访问请求中所需的文件或目录访问权限的优先级别必须低于或等于请 求用户所拥有的该文件或目录权限优先级别； 请求用户同一文件或目录的高优 先级权限将覆盖低优先级权限。

[64] 所述权限的继承属性， 将影响文件和目录权限， 如果对目录设置该继承权限后

， 表示在该目录中创建的新文件和子文件夹默认将继承这些权限。

[65] 所述权限的锁属性， 将影响文件或目录权限是否允许请求用户査看， 如果对文 件或目录某个权限的 '锁'属性设置为真， 表示文件或目录的该权限信息禁止请求 用户査看。

[66] 步骤 S102a~b， 聚合代理和授权用户， 根据所述请求中携带的请求用户的身份 标识进行双向鉴定。 鉴定通过后， 获取经鉴定可信任的请求用户的身份标识。 聚合代理将施加本地安全策略， 譬如利用超文本传输协议 （Hypertext Transfer Protocol, HTTP) 数字摘要 (HTTP

Digest) 对接收到的初始请求发出质询， 并根据授权用户的反馈， 或者返回未授 权 （Unauthorized) 失败响应， 或者鉴定通过后， 获取经鉴定可信任的请求用户 的身份标识。

[68] 步骤 S103 , 聚合代理转发网络存储访问权限操作请求， 给消息元数据服务器， 所述请求中携带请求用户请求操作的被授权用户的存储访问权限信息。 其中所 述授权用户请求操作的被授权用户的存储访问权限信息包括： 经过鉴定后的所 述请求用户的身份标识， 所述存储访问权限中涉及到的网络存储目录或网络存 储文件的相关信息， 如网络存储目录或网络存储文件的标识 ID; 以及， 被授权 用户的身份标识。

[69] 步骤 S104, 所述网络存储访问权限操作请求到达消息元数据服务器后， 所述消 息元数据服务器通过其中的网络存储访问权限控制器， 根据请求中携带的网络 存储目录或网络存储文件的相关信息对应的资源访问路径上的授权用户身份标 识， 以及请求用户身份标识， 判断请求用户是否为授权用户， 若不是， 则拒绝 该请求； 若是， 则认为其是合法请求用户， 接收其网络存储权限操作请求。

[70] 该步骤中， 网络存储访问权限控制器判断请求用户是否为授权用户吋， 比较请 求用户身份标识与请求中携带的网络存储目录或网络存储文件的相关信息对应 的资源访问路径上的授权用户身份标识是否一致， 若一致， 则认为请求用户是 授权用户， 为合法用户； 若不一致， 则认为请求用户不是授权用户， 为非合法 用户。

步骤 S105 , 所述网络存储访问权限控制器将所述网络存储访问权限操作请求发 送到消息元数据服务器中的消息业务元数据文件管理器。 所述请求中携带请求 用户请求操作的所述请求用户的存储访问权限信息。 其中， 所述请求用户请求 操作的所述请求用户的存储访问权限信息中包括： 请求用户的身份标识， 所述 访问权限中涉及到的网络存储目录或网络存储文件标识， 被授权用户的身份标

[72] 步骤 S106 , 所述消息业务元数据文件管理器接收到所述网络存储访问权限操作 请求后， 根据所述请求用户的身份标识， 以及网络存储元数据目录或网络存储 文件的相关信息， 査找对应于请求用户身份标识的消息业务网络存储访问权限 管理元数据文件；

[73] 在所述网络存储访问权限管理元数据文件中， 根据所述请求用户请求中携带的 请求操作的所述请求用户的存储访问权限信息， 操作与所述被授权用户标识对 应的存储访问权限元数据。 具体实现吋， 可以釆用两种方法来实现， 如下：

[74] 第一种方法为基于存储授权策略的操作方法： 该方法通过本发明实施例的 '存储 授权策略' (Storage Authorization

Policy) 应用语义的消息业务元数据， 实现授权用户对其网络存储权限的管理， 如权限的授予、 更改和撤回。 所述消息业务元数据包括一些访问控制信息和存 储访问权限信息。 其中， 所述访问控制信息包括： 请求用户的身份标识， 以及 网络存储访问权限中涉及到的消息业务元数据标识等。 所述存储访问权限信息 中的信息如步骤 S101中所列， 包括： 访问权限类别、 权限授予吋间、 权限过期 吋间等。

[75] 所述存储授权策略应用语义的消息业务元数据， 可以釆用如图 5所示的目录结 构存储， 称作存储授权策略元数据文件。

[76] 图 5中， <_aUthori_zati_on>元素代表授权用户网络存储目录或网络存储文件的存储 授权策略， 并为它赋予一个与该网络存储目录或网络存储文件相关联的授权用 户全局唯一的标识 'ID'； 所述 <authorization>元素下的<principal>子元素， 代表所 述存储授权策略<&^01^^₀1 >中创建的一个与被授权用户对应的存储访问权限 元数据， 所述存储访问权限元数据 <pri_nCipal>元素包括： 被授予请求用户 B的标 识' URI'， 访问权限类另 1』<&(^₈₈>子元素， 权限授予吋间 _<(1^>子元素， 权限过期 吋间 <expiry>子元素等。

[77] 基于上述定义的存储授权策略元数据文件结构， 操作所述请求用户标识对应的 存储访问权限元数据吋， 根据所述请求用户请求中携带的请求操作的所述请求 用户的存储访问权限信息， 在对应于授权用户身份标识的存储授权策略元数据 文件中创建与所述被授权用户标识对应的存储访问权限信息； 或者， 根据所述 请求用户请求中携带的请求操作的所述请求用户的存储访问权限信息， 在对应 于授权用户身份标识的存储授权策略的元数据文件中更新与所述被授权用户标 识对应的存储访问权限信息； 或者， 根据所述请求用户请求中携带的请求操作 的所述请求用户的存储访问权限信息， 在对应于授权用户身份标识的存储授权 策略的元数据文件中删除与所述被授权用户标识对应的存储访问权限信息。

[78] 第二种方法为基于'用户访问策略'的操作方法， 该方法将访问控制信息和存储 访问权限信息相分离， 利用已被 OMA标准釆纳的用户访问策略 （User Access Policy) 应用语义元数据定义用户网络存储访问控制规则， 实现基于授权用户自 定义规则的网络存储访问控制； 具体的存储访问权限信息则存储在与网络存储 访问控制规则相关联的授权用户网络存储目录或网络存储文件元数据文件之中

[79] 图 6为上述用户访问策略元数据文件结构定义逻辑视图， 其中釆用_<1^^_>元素定 义用户访问控制信息， 或者施用于 XML文件目录元数据中一个<&1^1 元素所代 表的整个网络存储目录的访问控制信息， 或者仅针对一个<^₁«_17>元素代表的某 网络存储目录中存储的消息、 会话历史、 多媒体数据文件的访问控制信息， 本 发明实施例根据授权用户请求的具体实现问题， 通过比较<11^_>元素与 <folde_r> 、 <^¾7>元素在各自唯一标识' id'属性之间关系来判断访问控制信息在<&1^1 元 素还是 <entry> 素中。 进一步， 还可以 <rule>元素定 <conditions> <actions >元素， 分别对应<&10^>元素或 <6 ^>元素的访问条件和访问动作。

[80] 基于用户访问策略元数据文件， 操作所述请求用户标识对应的存储访问权限元 数据吋， 在对应于授权用户身份标识的用户访问策略元数据文件中创建与所述 被授权用户标识对应的网络存储访问控制规则， 以及根据所述请求中携带的请 求操作的存储访问权限信息， 在与网络存储访问控制规则相关联的授权用户网 络存储目录或网络存储文件元数据文件中创建与所述被授权用户标识对应的存 储访问权限信息； 或者， 根据所述请求中携带的请求操作的存储访问权限信息 ， 在与网络存储访问控制规则相关联的授权用户网络存储目录或网络存储文件 元数据文件中更改与所述被授权用户标识对应的存储访问权限信息； 或者， 在 对应于授权用户身份标识的用户访问策略元数据文件中删除与所述被授权用户 标识对应的网络存储访问控制规则， 以及根据所述请求中携带的请求操作的存 储访问权限信息， 在与网络存储访问控制规则相关联的授权用户网络存储目录 或网络存储文件元数据文件中删除与所述被授权用户标识对应的存储访问权限

Ι π Λ∑！、。

[81] 步骤 S107〜步骤 S109, 反馈网络存储权限操作响应。

[82] 上述网络存储访问权限操作请求可以包括如下几种请求： 网络存储访问权限授 予请求、 网络存储访问权限更改请求和网络存储访问权限撤回请求。

[83] 下面结合第一实施例中的步骤 S106中的存储授权策略为例， 具体描述上述几种 不同的网络存储访问权限操作请求的具体实施情况， 如图 7所示：

步骤 S201~S204， 授权用户 A (客户端 A) 经由聚合代理向消息元数据服务器发 送获取网络存储目录结构的请求 （XCAP GET

所述消息元数据服务器根据所述请求， 将其存储的用户 A的网络存储目录及 其对应的网络存储元数据文件的元数据反馈给所述授权用户 A;

步骤 S205~S206， 所述授权用户 A获取到所述网络存储目录及其对应的网络存 储目录元数据文件的元数据后， 可以通过终端设备浏览其网络存储目录， 并査 看某目录下的消息业务元数据， 从中选择出想要授权给用户 B访问的网络存储目 录对应的网络存储目录元数据文件的元数据， 或网络存储目录元数据文件的元 数据， 并设置具体的访问权限； 然后经由聚合代理发送网络存储访问权限授予 请求 （XCAP

PUT) 给消息元数据服务器， 所述请求中携带授权用户 A请求授予用户 B的网络 存储访问权限。 其中所述网络存储访问权限包括： 授权用户 A的身份标识， 所述 访问权限中涉及到的网络存储目录或网络存储文件的标识， 被授权用户 B的身份 标识。

[86] 步骤 S207~S209， 消息元数据服务器中的网络存储访问权限控制器根据请求中 授权用户 A的身份标识向消息业务元数据文件管理器发送关于授权用户 A的网络 存储权限操作请求， 其中携带请求授予的所述被授权用户 B的存储访问权限信息 ， 以及访问权限所涉及的网络存储目录或网络存储文件的识；

[87] 收到请求后， 消息业务元数据文件管理器检索授权用户 A的存储授权策略元数 据文件 （如图 5所示） ， 分析其中是否存在与所述请求中携带的网络存储目录或 文件标识对应的存储授权策略元数据， 即图 5中的 <_aUthori_zati_on>元素。 如果不存 在， 则新创建一个代表请求中网络存储目录或文件存储授权策略的 <auth₀ri_Zati_0n >元素， 并为它赋予一个与该网络存储目录或文件相关联的用户 A全局唯一的标 识 'ID'; 同吋， 为此新创建的存储授权策略 <^1 ₀1^^₀1 >元数据创建一个与请求 中授予用户 B的网络存储访问权限相对应的存储访问权限元数据， 即图中的<pri_n cipal>元素， 所述存储访问权限元数据 <principal>元素包括： 被授予用户 B的标识 'URI', 访问权限类另 1』<&^^₈>子元素， 权限授予吋间 <^ >子元素， 权限过期吋 间<expiry>子元素等。

[88] 如果授权用户 A的存储授权策略元数据文件中， 已经存在与所述请求中携带的 网络存储目录或网络存储元数据文件标识对应的存储授权策略<& 1 ₀1^^₀1 >元 数据， 则消息业务元数据文件管理器直接为此存储授权策略元数据创建一个与 请求中授予用户 B的网络存储访问权限相对应的存储访问权限^111 ^&1>元数据

[89] 消息业务元数据文件管理器只有全部完成上述步骤后， 才会向网络存储访问权 限控制器返回操作成功响应， 否则返回失败响应。

[90] 消息元数据服务器经由聚合代理向用户 A客户端返回响应。

[91] 步骤 S210, 当消息元数据服务器创建新的存储权限策略完毕后， 请求用户 B将 收到网络存储访问权限通知， 其中包含授权用户 A所授权的网络存储目录标识及 其权限信息。 下面给出网络存储访问权限发生变化后用户 B接收通知的几种可选 流程：

[92] 第一种方式： 消息服务器通过主动订阅消息元数据服务器中的网络存储访问权 限通知， 获得发生变化的网络存储访问权限元数据， 并将其通知给所述网络存 储访问权限元数据中对应的被授权用户， 具体实现如图 8所示， 包括：

[93] 步骤 Sl〜4， 消息服务器发送 SIP订阅 （SIP

SUBSCRIBE) ， 请求订阅消息元数据服务器中存储的授权用户 A对应的存储访 问权限元数据的状态变化通知；

[94] 步骤 S5〜6， 一旦授权用户 A执行网络存储权限操作或者由于某网络存储权限 因过期而被系统自动删除， 导致消息元数据服务器中授权用户 A对应的存储访问 权限元数据中的用户 B的授权信息状态发生改变， 消息元数据服务器向消息服务 器发送 SIP通知 （SIP

NOTIFY) ； 所述通知中携带请求用户 B改变后的网络存储权限；

[95] 步骤 S7〜8， 消息服务器向用户 B发送 SIP消息 （SIP

MESSAGE) ， 通知其所被授予的网络存储权限发生改变。

[96] 第二种方式： 消息元数据服务器发现网络存储访问权限发生变化后， 将变化后 的网络存储访问权限元数据通知给所述网络存储访问权限元数据中对应的被授 权用户， 具体实现如图 9所示， 包括：

[97] 步骤 1， 一旦授权用户 A执行网络存储权限操作或者由于某网络存储权限因过期 而被系统自动删除， 导致消息元数据服务器中授权用户 A对应的存储访问权限元 数据中的用户 B的授权信息状态发生改变， 贝 I」消息元数据服务器向用户 B发送 SIP

MESSAGE通知， 所述通知中携带用户 B变化后的网络存储权限；

[98] 步骤 2, 请求用户 B向消息元数据服务器返回响应。

[99] 第三种方式： 授权用户在操作其网络存储访问权限后， 经由消息服务器将变化 后的网络存储访问权限， 通知给所述网络存储访问权限元数据中对应的被授权 用户。 具体实现如图 10所示， 包括：

[100] 步骤 1〜2， 一旦授权用户 A执行网络存储权限操作， 导致消息元数据服务器中 的授权用户 A对应的存储访问权限元数据中的针对用户 B的授权信息状态发生改 变， 则授权用户 A向消息服务器发送 SIP MESSAGE通知消息， 所述通知消息中携带用户 B变化后的网络存储权限。

[101] 步骤 3〜4， 消息服务器向用户 B转发 SIP MESSAGE通知。

[102] 第四种方式： 请求用户向消息元数据服务器订阅网络存储访问权限通知； 网络 存储访问权限发生变化后， 消息元数据服务器将变化后的网络存储访问权限通 知给所述网络存储访问权限元数据中对应的被授权用户。 具体实现如图 11所示

， 包括：

[103] 步骤 1〜4， 请求用户 B发送 SIP

SUBSCRIBE请求订阅消息元数据服务器中存储的授权用户 A对应的存储访问权 限元数据的状态变化通知；

[104] 步骤 5〜6， 一旦由于授权用户 A执行网络存储访问权限操作或者由于某网络存 储权限因过期而被系统自动删除， 导致消息元数据服务器中存储的授权用户 A对 应的存储访问权限元数据中涉及用户 B的授权信息状态发生改变， 则消息元数据 服务器向用户 B发送 SIP

NOTIFY通知消息， 所述通知消息中携带用户 B变化后的网络存储权限。

[105] 上述是授予请求用户网络存储访问权限的流程。 对于更新网络存储访问权限的 流程， 具体如下：

[106] 步骤 S211~S212， 所述授权用户 A还可以请求更新授予用户 B的网络存储访问权 限， 为此， 用户 A浏览已经授予用户 B的网络存储目录或网络存储文件的权限并 重新设置新的访问权限； 然后经由聚合代理发送网络存储访问权限更新请求 （X CAP

PUT) 给消息元数据服务器， 所述请求中携带用户 A的身份标识； 请求更新用户 B的网络存储访问权限， 以及， 所述访问权限中涉及到的网络存储目录或网络存 储文件的标识。

[107] 消息元数据服务器中的网络存储访问权限控制器根据请求中授权用户 A的身份 标识， 向消息业务元数据文件管理器发送关于授权用户 A的网络存储权限操作请 求， 其中携带请求更新操作的所述用户 B的存储访问权限信息。 其中所述存储访 问权限信息包括： 授权用户 A的身份标识， 访问权限所涉及的网络存储目录或网 络存储文件的相关信息， 以及用户 B的身份标识。 [108] 收到请求后消息业务元数据文件管理器将检索授权用户 A的存储授权策略元数 据文件中与所述请求中网络存储目录或网络存储元数据文件的相关信息对应的 授权策略元数据<^ 01^^₀1 _>元素， 并根据请求中携带的请求更新操作的所述 请求用户 B的存储访问权限信息， 更改所述授权策略元数据 <a_Uthori_Zati_0n>元素 中代表所述被授权用户标识对应的存储访问权限元数据的^111 ^&1>元素。

[109] 当消息元数据服务器更改存储权限策略元数据完毕后， 用户 B将收到网络存储 访问权限变化通知， 其中包含授权用户 A所更改的网络存储目录或网络存储文件 标识及其对应的网络存储权限信息。 网络存储访问权限发生变化后， 用户 B 接收通知的方式可以釆取上述几种可选流程实现， 这里不再详细描述。

[110] 授权用户 A想要撤回已经授权给请求用户 B的网络存储访问权限吋， 其通过如 下流程实现：

[111] 步骤 S213~S216， 所述授权用户 A还可以请求撤回授予用户 B的网络存储访问权 限， 为此， 用户 A浏览已经授予用户 B的网络存储目录或网络存储文件的权限并 有选择地撤回访问权限； 然后经由聚合代理发送网络存储访问权限撤回请求 （X CAP

DELETE) 给消息元数据服务器， 所述请求中携带请求撤回用户 B的网络存储访 问权限。 其中所述网络存储访问权限包括用户 A的身份标识， 所述访问权限中涉 及到的网络存储目录或网络存储文件的标识， 以及用户 B的身份标识。

[112] 消息元数据服务器中的网络存储访问权限控制器根据请求中授权用户 A的身份 标识向消息业务元数据文件管理器发送关于授权用户 A的网络存储权限操作请求 ， 其中携带请求撤回操作的所述用户 B的存储访问权限信息。 其中所述存储访问 权限信息包括： 用户 A的身份标识， 访问权限所涉及的网络存储目录或网络存储 文件的相关信息， 以及用户 B的身份标识。

[113] 收到请求后消息业务元数据文件管理器将检索授权用户 A的存储授权策略元数 据文件中与所述请求中网络存储目录或网络存储元数据文件的相关信息对应的 授权策略元数据<^ 01^^₀1 _>元素， 并根据请求中携带的请求撤回操作的所述 用户 B的存储访问权限信息， 删除所述授权策略元数据〈^^(^^^。！^元素中代 表所述被授权用户标识对应的存储访问权限元数据的 <2111 ₍ &1>素。 [114] 当消息元数据服务器删除存储权限策略完毕后， 请求用户 B将收到网络存储访 问权限变化通知， 其中包含授权用户 A所撤回的网络存储目录标识及其权限信息 。 网络存储访问权限发生变化后用户 B接收通知的方式可以釆取上述几种可选流 程实现， 这里不再详细描述。

[115] 上述是结合第一实施例中的步骤 S106中的存储授权策略来描述上述几种不同的 网络存储访问权限操作请求的具体实施情况的， 如果结合第一实施例中的步骤 s

106中的用户访问策略， 则网络存储访问权限操作的情况如下：

[116] 一、 对于网络存储访问权限授予操作

[117] 消息元数据服务器中的网络存储访问权限控制器根据请求中携带授权用户 A的 身份标识， 向消息业务元数据文件管理器发送有关授权用户 A的网络存储权限授 予请求， 其中携带请求授予的所述请求用户 B的存储访问权限信息。 其中所述存 储访问权限信息包括： 授权用户 A的身份标识， 访问权限所涉及的网络存储目录 或网络存储文件的相关信息， 以及被授权用户 B的身份标识；

[118] 消息业务元数据文件管理器收到请求后， 首先， 检索授权用户 A的用户访问策 略元数据文件 （如图 6所示） ， 分析其中是否存在与所述请求中携带的网络存储 目录或网络存储元数据文件标识相对应的访问规则元数据， 即图 6中的〈！^^元 素。 如果不存在， 则新创建一个代表请求中网络存储目录或网络存储元数据文 件访问规则元数据的 <rule>元素， 并为它赋予一个与该网络存储目录或网络存储 元数据文件相关联的授权用户 A全局唯一的标识 'ID'; 同吋作如下操作： 将用户 B 的标识 'URI'加入到 <rule>元素中的代表访问控制条件的<condition>子元素中， 并 设置 <rule>元素中代表访问控制动作 <action>子元素中的<&110\¥-^ ¥^6>元素值为 'a ccept' , 以表示允许用户 B访问该访问控制规则对应的用户 A的网络存储目录或网 络存储文件。

[119] 如果授权用户 A的用户访问策略元数据文件中， 已经存在代表与所述请求中携 带的网络存储目录或网络存储元数据文件标识对应的访问规则元数据的〈！^^元 素， 则消息业务元数据文件管理器直接对此访问规则元数据施加同样的操作。

[120] 其次， 消息业务元数据文件管理器还将根据所述请求中携带的网络存储目录或 网络存储元数据文件标识， 定位与上述访问规则对应的授权用户 A的网络存储元 数据文件， 譬如'会话历史'元数据文件。 消息业务元数据文件管理器将在所述授 权请求涉及到的网络存储元数据文件中， 创建与请求中携带的授予用户 B的网络 存储访问权限相对应的存储访问权限元数据， 其中包括： 请求用户 B的标识 'URI' ， 代表访问权限类别的 <&^^₈>子元素， 代表权限授予吋间的 < >子元素， 代 表权限过期吋间的<^^^7>子元素等。

[121] 消息业务元数据文件管理器只有全部完成上述步骤后， 才会向网络存储访问权 限控制器返回操作成功响应， 否则返回失败响应。

[122] 二、 对于网络存储访问权限更新操作

[123] 消息元数据服务器中的网络存储访问权限控制器根据请求中携带授权用户 A的 身份标识， 向消息业务元数据文件管理器发送有关授权用户 A的网络存储权限更 新请求， 其中携带请求更新的所述请求用户 B的存储访问权限信息。 所述存储访 问权限信息包括授权用户 A的身份标识， 访问权限所涉及的网络存储目录或网络 存储文件的相关信息， 以及被授权用户 B的身份标识；

[124] 消息业务元数据文件管理器收到请求后， 检索授权用户 A的用户访问策略元数 据文件中与所述请求中携带的网络存储目录或网络存储元数据文件标识相对应 的访问规则元数据， 即图 6中的 <rule>元素， 并根据所述请求中携带的网络存储 目录或网络存储元数据文件标识， 定位与上述访问规则对应的授权用户 A的网络 存储元数据文件， 譬如'会话历史'元数据文件。 消息业务元数据文件管理器将在 所述更新请求涉及到的网络存储元数据文件中， 根据请求更新的所述用户 B的存 储访问权限信息， 更改与用户 B身份标识对应的存储访问权限元数据。

[125] 三、 对于网络存储访问权限撤回操作

[126] 消息元数据服务器中的网络存储访问权限控制器根据请求中携带授权用户 A的 身份标识， 向消息业务元数据文件管理器发送有关授权用户 A的网络存储权限撤 回请求， 其中携带： 请求撤回的所述用户 B的存储访问权限信息。 其中， 所述存 储访问权限信息包括授权用户 A的身份标识， 访问权限所涉及的网络存储目录或 网络存储文件的相关信息， 以及被授权用户 B的身份标识；

[127] 消息业务元数据文件管理器， 根据所述授权用户 A的身份标识， 检索所述授权 用户 A身份标识对应的用户访问策略元数据文件中与所述网络存储目录或网络存 储文件的相关信息对应的访问规则元数据， 即图 6中的 <rule>元素， 并在所述<^1 e>元素下的<^01 ₍1 ₀1 _>子元素中， 删除用户 B的身份标识； 同吋， 根据所述请求 中携带的网络存储目录或网络存储元数据文件标识， 定位与上述访问规则对应 的授权用户 A的网络存储元数据文件， 譬如'会话历史'元数据文件。 消息业务元 数据文件管理器将在所述撤回请求涉及到的网络存储元数据文件中， 根据请求 撤回的所述用户 B的存储访问权限信息， 删除与用户 B身份标识对应的存储访问 权限元数据。

[128] 经过上述具体实施方案， 授权用户能够对其所拥有的网络存储， 进行网络存储 权限管理， 从而可以利用其管理的网络存储访问权限， 控制请求用户访问自己 的网络存储。 为此， 本发明第二实施例提供了一种网络存储访问控制方法， 其 具体实施过程如图 12所示， 包括：

[129] 步骤 S301 , 请求用户发送网络存储元数据访问请求； 所述请求中携带所述请求 用户需要访问的网络存储信息。 其中所述请求用户需要访问的网络存储信息包 括： 需要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信 息， 需要访问的网络存储所对应的授权用户的身份标识请求用户的身份标识；

[130] 步骤 S302a~b， 所述请求用户和聚合代理之间进行双向鉴定； 鉴定通过后， 聚 合代理获取经鉴定可信的请求用户的身份标识。

[131] 如果请求用户与被访问授权用户的网络存储分属不同网络域中， 则所述聚合代 理还可以支持请求用户跨域访问， 即请求用户所在网络域中聚合代理将经过身 份鉴别的请求路由到授权用户所在网络域中的聚合代理；

[132] 步骤 S303 , 聚合代理向消息元数据服务器发送网络存储元数据访问请求， 所述 请求中携带： 所述请求用户需要访问的网络存储信息。 其中所述请求用户需要 访问的网络存储信息包括： 请求用户的身份标识， 需要访问的网络存储对应的 网络存储目录或网络存储元数据文件的相关信息， 需要访问的网络存储所对应 的授权用户的身份标识。

[133] 步骤 S304, 所述消息元数据服务器中的网络存储访问权限控制器接收到所述网 络存储元数据访问请求后， 根据所述请求中携带的授权用户的身份标识、 所述 网络存储目录或网络存储元数据文件的相关信息， 以及请求用户的身份标识， 获得授权用户授予所述请求用户的存储访问权限元数据； 根据所获得的存储访 问权限元数据， 对请求用户发送的网络存储元数据访问请求进行合法性鉴定， 如果鉴定为合法请求， 则继续执行步骤 S305 ; 如果鉴定为不合法请求， 则拒绝 所述网络存储元数据访问请求。

[134] 具体对所述网络存储元数据访问请求进行合法性鉴定的流程如图 13所示， 包括

[135] 步骤 S3041 , 消息元数据服务器中的网络存储访问权限控制器根据所述网络存 储元数据访问请求中携带的请求用户的身份标识， 以及请求中携带的网络存储 目录或网络存储元数据文件的相关信息对应的授权用户身份标识， 判断所述请 求用户是否为授权用户， 若是， 则执行步骤 S3042, 认为请求用户发送的网络存 储元数据访问请求合法， 转向步骤 S305 ; 若所述请求用户不为授权用户， 则执 行步骤 S3043。

[136] 步骤 S3041和步骤 S3042中， 消息元数据服务器中的网络存储访问权限控制器可 以根据请求中携带的网络存储目录或网络存储元数据文件的相关信息， 找到对 应的授权用户身份标识， 然后将所述网络存储元数据访问请求中携带的请求用 户的身份标识， 与所找到的授权用户身份标识进行比较， 如果一致， 则认为所 述请求用户为授权用户， 否则， 认为所述请求用户不为授权用户。

[137] 步骤 S3043， 所述网络存储访问权限控制器请求消息业务元数据文件管理器査 询所述请求用户被授予的访问权限， 所述请求中携带被访问授权用户的身份标 识、 所述网络存储目录或网络存储元数据文件的相关信息、 请求用户的身份标 识等。

[138] 消息业务元数据文件管理器根据所述请求中携带的信息， 査找所述请求用户身 份标识对应的存储访问权限元数据。 具体可以釆用两种方法实现：

[139] 第一种方法是基于存储授权策略的实现方法， 具体为：

[140] 检索与所述被访问授权用户的身份标识对应的存储授权策略元数据文件， 并在 其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数 据中， 检索是否存在与请求用户身份标识对应的存储访问权限；

[141] 第二种方法是基于用户访问策略的实现方法， 具体为： [142] 检索与所述被访问授权用户的身份标识对应的用户访问策略元数据文件， 并在 其中的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数 据中， 检索是否存在与请求用户身份标识对应的用户访问规则； 如果存在， 则 在与所述用户访问规则对应的网络存储元数据文件中检索与请求用户身份标识 对应的存储访问权限。

[143] 步骤 S3044, 网络存储访问权限控制器根据所述消息业务元数据文件管理器的 反馈结果， 判断是否存在授予所述请求用户的访问权限， 若存在， 则执行步骤 S 3045； 否则， 执行步骤 S3046。

[144] 步骤 S3045， 网络存储访问权限控制器根据所述授予所述请求用户的访问权限 ， 判断所述网络存储访问请求中携带的网络存储目录或网络存储元数据文件的 相关信息是否符合授权， 即请求用户访问请求中所需的文件或目录的访问权限 的优先级别必须低于或等于请求用户所拥有的该文件或目录权限优先级别。 若 符合， 则执行步骤 S3042; 否则， 执行步骤 S3046。

[145] 步骤 S3046 , 网络存储访问权限控制器拒绝所述网络存储元数据访问请求。

[146] 步骤 S305 , 将判定为合法的网络存储元数据访问请求， 发送给消息业务元数据 文件管理器， 所述请求中携带所述请求用户需要访问的网络存储信息。 其中所 述请求用户需要访问的网络存储信息包括： 请求用户的身份标识， 需要访问的 网络存储对应的网络存储目录或网络存储元数据文件的相关信息， 需要访问的 网络存储所对应的授权用户的身份标识。

[147] 步骤 S306〜309， 所述消息业务元数据文件管理器根据所述网络存储元数据访 问请求中携带的网络存储目录或网络存储元数据文件的相关信息， 获取网络存 储元数据； 对所述网络存储元数据访问请求进行响应， 并在响应中携带所获取 到的网络存储元数据。

[148] 步骤 S310, 所述请求用户根据所述响应， 获得所述网络存储元数据； 发送网络 存储内容访问请求给消息服务器， 其中携带所述网络存储元数据， 以及所述请 求用户的身份标识。

[149] 步骤 S311 , 所述消息服务器请求消息元数据服务器对所述网络存储内容访问请 求进行合法性鉴定， 如果鉴定为合法请求， 则继续执行步骤 S312; 如果鉴定为 不合法请求， 则拒绝所述网络存储内容访问请求。

[150] 具体的鉴定流程， 与步骤 S304中的实现流程类似， 这里不再详细描述。

[151] 步骤 S312, 所述消息服务器发送网络存储访问请求给消息内容存储器； 所述请 求中携带所请求的消息业务网络存储对应的元数据；

[152] 步骤 S313〜314， 所述消息内容存储器根据所述元数据， 检索到相应的消息业 务网络存储， 并经过消息服务器反馈网络存储检索响应给所述用户客户端； [153] 步骤 S315 , 建立请求用户客户端与消息内容存储器之间的数据传输通道， 通过 所述数据传输通道， 所述消息内容存储器将所检索到的消息业务网络存储内容 发送给所述请求用户；

[154] 或者， 请求用户客户端将消息业务本地存储内容上传至消息内容存储器。

[155] 下面， 假设在授权用户 A授予请求用户 B拥有会话历史网络存储目录的'读 /写'权 限的情况下， 以基于存储授权策略的操作方法为例， 对上述网络存储访问流程 进行详细说明， 实现流程如图 14所示， 包括：

[156] 步骤 S401〜403， 请求用户 B客户端 B) 希望访问授权用户 A客户端 A) 的网络 存储， 为此请求用户 B首先要获取授权用户 A授予请求用户 B的网络存储权限， 于是请求用户 B经由聚合代理、 搜索代理向消息元数据服务器发送存储权限査询 (HTTP

POST) 请求消息， 其中携带如下信息： 所述请求用户需要访问的网络存储信息 。 其中所述请求用户需要访问的网络存储信息包括： 请求用户的身份标识， 需 要访问的网络存储对应的网络存储目录或网络存储元数据文件的相关信息， 需 要访问的网络存储所对应的授权用户的身份标识。

[157] 步骤 S404, 消息元数据服务器检索请求用户存储授权策略元数据， 并进行访问 控制。 具体如下：

[158] 消息元数据服务器中的消息业务元数据文件管理器， 在网络存储访问权限控制 器的控制下按照 HTTP

POST请求中携带的被访问授权用户的身份标识、 所述网络存储目录或网络存储 元数据文件的相关信息， 检索授权用户 A的身份标识对应的存储授权策略元数据 文件中， 是否存在所述网络存储目录或网络存储文件的相关信息对应的存储授 权策略元数据； 若存在， 则根据所述请求用户的身份标识， 在所述存储授权策 略元数据中， 査找所述请求用户 B身份标识对应的存储访问权限元数据； 如果所 述存储访问权限元数据中存在相应的授权信息， 则网络存储访问权限控制器接 收该请求， 然后执行步骤 S405; 否则， '网络存储访问权限控制器'拒绝该请求。

[159] 步骤 S405〜407， 网络存储访问权限控制器通过网络存储权限査询响应， 将消 息业务元数据文件管理器返回的搜索结果， 经由搜索代理、 聚合代理， 向请求 用户 B返回， 其中携带授权用户 A授予请求用户 B的网络存储访问权限信息。

[160] 步骤 S408〜410， 请求用户 B在终端査看授权用户 A授予其的网络存储目录或网 络存储元数据文件的权限信息， 发现自己拥有授权用户 A的某会话历史网络存储 目录的 '读 /写'权限， 为了査看此目录中的会话历史内容， 请求用户 B发送网络存 储元数据获取 （XCAP

GET请求中携带如下信息： 所述请求用户需要访问的网络存储信息。 其中所述请 求用户需要访问的网络存储信息包括： 请求用户的身份标识， 所述请求用户需 要访问的某会话历史消息业务对应的网络存储目录或网络存储元数据文件的相 关信息， 需要访问的网络存储所对应的授权用户的身份标识。

[161] 步骤 S411 , 消息元数据服务器收到 XCAP

GET请求后， 检索所述请求用户 B存储授权策略元数据和'会话历史'元数据， 并 进行相应的控制。

[162] 具体实现如下：

[163] 首先检索授权用户 A存储授权策略元数据文件中有关授权用户 A授予请求用户 B 的网络存储访问权限信息， 具体实现与步骤 S404中的相关描述类似， 这里不再 详细描述。

[164] 在判断请求用户 B拥有网络存储拥有授权用户 A的网络存储访问权限后， 网络 存储访问权限控制器将会结合消息业务元数据文件管理器检索到有关用户 B的授 权信息。

[165] 按照如图 13所示的对所述网络存储元数据访问请求进行合法性鉴定的流程， 判 断请求用户 B的此次访问请求是否符合授权用户 A对其所作的授权， 网络存储访 问权限控制器只会接收经过合法的网络存储访问请求。

[166] 步骤 S412〜413， 消息元数据服务器通过网络存储元数据获取响应， 返回授权 用户 A所授予的会话历史元数据信息， 并经由聚合代理到达请求用户 B ;

[167] 步骤 S414, 请求用户 B浏览授权用户 A网络存储中授权的会话历史元数据信息

， 为了获取会话历史实际内容， 请求用户 B客户端向'消息服务器'发送网络存储 内容获取请求， 譬如 SIP

INVITE, 其中： 'Request-URI'指出消息网络存储 URI， 如' history® hostname', 此 外 MIME

SDP消息体中将 direction属性设置为 '_a=_reCVOnly'， 并包含会话历史元数据信息， 譬如网络存储目录中的消息标识 （msg-id) 构成的 URI List。

[168] 步骤 S415〜419， 收到 SIP

INVITE请求后， 消息服务器和消息元数据服务器协调执行用户访问策略控制， 为合法的请求用户建立起消息内容存储器与请求用户 B之间的会话历史内容传输 通道， 并通过所述传输通道， 将消息内容存储器中的会话历史内容传输给所述 请求用户^ 具体如下：

[169] 消息服务器请求消息元数据服务器中的网络存储访问权限控制器执行与步骤 S4 04类似的访问权限控制。 如果接受请求用户 B的请求， 则消息服务器向请求用户 B返回 SIP 200 OK响应， 并在收到请求用户 B再次发送的 SIP

ACK应答后， 建立起消息内容存储器与请求用户 B之间的会话历史内容传输通道 ， 譬如 MSRP通道。 至此， 请求用户 B通过所述传输通道， 可以接收授权用户 A 网络存储中其所请求的并具有访问权限的会话历史信息。

[170] 步骤 S420〜425， 请求用户 B还拥有授权用户 A授予的该会话历史网络存储目录 的'写'权限， 因此除了可以获取目录中授权用户 A的会话历史外， 还可以将本地 数据上传至该目录， 为此请求用户 B向消息服务器发送网络存储内容上传请求， 譬如 SIP

INVITE, 其中： 'Request-URI'指出消息网络存储实体所在的 URI， 如' history@hos tname', 此外 MIME

SDP消息体将 direction属性设置为' a=_Send₀nly'， 并包含上传数据所要存放的用户 A网络存储， 譬如网络存储目录标识 id'或会话历史文件名称 'file-_name'。

[171] 消息服务器将请求消息元数据服务器执行与步骤 S404类似的访问策略控制， 一 旦接受请求用户 B的请求， 将建立起消息内容存储器与请求用户 B之间的数据传 输通道。 至此， 请求用户 B可以通过建立的数据传输通道， 譬如 MSRP通道， 将 本地数据上传至其所具有写权限的授权用户 A的网络存储之中。

[172] 数据传输成功后， 消息服务器还将请求消息元数据服务器更新授权用户 A的消 息业务元数据信息， 以反映授权用户 A网络存储中新增加的数据。

[173] 与图 8至图 11中介绍的通知流程类似， 当请求用户 B成功完成向授权用户 A的消 息内容存储器中'写'数据后， 授权用户 A将收到网络存储变化通知。

[174] 上述是以请求中携带的存储访问权限信息中包括至少一个被授予访问权限的授 权用户的身份标识为例， 进行说明的， 当请求中携带的存储访问权限信息中包 括至少一个不能被授予访问权限的授权用户的身份标识吋， 对不同的操作请求 对应的操作如下：

[175] 一、 对于网络存储访问权限授予操作

[176] 检索授权用户的存储授权策略元数据文件， 并在其中的与所述网络存储目录或 网络存储文件相关信息对应的存储授权策略元数据中， 根据所述请求中携带的 请求授予的存储访问权限信息， 创建与不能被授予访问权限的访问用户的身份 标识对应的存储访问权限元数据；

[177] 或者，

[178] 检索与所述授权用户的身份标识对应的用户访问策略元数据文件， 并在其中的 与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中， 创建与被授权用户身份标识对应的用户访问规则； 同吋， 在与所述用户访问规 则对应的网络存储元数据文件中， 根据所述请求中携带的请求授予的存储访问 权限信息， 创建与不能被授予访问权限的访问用户的身份标识对应的存储访问 权限元数据。

[179] 二、 对于网络存储访问权限更新操作

[180] 检索与所述授权用户身份标识对应的存储授权策略元数据文件， 并在其中的与 所述授权用户请求操作的存储访问权限信息涉及的网络存储目录或网络存储文 件相关信息对应的存储授权策略元数据中， 根据所述请求中携带的请求更新的 存储访问权限信息， 更改与不能被授予访问权限的访问用户的身份标识对应的 存储访问权限元数据；

[181] 或者，

[182] 在所述授权用户的身份标识对应的用户访问策略元数据文件中的与所述授权用 户请求操作的存储访问权限信息涉及的网络存储目录或网络存储文件相关信息 对应的用户访问规则元数据中， 检索与不能被授予访问权限的访问用户的身份 标识对应的用户访问规则； 并且在与所述用户访问规则对应的网络存储元数据 文件中， 根据所述请求中携带的请求更新的存储访问权限信息， 更改与所述不 能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。

[183] 三、 对于网络存储访问权限删除操作

[184] 检索与所述授权用户的身份标识对应的存储授权策略元数据文件， 并在其中的 与所述授权用户请求操作的存储访问权限信息涉及的网络存储目录或网络存储 文件相关信息对应的存储授权策略元数据中， 根据所述请求中携带的请求撤回 的存储访问权限信息， 删除与所述不能被授予访问权限的访问用户的身份标识 对应的存储访问权限元数据；

[185] 或者，

[186] 检索与所述授权用户的身份标识对应的用户访问策略元数据文件， 并在其中的 与所述授权用户请求操作的存储访问权限信息涉及的网络存储目录或网络存储 文件相关信息对应的用户访问规则元数据中， 删除与所述不能被授予访问权限 的访问用户的身份标识对应的用户访问规则； 同吋， 在与所述被删除的用户访 问规则对应的网络存储元数据文件中， 根据所述请求中携带的请求撤回的存储 访问权限信息， 删除与所述不能被授予访问权限的访问用户的身份标识对应的 存储访问权限元数据。

[187] 本发明的第三实施例提供一种网络存储访问权限管理装置， 其结构如图 15所示 ， 包括网络存储权限访问控制器和消息业务元数据文件管理器。 所述网络存储 权限访问控制器和消息业务元数据文件管理器包括： 权限授予单元、 权限更新 单元和第一权限删除单元。 所述权限授予单元包括： 第一权限授予子单元和第 二权限授予子单元。 所述权限更新单元包括第一权限更新子单元和第二权限更 新子单元。 所述第一权限删除单元包括： 第一权限删除子单元和第二权限删除 子单元。

[188] 所述消息业务元数据文件管理器还可以包括： 第二权限删除单元。 所述第二权 限删除单元包括： 第三权限删除子单元和第四权限删除子单元。

[189] 所述消息业务元数据文件管理器还可以包括： 通知服务器。

[190] 所述网络存储访问权限管理装置中的各个元器件之间的交互关系如下：

[191] 所述网络存储权限访问控制器， 获得授权用户的网络存储访问权限操作请求， 所述请求中携带授权用户请求操作的存储访问权限信息； 所述存储访问权限信 息包括授权用户的身份标识， 所述存储访问权限信息涉及的网络存储目录或网 络存储文件相关信息， 至少一个被授权用户的身份标识或至少一个不能被授予 访问权限的访问用户的身份标识； 根据所述消息业务元数据文件管理器中存储 访问权限信息， 对所述授权用户的网络存储访问权限操作请求， 进行合法性验 证；

[192] 所述消息业务元数据文件管理器， 根据所述网络存储权限访问控制器通过验证 的网络存储访问权限操作请求， 在与所述授权用户的身份标识， 以及网络存储 目录或网络存储文件相关信息对应的授权用户网络存储访问权限元数据中， 根 据所述授权用户请求操作的存储访问权限信息， 操作授权用户为被授权用户设 置的网络存储目录或网络存储文件的存储访问权限。 其根据不同网络存储访问 权限操作请求， 执行相应的处理， 具体如下：

[193] 通过权限授予单元， 根据所述网络存储权限访问控制器获得的网络存储访问权 限操作请求， 在与所述授权用户的身份标识， 以及网络存储目录或网络存储文 件相关信息对应的网络存储访问权限元数据文件中， 根据所述授权用户请求授 予的存储访问权限信息， 将相应的存储访问权限元数据授予给相应的被授权用 户。 具体处理可以釆用两种方案进行：

[194] 第一种方案， 通过第一权限授予子单元， 检索与所述授权用户的身份标识对应 的存储授权策略元数据文件， 并在其中的与授权用户请求操作的存储访问权限 信息所涉及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数 据中， 根据所述请求中携带的请求授予的存储访问权限信息， 创建与被授权用 户身份标识对应的存储访问权限元数据； 或者， 检索授权用户的存储授权策略 元数据文件， 并在其中的与所述授权用户请求操作的存储访问权限信息所涉及 的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中， 根据 所述请求中携带的请求授予的存储访问权限信息， 创建与不能被授予访问权限 的访问用户的身份标识对应的存储访问权限元数据；

[195] 第二种方案， 通过第二权限授予子单元， 检索与所述授权用户的身份标识对应 的用户访问策略元数据文件， 并在其中的与所述授权用户请求操作的存储访问 权限信息所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则 元数据中， 创建与被授权用户身份标识对应的用户访问规则； 同吋， 在与所述 用户访问规则对应的网络存储元数据文件中根据所述请求中携带的请求授予的 存储访问权限信息， 创建与被授权用户身份标识对应的存储访问权限元数据， 或者， 检索与所述授权用户的身份标识对应的用户访问策略元数据文件， 并在 其中的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或 网络存储文件相关信息对应的用户访问规则元数据中， 创建与被授权用户身份 标识对应的用户访问规则； 同吋， 在与所述用户访问规则对应的网络存储元数 据文件中， 根据所述请求中携带的请求授予的存储访问权限信息， 创建与不能 被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。

[196] 通过权限更新单元， 根据所述网络存储权限访问控制器获得的网络存储访问权 限操作请求， 在与所述授权用户的身份标识， 以及网络存储目录或网络存储文 件相关信息对应的网络存储访问权限元数据文件中， 根据所述授权用户请求更 新的存储访问权限信息， 更改授权用户为被授权用户设置的存储访问权限元数 据； 具体处理可以釆用两种方案进行：

[197] 第一种方案， 通过第一权限更新子单元， 检索与所述授权用户身份标识对应的 存储授权策略元数据文件， 并在其中的与所述网络存储目录或网络存储文件相 关信息对应的存储授权策略元数据中， 根据所述请求中携带的请求更新的存储 访问权限信息， 更改与被授权用户身份标识对应的存储访问权限元数据； 或者 ， 用于检索与所述授权用户身份标识对应的存储授权策略元数据文件， 并在其 中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策略元数据 中， 根据所述请求中携带的请求更新的存储访问权限信息， 更改与不能被授予 访问权限的访问用户的身份标识对应的存储访问权限元数据；

[198] 第二种方案， 通过第二权限更新子单元， 在所述授权用户的身份标识对应的用 户访问策略元数据文件中， 检索与所述网络存储目录或网络存储文件相关信息 对应的用户访问规则元数据中， 与所述被授权用户身份标识对应的用户访问规 贝 IJ ; 并且在与所述用户访问规则对应的网络存储元数据文件中， 或对应的网络 存储目录所关联的网络存储元数据文件中， 根据所述请求中携带的请求更新的 存储访问权限信息， 更改与所述被授权用户身份标识对应的存储访问权限元数 据； 或者， 用于在所述授权用户的身份标识对应的用户访问策略元数据文件中 的与所述网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中 ， 检索与不能被授予访问权限的访问用户的身份标识对应的用户访问规则； 并 且在与所述用户访问规则对应的网络存储元数据文件中， 或对应的网络存储目 录所关联的网络存储元数据文件中， 根据所述请求中携带的请求更新的存储访 问权限信息， 更改与所述不能被授予访问权限的访问用户的身份标识对应的存 储访问权限元数据。

[199] 通过第一权限删除单元， 根据所述网络存储权限访问控制器获得的网络存储访 问权限操作请求， 在与所述授权用户的身份标识， 以及网络存储目录或网络存 储文件相关信息对应的网络存储访问权限元数据文件中， 根据所述授权用户请 求撤回的存储访问权限， 删除授权用户为被授权用户设置的存储访问权限元数 据。 具体处理可以釆用两种方案进行：

[200] 第一种方案， 通过第一权限删除子单元， 检索与所述授权用户的身份标识对应 的存储授权策略元数据文件， 并在其中的与所述网络存储目录或网络存储文件 相关信息对应的存储授权策略元数据中， 根据所述请求中携带的请求撤回的存 储访问权限信息， 删除与所述被授权用户身份标识对应的存储访问权限元数据 ； 或者， 用于检索与所述授权用户的身份标识对应的存储授权策略元数据文件 ， 并在其中的与所述网络存储目录或网络存储文件相关信息对应的存储授权策 略元数据中， 根据所述请求中携带的请求撤回的存储访问权限信息， 删除与所 述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据； [201] 第二种方案， 通过第二权限删除子单元， 检索与所述授权用户的身份标识对应 的用户访问策略元数据文件， 并在其中的与所述网络存储目录或网络存储文件 相关信息对应的用户访问规则元数据中， 删除与所述被授权用户身份标识对应 的用户访问规则； 同吋， 在与所述被删除的用户访问规则对应的网络存储元数 据文件中， 或对应的网络存储目录所关联的网络存储元数据文件中， 根据所述 请求中携带的请求撤回的存储访问权限信息， 删除与所述被授权用户身份标识 对应的存储访问权限元数据； 或者， 用于检索与所述授权用户的身份标识对应 的用户访问策略元数据文件， 并在其中的与所述网络存储目录或网络存储文件 相关信息对应的用户访问规则元数据中， 删除与所述不能被授予访问权限的访 问用户的身份标识对应的用户访问规则； 同吋， 在与所述被删除的用户访问规 则对应的网络存储元数据文件中， 或对应的网络存储目录所关联的网络存储元 数据文件中， 根据所述请求中携带的请求撤回的存储访问权限信息， 删除与所 述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据。

[202] 另外， 所述消息业务元数据文件管理器还可以通过第二权限删除单元， 用于在 所述授权用户对应的网络存储访问权限元数据中， 授权用户为被授权用户设置 的网络存储目录或网络存储文件的存储访问权限的过期吋间到达吋， 删除该存 储访问权限元数据。 具体处理可以釆用两种方案进行：

[203] 第一种方案， 通过第三权限删除子单元， 在与所述授权用户身份标识对应的存 储授权策略元数据文件中， 当某个被授权用户身份标识对应的存储访问权限元 数据中的权限过期吋间到达吋， 则删除该存储访问权限元数据；

[204] 第二种方案， 通过第四权限删除子单元， 在与所述授权用户身份标识对应的网 络存储文件中， 或对应的网络存储目录所关联的网络存储文件中， 当某个被授 权用户身份标识对应的存储访问权限元数据中的权限过期吋间到达吋， 则删除 该存储访问权限元数据； 同吋， 在与所述授权用户身份标识对应的用户访问策 略元数据文件中， 删除与该存储访问权限元数据对应的用户访问规则元数据。

[205] 另外， 一旦消息业务元数据文件管理器中的元数据发生变化， 所述消息元数据 服务器还能够通知变化后的元数据， 具体实现如下： [206] 通过通知服务器， 当根据授权用户的网络存储访问权限操作请求， 操作所述授 权用户的网络存储目录或网络存储文件的存储访问权限后， 将发生变化的网络 存储访问权限元数据， 通知给所述网络存储访问权限元数据中对应的被授权用 户； 或者， 当授权用户为被授权用户设置的网络存储目录或网络存储文件的存 储访问权限的权限过期吋间到达后， 将发生变化的网络存储访问权限元数据， 通知给所述网络存储访问权限元数据中对应的被授权用户。

[207] 所述通知服务器在通知被授权用户变化后的存储访问权限元数据吋， 还可以将 能够釆用的访问方式， 通知给所述访问用户。

[208] 本发明的第四实施例提供一种网络存储访问权限管理装置， 其结构如图 16所示 ， 包括网络存储权限访问控制器和消息业务元数据文件管理器。

[209] 其中所述消息业务元数据文件管理器包括： 第一访问请求处理单元和第二访问 请求处理单元。

[210] 所述消息业务元数据文件管理器还可以包括： 数据更新单元。

[211] 所述消息业务元数据文件管理器还可以包括： 通知服务器。

[212] 所述网络存储访问权限管理装置中的各个元器件之间的交互关系如下：

[213] 当被授权用户访问授权用户的网络存储吋， 所述网络存储权限访问控制器， 获 得被授权用户针对授权用户网络存储目录或网络存储文件的访问请求， 所述访 问请求中携带所述被授权用户的身份标识， 授权用户身份标识， 以及被授权用 户请求访问的授权用户网络存储目录或网络存储文件的相关信息； 向所述消息 业务元数据文件管理器请求所述被授权用户身份标识对应的存储访问权限信息

[214] 此吋， 所述消息业务元数据文件管理器， 将与所述授权用户对应的网络存储访 问权限元数据中的与所述被授权用户身份标识对应的存储访问权限信息， 提供 给所述网络存储权限访问控制器；

[215] 所述网络存储权限访问控制器根据所述消息业务元数据文件管理器返回的信息 获得所述消息业务元数据文件管理器中与所述授权用户对应的网络存储访问权 限元数据中的与所述被授权用户身份标识对应的存储访问权限信息； 利用所述 存储访问权限信息， 对所述被授权用户的访问请求进行合法性验证； 对通过验 证的访问请求， 向所述消息业务元数据文件管理器请求所述被授权用户具有访 问权限的元数据；

[216] 此吋， 所述消息业务元数据文件管理器将授权用户网络存储文件中， 或网络存 储目录所关联的网络存储文件中所述被授权用户具有访问权限的元数据， 提供 给所述网络存储权限访问控制器； 具体处理吋可以釆取两种方案实现：

[217] 第一种方案， 通过第一请求处理单元， 检索与所述授权用户身份标识对应的存 储授权策略元数据文件中的与所述网络存储目录或网络存储文件相关信息对应 的存储授权策略元数据， 获得与所述被授权用户身份标识对应的存储访问权限 元数据； 将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元 数据， 反馈给所述网络存储权限访问控制器；

[218] 第二种方案， 通过第二请求处理单元， 检索与所述授权用户的身份标识对应的 用户访问策略元数据文件中的与所述网络存储目录或网络存储文件相关信息对 应的用户访问规则元数据， 获得与所述被授权用户身份标识对应的用户访问规 贝 IJ ; 根据所述用户访问规则， 在对应的网络存储元数据文件中， 或对应的网络 存储目录所关联的网络存储元数据文件中， 获得与所述被授权用户身份标识对 应的存储访问权限元数据； 将与所述存储访问权限元数据对应的网络存储目录 或网络存储文件元数据， 反馈给所述网络存储权限访问控制器。

[219] 所述网络存储权限访问控制器将所述消息业务元数据文件管理器返回的元数据 提供给所述被授权用户；

[220] 所述网络存储权限访问控制器获得被授权用户针对所述元数据对应的网络存储 消息内容的访问请求， 所述访问请求中携带所述被授权用户的身份标识， 授权 用户身份标识， 以及被授权用户请求访问的授权用户网络存储消息内容对应的 元数据； 此吋所述网络存储权限访问控制器同样向所述消息业务元数据文件管 理器请求与所述授权用户对应的网络存储访问权限元数据中的与所述被授权用 户身份标识对应的存储访问权限信息， 以验证本次访问请求的合法性； 验证通 过后， 对经过认为合法的访问请求， 将授权用户网络存储元数据文件中， 或网 络存储目录所关联的网络存储元数据文件中所述被授权用户具有访问权限的元 数据， 提供给消息服务器， 通过消息服务器向消息内容存储器请求所述被授权 用户具有访问权限的元数据对应的消息内容。

[221] 之后通过所述消息服务器与核心网的交互控制， 建立消息内容存储器与所述被 授权用户之间的数据传输通道。 通过所述数据传输通道， 所述被授权用户可以 上传消息内容， 或者读取消息内容。

[222] 对于被授权用户上传的消息内容， 经过消息服务器控制， 在消息内容存储器中 所述授权用户所拥有的网络存储消息内容中添加、 更改或删除的信息， 随后， 所述消息服务器会发出请求， 以控制所述消息业务元数据文件管理器根据所述 变化的信息， 更新授权用户网络存储目录或网络存储文件中相应的元数据信息

[223] 所述消息业务元数据文件管理器通过数据更新单元， 获得消息服务器发送的请 求， 所述请求中携带： 根据被授权用户上传的消息内容在消息内容存储器中所 述授权用户所拥有的网络存储内容中添加、 更改或删除操作后变化的信息； 所 述数据更新单元根据所述变化的信息， 更新授权用户网络存储目录或网络存储 文件中相应的元数据信息。

[224] 另外， 一旦消息业务元数据文件管理器中的元数据发生变化， 所述消息元数据 服务器还能够通知变化后的元数据， 具体实现如下：

[225] 通过通知服务器， 当根据被授权用户上传的消息内容在授权用户对应的网络存 储文件中， 或对应的网络存储目录所关联的网络存储文件中更新相应的元数据 信息后， 将变化后的元数据， 通知给所述授权用户， 和 /或， 具有该网络存储目 录和 /或网络存储文件访问权限的被授权用户。

[226] 所述通知服务器在通知被授权用户变化后的存储访问权限元数据吋， 还可以将 能够釆用的访问方式， 通知给所述访问用户。

[227] 由上述本发明实施例提供的具体实施方案可以看出， 其通过在与所述授权用户 对应的授权用户网络存储访问权限元数据中， 根据授权用户请求操作的存储访 问权限信息， 操作授权用户为被授权用户设置的网络存储目录或网络存储文件 的存储访问权限， 从而允许被授权用户访问授权用户的网络存储。

[228] 显然， 本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的 精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权利要求及其等 同技术的范围之内， 则本发明也意图包含这些改动和变型在内。

Claims

权利要求书

[1] 1、 一种网络存储访问权限管理方法， 其特征在于， 包括：

获得授权用户的网络存储访问权限操作请求， 所述请求中携带授权用户请 求操作的存储访问权限信息；

根据授权用户请求操作的存储访问权限信息， 在授权用户的网络存储访问 权限元数据中， 操作授权用户为被授权用户设置的网络存储目录或网络存 储文件的存储访问权限。

[2] 2、 如权利要求 1所述的方法， 其特征在于， 还包括：

按照消息业务的属性， 对同一应用下消息业务的元数据进行分类； 为每个 类别的元数据建立网络存储目录， 并建立所述网络存储目录与存储所述元 数据的网络存储文件之间的关联关系。

[3] 3、 如权利要求 2所述的方法， 其特征在于， 所述网络存储目录中还包括： 为每个类别的元数据的下一级元数据建立的下一级网络存储目录。

[4] 4、 如权利要求 1所述的方法， 其特征在于， 所述请求操作的存储访问权限 信息包括： 至少一个被授予访问权限的被授权用户的身份标识和所述存储 访问权限信息涉及的网络存储目录或网络存储文件相关信息； 或者，

至少一个不能被授予访问权限的访问用户的身份标识和所述存储访问权限 信息涉及的网络存储目录或网络存储文件相关信息。

[5] 5、 如权利要求 4所述的方法， 其特征在于， 所述请求操作的存储访问权限 信息还包括如下信息中的至少一个： 所述网络存储文件或网络存储目录的 访问权限， 所述网络存储文件或网络存储目录的访问权限的继承属性， 所 述网络存储文件或网络存储目录的访问权限的锁属性， 所述网络存储文件 或网络存储目录的访问权限过期吋间， 所述网络存储文件或网络存储目录 的访问权限授予吋间。

[6] 6、 如权利要求 5所述的方法， 其特征在于， 所述网络存储文件或网络存储 目录的访问权限包括如下属性信息中的至少一个： 完全控制、 修改、 列出 目录内容、 读取、 写入、 访问权限的优先级别。

[7] 7、 如权利要求 1至 6任意一项所述的方法， 其特征在于， 所述根据授权用户 请求操作的存储访问权限， 操作存储访问权限的过程， 具体包括： 在授权用户的网络存储访问权限元数据文件中， 根据所述授权用户请求授 予的存储访问权限信息， 创建授权用户为被授权用户设置的存储访问权限 元数据；

或者，

在授权用户的网络存储访问权限元数据文件中， 根据所述授权用户请求更 新的存储访问权限信息， 更改授权用户为被授权用户设置的存储访问权限 元数据；

或者，

在授权用户的网络存储访问权限元数据文件中， 根据所述授权用户请求撤 回的存储访问权限， 删除授权用户为被授权用户设置的存储访问权限元数 据。

[8] 8、 如权利要求 7所述的方法， 其特征在于， 所述根据授权用户请求授予的 存储访问权限， 创建存储访问权限元数据的过程， 具体包括： 检索授权用户的存储授权策略元数据文件， 并在其中的与所述网络存储目 录或网络存储文件相关信息对应的存储授权策略元数据中， 根据所述请求 中携带的请求授予的存储访问权限信息， 创建与被授权用户身份标识对应 的存储访问权限元数据；

或者，

检索授权用户的存储授权策略元数据文件， 并在其中的与所述网络存储目 录或网络存储文件相关信息对应的存储授权策略元数据中， 根据所述请求 中携带的请求授予的存储访问权限信息， 创建与不能被授予访问权限的访 问用户的身份标识对应的存储访问权限元数据；

或者，

检索与所述授权用户对应的用户访问策略元数据文件， 并在其中的与所述 网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中， 创 建与被授权用户身份标识对应的用户访问规则； 同吋， 在与所述用户访问 规则对应的网络存储元数据文件中， 根据所述请求中携带的请求授予的存 储访问权限信息， 创建与被授权用户身份标识对应的存储访问权限元数据 或者，

检索与所述授权用户对应的用户访问策略元数据文件， 并在其中的与所述 网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中， 创 建与被授权用户身份标识对应的用户访问规则； 同吋， 在与所述用户访问 规则对应的网络存储元数据文件中， 根据所述请求中携带的请求授予的存 储访问权限信息， 创建与不能被授予访问权限的访问用户的身份标识对应 的存储访问权限元数据。

9、 如权利要求 7所述的方法， 其特征在于， 所述根据授权用户请求更新的 存储访问权限， 更改存储访问权限元数据的过程， 具体包括：

检索与所述授权用户对应的存储授权策略元数据文件， 并在其中的与所述 网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中， 根 据所述请求中携带的请求更新的存储访问权限信息， 更改与被授权用户身 份标识对应的存储访问权限元数据；

或者，

检索与所述授权用户对应的存储授权策略元数据文件， 并在其中的与所述 网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中， 根 据所述请求中携带的请求更新的存储访问权限信息， 更改与不能被授予访 问权限的访问用户的身份标识对应的存储访问权限元数据；

或者，

在所述授权用户对应的用户访问策略元数据文件中， 检索与所述网络存储 目录或网络存储文件相关信息对应的用户访问规则元数据中， 与所述被授 权用户身份标识对应的用户访问规则； 并且在与所述用户访问规则对应的 网络存储元数据文件中， 根据所述请求中携带的请求更新的存储访问权限 信息， 更改与所述被授权用户身份标识对应的存储访问权限元数据； 或者， 在所述授权用户对应的用户访问策略元数据文件中的与所述网络存储目录 或网络存储文件相关信息对应的用户访问规则元数据中， 检索与不能被授 予访问权限的访问用户的身份标识对应的用户访问规则； 并且在与所述用 户访问规则对应的网络存储元数据文件中， 根据所述请求中携带的请求更 新的存储访问权限信息， 更改与所述不能被授予访问权限的访问用户的身 份标识对应的存储访问权限元数据。

10、 如权利要求 7所述的方法， 其特征在于， 所述根据授权用户请求撤回的 存储访问权限， 删除存储访问权限元数据的过程， 具体包括：

检索与所述授权用户对应的存储授权策略元数据文件， 并在其中的与所述 网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中， 根 据所述请求中携带的请求撤回的存储访问权限信息， 删除与所述被授权用 户身份标识对应的存储访问权限元数据；

或者，

检索与所述授权用户对应的存储授权策略元数据文件， 并在其中的与所述 网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中， 根 据所述请求中携带的请求撤回的存储访问权限信息， 删除与所述不能被授 予访问权限的访问用户的身份标识对应的存储访问权限元数据； 或者，

检索与所述授权用户对应的用户访问策略元数据文件， 并在其中的与所述 网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中， 删 除与所述被授权用户身份标识对应的用户访问规则； 同吋， 在与所述被删 除的用户访问规则对应的网络存储元数据文件中， 根据所述请求中携带的 请求撤回的存储访问权限信息， 删除与所述被授权用户身份标识对应的存 储访问权限元数据；

或者，

检索与所述授权用户对应的用户访问策略元数据文件， 并在其中的与所述 网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中， 删 除与所述不能被授予访问权限的访问用户的身份标识对应的用户访问规则 ； 同吋， 在与所述被删除的用户访问规则对应的网络存储元数据文件中， 根据所述请求中携带的请求撤回的存储访问权限信息， 删除与所述不能被 授予访问权限的访问用户的身份标识对应的存储访问权限元数据。

[11] 11、 如权利要求 7所述的方法， 其特征在于， 还包括：

在授权用户的存储访问权限元数据文件中， 授权用户为被授权用户设置的 网络存储目录或网络存储文件的存储访问权限的过期吋间到达吋， 删除与 所述被授权用户身份标识对应的存储访问权限元数据。

[12] 12、 如权利要求 11所述的方法， 其特征在于， 所述权限过期吋间到达吋， 删除与所述被授权用户身份标识对应的存储访问权限元数据的过程， 具体 包括：

在授权用户的存储授权策略元数据文件中， 当其中一个被授权用户身份标 识对应的存储访问权限元数据的权限过期吋间到达吋， 则删除该存储访问 权限元数据；

或者，

在授权用户的存储访问权限元数据文件中， 当其中一个被授权用户身份标 识对应的存储访问权限元数据的权限过期吋间到达吋， 则删除该存储访问 权限元数据； 同吋， 在授权用户对应的'用户访问策略 '元数据文件中， 删除 与所述被授权用户该存储访问权限对应的用户访问规则元数据。

[13] 13、 如权利要求 11所述的方法， 其特征在于， 还包括：

在根据授权用户的网络存储访问权限操作请求， 操作所述授权用户的网络 存储目录或网络存储文件的存储访问权限后， 将发生变化的网络存储访问 权限元数据， 通知给所述网络存储访问权限元数据中对应的被授权用户； 或者，

在授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访问 权限的权限过期吋间到达后，

将发生变化的网络存储访问权限元数据， 通知给所述网络存储访问权限元 数据中对应的被授权用户。

[14] 14、 如权利要求 13所述的方法， 其特征在于， 在通知被授权用户所述发生 变化后的存储访问权限元数据吋， 将能够釆用的访问方式， 通知给所述被 授权用户。

[15] 15、 一种网络存储访问控制方法， 其特征在于， 包括：

获得被授权用户针对授权用户网络存储的访问请求；

根据授权用户网络存储访问权限元数据中与所述被授权用户对应的存储访 问权限信息， 将授权用户网络存储元数据文件中被授权用户具有访问权限 的元数据提供给所述被授权用户。

[16] 16、 如权利要求 15所述的方法， 其特征在于， 所述根据所述授权用户网络 存储访问权限元数据中与所述被授权用户对应的存储访问权限信息， 将授 权用户网络存储元数据文件中被授权用户具有访问权限的元数据提供给所 述被授权用户的过程， 具体包括：

检索授权用户存储授权策略元数据文件中与被授权用户访问的授权用户网 络存储目录或网络存储文件的相关信息对应的存储授权策略元数据， 获得 与所述被授权用户身份标识对应的

存储访问权限元数据； 将与所述存储访问权限元数据对应的网络存储目录 或网络存储文件元数据提供给所述被授权用户；

或者，

检索授权用户用户访问策略元数据文件中与被授权用户访问的授权用户网 络存储目录或网络存储文件的相关信息对应的用户访问规则元数据， 获得 与所述被授权用户身份标识对应的用户访问规则； 根据所述用户访问规则 ， 在对应的网络存储访问权限元数据文件中， 获得与所述被授权用户身份 标识对应的存储访问权限元数据

； 将与所述存储访问权限元数据对应的网络存储目录或网络存储文件元数 据提供给所述被授权用户。

[17] 17、 如权利要求 15所述的方法， 其特征在于， 还包括：

获得被授权用户针对与所述授权用户网络存储元数据对应的网络存储的访 问请求；

根据授权用户网络存储访问权限元数据中与所述被授权用户对应的存储访 问权限信息， 对所述被授权用户的访问请求进行合法性验证； 为通过验证 的被授权用户建立与授权用户网络存储之间的数据传输通道， 利用所述数 据传输通道， 进行所述被授权用户与授权用户网络存储之间的数据传输。

[18] 18、 如权利要求 17所述的方法， 其特征在于， 还包括：

利用所述数据传输通道， 获得被授权用户上传的消息内容； 根据所述上传 的消息内容， 添加、 更改或删除所述授权用户网络存储内容， 并根据发生 变化的信息， 更新授权用户网络存储目录或网络存储文件相应的元数据信 息。

[19] 19、 如权利要求 18所述的方法， 其特征在于， 还包括：

在根据被授权用户上传的消息内容， 更新授权用户网络存储目录或网络存 储文件相应的元数据信息后， 将发生变化所得的元数据， 通知给所述授权 用户， 和 /或， 具有该网络存储目录和 /或网络存储文件访问权限的被授权用 户。

[20] 20、 如权利要求 19所述的方法， 其特征在于， 在通知被授权用户变化后的 存储访问权限元数据吋， 将能够釆用的访问方式， 通知给所述被授权用户

[21] 21、 一种网络存储访问权限管理装置， 其特征在于， 包括网络存储权限访 问控制器和消息业务元数据文件管理器， 所述网络存储权限访问控制器， 用于获得授权用户的网络存储访问权限操作请求， 所述请求中携带授权用 户请求操作的存储访问权限信息； 根据所述消息业务元数据文件管理器中 的存储访问权限信息， 对所述授权用户的网络存储访问权限操作请求， 进 行合法性验证；

所述消息业务元数据文件管理器， 用于根据所述网络存储权限访问控制器 通过验证的网络存储访问权限操作请求， 在授权用户的网络存储访问权限 元数据中， 根据所述授权用户请求操作的存储访问权限信息， 操作授权用 户为被授权用户设置的网络存储目录或网络存储文件的存储访问权限。

[22] 22、 如权利要求 21所述的网络存储访问权限管理装置， 其特征在于， 所述 消息业务元数据文件管理器包括： 权限授予单元， 用于根据所述网络存储权限访问控制器获得的网络存储访 问权限操作请求， 在授权用户的网络存储访问权限元数据文件中， 根据所 述授权用户请求授予的存储访问权限信息， 创建授权用户为被授权用户设 置的存储访问权限元数据；

或者，

权限更新单元， 用于根据所述网络存储权限访问控制器获得的网络存储访 问权限操作请求， 在与所述授权用户对应的网络存储访问权限元数据文件 中， 根据所述授权用户请求更新的存储访问权限信息， 更改授权用户为被 授权用户设置的存储访问权限元数据；

或者，

第一权限删除单元， 用于根据所述网络存储权限访问控制器获得的网络存 储访问权限操作请求， 在与所述授权用户对应的网络存储访问权限元数据 文件中， 根据所述授权用户请求撤回的存储访问权限， 删除授权用户为被 授权用户设置的存储访问权限元数据。

23、 如权利要求 22所述的网络存储访问权限管理装置， 其特征在于， 所述 权限授予单元包括：

第一权限授予子单元， 用于检索与所述授权用户对应的存储授权策略元数 据文件， 并在其中的与授权用户请求操作的存储访问权限信息所涉及的网 络存储目录或网络存储文件相关信息对应的存储授权策略元数据中， 根据 所述请求中携带的请求授予的存储访问权限信息， 创建与被授权用户身份 标识对应的存储访问权限元数据； 或者， 检索授权用户的存储授权策略元 数据文件， 并在其中的与所述授权用户请求操作的存储访问权限信息所涉 及的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中 ， 根据所述请求中携带的请求授予的存储访问权限信息， 创建与不能被授 予访问权限的访问用户的身份标识对应的存储访问权限元数据； 或者， 第二权限授予子单元， 用于检索与所述授权用户对应的用户访问策略元数 据文件， 并在其中的与所述授权用户请求操作的存储访问权限信息所涉及 的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中， 创建与被授权用户身份标识对应的用户访问规则； 同吋， 在与所述用户访 问规则对应的网络存储元数据文件中根据所述请求中携带的请求授予的存 储访问权限信息， 创建与被授权用户身份标识对应的存储访问权限元数据 ， 或者， 检索与所述授权用户对应的用户访问策略元数据文件， 并在其中 的与所述授权用户请求操作的存储访问权限信息所涉及的网络存储目录或 网络存储文件相关信息对应的用户访问规则元数据中， 创建与被授权用户 身份标识对应的用户访问规则； 同吋， 在与所述用户访问规则对应的网络 存储元数据文件中， 根据所述请求中携带的请求授予的存储访问权限信息 ， 创建与不能被授予访问权限的访问用户的身份标识对应的存储访问权限 元数据。

24、 如权利要求 22所述的网络存储访问权限管理装置， 其特征在于， 所述 权限更新单元包括：

第一权限更新子单元， 用于检索与所述授权用户对应的存储授权策略元数 据文件， 并在其中的与所述授权用户请求操作的存储访问权限信息所涉及 的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中， 根据所述请求中携带的请求更新的存储访问权限信息， 更改与被授权用户 身份标识对应的存储访问权限元数据； 或者， 用于检索与所述授权用户身 份标识对应的存储授权策略元数据文件， 并在其中的与被授权用户访问的 授权用户网络存储目录或网络存储文件的所述网络存储目录或网络存储文 件相关信息对应的存储授权策略元数据中， 根据所述请求中携带的请求更 新的存储访问权限信息， 更改与不能被授予访问权限的访问用户的身份标 识对应的存储访问权限元数据；

或者，

第二权限更新子单元， 用于在所述授权用户对应的用户访问策略元数据文 件中， 检索与所述授权用户请求操作的存储访问权限信息所涉及的网络存 储目录或网络存储文件相关信息对应的用户访问规则元数据中， 与所述被 授权用户身份标识对应的用户访问规则； 并且在与所述用户访问规则对应 的网络存储元数据文件中， 根据所述请求中携带的请求更新的存储访问权 限信息， 更改与所述被授权用户身份标识对应的存储访问权限元数据； 或 者， 用于在所述授权用户对应的用户访问策略元数据文件中的与所述授权 用户请求操作的存储访问权限信息所涉及的网络存储目录或网络存储文件 相关信息对应的用户访问规则元数据中， 检索与不能被授予访问权限的访 问用户的身份标识对应的用户访问规则； 并且在与所述用户访问规则对应 的网络存储元数据文件中， 根据所述请求中携带的请求更新的存储访问权 限信息， 更改与所述不能被授予访问权限的访问用户的身份标识对应的存 储访问权限元数据。

25、 如权利要求 22所述的网络存储访问权限管理装置， 其特征在于， 所述 第一权限删除单元包括：

第一权限删除子单元， 用于检索与所述授权用户对应的存储授权策略元数 据文件， 并在其中的与所述授权用户请求操作的存储访问权限信息所涉及 的网络存储目录或网络存储文件相关信息对应的存储授权策略元数据中， 根据所述请求中携带的请求撤回的存储访问权限信息， 删除与所述被授权 用户身份标识对应的存储访问权限元数据； 或者， 用于检索与所述授权用 户对应的存储授权策略元数据文件， 并在其中的与所述授权用户请求操作 的存储访问权限信息所涉及的网络存储目录或网络存储文件相关信息对应 的存储授权策略元数据中， 根据所述请求中携带的请求撤回的存储访问权 限信息， 删除与所述不能被授予访问权限的访问用户的身份标识对应的存 储访问权限元数据；

或者，

第二权限删除子单元， 用于检索与所述授权用户对应的用户访问策略元数 据文件， 并在其中的与所述授权用户请求操作的存储访问权限信息所涉及 的网络存储目录或网络存储文件相关信息对应的用户访问规则元数据中， 删除与所述被授权用户身份标识对应的用户访问规则； 同吋， 在与所述被 删除的用户访问规则对应的网络存储元数据文件中， 根据所述请求中携带 的请求撤回的存储访问权限信息， 删除与所述被授权用户身份标识对应的 存储访问权限元数据； 或者， 用于检索与所述授权用户对应的用户访问策 略元数据文件， 并在其中的与所述授权用户请求操作的存储访问权限信息 所涉及的网络存储目录或网络存储文件相关信息对应的用户访问规则元数 据中， 删除与所述不能被授予访问权限的访问用户的身份标识对应的用户 访问规则； 同吋， 在与所述被删除的用户访问规则对应的网络存储元数据 文件中， 根据所述请求中携带的请求撤回的存储访问权限信息， 删除与所 述不能被授予访问权限的访问用户的身份标识对应的存储访问权限元数据

[26] 26、 如权利要求 21至 25任意一项所述的网络存储访问权限管理装置， 其特 征在于， 所述消息业务元数据文件管理器还包括：

第二权限删除单元， 用于在授权用户对应的网络存储访问权限元数据文件 中， 授权用户为被授权用户设置的网络存储目录或网络存储文件的存储访 问权限的过期吋间到达吋， 删除与所述被授权用户身份标识对应的存储访 问权限元数据。

[27] 27、 如权利要求 26所述的网络存储访问权限管理装置， 其特征在于， 所述 第二权限删除单元包括：

第三权限删除子单元， 用于在授权用户的存储授权策略元数据文件中， 当 其中一个被授权用户身份标识对应的存储访问权限元数据中的权限过期吋 间到达吋， 则删除该存储访问权限元数据；

或者，

第四权限删除子单元， 用于在授权用户的网络存储元数据文件中， 当某个 被授权用户身份标识对应的存储访问权限元数据中的权限过期吋间到达吋 ， 则删除该存储访问权限元数据； 同吋， 在授权用户对应的用户访问策略 元数据文件中， 删除与所述被授权用户该存储访问权限对应的用户访问规 则元数据。

[28] 28、 如权利要求 26所述的网络存储访问权限管理装置， 其特征在于， 还包 括：

通知服务器， 用于当根据授权用户的网络存储访问权限操作请求， 操作所 述授权用户的网络存储目录或网络存储文件的存储访问权限后， 将发生变 化的网络存储访问权限元数据， 通知给所述网络存储访问权限元数据中对 应的被授权用户；

或者， 当授权用户为被授权用户设置的网络存储目录或网络存储文件的存 储访问权限的权限过期吋间到达后， 将发生变化的网络存储访问权限元数 据， 通知给所述网络存储访问权限元数据中对应的被授权用户。

[29] 29、 如权利要求 28所述的网络存储访问权限管理装置， 其特征在于， 所述 通知服务器还用于： 在通知被授权用户所述发生变化后的存储访问权限元 数据吋， 将能够釆用的访问方式， 通知给所述被授权用户。

[30] 30、 一种网络存储访问权限管理装置， 其特征在于， 包括网络存储权限访 问控制器和消息业务元数据文件管理器，

所述网络存储权限访问控制器， 用于获得被授权用户针对授权用户网络存 储的访问请求； 根据所述消息业务元数据文件管理器中与所述授权用户对 应的网络存储访问权限元数据中的与所述被授权用户对应的存储访问权限 信息， 对所述被授权用户的访问请求进行合法性验证； 对通过验证的访问 请求， 向所述消息业务元数据文件管理器请求所述被授权用户具有访问权 限的元数据， 并将所述消息业务元数据文件管理器反馈的元数据提供给所 述被授权用户；

所述消息业务元数据文件管理器， 用于将与所述授权用户网络存储访问权 限元数据中与所述被授权用户对应的存储访问权限信息， 反馈给所述网络 存储权限访问控制器。

[31] 31、 如权利要求 30所述的网络存储访问权限管理装置， 其特征在于， 所述 消息业务元数据文件管理器包括：

第一请求处理单元， 用于检索授权用户存储授权策略元数据文件中与被授 权用户访问的授权用户网络存储目录或网络存储文件的相关信息对应的存 储授权策略元数据， 获得与所述被授权用户身份标识对应的存储访问权限 元数据； 将与所述存储访问权限元数据对应的网络存储目录或网络存储文 件元数据， 反馈给所述网络存储权限访问控制器；

或者， 第二请求处理单元， 用于检索授权用户用户访问策略元数据文件中与被授 权用户访问的授权用户网络存储目录或网络存储文件的相关信息对应的用 户访问规则元数据， 获得与所述被授权用户身份标识对应的用户访问规则 ； 根据所述用户访问规则， 在对应的网络存储元数据文件中， 获得与所述 被授权用户身份标识对应的存储访问权限元数据； 将与所述存储访问权限 元数据对应的网络存储目录或网络存储文件元数据， 反馈给所述网络存储 权限访问控制器。

[32] 32、 如权利要求 30所述的网络存储访问权限管理装置， 其特征在于， 所述 网络存储权限访问控制器， 还用于：

对通过验证的访问请求， 将授权用户网络存储元数据文件中所述被授权用 户具有访问权限的元数据， 提供给消息服务器； 获得

消息服务器根据所述元数据向消息内容存储器请求的所述被授权用户具有 访问权限的元数据对应的消息内容， 并将其提供给被授权用户。

[33] 33、 如权利要求 32所述的网络存储访问权限管理装置， 其特征在于， 所述 消息业务元数据文件管理器还包括：

数据更新单元， 用于获得所述消息服务器发送的请求， 所述请求中携带： 根据被授权用户上传的消息内容， 在消息内容存储器

中添加、 更改或删除所述授权用户网络存储内容； 根据所述变化的信息， 更新授权用户网络存储目录或网络存储文件中相应的元数据信息。

[34] 34、 如权利要求 32所述的网络存储访问权限管理装置， 其特征在于， 还包 括：

通知服务器， 用于在根据被授权用户上传的消息内容， 更新授权用户网络 存储目录或网络存储文件相应的元数据信息后， 将发生变化所得的元数据 ， 通知给所述授权用户， 和 /或， 具有该网络存储目录和 /或网络存储文件访 问权限的被授权用户。

[35] 35、 如权利要求 34所述的网络存储访问权限管理装置， 其特征在于， 所述 通知服务器还用于： 在通知被授权用户所述发生变化后的存储访问权限元 数据吋， 将能够釆用的访问方式， 通知给所述被授权用户。