CN1987884A - 用于对资源内容进行访问控制的方法和系统 - Google Patents
用于对资源内容进行访问控制的方法和系统 Download PDFInfo
- Publication number
- CN1987884A CN1987884A CN200610147096.XA CN200610147096A CN1987884A CN 1987884 A CN1987884 A CN 1987884A CN 200610147096 A CN200610147096 A CN 200610147096A CN 1987884 A CN1987884 A CN 1987884A
- Authority
- CN
- China
- Prior art keywords
- file
- document
- user
- access rights
- visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000008859 change Effects 0.000 claims abstract description 24
- 230000004044 response Effects 0.000 claims description 22
- 238000012217 deletion Methods 0.000 claims description 9
- 230000037430 deletion Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000008521 reorganization Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 101000911390 Homo sapiens Coagulation factor VIII Proteins 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 102000057593 human F8 Human genes 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 229940047431 recombinate Drugs 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Document Processing Apparatus (AREA)
Abstract
在用于多用户的内容共享系统中,提供了一种用于执行使得能够自由且灵活地设置访问权限的访问控制的方法、系统和计算机程序产品。关于逻辑层级结构中的任意文档等,提供了一种方法,用于作为对为每个用户设置的访问权限内容上的改变的响应,或者作为对通过从另一个文档等进行移动或复制来新创建文档等的响应,确定针对文档等而为特定用户设置的访问权限的范围是否超出了针对紧接在该文件夹之上的文件夹而为该用户设置的访问权限的范围。在已经确定该超出的情况下,创建用于直接访问的新文件夹并针对该文件夹设置访问权限,该访问权限等于或超出已经被确定为超出为该用户设置的访问权限的范围的访问权限的范围。
Description
技术领域
本发明涉及在由多用户共享的内容共享系统中对资源内容进行访问控制。特别地,本发明涉及一种方法、系统和计算机程序产品,用于使得可以基于在由多用户共享的内容共享系统中建立自由且灵活的访问权限来执行对资源内容的访问控制。
背景技术
最近,已经广泛使用了基于网络的计算机系统,其由诸如客户端计算机和服务器计算机之类的多个计算机以及通过诸如因特网和内网(包括公司内部的LAN(局域网))之类的网络连接的多个I/O(输入/输出)设备构成。一般地,在这样的计算机系统中,多个用户可以访问存储在网络上特定计算机(例如,服务器计算机)中的相同的“资源内容”(也简称为“资源”或“内容”),并且因此称该计算机系统为“由多个用户(多用户)共享的内容共享系统”。
这里,“资源内容”包括存储在计算机中的“文档”(也称为“文档文件”或简称为“文件”),以及“文件夹”,顾名思义,文件夹可以具有一个或多个文档以便于对文档进行访问,并且通过将这些文件夹配置为在逻辑上彼此关联并按层级布置,使得它们仿佛以树状(分枝)彼此连接,可以按层级管理每个文件夹中的各个文档。
也就是说,最高层级(hierarchy)(第0层级)的单个文件夹相当于树根,称为根文件夹,其可以具有一个或多个文档以及一个或多个最高级别(top-level)文件夹(第1层级的文件夹),并且这些最高级别文件夹中的每一个文件夹也可以具有一个或多个文档以及一个或多个第2层级的文件夹。
因此,从作为最高层级的根文件夹直到位于最低层级的文件夹,以树状将文件夹彼此连接来构成逻辑层级结构,并且该树型层级结构中的各个文件夹都可以具有一个或多个文档,使得可以按层级管理存储在该计算机或类似设备中的所有文档。
图1示出了资源内容的逻辑层级结构的示例。文件夹110具有文档120和文件夹130。文件夹130中还具有文档140、150和160。
资源内容的该逻辑层级结构在实际中是使用用于查阅资源内容的链接机制来实现的。其使用逻辑层级结构实现资源内容的管理,其中在计算机中提供(例如,在服务器计算机中以数据库的方式提供)“链路表”,对于一些资源内容组合用作源和目标的情况,该链路表规定特定“源(传输源)”的资源内容是否能够直接查阅(访问)特定“目标(目的地)”的资源内容,因此关于该用于查阅的链接机制的应用软件确定了可以基于该链路表内容而查阅的资源内容之间的关系。
例如,在图1示出的资源内容的逻辑层级结构的情况下,这是通过使用表1示出的链路表来实现的。如同该表1,将从源到目标的每个链路表示为链路表中的每个条目。这里,“链路类型”就像是每个链路的区分标记,其可以针对每个应用软件而被定义,并且可以为其分配任意值。在表1中,分配了字符串“文件夹”。
[表1]
链路表
| 源 | 目标 | 链路类型 |
| 文件夹110文件夹110文件夹130文件夹130文件夹130 | 文件夹130文档120文档140文档150文档160 | 文件夹文件夹文件夹文件夹文件夹 |
在上述“用于多个用户的内容共享系统”中,一般地,每个用户都能够访问(读、写或类似操作)属于树型逻辑层级结构中的任意文件夹的任意资源内容,诸如文档和文件夹。然而,如果针对每个用户的任何访问控制未被执行,则这是不希望的,其原因如下:这会引起安全问题,其中预定只能被某个特定用户访问的文档等可能会被其他用户访问;并且由于文档的数量巨大及层级的复杂性,这会减少用于用户的用户接口(即可操作性),原因在于不需要被用户访问的文档却可能被该用户浏览。因此,为了避免这些问题,通过为各个用户或用户群组设置“访问权限”来执行对每个用户的具体访问控制,这表明了在该树型逻辑层级结构中允许用户或用户群组对各个资源内容执行的访问类型,诸如文件夹和文档。
针对应被控制访问的资源内容而设置的表明各个用户对资源内容的访问权限的列表(即表明对哪个用户或用户群组给予何种类型的权限的列表)称为“访问控制列表(ACL)”。
ACL包括控制对文件夹的访问的“文件夹ACL”,以及控制对文档的访问的“文档ACL”。同时,至于访问类型,有各种各样的访问类型,包括允许查阅文档等的“读”,允许修改文档等的“写”,以及“删除”、“执行”、“打印”、“改变权限”、“下载”、“创建”等,并且也可以加入用户定义的权限。当针对位于树型逻辑层级结构中特定层级内的特定文件夹而设置特定文件夹ACL时,基于该文件ACL设置来限制对位于低于该文件夹的级别中的所有资源内容的访问权限,因此基于比该访问权限更宽的权限的访问不能实际地执行。
在图1示出的示例中,示出了“只允许各个用户A、B、C的读访问(读:A、B、C)”的文件夹ACL是针对文件夹110设置的,这意味着只允许用户A、B、C对文件夹110执行读访问,而不允许用户A、B、C执行诸如写访问之类的其他类型的访问,并且还示出了除了用户A、B、C以外的用户甚至连读访问都不允许执行。另外,紧接在文件夹110之下的文件夹130不能执行基于比文件夹110中设置的权限“只允许各个用户A、B、C的读访问(读:A、B、C)”更宽的权限的访问,这在该图的示例中可以看到,其中设置了具有更窄权限的ACL,该权限即“只允许各个用户A、B的读访问(读:A、B)”。
如上所述,在由多个用户共享的内容共享系统中,多个用户的访问控制是按照惯例基于与在树型逻辑层级结构基础上的资源内容管理对应的ACL设置(所谓的层级ACL模型)来执行的。尽管该层级ACL模型由于可以利用文件夹的层级来管理访问权限并且由于可以在每个文档的更高级别中的文件夹的文件夹ACL的限制范围内为该文档设置不同的ACL而具有优势,但是该层级ACL模型也由于根据通用用户接口下的更高级别文件夹的文件夹ACL设置而限制对更低级别资源内容的访问权限而具有缺陷,其通过从最高的文件夹到更低级别文件夹顺序而行来访问文档,并且这样,根据该ACL和更高级别文件夹ACL的组合,特定ACL的设置可能会变得无意义,导致不能按照希望设置ACL。
例如,在图1中,针对文件夹130之下的文档160设置了文档ACL“允许用户B的读访问和写访问(读:B,写:B)”,但该文档ACL设置是基于比文件夹130的文件夹ACL设置更宽的权限的,导致对文档160的访问被基于其更高级别的文件夹130的ACL设置的权限所限制。因此,该文档ACL中超出文件夹130的文件夹ACL的部分,即访问权限设置“允许用户B的写访问(写:B)”不能有效地起作用,导致了无意义的设置。在这种情况下,如果针对文件夹130的文件夹ACL设置根据该文档ACL设置而改变,则对文件夹130之下所有文档的访问都会被改变过的ACL设置所影响。作为结果,这是不希望的,原因是该文档ACL设置有效地起作用,但同时,该改变可能为属于文件夹130的所有其他文档赋予具有不必要的更宽范围的访问权限。此外,在图1中,针对紧接在文件夹110之下的文档120而设置文档ACL“允许用户A、B、C的读访问和写访问(读:A、B、C,写:A、B、C)”。然而,这是基于比针对紧接在它之上的文件夹110的文件夹ACL设置的权限更宽的权限的,因此,以与上述情况类似的方式,该文档ACL中的一部分超出了针对文件夹110而设置的文件夹ACL的范围,即访问权限设置“允许用户A、B、C的写访问(写:A、B、C)”不能有效地起作用,导致了无意义的设置。
如上所述,在传统的层级ACL模型中,不可能处理除了那些由更高级别(紧接在其上的)文件夹的文件夹ACL设置许可的用户之外的用户要访问文档的情况。
为了处理这些问题,可以考虑一种方法,用来使用用于对所有资源内容设置相同的ACL的ACL模型(“相同的ACL模型”)和用于对所有文件夹设置文件夹ACL“允许所有用户的所有权限(公共的)”以仅通过文档ACL设置来控制它的ACL模型(“公共的ACL模型”)的组合。图2示出了用该组合模型进行访问控制的示例。在该图中,对两个ACL模型进行了组合。将相同的ACL模型应用于第一层级右侧的最高级别文件夹210和它的更低级别的资源内容,其中在此对可以在相同的访问权限下管理的资源内容进行布置。至于根文件夹200,以及第一层级左侧的最高级别文件夹220和它的更低级别的文件夹,将文件夹ACL设置为“公开”(Public),因此通过针对每个文档设置不同的文档ACL来执行对各个文档的访问控制。
这种方法使得可以通过使用位于每个层级的文档的文档ACL来管理文档,而不考虑文件夹ACL,并且各个经组合的ACL模型也将是简单而直接的。但是,因为该方法没有使用针对按层级布置的文件夹的文件夹ACL按层级管理文档,就出现了一些缺点,例如,将文件夹布置为树型逻辑层级结构变得无意义;从安全和隐私保护的观点出发,不希望出现这种情况,原因是由于将文件夹ACL设置为“公开”而使文件夹名或文档名对所有用户公开,并且因此从某种程度上说,这些名称有助于猜出其内容;随着文档数量的增加,这会使维护变得麻烦,原因是其需要针对所有文档的精确ACL设置,并且要求最高级别文件夹(紧接在根文件夹之下的第一层级中的文件夹)对多个ACL模型进行组合,从而使得随着最高级别文件夹数量的增加,在用户接口方面的使用变得不方便。
此外,作为本发明的对比文件,有一些关于ACL设置方法的文章。在日本未审查专利公开(Kokai)No.2002-116934中描述的技术是关于用于在访问发生时基于内容的状态或属性来动态地控制对各内容(资源内容)的访问权限的系统的。在日本未审查专利公开(Kokai)No.2003-91448中描述的技术是一种具有某种功能的文档管理系统,该功能集中地改变例如对文档和文件夹的访问权限,其中该功能在预设了用户或用户群组的访问权限时被禁用,并且该功能被规定(由用户)为不执行由用户指示的访问权限的改变或类似操作,并且其中访问权限在预设用户或用户群组的访问权限时被设置和合并,并且访问权限被规定(由用户)为合并由用户指示的用户权限。此外,在日本未审查专利公开(Kokai)No.2003-280990中描述的技术将用户属性信息(诸如一个组织的职位信息和职务权限的范围)与针对每个文档的访问权限类型相关联,并通过将ACL连接到用户属性信息来设置ACL,以便尝试减轻检查对重组和其他维护工作的群组配置的负担,该重组和其他维护工作是当访问权限只通过一个用户ID(标识符)管理时所需要的。
尽管每个对比文件都能随后或自由地设置ACL,所设置的ACL还是要以遵循传统的层级ACL模型中的限制为前提。换句话说,对更低级别资源内容的访问权限受到基于针对更高级别文件夹而设置的文件夹ACL的访问权限的限制。因此,以上对比文件不能从根本上解决上述问题。
[专利文献1]
日本未审查专利公开(Kokai)No.2002-116934
[专利文献2]
日本未审查专利公开(Kokai)No.2003-91448
[专利文献3]
日本未审查专利公开(Kokai)No.2003-280990
发明内容
因此,本发明旨在通过使用针对用于多用户的内容共享系统的现有层级ACL模型来解决上述问题,并且提供了一种方法、系统和计算机程序产品,用于执行可以自由且灵活地设置访问权限的访问控制。该目的通过对独立权利要求中所描述的特征的组合来实现。从属权利要求限定了本发明的另外的有利示例。
为了解决上述问题,本发明提供了一种方法,用于在内容共享系统中,由计算机根据针对每个文档或文件夹而为每个用户设置的访问权限来管理用户对文档或文件夹的访问的方法,该方法包括步骤:对于逻辑层级结构中根文件夹下的任意文档或文件夹,作为针对文档或文件夹设置的访问权限的内容上的改变的响应,或者作为对通过从另一个文档或文件夹进行移动或复制来创建新的文档或文件夹的响应,确定针对该文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对在层级结构中紧接在该文档或文件夹之上的文件夹而为用户设置的访问权限的范围;在确定步骤中已确定超出的情况下,在层级结构中紧接在预定文件夹之下创建用于直接访问的新文件夹,并针对该用于直接访问的文件夹设置访问权限,该访问权限的范围等于或超出针对该文档或文件夹而为用户设置的访问权限的范围;以及在创建和设置步骤之后,创建以该用于直接访问的文件夹为源并以该文档或文件夹为目标的访问链路,并且本发明还提供了能够执行该方法的系统和用于使计算机执行该方法的程序产品。
另外,本发明提供了一种方法,用于在内容共享系统中,由计算机根据针对每个文档或文件夹而为每个用户设置的访问权限来管理用户对文档或文件夹的访问,该方法包括步骤:对于在逻辑层级结构中根文件夹下的任意文档或文件夹,作为针对该文档或文件夹设置的访问权限内容上的改变的响应,或者作为对通过从另一个文档或文件夹进行移动或复制来创建新的文档或文件夹的响应,确定针对该文档或文件夹而为至少一个用户设置的访问权限范围是否超出了针对在层级结构中紧接在该文档或文件夹之上的文件夹而为用户设置的访问权限的范围;在确定部分中已确定超出的情况下,在层级结构中紧接在预定文件夹之下创建用于直接访问的新文件夹,并针对该用于直接访问的文件夹设置访问权限,该访问权限的范围等于或超出针对该文档或文件夹而为用户设置的访问权限的范围;在创建和设置步骤之后,创建以该用于直接访问的文件夹为源并以该文档和文件夹为目标的访问链路;作为对用户的请求的响应,显示所有用于直接访问的文件夹的列表,其中为该用户设置用户访问权限;以及作为对用户指定预定要访问用于从该用户能够访问的现有预定文件夹直接访问的文件夹而不是所有用于直接访问的文件夹的链路目的地处的文档或文件夹的响应,对于所有所显示的用于直接访问的文件夹中的每一个文件夹,创建以该预定文件夹为源并以该用于直接访问的文件夹或者该用于直接访问的文件夹的链路目的地的文档或文件夹为目标的第二访问链路,并且本发明还提供了能够执行该方法的系统和用于使计算机执行该方法的程序产品。
这里应注意,上述对本发明的简要描述没有列举本发明所需的所有特征,并且由本发明的这些特征中的一部分构成的组合也可以被认为是本发明。
根据本发明,在用于多用户的内容共享系统中,访问控制的设置可以自由且灵活地执行,而不受到传统访问控制模型中访问权限设置的限制范围的限制。
附图说明
图1示出了资源内容的树型逻辑层级结构的示例;
图2示出了由两种访问控制模型的组合模型进行的访问控制的示例;
图3示出了关于执行本发明的用于多用户的内容共享系统的系统环境的示例;
图4更详细地示出了图3中的服务器计算机的典型配置的示例;
图5示意性地示出了应用软件等管理所存储的内容的方式;
图6A至图6D示出了在图3中的用于多用户的内容共享系统中针对资源内容的树型逻辑层级结构而执行根据本发明的第一实施例的方式;
图7示出了执行本发明的整个处理的流程图;
图8A和图8B示出了在图3中的用于多用户的内容共享系统中针对资源内容的树型逻辑层级结构而执行根据本发明的第二实施例的模式;
图9示出了在图3中的用于多用户的内容共享系统中紧接在基于根据本发明的针对资源内容的树型逻辑层级结构的第一实施例或第二实施例而创建用于直接访问的新的最高级别文件夹之后的状态;并且
图10A-图10C示出了先前基于根据本发明的第四实施例而创建的用于直接访问的最高级别文件夹的组织和合并。
具体实施方式
在下文中,将参考附图详细描述执行本发明的最好模式(下文中的实施例),但是这些实施例并不对根据权利要求的本发明进行限制,并且实施例中所描述的特征的所有组合对用于解决问题的装置来说并不一定是必不可少的。
图3示出了执行本发明的用于多用户的内容共享系统的系统环境的示例。
在图3中的系统中,多个客户端计算机(客户端终端)300、302和多个I/O(输入/输出)设备310、312通过诸如因特网之类的网络350连接到服务器计算机320,并且服务器计算机320还与用于集中地存储各种内容的内容服务器322本地地连接,服务器计算机320管理对内容服务器332中所存储的各种内容的访问,该服务器计算机320能够使用在例如AIX(TM)和UNIX(TM)之类的操作系统中操作的某些服务器应用软件来为访问该服务器计算机的用户实现各种功能,诸如注册、获取、查阅和删除内容服务器322中所存储的内容,设置ACL(即设置共享者),以及收发邮件。服务器计算机320和内容服务器322可以被组合并被看作管理由这些内容构成的一个或多个数据库的一个数据库系统。尽管图3中的示例中只示出了一个内容服务器,但显然多个内容服务器可以连接到该服务器计算机320。还可以向服务器计算机320等的存储器提供所有的内容,而不独立地布置内容服务器。此外,尽管图3中仅示出了一个服务器计算机,但显然该系统环境可以包括连接到网络350的多个服务器计算机。
客户端计算机300、302是例如具有在诸如Windows(TM)操作系统中操作的客户端应用软件的个人计算机,并且I/O设备310、312是指置于例如便利店等中的MFP(多功能打印机),其集诸如打印、复印、扫描、传真及媒体I/O等多种功能于一身。每个用户都可以使用客户端计算机300、302或I/O设备310、312来访问存储在服务器计算机中的文档(即内容)。
图4更详细地示出了图3中的服务器计算机320的典型配置的示例。在该配置中,内存控制器桥402(也称为内存桥或第一桥)紧密连接到管理该服务器计算机320的所有控制的处理器400(也称为中央处理单元、CPU或主处理器),并且该内存控制器桥402还直接与主内存404(也称为内存或主存储器)和主要执行需要较高速度的处理的图形控制器406连接。I/O控制器桥410(也称为I/O桥或第二桥)也通过诸如PCI(外围组件接口)本地总线408之类的总线连接到该内存控制器桥402,并且该I/O控制器桥410与硬盘驱动器412(也称为HDD、硬盘、硬盘存储器或固定存储器)连接,该硬盘驱动器412可以存储操作系统或程序,该程序诸如执行本发明所需的应用软件。除此之外,该I/O控制器桥410与多种类型的外部接口设备414、416和418连接,并且通过其中的一个外部接口设备414与图3中的内容服务器322本地地连接,也就是与构成该内容服务器322的硬盘驱动器430连接,这样就使得可以在其中存储多种内容432以集中地进行管理从而配置一个或多个数据库434、436。作为替代,如上所述,可以在图3中的服务器计算机320中的硬盘驱动器412中存储部分或全部的多种内容。此外,可以通过另一个外部接口设备418与图3中的网络350连接,这样就使得可以从连接到该网络350的客户端计算机300、302或I/O设备310、312访问内容432。
图5示意性地示出了应用软件等是如何管理图4中的内容服务器322中的硬盘驱动器430中所存储的内容(资源内容)的。尽管内容服务器322存储着资源内容的实际数据,诸如文档500、502和504或文件夹508、510和512,但内容服务器322中的硬盘驱动器430和/或服务器计算机320的硬盘驱动器412的存储区域具有分配表516,用于以各个资源内容的属性和实际数据的存储位置来描述各个资源内容之间的关系,该关系是当应用软件访问这些资源内容时所需的。如果资源内容是文档,则属性包括文档名(文档文件名)、创建者、创建(更新)日期和时间、扩展名(文件类型)、文档ACL等,而如果资源内容是文件夹,则属性包括文件夹名、创建者、创建(更新)日期和时间、文件夹ACL等。如上所述,该存储区域还具有用于描述各个资源内容之间的查阅关系的链路表520,所以应用软件524可以通过查阅该链路表520的内容来精确地把握各个资源内容间的逻辑层级关系。类似地,如果需要,则针对应用软件524执行本发明,该应用软件524通常存储在内容服务器322中的硬盘驱动器430中,并且如果需要适当地对存储在该存储区域中的数据执行所需的访问528、530和532,则将该应用软件524加载到主内存上。如图5右半部分所示,应用软件524基于操作系统534的控制来操作并且如果需要则使用操作系统的开放函数,因此该控制被通过作为属于函数调用形式的接口的API(应用程序接口)传递给操作系统,并且还被从该操作系统534传递到用于各个硬件设备的设备驱动器(设备驱动程序)536、538,并且各个硬件设备540、542(例如硬盘驱动器)在该控制下用以在包括处理器的每个硬件设备之间执行实际数据的交换。换句话说,该应用软件524使得计算机的硬件资源(处理器、主内存、硬盘驱动器等)执行根据本发明方法的程序,或使得计算机的硬件资源(处理器、主内存、硬盘驱动器等)用作根据本发明方法的装置。
下文中将在上述系统环境下描述本发明的实施例。
作为本发明的第一实施例,首先将描述树型逻辑层级结构中任意资源内容的ACL改变的情况。图6A至图6B示出了针对在图3中的用于多用户的内容共享系统的服务器计算机320和内容服务器322中配置的资源内容的树型逻辑层级结构而执行本发明第一实施例的模式。图7示出了本发明的第一实施例的整个处理的流程。
图6A示出了初始状态。一个最高级别文件夹602被布置为紧接在根文件夹600之下,并且针对该最高级别文件夹602设置了ACL“允许用户A、B、C的读访问(读:A、B、C)”。此外,文件夹604、606被布置为紧接在最高级别文件夹602之下,开且针对文件夹606设置了ACL“允许用户C的读访问(读:C)”。由于该ACL设置的访问权限范围比紧接在它之上的最高级别文件夹602中所设置访问权限窄(即允许用户A和用户B对文件夹602的读访问,但不允许他们对文件夹606的读访问),因此该ACL设置不是无意义的设置,而是能有效地起作用的。此外,文件夹606具有三个文档608、610和612,并且针对它们中的每一个文档都设置了ACL“允许用户C的读访问(读:C)”。
如图6B所示,当改变访问权限以至于允许用户D和用户E对文件夹606的读访问(即针对文件夹606的ACL设置被设置为“读:C、D、E”)时,处理前进到随后确定是否应该紧接在根文件夹600之下新创建用于直接访问的最高级别文件夹的步骤(图7中S700处的“是”)。首先,由于针对文件夹606的ACL设置从“读:C”改变为“读:C、D、E”,因此确定用户D和用户E的访问权限扩展了(即从什么都不允许的状态改变到允许读的状态),而用户C的访问权限没有改变,这样针对文件夹606的访问权限作为一个整体与ACL设置改变之前相比而言是扩展了(图7中S702处的“是”)。接下来,确定用户D和用户E访问权限的扩展是否超出了用户D和用户E对紧接在该文件夹之上的最高级别文件夹602的访问权限的范围(图7中的S704)。针对最高级别文件夹602的ACL设置是“读:A、B、C”,这表明意味着用户C的访问权限在针对文件夹606的ACL设置的这一改变中没有扩展,但是,因为没有对用户D和用户E设置任何访问权限,因此用户D和用户E的访问权限扩展了。因此,确定应该新创建用于直接访问的最高级别文件夹,并且紧接在根文件夹600之下创建最高级别文件夹620(图7中的S706)。
以如下方式具体地执行该关于“特定用户的访问权限是否扩展”的确定。也就是说,将针对最高级别文件夹602的ACL设置存储在图5中的分配表516的属性列中,并且例如,其存储状态可在表2(a)中示意性地示出。同时,将改变之后的针对文件夹606的ACL设置存储在分配表516的属性列的与上面相同的部分中,并且其存储状态同样可以在表2(b)中示意性地示出。应用软件读出表2(a)和表2(b)中示出的存储状态(即应用软件使得计算机的硬件资源执行),以便随后搜索表2(a)中是否有一项的值为“0”并查找表2(b)中是否有一项的值为“1”(用户与访问权限类型的组合),并且,当出现了这样的项(在本例中为“读”-用户D和“读”-用户E的组合)时,其确定访问权限扩展了。此外,其指定了关于此项的用户(在本例中为用户D和用户E)和访问权限类型(在本例中为“读”)。
至于已经被确定超出针对紧接在它之上的最高级别文件夹602的访问权限的范围的用户D和用户E对文件夹606的访问权限,在最高级别文件夹620(图7中的S708)中设置关于范围等于或超出该范围的访问权限的ACL。也就是说,在最高级别文件夹620中设置ACL“允许用户D和用户E的读访问(读:D、E)”。
[表2]
(a)针对最高级别文件夹602的ACL的存储状态
| 用户 | 访问权限的类型 | |||||||
| 读 | 写 | 删除 | 执行 | 打印 | 下载 | 创建 | … | |
| ABCDE:: | 11100:: | 00000:: | 00000:: | 00000:: | 00000:: | 00000:: | 00000:: | ……………… |
(b)针对最高级别文件夹606的ACL的存储状态
| 用户 | 访问权限的类型 | |||||||
| 读 | 写 | 删除 | 执行 | 打印 | 下载 | 创建 | … | |
| ABCDE:: | 00111:: | 00000:: | 00000:: | 00000:: | 00000:: | 00000:: | 00000:: | ……………… |
通过紧接在根文件夹600之下新创建最高级别文件夹620,传统机制自动地在链路表中附加地创建了以根文件夹600为源并以最高级别文件夹620为目标的链路。除此以外,根据本发明的实施例,附加地创建使得最高级别文件夹620向文件夹606查阅资源内容的链路(图7中的S710)。表3(a)-(d)示出了链路表是如何根据图6A至图6D中的流程而变化的。也就是说,在通过表3(a)中示出的链路表得到图6A中示出的初始资源内容的树型逻辑层级结构同时,作为对针对图6B中示出的文件夹606的ACL设置的改变的响应,在链路表中附加地创建将新创建的最高级别文件夹620定义为源并将文件夹606定义为目标的条目(1),如表3(b)所示,这样就使得可以从最高级别文件夹620查阅文件夹606。这里,最高级别文件夹620的关于访问权限的ACL设置等同于因针对文件夹606的ACL设置的改变而扩展的用户D和用户E的访问权限,所以访问最高级别文件夹620的用户D和用户E可以访问(读)从中进行链接并包括等同的访问权限的文件夹606。至于该条目(1)的链路类型,为了表明该链路是来自通过执行本发明而新创建的用于直接访问的最高级别文件夹的,希望设置与先前为各个条目设置的值不同的值。在表3中,设置了值“直接”。
[表3]
(a)链路表
| 源 | 目标 | 链路类型 |
| 根文件夹600最高级别文件夹602最高级别文件夹602文件夹604文件夹606文件夹606文件夹606 | 最高级别文件夹602文件夹604文件夹606文档614文档608文档610文档612 | 文件夹文件夹文件夹文件夹文件夹文件夹文件夹 |
(b)链路表
(c)链路表
(d)链路表
类似地,如图6C所示,当改变访问权限以至于允许用户F对属于文件夹606的文档610进行读访问(即将针对文档610的ACL设置设置为“读:C、D”)时,处理前进到确定是否应该紧接在根文件夹600之下新创建用于直接访问的最高级别文件夹的步骤(图7中S700处的“是”)。首先,由于针对文档610的ACL设置由“读:C”改变为“读:C、F”,因此确定用户F的访问权限扩展了(即从什么都不允许的状态改变为允许读的状态),而用户C的访问权限没有改变,这样针对文档610的访问权限作为一个整体与ACL设置改变之前相比而言是扩展了(图7中S702处的“是”)。接下来,确定用户F的访问权限的扩展是否超出了用户F对紧接在该文档之上的最高级别文件夹606的访问权限的范围(图7中的S704)。尽管针对文件夹606的ACL设置先前曾如图6B所示地改变为“读:C、D、E”,但即使当与此相比时,用户F的访问权限的范围还是超出了针对文件夹606的访问权限的范围。因此,确定应该新创建用于直接访问的最高级别文件夹,并且紧接在根文件夹600之下创建最高级别文件夹622(图7中的S706)。至于已经被确定为超出了紧接在文档610之上的文件夹606的访问权限范围的用户F对文档610的访问权限,在最高级别文件夹622中设置关于范围等于或超出该访问权限的访问权限的ACL(图7中的S708)。也就是说,在最高级别文件夹622中设置ACL“允许用户F的读访问(读:F)”。
通过紧接在根文件夹600之下创建最高级别文件夹622,在链路表中附加地创建以根文件夹600为源并以最高级别文件夹622为目标的链路。除此以外,根据本发明的实施例,附加地创建使得最高级别文件夹622向文档610查阅资源内容的链路(图7中的S710)。也就是说,作为对针对图6C中示出的文档610的ACL设置的改变的响应,在链路表中附加地创建将新创建的最高级别文件夹622定义为源并将文档610定义为目标的条目(2),如表3(c)所示,这样就使得可以从最高级别文件夹622查阅文档610。这里,最高级别文件夹622的关于访问权限的ACL设置等同于用户F的访问权限因针对文档610的ACL设置的改变而被扩展的针对紧接于其上的文件夹606的访问权限,所以访问最高级别文件夹622的用户F可以访问(读)从中进行链接并包括等同的访问权限的文档610。至于该条目(2)的链路类型,以与条目(1)的情况类似的方式设置值“直接”。
此外,如图6D所示,当改变访问权限以至于允许用户D、E和G对属于文件夹606的文档612进行读访问(即将针对文档612的ACL设置设置为“读:D、E、G”)时,处理前进到确定是否应该紧接在根文件夹600之下新创建用于直接访问的最高级别文件夹的步骤(图7中S700处的“是”)。首先,由于针对文档610的ACL设置由“读:C”改变为“读:D、E、G”,因此确定用户D、E和G的访问权限扩展了(即从什么都不允许的状态改变为允许读的状态),而用户C的访问权限缩小了(从允许读的状态改变为什么都不允许的状态),这样针对文档612的访问权限作为一个整体与ACL设置改变之前相比而言是扩展了(图7中S702处的“是”)。接下来,确定用户D、E和G的访问权限的扩展是否超出了用户D、E和G对紧接在该文档之上的最高级别文件夹606的访问权限的范围(图7中的S704)。针对文件夹606的ACL设置先前曾如图6B所示地改变为“读:C、D、E”。换句话说,用户D和用户E的访问权限的范围没有超出针对文件夹606的访问权限的范围,然而用户G的访问权限的范围超出了针对文件夹606的访问权限的范围。因此,确定应该新创建用于直接访问的最高级别文件夹,并且紧接在根文件夹600之下创建最高级别文件夹624(图7中的S706)。至于已经被确定为超出了针对紧接在文档612之上的文件夹606的访问权限范围的用户G对文档612的访问权限,在最高级别文件夹624中设置关于范围等于或超出该访问权限的访问权限的ACL(图7中的S708)。也就是说,在最高级别文件夹624中设置ACL“允许用户G的读访问(读:G)”。
通过紧接在根文件夹600之下创建最高级别文件夹624,在链路表中附加地创建以根文件夹600为源并以最高级别文件夹624为目标的链路。除此以外,根据本发明的实施例,附加地创建使得最高级别文件夹624向文档612查阅资源内容的链路(图7中的S710)。也就是说,作为对针对图6D中示出的文档612的ACL设置的改变的响应,在链路表中附加地创建将新创建的最高级别文件夹624定义为源并将文档612定义为目标的条目(3),如表3(d)所示,这样就使得可以从最高级别文件夹624查阅文档612。这里,最高级别文件夹624的关于访问权限的ACL设置等同于用户G的访问权限因针对文档610的ACL设置的改变而被扩展的针对紧接于其上的文件夹606的访问权限,所以访问最高级别文件夹624的用户G可以访问(读)从中进行链接并包括等同的访问权限的文档612。至于该条目(3)的链路类型,以与条目(1)和条目(2)的情况类似的方式设置值“直接”。
接下来,作为本发明的第二实施例,将描述树型逻辑层级结构中的用户移动或复制该层级结构中的任意资源内容的情况。图8A和图8B示出了针对在图3中的用于多用户的内容共享系统的服务器计算机320和内容服务器322中配置的资源内容的树型逻辑层级结构而执行本发明第二实施例的模式。图7可以用作示出第二实施例的整个处理的流程的图形。
图8A示出了第一个状态。在根文件夹800之下,布置了一个最高级别文件夹802,其中设置了ACL“允许用户A和用户C的读访问(读:A、C)”。假设最高级别文件夹802针对用户A的私人文件夹至少设置了用户A的某些访问权限,即更低级别资源内容。紧接在最高级别文件夹802之下布置了文件夹804和文档806,其中针对文件夹804设置了ACL“允许用户A的读访问(读:A)”并针对文档806设置了ACL“允许用户A和用户C的读访问(读:A、C)”。由于该ACL设置的访问权限的范围窄于或等同于紧接在其上的最高级别文件夹802中所设置的ACL设置的访问权限的范围,因此该ACL设置不是无意义的设置,而是能有效地起作用的。
这里,如图8B所示,作为对用户A将文档806的位置从紧接在最高级别文件夹802之下的位置移动到紧接在文件夹804之下的位置来建立新文档808的响应,处理前进到确定是否应该紧接在根文件夹800之下新创建用于直接访问的最高级别文件夹的步骤(图7中S700处的“否”,S712处的“是”)。由于移动文档806的位置并没有改变ACL设置本身,因此并未确定基于针对文档808本身的ACL设置的访问权限是否扩展了(处理不前进到通过图7中的S702)。然而,确定紧接在文件夹804之下的新创建的文档808的访问权限是否因此超出了该文件夹804的访问权限的范围(图7中的S704)。由于针对文件夹804的ACL设置为“读:A”,因此用户C的访问权限超出了针对文件夹804的访问权限范围。因此,确定应该新创建用于直接访问的最高级别文件夹,并紧接在根文件夹800之下创建最高级别文件夹820(图7中的S706)。至于已被确定为超出了针对紧接在文档808之上的文件夹804的访问权限范围的用户C对文档808的访问权限,在最高级别文件夹820中设置关于范围等于或超出该访问权限的访问权限的ACL(图7中的S708)。也就是说,在最高级别文件夹820中设置ACL“允许用户C的读访问(读:C)”。
由于紧接在文件夹802之下的文档806移动到了紧接在文件夹804之下的文档808,因此通过使用传统机制重写链路表中关于该移动的条目的内容以及通过紧接在根文件夹800之下新创建最高级别文件夹820,在链路表中新创建以根文件夹800为源并以最高级别文件夹820为目标的链路。除此以外,根据本发明的实施例,附加地创建使得最高级别文件夹820向移动后的文档808查阅资源内容的链路(图7中的S710)。表4(a)和表4(b)示出了链路表是如何根据图8A和图8B中的流程而变化的。也就是说,在通过表4(a)示出的链路表得到图8A中示出的初始资源内容的树型逻辑层级结构同时,作为对图8B中示出的文档806到文档808的移动的响应,在链路表中附加地创建将新创建的最高级别文件夹820定义为源并将文档808定义为目标的条目(4),如表4(b)所示,这样就使得可以从最高级别文件夹820查阅文档808。这里,最高级别文件夹820的关于访问权限的ACL设置等同于用户C对文档808的访问权限,该设置已被确定为超出了紧接在该文件夹之上的文件夹804的访问权限的范围,所以访问最高级别文件夹820的用户C可以访问(读)从中进行链接并包括等同的访问权限的文档808。至于条目(4)的链路类型,以与上述条目(1)至条目(3)的情况类似的方式设置值“直接”。
[表4]
(a)链路表
| 源 | 目标 | 链路类型 |
| 根文件夹800最高级别文件夹802最高级别文件夹802 | 最高级别文件夹802文件夹804文件夹806 | 文件夹文件夹文件夹 |
(b)链路表
| 源 | 目标 | 链路类型 |
| 根文件夹800最高级别文件夹802文件夹804根文件夹800最高级别文件夹820 | 最高级别文件夹802文件夹804文档808最高级别文件夹820文档808 | 文件夹文件夹文件夹文件夹直接(4) |
当不是移动而是复制文档时,并且当移动或复制的不是文档而是文件夹时,处理以与上述移动文档的情况类似的方式前进。在复制文档的情况下,与移动文档的情况不同的是,在改变了链路表中的条目之后,复制源的链路的条目保留在链路表中。然而,从执行本发明的角度来说,两种情况是等同的。在移动或复制文件夹的情况下,该文件夹下所有的资源内容也被移动或复制了,因此本发明适用于这些更低级别资源内容中的每一个资源内容,并且如果需要则适当地新创建用于直接访问的最高级别文件夹。
接下来,作为本发明另一阶段的第三实施例,将描述在基于上述第一实施例和第二实施例创建用于直接访问的最高级别文件夹之后该阶段中的操作。首先,将描述当删除文件夹的文档时的操作。图9示出了在基于针对在图3中的用于多用户的内容共享系统的服务器计算机320和内容服务器322中配置的资源内容的树型逻辑层级结构的本发明的第一实施例或第二实施例紧接在根文件夹900之下创建用于直接访问的新的最高级别文件夹920之后的状态。另外,表5示出了与图9对应的链路表的状态。如图9所示,最高级别文件夹902是用户A的私人文件夹,并且在它的更低级别上配置了由资源内容构成的树型逻辑层级结构,其中每个对至少用户A来说都具有某些类型的访问权限。由于已经对该树型逻辑层级结构中的文档908设置了ACL“允许用户A和用户D的读访问(读:A、D)”,因此创建用于直接访问的新的最高级别文件夹920并创建了链路,这样就使得可以从最高级别文件夹920直接访问文档908。
这里,假设用户A删除了文档908。此时,要搜索链路表中所有条目以列举具有将作为目标被删除的文档908的所有条目。然后,对于每一个列举出来的条目,确认它是否是表明基于第一实施例而创建的以用于直接访问的最高级别文件夹为源的链路的条目。也就是说,作为对删除文档908的响应,确认是否有从最高级别文件夹920到文档908的链路。特别地,在表5的链路表中,目标列中具有文档908的条目最先被搜索到,然后确认每个相关条目的链路类型是否是“直接”,并且找到以最高级别文件夹920为源并以文档908为目标的条目(5)。然后,从链路表中删除该条目(5),并且还继续删除最高级别文件夹920。如上所述,根据本发明的第三实施例,当由于当因删除相关文档或文件夹而使其变得不必要的时,就可以删除基于本发明第一实施例或第二实施例而创建的最高级别文件夹或从最高级别文件夹到文档或文件夹的链路,而不需要用户以任何方式介入。
[表5]
链路表
如上所述,当作为对逻辑层级结构中任意资源内容的ACL设置的改变或者资源内容的移动或复制的响应,根据本发明而创建的用于直接访问的新的最高级别文件夹的数量增加时,就需要考虑对这些增加的最高级别文件夹进行重组和合并。在这种情况下,通过为用户提供“文件夹合并”的服务作为第四实施例,即本发明第一实施例至第三实施例的扩展,用户可以容易地对已经变得复杂的文件夹进行重组和合并。
图10A至图10C示出了根据本发明第四实施例而对由本发明第一实施例或第二实施例新创建的用于直接访问的最高级别文件夹的重组和合并。图10A示出了在本发明第一实施例或第二实施例已经被执行多次后创建定义用户D的访问权限的用于直接访问的某些最高级别文件夹1020、1022和1024之后的状态。将最高级别文件夹1020作为用户A的私人文件夹链接到逻辑层级结构中最高级别文件夹1002之下的文件夹1010,其中在最高级别文件夹1020中也设置了等同于针对文件夹1010设置的用户D的访问权限的关于访问权限的ACL设置。另外,分别将最高级别文件夹1022和1024链接到到逻辑层级结构中作为用户B私人文件夹的最高级别文件夹1004之下的文档1006和文档1008,其中在最高级别文件夹1022和1024中也分别设置了等同于针对文档1006和文档1008设置的用户D的访问权限的关于访问权限的ACL设置。这里,假设在创建最高级别文件夹1020、1022和1024之前已经在除了这些最高级别文件夹之外的最高级别文件夹之下配置了逻辑层级结构。
根据本发明的第四实施例,作为对来自任意用户的请求的响应,可以向该用户显示该用户能访问的新创建的用于直接访问的最高级别文件夹的列表。也就是说,在图10A所示的情况中,作为对用户D关于查询用户D目前具有访问权限的新创建的最高级别文件夹的请求的响应,向该用户D显示表明最高级别文件夹1020、1022和1024的列表。关于这些最高级别文件夹的全部或某些中的每一个文件夹,用户D可以在逻辑层级结构中其私人文件夹之下指定特定的文件夹,从该特定的文件夹就可以访问最高级别文件夹。例如,用户可以分别指定可以从文件夹1032访问最高级别文件夹1020以及可以从文件夹1034访问最高级别文件夹1022,然而没有关于最高级别文件夹1024的指定。作为对由用户D所进行的该指定的响应,通过向链路表中添加在作为源的文件夹1032与作为目标的最高级别文件夹1020之间的链路的条目,创建从文件夹1032到最高级别文件夹1020的链路。类似地,通过添加以文件1034为源并以最高级别文件夹1022为目标的条目,创建从文件夹1034到最高级别文件夹1022的链路。这里,由于还没有指定用户D,因此没有创建从逻辑层级结构中用户D的私人文件夹之下的任何文件夹到最高级别文件夹1024的链路。图10B示出了在创建这些链路之后的状态。
通过创建该链路,用户D可以通过最高级别文件夹1020从其私人文件夹之下的文件夹1032访问用户A私人文件夹之下的文件夹1010,并且可以类似地通过最高级别文件夹1022从其私人文件夹之下的文件夹1034访问用户B私人文件夹之下的文档1006。也就是说,使用通过在层级结构中用户D私人文件夹之下进行分类而重组的文件夹中的一个文件夹作为起点,可以访问不在用户D的私人文件夹之下的范围内但其ACL被设置为允许用户D访问的资源内容。因此,没有必要意识到当初基于本发明第一实施例或第二实施例为访问这些资源内容而创建的用于直接访问的最高级别文件夹1020、1022和1024的存在。(见图10B中指向1040和1042的虚线箭头)。
可以创建直接从文件夹1032到最高级别文件夹1020所链接的文件夹1010的链路,而不是创建从用户D私人文件夹中的文件夹1032到最高级别文件夹1020的链路。在这种情况下,由于对访问文件夹1010来说最高级别文件夹1020变得不再是必需的,因此从最高级别文件夹1020到文件夹1010的链路将被删除,并且最高级别文件夹1020本身会被删除。类似地,可以创建直接从文件夹1034到最高级别文件夹1022所链接的文档1006的链路,而不是创建从用户D私人文件夹中的文件夹1034到最高级别文件夹1022的链路。在这种情况下,从最高级别文件夹1022到文档1006的链路以及最高级别文件夹1022本身会被删除。图10C示出了在创建这些直接链路1040和1042之后的状态。
通过创建该直接链路,用户D不需要通过最高级别文件夹1020就可以从其私人文件夹之下的文档1032直接访问用户A私人文件夹之下的其ACL被设置为允许用户D访问的文件夹1010,并且类似地,不需要通过最高级别文件夹1022就可以从他/她自己的私人文件夹之下的文件夹1034直接访问用户B私人文件夹之下的其ACL被设置为允许用户D访问的文档1006。同样在这种情况下,使用通过在层级结构中用户D私人文件夹之下进行分类而重组的文件夹中的一个文件夹作为起点,可以访问不在用户D的私人文件夹之下的范围内但其ACL被设置为允许用户D访问的资源内容。因此,当初基于本发明第一实施例或第二实施例为访问这些资源内容而创建的用于直接访问的最高级别文件夹1020、1022和1024就没有存在的必要了,从而可以删除它们。
如上所述,根据该用户所进行的指定,使得可以从层级结构中该用户之下的特定的经重组的文件夹对允许该用户访问的所有资源内容进行合并访问,这些资源内容包括除了该用户以外的用户已给予该用户访问许可的资源内容,使得该用于多用户的内容共享系统中的用户可操作性显著改善。
虽然已经通过一些实施例描述了本发明,但本发明的技术范围显然不局限于上述实施例中所描述的范围。对本领域普通技术人员来说,显然可以对上述实施例进行各种各样的修改或改善。另外,根据权利要求书的描述显然可以看出,这些经修改或经改善的形式将会包括在本发明的技术范围之内。
Claims (14)
1.一种方法,用于在用于由多个用户共享对文档或文件夹的访问的内容共享系统中,由计算机根据针对每个文档或文件夹而为每个用户设置的访问权限来管理用户对文档或文件夹的访问,所述方法包括步骤:
对于在包括在逻辑上彼此关联并在根文件夹之下按层级布置的文档和文件夹的逻辑层级结构中的任意文档或文件夹,确定针对所述文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对在所述层级结构中紧接在所述文档或文件夹之上的文件夹而为所述用户设置的访问权限的范围;
在所述确定步骤中已确定超出的情况下,在所述层级结构中紧接在预定文件夹之下创建用于直接访问的新文件夹,并针对所述用于直接访问的文件夹设置访问权限,该访问权限的范围等于或超出针对所述文档或文件夹而为所述用户设置的访问权限的范围;以及
在所述创建和设置步骤之后,创建以所述用于直接访问的文件夹为源并以所述文档或文件夹为目标的访问链路。
2.根据权利要求1所述的方法,其中所述层级结构中的所述预定文件夹是根文件夹。
3.根据权利要求1所述的方法,还包括步骤:
作为对删除在所述访问链路中用作目标的文档或文件夹的响应而删除所述访问链路和所述用于直接访问的文件夹。
4.根据权利要求1所述的方法,其中所述确定步骤包括步骤:
作为对针对所述文档或文件夹设置的访问权限的内容上的改变的响应,确定在所述改变之后针对所述文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对在所述层级结构中紧接在所述文档或文件夹之上的文件夹而为所述用户设置的访问权限的范围。
5.根据权利要求1所述的方法,其中所述确定步骤包括步骤:
作为对通过移动或复制所述层级结构中的任意文档或文件夹而在移动或复制目的地创建新的文档或文件夹的响应,确定针对所述移动或复制目的地处的文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对在所述层级结构中紧接在所述移动或复制目的地处的文档或文件夹之上的文件夹而为所述用户设置的访问权限的范围。
6.根据权利要求5所述的方法,其中被移动或复制的是文件夹,对于紧接在所述移动或复制目的地处的新创建的文件夹之下的所有文档和文件夹中的每一个,所述方法还包括重复执行的以下步骤:
确定针对所述文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对紧接在所述移动或复制目的地处的文档或文件夹之上的文件夹而为所述用户设置的访问权限的范围;
在所述确定步骤中已确定超出的情况下,所述层级结构中紧接在预定文件夹之下创建用于直接访问的新文件夹,并针对所述用于直接访问的文件夹设置访问权限,该访问权限的范围等于或超出针对所述文档或文件夹而为所述用户设置的访问权限的范围;以及
在所述设置步骤之后,创建以所述用于直接访问的文件夹为源并以所述文档或文件夹为目标的访问链路。
7.根据权利要求6所述的方法,作为对在所述移动或复制目的地处删除所述文件夹的响应,并且,对于紧接在所述移动或复制目的地处的文件夹之下的所有文档和文件夹中的每一个,所述方法还包括重复执行的以下步骤:
如果所述访问链路存在,则删除以所述用于直接访问的文件夹为源并以所述文档或文件夹为目标的访问链路;以及
删除所述用于直接访问的文件夹。
8.一种系统,用于在用于由多用户共享对文档或文件夹的访问的内容共享系统中,根据针对每个文档或文件夹而为每个用户设置的访问权限来管理用户对文档或文件夹的访问,所述系统包括:
确定部分,用于对于在包括在逻辑上彼此关联并在根文件夹之下按层级布置的文档和文件夹的逻辑层级结构中的任意文档或文件夹,确定针对所述文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对在所述层级结构中紧接在所述文档或文件夹之上的文件夹而为所述用户设置的访问权限的范围;
创建和设置部分,用于在所述确定部分已确定超出的情况下,所述层级结构中紧接在预定文件夹之下创建用于直接访问的新文件夹,并针对所述用于直接访问的文件夹设置访问权限,该访问权限的范围等于或超出针对所述文档或文件夹而为所述用户设置的访问权限的范围;以及
链路创建部分,用于在所述创建和设置部分的处理之后创建以所述用于直接访问的文件夹为源并以所述文档或文件夹为目标的访问链路。
9.根据权利要求8所述的系统,其中所述层级结构中的所述预定文件夹是根文件夹。
10.根据权利要求8所述的系统,还包括删除部分,用于作为对删除在所述访问链路中用作目标的文档或文件夹的响应而删除所述访问链路和所述用于直接访问的文件夹。
11.根据权利要求8所述的系统,其中作为对针对所述文档或文件夹设置的访问权限的内容上的改变的响应,所述确定部分确定在所述改变之后针对所述文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对在所述层级结构中紧接在所述文档或文件夹之上的文件夹而为用户设置的访问权限的范围。
12.根据权利要求8所述的系统,其中作为对通过移动或复制所述层级结构中的任意文档或文件夹而在移动或复制目的地创建新的文档或文件夹的响应,所述确定部分确定针对所述移动或复制目的地处的文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对在所述层级结构中紧接在所述移动或复制目的地处的文档或文件夹之上的文件夹而为所述用户设置的访问权限的范围。
13.一种方法,用于在用于由多个用户共享对文档或文件夹的访问的内容共享系统中,由计算机根据针对每个文档或文件夹而为每个用户设置的访问权限来管理用户对文档或文件夹的访问,所述方法包括步骤:
对于在包括在逻辑上彼此关联并在根文件夹之下按层级布置的文档和文件夹的逻辑层级结构中的任意文档或文件夹,确定针对所述文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对在所述层级结构中紧接在所述文档或文件夹之上的文件夹而为所述用户设置的访问权限的范围;
在所述确定步骤中已确定超出的情况下,在所述层级结构中紧接在预定文件夹之下创建用于直接访问的新文件夹,并针对所述用于直接访问的文件夹设置访问权限,该访问权限的范围等于或超出针对所述文档或文件夹而为所述用户设置的访问权限的范围;
在所述创建和设置步骤之后,创建以所述用于直接访问的文件夹为源并以所述文档或文件夹为目标的访问链路;
作为对所述用户的请求的响应,显示所有用于直接访问的文件夹的列表,其中为所述用户设置用户访问权限;以及
作为对所述用户指定预定要访问用于从所述用户能够访问的现有预定文件夹直接访问的文件夹而不是所有用于直接访问的文件夹的链路目的地处的文档或文件夹的响应,对于所有所显示的用于直接访问的文件夹中的每一个文件夹,创建以所述预定文件夹为源并以所述用于直接访问的文件夹为目标的第二访问链路。
14.一种方法,用于在用于由多个用户共享对文档或文件夹的访问的内容共享系统中,由计算机根据针对每个文档或文件夹而为每个用户设置的访问权限来管理用户对文档或文件夹的访问,所述方法包括步骤:
对于在在逻辑上彼此关联并在根文件夹下按层级布置的逻辑层级结构中的任意文档或文件夹,确定针对所述文档或文件夹而为至少一个用户设置的访问权限的范围是否超出了针对在所述层级结构中紧接在所述文档或文件夹之上的文件夹而为所述用户设置的访问权限的范围;
在所述确定步骤中已确定超出的情况下,在所述层级结构中紧接在预定文件夹之下创建用于直接访问的新文件夹,并针对所述用于直接访问的文件夹设置访问权限,该访问权限的范围等于或超出针对所述文档或文件夹而为所述用户设置的访问权限的范围;
在所述创建和设置步骤之后,创建以所述用于直接访问的文件夹为源并以所述文档或文件夹为目标的访问链路;
作为对所述用户的请求的响应,显示所有用于直接访问的文件夹的列表,其中为所述用户设置用户访问权限;以及
作为对所述用户指定预定要访问用于从所述用户能够访问的现有预定文件夹直接访问的文件夹而不是所有用于直接访问的文件夹的链路目的地处的文档或文件夹的响应,对于所有所显示的用于直接访问的文件夹中的每一个文件夹,创建以所述预定文件夹为源并以所述链路目的地处的文档或文件夹为目标的第二访问链路。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP364834/2005 | 2005-12-19 | ||
| JP2005364834A JP3956149B2 (ja) | 2005-12-19 | 2005-12-19 | リソース・コンテンツのアクセス制御方法、システム、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1987884A true CN1987884A (zh) | 2007-06-27 |
| CN100454323C CN100454323C (zh) | 2009-01-21 |
Family
ID=38174960
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200610147096XA Expired - Fee Related CN100454323C (zh) | 2005-12-19 | 2006-11-14 | 用于对资源内容进行访问控制的方法和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8862624B2 (zh) |
| JP (1) | JP3956149B2 (zh) |
| CN (1) | CN100454323C (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010121433A1 (zh) * | 2009-04-24 | 2010-10-28 | 华为技术有限公司 | 一种对限定用户组csg终端进行准入控制的方法及装置 |
| CN101944107A (zh) * | 2010-08-31 | 2011-01-12 | 南京赛孚科技有限公司 | 一种文件管理的方法 |
| CN102346835A (zh) * | 2010-07-22 | 2012-02-08 | 日本电气株式会社 | 内容管理设备和内容管理方法 |
| CN105229662A (zh) * | 2013-05-23 | 2016-01-06 | 三菱电机株式会社 | 访问控制装置和访问控制方法以及程序 |
| CN107004019A (zh) * | 2014-10-06 | 2017-08-01 | 卡尼实验室有限公司 | 单向和双向数据流系统和方法 |
| CN107045599A (zh) * | 2017-05-03 | 2017-08-15 | 维沃移动通信有限公司 | 一种数据查询方法及电子设备 |
| CN109710582A (zh) * | 2018-12-13 | 2019-05-03 | 创新科存储技术有限公司 | 一种共享目录管理方法和装置 |
| CN111581660A (zh) * | 2019-02-18 | 2020-08-25 | 北京奇虎科技有限公司 | 防止木马破坏共享文件的方法和装置,介质和电子设备 |
| CN115221117A (zh) * | 2022-08-31 | 2022-10-21 | 成都易我科技开发有限责任公司 | 一种可跨磁盘转移数据的方法及系统 |
| WO2024022361A1 (zh) * | 2022-07-29 | 2024-02-01 | 北京字跳网络技术有限公司 | 一种权限控制方法、装置、设备及存储介质 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8856180B2 (en) | 2010-10-26 | 2014-10-07 | Barnesandnoble.Com Llc | System and method for formatting multifunctional electronic books for electronic readers |
| WO2012058335A1 (en) * | 2010-10-26 | 2012-05-03 | Barnes & Noble, Inc. | System and method for reading multifunctional electronic books on portable readers |
| US8793286B2 (en) * | 2010-12-09 | 2014-07-29 | International Business Machines Corporation | Hierarchical multi-tenancy management of system resources in resource groups |
| US8868502B2 (en) * | 2011-01-14 | 2014-10-21 | Apple Inc. | Organizing versioning according to permissions |
| JP5751086B2 (ja) * | 2011-08-12 | 2015-07-22 | 日本電気株式会社 | コンテンツ管理装置およびコンテンツ管理方法 |
| JP5868149B2 (ja) | 2011-12-06 | 2016-02-24 | キヤノン株式会社 | データ移行装置 |
| CN103488791B (zh) * | 2013-09-30 | 2018-03-27 | 华为技术有限公司 | 数据访问方法、系统及数据仓库 |
| CN103793663A (zh) * | 2013-12-26 | 2014-05-14 | 北京奇虎科技有限公司 | 文件夹加锁与解锁方法及文件夹加锁与解锁装置 |
| WO2016073030A1 (en) * | 2014-11-03 | 2016-05-12 | Hewlett Packard Enterprise Development Lp | Policy and configuration data for a user directory |
| US10387405B2 (en) | 2014-11-03 | 2019-08-20 | Hewlett Packard Enterprise Development Lp | Detecting inconsistencies in hierarchical organization directories |
| US10277601B1 (en) | 2015-05-11 | 2019-04-30 | Google Llc | System and method for recursive propagating application access control |
| WO2017068619A1 (ja) | 2015-10-19 | 2017-04-27 | ギガフォトン株式会社 | レーザ装置管理システム |
| CN106027666B (zh) * | 2016-06-30 | 2019-03-19 | 东方通信股份有限公司 | 一种独立于平台网络的调度方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5956715A (en) * | 1994-12-13 | 1999-09-21 | Microsoft Corporation | Method and system for controlling user access to a resource in a networked computing environment |
| US5930792A (en) * | 1996-11-07 | 1999-07-27 | Intervoice Limited Partnership | Monitoring and directing flow of HTML documents for security and access |
| TW451143B (en) * | 1998-11-05 | 2001-08-21 | Ecomagents Inc | Method for controlling access to information |
| US6529905B1 (en) * | 2000-01-11 | 2003-03-04 | Frontline Solutions, Inc. | Method and system for allowing multiple users to edit a hierarchical data structure |
| JP2002116934A (ja) | 2000-10-06 | 2002-04-19 | Ricoh Co Ltd | 文書管理システム |
| JP2003030026A (ja) * | 2001-07-19 | 2003-01-31 | Dainippon Printing Co Ltd | データ管理装置 |
| JP2003091448A (ja) | 2001-09-14 | 2003-03-28 | Ricoh Co Ltd | 文書管理システム |
| JP2003280990A (ja) | 2002-03-22 | 2003-10-03 | Ricoh Co Ltd | 文書処理装置及び文書を管理するためのコンピュータプログラム |
| US20060123010A1 (en) * | 2004-09-15 | 2006-06-08 | John Landry | System and method for managing data in a distributed computer system |
-
2005
- 2005-12-19 JP JP2005364834A patent/JP3956149B2/ja not_active Expired - Fee Related
-
2006
- 2006-11-14 CN CNB200610147096XA patent/CN100454323C/zh not_active Expired - Fee Related
- 2006-11-20 US US11/561,440 patent/US8862624B2/en not_active Expired - Fee Related
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010121433A1 (zh) * | 2009-04-24 | 2010-10-28 | 华为技术有限公司 | 一种对限定用户组csg终端进行准入控制的方法及装置 |
| CN102346835A (zh) * | 2010-07-22 | 2012-02-08 | 日本电气株式会社 | 内容管理设备和内容管理方法 |
| CN102346835B (zh) * | 2010-07-22 | 2016-04-06 | 日本电气株式会社 | 内容管理设备和内容管理方法 |
| CN101944107A (zh) * | 2010-08-31 | 2011-01-12 | 南京赛孚科技有限公司 | 一种文件管理的方法 |
| CN105229662B (zh) * | 2013-05-23 | 2018-02-02 | 三菱电机株式会社 | 访问控制装置和访问控制方法 |
| CN105229662A (zh) * | 2013-05-23 | 2016-01-06 | 三菱电机株式会社 | 访问控制装置和访问控制方法以及程序 |
| CN107004019B (zh) * | 2014-10-06 | 2019-05-28 | 马里有限公司 | 单向和双向数据流系统和方法 |
| CN107004019A (zh) * | 2014-10-06 | 2017-08-01 | 卡尼实验室有限公司 | 单向和双向数据流系统和方法 |
| CN107045599A (zh) * | 2017-05-03 | 2017-08-15 | 维沃移动通信有限公司 | 一种数据查询方法及电子设备 |
| CN107045599B (zh) * | 2017-05-03 | 2020-03-31 | 维沃移动通信有限公司 | 一种数据查询方法及电子设备 |
| CN109710582A (zh) * | 2018-12-13 | 2019-05-03 | 创新科存储技术有限公司 | 一种共享目录管理方法和装置 |
| CN109710582B (zh) * | 2018-12-13 | 2021-10-26 | 创新科技术有限公司 | 一种共享目录管理方法和装置 |
| CN111581660A (zh) * | 2019-02-18 | 2020-08-25 | 北京奇虎科技有限公司 | 防止木马破坏共享文件的方法和装置,介质和电子设备 |
| WO2024022361A1 (zh) * | 2022-07-29 | 2024-02-01 | 北京字跳网络技术有限公司 | 一种权限控制方法、装置、设备及存储介质 |
| CN115221117A (zh) * | 2022-08-31 | 2022-10-21 | 成都易我科技开发有限责任公司 | 一种可跨磁盘转移数据的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8862624B2 (en) | 2014-10-14 |
| CN100454323C (zh) | 2009-01-21 |
| JP3956149B2 (ja) | 2007-08-08 |
| JP2007172041A (ja) | 2007-07-05 |
| US20070143292A1 (en) | 2007-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100454323C (zh) | 用于对资源内容进行访问控制的方法和系统 | |
| US5778222A (en) | Method and system for managing access to objects | |
| US5132900A (en) | Method and apparatus for limiting manipulation of documents within a multi-document relationship in a data processing system | |
| US6562076B2 (en) | Extending application behavior through active properties attached to a document in a document management system | |
| US6240429B1 (en) | Using attached properties to provide document services | |
| US6397231B1 (en) | Virtual documents generated via combined documents or portions of documents retrieved from data repositories | |
| US7424586B2 (en) | Data processing method with restricted data arrangement, storage area management method, and data processing system | |
| US7783737B2 (en) | System and method for managing supply of digital content | |
| CN100504858C (zh) | 关联的共享计算机对象 | |
| EP1433614B1 (en) | A server, a terminal apparatus and an image management method | |
| JPH0664547B2 (ja) | 対話型情報取扱いシステムにおける電子文書管理方法 | |
| US7590640B2 (en) | Systems and methods for managing the flow of attachments to business objects | |
| JP2655763B2 (ja) | 文書管理方法 | |
| JP2007509435A (ja) | 静的および動的リストの使用を伴う仮想フォルダおよび項目共有のためのシステムおよび方法 | |
| CA2538506A1 (en) | A directory system | |
| CN101388797A (zh) | 一种在网管系统中实现权限控制的方法和一种网管系统 | |
| JP4034451B2 (ja) | 文書入力システム、及び文書入力方法 | |
| US7904424B2 (en) | Method for managing document data and data structure | |
| US6266670B1 (en) | User level accessing of low-level computer system operations. | |
| JPH06243018A (ja) | ネットワーク分散型文書ファイルシステム | |
| US20040049544A1 (en) | In-context launch management method, system therefor, and computer-readable storage medium | |
| JPH04107750A (ja) | ファイル管理方式 | |
| JPH113264A (ja) | ファイルの使用者優先順位設定によるファイル保護方式 | |
| JPH04279944A (ja) | オフィス情報装置 | |
| JP2000347943A (ja) | 文書アクセス管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090121 Termination date: 20201114 |