權限管理保護內容的預許可的製作方法

2023-12-07 23:08:51

專利名稱：權限管理保護內容的預許可的製作方法
背景技術：
1.發明領域本發明一般涉及權限管理系統中受保護內容的分發。更具體而言，本發明提供了預許可經受權限管理的內容，以當主體無法訪問權限管理伺服器時允許主體訪問內容。
2.背景和相關技術權限管理服務(RMS)提供了通過限制授權的接收方可以對電子內容所採取的行動來保護電子內容的所有權/版權的軟體。術語內容指的是以數字格式儲存的信息和數據，包括圖片、電影、視頻、音樂、程序、多媒體、遊戲、文檔等等。RMS的幾個主要功能是控制許可授權，使得內容僅有授權的中介或保護許可證的最終用戶解鎖，以及依照購買條件或許可證或由作者施加的其它條件(例如，副本的準許數量、播放次數、許可證有效的時間間隔或期限、或者可以在內容上執行的行動，如進一步分發、打開或訪問、列印等等)來控制內容的使用。RMS的另一功能可以是識別內容的非授權副本的來源以進一步與盜版抗爭。
最初，權限管理的概念用於對諸如數字期刊、書籍、照片、教育資料、視頻、音樂等在商業上銷售的材料的在線盜版進行保護。然而，權限管理的使用已經在商業設置中變得越來越普及，以保護商業網絡內的專有或機密信息。例如，大企業的CEO可能希望分發包括貿易秘密的電子郵件。然而，由於該信息的機密特性，CEO可能希望限制接收者對於該內容可採取的行動。例如，CEO可能希望允許高級管理閱讀、複製、列印和保存機密信息；然而，她可能希望將其他僱員限於只讀訪問或完全不能訪問。因此，通過使用RMS，CEO能夠指定誰被授權來查看受保護的內容以及他們可對其採取什麼行動。
以上僅示出了商業網絡環境中控制內容的重要性的許多示例中的一個。儘管權限管理正變為商業環境中的一種普及工具，然而當前該系統中存在若干缺陷和不足。例如，通常，受保護內容的接收者需要從RMS伺服器獲取使用許可證，以打開和使用受保護的內容。然而，如果用戶在遠程位置或者無法訪問RMS伺服器，則用戶可能無法獲取許可證。當僱員將受保護的電子郵件下載到其膝上計算機，然後在未連接到網絡時，如旅行時打開該項目時，會出現這一情況。或者，可建立企業政策來保護RMS伺服器內的敏感關鍵不被網絡外部的人訪問。因此，企業可能不允許遠程位置的僱員訪問RMS伺服器。由此，先前在到遠程位置之前下載了受保護內容或者通過例如消息伺服器接收受保護內容的遠程用戶可能無法訪問該內容，因為他們不能從RMS伺服器獲得授權。
現有的權限管理服務的另一缺陷是對平衡RMS伺服器上的負載的有限控制。因此，RMS可能由於對使用許可證請求的過載而發生故障。例如，如果大企業向所有其僱員發送受保護內容並且所有僱員在幾乎同一時間都試圖獲得使用許可證，則存在RMS伺服器變得被淹沒並發生故障的可能性。
因此，存在對當用戶不能訪問RMS伺服器時允許用戶訪問受保護內容的方法、系統和電腦程式產品的需求。此外，存在對調節RMS伺服器的負載以用RMS伺服器能夠處理的步調產生成批請求的需求。
發明簡述依照本發明的示例性實施例，現有權限管理服務系統的上述缺陷和不足得以克服。例如，示例性實施例向消息通信系統提供了一種控制主體可在受保護內容上執行的操作類型的權限管理伺服器，以及接收消息並使它們對主體或其代理可用的消息伺服器。此外，本發明提供了預許可經受權限管理的內容，以當主體無法訪問權限管理伺服器時允許主體訪問內容。例如，消息伺服器可接收在對消息的至少一部分的訪問是通過權限管理伺服器來控制的這一點上而經受權限管理的消息。消息伺服器然後可接收用於向權限管理伺服器標識消息的發布許可證。此外，消息伺服器可代表主體請求一個或多個使用許可證，以允許主體訪問消息。請求可包括向權限管理伺服器標識消息的發布許可證。
依照本發明的另一示例實施例，提供了一種消息通信系統，它預許可經受權限管理的內容，以當主體無法訪問權限管理伺服器時允許主體訪問該內容。該系統確定接收到的消息在對消息的至少一部分的訪問是通過權限管理伺服器來控制的這一點上而經受權限管理。該系統使用接收到的發布許可證來向權限管理伺服器標識消息。消息伺服器代表主體獲取使用許可證，以允許主體訪問消息，而無需主體向權限管理伺服器請求使用許可證。
本發明的其它特徵和優點將在以下的描述中陳述，並且部分可從該描述中變得顯而易見，或可通過對本發明的實踐來學到。本發明的特徵和優點可通過所附權利要求書中特別指出的手段和組合來實現和獲得。本發明的這些和其它特徵將從以下描述和所附權利要求書中變得完全清楚，或可通過如下文所述的對本發明的實踐中學到。
附圖簡要描述為以可獲得本發明的上述和其它優點和特徵的方式來描述，將參考附圖中示出的其具體實施例來呈現以上簡要描述的本發明的更具體描述。要理解，這些附圖僅描繪了本發明的典型實施例，因此並不認為是限制其範圍，本發明將通過使用附圖用附加的特殊性和細節來描述和解釋，附圖中

圖1(a)示出了用於請求和接收用於參與權限管理系統的軟體的用戶登記過程的示例；圖1(b)示出了用於向權限管理伺服器註冊的用戶登記過程的示例；圖2(a)示出了發送者如何可從權限管理伺服器獲取用於發送受保護內容的發布許可證的示例；圖2(b)示出了向主體發送受保護內容的過程的示例；圖2(c)示出了用於從權限管理伺服器獲取用於解密所接收到的受保護內容的使用許可證的過程的示例；圖3(a)示出了主體向權限管理伺服器請求並從其接收發布許可證的示例；圖3(b)示出了發送者通過其消息伺服器向主體的消息伺服器發送受保護內容和發布許可證的示例；圖3(c)依照示例實施例示出了消息通信伺服器代表主體請求並獲取使用許可證；圖3(d)依照示例實施例示出了主體從消息伺服器接收受保護內容以及使用許可證；圖4依照示例實施例示出了用於預許可經受權限管理的內容的示例動作和步驟；以及圖5示出了為本發明提供合適的操作環境的示例系統。
較佳實施例的詳細描述本發明延及權限管理保護內容的預許可的方法、系統和電腦程式產品。本發明的實施例可包括如下文更詳細描述的包括各種計算機硬體的專用或通用計算機。
示例實施例提供了通過提供預許可過程克服了其它權限管理服務系統的缺陷的方法、系統和電腦程式產品。因此，希望獲取使用許可證以打開受保護內容(如，電子郵件的附件)的主體能夠在不能訪問權限管理服務(RMS)伺服器的情況下完成這一過程。儘管將在消息通信系統(即，通過消息伺服器發送受保護消息內容的過程)的環境中描述以下示例，然而本發明也可適用於其它形式的受保護內容，如共享文件夾、即時和/或文本消息通信等。由此，此處所描述的用於預許可過程的示例僅用作說明性目的，並不意味著局限本發明的方位。
為參與權限管理服務，主體應當首先登記。一般而言，術語主體旨在被廣泛地解釋為包含用戶、進程、機器、伺服器、客戶機或能夠執行涉及它的功能的任何其它設備或東西。然而，存在其中期望特定類型主體的實施例。例如，如下文關於圖1(a)的登記過程所討論的，它通常是通過接收鎖箱(lockbox)dll來登記的機器。相反，參考圖1(b)中描述的登記過程，用戶或伺服器通常通過接收已登記機器上的權限管理帳戶證書(RAC)來登記。因此，即時本發明的示例實施例是在特定類型的主體的上下文中描述的，然而術語主體應當保持上述的最廣泛的意義。
圖1(a)突出了登記(100)過程中典型的第一個行動的示例。主體120(尤其是客戶機或機器)應當首先從鎖箱伺服器110獲取適當的軟體。因此，主體120向鎖箱伺服器110發送鎖箱請求101，並向鎖箱伺服器110提供對機器唯一的數據。更具體地，所提供的信息可以是機器的物理特徵，例如，處理器速度、CPU序列號、網絡地址等等。鎖箱伺服器100使用該唯一數據來構建鎖箱dll 115，它然後由主體120接收。如下文更詳細地描述的，鎖箱dll 115將控制訪問以保護內容。此外，由於鎖箱dll 115是用來自機器的唯一數據構建的，因此dll 115是機器專用的，使得它僅在該特定機器上起作用。鎖箱115可在運行時核查機器的特徵。
由於主體120已經具有了訪問受保護內容的軟體，因此主體120(尤其是用戶或伺服器)向主體120希望使用的每一權限管理服務(RMS)伺服器註冊。例如，如果主體120希望參與特定商業網絡的權限管理服務，則主體向該系統的RMS伺服器註冊。換言之，為訪問從特定RMS控制的內容，主體向RMS伺服器標識其本身。應當注意，為本發明的目的，RMS伺服器表示一個或多個RMS伺服器，並且除註冊之外的某些變互(例如，如下文所描述的獲取發布或使用許可證)可訪問可用RMS伺服器的任一個。
圖1(b)示出了主體，即用戶或伺服器120如何在主體登記(100)過程中向RMS伺服器125註冊的示例。首先，主體120可向RMS伺服器125作出對解密密鑰的請求103。主體可用諸如基本、Kerberos、K509證書、護照等的許多常規認證協議中的任一個向RMS伺服器標識其自身。主體120通常從RMS伺服器125接收一權限帳戶證書(RAC)，它可在稍後用於將主體120標識為權限管理服務中的可信主體。主體120也從RMS伺服器125接收私鑰130。私鑰130通常用請求103中提供的密鑰來加密，以保持其(130)在傳輸過程中是私有的。如下文所描述的，私鑰130將由RMS伺服器用於加密主體120將用於解密受保護內容的內容密鑰。因此，當主體120接收受保護的內容時，鎖箱dll可驗證內容的真實性、檢索並解密內容密鑰、以及為主體120打開內容。
主體120現在已準備好參與權限管理服務。希望通過發送受保護內容或試圖解密受保護內容來參與權限管理的任一主體通常經受一類似的用戶登記(100)例程。應當注意，儘管發送受保護內容的主體必須在能夠發布內容(如下文更詳細地描述的)之前登記，然而主體可在沒有在RMS系統中登記的情況下接收受保護內容。儘管如此，接收受保護內容的未登記主體必須在能夠解密受保護內容之前登記。因此，當未登記主體試圖訪問受保護內容時可指引它登記。
下文參考圖3(a)-3(d)來描述預許可受保護內容的示例實施例。相反，圖2(a)-(c)示出了當主體能夠訪問RMS伺服器時受保護內容的發送者210和主體240如何參與權限管理過程的示例。首先，如圖2(a)所示，發送者應當獲取發布許可證202以向主體240發送受保護內容220。因此，發送者210加密該內容，並向RMS 215作出對發布許可證的請求201。該請求201可包括諸如權限表達式、加密成RMS伺服器的公鑰的內容密鑰以及內容散列等東西。權限表達式通常指定了受保護內容打算供誰使用以及該內容的每一接收者可以做什麼。內容密鑰(未示出)是通常由發送者210創建的對稱密鑰，用於加密/解密受保護的內容。一個實施例提供了RMS伺服器215可將內容密鑰保存在資料庫(未示出)中，該資料庫稍後將在下文描述的使用許可過程中將其發送給主體240。(或者，如下文更詳細地描述的，RMS伺服器215可在發布許可證202中包括內容密鑰的已加密版本。)最後，稍後可使用散列來驗證內容在接收到並由相應的鎖箱dll 245打開時未改變。
在接收對發布許可證的請求201之後，RMS伺服器215然後可創建發布許可證202，它可以是由RMS伺服器籤署的已加密信息。信息可以簡單地是權限表達式、內容密鑰、內容密鑰標識符、和/或內容散列的任一組合。因此，當RMS伺服器215稍後接收發布許可證202和對使用許可證203(下文描述)的請求時，可確保RMS伺服器215是創建發布許可證202的那一個。
如上所述，RMS伺服器可儲存內容密鑰或在發布許可證202中包括內容密鑰的已加密版本。如果RMS伺服器儲存內容密鑰，則如後文所描述的，當籤發使用許可證時，RMS伺服器使用內容密鑰標識符在其資料庫中查找內容密鑰。或者，發布許可證202包括例如向RMS伺服器215的公鑰加密的內容密鑰。RMS伺服器稍後可在依照下文描述的實施例籤發使用許可證時解密該內容密鑰。在任一情況下，當在各種實施例中使用術語內容密鑰標識符時，該術語應當廣泛地被解釋為包括內容密鑰、內容密鑰的已加密版本或用於獲取內容密鑰的任何其它手段的標識符。
之後，發送者210接收發行許可證202，它現在可附加到受保護內容220以發送給主體240。這通常是一次操作，通常在發送者第一次試圖發送受保護內容時完成。圖2(b)示出了受保護消息220和發行許可證202如何可從發送者210發送到主體240的高級綜述。發送者210可簡單地將發行許可證202附加到受保護消息220，並將其轉發到消息伺服器225。發送者的消息伺服器225然後找出適當的主體消息伺服器230，並將受保護消息220和發行許可證202轉發到主體消息伺服器230。當主體240登錄到其消息伺服器230時，主體消息伺服器230將受保護的消息220和發行許可證202發送到主體240。
主體240可將消息識別為受保護的，並試圖從RMS伺服器215獲取使用許可證204。圖2(c)示出了當主體240能夠訪問RMS伺服器215時主體240可經受以獲取使用許可證204的過程。首先，主體240可向RMS伺服器215作出對使用許可證203的請求。通常，對使用許可證的請求將包括發行許可證202和主體(240)的RAC，RMS 215使用該RAC來驗證主體240是授權用戶。
一旦RMS伺服器215驗證了發行許可證202的真實性以及主體240的身份，它可向主體240發送包括內容密鑰235的使用許可證204。當然，如上所述，內容密鑰可儲存在RMS伺服器215的資料庫中，或者它可以加密的形式包括在發行許可證中。當在使用許可證240中發送時，內容密鑰235應當被加密成主體的私鑰(未示出)，它先前在註冊過程中獲取並儲存在鎖箱245中。因此，當主體240接收包含已加密內容密鑰235的使用許可證204時，它可向鎖箱245提供使用許可證204。例如，使用經解密內容的應用程式(未示出)可提供向鎖箱245提供已加密內容和使用許可證204。為確保應用程式是可信的來處理經解密的內容，應用程式必須被證明，且必須向鎖箱呈現這一證書以及使用許可證204。鎖箱245然後可使用註冊過程中創建的私鑰來解密內容密鑰235，並隨後使用內容密鑰235來解密受保護的內容220。鎖箱245然後可將經解密的內容以及發行許可證202和/或使用許可證204中定義的限制提供給適當的應用程式，以在受保護內容上施加適當的限制。
然而，當主體無法訪問RMS伺服器時示例實施例也提供預許可過程。以下描述連同圖3(a)-(d)示出了主體如何可在無法訪問RMS伺服器的情況下接收受保護內容以及使用許可證。
參考圖3(a)，類似於上文對於圖2(a)所描述的發行過程，在權限管理服務中登記且希望發送受保護內容的發送者310可向RMS伺服器315請求發行許可證301。如上所述，對發行許可證301的請求可包括權限表達式、內容密鑰和內容散列。權限表達式定義了誰被授權來接收受保護的內容以及它們可以對該內容做什麼。例如，權限表達式可限制主體在預許可、列印、複製、轉發、共享、委託或保存內容時對內容的操作權限。此外，權限表達式可包括過期特徵，它限制了例如上述權限可用的次數或時間段。
如上所述，對發行許可證301的請求應當包括內容密鑰305。內容密鑰305可以是由發送者310創建的對稱密鑰。如下文所討論的，該內容密鑰305用於允許主體335訪問受保護內容320。
除權限表達式和內容密鑰之外，對發布許可證301的請求也可包括內容散列。如後文將更詳細描述的，散列可由鎖箱dll 340用於確保內容未被篡改或破壞。
RMS伺服器315接收對發行許可證301的請求，並可取出對發行許可證301的請求中提供的信息的至少一部分並籤署它，以創建發行許可證302。如上所述，所提供的信息可以是被籤署和加密來產生發行許可證302的權限表達式、內容密鑰和/或內容散列的任一組合。如上所述，示例實施例提供在接收對發行許可證301的請求之後，RMS伺服器可將內容密鑰儲存在資料庫中，或在發行許可證302中包括內容密鑰的已加密版本。發行許可證302然後可被提供給發送者310，並且發送者310現在可向主體335提供受保護內容320和發行許可證302。
圖3(b)簡單地示出了受保護內容320和發行許可證302通過發送者消息伺服器325從發送者310發送到主體消息伺服器330。依照示例實施例，主體335並不需要直接向RMS伺服器315請求使用許可證，而是如下文所描述的，主體消息伺服器330可代表主體獲取使用許可證304。
參考圖3(c)，主體消息伺服器330在接收到受保護內容320之後作出對使用許可證303的請求。更具體地，主體的消息伺服器330將接收到的受保護內容320識別為經受權限管理。因此，主體消息伺服器330作出對使用許可證303的請求，並將發行許可證302發送給RMS伺服器315。
除發行許可證之外，RMS伺服器也可要求權限帳戶證書(RAC)，它如先前所討論的可指示使用許可證304的請求者應當是可信的。儘管典型的權限管理服務要求在對使用許可證303的請求中使用主體335的RAC，這一附加安全特徵可能不是需要的。特別地，由於使用許可證內的內容密鑰是由RMS315加密成儲存在主體鎖箱340中的密鑰，對於向錯誤的主體發送使用許可證304有極少的風險(如果有的話)。換言之，僅特定的主體具有適當的密鑰來解鎖內容密鑰以解密受保護內容。因此，如果另一主體接收到具有加密成主體335的私鑰的內容密鑰305的使用許可證304，則它們無法解密內容密鑰305並且訪問受保護內容320。
儘管RMS伺服器315可能不需要主體335的RAC，然而示例實施例提供要求主體消息伺服器335使用諸如基本、Windows NTLM、Kerberos、X509證書、護照等常規協議的任一種來向RMS伺服器認證其自身。或者，消息伺服器330可通過使用其RAC和/或用與RAC相關聯的私鑰籤署請求(或其部分)，經由自定義證書認證過程來認證。認證過程至少確保了主體消息伺服器330是可代表主體335獲取使用許可證304的授權機構。
一旦RMS伺服器315驗證了發行許可證302(並將主體消息伺服器330識別為代表主體335接收使用證書304的授權機構)，它可向消息伺服器330發送使用許可證304。該使用許可證304包括內容密鑰305，它如上所述先前已儲存在RMS315的資料庫中，或被加密並包括在發送給RMS伺服器的發行許可證302中。如上所述，當在使用許可證304中提供時，內容密鑰304被加密成儲存在鎖箱340中的主體335的私鑰(未示出)。
主體消息伺服器330然後儲存具有已加密內容密鑰305和受保護消息320的使用許可證304，以供主體335將來檢索。示例實施例提供包含已加密內容密鑰305的使用許可證304可與受保護消息320分離地儲存。因此，如果受保護內容具有多個接收者，則僅一個受保護消息320需要存儲，由此節省了寶貴的存儲器。
其它示例實施例提供主體消息伺服器330調節權限管理伺服器315上的負載的能力。具體地，如果受保護消息320打算供多個主體使用，則主體消息伺服器330可能成批地處理RMS伺服器可容納的對使用許可證304的請求。儘管郵件可以被稍微延遲，然而RMS伺服器將不會被淹沒和崩潰，或者由於伺服器被淹沒或被請求過載而對主體拒絕許可證。
如圖3(d)所示，主體335可從主體消息伺服器330獲取受保護內容320和具有已加密內容密鑰305的使用許可證，而無需聯繫RMS伺服器315。如在以前，主體現在可將使用許可證連同受保護內容密鑰儀器傳遞給鎖箱dll 340，後者然後解密內容密鑰305並隨後解密內容320。內容然後可被傳遞到適當的應用程式以供查看或依照權限表達式來使用。
示例實施例還提供鎖箱340可對照實際內容核查所接收的散列以驗證內容未被改變或破壞。如果內容被損害，則該內容應當被丟棄。
在其它示例實施例中，使用許可證可對每一用戶或每一機器籤發。當對每一用戶籤發時，單個使用許可證可被複製並由在多個機器上註冊的用戶使用。在此實施例中，在上文相對於圖1(a)和1(b)描述的登記過程中，用戶應當從每一機器向RMS伺服器註冊。所接收到的用於加密和解密內容密鑰的解密密鑰對為每一機器創建的每一鎖箱是相同的。因此，用戶可將使用許可證複製到它們所註冊的任何機器上，並使用該機器上的鎖箱來查看或使用受保護內容。
其它實施例允許使用許可證對每一機器籤發，即，用於加密包括在使用許可證中的內容密鑰的私鑰是機器專用的；因此，用戶能夠訪問的每一機器必須具有其自己的使用許可證。在此實施例中，主體消息伺服器330可獲取或接收用於主體335具有的多個機器的多個使用許可證304。例如，主體消息伺服器330可認識到主體335具有多個機器，並且因此獲取用於主體335的機器的每一個的多個使用許可證304。或者，RMS伺服器315可認識到主體335具有多個機器，它們所有都需要其自己的特定使用許可證，並因此向主體消息伺服器330提供適當的使用許可證304。
本發明也可按照包括功能步驟和/或非功能動作的方法來描述。以下是可在實施本發明時執行的動作和步驟的描述。通常，功能步驟按照所實現的結果來描述本發明，而非功能動作描述了用於實現特定結果的更具體的行動。儘管可以安特定的順序描述或要求保護功能步驟或非功能動作，然而本發明不限於任何特定的順序或動作和/或步驟的組合。
圖4示出了用於預許可經受權限管理的內容以當主體無法訪問權限管理伺服器時允許主體訪問內容的示例步驟和動作。用於確定(410)消息經受權限管理的步驟包括由消息伺服器接收(405)在對消息的訪問是通過權限管理伺服器來控制的這一點上而經受權限管理的消息的動作。僅消息的一部分需要通過權限管理伺服器來控制，以使接收到的消息被確定為經受權限管理。經受權限管理的消息的部分可以被加密，並且也可以是受保護的內容、受保護的文檔、受保護的日曆項目或受保護的會議請求。
用於使用(420)接收到的發行許可證來向權限管理伺服器標識消息的步驟可包括由消息伺服器接收(415)發行許可證的行動。發行許可證可包括對若干主體的引用，使得當消息伺服器請求使用許可證時，權限管理伺服器可確認該主體預期是能夠訪問該消息的。發行許可證還可包括限制允許主體在消息上執行的操作類型的權限表達式。例如，權限表達式可限制主體在重許可、列印、複製、轉發、共享、委託和保存時的操作。或者，權限表達式可以是默認值，例如，只讀，它可由管理員對每一企業不同地配置。權限表達式還可包括過期特徵，它限制權限表達式可用的次數和時間段。另外，發行許可證可包括用於驗證消息未被改變的散列，以及用於驗證發行許可證有效的權限管理伺服器的籤署。
用於獲取(430)使用許可證的步驟可包括消息伺服器代表主體請求(425)使用許可證並接收(427)使用許可證的動作。作出對使用許可證的請求，以允許主體訪問消息，並且該請求包括發行許可證，以向權限管理伺服器標識消息。接收使用許可證，使得主體可訪問消息而無需向權限管理伺服器請求使用許可證。通過權限管理伺服器控制的消息的一部分可被加密，並且使用許可證可包括可用於解密所加密的消息部分的內容密鑰。請求(425)使用許可證的動作還包括向權限管理伺服器發送權限帳戶證書，以驗證消息伺服器具有代表主體獲取使用許可證的授權。此外，消息伺服器可代表主體請求多個使用許可證，使得主體可訪問多個機器上的消息。另外，使用許可證可與消息分離地儲存在消息伺服器上。
本發明的範圍內的實施例也包括攜帶或具有計算機可執行指令或在其上儲存數據結構的計算機可讀介質。這類計算機可讀介質可以是可由通用或專用計算機訪問的任一可用介質。作為示例而非局限，這類計算機可讀介質可包括RAM、ROM、EEPROM、CD-ROM或其它光碟存儲、磁碟存儲或其它磁存儲設備、或可用來以計算機可執行指令或數據結構的形式攜帶或儲存所期望的的程序代碼手段並可由通用或專用計算機訪問的任一其它介質。當通過網絡或另一通信連接(或者硬布線、或者無線、或硬布線和無線的組合)向計算機傳輸或提供信息時，計算機適當地將該連接視為計算機可讀介質。由此，任一這類連接適當地稱為計算機可讀介質。上述的組合也應當包括在計算機可讀介質的範圍內。計算機可執行指令包括，如，促使通用計算機、專用計算機或專用處理設備執行特定功能或功能組的指令和數據。
圖5及以下討論旨在提供對適於在其中實現本發明的計算環境的簡要概括描述。儘管並非所需，但本發明將在諸如由網絡環境中的計算機執行的程序模塊等計算機可執行指令的一般上下文環境中描述。一般而言，程序模塊包括例程、程序、對象、組件、數據結構等等，執行特定的任務或實現特定的抽象數據類型。計算機可執行指令、相關的數據結構以及程序模塊表示了用於執行此處所揭示的方法的步驟的程序代碼手段的示例。這一可執行指令或相關數據結構的特定順序表示了用於實現在這類步驟中所描述的功能的相應行動的示例。
本領域的技術人員可以理解，本發明可以在具有多種類型計算機系統配置的網絡計算環境中實踐，包括個人計算機、手持式設備、多處理器系統、基於微處理器或可編程消費者電子設備、網絡PC、小型機、大型機等等。本發明也可以在分布式計算環境中實踐，其中，任務由通過通信網絡連接(或者通過硬布線鏈路、或者通過無線鏈路、或通過硬布線或無線鏈路的組合)的本地和遠程處理設備來執行。在分布式計算環境中，程序模塊可以位於本地和遠程存儲器存儲設備中。
參考圖5，用於實現本發明的示例系統包括常規計算機520形式的通用計算裝置，包括處理單元521、系統存儲器522以及將包括系統存儲器522的各類系統組件耦合至處理單元521的系統總線523。系統總線523可以是若干種總線結構類型的任一種，包括存儲器總線或存儲器控制器、外圍總線以及使用各類總線體系結構的局部總線。系統存儲器包括只讀存儲器(ROM)524和隨機存取存儲器(RAM)525。基本輸入/輸出系統(BIOS)526，包含如在啟動時協助在計算機520內的元件之間傳輸信息的基本例程，可儲存在ROM 524中。
計算機520也可包括用於對磁硬碟539進行讀寫的磁硬碟驅動器527、用於對可移動磁碟529進行讀寫的磁碟驅動器528以及用於對可移動光碟531如CD-ROM或其它光介質進行讀寫的光碟驅動器530。光碟驅動器530是光介質記錄器的一個示例。磁硬碟驅動器527、磁碟驅動器528以及光碟驅動器530分別通過硬碟驅動器接口532、磁碟驅動器接口533和光碟機接口534連接至系統總線523。驅動器及其相關的計算機可讀介質為計算機520提供了計算機可執行指令、數據結構、程序模塊和其它數據的非易失性存儲。儘管此處描述的示例性環境採用了磁硬碟539、可移動磁碟529以及可移動光碟531，然而也可以使用用於儲存數據的其它類型的計算機可讀介質，包括盒式磁帶、快閃記憶體卡、數字多功能盤、Bernoulli盒式磁碟、RAM、ROM等等。
包括一個或多個程序模塊的程序代碼手段可儲存在硬碟539、磁碟529、光碟531、ROM 524或RAM 525中，包括作業系統535、一個或多個應用程式536、其它程序模塊537以及程序數據538。主體可以通過鍵盤540、定位設備542或其它輸入設備(未示出)，如麥克風、操縱杆、遊戲墊、圓盤式衛星天線、掃描儀等等向計算機520輸入命令和信息。這些和其它輸入設備通常通過耦合至系統總線523的串行埠接口546連接到處理單元521。可選地，輸入設備也可以通過其它接口連接，如並行埠、遊戲埠或通用串行總線(USB)。監視器547或另一顯示設備也通過接口，如視頻適配器548連接到系統總線523。除監視器之外，個人計算機通常包括其它外圍輸出設備(未示出)，如揚聲器和印表機。
計算機520可以在使用到一個或多個遠程計算機，如遠程計算機549a和549b的邏輯連接的網絡化環境中操作。遠程計算機549a和549b的每一個可以是另一個人計算機、伺服器、路由器、網絡PC、對等設備或其它普通網絡節點，並通常包括許多或所有相對於計算機520所描述的元件，儘管在圖5中僅示出了存儲器存儲設備550a和550b及其關聯的應用程式536a和536b。圖5描述的邏輯連接包括區域網(LAN)551和廣域網(WAN)552，這裡示出作為示例而非局限。這類網絡環境常見於辦公室範圍或企業範圍計算機網絡、內聯網以及網際網路。
因此，本發明可以在通過計算機網絡連接到光介質記錄器的計算機中實施。在某些新系統中，系統總線523被封裝並通過諸如TCP/IP網絡等新傳輸來發送。例如，ISCSI(網際網路SCSI或網際網路小型計算機系統接口)是基於TCP/IP的協議的一種相當公知的實現，用於在基於IP的存儲設備、主機和主體之間建立和管理連接。
當在LAN網絡環境中使用時，計算機520通過網絡接口或適配器553連接至區域網551。當在WAN網絡環境中使用時，計算機520可包括數據機554、無線鏈路或用於通過廣域網552，如網際網路建立通信的其它裝置。數據機554可以是內置或外置的，通過串行埠接口546連接至系統總線523。在網絡化環境中，相對於計算機520所描述的程序模塊或其部分可儲存在遠程存儲器存儲設備中。可以理解，示出的網絡連接是示例性的，也可以使用通過廣域網552建立通信的其它裝置。
本發明可以用其它具體形式來實施而不脫離其精神或本質特徵。所描述的實施例在所有方面都被認為僅是說明性的而非限制性的。因此，本發明的範圍由所附權利要求書而非上文的描述來指示。落入權利要求書的等效技術方案的意義和範圍之內的所有改變都被包含在其範圍之內。
權利要求
1.在包括權限管理伺服器以及消息伺服器的消息通信系統中，所述權限管理伺服器控制主體可以在受保護的內容上執行的操作類型，所述消息伺服器接收消息並使它們對主體或其代理可用，一種預許可經受權限管理的內容以當主體無法訪問權限管理伺服器時允許主體訪問內容的方法，所述方法包括以下動作由所述消息伺服器接收一消息，該消息在對消息的至少一部分的訪問是通過權限管理伺服器來控制的這一點上要經受權限管理；由所述消息伺服器接收用於向所述權限管理伺服器標識所述消息的發行許可證；由所述消息伺服器代表一個或多個主體請求用於允許所述一個或多個主體訪問所述消息的至少一個使用許可證，其中，所述請求包括向所述權限管理伺服器標識所述消息的所述發行許可證；以及由所述消息伺服器代表一個或多個主體接收所述至少一個使用許可證，使得所述一個或多個主體可訪問所述消息，而無需向所述權限管理伺服器請求至少一個使用許可證。
2.如權利要求1所述的方法，其特徵在於，通過所述權限管理伺服器來控制的所述消息的至少一部分被加密，並且其中，所述使用許可證包括用於解密所加密的消息的部分的內容密鑰。
3.如權利要求2所述的方法，其特徵在於，被加密的所述消息的部分是受保護內容、受保護文檔、受保護日曆項目或受保護會議請求中的至少一個。
4.如權利要求1所述的方法，其特徵在於，請求至少一個使用許可證的所述動作還包括向所述權限管理伺服器發送認證以驗證所述消息伺服器具有代表所述一個或多個主體獲取所述至少一個使用許可證的授權。
5.如權利要求1所述的方法，其特徵在於，所述消息伺服器代表所述一個或多個主體請求多個使用許可證，使得所述一個或多個主體可訪問多個機器上的消息。
6.如權利要求1所述的方法，其特徵在於，所述至少一個使用許可證由所述消息伺服器與所述消息分離地儲存。
7.如權利要求1所述的方法，其特徵在於，所述發行許可證包括對所述一個或多個主體的引用，使得當所述消息伺服器請求至少一個使用許可證時，所述權限管理伺服器可確認所述一個或多個主體預期是能夠訪問所述消息的。
8.如權利要求7所述的方法，其特徵在於，所述發行許可證還包括限制允許所述一個或多個主體在所述消息上執行的操作類型的至少一個權限表達式。
9.如權利要求7所述的方法，其特徵在於，所述發行許可證中的至少一個權限表達式限制了所述一個或多個主體在重許可、列印、複製、轉發、共享、委託和保存時的操作。
10.如權利要求7所述的方法，其特徵在於，所述權限表達式是只讀的默認值。
11.如權利要求9所述的方法，其特徵在於，所述權限表達式包括過期特徵，它限制了所述至少一個權限表達式可用的次數或時間段中的至少一個。
12.如權利要求1所述的方法，其特徵在於，所述至少一個主體是進程、用戶、機器、伺服器或客戶機。
13.如權利要求1所述的方法，其特徵在於，所述發行許可證還包括用於驗證所述消息未被改變的一個或多個散列，以及用於驗證所述發行許可證是有效的所述權限管理伺服器的籤署。
14.如權利要求1所述的方法，其特徵在於，所述發行許可證引用所述消息打算供其使用的多個主體，並且其中，所述消息伺服器通過成批請求過程代表所述多個主體檢索使用許可證，以平衡所述權限管理伺服器上的負載。
15.在包括權限管理伺服器和消息伺服器的消息通信系統中，所述權限管理伺服器控制主體可在受保護內容上執行的操作類型，所述消息伺服器接收消息並使它們對主體或其代理可用，一種預許可經受權限管理的內容以當主體無法訪問所述權限管理伺服器時允許主體訪問內容的方法，所述方法包括以下步驟確定接收到的消息在對所述消息的至少一部分的訪問是通過權限管理伺服器來控制的這一點上要經受權限管理；使用用於向所述權限管理伺服器標識消息的所接收的發行許可證；由所述消息伺服器代表一個或多個主體獲取至少一個使用許可證，它允許所述一個或多個主體訪問而無需所述一個或多個主體向所述權限管理伺服器請求所述至少一個使用許可證。
16.如權利要求15所述的方法，其特徵在於，通過所述權限管理伺服器來控制的所述消息的至少一部分被加密，並且其中，所述使用許可證包括用於解密所加密的消息的部分的內容密鑰。
17.如權利要求16所述的方法，其特徵在於，被加密的所述消息的部分是受保護內容、受保護文檔、受保護日曆項目或受保護會議請求中的至少一個。
18.如權利要求15所述的方法，其特徵在於，用於獲取至少一個使用許可證的步驟包括由所述消息伺服器代表所述一個或多個主體請求所述至少一個使用許可證的動作，其中，所述請求包括所接收到的發行許可證，用於向所述權限管理伺服器標識所述消息，並且其中，所述請求包括所述權限管理系統的認證證書，用於驗證所述消息伺服器是否具有代表所述一個或多個主體獲取所述至少一個使用許可證的授權。
19.如權利要求15所述的方法，其特徵在於，所述消息伺服器代表所述一個或多個主體請求多個使用許可證，使得所述一個或多個主體可訪問多個機器上的消息。
20.如權利要求15所述的方法，其特徵在於，所述至少一個使用許可證由所述消息伺服器與所述消息分離地儲存。
21.如權利要求18所述的方法，其特徵在於，所接收到的發行許可證包括對所述一個或多個主體的引用，使得當所述消息伺服器請求所述至少一個使用許可證時，所述權限管理伺服器可確認所述一個或多個主體預期是能夠訪問所述消息的。
22.如權利要求21所述的方法，其特徵在於，所述發行許可證還包括至少一個權限表達式，它限制允許所述一個或多個主體在所述消息上執行的操作類型。
23.如權利要求21所述的方法，其特徵在於，所述發行許可證中的至少一個權限表達式限制了所述一個或多個主體在重許可、列印、複製、轉發、共享、委託和保存的至少一個時的操作。
24.如權利要求21所述的方法，其特徵在於，所述權限表達式是只讀的默認值。
25.如權利要求23所述的方法，其特徵在於，所述權限表達式包括過期特徵，它限制所述至少一個權限表達式可用的次數或時間段的至少一個。
26.如權利要求15所述的方法，其特徵在於，所述至少一個主體是進程、用戶、機器、伺服器或客戶機。
27.如權利要求15所述的方法，其特徵在於，所接收到的發行許可證還包括用於驗證所述消息未被改變的一個或多個散列，以及用於驗證所述發行許可證有效的所述權限管理伺服器的籤署。
28.如權利要求15所述的方法，其特徵在於，所接收到的發行許可證引用所述消息打算供其使用的多個主體，並且其中，所述消息伺服器通過成批請求過程代表所述多個主體檢索使用許可證，以平衡所述權限管理伺服器上的負載。
29.在包括權限管理伺服器和消息伺服器的消息通信系統中，所述權限管理伺服器控制主體可在受保護內容上執行的操作類型，所述消息伺服器接收消息並令它們對主體或其代理可用，一種包括攜帶計算機可執行指令的一個或多個計算機可讀介質的電腦程式產品，所述計算機可執行指令實現一種預許可經受權限管理的內容以當主體無法訪問所述權限管理伺服器時允許主體訪問內容的方法，所述方法包括以下動作由所述消息伺服器接收一消息，該消息在對消息的至少一部分的訪問是通過權限管理伺服器來控制的這一點上要經受權限管理；由所述消息伺服器接收用於向所述權限管理伺服器標識消息的發行許可證；由所述消息伺服器代表一個或多個主體請求用於允許所述一個或多個主體訪問所述消息的至少一個使用許可證，其中，所述請求包括向所述權限管理伺服器標識所述消息的所述發行許可證；以及由所述消息伺服器代表所述一個或多個主體接收所述至少一個使用許可證，使得所述一個或多個主體可訪問所述消息而無需向所述權限管理伺服器請求所述至少一個使用許可證。
30.如權利要求29所述的方法，其特徵在於，所述發行許可證包括對所述一個或多個主體的引用，使得當所述消息伺服器請求所述至少一個使用許可證時，所述權限管理伺服器可確認所述一個或多個主體預期是能夠訪問所述消息的。
31.如權利要求30所述的方法，其特徵在於，所述發行許可證還包括至少一個權限表達式，它限制了允許所述一個或多個主體在所述消息上執行的操作類型。
32.如權利要求30所述的方法，其特徵在於，所述發行許可證中的至少一個權限表達式限制所述一個或多個主體在重許可、列印、複製、轉發、共享、委託和保存的至少一個時的操作。
33.如權利要求30所述的方法，其特徵在於，所述權限表達式是只讀的默認值。
34.如權利要求32所述的方法，其特徵在於，所述權限表達式包括過期特徵，它限制所述至少一個權限表達式可用的次數或時間段的至少一個。
35.如權利要求29所述的方法，其特徵在於，所述至少一個主體是進程、用戶、機器、伺服器或客戶機。
36.如權利要求29所述的方法，其特徵在於，所述發行許可證引用所述消息打算供其使用的多個主體，並且其中，所述消息伺服器通過成批請求過程代表所述多個主體檢索使用許可證，以平衡所述權限管理伺服器上的負載。
37.在包括權限管理伺服器和消息伺服器的消息通信系統中，所述權限管理伺服器控制主體可在受保護內容上執行的操作類型，所述消息伺服器接收消息並使它們對主體或其代理可用，一種包括攜帶計算機可執行指令的一個或多個計算機可讀介質的電腦程式產品，所述計算機可執行指令實現一種預許可經受權限管理的內容以當主體無法訪問所述權限管理伺服器時允許主體訪問內容的方法，所述方法包括以下步驟確定所接收到的消息在對所述消息的至少一部分的訪問是通過權限管理伺服器來控制的這一點上要經受權限管理；使用用於向所述權限管理伺服器標識所述消息的所接收的發行許可證；由所述消息伺服器代表一個或多個主體獲取至少一個使用許可證，所述使用許可證允許所述一個或多個主體訪問所述消息，而無需所述一個或多個主體向所述權限管理伺服器請求所述至少一個使用許可證。
38.如權利要求37所述的方法，其特徵在於，通過所述權限管理伺服器控制的所述消息的至少一部分被加密，並且其中，所述使用許可證包括用於解密被加密的消息的部分的內容密鑰，並且其中，被加密的所述消息的部分是受保護內容、受保護文檔、受保護日曆項目或受保護會議請求中的至少一個。
39.如權利要求37所述的方法，其特徵在於，用於獲取至少一個使用許可證的步驟包括由所述消息伺服器代表所述一個或多個主體請求所述至少使用許可證的動作，其中，所述請求包括用於向所述權限管理伺服器標識消息的所接收到的發行許可證，並且其中，所述請求包括所述權限管理伺服器的認證，用於驗證所述消息伺服器具有代表所述一個或多個主體獲取所述至少一個使用許可證的授權。
40.如權利要求37所述的方法，其特徵在於，所述消息伺服器代表所述一個或多個主體請求多個使用許可證，使得所述一個或多個主體可訪問多個機器上的消息。
41.如權利要求37所述的方法，其特徵在於，所述至少一個使用許可證由所述消息伺服器與所述消息分離地儲存。
42.如權利要求37所述的方法，其特徵在於，所接收的發行許可證還包括至少一個權限表達式，它限制了所述一個或多個主體在重許可、列印、複製、轉發、共享、委託和保存的至少一個時的操作，並且其中，所述權限表達式包括過期特徵，它限制了所述至少一個權限表達式可用的次數或時間段的至少一個。
43.如權利要求37所述的方法，其特徵在於，所述至少一個主體是進程、用戶、機器、伺服器或客戶機。
44.如權利要求37所述的方法，其特徵在於，所接收的發行許可證引用所述消息打算供其使用的多個主體，並且其中，所述消息伺服器通過成批請求過程代表所述多個主體檢索使用許可證，以平衡所述權限管理伺服器上的負載。
全文摘要
本發明允許對經受權限管理的內容預許可處理，以當主體(335)無法訪問權限管理伺服器(315)時允許主體(335)訪問內容。與需要主體(335)向權限管理伺服器(315)提交權限帳戶證書和請求使用許可證相反，本發明允許消息伺服器(330)代表主體獲取使用許可證(304)。因此，主體可從消息伺服器(330)訪問使用許可證(304)，並解密受保護內容，而無需向權限管理伺服器(315)請求使用許可證(304)。
文檔編號H04K3/00GK1723650SQ200480001727
公開日2006年1月18日 申請日期2004年7月30日 優先權日2003年10月29日
發明者J·G·斯佩爾, M·H·戴維斯, P·D·韋克斯曼, M·A·德梅羅, C·F·格拉罕, J·M·卡希爾 申請人:微軟公司