專利名稱:用于內(nèi)容聯(lián)合的訪問控制的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體上涉及在計算機網(wǎng)絡(luò)系統(tǒng)用于內(nèi)容聯(lián)合(Content Syndication ) 的訪問控制的方法和系統(tǒng)�����。更具體地說���,本發(fā)明涉及在包括至少一個聯(lián)合服 務(wù)器、至少 一個聯(lián)合訂戶端和至少 一個聯(lián)合內(nèi)容提供者的計算機網(wǎng)絡(luò)系統(tǒng)中���, 用于內(nèi)容聯(lián)合的訪問控制的方法和系統(tǒng)�����。
背景技術(shù):
內(nèi)容聯(lián)合(Content Syndication)讓網(wǎng)站的內(nèi)容可以被其他的服務(wù)所用��。聯(lián) 合內(nèi)容�����,或者稱之為數(shù)據(jù)提要(feed),提供有標(biāo)題行、鏈接和文章提要���,它描 述一串信息�,這些信息中可以包含徽標(biāo)、站點鏈接���、輸入框和新聞條目�����。其 他互聯(lián)網(wǎng)站點可以自動將這些信息合并到其自己的頁面中�,或者使用數(shù)據(jù)提 要為站點提供當(dāng)前的新聞標(biāo)題行�。
在內(nèi)容聯(lián)合出現(xiàn)之前,用戶需要訪問每一個網(wǎng)站來尋覓最新的信息��。而 現(xiàn)在����,新聞通過數(shù)據(jù)提要直接投遞到瀏覽器,桌面和聚合器(aggregator)中��。 由于內(nèi)容聯(lián)合的出現(xiàn)�����,網(wǎng)絡(luò)的動態(tài)交互成為了隨時唾手可得的媒介��。目前比 較有名的內(nèi)容聯(lián)合提供商有Google blogger, Microsoft MSN Space等,聚合 器提供商有Google Reader, FeedDemon等�����,協(xié)議有RSS(Really Simple Syndication)等�。
近年來,博客(Blog)逐步成為了網(wǎng)絡(luò)上最熱門的新話題��,而RSS成為了 描述Blog主題和更新信息的最基本方法�。于是,RSS這項技術(shù)得到了應(yīng)有的 重3見和發(fā)展�����,已經(jīng)在各種Blog工具中得到了廣泛應(yīng)用��,并且凈皮眾多專業(yè)新聞 站點所支持����,使得訂戶端的Blog增加RSS輸出,從而可以讓很多新聞聚合 工具很容易找到你并自動獲得你在Blog中的更新內(nèi)容�����。也就是說����,RSS功能 的應(yīng)用,使得網(wǎng)友容易發(fā)現(xiàn)你已經(jīng)更新了你的站點����,并且容易地追蹤你閱讀 的所有Blog。
通過對RSS語言的支持�����,網(wǎng)絡(luò)瀏覽器可以訂閱BLOG��、新聞等���,而不用 一個網(wǎng)站一個網(wǎng)站�、 一個網(wǎng)頁一個網(wǎng)頁去搜集想要的BLOG���、新聞等內(nèi)容�����。只要這將訂戶端需要的內(nèi)容訂閱在RSS閱讀器中�,這些內(nèi)容就會自動出現(xiàn)在 訂戶端的閱讀器里���,訂戶端不必為了急切想知道的消息而不斷刷新網(wǎng)頁��,因 為一旦有了更新�����,RSS閱讀器就會自動通知訂戶端�。
服務(wù)器發(fā)布RSS文件(RSS數(shù)據(jù)提要)后,這個RSS數(shù)據(jù)提要中包含的 信息就能直接被其他站點調(diào)用�,而且由于這些數(shù)據(jù)都是標(biāo)準(zhǔn)的XML格式, 所以也能在其他的終端和服務(wù)中使用����,如PDA、手機�、郵件列表等。而且網(wǎng) 站聯(lián)盟(比如專門討論旅游的網(wǎng)站系列)也能通過互相調(diào)用彼此的RSS數(shù)據(jù) 提要�,自動顯示網(wǎng)站聯(lián)盟中其他站點上的最新信息,這就是所謂的RSS聯(lián)合�����。 這種聯(lián)合就導(dǎo)致站點的內(nèi)容更新越及時��、RSS數(shù)據(jù)提要被調(diào)用的越多��,該站 點的知名度就會越高,從而形成良性循環(huán)����。而所謂RSS聚合����,就是通過軟件 工具的方法從網(wǎng)絡(luò)上搜集各種RSS數(shù)據(jù)提要,并在一個界面中提供給讀者進 4亍閱讀�。
隨著越來越多的站點對RSS的支持,RSS已經(jīng)成為目前最成功的XML 應(yīng)用��。RSS搭建了信息迅速傳播的技術(shù)平臺���,使得每個人都成為潛在的信息 提供者����。相信很快就會看到大量基于RSS的專業(yè)門戶�����、聚合站點和更精確的 搜索引擎�。
RSS價值鏈雖然在新聞和其它條目的共享和交流方面有顯著的進步,但 仍然在很多領(lǐng)域存在弱點�����。例如,RSS在表示����、搜索、信號和網(wǎng)絡(luò)路由方面 比較弱�。在目前的情況下,RSS還不能提供諸如安全���、私密�、數(shù)據(jù)完整性和 服務(wù)質(zhì)量之類的企業(yè)級特征���。
4艮多情況下訪問控制是內(nèi)容聯(lián)合的一個不可缺少的部分���。例如用戶寫的 博客里面包含一些個人隱私信息,只希望自己授權(quán)的人可以訪問而其他人不 能訪問���,因此博客數(shù)據(jù)提要(Blog feed)就必須提供訪問控制的機制�。
現(xiàn)有的解決內(nèi)容聯(lián)合的訪問控制的方法是使用超文本傳輸協(xié)議 (Hypertext Transfer Protocol : HTTP ) 的訪問控制機制 (http:〃www.w3.org/Protocols/rfc2616/rfc2616-sec 11 .html#sec 11)����。因為數(shù)據(jù)提 要主要通過超文本傳輸協(xié)議傳輸�,所以超文本傳輸協(xié)議的訪問控制機制可以 管理對整個數(shù)據(jù)提要的權(quán)限控制�����,例如����,http:〃usemame:password @example. com/feed.xml和http:〃username:passwordDigest@example.com/feed.xml�����。
由于超文本傳輸協(xié)議的訪問控制機制是明文傳輸?shù)?,所以現(xiàn)有的解決方 法使用加密套接字協(xié)議層(Security Socket Layer:SSL)來增強安全性。例如https:〃username:password@example.com/feed.xml���。
但是上述現(xiàn)有的解決方案有以下兩個問題����。 一個問題是�,訪問控制的粒 度太粗。用戶往往希望只是數(shù)據(jù)提要的某些內(nèi)容被授權(quán)的用戶訪問���,而其他 內(nèi)容可以被任何人訪問�。例如博客的作者寫了 100篇文章,里面的3篇需要 設(shè)置成只能某個授權(quán)的用戶能訪問�����,另外的4篇需要設(shè)置成只能另外某個授 權(quán)的用戶能訪問���,其他的93篇設(shè)置成所有的人都能訪問��。而現(xiàn)有的基于超文 本傳輸協(xié)議的訪問控制機制不能滿足這種需求��,它只能管理整個數(shù)據(jù)提要的 訪問權(quán)限控制或者能訪問整個數(shù)據(jù)提要的所有內(nèi)容��,或者不能訪問整個數(shù) 據(jù)提要的任何內(nèi)容�����。
另一個問題是�,數(shù)據(jù)提要被集成后導(dǎo)致原有的訪問控制失效����。數(shù)據(jù)提要 常常#皮其他程序所集成,例如Yahoo Pipes: http:〃pipes.yahoo.com����。在#皮集成 之后��,現(xiàn)有的基于超文本傳輸協(xié)議的訪問控制機制的方法就失去了對集成后 數(shù)據(jù)提要的訪問控制�����。例如IO個數(shù)據(jù)提要被其他程序整合成一個新的數(shù)據(jù)提 要放到另外一臺服務(wù)器上�����,原有的這IO個數(shù)據(jù)提要的訪問控制對新的數(shù)據(jù)提 要就統(tǒng)統(tǒng)失效了��。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供內(nèi)容聯(lián)合訪問控制系統(tǒng)及內(nèi)容聯(lián)合訪問控制方法����, 其使得訂戶可以管理整個數(shù)據(jù)提要(例如,博客數(shù)據(jù)提要)的所有內(nèi)容或任何部 分內(nèi)容����。
為了實現(xiàn)本發(fā)明的上述目的,根據(jù)本發(fā)明的一個方面���,提供一種內(nèi)容聯(lián) 合訪問控制系統(tǒng)��,該系統(tǒng)包括聯(lián)合訂戶端���,用于獲取已授權(quán)的聯(lián)合內(nèi)容數(shù) 據(jù)提要����;聯(lián)合內(nèi)容提供部分���,用于根據(jù)公鑰對所述聯(lián)合訂戶端進行授權(quán)��,并 向所述聯(lián)合服務(wù)器提交內(nèi)容���;以及聯(lián)合服務(wù)器,用于根據(jù)所述公鑰及對稱密 鑰對內(nèi)容條目進行授權(quán)并加密已授權(quán)的內(nèi)容條目和該對稱密鑰���,并且根據(jù)被 加密的內(nèi)容條目和對稱密鑰生成所述聯(lián)合內(nèi)容數(shù)據(jù)提要�����。
根據(jù)本發(fā)明的另一方面����,提供一種內(nèi)容聯(lián)合訪問控制方法��,該方法包括 密鑰驗證步驟,用于驗證訂戶公鑰是否真實有效���;內(nèi)容提交與授權(quán)步驟�,用 于根據(jù)所述密鑰驗證步驟的驗證結(jié)果授權(quán)所述訂戶訪問的內(nèi)容條目����,并提交 已授權(quán)的內(nèi)容條目;以及聯(lián)合內(nèi)容數(shù)據(jù)提要生成步驟�����,用于生成對稱密鑰���, 使用該對稱密鑰加密已授權(quán)并提交的所述內(nèi)容條目�����,使用已授權(quán)的訂戶的所述公鑰來加密該對稱密鑰,并將經(jīng)加密的對稱密鑰連同經(jīng)加密的內(nèi)容條目一 起生成聯(lián)合內(nèi)容數(shù)據(jù)提要
通過本發(fā)明的上述技術(shù)方案���,可以控制內(nèi)容條目����,因此使得訪問控制的 粒度比較細,甚至可以實現(xiàn)文章級別的訪問控制���。此外�����,本發(fā)明的所有訪問 控制的信息(例如公鑰標(biāo)識��,加密的對稱密鑰等)都是自包含在數(shù)據(jù)提要的 內(nèi)容條目中���,而基于超文本傳輸協(xié)議的訪問控制依賴于外部的服務(wù)器。本發(fā) 明整合后的內(nèi)容提要仍然包含所有的訪問控制的信息�����,所以已有的訪問控制 仍然有效�。
圖1是本發(fā)明可以應(yīng)用到的分布式數(shù)據(jù)處理系統(tǒng)的結(jié)構(gòu)示意圖2是本發(fā)明可以應(yīng)用到的分布式數(shù)據(jù)處理系統(tǒng)的詳細結(jié)構(gòu)示意圖; 圖3是圖解包括具有根據(jù)本發(fā)明的一種實施方式的訪問控制的內(nèi)容聯(lián)合
平臺的系統(tǒng)級框圖4是根據(jù)本發(fā)明的優(yōu)選實施方式的計算機網(wǎng)絡(luò)系統(tǒng)的密鑰交換處理的
流程圖5是根據(jù)本發(fā)明的優(yōu)選實施方式的計算機網(wǎng)絡(luò)系統(tǒng)的密鑰驗證處理的 流程圖6是根據(jù)本發(fā)明的優(yōu)選實施方式的計算機網(wǎng)絡(luò)系統(tǒng)的內(nèi)容提交 (content submission )與授權(quán)處理的流程圖7是根據(jù)本發(fā)明的優(yōu)選實施方式的計算機網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)提要產(chǎn)生處 理的流程圖8是在根據(jù)本發(fā)明的優(yōu)選實施方式的計算機網(wǎng)絡(luò)系統(tǒng)中的聯(lián)合內(nèi)容檢
索處理的流程圖
圖9是根據(jù)本發(fā)明的優(yōu)選實施方式的原始數(shù)據(jù)提要的示例����;
圖IO是根據(jù)本發(fā)明的優(yōu)選實施方式的內(nèi)容C的圖示;以及
圖11是根據(jù)本發(fā)明的優(yōu)選實施方式的訪問控制信息的聯(lián)合數(shù)據(jù)提要的
示例�,其在一個聯(lián)合數(shù)據(jù)提要混合了公開和受限的內(nèi)容。
具體實施例方式
現(xiàn)在參照附圖來描述本發(fā)明的優(yōu)先實施方式�。然而本發(fā)明可以以許多不同形式實施���,不應(yīng)該理解為局限于本文給出的優(yōu)選實施方式。更確切地說�����, 提供這些優(yōu)選實施方式是為了詳盡和完整地公開本發(fā)明的總的發(fā)明構(gòu)思���,向 本領(lǐng)域的普通技術(shù)人員充分傳達本發(fā)明的范圍����。在附圖中���,為了清楚起見���, 相同的附圖標(biāo)記自始至終表示相同的組成部分。
此夕卜�,應(yīng)該明白,當(dāng)一個組成部分^:稱為與另一個組成部分"連4妄"或"耦 合"時���,它可以直接與其它組成部分連接或耦合或可能存在中間組成部分。相 反���,當(dāng)一個組成部分被稱為與另一個組成部分"直接連接"或"直接耦合'����,時, 不存在中間組成部分���。正如本文所使用的那樣��,術(shù)語"和/或"包括一個或多個 相關(guān)列出技術(shù)術(shù)語的任何和所有組合�,并且可以簡化成"/"�����。
本文使用的技術(shù)術(shù)語只用于描述特定實施方式����,而無意于限制本發(fā)明。 正如本文所使用的那樣�����,單數(shù)形式"一個"���、"一種"和"該"也有意于包括復(fù)數(shù)形 式�,除非在上下文中另有明確說明。還應(yīng)該明白�,術(shù)語"包含"或"包括"用在 本說明書來規(guī)定存在所述特征、步驟�����、操作��、組成部分等�,但不排除存在或 附加一個或多個其它特征、步驟�����、操作����、組成部分等。
除非另有定義���,本文使用的所有術(shù)語(包括技術(shù)和科學(xué)術(shù)語)具有與本 發(fā)明所屬的領(lǐng)域的普通技術(shù)人員通常所理解相同的含義���。還應(yīng)該明白,像定
它們的含義一致的含義�,而不應(yīng)該在理想化或過分正式的意義上加以解釋, 除非本文明確這樣定義����。
參考圖l,圖l是本發(fā)明可以應(yīng)用到的分布式數(shù)據(jù)處理系統(tǒng)的結(jié)構(gòu)示意 圖����。本發(fā)明可以應(yīng)用到的分布式數(shù)據(jù)處理系統(tǒng)i oo包括網(wǎng)絡(luò)104以及經(jīng)由網(wǎng)
絡(luò)104連接在一起的各種計算設(shè)備或計算機,其中網(wǎng)絡(luò)104是用于在所述各 種計算設(shè)備和計算機之間提供通信鏈路的介質(zhì)�。網(wǎng)絡(luò)104可以包括諸如同軸 電纜,光纜或通過電話實現(xiàn)之類的固定連接��,也可以包括通過無線設(shè)備如無 線路由器等實現(xiàn)的無線網(wǎng)絡(luò)連接���。
在該實施方式中�����,聯(lián)合服務(wù)器103連接到網(wǎng)絡(luò)104����。此外�����,聯(lián)合內(nèi)容提 供者IOI和聯(lián)合訂戶端102也連接到網(wǎng)絡(luò)104。作為示例����,聯(lián)合內(nèi)容提供者 和聯(lián)合訂戶端102可以是個人計算機或網(wǎng)絡(luò)計算機。對于本申請來說�,所述 網(wǎng)絡(luò)計算機可以是連接到可以從其他連接到網(wǎng)絡(luò)上的計算機中接收程序或其 它數(shù)據(jù)的網(wǎng)絡(luò)的任何計算機。在該實施方式中���,聯(lián)合管理服務(wù)程序駐留在聯(lián) 合服務(wù)器103上����,并且可以通過網(wǎng)絡(luò)104將聯(lián)合管理服務(wù)提供給聯(lián)合內(nèi)容提供者101和聯(lián)合訂戶端102����。因此,在該實施方式中����,服務(wù)器103被稱為聯(lián) 合服務(wù)器,而訂戶端102被用作聯(lián)合服務(wù)器103的聯(lián)合消費者�����。分布式數(shù)據(jù) 處理系統(tǒng)100還可以包括未示出的其它服務(wù)器、訂戶端和其它設(shè)備��。特別地�����, 聯(lián)合內(nèi)容提供者101�、聯(lián)合訂戶端102和聯(lián)合服務(wù)器103都可以是一個以上�����。 根據(jù)本發(fā)明的實施方式的圖l為了簡明起見�,只在圖中圖示了一個聯(lián)合內(nèi)容 提供者101、 一個聯(lián)合訂戶端102和一個聯(lián)合服務(wù)器103的情況下�。參照圖2。 圖2圖示了使用RSS閱讀器的根據(jù)本發(fā)明的內(nèi)容聯(lián)合訪問控制系統(tǒng)的詳細結(jié) 構(gòu)��。
該內(nèi)容聯(lián)合訪問控制系統(tǒng)包括聯(lián)合服務(wù)器103���、聯(lián)合訂戶端102和聯(lián)合 內(nèi)容提供者101�����。聯(lián)合服務(wù)器103管理聯(lián)合數(shù)據(jù)提要和密鑰���,其包括聯(lián)合提 要管理部分111和密鑰管理部分113�。聯(lián)合訂戶端102管理訂戶端信息�����,其 包括密鑰交換部分121及聯(lián)合內(nèi)容訂閱部分123��。聯(lián)合內(nèi)容提供者101管理 聯(lián)合內(nèi)容提供行為����,其包括密鑰確認(rèn)部分131及授權(quán)和聯(lián)合內(nèi)容提交部分 133。
本發(fā)明的聯(lián)合數(shù)據(jù)提要包含但不限于以下內(nèi)容標(biāo)題�, 一組公鑰標(biāo)識符 及被加密的對稱密鑰和加密的聯(lián)合數(shù)據(jù)提要內(nèi)容。關(guān)于本發(fā)明的聯(lián)合數(shù)據(jù)提 要內(nèi)容在圖10中有進一步的描述�����。
參考圖2,根據(jù)本發(fā)明的內(nèi)容聯(lián)合訪問控制系統(tǒng)中的聯(lián)合服務(wù)器103����、聯(lián) 合訂戶端102和聯(lián)合內(nèi)容提供者101的各部分結(jié)合起來實現(xiàn)(但不限于)以 下功能密鑰交換及確認(rèn)功能、聯(lián)合內(nèi)容提交功能和內(nèi)容數(shù)據(jù)提要發(fā)布功能���。 現(xiàn)在結(jié)合圖2的圖示�,具體描述根據(jù)本發(fā)明的優(yōu)選實施方式中的密鑰交換及 確認(rèn)功能、聯(lián)合內(nèi)容提交功能和內(nèi)容數(shù)據(jù)提要發(fā)布功能���。 (1)密鑰交換及確認(rèn)功能
為了實現(xiàn)密鑰交換及確認(rèn)功能����,聯(lián)合訂戶端102的密鑰交換部分121生 成公鑰和私鑰并向聯(lián)合服務(wù)器103提交公鑰����,該公鑰包括但不限于公鑰服 務(wù)器信息���、密碼標(biāo)識���、名稱、電子郵件等����。聯(lián)合服務(wù)器103的密鑰管理部分 113初判其真實性后將相關(guān)信息存儲于本地存儲器(如本地高速緩沖器中)。 具體來說�,聯(lián)合內(nèi)容提供者101的密鑰確認(rèn)部分131通過聯(lián)合服務(wù)器103的 密鑰管理部分113獲得聯(lián)合訂戶端102的密鑰交換部分121提交的公鑰信息, 并判斷其真實性��,給予接受或拒絕聯(lián)合訂戶端102的決定�。作為替代,根據(jù) 本發(fā)明的另一種實施方式,替代用聯(lián)合訂戶端102生成公鑰����,可以使聯(lián)合服務(wù)器103具有為聯(lián)合訂戶端102生成有效公鑰的功能。在這種情況下���,無須 聯(lián)合訂戶端102通過安全網(wǎng)絡(luò)協(xié)議提交有效公鑰����,而由聯(lián)合服務(wù)器103為聯(lián) 合訂戶端102生成公鑰����。
(2 )聯(lián)合內(nèi)容(content)提交功能
聯(lián)合內(nèi)容提供者101通過聯(lián)合服務(wù)器103的密鑰管理部分113獲取已確 認(rèn)要授權(quán)的聯(lián)合訂戶端102的公鑰,其包括但不限于公鑰服務(wù)器信息�����、密 碼標(biāo)識��、名稱�、電子郵件等。然后��,聯(lián)合內(nèi)容提供者IOI通過聯(lián)合服務(wù)器103 的密鑰管理部分113對聯(lián)合訂戶端102授權(quán)�����。聯(lián)合內(nèi)容提供者101的授權(quán)及 聯(lián)合內(nèi)容提交部分133向聯(lián)合服務(wù)器103提交授權(quán)給聯(lián)合訂戶端102的內(nèi)容 (content)
聯(lián)合服務(wù)器103根據(jù)聯(lián)合內(nèi)容提供者101授權(quán)聯(lián)合訂戶端102向聯(lián)合服 務(wù)器103提供的信息,對受限的內(nèi)容條目的部分或全部進行授權(quán)�,以允許授 權(quán)聯(lián)合訂戶端102進行訪問。聯(lián)合服務(wù)器103的聯(lián)合提要管理部分111產(chǎn)生 對稱密鑰��,并用該對稱密鑰對已授權(quán)的受限的內(nèi)容條目進行加密��。聯(lián)合服務(wù) 器103采用已授權(quán)聯(lián)合訂戶端102提交的公鑰對該對稱密鑰加密并連同被加 密的內(nèi)容條目 一起來生成聯(lián)合內(nèi)容數(shù)據(jù)提要��。
(3 )內(nèi)容聯(lián)合數(shù)據(jù)提要(Content Syndication feed)發(fā)布功能 聯(lián)合訂戶端102的聯(lián)合內(nèi)容訂閱部分123向聯(lián)合服務(wù)器103的聯(lián)合提要 管理部分111獲取聯(lián)合數(shù)據(jù)提要�����,根據(jù)數(shù)據(jù)提要內(nèi)容對聯(lián)合數(shù)據(jù)提要進行解 析����,并獲取被授權(quán)部分的聯(lián)合數(shù)據(jù)提要內(nèi)容�����。參考圖3描述根據(jù)本發(fā)明的優(yōu) 選實施方式的內(nèi)容聯(lián)合平臺����。圖3是圖解包括具有根據(jù)本發(fā)明的優(yōu)選實施方 式的����、圖1和圖2中所示的計算機網(wǎng)絡(luò)系統(tǒng)中的訪問控制的內(nèi)容聯(lián)合平臺的 系統(tǒng)級流程圖�。如圖3示,在密鑰交換步驟301中�,聯(lián)合訂戶端102生成公 鑰和私鑰并使用安全網(wǎng)絡(luò)協(xié)議將其公鑰提交給聯(lián)合服務(wù)器103。聯(lián)合服務(wù)器 103存儲該公鑰以便由聯(lián)合內(nèi)容提供者101進行驗證��。聯(lián)合訂戶端102將其 公鑰提交給聯(lián)合服務(wù)器103的處理���,即密鑰交換處理��,將在后面結(jié)合圖4進 一步詳細描述���。
在密鑰驗證步驟302,聯(lián)合內(nèi)容提供者101驗證存儲在聯(lián)合服務(wù)器103 中的、聯(lián)合訂戶端102的公鑰���。聯(lián)合內(nèi)容提供者101驗證該公鑰的處理將在 后面結(jié)合圖5進行詳細描述���。
然后,在內(nèi)容提交與授權(quán)步驟303,聯(lián)合內(nèi)容提供者101將內(nèi)容提交給聯(lián)合服務(wù)器103�,并通過為授權(quán)內(nèi)容選擇聯(lián)合訂戶端102的公鑰來授權(quán)該聯(lián) 合訂戶端102。該內(nèi)容提交與授權(quán)處理將在后面參考圖6進行詳細描述�����。
接下來,在聯(lián)合內(nèi)容數(shù)據(jù)提要生成步驟304,聯(lián)合服務(wù)器103生成對稱 密鑰����。聯(lián)合服務(wù)器103使用該對稱密鑰加密已授權(quán)的內(nèi)容。聯(lián)合服務(wù)器103 使用已授權(quán)的聯(lián)合訂戶端102的公鑰來加密該對稱密鑰��。非授權(quán)內(nèi)容也包括 在數(shù)據(jù)提要中���,而不用加密��。聯(lián)合服務(wù)器103采用已授權(quán)聯(lián)合訂戶端102提 交的公鑰對該對稱密鑰加密并連同被加密的內(nèi)容條目 一起來生成聯(lián)合內(nèi)容數(shù) 據(jù)提要�����。這里�����,聯(lián)合服務(wù)器103生成對稱密鑰的處理將在后面參考圖7進行 i羊細4葛述。
接下來�,在聯(lián)合內(nèi)容檢索步驟305,已授權(quán)的聯(lián)合訂戶端102從聯(lián)合服 務(wù)器102獲得其在聯(lián)合數(shù)據(jù)提要中的公鑰ID,并用自己的私鑰解密該對稱密 鑰,然后解密已授權(quán)的內(nèi)容���。該聯(lián)合內(nèi)容檢索處理將在后面參考圖8進行詳 細描述��。
本發(fā)明能夠解決現(xiàn)有的基于超文本傳輸協(xié)議的訪問控制機制所不能解決 的兩個問題����。(1 )本發(fā)明的訪問控制的粒度比較細,為文章級另ij( article level)����。 例如,博客的作者寫了 IOO篇文章����,里面的3篇可以加密成只能某些授權(quán)的 用戶的私鑰能解密,另外的4篇可以加密成只能另外某些授權(quán)的用戶的私鑰 能解密�����,其他的93篇不加密讓所有的人都能訪問���。(2)本發(fā)明的所有訪問控 制的信息(例如公鑰標(biāo)識���,加密的對稱密鑰等)都是自包含在數(shù)據(jù)提要的文 章(article)里面,而基于超文本傳輸協(xié)議的訪問控制依賴于外部的服務(wù)器���。本 發(fā)明整合后的數(shù)據(jù)提要仍然包含所有的訪問控制的信息�,所以已有的訪問控 制仍然有效。
現(xiàn)在參考圖4-圖6對圖3所示的流程圖進行詳細描述��。首先參考圖4詳 細描述聯(lián)合訂戶端102將其公鑰提交給聯(lián)合服務(wù)器103的密鑰交換處理步驟 301�。圖4是圖3中所示的密鑰交換處理的流程圖。在圖4中�����,在步驟401, 聯(lián)合訂戶端102檢查自己是否具有有效公鑰����。如果聯(lián)合訂戶端102在步驟401 中沒有找到有效公鑰,則在步驟402生成有效公鑰K_p和私鑰s—K,這里����, 用來生成有效公鑰和私鑰的方法有很多種,例如�����,可以使用叩enSSL來生成 有效^H月K_p和私鑰s_K,然而本發(fā)明不限于這種工具��,也可以采用其他的 有歲文方法�����。
接下來�����,在步驟403����,聯(lián)合訂戶端102通過安全網(wǎng)絡(luò)協(xié)議將在步驟401中找到或步驟402中生成的公鑰Kj)提交給聯(lián)合服務(wù)器103。這里�,所釆用
的安全網(wǎng)絡(luò)協(xié)議可以是,例如�����,HTTPS協(xié)議����,但本發(fā)明不限于此,而是可以 釆用各種其它的安全網(wǎng)絡(luò)協(xié)議�����。
在另一種實施方式中,替代使用聯(lián)合訂戶端102來在沒有找到有效公鑰 的情況下生成公鑰的步驟402�,可以使聯(lián)合服務(wù)器103具有為聯(lián)合訂戶端102 生成有效公鑰的功能,而在步驟403中替代通過安全網(wǎng)絡(luò)協(xié)議提交有效公鑰 的處理��,聯(lián)合服務(wù)器103生成公鑰��。
接下來�����,在步驟404��,聯(lián)合服務(wù)器103檢查所提交的公鑰是否有效�。如 果在步驟404中檢查為所提交的公鑰有效,則在步驟406中聯(lián)合服務(wù)器103 接受該公鑰并進行存儲��,然后結(jié)束該密鑰交換處理���。而如果在步驟404中檢 查為所提交的公鑰無效�����,則在步驟405中聯(lián)合服務(wù)器103丟棄該無效公鑰���, 然后結(jié)束該密鑰交換處理。
現(xiàn)在參考圖5詳細描述圖3所示的密鑰驗證處理步驟302。圖5是圖3 所示的密鑰驗證處理的流程圖�����。在圖5中��,在步驟501���,聯(lián)合內(nèi)容提供者101 驗證聯(lián)合訂戶端102的公鑰。然后�����,在步驟502,判斷聯(lián)合訂戶端102的公 鑰是否有效�����。如果在步驟502中判斷聯(lián)合訂戶端102的公鑰有效��,則在步驟 503中決定將聯(lián)合訂戶端102的公鑰添加到聯(lián)合內(nèi)容提供者101的好友列表����。 而當(dāng)決定將聯(lián)合訂戶端102的公鑰添加到合作者列表時,聯(lián)合內(nèi)容提供者101 將遵照4關(guān)合訂戶端102的決定����。
接下來��,參考圖6詳細描述圖3所示的內(nèi)容提交與授權(quán)處理步驟303����。 圖6是描述圖3所示的內(nèi)容提交與授權(quán)處理步驟303的流程圖���。參考圖6, 在步驟601,聯(lián)合內(nèi)容提供者101將內(nèi)容提交給聯(lián)合服務(wù)器103����。然后��,在步 驟602,聯(lián)合內(nèi)容提供者101通過選擇聯(lián)合訂戶端102的公鑰來授權(quán)聯(lián)合訂 戶端102訪問其受限內(nèi)容�����。
接下來���,參考圖7詳細描述圖3所示的聯(lián)合內(nèi)容數(shù)據(jù)提要生成處理步驟 304����。圖7是圖3所示的聯(lián)合內(nèi)容數(shù)據(jù)提要生成處理步驟304的流程圖�����。參考 圖7,在步驟701����,聯(lián)合服務(wù)器103生成對稱密鑰K一s來加密內(nèi)容C并獲得 經(jīng)加密的內(nèi)容C一e。在步驟702�����,聯(lián)合服務(wù)器103使用已授權(quán)的聯(lián)合訂戶端 102的公鑰K_p加密對稱密鑰K_s并獲得經(jīng)加密的對稱密鑰K—es�����。在步驟 703��,聯(lián)合服務(wù)器103生成聯(lián)合數(shù)據(jù)提要(feed)���,該聯(lián)合數(shù)據(jù)提要包含(1)已 授權(quán)的聯(lián)合訂戶端102的公鑰Kj的密鑰標(biāo)識(id); (2)經(jīng)加密的對稱密鑰K_es;和(3)經(jīng)加密的內(nèi)容C一e。
圖8是圖3所示的聯(lián)合內(nèi)容檢索處理步驟305的流程圖�����。參考圖8,在 步驟801聯(lián)合訂戶端102從聯(lián)合服務(wù)器103獲得聯(lián)合數(shù)據(jù)提要����。在步驟802�, 聯(lián)合訂戶端102檢查其公鑰標(biāo)識是否存在于聯(lián)合數(shù)據(jù)提要中�,由此判斷是否 被授權(quán)來訪問聯(lián)合內(nèi)容數(shù)據(jù)提要的受限內(nèi)容。如果在步驟802中判斷為聯(lián)合 訂戶端102是已授權(quán)�,則在步驟803中聯(lián)合訂戶端102首先使用私鑰s—K解 密對稱密鑰K_es來獲得對稱密鑰K一s,然后使用對稱密鑰K_s解密已授權(quán)內(nèi) 容C一e來獲得內(nèi)容C�。
圖9是原始聯(lián)合數(shù)據(jù)提要的示例。該聯(lián)合數(shù)據(jù)提要包括公開內(nèi)容和受限 內(nèi)容�����。在本發(fā)明中�,主要涉及的是受限內(nèi)容的訪問控制。圖9包含兩篇文章�, 在RSS協(xié)議中文章對應(yīng)的XML標(biāo)簽(tag)是"item (內(nèi)容條目)"。第一篇 文章的標(biāo)題(title)是"Publicitem"�,其內(nèi)容在本發(fā)明處理后不做任何改動,任何 人可以訪問����。第二篇文章的標(biāo)題(title)是"Restricted item",其內(nèi)容在本發(fā)明處 理后會被加密,加密后的數(shù)據(jù)提要見圖11所示��。
圖10圖示了本發(fā)明的內(nèi)容C�。從圖IO可以看出����,本發(fā)明的訪問控制是 文章級別(article level )的���,在RSS協(xié)議中文章對應(yīng)的XML標(biāo)簽(tag )是"item���,,�����, 其包含"title"�, "link", "description", "pubDate", "guid��,���,等XML元素��。RSS 協(xié)議更詳細的信息請參考 "RSS2.0規(guī)范 " (http:〃cyber.law.harvard.edu/rss/rss.html )�����。
圖11是具有訪問控制的聯(lián)合數(shù)據(jù)提要的示例�����,本發(fā)明的聯(lián)合內(nèi)容數(shù)據(jù)提 要主要包括但不限于圖ll所列諸項�����。
參考圖11�,在該示例中,(1)已授權(quán)的聯(lián)合訂戶端102的公鑰K_p的密 鑰標(biāo)識是"publickeyidl"; (2)經(jīng)加密的內(nèi)容C_e是"EncryptedContent�����,���,;而(3)經(jīng) 加密的對稱密鑰K—es是"EncryptedSymmetricKeyl"�����。
本發(fā)明可以采用完全硬件實施方式����、完全軟件實施方式或包括軟件和硬 件單元的實施方式�����。在本發(fā)明的優(yōu)選實施方式中,本發(fā)明以軟件來實現(xiàn)���,以 包括但不限于固件���、駐留軟件、微代碼等���。
此外���,本發(fā)明可以采用可從計算機可用或計算機可讀介質(zhì)進行訪問的計 算機程序產(chǎn)品的形式,只要這里的計算機可用或計算機可讀介質(zhì)提供由計算 機或任何指令執(zhí)行系統(tǒng)使用或與計算機或任何指令執(zhí)行系統(tǒng)有關(guān)的程序代 碼�����。為了本說明書的目的���,計算機可用或計算機可讀介質(zhì)可以是包含、存儲���、交換�����、傳播或傳送由計算機或任何指令執(zhí)行系統(tǒng)使用或與計算機或任何指令 執(zhí)行系統(tǒng)有關(guān)的程序代碼的任何設(shè)備�����。該計算機可用或可讀介質(zhì)可以是電子 的���、磁的��、光學(xué)的�、電磁的�、紅外的或半導(dǎo)體的系統(tǒng)(或設(shè)備或裝置)或傳播介 質(zhì)。該計算機可用或可讀介質(zhì)的示例包括半導(dǎo)體或固體存儲器�、磁帶、可拆
卸計算機盤��、隨機存取存儲器(RAM)�、只讀存儲器(ROM)、硬磁盤和光盤���。 當(dāng)前流行的光盤示例包括只讀光盤存儲器(CD-ROM)�����、讀/寫光盤(CD-R/W)和 DVD����。
適合于存儲和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)包括通過系統(tǒng)總線直接 或間接地連接到存儲器單元的至少一個處理器。這里所說的存儲單元可以包 括在程序代碼的實際執(zhí)行期間所使用的本地存儲器���、大容量存儲器以及提供 對至少某些程序代碼的臨時存儲以便在執(zhí)行期間降低從大容量存儲器取回代 碼的次數(shù)的高速緩沖存儲器�。
輸入/輸出或I/0設(shè)備(包括但不限于鍵盤�、顯示器、定點設(shè)備(pointing device)等)可以直接或通過中間I/O控制器連接到系統(tǒng)�。網(wǎng)絡(luò)適配器也可以 連接到系統(tǒng)來使得該數(shù)據(jù)處理系統(tǒng)通過中間私有或公用網(wǎng)絡(luò)連接到其它數(shù)據(jù) 處理系統(tǒng)或遠程打印機或存儲設(shè)備。調(diào)制解調(diào)器�����、線纜和以太卡僅僅是目前 可用的幾種網(wǎng)絡(luò)適配器�。
本領(lǐng)域普通技術(shù)人員應(yīng)該明白,本說明書僅僅是為了說明和描述的目的而進 行描述的���,本發(fā)明不限于這里所公開的形式。對本領(lǐng)域技術(shù)人員來說�,可以 進行很多種修改和/或變更。
權(quán)利要求
1. 一種內(nèi)容聯(lián)合訪問控制系統(tǒng)�����,包括聯(lián)合訂戶端,用于獲取已授權(quán)的聯(lián)合內(nèi)容數(shù)據(jù)提要���;聯(lián)合內(nèi)容提供部分����,用于根據(jù)公鑰對所述聯(lián)合訂戶端進行授權(quán)��,并向聯(lián)合服務(wù)器提交內(nèi)容�;以及聯(lián)合服務(wù)器,用于根據(jù)所述公鑰及對稱密鑰對內(nèi)容條目進行授權(quán)并加密已授權(quán)的內(nèi)容條目和該對稱密鑰��,并且根據(jù)被加密的內(nèi)容條目和對稱密鑰生成所述聯(lián)合內(nèi)容數(shù)據(jù)提要���。
2. 根據(jù)權(quán)利要求1所述的內(nèi)容聯(lián)合訪問控制系統(tǒng)�,進一步包括存儲器�����, 用于存儲訂戶公鑰�。
3. 根據(jù)權(quán)利要求1所述的內(nèi)容聯(lián)合訪問控制系統(tǒng),所述公鑰由所述聯(lián)合 訂戶端生成并提交而來����。
4. 根據(jù)權(quán)利要求1所述的內(nèi)容聯(lián)合訪問控制系統(tǒng)����,所述公鑰由所述公鑰 服務(wù)器生成����。
5. 根據(jù)權(quán)利要求1所述的內(nèi)容聯(lián)合訪問控制系統(tǒng),其中�,所述聯(lián)合內(nèi)容 提供部分通過所述聯(lián)合服務(wù)器對所述聯(lián)合訂戶端進行授權(quán)。
6. 根據(jù)權(quán)利要求1所述的內(nèi)容聯(lián)合訪問控制系統(tǒng)�����,其中����,所述聯(lián)合內(nèi)容 數(shù)據(jù)提要包括非授權(quán)的未加密內(nèi)容條目。
7. 根據(jù)權(quán)利要求1所述的內(nèi)容聯(lián)合訪問控制系統(tǒng)���,其中���, 所述聯(lián)合訂戶端包括密鑰交換部分,用于向所述聯(lián)合服務(wù)器提交所述訂戶公鑰�����;以及 聯(lián)合內(nèi)容訂閱部分�,用于從所述聯(lián)合服務(wù)器獲取聯(lián)合數(shù)據(jù)提要,根據(jù)該聯(lián)合數(shù)據(jù)提要的內(nèi)容對該聯(lián)合數(shù)據(jù)提要進行解析����,并獲取被授權(quán)部分的聯(lián)合數(shù)據(jù)提要內(nèi)容,所述聯(lián)合內(nèi)容提供部分包括密鑰確認(rèn)部分��,用于判斷所述公鑰是否真實有效并根據(jù)判斷結(jié)果作出是 否授權(quán)所述聯(lián)合訂戶端的決定����,并通過將所述聯(lián)合訂戶端的公鑰添加到好友 列表來授權(quán)所述聯(lián)合訂戶端;以及聯(lián)合內(nèi)容提交部分��,根據(jù)所述密鑰確認(rèn)部分的所述決定向所述聯(lián)合服務(wù) 器提交授權(quán)給所述聯(lián)合訂戶端的內(nèi)容����,以及所述聯(lián)合服務(wù)器包括聯(lián)合數(shù)據(jù)提要管理部分,用于產(chǎn)生對稱密鑰并用該對稱密鑰對已授權(quán)的內(nèi)容條目進行加密���,并采用已授權(quán)聯(lián)合訂戶端提交的 所述公鑰對該對稱密鑰加密然后連同被加密的內(nèi)容條目 一起來生成聯(lián)合內(nèi)容 數(shù)據(jù)提要��。
8. 根據(jù)權(quán)利要求7所述的內(nèi)容聯(lián)合訪問控制系統(tǒng)��,其中����,所述聯(lián)合數(shù)據(jù) 提要包含已授權(quán)的訂戶的公鑰的密鑰標(biāo)識、該經(jīng)加密的對稱密鑰和該經(jīng)加密 的內(nèi)容條目��。
9. 根據(jù)權(quán)利要求1所述的內(nèi)容聯(lián)合訪問控制系統(tǒng)���,其中�����,所述密鑰確認(rèn) 部分遵照所述聯(lián)合訂戶端的決定來對該聯(lián)合訂戶端進行授權(quán)���。
10. 根據(jù)權(quán)利要求1所述的內(nèi)容聯(lián)合訪問控制系統(tǒng),其中���,所述聯(lián)合服 務(wù)器還包括密鑰管理部分�,用于判斷所述密鑰交換部分提交的所述公鑰是否 真實有效���,以決定是否對所述聯(lián)合訂戶端授權(quán)并決定將受限的內(nèi)容條目中的 哪些授權(quán)給所述聯(lián)合訂戶端進行訪問��。
11. 一種內(nèi)容聯(lián)合訪問控制方法�,包括 密鑰驗證步驟,用于驗證訂戶公鑰是否真實有效�����;內(nèi)容提交與授權(quán)步驟�����,用于根據(jù)所述密鑰驗證步驟的驗證結(jié)果授權(quán)所述 訂戶訪問的內(nèi)容條目�,并提交已授權(quán)的內(nèi)容條目�����;以及聯(lián)合內(nèi)容數(shù)據(jù)提要生成步驟����,用于生成對稱密鑰,使用該對稱密鑰加密 已授權(quán)并提交的所述內(nèi)容條目�����,使用已授權(quán)的訂戶的所述公鑰來加密該對稱 密鑰��,并將經(jīng)加密的對稱密鑰連同經(jīng)加密的內(nèi)容條目 一起生成聯(lián)合內(nèi)容數(shù)據(jù) 提要�。
12. 根據(jù)權(quán)利要求11的內(nèi)容聯(lián)合訪問控制方法�����,其中進一步包括密鑰交 換步驟����,用于產(chǎn)生公鑰和私鑰并提交所述公鑰�。
13. 根據(jù)權(quán)利要求11的內(nèi)容聯(lián)合訪問控制方法,其中進一步包括聯(lián)合內(nèi) 容檢索步驟�,由所述訂戶用于從所述聯(lián)合內(nèi)容提要生成步驟生成的聯(lián)合內(nèi)容 提要中檢索所述公鑰,并用訂戶自己的私鑰解密所述對稱密鑰�,進而解密已 授權(quán)的內(nèi)容條目。
14. 根據(jù)權(quán)利要求12的內(nèi)容聯(lián)合訪問控制方法�,其中,所述密鑰交換步 驟包括子步驟檢查訂戶自己是否具有公鑰���,并在沒有找到公鑰的情況下���,訂戶生成公 鑰和私鑰并提交該公鑰。
15. 根據(jù)權(quán)利要求12的內(nèi)容聯(lián)合訪問控制方法�,其中,所述密鑰交換步 驟包括子步驟檢查訂戶自己是否具有公鑰���,并在沒有找到公鑰的情況下���,請求公鑰服 務(wù)器生成公鑰���。
16. 根據(jù)權(quán)利要求11的內(nèi)容聯(lián)合訪問控制方法,其中���,所述密鑰驗證步 驟包括子步驟判斷訂戶的公鑰是否有效,并在判斷為公鑰有效的情況下�����,根據(jù)訂戶的 決定將所述公鑰添加到聯(lián)合內(nèi)容提供部分的好友列表��。
17. 根據(jù)權(quán)利要求11的內(nèi)容聯(lián)合訪問控制方法��,其中�,所述內(nèi)容提交與 授權(quán)步驟包括子步驟通過選擇訂戶的所述公鑰來授權(quán)訂戶所要訪問的所述內(nèi)容條目。
18. 根據(jù)權(quán)利要求11的內(nèi)容聯(lián)合訪問控制方法��,其中���,所述聯(lián)合內(nèi)容數(shù) 據(jù)提要生成步驟包括子步驟生成對稱密鑰來加密已授權(quán)的內(nèi)容條目以獲得經(jīng)加密的內(nèi)容條目�����; 使用已授權(quán)的訂戶的所迷加密所述對稱密鑰以獲得經(jīng)加密的對稱密鑰�;以及根據(jù)該經(jīng)加密的內(nèi)容條目、該經(jīng)加密的對稱密鑰和訂戶的公鑰生成聯(lián)合 數(shù)據(jù)提要���,其中該聯(lián)合數(shù)據(jù)提要包含已授權(quán)的訂戶的公鑰的密鑰標(biāo)識���、該經(jīng) 加密的對稱密鑰和該經(jīng)加密的內(nèi)容條目。
19. 根據(jù)權(quán)利要求13的內(nèi)容聯(lián)合訪問控制方法����,其中,所述聯(lián)合內(nèi)容檢 索步驟包括子步驟獲取所述聯(lián)合內(nèi)容數(shù)據(jù)提要�;檢查用戶的公鑰標(biāo)識是否存在于所述聯(lián)合內(nèi)容中,以判斷是否被授權(quán)來 訪問該聯(lián)合內(nèi)容數(shù)據(jù)提要���;如果判斷為訂戶已經(jīng)被授權(quán)來訪問該聯(lián)合內(nèi)容數(shù)據(jù)提要���,使用訂戶私鑰 解密所述對稱密鑰來獲得經(jīng)解密的對稱密鑰;以及使用所述經(jīng)解密的對稱密鑰解密已授權(quán)的內(nèi)容條目來獲得經(jīng)解密的內(nèi)容 條目�����。
全文摘要
本發(fā)明涉及內(nèi)容聯(lián)合訪問控制系統(tǒng)及方法。該內(nèi)容聯(lián)合訪問控制系統(tǒng)包括聯(lián)合訂戶端�,用于獲取已授權(quán)的聯(lián)合內(nèi)容數(shù)據(jù)提要;聯(lián)合內(nèi)容提供部分���,用于根據(jù)公鑰對所述聯(lián)合訂戶端進行授權(quán)���,并向所述聯(lián)合服務(wù)器提交內(nèi)容;以及聯(lián)合服務(wù)器��,用于根據(jù)所述公鑰及對稱密鑰對內(nèi)容條目進行授權(quán)并加密已授權(quán)的內(nèi)容條目和該對稱密鑰����,并且根據(jù)被加密的內(nèi)容條目和對稱密鑰生成所述聯(lián)合內(nèi)容數(shù)據(jù)提要���。通過該系統(tǒng)�����,使得訪問控制的粒度比較細�����,且經(jīng)整合后的內(nèi)容提要仍然包含所有的訪問控制的信息�,所以已有的訪問控制仍然有效。
文檔編號H04L9/08GK101453321SQ20071019416
公開日2009年6月10日 申請日期2007年12月6日 優(yōu)先權(quán)日2007年12月6日
發(fā)明者仲海駿, 濤 吳, 健 徐, 波 謝 申請人:國際商業(yè)機器公司