[发明专利]在提供访问联网内容文件中分配访问控制级的方法和设备

说明书

技术领域

本发明涉及用于安全访问联网资源的方法和设备，并且具体地，涉及用于在从服务器提供访问联网内容文件中分配访问控制级的方法和设备。

背景技术

按照惯例，客户端系统上的用户使用web浏览器和其它基于客户端的应用程序来访问从远端位置取回的内容文件。例如，用户可以使用华盛顿州的雷蒙德(Redmond)的微软公司的INTERNET EXPLORER访问互联网内容，并且然后使用也来自微软公司的WINDOWS EXPLORER来访问桌面产品文件类型，比如已经被下载到本地位置的WORD文档。

常规的处理要求下载文件到客户端节点用于观看和处理。然而，从安全性观点看，这种处理存在问题。为了访问客户端上的内容，要求用户两次本地保存该内容到非易失存储器。在下载期间要求第一次保存，并且在上传处理之前编辑之后要求第二次保存。而且，许多用户经常从一个本地目录移动和/或拷贝下载的内容到另一个本地目录(例如，从dir://downloaded_files到dir://my_documents)。这些保存动作的每一个在客户端创建了该文档的一个本地拷贝。客户端设备的极少用户将记得手动删除所述文档的这些本地拷贝，这些拷贝因此保留在客户端设备上。

此外，客户端设备的存储器的直接处理对用户来说可能难接近的，比如其中客户端设备位于公用电话亭环境中的情况。在这些情况中，删除本地拷贝的选项对用户来说并不是可以做到的。因为留在客户端上的文档可能是由未被授权的个人通过访问客户端机器所访问的，这提出了显著的安全性问题。另外，较小的设备类型，比如个人数字助理，可能没有足够的资源来允许在设备上使用基于客户端的应用程序。

为了试图解决这些顾虑，常规的访问控制方法在准许访问之前可能要求来自客户端的特定认证证书(authentication credential)并且可能拒绝来自不合法位置或设备的访问。然而，常规方法的局限性是通常要求访问控制决定引起要么拒绝要么准许访问资源。在拒绝的情况下，该方法不能提供任何可替换的访问方法。在准许的情况下，该方法可以提供仅完全的和完整的资源公开。通过基于访问控制级分配访问等级来准许访问控制的方法在联网环境中提供对私有资源(proprietary resource)的访问时是所希望的。

另外，在保护私有数据不受到不合法客户端节点的访问中，访问权根据诸如客户端设备类型、授权(authorization)证书、以及性能之类的因素来提供访问文件的可替换方法是所希望的。完全拒绝访问权的一种替换方案(比如代表客户端对在安全网络上执行的文件的有限权利)是所希望的。

发明内容

本发明涉及通过分配多个访问级之一用于安全访问来自服务器的内容文件以实现增强安全性、证据收集、以及政策应用程序从而提供访问控制的方法和设备。

在一个方面中，本发明涉及用于准许访问资源的系统和方法。客户端节点请求访问资源。收集代理收集关于该客户端节点的信息并且政策机接收所收集的信息。政策机通过响应于政策的应用程序分配多个访问级之一给所接收的信息来做出访问控制决定。

在一个实施例中，政策机通过应用政策到所接收的信息做出访问决定。在另一个实施例中，政策机传送该收集代理给客户端节点。

在另一个方面中，本发明涉及用于准许访问资源的方法和设备。该设备包括政策机，该政策机包括两个部件。第一部件接收关于客户端节点的信息并且从该信息生成数据组。第二部件接收该数据组，并且基于所接收的数据组将可用于该客户端的资源的枚举(enumeration)提供给第一部件。第一部件将所述资源的枚举呈现给客户端节点。

在一个实施例中，第一部件从收集代理接收信息。在一个实施例中，每个部件另外包括数据库。第一部件中的数据库存储条件。第二部件中的数据库存储政策。第一部件应用条件到所接收的信息并且第二部件应用政策到所接收的数据组。在另一个实施例中，第二部件生成可用于客户端节点的资源的子组的枚举。

本发明还涉及用于访问网络资源以实现增强的安全性从而减少联网环境中的私有数据的公开的方法和设备。

在一个方面中，本发明涉及用于提供文件内容的方法和设备。客户端节点传送文件请求。访问控制服务器接收该请求并且做出访问控制决定。应用程序服务器中心(application server farm)使用与所请求文件的文件类型有关的应用程序将文件内容呈现给客户端节点。