[发明专利]文档访问控制方法和系统

说明书

技术领域

本发明总体上涉及文档访问控制，并且更特别地，涉及对可从网络获得的文档的访问控制。

背景技术

电子文档可能包括应当限制其访问的敏感信息。加密敏感电子文档以防止未授权访问是众所周知的。除了加密以外，常常通过访问控制列表（ACL）的使用控制对限制信息的访问。典型地，ACL指定哪些用户能够访问受保护数据以及用户访问受保护数据的级别。该列表可以包括用于具有访问权限的每个用户的登记项。ACL可以作为表保持在本地系统上或者它可以保持在云中。

如今“云计算”是公知的，并且指的是经由网络基础设施（例如互联网）访问计算资源和数据。计算资源和数据存储可以由“云”（网络）的链接数据中心提供。每个数据中心典型地包括提供数据存储和检索服务的多个服务器。这样的服务例如包括数据的备份和恢复、数据迁移、数据共享、数据协作等。云存储服务可从世界上的任何地方访问。因此，云存储促进共享相同文件或对象的成百上千人之间的协作。

针对用户的远程认证已经开发的一个流行标准是轻量级目录访问协议（LDAP）。LDAP可以用于认证用户以访问可以对用户本地或远程驻留的资源。典型地，尤其在小型商业环境下，LDAP服务器远离用户设置。利用通过服务提供商提供的远程LDAP服务器允许小型商业节约自己提供本地LDAP服务器的成本。经由互联网、内联网或其它计算机网络提供至LDAP服务器的连接。在一些情况下，一些资源（例如网页或网络应用）可以位于本地客户机上。在用户可以访问这样的资源之前，仍然需要由LDAP服务器认证用户。在客户机是移动式计算机的情况下，客户机将常常从网络断开。在这样的情况下，用户将不能访问移动式客户机上的安全资源，原因是将没有至LDAP服务器的连接。在商业环境的情况下，这会导致严重的生产力损失。

发明内容

在本发明的第一实施例中，提供一种用于控制访问经加密的文档的程序产品和方法。计算机接收访问所述经加密的文档的请求，所述访问请求包括用户标识和用户密码。所述计算机对所述用户密码执行单向散列函数以生成散列值。所述计算机从访问控制表搜索散列值，所述散列值指示授权用户访问所述经加密的文档并且对应于用所述用户密码加密的文档密码。所述计算机使用所述用户密码解密所述文档密码。所述计算机使用所述经解密的文档密码解密所述经加密的文档。

在本发明的第二实施例中，提供一种用于控制访问网页的程序产品和方法。计算机接收电子邮件消息。所述电子邮件消息包括至经加密的网页的超链接。用于所述经加密的网页的标记语言文档包括程序代码以向所述计算机的用户请求用户标识和用户密码，并且确定用户是否被授权访问所述网页，并且如果是这样，则解密所述网页。响应显示所述经加密的网页的用户请求，所述计算机调用所述程序代码。响应用户的认证，所述计算机解密所述网页并且显示所述网页。

附图说明

图1是根据本发明的一个实施例的用于控制访问限制信息的分布式数据处理环境的图示。

图2根据本发明的一个实施例的更详细地示出了由用于认证没有管理员权限的用户的、图1的分布式数据处理环境的用户认证器程序执行的步骤。

图3根据本发明的一个实施例更详细地示出了由用于认证具有管理员权限的用户的、图1的分布式数据处理环境的管理员认证器程序执行的步骤。

图4是图1的每个计算机的内部和外部部件的框图。

具体实施方式

现在将参考附图描述本发明。应当领会图1仅仅作为一个实现方式的图示被提供，而不是旨在暗示关于不同实施例可以在其中实现的环境进行任何限制。可以对所示的环境进行许多修改。

图1示出了根据本发明的一个实施例的大体上标记为100的分布式数据处理系统。系统100包括服务器计算机104、服务器计算机106和存储器122（其包含ACL表124）。多个客户端计算机118和120经由网络102（例如互联网）联接到服务器104和106。网络102表示使用传输控制协议/互联网协议协议组彼此通信的网络和网关的全球集合。互联网的核心是由路由数据和消息的数千商业、政府、教育和其它计算机系统组成的主节点或主机之间的高速数据通信线的主干网。备选地，数据处理系统100的计算机和其它设备可以由不同类型的网络互连，例如内联网、局域网（LAN）或广域网（WAN）。

网络102可以包括通信连接，例如有线、无线通信链路或光纤电缆。