專利名稱:用于訪問(wèn)私人數(shù)字內(nèi)容的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于訪問(wèn)私人(private)數(shù)字內(nèi)容的系統(tǒng)和方法�����、內(nèi)容管理服務(wù)器��、 安全內(nèi)容服務(wù)器��、和用于安全通信的方法����。
背景技術(shù):
存在開(kāi)放認(rèn)證(OAuth)協(xié)議(見(jiàn)OAuth 規(guī)范 1. 0�����,可從 http//oauth. net/ license/core/1.0處獲得)以處理網(wǎng)絡(luò)上多方之間的用戶憑證�����。此外��,存在多個(gè)基于令牌的共享方案��,其中共享方案能夠在與上述OAuth系統(tǒng)相似的網(wǎng)絡(luò)實(shí)體之間進(jìn)行內(nèi)容共享��。 例如,臉譜(Facebook)����、Flickr、谷歌(Google)�、Smugmug 和 Photobucket 都使用令牌進(jìn)行認(rèn)證。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的實(shí)施方式���,提供了用于共享私人內(nèi)容的改進(jìn)的方法和系統(tǒng)��,其可為私人內(nèi)容的所有者提供便利���,并提供充分安全性。根據(jù)本發(fā)明的一個(gè)實(shí)施方式�,提供一種用于提供對(duì)由所有者擁有且安裝在內(nèi)容服務(wù)器上的私人數(shù)字內(nèi)容的訪問(wèn)的方法,其中內(nèi)容管理服務(wù)器具有多個(gè)潛在地對(duì)私人內(nèi)容感興趣的客戶機(jī)���,該方法包括在內(nèi)容管理服務(wù)器處執(zhí)行的下列步驟被告知所有者已經(jīng)在內(nèi)容服務(wù)器上安裝私人內(nèi)容�;從內(nèi)容服務(wù)器獲得委托令牌(delegate token)���;從內(nèi)容管理服務(wù)器的多個(gè)客戶機(jī)中的一個(gè)客戶機(jī)接收用于私人數(shù)字內(nèi)容的查詢���;使用能夠使客戶機(jī)訪問(wèn)私人內(nèi)容的委托令牌給所述客戶機(jī)提供令牌��。在本發(fā)明的上下文中��,應(yīng)當(dāng)廣義地將內(nèi)容管理服務(wù)器理解為涉及能夠管理例如多個(gè)用戶的公共和/或私人共享的和/或私人不共享的諸如圖像����、視頻等的數(shù)字內(nèi)容的任何服務(wù)器���。內(nèi)容自身可存儲(chǔ)在本地或存儲(chǔ)在遠(yuǎn)程位置。這種內(nèi)容管理服務(wù)器的實(shí)例是�,例如由像Flickr、TourTube等的內(nèi)容提供商���、諸如PeCMan����、SecondBrain��、iGoogle的任意類型的內(nèi)容集合器(aggregator)�����、任意類型的所有者代理(具有選擇代理功能的代理)等使用的簡(jiǎn)單的內(nèi)容管理服務(wù)器����。這樣的內(nèi)容管理服務(wù)器的優(yōu)選實(shí)施方式可適于允許對(duì)內(nèi)容作標(biāo)記����。在本發(fā)明的上下文中��,內(nèi)容服務(wù)器典型地涉及安全內(nèi)容服務(wù)器����,并且例如可以是安全網(wǎng)絡(luò)服務(wù)器。其它實(shí)例為具有共享文件能力的本地磁盤���,在其上安裝服務(wù)器程序使得將計(jì)算機(jī)用作內(nèi)容服務(wù)器的任意計(jì)算機(jī)等���。在本發(fā)明的上下文中,令牌是在對(duì)令牌請(qǐng)求者的多個(gè)憑證(credential)進(jìn)行驗(yàn)證的基礎(chǔ)上產(chǎn)生的值�。該值典型地是由內(nèi)容服務(wù)器隨機(jī)產(chǎn)生的多個(gè)字符的字符串。根據(jù)本發(fā)明的優(yōu)選實(shí)施方式�,在私人數(shù)字內(nèi)容所有者的幫助下產(chǎn)生委托令牌并且委托令牌用于代表內(nèi)容所有者講話(speak for)。通過(guò)內(nèi)容管理服務(wù)器來(lái)獲得委托令牌�,包
5括例如從內(nèi)容服務(wù)器獲得第一令牌Tl ;請(qǐng)求所有者對(duì)第一令牌進(jìn)行授權(quán)(authorize)���;接收經(jīng)過(guò)授權(quán)的第一令牌�;請(qǐng)求通過(guò)內(nèi)容服務(wù)器將經(jīng)過(guò)授權(quán)的第一令牌替換為第二令牌T2,其中所述第二令牌T2形成委托令牌��。第一令牌典型地會(huì)是所謂的請(qǐng)求令牌��,其中請(qǐng)求令牌是由客戶機(jī)(這里是內(nèi)容管理服務(wù)器)用于從所有者獲得授權(quán)的值����,并且可替換為典型地稱為訪問(wèn)令牌的第二令牌,其中訪問(wèn)令牌是由客戶機(jī)(內(nèi)容管理服務(wù)器)使用以代表所有者增加對(duì)保護(hù)內(nèi)容的訪問(wèn)���,而不使用所有者的內(nèi)容服務(wù)器憑證。根據(jù)可能的實(shí)施方式����,使用委托令牌給所述客戶機(jī)提供令牌包括由內(nèi)容管理服務(wù)器執(zhí)行的下列步驟將用于把委托令牌替換為客戶機(jī)訪問(wèn)令牌T3的請(qǐng)求發(fā)送給內(nèi)容服務(wù)器;接收訪問(wèn)令牌T3 �����;和將訪問(wèn)令牌T3轉(zhuǎn)發(fā)給客戶機(jī)��。相比于委托令牌允許的權(quán)利�����,最新創(chuàng)建的訪問(wèn)令牌T3典型地具有相同或較少的權(quán)利。該方法的優(yōu)勢(shì)是客戶機(jī)不必向內(nèi)容服務(wù)器注冊(cè)�����。根據(jù)可替換的實(shí)施方式����,使用委托令牌給所述客戶機(jī)提供令牌包括由內(nèi)容管理服務(wù)器執(zhí)行的下列步驟從客戶機(jī)接收請(qǐng)求令牌T4 ;使用委托令牌對(duì)所述令牌進(jìn)行授權(quán)��;將所述經(jīng)過(guò)授權(quán)的請(qǐng)求令牌T4發(fā)送給客戶機(jī)��,能夠使客戶機(jī)通過(guò)內(nèi)容服務(wù)器將該經(jīng)過(guò)認(rèn)證的請(qǐng)求令牌換為訪問(wèn)令牌����。根據(jù)本發(fā)明的另一方面,提供一種用于通過(guò)內(nèi)容管理服務(wù)器的客戶機(jī)獲得私人數(shù)字內(nèi)容的方法�,其中私人內(nèi)容由所有者擁有并且私人內(nèi)容被安裝在內(nèi)容服務(wù)器上,包括由客戶機(jī)執(zhí)行的下列步驟將用于獲得私人數(shù)字內(nèi)容的請(qǐng)求發(fā)送給具有與數(shù)字私人內(nèi)容相關(guān)聯(lián)的委托令牌的內(nèi)容管理服務(wù)器�;從內(nèi)容管理服務(wù)器獲得使用委托令牌產(chǎn)生的并允許客戶機(jī)訪問(wèn)私人數(shù)字內(nèi)容的令牌;訪問(wèn)私人數(shù)字內(nèi)容����。根據(jù)第一實(shí)施例,從內(nèi)容管理服務(wù)器獲得令牌在于獲得由內(nèi)容管理服務(wù)器之前根據(jù)其委托令牌通過(guò)內(nèi)容服務(wù)器已經(jīng)獲得的訪問(wèn)令牌T3���。根據(jù)第二實(shí)施例��,從內(nèi)容管理服務(wù)器獲得令牌可以包括由客戶機(jī)執(zhí)行的下列步驟將用于令牌的請(qǐng)求發(fā)送給內(nèi)容服務(wù)器��;從內(nèi)容服務(wù)器接收請(qǐng)求令牌T4 ���;將接收的請(qǐng)求令牌發(fā)送給內(nèi)容管理服務(wù)器以進(jìn)行授權(quán)��;通過(guò)內(nèi)容管理服務(wù)器使用其委托令牌來(lái)接收請(qǐng)求令牌���;將該經(jīng)過(guò)授權(quán)的請(qǐng)求令牌發(fā)送給內(nèi)容服務(wù)器;以及
從內(nèi)容服務(wù)器接收能夠使客戶機(jī)訪問(wèn)私人內(nèi)容的訪問(wèn)令牌T5�。根據(jù)本發(fā)明的另一方面,提供一種用于提供對(duì)私人數(shù)字內(nèi)容的訪問(wèn)的方法���,其中私人數(shù)字內(nèi)容由所有者擁有并且被安裝在內(nèi)容服務(wù)器上,所述方法包括在內(nèi)容服務(wù)器執(zhí)行的下列步驟為內(nèi)容管理服務(wù)器產(chǎn)生由用戶授權(quán)的委托令牌���;將所述委托令牌發(fā)送給內(nèi)容管理服務(wù)器�。根據(jù)優(yōu)選實(shí)施方式�����,一個(gè)或多個(gè)標(biāo)準(zhǔn)的開(kāi)放認(rèn)證呼叫用于執(zhí)行方法步驟。根據(jù)本發(fā)明系統(tǒng)的實(shí)施方式��,系統(tǒng)包括內(nèi)容管理服務(wù)器�,其具有擁有存儲(chǔ)在內(nèi)容服務(wù)器上的數(shù)字私人內(nèi)容的第一客戶機(jī)(primary client);和多個(gè)第二客戶機(jī)(secondary client)��;其中內(nèi)容管理服務(wù)器適于從內(nèi)容服務(wù)器獲得與數(shù)字私人內(nèi)容相關(guān)聯(lián)的委托令牌��, 并適于使用能夠使第二客戶機(jī)訪問(wèn)數(shù)字私人內(nèi)容的委托令牌將令牌傳遞給第二客戶機(jī)���;以及第二客戶機(jī)適于將傳遞的令牌提供給內(nèi)容服務(wù)器以用于獲得對(duì)數(shù)字私人內(nèi)容的訪問(wèn)ο根據(jù)優(yōu)選實(shí)施方式����,第一客戶機(jī)進(jìn)一步適于對(duì)通過(guò)內(nèi)容服務(wù)器從內(nèi)容管理服務(wù)器接收的請(qǐng)求令牌進(jìn)行認(rèn)證����;所述內(nèi)容管理服務(wù)器于是可以進(jìn)一步適于接收經(jīng)過(guò)授權(quán)的請(qǐng)求令牌,并使用所述經(jīng)過(guò)授權(quán)的請(qǐng)求令牌來(lái)獲得委托令牌�����。根據(jù)本發(fā)明的另一方面�����,提供一種用于組織多個(gè)客戶機(jī)的私人數(shù)字內(nèi)容的內(nèi)容管理服務(wù)器,第一客戶機(jī)擁有存儲(chǔ)在內(nèi)容服務(wù)器上的數(shù)字私人內(nèi)容����,所述內(nèi)容管理服務(wù)器適于從內(nèi)容服務(wù)器獲得與所有者客戶機(jī)的數(shù)字私人內(nèi)容相關(guān)聯(lián)的委托令牌,并使用委托令牌將令牌傳遞給第二客戶機(jī)以使第二客戶機(jī)能夠訪問(wèn)所有者客戶機(jī)的私人內(nèi)容����。根據(jù)示例性實(shí)施方式,內(nèi)容管理服務(wù)器是諸如PeCMan服務(wù)器的內(nèi)容集合器�����。根據(jù)另一開(kāi)發(fā)的實(shí)施方式����,內(nèi)容管理服務(wù)器進(jìn)一步適于將與私人內(nèi)容相關(guān)的令牌提供給客戶機(jī),其中相比于委托令牌��,與私人內(nèi)容相關(guān)的令牌具有相同或較少的訪問(wèn)權(quán)禾U����。根據(jù)本發(fā)明的另一方面�,提供一種存儲(chǔ)所有者的私人數(shù)字內(nèi)容的諸如安全網(wǎng)絡(luò)服務(wù)器的內(nèi)容服務(wù)器,適于從內(nèi)容管理服務(wù)器接收由所有者授權(quán)的請(qǐng)求令牌,將該經(jīng)授權(quán)的請(qǐng)求令牌換為委托令牌���,以及將委托令牌發(fā)送給內(nèi)容管理服務(wù)器��。最后�,本發(fā)明涉及計(jì)算機(jī)程序產(chǎn)品�����,包括當(dāng)程序在計(jì)算機(jī)上運(yùn)行時(shí)用于執(zhí)行本發(fā)明任一方法的計(jì)算機(jī)可執(zhí)行指令�。根據(jù)本發(fā)明的實(shí)施方式,提供一種開(kāi)放認(rèn)證協(xié)議方法��,其擴(kuò)展為支持將委托令牌傳遞給管理服務(wù)器��,例如PeCMan服務(wù)器����、用戶代理或任何其它適合的實(shí)體。在私人數(shù)字內(nèi)容的所有者的幫助下產(chǎn)生這些委托令牌���,并將這些委托令牌用于代表內(nèi)容所有者講話����。在這種方式下,每次第二客戶機(jī)請(qǐng)求訪問(wèn)私人數(shù)字內(nèi)容時(shí)�����,所有者不必將所有者憑證提供給私人內(nèi)容網(wǎng)絡(luò)服務(wù)器�����,可以由管理服務(wù)器提供委托令牌���,而不必需要所有者干預(yù)�����。當(dāng)管理服務(wù)器獲得委托令牌時(shí)�,所有者將僅干預(yù)一次�。優(yōu)勢(shì)是第二客戶機(jī)可以訪問(wèn)私人內(nèi)容而不用持有所有者的用戶憑證。當(dāng)該方法應(yīng)用于PeCMan中時(shí)����,PeCMan服務(wù)器不要求現(xiàn)有技術(shù)方法中的用于共享私人內(nèi)容的代理功能。
根據(jù)本發(fā)明的實(shí)施方式�,已經(jīng)利用認(rèn)證委托(delegate)操作來(lái)擴(kuò)展OAuth協(xié)議方法以使諸如PeCMan或用戶代理的內(nèi)容管理器能夠代表內(nèi)容所有者講話。因此當(dāng)客戶機(jī)在存儲(chǔ)提供商處存儲(chǔ)私人內(nèi)容時(shí)����,其安排創(chuàng)建進(jìn)行存儲(chǔ)的具有URL的長(zhǎng)期委托令牌。如果通過(guò)內(nèi)容管理器共享私人數(shù)據(jù)����,該委托令牌可用于OAuth協(xié)議以對(duì)請(qǐng)求令牌進(jìn)行認(rèn)證。根據(jù)本發(fā)明的另一實(shí)施方式�,提供一種持有用于私人內(nèi)容的委托令牌的內(nèi)容管理服務(wù)器,例如PeCMan服務(wù)器或用戶代理�。根據(jù)可能的實(shí)施方式,內(nèi)容管理服務(wù)器適于對(duì)來(lái)自第二客戶機(jī)的請(qǐng)求令牌進(jìn)行授權(quán)�����,利用該請(qǐng)求令牌���,所述第二客戶機(jī)可訪問(wèn)諸如安全網(wǎng)站的私人內(nèi)容位置上的數(shù)據(jù)����,而不用再進(jìn)一步牽扯所有者��。根據(jù)本發(fā)明的一個(gè)實(shí)施方式����,提供一種使用擴(kuò)展的OAuth協(xié)議以支持將認(rèn)證授權(quán)從內(nèi)容所有者委托給諸如PeCMan服務(wù)器或用戶代理的內(nèi)容管理服務(wù)器的系統(tǒng)��。更具體地�����, 內(nèi)容所有者能夠?qū)⒂糜诰W(wǎng)絡(luò)服務(wù)器認(rèn)證的責(zé)任委托給內(nèi)容管理服務(wù)器�����,從而當(dāng)與朋友����、伙伴�、或其它有關(guān)方共享內(nèi)容時(shí),內(nèi)容所有者不必對(duì)自己進(jìn)行認(rèn)證�,并且甚至不用出現(xiàn)。根據(jù)本發(fā)明的一個(gè)實(shí)施方式����,提供一種使用通過(guò)委托認(rèn)證授權(quán)的過(guò)程來(lái)擴(kuò)展的 OAuth協(xié)議的方法,包括在內(nèi)容所有者�����、私人內(nèi)容服務(wù)器和內(nèi)容管理服務(wù)器之間共享的委托令牌的概念�����。當(dāng)?shù)诙蛻魴C(jī)需要訪問(wèn)私人內(nèi)容時(shí),內(nèi)容管理服務(wù)器可以提供其委托令牌以作為內(nèi)容所有者已授權(quán)內(nèi)容管理服務(wù)器代表其講話的證據(jù)����。典型地���,內(nèi)容管理服務(wù)器可作為原始內(nèi)容所有者的代理�����。根據(jù)另一實(shí)施方式���,新的OAuth委托機(jī)制意味著內(nèi)容管理服務(wù)器可以增強(qiáng)其自身在內(nèi)容上的訪問(wèn)控制策略,其中內(nèi)容通過(guò)內(nèi)容管理服務(wù)器進(jìn)行共享��。委托令牌能夠以特定訪問(wèn)權(quán)利來(lái)訪問(wèn)私人共享的內(nèi)容�。根據(jù)可能的實(shí)施方式,內(nèi)容管理服務(wù)器適于限制這些訪問(wèn)權(quán)利�。
附圖用于解釋本發(fā)明目前優(yōu)選的非限制性的示例性實(shí)施方式。通過(guò)下面的詳細(xì)描述��,并結(jié)合附圖進(jìn)行閱讀�,本發(fā)明的上述和其它有益特點(diǎn)和目標(biāo)會(huì)變得更加明顯并且可以更好地理解本發(fā)明�,其中圖1是PeCMan架構(gòu)的示意圖�����;圖2描述了根據(jù)本發(fā)明方法的第一實(shí)施方式的用于對(duì)PeCMan服務(wù)器進(jìn)行委托的呼叫流程���; 圖3描述了根據(jù)本發(fā)明方法的第一實(shí)施方式的用于通過(guò)第二 PeCMan客戶機(jī)獲取私人內(nèi)容的呼叫流程�����;圖4描述了根據(jù)本發(fā)明方法的第二實(shí)施方式的用于通過(guò)第二 PeCMan客戶機(jī)獲取私人內(nèi)容的呼叫流程�;圖5描述了根據(jù)本發(fā)明方法的第三實(shí)施方式的用于獲取私人內(nèi)容的呼叫流程��;圖6描述了根據(jù)本發(fā)明方法的第二實(shí)施方式的用于對(duì)PeCMan服務(wù)器進(jìn)行委托的呼叫流程����;圖7描述了根據(jù)本發(fā)明方法的第四實(shí)施方式的用于通過(guò)第二 PeCMan客戶機(jī)獲取私人內(nèi)容的呼叫流程;圖8描述了根據(jù)本發(fā)明方法的第三實(shí)施方式的用于對(duì)PeCMan服務(wù)器進(jìn)行委托的呼叫流程�;圖9描述了根據(jù)本發(fā)明方法的第五實(shí)施方式的用于獲取私人內(nèi)容的呼叫流程。下面將個(gè)人內(nèi)容管理(PeCMan)服務(wù)器作為內(nèi)容管理服務(wù)器來(lái)解釋本發(fā)明�,但是本領(lǐng)域技術(shù)人員可以理解的是,本發(fā)明可以應(yīng)用于如上定義的任意類型的內(nèi)容管理服務(wù)器 (包括所有者的代理)����。PeCMan是組織諸如文檔�、照片���、視頻等的用戶數(shù)字內(nèi)容的網(wǎng)絡(luò)工具��。 圖1示出了 PeCMan架構(gòu)的示意圖��。用戶通過(guò)使用客戶機(jī)元件3 (例如,網(wǎng)絡(luò)客戶機(jī)��、桌上型客戶機(jī)或PDA上的客戶機(jī)等)與系統(tǒng)1進(jìn)行交互�����,其中用戶以可通過(guò)客戶機(jī)元件3來(lái)增加���、 移動(dòng)文檔或給文檔增加標(biāo)簽��。服務(wù)器元件4接收來(lái)自客戶機(jī)2的輸入請(qǐng)求以由系統(tǒng)1進(jìn)行處理�����。系統(tǒng)進(jìn)一步包括元數(shù)據(jù)部分5��,其中元數(shù)據(jù)部分5用于存儲(chǔ)從文檔中提取的元數(shù)據(jù)�, 或存儲(chǔ)用戶以標(biāo)簽形式產(chǎn)生的元數(shù)據(jù)。服務(wù)器元件4可以進(jìn)一步與多個(gè)第三方服務(wù)器7的第三方服務(wù)8進(jìn)行通信�����。例如�,用戶可以在PeCMan中上載URL,在語(yǔ)義上利用自由格式的標(biāo)簽給信息增加標(biāo)簽���,并且稍后通過(guò)利用相同的標(biāo)簽查詢PeCMan以找回該信息�����。由于可以利用相同的標(biāo)簽給多個(gè)URL增加標(biāo)簽����,從而PeCMan可使用戶通過(guò)一個(gè)類似于“虛擬驅(qū)動(dòng)器”的邏輯位置來(lái)組織被保持在多個(gè)存儲(chǔ)器提供商(例如�����,網(wǎng)絡(luò)服務(wù)器��、家庭存儲(chǔ)或郵件服務(wù)器)上的所有對(duì)象�����。PeCMan識(shí)別三種基準(zhǔn)公共內(nèi)容、私人非共享內(nèi)容和私人共享內(nèi)容���。公共內(nèi)容是指向公眾可獲得的網(wǎng)絡(luò)資源的URL�。訪問(wèn)這樣的內(nèi)容不需要用戶的憑證��,其中憑證暗示人們可以容易地將這樣的內(nèi)容與對(duì)該內(nèi)容感興趣的任何人共享�。當(dāng)在用戶之間共享公共信息時(shí),PeCMan簡(jiǎn)單地將所請(qǐng)求的URL直接發(fā)送給發(fā)送請(qǐng)求的客戶機(jī)或第二 PeCMan客戶機(jī)���,并且第二 PeCMan客戶機(jī)通過(guò)例如W^ebDAV或HTTP來(lái)獲取內(nèi)容。私人內(nèi)容通常是僅能通過(guò)安全的位置�����、典型地是通過(guò)安全網(wǎng)站(也就是存儲(chǔ)器提供商)來(lái)訪問(wèn)的內(nèi)容�����。為了訪問(wèn)安全存儲(chǔ)器提供商7���,網(wǎng)絡(luò)客戶機(jī)3首先例如通過(guò)SSL/TLS 來(lái)建立安全連接�����,并且隨后提供用戶憑證(典型地是用戶ID和口令)以對(duì)用戶進(jìn)行認(rèn)證���。 在用戶通過(guò)認(rèn)證后�,網(wǎng)絡(luò)客戶機(jī)3可以訪問(wèn)私人存儲(chǔ)的內(nèi)容����。典型地,在進(jìn)行尋址的網(wǎng)絡(luò)服務(wù)器7中分配與通信信道相關(guān)聯(lián)的狀態(tài)����。該狀態(tài)指示網(wǎng)絡(luò)服務(wù)器7,發(fā)送請(qǐng)求的網(wǎng)絡(luò)客戶機(jī) 3已經(jīng)進(jìn)行了自我認(rèn)證�����。根據(jù)現(xiàn)有技術(shù)�,為了支持私人非共享和共享內(nèi)容,PeCMan典型地存儲(chǔ)具有被指向的URL的用戶憑證���。如果對(duì)私人內(nèi)容進(jìn)行尋址�,第二 PeCMan客戶機(jī)3建立與PeCMan 1的通信信道����,PeCMan 1從而代表第二 PeCMan客戶機(jī)建立與存儲(chǔ)器提供商7的連接��,也就是��, PeCMan服務(wù)器4用作第二 PeCMan客戶機(jī)3的代理�。該代理保持與網(wǎng)絡(luò)服務(wù)器7的安全連接����,且該代理也是將用戶憑證提供給存儲(chǔ)器提供商7的代理���。PeCMan為共享的和非共享的私人內(nèi)容基準(zhǔn)(reference)進(jìn)行這些操作���。在用于私人內(nèi)容的PeCMan中共享數(shù)據(jù)的所述方法的下一步是將與指向?qū)ο笙嚓P(guān)聯(lián)的全部數(shù)據(jù)通過(guò)PeCMan代理進(jìn)行傳送����。這意味著PeCMan會(huì)成為訪問(wèn)私人內(nèi)容的瓶頸��, 并且如果費(fèi)用和通過(guò)PeCMan傳輸?shù)臄?shù)據(jù)相關(guān)聯(lián)�,則PeCMan運(yùn)營(yíng)商可能遭受用于提供私人內(nèi)容的巨額費(fèi)用����。此外,由于將意味著用戶的用戶憑證需要與第二 PeCMan客戶機(jī)共享,因此在網(wǎng)絡(luò)客戶機(jī)領(lǐng)域內(nèi)執(zhí)行代理不是典型的選擇����。開(kāi)放認(rèn)證(OAuth)協(xié)議是處理網(wǎng)絡(luò)上多方之間的用戶憑證的開(kāi)放協(xié)議(見(jiàn)OAuth規(guī)范 1. 0,可從 http://oauth. net/license/core/1. 0 處獲得)。根據(jù)本發(fā)明的一個(gè)實(shí)施方式����,將OAuth用于在私人內(nèi)容提供商和第三方之間共享私人數(shù)據(jù),從而第三方在不需要通過(guò)基于令牌的認(rèn)證機(jī)制知道用戶憑證的情況下可以訪問(wèn)用戶的私人數(shù)據(jù)���,其中基于令牌的認(rèn)證機(jī)制在圖2和圖3中進(jìn)行解釋�。在本發(fā)明方法實(shí)施方式的第一階段��,通過(guò)諸如PeCMan服務(wù)器的內(nèi)容管理服務(wù)器獲得委托(delegate)令牌���,如圖2的呼叫流程所示��,其中圖2示出了用于對(duì)PeCMan服務(wù)器進(jìn)行授權(quán)以代表內(nèi)容所有者0進(jìn)行講話的示例性委托過(guò)程���。PeCMan服務(wù)器可起到私人內(nèi)容服務(wù)器的客戶機(jī)的作用,這里是安全網(wǎng)絡(luò)服務(wù)器WS����。在初始階段I��,PeCMan服務(wù)器與網(wǎng)絡(luò)服務(wù)器WS建立安全連接��,其中在它們之間建立用戶密鑰(consumer key) Ck和秘密密鑰Cs�����,見(jiàn)箭頭200����。同樣���,所有者0直接在網(wǎng)絡(luò)服務(wù)器WS上安裝私人內(nèi)容xyz��,見(jiàn)箭頭200�。典型地�,所有者將使用用戶名和口令登錄安全網(wǎng)絡(luò)服務(wù)器,從而他可以安裝私人內(nèi)容xyz���。接下來(lái),所有者0通知PeCMan服務(wù)器其已經(jīng)在受保護(hù)的網(wǎng)絡(luò)服務(wù)器上安裝了私人內(nèi)容xyz��,見(jiàn)箭頭202���。在呼叫流程的階段A��,在接到關(guān)于安裝了私人內(nèi)容的通知時(shí)��,PeCMan服務(wù)器將請(qǐng)求令牌并通過(guò)所有者對(duì)該令牌進(jìn)行認(rèn)證��。首先���,PeCMan服務(wù)器從網(wǎng)絡(luò)服務(wù)器WS請(qǐng)求令牌��,見(jiàn)箭頭206��。這可以是標(biāo)準(zhǔn)的OAuth請(qǐng)求呼叫���,其包括下列參數(shù)用戶密鑰Ck(oauth_ consumer—key),簽名方法 Sm(oauth_signature_method)���,簽名 Sl (oauth_signature)����,時(shí)間戳Ot(oauth_timestamp)和臨時(shí)信息(nonce)N(oauth_nonce)����。例如�,可以使用Cs來(lái)創(chuàng)建簽名Si�����。典型地��,客戶機(jī)會(huì)首先產(chǎn)生時(shí)間戳�,并且然后為每個(gè)請(qǐng)求產(chǎn)生唯一的臨時(shí)信息值。 網(wǎng)絡(luò)服務(wù)器WS隨后產(chǎn)生令牌Tl (oauth_token)和令牌秘密Tsl (oauth_token_secret)����,并將這些信息發(fā)送給PeCMan服務(wù)器,見(jiàn)步驟204��。PeCMan服務(wù)器隨后將重新定向消息發(fā)送給所有者(步驟20 �,以通過(guò)將所有者定向到網(wǎng)絡(luò)服務(wù)器WS,從所有者獲得批準(zhǔn)(approval)�。 這可以是對(duì)于網(wǎng)絡(luò)服務(wù)器的用戶認(rèn)證URL "WS ://auth ? ”的標(biāo)準(zhǔn)OAuth請(qǐng)求�,包括令牌Tl 和回叫(call back)URL C,其中C是網(wǎng)絡(luò)服務(wù)器用于將所有者重新定向回PeCMan服務(wù)器的 URL����。隨后將授權(quán)請(qǐng)求傳遞給網(wǎng)絡(luò)服務(wù)器(步驟206),并且網(wǎng)絡(luò)服務(wù)器將對(duì)令牌Tl進(jìn)行認(rèn)證,典型地驗(yàn)證PeCMan服務(wù)器的身份�,并請(qǐng)求所有者準(zhǔn)許(步驟207)�����。例如��,建立與私人內(nèi)容提供商(網(wǎng)絡(luò)服務(wù)器WS)的安全連接�����,通過(guò)提供PeCMan憑證進(jìn)行登錄并將令牌與安全連接相關(guān)聯(lián)�。隨后由所有者0利用諸如標(biāo)準(zhǔn)OAuth呼叫的回叫URL通知PeCMan服務(wù)器令牌 Tl已經(jīng)通過(guò)授權(quán)(步驟208)。PeCMan服務(wù)器現(xiàn)在將使用他的第一令牌Tl來(lái)請(qǐng)求第二令牌(步驟210)��。例如�, 這可以通過(guò)使用利用下列參數(shù)將請(qǐng)求令牌換成訪問(wèn)令牌的標(biāo)準(zhǔn)OAuth請(qǐng)求來(lái)完成,參數(shù)包括用戶密鑰Ck(oauth_consumer_key)��、先前獲得的令牌Tl (oauth_token)��、簽名方法 Sm (oauth_signature_method)���、簽名 S2 (oauth_s i gnatur e)��、時(shí) 1 ] Ot (oauth_t i ems tamp) 和臨時(shí)信息N(0auth_n0nce)�����。簽名S2例如可以基于Cs和Tsl進(jìn)行計(jì)算�。作為響應(yīng),由網(wǎng)絡(luò)服務(wù)器WS授予第二令牌T2和令牌秘密Ts2 (步驟210)����。該第二令牌T2可以用作使第二客戶機(jī)(訪問(wèn)者)訪問(wèn)所有者的私人內(nèi)容的委托令牌,這將在圖3和圖4中進(jìn)行說(shuō)明��。私人內(nèi)容xyz還可由PeCMan服務(wù)器通過(guò)將令牌T2提供給網(wǎng)絡(luò)服務(wù)器WS來(lái)獲得�����,見(jiàn)圖2的呼叫流程中的階段C�����。這可以通過(guò)使用例如包括下列參數(shù)的標(biāo)準(zhǔn)訪問(wèn)請(qǐng)求來(lái)完成用戶密鑰 Ck (oauth_consumer_key)����、令牌 T2 (oauth_token)、簽名方法 Sm (oauth_signature. _method)����、簽名 S3 (oauth_signature)�、時(shí)間戮 Ot (oauth_tiemstamp)禾口臨時(shí)信息N(0auth_n0nce)�����。例如��,可以使用Cs和Ts2來(lái)計(jì)算簽名S3����。需要注意的是����,由于T2還可以僅用作使第二客戶機(jī)訪問(wèn)所有者私人內(nèi)容而不會(huì)干擾所有者的委托令牌,因此階段C 的步驟不是必須由PeCMan服務(wù)器來(lái)執(zhí)行�。在圖3中描述了用于通過(guò)訪問(wèn)者獲取訪問(wèn)令牌的方法的第一實(shí)施方式。在第一步驟301���,PeCMan客戶機(jī)將查詢發(fā)送給PeCMan服務(wù)器以獲得對(duì)特定私人內(nèi)容的訪問(wèn)�。響應(yīng)于該查詢�����,例如通過(guò)使用具有下列參數(shù)的請(qǐng)求,PeCMan服務(wù)器將令牌請(qǐng)求消息發(fā)送給網(wǎng)絡(luò)服務(wù)器����,參數(shù)包括用戶密鑰Ck(oauth_consumer_key)、令牌T2 (oauth_token)����、簽名方法 Sm (oauth_signature_method)、簽名 S3 (oauth_s i gnatur e)����、時(shí) 1 ] Ot (oauth_t i ems tamp) 禾口臨時(shí)信息 N(oauth_nonce)、訪問(wèn) URL Au(Access_url)�����、訪問(wèn)權(quán)禾丨J Ar (Access_rights)���、訪問(wèn)時(shí)間段At(Access_timePeriod)和訪問(wèn)IP Ai (Access_IP)����。簽名S3例如可以利用Cs和 Ts2來(lái)計(jì)算�����。訪問(wèn)URL典型地涉及私人數(shù)據(jù)的收集,例如包含獲取xyz的數(shù)據(jù)的特定目錄�����。 訪問(wèn)權(quán)利是涉及內(nèi)容(讀取�、修改等)的權(quán)利。時(shí)間段是令牌有效的時(shí)間�。訪問(wèn)IP通常是可選的,且涉及訪問(wèn)者的地址���。在下面的步驟302中,網(wǎng)絡(luò)服務(wù)器將第三令牌T3和相應(yīng)的令牌秘密Ts3授予PeCMan服務(wù)器�����,其中PeCMan服務(wù)器通知訪問(wèn)者所請(qǐng)求的私人內(nèi)容xyz與令牌T3和令牌秘密Ts3相關(guān)聯(lián)(步驟30 �。訪問(wèn)者現(xiàn)在可以獲得私人數(shù)據(jù)xyz,如步驟304 和步驟305所示���。這可以通過(guò)使用包括例如下列參數(shù)的訪問(wèn)請(qǐng)求來(lái)完成訪問(wèn)IP Ai���、令牌 T3 (oauth_token)、簽名方法 Sm (oauth_signature_method)���、簽名 S4 (oauth_s i gnatur e)�����、 時(shí)間戳Ot (oauth_timestamp)和臨時(shí)信息N(oauth_nonce)��。簽名S4例如通過(guò)使用Ts3來(lái)計(jì)算�����。當(dāng)相比于原始的令牌2時(shí)�,最近創(chuàng)建的令牌T3可以具有相同或更少的權(quán)利。利用這些得到的訪問(wèn)令牌T3��,第二 PeCMan客戶機(jī)可以直接從網(wǎng)絡(luò)服務(wù)器獲得內(nèi)容而不必與所
有者交互��。上述實(shí)施方式的一個(gè)優(yōu)勢(shì)是共享其內(nèi)容的第二客戶機(jī)不需要向網(wǎng)絡(luò)服務(wù)器注冊(cè)�����。 通過(guò)使PeCMan服務(wù)器能夠進(jìn)一步將令牌T3委托給第二客戶機(jī)(訪問(wèn)者)�����,可將內(nèi)容與沒(méi)有向網(wǎng)絡(luò)服務(wù)器WS注冊(cè)的用戶進(jìn)行共享����,而不用將內(nèi)容完全公開(kāi)�。PeCMan服務(wù)器的另一優(yōu)勢(shì)是其可以在網(wǎng)絡(luò)服務(wù)器的策略上面加強(qiáng)其自己的策略�。利用該實(shí)施方式,基于由所有者定義的粒度���,PeCMan服務(wù)器可以通過(guò)特定的網(wǎng)絡(luò)服務(wù)將內(nèi)容分發(fā)或委托給第二用戶��。當(dāng)另一客戶機(jī)請(qǐng)求訪問(wèn)來(lái)自所有者的內(nèi)容時(shí)�����,在發(fā)布得到的訪問(wèn)令牌T3之前,PeCMan服務(wù)器例如通過(guò)檢查客戶機(jī)數(shù)據(jù)庫(kù)��,驗(yàn)證所有者是否已經(jīng)將信息與所述第二客戶機(jī)進(jìn)行共享�����。圖4示出了由通過(guò)委托令牌訪問(wèn)私人內(nèi)容的第二 PeCMan客戶機(jī)執(zhí)行的過(guò)程的另一實(shí)施方式�。第二 PeCMan客戶機(jī)(訪問(wèn)者)通過(guò)PeCMan服務(wù)器來(lái)請(qǐng)求內(nèi)容(步驟400), 并且PeCMan服務(wù)器指示可以通過(guò)受保護(hù)的網(wǎng)絡(luò)服務(wù)器WS來(lái)獲得內(nèi)容xyz (步驟401)����。典型地���,客戶機(jī)會(huì)通過(guò)首先嘗試訪問(wèn)安全內(nèi)容來(lái)開(kāi)始,參見(jiàn)建立用戶密鑰和秘密密鑰的步驟 402�,和請(qǐng)求內(nèi)容的步驟403。然而��,由于內(nèi)容是僅通過(guò)令牌可以訪問(wèn)的私人內(nèi)容����,網(wǎng)絡(luò)服務(wù)器WS對(duì)認(rèn)證失敗作出響應(yīng)(步驟404)。因此�,通過(guò)使用例如具有下列參數(shù)的標(biāo)準(zhǔn)OAuth請(qǐng)求,然后客戶機(jī)請(qǐng)求并從網(wǎng)絡(luò)服務(wù)器獲得令牌T4�����,參見(jiàn)步驟406和407��,其中參數(shù)包括用戶密 1 Ck2 (oauth_consumer_key)���、簽名方法 Sm(oauth_signature_method)��、簽名 S5 (oauth_ signature)�、時(shí)間戳 Ot (oauth_timestamp)禾口臨時(shí)信息 N(oauth_nonce)�����。例如,禾0用 Cs2 來(lái)計(jì)算簽名���。假設(shè)存在用于所述內(nèi)容的委托令牌�,將請(qǐng)求令牌T4提供給用于認(rèn)證的PeCMan 服務(wù)器(步驟407)���。當(dāng)PeCMan服務(wù)器接收到具有客戶機(jī)的請(qǐng)求令牌的認(rèn)證請(qǐng)求時(shí)��,PeCMan 服務(wù)器確定誰(shuí)請(qǐng)求訪問(wèn)內(nèi)容����。如果PeCMan服務(wù)器可以授予對(duì)客戶機(jī)的訪問(wèn)����,其授權(quán)使用其委托令牌T2����、委托密秘密Ts2進(jìn)行訪問(wèn),參見(jiàn)步驟408�����。當(dāng)網(wǎng)絡(luò)服務(wù)器接收基于委托令牌的認(rèn)證請(qǐng)求時(shí),網(wǎng)絡(luò)服務(wù)器對(duì)客戶機(jī)的請(qǐng)求令牌T4進(jìn)行認(rèn)證�����,參見(jiàn)步驟409���。然后�,將該請(qǐng)求令牌T4通過(guò)PeCMan返回給發(fā)送請(qǐng)求的第二客戶機(jī)���,參見(jiàn)步驟410����。發(fā)送請(qǐng)求(requesting) 的客戶機(jī)在接收到經(jīng)認(rèn)證的請(qǐng)求令牌T4時(shí)使用標(biāo)準(zhǔn)OAuth過(guò)程呼叫來(lái)完成該過(guò)程(步驟 411至步驟414)客戶機(jī)將經(jīng)認(rèn)證的請(qǐng)求令牌T4換為訪問(wèn)令牌T5 (步驟411和步驟412)�����, 其中消息例如可利用基于Cs2和Ts4計(jì)算的簽名S6進(jìn)行簽名��。然后�����,可以通過(guò)將訪問(wèn)令牌 T5提供給網(wǎng)絡(luò)服務(wù)器WS來(lái)獲得實(shí)際的數(shù)據(jù)xyz,參見(jiàn)步驟413�,從而將數(shù)據(jù)xyz發(fā)送給客戶機(jī)C,參見(jiàn)步驟414��。GET消息413例如可以利用基于Cs2和Ts5計(jì)算的簽名進(jìn)行簽名���。圖5描述了本發(fā)明方法的更為普通的實(shí)施方式����,其中均通過(guò)認(rèn)證并對(duì)一些內(nèi)容具有一些權(quán)利的客戶機(jī)和第一服務(wù)器Si���、第二服務(wù)器S2��,能夠詢問(wèn)各自的訪問(wèn)令牌持有者 (從C來(lái)看S2是持有者����,從S2來(lái)看Sl是持有者�,從Sl來(lái)看WS是持有者)以獲得另一訪問(wèn)令牌,其相比于各自的第一服務(wù)器和第二服務(wù)器的委托令牌具有相同或更少的權(quán)利���。服務(wù)器Sl和S2典型地都是內(nèi)容管理服務(wù)器��,例如都可以是PeCMan服務(wù)器。Sl還可以是本地網(wǎng)站上的內(nèi)容管理服務(wù)器�。實(shí)施例描述了訪問(wèn)者作為服務(wù)器S2的客戶機(jī)可以對(duì)服務(wù)器S2 進(jìn)行查詢����。服務(wù)器S2具有用于所請(qǐng)求的內(nèi)容的委托令牌��,并可從內(nèi)容服務(wù)器WS獲得用于該內(nèi)容的訪問(wèn)令牌(參見(jiàn)步驟503和步驟504)�����。然后���,服務(wù)器Sl將具有相同或較少權(quán)利的訪問(wèn)令牌發(fā)送給服務(wù)器S2 (步驟50 ��,其中服務(wù)器S2接著將具有相同或較少權(quán)利(right) 的訪問(wèn)令牌發(fā)送給訪問(wèn)者(步驟506)�����。本領(lǐng)域技術(shù)人員可以理解的是����,通過(guò)使用圖4中所示的獲取方式也可以實(shí)現(xiàn)相似的可傳遞共享的實(shí)施方式��。圖6描述了圖2的呼叫流程的變型����,其中圖2中的令牌Tl對(duì)應(yīng)于圖6中的令牌 Tr,圖2中的令牌T2對(duì)應(yīng)于圖6中的令牌Td�����。步驟601至603對(duì)應(yīng)于步驟301至303���,其中獲取(GET)或發(fā)布(POST)呼叫用于通知PecMan服務(wù)器他應(yīng)間接獲取安裝在網(wǎng)絡(luò)服務(wù)器上的私人內(nèi)容。在步驟603和步驟604中���,PecMan服務(wù)器通過(guò)隧道(例如TLS或https)獲得令牌Tr��。這些呼叫都通過(guò)安全通信信道進(jìn)行傳送�,例如由具有題目為“傳輸層安全(TLS) 協(xié)議”的RFC4346定義的SSL/TLS�。PeCMan服務(wù)器于是請(qǐng)求內(nèi)容的所有者通過(guò)安全網(wǎng)絡(luò)服務(wù)器WS來(lái)認(rèn)證請(qǐng)求令牌,與標(biāo)準(zhǔn)OAuth方法相似�����,參見(jiàn)步驟605-606����。所有者0將憑證提供給網(wǎng)絡(luò)服務(wù)器WS,并且網(wǎng)絡(luò)服務(wù)器WS分配記錄請(qǐng)求令牌現(xiàn)在有效的并經(jīng)過(guò)認(rèn)證的狀態(tài)��,參見(jiàn)步驟606和607。最后���,網(wǎng)絡(luò)服務(wù)器回叫PeCMan服務(wù)器以通知它請(qǐng)求令牌現(xiàn)在已經(jīng)通過(guò)認(rèn)證,參見(jiàn)步驟608��。PeCMan服務(wù)器于是請(qǐng)求通過(guò)網(wǎng)絡(luò)服務(wù)器WS利用委托令牌來(lái)替換經(jīng)過(guò)認(rèn)證的請(qǐng)求令牌�����,參見(jiàn)步驟609�。網(wǎng)絡(luò)服務(wù)器WS通過(guò)隧道將委托令牌(Td)、相關(guān)聯(lián)的秘密委托令牌(Td_s)和臨時(shí)信息(Nd)返回給PeCMan服務(wù)器���,參見(jiàn)步驟610����。最后��,在步驟611 中���,PeCMan服務(wù)器對(duì)用于標(biāo)識(shí)委托過(guò)程成功或失敗的原始HTTP POST請(qǐng)求(步驟602)作出響應(yīng)��。網(wǎng)絡(luò)服務(wù)器存儲(chǔ)委托令牌Td�����、其生命期����、和內(nèi)容的原始所有者。該委托令牌Td替換用戶憑證����,也就是,委托令牌Td的持有者可以認(rèn)證請(qǐng)求令牌�,就好像他是內(nèi)容的所有者。 利用委托令牌Td進(jìn)行簽名的“請(qǐng)求訪問(wèn)��,����,消息表示請(qǐng)求訪問(wèn)的網(wǎng)絡(luò)服務(wù)器WS基于被委托的授權(quán)。
根據(jù)另一實(shí)施方式���,原始的經(jīng)認(rèn)證的請(qǐng)求令牌可以用作委托令牌�����。然而��,通常更希望具有單獨(dú)的令牌以在功能差別上進(jìn)行區(qū)分����。在現(xiàn)在的OAuth中,經(jīng)認(rèn)證的請(qǐng)求令牌Tr僅可以用于替換訪問(wèn)令牌Ta����,并且訪問(wèn)策略由網(wǎng)絡(luò)服務(wù)器WS來(lái)設(shè)置����。利用其委托令牌Td的授權(quán)委托過(guò)程可以進(jìn)一步用于限制對(duì)內(nèi)容的訪問(wèn)。圖7示出了圖4用于通過(guò)委托的令牌Td訪問(wèn)私人內(nèi)容的過(guò)程的實(shí)施方式的變型��。 步驟700至704與步驟400至404相似�。然后,客戶機(jī)請(qǐng)求并通過(guò)TLS隧道從網(wǎng)絡(luò)服務(wù)器 WS獲得具有下列參數(shù)的請(qǐng)求令牌Tr (參見(jiàn)步驟705和706)���,所述參數(shù)包括公共密鑰Ck���、 秘密密鑰Ks、和臨時(shí)信息Nr�����。假設(shè)存在用于該內(nèi)容的委托令牌Td,將請(qǐng)求令牌Tr提供給 PeCMan服務(wù)器以進(jìn)行認(rèn)證(步驟707)����。當(dāng)PeCMan服務(wù)器接收具有客戶機(jī)的請(qǐng)求令牌的認(rèn)證請(qǐng)求時(shí),PeCMan服務(wù)器確定誰(shuí)請(qǐng)求訪問(wèn)所述內(nèi)容�����。如果PeCMan服務(wù)器可以授予對(duì)客戶機(jī)的訪問(wèn)�����,其使用由下列參數(shù)產(chǎn)生的簽名(強(qiáng)制訪問(wèn)控制�����,MAC)對(duì)訪問(wèn)進(jìn)行授權(quán)它的委托令牌Td�、委托秘密Td_s和臨時(shí)信息Nd,參見(jiàn)步驟708���。當(dāng)網(wǎng)絡(luò)服務(wù)器WS接收基于委托令牌的認(rèn)證請(qǐng)求708時(shí)��,網(wǎng)絡(luò)服務(wù)器對(duì)客戶機(jī)的請(qǐng)求令牌Tr進(jìn)行認(rèn)證��,參見(jiàn)步驟709����。然后,通過(guò)PeCMan將該請(qǐng)求Tr返回給發(fā)送請(qǐng)求的第二客戶機(jī)��,參見(jiàn)步驟710��。在接收到經(jīng)過(guò)認(rèn)證的請(qǐng)求令牌Tr時(shí)���,發(fā)送請(qǐng)求的客戶機(jī)使用標(biāo)準(zhǔn)的OAuth過(guò)程呼叫來(lái)完成該過(guò)程(步驟711 至714)客戶機(jī)通過(guò)TLS隧道將經(jīng)過(guò)認(rèn)證的請(qǐng)求令牌Tr_s替換為訪問(wèn)令牌Ta (步驟711和 712)�。然后���,可以通過(guò)將訪問(wèn)令牌Ta提供給網(wǎng)絡(luò)服務(wù)器來(lái)獲得實(shí)際數(shù)據(jù)xyz (使用秘密密鑰Ks、Ta�����、令牌秘密Ta_s和臨時(shí)信息Na的簽名形式)���,參見(jiàn)步驟713�,從而將數(shù)據(jù)xyz發(fā)送給客戶機(jī)�,參見(jiàn)步驟714。圖8描述了用于使訪問(wèn)令牌持有者能夠進(jìn)一步委托令牌的圖2的方法的變型���,其中圖2中的令牌Tl和Tls對(duì)應(yīng)于Tr和Tr_s�,并且令牌T2和Tk對(duì)應(yīng)于Ta和Ta_s。在該實(shí)施方式中���,可以將PeCMan服務(wù)器視為執(zhí)行標(biāo)準(zhǔn)過(guò)程呼叫(步驟803至810)的OAuth用戶�����,其中標(biāo)準(zhǔn)過(guò)程呼叫用于請(qǐng)求和獲得用于特定內(nèi)容的訪問(wèn)令牌���,其中所述特定內(nèi)容先前由所有者安裝在網(wǎng)絡(luò)服務(wù)器上并且向PeCMan服務(wù)器注冊(cè)(步驟801至80 。利用PeCMan 服務(wù)器持有的訪問(wèn)令牌Ta�,其可以進(jìn)一步創(chuàng)建訪問(wèn)令牌,并將訪問(wèn)令牌委托給新的第二客戶機(jī)���。在該實(shí)施方式中���,由https隧道組成使用,其中https隧道用于使用如公共密鑰Ck�����、 秘密密鑰Ks和臨時(shí)信息Nr的參數(shù)來(lái)請(qǐng)求和交換令牌。在圖9中描述了由第二客戶機(jī)獲取訪問(wèn)令牌方法的另一實(shí)施方式�����。該實(shí)施方式與圖3的實(shí)施方式相似�����,并且步驟900至905與步驟300至305相似���,其中令牌T3對(duì)應(yīng)于訪問(wèn)令牌At����。在圖9的實(shí)施方式中��,https隧道用于使用如公共密鑰Ck��、秘密密鑰Ks和臨時(shí)信息Nr的參數(shù)來(lái)請(qǐng)求和交換令牌�����。不同于在圖2中利用令牌秘密Ts3進(jìn)行工作�,在圖9的實(shí)施方式中使用基于下列參數(shù)集(At����、Ck�����、Ks和臨時(shí)信息Na)的簽名(MAC)以提供必要的安全性���。相比于通過(guò)PeCMan獲得的原始訪問(wèn)令牌Ta(見(jiàn)圖8),最新創(chuàng)建的訪問(wèn)令牌At可以具有相同或較少的權(quán)禾I』�。利用這些得到的訪問(wèn)令牌At,第二 PeCMan客戶機(jī)可以從網(wǎng)絡(luò)服務(wù)器WS直接獲得內(nèi)容���,而不必與所有者0交互�。本領(lǐng)域技術(shù)人員會(huì)容易地認(rèn)識(shí)到���,上述各種方法的步驟可由程序控制計(jì)算機(jī)來(lái)執(zhí)行�。這里�����,一些實(shí)施方式也意在涵蓋諸如數(shù)字?jǐn)?shù)據(jù)存儲(chǔ)媒介的程序存儲(chǔ)設(shè)備����,其中程序存儲(chǔ)設(shè)備是機(jī)器或計(jì)算機(jī)可讀的,并對(duì)指令的機(jī)器可執(zhí)行程序或計(jì)算機(jī)可執(zhí)行程序進(jìn)行編碼, 其中所述指令執(zhí)行所述上面介紹的方法的一些或全部步驟����。程序存儲(chǔ)設(shè)備例如可以是數(shù)字存儲(chǔ)器、諸如磁盤和磁帶的磁存儲(chǔ)媒介�����、硬盤驅(qū)動(dòng)器����、或光可讀數(shù)字?jǐn)?shù)據(jù)存儲(chǔ)媒介。實(shí)施方式還意在涵蓋經(jīng)過(guò)編程以執(zhí)行上面介紹的方法的所述步驟的計(jì)算機(jī)�����。
盡管已經(jīng)結(jié)合特定實(shí)施方式陳述了本發(fā)明的原則�����,可以明確理解的是��,該描述僅僅是作為示例�����,并且并不對(duì)保護(hù)范圍作出限制����,保護(hù)范圍由所附權(quán)利要求來(lái)確定。
權(quán)利要求
1.一種用于提供對(duì)由所有者擁有并安裝在內(nèi)容服務(wù)器上的私人數(shù)字內(nèi)容進(jìn)行訪問(wèn)的方法��,其中內(nèi)容管理服務(wù)器具有潛在地對(duì)私人內(nèi)容感興趣的多個(gè)客戶機(jī)�,該方法包括在內(nèi)容管理服務(wù)器處執(zhí)行的下列步驟被告知所有者已經(jīng)在內(nèi)容服務(wù)器上安裝了私人內(nèi)容O02 ;602 ��;802)���; 從內(nèi)容服務(wù)器獲得委托令牌O03-210) ���; (603-610) ; (803-810)���,在私人數(shù)字內(nèi)容的所有者的幫助下產(chǎn)生委托令牌��,并且將委托令牌用于代表內(nèi)容所有者講話���;從內(nèi)容管理服務(wù)器的多個(gè)客戶機(jī)中的一個(gè)客戶機(jī)接收用于私人數(shù)字內(nèi)容的查詢(300 ; 400 �����;700);利用使客戶機(jī)能夠訪問(wèn)私人內(nèi)容的委托令牌給所述客戶機(jī)提供令牌(301-303)�����; (407-410) �����;(708-710) �;(901-903)。
2.根據(jù)權(quán)利要求1所述的方法����,其中通過(guò)內(nèi)容管理服務(wù)器獲得委托令牌包括 從內(nèi)容服務(wù)器獲得第一令牌(203-204) ; (603-604) ���; (803-804)�;請(qǐng)求所有者對(duì)第一令牌進(jìn)行授權(quán)O05) ��; (605) ��; (805)�����; 接收經(jīng)過(guò)授權(quán)的第一令牌(208) ���; (608) ��; (808)�;請(qǐng)求通過(guò)內(nèi)容服務(wù)器將經(jīng)過(guò)授權(quán)的第一令牌替換為第二令牌O09-210) ���; (609-610)��; (809-810)�����,其中所述第二令牌形成委托令牌���。
3.根據(jù)權(quán)利要求1或2所述的方法,其中使用委托令牌給所述客戶機(jī)提供令牌包括由內(nèi)容管理服務(wù)器執(zhí)行的下列步驟將用于把委托令牌替換為用于客戶機(jī)的訪問(wèn)令牌的請(qǐng)求發(fā)送給內(nèi)容服務(wù)器(301)����; (901);接收訪問(wèn)令牌(302) ����; (902)���;以及將訪問(wèn)令牌轉(zhuǎn)發(fā)給客戶機(jī)(303) ; (903)��。
4.根據(jù)權(quán)利要求1或2所述的方法�,其中使用委托令牌給所述客戶機(jī)提供令牌包括由內(nèi)容管理服務(wù)器執(zhí)行的下列步驟從客戶機(jī)接收請(qǐng)求令牌G07) ; (707)���;使用委托令牌對(duì)所述令牌進(jìn)行授權(quán)008-409) ��; (708-709)�����;將所述經(jīng)過(guò)授權(quán)的請(qǐng)求令牌發(fā)送給客戶機(jī)G10) �����; (710)��,以使客戶機(jī)能夠通過(guò)內(nèi)容服務(wù)器將該經(jīng)過(guò)授權(quán)的請(qǐng)求令牌換為訪問(wèn)令牌G11-412) ���; (711-712)��。
5.一種用于通過(guò)內(nèi)容管理服務(wù)器的客戶機(jī)來(lái)獲得私人數(shù)字內(nèi)容的方法�����,其中私人內(nèi)容由所有者擁有并且被安裝在內(nèi)容服務(wù)器上,包括由客戶機(jī)執(zhí)行的下列步驟將用于獲得私人數(shù)字內(nèi)容的請(qǐng)求發(fā)送給具有與數(shù)字私人內(nèi)容相關(guān)聯(lián)的委托令牌的內(nèi)容管理服務(wù)器(300) ��; (400) ���; (700)�����,在私人數(shù)字內(nèi)容的所有者的幫助下產(chǎn)生委托令牌����,并且將委托令牌用于代表內(nèi)容所有者講話���;從內(nèi)容管理服務(wù)器獲得使用委托令牌產(chǎn)生的并允許客戶機(jī)訪問(wèn)私人數(shù)字內(nèi)容的令牌 (303) �����;(410) ��; (710)���;訪問(wèn)私人數(shù)字內(nèi)容(304-305) ����; (413-414) ����; (713-714)。
6.根據(jù)權(quán)利要求5所述的方法�����,其中從內(nèi)容管理服務(wù)器獲得令牌在于獲取由內(nèi)容管理服務(wù)器先前基于它的委托令牌通過(guò)內(nèi)容服務(wù)器獲取的訪問(wèn)令牌(301) ���; (302)����。
7.根據(jù)權(quán)利要求5所述的方法�,其中從內(nèi)容管理服務(wù)器獲得令牌包括由客戶機(jī)執(zhí)行的下列步驟將用于令牌的請(qǐng)求發(fā)送給內(nèi)容服務(wù)器G05); 從內(nèi)容服務(wù)器接收請(qǐng)求令牌G06)����;將接收的請(qǐng)求令牌發(fā)送給內(nèi)容管理服務(wù)器以進(jìn)行授權(quán)G07)�; 由內(nèi)容管理服務(wù)器使用其委托令牌接收請(qǐng)求令牌G08-410)�����; 將該經(jīng)過(guò)授權(quán)的請(qǐng)求令牌發(fā)送給內(nèi)容服務(wù)器Gll)�����;以及從內(nèi)容服務(wù)器接收使客戶機(jī)能夠訪問(wèn)私人內(nèi)容的訪問(wèn)令牌(412)�����。
8.一種用于通過(guò)內(nèi)容管理服務(wù)器的客戶機(jī)提供對(duì)私人數(shù)字內(nèi)容的訪問(wèn)的方法���,其中私人內(nèi)容由所有者擁有并且被安裝在內(nèi)容服務(wù)器上,包括由內(nèi)容服務(wù)器處執(zhí)行的下列步驟為內(nèi)容管理服務(wù)器產(chǎn)生由用戶授權(quán)的委托令牌007)�,在私人數(shù)字內(nèi)容的所有者的幫助下產(chǎn)生委托令牌,并且將委托令牌用于代表內(nèi)容所有者講話��; 將所述委托令牌發(fā)送給內(nèi)容管理服務(wù)器008)��。
9.根據(jù)前述權(quán)利要求中任意一項(xiàng)所述的方法����,其中標(biāo)準(zhǔn)OAuth呼叫用于執(zhí)行方法步馬聚ο
10.一種用于訪問(wèn)私人數(shù)字內(nèi)容的系統(tǒng)�,包括 內(nèi)容管理服務(wù)器(1)����;擁有存儲(chǔ)在內(nèi)容服務(wù)器上的數(shù)字私人內(nèi)容的第一客戶機(jī)(7); 多個(gè)第二客戶機(jī)O)��;其中內(nèi)容管理服務(wù)器(1)適于從內(nèi)容服務(wù)器獲得與數(shù)字私人內(nèi)容相關(guān)聯(lián)的委托令牌��,并利用使第二客戶機(jī)能夠訪問(wèn)數(shù)字私人內(nèi)容的委托令牌將令牌傳遞給第二客戶機(jī)O)���,在私人數(shù)字內(nèi)容的所有者的幫助下產(chǎn)生委托令牌���,并且將委托令牌用于代表內(nèi)容所有者講話;以及第二客戶機(jī)( 適于將傳遞的令牌提供給用于獲得對(duì)數(shù)字私人內(nèi)容的訪問(wèn)的內(nèi)容服務(wù)器(7)���。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)���,其中第一客戶機(jī)適于對(duì)通過(guò)內(nèi)容服務(wù)器從內(nèi)容管理服務(wù)器接收的請(qǐng)求令牌進(jìn)行授權(quán);并且所述內(nèi)容管理服務(wù)器適于接收經(jīng)過(guò)授權(quán)的請(qǐng)求令牌����,并使用所述經(jīng)過(guò)授權(quán)的請(qǐng)求令牌來(lái)獲得委托令牌����。
12.一種用于組織多個(gè)客戶機(jī)的私人數(shù)字內(nèi)容的內(nèi)容管理服務(wù)器(1)���,第一客戶機(jī)擁有存儲(chǔ)在內(nèi)容服務(wù)器上的數(shù)字私人內(nèi)容�,所述內(nèi)容管理服務(wù)器適于從內(nèi)容服務(wù)器獲得與所有者客戶機(jī)的數(shù)字私人內(nèi)容相關(guān)聯(lián)的委托令牌��,并使用委托令牌將令牌傳遞給第二客戶機(jī)(1 以使第二客戶機(jī)能夠訪問(wèn)所有者客戶機(jī)的私人內(nèi)容�,在私人數(shù)字內(nèi)容的所有者的幫助下產(chǎn)生所述委托令牌,并且將所述委托令牌用于代表內(nèi)容所有者講話�����。
13.根據(jù)權(quán)利要求12所述的內(nèi)容管理服務(wù)器���,其中內(nèi)容管理服務(wù)器是諸如PeCMan服務(wù)器的內(nèi)容集合器。
14.根據(jù)權(quán)利要求12或13所述的內(nèi)容管理服務(wù)器��,其中內(nèi)容管理服務(wù)器進(jìn)一步適于將與私人內(nèi)容相關(guān)的令牌提供給客戶機(jī)��,其中相比于委托令牌�,令牌具有相同或更少的訪問(wèn)權(quán)利。
15. 一種包括計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)程序產(chǎn)品����,當(dāng)程序在計(jì)算機(jī)上運(yùn)行用于執(zhí)行根據(jù)權(quán)利要求1至9中任一項(xiàng)所述的方法���。
全文摘要
一種用于提供訪問(wèn)由所有者擁有并安裝在內(nèi)容服務(wù)器上的私人數(shù)字內(nèi)容的方法,其中內(nèi)容管理服務(wù)器具有潛在地對(duì)私人內(nèi)容感興趣的多個(gè)客戶機(jī)���,該方法包括在內(nèi)容管理服務(wù)器處執(zhí)行的下列步驟被告知所有者已經(jīng)在內(nèi)容服務(wù)器上安裝私人內(nèi)容�;從內(nèi)容服務(wù)器獲得委托令牌�����;從內(nèi)容管理服務(wù)器的多個(gè)客戶機(jī)中的客戶機(jī)接收用于私人數(shù)字內(nèi)容的查詢����;利用使客戶機(jī)能夠訪問(wèn)私人內(nèi)容的委托令牌給所述客戶機(jī)提供令牌。
文檔編號(hào)H04L29/06GK102449976SQ201080023487
公開(kāi)日2012年5月9日 申請(qǐng)日期2010年5月7日 優(yōu)先權(quán)日2009年5月29日
發(fā)明者B·弗蘭肯, M·斯特魯加魯, P·博施 申請(qǐng)人:阿爾卡特朗訊公司