[发明专利]用于授予访问权限的方法和装置

说明书

技术领域

本发明涉及访问权限管理的领域。本发明尤其涉及一种用于在系统中授予访问权限的方法和装置，该系统被配置为处理用户对该系统资源的访问权限。

背景技术

可以允许或拒绝用户对不同资源进行访问的访问系统已经变得越来越流行。例如，可给予用户进入指定区域、在计算机上登入、在计算机系统中访问文件、在软件系统中做出改变等权限。以这种方式，可以控制用户的对属性(property)以及对敏感信息的访问。

典型地，这种系统中的访问权限是提前、永久性地分配的。利用这种分配机制，如果仅向一个人指派特定权限，则可能发生问题。在此人不在场时，他或她随后会成为单一故障点。在提出了用户可以在离开时向另一用户指派文档的暂时拥有权的US2012/0304306A1中进一步讨论了此问题。

在US2012/0304306A1中描述的方法要求手动授予访问权限。此外，所提出的方法要求访问权限是提前授予的。因此，如果人突然生病或者因为一些原因没有出现在办公室，则US2012/0304306A1的方法可能失败。因此，存在改进空间。

发明内容

考虑到以上内容，因此本发明的目的是提供用于授予访问权限的改进的方法和装置。具体地，目的是提供允许在用户缺席时自动授予用户的访问权限的方法和装置。

根据本发明的第一方面，通过用于在系统中授予访问权限的方法实现上述目的，该系统被配置为处理用户对系统中的资源的访问权限。该方法包括：

向第一用户指派第一访问权限；

指定用作第一用户的副手的一个或多个用户的池；

检查第一用户是否在预定义时间段期间没有执行与资源相关的预定义活动；并且如果是，则

向池中的用户授予第一访问权限。

根据上述方法，向第一用户指定一池(即，一组)的一个或多个用户。池中的用户用作第一用户的副手。换言之，池用作第一用户的后备组。

本发明的思想大体上是自动地检查第一用户是否缺席，并且在检查到第一用户缺席时，向池中的用户授予第一用户的访问权限。已经意识到，通过关于系统的资源检查用户的活动(或者更确切地说是缺乏活动)来检查用户是否缺席是可能的。例如，通常缺席的用户没有试图进入建筑或者试图登入至计算机。基于此认识，提出了检查第一用户是否在预定义时间段期间没有执行与系统的资源相关的预定义活动。如果是，则认为第一用户缺席。与系统的资源相关的预定义活动可以例如是：登入至计算机、请求访问以进入房间、请求对文件或存储单元的访问、使用机器或工具、或者触发存在信号。利用此设置，系统因此可自动地检查第一用户是否缺席，并且响应于此而向池中的副手用户授予用户的访问权限。

如本文所使用的，用户通常指人。然而，其也可以指其它实体，诸如机器或软件程序。

如本文所使用的，访问权限包括实体访问权限(诸如进入指定区域的权限)和逻辑访问权限(诸如访问特定文件或在软件系统中做改变的权限)两者。

通过从第一用户向第二用户授予访问权限意味着给予第二用户访问权限。然而，这并不排除在向第二用户授予访问权限之后第一用户还持有访问权限。因此，在授予之后，第一用户和第二用户两者均可以拥有访问权限。然而，在一些实施例中，在授予之后仅有第二用户拥有访问权限。

以上公开的方法旨在用于具有多个资源的系统中。常见的资源连接至系统，以使得与资源相关的活动可被检查。资源可以例如是诸如房间之类的实体区域、计算机、计算机文件、存储单元、机器和工具。资源可进一步包括运动传感器、光传感器、声音传感器等。可以关于资源中的一些发放访问权限。然而，对于其他资源无须是这种情况。例如，运动传感器、光传感器、和/或声音传感器是典型地不受制于访问权限的发放的资源的示例。

第一用户可以与若干访问权限相关联。为此，该方法可以进一步包括向第一用户指派第二访问权限，其中授予步骤包括向池中的不同用户授予第一和第二访问权限。不同的访问权限可以因此授予至不同的人。这是有利的，因为其提供了更高的安全等级，并且这还将连接至访问权限的工作载荷分布至多于一个的用户。

为了允许更高的灵活性，并且为了进一步分布连接至访问权限的工作载荷，该方法可以进一步包括：向池中的若干用户授予第一访问权限。以此方式，连接至第一访问权限的工作载荷可以由池中的若干用户分享。