通信系统中的不对等权限的制作方法

本发明涉及通信系统中的权限。

背景技术：

从以往来看，当企业与客户进行沟通时，可以建立协议，该协议管控允许一名职员与客户进行沟通的情况。例如，银行可建立内部协议，该协议要求只有在客户向银行的客户经理提出了特定事项并且银行已将客户介绍给专家后职员中的该专家成员才能就该特定事项与客户进行沟通。这类协议在现代通信领域中具有局限性。首先，难以确保合规。在没有客户经理介绍的情况下，专家有可能直接与客户联系。第二，即使业务人员遵守协议，但禁止客户联系特定人员也是不切实际的，因此协议不能确保客户经理参与所有的通信。第三，这种协议不易适用于常规数字通信系统中出现的问题。这将在下面进行更详细的讨论，但总体而言，可以注意到的是，对技术的不断依赖容易带来对自动措施的不断依赖以防止策略遭到破坏。

业务人员可与客户通信的常规机制包括电话和电子邮件。电话具有如下缺点：出于监管的目的，其需要特定的基础设施来确保所有呼叫都得到记录；协调和实施呼叫需要时间，当涉及到记录的线路时尤为如此；而且无论如何，总存在人们因为忙于其它事情而不能通过电话进行通信的时候。电子邮件具有的缺点是确保加密和验证不太方便。一些组织已经开发了定制的基于网络的门户，通过该门户，顾问可以与客户安全地进行通信。然而，这些对于客户的使用来说是不方便的。

在业务领域之外，特别是随着移动技术的出现，即时消息(im)或聊天平台已经变得大受欢迎。im通常由在例如智能手机或计算机终端的用户装置上运行的客户端应用程序支持。客户端应用程序呈现用户界面，用户可以从该用户界面生成发送给其它用户的消息，并查看从其它用户接收的消息。当要发送消息时，客户端应用程序可以使用户装置将该消息发送到由提供该im平台的组织运营的一个或多个远程服务器。然后，那些服务器将消息引导到预期接收者的客户端应用程序。im消息通常通过互联网协议进行传输。

通常，用户首先通过im客户端应用程序登录到im帐户来经由im进行通信。一旦登录，用户可以看到他/她的哪些联系人也登录了。这些信息来源于im提供商的服务器，或者在某些情况下通过利用客户端装置上为客户端已知的联系人而获得。用户可以与那些用户中的多个用户进行通信。一些im客户端还允许用户将消息发送到当前未登录到其帐户的联系人，这些联系人一旦登录就可以查看这些消息。im的一个特别的特征在于，im消息经由提供该im平台的组织运营的专用后端传送。

一旦在im系统中的两个参与者之间交换了一条或多条消息，该会话可以通过进一步的消息交换而作为聊天会话继续进行。一对用户之间的所有消息都可以被视为单个聊天会话的一部分。可选地，聊天会话可被赋予名称或其它标识符，并且消息可被分配给特定的聊天会话，例如通过主题来区分聊天会话。

在许多常规的it系统中，可以设置权限来管控用户可能采取的操作。通常，将单个用户分配到组，并将权限分配给这些组。例如，默认情况下，被分配到“合规(compliance)”组的用户可允许查看业务人员与其客户之间的所有通信，而被分配到“专家”组的用户可能会被禁止与客户进行通信。这种方法使得在一个大型组织中管理和监督标准权限变得相对直接。然而，这种方法不适合在具有复杂客户需求的业务中提供最佳关系组。例如，专家可能通常被禁止与客户直接沟通，但是在客户经理介绍后，该专家与客户进行通信则是理想的。这将意味着向该专家分配与他或她的正常组权限不同的个人权限。通常，设置个人权限实施起来较为复杂并难以监督，因为一旦个人权限被赋予许多不同的用户，监督所有的权限以确保它们保持正确受限将变得困难。此外，在任何常规的通信系统中，难以或不可能对特定事项建立个体化的权限。

有必要改进通信系统。

技术实现要素：

根据本发明，提供了一种包括服务器和多个客户端的通信系统，多个客户端受限为使得为了通过系统彼此通信，该多个客户端必须经由服务器进行通信，服务器使用一组存储的通信规则，该通信规则定义允许和/或不允许客户端和服务器之间的通信，并且服务器被配置成：当从第一客户端接收将第二客户端和第三客户端指定为接收者的消息，第一客户端与存储在通信规则中的第一组特征相匹配并且根据通信规则第二客户端和第三客户端是不被允许直接通信的客户端时，改变通信规则以允许第二客户端与第三客户端直接通信。

第一组特征可以是或包括第一客户端对于第三客户端具有管理权限。

通信规则可具有默认状态，并且第一组特征可以是或包括允许第一客户端与第二客户端和第三客户端两者之间的通信的默认状态。

第一组特征可以是或包括当前允许第一客户端与第二客户端和第三客户端两者之间的通信的通信规则。

服务器可被配置成使得：响应于第三客户端的任何活动，均不改变通信规则而授予额外的权限。

服务器可被配置成为每条消息关联识别消息所属线程的线程标识符。服务器可被配置成：在从第一客户端接收将第二客户端和第三客户端指定为接收者的消息时，改变通信规则以允许第二客户端和第三客户端仅对于所述消息所属的线程直接通信。

服务器可被配置成：响应于从第一客户端接收到的指令，撤销第二客户端和第三客户端直接通信的权限。

服务器可被配置成：响应于自第二客户端和第三客户端之间的最后一次直接通信起经过的预定时间，改变通信规则以撤销第二客户端和第三客户端直接通信的权限。

系统可被配置成：在第二客户端与第三客户端直接通信的权限被撤销之后，阻止第二客户端查看与第三客户端之前的通信。

服务器可被配置成使得：为了在服务器和客户端之间进行系统的消息通信，客户端必须通过服务器验证。

服务器可被配置成：因为消息时常存在，所以仅根据所存储的通信规则来允许消息在客户端之间传递。

根据本发明第二个方面，提供了一种用于操作包括服务器和多个客户端的通信系统的方法，该多个客户端受限为使得为了通过系统彼此通信，该多个客户端必须经由服务器进行通信，服务器使用一组存储的通信规则，该通信规则定义允许和/或不允许客户端之间的通信，并且该方法包括：在服务器处，从第一客户端接收将第二客户端和第三客户端指定为接收者的消息，第一客户端与存储在通信规则中的第一组特征相匹配并且根据通信规则第二客户端和第三客户端是不被允许直接通信的客户端；并且响应于该消息，改变通信规则以允许第二客户端与第三客户端直接通信。

现将参照附图通过示例的方式描述本发明。

附图说明

在附图中：

图1是用于实施即时消息通信的系统的示意图。

图2示出了即时消息网络中的用户之间的关系。

具体实施方式

图1示出了用于实施即时消息通信的系统。该系统包括中央服务器4和客户端装置1、2、3。在系统中可能还有许多其它客户端，每个客户端都可被实施为智能手机、计算机或其它形式的装置。客户端装置可以使用系统相互通信，但在im系统内的任何客户端之间的所有通信都将经由服务器进行。在这种架构中，每个客户端为了参与im系统而需要建立的唯一的通信链路就是与服务器的通信链路。由于服务器是所有这种链路中的端点，所以这种关系允许im系统中的通信被容易地加密和验证。此外，由于服务器涉及将每个通信从始发客户端转发到一个或多个接收客户端，所以服务器能够执行对于哪些客户端可与哪些其它客户端通信的预先配置的规则。

客户端装置1为智能手机。智能手机包括处理器10、非易失性存储器11、触敏显示器12和无线通信接口13。存储器11以非暂时形式存储可由处理器10执行的软件代码。该软件包括即时消息客户端应用程序，其实施使客户端装置1用作im系统中的客户端所需要的功能。这些功能包括撰写和发送消息、接收和显示消息以及可选地将消息存储在客户端装置的临时存储器14中。消息可通过使用触敏显示器12提供的输入来被撰写并被选择以显示。消息可被显示在显示器12上。临时存储器14可存储能够用于向服务器验证客户端装置的用户证书，使得用户不需要在每次使用应用程序时都进行登录。证书可例如包括以下的任何一种或多种：公共密钥、私人密钥和个人识别码。

客户端装置2和3为诸如台式计算机或笔记本电脑的计算机。每个客户端装置包括处理器20、非易失性存储器21、显示器22、键盘23和网络接口24。存储器21以非暂时形式存储可由处理器20执行的软件代码。该软件包括即时消息客户端应用程序，其实施使各个客户端装置用作im系统中的客户端所需要的功能。这些功能包括撰写和发送消息、接收和显示消息以及可选地将消息存储在客户端装置的临时存储器25中。消息可通过使用键盘23提供的输入被撰写并被选择以显示。消息可被显示在显示器22上。临时存储器25可存储能够用于向服务器验证客户端装置的用户证书，使得用户不需要在每次使用应用程序时都进行登录。

im客户端可被实施为独立的应用程序或通过网络浏览器实施。

客户端可经由网络5与服务器4通信。网络5可以是诸如互联网的可公开访问的网络。

服务器包括处理器40、非易失性存储器41、消息数据库42、配置数据库43和网络接口44。存储器41以非暂时方式存储由处理器40执行以允许其执行其作为im服务器的功能的程序代码。消息数据库42保持已经使用系统发送的消息的细节。配置数据库保持配置信息，例如客户端证书和在特定客户端可与其它客户端通信的情况下的定义。服务器可由单个装置构成，如图1所示；或者服务器的功能可在多个单独的服务器装置之间被划分，这些单独的服务器装置可以在相同或不同的位置。

当im客户端运行时，其客户端应用程序经由网络5与服务器建立通信链路。为了设置链路，im客户端向服务器验证自身身份。以此方式，服务器可以确定当其将消息传递到客户端时，客户端有权查看那些消息。验证可以是im客户端装置(例如，与装置相关联的唯一标识符)和/或与装置的用户相关联的用户特定证书(例如，用户名和密码)和/或im应用本身，以验证该应用程序是否受到系统操作员的授权和信任。通信链路可被加密。验证和加密可使用任何合适的协议来实施。一旦im客户端被服务器验证，服务器可以向客户端发送由其它用户生成并且im客户端有权查看的消息。然后这些消息可通过在客户端上运行的im客户端应用程序显示。客户端应用程序的用户可以选择和读取消息、撰写用于回复的新消息、以及发起待由服务器转发给一个或多个其它用户的新消息。优选地，当用户生成新消息时，客户端应用程序不允许用户输入任意的消息接收者。相反，优选的是，im客户端应用程序限制用户，使得可被指定的唯一接收者是在撰写消息时客户端应用程序已经可以获得其详细信息的单个用户。im客户端应用程序可本地存储，或者可从服务器接收允许的接收者的列表，并且用户可能被限制为从该列表中选择接收者。

应当理解的是，该im系统与例如电子邮件的其它通信系统在各种方式上都存在区别。最值得注意的是，因为所有的通信都通过单个服务器或通过单个服务器实体进行，所以可以确保系统将受到那些规则的约束，其中各个服务器装置根据一组共同的配置规则操作。该规则可规定诸如客户端的验证和/或哪些客户端可与哪个其它客户端通信的事项。

当多条消息已在用户之间交换时，系统可以两种方式中的一种来处理这些消息。在非线程操作中，系统将所有这些消息视为单个会话流或聊天会话的形成部分。当一个用户访问其与另一用户的消息历史时，该用户可以看到其与该另一用户的所有的过往消息，并可进行可能发生的任何过滤，例如消息删除、消息编辑或消息归档。在线程操作中，每条消息都被分配给消息线程。这可通过服务器将每条消息与指定消息所属的线程的线程标识符相关联来完成。每个线程可被分配给无论在线程中的第一条消息被创建或随后创建时可由用户中的一个输入的主题。该主题可由客户端应用程序显示，以允许用户轻松地查找该线程的消息。当客户端应用程序的用户选择线程或属于线程的消息时，客户端应用程序然后可自动过滤允许该应用程序的用户查看的消息，以便仅显示该线程的消息。在该操作模式下，每个线程都被视为不同的会话流或聊天会话。

图2示出了系统中用户之间的潜在通信路径。在该示例中，im系统正在为银行和客户之间提供通信设施。70表示银行职员的用户。80表示作为银行客户的用户。职员包括客户经理72(“alice”)、73(“bob”)、74(“charles”)和专家75(“diane”)。该银行的客户包括与银行具有联合账户关系的客户81(“edgar”)和82(“fiona”)，以及客户83(“graham”)。edgar和fiona的银行帐户由alice和bob管理。graham的银行账户由charles管理。

银行用户70可包括由71表示的对聊天具有更广泛的访问权限的另一用户。这种用户可具有两组特权中的一种。在第一配置中，该用户能够查看任何银行用户和任何客户之间的聊天，但是系统被配置成使得客户不能直接向用户71发送消息。例如，这种类型的用户可在合规团队中以监督银行职员的活动。在第二配置中，该用户可以查看任何银行用户和任何客户之间的聊天，并且可以给客户发送消息，但是系统被配置成使得客户不能向该用户发起消息。例如，这种类型的用户可以在呼叫中心就职以帮助客户进行一般的查询。这两种用户的权限与客户端用户的权限不对等。

银行使用im系统与其客户进行通信。im系统对于这种形式的通信具有许多优势。如下文所述，这些优势包括其所感知的即时性以及用户之间的验证、安全和登录通信的简易性以及管控潜在通信信道的便利性。

实施im系统的服务器4保持指定系统中各个用户之间允许的通信的数据库43。如图2中的实线所示，这些权限的默认情况如下。

-允许alice和bob将im信息发送到edgar和fiona，并且允许edgar和fiona将im消息发送到alice和bob。默认情况下，不允许edgar和fiona将im消息发送到除了彼此以及alice和bob以外的任何人。

-允许charles将im消息发送到graham，并且允许graham将im消息发送到charles。默认情况下，不允许graham将任何im消息发送到除了charles以外的任何人。

-允许所有银行职员互相发送im消息，但除非上述说明，否则不得向银行的客户发送。

该配置具有许多重要的特性。首先，im用户具有明显不同的默认权限，其在于(除了与其共享账户的人员，或被允许访问该账户的诸如外部财务顾问的其它人员以外，)不允许银行客户端用户80向其它银行客户端用户发送消息，而允许职员用户70向所有其它职员用户发送消息。这种不对等性提高了系统的安全性，因为其确保银行客户端用户不能够通过系统接收来自不受信任的第三方的消息。此外，优选的是，除非所述银行客户端用户能够通过系统向其它银行客户端发送消息，否则上述银行客户端用户甚至不能看到其它银行客户端80也是平台成员。这甚至使客户与银行存在的关系保持保密。目前，针对个人的欺诈的常见来源是被声称代表其银行的人员联系，而且本通信系统的这个特性可消除这种形式的诡计的可能性，同时仍然允许该系统被用于银行职员之间的通信。第二，因为可以向特定银行客户端发起消息的银行用户仅限于银行用户的子集，所以一些银行用户(在本示例中为diane)不能以默认方式与银行客户端通信。如果系统正在操作以将消息视为属于线程，则该第二特性意味着诸如diane的银行用户不能与银行客户端发起新的线程。因此，银行和银行客户端之间的任何新的线程都必须涉及被允许与银行用户进行默认通信的用户中的一个，在这种情况下为客户经理alice、bob和charles.

现有系统的另一欺诈来源是个人可向银行发送声称来源于该银行的客户的指令。因为诸如电子邮件的许多普通的消息传递协议没有经过验证，所以这使得银行很难通过这些方式接受指令。相反，当如本系统那样客户端得到银行服务器验证时，银行可在更高安全性的情况下选择信赖所接收的指令。

默认权限可以变化，以便允许银行职员70的成员与其通常不能通信的银行客户端80进行通信。例如，charles可能希望diane向graham提供专家意见。在这种情况下，可以更改服务器规则，以便diane和graham可以暂时被允许相互通信，如图2中的虚线所示。在许多常规系统中，以这种方式分配个体化权限将需要it专家的专家参与。此外，有必要监视个体化权限，以便在需求已经过去时手动撤销个体化权限。这种复杂性使得常规系统中的个体化权限难以管理。

可能存在有些情况，银行职员的成员可能希望允许通常通过系统不能相互通信的多个客户端彼此直接通信。在这种情况下，具有适当权限(例如，能够与所述两个客户端进行通信)的银行职员的成员可以允许他们对于特定的聊天线程或会话进行通信。然而，该系统禁止这些客户端彼此发起新的聊天线程。

在本系统中，银行职员的成员(例如，diane)通过系统与银行客户端(例如，graham)通信的权限可以通过以下任一个选项被授予：(i)通过已经具有与所述银行客户端通信的能力的银行职员中的任何成员授予，或(ii)通过具有与所述银行客户端通信的默认能力的银行职员中的任何成员授予，或(iii)通过与所述银行客户端具有指定关系的银行职员中的任何成员授予。应用这三个选项中的哪一个取决于系统的配置。允许银行职员的成员与银行客户端进行通信的一种方便的方式是简单地将其指定为所述银行客户的消息的共同接收人。因为在默认情况下银行职员的每名成员具有向银行职员的其它成员发送消息的权限，所以待被介绍给客户端(例如，graham)的银行职员的成员(例如，diane)的身份已经可由执行介绍的客户端应用程序的人员(例如，charles)获得。这使得执行介绍的人员能够容易地指定待介绍的人，并且减少在指定过程中的错误的风险。因此，在一个实施例中，系统允许用户介绍与其具有默认通信权限的任何其它用户(“d”)以加入与另一用户(“g”)的通信会话，并且这一旦完成，服务器会自动更新其规则，以允许d和g之间的后续通信。这对应于上述选项(ii)。选项(i)和(iii)可以类似的方式实施。这种操作模式是有利的，因为其能够以高度直观的方式设置个体化的权限。如在许多当前系统中所发生的，权限仅仅根据正在发送的消息自动设置，而非必须由权限控制接口明确设置。

当系统以线程通信操作时，服务器可更新其规则，使得通过个体化权限介绍的用户(d和g)能够仅对于通过通信的方式介绍的该通信所属的特定线程进行通信。这有一个额外的优势，因为线程通信可以减轻监视个体化权限的需要，以便在不再需要时撤销这些个体化权限。一旦该线程建立涉及的事项已经结束，银行职员和银行客户端将使用不同的通信线程进行通信，并且用户对于该线程执行个体化权限的任何剩余权限可被认为是不重要的。如果要明确撤销个体化权限，则当自所述线程的最后一次通信或自受益于个体化权限的用户在所述线程的最后一次通信起经过了预定时间(例如，一个月)时，其可以被自动撤销。

当用户在线程中通信的权限已被撤销时，系统可以两种方式中的一种进行操作。在第一操作模式中，在用户权限被撤销之后，服务器和/或用户的本地应用程序禁止用户在该线程上查看任何消息。在第二操作模式中，在用户权限被撤销之后，服务器和/或用户的本地应用程序允许用户查看当用户有权限在该线程上进行通信的时间段内在线程上发送的消息，但不能查看在该时间段之后发送的消息。

系统被配置成使得一旦用户在线程中的通信的权限被撤销，用户只能以与其起初加入该线程相同的方式恢复在该线程中的参与：即通过具有适当权限的另一用户的邀请。

im客户端应用程序可被配置成存储消息，使得消息可以在各自的客户端装置不具有连接到服务器的网络连接时进行查看。可选地，im客户端应用程序可被配置成每当要显示消息时从服务器下载该消息。在任一情况下，方便的是，如果用户曾经具有参与通信会话的权限，并且该权限现在已被撤销，则阻止用户查看与该会话相关的其没有权限查看的消息。当消息被缓存在客户端应用程序以供后续查看时，仅当用户具有权限查看和/或回复消息时，该特性才能通过向用户显示消息的客户端实现。在该实施例中，优选的是，当im客户端应用程序向服务器进行身份验证时，服务器不仅验证应用程序的用户的身份，而且还验证im客户端应用程序的身份。当在查看时下载消息时，服务器可被配置成仅向im客户端提供客户端的用户具有权限查看和/或回复的消息。以这种方式，一旦用户参与通信会话(无论是否为线程)的权限被撤销，则即使用户曾参与了会话，系统也能够阻止用户查看该会话中过去的消息。这可以有助于提高安全性：例如通过确保银行职员在会话中的角色一旦过去之后其不再参与该会话。

在以上给出的例子中，系统用于服务银行的通信。该系统可用于任何其它适当的目的：例如但不限于与其它金融服务或专业服务相关的消息传送，或用于商务、销售、休闲、个人、政府或慈善用的目的。上述作为银行的实体可以是任何其它形式的组织。

申请人在此单独公开了本文所描述的每个独立的特征以及两个或多个这类特征的任意组合，考虑到本领域技术人员的公知常识，这些特征或组合能够整体地基于本说明书实现，而无论这类特征或特征组合是否解决了本文公开的任何问题，并且不限制权利要求的范围。申请人指出，本发明的各个方面可以包括任何这类独立的特征或特征组合。鉴于上述描述，对于本领域技术人员显而易见的是，可以在本发明的范围内进行各种修改。