CN101444095A - 权限提升器 - Google Patents
权限提升器 Download PDFInfo
- Publication number
- CN101444095A CN101444095A CNA2005800495592A CN200580049559A CN101444095A CN 101444095 A CN101444095 A CN 101444095A CN A2005800495592 A CNA2005800495592 A CN A2005800495592A CN 200580049559 A CN200580049559 A CN 200580049559A CN 101444095 A CN101444095 A CN 101444095A
- Authority
- CN
- China
- Prior art keywords
- account
- task
- user
- authority
- rights
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Abstract
描述了允许用户提升其权限的系统和/或方法。在一个实施例中,这些系统和/或方法响应于一任务基于用户的当前帐户没有允许该任务的权限而被禁止,呈现一标识了具有该权限的帐户的用户界面。
Description
技术领域
本发明涉及提升计算机用户的权限。
背景
一般而言,使用两种类型的帐户来使用户登录到计算机的操作系统。一种帐户具有几乎无限制的权限,通常称为管理员帐户,而另一种具有有限的权限,通常称为标准用户帐户。
标准用户帐户允许某些任务但禁止其它任务。它们允许大多数应用程序在计算机上运行,但是通常禁止安装应用程序、更改计算机的系统设置以及执行某些特定应用程序。另一方面,管理员帐户一般允许即使不是全部也是大多数的任务。
并不令人惊奇的是许多用户以管理员帐户登录到其计算机,使得他们在大多数情况下可以做他们希望做的任何事情。但是在使用管理员帐户时涉及一些重大风险。在某些情况下,恶意代码可能会执行当前使用中的帐户允许的任何任务,诸如安装和删除应用程序和文件—这可能是有高度伤害性的任务。这是因为大多数恶意代码在执行其任务的同时假扮了计算机的当前用户—因而,如果用户以管理员帐户登录,则恶意代码可执行该帐户所允许的危险任务。
为降低这些风险,用户可改为以标准用户帐户登录。以标准用户帐户登录可降低这些风险,因为标准用户帐户没有允许恶意代码执行许多危险任务的权限。如果标准用户帐户没有执行任务的权限,则操作系统可禁止恶意代码执行该任务。鉴于此原因,使用标准用户帐户可以比使用管理员帐户更安全。
但是,用户可能会被禁止执行合法任务—如安装已知为安全的文件。为安装该文件,用户可能需要切换到具有允许该任务的权限的帐户。为相对安全地完成这一切换,用户可能需要从标准用户帐户注销、登录到管理员帐户、安装文件、从管理员帐户注销、然后以标准用户帐户登录回来。这是中断性的。
为减少这一中断,可临时提升用户的权限以允许期望的任务。用户的权限可被提升到例如对应于管理员帐户所持有的权限的那些权限。在某些情况下,当应用程序请求不允许的任务时,在用户的屏幕上弹出一对话框。该对话框通常具有两个空的域;一个用于键入帐户名(例如,管理员帐户),而另一个用于键入口令。如此,用户可临时使用所选帐户的特权以使该任务可运行至完成。一旦完成该任务,用户的权限然后可返回到他或她的帐户的权限,以使这些临时特权停止(cease)。
但是,为了提升其权限来执行任务,用户通常需要找出或记住管理员帐户名。这可能是中断性的;用户可能需要给某人打电话来获知该名字、到某个所在找出用户曾在某些时间之前在其上写下了该名字的某张小纸片等等。并且,用户还可能需要键入该名字。键入相对简单的帐户名自身可能就是一种中断。但是许多帐户名是复杂的,是字母、数字、符号和大小写字符的混合。这些名字会导致进一步的中断,因为他们可能要求用户缓慢且仔细地键入。如此,搜索并键入帐户名来提升权限可能中断计算机上用户的工作流程,尤其是在用户需要在这一整天中经常性地提升其权限的情况下。
概述
描述了允许用户提升其权限的系统和/或方法(“工具”)。在一个实施例中,该工具响应于一任务基于用户的当前帐户没有允许该任务的权限而被禁止来呈现标识具有该权限的帐户的用户界面。通过这样做,用户可在无需搜索或键入帐户名的情况下提升其权限。
附图简述
图1示出了各实施例可在其中操作的一个示例性操作环境。
图2是用于允许用户提升权限的示例性过程的流程图。
图3示出了具有多个帐户的一个示例性图形用户界面。
图4示出了具有单个帐户的一个示例性图形用户界面。
图5示出了具有解锁按钮的示例性日期和时间对话框。
图6示出了显示具有解锁任务的足够权限的一个帐户的示例性用户界面。
图7示出了一个示例性已解锁任务对话框。
贯穿公开内容和附图使用了相同的标号来指代相同的组件和特征。
详细描述
综述
以下公开内容描述了允许用户提升其权限的一个或多个工具。在一个实施例中,该工具向用户呈现一用户界面,通过该用户界面,用户可在无需搜索或键入帐户名的情况下提升其权限。该用户界面可响应于执行需要用户的当前帐户不允许的权限的任务的请求来呈现。在某些情况下,例如,该工具确定哪些帐户具有足以允许用户执行用户的当前帐户所不允许的任务的权限。该工具然后可呈现这些帐户并允许用户选择并提交用于这些帐户之一的认证器。
示例性操作环境
在详细描述该工具之前,提供以下对示例性操作环境的讨论以协助用户理解可在何处以及如何采用该工具。以下所提供的描述仅构成一个示例,并且并不旨在将该工具的应用限于特定的操作环境。
图1在100处总地示出了一个这样的操作环境,包括具有一个或多个处理器104以及计算机可读介质106的计算机102。处理器能够访问和/或执行计算机可读介质。计算机可读介质包括具有操作系统安全措施110的操作系统108、访问受控应用程序112、具有用户界面116的权限提升器114、认证模块118以及帐户管理器120。
操作系统108能够管理计算机102上的应用程序和任务。操作系统包括操作系统安全措施110,它能够确定一任务是否是用户的当前帐户所允许的,且如果不是所允许的,则禁止该任务被执行。计算机102还可包括访问受控应用程序112。该应用程序能够禁止那些否则是用户的当前帐户所允许的任务。访问受控应用程序的一个示例是父母控制软件,该软件被设计成当孩子正在使用计算机时禁止特定任务,诸如显示某一特定网站、运行某一特定应用程序或在一天中的某一特定时间执行任何任务。
权限提升器114能够提升用户的权限;包括允许当前用户的帐户或访问受控应用程序所禁止的任务。权限提升器可允许用户将其权限从诸如标准用户(例如,非管理员)帐户等有限权限帐户的权限提升到更高权限帐户,诸如管理员帐户。权限提升器可诸如通过呈现更高权限帐户的名字并允许提交用于该帐户的认证器,来允许用户通过用户界面116来提升其权限。
认证模块118能够诸如通过确定所选的较高权限帐户是以真实口令或其它认证凭证来提交的,来认证该所选帐户。帐户管理器120包括足以确定什么用户帐户可用以及这些帐户的权限的信息。
这些元素,尤其是这些元素如何作用并交互以执行示例性过程并产生示例性用户界面的各实施例将在以下详细阐明。
用于提升权限的示例性实施例
当用户以具有有限权限的帐户登录到计算机时,基于用户的当前特权上下文,某些任务可被禁止。如果用户的当前帐户不允许一项任务,诸如由软件应用程序请求的任务或由用户本身请求的任务,则操作系统可禁止该项任务。在某些情况下这是有利的,诸如当所请求的任务是由恶意代码请求的时候。并且,不论用户的帐户是否允许该任务,诸如访问受控应用程序112等其它软件都可行动以禁止该任务执行。以下讨论描述了操作环境100的各元素允许个人提升其权限,包括允许延迟的或先前禁止的任务的示例性方式。
参考图2,示出了允许用户提升权限的示例性流程图200。流程图200示出了操作系统100的各元素、用户202以及应用程序204的一组动作以及它们之间伴随的通信。所示的元素是操作系统108、操作系统安全措施110、访问受控应用程序112、权限提升器114、用户界面116、认证模块118以及帐户管理器120。动作和伴随的通信用箭头标记。该流程图面向的是示出计算机动作和用户动作,且计算机和用户之间的通信以穿过分隔两者的虚线的线来表示。该流程图可用任何适当的硬件、软件、固件或其组合来实现。在软件和固件的情况下,该图表示了被实现为计算机可执行指令的各组操作。
在箭头1处,用户以具有有限权限的帐户登录到操作系统108。该帐户执行任务的有限权限可由操作系统安全措施110和/或访问受控应用程序112来实施。
在用户登录到计算机之后,应用程序204请求或尝试任务。该任务可用或不用用户的交互来启动。用户可能已经诸如通过试图安装通过因特网下载的应用程序而直接或间接地启动了所尝试的任务。在这一情况下,应用程序204可下载模块、网络浏览器、文件管理器等。在其它情况下,用户可能并未启动该任务,诸如在恶意代码请求或尝试任务时情况常常如此。
在箭头2处,操作系统安全措施110和/或访问受控应用程序112禁止该任务被执行。在一个实施例中,访问受控应用程序在任务被执行之前截听该任务、针对用户202的当前帐户的权限检查该任务、确定该任务不被允许、并禁止该任务被执行。
在另一实施例中,操作系统安全措施截听应用程序204尝试的任务、确定该任务不是用户202的当前帐户的权限所允许的、并禁止该任务。
在箭头3处,操作系统安全措施和/或访问受控应用程序与权限提升器114通信,指示一项任务已被禁止和/或需要得到权限。在某些情况下,这些应用程序之一将任务类型、为允许该任务需要什么类型的权限、和/或允许该任务所需的帐户类型(例如,无限制权限帐户)传达给权限提升器。
在箭头4处,权限提升器114确定哪些帐户(如果有)具有足以允许所禁止的任务的权限。在一个实施例中,权限提升器可通过与帐户管理器120通信,诸如通过根据应用程序接口(API)传递用于具有无限制权限的帐户的标志,来确定帐户。通过这样做,权限提升器可找出、接收或确定足以枚举这些帐户中的一个或多个的指示符或其它标识信息。帐户管理器可返回具有足以允许所禁止的任务的权限的所有帐户,诸如所有管理员或其它几乎无限制权限的帐户、和/或被明确标记的其它帐户以呈现给用户。
在箭头5处,权限提升器将具有足够权限的帐户传递给用户界面116。这些帐户是能够允许用户的当前特权所不允许的任务的帐户。权限提升器可通过向用户界面传递一具有足以标识这些帐户的信息,诸如具有名字、图标等的标志来传递这些帐户。
在箭头6处,用户界面116向用户呈现具有至少一个有足以允许所禁止的任务的权限的帐户的图形用户界面(GUI)。该图形用户界面可包括有足够权限的一个、多个或所有帐户。在某些情况下,所有帐户可能太多以致于太繁琐。在这些情况下,用户界面和/或权限提升器可基于各种准则,诸如使用频率、与当前用户相关联的帐户、具有足够但非无限制权限的帐户等,来选择呈现哪些帐户。
如此呈现的帐户可向用户标识,由此允许用户指导哪一帐户是哪一个。一种可能的益处是用户因为了解了哪一帐户是哪一个而可以选择一个帐户,而无需找出或键入帐户名。帐户可用图形(例如,图形小块或图标)、文本(例如,每一帐户的名字)等来标识。
参考图3,示出了显示图形用户界面302的屏幕截图300。示出了5个具有足够权限的帐户,其每一个都具有图形区304(标记为304a、304b、304c、304d和304e)以及名字区306(标记为306a、306b、306c、306d和306e)。每一图形可指示该帐户或与该帐户相关联的用户。由此,例如,如果一帐户的图形表示信息技术部门的随叫随到技术人员,则用户可知道联系该技术人员来获得口令或其它帮助。另一方面,如果不同的图形表示使用计算机的孩子的父亲、母亲或监护人,则孩子可以知道向父亲还是母亲要求口令来执行所禁止的任务以及在哪一口令域中键入该口令(如果示出了多个域)。名字区包括标识帐户的名字,此处是“E.G.Reynea”、“User1”、“User2”、“User3”和“User4”。
图形用户界面还允许用户提交用于一帐户的认证器。在一个实施例中,每一帐户具有一相关联的认证器区。这允许用户输入用于帐户的口令或其它认证器,并且通过这样做还选择了该特定帐户。
在所示的实施例中,图形用户界面包括具有用于输入口令的数据输入域310的单个认证器区308。在这一情况下,用户可诸如通过点击在“E.G.Reynea”帐户的图形区中的图形304a或在名字区中的文本306a来选择一帐户。用户然后可将口令键入到认证器区308的数据输入域310中。该数据输入域可能在用户选择帐户之前即存在;在这一情况下,用户的选择指示用户希望将输入到该域的口令关联到哪一帐户。然而,在这一实施例中,一旦选择了一个帐户,用户界面116即在该帐户附近呈现认证器域308。
参考图4,示出了示例性单一帐户图形用户界面402。在这一实施例中,图中具有足以允许所禁止的任务的权限的帐户404有两个标识符。第一个标识符,即图形区408处当前用户的图片406,标识了与该帐户相关联的人。第二个标识符,即名为“Abby Salazar”且在名字区410处示出的帐户名,标识了与该帐户相关联的人以及该帐户本身。
该帐户可具有与用户当前的有限权限帐户的名字和标识符相同的名字和标识符。它还可用与用于用户的当前有限权限帐户的认证器相同的认证器(例如,口令)来认证。因而,如果用户的当前有限权限帐户名是“Abby Salazar”(在410处示出),且口令为“Abby”(未示出),则用户可简单地通过将“Abby”输入到认证器域412中来提升其权限以允许所禁止的任务。并且,在这一情况下,用户无需记住她最近未使用的帐户,因为帐户和口令与她在箭头1处为登录到操作系统而输入的帐户和口令相同。
这可以各种方式来启用。在一种情况下,有两个帐户,一个帐户具有有限权限,而另一个帐户具有较高或无限制的权限。每一帐户具有相同的名字和口令,但是较高权限帐户不可用于在箭头1处登录(当登录到操作系统时)。然而,较高权限帐户因其具有足以允许所禁止的任务的权限而由权限提升器变为可用。相反,有限权限帐户因其不具有足够权限而不被呈现。
在另一实施例中,存在具有两个标签的一个帐户;一个标签与有限权限相关联,而另一个标签与较高权限相关联。默认地,在登录时,帐户可用有限权限标签来标记。该标签可在图形用户界面中输入用户的口令时,诸如输入到图4的域412时由权限提升器更改。
用户界面116还可提供关于任务和/或什么实体请求或尝试执行该任务的信息。在所示的图4的实施例中,示出了名为“Why do I need a password here?"(这里为何我需要口令?)的帮助图形414。响应于选择这一帮助图形,用户界面可描述该任务和/或实体。
在箭头7处,用户界面116接收用户对帐户和/或用于该帐户的认证器的选择。在箭头8处,用户界面发送帐户和认证器以供认证。在所示的实施例中,用户界面将所选帐户的指示以及用于该帐户的认证器发送给权限提升器。继续图4所示的实施例,用户可输入口令“Abby”,之后用户界面将“Abby”和“Abby Salazar”发送给权限提升器。
在箭头9处,权限提升器114将认证器和相关联的帐户打包,并将它们传递到认证模块118。在一个实施例中,这个“包”是具有认证器和与该认证器相关联的帐户的计算机可读包,都处于可由认证模块读取和分析的格式。在另一实施例中,认证模块是操作系统安全措施110或访问受控应用程序112的一部分并与其集成。
在箭头10处,认证帐户(或帐户不被认证)。如果帐户不被认证,权限提升器114和用户界面116可重复箭头5、6、7、8和/或9,直到帐户在箭头10处被认证。帐户的认证可被传递给禁止该任务的实体,诸如图2所示的操作系统安全措施110。
在执行或允许执行所禁止的任务之后,权限提升器114可将用户返回到其有限权限帐户。至少在这一意义上,权限的提升可能是临时的。权限提升器还可立即降低权限(且因此将帐户降低到有限帐户)或将提升的权限仅绑定到被禁止的任务。在这一情况下,仅被禁止的任务可通过提升用户的权限来允许。这可帮助降低将用户的权限提升得太久所固有的安全风险。它还可降低在用户没有特别地提升其权限来执行不被用户的有限权限帐户允许的任务的情况下执行该任务的风险。
解锁任务
各种应用程序可调用权限提升器114来允许用户提升其权限。这可以是间接的,诸如当应用程序试图执行操作系统所禁止的任务的时候。它也可以是直接的,诸如当应用程序—即使尚未尝试任务—调用权限提升器来允许用户提升其权限的时候。调用权限提升器及其用户界面所遵循的协议(例如,API)可以是公有的,由此允许各种应用程序调用权限提升器而无需首先尝试被禁止的任务。
在以下示例性实施例中,负责呈现和更改系统的日期和时间设置的应用程序调用权限提升器114(例如,请求/尝试图2的应用程序204)。该应用程序响应于用户选择解锁操作系统的日期和时间来调用权限提升器。更改系统的日期和时间的任务可能不是用户的权限当前所允许的任务。
参考图5,示出了具有解锁按钮504的日期和时间对话框502。该解锁按钮提示一用户界面,用户通过该用户界面可选择解锁一任务。对话框502向用户呈现了日期和时间,但是不允许用户更改日期或时间。这一禁止由“OK”和“Apply”(应用)按钮506和508处于不可选择状态、以及显示锁定的挂锁图标的解锁按钮的存在来指示。用户可通过点击解锁按钮504来提升其权限。
响应于这一选择,该对话框生成对权限提升器114的调用。这一调用可遵循公布的API。该调用向权限提升器指示可能需要提升用户的权限。这是应用程序(诸如图2的应用程序204或系统安全措施110)与权限提升器114通信的一个示例,该通信类似于以上在箭头3处所陈述的动作。
响应于接收这一调用,权限提升器呈现一允许用户提升其权限的图形用户界面。权限提升器可类似于以上所陈述地来完成这一步,诸如通过执行在箭头4、5和6(以及用户界面116)处所述的动作来完成。
参考图6,示出了示例性用户界面602。该用户界面显示了具有足以解锁任务的权限的一个帐户。对该帐户使用两个标识符,即用户图片604和606处示出的名为“Abby Salazar”的帐户名。该用户界面允许用户提交用于该帐户的认证器,此处是口令。这由关于需要什么来解锁任务的描述608:“Enter your password tounlock Date & Time Properties”(输入您的口令来解锁日期和时间属性)来指示。
响应于接收到用于帐户的用户口令,该用户界面转发该帐户和口令以供图1的认证模块118认证。这可用作为图2的箭头8和/或9的一部分描述的动作来执行。
响应于该帐户被认证,负责系统的日期和时间的应用程序呈现向用户显示该任务已被解锁的用户界面。
在图7中,示出了一个示例性的已解锁任务对话框702。该对话框与图5的对话框502形成对比,示出该任务已被解锁。图5的按钮504现在在图7中的704处示出了一个已解锁的挂锁图标。这一区别也以图5的OK按钮506现在如在图7中的706处所示那样处于可选择状态来示出。
一旦用户完成了该任务或选择不执行该任务,用户的权限可被返回到用户的有限权项帐户的权限。如此,用户可改变日期或时间并选择OK按钮。之后,可锁定再次改变日期和时间的任务。
结论
描述了允许用户提升其权限的系统和/或方法,包括通过标识具有这些权限的帐户的用户界面来进行。通过这样做,这些系统和/或方法可允许用户以对恶意代码的攻击相对安全的方式使用计算机,同时还允许用户容易地提升其权限来执行可能危险的任务。尽管以对结构特征和/或方法步骤专用的语言描述了本发明,但是可以理解,所附权利要求书中定义的本发明不必限于所描述的具体特征或步骤。相反,这些具体特征和步骤是作为实现所要求保护的本发明的较佳形式来公开的。
Claims (20)
1.一种或多种其上具有计算机可读指令的计算机可读介质,所述指令在由计算设备执行时使得所述计算设备响应于一任务基于用户的当前帐户没有允许所述任务的权限而被禁止来呈现一用户界面,所述用户界面包括:
标识具有允许所述任务的权限的帐户的标识符;以及
能够从用户接收可用于认证具有允许所述任务的权限的帐户的认证器的认证器区。
2.如权利要求1所述的用户界面,其特征在于,所述标识符包括标识与所述帐户相关联的用户的图形。
3.如权利要求1所述的用户界面,其特征在于,所述标识符包括所述帐户的名字。
4.如权利要求1所述的用户界面,其特征在于,还包括附加标识符,所述附加标识符中的每一个标识了具有允许所述任务的权限的其它帐户。
5.如权利要求1所述的用户界面,其特征在于,所述认证器包括口令,而所述认证器区包括用户可将所述口令键入其中的数据输入域。
6.如权利要求1所述的用户界面,其特征在于,还包括指示所述任务和请求或尝试了所述任务的实体的信息。
7.如权利要求6所述的用户界面,其特征在于,还包括一可选择帮助图形,并且其中所述计算机可读指令还使得所述计算设备响应于接收到对所述可选择帮助图形的选择来呈现所述信息。
8.一种或多种其上具有计算机可读指令的计算机可读介质,所述指令在由计算设备执行时使得所述计算设备执行以下动作:
接收能够允许当前用户帐户不允许的任务的多个帐户的指示符;
呈现一图形用户界面,所述图形用户界面具有:
多个帐户区,每一帐户区标识能够允许所述任务的帐户之一;
能够接收用于能够允许所述任务的帐户之一的认证器的认证器区;
通过所述图形用户界面接收用于能够允许所述任务的帐户之一的认证器;以及
将所述认证器和与所述认证器相关联的帐户包装成一个计算机可读包,所述包可用于允许所述帐户的认证。
9.如权利要求8所述的介质,其特征在于,还包括确定能够允许所述任务的多个帐户。
10.如权利要求8所述的介质,其特征在于,每一所述帐户区包括标识能够允许所述任务的帐户之一的名字。
11.如权利要求8所述的介质,其特征在于,每一所述帐户区包括标识能够允许所述任务的帐户之一的图形。
12.如权利要求8所述的介质,其特征在于,还包括允许所述任务。
13.如权利要求8所述的介质,其特征在于,还包括认证所述帐户,并且响应于认证所述帐户,将用户的权限临时提升到可用于允许所述任务的帐户的权限。
14.如权利要求8所述的介质,其特征在于,所述当前用户帐户的权限被访问受控软件限制。
15.如权利要求14所述的介质,其特征在于,所述任务在认证所述帐户之前被所述访问受控软件禁止,并且其中所述访问受控软件响应于所述帐户的认证避免对所述任务的禁止。
16.一种或多种其上具有计算机可读指令的计算机可读介质,所述指令在由计算设备执行时使得所述计算设备执行以下动作:
向当前以有限权限帐户登录到计算机的操作系统的用户呈现一较高权限帐户,所述较高权限帐户具有允许一任务的权限,该任务当前基于所述有限权限帐户没有允许所述任务的权限而被操作系统禁止,所述较高权限帐户以能够标识所述较高权限帐户的名字或与所述较高权限帐户相关联的人的标识符来呈现;
接收认证器,所述认证器可用于认证所述较高权限帐户;
认证所述较高权限帐户;以及
将所述计算机用户的权限临时提升到所述较高权限帐户的权限,以便允许所述操作系统停止禁止所述任务。
17.如权利要求16所述的介质,其特征在于,所述呈现较高权限帐户的动作包括呈现包括所述标识符和能够接收所述认证器的输入的数据输入域的图形用户界面。
18.如权利要求16所述的介质,其特征在于,所述呈现较高权限帐户的动作包括呈现附加的较高权限帐户,每一附加的较高权限帐户以能够标识所述附加的较高权限帐户的名字或与所述附加较高权限帐户相关联的人的附加标识符来呈现。
19.如权利要求16所述的介质,其特征在于,所述临时提升计算机用户的权限的动作包括仅将所述计算机用户的权限提升允许所述操作系统停止禁止所述任务所需的时间长度。
20.如权利要求16所述的介质,其特征在于,所述临时提升计算机用户的权限的动作包括一旦所述操作系统停止禁止所述任务即将所述计算机用户的权限返回到所述有限权限帐户的权限。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/112,747 | 2005-04-22 | ||
| US11/112,747 US7617530B2 (en) | 2005-04-22 | 2005-04-22 | Rights elevator |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101444095A true CN101444095A (zh) | 2009-05-27 |
Family
ID=37188468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800495592A Pending CN101444095A (zh) | 2005-04-22 | 2005-07-28 | 权限提升器 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US7617530B2 (zh) |
| EP (1) | EP1872577A4 (zh) |
| JP (1) | JP2008538839A (zh) |
| KR (1) | KR20080008332A (zh) |
| CN (1) | CN101444095A (zh) |
| WO (1) | WO2006115516A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102576395A (zh) * | 2009-10-06 | 2012-07-11 | 国际商业机器公司 | 向用户标识符暂时提供对于计算系统的更高特权 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8336105B2 (en) * | 2003-10-31 | 2012-12-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and devices for the control of the usage of content |
| US7617530B2 (en) * | 2005-04-22 | 2009-11-10 | Microsoft Corporation | Rights elevator |
| US7945951B2 (en) | 2006-01-30 | 2011-05-17 | Microsoft Corporation | Rights-context elevator |
| US7941848B2 (en) | 2006-01-30 | 2011-05-10 | Microsoft Corporation | Elevating rights |
| US20070198934A1 (en) * | 2006-02-17 | 2007-08-23 | Microsoft Corporation | Performing a Prohibited Task |
| US8239608B1 (en) * | 2006-10-05 | 2012-08-07 | Vmware, Inc. | Secure computing environment |
| ES2370558T3 (es) * | 2008-01-15 | 2011-12-20 | Axis Ab | Método y dispositivos para gestionar privilegios de acceso. |
| DE102008004656A1 (de) * | 2008-01-16 | 2009-07-23 | Siemens Aktiengesellschaft | Verfahren zur Verwaltung der Benutzungsberechtigungen bei einem Datenverarbeitungsnetzwerk und ein Datenverarbeitungsnetzwerk |
| US8442960B1 (en) * | 2008-06-30 | 2013-05-14 | Symantec Corporation | Systems and methods for process self-elevation |
| JP5398231B2 (ja) * | 2008-11-04 | 2014-01-29 | キヤノン株式会社 | 画像処理装置及びその制御方法、並びにプログラム |
| US9479509B2 (en) | 2009-11-06 | 2016-10-25 | Red Hat, Inc. | Unified system for authentication and authorization |
| US9454667B2 (en) * | 2011-11-03 | 2016-09-27 | International Business Machines Corporation | Granting object authority via a multi-touch screen to a collaborator |
| CN103246833A (zh) * | 2012-02-01 | 2013-08-14 | 精品科技股份有限公司 | 低权限模式下执行高权限软件的方法 |
| US20130298187A1 (en) * | 2012-05-04 | 2013-11-07 | Ca, Inc. | Managing virtual identities |
| US8898770B2 (en) | 2012-08-10 | 2014-11-25 | Blackberry Limited | Accessing contact records in a device with multiple operation perimeters |
| US9251354B2 (en) * | 2012-10-15 | 2016-02-02 | Imprivata, Inc. | Secure access supersession on shared workstations |
| US10114536B2 (en) * | 2013-03-29 | 2018-10-30 | Microsoft Technology Licensing, Llc | Systems and methods for performing actions for users from a locked device |
| GB2529721A (en) | 2014-09-01 | 2016-03-02 | Ibm | Temporary authorizations to access a computing system based on user skills |
| US9785765B2 (en) * | 2014-11-13 | 2017-10-10 | Microsoft Technology Licensing, Llc | Systems and methods for differential access control based on secrets |
| TWI621961B (zh) * | 2015-04-01 | 2018-04-21 | 群暉科技股份有限公司 | 切換執行身分的方法及相關的伺服器 |
| CN104991968B (zh) * | 2015-07-24 | 2018-04-20 | 成都云堆移动信息技术有限公司 | 基于文本挖掘的互联网媒体用户属性分析方法 |
| JP2017049864A (ja) * | 2015-09-03 | 2017-03-09 | コニカミノルタ株式会社 | 画像形成装置、アプリケーション実行許否判別方法、およびコンピュータプログラム |
| CN105260656B (zh) * | 2015-09-06 | 2019-02-19 | 浪潮(北京)电子信息产业有限公司 | 一种api接口权限控制方法和系统 |
| CN105912924A (zh) * | 2016-04-01 | 2016-08-31 | 北京元心科技有限公司 | 对企业信息管理系统中的用户账户下发权限的方法 |
| CN111149102A (zh) * | 2018-02-26 | 2020-05-12 | 麦克赛尔株式会社 | 便携信息终端及其控制方法 |
Family Cites Families (69)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5369764A (en) * | 1990-04-25 | 1994-11-29 | Blair; Gary L. | Method for sharing access to database elements in a data processing system |
| US5956715A (en) * | 1994-12-13 | 1999-09-21 | Microsoft Corporation | Method and system for controlling user access to a resource in a networked computing environment |
| US5655077A (en) | 1994-12-13 | 1997-08-05 | Microsoft Corporation | Method and system for authenticating access to heterogeneous computing services |
| US5774551A (en) | 1995-08-07 | 1998-06-30 | Sun Microsystems, Inc. | Pluggable account management interface with unified login and logout and multiple user authentication services |
| RU2158444C2 (ru) | 1995-11-06 | 2000-10-27 | Ай Ди Системс, Инк. | Электронная контролирующая система/сеть |
| US5864665A (en) | 1996-08-20 | 1999-01-26 | International Business Machines Corporation | Auditing login activity in a distributed computing environment |
| US6651166B1 (en) * | 1998-04-09 | 2003-11-18 | Tumbleweed Software Corp. | Sender driven certification enrollment system |
| US6017177A (en) * | 1997-10-06 | 2000-01-25 | Mcgard, Inc. | Multi-tier security fastener |
| US6754820B1 (en) | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| US6209100B1 (en) * | 1998-03-27 | 2001-03-27 | International Business Machines Corp. | Moderated forums with anonymous but traceable contributions |
| JP2000122975A (ja) | 1998-10-14 | 2000-04-28 | Toshiba Corp | バイオメトリクスによるユーザー確認システム及び記憶媒体 |
| US6643690B2 (en) * | 1998-12-29 | 2003-11-04 | Citrix Systems, Inc. | Apparatus and method for determining a program neighborhood for a client node in a client-server network |
| US6651168B1 (en) * | 1999-01-29 | 2003-11-18 | International Business Machines, Corp. | Authentication framework for multiple authentication processes and mechanisms |
| US6473794B1 (en) * | 1999-05-27 | 2002-10-29 | Accenture Llp | System for establishing plan to test components of web based framework by displaying pictorial representation and conveying indicia coded components of existing network framework |
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| US7213054B2 (en) * | 1999-12-15 | 2007-05-01 | Microsoft Corporation | Methods and apparatuses for handling single-user applications in multi-user computing environments |
| US6807666B1 (en) * | 1999-12-15 | 2004-10-19 | Microsoft Corporation | Methods and arrangements for providing multiple concurrent desktops and workspaces in a shared computing environment |
| JP2001236315A (ja) * | 2000-02-24 | 2001-08-31 | Nippon Telegr & Teleph Corp <Ntt> | 利用者認証システム、利用者認証支援装置及び利用者認証プログラムを記憶した記憶媒体 |
| US6982962B1 (en) | 2000-04-10 | 2006-01-03 | 3Com Corporation | System and method for selecting a network access provider using a portable information device |
| US7565326B2 (en) | 2000-05-25 | 2009-07-21 | Randle William M | Dialect independent multi-dimensional integrator using a normalized language platform and secure controlled access |
| US7194764B2 (en) | 2000-07-10 | 2007-03-20 | Oracle International Corporation | User authentication |
| US20020031230A1 (en) | 2000-08-15 | 2002-03-14 | Sweet William B. | Method and apparatus for a web-based application service model for security management |
| JP4445116B2 (ja) | 2000-10-17 | 2010-04-07 | 東芝テック株式会社 | ゲートウエイ装置とネットワークシステム |
| US8176563B2 (en) * | 2000-11-13 | 2012-05-08 | DigitalDoors, Inc. | Data security system and method with editor |
| US7152164B1 (en) * | 2000-12-06 | 2006-12-19 | Pasi Into Loukas | Network anti-virus system |
| US6901512B2 (en) * | 2000-12-12 | 2005-05-31 | Hewlett-Packard Development Company, L.P. | Centralized cryptographic key administration scheme for enabling secure context-free application operation |
| JP2002232573A (ja) | 2001-01-31 | 2002-08-16 | Nec Corp | 移動通信端末、移動通信システム及びサービス提供装置 |
| KR100469701B1 (ko) * | 2001-03-10 | 2005-02-02 | 삼성전자주식회사 | 이동통신시스템에서 패킷 데이터 제어 채널 통신 장치 및방법 |
| JP2002288087A (ja) * | 2001-03-23 | 2002-10-04 | Humming Heads Inc | 情報処理装置及びその方法、情報処理システム及びその制御方法、プログラム |
| US6795855B2 (en) * | 2001-04-05 | 2004-09-21 | Hewlett-Packard Development Company, L.P. | Non-root users execution of root commands |
| GB2375277B (en) * | 2001-05-03 | 2005-04-06 | Ibm | A method and apparatus for display of access control in a graphical user interface |
| US20030046392A1 (en) | 2001-08-29 | 2003-03-06 | Sayling Wen | Automatic network connecting system and method |
| JP2003167749A (ja) * | 2001-09-18 | 2003-06-13 | Sony Corp | ユーザの簡易切り替え機能を備えた情報処理装置及びこれに用いるプログラム |
| US20030065626A1 (en) | 2001-09-28 | 2003-04-03 | Allen Karl H. | User verification for conducting health-related transactions |
| US7831655B2 (en) | 2001-10-18 | 2010-11-09 | Bea Systems, Inc. | System and method for implementing a service adapter |
| JP4145118B2 (ja) | 2001-11-26 | 2008-09-03 | 松下電器産業株式会社 | アプリケーション認証システム |
| US6807636B2 (en) * | 2002-02-13 | 2004-10-19 | Hitachi Computer Products (America), Inc. | Methods and apparatus for facilitating security in a network |
| US20030177388A1 (en) * | 2002-03-15 | 2003-09-18 | International Business Machines Corporation | Authenticated identity translation within a multiple computing unit environment |
| US7107285B2 (en) * | 2002-03-16 | 2006-09-12 | Questerra Corporation | Method, system, and program for an improved enterprise spatial system |
| JP3680034B2 (ja) * | 2002-03-20 | 2005-08-10 | 株式会社東芝 | 情報処理装置および同装置で使用されるユーザ切替え方法 |
| EP1505510A4 (en) * | 2002-04-25 | 2008-09-10 | Ibm | COLLABORATION SERVER, COLLABORATION SYSTEM, MEETING ADMINISTRATIVE PROCEDURES AND PROGRAM |
| US7373402B2 (en) * | 2002-08-19 | 2008-05-13 | Agilent Technologies, Inc. | Method, apparatus, and machine-readable medium for configuring thresholds on heterogeneous network elements |
| US20040039909A1 (en) * | 2002-08-22 | 2004-02-26 | David Cheng | Flexible authentication with multiple levels and factors |
| US6985944B2 (en) | 2002-11-01 | 2006-01-10 | Fidelia Technology, Inc. | Distributing queries and combining query responses in a fault and performance monitoring system using distributed data gathering and storage |
| US20040139355A1 (en) * | 2002-11-07 | 2004-07-15 | Axel David J. | Method and system of accessing a plurality of network elements |
| US20050108770A1 (en) * | 2002-12-11 | 2005-05-19 | Jeyhan Karaoguz | Method and system for mixing broadcast and stored media in a media exchange network |
| US8990723B1 (en) * | 2002-12-13 | 2015-03-24 | Mcafee, Inc. | System, method, and computer program product for managing a plurality of applications via a single interface |
| JP2004295632A (ja) | 2003-03-27 | 2004-10-21 | Ricoh Co Ltd | 認証情報取得装置、ユーザ認証システム、認証情報取得プログラム、文書管理装置、文書管理プログラム及び記録媒体 |
| US7257835B2 (en) * | 2003-05-28 | 2007-08-14 | Microsoft Corporation | Securely authorizing the performance of actions |
| JP4375778B2 (ja) * | 2003-09-18 | 2009-12-02 | 株式会社リコー | デジタルデータインストールシステム、デジタルデータインストール方法、プログラム、及びプログラムを記録した記録媒体 |
| WO2005034424A1 (en) | 2003-10-08 | 2005-04-14 | Engberg Stephan J | Method and system for establishing a communication using privacy enhancing techniques |
| US7577659B2 (en) * | 2003-10-24 | 2009-08-18 | Microsoft Corporation | Interoperable credential gathering and access modularity |
| US7966572B2 (en) * | 2004-02-20 | 2011-06-21 | Microsoft Corporation | User interface transition |
| US7823071B2 (en) * | 2004-02-20 | 2010-10-26 | Microsoft Corporation | User interface start page |
| US20050188317A1 (en) * | 2004-02-20 | 2005-08-25 | Microsoft Corporation | Initiate multiple applications |
| US7783891B2 (en) * | 2004-02-25 | 2010-08-24 | Microsoft Corporation | System and method facilitating secure credential management |
| WO2005107137A2 (en) | 2004-04-23 | 2005-11-10 | Passmark Security, Inc. | Method and apparatus for authenticating users using two or more factors |
| US9081872B2 (en) * | 2004-06-25 | 2015-07-14 | Apple Inc. | Methods and systems for managing permissions data and/or indexes |
| US8099296B2 (en) * | 2004-10-01 | 2012-01-17 | General Electric Company | System and method for rules-based context management in a medical environment |
| US7721328B2 (en) | 2004-10-01 | 2010-05-18 | Salesforce.Com Inc. | Application identity design |
| US20060085752A1 (en) * | 2004-10-14 | 2006-04-20 | International Business Machines Corporation | Method and apparatus for dynamically creating historical groups in a messaging client |
| US8700729B2 (en) * | 2005-01-21 | 2014-04-15 | Robin Dua | Method and apparatus for managing credentials through a wireless network |
| US8365293B2 (en) | 2005-01-25 | 2013-01-29 | Redphone Security, Inc. | Securing computer network interactions between entities with authorization assurances |
| US7634734B2 (en) * | 2005-01-28 | 2009-12-15 | Microsoft Corporation | Direct access to media playback |
| US7810143B2 (en) * | 2005-04-22 | 2010-10-05 | Microsoft Corporation | Credential interface |
| US7617530B2 (en) * | 2005-04-22 | 2009-11-10 | Microsoft Corporation | Rights elevator |
| WO2007089503A2 (en) | 2006-01-26 | 2007-08-09 | Imprivata, Inc. | Systems and methods for multi-factor authentication |
| US7945951B2 (en) * | 2006-01-30 | 2011-05-17 | Microsoft Corporation | Rights-context elevator |
| US7941861B2 (en) * | 2006-02-17 | 2011-05-10 | Microsoft Corporation | Permitting multiple tasks requiring elevated rights |
-
2005
- 2005-04-22 US US11/112,747 patent/US7617530B2/en not_active Expired - Fee Related
- 2005-07-28 EP EP05779643A patent/EP1872577A4/en not_active Ceased
- 2005-07-28 KR KR1020077023984A patent/KR20080008332A/ko not_active Application Discontinuation
- 2005-07-28 JP JP2008507622A patent/JP2008538839A/ja active Pending
- 2005-07-28 WO PCT/US2005/026849 patent/WO2006115516A2/en active Application Filing
- 2005-07-28 CN CNA2005800495592A patent/CN101444095A/zh active Pending
-
2006
- 2006-03-10 US US11/276,715 patent/US8024813B2/en active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102576395A (zh) * | 2009-10-06 | 2012-07-11 | 国际商业机器公司 | 向用户标识符暂时提供对于计算系统的更高特权 |
| US9043877B2 (en) | 2009-10-06 | 2015-05-26 | International Business Machines Corporation | Temporarily providing higher privileges for computing system to user identifier |
| US9660990B2 (en) | 2009-10-06 | 2017-05-23 | International Business Machines Corporation | Temporarily providing higher privileges for computing system to user identifier |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008538839A (ja) | 2008-11-06 |
| EP1872577A4 (en) | 2009-12-30 |
| KR20080008332A (ko) | 2008-01-23 |
| US8024813B2 (en) | 2011-09-20 |
| US20060242713A1 (en) | 2006-10-26 |
| WO2006115516A3 (en) | 2008-12-24 |
| US20060242422A1 (en) | 2006-10-26 |
| EP1872577A2 (en) | 2008-01-02 |
| WO2006115516A2 (en) | 2006-11-02 |
| US7617530B2 (en) | 2009-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101444095A (zh) | 权限提升器 | |
| US7945951B2 (en) | Rights-context elevator | |
| US11086979B1 (en) | Security system and method for controlling access to computing resources | |
| CN107113302B (zh) | 多租户计算系统中的安全性和许可架构 | |
| Sun et al. | What makes users refuse web single sign-on? An empirical investigation of OpenID | |
| US7941848B2 (en) | Elevating rights | |
| JP4866373B2 (ja) | 画像形成装置、割り込み管理方法および割り込み管理プログラム | |
| US20160371482A1 (en) | Information processing apparatus and information processing method | |
| US10764049B2 (en) | Method for determining approval for access to gate through network, and server and computer-readable recording media using the same | |
| WO2015188442A1 (zh) | 一种密码管理方法及装置 | |
| WO2016059564A1 (en) | Partial access screen lock | |
| CN113221095A (zh) | 一种应用程序保护方法、装置、电子设备及存储介质 | |
| CN106407760B (zh) | 用户终端及应用程序隐藏方法 | |
| US20050246764A1 (en) | Authorization method | |
| US20180077571A1 (en) | System and method of authenticating a user of an electronic device | |
| US8904185B2 (en) | Presence sensing information security | |
| US20060206930A1 (en) | Method and system for rendering single sign on | |
| Haber et al. | Passwordless authentication | |
| JP2007172176A (ja) | 認証装置 | |
| CN108846272A (zh) | 应用安全管理方法、装置及电子设备 | |
| CN110891069A (zh) | 一种基于用户登录的密码验证方法及系统 | |
| KR101314720B1 (ko) | 모바일 단말기의 다중환경 제공방법 및 모바일 단말기 | |
| Shamsudin et al. | An Authentication of Carpooling Apps Using OTP and Fingerprint | |
| CN111581617B (zh) | 一种软件访问方法、装置、设备及存储介质 | |
| JP2014053778A (ja) | 携帯端末、ならびに携帯端末を制御するための方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150717 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150717 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090527 |