CN101785243A - 可传递受限安全令牌 - Google Patents
可传递受限安全令牌 Download PDFInfo
- Publication number
- CN101785243A CN101785243A CN200880105206A CN200880105206A CN101785243A CN 101785243 A CN101785243 A CN 101785243A CN 200880105206 A CN200880105206 A CN 200880105206A CN 200880105206 A CN200880105206 A CN 200880105206A CN 101785243 A CN101785243 A CN 101785243A
- Authority
- CN
- China
- Prior art keywords
- warrant
- role
- party
- user
- restriction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
- G06Q20/045—Payment circuits using payment protocols involving tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Human Resources & Organizations (AREA)
- Economics (AREA)
- Game Theory and Decision Science (AREA)
- Tourism & Hospitality (AREA)
- Development Economics (AREA)
- Finance (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Educational Administration (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
在基于web的服务环境中,第三方提供者为其补充服务需要具有对用户数据的不同程度的访问权。为防止第三方提供者具有比所需更宽泛的访问权或不足的访问级别,采用可传递受限安全权证来确定用于第三方的访问的合适级别。具有有效期和限制角色的权证定义用于第三方的访问的有效期和级别。通过使系统中定义的授权用户的安全角色和限制角色相交来确定限制。
Description
背景
基于web的服务包括服务提供者、其用户、以及可提供诸如用于提供指定服务的集成内容等补充服务的第三方之间的交互。此类集成内容可采取嵌入框架、表单、或脚本的形式。例如,商业记录服务可基于其用户的商业联系人为该用户执行各种进程(例如,历史数据收集、统计数据分析、事件的调度等)。换言之,用户和/或服务提供者指定的第三方可执行补充所提供的服务的子进程,如基于记录上的地址为商业联系人提供地图。
客户关系管理(CRM)解决方案是提供通常在被主存的计算机应用程序环境中创建并维护从第一次联系到购买和售后的客户的清楚写照所需的工具和能力的基于web的商业服务的示例。对复杂组织而言,CRM系统可提供帮助改善销售和营销组织瞄准新客户、管理营销活动、以及推动销售活动的方式的特征和能力。CRM系统可包括由组织内部或外部的用户以及第三方提供者独立或以共享方式利用的许多硬件和软件的组件。
为执行子进程,第三方通常需要具有对服务提供者处的用户记录的访问权。在以上示例中,第三方将需要访问商业联系人的地址以生成地图并将其集成到服务提供者的网页中。给出对用户数据用于读取、修改、创建、并删除该数据的访问权可带来安全挑战,尤其在第三方提供者不是可信实体时。
概述
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。该概述并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
各实施例涉及通过采用可传递受限安全令牌来控制第三方提供者对用户数据的访问而提供基于web的服务提供者处的用户记录的增强安全性。生成具有除被分配给用户的那些安全限制之外的安全限制以及权证有效期的权证形式的可传递受限安全令牌。
通过阅读以下详细描述并查阅相关联的附图,这些和其它特征和优点将是显而易见的。可以理解,前述一般描述和以下详细描述均仅是说明性的,且不限制所要求保护的各方面。
附图简述
图1是示出基于web的服务的用户、服务提供者、以及第三方提供者之间的典型数据访问交互的图示;
图2示出根据实施例基于web的服务的用户、服务提供者、以及第三方提供者之间的示例交互;
图3是示出用户和限制角色在确定要被分配给基于web的服务的第三方提供者的安全限制中的使用的概念图;
图4是用于将访问限制分配给基于web的服务的用户的软件程序的屏幕截图;
图5是用于将访问限制分配给基于web的服务的第三方提供者的软件程序的屏幕截图;
图6示出根据实施例的三个示例受限安全权证;
图7是其中可以实现各实施例的示例联网环境的图示;
图8是其中可以实现各实施例的示例计算操作环境的框图;以及
图9示出使用用于允许由基于web的服务中的第三方提供者访问用户数据的受限安全权证的过程的逻辑流程图。
详细描述
如上简述,可通过使用用于允许第三方提供者对数据的访问的受限安全权证来增强基于web的服务中的用户数据安全。在以下详细描述中,参考了构成其一部分并作为说明示出了各具体实施例或示例的附图。可组合这些方面,可利用其它方面并且可以做出结构上的改变而不背离本发明的范围。由此,以下详细描述并不旨在限制,本发明的范围由所附权利要求及其等效方案所定义。
虽然在结合在个人计算机上的操作系统上运行的应用程序执行的程序模块的一般上下文环境中描述了各实施例,但是本领域的技术人员会认识到各方面也可以结合其它程序模块实现。
一般而言,程序模块包括执行特定任务或实现特定的抽象数据类型的例程、程序、组件、数据结构和其它类型的结构。而且,如本领域的技术人员理解的,各实施例可以用其它计算机系统配置来实施,包括手持式设备、多处理器系统、基于微处理器或可编程消费者电子产品、小型机、大型机等等。各实施例还能在其中任务由通过通信网络链接的远程处理设备来执行的分布式计算环境中实现。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备中。
各实施例可被实现为计算机过程(方法)、计算系统、或者如计算机程序产品或计算机可读介质等制品。计算机程序产品可以是计算机系统可读并编码了用于执行计算机进程的指令的计算机程序的计算机存储介质。计算机程序产品还可以是计算系统可读并编码了用于执行计算机进程的指令的计算机程序的载波上的传播信号。
参考图1,示出基于web的服务的用户、服务提供者、以及第三方提供者之间的典型数据访问交互的图示。
如前所述,第三方提供者可为服务的用户执行该服务的web服务补充进程内内的子进程。之前所述的一个示例是第三方为处理用户的联系人的基于web的服务提供联系人的地图。另一示例是用于计算CRM系统内的信用得分的第三方服务。可定制CRM联系人表单以执行调用第三方的脚本,以传递联系人标识符。第三方可随后回调CRM服务以检索各种联系人和定单信息以计算所选联系人的信用得分。第三方可返回可在联系人表单的字段中显示的信用评级分数。第三方还可直接使用其它有用的统计数据来更新联系人记录。
因此,第三方提供者可能需要具有对基于web的系统内的用户数据的访问权以进行收集、修改、删除、或创建操作。适应此类第三方操作中的挑战包括如何控制要对这些操作允许哪些第三方、以哪种许可级别、持续时间多长等。
在常规的基于web的服务环境中,如图1的图示100所示,每一用户102在基于web的服务104内可具有被分配的安全角色并按该角色所允许地访问该服务。用户102可通过例如向第三方服务106提供其安全权证在某一点处授权第三方服务106执行操作。在此情况下,第三方服务106将如用户102的安全角色所允许地对与用户102相关联的数据具有完全访问权并执行其操作。此类设置的缺点是用户可能不想要第三方对用户本身拥有的全部数据具有完全访问能力。
进一步复杂化此问题的是,组织可能具有多个具有不同安全角色的内部用户。如果其中之一要授权第三方,该用户的安全角色可能不足以执行所需的操作或相反,该安全角色可能比所需的更宽泛。例如,公司的接待员可能具有诸如“读取”仅商业联系人信息的受限访问权。如果该接待员尝试激活用于计算信用分数的第三方服务,则该第三方可能由于接待员的受限安全角色而不能更新web服务处的数据。
另一方面,具有宽泛的访问特权的高层经理可能希望激活用于商业联系人的地图服务,这通常将需要用于第三方的受限访问特权。然而,因为经理具有宽泛的访问特权,所以无论是否需要,第三方都将通过经理的安全权证取得相同的特权。
控制第三方对用户数据的访问的另一方法可以是向第三方服务提供者分配web服务处的受限安全角色,但这可能严重限制了基于web的服务允许用户使用他们选择的第三方服务的灵活性,使得用户服务的定制成为非常有挑战性的任务。
图2示出根据实施例基于web的服务的用户、服务提供者、以及第三方提供者之间的示例交互。
如上所述,对基于web的服务提供者的挑战是如何控制允许哪些第三方回调服务、采用哪种许可级别、以及精确的持续时间。例如,如果服务管理者正在查看CRM服务中的联系人表单,向半受信第三方传递连接用户的整个安全上下文可意味着第三方现在可访问超出其执行预期服务真正需要的记录。可授权管理员删除任何类型的记录、创建任何类型的记录、或使得方案改变(例如,创建新实体、属性等)。向被期望仅提供指定服务的狭小集合的半受信第三方传递连接用户的整个安全上下文可能导致严重的风险。
根据一实施例,可为第三方提供者生成权证。该权证可指定附加的安全限制和权证有效期。可使用基于web的服务角色基础结构来定义附加安全限制。可随后将第三方提供者的特定域名与限制角色相关联。例如,可为第三方域“http://accuratecreditinfo.com”定义限制角色以给出:[本地范围的活动读取许可]+[当前商业单位的范围的引导创建和读取许可]。然而,万一连接用户不具有创建引导的许可,可通过使连接用户(及其角色)的许可与由限制角色定义的许可相交来评估安全性以确保不存在提升。限制角色还可指定当前商业单位的范围。
在图示200中,基于web的服务由服务器204表示,其为用户202执行用户指定进程210。可采用权证验证进程(208)认证用户并确定其访问特权。可将认证信息包括在权证中。在根据实施例的服务中,第三方服务206可执行子进程212以补充用户指定进程210。为访问基于web的服务处的用户数据和定单,第三方服务206可向基于web服务204提供受限安全权证218。第三方服务206还可与其它系统214交互。
受限安全权证218还可由基于web的服务认证。该认证可通过众多方式执行。一个此类方法是散列消息认证码(HMAC)。基于包括在消息(在此情况中是权证)中的密钥生成一“MAC标签”,以使得攻击者难以生成有效配对(消息,标签)。
代替HMAC,还可根据其它实施例使用数字签名。使用数字签名,组件可验证声明,但可能不具有生成有效权证的能力(仅验证密钥可为其使用)。使用HMAC,组件可验证声明,但随后还具有创建有效权证的能力,因为它们具有对所需对称密钥的访问权。使用数字签名对允许进一步委托是有用的。例如,第三方可向其它第三方传递基于web的服务权证,这可在采取某些行动之前验证对基于web的服务的访问权。还可使用此处所述的原理来采用其它认证方法。
因此,示例权证是如下形式的:{用户标识+有效期+受限角色标识+HMAC(用户标识+有效期+受限角色标识)}。权证还可包括密钥指示符(以知道使用哪个密钥,如果使用各自在一定时间之后过期的旋转密钥)以及组织标识(Id)(以防止其中可重用相同用户标识的交叉组织攻击)。
根据另一实施例,可允许基于web的服务管理员指定应该将权证限制于诸如只读动作等具体动作。这可通过例如向权证的HMAC添加一位并随后阻塞平台中的写动作来达成。
根据其它实施例,可在系统中创建受限用户/域而不是将受限角色的列表包括在权证中。受限用户/域可具有与它们相关联的角色且这些角色可被用作受限角色。可如上所述确定用户角色和受限角色的相交。在此场景中,权证可以是以下形式的:{用户标识+有效期+受限用户标识+HMAC(用户标识+有效期+受限用户标识)}。
在其中受限权证包含角色列表的版本中,关联到域的角色可能改变了,但是安全限制是基于权证中的角色组的,虽然可独立改变角色中的特权。在受限用户/域方式中,服务器维护受限角色的控制。因此,可独立于已经授予的权证来添加/改变/移除仅具有受限域/用户的版本中的角色。
虽然根据具有动态地重新评估可能改变的用户特权且不处理从未由第三方使用的权证(节省系统资源)的一个实施例可在权证从web服务(例如,CRM)服务返回时执行特权相交,但是使用此处所述的原理还可在权证被第一次发放时执行同样的相交。
图3是示出用户和限制角色在确定要被分配给基于web的服务的第三方提供者的安全限制中的使用的概念图。
在基于角色的访问特权系统中,可基于用户与记录的关系定义不同层次的特权深度。例如,可为由用户拥有的记录定义“基本”深度;可为用户所属的商业单位的记录定义“本地”深度;可为用户的商业单位或任何子商业单位的记录定义“深”深度;以及可为伞状组织的任何商业单位中的记录定义“全局”深度。
基于这些示例特权深度,可向用户分配定义如下的单个角色:具有基本深度的“读活动”;具有深深度的“写引导”;以及具有深深度的“创建联系人”。可向第三方提供者分配定义如下的单个角色:具有本地深度的“写引导”以及具有全局深度的“创建联系人”。
在根据各实施例的服务中,这些角色(例如,用户角色322与限制角色324和限制角色326的)的相交320将得到具有本地深度的“写引导”角色以及具有深深度的“创建联系人”角色(在每一情况下选择深度中较小的一个)。
以上的限制角色、特权深度、以及相交场景仅为说明性目的提供且不构成对各实施例的限制。可使用任何定义的特权深度、组织结构、以及限制角色来实现各实施例。此外,可定义确定用户角色和限制角色除两者中较小的一个之外的相交的其它规则。此外,在此处将CRM服务用作示例的基于web的服务。使用此处所述的原理,可使用任何应用程序安全限制来实现各实施例。
图4是用于将访问限制分配给基于web的服务的用户的软件程序的屏幕截图(400)。
如上所述,可向组织的每一用户分配安全角色以及各种访问许可级别。例如,如屏幕截图所示,web服务程序的访问管理模块可允许管理者定义每一用户的安全角色。为接待员创建示例角色(432)。诸如帐户、联系人、电子邮件模板等不同类型的记录在一列中列出(434)。将诸如创建、读、写、删除等访问操作(438)列在对应列中,以允许管理员为矩阵中的每一类型的记录上的每一操作设置许可级别(430)。
可设置用户界面使得为选项表所示为组织子划分而对记录分组(436)。安全角色可由用户分配并被传送到基于web的服务、由用户在由基于web的服务生成的默认角色的模板上修改、或由用户以基于web的服务的管理程序的配置模式分配。
图5是用于将访问限制分配给基于web的服务的第三方提供者的软件程序的屏幕截图。第三方提供者可执行补充该基于web的服务的各种任务。屏幕截图500中示出的示例进程是联系人分析。
屏幕截图500中的配置用户界面类似于图4的用户界面,其中记录类型(544)被列为矩阵中的第一列,访问类型被列为第一行(548)。将每一记录类型和访问类型的访问限制显示为用户界面矩阵540的元素。重要的是,根据各实施例的用户界面包括用于启用伙伴访问限制的控制,伙伴由与第三方提供者相关联的URL定义。
此外,还可基于组织分层结构来确定限制。例如,可基于第三方服务是为个别用户执行、为商业单位执行、为商业子单位执行、或为整个组织执行来定义限制角色。
图6示出根据实施例的三个示例受限安全权证。根据各实施例的受限安全权证可包括除在图中示出的那些以外的元素。有效期和限制也不限于所示示例。
如上所述,第三方的角色限制可与基于web的服务中的具体域名相关联。第一示例权证652与域名http://accuratecreditinfo.com(虚构域名)相关联。该权证具有60秒的有效期以及仅联系人分析角色的限制。因此,一旦接受权证652,被分配该权证的第三方就具有60秒来执行其进程,且其仅可为执行联系人分析来访问基于web的服务处的用户数据。
第二权证654与域名http://productimages.com相关联,该域名可以是用于处理具体企业的产品图像的第三方提供者服务。该权证具有10秒的有效期且限制是受限产品访问角色。可在基于web的服务的访问管理部分中定义此角色。除有效期和限制之外,权证654可任选地包括重复参数。重复参数可基于重复参数的值来允许第三方提供者重复地使用其安全权证。在图6的示例中,将重复参数设置为“否”以表示该权证是单次使用权证。
示例权证656与域名http://analyzeleads.com相关联,该域名可提供CRM服务的业务引导的分析。权证的有效期被设置为60分钟而限制是“读所有引导”。因此,具有此权证的第三方可读取CRM服务中的所有业务引导数据,但不执行任何其它访问操作。在此情况下将可任选的重复参数设置为10次,以表示第三方提供者可使用相同权证至多十次以访问用户数据。
根据某些实施例,可按其它方式实现时间戳有效期,诸如代替定义有效时间期限范围的有效期期限(日期和时间)。此外,可将更复杂的表达式包括在权证中以表达相对更为灵活的限制。例如,可使用类似&(时间.小时<8)(用户.开始于(“a*”)(用户.角色.包括(CEO))的表达式来提供时间有效期、用户标识(或名称)类别、以及用户角色。
根据一个实施例,可向第三方提供在将权证移交给另一第三方之前进一步限制该权证的能力。因此,如果一个第三方需要使用来自另一第三方的某些服务,则它们可选择创建进一步受限的令牌(或该服务可这样做)以使得权证包括多个受限用户标识、或源自超过一个域的受限角色标识。
出于说明的目的,在图2、4、5、以及6中所述的示例系统、服务、权证、以及操作是示例性的。使用此处所述的原理,可使用额外或较少的组件和元件来实现在基于web的服务环境中提供可传递受限安全权证的系统。
图7是其中可以实现各实施例的示例联网环境。可在多个物理和虚拟的客户机和服务器上以分布式方式实现提供第三方提供者的受限安全令牌的基于web的服务。该服务还可以在非群集系统或利用通过一个或多个网络(例如,网络770)通信的多个节点的群集系统中实现。
这种系统可以包括服务器、客户机、因特网服务提供者、以及通信介质的任何拓扑结构。同样,系统可以具有静态或动态拓扑结构。术语“客户机”可以表示客户机应用程序或客户机设备。尽管实现可传递受限安全权证可以涉及更多组件,但相关组件仍然结合此图来讨论。
用户可使用各个客户机设备761-763来访问基于web的服务。可由诸如web服务器772等一个或多个服务器来管理基于web的服务。可将用于与基于web的服务相关联的各种目的的数据存储在数据存储776中,该数据存储776可被数据库服务器774直接访问或管理。补充由web服务器772(以及相关联的服务器)提供的服务的第三方服务可使用如前所述的可传递受限安全权证来访问基于web的服务并执行被集成到基于web的服务中的子进程。
网络770可以包括诸如企业网络等安全网络、诸如无线开放网络等非安全网络、或因特网。网络770提供此处描述的节点之间的通信。作为示例而非局限,网络770可以包括诸如有线网络或直接线连接等有线介质,以及诸如声学、RF、红外线和其它无线介质等无线介质。
可以利用计算设备、应用程序、数据资源、数据分布系统的许多其它配置来实现基于web的服务环境中的可转移受限安全权证。此外,图7中所讨论的联网环境仅用于说明目的。各实施例不限于示例应用程序、模块、或过程。
图8及相关联的讨论旨在提供对适于在其中实现各实施例的计算环境的简要概括描述。参考图8,示出了诸如计算设备800等示例计算操作环境的框图。在基本配置中,计算设备800可以是服务器,其提供与允许第三方提供者通过受限安全权证访问数据的基于web的服务相关联的服务并通常包括至少一个处理单元802和系统存储器804。计算设备800还可包括协作执行程序的多个处理单元。取决于计算设备的确切配置和类型,系统存储器804可以是易失性的(诸如RAM)、非易失性的(诸如ROM、闪存等)或是两者的某种组合。系统存储器804通常包括适于控制联网的个人计算机的运作的操作系统805,诸如来自华盛顿州雷德蒙市的微软公司的WINDOWS操作系统。系统存储器804还可以包括一个或多个软件应用程序,诸如程序模块808和、web服务822、以及安全模块824。
web服务822可以是单独的应用程序或是向与计算设备800相关联的客户机应用程序提供数据和处理服务的主存的基于web的服务应用程序的整合模块。如前所述,安全模块824可提供与确保对由用户和/或第三方提供的数据的安全访问相关联的服务以实现受限安全权证。该基本配置在图8中由虚线806内的组件示出。
计算设备800可具有附加的特征或功能。例如,计算设备800还可包括附加的数据存储设备(可移动和/或不可移动),诸如例如磁盘、光盘或磁带。这些其它存储在图8中由可移动存储809和不可移动存储810示出。计算机存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。系统存储器804、可移动存储809和不可移动存储810都是计算机存储介质的示例。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存储所需信息且可以由计算设备800访问的任何其它介质。任何这样的计算机存储介质都可以是设备800的一部分。计算设备800也可具有诸如键盘、鼠标、笔、语音输入设备、触摸输入设备等的输入设备812。还可包括输出设备814,如显示器、扬声器、打印机等。这些设备在本领域中公知且无需在此处详细讨论。
计算设备800还可以包含允许该设备诸如在分布式计算环境中,例如在内联网或互联网中通过无线网络与其它计算设备818通信的通信连接816。其它计算设备818可以包括执行与基于web的服务相关联的应用程序的服务器。通信连接816是通信介质的一个示例。通信介质通常由诸如载波或其它传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据来体现,并包括任何信息传递介质。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作为示例而非限制,通信介质包括有线介质,诸如有线网络或直接线连接,以及无线介质,诸如声学、RF、红外线和其它无线介质。如此处所使用的术语计算机可读介质包括存储介质和通信介质两者。
所要求保护的主题还包括各方法。这些方法可以用任何数量的方式,包括本文中所描述的结构来实现。一种此类方式是通过本文中描述的类型的设备的机器操作。
另一可任选方式是结合一个或多个人类操作者执行该方法的各个操作中的某一些来执行该方法的一个或多个操作。这些人类操作者无需彼此同在一处,但是其每一个可以仅与执行程序的一部分的机器同在一处。
图9示出使用用于允许由基于web的服务中的第三方提供者访问用户数据的受限安全权证的过程(900)的逻辑流程图。过程900可作为CRM服务的一部分来实现。
过程900开始于操作902,其中接收来自第三方提供者的对访问的请求。如前所述,第三方提供者可执行补充由基于web的服务提供的服务的子进程。处理从操作902前进至操作904。
在操作904,从请求中提取安全权证和声明。声明定义所请求的访问的范围。权证包括有效期和限制。权证还可包括定义可使用该同一权证多少次的可任选的重复参数。处理从操作904移动至可任选操作906。
在可任选操作906,认证该权证。可通过诸如受信第三方认证、公/私钥加密、散列消息认证码(HMAC)加密等各种机制来认证权证。在操作906之后,处理移动至操作908。
在操作908,验证权证的时间戳。如果时间戳是无效的,则可异常终止该进程并拒绝第三方请求者的访问。处理从操作908移动至操作910。
在操作910,由安全模块加载用户角色。处理从操作910前进至操作912,在那里还由安全模块加载限制角色。
在操作912之后的操作914处,使用户角色和限制角色的相交以确定可应用到进行请求的第三方提供者的限制。处理从操作914前进至操作916。
在操作916,基于根据限制角色和用户角色的相交确定的限制(以及在权证中定义的有效期)向进行请求的第三方提供者授予访问权。在操作916之后,处理移动至调用进程以进行进一步动作。
包括在过程900内的各操作仅出于说明目的。可通过具有较少或额外步骤、以及按使用此处所述的原理的不同次序的操作的类似过程来实现使用用于允许在web服务中对第三方的访问的可传递受限安全权证。
以上说明、示例和数据提供了对各实施例成分的制造和使用的全面描述。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述特定特征或动作。相反,上述具体功能部件和动作是作为实现权利要求和各实施例的示例形式而公开的。
Claims (20)
1.一种用于安全地处理对基于web的服务环境(104)中的用户数据的第三方访问请求的至少部分在计算设备(800)中执行的方法,所述方法包括:
从第三方提供者(106)处接收(902)访问请求,其中所述请求与补充基于web的服务的进程的子进程相关联;
从所述请求提取(904)权证(218)和声明,其中所述权证(218)包括有效期参数和限制角色(324,326);
验证(908)所述权证(218)未过期;
加载(910)与所述权证(218)相关联的至少一个用户角色(322);
基于使所述限制角色(324,326)与所述至少一个用户角色(322)相交来确定(912,914)用于所述请求的访问限制;以及
基于所述被确定的访问限制来允许(916)所述第三方访问所述用户数据。
2.如权利要求1所述的方法,其特征在于,所述权证(218)与所述第三方提供者(106)的域名相关联。
3.如权利要求1所述的方法,其特征在于,还包括:
在确定所述访问限制之前认证(906)所述权证(218)。
4.如权利要求3所述的方法,其特征在于,采用数字签名来认证所述权证(218)。
5.如权利要求4所述的方法,其特征在于,使用所述数字签名来验证所述声明。
6.如权利要求3所述的方法,其特征在于,采用散列消息认证码(HMAC)来认证所述权证(218)。
7.如权利要求6所述的方法,其特征在于,所述权证(218)还包括密钥指示符和组织标识符中的至少一个。
8.如权利要求6所述的方法,其特征在于,还包括:
通过将一位添加到所述权证(218)的所述HMAC部分来将所述权证(218)限制于具体动作。
9.如权利要求1所述的方法,其特征在于,所述权证(218)还包括定义可使用所述权证(218)多少次来访问所述用户数据的重复参数。
10.如权利要求1所述的方法,其特征在于,使所述限制角色(324、326)与所述至少一个用户角色(322)相交(914)包括选择在所述角色中定义的限制中较严格的一个。
11.如权利要求1所述的方法,其特征在于,还包括:
应用除选择在所述角色中定义的限制中较严格的一个之外的预定义规则。
12.一种用于安全地处理对基于web的CRM服务环境中的用户数据的第三方访问请求的系统,包括:
至少一个CRM web服务器(772),其被配置成:
从第三方提供者(106)处接收(902)访问请求,其中所述请求与补充基于web的CRM服务的进程的子进程相关联;
从所述请求中提取(904)权证(218),其中所述权证(218)与所述第三方提供者(106)的域名相关联并包括有效期参数和限制参数;
验证(908)所述权证(218)未过期;
基于所述限制参数确定(910,912,914)用于所述请求的访问限制,其中所述访问限制与正为其执行所述子进程的用户(102)的访问限制不同;以及
基于所述被确定的访问限制来允许(916)所述第三方访问所述用户数据。
13.如权利要求12所述的系统,其特征在于,所述至少一个CRM web服务器(772)还被配置成:
基于所述限制参数创建具有相关联的限制角色(324、326)的受限用户/域;以及
基于使所述相关联的限制角色(324、326)与用户角色(322)相交(914)来确定所述访问限制。
14.如权利要求12所述的系统,其特征在于,所述至少一个CRM web服务器(772)还被配置成:
从所述权证(218)中检索限制角色(324、326)的列表;
加载与所述子进程相关联的用户角色(322);以及
基于使所述限制角色(324、326)与所述被加载的用户角色(322)相交(914)来确定所述访问限制。
15.如权利要求14所述的系统,其特征在于,每一限制角色(324、326)和所述用户角色(322)包括定义对所述用户数据的访问许可级别的特权深度,且通过选择所述相交角色的特权深度中较严格的一个来确定所述访问限制。
16.如权利要求12所述的系统,其特征在于,所述CRM web服务器(772)还被配置成提供用于配置所述限制角色(324、326)和所述用户角色(322)的所述特权深度的图形用户界面(GUI)。
17.如权利要求12所述的系统,其特征在于,基于所述基于web的CRM服务的客户组织的分层结构来定义被分配到与所述子进程相关联的用户角色(322)的至少一个限制。
18.一种其上存储有用于安全地处理对基于web的服务环境(104)中的用户数据的第三方访问请求的指令的计算机可读存储介质,所述指令包括:
从第三方提供者(106)处接收(902)访问请求,其中所述请求与补充基于web的服务的进程的子进程相关联;
从所述请求中提取(904)权证(218)和声明,其中所述权证(218)与所述第三方提供者(106)的域名相关联并包括有效期参数、限制角色(324、326)、以及重复参数;
在确定所述访问限制之前认证(906)所述权证(218)
验证(908)所述权证(218)未过期;
加载(910)与所述权证(218)相关联的至少一个用户角色(322)
基于使所述限制角色(324,326)与所述至少一个用户角色(322)相交来确定(914)用于所述请求的访问限制;
基于所述被确定的访问限制来允许(916)所述第三方访问所述用户数据。
19.如权利要求18所述的计算机可读存储介质,其特征在于,确定(914)所述限制角色(324、326)和所述至少一个用户角色(322)包括选择在所述角色中定义的限制中较严格的一个并应用预定义规则。
20.如权利要求18所述的计算机可读存储介质,其特征在于,所述访问包括下组中的至少一个:创建新记录、删除现存记录、修改现存记录、更新现存记录、检索与执行所述子进程相关联的操作参数、以及修改与所述用户数据相关联的模式。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/848,464 US8332922B2 (en) | 2007-08-31 | 2007-08-31 | Transferable restricted security tokens |
| US11/848,464 | 2007-08-31 | ||
| PCT/US2008/073411 WO2009032511A2 (en) | 2007-08-31 | 2008-08-17 | Transferable restricted security tokens |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101785243A true CN101785243A (zh) | 2010-07-21 |
| CN101785243B CN101785243B (zh) | 2012-08-15 |
Family
ID=40409674
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801052063A Expired - Fee Related CN101785243B (zh) | 2007-08-31 | 2008-08-17 | 可传递受限安全令牌 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8332922B2 (zh) |
| EP (1) | EP2186254A2 (zh) |
| JP (1) | JP2010538365A (zh) |
| KR (1) | KR101486613B1 (zh) |
| CN (1) | CN101785243B (zh) |
| BR (1) | BRPI0813798A2 (zh) |
| RU (1) | RU2010107230A (zh) |
| WO (1) | WO2009032511A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685089A (zh) * | 2010-09-30 | 2012-09-19 | 微软公司 | 用于企业应用的可信设备声明 |
| CN104518878A (zh) * | 2014-12-11 | 2015-04-15 | 飞天诚信科技股份有限公司 | 一种动态令牌的有效期的控制方法 |
| CN105723376A (zh) * | 2013-11-04 | 2016-06-29 | 谷歌公司 | 用于基于声誉信息验证用户的系统和方法 |
| CN106487770A (zh) * | 2015-09-01 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 鉴权方法及鉴权装置 |
| CN107622210A (zh) * | 2017-09-22 | 2018-01-23 | 天逸财金科技服务股份有限公司 | 身份认证及授权证明之资料查询方法与系统 |
| CN110737905A (zh) * | 2019-09-19 | 2020-01-31 | 深圳市先河系统技术有限公司 | 数据授权方法、数据授权装置及计算机存储介质 |
Families Citing this family (60)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
| US9477941B2 (en) * | 2008-06-24 | 2016-10-25 | Intelius, Inc. | Genealogy system for interfacing with social networks |
| US8646048B2 (en) * | 2010-03-31 | 2014-02-04 | saleforce.com, inc | System, method and computer program product for authenticating and authorizing an external entity |
| US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
| US9258312B1 (en) | 2010-12-06 | 2016-02-09 | Amazon Technologies, Inc. | Distributed policy enforcement with verification mode |
| FR2972830B1 (fr) * | 2011-03-15 | 2014-01-10 | Affiliated Computer Services Solutions France | Systeme de controle de validation de titres de transport |
| US8769642B1 (en) | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
| US8973108B1 (en) | 2011-05-31 | 2015-03-03 | Amazon Technologies, Inc. | Use of metadata for computing resource access |
| US20120325784A1 (en) * | 2011-06-24 | 2012-12-27 | Applied Materials, Inc. | Novel thermal processing apparatus |
| JP5743786B2 (ja) * | 2011-07-28 | 2015-07-01 | キヤノン株式会社 | サーバー装置、情報処理方法及びプログラム |
| US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
| US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
| US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
| US9026784B2 (en) * | 2012-01-26 | 2015-05-05 | Mcafee, Inc. | System and method for innovative management of transport layer security session tickets in a network environment |
| US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
| US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
| US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
| US9407443B2 (en) | 2012-06-05 | 2016-08-02 | Lookout, Inc. | Component analysis of software applications on computing devices |
| US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
| US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
| EP2683127A1 (en) * | 2012-07-05 | 2014-01-08 | Alcatel-Lucent | Voucher authorization for cloud server |
| US9264413B2 (en) * | 2012-12-06 | 2016-02-16 | Qualcomm Incorporated | Management of network devices utilizing an authorization token |
| US9276958B2 (en) * | 2013-02-04 | 2016-03-01 | Ricoh Company, Ltd. | Customizing security role in device management system, apparatus and method |
| US9838375B2 (en) * | 2013-02-28 | 2017-12-05 | Microsoft Technology Licensing, Llc | RESTlike API that supports a resilient and scalable distributed application |
| US9686284B2 (en) | 2013-03-07 | 2017-06-20 | T-Mobile Usa, Inc. | Extending and re-using an IP multimedia subsystem (IMS) |
| US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
| US20160132561A1 (en) * | 2013-06-28 | 2016-05-12 | Hewlett-Packard Development Company, L.P. | Expiration tag of data |
| US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
| US9456003B2 (en) | 2013-07-24 | 2016-09-27 | At&T Intellectual Property I, L.P. | Decoupling hardware and software components of network security devices to provide security software as a service in a distributed computing environment |
| US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
| US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
| WO2015051221A1 (en) * | 2013-10-04 | 2015-04-09 | Bio-Key International, Inc. | User controlled data sharing platform |
| US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
| US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
| US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
| US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
| US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
| US9262642B1 (en) | 2014-01-13 | 2016-02-16 | Amazon Technologies, Inc. | Adaptive client-aware session security as a service |
| WO2015138232A1 (en) | 2014-03-10 | 2015-09-17 | Bio-Key International, Inc. | Improved utilization of biometric data |
| US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
| US10025831B2 (en) | 2014-05-15 | 2018-07-17 | Bio-Key International, Inc. | Adaptive short lists and acceleration of biometric database search |
| US10313264B2 (en) * | 2014-05-28 | 2019-06-04 | Apple Inc. | Sharing account data between different interfaces to a service |
| US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
| US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
| US9600327B2 (en) * | 2014-07-10 | 2017-03-21 | Oracle International Corporation | Process scheduling and execution in distributed computing environments |
| JP5980301B2 (ja) * | 2014-09-04 | 2016-08-31 | ペンタ・セキュリティ・システムズ・インコーポレーテッド | データ大量流出防止のためのデータアクセス制御及び暗号化方法並びにこれを実行する装置 |
| US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
| US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
| US10402549B1 (en) * | 2015-12-17 | 2019-09-03 | Symantec Corporation | Systems and methods for creating validated identities for dependent users |
| US9973499B2 (en) * | 2016-01-26 | 2018-05-15 | Blackridge Technology Holdings, Inc. | Method for statistical object indentification |
| US10205786B2 (en) | 2016-04-22 | 2019-02-12 | Microsoft Technology Licensing, Llc | Multi-user application executing in user privilege mode |
| US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
| US10311248B1 (en) * | 2017-01-27 | 2019-06-04 | Intuit Inc. | Managing delegated access permissions |
| US10218697B2 (en) | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
| US10742646B2 (en) | 2018-05-10 | 2020-08-11 | Visa International Service Association | Provisioning transferable access tokens |
| US11032287B1 (en) * | 2018-07-02 | 2021-06-08 | Amazon Technologies, Inc. | Delegated administrator with defined permission boundaries in a permission boundary policy attachment for web services and resources |
| US10715996B1 (en) | 2019-06-06 | 2020-07-14 | T-Mobile Usa, Inc. | Transparent provisioning of a third-party service for a user device on a telecommunications network |
| US11893526B2 (en) | 2019-11-27 | 2024-02-06 | Amazon Technologies, Inc. | Customer contact service with real-time supervisor assistance |
| US20210157834A1 (en) * | 2019-11-27 | 2021-05-27 | Amazon Technologies, Inc. | Diagnostics capabilities for customer contact services |
| US11862148B2 (en) | 2019-11-27 | 2024-01-02 | Amazon Technologies, Inc. | Systems and methods to analyze customer contacts |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US713663A (en) * | 1902-03-10 | 1902-11-18 | Harry Mills | Rotary engine. |
| US6263436B1 (en) * | 1996-12-17 | 2001-07-17 | At&T Corp. | Method and apparatus for simultaneous electronic exchange using a semi-trusted third party |
| US6279111B1 (en) * | 1998-06-12 | 2001-08-21 | Microsoft Corporation | Security model using restricted tokens |
| US6308274B1 (en) * | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Least privilege via restricted tokens |
| US6718328B1 (en) * | 2000-02-28 | 2004-04-06 | Akamai Technologies, Inc. | System and method for providing controlled and secured access to network resources |
| AU8475401A (en) * | 2000-08-08 | 2002-02-18 | Wachovia Corp | Internet third-party authentication using electronic tickets |
| US20020120697A1 (en) * | 2000-08-14 | 2002-08-29 | Curtis Generous | Multi-channel messaging system and method |
| WO2002101524A2 (en) * | 2001-06-11 | 2002-12-19 | Matsushita Electric Industrial Co., Ltd. | License management server, license management system and usage restriction method |
| US20030065789A1 (en) * | 2001-09-28 | 2003-04-03 | Gopinath Meghashyam | Seamless and authenticated transfer of a user from an e-business website to an affiliated e-business website |
| CA2364628A1 (en) * | 2001-12-04 | 2003-06-04 | Kevin W. Jameson | Collection role changing gui |
| US20030163693A1 (en) * | 2002-02-28 | 2003-08-28 | General Instrument Corporation | Detection of duplicate client identities in a communication system |
| JP2003330896A (ja) | 2002-05-13 | 2003-11-21 | Sony Corp | 情報処理装置および方法、情報処理システム、記録媒体、並びにプログラム |
| US7296154B2 (en) * | 2002-06-24 | 2007-11-13 | Microsoft Corporation | Secure media path methods, systems, and architectures |
| US7010565B2 (en) * | 2002-09-30 | 2006-03-07 | Sampson Scott E | Communication management using a token action log |
| US7568218B2 (en) * | 2002-10-31 | 2009-07-28 | Microsoft Corporation | Selective cross-realm authentication |
| US7178163B2 (en) * | 2002-11-12 | 2007-02-13 | Microsoft Corporation | Cross platform network authentication and authorization model |
| US7444519B2 (en) * | 2003-09-23 | 2008-10-28 | Computer Associates Think, Inc. | Access control for federated identities |
| US7950000B2 (en) * | 2004-03-17 | 2011-05-24 | Microsoft Corporation | Architecture that restricts permissions granted to a build process |
| US7693797B2 (en) * | 2004-06-21 | 2010-04-06 | Nokia Corporation | Transaction and payment system security remote authentication/validation of transactions from a transaction provider |
| US7562092B2 (en) * | 2004-12-22 | 2009-07-14 | Microsoft Corporation | Secured views for a CRM database |
| US20060136361A1 (en) * | 2004-12-22 | 2006-06-22 | Microsoft Corporation | Extensible, customizable database-driven row-level database security |
| US7900247B2 (en) * | 2005-03-14 | 2011-03-01 | Microsoft Corporation | Trusted third party authentication for web services |
| KR100635280B1 (ko) * | 2005-04-27 | 2006-10-19 | 삼성전자주식회사 | 전자 서명을 이용한 보안 방법 |
| JP5144685B2 (ja) * | 2007-02-12 | 2013-02-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 移動ネットワークにおけるシグナリング委任 |
-
2007
- 2007-08-31 US US11/848,464 patent/US8332922B2/en not_active Expired - Fee Related
-
2008
- 2008-08-17 KR KR1020107001623A patent/KR101486613B1/ko active IP Right Grant
- 2008-08-17 WO PCT/US2008/073411 patent/WO2009032511A2/en active Application Filing
- 2008-08-17 JP JP2010523031A patent/JP2010538365A/ja not_active Withdrawn
- 2008-08-17 CN CN2008801052063A patent/CN101785243B/zh not_active Expired - Fee Related
- 2008-08-17 BR BRPI0813798-6A2A patent/BRPI0813798A2/pt not_active IP Right Cessation
- 2008-08-17 EP EP08798054A patent/EP2186254A2/en not_active Withdrawn
- 2008-08-17 RU RU2010107230/08A patent/RU2010107230A/ru unknown
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685089A (zh) * | 2010-09-30 | 2012-09-19 | 微软公司 | 用于企业应用的可信设备声明 |
| CN102685089B (zh) * | 2010-09-30 | 2016-01-27 | 微软技术许可有限责任公司 | 用于企业应用的可信设备声明的方法和客户机设备 |
| CN105723376A (zh) * | 2013-11-04 | 2016-06-29 | 谷歌公司 | 用于基于声誉信息验证用户的系统和方法 |
| CN104518878A (zh) * | 2014-12-11 | 2015-04-15 | 飞天诚信科技股份有限公司 | 一种动态令牌的有效期的控制方法 |
| CN104518878B (zh) * | 2014-12-11 | 2018-01-12 | 飞天诚信科技股份有限公司 | 一种动态令牌的有效期的控制方法 |
| CN106487770A (zh) * | 2015-09-01 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 鉴权方法及鉴权装置 |
| CN106487770B (zh) * | 2015-09-01 | 2019-07-30 | 阿里巴巴集团控股有限公司 | 鉴权方法及鉴权装置 |
| CN107622210A (zh) * | 2017-09-22 | 2018-01-23 | 天逸财金科技服务股份有限公司 | 身份认证及授权证明之资料查询方法与系统 |
| CN110737905A (zh) * | 2019-09-19 | 2020-01-31 | 深圳市先河系统技术有限公司 | 数据授权方法、数据授权装置及计算机存储介质 |
| CN110737905B (zh) * | 2019-09-19 | 2021-11-23 | 深圳市先河系统技术有限公司 | 数据授权方法、数据授权装置及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101486613B1 (ko) | 2015-01-27 |
| KR20100045442A (ko) | 2010-05-03 |
| EP2186254A2 (en) | 2010-05-19 |
| US8332922B2 (en) | 2012-12-11 |
| RU2010107230A (ru) | 2011-09-10 |
| CN101785243B (zh) | 2012-08-15 |
| BRPI0813798A2 (pt) | 2014-12-30 |
| JP2010538365A (ja) | 2010-12-09 |
| US20090064303A1 (en) | 2009-03-05 |
| WO2009032511A2 (en) | 2009-03-12 |
| WO2009032511A3 (en) | 2009-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101785243B (zh) | 可传递受限安全令牌 | |
| US11212268B2 (en) | Method and system for identity and access management for blockchain interoperability | |
| Ammi et al. | Customized blockchain-based architecture for secure smart home for lightweight IoT | |
| Zissis et al. | Addressing cloud computing security issues | |
| US7293098B2 (en) | System and apparatus for storage and transfer of secure data on web | |
| Hu et al. | Dynamic, context-aware access control for distributed healthcare applications | |
| CN104838630B (zh) | 基于策略的应用程序管理 | |
| CN102299915B (zh) | 基于网络层声明的访问控制 | |
| US7996885B2 (en) | Password application | |
| US20100299738A1 (en) | Claims-based authorization at an identity provider | |
| US20080052775A1 (en) | Secure Cookies | |
| US20080097998A1 (en) | Data file access control | |
| US20090100268A1 (en) | Methods and systems for providing access control to secured data | |
| US20040088560A1 (en) | Secure system access | |
| US11531929B2 (en) | Systems and methods for machine generated training and imitation learning | |
| CN104718526A (zh) | 安全移动框架 | |
| CN102299914A (zh) | 用于启用网络层声明的访问控制的可信中介 | |
| CN103778379B (zh) | 管理设备上的应用执行和数据访问 | |
| Rahman et al. | Protecting personal data using smart contracts | |
| Barati et al. | Privacy‐aware cloud ecosystems: Architecture and performance | |
| Transaction et al. | Blockchain: Opportunities for health care | |
| Abdul et al. | Enhancing Security of Mobile Cloud Computing by Trust‐and Role‐Based Access Control | |
| Fægri et al. | A software product line reference architecture for security | |
| Basso et al. | Requirements, design and evaluation of a privacy reference architecture for web applications and services | |
| Haidar et al. | Audited credential delegation: a usable security solution for the virtual physiological human toolkit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150421 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150421 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120815 Termination date: 20200817 |