CN102449976B - 用于访问私人数字内容的系统和方法 - Google Patents
用于访问私人数字内容的系统和方法 Download PDFInfo
- Publication number
- CN102449976B CN102449976B CN201080023487.5A CN201080023487A CN102449976B CN 102449976 B CN102449976 B CN 102449976B CN 201080023487 A CN201080023487 A CN 201080023487A CN 102449976 B CN102449976 B CN 102449976B
- Authority
- CN
- China
- Prior art keywords
- token
- content
- server
- client computer
- private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
一种用于提供访问由所有者拥有并安装在内容服务器上的私人数字内容的方法,其中内容管理服务器具有潜在地对私人内容感兴趣的多个客户机,该方法包括在内容管理服务器处执行的下列步骤:被告知所有者已经在内容服务器上安装私人内容;从内容服务器获得委托令牌;从内容管理服务器的多个客户机中的客户机接收用于私人数字内容的查询;利用使客户机能够访问私人内容的委托令牌给所述客户机提供令牌。
Description
技术领域
本发明涉及用于访问私人(private)数字内容的系统和方法、内容管理服务器、安全内容服务器、和用于安全通信的方法。
背景技术
存在开放认证(OAuth)协议(见OAuth规范1.0,可从http://oauth.net/license/core/1.0处获得)以处理网络上多方之间的用户凭证。此外,存在多个基于令牌的共享方案,其中共享方案能够在与上述OAuth系统相似的网络实体之间进行内容共享。例如,脸谱(Facebook)、Flickr、谷歌(Google)、Smugmug和Photobucket都使用令牌进行认证。
发明内容
根据本发明的实施方式,提供了用于共享私人内容的改进的方法和系统,其可为私人内容的所有者提供便利,并提供充分安全性。
根据本发明的一个实施方式,提供一种用于提供对由所有者拥有且安装在内容服务器上的私人数字内容的访问的方法,其中内容管理服务器具有多个潜在地对私人内容感兴趣的客户机,该方法包括在内容管理服务器处执行的下列步骤:
被告知所有者已经在内容服务器上安装私人内容;
从内容服务器获得委托令牌(delegate token);
从内容管理服务器的多个客户机中的一个客户机接收用于私人数字内容的查询;
使用能够使客户机访问私人内容的委托令牌给所述客户机提供令牌。
在本发明的上下文中,应当广义地将内容管理服务器理解为涉及能够管理例如多个用户的公共和/或私人共享的和/或私人不共享的诸如图像、视频等的数字内容的任何服务器。内容自身可存储在本地或存储在远程位置。这种内容管理服务器的实例是,例如由像Flickr、TourTube等的内容提供商、诸如PeCMan、SecondBrain、iGoogle的任意类型的内容集合器(aggregator)、任意类型的所有者代理(具有选择代理功能的代理)等使用的简单的内容管理服务器。这样的内容管理服务器的优选实施方式可适于允许对内容作标记。
在本发明的上下文中,内容服务器典型地涉及安全内容服务器,并且例如可以是安全网络服务器。其它实例为具有共享文件能力的本地磁盘,在其上安装服务器程序使得将计算机用作内容服务器的任意计算机等。
在本发明的上下文中,令牌是在对令牌请求者的多个凭证(credential)进行验证的基础上产生的值。该值典型地是由内容服务器随机产生的多个字符的字符串。
根据本发明的优选实施方式,在私人数字内容所有者的帮助下产生委托令牌并且委托令牌用于代表内容所有者讲话(speak for)。通过内容管理服务器来获得委托令牌,包括例如:
从内容服务器获得第一令牌T1;
请求所有者对第一令牌进行授权(authorize);
接收经过授权的第一令牌;
请求通过内容服务器将经过授权的第一令牌替换为第二令牌T2,其中所述第二令牌T2形成委托令牌。第一令牌典型地会是所谓的请求令牌,其中请求令牌是由客户机(这里是内容管理服务器)用于从所有者获得授权的值,并且可替换为典型地称为访问令牌的第二令牌,其中访问令牌是由客户机(内容管理服务器)使用以代表所有者增加对保护内容的访问,而不使用所有者的内容服务器凭证。
根据可能的实施方式,使用委托令牌给所述客户机提供令牌包括由内容管理服务器执行的下列步骤:
将用于把委托令牌替换为客户机访问令牌T3的请求发送给内容服务器;
接收访问令牌T3;和
将访问令牌T3转发给客户机。
相比于委托令牌允许的权利,最新创建的访问令牌T3典型地具有相同或较少的权利。该方法的优势是客户机不必向内容服务器注册。
根据可替换的实施方式,使用委托令牌给所述客户机提供令牌包括由内容管理服务器执行的下列步骤:
从客户机接收请求令牌T4;
使用委托令牌对所述令牌进行授权;
将所述经过授权的请求令牌T4发送给客户机,能够使客户机通过内容服务器将该经过认证的请求令牌换为访问令牌。
根据本发明的另一方面,提供一种用于通过内容管理服务器的客户机获得私人数字内容的方法,其中私人内容由所有者拥有并且私人内容被安装在内容服务器上,包括由客户机执行的下列步骤:
将用于获得私人数字内容的请求发送给具有与数字私人内容相关联的委托令牌的内容管理服务器;
从内容管理服务器获得使用委托令牌产生的并允许客户机访问私人数字内容的令牌;
访问私人数字内容。
根据第一实施例,从内容管理服务器获得令牌在于获得由内容管理服务器之前根据其委托令牌通过内容服务器已经获得的访问令牌T3。
根据第二实施例,从内容管理服务器获得令牌可以包括由客户机执行的下列步骤:
将用于令牌的请求发送给内容服务器;
从内容服务器接收请求令牌T4;
将接收的请求令牌发送给内容管理服务器以进行授权;
通过内容管理服务器使用其委托令牌来接收请求令牌;
将该经过授权的请求令牌发送给内容服务器;以及
从内容服务器接收能够使客户机访问私人内容的访问令牌T5。
根据本发明的另一方面,提供一种用于提供对私人数字内容的访问的方法,其中私人数字内容由所有者拥有并且被安装在内容服务器上,所述方法包括在内容服务器执行的下列步骤:
为内容管理服务器产生由用户授权的委托令牌;
将所述委托令牌发送给内容管理服务器。
根据优选实施方式,一个或多个标准的开放认证呼叫用于执行方法步骤。
根据本发明系统的实施方式,系统包括:内容管理服务器,其具有拥有存储在内容服务器上的数字私人内容的第一客户机(primary client);和多个第二客户机(secondaryclient);其中内容管理服务器适于从内容服务器获得与数字私人内容相关联的委托令牌,并适于使用能够使第二客户机访问数字私人内容的委托令牌将令牌传递给第二客户机;以及
第二客户机适于将传递的令牌提供给内容服务器以用于获得对数字私人内容的访问。
根据优选实施方式,第一客户机进一步适于对通过内容服务器从内容管理服务器接收的请求令牌进行认证;所述内容管理服务器于是可以进一步适于接收经过授权的请求令牌,并使用所述经过授权的请求令牌来获得委托令牌。
根据本发明的另一方面,提供一种用于组织多个客户机的私人数字内容的内容管理服务器,第一客户机拥有存储在内容服务器上的数字私人内容,所述内容管理服务器适于从内容服务器获得与所有者客户机的数字私人内容相关联的委托令牌,并使用委托令牌将令牌传递给第二客户机以使第二客户机能够访问所有者客户机的私人内容。根据示例性实施方式,内容管理服务器是诸如PeCMan服务器的内容集合器。
根据另一开发的实施方式,内容管理服务器进一步适于将与私人内容相关的令牌提供给客户机,其中相比于委托令牌,与私人内容相关的令牌具有相同或较少的访问权利。
根据本发明的另一方面,提供一种存储所有者的私人数字内容的诸如安全网络服务器的内容服务器,适于
从内容管理服务器接收由所有者授权的请求令牌,
将该经授权的请求令牌换为委托令牌,以及
将委托令牌发送给内容管理服务器。
最后,本发明涉及计算机程序产品,包括当程序在计算机上运行时用于执行本发明任一方法的计算机可执行指令。
根据本发明的实施方式,提供一种开放认证协议方法,其扩展为支持将委托令牌传递给管理服务器,例如PeCMan服务器、用户代理或任何其它适合的实体。在私人数字内容的所有者的帮助下产生这些委托令牌,并将这些委托令牌用于代表内容所有者讲话。在这种方式下,每次第二客户机请求访问私人数字内容时,所有者不必将所有者凭证提供给私人内容网络服务器,可以由管理服务器提供委托令牌,而不必需要所有者干预。当管理服务器获得委托令牌时,所有者将仅干预一次。优势是第二客户机可以访问私人内容而不用持有所有者的用户凭证。当该方法应用于PeCMan中时,PeCMan服务器不要求现有技术方法中的用于共享私人内容的代理功能。
根据本发明的实施方式,已经利用认证委托(delegate)操作来扩展OAuth协议方法以使诸如PeCMan或用户代理的内容管理器能够代表内容所有者讲话。因此:当客户机在存储提供商处存储私人内容时,其安排创建进行存储的具有URL的长期委托令牌。如果通过内容管理器共享私人数据,该委托令牌可用于OAuth协议以对请求令牌进行认证。
根据本发明的另一实施方式,提供一种持有用于私人内容的委托令牌的内容管理服务器,例如PeCMan服务器或用户代理。根据可能的实施方式,内容管理服务器适于对来自第二客户机的请求令牌进行授权,利用该请求令牌,所述第二客户机可访问诸如安全网站的私人内容位置上的数据,而不用再进一步牵扯所有者。
根据本发明的一个实施方式,提供一种使用扩展的OAuth协议以支持将认证授权从内容所有者委托给诸如PeCMan服务器或用户代理的内容管理服务器的系统。更具体地,内容所有者能够将用于网络服务器认证的责任委托给内容管理服务器,从而当与朋友、伙伴、或其它有关方共享内容时,内容所有者不必对自己进行认证,并且甚至不用出现。
根据本发明的一个实施方式,提供一种使用通过委托认证授权的过程来扩展的OAuth协议的方法,包括在内容所有者、私人内容服务器和内容管理服务器之间共享的委托令牌的概念。当第二客户机需要访问私人内容时,内容管理服务器可以提供其委托令牌以作为内容所有者已授权内容管理服务器代表其讲话的证据。典型地,内容管理服务器可作为原始内容所有者的代理。
根据另一实施方式,新的OAuth委托机制意味着内容管理服务器可以增强其自身在内容上的访问控制策略,其中内容通过内容管理服务器进行共享。委托令牌能够以特定访问权利来访问私人共享的内容。根据可能的实施方式,内容管理服务器适于限制这些访问权利。
附图说明
附图用于解释本发明目前优选的非限制性的示例性实施方式。通过下面的详细描述,并结合附图进行阅读,本发明的上述和其它有益特点和目标会变得更加明显并且可以更好地理解本发明,其中:
图1是PeCMan架构的示意图;
图2描述了根据本发明方法的第一实施方式的用于对PeCMan服务器进行委托的呼叫流程;
图3描述了根据本发明方法的第一实施方式的用于通过第二PeCMan客户机获取私人内容的呼叫流程;
图4描述了根据本发明方法的第二实施方式的用于通过第二PeCMan客户机获取私人内容的呼叫流程;
图5描述了根据本发明方法的第三实施方式的用于获取私人内容的呼叫流程;
图6描述了根据本发明方法的第二实施方式的用于对PeCMan服务器进行委托的呼叫流程;
图7描述了根据本发明方法的第四实施方式的用于通过第二PeCMan客户机获取私人内容的呼叫流程;
图8描述了根据本发明方法的第三实施方式的用于对PeCMan服务器进行委托的呼叫流程;
图9描述了根据本发明方法的第五实施方式的用于获取私人内容的呼叫流程。
下面将个人内容管理(PeCMan)服务器作为内容管理服务器来解释本发明,但是本领域技术人员可以理解的是,本发明可以应用于如上定义的任意类型的内容管理服务器(包括所有者的代理)。PeCMan是组织诸如文档、照片、视频等的用户数字内容的网络工具。图1示出了PeCMan架构的示意图。用户通过使用客户机元件3(例如,网络客户机、桌上型客户机或PDA上的客户机等)与系统1进行交互,其中用户以可通过客户机元件3来增加、移动文档或给文档增加标签。服务器元件4接收来自客户机2的输入请求以由系统1进行处理。系统进一步包括元数据部分5,其中元数据部分5用于存储从文档中提取的元数据,或存储用户以标签形式产生的元数据。服务器元件4可以进一步与多个第三方服务器7的第三方服务8进行通信。
例如,用户可以在PeCMan中上载URL,在语义上利用自由格式的标签给信息增加标签,并且稍后通过利用相同的标签查询PeCMan以找回该信息。由于可以利用相同的标签给多个URL增加标签,从而PeCMan可使用户通过一个类似于“虚拟驱动器”的逻辑位置来组织被保持在多个存储器提供商(例如,网络服务器、家庭存储或邮件服务器)上的所有对象。
PeCMan识别三种基准:公共内容、私人非共享内容和私人共享内容。公共内容是指向公众可获得的网络资源的URL。访问这样的内容不需要用户的凭证,其中凭证暗示人们可以容易地将这样的内容与对该内容感兴趣的任何人共享。当在用户之间共享公共信息时,PeCMan简单地将所请求的URL直接发送给发送请求的客户机或第二PeCMan客户机,并且第二PeCMan客户机通过例如WebDAV或HTTP来获取内容。
私人内容通常是仅能通过安全的位置、典型地是通过安全网站(也就是存储器提供商)来访问的内容。为了访问安全存储器提供商7,网络客户机3首先例如通过SSL/TLS来建立安全连接,并且随后提供用户凭证(典型地是用户ID和口令)以对用户进行认证。在用户通过认证后,网络客户机3可以访问私人存储的内容。典型地,在进行寻址的网络服务器7中分配与通信信道相关联的状态。该状态指示网络服务器7,发送请求的网络客户机3已经进行了自我认证。
根据现有技术,为了支持私人非共享和共享内容,PeCMan典型地存储具有被指向的URL的用户凭证。如果对私人内容进行寻址,第二PeCMan客户机3建立与PeCMan 1的通信信道,PeCMan 1从而代表第二PeCMan客户机建立与存储器提供商7的连接,也就是,PeCMan服务器4用作第二PeCMan客户机3的代理。该代理保持与网络服务器7的安全连接,且该代理也是将用户凭证提供给存储器提供商7的代理。PeCMan为共享的和非共享的私人内容基准(reference)进行这些操作。
在用于私人内容的PeCMan中共享数据的所述方法的下一步是将与指向对象相关联的全部数据通过PeCMan代理进行传送。这意味着PeCMan会成为访问私人内容的瓶颈,并且如果费用和通过PeCMan传输的数据相关联,则PeCMan运营商可能遭受用于提供私人内容的巨额费用。此外,由于将意味着用户的用户凭证需要与第二PeCMan客户机共享,因此在网络客户机领域内执行代理不是典型的选择。
开放认证(OAuth)协议是处理网络上多方之间的用户凭证的开放协议(见OAuth规范1.0,可从http://oauth.net/license/core/1.0处获得)。
根据本发明的一个实施方式,将OAuth用于在私人内容提供商和第三方之间共享私人数据,从而第三方在不需要通过基于令牌的认证机制知道用户凭证的情况下可以访问用户的私人数据,其中基于令牌的认证机制在图2和图3中进行解释。
在本发明方法实施方式的第一阶段,通过诸如PeCMan服务器的内容管理服务器获得委托(delegate)令牌,如图2的呼叫流程所示,其中图2示出了用于对PeCMan服务器进行授权以代表内容所有者0进行讲话的示例性委托过程。PeCMan服务器可起到私人内容服务器的客户机的作用,这里是安全网络服务器WS。
在初始阶段I,PeCMan服务器与网络服务器WS建立安全连接,其中在它们之间建立用户密钥(consumer key)Ck和秘密密钥Cs,见箭头200。同样,所有者O直接在网络服务器WS上安装私人内容xyz,见箭头200。典型地,所有者将使用用户名和口令登录安全网络服务器,从而他可以安装私人内容xyz。接下来,所有者O通知PeCMan服务器其已经在受保护的网络服务器上安装了私人内容xyz,见箭头202。
在呼叫流程的阶段A,在接到关于安装了私人内容的通知时,PeCMan服务器将请求令牌并通过所有者对该令牌进行认证。首先,PeCMan服务器从网络服务器WS请求令牌,见箭头206。这可以是标准的OAuth请求呼叫,其包括下列参数:用户密钥Ck(oauth_consumer_key),签名方法Sm(oauth_signature_method),签名S1(oauth_signature),时间戳Ot(oauth_timestamp)和临时信息(nonce)N(oauth_nonce)。例如,可以使用Cs来创建签名S1。典型地,客户机会首先产生时间戳,并且然后为每个请求产生唯一的临时信息值。网络服务器WS随后产生令牌T1(oauth_token)和令牌秘密Ts1(oauth_token_secret),并将这些信息发送给PeCMan服务器,见步骤204。PeCMan服务器随后将重新定向消息发送给所有者(步骤205),以通过将所有者定向到网络服务器WS,从所有者获得批准(approval)。这可以是对于网络服务器的用户认证URL“WS://auth?”的标准OAuth请求,包括令牌T1和回叫(callback)URL C,其中C是网络服务器用于将所有者重新定向回PeCMan服务器的URL。随后将授权请求传递给网络服务器(步骤206),并且网络服务器将对令牌T1进行认证,典型地验证PeCMan服务器的身份,并请求所有者准许(步骤207)。例如,建立与私人内容提供商(网络服务器WS)的安全连接,通过提供PeCMan凭证进行登录并将令牌与安全连接相关联。随后由所有者O利用诸如标准OAuth呼叫的回叫URL通知PeCMan服务器:令牌T1已经通过授权(步骤208)。
PeCMan服务器现在将使用他的第一令牌T1来请求第二令牌(步骤210)。例如,这可以通过使用利用下列参数将请求令牌换成访问令牌的标准OAuth请求来完成,参数包括:用户密钥Ck(oauth_consumer_key)、先前获得的令牌T1(oauth_token)、签名方法Sm(oauth_signature_method)、签名S2(oauth_signature)、时间戳Ot(oauth_tiemstamp)和临时信息N(oauth_nonce)。签名S2例如可以基于Cs和Ts1进行计算。作为响应,由网络服务器WS授予第二令牌T2和令牌秘密Ts2(步骤210)。该第二令牌T2可以用作使第二客户机(访问者)访问所有者的私人内容的委托令牌,这将在图3和图4中进行说明。
私人内容xyz还可由PeCMan服务器通过将令牌T2提供给网络服务器WS来获得,见图2的呼叫流程中的阶段C。这可以通过使用例如包括下列参数的标准访问请求来完成:用户密钥Ck(oauth_consumer_key)、令牌T2(oauth_token)、签名方法Sm(oauth_signature_method)、签名S3(oauth_signature)、时间戳Ot(oauth_tiemstamp)和临时信息N(oauth_nonce)。例如,可以使用Cs和Ts2来计算签名S3。需要注意的是,由于T2还可以仅用作使第二客户机访问所有者私人内容而不会干扰所有者的委托令牌,因此阶段C的步骤不是必须由PeCMan服务器来执行。
在图3中描述了用于通过访问者获取访问令牌的方法的第一实施方式。在第一步骤301,PeCMan客户机将查询发送给PeCMan服务器以获得对特定私人内容的访问。响应于该查询,例如通过使用具有下列参数的请求,PeCMan服务器将令牌请求消息发送给网络服务器,参数包括:用户密钥Ck(oauth_consumer_key)、令牌T2(oauth_token)、签名方法Sm(oauth_signature_method)、签名S3(oauth_signature)、时间戳Ot(oauth_tiemstamp)和临时信息N(oauth_nonce)、访问URL Au(Access_url)、访问权利Ar(Access_rights)、访问时间段At(Access_timePeriod)和访问IP Ai(Access_IP)。签名S3例如可以利用Cs和Ts2来计算。访问URL典型地涉及私人数据的收集,例如包含获取xyz的数据的特定目录。访问权利是涉及内容(读取、修改等)的权利。时间段是令牌有效的时间。访问IP通常是可选的,且涉及访问者的地址。在下面的步骤302中,网络服务器将第三令牌T3和相应的令牌秘密Ts3授予PeCMan服务器,其中PeCMan服务器通知访问者所请求的私人内容xyz与令牌T3和令牌秘密Ts3相关联(步骤303)。访问者现在可以获得私人数据xyz,如步骤304和步骤305所示。这可以通过使用包括例如下列参数的访问请求来完成:访问IP Ai、令牌T3(oauth_token)、签名方法Sm(oauth_signature_method)、签名S4(oauth_signature)、时间戳Ot(oauth_timestamp)和临时信息N(oauth_nonce)。签名S4例如通过使用Ts3来计算。
当相比于原始的令牌2时,最近创建的令牌T3可以具有相同或更少的权利。利用这些得到的访问令牌T3,第二PeCMan客户机可以直接从网络服务器获得内容而不必与所有者交互。
上述实施方式的一个优势是共享其内容的第二客户机不需要向网络服务器注册。通过使PeCMan服务器能够进一步将令牌T3委托给第二客户机(访问者),可将内容与没有向网络服务器WS注册的用户进行共享,而不用将内容完全公开。PeCMan服务器的另一优势是其可以在网络服务器的策略上面加强其自己的策略。利用该实施方式,基于由所有者定义的粒度,PeCMan服务器可以通过特定的网络服务将内容分发或委托给第二用户。当另一客户机请求访问来自所有者的内容时,在发布得到的访问令牌T3之前,PeCMan服务器例如通过检查客户机数据库,验证所有者是否已经将信息与所述第二客户机进行共享。
图4示出了由通过委托令牌访问私人内容的第二PeCMan客户机执行的过程的另一实施方式。第二PeCMan客户机(访问者)通过PeCMan服务器来请求内容(步骤400),并且PeCMan服务器指示可以通过受保护的网络服务器WS来获得内容xyz(步骤401)。典型地,客户机会通过首先尝试访问安全内容来开始,参见建立用户密钥和秘密密钥的步骤402,和请求内容的步骤403。然而,由于内容是仅通过令牌可以访问的私人内容,网络服务器WS对认证失败作出响应(步骤404)。因此,通过使用例如具有下列参数的标准OAuth请求,然后客户机请求并从网络服务器获得令牌T4,参见步骤406和407,其中参数包括:用户密钥Ck2(oauth_consumer_key)、签名方法Sm(oauth_signature_method)、签名S5(oauth_signature)、时间戳Ot(oauth_timestamp)和临时信息N(oauth_nonce)。例如,利用Cs2来计算签名。假设存在用于所述内容的委托令牌,将请求令牌T4提供给用于认证的PeCMan服务器(步骤407)。当PeCMan服务器接收到具有客户机的请求令牌的认证请求时,PeCMan服务器确定谁请求访问内容。如果PeCMan服务器可以授予对客户机的访问,其授权使用其委托令牌T2、委托密秘密Ts2进行访问,参见步骤408。当网络服务器接收基于委托令牌的认证请求时,网络服务器对客户机的请求令牌T4进行认证,参见步骤409。然后,将该请求令牌T4通过PeCMan返回给发送请求的第二客户机,参见步骤410。发送请求(requesting)的客户机在接收到经认证的请求令牌T4时使用标准OAuth过程呼叫来完成该过程(步骤411至步骤414):客户机将经认证的请求令牌T4换为访问令牌T5(步骤411和步骤412),其中消息例如可利用基于Cs2和Ts4计算的签名S6进行签名。然后,可以通过将访问令牌T5提供给网络服务器WS来获得实际的数据xyz,参见步骤413,从而将数据xyz发送给客户机C,参见步骤414。GET消息413例如可以利用基于Cs2和Ts5计算的签名进行签名。
图5描述了本发明方法的更为普通的实施方式,其中均通过认证并对一些内容具有一些权利的客户机和第一服务器S1、第二服务器S2,能够询问各自的访问令牌持有者(从C来看S2是持有者,从S2来看S1是持有者,从S1来看WS是持有者)以获得另一访问令牌,其相比于各自的第一服务器和第二服务器的委托令牌具有相同或更少的权利。服务器S1和S2典型地都是内容管理服务器,例如都可以是PeCMan服务器。S1还可以是本地网站上的内容管理服务器。实施例描述了访问者作为服务器S2的客户机可以对服务器S2进行查询。服务器S2具有用于所请求的内容的委托令牌,并可从内容服务器WS获得用于该内容的访问令牌(参见步骤503和步骤504)。然后,服务器S1将具有相同或较少权利的访问令牌发送给服务器S2(步骤505),其中服务器S2接着将具有相同或较少权利(right)的访问令牌发送给访问者(步骤506)。本领域技术人员可以理解的是,通过使用图4中所示的获取方式也可以实现相似的可传递共享的实施方式。
图6描述了图2的呼叫流程的变型,其中图2中的令牌T1对应于图6中的令牌Tr,图2中的令牌T2对应于图6中的令牌Td。步骤601至603对应于步骤301至303,其中获取(GET)或发布(POST)呼叫用于通知PecMan服务器他应间接获取安装在网络服务器上的私人内容。在步骤603和步骤604中,PecMan服务器通过隧道(例如TLS或https)获得令牌Tr。这些呼叫都通过安全通信信道进行传送,例如由具有题目为“传输层安全(TLS)协议”的RFC4346定义的SSL/TLS。PeCMan服务器于是请求内容的所有者通过安全网络服务器WS来认证请求令牌,与标准OAuth方法相似,参见步骤605-606。所有者O将凭证提供给网络服务器WS,并且网络服务器WS分配记录请求令牌现在有效的并经过认证的状态,参见步骤606和607。最后,网络服务器回叫PeCMan服务器以通知它请求令牌现在已经通过认证,参见步骤608。PeCMan服务器于是请求通过网络服务器WS利用委托令牌来替换经过认证的请求令牌,参见步骤609。网络服务器WS通过隧道将委托令牌(Td)、相关联的秘密委托令牌(Td_s)和临时信息(Nd)返回给PeCMan服务器,参见步骤610。最后,在步骤611中,PeCMan服务器对用于标识委托过程成功或失败的原始HTTP POST请求(步骤602)作出响应。网络服务器存储委托令牌Td、其生命期、和内容的原始所有者。该委托令牌Td替换用户凭证,也就是,委托令牌Td的持有者可以认证请求令牌,就好像他是内容的所有者。利用委托令牌Td进行签名的“请求访问”消息表示请求访问的网络服务器WS基于被委托的授权。
根据另一实施方式,原始的经认证的请求令牌可以用作委托令牌。然而,通常更希望具有单独的令牌以在功能差别上进行区分。在现在的OAuth中,经认证的请求令牌Tr仅可以用于替换访问令牌Ta,并且访问策略由网络服务器WS来设置。利用其委托令牌Td的授权委托过程可以进一步用于限制对内容的访问。
图7示出了图4用于通过委托的令牌Td访问私人内容的过程的实施方式的变型。步骤700至704与步骤400至404相似。然后,客户机请求并通过TLS隧道从网络服务器WS获得具有下列参数的请求令牌Tr(参见步骤705和706),所述参数包括:公共密钥Ck、秘密密钥Ks、和临时信息Nr。假设存在用于该内容的委托令牌Td,将请求令牌Tr提供给PeCMan服务器以进行认证(步骤707)。当PeCMan服务器接收具有客户机的请求令牌的认证请求时,PeCMan服务器确定谁请求访问所述内容。如果PeCMan服务器可以授予对客户机的访问,其使用由下列参数产生的签名(强制访问控制,MAC)对访问进行授权:它的委托令牌Td、委托秘密Td_s和临时信息Nd,参见步骤708。当网络服务器WS接收基于委托令牌的认证请求708时,网络服务器对客户机的请求令牌Tr进行认证,参见步骤709。然后,通过PeCMan将该请求Tr返回给发送请求的第二客户机,参见步骤710。在接收到经过认证的请求令牌Tr时,发送请求的客户机使用标准的OAuth过程呼叫来完成该过程(步骤711至714):客户机通过TLS隧道将经过认证的请求令牌Tr_s替换为访问令牌Ta(步骤711和712)。然后,可以通过将访问令牌Ta提供给网络服务器来获得实际数据xyz(使用秘密密钥Ks、Ta、令牌秘密Ta_s和临时信息Na的签名形式),参见步骤713,从而将数据xyz发送给客户机,参见步骤714。
图8描述了用于使访问令牌持有者能够进一步委托令牌的图2的方法的变型,其中图2中的令牌T1和T1s对应于Tr和Tr_s,并且令牌T2和T2s对应于Ta和Ta_s。在该实施方式中,可以将PeCMan服务器视为执行标准过程呼叫(步骤803至810)的OAuth用户,其中标准过程呼叫用于请求和获得用于特定内容的访问令牌,其中所述特定内容先前由所有者安装在网络服务器上并且向PeCMan服务器注册(步骤801至803)。利用PeCMan服务器持有的访问令牌Ta,其可以进一步创建访问令牌,并将访问令牌委托给新的第二客户机。在该实施方式中,由https隧道组成使用,其中https隧道用于使用如公共密钥Ck、秘密密钥Ks和临时信息Nr的参数来请求和交换令牌。
在图9中描述了由第二客户机获取访问令牌方法的另一实施方式。该实施方式与图3的实施方式相似,并且步骤900至905与步骤300至305相似,其中令牌T3对应于访问令牌At。在图9的实施方式中,https隧道用于使用如公共密钥Ck、秘密密钥Ks和临时信息Nr的参数来请求和交换令牌。不同于在图2中利用令牌秘密Ts3进行工作,在图9的实施方式中使用基于下列参数集(At、Ck、Ks和临时信息Na)的签名(MAC)以提供必要的安全性。相比于通过PeCMan获得的原始访问令牌Ta(见图8),最新创建的访问令牌At可以具有相同或较少的权利。利用这些得到的访问令牌At,第二PeCMan客户机可以从网络服务器WS直接获得内容,而不必与所有者O交互。
本领域技术人员会容易地认识到,上述各种方法的步骤可由程序控制计算机来执行。这里,一些实施方式也意在涵盖诸如数字数据存储媒介的程序存储设备,其中程序存储设备是机器或计算机可读的,并对指令的机器可执行程序或计算机可执行程序进行编码,其中所述指令执行所述上面介绍的方法的一些或全部步骤。程序存储设备例如可以是数字存储器、诸如磁盘和磁带的磁存储媒介、硬盘驱动器、或光可读数字数据存储媒介。实施方式还意在涵盖经过编程以执行上面介绍的方法的所述步骤的计算机。
尽管已经结合特定实施方式陈述了本发明的原则,可以明确理解的是,该描述仅仅是作为示例,并且并不对保护范围作出限制,保护范围由所附权利要求来确定。
Claims (22)
1.一种用于提供对由所有者拥有并安装在内容服务器上的私人数字内容进行访问的方法,其中内容管理服务器具有潜在地对私人内容感兴趣的多个客户机,该方法包括下列步骤:
在内容管理服务器处,被告知所有者已经在内容服务器上安装了私人内容(202;602;802);
在内容管理服务器处,从内容服务器获得委托令牌(203-210);(603-610);(803-810),在私人数字内容的所有者的帮助下产生委托令牌,并且将委托令牌用于代表私人数字内容的所有者讲话;
在内容管理服务器处,从内容管理服务器的多个客户机中的一个客户机接收用于私人数字内容的查询(300;400;700);
在内容管理服务器处,利用使客户机能够访问私人数字内容的委托令牌给所述客户机提供访问令牌(301-303);(407-410);(708-710);(901-903),其中对访问令牌的请求包括与私人数字内容相关的访问权利和用户密钥。
2.根据权利要求1所述的方法,其中通过内容管理服务器获得委托令牌包括:
从内容服务器获得第一令牌(203-204);(603-604);(803-804);
请求所有者对第一令牌进行授权(205);(605);(805);
接收经过授权的第一令牌(208);(608);(808);
请求通过内容服务器将经过授权的第一令牌替换为第二令牌(209-210);(609-610);(809-810),其中所述第二令牌形成委托令牌。
3.根据权利要求1或2所述的方法,其中使用委托令牌给所述客户机提供令牌包括由内容管理服务器执行的下列步骤:
将用于把委托令牌替换为用于客户机的访问令牌的请求发送给内容服务器(301);(901);
接收访问令牌(302);(902);以及
将访问令牌转发给客户机(303);(903)。
4.根据权利要求1或2所述的方法,其中使用委托令牌给所述客户机提供令牌包括由内容管理服务器执行的下列步骤:
从客户机接收请求令牌(407);(707);
使用委托令牌对所述令牌进行授权(408-409);(708-709);
将所述经过授权的请求令牌发送给客户机(410);(710),以使客户机能够通过内容服务器将该经过授权的请求令牌换为访问令牌(411-412);(711-712)。
5.根据权利要求1或2所述的方法,其中标准OAuth呼叫用于执行方法步骤。
6.根据权利要求3所述的方法,其中标准OAuth呼叫用于执行方法步骤。
7.根据权利要求4所述的方法,其中标准OAuth呼叫用于执行方法步骤。
8.一种用于通过内容管理服务器的客户机来获得私人数字内容的方法,其中私人内容由所有者拥有并且被安装在内容服务器上,包括由客户机执行的下列步骤:
将用于获得私人数字内容的请求发送给具有与数字私人内容相关联的委托令牌的内容管理服务器(300);(400);(700),
在私人数字内容的所有者的帮助下产生委托令牌并且内容管理服务器从内容服务器获得委托令牌,并且将委托令牌用于代表内容所有者讲话;
从内容管理服务器获得使用委托令牌产生的并允许客户机访问私人数字内容的访问令牌(303);(410);(710),其中对访问令牌的请求包括与私人数字内容相关的访问权利和用户密钥;
访问私人数字内容(304-305);(413-414);(713-714)。
9.根据权利要求8所述的方法,其中从内容管理服务器获得令牌在于获取由内容管理服务器先前基于它的委托令牌通过内容服务器获取的访问令牌(301);(302)。
10.根据权利要求8所述的方法,其中从内容管理服务器获得令牌包括由客户机执行的下列步骤:
将用于令牌的请求发送给内容服务器(405);
从内容服务器接收请求令牌(406);
将接收的请求令牌发送给内容管理服务器以进行授权(407);
由内容管理服务器使用其委托令牌接收请求令牌(408-410);
将经过授权的请求令牌发送给内容服务器(411);以及
从内容服务器接收使客户机能够访问私人内容的访问令牌(412)。
11.根据权利要求8-10中任意一项所述的方法,其中标准OAuth呼叫用于执行方法步骤。
12.一种用于通过内容管理服务器的客户机提供通过使用访问令牌对私人数字内容的访问的方法,其中所述私人数字内容由所有者拥有并且被安装在内容服务器上,包括下列步骤:
在内容服务器处,为内容管理服务器产生由用户授权的委托令牌(207),在私人数字内容的所有者的帮助下产生委托令牌,并且将委托令牌用于代表内容所有者讲话,其中对访问令牌的请求包括与私人数字内容相关的访问权利和用户密钥;
在内容服务器处,将所述委托令牌发送给内容管理服务器(208)。
13.根据权利要求12所述的方法,其中标准OAuth呼叫用于执行方法步骤。
14.一种用于访问私人数字内容的系统,包括:
内容管理服务器(1);
拥有存储在内容服务器上的数字私人内容的第一客户机(7);
多个第二客户机(2);其中内容管理服务器(1)适于从内容服务器获得与私人数字内容相关联的委托令牌,并利用使第二客户机能够访问数字私人内容的委托令牌将访问令牌传递给第二客户机(2),在私人数字内容的所有者的帮助下产生委托令牌,并且将委托令牌用于代表内容所有者讲话,其中对访问令牌的请求包括与私人数字内容相关的访问权利和用户密钥;以及
第二客户机(2)适于将传递的访问令牌提供给用于获得对私人数字内容的访问的内容服务器(7)。
15.根据权利要求14所述的系统,其中第一客户机适于对通过内容服务器从内容管理服务器接收的请求令牌进行授权;并且所述内容管理服务器适于接收经过授权的请求令牌,并使用所述经过授权的请求令牌来获得委托令牌。
16.一种用于组织多个客户机的私人数字内容的内容管理服务器(1),第一客户机拥有存储在内容服务器上的私人数字内容,
所述内容管理服务器适于从内容服务器获得与所有者客户机的私人数字内容相关联的委托令牌,并使用委托令牌将访问令牌传递给第二客户机(12)以使第二客户机能够访问所有者客户机的私人内容,其中对访问令牌的请求包括与私人数字内容相关的访问权利和用户密钥,
在私人数字内容的所有者的帮助下产生所述委托令牌,并且将所述委托令牌用于代表内容所有者讲话。
17.根据权利要求16所述的内容管理服务器,其中内容管理服务器是内容集合器。
18.根据权利要求17所述的内容管理服务器,其中内容集合器是PeCMan服务器。
19.根据权利要求16至18任意一项所述的内容管理服务器,其中内容管理服务器进一步适于将与私人内容相关的令牌提供给客户机,其中相比于委托令牌,令牌具有相同或更少的访问权利。
20.一种用于提供对由所有者拥有并安装在内容服务器上的私人数字内容进行访问的设备,其中内容管理服务器具有潜在地对私人内容感兴趣的多个客户机,该设备包括:
用于在内容管理服务器处,被告知所有者已经在内容服务器上安装了私人内容(202;602;802)的装置;
用于在内容管理服务器处,从内容服务器获得委托令牌(203-210);(603-610);(803-810),在私人数字内容的所有者的帮助下产生委托令牌,并且将委托令牌用于代表私人数字内容的所有者讲话的装置;
用于在内容管理服务器处,从内容管理服务器的多个客户机中的一个客户机接收用于私人数字内容的查询(300;400;700)的装置;
用于在内容管理服务器处,利用使客户机能够访问私人数字内容的委托令牌给所述客户机提供访问令牌(301-303);(407-410);(708-710);(901-903)的装置,其中对访问令牌的请求包括与私人数字内容相关的访问权利和用户密钥。
21.一种用于通过内容管理服务器的客户机来获得私人数字内容的设备,其中私人内容由所有者拥有并且被安装在内容服务器上,所述设备包括:
用于将用于获得私人数字内容的请求发送给具有与数字私人内容相关联的委托令牌的内容管理服务器(300);(400);(700)的装置,
用于在私人数字内容的所有者的帮助下产生委托令牌并且内容管理服务器从内容服务器获得委托令牌,并且将委托令牌用于代表内容所有者讲话的装置;
用于从内容管理服务器获得使用委托令牌产生的并允许客户机访问私人数字内容的访问令牌(303);(410);(710)的装置,其中对访问令牌的请求包括与私人数字内容相关的访问权利和用户密钥;
用于访问私人数字内容(304-305);(413-414);(713-714)的装置。
22.一种用于通过内容管理服务器的客户机提供通过使用访问令牌对私人数字内容的访问的设备,其中所述私人数字内容由所有者拥有并且被安装在内容服务器上,所述设备包括:
用于在内容服务器处,为内容管理服务器产生由用户授权的委托令牌(207),在私人数字内容的所有者的帮助下产生委托令牌,并且将委托令牌用于代表内容所有者讲话的装置,其中对访问令牌的请求包括与私人数字内容相关的访问权利和用户密钥;
用于在内容服务器处,将所述委托令牌发送给内容管理服务器(208)的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP09305500.2A EP2257026B1 (en) | 2009-05-29 | 2009-05-29 | System and method for accessing private digital content |
EP09305500.2 | 2009-05-29 | ||
PCT/EP2010/056288 WO2010136323A1 (en) | 2009-05-29 | 2010-05-07 | System and method for accessing private digital content |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102449976A CN102449976A (zh) | 2012-05-09 |
CN102449976B true CN102449976B (zh) | 2017-02-22 |
Family
ID=41527663
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080023487.5A Active CN102449976B (zh) | 2009-05-29 | 2010-05-07 | 用于访问私人数字内容的系统和方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9077707B2 (zh) |
EP (2) | EP2257026B1 (zh) |
JP (1) | JP5654004B2 (zh) |
KR (1) | KR101504801B1 (zh) |
CN (1) | CN102449976B (zh) |
ES (1) | ES2853200T3 (zh) |
WO (1) | WO2010136323A1 (zh) |
Families Citing this family (61)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8527752B2 (en) * | 2004-06-16 | 2013-09-03 | Dormarke Assets Limited Liability | Graduated authentication in an identity management system |
US8910295B2 (en) * | 2010-11-30 | 2014-12-09 | Comcast Cable Communications, Llc | Secure content access authorization |
US20130268680A1 (en) * | 2010-12-17 | 2013-10-10 | Nokia Siemens Networks Oy | User interaction for web resources |
KR101729633B1 (ko) * | 2011-03-03 | 2017-04-24 | 삼성전자주식회사 | 통신 시스템에서 소셜 네트워크 서비스의 컨텐츠를 공유하기 위한 장치 및 방법 |
CN102739708B (zh) | 2011-04-07 | 2015-02-04 | 腾讯科技(深圳)有限公司 | 一种基于云平台访问第三方应用的系统及方法 |
US8850216B1 (en) * | 2011-05-19 | 2014-09-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Client device and media client authentication mechanism |
US8973108B1 (en) * | 2011-05-31 | 2015-03-03 | Amazon Technologies, Inc. | Use of metadata for computing resource access |
US9544294B2 (en) | 2011-09-29 | 2017-01-10 | Oracle International Corporation | Pluggable authorization policies |
US9043886B2 (en) * | 2011-09-29 | 2015-05-26 | Oracle International Corporation | Relying party platform/framework for access management infrastructures |
US8949940B1 (en) * | 2011-10-12 | 2015-02-03 | Mahasys LLC | Aggregating data from multiple issuers and automatically organizing the data |
CN103067338B (zh) * | 2011-10-20 | 2017-04-19 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
US10733151B2 (en) | 2011-10-27 | 2020-08-04 | Microsoft Technology Licensing, Llc | Techniques to share media files |
CN102394887B (zh) * | 2011-11-10 | 2014-07-09 | 杭州东信北邮信息技术有限公司 | 基于OAuth协议的开放平台安全认证方法和系统 |
FR2985130A1 (fr) * | 2011-12-23 | 2013-06-28 | France Telecom | Procede de partage d'un contenu multimedia entre au moins un premier utilisateur et un second utilisateur sur un reseau de telecommunications |
FR2985149A1 (fr) * | 2011-12-23 | 2013-06-28 | France Telecom | Procede d'acces par un terminal de telecommunication a une base de donnees hebergee par une plateforme de services accessible via un reseau de telecommunications |
CN103378969B (zh) * | 2012-04-12 | 2018-04-17 | 腾讯科技(北京)有限公司 | 一种授权方法、系统及第三方应用系统 |
JP6006533B2 (ja) | 2012-05-25 | 2016-10-12 | キヤノン株式会社 | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 |
CN103685139B (zh) * | 2012-08-30 | 2018-07-13 | 中兴通讯股份有限公司 | 认证授权处理方法及装置 |
US9992268B2 (en) | 2012-09-27 | 2018-06-05 | Oracle International Corporation | Framework for thin-server web applications |
CN103716283B (zh) | 2012-09-29 | 2017-03-08 | 国际商业机器公司 | 用于在流程中处理调用的Web服务的OAuth认证的方法和系统 |
US10929551B2 (en) * | 2013-03-13 | 2021-02-23 | Comcast Cable Communications, Llc | Methods and systems for managing data assets |
US8997187B2 (en) * | 2013-03-15 | 2015-03-31 | Airwatch Llc | Delegating authorization to applications on a client device in a networked environment |
JP6120650B2 (ja) * | 2013-04-05 | 2017-04-26 | キヤノン株式会社 | コンテンツ管理装置、コンテンツ管理方法及びプログラム |
US9288206B2 (en) * | 2013-07-09 | 2016-03-15 | Empire Technology Development Llc | Shared secret techniques for ubiquitous computing devices |
US20150026078A1 (en) * | 2013-07-18 | 2015-01-22 | Google Inc. | Generating and providing an authorization indication in relation to a media content item |
CN103441997B (zh) * | 2013-08-20 | 2017-02-22 | 华为技术有限公司 | 一种内容共享方法、装置和系统 |
JP6033990B2 (ja) | 2013-09-20 | 2016-11-30 | オラクル・インターナショナル・コーポレイション | 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス |
US10694029B1 (en) | 2013-11-07 | 2020-06-23 | Rightquestion, Llc | Validating automatic number identification data |
US9397990B1 (en) * | 2013-11-08 | 2016-07-19 | Google Inc. | Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud |
US20150242597A1 (en) * | 2014-02-24 | 2015-08-27 | Google Inc. | Transferring authorization from an authenticated device to an unauthenticated device |
SE539192C2 (en) * | 2014-08-08 | 2017-05-09 | Identitrade Ab | Method and a system for authenticating a user |
JP6575052B2 (ja) * | 2014-09-02 | 2019-09-18 | 富士ゼロックス株式会社 | アクセス制御システム及びプログラム |
US9112849B1 (en) * | 2014-12-31 | 2015-08-18 | Spotify Ab | Methods and systems for dynamic creation of hotspots for media control |
US9350556B1 (en) | 2015-04-20 | 2016-05-24 | Google Inc. | Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key |
US10044718B2 (en) | 2015-05-27 | 2018-08-07 | Google Llc | Authorization in a distributed system using access control lists and groups |
US9819670B2 (en) | 2015-06-18 | 2017-11-14 | Airwatch Llc | Distributing security codes through a restricted communications channel |
US9843572B2 (en) * | 2015-06-29 | 2017-12-12 | Airwatch Llc | Distributing an authentication key to an application installation |
CN106713224B (zh) * | 2015-11-12 | 2019-12-06 | 福建福昕软件开发股份有限公司 | 一种文档权限控制方法 |
EP3345370B1 (en) | 2016-01-29 | 2019-03-13 | Google LLC | Device access revocation |
JP6815744B2 (ja) * | 2016-04-26 | 2021-01-20 | キヤノン株式会社 | サーバ装置、システム、情報処理方法及びプログラム |
US10635828B2 (en) * | 2016-09-23 | 2020-04-28 | Microsoft Technology Licensing, Llc | Tokenized links with granular permissions |
US9847973B1 (en) | 2016-09-26 | 2017-12-19 | Agari Data, Inc. | Mitigating communication risk by detecting similarity to a trusted message contact |
US11936604B2 (en) | 2016-09-26 | 2024-03-19 | Agari Data, Inc. | Multi-level security analysis and intermediate delivery of an electronic message |
US11722513B2 (en) | 2016-11-30 | 2023-08-08 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
US11044267B2 (en) | 2016-11-30 | 2021-06-22 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
KR20180086118A (ko) * | 2017-01-20 | 2018-07-30 | 삼성전자주식회사 | 통신 시스템에서 보안 정보 제공 및 관리 장치 및 방법 |
CN110235424B (zh) * | 2017-01-20 | 2022-03-08 | 三星电子株式会社 | 用于在通信系统中提供和管理安全信息的设备和方法 |
US11019076B1 (en) | 2017-04-26 | 2021-05-25 | Agari Data, Inc. | Message security assessment using sender identity profiles |
EP3632076B1 (en) * | 2017-06-02 | 2021-09-01 | Cinemo GmbH | Apparatus and method and computer program for retrieving a remote media content and vehicle or aircraft |
US11102244B1 (en) * | 2017-06-07 | 2021-08-24 | Agari Data, Inc. | Automated intelligence gathering |
US11757914B1 (en) * | 2017-06-07 | 2023-09-12 | Agari Data, Inc. | Automated responsive message to determine a security risk of a message sender |
US10742646B2 (en) * | 2018-05-10 | 2020-08-11 | Visa International Service Association | Provisioning transferable access tokens |
US11303627B2 (en) | 2018-05-31 | 2022-04-12 | Oracle International Corporation | Single Sign-On enabled OAuth token |
CN110730063B (zh) * | 2018-07-16 | 2022-11-11 | 中国电信股份有限公司 | 安全验证方法、系统、物联网平台、终端和可读存储介质 |
US11632360B1 (en) | 2018-07-24 | 2023-04-18 | Pure Storage, Inc. | Remote access to a storage device |
US10936191B1 (en) | 2018-12-05 | 2021-03-02 | Pure Storage, Inc. | Access control for a computing system |
US11057778B2 (en) | 2019-02-28 | 2021-07-06 | Ebay Inc. | Complex composite tokens |
US11190522B2 (en) * | 2019-07-15 | 2021-11-30 | International Business Machines Corporation | Access delegation using offline token |
US11750598B2 (en) | 2019-07-19 | 2023-09-05 | Ebay Inc. | Multi-legged network attribution using tracking tokens and attribution stack |
US11811929B2 (en) * | 2021-01-27 | 2023-11-07 | International Business Machines Corporation | Detection of compromised credentials |
WO2024130429A1 (en) * | 2022-12-23 | 2024-06-27 | Agility Global Ventures, Inc. | Method and system for delegation and verification of digital content entitlement |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1329418A (zh) * | 2001-07-24 | 2002-01-02 | 巨龙信息技术有限责任公司 | 网络用户身份认证的方法及克服Kerberos认证体制中用户口令漏洞的方法 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US2004A (en) * | 1841-03-12 | Improvement in the manner of constructing and propelling steam-vessels | ||
US7028A (en) * | 1850-01-15 | Spindle and bobbin foe spinning | ||
US9025A (en) * | 1852-06-15 | And chas | ||
US20020046352A1 (en) * | 2000-10-05 | 2002-04-18 | Ludwig George Stone | Method of authorization by proxy within a computer network |
JP2003058660A (ja) * | 2001-06-07 | 2003-02-28 | Matsushita Electric Ind Co Ltd | コンテンツ利用管理システム及びこれに用いられるサーバ |
JP2003006353A (ja) * | 2001-06-26 | 2003-01-10 | Nec Corp | サービス提供システムおよびサービス提供方法 |
JP2003178163A (ja) * | 2001-08-06 | 2003-06-27 | Matsushita Electric Ind Co Ltd | ライセンス管理サーバ、端末装置、ライセンス管理システム及び利用制限制御方法 |
US6971017B2 (en) * | 2002-04-16 | 2005-11-29 | Xerox Corporation | Ad hoc secure access to documents and services |
US7240365B2 (en) * | 2002-09-13 | 2007-07-03 | Sun Microsystems, Inc. | Repositing for digital content access control |
KR20040107602A (ko) * | 2003-06-05 | 2004-12-23 | 삼성전자주식회사 | 홈 네트워크 상에서의 컨텐츠 실행을 위한 라이센스 관리시스템 및 방법 |
US20070033395A1 (en) * | 2005-08-02 | 2007-02-08 | Macrovision | Method and system for hierarchical license servers |
KR100763193B1 (ko) * | 2005-10-13 | 2007-10-04 | 삼성전자주식회사 | Drm 라이센스 제공 방법 및 시스템 |
US8151116B2 (en) * | 2006-06-09 | 2012-04-03 | Brigham Young University | Multi-channel user authentication apparatus system and method |
US20100145859A1 (en) * | 2007-01-16 | 2010-06-10 | Shingo Murakami | Control device, reproducing device, permission server, method for controlling control device, method for controlling reproducing device, and method for controlling permission server |
US8402508B2 (en) * | 2008-04-02 | 2013-03-19 | Microsoft Corporation | Delegated authentication for web services |
-
2009
- 2009-05-29 EP EP09305500.2A patent/EP2257026B1/en active Active
- 2009-05-29 EP EP21150924.5A patent/EP3832975A1/en active Pending
- 2009-05-29 ES ES09305500T patent/ES2853200T3/es active Active
-
2010
- 2010-05-07 KR KR1020117028481A patent/KR101504801B1/ko active IP Right Grant
- 2010-05-07 US US13/320,719 patent/US9077707B2/en active Active
- 2010-05-07 JP JP2012512294A patent/JP5654004B2/ja active Active
- 2010-05-07 CN CN201080023487.5A patent/CN102449976B/zh active Active
- 2010-05-07 WO PCT/EP2010/056288 patent/WO2010136323A1/en active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1329418A (zh) * | 2001-07-24 | 2002-01-02 | 巨龙信息技术有限责任公司 | 网络用户身份认证的方法及克服Kerberos认证体制中用户口令漏洞的方法 |
Non-Patent Citations (3)
Title |
---|
draft-hammer-oauth-02.《Network Working Group Internet-Draf》.2009,摘要,第4页第1部分,第15-16页第4部分第1-2段. * |
E.Hammer-lahav,Ed.The OAuth Core Protocol * |
OAuth Core 1.0;OAuth Core Workgroup;《OAuth Core Workgroup》;20070904;OAuth6.1-6.3,OAuth7 * |
Also Published As
Publication number | Publication date |
---|---|
EP2257026A1 (en) | 2010-12-01 |
KR20120058458A (ko) | 2012-06-07 |
CN102449976A (zh) | 2012-05-09 |
JP5654004B2 (ja) | 2015-01-14 |
WO2010136323A1 (en) | 2010-12-02 |
US20120102566A1 (en) | 2012-04-26 |
EP3832975A1 (en) | 2021-06-09 |
ES2853200T3 (es) | 2021-09-15 |
JP2012528365A (ja) | 2012-11-12 |
EP2257026B1 (en) | 2021-01-13 |
US9077707B2 (en) | 2015-07-07 |
KR101504801B1 (ko) | 2015-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102449976B (zh) | 用于访问私人数字内容的系统和方法 | |
AU2021206913B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
US10623406B2 (en) | Access authentication for cloud-based shared content | |
US10853805B2 (en) | Data processing system utilising distributed ledger technology | |
CN102598010B (zh) | 用于访问私人数字内容的系统和方法 | |
US9692747B2 (en) | Authenticating linked accounts | |
CN105659558B (zh) | 计算机实现的方法、授权服务器以及计算机可读存储器 | |
CN103563294B (zh) | 用于云计算平台安全性的认证和授权方法 | |
US9225704B1 (en) | Unified management of third-party accounts | |
CN101727552B (zh) | 联合环境中启用数字权限管理的策略管理的方法和系统 | |
CN108293045A (zh) | 本地和远程系统之间的单点登录身份管理 | |
CN103842984B (zh) | 基于参数的密钥推导 | |
CN106105138A (zh) | 使用数字证书来认证虚拟机图像 | |
JP5422753B1 (ja) | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 | |
CN104994064B (zh) | 一种基于客户端插件的授权认证方法及系统 | |
CN106416125A (zh) | 用于虚拟机实例的自动目录加入 | |
JP2014203267A (ja) | システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム | |
CN110636057B (zh) | 一种应用访问方法、装置和计算机可读存储介质 | |
CN111274569A (zh) | 统一登录认证的研发运维集成系统及其登录认证方法 | |
Gemmill et al. | Cross‐domain authorization for federated virtual organizations using the myVocs collaboration environment | |
Herrera-Cubides et al. | Towards the Construction of a User Unique Authentication Mechanism on LMS Platforms through Model‐Driven Engineering (MDE) | |
JP6305005B2 (ja) | 認証サーバーシステム、制御方法、そのプログラム | |
CN117009421A (zh) | 信息收集方法、装置、计算机设备、存储介质和程序产品 | |
Zwattendorfer et al. | Middleware Architecture for Cross-Border Identification and Authentication. | |
JP2016128998A (ja) | 認証システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |