CN102576399A - 基于多个凭证的资源访问 - Google Patents
基于多个凭证的资源访问 Download PDFInfo
- Publication number
- CN102576399A CN102576399A CN2010800473185A CN201080047318A CN102576399A CN 102576399 A CN102576399 A CN 102576399A CN 2010800473185 A CN2010800473185 A CN 2010800473185A CN 201080047318 A CN201080047318 A CN 201080047318A CN 102576399 A CN102576399 A CN 102576399A
- Authority
- CN
- China
- Prior art keywords
- user
- voucher
- vouchers
- resource
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在设备上获得多个用户凭证的选集,其中每一个用户凭证与多个不同的用户之中的一个相关联,并且验证多个用户凭证之中的一个或多个。也将多个用户凭证的选集与待满足以访问资源的用户凭证的阈值组合进行比较,并基于比较和验证作出有关是否允许对资源的访问的确定。是否允许由请求用户访问资源的指示被返回并被提供给另一设备。
Description
背景技术
由于计算机和网络的使用已增加,所以也具有限制对资源的访问的需求,以便只有适当的用户才能够访问这些资源。每个用户通常具有他或她能够提供的以便证明他或她的身份并指示他或她是否有资格访问特定资源的他或她自己的用户凭证(credential)。随后基于用户的身份来允许或拒绝对特定资源的访问。然而,这样的对用户凭证的依赖不是没有其问题的。一个这样的问题是用户凭证的这种使用在设计者如何能够限制对特定资源的访问方面约束设计者。这可能导致更严格的访问控制系统并且对计算机的设计者和用户二者而言可能导致挫折。
发明内容
提供这个发明内容部分来以简化的形式介绍下面在具体描述部分中进一步描述的概念的选择。这个发明内容部分不打算标识要求保护的主题的关键特征或基本特征,也不打算用来限制要求保护的主题的范围。
根据一个或多个方面,在设备上获得多个用户凭证的选集(collection),其中每一个用户凭证与多个不同用户之中的一个相关联。验证多个用户凭证之中的一个或多个,并将多个用户凭证的选集与待满足以访问资源的用户凭证的阈值组合进行比较。基于比较和验证,作出有关是否允许对资源的访问的确定,并提供是否允许由请求用户访问资源的指示。
附图说明
遍及附图使用相同的标号来引用相同的特征。
图1示出根据一个或多个实施例的基于多个凭证实现资源访问的示例系统。
图2是示出根据一个或多个实施例的示例访问控制系统的框图。
图3示出根据一个或多个实施例的基于多个凭证实现资源访问的示例计算设备。
图4是示出根据一个或多个实施例的基于多个凭证的资源访问的示例处理的流程图。
图5示出根据一个或多个实施例的能够被配置为基于多个凭证实现资源访问的示例计算设备。
具体实施方式
在此讨论基于多个凭证的资源访问。当用户请求对资源的访问时,收集来自多个不同用户的多个用户凭证的选集。随后基于多个用户凭证的这个选集作出是否允许请求者访问资源的确定。多个用户凭证能够包括请求者的用户凭证和/或其他用户的用户凭证。
在此参考对称密钥密码术(cryptography)、公钥密码术和公钥/私钥对。虽然这样的密钥密码术对于本领域技术人员而言是众所周知的,但是在此包括这样的密码术的简要概述以帮助读者。在公钥密码术中,实体(诸如用户、硬件或软件组件、设备、域等)具有与之相关联的公钥/私钥对。能够将公钥公开,但是实体将私钥保密。如果没有私钥的话,在计算上很难解密使用公钥加密的数据。因此,数据能够由具有公钥的任何实体来加密并且仅由具有相应私钥的实体来解密。另外,通过使用数据和私钥能够生成数据的数字签名。在没有私钥的情况下,在计算上很难创建能够使用公钥来验证的签名。具有公钥的任何实体能够使用公钥来通过对公钥、签名和签署的数据执行合适的数字签名验证算法来验证数字签名。
另一方面,在对称密钥密码术中,共享密钥(也被称为对称密钥)被两个实体知晓并被保密。具有共享密钥的任何实体通常能够对利用那个共享密钥加密的数据进行解密。在没有共享密钥的情况下,在计算上很难对利用共享密钥加密的数据进行解密。因此,如果两个实体都知道共享密钥,则每个实体能够加密能够被其他实体解密的数据,但是如果其他实体不知道共享密钥,则其他实体不能解密该数据。
图1示出根据一个或多个实施例的基于多个凭证实现资源访问的示例系统100。系统100包括计算设备102,其能够经由网络108与访问控制设备104和资源106通信。网络108可以是各种不同的网络,包括因特网、局域网(LAN)、公用电话网、内部网、其他公用和/或私有网络、其组合等等。
计算设备102可以是各种不同的设备。例如,计算设备102可以是桌面计算机、膝上计算机或上网本计算机、移动站、娱乐器具、通信地耦合到显示设备的机顶盒、电视、蜂窝或其他无线电话、游戏机、音频和/或视频回放设备、汽车计算机等。因而,计算设备102的范围可以从具有大量存储器和处理器资源的全资源设备(例如,个人计算机、游戏机)到具有有限存储器和/或处理资源的低资源设备(例如,传统的机顶盒、手持游戏机)。
计算设备102包括用户接口(UI)模块110。UI模块110管理用于设备102的用户接口,包括接收来自设备102的用户的用户输入和显示或以其他方式呈现信息给设备102的用户。能够以各种不同的方式来提供用户输入,例如通过用户按压设备102的小键盘或键盘的一个或多个键,或者按压设备102的触摸板或触摸屏的特定部分。能够使用各种不同的技术来提供触摸屏功能,例如通过电容式、表面声波、电阻式、光学、应变仪、色散信号(dispersive signal)、声脉冲或者其他的触摸屏技术。用户输入也能够经由其他类型的传感器以其他方式来提供,例如经由麦克风或其他音频传感器的可闻输入、经由运动或移动传感器到设备的其他物理反馈输入(例如,轻敲设备102的任何部分或者能够通过设备102的运动检测组件识别的另一动作,诸如摇动设备102、旋转设备102等)、经由红外传感器的输入、经由光传感器的输入、经由相机或者其他图像捕获设备(例如,指纹传感器)的输入等等。
另外,UI模块110能够经由另一设备或模块接收用户输入。例如,计算设备102的一个或多个其他模块或者耦合到计算设备102或以其他方式与计算设备102通信的设备能够接收用户输入并将所接收的用户输入传送到UI模块110。还应当注意:能够在不要求特定用户输入的情况下由UI模块110(或者另一设备或模块)代表用户接收用户输入。例如,用户的位置可以被识别为用户输入(例如,使用全球定位系统(GPS)坐标或其他无线技术),(例如,在用户的口袋里)智能卡上的数据能够作为用户输入而重新获得,等等。
在一个或多个实施例中,在用户允许的情况下,识别或以其他方式获得计算设备102的当前位置和/或代表用户接收的其他信息。识别或以其他方式获得的信息的描述、如何和/或为何识别或以其他方式获得这样的信息、如何由设备102使用这样的信息以及允许这样的信息被识别或以其他方式被获得的好处能够显示或以其他方式呈现给用户。用户随后能够选择(opt-in)以使得这样的信息代表他或她被识别或以其他方式被获得。可替换地,能够给予用户退出(opt-out)使用这样的信息的选择,并且除非用户退出使用这样的信息,否则代表用户识别或以其他方式获得这样的信息。相应地,如果用户期望不代表他或她来识别设备102的当前位置和/或获得其他信息,则用户能够容易地指示设备102不识别或以其他方式获得这样的信息。
在一个或多个实施例中,UI模块110在设备102的屏幕上显示信息。这样的屏幕能够以各种不同的方式来实现,例如使用液晶显示器(LCD)技术、等离子屏幕技术、图像投影技术等。可替换地,不包括屏幕,设备102能够生成输出到一个或多个其他显示设备的一个或多个信号,其中一个或多个其他显示设备包括在其上显示信息的屏幕。在其他的实施例中,UI模块110以不同的方式呈现信息,诸如回放音频内容、物理移动设备102等。
计算设备102的用户通过在计算设备102上输入访问资源106的请求来请求对资源106的访问。访问资源106的这个请求能够经由UI模块110以各种不同的方式来输入。是否响应于用户请求而允许对资源106的访问至少部分取决于下面更详细讨论的多个其他用户的用户凭证。能够经由计算设备102或者可替换地经由另一计算设备(例如,类似于计算设备102)输入其他用户的用户凭证。
资源106可以是计算设备102的用户可能请求访问的各种不同类型的资源。虽然在图1中示出单个资源106,但是将意识到:系统100可以包括多个资源106。资源106可以是特定的设备,例如特定的计算设备、特定的存储设备(例如,磁或光盘驱动器)、特定的输入设备(例如,扫描仪或相机、麦克风、传真机等)等等。资源106还可以是信息资源。信息资源例如可以是在一个或多个计算设备上实现的服务。这样的服务可以是网络(例如,企业LAN)、社交网络服务、在线服务(例如,商人)等等。信息资源还可以例如是特定的存储设备(例如,盘上的文件或文件夹)的一部分。
虽然资源106被示出为与计算设备102相分离并经由网络108来访问,但是将意识到:资源106可以采用其他的形式。例如,资源106可以直接耦合到计算设备102(例如,经由有线或无线连接)。通过另一示例,资源106可以是计算设备102(例如,用户正请求访问的资源是计算设备102本身)。
访问控制服务104确定是否允许请求用户访问资源106。基于多个不同用户的多个用户凭证,作出这个确定,如下面更详细讨论的。访问控制服务104可以在类似于计算设备102的一个或多个计算设备上实现。
访问控制服务104包括访问控制模块114和凭证验证模块116。模块114和116可以实现在相同的计算设备和/或不同的计算设备上。另外,模块114和116中的每一个可以实现在单个计算设备上或者跨越多个计算设备来实现。通常,访问控制模块114接收访问资源106的请求,并利用是否允许请求访问资源106的用户这样做的指示来响应那些请求。凭证验证模块116验证从多个不同用户接收的多个凭证,并且访问控制模块114至少部分基于从多个不同用户接收的多个凭证来确定是否允许请求用户访问资源106。
图2是示出根据一个或多个实施例的示例访问控制系统200的框图。访问控制系统200例如可以实现图1的访问控制服务104。访问控制系统200包括访问控制模块202和凭证验证模块204,分别类似于图1的访问控制模块114和凭证验证模块116。
在操作期间,访问控制模块202接收访问资源的用户请求212。这个用户请求例如能够从图1的计算设备102的用户接收。响应于该用户请求,访问控制模块202与凭证验证模块204通信,该凭证验证模块204验证模块204获得的多个用户凭证214(1)、…、214(x)。凭证验证模块204能够将用户凭证214作为用户请求的一部分来接收,或者可替换地,能够以其他方式获得用户凭证214。例如,响应于访问资源的用户请求,凭证验证模块204能够(例如,经由图1的计算设备102的用户接口模块110)向不同的用户请求用户凭证214。应当注意:至少部分凭证验证模块204能够利用收集用户凭证的组件或设备来实现(例如,指纹扫描仪能够验证扫描的指纹并向在另一设备上实现的模块204的另一部分提供用户凭证是否被验证的指示)。
凭证验证模块204向访问控制模块202提供所获得的用户凭证214是否被验证的指示。访问控制模块202使用来自凭证验证模块204的这个指示以及其他的信息来确定是否允许请求访问资源的用户访问该资源。访问控制模块202随后提供指示是否允许请求访问资源的用户访问该资源的资源访问响应216。
用户凭证214标识特定用户,并且能够使用各种不同类型的用户凭证214。例如,用户凭证214可以是由用户输入的用户id和密码、从用户的智能卡获得的数字证书(certificate)和/或其他识别数据、由用户输入的生物识别数据(biometric data)、由计算设备(例如,图1的设备102)测量的或以其他方式由该计算设备收集或捕获的生物识别数据、由用户输入(或以其他方式收集或捕获)生物识别或其他数据的特定顺序、其组合等等。应当注意:能够由计算设备捕获或收集各种不同的生物识别数据,诸如用户的指纹、视网膜、面部、纹理(veins)、步态等等的扫描。不同的用户可以具有相同类型的用户凭证214或者可替换地具有不同类型的用户凭证214。
用户凭证214可以来自各种不同的源。在一个或多个实施例中,不同的用户经由相同的计算设备(例如,图1的计算设备102)输入其各自的用户凭证214。可替换地,不同的用户能够经由不同的计算设备输入其各自的用户凭证214。
凭证验证模块204验证所接收的用户凭证214。模块204验证所接收的用户凭证的方式能够至少部分基于用户凭证的类型而改变。在一个或多个实施例中,利用将用于验证用户凭证的方式的指示来编程或以其他方式来配置凭证验证模块204。在其他实施例中,凭证验证模块204可访问的单独记录或数据存储被保持,并标识将针对一个或多个资源来验证用户凭证的方式。
在一个或多个实施例中,凭证验证模块204访问可信的数据存储设备(未示出),以获得用于验证凭证的信息。例如,如果用户凭证214是用户id和密码,则模块204能够访问数据存储设备以获得存储的密码和用户id,并验证所存储的密码和用户id组合与作为用户凭证214提供的用户id和密码相匹配。通过另一示例,如果用户凭证是由用户输入生物识别或其他数据的特定顺序,则模块204能够访问数据存储设备以获得正确的顺序并验证由用户以正确的顺序输入生物识别或其他数据。通过又一示例,用户凭证214可以是包括用户的标识符(例如,用户名称或者生物识别测量或特性)的数据结构,并且该数据结构可以使用用户的公钥/私钥对中的私钥来数字签署。凭证验证模块204可以使用用户的公钥/私钥对中的公钥来验证数字签名。
另外,在一个或多个实施例中,凭证验证模块204使用来自同一用户的多个用户凭证,以便验证用于那个用户的用户凭证。例如,为了验证特定的用户凭证,模块204可以要求从用户的智能卡获得的用户id、密码和数字证书。通过另一示例,为了验证特定用户凭证,模块204可以要求用户id、密码和以正确的顺序(例如,以右手拇指、左手食指、左手拇指的顺序)来自用户输入的三个指纹。
当使用来自相同用户的多个用户凭证以便验证用户的用户凭证时,能够以各种不同的方式(例如,如上面针对模块204验证所接收的用户凭证的方式所讨论的)来识别模块204将要用来验证用户的用户凭证的特定组合或多个组合。可替换地,不同的用户凭证可以与不同的有效性概率或置信水平相关联,并且可以由用户提供这些用户凭证的不同组合。如果不同用户凭证的组合至少具有阈值有效性概率或置信水平,则凭证验证模块204验证用于那个用户的用户凭证。能够以各种不同的方式来识别特定的阈值有效性概率或置信水平(例如,如上面针对模块204验证所接收的用户凭证的方式所讨论的)。
在一个或多个实施例中,凭证验证模块204也使用有关用户凭证的源(例如,计算设备)的信息,以便验证用于用户的用户凭证。有关源的这个信息可以是源的特性、源和访问控制系统之间的通信信道的特性等等。例如,有关源的信息可以包括源的位置、源耦合的网络、源的健康测量(例如,计算设备运行状况,是否最新的防病毒程序正运行在计算设备上等)、源是否允许用户被动地或主动地响应挑战等等。有关源的这个信息能够从源本身获得,或者可替换地在别处(例如,从保持信息的表格或列表中)获得。凭证验证模块204能够确定至少部分基于有关源的信息以不同的方式验证用于用户的用户凭证。例如,模块204能够针对不同的源位置或者取决于源是否允许用户被动地或主动地响应挑战而使用不同的用户凭证、针对源可以耦合的不同网络而使用不同的凭证等等。
另外,在一个或多个实施例中,凭证验证模块204在验证用于用户的用户凭证时进行风险评估。风险评估是特定源(例如,计算设备)和/或通信信道的可靠性的指示。对于针对被视为不太可靠的源而验证用户凭证,凭证验证模块204能够强加更严格的约束。例如,如果从与访问控制系统200相同的企业网络上的计算设备接收到用户凭证,则模块204可以确定以一种方式验证用户的用户凭证,而如果从经由因特网耦合到访问控制系统200的计算设备接收到用户凭证,则模块204可以确定以不同的方式(例如,要求更高的阈值有效性概率或置信水平)验证用户的用户凭证。
访问控制模块202至少部分基于多个用户凭证214来确定从其接收到资源访问请求212的用户是否被允许访问期望的资源。模块202能够从凭证验证模块204接收用户凭证214,或者可替换地从另一源(例如,凭证验证模块204从其接收到凭证的相同设备或模块)接收用户凭证214。可替换地,凭证验证模块204能够给访问控制模块202提供对其提供用户凭证214的用户的标识符或其他指示符而非用户凭证本身。
是否允许对特定资源的访问取决于用户凭证214以及待满足以便访问特定资源的用户凭证的阈值组合的指示。每个资源可以具有它自己的待满足以便允许对资源的访问的用户凭证的阈值组合,或者访问控制模块202能够对于多个资源使用用户凭证的相同阈值组合。
待满足以便访问特定资源的用户凭证的阈值组合可以采用各种不同形式中的一种或多种。在一个或多个实施例中,阈值组合是将获得并验证的来自阈值数目的不同用户的阈值数目的用户凭证214。例如,阈值组合可以是:由凭证验证模块204验证来自三个不同用户的至少三个用户凭证214。在其他实施例中,阈值组合是:具有用户凭证214的一个或多个用户将要具有特定的用户标识符或者是特定用户组的成员。特定的用户标识符能够以不同的方式来标识,例如被包括作为用于那个用户的用户凭证214的部分。用户是其成员的组能够以不同的方式来标识,例如被包括作为用于那个用户的用户凭证214的部分、被保持在单独的用户的列表或记录中等等。
应当注意:用户凭证的阈值组合可以包括:提交资源访问请求212的用户的用户凭证被包括作为用户凭证214之一。因而,为了被允许访问特定资源,请求访问该资源的用户将提供他或她的用户凭证。可替换地,能够从用户凭证214中排除提交资源访问请求212的用户的用户凭证。因而,用户能够基于其他用户的用户凭证214而不是他或她自己的用户凭证来请求并被允许访问特定资源。
待满足以便访问特定资源的用户凭证的阈值组合能够以各种不同的方式来标识。在一个或多个实施例中,利用用户凭证的阈值组合的指示来编程或以其他方式来配置访问控制模块202。在其他实施例中,每个资源具有标识用户凭证的阈值组合的相关联的描述符或其他元数据。访问控制模块202获得并使用这个相关联的描述符或其他元数据来为那个资源确定用户凭证的阈值组合。
在其他实施例中,基于用户的凭证来标识用户凭证的阈值组合。例如,请求访问资源的用户的用户凭证(例如,数字证书)可以包括用户凭证的阈值组合的指示。通过另一示例,能够保持用于不同用户的用户凭证的阈值组合的单独记录。在又一实施例中,在单独的记录或数据库中保持用户凭证的阈值组合。这个记录或数据库能够由访问控制模块202访问和使用,以标识待满足以便访问特定资源的用户凭证的阈值组合。
另外,应当注意:用户凭证的阈值组合能够以多个不同方式的组合来标识。例如,能够基于与特定资源相关联的描述符和基于请求访问特定资源的用户的凭证两者来确定待满足以便访问特定资源的用户凭证的阈值组合。
在一个或多个实施例中,用户凭证的阈值组合能够基于风险评估(类似于以上讨论的验证用户凭证中的风险评估)而改变。为了访问特定资源,针对不同的风险评估,能够要求用户凭证的不同阈值组合。例如,如果从与访问控制系统200相同的企业网络上的计算设备接收到用户凭证,则用户id和密码的用户凭证可能足以满足阈值组合,而如果从经由因特网耦合到访问控制系统200的计算设备接收到用户凭证,则需要智能卡的用户凭证来满足阈值组合。通过另一示例,如果从被访问控制系统200视为安全的区域中的计算设备接收到用户凭证,则单个用户智能卡的用户凭证可能足以满足阈值组合,而如果从不是在被访问控制系统200视为安全的区域中的计算设备接收到这些凭证的话,则需要四个不同用户的智能卡的用户凭证来满足阈值组合。
如果用户凭证214被验证并且用户凭证的阈值组合被满足,则访问控制模块202提供指示允许由用户访问资源的资源访问响应216。然而,如果用户凭证没有被验证和/或用户凭证的阈值组合没有被满足,则访问控制模块202提供指示不允许(拒绝)由用户访问资源的资源访问响应216。
在一个或多个实施例中,如果不允许由用户访问资源,则访问控制模块202还提供为什么用户凭证的阈值组合不被满足和/或为了允许由用户访问资源而能够向访问控制系统200提供什么的指示。随后能够向用户显示信息,以通知该用户为了被授权访问资源而将要向访问控制系统200提供什么附加的用户凭证。例如,如果访问特定资源的阈值组合是来自三个不同用户的已验证的用户凭证并且已获得来自仅两个不同用户的已验证的用户凭证,则访问控制模块202能够返回为了访问特定资源而将要输入来自一个附加用户的经验证的用户凭证的指示。因而能够给用户呈现这样的信息,其通知他或她:为了访问特定资源,他或她将要让一个附加用户输入用户凭证以便验证。
另外,在一个或多个实施例中,向从其接收资源访问请求212的设备(例如,图1的计算设备102)提供资源访问响应216。可替换地(或者另外),能够向其他设备或模块提供资源访问响应216,例如被请求访问的资源。
应当注意:在一个或多个实施例中,接收的所有用户凭证214将被验证,以便访问控制模块202指示对所请求的资源的访问被允许。如果一个或多个用户凭证不被满足,则访问控制模块202提供指示用户对资源的访问不被允许的资源访问响应216。可替换地,只要仍满足用户资源的阈值组合,即使一个或多个用户凭证没有被满足,访问控制模块202也能够指示允许由用户访问资源。例如,假设由凭证验证模块204获得五个用户凭证214,并且这五个用户凭证214之中仅有三个被模块204验证。如果利用三个用户凭证满足用户资源的阈值组合,则访问控制模块202提供指示允许由用户访问资源的资源访问响应216。
访问控制模块202提供是否允许访问所请求的资源的指示。另一设备或模块(例如,资源本身)通常基于由访问控制模块202提供的响应216来执行这个访问,或者允许请求访问资源的用户访问资源或者阻止请求访问资源的用户访问资源。可替换地,能够通过访问控制系统200来执行对资源的访问。
图3示出根据一个或多个实施例的基于多个凭证实现资源访问的示例计算设备300。计算设备300包括用户接口(UI)模块304、凭证验证模块306和访问控制模块308。计算设备300类似于图1的计算设备102,并且可以是类似于图1的计算设备102的各种不同的计算设备。计算设备300包括用户接口模块304,其类似于图1的用户接口模块110。
计算设备300还包括凭证验证模块306和访问控制模块308,其分别类似于图2的凭证验证模块204和访问控制模块202。除了在计算设备300上而不是在远程访问控制服务上执行由模块306和308执行的凭证验证和访问确定之外,计算设备300类似于图1的计算设备102来操作。相应地,通过计算设备300本身提供访问控制服务。
计算设备300的用户可以请求访问特定资源310,其类似于图1的资源106。另外,计算设备300本身可以是用户请求访问的资源310。
图4是示出根据一个或多个实施例的基于多个凭证的资源访问的示例处理400的流程图。通过诸如图3的设备300或图1的访问控制服务104之类的设备或服务执行处理400,并且能够以软件、固件、硬件或其组合来实现处理400。处理400被显示为动作的集合,并且不限于为了执行各种动作的操作而示出的顺序。处理400是用于基于多个凭证的资源访问的示例处理;在此参考不同的附图来包括基于多个凭证的资源访问的附加讨论。
在处理400中,接收访问资源的请求(动作402)。这个请求典型地是从特定计算设备的用户接收的请求,但是可替换地可以从另一组件或模块接收这个请求。能够如上所述请求访问各种不同的资源,其包括用户经由其输入请求的计算设备。
从多个不同的用户获得多个用户凭证的选集(动作404)。如上所讨论的,能够从各种不同的资源获得各种不同类型的用户凭证。
验证多个用户凭证的选集(动作406)。如上所述,验证该选集中的多个用户凭证之中的一个或多个。
多个用户凭证的选集与待满足以便访问资源的用户凭证的阈值组合进行比较(动作408)。这个用户凭证的阈值组合能够采用各种不同的形式,如上所述,例如阈值数目的用户凭证和/或用户要具有的特定用户标识符和/或特定用户要是其成员的组。另外,这个用户凭证的阈值组合可以基于用户凭证的源的风险评估而改变,如上所述。
基于比较来作出是否允许访问资源的确定(动作410)。这个确定也至少部分基于在动作406中执行的验证,如上所讨论的。
处理400基于如在动作410中所确定的是否允许对资源的访问来继续进行(动作412)。如果允许对资源的访问,则提供允许对资源的访问的指示(动作414)。这个指示可以提供给在动作402中从其接收请求的用户(或者由那个用户使用的计算设备)和/或另一设备或模块,如上所讨论的。
然而,如果不允许对资源的访问,则提供不允许对资源的访问的指示和为了访问被允许而需要什么的指示两者(动作416)。这些指示可以提供给在动作402中从其接收请求的用户(或者由那个用户使用的计算设备)和/或另一设备或模块,如上讨论的。处理400随后返回至动作404,以获得待验证以便获得对资源的访问的附加凭证。可替换地,如果在动作404中没有获得附加凭证(例如,没有附加用户凭证由用户提供),则处理400结束而不允许对资源的访问。
在此讨论的基于多个凭证的资源访问提供各种不同的使用场景。例如,特定用户可以请求访问特定服务,但是仅在另一用户(例如,父母、主管等)指示这样的访问将被允许时才被允许访问该特定服务。另一用户可以通过提供他或她的用户凭证来指示将允许这样的访问。相应地,访问控制服务仅当请求用户的用户凭证和另一用户的用户凭证被提供给访问控制服务时才允许请求用户访问该特定服务。
通过另一示例,假设第一用户忘记他或她的访问企业网络的密码。访问控制服务能够被配置,以便在被验证为允许访问企业网络的至少三个其他用户为第一用户作担保时允许用户访问企业网络(例如,并且重置他或她的密码)。相应地,第一用户能够请求访问企业网络并让三个同事以他的名义提供他们的用户凭证。如果至少三个同事向访问控制服务提供他们的用户凭证,访问控制服务则允许第一用户利用他或她的用户标识符(但是没有他或她的密码)来访问企业网络。
继续这个示例,访问控制服务可以被配置为采用风险评估来确定用户是否被允许访问企业网络。例如,如果用户正从企业网络上的计算设备请求访问企业网络,则在被验证为允许访问企业网络的至少三个其他用户为第一用户作担保时允许该用户访问企业网络。然而,如果该用户正从经由因特网访问企业网络的计算设备请求访问企业网络,则在被验证为允许访问企业网络的至少三个其他用户为第一用户作担保的情况下不允许该用户访问企业网络,但是如果被验证为企业安全官员的用户为第一用户作担保,该用户能够访问企业网络。
图5示出根据一个或多个实施例的能够被配置为基于多个凭证实现资源访问的示例计算设备500。计算设备500可以例如是图1的计算设备102、图3的计算设备300或能够实现图1的访问控制服务104。
计算设备500包括一个或多个处理器或处理单元502、能够包括一个或多个存储器和/或存储组件506的一个或多个计算机可读媒体504、一个或多个输入/输出(I/O)设备508以及允许各种组件和设备彼此通信的总线510。计算机可读媒体504和/或一个或多个I/O设备508可以被包括作为计算设备500的一部分,或者可替换地可以被耦合到计算设备500。总线510代表若干类型的总线结构中的一个或多个,包括使用各种不同总线架构的存储器总线或存储器控制器、外围总线、加速图形端口、处理器或本地总线等等。总线510可以包括有线和/或无线总线。
存储器/存储组件506代表一个或多个计算机存储媒体。组件506可以包括易失性媒体(例如随机存取存储器(RAM))和/或非易失性媒体(例如只读存储器(ROM)、闪存、光盘、磁盘等等)。组件506可以包括固定媒体(例如RAM、ROM、固定硬盘驱动器等)以及可移动媒体(例如,闪存驱动器、可移动硬盘驱动器、光盘等等)。
在此讨论的技术能够以软件来实现,其中指令由一个或多个处理单元502来执行。将意识到:不同的指令可以存储在计算设备500的不同组件中,例如在处理单元502中、在处理单元502的各种缓存存储器中、在设备500的其他缓存存储器(未示出)中、在其他计算机可读媒体上等等。另外,将意识到:指令存储在计算设备500中的位置可以随时间而变化。此外,应当注意:指令也能够存储在诸如收集用户凭证的设备之类的其他设备上(例如,收集指纹的设备可以包含能够由处理单元502(或者该设备的处理单元或控制器)执行以验证指纹的指令)。
一个或多个输入/输出设备508允许用户向计算设备500输入命令和信息,并且还允许信息被呈现给用户和/或其他组件或设备。输入设备的示例包括键盘、光标控制设备(例如,鼠标)、麦克风、扫描仪等等。输出设备的示例包括显示设备(例如,监视器或投影仪)、扬声器、打印机、网卡等等。
在此可以根据软件或程序模块的一般上下文来描述各种技术。一般,软件包括例程、程序、对象、组件、数据结构等等,其执行特定的任务或实现特定的抽象数据类型。这些模块和技术的实现方式可以存储在某种形式的计算机可读媒体上或者跨越某种形式的计算机可读媒体来发送。计算机可读媒体可以是能够通过计算设备访问的任何可用的媒介或媒体。通过示例而非限制,计算机可读媒体可以包括“计算机存储媒体”和“通信媒体”。
“计算机存储媒体”包括以任何方法或技术实现的易失性和非易失性、可移动和不可移动媒体,用于存储诸如计算机可读指令、数据结构、程序模块或其他数据的信息。计算机存储媒体包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光存储设备、磁盒、磁带、磁盘存储设备或其他磁存储设备、或者能够用来存储期望的信息并能够通过计算机访问的任何其他媒介。
“通信媒体”典型地体现计算机可读指令、数据结构、程序模块、或调制的数据信号中的其他数据,例如载波或其他传输机制。通信媒体还包括任何的信息递送媒体。术语“调制的数据信号”意指这样的信号,其中以编码该信号中的信息的方式来设置或改变其特性中的一个或多个。通过示例而非限制,通信媒体包括诸如有线网络或直接连线连接的有线媒体以及诸如声学、RF、红外和其他无线媒体之类的无线媒体。以上的任何的组合也被包括在计算机可读媒体的范围之内。
通常,在此描述的任何功能或技术能够使用软件、固件、硬件(例如,固定逻辑电路)、人工处理或者这些实现方式的组合来实现。在此使用的术语“模块”和“组件”通常代表软件、固件、硬件或其组合。在软件实现的情况下,模块或组件代表当在处理器(例如一个或多个CPU)上运行时执行指定任务的程序代码。程序代码能够存储在一个或多个计算机可读存储器设备中,其进一步的描述可以参考图5找到。在此描述的基于多个凭证的资源访问技术的特征是平台独立的,这意味着:这些技术可以在具有各种处理器的各种商用计算平台上实现。
虽然以特定于结构特征和/或方法学上的动作的语言描述了主题,但是要理解的是,所附的权利要求书中定义的主题不必限于以上描述的具体特征或动作。相反,上述的具体特征和动作作为实现这些权利要求的示例形式被披露。
Claims (15)
1.一种方法,包括:
在第一设备上获得(404)多个用户凭证的选集,其中每一个用户凭证与多个不同用户之中的一个相关联;
验证(406)所述多个用户凭证之中的一个或多个;
将所述多个用户凭证的选集与待满足以便访问资源的用户凭证的阈值组合进行比较(408);
基于所述比较和所述验证,确定(410)是否允许对资源的访问;以及
提供(414,416)是否允许由请求用户访问资源的指示。
2.如权利要求1所述的方法,所述获得包括响应于访问资源的用户请求而获得所述多个用户凭证的选集,所述用户请求在远离第一设备的第二设备上被接收。
3.如权利要求2所述的方法,其中所述多个用户凭证的选集包括从其接收所述用户请求的用户的用户凭证。
4.如权利要求2所述的方法,其中所述多个用户凭证的选集包括为从其接收所述用户请求的用户作担保的多个用户的用户凭证,但是排除从其接收所述用户请求的用户的用户凭证。
5.如权利要求1所述的方法,所述获得包括响应于访问资源的用户请求而获得所述多个用户凭证的选集。
6.如权利要求1所述的方法,其中待满足以便访问资源的所述用户凭证的阈值组合包括:将要获得来自至少阈值数目的不同用户的至少阈值数目的用户凭证。
7.如权利要求1所述的方法,其中待满足以便访问资源的所述用户凭证的阈值组合包括:具有所述多个用户凭证之一的至少一个用户将要是特定用户组的成员。
8.如权利要求1所述的方法,其中从所述请求用户接收的请求是访问资源而不提供用于请求用户的用户凭证的请求,并且其中所述多个用户凭证的选集是正在为所述请求用户作担保的多个不同用户的用户凭证。
9.如权利要求1所述的方法,其中所述资源是多个资源之一,并且其中所述多个资源之中的不同资源具有不同的待满足以便访问所述资源的用户凭证的阈值组合。
10.如权利要求9所述的方法,其中待满足以便访问多个资源之中的特定一个的用户凭证的阈值组合被包括在与所述多个资源之中的特定一个相关联的元数据中。
11.如权利要求1所述的方法,其中验证所述多个用户凭证之中的一个包括验证:以特定顺序收集生物识别数据。
12.如权利要求1所述的方法,其中所述资源的阈值组合至少部分取决于所述多个用户凭证的选集的一个或多个源的风险评估。
13.如权利要求1所述的方法,其中所述多个用户凭证之中的不同用户凭证是不同类型的用户凭证。
14.实现访问控制系统的一个或多个计算设备,所述访问控制系统包括:
凭证验证模块(204),用于接收多个用户凭证的选集并验证所述多个用户凭证之中的一个或多个,所述多个用户凭证之中的每一个与多个不同用户之中的一个相关联;以及
访问控制模块(202),其被耦合来接收所述多个用户凭证之中的一个或多个是否被所述凭证验证模块验证的指示,将所述多个用户凭证之中的一个或多个与待满足以便访问资源的用户凭证的阈值组合进行比较,并且基于所述比较来确定是否允许对资源的访问。
15.如权利要求14所述的一个或多个计算设备,其中待满足以便访问资源的所述用户凭证的阈值组合包括:将要获得来自至少阈值数目的不同用户的至少阈值数目的用户凭证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/582,185 US8418237B2 (en) | 2009-10-20 | 2009-10-20 | Resource access based on multiple credentials |
| US12/582185 | 2009-10-20 | ||
| PCT/US2010/050278 WO2011049711A2 (en) | 2009-10-20 | 2010-09-24 | Resource access based on multiple credentials |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102576399A true CN102576399A (zh) | 2012-07-11 |
| CN102576399B CN102576399B (zh) | 2015-05-13 |
Family
ID=43880293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080047318.5A Active CN102576399B (zh) | 2009-10-20 | 2010-09-24 | 基于多个凭证的资源访问 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8418237B2 (zh) |
| EP (1) | EP2491515A4 (zh) |
| CN (1) | CN102576399B (zh) |
| WO (1) | WO2011049711A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105426727A (zh) * | 2015-12-17 | 2016-03-23 | 广东欧珀移动通信有限公司 | 指纹解密方法及移动终端 |
| CN105612731A (zh) * | 2013-06-12 | 2016-05-25 | 微软技术许可有限责任公司 | 跨受信和非受信平台漫游互联网可访问应用状态 |
| CN106997532A (zh) * | 2016-01-22 | 2017-08-01 | 阿里巴巴集团控股有限公司 | 电子凭证的核销方法、系统及服务器 |
| CN108415387A (zh) * | 2018-03-19 | 2018-08-17 | 深圳迈辽技术转移中心有限公司 | 一种安全控制系统及安全控制方法 |
| CN108415388A (zh) * | 2018-03-19 | 2018-08-17 | 深圳迈辽技术转移中心有限公司 | 一种安全控制系统及安全控制方法 |
| CN111801668A (zh) * | 2018-03-01 | 2020-10-20 | 谷歌有限责任公司 | 渐进式凭证禁用 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8418237B2 (en) | 2009-10-20 | 2013-04-09 | Microsoft Corporation | Resource access based on multiple credentials |
| US9027092B2 (en) * | 2009-10-23 | 2015-05-05 | Novell, Inc. | Techniques for securing data access |
| JP2013517548A (ja) * | 2010-01-13 | 2013-05-16 | イーロ・タッチ・ソリューションズ・インコーポレイテッド | タッチ検出表面を有する電子デバイスにおけるノイズ減少 |
| US8984621B2 (en) * | 2010-02-27 | 2015-03-17 | Novell, Inc. | Techniques for secure access management in virtual environments |
| US8528090B2 (en) * | 2010-07-02 | 2013-09-03 | Symantec Corporation | Systems and methods for creating customized confidence bands for use in malware detection |
| US20220004649A1 (en) * | 2011-12-09 | 2022-01-06 | Sertainty Corporation | System and methods for using cipher objects to protect data |
| US20130160144A1 (en) * | 2011-12-14 | 2013-06-20 | Microsoft Corporation | Entity verification via third-party |
| US9258249B2 (en) * | 2012-02-13 | 2016-02-09 | Microsoft Technology Licensing, Llc | Resource access throttling |
| US9600169B2 (en) * | 2012-02-27 | 2017-03-21 | Yahoo! Inc. | Customizable gestures for mobile devices |
| US20130254300A1 (en) * | 2012-03-22 | 2013-09-26 | Adam Berk | Computer-based Methods and Systems for Verifying User Affiliations for Private or White Label Services |
| US8863243B1 (en) * | 2012-04-11 | 2014-10-14 | Google Inc. | Location-based access control for portable electronic device |
| US20130305270A1 (en) * | 2012-05-08 | 2013-11-14 | Scooltv, Inc. | System and method for rating a media file |
| US9069932B2 (en) * | 2012-07-06 | 2015-06-30 | Blackberry Limited | User-rotatable three-dimensionally rendered object for unlocking a computing device |
| US9947156B2 (en) | 2012-10-17 | 2018-04-17 | Philips Lighting Holding B.V. | Granting control of a shared system |
| CN103809733B (zh) * | 2012-11-07 | 2018-07-20 | 北京三星通信技术研究有限公司 | 人机交互系统和方法 |
| SE536989C2 (sv) * | 2013-01-22 | 2014-11-25 | Crunchfish Ab | Förbättrad återkoppling i ett beröringsfritt användargränssnitt |
| US8955070B2 (en) * | 2013-03-12 | 2015-02-10 | International Business Machines Corporation | Controlled password modification method and apparatus |
| US9411982B1 (en) * | 2013-08-07 | 2016-08-09 | Amazon Technologies, Inc. | Enabling transfer of digital assets |
| JP5892123B2 (ja) * | 2013-08-20 | 2016-03-23 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
| FR3020696B1 (fr) * | 2014-04-30 | 2017-09-08 | Predicsis | Procede et dispositif d'authentification d'un utilisateur pour l'acces a des ressources distantes |
| GB201409919D0 (en) * | 2014-06-04 | 2014-07-16 | Idscan Biometric Ltd | System, method and program for managing a repository of authenticated personal data |
| US9298899B1 (en) * | 2014-09-11 | 2016-03-29 | Bank Of America Corporation | Continuous monitoring of access of computing resources |
| US9639687B2 (en) | 2014-11-18 | 2017-05-02 | Cloudfare, Inc. | Multiply-encrypting data requiring multiple keys for decryption |
| CN104573473B (zh) * | 2014-12-05 | 2018-02-02 | 小米科技有限责任公司 | 一种解锁管理权限的方法和认证设备 |
| EP3668002B1 (en) * | 2014-12-19 | 2022-09-14 | Private Machines Inc. | Systems and methods for using extended hardware security modules |
| US20160366144A1 (en) * | 2015-06-10 | 2016-12-15 | Huawei Technologies Co., Ltd. | System Security Using Multi-user Control |
| US9942237B2 (en) | 2015-08-28 | 2018-04-10 | Bank Of America Corporation | Determining access requirements for online accounts based on characteristics of user devices |
| GB2545894A (en) * | 2015-12-21 | 2017-07-05 | F Secure Corp | Network service abuse prevention |
| GB201611948D0 (en) * | 2016-07-08 | 2016-08-24 | Kalypton Int Ltd | Distributed transcation processing and authentication system |
| KR102245382B1 (ko) * | 2019-12-31 | 2021-04-28 | 주식회사 코인플러그 | 블록체인 네트워크 기반의 가상 공통 아이디 서비스 방법 및 이를 이용한 서비스 제공 서버 |
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
| US11921842B2 (en) * | 2021-06-14 | 2024-03-05 | Kyndryl, Inc. | Multifactor authorization on accessing hardware resources |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6148401A (en) * | 1997-02-05 | 2000-11-14 | At&T Corp. | System and method for providing assurance to a host that a piece of software possesses a particular property |
| US20020144149A1 (en) * | 2001-04-03 | 2002-10-03 | Sun Microsystems, Inc. | Trust ratings in group credentials |
| US6697947B1 (en) * | 1999-06-17 | 2004-02-24 | International Business Machines Corporation | Biometric based multi-party authentication |
| CN1507732A (zh) * | 2001-05-11 | 2004-06-23 | ض� | 授权访问服务器上的资源的方法和系统 |
| US20060026671A1 (en) * | 2004-08-02 | 2006-02-02 | Darran Potter | Method and apparatus for determining authentication capabilities |
| US20060224590A1 (en) * | 2005-03-29 | 2006-10-05 | Boozer John F | Computer-implemented authorization systems and methods using associations |
| US20080289032A1 (en) * | 2005-08-04 | 2008-11-20 | Osamu Aoki | Computer Control Method and Computer Control System Using an Externally Connected Device |
| US20090113530A1 (en) * | 2007-10-29 | 2009-04-30 | Brainard John G | User Authentication Based on Voucher Codes |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5745578A (en) * | 1996-06-17 | 1998-04-28 | Ericsson Inc. | Apparatus and method for secure communication based on channel characteristics |
| US6754820B1 (en) | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| US6609198B1 (en) | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| US6263434B1 (en) | 1999-09-21 | 2001-07-17 | Sun Microsystems, Inc. | Signed group criteria |
| WO2001056213A1 (en) | 2000-01-26 | 2001-08-02 | Citicorp Development Center, Inc. | System and method for user authentication |
| US7565326B2 (en) | 2000-05-25 | 2009-07-21 | Randle William M | Dialect independent multi-dimensional integrator using a normalized language platform and secure controlled access |
| US20030140233A1 (en) | 2002-01-22 | 2003-07-24 | Vipin Samar | Method and apparatus for facilitating low-cost and scalable digital identification authentication |
| US7496952B2 (en) | 2002-03-28 | 2009-02-24 | International Business Machines Corporation | Methods for authenticating a user's credentials against multiple sets of credentials |
| CN1820279B (zh) * | 2003-06-16 | 2012-01-25 | Uru科技公司 | 能通过生物测量创建和操作多用途凭证管理装置的方法和系统 |
| WO2005107137A2 (en) | 2004-04-23 | 2005-11-10 | Passmark Security, Inc. | Method and apparatus for authenticating users using two or more factors |
| EP1982288A2 (en) * | 2006-01-26 | 2008-10-22 | Imprivata, Inc. | Systems and methods for multi-factor authentication |
| US8418237B2 (en) | 2009-10-20 | 2013-04-09 | Microsoft Corporation | Resource access based on multiple credentials |
-
2009
- 2009-10-20 US US12/582,185 patent/US8418237B2/en active Active
-
2010
- 2010-09-24 EP EP10825381.6A patent/EP2491515A4/en not_active Ceased
- 2010-09-24 CN CN201080047318.5A patent/CN102576399B/zh active Active
- 2010-09-24 WO PCT/US2010/050278 patent/WO2011049711A2/en active Application Filing
-
2013
- 2013-03-15 US US13/836,231 patent/US8904509B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6148401A (en) * | 1997-02-05 | 2000-11-14 | At&T Corp. | System and method for providing assurance to a host that a piece of software possesses a particular property |
| US6697947B1 (en) * | 1999-06-17 | 2004-02-24 | International Business Machines Corporation | Biometric based multi-party authentication |
| US20020144149A1 (en) * | 2001-04-03 | 2002-10-03 | Sun Microsystems, Inc. | Trust ratings in group credentials |
| CN1507732A (zh) * | 2001-05-11 | 2004-06-23 | ض� | 授权访问服务器上的资源的方法和系统 |
| US20060026671A1 (en) * | 2004-08-02 | 2006-02-02 | Darran Potter | Method and apparatus for determining authentication capabilities |
| US20060224590A1 (en) * | 2005-03-29 | 2006-10-05 | Boozer John F | Computer-implemented authorization systems and methods using associations |
| US20080289032A1 (en) * | 2005-08-04 | 2008-11-20 | Osamu Aoki | Computer Control Method and Computer Control System Using an Externally Connected Device |
| US20090113530A1 (en) * | 2007-10-29 | 2009-04-30 | Brainard John G | User Authentication Based on Voucher Codes |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105612731A (zh) * | 2013-06-12 | 2016-05-25 | 微软技术许可有限责任公司 | 跨受信和非受信平台漫游互联网可访问应用状态 |
| CN105612731B (zh) * | 2013-06-12 | 2019-10-01 | 微软技术许可有限责任公司 | 跨受信和非受信平台漫游互联网可访问应用状态 |
| CN105426727A (zh) * | 2015-12-17 | 2016-03-23 | 广东欧珀移动通信有限公司 | 指纹解密方法及移动终端 |
| CN105426727B (zh) * | 2015-12-17 | 2019-02-05 | Oppo广东移动通信有限公司 | 指纹解密方法及移动终端 |
| CN106997532A (zh) * | 2016-01-22 | 2017-08-01 | 阿里巴巴集团控股有限公司 | 电子凭证的核销方法、系统及服务器 |
| CN111801668A (zh) * | 2018-03-01 | 2020-10-20 | 谷歌有限责任公司 | 渐进式凭证禁用 |
| CN111801668B (zh) * | 2018-03-01 | 2023-11-07 | 谷歌有限责任公司 | 渐进式凭证禁用 |
| CN108415387A (zh) * | 2018-03-19 | 2018-08-17 | 深圳迈辽技术转移中心有限公司 | 一种安全控制系统及安全控制方法 |
| CN108415388A (zh) * | 2018-03-19 | 2018-08-17 | 深圳迈辽技术转移中心有限公司 | 一种安全控制系统及安全控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8418237B2 (en) | 2013-04-09 |
| US20130205382A1 (en) | 2013-08-08 |
| EP2491515A2 (en) | 2012-08-29 |
| CN102576399B (zh) | 2015-05-13 |
| WO2011049711A2 (en) | 2011-04-28 |
| WO2011049711A3 (en) | 2011-08-04 |
| US20110093939A1 (en) | 2011-04-21 |
| EP2491515A4 (en) | 2014-12-03 |
| US8904509B2 (en) | 2014-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102576399B (zh) | 基于多个凭证的资源访问 | |
| US11049205B2 (en) | System and method for electronically providing legal instrument | |
| US10050787B1 (en) | Authentication objects with attestation | |
| US10333711B2 (en) | Controlling access to protected objects | |
| CN110768968B (zh) | 基于可验证声明的授权方法、装置、设备及系统 | |
| JP4733167B2 (ja) | 情報処理装置、情報処理方法、情報処理プログラムおよび情報処理システム | |
| JP6054457B2 (ja) | 制御された情報開示によるプライベート解析 | |
| US10868672B1 (en) | Establishing and verifying identity using biometrics while protecting user privacy | |
| US11140171B1 (en) | Establishing and verifying identity using action sequences while protecting user privacy | |
| US10049202B1 (en) | Strong authentication using authentication objects | |
| CN102045367A (zh) | 实名认证的注册方法及认证服务器 | |
| CN102427442A (zh) | 组合请求相关元数据和元数据内容 | |
| US20120311331A1 (en) | Logon verification apparatus, system and method for performing logon verification | |
| KR101809974B1 (ko) | 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증시스템 및 보안인증방법 | |
| CA2813855A1 (en) | Methods and systems for conducting smart card transactions | |
| US11824850B2 (en) | Systems and methods for securing login access | |
| JP5951094B1 (ja) | 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム | |
| JP2015033038A (ja) | 情報処理装置、情報処理方法及びコンピュータプログラム | |
| WO2015019821A1 (ja) | 情報処理装置、情報処理方法及びコンピュータプログラム | |
| JP6570480B2 (ja) | 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム | |
| Ba et al. | Addressing smartphone-based multi-factor authentication via hardware-rooted technologies | |
| KR101809976B1 (ko) | 다중 사용자의 인증요소를 조합하여 보안키를 생성하는 보안인증방법 | |
| JP2019176251A (ja) | 認証システム及び認証方法 | |
| JP4981821B2 (ja) | デバイスでdrmコンテンツをローミングして使用する方法およびデバイス | |
| WO2022255151A1 (ja) | データ管理システム、データ管理方法、及び非一時的記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150612 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150612 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |