CN102792311B - 安全动态权力委派 - Google Patents
安全动态权力委派 Download PDFInfo
- Publication number
- CN102792311B CN102792311B CN201180013569.6A CN201180013569A CN102792311B CN 102792311 B CN102792311 B CN 102792311B CN 201180013569 A CN201180013569 A CN 201180013569A CN 102792311 B CN102792311 B CN 102792311B
- Authority
- CN
- China
- Prior art keywords
- resource
- requestor
- owner
- authorization token
- location
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在通信网络中,其中第一计算设备代表资源拥有者而第二计算设备代表资源请求者,该资源拥有者检测事件发生,其中该事件发生代表请求访问存储于资源所在地中的所述资源拥有者的一个或多个资源。所述资源拥有者响应于所述事件发生而发送授权令牌至所述资源请求者,所述授权令牌用作由所述资源拥有者所委派的授权的证明,该证明由所述资源请求者出示给所述资源所在地以允许该资源请求者访问存储于该资源所在地中的一个或多个所请求资源。
Description
技术领域
本发明一般地涉及通信网络,更具体地涉及用在通信网络中的技术,该技术用于安全动态地委派授权以实现涉及由不同于资源拥有者的实体访问受保护资源的应用。
背景技术
这个部分介绍可能有助于更好地理解本发明的方面。相应地,这个部分的陈述是以该目的来阅读的并且不应当被看作是作为现有技术或非现有技术的认定。
可经由通信网络获得的各种不同的工具,例如万维网,允许用户创建他们自己的应用或网页。一个例子称作“mashup(聚合)”,其是使用或组合来自两个或更多源的数据或功能性以创建新服务或应用的网页或应用。然而,当用户被要求针对不同的源而给出他/她的证书(用户名和密码)时,出现了问题,这暴露了源之间的信息并且给予一个源对另一个源的完全访问。这可能不是用户所期望的。
称作OAuth的协议尝试提供对该问题的解决方案。一般地,OAuth协议(参见http://oauth.net/)使得用户能够提供对他们的web资源的第三方访问而不必共享他们的密码。然而,该协议存在几个限制和缺陷。首先,由于协议与超文本传输协议(HTTP)有关,它不适用于非web应用。其次,由于该协议依赖于对HTTP重定向的使用,因此它容易受到网络钓鱼攻击。该协议也需要多个往返来获得所委派的授权,并且它对于应用性能而言不是最佳的。最后,由于该协议使用不止一种委派证据和涉及重复的加密签名的证明机制,它过于复杂。因此,需要一种克服了所述和其他缺点的关于权利委派的改进方法。
发明内容
本发明的实施例提供用于动态地委派授权以实现通信网络(例如万维网或下一代网络)上的应用(例如mashups和第三方应用)的一般、有效且安全的方法,所述应用涉及由不同于资源拥有者的实体访问受保护资源。
在第一方面中,一种方法包括下列步骤。在通信网络中,其中,第一计算设备代表资源拥有者,而第二计算设备代表资源请求者,该资源拥有者检测事件发生,其中该事件发生代表请求访问存储于资源所在地中的资源拥有者的一个或多个资源。该资源拥有者响应于事件发生而发送授权令牌至资源请求者,该授权令牌用作由资源拥有者所委派的授权的证明,该证明要由资源请求者出示给资源所在地以使得资源请求者能够访问存储于该资源所在地中的一个或多个所请求资源。
在一个或多个实施例中,该事件发生可以是由资源拥有者接收来自资源请求者的资源请求(例如拉方法)。可选地,该事件发生可以是关联于应用程序(例如推方法)的触发事件的发生。该资源所在地可以位于第三计算设备中或它可以位于第一计算设备中。该授权令牌可以具有一个或多个可验证结构、有限的寿命并且指定了用于认证资源请求者的方法或用于认证资源请求者的保证等级。该可验证结构可以包括资源拥有者的数字签名。该授权令牌可以指定一个或多个动作,该动作被许可按照一个或多个所请求资源而被执行。该资源请求者可以在一个往返中获得来自资源拥有者的授权令牌。用于获得令牌的机制可以绑定到现有的应用协议。为获得对一个或多个所请求资源的访问而出示授权令牌也可以绑定到现有的应用协议。进一步地,由资源拥有者委派的授权的证明可以从资源请求者被传送到至少另一个资源请求者以使得该另一资源请求者能够出示另一个授权令牌给资源所在地以允许该另一资源请求者访问存储于该资源所在地中的一个或多个所请求资源。由该另一资源请求者所获得的另一授权令牌可以指定动作许可范围,该动作许可范围是由资源请求者直接从资源拥有者获得的授权令牌中所指定的动作授权范围的子集。在一个实施例中,由该另一资源请求者所获得的另一授权令牌没有更改用于认证资源请求者的方法或用于认证资源请求者的保证级别。进一步地,该另一授权令牌可以是初始接收的授权令牌的修改形式并且前一个资源请求者在发送该授权令牌的修改形式至该另一资源请求者之前执行修改。
仍进一步地,该资源拥有者可以在发送授权令牌至资源请求者之前认证该资源请求者。
在第二方面中,一种方法包括下列步骤。在通信网络中,其中第一计算设备代表资源拥有者而第二计算设备代表资源请求者,并且该资源拥有者检测事件发生并且该事件发生代表请求访问存储于资源所在地中的该资源拥有者的一个或多个资源,该资源请求者接收由该资源拥有者响应于该事件发生而发送的授权令牌,该授权令牌用作由该资源拥有者委派的授权的证明,该证明要由资源请求者出示给资源所在地以使得该资源请求者能够访问存储于该资源所在地中的一个或多个所请求资源。
在一个或多个实施例中,该资源所在地可以在该资源请求者出示授权令牌给该资源所在地之前认证该资源请求者。该资源所在地在作用于一个或多个所请求资源之前验证由该资源请求者出示的授权令牌。进一步地,该资源所在地可以在该资源请求者出示授权令牌给该资源所在地之后认证该资源请求者。该资源请求者也可以将由该资源拥有者所委派的授权的证明传送至至少另一个资源请求者。这种传送可以包括该资源请求者发送另一个授权令牌给该另一个资源请求者以使得该另一资源请求者能够出示该另一授权令牌给该资源所在地从而许可该另一个资源请求者访问存储于该资源所在地中的一个或多个所请求资源。
在第三方面中,一种方法包括下列步骤。在通信网络中,其中,第一计算设备代表资源拥有者而第二计算设备代表资源请求者,并且该资源拥有者检测事件发生并且该事件发生代表请求访问存储于资源所在地中的该资源拥有者的一个或多个资源,并且该资源请求者接收由该资源拥有者响应于该事件发生而发送的授权令牌,该资源所在地接收该授权令牌,该授权令牌用作由该资源拥有者委派给该资源请求者的授权的证明以许可该资源请求者访问存储于该资源所在地中的一个或多个所请求资源。
有利地,本发明的动态授权委派技术适用于web和非web应用。本发明的技术不依赖于对HTTP重定向的使用并且不需要多次往返来获得所委派的授权。进一步地,本发明的技术不如现有的授权委派方案那样复杂。
附图说明
参考附图,通过阅读下面对说明性实施例的详细描述,本发明的所述和其他目的、特征和优点将变得明显,其中:
图1示出了根据本发明一个实施例的参与安全动态授权委派的实体;
图2示出了根据本发明一个实施例的授权令牌的基本结构;
图3示出了根据本发明一个实施例的由资源请求者执行的用于请求授权令牌的方法;
图4示出了根据本发明一个实施例的由资源拥有者响应于对授权令牌的请求而执行的方法;
图5A和5B示出了根据本发明一个实施例的由资源请求者执行的用于访问受保护资源的方法;
图6A和6B示出了根据本发明一个实施例的由资源所在地响应于对访问受保护资源的请求而执行的方法;
图7示出了根据本发明一个实施例的另一个授权令牌的结构;
图8示出了根据本发明一个实施例的适于实现安全动态授权委派的通信网络的硬件结构。
具体实施方式
下面将结合示例性通信网络和示例性应用来说明本发明。然而,应当理解,本发明不限于使用任何特定类型的通信网络或应用。所公开的技术适于使用各种各样的通信网络,包括基于web的和基于非web的网络,以及多种应用。实际上,所公开的技术可以在任何合适的通信网络中利用任何合适的应用来实现,其中期望提供动态授权委派以实现通信网络上的涉及由不同于资源拥有者的实体对受保护资源的访问的应用。
如这里使用的,“授权委派”一般是指能够访问某项目的一方允许另一方访问该项目。作为例子,在下面的实施例中,资源拥有者允许资源请求者利用授权令牌访问某资源。在委派是实时按需执行而不是通过提供来执行的意义下,该操作被看做是“动态的”。
如这里所使用的,“令牌”一般是指一种代表可验证或能够被认证的访问控制准则和操作的数据对象或结构。如这里所使用的,“资源”一般是指能够通过通信网络访问的任何项目、数据、信息等。
如这里所使用的,“应用”一般是指被设计用于辅助用户或实体至一个或多个指定任务的计算机软件。
如这里将解释的那样,本发明的说明性实施例提供的技术使得资源请求者能够动态地从资源拥有者直接获得对访问其资源所在地中的资源的许可。如这里使用的“所在地”一般是指可经由通信网络访问的存储位置。资源请求者能够通过出示由资源拥有者委派的授权证明来访问资源所在地中的受保护资源。该证明(即授权令牌)具有可验证的结构和有限的寿命,并且还指定了用于认证资源请求者的方法和保证等级。资源请求者能够通过一种基于请求-响应并且能够绑定到现有应用协议的机制来在一个往返中从资源拥有者动态获得授权令牌。例如,资源令牌请求/响应能够作为消息报头或报体或二者的一部分,通过HTTP或会话起始协议(SIP)来承载。用于出示资源令牌以获得对受保护资源的访问的机制是基于请求-响应的并且能够绑定到现有应用协议。例如,令牌能够作为消息报头或报体的一部分,通过HTTP或SIP来承载。
图1示出了根据本发明一个实施例的系统100,其中实体参与安全动态授权委派。如所示,该系统涉及三种行为者:资源拥有者102、资源请求者104和资源所在地106。应当认识到,这三种行为者每个都能够被实现为一个或多个计算设备,如下面将进一步解释的那样。
资源拥有者102能够体现为用户代理(在终端用户的情况下)或授权服务器(在服务提供商或组织的情况下)。类似地,资源请求者104能够体现为用户代理(在终端用户的情况下)或应用服务器(在服务提供商或组织的情况下)。在其中(操作计算设备A的)“爱丽斯”请求照片打印服务提供商打印她存储在服务器中的在莫斯科旅游时的照片这一使用情形中,资源拥有者102(爱丽斯)将由用户代理(例如执行于计算设备A上的web浏览器程序)代表,而资源请求者104(照片打印服务提供商)将由应用服务器代表。在另一使用情形中,其中(操作计算设备B的)“鲍勃”是在线电影服务的用户,资源拥有者102(在线电影服务提供商)将由授权服务器代表,而资源请求者104(鲍勃)将由用户代理(例如执行与计算设备B上的web浏览器程序)代表。
为了获得对资源所在地106中的特定受保护资源的访问,资源请求者104需要从资源拥有者102直接获得授权令牌,该令牌具有如图2所示(将在下文进一步讨论)的基本结构200。为此,两种方法是可行的:拉和推。在拉方法中,资源请求者104和资源拥有者102交换请求和响应。令牌请求将至少标识请求者以及目标资源和关联的动作。将在下文解释的图3和4分别从资源请求者104和资源拥有者102的角度示出了拉方法。在推方法中,作为应用触发的结果而不是作为来自资源请求者的明确请求的结果,资源拥有者102能够向资源请求者104发出授权令牌。
图3示出了在资源请求者(例如图1中的104)一侧的用于请求基本授权令牌的拉方法300。在步骤302中,资源请求者生成并发送授权令牌请求给资源拥有者。在步骤304中,资源请求者检查从资源拥有者接收的第一响应并且在步骤306中确定该第一响应是否包括认证请求(由此资源拥有者在发送授权令牌给请求者之前请求认证该请求者)或该第一响应是否包括授权令牌。
如果来自资源拥有者的第一响应不是认证请求而是包括授权令牌,并且因此步骤308(即下文描述的检查失败令牌响应的接收)产生否定结果,则请求者在步骤310中保存该授权令牌(以随后发送至资源所在地)。
然而,如果来自资源拥有者的第一响应是认证请求,则在步骤312中,资源请求者生成并发送认证响应给资源拥有者。在步骤314中,资源请求者检查从资源拥有者接收的第二响应并且确定该第二响应是否包括授权令牌(因此假设认证成功)。如果是,则步骤308(失败令牌响应)产生否定结果,并且请求者在步骤310中保存该授权令牌(以随后发送至资源所在地)。然而,如果认证失败,则接收自资源拥有者的第二响应是失败令牌响应,即这意味着资源拥有者将不发出授权令牌给请求者。应当理解,用于认证请求者的技术可以包括任何常规的认证技术。
图4示出了在资源拥有者(例如图1中的102)一侧的用于处理令牌请求的拉方法400。在步骤402中,资源拥有者检查资源请求者(已从其接收资源令牌)是否已经被认证。如果没有,则在步骤404中,资源拥有者生成认证请求并且发送它至资源请求者。在步骤406中,资源拥有者检查接收自资源请求者的认证响应。在步骤408,进行检查以确定认证是否成功。如果没有成功,则资源拥有者在步骤410发送失败令牌响应至请求者(即不发送授权令牌给请求者)。然而,如果认证成功,则拥有者在步骤412判定是否应当允许请求者访问拥有者的资源,并且如果是,则在步骤414中生成授权令牌并且发送它至请求者。然而,如果访问被拒绝,则在步骤410中发送失败令牌响应。
由于拥有授权令牌,资源请求者104因而能够请求访问资源所在地106中的受保护资源。当接收资源请求(参见图1)时,资源所在地106采取下列动作:
1.基于令牌中指定的数字签名方法来验证关联于该请求的数字签名有效;
2.验证该令牌在时间和最大使用数目方面还没有过期;
3.验证所请求的资源和要执行的动作是令牌中指定的关联权限和资源列表的一部分;
4.验证资源请求者的名称匹配于令牌中的请求者名称;和
5.利用令牌中指定的方法或强度等级方法来认证该资源请求者。
图5A和5B示出了在资源请求者(例如图1中的104)一侧的用于访问由资源所在地(例如图1中的106)所保存的受保护资源(不必在初始请求中包括授权令牌)的方法500。
在步骤502中,资源请求者生成并发送资源请求给资源所在地。在步骤504中,资源请求者检查从资源所在地接收的第一响应并且在步骤506中确定该第一响应是否包括认证请求(由此资源所在地在允许请求者访问资源之前请求认证该请求者)或该第一响应是否请求授权令牌。
如果来自资源所在地的第一响应不是认证请求而是请求授权令牌(下文所述的514),并且因而步骤508(即下文所述的检查失败响应的接收)产生否定结果,则该请求者发送授权令牌(下文所述的516)。
然而,如果来自资源所在地的第一响应是认证请求,则在步骤510中,资源请求者生成并发送认证响应给资源所在地。在步骤512中,资源请求者检查从资源所在地接收的第二响应并且确定该第二响应是失败响应(508)还是对于授权令牌的请求(514),这因而假定认证是成功的。如果是后者,则该请求者在步骤516中发送(根据上文在图3和图4的背景下所描述的协议而接收自资源拥有者的)授权令牌。
在步骤518中,资源请求者检查接收自资源所在地的第三响应并且确定该第三响应是否是另一个认证请求,即由资源所在地进行下一个认证的请求以确保请求者利用令牌中规定的方法被认证。也就是说,为了增强的安全性,资源所在地可能需要每次接收令牌时重新认证请求者。如果是,则执行步骤524、526和528,其类似于上面描述的步骤510、512和508。在步骤530中,请求者处理响应,其通常包含所请求的资源。
图6A和6B示出了在资源所在地(例如图1中的106)一侧的用于处理来自资源请求者(例如图1中的104)的资源请求的方法600。在步骤602中,资源所在地检查资源请求者是否已经被认证。如果是,则在步骤604中,资源所在地确认该请求者是否是资源拥有者(在该情况下,该请求者不需要授权令牌)。如果是,则在步骤606中,资源所在地应用合适的资源动作并且发送响应(例如提供对所请求资源的访问)。
然而,回到步骤602,如果请求者还未被认证并且授权令牌还未由请求者提供(步骤608),则在步骤610(生成并发送请求至请求者)、612(检查认证响应)和614(确认认证成功)执行认证过程。如果不成功,则在步骤616失败响应被发送至请求者。然而,如果认证成功,则执行步骤604(检查请求者是否是拥有者),并且如果是肯定的,则执行步骤606(应用资源动作并发送响应)。然而,在(步骤614中的)成功认证以及(步骤604中的)对请求者是否是拥有者的验证之后,资源所在地在步骤618中向请求者请求授权令牌,并且在步骤620中检查它是否被请求者提供。如果不是,则在步骤616中发送失败响应。
一旦令牌以及被接收,资源所在地就在步骤622验证该令牌。例如,执行验证以确定令牌签名是否有效,请求中的请求者名称与令牌是否匹配,令牌是否仍未过期,所请求的资源和动作是否在范围内(即针对请求者和/或所请求的资源而允许什么)。应当理解,根据令牌的结构,可以对令牌及其内容执行更少或更多的验证。如果令牌的一个或多个方面无法被验证,则在步骤624中发送失败响应给请求者,并且因而该资源对于该请求者而言不可用。然而,如果所接收令牌的所有方面都被验证,则根据令牌中所指定的验证需要(就方法或保证等级而言),可以由资源所在地请求另一个认证过程。这是通过步骤626、628、630和632来完成的,其类似于步骤610、612和614。假定第二次认证成功,则在步骤634中应用资源动作并且发送响应(即访问所允许的资源)。如果未成功,则在步骤624中发送失败响应。
再次返回图2,授权令牌的基本结构包括字段列表(就姓名-值对而言)以及发出者的签名202,该签名是利用基于发出者的私钥或共享密钥而指定的签名算法210(例如RSA-SHA1和HMAC-SHA256)而在字段上被计算的。唯一的令牌标识符204能够通过级联发出者名称206和时间标记来被构造。发出者的证书链或证书指针链208在令牌中被指定。注意,当用于计算发出者签名的算法是基于私钥时,该字段仅需要被包含在内以改进整体性能。字段212指定了资源请求者的名称(身份)。字段214指定了用于认证请求者的方法或该方法的强度。字段216指定了接收方的名称(身份),即用作资源所在地的设备或服务器。
资源和权限的列表的组合字段218、有效期时间220以及最大使用数目222设定了整个委派范围。可传送性等级224指示了由资源拥有者发出的令牌能够被向下转发至一组始于初始请求者的令牌请求者的等级。可以假设非负整数的值。可传送性的第零级令牌无法被转发。可传送性的第N级令牌能够被初始令牌请求者传送给第二令牌请求者、至第三令牌请求者等等,最多到第N个令牌请求者。
在获得可传送的令牌后,请求者可以基于旧令牌而发出新的令牌给新的请求者。如图7所示,新令牌700指定了新请求者708(其将通过与之前相同的方法被认证)的身份,以及可能地降级的委派范围710。在一个实施例中,新令牌700也包括旧令牌704(即图2所示的令牌结构),以及前一请求者(现在是发出者)的证书链或证书指针链706。发出者的签名702是基于发出者的私钥或共享密钥利用签名算法(其可以与旧令牌中指定的签名算法相同)而在字段上被计算的。
当验证转发的令牌时,资源所在地还需要检查:
1.可传送性等级大于新请求者存在的数量;
2.所有签名都有效;和
3.当令牌沿路径被转发时范围没有变宽。
可传送令牌的使用情形如下:爱丽斯在内容服务器上公开特定的内容并且使得关联的内容管理器作为她的代理以处理其他人对她的内容的访问。注意,为了支持可传送的或具有有限使用次数的令牌,资源所在地需要保持状态。
最后,图8示出了根据本发明的上述原理的适于实现安全动态授权委派的通信网络800的一般化硬件结构。
如所示,资源拥有者(例如图1中的102)的计算设备810、资源所在地(例如图1中的106)的计算设备820和资源请求者(例如图1中的104)的计算设备830经由通信网络介质850可操作地耦合。网络介质可以是计算设备期望穿过其进行通信的任何网络介质。作为例子,网络介质能够端到端地承载IP分组并且可能涉及接入网中的UMTS(通用移动通信网络)或WiFi或DSL(数字用户线)、城域网中的以太网以及骨干网中的MPLS(多协议标签交换)。然而,本发明不限于特定类型的网络介质。通常,根据所执行的授权委派场景,每个计算设备可以用作客户端机器或服务器机器。还应当理解,尽管资源所在地被显示为分离的计算设备,然而它可以是与拥有者或请求者相同的计算设备的一部分。同样,尽管资源拥有者、请求者和所在地在图8中每个都显示为通过一个技术设备而实现,然而应当理解,每个都可以通过不止一个这种计算设备被实现。如对于本领域技术人员显而易见的那样,计算设备可以实现为在计算机程序代码控制下操作的编程计算机。计算机程序代码由计算机的处理器执行。给出本发明的公开,本领域技术人员能够容易地制造合适的计算机程序代码来实现这里描述的协议。
然而,图8一般地示出了通过网络介质通信的每个设备的示例性结构。如所示,资源拥有者810包括I/O设备812、处理器814和存储器816。资源所在地820包括I/O设备822、处理器824和存储器826。资源请求者830包括I/O设备832、处理器834和存储器836。
应当理解,这里使用的术语“处理器”旨在包括一个或多个处理设备,这包括中央处理单元(CPU)或其它处理电路,包括但不限于一个或多个信号处理器、一个或多个集成电路等等。同样,这里使用的术语“存储器”旨在包括关联于处理器或CPU的存储器,例如RAM、ROM、固定存储设备(例如硬驱)或可移除存储设备(例如磁盘或CDROM)。此外,这里使用的术语“I/O设备”旨在包括用于输入数据至处理单元的一个或多个输入设备(例如键盘、鼠标),以及用于提供关联于处理单元的结果的一个或多个输出设备(例如CRT显示器)。
相应地,用于执行这里描述的本发明方法的软件指令或代码可以被存储在一个或多个相关存储设备中,例如ROM、固定或可移除存储器,并且当准备好被使用时被载入RAM并且由CPU执行。也就是说,图8所示的每个计算设备(810、820和830)可以被单独编程以执行图1和7所示的它们各自的协议步骤。
尽管这里已经参考附图描述了本发明的说明性实施例,然而应当理解,本发明不限于这些明确的实施例,并且本领域技术人员可以在不背离本发明范围或精神的前提下实现各种不同的更改和修改。
Claims (10)
1.一种用于安全动态权力委派的方法,包括:
-在通信网络中,其中第一计算设备代表资源拥有者而第二计算设备代表资源请求者,该资源拥有者检测事件发生,其中该事件发生代表请求访问存储于资源所在地中的所述资源拥有者的一个或多个资源;
-所述资源拥有者响应于所述事件发生而发送授权令牌至所述资源请求者,所述授权令牌用作由所述资源拥有者所委派的授权的证明,该证明由所述资源请求者出示给所述资源所在地以允许该资源请求者访问存储于该资源所在地中的一个或多个所请求资源;
其中所述授权令牌包括可验证结构,该可验证结构包括:
一个或多个字段,该一个或多个字段包括以下至少一者:由所述资源所在地用于认证所述资源请求者的方法;以及由所述资源所在地用于认证所述资源请求者的方法的强度;以及
通过所述一个或多个字段计算的签名,该签名是使用所述资源拥有者的私钥计算的。
2.根据权利要求1所述的方法,其中,所述事件发生是由所述资源拥有者从所述资源请求者接收资源请求以使得该资源请求者和该资源拥有者能够通过拉通信方法交换请求和响应。
3.根据权利要求1所述的方法,其中,所述事件发生是关联于应用程序的触发事件而不是来自所述资源请求者的明确请求的发生以使得所述资源请求者与所述资源拥有者之间的通信方法是推通信方法。
4.根据权利要求1所述的方法,其中,对于由所述资源拥有者所委派的授权的证明从所述资源请求者到至少另一个资源请求者是可传送的而无需与所述资源拥有者进一步通信,以使得另一个授权令牌能够由所述至少另一个资源请求者出示给所述资源所在地从而允许所述至少另一个资源请求者访问存储于该资源所在地中的一个或多个所请求资源。
5.根据权利要求1所述的方法,其中,获得所述授权令牌并出示该授权令牌以获得对所述一个或多个所请求资源的访问是绑定到现有应用协议的。
6.一种用于实现代表资源拥有者的第一计算设备的装置,该装置包括存储器和处理器,该处理器耦合到该存储器并且被配置成执行权利要求1中的各步骤。
7.一种用于安全动态权力委派的方法,包括:
-在通信网络中,其中第一计算设备代表资源拥有者而第二计算设备代表资源请求者,并且其中,该资源拥有者检测事件发生并且该事件发生代表请求访问存储于资源所在地中的所述资源拥有者的一个或多个资源;
-所述资源请求者接收由所述资源拥有者响应于所述事件发生而发送的授权令牌,该授权令牌用作由所述资源拥有者所委派的授权的证明,该证明由所述资源请求者出示给所述资源所在地以允许该资源请求者访问存储于该资源所在地中的一个或多个所请求资源;
其中所述授权令牌包括可验证结构,该可验证结构包括:
一个或多个字段,该一个或多个字段包括以下至少一者:由所述资源所在地用于认证所述资源请求者的方法;以及由所述资源所在地用于认证所述资源请求者的方法的强度;以及
通过所述一个或多个字段计算的签名,该签名是使用所述资源拥有者的私钥计算的。
8.根据权利要求7所述的方法,还包括所述资源所在地在至少一个以下情况中认证所述资源请求者:在所述资源请求者出示所述授权令牌给所述资源所在地之前,和在所述资源请求者出示所述授权令牌给所述资源所在地之后。
9.根据权利要求7所述的方法,还包括所述资源所在地在作用于所述一个或多个所请求资源之前验证由所述资源请求者出示的所述授权令牌。
10.一种用于安全动态权力委派的方法,包括:
-在通信网络中,其中第一计算设备代表资源拥有者而第二计算设备代表资源请求者,并且其中,该资源拥有者检测事件发生并且该事件发生代表请求访问存储于资源所在地中的所述资源拥有者的一个或多个资源,并且其中,所述资源请求者接收由所述资源拥有者响应于所述事件发生而发送的授权令牌;
-所述资源所在地接收所述授权令牌,该授权令牌用作由所述资源拥有者委派给所述资源请求者的授权的证明以允许该资源请求者访问存储于该资源所在地中的一个或多个所请求资源;
其中所述授权令牌包括可验证结构,该可验证结构包括:
一个或多个字段,该一个或多个字段包括以下至少一者:由所述资源所在地用于认证所述资源请求者的方法;以及由所述资源所在地用于认证所述资源请求者的方法的强度;以及
通过所述一个或多个字段计算的签名,该签名是使用所述资源拥有者的私钥计算的。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/723,049 US8776204B2 (en) | 2010-03-12 | 2010-03-12 | Secure dynamic authority delegation |
US12/723,049 | 2010-03-12 | ||
PCT/US2011/025641 WO2011112345A1 (en) | 2010-03-12 | 2011-02-22 | Secure dynamic authority delegation |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102792311A CN102792311A (zh) | 2012-11-21 |
CN102792311B true CN102792311B (zh) | 2015-07-29 |
Family
ID=44148917
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180013569.6A Active CN102792311B (zh) | 2010-03-12 | 2011-02-22 | 安全动态权力委派 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8776204B2 (zh) |
EP (2) | EP3396574B1 (zh) |
JP (1) | JP5635133B2 (zh) |
KR (1) | KR101560440B1 (zh) |
CN (1) | CN102792311B (zh) |
WO (1) | WO2011112345A1 (zh) |
Families Citing this family (96)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
NZ516669A (en) * | 1999-06-18 | 2004-07-30 | Echarge Corp | Method for ordering goods, services and content over an internetwork using a virtual payment account |
JP5130722B2 (ja) * | 2007-01-19 | 2013-01-30 | セイコーエプソン株式会社 | 認証装置及び方法 |
US9807096B2 (en) | 2014-12-18 | 2017-10-31 | Live Nation Entertainment, Inc. | Controlled token distribution to protect against malicious data and resource access |
US8776204B2 (en) | 2010-03-12 | 2014-07-08 | Alcatel Lucent | Secure dynamic authority delegation |
JP5623234B2 (ja) * | 2010-10-22 | 2014-11-12 | キヤノン株式会社 | 権限委譲システム、権限委譲方法、情報処理装置およびその制御方法、並びにプログラム |
US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
US9258312B1 (en) | 2010-12-06 | 2016-02-09 | Amazon Technologies, Inc. | Distributed policy enforcement with verification mode |
US8769642B1 (en) | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
US8973108B1 (en) * | 2011-05-31 | 2015-03-03 | Amazon Technologies, Inc. | Use of metadata for computing resource access |
US9087208B2 (en) | 2011-06-27 | 2015-07-21 | Google Inc. | Persistent key access to album |
US8931041B1 (en) * | 2011-07-29 | 2015-01-06 | Symantec Corporation | Method and system for visibility and control over access transactions between clouds using resource authorization messages |
US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
JP5529105B2 (ja) * | 2011-11-24 | 2014-06-25 | 日本電信電話株式会社 | アクセスチケット発行システム及びアクセスチケット発行方法 |
US20130144755A1 (en) * | 2011-12-01 | 2013-06-06 | Microsoft Corporation | Application licensing authentication |
CN103188244B (zh) * | 2011-12-31 | 2016-04-06 | 卓望数码技术(深圳)有限公司 | 基于开放授权协议实现授权管理的系统及方法 |
US8990898B2 (en) * | 2012-02-16 | 2015-03-24 | Citrix Systems, Inc. | Connection leasing for hosted services |
US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
US10410213B2 (en) * | 2012-05-04 | 2019-09-10 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
US11250423B2 (en) * | 2012-05-04 | 2022-02-15 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
US10423952B2 (en) | 2013-05-06 | 2019-09-24 | Institutional Cash Distributors Technology, Llc | Encapsulated security tokens for electronic transactions |
US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
EP2688263A1 (en) * | 2012-07-17 | 2014-01-22 | Tele2 Sverige AB | System and method for delegated authentication and authorization |
US8806595B2 (en) | 2012-07-25 | 2014-08-12 | Oracle International Corporation | System and method of securing sharing of resources which require consent of multiple resource owners using group URI's |
US9009787B2 (en) * | 2012-07-25 | 2015-04-14 | Oracle International Corporation | System and method of mapping and protecting communication services with OAuth |
JP5988841B2 (ja) * | 2012-11-16 | 2016-09-07 | キヤノン株式会社 | 通信装置、通信システム、情報処理方法及びプログラム |
JP6044299B2 (ja) * | 2012-11-26 | 2016-12-14 | 富士通株式会社 | データ参照システムおよびアプリケーション認証方法 |
US8813206B2 (en) | 2012-11-27 | 2014-08-19 | Hong Kong Applied Science and Technology Research Institute Company Limited | Anonymous personal content access with content bridge |
US9861160B2 (en) | 2012-11-30 | 2018-01-09 | Nike, Inc. | Article of footwear incorporating a knitted component |
US9038142B2 (en) * | 2013-02-05 | 2015-05-19 | Google Inc. | Authorization flow initiation using short-term wireless communication |
US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US9367676B2 (en) | 2013-03-22 | 2016-06-14 | Nok Nok Labs, Inc. | System and method for confirming location using supplemental sensor and/or location data |
JP6141076B2 (ja) * | 2013-04-04 | 2017-06-07 | キヤノン株式会社 | システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム |
US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
CA2919199C (en) | 2013-07-24 | 2020-06-16 | Visa International Service Association | Systems and methods for communicating risk using token assurance data |
US11349879B1 (en) | 2013-07-28 | 2022-05-31 | Secureauth Corporation | System and method for multi-transaction policy orchestration with first and second level derived policies for authentication and authorization |
US9426183B2 (en) | 2013-07-28 | 2016-08-23 | Acceptto Corporation | Authentication policy orchestration for a user device |
KR20150020350A (ko) * | 2013-08-12 | 2015-02-26 | 삼성전자주식회사 | 통신 시스템에서 멀티미디어 컨텐츠 위임 방법 및 장치 |
US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
EP3078156A4 (en) | 2013-10-11 | 2017-07-12 | Visa International Service Association | Network token system |
US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
US9397990B1 (en) * | 2013-11-08 | 2016-07-19 | Google Inc. | Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud |
US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
US9270662B1 (en) | 2014-01-13 | 2016-02-23 | Amazon Technologies, Inc. | Adaptive client-aware session security |
US9332010B2 (en) * | 2014-03-07 | 2016-05-03 | Motorola Solutions, Inc. | Methods and systems for token-based application management |
US11178131B2 (en) | 2014-03-14 | 2021-11-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Systems and methods related to establishing a temporary trust relationship between a network-based media service and a digital media renderer |
US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
US10325259B1 (en) | 2014-03-29 | 2019-06-18 | Acceptto Corporation | Dynamic authorization with adaptive levels of assurance |
US20170109751A1 (en) * | 2014-05-02 | 2017-04-20 | Nok Nok Labs, Inc. | System and method for carrying strong authentication events over different channels |
US11023890B2 (en) | 2014-06-05 | 2021-06-01 | Visa International Service Association | Identification and verification for provisioning mobile application |
US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
CN105763514B (zh) | 2014-12-17 | 2019-11-29 | 华为技术有限公司 | 一种处理授权的方法、设备和系统 |
US9479916B2 (en) | 2014-12-31 | 2016-10-25 | Motorola Solutions, Inc. | Method and apparatus for providing access to local services and applications to multi-agency responders |
US9350556B1 (en) | 2015-04-20 | 2016-05-24 | Google Inc. | Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key |
US10044718B2 (en) | 2015-05-27 | 2018-08-07 | Google Llc | Authorization in a distributed system using access control lists and groups |
US10387980B1 (en) | 2015-06-05 | 2019-08-20 | Acceptto Corporation | Method and system for consumer based access control for identity information |
US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
US9906558B2 (en) | 2015-06-24 | 2018-02-27 | International Business Machines Corporation | User managed access scope specific obligation policy for authorization |
KR101626723B1 (ko) * | 2015-08-27 | 2016-06-13 | 목포대학교산학협력단 | 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법 |
KR102349454B1 (ko) * | 2015-11-06 | 2022-01-10 | 삼성전자주식회사 | 서비스의 이용 권한을 공유하는 방법, 장치 및 기록 매체 |
US10402549B1 (en) * | 2015-12-17 | 2019-09-03 | Symantec Corporation | Systems and methods for creating validated identities for dependent users |
WO2017131892A1 (en) | 2016-01-29 | 2017-08-03 | Google Inc. | Device access revocation |
CN107612870B (zh) * | 2016-07-11 | 2021-01-05 | 香港理工大学深圳研究院 | 物联网设备的委托授权方法、服务器、终端及物联网设备 |
US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
JP6882641B2 (ja) * | 2016-08-23 | 2021-06-02 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及びプログラム |
EP3507939B1 (en) * | 2016-09-02 | 2020-07-22 | Assa Abloy AB | Key delegation for controlling access |
US10223541B2 (en) * | 2017-01-24 | 2019-03-05 | Salesforce.Com, Inc. | Adaptive permission token |
US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
US11133929B1 (en) | 2018-01-16 | 2021-09-28 | Acceptto Corporation | System and method of biobehavioral derived credentials identification |
US11367323B1 (en) | 2018-01-16 | 2022-06-21 | Secureauth Corporation | System and method for secure pair and unpair processing using a dynamic level of assurance (LOA) score |
US11115392B1 (en) * | 2018-03-07 | 2021-09-07 | Turbo Business Suite LLC | Consumer-authorized controlled distribution of trusted source data |
US11005839B1 (en) | 2018-03-11 | 2021-05-11 | Acceptto Corporation | System and method to identify abnormalities to continuously measure transaction risk |
US11455641B1 (en) | 2018-03-11 | 2022-09-27 | Secureauth Corporation | System and method to identify user and device behavior abnormalities to continuously measure transaction risk |
KR102289138B1 (ko) * | 2019-01-30 | 2021-08-12 | 현대오토에버 주식회사 | 블록체인 기반 공유서비스 제공 시스템 및 그 방법 |
US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
US10922631B1 (en) | 2019-08-04 | 2021-02-16 | Acceptto Corporation | System and method for secure touchless authentication of user identity |
US11096059B1 (en) | 2019-08-04 | 2021-08-17 | Acceptto Corporation | System and method for secure touchless authentication of user paired device, behavior and identity |
US10824702B1 (en) | 2019-09-09 | 2020-11-03 | Acceptto Corporation | System and method for continuous passwordless authentication across trusted devices |
US10951606B1 (en) | 2019-12-04 | 2021-03-16 | Acceptto Corporation | Continuous authentication through orchestration and risk calculation post-authorization system and method |
US11329998B1 (en) | 2020-08-31 | 2022-05-10 | Secureauth Corporation | Identification (ID) proofing and risk engine integration system and method |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1941700A (zh) * | 2005-09-29 | 2007-04-04 | 阿瓦雅技术有限公司 | 电信系统中的特权授予与资源共享 |
CN101222432A (zh) * | 2008-01-23 | 2008-07-16 | 中兴通讯股份有限公司 | 一种资源接纳控制的方法 |
US7472171B2 (en) * | 2002-06-21 | 2008-12-30 | Jpmorgan Chase Bank, National Association | Method and system for determining receipt of a delayed cookie in a client-server architecture |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4868877A (en) * | 1988-02-12 | 1989-09-19 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
US5596576A (en) * | 1995-11-03 | 1997-01-21 | At&T | Systems and methods for sharing of resources |
US6892307B1 (en) * | 1999-08-05 | 2005-05-10 | Sun Microsystems, Inc. | Single sign-on framework with trust-level mapping to authentication requirements |
JP2002108840A (ja) * | 2000-09-28 | 2002-04-12 | Toshiba Corp | 分散型注文受付システム、受付サーバ、コンテンツサーバ、分散型注文受付方法及びコンピュータプログラム製品 |
JP2002278838A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | メモリアクセス制御システム、デバイス管理装置、パーティション管理装置、メモリ搭載デバイス、およびメモリアクセス制御方法、並びにプログラム記憶媒体 |
JP2002278839A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | データアクセス管理システム、メモリ搭載デバイス、およびデータアクセス管理方法、並びにプログラム記憶媒体 |
US7085232B1 (en) * | 2001-03-29 | 2006-08-01 | Cisco Technology, Inc. | ARQ in a point to multipoint network |
US6601230B2 (en) * | 2001-04-05 | 2003-07-29 | Agilent Technologies, Inc. | Low power circuit design through judicious module selection |
US20020147929A1 (en) * | 2001-04-10 | 2002-10-10 | Rose Mark E. | Access control for distributed content servers |
US7305701B2 (en) * | 2001-04-30 | 2007-12-04 | Microsoft Corporation | Methods and arrangements for controlling access to resources based on authentication method |
US7353281B2 (en) * | 2001-08-06 | 2008-04-01 | Micron Technology, Inc. | Method and system for providing access to computer resources |
US7406519B2 (en) * | 2001-11-13 | 2008-07-29 | Microsoft Corporation | Method and system for locking resources in a distributed environment |
US6865555B2 (en) * | 2001-11-21 | 2005-03-08 | Digeo, Inc. | System and method for providing conditional access to digital content |
US20040019801A1 (en) * | 2002-05-17 | 2004-01-29 | Fredrik Lindholm | Secure content sharing in digital rights management |
US7512782B2 (en) * | 2002-08-15 | 2009-03-31 | Microsoft Corporation | Method and system for using a web service license |
JP2004164299A (ja) | 2002-11-13 | 2004-06-10 | Nec Corp | コンテンツ利用システムおよび方法ならびにサーバ |
KR100493900B1 (ko) | 2003-08-21 | 2005-06-10 | 삼성전자주식회사 | 사용자간 콘텐츠에 대한 권한정보의 공유방법 |
JP2005157881A (ja) * | 2003-11-27 | 2005-06-16 | Canon Inc | サーバ端末装置、クライアント端末装置、オブジェクト管理システム、オブジェクト管理方法、コンピュータプログラム及び記録媒体 |
US7685206B1 (en) * | 2004-02-12 | 2010-03-23 | Microsoft Corporation | Authorization and access control service for distributed network resources |
US7676835B2 (en) * | 2004-08-31 | 2010-03-09 | International Business Machines Corporation | System and method for regulating access to objects in a content repository |
JP2006221506A (ja) | 2005-02-14 | 2006-08-24 | Hitachi Software Eng Co Ltd | ユーザパスワード認証システムにおける権限委譲方法 |
JP4766249B2 (ja) | 2006-03-01 | 2011-09-07 | 日本電気株式会社 | トークン譲渡方法、トークン譲渡システム及び権限認証許可サーバ |
US7925023B2 (en) * | 2006-03-03 | 2011-04-12 | Oracle International Corporation | Method and apparatus for managing cryptographic keys |
KR20080046345A (ko) * | 2006-11-22 | 2008-05-27 | 삼성전자주식회사 | 휴대용 단말기의 메모리 절약 장치 및 방법 |
US8656472B2 (en) * | 2007-04-20 | 2014-02-18 | Microsoft Corporation | Request-specific authentication for accessing web service resources |
US8402508B2 (en) * | 2008-04-02 | 2013-03-19 | Microsoft Corporation | Delegated authentication for web services |
US8776204B2 (en) | 2010-03-12 | 2014-07-08 | Alcatel Lucent | Secure dynamic authority delegation |
-
2010
- 2010-03-12 US US12/723,049 patent/US8776204B2/en active Active
-
2011
- 2011-02-22 EP EP18169322.7A patent/EP3396574B1/en active Active
- 2011-02-22 JP JP2012557069A patent/JP5635133B2/ja active Active
- 2011-02-22 WO PCT/US2011/025641 patent/WO2011112345A1/en active Application Filing
- 2011-02-22 EP EP11707005.2A patent/EP2545482B1/en active Active
- 2011-02-22 KR KR1020127023776A patent/KR101560440B1/ko active IP Right Grant
- 2011-02-22 CN CN201180013569.6A patent/CN102792311B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7472171B2 (en) * | 2002-06-21 | 2008-12-30 | Jpmorgan Chase Bank, National Association | Method and system for determining receipt of a delayed cookie in a client-server architecture |
CN1941700A (zh) * | 2005-09-29 | 2007-04-04 | 阿瓦雅技术有限公司 | 电信系统中的特权授予与资源共享 |
CN101222432A (zh) * | 2008-01-23 | 2008-07-16 | 中兴通讯股份有限公司 | 一种资源接纳控制的方法 |
Also Published As
Publication number | Publication date |
---|---|
US8776204B2 (en) | 2014-07-08 |
JP5635133B2 (ja) | 2014-12-03 |
KR101560440B1 (ko) | 2015-10-14 |
EP3396574A1 (en) | 2018-10-31 |
CN102792311A (zh) | 2012-11-21 |
KR20120128674A (ko) | 2012-11-27 |
JP2013522722A (ja) | 2013-06-13 |
EP3396574B1 (en) | 2021-05-26 |
WO2011112345A1 (en) | 2011-09-15 |
EP2545482A1 (en) | 2013-01-16 |
US20110225643A1 (en) | 2011-09-15 |
EP2545482B1 (en) | 2018-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102792311B (zh) | 安全动态权力委派 | |
EP1427160B1 (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
US11876807B2 (en) | Secure online access control to prevent identification information misuse | |
US8006288B2 (en) | Method and apparatus for accessing a computer application program | |
US9923906B2 (en) | System, method and computer program product for access authentication | |
CN112491881B (zh) | 跨平台单点登录方法、系统、电子设备及存储介质 | |
US20080086634A1 (en) | Techniques for using AAA services for certificate validation and authorization | |
KR102192370B1 (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
CN112202705A (zh) | 一种数字验签生成和校验方法、系统 | |
KR101873991B1 (ko) | IoT 기기들 간의 액세스 권한의 위임 방법 | |
CN103685204A (zh) | 基于物联网资源共享平台的资源鉴权方法 | |
EP2262165B1 (en) | User generated content registering method, apparatus and system | |
CN114172665A (zh) | 区块链零信任系统以及用于区块链零信任系统的方法 | |
KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
US20160269420A1 (en) | Apparatus for verifying safety of resource, server thereof, and method thereof | |
Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
CN105379176A (zh) | 用于验证scep证书注册请求的系统和方法 | |
US11595215B1 (en) | Transparently using macaroons with caveats to delegate authorization for access | |
Olson et al. | Trust negotiation as an authorization service forweb services | |
KR20200112771A (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
WO2020144518A1 (en) | Using virtual tokens to extend authentication protocols | |
US11606210B1 (en) | Secure activation, service mode access and usage control of IOT devices using bearer tokens | |
Helmschmidt | Security analysis of the Grant Negotiation and Authorization Protocol | |
KR102192382B1 (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
Mirtalebi et al. | A cryptography approach on security layer of web service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |