CN106878002B - 一种权限撤销方法及装置 - Google Patents

一种权限撤销方法及装置 Download PDF

Info

Publication number
CN106878002B
CN106878002B CN201610523017.4A CN201610523017A CN106878002B CN 106878002 B CN106878002 B CN 106878002B CN 201610523017 A CN201610523017 A CN 201610523017A CN 106878002 B CN106878002 B CN 106878002B
Authority
CN
China
Prior art keywords
time
authorization
attribute
attribute value
authorization record
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610523017.4A
Other languages
English (en)
Other versions
CN106878002A (zh
Inventor
陈栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced Nova Technology Singapore Holdings Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201610523017.4A priority Critical patent/CN106878002B/zh
Priority to TW106118916A priority patent/TWI690819B/zh
Publication of CN106878002A publication Critical patent/CN106878002A/zh
Priority to PCT/CN2017/089963 priority patent/WO2018006715A1/zh
Priority to JP2019500512A priority patent/JP6733028B2/ja
Priority to MYPI2019000226A priority patent/MY196366A/en
Priority to KR1020197003363A priority patent/KR102194061B1/ko
Priority to EP17823527.1A priority patent/EP3484096B1/en
Priority to SG11201900035VA priority patent/SG11201900035VA/en
Priority to US16/240,604 priority patent/US11017063B2/en
Priority to US16/723,699 priority patent/US11017065B2/en
Application granted granted Critical
Publication of CN106878002B publication Critical patent/CN106878002B/zh
Priority to US17/328,670 priority patent/US11397797B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2379Updates performed during online database operations; commit processing
    • G06F16/2386Bulk updating operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Abstract

本申请公开了一种权限撤销方法及装置。一种权限撤销方法包括:确定需要执行撤销的授权记录集合;为所确定的集合设置时效属性值,令设置后的属性值T0为当前时刻或未来时刻。本申请所提供的技术方案,通过一次修改操作就可以达到更新集合内所有记录状态的效果,无需逐条更新授权记录,也不会受到多条授权记录存储位置不同的影响,从而有效提升了批量撤销权限的处理效率,降低技术实现难度。

Description

一种权限撤销方法及装置
技术领域
本申请涉及权限控制技术领域,尤其涉及一种权限撤销方法及装置。
背景技术
计算机及互联网技术的发展,使得用户可以享受到很多便捷的功能。而随着用户需求的不断提升,单一的功能主体有时难以满足用户的复合性需求,这种情况下,就需要多个相对独立的功能主体之间以某种方式进行协作,共同为用户提供服务。例如,为了满足用户的购物需求,需要电商平台、支付平台、物流平台等多方的协作。
为了实现原本相互独立的功能主体之间的协作,除了在功能主体之间进行必要的数据交换之外,往往还需要功能主体之间相互开放一些必要的权限,例如:用户的需求是通过应用A来修改个人保存在应用B的存储目录中的信息(这里假设应用A和网站B是由不同的厂商提供),那么为了实现上述需求,就需要网站B向应用A开放对个人信息数据的修改权限。
从安全性的角度考虑,授权方还应具备对已开放权限的主动撤销功能,常规的做法是:授权方对每一条已开放给被授权方的权限作为一条记录写入数据库中,并且在每条记录中增加一个用于表示该权限是否有效的属性字段,通过将该字段值修改为“无效”来实现对权限的主动撤销。这种方案存在的问题在于,每撤销一条权限就需要对数据库进行一次字段更新操作,如果需要批量撤销权限,则需要对相关的授权记录进行逐条更新,在数据库操作环境下,这种处理的实际效率是比较低的。而且“逐条更新”的操作逻辑也需要消耗较多的人力和时间成本来编写实现,如果不同的授权记录采用了分库或分表的方式进行存储,那么相应的数据更新操作还需要涉及分库或分表,从而导致技术实现难度的进一步提升。
发明内容
针对上述技术问题,本申请提供技术方案如下:
根据本申请的第一方面,提供一种数据库授权记录批量撤销方法,为存在撤销需求的授权记录集合配置时效属性,所述时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述方法包括:
确定需要执行撤销的授权记录集合;
为所确定的集合设置时效属性值,令设置后的属性值T0为当前时刻或未来时刻。
根据本申请的第二方面,提供一种数据库授权记录批量撤销方法,为存在撤销需求的授权记录集合配置第一时效属性或者第二时效属性,所述第一时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述第二时效属性用于定义一个时间点,使得集合中授权生效时刻晚于该时间点的授权记录失效,所述方法包括:
确定需要执行撤销的授权记录集合;
在该集合配置了第一时效属性的情况下,确定该集合中授权记录的最晚生效时刻,并为该集合设置第一时效属性值,令设置后的第一时效属性值T1>所述集合中授权记录的最晚生效时刻;
在该集合配置了第二时效属性的情况下,确定该集合中授权记录的最早生效时刻,并为该集合设置第二时效属性值,令设置后的第二时效属性值T2<所述集合中授权记录的最早生效时刻。
根据本申请的第三方面,提供一种数据库授权记录有效性验证方法,存在撤销需求的授权记录集合配置有第一时效属性或者第二时效属性,所述第一时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述第二时效属性用于定义一个时间点,使得集合中授权生效时刻晚于该时间点的授权记录失效,所述方法包括:
确定待验证的授权记录;
获取所述待验证授权记录的生效时刻;
获取所述待验证授权记录所属的授权记录集合的第一时效属性值或者第二时效属性值;
在所获取的生效时刻早于所获取的第一时效属性值的情况下,确定所述待验证授权记录无效;或者,
在所获取的生效时刻晚于所获取的第二时效属性值的情况下,确定所述待验证授权记录无效。
根据本申请的第四方面,提供一种数据库授权记录批量撤销装置,为存在撤销需求的授权记录集合配置时效属性,所述时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述装置包括:
撤销任务确定单元,用于确定需要执行撤销的授权记录集合;
撤销执行单元,用于为所确定的集合设置时效属性值,令设置后的属性值T0为当前时刻或未来时刻。
根据本申请的第五方面,提供一种数据库授权记录批量撤销装置,为存在撤销需求的授权记录集合配置第一时效属性或者第二时效属性,所述第一时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述第二时效属性用于定义一个时间点,使得集合中授权生效时刻晚于该时间点的授权记录失效,所述装置包括:
撤销任务确定单元,用于确定需要执行撤销的授权记录集合;
撤销执行单元,用于在该集合配置了第一时效属性的情况下,确定该集合中授权记录的最晚生效时刻,并为该集合设置第一时效属性值,令设置后的第一时效属性值T1>所述集合中授权记录的最晚生效时刻;或者
在该集合配置了第二时效属性的情况下,确定该集合中授权记录的最早生效时刻,并为该集合设置第二时效属性值,令设置后的第二时效属性值T2<所述集合中授权记录的最早生效时刻。
根据本申请的第六方面,提供一种数据库授权记录有效性验证装置,其特征在于,存在撤销需求的授权记录集合配置有第一时效属性或者第二时效属性,所述第一时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述第二时效属性用于定义一个时间点,使得集合中授权生效时刻晚于该时间点的授权记录失效,所述装置包括:
验证对象确定单元,用于确定待验证的授权记录;
第一获取单元,用于获取所述待验证授权记录的生效时刻;
第二获取单元,用于获取所述待验证授权记录所属的授权记录集合的第一时效属性值或者第二时效属性值;
验证单元,用于在在所获取的生效时刻早于所获取的第一时效属性值的情况下,确定所述待验证授权记录无效;或者,
在所获取的生效时刻晚于所获取的第二时效属性值的情况下,确定所述待验证授权记录无效。
根据本申请的第七方面,提供一种第三方应用授权令牌的批量撤销方法,所述方法包括:
确定存在授权令牌撤销需求的第三方应用;
获取当前时刻,为所确定的第三方应用设置时效属性值,令设置后的属性值T0=当前时刻;
接收所述第三方应用提供的授权令牌;
获取所述授权令牌的有效性属性值;
如果所述有效性属性值表示为有效,则进一步获取所述授权令牌的生效时刻以及所述第三方应用的时效属性值,如果所获取的生效时刻早于所获取的时效属性值,则确定所述授权令牌无效;否则确定所述授权令牌有效。
本申请所提供的技术方案,首先为存在批量撤销的权限记录集合配置用于的时效属性,这样,通过修改该属性的取值,就可以将权限记录更新为无效状态,从而实现对权限记录的撤销,而且该新增属性并不会对现有属性的表意造成影响;另一方面,由于该属性是针对“集合”的属性,因此一次修改操作就可以达到更新集合内所有记录状态的效果,无需逐条更新数据库中的授权记录,也不会受到多条授权记录存储位置不同的影响,从而有效提升了批量撤销权限的处理效率,并且降低了技术实现难度。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请的权限撤销方法的流程示意图;
图2是本申请的权限验证方法的流程示意图;
图3是本申请的权限授予、撤销、验证方法的整合流程示意图;
图4是本申请的权限撤销装置的结构示意图;
图5是本申请的权限验证装置的第一种结构示意图;
图6是本申请的权限验证装置的第二种结构示意图。
具体实施方式
为了使本领域技术人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请保护的范围。
对于授权方而言,每一条已开放给被授权方的权限都是以数据记录的形式存储在数据库中,表1示出了一种权限记录的数据结构示例,需要说明的是,该表中所示出的字段属性仅用于示意性说明,并不构成对方案本身的限制:
权限ID 权限类型 被授权方 用户ID 生效时刻 有效性
100001 应用1 user001 2016/06/01 有效
100002 应用2 user002 2016/06/10 有效
100003 应用1 user002 2016/06/10 有效
…… …… …… …… ……
表1
根据现有技术中的权限管理方式,授权方仅是利用每条权限记录中的“有效性”属性字段来控制该权限是否有效,当存在批量权限撤销需求时,假设需要撤销的权限记录条数为n,则需要逐一对相应权限记录的“有效性”属性字段进行修改,完成所有撤销处理对应的理论算法复杂度为O(n),如果这n条记录存储于不同的分库或分表中,则实际的处理难度会进一步提高。
针对上述问题,本申请提供的方案是:将存在批量撤销需求的权限记录视为一个集合,并且为该集合配置一个用于整体控制有效性的属性,以便通过一次性修改该属性达到批量撤销权限的效果。
根据实际的使用需求,需要进行批量撤销的权限一般都会具有某种“共性”,这个“共性”体现为多条权限记录具有相同的一个或多个属性值,例如“需要进行批量撤销的权限都属于应用1”、“需要撤销的权限都属于用户user001”等等。
确定存在批量权限撤销需求的集合之后,为该集合配置新的属性,该属性的作用是:统一表示该集合中所有权限记录的有效性。为了避免该新增属性与现有的单条记录中的“有效性”属性表意冲突,在本申请中,通过加入时间维度来对该新增属性进行定义。对于某个给定集合,其新增属性的意义可以是:为使授权记录集合有效,所允许的最早授权生效时刻。根据实际的应用需求,该新增属性的数据类型可以是“date(日期)”、“time(时间)”或其他形式的时间数据类型,无论使用哪种数据类型,其取值均会被视为一个对应于该取值的具体时间点。
也就是说,该属性的取值定义了一个时间点T0,后续进行权限有效性验证时,如果集合中某条权限记录的生效时刻早于该时间点,则该条权限记录将被视为无效,这种情况下,该条记录自身的“有效性”属性值将不再起作用;反之,如果集合中某条权限记录的生效时刻等于或晚于该时间点,则可以进一步以该条记录自身的“有效性”属性值来判断该条记录的有效性。这样,通过修改这个新增属性的属性值,就可以实现对集合内所有记录状态的一次性无效化处理。
以表1为例,假设表1所示的3条当前有效权限记录构成一个集合(这里暂不考虑该集合对应的实际应用意义,仅用于示意性说明),那么,如果将该集合的“最早授权生效时刻”赋值为“2016/06/12”,则表1中3条权限记录的生效时刻都早于该时刻,因此3条权限记录都会被视为无效,从而通过一次数据修改实现了对3条授权记录的批量撤销。
综上所述,本申请提供的权限批量撤销方法可以包括如下步骤,如图1所示:
S101,确定需要执行撤销的授权记录集合;
这里的“集合”是根据实际的使用需求进行定义,例如需要以“被授权方”为单位进行权限批量撤销,则可以将针对不同被授权方的权限记录定义为不同的集合;如果需要以“用户”为单位进行权限批量撤销,则可以将针对不同用户的权限记录定义为不同的集合。当然“集合”也可以利用多个属性维度共同定义,这里不再一一举例说明。
S102,为所确定的集合设置时效属性值,以实现对该集合中授权记录的批量撤销。
为描述方便,在下文中将以“时效属性”来表示前述的“最早授权生效时刻”,需要注意的是,该“时效属性”是一种针对集合的属性,不应与针对单条记录的“生效时刻”、“失效时刻”等属性混淆。
根据前面对“时效属性”的定义可知,理论上只要令修改后的时效属性值满足:T0>集合中授权记录的最晚生效时刻,即可实现对集合中授权记录的批量撤销。
需要说明的是,对于date或time等类型的数据,其数学表达式中的“>”和“<”分别可以解释为“晚于”和“早于”。以表1为例,3条授权记录中,最晚的生效时刻是2016/06/10,那么这里令T0=2016/06/11、T0=2016/06/12、T0=2016/06/13……只要取值晚于2016/06/10,都可以满足批量撤销权限的需求。
根据本申请的一种实施方式,在需要执行批量撤销操作时,可以首先确定该集合中授权记录的最晚生效时刻,然后设置任意T0值令其满足“T0>集合中授权记录的最晚生效时刻”即可。
实际应用中,也可以直接将T0设置为当前时刻或未来时刻,从而避免“确定集合中授权记录的最晚生效时刻”的步骤。
如果只是要对集合对应的权限进行临时撤销处理,后续仍然有再授权的可能,则可以对T0的取值范围做进一步的限定:假设能够预先确定该集合中各条记录的下次最早授权生效时刻,则需要令属性值T0进一步满足:T0<下次最早授权生效时刻。仍以表1为例,假设已知本次权限被批量撤销后,将在2016/06/20开始开放再次授权,则为了保证在2016/06/20以后的授权不受这个时效属性值的影响,需要令T0早于2016/06/20。
根据本申请的一种实施方式:在需要执行批量撤销操作时,获取当前的时刻信息,并直接令T0=当前时刻。由于“当前时刻”必然同时满足“T0<下次最早授权生效时刻”以及“T0>集合中授权记录的最晚生效时刻”因此该T0值既能保证对集合中已有权限的批量撤销,又不会对后续的再次授权产生影响。
可以理解的是,为了实现对时刻早晚的比较,可能需要根据实际的需求对属性值的时间精度做进一步的要求,例如精确到小时/分/秒等等,这里不再做展开说明。
相应于上述的权限批量撤销方法,本申请还进一步提供对数据库授权记录有效性的验证方法,参见图2所示,该方法可以包括以下步骤:
S201,确定待验证的授权记录;
S202,获取待验证授权记录的生效时刻;
S203,获取待验证授权记录所属的授权记录集合的时效属性值;
S204,在所获取的生效时刻早于所获取的时效属性值的情况下,确定所述待验证授权记录无效。
根据本申请方案,授权方可以根据待验证方提供的权限证明信息,确定与该证明信息对应的授权记录以及其所属的集合,然后进一步获取相关数据进行比较以验证权限的有效性。与现有技术相比,本申请在验证某条授权记录是否有效时,需要找到该授权记录所属的集合,然后根据该集合的“时效属性”判断该条授权记录是否有效。这里可能会涉及到两种情形:
1)仅利用本申请所增加的“时效属性”来验证授权记录是否有效:
这种情况下,不再考虑现有技术中针对单条授权记录的“有效性”属性,如果单条记录的生效时刻早于集合的时效属性值,则确定该条授权记录无效;反之,如果单条记录的生效时刻晚于或等于集合的时效属性值,则确定该条授权记录有效;
2)综合利用单条授权记录的“有效性”以及“时效属性”来验证授权记录是否有效:
这种情况下,只有当“单条记录的状态为有效”且“单条记录的生效时刻晚于或等于集合的时效属性值”两个条件同时满足时,才会确定该条授权记录有效,否则均会认为该条授权记录是无效的,实际应用中,对两个条件的判断先后顺序并不需要进行限定。
在前面的实施例中,是将利用“时效属性”定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效。根据类似的思路,还可以对“时效属性”进行其他定义,例如,在本申请的一种实施方式中,可以将“时效属性”定义为:为使授权记录集合有效,所允许的最晚授权生效时刻。
也就是说,该属性的取值定义了一个时间点T0,后续进行权限有效性验证时,如果集合中某条权限记录的生效时刻晚于该时间点,则该条权限记录将被视为无效。
相应地,在需要执行批量撤销操作时,处理方式变为(相对于S102):首先确定该集合中授权记录的最早生效时刻,然后设置任意T0值令其满足“T0>集合中授权记录的最早生效时刻”即可。
进而,在需要验证记录有效性时,判断逻辑变为(相对于S204):在所获取的生效时刻晚于所获取的时效属性值的情况下,确定待验证授权记录无效。
在本实施例中,尽管改变了时效属性的定义,但是整体的处理逻辑与前面的实施例基本类似,因此本实施例仅对区别之处进行重点说明,其他部分不再赘述。
另外需要说明的是,本申请方案中所描述的“生效时刻”,所指代的是某个权限的生成或开始发生作用的一个时间点,不应狭义地理解为数据库中的“生效时刻”字段。例如,在不同的数据库中,用于表示上述时间点的属性字段名称具体可能是“权限生效时刻/时间/日期”、“权限创建时刻/时间/日期”、“授权时刻/时间/日期”等形式,这些并不影响本申请方案的实施。
而且,在有些情况下,数据库中可能存在多个不同的字段均能起到相似的作用。例如,在有些数据库中,存在“权限创建时刻”和“权限生效时刻”两个属性字段,其中后者相对前者而言可能存在少量的延迟,但是根据实际的应用需求,在需要进行批量权项撤销时,一般“创建”和“生效”都已经完成,这种情况下,在应用本申请方案时,使用这两个属性字段作为前面方案中“生效时刻”均可以达到相同的权限批量撤销、以及权限有效性验证效果。这些情形也均应视为本申请的保护范围。
下面将结合一个具体的应用实例,对本申请所提供的技术方案进行说明:
OAUTH(Open Authorization)协议为用户资源的授权提供了一个安全的、开放而又简易的标准。对于授权方而言,通过OAUTH授予被授权方的权限,可以令被授权方无需触及用户的账户信息(如用户名与密码)就能够访问到用户在授权方的资源。
假设当前的需求场景是:用户通过某图像处理应用A1来修改个人保存在网站B上的照片,为满足上述需求,需要网站B向图像处理应用A1开放对照片数据的修改权限,根据OAUTH协议,授权过程如图3所示。
S301,用户请求通过应用A1修改自己保存在网站B上的照片;
S302,应用A1请求网站B授权自己访问用户的照片;
S303,网站B询问用户是否授权应用A1访问照片;
S304,用户确认授权;
S305,网站B返回令牌给应用A1
S306,应用A1持令牌访问用户照片。
上述的“一个令牌”即对应与授权方开放给被授权方的一条权限记录,对于授权方而言,令牌数据保存在数据库中,一条令牌数据的关键属性可以包括:
令牌标识:用来唯一区分令牌;
被授权方标识:令牌颁发给哪个被授权方,例如“图像处理应用A1”;
用户标识:令牌归属于哪个用户,例如“张三”;
令牌生效时刻:取值为一个具体的时间点,例如2016/06/01、2016/06/01-13:00:00等;
令牌失效时刻:取值为一个具体的时间点,例如2017/06/01、2017/06/01-13:00:00等;
令牌当前有效性:取值表示为有效或无效。
实际使用过程中,会有大量的用户使用应用A1来修改自己在网站B上的照片,因此网站B需要针对这些用户分别向应用A1颁发令牌,已颁发的令牌记录在令牌数据表中,如表2所示:
令牌标识 被授权方 用户 生效时刻 失效时刻 有效性
100001 应用A1 张三 2016/06/01 2017/06/01 有效
100002 应用A1 李四 2016/06/10 2017/06/10 有效
100003 应用A1 王五 2016/06/12 2017/06/12 有效
100004 应用A2 赵六 2016/06/02 2017/06/30 有效
100005 应用A3 小明 2016/06/05 2017/07/05 有效
…… …… …… …… …… ……
表2
假设网站B希望以“被授权方”为单位,批量撤回已颁发给某个或某些特定被授权应用的令牌,那么根据本申请方案,可以根据不同的被授权方来划分不同的令牌集合,并为每个令牌集合配置对应的“最早授权生效时刻”属性。
一种具体的实施方式是:在被授权应用的属性表(如果该表不存在可以新建)中增加一个“最早授权生效时刻”属性,如表3所示:
被授权方 最早授权生效时刻
应用A1
应用A2
应用A3
…… ……
表3
假设现在网站B出于安全目的,需要对所有授权给应用A1的令牌进行批量撤销,那么,根据本申请方案,网站B可以直接对被授权应用属性表中“应用A1”对应的“最早授权生效时刻”属性值进行修改,如图3的S307所示。这里采用直接将该属性值修改为当前时刻的方式,假设当前时刻为2017/06/15,则写入属性值后的结果如表4所示:
被授权方 最早授权生效时刻
应用A1 2017/06/15
应用A2
应用A3
…… ……
表4
至此,对应用A1令牌的批量撤销操作已经完成,该操作将对表2中的前3条数据记录(被授权方为应用A1)产生影响,而无需逐一对这3条记录的“有效性”属性进行修改。
如图3的S308-S309所示,后续当应用A1再次持令牌访问网站B时,网站B通过查询令牌属性表获得该令牌的生效时刻,并且通过查询被授权应用属性表获得A1的最早授权生效时刻,对于表2中所示的前3条令牌记录而言,由于其“生效时刻”均早于应用A1的“最早授权生效时刻”,因此这3个令牌实际都会被认定为无效。
另一方面,如果后续需要再次对A1进行授权,则其授权生效时刻必然会晚于当前已记录的“最早授权生效时刻”(这里假设撤销令牌和再次颁发令牌不会在同一天发生,如果有该需求则适应性调整相关属性值的数据精度即可),因此后续再次颁发给应用A1的令牌的有效性将不会受到这个“最早授权生效时刻”的影响。
实际应用时,可能还需要结合令牌本身的“有效性”以及令牌集合的“最早授权生效时刻”进行综合判断,只有当“令牌的状态为有效”且“令牌的生效时刻晚于或等于令牌集合的最早授权生效时刻”两个条件同时满足时,才会确定该令牌是有效的,如果两个条件中任一条件无法满足,均会认为该条令牌无效,当然,对上述两个条件的判断先后顺序并不需要进行限定。
可见,与现有技术相比,应用本申请方案,对于需要批量撤销的n条权限记录,可以将撤销处理对应的理论算法复杂度由O(n)缩减至O(1)。另外,由于本申请方案仅需要对数据库做一次数据修改即可实现权限的批量撤销,因此不需要考虑权限记录的分库或分表存储等诸多复杂情况,有效地降低了方案的实际技术实现难度。
相应于上述方法实施例,本申请还提供一种数据库授权记录批量撤销装置,参见图4所示,该装置可以包括:
撤销对象确定单元110,用于确定需要执行撤销的授权记录集合;
撤销执行单元120,用于为所确定的集合设置时效属性值,用于为所确定的集合设置时效属性值,令设置后的属性值T0为当前时刻或未来时刻。
在本申请的一种具体实施方式中,授权记录集合可以为:针对相同被授权方的授权记录。
在本申请的一种具体实施方式中,针对需要执行撤销的授权记录集合,在能够确定下次最早授权生效时刻的情况下,撤销执行单元110可以具体用于:
为所确定的集合设置时效属性值,令修改后的属性值T0进一步满足:
集合中授权记录的最晚生效时刻<T0<下次最早授权生效时刻。
在本申请的一种具体实施方式中,撤销执行单元110可以具体用于:
获取当前时刻,为所确定的集合设置时效属性值,令修改后的属性值T0=当前时刻。
在本申请的另一种具体实施方式中,撤销执行单元120也可以用于:
在集合配置了第一时效属性的情况下,确定该集合中授权记录的最晚生效时刻,并为该集合设置第一时效属性值,令设置后的第一时效属性值T1>所述集合中授权记录的最晚生效时刻;或者
在集合配置了第二时效属性的情况下,确定该集合中授权记录的最早生效时刻,并为该集合设置第二时效属性值,令设置后的第二时效属性值T2<所述集合中授权记录的最早生效时刻。
其中,上述的第一时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,上述的第二时效属性用于定义一个时间点,使得集合中授权生效时刻晚于该时间点的授权记录失效。
本申请还提供一种数据库授权记录有效性验证装置,如图5所示,该装置可以包括:
验证对象确定单元210,用于确定待验证的授权记录;
第一获取单元220,用于获取待验证授权记录的生效时刻;
第二获取单元230,用于获取所述待验证授权记录所属的授权记录集合的第一时效属性值或者第二时效属性值;
验证单元240,用于在在所获取的生效时刻早于所获取的第一时效属性值的情况下,确定所述待验证授权记录无效;或者,
在所获取的生效时刻晚于所获取的第二时效属性值的情况下,确定所述待验证授权记录无效。
参见图6所示,在本申请的一种具体实施方式中,上述数据库授权记录有效性验证装置还可以进一步包括第三获取单元250,用于获取所述待验证授权记录的有效性属性值;
相应地,验证单元240还可以用于:
在所获取的有效性属性值表示为有效、且所获取的生效时刻不早于所获取的第一时效属性值的情况下,确定待验证授权记录有效;或者
在所获取的有效性属性值表示为有效、且所获取的生效时刻不晚于所获取的第二时效属性值的情况下,确定待验证授权记录无效。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本申请方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本申请的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (11)

1.一种数据库授权记录批量撤销方法,其特征在于,为存在撤销需求的授权记录集合配置时效属性,所述时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述方法包括:
确定需要执行撤销的授权记录集合;
为所确定的集合设置时效属性值,令设置后的属性值T0为当前时刻或未来时刻。
2.根据权利要求1所述的方法,其特征在于,所述授权记录集合为:针对相同被授权方的授权记录。
3.根据权利要求1所述的方法,其特征在于,针对所述需要执行撤销的授权记录集合,在能够确定下次最早授权生效时刻的情况下,所述令设置后的属性值T0为未来时刻,包括:
令设置后的属性值T0为未来时刻,并且满足:T0<下次最早授权生效时刻。
4.一种数据库授权记录批量撤销方法,其特征在于,为存在撤销需求的授权记录集合配置第一时效属性或者第二时效属性,所述第一时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述第二时效属性用于定义一个时间点,使得集合中授权生效时刻晚于该时间点的授权记录失效,所述方法包括:
确定需要执行撤销的授权记录集合;
在该集合配置了第一时效属性的情况下,确定该集合中授权记录的最晚生效时刻,并为该集合设置第一时效属性值,令设置后的第一时效属性值T1>所述集合中授权记录的最晚生效时刻;
在该集合配置了第二时效属性的情况下,确定该集合中授权记录的最早生效时刻,并为该集合设置第二时效属性值,令设置后的第二时效属性值T2<所述集合中授权记录的最早生效时刻。
5.一种数据库授权记录有效性验证方法,其特征在于,存在撤销需求的授权记录集合配置有第一时效属性或者第二时效属性,所述第一时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述第二时效属性用于定义一个时间点,使得集合中授权生效时刻晚于该时间点的授权记录失效,所述方法包括:
确定待验证的授权记录;
获取所述待验证授权记录的生效时刻;
获取所述待验证授权记录所属的授权记录集合的第一时效属性值或者第二时效属性值;
在所获取的生效时刻早于所获取的第一时效属性值的情况下,确定所述待验证授权记录无效;或者,
在所获取的生效时刻晚于所获取的第二时效属性值的情况下,确定所述待验证授权记录无效。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
获取所述待验证授权记录的有效性属性值;
在所获取的有效性属性值表示为无效的情况下,确定所述待验证授权记录无效;
在所获取的有效性属性值表示为有效、且所获取的生效时刻不早于所获取的第一时效属性值的情况下,确定所述待验证授权记录有效;或者
在所获取的有效性属性值表示为有效、且所获取的生效时刻不晚于所获取的第二时效属性值的情况下,确定所述待验证授权记录有效。
7.一种第三方应用授权令牌的批量撤销方法,其特征在于,所述方法包括:
确定存在授权令牌撤销需求的第三方应用;
获取当前时刻,为所确定的第三方应用设置时效属性值,令设置后的属性值T0=当前时刻;
接收所述第三方应用提供的授权令牌;
获取所述授权令牌的有效性属性值;
如果所述有效性属性值表示为有效,则进一步获取所述授权令牌的生效时刻以及所述第三方应用的时效属性值,如果所获取的生效时刻早于所获取的时效属性值,则确定所述授权令牌无效;否则确定所述授权令牌有效。
8.一种数据库授权记录批量撤销装置,其特征在于,为存在撤销需求的授权记录集合配置时效属性,所述时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述装置包括:
撤销任务确定单元,用于确定需要执行撤销的授权记录集合;
撤销执行单元,用于为所确定的集合设置时效属性值,令设置后的属性值T0为当前时刻或未来时刻。
9.一种数据库授权记录批量撤销装置,其特征在于,为存在撤销需求的授权记录集合配置第一时效属性或者第二时效属性,所述第一时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述第二时效属性用于定义一个时间点,使得集合中授权生效时刻晚于该时间点的授权记录失效,所述装置包括:
撤销任务确定单元,用于确定需要执行撤销的授权记录集合;
撤销执行单元,用于在该集合配置了第一时效属性的情况下,确定该集合中授权记录的最晚生效时刻,并为该集合设置第一时效属性值,令设置后的第一时效属性值T1>所述集合中授权记录的最晚生效时刻;或者
在该集合配置了第二时效属性的情况下,确定该集合中授权记录的最早生效时刻,并为该集合设置第二时效属性值,令设置后的第二时效属性值T2<所述集合中授权记录的最早生效时刻。
10.一种数据库授权记录有效性验证装置,其特征在于,存在撤销需求的授权记录集合配置有第一时效属性或者第二时效属性,所述第一时效属性用于定义一个时间点,使得集合中授权生效时刻早于该时间点的授权记录失效,所述第二时效属性用于定义一个时间点,使得集合中授权生效时刻晚于该时间点的授权记录失效,所述装置包括:
验证对象确定单元,用于确定待验证的授权记录;
第一获取单元,用于获取所述待验证授权记录的生效时刻;
第二获取单元,用于获取所述待验证授权记录所属的授权记录集合的第一时效属性值或者第二时效属性值;
验证单元,用于在在所获取的生效时刻早于所获取的第一时效属性值的情况下,确定所述待验证授权记录无效;或者,
在所获取的生效时刻晚于所获取的第二时效属性值的情况下,确定所述待验证授权记录无效。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第三获取单元,用于获取所述待验证授权记录的有效性属性值;
所述验证单元,还用于:
在所获取的有效性属性值表示为有效、且所获取的生效时刻不早于所获取的第一时效属性值的情况下,确定所述待验证授权记录有效;或者
在所获取的有效性属性值表示为有效、且所获取的生效时刻不晚于所获取的第二时效属性值的情况下,确定所述待验证授权记录无效。
CN201610523017.4A 2016-07-05 2016-07-05 一种权限撤销方法及装置 Active CN106878002B (zh)

Priority Applications (11)

Application Number Priority Date Filing Date Title
CN201610523017.4A CN106878002B (zh) 2016-07-05 2016-07-05 一种权限撤销方法及装置
TW106118916A TWI690819B (zh) 2016-07-05 2017-06-07 權限撤銷方法及裝置
EP17823527.1A EP3484096B1 (en) 2016-07-05 2017-06-26 Authority revoking method and device
JP2019500512A JP6733028B2 (ja) 2016-07-05 2017-06-26 権限取り消し方法及びデバイス
MYPI2019000226A MY196366A (en) 2016-07-05 2017-06-26 Authority Revoking Method and Device
KR1020197003363A KR102194061B1 (ko) 2016-07-05 2017-06-26 권한 취소 방법 및 디바이스
PCT/CN2017/089963 WO2018006715A1 (zh) 2016-07-05 2017-06-26 一种权限撤销方法及装置
SG11201900035VA SG11201900035VA (en) 2016-07-05 2017-06-26 Authority revoking method and device
US16/240,604 US11017063B2 (en) 2016-07-05 2019-01-04 Authority revoking method and device
US16/723,699 US11017065B2 (en) 2016-07-05 2019-12-20 Authority revoking method and device
US17/328,670 US11397797B2 (en) 2016-07-05 2021-05-24 Authority revoking method and device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610523017.4A CN106878002B (zh) 2016-07-05 2016-07-05 一种权限撤销方法及装置

Publications (2)

Publication Number Publication Date
CN106878002A CN106878002A (zh) 2017-06-20
CN106878002B true CN106878002B (zh) 2020-04-24

Family

ID=59238926

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610523017.4A Active CN106878002B (zh) 2016-07-05 2016-07-05 一种权限撤销方法及装置

Country Status (9)

Country Link
US (3) US11017063B2 (zh)
EP (1) EP3484096B1 (zh)
JP (1) JP6733028B2 (zh)
KR (1) KR102194061B1 (zh)
CN (1) CN106878002B (zh)
MY (1) MY196366A (zh)
SG (1) SG11201900035VA (zh)
TW (1) TWI690819B (zh)
WO (1) WO2018006715A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106878002B (zh) 2016-07-05 2020-04-24 阿里巴巴集团控股有限公司 一种权限撤销方法及装置
CN108390876B (zh) * 2018-02-13 2021-12-14 西安电子科技大学 支持撤销外包可验证多授权中心访问控制方法、云服务器
CN110099043B (zh) * 2019-03-24 2021-09-17 西安电子科技大学 支持策略隐藏的多授权中心访问控制方法、云存储系统
CN112312165A (zh) * 2020-10-19 2021-02-02 中移(杭州)信息技术有限公司 视频下发方法、装置及计算机可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103678392A (zh) * 2012-09-20 2014-03-26 阿里巴巴集团控股有限公司 一种数据增量合并的方法及其装置
CN105553675A (zh) * 2016-01-29 2016-05-04 北京小米移动软件有限公司 登录路由器的方法及装置

Family Cites Families (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3931614A (en) * 1973-06-26 1976-01-06 Addressograph Multigraph Corporation Data terminal having improved data output presentation
US3905022A (en) * 1973-06-26 1975-09-09 Addressograph Multigraph Data entry terminal having data correction means
US4031518A (en) * 1973-06-26 1977-06-21 Addressograph Multigraph Corporation Data capture terminal
US7162635B2 (en) * 1995-01-17 2007-01-09 Eoriginal, Inc. System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents
US7337315B2 (en) * 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US6766450B2 (en) * 1995-10-24 2004-07-20 Corestreet, Ltd. Certificate revocation system
US6301659B1 (en) * 1995-11-02 2001-10-09 Silvio Micali Tree-based certificate revocation system
US5937159A (en) * 1997-03-28 1999-08-10 Data General Corporation Secure computer system
US6128740A (en) * 1997-12-08 2000-10-03 Entrust Technologies Limited Computer security system and method with on demand publishing of certificate revocation lists
US6898711B1 (en) * 1999-01-13 2005-05-24 International Business Machines Corporation User authentication system and method for multiple process applications
AU6097000A (en) * 1999-07-15 2001-02-05 Frank W Sudia Certificate revocation notification systems
US6948061B1 (en) * 2000-09-20 2005-09-20 Certicom Corp. Method and device for performing secure transactions
US7039803B2 (en) * 2001-01-26 2006-05-02 International Business Machines Corporation Method for broadcast encryption and key revocation of stateless receivers
US7350231B2 (en) * 2001-06-06 2008-03-25 Yahoo ! Inc. System and method for controlling access to digital content, including streaming media
US20030018606A1 (en) * 2001-07-17 2003-01-23 International Business Machines Corporation Revocation of tokens without communication between the token holders and the token server
FI20021738A0 (fi) * 2002-09-30 2002-09-30 Ssh Comm Security Oyj Menetelmä sertifikaattien hylkylistojen muodostamiseksi
US8010783B1 (en) * 2004-04-15 2011-08-30 Aol Inc. Service provider invocation
US8042163B1 (en) * 2004-05-20 2011-10-18 Symatec Operating Corporation Secure storage access using third party capability tokens
US7614082B2 (en) * 2005-06-29 2009-11-03 Research In Motion Limited System and method for privilege management and revocation
US20070294114A1 (en) * 2005-12-14 2007-12-20 Healthunity Corporation Record sharing privacy system and method
US9195665B2 (en) * 2006-04-28 2015-11-24 Hewlett-Packard Development Company, L.P. Method and system for data retention
US20080109361A1 (en) * 2006-11-08 2008-05-08 Healthunity Corporation Health record access system and method
EP2045767B1 (en) * 2007-10-01 2012-08-29 Accenture Global Services Limited Mobile data collection and validation systems and methods
US20090132813A1 (en) * 2007-11-08 2009-05-21 Suridx, Inc. Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones
US9286742B2 (en) * 2008-03-31 2016-03-15 Plantronics, Inc. User authentication system and method
US8200655B2 (en) * 2009-01-22 2012-06-12 International Business Machines Corporation Query-based generation of data records
US8893232B2 (en) * 2009-02-06 2014-11-18 Empire Technology Development Llc Media monitoring system
EP2302534B1 (en) * 2009-09-18 2017-12-13 Software AG Method for mass-deleting data records of a database system
CN102822793A (zh) * 2010-01-27 2012-12-12 瓦欧尼斯系统有限公司 与时间有关的访问权限
US8745380B2 (en) * 2010-02-26 2014-06-03 Red Hat, Inc. Pre-encoding a cached certificate revocation list
US8423764B2 (en) * 2010-06-23 2013-04-16 Motorola Solutions, Inc. Method and apparatus for key revocation in an attribute-based encryption scheme
JP5531819B2 (ja) 2010-06-28 2014-06-25 株式会社リコー 管理装置,ライセンス管理サーバ,電子機器,電子機器管理システム,管理方法,プログラム,および記録媒体
JP5129313B2 (ja) * 2010-10-29 2013-01-30 株式会社東芝 アクセス認可装置
US9083535B2 (en) * 2010-11-05 2015-07-14 Nokia Corporation Method and apparatus for providing efficient management of certificate revocation
US8839381B2 (en) * 2010-12-07 2014-09-16 Microsoft Corporation Revoking delegatable anonymous credentials
US8572730B1 (en) * 2011-02-28 2013-10-29 Symantec Corporation Systems and methods for revoking digital signatures
JP5583630B2 (ja) 2011-05-09 2014-09-03 日本電信電話株式会社 代理申請認可システム及び代理申請認可方法
EP2724332B1 (en) * 2011-06-23 2018-04-18 Covectra, Inc. Systems for tracking and authenticating goods
US10366390B2 (en) * 2011-09-23 2019-07-30 Visa International Service Association Automatic refresh authorization for expired payment transaction authorizations
JP5830362B2 (ja) * 2011-11-15 2015-12-09 株式会社インフォクラフト 分散アクセス制御方法
US8904494B2 (en) * 2011-12-12 2014-12-02 Avira B.V. System and method to facilitate compliance with COPPA for website registration
US8898743B1 (en) * 2012-02-27 2014-11-25 Google Inc. Personal content control on media device using mobile user device
US9053293B2 (en) * 2012-05-15 2015-06-09 Sap Se Personal authentications on computing devices
JP6006533B2 (ja) * 2012-05-25 2016-10-12 キヤノン株式会社 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法
US9256722B2 (en) * 2012-07-20 2016-02-09 Google Inc. Systems and methods of using a temporary private key between two devices
US9530130B2 (en) * 2012-07-30 2016-12-27 Mastercard International Incorporated Systems and methods for correction of information in card-not-present account-on-file transactions
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
US9076002B2 (en) * 2013-03-07 2015-07-07 Atmel Corporation Stored authorization status for cryptographic operations
US8997187B2 (en) * 2013-03-15 2015-03-31 Airwatch Llc Delegating authorization to applications on a client device in a networked environment
US9098687B2 (en) 2013-05-03 2015-08-04 Citrix Systems, Inc. User and device authentication in enterprise systems
US9536065B2 (en) * 2013-08-23 2017-01-03 Morphotrust Usa, Llc System and method for identity management
US9407620B2 (en) * 2013-08-23 2016-08-02 Morphotrust Usa, Llc System and method for identity management
EP3036675B1 (en) * 2013-08-23 2021-03-10 IDEMIA Identity & Security USA LLC Method for identity management
US9898880B2 (en) * 2013-09-10 2018-02-20 Intel Corporation Authentication system using wearable device
US9412031B2 (en) * 2013-10-16 2016-08-09 Xerox Corporation Delayed vehicle identification for privacy enforcement
CN104639586B (zh) * 2013-11-13 2018-06-08 阿里巴巴集团控股有限公司 一种数据交互方法和系统
US9577823B2 (en) * 2014-03-21 2017-02-21 Venafi, Inc. Rule-based validity of cryptographic key material
KR101926052B1 (ko) * 2014-05-12 2018-12-06 삼성에스디에스 주식회사 출입 관리 시스템 및 방법
US9208284B1 (en) * 2014-06-27 2015-12-08 Practice Fusion, Inc. Medical professional application integration into electronic health record system
US9712537B2 (en) * 2014-07-25 2017-07-18 Accenture Global Services Limited Aggregated data in a mobile device for displaying cluster sessions
US9712635B2 (en) * 2014-07-25 2017-07-18 Accenture Global Services Limited Aggregated data in a mobile device for session object
US10678880B2 (en) * 2014-08-07 2020-06-09 Greenman Gaming Limited Digital key distribution mechanism
US9350726B2 (en) * 2014-09-11 2016-05-24 International Business Machines Corporation Recovery from rolling security token loss
US9361093B2 (en) * 2014-10-01 2016-06-07 Sap Se Revoking a zero downtime upgrade
JP6303979B2 (ja) * 2014-10-29 2018-04-04 株式会社リコー 情報処理システム、情報処理装置、情報処理方法およびプログラム
US10356053B1 (en) * 2014-12-12 2019-07-16 Charles Schwab & Co., Inc. System and method for allowing access to an application or features thereof on each of one or more user devices
WO2016163979A1 (en) * 2015-04-06 2016-10-13 Hewlett Packard Enterprise Development Lp Certificate generation
US9824351B2 (en) * 2015-05-27 2017-11-21 Bank Of America Corporation Providing access to account information using authentication tokens
US9830591B2 (en) * 2015-05-27 2017-11-28 Bank Of America Corporation Providing access to account information using authentication tokens
CN104980438B (zh) * 2015-06-15 2018-07-24 中国科学院信息工程研究所 一种虚拟化环境中数字证书撤销状态检查的方法和系统
US9853820B2 (en) * 2015-06-30 2017-12-26 Microsoft Technology Licensing, Llc Intelligent deletion of revoked data
CN105072180B (zh) * 2015-08-06 2018-02-09 武汉科技大学 一种有权限时间控制的云存储数据安全共享方法
US20170147808A1 (en) * 2015-11-19 2017-05-25 International Business Machines Corporation Tokens for multi-tenant transaction database identity, attribute and reputation management
US10218701B2 (en) * 2016-03-09 2019-02-26 Avaya Inc. System and method for securing account access by verifying account with email provider
US10187421B2 (en) * 2016-06-06 2019-01-22 Paypal, Inc. Cyberattack prevention system
CN106878002B (zh) 2016-07-05 2020-04-24 阿里巴巴集团控股有限公司 一种权限撤销方法及装置
US10735197B2 (en) * 2016-07-29 2020-08-04 Workday, Inc. Blockchain-based secure credential and token management across multiple devices
US11106812B2 (en) * 2019-05-09 2021-08-31 At&T Intellectual Property I, L.P. Controlling access to datasets described in a cryptographically signed record

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103678392A (zh) * 2012-09-20 2014-03-26 阿里巴巴集团控股有限公司 一种数据增量合并的方法及其装置
CN105553675A (zh) * 2016-01-29 2016-05-04 北京小米移动软件有限公司 登录路由器的方法及装置

Also Published As

Publication number Publication date
JP6733028B2 (ja) 2020-07-29
WO2018006715A1 (zh) 2018-01-11
TW201802717A (zh) 2018-01-16
MY196366A (en) 2023-03-27
EP3484096A1 (en) 2019-05-15
US11017065B2 (en) 2021-05-25
TWI690819B (zh) 2020-04-11
US20190156001A1 (en) 2019-05-23
CN106878002A (zh) 2017-06-20
KR102194061B1 (ko) 2020-12-23
EP3484096A4 (en) 2019-07-17
US11397797B2 (en) 2022-07-26
EP3484096B1 (en) 2021-06-02
JP2019525317A (ja) 2019-09-05
US20200143018A1 (en) 2020-05-07
KR20190025981A (ko) 2019-03-12
SG11201900035VA (en) 2019-02-27
US11017063B2 (en) 2021-05-25
US20210286862A1 (en) 2021-09-16

Similar Documents

Publication Publication Date Title
JP7236992B2 (ja) ブロックチェーンにより実現される方法及びシステム
US11762970B2 (en) Fine-grained structured data store access using federated identity management
US20210273931A1 (en) Decentralized authentication anchored by decentralized identifiers
US10230722B2 (en) Trusted status transfer between associated devices
US11863677B2 (en) Security token validation
US20100093310A1 (en) Device authentication within deployable computing environment
US9401911B2 (en) One-time password certificate renewal
US20150046971A1 (en) Method and system for access control in cloud computing service
CN106878002B (zh) 一种权限撤销方法及装置
US11356458B2 (en) Systems, methods, and computer program products for dual layer federated identity based access control
KR20170092642A (ko) 기대치에 따른 데이터 보안 작동
EP3777082B1 (en) Trusted platform module-based prepaid access token for commercial iot online services
EP3839791B1 (en) Identification and authorization of transactions via smart contracts
WO2019175427A1 (en) Method, device and medium for protecting work based on blockchain
US9973498B2 (en) Virtual smart cards with audit capability
CN114467103A (zh) 使用授权令牌和凭证为服务提供商提供对锁的访问
CN110874482A (zh) 已认证部件权限框架
WO2023160632A1 (zh) 针对飞地实例的云服务访问权限设置方法和云管理平台
CN114024700B (zh) 基于区块链的数据文件的访问控制方法、介质及装置
WO2022252912A1 (zh) 一种用户数据管理方法以及相关设备
Lu User-to-user delegation in a federated identity environment'
KR20180045718A (ko) 빅데이터 플랫폼에서 게이트웨이를 통한 인터페이스 액세스 및 관리 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201014

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee after: Innovative advanced technology Co.,Ltd.

Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee before: Advanced innovation technology Co.,Ltd.

Effective date of registration: 20201014

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee after: Advanced innovation technology Co.,Ltd.

Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands

Patentee before: Alibaba Group Holding Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240206

Address after: Guohao Times City # 20-01, 128 Meizhi Road, Singapore

Patentee after: Advanced Nova Technology (Singapore) Holdings Ltd.

Country or region after: Singapore

Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Patentee before: Innovative advanced technology Co.,Ltd.

Country or region before: United Kingdom