CN107211007A - 提供对资源的选择性访问 - Google Patents
提供对资源的选择性访问 Download PDFInfo
- Publication number
- CN107211007A CN107211007A CN201580073018.7A CN201580073018A CN107211007A CN 107211007 A CN107211007 A CN 107211007A CN 201580073018 A CN201580073018 A CN 201580073018A CN 107211007 A CN107211007 A CN 107211007A
- Authority
- CN
- China
- Prior art keywords
- resource
- resource server
- server
- client
- permissions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013475 authorization Methods 0.000 claims description 29
- 238000000034 method Methods 0.000 claims description 14
- 238000007726 management method Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 4
- 238000013500 data storage Methods 0.000 claims description 2
- 230000003993 interaction Effects 0.000 description 9
- 238000012795 verification Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000011469 building brick Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
各示例涉及提供对资源的选择性访问。在一个示例中,计算设备可以:从客户端应用接收访问第一资源服务器的请求,该请求包括客户端访问令牌;标识由客户端拓扑指定的第一许可集合,客户端拓扑指定:第一资源服务器;用于由客户端应用访问第一资源服务器的第一许可集合;第二资源服务器;以及用于由第一资源服务器访问第二资源服务器的第二许可集合;向客户端应用提供第一访问令牌,第一访问令牌指定第一许可集合和第一资源服务器;从第一资源服务器接收访问第二资源服务器的请求,该请求包括第一访问令牌;以及向第一资源服务器提供指定第二许可集合的第二访问令牌。
Description
背景技术
计算服务和应用越来越多地寻求访问由其它服务和应用所拥有和/或管理的资源。例如,在网站上运行的web应用可能寻求用户的许可以从网站向用户博客发布内容,所述用户博客可能是由分离的实体管理的资源。在获得代表用户进行发布的许可之后,管理用户博客的实体可以允许web应用在用户博客上发布内容。
附图说明
以下详细描述参照附图,其中:
图1是用于提供对资源的选择性访问的示例计算设备的框图。
图2A是用于提供对资源的选择性访问的示例数据流。
图2B是用于提供对资源的选择性访问的示例拓扑。
图3是用于提供对资源的选择性访问的示例方法的流程图。
具体实施方式
资源和服务提供商通常向其它资源和服务提供商委派各种任务。例如,社交媒体网站可以利用数据存储服务来基于社交媒体网站的需要而提供动态存储,并且可以使用广告提供商来向社交媒体网站用户提供广告。这些服务的服务或级联服务可能通常由专注于提供特定服务的第三方来管理。在用户允许客户端服务或应用访问由特定资源提供商所管理的用户资源的情况下,例如在用户许可网站发布到用户的博客的情况下,授予特定资源提供商的级联服务的许可可以以设计成确保级联服务和资源提供商仅被提供有执行其特定任务所需要的许可的方式来控制。
一般而言,对于访问由分离的资源服务器管理的用户资源的客户端服务或应用,用户通过与关联于资源服务器的授权服务器通信来授予客户端访问。授权服务器在从用户并且在一些实现方式中还从客户端接收到认证(诸如用户名和口令、客户端ID和/或密码)后,发给客户端允许客户端请求对资源服务器上的用户资源进行访问的令牌,如由用户授权的那样。提供给客户端应用的令牌标识客户端应用并且一般不授予许可。为了与资源服务器交互,客户端应用可以用该令牌交换第二令牌,所述第二令牌指定资源服务器和关于该资源服务器而授予客户端应用的许可范围。授予客户端应用的许可范围可以变化,例如取决于用户确定为客户端应用提供什么访问。例如,用户可以授予在用户的博客上发布内容的web应用许可,但是不授予修改用户简档信息的许可。
对于执行各种动作(例如在用户的博客上发布文章)的资源服务器,资源服务器可能需要与一个或多个级联服务通信。例如,为了确保发布在用户的博客上的内容不侵犯资源提供商的服务条款或其它内容约束,资源提供商可以使用内容验证服务作为级联服务,内容验证服务验证由客户端应用提供的内容,例如内容验证服务可以尝试确保内容不侵犯任何版权或关于被资源服务器视为不当的内容的约束。另一示例级联服务可以用于以例如在用户简档中指定的特定格式呈现该内容。
为了确保级联服务仅被提供有执行其一个或多个任务所需要的许可,资源服务器不为级联服务提供由客户端应用提供的令牌。替代地,资源服务器可以把其令牌随访问级联服务的请求一起提供给授权服务器。授权服务器可以为资源服务器提供专用于级联服务的令牌,并且该令牌可以具有如下许可:该许可具有与由向资源服务器给出的令牌所指定的许可不同的范围。例如,内容呈现服务可能不需要包括在用户的博客上进行发布的许可的令牌,并且可能仅需要从用户的简档读取博客的格式以适当地呈现要由资源服务器发布的内容的许可。
要由与资源服务器相关联的任何服务之间的令牌授予的许可在可由授权服务器访问的客户端应用拓扑中指定。授权服务器可以使用该拓扑来确定发给请求服务的令牌将授予哪些许可。关于授权服务器、客户端和资源提供商进行交互以选择性地委派对资源的访问的方式的进一步细节在随后的段落中提供。
现在参照附图,图1是用于选择性地委派对资源的访问的示例计算设备100的框图。计算设备100可以是例如服务器计算机、个人计算机、移动计算设备或适合于处理数据的任何其它电子设备。在图1的实施例中,计算设备100包括硬件处理器110和机器可读存储介质120。
硬件处理器110可以是一个或多个中央处理单元(CPU)、基于半导体的微处理器和/或适合于检索和执行存储在机器可读存储介质120中的指令的其它硬件设备。硬件处理器110可以取回、解码和执行指令(诸如130-138)以控制用于选择性地委派对资源的访问的过程。作为对检索和执行指令的替换或附加,硬件处理器110可以包括一个或多个电子电路,电子电路包括用于执行一个或多个指令的功能的电子组件。
机器可读存储介质(诸如120)可以是包含或存储可执行指令的任何电子、磁性、光学或其它物理存储设备。因此,机器可读存储介质120可以是例如,随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储设备、光盘等。在一些实现方式中,存储介质120可以是非暂时性存储介质,其中术语“非暂时性”不涵盖暂时性传播信号。如以下详细描述的,机器可读存储介质120可以编码有一系列可执行指令:130-138,以用于选择性地委派对资源的访问。
如图1中所示,计算设备100执行指令以从客户端应用140接收访问第一资源服务器150的客户端请求142(130)。客户端请求142包括将客户端应用140指定为受众(例如预期接收方)的访问令牌。在一些实现方式中,访问令牌可能先前已经由计算设备100提供给客户端应用140。例如,访问令牌可能已经作为授权过程的结果而提供给客户端应用140,在所述授权过程中用户授权客户端应用140代表用户访问受保护的资源。在一些实现方式中,访问令牌不单独授予访问资源的许可,例如必须把它与客户端应用140交换以访问特定受保护的资源。
计算设备100执行指令以响应于接收到客户端请求142而标识用于由客户端应用140访问第一资源服务器150的第一许可集合(132)。第一许可集合可以由客户端应用140的拓扑来指定。该拓扑可以例如指定:第一资源服务器150和用于由客户端应用140访问第一资源服务器150的第一许可集合;以及第二资源服务器与用于由第一资源服务器150访问第二资源服务器的第二许可集合。
作为示例,客户端应用140可以是在用户的移动设备上运行的新闻馈送应用,并且第一资源服务器150可以是由用户管理的博客的主机。在该示例中,用于新闻馈送应用的拓扑指定博客主机和代表用户授予新闻馈送应用的第一许可集合。例如,用户可能之前已经授权新闻馈送应用向用户的博客发布新闻报道,例如当用户与呈现在新闻馈送应用内的新闻文章交互时。在该示例中,用于新闻馈送应用的拓扑还指定级联服务(诸如用于格式化发布到用户的博客的新闻文章的呈现服务)以及使博客主机与级联服务交互的许可集合。呈现服务可以具有访问用户简档信息(诸如用户的博客布局)的许可以执行呈现服务,但是可能不具有向用户的博客发布任何事情的许可。由于呈现服务可能由第三方管理(在博客主机的控制之外),所以限制授予级联服务的许可可以防止对用户的受保护资源的未经授权和/或非所预期的访问。
在一些实现方式中,计算设备100可以从客户端应用140接收拓扑。例如,客户端应用140的开发者可以基于从第一资源服务器150及其相关联的资源服务器和服务(级联的或其它方式的)获得的数据而生成拓扑。
在一些实现方式中,计算设备100可以使用从客户端应用140和/或第一资源服务器150接收的子拓扑来生成用于客户端应用140的拓扑。例如,替代依赖客户端应用140的开发者来知晓第一资源服务器的拓扑,包括所有相关联的资源服务器和许可,客户端应用140的开发者可以提供指定与如下直接交互相关联的许可的子拓扑:该直接交互是客户端应用140与关联于第一资源服务器150的资源的直接交互,所述第一资源服务器150在该示例中是唯一的第一资源服务器150。第一资源服务器150可以提供指定与如下直接交互相关联的许可的子拓扑,该直接交互在一些实现方式中是第一资源服务器150与关联于第一资源服务器150的任何级联资源服务器和服务的直接交互。通过使用由客户端应用140和第一资源服务器150提供的子拓扑,计算设备100可以生成完整拓扑,所述完整拓扑指定客户端应用140、第一资源服务器150和与第一资源服务器150相关联的资源服务器和服务之间的交互的许可。
计算设备100执行指令以便为客户端应用140提供第一访问令牌144(134)。第一访问令牌144指定第一许可集合以及作为受众的第一资源服务器150。例如,如由示例拓扑指定的,新闻馈送应用可以被提供有将博客主机指定为受众的访问令牌和第一许可集合中的向用户的博客进行发布的许可。
在图1中所描绘的示例环境中,将客户端应用140描绘为使用第一访问令牌144与第一资源服务器150通信。通信可以包括例如:包括新闻馈送应用的新闻文章或到文章的链接的通信;在用户的博客上发布新闻文章的请求;和指示新闻馈送应用已经被授权向用户的博客进行发布的令牌。
计算设备100执行指令以从第一资源服务器150接收访问第二资源服务器的第一资源请求152(136)。例如,当接收到第一访问令牌144和指示新闻馈送应用具有新闻文章和在用户的博客上发布该新闻文章的授权的数据后,博客主机可能需要与呈现服务进行通信以便以满足博客主机和/或用户的博客布局的设计标准的方式格式化新闻文章。第一访问令牌144不将第二资源服务器(例如呈现服务)指定为受众,并且可能不包括必要的许可,例如访问用户的博客布局的许可;相应地,在该示例中,第一资源服务器150发送第一资源请求152以得到用于与第二资源服务器进行通信并且利用第二资源服务器的适当令牌。
计算设备100执行指令以响应于接收到第一资源请求152而为第一资源服务器150提供第二访问令牌154(138)。第二访问令牌154指定第二许可集合和作为第二受众的第二资源服务器。与第一访问令牌144一样,第二访问令牌154可以基于客户端应用拓扑而被提供给第一资源服务器150。通过使用以上提供的示例,第二访问令牌154可以将呈现服务指定为受众并且许可可以包括对用户的博客布局的访问。
如以上所讨论的,由任何给定令牌提供的许可可以变化。资源服务器(级联的或其它方式的)可以具有在用于给定客户端应用的拓扑中指定的许可的任何组合。虽然参照图1描述的示例包括单个资源服务器和单个级联服务,但是许多其它的资源服务器(其可以包括级联服务)可以被包括在拓扑中。此外,各种配置可用于资源服务器(级联的或其它方式的)之间的通信,例如级联服务器也可以使用级联服务,并且服务之间的许可可以是单向的——其中由第一服务授予第二服务的许可不同于由第二服务授予第一服务的许可。
每一个客户端应用可以与多个拓扑(例如客户端应用可以代表用户访问的每一个不同的受保护资源有一个拓扑)相关联。例如,新闻馈送应用可以具有:访问第二博客主机上的用户的第二博客的授权;对用户的电子邮件联系人的授权,以向用户的联系人之一发送新闻文章;和/或对用户的广告内容简档的授权,以基于用户感兴趣的文章向用户的简档添加感兴趣话题。此外,每一个资源服务器(级联的或其它方式的)可以属于多个拓扑。例如,第三方呈现服务可以由多个资源服务器使用,并且属于与相同客户端应用相关联的多个拓扑。作为另一示例,被授权访问资源服务器的每一个客户端应用可以具有用于与资源服务器的交互的拓扑,并且该拓扑可以与用于相同资源服务器的其它客户端应用的拓扑分离。
图2A是用于提供对资源的选择性访问的示例数据流200,而图2B是用于提供对资源的选择性访问的示例拓扑。数据流200描绘了授权服务器230,授权服务器230可以由诸如以上关于图1描述的计算设备100之类的计算设备来实现。用户设备210、客户端应用220、第一资源服务器240和第二资源服务器250可以由适合于处理数据的任何计算(诸如个人计算机、移动计算机或服务器计算机)设备实现。例如,用户设备210可以是用户的个人计算机,客户端应用220可以是实现在web服务器上的web应用,授权服务器230、第一资源服务器240和第二资源服务器250可以实现在一个或多个服务器设备、虚拟机等上。
示例数据流200描绘了可以发生在例如使用示例拓扑280的所描绘的设备之间的示例信息交换。一般而言,并且如以上所描述的,拓扑280可以由客户端应用220的开发者单独地或与管理第一资源服务器240的实体组合地生成。例如,在一些实现方式中,客户端拓扑可以基于从管理第一资源服务器240的实体接收的许可数据来生成,其中许可数据针对与第一资源服务器相关联的资源服务器(例如第二资源服务器250、第三资源服务器260和第四资源服务器270)中的每一个来指定其它资源服务器中的至少一个,并且针对其它资源服务器中的每一个来指定授予所述其它资源服务器的许可。拓扑一般可由授权服务器230访问,授权服务器230可以使用该拓扑以分发用于访问受保护的资源的令牌。
在示例数据流200中,用户设备210的用户可能希望向客户端应用220授予对用户的受保护的资源(例如与第一资源服务器240相关联)的访问。作为示例,第一资源服务器240可以提供用户设备210的用户订阅的数字照片管理服务。用户的照片(例如受保护的资源)可以由第一资源服务器240结合例如提供存储、用户简档管理和打印服务的其它资源服务器来管理。对照片的访问可以例如通过用户名和口令来保护。客户端应用220(作为示例其可以是在web服务器上运行的图像标记web应用)可以向用户设备210给出重定向数据212,重定向数据212将用户设备210的web浏览器重定向到授权服务器230。
用户设备210向授权服务器230发送用户请求214,所述用户请求214请求向客户端应用220给出对由第一资源服务器240管理的用户图像的访问。在以上给出的示例中,授权服务器230可以要求用户通过提供用户名和口令来进行认证,并且一经认证,就为用户设备210提供访问码216。用户设备210向客户端应用220提供访问码216,所述客户端应用220向授权服务器提供该访问码216并且在一些实现方式中提供客户端认证凭证以交换访问令牌218。访问令牌218由授权服务器230提供以允许客户端应用访问与第一资源服务器240相关联的资源。在一些实现方式中,访问令牌218不单独授予对任何个体资源或资源服务器的访问。
客户端应用220为授权服务器230提供访问令牌218连同访问第一资源服务器240的请求。授权服务器230在接收到该请求和访问令牌218后可以在客户端应用拓扑280中标识第一令牌222,所述第一令牌222被定义用于访问第一资源服务器240。在示例拓扑280中,第一令牌222由字符串“TID_01:{P3,P4}”来表示。该示例字符串指示拓扑“TID”,受众“01”(其指示第一资源服务器240),以及具有两个许可P3和P4的集合。可以呈现令牌的方式可以变化,并且令牌一般指定令牌的受众、指示在受众处可以访问什么的许可,以及——在一些实现方式中——令牌所属于的拓扑。通过使用图像标记应用示例,提供给图像标记应用的第一令牌222可以指定受众,受众可以是第一资源服务器240,并且许可的集合可以指定图像标记应用可以访问一般图像和图像属性。
客户端应用220为去往第一资源服务器240的第一令牌提供针对特定资源的请求,所述特定资源例如是图像标记应用寻求标记的图像。在示例数据流200中,第一资源服务器240依赖于第二资源服务器250来帮助履行资源请求。例如,为了标记图像,图像标记应用可能需要访问实际的图像文件,和/或可能需要在由第二资源服务器250管理的存储设备上存储图像文件的许可。
为了利用用于访问所请求的资源的适当许可与第二资源服务器250通信,第一资源服务器向授权服务器230提供第一令牌222以交换第二令牌224。如在示例拓扑280中所示,第二令牌224由字符串“TID_02:{p5}”来表示,该字符串指示第一资源服务器240被授权利用许可p5来访问“TID”的“02”。在图像标记示例中,所述许可可以是用于例如检索和存储图像的文件许可。
在示例数据流200中,当接收到经授权的请求(例如由于第二令牌224而被授权)后,第二资源服务器250向第一资源服务器240提供表示所请求的资源的数据226,第一资源服务器240然后可以向客户端应用220提供数据226。在图像标记应用示例中,数据226可以是要由客户端应用分析和标记的图像文件,或者可以是由第二资源服务器250存储的图像文件已经改变的确认。
图2B中所描绘的示例拓扑280还指示用于授予客户端应用220对第三资源服务器260的访问的第三令牌232、用于授予第一资源服务器240对第三资源服务器260的访问的第四令牌234,以及用于授予第一资源240对第四资源服务器270的访问的第五令牌236。拓扑280还使用箭头来指示令牌提供访问所沿的(一个或多个)方向。从一个资源服务器向另一个资源服务器授予的访问可以不与在相反方向上授予的访问相同——如果授予相反方向上的任何访问的话。例如,第一资源服务器240可以利用许可P2访问第三资源服务器,但是在拓扑中不存在用于为第三资源服务器260提供对第一资源服务器的访问的令牌。许多其它拓扑变型可以用于选择性地提供对各种相关和级联的资源服务器的访问。
图3是用于提供对资源的选择性访问的示例方法300的流程图。方法300可以由诸如图1中描述的计算设备之类的计算设备执行。其它计算设备也可以用于执行方法300,诸如用于实现资源服务器的计算设备。方法300可以以存储在机器可读存储介质(诸如存储介质120)上的可执行指令的形式和/或以电子电路的形式实现。
从客户端设备接收针对用户数据的客户端请求以及指定第一受众和第一许可集合的第一令牌(302)。客户端设备可以是例如实现客户端应用的设备,用户已向所述客户端应用委派访问,例如对由第一服务器管理的用户的受保护资源的访问。第一令牌和客户端请求可以由管理用户的受保护资源的第一服务器接收。
向授权服务器提供令牌请求,所述令牌请求包括i)第一令牌,以及ii)访问资源服务器的请求(304)。例如,管理用户的受保护资源的第一服务器可能需要对级联资源服务器(例如第一服务器已经向其委派某种功能的资源服务器)进行访问。为了访问级联资源服务器,第一服务器用第一令牌交换提供对级联资源服务器的访问的令牌。
从授权服务器接收资源服务器令牌,资源服务器令牌指定第二受众和第二许可集合,第二受众是资源服务器(306)。例如,资源服务器令牌可以将级联资源服务器指定为受众,以及指定用于访问级联资源并且履行针对用户数据的客户端请求的许可集合。在一些实现方式中,由资源服务器令牌指定的许可集合不同于由第一令牌指定的第一许可集合。例如,级联资源服务器可以要求与第一服务器所要求的许可不同的许可来执行其服务。
向资源服务器提供i)针对用户数据的资源请求,以及ii)资源服务器令牌(308)。例如,针对用户数据的资源请求可以类似于针对用户数据的客户端请求,从授权服务器接收到的资源服务器令牌指定请求服务器(例如第一服务器)具有请求用户数据的许可并且指定资源服务器令牌的预期受众是资源服务器。
从资源服务器接收用户数据(310)。例如,通过使用资源服务器令牌和资源请求,资源服务器能够为第一服务器提供所请求的用户数据。
将用户数据提供给客户端设备(312)。例如,第一服务器在接收到所请求的数据后可以向所述客户端请求所源自的客户端设备提供该数据。
前述公开内容描述了用于提供对资源的选择性访问的数个示例实现方式。如以上详述的,各示例提供一种机制,该机制使用客户端应用和资源服务器拓扑以利用各种许可选择性地提供对各种资源服务器的访问,并且提供了能够提供对资源的选择性访问的系统的潜在应用。
Claims (15)
1.一种非暂时性机器可读存储介质,编码有指令,所述指令可由计算设备的硬件处理器执行以提供对资源的选择性访问,机器可读存储介质包括用于使得硬件处理器进行如下操作的指令:
从授权服务器接收用于访问与第一资源服务器相关联的资源的访问令牌;
向授权服务器提供所述访问令牌和访问第一资源服务器的请求;
从授权服务器接收第一令牌,第一令牌指定用于访问第一资源服务器的第一许可集合以及作为第一受众的第一资源服务器,第一许可集合由客户端拓扑指定,所述客户端拓扑指定:
第一资源服务器;
用于访问第一资源服务器的第一许可集合;
第二资源服务器;以及
用于由第一资源服务器访问第二资源服务器的第二许可集合;以及
向第一资源服务器提供针对资源的资源请求,所述资源请求包括第一令牌。
2.权利要求1所述的存储介质,其中所述访问令牌不授予许可。
3.权利要求1所述的存储介质,其中指令还使得硬件处理器:
向所述授权服务器提供所述客户端拓扑。
4.权利要求1所述的存储介质,其中:
所述资源请求指定针对由第二资源服务器存储的特定用户数据的请求,所述第二资源服务器由所述客户端拓扑指定;并且
第二许可集合包括不同于包括在第一许可集合中的许可的至少一个许可。
5.权利要求4所述的存储介质,其中:
第二许可集合是由所述客户端拓扑指定的用于访问第二资源服务器的唯一许可集合;并且
所述客户端拓扑还指定第一资源作为与第二许可集合相关联的唯一来源。
6.权利要求4所述的存储介质,其中指令还使得硬件处理器:
从第一资源接收所述特定用户数据。
7.权利要求1所述的存储介质,其中指令还使得硬件处理器:
基于从管理第一资源服务器的实体接收到的许可数据而生成所述客户端拓扑,所述许可数据为与第一资源服务器相关联的多个资源服务器中的每一个指定所述多个资源服务器中的至少一个其它资源服务器,以及为所述至少一个其它资源服务器中的每一个指定授予所述其它资源服务器的许可。
8.一种用于提供对资源的选择性访问的计算设备,所述计算设备包括:
硬件处理器;以及
存储指令的数据存储设备,所述指令在由硬件处理器执行时,使得硬件处理器:
从客户端应用接收访问第一资源服务器的客户端请求,所述客户端请求包括客户端访问令牌,所述客户端访问令牌指定所述客户端应用作为客户端受众;
响应于接收到所述客户端请求,标识用于由所述客户端应用访问第一资源服务器的第一许可集合,第一许可集合由客户端应用的客户端拓扑指定,所述客户端拓扑指定:
第一资源服务器;
用于由所述客户端应用访问第一资源服务器的第一许可集合;
第二资源服务器;以及
用于由第一资源服务器访问第二资源服务器的第二许可集合;
向所述客户端应用提供第一访问令牌,第一访问令牌指定第一许可集合以及作为第一受众的第一资源服务器;
从第一资源服务器接收访问第二资源服务器的第一资源请求,第一资源请求包括第一访问令牌;以及
响应于接收到第一资源请求,向第一资源服务器提供第二访问令牌,第二访问令牌指定第二许可集合以及作为第二受众的第二资源服务器。
9.权利要求8所述的计算设备,其中指令还使得处理器:
从客户端应用接收所述客户端拓扑。
10.权利要求8所述的计算设备,其中指令还使得处理器:
从客户端应用接收客户端子拓扑,所述客户端子拓扑指定:
第一资源服务器;和
第一许可集合;
从第一资源服务器接收第一资源子拓扑,第一资源子拓扑指定:
第二资源服务器;和
第二许可集合;以及
使用所述客户端子拓扑和第一资源子拓扑来生成所述客户端拓扑。
11.权利要求8所述的计算设备,其中第二许可集合包括不同于包括在第一许可集合中的许可的至少一个许可。
12.一种用于提供对资源的选择性访问的方法,所述方法由硬件处理器实现,所述方法包括:
从客户端设备接收:i)针对用户数据的客户端请求,以及ii)指定第一受众和第一许可集合的第一令牌;
向授权服务器提供令牌请求,所述令牌请求包括:i)第一令牌,以及ii)访问资源服务器的请求;
从所述授权服务器接收资源服务器令牌,所述资源服务器令牌指定第二受众和第二许可集合,第二受众是所述资源服务器;
向所述资源服务器提供:i)针对所述用户数据的资源请求,以及ii)资源服务器令牌;
从所述资源服务器接收所述用户数据;以及
向所述客户端设备提供所述用户数据。
13.权利要求12所述的方法,其中第二许可集合包括不同于由第一许可集合指定的许可的至少一个许可。
14.权利要求12所述的方法,还包括:
向所述授权服务器提供资源子拓扑,所述资源子拓扑为多个资源服务器中的每一个指定用于访问所述资源服务器的至少一个许可集合,并且
其中第一许可集合由所述资源子拓扑指定。
15.权利要求12所述的方法,还包括:
向与所述客户端设备相关联的客户端提供资源子拓扑,所述资源子拓扑为多个资源服务器中的每一个指定用于访问所述资源服务器的至少一个许可集合,并且
其中第一许可集合由所述资源子拓扑指定。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2015/024760 WO2016164000A1 (en) | 2015-04-07 | 2015-04-07 | Providing selective access to resources |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107211007A true CN107211007A (zh) | 2017-09-26 |
| CN107211007B CN107211007B (zh) | 2020-10-23 |
Family
ID=57072025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580073018.7A Expired - Fee Related CN107211007B (zh) | 2015-04-07 | 2015-04-07 | 提供对资源的选择性访问 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11038894B2 (zh) |
| EP (1) | EP3231133B1 (zh) |
| CN (1) | CN107211007B (zh) |
| TW (1) | TWI603267B (zh) |
| WO (1) | WO2016164000A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110944035A (zh) * | 2019-10-22 | 2020-03-31 | 珠海格力电器股份有限公司 | 一种物联网设备控制方法、系统以及可读介质 |
| CN111046344A (zh) * | 2018-10-15 | 2020-04-21 | 西门子股份公司 | 用于检查资源属性的装置和方法 |
| CN111107047A (zh) * | 2018-10-29 | 2020-05-05 | 华为技术有限公司 | 服务授权方法及通信装置 |
| WO2022121685A1 (en) * | 2020-12-09 | 2022-06-16 | International Business Machines Corporation | Edge computing autonomous vehicle infrastructure |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9531719B1 (en) * | 2014-04-29 | 2016-12-27 | Amazon Technologies, Inc. | Permissions for hybrid distributed network resources |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US10542044B2 (en) * | 2016-04-29 | 2020-01-21 | Attivo Networks Inc. | Authentication incident detection and management |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US10462124B2 (en) | 2016-12-30 | 2019-10-29 | Google Llc | Authenticated session management across multiple electronic devices using a virtual session manager |
| US10541992B2 (en) * | 2016-12-30 | 2020-01-21 | Google Llc | Two-token based authenticated session management |
| JP2020530922A (ja) | 2017-08-08 | 2020-10-29 | センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. | エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| US11057382B2 (en) * | 2018-10-25 | 2021-07-06 | Mastercard International Incorporated | Computing devices and methods for propagating updates to user profile data |
| US11057778B2 (en) | 2019-02-28 | 2021-07-06 | Ebay Inc. | Complex composite tokens |
| US11356458B2 (en) | 2019-03-15 | 2022-06-07 | Mastercard International Incorporated | Systems, methods, and computer program products for dual layer federated identity based access control |
| JP7278423B2 (ja) | 2019-05-20 | 2023-05-19 | センチネル ラブス イスラエル リミテッド | 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法 |
| US11750598B2 (en) | 2019-07-19 | 2023-09-05 | Ebay Inc. | Multi-legged network attribution using tracking tokens and attribution stack |
| US11381571B2 (en) * | 2020-01-27 | 2022-07-05 | Microsoft Technology Licensing, Llc | Authentication framework for resource access across organizations |
| US11552943B2 (en) * | 2020-11-13 | 2023-01-10 | Cyberark Software Ltd. | Native remote access to target resources using secretless connections |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012069263A2 (en) * | 2010-11-24 | 2012-05-31 | Telefonica, S.A. | Method for authorizing access to protected content |
| CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
| CN104022875A (zh) * | 2013-03-01 | 2014-09-03 | 中兴通讯股份有限公司 | 一种双向授权系统、客户端及方法 |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE515901C2 (sv) * | 1995-12-28 | 2001-10-22 | Dynarc Ab | Resursadministrering, plan och arrangemang |
| US6092196A (en) * | 1997-11-25 | 2000-07-18 | Nortel Networks Limited | HTTP distributed remote user authentication system |
| US6389541B1 (en) | 1998-05-15 | 2002-05-14 | First Union National Bank | Regulating access to digital content |
| US6799177B1 (en) * | 1999-05-05 | 2004-09-28 | Verizon Corporate Services Group Inc. | Systems and methods for securing extranet transactions |
| US20020143960A1 (en) * | 2000-08-02 | 2002-10-03 | Erez Goren | Virtual network generation system and method |
| US7010600B1 (en) * | 2001-06-29 | 2006-03-07 | Cisco Technology, Inc. | Method and apparatus for managing network resources for externally authenticated users |
| US20040054791A1 (en) * | 2002-09-17 | 2004-03-18 | Krishnendu Chakraborty | System and method for enforcing user policies on a web server |
| US7346930B1 (en) * | 2002-10-31 | 2008-03-18 | Sprint Communications Company L.P. | Security framework bridge |
| ITFI20020247A1 (it) * | 2002-12-13 | 2004-06-14 | Perini Fabio Spa | Macchina per la produzione di un manufatto tubolare tramite strisce di materiale nastriforme avvolte elicoidalmente ed incollate, e relatvo metodo di produzione |
| US20050015621A1 (en) | 2003-07-17 | 2005-01-20 | International Business Machines Corporation | Method and system for automatic adjustment of entitlements in a distributed data processing environment |
| US20050125677A1 (en) * | 2003-12-09 | 2005-06-09 | Michaelides Phyllis J. | Generic token-based authentication system |
| US7530068B2 (en) * | 2003-12-17 | 2009-05-05 | International Business Machines Corporation | Method of resource allocation using an access control mechanism |
| CN1892664A (zh) | 2005-06-30 | 2007-01-10 | 国际商业机器公司 | 控制对资源的访问的方法和系统 |
| US8065716B2 (en) * | 2007-01-18 | 2011-11-22 | Intermec Ip Corp. | Method, system and article for dynamic authorization of access to licensed content |
| WO2010014104A1 (en) | 2008-07-31 | 2010-02-04 | Hewlett-Packard Development Company, L.P. | Selectively re-mapping a network topology |
| US9548859B2 (en) * | 2008-12-03 | 2017-01-17 | Google Technology Holdings LLC | Ticket-based implementation of content leasing |
| US20100242097A1 (en) * | 2009-03-20 | 2010-09-23 | Wavemarket, Inc. | System and method for managing application program access to a protected resource residing on a mobile device |
| US8527774B2 (en) * | 2009-05-28 | 2013-09-03 | Kaazing Corporation | System and methods for providing stateless security management for web applications using non-HTTP communications protocols |
| US9704165B2 (en) * | 2010-05-11 | 2017-07-11 | Oracle International Corporation | Systems and methods for determining value of social media pages |
| US8910295B2 (en) * | 2010-11-30 | 2014-12-09 | Comcast Cable Communications, Llc | Secure content access authorization |
| US10135831B2 (en) * | 2011-01-28 | 2018-11-20 | F5 Networks, Inc. | System and method for combining an access control system with a traffic management system |
| EP2684151B1 (en) * | 2011-03-08 | 2018-09-12 | Telefonica S.A. | A method for providing authorized access to a service application in order to use a protected resource of an end user |
| US8689298B2 (en) * | 2011-05-31 | 2014-04-01 | Red Hat, Inc. | Resource-centric authorization schemes |
| US9043886B2 (en) * | 2011-09-29 | 2015-05-26 | Oracle International Corporation | Relying party platform/framework for access management infrastructures |
| US9374356B2 (en) * | 2011-09-29 | 2016-06-21 | Oracle International Corporation | Mobile oauth service |
| KR102020473B1 (ko) * | 2011-11-29 | 2019-09-10 | 스포티파이 에이비 | 멀티 디바이스의 보안 애플리케이션 통합을 갖춘 컨텐츠 공급자 |
| CN103166783A (zh) | 2011-12-14 | 2013-06-19 | 华为技术有限公司 | 资源的控制方法及装置 |
| US8800009B1 (en) * | 2011-12-30 | 2014-08-05 | Google Inc. | Virtual machine service access |
| US9148429B2 (en) * | 2012-04-23 | 2015-09-29 | Google Inc. | Controlling access by web applications to resources on servers |
| JP6006533B2 (ja) * | 2012-05-25 | 2016-10-12 | キヤノン株式会社 | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 |
| US8782411B2 (en) * | 2012-07-25 | 2014-07-15 | Oracle International Corporation | System and method of extending oauth server(s) with third party authentication/authorization |
| US8769657B2 (en) * | 2012-08-10 | 2014-07-01 | Kaspersky Lab Zao | System and method for controlling user's access to protected resources using multi-level authentication |
| CN103067388A (zh) | 2012-12-28 | 2013-04-24 | 丁卓 | 云计算基础架构资源自动化方法及系统 |
| US8615794B1 (en) | 2013-01-09 | 2013-12-24 | Ping Identity Corporation | Methods and apparatus for increased security in issuing tokens |
| US20140282984A1 (en) * | 2013-03-14 | 2014-09-18 | Microsoft Corporation | Service relationship and communication management |
| JP6245949B2 (ja) * | 2013-11-11 | 2017-12-13 | キヤノン株式会社 | 認可サーバーシステム、その制御方法、およびそのプログラム。 |
| US9306939B2 (en) * | 2014-05-30 | 2016-04-05 | Oracle International Corporation | Authorization token cache system and method |
-
2015
- 2015-04-07 CN CN201580073018.7A patent/CN107211007B/zh not_active Expired - Fee Related
- 2015-04-07 US US15/542,836 patent/US11038894B2/en active Active
- 2015-04-07 WO PCT/US2015/024760 patent/WO2016164000A1/en active Application Filing
- 2015-04-07 EP EP15888652.3A patent/EP3231133B1/en not_active Not-in-force
-
2016
- 2016-01-19 TW TW105101514A patent/TWI603267B/zh not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012069263A2 (en) * | 2010-11-24 | 2012-05-31 | Telefonica, S.A. | Method for authorizing access to protected content |
| CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN104022875A (zh) * | 2013-03-01 | 2014-09-03 | 中兴通讯股份有限公司 | 一种双向授权系统、客户端及方法 |
| CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
Non-Patent Citations (1)
| Title |
|---|
| MICROSOFT: "[MS-SFU]:Kerberos Protocol Extensions:Service for User and Constrained Delegation Protocol", 《MICROSOFT》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111046344A (zh) * | 2018-10-15 | 2020-04-21 | 西门子股份公司 | 用于检查资源属性的装置和方法 |
| CN111046344B (zh) * | 2018-10-15 | 2023-12-19 | 西门子股份公司 | 用于检查资源属性的装置和方法 |
| CN111107047A (zh) * | 2018-10-29 | 2020-05-05 | 华为技术有限公司 | 服务授权方法及通信装置 |
| CN111107047B (zh) * | 2018-10-29 | 2021-03-23 | 华为技术有限公司 | 服务授权方法及通信装置 |
| CN110944035A (zh) * | 2019-10-22 | 2020-03-31 | 珠海格力电器股份有限公司 | 一种物联网设备控制方法、系统以及可读介质 |
| WO2022121685A1 (en) * | 2020-12-09 | 2022-06-16 | International Business Machines Corporation | Edge computing autonomous vehicle infrastructure |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180020005A1 (en) | 2018-01-18 |
| WO2016164000A1 (en) | 2016-10-13 |
| CN107211007B (zh) | 2020-10-23 |
| EP3231133B1 (en) | 2020-05-27 |
| EP3231133A1 (en) | 2017-10-18 |
| TW201636840A (zh) | 2016-10-16 |
| TWI603267B (zh) | 2017-10-21 |
| US11038894B2 (en) | 2021-06-15 |
| EP3231133A4 (en) | 2018-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107211007A (zh) | 提供对资源的选择性访问 | |
| US11601398B2 (en) | Multiplexed data exchange portal interface in scalable data networks | |
| US11223477B2 (en) | Data sharing method, client, server, computing device, and storage medium | |
| US11132463B2 (en) | Security systems and methods for encoding and decoding digital content | |
| US20210383025A1 (en) | Security Systems and Methods for Encoding and Decoding Content | |
| EP3149650B1 (en) | System for managing personal data | |
| CN105897565B (zh) | 在上载到因特网网站的多媒体中保护用户隐私的系统和方法 | |
| JP2019523494A (ja) | ブロックチェーンにより実現される方法及びシステム | |
| US10397213B2 (en) | Systems, methods, and software to provide access control in cloud computing environments | |
| US11244074B2 (en) | Security systems and methods for social networking | |
| CN108881108A (zh) | 权限管理的方法和装置 | |
| Javaid et al. | Reputation system for IoT data monetization using blockchain | |
| US20160224956A1 (en) | Distributed digital rights-managed file transfer and access control | |
| Kubovy et al. | A secure token-based communication for authentication and authorization servers | |
| CA2855828C (en) | Security systems and methods for encoding and decoding digital content | |
| Bellini et al. | Exploiting P2P scalability for grant authorization in digital rights management solutions | |
| KR102120929B1 (ko) | P2p 기반의 콘텐츠 유통 방법과 이를 수행하기 위한 컴퓨팅 장치 및 시스템 | |
| Shi et al. | DUCE: Distributed usage control enforcement for private data sharing in Internet of Things | |
| US20240305636A1 (en) | Multiplexed data exchange portal interface in scalable data networks | |
| Laffly | Conclusion to Part 1 | |
| Edition | API Management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201023 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |