CN107851005A - 使用多用户控制的系统安全 - Google Patents
使用多用户控制的系统安全 Download PDFInfo
- Publication number
- CN107851005A CN107851005A CN201680033431.5A CN201680033431A CN107851005A CN 107851005 A CN107851005 A CN 107851005A CN 201680033431 A CN201680033431 A CN 201680033431A CN 107851005 A CN107851005 A CN 107851005A
- Authority
- CN
- China
- Prior art keywords
- control
- order
- account
- instruction
- authorising conditional
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000013475 authorization Methods 0.000 claims abstract description 11
- 230000004044 response Effects 0.000 claims abstract description 6
- 230000006870 function Effects 0.000 claims description 63
- 238000004891 communication Methods 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000011800 void material Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000001343 mnemonic effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种授权方法,包括:接收来自多个控制账户的命令信号;确定接收到的命令信号的数目是否满足阈值,其中该阈值至少为2;以及响应于该确定,执行受控功能。一种授权方法,包括:作为受控功能的第一控制账户接入控制接口;与该受控功能的第二控制账户传输用于发送命令的命令指令;以及根据该命令指令发送所述命令,其中发送该命令满足用于执行该受控功能的授权条件。
Description
交叉引用
本申请要求于2015年6月10日提交、申请号为14/735,902、发明名称为“使用多用户控制的系统安全”的美国专利申请的优先权,其全部内容通过引用结合在本申请中。
背景技术
在系统中,设备的超级用户模式或系统管理员模式可以允许用户执行特权操作,例如系统重新启动和系统修改。在超级用户模式下,设备、系统或网络可能易受操作员错误和恶意活动的影响,这可能对系统或网络造成损害。例如,操作员可能被攻击者误导以将系统重新启动成为使系统易受攻击的模式。为了保护系统和网络免受操作员错误和恶意活动的影响,希望可以使操作员安全地授权特权操作和其它系统操作。
发明内容
在一个实施例中,本公开包括一种授权方法,所述授权方法包括:接收来自多个控制账户的命令信号;确定所述接收到的命令信号的数目是否满足阈值,其中所述阈值至少为2;以及响应于所述确定,执行受控功能。
在另一个实施例中,本公开包括一种授权方法,所述授权方法包括:作为受控功能的第一控制账户,接入控制接口;与所述受控功能的第二控制账户传输用于发送命令的命令指令;以及根据所述命令指令发送所述命令,其中发送所述命令满足用于执行所述受控功能的授权条件。
在再一个实施例中,本公开包括一种装置,所述装置包括:接收器;
存储器;以及
处理器,所述处理器连接到所述存储器和所述接收器,并且用于:作为控制账户组中的第一控制账户,接入控制接口;与所述控制账户组中的第二控制账户传输用于发送命令的命令指令;根据所述命令指令,指示所述命令;根据所述命令指令,接收来自所述第二控制账户的第二命令;以及响应于接收所述第二命令,执行受控功能。
从以下结合附图和权利要求的详细描述中,将更清楚地理解这些和其他特征。
附图说明
为了更完整地理解本公开,现结合附图和具体实施方式进行以下简要描述,其中相同的附图标记表示相同的部分。
图1是系统的一个实施例的示意图。
图2是网络单元的一个实施例的示意图。
图3是多用户控制协议的一个实施例的示意图。
图4是实现多用户控制的系统的一个实施例的示意图。
图5是实现多用户控制的系统的另一个实施例的示意图。
图6是多用户控制方法的一个实施例的示意图。
具体实施方式
首先应理解,虽然下文提供了一个或多个实施例的示例性实现方式,但是所揭露的系统和/或方法可以使用目前已知的或以后开发的任何技术实现。本公开不应受限于下文所示的示例性实现方式、附图和技术,包括本文所示出和描述的设计和实现方式,而是可以在所附权利要求的范围及其等同的全部范围内进行修改。
本文公开了允许操作员实现用于执行系统操作、特权操作和网络操作的多用户控制的各种实施例。通过使用多用户控制,可以增强系统、网络、设备、网络设备、操作系统(operating system,OS)、管理程序或应用的安全性,并且可以降低与执行关键系统操作相关的风险。多用户控制通过使用多个控制账户来增强系统安全性,该多个控制账户满足一个或多个用于执行系统操作的授权条件。使用多个控制账户增加了执行系统操作时的问责性。授权条件通过要求在执行系统操作之前执行特定的命令和动作增加了额外的安全层。在一个实施例中,创建控制接口的多个控制账户。该控制接口配置有用于授权执行系统操作的一个或多个授权条件。当多个控制账户接入该控制接口并发送命令时,该控制接口确定是否满足该授权条件,并当该授权条件满足时,执行系统操作。受控功能是使用控制接口以及使用多用户控制执行的系统操作或特权操作。
图1是系统100的一个实施例的示意图,本公开的实施例可在该系统100中执行。系统100包括服务器设备102和用户设备104A-104D。服务器设备102为用于支持通过网络传输数据流量的网络节点。例如,服务器设备102可以包括交换机、路由器、或用于传输数据分组或支持数据分组的传输的本领域普通技术人员在查看本公开时可以想到的任何其它合适的网络设备,或其组合。服务器设备102使用连接108连接到用户设备104A-104D。连接108的示例包括但不限于链路、隧道、互联网连接、无线网络连接和有线网络连接。本文提及的链路可以是物理链路,例如电链路、光链路和/或逻辑链路(如虚拟链路)。隧道可以包括但不限于互联网协议(Internet Protocol,IP)安全(IPsec)隧道或通用路由封装(genericrouting encapsulation,GRE)隧道。在一实施例中,服务器设备102具有应用112,其用于使用多用户控制来执行受控功能。在一可选实施例中,应用112存储于用户设备104A-104D中的至少一个中。应用112可以包括一个或多个应用、一个操作系统(OS),例如Windows或Linux,以及管理程序,例如基于内核的虚拟机(Kernel-based Virtual Machine,KVM)或虚拟机软件(VMware)。例如,服务器设备102可以被配置为虚拟机或用来实现虚拟机。可使用本领域普通技术人员在查看本公开时可以想到的任何可行的协议和/或实现方式来实现虚拟机。应用112用于与控制接口106A-106D交互或由控制接口106A-106D接入,以当满足授权条件时,使用控制接口106A-106D中的两个或多个来执行作为受控功能的系统操作和特权操作。应用112用于接收来自控制接口106A-106D的受控功能的命令,以执行一个或多个受控功能。应用112用于创建控制接口的控制账户组,配置用于由控制接口实现的受控功能的一个或多个授权条件,检测或确定控制账户何时接入控制接口,接收受控功能的命令信号,确定授权条件是否满足,以及在该授权条件满足时执行该受控功能。
控制接口106A-106D可以被实现为虚拟单元或物理网络单元,或被嵌入到物理单元中。控制接口106A-106D可以分别存储于用户设备104A-104D中或由用户设备104A-104D接入。在一实施例中,控制接口106A-106D可以使用图形用户接口(graphical userinterface,GUI),并且可以是用户设备104A-104D中的每一个可接入的应用112的公共控制接口的实例。在一可选的实施例中,控制接口106A-106D可以使用硬件接口,该硬件接口可使用一个或多个用户输入。用户设备104A-104D用于使用控制接口106A-106D与存储在服务器设备102中的应用112传输数据和命令。用户设备104A-104D可以包括笔记本电脑、平板电脑、台式电脑、移动电话、服务器或本领域普通技术人员在查看本公开时可以理解的任何其它合适的网络设备,或其组合。用户设备104A-104D可以位于大致相同的地理位置或不同的地理位置。用户设备104A-104D可以具有或可以接入一个或多个应用、OS和/或管理程序。控制接口106A-106D可以用于将受控功能的命令传输到一个或多个应用、OS和/或管理程序。在一实施例中,用户设备104A-104D的操作员使用带内通信110相互通信。带内通信110包括但不限于使用应用112和控制接口106A-106D的通信。控制接口106A-106D可以用于相互传输受控功能的命令、命令指令和/或反馈。例如,当控制接口106B发送受控功能的命令时,控制接口106A可以用于接收反馈。在另一实施例中,用户设备104A-104D可以用于使用带外通信相互通信。例如,用户设备104A-104D的操作员可以使用电话、电子邮件、即时通讯、手机短消息、因特网、或本领域普通技术人员在查看本公开时可以理解的任何其它带外通信技术,或其组合,相互传输或提供反馈。
虽然图1的实施例已经公开了关于服务器设备102和用户设备104A-104D的具体配置,但是需要注意的是,系统100可以包括本领域普通技术人员在查看本公开时可以理解的任何合适数目的服务器设备102和/或用户设备104A-104D,和/或服务器设备102的配置和/或用户设备104A-104D的配置。
图2是网络单元200的一个实施例的示意图。网络单元200可适用于实现所揭露的实施例。网络单元200可以是通过网络、系统和/或域传输数据或协助传输数据的任何设备(如:调制解调器、交换机、路由器、网桥、服务器、客户端、控制器等)。例如,网络单元200可以位于和/或集成于图1中的服务器设备102或用户设备104A-104D内。网络单元200包括端口210、收发器单元(Tx/Rx)320、处理器230和包括多用户控制模块250的存储器240。端口210连接到Tx/Rx 220,而Tx/Rx 220可以是发射机、接收机或其组合。Tx/Rx 220可以经由端口210发送或接收数据。处理器230用于处理数据。存储器240用于存储用于实现本文所述的实施例的数据和指令。网络单元200还可以包括电-光(EO)组件和光-电(OE)组件,二者连接到端口210和Tx/Rx 220,用于接收和发送电信号和光信号的。
处理器230可以由硬件和软件实现。处理器230可以被实现为一个或多个中央处理器(CPU)芯片、逻辑单元、核(如,作为多核处理器)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和数字信号处理器(DSP)中。处理器230与端口210、Tx/Rx 220和存储器240通信。
存储器240包括磁盘、磁带机和固态硬盘中的一个或多个,并且可以用作溢出数据存储设备,当程序被选择执行时存储该程序,并且存储在程序执行期间被读取的指令和数据。存储器240可以是易失性和非易失性的,并且可以是只读存储器(ROM)、随机存取存储器(RAM)、三元内容可寻址存储器(TCAM)和静态随机存取存储器(SRAM)。多用户控制模块250经由处理器230实现,以执行用于实现各种实施例的指令,该多用户控制模块250用于,为控制账户组创建控制接口,为控制接口配置一个或多个授权条件,检测或确定多个控制账户何时接入控制接口,接收受控功能的多个命令信号,确定是否满足授权条件,以及在满足授权条件时执行受控功能或系统操作。多用户控制模块250中包含的为网络单元200的功能性提供了改进。多用户控制模块250还可以实现网络单元200转换到不同状态。可选地,多用户控制模块250被实现为存储在处理器230中的指令。
图3是多用户控制协议300的一个实施例的示意图。用户设备302和304可以被配置为类似于图1中的用户设备104A-104D。用户设备302和304用于,接入应用的控制接口,传输受控功能的命令指令,发送一个或多个命令,以及执行该应用的受控功能。在图3中,用户设备302可以存储或接入应用。在步骤306中,用户设备302用于使用控制接口实现多用户控制,以执行应用的一个或多个受控功能。例如,用户设备302被配置为允许操作员创建一个或多个控制账户的模式。为授权接入控制接口的操作员或设备创建控制账户,以使用多用户控制来执行系统操作。可以通过使用如注册或密码等一个或多个用户授权协议限制或制约接入控制账户。控制账户可以与一个或多个控制账户标识符相关联,以区分该控制账户与其它控制账户。控制账户标识符的示例包括但不限于地理位置标识符、机器标识符(例如,媒体访问控制(MAC)地址)、网络标识符(例如,IP地址)和助记标识符(例如,控制账户名称)。可以为用户设备302和304创建控制账户。用户设备302也可以被配置有一个或多个强制或可选的授权条件。用户设备302用于,当满足授权条件时,通过控制接口执行应用的一个或多个受控功能。授权条件可以包括但不限于接入控制接口的控制账户的数目,接入控制接口的控制账户的最小数目,接入控制接口的授权地理位置,接入控制接口的授权网络地址,接入控制接口的授权位置的数目中控制账户的数目,超时阈值,发出命令的命令之间的最小/最大时间间隔,以及类似或相同的命令的数目。例如,用户设备302可以被配置为,使得当两个控制账户从两个不同的授权位置接入控制接口且当两个控制账户指示相同的命令时满足授权条件。需要注意的是,相同的命令可以不区分大小写,并且可以在字面上是不同的,但指向要执行的相同的通用命令。例如,为一个用户设备,一个命令可以写成小写,为另一个用户设备时,该同一个命令可以写成大写。另外,用户设备302和控制接口可以在使能多用户控制的主动模式和去使能多用户控制的被动模式之间配置。
在步骤308中,当要执行受控功能时,用户设备302接入控制接口。在步骤310中,用户设备304也接入控制接口。用户设备304可以在用户设备302接入控制接口之前,在用户设备302接入控制接口之后,或者当用户设备302接入控制接口的同时,接入控制接口。在步骤312中,用户设备302和304相互传输命令指令。命令指令包括指令,该指令用于发送或指示受控功能的一个或多个命令,或者该指令用于发送或指示一个或多个被用户设备302和304的控制接口所指示的用于执行受控功能的授权条件。用户设备302和304可以使用带外通信传输命令和命令指令。例如,用户设备302的操作员和用户设备304的操作员可以通过电话传输命令和命令指令。用户设备302和304也可以使用带内通信传输命令和命令指令。例如,用户设备302的操作员和用户设备304的操作员可以通过其各自的控制接口传输命令和命令指令。在步骤314中,用户设备302使用控制接口指示由命令指令指示的受控功能的命令。在步骤316中,用户设备304同样使用控制接口指示由命令指令指示的受控功能的命令。例如,OS执行的受控功能的命令可以将OS重新启动到维护模式。在另一示例中,管理程序执行的受控功能的命令可以创建虚拟机(VM)或网桥。用户设备304可以在用户设备302使用控制接口指示命令之前,在用户设备302使用控制接口指示命令之后,或者当用户设备302使用控制接口指示命令的同时,指示命令。在步骤318中,当满足授权条件时,用户设备302使用控制接口执行应用的受控功能。在一实施例中,当正接入控制接口的其它用户设备指示命令时,或者当执行受控功能时,用户设备302和/或用户设备304可以接收通知或确认。
图4是使用多用户协议实现多用户控制的系统400的一个实施例的示意图,例如,该多用户协议如图3中的多用户协议300。系统400包括用户设备402和用户设备404。用户设备402和用户设备404可以位于相同的地理位置或不同的地理位置,并且可以配置为类似于图1中的用户设备104A-104D。用户设备402具有接口406,该接口406用于与应用410交互(示为带箭头的线416),并且用于使用多用户控制执行应用410的一个或多个受控功能。当满足受控功能的授权条件时,应用410用于通过如控制接口406和408等至少两个控制接口执行应用410的受控功能。用户设备404具有用于与应用410交互(示为带箭头的线412)以执行应用410的一个或多个受控功能的控制接口408。在一实施例中,控制接口408用于使用带内通信414与控制接口406通信。类似于图3中的步骤306,可以使用控制接口406和408配置多用户控制。例如,控制接口406和控制接口408用于创建用户设备402和404的控制账户,以及用于创建用于实现应用410的受控功能的一个或多个授权条件。为了执行应用410的受控功能,用户设备402的操作员可以接入控制接口406,用户设备404的操作员可以接入控制接口408。用户设备402的操作员和用户设备404的操作员,在可用的情况下,使用带外通信和/或带内通信414相互传输用于执行受控功能的命令指令。控制接口406和408用于根据命令指令向应用410指示一个或多个命令。例如,控制接口406和408可以用于传输相同的命令,以执行受控功能。当应用410确定授权条件已满足时,用户设备402和应用410执行受控功能。
图5是使用多用户协议实现多用户控制的系统500的另一个实施例的示意图,例如,该多用户协议如图3中的多用户控制协议300。系统500包括服务器设备510、用户设备502和用户设备504。服务器设备510、用户设备502和用户设备504可以位于相同的地理位置或不同的地理位置,并且可以分别配置为类似于图1中的服务器设备102和用户设备104A-104D。服务器设备510可以包括应用512,并且可以用于使用多用户控制执行应用512的一个或多个受控功能。当受控功能的授权条件满足时,应用512用于通过如控制接口506和508等至少两个控制接口执行受控功能。用户设备502具有用于与应用512交互(示为带箭头的线514)的控制接口506,以使用多用户控制执行应用512的一个或多个受控功能。用户设备504具有用于与应用512交互(示为带箭头的线516)的控制接口508,以使用多用户控制执行应用512的一个或多个受控功能。在一实施例中,控制接口508同样用于使用带内通信518与控制接口506通信。类似于图3中所述的步骤306,可以使用控制接口506和508来配置多用户控制。例如,控制接口506和控制接口508用于创建用户设备502和504的控制账户,并且用于创建应用512的受控功能的一个或多个授权条件。为了执行应用512的受控功能,用户设备502的操作员可以接入控制接口506,用户设备504的操作员可以接入控制接口506。用户设备502的操作员和用户设备504的操作员在可用的情况下,使用带外通信和/或带内通信518相互传输用于执行受控功能的命令指令。控制接口506和508用于根据命令指令向应用512指示一个或多个命令。例如,控制接口506和508可以用于传输相同的命令,以执行受控功能。当应用512确定授权条件已满足时,服务器设备510和应用512执行受控功能。
图6是如图1中的用户设备104A-104D或服务器设备102的网络设备的多用户控制方法600的一个实施例的示意图。在一实施例中,该方法600是针对网络中的应用来实现的,以创建控制接口的控制账户组,配置控制接口的一个或多个授权条件以执行该应用的受控功能,检测或确定多个控制账户何时接入控制接口,接收受控功能的多个命令信号,确定授权条件是否满足,以及在授权条件满足时执行该应用的受控功能。网络设备使用该应用的控制接口创建该应用的控制账户组。可以使用多用户控制为授权执行该应用的受控功能的用户获得或创建控制账户。类似于图3中的步骤306,该应用可以创建控制账户组。
在步骤602中,网络设备配置一个或多个强制和/或可选的授权条件,以执行应用的受控功能。另外,网络设备可以配置控制接口进入使能多用户控制的主动模式。类似于图3中所述的步骤306,可以配置一个或多个授权条件。在步骤604中,网络设备确定控制账户组中的多个控制账户正在接入应用的控制接口。例如,网络设备可以使用控制账户标识符识别正在接入控制接口的一个或多个控制账户。在步骤606中,网络设备接收来自接入控制接口的多个控制账户的应用的命令信号。在步骤608中,网络设备确定用于执行受控功能的授权条件是否满足。当授权条件满足时,网络设备可以继续至步骤610;否则,网络设备可以停留在步骤608。在步骤610中,网络设备执行应用的受控功能。
尽管本公开提供了上述的几个实施例,应理解,在不脱离本公开的精神或范围内,所揭露的系统和方法可以通过许多其它具体的方式实现。本示例仅为示例而非限定,其意图不限于本文所给出的细节。例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
另外,在不脱离本公开的范围内,在各种实施例中描述和显示为离散的或单独的技术、系统、子系统和方法可以与其它系统、模块、技术或方法组合或集成。另一点,所显示或讨论的相互之间的连接或直接连接或通信连接可以是通过一些接口、装置或中间组件的间接连接或通信连接,可以是电性、机械或其它的形式。熟悉本技术领域的技术人员在不脱离本文所揭露的精神和范围内,可确定变化、替换和变更的其它示例。
Claims (20)
1.一种授权方法,包括:
接收来自多个控制账户的命令信号;
确定所述接收到的命令信号的数目是否满足阈值,其中所述阈值至少为2;以及
响应于所述确定,执行受控功能。
2.权利要求1所述的方法,其中每个所述命令信号是相同的命令。
3.权利要求1所述的方法,其中所述阈值至少为3。
4.权利要求1所述的方法,还包括响应于接收到所述命令信号,确定是否满足用于所述受控功能的一个或多个授权条件。
5.权利要求4所述的方法,其中所述授权条件指示来自所述多个控制账户的多个命令信号,以满足所述授权条件。
6.权利要求4所述的方法,其中所述授权条件指示所述多个控制账户的多个授权位置,以满足所述授权条件。
7.权利要求4所述的方法,其中所述授权条件指示用于接收来自所述多个控制账户的所述命令信号的超时阈值。
8.一种授权方法,包括:
作为受控功能的第一控制账户,接入控制接口;
与所述受控功能的第二控制账户传输用于发送命令的命令指令;以及
根据所述命令指令发送所述命令,其中发送所述命令满足用于执行所述受控功能的授权条件。
9.权利要求8所述的方法,其中所述与所述第二控制账户传输所述命令指令使用带内通信。
10.权利要求8所述的方法,其中所述与所述第二控制账户传输所述命令指令使用带外通信。
11.权利要求8所述的方法,其中满足所述授权条件的控制账户的数目为2。
12.权利要求8所述的方法,其中所述授权条件指示多个授权位置,以满足所述授权条件。
13.权利要求8所述的方法,其中所述授权条件指示用于发送所述命令的超时阈值。
14.一种装置,包括:
接收器;
存储器;以及
处理器,所述处理器连接到所述存储器和所述接收器,并且用于:
作为控制账户组中的第一控制账户,接入控制接口;
与所述控制账户组中的第二控制账户传输用于发送命令的命令指令;
根据所述命令指令,指示所述命令;
根据所述命令指令,接收来自所述第二控制账户的第二命令;以及
响应于接收到所述第二命令,执行受控功能。
15.权利要求14所述的装置,其中所述处理器用于,确定是否满足与所述受控功能相关的授权条件。
16.权利要求15所述的装置,其中所述授权条件指示来自接入所述控制接口的控制账户的多个命令信号,以满足所述授权条件。
17.权利要求15所述的装置,其中所述授权条件指示来自接入所述控制接口的控制账户的命令信号的最小数目,以满足所述授权条件。
18.权利要求15所述的装置,其中所述授权条件指示多个授权位置,以满足所述授权条件。
19.权利要求14所述的装置,其中所述第一命令和所述第二命令相同。
20.权利要求14所述的装置,其中所述与所述控制账户组中的所述第二控制账户传输命令指令包括,使用带内通信和/或带外通信。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/735,902 US20160366144A1 (en) | 2015-06-10 | 2015-06-10 | System Security Using Multi-user Control |
US14/735,902 | 2015-06-10 | ||
PCT/CN2016/084976 WO2016197892A1 (en) | 2015-06-10 | 2016-06-06 | System security using multi-user control |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107851005A true CN107851005A (zh) | 2018-03-27 |
Family
ID=57502904
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680033431.5A Pending CN107851005A (zh) | 2015-06-10 | 2016-06-06 | 使用多用户控制的系统安全 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20160366144A1 (zh) |
EP (1) | EP3298484A4 (zh) |
JP (1) | JP6666364B2 (zh) |
KR (1) | KR20180015738A (zh) |
CN (1) | CN107851005A (zh) |
BR (1) | BR112017026540A2 (zh) |
WO (1) | WO2016197892A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109033790A (zh) * | 2018-06-22 | 2018-12-18 | 徐镠琪 | 智能兵符两章两次授权使用方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10754967B1 (en) * | 2014-12-15 | 2020-08-25 | Marvell Asia Pte, Ltd. | Secure interrupt handling between security zones |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005028274A1 (en) * | 2003-09-22 | 2005-03-31 | Beltpack Corporation | A remote control system for a locomotive having user authentication capabilities |
US20050114674A1 (en) * | 2003-10-01 | 2005-05-26 | Carley Jeffrey A. | Near real-time multi-party task authorization access control |
CN101373437A (zh) * | 2007-04-10 | 2009-02-25 | 标准微系统公司 | 通过嵌入式控制器访问安全存储设备而增强系统安全 |
CN102546760A (zh) * | 2008-02-04 | 2012-07-04 | 华为技术有限公司 | 设备管理的方法和终端、装置、系统 |
CN102801799A (zh) * | 2012-08-03 | 2012-11-28 | 国电南瑞科技股份有限公司 | 一种基于b/s架构的实时监控系统 |
WO2014006615A1 (en) * | 2012-07-03 | 2014-01-09 | Knock N'lock Ltd. | Control of operation of a lock |
US8659399B2 (en) * | 2009-07-15 | 2014-02-25 | At&T Intellectual Property I, L.P. | Device control by multiple remote controls |
US20140189808A1 (en) * | 2012-12-28 | 2014-07-03 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US20140361866A1 (en) * | 2013-03-15 | 2014-12-11 | The Chamberlain Group, Inc. | Access Control Operator Diagnostic Control |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07182287A (ja) * | 1993-12-22 | 1995-07-21 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方式 |
JP2003044362A (ja) * | 2001-07-27 | 2003-02-14 | Hitachi Ltd | 電子貸金庫システム |
JP3715584B2 (ja) * | 2002-03-28 | 2005-11-09 | 富士通株式会社 | 機器制御装置および機器制御方法 |
US20070160018A1 (en) * | 2006-01-10 | 2007-07-12 | Nokia Corporation | Content access management |
WO2010141375A2 (en) * | 2009-06-01 | 2010-12-09 | Phatak Dhananjay S | System, method, and apparata for secure communications using an electrical grid network |
US8418237B2 (en) * | 2009-10-20 | 2013-04-09 | Microsoft Corporation | Resource access based on multiple credentials |
US9495117B2 (en) * | 2010-04-26 | 2016-11-15 | International Business Machines Corporation | Storing data in a dispersed storage network |
JP2012208582A (ja) * | 2011-03-29 | 2012-10-25 | Nec Casio Mobile Communications Ltd | 携帯端末、承認システム、承認方法及びプログラム |
US20130005352A1 (en) * | 2011-06-30 | 2013-01-03 | Motorola Mobility, Inc. | Location verification for mobile devices |
JP2013186739A (ja) * | 2012-03-08 | 2013-09-19 | Mitsubishi Electric Corp | 設備制御システム |
JP2013210871A (ja) * | 2012-03-30 | 2013-10-10 | Fujifilm Corp | ドキュメント閲覧システム及びその制御方法、データサーバ |
JP5964635B2 (ja) * | 2012-03-30 | 2016-08-03 | 東京エレクトロン株式会社 | 操作制限装置、操作制限方法及びコンピュータプログラム |
JP5857862B2 (ja) * | 2012-04-17 | 2016-02-10 | コニカミノルタ株式会社 | 情報処理装置およびプログラム |
US9326014B2 (en) * | 2012-06-22 | 2016-04-26 | Google Inc. | Method and system for correlating TV broadcasting information with TV panelist status information |
KR20140079274A (ko) * | 2012-12-18 | 2014-06-26 | 삼성전자주식회사 | 홈 네트워크 시스템에서 에너지 소비를 관리하는 방법 및 장치 |
US20150005061A1 (en) * | 2013-06-27 | 2015-01-01 | Kabam, Inc. | Dynamic log-in from mobile phone to set-top box |
US9465800B2 (en) * | 2013-10-01 | 2016-10-11 | Trunomi Ltd. | Systems and methods for sharing verified identity documents |
EP2866357A1 (en) * | 2013-10-25 | 2015-04-29 | HTC Corporation | Method of identifying a wireless power receiver in a wireless power system |
JP2015093622A (ja) * | 2013-11-13 | 2015-05-18 | 三菱重工業株式会社 | 航空機の垂直尾翼取付装置および垂直尾翼取付方法 |
US20150326641A1 (en) * | 2014-05-07 | 2015-11-12 | W2G, Llc | Mobile to mobile remote control |
US20150381610A1 (en) * | 2014-06-30 | 2015-12-31 | Mcafee, Inc. | Location-based data security |
US9774597B2 (en) * | 2014-12-05 | 2017-09-26 | Microsoft Technology Licensing, Llc | Configurable electronic-device security locking |
-
2015
- 2015-06-10 US US14/735,902 patent/US20160366144A1/en not_active Abandoned
-
2016
- 2016-06-06 WO PCT/CN2016/084976 patent/WO2016197892A1/en active Application Filing
- 2016-06-06 CN CN201680033431.5A patent/CN107851005A/zh active Pending
- 2016-06-06 EP EP16806790.8A patent/EP3298484A4/en not_active Withdrawn
- 2016-06-06 KR KR1020187000398A patent/KR20180015738A/ko not_active Application Discontinuation
- 2016-06-06 BR BR112017026540-0A patent/BR112017026540A2/pt not_active Application Discontinuation
- 2016-06-06 JP JP2017563975A patent/JP6666364B2/ja active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005028274A1 (en) * | 2003-09-22 | 2005-03-31 | Beltpack Corporation | A remote control system for a locomotive having user authentication capabilities |
US20050114674A1 (en) * | 2003-10-01 | 2005-05-26 | Carley Jeffrey A. | Near real-time multi-party task authorization access control |
CN101373437A (zh) * | 2007-04-10 | 2009-02-25 | 标准微系统公司 | 通过嵌入式控制器访问安全存储设备而增强系统安全 |
CN102546760A (zh) * | 2008-02-04 | 2012-07-04 | 华为技术有限公司 | 设备管理的方法和终端、装置、系统 |
US8659399B2 (en) * | 2009-07-15 | 2014-02-25 | At&T Intellectual Property I, L.P. | Device control by multiple remote controls |
WO2014006615A1 (en) * | 2012-07-03 | 2014-01-09 | Knock N'lock Ltd. | Control of operation of a lock |
CN102801799A (zh) * | 2012-08-03 | 2012-11-28 | 国电南瑞科技股份有限公司 | 一种基于b/s架构的实时监控系统 |
US20140189808A1 (en) * | 2012-12-28 | 2014-07-03 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US20140361866A1 (en) * | 2013-03-15 | 2014-12-11 | The Chamberlain Group, Inc. | Access Control Operator Diagnostic Control |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109033790A (zh) * | 2018-06-22 | 2018-12-18 | 徐镠琪 | 智能兵符两章两次授权使用方法 |
CN109033790B (zh) * | 2018-06-22 | 2023-03-10 | 徐镠琪 | 智能兵符两章两次授权使用方法 |
Also Published As
Publication number | Publication date |
---|---|
KR20180015738A (ko) | 2018-02-13 |
JP6666364B2 (ja) | 2020-03-13 |
WO2016197892A1 (en) | 2016-12-15 |
US20160366144A1 (en) | 2016-12-15 |
EP3298484A4 (en) | 2018-04-11 |
JP2018524690A (ja) | 2018-08-30 |
BR112017026540A2 (pt) | 2018-08-14 |
EP3298484A1 (en) | 2018-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9749294B1 (en) | System and method of establishing trusted operability between networks in a network functions virtualization environment | |
US9479450B2 (en) | Resolving communication collisions in a heterogeneous network | |
CN102025535B (zh) | 虚拟机管理方法、装置及网络设备 | |
CN103944890B (zh) | 基于客户端/服务器模式的虚拟交互系统及方法 | |
JP2023162405A (ja) | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス | |
US10419900B2 (en) | Method and apparatus for managing application terminal remotely in wireless communication system | |
US10383157B2 (en) | System and method for automatic wireless connections between server management controllers to set up a secure proxy channel | |
KR101788495B1 (ko) | 지역/홈 네트워크를 위한 보안 게이트 | |
CN104969517B (zh) | 一种用于建立抵抗配置的控制平面的方法和装置 | |
CN104216761B (zh) | 一种在能够运行两种操作系统的装置中使用共享设备的方法 | |
CA2496939A1 (en) | Network security method and apparatus | |
CN104488303A (zh) | 接入无线网络的装置及方法 | |
KR20110114561A (ko) | 데이터 통신용 컴퓨터를 동작하는 방법, 컴퓨터 프로그램 제품 및 전자 디바이스 | |
US11546150B2 (en) | Secure scalable link key distribution using bootsrapping | |
CN110301125B (zh) | 虚拟机的逻辑端口认证 | |
US20140082114A1 (en) | System and method for setting wireless message priority | |
CN107851005A (zh) | 使用多用户控制的系统安全 | |
CN104270317A (zh) | 一种路由器运行应用程序的控制方法、系统及路由器 | |
EP3180705B1 (en) | End point secured network | |
JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
US10630690B2 (en) | Group zoning and access control over a network | |
US10063520B2 (en) | Smart storage with VPN and discovery | |
CN117459933A (zh) | 用于实现多个不同网络与设备之间的使用各种连接技术的通信的技术 | |
JP2003198636A (ja) | ネットワークのセキュリティシステム及びそのセキュリティ方法 | |
KR20190036740A (ko) | 복수 채널 인증 기반 보안 서비스 제공 시스템 및 방법, 그리고 컴퓨터 프로그램이 기록된 비휘발성 기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180327 |
|
WD01 | Invention patent application deemed withdrawn after publication |