DE10296804B4 - Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server - Google Patents

Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server Download PDF

Info

Publication number
DE10296804B4
DE10296804B4 DE10296804.7T DE10296804T DE10296804B4 DE 10296804 B4 DE10296804 B4 DE 10296804B4 DE 10296804 T DE10296804 T DE 10296804T DE 10296804 B4 DE10296804 B4 DE 10296804B4
Authority
DE
Germany
Prior art keywords
resource
authorization
request
level
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10296804.7T
Other languages
English (en)
Other versions
DE10296804T5 (de
Inventor
Victor Lortz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE10296804T5 publication Critical patent/DE10296804T5/de
Application granted granted Critical
Publication of DE10296804B4 publication Critical patent/DE10296804B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Abstract

Verfahren, welches umfasst: – Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Autorisierungsnachweise und einen Identifikator für eine Operation umfasst, die bezüglich eines in der Betriebsmittelanforderung spezifizierten Betriebsmittels ausgeführt werden soll, wobei die Autorisierungsnachweise ein digitales Zertifikat umfassen, das konform zu einer Simple Public Key Infrastructure, SPKI, ist, – Übersetzen der Betriebsmittelanforderung in eine Anforderung für eine Betriebsmittelabfrage, wobei das Übersetzen Abbilden der Autorisierungsnachweise und des Identifikators für eine auszuführende Operation, die in der Betriebsmittelanforderung enthalten sind, auf einen Identifikator der Autorisierungsnachweise und einen in der Anforderung für eine Betriebsmittelabfrage enthaltenen Betriebsmittel-Identifikator enthält, und – Übermitteln der Anforderung für eine Betriebsmittelabfrage an einen Autorisierungsdienst, wobei der Autorisierungsdienst ferner eine Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage der Anforderung für eine Betriebsmittelabfrage durchsucht, wobei der Betriebsmittelknoten einen Betriebsmittelautorisierungsparameter zum Darstellen des Autorisierungsniveaus enthalten soll, das notwendig ist, um die Operation bezüglich des Betriebsmittels auszuführen, wobei das Autorisierungsniveau aus einer Gruppe ist, die aus Owner-Niveau, Editor-Niveau, Review-Niveau und None-Niveau besteht, und – Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Autorisierungsnachweise und der ...

Description

  • Hintergrund
  • Diese Erfindung betrifft die Autorisierung für Betriebsmittel (Ressourcen).
  • Eine Funktion eines Servercomputers, der in einem Netzwerk läuft, besteht darin, Betriebsmittel mit Client-Computern zu teilen und zu verwalten. Bevor ein Client-Computer auf eine bestimmte Ressource zugreifen kann, sollte der Client von dem Server-Computer authentifiziert und autorisiert werden. Ein Ziel des Authentifizierungsprozesses besteht darin, die Identität des Clients zu authentifizieren, der versucht, Zugriff auf die Ressourcen des Servers zu nehmen. Wenn der Client authentifiziert worden ist, kann der Server den Autorisierungsprozess durchführen und ermitteln, welche Rechte der Client-Computer hinsichtlich der geteilten Betriebsmittel ausüben darf.
  • Die US 5941947 A offenbart ein Verfahren, welches umfasst: Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Autorisierungsnachweise und einen Identifikator für eine Operation umfasst, die bezüglich eines Betriebsmittels ausgeführt werden soll, Abbilden der Autorisierungsnachweise und des Indentifikators für eine auszuführende Operation, die in der Betriebsmittelanforderung enthalten sind, auf einen Betriebsmittel-Identifikator, Durchsuchen einer Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators und Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Autorisierungsnachweise und der Identifikator der auszuführenden Operation, die in der Betriebsmittelanforderung enthalten sind, einem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
  • Kurze Beschreibung der Zeichnungen
  • 1 illustriert ein Autorisierungssystem.
  • 2 ist eine Autorisierungs-Betriebsmittel-Datenstruktur.
  • 3 ist ein Flußdiagramm eines Verfahrens zum Autorisieren einer Betriebsmittelanforderung.
  • 4 illustriert eine Betriebsmittelanforderung.
  • 5 illustriert eine Anforderung für eine Betriebsmittelabfrage.
  • Detaillierte Beschreibung
  • Wie in 1 gezeigt ist, umfaßt ein Autorisierungssystem 10 Clienten 12a bis 12n, welche mit einem Server 16 über Kommunikationswege 9a bis 9n und einem Netzwerk 14 kommunizieren können. Das Netzwerk kann z. B. das Internet, ein lose verwaltetes Verbrauchernetzwerk, ein lokales Netz (LAN), ein weiträumiges Netz (WAN) oder ein anderes Computernetzwerk sein. Der Server 16 verwaltet die Betriebsmittel 18a bis 18n, welche Informationsbetriebsmittel (Informationsressourcen) umfassen, und kommuniziert mit diesen über Betriebsmittelverbindungen, wie ein LAN. Die Informationsbetriebsmittel können Dateisysteme und Hardwarebetriebsmittel, wie Modems, Drucker oder Scanner, umfassen.
  • Jedem Client 12a bis 12n können entsprechende Authentifizierungsnachweise zugewiesen sein. Zum Beispiel ist dem Client 12a der Authentifizierungsnachweis 11 zugewiesen. Jedem Client 12a bis 12n sind auch Autorisierungsnachweise zugeordnet, welche das Berechtigungs- oder Privilegniveau bzw. -niveaus angeben, die dem Client zugeordnet sind. Wie in 1 dargestellt ist, sind dem Client 12a die Autorisierungsnachweise 13 zugeordnet. Jedem Client 12a bis 12n ist auch eine Betriebsmitteloperation zugewiesen, welche eine Operation darstellt, welche der Client mit Hilfe der Ressource ausführen möchte. Beispielsweise ist dem Client 12a eine Betriebsmitteloperation 15 zugeordnet, welche eine Operation zum Zugreifen auf eine Datei, die sich auf einem Dateisystem befindet, zum Kommunizieren über ein Modem, zum Drucken von Unterlagen mit Hilfe von Printerressourcen oder eine andere Operation darstellen kann.
  • Jeder Client 12a bis 12n kann eine Authentifizierungs-Anforderung erzeugen, welche Authentifizierungsnachweise für die Authentifizierung umfaßt. Zum Beispiel erzeugt der Client 12a eine Authentifizierungs-Anforderung 31, welche die Authentifizierungsnachweise 11 umfaßt. Die Anforderung 31 wird an den Server 16 gerichtet, so daß die Identität des Client 12a durch den Server authentifiziert werden kann, wenn eine Verbindung mit dem Server über das Netzwerk 14 hergestellt wird. Die Authentifizierungsnachweise können einen Namen und ein Paßwort umfassen, die dem Client 12a zugewiesen sind. Alternativ können die Authentifizierungsnachweise 11 dadurch implementiert werden, daß ein Paar von privaten und öffentlichen Schlüsseln verwendet wird, wie es in der Public Key Infrastructure (PKI; Infrastruktur öffentlicher Schlüssel) verwendet wird.
  • Jeder Client 12a bis 12n kann Betriebsmittelanforderungen über das Netzwerk 14 erzeugen, um auf die Betriebsmittel 18a bis 18n, die von dem Server verwaltet werden, zuzugreifen. Zum Beispiel kann der Client 12a eine Betriebsmittelanforderung 32 erzeugen. Die Betriebsmittelanforderung 32 umfaßt die Autorisierungsnachweise 13, die von dem Server 16 verwendet werden, um festzustellen, ob der Client die Erlaubnis hat, auf das oder die angeforderten Betriebsmittel zuzugreifen. Die Autorisierungsnachweise 13 können implementiert werden, indem eine Autorisierungszertifikat-Technik verwendet wird, wie das Verfahren, das in der Simple Public Key Infrastructure (SPKI; einfache Infrastruktur öffentlicher Schlüssel) verwendet wird. Zusätzlich kann die Betriebsmittelanforderung 32 Informationen umfassen, welche für eine Operation stehen, die unter Verwendung des angegebenen Betriebsmittels ausgeführt werden soll.
  • Ein Client, wie der Client 12a, kann seine Autorisierungsnachweise 13 auf einen zweiten Client delegieren. Mit Hilfe dieser Delegationstechnik kann der zweite Client auf den Server mit denselben Autorisierungsnachweisen wie der Client 12a zugreifen. Der Server 16 behandelt die Nachweise beider Clients in äquivalenter Weise.
  • Ein Systemadministrator 17 ist für die Verwaltung des Servers 16 und seiner Betriebsmittel 18a bis 18n verantwortlich. Die Verantwortlichkeiten können das Hinzufügen/Löschen der Betriebsmittel 18a bis 18n zu dem Server 16 bzw. von dem Server 16 umfassen. Der Administrator kann Verwaltungsfunktionen mit Hilfe eines Anwenderprogramms 20 im Zusammenwirken mit einem Betriebssystem (O/S) 62, wie dem Betriebssystem Windows NTTM, durchführen. Diese Programme können in einem Speicher 63, zum Beispiel einem DRAM (Dynamic Random Access Memory/dynamischer Direktzugriffsspeicher), gespeichert sein und durch eine CPU (Central Processing Unit) 64, wie einem Intel Pentium®-Prozessor, ausgeführt werden. Das Anwenderprogramm 20 kann eine Benutzerschnittstelle 21 umfassen, um eine visuelle Darstellung eines Autorisierungs-Rahmenwerks 23 und der zugeordneten Betriebsmittel 18a bis 18n zur Verfügung zu stellen. Eine Anwenderprogramm-Schnittstelle (API/Application Program Interface) 22 kann eine Standardkommunikationsschnittstelle zwischen dem Anwenderprogramm 20 und dem Autorisierungs-Rahmenwerk 23 bilden. Das Autorisierungs-Rahmenwerk 23 umfaßt eine Betriebsmittelautorisierungs-Datenstruktur (Betriebsmittelstruktur) 26, welche verwendet wird, um eine Beziehung zwischen symbolischen Betriebsmittelnamen, die einem jeweiligen Betriebsmittel entsprechen, herzustellen und kann andere Informationen umfassen, welche die Betriebsmittelautorisierung betreffen.
  • Ein Betriebsmittelmanager 25 ist ein Programmodul, das mit dem Anwenderprogramm 20 über den Pfad 65 kommunizieren kann und für das Erzeugen und Verwalten der Betriebsmittelstruktur 26 über den Pfad 29 verantwortlich ist. Er kann auch für das Abbilden von Betriebsmittelanforderungen 32, die von Clients erzeugt werden, auf eine entsprechende das Betriebsmittel betreffende Information verantwortlich sein, die nötig ist, um der Anforderung zu entsprechen. Die Ergebnisse der Abbildungsoperation können zu einem Autorisierungsdienst 27 kommuniziert werden, indem eine Betriebsmittelabfrage-Anforderung 34 über einen Pfad 35 ausgegeben wird.
  • Der Autorisierungsdienst 27 führt ein Programm aus, das dafür verantwortlich ist, festzustellen, ob der Client 12a, der die Betriebsmittelanforderung 32 erzeugt hat, autorisiert ist, auf das angeforderte Betriebsmittel 18a bis 18n zuzugreifen. Der Dienst 27 durchsucht die Betriebsmittelstruktur 26 und verifiziert, ob der Client 12a die erforderliche Autorisierung besitzt, zum Teil auf der Grundlage der Autorisierungsnachweise 13, welche die Betriebsmittelanforderung 32 begleiten.
  • Der Administrator 17, der als Autor einer Richtlinie (Policy) fungiert, kann auf den Betriebsmittelmanager 25 zugreifen, um die Betriebsmittelstruktur 26 auf der Grundlage von Autorisierungsrichtlinien zu konstruieren, die sich auf die Betriebsmittel 18a bis 18n beziehen. Die Richtlinien können festlegen, welche Autorisierungsniveaus die Clients 12a bis 12n haben müssen, um die geforderte Operation, die in der Betriebsmittelanfrage 32 enthalten war, auszuführen.
  • Wie in 2 gezeigt ist, kann die Betriebsmittelstruktur 26 als Datenstruktur nach Art eines gerichteten Graphen implementiert werden, beispielsweise eine Datenstruktur nach Art eines gerichteten Baums. Die Betriebsmittelstruktur 26 entspricht einem Betriebsmittelraum, welcher die Namen von Betriebsmitteln und Gruppen von Betriebsmitteln 18a bis 18n darstellt. Die Betriebsmittelstruktur 26 umfaßt eine Hierarchie von Knoten 50a bis 50n. Ein Stammknoten (root node) 50a bildet einen Ankerpunkt für die zusätzlichen Knoten 50b bis 50n. Jedem Knoten ist ein entsprechender Knotenname 51a bis 51n und ein Knotenidentifikator 52a bis 52n zugeordnet. Zum Beispiel besitzt der Knoten 50c den Knotennamen 51c ”Modem” und den Knotenidentifikator 52c ”key3”. Jeder Knoten 50a bis 50n kann durch seinen Knotennamen, den Knotenidentifikator oder eine Kombination von beidem adressiert werden.
  • Die Betriebsmittelstruktur 26 kann durch Betriebsmitteleigentümer, wie einen Verkäufer von Betriebsmitteln, konstruiert werden, der die Knotenidentifikatoren 52a bis 52n eines Autorisierungszweigs (sub tree) definieren kann. Der Zweig kann anschließend an einem geeigneten Punkt in der Betriebsmittelstruktur durch den Richtlinienautor eingefügt werden. Ein Autorisierungszweig kann eine Teilmenge der Knoten in einer Betriebsmittelstruktur umfassen. Beispielsweise kann ein Zweig den Modem-Zweig umfassen, der durch den Knoten 50c als Basis des Zweigs und die Knoten 50d und 50e als Zweige des Zweigs repräsentiert wird. Alternativ kann der Richtlinienautor von Hand Knoten in die Struktur 26 entsprechend der Präferenz des Eigentümers des Betriebsmittels einfügen. Von Hand eingefügte Knoten können Schlüssel umfassen, die dynamisch durch das Anwenderprogramm 20 zugewiesen werden. Da jedoch die ”Schlüssel” intern generiert sein können und nicht ein wirkliches Paar von öffentlichem und privatem Schlüssel sein müssen, besteht möglicherweise keine Notwendigkeit, ein Vertrauensmodel (trust model) für die internen Schlüssel aufzubauen.
  • Die Betriebsmittelstruktur 26 unterstützt einen ”Mountpoint”-Knoten (”mount point” node), an dem der Administrator, der als Richtlinienautor agiert, absteigende Richtlinien (top down policies) zum Zugriff auf ein Betriebsmittel erstellen kann, ohne die internen Details kennen zu müssen, wie der Autorisierungszweig dieses Betriebsmittels strukturiert ist. Der Begriff ”Mountpoint” ist analog zu dem Mountpoint und der Zugangsberechtigung bei einem Dateisystem. Zum Beispiel ist der Knoten 50d ein Hersteller-Diagnostik-Mountpoint, an dem der Hersteller des Modems einen Satz von Richtlinien vorsehen kann, welche die Rechte vorschreiben, die erforderlich sind, um auf die diagnostischen Merkmale des Betriebsmittels Modem zuzugreifen.
  • Jeder Knoten 50a bis 50n in der Struktur 26 kann auch einer entsprechenden Zugriffskontrolliste (ACL; Access Control List) 53a bis 53n zugeordnet sein, welche entsprechende Autorisierungsnachweise 58 und ein Autorisierungsniveau 59 umfassen kann. Das Autorisierungsniveau 59 bezieht sich auf das Autorisierungsniveau, das erforderlich ist, um auf ein Betriebsmittel zuzugreifen. In einer Implementierung können die Autorisierungsniveaus einen der vier folgenden Werte haben: (1) Owner (Eigentümer), (2) Editor, (3) Reviewer (Besichtiger) oder (4) None (Keine). Das Niveau ”Owner” gestattet den vollständigen administrativen Zugriff auf das Betriebsmittel, ”Editor” gestattet den Lese/Schreib-Zugriff auf das Betriebsmittel, ”Reviewer” gestattet den Lesezugriff auf das Betriebsmittel und ”None”, welches das Standardniveau bzw. das implizite Niveau ist, verweigert allen Zugriff auf ein Betriebsmittel. Die Berechtigung zum Editieren von Teilen der Betriebsmittelstruktur 26 kann durch das Autorisierungsniveau kontrolliert werden. Um das Editieren eines Zweigs, zum Beispiel das Hinzufügen oder Löschen von abgeleiteten Knoten, das Ändern von Namen, Identifikatoren und ACLs, zu gestatten, sollte das Autorisierungsniveau des Knotens auf ”Owner” gesetzt sein.
  • Die Autorisierungsnachweise 58 können ein digitales Zertifikat darstellen, das auf den Nachweisen des Client beruht, der auf das Betriebsmittel zugreifen möchte. Zum Beispiel hat der Knoten 50c eine ACL 53c mit einem Wert von ”key3 (key2=Owner)”, was angibt, daß die Autorisierungsnachweise ”key3” zu dem Autorisierungsniveau ”Owner” und den Autorisierungsnachweisen von ”key2” delegiert werden. Die Delegation von Berechtigungsnachweisen wird durch den Pfeil 54c angedeutet. Daher würden die Autorisierungsnachweise an dem Knoten 50b, die dem Knotenidentifikator 52b (”key2”) entsprechen, überprüft werden, um die Autorisierung festzustellen. Die Pfeile 54a bis 54n stellen Autorisierungsnachweise dar, die auf einer Delegation einer Berechtigung von einem abgeleiteten Knoten auf einen übergeordneten Knoten beruhen.
  • Wie in 3 angedeutet ist, erzeugt (100) der Client 12a eine Betriebsmittelanforderung, die an den Server 16 gerichtet ist, über das Netzwerk 14. Für den Zweck der nachfolgenden Erörterung wird davon ausgegangen, daß der Client 12a in der Lage ist, mit dem Server 16 zu kommunizieren, da der Client bereits durch den Server im Wege einer früheren Authentifizierungsanforderung 31 authentifiziert worden ist. Die Betriebsmittelanforderung 32 (4) umfaßt Autorisierungsnachweise 13, wie ein signiertes digitales Zertifikat, und eine von dem Client angegebene Betriebsmitteloperation 15. Bei diesem Beispiel haben die Autorisierungsnachweise 13 den Wert ”Dad” und die Betriebsmitteloperation 15 hat den Wert ”Set Modem Configuration” (Einstellen der Modemkonfiguration).
  • Nachdem die Betriebsmittelanforderung 32 von dem Server 16 empfangen worden ist, bildet (102) der Betriebsmittelmanager 25 die Betriebsmittelanforderung auf einen Betriebsmittelnamen (oder einen anderen Identifikator) und ein Autorisierungsniveau auf der Grundlage der Information in der Betriebsmittelanforderung ab.
  • Der Betriebsmittelmanager 25 übersetzt (103) eine Anforderung für eine Betriebsmittelabfrage 34, teilweise auf der Grundlage des Inhaltes der Betriebsmittelanforderung 32. Wie in 5 gezeigt ist, umfaßt die Betriebsmittelabfrage-Anforderung 34 einen Betriebsmittelnamen 41, welcher dem Betriebsmittel entspricht, das aus der Betriebsmitteloperation 15 der Betriebsmittelanforderung 32 abgeleitet worden ist. Die Anforderung 34 umfaßt auch ein Autorisierungsniveau 42, welches die Erlaubnis darstellt, die für den Client nötig ist, um die erforderliche Operation auszuführen. Zusätzlich identifiziert die Anforderung 34 die Autorisierungsnachweise 43, welche den Autorisierungsnachweisen 13 in der Betriebsmittelanforderung 32 entsprechen.
  • Zum Beispiel würde unter Verwendung der vorangehenden Betriebsmittelanforderung 32 der 4 der Betriebsmittelmanager 25 festlegen, daß (1) der Betriebsmittelname 41 ”key3/User config” ist, der aus der Betriebsmitteloperation 15 ”Set Modem Configuration” abgeleitet ist, (2) ”Owner” das erforderliche Autorisierungsniveau 42 eines speziellen Betriebsmittelknotens in der Struktur 26 ist und (3) ”Dad” der Autorisierungsnachweis 43 ist, welcher dem Autorisierungsnachweis 13 entspricht, der in der Betriebsmittelanforderung 32 identifiziert worden ist. Der Betriebsmittelmanager 25 verfolgt die Information, die sich auf die Betriebsmittelstruktur 26 bezieht, einschließlich der Betriebsmittelnamen und der zugehörigen Autorisierungsniveaus.
  • Wie in 3 angedeutet ist, übermittelt (104) der Betriebsmittelmanager 25 die Betriebsmittelabfrage-Anforderung 34 an den Autorisierungsdienst 27. Bei Empfang der Anforderung 34 sucht der Autorisierungsdienst 27 nach dem Betriebsmittelnamen in der Betriebsmittelstruktur 26 und wertet (106) die Autorisierungsnachweise und das Autorisierungsniveau des Client anhand der Autorisierungsinformation in der ACL an dem entsprechenden Knoten aus. Wenn zum Beispiel die Betriebsmittelabfrage-Anforderung 34 verwendet würde, die in 5 dargestellt ist, würde der Autorisierungsdienst 27 die Ressourcenstruktur 26 durchsuchen und feststellen, daß der Knoten 50e den Knotennamen 51e ”user config” und einen Knotenidentifikator 52e ”key5” besitzt. Der Knoten 50e ist ein abgeleiteter Knoten des übergeordneten Knotens 50c, was durch den Pfeil 54e angedeutet ist.
  • Wenn das Ergebnis der Auswertung ergibt (108), daß der Client auf der Grundlage der Information in der ACL autorisiert ist, auf das Betriebsmittel zuzugreifen, gibt der Autorisierungsdienst 27 eine Erfolgsmeldung an den Betriebsmittelmanager 25 zurück (110). Der Betriebsmittelmanager 25 kann die Operation, die von dem Client gefordert worden war, ausführen (112), da der Client autorisiert worden ist.
  • Wenn man die Betriebsmittelanforderung 32 der 4 verwendet, würde der Autorisierungsdienst 27 die Knoten in der Betriebsmittelstruktur 26 durchlaufen und den Satz der Nachweise ”key5 (key3=owner)”, beginnend an dem Knoten 50e, verarbeiten, dem Pfeil 54e zu den Nachweisen des Knotens 50c ”key3 (key2=owner)” folgen und dem Pfeil 54c zu dem Knoten 50b folgen und Bezug auf ACL2 ”key2 (Dad=Owner)” nehmen. Wenn der Client einen Autorisierungsnachweis besitzt, der auf den Wert ”Dad” gesetzt ist, ist er als ”Owner” berechtigt, die Operation ”Set Modem Configuration” auszuführen.
  • Wenn andererseits (in Block 108) die dem Knoten zugeordnete ACL dem Client keinen Zugriff gewährt, sucht (114) der Autorisierungsdienst 27 nach einem übergeordneten Knoten mit einer ACL mit einem hinreichend hohen Autorisierungsniveau, um dem Client den Zugriff auf das Betriebsmittel zu gestatten. Wenn ein übergeordneter Knoten gefunden wird, werden die ACL, das zugeordnete Autorisierungsniveau und Autorisierungsnachweise zu dem Autorisierungsdienst 27 weitergeleitet. Der Prozeß würde dann zu dem Block 106 zurückkehren, wo der Autorisierungsdienst 27 Nachweise des Client mit Information in der ACL vergleicht.
  • Wenn jedoch (in Block 114) die Suchergebnisse anzeigen, daß kein übergeordneter Knoten mit einer auf einem hinreichend hohen Autorisierungsniveau vererbten ACL existiert, gibt der Autorisierungsdienst 27 eine Fehlermeldung an den Betriebsmittelmanager 25 zurück. Dem Betriebsmittelmanager wird der Zugriff auf das Betriebsmittel verwehrt (118) und er kann die Abweisung an den Client kommunizieren.
  • Wenn ein Client mit Autorisierungsnachweisen, die vorangehend identifiziert worden sind, wieder versuchen würde, auf den ”Mountpoint”, welcher dem Knoten 50d entspricht, Zugriff zu nehmen, würde dem Client der Zugriff verwehrt werden, da der Knoten 50d nur das Autorisierungsniveau ”Reviewer” an seinen übergeordneten Knoten 50c delegiert, was durch den Pfeil 54d gezeigt ist. Der Knoten 50c besitzt eine ACL3 mit einem Wert ”key3 (key2=owner)”, was angibt, daß die Nachweise an den Knoten 50b delegiert worden sind, was durch den Pfeil 54c gezeigt ist. Bezug nehmend auf den Knoten 50b mit dem Knotennamen 51b ”DenPC”, autorisiert die Zuordnung des Autorisierungsniveaus ”key2 (Dad=Owner)” in ACL 53b daher nicht ”Dad”, auf den ”Mountpoint”-Knoten 50d zuzugreifen.
  • Unter Verwendung der vorangehend genannten Techniken kann ein Verkäufer von Betriebsmitteln, wie ein Hersteller, seinen eigenen öffentlichen bzw. privaten Schlüssel erzeugen und von dem Client verlangen, daß der Schlüssel verwendet wird, um Zugriff auf bestimmte Eigenschaften des Modems, wie die Diagnostikmerkmale des Modems, Zugriff zu nehmen. Durch das Begrenzen des Zugriffs auf Diagnostikmerkmale auf autorisierte Clients kann der Hersteller das Autorisierungs-Rahmenwerk 23 verwenden, um Zollsicherheitsvorschriften umzusetzen.
  • Die vorangehenden Techniken können es gestatten, daß die Autorisierung von mehreren Anwendungen geteilt wird, was verteilte Systeme umfaßt, die verschiedene administrative Domänen überspannen. Weiterhin können die Techniken angewendet werden, um Probleme zu lösen, die sich auf die Sicherung von Dienstvermittlungsplattformen für den Verbrauchermarkt beziehen. Die Techniken können auch im Kontext von Lösungen des elektronischen Geschäftsverkehrs (”E-Business”) entweder für Business to Business- oder Business to Consumer-Dienstanwendungen verwendet werden, wobei die Endpunkte der Kommunikation inhärent Teil von verschiedenen administrativen Domänen sind.
  • Auch wenn vier Autorisierungsniveaus vorangehend erörtert wurden, ist es möglich, die Granularität der Niveaus zu erhöhen.
  • Verschiedene Eigenschaften des Systems können in Hardware, Software oder in einer Kombination von Hardware und Software implementiert werden. Beispielsweise können einige Aspekte des Systems in Computerprogrammen implementiert werden, die auf programmierbaren Computern laufen. Jedes Programm kann in einer prozedurorientierten oder objektorientierten Hochprogrammiersprache implementiert sein, um mit einem Computersystem zu kommunizieren. Weiterhin kann jedes solches Computerprogramm auch auf einem Speichermedium gespeichert sein, beispielsweise einem Festwertspeicher (ROM), das von einem programmierbaren Universalprozessor oder Spezialprozessor gelesen werden kann, um den Computer zu konfigurieren und zu betreiben, wenn das Speichermedium von dem Computer gelesen wird, um die vorangehend beschriebenen Funktionen auszuführen.
  • Andere Implementierungen liegen im Umfang der folgenden Ansprüche.

Claims (17)

  1. Verfahren, welches umfasst: – Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Autorisierungsnachweise und einen Identifikator für eine Operation umfasst, die bezüglich eines in der Betriebsmittelanforderung spezifizierten Betriebsmittels ausgeführt werden soll, wobei die Autorisierungsnachweise ein digitales Zertifikat umfassen, das konform zu einer Simple Public Key Infrastructure, SPKI, ist, – Übersetzen der Betriebsmittelanforderung in eine Anforderung für eine Betriebsmittelabfrage, wobei das Übersetzen Abbilden der Autorisierungsnachweise und des Identifikators für eine auszuführende Operation, die in der Betriebsmittelanforderung enthalten sind, auf einen Identifikator der Autorisierungsnachweise und einen in der Anforderung für eine Betriebsmittelabfrage enthaltenen Betriebsmittel-Identifikator enthält, und – Übermitteln der Anforderung für eine Betriebsmittelabfrage an einen Autorisierungsdienst, wobei der Autorisierungsdienst ferner eine Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage der Anforderung für eine Betriebsmittelabfrage durchsucht, wobei der Betriebsmittelknoten einen Betriebsmittelautorisierungsparameter zum Darstellen des Autorisierungsniveaus enthalten soll, das notwendig ist, um die Operation bezüglich des Betriebsmittels auszuführen, wobei das Autorisierungsniveau aus einer Gruppe ist, die aus Owner-Niveau, Editor-Niveau, Review-Niveau und None-Niveau besteht, und – Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Autorisierungsnachweise und der Identifikator der auszuführenden Operation, die der Betriebsmittelanforderung zugeordnet sind, dem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
  2. Verfahren nach Anspruch 1, bei dem das Durchsuchen das Durchsuchen von Betriebsmittelknoten umfasst, welche jeweils ein Betriebsmittel darstellen und einen Betriebsmittel-Identifikator umfassen.
  3. Verfahren nach Anspruch 1, bei dem das Durchsuchen das Durchsuchen einer Struktur entsprechend einem gerichteten Graphen umfasst.
  4. Verfahren nach Anspruch 1, bei dem die Autorisierungsnachweise eines abgeleiteten Knotens an einen übergeordneten Knoten in der Betriebsmittel-Datenstruktur delegiert werden.
  5. Verfahren nach Anspruch 4, bei dem die Betriebsmittelanforderung auf der Grundlage der delegierten Nachweise gehandhabt wird.
  6. Verfahren nach Anspruch 1, bei dem die Betriebsmittelanforderung von einem Client-Computer stammt und an einen Server-Computer über ein Netzwerk gerichtet wird.
  7. Vorrichtung, welche umfasst: – einen Speicher zum Speichern einer Betriebsmitteldatenstruktur mit Betriebsmittelknoten, welche jeweils ein entsprechendes Betriebsmittel darstellen und einen entsprechenden Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter aufweisen, und – einen Prozessor, der für Folgendes konfiguriert ist: – Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Autorisierungsnachweise und einen Identifikator für eine Operation umfasst, die hinsichtlich eines in der Betriebsmittelanforderung spezifizierten Betriebsmittels vorgenommen werden soll, wobei die Autorisierungsnachweise ein digitales Zertifikat umfassen, das konform zu einer SPKI ist, – Übersetzen der Betriebsmittelanforderung in eine Anforderung für eine Betriebsmittelabfrage, wobei das Übersetzen Abbilden der Autorisierungsnachweise und des Identifikators für eine auszuführende Operation, die in der Betriebsmittelanforderung enthalten sind, auf einen Identifikator der Autorisierungsnachweise und einen in der Anforderung für eine Betriebsmittelabfrage enthaltenen Betriebsmittel-Identifikator enthält, und – Übermitteln der Anforderung für eine Betriebsmittelabfrage an einen Autorisierungsdienst, wobei der Autorisierungsdienst ferner die Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage der Anforderung für eine Betriebsmittelabfrage durchsucht, wobei der Betriebsmittelknoten einen Betriebsmittelautorisierungsparameter zum Darstellen des Autorisierungsniveaus enthalten soll, das notwendig ist, um die Operation bezüglich des Betriebsmittels auszuführen, wobei das Autorisierungsniveau aus einer Gruppe ist, die aus Owner-Niveau, Editor-Niveau, Review-Niveau und None-Niveau besteht, und – Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Autorisierungsnachweise und der Identifikator der auszuführenden Operation, die der Betriebsmittelanforderung zugeordnet sind, dem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
  8. Vorrichtung nach Anspruch 7, bei dem die Betriebsmittel-Datenstruktur eine Struktur entsprechend einem gerichteten Graphen umfasst.
  9. Vorrichtung nach Anspruch 7, bei dem das Betriebsmittel-Autorisierungsniveaus von einem abgeleiteten Knoten an einen übergeordneten Knoten delegiert wird.
  10. System, welches umfasst: – einen ersten Computer, der einem ersten Nachfrager entspricht und so konfiguriert ist, dass er Betriebsmittelanforderungen mit Nachweisen erzeugt, – einen zweiten Computer, der einen Speicher umfasst, der eine Betriebsmittel-Datenstruktur mit Betriebsmittelknoten speichert, welche jeweils ein entsprechendes Betriebsmittel darstellen und einen entsprechenden Betriebsmittel-Identifikator und ein Betriebsmittel-Autorisierungsniveau aufweisen, wobei der zweite Computer für Folgendes konfiguriert ist: – Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Autorisierungsnachweise und einen Identifikator für eine Operation umfasst, die bezüglich eines in der Betriebsmittelanforderung spezifizierten Betriebsmittels ausgeführt werden soll, wobei die Autorisierungsnachweise ein digitales Zertifikat umfassen, das konform zu einer SPKI ist, – Übersetzen der Betriebsmittelanforderung in eine Anforderung für eine Betriebsmittelabfrage, wobei das Übersetzen Abbilden der Autorisierungsnachweise und des Identifikators für eine auszuführende Operation, die in der Betriebsmittelanforderung enthalten sind, auf einen Identifikator der Autorisierungsnachweise und einen in der Anforderung für eine Betriebsmittelabrage enthaltenen Betriebsmittel-Identifikator enthält, und – Übermitteln der Anforderung für eine Betriebsmittelabfrage an einen Autorisierungsdienst, wobei der Autorisierungsdienst ferner eine Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage der Anforderung für eine Betriebsmittelabfrage durchsucht, wobei der Betriebsmittelknoten einen Betriebsmittelautorisierungsparameter zum Darstellen des Autorisierungsniveaus enthalten soll, das notwendig ist, um die Operation bezüglich des Betriebsmittels auszuführen, wobei das Autorisierungsniveau aus einer Gruppe ist, die aus Owner-Nivear, Editor-Niveau, Review-Niveau und None-Niveau besteht und – Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels durchzuführen, auf der Grundlage dessen, ob die Autorisierungsnachweise und der Identifkator der auszuführenden Operation, die der Betriebsmittelanforderung zugeordnet sind, dem Betriebsmittel-Autorisierungsniveau entsprechen, das dem Betriebsmittelknoten zugeordnet ist, und – ein Netzwerk, über welches der erste und zweite Computer miteinander kommunizieren.
  11. System nach Anspruch 10, bei dem die Betriebsmittel-Datenstruktur eine Struktur entsprechend einem gerichteten Graphen umfasst.
  12. System nach Anspruch 10, bei dem die Autorisierungsnachweise eines abgeleiteten Knotens an einen übergeordneten Knoten delegiert werden.
  13. System nach Anspruch 10, welches die Delegation von Autorisierungsnachweisen, die einem ersten Nachfrager zugeordnet sind, auf einen zweiten Nachfrager umfasst, wobei der zweite Nachfrager Betriebsmittel unter Verwendung der Autorisierungsnachweise von dem ersten Nachfrager anfordern kann, als ob er der erste Nachfrager wäre.
  14. Artikel, welcher ein computerlesbares Medium umfasst, das von einem Computer ausführbare Anweisungen zum Veranlassen eines Computers zu Folgendem umfasst: – Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Autorisierungsnachweise und einen Identifikator für eine Operation umfasst, die bezüglich eines in der Betriebsmittelanforderung spezifizierten Betriebsmittels ausgeführt werden soll, wobei die Autorisierungsnachweise ein digitales Zertifikat umfassen, das konform zu einer SPKI ist, – Übersetzen der Betriebsmittelanforderung in eine Anforderung für eine Betriebsmittelabfrage, wobei das Übersetzen Abbilden der Autorisierungsnachweise und des Identifikators für eine auszuführende Operation, die in der Betriebsmittelanforderung enthalten sind, auf einen Identifikator der Autorisierungsnachweise und einen in der Anforderung für eine Betriebsmittelabfrage enthaltenen Betriebsmittel-Identifikator enthält, und – Übermitteln der Anforderung für eine Betriebsmittelabfrage an einen Autorisierungsdienst, wobei der Autorisierungsdienst ferner eine Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage der Anforderung für eine Betriebsmittelabfrage durchsucht, wobei der Betriebsmittelknoten einen Betriebsmittelautorisierungsparameter zum Darstellen des Autorisierungsniveaus enthalten soll, das notwendig ist, um die Operation bezüglich des Betriebsmittels auszuführen, wobei das Autorisierungsniveau aus einer Gruppe ist, die aus Owner-Niveau, Editor-Niveau, Review-Niveau und None-Niveau besteht, und – Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Autorisierungsnachweise und der Identifikator der auszuführenden Operation, die der Betriebsmittelanforderung zugeordnet sind, dem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
  15. Artikel nach Anspruch 14, welcher Anweisungen zum Veranlassen des Computersystems zum Besitzen einer Datenstruktur entsprechend einem gerichteten Graphen mit Betriebsmittelknoten, welche Betriebsmittel darstellen und einen Betriebsmittel-Identifikator und ein Betriebsmittel-Autorisierungsniveau umfassen, aufweist.
  16. Artikel nach Anspruch 14, welcher Anweisungen zum Veranlassen des Computersystems zum Delegieren der Autorisierungsnachweise eines abgeleiteten Knotens auf einen übergeordneten Knoten umfasst.
  17. Artikel nach Anspruch 14, welcher Anweisungen zum Veranlassen des Computersystems zum Delegieren der Autorisierungsnachweise, die einen erstem Nachfrager zugeordnet sind, auf einen zweiten Nachfrager, um dem zweiten Nachfrager es zu gestatten, Ressourcen unter Verwendung der Autorisierungsnachweise des ersten Nachfragers anzufordern, als ob er der erste Nachfrager wäre, umfasst.
DE10296804.7T 2001-05-11 2002-05-09 Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server Expired - Fee Related DE10296804B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/854,437 2001-05-11
US09/854,437 US7107610B2 (en) 2001-05-11 2001-05-11 Resource authorization
PCT/US2002/014775 WO2002093872A1 (en) 2001-05-11 2002-05-09 Method and system for authorizing access to resources on a server

Publications (2)

Publication Number Publication Date
DE10296804T5 DE10296804T5 (de) 2004-04-22
DE10296804B4 true DE10296804B4 (de) 2015-11-26

Family

ID=25318689

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10296804.7T Expired - Fee Related DE10296804B4 (de) 2001-05-11 2002-05-09 Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server

Country Status (6)

Country Link
US (1) US7107610B2 (de)
CN (1) CN100488190C (de)
DE (1) DE10296804B4 (de)
HK (1) HK1064839A1 (de)
TW (1) TWI223949B (de)
WO (1) WO2002093872A1 (de)

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7882555B2 (en) * 2001-03-16 2011-02-01 Kavado, Inc. Application layer security method and system
US20030079134A1 (en) * 2001-10-23 2003-04-24 Xerox Corporation Method of secure print-by-reference
IL149583A0 (en) * 2002-05-09 2003-07-06 Kavado Israel Ltd Method for automatic setting and updating of a security policy
US7823203B2 (en) * 2002-06-17 2010-10-26 At&T Intellectual Property Ii, L.P. Method and device for detecting computer network intrusions
US7797744B2 (en) * 2002-06-17 2010-09-14 At&T Intellectual Property Ii, L.P. Method and device for detecting computer intrusion
US8375113B2 (en) * 2002-07-11 2013-02-12 Oracle International Corporation Employing wrapper profiles
ES2420758T3 (es) 2002-08-19 2013-08-26 Research In Motion Limited Sistema y método para un control seguro de los recursos de dispositivos de comunicación móvil inalámbrica
US7373662B2 (en) * 2002-08-27 2008-05-13 Hewlett-Packard Development Company, L.P. Secure resource access
US7167586B2 (en) * 2002-09-30 2007-01-23 Pitney Bowes Inc. Method and system for remote form completion
US7343042B2 (en) * 2002-09-30 2008-03-11 Pitney Bowes Inc. Method and system for identifying a paper form using a digital pen
US7546633B2 (en) * 2002-10-25 2009-06-09 Microsoft Corporation Role-based authorization management framework
US7454622B2 (en) 2002-12-31 2008-11-18 American Express Travel Related Services Company, Inc. Method and system for modular authentication and session management
US7343628B2 (en) * 2003-05-28 2008-03-11 Sap Ag Authorization data model
US7827595B2 (en) * 2003-08-28 2010-11-02 Microsoft Corporation Delegated administration of a hosted resource
EP1526423A1 (de) * 2003-10-20 2005-04-27 Bayer Aktiengesellschaft Verfahren zur SAP Benutzerauthentifikationssystemprüfung
US7111230B2 (en) * 2003-12-22 2006-09-19 Pitney Bowes Inc. System and method for annotating documents
US8078705B2 (en) * 2004-04-05 2011-12-13 Hewlett-Packard Development Company, L.P. Key-configured topology with connection management
CA2541639C (en) * 2004-05-03 2011-04-19 Research In Motion Limited System and method for application authorization
US7549171B2 (en) * 2004-06-10 2009-06-16 Hitachi, Ltd. Method and apparatus for validation of application data on a storage system
US7617501B2 (en) 2004-07-09 2009-11-10 Quest Software, Inc. Apparatus, system, and method for managing policies on a computer having a foreign operating system
US7480931B2 (en) * 2004-07-24 2009-01-20 Bbs Technologies, Inc. Volume mount authentication
US7506363B2 (en) * 2004-08-26 2009-03-17 Ineternational Business Machines Corporation Methods, systems, and computer program products for user authorization levels in aggregated systems
JP3859667B2 (ja) * 2004-10-26 2006-12-20 株式会社日立製作所 データ通信方法およびシステム
JP4471937B2 (ja) * 2005-02-07 2010-06-02 株式会社ソニー・コンピュータエンタテインメント プロセッサのリソース管理によるコンテンツ制御方法および装置
US8631476B2 (en) * 2005-03-31 2014-01-14 Sap Ag Data processing system including explicit and generic grants of action authorization
WO2007031955A2 (en) * 2005-09-16 2007-03-22 Koninklijke Philips Electronics, N.V. Cryptographic role-based access control
JP4635855B2 (ja) * 2005-12-13 2011-02-23 株式会社日立製作所 データ通信方法およびシステム
US7647630B2 (en) * 2005-12-15 2010-01-12 International Business Machines Corporation Associating security information with information objects in a data processing system
US7512792B2 (en) * 2005-12-15 2009-03-31 International Business Machines Corporation Reference monitor method for enforcing information flow policies
US20070143601A1 (en) 2005-12-15 2007-06-21 Arroyo Diana J System and method for authorizing information flows
US7904949B2 (en) 2005-12-19 2011-03-08 Quest Software, Inc. Apparatus, systems and methods to provide authentication services to a legacy application
US7913162B2 (en) * 2005-12-20 2011-03-22 Pitney Bowes Inc. System and method for collaborative annotation using a digital pen
US20070143291A1 (en) * 2005-12-21 2007-06-21 International Business Machines Corporation Utilizing component targets in defining roles in a distributed and integrated system or systems
US8996482B1 (en) 2006-02-10 2015-03-31 Amazon Technologies, Inc. Distributed system and method for replicated storage of structured data records
US8447829B1 (en) 2006-02-10 2013-05-21 Amazon Technologies, Inc. System and method for controlling access to web services resources
US8087075B2 (en) 2006-02-13 2011-12-27 Quest Software, Inc. Disconnected credential validation using pre-fetched service tickets
JP4561671B2 (ja) * 2006-03-30 2010-10-13 株式会社日立製作所 データ通信方法およびシステム
US8429712B2 (en) 2006-06-08 2013-04-23 Quest Software, Inc. Centralized user authentication system apparatus and method
US8326296B1 (en) 2006-07-12 2012-12-04 At&T Intellectual Property I, L.P. Pico-cell extension for cellular network
US7865464B2 (en) 2006-09-29 2011-01-04 Presenceid, Inc. Systems and methods for notifying multiple systems and applications of changes to data attributes
US8103673B2 (en) * 2006-10-02 2012-01-24 Presenceid, Inc. Systems and methods for provisioning content from multiple sources to a computing device
US7788708B2 (en) 2006-10-02 2010-08-31 Presenceid, Inc. Systems and methods for delegating information technology authorization to at least one other person
WO2008042907A2 (en) * 2006-10-02 2008-04-10 Presenceid, Inc. Systems and methods for managing identities in a database system
US7895332B2 (en) 2006-10-30 2011-02-22 Quest Software, Inc. Identity migration system apparatus and method
US8086710B2 (en) 2006-10-30 2011-12-27 Quest Software, Inc. Identity migration apparatus and method
US8196191B2 (en) 2007-08-17 2012-06-05 Norman James M Coordinating credentials across disparate credential stores
US8863246B2 (en) * 2007-08-31 2014-10-14 Apple Inc. Searching and replacing credentials in a disparate credential store environment
US9471801B2 (en) * 2007-11-29 2016-10-18 Oracle International Corporation Method and apparatus to support privileges at multiple levels of authentication using a constraining ACL
US20090217367A1 (en) * 2008-02-25 2009-08-27 Norman James M Sso in volatile session or shared environment
US8179847B2 (en) 2008-05-13 2012-05-15 At&T Mobility Ii Llc Interactive white list prompting to share content and services associated with a femtocell
US8719420B2 (en) 2008-05-13 2014-05-06 At&T Mobility Ii Llc Administration of access lists for femtocell service
US8589519B2 (en) * 2008-06-18 2013-11-19 Telefonaktiebolaget Lm Ericsson (Publ) Method and device for uniform resource identifier handling of user device
US8788681B1 (en) * 2008-08-25 2014-07-22 Symantec Corporation Method and apparatus for autonomously managing a computer resource using a security certificate
JP4677480B2 (ja) * 2008-09-12 2011-04-27 株式会社沖データ 情報処理システム
US8255984B1 (en) 2009-07-01 2012-08-28 Quest Software, Inc. Single sign-on system for shared resource environments
US8510801B2 (en) 2009-10-15 2013-08-13 At&T Intellectual Property I, L.P. Management of access to service in an access point
US8418237B2 (en) * 2009-10-20 2013-04-09 Microsoft Corporation Resource access based on multiple credentials
US8789205B2 (en) * 2010-04-21 2014-07-22 Microsoft Corporation Role-based graphical user interfaces
US8676844B2 (en) * 2010-05-26 2014-03-18 Hewlett-Packard Development Company, L.P. Graph authorization
EP2453631B1 (de) 2010-11-15 2016-06-22 BlackBerry Limited Datequellenbasierte Anwendungs-Sandboxing
US9887997B2 (en) 2011-12-28 2018-02-06 Intel Corporation Web authentication using client platform root of trust
US11817939B2 (en) 2012-03-31 2023-11-14 Intel Corporation Proximate communication with a target device
US9667360B2 (en) 2012-03-31 2017-05-30 Intel Corporation Proximate communication with a target device
EP2832007B1 (de) 2012-03-31 2020-07-29 Intel Corporation Nahkommunikation mit einer zielvorrichtung
US8844026B2 (en) 2012-06-01 2014-09-23 Blackberry Limited System and method for controlling access to secure resources
US9813423B2 (en) 2013-02-26 2017-11-07 International Business Machines Corporation Trust-based computing resource authorization in a networked computing environment
US20150288762A1 (en) * 2013-03-22 2015-10-08 Hitachi, Ltd. File storage system and method for managing user data
KR20160091314A (ko) * 2013-11-29 2016-08-02 엘지전자 주식회사 무선 통신 시스템에서 서비스 구독 리소스 기반 인증 방법
US10271296B2 (en) * 2014-10-23 2019-04-23 Lg Electronics Inc. Method for changing schedule information in wireless communication system and device therefor
US20160352773A1 (en) * 2015-06-01 2016-12-01 Phantom Cyber Corporation Security action verification in a computing network
US11683213B2 (en) * 2018-05-01 2023-06-20 Infra FX, Inc. Autonomous management of resources by an administrative node network
US10977380B2 (en) * 2018-05-25 2021-04-13 Uptake Technologies, Inc. Hybrid role and attribute based access control system
US11245701B1 (en) 2018-05-30 2022-02-08 Amazon Technologies, Inc. Authorization pre-processing for network-accessible service requests
US11140166B2 (en) 2018-10-15 2021-10-05 Uptake Technologies, Inc. Multi-tenant authorization
CN110058948B (zh) * 2019-04-28 2022-01-28 恒生电子股份有限公司 一种资源监控方法、装置、设备及介质
US20230019281A1 (en) * 2019-12-19 2023-01-19 Telefonaktiebolaget Lm Ericsson (Publ) Resource authorization
CN111262884B (zh) * 2020-03-16 2021-06-11 佛山市诚名信息科技有限公司 智能家居访问授权方法、装置、智能家居系统及服务器
US11921842B2 (en) 2021-06-14 2024-03-05 Kyndryl, Inc. Multifactor authorization on accessing hardware resources

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5941947A (en) * 1995-08-18 1999-08-24 Microsoft Corporation System and method for controlling access to data entities in a computer network

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5649099A (en) * 1993-06-04 1997-07-15 Xerox Corporation Method for delegating access rights through executable access control program without delegating access rights not in a specification to any intermediary nor comprising server security
US5802590A (en) * 1994-12-13 1998-09-01 Microsoft Corporation Method and system for providing secure access to computer resources
US5764890A (en) 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
US5689708A (en) * 1995-03-31 1997-11-18 Showcase Corporation Client/server computer systems having control of client-based application programs, and application-program control means therefor
GB2301912A (en) * 1995-06-09 1996-12-18 Ibm Security for computer system resources
US6067623A (en) * 1997-11-21 2000-05-23 International Business Machines Corp. System and method for secure web server gateway access using credential transform
US6141754A (en) * 1997-11-28 2000-10-31 International Business Machines Corporation Integrated method and system for controlling information access and distribution
CA2228687A1 (en) * 1998-02-04 1999-08-04 Brett Howard Secured virtual private networks
US6279111B1 (en) * 1998-06-12 2001-08-21 Microsoft Corporation Security model using restricted tokens
US6182142B1 (en) 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6601171B1 (en) * 1999-02-18 2003-07-29 Novell, Inc. Deputization in a distributed computing system
CA2368078A1 (en) 1999-03-15 2000-09-21 Texar Software Corp. A secure network
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
US6668322B1 (en) * 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
GB2357225B (en) * 1999-12-08 2003-07-16 Hewlett Packard Co Electronic certificate
US7076804B2 (en) * 2001-05-11 2006-07-11 International Business Machines Corporation Automated program resource identification and association
US6957261B2 (en) * 2001-07-17 2005-10-18 Intel Corporation Resource policy management using a centralized policy data structure

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5941947A (en) * 1995-08-18 1999-08-24 Microsoft Corporation System and method for controlling access to data entities in a computer network

Also Published As

Publication number Publication date
DE10296804T5 (de) 2004-04-22
WO2002093872A1 (en) 2002-11-21
US20020169986A1 (en) 2002-11-14
HK1064839A1 (en) 2005-02-04
US7107610B2 (en) 2006-09-12
CN1507732A (zh) 2004-06-23
CN100488190C (zh) 2009-05-13
TWI223949B (en) 2004-11-11

Similar Documents

Publication Publication Date Title
DE10296804B4 (de) Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE69832946T2 (de) Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen
DE69921455T2 (de) System und verfahren zur zugriffssteuerung auf gespeicherte dokumente
DE112011101729B4 (de) Verwaltung von Ressourcenzugriff
CA2489303C (en) Managing secure resources in web resources that are accessed by multiple portals
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE60205289T2 (de) System und Verfahren zur gesicherte Funkübertragung von Konfigurationsdaten
DE602005003314T2 (de) Spezialisierung der Unterstützung für eine Verbandsbeziehung
DE60102934T2 (de) Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte
DE112010003464B4 (de) Modifikation von Zugangskontrolllisten
DE602005004021T2 (de) Verfahren und system zur authentifizierung in einem computernetzwerk
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE112017004033T5 (de) Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen
DE202017105755U1 (de) Spektrumzugriff für ortsfestes LTE-Teilnehmergerät
DE112020000538T5 (de) Feinkörnige zugriffskontrolle auf token-grundlage
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
US7428748B2 (en) Method and system for authentication in a business intelligence system
DE112017002794T5 (de) Verfahren und vorrichtung zum ausstellen eines berechtigungsnachweises für ein incident area network
DE112016002392T5 (de) Autorisierung in einem verteilten System unter Verwendung von Zugriffssteuerungslisten und Gruppen
DE19954358A1 (de) Benutzerrollenzugriffssteuerung
WO2013017394A1 (de) Zugangsregelung für daten oder applikationen eines netzwerks

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law

Ref document number: 10296804

Country of ref document: DE

Date of ref document: 20040422

Kind code of ref document: P

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee