DE10296804T5 - Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server - Google Patents

Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server Download PDF

Info

Publication number
DE10296804T5
DE10296804T5 DE10296804T DE10296804T DE10296804T5 DE 10296804 T5 DE10296804 T5 DE 10296804T5 DE 10296804 T DE10296804 T DE 10296804T DE 10296804 T DE10296804 T DE 10296804T DE 10296804 T5 DE10296804 T5 DE 10296804T5
Authority
DE
Germany
Prior art keywords
resource
level
request
evidence
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10296804T
Other languages
English (en)
Other versions
DE10296804B4 (de
Inventor
Victor Beaverton Lortz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE10296804T5 publication Critical patent/DE10296804T5/de
Application granted granted Critical
Publication of DE10296804B4 publication Critical patent/DE10296804B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Abstract

Verfahren, welches umfaßt:
- Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, die bezüglich eines Betriebsmittels ausgeführt werden soll,
- Abbilden der Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator,
- Durchsuchen einer Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators und
- Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.

Description

  • Hintergrund
  • Diese Erfindung betrifft die Autorisierung für Betriebsmittel (Ressourcen).
  • Eine Funktion eines Servercomputers, der in einem Netzwerk läuft, besteht darin, Betriebsmittel mit Client-Computern zu teilen und zu verwalten. Bevor ein Client-Computer auf eine bestimmte Ressource zugreifen kann, sollte der Client von dem Server-Computer authentifiziert und autorisiert werden. Ein Ziel des Authentifizierungsprozesses besteht darin, die Identität des Clients zu authentifizieren, der versucht, Zugriff auf die Ressourcen des Servers zu nehmen. Wenn der Client authentifiziert worden ist, kann der Server den Autorisierungsprozess durchführen und ermitteln, welche Rechte der Client-Computer hinsichtlich der geteilten Betriebsmittel ausüben darf.
  • Kurze Beschreibung der Zeichnungen
  • l illustriert ein Autorisierungssystem.
  • 2 ist eine Autorisierungs-Betriebsmittel-Datenstruktur.
  • 3 ist ein Flußdiagramm eines Verfahrens zum Autorisieren einer Betriebsmittelanforderung.
  • 4 illustriert eine Betriebsmittelanforderung.
  • 5 illustriert eine Anforderung für eine Betriebsmittelabfrage.
  • Detaillierte Beschreibung
  • Wie in 1 gezeigt ist, umfaßt ein Autorisierungssystem 10 Clienten 12a bis 12n, welche mit einem Server 16 über Kommunikationswege 9a bis 9n und einem Netzwerk 14 kommunizieren können. Das Netzwerk kann z. B. das Internet, ein lose verwaltetes Verbrauchernetzwerk, ein lokales Netz (LAN), ein weiträumiges Netz (WAN) oder ein anderes Computernetzwerk sein. Der Server 16 verwaltet die Betriebsmittel 18a bis 18n, welche Informationsbetriebsmittel (Informationsressourcen) umfassen, und kommuniziert mit diesen über Be triebsmittelverbindungen, wie ein LAN. Die Informationsbetriebsmittel können Dateisysteme und Hardwarebetriebsmittel, wie Modems, Drucker oder Scanner, umfassen.
  • Jedem Client 12a bis 12n können entsprechende Authentifizierungsnachweise zugewiesen sein. Zum Beispiel ist dem Client 12a der Autorisierungsnachweis 11 zugewiesen. Jedem Client 12a bis 12n sind auch Autorisierungsnachweise zugeordnet, welche das Berechtigungsoder Privilegniveau bzw. -niveaus angeben, die dem Client zugeordnet sind. Wie in 1 dargestellt ist, sind dem Client 12a die Autorisierungsnachweise 13 zugeordnet. Jedem Client 12a bis 12n ist auch eine Betriebsmitteloperation zugewiesen, welche eine Operation darstellt, welche der Client mit Hilfe der Ressource ausführen möchte. Beispielsweise ist dem Client 12a eine Betriebsmitteloperation 15 zugeordnet, welche eine Operation zum Zugreifen auf eine Datei, die sich auf einem Dateisystem befindet, zum Kommunizieren über ein Modem, zum Drucken von Unterlagen mit Hilfe von Printerressourcen oder eine andere Operation darstellen kann.
  • Jeder Client 12a bis 12n kann eine Authentifizierungs-Anforderung erzeugen, welche Authentifizierungsnachweise für die Authentifizierung umfaßt. Zum Beispiel erzeugt der Client 12a eine Authentifizierungs-Anforderung 31, welche die Authentifizierungsnachweise 11 umfaßt. Die Anforderung 31 wird an den Server 16 gerichtet, so daß die Identität des Client 12a durch den Server authentifiziert werden kann, wenn eine Verbindung mit dem Server über das Netzwerk 14 hergestellt wird. Die Authentifizierungsnachweise können einen Namen und ein Paßwort umfassen, die dem Client 12a zugewiesen sind. Alternativ können die Authentifizierungsnachweise 11 dadurch implementiert werden, daß ein Paar von privaten und öffentlichen Schlüsseln verwendet wird, wie es in der Public Key Infrastructure (PKI; Infrastruktur öffentlicher Schlüssel) verwendet wird.
  • Jeder Client 12a bis 12n kann Betriebsmittelanforderungen über das Netzwerk 14 erzeugen, um auf die Betriebsmittel 18a bis 18n, die von dem Server verwaltet werden, zuzugreifen. Zum Beispiel kann der Client 12a eine Betriebsmittelanforderung 32 erzeugen. Die Betriebsmittelanforderung 32 umfaßt die Autorisierungsnachweise 13, die von dem Server 16 verwendet werden, um festzustellen, ob der Client die Erlaubnis hat, auf das oder die angeforderten Betriebsmittel zuzugreifen. Die Autorisierungsnachweise 13 können implementiert werden, indem eine Autorisierungszertifikat-Technik verwendet wird, wie das Verfahren, daß in der Simple Public Key Infrastructure (SPKI; einfache Infrastruktur öffentlicher Schlüssel) verwendet wird. Zusätzlich kann die Betriebsmittelanforderung 32 Informationen umfassen, welche für eine Operation stehen, die unter Verwendung des angegebenen Betriebsmittels ausgeführt werden soll.
  • Ein Client, wie der Client 12a, kann seine Autorisierungsnachweise 13 auf einen zweiten Client delegieren. Mit Hilfe dieser Delegationstechnik kann der zweite Client auf den Server mit denselben Autorisierungsnachweisen wie der Client 12a zugreifen. Der Server 16 behandelt die Nachweise beider Clients in äquivalenter Weise.
  • Ein Systemadministrator 17 ist für die Verwaltung des Servers 16 und seiner Betriebsmittel 18a bis 18n verantwortlich. Die Verantwortlichkeiten können das Hinzufügen/Löschen der Betriebsmittel 18a bis 18n zu dem Server 16 bzw. von dem Server 16 umfassen. Der Administrator kann Verwaltungsfunktionen mit Hilfe eines Anwenderprogramms 20 im Zusammenwirken mit einem Betriebssystem (O/S) 62, wie dem Betriebssystem Windows NTTM, durchführen. Diese Programme können in einem Speicher 63, zum Beispiel einem DRAM (Dynamic Random Access Memory/dynamischer Direktzugriffsspeicher), gespeichert sein und durch eine CPU (Central Processing Unit) 64, wie einem Intel Pentium®- Prozessor, ausgeführt werden. Das Anwenderprogramm 20 kann eine Benutzerschnittstelle 21 umfassen, um eine visuelle Darstellung eines Autorisierungs-Rahmenwerks 23 und der zugeordneten Betriebsmittel 18a bis 18n zur Verfügung zu stellen. Eine Anwenderprogramm-Schnittstelle (API/Application Program Interface) 22 kann eine Standardkommunikationsschnittstelle zwischen dem Anwenderprogramm 20 und dem Autorisierungs-Rahmenwerk 23 bilden. Das Autorisierungs-Rahmenwerk 23 umfaßt eine Betriebsmittelautorisierungs-Datenstruktur (Betriebsmittelstruktur) 26, welche verwendet wird, um eine Beziehung zwischen symbolischen Betriebsmittelnamen, die einem jeweiligen Betriebsmittel entsprechen, herzustellen und kann andere Informationen umfassen, welche die Betriebsmittelautorisierung betreffen.
  • Ein Betriebsmittelmanager 25 ist ein Programmodul, das mit dem Anwenderprogramm 20 über den Pfad 65 kommunizieren kann und für das Erzeugen und Verwalten der Betriebsmittelstruktur 26 über den Pfad 29 verantwortlich ist. Er kann auch für das Abbilden von Betriebsmittelanforderungen 32, die von Clients erzeugt werden, auf eine entsprechende das Betriebsmittel betreffende Information verantwortlich sein, die nötig ist, um der Anforderung zu entsprechen. Die Ergebnisse der Abbildungsoperation können zu einem Autorisierungs dienst 27 kommuniziert werden, indem eine Betriebsmittelabfrage-Anforderung 34 über einen Pfad 35 ausgegeben wird.
  • Der Autorisierungsdienst 27 führt ein Programm aus, das dafür verantwortlich ist, festzustellen, ob der Client 12a, der die Betriebsmittelanforderung 32 erzeugt hat, autorisiert ist, auf das angeforderte Betriebsmittel 18a bis 18n zuzugreifen. Der Dienst 27 durchsucht die Betriebsmittelstruktur 26 und verifiziert, ob der Client 12a die erforderliche Autorisierung besitzt, zum Teil auf der Grundlage der Autorisierungsnachweise 13, welche die Betriebsmittelanforderung 32 begleiten.
  • Der Administrator 17, der als Autor einer Richtlinie (Policy) fungiert, kann auf den Betriebsmittelmanager 25 zugreifen, um die Betriebsmittelstruktur 26 auf der Grundlage von Autorisierungsrichtlinien zu konstruieren, die sich auf die Betriebsmittel 18a bis 18n beziehen. Die Richtlinien können festlegen, welche Autorisierungsniveaus die Clients 12a bis 12n haben müssen, um die geforderte Operation, die in der Betriebsmittelanfrage 32 enthalten war, auszuführen.
  • Wie in 2 gezeigt ist, kann die Betriebsmittelstruktur 26 als Datenstruktur nach Art eines gerichteten Graphen implementiert werden, beispielsweise eine Datenstruktur nach Art eines gerichteten Baums. Die Betriebsmittelstruktur 26 entspricht einem Betriebsmittelraum, welcher die Namen von Betriebsmitteln und Gruppen von Betriebsmitteln 18a bis 18n darstellt. Die Betriebsmittelstruktur 26 umfaßt eine Hierarchie von Knoten 50a bis 50n. Ein Stammknoten (root node) 50a bildet einen Ankerpunkt für die zusätzlichen Knoten 50b bis 50n. Jedem Knoten ist ein entsprechender Knotenname 51a bis 51n und ein Knotenidentifikator 52a bis 52n zugeordnet. Zum Beispiel besitzt der Knoten 50c den Knotennamen 51c „Modem" und den Knotenidentifikator 52c „key3". Jeder Knoten 50a bis 50n kann durch seinen Knotennamen, den Knotenidentifikator oder eine Kombination von beidem adressiert werden.
  • Die Betriebsmittelstruktur 26 kann durch Betriebsmitteleigentümer, wie einen Verkäufer von Betriebsmitteln, konstruiert werden, der die Knotenidentifikatoren 52a bis 52n eines Autorisierungszweigs (sub tree) definieren kann. Der Zweig kann anschließend an einem geeigneten Punkt in der Betriebsmittelstruktur durch den Richtlinienautor eingefügt werden. Ein Autorisierungszweig kann eine Teilmenge der Knoten in einer Betriebsmittelstruktur umfassen. Beispielsweise kann ein Zweig den Modem-Zweig umfassen, der durch den Knoten 50c als Basis des Zweigs und die Knoten 50d und 50e als Zweige des Zweigs repräsentiert wird. Alternativ kann der Richtlinienautor von Hand Knoten in die Struktur 26 entsprechend der Präferenz des Eigentümers des Betriebsmittels einfügen. Von Hand eingefügte Knoten können Schlüssel umfassen, die dynamisch durch das Anwenderprogramm 20 zugewiesen werden. Da jedoch die „Schlüssel" intern generiert sein können und nicht ein wirkliches Paar von öffentlichem und privatem Schlüssel sein müssen, besteht möglicherweise keine Notwendigkeit, ein Vertrauensmodel (trust model) für die internen Schlüssel aufzubauen.
  • Die Betriebsmittelstruktur 26 unterstützt einen „Mountpoint"-Knoten („mount point" node), an dem der Administrator, der als Richtlinienautor agiert, absteigende Richtlinien (top down policies) zum Zugriff auf ein Betriebsmittel erstellen kann, ohne die internen Details kennen zu müssen, wie der Autorisierungszweig dieses Betriebsmittels strukturiert ist. Der Begriff „Mountpoint" ist analog zu dem Mountpoint und der Zugangsberechtigung bei einem Dateisystem. Zum Beispiel ist der Knoten 50d ein Hersteller-Diagnostik-Mountpoint, an dem der Hersteller des Modems einen Satz von Richtlinien vorsehen kann, welche die Rechte vorschreiben, die erforderlich sind, um auf die diagnostischen Merkmale des Betriebsmittels Modem zuzugreifen.
  • Jeder Knoten 50a bis 50n in der Struktur 26 kann auch einer entsprechenden Zugriffskontrolliste (ACL; Access Control List) 53a bis 53n zugeordnet sein, welche entsprechende Autorisierungsnachweise 58 und ein Autorisierungsniveau 59 umfassen kann. Das Autorisierungsniveau 59 bezieht sich auf das Autorisierungsniveau, das erforderlich ist, um auf ein Betriebsmittel zuzugreifen. In einer Implementierung können die Autorisierungsniveaus einen der vier folgenden Werte haben: (1) Owner (Eigentümer), (2) Editor, (3) Reviewer (Besichtiger) oder (4) None (Keine). Das Niveau „Owner" gestattet den vollständigen administrativen Zugriff auf das Betriebsmittel, „Editor" gestattet den Lese/Schreib-Zugriff auf das Betriebsmittel, „Reviewer" gestattet den Lesezugriff auf das Betriebsmittel und „None", welches das Standardniveau bzw. das implizite Niveau ist, verweigert allen Zugriff auf ein Betriebsmittel. Die Berechtigung zum Editieren von Teilen der Betriebsmittelstruktur 26 kann durch das Autorisierungsniveau kontrolliert werden. Um das Editieren eines Zweigs, zum Beispiel das Hinzufügen oder Löschen von abgeleiteten Knoten, das Ändern von Namen, Identifikatoren und ACLs, zu gestatten, sollte das Autorisierungsniveau des Knotens auf „Owner" gesetzt sein.
  • Die Autorisierungsnachweise 58 können ein digitales Zertifikat darstellen, das auf den Nachweisen des Client beruht, der auf das Betriebsmittel zugreifen möchte. Zum Beispiel hat der Knoten 50c eine ACL 53c mit einem Wert von „key3 (key2=Owner)", was angibt, daß die Autorisierungsnachweise „key3" zu dem Autorisierungsniveau „Owner" und den Autorisierungsnachweisen von „key2" delegiert werden. Die Delegation von Berechtigungsnachweisen wird durch den Pfeil 54c angedeutet. Daher würden die Autorisierungsnachweise an dem Knoten 50b, die dem Knotenidentifikator 52b („key2") entsprechen, überprüft werden, um die Autorisierung festzustellen. Die Pfeile 54a bis 54n stellen Autorisierungsnachweise dar, die auf einer Delegation einer Berechtigung von einem abgeleiteten Knoten auf einen übergeordneten Knoten beruhen.
  • Wie in 3 angedeutet ist, erzeugt (100) der Client 12a eine Betriebsmittelanforderung, die an den Server 16 gerichtet ist, über das Netzwerk 14. Für den Zweck der nachfolgenden Erörterung wird davon ausgegangen, daß der Client 12a in der Lage ist, mit dem Server 16 zu kommunizieren, da der Client bereits durch den Server im Wege einer früheren Authentifizierungsanforderung 31 authentifiziert worden ist. Die Betriebsmittelanforderung 32 (4) umfaßt Autorisierungsnachweise 13, wie ein signiertes digitales Zertifikat, und eine von dem Client angegebene Betriebsmitteloperation 15. Bei diesem Beispiel haben die Autorisierungsnachweise 13 den Wert „Dad" und die Betriebsmitteloperation 15 hat den Wert „Set Modem Configuration" (Einstellen der Modemkonfiguration).
  • Nachdem die Betriebsmittelanforderung 32 von dem Server 16 empfangen worden ist, bildet (102) der Betriebsmittelmanager 25 die Betriebsmittelanforderung auf einen Betriebsmittelnamen (oder einen anderen Identifikator) und ein Autorisierungsniveau auf der Grundlage der Information in der Betriebsmittelanforderung ab.
  • Der Betriebsmittelmanager 25 übersetzt (103) eine Anforderung für eine Betriebsmittelabfrage 34, teilweise auf der Grundlage des Inhaltes der Betriebsmittelanforderung 32. Wie in 5 gezeigt ist, umfaßt die Betriebsmittelabfrage-Anforderung 34 einen Betriebsmittelnamen 41, welcher dem Betriebsmittel entspricht, das aus der Betriebsmitteloperation 15 der Betriebsmittelanforderung 32 abgeleitet worden ist. Die Anforderung 34 umfaßt auch ein Autorisierungsniveau 42, welches die Erlaubnis darstellt, die für den Client nötig ist, um die erforderliche Operation auszuführen. Zusätzlich identifiziert die Anforderung 34 die Autorisie rungsnachweise 43, welche den Autorisierungsnachweisen 13 in der Betriebsmittelanforderung 32 entsprechen.
  • Zum Beispiel würde unter Verwendung der vorangehenden Betriebsmittelanforderung 32 der 4 der Betriebsmittelmanager 25 festlegen, daß (1) der Betriebsmittelname 41 „key3/User config" ist, der aus der Betriebsmitteloperation 15 „Set Modem Configuration" abgeleitet ist, (2) „Owner" das erforderliche Autorisierungsniveau 42 eines speziellen Betriebsmittelknotens in der Struktur 26 ist und (3) „Dad" der Autorisierungsnachweis 43 ist, welcher dem Autorisierungsnachweis 13 entspricht, der in der Betriebsmittelanforderung 32 identifiziert worden ist. Der Betriebsmittelmanager 25 verfolgt die Information, die sich auf die Betriebsmittelstruktur 26 bezieht, einschließlich der Betriebsmittelnamen und der zugehörigen Autorisierungsniveaus.
  • Wie in 3 angedeutet ist, übermittelt (104) der Betriebsmittelmanager 25 die Betriebsmittelabfrage-Anforderung 34 an den Autorisierungsdienst 27. Bei Empfang der Anforderung 34 sucht der Autorisierungsdienst 27 nach dem Betriebsmittelnamen in der Betriebsmittelstruktur 26 und wertet (106) die Autorisierungsnachweise und das Autorisierungsniveau des Client anhand der Autorisierungsinformation in der ACL an dem entsprechenden Knoten aus. Wenn zum Beispiel die Betriebsmittelabfrage-Anforderung 34 verwendet würde, die in 5 dargestellt ist, würde der Autorisierungsdienst 27 die Ressourcenstruktur 26 durchsuchen und feststellen, daß der Knoten 50e den Knotennamen 51e „user config" und einen Knotenidentifikator 52e „key5" besitzt. Der Knoten 50e ist ein abgeleiteter Knoten des übergeordneten Knotens 50c, was durch den Pfeil 54e angedeutet ist.
  • Wenn das Ergebnis der Auswertung ergibt (108), daß der Client auf der Grundlage der Information in der ACL autorisiert ist, auf das Betriebsmittel zuzugreifen, gibt der Autorisierungsdienst 27 eine Erfolgsmeldung an den Betriebsmittelmanager 25 zurück (110). Der Betriebsmittelmanager 25 kann die Operation, die von dem Client gefordert worden war, ausführen (112), da der Client autorisiert worden ist.
  • Wenn man die Betriebsmittelanforderung 32 der 4 verwendet, würde der Autorisierungsdienst 27 die Knoten in der Betriebsmittelstruktur 26 durchlaufen und den Satz der Nachweise „key5 (key3=owner)", beginnend an dem Knoten 50e, verarbeiten, dem Pfeil 54e zu den Nachweisen des Knotens 50c „key3 (key2=owner)" folgen und dem Pfeil 54c zu dem Knoten 50b folgen und Bezug auf ACL2 „key2 (Dad=Owner)" nehmen. Wenn der Client einen Autorisierungsnachweis besitzt, der auf den Wert „Dad" gesetzt ist, ist er als „Owner" berechtigt, die Operation „Set Modem Configuration" auszuführen.
  • Wenn andererseits (in Block 108) die dem Knoten zugeordnete ACL dem Client keinen Zugriff gewährt, sucht (114) der Autorisierungsdienst 27 nach einem übergeordneten Knoten mit einer ACL mit einem hinreichend hohen Autorisierungsniveau, um dem Client den Zugriff auf das Betriebsmittel zu gestatten. Wenn ein übergeordneter Knoten gefunden wird, werden die ACL, das zugeordnete Autorisierungsniveau und Autorisierungsnachweise zu dem Autorisierungsdienst 27 weitergeleitet. Der Prozeß würde dann zu dem Block 106 zurückkehren, wo der Autorisierungsdienst 27 Nachweise des Client mit Information in der ACL vergleicht.
  • Wenn jedoch (in Block 114) die Suchergebnisse anzeigen, daß kein übergeordneter Knoten mit einer auf einem hinreichend hohen Autorisierungsniveau vererbten ACL existiert, gibt der Autorisierungsdienst 27 eine Fehlermeldung an den Betriebsmittelmanager 25 zurück. Dem Betriebsmittelmanager wird der Zugriff auf das Betriebsmittel verwehrt (118) und er kann die Abweisung an den Client kommunizieren.
  • Wenn ein Client mit Autorisierungsnachweisen, die vorangehend identifiziert worden sind, wieder versuchen würde, auf den „Mountpoint", welcher dem Knoten 50d entspricht, Zugriff zu nehmen, würde dem Client der Zugriff verwehrt werden, da der Knoten 50d nur das Autorisierungsniveau „Reviewer" an seinen übergeordneten Knoten 50c delegiert, was durch den Pfeil 54d gezeigt ist. Der Knoten 50c besitzt eine ACL3 mit einem Wert „key3 (key2=owner)", was angibt, daß die Nachweise an den Knoten 50b delegiert worden sind, was durch den Pfeil 54c gezeigt ist. Bezug nehmend auf den Knoten 50b mit dem Knotennamen 5lb „DenPC", autorisiert die Zuordnung des Autorisierungsniveaus „key2 (Dad=Owner)" in ACL 53b daher nicht „Dad", auf den „Mountpoint"-Knoten 50d zuzugreifen.
  • Unter Verwendung der vorangehend genannten Techniken kann ein Verkäufer von Betriebsmitteln, wie ein Hersteller, seinen eigenen öffentlichen bzw. privaten Schlüssel erzeugen und von dem Client verlangen, daß der Schlüssel verwendet wird, um Zugriff auf bestimmte Eigenschaften des Modems, wie die Diagnostikmerkmale des Modems, Zugriff zu nehmen. Durch das Begrenzen des Zugriffs auf Diagnostikmerkmale auf autorisierte Clients kann der Hersteller das Autorisierungs-Rahmenwerk 23 verwenden, um Zollsicherheitsvorschriften umzusetzen.
  • Die vorangehenden Techniken können es gestatten, daß die Autorisierung von mehreren Anwendungen geteilt wird, was verteilte Systeme umfaßt, die verschiedene administrative Domänen überspannen. Weiterhin können die Techniken angewendet werden, um Probleme zu lösen, die sich auf die Sicherung von Dienstvermittlungsplattformen für den Verbrauchermarkt beziehen. Die Techniken können auch im Kontext von Lösungen des elektronischen Geschäftsverkehrs („E-Business") entweder für Business to Business- oder Business to Consumer-Dienstanwendungen verwendet werden, wobei die Endpunkte der Kommunikation inhärent Teil von verschiedenen administrativen Domänen sind.
  • Auch wenn vier Autorisierungsniveaus vorangehend erörtert wurden, ist es möglich, die Granularität der Niveaus zu erhöhen.
  • Verschiedene Eigenschaften des Systems können in Hardware, Software oder in einer Kombination von Hardware und Software implementiert werden. Beispielsweise können einige Aspekte des Systems in Computerprogrammen implementiert werden, die auf programmierbaren Computern laufen. Jedes Programm kann in einer prozedurorientierten oder objektorientierten Hochprogrammiersprache implementiert sein, um mit einem Computersystem zu kommunizieren. Weiterhin kann jedes solches Computerprogramm auch auf einem Speichermedium gespeichert sein, beispielsweise einem Festwertspeicher (ROM), das von einem programmierbaren Universalprozessor oder Spezialprozessor gelesen werden kann, um den Computer zu konfigurieren und zu betreiben, wenn das Speichermedium von dem Computer gelesen wird, um die vorangehend beschriebenen Funktionen auszuführen.
  • Andere Implementierungen liegen im Umfang der folgenden Ansprüche.
  • Zusammenfassung
  • Eine Betriebsmittelautorisierung umfaßt das Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager. Die Betriebsmittelanforderung umfaßt Nachweise und identifiziert eine Operation, die bezüglich eines Betriebsmittels auszuführen ist. Die Betriebsmittelanforderung wird auf einen Betriebsmittel-Identifikator abgebildet und die Betriebsmittel-Datenstruktur wird nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators durchsucht. Es wird bestimmt, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsniveau entsprechen, das dem Betriebsmittelknoten zugeordnet ist.

Claims (30)

  1. Verfahren, welches umfaßt: - Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, die bezüglich eines Betriebsmittels ausgeführt werden soll, - Abbilden der Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator, - Durchsuchen einer Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators und - Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
  2. Verfahren nach Anspruch 1, bei dem das Suchen das Durchsuchen von Betriebsmittelknoten umfaßt, welche jeweils ein Betriebsmittel darstellen und einen Betriebsmittel-Identifikator umfassen.
  3. Verfahren nach Anspruch 1, bei dem das Durchsuchen das Durchsuchen einer Struktur entsprechend einem gerichteten Graphen umfaßt.
  4. Verfahren nach Anspruch 1, bei dem das Empfangen einer Betriebsmittelanforderung das Empfangen eines digitalen Zertifikats umfaßt, welches konform zu einer SPKI ist.
  5. Verfahren nach Anspruch 1, bei dem das Abbilden das Abbilden der Betriebsmittelanforderung auf den Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter umfaßt, der ein Owner-Niveau umfaßt, welches vollständigen Zugriff auf das Betriebsmittel gestattet.
  6. Verfahren nach Anspruch 1, bei dem das Abbilden das Abbilden der Betriebsmittelanforderung auf den Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter umfaßt, der ein Editor-Niveau umfaßt, welches einen Lese/Schreib-Zugriff auf das Betriebsmittel gestattet.
  7. Verfahren nach Anspruch 1, bei dem das Abbilden das Abbilden der Betriebsmittelanforderung auf den Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter umfaßt, der ein Reviewer-Niveau umfaßt, welches ausschließlich einen Lesezugriff auf das Betriebsmittel gestattet.
  8. Verfahren nach Anspruch 1, bei dem das Abbilden das Abbilden der Betriebsmittelanforderung auf den Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter umfaßt, welcher ein None-Niveau umfaßt, welches jeglichen Zugriff auf das Betriebsmittel verweigert.
  9. Verfahren nach Anspruch 1, welches das Delegieren der Nachweise eines abgeleiteten Knotens auf einen übergeordneten Knoten in der Betriebsmittel-Datenstruktur umfaßt.
  10. Verfahren nach Anspruch 9, bei dem die Betriebsmittelanforderung auf der Grundlage der delegierten Nachweise gehandhabt wird.
  11. Verfahren nach Anspruch 1, bei dem die Betriebsmittelanforderung von einem Client-Computer stammt und an einen Server-Computer über ein Netzwerk gerichtet wird.
  12. Vorrichtung, welche umfaßt: - einen Speicher zum Speichern einer Betriebsmitteldatenstruktur mit Betriebsmittelknoten, welche jeweils ein entsprechendes Betriebsmittel darstellen und einen entsprechenden Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter aufweisen, und - einen Prozessor, der für Folgendes konfiguriert ist: - Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, die hinsichtlich eines Betriebsmittels vorgenommen werden soll, - Abbilden der Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator, - Durchsuchen der Betriebsmittel-Datenstruktur nach einem Betriebsmitteknoten auf der Grundlage des Betriebsmittel-Identifikators und - Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels durchzuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
  13. Vorrichtung nach Anspruch 12, bei dem die Betriebsmittel-Datenstruktur eine Struktur entsprechend einem gerichteten Graphen umfaßt.
  14. Vorrichtung nach Anspruch 12, bei dem die Nachweise ein digitales Zertifikat umfassen, das konform zu einer SPKI ist.
  15. Vorrichtung nach Anspruch 12, bei dem das Betriebsmittel-Autorisierungsniveau ein „Owner"-Niveau umfaßt, welches den vollständigen Zugriff auf das Betriebsmittel gestattet.
  16. Vorrichtung nach Anspruch 12, bei dem das Betriebsmittel-Autorisierungsniveau ein „Editor"-Niveau umfaßt, welches einen Lese/Schreib-Zugriff auf das Betriebsmittel gestattet.
  17. Vorrichtung nach Anspruch 12, bei dem das Betriebsmittel-Autorisierungsniveau ein „Reviewer"-Niveau umfaßt, welches ausschließlich einen Lesezugriff auf das Betriebsmittel autorisiert.
  18. Vorrichtung nach Anspruch 12, bei dem das Betriebsmittel-Autorisierungsniveau ein „None"-Niveau umfaßt, welches jeglichen Zugriff auf das Betriebsmittel verweigert.
  19. Vorrichtung nach Anspruch 12, bei dem die Betriebsmittel-Datenstruktur die Delegation eines Betriebsmittel-Autorisierungsniveaus von einem abgeleiteten Knoten auf einen übergeordneten Knoten umfaßt.
  20. System, welches umfaßt: - einen ersten Computer, der einem ersten Nachfrager entspricht und so konfiguriert ist, daß er Betriebsmittelanforderungen mit Nachweisen erzeugt, - einen zweiten Computer, der einen Speicher umfaßt, der eine Betriebsmittel-Datenstruktur mit Betriebsmittelknoten speichert, welche jeweils ein entsprechendes Betriebsmittel darstellen und einen entsprechenden Betriebsmittel-Identifikator und ein Betriebsmittel-Autorisierungsniveau aufweisen, wobei der zweite Computer für Folgendes konfiguriert ist: - Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, welche bezüglich eines Betriebsmittels ausgeführt werden soll, - Abbilden der Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator, - Durchsuchen der Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittels-Identifikators und - Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels durchzuführen, auf der Grundlage dessen, ob die Berechtigungsnachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsniveau entsprechen, das dem Betriebsmittelknoten zugeordnet ist, und - ein Netzwerk, über welches der erste und zweite Computer miteinander kommunizieren.
  21. System nach Anspruch 20, bei dem die Betriebsmittel-Datenstruktur eine Struktur entsprechend einem gerichteten Graphen umfaßt.
  22. System nach Anspruch 20, bei dem die Berechtigungsnachweise ein digitales Zertifikat umfassen, welches konform zu einer SPKI ist.
  23. System nach Anspruch 20, bei dem das Betriebsmittel-Autorisierungsniveau ein Niveau aus der Gruppe umfaßt, die aus Owner-Niveau, Editor-Niveau, Reviewer-Niveau, None-Niveau besteht.
  24. System nach Anspruch 20, welches die Delegation der Nachweise von einem abgeleiteten Knoten auf einen übergeordneten Knoten umfaßt.
  25. System nach Anspruch 20, welches die Delegation von Nachweisen, die einem ersten Nachfrager zugeordnet sind, auf einen zweiten Nachfrager umfaßt, wobei der zweite Nachfrager Betriebsmittel unter Verwendung der Nachweise von dem ersten Nachfrager anfordern kann, als ob er der erste Nachfrager wäre.
  26. Artikel, welcher ein computerlesbares Medium umfaßt, das von einem Computer ausführbare Anweisungen zum Veranlassen eines Computers zu Folgendem umfaßt: - Abbilden einer Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator in Antwort auf den Empfang einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, welche bezüglich eines Betriebsmittels ausgeführt werden soll, - Durchsuchen einer Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators, und - Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels durchzuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsniveau entsprechen, welches dem Betriebsmittelknoten zugeordnet ist.
  27. Artikel nach Anspruch 26, welcher Anweisungen zum Veranlassen des Computersystems zum Besitzen einer Datenstruktur entsprechend einem gerichteten Graphen mit Betriebsmittelknoten, welche Betriebsmittel darstellen und einen Betriebsmittel-Identifikator und ein Betriebsmittel-Autorisierungsniveau umfassen, aufweist.
  28. Artikel nach Anspruch 26, welcher Anweisungen zum Veranlassen des Computersystems zum Besitzen von digitalen Zertifikaten, welche konform zu einer SPKI sind, aufweist.
  29. Artikel nach Anspruch 26, welcher Anweisungen zum Veranlassen des Computersystems zum Delegieren der Nachweise eines abgeleiteten Knotens auf einen übergeordneten Knoten umfaßt.
  30. Artikel nach Anspruch 26, welcher Anweisungen zum Veranlassen des Computersystems zum Delegieren der Nachweise, die einen erstem Nachfrager zugeordnet sind, auf einen zweiten Nachfrager, um dem zweiten Nachfrager es zu gestatten, Ressourcen unter Verwendung der Nachweise des ersten Nachfragers anzufordern, als ob er der erste Nachfrager wäre, umfaßt.
DE10296804.7T 2001-05-11 2002-05-09 Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server Expired - Fee Related DE10296804B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/854,437 2001-05-11
US09/854,437 US7107610B2 (en) 2001-05-11 2001-05-11 Resource authorization
PCT/US2002/014775 WO2002093872A1 (en) 2001-05-11 2002-05-09 Method and system for authorizing access to resources on a server

Publications (2)

Publication Number Publication Date
DE10296804T5 true DE10296804T5 (de) 2004-04-22
DE10296804B4 DE10296804B4 (de) 2015-11-26

Family

ID=25318689

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10296804.7T Expired - Fee Related DE10296804B4 (de) 2001-05-11 2002-05-09 Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server

Country Status (6)

Country Link
US (1) US7107610B2 (de)
CN (1) CN100488190C (de)
DE (1) DE10296804B4 (de)
HK (1) HK1064839A1 (de)
TW (1) TWI223949B (de)
WO (1) WO2002093872A1 (de)

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7882555B2 (en) * 2001-03-16 2011-02-01 Kavado, Inc. Application layer security method and system
US20030079134A1 (en) * 2001-10-23 2003-04-24 Xerox Corporation Method of secure print-by-reference
IL149583A0 (en) * 2002-05-09 2003-07-06 Kavado Israel Ltd Method for automatic setting and updating of a security policy
US7797744B2 (en) * 2002-06-17 2010-09-14 At&T Intellectual Property Ii, L.P. Method and device for detecting computer intrusion
US7823203B2 (en) * 2002-06-17 2010-10-26 At&T Intellectual Property Ii, L.P. Method and device for detecting computer network intrusions
US8375113B2 (en) * 2002-07-11 2013-02-12 Oracle International Corporation Employing wrapper profiles
AU2003257336A1 (en) * 2002-08-19 2004-03-03 Research In Motion Limited System and method for secure control of resources of wireless mobile communication device
US7373662B2 (en) * 2002-08-27 2008-05-13 Hewlett-Packard Development Company, L.P. Secure resource access
US7167586B2 (en) * 2002-09-30 2007-01-23 Pitney Bowes Inc. Method and system for remote form completion
US7343042B2 (en) * 2002-09-30 2008-03-11 Pitney Bowes Inc. Method and system for identifying a paper form using a digital pen
US7546633B2 (en) * 2002-10-25 2009-06-09 Microsoft Corporation Role-based authorization management framework
US7454622B2 (en) * 2002-12-31 2008-11-18 American Express Travel Related Services Company, Inc. Method and system for modular authentication and session management
US7343628B2 (en) * 2003-05-28 2008-03-11 Sap Ag Authorization data model
US7827595B2 (en) * 2003-08-28 2010-11-02 Microsoft Corporation Delegated administration of a hosted resource
EP1526423A1 (de) * 2003-10-20 2005-04-27 Bayer Aktiengesellschaft Verfahren zur SAP Benutzerauthentifikationssystemprüfung
US7111230B2 (en) * 2003-12-22 2006-09-19 Pitney Bowes Inc. System and method for annotating documents
US8078705B2 (en) * 2004-04-05 2011-12-13 Hewlett-Packard Development Company, L.P. Key-configured topology with connection management
WO2005106675A1 (en) * 2004-05-03 2005-11-10 Research In Motion Limited System and method for application authorization
US7549171B2 (en) * 2004-06-10 2009-06-16 Hitachi, Ltd. Method and apparatus for validation of application data on a storage system
US7617501B2 (en) 2004-07-09 2009-11-10 Quest Software, Inc. Apparatus, system, and method for managing policies on a computer having a foreign operating system
US7480931B2 (en) * 2004-07-24 2009-01-20 Bbs Technologies, Inc. Volume mount authentication
US7506363B2 (en) * 2004-08-26 2009-03-17 Ineternational Business Machines Corporation Methods, systems, and computer program products for user authorization levels in aggregated systems
JP3859667B2 (ja) * 2004-10-26 2006-12-20 株式会社日立製作所 データ通信方法およびシステム
JP4471937B2 (ja) * 2005-02-07 2010-06-02 株式会社ソニー・コンピュータエンタテインメント プロセッサのリソース管理によるコンテンツ制御方法および装置
US8631476B2 (en) * 2005-03-31 2014-01-14 Sap Ag Data processing system including explicit and generic grants of action authorization
JP4975035B2 (ja) * 2005-09-16 2012-07-11 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 暗号化による役割ベースのアクセス制御
JP4635855B2 (ja) * 2005-12-13 2011-02-23 株式会社日立製作所 データ通信方法およびシステム
US7512792B2 (en) * 2005-12-15 2009-03-31 International Business Machines Corporation Reference monitor method for enforcing information flow policies
US7647630B2 (en) * 2005-12-15 2010-01-12 International Business Machines Corporation Associating security information with information objects in a data processing system
US20070143601A1 (en) * 2005-12-15 2007-06-21 Arroyo Diana J System and method for authorizing information flows
US7904949B2 (en) 2005-12-19 2011-03-08 Quest Software, Inc. Apparatus, systems and methods to provide authentication services to a legacy application
US7913162B2 (en) * 2005-12-20 2011-03-22 Pitney Bowes Inc. System and method for collaborative annotation using a digital pen
US20070143291A1 (en) * 2005-12-21 2007-06-21 International Business Machines Corporation Utilizing component targets in defining roles in a distributed and integrated system or systems
US8447829B1 (en) * 2006-02-10 2013-05-21 Amazon Technologies, Inc. System and method for controlling access to web services resources
US8996482B1 (en) 2006-02-10 2015-03-31 Amazon Technologies, Inc. Distributed system and method for replicated storage of structured data records
US8087075B2 (en) 2006-02-13 2011-12-27 Quest Software, Inc. Disconnected credential validation using pre-fetched service tickets
JP4561671B2 (ja) * 2006-03-30 2010-10-13 株式会社日立製作所 データ通信方法およびシステム
US8429712B2 (en) 2006-06-08 2013-04-23 Quest Software, Inc. Centralized user authentication system apparatus and method
US8326296B1 (en) 2006-07-12 2012-12-04 At&T Intellectual Property I, L.P. Pico-cell extension for cellular network
US7865464B2 (en) 2006-09-29 2011-01-04 Presenceid, Inc. Systems and methods for notifying multiple systems and applications of changes to data attributes
US7788708B2 (en) 2006-10-02 2010-08-31 Presenceid, Inc. Systems and methods for delegating information technology authorization to at least one other person
US8103673B2 (en) * 2006-10-02 2012-01-24 Presenceid, Inc. Systems and methods for provisioning content from multiple sources to a computing device
WO2008042907A2 (en) * 2006-10-02 2008-04-10 Presenceid, Inc. Systems and methods for managing identities in a database system
US8086710B2 (en) 2006-10-30 2011-12-27 Quest Software, Inc. Identity migration apparatus and method
US7895332B2 (en) 2006-10-30 2011-02-22 Quest Software, Inc. Identity migration system apparatus and method
US8196191B2 (en) 2007-08-17 2012-06-05 Norman James M Coordinating credentials across disparate credential stores
US8863246B2 (en) * 2007-08-31 2014-10-14 Apple Inc. Searching and replacing credentials in a disparate credential store environment
US9471801B2 (en) * 2007-11-29 2016-10-18 Oracle International Corporation Method and apparatus to support privileges at multiple levels of authentication using a constraining ACL
US20090217367A1 (en) * 2008-02-25 2009-08-27 Norman James M Sso in volatile session or shared environment
US8490156B2 (en) 2008-05-13 2013-07-16 At&T Mobility Ii Llc Interface for access management of FEMTO cell coverage
US8719420B2 (en) 2008-05-13 2014-05-06 At&T Mobility Ii Llc Administration of access lists for femtocell service
GB2473173B (en) * 2008-06-18 2012-11-07 Ericsson Telefon Ab L M Method and device for uniform resource identifier handling of user device
US8788681B1 (en) * 2008-08-25 2014-07-22 Symantec Corporation Method and apparatus for autonomously managing a computer resource using a security certificate
JP4677480B2 (ja) * 2008-09-12 2011-04-27 株式会社沖データ 情報処理システム
US8255984B1 (en) 2009-07-01 2012-08-28 Quest Software, Inc. Single sign-on system for shared resource environments
US8510801B2 (en) 2009-10-15 2013-08-13 At&T Intellectual Property I, L.P. Management of access to service in an access point
US8418237B2 (en) 2009-10-20 2013-04-09 Microsoft Corporation Resource access based on multiple credentials
US8789205B2 (en) * 2010-04-21 2014-07-22 Microsoft Corporation Role-based graphical user interfaces
US8676844B2 (en) * 2010-05-26 2014-03-18 Hewlett-Packard Development Company, L.P. Graph authorization
EP2453631B1 (de) 2010-11-15 2016-06-22 BlackBerry Limited Datequellenbasierte Anwendungs-Sandboxing
JP5850382B2 (ja) 2011-12-28 2016-02-03 インテル・コーポレーション ウェブ認証を用いるクライアントプラットフォームの信頼のルート
US11817939B2 (en) 2012-03-31 2023-11-14 Intel Corporation Proximate communication with a target device
US9667360B2 (en) * 2012-03-31 2017-05-30 Intel Corporation Proximate communication with a target device
EP2832007B1 (de) 2012-03-31 2020-07-29 Intel Corporation Nahkommunikation mit einer zielvorrichtung
US8844026B2 (en) 2012-06-01 2014-09-23 Blackberry Limited System and method for controlling access to secure resources
US9813423B2 (en) 2013-02-26 2017-11-07 International Business Machines Corporation Trust-based computing resource authorization in a networked computing environment
US20150288762A1 (en) * 2013-03-22 2015-10-08 Hitachi, Ltd. File storage system and method for managing user data
US10182351B2 (en) * 2013-11-29 2019-01-15 Lg Electronics Inc. Method for service subscription resource-based authentication in wireless communication system
US10271296B2 (en) * 2014-10-23 2019-04-23 Lg Electronics Inc. Method for changing schedule information in wireless communication system and device therefor
US20160352773A1 (en) * 2015-06-01 2016-12-01 Phantom Cyber Corporation Security action verification in a computing network
US11683213B2 (en) * 2018-05-01 2023-06-20 Infra FX, Inc. Autonomous management of resources by an administrative node network
US10977380B2 (en) * 2018-05-25 2021-04-13 Uptake Technologies, Inc. Hybrid role and attribute based access control system
US11245701B1 (en) 2018-05-30 2022-02-08 Amazon Technologies, Inc. Authorization pre-processing for network-accessible service requests
US11140166B2 (en) 2018-10-15 2021-10-05 Uptake Technologies, Inc. Multi-tenant authorization
CN110058948B (zh) * 2019-04-28 2022-01-28 恒生电子股份有限公司 一种资源监控方法、装置、设备及介质
WO2021124342A1 (en) * 2019-12-19 2021-06-24 Telefonaktiebolaget Lm Ericsson (Publ) Resource authorization
CN112261058A (zh) * 2020-03-16 2021-01-22 陈力 智能家居访问授权方法、智能家居系统及服务器
US11921842B2 (en) 2021-06-14 2024-03-05 Kyndryl, Inc. Multifactor authorization on accessing hardware resources

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5649099A (en) * 1993-06-04 1997-07-15 Xerox Corporation Method for delegating access rights through executable access control program without delegating access rights not in a specification to any intermediary nor comprising server security
US5802590A (en) * 1994-12-13 1998-09-01 Microsoft Corporation Method and system for providing secure access to computer resources
US5764890A (en) 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
US5689708A (en) * 1995-03-31 1997-11-18 Showcase Corporation Client/server computer systems having control of client-based application programs, and application-program control means therefor
GB2301912A (en) * 1995-06-09 1996-12-18 Ibm Security for computer system resources
US5941947A (en) 1995-08-18 1999-08-24 Microsoft Corporation System and method for controlling access to data entities in a computer network
US6067623A (en) * 1997-11-21 2000-05-23 International Business Machines Corp. System and method for secure web server gateway access using credential transform
US6141754A (en) * 1997-11-28 2000-10-31 International Business Machines Corporation Integrated method and system for controlling information access and distribution
CA2228687A1 (en) * 1998-02-04 1999-08-04 Brett Howard Secured virtual private networks
US6279111B1 (en) * 1998-06-12 2001-08-21 Microsoft Corporation Security model using restricted tokens
US6182142B1 (en) 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6601171B1 (en) * 1999-02-18 2003-07-29 Novell, Inc. Deputization in a distributed computing system
EP1166522A1 (de) 1999-03-15 2002-01-02 Texar Software Corp. Ein gesichertes netzwerk
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
US6668322B1 (en) * 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
GB2357225B (en) * 1999-12-08 2003-07-16 Hewlett Packard Co Electronic certificate
US7076804B2 (en) * 2001-05-11 2006-07-11 International Business Machines Corporation Automated program resource identification and association
US6957261B2 (en) * 2001-07-17 2005-10-18 Intel Corporation Resource policy management using a centralized policy data structure

Also Published As

Publication number Publication date
TWI223949B (en) 2004-11-11
CN1507732A (zh) 2004-06-23
US20020169986A1 (en) 2002-11-14
DE10296804B4 (de) 2015-11-26
CN100488190C (zh) 2009-05-13
HK1064839A1 (en) 2005-02-04
WO2002093872A1 (en) 2002-11-21
US7107610B2 (en) 2006-09-12

Similar Documents

Publication Publication Date Title
DE10296804B4 (de) Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server
DE112011101729B4 (de) Verwaltung von Ressourcenzugriff
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE112010003464B4 (de) Modifikation von Zugangskontrolllisten
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
DE60314871T2 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
DE69921455T2 (de) System und verfahren zur zugriffssteuerung auf gespeicherte dokumente
DE112017004033T5 (de) Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen
DE69816400T2 (de) Verteiltes Objektsystem und Verfahren zum Anbieten von Dienstleistungen darin
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE112018005203T5 (de) Authentifizierung unter Verwendung von delegierten Identitäten
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
DE112018004411T5 (de) Zugriffssteuerung in mikrodienst-architekturen
DE112020000538T5 (de) Feinkörnige zugriffskontrolle auf token-grundlage
DE112012002729T5 (de) Zero-Sign-On-Authentifizierung
DE10213505A1 (de) Verfahren und System zur globalen Beschränkung des Zugangs von Klienten zu einer gesicherten Website
DE112011101357T5 (de) Dynamisches Token für den vorübergehenden Datenzugriff
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
DE112021002245T5 (de) Verhindern einer unberechtigten bereitstellung von paketen in clustern
DE112016002392T5 (de) Autorisierung in einem verteilten System unter Verwendung von Zugriffssteuerungslisten und Gruppen
DE112017002794T5 (de) Verfahren und vorrichtung zum ausstellen eines berechtigungsnachweises für ein incident area network
DE60309216T2 (de) Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs
WO2013017394A1 (de) Zugangsregelung für daten oder applikationen eines netzwerks
DE112021005656T5 (de) Analyse der rollenerreichbarkeit mit transitiven tags

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law

Ref document number: 10296804

Country of ref document: DE

Date of ref document: 20040422

Kind code of ref document: P

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee