DE10296804T5 - Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server - Google Patents
Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server Download PDFInfo
- Publication number
- DE10296804T5 DE10296804T5 DE10296804T DE10296804T DE10296804T5 DE 10296804 T5 DE10296804 T5 DE 10296804T5 DE 10296804 T DE10296804 T DE 10296804T DE 10296804 T DE10296804 T DE 10296804T DE 10296804 T5 DE10296804 T5 DE 10296804T5
- Authority
- DE
- Germany
- Prior art keywords
- resource
- level
- request
- evidence
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
Verfahren, welches umfaßt:
- Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, die bezüglich eines Betriebsmittels ausgeführt werden soll,
- Abbilden der Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator,
- Durchsuchen einer Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators und
- Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
- Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, die bezüglich eines Betriebsmittels ausgeführt werden soll,
- Abbilden der Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator,
- Durchsuchen einer Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators und
- Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
Description
- Hintergrund
- Diese Erfindung betrifft die Autorisierung für Betriebsmittel (Ressourcen).
- Eine Funktion eines Servercomputers, der in einem Netzwerk läuft, besteht darin, Betriebsmittel mit Client-Computern zu teilen und zu verwalten. Bevor ein Client-Computer auf eine bestimmte Ressource zugreifen kann, sollte der Client von dem Server-Computer authentifiziert und autorisiert werden. Ein Ziel des Authentifizierungsprozesses besteht darin, die Identität des Clients zu authentifizieren, der versucht, Zugriff auf die Ressourcen des Servers zu nehmen. Wenn der Client authentifiziert worden ist, kann der Server den Autorisierungsprozess durchführen und ermitteln, welche Rechte der Client-Computer hinsichtlich der geteilten Betriebsmittel ausüben darf.
- Kurze Beschreibung der Zeichnungen
-
l illustriert ein Autorisierungssystem. -
2 ist eine Autorisierungs-Betriebsmittel-Datenstruktur. -
3 ist ein Flußdiagramm eines Verfahrens zum Autorisieren einer Betriebsmittelanforderung. -
4 illustriert eine Betriebsmittelanforderung. -
5 illustriert eine Anforderung für eine Betriebsmittelabfrage. - Detaillierte Beschreibung
- Wie in
1 gezeigt ist, umfaßt ein Autorisierungssystem10 Clienten12a bis12n , welche mit einem Server16 über Kommunikationswege9a bis9n und einem Netzwerk14 kommunizieren können. Das Netzwerk kann z. B. das Internet, ein lose verwaltetes Verbrauchernetzwerk, ein lokales Netz (LAN), ein weiträumiges Netz (WAN) oder ein anderes Computernetzwerk sein. Der Server16 verwaltet die Betriebsmittel18a bis18n , welche Informationsbetriebsmittel (Informationsressourcen) umfassen, und kommuniziert mit diesen über Be triebsmittelverbindungen, wie ein LAN. Die Informationsbetriebsmittel können Dateisysteme und Hardwarebetriebsmittel, wie Modems, Drucker oder Scanner, umfassen. - Jedem Client
12a bis12n können entsprechende Authentifizierungsnachweise zugewiesen sein. Zum Beispiel ist dem Client12a der Autorisierungsnachweis11 zugewiesen. Jedem Client12a bis12n sind auch Autorisierungsnachweise zugeordnet, welche das Berechtigungsoder Privilegniveau bzw. -niveaus angeben, die dem Client zugeordnet sind. Wie in1 dargestellt ist, sind dem Client12a die Autorisierungsnachweise13 zugeordnet. Jedem Client12a bis12n ist auch eine Betriebsmitteloperation zugewiesen, welche eine Operation darstellt, welche der Client mit Hilfe der Ressource ausführen möchte. Beispielsweise ist dem Client12a eine Betriebsmitteloperation15 zugeordnet, welche eine Operation zum Zugreifen auf eine Datei, die sich auf einem Dateisystem befindet, zum Kommunizieren über ein Modem, zum Drucken von Unterlagen mit Hilfe von Printerressourcen oder eine andere Operation darstellen kann. - Jeder Client
12a bis12n kann eine Authentifizierungs-Anforderung erzeugen, welche Authentifizierungsnachweise für die Authentifizierung umfaßt. Zum Beispiel erzeugt der Client12a eine Authentifizierungs-Anforderung31 , welche die Authentifizierungsnachweise11 umfaßt. Die Anforderung31 wird an den Server16 gerichtet, so daß die Identität des Client12a durch den Server authentifiziert werden kann, wenn eine Verbindung mit dem Server über das Netzwerk14 hergestellt wird. Die Authentifizierungsnachweise können einen Namen und ein Paßwort umfassen, die dem Client12a zugewiesen sind. Alternativ können die Authentifizierungsnachweise11 dadurch implementiert werden, daß ein Paar von privaten und öffentlichen Schlüsseln verwendet wird, wie es in der Public Key Infrastructure (PKI; Infrastruktur öffentlicher Schlüssel) verwendet wird. - Jeder Client
12a bis12n kann Betriebsmittelanforderungen über das Netzwerk14 erzeugen, um auf die Betriebsmittel18a bis18n , die von dem Server verwaltet werden, zuzugreifen. Zum Beispiel kann der Client12a eine Betriebsmittelanforderung32 erzeugen. Die Betriebsmittelanforderung32 umfaßt die Autorisierungsnachweise13 , die von dem Server16 verwendet werden, um festzustellen, ob der Client die Erlaubnis hat, auf das oder die angeforderten Betriebsmittel zuzugreifen. Die Autorisierungsnachweise13 können implementiert werden, indem eine Autorisierungszertifikat-Technik verwendet wird, wie das Verfahren, daß in der Simple Public Key Infrastructure (SPKI; einfache Infrastruktur öffentlicher Schlüssel) verwendet wird. Zusätzlich kann die Betriebsmittelanforderung32 Informationen umfassen, welche für eine Operation stehen, die unter Verwendung des angegebenen Betriebsmittels ausgeführt werden soll. - Ein Client, wie der Client
12a , kann seine Autorisierungsnachweise13 auf einen zweiten Client delegieren. Mit Hilfe dieser Delegationstechnik kann der zweite Client auf den Server mit denselben Autorisierungsnachweisen wie der Client12a zugreifen. Der Server16 behandelt die Nachweise beider Clients in äquivalenter Weise. - Ein Systemadministrator
17 ist für die Verwaltung des Servers16 und seiner Betriebsmittel18a bis18n verantwortlich. Die Verantwortlichkeiten können das Hinzufügen/Löschen der Betriebsmittel18a bis18n zu dem Server16 bzw. von dem Server16 umfassen. Der Administrator kann Verwaltungsfunktionen mit Hilfe eines Anwenderprogramms20 im Zusammenwirken mit einem Betriebssystem (O/S)62 , wie dem Betriebssystem Windows NTTM, durchführen. Diese Programme können in einem Speicher63 , zum Beispiel einem DRAM (Dynamic Random Access Memory/dynamischer Direktzugriffsspeicher), gespeichert sein und durch eine CPU (Central Processing Unit)64 , wie einem Intel Pentium®- Prozessor, ausgeführt werden. Das Anwenderprogramm20 kann eine Benutzerschnittstelle21 umfassen, um eine visuelle Darstellung eines Autorisierungs-Rahmenwerks23 und der zugeordneten Betriebsmittel18a bis18n zur Verfügung zu stellen. Eine Anwenderprogramm-Schnittstelle (API/Application Program Interface)22 kann eine Standardkommunikationsschnittstelle zwischen dem Anwenderprogramm20 und dem Autorisierungs-Rahmenwerk23 bilden. Das Autorisierungs-Rahmenwerk23 umfaßt eine Betriebsmittelautorisierungs-Datenstruktur (Betriebsmittelstruktur)26 , welche verwendet wird, um eine Beziehung zwischen symbolischen Betriebsmittelnamen, die einem jeweiligen Betriebsmittel entsprechen, herzustellen und kann andere Informationen umfassen, welche die Betriebsmittelautorisierung betreffen. - Ein Betriebsmittelmanager
25 ist ein Programmodul, das mit dem Anwenderprogramm20 über den Pfad65 kommunizieren kann und für das Erzeugen und Verwalten der Betriebsmittelstruktur26 über den Pfad29 verantwortlich ist. Er kann auch für das Abbilden von Betriebsmittelanforderungen32 , die von Clients erzeugt werden, auf eine entsprechende das Betriebsmittel betreffende Information verantwortlich sein, die nötig ist, um der Anforderung zu entsprechen. Die Ergebnisse der Abbildungsoperation können zu einem Autorisierungs dienst27 kommuniziert werden, indem eine Betriebsmittelabfrage-Anforderung34 über einen Pfad35 ausgegeben wird. - Der Autorisierungsdienst
27 führt ein Programm aus, das dafür verantwortlich ist, festzustellen, ob der Client12a , der die Betriebsmittelanforderung32 erzeugt hat, autorisiert ist, auf das angeforderte Betriebsmittel18a bis18n zuzugreifen. Der Dienst27 durchsucht die Betriebsmittelstruktur26 und verifiziert, ob der Client12a die erforderliche Autorisierung besitzt, zum Teil auf der Grundlage der Autorisierungsnachweise13 , welche die Betriebsmittelanforderung32 begleiten. - Der Administrator
17 , der als Autor einer Richtlinie (Policy) fungiert, kann auf den Betriebsmittelmanager25 zugreifen, um die Betriebsmittelstruktur26 auf der Grundlage von Autorisierungsrichtlinien zu konstruieren, die sich auf die Betriebsmittel18a bis18n beziehen. Die Richtlinien können festlegen, welche Autorisierungsniveaus die Clients12a bis12n haben müssen, um die geforderte Operation, die in der Betriebsmittelanfrage32 enthalten war, auszuführen. - Wie in
2 gezeigt ist, kann die Betriebsmittelstruktur26 als Datenstruktur nach Art eines gerichteten Graphen implementiert werden, beispielsweise eine Datenstruktur nach Art eines gerichteten Baums. Die Betriebsmittelstruktur26 entspricht einem Betriebsmittelraum, welcher die Namen von Betriebsmitteln und Gruppen von Betriebsmitteln18a bis18n darstellt. Die Betriebsmittelstruktur26 umfaßt eine Hierarchie von Knoten50a bis50n . Ein Stammknoten (root node)50a bildet einen Ankerpunkt für die zusätzlichen Knoten50b bis50n . Jedem Knoten ist ein entsprechender Knotenname51a bis51n und ein Knotenidentifikator52a bis52n zugeordnet. Zum Beispiel besitzt der Knoten 50c den Knotennamen51c „Modem" und den Knotenidentifikator52c „key3". Jeder Knoten50a bis50n kann durch seinen Knotennamen, den Knotenidentifikator oder eine Kombination von beidem adressiert werden. - Die Betriebsmittelstruktur
26 kann durch Betriebsmitteleigentümer, wie einen Verkäufer von Betriebsmitteln, konstruiert werden, der die Knotenidentifikatoren52a bis52n eines Autorisierungszweigs (sub tree) definieren kann. Der Zweig kann anschließend an einem geeigneten Punkt in der Betriebsmittelstruktur durch den Richtlinienautor eingefügt werden. Ein Autorisierungszweig kann eine Teilmenge der Knoten in einer Betriebsmittelstruktur umfassen. Beispielsweise kann ein Zweig den Modem-Zweig umfassen, der durch den Knoten50c als Basis des Zweigs und die Knoten50d und50e als Zweige des Zweigs repräsentiert wird. Alternativ kann der Richtlinienautor von Hand Knoten in die Struktur26 entsprechend der Präferenz des Eigentümers des Betriebsmittels einfügen. Von Hand eingefügte Knoten können Schlüssel umfassen, die dynamisch durch das Anwenderprogramm20 zugewiesen werden. Da jedoch die „Schlüssel" intern generiert sein können und nicht ein wirkliches Paar von öffentlichem und privatem Schlüssel sein müssen, besteht möglicherweise keine Notwendigkeit, ein Vertrauensmodel (trust model) für die internen Schlüssel aufzubauen. - Die Betriebsmittelstruktur
26 unterstützt einen „Mountpoint"-Knoten („mount point" node), an dem der Administrator, der als Richtlinienautor agiert, absteigende Richtlinien (top down policies) zum Zugriff auf ein Betriebsmittel erstellen kann, ohne die internen Details kennen zu müssen, wie der Autorisierungszweig dieses Betriebsmittels strukturiert ist. Der Begriff „Mountpoint" ist analog zu dem Mountpoint und der Zugangsberechtigung bei einem Dateisystem. Zum Beispiel ist der Knoten50d ein Hersteller-Diagnostik-Mountpoint, an dem der Hersteller des Modems einen Satz von Richtlinien vorsehen kann, welche die Rechte vorschreiben, die erforderlich sind, um auf die diagnostischen Merkmale des Betriebsmittels Modem zuzugreifen. - Jeder Knoten
50a bis50n in der Struktur26 kann auch einer entsprechenden Zugriffskontrolliste (ACL; Access Control List)53a bis53n zugeordnet sein, welche entsprechende Autorisierungsnachweise58 und ein Autorisierungsniveau59 umfassen kann. Das Autorisierungsniveau59 bezieht sich auf das Autorisierungsniveau, das erforderlich ist, um auf ein Betriebsmittel zuzugreifen. In einer Implementierung können die Autorisierungsniveaus einen der vier folgenden Werte haben: (1) Owner (Eigentümer), (2) Editor, (3) Reviewer (Besichtiger) oder (4) None (Keine). Das Niveau „Owner" gestattet den vollständigen administrativen Zugriff auf das Betriebsmittel, „Editor" gestattet den Lese/Schreib-Zugriff auf das Betriebsmittel, „Reviewer" gestattet den Lesezugriff auf das Betriebsmittel und „None", welches das Standardniveau bzw. das implizite Niveau ist, verweigert allen Zugriff auf ein Betriebsmittel. Die Berechtigung zum Editieren von Teilen der Betriebsmittelstruktur26 kann durch das Autorisierungsniveau kontrolliert werden. Um das Editieren eines Zweigs, zum Beispiel das Hinzufügen oder Löschen von abgeleiteten Knoten, das Ändern von Namen, Identifikatoren und ACLs, zu gestatten, sollte das Autorisierungsniveau des Knotens auf „Owner" gesetzt sein. - Die Autorisierungsnachweise
58 können ein digitales Zertifikat darstellen, das auf den Nachweisen des Client beruht, der auf das Betriebsmittel zugreifen möchte. Zum Beispiel hat der Knoten50c eine ACL53c mit einem Wert von „key3 (key2=Owner)", was angibt, daß die Autorisierungsnachweise „key3" zu dem Autorisierungsniveau „Owner" und den Autorisierungsnachweisen von „key2" delegiert werden. Die Delegation von Berechtigungsnachweisen wird durch den Pfeil54c angedeutet. Daher würden die Autorisierungsnachweise an dem Knoten50b , die dem Knotenidentifikator52b („key2") entsprechen, überprüft werden, um die Autorisierung festzustellen. Die Pfeile54a bis54n stellen Autorisierungsnachweise dar, die auf einer Delegation einer Berechtigung von einem abgeleiteten Knoten auf einen übergeordneten Knoten beruhen. - Wie in
3 angedeutet ist, erzeugt (100 ) der Client12a eine Betriebsmittelanforderung, die an den Server16 gerichtet ist, über das Netzwerk14 . Für den Zweck der nachfolgenden Erörterung wird davon ausgegangen, daß der Client12a in der Lage ist, mit dem Server16 zu kommunizieren, da der Client bereits durch den Server im Wege einer früheren Authentifizierungsanforderung31 authentifiziert worden ist. Die Betriebsmittelanforderung32 (4 ) umfaßt Autorisierungsnachweise13 , wie ein signiertes digitales Zertifikat, und eine von dem Client angegebene Betriebsmitteloperation15 . Bei diesem Beispiel haben die Autorisierungsnachweise13 den Wert „Dad" und die Betriebsmitteloperation15 hat den Wert „Set Modem Configuration" (Einstellen der Modemkonfiguration). - Nachdem die Betriebsmittelanforderung
32 von dem Server16 empfangen worden ist, bildet (102 ) der Betriebsmittelmanager25 die Betriebsmittelanforderung auf einen Betriebsmittelnamen (oder einen anderen Identifikator) und ein Autorisierungsniveau auf der Grundlage der Information in der Betriebsmittelanforderung ab. - Der Betriebsmittelmanager
25 übersetzt (103 ) eine Anforderung für eine Betriebsmittelabfrage34 , teilweise auf der Grundlage des Inhaltes der Betriebsmittelanforderung32 . Wie in5 gezeigt ist, umfaßt die Betriebsmittelabfrage-Anforderung34 einen Betriebsmittelnamen41 , welcher dem Betriebsmittel entspricht, das aus der Betriebsmitteloperation15 der Betriebsmittelanforderung32 abgeleitet worden ist. Die Anforderung34 umfaßt auch ein Autorisierungsniveau42 , welches die Erlaubnis darstellt, die für den Client nötig ist, um die erforderliche Operation auszuführen. Zusätzlich identifiziert die Anforderung34 die Autorisie rungsnachweise43 , welche den Autorisierungsnachweisen13 in der Betriebsmittelanforderung32 entsprechen. - Zum Beispiel würde unter Verwendung der vorangehenden Betriebsmittelanforderung
32 der4 der Betriebsmittelmanager25 festlegen, daß (1) der Betriebsmittelname41 „key3/User config" ist, der aus der Betriebsmitteloperation15 „Set Modem Configuration" abgeleitet ist, (2) „Owner" das erforderliche Autorisierungsniveau42 eines speziellen Betriebsmittelknotens in der Struktur26 ist und (3) „Dad" der Autorisierungsnachweis43 ist, welcher dem Autorisierungsnachweis13 entspricht, der in der Betriebsmittelanforderung32 identifiziert worden ist. Der Betriebsmittelmanager25 verfolgt die Information, die sich auf die Betriebsmittelstruktur26 bezieht, einschließlich der Betriebsmittelnamen und der zugehörigen Autorisierungsniveaus. - Wie in
3 angedeutet ist, übermittelt (104 ) der Betriebsmittelmanager25 die Betriebsmittelabfrage-Anforderung34 an den Autorisierungsdienst27 . Bei Empfang der Anforderung34 sucht der Autorisierungsdienst27 nach dem Betriebsmittelnamen in der Betriebsmittelstruktur26 und wertet (106 ) die Autorisierungsnachweise und das Autorisierungsniveau des Client anhand der Autorisierungsinformation in der ACL an dem entsprechenden Knoten aus. Wenn zum Beispiel die Betriebsmittelabfrage-Anforderung34 verwendet würde, die in5 dargestellt ist, würde der Autorisierungsdienst27 die Ressourcenstruktur26 durchsuchen und feststellen, daß der Knoten50e den Knotennamen51e „user config" und einen Knotenidentifikator52e „key5" besitzt. Der Knoten50e ist ein abgeleiteter Knoten des übergeordneten Knotens50c , was durch den Pfeil54e angedeutet ist. - Wenn das Ergebnis der Auswertung ergibt (
108 ), daß der Client auf der Grundlage der Information in der ACL autorisiert ist, auf das Betriebsmittel zuzugreifen, gibt der Autorisierungsdienst27 eine Erfolgsmeldung an den Betriebsmittelmanager25 zurück (110 ). Der Betriebsmittelmanager25 kann die Operation, die von dem Client gefordert worden war, ausführen (112 ), da der Client autorisiert worden ist. - Wenn man die Betriebsmittelanforderung
32 der4 verwendet, würde der Autorisierungsdienst27 die Knoten in der Betriebsmittelstruktur26 durchlaufen und den Satz der Nachweise „key5 (key3=owner)", beginnend an dem Knoten50e , verarbeiten, dem Pfeil54e zu den Nachweisen des Knotens50c „key3 (key2=owner)" folgen und dem Pfeil54c zu dem Knoten 50b folgen und Bezug auf ACL2 „key2 (Dad=Owner)" nehmen. Wenn der Client einen Autorisierungsnachweis besitzt, der auf den Wert „Dad" gesetzt ist, ist er als „Owner" berechtigt, die Operation „Set Modem Configuration" auszuführen. - Wenn andererseits (in Block
108 ) die dem Knoten zugeordnete ACL dem Client keinen Zugriff gewährt, sucht (114 ) der Autorisierungsdienst27 nach einem übergeordneten Knoten mit einer ACL mit einem hinreichend hohen Autorisierungsniveau, um dem Client den Zugriff auf das Betriebsmittel zu gestatten. Wenn ein übergeordneter Knoten gefunden wird, werden die ACL, das zugeordnete Autorisierungsniveau und Autorisierungsnachweise zu dem Autorisierungsdienst27 weitergeleitet. Der Prozeß würde dann zu dem Block106 zurückkehren, wo der Autorisierungsdienst27 Nachweise des Client mit Information in der ACL vergleicht. - Wenn jedoch (in Block
114 ) die Suchergebnisse anzeigen, daß kein übergeordneter Knoten mit einer auf einem hinreichend hohen Autorisierungsniveau vererbten ACL existiert, gibt der Autorisierungsdienst27 eine Fehlermeldung an den Betriebsmittelmanager25 zurück. Dem Betriebsmittelmanager wird der Zugriff auf das Betriebsmittel verwehrt (118 ) und er kann die Abweisung an den Client kommunizieren. - Wenn ein Client mit Autorisierungsnachweisen, die vorangehend identifiziert worden sind, wieder versuchen würde, auf den „Mountpoint", welcher dem Knoten
50d entspricht, Zugriff zu nehmen, würde dem Client der Zugriff verwehrt werden, da der Knoten50d nur das Autorisierungsniveau „Reviewer" an seinen übergeordneten Knoten50c delegiert, was durch den Pfeil54d gezeigt ist. Der Knoten50c besitzt eine ACL3 mit einem Wert „key3 (key2=owner)", was angibt, daß die Nachweise an den Knoten50b delegiert worden sind, was durch den Pfeil54c gezeigt ist. Bezug nehmend auf den Knoten50b mit dem Knotennamen5lb „DenPC", autorisiert die Zuordnung des Autorisierungsniveaus „key2 (Dad=Owner)" in ACL53b daher nicht „Dad", auf den „Mountpoint"-Knoten50d zuzugreifen. - Unter Verwendung der vorangehend genannten Techniken kann ein Verkäufer von Betriebsmitteln, wie ein Hersteller, seinen eigenen öffentlichen bzw. privaten Schlüssel erzeugen und von dem Client verlangen, daß der Schlüssel verwendet wird, um Zugriff auf bestimmte Eigenschaften des Modems, wie die Diagnostikmerkmale des Modems, Zugriff zu nehmen. Durch das Begrenzen des Zugriffs auf Diagnostikmerkmale auf autorisierte Clients kann der Hersteller das Autorisierungs-Rahmenwerk
23 verwenden, um Zollsicherheitsvorschriften umzusetzen. - Die vorangehenden Techniken können es gestatten, daß die Autorisierung von mehreren Anwendungen geteilt wird, was verteilte Systeme umfaßt, die verschiedene administrative Domänen überspannen. Weiterhin können die Techniken angewendet werden, um Probleme zu lösen, die sich auf die Sicherung von Dienstvermittlungsplattformen für den Verbrauchermarkt beziehen. Die Techniken können auch im Kontext von Lösungen des elektronischen Geschäftsverkehrs („E-Business") entweder für Business to Business- oder Business to Consumer-Dienstanwendungen verwendet werden, wobei die Endpunkte der Kommunikation inhärent Teil von verschiedenen administrativen Domänen sind.
- Auch wenn vier Autorisierungsniveaus vorangehend erörtert wurden, ist es möglich, die Granularität der Niveaus zu erhöhen.
- Verschiedene Eigenschaften des Systems können in Hardware, Software oder in einer Kombination von Hardware und Software implementiert werden. Beispielsweise können einige Aspekte des Systems in Computerprogrammen implementiert werden, die auf programmierbaren Computern laufen. Jedes Programm kann in einer prozedurorientierten oder objektorientierten Hochprogrammiersprache implementiert sein, um mit einem Computersystem zu kommunizieren. Weiterhin kann jedes solches Computerprogramm auch auf einem Speichermedium gespeichert sein, beispielsweise einem Festwertspeicher (ROM), das von einem programmierbaren Universalprozessor oder Spezialprozessor gelesen werden kann, um den Computer zu konfigurieren und zu betreiben, wenn das Speichermedium von dem Computer gelesen wird, um die vorangehend beschriebenen Funktionen auszuführen.
- Andere Implementierungen liegen im Umfang der folgenden Ansprüche.
- Zusammenfassung
- Eine Betriebsmittelautorisierung umfaßt das Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager. Die Betriebsmittelanforderung umfaßt Nachweise und identifiziert eine Operation, die bezüglich eines Betriebsmittels auszuführen ist. Die Betriebsmittelanforderung wird auf einen Betriebsmittel-Identifikator abgebildet und die Betriebsmittel-Datenstruktur wird nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators durchsucht. Es wird bestimmt, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsniveau entsprechen, das dem Betriebsmittelknoten zugeordnet ist.
Claims (30)
- Verfahren, welches umfaßt: - Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, die bezüglich eines Betriebsmittels ausgeführt werden soll, - Abbilden der Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator, - Durchsuchen einer Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators und - Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels auszuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
- Verfahren nach Anspruch 1, bei dem das Suchen das Durchsuchen von Betriebsmittelknoten umfaßt, welche jeweils ein Betriebsmittel darstellen und einen Betriebsmittel-Identifikator umfassen.
- Verfahren nach Anspruch 1, bei dem das Durchsuchen das Durchsuchen einer Struktur entsprechend einem gerichteten Graphen umfaßt.
- Verfahren nach Anspruch 1, bei dem das Empfangen einer Betriebsmittelanforderung das Empfangen eines digitalen Zertifikats umfaßt, welches konform zu einer SPKI ist.
- Verfahren nach Anspruch 1, bei dem das Abbilden das Abbilden der Betriebsmittelanforderung auf den Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter umfaßt, der ein Owner-Niveau umfaßt, welches vollständigen Zugriff auf das Betriebsmittel gestattet.
- Verfahren nach Anspruch 1, bei dem das Abbilden das Abbilden der Betriebsmittelanforderung auf den Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter umfaßt, der ein Editor-Niveau umfaßt, welches einen Lese/Schreib-Zugriff auf das Betriebsmittel gestattet.
- Verfahren nach Anspruch 1, bei dem das Abbilden das Abbilden der Betriebsmittelanforderung auf den Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter umfaßt, der ein Reviewer-Niveau umfaßt, welches ausschließlich einen Lesezugriff auf das Betriebsmittel gestattet.
- Verfahren nach Anspruch 1, bei dem das Abbilden das Abbilden der Betriebsmittelanforderung auf den Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter umfaßt, welcher ein None-Niveau umfaßt, welches jeglichen Zugriff auf das Betriebsmittel verweigert.
- Verfahren nach Anspruch 1, welches das Delegieren der Nachweise eines abgeleiteten Knotens auf einen übergeordneten Knoten in der Betriebsmittel-Datenstruktur umfaßt.
- Verfahren nach Anspruch 9, bei dem die Betriebsmittelanforderung auf der Grundlage der delegierten Nachweise gehandhabt wird.
- Verfahren nach Anspruch 1, bei dem die Betriebsmittelanforderung von einem Client-Computer stammt und an einen Server-Computer über ein Netzwerk gerichtet wird.
- Vorrichtung, welche umfaßt: - einen Speicher zum Speichern einer Betriebsmitteldatenstruktur mit Betriebsmittelknoten, welche jeweils ein entsprechendes Betriebsmittel darstellen und einen entsprechenden Betriebsmittel-Identifikator und einen Betriebsmittelautorisierungs-Parameter aufweisen, und - einen Prozessor, der für Folgendes konfiguriert ist: - Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, die hinsichtlich eines Betriebsmittels vorgenommen werden soll, - Abbilden der Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator, - Durchsuchen der Betriebsmittel-Datenstruktur nach einem Betriebsmitteknoten auf der Grundlage des Betriebsmittel-Identifikators und - Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels durchzuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsparameter entsprechen, welcher dem Betriebsmittelknoten zugeordnet ist.
- Vorrichtung nach Anspruch 12, bei dem die Betriebsmittel-Datenstruktur eine Struktur entsprechend einem gerichteten Graphen umfaßt.
- Vorrichtung nach Anspruch 12, bei dem die Nachweise ein digitales Zertifikat umfassen, das konform zu einer SPKI ist.
- Vorrichtung nach Anspruch 12, bei dem das Betriebsmittel-Autorisierungsniveau ein „Owner"-Niveau umfaßt, welches den vollständigen Zugriff auf das Betriebsmittel gestattet.
- Vorrichtung nach Anspruch 12, bei dem das Betriebsmittel-Autorisierungsniveau ein „Editor"-Niveau umfaßt, welches einen Lese/Schreib-Zugriff auf das Betriebsmittel gestattet.
- Vorrichtung nach Anspruch 12, bei dem das Betriebsmittel-Autorisierungsniveau ein „Reviewer"-Niveau umfaßt, welches ausschließlich einen Lesezugriff auf das Betriebsmittel autorisiert.
- Vorrichtung nach Anspruch 12, bei dem das Betriebsmittel-Autorisierungsniveau ein „None"-Niveau umfaßt, welches jeglichen Zugriff auf das Betriebsmittel verweigert.
- Vorrichtung nach Anspruch 12, bei dem die Betriebsmittel-Datenstruktur die Delegation eines Betriebsmittel-Autorisierungsniveaus von einem abgeleiteten Knoten auf einen übergeordneten Knoten umfaßt.
- System, welches umfaßt: - einen ersten Computer, der einem ersten Nachfrager entspricht und so konfiguriert ist, daß er Betriebsmittelanforderungen mit Nachweisen erzeugt, - einen zweiten Computer, der einen Speicher umfaßt, der eine Betriebsmittel-Datenstruktur mit Betriebsmittelknoten speichert, welche jeweils ein entsprechendes Betriebsmittel darstellen und einen entsprechenden Betriebsmittel-Identifikator und ein Betriebsmittel-Autorisierungsniveau aufweisen, wobei der zweite Computer für Folgendes konfiguriert ist: - Empfangen einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, welche bezüglich eines Betriebsmittels ausgeführt werden soll, - Abbilden der Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator, - Durchsuchen der Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittels-Identifikators und - Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels durchzuführen, auf der Grundlage dessen, ob die Berechtigungsnachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsniveau entsprechen, das dem Betriebsmittelknoten zugeordnet ist, und - ein Netzwerk, über welches der erste und zweite Computer miteinander kommunizieren.
- System nach Anspruch 20, bei dem die Betriebsmittel-Datenstruktur eine Struktur entsprechend einem gerichteten Graphen umfaßt.
- System nach Anspruch 20, bei dem die Berechtigungsnachweise ein digitales Zertifikat umfassen, welches konform zu einer SPKI ist.
- System nach Anspruch 20, bei dem das Betriebsmittel-Autorisierungsniveau ein Niveau aus der Gruppe umfaßt, die aus Owner-Niveau, Editor-Niveau, Reviewer-Niveau, None-Niveau besteht.
- System nach Anspruch 20, welches die Delegation der Nachweise von einem abgeleiteten Knoten auf einen übergeordneten Knoten umfaßt.
- System nach Anspruch 20, welches die Delegation von Nachweisen, die einem ersten Nachfrager zugeordnet sind, auf einen zweiten Nachfrager umfaßt, wobei der zweite Nachfrager Betriebsmittel unter Verwendung der Nachweise von dem ersten Nachfrager anfordern kann, als ob er der erste Nachfrager wäre.
- Artikel, welcher ein computerlesbares Medium umfaßt, das von einem Computer ausführbare Anweisungen zum Veranlassen eines Computers zu Folgendem umfaßt: - Abbilden einer Betriebsmittelanforderung auf einen Betriebsmittel-Identifikator in Antwort auf den Empfang einer Betriebsmittelanforderung von einem ersten Nachfrager, wobei die Betriebsmittelanforderung Nachweise umfaßt und eine Operation identifiziert, welche bezüglich eines Betriebsmittels ausgeführt werden soll, - Durchsuchen einer Betriebsmittel-Datenstruktur nach einem Betriebsmittelknoten auf der Grundlage des Betriebsmittel-Identifikators, und - Bestimmen, ob der erste Nachfrager autorisiert ist, die Operation bezüglich des Betriebsmittels durchzuführen, auf der Grundlage dessen, ob die Nachweise in der Betriebsmittelanforderung einem Betriebsmittel-Autorisierungsniveau entsprechen, welches dem Betriebsmittelknoten zugeordnet ist.
- Artikel nach Anspruch 26, welcher Anweisungen zum Veranlassen des Computersystems zum Besitzen einer Datenstruktur entsprechend einem gerichteten Graphen mit Betriebsmittelknoten, welche Betriebsmittel darstellen und einen Betriebsmittel-Identifikator und ein Betriebsmittel-Autorisierungsniveau umfassen, aufweist.
- Artikel nach Anspruch 26, welcher Anweisungen zum Veranlassen des Computersystems zum Besitzen von digitalen Zertifikaten, welche konform zu einer SPKI sind, aufweist.
- Artikel nach Anspruch 26, welcher Anweisungen zum Veranlassen des Computersystems zum Delegieren der Nachweise eines abgeleiteten Knotens auf einen übergeordneten Knoten umfaßt.
- Artikel nach Anspruch 26, welcher Anweisungen zum Veranlassen des Computersystems zum Delegieren der Nachweise, die einen erstem Nachfrager zugeordnet sind, auf einen zweiten Nachfrager, um dem zweiten Nachfrager es zu gestatten, Ressourcen unter Verwendung der Nachweise des ersten Nachfragers anzufordern, als ob er der erste Nachfrager wäre, umfaßt.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/854,437 | 2001-05-11 | ||
US09/854,437 US7107610B2 (en) | 2001-05-11 | 2001-05-11 | Resource authorization |
PCT/US2002/014775 WO2002093872A1 (en) | 2001-05-11 | 2002-05-09 | Method and system for authorizing access to resources on a server |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10296804T5 true DE10296804T5 (de) | 2004-04-22 |
DE10296804B4 DE10296804B4 (de) | 2015-11-26 |
Family
ID=25318689
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10296804.7T Expired - Fee Related DE10296804B4 (de) | 2001-05-11 | 2002-05-09 | Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server |
Country Status (6)
Country | Link |
---|---|
US (1) | US7107610B2 (de) |
CN (1) | CN100488190C (de) |
DE (1) | DE10296804B4 (de) |
HK (1) | HK1064839A1 (de) |
TW (1) | TWI223949B (de) |
WO (1) | WO2002093872A1 (de) |
Families Citing this family (78)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7882555B2 (en) * | 2001-03-16 | 2011-02-01 | Kavado, Inc. | Application layer security method and system |
US20030079134A1 (en) * | 2001-10-23 | 2003-04-24 | Xerox Corporation | Method of secure print-by-reference |
IL149583A0 (en) * | 2002-05-09 | 2003-07-06 | Kavado Israel Ltd | Method for automatic setting and updating of a security policy |
US7797744B2 (en) * | 2002-06-17 | 2010-09-14 | At&T Intellectual Property Ii, L.P. | Method and device for detecting computer intrusion |
US7823203B2 (en) * | 2002-06-17 | 2010-10-26 | At&T Intellectual Property Ii, L.P. | Method and device for detecting computer network intrusions |
US8375113B2 (en) * | 2002-07-11 | 2013-02-12 | Oracle International Corporation | Employing wrapper profiles |
AU2003257336A1 (en) * | 2002-08-19 | 2004-03-03 | Research In Motion Limited | System and method for secure control of resources of wireless mobile communication device |
US7373662B2 (en) * | 2002-08-27 | 2008-05-13 | Hewlett-Packard Development Company, L.P. | Secure resource access |
US7167586B2 (en) * | 2002-09-30 | 2007-01-23 | Pitney Bowes Inc. | Method and system for remote form completion |
US7343042B2 (en) * | 2002-09-30 | 2008-03-11 | Pitney Bowes Inc. | Method and system for identifying a paper form using a digital pen |
US7546633B2 (en) * | 2002-10-25 | 2009-06-09 | Microsoft Corporation | Role-based authorization management framework |
US7454622B2 (en) * | 2002-12-31 | 2008-11-18 | American Express Travel Related Services Company, Inc. | Method and system for modular authentication and session management |
US7343628B2 (en) * | 2003-05-28 | 2008-03-11 | Sap Ag | Authorization data model |
US7827595B2 (en) * | 2003-08-28 | 2010-11-02 | Microsoft Corporation | Delegated administration of a hosted resource |
EP1526423A1 (de) * | 2003-10-20 | 2005-04-27 | Bayer Aktiengesellschaft | Verfahren zur SAP Benutzerauthentifikationssystemprüfung |
US7111230B2 (en) * | 2003-12-22 | 2006-09-19 | Pitney Bowes Inc. | System and method for annotating documents |
US8078705B2 (en) * | 2004-04-05 | 2011-12-13 | Hewlett-Packard Development Company, L.P. | Key-configured topology with connection management |
WO2005106675A1 (en) * | 2004-05-03 | 2005-11-10 | Research In Motion Limited | System and method for application authorization |
US7549171B2 (en) * | 2004-06-10 | 2009-06-16 | Hitachi, Ltd. | Method and apparatus for validation of application data on a storage system |
US7617501B2 (en) | 2004-07-09 | 2009-11-10 | Quest Software, Inc. | Apparatus, system, and method for managing policies on a computer having a foreign operating system |
US7480931B2 (en) * | 2004-07-24 | 2009-01-20 | Bbs Technologies, Inc. | Volume mount authentication |
US7506363B2 (en) * | 2004-08-26 | 2009-03-17 | Ineternational Business Machines Corporation | Methods, systems, and computer program products for user authorization levels in aggregated systems |
JP3859667B2 (ja) * | 2004-10-26 | 2006-12-20 | 株式会社日立製作所 | データ通信方法およびシステム |
JP4471937B2 (ja) * | 2005-02-07 | 2010-06-02 | 株式会社ソニー・コンピュータエンタテインメント | プロセッサのリソース管理によるコンテンツ制御方法および装置 |
US8631476B2 (en) * | 2005-03-31 | 2014-01-14 | Sap Ag | Data processing system including explicit and generic grants of action authorization |
JP4975035B2 (ja) * | 2005-09-16 | 2012-07-11 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 暗号化による役割ベースのアクセス制御 |
JP4635855B2 (ja) * | 2005-12-13 | 2011-02-23 | 株式会社日立製作所 | データ通信方法およびシステム |
US7512792B2 (en) * | 2005-12-15 | 2009-03-31 | International Business Machines Corporation | Reference monitor method for enforcing information flow policies |
US7647630B2 (en) * | 2005-12-15 | 2010-01-12 | International Business Machines Corporation | Associating security information with information objects in a data processing system |
US20070143601A1 (en) * | 2005-12-15 | 2007-06-21 | Arroyo Diana J | System and method for authorizing information flows |
US7904949B2 (en) | 2005-12-19 | 2011-03-08 | Quest Software, Inc. | Apparatus, systems and methods to provide authentication services to a legacy application |
US7913162B2 (en) * | 2005-12-20 | 2011-03-22 | Pitney Bowes Inc. | System and method for collaborative annotation using a digital pen |
US20070143291A1 (en) * | 2005-12-21 | 2007-06-21 | International Business Machines Corporation | Utilizing component targets in defining roles in a distributed and integrated system or systems |
US8447829B1 (en) * | 2006-02-10 | 2013-05-21 | Amazon Technologies, Inc. | System and method for controlling access to web services resources |
US8996482B1 (en) | 2006-02-10 | 2015-03-31 | Amazon Technologies, Inc. | Distributed system and method for replicated storage of structured data records |
US8087075B2 (en) | 2006-02-13 | 2011-12-27 | Quest Software, Inc. | Disconnected credential validation using pre-fetched service tickets |
JP4561671B2 (ja) * | 2006-03-30 | 2010-10-13 | 株式会社日立製作所 | データ通信方法およびシステム |
US8429712B2 (en) | 2006-06-08 | 2013-04-23 | Quest Software, Inc. | Centralized user authentication system apparatus and method |
US8326296B1 (en) | 2006-07-12 | 2012-12-04 | At&T Intellectual Property I, L.P. | Pico-cell extension for cellular network |
US7865464B2 (en) | 2006-09-29 | 2011-01-04 | Presenceid, Inc. | Systems and methods for notifying multiple systems and applications of changes to data attributes |
US7788708B2 (en) | 2006-10-02 | 2010-08-31 | Presenceid, Inc. | Systems and methods for delegating information technology authorization to at least one other person |
US8103673B2 (en) * | 2006-10-02 | 2012-01-24 | Presenceid, Inc. | Systems and methods for provisioning content from multiple sources to a computing device |
WO2008042907A2 (en) * | 2006-10-02 | 2008-04-10 | Presenceid, Inc. | Systems and methods for managing identities in a database system |
US8086710B2 (en) | 2006-10-30 | 2011-12-27 | Quest Software, Inc. | Identity migration apparatus and method |
US7895332B2 (en) | 2006-10-30 | 2011-02-22 | Quest Software, Inc. | Identity migration system apparatus and method |
US8196191B2 (en) | 2007-08-17 | 2012-06-05 | Norman James M | Coordinating credentials across disparate credential stores |
US8863246B2 (en) * | 2007-08-31 | 2014-10-14 | Apple Inc. | Searching and replacing credentials in a disparate credential store environment |
US9471801B2 (en) * | 2007-11-29 | 2016-10-18 | Oracle International Corporation | Method and apparatus to support privileges at multiple levels of authentication using a constraining ACL |
US20090217367A1 (en) * | 2008-02-25 | 2009-08-27 | Norman James M | Sso in volatile session or shared environment |
US8490156B2 (en) | 2008-05-13 | 2013-07-16 | At&T Mobility Ii Llc | Interface for access management of FEMTO cell coverage |
US8719420B2 (en) | 2008-05-13 | 2014-05-06 | At&T Mobility Ii Llc | Administration of access lists for femtocell service |
GB2473173B (en) * | 2008-06-18 | 2012-11-07 | Ericsson Telefon Ab L M | Method and device for uniform resource identifier handling of user device |
US8788681B1 (en) * | 2008-08-25 | 2014-07-22 | Symantec Corporation | Method and apparatus for autonomously managing a computer resource using a security certificate |
JP4677480B2 (ja) * | 2008-09-12 | 2011-04-27 | 株式会社沖データ | 情報処理システム |
US8255984B1 (en) | 2009-07-01 | 2012-08-28 | Quest Software, Inc. | Single sign-on system for shared resource environments |
US8510801B2 (en) | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
US8418237B2 (en) | 2009-10-20 | 2013-04-09 | Microsoft Corporation | Resource access based on multiple credentials |
US8789205B2 (en) * | 2010-04-21 | 2014-07-22 | Microsoft Corporation | Role-based graphical user interfaces |
US8676844B2 (en) * | 2010-05-26 | 2014-03-18 | Hewlett-Packard Development Company, L.P. | Graph authorization |
EP2453631B1 (de) | 2010-11-15 | 2016-06-22 | BlackBerry Limited | Datequellenbasierte Anwendungs-Sandboxing |
JP5850382B2 (ja) | 2011-12-28 | 2016-02-03 | インテル・コーポレーション | ウェブ認証を用いるクライアントプラットフォームの信頼のルート |
US11817939B2 (en) | 2012-03-31 | 2023-11-14 | Intel Corporation | Proximate communication with a target device |
US9667360B2 (en) * | 2012-03-31 | 2017-05-30 | Intel Corporation | Proximate communication with a target device |
EP2832007B1 (de) | 2012-03-31 | 2020-07-29 | Intel Corporation | Nahkommunikation mit einer zielvorrichtung |
US8844026B2 (en) | 2012-06-01 | 2014-09-23 | Blackberry Limited | System and method for controlling access to secure resources |
US9813423B2 (en) | 2013-02-26 | 2017-11-07 | International Business Machines Corporation | Trust-based computing resource authorization in a networked computing environment |
US20150288762A1 (en) * | 2013-03-22 | 2015-10-08 | Hitachi, Ltd. | File storage system and method for managing user data |
US10182351B2 (en) * | 2013-11-29 | 2019-01-15 | Lg Electronics Inc. | Method for service subscription resource-based authentication in wireless communication system |
US10271296B2 (en) * | 2014-10-23 | 2019-04-23 | Lg Electronics Inc. | Method for changing schedule information in wireless communication system and device therefor |
US20160352773A1 (en) * | 2015-06-01 | 2016-12-01 | Phantom Cyber Corporation | Security action verification in a computing network |
US11683213B2 (en) * | 2018-05-01 | 2023-06-20 | Infra FX, Inc. | Autonomous management of resources by an administrative node network |
US10977380B2 (en) * | 2018-05-25 | 2021-04-13 | Uptake Technologies, Inc. | Hybrid role and attribute based access control system |
US11245701B1 (en) | 2018-05-30 | 2022-02-08 | Amazon Technologies, Inc. | Authorization pre-processing for network-accessible service requests |
US11140166B2 (en) | 2018-10-15 | 2021-10-05 | Uptake Technologies, Inc. | Multi-tenant authorization |
CN110058948B (zh) * | 2019-04-28 | 2022-01-28 | 恒生电子股份有限公司 | 一种资源监控方法、装置、设备及介质 |
WO2021124342A1 (en) * | 2019-12-19 | 2021-06-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Resource authorization |
CN112261058A (zh) * | 2020-03-16 | 2021-01-22 | 陈力 | 智能家居访问授权方法、智能家居系统及服务器 |
US11921842B2 (en) | 2021-06-14 | 2024-03-05 | Kyndryl, Inc. | Multifactor authorization on accessing hardware resources |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5649099A (en) * | 1993-06-04 | 1997-07-15 | Xerox Corporation | Method for delegating access rights through executable access control program without delegating access rights not in a specification to any intermediary nor comprising server security |
US5802590A (en) * | 1994-12-13 | 1998-09-01 | Microsoft Corporation | Method and system for providing secure access to computer resources |
US5764890A (en) | 1994-12-13 | 1998-06-09 | Microsoft Corporation | Method and system for adding a secure network server to an existing computer network |
US5689708A (en) * | 1995-03-31 | 1997-11-18 | Showcase Corporation | Client/server computer systems having control of client-based application programs, and application-program control means therefor |
GB2301912A (en) * | 1995-06-09 | 1996-12-18 | Ibm | Security for computer system resources |
US5941947A (en) | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
US6067623A (en) * | 1997-11-21 | 2000-05-23 | International Business Machines Corp. | System and method for secure web server gateway access using credential transform |
US6141754A (en) * | 1997-11-28 | 2000-10-31 | International Business Machines Corporation | Integrated method and system for controlling information access and distribution |
CA2228687A1 (en) * | 1998-02-04 | 1999-08-04 | Brett Howard | Secured virtual private networks |
US6279111B1 (en) * | 1998-06-12 | 2001-08-21 | Microsoft Corporation | Security model using restricted tokens |
US6182142B1 (en) | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
US6601171B1 (en) * | 1999-02-18 | 2003-07-29 | Novell, Inc. | Deputization in a distributed computing system |
EP1166522A1 (de) | 1999-03-15 | 2002-01-02 | Texar Software Corp. | Ein gesichertes netzwerk |
US6226752B1 (en) * | 1999-05-11 | 2001-05-01 | Sun Microsystems, Inc. | Method and apparatus for authenticating users |
US6668322B1 (en) * | 1999-08-05 | 2003-12-23 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
GB2357225B (en) * | 1999-12-08 | 2003-07-16 | Hewlett Packard Co | Electronic certificate |
US7076804B2 (en) * | 2001-05-11 | 2006-07-11 | International Business Machines Corporation | Automated program resource identification and association |
US6957261B2 (en) * | 2001-07-17 | 2005-10-18 | Intel Corporation | Resource policy management using a centralized policy data structure |
-
2001
- 2001-05-11 US US09/854,437 patent/US7107610B2/en not_active Expired - Fee Related
-
2002
- 2002-05-09 WO PCT/US2002/014775 patent/WO2002093872A1/en not_active Application Discontinuation
- 2002-05-09 DE DE10296804.7T patent/DE10296804B4/de not_active Expired - Fee Related
- 2002-05-09 CN CNB028095871A patent/CN100488190C/zh not_active Expired - Fee Related
- 2002-05-10 TW TW091109792A patent/TWI223949B/zh not_active IP Right Cessation
-
2004
- 2004-10-07 HK HK04107702.0A patent/HK1064839A1/xx not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
TWI223949B (en) | 2004-11-11 |
CN1507732A (zh) | 2004-06-23 |
US20020169986A1 (en) | 2002-11-14 |
DE10296804B4 (de) | 2015-11-26 |
CN100488190C (zh) | 2009-05-13 |
HK1064839A1 (en) | 2005-02-04 |
WO2002093872A1 (en) | 2002-11-21 |
US7107610B2 (en) | 2006-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10296804B4 (de) | Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server | |
DE112011101729B4 (de) | Verwaltung von Ressourcenzugriff | |
DE60309553T2 (de) | Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang | |
DE112010003464B4 (de) | Modifikation von Zugangskontrolllisten | |
DE602004012870T2 (de) | Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung | |
DE60314871T2 (de) | Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters | |
DE69921455T2 (de) | System und verfahren zur zugriffssteuerung auf gespeicherte dokumente | |
DE112017004033T5 (de) | Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen | |
DE69816400T2 (de) | Verteiltes Objektsystem und Verfahren zum Anbieten von Dienstleistungen darin | |
DE19741239C2 (de) | Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren | |
DE112018005203T5 (de) | Authentifizierung unter Verwendung von delegierten Identitäten | |
DE112017007393T5 (de) | System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung | |
DE112018004411T5 (de) | Zugriffssteuerung in mikrodienst-architekturen | |
DE112020000538T5 (de) | Feinkörnige zugriffskontrolle auf token-grundlage | |
DE112012002729T5 (de) | Zero-Sign-On-Authentifizierung | |
DE10213505A1 (de) | Verfahren und System zur globalen Beschränkung des Zugangs von Klienten zu einer gesicherten Website | |
DE112011101357T5 (de) | Dynamisches Token für den vorübergehenden Datenzugriff | |
DE112011102224B4 (de) | Identitätsvermittlung zwischen Client- und Server-Anwendungen | |
DE102014206325A1 (de) | Verteiltes Authentifizierungssystem | |
DE112021002245T5 (de) | Verhindern einer unberechtigten bereitstellung von paketen in clustern | |
DE112016002392T5 (de) | Autorisierung in einem verteilten System unter Verwendung von Zugriffssteuerungslisten und Gruppen | |
DE112017002794T5 (de) | Verfahren und vorrichtung zum ausstellen eines berechtigungsnachweises für ein incident area network | |
DE60309216T2 (de) | Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs | |
WO2013017394A1 (de) | Zugangsregelung für daten oder applikationen eines netzwerks | |
DE112021005656T5 (de) | Analyse der rollenerreichbarkeit mit transitiven tags |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law |
Ref document number: 10296804 Country of ref document: DE Date of ref document: 20040422 Kind code of ref document: P |
|
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |