DE112013004285T5 - Priorisierter Token-basierter Arbiter und Verfahren - Google Patents

Priorisierter Token-basierter Arbiter und Verfahren Download PDF

Info

Publication number
DE112013004285T5
DE112013004285T5 DE112013004285.1T DE112013004285T DE112013004285T5 DE 112013004285 T5 DE112013004285 T5 DE 112013004285T5 DE 112013004285 T DE112013004285 T DE 112013004285T DE 112013004285 T5 DE112013004285 T5 DE 112013004285T5
Authority
DE
Germany
Prior art keywords
resource
priority
users
arbiter
metric
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE112013004285.1T
Other languages
English (en)
Inventor
Tyrone D. Bekiares
Craig P. Reilly
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motorola Solutions Inc
Original Assignee
Motorola Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Solutions Inc filed Critical Motorola Solutions Inc
Publication of DE112013004285T5 publication Critical patent/DE112013004285T5/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)
  • Bus Control (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Eine Vorrichtung und ein Verfahren zum Bereitstellen eines Token-basierten Arbiters. Die Vorrichtung enthält einen Prioritäts-Provider (26), der einen Prozessor zum Berechnen einer Arbitermetrik umfasst, und einen Identitäts-Provider (18), der einen Prozessor zum Einbetten der Metrik in einen gesicherten Token umfasst. Die Vorrichtung enthält auch einen Speicher, der mit dem Prozessor gekoppelt ist, mit einer oder mehreren Anweisungen, die von dem Prozessor ausgeführt werden können. Der Prozessor ist betreibbar, wenn er die folgenden Anweisungen ausführt: Sammeln von Autorisierungsattributen (A) von dem einen oder den mehreren Nutzern, die eine Ressource (20) nutzen möchten, welche mit dem Dienst-Provider assoziiert ist; Bestimmen des Prioritätsniveaus für den einen oder die mehreren Nutzer basierend auf einer vorgeschriebenen Richtlinie des Prioritäts-Providers; Zuweisen von wenigstens einer Arbiter-Metrik (22, 32) zu einem gesicherten Token (T) für jeden aus dem einen oder dem mehreren Nutzern basierend auf dem Prioritätsniveau, das durch den Prioritäts-Provider identifiziert wurde.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung bezieht sich auf einen priorisierten Token-basierten Arbiter und ein Verfahren sowie spezieller auf einen fernbasierten Arbiter, der authentifizierten Nutzern Zugriffspriorität zur Verfügung stellt.
  • HINTERGRUND
  • Öffentlich und privat geteilte Ressourcen, wie zum Beispiel feste Überwachungskameras und Controller von Verkehrslichtzeichen, Sensoren, Alarmsysteme und dergleichen genießen Nachfrage, speziell von Ersthelfern (”first responders”). Ersthelfer umfassen, jedoch nicht begrenzt darauf: Polizei; Notfalltechniker oder -sanitäter; Feuerwehrleute; Mitarbeiter privater Sicherheitsdienste; und Mitglieder der Nachbarschaftswache.
  • Ein Verfahren zum Kommunizieren mit geteilten Ressourcen umfasst die Verwendung des Internet oder anderer verteilter Netzwerke, bezüglich der Größe sowohl lokal als auch global. Ein solches Empfangen oder Senden von Information oder Daten mit dem Internet oder verteilten Netzwerken wird durch die große Anzahl von Datenprotokollsprachen möglich gemacht. Ein Beispiel eines Kommunikationsprotokolls, das für den Austausch von gesicherter Information zwischen Parteien verwendet wird, wie zum Bespiel Ersthelfern und geteilten Ressourcen über das Internet oder ein verteiltes Netzwerk umfasst die Security-Assertions-Markup-Sprache (”Security Assertions Markup Language” (”SAML”)).
  • ZUSAMMENFASSUNG
  • Ein Ausführungsbeispiel der vorliegenden Offenbarung umfasst eine Vorrichtung und ein Verfahren zum Nutzen eines Token-basierten Arbiters. Die Vorrichtung enthält einen Prioritäts-Provider, der einen Prozessor zum Einbetten von Arbitermetrik in einen gesicherten Token umfasst. Die Vorrichtung umfasst auch einen Speicher, der mit dem Prozessor gekoppelt ist, mit einer oder mehreren mit dem Prozessor ausführbaren Instruktionen. Der Prozessor ist betreibbar, wenn die folgenden Instruktionen ausgeführt werden: Sammeln von Autorisierungsattributen von einem oder mehreren Nutzern, die eine Ressource verwenden möchten, die mit einem Dienst-Provider assoziiert ist; Bestimmen des Niveaus einer Priorität bezüglich eines oder mehrerer Nutzer basierend auf einer vorgeschriebenen Richtlinie des Prioritäts-Providers; Zuweisen von wenigstens einer Arbitermetrik zu einem gesicherten Token für jeden des einen oder der mehreren Nutzer basierend auf dem Niveau der Priorität, die durch den Prioritäts-Provider identifiziert ist. Die Arbitermetrik schafft ein Prioritätsrecht, um auf eine Ressource zwischen dem einen oder den mehreren Nutzern zuzugreifen.
  • Ein anderes Ausführungsbeispiel der vorliegenden Offenbarung enthält ein System zum Vermitteln (”arbitrating”) von Zugriff zwischen Nutzern einer Ressource. Das System umfasst einen Prioritäts-Provider mit einem oder mehreren Prozessoren zum Berechnen einer Arbitermetrik, einschließlich eines Prioritätsrechts und/oder eines Vorrechts (”preemptive”). Das System umfasst auch einen Identitäts-Provider mit einem oder mehreren Prozessoren zum Einbetten von Attributen in einen gesicherten Token, wobei die Attribute Autorisierungsrechte und/oder Authentifizierungsrechte umfassen, sowie eine Arbitermetrik. Das System enthält auch Speicher, der mit dem einen oder den mehreren Prozessoren gekoppelt ist, der eine oder mehrere Instruktionen umfasst, die mit dem einen oder den mehreren Prozessoren ausführbar sind. Der eine oder die mehreren Prozessoren sind betreibbar, wenn sie die folgenden Instruktionen ausführen: Erkennen wenigstens eines der Attribute in dem gesicherten Token bezüglich des einen oder der mehreren Nutzer, die eine Ressource verwenden möchten; und Bestimmen des Niveaus des Zugriffs des einen oder der mehreren Nutzer basierend auf dem Prioritätsrecht oder dem Vorrecht in dem gesicherten Token relativ zu jedem Nutzer, der Zugriff auf eine Ressource sucht.
  • Ein weiteres Ausführungsbeispiel der vorliegenden Erfindung umfasst ein Verfahren zum Vermitteln von Zugriff zwischen Nutzern einer Ressource. Das Verfahren umfasst die Schritte zum Einbetten einer Arbitermetrik in einen gesicherten Token, wobei der gesicherte Token in ein nicht transientes computerlesbares Medium durch einen oder mehrere Prozessoren eingebettet ist. Die Arbitermetrik umfasst ein Prioritätsrecht und/oder ein Vorrecht, das mit jedem jeweiligen Nutzer der Nutzer assoziiert ist, die versuchen, auf eine Ressource zuzugreifen. Das Verfahren umfasst auch das Einbetten von Attributen in den gesicherten Token mit dem einen oder den mehreren Prozessoren, wobei die Attribute Autorisierungsrechte und/oder Authentifizierungsrechte umfassen, die mit jedem jeweiligen Nutzer der Nutzer assoziiert sind, die versuchen, auf eine Ressource zuzugreifen. Das Verfahren umfasst weiterhin die Schritte zum Lesen von wenigstens einem der Attribute in dem gesicherten Token bezüglich des einen oder der mehreren Nutzer, die eine Ressource nutzen möchten und das Bestimmten eines ersten Zugriffsniveaus basierend auf dem Attribut, und Bestimmen, welcher Nutzer der Nutzer, die versuchen, auf eine Ressource zuzugreifen, geklärt mit dem ersten Zugriffsniveau, berechtigt ist, unter den Nutzern exklusiv auf die Ressource basierend auf dem Prioritätsrecht oder dem Vorrecht in dem gesicherten Token relativ zu jedem Nutzer zuzugreifen, der Zugriff auf die Ressource sucht.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Das Vorstehende und andere Merkmale und Vorteile der vorliegenden Offenbarung werden für Fachleute, an die sich die vorliegende Offenbarung wendet, deutlich, wenn die folgende Beschreibung der Erfindung mit Bezug auf die begleitenden Zeichnungen berücksichtigt wird, wobei sich gleiche Bezugszeichen auf gleiche Teile durch die Zeichnungen hindurch beziehen, es sei denn, es ist anders beschrieben:
  • 1 veranschaulicht einen Token-basierten Fern-Arbiter, der in Übereinstimmung mit einem Ausführungsbeispiel der vorliegenden Offenbarung konstruiert ist;
  • 2 veranschaulicht einen Token-basierten Fern-Arbiter, der in Übereinstimmung mit einem anderen Ausführungsbeispiel der vorliegenden Offenbarung konstruiert ist;
  • 3 veranschaulicht einen Token-basierten Fern-Arbiter, der in Übereinstimmung mit einem anderen Ausführungsbeispiel der vorliegenden Offenbarung konstruiert ist;
  • 4 ist ein Flussdiagramm, das den Betrieb eines Token-basierten Fern-Arbiters veranschaulicht, der in Übereinstimmung mit einem Ausführungsbeispiel der vorliegenden Offenbarung konstruiert ist; und
  • 5 veranschaulicht einen Token-basierten Fern-Arbiter mit dynamischen Prioritäts- und Vorrechtsmetriken, der in Übereinstimmung mit einem Ausführungsbeispiel der vorliegenden Offenbarung konstruiert ist.
  • DETAILLIERTE BESCHREIBUNG
  • Es wird nun allgemein auf die Figuren Bezug genommen, wobei darin gezeigte gleich nummerierte Merkmale sich durchwegs auf gleiche Elemente beziehen, es sei denn, es wird anderes bemerkt. Die vorliegende Offenbarung bezieht sich auf eine priorisierten Token-basierten Arbiter und ein Verfahren, und spezieller auf einen fernbasierten Arbiter, der Zugriffspriorität für authentifizierte Nutzer bereitstellt.
  • 1 veranschaulicht ein Token-basiertes Remote-Arbiter-System 10, das in Übereinstimmung mit einem Ausführungsbeispiel der vorliegenden Offenbarung konstruiert ist, Authentifizierung, Autorisierung und Prioritäts-/Vorrechtszugriffskonzepte für mehrere Nutzer 12 zur Verfügung stellt. Jeder Nutzer 12 möchte Zugriff auf einen begrenzten Dienst-Provider 14 über das Internet, das Web, eine Cloud-basierte Anwendung, WiFi, oder ein drahtloses (”over-the-air”) Kommunikationsprotokoll (z. B. SAML), was hier nachfolgend als verteiltes Netzwerk 16 definiert ist. Bei einem Ausführungsbeispiel ermöglicht der Dienst-Provider selektiv 14 die Nutzung einer geteilten oder begrenzten Ressource 20. Eine begrenzte Ressource 20 kann entweder öffentlich oder privat geteilt werden, wobei Beispiele enthalten, jedoch nicht darauf begrenzt sind: Überwachungskameras, Controller für Verkehrslichtzeichen, Sensoren, Alarmsysteme und dergleichen. Der Zugriff auf den Dienst-Provider 14 und auf die begrenzte Ressource 20 über das verteilte Netzwerk 16 kann entweder lokal oder global sein.
  • Nur ein einziger Nutzer 12 kann Zugriff auf eine begrenzte Ressource 20 haben, wobei es sich dabei beispielsweise um eine Bodensteuerung für ein Verkehrslichtzeichen oder um eine Schwenkvorrichtung und einen Zoom einer Kamera zu jedem gegebenen Moment handeln kann. Kameras können nur in der Lage sein, einen zusätzlichen lokalen Stream zum Betrachten zu streamen. Das System 10 der vorliegenden Offenbarung stellt vorteilhaft einen gesicherten Token T zum Bereitstellen von Priorität beim Erlangen von Zugriff und/oder von Kontrolle für den Nutzer mit der höchsten Priorität unter einer Mehrzahl von Nutzern zur Verfügung, die versuchen, auf die begrenzte Ressource oder den Dienst zuzugreifen oder diese zu nutzen.
  • Das verteilte Netzwerk 10 ist in einem Ausführungsbeispiel so konstruiert, dass es einen Identitäts-Provider 18 enthält, der mit einer Richtlinienentscheidungsmaschine 26 arbeitet, wobei die Richtlinienentscheidungsmaschine die externen Richtlinien des Systems 10 steuert. Beispielsweise umfasst das System 10 in einer Ausführungsform eine Prioritätsmetrik 22, die durch die Richtlinienentscheidungsmaschine 26 erzeugt wird, welche als ein Arbiter zwischen den Nutzern 12 arbeitet und Nutzern oder Antwortern 12 erlaubt, auf die begrenzte Ressource 12 in einer priorisierten Weise zuzugreifen. Das heißt, dass mehrere Nutzer 12 zur selben Zeit eine begrenzte Ressource 12 wünschen, wie zum Bespiel eine Bodensteuerung eines Verkehrslichtzeichens oder eine Schwenkvorrichtung und einen Zoom einer Kamera, wobei nur ein Nutzer 12 mit Autorisierung und der höchsten durch das System 10 zugewiesenen Priorität in der Lage für eine solche Steuerung ist. Die höchste durch das System 10 zugewiesene Priorität zwischen den Nutzern 12 kann Funktionen von einem oder mehreren der Nutzer umfassen: Rolle; Amts- oder Agenturzugehörigkeit; Ereignis (Schwere des Unfalls, der Verletzung oder des Verbrechens); und Rechtsprechung, wie von der Prioritätsmetrik 22 des Systems 10 analysiert.
  • Es sollte erkannt werden, dass Nutzer oder Antworter 12 Polizeibeamte, notfallmedizinische Techniker, Feuerwehrleute, Sicherheitsbeamte und dergleichen sind, wobei es sich auch um private Bürger handeln kann, ohne den Geist und den Umfang der beanspruchten Offenbarung zu verlassen. Die Antworter/Nutzer 12 können auf das System 10 und das verteilte Netzwerk 16 über einen Schnittstellenvorrichtung 24 (siehe 2) zugreifen, die beispielsweise WiFi verwendet, wobei Folgendes eingeschlossen ist, jedoch nicht darauf begrenzt: Dispatch Controller, Funkgeräte, Handapparate, PDAs, Mobiltelefone, MDTs, Computernetzwerke und dergleichen. Jeder Schnittstellenvorrichtung ist eine Identität des Nutzers 12 zugewiesen, die durch den Identitäts-Provider 18 des Systems 10 zur Verfügung gestellt wird und diesem bekannt ist.
  • Sowohl die Schnittstellenvorrichtungen 24, der Dienst-Provider 14, der Identitäts-Provider 18 und der Prioritäts-Provider 26 und optional die begrenzte Ressource 20 enthalten einen oder mehrere Prozessoren, wie zum Beispiel einen oder mehrere Mikroprozessoren, Mikrocontroller, digitale Signalprozessoren (DSPs), Kombinationen derselben oder derartiger anderer Vorrichtungen, die Fachleuten bekannt sind. Jeder Prozessor ist mit wenigstens einer Speichervorrichtung gekoppelt (hier auch als ”ein Speicher” bezeichnet), wie zum Bespiel ein Schreib/Lese-Speicher (”Random Access Memory” (RAM)), ein dynamischer Schreib/Lese-Speicher (”Dynamic Random Access Memory” (DRAM)) und/oder ein Nur-Lese-Speicher (”Read Only Memory” (ROM)) oder Äquivalente derselben, die Daten und Programme/Instruktionen tragen, die von dem einen oder den mehreren Prozessoren ausgeführt werden und die den Schnittstellenvorrichtungen, dem Dienst-Provider, dem Identitäts-Provider, dem Prioritäts-Provider und der begrenzten Ressource erlauben, alle erforderlichen Funktionen der hier beschriebenen Systeme, wie zum Bespiel der Systeme 10, 100 und 200, auszuführen. Wenn es hier nicht anders spezifiziert ist, werden alle Funktionen, die hier so beschrieben werden, dass sie hier durch die Schnittstellenvorrichtungen, den Dienst-Provider, den Identitäts-Provider, den Prioritäts-Provider und die begrenzte Ressource ausgeführt werden durch ihren jeweiligen einen oder die mehreren Prozessoren ausgeführt, die so konfiguriert sind, dass sie eine solche Funktionalität basierend auf den Daten und Programmen/Instruktionen, die in dem entsprechenden Speicher getragen werden, ausführen.
  • In 1 kommuniziert jeder Antworter/Nutzer 12 eine Dienstanfrage (”service request” ”SR”) zu dem Dienst-Provider 14. Mit der Dienstanfrage werden für jeden Nutzer spezifische Authentifizierungszeugnisse zur Verfügung gestellt, zum Bespiel ein Authentifizierungszeugnis A1 bezüglich eines Nutzers 1, ein Authentifizierungszeugnis A2 bezüglich eines Nutzers 2 und ein Authentifizierungszeugnis A3 bezüglich eines Nutzers 3. Entweder durch eine Anfrage durch den Identitäts-Provider oder durch eine Anfrage von den Nutzern 12 oder des Service-Providers 14 an den Identitäts-Provider, fordert der Identitäts-Provider von dem Prioritäts-Provider 26 eine Arbitermetrik, wobei die Metrik auf der Priorität 22 und/oder dem Vorrecht 32 basiert. Der Prioritäts-Provider 26 stellt dann (eine) Metrik(en) 22, 32 für den Identitäts-Provider 18 zur Verfügung, welcher ein zuverlässiger Identitäts-Provider ist. Der Identitäts-Provider 18 stellt die Metrik(en) in der Form eines Token T jedem Nutzer durch den Dienst-Provider 14 zur Verfügung, das heißt einen Token T1 für Nutzer 1, einen Token T2 für Nutzer 2 und einen Token T3 für Nutzer 3, wobei die Tokens jeder ein relatives Prioritätsniveau oder Vorrechtsniveau zwischen den Nutzern festlegen. Der Dienst-Provider 14 empfängt dann die Tokens T und legt entsprechend einen Zugriff zwischen den Nutzern auf die begrenzte Ressource 20 fest.
  • Es wird nun auf 2 Bezug genommen; ein Token-basiertes Fern-Arbiter-System 10 ist in Übereinstimmung mit einem anderen Ausführungsbeispiel der vorliegenden Offenbarung konstruiert. Genauer gesagt veranschaulicht das System 10 die Wechselwirkung zwischen den Nutzern 12, dem Identitäts-Provider 18, dem Dienst-Provider 14 und dem priorisierten/Vorrechtszugang zu der begrenzten Ressource 20 über die Richtlinienmaschine 26, welche die Prioritätsmetrik 22 und die Vorrechtsmetrik 32 zur Verfügung stellt.
  • Insbesondere stellt der Identitäts-Provider 18 Autorisierungszeugnisse für jeden in 2 gezeigten Nutzer zur Verfügung, nämlich ein Autorisierungszeugnis A1 für den Nutzer 1 und ein Autorisierungszeugnis A2 für den Nutzer 2. Während nur zwei verschiedene Nutzer 12 gezeigt sind, sollte klar sein, dass eine unbegrenzte Anzahlt von Nutzern versuchen könnte, simultan Zugriff auf die Ressource 20 zu gewinnen und diese zu nutzen, ohne dass der Geist und der Umfang der vorliegenden Offenbarung verlassen würde.
  • Die Antworter 12 kommunizieren jeder eine Dienstanforderung (”service request”, ”SR”) an den Dienst-Provider 14. Jede Dienstanforderung enthält die Identität und Autorisierungszeugnisse, die dem Nutzer durch den Identitäts-Provider 18 zugewiesen wurden. Auf die Anforderung durch den Dienst-Provider 14 oder basierend auf einer Frage, die durch den Identitäts-Provider direkt an die Nutzer herausgegeben wird, gibt der Identitäts-Provider 18 durch den Dienst-Provider 14 an jeden Nutzer 12 einen Sicherheitstoken T, der dem Nutzer 12 zugewiesen ist. Der Token T enthält zusätzlich zur Autorisierung ”AU” Arbitermetriken ”P” sowie eine Prioritätsmetrik 22 oder eine Vorrechtsmetrik 32.
  • Der Dienst der begrenzten Ressource 20 wird dann dem Nutzer 12 zur Verfügung gestellt, der die höchste Priorität hat. Die Arbitermetrik P wird durch den Dienst-Provider 26 an den Identitäts-Provider 18 weitergegeben, basierend auf einem vorgeschriebenen internen Programm oder einer Richtlinie. Die Prioritätsmetrik 22 stellt Nutzern 12 Prioritätszugriff zur Verfügung, so dass ein Vorangehen vor anderen Nutzern der begrenzten Ressource erlaubt wird.
  • In dem veranschaulichten Ausführungsbeispiel ist der Identitäts-Provider 18 mit der Prioritätsentscheidungsmaschine 26 ferngekoppelt, welche die Identität von jedem Nutzer 12 kennt. Die Prioritätsentscheidungsmaschine berechnet die Prioritätsmetrik 22 und eine Vorrechtsmetrik 32, und der Identitäts-Provider 18 bettet die Metriken in den Sicherheitstoken T ein. Die begrenzte Ressource 20 wird dann durch den Dienst-Provider 14 Nutzern zur Verfügung gestellt oder durch die begrenzte Ressource selbst, indem die Prioritätsmetrik 22 und/oder die Vorrechtsmetrik 32, die in den gesicherten Token T von jedem Nutzer 12 eingebettet ist, genutzt wird, wie es in 2 veranschaulicht ist. Der Dienst-Provider 14 liest den gesicherten Token T von jedem Nutzer bezüglich der gesicherten Tokens der anderen Nutzer, wobei bestimmt wird, welche Nutzer 12 zu einer gegebenen Zeit die höchste Priorität haben, wobei einem solchen Nutzer mit höchster Priorität ein exklusiver Zugriff auf die begrenzte Ressource 20 gewährt wird.
  • In dem veranschaulichten Ausführungsbeispiel nach 2 bettet der Identitäts-Provider 18 Autorisierungs- und Authentifizierungsattribute ”A” in jeden Sicherheitstoken T ein. Sobald die Authentifizierung- und Autorisierungsattribute A durch den Dienst-Provider 14 oder die begrenzte Ressource 20 bestätigt sind, wird die Prioritätsmetrik 22 und/oder die Vorrechtsmetrik 32 von dem gesicherten Token T von jedem Nutzer für jeden Nutzer 12 analysiert, um die Nutzungspriorität wie oben beschrieben zu bestimmen.
  • Authentifizierungs- und assoziierte Attribute beziehen sich auf den Prozess des Identifizieren eines Nutzers 12 des Systems 10 über ein Zeugnis, typischerweise mit einem Zertifikat oder einer Nutzer-ID und einem Passwort. Eine Autorisierung und assoziierte Attribute beziehen sich auf den Prozess des Gewährens oder Verwehrens von Zugriff auf das System 10. Das System liefert in einem Ausführungsbeispiel einen zweischrittigen Sicherheitsprozess. Zunächst kommt die Authentifizierung, bei der die Identität von jedem Nutzer verifiziert wird. Diesem Schritt folgt dann die Autorisierung, bei der typischerweise bestimmt wird, welche Ressourcen oder Anwendungen innerhalb der begrenzten Ressource 20 der Nutzer 12 nutzen darf. Fachleuten sollte klar sein, dass die Prioritätsmetrik 22 und die Vorrechtsmetrik 32 in den gesicherten Tokens T als ein Attribut eingebettet sind.
  • Bei einem Ausführungsbeispiel werden die Prioritätsmetriken, die Vorrechtsmetriken, die Autorisierungs- und/oder die Authentifizierungsattribute der gesicherten Tokens T in Metadaten getragen, wie zum Beispiel einem Header, oder innerhalb eines Körpers des Kommunikationsprotokolls des verteilten Netzwerkes 16. Bei dem veranschaulichten Ausführungsbeispiel ist das verwendete Kommunikationsprotokoll zum Austauschen von gesicherter Information zwischen den Nutzern und der begrenzten Ressource 20 die Security-Assertions-Markup-Language (”SAML”). Bei einem alternativen Ausführungsbeispiel existieren Attributprofile, die Autorisierungs- und Authentifizierungsattribute enthalten, bereits bei dem Nutzer 12, um zusätzliche Attribute von dem Identitäts-Provider 18 anzufragen.
  • Sobald die Authentifizierungs- und Autorisierungsattribute A durch den Dienst-Provider 14 oder die begrenzte Ressource 20 bestätigt sind, wird die begrenzte Ressource basierend auf der Prioritätsmetrik 22 und/oder der Vorrechtsmetrik 32, die in dem gesicherten Token T, welcher von jedem Nutzer 12 durch den Dienst-Provider 14 empfangen wurde, eingebettet sind, genutzt, wie in 2 veranschaulicht. Insbesondere liefert der Dienst-Provider 14 gesicherte Tokens T mit dem Bestimmen, welcher Nutzer 12 zu irgendeiner gegebenen Zeit priorisierte Rechte oder Vorrechte gegenüber allen anderen Nutzern hat und, wenn dies so ist, wird diesem Nutzer exklusiver Zugriff auf die begrenzte Ressource gewährt. Vorteilhaft kann das System 10 Zugriff oder Nutzung der Metrik 32 zuweisen, ohne jegliche Kenntnis von entweder der Ressource 20 oder des Dienstproviders 14 bezüglich des Richtlinienalgorithmus', der verwendet wird, um die Metriken innerhalb der Richtlinienmaschine 26 zu berechnen.
  • Der gesicherte Token T gestattet es Nutzern nicht nur, Autorisierungs- und Authentifizierungsattribute A der begrenzten Ressource 20 zuzuweisen, sondern auch, Zugangsprioritäts- und -vorrechtsattribute ebenfalls anzuzeigen. Bei dem veranschaulichten Ausführungsbeispiel gemäß 2 ist der Identitäts-Provider 18 entfernt von dem Dienst-Provider 14 und der begrenzten Ressource 20 angeordnet. Der Identitäts-Provider 18 ist, zusätzlich zum Erzeugen von Autorisierung/Authentifizierung, ebenfalls in der Lage, in den gesicherten Tokens T absolute Prioritätsattribute von der Prioritätsmaschine 26 einzubetten, welche zur Grundzuweisung verwendet werden können, wenn es mehrere Nutzer 12 versuchen, ihre jeweiligen gesicherten Token T gleichzeitig an der begrenzten Ressource 20 oder zu dem Dienst-Provider 14 zuzuweisen. Bei einem Ausführungsbeispiel kommuniziert der Dienst-Provider 14 mit dem Identitäts-Provider 18 über eine Breitbandverbindung, und die Nutzer 12 kommunizieren mit dem Dienst-Provider 14 über eine WiFi-Verbindung.
  • In 3 ist ein Token-basiertes entferntes Arbiter-System 10 veranschaulicht, das in Übereinstimmung mit einem anderen Ausführungsbeispiel der vorliegenden Offenbarung konstruiert ist. Das Token-basierte Arbiter-System 10 umfasst einen Identitäts-Provider 18, der mit oder in Kommunikation mit einem Prioritäts-Provider 26 gekoppelt ist, und einen Dienst-Provider 14, der sich in Kommunikation mit einer begrenzten Ressource 20 befindet. Das Token-basierte entfernte Arbiter-System 10 befindet sich innerhalb eines verteilten Netzwerkes, welches Kommunikation zwischen Nutzern 10 und dem Dienst-Provider 14 beispielsweise über eine WiFi-Verbindung erlaubt und zwischen dem Dienst-Provider und dem Identitäts-Provider beispielsweise über eine Breitband-Internetverbindung.
  • Während des Betriebs des Systems 10 fordern mehrere Nutzer 12 Zugriff in der Form einer Dienstanfrage (”service request”, ”SR”) an einen begrenzten Dienst oder eine begrenzte Ressource 20 über den Dienst-Provider 14. Sobald die Dienstanfrage SR durch den Dienst-Provider 14 über eine Schnittstelle 24 des Nutzers 12 empfangen ist, wird der Dienst-Provider nach Tokenattributen in der Form einer Prioritätsmetrik 22 und/oder einer Vorrechtsmetrik 32 gefragt, oder er fragt diese von dem Identitäts-Provider 18 an. Die Prioritätsmetriken 22/Vorrechtsmetriken 32 werden basierend auf einer programmierbaren Richtlinie innerhalb eines Richtlinien-Providers 26 zugewiesen. Der Richtlinien-Provider 26 kommuniziert die Prioritäts- und Vorrechtsmetriken an den Identitäts-Provider für jeden Nutzer. Die Identität von jedem Nutzer 12 ist durch den Identitäts-Provider 18 basierend auf den Autorisierungs- und Authentifizierungsattributen ”A” bekannt. Sobald die Prioritäts- und Vorrechtsmetriken 22, 32 durch den Prioritäts-Provider 18 gefördert werden, bettet der Identitäts-Provider die Prioritäts- und Vorrechtsmetriken in einen gesicherten Token T ein und sendet diesen an den Dienst-Provider 14 oder wird von diesem angefragt. Der Dienst-Provider erlaubt dem Nutzer dann Dienstzugriff 20 mit den höchsten Prioritäts- und Vorrechtsattributen innerhalb der jeweiligen Token T der Nutzer.
  • Bei einem Ausführungsbeispiel enthält der Token T Prioritäts- und Vorrechtsattribute 22, 32 oder ”P” als auch Autorisierungsattribute ”A”. Die begrenzte Ressource 20 gewährt dann Zugriff, basierend auf Prioritäts- und Vorrechtsattributen, die in den in der Warteschlage stehenden, von dem Dienst-Provider 14 bereitgestellten Tokens T gefunden werden.
  • Es wird nun auf 4 Bezug genommen; es wird ein Flussdiagramm zur Verfügung gestellt, das den Betrieb eines Token-basierten Fern-Arbiter-Systems 10 veranschaulicht, das in Übereinstimmung mit einem anderen Ausführungsbeispiel der vorliegenden Offenbarung konstruiert ist. Das Token-basierte Fern-Arbiter-System beginnt seinen Betrieb bei 102 damit, dass ein erster Antworter oder Nutzer 12 einen Dienst bei einem Dienst-Provider 14 über eine Schnittstellenvorrichtung 24 anfordert. Bei dem veranschaulichten Ausführungsbeispiel hat die Schnittstellenvorrichtung 24 die Gestalt eines Mobiltelefons oder eines PDA, es könnte sich jedoch auch um andere Kommunikationsvorrichtungen handeln, ohne den Geist und den Umfang der vorliegenden Offenbarung zu verlassen. Der Dienst-Provider 14 steuert den und/oder ist in Kommunikation mit dem Betrieb einer begrenzten Ressource 20.
  • Die in 4 veranschaulichte begrenzte Ressource 20 enthält beispielsweise ein Verkehrslichtzeichen oder eine Sicherheitskamera. Bei 104 deckt der Dienst-Provider 14 die Identität des Nutzers 12 auf. Bei 106 befördert der Dienst-Provider 14 eine Anforderungsversicherung an den ersten Antworter 12 für den gesicherten Token T des Antworters/Nutzers. Anders gesagt führt der Dienst-Provider 14 eine Anfrage an den Nutzer 12 nach den Attributen durch, die in dem gesicherten Token T gefunden werden.
  • Bei 108 übermittelt der Nutzer 12 eine Authentifizierungsanfrage an den Identitäts-Provider 18. Der Identitäts-Provider 18 enthält eine Richtlinienmaschine 26, die entweder integral oder in Fernverbindung mit dem Identitäts-Provider ist. Es wird wieder auf 4 Bezug genommen, wo bei 110 der Identitäts-Provider 18 den Nutzer 12 identifiziert. Bei 112 wird ein Prioritätszertifikat erstellt, das die Prioritätsmetrik 22 und/oder die Vorrechtsmetrik 32 bildet. Bei 114 erfüllt die Richtlinienmaschine 26 die Prioritätsmetrikanfrage an den Identitäts-Provider 18. Bei 116 bündelt der Identitäts-Provider 18 die Authentifizierungs- und Autorisierungsattribute A, die Prioritätsmetrik 22 und/oder die Vorrechtsmetrik 32 in einen gesicherten Token T und sendet den gesicherten Token an den Nutzer 12. Sobald dieser durch den Nutzer 12 empfangen wird, sendet die Schnittstellenvorrichtung oder der Nutzer 12 den gesicherten Token T an den Dienst-Provider 14, der mit dem Betrieb der begrenzten Ressource 20 assoziiert ist oder direkt an die begrenzte Ressource.
  • Sobald der gesicherte Token T von entweder dem Dienst-Provider 14 und/oder der begrenzten Ressource 20 empfangen wurde, nutzt der Dienst-Provider/die begrenzte Ressource die Prioritätsmetrik 22 und/oder die Vorrechtsmetrik 32, die in dem Token zur entscheidenden Allokation der Nutzung der begrenzten Ressource enthalten ist, und eine Dienstantwort wird dem Nutzer zur Verfügung gestellt, das heißt, der Dienst-Provider/die begrenzte Ressource zeigt dem Nutzer den Zugriff auf die begrenzte Ressource an, beispielsweise das Gewähren oder das Verwehren des Zugriffs des Nutzers auf die begrenzte Ressource. In einem Ausführungsbeispiel ist die begrenzte Ressource 20 ein festes Überwachungssystem, wie zum Bespiel IP-Kameras mit eingebauter Zugriffssteuerung, um gesicherte Tokens T unter Verwendung eines SAML-Protokolls zu verarbeiten. Bei einem anderen Ausführungsbeispiel ist die Schnittstellenvorrichtung zum Verarbeiten gesicherter Tokens T innerhalb von Sensoren für Wohnsicherheit oder geschäftliche Sicherheit.
  • Es sollte erkannt werden, dass in dem veranschaulichten Ausführungsbeispiel gemäß 4 der Richtlinien-Provider 26 in einer Zertifikatautorität (”certificate authority”, CA) implementiert sein kann, wobei die CA in verschiedenen Ausführungsformen in einer Richtlinienwechsel-Regelfunktion (”policy changing rule function”, PCRF) enthalten sein kann oder eine PCRF enthalten kann und eine eingebaute Schnittstelle enthält, die eine auf dem gesicherten Token T basierende Anforderung nach einer Prioritätsmetrik 22 oder einer Vorrechtsmetrik 32 von einem Nutzer 12 während oder nach der Übertragung des Tokens an die begrenzte Ressource 20 und/oder den Dienst-Provider 18 erlaubt. Alternativ können die Tokens T direkt bedient werden und können jeweils statische Prioritäts- und Vorrechtsmetriken 22, 32 enthalten. In 5 ist ein Token-basiertes Fern-Arbiter-System 200 veranschaulicht, das jeweils dynamische Prioritäts- und Vorrechtsmetriken 22, 32 enthält, welches in Übereinstimmung mit einem Ausführungsbeispiel der vorliegenden Offenbarung konstruiert ist.
  • Das Arbiter-System 200 verwendet die gesicherten Tokens T, um der begrenzten Ressource 20 die Fähigkeit zur Verfügung zu stellen, Zugriffsversuche basierend auf den eingebetteten Prioritäts- oder Vorrechtsmetriken 22, 32 jeweils vorzubelegen oder zurückzuweisen. Die Metriken 22, 32 werden unter Verwendung des Dienst-Providers oder der Entscheidungsmaschine 26 mit vielen potentiellen Eingaben berechnet, die dynamisch wechseln, wie zum Beispiel die Rolle des Nutzers, Rechtsprechung, der Zustand des Notfalls und dergleichen. Der Token T enthält in einer Ausführungsform ein Attribut, das die Rolle des Nutzers 12 beschreibt, was verwendet werden kann, um statisch Zugriff unter den Nutzern auf eine begrenzte Ressource 20 zuzuweisen.
  • Eine Verwendung einer dynamischen Prioritätsmetrik 22 gemäß dem Ausführungsbeispiel nach 5 erlaubt der Vorrichtung, die einen Dienst zur Verfügung stellt, dem Nutzer 12 mit der höchsten Priorität Zugriff zu gewähren, basierend auf den vielen Eingaben in die Prioritätsentscheidungsmaschine 26. Eine dynamische Priorität wird in dem veranschaulichten Ausführungsbeispiel auch verwendet, um einen Zugriff von Nutzern zu verhindern, die aktuell bei normaler oder niedriger Priorität sind (d. h. nicht assoziiert mit einem Notfallereignis) für eingeschränkte oder begrenzte Ressourcen 20. Wie die Situation oder der Notfall sich entwickelt, kann die Priorität der Nutzer dynamisch geändert werden und die Nutzer können neue gesicherte Tokens T anfordern sowie potentiell eine Kontrolle über andere Nutzer der begrenzten Ressource 20 übernehmen, wie in 5 veranschaulicht ist. Zusätzlich werden Nutzer mit niedriger Priorität nicht in der Lage sein, eine Ressource 20 zu unterbrechen, die aktuell durch einen Nutzer mit höherer Priorität verwendet wird.
  • Bei einem Ausführungsbeispiel kann der Prioritäts-Provider oder die Entscheidungsmaschine 26 eine Richtlinienänderungsregelfunktion (”Policy Changing Rule Function”, ”PCRF”) sein, die eine Schnittstelle aufweist, um zu erlauben, dass die zugewiesene Prioritätsmetrik 22 und/oder Vorrechtsmetrik 32 angefragt wird und ihr neue Prioritäts- oder Vorrechtswerte zugewiesen werden, durch den Betrieb des Nachsuchens nach und/oder des Erhaltens von Nutzung der Ressource 20 hindurch. Die neu zugewiesenen Prioritäts- oder Vorrechtswerte in den Metriken 22, 32 beeinflussen und ändern die ausschließlichen Zugriffsrechte zwischen den mehreren Nutzern 12.
  • In 5 wird simultan durch drei Nutzer 12 eine Nutzung gewünscht. Anfänglich besaß der Nutzer 1 den gesicherten Token T mit der höchsten Priorität, angezeigt durch Token T1A, über die gesicherten Tokens, die den Nutzern 2 und 3 zugewiesen sind, angezeigt durch die Tokens T2A und T3A. Ein Ereignis tritt auf, das die Prioritätsrechte des Nutzers 2 unter den Richtlinien der Prioritätsrichtlinienmaschine oder PCRF 26 erhöhen. Dementsprechend wird ein nachfolgender gesicherter Token, angezeigt durch T2B, durch den Nutzer 2 angefragt und an die begrenzte Ressource 20 oder den Dienst-Provider 14 übermittelt. Der dynamische Wechsel, der dem Nutzer 2 gewährt wird, stellt nun dem Nutzer 2 eine höhere Priorität zur Verfügung, wodurch die Rechte von Nutzer 1 übertroffen werden was dem Nutzer 2 einen Zugriff oder exklusive Rechte zur Verwendung der begrenzten Ressource 20 erlaubt.
  • Was oben beschrieben wurde, sind Bespiele der vorliegenden Offenbarung. Es ist natürlich nicht möglich, jede erreichbare Kombination von Komponenten oder Methoden zum Zwecke der Beschreibung der vorliegenden Offenbarung zu beschreiben, aber ein Durchschnittsfachmann wird erkennen, dass viele weitere Kombinationen und Permutationen der vorliegenden Offenbarung möglich sind. Dementsprechend soll die vorliegende Offenbarung alle solche Änderungen, Modifikationen und Variationen umfassen, die in den Geist und den Umfang der beigefügten Ansprüche fallen.

Claims (20)

  1. Vorrichtung umfassend: einen Prioritäts-Provider mit einem oder mehreren Prozessoren zum Berechnen einer Arbitermetrik in einen gesicherten Token; und Speicher, der mit dem einen oder den mehreren Prozessoren gekoppelt ist und eine oder mehrere Instruktionen umfasst, die mit dem einen oder den mehreren Prozessoren ausführbar sind, wobei der eine oder die mehreren Prozessoren betreibbar sind, wenn sie die folgenden Instruktionen ausführen: Sammeln von Autorisierungsattributen von einem oder mehreren Nutzern, die eine Ressource nutzen möchten, die mit dem Dienst-Provider assoziiert ist; Bestimmen eines Niveaus einer Priorität des einen oder der mehreren Nutzer, basierend auf einer vorgeschriebenen Richtlinie eines Prioritäts-Providers; Zuweisen von wenigstens einer Arbitermetrik zu einem gesicherten Token für jeden aus dem einen oder den mehreren Nutzern, basierend auf dem Niveau einer Priorität, die durch den Prioritäts-Provider identifiziert wird, wobei die Arbitermetrik ein Prioritätsrecht zwischen dem einen oder den mehreren Nutzern schafft, um auf eine Ressource zuzugreifen.
  2. Vorrichtung nach Anspruch 1, die weiterhin einen Dienst-Provider umfasst, der mit einer Ressource assoziiert ist, wobei der Dienst-Provider umfasst: einen oder mehrere Prozessoren zum Analysieren von Arbitermetriken in den gesicherten Tokens; und Speicher, der mit dem einen oder den mehreren Prozessoren gekoppelt ist, der eine oder mehrere mit dem einen oder den mehreren Prozessoren ausführbare Instruktionen enthält, wobei der eine oder die mehreren Prozessoren betreibbar sind, wenn sie die folgenden Instruktionen ausführen: Bestimmen des Nutzers mit der höchsten Priorität unter dem einen oder den mehreren Nutzern, die Zugriff auf die Ressource suchen, durch Lesen der Arbitermetrik, die in jedem gesicherten Token zugewiesen ist, der mit dem einen oder den mehreren Nutzern assoziiert ist; und dem Nutzer aus dem einen oder den mehreren Nutzern mit der höchsten Priorität erlauben, exklusiven Zugriff auf die Ressource zu haben.
  3. Vorrichtung nach Anspruch 1, wobei der gesicherte Token weiterhin sowohl Authentifizierungs- als auch Autorisierungsattribute umfasst.
  4. Vorrichtung nach Anspruch 1, wobei die Arbitermetrik eine Vorrechtsmetrik (”preemptive metric”) umfasst.
  5. Vorrichtung nach Anspruch 4, die weiterhin einen mit einer Ressource assoziierten Dienst-Provider umfasst, wobei der Dienst-Provider umfasst: einen oder mehrere Prozessoren zum Analysieren von Arbitermetriken in den gesicherten Tokens; und Speicher, der mit dem einen oder den mehreren Prozessoren gekoppelt ist, der eine oder mehrere mit dem einen oder den mehreren Prozessoren ausführbare Instruktionen umfasst, wobei der eine oder die mehreren Prozessoren betreibbar sind, wenn sie die folgenden Instruktionen ausführen: Bestimmen des Nutzers mit dem höchsten Vorrecht unter dem einen oder den mehreren Nutzern, die Zugriff auf die Ressource suchen, indem die Arbitermetrik gelesen wird, die in jedem gesicherten Token, der mit dem einen oder den mehreren Nutzern assoziiert ist, zugewiesen ist; und dem Nutzer aus dem einen oder den mehreren Nutzern mit der Metrik mit dem höchsten Vorrecht erlauben, exklusiven Zugriff auf die Ressource zu haben.
  6. Vorrichtung nach Anspruch 1, die weiterhin eine mit einer Schnittstelle gekoppelte Ressource umfasst, die geeignet ist, den Nutzer mit dem höchsten Vorrecht zu bestimmen, indem die Arbitermetrik gelesen wird, die jedem gesicherten Token zugewiesen ist, der mit jedem aus dem einen oder den mehreren Nutzern assoziiert ist.
  7. Vorrichtung nach Anspruch 1, die weiterhin eine Ressource umfasst, die mit einer Schnittstelle gekoppelt ist, die geeignet ist, den Nutzer mit dem höchsten Prioritätsrecht zu bestimmen, indem die Arbitermetrik, die jedem gesicherten Token zugewiesen ist, der mit jedem aus dem einen oder den mehreren Nutzern assoziiert ist, gelesen wird.
  8. Vorrichtung nach Anspruch 1, die weiterhin einen Identitäts-Provider umfasst, wobei der Identitäts-Provider dem gesicherten Token Authentifizierungsattribute zuweist.
  9. Vorrichtung nach Anspruch 1, die weiterhin einen Identitäts-Provider umfasst, wobei der Identitäts-Provider dem gesicherten Token Autorisierungsattribute zuweist.
  10. Vorrichtung nach Anspruch 1, wobei die vorgeschriebene Richtlinie des Prioritäts-Providers, welche die Arbitermetrik bildet, eine dynamische Richtlinie ist, basierend auf wenigstens einem aus Folgendem: Rolle des Nutzers, erfahrenes Ereignis, Notfalltyp und Rechtsprechung.
  11. Vorrichtung nach Anspruch 1, wobei die Instruktionen Security-Assertion-Markup-Language-Instruktionen sind.
  12. Vorrichtung nach Anspruch 1, wobei der Prioritäts-Provider ein PCRF ist, der eine Schnittstelle aufweist, die es der zugewiesenen Arbitermetrik erlaubt, von dem Identitäts-Provider durch den Vorgang des Suchens und Erhaltens von Nutzung der Ressource hindurch befragt zu werden.
  13. Verfahren zum Vermitteln (”arbitrating”) von Zugriff auf eine Ressource zwischen Nutzern, wobei das Verfahren die Schritte aufweist: Einbetten einer Arbitermetrik in einen gesicherten Token, wobei der gesicherte Token in ein nichttransientes computerlesbares Medium durch einen oder mehrere Prozessoren eingebettet ist, wobei die Arbitermetrik ein Prioritätsrecht und/oder ein Vorrecht umfasst, das mit jedem jeweiligen Nutzer der Nutzer assoziiert ist, die versuchen, auf eine Ressource zuzugreifen; Einbetten von Attributen in den gesicherten Token mit dem einen oder den mehreren Prozessoren, wobei die Attribute Autorisierungsrechte und/oder Authentifizierungsrechte umfassen, die mit jedem jeweiligen Nutzer der Nutzer assoziiert sind, die versuchen, auf eine Ressource zuzugreifen; Lesen wenigstens eines der Attribute in dem gesicherten Token bezüglich des einen oder der mehreren Nutzer, die eine Ressource verwenden möchten, und Bestimmen eines ersten Zugriffsniveaus basierend auf dem Attribut; und Bestimmen, welcher Nutzer der Nutzer, die versuchen, auf eine Ressource zuzugreifen, geklärt mit dem ersten Zugriffsniveau, berechtigt ist, exklusiv unter den Nutzern auf die Ressource zuzugreifen, basierend auf dem Prioritätsrecht oder Vorrecht in dem zweiten Token, relativ zu jedem Nutzer, der Zugriff auf die Ressource sucht.
  14. Verfahren nach Anspruch 13, das weiterhin den Schritt des Bereitstellens eines Identitäts-Providers mit einer Schnittstelle umfasst, wobei die Schnittstelle erlaubt, dass die Arbitermetrik, die dem gesicherten Token zugewiesen ist, durch den Identitäts-Provider während des Betriebs des Suchens und Erhaltens des Nutzens der Ressource befragt wird.
  15. Verfahren nach Anspruch 14, das weiterhin den Schritt des Bereitstellens eines Prioritäts-Providers entfernt von dem Identitäts-Provider umfasst, wobei der Identitäts-Provider die Attribute in den gesicherten Token mit dem einen oder den mehreren Prozessoren einbettet.
  16. Verfahren nach Anspruch 14, das weiterhin den Schritt zum Zuweisen einer vorgeschriebenen Richtlinie zu dem Prioritäts-Provider umfasst, um die Arbitermetrik zu bilden, basierend auf wenigstens einem aus Folgendem: Rolle des Nutzers, erfahrenes Ereignis, Notfalltyp und Rechtsprechung.
  17. Verfahren nach Anspruch 16, das weiterhin den Schritt des dynamischen Wechselns der Arbitermetriken basierend auf irgendeiner Veränderung von wenigstens einem aus Folgendem umfasst: Rolle des Nutzers, erfahrenes Ereignis, Notfalltyp und Rechtsprechung, durch den Vorgang des Suchens und des Erhaltens des Nutzens der Ressource hindurch.
  18. Verfahren nach Anspruch 13, das weiterhin den Schritt umfasst, dass dem Nutzer eine Schnittstellenvorrichtung zur Verfügung gestellt wird, um auf den Identitäts-Provider zuzugreifen und die Ressource zu kontaktieren.
  19. System zum Verteilen (”arbitrating”) von Zugriff zwischen Nutzern einer Ressource, wobei das System umfasst: einen Prioritäts-Provider mit einem oder mehreren Prozessoren zum Berechnen von Arbitermetrik umfassend ein Prioritätsrecht und/oder ein Vorrecht; einen Identitäts-Provider mit einem oder mehreren Prozessoren zum Einbetten von Attributen in einen gesicherten Token, wobei die Attribute Autorisierungsrechte und/oder Authentifizierungsrechte umfassen sowie eine Arbitermetrik; und Speicher, der mit dem einen oder den mehreren Prozessoren gekoppelt ist, der eine oder mehrere Instruktionen umfasst, die mit dem einen oder den mehreren Prozessoren ausführbar sind, wobei der eine oder die mehreren Prozessoren betreibbar sind, wenn die folgenden Instruktionen ausgeführt werden: Erkennen wenigstens eines der Attribute in dem gesicherten Token relativ zu dem einen oder den mehreren Nutzern, die eine Ressource nutzten möchten; und Bestimmen des Zugriffsniveaus des einen oder der mehreren Nutzer basierend auf dem Prioritätsrecht oder dem Vorrecht in dem zweiten Token relativ zu jedem Nutzer, der Zugriff auf eine Ressource sucht.
  20. System nach Anspruch 19, wobei der Identitäts-Provider eine PCRF enthält, mit einer Schnittstelle, die der Arbitermetrik des zugewiesenen gesicherten Token erlaubt, von dem Identitäts-Provider während des Vorgangs zum Suchen und Erhalten von Nutzung der Ressource hindurch befragt zu werden.
DE112013004285.1T 2012-08-31 2013-08-21 Priorisierter Token-basierter Arbiter und Verfahren Withdrawn DE112013004285T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/601,748 US9043865B2 (en) 2012-08-31 2012-08-31 Prioritized token based arbiter and method
US13/601,748 2012-08-31
PCT/US2013/055927 WO2014035747A1 (en) 2012-08-31 2013-08-21 Prioritized token based arbiter and method

Publications (1)

Publication Number Publication Date
DE112013004285T5 true DE112013004285T5 (de) 2015-05-21

Family

ID=49118783

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112013004285.1T Withdrawn DE112013004285T5 (de) 2012-08-31 2013-08-21 Priorisierter Token-basierter Arbiter und Verfahren

Country Status (5)

Country Link
US (1) US9043865B2 (de)
CA (1) CA2881090C (de)
DE (1) DE112013004285T5 (de)
GB (1) GB2519263B (de)
WO (1) WO2014035747A1 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8949939B2 (en) 2010-10-13 2015-02-03 Salesforce.Com, Inc. Methods and systems for provisioning access to customer organization data in a multi-tenant system
US9477526B2 (en) * 2013-09-04 2016-10-25 Nvidia Corporation Cache utilization and eviction based on allocated priority tokens
US20150254577A1 (en) * 2014-03-07 2015-09-10 NetSuite Inc. System and methods for location based management of cloud platform data
US9531719B1 (en) * 2014-04-29 2016-12-27 Amazon Technologies, Inc. Permissions for hybrid distributed network resources
US9432379B1 (en) * 2014-10-09 2016-08-30 Emc Corporation Dynamic authorization in a multi-tenancy environment via tenant policy profiles
US10412585B2 (en) * 2015-09-28 2019-09-10 Guangdong Oppo Mobile Telecommunicaions Corp., Ltd. User identity authentication method and device
US10038723B2 (en) * 2015-11-10 2018-07-31 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for reliable token revocation
US10902722B2 (en) * 2017-05-11 2021-01-26 Motorola Solutions, Inc. Method for providing incident specific information at a vehicle computer
EP3935500A1 (de) 2019-03-06 2022-01-12 Live Nation Entertainment, Inc. Systeme und verfahren zur warteschlangensteuerung basierend auf client-spezifischen protokollen
US11297554B2 (en) 2019-03-28 2022-04-05 At&T Intellectual Property I, L.P. Candidate beam selection and control for 5G or other next generation network
US11064337B2 (en) * 2019-03-28 2021-07-13 At&T Intellectual Property I, L.P. Beam as a service for 5G or other next generation network
US10880836B2 (en) 2019-03-28 2020-12-29 At&T Intellectual Property I, L.P. Beam provisioning for sensory data collection for 5G or other next generation networks
US11026095B2 (en) 2019-07-31 2021-06-01 At&T Intellectual Property I, L.P. Real-time network provisioning for distributed virtual zones of collaborative mobile devices for 5G or other next generation network
US11520679B1 (en) * 2021-05-12 2022-12-06 International Business Machines Corporation Resource access based on user access ratings during constrained system performance

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6182177B1 (en) * 1997-06-13 2001-01-30 Intel Corporation Method and apparatus for maintaining one or more queues of elements such as commands using one or more token queues
AU2001253702A1 (en) * 2000-04-19 2001-10-30 Broadcom Corporation Apparatus and method for persistent display interface
WO2002096036A1 (en) * 2001-05-22 2002-11-28 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for arbitrating access to a shared channel of a token-based network communication system
US6909380B2 (en) * 2003-04-04 2005-06-21 Lockheed Martin Corporation Centralized traffic signal preemption system and method of use
US20050144401A1 (en) * 2003-12-30 2005-06-30 Pantalone Brett A. Multiprocessor mobile terminal with shared memory arbitration
US8365293B2 (en) * 2005-01-25 2013-01-29 Redphone Security, Inc. Securing computer network interactions between entities with authorization assurances
US7685297B2 (en) 2005-12-06 2010-03-23 Nokia Corporation Resource control
US8775602B2 (en) * 2006-06-01 2014-07-08 Avaya Inc. Alarm-driven access control in an enterprise network
US8726339B2 (en) * 2011-08-15 2014-05-13 Bank Of America Corporation Method and apparatus for emergency session validation
US10002021B2 (en) * 2012-07-20 2018-06-19 Qualcomm Incorporated Deferred preemption techniques for scheduling graphics processing unit command streams

Also Published As

Publication number Publication date
GB2519263A (en) 2015-04-15
CA2881090C (en) 2017-06-06
GB2519263B (en) 2019-07-17
WO2014035747A1 (en) 2014-03-06
GB201501729D0 (en) 2015-03-18
US20140068700A1 (en) 2014-03-06
US9043865B2 (en) 2015-05-26
CA2881090A1 (en) 2014-03-06

Similar Documents

Publication Publication Date Title
DE112013004285T5 (de) Priorisierter Token-basierter Arbiter und Verfahren
DE112015004813B4 (de) Systeme und verfahren zur gemeinsamen nutzung von medien und dateninhalt über mehrere geräte durch lokale nähe
DE102014119363A1 (de) Autorisierungsverwaltungsserver und autorisierungsverwaltungsverfahren
DE112010003464B4 (de) Modifikation von Zugangskontrolllisten
DE102014222852A1 (de) Autorisierungsserversystem, Steuerverfahren dafür und Speichermedium
DE112020000538T5 (de) Feinkörnige zugriffskontrolle auf token-grundlage
DE202017105755U1 (de) Spektrumzugriff für ortsfestes LTE-Teilnehmergerät
DE112011101357T5 (de) Dynamisches Token für den vorübergehenden Datenzugriff
DE102012220514A1 (de) Steuern der nutzung von datenverarbeitungsressourcen ineiner service-datenbank
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
DE102016012835B4 (de) Automatisches Identifizieren einer verringerten Verfügbarkeit von Vielkanalmedienverteilern zur Authentisierung oder Autorisierung
DE112017002794T5 (de) Verfahren und vorrichtung zum ausstellen eines berechtigungsnachweises für ein incident area network
EP2159653A1 (de) Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
DE112016002392T5 (de) Autorisierung in einem verteilten System unter Verwendung von Zugriffssteuerungslisten und Gruppen
DE112013002539T5 (de) Validierung mobiler Einheiten
DE112022004486T5 (de) Schrittweises überprüfen von zugriffs-token
EP2678795B1 (de) Verfahren zur öffentlichen bereitstellung geschützter elektronischer dokumente
DE112021005656T5 (de) Analyse der rollenerreichbarkeit mit transitiven tags
DE102016013498A1 (de) Automatisches Bestimmen der Wiederverfügbarkeit von Vielkanalmedienverteilern zur Authentisierung oder Autorisierung
EP2163961A1 (de) Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
DE112016006524T5 (de) Authentifizierung einer Fahrzeugcomputeraktualisierung
DE102014108162A1 (de) Verfahren zur Bedienung eines Feldgerätes vermittels eines Bediengerätes
DE102020105061A1 (de) Verfahren und vorrichtung für fahrzeugunterstützte dynamische mehrfaktorauthentifizierung
DE102014106310A1 (de) Vertrauensniveauberechnung mit attributspezifischen Funktionen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: MOTOROLA SOLUTIONS, INC., CHICAGO, US

Free format text: FORMER OWNER: MOTOROLA SOLUTIONS, INC., SCHAUMBURG, ILL., US

R082 Change of representative

Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee