JP2006254464A - アクセス管理システム等におけるリソース等にアクセスする権限の委任 - Google Patents
アクセス管理システム等におけるリソース等にアクセスする権限の委任 Download PDFInfo
- Publication number
- JP2006254464A JP2006254464A JP2006067702A JP2006067702A JP2006254464A JP 2006254464 A JP2006254464 A JP 2006254464A JP 2006067702 A JP2006067702 A JP 2006067702A JP 2006067702 A JP2006067702 A JP 2006067702A JP 2006254464 A JP2006254464 A JP 2006254464A
- Authority
- JP
- Japan
- Prior art keywords
- administrator
- credit information
- issued
- resource
- requester
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】第1の組織の第1の管理者は、第1の信用情報を第2の組織の第2の管理者に発行する。この第1の信用情報には、第2の管理者が第1の管理者に代わって第2の信用情報を要求者に発行することができるというポリシーが含まれる。第2の管理者は、発行された第1の信用情報を含む第2の信用情報を要求者に発行する。要求者はリソースへのアクセスを要求し、その要求に発行された第1および第2の信用情報を含める。リソースは、発行された第1の信用情報が第1の管理者を第2の管理者に結びつけ、発行された第2の信用情報が第2の管理者を要求者に結びつけるものであることを検証する。したがってリソースは、要求が、第1の管理者から第2の管理者を経由して要求者に委任された権限に基づくものであることを確認することができる。
【選択図】図4
Description
図1および以下の議論は、本発明を実装することができる適切なコンピュータ環境についての簡潔で一般的な説明を提供することを意図したものである。しかし、ハンドヘルド、ポータブル、および他のあらゆる種類のコンピュータ装置が、本発明とともに使用されることが企図されていることを理解されたい。以下では汎用コンピュータについて説明しているが、これは一例に過ぎず、本発明はネットワークサーバとの相互接続および対話が可能なシンクライアントだけを必要とする。したがって、本発明は、例えばクライアント装置が単なるブラウザまたはワールドワイドウェブへのインタフェースとしてだけ機能するネットワーク環境など、非常に少ないまたは最小のクライアントリソースを意味するネットワークホストサービスの環境に実装することができる。
次に図3を参照すると、よく知られているように、デジタル情報に適用されるアクセス管理では、組織10の環境の内部等で、組織10のリソース314に情報を要求する組織10の内部の要求者12は信用情報16をリソース314に提示しなければならない。信用情報16は、要求者12を識別するものであり、例えば組織10に対する要求者12の関係を含むことができる。
上述のように、組織10内部のリソース314は一般に、要求者12にアクセス権を提供するかどうかを決定する際に、要求者12によって提供される信用情報16を調査し、信用情報16が組織10の信頼できる管理者18に結びつけられていることを確認する。しかし重要なことは、要求者12が適切な信用情報16をしばしば欠いており、提供された信用情報16だけに基づいてはリソース314へのアクセスが許可されないことがあり得るが、それでもなお、他の信頼できるエンティティによる判断に基づいてリソース314へのアクセスを許可すべきことが多いことである。さらに、要求者12が組織10にしばしば属しておらず、組織10からの信用情報16を有していない場合もあるが、それでもやはり、組織のリソース314へのアクセスを許可すべきことも多い。
表明する権限
表明のマッチング A*
委任先プリンシパルの種類 P*
従う条件 C*
発行元 I
有効期限 D
上記ポリシーステートメントにおいて、
− Pは、委任が許可されている特定のプリンシパルの参照名である。
本開示は、特定の動作を実施するリソース314に関して述べているが、実際にはリソースマネージャがリソース314に代わってそのような動作を実施する場合もあることを理解されたい。よく知られているように、実際にはリソースマネージャがリソース314を管理し、リソース314に対するアクセス制御の決定を行うことも良くある。いずれにしても、特に区別する必要がない場合は、動作を実施するリソース314は、リソース314に代わって動作を実施するリソースマネージャの均等物と見なすことができ、その逆も同様である。
10b サーバオブジェクト
10c 組織
12 要求者
12b 要求者
12c 要求者
12c1 購入要求者
14 通信ネットワーク/バス
14a リソース
16 信用情報
16a 信用情報
16b 信用情報
18 管理者
18a 管理者
18b 管理者
18c 管理者
18c1 購入副管理者
20 データベース
100 コンピュータ環境
110a コンピュータ装置
110b コンピュータ装置
110c コンピュータ装置
110d コンピュータ装置
110e コンピュータ装置
120 処理ユニット
121 システムバス
130 システムメモリ
131 (ROM)
132 (RAM)
133 BIOS
134 オペレーティングシステム
135 アプリケーションプログラム
136 他のプログラムモジュール
137 プログラムデータ
140 固定不揮発メモリインタフェース
144 オペレーティングシステム
145 アプリケーションプログラム
146 他のプログラムモジュール
147 プログラムデータ
150 リムーバブル不揮発メモリインタフェース
160 ユーザ入力インタフェース
161 マウス
162 キーボード170 ネットワークインタフェース
171 ローカルエリアネットワーク
172 モデム
173 ワイドエリアネットワーク
180 リモートコンピュータ
182 グラフィックインタフェース
184 GPU
185 リモートアプリケーションプログラム
186 ビデオメモリ
190 ビデオインタフェース
191 モニタ
195 出力ペリフェラルインタフェース
196 プリンタ
197 スピーカ
314 リソース
410a 組織
410b 組織
501 管理者18Aは委任信用情報16Aを管理者18Bに送る。委任信用情報16Aは、管理者18Bが委任信用情報16Bを管理者18Aの代わりに発行することができるというポリシーを含む
503 管理者18Bは、委任信用情報16Aを含む委任信用情報16Bを要求者12Bに発行する
505 要求者12Bは、信用情報16A,16Bを含むアクセスをリソース14Aに要求する
507 リソース14Aは、委任信用情報16Aの(S(PR−A))に(PU−A)を適用して検証する
509 委任信用情報16Aから(PU−B)を取得する
511 委任信用情報16Bの(S(PR−B))に(PU−B)を適用して検証する
513 全ての署名が有効な場合は、要求の処理を進める
Claims (21)
- 第1の組織のリソースが前記リソースへのアクセスを第2の組織の要求者に提供する方法であって、前記第1の組織は前記リソースによって信頼された第1の管理者を有し、前記第2の組織は第2の管理者を有し、前記第1および第2の各管理者は各エンティティに信用情報を発行し、管理者によってエンティティに発行された各信用情報は前記エンティティを前記発行元管理者に結びつけるとともに前記エンティティと前記発行元管理者の間の関係を明示し、さらに前記方法は、
前記第1の管理者が前記第2の管理者に第1の信用情報を発行し、前記発行された第1の信用情報は前記第2の管理者が前記第1の管理者の代わりに第2の信用情報を前記要求者に発行することができるというポリシーを記載し、前記第2の管理者は前記第1の管理者の代わりに前記第2の信用情報を前記要求者に実際に発行し、前記発行された第2の信用情報は前記発行された第1の信用情報を含み、前記第2の組織の前記要求者は後ほど前記第1の組織の前記リソースにアクセスを要求し、その要求の際に前記発行された第1の信用情報および前記発行された第2の信用情報を前記要求に含めるステップと、
前記リソースが、前記発行された第1の信用情報および前記発行された第2の信用情報を含む前記要求を前記要求者から受信するステップと、
前記リソースが、前記発行された第1の信用情報を検証して前記発行された第1の信用情報が前記信頼される第1の管理者を前記第2の管理者に結びつけていることを確認し、また前記発行された第1の信用情報の前記ポリシーにより前記第2の管理者が前記第2の信用情報を前記要求者に発行することが許可されていることを確認するステップと、
前記リソースが、前記発行された第2の信用情報を検証して前記発行された第2の信用情報が前記第2の管理者を前記要求者に結びつけていることを確認するステップと、
前記検証に成功したと想定して、前記リソースが、前記要求者からの前記要求が前記信頼される第1の管理者から前記第2の管理者を経由して前記要求者に委任された権限に基づくものであることを認識することにより、前記リソースへの前記要求の処理を進めるステップと
を備え、
それによって、前記第1の組織の前記信頼される第1の管理者により前記要求者に信用情報が全く発行されていない場合でも、前記第1の組織の前記リソースは前記第2の組織の前記要求者を認識しアクセスを許可することができることを特徴とする方法。 - 前記第1の管理者は、前記第2の管理者が前記要求者を含むエンティティの特定の組に前記第2の信用情報を発行することができるというポリシーを記載した前記第1の信用情報を、前記第2の管理者に発行することを特徴とする請求項1に記載の方法。
- 前記第1の管理者は、前記リソースに関して前記要求者が有する権限を制限するというポリシーをさらに記載した前記第1の信用情報を、前記第2の管理者に発行することを特徴とする請求項1に記載の方法。
- 前記第1の管理者は公開/秘密鍵ペア(PU−A,PR−A)を有し、前記第2の管理者は公開/秘密鍵ペア(PU−B,PR−B)を有し、前記第1の管理者は、前記第2の管理者の前記公開鍵(PU−B)と、前記第1の管理者の前記秘密鍵に基づくデジタル署名(S(PR−A))とを含む前記第1の信用情報を前記第2の管理者に発行し、前記第2の管理者は、前記第2の管理者の前記秘密鍵に基づくデジタル署名(S(PR−B))を含む前記第2の信用情報を前記要求者に発行することを特徴とする請求項1に記載の方法。
- 前記リソースは(PU−A)に関する知識を有しており、前記方法は、
前記リソースが前記発行された第1の信用情報の(S(PR−A))に(PU−A)を適用して前記第1の信用情報を検証するステップと、
前記検証に成功したと想定して、次に前記リソースが前記検証された第1の信用情報から(PU−B)を取得し、前記発行された第2の信用情報の(S(PR−B))に前記(PU−B)を適用して前記第2の信用情報を検証するステップと
を備えることを特徴とする請求項4に記載の方法。 - 前記第1の管理者は、前記要求者が前記リソースにアクセスすることを許可するというポリシーをさらに記載した第1の信用情報を前記第2の管理者に発行し、前記第2の管理者は、前記第1の管理者に代わって前記第2の信用情報を前記要求者に発行するとともに前記要求者が前記リソースにアクセスすることを許可するというポリシーを含めるステップと、
前記リソースはさらに、前記発行された第1の信用情報を検証して、前記発行された第1の信用情報により前記要求者が前記リソースにアクセスすることが許可されていることを確認するステップと、
前記リソースはさらに、前記発行された第2の信用情報を検証して、前記発行された第2の信用情報により前記要求者が前記リソースにアクセスすることが許可されていることを確認するステップと
を備えることを特徴とする請求項1に記載の方法。 - 各ポリシーを含むように各信用情報を発行するステップであって、前記各ポリシーは以下のように指定され、
プリンシパル P
表明する権限
表明のマッチング A*
委任先プリンシパルの種類 P*
従う条件 C*
発行元 I
有効期間 D
上記ポリシーにおいて、Pは委任が許可されている特定のプリンシパルを表し、A*は全ての有効な委任表明がマッチすべき1つまたは複数のパターンであり、P*はPが委任することができる値エンティティを識別する1つまたは複数のパターンであり、C*はPによる任意の委任に関するゼロまたはいくつかの条件であり、Iは前記ポリシーを発行する前記エンティティであり、Dは前記委任許可が有効である期間を示すステップを備えることを特徴とする請求項1に記載の方法。 - 第1の組織のリソースが前記リソースへのアクセスを第3の組織を経由して第2の組織の要求者に提供する方法であって、前記第1の組織は前記リソースによって信頼された第1の管理者を有し、前記第2の組織は第2の管理者を有し、前記第3の組織は第3の管理者を有し、各管理者は各エンティティに信用情報を発行し、管理者によってエンティティに発行された各信用情報は前記エンティティを前記発行元管理者に結びつけるとともに前記エンティティと前記発行元管理者の間の関係を明示し、さらに前記方法は、
前記第1の管理者が前記第3の管理者に第1の信用情報を発行し、前記発行された第1の信用情報は、前記第3の管理者が前記第1の管理者の代わりに第2の信用情報を前記第2の管理者に発行することができかつ前記第2の管理者が前記第1の管理者の代わりに第3の信用情報を前記要求者に発行することができるというポリシーを記載し、前記第3の管理者は前記第1の管理者の代わりに前記第2の信用情報を実際に前記第2の管理者に発行しかつ前記第2の管理者は前記第1の管理者の代わりに第3の信用情報を前記要求者に実際に発行し、前記発行された第2の信用情報は前記発行された第1の信用情報を含み、前記発行された第3の信用情報は前記発行された第1の信用情報および前記発行された第2の信用情報を含み、前記第2の組織の前記要求者は後ほど前記第1の組織の前記リソースにアクセスを要求し、その要求の際に前記発行された第1の信用情報および前記発行された第2の信用情報および前記発行された第3の信用情報を前記要求に含めるステップと、
前記リソースが、前記発行された第1の信用情報および前記発行された第2の信用情報および前記発行された第3の信用情報を含む前記要求を前記要求者から受信するステップと、
前記リソースが、前記発行された第1の信用情報を検証して前記発行された第1の信用情報が前記信頼された第1の管理者を前記第3の管理者に結びつけていることを確認し、また前記発行された第1の信用情報の前記ポリシーにより前記第3の管理者が前記第2の信用情報を前記第2の管理者に発行することが許可されていることおよび前記発行された第1の信用情報の前記ポリシーにより前記第2の管理者が前記第3の信用情報を前記要求者に発行することも許可されていることを確認するステップと、
前記リソースが、前記発行された第2の信用情報を検証して前記発行された第2の信用情報が前記第3の管理者を前記第2の管理者に結びつけていることを確認し、また前記発行された第2の信用情報の前記ポリシーにより前記第2の管理者が前記第3の信用情報を前記要求者に発行することが許可されていることを確認するステップと、
前記リソースが、前記発行された第3の信用情報を検証して前記発行された第3の信用情報が前記第2の管理者を前記要求者に結びつけていることを確認するステップと、
前記検証に成功したと想定して、前記リソースが、前記要求者からの前記要求が前記信頼される第1の管理者から前記第3の管理者および前記第2の管理者を経由して前記要求者に委任された権限に基づくものであることを認識することにより、前記リソースへの前記要求の処理を進めるステップと
を備え、
それによって、前記第1の組織の前記信頼される第1の管理者により前記要求者に信用情報が全く発行されていない場合でも、前記第1の組織の前記リソースは前記第2の組織の前記要求者を認識しアクセスを許可することができることを特徴とする方法。 - 前記第1の管理者は、前記第2の管理者が前記要求者を含む特定の組のエンティティに前記第3の信用情報を発行することができるというポリシーを記載する前記第1の信用情報を、前記第3の管理者に発行することを特徴とする請求項8に記載の方法。
- 前記第1の管理者は、前記リソースに関して前記要求者が有している権限を制限するというポリシーをさらに記載する前記第1の信用情報を前記第3の管理者に発行することを特徴とする請求項8に記載の方法。
- 前記第1の管理者は公開/秘密鍵ペア(PU−A,PR−A)を有し、前記第2の管理者は公開/秘密鍵ペア(PU−B,PR−B)を有し、前記第3の管理者は公開/秘密鍵ペア(PU−C,PR−C)を有し、前記第1の管理者は、前記第3の管理者の前記公開鍵(PU−C)と、前記第1の管理者の前記秘密鍵に基づくデジタル署名(S(PR−A))とを含む前記第1の信用情報を前記第3の管理者に発行し、前記第3の管理者は、前記第2の管理者の前記公開鍵(PU−B)と、前記第3管理者の前記秘密鍵に基づくデジタル署名(S(PR−C))とを含む前記第2の信用情報を前記第2の管理者に発行し、前記第2の管理者は、前記第2の管理者の前記秘密鍵に基づくデジタル署名(S(PR−B))を含む前記第3の信用情報を前記要求者に発行することを特徴とする請求項8に記載の方法。
- 前記リソースは(PU−A)に関する知識を有しており、前記方法は、
前記リソースが前記発行された第1の信用情報の(S(PR−A))に(PU−A)を適用して前記第1の信用情報を検証するステップと、
前記検証に成功したと想定して、次に前記リソースが前記検証された第1の信用情報から(PU−C)を取得し、前記発行された第2の信用情報の(S(PR−C))に前記(PU−C)を適用して前記第2の信用情報を検証するステップと、
前記検証に成功したと想定して、次に前記リソースが前記検証された第2の信用情報から(PU−B)を取得し、前記発行された第3の信用情報の(S(PR−B))に前記(PU−B)を適用して前記第3の信用情報を検証するステップと
を備えることを特徴とする請求項11に記載の方法。 - 前記第1の管理者は、前記要求者が前記リソースにアクセスすることを許可するというポリシーをさらに記載した第1の信用情報を前記第3の管理者に発行し、前記第3の管理者は、前記第1の管理者に代わって前記第2の信用情報を前記第2の管理者に発行するとともに前記要求者が前記リソースにアクセスすることを許可するというポリシーを含め、前記第2の管理者は、前記第1の管理者に代わって前記第3の信用情報を前記要求者に発行するとともに前記要求者が前記リソースにアクセスすることを許可するというポリシーを含めるステップと、
前記リソースはさらに、前記発行された第1の信用情報を検証して、前記発行された第1の信用情報により前記要求者が前記リソースにアクセスすることが許可されていることを確認するステップと、
前記リソースはさらに、前記発行された第2の信用情報を検証して、前記発行された第2の信用情報により前記要求者が前記リソースにアクセスすることが許可されていることを確認するステップと、
前記リソースはさらに、前記発行された第3の信用情報を検証して、前記発行された第3の信用情報により前記要求者が前記リソースにアクセスすることが許可されていることを確認するステップと
を備えることを特徴とする請求項8に記載の方法。 - 各ポリシーを含むように各信用情報を発行するステップであって、前記各ポリシーは以下のように指定され、
プリンシパル P
表明する権限
表明のマッチング A*
委任先プリンシパルの種類 P*
従う条件 C*
発行元 I
有効期間 D
上記ポリシーにおいて、Pは委任が許可されている特定のプリンシパルを表し、A*は全ての有効な委任表明がマッチすべき1つまたは複数のパターンであり、P*はPが委任することができる値エンティティを識別する1つまたは複数のパターンであり、C*はPによる任意の委任に関するゼロまたはいくつかの条件であり、Iは前記ポリシーを発行する前記エンティティであり、Dは前記委任許可が有効である期間を示すステップを含むことを特徴とする請求項8に記載の方法。 - 組織のリソースがそのリソースへのアクセスを、仲介者を経由して要求者に提供する方法であって、前記組織は前記リソースによって信頼される管理者を有しており、さらに前記方法は、
前記管理者が前記仲介者に第1の信用情報を発行し、前記発行された第1の信用情報は前記仲介者が前記管理者の代わりに第2の信用情報を前記要求者に発行することができるというポリシーを記載し、前記仲介者は前記管理者の代わりに前記第2の信用情報を前記要求者に実際に発行し、前記発行された第2の信用情報は前記発行された第1の信用情報を含み、前記要求者は後ほど前記組織の前記リソースにアクセスを要求し、また要求の際に前記要求に前記発行された第1の信用情報および前記発行された第2の信用情報を含めるステップと、
前記リソースが、前記発行された第1の信用情報および前記発行された第2の信用情報を含む前記要求を前記要求者から受信するステップと、
前記リソースが、前記発行された第1の信用情報を検証して前記発行された第1の信用情報が前記信頼される管理者を前記仲介者に結びつけていることを確認し、また前記発行された第1の信用情報の前記ポリシーにより前記仲介者が前記第2の信用情報を前記要求者に発行することが許可されていることを確認するステップと、
前記リソースが、前記発行された第2の信用情報を検証して前記発行された第2の信用情報が前記仲介者を前記要求者に結びつけていることを確認するステップと、
前記検証に成功したと想定して、前記リソースが、前記要求者からの前記要求が前記信頼される管理者から前記仲介者を経由して前記要求者に委任された権限に基づくものであることを認識することにより、前記リソースへの前記要求の処理を進めるステップと
を含み、
それによって、前記組織の前記信頼される管理者によって前記要求者に信用情報が全く発行されていない場合でも、前記組織の前記リソースは、前記要求者を認識しアクセスを許可することができることを特徴とする方法。 - 前記管理者は、前記仲介者が前記要求者を含む特定の組のエンティティに前記第2の信用情報を発行することができるというポリシーを記載する前記第1の信用情報を、前記仲介者に発行することを特徴とする請求項15に記載の方法。
- 前記管理者は、前記リソースに関して前記要求者が有している権限を制限するというポリシーをさらに記載する前記第1の信用情報を、前記仲介者に発行することを特徴とする請求項15に記載の方法。
- 前記管理者は公開/秘密鍵ペア(PU−A,PR−A)を有し、前記仲介者は公開/秘密鍵ペア(PU−B,PR−B)を有し、前記管理者は、前記仲介者の前記公開鍵(PU−B)と、前記管理者の前記秘密鍵に基づくデジタル署名(S(PR−A))とを含む前記第1の信用情報を前記仲介者に発行し、前記仲介者は、前記仲介者の前記秘密鍵に基づくデジタル署名(S(PR−B))を含む前記第2の信用情報を前記要求者に発行することを特徴とする請求項15に記載の方法。
- 前記リソースは(PU−A)に関する知識を有しており、前記方法は、
前記リソースが前記発行された第1の信用情報の(S(PR−A))に(PU−A)を適用して前記第1の信用情報を検証するステップと、
前記検証に成功したと想定して、次に前記リソースが前記検証された第1の信用情報から(PU−B)を取得し、前記発行された第2の信用情報の(S(PR−B))に前記(PU−B)を適用して前記第2の信用情報を検証するステップと
を備えることを特徴とする請求項18に記載の方法。 - 前記管理者は、前記要求者が前記リソースにアクセスすることを許可するというポリシーをさらに記載した第1の信用情報を前記仲介者に発行し、前記仲介者は、前記管理者に代わって前記第2の信用情報を前記要求者に発行するとともに前記要求者が前記リソースにアクセスすることを許可するというポリシーを含めるステップと、
前記リソースはさらに、前記発行された第1の信用情報を検証して、前記発行された第1の信用情報により前記要求者が前記リソースにアクセスすることが許可されていることを確認するステップと、
前記リソースはさらに、前記発行された第2の信用情報を検証して、前記発行された第2の信用情報により前記要求者が前記リソースにアクセスすることが許可されていることを確認するステップと
を備えることを特徴とする請求項15に記載の方法。 - 各ポリシーを含むように各信用情報を発行するステップであって、前記各ポリシーは以下のように指定され、
プリンシパル P
表明する権限
表明のマッチング A*
委任先プリンシパルの種類 P*
従う条件 C*
発行元 I
有効期間 D
上記ポリシーにおいて、Pは委任が許可されている特定のプリンシパルを表し、A*は全ての有効な委任表明がマッチすべき1つまたは複数のパターンであり、P*はPが委任することができる値エンティティを識別する1つまたは複数のパターンであり、C*はPによる任意の委任に関するゼロまたはいくつかの条件であり、Iは前記ポリシーを発行する前記エンティティであり、Dは前記委任許可が有効である期間を示すステップを備えることを特徴とする請求項15に記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/077,574 US7770206B2 (en) | 2005-03-11 | 2005-03-11 | Delegating right to access resource or the like in access management system |
US11/077,574 | 2005-03-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006254464A true JP2006254464A (ja) | 2006-09-21 |
JP4880331B2 JP4880331B2 (ja) | 2012-02-22 |
Family
ID=36586039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006067702A Expired - Fee Related JP4880331B2 (ja) | 2005-03-11 | 2006-03-13 | アクセス管理システム等におけるリソース等にアクセスする権限の委任 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7770206B2 (ja) |
EP (1) | EP1701286A3 (ja) |
JP (1) | JP4880331B2 (ja) |
KR (1) | KR20060097584A (ja) |
CN (1) | CN1831833B (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007293859A (ja) * | 2006-04-21 | 2007-11-08 | Pantech Co Ltd | ユーザードメインの管理方法 |
US7966460B2 (en) | 2007-12-19 | 2011-06-21 | Fuji Xerox Co., Ltd. | Information usage control system, information usage control device and method, and computer readable medium |
US8079089B2 (en) | 2007-12-21 | 2011-12-13 | Fuji Xerox Co., Ltd. | Information usage control system and information usage control device |
CN103309307A (zh) * | 2013-05-15 | 2013-09-18 | 重庆邮电大学 | 一种基于对象访问控制的智能家电控制方法 |
US8544066B2 (en) | 2007-12-27 | 2013-09-24 | Nec Corporation | Access right management system, access right management method, and access right management program |
JP2014075128A (ja) * | 2012-10-02 | 2014-04-24 | Boeing Co | パノラマ的な視覚化文書アクセス制御 |
US9282104B2 (en) | 2013-04-04 | 2016-03-08 | Canon Kabushiki Kaisha | Access management service system and method for controlling same, and non-transitory computer readable medium |
Families Citing this family (75)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
KR100926804B1 (ko) | 2004-04-30 | 2009-11-12 | 리서치 인 모션 리미티드 | 데이터 전송을 처리하기 위한 시스템 및 방법 |
US7568237B2 (en) * | 2005-05-26 | 2009-07-28 | Health Allianze | Access control list with convolution-weakened authorization |
US8301753B1 (en) | 2006-06-27 | 2012-10-30 | Nosadia Pass Nv, Limited Liability Company | Endpoint activity logging |
US8214482B2 (en) * | 2006-06-27 | 2012-07-03 | Nosadia Pass Nv, Limited Liability Company | Remote log repository with access policy |
US7668954B1 (en) | 2006-06-27 | 2010-02-23 | Stephen Waller Melvin | Unique identifier validation |
US8201215B2 (en) * | 2006-09-08 | 2012-06-12 | Microsoft Corporation | Controlling the delegation of rights |
US20080066169A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Fact Qualifiers in Security Scenarios |
US20080065899A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Variable Expressions in Security Assertions |
US7814534B2 (en) * | 2006-09-08 | 2010-10-12 | Microsoft Corporation | Auditing authorization decisions |
US20080066158A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Authorization Decisions with Principal Attributes |
US8060931B2 (en) * | 2006-09-08 | 2011-11-15 | Microsoft Corporation | Security authorization queries |
US8095969B2 (en) * | 2006-09-08 | 2012-01-10 | Microsoft Corporation | Security assertion revocation |
US8938783B2 (en) * | 2006-09-11 | 2015-01-20 | Microsoft Corporation | Security language expressions for logic resolution |
US20080066147A1 (en) * | 2006-09-11 | 2008-03-13 | Microsoft Corporation | Composable Security Policies |
US8656503B2 (en) | 2006-09-11 | 2014-02-18 | Microsoft Corporation | Security language translations with logic resolution |
US8239954B2 (en) * | 2007-05-07 | 2012-08-07 | Microsoft Corporation | Access control based on program properties |
US8825999B2 (en) | 2007-10-20 | 2014-09-02 | Blackout, Inc. | Extending encrypting web service |
US8549278B2 (en) * | 2007-10-20 | 2013-10-01 | Blackout, Inc. | Rights management services-based file encryption system and method |
US8549326B2 (en) * | 2007-10-20 | 2013-10-01 | Blackout, Inc. | Method and system for extending encrypting file system |
US8607311B2 (en) * | 2007-12-21 | 2013-12-10 | Microsoft Corporation | Delegation in logic-based access control |
US8010560B2 (en) * | 2007-12-21 | 2011-08-30 | Microsoft Corporation | Abducing assertion to support access query |
US8839344B2 (en) * | 2008-01-28 | 2014-09-16 | Microsoft Corporation | Access policy analysis |
US8850544B1 (en) * | 2008-04-23 | 2014-09-30 | Ravi Ganesan | User centered privacy built on MashSSL |
CN101645882B (zh) * | 2008-08-06 | 2012-08-29 | 华为技术有限公司 | 基于条件的用户选择的管理方法、服务器和系统 |
US20100175113A1 (en) * | 2009-01-05 | 2010-07-08 | International Business Machine Corporation | Secure System Access Without Password Sharing |
US9348992B2 (en) * | 2010-07-02 | 2016-05-24 | Ebay Inc. | Linked identities |
US9258312B1 (en) | 2010-12-06 | 2016-02-09 | Amazon Technologies, Inc. | Distributed policy enforcement with verification mode |
US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
US8973108B1 (en) * | 2011-05-31 | 2015-03-03 | Amazon Technologies, Inc. | Use of metadata for computing resource access |
US8769642B1 (en) * | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
US8752143B2 (en) * | 2011-08-15 | 2014-06-10 | Bank Of America Corporation | Method and apparatus for token-based reassignment of privileges |
US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
US9161226B2 (en) | 2011-10-17 | 2015-10-13 | Blackberry Limited | Associating services to perimeters |
EP2592578A1 (en) * | 2011-11-10 | 2013-05-15 | Research In Motion Limited | Managing cross perimeter access |
US9613219B2 (en) | 2011-11-10 | 2017-04-04 | Blackberry Limited | Managing cross perimeter access |
US8799227B2 (en) | 2011-11-11 | 2014-08-05 | Blackberry Limited | Presenting metadata from multiple perimeters |
US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
US8984111B2 (en) | 2012-06-15 | 2015-03-17 | Symantec Corporation | Techniques for providing dynamic account and device management |
US9369466B2 (en) | 2012-06-21 | 2016-06-14 | Blackberry Limited | Managing use of network resources |
US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
US9942753B2 (en) * | 2012-10-22 | 2018-04-10 | Pervasive Group, Inc. | Method and system for monitoring and restricting use of mobile devices |
US20140289407A1 (en) * | 2013-03-21 | 2014-09-25 | Microsoft Corporation | Group co-ownership of internet-accessible resources |
US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
EP3069493B1 (en) * | 2013-11-15 | 2019-04-24 | BlackBerry Limited | Authentication system |
US9185136B2 (en) | 2013-11-28 | 2015-11-10 | Cyber-Ark Software Ltd. | Correlation based security risk identification |
US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
US9262642B1 (en) | 2014-01-13 | 2016-02-16 | Amazon Technologies, Inc. | Adaptive client-aware session security as a service |
US9990786B1 (en) * | 2014-01-17 | 2018-06-05 | Microstrategy Incorporated | Visitor credentials |
US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
US9596267B2 (en) * | 2014-08-26 | 2017-03-14 | Microsoft Technology Licensing, Llc | Multi cloud policy enactment via organizations to cloud-provider partnerships |
US20170012964A1 (en) * | 2014-09-29 | 2017-01-12 | Identity Over Ip | Providing authentication of control instructions from a control device to a remotely-controllable physical interaction device using a remote control authentication token |
JP2017004133A (ja) * | 2015-06-08 | 2017-01-05 | 株式会社リコー | サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム |
US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
US10536277B1 (en) * | 2015-12-22 | 2020-01-14 | Amazon Technologies, Inc. | Contribution signatures for tagging |
US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
US11604665B2 (en) * | 2016-08-28 | 2023-03-14 | Vmware, Inc. | Multi-tiered-application distribution to resource-provider hosts by an automated resource-exchange system |
CN110347496A (zh) * | 2019-05-24 | 2019-10-18 | 深圳壹账通智能科技有限公司 | 资源处理调度方法、装置、计算机设备和存储介质 |
US20220044255A1 (en) * | 2020-08-04 | 2022-02-10 | Dell Products L.P. | Risk mitigation for service delivery |
EP4148693A1 (en) | 2021-09-09 | 2023-03-15 | Axis AB | An access control system and a method therein for handling access to an access-restricted physical resource |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002163235A (ja) * | 2000-11-28 | 2002-06-07 | Mitsubishi Electric Corp | アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法 |
JP2002222251A (ja) * | 2001-01-25 | 2002-08-09 | Nippon Telegr & Teleph Corp <Ntt> | 権限委譲型サービス実行方式及び方法並びに権限委譲型サービス実行プログラムを記録した記録媒体 |
JP2003348077A (ja) * | 2002-05-27 | 2003-12-05 | Hitachi Ltd | 属性証明書検証方法および装置 |
JP2004206187A (ja) * | 2002-12-24 | 2004-07-22 | Hitachi Ltd | コミュニティ管理システム |
JP2004234189A (ja) * | 2003-01-29 | 2004-08-19 | Mitsubishi Electric Information Systems Corp | 署名データ検証支援システム及び署名データ検証支援プログラム |
JP2004334887A (ja) * | 2003-05-09 | 2004-11-25 | Microsoft Corp | セキュア・データに対するwebアクセス |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5224163A (en) * | 1990-09-28 | 1993-06-29 | Digital Equipment Corporation | Method for delegating authorization from one entity to another through the use of session encryption keys |
JP2797844B2 (ja) * | 1992-06-17 | 1998-09-17 | 三菱電機株式会社 | 半導体集積回路 |
US5649099A (en) * | 1993-06-04 | 1997-07-15 | Xerox Corporation | Method for delegating access rights through executable access control program without delegating access rights not in a specification to any intermediary nor comprising server security |
US6601171B1 (en) * | 1999-02-18 | 2003-07-29 | Novell, Inc. | Deputization in a distributed computing system |
US6711679B1 (en) * | 1999-03-31 | 2004-03-23 | International Business Machines Corporation | Public key infrastructure delegation |
GB2357225B (en) | 1999-12-08 | 2003-07-16 | Hewlett Packard Co | Electronic certificate |
JP2002073568A (ja) * | 2000-08-31 | 2002-03-12 | Sony Corp | 個人認証システムおよび個人認証方法、並びにプログラム提供媒体 |
JP2002186037A (ja) * | 2000-12-12 | 2002-06-28 | Ntt Docomo Inc | 認証方法、通信装置、および中継装置 |
FI20010293A (fi) * | 2001-02-15 | 2002-08-16 | Ssh Comm Security Corp | Menetelmä turvattujen yhteyksien luomiseen |
KR100412041B1 (ko) * | 2002-01-04 | 2003-12-24 | 삼성전자주식회사 | 시큐러티 프로토콜의 기능을 수행하는 홈 게이트웨이 및그 방법 |
KR100582195B1 (ko) * | 2003-12-30 | 2006-05-23 | 한국과학기술정보연구원 | 워크플로우 기반의 그리드 사용자 권한 위임과 인증시스템 및 그 방법 |
-
2005
- 2005-03-11 US US11/077,574 patent/US7770206B2/en not_active Expired - Fee Related
-
2006
- 2006-02-10 KR KR1020060012842A patent/KR20060097584A/ko not_active Application Discontinuation
- 2006-02-13 CN CN2006100044734A patent/CN1831833B/zh not_active Expired - Fee Related
- 2006-03-13 JP JP2006067702A patent/JP4880331B2/ja not_active Expired - Fee Related
- 2006-03-13 EP EP06111037A patent/EP1701286A3/en not_active Ceased
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002163235A (ja) * | 2000-11-28 | 2002-06-07 | Mitsubishi Electric Corp | アクセス権限譲渡装置、共有リソース管理システム及びアクセス権限設定方法 |
JP2002222251A (ja) * | 2001-01-25 | 2002-08-09 | Nippon Telegr & Teleph Corp <Ntt> | 権限委譲型サービス実行方式及び方法並びに権限委譲型サービス実行プログラムを記録した記録媒体 |
JP2003348077A (ja) * | 2002-05-27 | 2003-12-05 | Hitachi Ltd | 属性証明書検証方法および装置 |
JP2004206187A (ja) * | 2002-12-24 | 2004-07-22 | Hitachi Ltd | コミュニティ管理システム |
JP2004234189A (ja) * | 2003-01-29 | 2004-08-19 | Mitsubishi Electric Information Systems Corp | 署名データ検証支援システム及び署名データ検証支援プログラム |
JP2004334887A (ja) * | 2003-05-09 | 2004-11-25 | Microsoft Corp | セキュア・データに対するwebアクセス |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007293859A (ja) * | 2006-04-21 | 2007-11-08 | Pantech Co Ltd | ユーザードメインの管理方法 |
US7966460B2 (en) | 2007-12-19 | 2011-06-21 | Fuji Xerox Co., Ltd. | Information usage control system, information usage control device and method, and computer readable medium |
US8079089B2 (en) | 2007-12-21 | 2011-12-13 | Fuji Xerox Co., Ltd. | Information usage control system and information usage control device |
US8544066B2 (en) | 2007-12-27 | 2013-09-24 | Nec Corporation | Access right management system, access right management method, and access right management program |
US8935747B2 (en) | 2007-12-27 | 2015-01-13 | Nec Corporation | Access right management system, access right management method, and access right management program |
JP2014075128A (ja) * | 2012-10-02 | 2014-04-24 | Boeing Co | パノラマ的な視覚化文書アクセス制御 |
US9282104B2 (en) | 2013-04-04 | 2016-03-08 | Canon Kabushiki Kaisha | Access management service system and method for controlling same, and non-transitory computer readable medium |
CN103309307A (zh) * | 2013-05-15 | 2013-09-18 | 重庆邮电大学 | 一种基于对象访问控制的智能家电控制方法 |
CN103309307B (zh) * | 2013-05-15 | 2016-03-02 | 重庆邮电大学 | 一种基于对象访问控制的智能家电控制方法 |
Also Published As
Publication number | Publication date |
---|---|
US20060206925A1 (en) | 2006-09-14 |
CN1831833A (zh) | 2006-09-13 |
JP4880331B2 (ja) | 2012-02-22 |
US7770206B2 (en) | 2010-08-03 |
EP1701286A3 (en) | 2008-01-16 |
EP1701286A2 (en) | 2006-09-13 |
CN1831833B (zh) | 2010-06-23 |
KR20060097584A (ko) | 2006-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4880331B2 (ja) | アクセス管理システム等におけるリソース等にアクセスする権限の委任 | |
KR101143228B1 (ko) | 디지털 콘텐츠 권리 관리 아키텍처로의 drm 서버등록/부등록 방법 | |
RU2392659C2 (ru) | Гибкая архитектура лицензирования в системе управления авторским правом | |
US8700535B2 (en) | Issuing a publisher use license off-line in a digital rights management (DRM) system | |
US7549051B2 (en) | Long-life digital certification for publishing long-life digital content or the like in content rights management system or the like | |
JP4418648B2 (ja) | デジタルコンテンツとサービスの使用ライセンスを発行するためのシステムおよびその方法 | |
JP4627624B2 (ja) | 組織などの限定された領域内におけるデジタル著作権管理(drm)システムによるデジタルコンテンツのパブリッシュ | |
JP4750352B2 (ja) | デジタルコンテンツに対応するデジタルライセンスを取得する方法 | |
JP2004246902A (ja) | 組織などの限定された領域内におけるデジタル著作権管理(drm)システムによるデジタルコンテンツのパブリッシュ | |
JP2004062890A (ja) | デジタル権利管理サービスを提供するシステムおよび方法 | |
MX2008000576A (es) | Aplicacion digital que opera de acuerdo con la agregacion de una pluralidad de licencias. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090216 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110729 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111031 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111129 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111201 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4880331 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |