KR20190025981A - 권한 취소 방법 및 디바이스 - Google Patents

권한 취소 방법 및 디바이스 Download PDF

Info

Publication number
KR20190025981A
KR20190025981A KR1020197003363A KR20197003363A KR20190025981A KR 20190025981 A KR20190025981 A KR 20190025981A KR 1020197003363 A KR1020197003363 A KR 1020197003363A KR 20197003363 A KR20197003363 A KR 20197003363A KR 20190025981 A KR20190025981 A KR 20190025981A
Authority
KR
South Korea
Prior art keywords
validation
time
authorization
attribute value
attribute
Prior art date
Application number
KR1020197003363A
Other languages
English (en)
Other versions
KR102194061B1 (ko
Inventor
동 첸
Original Assignee
알리바바 그룹 홀딩 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알리바바 그룹 홀딩 리미티드 filed Critical 알리바바 그룹 홀딩 리미티드
Publication of KR20190025981A publication Critical patent/KR20190025981A/ko
Application granted granted Critical
Publication of KR102194061B1 publication Critical patent/KR102194061B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2379Updates performed during online database operations; commit processing
    • G06F16/2386Bulk updating operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 출원은 권한 취소 방법 및 디바이스를 개시한다. 권한 취소 방법은, 취소를 필요로 하는 권한부여 레코드 세트를 결정하는 단계; 및 결정된 세트에 대한 시간 유효성 속성 값을 설정하고, 시간 유효성 속성 값(T0)을 현재 순간 또는 미래 순간으로 설정하는 단계를 포함한다. 본 출원에 제공된 기술적 솔루션에 따르면, 세트 내의 모든 레코드의 상태는 하나의 수정 작업을 수행함으로써 업데이트될 수 있고, 권한부여 레코드는 하나씩 업데이트될 필요가 없으며, 복수의 권한부여 레코드의 상이한 저장 위치는 영향을 미치지 않는다. 따라서 권한 일괄 취소 처리 효율이 효과적으로 향상되고 기술 구현의 어려움이 감소된다.

Description

권한 취소 방법 및 디바이스
본 출원은 권한(authority) 제어 기술 분야에 관한 것이며, 구체적으로는 권한 취소 방법 및 디바이스에 관한 것이다.
컴퓨터 및 인터넷 기술의 발전은 사용자가 많은 편의 기능을 누릴 수 있게 한다. 그러나, 사용자의 요건이 높아짐에 따라 단일 기능 엔티티는 종종 사용자의 다양한 요건을 충족시키지 못하는 경우가 있다. 이 경우, 복수의 상대적으로 독립적인 기능 엔티티는 공동으로 사용자에게 서비스를 제공하기 위해 특정 방식으로 협력할 필요가 있다. 예를 들어 사용자의 쇼핑 요건을 만족시키기 위해 전자 상거래 플랫폼, 결제 플랫폼 및 물류 플랫폼과 같은 복수의 당사자(party)가 협력해야할 필요가 있다.
원래 서로 독립적인 기능 엔티티들 간의 협력을 구현하기 위해, 필요한 데이터를 교환하는 것에 더해, 기능 엔티티들은 통상적으로 서로에게 어떤 필요한 권한를 승인할 필요가 있다. 예를 들어, 사용자가 애플리케이션 A를 사용하여 웹사이트 B의 저장 디렉토리에서 사용자에 의해 저장된 정보를 수정할 필요가 있다(여기서, 애플리케이션 A와 웹사이트 B는 다른 상이한 벤더(vendor)에 의해 제공되는 것으로 가정). 이 요건을 충족시키기 위해, 웹사이트 B는 애플리케이션 A에 개인 정보 데이터 수정 권한을 승인할 필요가 있다.
보안 측면에서, 권한을 부여하는 자(authorizing party)는 또한 승인된 권한을 활성(actively) 취소하는 기능을 가져야 한다. 일반적인 시행은 다음과 같다: 권한을 부여하는 자는 권한을 부여받은 자(authorized party)에게 승인된 각 권한 조각(piece)을 데이터베이스에 레코드로서 기록하고, 권한이 각 레코드에 대해 유효한지의 여부를 나타내기 위해 사용된 하나의 속성 필드를 추가하고, 필드의 값을 "무효"로 수정함으로써 권한을 활성 취소한다. 이 솔루션의 문제점은 다음과 같다: 권한 조각을 취소할 때마다 데이터베이스에 필드 업데이트 작업이 수행될 필요가 있다. 권한이 배치(batch)에서 취소될 필요가 있는 경우, 관련 권한부여(authorization) 레코드는 하나씩 업데이트될 필요가 있다. 데이터베이스 운영 환경에서 이러한 처리의 실제 효율성은 상대적으로 낮다. 추가적으로, "하나씩 업데이트"의 작업 로직은 또한 높은 노동력 및 시간 비용으로 컴파일링되고 구현될 필요가 있다. 상이한 권한부여 레코드가 상이한 라이브러리 또는 테이블에 저장되는 경우, 대응하는 데이터 업데이트 작업은 또한 라이브러리 분리 또는 테이블 분리와 관련될 필요가 있으며, 또한 기술 구현의 어려움을 증가시킨다.
이전의 기술적 문제점에 대해, 본 출원은 다음 기술적 솔루션을 제공한다:
본 출원의 제 1 양상에 따르면, 데이터베이스 권한부여 레코드 일괄 취소(database authorization record batch-revoking) 방법이 제공되고, 취소를 필요로 하는 권한부여 레코드 세트에 대해 시간 유효성 속성이 구성되고, 상기 시간 유효성 속성이 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화(validation) 순간이 상기 시점보다 빠른 권한부여 레코드는 무효가 되며, 상기 방법은, 취소를 필요로 하는 권한부여 레코드 세트를 결정하는 단계; 및 상기 결정된 세트에 대한 시간 유효성 속성 값을 설정하고, 상기 시간 유효성 속성 값(T0)을 현재 순간 또는 미래 순간으로 설정하는 단계를 포함한다.
본 출원의 제 2 양상에 따르면, 데이터베이스 권한부여 레코드 일괄 취소 방법이 제공되고, 취소를 필요로 하는 권한부여 레코드 세트에 대해 제 1 시간 유효성 속성 또는 제 2 시간 유효성 속성이 구성되고, 상기 제 1 시간 유효성 속성이 제 1 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 제 1 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 제 2 시간 유효성 속성이 제 2 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 제 2 시점보다 늦은 권한부여 레코드는 무효가 되며, 상기 방법은, 취소를 필요로 하는 권한부여 레코드 세트를 결정하는 단계; 상기 세트에 대해 상기 제 1 시간 유효성 속성이 구성되는 경우, 제 1 시간 유효성 속성 값(T1) > 상기 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간이 되도록, 상기 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간을 결정하고 상기 세트에 대한 제 1 시간 유효성 속성 값을 설정하는 단계; 또는 상기 세트에 대해 상기 제 2 시간 유효성 속성이 구성되는 경우, 제 2 시간 유효성 속성 값(T2) < 상기 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간이 되도록, 상기 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간을 결정하고 상기 세트에 대한 제 2 시간 유효성 속성 값을 설정하는 단계를 포함한다.
본 출원의 제 3 양상에 따르면, 데이터베이스 권한부여 레코드 유효성 검증 방법이 제공되고, 취소를 필요로 하는 권한부여 레코드 세트에 대해 제 1 시간 유효성 속성 또는 제 2 시간 유효성 속성이 구성되고, 상기 제 1 시간 유효성 속성이 제 1 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 제 1 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 제 2 시간 유효성 속성이 제 2 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 제 2 시점보다 늦은 권한부여 레코드는 무효가 되며, 상기 방법은, 검증될 권한부여 레코드를 결정하는 단계; 상기 검증될 권한부여 레코드의 유효화 순간을 획득하는 단계; 상기 검증될 권한부여 레코드를 포함하는 권한부여 레코드 세트의 제 1 시간 유효성 속성 값 또는 제 2 시간 유효성 속성 값을 획득하는 단계; 및 상기 획득된 유효화 순간이 상기 획득된 제 1 시간 유효성 속성 값보다 빠른 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하는 단계; 또는 상기 획득된 유효화 순간이 상기 획득된 제 2 시간 유효성 속성 값보다 늦은 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하는 단계를 포함한다.
본 출원의 제 4 양상에 따르면, 데이터베이스 권한부여 레코드 일괄 취소 디바이스가 제공되고, 취소를 필요로 하는 권한부여 레코드 세트에 대해 시간 유효성 속성이 구성되고, 상기 시간 유효성 속성이 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 디바이스는, 취소를 필요로 하는 권한부여 레코드 세트를 결정하도록 구성된 취소 태스크 결정 유닛; 및 상기 결정된 세트에 대한 시간 유효성 속성 값을 설정하고, 상기 시간 유효성 속성 값(T0)을 현재 순간 또는 미래 순간으로 설정하는 취소 실행 유닛을 포함한다.
본 출원의 제 5 양상에 따르면, 데이터베이스 권한부여 레코드 일괄 취소 디바이스가 제공되고, 취소를 필요로 하는 권한부여 레코드 세트에 대해 제 1 시간 유효성 속성 또는 제 2 시간 유효성 속성이 구성되고, 상기 제 1 시간 유효성 속성이 제 1 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 시점이 상기 제 1 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 제 2 시간 유효성 속성이 제 2 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 시점이 상기 제 2 시점보다 늦은 권한부여 레코드는 무효가 되며, 상기 디바이스는, 취소를 필요로 하는 권한부여 레코드 세트를 결정하도록 구성된 취소 태스크 결정 유닛; 및 취소 실행 유닛으로서, 상기 세트에 대해 상기 제 1 시간 유효성 속성이 구성되는 경우, 제 1 시간 유효성 속성 값(T1) > 상기 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간이 되도록, 상기 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간을 결정하고 상기 세트에 대한 제 1 시간 유효성 속성 값을 설정하도록, 또는 상기 세트에 대해 상기 제 2 시간 유효성 속성이 구성되는 경우, 제 2 시간 유효성 속성 값(T2) < 상기 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간이 되도록, 상기 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간을 결정하고 상기 세트에 대한 제 2 시간 유효성 속성 값을 설정하도록 구성된, 상기 취소 실행 유닛을 포함한다.
본 출원의 제 6 양상에 따르면, 데이터베이스 권한부여 레코드 일괄 취소 디바이스가 제공되고, 취소를 필요로 하는 권한부여 레코드 세트에 대해 제 1 시간 유효성 속성 또는 제 2 시간 유효성 속성이 구성되고, 상기 제 1 시간 유효성 속성이 제 1 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 시점이 상기 제 1 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 제 2 시간 유효성 속성이 제 2 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 시점이 상기 제 2 시점보다 늦은 권한부여 레코드는 무효가 되며, 상기 디바이스는, 검증될 권한부여 레코드를 결정하도록 구성된 검증 객체 결정 유닛; 상기 검증될 권한부여 레코드의 유효화 순간을 획득하도록 구성된 제 1 취득 유닛; 상기 검증될 권한부여 레코드를 포함하는 권한부여 레코드 세트의 제 1 시간 유효성 속성 값 또는 제 2 시간 유효성 속성 값을 획득하도록 구성된 제 2 취득 유닛; 및 검증 유닛으로서, 상기 획득된 유효화 순간이 상기 획득된 제 1 시간 유효성 속성 값보다 빠른 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하도록, 또는 상기 획득된 유효화 순간이 상기 획득된 제 2 시간 유효성 속성 값보다 늦은 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하도록 구성된, 상기 검증 유닛을 포함한다.
본 출원의 제 7 양상에 따르면, 제 3 자(third-party) 애플리케이션에 대한 권한부여 토큰(token) 일괄 취소 방법이 제공되고, 상기 방법은, 권한부여 토큰 취소를 필요로 하는 제 3 자 애플리케이션을 결정하는 단계; 현재 순간을 획득하고, 시간 유효성 속성 값(T0) = 현재 순간이도록 상기 결정된 제 3 자 애플리케이션에 대한 시간 유효성 속성 값을 설정하는 단계; 상기 제 3 자 애플리케이션에 의해 제공되는 권한부여 토큰을 수신하는 단계; 상기 권한부여 토큰의 유효성 속성 값을 획득하는 단계; 및 상기 유효성 속성 값이 유효를 나타내면 상기 제 3 자 애플리케이션의 상기 시간 유효성 속성 값 및 상기 권한부여 토큰의 유효화 순간을 더 획득하고, 상기 획득된 유효화 순간이 상기 획득된 시간 유효성 속성보다 빠르면 상기 권한부여 토큰이 무효인 것으로 결정하며; 그렇지 않으면 상기 권한부여 토큰이 유효인 것으로 결정하는 단계를 포함한다.
본 출원서에 제공된 기술적 솔루션에 따르면, 일괄 취소를 필요로 하는 권한 레코드 세트에 대해 시간 유효성 속성이 구성된다. 따라서, 권한 레코드는 속성의 값을 수정함으로써 무효 상태로 업데이트됨에 따라 권한 레코드를 취소할 수 있다. 이 새로 추가된 속성은 기존 속성의 의미에 영향을 주지 않는다. 또한 속성이 레코드 세트에 대해 특별히 구성되었으므로 세트 내의 모든 레코드의 상태는 데이터베이스의 권한부여 레코드를 하나씩 업데이트하는 대신 하나의 수정 작업을 수행함으로써 업데이트될 수 있고, 복수의 권한부여 레코드의 상이한 저장 위치는 세트 내의 레코드의 업데이트 및/또는 취소의 복잡성에 영향을 미치지 않는다. 따라서 권한 일괄 취소 처리 효율이 효과적으로 향상되고 기술 구현의 어려움이 감소된다.
이전의 일반적인 설명 및 다음의 상세한 설명은 단지 설명을 위한 예시이며, 본 출원을 제한하지 않는다는 것을 이해하여야 한다.
본 출원의 구현예 또는 기존 기술에서의 기술적 솔루션을 보다 명확하게 설명하기 위해, 다음은 구현예 또는 기존 기술을 기술하는데 필요한 첨부 도면을 간략하게 설명한다. 명백하게, 다음의 설명에서의 첨부 도면은 단지 본 출원에 기록된 일부 구현예를 도시하고, 본 분야의 당업자들은 여전히 창조적인 노력없이 이들 첨부 도면으로부터 다른 도면을 도출할 수 있다.
도 1은 본 발명에 따른 권한 취소 방법의 개략적인 흐름도이다.
도 2는 본 발명에 따른 권한 검증 방법을 설명하는 개략적인 흐름도이다.
도 3은 본 발명에 따른 권한 승인, 취소 및 검증 방법을 예시하는 결합된 개략적인 흐름도이다.
도 4는 본 발명에 따른 권한 취소 디바이스를 예시하는 개략적인 구조도이다.
도 5는 본 발명에 따른 권한 검증 디바이스를 예시하는 제 1 개략적인 구조도이다.
도 6은 본 발명에 따른 권한 검증 디바이스를 예시하는 제 2 개략적인 구조도이다.
본 분야의 당업자가 본 출원의 기술적 솔루션을 더 잘 이해할 수 있도록 하기 위해, 다음은 본 출원의 구현에서의 첨부 도면을 참조하여 본 출원의 구현에서의 기술적 솔루션을 상세하게 설명한다. 명백하게, 설명된 구현은 본 출원의 구현 모두이기 보다는 단지 일부이다. 본 출원의 구현에 기초하여 본 분야의 당업자에 의해 얻어진 모든 다른 구현은 본 출원의 보호 범위 내에 있다.
권한을 부여하는 자의 경우, 권한을 부여받은 자에게 승인되었던 각 권한 조각이 데이터 레코드의 형태로 데이터베이스에 저장된다. 표 1은 권한 레코드의 데이터 구조의 예를 나타낸다. 표에 나타낸 필드 속성은 단지 예시적인 설명을 위해 사용된 것이며 솔루션에 대한 제한을 구성하지 않는다는 점에 유의해야 한다.
권한 ID 권한 유형 권한을 부여받은 자 사용자 ID 유효화 순간 유효성
100001 판독 애플리케이션 1 사용자 001 2016/06/01 유효
100002 기록 애플리케이션 2 사용자 002 2016/06/10 유효
100003 기록 애플리케이션 1 사용자 002 2016/06/10 유효
... ... ... ... ...
기존의 기술에서의 권한 관리 방법에 따르면, 권한을 부여하는 자는 각 권한 레코드에서 속성 필드 "유효성"을 사용하여 권한이 유효한지의 여부를 제어한다. 권한이 일괄적으로 취소될 필요가 있을 때, n개의 권한 레코드이 취소될 필요가 있다고 가정하면, 권한 레코드에 대응하는 속성 필드 "유효성"이 하나씩 수정될 필요가 있다. 모든 취소 처리를 완료하는데 있어서 이론적인 알고리즘 복잡도는 O(n)이다. n개의 레코드가 상이한 라이브러리 또는 테이블에 저장되는 경우 실제 처리의 어려움이 더욱 향상된다.
이전의 문제점에 대해, 본 출원에서 제공된 솔루션은 다음과 같다: 일괄적으로 취소될 필요가 있는 권한 레코드는 하나의 세트로서 간주되고, 전체 유효성 제어에 사용된 속성이 그 세트에 대해 구성되어, 권한은 1회 수정을 통해 일괄적으로 취소될 수 있다.
실제 요구에 기초하여, 일괄적으로 취소될 필요가 있는 권한부여 레코드는 일반적으로 특정 "일반성"을 가지며, "일반성"은 복수의 권한 레코드가 하나 이상의 동일한 속성 값을 갖는다는 것을 나타낸다. 예를 들어 "일괄적으로 취소될 필요가 있는 권한부여 레코드는 애플리케이션 1에 속한다." 또는 "일괄적으로 취소될 필요가 있는 권한부여 레코드는 사용자 001에 속한다."
권한이 일괄적으로 취소될 필요가 있는 세트가 결정된 후에, 새로운 속성이 세트에 대해 구성되고, 속성은 세트 내의 모든 권한 레코드의 유효성을 총괄적으로 나타내기 위해 사용된다. 단일 레코드에서 새로 추가된 속성과 기존 속성 "유효성"사이의 의미 충돌을 피하기 위해 새로 추가된 속성은 현재 애플리케이션에서 시간 차원을 추가함으로써 설명된다. 특정 주어진 세트의 새로 추가된 속성은 권한부여 레코드 세트를 유효화할 수 있는 가장 빠른 권한부여 유효화 순간을 나타낼 수 있다. 실제 요구에 기초하여, 새로 추가된 속성의 데이터 유형은 "날짜", "시간" 또는 시간 데이터 유형일 수 있다. 데이터 유형에 관계없이, 새로 추가된 속성의 값은 그 값에 대응하는 특정 시점으로 간주된다.
구체적으로는, 속성의 값은 시점(T0)을 기술한다. 후속하여, 권한 유효성 검증이 수행될 때, 세트 내의 특정 권한 레코드의 유효화 순간이 시점보다 빠르면 권한 레코드는 무효인 것으로 간주된다. 이 경우, 레코드의 "유효성"의 속성 값이 더 이상 작동하지 않는다. 그렇지 않으면, 세트 내의 특정 권한 레코드의 유효화 순간 순간이 시점과 같거나 그보다 늦으면, 레코드의 "유효성"의 속성 값에 기초하여 레코드의 유효성이 또한 결정될 수있다. 이와 같이, 새로 추가된 속성의 속성 값을 수정함으로써 세트 내의 모든 레코드의 상태에 대해 1회 무효화 처리가 수행될 수 있다.
표 1은 일예로서 사용된다. 표 1에 나타낸 3개의 현재 유효한 권한 레코드가 세트를 형성한다고 가정하면(세트에 대응하는 실제 의미는 여기에서 일시적으로 고려되지 않으며, 세트는 설명을 목적으로만 사용됨), 세트의 "가장 빠른 권한부여 유효화 순간"이 "2016/06/12"에 할당된 경우, 표 1의 3개의 권한 레코드의 유효화 순간은 그 순간보다 빠르다. 따라서, 3개의 권한 레코드는 모두 무효인 것으로 간주되며 1회 데이터 수정을 통해 3개의 권한부여 레코드가 일괄적으로 취소된다.
결론적으로, 도 1을 참조하면, 본 출원에서 제공되는 권한 일괄 취소 방법은 다음 단계를 포함할 수 있다.
S101. 취소를 필요로 하는 권한부여 레코드 세트를 결정한다.
여기서 "세트"는 실제 요구에 기초하여 기술된다. 예를 들어 "권한을 부여받은 자" 카테고리에 기초하여 권한이 일괄적으로 취소될 필요가 있는 경우, 상이한 권한을 부여받은 자에 대한 권한 레코드가 상이한 세트로서 기술될 수 있거나; 또는 "사용자" 카테고리에 기초하여 권한이 일괄적으로 취소될 필요가 있는 경우, 상이한 사용자에 대한 권한 레코드는 상이한 세트로 기술될 수 있다. 확실히, "세트"는 복수의 속성 차원을 사용하여 공동으로 기술될 수도 있다. 여기서는 간략화를 위해 예시는 생략된다.
S102. 결정된 세트에 대한 시간 유효성 속성 값을 설정하여 세트 내의 권한부여 레코드를 일괄적으로 취소한다.
설명의 용이함을 위해, "시간 유효성 속성"은 이하 이전의 "가장 빠른 권한부여 유효화 순간"을 나타내기 위해 사용된다. "시간 유효성 속성"은 세트에 특정된 것이고, 단일 레코드에 특정된 "유효화 순간" 또는 "무효화 순간"과 같은 속성과 혼동해서는 안됨을 주목해야 한다.
이론적으로 세트 내의 권한부여 레코드는, 수정된 시간 유효성 속성 값이 다음 조건: T0 > 세트 내의 권한부여 레코드의 가장 늦은 유효화 순간을 만족하면 일괄적으로 취소될 수 있다는 것을 "시간 유효성 속성"의 이전 정의로부터 알 수 있다.
날짜 또는 시간과 같은 데이터의 수학적 표현 ">" 및 "<" 은 각각 "보다 늦은" 및 "보다 빠른"으로 설명될 수 있음을 주목해야 한다. 표 1은 예시로서 사용된다. 3개의 권한부여 레코드에서, 가장 늦은 유효화 순간은 2016/06/10이다. 따라서, T0의 값이 2016/06/10보다 늦으면, 예를 들어, T0 = 2016/06/11, T0 = 2016/06/12, 또는 T0 = 2016/06/13이면 권한이 일괄적으로 취소될 수 있다.
본 출원의 구현예에 따르면, 일괄 취소(batch-revoking) 작업이 수행될 필요가 있을 때, 세트 내의 권한부여 레코드의 가장 늦은 유효화 순간이 먼저 결정되고, 그 후 "T0 > 세트 내의 권한부여 레코드의 가장 늦은 유효화 순간"이다면 T0는 어떠한 값으로도 설정될 수 있다.
실제적으로, T0는 "세트에서 권한부여 레코드의 가장 늦은 유효화 순간을 결정"하는 단계를 피하기 위해 현재 순간 또는 미래 순간으로 직접 설정될 수 있다.
세트에 대응하는 권한이 단지 일시적으로 취소되고 후속하여 여전히 재승인될 수 있는 경우, T0의 값 범위가 더 제한될 수 있고: 세트 내의 각 레코드의 다음으로 가장 빠른 권한부여 유효화 순간이 미리 결정될 수 있다고 가정하면, 시간 유효성 속성 값(T0)은 다음 조건: T0 < 다음으로 가장 빠른 권한부여 유효화 순간을 또한 만족시킬 필요가 있다. 표 1은 여전히 예시로서 사용된다. 이때 권한이 일괄적으로 취소된 후에 2016/06/20에 권한이 재승인되기 시작하였다는 것이 알려진다고 가정하면, T0는 2016/06/20보다 빨라야할 필요가 있고, 이는 2016/06/20 이후의 권한부여가 시간 유효성 속성 값에 의해 영향을 받지 않음을 보증한다.
본 출원의 구현예에 따르면, 일괄 취소 작업이 수행될 필요가 있을 때, 현재 순간을 획득하고 T0 = 현재 순간으로 직접 설정한다. "현재 순간"은 "T0 < 다음으로 빠른 권한부여 유효화 순간" 및 "T0 > 세트 내의 권한부여 레코드의 가장 늦은 유효화 순간"을 모두 만족하기 때문에, T0 값은 단지, 세트 내의 권한이 일괄적으로 취소될 수 있을뿐만 아니라 이후의 재권한부여(reauthorization)에는 아무런 영향을 미치지 않음을 보장할 수 있다.
순간 비교를 구현하기 위해, 속성 값의 시간은 실제 요구에 기초하여 보다 정확, 예를 들어, 시/분/초로 정확할 수 있음을 이해할 수 있다. 더 상세한 내용은 여기에서 생략된다.
이전 권한 일괄 취소 방법에 대응하여, 본 출원은 데이터베이스 권한부여 레코드 유효성 검증 방법을 더 제공한다. 도 2에 도시된 바와 같이, 상기 방법은 다음 단계들을 포함할 수 있다:
S201. 검증될 권한부여 레코드를 결정한다.
S202. 검증될 권한부여 레코드의 유효화 순간을 획득한다.
S203. 검증될 권한부여 레코드를 포함한 권한부여 레코드 세트의 시간 유효성 속성 값을 획득한다.
S204. 획득된 유효화 순간이 획득된 시간 유효성 속성 값보다 빠른 경우, 검증될 권한부여 레코드는 무효인 것으로 결정한다.
본 출원의 솔루션에 따르면, 검증될 자에 의해 제공되는 권한 검증 정보에 기초하여, 권한을 부여하는 자는, 검증 정보에 대응하는 권한부여 레코드 및 권한 부여 레코드를 포함하는 세트를 결정할 수 있고, 그 후 권한 유효성을 검증하기 위한 비교를 위한 관련 데이터를 또한 획득할 수 있다. 기존의 기술에 비해, 본 출원에서, 권한부여 레코드의 유효성을 검증하기 위해, 권한부여 레코드를 포함하는 세트는 식별될 필요가 있고 권한부여 레코드가 유효한지의 여부는 세트의 "시간 유효성 속성"에 기초하여 결정된다. 여기에 두가지 경우가 있다.
(1) 본 출원에 추가된 "시간 유효성 속성"만이 권한부여 레코드가 유효한지의 여부를 검증하는데 사용된다.
이 경우, 기존 기술에서 단일 권한부여 레코드에 특정된 속성 "유효성"은 더 이상 고려되지 않는다. 단일 레코드의 유효화 순간이 세트의 시간 유효성 속성 값보다 빠르면, 권한부여 레코드가 무효한 것으로 결정되고; 그렇지 않으면, 단일 레코드의 유효화 순간이 세트의 시간 유효성 속성 값보다 늦거나 같으면, 권한부여 레코드가 유효한 것으로 결정된다.
(2) 단일 권한부여 레코드에 특정된 "유효성" 및 "시간 유효성 속성"이 권한부여 레코드가 유효한지의 여부를 검증하기 위해 공동으로 사용된다:
이 경우, "단일 레코드의 상태가 유효하다" 및 "단일 레코드의 유효화 순간이 세트의 시간 유효성 속성 값보다 늦거나 같다」의 2개의 조건이 동시에 만족되는 경우에만, 권한부여 레코드가 유효한 것으로 결정된다. 그렇지 않으면, 권한부여 레코드는 무효한 것으로 간주된다. 실제로, 2개의 조건을 결정하는 순서는 제한될 필요가 없다.
이전 구현예에서, "시간 유효성 속성"은 시점을 기술하는데 사용되어, 세트에서 권한부여 유효화 순간이 시점보다 빠른 권한부여 레코드는 무효가 된다. 유사한 아이디어에 기초하여, "시간 유효성 속성"은 다른 정의를 가질 수 있다. 예를 들어, 본 출원의 구현예에서, "시간 유효성 속성"은 권한부여 레코드 세트를 유효화하도록 허용된 가장 늦은 권한부여 유효화 순간으로서 기술될 수 있다.
구체적으로는, 속성의 값은 시점(T0)을 기술한다. 후속하여 권한 유효성 검증이 수행될 때, 권한 레코드의 유효화 순간이 시점보다 늦으면 세트 내의 권한 레코드는 무효인 것으로 간주된다.
대응하여, 일괄 취소 작업이 수행될 필요가 있을 때, 처리 방법은 다음의 방법으로 변한다(S102와 관련됨): 세트 내의 권한부여 레코드의 가장 빠른 유효화 순간이 먼저 결정되고, 그 후 "T0 > 세트 내의 권한부여 레코드의 가장 빠른 유효화 순간"이면 T0는 어떠한 값으로도 설정될 수 있다.
또한, 기록 유효성이 검증될 필요가 있는 경우, 결정 로직은 다음과 같이 변한다(S204와 관련됨): 검증될 권한부여 레코드는 획득된 유효화 순간이 획득된 시간 유효성 속성 값보다 늦은 경우 무효인 것으로 결정된다.
이 구현예에서, 시간 유효성 속성의 정의가 변하여도, 전체 처리 로직은 기본적으로 이전 구현예와 유사하다. 따라서, 이 구현예는 단지 차이점에만 초점을 맞추고, 다른 부분은 간략화를 위해 생략된다.
추가적으로, 본 출원의 솔루션에 기술된 "유효화 순간"은 기능에 대해 특정 권한이 생성 또는 시작되는 시점이며, 좁은 의미의 데이터베이스에서의 필드 "유효화 순간"으로 해석되어서는 안된다는 점에 주목해야 한다. 예를 들어, 상이한 데이터베이스에서, 이전 시점을 나타내기 위해 사용된 속성 필드 이름은 "권한 유효화 순간/시간/날짜", "권한 생성 순간/시간/날짜", "권한부여 순간/시간/날짜" 등일 수 있다. 이는 본 출원의 솔루션의 구현에는 영향을 미치지 않는다.
또한, 일부 경우에, 데이터베이스 내의 복수의 상이한 필드가 유사한 기능을 가질 수 있다. 예를 들어, 일부 데이터베이스에는 "권한 생성 순간" 및 "권한 유효화 순간"라는 2개의 속성 필드가 있다. 후자는 전자보다 약간 지연될 수 있다. 그러나, 실제 요구에 기초하여, "생성"및 "유효화" 모두는 일반적으로, 권한이 일괄적으로 수행될 필요가 있는 경우 완료된다. 이 경우, 본 출원의 솔루션이 적용될 때, 이전 솔루션에서의 2개의 속성 필드를 "유효화 순간"으로서 사용하는 것은 동일한 권한 일괄 취소 효과 및 권한 유효성 검증 효과를 달성할 수 있다. 이러한 경우도 본 출원의 보호 범위 내에 속해야 한다.
다음은 특정 애플리케이션 예시에 관한 본 출원에서 제공된 기술적 솔루션을 설명한다.
OAUTH(Open Authorization) 프로토콜은 사용자 자원의 권한부여를 위해 안전하고 개방적이며 간단한 표준을 제공한다. 권한을 부여하는 자의 경우, OAUTH를 사용하여 권한을 부여받은 자에게 권한이 승인되어, 권한을 부여받은 자는 사용자 계정 정보(예를 들어, 사용자 이름 및 패스워드)를 방문(visiting)하지 않고 권한을 부여하는 자의 사용자 자원을 방문할 수 있다.
현재 시나리오는 사용자가 특정 이미지 처리 애플리케이션 A1을 사용하여 웹사이트 B 상에 사용자에 의해 저장된 사진을 수정하는 것이라고 가정한다. 이전의 요건을 만족시키기 위해, 웹사이트 B는 이미지 처리 애플리케이션 A1에 사진 데이터 수정 권한을 승인할 필요가 있다. OAUTH 프로토콜에 따른 권한부여 프로세스가 도 3에 도시된다.
S301. 사용자는, 애플리케이션 A1에 의해, 웹사이트 B 상의 사용자에 의해 저장된 사진을 수정하도록 요청한다.
S302. 애플리케이션 A1은 애플리케이션 A1이 사용자의 사진을 방문하기 위한 권한을 부여하도록 웹사이트 B에 요청한다.
S303. 웹사이트 B는 사용자에게 애플리케이션 A1이 사진을 방문하기 위한 권한을 부여할지의 여부를 질의한다.
S304. 사용자가 권한부여를 결정한다.
S305. 웹사이트 B는 애플리케이션 A1에 토큰을 반환한다.
S306. 애플리케이션 A1은 토큰을 사용하여 사용자의 사진을 방문한다.
하나의 토큰은 권한을 부여받은 자에 대해 권한을 부여하는 자에 의해 승인된 하나의 권한 레코드에 대응한다. 권한을 부여하는 자의 경우, 토큰 데이터는 데이터베이스에 저장되고 토큰 데이터의 한 조각의 키 속성에는 다음이 포함될 수 있다:
토큰 식별자: 토큰 사이를 고유하게 구별하는데 사용된다.
권한을 부여받은 자 식별자: 예를 들어, "이미지 처리 애플리케이션 A1"과 같은 토큰이 발행된 권한을 부여받은 자를 표시한다.
사용자 식별자: 토큰을 가진 사용자, 예를 들어, "Zhang San"을 나타낸다.
토큰 유효화 순간: 값은 특정 시점, 예를 들어, 2016/06/01 및 2016/06/01-13:00:00이다.
토큰 무효화 순간: 값은 특정 시점, 예를 들어, 2017/06/01 및 2017/06/01-13:00:00이다.
현재 토큰 유효성: 값은 유효 또는 무효를 나타낸다.
실제로는, 많은 수의 사용자가 애플리케이션 A1을 사용하여 웹사이트 B의 사진을 수정한다. 따라서, 웹사이트 B는 사용자에게 특정된 토큰을 애플리케이션 A1에 개별적으로 발행할 필요가 있다. 표 2에 나타된 바와 같이, 발행된 토큰은 토큰 데이터 테이블에 기록된다.
토큰 식별자 권한을 부여받은 자 사용자 유효화 순간 무효화 순간 유효성
100001 애플리케이션 A1 Zhang San 2016/06/01 2017/06/01 유효
100002 애플리케이션 A1 Li Si 2016/06/10 2017/06/10 유효
100003 애플리케이션 A1 Wang Wu 2016/06/12 2017/06/12 유효
100004 애플리케이션 A2 Zhao Liu 2016/06/02 2017/06/30 유효
100005 애플리케이션 A3 Xiaoming 2016/06/05 2017/07/05 유효
... ... ... ... ... ...
웹사이트 B가 "권한을 부여받은 자" 카테고리에 기초하여 특정 권한을 부여받은 애플리케이션 또는 일부 권한을 부여받은 애플리케이션에 발행되었던 토큰을 일괄적으로 취소하기를 원한다고 가정하면, 본 출원의 솔루션에 따라, 상이한 토큰 세트는 상이한 권한을 부여받은 자에 기초하여 나눠질 수 있고, 각 토큰 세트에 대해 대응하는 속성 "가장 빠른 권한부여 유효화 순간"이 구성될 수 있다.
특정 구현예는 다음과 같다: 표 3에 나타낸 바와 같이, 속성 "가장 빠른 권한부여 유효화 순간"은 권한을 부여받은 애플리케이션 속성 테이블에 추가된다(존재하지 않으면 테이블이 생성될 수 있다):
권한을 부여받은 자 가장 빠른 권한부여 유효화 순간
애플리케이션 A1
애플리케이션 A2
애플리케이션 A3
... ...
보안을 위해, 웹사이트 B가 애플리케이션 A1에 권한을 부여받은 모든 토큰을 일괄적으로 취소할 필요가 있다고 가정하면, 본원의 솔루션에 따라, 도 3의 S307에 도시된 바와 같이, 웹사이트 B는 권한을 부여받은 애플리케이션 속성 테이블에서 "애플리케이션 A1"에 대응하는 "가장 빠른 권리부여 유효화 순간"의 속성 값을 직접 수정할 수 있다. 여기서 속성 값을 현재 순간으로 직접 수정하는 방법이 사용된다. 현재 순간이 2017/06/15라고 가정하면, 속성 값이 기록된 후의 결과는 표 4에 나타낸다.
권한을 부여받은 자 가장 빠른 권한부여 유효화 순간
애플리케이션 A1 2017/06/15
애플리케이션 A2
애플리케이션 A3
... ...
이와 같이, 애플리케이션 A1의 토큰에 대한 일괄 취소 작업이 완료된다. 이 작업은 3개의 레코드의 속성 "유효성"을 하나씩 수정하지 않고 표 2에서 처음 3개의 데이터 레코드(권한을 부여받은 자는 애플리케이션 A1)에 영향을 미친다.
도 3의 S308 및 S309에 도시된 바와 같이, 애플리케이션 A1이 토큰을 사용하여 후속하여 웹사이트 B를 재방문하면, 웹사이트 B는 토큰 속성 테이블에 질의하여 토큰의 유효화 순간을 획득하고, 권한을 부여받은 애플리케이션 속성 테이블에 질의하여 A1의 가장 빠른 권한부여 유효화 순간을 획득한다. 표 2에 표시된 처음 3개의 토큰 레코드의 "유효화 순간"은 모두 애플리케이션 A1의 "가장 빠른 권한부여 유효화 순간"보다 빠르다. 따라서, 3개의 토큰은 모두 실제로 무효인 것으로 간주된다.
또한, A1이 후속하여 재권한부여될 필요가 있는 경우, A1의 권한부여 유효화 순간은 현재 기록된 "가장 빠른 권한부여 유효화 순간"보다 늦다(여기서, 토큰 취소 및 토큰 재발행이 같은 날에 발생하지 않고, 관련 속성 값의 데이터 정확도는 같은 날에 적응적으로 조정될 수 있다고 가정함). 따라서, 애플리케이션 A1에 후속하여 재발행된 토큰의 유효성은 "가장 빠른 권한부여 유효화 시점"의 영향을 받지 않는다.
실제로, 토큰의 "유효성"과 토큰 세트의 "가장 빠른 권리부여 유효화 순간"을 결합하여 포괄적인 결정이 수행될 수 있다. 토큰은 "토큰의 상태가 유효하다" 및 "토큰의 유효화 순간이 토큰 세트의 가장 빠른 권리부여 유효화 순간보다 빠르거나 같다"라는 2개의 조건이 충족되는 경우에만 유효한 것으로 결정된다. 2개의 조건 중 어느 것이 만족될 수 없는 경우, 토큰은 무효한 것으로 간주된다. 물론, 이전 2개의 조건을 결정하는 순서는 제한될 필요가 없습니다.
기존 기술과 비교하여, 본 출원의 솔루션에서, 일괄적으로 취소될 필요가 있는 n개의 권한 레코드에 대해, 취소 처리에 대응하는 이론적인 알고리즘 복잡도는 O(n)에서 O(1)으로 감소될 수 있음을 알 수 있다. 또한, 본 출원의 솔루션에서 데이터베이스에 대해 1회 데이터 수정을 수행함으로써 권한 일괄 취소가 구현될 수 있기 때문에, 권한 레코드가 별도의 라이브러리 또는 별도의 테이블에 저장되는 복수의 복잡한 경우는 고려될 필요가 없고, 솔루션의 실제 기술 구현의 어려움을 효과적으로 감소시킨다.
이전 방법 구현예에 대응하여, 본 출원은 데이터베이스 권리부여 레코드 일괄 취소 디바이스를 더 제공한다. 도 4에 도시 된 바와 같이, 디바이스는, 취소를 필요로 하는 권한부여 레코드 세트를 결정하도록 구성된 취소 객체 결정 유닛(110); 및 결정된 집합에 대한 시간 유효성 속성 값을 설정하고, 시간 유효성 속성 값(T0)을 현재 순간 또는 미래 순간으로 설정하는 취소 실행 유닛(120)을 포함할 수 있다.
본 출원의 특정 구현예에서, 권한부여 레코드 세트는 동일한 권한을 부여받은 자에 대한 권한부여 레코드를 포함할 수 있다.
본 출원의 특정 구현예에서, 취소를 필요로 하는 권한부여 레코드 세트의 다음으로 가장 빠른 권한부여 유효화 순간이 결정될 수 있을 때, 취소 실행 유닛(120)은, 수정된 속성 값(T0)이 다음의 조건: 세트에서의 권한부여 레코드의 가장 늦은 무효화 순간 < T0 < 다음으로 가장 빠른 권한부여 유효화 순간을 더 만족 시키도록, 결정된 세트에 대한 시간 유효성 속성 값을 설정하도록 구성될 수 있다.
본 출원의 특정 구현예에서, 취소 실행 유닛(120)은 현재 순간을 획득하고, 수정된 속성 값(T0) = 현재 순간이도록, 결정된 세트에 대한 시간 유효성 속성 값을 설정하도록 구성될 수 있다.
본 출원의 특정 구현예에서, 취소 실행 유닛 (120)은 대안적으로, 세트에 대해 제 1 시간 유효성 속성이 구성되는 경우, 제 1 시간 유효성 속성 값(T1) > 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간이 되도록, 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간을 결정하고 세트에 대한 제 1 시간 유효성 속성 값을 설정하도록, 또는 세트에 대해 제 2 시간 유효성 속성이 구성되는 경우, 제 2 시간 유효성 속성 값(T2) < 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간이 되도록, 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간을 결정하고 세트에 대한 제 2 시간 유효성 속성 값을 설정하도록 구성될 수 있다.
제 1 시간 유효성 속성이 제 1 시점을 기술하는데 사용되어, 세트에서 권한부여 유효화 시점이 제 1 시점보다 빠른 권한부여 레코드는 무효가 되고, 제 2 시간 유효성 속성이 제 2 시점을 기술하는데 사용되어, 세트에서 권한부여 유효화 시점이 제 2 시점보다 늦은 권한부여 레코드는 무효가 된다.
본 출원은 데이터베이스 권한부여 레코드 유효성 검증 디바이스를 더 제공한다. 도 5에 도시된 바와 같이, 디바이스는 검증될 권한부여 레코드를 결정하도록 구성된 검증 객체 결정 유닛(210); 검증될 권한부여 레코드의 유효화 순간을 획득하도록 구성된 제 1 취득 유닛(220); 검증될 권한부여 레코드를 포함하는 권한부여 레코드 세트의 제 1 시간 유효성 속성 값 또는 제 2 시간 유효성 속성 값을 획득하도록 구성된 제 2 취득 유닛(230); 및 획득된 유효화 순간이 획득된 제 1 시간 유효성 속성 값보다 빠른 경우, 검증될 권한부여 레코드는 무효인 것으로 결정하도록, 또는 획득된 유효화 순간이 획득된 제 2 시간 유효성 속성 값보다 늦은 경우, 검증될 권한부여 레코드는 무효인 것으로 결정하도록 구성된 검증 유닛(240)을 포함할 수 있다.
도 6에 도시된 바와 같이, 본 출원의 특정 구현예에서, 이전의 데이터베이스 권리부여 레코드 유효성 검증 디바이스는 검증될 권한부여 레코드의 유효성 속성 값을 획득하도록 구성된 제 3 취득 유닛(250)을 더 포함할 수 있다.
결과적으로, 검증 유닛(240)은 또한, 획득된 유효성 속성 값이 유효를 나타내며, 획득된 유효화 순간이 획득된 제 1 시간 유효성 속성 값보다 빠르지 않은 경우, 검증될 권한부여 레코드는 유효인 것으로 결정하도록, 또는 획득된 유효성 속성 값이 유효를 나타내며, 획득된 유효화 순간이 획득된 제 2 시간 유효성 속성 값보다 늦지 않은 경우, 검증될 권한부여 레코드는 무효인 것으로 결정하도록 nrn성될 수 있다.
구현예의 설명으로부터 당업자가 본 출원이 소프트웨어 및 필요한 일반적인 하드웨어 플랫폼을 사용하여 구현될 수 있음을 명확히 이해할 수 있음을 알 수 있다. 이러한 이해에 기초하여, 기존 기술에 본질적으로 또는 부분적으로 기여하는 본 출원의 기술 솔루션은 소프트웨어 제품의 형태로 구현될 수 있다. 컴퓨터 소프트웨어 제품은 ROM/RAM, 자기 디스크, 또는 광학 디스크와 같은 저장 매체에 저장될 수 있으며, 컴퓨터 디바이스(퍼스널 컴퓨터, 서버, 네트워크 디바이스 등일 수 있음)가 본 출원의 구현예에서 또는 구현예의 일부에서 설명된 방법을 수행하도록 명령하는 여러 명령어들을 포함한다.
본 명세서에서의 구현예은 점진적인 방법으로 설명된다. 구현예의 동일하거나 유사한 부분에 대해서는 구현예를 참조할 수 있다. 각 구현예는 다른 구현예와의 차이점에 초점을 맞춘다. 특히, 디바이스 구현예는 방법 구현예와 유사하므로 간략하게 설명한다. 관련 부분에 대해서는 방법 구현예의 일부 설명을 참조할 수 있다. 이전 설명된 디바이스 구현예은 단지 예시이다. 별도의 파트로 설명된 모듈은 물리적으로 분리되어 있거나 그렇지 않을 수 있다. 본 출원의 구현 동안, 모듈의 기능은 소프트웨어 및/또는 하드웨어의 하나 이상의 부분으로 구현될 수 있다. 모듈의 일부 또는 전부는 구현 솔루션을 구현할 실제 필요성에 따라 선택될 수 있다. 당업자는 창조적인 노력없이 본 출원의 구현예을 이해하고 구현할 수 있다.
이전 설명은 단지 본 출원의 특정 구현예이다. 당업자는 본 출원의 원리를 벗어나지 않으면서 몇몇 개선 또는 연마를 행할 수 있다는 점에 주목해야 한다. 개선 및 연마는 본 출원의 보호 범위에 떨어질 것이다.

Claims (11)

  1. 데이터베이스 권한부여 레코드 일괄 취소(database authorization record batch-revoking) 방법에 있어서,
    취소를 필요로 하는 권한부여 레코드 세트에 대해 시간 유효성 속성이 구성되고, 상기 시간 유효성 속성이 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화(validation) 순간이 상기 시점보다 빠른 권한부여 레코드는 무효가 되며, 상기 방법은,
    취소를 필요로 하는 권한부여 레코드 세트를 결정하는 단계; 및
    상기 결정된 세트에 대한 시간 유효성 속성 값을 설정하고, 상기 시간 유효성 속성 값(T0)을 현재 순간 또는 미래 순간으로 설정하는 단계
    를 포함하는, 데이터베이스 권한부여 레코드 일괄 취소 방법.
  2. 제 1 항에 있어서,
    상기 권한부여 레코드 세트는 동일한 권한을 부여받은 자(authorized party)에 대한 권한부여 레코드를 포함하는 것인, 데이터베이스 권한부여 레코드 일괄 취소 방법.
  3. 제 1 항에 있어서,
    상기 취소를 필요로 하는 권한부여 레코드 세트의 다음으로 빠른 권한부여 유효화 순간이 결정될 수 있는 경우, 상기 시간 유효성 속성 값(T0)을 미래 순간으로 설정하는 단계는,
    상기 시간 유효성 속성 값(T0)을 미래 순간으로 설정하는 단계(여기서, T0 < 상기 다음으로 빠른 권한부여 유효화 순간)를 포함하는 것인, 데이터베이스 권한부여 레코드 일괄 취소 방법.
  4. 데이터베이스 권한부여 레코드 일괄 취소 방법에 있어서,
    취소를 필요로 하는 권한부여 레코드 세트에 대해 제 1 시간 유효성 속성 또는 제 2 시간 유효성 속성이 구성되고, 상기 제 1 시간 유효성 속성이 제 1 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 제 1 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 제 2 시간 유효성 속성이 제 2 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 제 2 시점보다 늦은 권한부여 레코드는 무효가 되며, 상기 방법은,
    취소를 필요로 하는 권한부여 레코드 세트를 결정하는 단계;
    상기 세트에 대해 상기 제 1 시간 유효성 속성이 구성되는 경우, 제 1 시간 유효성 속성 값(T1) > 상기 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간이 되도록, 상기 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간을 결정하고 상기 세트에 대한 제 1 시간 유효성 속성 값을 설정하는 단계; 또는
    상기 세트에 대해 상기 제 2 시간 유효성 속성이 구성되는 경우, 제 2 시간 유효성 속성 값(T2) < 상기 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간이 되도록, 상기 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간을 결정하고 상기 세트에 대한 제 2 시간 유효성 속성 값을 설정하는 단계
    를 포함하는, 데이터베이스 권한부여 레코드 일괄 취소 방법.
  5. 데이터베이스 권한부여 레코드 유효성 검증 방법에 있어서,
    취소를 필요로 하는 권한부여 레코드 세트에 대해 제 1 시간 유효성 속성 또는 제 2 시간 유효성 속성이 구성되고, 상기 제 1 시간 유효성 속성이 제 1 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 제 1 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 제 2 시간 유효성 속성이 제 2 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 제 2 시점보다 늦은 권한부여 레코드는 무효가 되며, 상기 방법은,
    검증될 권한부여 레코드를 결정하는 단계;
    상기 검증될 권한부여 레코드의 유효화 순간을 획득하는 단계;
    상기 검증될 권한부여 레코드를 포함하는 권한부여 레코드 세트의 제 1 시간 유효성 속성 값 또는 제 2 시간 유효성 속성 값을 획득하는 단계; 및
    상기 획득된 유효화 순간이 상기 획득된 제 1 시간 유효성 속성 값보다 빠른 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하는 단계; 또는
    상기 획득된 유효화 순간이 상기 획득된 제 2 시간 유효성 속성 값보다 늦은 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하는 단계
    를 포함하는, 데이터베이스 권한부여 레코드 유효성 검증 방법.
  6. 제 5 항에 있어서,
    상기 방법은,
    상기 검증될 권한부여 레코드의 유효성 속성 값을 획득하는 단계; 및
    상기 획득된 유효성 속성 값이 무효를 나타내는 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하는 단계; 또는
    상기 획득된 유효성 속성 값이 유효를 나타내며, 상기 획득된 유효화 순간이 상기 획득된 제 1 시간 유효성 속성 값보다 빠르지 않은 경우, 상기 검증될 권한부여 레코드는 유효인 것으로 결정하는 단계; 또는
    상기 획득된 유효성 속성 값이 유효를 나타내며, 상기 획득된 유효화 순간이 상기 획득된 제 2 시간 유효성 속성 값보다 늦지 않은 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하는 단계
    를 더 포함하는, 데이터베이스 권한부여 레코드 유효성 검증 방법.
  7. 제 3 자(third-party) 애플리케이션에 대한 권한부여 토큰(token) 일괄 취소 방법에 있어서,
    권한부여 토큰 취소를 필요로 하는 제 3 자 애플리케이션을 결정하는 단계;
    현재 순간을 획득하고, 시간 유효성 속성 값(T0) = 현재 순간이도록 상기 결정된 제 3 자 애플리케이션에 대한 시간 유효성 속성 값을 설정하는 단계;
    상기 제 3 자 애플리케이션에 의해 제공되는 권한부여 토큰을 수신하는 단계;
    상기 권한부여 토큰의 유효성 속성 값을 획득하는 단계; 및
    상기 유효성 속성 값이 유효를 나타내면 상기 제 3 자 애플리케이션의 상기 시간 유효성 속성 값 및 상기 권한부여 토큰의 유효화 순간을 더 획득하고, 상기 획득된 유효화 순간이 상기 획득된 시간 유효성 속성보다 빠르면 상기 권한부여 토큰이 무효인 것으로 결정하며; 그렇지 않으면 상기 권한부여 토큰이 유효인 것으로 결정하는 단계
    를 포함하는, 권한부여 토큰 일괄 취소 방법.
  8. 데이터베이스 권한부여 레코드 일괄 취소 디바이스에 있어서,
    취소를 필요로 하는 권한부여 레코드 세트에 대해 시간 유효성 속성이 구성되고, 상기 시간 유효성 속성이 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 순간이 상기 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 디바이스는,
    취소를 필요로 하는 권한부여 레코드 세트를 결정하도록 구성된 취소 태스크 결정 유닛; 및
    상기 결정된 세트에 대한 시간 유효성 속성 값을 설정하고, 상기 시간 유효성 속성 값(T0)을 현재 순간 또는 미래 순간으로 설정하는 취소 실행 유닛
    을 포함하는, 데이터베이스 권한부여 레코드 일괄 취소 디바이스.
  9. 데이터베이스 권한부여 레코드 일괄 취소 디바이스에 있어서,
    취소를 필요로 하는 권한부여 레코드 세트에 대해 제 1 시간 유효성 속성 또는 제 2 시간 유효성 속성이 구성되고, 상기 제 1 시간 유효성 속성이 제 1 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 시점이 상기 제 1 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 제 2 시간 유효성 속성이 제 2 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 시점이 상기 제 2 시점보다 늦은 권한부여 레코드는 무효가 되며, 상기 디바이스는,
    취소를 필요로 하는 권한부여 레코드 세트를 결정하도록 구성된 취소 태스크 결정 유닛; 및
    취소 실행 유닛으로서,
    상기 세트에 대해 상기 제 1 시간 유효성 속성이 구성되는 경우, 제 1 시간 유효성 속성 값(T1) > 상기 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간이 되도록, 상기 세트에서의 권한부여 레코드의 가장 늦은 유효화 순간을 결정하고 상기 세트에 대한 제 1 시간 유효성 속성 값을 설정하도록, 또는
    상기 세트에 대해 상기 제 2 시간 유효성 속성이 구성되는 경우, 제 2 시간 유효성 속성 값(T2) < 상기 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간이 되도록, 상기 세트에서의 권한부여 레코드의 가장 빠른 유효화 순간을 결정하고 상기 세트에 대한 제 2 시간 유효성 속성 값을 설정하도록 구성된, 상기 취소 실행 유닛
    을 포함하는, 데이터베이스 권한부여 레코드 일괄 취소 디바이스.
  10. 데이터베이스 권한부여 레코드 유효성 검증 디바이스에 있어서,
    취소를 필요로 하는 권한부여 레코드 세트에 대해 제 1 시간 유효성 속성 또는 제 2 시간 유효성 속성이 구성되고, 상기 제 1 시간 유효성 속성이 제 1 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 시점이 상기 제 1 시점보다 빠른 권한부여 레코드는 무효가 되고, 상기 제 2 시간 유효성 속성이 제 2 시점을 기술하는데 사용되어, 상기 세트에서 권한부여 유효화 시점이 상기 제 2 시점보다 늦은 권한부여 레코드는 무효가 되며, 상기 디바이스는,
    검증될 권한부여 레코드를 결정하도록 구성된 검증 객체 결정 유닛;
    상기 검증될 권한부여 레코드의 유효화 순간을 획득하도록 구성된 제 1 취득 유닛;
    상기 검증될 권한부여 레코드를 포함하는 권한부여 레코드 세트의 제 1 시간 유효성 속성 값 또는 제 2 시간 유효성 속성 값을 획득하도록 구성된 제 2 취득 유닛; 및
    검증 유닛으로서,
    상기 획득된 유효화 순간이 상기 획득된 제 1 시간 유효성 속성 값보다 빠른 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하도록, 또는
    상기 획득된 유효화 순간이 상기 획득된 제 2 시간 유효성 속성 값보다 늦은 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하도록 구성된, 상기 검증 유닛
    을 포함하는, 데이터베이스 권한부여 레코드 유효성 검증 디바이스.
  11. 제 10 항에 있어서,
    상기 디바이스는,
    상기 검증될 권한부여 레코드의 유효성 속성 값을 획득하도록 구성된 제 3 취득 유닛
    을 더 포함하고,
    상기 검증 유닛은 또한,
    상기 획득된 유효성 속성 값이 유효를 나타내며, 상기 획득된 유효화 순간이 상기 획득된 제 1 시간 유효성 속성 값보다 빠르지 않은 경우, 상기 검증될 권한부여 레코드는 유효인 것으로 결정하도록, 또는
    상기 획득된 유효성 속성 값이 유효를 나타내며, 상기 획득된 유효화 순간이 상기 획득된 제 2 시간 유효성 속성 값보다 늦지 않은 경우, 상기 검증될 권한부여 레코드는 무효인 것으로 결정하도록 구성되는 것인, 데이터베이스 권한부여 레코드 유효성 검증 디바이스.
KR1020197003363A 2016-07-05 2017-06-26 권한 취소 방법 및 디바이스 KR102194061B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610523017.4A CN106878002B (zh) 2016-07-05 2016-07-05 一种权限撤销方法及装置
CN201610523017.4 2016-07-05
PCT/CN2017/089963 WO2018006715A1 (zh) 2016-07-05 2017-06-26 一种权限撤销方法及装置

Publications (2)

Publication Number Publication Date
KR20190025981A true KR20190025981A (ko) 2019-03-12
KR102194061B1 KR102194061B1 (ko) 2020-12-23

Family

ID=59238926

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197003363A KR102194061B1 (ko) 2016-07-05 2017-06-26 권한 취소 방법 및 디바이스

Country Status (9)

Country Link
US (3) US11017063B2 (ko)
EP (1) EP3484096B1 (ko)
JP (1) JP6733028B2 (ko)
KR (1) KR102194061B1 (ko)
CN (1) CN106878002B (ko)
MY (1) MY196366A (ko)
SG (1) SG11201900035VA (ko)
TW (1) TWI690819B (ko)
WO (1) WO2018006715A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106878002B (zh) 2016-07-05 2020-04-24 阿里巴巴集团控股有限公司 一种权限撤销方法及装置
CN108390876B (zh) * 2018-02-13 2021-12-14 西安电子科技大学 支持撤销外包可验证多授权中心访问控制方法、云服务器
CN110099043B (zh) * 2019-03-24 2021-09-17 西安电子科技大学 支持策略隐藏的多授权中心访问控制方法、云存储系统
CN112312165A (zh) * 2020-10-19 2021-02-02 中移(杭州)信息技术有限公司 视频下发方法、装置及计算机可读存储介质
JP7180017B1 (ja) 2022-01-28 2022-11-29 株式会社オービック 更新制御装置、更新制御方法、及び、更新制御プログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140230020A1 (en) * 2012-05-25 2014-08-14 Canon Kabushiki Kaisha Authorization server and client apparatus, server cooperative system, and token management method

Family Cites Families (79)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4031518A (en) * 1973-06-26 1977-06-21 Addressograph Multigraph Corporation Data capture terminal
US3905022A (en) * 1973-06-26 1975-09-09 Addressograph Multigraph Data entry terminal having data correction means
US3931614A (en) * 1973-06-26 1976-01-06 Addressograph Multigraph Corporation Data terminal having improved data output presentation
US7162635B2 (en) * 1995-01-17 2007-01-09 Eoriginal, Inc. System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents
US6766450B2 (en) * 1995-10-24 2004-07-20 Corestreet, Ltd. Certificate revocation system
US7337315B2 (en) * 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US6301659B1 (en) * 1995-11-02 2001-10-09 Silvio Micali Tree-based certificate revocation system
US5937159A (en) * 1997-03-28 1999-08-10 Data General Corporation Secure computer system
US6128740A (en) * 1997-12-08 2000-10-03 Entrust Technologies Limited Computer security system and method with on demand publishing of certificate revocation lists
US6898711B1 (en) * 1999-01-13 2005-05-24 International Business Machines Corporation User authentication system and method for multiple process applications
AU6097000A (en) * 1999-07-15 2001-02-05 Frank W Sudia Certificate revocation notification systems
US6948061B1 (en) * 2000-09-20 2005-09-20 Certicom Corp. Method and device for performing secure transactions
US7039803B2 (en) * 2001-01-26 2006-05-02 International Business Machines Corporation Method for broadcast encryption and key revocation of stateless receivers
US7350231B2 (en) * 2001-06-06 2008-03-25 Yahoo ! Inc. System and method for controlling access to digital content, including streaming media
US20030018606A1 (en) * 2001-07-17 2003-01-23 International Business Machines Corporation Revocation of tokens without communication between the token holders and the token server
FI20021738A0 (fi) * 2002-09-30 2002-09-30 Ssh Comm Security Oyj Menetelmä sertifikaattien hylkylistojen muodostamiseksi
US8010783B1 (en) * 2004-04-15 2011-08-30 Aol Inc. Service provider invocation
US8042163B1 (en) * 2004-05-20 2011-10-18 Symatec Operating Corporation Secure storage access using third party capability tokens
US7614082B2 (en) * 2005-06-29 2009-11-03 Research In Motion Limited System and method for privilege management and revocation
US20070294114A1 (en) * 2005-12-14 2007-12-20 Healthunity Corporation Record sharing privacy system and method
US9195665B2 (en) * 2006-04-28 2015-11-24 Hewlett-Packard Development Company, L.P. Method and system for data retention
US20080109361A1 (en) * 2006-11-08 2008-05-08 Healthunity Corporation Health record access system and method
EP2045767B1 (en) * 2007-10-01 2012-08-29 Accenture Global Services Limited Mobile data collection and validation systems and methods
WO2009070430A2 (en) * 2007-11-08 2009-06-04 Suridx, Inc. Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones
US9286742B2 (en) * 2008-03-31 2016-03-15 Plantronics, Inc. User authentication system and method
US8200655B2 (en) * 2009-01-22 2012-06-12 International Business Machines Corporation Query-based generation of data records
US8893232B2 (en) * 2009-02-06 2014-11-18 Empire Technology Development Llc Media monitoring system
EP2302534B1 (en) * 2009-09-18 2017-12-13 Software AG Method for mass-deleting data records of a database system
EP2529300A4 (en) * 2010-01-27 2017-05-03 Varonis Systems, Inc. Time dependent access permissions
US8745380B2 (en) * 2010-02-26 2014-06-03 Red Hat, Inc. Pre-encoding a cached certificate revocation list
US8423764B2 (en) * 2010-06-23 2013-04-16 Motorola Solutions, Inc. Method and apparatus for key revocation in an attribute-based encryption scheme
JP5531819B2 (ja) 2010-06-28 2014-06-25 株式会社リコー 管理装置,ライセンス管理サーバ,電子機器,電子機器管理システム,管理方法,プログラム,および記録媒体
JP5129313B2 (ja) * 2010-10-29 2013-01-30 株式会社東芝 アクセス認可装置
US9083535B2 (en) * 2010-11-05 2015-07-14 Nokia Corporation Method and apparatus for providing efficient management of certificate revocation
US8839381B2 (en) * 2010-12-07 2014-09-16 Microsoft Corporation Revoking delegatable anonymous credentials
US8572730B1 (en) * 2011-02-28 2013-10-29 Symantec Corporation Systems and methods for revoking digital signatures
JP5583630B2 (ja) 2011-05-09 2014-09-03 日本電信電話株式会社 代理申請認可システム及び代理申請認可方法
WO2012177845A2 (en) * 2011-06-23 2012-12-27 Pharmorx Security, Inc Systems and methods for tracking and authenticating goods
US10366390B2 (en) * 2011-09-23 2019-07-30 Visa International Service Association Automatic refresh authorization for expired payment transaction authorizations
JP5830362B2 (ja) * 2011-11-15 2015-12-09 株式会社インフォクラフト 分散アクセス制御方法
US8904494B2 (en) * 2011-12-12 2014-12-02 Avira B.V. System and method to facilitate compliance with COPPA for website registration
US8898743B1 (en) * 2012-02-27 2014-11-25 Google Inc. Personal content control on media device using mobile user device
US9053293B2 (en) * 2012-05-15 2015-06-09 Sap Se Personal authentications on computing devices
US9256722B2 (en) * 2012-07-20 2016-02-09 Google Inc. Systems and methods of using a temporary private key between two devices
US9530130B2 (en) * 2012-07-30 2016-12-27 Mastercard International Incorporated Systems and methods for correction of information in card-not-present account-on-file transactions
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
CN103678392A (zh) * 2012-09-20 2014-03-26 阿里巴巴集团控股有限公司 一种数据增量合并的方法及其装置
US9076002B2 (en) * 2013-03-07 2015-07-07 Atmel Corporation Stored authorization status for cryptographic operations
US8997187B2 (en) * 2013-03-15 2015-03-31 Airwatch Llc Delegating authorization to applications on a client device in a networked environment
US9098687B2 (en) * 2013-05-03 2015-08-04 Citrix Systems, Inc. User and device authentication in enterprise systems
US9536065B2 (en) * 2013-08-23 2017-01-03 Morphotrust Usa, Llc System and method for identity management
US9407620B2 (en) * 2013-08-23 2016-08-02 Morphotrust Usa, Llc System and method for identity management
US9876803B2 (en) * 2013-08-23 2018-01-23 Morphotrust Usa, Llc System and method for identity management
US9898880B2 (en) * 2013-09-10 2018-02-20 Intel Corporation Authentication system using wearable device
US9412031B2 (en) * 2013-10-16 2016-08-09 Xerox Corporation Delayed vehicle identification for privacy enforcement
CN104639586B (zh) * 2013-11-13 2018-06-08 阿里巴巴集团控股有限公司 一种数据交互方法和系统
US9577823B2 (en) * 2014-03-21 2017-02-21 Venafi, Inc. Rule-based validity of cryptographic key material
KR101926052B1 (ko) * 2014-05-12 2018-12-06 삼성에스디에스 주식회사 출입 관리 시스템 및 방법
US9208284B1 (en) * 2014-06-27 2015-12-08 Practice Fusion, Inc. Medical professional application integration into electronic health record system
US9712537B2 (en) * 2014-07-25 2017-07-18 Accenture Global Services Limited Aggregated data in a mobile device for displaying cluster sessions
US9712635B2 (en) * 2014-07-25 2017-07-18 Accenture Global Services Limited Aggregated data in a mobile device for session object
US10678880B2 (en) * 2014-08-07 2020-06-09 Greenman Gaming Limited Digital key distribution mechanism
US9350726B2 (en) * 2014-09-11 2016-05-24 International Business Machines Corporation Recovery from rolling security token loss
US9361093B2 (en) * 2014-10-01 2016-06-07 Sap Se Revoking a zero downtime upgrade
JP6303979B2 (ja) * 2014-10-29 2018-04-04 株式会社リコー 情報処理システム、情報処理装置、情報処理方法およびプログラム
US10356053B1 (en) * 2014-12-12 2019-07-16 Charles Schwab & Co., Inc. System and method for allowing access to an application or features thereof on each of one or more user devices
US20180109390A1 (en) * 2015-04-06 2018-04-19 Hewlett Packard Enterprise Development Lp Certificate generation
US9824351B2 (en) * 2015-05-27 2017-11-21 Bank Of America Corporation Providing access to account information using authentication tokens
US9830591B2 (en) * 2015-05-27 2017-11-28 Bank Of America Corporation Providing access to account information using authentication tokens
CN104980438B (zh) * 2015-06-15 2018-07-24 中国科学院信息工程研究所 一种虚拟化环境中数字证书撤销状态检查的方法和系统
US9853820B2 (en) * 2015-06-30 2017-12-26 Microsoft Technology Licensing, Llc Intelligent deletion of revoked data
CN105072180B (zh) * 2015-08-06 2018-02-09 武汉科技大学 一种有权限时间控制的云存储数据安全共享方法
US20170147808A1 (en) * 2015-11-19 2017-05-25 International Business Machines Corporation Tokens for multi-tenant transaction database identity, attribute and reputation management
CN105553675B (zh) * 2016-01-29 2019-05-10 北京小米移动软件有限公司 登录路由器的方法及装置
US10218701B2 (en) * 2016-03-09 2019-02-26 Avaya Inc. System and method for securing account access by verifying account with email provider
US10469526B2 (en) * 2016-06-06 2019-11-05 Paypal, Inc. Cyberattack prevention system
CN106878002B (zh) * 2016-07-05 2020-04-24 阿里巴巴集团控股有限公司 一种权限撤销方法及装置
US10735197B2 (en) * 2016-07-29 2020-08-04 Workday, Inc. Blockchain-based secure credential and token management across multiple devices
US11106812B2 (en) * 2019-05-09 2021-08-31 At&T Intellectual Property I, L.P. Controlling access to datasets described in a cryptographically signed record

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140230020A1 (en) * 2012-05-25 2014-08-14 Canon Kabushiki Kaisha Authorization server and client apparatus, server cooperative system, and token management method

Also Published As

Publication number Publication date
JP2019525317A (ja) 2019-09-05
EP3484096A4 (en) 2019-07-17
JP6733028B2 (ja) 2020-07-29
WO2018006715A1 (zh) 2018-01-11
CN106878002B (zh) 2020-04-24
EP3484096B1 (en) 2021-06-02
US20190156001A1 (en) 2019-05-23
CN106878002A (zh) 2017-06-20
KR102194061B1 (ko) 2020-12-23
US11017063B2 (en) 2021-05-25
TWI690819B (zh) 2020-04-11
US20210286862A1 (en) 2021-09-16
US11397797B2 (en) 2022-07-26
TW201802717A (zh) 2018-01-16
SG11201900035VA (en) 2019-02-27
MY196366A (en) 2023-03-27
US11017065B2 (en) 2021-05-25
US20200143018A1 (en) 2020-05-07
EP3484096A1 (en) 2019-05-15

Similar Documents

Publication Publication Date Title
KR102194061B1 (ko) 권한 취소 방법 및 디바이스
US11698958B2 (en) Systems and methods for device and user authorization
US20200236101A1 (en) System and method for authenticating clients
JP6033990B2 (ja) 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス
US9282104B2 (en) Access management service system and method for controlling same, and non-transitory computer readable medium
US11184353B2 (en) Trusted status transfer between associated devices
US20230163969A1 (en) Security token revocation
EP3462701B1 (en) Device, control method of the same, and program
US10154036B2 (en) Authorization delegation system, control method, authorization server, and storage medium
CN109960900B (zh) 一种注册码生成方法及系统
US20150046971A1 (en) Method and system for access control in cloud computing service
US20070220589A1 (en) Techniques for validating public keys using AAA services
KR20170092642A (ko) 기대치에 따른 데이터 보안 작동
JP2009519557A (ja) 資源が限られている装置におけるオフライン認証方法
US20130144633A1 (en) Enforcement and assignment of usage rights
CN103038778A (zh) 授权控制
KR20080019362A (ko) 대체 가능한 지역 도메인 관리 시스템 및 방법
US20170346810A1 (en) Devices, systems, and methods for zero-trust single sign-on
WO2019175427A1 (en) Method, device and medium for protecting work based on blockchain
EP3062254A1 (en) License management for device management system
US20160285843A1 (en) System and method for scoping a user identity assertion to collaborative devices
CN114467103A (zh) 使用授权令牌和凭证为服务提供商提供对锁的访问
CN110874482A (zh) 已认证部件权限框架
US11764979B2 (en) Customer-controlled authentication
CN114024700A (zh) 基于区块链的数据文件的访问控制方法、介质及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant