RU2013123353A - Ограничиваемая удаленной частью модель делегирования - Google Patents
Ограничиваемая удаленной частью модель делегирования Download PDFInfo
- Publication number
- RU2013123353A RU2013123353A RU2013123353/08A RU2013123353A RU2013123353A RU 2013123353 A RU2013123353 A RU 2013123353A RU 2013123353/08 A RU2013123353/08 A RU 2013123353/08A RU 2013123353 A RU2013123353 A RU 2013123353A RU 2013123353 A RU2013123353 A RU 2013123353A
- Authority
- RU
- Russia
- Prior art keywords
- computing device
- domain
- remote part
- signed
- computer
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
1. Способ обеспечения возможности делегирования, содержащий этапы:приема запроса делегирования, задающего адресат,проверки, находится ли адресат в том же домене, что и вычислительное устройство, выполняющее компьютерно-выполняемые инструкции;идентификации одной или нескольких политик, содержащих требования для делегирования к адресату;определения, удовлетворяются ли идентифицированные одна или несколько политик;формирование подписанного маркера, содержащего информацию из запроса делегирования; иформирование подписанного билета услуги, разрешающего запрос делегирования;причем компьютерно-выполняемые инструкции для осуществления формирования подписанного маркера выполняются, если проверка выявляет, что адресат не находится в упомянутом домене; ипри этом дополнительно компьютерно-выполняемые инструкции для осуществления идентификации, определения и формирования подписанного билета услуги выполняются, если проверка выявляет, что адресат находится в упомянутом домене.2. Способ по п. 1, в котором по меньшей мере одна политика из одной или нескольких политик установлена и управляется адресатом.3. Способ по п. 1, в котором подписанный маркер и подписанный билет услуги направляются в другой домен.4. Способ по п. 1, в котором упомянутое определение дополнительно содержит запрос дополнительной информации, ассоциированной с упомянутыми требованиями.5. Способ по п. 1, дополнительно содержащий этапы приема подписанных идентификационных данных, проверки подписи и подписания принятых идентификационных данных, если проверка прошла успешно.6. Способ по п. 5, дополнительно содержащий этапы направления принятых ид
Claims (10)
1. Способ обеспечения возможности делегирования, содержащий этапы:
приема запроса делегирования, задающего адресат,
проверки, находится ли адресат в том же домене, что и вычислительное устройство, выполняющее компьютерно-выполняемые инструкции;
идентификации одной или нескольких политик, содержащих требования для делегирования к адресату;
определения, удовлетворяются ли идентифицированные одна или несколько политик;
формирование подписанного маркера, содержащего информацию из запроса делегирования; и
формирование подписанного билета услуги, разрешающего запрос делегирования;
причем компьютерно-выполняемые инструкции для осуществления формирования подписанного маркера выполняются, если проверка выявляет, что адресат не находится в упомянутом домене; и
при этом дополнительно компьютерно-выполняемые инструкции для осуществления идентификации, определения и формирования подписанного билета услуги выполняются, если проверка выявляет, что адресат находится в упомянутом домене.
2. Способ по п. 1, в котором по меньшей мере одна политика из одной или нескольких политик установлена и управляется адресатом.
3. Способ по п. 1, в котором подписанный маркер и подписанный билет услуги направляются в другой домен.
4. Способ по п. 1, в котором упомянутое определение дополнительно содержит запрос дополнительной информации, ассоциированной с упомянутыми требованиями.
5. Способ по п. 1, дополнительно содержащий этапы приема подписанных идентификационных данных, проверки подписи и подписания принятых идентификационных данных, если проверка прошла успешно.
6. Способ по п. 5, дополнительно содержащий этапы направления принятых идентификационных данных, которые были подписаны, в другой домен, если проверка прошла успешно.
7. Один или несколько машиночитаемых носителей, содержащих компьютерно-выполняемые инструкции для осуществления этапов по п. 1.
8. Система, содержащая:
клиентское вычислительное устройство;
слой удаленной части из вычислительных устройств, содержащий первое вычислительное устройство удаленной части;
вычислительное устройство промежуточного слоя, содержащее компьютерно-выполняемые инструкции для осуществления этапов, содержащих:
предоставление в первое вычислительное устройство контроллера домена указание того, что вычислительное устройство промежуточного слоя стремится к осуществлению связи с первым вычислительным устройством удаленной части в качестве клиентского вычислительного устройства;
предоставление идентификационных данных вычислительного устройства промежуточного слоя в первое вычислительное устройство контроллера домена;
прием, если и вычислительное устройство удаленной части, и вычислительное устройство контроллер домена находятся в одном и том же домене, билета услуги, указывающего, что вычислительное устройство промежуточного слоя может осуществлять связь с первым вычислительным устройством удаленной части в качестве клиентского вычислительного устройства;
представление билета услуги первому вычислительному устройству удаленной части;
прием, если первое вычислительное устройство удаленной части находится в другом домене, чем первое вычислительное устройство контроллера домена, маркера, указывающего, что вычислительное устройство промежуточного слоя стремится к осуществлению связи с первым вычислительным устройством удаленной части в качестве клиентского вычислительного устройства; и
представление маркера второму вычислительному устройству контроллера домена; и
первое вычислительное устройство контроллера домена, содержащее компьютерно-выполняемые инструкции для выполнения этапов, содержащих:
проверку, находится ли первое вычислительное устройство удаленной части в домене, который также содержит первое вычислительное устройство контроллера домена;
идентификацию одной или нескольких политик, содержащих требования для делегирования к первому вычислительному устройству удаленной части;
определение того, соответствует ли вычислительное устройство промежуточного слоя упомянутым требованиям;
формирования, подписания и передачи маркера и
формирования, подписания и передачи билета услуги;
причем компьютерно-выполняемые инструкции для осуществления формирования, подписания и передачи маркера выполняются, если проверка выявляет, что первое вычислительное устройство удаленной части не находится в упомянутом домене; и
при этом дополнительно компьютерно-выполняемые инструкции для осуществления идентификации, определения, а также формирования, подписания и передачи подписанного билета услуги выполняются, если проверка выявляет, что первое вычислительное устройство удаленной части находится в упомянутом домене.
9. Система по п. 8, в котором по меньшей мере одна политика из одной или нескольких политик установлена и управляется первым вычислительным устройством удаленной части.
10. Система по п. 8, в котором слой удаленной части из вычислительных устройств содержит второе вычислительное устройство удаленной части в дополнение к первому вычислительному устройству удаленной части; причем дополнительно вычислительное устройство промежуточного слоя содержит дополнительные компьютерно-выполняемые инструкции для осуществления связи со вторым вычислительным устройством удаленной части в качестве клиентского вычислительного устройства; агрегирования информации, принятой от вычислительного устройства удаленной части и второго вычислительного устройства удаленной части; и предоставления агрегированной информации на клиентское вычислительное устройство.
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AU2010246354A AU2010246354B1 (en) | 2010-11-22 | 2010-11-22 | Back-end constrained delegation model |
| AU2010246354 | 2010-11-22 | ||
| US12/965,445 US9118672B2 (en) | 2010-11-22 | 2010-12-10 | Back-end constrained delegation model |
| US12/965,445 | 2010-12-10 | ||
| PCT/US2011/060614 WO2012071207A2 (en) | 2010-11-22 | 2011-11-14 | Back-end constrained delegation model |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2013123353A true RU2013123353A (ru) | 2014-11-27 |
| RU2589333C2 RU2589333C2 (ru) | 2016-07-10 |
Family
ID=45465361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2013123353/08A RU2589333C2 (ru) | 2010-11-22 | 2011-11-14 | Ограничиваемая удаленной частью модель делегирования |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US9118672B2 (ru) |
| EP (1) | EP2643766B1 (ru) |
| JP (1) | JP5865386B2 (ru) |
| KR (1) | KR20140003426A (ru) |
| AU (2) | AU2010246354B1 (ru) |
| BR (1) | BR112013012537A2 (ru) |
| CA (1) | CA2815690A1 (ru) |
| HK (1) | HK1168697A1 (ru) |
| RU (1) | RU2589333C2 (ru) |
| WO (1) | WO2012071207A2 (ru) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9148285B2 (en) | 2013-01-21 | 2015-09-29 | International Business Machines Corporation | Controlling exposure of sensitive data and operation using process bound security tokens in cloud computing environment |
| GB2512062A (en) | 2013-03-18 | 2014-09-24 | Ibm | A method for secure user authentication in a dynamic network |
| US8745394B1 (en) | 2013-08-22 | 2014-06-03 | Citibank, N.A. | Methods and systems for secure electronic communication |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6367009B1 (en) | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US7698381B2 (en) | 2001-06-20 | 2010-04-13 | Microsoft Corporation | Methods and systems for controlling the scope of delegation of authentication credentials |
| US7185359B2 (en) | 2001-12-21 | 2007-02-27 | Microsoft Corporation | Authentication and authorization across autonomous network systems |
| US7401235B2 (en) * | 2002-05-10 | 2008-07-15 | Microsoft Corporation | Persistent authorization context based on external authentication |
| US20040073668A1 (en) | 2002-10-10 | 2004-04-15 | Shivaram Bhat | Policy delegation for access control |
| GB2410660B (en) * | 2002-10-14 | 2005-10-19 | Toshiba Res Europ Ltd | Methods and systems for flexible delegation |
| JP2004272380A (ja) * | 2003-03-05 | 2004-09-30 | Nippon Telegr & Teleph Corp <Ntt> | グループ認証方法及びシステム、サービス提供装置、認証装置、サービス提供プログラム及びそれを記録した記録媒体、認証プログラム及びそれを記録した記録媒体 |
| US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
| US7546640B2 (en) | 2003-12-10 | 2009-06-09 | International Business Machines Corporation | Fine-grained authorization by authorization table associated with a resource |
| US7555569B1 (en) * | 2004-02-02 | 2009-06-30 | Emc Corporation | Quick configuration status |
| US7805527B2 (en) | 2005-06-29 | 2010-09-28 | Microsoft Corporation | Using a variable identity pipe for constrained delegation and connection pooling |
| US7984493B2 (en) * | 2005-07-22 | 2011-07-19 | Alcatel-Lucent | DNS based enforcement for confinement and detection of network malicious activities |
| US20090119504A1 (en) | 2005-08-10 | 2009-05-07 | Riverbed Technology, Inc. | Intercepting and split-terminating authenticated communication connections |
| US7627593B2 (en) * | 2005-08-25 | 2009-12-01 | International Business Machines Corporation | Method and system for unified support of multiple system management information models in a multiple host environment |
| US8200971B2 (en) | 2005-09-23 | 2012-06-12 | Cisco Technology, Inc. | Method for the provision of a network service |
| WO2007047183A2 (en) * | 2005-10-11 | 2007-04-26 | Citrix Systems, Inc. | Systems and methods for facilitating distributed authentication |
| US7913084B2 (en) * | 2006-05-26 | 2011-03-22 | Microsoft Corporation | Policy driven, credential delegation for single sign on and secure access to network resources |
| US8381306B2 (en) | 2006-05-30 | 2013-02-19 | Microsoft Corporation | Translating role-based access control policy to resource authorization policy |
| US20070294404A1 (en) | 2006-06-15 | 2007-12-20 | International Business Machines Corporation | Method and system for authorization and access control delegation in an on demand grid environment |
| JP4882546B2 (ja) * | 2006-06-28 | 2012-02-22 | 富士ゼロックス株式会社 | 情報処理システムおよび制御プログラム |
| US8201215B2 (en) * | 2006-09-08 | 2012-06-12 | Microsoft Corporation | Controlling the delegation of rights |
| US20080066147A1 (en) | 2006-09-11 | 2008-03-13 | Microsoft Corporation | Composable Security Policies |
| JP2008071226A (ja) * | 2006-09-15 | 2008-03-27 | Nec Corp | クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム |
| US7853987B2 (en) | 2006-10-10 | 2010-12-14 | Honeywell International Inc. | Policy language and state machine model for dynamic authorization in physical access control |
| JP4314267B2 (ja) * | 2006-11-30 | 2009-08-12 | キヤノン株式会社 | アクセス制御装置およびアクセス制御方法及び印刷システム |
| US8190755B1 (en) * | 2006-12-27 | 2012-05-29 | Symantec Corporation | Method and apparatus for host authentication in a network implementing network access control |
| CN101262342A (zh) | 2007-03-05 | 2008-09-10 | 松下电器产业株式会社 | 分布式授权与验证方法、装置及系统 |
| WO2009041319A1 (ja) * | 2007-09-25 | 2009-04-02 | Nec Corporation | 証明書生成配布システム、証明書生成配布方法および証明書生成配布用プログラム |
| US20090158407A1 (en) * | 2007-12-13 | 2009-06-18 | Fiberlink Communications Corporation | Api translation for network access control (nac) agent |
| US8166516B2 (en) | 2008-03-27 | 2012-04-24 | Microsoft Corporation | Determining effective policy |
| US8364970B2 (en) * | 2009-02-18 | 2013-01-29 | Nokia Corporation | Method and apparatus for providing enhanced service authorization |
-
2010
- 2010-11-22 AU AU2010246354A patent/AU2010246354B1/en active Active
- 2010-12-10 US US12/965,445 patent/US9118672B2/en active Active
-
2011
- 2011-11-14 RU RU2013123353/08A patent/RU2589333C2/ru not_active IP Right Cessation
- 2011-11-14 BR BR112013012537A patent/BR112013012537A2/pt not_active Application Discontinuation
- 2011-11-14 WO PCT/US2011/060614 patent/WO2012071207A2/en active Application Filing
- 2011-11-14 AU AU2011332150A patent/AU2011332150B2/en active Active
- 2011-11-14 KR KR1020137012975A patent/KR20140003426A/ko not_active Application Discontinuation
- 2011-11-14 CA CA2815690A patent/CA2815690A1/en not_active Abandoned
- 2011-11-14 EP EP11842889.5A patent/EP2643766B1/en active Active
- 2011-11-14 JP JP2013540969A patent/JP5865386B2/ja active Active
-
2012
- 2012-09-07 HK HK12108787.6A patent/HK1168697A1/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140003426A (ko) | 2014-01-09 |
| EP2643766A2 (en) | 2013-10-02 |
| US9118672B2 (en) | 2015-08-25 |
| EP2643766B1 (en) | 2019-07-31 |
| RU2589333C2 (ru) | 2016-07-10 |
| AU2010246354B1 (en) | 2011-11-03 |
| EP2643766A4 (en) | 2017-08-09 |
| JP5865386B2 (ja) | 2016-02-17 |
| US20120131661A1 (en) | 2012-05-24 |
| CA2815690A1 (en) | 2012-05-31 |
| WO2012071207A3 (en) | 2012-07-19 |
| AU2011332150B2 (en) | 2015-04-30 |
| BR112013012537A2 (pt) | 2016-09-06 |
| HK1168697A1 (zh) | 2013-01-04 |
| AU2011332150A1 (en) | 2013-05-02 |
| JP2014511511A (ja) | 2014-05-15 |
| WO2012071207A2 (en) | 2012-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11272036B2 (en) | API hybrid multi-tenant routing method and system, and API gateway | |
| WO2014208033A3 (en) | Secure discovery for proximity based service communication | |
| JP2018533141A5 (ru) | ||
| US11356251B2 (en) | Secure vehicle communication with privacy-preserving features | |
| CN101588390B (zh) | 提高集中认证服务系统业务黏性的方法及负载均衡设备 | |
| RU2012141562A (ru) | Способ и устройство для выполнения гибридных распределений восходящей линии связи по станции и по потоку | |
| BR112017011189A2 (pt) | sistemas e métodos para fornecer redes sem fio virtuais customizadas com base em auto-criação de rede orientada a serviços | |
| CN106464698A (zh) | 经由信任链保护无线网状网络 | |
| CN106411528A (zh) | 一种基于隐式证书的轻量级认证密钥协商方法 | |
| GB2509278A (en) | Network user identification and authentication | |
| WO2013151851A3 (en) | Secure authentication in a multi-party system | |
| WO2009041319A1 (ja) | 証明書生成配布システム、証明書生成配布方法および証明書生成配布用プログラム | |
| EP2615568A3 (en) | Device verification for dynamic re-certificating | |
| JP2015536603A5 (ru) | ||
| RU2013131266A (ru) | Устройство управления передачей, программа, система управления передачей и способ управления передачей | |
| BR112015021659A2 (pt) | coleta de pagamento de pedágio com dispositivo de comunicação | |
| JP2017538321A5 (ru) | ||
| WO2019153447A1 (zh) | 快递盒传送方法、装置、终端设备及存储介质 | |
| RU2012108415A (ru) | Способ доступа к службам, системам и устройствам на основе аутентификации доступа wlan | |
| RU2013123353A (ru) | Ограничиваемая удаленной частью модель делегирования | |
| CN106911702A (zh) | 基于改进cp‑abe的云存储分组加密访问控制方法 | |
| JP2010191950A5 (ru) | ||
| CN102833754A (zh) | 一种基于数字证书的移动设备可信接入方法 | |
| CN101594339A (zh) | 管理和查询映射信息的方法、设备及通信系统 | |
| WO2020254614A1 (en) | Securely sharing private information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| HZ9A | Changing address for correspondence with an applicant | ||
| MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20191115 |