RU2337399C2 - Контекст устойчивой авторизации на основе внешней аутентификации - Google Patents
Контекст устойчивой авторизации на основе внешней аутентификации Download PDFInfo
- Publication number
- RU2337399C2 RU2337399C2 RU2003113549/09A RU2003113549A RU2337399C2 RU 2337399 C2 RU2337399 C2 RU 2337399C2 RU 2003113549/09 A RU2003113549/09 A RU 2003113549/09A RU 2003113549 A RU2003113549 A RU 2003113549A RU 2337399 C2 RU2337399 C2 RU 2337399C2
- Authority
- RU
- Russia
- Prior art keywords
- identifier
- sid
- user
- puid
- computing resource
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
- Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)
- Mobile Radio Communication Systems (AREA)
- Peptides Or Proteins (AREA)
- Studio Devices (AREA)
- Electric Double-Layer Capacitors Or The Like (AREA)
- Exhaust Gas Treatment By Means Of Catalyst (AREA)
- Hardware Redundancy (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
Изобретение относится к средствам управления компьютерным доступом с возможностью аутентификации пользователя доверенным внешним сервисом. Техническим результатом является обеспечение получения контролируемых уровней доступа к выбранным объектам без требования дополнительной учетной записи пользователя. Способ включает преобразование уникального идентификатора в идентификатор защиты SID, который подходит для использования с механизмом управления доступом, защищающий вычислительный ресурс, без необходимости для пользователя дополнительно иметь стандартные возможности для управления доступом для указанных ресурсов. 8 н. и 49 з.п. ф-лы, 7 ил.
Description
Родственные патентные заявки
Настоящая патентная заявка связана с патентной заявкой США №09/886146 на «Способы и системы для управления объемом делегирования полномочий аутентификации», поданной 20 июня 2001 года и которая включена в настоящее описание посредством ссылки.
Область техники
Данное изобретение в целом относится к управлению компьютерным доступом и, в частности, касается способов и систем, обеспечивающих контекст локальной системной авторизации для пользователя на основе внешней аутентификации пользователя.
Уровень техники
Управление доступом является первостепенным вопросом компьютерной защиты. Для защиты целостности компьютерных систем и конфиденциальности важных данных были реализованы различные схемы управления доступом, которые не позволяют неавторизованным пользователям и злонамеренным нарушителям получать доступ к компьютерным ресурсам.
Для того чтобы гарантировать всестороннюю компьютерную защиту, управление доступом часто реализуют на разных уровнях. Например, на уровне одного компьютера пользователю обычно необходимо пройти через процедуру регистрации, при которой компьютер определяет, уполномочен ли пользователь использовать данный компьютер. На уровне компьютерной сети пользователю, как правило, необходимо пройти через процесс аутентификации пользователя в целях управления доступом пользователя к различным сетевым услугам. Даже после того, как сервер управления сетевым доступом аутентифицировал пользователя, пользователю возможно еще понадобится получить разрешение на доступ к услуге у конкретного сервера. Для управления сетевым доступом на основе аутентификации пользователя были предложены и реализованы различные схемы на основе разных протоколов, таких как протокол Kerberos 5.
Обычно регистрация пользователя в компьютере и аутентификация пользователя для управления сетевым доступом представляют собой две отдельные процедуры. Тем не менее, чтобы минимизировать трудности пользователя при реализации различных схем управления доступом, регистрацию пользователя и аутентификацию пользователя для сетевого доступа иногда выполняют вместе. Например, в случае, когда аутентификация пользователя реализуется согласно протоколу Kerberos, когда пользователь регистрируется в компьютере, компьютер также может инициировать процесс аутентификации Kerberos. В процессе аутентификации Kerberos компьютер устанавливает связь с центром распределения ключей Kerberos (KDC), чтобы сначала получить мандат на получение разрешения (TGT) для пользователя. Затем компьютер может использовать TGT для получения для себя от KDC мандата на сеанс.
В процессе своей эволюции сети обросли множеством ярусов, состоящих из компьютеров-серверов/сервисов, расположенных таким образом, чтобы обеспечить обработку запросов клиентских компьютеров. Простым примером этого является клиентский компьютер, запрашивающий Web-сайт Всемирной паутины через Интернет. Здесь может иметься входной (клиентский) web-сервер, который обрабатывает форматирование и соответствующий деловой регламент запроса, и оконечный сервер (сервер базы данных), который управляет базой данных для Web-сайта. Для дополнительной защиты Web-сайт может быть конфигурирован таким образом, что протокол аутентификации направляет (или делегирует) полномочия ("верительные данные"), такие как, например, TGT пользователя, и/или, возможно, другую информацию от клиентского сервера на оконечный сервер. Такая практика находит все большее распространение на многих Web-сайтах и/или в других многоярусных сетях.
Делегирование и другие аналогичные способы полезны тогда, когда все серверы/сервисы и клиент согласны использовать один и тот же процесс аутентификации. Однако на сегодняшний день используется не один процесс аутентификации. В совместно рассматриваемой патентной заявке США №09/886146 предлагается усовершенствованный процесс управления делегированием.
Если пользователь аутентифицирован для работы в сети/системе, то тогда для предотвращения доступа этого пользователя к ресурсам, на доступ к которым у него нет полномочий, обычно выполняют одну или несколько дополнительных проверок авторизации, необходимых для управления доступом. Как только пользователь будет аутентифицирован и пройдет необходимые проверки для управления доступом, этот пользователь объявляется «авторизованным». В некоторых системах управление доступом основано, например, на списках управления доступом (ACL) для различных сервисов и ресурсов (то есть объектов). Список ACL обычно включает записи управления доступом (ACE), в которых может быть включено нулевое или большее количество идентификаторов защиты (SID). Идентификаторы SID могут быть связаны с одним пользователем или группами пользователей, которым разрешен доступ к данному объекту. Если в списке ACL нет идентификаторов SID, то тогда ни один пользователь не будет иметь доступ к данному объекту. Если в списке ACL имеются идентификаторы SID, то тогда пользователям, которые смогут сформировать по меньшей мере один совпадающий SID, будет разрешен доступ к данному объекту.
Таким образом, когда аутентифицированный пользователь регистрируется, для этого пользователя создается контекст аутентификации, например, путем формирования маркера (например, маркера доступа), который связан с этим пользователем. Маркер обычно содержит идентификаторы SID, которые связаны с этим пользователем. Например, маркер пользователя может включать уникальный SID, присвоенный данному пользователю, плюс групповой SID, присвоенный подразделению предприятия пользователя. Когда пользователь пытается получить доступ к объекту, ACL объекта сравнивают с маркером пользователя. Если маркер пользователя содержит по меньшей мере один SID, который совпадает с SID в списке ACL объекта, то тогда аутентифицированный пользователь получает право доступа к объекту до некоторой степени. Например, пользователю может быть разрешено считывать или записывать файл, созданный другими работниками его отдела (то есть другим членом группы).
Такие схемы авторизации обычно очень хорошо работают в системах, где обеспечен высокий уровень контроля и управления. Например, компьютерная сеть на уровне предприятия в корпорации обычно обеспечивает связную среду, где пользователи и списки ACL могут тщательно контролироваться централизованной и/или распределенной системой аутентификации и управления доступом. С другой стороны, для очень больших сетей, например сети Интернет, и/или в ином случае, когда сети не являются сильно связанными, аутентификация и управление доступом могут быть крайне затруднены особенно тогда, когда требуется обслуживать как можно больше пользователей, в том числе пользователей, у которых нет учетных записей для локального управления доступом. Так как тенденция развития программных средств и ресурсов направлена в сторону сетевых сервисов, в дальнейшем будет возрастать потребность в авторизации активности пользователей, связанной с указанными сетевыми сервисами.
Следовательно, имеется потребность в совершенствовании способов и систем авторизации. Предпочтительным образом, эти способы и системы должны позволять пользователям, аутентифицированным доверенным внешним ресурсом, получать некоторый контролируемый уровень доступа к определенным объектам без необходимости пользователю дополнительно иметь уникальную учетную запись пользователя, связанную с данным объектом. Кроме того, эти способы и системы не должны существенно ухудшать возможности наращивания структур, способных обеспечить доступ к объектам для очень большого числа пользователей.
Сущность изобретения
Предлагаются улучшенные способы и системы, которые позволяют пользователям, аутентифицированным доверенным внешним ресурсом, получить контролируемые уровни доступа к выбранным объектам, не требуя от пользователя дополнительной уникальной локальной учетной записи пользователя. Эти способы и системы можно реализовать без существенного ограничения возможностей наращивания структур компьютерной системы и/или сети, которые конфигурированы с возможностью обеспечения доступа к различным ресурсам для очень большого числа пользователей.
Вышеустановленные и другие требования могут быть удовлетворены, например, путем использования способа обеспечения управления доступом по меньшей мере к одному вычислительному ресурсу. Способ включает прием уникального идентификатора, который связан с пользователем, которому необходим доступ к вычислительному ресурсу (ресурсам). Предпочтительно, чтобы этот уникальный идентификатор был сформирован другим вычислительным ресурсом, который рассматривается как доверительный (надежный) и/или обслуживает, а часто и аутентифицирует пользователя некоторым образом. Способ включает преобразование полученного уникального идентификатора в идентификатор защиты (SID), который подходит для использования вместе с механизмом управления доступом, защищающим вычислительный ресурс (ресурсы). Способ, кроме того, включает определение того, совпадает ли упомянутый SID по меньшей мере с одним другим SID, который был ранее запомнен механизмом управления доступом и связан с вычислительным ресурсом (ресурсами). В некоторых примерах реализации этот уникальный идентификатор включает уникальный парный идентификатор (PUID), такой как, например, идентификатор, используемый сервисами Passport, предоставляемыми Microsoft Corp., а механизм управления доступом использует список управления доступом (ACL) для установления пользователей или групп пользователей, которым разрешен доступ к вычислительному ресурсу (ресурсам).
Согласно некоторым другим вариантам реализации настоящего изобретения предлагается способ установления разрешений, связанных с управлением доступом по меньшей мере к одному вычислительному ресурсу. В этом случае способ включает прием по меньшей мере одного адреса электронной почты (e-mail) по меньшей мере для одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ к вычислительному ресурсу (ресурсам). Например, пользователь, авторизованный с использованием механизма управления доступом, может ввести адрес электронной почты другого пользователя и задать компьютерный ресурс (ресурсы), к которому требуется доступ, и/или привилегии, которые будет иметь этот другой пользователь при доступе к компьютерном ресурсу (ресурсам). Способ, кроме того, включает предоставление адреса электронной почты к доверенному сервису, способному передать обратно уникальный идентификатор, связанный с пользователем, на основе адреса электронной почты. Способ включает прием уникального идентификатора с последующей установкой по меньшей мере одного разрешения для управления доступом на основе этого уникального идентификатора. Это может включать, например, преобразование уникального идентификатора в SID и связывание этого SID по меньшей мере с одним списком для управления доступом ACL для данного вычислительного ресурса (ресурсов).
Согласно другим аспектам настоящего изобретения предлагается способ для преобразования идентификатора PUID в соответствующий идентификатор SID. Этот способ включает прием идентификатора PUID, разделение его по меньшей мере на одну часть идентификатора субполномочий и по меньшей мере одну часть идентификатора-члена и компоновку части идентификатора субполномочий и части идентификатора-члена для формирования SID.
Также предлагается система для управления доступом по меньшей мере к одному вычислительному ресурсу в соответствии с некоторыми вариантами реализации настоящего изобретения. Система включает логические схемы и память, которые могут быть конфигурированы для приема уникального идентификатора, связанного с пользователем, которому должен быть предоставлен доступ к вычислительному ресурсу (ресурсам); преобразования уникального идентификатора в идентификатор защиты (SID); и определения того, совпадает ли этот идентификатор SID по меньшей мере с одним другим идентификатором SID, который хранится в памяти и связан с вычислительным ресурсом (ресурсами).
В качестве примера предлагаются некоторые системы для установки разрешений на управление доступом для вычислительного ресурса (ресурсов). Одна система включает сеть связи, соединяющую первое устройство по меньшей мере с одним другим устройством. Первое устройство конфигурировано для приема адреса электронной почты по меньшей мере для одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ к вычислительному устройству (устройствам); предоставления адреса электронной почты другому устройству по сети; приема по сети от этого другого устройства соответствующего уникального идентификатора, связанного с адресом электронной почты; и установления по меньшей мере одного разрешения для управления доступом, связанного с вычислительным ресурсом (ресурсами), на основе уникального идентификатора. Другое устройство конфигурировано для приема по сети адреса электронной почты, преобразования этого адреса электронной почты в уникальный идентификатор и выдачи по сети уникального идентификатора на первое устройство.
Краткое описание чертежей
Различные способы и системы согласно настоящему изобретению более подробно описаны в последующем описании, иллюстрируемом чертежами, на которых:
фиг.1 - блок-схема примера компьютерной системы, подходящей для использования с конкретными вариантами реализации настоящего изобретения;
фиг.2 - блок-схема, иллюстрирующая процесс «сервис для пользователя - модуль-посредник» (S4U2proxy), который реализуется в среде «клиент - сервер» и подходит для использования с конкретными вариантами реализации настоящего изобретения;
фиг.3А - блок-схема, иллюстрирующая процесс «сервис для пользователя - на себя» (S4U2self), который реализуется в среде «клиент - сервер» и подходит для использования с конкретными вариантами реализации настоящего изобретения;
фиг.3В - блок-схема, иллюстрирующая процесс «сервис для пользователя - на себя» (S4U2self), который реализуется в среде «клиент - сервер» и подходит для использования с конкретными вариантами реализации настоящего изобретения;
фиг.4 - схема, иллюстрирующая выбранные части приведенного в качестве примера формата сообщения, подходящего для использования с конкретными вариантами реализации настоящего изобретения;
фиг.5 - блок-схема, иллюстрирующая систему и процесс для обеспечения управления локальным доступом для пользователей, аутентифицированных доверенным ресурсом, согласно некоторым приведенным в качестве примера вариантам реализации настоящего изобретения;
фиг.6 - блок-схема, иллюстрирующая использование системы и процесса, например, как на фиг.5, позволяющих пользователю без учетной записи для управления локальным доступом получить доступ к конкретным ресурсам с адекватным уровнем надежности авторизации согласно конкретным аспектам настоящего изобретения.
Подробное описание изобретения
Обзор
Здесь в качестве примера описаны способы и системы, которые можно реализовать при аутентификации пользователей/ресурсов и/или обеспечении контекста авторизации для пользователей, пытающихся получить доступ к конкретным ресурсам.
В следующем разделе описывается пример вычислительной среды. В последующих разделах кратко описаны типовые технологии S4U2proxy и S4U2self, которые являются предметом совместно рассматриваемой патентной заявки США №09/886146.
Далее описаны и проиллюстрированы на чертежах способы, обеспечивающие новую схему авторизации, согласно конкретным аспектам настоящего изобретения. Предлагаются улучшенные способы и системы, которые позволяют, например, клиентским службам (например, пользователям), аутентифицированным доверенным внешним сервисом, получить контролируемые уровни доступа к выбранным ресурсам локального сервера, не требуя, чтобы клиентский сервис также имел средства управления локальным доступом. Как описано ниже, представленные схемы авторизации можно использовать различными путями, чтобы улучшить защиту вычислительных ресурсов и возможность пользователей получать доступ к сервисам, обеспечиваемым вычислительными ресурсами.
Типовая вычислительная среда
Как показано на чертежах, изобретение реализуется в подходящей вычислительной среде, причем на чертежах одинаковые ссылочные позиции относятся к одинаковым элементам. Хотя это не обязательно, изобретение будет описано в общем контексте команд, выполняемых компьютером, таких как программные модули, выполняемые персональным компьютером. Обычно программные модули включают подпрограммы, программы, объекты, компоненты, структуры данных и т.д., которые выполняют определенные задачи или реализуют определенные абстрактные типы данных. Кроме того, специалистам в данной области техники ясно, что изобретение можно реализовать на практике с помощью других конфигураций компьютерных систем, включая, переносные устройства, многопроцессорные системы, бытовую электронную аппаратуру на базе микропроцессоров или программируемую бытовую электронную аппаратуру, сетевые персональные компьютеры, мини-компьютеры, универсальные компьютеры и т.п. Изобретение можно также реализовать на практике в распределенных вычислительных средах, где задачи выполняются удаленными устройствами обработки данных, которые связаны через сеть связи. В распределенной вычислительной среде программные модули могут находиться как в локальных, так и удаленных запоминающих устройствах.
На фиг.1 показан пример подходящей вычислительной среды 120, в которой можно реализовать описанные далее способы и системы.
Типовая вычислительная среда 120 является лишь одним из примеров подходящей вычислительной среды и не ограничивает объем использования или функциональные возможности описанных улучшенных способов и систем. Не следует интерпретировать вычислительную среду 120 как зависимую каким-либо образом или ограниченную требованиями, относящимися к любой компоненте или их комбинации, показанной в вычислительной среде 120.
Предложенные здесь улучшенные способы и системы делаются работоспособными посредством множества других вычислительных сред или конфигураций общего либо специального назначения. Примеры известных вычислительных систем, сред и/или конфигураций, которые могут использоваться для реализации изобретения, включают, без каких-либо ограничений, персональные компьютеры, компьютеры-серверы, «тонкие» клиенты (маломощные сетевые клиенты-терминалы), «толстые» клиенты (рабочие места на основе ПК), переносные устройства или портативные компьютеры, многопроцессорные системы, системы на основе микропроцессоров, телевизионные приставки, программируемую бытовую электронную аппаратуру, сетевые ПК, мини-компьютеры, универсальные компьютеры, распределенные вычислительные среды, которые включают любые из вышеперечисленных систем или устройств и т.п.
Как показано на фиг.1, вычислительная среда 120 включает в себя вычислительное устройство общего назначения в виде компьютера 130. Компоненты компьютера 130 могут включать один или несколько процессоров или блоков 132 обработки данных, системную память 134 и шину 136, которая связывает различные системные компоненты, включая системную память 134, с процессором 132.
Шина 136 представляет собой шинную структуру одного или нескольких типов, включая шину памяти или контроллер памяти, периферийную шину, ускоренный графический порт и процессор или локальную шину, использующую любую из множества различных шинных архитектур. Как пример, но не ограничение, указанные архитектуры включают шину ISA (архитектура шины промышленного стандарта), шину MCA (микроканальная архитектура), шину EISA (расширенная архитектура ISA), локальную шину VESA (стандарт высокоскоростной локальной видеошины), и шину PCI (межсоединение периферийных компонентов), известную также как шина Mezzanine.
Компьютер 130 обычно содержит различные машинно-считываемые носители. Такими носителями могут быть любые имеющиеся в наличии носители, доступные компьютеру 130, к которым относятся как энергозависимые, так и энергонезависимые носители, съемные и несъемные носители.
На фиг.1 системная память 134 включает в себя машинно-считываемый носитель в виде энергозависимой памяти, такой как память 140 с произвольным доступом (ОЗУ) и/или энергонезависимой памяти, такой как память 138 только для считывания (ПЗУ). Базовая система 142 ввода/вывода (BIOS), содержащая базовые подпрограммы, которые помогают пересылать информацию между элементами в компьютере 130, к примеру, во время запуска, хранится в ПЗУ 138. ОЗУ 140 обычно содержит модули данных и/или программные модули, которые непосредственно доступны процессору 132 и/или которыми этот процессор оперирует в данный момент.
Компьютер 130 может дополнительно включать другие съемные/несъемные, энергозависимые/энергонезависимые компьютерные запоминающие носители. Например, на фиг.1 показан дисковод 144 жестких дисков для считывания и записи на несъемный, энергонезависимый магнитный носитель (не показан; обычно называемый «жестким диском»), накопитель 146 на магнитном диске для считывания и записи на съемный энергонезависимый магнитный диск 148 (например, «гибкий диск») и накопитель 150 на оптическом диске для считывания или записи на съемный энергонезависимый оптический диск 152, такой как ПЗУ на компакт-диске для считывания/считывания и записи (CD-ROM/R/RW), ПЗУ на цифровом универсальном диске для считывания/считывания и записи+ОЗУ (DVD-ROM/R/RW+R/RAM) либо другие оптические носители. Накопитель 144 на жестком диске, накопитель 146 на магнитном диске и накопитель 150 на оптическом диске подсоединены к шине 136 через один или несколько интерфейсов 154.
Эти накопители и соответствующие машинно-считываемые носители обеспечивают энергонезависимое запоминание машинно-считываемых команд, структур данных, программных модулей и других данных для компьютера 130. Хотя в описанном здесь примере вычислительной среды используется жесткий диск, съемный магнитный диск 148 и съемный оптический диск 152, специалистам в данной области техники очевидно, что в типовой рабочей среде также можно использовать и другие типы машинно-считываемых носителей, которые могут запоминать данные, доступные компьютеру, такие как магнитные кассеты, платы флэш-памяти, цифровые видеодиски, запоминающие устройства со случайной выборкой (ОЗУ), запоминающие устройства только для считывания (ПЗУ) и т.п.
На жестком диске, магнитном диске 148, оптическом диске 152, ПЗУ 138 или ОЗУ 140 может храниться несколько программных модулей, в том числе, к примеру, операционная система 158, одна или несколько прикладных программ 160, другие программные модули и программные данные 164.
Описанные здесь улучшенные способы и системы можно реализовать в операционной системе 158, одной или нескольких прикладных программах 160, других программных модулях 162 и/или программных данных 164.
Пользователь может подавать команды и информацию в компьютер 130 через устройства ввода, такие как клавиатура 166 и указательное устройство 168 (такое как «мышь»). Другие устройства ввода (не показаны) могут включать микрофон, джойстик, игровую клавиатуру, спутниковую тарелку, последовательный порт, сканер, камеру и т.д. Эти и другие устройства ввода подсоединяют к блоку 132 обработки данных через пользовательский интерфейс 170 ввода данных, который соединен с шиной 136, но их также можно подсоединить через другие интерфейсные и шинные структуры, такие как параллельный порт, игровой порт или универсальную последовательную шину (USB).
К шине 136 через интерфейс, такой как видеоадаптер 174, также подсоединен монитор 172 либо устройство отображения другого типа. Помимо монитора 172, персональные компьютеры обычно включают другие периферийные устройства вывода (не показаны), такие как динамики и принтеры, которые можно подсоединить через интерфейс 175 периферийных устройств ввода.
Компьютер 130 может работать в сетевой среде, используя логические соединения с одним или несколькими удаленными компьютерами, такими как удаленный компьютер 182. Удаленный компьютер 182 может содержать многие либо все элементы и функции, описанные здесь применительно к компьютеру 130.
Логические соединения, показанные на фиг.1, представляют собой локальную сеть (LAN) 177 и глобальную сеть (WAN) 179. Такие сетевые среды - обычное явление в офисах, корпоративных компьютерных сетях, интрасетях (Intranet) и сети Интернет.
При использовании в сетевой среде LAN компьютер 130 соединен с LAN 177 через сетевой интерфейс или адаптер 186. При использовании в сетевой среде WAN компьютер обычно содержит модем 178 либо другое средство для установления связи через сеть WAN 179. Модем 178, который может быть встроенным или внешним, можно подсоединить к системной шине 136 через пользовательский интерфейс 170 ввода данных либо другой соответствующий механизм.
На фиг.1 изображен конкретный вариант реализации WAN через Интернет. Здесь компьютер 130 использует модем 178 для установления связи по меньшей мере с одним удаленным компьютером 182 через Интернет 180.
В сетевой среде программные модули, изображенные относящимися к компьютеру 130, или их части могут храниться в удаленном запоминающем устройстве. Так например, как показано на фиг.1, удаленные прикладные программы 189 могут находится в запоминающем устройстве удаленного компьютера 182. Очевидно, что сетевые соединения показаны и описаны здесь в качестве примеров, и можно использовать другие средства установления линии связи между компьютерами.
Сущность типовых способов делегирования S4U2Proxy и S4U2Self
Далее кратко описываются конкретные способы управления объемом делегирования полномочий по аутентификации в сетевой среде «клиент - сервер». В данном примере описывается система на основе стандарта Kerberos. Эти способы S4U2Proxy и S4U2Self и описанные далее способы авторизации могут быть либо могут не быть реализованы в одних и тех же системах, а также могут быть реализованы в других системах аутентификации на основе сертификатов.
Как упоминалось выше, наличие у клиента мандата на получение разрешения (TGT) и соответствующего удостоверения позволяет его обладателю запрашивать мандаты от имени клиента у доверенной третьей стороны, например у центра распределения ключей (KDC). Такое неограниченное делегирование поддерживается в настоящее время в некоторых вариантах реализации стандарта Kerberos, где имеются схемы направленного делегирования мандатов.
На этой основе в патентной заявке США №09/886146 описываются способы и системы для ограничения или, иными словами, улучшенного управления процессом делегирования. Управление процессом делегирования можно осуществлять, используя способ «сервис для пользователя - модуль-посредник» (S4U2proxy), который позволяет серверу или сервису, такому как, например, входной сервер/сервис, запрашивать мандаты на сервис от имени клиента для использования с другими серверами/сервисами. Протокол S4U2proxy преимущественно обеспечивает управляемое ограниченное делегирование, при котором клиенту не требуется направлять TGT на интерфейсный сервер. Другим способом является протокол «сервис для пользователя - на себя» (S4U2self), который позволяет серверу запрашивать у себя мандат на сервис, но при этом в результирующем мандате на сервис обеспечены данные идентификации клиента. Это, например, позволяет клиенту, который был аутентифицирован по другим протоколам аутентификации, получить мандат на сервис, который можно использовать с протоколом S4U2proxy для обеспечения ограниченного делегирования. Имеются две типовые формы к протоколу S4U2self, а именно форма «без доказательства» и форма «доказательство». При использовании формы «без доказательства» серверу доверяется аутентификация клиента, например, с использованием другого механизма защиты/аутентификации, который является собственным механизмом данного сервера. При использовании формы «доказательство» KDC (или доверенная третья сторона) выполняет аутентификацию на основе информации (доказательства) о клиенте, полученной, когда клиент аутентифицировался на сервере.
Таким образом, клиент может получить доступ к серверам/сервисам в среде Kerberos независимо от того, был ли клиент аутентифицирован согласно протоколу Kerberos или какому-нибудь другому протоколу аутентификации. Следовательно, оконечные и/или другие серверы/сервисы могут работать по существу только в среде Kerberos.
На фиг.2 изображен протокол/процесс S4U2proxy в среде «клиент - сервер» 200. Как показано на этом чертеже, клиент 202 оперативно связан с доверенной третьей стороной 204, имеющей сервис аутентификации 206, например KDC, полномочия выдачи сертификата, контроллер домена и/или т.п. Сервис аутентификации 206 конфигурирован для доступа к информации, поддерживаемой в базе данных 208. Клиент 202 и доверенная третья сторона 204, кроме того, оперативно связаны с сервером, а именно с сервером А 210. Заметим, что используемые здесь термины «сервер» и «сервис» используется здесь взаимозаменяемо для представления одинаковых или подобных функций.
В данном примере сервер А210 представляет собой интерфейсный сервер для множества других серверов. Как изображено на чертеже, сервер А 210 оперативно связан с сервером В 212 и сервером С 214. Как видно из фиг.2, сервер В 212 может представлять тиражируемый сервис. Также сервер С 214 дополнительно оперативно связан с сервером D 216.
В ответ на регистрацию пользователя у клиента 202 к сервису аутентификации 206 посылается сообщение 220 с запросом на аутентификацию (AS_REQ), в ответ на которое формируется сообщение 222 об аутентификации (AS_REP). В сообщении AS_REP 222 имеется мандат TGT, связанный с пользователем/клиентом. Такая же или аналогичная процедура (не показана) производится затем для аутентификации сервера А 210.
Когда клиент 202 хочет получить доступ к серверу А 210, он посылает сообщение 224 запроса на сервис предоставления мандата (TGS_REQ) на сервис аутентификации 206, который посылает обратно сообщение 226 ответа о сервисе предоставления мандата (TGS_REP). Сообщение TGS_REP 226 включает мандат сервиса, связанный с клиентом 202 и сервером А 210. Затем для инициирования сеанса связи клиент 202 направляет на сервер А 210 мандат на сервис в сообщении 228 с запросом прикладного протокола (AP_REQ). Указанные процессы/процедуры хорошо известны, и поэтому подробно здесь не описываются.
В некоторых системах для поддержания делегирования клиенту необходимо предоставить серверу А 210 свой TGT, чтобы дать возможность серверу А 210 запросить дополнительные мандаты на сервисы от имени клиента 202. В этом нет необходимости при использовании протокола S4U2proxy. Вместо этого, когда серверу А 210 необходимо обратиться к другому серверу от имени клиента 202, например к серверу С 214, тогда сервер А 210 и сервис по аутентификации 206 действуют в соответствии с протоколом S4U2proxy. Сервер А 210 посылает сообщение TGS_REQ 230 на сервис аутентификации 206. Сообщение TGS_REQ 230 включает мандат TGT для сервера А 210 и мандат на сервис, полученный от клиента 202, и идентифицирует требуемый или целевой сервер/сервис, к которому клиент 202 хочет обратиться, например сервер C 214. В протоколе Kerberos имеется, например, определенное расширяемое поле данных, которое обычно называют полем «дополнительных мандатов». Это поле дополнительных мандатов можно использовать в протоколе S4U2proxy для переноса мандата на сервис, полученного от клиента 202, а поле опций KDC может включать флаг или другой индикатор, который дает указание принимающему KDC найти в поле дополнительных мандатов мандат, используемый для предоставления данных идентификации клиента. Специалистам в данной области техники очевидно, что для переноса необходимой информации для сервиса аутентификации 206 можно использовать эти либо другие поля и/или структуры данных.
При обработке TGS_REQ 230 сервис аутентификации 206 определяет, авторизовал ли клиент 202 делегирование, например, на основе значения «пересылаемого флага», установленного клиентом 202. Таким образом, делегирование по каждому клиенту приводится в исполнение при наличии пересылаемого флага в мандате сервиса клиента. Если клиент 202 не хочет принимать участие в делегировании, то тогда в мандате пересылаемый флаг не устанавливается. Сервис аутентификации 206 учитывает этот флаг в виде ограничения, инициированного клиентом. Сервис аутентификации 206 может получить доступ к дополнительной информации в базе данных 208, определяющей выбранные сервисы, которые разрешено делегировать (или не делегировать) серверу А 210 в отношении клиента 202.
Если сервис аутентификации 206 определяет, что серверу А 210 разрешено делегировать полномочия целевому серверу/сервису, то тогда на сервер А 210 посылается сообщение TGS_REP 232. Сообщение TGS_REP 232 включает мандат сервиса для целевого сервера/сервиса. Этот мандат сервиса появляется так, как будто клиент 202 запросил его непосредственно от сервиса аутентификации 206, например, используя TGT клиента. Однако на самом деле это не делается. Вместо этого, сервис аутентификации 206 обратился к аналогичной/необходимой информации о клиенте в базе данных 208 после подтверждения того, что аутентифицированный клиент фактически включен в запрос на основе мандата сервиса, который аутентифицировал сервер А 210, полученного от клиента 202, и включен в сообщение TGS_REQ 230. Однако поскольку в мандате клиента есть информация о клиенте, серверу необходимо лишь скопировать необходимые данные из этого мандата.
В некоторых вариантах реализации сообщение TGS_REP 232 идентифицирует целевой сервер/сервис и клиента 202 и дополнительно включает данные учетной записи об идентификации/пользователя/клиента для конкретной реализации, например, в виде сертификата атрибута привилегий (PAC), идентификатора защиты, ID операционной системы UNIX, ID системы Passport, сертификата и т.д. Сертификат PAC может быть сформирован, например, сервисом аутентификации 206 либо просто скопирован из мандата сервиса клиента, который был включен в сообщение TGS_REQ 230. Использование идентификатора Passport ID дополнительно описывается в типовых схемах формирования контекста аутентификации, представленных ниже.
Сертификат PAC либо другие учетные данные пользователя/клиента также могут быть конфигурированы для включения информации, относящейся к объему делегирования. Так например, на фиг.4 представлена диаграмма, иллюстрирующая выбранные части сообщения Kerberos 400, имеющего заголовок 402 и PAC 404. Здесь сертификат PAC 404 включает информацию о делегировании 406. Как показано на фиг.4, информация о делегировании 406 включает составную информацию идентификации 408 и информацию ограничения доступа 410.
Составная информация идентификации 408 может, например, включать записанную информацию о процессе делегирования, например индикацию того, что сервер А 210 запросил мандат сервиса от лица пользователя/клиента 202. Здесь может быть предусмотрено множество таких записанных данных, которые можно использовать для связывания или идентификации иным образом архивных данных по множеству процессов делегирования. Указанная информация может быть полезной для контроля и/или управления доступом.
Информацию ограничения доступа 410 можно использовать, например, вместе с механизмом управления доступом для избирательного разрешения доступа к конкретным серверам/сервисам, при условии, если клиент 202 прямо либо косвенно ищет доступ к данному серверу/сервису через сервер А 210, но нельзя использовать, если поиск сервера/сервиса ведется косвенно через сервер B 212. Указанная особенность предоставляет дополнительные возможности управления процессом делегирования полномочий на аутентификацию.
В вышеуказанных примерах клиент 202 был аутентифицирован с помощью сервиса аутентификации 206. Однако понятно, что другие клиенты не могут быть аутентифицированы подобным образом. Пример такой ситуации показан на фиг.3А. Здесь клиент 302 был аутентифицирован с использованием механизма 303 другого протокола аутентификации. Механизм 303 протокола аутентификации может, например, включать систему Passport, протокол защищенных разъемов (протокол SSL), протокол NTLM, протокол Digest либо другие подобные протоколы/процедуры аутентификации. В данном примере предполагается, что клиент 302 выбирает доступ к целевому сервису, который обеспечен сервером С 214. Этот выбор может быть удовлетворен путем использования вышеописанного протокола S4U2proxy, но только после того, как сервер А 210 завершил/отследил до конца протокол/процедуру S4U2self.
Одной из базовых предпосылок протокола S4U2self является то, что сервер, например сервер А 210, имеет возможность запросить мандат сервиса у себя самого для любого пользователя/клиента, который обращается к этому серверу и которого этот сервер аутентифицировал. Описанный здесь типовой протокол S4U2self конфигурирован для поддержки клиентов, которые имеют доказательство для аутентификации, и клиентов, которые не имеют такого доказательства для аутентификации.
При отсутствии доказательства для аутентификации, которое может быть оценено сервисом аутентификации 206, серверу А 210 придется обратиться к «доверенному» клиенту 302. Так например, если клиент 302 имеет сертификат аутентификации либо подобный механизм 304, который сервер А 210 способен проверить, то тогда клиент 302 может быть определен как «доверенный клиент». Следовательно, клиент 302 фактически аутентифицируется сервером А 210.
Далее сервер А 210 посылает сообщение TGS_REQ 306 на сервис аутентификации 206, запрашивая у себя мандат сервиса для клиента 302. В ответ на это сервис аутентификации 206 формирует сообщение TGS_REP 308, которое включает мандат запрашиваемого сервиса. Затем полученный мандат сервиса используют в последующем протоколе/процедуре S4U2proxy для запроса мандата сервиса у сервера С 214 для клиента 302. В некоторых вариантах реализации протокола Kerberos это потребует, например, установления в сообщении TGS_REP 308 пересылаемого флага, позволяющего переслать мандат сервиса. Доверенная третья сторона может также создать сертификат PAC для клиента 302, который может быть затем включен в итоговый мандат сервиса.
Если для клиента 302' имеется доказательство для аутентификации, то тогда сервер А 210 может включить указанное доказательство в сообщение TGS_REQ 312 в виде дополнительных данных для предварительной аутентификации. Это показано на фиг.3B в среде 300'. Здесь информация доказательства 310 подается клиентом 302' на сервер А 210. Информация доказательства 310 может включать, например, данные диалога «запрос/ответ» или другую информацию, формируемую другим «доверенным» объектом. После приема информации доказательства и последующей проверки, сервис аутентификации 206 сам предоставит запрошенный мандат сервиса серверу А 210. Заметим, что в некоторых вариантах реализации при использовании доказательства для сервера возможно получение ограниченного TGT для данного клиента.
В некоторых вариантах реализаций протокола Kerberos пересылаемый флаг в сообщении TGS_REP 314 устанавливается, чтобы позволить переслать мандат сервиса. Если в сообщении TGS_REQ 312 был предусмотрен сертификат PAC, то тогда его можно использовать в мандате сервиса; в противном случае, PAC может быть сформирован сервисом аутентификации 206 (здесь KDC) на основе информации доказательства 310. Например, в стандарте S4U2self данные идентификации клиента включают в данные предварительной аутентификации. Эти данные идентификации можно использовать при создании сертификата PAC для клиента и добавить в созданный мандат сервиса для сервера (для клиента).
Типовые способы формирования контекста авторизации
Далее описываются типовые способы и системы согласно конкретным вариантам реализации настоящего изобретения. Эти способы и системы могут быть реализованы с использованием или без использования протоколов S4U2proxy и/или S4U2self. Эти способы и системы можно реализовать с использованием или без использования стандарта Kerberos. Также эти способы и системы могут быть реализованы с использованием или без использования сервисной системы Passport (предоставляемой Microsoft Corp.Of Redmond WA). Специалистам в данной области техники понятно, что эти способы можно реализовать, используя многочисленные другие протоколы и/или сервисы. Тем не менее, в этих примерах предполагается, что указанные протоколы и сервисы доступны для поддержки способов формирования контекста авторизации, если это необходимо.
На фиг.5 показана блок-схема, иллюстрирующая конкретные признаки/функции/процессы, которые относятся к сетевой конфигурации «клиент - сервер» 500, причем эта конфигурация способна обеспечить контекст авторизации для пользователей, которые, в противном случае, не получат авторизацию для доступа к конкретным ресурсам.
Как показано на фиг.5, сервер Х 502 оперативно связан с сервером Y 504, первым клиентом 506, связанным с пользователем #1 (U1), и вторым клиентом 508, связанным с пользователем #2 (U2). В этом примере между указанными устройствами имеется ряд доверительных отношений, которые представлены блоками 510, 512 и 514, изображенными пунктирными линиями. Так клиент 506 и сервер Х 502 конфигурированы для формирования доверительных отношений 510, когда U1 регистрируется у клиента 506 и сервера Х 502, например, для доступа к ресурсу, предлагаемому сервером Х 502, такому как объект 516. Указанная процедура регистрации может включать аутентификацию и управление доступом. Аналогично клиент 508 и сервер Y 504 конфигурируются для формирования доверительных отношений 512, когда U2 регистрируется у клиента 508 и сервера Y 504. Кроме того, в этом примере сервер Х 502 и сервер Y 504 способны формировать доверительные отношения 514 через доверенную третью сторону 204. Заметим, однако, что в этот момент между клиентом 508 и сервером Х 502 нет доверительных отношений. Ниже с использованием фиг.5 и фиг.6 описан процесс, иллюстрирующий некоторые аспекты настоящего изобретения, которые позволяют клиенту 508 иметь контекст авторизации с сервером Х 502, что позволяет U2 получить доступ к объекту 516. Стрелки к последующим числовым идентификаторам в маленьких кружках иллюстрируют действия в указанном процессе. В других вариантах реализации порядок следования этих действий может быть другим.
Действие #0 - это создание доверительных отношений 510, 512 и 514, описанных выше. Указанные доверительные отношения могут быть созданы избирательно, когда это необходимо для конкретных операций.
В данном примере предполагается, что U1 хочет разрешить U2 получить доступ к объекту 516. Хотя U1 авторизован посредством доверительных отношений 510 для доступа к объекту 516, U2 в то же время не авторизован для доступа к объекту 516. Кроме того, имеется дополнительная потребность избежать добавления U2 в качестве другого авторизованного пользователя в систему управления доступом сервера Х 502. Такая ситуация может возникнуть, например, когда U1 хочет разрешить U2 получить доступ к календарю онлайнового планирования U1, который размещается или иным образом обеспечивается через работодателя U1. Здесь работодатель не хочет добавлять в свою систему учетную запись нового авторизованного пользователя.
На фиг.6 представлена блок-схема 600, иллюстрирующая некоторые характерные признаки, связанные с графическим интерфейсом пользователя (GUI), предоставляемым пользователю U1 через клиента 506. В данном примере для U1 после регистрации на сервере Х 502 отображается Web-страница 602 или аналогичный экран. На Web-странице 602 объект 516 представляет календарь GUI 604, который отображает информацию о пользователе U1. Пользователь U1 имеет возможность открыть бланк ввода информации 606, который включает поле 608 ввода идентификатора и (как опцию) одну или несколько выбираемых настроек разрешения 610. Именно здесь пользователь U1 может инициировать процесс, который в итоге позволит U2 получить доступ к объекту 516.
Пользователь U1 вводит идентификатор для пользователя U2. В этом примере идентификатор включает уникальный адрес электронной почты WWW (всемирной паутины) для U2, а именно user2@hotmail.com. Введенный здесь идентификатор предназначен для зарегистрированного пользователя сервисов hotmail.com, предоставляемых Microsoft Corp. Так как предполагается, что зарегистрированный пользователь hotmail.com U2 также имеет соответствующую учетную запись Passport от Microsoft Corp., пользователь U1 может также определить одну или несколько настроек разрешения 610 для пользователя U2, относящихся к доступу, получаемому к объекту 516 (здесь, например, это приложение, относящееся к календарю онлайнового планирования). В данный момент пользователь U1 установил разрешение для U2 на считывание. Вернемся теперь к фиг.5, где процесс идентификации пользователя представлен в виде действия #1 между клиентом 506 и сервером Х 502.
Сервер Х 502 распознает, что пользователь U1 предоставил идентификатор hotmail.com для пользователя U2, а при действии #2 осуществляет связь с сервером Y 504, относительно которого в этом случае предполагается, что он представляет собой известный сервер Passport. Здесь сервер X 502 предоставляет идентификатор user2@hotmail.com серверу Y 504 и запрашивает, чтобы сервер Y 504 предоставил соответствующие универсальные уникальные данные идентификации пользователя Passport (PUID) (также часто называемые уникальным парным ID). При действии #3 сервер Y 504 выдает в ответ идентификатор PUID (524) для U2. Если доверительные отношения являются доверительными отношениями по протоколу Kerberos, то тогда идентификатор PUID может быть выдан, например, в сертификате PAC, как упоминалось ранее.
Теперь сервер Х 502 имеет идентификатор PUID для пользователя U2. При действии #4 сервер Х 502 преобразует PUID в соответствующий идентификатор SID 522, подходящий для использования с собственной системой аутентификации сервера Х 502. Как показано на фиг.5, объект 516 связан со списком ACL 518, имеющим по меньшей мере одну запись ACE 520, которая включает идентификатор SID 522.
64-разрядный идентификатор PUID в действительности состоит из 16-разрядного идентификатора полномочий домена Passport и 48-разрядного идентификатора-члена. Для образования идентификатора SID необходимо поддерживать полномочия домена в виде отдельного значения. Чтобы это сделать, идентификатор MemberIDHigh разделяется на две части, а затем эти части формируются в виде отдельных субполномочий, например, как показано ниже:
S-1-10-21-(HIWORD(MemberIDHigh))-(LOWORD(MemberIDHigh))-MemberIDLow-0
В этом примере «S-1-10-21» - это полномочия нового идентификатора, определенные файлом ntseapi.h. В этом типовом варианте реализации ntseapi.h - это файл заголовка, используемый для построения операционной системы Microsoft® Windows®, которая содержит описание для значения идентификатора SID, используемого для построения PUID-SID. Заметим, что этот заголовок обычно непосредственно не раскрывается разработчиками. Однако декларации в файле ntseapi.h открыто опубликованы в Платформе SDK в winnt.h.
Таким образом типовой идентификатор SID, который создается из идентификатора PUID либо другого подобного идентификатора, выдаваемого «доверенным» источником, по существу идентифицирует известные субполномочия и пользователя-члена в уникальной комбинации и формате, совместимом с собственной системой авторизации.
При действии #5 пользователь U2 регистрируется (или аутентифицируется) на сервере Y 504 и в процессе регистрации получает идентификатор PUID 524. При действии #6 пользователь U2 соединяется с сервером X 502, используя учетную запись пользователя, установленную по умолчанию (например, "неизвестен" или "аноним") и предоставляет информацию (например, в сертификате РАС), включающую идентификатор PUID 524, в запросе или другом подобном сообщении. При действии #7 сервер X 502 распознает, что идентификатор PUID был предоставлен этим пользователем, определенным по умолчанию (U2), и создает в ответ соответствующий идентификатор SID 532, который затем помещают в мандат 530, связанный с тем пользователем по умолчанию (U2), которому нужен доступ к объекту 516. В некоторых вариантах реализации идентификатор SID формируется путем подачи идентификатора PUID в интерфейс прикладного программирования (API), называемый LsaLogonUser. Этот интерфейс API выдает идентификатор SID.
При действии #8 сервер Х 502 определяет, имеет ли пользователь по умолчанию (U2) соответствующее разрешение (разрешения) на доступ к объектам 516, путем сравнения одного или нескольких идентификаторов SID в мандате 530 пользователя по умолчанию с идентификаторами в ACL 518. Здесь идентификатор SID 532 из мандата 530 совпадает с идентификатором SID 522 в записи ACE 520. После этого при действии #9 создается контекст аутентификации 526 для пользователя U2, который позволяет пользователю U2 получить доступ к объекту 516 в соответствии с применяемыми настройками разрешения. Таким образом, пользователь U2 может, например, просматривать (считывать) календарь планирования U1 и определить, могут ли пользователь U1 и пользователь U2 позавтракать вместе на следующей неделе. Пользователь U2 не зарегистрировался на сервере Х 502; в действительности пользователь U2 не может зарегистрироваться на сервере Х 502, поскольку в отличие от пользователя U1 пользователь U2 не имеет учетной записи. В этом случае аутентификация пользователя U2 по существу основана на доверительных отношениях 510, 512 и 514 и начальной аутентификации U2, с использованием клиента 508 и сервера Y 504. Управление доступом пользователя U2 к серверу X 502 предоставляется, по существу, на основе доверительной авторизации U1 (через клиента 506 и сервер Х 502 при действии #0) и доверительных отношениях с сервером Y 504 при предоставлении идентификатора PUID 524 в процессе выполнения действия #3.
Одно из преимуществ, связанное с использованием идентификатора PUID, состоит в том, что результирующий идентификатор SID получится уникальным (в глобальном смысле) и устойчивым на основе контролируемого присвоения идентификаторов PUID, выполняемого системой Passport.
Заключение
Хотя в предыдущем подробном описании были описаны и проиллюстрированы сопроводительными чертежами некоторые предпочтительные варианты реализации различных способов и систем согласно настоящему изобретению, очевидно, что изобретение не ограничивается раскрытыми здесь иллюстративными вариантами, а предусматривает возможность многочисленных перекомпоновок, модификаций и замен без отклонения от сущности изобретения, как изложено и определено в формуле изобретения.
Claims (56)
1. Способ управления доступом к первому вычислительному ресурсу, не требуя от пользователя уникальной учетной записи пользователя, связанной с первым вычислительным ресурсом, причем способ включает прием от пользователя через сеть связи парного уникального идентификатора (PUID), связанного с пользователем, которому должен быть обеспечен доступ к первому вычислительному ресурсу, при этом упомянутый идентификатор PUID связан со вторым вычислительным ресурсом, который аутентифицировал пользователя на основе адреса электронной почты, связанного с пользователем;
преобразование идентификатора PUID в идентификатор защиты (SID) путем подачи идентификатора PUID в интерфейс прикладного программирования (API) и приема в ответ идентификатора SID API;
определение того, имеет ли пользователь соответствующее разрешение на доступ к первому вычислительному устройству, путем сравнения идентификатора SID с по меньшей мере одним другим идентификатором SID, обеспечиваемым механизмом управления доступом, связанным с первым вычислительным ресурсом; и обеспечение управляемого доступа к первому вычислительному ресурсу в соответствии с упомянутыми разрешениями.
2. Способ по п.1, в котором идентификатор PUID связан с сервисом Passport.
3. Способ по п.1, в котором преобразование идентификатора PUID в идентификатор SID дополнительно содержит: разделение идентификатора PUID по меньшей мере на одну часть идентификатора, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
4. Способ по п.1, в котором прием идентификатора PUID дополнительно включает в себя прием идентификатора PUID в сообщении на основе протокола Kerberos.
5. Способ по п.4, в котором идентификатор PUID обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
6. Способ по п.4, в котором сообщение на основе протокола Kerberos связано с процессом S4U2self.
7. Способ по п.4, в котором сообщение на основе протокола Kerberos связано с процессом S4U2proxy.
8. Способ по п.1, в котором определение того, совпадает ли идентификатор SID с по меньшей мере одним другим идентификатором SID, обеспечиваемым механизмом управления доступом, включает в себя сравнение идентификатора SID с по меньшей мере одним другим идентификатором SID в списке управления доступом (ACL), связанном с первым вычислительным ресурсом.
9. Способ по п.1, в котором прием идентификатора PUID, связанного с пользователем, которому должен быть обеспечен доступ к первому вычислительному ресурсу, включает в себя обеспечение учетной записи по умолчанию для пользователя, которому должен быть обеспечен доступ к первому вычислительному ресурсу.
10. Способ управления доступом к по меньшей мере одному вычислительному ресурсу, содержащий
прием по меньшей мере одного адреса электронной почты для по меньшей мере одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ к по меньшей мере одному вычислительному ресурсу;
предоставление упомянутого адреса электронной почты по меньшей мере одному доверенному сервису, выполненному с возможностью выдачи уникального идентификатора, связанного с пользователем, на основе упомянутого адреса электронной почты;
прием уникального идентификатора, выданного доверенным сервисом;
и установку по меньшей мере одного разрешения для управления доступом пользователя, которое связано с упомянутым по меньшей мере одним вычислительным ресурсом, на основе уникального идентификатора.
11. Способ по п.10, в котором установка по меньшей мере одного разрешения для управления доступом пользователя включает в себя преобразование уникального идентификатора в идентификатор защиты (SID) и связывание идентификатора SID с по меньшей мере одним списком управления доступом (ACL) для упомянутого по меньшей мере одного вычислительного ресурса.
12. Способ по п.10, в котором уникальный идентификатор включает в себя парный уникальный идентификатор (PUID).
13. Способ по п.12, в котором идентификатор PUID связан с сервисом Passport.
14. Способ по п.11, в котором уникальный идентификатор включает в себя идентификатор PUID, а преобразование уникального идентификатора в идентификатор SID дополнительно содержит разделение идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
15. Способ по п.11, в котором уникальный идентификатор включает в себя идентификатор PUID, а преобразование уникального идентификатора в идентификатор SID включает в себя подачу идентификатора PUID в интерфейс прикладного программирования (API) и последующий прием идентификатора SID от интерфейса API.
16. Способ по п.10, в котором прием уникального идентификатора включает в себя прием уникального идентификатора в сообщении на основе протокола Kerberos.
17. Способ по п.16, в котором уникальный идентификатор обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
18. Машиночитаемый носитель, содержащий исполняемые команды для выполнения действий по управлению доступом к первому вычислительному ресурсу, включающих в себя получение парного уникального идентификатора (PUID), связанного с пользователем, которому должен быть предоставлен управляемый доступ к первому вычислительному ресурсу, при этом идентификатор PUID связан со вторым вычислительным ресурсом, который аутентифицировал пользователя на основе адреса электронной почты, связанного с пользователем;
преобразование идентификатора (PUID) в идентификатор защиты (SID) путем подачи идентификатора PUID в интерфейс прикладного программирования (API) и приема в ответ идентификатора SID от интерфейса API;
определение того, имеет ли пользователь соответствующее разрешение на доступ к первому вычислительному ресурсу, путем сравнения идентификатора SID с по меньшей мере одним другим идентификатором SID, обеспечиваемым механизмом управления доступом, связанным с первым вычислительным ресурсом; и
обеспечение управляемого доступа к первому вычислительному ресурсу в соответствии с упомянутыми разрешениями, не требуя от пользователя уникальной учетной записи пользователя, связанной с первым вычислительным ресурсом.
19. Машиночитаемый носитель по п.18, в котором идентификатор PUID связан с сервисом Passport.
20. Машиночитаемый носитель по п.18, в котором преобразование идентификатора PUID в идентификатор SID дополнительно включает в себя разделение идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
21. Машиночитаемый носитель по п.18, в котором получение идентификатора PUID включает в себя получение идентификатора PUID в сообщении на основе протокола Kerberos
22. Машиночитаемый носитель по 21, в котором идентификатор PUID обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
23. Машиночитаемый носитель по п.21, в котором сообщение на основе протокола Kerberos связано с процессом S4U2self.
24. Машиночитаемый носитель по п.21, в котором сообщение на основе протокола Kerberos связано с процессом S4U2proxy.
25. Машиночитаемый носитель по п.18, в котором определение того, имеет ли пользователь соответствующие разрешения на доступ к первому вычислительному ресурсу, включает в себя сравнение идентификатора SID с по меньшей мере одним другим идентификатором SID в списке управления доступом (ACL), связанном с первым вычислительным ресурсом.
26. Машиночитаемый носитель по п.18, в котором получение идентификатора PUID, связанного с пользователем, которому должен быть обеспечен управляемый доступ к первому вычислительному ресурсу, включает в себя обеспечение учетной записи по умолчанию для пользователя, которому должен быть обеспечен доступ к первому вычислительному ресурсу.
27. Машиночитаемый носитель, содержащий исполняемые компьютером команды для выполнения действий по управлению доступом к вычислительному ресурсу, включающих в себя
получение по меньшей мере одного адреса электронной почты для по меньшей мере одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ по меньшей мере к одному вычислительному ресурсу;
выдачу упомянутого адреса электронной почты по меньшей мере одному доверенному сервису, выполненному с возможностью выдачи соответствующего уникального идентификатора, связанного с пользователем на основе упомянутого адреса электронной почты;
прием уникального идентификатора, выданного доверенным сервисом; и
установление по меньшей мере одного разрешения для управления доступом пользователя, которое связано с упомянутым по меньшей мере одним вычислительным ресурсом, на основе уникального идентификатора.
28. Машиночитаемый носитель по п.27, в котором установление по меньшей мере одного разрешения для управления доступом пользователя на основе уникального идентификатора включает в себя преобразование уникального идентификатора в идентификатор защиты (SID) и приписывание идентификатора SID к по меньшей мере одному списку управления доступом (ACL) для упомянутого вычислительного ресурса.
29. Машиночитаемый носитель по п.27, в котором уникальный идентификатор включает в себя парный уникальный идентификатор (PUID).
30. Машиночитаемый носитель по п.29, в котором идентификатор PUID связан с сервисом Passport.
31. Машиночитаемый носитель по п.30, в котором уникальный идентификатор включает в себя идентификатор PUID, а преобразование уникального идентификатора в идентификатор SID включает в себя разделение идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
32. Машиночитааемый носитель по п.30, в котором уникальный идентификатор включает в себя идентификатор PUID, а преобразование уникального идентификатора в идентификатор SID включает в себя подачу уникального идентификатора Passport в интерфейс прикладного программирования (API) и последующий прием идентификатора SID от интерфейса API.
33. Машиночитаемый носитель по п.27, в котором прием уникального идентификатора включает в себя прием уникального идентификатора в сообщении на основе протокола Kerberos.
34. Машиночитаемый носитель по п.33, в котором уникальный идентификатор обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
35. Реализуемый в компьютерном устройстве способ преобразования уникального парного идентификатора (PUID) в соответствующий идентификатор защиты (SID) при обеспечении управляемого доступа, причем способ содержит
прием идентификатора PUID;
разделение идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена; и
компоновку упомянутой по меньшей мере одной части, соответствующей идентификатору субполномочий, и упомянутой по меньшей мере одной части, соответствующей идентификатору члена, в идентификатор SID, предназначенный для обеспечения пользователю управляемого доступа к другому вычислительному ресурсу.
36. Способ по п.35, в котором компоновка упомянутой по меньшей мере одной части, соответствующей идентификатору субполномочий, и упомянутой по меньшей мере одной части, соответствующей идентификатору члена, в идентификаторе SID дополнительно включает в себя компоновку идентификатора SID таким образом, чтобы SID имел идентификатор субполномочий, HIWORD (MemberlDHigh), LOWORD (MemberlDHigh) и MemberlDLow.
37 Способ по п.35, дополнительно содержащий выдачу идентификатора SID.
38. Машиночитаемый носитель, содержащий исполняемые компьютером команды для выполнения действий по преобразованию парного уникального идентификатора (PUID) в соответствующий идентификатор защиты (SID) при обеспечении управляемого доступа, включающих в себя прием уникального парного идентификатора (PUID) и преобразование идентификатора PUID в соответствующий идентификатор защиты (SID) путем разделения идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатора субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена, и компоновки упомянутой по меньшей мере одной части, соответствующей идентификатору субполномочий, и упомянутой по меньшей мере одной части, соответствующей идентификатору члена, в идентификаторе SID, предназначенный для обеспечения пользователю управляемого доступа к другому вычислительному ресурсу.
39. Машиночитаемый носитель по п.38, в котором компоновка упомянутой по меньшей мере одной части, соответствующей идентификатору субполномочий, и упомянутой по меньшей мере одной части, соответствующей идентификатору члена, в идентификатор SID дополнительно включает в себя компоновку идентификатора SID таким образом, чтобы SID имел идентификатор субполномочий, HIWORD (MemberlDHigh), LOWORD (MemberlDHigh) и MemberlDLow.
40. Машиночитаемый носитель по п.38, дополнительно включающий выдачу идентификатора SID.
41. Система для управления доступом по меньшей мере к одному вычислительному ресурсу, причем система содержит
память,
средство для осуществления связи, функционально соединенное с памятью и сконфигурированное для приема уникального идентификатора, связанного с пользователем посредством адреса электронной почты пользователя, пользователю должен быть обеспечен управляемый доступ к по меньшей мере одному вычислительному ресурсу, при этом уникальный идентификатор связан с другим вычислительным ресурсом, который аутентифицировал пользователя на основе адреса электронной почты пользователя, и
логические схемы, функционально сконфигурированые для преобразования уникального идентификатора в идентификатор защиты (SID), причем логические схемы разрешают пользователю осуществлять доступ к упомянутому по меньшей мере одному вычислительному ресурсу, если идентификатор SID совпадает с по меньшей мере одним другим идентификатором SID, который хранится в памяти и связан с упомянутым по меньшей мере одним вычислительным ресурсом.
42. Система по п.41, в которой уникальный идентификатор включает в себя уникальный парный идентификатор (PUID).
43. Система по п.42, в которой идентификатор PUID связан с сервисом Passport.
44. Система по п.43, в которой логические схемы дополнительно сконфигурированы для разделения уникального идентификатора Passport по меньшей мере на одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
45. Система по п.41, в которой логические схемы конфигурируемы для приема уникального идентификатора в сообщении на основе протокола Kerberos.
46. Система по п.45, в которой уникальный идентификатор обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
47. Система по п.45, в которой сообщение на основе протокола Kerberos связано с процессом S4U2self.
48. Система п.п.46, в которой сообщение на основе протокола Kerberos связано с процессом S4U2proxy.
49. Система по п.41, в которой упомянутый по меньшей мере один другой идентификатор SID, который хранится в памяти, является частью списка управления доступом (ACL), связанного с упомянутым по меньшей мере одним вычислительным ресурсом.
50. Система по п.41, в которой логические схемы дополнительно конфигурируемы для обеспечения пользователя, для которого должно быть обеспечено управление доступом к по меньшей мере одному вычислительному ресурсу, с возможностью иметь анонимную учетную запись.
51. Система для управления доступом к по меньшей мере одному вычислительному ресурсу, содержащая сеть связи; первое устройство, функционально соединенное с сетью связи и конфигурированное для получения по меньшей мере одного адреса электронной почты по меньшей мере одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ к по меньшей мере одному вычислительному ресурсу, подачи упомянутого адреса электронной почты по сети связи в другое устройство, сконфигурированное для обеспечения по меньшей мере одного доверенного сервиса, выполненного с возможностью приема упомянутого по меньшей мере одного адреса электронной почты из сети связи, преобразования этого адреса электронной почты в уникальный идентификатор и выдачи уникального идентификатора в сеть связи, при этом первое устройство дополнительно сконфигурировано для последующего приема по сети связи уникального идентификатора, определения того, совпадает ли этот уникальный идентификатор с по меньшей мере одним другим идентификатором, обеспечиваемым механизмом управления доступом, связанным с упомянутым вычислительным ресурсом, и установки по меньшей мере одного разрешения на управление доступом, связанного с упомянутым по меньшей мере одним вычислительным ресурсом, для пользователя на основе принятого уникального идентификатора.
52. Система по п.51, в которой первое устройство дополнительно сконфигурировано для преобразования уникального идентификатора в идентификатор защиты (SID) и связывания идентификатор SID с по меньшей мере одним списком управления доступом (ACL) для упомянутого по меньшей мере одного вычислительного ресурса.
53. Система по п.52, в которой уникальный идентификатор включает в себя парный уникальный идентификатор (PUID).
54. Система по п.53, в которой идентификатор PUID является уникальным идентификатором Passport.
55. Система по п.54, в которой первое устройство дополнительно сконфигурировано для разделения уникального идентификатора Passport по меньшей мере на одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена, во время преобразования в соответствующий идентификатор SID.
56. Система по п.51, в которой первое устройство сконфигурировано для приема уникального идентификатора в сообщении на основе протокола Kerberos.
57. Система по п.56, в которой уникальный идентификатор обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/144,059 | 2002-05-10 | ||
US10/144,059 US7401235B2 (en) | 2002-05-10 | 2002-05-10 | Persistent authorization context based on external authentication |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2008118949/09A Division RU2390838C2 (ru) | 2002-05-10 | 2008-05-13 | Контекст устойчивой авторизации на основе внешней аутентификации |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2003113549A RU2003113549A (ru) | 2004-11-10 |
RU2337399C2 true RU2337399C2 (ru) | 2008-10-27 |
Family
ID=22506868
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2003113549/09A RU2337399C2 (ru) | 2002-05-10 | 2003-05-08 | Контекст устойчивой авторизации на основе внешней аутентификации |
RU2008118949/09A RU2390838C2 (ru) | 2002-05-10 | 2008-05-13 | Контекст устойчивой авторизации на основе внешней аутентификации |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2008118949/09A RU2390838C2 (ru) | 2002-05-10 | 2008-05-13 | Контекст устойчивой авторизации на основе внешней аутентификации |
Country Status (18)
Country | Link |
---|---|
US (1) | US7401235B2 (ru) |
EP (2) | EP1361494B1 (ru) |
JP (1) | JP4756817B2 (ru) |
KR (1) | KR100986568B1 (ru) |
CN (1) | CN100367249C (ru) |
AT (2) | ATE398799T1 (ru) |
AU (1) | AU2003203708B2 (ru) |
BR (1) | BR0301034A (ru) |
CA (1) | CA2424782A1 (ru) |
DE (1) | DE60321618D1 (ru) |
HK (1) | HK1060201A1 (ru) |
MX (1) | MXPA03003709A (ru) |
MY (1) | MY145724A (ru) |
NO (1) | NO20032094L (ru) |
PL (1) | PL359993A1 (ru) |
RU (2) | RU2337399C2 (ru) |
TW (1) | TWI353154B (ru) |
ZA (1) | ZA200302999B (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2556338C2 (ru) * | 2009-01-19 | 2015-07-10 | Конинклейке Филипс Электроникс Н.В. | Браузер с состоящей из двух частей машиной обработки сценариев для защиты конфиденциальности |
Families Citing this family (247)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AUPQ654400A0 (en) * | 2000-03-28 | 2000-04-20 | Optimiser Pty Ltd | Authorising use of a computer program |
US7698381B2 (en) * | 2001-06-20 | 2010-04-13 | Microsoft Corporation | Methods and systems for controlling the scope of delegation of authentication credentials |
US7382787B1 (en) | 2001-07-30 | 2008-06-03 | Cisco Technology, Inc. | Packet routing and switching device |
JP2003108520A (ja) * | 2001-09-28 | 2003-04-11 | Canon Inc | 情報提供サーバ、端末装置及びその制御方法並びに情報提供システム |
US20050066219A1 (en) * | 2001-12-28 | 2005-03-24 | James Hoffman | Personal digital server pds |
US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
US7450438B1 (en) | 2002-06-20 | 2008-11-11 | Cisco Technology, Inc. | Crossbar apparatus for a forwarding table memory in a router |
US7525904B1 (en) | 2002-06-20 | 2009-04-28 | Cisco Technology, Inc. | Redundant packet routing and switching device and method |
US7343301B1 (en) | 2002-08-30 | 2008-03-11 | Signiant, Inc. | Method and apparatus for notification of data transfer |
US7152108B1 (en) * | 2002-08-30 | 2006-12-19 | Signiant Inc. | Data transfer system and method with secure mapping of local system access rights to global identities |
US7613812B2 (en) | 2002-12-04 | 2009-11-03 | Microsoft Corporation | Peer-to-peer identity management interfaces and methods |
US7536476B1 (en) * | 2002-12-20 | 2009-05-19 | Cisco Technology, Inc. | Method for performing tree based ACL lookups |
US7496953B2 (en) * | 2003-04-29 | 2009-02-24 | International Business Machines Corporation | Single sign-on method for web-based applications |
US7397922B2 (en) | 2003-06-27 | 2008-07-08 | Microsoft Corporation | Group security |
US7188254B2 (en) * | 2003-08-20 | 2007-03-06 | Microsoft Corporation | Peer-to-peer authorization method |
US7574603B2 (en) | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
US20050166070A1 (en) * | 2003-12-24 | 2005-07-28 | Ling Dynamic Systems Ltd. | Web based user interface |
US7412516B1 (en) | 2003-12-29 | 2008-08-12 | Aol Llc | Using a network bandwidth setting based on determining the network environment |
US20050144144A1 (en) * | 2003-12-30 | 2005-06-30 | Nokia, Inc. | System and method for authenticating a terminal based upon at least one characteristic of the terminal located at a position within an organization |
US20050149724A1 (en) * | 2003-12-30 | 2005-07-07 | Nokia Inc. | System and method for authenticating a terminal based upon a position of the terminal within an organization |
US7395319B2 (en) | 2003-12-31 | 2008-07-01 | Checkfree Corporation | System using contact list to identify network address for accessing electronic commerce application |
US7636941B2 (en) * | 2004-03-10 | 2009-12-22 | Microsoft Corporation | Cross-domain authentication |
US20050246762A1 (en) * | 2004-04-29 | 2005-11-03 | International Business Machines Corporation | Changing access permission based on usage of a computer resource |
JP2006011768A (ja) * | 2004-06-25 | 2006-01-12 | Toshiba Corp | 認証システム及び装置 |
US7526557B2 (en) * | 2004-06-30 | 2009-04-28 | Signiant, Inc. | System and method for transferring data in high latency firewalled networks |
US20060037062A1 (en) * | 2004-08-09 | 2006-02-16 | International Business Machines Corporation | Method, system and program product for securing resources in a distributed system |
US7603700B2 (en) * | 2004-08-31 | 2009-10-13 | Aol Llc | Authenticating a client using linked authentication credentials |
JP4643213B2 (ja) * | 2004-09-29 | 2011-03-02 | シスメックス株式会社 | アプリケーションプログラムの使用制限方法、測定装置のユーザ認証システム、認証サーバ、クライアント装置、及びアプリケーションプログラム |
US7996881B1 (en) | 2004-11-12 | 2011-08-09 | Aol Inc. | Modifying a user account during an authentication process |
US7889712B2 (en) | 2004-12-23 | 2011-02-15 | Cisco Technology, Inc. | Methods and apparatus for providing loop free routing tables |
US8490168B1 (en) * | 2005-10-12 | 2013-07-16 | At&T Intellectual Property I, L.P. | Method for authenticating a user within a multiple website environment to provide secure access |
US20070130289A1 (en) * | 2005-12-07 | 2007-06-07 | Christopher Defazio | Remote access |
US7747647B2 (en) * | 2005-12-30 | 2010-06-29 | Microsoft Corporation | Distributing permission information via a metadirectory |
US20070156691A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | Management of user access to objects |
US8117459B2 (en) | 2006-02-24 | 2012-02-14 | Microsoft Corporation | Personal identification information schemas |
US8104074B2 (en) | 2006-02-24 | 2012-01-24 | Microsoft Corporation | Identity providers in digital identity system |
US8078880B2 (en) | 2006-07-28 | 2011-12-13 | Microsoft Corporation | Portable personal identity information |
US7639629B2 (en) * | 2006-07-28 | 2009-12-29 | Microsoft Corporation | Security model for application and trading partner integration |
JP5011959B2 (ja) * | 2006-11-01 | 2012-08-29 | 富士ゼロックス株式会社 | 認証代行装置、認証代行プログラム、及び認証代行システム |
US7942742B2 (en) * | 2006-11-15 | 2011-05-17 | Cfph, Llc | Accessing identification information to verify a gaming device is in communications with a server |
US7942740B2 (en) | 2006-11-15 | 2011-05-17 | Cfph, Llc | Verifying a first device is in communications with a server by storing a value from the first device and accessing the value from a second device |
US7942738B2 (en) * | 2006-11-15 | 2011-05-17 | Cfph, Llc | Verifying a gaming device is in communications with a gaming server |
US7942739B2 (en) * | 2006-11-15 | 2011-05-17 | Cfph, Llc | Storing information from a verification device and accessing the information from a gaming device to verify that the gaming device is communicating with a server |
US8012015B2 (en) | 2006-11-15 | 2011-09-06 | Cfph, Llc | Verifying whether a gaming device is communicating with a gaming server |
US10068421B2 (en) * | 2006-11-16 | 2018-09-04 | Cfph, Llc | Using a first device to verify whether a second device is communicating with a server |
US7942741B2 (en) * | 2006-11-15 | 2011-05-17 | Cfph, Llc | Verifying whether a device is communicating with a server |
US8087072B2 (en) | 2007-01-18 | 2011-12-27 | Microsoft Corporation | Provisioning of digital identity representations |
US8407767B2 (en) | 2007-01-18 | 2013-03-26 | Microsoft Corporation | Provisioning of digital identity representations |
US8689296B2 (en) | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
US8650615B2 (en) * | 2007-09-28 | 2014-02-11 | Emc Corporation | Cross domain delegation by a storage virtualization system |
US8635664B2 (en) * | 2007-12-28 | 2014-01-21 | Intel Corporation | Method and system for securing application program interfaces in unified extensible firmware interface |
US8001582B2 (en) | 2008-01-18 | 2011-08-16 | Microsoft Corporation | Cross-network reputation for online services |
US7925516B2 (en) * | 2008-03-14 | 2011-04-12 | Microsoft Corporation | Leveraging global reputation to increase personalization |
US20100077208A1 (en) * | 2008-09-19 | 2010-03-25 | Microsoft Corporation | Certificate based authentication for online services |
US9390172B2 (en) * | 2009-12-03 | 2016-07-12 | Microsoft Technology Licensing, Llc | Communication channel between web application and process outside browser |
US8613059B2 (en) * | 2009-12-18 | 2013-12-17 | At&T Intellectual Property I, L.P. | Methods, systems and computer program products for secure access to information |
US9088580B2 (en) * | 2009-12-31 | 2015-07-21 | Microsoft Technology Licensing, Llc | Access control based on user and service |
US8924715B2 (en) * | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
AU2010246354B1 (en) * | 2010-11-22 | 2011-11-03 | Microsoft Technology Licensing, Llc | Back-end constrained delegation model |
KR101868018B1 (ko) * | 2011-02-09 | 2018-06-18 | 삼성전자주식회사 | 기기간 연결 제어 방법 및 그 장치 |
US9118686B2 (en) | 2011-09-06 | 2015-08-25 | Microsoft Technology Licensing, Llc | Per process networking capabilities |
US8990561B2 (en) | 2011-09-09 | 2015-03-24 | Microsoft Technology Licensing, Llc | Pervasive package identifiers |
US9773102B2 (en) | 2011-09-09 | 2017-09-26 | Microsoft Technology Licensing, Llc | Selective file access for applications |
US9800688B2 (en) | 2011-09-12 | 2017-10-24 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
US8930475B1 (en) | 2012-03-30 | 2015-01-06 | Signiant Inc. | Systems and methods for secure cloud-based media file sharing |
US9317670B2 (en) * | 2012-05-22 | 2016-04-19 | Verizon Patent And Licensing Inc | Security based on usage activity associated with user device |
CN103532919B (zh) * | 2012-07-06 | 2018-06-12 | 腾讯科技(深圳)有限公司 | 用户账户保持登录态的方法及系统 |
US9692799B2 (en) | 2012-07-30 | 2017-06-27 | Signiant Inc. | System and method for sending and/or receiving digital content based on a delivery specification |
US10356204B2 (en) | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
US9858247B2 (en) | 2013-05-20 | 2018-01-02 | Microsoft Technology Licensing, Llc | Runtime resolution of content references |
US9319419B2 (en) * | 2013-09-26 | 2016-04-19 | Wave Systems Corp. | Device identification scoring |
US9825944B2 (en) * | 2014-01-24 | 2017-11-21 | Microsoft Technology Licensing, Llc | Secure cryptoprocessor for authorizing connected device requests |
US10073978B2 (en) | 2014-04-16 | 2018-09-11 | International Business Machines Corporation | Efficient modification and creation of authorization settings for user accounts |
US10181051B2 (en) | 2016-06-10 | 2019-01-15 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
US9729583B1 (en) | 2016-06-10 | 2017-08-08 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
US9736165B2 (en) | 2015-05-29 | 2017-08-15 | At&T Intellectual Property I, L.P. | Centralized authentication for granting access to online services |
US9948662B2 (en) * | 2015-07-31 | 2018-04-17 | Fortinet, Inc. | Providing security in a communication network |
US9450944B1 (en) | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
US9509684B1 (en) * | 2015-10-14 | 2016-11-29 | FullArmor Corporation | System and method for resource access with identity impersonation |
US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
US11244367B2 (en) | 2016-04-01 | 2022-02-08 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US10706447B2 (en) | 2016-04-01 | 2020-07-07 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
US10423996B2 (en) | 2016-04-01 | 2019-09-24 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
US11004125B2 (en) | 2016-04-01 | 2021-05-11 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US20220164840A1 (en) | 2016-04-01 | 2022-05-26 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US10438017B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US11138242B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
US10909265B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Application privacy scanning systems and related methods |
US10169609B1 (en) | 2016-06-10 | 2019-01-01 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10997318B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
US11222142B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for validating authorization for personal data collection, storage, and processing |
US10706379B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for automatic preparation for remediation and related methods |
US11222309B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11188862B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Privacy management systems and methods |
US11481710B2 (en) | 2016-06-10 | 2022-10-25 | OneTrust, LLC | Privacy management systems and methods |
US11146566B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10798133B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11144622B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Privacy management systems and methods |
US10606916B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
US10706174B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
US11418492B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
US11625502B2 (en) | 2016-06-10 | 2023-04-11 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
US10454973B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11210420B2 (en) | 2016-06-10 | 2021-12-28 | OneTrust, LLC | Data subject access request processing systems and related methods |
US10878127B2 (en) | 2016-06-10 | 2020-12-29 | OneTrust, LLC | Data subject access request processing systems and related methods |
US10592692B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
US10776514B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for the identification and deletion of personal data in computer systems |
US11222139B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems and methods for automatic discovery and assessment of mobile software development kits |
US11586700B2 (en) | 2016-06-10 | 2023-02-21 | OneTrust, LLC | Data processing systems and methods for automatically blocking the use of tracking tools |
US11200341B2 (en) | 2016-06-10 | 2021-12-14 | OneTrust, LLC | Consent receipt management systems and related methods |
US10896394B2 (en) | 2016-06-10 | 2021-01-19 | OneTrust, LLC | Privacy management systems and methods |
US11416109B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
US11157600B2 (en) | 2016-06-10 | 2021-10-26 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10284604B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing and scanning systems for generating and populating a data inventory |
US11403377B2 (en) | 2016-06-10 | 2022-08-02 | OneTrust, LLC | Privacy management systems and methods |
US10572686B2 (en) | 2016-06-10 | 2020-02-25 | OneTrust, LLC | Consent receipt management systems and related methods |
US10607028B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
US11023842B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
US10848523B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10275614B2 (en) | 2016-06-10 | 2019-04-30 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11475136B2 (en) | 2016-06-10 | 2022-10-18 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
US10762236B2 (en) | 2016-06-10 | 2020-09-01 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
US10706131B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
US11188615B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Data processing consent capture systems and related methods |
US11520928B2 (en) | 2016-06-10 | 2022-12-06 | OneTrust, LLC | Data processing systems for generating personal data receipts and related methods |
US10416966B2 (en) | 2016-06-10 | 2019-09-17 | OneTrust, LLC | Data processing systems for identity validation of data subject access requests and related methods |
US11651104B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Consent receipt management systems and related methods |
US11341447B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Privacy management systems and methods |
US11087260B2 (en) | 2016-06-10 | 2021-08-10 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
US11238390B2 (en) | 2016-06-10 | 2022-02-01 | OneTrust, LLC | Privacy management systems and methods |
US11392720B2 (en) | 2016-06-10 | 2022-07-19 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
US11025675B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
US10204154B2 (en) | 2016-06-10 | 2019-02-12 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11227247B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
US10944725B2 (en) | 2016-06-10 | 2021-03-09 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
US11354435B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
US11074367B2 (en) | 2016-06-10 | 2021-07-27 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
US10678945B2 (en) | 2016-06-10 | 2020-06-09 | OneTrust, LLC | Consent receipt management systems and related methods |
US10706176B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data-processing consent refresh, re-prompt, and recapture systems and related methods |
US10318761B2 (en) | 2016-06-10 | 2019-06-11 | OneTrust, LLC | Data processing systems and methods for auditing data request compliance |
US10614247B2 (en) | 2016-06-10 | 2020-04-07 | OneTrust, LLC | Data processing systems for automated classification of personal information from documents and related methods |
US10235534B2 (en) | 2016-06-10 | 2019-03-19 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
US11636171B2 (en) | 2016-06-10 | 2023-04-25 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
US10685140B2 (en) | 2016-06-10 | 2020-06-16 | OneTrust, LLC | Consent receipt management systems and related methods |
US11562097B2 (en) | 2016-06-10 | 2023-01-24 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
US10585968B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10949170B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
US11295316B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
US11328092B2 (en) | 2016-06-10 | 2022-05-10 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
US11294939B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
US10776518B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Consent receipt management systems and related methods |
US10430740B2 (en) | 2016-06-10 | 2019-10-01 | One Trust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
US11366786B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US11416589B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10437412B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
US10642870B2 (en) | 2016-06-10 | 2020-05-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
US11301796B2 (en) | 2016-06-10 | 2022-04-12 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
US10713387B2 (en) | 2016-06-10 | 2020-07-14 | OneTrust, LLC | Consent conversion optimization systems and related methods |
US11336697B2 (en) | 2016-06-10 | 2022-05-17 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10452866B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10565161B2 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US11354434B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
US11366909B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11134086B2 (en) | 2016-06-10 | 2021-09-28 | OneTrust, LLC | Consent conversion optimization systems and related methods |
US10796260B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Privacy management systems and methods |
US10586075B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
US11277448B2 (en) | 2016-06-10 | 2022-03-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10769301B2 (en) | 2016-06-10 | 2020-09-08 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
US11438386B2 (en) | 2016-06-10 | 2022-09-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10282700B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US10740487B2 (en) | 2016-06-10 | 2020-08-11 | OneTrust, LLC | Data processing systems and methods for populating and maintaining a centralized database of personal data |
US10708305B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Automated data processing systems and methods for automatically processing requests for privacy-related information |
US10997315B2 (en) * | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11727141B2 (en) | 2016-06-10 | 2023-08-15 | OneTrust, LLC | Data processing systems and methods for synching privacy-related user consent across multiple computing devices |
US11544667B2 (en) | 2016-06-10 | 2023-01-03 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11343284B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
US10839102B2 (en) | 2016-06-10 | 2020-11-17 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
US11416798B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
US11038925B2 (en) | 2016-06-10 | 2021-06-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10496846B1 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing and communications systems and methods for the efficient implementation of privacy by design |
US10853501B2 (en) | 2016-06-10 | 2020-12-01 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11461500B2 (en) | 2016-06-10 | 2022-10-04 | OneTrust, LLC | Data processing systems for cookie compliance testing with website scanning and related methods |
US10467432B2 (en) | 2016-06-10 | 2019-11-05 | OneTrust, LLC | Data processing systems for use in automatically generating, populating, and submitting data subject access requests |
US10909488B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Data processing systems for assessing readiness for responding to privacy-related incidents |
US10510031B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
US10452864B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
US11100444B2 (en) | 2016-06-10 | 2021-08-24 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
US10873606B2 (en) | 2016-06-10 | 2020-12-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10509894B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10846433B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing consent management systems and related methods |
US11675929B2 (en) | 2016-06-10 | 2023-06-13 | OneTrust, LLC | Data processing consent sharing systems and related methods |
US10885485B2 (en) | 2016-06-10 | 2021-01-05 | OneTrust, LLC | Privacy management systems and methods |
US11416590B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10803200B2 (en) | 2016-06-10 | 2020-10-13 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
US10282559B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
US11228620B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10509920B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US10496803B2 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
US10565236B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US10353673B2 (en) | 2016-06-10 | 2019-07-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
US10440062B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
US10949565B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US10242228B2 (en) | 2016-06-10 | 2019-03-26 | OneTrust, LLC | Data processing systems for measuring privacy maturity within an organization |
US11138299B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10783256B2 (en) | 2016-06-10 | 2020-09-22 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
US10726158B2 (en) | 2016-06-10 | 2020-07-28 | OneTrust, LLC | Consent receipt management and automated process blocking systems and related methods |
US11057356B2 (en) | 2016-06-10 | 2021-07-06 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
US10592648B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Consent receipt management systems and related methods |
US10503926B2 (en) | 2016-06-10 | 2019-12-10 | OneTrust, LLC | Consent receipt management systems and related methods |
US10565397B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11651106B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11151233B2 (en) | 2016-06-10 | 2021-10-19 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10776517B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
KR102367738B1 (ko) * | 2016-11-09 | 2022-02-25 | 한국전자기술연구원 | 가상 리소스의 그룹 멤버 유효성 검증 방법 |
US10505924B1 (en) | 2016-12-09 | 2019-12-10 | Wells Fargo Bank, N.A. | Defined zone of authentication |
US20180204215A1 (en) * | 2017-01-17 | 2018-07-19 | Hung-Tzaw Hu | Detecting electronic intruders via updatable data structures |
US11120057B1 (en) | 2017-04-17 | 2021-09-14 | Microstrategy Incorporated | Metadata indexing |
US10897462B2 (en) * | 2017-05-16 | 2021-01-19 | Citrix Systems, Inc. | Systems and methods for encoding additional authentication data into an active directory security identifier |
US10013577B1 (en) | 2017-06-16 | 2018-07-03 | OneTrust, LLC | Data processing systems for identifying whether cookies contain personally identifying information |
US11245701B1 (en) | 2018-05-30 | 2022-02-08 | Amazon Technologies, Inc. | Authorization pre-processing for network-accessible service requests |
US11144675B2 (en) | 2018-09-07 | 2021-10-12 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
US11544409B2 (en) | 2018-09-07 | 2023-01-03 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
US10803202B2 (en) | 2018-09-07 | 2020-10-13 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
BR112019016064A2 (pt) * | 2018-12-28 | 2020-03-31 | Alibaba Group Holding Limited | Método implementado por computador, meio de armazenamento legível e sistema |
WO2019072305A2 (en) | 2018-12-28 | 2019-04-18 | Alibaba Group Holding Limited | PARALLEL EXECUTION OF TRANSACTIONS IN A BLOCK CHAIN NETWORK BASED ON WHITE LISTS OF INTELLIGENT CONTRACTS |
US10735516B1 (en) | 2019-02-15 | 2020-08-04 | Signiant Inc. | Cloud-based authority to enhance point-to-point data transfer with machine learning |
US11418353B2 (en) * | 2019-08-26 | 2022-08-16 | Micron Technology, Inc. | Security descriptor generation |
US11516213B2 (en) | 2019-09-18 | 2022-11-29 | Microstrategy Incorporated | Authentication for requests from third-party interfaces |
US11954218B2 (en) | 2020-02-10 | 2024-04-09 | Visa International Service Association | Real-time access rules using aggregation of periodic historical outcomes |
US11457017B2 (en) | 2020-03-04 | 2022-09-27 | The Whisper Company | System and method of determing persistent presence of an authorized user while performing an allowed operation on an allowed resource of the system under a certain context-sensitive restriction |
US11797528B2 (en) | 2020-07-08 | 2023-10-24 | OneTrust, LLC | Systems and methods for targeted data discovery |
KR102359467B1 (ko) * | 2020-07-08 | 2022-02-08 | 인제대학교 산학협력단 | 스토리지 활용 이력에 기반한 비용 책정 방법 및 시스템 |
EP4189569A1 (en) | 2020-07-28 | 2023-06-07 | OneTrust LLC | Systems and methods for automatically blocking the use of tracking tools |
WO2022032072A1 (en) | 2020-08-06 | 2022-02-10 | OneTrust, LLC | Data processing systems and methods for automatically redacting unstructured data from a data subject access request |
WO2022060860A1 (en) | 2020-09-15 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for detecting tools for the automatic blocking of consent requests |
WO2022061270A1 (en) | 2020-09-21 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for automatically detecting target data transfers and target data processing |
US11550942B2 (en) * | 2020-10-27 | 2023-01-10 | Bull Sas | Universal file access control system and method |
US11397819B2 (en) | 2020-11-06 | 2022-07-26 | OneTrust, LLC | Systems and methods for identifying data processing activities based on data discovery results |
US11687528B2 (en) | 2021-01-25 | 2023-06-27 | OneTrust, LLC | Systems and methods for discovery, classification, and indexing of data in a native computing system |
US11442906B2 (en) | 2021-02-04 | 2022-09-13 | OneTrust, LLC | Managing custom attributes for domain objects defined within microservices |
EP4288889A1 (en) | 2021-02-08 | 2023-12-13 | OneTrust, LLC | Data processing systems and methods for anonymizing data samples in classification analysis |
WO2022173912A1 (en) | 2021-02-10 | 2022-08-18 | OneTrust, LLC | Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system |
US11775348B2 (en) | 2021-02-17 | 2023-10-03 | OneTrust, LLC | Managing custom workflows for domain objects defined within microservices |
US11546661B2 (en) | 2021-02-18 | 2023-01-03 | OneTrust, LLC | Selective redaction of media content |
WO2022192269A1 (en) | 2021-03-08 | 2022-09-15 | OneTrust, LLC | Data transfer discovery and analysis systems and related methods |
US11562078B2 (en) | 2021-04-16 | 2023-01-24 | OneTrust, LLC | Assessing and managing computational risk involved with integrating third party computing functionality within a computing system |
US11620142B1 (en) | 2022-06-03 | 2023-04-04 | OneTrust, LLC | Generating and customizing user interfaces for demonstrating functions of interactive user environments |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB9104909D0 (en) * | 1991-03-08 | 1991-04-24 | Int Computers Ltd | Access control in a distributed computer system |
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
US5550981A (en) * | 1994-06-21 | 1996-08-27 | At&T Global Information Solutions Company | Dynamic binding of network identities to locally-meaningful identities in computer networks |
CA2138302C (en) * | 1994-12-15 | 1999-05-25 | Michael S. Fortinsky | Provision of secure access to external resources from a distributed computing environment |
US7761910B2 (en) * | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
US7188003B2 (en) * | 1994-12-30 | 2007-03-06 | Power Measurement Ltd. | System and method for securing energy management systems |
US5864665A (en) * | 1996-08-20 | 1999-01-26 | International Business Machines Corporation | Auditing login activity in a distributed computing environment |
US6055637A (en) * | 1996-09-27 | 2000-04-25 | Electronic Data Systems Corporation | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential |
US6092196A (en) * | 1997-11-25 | 2000-07-18 | Nortel Networks Limited | HTTP distributed remote user authentication system |
US6785015B1 (en) * | 1999-11-12 | 2004-08-31 | Hewlett-Packard Development Company, L.P. | System and method for monitoring a computer system process or peripheral |
HK1023695A2 (en) * | 2000-02-19 | 2000-08-11 | Nice Talent Ltd | Service sign on |
US20020150253A1 (en) * | 2001-04-12 | 2002-10-17 | Brezak John E. | Methods and arrangements for protecting information in forwarded authentication messages |
JP4475646B2 (ja) * | 2004-08-27 | 2010-06-09 | キヤノン株式会社 | 画像表示装置 |
-
2002
- 2002-05-10 US US10/144,059 patent/US7401235B2/en not_active Expired - Fee Related
-
2003
- 2003-04-08 MY MYPI20031284A patent/MY145724A/en unknown
- 2003-04-09 CA CA002424782A patent/CA2424782A1/en not_active Abandoned
- 2003-04-14 AU AU2003203708A patent/AU2003203708B2/en not_active Ceased
- 2003-04-14 AT AT03008065T patent/ATE398799T1/de not_active IP Right Cessation
- 2003-04-14 AT AT08007721T patent/ATE538443T1/de active
- 2003-04-14 EP EP03008065A patent/EP1361494B1/en not_active Expired - Lifetime
- 2003-04-14 DE DE60321618T patent/DE60321618D1/de not_active Expired - Lifetime
- 2003-04-14 EP EP08007721A patent/EP1939707B1/en not_active Expired - Lifetime
- 2003-04-16 ZA ZA200302999A patent/ZA200302999B/xx unknown
- 2003-04-25 MX MXPA03003709A patent/MXPA03003709A/es active IP Right Grant
- 2003-04-29 BR BR0301034-1A patent/BR0301034A/pt not_active IP Right Cessation
- 2003-05-07 PL PL03359993A patent/PL359993A1/xx not_active Application Discontinuation
- 2003-05-07 TW TW092112488A patent/TWI353154B/zh active
- 2003-05-08 RU RU2003113549/09A patent/RU2337399C2/ru not_active IP Right Cessation
- 2003-05-09 NO NO20032094A patent/NO20032094L/no not_active Application Discontinuation
- 2003-05-09 CN CNB031234968A patent/CN100367249C/zh not_active Expired - Fee Related
- 2003-05-10 KR KR1020030029609A patent/KR100986568B1/ko active IP Right Grant
- 2003-05-12 JP JP2003133821A patent/JP4756817B2/ja not_active Expired - Fee Related
-
2004
- 2004-05-04 HK HK04103113.2A patent/HK1060201A1/xx not_active IP Right Cessation
-
2008
- 2008-05-13 RU RU2008118949/09A patent/RU2390838C2/ru not_active IP Right Cessation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2556338C2 (ru) * | 2009-01-19 | 2015-07-10 | Конинклейке Филипс Электроникс Н.В. | Браузер с состоящей из двух частей машиной обработки сценариев для защиты конфиденциальности |
Also Published As
Publication number | Publication date |
---|---|
EP1361494B1 (en) | 2008-06-18 |
EP1361494A3 (en) | 2004-01-14 |
BR0301034A (pt) | 2004-08-17 |
KR20030087990A (ko) | 2003-11-15 |
HK1060201A1 (en) | 2004-07-30 |
ATE538443T1 (de) | 2012-01-15 |
CN1456983A (zh) | 2003-11-19 |
CA2424782A1 (en) | 2003-11-10 |
NO20032094D0 (no) | 2003-05-09 |
RU2390838C2 (ru) | 2010-05-27 |
DE60321618D1 (de) | 2008-07-31 |
EP1939707B1 (en) | 2011-12-21 |
MXPA03003709A (es) | 2005-02-14 |
ATE398799T1 (de) | 2008-07-15 |
EP1939707A1 (en) | 2008-07-02 |
PL359993A1 (en) | 2003-11-17 |
TW200400741A (en) | 2004-01-01 |
AU2003203708B2 (en) | 2009-12-10 |
US7401235B2 (en) | 2008-07-15 |
ZA200302999B (en) | 2003-10-16 |
EP1361494A2 (en) | 2003-11-12 |
KR100986568B1 (ko) | 2010-10-07 |
AU2003203708A1 (en) | 2003-11-27 |
JP4756817B2 (ja) | 2011-08-24 |
JP2004005647A (ja) | 2004-01-08 |
NO20032094L (no) | 2003-11-11 |
TWI353154B (en) | 2011-11-21 |
RU2008118949A (ru) | 2009-11-20 |
CN100367249C (zh) | 2008-02-06 |
MY145724A (en) | 2012-03-30 |
US20030212806A1 (en) | 2003-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2337399C2 (ru) | Контекст устойчивой авторизации на основе внешней аутентификации | |
EP1619856B1 (en) | Method and system for controlling the scope of delegation of authentication credentials | |
KR101076911B1 (ko) | 애플리케이션에 보안을 제공하기 위한 시스템 및 방법 | |
US8510818B2 (en) | Selective cross-realm authentication | |
US6807577B1 (en) | System and method for network log-on by associating legacy profiles with user certificates | |
US5315657A (en) | Compound principals in access control lists | |
KR101120810B1 (ko) | 캐스케이딩 인증 시스템 | |
US20040098615A1 (en) | Mapping from a single sign-in service to a directory service | |
JP2023524173A (ja) | 共有化されたリソース識別 | |
JP4558402B2 (ja) | サービスの中断なしにセキュリティ境界を横断するプリンシパルの移動 | |
Chadwick et al. | Security apis for my private cloud-granting access to anyone, from anywhere at any time | |
US20050240765A1 (en) | Method and apparatus for authorizing access to grid resources | |
Vullings et al. | Secure federated authentication and authorisation to grid portal applications using saml and xacml | |
JPH06274431A (ja) | 異機種接続環境における認証および認可方法 | |
Piger et al. | A comprehensive approach to self-restricted delegation of rights in grids | |
Rixon et al. | Authentication and Authorization Architecture for AstroGrid and the Virtual Observatory | |
Rosenhamer | What AMANDA offers: A comparative case study describing a flexible and decentralised approach for Authorisation Management | |
Rosenhamer | What AMANDA offers | |
Carmichael et al. | Identity Management Whitepaper |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20130509 |