RU2337399C2 - Контекст устойчивой авторизации на основе внешней аутентификации - Google Patents

Контекст устойчивой авторизации на основе внешней аутентификации Download PDF

Info

Publication number
RU2337399C2
RU2337399C2 RU2003113549/09A RU2003113549A RU2337399C2 RU 2337399 C2 RU2337399 C2 RU 2337399C2 RU 2003113549/09 A RU2003113549/09 A RU 2003113549/09A RU 2003113549 A RU2003113549 A RU 2003113549A RU 2337399 C2 RU2337399 C2 RU 2337399C2
Authority
RU
Russia
Prior art keywords
identifier
sid
user
puid
computing resource
Prior art date
Application number
RU2003113549/09A
Other languages
English (en)
Other versions
RU2003113549A (ru
Inventor
Дэвид Р. МАУЭРС (US)
Дэвид Р. МАУЭРС
Дэниэл ДУБРОВКИН (US)
Дэниэл ДУБРОВКИН
Рой ЛЕЙБЭН (US)
Рой ЛЕЙБЭН
Дональд И. ШМИДТ (US)
Дональд И. ШМИДТ
Рэм ВИСВАНАТАН (US)
Рэм ВИСВАНАТАН
Джон И. БРЕЗАК (US)
Джон И. БРЕЗАК
Ричард Б. УОРД (US)
Ричард Б. УОРД
Original Assignee
Майкрософт Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Майкрософт Корпорейшн filed Critical Майкрософт Корпорейшн
Publication of RU2003113549A publication Critical patent/RU2003113549A/ru
Application granted granted Critical
Publication of RU2337399C2 publication Critical patent/RU2337399C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Peptides Or Proteins (AREA)
  • Studio Devices (AREA)
  • Electric Double-Layer Capacitors Or The Like (AREA)
  • Exhaust Gas Treatment By Means Of Catalyst (AREA)
  • Hardware Redundancy (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к средствам управления компьютерным доступом с возможностью аутентификации пользователя доверенным внешним сервисом. Техническим результатом является обеспечение получения контролируемых уровней доступа к выбранным объектам без требования дополнительной учетной записи пользователя. Способ включает преобразование уникального идентификатора в идентификатор защиты SID, который подходит для использования с механизмом управления доступом, защищающий вычислительный ресурс, без необходимости для пользователя дополнительно иметь стандартные возможности для управления доступом для указанных ресурсов. 8 н. и 49 з.п. ф-лы, 7 ил.

Description

Родственные патентные заявки
Настоящая патентная заявка связана с патентной заявкой США №09/886146 на «Способы и системы для управления объемом делегирования полномочий аутентификации», поданной 20 июня 2001 года и которая включена в настоящее описание посредством ссылки.
Область техники
Данное изобретение в целом относится к управлению компьютерным доступом и, в частности, касается способов и систем, обеспечивающих контекст локальной системной авторизации для пользователя на основе внешней аутентификации пользователя.
Уровень техники
Управление доступом является первостепенным вопросом компьютерной защиты. Для защиты целостности компьютерных систем и конфиденциальности важных данных были реализованы различные схемы управления доступом, которые не позволяют неавторизованным пользователям и злонамеренным нарушителям получать доступ к компьютерным ресурсам.
Для того чтобы гарантировать всестороннюю компьютерную защиту, управление доступом часто реализуют на разных уровнях. Например, на уровне одного компьютера пользователю обычно необходимо пройти через процедуру регистрации, при которой компьютер определяет, уполномочен ли пользователь использовать данный компьютер. На уровне компьютерной сети пользователю, как правило, необходимо пройти через процесс аутентификации пользователя в целях управления доступом пользователя к различным сетевым услугам. Даже после того, как сервер управления сетевым доступом аутентифицировал пользователя, пользователю возможно еще понадобится получить разрешение на доступ к услуге у конкретного сервера. Для управления сетевым доступом на основе аутентификации пользователя были предложены и реализованы различные схемы на основе разных протоколов, таких как протокол Kerberos 5.
Обычно регистрация пользователя в компьютере и аутентификация пользователя для управления сетевым доступом представляют собой две отдельные процедуры. Тем не менее, чтобы минимизировать трудности пользователя при реализации различных схем управления доступом, регистрацию пользователя и аутентификацию пользователя для сетевого доступа иногда выполняют вместе. Например, в случае, когда аутентификация пользователя реализуется согласно протоколу Kerberos, когда пользователь регистрируется в компьютере, компьютер также может инициировать процесс аутентификации Kerberos. В процессе аутентификации Kerberos компьютер устанавливает связь с центром распределения ключей Kerberos (KDC), чтобы сначала получить мандат на получение разрешения (TGT) для пользователя. Затем компьютер может использовать TGT для получения для себя от KDC мандата на сеанс.
В процессе своей эволюции сети обросли множеством ярусов, состоящих из компьютеров-серверов/сервисов, расположенных таким образом, чтобы обеспечить обработку запросов клиентских компьютеров. Простым примером этого является клиентский компьютер, запрашивающий Web-сайт Всемирной паутины через Интернет. Здесь может иметься входной (клиентский) web-сервер, который обрабатывает форматирование и соответствующий деловой регламент запроса, и оконечный сервер (сервер базы данных), который управляет базой данных для Web-сайта. Для дополнительной защиты Web-сайт может быть конфигурирован таким образом, что протокол аутентификации направляет (или делегирует) полномочия ("верительные данные"), такие как, например, TGT пользователя, и/или, возможно, другую информацию от клиентского сервера на оконечный сервер. Такая практика находит все большее распространение на многих Web-сайтах и/или в других многоярусных сетях.
Делегирование и другие аналогичные способы полезны тогда, когда все серверы/сервисы и клиент согласны использовать один и тот же процесс аутентификации. Однако на сегодняшний день используется не один процесс аутентификации. В совместно рассматриваемой патентной заявке США №09/886146 предлагается усовершенствованный процесс управления делегированием.
Если пользователь аутентифицирован для работы в сети/системе, то тогда для предотвращения доступа этого пользователя к ресурсам, на доступ к которым у него нет полномочий, обычно выполняют одну или несколько дополнительных проверок авторизации, необходимых для управления доступом. Как только пользователь будет аутентифицирован и пройдет необходимые проверки для управления доступом, этот пользователь объявляется «авторизованным». В некоторых системах управление доступом основано, например, на списках управления доступом (ACL) для различных сервисов и ресурсов (то есть объектов). Список ACL обычно включает записи управления доступом (ACE), в которых может быть включено нулевое или большее количество идентификаторов защиты (SID). Идентификаторы SID могут быть связаны с одним пользователем или группами пользователей, которым разрешен доступ к данному объекту. Если в списке ACL нет идентификаторов SID, то тогда ни один пользователь не будет иметь доступ к данному объекту. Если в списке ACL имеются идентификаторы SID, то тогда пользователям, которые смогут сформировать по меньшей мере один совпадающий SID, будет разрешен доступ к данному объекту.
Таким образом, когда аутентифицированный пользователь регистрируется, для этого пользователя создается контекст аутентификации, например, путем формирования маркера (например, маркера доступа), который связан с этим пользователем. Маркер обычно содержит идентификаторы SID, которые связаны с этим пользователем. Например, маркер пользователя может включать уникальный SID, присвоенный данному пользователю, плюс групповой SID, присвоенный подразделению предприятия пользователя. Когда пользователь пытается получить доступ к объекту, ACL объекта сравнивают с маркером пользователя. Если маркер пользователя содержит по меньшей мере один SID, который совпадает с SID в списке ACL объекта, то тогда аутентифицированный пользователь получает право доступа к объекту до некоторой степени. Например, пользователю может быть разрешено считывать или записывать файл, созданный другими работниками его отдела (то есть другим членом группы).
Такие схемы авторизации обычно очень хорошо работают в системах, где обеспечен высокий уровень контроля и управления. Например, компьютерная сеть на уровне предприятия в корпорации обычно обеспечивает связную среду, где пользователи и списки ACL могут тщательно контролироваться централизованной и/или распределенной системой аутентификации и управления доступом. С другой стороны, для очень больших сетей, например сети Интернет, и/или в ином случае, когда сети не являются сильно связанными, аутентификация и управление доступом могут быть крайне затруднены особенно тогда, когда требуется обслуживать как можно больше пользователей, в том числе пользователей, у которых нет учетных записей для локального управления доступом. Так как тенденция развития программных средств и ресурсов направлена в сторону сетевых сервисов, в дальнейшем будет возрастать потребность в авторизации активности пользователей, связанной с указанными сетевыми сервисами.
Следовательно, имеется потребность в совершенствовании способов и систем авторизации. Предпочтительным образом, эти способы и системы должны позволять пользователям, аутентифицированным доверенным внешним ресурсом, получать некоторый контролируемый уровень доступа к определенным объектам без необходимости пользователю дополнительно иметь уникальную учетную запись пользователя, связанную с данным объектом. Кроме того, эти способы и системы не должны существенно ухудшать возможности наращивания структур, способных обеспечить доступ к объектам для очень большого числа пользователей.
Сущность изобретения
Предлагаются улучшенные способы и системы, которые позволяют пользователям, аутентифицированным доверенным внешним ресурсом, получить контролируемые уровни доступа к выбранным объектам, не требуя от пользователя дополнительной уникальной локальной учетной записи пользователя. Эти способы и системы можно реализовать без существенного ограничения возможностей наращивания структур компьютерной системы и/или сети, которые конфигурированы с возможностью обеспечения доступа к различным ресурсам для очень большого числа пользователей.
Вышеустановленные и другие требования могут быть удовлетворены, например, путем использования способа обеспечения управления доступом по меньшей мере к одному вычислительному ресурсу. Способ включает прием уникального идентификатора, который связан с пользователем, которому необходим доступ к вычислительному ресурсу (ресурсам). Предпочтительно, чтобы этот уникальный идентификатор был сформирован другим вычислительным ресурсом, который рассматривается как доверительный (надежный) и/или обслуживает, а часто и аутентифицирует пользователя некоторым образом. Способ включает преобразование полученного уникального идентификатора в идентификатор защиты (SID), который подходит для использования вместе с механизмом управления доступом, защищающим вычислительный ресурс (ресурсы). Способ, кроме того, включает определение того, совпадает ли упомянутый SID по меньшей мере с одним другим SID, который был ранее запомнен механизмом управления доступом и связан с вычислительным ресурсом (ресурсами). В некоторых примерах реализации этот уникальный идентификатор включает уникальный парный идентификатор (PUID), такой как, например, идентификатор, используемый сервисами Passport, предоставляемыми Microsoft Corp., а механизм управления доступом использует список управления доступом (ACL) для установления пользователей или групп пользователей, которым разрешен доступ к вычислительному ресурсу (ресурсам).
Согласно некоторым другим вариантам реализации настоящего изобретения предлагается способ установления разрешений, связанных с управлением доступом по меньшей мере к одному вычислительному ресурсу. В этом случае способ включает прием по меньшей мере одного адреса электронной почты (e-mail) по меньшей мере для одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ к вычислительному ресурсу (ресурсам). Например, пользователь, авторизованный с использованием механизма управления доступом, может ввести адрес электронной почты другого пользователя и задать компьютерный ресурс (ресурсы), к которому требуется доступ, и/или привилегии, которые будет иметь этот другой пользователь при доступе к компьютерном ресурсу (ресурсам). Способ, кроме того, включает предоставление адреса электронной почты к доверенному сервису, способному передать обратно уникальный идентификатор, связанный с пользователем, на основе адреса электронной почты. Способ включает прием уникального идентификатора с последующей установкой по меньшей мере одного разрешения для управления доступом на основе этого уникального идентификатора. Это может включать, например, преобразование уникального идентификатора в SID и связывание этого SID по меньшей мере с одним списком для управления доступом ACL для данного вычислительного ресурса (ресурсов).
Согласно другим аспектам настоящего изобретения предлагается способ для преобразования идентификатора PUID в соответствующий идентификатор SID. Этот способ включает прием идентификатора PUID, разделение его по меньшей мере на одну часть идентификатора субполномочий и по меньшей мере одну часть идентификатора-члена и компоновку части идентификатора субполномочий и части идентификатора-члена для формирования SID.
Также предлагается система для управления доступом по меньшей мере к одному вычислительному ресурсу в соответствии с некоторыми вариантами реализации настоящего изобретения. Система включает логические схемы и память, которые могут быть конфигурированы для приема уникального идентификатора, связанного с пользователем, которому должен быть предоставлен доступ к вычислительному ресурсу (ресурсам); преобразования уникального идентификатора в идентификатор защиты (SID); и определения того, совпадает ли этот идентификатор SID по меньшей мере с одним другим идентификатором SID, который хранится в памяти и связан с вычислительным ресурсом (ресурсами).
В качестве примера предлагаются некоторые системы для установки разрешений на управление доступом для вычислительного ресурса (ресурсов). Одна система включает сеть связи, соединяющую первое устройство по меньшей мере с одним другим устройством. Первое устройство конфигурировано для приема адреса электронной почты по меньшей мере для одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ к вычислительному устройству (устройствам); предоставления адреса электронной почты другому устройству по сети; приема по сети от этого другого устройства соответствующего уникального идентификатора, связанного с адресом электронной почты; и установления по меньшей мере одного разрешения для управления доступом, связанного с вычислительным ресурсом (ресурсами), на основе уникального идентификатора. Другое устройство конфигурировано для приема по сети адреса электронной почты, преобразования этого адреса электронной почты в уникальный идентификатор и выдачи по сети уникального идентификатора на первое устройство.
Краткое описание чертежей
Различные способы и системы согласно настоящему изобретению более подробно описаны в последующем описании, иллюстрируемом чертежами, на которых:
фиг.1 - блок-схема примера компьютерной системы, подходящей для использования с конкретными вариантами реализации настоящего изобретения;
фиг.2 - блок-схема, иллюстрирующая процесс «сервис для пользователя - модуль-посредник» (S4U2proxy), который реализуется в среде «клиент - сервер» и подходит для использования с конкретными вариантами реализации настоящего изобретения;
фиг.3А - блок-схема, иллюстрирующая процесс «сервис для пользователя - на себя» (S4U2self), который реализуется в среде «клиент - сервер» и подходит для использования с конкретными вариантами реализации настоящего изобретения;
фиг.3В - блок-схема, иллюстрирующая процесс «сервис для пользователя - на себя» (S4U2self), который реализуется в среде «клиент - сервер» и подходит для использования с конкретными вариантами реализации настоящего изобретения;
фиг.4 - схема, иллюстрирующая выбранные части приведенного в качестве примера формата сообщения, подходящего для использования с конкретными вариантами реализации настоящего изобретения;
фиг.5 - блок-схема, иллюстрирующая систему и процесс для обеспечения управления локальным доступом для пользователей, аутентифицированных доверенным ресурсом, согласно некоторым приведенным в качестве примера вариантам реализации настоящего изобретения;
фиг.6 - блок-схема, иллюстрирующая использование системы и процесса, например, как на фиг.5, позволяющих пользователю без учетной записи для управления локальным доступом получить доступ к конкретным ресурсам с адекватным уровнем надежности авторизации согласно конкретным аспектам настоящего изобретения.
Подробное описание изобретения
Обзор
Здесь в качестве примера описаны способы и системы, которые можно реализовать при аутентификации пользователей/ресурсов и/или обеспечении контекста авторизации для пользователей, пытающихся получить доступ к конкретным ресурсам.
В следующем разделе описывается пример вычислительной среды. В последующих разделах кратко описаны типовые технологии S4U2proxy и S4U2self, которые являются предметом совместно рассматриваемой патентной заявки США №09/886146.
Далее описаны и проиллюстрированы на чертежах способы, обеспечивающие новую схему авторизации, согласно конкретным аспектам настоящего изобретения. Предлагаются улучшенные способы и системы, которые позволяют, например, клиентским службам (например, пользователям), аутентифицированным доверенным внешним сервисом, получить контролируемые уровни доступа к выбранным ресурсам локального сервера, не требуя, чтобы клиентский сервис также имел средства управления локальным доступом. Как описано ниже, представленные схемы авторизации можно использовать различными путями, чтобы улучшить защиту вычислительных ресурсов и возможность пользователей получать доступ к сервисам, обеспечиваемым вычислительными ресурсами.
Типовая вычислительная среда
Как показано на чертежах, изобретение реализуется в подходящей вычислительной среде, причем на чертежах одинаковые ссылочные позиции относятся к одинаковым элементам. Хотя это не обязательно, изобретение будет описано в общем контексте команд, выполняемых компьютером, таких как программные модули, выполняемые персональным компьютером. Обычно программные модули включают подпрограммы, программы, объекты, компоненты, структуры данных и т.д., которые выполняют определенные задачи или реализуют определенные абстрактные типы данных. Кроме того, специалистам в данной области техники ясно, что изобретение можно реализовать на практике с помощью других конфигураций компьютерных систем, включая, переносные устройства, многопроцессорные системы, бытовую электронную аппаратуру на базе микропроцессоров или программируемую бытовую электронную аппаратуру, сетевые персональные компьютеры, мини-компьютеры, универсальные компьютеры и т.п. Изобретение можно также реализовать на практике в распределенных вычислительных средах, где задачи выполняются удаленными устройствами обработки данных, которые связаны через сеть связи. В распределенной вычислительной среде программные модули могут находиться как в локальных, так и удаленных запоминающих устройствах.
На фиг.1 показан пример подходящей вычислительной среды 120, в которой можно реализовать описанные далее способы и системы.
Типовая вычислительная среда 120 является лишь одним из примеров подходящей вычислительной среды и не ограничивает объем использования или функциональные возможности описанных улучшенных способов и систем. Не следует интерпретировать вычислительную среду 120 как зависимую каким-либо образом или ограниченную требованиями, относящимися к любой компоненте или их комбинации, показанной в вычислительной среде 120.
Предложенные здесь улучшенные способы и системы делаются работоспособными посредством множества других вычислительных сред или конфигураций общего либо специального назначения. Примеры известных вычислительных систем, сред и/или конфигураций, которые могут использоваться для реализации изобретения, включают, без каких-либо ограничений, персональные компьютеры, компьютеры-серверы, «тонкие» клиенты (маломощные сетевые клиенты-терминалы), «толстые» клиенты (рабочие места на основе ПК), переносные устройства или портативные компьютеры, многопроцессорные системы, системы на основе микропроцессоров, телевизионные приставки, программируемую бытовую электронную аппаратуру, сетевые ПК, мини-компьютеры, универсальные компьютеры, распределенные вычислительные среды, которые включают любые из вышеперечисленных систем или устройств и т.п.
Как показано на фиг.1, вычислительная среда 120 включает в себя вычислительное устройство общего назначения в виде компьютера 130. Компоненты компьютера 130 могут включать один или несколько процессоров или блоков 132 обработки данных, системную память 134 и шину 136, которая связывает различные системные компоненты, включая системную память 134, с процессором 132.
Шина 136 представляет собой шинную структуру одного или нескольких типов, включая шину памяти или контроллер памяти, периферийную шину, ускоренный графический порт и процессор или локальную шину, использующую любую из множества различных шинных архитектур. Как пример, но не ограничение, указанные архитектуры включают шину ISA (архитектура шины промышленного стандарта), шину MCA (микроканальная архитектура), шину EISA (расширенная архитектура ISA), локальную шину VESA (стандарт высокоскоростной локальной видеошины), и шину PCI (межсоединение периферийных компонентов), известную также как шина Mezzanine.
Компьютер 130 обычно содержит различные машинно-считываемые носители. Такими носителями могут быть любые имеющиеся в наличии носители, доступные компьютеру 130, к которым относятся как энергозависимые, так и энергонезависимые носители, съемные и несъемные носители.
На фиг.1 системная память 134 включает в себя машинно-считываемый носитель в виде энергозависимой памяти, такой как память 140 с произвольным доступом (ОЗУ) и/или энергонезависимой памяти, такой как память 138 только для считывания (ПЗУ). Базовая система 142 ввода/вывода (BIOS), содержащая базовые подпрограммы, которые помогают пересылать информацию между элементами в компьютере 130, к примеру, во время запуска, хранится в ПЗУ 138. ОЗУ 140 обычно содержит модули данных и/или программные модули, которые непосредственно доступны процессору 132 и/или которыми этот процессор оперирует в данный момент.
Компьютер 130 может дополнительно включать другие съемные/несъемные, энергозависимые/энергонезависимые компьютерные запоминающие носители. Например, на фиг.1 показан дисковод 144 жестких дисков для считывания и записи на несъемный, энергонезависимый магнитный носитель (не показан; обычно называемый «жестким диском»), накопитель 146 на магнитном диске для считывания и записи на съемный энергонезависимый магнитный диск 148 (например, «гибкий диск») и накопитель 150 на оптическом диске для считывания или записи на съемный энергонезависимый оптический диск 152, такой как ПЗУ на компакт-диске для считывания/считывания и записи (CD-ROM/R/RW), ПЗУ на цифровом универсальном диске для считывания/считывания и записи+ОЗУ (DVD-ROM/R/RW+R/RAM) либо другие оптические носители. Накопитель 144 на жестком диске, накопитель 146 на магнитном диске и накопитель 150 на оптическом диске подсоединены к шине 136 через один или несколько интерфейсов 154.
Эти накопители и соответствующие машинно-считываемые носители обеспечивают энергонезависимое запоминание машинно-считываемых команд, структур данных, программных модулей и других данных для компьютера 130. Хотя в описанном здесь примере вычислительной среды используется жесткий диск, съемный магнитный диск 148 и съемный оптический диск 152, специалистам в данной области техники очевидно, что в типовой рабочей среде также можно использовать и другие типы машинно-считываемых носителей, которые могут запоминать данные, доступные компьютеру, такие как магнитные кассеты, платы флэш-памяти, цифровые видеодиски, запоминающие устройства со случайной выборкой (ОЗУ), запоминающие устройства только для считывания (ПЗУ) и т.п.
На жестком диске, магнитном диске 148, оптическом диске 152, ПЗУ 138 или ОЗУ 140 может храниться несколько программных модулей, в том числе, к примеру, операционная система 158, одна или несколько прикладных программ 160, другие программные модули и программные данные 164.
Описанные здесь улучшенные способы и системы можно реализовать в операционной системе 158, одной или нескольких прикладных программах 160, других программных модулях 162 и/или программных данных 164.
Пользователь может подавать команды и информацию в компьютер 130 через устройства ввода, такие как клавиатура 166 и указательное устройство 168 (такое как «мышь»). Другие устройства ввода (не показаны) могут включать микрофон, джойстик, игровую клавиатуру, спутниковую тарелку, последовательный порт, сканер, камеру и т.д. Эти и другие устройства ввода подсоединяют к блоку 132 обработки данных через пользовательский интерфейс 170 ввода данных, который соединен с шиной 136, но их также можно подсоединить через другие интерфейсные и шинные структуры, такие как параллельный порт, игровой порт или универсальную последовательную шину (USB).
К шине 136 через интерфейс, такой как видеоадаптер 174, также подсоединен монитор 172 либо устройство отображения другого типа. Помимо монитора 172, персональные компьютеры обычно включают другие периферийные устройства вывода (не показаны), такие как динамики и принтеры, которые можно подсоединить через интерфейс 175 периферийных устройств ввода.
Компьютер 130 может работать в сетевой среде, используя логические соединения с одним или несколькими удаленными компьютерами, такими как удаленный компьютер 182. Удаленный компьютер 182 может содержать многие либо все элементы и функции, описанные здесь применительно к компьютеру 130.
Логические соединения, показанные на фиг.1, представляют собой локальную сеть (LAN) 177 и глобальную сеть (WAN) 179. Такие сетевые среды - обычное явление в офисах, корпоративных компьютерных сетях, интрасетях (Intranet) и сети Интернет.
При использовании в сетевой среде LAN компьютер 130 соединен с LAN 177 через сетевой интерфейс или адаптер 186. При использовании в сетевой среде WAN компьютер обычно содержит модем 178 либо другое средство для установления связи через сеть WAN 179. Модем 178, который может быть встроенным или внешним, можно подсоединить к системной шине 136 через пользовательский интерфейс 170 ввода данных либо другой соответствующий механизм.
На фиг.1 изображен конкретный вариант реализации WAN через Интернет. Здесь компьютер 130 использует модем 178 для установления связи по меньшей мере с одним удаленным компьютером 182 через Интернет 180.
В сетевой среде программные модули, изображенные относящимися к компьютеру 130, или их части могут храниться в удаленном запоминающем устройстве. Так например, как показано на фиг.1, удаленные прикладные программы 189 могут находится в запоминающем устройстве удаленного компьютера 182. Очевидно, что сетевые соединения показаны и описаны здесь в качестве примеров, и можно использовать другие средства установления линии связи между компьютерами.
Сущность типовых способов делегирования S4U2Proxy и S4U2Self
Далее кратко описываются конкретные способы управления объемом делегирования полномочий по аутентификации в сетевой среде «клиент - сервер». В данном примере описывается система на основе стандарта Kerberos. Эти способы S4U2Proxy и S4U2Self и описанные далее способы авторизации могут быть либо могут не быть реализованы в одних и тех же системах, а также могут быть реализованы в других системах аутентификации на основе сертификатов.
Как упоминалось выше, наличие у клиента мандата на получение разрешения (TGT) и соответствующего удостоверения позволяет его обладателю запрашивать мандаты от имени клиента у доверенной третьей стороны, например у центра распределения ключей (KDC). Такое неограниченное делегирование поддерживается в настоящее время в некоторых вариантах реализации стандарта Kerberos, где имеются схемы направленного делегирования мандатов.
На этой основе в патентной заявке США №09/886146 описываются способы и системы для ограничения или, иными словами, улучшенного управления процессом делегирования. Управление процессом делегирования можно осуществлять, используя способ «сервис для пользователя - модуль-посредник» (S4U2proxy), который позволяет серверу или сервису, такому как, например, входной сервер/сервис, запрашивать мандаты на сервис от имени клиента для использования с другими серверами/сервисами. Протокол S4U2proxy преимущественно обеспечивает управляемое ограниченное делегирование, при котором клиенту не требуется направлять TGT на интерфейсный сервер. Другим способом является протокол «сервис для пользователя - на себя» (S4U2self), который позволяет серверу запрашивать у себя мандат на сервис, но при этом в результирующем мандате на сервис обеспечены данные идентификации клиента. Это, например, позволяет клиенту, который был аутентифицирован по другим протоколам аутентификации, получить мандат на сервис, который можно использовать с протоколом S4U2proxy для обеспечения ограниченного делегирования. Имеются две типовые формы к протоколу S4U2self, а именно форма «без доказательства» и форма «доказательство». При использовании формы «без доказательства» серверу доверяется аутентификация клиента, например, с использованием другого механизма защиты/аутентификации, который является собственным механизмом данного сервера. При использовании формы «доказательство» KDC (или доверенная третья сторона) выполняет аутентификацию на основе информации (доказательства) о клиенте, полученной, когда клиент аутентифицировался на сервере.
Таким образом, клиент может получить доступ к серверам/сервисам в среде Kerberos независимо от того, был ли клиент аутентифицирован согласно протоколу Kerberos или какому-нибудь другому протоколу аутентификации. Следовательно, оконечные и/или другие серверы/сервисы могут работать по существу только в среде Kerberos.
На фиг.2 изображен протокол/процесс S4U2proxy в среде «клиент - сервер» 200. Как показано на этом чертеже, клиент 202 оперативно связан с доверенной третьей стороной 204, имеющей сервис аутентификации 206, например KDC, полномочия выдачи сертификата, контроллер домена и/или т.п. Сервис аутентификации 206 конфигурирован для доступа к информации, поддерживаемой в базе данных 208. Клиент 202 и доверенная третья сторона 204, кроме того, оперативно связаны с сервером, а именно с сервером А 210. Заметим, что используемые здесь термины «сервер» и «сервис» используется здесь взаимозаменяемо для представления одинаковых или подобных функций.
В данном примере сервер А210 представляет собой интерфейсный сервер для множества других серверов. Как изображено на чертеже, сервер А 210 оперативно связан с сервером В 212 и сервером С 214. Как видно из фиг.2, сервер В 212 может представлять тиражируемый сервис. Также сервер С 214 дополнительно оперативно связан с сервером D 216.
В ответ на регистрацию пользователя у клиента 202 к сервису аутентификации 206 посылается сообщение 220 с запросом на аутентификацию (AS_REQ), в ответ на которое формируется сообщение 222 об аутентификации (AS_REP). В сообщении AS_REP 222 имеется мандат TGT, связанный с пользователем/клиентом. Такая же или аналогичная процедура (не показана) производится затем для аутентификации сервера А 210.
Когда клиент 202 хочет получить доступ к серверу А 210, он посылает сообщение 224 запроса на сервис предоставления мандата (TGS_REQ) на сервис аутентификации 206, который посылает обратно сообщение 226 ответа о сервисе предоставления мандата (TGS_REP). Сообщение TGS_REP 226 включает мандат сервиса, связанный с клиентом 202 и сервером А 210. Затем для инициирования сеанса связи клиент 202 направляет на сервер А 210 мандат на сервис в сообщении 228 с запросом прикладного протокола (AP_REQ). Указанные процессы/процедуры хорошо известны, и поэтому подробно здесь не описываются.
В некоторых системах для поддержания делегирования клиенту необходимо предоставить серверу А 210 свой TGT, чтобы дать возможность серверу А 210 запросить дополнительные мандаты на сервисы от имени клиента 202. В этом нет необходимости при использовании протокола S4U2proxy. Вместо этого, когда серверу А 210 необходимо обратиться к другому серверу от имени клиента 202, например к серверу С 214, тогда сервер А 210 и сервис по аутентификации 206 действуют в соответствии с протоколом S4U2proxy. Сервер А 210 посылает сообщение TGS_REQ 230 на сервис аутентификации 206. Сообщение TGS_REQ 230 включает мандат TGT для сервера А 210 и мандат на сервис, полученный от клиента 202, и идентифицирует требуемый или целевой сервер/сервис, к которому клиент 202 хочет обратиться, например сервер C 214. В протоколе Kerberos имеется, например, определенное расширяемое поле данных, которое обычно называют полем «дополнительных мандатов». Это поле дополнительных мандатов можно использовать в протоколе S4U2proxy для переноса мандата на сервис, полученного от клиента 202, а поле опций KDC может включать флаг или другой индикатор, который дает указание принимающему KDC найти в поле дополнительных мандатов мандат, используемый для предоставления данных идентификации клиента. Специалистам в данной области техники очевидно, что для переноса необходимой информации для сервиса аутентификации 206 можно использовать эти либо другие поля и/или структуры данных.
При обработке TGS_REQ 230 сервис аутентификации 206 определяет, авторизовал ли клиент 202 делегирование, например, на основе значения «пересылаемого флага», установленного клиентом 202. Таким образом, делегирование по каждому клиенту приводится в исполнение при наличии пересылаемого флага в мандате сервиса клиента. Если клиент 202 не хочет принимать участие в делегировании, то тогда в мандате пересылаемый флаг не устанавливается. Сервис аутентификации 206 учитывает этот флаг в виде ограничения, инициированного клиентом. Сервис аутентификации 206 может получить доступ к дополнительной информации в базе данных 208, определяющей выбранные сервисы, которые разрешено делегировать (или не делегировать) серверу А 210 в отношении клиента 202.
Если сервис аутентификации 206 определяет, что серверу А 210 разрешено делегировать полномочия целевому серверу/сервису, то тогда на сервер А 210 посылается сообщение TGS_REP 232. Сообщение TGS_REP 232 включает мандат сервиса для целевого сервера/сервиса. Этот мандат сервиса появляется так, как будто клиент 202 запросил его непосредственно от сервиса аутентификации 206, например, используя TGT клиента. Однако на самом деле это не делается. Вместо этого, сервис аутентификации 206 обратился к аналогичной/необходимой информации о клиенте в базе данных 208 после подтверждения того, что аутентифицированный клиент фактически включен в запрос на основе мандата сервиса, который аутентифицировал сервер А 210, полученного от клиента 202, и включен в сообщение TGS_REQ 230. Однако поскольку в мандате клиента есть информация о клиенте, серверу необходимо лишь скопировать необходимые данные из этого мандата.
В некоторых вариантах реализации сообщение TGS_REP 232 идентифицирует целевой сервер/сервис и клиента 202 и дополнительно включает данные учетной записи об идентификации/пользователя/клиента для конкретной реализации, например, в виде сертификата атрибута привилегий (PAC), идентификатора защиты, ID операционной системы UNIX, ID системы Passport, сертификата и т.д. Сертификат PAC может быть сформирован, например, сервисом аутентификации 206 либо просто скопирован из мандата сервиса клиента, который был включен в сообщение TGS_REQ 230. Использование идентификатора Passport ID дополнительно описывается в типовых схемах формирования контекста аутентификации, представленных ниже.
Сертификат PAC либо другие учетные данные пользователя/клиента также могут быть конфигурированы для включения информации, относящейся к объему делегирования. Так например, на фиг.4 представлена диаграмма, иллюстрирующая выбранные части сообщения Kerberos 400, имеющего заголовок 402 и PAC 404. Здесь сертификат PAC 404 включает информацию о делегировании 406. Как показано на фиг.4, информация о делегировании 406 включает составную информацию идентификации 408 и информацию ограничения доступа 410.
Составная информация идентификации 408 может, например, включать записанную информацию о процессе делегирования, например индикацию того, что сервер А 210 запросил мандат сервиса от лица пользователя/клиента 202. Здесь может быть предусмотрено множество таких записанных данных, которые можно использовать для связывания или идентификации иным образом архивных данных по множеству процессов делегирования. Указанная информация может быть полезной для контроля и/или управления доступом.
Информацию ограничения доступа 410 можно использовать, например, вместе с механизмом управления доступом для избирательного разрешения доступа к конкретным серверам/сервисам, при условии, если клиент 202 прямо либо косвенно ищет доступ к данному серверу/сервису через сервер А 210, но нельзя использовать, если поиск сервера/сервиса ведется косвенно через сервер B 212. Указанная особенность предоставляет дополнительные возможности управления процессом делегирования полномочий на аутентификацию.
В вышеуказанных примерах клиент 202 был аутентифицирован с помощью сервиса аутентификации 206. Однако понятно, что другие клиенты не могут быть аутентифицированы подобным образом. Пример такой ситуации показан на фиг.3А. Здесь клиент 302 был аутентифицирован с использованием механизма 303 другого протокола аутентификации. Механизм 303 протокола аутентификации может, например, включать систему Passport, протокол защищенных разъемов (протокол SSL), протокол NTLM, протокол Digest либо другие подобные протоколы/процедуры аутентификации. В данном примере предполагается, что клиент 302 выбирает доступ к целевому сервису, который обеспечен сервером С 214. Этот выбор может быть удовлетворен путем использования вышеописанного протокола S4U2proxy, но только после того, как сервер А 210 завершил/отследил до конца протокол/процедуру S4U2self.
Одной из базовых предпосылок протокола S4U2self является то, что сервер, например сервер А 210, имеет возможность запросить мандат сервиса у себя самого для любого пользователя/клиента, который обращается к этому серверу и которого этот сервер аутентифицировал. Описанный здесь типовой протокол S4U2self конфигурирован для поддержки клиентов, которые имеют доказательство для аутентификации, и клиентов, которые не имеют такого доказательства для аутентификации.
При отсутствии доказательства для аутентификации, которое может быть оценено сервисом аутентификации 206, серверу А 210 придется обратиться к «доверенному» клиенту 302. Так например, если клиент 302 имеет сертификат аутентификации либо подобный механизм 304, который сервер А 210 способен проверить, то тогда клиент 302 может быть определен как «доверенный клиент». Следовательно, клиент 302 фактически аутентифицируется сервером А 210.
Далее сервер А 210 посылает сообщение TGS_REQ 306 на сервис аутентификации 206, запрашивая у себя мандат сервиса для клиента 302. В ответ на это сервис аутентификации 206 формирует сообщение TGS_REP 308, которое включает мандат запрашиваемого сервиса. Затем полученный мандат сервиса используют в последующем протоколе/процедуре S4U2proxy для запроса мандата сервиса у сервера С 214 для клиента 302. В некоторых вариантах реализации протокола Kerberos это потребует, например, установления в сообщении TGS_REP 308 пересылаемого флага, позволяющего переслать мандат сервиса. Доверенная третья сторона может также создать сертификат PAC для клиента 302, который может быть затем включен в итоговый мандат сервиса.
Если для клиента 302' имеется доказательство для аутентификации, то тогда сервер А 210 может включить указанное доказательство в сообщение TGS_REQ 312 в виде дополнительных данных для предварительной аутентификации. Это показано на фиг.3B в среде 300'. Здесь информация доказательства 310 подается клиентом 302' на сервер А 210. Информация доказательства 310 может включать, например, данные диалога «запрос/ответ» или другую информацию, формируемую другим «доверенным» объектом. После приема информации доказательства и последующей проверки, сервис аутентификации 206 сам предоставит запрошенный мандат сервиса серверу А 210. Заметим, что в некоторых вариантах реализации при использовании доказательства для сервера возможно получение ограниченного TGT для данного клиента.
В некоторых вариантах реализаций протокола Kerberos пересылаемый флаг в сообщении TGS_REP 314 устанавливается, чтобы позволить переслать мандат сервиса. Если в сообщении TGS_REQ 312 был предусмотрен сертификат PAC, то тогда его можно использовать в мандате сервиса; в противном случае, PAC может быть сформирован сервисом аутентификации 206 (здесь KDC) на основе информации доказательства 310. Например, в стандарте S4U2self данные идентификации клиента включают в данные предварительной аутентификации. Эти данные идентификации можно использовать при создании сертификата PAC для клиента и добавить в созданный мандат сервиса для сервера (для клиента).
Типовые способы формирования контекста авторизации
Далее описываются типовые способы и системы согласно конкретным вариантам реализации настоящего изобретения. Эти способы и системы могут быть реализованы с использованием или без использования протоколов S4U2proxy и/или S4U2self. Эти способы и системы можно реализовать с использованием или без использования стандарта Kerberos. Также эти способы и системы могут быть реализованы с использованием или без использования сервисной системы Passport (предоставляемой Microsoft Corp.Of Redmond WA). Специалистам в данной области техники понятно, что эти способы можно реализовать, используя многочисленные другие протоколы и/или сервисы. Тем не менее, в этих примерах предполагается, что указанные протоколы и сервисы доступны для поддержки способов формирования контекста авторизации, если это необходимо.
На фиг.5 показана блок-схема, иллюстрирующая конкретные признаки/функции/процессы, которые относятся к сетевой конфигурации «клиент - сервер» 500, причем эта конфигурация способна обеспечить контекст авторизации для пользователей, которые, в противном случае, не получат авторизацию для доступа к конкретным ресурсам.
Как показано на фиг.5, сервер Х 502 оперативно связан с сервером Y 504, первым клиентом 506, связанным с пользователем #1 (U1), и вторым клиентом 508, связанным с пользователем #2 (U2). В этом примере между указанными устройствами имеется ряд доверительных отношений, которые представлены блоками 510, 512 и 514, изображенными пунктирными линиями. Так клиент 506 и сервер Х 502 конфигурированы для формирования доверительных отношений 510, когда U1 регистрируется у клиента 506 и сервера Х 502, например, для доступа к ресурсу, предлагаемому сервером Х 502, такому как объект 516. Указанная процедура регистрации может включать аутентификацию и управление доступом. Аналогично клиент 508 и сервер Y 504 конфигурируются для формирования доверительных отношений 512, когда U2 регистрируется у клиента 508 и сервера Y 504. Кроме того, в этом примере сервер Х 502 и сервер Y 504 способны формировать доверительные отношения 514 через доверенную третью сторону 204. Заметим, однако, что в этот момент между клиентом 508 и сервером Х 502 нет доверительных отношений. Ниже с использованием фиг.5 и фиг.6 описан процесс, иллюстрирующий некоторые аспекты настоящего изобретения, которые позволяют клиенту 508 иметь контекст авторизации с сервером Х 502, что позволяет U2 получить доступ к объекту 516. Стрелки к последующим числовым идентификаторам в маленьких кружках иллюстрируют действия в указанном процессе. В других вариантах реализации порядок следования этих действий может быть другим.
Действие #0 - это создание доверительных отношений 510, 512 и 514, описанных выше. Указанные доверительные отношения могут быть созданы избирательно, когда это необходимо для конкретных операций.
В данном примере предполагается, что U1 хочет разрешить U2 получить доступ к объекту 516. Хотя U1 авторизован посредством доверительных отношений 510 для доступа к объекту 516, U2 в то же время не авторизован для доступа к объекту 516. Кроме того, имеется дополнительная потребность избежать добавления U2 в качестве другого авторизованного пользователя в систему управления доступом сервера Х 502. Такая ситуация может возникнуть, например, когда U1 хочет разрешить U2 получить доступ к календарю онлайнового планирования U1, который размещается или иным образом обеспечивается через работодателя U1. Здесь работодатель не хочет добавлять в свою систему учетную запись нового авторизованного пользователя.
На фиг.6 представлена блок-схема 600, иллюстрирующая некоторые характерные признаки, связанные с графическим интерфейсом пользователя (GUI), предоставляемым пользователю U1 через клиента 506. В данном примере для U1 после регистрации на сервере Х 502 отображается Web-страница 602 или аналогичный экран. На Web-странице 602 объект 516 представляет календарь GUI 604, который отображает информацию о пользователе U1. Пользователь U1 имеет возможность открыть бланк ввода информации 606, который включает поле 608 ввода идентификатора и (как опцию) одну или несколько выбираемых настроек разрешения 610. Именно здесь пользователь U1 может инициировать процесс, который в итоге позволит U2 получить доступ к объекту 516.
Пользователь U1 вводит идентификатор для пользователя U2. В этом примере идентификатор включает уникальный адрес электронной почты WWW (всемирной паутины) для U2, а именно user2@hotmail.com. Введенный здесь идентификатор предназначен для зарегистрированного пользователя сервисов hotmail.com, предоставляемых Microsoft Corp. Так как предполагается, что зарегистрированный пользователь hotmail.com U2 также имеет соответствующую учетную запись Passport от Microsoft Corp., пользователь U1 может также определить одну или несколько настроек разрешения 610 для пользователя U2, относящихся к доступу, получаемому к объекту 516 (здесь, например, это приложение, относящееся к календарю онлайнового планирования). В данный момент пользователь U1 установил разрешение для U2 на считывание. Вернемся теперь к фиг.5, где процесс идентификации пользователя представлен в виде действия #1 между клиентом 506 и сервером Х 502.
Сервер Х 502 распознает, что пользователь U1 предоставил идентификатор hotmail.com для пользователя U2, а при действии #2 осуществляет связь с сервером Y 504, относительно которого в этом случае предполагается, что он представляет собой известный сервер Passport. Здесь сервер X 502 предоставляет идентификатор user2@hotmail.com серверу Y 504 и запрашивает, чтобы сервер Y 504 предоставил соответствующие универсальные уникальные данные идентификации пользователя Passport (PUID) (также часто называемые уникальным парным ID). При действии #3 сервер Y 504 выдает в ответ идентификатор PUID (524) для U2. Если доверительные отношения являются доверительными отношениями по протоколу Kerberos, то тогда идентификатор PUID может быть выдан, например, в сертификате PAC, как упоминалось ранее.
Теперь сервер Х 502 имеет идентификатор PUID для пользователя U2. При действии #4 сервер Х 502 преобразует PUID в соответствующий идентификатор SID 522, подходящий для использования с собственной системой аутентификации сервера Х 502. Как показано на фиг.5, объект 516 связан со списком ACL 518, имеющим по меньшей мере одну запись ACE 520, которая включает идентификатор SID 522.
64-разрядный идентификатор PUID в действительности состоит из 16-разрядного идентификатора полномочий домена Passport и 48-разрядного идентификатора-члена. Для образования идентификатора SID необходимо поддерживать полномочия домена в виде отдельного значения. Чтобы это сделать, идентификатор MemberIDHigh разделяется на две части, а затем эти части формируются в виде отдельных субполномочий, например, как показано ниже:
S-1-10-21-(HIWORD(MemberIDHigh))-(LOWORD(MemberIDHigh))-MemberIDLow-0
В этом примере «S-1-10-21» - это полномочия нового идентификатора, определенные файлом ntseapi.h. В этом типовом варианте реализации ntseapi.h - это файл заголовка, используемый для построения операционной системы Microsoft® Windows®, которая содержит описание для значения идентификатора SID, используемого для построения PUID-SID. Заметим, что этот заголовок обычно непосредственно не раскрывается разработчиками. Однако декларации в файле ntseapi.h открыто опубликованы в Платформе SDK в winnt.h.
Таким образом типовой идентификатор SID, который создается из идентификатора PUID либо другого подобного идентификатора, выдаваемого «доверенным» источником, по существу идентифицирует известные субполномочия и пользователя-члена в уникальной комбинации и формате, совместимом с собственной системой авторизации.
При действии #5 пользователь U2 регистрируется (или аутентифицируется) на сервере Y 504 и в процессе регистрации получает идентификатор PUID 524. При действии #6 пользователь U2 соединяется с сервером X 502, используя учетную запись пользователя, установленную по умолчанию (например, "неизвестен" или "аноним") и предоставляет информацию (например, в сертификате РАС), включающую идентификатор PUID 524, в запросе или другом подобном сообщении. При действии #7 сервер X 502 распознает, что идентификатор PUID был предоставлен этим пользователем, определенным по умолчанию (U2), и создает в ответ соответствующий идентификатор SID 532, который затем помещают в мандат 530, связанный с тем пользователем по умолчанию (U2), которому нужен доступ к объекту 516. В некоторых вариантах реализации идентификатор SID формируется путем подачи идентификатора PUID в интерфейс прикладного программирования (API), называемый LsaLogonUser. Этот интерфейс API выдает идентификатор SID.
При действии #8 сервер Х 502 определяет, имеет ли пользователь по умолчанию (U2) соответствующее разрешение (разрешения) на доступ к объектам 516, путем сравнения одного или нескольких идентификаторов SID в мандате 530 пользователя по умолчанию с идентификаторами в ACL 518. Здесь идентификатор SID 532 из мандата 530 совпадает с идентификатором SID 522 в записи ACE 520. После этого при действии #9 создается контекст аутентификации 526 для пользователя U2, который позволяет пользователю U2 получить доступ к объекту 516 в соответствии с применяемыми настройками разрешения. Таким образом, пользователь U2 может, например, просматривать (считывать) календарь планирования U1 и определить, могут ли пользователь U1 и пользователь U2 позавтракать вместе на следующей неделе. Пользователь U2 не зарегистрировался на сервере Х 502; в действительности пользователь U2 не может зарегистрироваться на сервере Х 502, поскольку в отличие от пользователя U1 пользователь U2 не имеет учетной записи. В этом случае аутентификация пользователя U2 по существу основана на доверительных отношениях 510, 512 и 514 и начальной аутентификации U2, с использованием клиента 508 и сервера Y 504. Управление доступом пользователя U2 к серверу X 502 предоставляется, по существу, на основе доверительной авторизации U1 (через клиента 506 и сервер Х 502 при действии #0) и доверительных отношениях с сервером Y 504 при предоставлении идентификатора PUID 524 в процессе выполнения действия #3.
Одно из преимуществ, связанное с использованием идентификатора PUID, состоит в том, что результирующий идентификатор SID получится уникальным (в глобальном смысле) и устойчивым на основе контролируемого присвоения идентификаторов PUID, выполняемого системой Passport.
Заключение
Хотя в предыдущем подробном описании были описаны и проиллюстрированы сопроводительными чертежами некоторые предпочтительные варианты реализации различных способов и систем согласно настоящему изобретению, очевидно, что изобретение не ограничивается раскрытыми здесь иллюстративными вариантами, а предусматривает возможность многочисленных перекомпоновок, модификаций и замен без отклонения от сущности изобретения, как изложено и определено в формуле изобретения.

Claims (56)

1. Способ управления доступом к первому вычислительному ресурсу, не требуя от пользователя уникальной учетной записи пользователя, связанной с первым вычислительным ресурсом, причем способ включает прием от пользователя через сеть связи парного уникального идентификатора (PUID), связанного с пользователем, которому должен быть обеспечен доступ к первому вычислительному ресурсу, при этом упомянутый идентификатор PUID связан со вторым вычислительным ресурсом, который аутентифицировал пользователя на основе адреса электронной почты, связанного с пользователем;
преобразование идентификатора PUID в идентификатор защиты (SID) путем подачи идентификатора PUID в интерфейс прикладного программирования (API) и приема в ответ идентификатора SID API;
определение того, имеет ли пользователь соответствующее разрешение на доступ к первому вычислительному устройству, путем сравнения идентификатора SID с по меньшей мере одним другим идентификатором SID, обеспечиваемым механизмом управления доступом, связанным с первым вычислительным ресурсом; и обеспечение управляемого доступа к первому вычислительному ресурсу в соответствии с упомянутыми разрешениями.
2. Способ по п.1, в котором идентификатор PUID связан с сервисом Passport.
3. Способ по п.1, в котором преобразование идентификатора PUID в идентификатор SID дополнительно содержит: разделение идентификатора PUID по меньшей мере на одну часть идентификатора, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
4. Способ по п.1, в котором прием идентификатора PUID дополнительно включает в себя прием идентификатора PUID в сообщении на основе протокола Kerberos.
5. Способ по п.4, в котором идентификатор PUID обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
6. Способ по п.4, в котором сообщение на основе протокола Kerberos связано с процессом S4U2self.
7. Способ по п.4, в котором сообщение на основе протокола Kerberos связано с процессом S4U2proxy.
8. Способ по п.1, в котором определение того, совпадает ли идентификатор SID с по меньшей мере одним другим идентификатором SID, обеспечиваемым механизмом управления доступом, включает в себя сравнение идентификатора SID с по меньшей мере одним другим идентификатором SID в списке управления доступом (ACL), связанном с первым вычислительным ресурсом.
9. Способ по п.1, в котором прием идентификатора PUID, связанного с пользователем, которому должен быть обеспечен доступ к первому вычислительному ресурсу, включает в себя обеспечение учетной записи по умолчанию для пользователя, которому должен быть обеспечен доступ к первому вычислительному ресурсу.
10. Способ управления доступом к по меньшей мере одному вычислительному ресурсу, содержащий
прием по меньшей мере одного адреса электронной почты для по меньшей мере одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ к по меньшей мере одному вычислительному ресурсу;
предоставление упомянутого адреса электронной почты по меньшей мере одному доверенному сервису, выполненному с возможностью выдачи уникального идентификатора, связанного с пользователем, на основе упомянутого адреса электронной почты;
прием уникального идентификатора, выданного доверенным сервисом;
и установку по меньшей мере одного разрешения для управления доступом пользователя, которое связано с упомянутым по меньшей мере одним вычислительным ресурсом, на основе уникального идентификатора.
11. Способ по п.10, в котором установка по меньшей мере одного разрешения для управления доступом пользователя включает в себя преобразование уникального идентификатора в идентификатор защиты (SID) и связывание идентификатора SID с по меньшей мере одним списком управления доступом (ACL) для упомянутого по меньшей мере одного вычислительного ресурса.
12. Способ по п.10, в котором уникальный идентификатор включает в себя парный уникальный идентификатор (PUID).
13. Способ по п.12, в котором идентификатор PUID связан с сервисом Passport.
14. Способ по п.11, в котором уникальный идентификатор включает в себя идентификатор PUID, а преобразование уникального идентификатора в идентификатор SID дополнительно содержит разделение идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
15. Способ по п.11, в котором уникальный идентификатор включает в себя идентификатор PUID, а преобразование уникального идентификатора в идентификатор SID включает в себя подачу идентификатора PUID в интерфейс прикладного программирования (API) и последующий прием идентификатора SID от интерфейса API.
16. Способ по п.10, в котором прием уникального идентификатора включает в себя прием уникального идентификатора в сообщении на основе протокола Kerberos.
17. Способ по п.16, в котором уникальный идентификатор обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
18. Машиночитаемый носитель, содержащий исполняемые команды для выполнения действий по управлению доступом к первому вычислительному ресурсу, включающих в себя получение парного уникального идентификатора (PUID), связанного с пользователем, которому должен быть предоставлен управляемый доступ к первому вычислительному ресурсу, при этом идентификатор PUID связан со вторым вычислительным ресурсом, который аутентифицировал пользователя на основе адреса электронной почты, связанного с пользователем;
преобразование идентификатора (PUID) в идентификатор защиты (SID) путем подачи идентификатора PUID в интерфейс прикладного программирования (API) и приема в ответ идентификатора SID от интерфейса API;
определение того, имеет ли пользователь соответствующее разрешение на доступ к первому вычислительному ресурсу, путем сравнения идентификатора SID с по меньшей мере одним другим идентификатором SID, обеспечиваемым механизмом управления доступом, связанным с первым вычислительным ресурсом; и
обеспечение управляемого доступа к первому вычислительному ресурсу в соответствии с упомянутыми разрешениями, не требуя от пользователя уникальной учетной записи пользователя, связанной с первым вычислительным ресурсом.
19. Машиночитаемый носитель по п.18, в котором идентификатор PUID связан с сервисом Passport.
20. Машиночитаемый носитель по п.18, в котором преобразование идентификатора PUID в идентификатор SID дополнительно включает в себя разделение идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
21. Машиночитаемый носитель по п.18, в котором получение идентификатора PUID включает в себя получение идентификатора PUID в сообщении на основе протокола Kerberos
22. Машиночитаемый носитель по 21, в котором идентификатор PUID обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
23. Машиночитаемый носитель по п.21, в котором сообщение на основе протокола Kerberos связано с процессом S4U2self.
24. Машиночитаемый носитель по п.21, в котором сообщение на основе протокола Kerberos связано с процессом S4U2proxy.
25. Машиночитаемый носитель по п.18, в котором определение того, имеет ли пользователь соответствующие разрешения на доступ к первому вычислительному ресурсу, включает в себя сравнение идентификатора SID с по меньшей мере одним другим идентификатором SID в списке управления доступом (ACL), связанном с первым вычислительным ресурсом.
26. Машиночитаемый носитель по п.18, в котором получение идентификатора PUID, связанного с пользователем, которому должен быть обеспечен управляемый доступ к первому вычислительному ресурсу, включает в себя обеспечение учетной записи по умолчанию для пользователя, которому должен быть обеспечен доступ к первому вычислительному ресурсу.
27. Машиночитаемый носитель, содержащий исполняемые компьютером команды для выполнения действий по управлению доступом к вычислительному ресурсу, включающих в себя
получение по меньшей мере одного адреса электронной почты для по меньшей мере одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ по меньшей мере к одному вычислительному ресурсу;
выдачу упомянутого адреса электронной почты по меньшей мере одному доверенному сервису, выполненному с возможностью выдачи соответствующего уникального идентификатора, связанного с пользователем на основе упомянутого адреса электронной почты;
прием уникального идентификатора, выданного доверенным сервисом; и
установление по меньшей мере одного разрешения для управления доступом пользователя, которое связано с упомянутым по меньшей мере одним вычислительным ресурсом, на основе уникального идентификатора.
28. Машиночитаемый носитель по п.27, в котором установление по меньшей мере одного разрешения для управления доступом пользователя на основе уникального идентификатора включает в себя преобразование уникального идентификатора в идентификатор защиты (SID) и приписывание идентификатора SID к по меньшей мере одному списку управления доступом (ACL) для упомянутого вычислительного ресурса.
29. Машиночитаемый носитель по п.27, в котором уникальный идентификатор включает в себя парный уникальный идентификатор (PUID).
30. Машиночитаемый носитель по п.29, в котором идентификатор PUID связан с сервисом Passport.
31. Машиночитаемый носитель по п.30, в котором уникальный идентификатор включает в себя идентификатор PUID, а преобразование уникального идентификатора в идентификатор SID включает в себя разделение идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
32. Машиночитааемый носитель по п.30, в котором уникальный идентификатор включает в себя идентификатор PUID, а преобразование уникального идентификатора в идентификатор SID включает в себя подачу уникального идентификатора Passport в интерфейс прикладного программирования (API) и последующий прием идентификатора SID от интерфейса API.
33. Машиночитаемый носитель по п.27, в котором прием уникального идентификатора включает в себя прием уникального идентификатора в сообщении на основе протокола Kerberos.
34. Машиночитаемый носитель по п.33, в котором уникальный идентификатор обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
35. Реализуемый в компьютерном устройстве способ преобразования уникального парного идентификатора (PUID) в соответствующий идентификатор защиты (SID) при обеспечении управляемого доступа, причем способ содержит
прием идентификатора PUID;
разделение идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена; и
компоновку упомянутой по меньшей мере одной части, соответствующей идентификатору субполномочий, и упомянутой по меньшей мере одной части, соответствующей идентификатору члена, в идентификатор SID, предназначенный для обеспечения пользователю управляемого доступа к другому вычислительному ресурсу.
36. Способ по п.35, в котором компоновка упомянутой по меньшей мере одной части, соответствующей идентификатору субполномочий, и упомянутой по меньшей мере одной части, соответствующей идентификатору члена, в идентификаторе SID дополнительно включает в себя компоновку идентификатора SID таким образом, чтобы SID имел идентификатор субполномочий, HIWORD (MemberlDHigh), LOWORD (MemberlDHigh) и MemberlDLow.
37 Способ по п.35, дополнительно содержащий выдачу идентификатора SID.
38. Машиночитаемый носитель, содержащий исполняемые компьютером команды для выполнения действий по преобразованию парного уникального идентификатора (PUID) в соответствующий идентификатор защиты (SID) при обеспечении управляемого доступа, включающих в себя прием уникального парного идентификатора (PUID) и преобразование идентификатора PUID в соответствующий идентификатор защиты (SID) путем разделения идентификатора PUID на по меньшей мере одну часть, соответствующую идентификатора субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена, и компоновки упомянутой по меньшей мере одной части, соответствующей идентификатору субполномочий, и упомянутой по меньшей мере одной части, соответствующей идентификатору члена, в идентификаторе SID, предназначенный для обеспечения пользователю управляемого доступа к другому вычислительному ресурсу.
39. Машиночитаемый носитель по п.38, в котором компоновка упомянутой по меньшей мере одной части, соответствующей идентификатору субполномочий, и упомянутой по меньшей мере одной части, соответствующей идентификатору члена, в идентификатор SID дополнительно включает в себя компоновку идентификатора SID таким образом, чтобы SID имел идентификатор субполномочий, HIWORD (MemberlDHigh), LOWORD (MemberlDHigh) и MemberlDLow.
40. Машиночитаемый носитель по п.38, дополнительно включающий выдачу идентификатора SID.
41. Система для управления доступом по меньшей мере к одному вычислительному ресурсу, причем система содержит
память,
средство для осуществления связи, функционально соединенное с памятью и сконфигурированное для приема уникального идентификатора, связанного с пользователем посредством адреса электронной почты пользователя, пользователю должен быть обеспечен управляемый доступ к по меньшей мере одному вычислительному ресурсу, при этом уникальный идентификатор связан с другим вычислительным ресурсом, который аутентифицировал пользователя на основе адреса электронной почты пользователя, и
логические схемы, функционально сконфигурированые для преобразования уникального идентификатора в идентификатор защиты (SID), причем логические схемы разрешают пользователю осуществлять доступ к упомянутому по меньшей мере одному вычислительному ресурсу, если идентификатор SID совпадает с по меньшей мере одним другим идентификатором SID, который хранится в памяти и связан с упомянутым по меньшей мере одним вычислительным ресурсом.
42. Система по п.41, в которой уникальный идентификатор включает в себя уникальный парный идентификатор (PUID).
43. Система по п.42, в которой идентификатор PUID связан с сервисом Passport.
44. Система по п.43, в которой логические схемы дополнительно сконфигурированы для разделения уникального идентификатора Passport по меньшей мере на одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена.
45. Система по п.41, в которой логические схемы конфигурируемы для приема уникального идентификатора в сообщении на основе протокола Kerberos.
46. Система по п.45, в которой уникальный идентификатор обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
47. Система по п.45, в которой сообщение на основе протокола Kerberos связано с процессом S4U2self.
48. Система п.п.46, в которой сообщение на основе протокола Kerberos связано с процессом S4U2proxy.
49. Система по п.41, в которой упомянутый по меньшей мере один другой идентификатор SID, который хранится в памяти, является частью списка управления доступом (ACL), связанного с упомянутым по меньшей мере одним вычислительным ресурсом.
50. Система по п.41, в которой логические схемы дополнительно конфигурируемы для обеспечения пользователя, для которого должно быть обеспечено управление доступом к по меньшей мере одному вычислительному ресурсу, с возможностью иметь анонимную учетную запись.
51. Система для управления доступом к по меньшей мере одному вычислительному ресурсу, содержащая сеть связи; первое устройство, функционально соединенное с сетью связи и конфигурированное для получения по меньшей мере одного адреса электронной почты по меньшей мере одного пользователя, которому должен быть предоставлен по меньшей мере ограниченный доступ к по меньшей мере одному вычислительному ресурсу, подачи упомянутого адреса электронной почты по сети связи в другое устройство, сконфигурированное для обеспечения по меньшей мере одного доверенного сервиса, выполненного с возможностью приема упомянутого по меньшей мере одного адреса электронной почты из сети связи, преобразования этого адреса электронной почты в уникальный идентификатор и выдачи уникального идентификатора в сеть связи, при этом первое устройство дополнительно сконфигурировано для последующего приема по сети связи уникального идентификатора, определения того, совпадает ли этот уникальный идентификатор с по меньшей мере одним другим идентификатором, обеспечиваемым механизмом управления доступом, связанным с упомянутым вычислительным ресурсом, и установки по меньшей мере одного разрешения на управление доступом, связанного с упомянутым по меньшей мере одним вычислительным ресурсом, для пользователя на основе принятого уникального идентификатора.
52. Система по п.51, в которой первое устройство дополнительно сконфигурировано для преобразования уникального идентификатора в идентификатор защиты (SID) и связывания идентификатор SID с по меньшей мере одним списком управления доступом (ACL) для упомянутого по меньшей мере одного вычислительного ресурса.
53. Система по п.52, в которой уникальный идентификатор включает в себя парный уникальный идентификатор (PUID).
54. Система по п.53, в которой идентификатор PUID является уникальным идентификатором Passport.
55. Система по п.54, в которой первое устройство дополнительно сконфигурировано для разделения уникального идентификатора Passport по меньшей мере на одну часть, соответствующую идентификатору субполномочий, и по меньшей мере одну часть, соответствующую идентификатору члена, во время преобразования в соответствующий идентификатор SID.
56. Система по п.51, в которой первое устройство сконфигурировано для приема уникального идентификатора в сообщении на основе протокола Kerberos.
57. Система по п.56, в которой уникальный идентификатор обеспечивается в сертификате РАС в сообщении на основе протокола Kerberos.
RU2003113549/09A 2002-05-10 2003-05-08 Контекст устойчивой авторизации на основе внешней аутентификации RU2337399C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/144,059 2002-05-10
US10/144,059 US7401235B2 (en) 2002-05-10 2002-05-10 Persistent authorization context based on external authentication

Related Child Applications (1)

Application Number Title Priority Date Filing Date
RU2008118949/09A Division RU2390838C2 (ru) 2002-05-10 2008-05-13 Контекст устойчивой авторизации на основе внешней аутентификации

Publications (2)

Publication Number Publication Date
RU2003113549A RU2003113549A (ru) 2004-11-10
RU2337399C2 true RU2337399C2 (ru) 2008-10-27

Family

ID=22506868

Family Applications (2)

Application Number Title Priority Date Filing Date
RU2003113549/09A RU2337399C2 (ru) 2002-05-10 2003-05-08 Контекст устойчивой авторизации на основе внешней аутентификации
RU2008118949/09A RU2390838C2 (ru) 2002-05-10 2008-05-13 Контекст устойчивой авторизации на основе внешней аутентификации

Family Applications After (1)

Application Number Title Priority Date Filing Date
RU2008118949/09A RU2390838C2 (ru) 2002-05-10 2008-05-13 Контекст устойчивой авторизации на основе внешней аутентификации

Country Status (18)

Country Link
US (1) US7401235B2 (ru)
EP (2) EP1361494B1 (ru)
JP (1) JP4756817B2 (ru)
KR (1) KR100986568B1 (ru)
CN (1) CN100367249C (ru)
AT (2) ATE398799T1 (ru)
AU (1) AU2003203708B2 (ru)
BR (1) BR0301034A (ru)
CA (1) CA2424782A1 (ru)
DE (1) DE60321618D1 (ru)
HK (1) HK1060201A1 (ru)
MX (1) MXPA03003709A (ru)
MY (1) MY145724A (ru)
NO (1) NO20032094L (ru)
PL (1) PL359993A1 (ru)
RU (2) RU2337399C2 (ru)
TW (1) TWI353154B (ru)
ZA (1) ZA200302999B (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2556338C2 (ru) * 2009-01-19 2015-07-10 Конинклейке Филипс Электроникс Н.В. Браузер с состоящей из двух частей машиной обработки сценариев для защиты конфиденциальности

Families Citing this family (247)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AUPQ654400A0 (en) * 2000-03-28 2000-04-20 Optimiser Pty Ltd Authorising use of a computer program
US7698381B2 (en) * 2001-06-20 2010-04-13 Microsoft Corporation Methods and systems for controlling the scope of delegation of authentication credentials
US7382787B1 (en) 2001-07-30 2008-06-03 Cisco Technology, Inc. Packet routing and switching device
JP2003108520A (ja) * 2001-09-28 2003-04-11 Canon Inc 情報提供サーバ、端末装置及びその制御方法並びに情報提供システム
US20050066219A1 (en) * 2001-12-28 2005-03-24 James Hoffman Personal digital server pds
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7450438B1 (en) 2002-06-20 2008-11-11 Cisco Technology, Inc. Crossbar apparatus for a forwarding table memory in a router
US7525904B1 (en) 2002-06-20 2009-04-28 Cisco Technology, Inc. Redundant packet routing and switching device and method
US7343301B1 (en) 2002-08-30 2008-03-11 Signiant, Inc. Method and apparatus for notification of data transfer
US7152108B1 (en) * 2002-08-30 2006-12-19 Signiant Inc. Data transfer system and method with secure mapping of local system access rights to global identities
US7613812B2 (en) 2002-12-04 2009-11-03 Microsoft Corporation Peer-to-peer identity management interfaces and methods
US7536476B1 (en) * 2002-12-20 2009-05-19 Cisco Technology, Inc. Method for performing tree based ACL lookups
US7496953B2 (en) * 2003-04-29 2009-02-24 International Business Machines Corporation Single sign-on method for web-based applications
US7397922B2 (en) 2003-06-27 2008-07-08 Microsoft Corporation Group security
US7188254B2 (en) * 2003-08-20 2007-03-06 Microsoft Corporation Peer-to-peer authorization method
US7574603B2 (en) 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US20050166070A1 (en) * 2003-12-24 2005-07-28 Ling Dynamic Systems Ltd. Web based user interface
US7412516B1 (en) 2003-12-29 2008-08-12 Aol Llc Using a network bandwidth setting based on determining the network environment
US20050144144A1 (en) * 2003-12-30 2005-06-30 Nokia, Inc. System and method for authenticating a terminal based upon at least one characteristic of the terminal located at a position within an organization
US20050149724A1 (en) * 2003-12-30 2005-07-07 Nokia Inc. System and method for authenticating a terminal based upon a position of the terminal within an organization
US7395319B2 (en) 2003-12-31 2008-07-01 Checkfree Corporation System using contact list to identify network address for accessing electronic commerce application
US7636941B2 (en) * 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US20050246762A1 (en) * 2004-04-29 2005-11-03 International Business Machines Corporation Changing access permission based on usage of a computer resource
JP2006011768A (ja) * 2004-06-25 2006-01-12 Toshiba Corp 認証システム及び装置
US7526557B2 (en) * 2004-06-30 2009-04-28 Signiant, Inc. System and method for transferring data in high latency firewalled networks
US20060037062A1 (en) * 2004-08-09 2006-02-16 International Business Machines Corporation Method, system and program product for securing resources in a distributed system
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
JP4643213B2 (ja) * 2004-09-29 2011-03-02 シスメックス株式会社 アプリケーションプログラムの使用制限方法、測定装置のユーザ認証システム、認証サーバ、クライアント装置、及びアプリケーションプログラム
US7996881B1 (en) 2004-11-12 2011-08-09 Aol Inc. Modifying a user account during an authentication process
US7889712B2 (en) 2004-12-23 2011-02-15 Cisco Technology, Inc. Methods and apparatus for providing loop free routing tables
US8490168B1 (en) * 2005-10-12 2013-07-16 At&T Intellectual Property I, L.P. Method for authenticating a user within a multiple website environment to provide secure access
US20070130289A1 (en) * 2005-12-07 2007-06-07 Christopher Defazio Remote access
US7747647B2 (en) * 2005-12-30 2010-06-29 Microsoft Corporation Distributing permission information via a metadirectory
US20070156691A1 (en) * 2006-01-05 2007-07-05 Microsoft Corporation Management of user access to objects
US8117459B2 (en) 2006-02-24 2012-02-14 Microsoft Corporation Personal identification information schemas
US8104074B2 (en) 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
US8078880B2 (en) 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US7639629B2 (en) * 2006-07-28 2009-12-29 Microsoft Corporation Security model for application and trading partner integration
JP5011959B2 (ja) * 2006-11-01 2012-08-29 富士ゼロックス株式会社 認証代行装置、認証代行プログラム、及び認証代行システム
US7942742B2 (en) * 2006-11-15 2011-05-17 Cfph, Llc Accessing identification information to verify a gaming device is in communications with a server
US7942740B2 (en) 2006-11-15 2011-05-17 Cfph, Llc Verifying a first device is in communications with a server by storing a value from the first device and accessing the value from a second device
US7942738B2 (en) * 2006-11-15 2011-05-17 Cfph, Llc Verifying a gaming device is in communications with a gaming server
US7942739B2 (en) * 2006-11-15 2011-05-17 Cfph, Llc Storing information from a verification device and accessing the information from a gaming device to verify that the gaming device is communicating with a server
US8012015B2 (en) 2006-11-15 2011-09-06 Cfph, Llc Verifying whether a gaming device is communicating with a gaming server
US10068421B2 (en) * 2006-11-16 2018-09-04 Cfph, Llc Using a first device to verify whether a second device is communicating with a server
US7942741B2 (en) * 2006-11-15 2011-05-17 Cfph, Llc Verifying whether a device is communicating with a server
US8087072B2 (en) 2007-01-18 2011-12-27 Microsoft Corporation Provisioning of digital identity representations
US8407767B2 (en) 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US8689296B2 (en) 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US8650615B2 (en) * 2007-09-28 2014-02-11 Emc Corporation Cross domain delegation by a storage virtualization system
US8635664B2 (en) * 2007-12-28 2014-01-21 Intel Corporation Method and system for securing application program interfaces in unified extensible firmware interface
US8001582B2 (en) 2008-01-18 2011-08-16 Microsoft Corporation Cross-network reputation for online services
US7925516B2 (en) * 2008-03-14 2011-04-12 Microsoft Corporation Leveraging global reputation to increase personalization
US20100077208A1 (en) * 2008-09-19 2010-03-25 Microsoft Corporation Certificate based authentication for online services
US9390172B2 (en) * 2009-12-03 2016-07-12 Microsoft Technology Licensing, Llc Communication channel between web application and process outside browser
US8613059B2 (en) * 2009-12-18 2013-12-17 At&T Intellectual Property I, L.P. Methods, systems and computer program products for secure access to information
US9088580B2 (en) * 2009-12-31 2015-07-21 Microsoft Technology Licensing, Llc Access control based on user and service
US8924715B2 (en) * 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
AU2010246354B1 (en) * 2010-11-22 2011-11-03 Microsoft Technology Licensing, Llc Back-end constrained delegation model
KR101868018B1 (ko) * 2011-02-09 2018-06-18 삼성전자주식회사 기기간 연결 제어 방법 및 그 장치
US9118686B2 (en) 2011-09-06 2015-08-25 Microsoft Technology Licensing, Llc Per process networking capabilities
US8990561B2 (en) 2011-09-09 2015-03-24 Microsoft Technology Licensing, Llc Pervasive package identifiers
US9773102B2 (en) 2011-09-09 2017-09-26 Microsoft Technology Licensing, Llc Selective file access for applications
US9800688B2 (en) 2011-09-12 2017-10-24 Microsoft Technology Licensing, Llc Platform-enabled proximity service
US8930475B1 (en) 2012-03-30 2015-01-06 Signiant Inc. Systems and methods for secure cloud-based media file sharing
US9317670B2 (en) * 2012-05-22 2016-04-19 Verizon Patent And Licensing Inc Security based on usage activity associated with user device
CN103532919B (zh) * 2012-07-06 2018-06-12 腾讯科技(深圳)有限公司 用户账户保持登录态的方法及系统
US9692799B2 (en) 2012-07-30 2017-06-27 Signiant Inc. System and method for sending and/or receiving digital content based on a delivery specification
US10356204B2 (en) 2012-12-13 2019-07-16 Microsoft Technology Licensing, Llc Application based hardware identifiers
US9858247B2 (en) 2013-05-20 2018-01-02 Microsoft Technology Licensing, Llc Runtime resolution of content references
US9319419B2 (en) * 2013-09-26 2016-04-19 Wave Systems Corp. Device identification scoring
US9825944B2 (en) * 2014-01-24 2017-11-21 Microsoft Technology Licensing, Llc Secure cryptoprocessor for authorizing connected device requests
US10073978B2 (en) 2014-04-16 2018-09-11 International Business Machines Corporation Efficient modification and creation of authorization settings for user accounts
US10181051B2 (en) 2016-06-10 2019-01-15 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US9729583B1 (en) 2016-06-10 2017-08-08 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US9736165B2 (en) 2015-05-29 2017-08-15 At&T Intellectual Property I, L.P. Centralized authentication for granting access to online services
US9948662B2 (en) * 2015-07-31 2018-04-17 Fortinet, Inc. Providing security in a communication network
US9450944B1 (en) 2015-10-14 2016-09-20 FullArmor Corporation System and method for pass-through authentication
US9509684B1 (en) * 2015-10-14 2016-11-29 FullArmor Corporation System and method for resource access with identity impersonation
US9762563B2 (en) 2015-10-14 2017-09-12 FullArmor Corporation Resource access system and method
US11244367B2 (en) 2016-04-01 2022-02-08 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US10706447B2 (en) 2016-04-01 2020-07-07 OneTrust, LLC Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments
US10423996B2 (en) 2016-04-01 2019-09-24 OneTrust, LLC Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments
US11004125B2 (en) 2016-04-01 2021-05-11 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US20220164840A1 (en) 2016-04-01 2022-05-26 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US10438017B2 (en) 2016-06-10 2019-10-08 OneTrust, LLC Data processing systems for processing data subject access requests
US11138242B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US10909265B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Application privacy scanning systems and related methods
US10169609B1 (en) 2016-06-10 2019-01-01 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10997318B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US11222142B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for validating authorization for personal data collection, storage, and processing
US10706379B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems for automatic preparation for remediation and related methods
US11222309B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11188862B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Privacy management systems and methods
US11481710B2 (en) 2016-06-10 2022-10-25 OneTrust, LLC Privacy management systems and methods
US11146566B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10798133B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11144622B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Privacy management systems and methods
US10606916B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing user interface monitoring systems and related methods
US10706174B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems for prioritizing data subject access requests for fulfillment and related methods
US11418492B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US11625502B2 (en) 2016-06-10 2023-04-11 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US10454973B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11210420B2 (en) 2016-06-10 2021-12-28 OneTrust, LLC Data subject access request processing systems and related methods
US10878127B2 (en) 2016-06-10 2020-12-29 OneTrust, LLC Data subject access request processing systems and related methods
US10592692B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Data processing systems for central consent repository and related methods
US10776514B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for the identification and deletion of personal data in computer systems
US11222139B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems and methods for automatic discovery and assessment of mobile software development kits
US11586700B2 (en) 2016-06-10 2023-02-21 OneTrust, LLC Data processing systems and methods for automatically blocking the use of tracking tools
US11200341B2 (en) 2016-06-10 2021-12-14 OneTrust, LLC Consent receipt management systems and related methods
US10896394B2 (en) 2016-06-10 2021-01-19 OneTrust, LLC Privacy management systems and methods
US11416109B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US11157600B2 (en) 2016-06-10 2021-10-26 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10284604B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing and scanning systems for generating and populating a data inventory
US11403377B2 (en) 2016-06-10 2022-08-02 OneTrust, LLC Privacy management systems and methods
US10572686B2 (en) 2016-06-10 2020-02-25 OneTrust, LLC Consent receipt management systems and related methods
US10607028B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US11023842B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US10848523B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10275614B2 (en) 2016-06-10 2019-04-30 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11475136B2 (en) 2016-06-10 2022-10-18 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US10762236B2 (en) 2016-06-10 2020-09-01 OneTrust, LLC Data processing user interface monitoring systems and related methods
US10706131B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data processing systems and methods for efficiently assessing the risk of privacy campaigns
US11188615B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Data processing consent capture systems and related methods
US11520928B2 (en) 2016-06-10 2022-12-06 OneTrust, LLC Data processing systems for generating personal data receipts and related methods
US10416966B2 (en) 2016-06-10 2019-09-17 OneTrust, LLC Data processing systems for identity validation of data subject access requests and related methods
US11651104B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Consent receipt management systems and related methods
US11341447B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Privacy management systems and methods
US11087260B2 (en) 2016-06-10 2021-08-10 OneTrust, LLC Data processing systems and methods for customizing privacy training
US11238390B2 (en) 2016-06-10 2022-02-01 OneTrust, LLC Privacy management systems and methods
US11392720B2 (en) 2016-06-10 2022-07-19 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US11025675B2 (en) 2016-06-10 2021-06-01 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10204154B2 (en) 2016-06-10 2019-02-12 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11227247B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US10944725B2 (en) 2016-06-10 2021-03-09 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US11354435B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US11074367B2 (en) 2016-06-10 2021-07-27 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US10678945B2 (en) 2016-06-10 2020-06-09 OneTrust, LLC Consent receipt management systems and related methods
US10706176B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Data-processing consent refresh, re-prompt, and recapture systems and related methods
US10318761B2 (en) 2016-06-10 2019-06-11 OneTrust, LLC Data processing systems and methods for auditing data request compliance
US10614247B2 (en) 2016-06-10 2020-04-07 OneTrust, LLC Data processing systems for automated classification of personal information from documents and related methods
US10235534B2 (en) 2016-06-10 2019-03-19 OneTrust, LLC Data processing systems for prioritizing data subject access requests for fulfillment and related methods
US11636171B2 (en) 2016-06-10 2023-04-25 OneTrust, LLC Data processing user interface monitoring systems and related methods
US10685140B2 (en) 2016-06-10 2020-06-16 OneTrust, LLC Consent receipt management systems and related methods
US11562097B2 (en) 2016-06-10 2023-01-24 OneTrust, LLC Data processing systems for central consent repository and related methods
US10585968B2 (en) 2016-06-10 2020-03-10 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10949170B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for integration of consumer feedback with data subject access requests and related methods
US11295316B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US11328092B2 (en) 2016-06-10 2022-05-10 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US11294939B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US10776518B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Consent receipt management systems and related methods
US10430740B2 (en) 2016-06-10 2019-10-01 One Trust, LLC Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
US11366786B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing systems for processing data subject access requests
US11416589B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10437412B2 (en) 2016-06-10 2019-10-08 OneTrust, LLC Consent receipt management systems and related methods
US10642870B2 (en) 2016-06-10 2020-05-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US11301796B2 (en) 2016-06-10 2022-04-12 OneTrust, LLC Data processing systems and methods for customizing privacy training
US10713387B2 (en) 2016-06-10 2020-07-14 OneTrust, LLC Consent conversion optimization systems and related methods
US11336697B2 (en) 2016-06-10 2022-05-17 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10452866B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10565161B2 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for processing data subject access requests
US11354434B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US11366909B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11134086B2 (en) 2016-06-10 2021-09-28 OneTrust, LLC Consent conversion optimization systems and related methods
US10796260B2 (en) 2016-06-10 2020-10-06 OneTrust, LLC Privacy management systems and methods
US10586075B2 (en) 2016-06-10 2020-03-10 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US11277448B2 (en) 2016-06-10 2022-03-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10769301B2 (en) 2016-06-10 2020-09-08 OneTrust, LLC Data processing systems for webform crawling to map processing activities and related methods
US11438386B2 (en) 2016-06-10 2022-09-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10282700B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10740487B2 (en) 2016-06-10 2020-08-11 OneTrust, LLC Data processing systems and methods for populating and maintaining a centralized database of personal data
US10708305B2 (en) 2016-06-10 2020-07-07 OneTrust, LLC Automated data processing systems and methods for automatically processing requests for privacy-related information
US10997315B2 (en) * 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11727141B2 (en) 2016-06-10 2023-08-15 OneTrust, LLC Data processing systems and methods for synching privacy-related user consent across multiple computing devices
US11544667B2 (en) 2016-06-10 2023-01-03 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11343284B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US10839102B2 (en) 2016-06-10 2020-11-17 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US11416798B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US11038925B2 (en) 2016-06-10 2021-06-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10496846B1 (en) 2016-06-10 2019-12-03 OneTrust, LLC Data processing and communications systems and methods for the efficient implementation of privacy by design
US10853501B2 (en) 2016-06-10 2020-12-01 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11461500B2 (en) 2016-06-10 2022-10-04 OneTrust, LLC Data processing systems for cookie compliance testing with website scanning and related methods
US10467432B2 (en) 2016-06-10 2019-11-05 OneTrust, LLC Data processing systems for use in automatically generating, populating, and submitting data subject access requests
US10909488B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Data processing systems for assessing readiness for responding to privacy-related incidents
US10510031B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US10452864B2 (en) 2016-06-10 2019-10-22 OneTrust, LLC Data processing systems for webform crawling to map processing activities and related methods
US11100444B2 (en) 2016-06-10 2021-08-24 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US10873606B2 (en) 2016-06-10 2020-12-22 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10509894B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10846433B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing consent management systems and related methods
US11675929B2 (en) 2016-06-10 2023-06-13 OneTrust, LLC Data processing consent sharing systems and related methods
US10885485B2 (en) 2016-06-10 2021-01-05 OneTrust, LLC Privacy management systems and methods
US11416590B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10803200B2 (en) 2016-06-10 2020-10-13 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US10282559B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US11228620B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10509920B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for processing data subject access requests
US10496803B2 (en) 2016-06-10 2019-12-03 OneTrust, LLC Data processing systems and methods for efficiently assessing the risk of privacy campaigns
US10565236B1 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10353673B2 (en) 2016-06-10 2019-07-16 OneTrust, LLC Data processing systems for integration of consumer feedback with data subject access requests and related methods
US10440062B2 (en) 2016-06-10 2019-10-08 OneTrust, LLC Consent receipt management systems and related methods
US10949565B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10242228B2 (en) 2016-06-10 2019-03-26 OneTrust, LLC Data processing systems for measuring privacy maturity within an organization
US11138299B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10783256B2 (en) 2016-06-10 2020-09-22 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US10726158B2 (en) 2016-06-10 2020-07-28 OneTrust, LLC Consent receipt management and automated process blocking systems and related methods
US11057356B2 (en) 2016-06-10 2021-07-06 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US10592648B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Consent receipt management systems and related methods
US10503926B2 (en) 2016-06-10 2019-12-10 OneTrust, LLC Consent receipt management systems and related methods
US10565397B1 (en) 2016-06-10 2020-02-18 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11651106B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11151233B2 (en) 2016-06-10 2021-10-19 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10776517B2 (en) 2016-06-10 2020-09-15 OneTrust, LLC Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods
KR102367738B1 (ko) * 2016-11-09 2022-02-25 한국전자기술연구원 가상 리소스의 그룹 멤버 유효성 검증 방법
US10505924B1 (en) 2016-12-09 2019-12-10 Wells Fargo Bank, N.A. Defined zone of authentication
US20180204215A1 (en) * 2017-01-17 2018-07-19 Hung-Tzaw Hu Detecting electronic intruders via updatable data structures
US11120057B1 (en) 2017-04-17 2021-09-14 Microstrategy Incorporated Metadata indexing
US10897462B2 (en) * 2017-05-16 2021-01-19 Citrix Systems, Inc. Systems and methods for encoding additional authentication data into an active directory security identifier
US10013577B1 (en) 2017-06-16 2018-07-03 OneTrust, LLC Data processing systems for identifying whether cookies contain personally identifying information
US11245701B1 (en) 2018-05-30 2022-02-08 Amazon Technologies, Inc. Authorization pre-processing for network-accessible service requests
US11144675B2 (en) 2018-09-07 2021-10-12 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US11544409B2 (en) 2018-09-07 2023-01-03 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US10803202B2 (en) 2018-09-07 2020-10-13 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
BR112019016064A2 (pt) * 2018-12-28 2020-03-31 Alibaba Group Holding Limited Método implementado por computador, meio de armazenamento legível e sistema
WO2019072305A2 (en) 2018-12-28 2019-04-18 Alibaba Group Holding Limited PARALLEL EXECUTION OF TRANSACTIONS IN A BLOCK CHAIN NETWORK BASED ON WHITE LISTS OF INTELLIGENT CONTRACTS
US10735516B1 (en) 2019-02-15 2020-08-04 Signiant Inc. Cloud-based authority to enhance point-to-point data transfer with machine learning
US11418353B2 (en) * 2019-08-26 2022-08-16 Micron Technology, Inc. Security descriptor generation
US11516213B2 (en) 2019-09-18 2022-11-29 Microstrategy Incorporated Authentication for requests from third-party interfaces
US11954218B2 (en) 2020-02-10 2024-04-09 Visa International Service Association Real-time access rules using aggregation of periodic historical outcomes
US11457017B2 (en) 2020-03-04 2022-09-27 The Whisper Company System and method of determing persistent presence of an authorized user while performing an allowed operation on an allowed resource of the system under a certain context-sensitive restriction
US11797528B2 (en) 2020-07-08 2023-10-24 OneTrust, LLC Systems and methods for targeted data discovery
KR102359467B1 (ko) * 2020-07-08 2022-02-08 인제대학교 산학협력단 스토리지 활용 이력에 기반한 비용 책정 방법 및 시스템
EP4189569A1 (en) 2020-07-28 2023-06-07 OneTrust LLC Systems and methods for automatically blocking the use of tracking tools
WO2022032072A1 (en) 2020-08-06 2022-02-10 OneTrust, LLC Data processing systems and methods for automatically redacting unstructured data from a data subject access request
WO2022060860A1 (en) 2020-09-15 2022-03-24 OneTrust, LLC Data processing systems and methods for detecting tools for the automatic blocking of consent requests
WO2022061270A1 (en) 2020-09-21 2022-03-24 OneTrust, LLC Data processing systems and methods for automatically detecting target data transfers and target data processing
US11550942B2 (en) * 2020-10-27 2023-01-10 Bull Sas Universal file access control system and method
US11397819B2 (en) 2020-11-06 2022-07-26 OneTrust, LLC Systems and methods for identifying data processing activities based on data discovery results
US11687528B2 (en) 2021-01-25 2023-06-27 OneTrust, LLC Systems and methods for discovery, classification, and indexing of data in a native computing system
US11442906B2 (en) 2021-02-04 2022-09-13 OneTrust, LLC Managing custom attributes for domain objects defined within microservices
EP4288889A1 (en) 2021-02-08 2023-12-13 OneTrust, LLC Data processing systems and methods for anonymizing data samples in classification analysis
WO2022173912A1 (en) 2021-02-10 2022-08-18 OneTrust, LLC Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system
US11775348B2 (en) 2021-02-17 2023-10-03 OneTrust, LLC Managing custom workflows for domain objects defined within microservices
US11546661B2 (en) 2021-02-18 2023-01-03 OneTrust, LLC Selective redaction of media content
WO2022192269A1 (en) 2021-03-08 2022-09-15 OneTrust, LLC Data transfer discovery and analysis systems and related methods
US11562078B2 (en) 2021-04-16 2023-01-24 OneTrust, LLC Assessing and managing computational risk involved with integrating third party computing functionality within a computing system
US11620142B1 (en) 2022-06-03 2023-04-04 OneTrust, LLC Generating and customizing user interfaces for demonstrating functions of interactive user environments

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9104909D0 (en) * 1991-03-08 1991-04-24 Int Computers Ltd Access control in a distributed computer system
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
US5550981A (en) * 1994-06-21 1996-08-27 At&T Global Information Solutions Company Dynamic binding of network identities to locally-meaningful identities in computer networks
CA2138302C (en) * 1994-12-15 1999-05-25 Michael S. Fortinsky Provision of secure access to external resources from a distributed computing environment
US7761910B2 (en) * 1994-12-30 2010-07-20 Power Measurement Ltd. System and method for assigning an identity to an intelligent electronic device
US7188003B2 (en) * 1994-12-30 2007-03-06 Power Measurement Ltd. System and method for securing energy management systems
US5864665A (en) * 1996-08-20 1999-01-26 International Business Machines Corporation Auditing login activity in a distributed computing environment
US6055637A (en) * 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
US6092196A (en) * 1997-11-25 2000-07-18 Nortel Networks Limited HTTP distributed remote user authentication system
US6785015B1 (en) * 1999-11-12 2004-08-31 Hewlett-Packard Development Company, L.P. System and method for monitoring a computer system process or peripheral
HK1023695A2 (en) * 2000-02-19 2000-08-11 Nice Talent Ltd Service sign on
US20020150253A1 (en) * 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages
JP4475646B2 (ja) * 2004-08-27 2010-06-09 キヤノン株式会社 画像表示装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2556338C2 (ru) * 2009-01-19 2015-07-10 Конинклейке Филипс Электроникс Н.В. Браузер с состоящей из двух частей машиной обработки сценариев для защиты конфиденциальности

Also Published As

Publication number Publication date
EP1361494B1 (en) 2008-06-18
EP1361494A3 (en) 2004-01-14
BR0301034A (pt) 2004-08-17
KR20030087990A (ko) 2003-11-15
HK1060201A1 (en) 2004-07-30
ATE538443T1 (de) 2012-01-15
CN1456983A (zh) 2003-11-19
CA2424782A1 (en) 2003-11-10
NO20032094D0 (no) 2003-05-09
RU2390838C2 (ru) 2010-05-27
DE60321618D1 (de) 2008-07-31
EP1939707B1 (en) 2011-12-21
MXPA03003709A (es) 2005-02-14
ATE398799T1 (de) 2008-07-15
EP1939707A1 (en) 2008-07-02
PL359993A1 (en) 2003-11-17
TW200400741A (en) 2004-01-01
AU2003203708B2 (en) 2009-12-10
US7401235B2 (en) 2008-07-15
ZA200302999B (en) 2003-10-16
EP1361494A2 (en) 2003-11-12
KR100986568B1 (ko) 2010-10-07
AU2003203708A1 (en) 2003-11-27
JP4756817B2 (ja) 2011-08-24
JP2004005647A (ja) 2004-01-08
NO20032094L (no) 2003-11-11
TWI353154B (en) 2011-11-21
RU2008118949A (ru) 2009-11-20
CN100367249C (zh) 2008-02-06
MY145724A (en) 2012-03-30
US20030212806A1 (en) 2003-11-13

Similar Documents

Publication Publication Date Title
RU2337399C2 (ru) Контекст устойчивой авторизации на основе внешней аутентификации
EP1619856B1 (en) Method and system for controlling the scope of delegation of authentication credentials
KR101076911B1 (ko) 애플리케이션에 보안을 제공하기 위한 시스템 및 방법
US8510818B2 (en) Selective cross-realm authentication
US6807577B1 (en) System and method for network log-on by associating legacy profiles with user certificates
US5315657A (en) Compound principals in access control lists
KR101120810B1 (ko) 캐스케이딩 인증 시스템
US20040098615A1 (en) Mapping from a single sign-in service to a directory service
JP2023524173A (ja) 共有化されたリソース識別
JP4558402B2 (ja) サービスの中断なしにセキュリティ境界を横断するプリンシパルの移動
Chadwick et al. Security apis for my private cloud-granting access to anyone, from anywhere at any time
US20050240765A1 (en) Method and apparatus for authorizing access to grid resources
Vullings et al. Secure federated authentication and authorisation to grid portal applications using saml and xacml
JPH06274431A (ja) 異機種接続環境における認証および認可方法
Piger et al. A comprehensive approach to self-restricted delegation of rights in grids
Rixon et al. Authentication and Authorization Architecture for AstroGrid and the Virtual Observatory
Rosenhamer What AMANDA offers: A comparative case study describing a flexible and decentralised approach for Authorisation Management
Rosenhamer What AMANDA offers
Carmichael et al. Identity Management Whitepaper

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20130509