TW200400741A - Persistent authorization context based on external authentication - Google Patents
Persistent authorization context based on external authentication Download PDFInfo
- Publication number
- TW200400741A TW200400741A TW092112488A TW92112488A TW200400741A TW 200400741 A TW200400741 A TW 200400741A TW 092112488 A TW092112488 A TW 092112488A TW 92112488 A TW92112488 A TW 92112488A TW 200400741 A TW200400741 A TW 200400741A
- Authority
- TW
- Taiwan
- Prior art keywords
- identification
- item
- scope
- computer
- sid
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Description
200400741 玖、發明說明 【發明所屬之技術領域】 本發明與電腦存取控制相關,尤指以外部授權為基 ’提供區域系統權限内容給使用者之方法和系統。 【先前技術】 存取控制掌控了電腦的安全機制。為完善保護電腦系統 及重要資料之私密性,人們部署了各式存取控制設計,以防 止未經授權之使用者及惡意攻擊者得以存取電腦資源。 為確保電腦安全的完備,各層級中通常部署了存取控 制。例如,在電腦層級中典型的情形是使用者必須經由登入 程序,由電腦決定其是經授權使用與否。此外,在電腦網路 的層級,通常要求使用者經由一使用者授權程序,以控制該 使用者存取不同的網路服務。在網路存取控制之外,伺服器 亦會授權使用者,使用者必須獲得特定伺服器的允許以存取 服務。人們利用一些以不同的通訊協定(例如Kerber〇s 5)為 基礎的方法,經由授權使用者,設計並部署網路存取控制。 一般而言,使用者登入電腦和使用者獲得存取網路的授 權是兩個分開的部份。不過,為減少使用者使用不同存取控 制設計的負擔’使用者登入和網路授權常常一起執行。例 如,在Kerberos通訊協定所部署使用者授權機制中,使用 者登入電腦時’該電細通常亦啟始了 Kerberos授權程序。 在Kerberos授權程序中,電腦聯絡一 Kerber〇s金输發佈 中心(KDC),首先,替該使用者取得一票據授予票據(Ticket 200400741
Granting Ticket,TGT),而後該電腦便能使用該TGT自 KDC為自己獲付一會期票據(sessi〇n ticket)。 當網路開始發展,伺服/服務電腦利用多層次架構處理客 戶端電腦的請求便成為一種趨勢。舉一簡單的例子,客戶端 電腦利用網際網路向全球資訊網網站提出一請求。在這裡, 可以有一前端網頁伺服器處理格式及相關交換規則,而一後 端伺服器則作為該網站的資料庫。為了加強安全,該網站可 以设定一授權通訊協定(authentication protocol)轉送或指定 代理憑證,例如,使用者的TGT,及/或其他自前端伺服器 傳至後端伺服器的資訊。此一應用在許多網站及/或其他多層 次網路上愈益常見。 當所有的伺服/服務電腦及客戶端同意使用相同的授權 程序時,指定代理及其他相似的技術是有用的。然而,今曰 除了仍在申請中的美國申請案序號·· 09/886,146改進了指 疋代理的控制之外,尚沒有任一種授權程序被使用。 如果使用者被一網路/系統授權,那麼通常有一或多個額 外的授權存取控制檢查以防止該使用者存取他/她不被授權 存權的資源。一旦一使用者被授權並通過所申請的存取控制 檢查,該使用者被稱之為「已授權」。在特定系統中,例如, 存取控制是奠基於供作不同服務及資源(亦即物件)之用的存 取控制列表(Access control lists,ACLs)。一 acl通常包括存 取控制實體(ACEs) ’該> ACEs可能不包含亦可能包含了多個 安全性識別(security identifiers,SIDs)。SIDs與被允許存取 該物件的使用者或使用者群組相關。如果在ACLs上有 200400741 SID s ’那麼可η SID之使用者將被允許 產生至少一個符合的 存取該物件。 ⑽kb * —授權使用者登人,籍由產生與該使用者相關 (J如,存取標記),以產生該使用者的授 内容。典型的缺 ^ 己就包含與使用者相關的SIDs。例如,該使用 者的^ 5己可能包括—指定給他的專屬SID,外加指^該使用 者所屬業務邛門的群組sm。當該使用者想要存取一物件 時:會利用該物件❸ACL比對該使用者的標記。如果使用者 的標記包含至少—個與該物# ACL上的SID相符# SID,表 示該被驗證的使㈣已被授權以某種方式存取該物件。例 如,該用者可以讀寫由其他同業務部門的成員(亦即其他的群 組成員)所製作的檔案。 當系統被小心控管時,這種認證設計通常會運作地相當 地好。例如,公司内的企業層級電腦網路通常提供一集中環 境’在這裡使用者和ACLs可以籍由集中的和/或分散的授權 以及存取控制糸統小心地控制。另一方面,對非常大的網路 而言,例如,網際網路,和/或其他重要的非集中網路,當服 務的使用者愈多時,包括沒有區域存取帳號的使用者,授權 和存取控制就愈困難。當軟體程式及資源朝向以網路為基礎 的服務發展時,與此類網路服務相關的授權使用者的行為就 愈益重要,須求也愈高。 因此,有須要改良授權方法及系統。較佳的方法及系統 允許使用者經由受信任的外部資源取得進入特定物件存取 物件的某種控制層級,而無須要求該使用者在該物件上擁有 200400741 專屬的帳號。此外’該方法及系統不應該嚴重影響提供大量 使用者存取的物件在管理上的可變比例性(scaiabiiity)。 【發明内容】 本發明提供一種改進的方法及系統,允_使用者經由受 化任的外部資源獲得存取特定物件的控制層級,而無需使用 者專屬的區域使用者帳號。進行管理設定可提供大量使用者 存取不同的資源,而部署該方法及系統不會嚴重影響電腦和 /或網路管理上的可變比例性。 上述的須求可籍由一些方法達成,例如,籍由對至少一 個電腦資源提供存取控制機制,而該方法包含了接收一與使 用者所欲存取電腦資源相關的專屬識別。較佳的方法為該專 屬識別必須由另一被認定為可信賴之電腦資源所產生。而且 /或者該電腦資源提供服務並通常以某些方式授權使用者。該 方法包括轉譯所接收的專屬識別為安全性識別(security identifier,SID),而該SID適用於保護電腦資源的存取機 制。該方法更進一步地包含了決定是否該SID符合至少一個 先前經由存取控制儲存且與電腦資源相關的SID。在某些典 型的實施例中,該專屬識別包括一專屬識別對Μ。 umque identifier,PUID)。例如’由微軟公司所提供的護照服 務便採用該PUID。而存取控制機制便利用存取控制列表 (ACL)以建立允許存取電腦資源的使用者或使用者群組。 本發明尚有實施例,對至少一個電腦資源提供一種建立 存取控制審核的方法。其中,該方法包含接收至少一個欲准 200400741 予y最小的存取權限的使用者之至少一個電子信箱位 址例如,一由存取控制機制所授權之使用者可以籍由輸入 :他使用者的電子郵件位址及指定該使用者可存取的電腦 :源及權限。該方法更進—步包括提供電子郵件位址予一可 信賴之伺服器,該伺服器能夠傳回與該使用者的電子郵件位 址相關的專屬識別。該方法包括接收此一專屬識別,然後以 。亥專屬識別设定至少—組存取控制權限。這些可以包括,例 如,轉譯該專屬識別為—SID以及至少—組和該sid相關的 存取控制列表ACL以供電腦資源使用。 本發明尚提供一種轉譯PUID為對應的sm的方法。該 方法包括接收該PUID,分解它為至少—子授權識別之部份: 乂及至;-成請別之部份,最後將該子授權識別及該成 識別組合成SID。 :依據本發明的實施例,本發明亦提供存取至少一電腦資 源的存取控㈣統。該系統包括邏輯和記憶體,該邏輯和記 憶體被設定為用以接收與提供以存取電腦資源權限之使用 者相關之專屬身份朗,轉料屬身份識料安全性 別(SID),以及決定是否該SID符合至少—組其他健存於記 憶體中並與電腦資源相關之SID。 本發明設定電腦資源存取控制權限之實施例中,一包含 通訊網路之系統,該通訊網路連接第一裝置及至少一個:: 裝置。第-裝置被設定.為接收至少_個使用者的電子料位 址,而該使用者則欲准予存取電腦資源的至少最小權限。該 第-震置提供這個電子郵件位址給網路上的其他裝置,並: 200400741 網=上的其他裝置接收與該電子郵件位址相關且對應的專 §、别以該專屬識別為基礎,設定至少一個與該電腦資源 相關的存取控制權限。其他的裝置被設定為接收網路上的電 p件位址,並將該電子郵件位址轉譯為專屬識別,而後輸 出此專屬譁別至網路上的第一裝置。 【實施方式】 概觀 、本發明之方法及系統可應用於授權使用者/資源,與/ 或提供一授權内容供欲存取某一資源的使用者。 下節所述為示例性之電腦環境。在簡述示例性的 S4U2proxy & S4U2self技術内容,其係為美國專利申請案 序號:09/886,146的申請標的。 下文將以附圖敘述依據本發明的概念所設計提供授權 之創新技術。本發明提供改善之方法及系統,例如,利用 文佗任的外部資源允許客戶端(如,使用者)獲得存取特定 區域資源的控制層、級,客戶端的服務不須擁有區域存取控 制的權限。之後將更明白地解說。 卫 本文所述的授權設計可以多種不同的方式部署,亦能 增進電腦資源的安全以及使用者存取電腦資源的能力。 示例之電腦環境 >- 如附圖所示,編號標示的元件說明本發明在適當的電 腦環境中如何被運用。$非必須’但本發明將以電腦可執 8 200400741 行指令之一般辭彙敘述。例如程式模組,可在個人電腦上 執行。一般而言,程式模組包括副程式、程式、物件、組 件、資料結構等等。它們執行特定的任務或者實行特定的 抽像資料型態。更進一步地說,本文提及的這些技術是非 常重要的,可實施本發明在其他電腦系統的組態,包括手 提式裝置、多處理器系統、以微處理器為基礎或可程式的 消費性電子產品、網路個人電腦、迷你型電腦、主機以及 其餘相似物件。本發明亦可實施在分散式運算的環境。分 散式運算係藉由網路連結遠端的計算裝置以執行其任務。 在分散式運算的環境中,程式模組可位於本機端及遠端健 存記憶的裝置當中。 第1圖揭示本發明應用在一適當電腦環境12〇之實 施例。電腦環境1 20為下文所述方法及系統可以部署之環 境。 電腦環境1 20僅是在適當電腦環境之一例,並不侷限 本文所述之改善之方法及系統在功能上或使用上的範圍。 其應用之條件及相關物件亦不以本例電腦系統環境 1 2〇 所示元件或組合為必要。 本發明之改善的方法及系統可配合其他一般或特殊用 途之電腦系統環境或組態操作。本發明適用於但不限於習 知的電腦系統、環境及/或組態。包括個人電腦、飼服器、 掌上型或可攜式裝置、多處理器系統、以微處理器為基礎 的系統、機頂盒、可程式消費性電子、網路電腦、微電腦、 主機、任何包括任一上述系統或裝置的分散式運算系統及 9 200400741 其餘相似物件。 如第1圖所示’電腦環境120包含電腦13〇之虛線範 圍内所示之通用用途的計算裝置。電腦之元件可以包括一 或多個處理器或處理單元1 3 2,一系統記憶體1 3 4,以及一 用以連結不同系統元件(包括系統記憶體1 3 4)至處理器 1 3 2之匯流排1 3 6。 系統匯流排1 3 6可能為任一規格之匯流排,包括任何 匯流排構造的記憶體匯流排或記憶體控制卡、週邊匯流排 以及本機匯流排。以下述為例但不侷限於下述實施例,這 些匯流排規格包括工業標準架構(In(justry ;gtan(ja]rd
ArchitectureJSA)匯流排、微通道架構(Micr〇 channel Architecture,MCA)匯流排、加強 ISA(Enhanced ISA,EISA) 匯流排、視訊電子標準協會(Video Electronics StandudS Association,VESA)區域匯流排以及亦被稱之為閣樓 (Mezzanine)匯流排的週邊零件連接介面(peripherai Component Interconnects, PCI)匯流排。 典型的電腦130包含多種電腦可讀取媒體。此類媒體 可以是任何電腦1 3 0能夠存取之媒體。而它亦包括揮發性/ 非揮發性,可移除以及不可移除之媒體。 第1圖’系統記憶體1 3 4包括揮發性記憶體型態之電 腦可讀取媒體,如隨機存取記憶體(RAM) 140,及/或非揮 發性記憶體,如唯讀%憶體(ROM)138。一基本輸入/輸出 系統(BIOS)142,包含諸如在啟動,儲存R〇M時,在電腦 130元件間協助傳送資訊之基礎例行程序。Rami40通常包 10 200400741 含可為處理器132快速存取及/或即時操作之資料及/或程 式模組。 電腦1 3 0亦可包括其他可移除/不可移除、揮發性/非 揮發性電腦儲存媒體。如第1圖所示,硬碟機144讀取或 寫入一不可移除且非揮發性磁性媒介,一磁碟機146讀取 或寫入可移除、非揮發性磁碟148,以及一光碟機15〇讀 取或寫入可移除、非揮發性光碟152如cd ROM/R/RW, DVD_n〇M/R/RW/ + R/RAM或其他光學媒介。硬碟機144、 磁碟機146以及光碟機15〇通常藉由一或多個界面154, 連接至系統匯流排1 3 6。 上述裝置及其相關的電腦可讀取媒體提供電腦丨3 〇非 揮發性的儲存之處,以供其儲存電腦可讀取指令、資料結 構程式核組及其他資料。雖然本發明的示例性環境以硬 碟、可移除磁碟148以及可移除光碟152為例。但本文所 有技術亦可實施於其他種類的電腦可存取媒介。例如,磁 帶〖夬閃5己憶體、隨機存取記憶體(RAMs)、唯讀記憶體 (ROM)及其他相似的儲存元件。 一些程式模組可能儲存在硬碟、磁碟148、光碟152, ROM 138,如圖例,包括作業系統158,一或多個應用程 式160其他程式模組162及程式資料164。 本文中改進的方法及系統可以應用在作業系統丨5 8 , 或夕個應用程式丨6 ,其他程式模組丨6 2,及/或程式資 料 164 〇 使用者可能經由輸入裝置如,鍵盤166及指標裝置 200400741 1 68(如’滑鼠)對電腦13〇輸入指令及資訊。其他輸入裝 置(附圖未顯示)可能包括一麥克風、搖桿、遊戲控制器、 衛星天線、序列埠、掃描器等等。以上裝置及其他輸入裝 置籍由一連接匯流排136之輸入裝置170以連接至處理單 70 1 32,但亦可籍由其他介面及匯流排構造,如平行埠、 遊戲埠或通用串列匯流排(USB)。 一螢幕172或其他型態之顯示裝置亦籍由一介面連接 至匯流排1 3 6。例如,影像介面卡1 74。除了螢幕1 72之外, 一般個人電腦亦包括其他週邊輸出裝置(附圖未顯示),如 揚聲器及印表機,它們亦可經由週邊輸出介面1 75相連。 電腦1 3 0可能在網路環境中利用邏輯連接至一或多個 電腦。例如,電腦1 82。遠端電腦182可能包括多個或者 全部與本文電腦1 30相關之元件及持徵。 第1圖所示之邏輯連結為一區域網路(LAN) 177及普 通的廣域網路(WAN) 1 79。此類的網路環境常見於辦公室、 企業内部電腦網路、内部網路以及網際網路。 當用於一 LAN網路環境中時,電腦丨3 〇籍由網路介面 卡186連接於LAN I77。當用於一 WAN網路環境中時, 該電腦通常包括一數據機178或其他能在WAN 1 7 9上建立 通訊之裝置。數據機178可以是内部或是外部用的,可以 籍由使用者輸入介面1 7 0或其他適當設備連結至系統匯流 排 136。 如第1圖所示’其係為一建構於網際網路18〇上的廣 域網路WAN。此處,電腦13 0利用數據機1 7 8與至少一個 12 200400741 遠端電腦182建立通訊。 在一網路環境中,與電腦1 3 〇相關的程式模組或其中 的部份,可以儲存在一遠端記憶儲存設備中。如第1圖所 不’因此遠端應用程式1 89可以存在於遠端電腦1 82的記 憶储存設備中。必須注意的是,本文圖示及敘述之網路連 結僅為一例,亦可使用任何其他建立通訊之工具。 示例之S4U2Proxy and S4U2Self委派技術之摘要 本文將簡要說明並著重於在客戶端至伺服器端網路環 境中控鈿信任授權之技術及設計。本實施例將闡明一以坎 伯洛斯(Kerberos)為基礎之系統。那些s4U2Proxy及 S4U2Self之技術及下文將解說之授權技術可以是或可不 是在相同系統執行’而且亦可在其他以憑證為基礎之授權 系統執行。 如上所述’客戶持有票據授權票據(Ticket granting ticket,TGT),而相關的授權者允許該持有者自受信任之第 三者要求代表該客戶之票據’此第三者可以是金鑰發佈中 心(KDC)。現今Kerberos在特定之實施例中支援此類非受 限委派方式(unconstrained delegation),而此類委派方式能 轉送票據委派綱要。 在美國專利申請序號:09/886,146中所敘述之方法及 系統,係應用於受限(constrain)或其他較佳之委派程序。 該委派程序可經由S4U2Pr〇xy技術控制,該技術允許祠服 器/服務(例如,前端伺服器/服務)要求在其他伺服器/服務 13 200400741
所使用之代表客戶端之服務票據。該S4U2proxy通訊協定 有助於控制提供受限之委派,毋須客戶端轉送一 TGT給前 端祠服器。另一技術為S4U2self通訊協定,該S4U2self 通訊協定允許伺服器要求服務票據給予該伺服器自身,但 是客戶端必須證明其身份以獲得該服務票據。如此可以允 許下例之情況:當一客戶端已獲得其他授權通訊協定之授 權,即可獲得用於提供受限委派之S4U2proxy通訊協定之 服務票據。在此以兩種型式之S4U2 self為例,分別為「無 證明」及「有證明」型式。在無證明型式中,伺服器受客 戶端信任並以其他該伺服器專屬之安全/授權機制授權客 戶端。在有證明型式中,該KDC(或受信任的第三者)根據 客戶端在請求授權時所提供給伺服器的資料對客戶端進行 授權。 因此,在一 Kerberos環境中,無論是否經過Kerberos 或其他授權通訊協定授權,一客戶端皆可以存取伺服器/ 服務。所以,後端與/或其他伺服器/服務可以在純粹 Kerberos環境中運作。
如第2圖所示,為一客戶端-伺服器環境200中之 S4U2proxy通訊協定/程序。客戶端202連接至一提供授權 服務206之受信任第三者204。例如,一 KDC,一憑證核 發管理單位,一網域管理者,及/或其他相似的種種。授權 服務206經設定以存取資料庫208所保存之資訊。客戶端 2 02及受信任之第三者2 04進一步連接至一伺服器A210。 本文所用詞彙「伺服器」及「服務」被通用為代表倶有相 14 200400741 同或相似功能之物件。 本例中’伺服器A 2 1 0為一連接多個飼服器之前端伺 服器。該祠服器A 210連接至祠服器b 212及祠服器C 214。如圖所示’伺服器B 212可以是一備份伺服器。此外, 伺服器C214更進一步連接至伺服器〇216。 為回應一在客戶端202登入之使用者,一授權要求 (AS__REQ)之訊息220被傳送至授權服務206,而該授權服 務則以一授權回應(AS一REP)訊息222回應。在as—REP訊 息222中含有一與該使用者/用戶端相關之tGt。相同或相 似之程序(未圖示)亦在授權伺服器A 2 1 0時進行。 當客戶端202想要存取伺服器a 21〇時,該客戶端傳 送一票據授權服務要求(TGS-REQ)訊息224給授權服務 206。而該授權服務傳回一票據授權服務回應(TGS_REp) 訊息226。TGS —REP訊息226包括一與客戶端202及祠服 器 A 210相關之服務票據。因此,為了初始一通訊連結 (communication session),客戶端202以應用通訊協定請求 (AP-REQ)訊息228轉送服務票據至伺服器A 21〇。此類處 理/程序為眾人所習知,因此不再做更進一步的說明。 在某些系統,為支援委派,客戶端需要提供客戶端TGT 予伺服器A 2 1 0以允許伺服器額外要求代表客戶端202之 服務票據。此動作在S4U2proxy是非必須的。相反的,當 伺服器A 2 1 0須要替客戶端202存取其他伺服器(例如,伺 服器C 214)時,伺服器A 210及授權服務206將依據 S4U2proxy通訊協定操作。 200400741 伺服器A 210傳送一 TGS—REQ訊息23〇至授權服務
206。TGS一REQ訊息230包括供伺服器a 210所用之TGT
及自客戶端202接收之服務票據。此外,伺服器a確認客 戶端202欲尋求存取的目標伺服器/服務,例如,伺服器c 214。舉例來說,在Kerber〇s中有一定義為廣充性資料攔 位’通常用以索引該「額外票據」。該額外票據攔位可以用 於S4U2pr〇Xy通訊協定以承載自客戶端接收之服務票據。 而KDC選項攔可以包括一旗標或其他用以指引接收之 KDC在額外票據攔位尋找提供客戶端識別之用的票據。本 文所提及之技術將確認可以用於承載必要資訊給授權服務 206之上述或其他攔位與/或資料架構。
在處理TGS-REQ 230時,授權服務206判別是否客 戶端202已被授權委派,例如,可籍由客戶端建立之「轉 送旗標」值決定。因此,對每一客戶端之委派係籍由客戶 端之服務票據中之轉送旗標執行。如果客戶端202不想參 與委派,則該票據將不被標示為「可轉送」。授權服務206 將該旗標視同為客戶之初始限制。授權服務206可以在資 料庫2 0 8中存取額外的訊息,這些訊息定義選定之服務為 伺服器A 210所允許委派予(或者不委派予)客戶端202之 服務 如果授權服務206決定允許伺服器A 2 1 0委派給目標 伺服器/服務,則一 TQS — REP訊息將被傳送至伺服器 A 210。TGS_REP訊息232包括一供伺服器目標伺服器/服務 所用之服務票據。該服務票據在客戶端202直接向授權服 16 200400741 務2 06請求服務票據(例如,使用該客戶之TG丁)之情妒下 產生。如果授權服務206無法產生服務票據的話,只要該 客戶訊與以服務票據為基礎的要求相關,而該服務^ 據又為被授權之伺服器A210自客戶端2〇2所接收並包含 在TGS一REQ訊息230之中,則可用另一種方法。授權服 務206自資料庫208存取相同的/必須的客戶端資訊。然 而’既然該客戶端資訊係由客戶端的票據所承載,該伺服 β只須要自票據中複製資料即可。 在特定的實施例中,以TGS —RQP訊息232確認目標 伺服器/服務及客戶端202,包括進一步蜂認供部署專用之 識別/使用者/客戶端帳號資料。例如,以權限屬性憑證 (Privilege attribute certificate,PAC)型式之安全識別、
Unix ID、護照識別(Passport ID),憑證等等。舉例而言, 一 PAC可能為授權服務206所產生或僅是自包含在 TGS — REQ訊息23 0中之客戶的服務票據複製而成。下文示 例1*生之授權内谷產生綱要(authorization context grnerating schemes)將更進一步敘述護照識別之使用方式。 PAC或其他使用者/客戶端的帳號資料亦可以設定為 包含與委派相關之資訊。舉例而言,第4圖解說Kerberos 訊息400之特定部份,包括標頭(header 4〇2)及PAC 404。 此處,PAC 404包括委派資訊406。如圖所示,委派資訊 406 包括複合識別資訊(CC)nip0und identity information)408 及存取限制資訊(Access restriction information)410。 舉例來說,複合識別資訊408可能包括與委派過程相 17 200400741 關之記錄,你丨a J如’有關於伺服器 A 2 1 0要求代表使用者/ 客戶端之服藏φ械 、、 不嚴。此處,大多數此類的記錄可能作為串 連或者破含57夕$ %夕個委派程序歷史記錄之用。此類訊息可能對 審核與/或存取^ #击丨丨女 处 役制有用。舉例來說,存取限制資訊4 1 0可 月匕1作連結存取控制機制至特定祠服器,服務,為的是讓客 端直接或間接經由伺服器A 2丨〇以存取伺服器/服務,但 士果疋問接經由伺服器B 2 12則否。這些功能有助於對授 權委派之額外控制。 在上述實施例中,客戶端2〇2經授權服務2〇6授權。 然而’其他的客戶端可能不是如此進行授權的。如第3A 圖所示’一客戶端3〇2籍由一不同之授權通訊協定機制3〇3 被授權。例如’授權通訊協定機制3〇3可能包括護照 (Passport),安全編碼傳輸(SSL),NTLM,Digest或其他與 授權通訊協定/過程相似者。本實施例中,假設客戶端3 〇 2 選擇存取恰為伺服器C214提供之目標服務,該選擇可以 為上述的S4U2proxy通訊協定所滿足,但只在伺服器a完 成/接在一 S4Uself通訊協定/過程之後。 S4U2self通訊協定的基本保證為伺服器(例如,a 210) 可以為任何存取該伺服器且已被授權之使用者/客戶端請 求一服務票據給自身。本實施例中之S4U2self通訊協定被 設定為支援擁有授權「證明」及沒有授權「證明」的客戶 若沒有供授權服務2 0 6衡量之用的授權證明,伺服器 A 2 1 0將須要「信任」客戶端302。舉例來說,如果客戶端 18 200400741 3 02擁有一授權憑證或是相似之機制3 〇4可供伺服器a 2 1 0 確認之用,則該客戶端3 02可以被判定為「可信任」。所以, 祠服器Α210本質上授權了客戶端302。 之後,伺服器A 210傳送一 tgS_REQ訊息四至授權 服務206,替客戶端3 02請求一服務票據給伺服器a本身。 在回應中,授權服務206產生一 TGS —REP訊息308,該 TGS一REP包含被請求之服務票據。所接收之服務票據被用 於隨後之S4U2proxy通訊協定/程序,用以替客戶端302 請求服務票據給伺服器 C 214。舉例來說,在特定之 Kerberos實施例中,需要設定TGS — REP訊息308中之轉 送旗標為允許轉送服務票據。而受信任之第三者亦可為客 戶端302建立一 PAC,該PAC可用以包含在所獲得之服務 票據中。 如果客戶端3 02的授權證明不存在,那麼伺服器A2 1 0 可以在TGS — REQ訊息3 12中包含此證明,作為額外的預 授權資料。如第3 B圖所示,客戶端提供給伺服器a 2 1 0 之證明訊息3 1 0可以包括,例如一質問/回應對話,或者其 他由另一受信任實體產生之訊息。直到接收了證明訊息 3 1 0及進行了隨後之確認,授權服務2 0 6才核發請求之服 務票據給飼服器A 2 1 0。請注意,在特定實施例中,祠服 器利用證明為客戶端獲取受限之TGT。 在特定之Kerberos實施例中,TGS_REP中之轉送旗 標訊息3 14被設定為允_轉送服務票據。如果一 PAC為 TGS一REQ訊息312所提供,那麼它可以在服務票據中被使 200400741 用;此外,一 PAC可以由授權服務206(此處為一 kdc)以 證明訊息(evidence informati〇n)310為基礎所產生。例如, 在S4U2self中,客戶端的識別係被包含在預授權資料中, 而該識別可用以替客戶端建構PAC並(為客戶端)加入核發 的服務票據中給伺服器。 示例之授權内容產生技術 下文重點為敘述本發明特定實施例中示例性之方法及 系統。不論有無S4U2proxy與/或S4U2self通訊協定,該 類方法及系統皆可以被實施。不論有無護照服務(美國華盛 頓州雷蒙郡的微軟公司所提供),該類方法及系統亦皆可以 被實施。熟知本項技藝的人應可確認本項技術可實施於各 式其他通訊協定與/或服務。此外,如有需要,在示例中將 假設那些通訊協定及服務能夠支援授權内容產生技術。 如第5圖所示’為一與客戶端至伺服器網路設置相關 之特定特徵/功能/過程。該設置能夠提供一授權内容予客 戶端,否則客戶端將無法被授權存取特定資源。如圖示, 一伺服器X 502連接至一伺服器γ 5〇4,與使用者#ι(υι) 相關之第一客戶端506,以及與使用者#2(IJ 2)相關之第二 客戶端5 0 8。本實施例中,在以虛線區塊5丨〇,5 1 2及5 1 4 表示之設備間有某些信任關係。因此,例如,當U1登入 客戶端506及伺服器X 502以存取伺服器X 502所提供之 資源時,例如存取物件516時,客戶端506及伺服器X 502 經設定而形成信任關係5 1 0。此登入過程可能包括授權及 20 200400741 存取控制。相同地’當U2登入伺服器γ 504及客戶端508 時’客戶端508及饲服器γ 5〇4經設定而形成信任關係 5 12。此外,此例中飼服器χ 5〇2及伺服器γ 504可以形成 與受信任的第三者204形成信任關係514。然而,此刻在 客戶端508及伺服器Χ5〇2之間並不存在信任關係。 如第5圖及第6圖所示,本發明使客戶端5 〇 8自伺服 器X 502取得允許U2存取物件516之授權内容。内有序 號標不之小圓圈旁之箭頭代表著處理動作。在其他的實施 例中,一些動作可能以不同的順序發生。 φ 如圖示,動作#0為信任關係5 1 〇,5 1 2及5 1 4的產生。 此類的信任關係可以依操作須要選擇性地創造。本實施例 中’假設U1欲允許U2存取物件516。當U1經由信任關 係510授權存取物件516時,U2並未被授權允許存取物件 5 1 6。此外,更進一步之需求為避免增加U2為授權存取伺 服器X 5 0 2的控制系統之使用者。例如,當υ 1欲准許υ 2 存取U1之雇主所保管或提供之tn的線上計劃時程表時, 這種狀況就會發生。此處,雇主不想增加一個新的授權使 用帳戶至系統中。 肇 如第6圖所示’虛線範圍600内為客戶端5〇6提供給 U1之與圖形使用者介面(GUI)相關之某些示例性功能。本 例中,在m登入伺服器x 502後顯示網頁6〇2或其他類 似的晝面。在網頁60七中,物件516呈現出時程表 604,該時程表GUI顯示與tn相關之訊息βυι能夠自6〇6 開啟一個入口,而606包含一識別輸入欄6〇8及(選擇性的) 21 200400741 一或多個選定的權限設定610。這是U1啟始讓U2獲得存 取物件516權限之程序的地方。 U1為U2輸入一識別。該例中,該識別包含U2專屬 之全球資訊網電子郵件位址,在這邊稱之為 user2@hotmail.com 。此處輸入之識別為微軟公司提供之 hotmail.com服務之登錄使用者。一 hotmail.com之登錄使 用者U2被假設為亦有對應之微軟公司Passp〇rt帳號。以 亦可以依據所欲核准存取物件5 i 6 (在這裡,例如,一線上 時程表應用程式)之權限,替U2設定一或多個權限設定 610。此刻,U1已經設定U2為擁有「讀取」之權限。回 頭看第5圖,在客戶端506及伺服器X 502間確認該使用 者之程序以動作# 1代表。 祠服器X 5 02確認u 1已經替U2提供了識別,在動作 #2與伺服器Y 504的通訊中,假設此例為習知之Passp〇rt 伺服器。這裡’伺服器X 502提供識別user2@hotmail.com 予祠服器Y 504並請求伺服器γ 504提供對應之通用專屬 護照識別(Passport user identidy,PUID)(亦常指為專屬識 別對,Pair wise Unique id)。在動作#3中,伺服器Y 504 傳回該PUID(524)給伺服器X。如果信任關係514是一以 Keberos為基礎之關係,那麼該PUId可以在先前提過之 PAC(舉例)中被傳回。 現在’伺服器X 502擁有U2的PUID 了。在動作#4 中,祠服器X 502解譯該PUID為一對應之SID 522,該 SID適用於伺服器X 502之原授權系統。如圖所示,物件 22 200400741 516與AC L518相關,該ACL擁有至少一個包含SID 522 之 ACE 520。 該64位元之PUID由1 6位元之護照網域授權識別及 一 48位元之成員識別組成。為構成一 SID,它必須維持一 網域授權為一獨立之參數。為達成它,該 MemberlDHigh 被分為兩個部份,而且這兩部份被分為獨立之子授權,如 下所示:
S-1-1 0-2 1 -(HIWORD(MemberIDHigh))-(LOWORD(ME MBERIDHigh))-MemberIDLow-〇 在本實施例中,「S-1-10-21」為一由ntseapi.h所定義 之新的識別授權。而ntseapi.h為一用以建立微軟視窗系統 之標頭檔,它包含了對用以建構PUID-SID之SID值的定 義。請注意該標頭通常不直接讓程式設計人員接觸,但 ntseapi.h的宣告在winnt.h的SDK平台是公開的。
因此,自受信任之資源傳回之PUID或其他類似之識 別產生了一典型之SID。基本上,該SID以獨特之結合以 及與原授權系統相容的格式識別了該習知之子授權以及成 員使用者。
在動作#5中,(已授權之)U2登錄了伺服器Y 504並因 此獲得PUID 524。在動作#6中,U2利用一預設之使用者 帳號(例如,未知或匿名帳號)以及在請求或其他類似訊息 中提供包含PUID 524之資訊(例如,在PAC中)以連接至 伺服器X 502。在動作#7中,伺服器X 502確認了一 PUID 已由預設使用者(U2)提供並且在回應中建立了對應之SID 23 200400741 532,並將該SID 532置於與欲尋求存取物516之U2相關 之標記(Token)530中。在特定實施例中,籍由在稱之為 LsaLogonUser之應用程式介面(API)通過PUID以建立一 SID。該API傳回該SID。 在動作#8中,伺服器X 502籍由在預設使用者標記530 及ACL 518中比較一或多個SID(s)決定是否該預設使用者 擁有適當之存取權限以存取物件5 1 6。最後,在行動#9中, 替U2創造了授權内容526,它允許U2以適當之權限設定 存取物件516。因此,舉例而言,U2可以觀看(讀取)ui之 s十劃時程表並且判斷是否U1和U 2可以在下週共進午餐。 U2不能登入飼服器X 502;實際上既然U2不像ui —樣擁 有帳號,U2不能登入伺服器X 5〇2。此例中,u2的授權 基本上是基於信任關係510’ 512和514,以及利用客戶端 508及祠服器Y 504之U2的初始授權。核准u2在祠服器 X502上的存取控制是基本上是基於(動作#〇中,壇由客戶 端506及祠服器Χ 502之)m之信任授權及與在動 提供pum 524之飼服器γ 504間之信任關係。 使用PUID的一種益虛為所權提 裡i處為所獲仔之SID在以護昭 分配PUIDU基礎的情況下,將永遠是全域唯一的‘f 雖然上文中已經以_些較佳的實施例及圖示介 發明之各種方法及系統’但並不偈限本發明於所揭:之: 施例中,並適用於各種 貫 襪#離本發明在宣告中所提及 神的重構、修改以及替代。 之精 24 200400741 【圖式簡單說明】 本發明的各式方法及系統將在下文中以附圖進一步詳 述0 第1圖通論適用本發明之實施例。 第2圖為一在客戶端至伺服器執行之「經代理伺服器之使 用者服務」(service-for-user-to-proxy,S4U2proxy) 的過程。亦為一適用於本發明之實施例。 第3A圖為一在客戶端至伺服器執行之「經自身之使用者 服務」(service-f〇r-user-t〇-self,S4U2 self)的過程。 亦為一適用於本發明之實施例。 第 第 第 第 3B圖為一在客戶端至伺服器執行之「經自身之使用者 服務」(service-f〇r-user-t〇-self,s4U2self)的過程。 亦為一適用於本發明之實施例。 4圖為適用本發明某些實施例之部份訊息格式。 5圖圖示之系統及程序為本發明某些實施例,經由受信 任的資源授權,提供使用者區域存取控制。 6圖,如第5圖,為本發明—系統及過程之實施例。不 須使用者存取特定資源之區域存權控制帳號,利用 適當層級的授權委托,允許使用者存取資源。 【元件代表符號簡單說明】 120電腦環境 13〇電腦 132處理器單元 134系統記憶體 1 3 6系統匯流排 1 3 8唯讀記憶體 25 200400741 140隨機存取記憶體 144硬碟 148軟碟 152光碟 1 5 8作業系統 162其他程式模組 166鍵盤 170使用者輸入介面 175輸出週邊介面 172螢幕 179廣域網路 182遠端電腦 200客戶端至伺服器 202客戶端 204受信任第三者 206授權服務 2 0 8資料庫
21 0伺服器A 21 2伺服器B 21 4伺服器C 2 1 6伺服器D 142基本輸出入系統 146軟碟機 150光碟機 154資料媒體界面 160應用程式 164程式資料 168滑鼠 174影像介面卡 1 7 7 區域網路 178數據機 1 8 0網際網路 1 8 9遠端應用程式 環境
220授權要求(AS_REP)訊息 222授權回應(AS_REP)訊息 26 200400741 224票據授權服務要求(TGS_REQ)訊息 226票據授權服務回應(TGS_REP)訊息 228服務票據 300有授權證明之 S4U2self過程 3 00’無授權證明之S4U2self過程 3 02客戶端 302’客戶端
3 0 3授權通訊協定機制 304授權憑證 306票據授權服務要求(TGS_REQ)訊息 308票據授權服務要求(TGS_REP)訊息 312票據授權服務要求(TGS_REQ)訊息 314票據授權服務要求(TGS_REP)訊息 4 0 0 K e r b e r 〇 s訊息之特定部份 402標頭
4 0 4權限屬性憑證 4 0 6委派資訊 4 0 8複合識別資訊 41 0存取限制資訊 5 0 0 —與客戶端至伺服器網路設置相關之特定特徵/功能/ 過程 。
5 0 2伺服器X 504伺服器Y 27 200400741 5 0 6客戶端 5 0 8客戶端 5 1 0信任關係範圍 5 1 2信任關係範圍 5 1 4信任關係範圍 5 1 6物件 5 1 8存取控制列表 5 2 0存取控制實體 5 2 2安全性識別 5 2 4護照使用者識別 526授權内容 5 3 0標記 5 3 2安全性識別 6 0 0客戶端5 0 6提供之與圖形使用者介面(GU I )相關之示例 性功能 60 2網頁 604 Userl之時程表 606 —集合,包含一識別輸入攔及(選擇性的)一或多個選 定的權限設定 6 0 8識別輸入攔 6 1 0權限設定 ^ 0信任關係產生之過程 1在客戶端及伺服器間確認使用者之程序 28 200400741 2伺服器間之通訊 3伺服器傳回PU I D給使用者之過程 4伺服器解譯PUID為一對應之SI D之過程 5使用者登錄伺服器並獲得Ρϋ I D之過程 6 —過程,利用一預設之使用者帳號以及在訊息中提供包 含PU I D之資訊以連接至伺服器X 5 0 2
7 —過程,伺服器確認預設使用者已提供PU I D,而後建立 並回應對應之S I D 8 —過程,伺服器籍由在預設使用者標記及ACL中比較一 或多個SID(s),以決定是否該預設使用者擁有適當之存取 權限以存取物件 9替使用者製造授權内容之過程
29
Claims (1)
- 200400741 拾、申請專利範圍 1 · 一種存取控制至少一個電腦資源的方法,包括: 接收一與被提供存取上述至少一個電腦資源之使用 者相關的專屬識別,該專屬識別與另一已授權該使用者 之電腦資源相關; 解譯上述專屬識別為一安全性識別(SID);及 決定是否該S ID符合至少一個其他存取控制機制所提 供之S ID,而該存取控制機制與上述至少一個電腦資源相2.如申請專利範圍第1項所述之方法,其中上述專屬識別 包含一專屬識別對(pair wise unique identifier, PUID)。 3 ·如申請專利範圍第2項所述之方法,其中該PUID與一護 知、服務(P a s s ρ 〇 r t s e I* v i c e)相關。 4.如申請專利範圍第3項所述之方法,其中解譯該專屬識 別為上述SID的步驟更包栝: % 區分上述之PUID為炱少一個子授權識別部份以及至 少一個成員識別部份。 5 ·如申請專利範圍第3項所述之方法’其中解譯該專屬識 別為上述SID的步驟更包栝· 提供上述之PUID給〆應用程式介面(API);並且接收 3〇 200400741 該API所回應之SID。 6·如申請專利範圍第丨項所述之方法, 識別之步驟包括: 接收一以Kerberos為基礎之訊息_ 7·如申請專利範圍第6項所述之方法, 由以Kerberos為基礎之訊息中之pAc 8 ·如申請專利範圍第6項所述之方法, 為基礎之訊息和S4U2self程序相關。 9.如申請專利範圍第6項所述之方法, 為基礎之訊息和S4U2proxy程序相關 10·如申請專利範圍第1項所述之方法,莫 符合上述至少一個其他由該存取控制 之步驟,更包括: 在一與上述至少一個電腦資源相 (ACL)中,比較該SID與前述至少一伯 11 ·如申請專利範圍第1頊所述之方法, 供存取上述至少一個電腦資源’接收 關之專屬識別之步驟更包栝· 其中接收上述專屬 r的該專屬識別。 其中該專屬識別係 提供。 其中該以Kerberos 其中該以Kerberos 〇 •中決定是否該SID 機制所提供之SID 關之存取控制列表 ί其他SID。 其中一使用者被提 上述與該使用者相 200400741 長:供一預设帳號予該使用者。該使用者被提供存取上 述至少一個電腦資源。 12· —種對至少一個電腦資源建立存取控制權限的方法,包 括: 接收至少一個使用者之至少一個電子郵件(e-mail)位 址,用以獲得上述至少一個電腦資源之至少最小存取權 限; 提供該電子郵件位址給至少一個能夠輸出專屬識別 之爻化任服務,該專屬識別係與上述基於該電子郵件位 址之使用者相關; 經由上述受信任服務,接收上述輸出之專屬識別;和 以上述專屬識別為基礎,設定至少一個與上述至少一 個電腦資源相關之至少一個使用者的存取控制權限。 13·如申請專利範圍第12項所述之方法,其中設定上述至 少一個使用者存取權限的步驟更包括: 解譯該專屬識別為一安全性識別(SID);以及 使該SID與至少一個存取控制列表(acl)產生關聯, 以供上述之至少一個電腦資源之用。 14·如中请專利範圍第·12項所述之方法,其中該專屬識別 包括一專屬識別對(PUID) 200400741 15. 16. 17. 18. 19. 如申請專利範圍第14項所述之方法,其中該pmD與護 照服務相關。 如申請專利範圍第13項所述之方法,其中上述專屬識 別包括一 PUID以及解譯該專屬識別為上述Sid之步驟, 更包括: 區分該PUID為至少一個子權限識別部份以及至少一 個成員識別部份。 #申請專利範圍f !4項所述之方法,其甲該專屬識別 包含一 PUID以及解譯該專屬識別為上述SID之步驟更包 含: 供該PUID給一應用程式界面(Api);並且 之後,自該API接收該SID。 如申請專利範㈣12項所述之方法,其令接收上述專 屬識別的步驟包括: 在以Kerberos為基礎之訊息中,接收該專屬識別。 · 如申請專利範圍第1 8頊所诫夕士、+ 4丄 項所述之方法,其中該專屬識別 是在上述以—s為基礎之訊息中之PAC提供。 一種擁有供執行動作之雷腦矸勃 > 此X _ 爻冤細T執仃指令的電腦可讀取媒 體’包括: 、 33 20. 200400741 接受一與使用者相關的專屬識別,而該使用者將被供 以至少一個電腦資源上受控制之存取,該專屬識別與另 一已授權該使用者之電腦資源相關; 轉換上述專屬識別為一安全性識別(SID);並且 確認是否該 SID符合至少一個其他由一存取存取控 制機制提供之SID,而該存取控制機制係與至少一個電腦 資源相關。 21.如申請專利範圍第20項所述之電腦可讀取媒體,其中 W 該專屬識別包含一專屬識別對(PUID)。 22·如申請專利範圍第21項所述之電腦可讀取媒體,其中 該PUID與一護照服務相關。 23 ·如申請專利範圍第22項所述之電腦可讀取媒體,其中 轉換該專屬識別為上述S ID的步驟更包括: 區分該PUID為至少一個子授權識別以及至少一個成 員識別部份。 _ 24·如申請專利範圍第22項所述之電腦可讀取媒體,其中 解#該專屬識別為上述之SID的步驟更包含: 輸出上述PUID气一應用程式界面(API);並且 自該API接收傳回之上述SID。 34 200400741 25 ·如申請專利範圍第20項所述之電腦可讀取媒體,其中 接收該專屬識別的步驟更包栝: 在一以Kerberos為基礎之訊息中,接收上述專屬識 別0 2 6 ·如申請專利範圍第2 5項所述之電腦可讀取媒體,其中 該專屬識別在以上述Kerberos為基礎之訊息中之pac被 提供。 2 7 ·如申請專利範圍第2 5項所述之電腦可讀取媒體,其中 該以Keeberos為基礎之訊息與一 S4U2self程序相關。 2 8 ·如申請專利範圍第2 5項所述之電腦可讀取媒體,其中 該以Keeberos為基礎之訊息與一 S4U2pr〇xy程序相關。 29·如申請專利範圍第2〇項所述之電腦可讀取媒體,其中 確認是否該SID符合前述之至少一個由上述存取控制機 制所提供之其他SID的步驟更包括: · 在 /、上述之至少一個電腦資源相關之存取控制列 表(ACL)中,比較該SID與前述之至少一個其他sid。 30·如申請專利範圍第2〇項所述之電腦可讀取媒體,其中 接文上述與擁有存取至少一個電腦資源之受控制權限之 使用者相關之專屬識別的步驟,更包括: 35 200400741 提供一預設帳號給該使用者,其係欲提供該使用者至 少一個電腦資源之存取權限。 3 1 · —種擁有電腦可執行指令用以執行動作的電腦可讀取媒 體,包括: 接受至少一個電子郵件(e-mail)位址供至少一個使用 者使用,其係欲授予該使用者在上述至少一個電腦資源 上之至少最小存取權限; 輸出上述電子郵件位址給至少一個受信任服務,而該 受信任服務能夠輸出一對應之專屬識別,又該專屬識別 與以該電子郵件位址為基礎之該使用者相關; 接受上述由該受信任服務所輸出之專屬識別;並 建立至少一個與上述至少一個電腦資源相關之使用 者存取控制權限,又該電腦資源是以上述專屬識別為基 礎0 32·如申請專利範圍第3 1項所述之電腦可讀取媒體,其中 以該專屬識別為基礎為使用者設定上述至少一個使用者 存取權限的步驟更包含: 轉換該專屬識別為一安全性識別(SID);以及 為前述電腦資源分派該SID至至少一個存取控制列 表(ACL)。 33.如申請專利範圍第31項所述之電腦可讀取媒體,其中 36 200400741 上述專屬識別包含一專屬識別對(PUID)。 34.如申請專利範圍第33項所述之電腦可 19貝取媒體,其中 上述PUID與一護照服務相關。 、 3 5 ·如申請專利範圍第3 4項所述之電 句 J項取媒體,甘中 上述專屬識別包含一 PUID並且轉譯該專屬識別為I述 SID的步驟,包括: 區分該PUID為至少一個子授權識別部份和至少一個 成員識別部份。 36·如申請專利範圍第34項所述之電腦可讀取媒體,其中 上述專屬識別包含一 PUID並且轉譯該專屬識別為上述 SID的步驟,包括: 提供上述護照專屬識別給一應用程式介面(API);及 自上述API接收該SID。 3 7 ·如申請專利範圍第31項所述之電腦可讀取媒體,其中 接收上述專屬識別的步驟更包括: 從該以Kerberos為基礎之訊息中,接收該專屬識別。 38·如申請專利範圍第37項所述之電腦可讀取媒體,其中 在以Kerberos為基礎之訊息中,專屬識別是在PAC中提 供。 200400741 39. 一種轉譯專屬識別對 之方法,包括: (PUID)為對應 之安全識別 (SID) 接收該PUID ; 部份以及至少 該至少一個成 區分該PUID為至少一個子授權識別 個成員識別部份;以及 員 組合該至少一個子授權識別部份和 識別部份為上述SID。40. 如申請專利範圍第39項所述之方法,其中組合該至少 一個子授權識別部份和該至少一個成員識別部份為上述 SID的步驟更包括整理該Sli),使其擁有子授權識別、一 函數 HIWORD(MemberlDHigh) 、一 函數 LOWORD(MemberlDHigh)以及—MemberlDLow。 41. 如申凊專利範圍第39項所述之方法,更包括輸出該sid 的步驟。42. 一種擁有電腦可執行指令以執行動作之電腦可讀取媒 體,包括: 接收一專屬識別對(PUID);以及 籍由區分該PUiq為至少一個子授權識別部份以及至 少一個成員識別部份,並組合該至少一個子授權識別和 該至少一個成員識別部份為上述SID之步驟,可轉譯該 38 200400741 PUlD為一對應之安全性識別(SID)。 Λ 〇 •如申請專利範圍第42項所述之電腦可讀取媒體,其中 組合該至少一個子授權識別部份和該至少一個成員識別 部份為上述SID的步驟更包括安排該SID使其擁有上述 之子授權識別、一函數HIWORD (MemberlDHigh)、一函 數 LOWORD (MemberlDHigh)以及一 MemberlDLow。 44·如申請專利範圍第42項所述之電腦可讀取媒體,更包 括輸出上述SID。 45· 一種可對至少一個電腦資源控制存取之系統,包括·· 記憶體;和 一運作邏輯用以連接上述記憶體及可設定以接收與 使用者相關之專屬識別,其係欲提供受控制之權限給該 使用者,上述專屬識別係與另一已授權該使用者之電腦 資源相關,上述邏輯更可設定並用以轉譯上述專屬識別 為安全性識別(SID),且當該SID符合至少一個其他儲存 在上述記憶體中並與該至少一個電腦資源相關之sid 時,則允許該使用者存取上述至少一個電腦資源。 46.如申請專利範圍第-45項所述之系統,其中該專屬識別 包括一專屬識別對(PUID)。 39 200400741 4 7.如申請專利範圍第4 6項所述之系統,其中該 照服務相關。 48·如申請專利範圍第47項所述之系統,其中 進一步設定為可區分上述護照專屬識別為至 權部份以及至少一個成員識別部份。 49·如申請專利範圍第45項所述之系統,其中在 為基礎之訊息中,可設定該邏輯以接收專屬言 50·如申請專利範圍第49項所述之系統,其中 由以Kerberos為基礎之訊息中之pac所提供 5 1.如申請專利範圍第49項所述之系統,其中該 為基礎之訊息與一 S4U2self程序相關。 52.如申請專利範圍第49項所述之系統,其中該 為基礎之訊息與一 S4U2proxy程序相關。 53·如申請專利範圍第45項所述之系統,其中 其他儲存在上述記憶體中之SID為一存] (ACL)之部份,又該ACL與上述至少一個電月 54.如申請專利範圍第45項所述之系統,其中 PUID與護 該邏輯係可 少一個子授 以 Kerberos 我別。 該專屬識別 〇 以 Kerberos 以 Kerberos 該至少一個 4控制列表 i資源相關。 該邏輯可進 200400741 一步設定至少一個電腦資源並對一欲供以存取控制權限 之使用者提供匿名使用者帳號之能力。 55. 一種可對至少一個電腦資源設定存取控制權限之系統, 該系統包括: 一通訊網路; 第一裝置,其係連結至上述網路並設定為可接收至 ^個使用者之至少一個電子郵件(e-mail)位址,又該使 用者欲核准為擁有存取上述至少一個電腦資源之最小權 限,之後提供該電子郵件位址給上述網路,然後在該網 路上接收對應且與該電子郵件相關之專屬識別,及以所 :收之專屬識別為基礎,設定至少一個與至少一個電腦 資源相關之存取控制權限給該使用者。 56. ^ 丁明哥 至少一個其他获__ ^置’用以連結上述網路且設定為 至少一個能夠自該铜牧 、周路接收上述至少一個電子郵件 之可信任服務,轉拖姑 換該電子郵件位址為該專屬識別 且輸出該專屬識別給該網路。 57.如申請專利範圍第= $ 56項所述之系統,其中該第一農置 可進一步設定為棘場分·由 ” 專屬識別為一安全性識別(sid) 並使該SID與至少—加 ) 個電腦資源之至少一個存取控制列 表(ACL)產生關聯。 41 200400741 58·如申請專利範圍第57項所述之系統,其中該專屬識別 包含一專屬識別對 (PUID)。 5 9 ·如申請專利範圍第5 8項所述之系統,其中該專屬識別 包含一護照專屬識別。60.如申請專利範圍第59項所述之系統,其中在轉譯出對 應之SID時,該第一裝置可被進一步設定為可區分該護 照專屬識別為至少一個子授權部份以及至少一個成員識 別部份。 61.如申請專利範圍第55項所述之系統,其中該第一裝置 可設定為在一個以Kerberos為基礎之訊息之中接收上述 專屬識別。62.如申請專利範圍第61項所述之系統,其中在以Kerberos 為基礎之訊息之中,在一 PAC中提供上述專屬識別。 42
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/144,059 US7401235B2 (en) | 2002-05-10 | 2002-05-10 | Persistent authorization context based on external authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200400741A true TW200400741A (en) | 2004-01-01 |
| TWI353154B TWI353154B (en) | 2011-11-21 |
Family
ID=22506868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW092112488A TWI353154B (en) | 2002-05-10 | 2003-05-07 | Method, system and computer readable medium for pr |
Country Status (18)
| Country | Link |
|---|---|
| US (1) | US7401235B2 (zh) |
| EP (2) | EP1939707B1 (zh) |
| JP (1) | JP4756817B2 (zh) |
| KR (1) | KR100986568B1 (zh) |
| CN (1) | CN100367249C (zh) |
| AT (2) | ATE398799T1 (zh) |
| AU (1) | AU2003203708B2 (zh) |
| BR (1) | BR0301034A (zh) |
| CA (1) | CA2424782A1 (zh) |
| DE (1) | DE60321618D1 (zh) |
| HK (1) | HK1060201A1 (zh) |
| MX (1) | MXPA03003709A (zh) |
| MY (1) | MY145724A (zh) |
| NO (1) | NO20032094L (zh) |
| PL (1) | PL359993A1 (zh) |
| RU (2) | RU2337399C2 (zh) |
| TW (1) | TWI353154B (zh) |
| ZA (1) | ZA200302999B (zh) |
Families Citing this family (247)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AUPQ654400A0 (en) * | 2000-03-28 | 2000-04-20 | Optimiser Pty Ltd | Authorising use of a computer program |
| US7698381B2 (en) * | 2001-06-20 | 2010-04-13 | Microsoft Corporation | Methods and systems for controlling the scope of delegation of authentication credentials |
| US7382787B1 (en) | 2001-07-30 | 2008-06-03 | Cisco Technology, Inc. | Packet routing and switching device |
| JP2003108520A (ja) * | 2001-09-28 | 2003-04-11 | Canon Inc | 情報提供サーバ、端末装置及びその制御方法並びに情報提供システム |
| WO2003058877A1 (en) | 2001-12-28 | 2003-07-17 | Woodstock Systems, Llc | Personal digital servertm (pdstm) |
| US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
| US7450438B1 (en) | 2002-06-20 | 2008-11-11 | Cisco Technology, Inc. | Crossbar apparatus for a forwarding table memory in a router |
| US7525904B1 (en) | 2002-06-20 | 2009-04-28 | Cisco Technology, Inc. | Redundant packet routing and switching device and method |
| US7343301B1 (en) | 2002-08-30 | 2008-03-11 | Signiant, Inc. | Method and apparatus for notification of data transfer |
| US7152108B1 (en) * | 2002-08-30 | 2006-12-19 | Signiant Inc. | Data transfer system and method with secure mapping of local system access rights to global identities |
| US7613812B2 (en) | 2002-12-04 | 2009-11-03 | Microsoft Corporation | Peer-to-peer identity management interfaces and methods |
| US7536476B1 (en) * | 2002-12-20 | 2009-05-19 | Cisco Technology, Inc. | Method for performing tree based ACL lookups |
| US7496953B2 (en) * | 2003-04-29 | 2009-02-24 | International Business Machines Corporation | Single sign-on method for web-based applications |
| US7397922B2 (en) | 2003-06-27 | 2008-07-08 | Microsoft Corporation | Group security |
| US7188254B2 (en) * | 2003-08-20 | 2007-03-06 | Microsoft Corporation | Peer-to-peer authorization method |
| US7574603B2 (en) | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
| US20050166070A1 (en) * | 2003-12-24 | 2005-07-28 | Ling Dynamic Systems Ltd. | Web based user interface |
| US7412516B1 (en) * | 2003-12-29 | 2008-08-12 | Aol Llc | Using a network bandwidth setting based on determining the network environment |
| US20050144144A1 (en) * | 2003-12-30 | 2005-06-30 | Nokia, Inc. | System and method for authenticating a terminal based upon at least one characteristic of the terminal located at a position within an organization |
| US20050149724A1 (en) * | 2003-12-30 | 2005-07-07 | Nokia Inc. | System and method for authenticating a terminal based upon a position of the terminal within an organization |
| US7395319B2 (en) | 2003-12-31 | 2008-07-01 | Checkfree Corporation | System using contact list to identify network address for accessing electronic commerce application |
| US7636941B2 (en) | 2004-03-10 | 2009-12-22 | Microsoft Corporation | Cross-domain authentication |
| US20050246762A1 (en) * | 2004-04-29 | 2005-11-03 | International Business Machines Corporation | Changing access permission based on usage of a computer resource |
| JP2006011768A (ja) * | 2004-06-25 | 2006-01-12 | Toshiba Corp | 認証システム及び装置 |
| US7526557B2 (en) * | 2004-06-30 | 2009-04-28 | Signiant, Inc. | System and method for transferring data in high latency firewalled networks |
| US20060037062A1 (en) * | 2004-08-09 | 2006-02-16 | International Business Machines Corporation | Method, system and program product for securing resources in a distributed system |
| US7603700B2 (en) * | 2004-08-31 | 2009-10-13 | Aol Llc | Authenticating a client using linked authentication credentials |
| JP4643213B2 (ja) | 2004-09-29 | 2011-03-02 | シスメックス株式会社 | アプリケーションプログラムの使用制限方法、測定装置のユーザ認証システム、認証サーバ、クライアント装置、及びアプリケーションプログラム |
| US7996881B1 (en) | 2004-11-12 | 2011-08-09 | Aol Inc. | Modifying a user account during an authentication process |
| US7889712B2 (en) | 2004-12-23 | 2011-02-15 | Cisco Technology, Inc. | Methods and apparatus for providing loop free routing tables |
| US8490168B1 (en) * | 2005-10-12 | 2013-07-16 | At&T Intellectual Property I, L.P. | Method for authenticating a user within a multiple website environment to provide secure access |
| US20070130289A1 (en) * | 2005-12-07 | 2007-06-07 | Christopher Defazio | Remote access |
| US7747647B2 (en) * | 2005-12-30 | 2010-06-29 | Microsoft Corporation | Distributing permission information via a metadirectory |
| US20070156691A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | Management of user access to objects |
| US8104074B2 (en) | 2006-02-24 | 2012-01-24 | Microsoft Corporation | Identity providers in digital identity system |
| US8117459B2 (en) | 2006-02-24 | 2012-02-14 | Microsoft Corporation | Personal identification information schemas |
| US7639629B2 (en) * | 2006-07-28 | 2009-12-29 | Microsoft Corporation | Security model for application and trading partner integration |
| US8078880B2 (en) | 2006-07-28 | 2011-12-13 | Microsoft Corporation | Portable personal identity information |
| JP5011959B2 (ja) * | 2006-11-01 | 2012-08-29 | 富士ゼロックス株式会社 | 認証代行装置、認証代行プログラム、及び認証代行システム |
| US8012015B2 (en) | 2006-11-15 | 2011-09-06 | Cfph, Llc | Verifying whether a gaming device is communicating with a gaming server |
| US7942738B2 (en) * | 2006-11-15 | 2011-05-17 | Cfph, Llc | Verifying a gaming device is in communications with a gaming server |
| US7942740B2 (en) | 2006-11-15 | 2011-05-17 | Cfph, Llc | Verifying a first device is in communications with a server by storing a value from the first device and accessing the value from a second device |
| US7942739B2 (en) | 2006-11-15 | 2011-05-17 | Cfph, Llc | Storing information from a verification device and accessing the information from a gaming device to verify that the gaming device is communicating with a server |
| US10068421B2 (en) * | 2006-11-16 | 2018-09-04 | Cfph, Llc | Using a first device to verify whether a second device is communicating with a server |
| US7942742B2 (en) | 2006-11-15 | 2011-05-17 | Cfph, Llc | Accessing identification information to verify a gaming device is in communications with a server |
| US7942741B2 (en) | 2006-11-15 | 2011-05-17 | Cfph, Llc | Verifying whether a device is communicating with a server |
| US8087072B2 (en) | 2007-01-18 | 2011-12-27 | Microsoft Corporation | Provisioning of digital identity representations |
| US8407767B2 (en) | 2007-01-18 | 2013-03-26 | Microsoft Corporation | Provisioning of digital identity representations |
| US8689296B2 (en) | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
| US8650615B2 (en) * | 2007-09-28 | 2014-02-11 | Emc Corporation | Cross domain delegation by a storage virtualization system |
| US8635664B2 (en) * | 2007-12-28 | 2014-01-21 | Intel Corporation | Method and system for securing application program interfaces in unified extensible firmware interface |
| US8001582B2 (en) | 2008-01-18 | 2011-08-16 | Microsoft Corporation | Cross-network reputation for online services |
| US7925516B2 (en) * | 2008-03-14 | 2011-04-12 | Microsoft Corporation | Leveraging global reputation to increase personalization |
| US20100077208A1 (en) * | 2008-09-19 | 2010-03-25 | Microsoft Corporation | Certificate based authentication for online services |
| CN102282565B (zh) * | 2009-01-19 | 2016-08-03 | 皇家飞利浦电子股份有限公司 | 用于隐私保护的具有双脚本引擎的浏览器 |
| US9390172B2 (en) * | 2009-12-03 | 2016-07-12 | Microsoft Technology Licensing, Llc | Communication channel between web application and process outside browser |
| US8613059B2 (en) * | 2009-12-18 | 2013-12-17 | At&T Intellectual Property I, L.P. | Methods, systems and computer program products for secure access to information |
| US9088580B2 (en) * | 2009-12-31 | 2015-07-21 | Microsoft Technology Licensing, Llc | Access control based on user and service |
| US8924715B2 (en) * | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
| AU2010246354B1 (en) * | 2010-11-22 | 2011-11-03 | Microsoft Technology Licensing, Llc | Back-end constrained delegation model |
| KR101868018B1 (ko) * | 2011-02-09 | 2018-06-18 | 삼성전자주식회사 | 기기간 연결 제어 방법 및 그 장치 |
| US9118686B2 (en) | 2011-09-06 | 2015-08-25 | Microsoft Technology Licensing, Llc | Per process networking capabilities |
| US9773102B2 (en) | 2011-09-09 | 2017-09-26 | Microsoft Technology Licensing, Llc | Selective file access for applications |
| US8990561B2 (en) | 2011-09-09 | 2015-03-24 | Microsoft Technology Licensing, Llc | Pervasive package identifiers |
| US9800688B2 (en) | 2011-09-12 | 2017-10-24 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
| US8930475B1 (en) | 2012-03-30 | 2015-01-06 | Signiant Inc. | Systems and methods for secure cloud-based media file sharing |
| US9317670B2 (en) * | 2012-05-22 | 2016-04-19 | Verizon Patent And Licensing Inc | Security based on usage activity associated with user device |
| CN103532919B (zh) * | 2012-07-06 | 2018-06-12 | 腾讯科技(深圳)有限公司 | 用户账户保持登录态的方法及系统 |
| US9692799B2 (en) | 2012-07-30 | 2017-06-27 | Signiant Inc. | System and method for sending and/or receiving digital content based on a delivery specification |
| US10356204B2 (en) | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
| US9858247B2 (en) | 2013-05-20 | 2018-01-02 | Microsoft Technology Licensing, Llc | Runtime resolution of content references |
| US9319419B2 (en) * | 2013-09-26 | 2016-04-19 | Wave Systems Corp. | Device identification scoring |
| US9825944B2 (en) * | 2014-01-24 | 2017-11-21 | Microsoft Technology Licensing, Llc | Secure cryptoprocessor for authorizing connected device requests |
| US10073978B2 (en) | 2014-04-16 | 2018-09-11 | International Business Machines Corporation | Efficient modification and creation of authorization settings for user accounts |
| US10181051B2 (en) | 2016-06-10 | 2019-01-15 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
| US9729583B1 (en) | 2016-06-10 | 2017-08-08 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
| US9736165B2 (en) * | 2015-05-29 | 2017-08-15 | At&T Intellectual Property I, L.P. | Centralized authentication for granting access to online services |
| US9948662B2 (en) * | 2015-07-31 | 2018-04-17 | Fortinet, Inc. | Providing security in a communication network |
| US9509684B1 (en) * | 2015-10-14 | 2016-11-29 | FullArmor Corporation | System and method for resource access with identity impersonation |
| US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
| US9450944B1 (en) | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
| US10706447B2 (en) | 2016-04-01 | 2020-07-07 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
| US20220164840A1 (en) | 2016-04-01 | 2022-05-26 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US10423996B2 (en) | 2016-04-01 | 2019-09-24 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
| US11244367B2 (en) | 2016-04-01 | 2022-02-08 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US11004125B2 (en) | 2016-04-01 | 2021-05-11 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US10614247B2 (en) | 2016-06-10 | 2020-04-07 | OneTrust, LLC | Data processing systems for automated classification of personal information from documents and related methods |
| US10949565B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11727141B2 (en) | 2016-06-10 | 2023-08-15 | OneTrust, LLC | Data processing systems and methods for synching privacy-related user consent across multiple computing devices |
| US11157600B2 (en) | 2016-06-10 | 2021-10-26 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10878127B2 (en) | 2016-06-10 | 2020-12-29 | OneTrust, LLC | Data subject access request processing systems and related methods |
| US10803200B2 (en) | 2016-06-10 | 2020-10-13 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
| US11336697B2 (en) | 2016-06-10 | 2022-05-17 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11138242B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US10586075B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
| US11343284B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
| US10909265B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Application privacy scanning systems and related methods |
| US11146566B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10454973B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10438017B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US10769301B2 (en) | 2016-06-10 | 2020-09-08 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
| US11038925B2 (en) | 2016-06-10 | 2021-06-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10706379B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for automatic preparation for remediation and related methods |
| US11100444B2 (en) | 2016-06-10 | 2021-08-24 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
| US10776514B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for the identification and deletion of personal data in computer systems |
| US10496803B2 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
| US11301796B2 (en) | 2016-06-10 | 2022-04-12 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
| US11475136B2 (en) | 2016-06-10 | 2022-10-18 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
| US11134086B2 (en) | 2016-06-10 | 2021-09-28 | OneTrust, LLC | Consent conversion optimization systems and related methods |
| US10949170B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
| US10607028B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
| US10776518B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10997315B2 (en) * | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10909488B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Data processing systems for assessing readiness for responding to privacy-related incidents |
| US10706174B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
| US10740487B2 (en) | 2016-06-10 | 2020-08-11 | OneTrust, LLC | Data processing systems and methods for populating and maintaining a centralized database of personal data |
| US10846433B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing consent management systems and related methods |
| US10503926B2 (en) | 2016-06-10 | 2019-12-10 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10496846B1 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing and communications systems and methods for the efficient implementation of privacy by design |
| US11544667B2 (en) | 2016-06-10 | 2023-01-03 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US10944725B2 (en) | 2016-06-10 | 2021-03-09 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
| US10437412B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11392720B2 (en) | 2016-06-10 | 2022-07-19 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US11636171B2 (en) | 2016-06-10 | 2023-04-25 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US10242228B2 (en) | 2016-06-10 | 2019-03-26 | OneTrust, LLC | Data processing systems for measuring privacy maturity within an organization |
| US10430740B2 (en) | 2016-06-10 | 2019-10-01 | One Trust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
| US10706176B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data-processing consent refresh, re-prompt, and recapture systems and related methods |
| US11586700B2 (en) | 2016-06-10 | 2023-02-21 | OneTrust, LLC | Data processing systems and methods for automatically blocking the use of tracking tools |
| US10592648B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10510031B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
| US11366786B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US11138299B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10853501B2 (en) | 2016-06-10 | 2020-12-01 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11227247B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
| US10592692B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
| US10798133B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11461500B2 (en) | 2016-06-10 | 2022-10-04 | OneTrust, LLC | Data processing systems for cookie compliance testing with website scanning and related methods |
| US11087260B2 (en) | 2016-06-10 | 2021-08-10 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
| US10318761B2 (en) | 2016-06-10 | 2019-06-11 | OneTrust, LLC | Data processing systems and methods for auditing data request compliance |
| US11238390B2 (en) | 2016-06-10 | 2022-02-01 | OneTrust, LLC | Privacy management systems and methods |
| US11188615B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Data processing consent capture systems and related methods |
| US11651106B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10885485B2 (en) | 2016-06-10 | 2021-01-05 | OneTrust, LLC | Privacy management systems and methods |
| US11651104B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10713387B2 (en) | 2016-06-10 | 2020-07-14 | OneTrust, LLC | Consent conversion optimization systems and related methods |
| US10353673B2 (en) | 2016-06-10 | 2019-07-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
| US11057356B2 (en) | 2016-06-10 | 2021-07-06 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
| US11366909B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11200341B2 (en) | 2016-06-10 | 2021-12-14 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11222142B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for validating authorization for personal data collection, storage, and processing |
| US10452866B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11416109B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
| US11675929B2 (en) | 2016-06-10 | 2023-06-13 | OneTrust, LLC | Data processing consent sharing systems and related methods |
| US10585968B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11354434B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US11144622B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Privacy management systems and methods |
| US11295316B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
| US11354435B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
| US11520928B2 (en) | 2016-06-10 | 2022-12-06 | OneTrust, LLC | Data processing systems for generating personal data receipts and related methods |
| US10509894B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10452864B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
| US11151233B2 (en) | 2016-06-10 | 2021-10-19 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11222309B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11416798B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
| US11277448B2 (en) | 2016-06-10 | 2022-03-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10416966B2 (en) | 2016-06-10 | 2019-09-17 | OneTrust, LLC | Data processing systems for identity validation of data subject access requests and related methods |
| US11025675B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
| US10726158B2 (en) | 2016-06-10 | 2020-07-28 | OneTrust, LLC | Consent receipt management and automated process blocking systems and related methods |
| US10565397B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US10565236B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US10997318B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
| US11228620B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11222139B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems and methods for automatic discovery and assessment of mobile software development kits |
| US10282700B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US10467432B2 (en) | 2016-06-10 | 2019-11-05 | OneTrust, LLC | Data processing systems for use in automatically generating, populating, and submitting data subject access requests |
| US10896394B2 (en) | 2016-06-10 | 2021-01-19 | OneTrust, LLC | Privacy management systems and methods |
| US10708305B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Automated data processing systems and methods for automatically processing requests for privacy-related information |
| US10776517B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
| US10169609B1 (en) | 2016-06-10 | 2019-01-01 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11341447B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Privacy management systems and methods |
| US10762236B2 (en) | 2016-06-10 | 2020-09-01 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US11074367B2 (en) | 2016-06-10 | 2021-07-27 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
| US11625502B2 (en) | 2016-06-10 | 2023-04-11 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| US11328092B2 (en) | 2016-06-10 | 2022-05-10 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
| US10706131B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
| US11294939B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US10873606B2 (en) | 2016-06-10 | 2020-12-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10282559B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
| US10284604B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing and scanning systems for generating and populating a data inventory |
| US11210420B2 (en) | 2016-06-10 | 2021-12-28 | OneTrust, LLC | Data subject access request processing systems and related methods |
| US11481710B2 (en) | 2016-06-10 | 2022-10-25 | OneTrust, LLC | Privacy management systems and methods |
| US10642870B2 (en) | 2016-06-10 | 2020-05-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US11418492B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
| US10565161B2 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US11438386B2 (en) | 2016-06-10 | 2022-09-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10275614B2 (en) | 2016-06-10 | 2019-04-30 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US10685140B2 (en) | 2016-06-10 | 2020-06-16 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11188862B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Privacy management systems and methods |
| US10606916B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US10678945B2 (en) | 2016-06-10 | 2020-06-09 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11023842B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
| US10572686B2 (en) | 2016-06-10 | 2020-02-25 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11416589B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10796260B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Privacy management systems and methods |
| US11403377B2 (en) | 2016-06-10 | 2022-08-02 | OneTrust, LLC | Privacy management systems and methods |
| US10204154B2 (en) | 2016-06-10 | 2019-02-12 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US10235534B2 (en) | 2016-06-10 | 2019-03-19 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
| US11416590B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10783256B2 (en) | 2016-06-10 | 2020-09-22 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
| US10848523B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11562097B2 (en) | 2016-06-10 | 2023-01-24 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
| US10440062B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10509920B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US10839102B2 (en) | 2016-06-10 | 2020-11-17 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| KR102367738B1 (ko) * | 2016-11-09 | 2022-02-25 | 한국전자기술연구원 | 가상 리소스의 그룹 멤버 유효성 검증 방법 |
| US10505924B1 (en) | 2016-12-09 | 2019-12-10 | Wells Fargo Bank, N.A. | Defined zone of authentication |
| US20180204215A1 (en) * | 2017-01-17 | 2018-07-19 | Hung-Tzaw Hu | Detecting electronic intruders via updatable data structures |
| US11120057B1 (en) | 2017-04-17 | 2021-09-14 | Microstrategy Incorporated | Metadata indexing |
| US10897462B2 (en) * | 2017-05-16 | 2021-01-19 | Citrix Systems, Inc. | Systems and methods for encoding additional authentication data into an active directory security identifier |
| US10013577B1 (en) | 2017-06-16 | 2018-07-03 | OneTrust, LLC | Data processing systems for identifying whether cookies contain personally identifying information |
| US11245701B1 (en) | 2018-05-30 | 2022-02-08 | Amazon Technologies, Inc. | Authorization pre-processing for network-accessible service requests |
| US11544409B2 (en) | 2018-09-07 | 2023-01-03 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
| US11144675B2 (en) | 2018-09-07 | 2021-10-12 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
| US10803202B2 (en) | 2018-09-07 | 2020-10-13 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
| CA3052884C (en) | 2018-12-28 | 2022-05-17 | Alibaba Group Holding Limited | Parallel execution of transactions in a blockchain network based on smart contract whitelists |
| MX2019009286A (es) * | 2018-12-28 | 2019-10-30 | Alibaba Group Holding Ltd | Ejecucion en paralelo de transacciones en una red de cadena de bloques. |
| US10735516B1 (en) | 2019-02-15 | 2020-08-04 | Signiant Inc. | Cloud-based authority to enhance point-to-point data transfer with machine learning |
| US11516213B2 (en) | 2019-09-18 | 2022-11-29 | Microstrategy Incorporated | Authentication for requests from third-party interfaces |
| US11954218B2 (en) | 2020-02-10 | 2024-04-09 | Visa International Service Association | Real-time access rules using aggregation of periodic historical outcomes |
| US11457017B2 (en) | 2020-03-04 | 2022-09-27 | The Whisper Company | System and method of determing persistent presence of an authorized user while performing an allowed operation on an allowed resource of the system under a certain context-sensitive restriction |
| KR102359467B1 (ko) * | 2020-07-08 | 2022-02-08 | 인제대학교 산학협력단 | 스토리지 활용 이력에 기반한 비용 책정 방법 및 시스템 |
| EP4179435A1 (en) | 2020-07-08 | 2023-05-17 | OneTrust LLC | Systems and methods for targeted data discovery |
| WO2022026564A1 (en) | 2020-07-28 | 2022-02-03 | OneTrust, LLC | Systems and methods for automatically blocking the use of tracking tools |
| US11475165B2 (en) | 2020-08-06 | 2022-10-18 | OneTrust, LLC | Data processing systems and methods for automatically redacting unstructured data from a data subject access request |
| WO2022060860A1 (en) | 2020-09-15 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for detecting tools for the automatic blocking of consent requests |
| WO2022061270A1 (en) | 2020-09-21 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for automatically detecting target data transfers and target data processing |
| US11550942B2 (en) * | 2020-10-27 | 2023-01-10 | Bull Sas | Universal file access control system and method |
| US11397819B2 (en) | 2020-11-06 | 2022-07-26 | OneTrust, LLC | Systems and methods for identifying data processing activities based on data discovery results |
| WO2022159901A1 (en) | 2021-01-25 | 2022-07-28 | OneTrust, LLC | Systems and methods for discovery, classification, and indexing of data in a native computing system |
| US11442906B2 (en) | 2021-02-04 | 2022-09-13 | OneTrust, LLC | Managing custom attributes for domain objects defined within microservices |
| WO2022170254A1 (en) | 2021-02-08 | 2022-08-11 | OneTrust, LLC | Data processing systems and methods for anonymizing data samples in classification analysis |
| US11601464B2 (en) | 2021-02-10 | 2023-03-07 | OneTrust, LLC | Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system |
| US11775348B2 (en) | 2021-02-17 | 2023-10-03 | OneTrust, LLC | Managing custom workflows for domain objects defined within microservices |
| WO2022178219A1 (en) | 2021-02-18 | 2022-08-25 | OneTrust, LLC | Selective redaction of media content |
| EP4305539A1 (en) | 2021-03-08 | 2024-01-17 | OneTrust, LLC | Data transfer discovery and analysis systems and related methods |
| US11562078B2 (en) | 2021-04-16 | 2023-01-24 | OneTrust, LLC | Assessing and managing computational risk involved with integrating third party computing functionality within a computing system |
| US11620142B1 (en) | 2022-06-03 | 2023-04-04 | OneTrust, LLC | Generating and customizing user interfaces for demonstrating functions of interactive user environments |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9104909D0 (en) | 1991-03-08 | 1991-04-24 | Int Computers Ltd | Access control in a distributed computer system |
| US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
| US5550981A (en) * | 1994-06-21 | 1996-08-27 | At&T Global Information Solutions Company | Dynamic binding of network identities to locally-meaningful identities in computer networks |
| CA2138302C (en) * | 1994-12-15 | 1999-05-25 | Michael S. Fortinsky | Provision of secure access to external resources from a distributed computing environment |
| US7761910B2 (en) * | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
| US7188003B2 (en) * | 1994-12-30 | 2007-03-06 | Power Measurement Ltd. | System and method for securing energy management systems |
| US5864665A (en) * | 1996-08-20 | 1999-01-26 | International Business Machines Corporation | Auditing login activity in a distributed computing environment |
| US6055637A (en) * | 1996-09-27 | 2000-04-25 | Electronic Data Systems Corporation | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential |
| US6092196A (en) * | 1997-11-25 | 2000-07-18 | Nortel Networks Limited | HTTP distributed remote user authentication system |
| US6785015B1 (en) * | 1999-11-12 | 2004-08-31 | Hewlett-Packard Development Company, L.P. | System and method for monitoring a computer system process or peripheral |
| HK1023695A2 (en) * | 2000-02-19 | 2000-08-11 | Nice Talent Ltd | Service sign on |
| US20020150253A1 (en) * | 2001-04-12 | 2002-10-17 | Brezak John E. | Methods and arrangements for protecting information in forwarded authentication messages |
| JP4475646B2 (ja) * | 2004-08-27 | 2010-06-09 | キヤノン株式会社 | 画像表示装置 |
-
2002
- 2002-05-10 US US10/144,059 patent/US7401235B2/en not_active Expired - Fee Related
-
2003
- 2003-04-08 MY MYPI20031284A patent/MY145724A/en unknown
- 2003-04-09 CA CA002424782A patent/CA2424782A1/en not_active Abandoned
- 2003-04-14 EP EP08007721A patent/EP1939707B1/en not_active Expired - Lifetime
- 2003-04-14 AT AT03008065T patent/ATE398799T1/de not_active IP Right Cessation
- 2003-04-14 AU AU2003203708A patent/AU2003203708B2/en not_active Ceased
- 2003-04-14 EP EP03008065A patent/EP1361494B1/en not_active Expired - Lifetime
- 2003-04-14 AT AT08007721T patent/ATE538443T1/de active
- 2003-04-14 DE DE60321618T patent/DE60321618D1/de not_active Expired - Lifetime
- 2003-04-16 ZA ZA200302999A patent/ZA200302999B/xx unknown
- 2003-04-25 MX MXPA03003709A patent/MXPA03003709A/es active IP Right Grant
- 2003-04-29 BR BR0301034-1A patent/BR0301034A/pt not_active IP Right Cessation
- 2003-05-07 TW TW092112488A patent/TWI353154B/zh active
- 2003-05-07 PL PL03359993A patent/PL359993A1/xx not_active Application Discontinuation
- 2003-05-08 RU RU2003113549/09A patent/RU2337399C2/ru not_active IP Right Cessation
- 2003-05-09 NO NO20032094A patent/NO20032094L/no not_active Application Discontinuation
- 2003-05-09 CN CNB031234968A patent/CN100367249C/zh not_active Expired - Fee Related
- 2003-05-10 KR KR1020030029609A patent/KR100986568B1/ko active IP Right Grant
- 2003-05-12 JP JP2003133821A patent/JP4756817B2/ja not_active Expired - Fee Related
-
2004
- 2004-05-04 HK HK04103113.2A patent/HK1060201A1/xx not_active IP Right Cessation
-
2008
- 2008-05-13 RU RU2008118949/09A patent/RU2390838C2/ru not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| AU2003203708A1 (en) | 2003-11-27 |
| EP1939707B1 (en) | 2011-12-21 |
| RU2008118949A (ru) | 2009-11-20 |
| KR20030087990A (ko) | 2003-11-15 |
| EP1939707A1 (en) | 2008-07-02 |
| HK1060201A1 (en) | 2004-07-30 |
| ZA200302999B (en) | 2003-10-16 |
| RU2337399C2 (ru) | 2008-10-27 |
| BR0301034A (pt) | 2004-08-17 |
| CA2424782A1 (en) | 2003-11-10 |
| RU2390838C2 (ru) | 2010-05-27 |
| KR100986568B1 (ko) | 2010-10-07 |
| DE60321618D1 (de) | 2008-07-31 |
| JP2004005647A (ja) | 2004-01-08 |
| TWI353154B (en) | 2011-11-21 |
| EP1361494A3 (en) | 2004-01-14 |
| EP1361494A2 (en) | 2003-11-12 |
| PL359993A1 (en) | 2003-11-17 |
| US20030212806A1 (en) | 2003-11-13 |
| AU2003203708B2 (en) | 2009-12-10 |
| CN1456983A (zh) | 2003-11-19 |
| JP4756817B2 (ja) | 2011-08-24 |
| MXPA03003709A (es) | 2005-02-14 |
| ATE538443T1 (de) | 2012-01-15 |
| EP1361494B1 (en) | 2008-06-18 |
| NO20032094L (no) | 2003-11-11 |
| ATE398799T1 (de) | 2008-07-15 |
| NO20032094D0 (no) | 2003-05-09 |
| MY145724A (en) | 2012-03-30 |
| CN100367249C (zh) | 2008-02-06 |
| US7401235B2 (en) | 2008-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW200400741A (en) | Persistent authorization context based on external authentication | |
| JP4298969B2 (ja) | 認証信用証明書の委任の有効範囲を制御するための方法とシステム | |
| KR102313859B1 (ko) | 권한 위양 시스템, 그 제어 방법 및 클라이언트 | |
| KR101534890B1 (ko) | 신뢰된 장치별 인증 | |
| Boyd | Getting started with OAuth 2.0 | |
| US9306923B2 (en) | Image forming apparatus, method for controlling image forming apparatus, and storage medium therefor | |
| US8028325B2 (en) | Invocation of a third party's service | |
| US7716722B2 (en) | System and method of proxy authentication in a secured network | |
| EP1255179A2 (en) | Methods and arrangements for controlling access to resources based on authentication method | |
| TW200838257A (en) | Provisioning of digital identity representations | |
| CN111316267A (zh) | 使用委托身份的认证 | |
| JP2009205223A (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
| Vullings et al. | Secure federated authentication and authorisation to grid portal applications using saml and xacml | |
| Piger et al. | A comprehensive approach to self-restricted delegation of rights in grids | |
| Tijms et al. | Jakarta EE Foundations | |
| Chin et al. | GridFAME: Flexible Authentication Middleware Extension for Grids | |
| Carmichael et al. | Identity Management Whitepaper |