TW201802717A - 權限撤銷方法及裝置 - Google Patents

權限撤銷方法及裝置 Download PDF

Info

Publication number
TW201802717A
TW201802717A TW106118916A TW106118916A TW201802717A TW 201802717 A TW201802717 A TW 201802717A TW 106118916 A TW106118916 A TW 106118916A TW 106118916 A TW106118916 A TW 106118916A TW 201802717 A TW201802717 A TW 201802717A
Authority
TW
Taiwan
Prior art keywords
time
authorization
attribute value
attribute
record
Prior art date
Application number
TW106118916A
Other languages
English (en)
Other versions
TWI690819B (zh
Inventor
陳棟
Original Assignee
阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 阿里巴巴集團服務有限公司 filed Critical 阿里巴巴集團服務有限公司
Publication of TW201802717A publication Critical patent/TW201802717A/zh
Application granted granted Critical
Publication of TWI690819B publication Critical patent/TWI690819B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • G06F16/2379Updates performed during online database operations; commit processing
    • G06F16/2386Bulk updating operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申請公開了一種權限撤銷方法及裝置。一種權限撤銷方法包括:確定需要執行撤銷的授權記錄集合;為所確定的集合設置時效屬性值,令設置後的屬性值T0為當前時刻或未來時刻。本申請所提供的技術方案,透過一次修改操作就可以達到更新集合內所有記錄狀態的效果,無需逐條更新授權記錄,也不會受到多條授權記錄儲存位置不同的影響,從而有效提升了批量撤銷權限的處理效率,降低技術實現難度。

Description

權限撤銷方法及裝置
本申請關於權限控制技術領域,尤其關於一種權限撤銷方法及裝置。
電腦及互聯網技術的發展,使得用戶可以享受到很多便捷的功能。而隨著用戶需求的不斷提升,單一的功能主體有時難以滿足用戶的複合性需求,這種情況下,就需要多個相對獨立的功能主體之間以某種方式進行協作,共同為使用者提供服務。例如,為了滿足使用者的購物需求,需要電商平台、支付平台、物流平台等多方的協作。
為了實現原本相互獨立的功能主體之間的協作,除了在功能主體之間進行必要的資料交換之外,往往還需要功能主體之間相互開放一些必要的權限,例如:用戶的需求是透過應用A來修改個人保存在應用B的儲存目錄中的資訊(這裡假設應用A和網站B是由不同的廠商提供),那麼為了實現上述需求,就需要網站B向應用A開放對個人資訊資料的修改權限。
從安全性的角度考慮,授權方還應具備對已開放權限 的主動撤銷功能,常規的做法是:授權方對每一條已開放給被授權方的權限作為一條記錄寫入資料庫中,並且在每條記錄中增加一個用於表示該權限是否有效的屬性欄位,透過將該欄位值修改為“無效”來實現對權限的主動撤銷。這種方案存在的問題在於,每撤銷一條權限就需要對資料庫進行一次欄位更新操作,如果需要批量撤銷權限,則需要對相關的授權記錄進行逐條更新,在資料庫操作環境下,這種處理的實際效率是比較低的。而且“逐條更新”的操作邏輯也需要消耗較多的人力和時間成本來編寫實現,如果不同的授權記錄採用了分庫或分表的方式進行儲存,那麼相應的資料更新操作還需要涉及分庫或分表,從而導致技術實現難度的進一步提升。
針對上述技術問題,本申請提供技術方案如下:根據本申請的第一方面,提供一種資料庫授權記錄批量撤銷方法,為存在撤銷需求的授權記錄集合配置時效屬性,所述時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,所述方法包括:確定需要執行撤銷的授權記錄集合;為所確定的集合設置時效屬性值,令設置後的屬性值T0為當前時刻或未來時刻。
根據本申請的第二方面,提供一種資料庫授權記錄批量撤銷方法,為存在撤銷需求的授權記錄集合配置第一時 效屬性或者第二時效屬性,所述第一時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,所述第二時效屬性用於定義一個時間點,使得集合中授權生效時刻晚於該時間點的授權記錄失效,所述方法包括:確定需要執行撤銷的授權記錄集合;在該集合配置了第一時效屬性的情況下,確定該集合中授權記錄的最晚生效時刻,並為該集合設置第一時效屬性值,令設置後的第一時效屬性值T1>所述集合中授權記錄的最晚生效時刻;在該集合配置了第二時效屬性的情況下,確定該集合中授權記錄的最早生效時刻,並為該集合設置第二時效屬性值,令設置後的第二時效屬性值T2<所述集合中授權記錄的最早生效時刻。
根據本申請的第三方面,提供一種資料庫授權記錄有效性驗證方法,存在撤銷需求的授權記錄集合配置有第一時效屬性或者第二時效屬性,所述第一時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,所述第二時效屬性用於定義一個時間點,使得集合中授權生效時刻晚於該時間點的授權記錄失效,所述方法包括:確定待驗證的授權記錄;獲取所述待驗證授權記錄的生效時刻;獲取所述待驗證授權記錄所屬的授權記錄集合的第一 時效屬性值或者第二時效屬性值;在所獲取的生效時刻早於所獲取的第一時效屬性值的情況下,確定所述待驗證授權記錄無效;或者,在所獲取的生效時刻晚於所獲取的第二時效屬性值的情況下,確定所述待驗證授權記錄無效。
根據本申請的第四方面,提供一種資料庫授權記錄批量撤銷裝置,為存在撤銷需求的授權記錄集合配置時效屬性,所述時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,所述裝置包括:撤銷任務確定單元,用於確定需要執行撤銷的授權記錄集合;撤銷執行單元,用於為所確定的集合設置時效屬性值,令設置後的屬性值T0為當前時刻或未來時刻。
根據本申請的第五方面,提供一種資料庫授權記錄批量撤銷裝置,為存在撤銷需求的授權記錄集合配置第一時效屬性或者第二時效屬性,所述第一時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,所述第二時效屬性用於定義一個時間點,使得集合中授權生效時刻晚於該時間點的授權記錄失效,所述裝置包括:撤銷任務確定單元,用於確定需要執行撤銷的授權記錄集合;撤銷執行單元,用於在該集合配置了第一時效屬性的情況下,確定該集合中授權記錄的最晚生效時刻,並為該 集合設置第一時效屬性值,令設置後的第一時效屬性值T1>所述集合中授權記錄的最晚生效時刻;或者在該集合配置了第二時效屬性的情況下,確定該集合中授權記錄的最早生效時刻,並為該集合設置第二時效屬性值,令設置後的第二時效屬性值T2<所述集合中授權記錄的最早生效時刻。
根據本申請的第六方面,提供一種資料庫授權記錄有效性驗證裝置,其特徵在於,存在撤銷需求的授權記錄集合配置有第一時效屬性或者第二時效屬性,所述第一時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,所述第二時效屬性用於定義一個時間點,使得集合中授權生效時刻晚於該時間點的授權記錄失效,所述裝置包括:驗證物件確定單元,用於確定待驗證的授權記錄;第一獲取單元,用於獲取所述待驗證授權記錄的生效時刻;第二獲取單元,用於獲取所述待驗證授權記錄所屬的授權記錄集合的第一時效屬性值或者第二時效屬性值;驗證單元,用於在在所獲取的生效時刻早於所獲取的第一時效屬性值的情況下,確定所述待驗證授權記錄無效;或者,在所獲取的生效時刻晚於所獲取的第二時效屬性值的情況下,確定所述待驗證授權記錄無效。
根據本申請的第七方面,提供一種第三方應用授權權 杖的批量撤銷方法,所述方法包括:確定存在授權權杖撤銷需求的第三方應用;獲取當前時刻,為所確定的第三方應用設置時效屬性值,令設置後的屬性值T0=當前時刻;接收所述第三方應用提供的授權權杖;獲取所述授權權杖的有效性屬性值;如果所述有效性屬性值表示為有效,則進一步獲取所述授權權杖的生效時刻以及所述第三方應用的時效屬性值,如果所獲取的生效時刻早於所獲取的時效屬性值,則確定所述授權權杖無效;否則確定所述授權權杖有效。
本申請所提供的技術方案,首先為存在批量撤銷的權限記錄集合配置用於的時效屬性,這樣,透過修改該屬性的取值,就可以將權限記錄更新為無效狀態,從而實現對權限記錄的撤銷,而且該新增屬性並不會對現有屬性的表意造成影響;另一方面,由於該屬性是針對“集合”的屬性,因此一次修改操作就可以達到更新集合內所有記錄狀態的效果,無需逐條更新資料庫中的授權記錄,也不會受到多條授權記錄儲存位置不同的影響,從而有效提升了批量撤銷權限的處理效率,並且降低了技術實現難度。
應當理解的是,以上的一般描述和後文的細節描述僅是示例性和解釋性的,並不能限制本申請。
110‧‧‧撤銷物件確定單元
120‧‧‧撤銷執行單元
210‧‧‧驗證物件確定單元
220‧‧‧第一獲取單元
230‧‧‧第二獲取單元
240‧‧‧驗證單元
250‧‧‧第三獲取單元
為了更清楚地說明本申請實施例或現有技術中的技術 方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請中記載的一些實施例,對於本領域普通技術人員來講,還可以根據這些附圖獲得其他的附圖。
圖1是本申請的權限撤銷方法的流程示意圖;圖2是本申請的權限驗證方法的流程示意圖;圖3是本申請的權限授予、撤銷、驗證方法的整合流程示意圖;圖4是本申請的權限撤銷裝置的結構示意圖;圖5是本申請的權限驗證裝置的第一種結構示意圖。
圖6是本申請的權限驗證裝置的第二種結構示意圖。
為了使本領域技術人員更佳地理解本申請中的技術方案,下面將結合本申請實施例中的附圖,對本申請實施例中的技術方案進行詳細地描述,顯然,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例。基於本申請中的實施例,本領域普通技術人員所獲得的所有其他實施例,都應當屬於本申請保護的範圍。
對於授權方而言,每一條已開放給被授權方的權限都是以資料記錄的形式儲存在資料庫中,表1示出了一種權限記錄的資料結構示例,需要說明的是,該表中所示出的欄位屬性僅用於示意性說明,並不構成對方案本身的限制:
Figure TW201802717AD00001
根據現有技術中的權限管理方式,授權方僅是利用每條權限記錄中的“有效性”屬性欄位來控制該權限是否有效,當存在批量權限撤銷需求時,假設需要撤銷的權限記錄條數為n,則需要逐一對相應權限記錄的“有效性”屬性欄位進行修改,完成所有撤銷處理對應的理論演算法複雜度為O(n),如果這n條記錄儲存於不同的分庫或分表中,則實際的處理難度會進一步提高。
針對上述問題,本申請提供的方案是:將存在批量撤銷需求的權限記錄視為一個集合,並且為該集合配置一個用於整體控制有效性的屬性,以便透過一次性修改該屬性達到批量撤銷權限的效果。
根據實際的使用需求,需要進行批量撤銷的權限一般都會具有某種“共性”,這個“共性”體現為多條權限記錄具有相同的一個或多個屬性值,例如“需要進行批量撤銷的權限都屬於應用1”、“需要撤銷的權限都屬於用戶user001”等等。
確定存在批量權限撤銷需求的集合之後,為該集合配置新的屬性,該屬性的作用是:統一表示該集合中所有權 限記錄的有效性。為了避免該新增屬性與現有的單條記錄中的“有效性”屬性工作表意衝突,在本申請中,透過加入時間維度來對該新增屬性進行定義。對於某個給定集合,其新增屬性的意義可以是:為使授權記錄集合有效,所允許的最早授權生效時刻。根據實際的應用需求,該新增屬性的資料類型可以是“date(日期)”、“time(時間)”或其他形式的時間資料類型,無論使用哪種資料類型,其取值均會被視為一個對應於該取值的具體時間點。
也就是說,該屬性的取值定義了一個時間點T0,後續進行權限有效性驗證時,如果集合中某條權限記錄的生效時刻早於該時間點,則該條權限記錄將被視為無效,這種情況下,該條記錄自身的“有效性”屬性值將不再起作用;反之,如果集合中某條權限記錄的生效時刻等於或晚於該時間點,則可以進一步以該條記錄自身的“有效性”屬性值來判斷該條記錄的有效性。這樣,透過修改這個新增屬性的屬性值,就可以實現對集合內所有記錄狀態的一次性無效化處理。
以表1為例,假設表1所示的3條當前有效權限記錄構成一個集合(這裡暫不考慮該集合對應的實際應用意義,僅用於示意性說明),那麼,如果將該集合的“最早授權生效時刻”賦值為“2016/06/12”,則表1中3條權限記錄的生效時刻都早於該時刻,因此3條權限記錄都會被視為無效,從而透過一次資料修改實現了對3條授權記錄的批量撤銷。
綜上所述,本申請提供的權限批量撤銷方法可以包括如下步驟,如圖1所示:
S101,確定需要執行撤銷的授權記錄集合;這裡的“集合”是根據實際的使用需求進行定義,例如需要以“被授權方”為單位進行權限批量撤銷,則可以將針對不同被授權方的權限記錄定義為不同的集合;如果需要以“使用者”為單位進行權限批量撤銷,則可以將針對不同使用者的權限記錄定義為不同的集合。當然“集合”也可以利用多個屬性維度共同定義,這裡不再一一舉例說明。
S102,為所確定的集合設置時效屬性值,以實現對該集合中授權記錄的批量撤銷。
為描述方便,在下文中將以“時效屬性”來表示前述的“最早授權生效時刻”,需要注意的是,該“時效屬性”是一種針對集合的屬性,不應與針對單條記錄的“生效時刻”、“失效時刻”等屬性混淆。
根據前面對“時效屬性”的定義可知,理論上只要令修改後的時效屬性值滿足:T0>集合中授權記錄的最晚生效時刻,即可實現對集合中授權記錄的批量撤銷。
需要說明的是,對於date或time等類型的資料,其數學運算式中的“>”和“<”分別可以解釋為“晚於”和“早於”。以表1為例,3條授權記錄中,最晚的生效時刻是2016/06/10,那麼這裡令T0=2016/06/11、T0=2016/06/12、T0=2016/06/13……只要取值晚於 2016/06/10,都可以滿足批量撤銷權限的需求。
根據本申請的一種實施方式,在需要執行批量撤銷操作時,可以首先確定該集合中授權記錄的最晚生效時刻,然後設置任意T0值令其滿足“T0>集合中授權記錄的最晚生效時刻”即可。
實際應用中,也可以直接將T0設置為當前時刻或未來時刻,從而避免“確定集合中授權記錄的最晚生效時刻”的步驟。
如果只是要對集合對應的權限進行臨時撤銷處理,後續仍然有再授權的可能,則可以對T0的取值範圍做進一步的限定:假設能夠預先確定該集合中各條記錄的下次最早授權生效時刻,則需要令屬性值T0進一步滿足:T0<下次最早授權生效時刻。仍以表1為例,假設已知本次權限被批量撤銷後,將在2016/06/20開始開放再次授權,則為了保證在2016/06/20以後的授權不受這個時效屬性值的影響,需要令T0早於2016/06/20。
根據本申請的一種實施方式:在需要執行批量撤銷操作時,獲取當前的時刻資訊,並直接令T0=當前時刻。由於“當前時刻”必然同時滿足“T0<下次最早授權生效時刻”以及“T0>集合中授權記錄的最晚生效時刻”因此該T0值既能保證對集合中已有權限的批量撤銷,又不會對後續的再次授權產生影響。
可以理解的是,為了實現對時刻早晚的比較,可能需要根據實際的需求對屬性值的時間精度做進一步的要求, 例如精確到小時/分/秒等等,這裡不再做展開說明。
相應於上述的權限批量撤銷方法,本申請還進一步提供對資料庫授權記錄有效性的驗證方法,參見圖2所示,該方法可以包括以下步驟:S201,確定待驗證的授權記錄;S202,獲取待驗證授權記錄的生效時刻;S203,獲取待驗證授權記錄所屬的授權記錄集合的時效屬性值;S204,在所獲取的生效時刻早於所獲取的時效屬性值的情況下,確定所述待驗證授權記錄無效。
根據本申請方案,授權方可以根據待驗證方提供的權限證明信息,確定與該證明信息對應的授權記錄以及其所屬的集合,然後進一步獲取相關資料進行比較以驗證權限的有效性。與現有技術相比,本申請在驗證某條授權記錄是否有效時,需要找到該授權記錄所屬的集合,然後根據該集合的“時效屬性”判斷該條授權記錄是否有效。這裡可能會涉及到兩種情形:1)僅利用本申請所增加的“時效屬性”來驗證授權記錄是否有效:這種情況下,不再考慮現有技術中針對單條授權記錄的“有效性”屬性,如果單條記錄的生效時刻早於集合的時效屬性值,則確定該條授權記錄無效;反之,如果單條記錄的生效時刻晚於或等於集合的時效屬性值,則確定該條授權記錄有效; 2)綜合利用單條授權記錄的“有效性”以及“時效屬性”來驗證授權記錄是否有效:這種情況下,只有當“單條記錄的狀態為有效”且“單條記錄的生效時刻晚於或等於集合的時效屬性值”兩個條件同時滿足時,才會確定該條授權記錄有效,否則均會認為該條授權記錄是無效的,實際應用中,對兩個條件的判斷先後順序並不需要進行限定。
在前面的實施例中,是將利用“時效屬性”定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效。根據類似的思路,還可以對“時效屬性”進行其他定義,例如,在本申請的一種實施方式中,可以將“時效屬性”定義為:為使授權記錄集合有效,所允許的最晚授權生效時刻。
也就是說,該屬性的取值定義了一個時間點T0,後續進行權限有效性驗證時,如果集合中某條權限記錄的生效時刻晚於該時間點,則該條權限記錄將被視為無效。
相應地,在需要執行批量撤銷操作時,處理方式變為(相對於S102):首先確定該集合中授權記錄的最早生效時刻,然後設置任意T0值令其滿足“T0>集合中授權記錄的最早生效時刻”即可。
進而,在需要驗證記錄有效性時,判斷邏輯變為(相對於S204):在所獲取的生效時刻晚於所獲取的時效屬性值的情況下,確定待驗證授權記錄無效。
在本實施例中,儘管改變了時效屬性的定義,但是整 體的處理邏輯與前面的實施例基本類似,因此本實施例僅對區別之處進行重點說明,其他部分不再贅述。
另外需要說明的是,本申請方案中所描述的“生效時刻”,所指代的是某個權限的生成或開始發生作用的一個時間點,不應狹義地理解為資料庫中的“生效時刻”欄位。例如,在不同的資料庫中,用於表示上述時間點的屬性欄位名稱具體可能是“權限生效時刻/時間/日期”、“權限創建時刻/時間/日期”、“授權時刻/時間/日期”等形式,這些並不影響本申請方案的實施。
而且,在有些情況下,資料庫中可能存在多個不同的欄位均能起到相似的作用。例如,在有些資料庫中,存在“權限創建時刻”和“權限生效時刻”兩個屬性欄位,其中後者相對前者而言可能存在少量的延遲,但是根據實際的應用需求,在需要進行批量權項撤銷時,一般“創建”和“生效”都已經完成,這種情況下,在應用本申請方案時,使用這兩個屬性欄位作為前面方案中“生效時刻”均可以達到相同的權限批量撤銷、以及權限有效性驗證效果。這些情形也均應視為本申請的保護範圍。
下面將結合一個具體的應用實例,對本申請所提供的技術方案進行說明:OAUTH(Open Authorization)協議為使用者資源的授權提供了一個安全的、開放而又簡易的標準。對於授權方而言,通過OAUTH授予被授權方的權限,可以令被授權方無需觸及使用者的帳戶資訊(如用戶名與密碼)就能 夠訪問到用戶在授權方的資源。
假設當前的需求場景是:用戶透過某影像處理應用A1來修改個人保存在網站B上的照片,為滿足上述需求,需要網站B向影像處理應用A1開放對照片資料的修改權限,根據OAUTH協定,授權過程如圖3所示。
S301,用戶請求透過應用A1修改自己保存在網站B上的照片;S302,應用A1請求網站B授權自己訪問用戶的照片;S303,網站B詢問用戶是否授權應用A1訪問照片;S304,用戶確認授權;S305,網站B返回權杖給應用A1 S306,應用A1持權杖訪問用戶照片。
上述的“一個權杖”即對應與授權方開放給被授權方的一條權限記錄,對於授權方而言,權杖資料保存在資料庫中,一條權杖資料的關鍵屬性可以包括:權杖標識:用來唯一區分權杖;被授權方標識:權杖頒發給哪個被授權方,例如“影像處理應用A1”;使用者標識:權杖歸屬於哪個用戶,例如“張三”;權杖生效時刻:取值為一個具體的時間點,例如2016/06/01、2016/06/01-13:00:00等;權杖失效時刻:取值為一個具體的時間點,例如2017/06/01、2017/06/01-13:00:00等; 權杖當前有效性:取值表示為有效或無效。
實際使用過程中,會有大量的用戶使用應用A1來修改自己在網站B上的照片,因此網站B需要針對這些使用者分別向應用A1頒發權杖,已頒發的權杖記錄在權杖資料表中,如表2所示:
Figure TW201802717AD00002
假設網站B希望以“被授權方”為單位,批量撤回已頒發給某個或某些特定被授權應用的權杖,那麼根據本申請方案,可以根據不同的被授權方來劃分不同的權杖集合,並為每個權杖集合配置對應的“最早授權生效時刻”屬性。
一種具體的實施方式是:在被授權應用的屬性工作表(如果該表不存在可以新建)中增加一個“最早授權生效時刻”屬性,如表3所示:
Figure TW201802717AD00003
假設現在網站B出於安全目的,需要對所有授權給應用A1的權杖進行批量撤銷,那麼,根據本申請方案,網站B可以直接對被授權應用屬性工作表中“應用A1”對應的“最早授權生效時刻”屬性值進行修改,如圖3的S307所示。這裡採用直接將該屬性值修改為當前時刻的方式,假設當前時刻為2017/06/15,則寫入屬性值後的結果如表4所示:
Figure TW201802717AD00004
至此,對應用A1權杖的批量撤銷操作已經完成,該操作將對表2中的前3條資料記錄(被授權方為應用A1)產生影響,而無需逐一對這3條記錄的“有效性”屬性進行修改。
如圖3的S308-S309所示,後續當應用A1再次持權杖訪問網站B時,網站B通過查詢權杖屬性工作表獲得該權杖的生效時刻,並且透過查詢被授權應用屬性工作表獲得A1的最早授權生效時刻,對於表2中所示的前3條權杖記錄而言,由於其“生效時刻”均早於應用A1的“最早授權生效時刻”,因此這3個權杖實際都會被認定為無效。
另一方面,如果後續需要再次對A1進行授權,則其授權生效時刻必然會晚於當前已記錄的“最早授權生效時刻”(這裡假設撤銷權杖和再次頒發權杖不會在同一天發生,如果有該需求則適應性調整相關屬性值的資料精度即可),因此後續再次頒發給應用A1的權杖的有效性將不會受到這個“最早授權生效時刻”的影響。
實際應用時,可能還需要結合權杖本身的“有效性”以及權杖集合的“最早授權生效時刻”進行綜合判斷,只有當“權杖的狀態為有效”且“權杖的生效時刻晚於或等於權杖集合的最早授權生效時刻”兩個條件同時滿足時,才會確定該權杖是有效的,如果兩個條件中任一條件無法滿足,均會認為該條權杖無效,當然,對上述兩個條件的判斷先後順序並不需要進行限定。
可見,與現有技術相比,應用本申請方案,對於需要批量撤銷的n條權限記錄,可以將撤銷處理對應的理論演算法複雜度由O(n)縮減至O(1)。另外,由於本申請方案僅需要對資料庫做一次資料修改即可實現權限的批量撤 銷,因此不需要考慮權限記錄的分庫或分表儲存等諸多複雜情況,有效地降低了方案的實際技術實現難度。
相應於上述方法實施例,本申請還提供一種資料庫授權記錄批量撤銷裝置,參見圖4所示,該裝置可以包括:撤銷物件確定單元110,用於確定需要執行撤銷的授權記錄集合;撤銷執行單元120,用於為所確定的集合設置時效屬性值,用於為所確定的集合設置時效屬性值,令設置後的屬性值T0為當前時刻或未來時刻。
在本申請的一種具體實施方式中,授權記錄集合可以為:針對相同被授權方的授權記錄。
在本申請的一種具體實施方式中,針對需要執行撤銷的授權記錄集合,在能夠確定下次最早授權生效時刻的情況下,撤銷執行單元110可以具體用於:為所確定的集合設置時效屬性值,令修改後的屬性值T0進一步滿足:集合中授權記錄的最晚生效時刻<T0<下次最早授權生效時刻。
在本申請的一種具體實施方式中,撤銷執行單元110可以具體用於:獲取當前時刻,為所確定的集合設置時效屬性值,令修改後的屬性值T0=當前時刻。
在本申請的另一種具體實施方式中,撤銷執行單元120也可以用於: 在集合配置了第一時效屬性的情況下,確定該集合中授權記錄的最晚生效時刻,並為該集合設置第一時效屬性值,令設置後的第一時效屬性值T1>所述集合中授權記錄的最晚生效時刻;或者在集合配置了第二時效屬性的情況下,確定該集合中授權記錄的最早生效時刻,並為該集合設置第二時效屬性值,令設置後的第二時效屬性值T2<所述集合中授權記錄的最早生效時刻。
其中,上述的第一時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,上述的第二時效屬性用於定義一個時間點,使得集合中授權生效時刻晚於該時間點的授權記錄失效。
本申請還提供一種資料庫授權記錄有效性驗證裝置,如圖5所示,該裝置可以包括:驗證物件確定單元210,用於確定待驗證的授權記錄;第一獲取單元220,用於獲取待驗證授權記錄的生效時刻;第二獲取單元230,用於獲取所述待驗證授權記錄所屬的授權記錄集合的第一時效屬性值或者第二時效屬性值;驗證單元240,用於在在所獲取的生效時刻早於所獲取的第一時效屬性值的情況下,確定所述待驗證授權記錄無效;或者, 在所獲取的生效時刻晚於所獲取的第二時效屬性值的情況下,確定所述待驗證授權記錄無效。
參見圖6所示,在本申請的一種具體實施方式中,上述資料庫授權記錄有效性驗證裝置還可以進一步包括第三獲取單元250,用於獲取所述待驗證授權記錄的有效性屬性值;相應地,驗證單元240還可以用於:在所獲取的有效性屬性值表示為有效、且所獲取的生效時刻不早於所獲取的第一時效屬性值的情況下,確定待驗證授權記錄有效;或者在所獲取的有效性屬性值表示為有效、且所獲取的生效時刻不晚於所獲取的第二時效屬性值的情況下,確定待驗證授權記錄無效。
通過以上的實施方式的描述可知,本領域的技術人員可以清楚地瞭解到本申請可借助軟體加必需的通用硬體平台的方式來實現。基於這樣的理解,本申請的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該電腦軟體產品可以儲存在儲存媒體中,如ROM/RAM、磁碟、光碟等,包括若干指令用以使得一台電腦設備(可以是個人電腦,伺服器,或者網路設備等)執行本申請各個實施例或者實施例的某些部分所述的方法。
本說明書中的各個實施例均採用遞進的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例 重點說明的都是與其他實施例的不同之處。尤其,對於裝置實施例而言,由於其基本相似於方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的模組可以是或者也可以不是物理上分開的,在實施本申請方案時可以把各模組的功能在同一個或多個軟體和/或硬體中實現。也可以根據實際的需要選擇其中的部分或者全部模組來實現本實施例方案的目的。本領域普通技術人員在不付出創造性勞動的情況下,即可以理解並實施。
以上所述僅是本申請的具體實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本申請原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本申請的保護範圍。

Claims (11)

  1. 一種資料庫授權記錄批量撤銷方法,其特徵在於,為存在撤銷需求的授權記錄集合配置時效屬性,該時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,該方法包括:確定需要執行撤銷的授權記錄集合;為所確定的集合設置時效屬性值,令設置後的屬性值T0為當前時刻或未來時刻。
  2. 根據申請專利範圍第1項所述的方法,其中,該授權記錄集合為:針對相同被授權方的授權記錄。
  3. 根據申請專利範圍第1項所述的方法,其中,針對該需要執行撤銷的授權記錄集合,在能夠確定下次最早授權生效時刻的情況下,所述令設置後的屬性值T0為未來時刻,包括:令設置後的屬性值T0為未來時刻,並且滿足:T0<下次最早授權生效時刻。
  4. 一種資料庫授權記錄批量撤銷方法,其特徵在於,為存在撤銷需求的授權記錄集合配置第一時效屬性或者第二時效屬性,該第一時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,該第二時效屬性用於定義一個時間點,使得集合中授權生效時刻晚於該時間點的授權記錄失效,該方法包括:確定需要執行撤銷的授權記錄集合;在該集合配置了第一時效屬性的情況下,確定該集合 中授權記錄的最晚生效時刻,並為該集合設置第一時效屬性值,令設置後的第一時效屬性值T1>所述集合中授權記錄的最晚生效時刻;在該集合配置了第二時效屬性的情況下,確定該集合中授權記錄的最早生效時刻,並為該集合設置第二時效屬性值,令設置後的第二時效屬性值T2<所述集合中授權記錄的最早生效時刻。
  5. 一種資料庫授權記錄有效性驗證方法,其特徵在於,存在撤銷需求的授權記錄集合配置有第一時效屬性或者第二時效屬性,該第一時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,該第二時效屬性用於定義一個時間點,使得集合中授權生效時刻晚於該時間點的授權記錄失效,該方法包括:確定待驗證的授權記錄;獲取該待驗證授權記錄的生效時刻;獲取該待驗證授權記錄所屬的授權記錄集合的第一時效屬性值或者第二時效屬性值;在所獲取的生效時刻早於所獲取的第一時效屬性值的情況下,確定該待驗證授權記錄無效;或者,在所獲取的生效時刻晚於所獲取的第二時效屬性值的情況下,確定該待驗證授權記錄無效。
  6. 根據申請專利範圍第5項所述的方法,其中,該方法還包括:獲取該待驗證授權記錄的有效性屬性值; 在所獲取的有效性屬性值表示為無效的情況下,確定該待驗證授權記錄無效;在所獲取的有效性屬性值表示為有效、且所獲取的生效時刻不早於所獲取的第一時效屬性值的情況下,確定該待驗證授權記錄有效;或者在所獲取的有效性屬性值表示為有效、且所獲取的生效時刻不晚於所獲取的第二時效屬性值的情況下,確定該待驗證授權記錄無效。
  7. 一種第三方應用授權權杖的批量撤銷方法,其特徵在於,該方法包括:確定存在授權權杖撤銷需求的第三方應用;獲取當前時刻,為所確定的第三方應用設置時效屬性值,令設置後的屬性值T0=當前時刻;接收該第三方應用提供的授權權杖;獲取該授權權杖的有效性屬性值;如果該有效性屬性值表示為有效,則進一步獲取該授權權杖的生效時刻以及該第三方應用的時效屬性值,如果所獲取的生效時刻早於所獲取的時效屬性值,則確定該授權權杖無效;否則確定該授權權杖有效。
  8. 一種資料庫授權記錄批量撤銷裝置,其特徵在於,為存在撤銷需求的授權記錄集合配置時效屬性,該時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,該裝置包括:撤銷任務確定單元,用於確定需要執行撤銷的授權記 錄集合;撤銷執行單元,用於為所確定的集合設置時效屬性值,令設置後的屬性值T0為當前時刻或未來時刻。
  9. 一種資料庫授權記錄批量撤銷裝置,其特徵在於,為存在撤銷需求的授權記錄集合配置第一時效屬性或者第二時效屬性,該第一時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,該第二時效屬性用於定義一個時間點,使得集合中授權生效時刻晚於該時間點的授權記錄失效,該裝置包括:撤銷任務確定單元,用於確定需要執行撤銷的授權記錄集合;撤銷執行單元,用於在該集合配置了第一時效屬性的情況下,確定該集合中授權記錄的最晚生效時刻,並為該集合設置第一時效屬性值,令設置後的第一時效屬性值T1>所述集合中授權記錄的最晚生效時刻;或者在該集合配置了第二時效屬性的情況下,確定該集合中授權記錄的最早生效時刻,並為該集合設置第二時效屬性值,令設置後的第二時效屬性值T2<所述集合中授權記錄的最早生效時刻。
  10. 一種資料庫授權記錄有效性驗證裝置,其特徵在於,存在撤銷需求的授權記錄集合配置有第一時效屬性或者第二時效屬性,該第一時效屬性用於定義一個時間點,使得集合中授權生效時刻早於該時間點的授權記錄失效,該第二時效屬性用於定義一個時間點,使得集合中授權生 效時刻晚於該時間點的授權記錄失效,該裝置包括:驗證物件確定單元,用於確定待驗證的授權記錄;第一獲取單元,用於獲取該待驗證授權記錄的生效時刻;第二獲取單元,用於獲取該待驗證授權記錄所屬的授權記錄集合的第一時效屬性值或者第二時效屬性值;驗證單元,用於在所獲取的生效時刻早於所獲取的第一時效屬性值的情況下,確定該待驗證授權記錄無效;或者,在所獲取的生效時刻晚於所獲取的第二時效屬性值的情況下,確定該待驗證授權記錄無效。
  11. 根據申請專利範圍第10項所述的裝置,其中,該裝置還包括:第三獲取單元,用於獲取該待驗證授權記錄的有效性屬性值;該驗證單元,還用於:在所獲取的有效性屬性值表示為有效、且所獲取的生效時刻不早於所獲取的第一時效屬性值的情況下,確定該待驗證授權記錄有效;或者在所獲取的有效性屬性值表示為有效、且所獲取的生效時刻不晚於所獲取的第二時效屬性值的情況下,確定該待驗證授權記錄無效。
TW106118916A 2016-07-05 2017-06-07 權限撤銷方法及裝置 TWI690819B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201610523017.4A CN106878002B (zh) 2016-07-05 2016-07-05 一种权限撤销方法及装置
CN201610523017.4 2016-07-05
??201610523017.4 2016-07-05

Publications (2)

Publication Number Publication Date
TW201802717A true TW201802717A (zh) 2018-01-16
TWI690819B TWI690819B (zh) 2020-04-11

Family

ID=59238926

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106118916A TWI690819B (zh) 2016-07-05 2017-06-07 權限撤銷方法及裝置

Country Status (9)

Country Link
US (3) US11017063B2 (zh)
EP (1) EP3484096B1 (zh)
JP (1) JP6733028B2 (zh)
KR (1) KR102194061B1 (zh)
CN (1) CN106878002B (zh)
MY (1) MY196366A (zh)
SG (1) SG11201900035VA (zh)
TW (1) TWI690819B (zh)
WO (1) WO2018006715A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106878002B (zh) 2016-07-05 2020-04-24 阿里巴巴集团控股有限公司 一种权限撤销方法及装置
CN108390876B (zh) * 2018-02-13 2021-12-14 西安电子科技大学 支持撤销外包可验证多授权中心访问控制方法、云服务器
CN110099043B (zh) * 2019-03-24 2021-09-17 西安电子科技大学 支持策略隐藏的多授权中心访问控制方法、云存储系统
CN112312165A (zh) * 2020-10-19 2021-02-02 中移(杭州)信息技术有限公司 视频下发方法、装置及计算机可读存储介质
JP7180017B1 (ja) 2022-01-28 2022-11-29 株式会社オービック 更新制御装置、更新制御方法、及び、更新制御プログラム

Family Cites Families (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3905022A (en) * 1973-06-26 1975-09-09 Addressograph Multigraph Data entry terminal having data correction means
US4031518A (en) * 1973-06-26 1977-06-21 Addressograph Multigraph Corporation Data capture terminal
US3931614A (en) * 1973-06-26 1976-01-06 Addressograph Multigraph Corporation Data terminal having improved data output presentation
US7162635B2 (en) * 1995-01-17 2007-01-09 Eoriginal, Inc. System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents
US6766450B2 (en) * 1995-10-24 2004-07-20 Corestreet, Ltd. Certificate revocation system
US7337315B2 (en) * 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US6301659B1 (en) * 1995-11-02 2001-10-09 Silvio Micali Tree-based certificate revocation system
US5937159A (en) * 1997-03-28 1999-08-10 Data General Corporation Secure computer system
US6128740A (en) * 1997-12-08 2000-10-03 Entrust Technologies Limited Computer security system and method with on demand publishing of certificate revocation lists
US6898711B1 (en) * 1999-01-13 2005-05-24 International Business Machines Corporation User authentication system and method for multiple process applications
WO2001006701A1 (en) * 1999-07-15 2001-01-25 Sudia Frank W Certificate revocation notification systems
US6948061B1 (en) * 2000-09-20 2005-09-20 Certicom Corp. Method and device for performing secure transactions
US7039803B2 (en) * 2001-01-26 2006-05-02 International Business Machines Corporation Method for broadcast encryption and key revocation of stateless receivers
US7350231B2 (en) * 2001-06-06 2008-03-25 Yahoo ! Inc. System and method for controlling access to digital content, including streaming media
US20030018606A1 (en) * 2001-07-17 2003-01-23 International Business Machines Corporation Revocation of tokens without communication between the token holders and the token server
FI20021738A0 (fi) * 2002-09-30 2002-09-30 Ssh Comm Security Oyj Menetelmä sertifikaattien hylkylistojen muodostamiseksi
US8010783B1 (en) * 2004-04-15 2011-08-30 Aol Inc. Service provider invocation
US8042163B1 (en) * 2004-05-20 2011-10-18 Symatec Operating Corporation Secure storage access using third party capability tokens
US7614082B2 (en) * 2005-06-29 2009-11-03 Research In Motion Limited System and method for privilege management and revocation
US20070294114A1 (en) * 2005-12-14 2007-12-20 Healthunity Corporation Record sharing privacy system and method
US9195665B2 (en) * 2006-04-28 2015-11-24 Hewlett-Packard Development Company, L.P. Method and system for data retention
US20080109361A1 (en) * 2006-11-08 2008-05-08 Healthunity Corporation Health record access system and method
EP2045767B1 (en) * 2007-10-01 2012-08-29 Accenture Global Services Limited Mobile data collection and validation systems and methods
WO2009070430A2 (en) * 2007-11-08 2009-06-04 Suridx, Inc. Apparatus and methods for providing scalable, dynamic, individualized credential services using mobile telephones
US9286742B2 (en) * 2008-03-31 2016-03-15 Plantronics, Inc. User authentication system and method
US8200655B2 (en) * 2009-01-22 2012-06-12 International Business Machines Corporation Query-based generation of data records
US8893232B2 (en) * 2009-02-06 2014-11-18 Empire Technology Development Llc Media monitoring system
EP2302534B1 (en) * 2009-09-18 2017-12-13 Software AG Method for mass-deleting data records of a database system
EP2529300A4 (en) * 2010-01-27 2017-05-03 Varonis Systems, Inc. Time dependent access permissions
US8745380B2 (en) * 2010-02-26 2014-06-03 Red Hat, Inc. Pre-encoding a cached certificate revocation list
US8423764B2 (en) * 2010-06-23 2013-04-16 Motorola Solutions, Inc. Method and apparatus for key revocation in an attribute-based encryption scheme
JP5531819B2 (ja) 2010-06-28 2014-06-25 株式会社リコー 管理装置,ライセンス管理サーバ,電子機器,電子機器管理システム,管理方法,プログラム,および記録媒体
JP5129313B2 (ja) * 2010-10-29 2013-01-30 株式会社東芝 アクセス認可装置
US9083535B2 (en) * 2010-11-05 2015-07-14 Nokia Corporation Method and apparatus for providing efficient management of certificate revocation
US8839381B2 (en) * 2010-12-07 2014-09-16 Microsoft Corporation Revoking delegatable anonymous credentials
US8572730B1 (en) * 2011-02-28 2013-10-29 Symantec Corporation Systems and methods for revoking digital signatures
JP5583630B2 (ja) 2011-05-09 2014-09-03 日本電信電話株式会社 代理申請認可システム及び代理申請認可方法
WO2012177845A2 (en) * 2011-06-23 2012-12-27 Pharmorx Security, Inc Systems and methods for tracking and authenticating goods
US10366390B2 (en) * 2011-09-23 2019-07-30 Visa International Service Association Automatic refresh authorization for expired payment transaction authorizations
JP5830362B2 (ja) * 2011-11-15 2015-12-09 株式会社インフォクラフト 分散アクセス制御方法
US8904494B2 (en) * 2011-12-12 2014-12-02 Avira B.V. System and method to facilitate compliance with COPPA for website registration
US8898743B1 (en) * 2012-02-27 2014-11-25 Google Inc. Personal content control on media device using mobile user device
US9053293B2 (en) * 2012-05-15 2015-06-09 Sap Se Personal authentications on computing devices
JP6006533B2 (ja) * 2012-05-25 2016-10-12 キヤノン株式会社 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法
US9256722B2 (en) * 2012-07-20 2016-02-09 Google Inc. Systems and methods of using a temporary private key between two devices
US9530130B2 (en) * 2012-07-30 2016-12-27 Mastercard International Incorporated Systems and methods for correction of information in card-not-present account-on-file transactions
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
CN103678392A (zh) * 2012-09-20 2014-03-26 阿里巴巴集团控股有限公司 一种数据增量合并的方法及其装置
US9076002B2 (en) * 2013-03-07 2015-07-07 Atmel Corporation Stored authorization status for cryptographic operations
US8997187B2 (en) * 2013-03-15 2015-03-31 Airwatch Llc Delegating authorization to applications on a client device in a networked environment
US9098687B2 (en) * 2013-05-03 2015-08-04 Citrix Systems, Inc. User and device authentication in enterprise systems
US9536065B2 (en) * 2013-08-23 2017-01-03 Morphotrust Usa, Llc System and method for identity management
US9876803B2 (en) * 2013-08-23 2018-01-23 Morphotrust Usa, Llc System and method for identity management
US9407620B2 (en) * 2013-08-23 2016-08-02 Morphotrust Usa, Llc System and method for identity management
US9898880B2 (en) * 2013-09-10 2018-02-20 Intel Corporation Authentication system using wearable device
US9412031B2 (en) * 2013-10-16 2016-08-09 Xerox Corporation Delayed vehicle identification for privacy enforcement
CN104639586B (zh) * 2013-11-13 2018-06-08 阿里巴巴集团控股有限公司 一种数据交互方法和系统
US9577823B2 (en) * 2014-03-21 2017-02-21 Venafi, Inc. Rule-based validity of cryptographic key material
KR101926052B1 (ko) * 2014-05-12 2018-12-06 삼성에스디에스 주식회사 출입 관리 시스템 및 방법
US9208284B1 (en) * 2014-06-27 2015-12-08 Practice Fusion, Inc. Medical professional application integration into electronic health record system
US9712537B2 (en) * 2014-07-25 2017-07-18 Accenture Global Services Limited Aggregated data in a mobile device for displaying cluster sessions
US9712635B2 (en) * 2014-07-25 2017-07-18 Accenture Global Services Limited Aggregated data in a mobile device for session object
US10678880B2 (en) * 2014-08-07 2020-06-09 Greenman Gaming Limited Digital key distribution mechanism
US9350726B2 (en) * 2014-09-11 2016-05-24 International Business Machines Corporation Recovery from rolling security token loss
US9361093B2 (en) * 2014-10-01 2016-06-07 Sap Se Revoking a zero downtime upgrade
JP6303979B2 (ja) * 2014-10-29 2018-04-04 株式会社リコー 情報処理システム、情報処理装置、情報処理方法およびプログラム
US10356053B1 (en) * 2014-12-12 2019-07-16 Charles Schwab & Co., Inc. System and method for allowing access to an application or features thereof on each of one or more user devices
WO2016163979A1 (en) * 2015-04-06 2016-10-13 Hewlett Packard Enterprise Development Lp Certificate generation
US9824351B2 (en) * 2015-05-27 2017-11-21 Bank Of America Corporation Providing access to account information using authentication tokens
US9830591B2 (en) * 2015-05-27 2017-11-28 Bank Of America Corporation Providing access to account information using authentication tokens
CN104980438B (zh) * 2015-06-15 2018-07-24 中国科学院信息工程研究所 一种虚拟化环境中数字证书撤销状态检查的方法和系统
US9853820B2 (en) * 2015-06-30 2017-12-26 Microsoft Technology Licensing, Llc Intelligent deletion of revoked data
CN105072180B (zh) * 2015-08-06 2018-02-09 武汉科技大学 一种有权限时间控制的云存储数据安全共享方法
US20170147808A1 (en) * 2015-11-19 2017-05-25 International Business Machines Corporation Tokens for multi-tenant transaction database identity, attribute and reputation management
CN105553675B (zh) * 2016-01-29 2019-05-10 北京小米移动软件有限公司 登录路由器的方法及装置
US10218701B2 (en) * 2016-03-09 2019-02-26 Avaya Inc. System and method for securing account access by verifying account with email provider
US10469526B2 (en) * 2016-06-06 2019-11-05 Paypal, Inc. Cyberattack prevention system
CN106878002B (zh) 2016-07-05 2020-04-24 阿里巴巴集团控股有限公司 一种权限撤销方法及装置
US10735197B2 (en) * 2016-07-29 2020-08-04 Workday, Inc. Blockchain-based secure credential and token management across multiple devices
US11106812B2 (en) * 2019-05-09 2021-08-31 At&T Intellectual Property I, L.P. Controlling access to datasets described in a cryptographically signed record

Also Published As

Publication number Publication date
EP3484096A1 (en) 2019-05-15
EP3484096A4 (en) 2019-07-17
SG11201900035VA (en) 2019-02-27
CN106878002B (zh) 2020-04-24
CN106878002A (zh) 2017-06-20
KR102194061B1 (ko) 2020-12-23
JP6733028B2 (ja) 2020-07-29
JP2019525317A (ja) 2019-09-05
US11017063B2 (en) 2021-05-25
US11017065B2 (en) 2021-05-25
US11397797B2 (en) 2022-07-26
WO2018006715A1 (zh) 2018-01-11
MY196366A (en) 2023-03-27
TWI690819B (zh) 2020-04-11
US20190156001A1 (en) 2019-05-23
EP3484096B1 (en) 2021-06-02
US20210286862A1 (en) 2021-09-16
US20200143018A1 (en) 2020-05-07
KR20190025981A (ko) 2019-03-12

Similar Documents

Publication Publication Date Title
TWI690819B (zh) 權限撤銷方法及裝置
US12008561B2 (en) System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks
US11762970B2 (en) Fine-grained structured data store access using federated identity management
WO2018076763A1 (zh) 区块链上交易的方法、系统、电子装置及存储介质
EP4002758A1 (en) Security token validation
EP4111641A1 (en) Decentralized authentication anchored by decentralized identifiers
US10049205B2 (en) Asserting identities of application users in a database system based on delegated trust
EP1701286A2 (en) Delegating right to access resource or the like in access management system or the like
US20150379293A1 (en) Integrating a user&#39;s security context in a database for access control
CN104255007A (zh) Oauth框架
US8370914B2 (en) Transition from WS-Federation passive profile to active profile
WO2020251693A1 (en) Channeling data with decentralized identity stores
EP3839791B1 (en) Identification and authorization of transactions via smart contracts
US11411736B2 (en) Automatic renewal of a verifiable claim
US11184334B2 (en) Control of the delegated use of DID-related data
WO2021164194A1 (zh) 一种基于区块链的积分管理方法及相关装置
CN115191104A (zh) 由去中心化标识符锚定的去中心化标识
CN113632088A (zh) 用于did证明的回调模式
JP2013182375A (ja) サービス利用管理方法、プログラム、および情報処理装置
US20230028555A1 (en) Associating decentralized identifiers with one or more devices
US9231955B1 (en) Multiparty authorization for controlling resource access
EP4018614A1 (en) Did delegation/revocation to another did
US20240214228A1 (en) Blockchain based public key infrastructure
US12021868B2 (en) Securing authentication flows using a decentralized identifier
Li et al. An authorisation certificate-based access control model