TWI353154B - Method, system and computer readable medium for pr - Google Patents
Method, system and computer readable medium for pr Download PDFInfo
- Publication number
- TWI353154B TWI353154B TW092112488A TW92112488A TWI353154B TW I353154 B TWI353154 B TW I353154B TW 092112488 A TW092112488 A TW 092112488A TW 92112488 A TW92112488 A TW 92112488A TW I353154 B TWI353154 B TW I353154B
- Authority
- TW
- Taiwan
- Prior art keywords
- identifier
- sid
- user
- computer
- puid
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)
- Peptides Or Proteins (AREA)
- Studio Devices (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Hardware Redundancy (AREA)
- Electric Double-Layer Capacitors Or The Like (AREA)
- Exhaust Gas Treatment By Means Of Catalyst (AREA)
Description
1353154 九〕、身a月說明 【發明所屬之技術領域】 本發明一般係相關於電腦存取控制,尤其係基於一使 用者的外部鑑別’以將區域系統授權背景(丨〇ca丨syStem authorization context)提供給該使用者之方法和系統。 【先前技術】 對於電腦安全而言’存取控制是重要的。為完善保護電 腦系統及重要資料之私密性,人們實行了各種的存取控制方 案,以防止未經授權之使用者及惡意攻擊者得以存取電腦資 源。 為破保電腦安全的綜合性(comprehensiveness),各個位 準係通常實行了存取控制。例如’在電腦的位準,典型的情 形是使用者必須經由一登入程序,藉此該電腦係決定該使用 者是否被授權使用該電腦。此外,在電腦網路的位準,使用 者通常必須經由一使用者鑑別程序,以達成控制該使用者對 不同的網路服務進行存取之目的。即使在一網路存取控制词 服器已鑑別該使用者之後,該使用者仍然必須要求一特定伺 服器的允許以存取該伺服器。基於不同的通訊協定(例如 Kerberos 5通訊協定)之方案,係已經藉由使用者鑑別的機制 加以設計並實行,以供控制網路存取控制。 一般而言,電腦的使用者登入以及網路存取控制的使用 者鑑別是兩個分開的部份。不過’為減少使用者使用該等不 同的存取控制方案的貞擔,該使帛者登入以及網路存取的該 5 1353154 使用者鑑別,係常常一起執行。例如’在Kerberos通訊協 定下實行該使用者授權之案例中,則當使用者登入電腦時, 該電腦通常亦啟始了 Kerberos鑑別程序。在該 Kerberos 鑑別程序中’電腦聯絡一 Kerberos金錄發佈中心(KDC), 首先’替該使用者取得一票據准許票據(Ticket Granting Ticket,TGT),而後該電踏便能使用該 TGT自 KDC為自 己獲得一會期票據(session ticket)。
當網路開始發展,伺服/服務電腦利用多層次架構處理客 戶端電腦的要求便成為一種趨勢。舉_簡單的例子,客戶端 電腦利用網際網路向全球資訊網網站提出一要求。在這裡, 可以有一前端網頁伺服器處理格式及相關交換規則,而一後 端祠服器則作為該網站的資料庫。為了加強安全,該網站可 以設定’使得一鑑別通訊協定(authenticati〇n pr〇t〇c〇1)係將 身份碼(credential) ’例如,使用者的TGT,及/或其他可能 資訊’自前端伺服器轉送(或委派(delegate))至後端伺服器。 此一應用在許多網站及/或其他多層次網路上愈益常見。
*所有的伺服器/服務及客戶端同意使用相同的鑑別程 序時’則委派及其他相似的技術是有用的。然而,今日所使 _別程序並非只有一種。共同待決(Co-pending)美國申 月案序號.09/886,1 46 ,係提出了用於控制該委派之改進。 。 使用者被一網路/系統鑑別,那麼通常有一或多個額 、-j存取控制檢查’以防止該使.用者存取他/她未被授權 存取的胃、为 、 旦一使用者被鑑別並通過適用(applicable)的 存取控制檢查,則該使用者被稱之為「已授權」。在特定系 6 統中,例如,存取控制是基於具有不同服務及資源(亦即物件) 的存取控制列表(Access control lists,ACLs)。一 ACL通常包 括存取控制貧體(ACEs),該等存取控制實體可能包含零個以 上的安全性識別符(security identifiers,SIDs)。SIDs與被允 許存取該物件的使用者或使用者群組相關。如果在ACLs上 沒有SIDs,則沒有使用者將具有該物件的存取;如果在acls 上有SIDs ’那麼可以產生至少—個符合的SID之使用者將被 允許存取該物件。 因此’當一鑑別的使用者登入,籍由產生與該使用者相 關的標記(token),(例如,存取標記),以產生該使用者的鑑 別背景。典型的標記包含與使用者相關的SIDs。例如,該使 用者的標記可能包括一指定給他的專屬SID,外加指定該使 用者所屬業務部門的群組SID。當該使用者想要存取一物件 時’會利用該物件的ACL比對該使用者的標記。如果使用者 的標記包含至少一個與該物件ACL上的SID相符的SID,表 示該被鑑別的使用者已被授權以某種方式存取該物件。例 如’該用者可以讀寫由其他同業務部門的成員(亦即其他的群 組成員)所製作的檔案。 當系統被小心控管時,這種認證設計通常會運作地相當 地好。例如,公司内的企業位準電腦網路通常提供—内聚性 (cohesive)環境,在這裡使用者和AcLs可以籍由集中的和/ 或分散的鑑別以及存取控制系統小心地控制。另一方面,對 非常大的網路而言’例如,網際網路,和/或其他重要的非内 聚性網路’當想要盡可能服務愈多的使用者時’包括沒有區 7 1353154 域存取帳號的使用者,則鑑別和存取控制就愈困難。當軟體 程式及資源朝向以網路為基礎的服務發展時,與此類網路服 務相關的授權使用者的行為就愈益重要,須求也愈高。 因此,有須要改良鑑別方法及系統。較佳的方法及系統 允許由受信任的外部資源所鑑別的使用者,使得無須具有與 該換件相關的專屬使用者帳號,該使用者即可獲得某些物件 的一些存取控制位準。此外,該方法及系統不應該大幅降低
能夠將物件的存取提供給大量使用者之配置上的可擴充性 (scalability)。 【發明内容】 本發明提供一種改進的方法及系統,允許由受信任之外 部資源所鑑別的使用者,使得無須具有專屬的區域使用者帳 號,該使用者即可獲得所選擇的物件之存取的控制位準。實 仃該方法及系統,係不會大幅降低被組態為能夠將物件的存 取提供給大量使用者之電腦系統及或網路配置的可擴充性。 上述的須求可籍由一些方法達成,例如,籍由對至少_ 個電腦資源提供存取控制機制,而該方法包含了接收一與使 用者所欲存取電腦資源相關的專屬識別符。較佳的方法,係 以一些方式使[由另-電腦資源所產生的專屬制符被認 定為可信賴,而且/或者服務並常常鑑別該使用者。該方法包 括轉譯所接收的專屬識別符為安全性識別符:cu:y *ntifier,SID),而㉟SID㉟用於保護電腦資源的存取機 制》該方法更進一步地包含了決定是否該sm符合至少一個 8 1353154 先前經由存取控制儲存且與電腦資源相關的SID。在某此血 型的實施例中,該專屬識別符包括一成對專屬識別符(a p . wise unique identifier,puiD)。例如,由微軟公司所提供 護照服務(Passport service)便採用該PUID。而存取控制機制 便利用存取控制列表(ACL)以建立允許存取電腦資源的使用 者或使用者群組* 本發明尚有實施例’對至少一個電腦資源提供—種建立 存取控制審核的方法。其中,該方法包含接收至少一個欲准 予至少受限的的存取權限的使用者之至少一個電子信箱位 址。例如,一由存取控制機制所鑑別之使用者可以輸入其他 使用者的電子郵件位址並指定該使用者可存取的電腦資源 及權限。該方法更進一步包括提供電子郵件位址予一可信賴 之伺服器,該伺服器能夠傳回與該使用者的電子郵件位址相 關的專屬識別符。該方法包括接收此一專屬識別符,然後以 該專屬識別符設定至少一組存取控制權限。這些可以包括, 例如,轉譯該專屬識別符為一 SID,以及使該SID與電腦資 源的至少一存取控制列表ACL產生關聯。 本發明尚提供一種轉譯PUID為對應的SID的方法。該 方法包括接收該PUID,區分它為至少一子授權識別符之部 伤,以及至少一成員識別符之部份,最後將該子授權識別符 及該成員識別符組合(arrange)成sΠ) » 依據本發明的實施例,本發明亦提供控制至少一電腦資 源的存取之系統。該系統包括邏輯和記憶體,該邏輯和記憶 體被设定為用以接收與提供以存取電腦資源權限之使用者 9 1353154 相關之專屬身份識別,轉譯專屬身份識別為安全性身份識別 (SID) ’以及決定是否豸sm #合儲存於記憶體中並與電腦 資源相關之至少一個其他的SID。 本發明提供範例系統’以供設定電腦資源存取控制權限 之實施例中’-包含通訊網路之系統,該通訊網路連接第一 裝置及至少一個其弛裝置。第一裝置被設定為接收至少一個 使用者的電子郵件位址,用以准予存取電腦資源的至少受限 的權限。該第一裝置提供這個電子郵件位址給網路上的其他 裝置,並自網路上的其他褒置接收與該電子郵件位址相關且 對應的專屬識別符。基於該專屬識㈣,設定至少—個與該 電腦資源相關的存取控制權限。其他的裝置被設定為接收: 路上的電子郵件位址’並將該電子郵件位址轉課為專屬識別 符,而後輪出此專屬識別符至網路上的第一裝置。 【實施方式】 概觀 本發明之方法及系統可應用於鑑別使用者/資源,與/ 或提供一授權背景以供使用者存取某一資源。 下節所述為示例性之電腦環境。在簡述示例性的 S4U2pr〇Xy及S4U2self技術内容,其係為美國專利申請案 序號:09/886,146的申請標的》 下文將以附圖敘述依據本發明的概念所設計提供授權之創 新技術。本發明提供改善之方法及系統,例如,允許受产 任之外部資源所鑑別的客戶端(如,使用者),使得益彡^ 10 1353154 有區域存取控制能力,即可獲得所選擇的區域伺服器資源 之存取的控制位準。之後將更明白地解說。本文所述的授 權方案可以多種不同的方式實行,亦能增進電腦資源的安 全以及使用者獲得電腦資源所提供的服務之存取能力。 不例之電腦環境
如附圖所示,編號標示的元件說明本發明在適當的電 腦環境中如何被運用。雖非必須,但本發明將以電腦可執 行指令之一般辭彙敘述。例如程式模組,可在個人電腦上 執行。一般而言,程式模組包括副程式、程式、物件、組 件、資料結構等等。它們執行特定的任務或者實行特定的 抽像資料型態。更進一步地說,本文提及的這些技術是非 常重要的,可實施本發明在其他電腦系統的組態,包括手 提式裝置、多處理器系統、以微-處理器為基礎或可程式的 消費性電子產品、網路個人電腦、迷你型電腦、主機以及 其餘相似物件。本發明亦可實施在分散式運算的環境。分 散式運算係藉由網路連結遠端的計算裝置以執行其任務。 在分散式運算的環境中,程式模組可位於本機端及遠端儲 存記憶的裝置當中。 第1圖揭示本發明應用在一適當電腦環境1 2 0之實 施例。電腦環境 1 2 0為下文所述方法及系統可以實行之環 境。 電腦環境 1 2 0僅是在適當電腦環境之一例,並不侷限 本文所述之改善之方法及系統在功能上或使用上的範圍。 11 1353154 其應用之條件及相關物件亦不以本例電腦系統環境120 所示元件或組合為必要。
本發明之改善的方法及系統可配合其他一般或特殊用 途之電腦系統環境或組態操作。本發明適用於但不限於習 知的電腦系統、環境及/或組態。包括個人電腦、伺服器、 掌上型或巧攜式裝置、多處理拜系統、以微處理器為基礎 的系統、機頂盒、可程式消費性電子、網路電腦、微電腦、 主機、任何包括任一上述系統或裝置的分散式運算系統及 其餘相似物件° 如第1圖所示,電腦環境120包含電腦130之虛線範 圍内所示之通用用途的計算裝置。電腦之元件可以包括一 或多個處理器或處理單元1 3 2,一系統記憶體1 3 4,以及一 用以耦接不同系統元件(包括系統記憶體1 3 4)至處理器 1 3 2之匯流排1 3 6。
系統匯流排1 3 6可能為任一規格之匯流排,包括任何 匯流排構造的記憶體匯流排或記憶體控制卡、週邊匯流排 以及本機匯流排。以下述為例但不侷限於下述實施例’這 些匯流排規格包括工業標準架構(Industry Standard Architecture,ISA)匯流排、微通道架構(Micro Channel Architecture, MCA)匯流排、加強 ISA(Enhanced ISA,EISA) 匯流排、視訊電子標準協會(Video Electronics Standards A s s o c i a t i ο η, V E S A)區域匯流排以及亦被稱之為閣樓 (Mezzanine)匯流排的週邊零件連接介面(Peripheral Component Interconnects, PCI)匯流排。 12 1353154 典型的電腦130包含多種電腦可讀取媒體。此類媒體 可以疋任何電腦130能夠存取之媒體。而它亦包括揮發性/ 非揮發性,可移除以及不可移除之媒體。
第1圖’系統記憶體1 3 4包括揮發性記憶體型態之電 腦可讀取媒體’如隨機存取記憶體(RAM)140,及/或非揮 發性記憶體*如唯讀記憶體(R〇ivi)丨3 S。_基本輸入/輸出 系統(BI〇S)142,包含諸如在啟動,儲存r〇m時,在電腦 130元件間協助傳送資訊之基礎例行程序。ram14〇通常 包含可為處理器132快速存取及/或即時操作之資料及/或 程式模組。 電腦130亦可包括其他可移除/不可移除揮發性繒 揮發性電腦儲存媒體。如第!圖所示,硬碟機144讀取或 寫入一不可移除且非揮發性礙性 β地地 沒媒介,一磁碟機146 s賣取 或寫入可移除、非揮發性磁磔 却M8,以及一光碟機150讀 取或寫入可移除、非揮發性弁 & 碟、152 如 CD ROM/R/RW, DVD-ROM/R/RW/ + R/RAM 或龙, /、他光學媒介。硬碟機144、 磁碟機146以及光碟機15〇
常藉由一或多個界面154, 連接至系統匯流排1 3 6。 上述裝置及其相關的電腦 嗎可讀取媒體提供電腦丨30非 揮發性的儲存之處,以供其 Μ存電腦可讀取指令、資料結 構、程式模纽及其他資料。雖 s然本發明的示例性環境以硬 碟、可移除磁碟148以及可敕队 砂除光碟1 5 2為例。但本文所 有技術亦可實施於其他種類 、電腦可存取媒介。例如,磁 π、快閃記憶體、隨機存取 β己憶體(RAMs)、唯讀記憶體 13 1353154 (ROM)及其他相似的儲存元件。 一些程式模組可能儲存在硬碟、磁碟 1 4 8、光碟 1 5 2, ROM 1 38,如圖例,包括作業系統 158,一或多個應用程 式 160,其他程式模組 162及程式資料 164。 本文中改進的方法及系統可以應用在作業系統 1 5 8, 一或多個應周程式 1 6 0,其他程式模組 1 6 2,及/或程式資 料 164。 一使用者可能經由輸入裝置如,鍵盤166及指標裝置 168(如,滑鼠)對電腦 130輸入指令及資訊。其他輸入裝 置(附圖未顯示)可能包括一麥克風、搖桿、遊戲控制器、 衛星天線、序列埠、掃描器等等。以上裝置及其他輸入裝 置籍由一連接匯流排136之輸入裝置170以耦接至處理單 元1 3 2,但亦可籍由其他介面及匯流排構造,如平行埠、 遊戲埠或通用串列匯流排(USB)。 一螢幕172或其他型態之顯示裝置亦籍由一介面連接 至匯流排1 3 6。例如,影像介面卡1 74。除了螢幕1 72之外, 一般個人電腦亦包括其他週邊輸出裝置(附圖未顯示),如 揚聲器及印表機,它們亦可經由週邊輸出介面1 7 5相連。 電腦1 3 0可能在網路環境中利用邏輯連接至一或多個 電腦。例如,電腦1 8 2。遠端電腦1 8 2可能包括多個或者 全部與本文電腦1 3 0相關之元件及持徵。 第 1圖所示之邏輯連結為一區域網路(LAN)177及普 通的廣域網路(WAN) 1 7 9。此類的網路環境常見於辦公室、 企業内部電腦網路、内部網路以及網際網路。 14 1353154 當用於一 LAN網路環境中時,電腦130籍由網路介面 卡186連接於LAN 177。當用於一 WAN網路環境中時, 該電腦通常包括一數據機178或其他能在WAN 179上建立 通訊之裝置。數據機178可以是内部或是外部用的,可以 籍由使用者輸入介面1 7 0或其他適當設備連結至系統匯流 誹 1 3 6。
如第1圖所示,其係為一建構於網際網路180上的廣 域網路WAN。此處,電腦1 3 0利用數據機1 78與至少一個 遠端電腦182建立通訊。 在一網路環境中,與電腦1 3 0相關的程式模組或其中 的部份,可以儲存在一遠端記憶儲存設備中。如第1圖所 示,因此遠端應用程式189可以存在於遠端電腦182的記 憶儲存設備中。必須注意的是,本文圖示及敘述之網路連 結僅為一例,亦可使用任何其他建立通訊之工具。 示例之S4U2Proxy and S4U2Self委派技術之摘要
本文將簡要說明並著重於在客戶端至伺服器端網路環 境中控制信任授權之技術及設計。本實施例將闡明一以坎 伯洛斯(Kerberos)為基礎之系統。那些 S4U2Proxy 及 S4U2Self 之技術及下文將解說之授權技術可以是或可不 是在相同系統執行,而且亦可在其他以憑證為基礎之授權 系統執行。 如上所述,持有客戶端的票據准予票據(Ticket g r a n t i n g t i c k e t,T G T )以及相關的鑑別器,允許該持有者自 15 1353154 受信任之第二者要求代表該客戶之票據,此第三者可以是 金錄發佈中心(KDC)。現今Kerberos在特定之實施例中支 板此類非受限委派方式(unc〇nstrajned delegation),而此類 委派方式能轉送票據委派綱要。 在美國專利申請序號:09/886,1 46中所敘述者,係受 限(constrain)或其他較佳之委派程序之方法及系統。可經 由代理词服器之使用 者的服務
(service-for-user-to-pr〇xy)(S4U2Proxy)之技術來控制該委
派程序’該技術允許伺服器/服務(例如,前端伺服器/服務) 要求代表客戶端之服務票據以供其他伺服器/服務的使 用。該S4U2proxy通訊協定有益地以可控制的方式來提供 受限之委派’毋須客戶端轉送一 TGT給前端伺服器。另一 技術為自 身伺服器之使用者的服務 (service-for-user-to-self)(S4U2self)通訊協定,該技術允許 伺服器要求給予自身之服務票據,只要產生的該服務票據 中係提供有該客戶端的身份。例如,此允許已被其他鑑別 通訊協定所鑑別的客戶端,接收可使用該S4U2proxy通訊 協定之服務票據’以提供受限的委派。該S 4 U 2 s e 1 f技術有 兩個示範型式,就是「無憑證」及「憑證」型式。在無憑 證型式中,受信任的伺服器係使用該伺服器私用的另一安 全/鑑別機制來鑑別該客戶端。在憑證型式中,該KDC(或 受信任的第三者)係根據該客戶端進行鑑別時所獲得的與 該客戶端相關而提供的資訊,以製造給該伺服器的鑑別》 因此,在一Kerberos環境中,不管是藉由 Kerberos 16 1353154 還是其他鑑別通訊協定所斯2丨 _ 谢疋所鑑別,一客戶端皆可以存取伺服 器/服務。所以,德瑞愈/ +廿 交%興/或其他伺服器/服務可以在純粹
Kerberos環境中運4 乍。 如第2圖所不,為一客戶端-祠服器環境200中之 S額proxy通訊協定/程序。客戶《2〇2減至一提供鑑別 服務206之受信任第三者2〇4。例如,一 KD(:,一憑證核 發管理單位,一網域管理者,及/或其他相似的種種。鑑別 服務206經設定以存取資料庫2〇8所保存之資訊。客戶端 202及受信任之第三者204進—步耦接至一伺服器A2i〇。 本文所用詞粂「伺服器」及「服務」被通用為代表俱有相 同或相似功能之物件。 本例中’飼服器A 2 1 〇為一連接多個伺服器之前端伺 服器。該词服器A 210耦接至伺服器b 212及伺服器C 2 1 4。如圖所示,伺服.器B 2 1 2可以是一備份服務。此外, .祠服器C 214更進一步耦接至伺服器d 216。 為回應一在客戶端202登入之使用者,一鑑別要求 (AS_REQ)之訊息220被傳送至鑑別月艮務206,而該鑑別服 務則以一鑑別回應(AS_REP)訊息222回應。在AS_REP訊 息222中含有一與該使用者/用戶端相關之TGT。相同或相 似之程序(未圖示)亦在授權伺服器A 2 1 0時進行。 當客户端202想要存取伺服器A210時,該客戶端傳 送一票據准予服務要求(TGS_REQ)訊息224給鑑別服務 206。而該鑑別服務傳回一票據准許服務回應(TGS-REP) 訊息226。TGS_REP訊息226包括一與客戶端202及伺服 17 1353154 器 A 210相關之服務票據。因此’為了初始一通訊會期 (communication session),客戶端202以應用通訊協定要求 (AP一REQ)訊息228轉送服務票據至伺服器a 21 0。此類處 理/程序為眾人所習知,因此不再做更進一步的說明。
在某些系統’為支援委派’客戶端需要將客戶端TGT 提供給伺服器A 2 1 0,以允許伺服器a 2 1 0要求代表客戶 端2 02之額外的服務票據。此動作在s4U2proxy是非必須 的。相反的,當伺服器A210須要代表客戶端202存取其 他伺服器(例如,伺服器C 2 1 4)時,則伺服器A 2 1 0及鑑別 服務206將依據S4U2proxy通訊協定操作。
伺服器A 210傳送一 TGS_REQ訊息230至鑑別服務 206。TGS_REQ訊息230包括供伺服器A 210所用之TGT 及自客戶端202接收之服務票據,以及識別客戶端202所 尋求存取的目標伺服器/服務,例如,伺服器C 2 1 4。舉例 來說’在Kerberos中有一定義為廣充性資料欄位,通常稱 為「額外票據」。在S4U2proxy通訊協定中,係使用該額 外票據欄位以承載自客戶端所接收之服務票據。而且,KDC 選項欄可以包括一旗標或其他指示器,用以指示接收的 KDC在該額外票據欄位尋找用以支持客戶端識別的票 據。本文所提及之技術將識別上述或其他欄位與/或資料架 構係可以承載必要資訊給鑑別服務2 0 6。 在處理TGS_REQ 230時’鑑別服務206判別是否客 戶踹2 0 2已被授權委派,例如,基於藉由客戶端所建立的 「轉送旗標」值來決定。因此’每一客戶端之委派,係籍 18 1353154 由客戶端的服務票據中的轉送旗標來執行。如果客戶端 2 0 2不想參與委派,則該票據將不被標示為「可轉送」。鑑 別服務2 0 6將該旗標視同為客戶之初始限制。鑑別服務2 0 6 可以在資料庫2 0 8中存取額外的訊息,這些訊息係定義允 許該伺服器A 210委派給(或者不委派給)客戶端202之選 擇的服務。
如果鑑別服務206決定允許該伺服器A 210委派給目 標伺服器/服務,則一 TGS_REP訊息232將被傳送至伺服 器A 21 0。TGS_REP訊息232包括該目標伺服器/服務的服 務票據。該服務票據就如同客戶端202直接向鑑別服務206 要求的服務票據(例如,使用該客戶端的TGT)。然而,其 實這件事並未執行。相反地,基於被鑑別的伺服器 A 2 1 0 由客戶端202所接收並將其包含在TGS_REQ訊息230中 的服務票據’得知被鑑別的客戶端係基本上與該要求相關 之後,則鑑別服務2 0 6係存取在資料庫2 0 8中的相似/需要 的客戶端資訊。然而’既然該客戶端資訊係由客戶端的票 據所承載,該伺服器只須要自票據中複製資料即可。 在特定的實施例中,T G S _ R Q P訊息2 3 2係識別目標伺 服器/服務及客戶端2〇2,且進一步包括供實行專用識別/ 使用者/客戶端帳號資料’例如,權限屬性憑證(Privilege attribute certificate, PAC)、安全性識別符、Unix ID、護 照識別(Passport ID),憑證等型式。舉例而言,一 Pac可 能由鑑別服務206所產生或僅是自包含在TGS_REQ訊息 2 3 0中之客戶的服務票據複製而成。下文示例性之授權背 19 景產生方案(authorization context grnerating schemes)將 更進一步敘述護照識別之使用方式。
PAC或其他使用者/客戶端的帳號資料亦可以設定為 包含與委派範圍(the scope of delegation)相關之資訊。舉 例而言,第4圖解說Kerberos訊息400之特定部份,包括 標頭(header 402)及PAC 404。此處,PAC 404包括委派資 訊 406。如圖所示,委派資訊406包括複合識別資訊 (compound identity information)408 及存取限制資訊 (Access restriction information)4 1 0 ° 舉例來說,複合識別資訊408可能包括與委派程序相 關之記錄資訊,例如,有關於伺服器A 2 1 0要求代表使用 者/客戶端的服務票據之事實之指示。此處,可提供大多數 此類的記錄資訊,作為串連或者識別多個委派程序歷史記 綠之用。此類訊息可能對審核與/或存取控制有用。
舉例來說’存取限制資訊4 1 0能夠與存取控制機制相 連接,以選擇地允許特定伺服器/服務的存取,客戶端係直 接或間接經由飼服器A 2 1 0以搜尋該伺服器/服務的存 取’除非是間接經由伺服器B 2 1 2來搜尋該伺服器/服務的 存取。此功能有助於在鑑別憑證之委派上的額外控制。 在上述實施例中,客戶端202經鑑別服務2〇6鑑別。 然而’其他的客戶端可能不是如此進行鑑別的。如第3A 圖所不,一客戶端302籍由一不同之鑑別通訊協定機制3〇3 被授權。例如’授權通訊協定機制3〇3可能包括護照 (Passport),安全編碼傳輪(SSL),NTLM,或其他與 20 1353154 鑑別通訊協定/程序相似者。本實施例中,假設客戶端302 選擇存取恰為伺服器C 2 1 4所提供的目標服務,該選擇可 以上述的S4U2proxy通訊協定加以滿足,但只在伺服器Α 完成/接在一 S4Uself通訊協定/程序之後。
S4U2self通訊協定的一個基本前提,係伺服器(例如’ A 2 1 0)可以為任甸正要存取已被鑑別的該祠服器之使用者 /客戶端,要求一服務票據給自身。本實施例中之S4U2self 通訊協定被設定為支援擁有鑑別「憑證」及沒有鑑別「憑 證」的客戶端。 若沒有供鑑別服務2 0 6衡量之用的鑑別憑證,則伺服 器A 210將須要「信任」客戶端302。舉例來說,如果客 戶端302擁有一鑑別憑證或是相似之機制304可供飼服器 A 2 1 0確認(validate)之用,則該客戶端3〇2可以被判定為 「可信任」。所以’伺服器A210本質上授權了客戶端3〇2。 之後’飼服器A 210傳送一 TGS__REq訊息3〇6至鑑 別服務206 ’替客戶端302要求一服務票據給伺服器a本 身 在回應中,鑑別服務2 0 6產生一 TGS__REP 訊息 3 08,
該TGS 一 REP包含所要求的服務票據。所接收之服務票據 被用於隨後之S4U2proxy通訊協定/裎序,用以替客戶端 302要求伺服器C 2 1 4的服務票據。舉例來說,在特定之 Kerberos實施例中,需要設定TGS__rEj>訊息3〇8中之轉 送旗標被設定為為允許轉送服務票據。而受传任之第三者 可用以包含在所產
亦可為客戶端302建立一 PAC’該PAC 生之服務票據中。 21 1353154
如果客戶端3 02的鑑別憑證不存在’那麼伺服器A2 1 〇 可以在TGS_REQ訊息312中包含此憑證’作為額外的預 鑑別資料。如第3B圖中的環境300’所示。客戶端302’將 憑證資訊3 1 0提供給伺服器A 2 1 0 »該憑證資訊3 1 0可以 包括,例如一質問/回應對話,或者其他由另一受信任實體 產生之訊息。基於憑證資訊3 1 0的接收及隨後的確認,鑑 別服務2 0 6才准許將該要求的服務票據給伺服器A 2 1 0自 身》請注意,在特定實施例中,伺服器可利用憑證為客戶 端獲取受限之TGT。
在特定之Kerberos實施例中,TGS_REP中之轉送旗 標訊息3 1 4被設定為允許轉送服務票據。如果一 PAC為 TGS_REQ訊息3 1 2所提供,那麼它可以在月艮務票據中被使 用;否則’一 PAC可以由鑑別服務206(此處為一 KDC)基 於憑證資訊(evidence information)310來產生。例如,在 S4U2self中,客戶端的識別係被包含在預鑑別資料中,而 該識別可用以建構客戶端的PAC並(為客戶端)將其加入伺 服器所核發的服務票據中。 示例之授權背景產生技術 下文重點為敘述本發明特定實施例中示例性之方法及 系統。不論有無S4U2pr〇xy與/或S4U2self通訊協定,該 類方法及系統皆可以被實施。不論有無護照服務(美國華盛 頓州雷蒙郡的微軟公司所提供),該類方法及系統亦皆可以 被實施。熟知本項技藝的人應可識別本項技術可實施於各 22 1353154 式其他通訊協定與/或服務。此外,如有需要,在示例中將 假設那些通訊協定及服務能夠支援授權内容產生技術。 如第5圖所示,為一與客戶端-伺服器網路設置5()() 相關之特定特徵/功能/程序之區塊圖。該設置能夠提供— 客户端的授權背景’否則客戶端將無法被授權存取特定資 源s w ,神邛地耦接至一伺服器 5 04,與使用者#1(U1)相關之第一客卢 而5 0 6,以及與使
者#2(U2)相關之第二客戶端508。本趣故"& 、 尽貝施例中’如虛線 51〇, 512及5!4所表*,這些裝置間有某μ" ^ 此,例如,當in登入客戶端506及飼服器x 5〇2以广 伺服器X 502所提供之資源時,例如存取物件5 1 6時子 戶端506及词服器X 5〇2經設定而形成信任關係川: 登入程序可..能包括鑑別及存取控制。 J 相冋地,當U 2 Λ 伺服器Υ 504及客戶端508時,客戶 且 峒50 8及伺服器γ 5 經設定而形成信任關係5 1 2。此外,7,丄 此例中伺服器χ 5 及伺服器Υ 504可以經由受信任的
乐一者204而形成作 關係514。然而,此刻在客戶端5〇8及伺服器χ 5D 並不存在信任關係。 之 明的某些觀點, 權背景,以允許 之小圓圈旁之箭 ~些動作可能以 其允許 U2取 頭代表 不同的 如第5圖及第6圖所示的本發 客戶端508具有飼服器X 502的授 得物件5 1 6的存取。内有序號標示 著處理動作。在其他的實施例中, 順序發生。 23 1353154 如圖示,動作#0為信任關係510, 512及514的產生。 此類的信任關係可以依操作須要而選擇性地創造。
本實施例中’假設U i欲允許U2存取物件5 1 6。當U 1 經由彳s任關係510被授權去存取物件516時,U2並未被授 權允許存取物件516。此外’更進一步之需求為避免將U2 增加為词股器X 5〇2的存取控制系統之授權使甩者。例 如,當U1欲准許U2存取U1之雇主所保管或提供之tn 的線上計劃時程表時,這種狀況就會發生。此處,雇主不 想增加一個新的授權使用帳戶至系統中。
如第6圖所示,虛線範圍600内為客戶端506提供給 之與圖形使用者介面(Gui)·相關之某些示例性功能。本 例中’在U1登入伺服器X 5〇2後顯示網頁602或其他類 似的晝面。在網頁602中,物件516呈現出時程表GUI 604,該時程表Gui顯示與ui_相關之訊息。U1能夠自606 開啟一個入口,其包含一識別輸入欄6 0 8及(選擇性的)一 或多個選定的權限設定610。U1在此啟始讓U2最終可獲 得存取物件5 1 6權限之程序。 U 1為U 2輸入一識別。該例中,該識別包含U 2專屬 之全球資訊網電子郵件位址,在這邊稱之為 user2@hotmail.com 。此處輸入之識別為微軟公司提供之 hotmail.com服務之登錄使用者。一 hotmail .c o m之登錄使 用者U 2被假設為亦有對應之微軟公司護照帳號。u 1亦可 以依據所欲准許存取物件5 1 6 (在這裡,例如,一線上時程 表應用程式)之權限,替U2設定一或多個權限設定6 1 0。 24 1353154 此刻,U1已經設定U 2為擁有「讀取」之權限。回頭看第 5圖’在客戶端5 0 6及伺服器X 5 0 2間識別該使用者之程 序以動作# 1代表。
伺服器X 502承認U1已經替U2提供了識別,在動作 # 2與伺服器Y 5 0 4的通訊中,假設此例為習知之護照词服 器。這裡’伺服器X 502提供識別user2@hotmail.com予 伺服器Y 504並要求伺服器Y 504提供對應之通用專屬護 照識別(Passport user identidy,PUID)(亦常指為成對專屬 識別符,Pair wise Unique ID)。在動作#3中,伺服器Y 504 傳回U2的PUID(5 2 4)給伺服器X。如果信任關係514是一 以Keberos為基礎之關係,那麼該PUID可以在先前提過 之例如PAC _被傳回。
現在’伺服器X 502擁有U2的PUID 了》在動作#4 中,伺服器X 502解譯該PUID為一對應之sID 522,該 SID適用於词服器X 5 0 2之原鑑別系統。如圖所示,物件 516與ACL518相關,該ACL擁有至少一個包含SID 522 之 ACE 520。 該6 4位元之P UID由1 6位元之護照網域授權識別及 一 4 8位元之成員識別符組成。為構成一 s ID,它必須維持 一網域授權為一獨立之參數。為達成它,該MemberIDHigh 被分為兩個部份,而且這兩部份被分為獨立之子授權,如 下所示: S-l-10-2 1- (HIWORD(MemberIDHigh))-(LOWORD(ME MBERIDHigh))-MemberIDLow-0 25 1353154 在本實施例中’「S-1-10-21」為一由ntseapi.h所定義 之新的識別授權。而ntseapi.h為一用以建立微軟視脔 問系統 · 之標頭檔,它包含了對用以建構PUID-SID之SID值的定 義。請注意該標頭通常不直接讓程式設計人員接觸,作 ' ntseapi.h的宣告在winnt.h的SDK平台是公開的。 因此’自受「信任」的來源所傳回的PUID或其仙類 似的識別所產生的式例之SID ^基本上,該SID以獨特之 結合以及與原授權系統相谷的格式識別了該習知之子^^權 以及成員使用者。 φ 在動作#5中’(已識別之)U2登入伺服器Y 504並因此 獲得PUID 5 24。在動作#6中,U2利用一預設之使用者帳 號(例如,未知或匿名帳號)以連接至伺服器X 502以乃技 次提 供(例如,在PAC中的)資訊’該資訊係包含要求或其他類 似訊息中的P UID 5 2 4。在動作# 7中,伺服器X 5 〇 2灸▲ 一 PUID已由預設使用者(U2)提供並且在回應中建立 ^ J對 應之SID 532,並將該SID 532置於與欲尋求存取物516 之U2相關之標記(Token)53 0中。在特定實施例中,籍由 _ 在稱之為 LsaLogonUser之應用程式介面(API)通過puiD 以建立一 SID。該API傳回該SID。 在動作#8中,伺服器X 502籍由在預設使用者標記530 及ACL 5 1 8中比較一或多個SID(s)決定是否該預設使用者 擁有適當之存取權限以存取物件516。最後,在行動中’ 替U 2創造了授權内容5 2 6,它允許U 2以適當之權限設定 存取物件5 1 6。因此,舉例而言,U 2可以觀看(讀取)U 1之 26 1353154
計劃時程表並且判斷是否U1和U2可以在下週共進午餐。 U2並未登入伺服器X 502 ;實際上既然U2不像U 1 —樣擁 有帳號,U2不能登入伺服器X 502。此例中,U2的鑑別 基本上是基於信任關係5 1 0,5 1 2和5 1 4,以及利用客戶端 508及伺服器Y 504之U2的初始授權。核准U2在伺服器 X 502上的存取控制是基本上是基於(動作#0中,經由客戶 端506及伺服器X 502之)U1之信任授權及與在動作#3中 提供PUID 524之伺服器Y 504間之信任關係。 使用PUID的一種益處為所獲得之SID在以護照控制 分配PUIDs為基礎的情況下,將永遠是全域唯一的。 雖然上文中已經以一些較佳的實施例及圖示介紹了本 發明之各種方法及系統,但並不侷限本發明於所揭示之實 施例中,並適用於各種不背離本發明在宣告中所提及之精 神的重構、修改以及替代。 【圖式簡單說明】
本發明的各式方法及系統將在下文中以附圖進一步詳 述。 第1圖係一般說明適用本發明的某一實施例之範例電腦系 統之區塊圖。 第 2圖係描述代理伺服器之使用者的服務(S4U2proxy)的 程序之區塊圖,該S 4 U 2 p r ο X y程序係在客戶端-飼服 器環境中執行且適用於本發明的某些實施例。 第3A圖係描述自身伺服器之使用者的服務(S4U2self)的程 27 1353154 序之區塊圖,該S4U2self程序係在客戶端-伺服器 環境中執行且適用於本發明的某些實施例。 第3B圖係描述自身伺服器之使用者的服務(S4U2 self)的程 序之區塊圖,該S4U2 self程序係在客戶端-伺服器 環境中執行且適用於本發明的某些實施例。 笛 4圖伤圄彔搞用太路明的茸此营姑.你丨的餘.你丨訊.氣始·式的
,|, · ·,嗜, 4 八 ,, 一_ ,i、 疇 —》· | w ^ ^ V 選擇部分之圖。
第5圖係依照本發明某些範例實施例,圖示將區域存取控 制提供給藉由受信任的資源所鑑別的使用者之系統 及程序之區塊圖。 第6圖係依照本發明某些範例實施例,圖示描述如第5圖 中的系統及程序之範例使用之區塊圖,用以允許具 有授權信任的適當位準的使用者,不須區域存權控 制帳號即可存取某些資源。 【元件代表符號簡單說明】 1 2 0電腦環境 132處理器單元 1 3 6系統匯流排 140隨機存取記憶體 144硬碟 1 4 8軟碟 152光碟 158作業系統 1 3 0電腦 1 3 4系統記憶體 1 3 8唯讀記憶體 1 4 2基本輸出入系統 1 4 6軟碟機 1 5 0光碟機 154資料媒體界面 1 6 0應用程式
28 其他程式模組 鍵盤 使用者輸入介面 輸出週邊介面 螢幕 廣域網路 遠端電腦 客戶端至伺服器環 客戶端 受信任第三者 鑑別服務 資料庫 164程式資料 168滑鼠 174影像介面卡 17 7 區域網路 178數據機 1 8 0 網際網路 1 8 9遠端應用程式 境
飼服器A 伺服器B 祠服器C 祠服器D 鑑別要求(AS_REQ)訊息 鑑別回應(AS_REP)訊息 票據准予服務要求(TGS_REQ)訊息 票據准予服務回應(TGS_REP)訊息 服務票據 客戶端 1353154 302’客戶端 3 0 3鑑別通訊協定機制 3 0 4鑑別驗證 30 6票據准予服務要求(TGS_REQ)訊息 308票據准予服務回應(TGS_REP)訊息 3 1 0憑證資訊 312票據准予服務要求(TGS_REQ)訊息 314票據准予服務回應(TGS_REP)訊息 400 Kerberos訊息之特定部份 4 0 2標頭 4 0 4權限屬性憑證 4 0 6委派資訊
4 0 8複合識別資訊 41 0存取限制資訊 502伺服器X
5 04伺服器Y 50 6客戶端 508客戶端 51 0信任關係 5 1 2信任關係 5 1 4信任關係 5 1 6物件 5 1 8存取控制列表 1353154 5 2 0存取控制實體 5 2 2安全性識別符 5 2 4護照使用者識別符 526授權背景 530標記 5 3 2安全性識別符 602網頁 604 User 1之時轾表
Claims (1)
1353154 > — -*·>· ^~r- ' * ~ v - - ·ς- ?· *· jr,a-, ™ - —— 午乂申:請專利專:®V ::丨 1. 一種用以提供至少一個電腦資源相關的存取控制之方 法,該方法包括下列步驟: 接收一使用者相關的成對專屬識別符(a pair wise unique identifier,PUID),用以提供該至少一個電腦資源 的存取;該成對專屬識別符(PUID)與另一已鑑別該使用 者之電腦資源相關; 藉由將該PUID提供給一應用程式介面(Αρι)並接收 由該API所回應的一安全性識別符(SID ),而解譯該成 對專屬識別符(PUID)為該SID ;及 決定是否該SID符合一存取控制機制所提供的至少_ 個其他SID,而該存取控制機制與該至少一個電腦資源相 關。 2. 如申請專利範圍第i項所述之方法,其中該謂與一護 照服務(Passport service)相關。 3. 如申請專利範圍第2項所述 π吓砥之方法,其中解譯該PUID為 該S ID的步驟,更包括下列步驟: 區分該PUID為至少—他2 ,, 子授權識別符部份以及至少 一個成員識別符部份。 4. 如申請專利範圍第丨項 ^ 义方法,其中接收該PUID之 步驟’更包括下列步驟: 32 1353154 接收一以Kerberos為基礎之訊息中的puiD。 5. 如申請專利範圍第4項所述之方法,其中該PUID係由以 . Kerberos為基礎之訊息中的PAC所提供。 6. 如申請專利範圍第4項所述之方法,其中該以Kerberos 為基礎之訊息和S4U2self程序相關。 7. 如申請專利範圍第4項所述之方法,其中該以Kerberos ^ 為基礎之訊息和S4U2proxy程序相關。 8. 如申請專利範圍第1項所述之方法,其中決定是否該 符合該存取控制機制所提供的至少一個其他SIE)之步 驟,更包括下列步驟: 比較該SID與一存取控制列表(Acl)中的至少一個其 他SID,該存取控制列表與該至少一個電腦資源相關。 9. 如申凊專利範圍第丨項所述之方法,其中接收該使用者 相關之PUID,用以提供上述至少一個電腦資源之存取之 步驟,更包括下列步驟: 提供一預設帳號給該使用者,用以提供該至少一個電 腦資源的存取。 10. —種建立至少一個電腦資源相關的存取控制權限之方 33 1353154 法,該方法包括下列步驟: 接收至少一個使用者之至少一個電子郵件(e-mail)位 址,用以准許該至少一個電腦資源之至少受限的存取權 限; 提供該電子郵件位址給至少一個受信任服務,該至少 一個受信任服務係能夠基於該電子郵件位址以輸出該使 用者相關的一專屬識別符; 接收該受信任服務所輸出的該專屬識別符;以及 基於該專屬識別符,設定該至少一個電腦資源相關的 至少一個使用者存取控制權限。
11. 12. 如申請專利範圍第10項所述之方法,其中設定該至少 一個使用者存取權限之步驟,更包括下列步驟: 解譯該專屬識別符為一安全性識別符(SID);以及 使該SID與至少一個電腦資源的至少一個存取控制 列表(ACL)產生關聯。 如申請專利範圍第1 〇項所述之方法,其中該專屬識別 符包括一成對專屬識別符(PUID)。
13. 如申請專利範圍第1 2項所述之方法,其中該PUID與護 照服務相關。 14. 如申請專利範圍第11項所述之方法,其中該專屬識別 34 15. 符 驟 包括一 PUID,以及解譯 ’更包括下列步驟: 該專屬識別符為該 SID之步 區分該PUID為至少一 ^ 一個子授權識別符部份以及至少 個成員識別符部份。 如申請專利範圍第 符包含一 PUID,以 驟’更包含下列步驟 12項所述之方法,其中該專屬識別 &解譯該專屬識別符為該SID之步
提供該puID給一應用程式界面(Apl);並且 之後,自該API接收該SID。 16.如申請專利範圍第10項所述之方法,其中接收該專屬 識別符的步驟,包括下列步驟: 接收一以Kerberos為基礎之訊息中的專屬識別符。
1 7.如申請專利範圍第1 6項所述之方法,其中該專屬識別 符係由該以Kerberos為基礎之訊息中的PAC所提供。 1 8 · —種具有可執行下列動作之電腦可執行指令的電腦可讀 取媒體,該等動作包括: 接受一使用者相關的專屬識別符,用以提供至少—個 電腦資源的控制存取,該專屬識別符與另一已鑑別該使 用者之電腦資源相關; 轉換該專屬識別符為一安全性識別符(SID);並且 35 1353154 識別是否該SID符合由一存取控制機制所提供的至 少一個其他SID,而該存取控制機制係與至少一個電腦資 源相關。 19. 如申請專利範圍第18項所述之電腦可讀取媒體,其中 該專屬識別符包含一成對專屬識別符(PUID)。 20. 如申請專利範圍第19項所述之電腦可讀取媒體,其中 該PUID與一護照服務相關。
21. 如申請專利範圍第20項所述之電腦可讀取媒體,其中 轉換該專屬識別符為該SID的步驟,更包括下列步驟: 區分該PUID為至少一個子授權識別符以及至少一個 成員識別符部份。 22.
如申請專利範圍第20項所述之電腦可讀取媒體,其中 解譯該專屬識別符為該SID的步驟,更包含下列步驟: 輸出該PUID至一應用程式界面(API);並且 接收該API所回應的SID » 如申請專利範圍第1 8項所述之電腦可讀取媒體,其中 接收該專屬識別符的步驟,更包括下列步驟: 接收一以Kerberos為基礎之訊息中的專屬識別符。 36 23. 1353154 24.如申請專利範圍第23項所述之電腦可讀取媒體,其中 該專屬識別符係由該以Kerberos為基礎之訊息中的PAC 所提供。 25.如申請專利範圍第23項所述之電腦可讀取媒體,其中 該以Keeberos為基礎之訊息與一 S4U2self程序相關。
26.如申請專利範圍第23項所述之電腦可讀取媒體,其中 該以Keeberos為基礎之訊息與一 S4U2proxy程序相關。 2 7.如申請專利範圍第1 8項所述之電腦可讀取媒體,其中 識別是否該SID符合由該存取控制機制所提供的至少一 個其他SID之步驟,更包括下列步驟: 比較該SID與一存取控制列表(ACL)中的至少一個其 他SID,該存取控制列表(ACL)與上述之至少一個電腦資 源相關。
28·如申請專利範圍第1 8項所述之電腦可讀取媒體,其中 接受該使用者相關的專屬識別符,用以提供至少一個電 腦資源的控制存取之步驟,更包括下列步驟: 提供一預設帳號給該使用者,用以提供至少一個電腦 資源之存取。 29. —種具有用以執行下列動作之電腦可執行指令之電腦可 37 · 1353154 讀取媒體,該等動作包括: 接受至少一個使用者的至少一個電子郵件(e-mail)位 址,用以准許至少一個電腦資源的至少受限的存取權限; 輸出該電子郵件位址給至少一個受信任服務,該至少 一個受信任服務係能夠基於該電子郵件位址以輸出該使 用者相關的一對應專屬識別符:
接受該該受信任服務所輸出之專屬識別符;並 基於該專屬識別符,建立該至少一個電腦資源相關的 至少一個使用者存取控制權限。 30.如申請專利範圍第29項所述之電腦可讀取媒體,其中 基於該專屬識別符,為使用者設定該至少一個使用者存 取控制權限的動作,更包含下列動作: 轉換該專屬識別符為一安全性識別符(SID);以及 指派該 SID至前述電腦資源的至少一個存取控制列 表(ACL)。 3 1.如申請專利範圍第2 9項所述之電腦可讀取媒體,其中 該專屬識別符包含一成對專屬識別符(PUID)。 3 2.如申請專利範圍第3 1項所述之電腦可讀取媒體,其中 該PUID與一護照服務相關。 3 3.如申請專利範圍第3 2項所述之電腦可讀取媒體,其中 38 1353154 該專屬識別符包含_ PUID,並且轉譯該專屬識別符為該 SID之動作,包括下列動作: 區分該PUID為至少一個子授權識別符部份和至少一 個成員識別符部份。 34.如申請專利範圍第32項所述之電腦可讀取媒體,其中 上述專屬識別符包含一 PUIr),並且轉譯該專屬識別符為 該SID的動作,包括下列動作: 提供該護照專屬識別符给一應用程式介面(Αρι);及 之後’自上述API接收該SID。 35·如申請專利範圍第29項所述之電腦可讀取媒體,其中 接收該專屬識別符的動作,更包括下列動作: 接收一以Kerberos為基礎之訊息中的專屬識別符。 36. 如申請專利範圍第35項所述之電腦可讀取媒體,其中 該專屬識別符係由該以Kerberos為基礎之訊息中的pAc 所提供。 37. —種轉譯一成對專屬識別符(PUID)為對應之安全識別 符(SID)之方法,包括下列步驟: 接收該PUID ; 區分該PUID為至少一個子授權識別符部份以及至少 一個成員識別符部份;以及 39 1353154 組合(arrange)該至少一個子授權識別符部份和該至 少一個成員識別符部份為該SID。 38.
如申請專利範圍第37項所述之方法,其中組合該至少 一個子授權識別符部份和該至少一個成員識別符部份為 該SID之步驟,更包括下列步驟:組合該siD,使其擁 有子授權識別符、一函數HIWORD(MemberlDHigh)、 一函數 LOWORD(MemberlDHigh) 以及一 MemberlDLow 〇 39. 如申請專利範圍第37項所述之方法,更包括輸出該s ID 之步驟。 40. 一種具有用以執行下列動作之電腦可執行指令之電腦可 讀取媒體,該等動作包括: 接收一成對專屬識別符(PUID);以及 籍由區分該PUID為至少一個子授權識別符部份以及 至少一個成員識別符部份,並組合該至少一個子授權識 別符和該至少一個成員識別符部份為該sID之動作,'以 轉譯該PUID為一對應之安全性識別符(SID)。 如申請專利範圍第40項所述之電腦可讀取媒體,其中 組合該至少一個子授權識別符部份和該至少一個成員識 別符部份為該SID之動作更包括下列動作:組合該Sid , 40 41. 1353154 使其擁有上述之子授權識別符、一函數HI WORD (MemberlDHigh)、一函數 l〇w〇RD (MemberlDHigh)以及 一 MemberlDLow。 42 ·如申請專利範圍第40項所述之電腦可讀取媒體,更包 括輸出該SID之動作。 43. —種用以控制至少一個電腦資源的存取之系統,包括: 一記憶體;和 一邏輯(logic) ’係操作地耦接至該記憶體及可設定以 接收與使用者相關之專屬識別符,用以提供該至少一個 電腦資源的控制存取’該專屬識別符係與另一已鑑別該 使用者之電腦資源相關;該邏輯,更可操作地設定以轉 譯該專屬識別符為一安全性識別符(SID),且當該SID符 合儲存在該記憶體中並與該至少一個電腦資源相關的至 少—個其他SID時,則允許該使用者存取該至少一個電 腦資源》 44. 如申請專利範圍第43項所述之系統,其中該專屬識別 符包括一成對專眉識別符(P UID)。 45. 如申請專利範圍第44項所述之系統,其令該puID與護 照服務相關》 41 1353154 46. 如申請專利範圍第45項所述之系統’其中該邏輯係可 進一步設定為可區分該護照專屬識別符為至少一個子授 權識別符部份以及至少一個成員識別符部份。 47. 如申請專利範圍第43項所述之系統’其中可設定該邏 輯,以接收一以Kerberos為基礎之訊息中的專屬識別符。 4 8.如申請專利範圍第4 7項所述之系統’其中該專屬識別 符由該以Kerberos為基礎之訊息中的PAC所提供。 49. 如申請專利範圍第47項所述之系統,其中該以Kerberos 為基礎之訊息與一 S4U2self程序相關。 50. 如申請專利範圍第48項所述之系統,其中該以Kerberos 為基礎之訊息與一 S4U2proxy程序相關。 5 1.如申請專利範圍第43項所述之系統,其中儲存在該記 憶體中的至少一個其他SID係一存取控制列表(ACL)的 一部份,該ACL與上述至少一個電腦資源相關。 52.如申請專利範圍第43項所述之系統,其中該邏輯可進 一步設定以提供一匿名帳號的能力(anonymous account cap ability)給使用者,用以提供該至少一個電腦資源的存 取控制。 42 1353154 個電腦資源的存取控制權限之系 5 3. —種用以設定至少 統’該系統包括: 一通訊網路;
…-第:裝置,係操作地耦接至該網路並設定為可接收 至少-個使兩者之至少_個電子郵件(卜咖⑴位址,兩以 准許該至少-個電蹈f源之受限權限;提供該電子郵件 位址給該網路;然後在該網路上接收對應且與該電子郵 件相關的專屬識別符;以及基於所接收的專屬識別符, λ疋至夕一個電腦資源相關的至少一個存取控制權限給 該使用者》 54.如申請專利範圍第53項所述之系統,更包括: 至 個其他裝置’用以操作地耦接至該網路且設定 為提供至少一個可信任服務,該至少一個可信任服務能 夠自該網路接收該至少一個電子郵件位址;轉換該電子 郵件位址為該專屬識別符;以及輸出該專屬識別符給該 · 網路。 如申請專利範圍第54項所述之系統,其中該第一裝置 可進步設定為轉譯該專屬識別符為一安全性識別符 符(SID)並使該siD與至少一個電腦資源之至少一個存 取控制列表(ACL)產生關聯。 43 1353154 __ _ ,, .,1 III» I I · — ' 1 " ^ m I·' ί. I 月修芷 I ft»年丨月今丨Ώ落正替換肖 56.如申請專利範圍筮55;®«· 7 + 固第55項所述之系統,其中該專屬識別 符包含—成對專屬識別符(PUID)。 57.如申請專利範圍帛56項所述之系統,其中該專屬識別 符包含一護照專屬識別符。 58·如申請專利範圍第57項所述之系統,其中在轉譯為對 應之SID期間,該第一裝置可被進一步設定以區分該護 照專屬識別符為至少一個子授權識別符部份以及至少一 個成員識別符部份。 5 9.如申請專利範圍第53項所述之系統,其中該第—裝置 可設定為接收一以Kerberos為基礎之訊息中的專屬識別 符。 60. 如申請專利範圍第59項所述之系統,其中該專屬識別 符係由該以Kerberos為基礎之訊息中的PAC所提供。 61. —種用以提供一第一使用者對可經由一伺服器取得的電 腦資源之控制存取而不需該第一使用者具有與該電腦資 源相關的一專屬使用者帳號之方法,該執行於飼服器上 之方法,包含下列步驟: 從具有一專屬使用者帳號之一第二使用者,以接收 該第一使用者的一識別符’該專屬使用者帳號係與區域 44 電腦資源相關; 基於從該第二使用者所接收的識別符,使該第一使 用者的一安全性識別符(SID)與該區域電腦資源相關聯, 並將該SID儲存至該伺服器; 當該第一使用者想要存取該區域電腦資源時,係接 收該第一使用者相關的成對專屬識別符(PUID),用以提 '、該區域電腦資源的存取,該PUID與已鑑別該第一使用 者之—外部電腦資源相關;以及 比較該PUID與儲存在該伺服器中之相關聯的SID, 以決定何時將該本地的電腦資源提供給該第一使用者。 62’如申請專利範圍第61項所述之方法,另包含下列步驟: 當從該PUID所衍生的對應的SID係符合該相關的 SID時,則將該電腦資源的控制存取提供給該第一使用 者。 63. 如申請專利範圍第61 驟,包含下列步驟: 將該PUID轉譯為一 項所述之方法,其中該比較的步 對應的安全性識別符(SID);
使用一存取控制機制來決定該對應的 SID與該相關 的SID何時符合 以及 該存取控制機制 與該電腦資源相關; 制存取提供給該第 基於該決定’將該電腦資源的控 一使用者。 45 1353154 ----------- - ί·00年月θ Θ够正替換頁 第找類紹月修上 64.如申請專利範圍第63項所述之方法,其中該轉譯的步 驟包含下列步驟:將該PUID提供給一應用程式介面(ΑΡΙ), 並接收由該API所回應的該對應的SID。 6S.如申請專利範圍第63項所述之方法,其中:
該相關的SID係儲存在一存取控制列表(ACL)中;該 存取控制列表與該至少一個電腦資源相關》 66.如申請專利範圍第61項所述之方法,其中該外部電腦 資源係基於芦第"一使用者相關的電子郵件(e-mail)位址,來 鑑別該第一使用者。 67·如申請專利範圍第61項所述之方法,其中基於該使用 者對一服務的一單一登入,使得該服務相關的PUID係設定 以將多個網路資源提供給使用者。 68. —種具有電腦可執行指令的電腦可讀取媒體,當該等電 腦可執行指令執行時’則執行如申請專利範圍第6丨項之用 以將控制存取提供給一第一使用者之方法。 —種用以提供一第一使用者對可經由一伺服器取得的電 腦資源之控制存取而不需該第一使用者具有與該電腦資 源相關的一專屬使用者帳號之系統,包含: 46 一或多個處理器,係操作地耦接至記憶體;以及 儲存在該記憶體中的 時,則執行如申請專 制存取提供給一第一 一模組,當經由該一或多個處理器執行 利範圍第61項之用以將電腦資源的控 使用者之方法。
47
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/144,059 US7401235B2 (en) | 2002-05-10 | 2002-05-10 | Persistent authorization context based on external authentication |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200400741A TW200400741A (en) | 2004-01-01 |
TWI353154B true TWI353154B (en) | 2011-11-21 |
Family
ID=22506868
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW092112488A TWI353154B (en) | 2002-05-10 | 2003-05-07 | Method, system and computer readable medium for pr |
Country Status (18)
Country | Link |
---|---|
US (1) | US7401235B2 (zh) |
EP (2) | EP1939707B1 (zh) |
JP (1) | JP4756817B2 (zh) |
KR (1) | KR100986568B1 (zh) |
CN (1) | CN100367249C (zh) |
AT (2) | ATE398799T1 (zh) |
AU (1) | AU2003203708B2 (zh) |
BR (1) | BR0301034A (zh) |
CA (1) | CA2424782A1 (zh) |
DE (1) | DE60321618D1 (zh) |
HK (1) | HK1060201A1 (zh) |
MX (1) | MXPA03003709A (zh) |
MY (1) | MY145724A (zh) |
NO (1) | NO20032094L (zh) |
PL (1) | PL359993A1 (zh) |
RU (2) | RU2337399C2 (zh) |
TW (1) | TWI353154B (zh) |
ZA (1) | ZA200302999B (zh) |
Families Citing this family (251)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AUPQ654400A0 (en) * | 2000-03-28 | 2000-04-20 | Optimiser Pty Ltd | Authorising use of a computer program |
US7698381B2 (en) * | 2001-06-20 | 2010-04-13 | Microsoft Corporation | Methods and systems for controlling the scope of delegation of authentication credentials |
US7382787B1 (en) | 2001-07-30 | 2008-06-03 | Cisco Technology, Inc. | Packet routing and switching device |
JP2003108520A (ja) * | 2001-09-28 | 2003-04-11 | Canon Inc | 情報提供サーバ、端末装置及びその制御方法並びに情報提供システム |
WO2003058877A1 (en) | 2001-12-28 | 2003-07-17 | Woodstock Systems, Llc | Personal digital servertm (pdstm) |
US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
US7450438B1 (en) | 2002-06-20 | 2008-11-11 | Cisco Technology, Inc. | Crossbar apparatus for a forwarding table memory in a router |
US7525904B1 (en) | 2002-06-20 | 2009-04-28 | Cisco Technology, Inc. | Redundant packet routing and switching device and method |
US7152108B1 (en) * | 2002-08-30 | 2006-12-19 | Signiant Inc. | Data transfer system and method with secure mapping of local system access rights to global identities |
US7343301B1 (en) | 2002-08-30 | 2008-03-11 | Signiant, Inc. | Method and apparatus for notification of data transfer |
US7613812B2 (en) | 2002-12-04 | 2009-11-03 | Microsoft Corporation | Peer-to-peer identity management interfaces and methods |
US7536476B1 (en) * | 2002-12-20 | 2009-05-19 | Cisco Technology, Inc. | Method for performing tree based ACL lookups |
US7496953B2 (en) * | 2003-04-29 | 2009-02-24 | International Business Machines Corporation | Single sign-on method for web-based applications |
US7397922B2 (en) | 2003-06-27 | 2008-07-08 | Microsoft Corporation | Group security |
US7188254B2 (en) * | 2003-08-20 | 2007-03-06 | Microsoft Corporation | Peer-to-peer authorization method |
US7574603B2 (en) | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
US20050166070A1 (en) * | 2003-12-24 | 2005-07-28 | Ling Dynamic Systems Ltd. | Web based user interface |
US7412516B1 (en) * | 2003-12-29 | 2008-08-12 | Aol Llc | Using a network bandwidth setting based on determining the network environment |
US20050144144A1 (en) * | 2003-12-30 | 2005-06-30 | Nokia, Inc. | System and method for authenticating a terminal based upon at least one characteristic of the terminal located at a position within an organization |
US20050149724A1 (en) * | 2003-12-30 | 2005-07-07 | Nokia Inc. | System and method for authenticating a terminal based upon a position of the terminal within an organization |
US7395319B2 (en) | 2003-12-31 | 2008-07-01 | Checkfree Corporation | System using contact list to identify network address for accessing electronic commerce application |
US7636941B2 (en) | 2004-03-10 | 2009-12-22 | Microsoft Corporation | Cross-domain authentication |
US20050246762A1 (en) * | 2004-04-29 | 2005-11-03 | International Business Machines Corporation | Changing access permission based on usage of a computer resource |
JP2006011768A (ja) * | 2004-06-25 | 2006-01-12 | Toshiba Corp | 認証システム及び装置 |
US7526557B2 (en) * | 2004-06-30 | 2009-04-28 | Signiant, Inc. | System and method for transferring data in high latency firewalled networks |
US20060037062A1 (en) * | 2004-08-09 | 2006-02-16 | International Business Machines Corporation | Method, system and program product for securing resources in a distributed system |
US7603700B2 (en) * | 2004-08-31 | 2009-10-13 | Aol Llc | Authenticating a client using linked authentication credentials |
JP4643213B2 (ja) * | 2004-09-29 | 2011-03-02 | シスメックス株式会社 | アプリケーションプログラムの使用制限方法、測定装置のユーザ認証システム、認証サーバ、クライアント装置、及びアプリケーションプログラム |
US7996881B1 (en) | 2004-11-12 | 2011-08-09 | Aol Inc. | Modifying a user account during an authentication process |
US7889712B2 (en) | 2004-12-23 | 2011-02-15 | Cisco Technology, Inc. | Methods and apparatus for providing loop free routing tables |
US8490168B1 (en) * | 2005-10-12 | 2013-07-16 | At&T Intellectual Property I, L.P. | Method for authenticating a user within a multiple website environment to provide secure access |
US20070130289A1 (en) * | 2005-12-07 | 2007-06-07 | Christopher Defazio | Remote access |
US7747647B2 (en) * | 2005-12-30 | 2010-06-29 | Microsoft Corporation | Distributing permission information via a metadirectory |
US20070156691A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | Management of user access to objects |
US8104074B2 (en) | 2006-02-24 | 2012-01-24 | Microsoft Corporation | Identity providers in digital identity system |
US8117459B2 (en) | 2006-02-24 | 2012-02-14 | Microsoft Corporation | Personal identification information schemas |
US7639629B2 (en) * | 2006-07-28 | 2009-12-29 | Microsoft Corporation | Security model for application and trading partner integration |
US8078880B2 (en) | 2006-07-28 | 2011-12-13 | Microsoft Corporation | Portable personal identity information |
JP5011959B2 (ja) * | 2006-11-01 | 2012-08-29 | 富士ゼロックス株式会社 | 認証代行装置、認証代行プログラム、及び認証代行システム |
US7942739B2 (en) | 2006-11-15 | 2011-05-17 | Cfph, Llc | Storing information from a verification device and accessing the information from a gaming device to verify that the gaming device is communicating with a server |
US7942740B2 (en) | 2006-11-15 | 2011-05-17 | Cfph, Llc | Verifying a first device is in communications with a server by storing a value from the first device and accessing the value from a second device |
US7942741B2 (en) * | 2006-11-15 | 2011-05-17 | Cfph, Llc | Verifying whether a device is communicating with a server |
US7942742B2 (en) * | 2006-11-15 | 2011-05-17 | Cfph, Llc | Accessing identification information to verify a gaming device is in communications with a server |
US8012015B2 (en) | 2006-11-15 | 2011-09-06 | Cfph, Llc | Verifying whether a gaming device is communicating with a gaming server |
US10068421B2 (en) * | 2006-11-16 | 2018-09-04 | Cfph, Llc | Using a first device to verify whether a second device is communicating with a server |
US7942738B2 (en) * | 2006-11-15 | 2011-05-17 | Cfph, Llc | Verifying a gaming device is in communications with a gaming server |
US8087072B2 (en) | 2007-01-18 | 2011-12-27 | Microsoft Corporation | Provisioning of digital identity representations |
US8407767B2 (en) | 2007-01-18 | 2013-03-26 | Microsoft Corporation | Provisioning of digital identity representations |
US8689296B2 (en) | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
US8650615B2 (en) * | 2007-09-28 | 2014-02-11 | Emc Corporation | Cross domain delegation by a storage virtualization system |
US8635664B2 (en) * | 2007-12-28 | 2014-01-21 | Intel Corporation | Method and system for securing application program interfaces in unified extensible firmware interface |
US8001582B2 (en) | 2008-01-18 | 2011-08-16 | Microsoft Corporation | Cross-network reputation for online services |
US7925516B2 (en) * | 2008-03-14 | 2011-04-12 | Microsoft Corporation | Leveraging global reputation to increase personalization |
US20100077208A1 (en) * | 2008-09-19 | 2010-03-25 | Microsoft Corporation | Certificate based authentication for online services |
US9258136B2 (en) * | 2009-01-19 | 2016-02-09 | Koninklijke Philips N.V. | Browser with dual scripting engine for privacy protection |
US9390172B2 (en) * | 2009-12-03 | 2016-07-12 | Microsoft Technology Licensing, Llc | Communication channel between web application and process outside browser |
US8613059B2 (en) * | 2009-12-18 | 2013-12-17 | At&T Intellectual Property I, L.P. | Methods, systems and computer program products for secure access to information |
US9088580B2 (en) * | 2009-12-31 | 2015-07-21 | Microsoft Technology Licensing, Llc | Access control based on user and service |
US8924715B2 (en) * | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
AU2010246354B1 (en) * | 2010-11-22 | 2011-11-03 | Microsoft Technology Licensing, Llc | Back-end constrained delegation model |
KR101868018B1 (ko) | 2011-02-09 | 2018-06-18 | 삼성전자주식회사 | 기기간 연결 제어 방법 및 그 장치 |
US9118686B2 (en) | 2011-09-06 | 2015-08-25 | Microsoft Technology Licensing, Llc | Per process networking capabilities |
US9773102B2 (en) | 2011-09-09 | 2017-09-26 | Microsoft Technology Licensing, Llc | Selective file access for applications |
US8990561B2 (en) | 2011-09-09 | 2015-03-24 | Microsoft Technology Licensing, Llc | Pervasive package identifiers |
US9800688B2 (en) | 2011-09-12 | 2017-10-24 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
US8930475B1 (en) | 2012-03-30 | 2015-01-06 | Signiant Inc. | Systems and methods for secure cloud-based media file sharing |
US9317670B2 (en) * | 2012-05-22 | 2016-04-19 | Verizon Patent And Licensing Inc | Security based on usage activity associated with user device |
CN103532919B (zh) * | 2012-07-06 | 2018-06-12 | 腾讯科技(深圳)有限公司 | 用户账户保持登录态的方法及系统 |
US9692799B2 (en) | 2012-07-30 | 2017-06-27 | Signiant Inc. | System and method for sending and/or receiving digital content based on a delivery specification |
US10356204B2 (en) | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
US9858247B2 (en) | 2013-05-20 | 2018-01-02 | Microsoft Technology Licensing, Llc | Runtime resolution of content references |
US9319419B2 (en) * | 2013-09-26 | 2016-04-19 | Wave Systems Corp. | Device identification scoring |
US9825944B2 (en) * | 2014-01-24 | 2017-11-21 | Microsoft Technology Licensing, Llc | Secure cryptoprocessor for authorizing connected device requests |
US10073978B2 (en) | 2014-04-16 | 2018-09-11 | International Business Machines Corporation | Efficient modification and creation of authorization settings for user accounts |
US10181051B2 (en) | 2016-06-10 | 2019-01-15 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
US9729583B1 (en) | 2016-06-10 | 2017-08-08 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
US9736165B2 (en) * | 2015-05-29 | 2017-08-15 | At&T Intellectual Property I, L.P. | Centralized authentication for granting access to online services |
US9948662B2 (en) | 2015-07-31 | 2018-04-17 | Fortinet, Inc. | Providing security in a communication network |
US9509684B1 (en) * | 2015-10-14 | 2016-11-29 | FullArmor Corporation | System and method for resource access with identity impersonation |
US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
US9450944B1 (en) | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
US11004125B2 (en) | 2016-04-01 | 2021-05-11 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US10423996B2 (en) | 2016-04-01 | 2019-09-24 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
US10706447B2 (en) | 2016-04-01 | 2020-07-07 | OneTrust, LLC | Data processing systems and communication systems and methods for the efficient generation of privacy risk assessments |
US11244367B2 (en) | 2016-04-01 | 2022-02-08 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US20220164840A1 (en) | 2016-04-01 | 2022-05-26 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
US10740487B2 (en) | 2016-06-10 | 2020-08-11 | OneTrust, LLC | Data processing systems and methods for populating and maintaining a centralized database of personal data |
US10452864B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
US10430740B2 (en) | 2016-06-10 | 2019-10-01 | One Trust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
US10503926B2 (en) | 2016-06-10 | 2019-12-10 | OneTrust, LLC | Consent receipt management systems and related methods |
US10796260B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Privacy management systems and methods |
US10509920B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US10586075B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
US11228620B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10846433B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing consent management systems and related methods |
US10242228B2 (en) | 2016-06-10 | 2019-03-26 | OneTrust, LLC | Data processing systems for measuring privacy maturity within an organization |
US10437412B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
US11025675B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
US10769301B2 (en) | 2016-06-10 | 2020-09-08 | OneTrust, LLC | Data processing systems for webform crawling to map processing activities and related methods |
US10776518B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Consent receipt management systems and related methods |
US10585968B2 (en) | 2016-06-10 | 2020-03-10 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10467432B2 (en) | 2016-06-10 | 2019-11-05 | OneTrust, LLC | Data processing systems for use in automatically generating, populating, and submitting data subject access requests |
US11438386B2 (en) | 2016-06-10 | 2022-09-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10565161B2 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US11295316B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
US11562097B2 (en) | 2016-06-10 | 2023-01-24 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
US11057356B2 (en) | 2016-06-10 | 2021-07-06 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
US10496803B2 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
US10282559B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
US11675929B2 (en) | 2016-06-10 | 2023-06-13 | OneTrust, LLC | Data processing consent sharing systems and related methods |
US12118121B2 (en) | 2016-06-10 | 2024-10-15 | OneTrust, LLC | Data subject access request processing systems and related methods |
US10685140B2 (en) | 2016-06-10 | 2020-06-16 | OneTrust, LLC | Consent receipt management systems and related methods |
US10839102B2 (en) | 2016-06-10 | 2020-11-17 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
US11651106B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10592692B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
US11210420B2 (en) | 2016-06-10 | 2021-12-28 | OneTrust, LLC | Data subject access request processing systems and related methods |
US10949170B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
US10565397B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10848523B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11366909B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11138299B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10885485B2 (en) | 2016-06-10 | 2021-01-05 | OneTrust, LLC | Privacy management systems and methods |
US10944725B2 (en) | 2016-06-10 | 2021-03-09 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
US10452866B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11475136B2 (en) | 2016-06-10 | 2022-10-18 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
US11625502B2 (en) | 2016-06-10 | 2023-04-11 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
US11651104B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Consent receipt management systems and related methods |
US10565236B1 (en) | 2016-06-10 | 2020-02-18 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11416798B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
US10510031B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
US11144622B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Privacy management systems and methods |
US10997315B2 (en) * | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US12052289B2 (en) | 2016-06-10 | 2024-07-30 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10776517B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for calculating and communicating cost of fulfilling data subject access requests and related methods |
US10169609B1 (en) | 2016-06-10 | 2019-01-01 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US11328092B2 (en) | 2016-06-10 | 2022-05-10 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
US11138242B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
US11520928B2 (en) | 2016-06-10 | 2022-12-06 | OneTrust, LLC | Data processing systems for generating personal data receipts and related methods |
US10318761B2 (en) | 2016-06-10 | 2019-06-11 | OneTrust, LLC | Data processing systems and methods for auditing data request compliance |
US11074367B2 (en) | 2016-06-10 | 2021-07-27 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
US11416109B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
US11586700B2 (en) | 2016-06-10 | 2023-02-21 | OneTrust, LLC | Data processing systems and methods for automatically blocking the use of tracking tools |
US11636171B2 (en) | 2016-06-10 | 2023-04-25 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
US11238390B2 (en) | 2016-06-10 | 2022-02-01 | OneTrust, LLC | Privacy management systems and methods |
US11087260B2 (en) | 2016-06-10 | 2021-08-10 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
US10896394B2 (en) | 2016-06-10 | 2021-01-19 | OneTrust, LLC | Privacy management systems and methods |
US10708305B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Automated data processing systems and methods for automatically processing requests for privacy-related information |
US10726158B2 (en) | 2016-06-10 | 2020-07-28 | OneTrust, LLC | Consent receipt management and automated process blocking systems and related methods |
US11146566B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
US10853501B2 (en) | 2016-06-10 | 2020-12-01 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11151233B2 (en) | 2016-06-10 | 2021-10-19 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10803200B2 (en) | 2016-06-10 | 2020-10-13 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
US10762236B2 (en) | 2016-06-10 | 2020-09-01 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
US11222139B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems and methods for automatic discovery and assessment of mobile software development kits |
US10878127B2 (en) | 2016-06-10 | 2020-12-29 | OneTrust, LLC | Data subject access request processing systems and related methods |
US11301796B2 (en) | 2016-06-10 | 2022-04-12 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
US10606916B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
US10496846B1 (en) | 2016-06-10 | 2019-12-03 | OneTrust, LLC | Data processing and communications systems and methods for the efficient implementation of privacy by design |
US10706131B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
US10642870B2 (en) | 2016-06-10 | 2020-05-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
US10235534B2 (en) | 2016-06-10 | 2019-03-19 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
US10592648B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Consent receipt management systems and related methods |
US10783256B2 (en) | 2016-06-10 | 2020-09-22 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
US10873606B2 (en) | 2016-06-10 | 2020-12-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11366786B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US10997318B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
US11481710B2 (en) | 2016-06-10 | 2022-10-25 | OneTrust, LLC | Privacy management systems and methods |
US11188615B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Data processing consent capture systems and related methods |
US10353673B2 (en) | 2016-06-10 | 2019-07-16 | OneTrust, LLC | Data processing systems for integration of consumer feedback with data subject access requests and related methods |
US10438017B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Data processing systems for processing data subject access requests |
US10454973B2 (en) | 2016-06-10 | 2019-10-22 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10284604B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing and scanning systems for generating and populating a data inventory |
US11403377B2 (en) | 2016-06-10 | 2022-08-02 | OneTrust, LLC | Privacy management systems and methods |
US11336697B2 (en) | 2016-06-10 | 2022-05-17 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11354435B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
US10706176B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data-processing consent refresh, re-prompt, and recapture systems and related methods |
US10798133B2 (en) | 2016-06-10 | 2020-10-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10275614B2 (en) | 2016-06-10 | 2019-04-30 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11023842B2 (en) | 2016-06-10 | 2021-06-01 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
US10572686B2 (en) | 2016-06-10 | 2020-02-25 | OneTrust, LLC | Consent receipt management systems and related methods |
US10416966B2 (en) | 2016-06-10 | 2019-09-17 | OneTrust, LLC | Data processing systems for identity validation of data subject access requests and related methods |
US10706174B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for prioritizing data subject access requests for fulfillment and related methods |
US11134086B2 (en) | 2016-06-10 | 2021-09-28 | OneTrust, LLC | Consent conversion optimization systems and related methods |
US10614247B2 (en) | 2016-06-10 | 2020-04-07 | OneTrust, LLC | Data processing systems for automated classification of personal information from documents and related methods |
US11416589B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11227247B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
US11418492B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
US11461500B2 (en) | 2016-06-10 | 2022-10-04 | OneTrust, LLC | Data processing systems for cookie compliance testing with website scanning and related methods |
US10713387B2 (en) | 2016-06-10 | 2020-07-14 | OneTrust, LLC | Consent conversion optimization systems and related methods |
US10909488B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Data processing systems for assessing readiness for responding to privacy-related incidents |
US10706379B2 (en) | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems for automatic preparation for remediation and related methods |
US11727141B2 (en) | 2016-06-10 | 2023-08-15 | OneTrust, LLC | Data processing systems and methods for synching privacy-related user consent across multiple computing devices |
US11392720B2 (en) | 2016-06-10 | 2022-07-19 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
US11157600B2 (en) | 2016-06-10 | 2021-10-26 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11038925B2 (en) | 2016-06-10 | 2021-06-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US11354434B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
US11343284B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
US10909265B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Application privacy scanning systems and related methods |
US11416590B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US10678945B2 (en) | 2016-06-10 | 2020-06-09 | OneTrust, LLC | Consent receipt management systems and related methods |
US10607028B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
US11222142B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for validating authorization for personal data collection, storage, and processing |
US11341447B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Privacy management systems and methods |
US11222309B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US10204154B2 (en) | 2016-06-10 | 2019-02-12 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11294939B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
US10776514B2 (en) | 2016-06-10 | 2020-09-15 | OneTrust, LLC | Data processing systems for the identification and deletion of personal data in computer systems |
US10282700B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11188862B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Privacy management systems and methods |
US10509894B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
US11200341B2 (en) | 2016-06-10 | 2021-12-14 | OneTrust, LLC | Consent receipt management systems and related methods |
US11544667B2 (en) | 2016-06-10 | 2023-01-03 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US12045266B2 (en) | 2016-06-10 | 2024-07-23 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US11277448B2 (en) | 2016-06-10 | 2022-03-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
US10949565B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
US10440062B2 (en) | 2016-06-10 | 2019-10-08 | OneTrust, LLC | Consent receipt management systems and related methods |
US11100444B2 (en) | 2016-06-10 | 2021-08-24 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
KR102367738B1 (ko) * | 2016-11-09 | 2022-02-25 | 한국전자기술연구원 | 가상 리소스의 그룹 멤버 유효성 검증 방법 |
US10505924B1 (en) | 2016-12-09 | 2019-12-10 | Wells Fargo Bank, N.A. | Defined zone of authentication |
US20180204215A1 (en) * | 2017-01-17 | 2018-07-19 | Hung-Tzaw Hu | Detecting electronic intruders via updatable data structures |
US11120057B1 (en) | 2017-04-17 | 2021-09-14 | Microstrategy Incorporated | Metadata indexing |
US10897462B2 (en) * | 2017-05-16 | 2021-01-19 | Citrix Systems, Inc. | Systems and methods for encoding additional authentication data into an active directory security identifier |
US10013577B1 (en) | 2017-06-16 | 2018-07-03 | OneTrust, LLC | Data processing systems for identifying whether cookies contain personally identifying information |
US11245701B1 (en) | 2018-05-30 | 2022-02-08 | Amazon Technologies, Inc. | Authorization pre-processing for network-accessible service requests |
US11544409B2 (en) | 2018-09-07 | 2023-01-03 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
US11144675B2 (en) | 2018-09-07 | 2021-10-12 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
US10803202B2 (en) | 2018-09-07 | 2020-10-13 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
CA3052348A1 (en) * | 2018-12-28 | 2019-04-18 | Alibaba Group Holding Limited | Parallel execution of transactions in a blockchain network |
CN110300985B (zh) | 2018-12-28 | 2023-08-01 | 创新先进技术有限公司 | 基于智能合约白名单在区块链网络中并行执行交易 |
US10735516B1 (en) | 2019-02-15 | 2020-08-04 | Signiant Inc. | Cloud-based authority to enhance point-to-point data transfer with machine learning |
US11418353B2 (en) * | 2019-08-26 | 2022-08-16 | Micron Technology, Inc. | Security descriptor generation |
US11516213B2 (en) | 2019-09-18 | 2022-11-29 | Microstrategy Incorporated | Authentication for requests from third-party interfaces |
US11954218B2 (en) | 2020-02-10 | 2024-04-09 | Visa International Service Association | Real-time access rules using aggregation of periodic historical outcomes |
US11457017B2 (en) | 2020-03-04 | 2022-09-27 | The Whisper Company | System and method of determing persistent presence of an authorized user while performing an allowed operation on an allowed resource of the system under a certain context-sensitive restriction |
US11797528B2 (en) | 2020-07-08 | 2023-10-24 | OneTrust, LLC | Systems and methods for targeted data discovery |
KR102359467B1 (ko) * | 2020-07-08 | 2022-02-08 | 인제대학교 산학협력단 | 스토리지 활용 이력에 기반한 비용 책정 방법 및 시스템 |
WO2022026564A1 (en) | 2020-07-28 | 2022-02-03 | OneTrust, LLC | Systems and methods for automatically blocking the use of tracking tools |
WO2022032072A1 (en) | 2020-08-06 | 2022-02-10 | OneTrust, LLC | Data processing systems and methods for automatically redacting unstructured data from a data subject access request |
US11436373B2 (en) | 2020-09-15 | 2022-09-06 | OneTrust, LLC | Data processing systems and methods for detecting tools for the automatic blocking of consent requests |
WO2022061270A1 (en) | 2020-09-21 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for automatically detecting target data transfers and target data processing |
US11550942B2 (en) * | 2020-10-27 | 2023-01-10 | Bull Sas | Universal file access control system and method |
US11397819B2 (en) | 2020-11-06 | 2022-07-26 | OneTrust, LLC | Systems and methods for identifying data processing activities based on data discovery results |
US11687528B2 (en) | 2021-01-25 | 2023-06-27 | OneTrust, LLC | Systems and methods for discovery, classification, and indexing of data in a native computing system |
WO2022170047A1 (en) | 2021-02-04 | 2022-08-11 | OneTrust, LLC | Managing custom attributes for domain objects defined within microservices |
US11494515B2 (en) | 2021-02-08 | 2022-11-08 | OneTrust, LLC | Data processing systems and methods for anonymizing data samples in classification analysis |
US20240098109A1 (en) | 2021-02-10 | 2024-03-21 | OneTrust, LLC | Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system |
WO2022178089A1 (en) | 2021-02-17 | 2022-08-25 | OneTrust, LLC | Managing custom workflows for domain objects defined within microservices |
WO2022178219A1 (en) | 2021-02-18 | 2022-08-25 | OneTrust, LLC | Selective redaction of media content |
US11533315B2 (en) | 2021-03-08 | 2022-12-20 | OneTrust, LLC | Data transfer discovery and analysis systems and related methods |
US11562078B2 (en) | 2021-04-16 | 2023-01-24 | OneTrust, LLC | Assessing and managing computational risk involved with integrating third party computing functionality within a computing system |
US11620142B1 (en) | 2022-06-03 | 2023-04-04 | OneTrust, LLC | Generating and customizing user interfaces for demonstrating functions of interactive user environments |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB9104909D0 (en) * | 1991-03-08 | 1991-04-24 | Int Computers Ltd | Access control in a distributed computer system |
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
US5550981A (en) * | 1994-06-21 | 1996-08-27 | At&T Global Information Solutions Company | Dynamic binding of network identities to locally-meaningful identities in computer networks |
CA2138302C (en) | 1994-12-15 | 1999-05-25 | Michael S. Fortinsky | Provision of secure access to external resources from a distributed computing environment |
US7188003B2 (en) * | 1994-12-30 | 2007-03-06 | Power Measurement Ltd. | System and method for securing energy management systems |
US7761910B2 (en) * | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
US5864665A (en) * | 1996-08-20 | 1999-01-26 | International Business Machines Corporation | Auditing login activity in a distributed computing environment |
US6055637A (en) | 1996-09-27 | 2000-04-25 | Electronic Data Systems Corporation | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential |
US6092196A (en) | 1997-11-25 | 2000-07-18 | Nortel Networks Limited | HTTP distributed remote user authentication system |
US6785015B1 (en) * | 1999-11-12 | 2004-08-31 | Hewlett-Packard Development Company, L.P. | System and method for monitoring a computer system process or peripheral |
HK1023695A2 (en) * | 2000-02-19 | 2000-08-11 | Nice Talent Ltd | Service sign on |
US20020150253A1 (en) * | 2001-04-12 | 2002-10-17 | Brezak John E. | Methods and arrangements for protecting information in forwarded authentication messages |
JP4475646B2 (ja) * | 2004-08-27 | 2010-06-09 | キヤノン株式会社 | 画像表示装置 |
-
2002
- 2002-05-10 US US10/144,059 patent/US7401235B2/en not_active Expired - Fee Related
-
2003
- 2003-04-08 MY MYPI20031284A patent/MY145724A/en unknown
- 2003-04-09 CA CA002424782A patent/CA2424782A1/en not_active Abandoned
- 2003-04-14 AT AT03008065T patent/ATE398799T1/de not_active IP Right Cessation
- 2003-04-14 AT AT08007721T patent/ATE538443T1/de active
- 2003-04-14 DE DE60321618T patent/DE60321618D1/de not_active Expired - Lifetime
- 2003-04-14 AU AU2003203708A patent/AU2003203708B2/en not_active Ceased
- 2003-04-14 EP EP08007721A patent/EP1939707B1/en not_active Expired - Lifetime
- 2003-04-14 EP EP03008065A patent/EP1361494B1/en not_active Expired - Lifetime
- 2003-04-16 ZA ZA200302999A patent/ZA200302999B/xx unknown
- 2003-04-25 MX MXPA03003709A patent/MXPA03003709A/es active IP Right Grant
- 2003-04-29 BR BR0301034-1A patent/BR0301034A/pt not_active IP Right Cessation
- 2003-05-07 TW TW092112488A patent/TWI353154B/zh active
- 2003-05-07 PL PL03359993A patent/PL359993A1/xx not_active Application Discontinuation
- 2003-05-08 RU RU2003113549/09A patent/RU2337399C2/ru not_active IP Right Cessation
- 2003-05-09 CN CNB031234968A patent/CN100367249C/zh not_active Expired - Fee Related
- 2003-05-09 NO NO20032094A patent/NO20032094L/no not_active Application Discontinuation
- 2003-05-10 KR KR1020030029609A patent/KR100986568B1/ko active IP Right Grant
- 2003-05-12 JP JP2003133821A patent/JP4756817B2/ja not_active Expired - Fee Related
-
2004
- 2004-05-04 HK HK04103113.2A patent/HK1060201A1/xx not_active IP Right Cessation
-
2008
- 2008-05-13 RU RU2008118949/09A patent/RU2390838C2/ru not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
HK1060201A1 (en) | 2004-07-30 |
KR20030087990A (ko) | 2003-11-15 |
RU2337399C2 (ru) | 2008-10-27 |
ATE398799T1 (de) | 2008-07-15 |
NO20032094L (no) | 2003-11-11 |
PL359993A1 (en) | 2003-11-17 |
TW200400741A (en) | 2004-01-01 |
RU2390838C2 (ru) | 2010-05-27 |
KR100986568B1 (ko) | 2010-10-07 |
MY145724A (en) | 2012-03-30 |
JP2004005647A (ja) | 2004-01-08 |
DE60321618D1 (de) | 2008-07-31 |
US7401235B2 (en) | 2008-07-15 |
BR0301034A (pt) | 2004-08-17 |
JP4756817B2 (ja) | 2011-08-24 |
AU2003203708A1 (en) | 2003-11-27 |
CN1456983A (zh) | 2003-11-19 |
EP1939707B1 (en) | 2011-12-21 |
EP1361494A3 (en) | 2004-01-14 |
AU2003203708B2 (en) | 2009-12-10 |
ZA200302999B (en) | 2003-10-16 |
EP1361494A2 (en) | 2003-11-12 |
EP1939707A1 (en) | 2008-07-02 |
ATE538443T1 (de) | 2012-01-15 |
NO20032094D0 (no) | 2003-05-09 |
CN100367249C (zh) | 2008-02-06 |
US20030212806A1 (en) | 2003-11-13 |
RU2008118949A (ru) | 2009-11-20 |
CA2424782A1 (en) | 2003-11-10 |
MXPA03003709A (es) | 2005-02-14 |
EP1361494B1 (en) | 2008-06-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI353154B (en) | Method, system and computer readable medium for pr | |
US9967261B2 (en) | Method and system for secure authentication | |
US9306923B2 (en) | Image forming apparatus, method for controlling image forming apparatus, and storage medium therefor | |
JP4298969B2 (ja) | 認証信用証明書の委任の有効範囲を制御するための方法とシステム | |
US7716722B2 (en) | System and method of proxy authentication in a secured network | |
KR101584510B1 (ko) | 아이디 토큰에서 속성을 판독하는 방법 | |
KR101534890B1 (ko) | 신뢰된 장치별 인증 | |
US8949963B2 (en) | Application identity design | |
US8028325B2 (en) | Invocation of a third party's service | |
TWI407750B (zh) | 用於點對點網路中認證以及授權的機制 | |
CN106856476A (zh) | 授权服务器和认证协作系统 | |
TW200838257A (en) | Provisioning of digital identity representations | |
JP2008090701A (ja) | 認証アクセス制御システム及びこれに使用するアドインモジュール | |
Chin et al. | An authentication strength linked access control middleware for the grid | |
Buranasaksee et al. | A generalized model for internet-based access control systems with delegation support | |
Chin et al. | GridFAME: Flexible Authentication Middleware Extension for Grids | |
Lu | User-to-user delegation in a federated identity environment' | |
Kyriakidou et al. | VC-Vault: A User-Friendly, Secure, Privacy-Enhancing Verifiable Credentials Wallet |