TWI603267B - 資源選擇性取用權提供技術 - Google Patents
資源選擇性取用權提供技術 Download PDFInfo
- Publication number
- TWI603267B TWI603267B TW105101514A TW105101514A TWI603267B TW I603267 B TWI603267 B TW I603267B TW 105101514 A TW105101514 A TW 105101514A TW 105101514 A TW105101514 A TW 105101514A TW I603267 B TWI603267 B TW I603267B
- Authority
- TW
- Taiwan
- Prior art keywords
- resource
- server
- resource server
- client
- topology
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Description
本發明係有關於資源選擇性取用權提供技術。
運算服務及應用程式逐漸尋覓其他服務及應用程式所擁有及/或管理的資源取用權。舉例而言,一網站上運行之一網路應用程式可尋覓一使用者用以將內容從該網站張貼到該使用者之部落格的權限,該權限可以是一由另一實體所管理的資源。代表使用者取得張貼權限之後,該管理該使用者之部落格的實體可容許該網路應用程式在該使用者之部落格上張貼內容。
依據本發明之一實施例,係特地提出一種非暫時性機器可讀儲存媒體,該非暫時性機器可讀儲存媒體編碼有可藉由一運算裝置之一硬體處理器執行用於提供資源選擇性取用權之指令,該機器可讀儲存媒體包含有令該硬體處理器執行以下步驟之指令:從一授權伺服器接收一用於取用一第一資源伺服器相關資源的取用符記;為該授權伺服器提供該取用符記及一請求以取用該第一資源伺服器;從該授權伺服器接收一第一符記,該第一符記指定一用於
取用該第一資源伺服器之第一組權限,並且該第一資源伺服器作為一第一對象,該第一組權限係藉由一用戶端拓樸結構來指定,該用戶端拓樸結構指定:該第一資源伺服器;該用於取用該第一資源伺服器之第一組權限;一第二資源伺服器;以及一用於藉由該第一資源伺服器取用該第二資源伺服器之第二組權限;以及為該第一資源伺服器提供對於一資源之一資源請求,該資源請求包括有該第一符記。
100‧‧‧運算裝置
110‧‧‧硬體處理器
120‧‧‧機器可讀儲存媒體
130~138‧‧‧指令
142‧‧‧用戶端請求
144‧‧‧第一取用符記
152‧‧‧第一資源請求
154‧‧‧第二取用符記
200‧‧‧資料流程
210‧‧‧使用者裝置
212‧‧‧資料
214‧‧‧使用者請求
216‧‧‧取用碼
218‧‧‧取用符記
220‧‧‧用戶端應用程式
222‧‧‧第一符記
224‧‧‧第二符記
226‧‧‧資料
230‧‧‧授權伺服器
232‧‧‧第三符記
234‧‧‧第四符記
236‧‧‧第五符記
240‧‧‧第一資源伺服器
250‧‧‧第二資源伺服器
260‧‧‧第三資源伺服器
270‧‧‧第四資源伺服器
280‧‧‧拓樸結構
300‧‧‧方法
302~312‧‧‧步驟
以下詳細說明會參照圖式,其中:圖1係一用於提供資源選擇性取用權之例示性運算裝置的方塊圖。
圖2A係用於提供資源選擇性取用權的例示性資料流程。
圖2B係用於提供資源選擇性取用權的例示性拓樸結構。
圖3係一用於提供資源選擇性取用權之例示方法的流程圖。
資源及服務提供者常委派任務給其他資源及服務提供者。舉例而言,一社群媒體網站可利用一資料儲存服務,基於該社群媒體網站的需求提供動態儲存器,並且可使用一廣告提供者,向社群媒體網站使用者提供廣告。這些服務中的服務、或串級式服務可由一第三方來管理,專門提供一特定服務。在一使用者容許一用戶端服務或應用程式取用
該使用者由一特定資源提供者所管理之資源的情況下,例如在該使用者許可一網站張貼至該使用者之部落格的一種情況下,該等對該特定資源提供者之該等串級式服務所授與的權限可按照一方式來控制,該方式係設計成確保只為串級式服務及資源提供者提供該等進行其特定任務所需的權限。
一般而言,為了讓一用戶端服務或應用程式取用一使用者之藉由一不同資源伺服器所管理的資源,該使用者藉由與該資源伺服器相關之一授權伺服器進行通訊來授與該用戶端取用權。該授權伺服器從該使用者並且在一些實作態樣中從該用戶端接收諸如一使用者名稱與密碼、一用戶端ID、及/或一機密的授權時,便向該用戶端發出一符記,該符記容許該用戶端請求取用該使用者在該資源伺服器上之資源,正如由該使用者所授權。該提供至該用戶端應用程式之符記識別該用戶端應用程式,並且一般而言,未授與權限。為了與該資源伺服器相互作用,該用戶端應用程式可用該符記交換一第二符記,該第二符記指定該資源伺服器、及與該資源伺服器有關之授與給該用戶端應用程式之權限範圍。授與給該用戶端應用程式之該權限範圍可隨著例如該使用者決定要提供給該用戶端應用程式的是什麼樣的取用權而變。舉例而言,一使用者可為一網路應用程式授與在該使用者之部落格上張貼內容的權限,但非用以修改該使用者之簡介資訊的權限。
為了讓該資源伺服器進行各種例如在該使用者之部落格上張貼一文章的動作,該資源伺服器可能必須與一或
多個串級式服務通訊。舉例來說,為了確保張貼於一使用者之部落格上的內容不違反該資源提供者的服務條款或其他內容限制,該資源提供者可將一驗證該用戶端應用程式所提供之該內容的內容驗證服務當作一串級式服務使用,例如,該內容驗證服務可試圖確保該內容沒有因為該資源伺服器認為內容不當而違反任何著作權或限制。另一例示性串級式服務可用於以一特定格式呈現該內容,例如該使用者之簡介中指定者。
為了確保串級式服務僅提供有該等進行其一或多項任務所需的權限,該資源伺服器不為該串級式服務提供該由該用戶端應用程式所提供的符記。該資源伺服器反而可將其符記提供給該授權伺服器,對取用該串級式服務提出一請求。該授權伺服器可為該資源伺服器提供一特定於該串級式服務的符記,而且該符記所具有的權限與提供給該資源伺服器之符記所指定的權限有一不同範圍。舉例而言,一內容呈現服務可能不需要一包括有得以在一使用者之部落格上張貼之權限的符記,並且可能只需要得以從該使用者之簡介讀取該部落格之格式的權限,便得以適當地呈現該資源伺服器要張貼的內容。
待由一符記在任何與該資源伺服器相關之服務彼此間所授權的權限是在一可供該授權伺服器取用之用戶端應用程式拓樸結構中指定。該授權伺服器可使用該拓樸結構決定經發出以請求服務之符記所授權的是那些權限。下文提供的是一授權伺服器、用戶端、及資源提供者相互作用以選
擇性委派資源取用權之方式有關的進一步細節。
現請參照圖式,圖1係一用於選擇性委派資源取用權之例示性運算裝置100的方塊圖。運算裝置100舉例而言,可以是一伺服器電腦、一個人電腦、一行動運算裝置、或任何其他適用於處理資料之電子裝置。在圖1的實施例中,運算裝置100包括有硬體處理器110及機器可讀儲存媒體120。
硬體處理器110可以是一或多個中央處理單元(CPU)、半導體為基之微處理器、及/或其他適用於取回並執行儲存於機器可讀儲存媒體120中之指令的硬體裝置。硬體處理器110可擷取、解碼、及執行諸如130至138之指令以控制該處理器選擇性委派資源取用權。舉一替代例或除了取回並執行指令以外,硬體處理器110可包括有一或多個電子電路,該一或多個電子電路包括有用於進行一或多個指令之功能的電子組件。
一諸如120之機器可讀儲存媒體可以是任何電子、磁性、光學、或其他含有或儲存可執行指令之實體儲存裝置。因此,機器可讀儲存媒體120舉例而言,可以是隨機存取記憶體(RAM)、一電氣可抹除可規劃唯讀記憶體(EEPROM)、一儲存裝置、一光碟、及類似者。在一些實作態樣中,儲存媒體120可以是非暫時性儲存媒體,其中「非暫時性」一詞未含括暫時性傳播信號。如下文詳細說明,機器可讀儲存媒體120可編碼有一系列用於選擇性委派資源取用權之可執行指令:130至138。
如圖1所示,運算裝置100執行指令從一用戶端應
用程式140接收一用戶端請求142以取用一第一資源伺服器150(130)。用戶端請求142包括有一取用符記,該取用符記指定用戶端應用程式140作為該對象,例如該意欲收件者。在一些實作態樣中,該取用符記可能在先前便已由運算裝置100提供給該用戶端應用程式140。舉例來說,該取用符記可能已經由一授權程序提供給用戶端應用程式140,在該授權程序中,一使用者授權用戶端應用程式140代表該使用者取用一受保護資源。該取用符記在一些實作態樣中,單獨未授與取用資源的權限,例如必須用其交換用戶端應用程式140以取用一特定受保護資源。
運算裝置100執行用以回應於接收用戶端請求142識別一第一組權限用於藉由用戶端應用程式140取用第一資源伺服器150(132)的指令。該第一組權限可藉由用戶端應用程式140之一拓樸結構來指定。該拓樸結構舉例而言,可指定:第一資源伺服器150及該第一組用於藉由用戶端應用程式140取用第一資源伺服器150的權限;以及一具有一第二組權限用於藉由第一資源伺服器150取用該第二資源伺服器的第二資源伺服器。
舉例來說,用戶端應用程式140可以是在一使用者之行動裝置上運行之一新聞摘要應用程式,而第一資源伺服器150可以是由該使用者所管理之一部落格的主機。在這項實例中,該新聞摘要應用程式之拓樸結構指定該部落格主機、及代表該使用者授與給該新聞摘要應用程式之一第一組權限。舉例而言,例如在該使用者與該新聞摘要應
用程式裡出現之一新聞文章相互作用時,該使用者先前便可能已授權該新聞摘要應用程式張貼新聞報導到使用者之部落格。在這項實例中,該新聞摘要應用程式之拓樸結構亦指定一串級式服務,例如一用於格式化一張貼至該使用者之部落格之新聞文章的呈現服務,還指定一組供該部落格主機與該串級式服務相互作用的權限。一呈現服務可具有用以取用該使用者之簡介資訊的權限,例如該使用者的部落格配置,用來進行該呈現服務,但可能不具有用以張貼任何東西到該使用者之部落格的權限。該呈現服務若可由第三方來管理(該部落格主機之控制外),限制授與給串級式服務的權限可防止未經授權及/或非意欲取用該使用者之受保護資源。
在一些實作態樣中,運算裝置100可從用戶端應用程式140接收該拓樸結構。舉例而言,用戶端應用程式140之一開發人員以串級式或按另一種方式,可基於從第一資源伺服器150及其相關資源伺服器與服務取得之資料來產生一拓樸結構。
在一些實作態樣中,運算裝置100可使用接收自用戶端應用程式140及/或第一資源伺服器150之子拓樸結構,產生用戶端應用程式140之拓樸結構。舉例而言,用戶端應用程式140的開發人員不需要知道該第一資源伺服器之拓樸結構,包括有所有相關資源伺服器及權限,用戶端應用程式140的開發人員便可提供一子拓樸結構,該子拓樸結構指定用戶端應用程式140與第一資源伺服器150相關資
源之直接相互作用相關的權限,該第一資源伺服器在這項實例中就只是第一資源伺服器150。第一資源伺服器150可提供一子拓樸結構,該子拓樸結構指定第一資源伺服器150(在一些實作態樣中還有任何串級式資源伺服器)與第一資源伺服器150相關服務之直接相互作用相關的權限。運算裝置100使用用戶端應用程式140及第一資源伺服器150所提供的該等子拓樸結構,可產生整體拓樸結構,該整體拓樸結構指定用戶端應用程式140、第一資源伺服器150、與第一資源伺服器150相關之資源伺服器及服務間相互作用的權限。
運算裝置100執行用以為用戶端應用程式140提供一第一取用符記144(134)的指令。第一取用符記144指定該第一組權限、及作為一對象之資源伺服器150。舉例來說,如該例示性拓樸結構所指定,該新聞摘要應用程式可提供有一指定該部落格主機作為該對象的取用符記、及該第一組權限中對張貼到該使用者之部落格的權限。
在圖1所繪示的例示性環境中,用戶端應用程式140係繪示為使用第一取用符記144與第一資源伺服器150進行通訊。該等通訊舉例而言,可包括有一包括有下列項目之通訊:該新聞摘要應用程式之新聞文章或該文章之一連結、在該使用者之部落格上張貼該新聞文章之一請求、及指示該新聞摘要應用程式已獲得授權張貼到該使用者之部落格的符記。
運算裝置100執行用以從第一資源伺服器150接收
一第一資源請求152以取用第二資源伺服器(136)的指令。舉例而言,一接收到指示該新聞摘要應用程式具有一新聞文章及在該使用者之部落格上張貼該新聞文章之授權的第一取用符記144及資料,該部落格主機便可能必須與一呈現服務通訊以按照一種符合該部落格主機之設計標準及/或該使用者之部落格配置的方式來格式化該新聞文章。第一取用符記144不指定該第二資源伺服器(例如該呈現服務)作為一對象,並且可能不包括有必要權限,例如使用者之部落格配置的取用權;因此,在這項實例中,第一資源伺服器150發送該適當符記之第一資源請求152以與該第二資源伺服器通訊並且利用該第二資源伺服器。
運算裝置100執行用以回應於接收第一資源請求152為第一資源伺服器150提供一第二取用符記154(138)的指令。第二取用符記154指定該第二組權限、及作為一第二對象之該第二資源伺服器。正如第一取用符記144,可基於該用戶端應用程式拓樸結構向第一資源伺服器150提供第二取用符記154。使用以上提供的實例,第二取用符記154可指定該呈現服務作為該對象,而且該等權限可包括有該使用者之部落格配置的取用權。
如上述,可改變任何給定符記所提供的權限。資源伺服器以串級式或按另一種方式,可具有如一給定之用戶端應用程式之拓樸結構中所指定之權限的任何組合。儘管參照圖1所述的實例包括有單一資源伺服器及單一串級式服務,一拓樸結構中仍可包括有許多其他資源伺服器,其包括
有串級式服務。另外,資源伺服器彼此間的通訊可能有各種組態,包括有串級式或按另一種方式之組態,例如,串級式伺服器亦可使用串級式服務,而且服務彼此間的權限可屬於單向,其中由一第一服務授與給一第二服務的權限有別於由該第二服務授與給該第一服務的權限。
各用戶端應用程式可與多種拓樸結構相關,例如一種用於該用戶端應用程式可代表一使用者取用之各不同受保護資源的拓樸結構。舉例而言,該新聞摘要應用程式可授權取用該使用者在一第二部落格主機上之第二部落格、授權讓使用者之電子郵件連絡人得以發送一新聞文章至該等使用者之連絡人中之一者、及/或授權讓該使用者之廣告內容簡介得以基於該使用者感興趣的文章將受關注主題加入該使用者之簡介。另外,各資源伺服器以串級式或按另一種方式,可屬於多種拓樸結構。舉例而言,第三方呈現服務可由多個資源伺服器來使用,並且屬於與相同用戶端應用程式相關的多種拓樸結構。舉另一例而言,經授權得以取用一資源伺服器之各用戶端應用程式可具有一用於與該資源伺服器相互作用之拓樸結構,而且該拓樸結構可有別於用於相同資源伺服器之其他用戶端應用程式的拓樸結構。
圖2A係一用於提供資源選擇性取用權的例示性資料流程200,而圖2B係一用於提供資源選擇性取用權的例示性拓樸結構。資料流程200繪示一可由一運算裝置來實施的授權伺服器230,例如以上對照圖1所述之運算裝置100。使用者裝置210、用戶端應用程式220、第一資源伺服器240、
及第二資源伺服器250可由任何適用於處理資料的運算裝置來實施,例如一個人電腦、行動電腦、或伺服器電腦。舉例而言,使用者裝置210可以是一使用者的個人電腦,用戶端應用程式220可以是一實施於一網路伺服器、授權伺服器230、第一資源伺服器240上的網路應用程式,而且第二資源伺服器250可在一或多個伺服器裝置、虛擬機器、及類似者上實施。
例示性資料流程200繪示一可例如使用例示性拓樸結構280在所繪示裝置彼此間出現的例示性資訊交換。一般而言,並且如上述,拓樸結構280可由用戶端應用程式220之開發人員單獨、或結合管理第一資源伺服器240之實體來產生。舉例而言,在一些實作態樣中,該用戶端拓樸結構可基於從一管理第一資源伺服器240之實體接收到的權限資料來產生,其中該權限資料對於與該第一資源伺服器相關之各該資源伺服器,例如第二250、第三260、及第四270資源伺服器,指定該等其他資源伺服器中之至少一者,並且對於各該其他資源伺服器,指定授與給該其他資源伺服器之權限。該拓樸結構大致可由授權伺服器230取用,該授權伺服器可使用該拓樸結構分發符記以取用受保護資源。
在例示性資料流程200中,使用者裝置210之一使用者可能希望對該使用者之例如與第一資源伺服器240相關的受保護資源授與取用權給一用戶端應用程式220。舉例來說,第一資源伺服器240可提供使用者裝置210之使用者訂閱之一數位照相術管理服務。該使用者之照片,例如受保護資
源,可由第一資源伺服器240搭配其他資源伺服器來管理,例如提供儲存、使用者簡介管理、及列印服務。照片的取用權可例如藉由一使用者名稱及密碼來保護。用戶端應用程式220以舉例方式可以是在一網路伺服器上運行之一影像加標網路應用程式,可為使用者裝置210提供重新導向資料212,該重新導向資料將使用者裝置210之一網路瀏覽器重新導向至授權伺服器230。
使用者裝置210發送一使用者請求214至授權伺服器230,請求給予用戶端應用程式220取用由第一資源伺服器240所管理之使用者之影像的取用權。在上述實例中,授權伺服器230可要求該使用者藉由提供一使用者名稱與密碼進行認證,並且一旦認證完成,便為使用者裝置210提供一取用碼216。使用者裝置210向用戶端應用程式220提供取用碼216,該用戶端應用程式在對於取用符記218的交換過程中,向該認證伺服器提供取用碼216,並且在一些實作態樣中,還提供用戶端認證憑證。取用符記218是由授權伺服器230提供,用來容許該用戶端應用程式取用第一資源伺服器240相關資源。在一些實作態樣中,取用符記218本身不對任何個別資源或資源伺服器授與取用權。
用戶端應用程式220為授權伺服器230提供取用符記218及一取用第一資源伺服器240之請求。授權伺服器230一接收該請求及取用符記218,便可在用戶端應用程式拓樸結構280中識別一第一符記222,該第一符記係經界定用於取用第一資源伺服器240。在例示性拓樸結構280中,第一符記
222是由字串「TID_01:{P3,P4}」來表示。此例示性字串指示該拓樸結構為「TID」,該對象為「01」,其指示第一資源伺服器240、一組兩個權限P3及P4。一符記可能呈現的方式可能改變,而且符記大致指定該符記之該對象、指示可在該對象取用的是什麼之權限,並且在一些實作態樣中,還指定該符記所屬的拓樸結構。使用該影像加標應用程式實例,提供給該影像加標應用程式之第一符記222可指定可以是第一資源伺服器240之對象,而該組權限可指定該影像加標應用程式可取用一般的影像及影像屬性。
用戶端應用程式220提供該第一符記給第一資源伺服器240,對於一特定資源提出一請求,例如該影像加標應用程式正設法加標之一影像。在例示性資料流程200中,第一資源伺服器240仰仗第二資源伺服器250幫助滿足該資源請求。舉例而言,為了加標一影像,一影像加標應用程式可能需要一實際影像檔案的取用權,及/或可能需要在一儲存裝置上儲存一影像檔案的權限,該儲存裝置是藉由第二資源伺服器250來管理。
為了以該經請求資源的該適當權限與第二資源伺服器250通訊,該第一資源伺服器在對於第二符記224的交換過程中,提供第一符記222給授權伺服器230。如例示性拓樸結構280中所示,第二符記224是藉由字串「TID_02:{p5}」來表示,指示第一資源伺服器240獲得授權以權限p5取用「TID」的「02」。在該影像加標實例中,該權限舉例而言,可以是用以取回並儲存影像的第一權限。
在例示性資料流程200中,一經接收一例如由於第二符記224而獲得授權之經授權請求,第二資源伺服器250便向第一資源伺服器240提供代表該經請求資源的資料226,該第一資源伺服器接著可向用戶端應用程式220提供資料226。在該影像加標應用程式實例中,資料226可以是一待由該用戶端應用程式分析並加標的影像檔案,或可以是第二資源伺服器250所儲存之一影像檔案已變更的確認。
圖2B中所繪示的例示性拓樸結構280亦指示一用於把對一第三資源伺服器260之取用權授與給用戶端應用程式220的第三符記232、一用於把對第三資源伺服器260之取用權授與給第一資源伺服器240的第四符記234、及一用於把對第四資源伺服器270之取用權授與給第一資源240的第五符記236。拓樸結構280亦使用箭頭指示符記提供取用權的該(等)方向。若有任何取用權是逆向授與,則由一個資源伺服器授與給另一資源伺服器的取用權可能與逆向授與的取用權不相同。舉例而言,第一資源伺服器240可利用權限P2取用該第三資源伺服器,但該拓樸結構中不存在用於把對該第一資源伺服器之取用權提供給第三資源伺服器260的符記。許多其他拓樸結構變例可用於選擇性地提供對各種有關且串級式資源伺服器的取用權。
圖3係一用於提供資源選擇性取用權之例示方法300的流程圖。方法300可藉由一運算裝置來進行,例如圖1中所述之一運算裝置。其他運算裝置亦可用於執行方法300,例如一用於實施一資源伺服器之運算裝置。方法300可
用諸如儲存媒體120等機器可讀儲存媒體上所儲存可執行指令之形式、及/或電子電路系統之形式來實施。
對於使用者資料、及一指定一第一對象與一第一組權限之第一符記的一用戶端請求係接收自一用戶端裝置(302)。舉例而言,該用戶端裝置舉例而言,可以是一實施一用戶端應用程式的裝置,一使用者已委派取用權給該用戶端應用程式,例如對使用者之由一第一伺服器所管理之受保護資源的取用權。該第一符記及用戶端請求可由一第一伺服器來接收,該第一伺服器管理該使用者之受保護資源。
一授權伺服器係提供有一符記請求,該符記請求包括有i)該第一符記、及ii)一用以取用一資源伺服器之請求(304)。舉例而言,管理該使用者之受保護資源的該第一伺服器可能需要對一串級式資源伺服器的取用權,例如一已獲得該第一伺服器委派一些功能的資源伺服器。為了取用該串級式資源伺服器,該第一伺服器把該第一符記交換成一提供對該串級式資源伺服器之取用權的符記。
一資源伺服器符記係接收自從該授權伺服器,該資源伺服器符記指定一第二對象及一第二組權限,該第二對象為該資源伺服器(306)。舉例來說,該資源伺服器符記可指定作為該對象的該串級式資源伺服器、及一組用以取用該串級式資源並滿足該用戶端對使用者資料之請求的權限。在一些實作態樣中,該組由該資源伺服器符記所指定的權限有別於該第一組由該第一符記所指定的權限。舉例而言,該串級式資源伺服器可能需要與該第一伺服器所需要之權限不同
的權限以進行其服務。
該資源伺服器係提供有i)對於該使用者資料之一資源請求、及ii)該資源伺服器符記(308)。舉例而言,對於該使用者資料之該資源請求可類似於該用戶端對於使用者資料之請求,該接收自該授權伺服器之資源伺服器符記指定該請求伺服器,例如第一伺服器,具有用以請求該使用者資料之權限,並且指定該資源伺服器符記之該意欲對象係該資源伺服器。
該使用者資料係接收自資源伺服器(310)。舉例而言,該資源伺服器使用該資源伺服器符記及該資源請求,能夠為該第一伺服器提供該經請求之使用者資料。
向用戶端裝置(312)提供該使用者資料。舉例而言,一經接收該經請求之資料,該第一伺服器便可向該用戶端裝置提供該資料,該用戶端請求係源出該用戶端裝置。
前述揭露說明一些用於提供資源選擇性取用權之例示性實作態樣。如以上的詳細說明,實例提供一種用於使用用戶端應用程式與資源伺服器拓樸結構以各種權限選擇性提供對各種資源伺服器之存取權的機制、及一能夠提供資源選擇性取用權之系統的潛在應用。
100‧‧‧運算裝置
110‧‧‧硬體處理器
120‧‧‧機器可讀儲存媒體
130~138‧‧‧指令
142‧‧‧用戶端請求
144‧‧‧第一取用符記
152‧‧‧第一資源請求
154‧‧‧第二取用符記
Claims (15)
- 一種非暫時性機器可讀儲存媒體,該非暫時性機器可讀儲存媒體編碼有可由一運算裝置之一硬體處理器執行用於提供資源之選擇性取用權之指令,該機器可讀儲存媒體包含有令該硬體處理器執行以下步驟之指令:從一授權伺服器接收用於取用與一第一資源伺服器相關聯之資源的一取用符記;為該授權伺服器提供該取用符記及取用該第一資源伺服器之一請求;從該授權伺服器接收一第一符記,該第一符記指定用於取用該第一資源伺服器之一第一組權限及作為一第一對象之該第一資源伺服器,該第一組權限係藉由一用戶端拓樸結構來指定,該用戶端拓樸結構指定:該第一資源伺服器;用於取用該第一資源伺服器之該第一組權限;一第二資源伺服器;以及用於藉由該第一資源伺服器取用該第二資源伺服器之一第二組權限;以及為該第一資源伺服器提供對於一資源之一資源請求,該資源請求包括有該第一符記。
- 如請求項1之儲存媒體,其中該取用符記未授與權限。
- 如請求項1之儲存媒體,其中該等指令進一步令該硬體處理器執行以下步驟: 為該授權伺服器提供該用戶端拓樸結構。
- 如請求項1之儲存媒體,其中:該資源請求對於該用戶端拓樸結構所指定之該第二資源伺服器所儲存之特定使用者資料指定一請求;以及該第二組權限包括有與該第一組權限中所包括之該等權限不同的至少一個權限。
- 如請求項4之儲存媒體,其中:該第二組權限是由該用戶端拓樸結構指定用於取用該第二資源伺服器的唯一之一組權限;以及該用戶端拓樸結構進一步指定第一資源作為與該第二組權限相關聯的唯一資源。
- 如請求項4之儲存媒體,其中該等指令進一步令該硬體處理器執行以下步驟:從第一資源接收該特定使用者資料。
- 如請求項1之儲存媒體,其中該等指令進一步令該硬體處理器執行以下步驟:基於從管理該第一資源伺服器之一實體接收到的權限資料產生該用戶端拓樸結構,該權限資料對於與該第一資源伺服器相關聯之多個資源伺服器中的各者指定該等多個資源伺服器中之至少一個其他資源伺服器,並且對於該至少一個其他資源伺服器中的各者指定授與給該其他資源伺服器之權限。
- 一種用於提供資源之選擇性取用權之運算裝置,該運算 裝置包含有:一硬體處理器;以及一儲存有指令之資料儲存裝置,該等指令在由該硬體處理器執行時,令該硬體處理器執行以下步驟:從一用戶端應用程式接收對取用一第一資源伺服器之一用戶端請求,該用戶端請求包括有一用戶端取用符記,該用戶端取用符記指定該用戶端應用程式作為一用戶端對象;回應於接收該用戶端請求,識別用於藉由該用戶端應用程式取用該第一資源伺服器之一第一組權限,該第一組權限係針對該用戶端應用程式藉由一用戶端拓樸結構指定,該用戶端拓樸結構指定:該第一資源伺服器;用於藉由該用戶端應用程式取用該第一資源伺服器之該第一組權限;一第二資源伺服器;以及用於藉由該第一資源伺服器取用該第二資源伺服器之一第二組權限;為該用戶端應用程式提供一第一取用符記,該第一取用符記指定該第一組權限,及作為一第一對象之該第一資源伺服器;從該第一資源伺服器接收用以取用該第二資源伺服器之一第一資源請求,該第一資源請求包括有該第一取用符記;以及 回應於接收該第一資源請求,為該第一資源伺服器提供一第二取用符記,該第二取用符記指定該第二組權限及作為一第二對象之該第二資源伺服器。
- 如請求項8之運算裝置,其中該等指令進一步令該硬體處理器執行以下步驟:從該用戶端應用程式接收該用戶端拓樸結構。
- 如請求項8之運算裝置,其中該等指令進一步令該硬體處理器執行以下步驟:從該用戶端應用程式接收一用戶端子拓樸結構,該用戶端子拓樸結構指定:該第一資源伺服器;以及該第一組權限;從該第一資源伺服器接收一第一資源子拓樸結構,該第一資源子拓樸結構指定:該第二資源伺服器;以及該第二組權限;以及使用該用戶端子拓樸結構及該第一資源子拓樸結構產生該用戶端拓樸結構。
- 如請求項8之運算裝置,其中該第二組權限包括有至少一個與該第一組權限中所包括之權限不同的權限。
- 一種藉由一硬體處理器實施用於提供資源之選擇性取用權之方法,該方法包含有:從一用戶端裝置接收:i)對於使用者資料之一用戶端請求、及ii)指定一第一對象及一第一組權限之一第一 符記;為一授權伺服器提供一符記請求,該符記請求包括有:i)該第一符記、及ii)欲取用一資源伺服器之一請求;從該授權伺服器接收一資源伺服器符記,該資源伺服器符記指定一第二對象及一第二組權限,該第二對象為該資源伺服器;為該資源伺服器提供:i)對於該使用者資料之一資源請求、及ii)該資源伺服器符記;從該資源伺服器接收該使用者資料;以及向該用戶端裝置提供該使用者資料。
- 如請求項12之方法,其中該第二組權限包括有至少一個與該第一組權限所指定之權限不同的權限。
- 如請求項12之方法,其更包含有:為該授權伺服器提供一資源子拓樸結構,該資源子拓樸結構針對多個資源伺服器中之各者,指定至少一組用於取用該資源伺服器之權限,以及其中該第一組權限係藉由該資源子拓樸結構來指定。
- 如請求項12之方法,其更包含有:向與該用戶端裝置相關聯之一用戶端提供一資源子拓樸結構,該資源子拓樸結構針對多個資源伺服器中之各者,指定至少一組用於取用該資源伺服器之權限,以及其中該第一組權限係藉由該資源子拓樸結構來指定。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2015/024760 WO2016164000A1 (en) | 2015-04-07 | 2015-04-07 | Providing selective access to resources |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201636840A TW201636840A (zh) | 2016-10-16 |
| TWI603267B true TWI603267B (zh) | 2017-10-21 |
Family
ID=57072025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105101514A TWI603267B (zh) | 2015-04-07 | 2016-01-19 | 資源選擇性取用權提供技術 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11038894B2 (zh) |
| EP (1) | EP3231133B1 (zh) |
| CN (1) | CN107211007B (zh) |
| TW (1) | TWI603267B (zh) |
| WO (1) | WO2016164000A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9531719B1 (en) * | 2014-04-29 | 2016-12-27 | Amazon Technologies, Inc. | Permissions for hybrid distributed network resources |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US10542044B2 (en) * | 2016-04-29 | 2020-01-21 | Attivo Networks Inc. | Authentication incident detection and management |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US10462124B2 (en) | 2016-12-30 | 2019-10-29 | Google Llc | Authenticated session management across multiple electronic devices using a virtual session manager |
| US10541992B2 (en) * | 2016-12-30 | 2020-01-21 | Google Llc | Two-token based authenticated session management |
| JP2020530922A (ja) | 2017-08-08 | 2020-10-29 | センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. | エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| EP3641259A1 (de) * | 2018-10-15 | 2020-04-22 | Siemens Aktiengesellschaft | Vorrichtung und verfahren zur prüfung von eigenschaften von ressourcen |
| US11057382B2 (en) * | 2018-10-25 | 2021-07-06 | Mastercard International Incorporated | Computing devices and methods for propagating updates to user profile data |
| CN113132355A (zh) * | 2018-10-29 | 2021-07-16 | 华为技术有限公司 | 服务授权方法及通信装置 |
| US11057778B2 (en) | 2019-02-28 | 2021-07-06 | Ebay Inc. | Complex composite tokens |
| US11356458B2 (en) | 2019-03-15 | 2022-06-07 | Mastercard International Incorporated | Systems, methods, and computer program products for dual layer federated identity based access control |
| US10762200B1 (en) | 2019-05-20 | 2020-09-01 | Sentinel Labs Israel Ltd. | Systems and methods for executable code detection, automatic feature extraction and position independent code detection |
| US11750598B2 (en) | 2019-07-19 | 2023-09-05 | Ebay Inc. | Multi-legged network attribution using tracking tokens and attribution stack |
| CN110944035A (zh) * | 2019-10-22 | 2020-03-31 | 珠海格力电器股份有限公司 | 一种物联网设备控制方法、系统以及可读介质 |
| US11381571B2 (en) * | 2020-01-27 | 2022-07-05 | Microsoft Technology Licensing, Llc | Authentication framework for resource access across organizations |
| US11552943B2 (en) * | 2020-11-13 | 2023-01-10 | Cyberark Software Ltd. | Native remote access to target resources using secretless connections |
| US20220179411A1 (en) * | 2020-12-09 | 2022-06-09 | International Business Machines Corporation | Edge computing autonomous vehicle infrastructure |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1999060458A2 (en) * | 1998-05-15 | 1999-11-25 | Deskgate Technologies, Inc. | Regulating access to digital content |
| WO2004054791A1 (en) * | 2002-12-13 | 2004-07-01 | Fabio Perini S.P.A. | Machine and method for producing helically wound tubes |
| CN1820249A (zh) * | 2003-07-17 | 2006-08-16 | 国际商业机器公司 | 分布式数据处理环境中的权限自动调整的方法和系统 |
| TW200710673A (en) * | 2005-06-30 | 2007-03-16 | Ibm | Method, system and computer program for controlling access to resources in web applications |
| US7346930B1 (en) * | 2002-10-31 | 2008-03-18 | Sprint Communications Company L.P. | Security framework bridge |
| TW201008177A (en) * | 2008-07-31 | 2010-02-16 | Hewlett Packard Development Co | Selectively re-mapping a network topology |
| US20120198512A1 (en) * | 2011-01-28 | 2012-08-02 | F5 Networks, Inc. | System and method for combining an access control system with a traffic management system |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE515901C2 (sv) * | 1995-12-28 | 2001-10-22 | Dynarc Ab | Resursadministrering, plan och arrangemang |
| US6092196A (en) * | 1997-11-25 | 2000-07-18 | Nortel Networks Limited | HTTP distributed remote user authentication system |
| US6799177B1 (en) * | 1999-05-05 | 2004-09-28 | Verizon Corporate Services Group Inc. | Systems and methods for securing extranet transactions |
| US20020143960A1 (en) * | 2000-08-02 | 2002-10-03 | Erez Goren | Virtual network generation system and method |
| US7010600B1 (en) * | 2001-06-29 | 2006-03-07 | Cisco Technology, Inc. | Method and apparatus for managing network resources for externally authenticated users |
| US20040054791A1 (en) * | 2002-09-17 | 2004-03-18 | Krishnendu Chakraborty | System and method for enforcing user policies on a web server |
| US20050125677A1 (en) * | 2003-12-09 | 2005-06-09 | Michaelides Phyllis J. | Generic token-based authentication system |
| US7530068B2 (en) * | 2003-12-17 | 2009-05-05 | International Business Machines Corporation | Method of resource allocation using an access control mechanism |
| US8065716B2 (en) * | 2007-01-18 | 2011-11-22 | Intermec Ip Corp. | Method, system and article for dynamic authorization of access to licensed content |
| US9548859B2 (en) * | 2008-12-03 | 2017-01-17 | Google Technology Holdings LLC | Ticket-based implementation of content leasing |
| US20100242097A1 (en) * | 2009-03-20 | 2010-09-23 | Wavemarket, Inc. | System and method for managing application program access to a protected resource residing on a mobile device |
| US8527774B2 (en) * | 2009-05-28 | 2013-09-03 | Kaazing Corporation | System and methods for providing stateless security management for web applications using non-HTTP communications protocols |
| US9704165B2 (en) * | 2010-05-11 | 2017-07-11 | Oracle International Corporation | Systems and methods for determining value of social media pages |
| EP2643955B1 (en) * | 2010-11-24 | 2016-08-10 | Telefónica, S.A. | Methods for authorizing access to protected content |
| US8910295B2 (en) * | 2010-11-30 | 2014-12-09 | Comcast Cable Communications, Llc | Secure content access authorization |
| CN103460215B (zh) * | 2011-03-08 | 2016-10-26 | 电话有限公司 | 为服务应用提供授权访问以便使用最终用户的受保护资源的方法 |
| US8689298B2 (en) * | 2011-05-31 | 2014-04-01 | Red Hat, Inc. | Resource-centric authorization schemes |
| US9043886B2 (en) * | 2011-09-29 | 2015-05-26 | Oracle International Corporation | Relying party platform/framework for access management infrastructures |
| US9237145B2 (en) * | 2011-09-29 | 2016-01-12 | Oracle International Corporation | Single sign-on (SSO) for mobile applications |
| CN103067338B (zh) * | 2011-10-20 | 2017-04-19 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| KR102066125B1 (ko) * | 2011-11-29 | 2020-01-14 | 스포티파이 에이비 | 멀티 디바이스의 보안 애플리케이션 통합을 갖춘 컨텐츠 공급자 |
| CN103166783A (zh) | 2011-12-14 | 2013-06-19 | 华为技术有限公司 | 资源的控制方法及装置 |
| US8800009B1 (en) * | 2011-12-30 | 2014-08-05 | Google Inc. | Virtual machine service access |
| US9148429B2 (en) * | 2012-04-23 | 2015-09-29 | Google Inc. | Controlling access by web applications to resources on servers |
| JP6006533B2 (ja) * | 2012-05-25 | 2016-10-12 | キヤノン株式会社 | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 |
| US8782411B2 (en) * | 2012-07-25 | 2014-07-15 | Oracle International Corporation | System and method of extending oauth server(s) with third party authentication/authorization |
| US8769657B2 (en) * | 2012-08-10 | 2014-07-01 | Kaspersky Lab Zao | System and method for controlling user's access to protected resources using multi-level authentication |
| CN103067388A (zh) | 2012-12-28 | 2013-04-24 | 丁卓 | 云计算基础架构资源自动化方法及系统 |
| US8615794B1 (en) | 2013-01-09 | 2013-12-24 | Ping Identity Corporation | Methods and apparatus for increased security in issuing tokens |
| CN104022875B (zh) | 2013-03-01 | 2017-09-01 | 中兴通讯股份有限公司 | 一种双向授权系统、客户端及方法 |
| US20140282984A1 (en) * | 2013-03-14 | 2014-09-18 | Microsoft Corporation | Service relationship and communication management |
| JP6245949B2 (ja) * | 2013-11-11 | 2017-12-13 | キヤノン株式会社 | 認可サーバーシステム、その制御方法、およびそのプログラム。 |
| CN103716326B (zh) * | 2013-12-31 | 2017-02-01 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
| US9306939B2 (en) * | 2014-05-30 | 2016-04-05 | Oracle International Corporation | Authorization token cache system and method |
-
2015
- 2015-04-07 WO PCT/US2015/024760 patent/WO2016164000A1/en active Application Filing
- 2015-04-07 US US15/542,836 patent/US11038894B2/en active Active
- 2015-04-07 EP EP15888652.3A patent/EP3231133B1/en active Active
- 2015-04-07 CN CN201580073018.7A patent/CN107211007B/zh not_active Expired - Fee Related
-
2016
- 2016-01-19 TW TW105101514A patent/TWI603267B/zh active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1999060458A2 (en) * | 1998-05-15 | 1999-11-25 | Deskgate Technologies, Inc. | Regulating access to digital content |
| US7346930B1 (en) * | 2002-10-31 | 2008-03-18 | Sprint Communications Company L.P. | Security framework bridge |
| WO2004054791A1 (en) * | 2002-12-13 | 2004-07-01 | Fabio Perini S.P.A. | Machine and method for producing helically wound tubes |
| CN1820249A (zh) * | 2003-07-17 | 2006-08-16 | 国际商业机器公司 | 分布式数据处理环境中的权限自动调整的方法和系统 |
| TW200710673A (en) * | 2005-06-30 | 2007-03-16 | Ibm | Method, system and computer program for controlling access to resources in web applications |
| TW201008177A (en) * | 2008-07-31 | 2010-02-16 | Hewlett Packard Development Co | Selectively re-mapping a network topology |
| US20120198512A1 (en) * | 2011-01-28 | 2012-08-02 | F5 Networks, Inc. | System and method for combining an access control system with a traffic management system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107211007B (zh) | 2020-10-23 |
| EP3231133B1 (en) | 2020-05-27 |
| WO2016164000A1 (en) | 2016-10-13 |
| TW201636840A (zh) | 2016-10-16 |
| US20180020005A1 (en) | 2018-01-18 |
| CN107211007A (zh) | 2017-09-26 |
| US11038894B2 (en) | 2021-06-15 |
| EP3231133A4 (en) | 2018-07-11 |
| EP3231133A1 (en) | 2017-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI603267B (zh) | 資源選擇性取用權提供技術 | |
| US10263994B2 (en) | Authorized delegation of permissions | |
| US20200228574A1 (en) | Policy management for data migration | |
| US9288210B2 (en) | Revocable object access | |
| US10223524B1 (en) | Compromised authentication information clearing house | |
| US11645369B2 (en) | Blockchain digital rights management streaming library | |
| US9838384B1 (en) | Password-based fraud detection | |
| US10397213B2 (en) | Systems, methods, and software to provide access control in cloud computing environments | |
| US10176318B1 (en) | Authentication information update based on fraud detection | |
| US10291622B1 (en) | Quorum-based access management | |
| US10110587B2 (en) | Entity to authorize delegation of permissions | |
| US9225744B1 (en) | Constrained credentialed impersonation | |
| GB2540977A (en) | Expendable access control | |
| TW201729121A (zh) | 雲端服務伺服器及用來管理一雲端服務伺服器之方法 | |
| WO2009032511A2 (en) | Transferable restricted security tokens | |
| KR101401794B1 (ko) | 데이터 공유 제공 방법 및 장치 | |
| US11063922B2 (en) | Virtual content repository | |
| US11025634B2 (en) | Enhancement of privacy/security of images | |
| EP3513316B1 (en) | Personalized search environment | |
| Gao et al. | An OAuth2. 0-based unified authentication system for secure services in the smart campus environment | |
| KR102147431B1 (ko) | 블록체인 기반 개인정보 제공 방법 및 그 시스템 | |
| US11824856B1 (en) | Chaining of authorizations | |
| Lee et al. | Development of a User Management Module for Internet TV Systems | |
| Siriwardena et al. | User Managed Access (UMA) | |
| JP2008234510A (ja) | データ管理システム及び方法並びにプログラム |