【技术实现步骤摘要】
装置访问撤销相关申请的交叉引用本申请要求于2016年1月29日提交的、标题为“DEVICEACCESSREVOCATION”的美国临时专利申请No.62/288,931的优先权,将其全文通过引用并入于此。
本说明书总的来说描述与装置访问控制系统有关的技术。
技术介绍
访问控制指的是可用于调节可以观看或者使用装置的用户的安全技术。例如,访问控制系统可以限制对属性、装置、计算机网络、系统文件和数据的访问。
技术实现思路
装置访问撤销协议可用于防止重放攻击,其中恶意地使用或者欺骗性地重复有效数据传输。某些装置访问撤销协议要求具有一致的网络连接性和高存储器和存储装置要求的复杂的客户端-服务器架构以保护用户免受安全破坏。由于对应可用的计算或者存储资源的限制,这种装置访问撤销协议通常对于资源约束的计算环境是不适当的。类似地,某些系统可以需要当存在有限的或者不可靠的网络连接性时操作。在某些实现中,访问控制系统包括在装置存储的访问控制黑名单。在已经给出对访问装置的授权之后,可以通过添加条目到黑名单来撤消访问。作为示例,资源装置可以将访问控制责任的一部分委托给另一装置,比如分布允许对资源装置的访问的访问令牌的服务器系统。资源装置可以配置为当呈递有效的访问令牌时允许访问,而不存储或者检查授权的用户或装置的列表。但是,如果资源装置的拥有者决定撤消访问,则有效的访问令牌可能仍然存在且可用于获得访问。为了即使呈递有效的访问令牌也阻挡访问,条目可以被添加到在资源装置存储的黑名单。资源装置在确定是否提供访问时检查该黑名单。即使呈递有效的访问令牌,例如如果在黑名单中标识与访问令牌相关联的用户 ...
【技术保护点】
一种由包括数据处理设备的资源装置执行的方法,所述方法包括:在一个或多个用户每个已经被批准各自对资源装置的访问之后,由资源装置接收指示应该撤消先前批准的对资源装置的访问的撤销数据,其中,所述撤销数据指示对于其撤消访问的用户、角色或者许可级别;在接收撤销数据之后,由资源装置接收从允许对资源装置的访问的访问令牌得出的令牌数据;由资源装置确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权;和响应于确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权,由资源装置拒绝对资源装置的访问。
【技术特征摘要】
2016.01.29 US 62/288,9311.一种由包括数据处理设备的资源装置执行的方法,所述方法包括:在一个或多个用户每个已经被批准各自对资源装置的访问之后,由资源装置接收指示应该撤消先前批准的对资源装置的访问的撤销数据,其中,所述撤销数据指示对于其撤消访问的用户、角色或者许可级别;在接收撤销数据之后,由资源装置接收从允许对资源装置的访问的访问令牌得出的令牌数据;由资源装置确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权;和响应于确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权,由资源装置拒绝对资源装置的访问。2.如权利要求1所述的方法,包括:响应于接收撤销数据,在资源装置本地存储的访问控制黑名单中存储条目,所述条目指示由撤销数据指示的用户、角色或者许可级别;和比较在存储的黑名单中指示的一个或多个用户、角色或者许可级别与由从访问令牌得出的令牌数据指示的用户、角色或者许可级别;其中,至少部分地基于所述比较拒绝对资源装置的资源访问。3.如权利要求1或者2所述的方法,其中,所述撤销数据标识特定用户;其中,确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权包括确定从向特定用户发布的访问令牌得出令牌数据。4.如先前任一权利要求所述的方法,其中,所述令牌数据从向第一用户发布的访问令牌得出,所述第一用户的访问令牌基于不同于第一用户的第二用户的权限;其中,所述撤销数据标识第二用户;其中,确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权包括基于所接收的令牌数据,确定第一用户的访问令牌基于第二用户的权限;和其中,拒绝对资源装置的访问包括基于确定第一用户的访问令牌基于第二用户的权限,而拒绝第一用户对资源装置的访问。5.如权利要求1所述的方法,其中,所述资源装置基于在资源装置本地存储的数据来确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权,所述资源装置配置为使用本地存储的数据以独立于资源装置是否具有网络连接性而评估是否批准对资源装置的访问。6.如先前任一权利要求所述的方法,其中,接收撤销数据包括在一时间接收撤销数据,所述时间(i)在已经批准特定访问令牌之后,所述特定访问令牌具有期满时间,和(ii)在所述特定访问令牌的期满时间之前;其中,接收令牌数据包括接收从所述特定访问令牌得出的令牌数据;和其中,在第二时间执行确定和拒绝,所述第二时间(i)在已经批准特定访问令牌之后和(ii)在特定访问令牌的期满时间之前。7.如先前任一权利要求所述的方法,包括:在资源装置存储的访问黑名单中存储用户的黑名单条目;基于黑名单条目确定对用户批准的一个或多个访问令牌已经期满;和基于确定对用户批准的一个或多个访问令牌已经期满,删除用户的黑名单条目。8.如权利要求7所述的方法,包括由资源装置确定所接收的令牌数据对应于提供对资源的访问的有效和未期满的令牌;其中,拒绝对资源装置的访问包括基于确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权,在确定所接收的令牌数据对应于提供对资源的访问的有效和未期满的令牌之后拒绝对资源装置的访问。9.如权利要求1-8中的任意一个所述的方法,其中,通过在资源装置和用户装置之间建立的基于接近的连接从用户装置接收撤销数据。10.如权利要求1-8中的任意一个所述的方法,其中,通过在资源装置和服务器计算机之间建立的网络连接从服务器计算机接收撤销数据。11.一种编码有计算机程序指令的非瞬时计算机可读存储装置,所述计算机程序指令当由一个或多个计算机执行时使得一个或多个计算机执行包括以下的操作:在一个或多个用户每个已经被批准各自对资源装置的访问之后,由资源装置接收指示应该撤消先前批准的对资源装置的访问的撤销数据,其中,所述撤销数据指示对于其撤消访问的用户、角色或者许可级别;在接收撤销数据之后,由资源装置接收从允许对资源装置的访问的访问令牌得出的令牌数据;由资源装置确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权;和响应于确定访...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。