【技术实现步骤摘要】
【国外来华专利技术】
本公开总体上涉及管理对安全元素的操作性能的系统和方法,并且特别是使用外部身份管理服务管理这种性能的系统。
技术介绍
1、在许多情况下,允许通过互联网对特定资源进行受管制的访问是有益的。这种系统通常验证请求访问这些资源的人的身份,并且基于所验证的身份和预定义但可配置的规则来管理该访问。这种系统的一个示例是用于对数据(诸如软件代码)进行签名的系统。
2、有时将数据提供给已分发给终端用户的设备(例如现场设备)。可能需要这些数据来将设备更新到较新的配置或执行附加功能、改善软件“漏洞”或其他问题,或者简单地替换已经保留在设备中的可能已被损坏的数据。这种数据可以包括软件指令(例如代码),通过远程地向现场设备提供数据(诸如软件代码)来更新这些设备。
3、将这种数据远程下载到现场设备的问题之一是数据可能来自未授权的源。向现场设备提供数据的实体可能冒充合法数据源,还提供被设计成损害设备的安全性或功能性的数据。例如,设备的用户可能被误导相信他们的设备需要软件更新才能正常工作,并且可被提供从其下载软件更新的虚假统一资源位置(url)。如果用户从虚假url下载并安装软件更新,则实际下载的代码可能包括对设备的操作产生负面影响的病毒或其他恶意软件,这可能会损害设备在受感染前存储的所有数据(包括用户的隐私信息)。
4、为防止上述问题,可使用代码签名技术对数据(诸如可执行文件和脚本)进行数字签名。这种签名确认数据作者的身份,并且保证数据自被签名以来未被更改或以其他方式损坏。大多数代码签名范例都提供数字签名机制来验证数据或构建
5、用于数据签名的系统在本领域中是已知的。这种系统提供了允许不同的组织或公司按照他们认为合适的方式构建他们的数据签名许可需求,或者安全地允许其他独立组织进行数据签名的框架。这种数据签名系统通常使用固定的实体层级结构来管理对数据的签名。例如,这种固定层级结构可以以递减的层级顺序包括平台实体、项目实体、模型实体和定义对数据本身的签名的配置。有三个具有严格许可结构的角色:(1)管理员,这些管理员可以做任何事情,(2)模型管理者,这些模型管理者可以管理从属于模型的配置的用户,以及(3)可以使用配置本身对数据进行签名的用户。美国专利公布us2017/0257380号中公开了使用这种层级结构的签名系统,该美国专利由此以引用方式并入本文。
6、在某些情况下,期望更灵活的配置和许可管理。例如,可能期望在实体的层级结构中定义不同或平行的实体,或者给这些实体分配更多或更少的角色。更改已知数据签名系统以允许这种配置可能是昂贵且耗时的,并且应用可能局限于个人客户端。需要一种系统和方法,这种系统和方法允许更灵活的分层实体和角色定义与现有的资源访问和控制管理系统一起使用,以允许诸如数据签名之类的动作。本文描述了这种系统和方法。
技术实现思路
1、为解决上述需求,本文献公开了一种对资源节点的分层组织的至少一个资源节点执行动作的系统和方法。在一个实施方案中,该方法包括:在安全服务器中接收登录请求;将该登录请求重定向到身份提供者,该身份提供者定义节点资源的分层组织,每个节点资源具有一个或多个范围和一个或多个属性,每个一个或多个范围与范围许可相关联,其中每个节点资源或者是用于维护该节点资源的该分层组织的管理节点资源,或者是用于执行该动作的配置节点资源;在该安全服务器中接收第二登录请求,该第二登录请求包括标识该第二登录请求的源的客户端授权凭证和描述对节点资源执行动作的许可的许可信息,该客户端授权凭证由该身份提供者响应于重定向的登录请求而提供;接收对该节点资源执行动作的请求;根据该客户端授权凭证的该许可信息来确定是否允许该动作;以及如果允许该动作,则对该节点资源执行该动作。
2、另一实施方案由一种装置证明,该装置具有处理器和通信耦合的存储器,该存储器存储用于执行前述操作的处理器指令。
3、已讨论的特征、功能和优点可在本专利技术的各种实施方案中独立实现,或者可在其他实施方案中组合实现,其进一步细节可参考以下描述和附图。
本文档来自技高网...【技术保护点】
1.一种对资源节点的分层组织的至少一个资源节点执行动作的方法,包括:
2.如权利要求1所述的方法,其中:
3.如权利要求2所述的方法,其中所述节点资源的所述一个或多个范围各自还包括:
4.如权利要求3所述的方法,还包括:
5.如权利要求3所述的方法,还包括:如果不允许所述动作,则
6.如权利要求5所述的方法,还包括:
7.如权利要求3所述的方法,还包括:
8.如权利要求7所述的方法,还包括:
9.如权利要求3所述的方法,其中:
10.如权利要求9所述的方法,其中空父属性指示层级最顶端的节点。
11.如权利要求1所述的方法,其中:
12.如权利要求1所述的方法,其中所述安全服务器是数据签名服务器,并且所述动作是对所述数据进行签名。
13.一种用于对资源节点的分层组织的至少一个资源节点执行动作的系统,包括:
14.如权利要求13所述的系统,其中:
15.如权利要求14所述的系统,其中所述节点资源的所述一个或多个范围各自
16.如权利要求15所述的系统,其中所述处理器指令还包括用于进行以下操作的处理器指令:
17.如权利要求15所述的系统,其中所述处理器指令还包括用于进行以下操作的处理器指令:
18.如权利要求17所述的系统,其中所述处理器指令还包括:
19.如权利要求15所述的系统,其中:
20.一种用于对资源节点的分层组织的至少一个资源节点执行动作的系统,包括:
...【技术特征摘要】
【国外来华专利技术】
1.一种对资源节点的分层组织的至少一个资源节点执行动作的方法,包括:
2.如权利要求1所述的方法,其中:
3.如权利要求2所述的方法,其中所述节点资源的所述一个或多个范围各自还包括:
4.如权利要求3所述的方法,还包括:
5.如权利要求3所述的方法,还包括:如果不允许所述动作,则
6.如权利要求5所述的方法,还包括:
7.如权利要求3所述的方法,还包括:
8.如权利要求7所述的方法,还包括:
9.如权利要求3所述的方法,其中:
10.如权利要求9所述的方法,其中空父属性指示层级最顶端的节点。
11.如权利要求1所述的方法,其中:
12.如权利要求1所述的方法,其中所述安...
【专利技术属性】
技术研发人员:T·K·陈,A·梅德温斯基,
申请(专利权)人:艾锐势企业有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。