-
公开(公告)号:CN102509046B
公开(公告)日:2015-09-30
申请号:CN201110341191.4
申请日:2011-11-02
申请人: 微软技术许可有限责任公司
IPC分类号: G06F21/57
CPC分类号: G06F21/57 , G06F2221/2101 , H04L9/0897
摘要: 本发明涉及带有休眠支持的全局有效的测量的操作系统发动。事件日志不仅包括与自从计算设备的最近电源接通以来被实例化的组件相关联的项目,而且也包括在那个电源接通之前被实例化的组件的项目,诸如被实例化的、且代表在现在已经再继续的休眠之前的计算设备的状态的组件。在休眠后,可信平台模块(可信执行环境)的平台配置寄存器(PCR)的当前值,以及那些当前值的引述,和可信执行环境的单调计数器的当前值被记录。单调计数器在每次电源接通时被递增,以便跟踪计算设备的接连的代和提防插入的、没有被记录的代。对事件日志的随后分析参照日志中与那些代相关联的PCR值,来验证先前代的项目。
-
公开(公告)号:CN107077567A
公开(公告)日:2017-08-18
申请号:CN201580055693.7
申请日:2015-10-12
申请人: 微软技术许可有限责任公司
摘要: 在计算设备引导期间,生成多个安全边界。安全边界是指计算设备或计算设备的部分的操作方式,其中在一个安全边界中执行的程序被禁止访问另一个安全边界内的数据和程序。作为引导计算设备的部分,由计算设备的引导测量系统维持作为引导计算设备的部分而加载和执行的各种模块(例如,散列值或其他标识)的测量。附加地,作为引导计算设备的部分,生成或以其他方式获取安全边界之一的公共/私有密钥对。公共/私有密钥对的私有密钥被提供给所述一个安全边界,公共/私有密钥对的公共密钥被提供给引导测量系统。
-
公开(公告)号:CN107077567B
公开(公告)日:2020-03-06
申请号:CN201580055693.7
申请日:2015-10-12
申请人: 微软技术许可有限责任公司
摘要: 在计算设备引导期间,生成多个安全边界。安全边界是指计算设备或计算设备的部分的操作方式,其中在一个安全边界中执行的程序被禁止访问另一个安全边界内的数据和程序。作为引导计算设备的部分,由计算设备的引导测量系统维持作为引导计算设备的部分而加载和执行的各种模块(例如,散列值或其他标识)的测量。附加地,作为引导计算设备的部分,生成或以其他方式获取安全边界之一的公共/私有密钥对。公共/私有密钥对的私有密钥被提供给所述一个安全边界,公共/私有密钥对的公共密钥被提供给引导测量系统。
-
公开(公告)号:CN104094270B
公开(公告)日:2017-06-30
申请号:CN201380008804.X
申请日:2013-01-23
申请人: 微软技术许可有限责任公司
CPC分类号: H04L63/102 , H04L63/0815 , H04L63/083 , H04L63/0853 , H04L63/0884 , H04L2463/102
摘要: 针对计算设备保护用户证书包括在计算设备和标识提供方(例如,Web服务)之间建立安全会话。该安全会话的参数被传输至证书服务,其重新协商或恢复该安全会话以在证书服务和标识提供方之间建立新的安全会话。用户证书经由该新的安全会话从证书服务传递至标识提供方,但是该计算设备并没有新的安全会话的参数并且因此无权访问所传递的用户证书。该证书服务随后再次重新协商或恢复该安全会话以在证书服务和标识提供方之间建立附加安全会话。该附加安全会话的参数被传输至计算设备以允许该计算设备继续与标识提供方安全通信。
-
公开(公告)号:CN106464681A
公开(公告)日:2017-02-22
申请号:CN201580025880.0
申请日:2015-05-18
申请人: 微软技术许可有限责任公司
发明人: M.F.诺瓦克
摘要: 描述了分支验证令牌技术,其中登录凭证与用于资源的对应特权数据分离。在客户端验证期间,关于服务提供商是否配置为支持分支验证令牌技术而做出确定。如果支持技术,则向客户端发布轻量令牌并且将对应特权数据与令牌分离地存储在集中式验证数据库中。如果服务提供商不支持分支验证令牌技术,则向客户端发布包括特权数据的传统、组合验证令牌。轻量令牌包含身份信息以及对特权数据的引用,但是不包含实际特权数据。因此,轻量信息记录程序令牌单独地不足以获取向对应资源的访问。此外,与轻量令牌相关联的特权可以在不必改变轻量令牌本身或使其失效的情况下撤销或更改。
-
公开(公告)号:CN106464681B
公开(公告)日:2019-11-26
申请号:CN201580025880.0
申请日:2015-05-18
申请人: 微软技术许可有限责任公司
发明人: M.F.诺瓦克
摘要: 描述了分支验证令牌技术,其中登录凭证与用于资源的对应特权数据分离。在客户端验证期间,关于服务提供商是否配置为支持分支验证令牌技术而做出确定。如果支持技术,则向客户端发布轻量令牌并且将对应特权数据与令牌分离地存储在集中式验证数据库中。如果服务提供商不支持分支验证令牌技术,则向客户端发布包括特权数据的传统、组合验证令牌。轻量令牌包含身份信息以及对特权数据的引用,但是不包含实际特权数据。因此,轻量信息记录程序令牌单独地不足以获取向对应资源的访问。此外,与轻量令牌相关联的特权可以在不必改变轻量令牌本身或使其失效的情况下撤销或更改。
-
公开(公告)号:CN107016293A
公开(公告)日:2017-08-04
申请号:CN201710069626.1
申请日:2011-12-26
申请人: 微软技术许可有限责任公司
CPC分类号: G06F21/604 , G06Q10/06
摘要: 分别地定义资源授权策略和资源范围,从而使授权规则的集合与这些规则对其应用的资源的范围分离。在一个示例中,资源包括可以在计算环境中使用的任何事物(例如,文件、设备等)。范围描述了资源的集合(例如,文件夹X中的所有文件、标记有“Y”的所有文件等)。策略描述了可以对资源进行何种操作(例如,“只读”、“读取/写入”、“如果请求者是管理组的成员,则删除”等)。当已经定义了范围和策略时,可以对它们进行链接,从而表示策略应用于范围中的任何资源。当进行针对资源的请求时,对照与包含该资源的范围相关联的所有策略来评价请求。如果在策略中指定的条件适用,则可以准许请求。
-
公开(公告)号:CN103019868B
公开(公告)日:2016-08-03
申请号:CN201210449452.9
申请日:2012-11-12
申请人: 微软技术许可有限责任公司
IPC分类号: G06F11/00
摘要: 可以在将掌控对资源的访问的策略用于控制对资源的访问之前针对现实访问请求对所述策略进行测试。在一个例子中,通过被称为有效策略的策略掌控对资源的访问。在要对所述策略进行修改或替换时,所述修改或替换可以变成测试策略。在发出对访问资源的请求时,可以既根据有效策略又根据测试策略对所述请求进行评估。根据有效策略确定是否准许访问,但是要指明根据测试策略将做出的判断并且可以对其加以记录。如果确定测试策略在面对现实访问请求时表现令人满意,那么可以采用所述测试策略替代现有有效策略。
-
公开(公告)号:CN102438014B
公开(公告)日:2015-12-02
申请号:CN201110373318.0
申请日:2011-11-22
申请人: 微软技术许可有限责任公司
摘要: 本发明提供了一种用于委托的方法和系统。在可良好扩展的系统的背景下,客户端可以与中间层通信,中间层然后又可以与后端层通信,从而代表客户端访问信息和资源。每个单独的后端可以建立起限定哪个计算设备可以委托给该后端的策略。与该特定后端位于相同管理域内的域控制器可以执行所述策略。当中间层请求委托给后端时,该请求所指向的域控制器可以应用该策略,或者如果域控制器位于与目标后端不同的域中,则其可以将中间层指向不同域中的域控制器,并且可以签名与不同域控制器通信时中间层可以利用的相关信息。
-
-
-
-
-
-
-
-
搜索结果
9 条记录 (耗时 0.03 秒)
