公开(公告)号：US07913084B2

公开(公告)日：2011-03-22

申请号：US11441588

申请日：2006-05-26

申请人： Gennady Medvinsky ,  Cristian Ilac ,  Costin Hagiu ,  John E. Parsons ,  Mohamed Emad El Din Fathalla ,  Paul J. Leach ,  Tarek Bahaa El-Din Mahmoud Kamel

发明人： Gennady Medvinsky ,  Cristian Ilac ,  Costin Hagiu ,  John E. Parsons ,  Mohamed Emad El Din Fathalla ,  Paul J. Leach ,  Tarek Bahaa El-Din Mahmoud Kamel

IPC分类号： H04L9/32

CPC分类号： H04L63/0815 ,  H04L9/3273 ,  H04L63/20 ,  H04L2209/80

摘要： A credential security support provider (Cred SSP) is provided that enables any application to securely delegate a user's credentials from the client, via client side Security Support Provider (SSP) software, to a target server, via server side SSP software in a networked computing environment. The Cred SSP of the invention provides a secure solution that is based in part upon a set of policies, including a default policy that is secure against a broad range of attacks, which are used to control and restrict the delegation of user credentials from a client to a server. The policies can be for any type of user credentials and the different policies are designed to mitigate a broad range of attacks so that appropriate delegation can occur for given delegation circumstances, network conditions, trust levels, etc. Additionally, only a trusted subsystem, e.g., a trusted subsystem of the Local Security Authority (LSA), has access to the clear text credentials such that neither the calling application of the Cred SSP APIs on the server side nor the calling application of the Cred SSP APIs on the client side have access to clear text credentials.

摘要翻译： 提供了一种凭证安全支持提供者（Cred SSP），使任何应用程序能够通过客户端安全支持提供商（SSP）软件将客户端的凭据安全地委派给目标服务器，通过网络计算中的服务器端SSP软件 环境。 本发明的Cred SSP提供了一种安全解决方案，该解决方案部分地基于一组策略，包括针对广泛的攻击的安全性的默认策略，其用于控制​​和限制从客户机委派用户凭证 到服务器。 这些策略可以用于任何类型的用户凭证，并且不同的策略被设计为减轻广泛的攻击，从而可以针对给定的授权情况，网络条件，信任级别等进行适当的委托。此外，只有可信的子系统，例如 ，本地安全机构（LSA）的受信任的子系统可以访问明文凭据，使得服务器端的Cred SSP API的呼叫应用程序和客户端的Cred SSP API的呼叫应用都不具有访问权 清除文本凭据。

公开(公告)号：US07664724B2

公开(公告)日：2010-02-16

申请号：US11276655

申请日：2006-03-09

申请人： Mark H. Lucovsky ,  Shaun Douglas Pierce ,  Ramu Movva ,  Jagadeesh Kalki ,  David Benjamin Auerbach ,  Peter Sewall Ford ,  Yun-Qi Yuan ,  Yi-Wen Guu ,  Samuel John George ,  William Raymond Hoffman ,  Jay Christopher Jacobs ,  Paul Andrew Steckler ,  Walter C. Hsueh ,  Kendall D. Keil ,  Burra Gopal ,  Steven D. White ,  Paul J. Leach ,  Richard B. Ward ,  Philip Michael Smoot ,  Lijiang Fang ,  Michael B. Taylor ,  Suresh Kannan ,  Winnie C. Wu

发明人： Mark H. Lucovsky ,  Shaun Douglas Pierce ,  Ramu Movva ,  Jagadeesh Kalki ,  David Benjamin Auerbach ,  Peter Sewall Ford ,  Yun-Qi Yuan ,  Yi-Wen Guu ,  Samuel John George ,  William Raymond Hoffman ,  Jay Christopher Jacobs ,  Paul Andrew Steckler ,  Walter C. Hsueh ,  Kendall D. Keil ,  Burra Gopal ,  Steven D. White ,  Paul J. Leach ,  Richard B. Ward ,  Philip Michael Smoot ,  Lijiang Fang ,  Michael B. Taylor ,  Suresh Kannan ,  Winnie C. Wu

IPC分类号： G06F17/30

CPC分类号： G06Q10/109 ,  G06F21/335 ,  G06F21/6218 ,  G06F21/6227 ,  G06F21/6236 ,  G06F21/6245 ,  G06F21/6272 ,  G06F21/629 ,  G06F2221/2115 ,  G06F2221/2117 ,  G06F2221/2119 ,  G06F2221/2141 ,  G06F2221/2149 ,  H04L29/06 ,  H04L63/10 ,  H04L63/102 ,  H04L67/02 ,  H04L67/16 ,  H04L67/28 ,  H04L67/2819 ,  H04L67/303 ,  H04L67/306 ,  H04L67/325 ,  H04L67/40 ,  H04L67/42 ,  H04L69/329 ,  Y10S707/99931 ,  Y10S707/99939 ,  Y10S707/99942 ,  Y10S707/99943

摘要： A schema-based service for Internet access to per-user services data, wherein access to data is based on each user's identity. The service includes a schema that defines rules and a structure for each user's data, and also includes methods that provide access to the data in a defined way. The services schema thus corresponds to a logical document containing the data for each user. The user manipulates (e.g., reads or writes) data in the logical document by data access requests through defined methods. In one implementation, the services schemas are arranged as XML documents, and the services provide methods that control access to the data based on the requesting user's identification, defined role and scope for that role. In this way, data can be accessed by its owner, and shared to an extent determined by the owner.

摘要翻译： 用于因特网访问每用户服务数据的基于模式的服务，其中对数据的访问基于每个用户的身份。 该服务包括定义每个用户数据的规则和结构的模式，并且还包括以定义的方式提供对数据的访问的方法。 因此，服务模式对应于包含每个用户的数据的逻辑文档。 用户通过定义的方法通过数据访问请求来操纵（例如，读或写）逻辑文档中的数据。 在一个实现中，服务模式被排列为XML文档，并且服务提供了基于请求用户的标识，该角色的定义角色和范围来控制对数据的访问的方法。 以这种方式，数据可由其所有者访问，并由所有者确定的程度共享。

公开(公告)号：US07602756B2

公开(公告)日：2009-10-13

申请号：US11071435

申请日：2005-03-02

申请人： Ye Gu ,  Peter S. Ford ,  Holly Knight ,  Yaron Y. Goland ,  Paul J. Leach

发明人： Ye Gu ,  Peter S. Ford ,  Holly Knight ,  Yaron Y. Goland ,  Paul J. Leach

IPC分类号： H04W4/00

CPC分类号： H04L67/16 ,  H04L12/2805 ,  H04L12/2809 ,  H04L12/2856 ,  H04L12/2898 ,  H04L12/4633 ,  H04L29/12235 ,  H04L29/1232 ,  H04L29/12594 ,  H04L47/2408 ,  H04L61/2023 ,  H04L61/2092 ,  H04L61/303 ,  H04L67/02 ,  H04L67/025 ,  H04L67/125 ,  H04L67/14 ,  H04L69/329

摘要： A device control model provides an integrated set of addressing, naming, discovery and description processes that enables automatic, dynamic and ad-hoc self-setup by devices to interoperate with other devices on a network. This permits a computing device when introduced into a network to automatically configure so as to connect and interact with other computing devices available on the network, without a user installation experience and without downloading driver software or persisting a configuration setup for connecting and interacting with such other computing devices. Upon completing interaction with such other devices, the computing device automatically releases the setup for such other devices so as to avoid persistent device configurations that might create a configuration maintenance and management burden.

摘要翻译： 设备控制模型提供了一套集成的寻址，命名，发现和描述过程，使设备能够自动，动态和自组织自我设置，以与网络上的其他设备进行互操作。 这允许计算设备被引入到网络中以自动配置以便连接并与网络上可用的其他计算设备进行交互，而无需用户安装体验，并且不下载驱动程序软件或持续配置设置来连接和与其他操作系统进行交互 计算设备。 在完成与这样的其他设备的交互时，计算设备自动释放这些其他设备的设置，以避免可能产生配置维护和管理负担的持续设备配置。

公开(公告)号：US07543333B2

公开(公告)日：2009-06-02

申请号：US10118808

申请日：2002-04-08

申请人： Bhalchandra S. Pandit ,  Praerit Garg ,  Richard B. Ward ,  Paul J. Leach ,  Scott A. Field ,  Robert P. Reichel ,  John E. Brezak

发明人： Bhalchandra S. Pandit ,  Praerit Garg ,  Richard B. Ward ,  Paul J. Leach ,  Scott A. Field ,  Robert P. Reichel ,  John E. Brezak

IPC分类号： G06F21/06 ,  G06F21/20 ,  G06F21/22 ,  G06F21/24 ,  G08B23/00 ,  G06F15/173 ,  H04K1/00

CPC分类号： G06F21/31 ,  G06F2221/2101

摘要： Improved intrusion detection and/or tracking methods and systems are provided for use across various computing devices and networks. Certain methods, for example, form a substantially unique audit identifier during each authentication/logon process. One method includes identifying one or more substantially unique parameters that are associated with the authentication/logon process and encrypting them to form at least one audit identifier that can then be generated and logged by each device involved in the authentication/logon process. The resulting audit log file can then be audited along with similar audit log files from other devices to track a user across multiple platforms.

摘要翻译： 提供了改进的入侵检测和/或跟踪方法和系统，用于跨越各种计算设备和网络。 例如，某些方法在每个认证/登录过程期间形成基本唯一的审计标识符。 一种方法包括识别与认证/登录过程相关联的一个或多个基本上唯一的参数并将其加密以形成至少一个审核标识符，然后可以由认证/登录过程中涉及的每个设备生成和记录。 然后可以将生成的审核日志文件与来自其他设备的类似审核日志文件一起审核，以跨多个平台跟踪用户。

公开(公告)号：US07441019B2

公开(公告)日：2008-10-21

申请号：US10981030

申请日：2004-11-04

申请人： William M. Zintel ,  Amar S. Gandhi ,  Ye Gu ,  Shyamalan Pather ,  Jeffrey C. Schlimmer ,  Christopher M. Rude ,  Daniel R. Weisman ,  Donald R. Ryan ,  Paul J. Leach ,  Ting Cai ,  Holly N. Knight ,  Peter S. Ford

发明人： William M. Zintel ,  Amar S. Gandhi ,  Ye Gu ,  Shyamalan Pather ,  Jeffrey C. Schlimmer ,  Christopher M. Rude ,  Daniel R. Weisman ,  Donald R. Ryan ,  Paul J. Leach ,  Ting Cai ,  Holly N. Knight ,  Peter S. Ford

IPC分类号： G06F15/177 ,  G06F17/00

CPC分类号： H04L29/12235 ,  H04L12/2803 ,  H04L12/2805 ,  H04L12/2807 ,  H04L12/2818 ,  H04L12/2856 ,  H04L12/2898 ,  H04L12/4633 ,  H04L29/06 ,  H04L29/0602 ,  H04L29/1232 ,  H04L29/12594 ,  H04L47/2408 ,  H04L61/2023 ,  H04L61/2092 ,  H04L61/30 ,  H04L67/02 ,  H04L67/025 ,  H04L67/125 ,  H04L67/14 ,  H04L67/16 ,  H04L69/329

摘要： A universal plug and play (UPnP) device makes itself known through a set of processes—discovery, description, control, eventing, and presentation. Following discovery of a UPnP device, an entity can learn more about the device and its capabilities by retrieving the device's description. The description includes vendor-specific manufacturer information like the model name and number, serial number, manufacturer name, URLs to vendor-specific Web sites, etc. The description also includes a list of any embedded devices or services, as well as URLs for control, eventing, and presentation. The description is written by a vendor, and is usually based on a device template produced by a UPnP forum working committee. The template is derived from a template language that is used to define elements to describe the device and any services supported by the device. The template language is written using an XML-based syntax that organizes and structures the elements.

摘要翻译： 通用即插即用（UPnP）设备通过一系列过程（发现，描述，控制，事件和演示）使自己知道。 在发现UPnP设备后，实体可以通过检索设备的描述来了解设备及其功能的更多信息。 描述包括供应商特定的制造商信息，如型号名称和编号，序列号，制造商名称，供应商特定网站的URL等。该描述还包括任何嵌入式设备或服务的列表以及用于控制的URL ，事件和演示。 描述由供应商编写，通常基于由UPnP论坛工作委员会制作的设备模板。 模板派生自用于定义要描述设备和设备支持的任何服务的元素的模板语言。 模板语言是使用组织和构造元素的基于XML的语法编写的。

公开(公告)号：US20080244736A1

公开(公告)日：2008-10-02

申请号：US11694014

申请日：2007-03-30

申请人： Butler Lampson ,  Ravindra Nath Pandya ,  Paul J. Leach ,  Muthukrishnan Paramasivam ,  Carl M. Ellison ,  Charles William Kaufman

发明人： Butler Lampson ,  Ravindra Nath Pandya ,  Paul J. Leach ,  Muthukrishnan Paramasivam ,  Carl M. Ellison ,  Charles William Kaufman

IPC分类号： G06F12/14

CPC分类号： G06F21/604 ,  G06F21/6218

摘要： Access control as it relates to policies or permissions is provided based on a created model. A security policy is abstracted and can be independent of a mechanism used to protect resources. An asbstract model of a potential user, user role and/or resource is created without associating a specific individual and/or resource with a model. These abstract user models and abstract resource models can be used across applications or within disparate applications. The abstracted security policies can be selectively applied to the model. Specific users and/or resources can be associated with one or more abstract user model or abstract resource model. The models can be nested to provide configurations for larger systems.

摘要翻译： 基于创建的模型提供与策略或权限相关的访问控制。 安全策略被抽象出来，可以独立于用于保护资源的机制。 创建潜在用户，用户角色和/或资源的抽象模型，而不将特定个人和/或资源与模型相关联。 这些抽象用户模型和抽象资源模型可以跨应用程序或不同的应用程序使用。 抽象的安全策略可以选择性地应用于模型。 特定用户和/或资源可以与一个或多个抽象用户模型或抽象资源模型相关联。 这些型号可以嵌套，以提供更大系统的配置。

公开(公告)号：US07382883B2

公开(公告)日：2008-06-03

申请号：US11611051

申请日：2006-12-14

申请人： David B. Cross ,  Jianrong Gu ,  Josh D. Benaloh ,  Thomas C. Jones ,  Paul J. Leach ,  Glenn D. Pittaway

发明人： David B. Cross ,  Jianrong Gu ,  Josh D. Benaloh ,  Thomas C. Jones ,  Paul J. Leach ,  Glenn D. Pittaway

IPC分类号： H04L9/00

CPC分类号： H04L63/045 ,  G06Q20/3829 ,  H04L9/0822 ,  H04L9/0894 ,  H04L63/0823

摘要： One aspect relates to a process and associated device that provides a private key of an asymmetric key pair in a key device. A symmetric master key is derived from the private key of the asymmetric key pair. The symmetric master key is stored in a computer memory location. The symmetric master key is used to encrypt or decrypt a file encryption key. The file encryption key can encrypt or decrypt files. In another aspect, the user can still access the files even if a user deactivates the key device by encrypting or decrypting the file encryption key directly from the symmetric master key.

摘要翻译： 一个方面涉及在密钥设备中提供非对称密钥对的私钥的过程和相关设备。 对称主密钥是从非对称密钥对的私有密钥导出的。 对称主密钥存储在计算机内存位置。 对称主密钥用于加密或解密文件加密密钥。 文件加密密钥可以加密或解密文件。 在另一方面，即使用户通过直接从对称主密钥加密或解密文件加密密钥来使密钥设备停用，用户仍然可以访问文件。

公开(公告)号：US07308709B1

公开(公告)日：2007-12-11

申请号：US09560079

申请日：2000-04-27

申请人： John E. Brezak, Jr. ,  Richard B. Ward ,  Paul J. Leach ,  Michael M. Swift

发明人： John E. Brezak, Jr. ,  Richard B. Ward ,  Paul J. Leach ,  Michael M. Swift

IPC分类号： G06F17/00 ,  H04L9/00

CPC分类号： H04L63/0807 ,  G06Q20/3674 ,  H04L63/0407

摘要： A methododology is provided for facilitating authentication of a service. The methodology includes making a request to a first party for authentication of a service, the request including a first alias. A list of aliases associated with the service is then searched enabling a second party making the request to access the service if a match is found between the first alias and at least one alias of the list of aliases.

摘要翻译： 提供了一种便于认证服务的方法学。 该方法包括向第一方请求服务认证，该请求包括第一别名。 然后搜索与服务相关联的别名的列表，使得如果在第一别名和别名列表的至少一个别名之间找到匹配，则允许进行请求的第二方访问该服务。

公开(公告)号：US07302634B2

公开(公告)日：2007-11-27

申请号：US10017680

申请日：2001-10-22

申请人： Mark H. Lucovsky ,  Shaun Douglas Pierce ,  Steven D. White ,  Ramu Movva ,  Jagadeesh Kalki ,  David Benjamin Auerbach ,  Peter Sewall Ford ,  Jay Christopher Jacobs ,  Paul Andrew Steckler ,  Walter C. Hsueh ,  Kendall D. Keil ,  Burra Gopal ,  Suresh Kannan ,  Yi-Wen Guu ,  Samuel John George ,  William Raymond Hoffman ,  Philip Michael Smoot ,  Lijiang Fang ,  Michael B. Taylor ,  Winnie C. Wu ,  Paul J. Leach ,  Richard B. Ward ,  Yun-Qi Yuan

发明人： Mark H. Lucovsky ,  Shaun Douglas Pierce ,  Steven D. White ,  Ramu Movva ,  Jagadeesh Kalki ,  David Benjamin Auerbach ,  Peter Sewall Ford ,  Jay Christopher Jacobs ,  Paul Andrew Steckler ,  Walter C. Hsueh ,  Kendall D. Keil ,  Burra Gopal ,  Suresh Kannan ,  Yi-Wen Guu ,  Samuel John George ,  William Raymond Hoffman ,  Philip Michael Smoot ,  Lijiang Fang ,  Michael B. Taylor ,  Winnie C. Wu ,  Paul J. Leach ,  Richard B. Ward ,  Yun-Qi Yuan

IPC分类号： G06F15/00 ,  G06F17/00 ,  G06F15/16

CPC分类号： G06Q10/109 ,  G06F21/335 ,  G06F21/6218 ,  G06F21/6227 ,  G06F21/6236 ,  G06F21/6245 ,  G06F21/6272 ,  G06F21/629 ,  G06F2221/2115 ,  G06F2221/2117 ,  G06F2221/2119 ,  G06F2221/2141 ,  G06F2221/2149 ,  H04L29/06 ,  H04L63/10 ,  H04L63/102 ,  H04L67/02 ,  H04L67/16 ,  H04L67/28 ,  H04L67/2819 ,  H04L67/303 ,  H04L67/306 ,  H04L67/325 ,  H04L67/40 ,  H04L67/42 ,  H04L69/329 ,  Y10S707/99931 ,  Y10S707/99939 ,  Y10S707/99942 ,  Y10S707/99943

摘要： A schema-based service for Internet access to per-user services data, wherein access to data is based on each user's identity. The service includes a schema that defines rules and a structure for each user's data, and also includes methods that provide access to the data in a defined way. The services schema thus corresponds to a logical document containing the data for each user. The user manipulates (e.g., reads or writes) data in the logical document by data access requests through defined methods. In one implementation, the services schemas are arranged as XML documents, and the services provide methods that control access to the data based on the requesting user's identification, defined role and scope for that role. In this way, data can be accessed by its owner, and shared to an extent determined by the owner.

摘要翻译： 用于因特网访问每用户服务数据的基于模式的服务，其中对数据的访问基于每个用户的身份。 该服务包括定义每个用户数据的规则和结构的模式，并且还包括以定义的方式提供对数据的访问的方法。 因此，服务模式对应于包含每个用户的数据的逻辑文档。 用户通过定义的方法通过数据访问请求来操纵（例如，读或写）逻辑文档中的数据。 在一个实现中，服务模式被排列为XML文档，并且服务提供了基于请求用户的标识，该角色的定义角色和范围来控制对数据的访问的方法。 以这种方式，数据可由其所有者访问，并由所有者确定的程度共享。

公开(公告)号：US07284271B2

公开(公告)日：2007-10-16

申请号：US10003767

申请日：2001-10-22

申请人： Mark Lucovsky ,  Shaun D. Pierce ,  Michael G. Burner ,  Richard B. Ward ,  Paul J. Leach ,  George M. Moore ,  Arthur Zwiegincew ,  Robert M. Hyman ,  Jonathan D. Pincus ,  Daniel R. Simon

发明人： Mark Lucovsky ,  Shaun D. Pierce ,  Michael G. Burner ,  Richard B. Ward ,  Paul J. Leach ,  George M. Moore ,  Arthur Zwiegincew ,  Robert M. Hyman ,  Jonathan D. Pincus ,  Daniel R. Simon

IPC分类号： H04L9/32 ,  G06F12/14

CPC分类号： H04L63/101 ,  G06F21/6218 ,  G06F21/6227 ,  G06F21/6245 ,  G06Q10/109 ,  H04L12/1859 ,  H04L12/1863 ,  H04L29/06 ,  H04L63/08 ,  H04L63/1425 ,  H04L67/02 ,  H04L67/16 ,  H04L67/303 ,  H04L67/306 ,  H04L67/325 ,  H04L67/40 ,  H04L67/42 ,  H04L69/329

摘要： Authorizing a requesting entity to have a service perform a particular action in a manner that is at least partially independent of the underlying target data structure. An authorization station maintains a number of role templates that each define basic access permissions with respect to a number of command methods. The authorization station also maintains a number of role definitions that each define access permissions for specific requesting entities by using one or more of the role templates. When the authorization station receives a request from the requesting entity, the authorization station then identifies the appropriate role definition. Using this role definition, the authorization station determines access permissions for the requesting entity with respect to the requested action.

摘要翻译： 授权请求实体使服务以至少部分独立于基础目标数据结构的方式执行特定动作。 授权站维护多个角色模板，每个角色模板定义关于多个命令方法的基本访问权限。 授权站还维护多个角色定义，每个角色定义通过使用一个或多个角色模板定义特定请求实体的访问权限。 当授权站从请求实体接收到请求时，授权站然后识别适当的角色定义。 使用该角色定义，授权站根据所请求的动作确定请求实体的访问权限。