CN101218779B - 用于协议的用户映射信息扩展 - Google Patents
用于协议的用户映射信息扩展 Download PDFInfo
- Publication number
- CN101218779B CN101218779B CN200680025299XA CN200680025299A CN101218779B CN 101218779 B CN101218779 B CN 101218779B CN 200680025299X A CN200680025299X A CN 200680025299XA CN 200680025299 A CN200680025299 A CN 200680025299A CN 101218779 B CN101218779 B CN 101218779B
- Authority
- CN
- China
- Prior art keywords
- certificate
- computing equipment
- user
- map information
- mapped
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
在可在认证握手期间交换的消息中提供包含用户映射信息的提示。例如,客户机可在认证期间向服务器提供用户映射信息。提示(例如以TLS扩展机制的形式)可用于发送客户机的域/用户名信息,以协助该服务器将用户的证书映射到帐户。该扩展机制提供由该客户机发送的映射数据的完整性和真实性。用户提供有关在哪里找到正确的帐户或域控制器(指向或以其它方式维护正确的帐户)的提示。基于该提示和证书中的其他信息,用户被映射到帐户。该提示可以在用户登录时由用户提供。因此,证书被映射到身份上,以认证该用户。提示与该证书信息一起发送以执行绑定。可扩展现有协议来传递附加映射信息(提示)以执行该绑定。基于X.509证书和映射用户名提示,定义对Kerberos的供应商专用扩展,以获取授权数据。
Description
发明背景
证书是包含有关实体和实体公钥的信息的数字地签署的声明。握手是两个实体(例如用户和计算机、计算机和另一计算机、或程序和另一程序)之间的对话,用于实体相互之间的标识和认证。如果证书没有提供用于标识用户的身份或领域的足够信息,则依照握手将证书映射到用户帐户或安全主体通常会失败。
使用证书和握手的服务的一个示例是安全信道。安全信道(也称为Schannel)是实现SSL/TLS(安全套接字层/传输层安全性)协议的安全服务提供者接口(SSPI)下的安全支持提供者(SSP)的名称。SSPI包含多个安全协议实现。Schannel SSP插入在SSPI下。同样地,Kerberos SSP插入在SSPI下。Schannel主要用于需要诸如通过SSL或TLS的超文本传输协议(HTTP)通信的增强的安全性的因特网应用程序。例如,诸如TLS或SSL等Schannel协议需要凭证来认证服务器和(可任选地)客户机。Schannel安全协议需要服务器认证,其中服务器向客户机提供其身份的证明。服务器可能在任何时候请求客户机认证。
Schannel凭证可以是X.509证书。来自证书的公钥和私钥信息被用于认证服务器和(可任选地)客户机。当客户机和服务器交换生成和交换会话密钥所需的信息时,这些密钥也被用于提供消息完整性。
Schannel是实现SSL和TLS的模块,SSL和TLS是用于在服务器上建立用户认证的客户机/服务器协议。该认证得到可由服务器用于客户机扮演(clientimpersonation)的令牌。Schannel使用证书来认证用户(将证书映射到用户帐户)。
一旦用户(客户机)向服务器标识了其自身,服务器就必须(为用户的帐户)定位授权机构。这通常通过使用X.509证书中的用户主体名称(UPN)扩展来完成。然而,如果不存在UPN或者如果UPN没有提供用于标识用户的领域(在跨森林的情况下)的足够的信息,则将证书映射到用户帐户(例如现用目录用户帐户)会失败。
类似的问题对由使用S4U的Kerberos将证书映射到用户帐户也存在。
发明概述
在认证协议中提供了用户映射信息(例如,以“提示”的形式)。例如,客户机在认证期间向服务器提供用户映射信息。提示用于协助标识用户帐户位于何处,由此提供将证书映射到用户帐户的能力。
例如,可以为TLS协议改变数据格式(例如最终(on the wire)格式),用于发送域名和用户名信息。例如,提示(例如以TLS扩展机制的形式)被用于发送域/用户名信息,以协助服务器将用户的证书映射到帐户。TLS扩展机制为提供了由客户机发送的映射数据的完整性和真实性。
在服务器侧,来自协议层的信息被提取和映射,并被用于将用户证书映射到帐户和生成安全(用户扮演)令牌。
类似地,Kerberos协议的扩展允许提供映射提示和证书并返回用户令牌。
附图简述
图1是示例性映射方法的流程图。
图2是使用握手的示例性客户机-服务器映射系统的图示。
图3是另一示例性映射方法的流程图。
图4是示出其中可实现本发明的各方面的示例性计算环境的框图。
详细描述
在可作为客户机/服务器认证和密钥交换步骤的一部分交换的消息中提供包含用户映射信息的提示。例如,客户机可在认证期间将用户映射信息提供给服务器。提示(例如,以TLS扩展机制的形式)可用于发送客户机的域/用户名信息,以协助服务器将用户的证书映射到帐户。该扩展机制提供了由客户机发送的映射数据的完整性和真实性。用户提供关于在哪里找到正确的帐户或域控制器(指向或以其它方式维护正确的帐户)的提示。基于证书中的提示和其他信息,将用户映射到帐户。提示可以在用户登录时由用户提供。
因此,证书被映射到身份以认证用户。提示与证书信息一起发送以执行绑定。现有的协议可以被扩展以传递附加映射信息(提示)来执行绑定。
图1是一个示例性映射方法的流程图。在步骤10处,客户机向服务器发送数据或信号,以指示正在使用映射扩展(例如包含映射信息或提示)。在步骤15处,服务器会确认它是否能处理该扩展。在步骤20处,映射扩展被发送给服务器,例如作为用户映射数据(UserMappingData),作为散列。如果服务器能处理该扩展,那么在步骤25处,服务器使用映射扩展数据(提示)来确定与谁交谈。于是,双方在步骤30处得到应用程序数据。
期望扩展提供者(例如Schannel)来发送包括用户的主体名称(UPN)和域的信息,以协助服务器侧执行从证书到用户帐户的映射。这在UPN不在证书本身中的情况下和部署多个现用目录时特别有用。映射信息也可以是例如公共名称或帐户名。
关于图2的客户机-服务器映射系统描述的示例性SSL握手支持基于客户机和服务器的X.509证书的相互认证,并经由从主秘密得出的会话密钥来提供客户机/服务器通信信道的后续保密性和完整性。
期望在握手期间指定和发送UPN和域名(用户帐户位于其中)。在握手完成后,信息由双方验证为安全的,以确保没有中间人篡改信息。
对于客户机侧认证,安全支持或协议提供者(例如Schannel)可分别在“证书(Certificate)”和“证书验证(CertificateVerify)”消息中发送用户的证书和相应的签名。当完成握手时,服务器侧可试图将证书映射到用户帐户,以生成扮演令牌。
图2示出了如何将用户映射信息集成到诸如TLS握手等握手中。虽然描述了TLS握手,但是构想本发明可用于任何涉及握手、证书和/或认证的协议。在最初的“问好(Hello)”消息交换中,客户机101和服务器130协商是否支持映射扩展(例如经由可添加到客户机和服务器问好的扩展部分的新的扩展类型)。期望在用户证书消息之后的新消息(例如“用户映射数据(user_mapping_data)”)中发送用户映射数据(例如,主体和域名)。
如上所述,关于TLS消息,将用户映射信息从客户机传输给服务器可使用TLS扩展。可以在客户机问好中建立和发送新的扩展(例如用户映射(user_mapping))。如果服务器将同一扩展(用户映射)置于服务器问好中,则这会向客户机表示服务器理解该扩展。如果服务器不理解该扩展,则它将用非扩展的服务器问好来响应,而客户机会如常继续而忽略扩展。
如果理解该新的扩展,那么客户机将在客户机证书消息之前注入新的握手消息。该消息的定位允许服务器在其必须生效(和映射)证书之前接收映射信息。服务器接着解析该消息、提取客户机的域、并将其存储在内容中以供证书映射时使用。
“服务器处理”完全包含在映射功能中。此时,如果有扩展信息,就使用它,否则处理如常进行。期望的是,没有扩展时不会有出错。
由于客户机是该扩展的发起者,因此确定客户机何时将发送用户映射信息。虽然总是能发送该信息,但是可能不期望只是在任何时间将该信息广播到任何服务器,因为它会泄露客户机和服务器正在使用的网络基础结构。另一方面,当泄露信息时,可能不会作出隐藏它的尝试。
为了避免过多地发送用户映射信息,可使用各种示例性技术来压制其分发,诸如(1)客户机仅在“Hello”交换中同意时发送扩展,由此防止将信息发送到不理解用户映射扩展的服务器,以及(2)客户机在服务器在要发送到的“安全”域的列表上时才发送用户映射信息。举例而言,该列表可以在注册表中建立。
由此,如图3所示,一种方法可包括在步骤200处将证书和签名从用户(例如客户机)发送至接收者(例如服务器)。接着可以在步骤210处判定是否应该向接收者发送提示或映射信息。如果是,那么在步骤220处,将提示或映射信息发送给接收者,并且使用提示或映射信息将证书映射到用户帐户。如果不应该向接收者发送提示或映射信息,那么在步骤230处试图将证书映射到用户帐户,而无需提示的帮助。
可以在编程上或交互地处理对于要发送的用户映射信息的收集。例如,为了建立凭证以供在Schannel中使用,用户(例如代表最终用户行动的客户机程序)可构建SCHANNEL_CRED(Schannel凭证)结构,并将其传递给AcquireCredentialsHandle()(获取凭证句柄)。SCHANNEL_CRED结构使得用户能够提供证书(CERT_CONTEXT)(证书上下文),ACH()接着使用该证书(CERT_CONTEXT)来构建凭证(它接着附加客户机的证书)。或者,用户可以不指定证书,而是让Schannel选择用户的默认证书。
作为如何实现提示以提取UPN和DNS域名的示例,可使用NameUserPrincipal(名称用户主体)和NameDnsDomain(名称DSN域)的EXTENDED_NAME_FORMAT(扩展名称格式)两次调用GetUserNameEx()(获取用户名扩展)。这两者都可以被附加到PSPCredentialGroup(PSP凭证组)结构上。可以在消息中提供用户名的示例性提示,如UNICODE_STRINGUserPrincipalName(用户主体名称)。可以在消息中提供的域名的示例性提示,如UNICODE_STRING_DomainName(域名)。
作为示例,InitializeSecurityContext()(初始化安全上下文)接收上下文的目标(即它正在与之建立安全上下文的服务器的名称)作为其参数之一。InitializeSecurityContext将调用CheckUserMappingTarget()(检查用户映射目标),并将以下PSPContext(PSP上下文)结构标志设置为结果:
BOOL fSendMappingExtension默认地,该标志不被设置,这样使得客户机不发送扩展。调试日志将指示设置或保留标志的决定。
作为另一示例,如果成功地协商了用户映射扩展,那么期望将UPN和域置于PSPContext结构中。信息将在映射过程的开始处使用,并被传递给基于证书的LsaLogonUser()(Lsa登录用户)(S4U2Self)的版本。
以上示例的各方面针对涉及SSL和TLS的协议。本发明的各方面也可以在诸如Kerberos等协议中实施。Kerberos扩展可提供证书和可选地该证书所映射到的用户名。KDC(密钥分发中心)可执行帐户映射和生效,并将客户机可用于构造例如用于授权的令牌的授权数据发回。
更具体地,例如,LsaLogonUser()调用可包括提示。名称提示被传递给LsaLogonUser()。例如,在消息中,如果提供了UNICODE_STRING DomainName//可任选,则它被用于定位森林(forest);而如果提供了UNICODE_STRINGUserName//可任选,则它被用于定位帐户。域名告诉客户机(例如用户正登录的本地机器)哪个域包含映射的用户帐户。
允许调用者提供用户名,以允许将证书映射到多个用户帐户。如果提供了用户名,那么KDC将使用它来定位用户帐户,并验证证书被映射到该帐户。
如果没有提供用户名提示而提供了域名,那么Kerberos客户机使用域名来定位KDC以进行认证,而KDC会将证书映射至用户帐户。期望支持不包含subjectAltName(主体替换名称)扩展的客户机证书。这种证书可以被映射到现用目录帐户。为证书的帐户映射问题提供了一般和可扩展的解决方案。
如果证书包含subjectAltName/UPN扩展,那么KDC将使用它来映射客户机。在这种情况下,期望客户机证书满足NT_AUTH策略。如果基于UPN没有发现用户对象,那么认证应该失败。
如果在证书中没有UPN,那么KDC构造“X509:<I><S>”AltSecID(替换会话ID)名称以供查找。在这种情况下,客户机证书无需满足NT_AUTH策略。
如果在证书中没有UPN且在上述步骤中没有定位到用户对象,那么可以基于主体的区别名称来查找客户机帐户,KDC构造“X509:<S>”AltSecID名称以供查找。在这种情况下,期望客户机证书满足NT_AUTH策略。
如果在证书中没有UPN且在上述步骤中没有定位到用户对象,那么KDC使用主体和序列号来构造“X509:<I><SR>”AltSecID以供查找。在这种情况下,客户机证书无需满足NT_AUTH策略。
如果在证书中没有UPN且没有定位到用户对象,并且客户机证书包含SKI,那么KDC构造“X509:<SKI>”AltSecID以供查找。在这种情况下,客户机证书无需满足NT_AUTH策略。
如果在证书中没有UPN且在上述步骤中没有定位到用户对象,那么KDC构造“X509:<SHAl-PUKEY>”AltSecID值以供查找。在这种情况下,客户机证书无需满足NT_AUTH策略。
如果在证书中没有UPN且在上述步骤中没有定位到用户对象,那么基于SAN/822名称来查找客户机帐户,KDC构造“X509:<RFC822>”AltSecID以供查找。在这种情况下,期望客户机证书满足NT_AUTH策略。
注意,上述步骤和准则可单独或以任何组合或顺序使用。也可以使用其他步骤或准则。期望成功定位帐户的第一步骤或准则获胜且搜索停止。但是如果有将相同的证书映射到不同用户帐户的两种映射方法,则可能会有配置错误。
注意,如果客户机的证书不具有UPN,而证书中客户机的DN与用户帐户的DN匹配,但是该用户帐户未被映射,那么验证应该失败。
示例性计算环境
图4示出了其中可实现本发明的适当的计算系统环境800的示例。计算系统环境800仅是合适的计算环境的一个示例,而并非旨在对本发明的使用范围或功能提出任何限制。计算环境800也不应被解释为具有与示例性操作环境800中所示的组件中的任一个或其组合相关的任何依赖性或要求。
本发明可以使用许多其他通用或专用计算系统环境或配置来操作。适用于本发明的公知的计算系统、环境和/或配置的示例包括但不限于个人计算机、服务器计算机、手持式或膝上设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子设备、网络PC、小型机、大型计算机机以及包括任一上述系统或设备的分布式计算环境等。
本发明可以在诸如程序模块等由计算机执行的计算机可执行指令的一般上下文中描述。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。本发明的实施例也可以在分布式计算环境中实现,其中由通过通信网络或其他数据传输介质链接的远程处理设备来执行任务。在分布式计算环境中,程序模块和其他数据可以位于包括存储器存储设备的本地和远程计算机存储介质两者中。
参考图4,用于实现本发明的示例性系统包括计算机810形式的通用计算设备。计算机810的组件可包括但不限于,处理单元820、系统存储器830以及将包括系统存储器的各类系统组件耦合至处理单元820的系统总线821。系统总线821可以是若干种总线结构的任一种,包括存储器总线或存储器控制器、外围总线以及使用各类总线体系结构的任一种的局部总线。作为示例而非限制,这类体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强ISA(EISA)总线、视频电子技术标准协会(VESA)局域总线和外围部件互连(PCI)总线(也称为背板(Mezzanine)总线)。
计算机810通常包括各种计算机可读介质。计算机可读介质可以是可由计算机810访问的任一可用介质,包括易失性和非易失性介质、可移动和不可移动介质。作为示例而非限制,计算机可读介质包括计算机存储介质和通信介质。计算机存储介质包括以用于储存诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任一方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁性存储设备、或可以用来储存所需信息并可由计算机810访问的任一其它介质。通信介质通常具体化为诸如载波或其它传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据,并包括任一信息传送介质。术语“已调制数据信号”指以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。作为示例而非限制,通信介质包括如有线网络或直接接线连接等有线介质,以及诸如声学、射频(RF)、红外等无线介质和其它无线介质。上述任何介质的组合也应当包括在计算机可读介质的范围之内。
系统存储器830包括易失性和/或非易失性存储器形式的计算机存储介质,如ROM 831和RAM 832。包含如在启动时有助于在计算机810内的元件之间传输信息的基本例程的基本输入/输出系统833(BIOS)通常储存在ROM 831中。RAM 832通常包含处理单元820立即可访问和/或当前正在操作的数据和/或程序模块。作为示例而非限制,图4示出了操作系统834、应用程序835、其它程序模块836和程序数据837。
计算机810还可包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作示例,图4示出了对不可移动、非易失性磁性介质进行读写的硬盘驱动器841;对可移动、非易失性磁盘852进行读写的磁盘驱动器851;以及对可移动、非易失性光盘856,如CD ROM或其它光学介质进行读写的光盘驱动器855。可在示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器841通常通过诸如接口840等不可移动存储器接口连接到系统总线821,磁盘驱动器851和光盘驱动器855通常通过诸如接口850等可移动存储器接口连接到系统总线821。
驱动器及其相关联的计算机存储介质向计算机810提供了计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图4中,硬盘驱动器841被示为储存操作系统844、应用程序845、其它程序模块846和程序数据847。注意,这些组件可以与操作系统834、应用程序835、其它程序模块836和程序数据837相同,也可以与它们不同。这里对操作系统844、应用程序845、其它程序模块846和程序数据847给予不同的标号是为了说明至少它们是不同的副本。用户可以通过诸如键盘862和定位设备861(通常指鼠标、跟踪球或触摸垫)等输入设备向计算机810输入命令和信息。其它输入设备(未示出)可包括话筒、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等等。这些和其它输入设备通常通过耦合至系统总线的用户输入接口860连接至处理单元820,但是也可以通过其它接口和总线结构连接,诸如并行端口、游戏端口或通用串行总线(USB)。监视器891或其它类型的显示设备也通过接口,诸如视频接口890连接至系统总线821。除监视器之外,计算机也可包括其它外围输出设备,诸如扬声器897和打印机896,它们通过输出外围接口895连接。
计算机810可使用到一个或多个诸如远程计算机880等远程计算机的逻辑连接在网络化环境中操作。远程计算机880可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见的网络节点,并通常包括许多或所有以上相关于计算机810所描述的元件,尽管在图4中仅示出了存储器存储设备881。所描述的逻辑连接包括LAN 871和WAN 873,但也可包括其它网络。这类联网环境常见于办公室、企业范围计算机网络、内联网以及因特网。
当在LAN联网环境中使用时,计算机810通过网络接口或适配器870连接至LAN 871。当在WAN联网环境中使用时,计算机810通常包括调制解调器872或用于通过诸如因特网等WAN 873建立通信的其它装置。可以是内置或外置的调制解调器872通过用户输入接口860或其它适当的机制连接至系统总线821。在网络化环境中,相关于计算机810所描述的程序模块或其部分可储存在远程存储器存储设备中。作为示例而非限制,图4将远程应用程序885示为驻留在存储器设备881上。可以理解,所示出的网络连接是示例性的,也可以使用在计算机之间建立通信链路的其它手段。
如上所述,虽然结合各种计算设备描述了本发明的示例性实施例,但是基本的概念可以应用到任何计算设备或系统。
这里所描述的各种技术可以结合硬件、软件或在适当时用它们的组合来实现。因此,本发明的方法和装置或某些方面或其部分可以采用包含在有形介质中的程序代码(即指令)的形式,这些有形介质诸如软盘、CD-ROM、硬盘或任何其它的机器可读存储介质,其中当程序代码被载入到一机器(诸如计算机)中并由其执行时,该机器成为用于实现本发明的装置。在可编程计算机上执行程序代码的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备和至少一个输出设备。如果期望,程序可以用汇编或机器语言来实现。在任一情况下,语言可以是编译或翻译语言并且与硬件实现相结合。
本发明的方法和装置也可以用在某些传输介质上发送的程序代码的形式来实施,这些传输介质诸如在电线或电缆上、通过光纤或经由任何其它形式的传输,其中当接收到程序代码,将其载入到机器并由该机器执行程序代码时,该机器成为实现本发明的装置,所述机器诸如EPROM、门阵列、可编程逻辑器件(PLD)、客户计算机等等。当在通用处理器上实现时,程序代码与处理器相结合以提供用于调用本发明的功能的唯一装置。此外,结合本发明使用的任何存储技术可以总是硬件和软件的组合。
虽然结合各种附图的优选实施例描述了本发明,但是应该理解可以使用其它类似的实施例,或者可以对所描述的实施例作出修改和添加以执行本发明相同的功能而不背离本发明。因此,本发明不应被限于任何单一的实施例,而应该按照符合所附权利要求书的广度和范围来解释。
Claims (12)
1.一种认证方法,包括:
将映射扩展指示符从第一计算设备发送到第二计算设备;
依照所接收到的映射扩展指示符,确认所述第二计算设备能够接受映射信息;
将证书从所述第一计算设备发送到所述第二计算设备;
将所述映射信息从所述第一计算设备发送给所述第二计算设备;
所述第二计算设备解析所述映射消息、提取所述第一计算设备的域、并存储所述域以供证书映射时使用;以及
所述第二计算设备使用所述映射消息来将所述证书映射到用户帐户。
2.如权利要求1所述的方法,其特征在于,还包括基于所述映射信息来定位帐户或认证服务器。
3.如权利要求2所述的方法,其特征在于,所述认证服务器包括域控制器。
4.如权利要求2所述的方法,其特征在于,还包括在定位所述帐户或认证服务器之后得到应用程序数据并验证所述应用程序数据。
5.如权利要求1所述的方法,其特征在于,还包括基于所述映射信息和所述证书,将用户映射到帐户。
6.如权利要求1所述的方法,其特征在于,还包括判定所述第二计算设备是否支持所述映射信息,如果是,则确认所述第二计算设备能够接受所述映射信息,并将所述映射信息发送给所述第二计算设备。
7.如权利要求1所述的方法,其特征在于,所述映射信息包括域名提示或用户名提示。
8.如权利要求1所述的方法,其特征在于,所述映射信息是协议扩展机制的形式。
9.一种认证系统,包括:
用于将映射扩展指示符从第一计算设备发送到第二计算设备的装置;
用于依照所接收到的映射扩展指示符,确认所述第二计算设备能够接受映射信息的装置;
用于将证书从所述第一计算设备发送到所述第二计算设备的装置;
用于将所述映射信息从所述第一计算设备发送给所述第二计算设备的装置;
用于使所述第二计算设备解析所述映射消息、提取所述第一计算设备的域、并存储所述域以供证书映射时使用的装置;以及
用于使所述第二计算设备使用所述映射消息来将所述证书映射到用户帐户的装置。
10.如权利要求9所述的认证系统,其特征在于,所述映射信息是协议扩展的形式。
11.如权利要求9所述的认证系统,其特征在于,所述映射信息包括域名提示、用户名提示或用于将所述证书映射到帐户的数据。
12.如权利要求9所述的认证系统,其特征在于,所述映射信息是提供所述证书和所述证书映射到其上的可任选用户名的Kerberos扩展。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/181,525 US7434253B2 (en) | 2005-07-14 | 2005-07-14 | User mapping information extension for protocols |
| US11/181,525 | 2005-07-14 | ||
| PCT/US2006/027182 WO2007011637A2 (en) | 2005-07-14 | 2006-07-12 | User mapping information extension for protocols |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101218779A CN101218779A (zh) | 2008-07-09 |
| CN101218779B true CN101218779B (zh) | 2011-09-07 |
Family
ID=37662964
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680025299XA Active CN101218779B (zh) | 2005-07-14 | 2006-07-12 | 用于协议的用户映射信息扩展 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7434253B2 (zh) |
| EP (1) | EP1902539B1 (zh) |
| JP (1) | JP4955679B2 (zh) |
| KR (1) | KR101247007B1 (zh) |
| CN (1) | CN101218779B (zh) |
| RU (1) | RU2411668C2 (zh) |
| WO (1) | WO2007011637A2 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060294366A1 (en) * | 2005-06-23 | 2006-12-28 | International Business Machines Corp. | Method and system for establishing a secure connection based on an attribute certificate having user credentials |
| US8701168B2 (en) * | 2005-11-21 | 2014-04-15 | Oracle International Corporation | Method and apparatus for associating a digital certificate with an enterprise profile |
| US7958102B1 (en) * | 2007-03-28 | 2011-06-07 | Symantec Corporation | Method and apparatus for searching a storage system for confidential data |
| US7877602B2 (en) * | 2007-07-27 | 2011-01-25 | International Business Machines Corporation | Transparent aware data transformation at file system level for efficient encryption and integrity validation of network files |
| US8621561B2 (en) * | 2008-01-04 | 2013-12-31 | Microsoft Corporation | Selective authorization based on authentication input attributes |
| US8341433B2 (en) * | 2008-01-04 | 2012-12-25 | Dell Products L.P. | Method and system for managing the power consumption of an information handling system |
| AU2009205675B2 (en) * | 2008-01-18 | 2014-09-25 | Identrust, Inc. | Binding a digital certificate to multiple trust domains |
| US8412932B2 (en) * | 2008-02-28 | 2013-04-02 | Red Hat, Inc. | Collecting account access statistics from information provided by presence of client certificates |
| US8713177B2 (en) * | 2008-05-30 | 2014-04-29 | Red Hat, Inc. | Remote management of networked systems using secure modular platform |
| US10146926B2 (en) * | 2008-07-18 | 2018-12-04 | Microsoft Technology Licensing, Llc | Differentiated authentication for compartmentalized computing resources |
| US9100297B2 (en) | 2008-08-20 | 2015-08-04 | Red Hat, Inc. | Registering new machines in a software provisioning environment |
| US8032930B2 (en) | 2008-10-17 | 2011-10-04 | Intuit Inc. | Segregating anonymous access to dynamic content on a web server, with cached logons |
| US8782204B2 (en) | 2008-11-28 | 2014-07-15 | Red Hat, Inc. | Monitoring hardware resources in a software provisioning environment |
| US8544083B2 (en) * | 2009-02-19 | 2013-09-24 | Microsoft Corporation | Identification security elevation |
| US9558195B2 (en) | 2009-02-27 | 2017-01-31 | Red Hat, Inc. | Depopulation of user data from network |
| US9313105B2 (en) * | 2009-02-27 | 2016-04-12 | Red Hat, Inc. | Network management using secure mesh command and control framework |
| US9134987B2 (en) | 2009-05-29 | 2015-09-15 | Red Hat, Inc. | Retiring target machines by a provisioning server |
| US9270471B2 (en) | 2011-08-10 | 2016-02-23 | Microsoft Technology Licensing, Llc | Client-client-server authentication |
| EP2847962B1 (en) * | 2012-05-10 | 2019-11-20 | Telefonaktiebolaget LM Ericsson (publ) | System, method and computer program product for protocol adaptation |
| US10659366B1 (en) * | 2015-11-04 | 2020-05-19 | Amazon Technologies, Inc. | Load balancer metadata forwarding on secure connections |
| CN109547400A (zh) | 2017-09-22 | 2019-03-29 | 三星电子株式会社 | 通信方法、完整性验证方法和客户端的服务器注册方法 |
| KR102546277B1 (ko) | 2018-09-13 | 2023-06-21 | 삼성전자주식회사 | 스마트 보안 매체에 설치된 번들의 동시 활성화 관리 방법 및 장치 |
| CN113596795B (zh) * | 2021-07-22 | 2023-08-15 | 中移(杭州)信息技术有限公司 | 设备绑定方法、装置及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1361994A (zh) * | 1999-05-17 | 2002-07-31 | 艾利森电话股份有限公司 | 电信网络中的能力协商 |
| CN1477552A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 数字证书认证系统中实体证书跨应用互通方法 |
| US6854056B1 (en) * | 2000-09-21 | 2005-02-08 | International Business Machines Corporation | Method and system for coupling an X.509 digital certificate with a host identity |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5712914A (en) * | 1995-09-29 | 1998-01-27 | Intel Corporation | Digital certificates containing multimedia data extensions |
| US6615347B1 (en) * | 1998-06-30 | 2003-09-02 | Verisign, Inc. | Digital certificate cross-referencing |
| US6754829B1 (en) * | 1999-12-14 | 2004-06-22 | Intel Corporation | Certificate-based authentication system for heterogeneous environments |
| JP4689788B2 (ja) * | 2000-03-02 | 2011-05-25 | 株式会社アニモ | 電子認証システム、電子認証方法及び記録媒体 |
| US7139911B2 (en) * | 2001-02-28 | 2006-11-21 | International Business Machines Corporation | Password exposure elimination for digital signature coupling with a host identity |
| US6871279B2 (en) * | 2001-03-20 | 2005-03-22 | Networks Associates Technology, Inc. | Method and apparatus for securely and dynamically managing user roles in a distributed system |
| US7143285B2 (en) * | 2001-05-22 | 2006-11-28 | International Business Machines Corporation | Password exposure elimination for digital signature coupling with a host identity |
| FR2825209A1 (fr) * | 2001-05-23 | 2002-11-29 | Thomson Licensing Sa | Dispositifs et procede de securisation et d'identification de messages |
| JP3724564B2 (ja) * | 2001-05-30 | 2005-12-07 | 日本電気株式会社 | 認証システム及び認証方法並びに認証用プログラム |
| JP2003085321A (ja) * | 2001-09-11 | 2003-03-20 | Sony Corp | コンテンツ利用権限管理システム、コンテンツ利用権限管理方法、および情報処理装置、並びにコンピュータ・プログラム |
| JP2003233586A (ja) * | 2002-02-13 | 2003-08-22 | Advanced Telecommunication Research Institute International | 制御サーバ、サービス機能へのアクセス制御をコンピュータに実行させるためのプログラム、サービス機能の取得をコンピュータに実行させるためのプログラム、およびプログラムを記録したコンピュータ読取り可能な記録媒体 |
| US20040098615A1 (en) * | 2002-11-16 | 2004-05-20 | Mowers David R. | Mapping from a single sign-in service to a directory service |
| WO2005101270A1 (en) * | 2004-04-12 | 2005-10-27 | Intercomputer Corporation | Secure messaging system |
| US20060095767A1 (en) * | 2004-11-04 | 2006-05-04 | Nokia Corporation | Method for negotiating multiple security associations in advance for usage in future secure communication |
-
2005
- 2005-07-14 US US11/181,525 patent/US7434253B2/en active Active
-
2006
- 2006-07-12 EP EP06800057.9A patent/EP1902539B1/en active Active
- 2006-07-12 CN CN200680025299XA patent/CN101218779B/zh active Active
- 2006-07-12 RU RU2008101461/09A patent/RU2411668C2/ru active
- 2006-07-12 WO PCT/US2006/027182 patent/WO2007011637A2/en active Application Filing
- 2006-07-12 JP JP2008521601A patent/JP4955679B2/ja not_active Expired - Fee Related
- 2006-07-12 KR KR1020087001065A patent/KR101247007B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1361994A (zh) * | 1999-05-17 | 2002-07-31 | 艾利森电话股份有限公司 | 电信网络中的能力协商 |
| US6854056B1 (en) * | 2000-09-21 | 2005-02-08 | International Business Machines Corporation | Method and system for coupling an X.509 digital certificate with a host identity |
| CN1477552A (zh) * | 2003-06-12 | 2004-02-25 | 上海格尔软件股份有限公司 | 数字证书认证系统中实体证书跨应用互通方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7434253B2 (en) | 2008-10-07 |
| CN101218779A (zh) | 2008-07-09 |
| US20070016782A1 (en) | 2007-01-18 |
| JP2009501973A (ja) | 2009-01-22 |
| WO2007011637A2 (en) | 2007-01-25 |
| WO2007011637A3 (en) | 2007-07-12 |
| RU2411668C2 (ru) | 2011-02-10 |
| KR101247007B1 (ko) | 2013-03-25 |
| EP1902539A2 (en) | 2008-03-26 |
| KR20080023737A (ko) | 2008-03-14 |
| RU2008101461A (ru) | 2009-07-20 |
| EP1902539A4 (en) | 2016-11-23 |
| EP1902539B1 (en) | 2018-01-24 |
| JP4955679B2 (ja) | 2012-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101218779B (zh) | 用于协议的用户映射信息扩展 | |
| EP1872502B1 (en) | Peer-to-peer authentication and authorization | |
| CN101527633B (zh) | 智能密钥设备获取数字证书的方法 | |
| CN101027676B (zh) | 用于可控认证的个人符记和方法 | |
| JP4818664B2 (ja) | 機器情報送信方法、機器情報送信装置、機器情報送信プログラム | |
| JP4790574B2 (ja) | 複数の認証書を管理する装置および方法 | |
| CN100520795C (zh) | 基于硬件的凭证管理 | |
| US7823192B1 (en) | Application-to-application security in enterprise security services | |
| KR20060097579A (ko) | 인증서 발행을 위한 포맷-독립적 시스템 및 방법 | |
| KR20030094337A (ko) | 컴퓨터 네트워크 내에서 응용 프로그램 코드와 콘텐트데이터의 분배 제어 | |
| US20030163694A1 (en) | Method and system to deliver authentication authority web services using non-reusable and non-reversible one-time identity codes | |
| JP4820342B2 (ja) | ユーザ認証方法、ユーザ認証装置、プログラム及び記録媒体 | |
| JP2006157399A (ja) | 電子署名付き電子文書交換支援方法及び情報処理装置 | |
| WO2014048769A1 (en) | Single sign-on method, proxy server and system | |
| CN114301617A (zh) | 多云应用网关的身份认证方法、装置、计算机设备及介质 | |
| JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
| US20090210719A1 (en) | Communication control method of determining whether communication is permitted/not permitted, and computer-readable recording medium recording communication control program | |
| KR20130078842A (ko) | 이미지 코드와 일회용 패스워드를 이용한 이중 인증처리 서버와 기록매체 | |
| US9270471B2 (en) | Client-client-server authentication | |
| JP5106211B2 (ja) | 通信システム及びクライアント装置 | |
| EP3757922A1 (en) | Electronic payment system and method and program using biometric authentication | |
| JP4990560B2 (ja) | 電子署名検証システム | |
| JP2005157571A (ja) | 情報処理装置、機器、情報処理システム、認証プログラム及び記録媒体 | |
| JP5402301B2 (ja) | 認証用プログラム、認証システム、および認証方法 | |
| Ahn et al. | Towards scalable authentication in health services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150513 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150513 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |