CN101911585A - 基于认证输入属性的选择性授权 - Google Patents
基于认证输入属性的选择性授权 Download PDFInfo
- Publication number
- CN101911585A CN101911585A CN2008801242496A CN200880124249A CN101911585A CN 101911585 A CN101911585 A CN 101911585A CN 2008801242496 A CN2008801242496 A CN 2008801242496A CN 200880124249 A CN200880124249 A CN 200880124249A CN 101911585 A CN101911585 A CN 101911585A
- Authority
- CN
- China
- Prior art keywords
- authentication input
- authentication
- server
- input
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
公开了用于基于认证输入属性来提供区别化访问的各实施例。根据一个实施例,一种方法包括在认证授权机构处使用认证协议接收认证输入。该认证输入与客户机相关联。该方法还包括提供该认证输入的一个或多个表示,其中这些表示中的每一个都表示该认证输入的一属性。
Description
背景
随着以不断增大的频率使得有价值或敏感的联网资源可以通过计算机网络来访问,存在着对于选择性地控制对包括应用程序、数据、和服务在内的这些资源的联网访问的同等增加的需求。对较不敏感或较少价值的联网资源的访问可以基于登录身份和口令来充分控制。然而,其他联网资源需要由更复杂认证方法和系统所提供的增强保护。例如,希望访问基于web的资源的用户除登录身份和口令之外当前可提供特别发放的web浏览器“cookie”。
然而,当前,没有基于诸如输入的强度、输入的类型、以及对于输入中呈现的用户身份的信任度等认证输入属性来提供对联网资源的区别化访问的成熟的端对端解决方案。认证输入的类型是该输入的性质(例如,口令、生物测定数据、身份证书等)。此外,在其中认证输入是口令的示例中,强度可以指该口令的字符长度。最后,对于认证输入中呈现的用户身份的信任度可以与在其下获得该认证输入的管理规则的严格性相关。
概述
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限定所要求保护的主题的范围。
本文描述了用于基于认证输入属性来实现对联网资源的选择性访问的各种技术的各实施例。在一个实施例中,一种方法包括在认证授权机构处使用认证协议接收认证输入。该认证输入与客户机相关联。该方法还包括提供该认证输入的一个或多个表示,其中这些表示中的每一个都表示该认证输入的一个属性。
在一附加实施例中,该方法还包括在服务器处接收来自客户机的访问请求,该访问请求包括认证输入的一个或多个表示。该方法还包括对照服务器可访问的授权策略来比较该一个或多个表示。如果该一个或多个表示满足授权策略的要求,则该方法还包括准许对资源的访问。
在另一实施例中,一种具有计算机可执行指令的计算机可读介质,该指令在被执行时执行各个动作,这些动作包括在认证授权机构处使用认证协议接收认证输入。该认证输入与客户机相关联。这些动作还包括在认证授权机构处确认认证输入。此外,这些动作包括使用认证协议向客户机返回令牌。该令牌包括从已确认的认证输入创建的表示。
在又一实施例中,一种用于提供对联网资源的选择性访问的系统包括一个或多个处理器。该系统还包括用于存储供该一个或多个处理器执行的多个计算机可执行指令的存储器。该计算机可执行指令包括用于在认证授权机构处使用认证协议接收认证输入。该认证输入与客户机相关联。该计算机可执行指令还包括用于提供该认证输入的一个或多个表示的指令,其中这些表示中的每一个都表示该认证输入的一个属性。
结合附图阅读下面的详细描述,则其他实施例会变得更加显而易见。
附图简述
参考附图来描述详细描述。在附图中,附图标记中最左边的数字标识该附图标记首次出现的附图。在不同的附图中使用相同的附图标记来指示相似或相同的项。
图1是示出在其上实现对联网资源的选择性访问的示例性网络环境的框图。
图2是示出在图1中示出的网络环境上实现的示例性硬件身份证书生成过程的框图。
图3是示出在图1中示出的网络环境上实现的、被配置成提供各个表示的示例性认证服务器的所选组件的框图。
图4是示出在图1中示出的网络环境上实现的、用于向策略证书分配对象标识符的示例性过程的流程图。
图5是在图1中示出的网络环境上实现的、生成存储在身份证书中的发放策略的表示的示例性过程的流程图。
图6是在图1中示出的网络环境上实现的、用于生成表示认证输入的类型属性的表示的示例性过程的流程图。
图7是在图1中示出的网络环境上实现的、生成表示认证输入的类型属性的表示的示例性过程的流程图。
图8是示出在图1中示出的网络环境上实现的、用于使用所生成的表示来访问联网资源的示例性过程的流程图。
图9是示出代表性计算设备的框图。该代表性设备可以是图1中所示的网络环境的一部分。
详细描述
本发明针对便于基于认证输入的各属性的对于联网资源的区别化访问的实施例。具体而言,本文描述的实施例针对提供基于与认证请求相关联的各认证输入属性的各个表示,其中这些表示中的一些可以被包括在令牌中。这些表示可被定制成根据各认证输入属性来提供不同的访问许可。这些表示随后被用来得到对目标服务器上的联网资源的区别化访问。以此方式,本发明的各实施例提供对资源的区别化访问,使得可增强生产力并同时增加对有价值或敏感的联网资源的保护。以下参考图1-9描述基于认证输入的各个属性来便于对联网资源的区别化访问的各个示例。
示例性系统体系结构
图1示出基于用户认证输入来提供联网资源的示例性网络环境100。网络环境100使用户102能够经由客户机终端106向认证服务器104或向多个认证服务器104认证该用户的身份。网络环境100可包括广域网(WAN)、局域网(LAN)等中的至少一个。认证服务器104可以控制对整个网络的访问或控制对网络上的特定域的访问。在各种情况下,认证服务器104可包括域控制器。在一种情况下,域控制器可包括微软WINDOWS
网络的Kerberos密钥分发中心(KDC)。
在一种情况下,用户102可以通过输入登录身份和口令形式的认证输入108来向认证服务器104认证该用户的身份。在其他情况下,用户102可以经由发放给用户102的身份证书来向认证服务器104认证。例如,在一些实施例中,身份证书可以是存储在计算机可读存储介质中的软件数据的形式。在其他实施例中,身份证书可以采取硬件证书的形式,该硬件证书被存储为一种被硬连线成集成电路卡(ICC)(也被称为智能卡)的算法。因此,在其中实现智能卡认证的一些情况下,用户102可以通过向智能卡读卡器110提供智能卡硬件证书以及一个或多个相关联的密码密钥来向认证服务器104认证该用户的身份。智能卡读卡器110交互式地链接到客户机终端106。然而,可以明白,在替换情况下,身份证书和/或一个或多个密码密钥还可以被存储在其他计算机可读介质中,包括闪存驱动器、射频识别(RFID)标签、以及其他便携式数据存储设备。
在其他情况下,用户102还可以使用生物测定(例如,指纹、掌纹、视网膜图案等)形式的认证输入108以及其他类似方法来向认证服务器104认证该用户的身份。此外,用户102可以经由各种认证协议来向认证服务器104认证该用户的身份。这些认证协议可包括NT LAN管理器(NTLM)协议、Kerberos协议、web服务(WS)-安全协议、用于Kerberos中的初始认证的公钥密码(PKINIT)协议、安全套接字层(SSL)协议、以及运输层安全(TLS)协议。
认证服务器104被配置成验证用户102所提供的认证输入108。认证服务器104可以经由有线连接(例如,LAN、WAN)或无线连接(例如,蜂窝、WiFi、超宽带)之一连接到网络环境100的其余部分。认证服务器104进而可生成基于诸如用户102等用户所提供的认证输入的表示112。所生成的表示112中的每一个可以表示认证输入的一个或多个属性。具体而言,所表示的认证输入属性可包括例如输入的强度、输入的类型、以及对于认证输入中呈现的用户身份的信任度。根据各实施例,认证服务器104还可被配置成形成令牌114,其中令牌114中的每一个包括一个或多个所生成的表示112。在一些示例性实施例中,所生成的令牌114包括Kerberos权证授予权证(TGT)。
认证输108的类型是该输入的性质(例如,口令、生物测定数据、身份证书等)。例如,认证输入可以是用户登录和口令的组合、实现在智能卡中的身份证书、或生物测定输入。此外,认证输入108的强度指的是认证输入对篡改或绕过的抗性。通常但当然并非排他地,认证输入108的强度是以定量的方式来测量和比较的。例如,10字符口令可具有比5字符口令更大的强度(熵)。
对于认证输入108中呈现的用户身份的信任度可以与在其下获得认证输入108的管理规则的严格性相关。例如,可以响应于电子邮件证书请求来简单地发放使得能够访问有限联网资源的第一类型的身份证书(认证输入108)。或者,可以仅在强制亲身标识验证之后响应于证书请求来发放使得能够访问更多联网资源的其他类型的数字证书。可以只在广泛的背景检查之后才发放其他类型的身份证书。这些最后类型的身份证书可以允许证书的相应持有者访问联网资源或执行对先前类型的身份证书不准许的其他任务。
在其中网络环境100包括WINDOWS SERVER
网络的一个或多个示例性实施例中,对身份证书中的用户身份的信任度(也被称为保证级别)可以由发放策略来定义。换言之,发放策略是被实现来发放身份证书的一个或多个管理规则。在一个实现中,发放策略可以存储在策略服务器116上。因此,认证服务器可被配置成访问策略服务器116以检索发放策略。然而,可以明白,在其他实施例中,发放策略中的至少一些可以直接存储在认证服务器104上。参考图2进一步解释发放策略以及发放策略与所发放的特定身份证书的关联。
图2是根据基于认证输入属性的选择性授权的至少一个实施例的、示出用于发放具有不同保证级别的身份证书的示例性身份证书生成过程200的框图。生成过程200可以在用户102向可信方206提供证书请求连同用户标识204时启动。用户标识204可以是用来验证用户102的身份的任何文档或特征。例如,用户标识204可以是政府发放的照片标识、雇主发放的标识、预先存储的生物测定特征、或其他类似的文档或特征。可信方206是第三方,该第三便于在双方都信任该第三方的两方(例如,用户102和第二方)之间进行交互。在这种情况下,第二方是认证服务器104(图1)所控制的网络环境100。
可信方206还可以指证书授权机构(CA)。在各种情况下,可信方206可以通过预先建立的管理规则或发放策略来处理每一证书请求。换言之,发放策略规定标识证书授权机构(CA)在发放特定类型的身份证书之前执行的标识验证过程。在一些实施例中,发放策略所规定的标识验证过程可以取决于用户102的性质和/或证书的预期用途。
因此,可信方206可以在不证明标识的情况下发放一些类型的身份证书。然而,其他类型身份证书可由可信方204在用户102满足所需证明要求后发放。例如,发放策略可以规定可信方206只在亲身标识验证会议之后才发放第一类型的身份证书,在该会议中雇员提供用户标识文档,如用户标识204。该第一类型的证书使得雇员能够访问敏感的、雇主所拥有的联网资源。然而,发放策略可以规定可以响应于电子邮件请求而无需附加安全要求来发放第二类型的证书,因为第二类型的证书只允许客户对购买网站的受限访问。
所发放的身份证书可以存储与在其下发放该证书的发放策略有关的信息。例如,在其中网络环境100(图1)是WINDOWS SERVER
网络环境的情况下,WINDOWS SERVER
网络环境可包括四个预定义的发放策略:(1)所有发放;(2)低保证;(3)中等保证;以及(4)高保证。四个发放策略中的每一个在身份证书中由在证书授权机构(CA)处定义的对应的对象标识符(OID)来表示。对象标识符(OID)随后被包括在相应的发放证书中。因此,在用户102呈现身份证书时,可检查该身份证书以验证发放策略并确定该级别的发放策略是否足以执行所请求的动作。
根据各实施例,“所有发放”策略包含所有其他发放策略。“所有保证”策略可以由对象标识符(OID)“2.5.29.32.0”来表示。“低保证”策略准许在没有安全要求的情况下发放证书。“低保证”策略可以在身份证书中由对象标识符(OID)“1.3.6.1.4.1.311.21.8.x.y.z.1.400”表示,其中该对象标识符的x.y.z部分是对每一WINDOWS SERVER森林唯一的随机生成的数字序列。
此外,“中等保证”对象标识符(OID)可以表示具有用于发放的附加安全要求的身份证书。例如,在与智能卡发放者(可信方206)的面对面会议中发放的智能卡证书可被认为是“中等保证”证书并包含中等保证对象标识符。示例性“中等保证”对象标识符(OID)是“1.3.6.1.4.1.311.21.8.x.y.z.1.401”,其中该对象标识符的x.y.z部分是对WINDOWS SERVER
森林唯一的随机生成的数字序列。
另外,“高保证对象标识符”被用来表示在最高安全情况下发放的证书。例如,密钥恢复代理证书的发放需要附加背景检查和来自指定批准者的数字签名。这是由于持有这一证书的用户102能够从WINDOWSSERVER
网络恢复私钥材料的事实。示例性“高保证”对象标识符(OID)是“1.3.6.1.4.1.311.21.8.x.y.z.1.402”,其中该对象标识符的x.y.z部分是对WINDOWS SERVER
森林唯一的随机生成的数字序列。
然而,还可以明白,可以创建其他对象标识符(OID)来表示自定义发放策略。例如,买家/卖家关系中涉及的两个组织可以定义表示特定购买量的身份证书的自定义对象标识符(OID)。应用程序随后可以使用这些对象标识符(OID)来识别买家是否具有用于特定量购买的适当签字权。
尽管一些身份证书208可以是存储在计算机可读存储介质中的软件数据的形式,但其他身份证书208可以采取被硬连线成集成电路卡(ICC)(也被称为智能卡)的硬件证书的形式。这些卡由证书存储介质210表示。如以下进一步描述地,身份证书208还可作为认证输入被提交给认证服务器104,以便生成一个或多个对应的表示。
返回图1,认证服务器104可生成基于诸如用户102等用户所提供的认证输入108的表示112。所生成的表示112表示认证输入的一个或多个属性。具体而言,所表示的认证输入属性可包括认证输入108的强度、认证输入108的类型、以及对于认证输入108中呈现的用户身份的信任度。对应的表示112可以是对象标识符(OID)、全局唯一标识符(GUID)、安全标识符(SID)、或强表示的形式。根据一些实施例,对应表示112是使用抽象句法表示法.1(ASN.1)、可扩展标记语言(XML)、或可扩展权限标记语言(XrML)之一来格式化的。
在其中认证输入是身份证书的实施例中,认证服务器104可以修改身份证书来将表示112存储在所生成的令牌114中。在其中所生成的令牌114是Kerberos权证授予权证(TGT)的实施例中,认证服务器104可以将表示112作为(TGT)的特权属性证书(PAC)的一部分来存储。此外,认证服务器104可以将Kerberos TGT转发到用户102计划访问的服务器,如目标服务器118。目标服务器118可以是基于Windows
操作系统的目标服务器。然而,还可以明白,在附加实施例中,表示112还能存储在其他形式的令牌114中,包括授权令牌、服务令牌、或安全断言标记语言(SAML)令牌。
继续参考图1,用户102可以使用可包括在令牌114中的一个或多个所生成的表示112来访问目标服务器118上的一个或多个联网资源。在一种情况下,用户102可以向目标服务器118提交资源访问请求120连同一个或多个表示112。如本文描述地,网络资源是计算环境中的一个或多个计算设备提供的任何资源。例如,联网资源可包括操作系统、邮件服务器、文件存储、web服务器、网关服务器、应用程序、消息收发应用程序、协作应用程序、日历应用程序、打印服务、以及基本上任何其他类型的计算数据、设备、或服务。例如,联网资源可以是存储在目标服务器118上的任何应用程序、数据、或服务。
目标服务器118进而使用授权策略来确认一个或多个表示112。如上所述,表示112可以包括在令牌114中。在各实施例中,目标服务器118可以对照存储在服务器内的授权策略来比较这些表示。或者,目标服务器118可以对照目标服务器118从策略服务器116访问的授权策略来确认表示112。
在一个实施例中,如果一个或多个表示112指示用户102被准许访问一个或多个所需联网资源和/或在目标服务器118上执行特定任务,则给予用户102执行这些任务的权限和/或向其准许对这些联网资源的访问。另一方面,如果表示112不准许用户102访问所需联网资源,则向用户拒绝权限和/或访问。目标服务器118可经由客户机终端106将访问/许可决定(即,访问/许可的准许或拒绝)中继给用户102。
图3示出示例性认证服务器104的所选组件。示例性认证服务器104可包括由诸如在图9中描述的计算环境900等计算设备执行的计算机程序指令。程序指令或模块可包括执行特定的任务或实现特定的抽象数据类型的例程、程序、对象、组件和数据结构。认证服务器104的所选组件可包括发放策略模块302、强度分析模块304、方法分析模块306、特权生成器模块308、以及目录服务模块310。在一个实施例中,目录服务模块310可包括被配置成在Windows环境中经由组策略来提供认证和授权服务的活动目录。然而,可以明白,也可使用其他目录服务来提供基于策略的认证和授权服务。本领域普通技术人员还可明白,示例性认证服务器104可包括向用户或其他系统提供认证服务的其他组件。
发放策略模块302被配置成从作为身份证书的认证输入中提取发放策略对象标识符。每一发放策略对象标识符(OID)表示在其下发放身份证书的发放策略或保证级别。此外,发放策略分析器302可以将发放策略对象标识符(OID)传送到特权生成器模块308。特权生成器模块308进而可生成一个或多个表示,如在图1中描述的表示112。具体而言,如以下进一步描述地,特权生成器模块308可以访问目录服务模块310来提供对应于每一发放策略对象标识符308的表示。在一些实施例中,特权生成器模块308可将一个或多个表示存储在令牌中,如在图1中进一步描述的令牌114。例如,在其中表示是安全标识符(SID)的形式的实施例中,特权生成器模块308可以构建Kerberos权证授予权证(TGT),该Kerberos权证授予权证可在该TGT的特权属性证书(PAC)中包括安全标识符(SID)。
强度分析模块304被配置成从认证输入提取强度属性。如上所述,认证输入的属性可被定义成认证输入对篡改或绕过的抗性。通常,这一抗性可以基于认证输入的置换或密码复杂度。强度分析模块304还可被配置成将认证输入的强度属性传递到特权生成器模块308。例如,强度分析模块304可以将口令的字符长度提供给特权生成器模块308。在另一情况下,强度分析模块304可识别身份证书的编码类型并将其提供给特权生成器308。特权生成器模块308进而可访问可存储与强度属性相对应的特定表示的目录服务模块310以检索适当的表示。
方法分析模块306被配置成标识认证输入的类型属性。如上所述,认证输入的类型是该输入的性质(例如,口令、生物测定数据、身份证书等)。类型分析模块306还可被配置成将认证输入的类型属性传递到特权生成器模块308。例如,类型分析模块306可以通知特权生成器模块308第一认证输入具有口令的类型属性,第二认证输入具有指纹扫描的类型属性,等等。特权生成器模块308进而可访问可存储与每一类型属性相对应的表示的目录服务模块310以检索与各个类型属性相对应的表示。
可以明白,尽管提供组策略的目录服务模块310被描述为认证服务器104的一部分,但目录服务模块310可以位于其他远程位置。例如,目录服务模块310可以位于联网的策略服务器116中,如参考示例性网络环境100所描述的。
示例性过程
图4-8示出便于实现对联网资源的区别化访问的示例性过程。图4-8中的示例性过程被示为逻辑流程图中的框的集合,其表示可以用硬件、软件、或其组合来实现的操作的序列。在软件的上下文中,各个框表示当由一个或多个处理器执行时完成所述操作的计算机可执行指令。一般而言,计算机可执行指令包括执行特定功能或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。描述操作的次序并不旨在被解释为限制,并且任何数量的所述框可以按任何次序和/或并行地组合以实现该过程。出于讨论的目的,参考图1的示例性网络环境100来描述这些过程,但它们可在其他系统体系结构中实现。
图4是示出用于向策略证书分配对象标识符的示例性过程400的框图。该示例性过程可以针对被用于WINDOWS SERVER
网络中的区别化访问的身份证书来实现。在判定框402,根据发放策略响应于请求来发放身份证书。在身份证书的发放期间,诸如可信方202等证书授权机构(CA)可以确定发放策略的发放策略对象标识符(OID)是否存在。在一个实施例中,证书授权机构(CA)可以通过搜索诸如目录服务模块310等活动目录来针对与发放策略相对应的预先生成的对象标识符(OID)作出这一判定。
如果在判定框402,证书授权机构(CA)确定发放策略不存在(判定框402的“否”),则该过程可前进至框404。在框404,证书授权机构(CA)可为该发放策略创建对象标识符(OID)。在框404,证书授权机构(CA)可将对象标识符(OID)存储在活动目录中。或者,如果确定发放策略的对象标识符(OID)确实存在,则过程400前进至框406。在框406,证书授权机构(CA)可以从活动目录中选择发放策略的适当对象标识符(OID)并将其包括在身份证书中。将发放策略对象标识符(OID)包括在所发放的证书中指示该证书满足与该发放策略相关联的发放要求。
在框408,证书授权机构(CA)可以确定包括在身份证书中的对象标识符(OID)是否被映射到特定身份组。换言之,证书授权机构(CA)可以确定对象标识符(OID)是否是一身份组的成员。根据各实施例,每一身份组可以由定义其成员关系的组策略来管控。在一个实施例中,组策略存储在策略服务器116中。组策略可以就用于访问联网资源以及执行任务的安全策略来控制组成员,这些任务包括审计、软件安装、登录/注销脚本、文件夹重定向、以及其他任务。
因此,如果证书授权机构(CA)确定对象标识符(OID)未被映射到身份组(在判定框408的“否”),过程400可前进至框410。在框410,证书授权机构(CA)可在活动目录中为对象标识符创建新身份组。然而,如果确定对象标识符(OID)已经被映射到身份组(在判定框408的“是”),则在框412,证书授权机构(CA)可以从活动目录中检索对象标识符(OID)的现有身份组信息。在框414,证书授权机构(CA)可以将组的标识作为属性添加到发放策略的对象标识符。因此,在一个实施例中,具有等同对象标识符(OID)的身份证书可以提供对相同联网资源的访问和执行相同任务的能力。
在判定框416,证书授权机构(CA)可以确定附加发放策略是否被应用于该身份证书。这种情况可以例如在身份证书在一个或多个发放策略下发放时发生。例如,身份证书可以旨在用于由不同的发放策略管控的多个目的。因此,如果证书授权机构(CA)确定附加策略被应用于身份证书(在判定框416的“是”),过程400可以循环回框402,其中执行对象标识符到发放策略的分配。然而,如果证书授权机构(CA)确定没有应用附加发放策略(在判定框416的“否”),则过程400可在框418终止。
图5是示出为身份证书、以表示的形式生成关于发放策略的信息的示例性过程500的框图,其中该身份证书是在该发放策略下发放的。该示例性过程可以针对被用于WINDOWS SERVER
网络中的区别化访问的身份证书来实现。
在框502,用户102可以使用包括身份证书的认证输入来启动认证过程。例如,用户102可以提交认证输入以访问目标服务器118上的联网资源。身份证书可以是软件证书或硬件证书。认证输入可以由认证服务器104接收。在框504,认证服务器104可以处理身份证书以提取发放策略对象标识符(OID)。在判定框506,认证服务器104可以确定是否已经提取了发放策略对象标识符(OID)。如果未提取发放策略对象,如由于身份证书未在任何已知发放策略下发放的事实,(在判定框506的“否”),则在框508,认证服务器104可以分配默认阈相关安全标识符(SID)。在一个实现中,默认安全标识符(SID)指示对于经由身份证书呈现的用户身份的默认信任级别。这一默认信任级别可以是最低信任级别。例如,与其他信任级别相比,这一最低信任级别可以提供对网络资源或任务的相当少的访问。
然而,如果成功提取了发放策略对象标识符(OID)(在判定框504的“是”),则在框508,认证服务器104可以将对应的组安全标识符(SID)分配给发放策略对象标识符(OID)。根据各个示例,认证服务器104可以使用多种机制来分配组安全标识符(SID)。这些机制包括创建将发放策略标识符(OID)与活动目录中的预定义的安全标识符(SID)相关联的静态列表映射。此外,预定义安全标识符(SID)可以通过使用发放策略对象标识符(OID)作为该安全标识符(SID)的种子值来创建。安全标识符(SID)中的每一个进而可被映射到特定组。安全标识符(SID)的这一映射与在图4中描述的对象标识符(OID)的映射相类似。
因此,在各种情况下,每一组安全标识符(SID)可以由组策略来管控。在一个实施例中,组策略存储在策略服务器116中。组策略可以使目标服务器118能够基于安全标识符(SID)来控制对其联网资源的访问以及控制执行任务,这些任务包括审计、软件安装、登录/注销脚本、文件夹重定向、以及其他任务。例如,组策略可以规定只有在安全标识符(OID)指示身份证书与高保证级别相关联才准许对特定网络资源的访问。
在判定框510,认证服务器104可以确定身份证书的附加发放策略对象标识符(OID)是否存在。如果认证服务器104确定附加发放策略对象标识符(OID)存在(在判定框510的“是”),则过程500可以循环回框508。在返回到框508后,另一组策略安全标识符(SID)可被分配给附加发放策略对象标识符(OID)。然而,如果认证服务器104确定没有附加发放策略对象标识符被分配给身份证书,则过程500可直接前进至框512。
在框512,认证服务器104可以用一个或多个所分配的安全标识符(SID)来构建令牌,如图1中描述的令牌114。在一个实施例中,认证服务器104可以创建包括所分配的安全标识符(SID)连同相关联的身份证书的令牌。例如,认证服务器104可以构建Kerberos权证授予权证(TGT)形式的、在该TGT的特权属性证书(PAC)中包括安全标识符(SID)的令牌。
图6是示出用于生成表示认证输入的类型属性的表示的示例性过程600的框图。在框602,用户102可以使用认证输入来启动认证过程。例如,用户102可以提交认证输入以访问目标服务器118上的联网资源。认证输入可以由认证服务器104接收。
在框604,认证服务器104可以处理认证输入,确定该认证输入的类型属性。在判定框606,认证服务器104可以确定认证输入的类型属性是否相关,即是否能够被映射到存储在活动目录中的预定义的安全标识符(SID)。根据各实施例,安全标识符(SID)与认证输入类型属性之间的相关可以使用多种机制来预定义。这些机制包括创建将认证输入类型与驻留在活动目录中的预定义的安全标识符(SID)相关联的静态列表映射。安全标识符(SID)中的每一个进而可被映射到特定组。安全标识符(SID)的这一映射与在图4中描述的对象标识符(OID)的映射相类似。
因此,在各种情况下,每一组安全标识符(SID)可以由组策略来管控。在一个实施例中,组策略存储在策略服务器116中。组策略可以使目标服务器118能够基于安全标识符(SID)来控制用于对其联网资源进行访问的安全策略以及控制执行任务,这些任务包括审计、软件安装、登录/注销脚本、文件夹重定向、以及其他任务。例如,类型属性的组策略可以规定在安全标识符(SID)指示认证输入是生物测定输入的情况下准许对特定网络资源的访问,而在认证输入不是生物测定输入的情况下不准许访问。
返回到图6,如果认证服务器104确定认证输入类型不与预定义的安全标识符(SID)相关联,(判定606的“否”),则过程600可前进至框608。在框608,认证服务器104可以将默认安全标识符(SID)分配给类型属性。默认安全标识符(SID)可以指示与认证输入类型相关联的默认信任级别。例如,与其他信任级别相比,这一最低信任级别可以提供对网络资源或任务的相当少的访问。
然而,如果认证服务器104确定认证输入类型与活动目录中的预定义的安全标识符(SID)相关联,(判定606的“是”),则过程600可前进至框610。在框610,可以从活动目录检索与认证输入类型相对应的安全标识符(SID)并将其分配给类型属性。在框612,认证服务器104可以用一个或多个所分配的安全标识符(SID)来构建令牌,如图1中描述的令牌114。
图7是示出生成表示认证输入的类型属性的表示的示例性过程700的框图。在框702,用户102可以使用认证输入来启动认证过程。例如,用户102可以提交认证输入以访问目标服务器118上的联网资源。认证输入可以由认证服务器104接收。
在框704,认证服务器104可以处理认证输入,确定该认证输入的强度属性。在判定框706,认证服务器104可以确定认证输入的强度属性是否被映射,即是否关联于存储在活动目录中的预定义的安全标识符(SID)。根据各实施例,安全标识符(SID)与认证输入强度属性之间的相关可以使用多种机制来预定义。这些机制包括创建将认证输入类型与驻留在活动目录中的预定义的安全标识符(SID)相关联的静态列表映射。安全标识符(SID)中的每一个进而可被映射到特定组。安全标识符(SID)的这一映射与在图4中描述的对象标识符(OID)的映射相类似。
因此,在各种情况下,每一组安全标识符(SID)可以由组策略来管控。在一个实施例中,组策略存储在策略服务器116中。组策略可以使目标服务器118能够基于安全标识符(SID)来控制用于对其联网资源进行访问的安全策略以及控制执行任务,这些任务包括审计、软件安装、登录/注销脚本、文件夹重定向、以及其他任务。例如,强度属性的组策略可以规定在安全标识符(SID)指示认证输入是10字符长度的口令的情况下准许对特定网络资源的访问,而在认证输入是小于10字符长度的口令的情况下不准许访问。
返回到图7,如果认证服务器104确定认证输入强度属性不能够与预定义的安全标识符(SID)相关联,(判定706的“否”),则过程700可前进至框708。在框708,认证服务器104可以将默认安全标识符分配给安全标识符(SID)。默认安全标识符(SID)可以指示与认证输入强度相关联的默认信任级别。例如,与其他信任级别相比,这一最低信任级别可以提供对网络资源或任务的相当少的访问。
然而,如果认证服务器104确定认证输入强度属性能够与活动目录中的预定义的安全标识符(SID)相关联,(判定706的“是”),则过程700可前进至框708。在框708,可以从活动目录检索与认证输入强度属性相对应的安全标识符(SID)并将其分配给强度属性。
在框710,认证服务器104可以用一个或多个所分配的安全标识符(SID)来构建令牌,如图1中描述的令牌114。换言之,安全标识符(SID)与身份证书相关联。在一个实施例中,认证服务器104可以修改身份证书以存储包括所分配的安全标识符(SID)的令牌。
可以明白,在图5-7中描述的各安全标识符(SID)还可以被称为表示,如在图1中描述的表示112。这些表示可以使得诸如用户102等用户能够在诸如目标服务器118等目标服务器上访问一个或多个所需联网资源和/或执行特定任务。例如,服务器管理员可以配置将诸如目标服务器118等服务器上的网络资源与反映同身份证书相关联的保证级别的各安全标识符(SID)相关的一个或多个访问控制设置。
此外,在替换实施例中,除安全标识符(SID)之外,可以从其他形式的数据表示中构建表示。在这些实施例中,这些表示还可以由对象标识符(OID)、全局唯一标识符(GUID)、或强表示来表示。
尽管每一认证属性(例如,发放策略、强度、以及类型)被描述为由单独的组策略来管控。可以明白,在其他实施例中,各策略集合可以经由逻辑运算符来组合以基于多个认证输入属性来确定对联网资源的访问的许可性和/或在目标服务器上的任务的执行。例如,多个策略可以经由逻辑运算符函数来组合,以使得目标服务器上的联网资源只在认证输入是身份证书并且存储在该身份证书中的安全标识符指示其在至少中等保证的发放策略下发放的情况下才可被访问。
图8是示出用于使用所生成的、可被包括在令牌中的表示以访问联网资源的示例性过程800的框图。所生成的表示可包括表示112,并且令牌可包括令牌114。在框802,诸如目标服务器118等目标服务器可以从诸如用户102等用户接收包括认证输入的资源访问请求。在一个实施例中,这些认证输入是经由认证协议传输的,认证协议包括NT LAN管理器(NTLM)协议、Kerberos协议、web服务(WS)-安全协议、用于Kerberos中的初始认证的公钥密码(PKINIT)协议、安全套接字层(SSL)协议、或运输层安全(TLS)协议之一。在一个实施例中,用户102可以经由客户机终端106提交资源访问请求,如在图1中所示。如本文所使用地,资源访问请求指的是访问目标服务器上的一个或多个联网资源的请求和/或在诸如目标服务器上的118等目标服务器上执行一个或多个任务的请求。
如上所述,认证输入包括口令、生物测定特征、以及身份证书中的至少一个。然而,可以明白,还可以从用户接收其他形式的身份确认数据,假如该身份确认数据包括诸如类型和强度等属性或包含与在其下向用户分配身份确认数据的发放策略有关的一些信息。
在其中认证输入是身份证书的实施例中,目标服务器上的118可以获得存储在该证书中的认证输入属性。在其他情况下,目标服务器118可以向认证服务器104请求认证输入的属性。认证服务器104进而可将认证输入的一个或多个属性转发到目标服务器118。
在替换实施例中,用户102可以通过向中间层服务器提供认证输入来登录。在一个实施例中,中间层服务器是驻留在诸如客户机终端106等用户客户机终端与诸如目标服务器118等数据管理服务器之间的服务器。中间层服务器可被配置成将认证输入转发到目标服务器。对认证输入的转发可以使用各种机制来执行,包括Kerberos委托和用于用户到代理的服务(S4U2代理)。在这些情况下,诸如发放策略信息等认证输入的属性也可以从中间层服务器转发到目标服务器。
在框804,目标服务器118可以获得包括用于认证输入的各属性的组策略的本地授权策略。在一个实施例中,授权策略中的组策略可以用抽象句法表示法.1(ASN.1)、可扩展标记语言(XML)、或可扩展权限标记语言(XrML)之一来格式化。认证输入属性包括在其下发放身份证书的发放策略以及认证输入的强度和类型。组策略管控目标服务器118上的联网资源访问以及控制目标服务器118上的执行任务,这些任务包括审计、软件安装、登录/注销脚本、文件夹重定向、以及其他任务。在一个实施例中,本地授权策略存储在目标服务器118的活动目录中。
在框806,目标服务器118可以使用认证策略来确认认证输入。根据各实施例,该确认可以由目标服务器118上的应用程序、操作系统、资源管理器、或授权系统之一来执行。具体而言,目标服务器118可以获得表示对应的认证输入属性的一个或多个表示。该一个或多个表示可以存储在令牌中。此外,目标服务器118可以将这些表示与一个或多个组策略相比较以确定用户102可访问的联网资源和任务的列表。该一个或多个组策略存储在目标服务器118上或另选地存储在策略服务器116上。在框808,目标服务器118可以确定用户102对资源(例如,网络资源和/或任务)的访问的许可性。具体而言,目标服务器118可以将资源访问请求中的特定联网资源和任务与可访问的联网资源和任务的列表进行比较。由此,作出关于用户是否可访问该资源的判定。
在框810,将目标服务器118关于对资源的访问的许可性的判定通知给用户102。根据各实施例,目标服务器102可被配置成在诸如用户102所使用的客户机终端等远程终端的用户界面上呈现通知。
示例性计算环境
图9示出可被用来实现本文描述的选择性联网资源访问技术和机制的代表性计算设备900。例如,认证服务器104(图1)可以在代表性计算设备900上实现。然而,可以容易地明白,可在其他计算设备、系统和环境中实现该选择性联网资源技术和机制的各实施例。图9所示的计算设备900所示的计算设备只是计算设备的一个示例,且并非旨在对计算机和网络体系结构的使用范围或功能提出任何限制。计算设备900也不应被解释成对于在该示例计算设备中所示出的任一组件或其组合有任何依赖或要求。
在一非常基本的配置中,计算设备900通常包括至少一个处理单元902和系统存储器904。取决于计算设备的确切配置和类型,系统存储器904可以是易失性的(诸如RAM)、非易失性的(诸如ROM、闪存等)或是两者的某种组合。系统存储器904通常包括操作系统906、一个或多个程序模块908,并且可包括程序数据910。操作系统906包括基于组件的框架912,其支持组件(包括属性和事件)、对象、继承、多态性、反射,并且提供面向对象的基于组件的应用程序编程接口(API),诸如但决不限于由华盛顿州雷蒙德市的微软公司制造的.NETTM框架的API。设备900具有由虚线914划分的非常基本的配置。同样,一终端可具有更少的组件,但将与可具有这一基本配置的计算设备交互。
计算设备900还可具有附加特征或功能。例如,计算设备900还可包括附加数据存储设备(可移动和/或不可移动),诸如,例如磁盘、光盘或磁带。这样的附加存储在图9中由可移动存储916和不可移动存储918例示。计算机存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。系统存储器904、可移动存储916和不可移动存储918都是计算机存储介质的示例。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁带盒、磁带、磁盘存储或其他磁性存储设备、或能用于存储所需信息且可以由计算设备900访问的任何其他介质。任何这样的计算机存储介质都可以是设备900的一部分。计算设备900还可具有诸如键盘、鼠标、笔、话音输入设备、触摸输入设备等输入设备920。还可包括诸如显示器、扬声器、打印机等输出设备922。这些设备在本领域是公知的,因此不在此详细讨论。
计算设备900还可包含允许该设备诸如通过网络来与其他计算设备926进行通信的通信连接924。这些网络可包括有线网络以及无线网络。通信连接924是通信介质的一个示例。通信介质通常可以具体化为计算机可读指令、数据结构、程序模块等。
可以理解,计算设备900只是合适的设备的一个示例,并不旨在对所述各实施例的使用范围或功能提出任何限制。适用于各实施例的其他公知的计算设备、系统、环境和/或配置包括但不限于,个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、游戏控制台、可编程消费者电子产品、网络PC、小型计算机、大型计算机、包括上述系统或设备中的任一个的分布式计算机环境等。
提供基于认证输入的属性的对联网资源的区别化访问可以增强安全性。这一增强的安全性对保护高端、有价值、昂贵、或敏感资源、应用程序、或数据而言尤其重要。因此,根据本发明的各实施例可以用来确保只有预期授权并且被正确认证的示图才能访问这些资源。
结论
总而言之,尽管用对结构特征和/或方法动作专用的语言描述了各实施例,但可以理解,所附权利要求书中定义的主题不必限于所述具体特征或动作。相反,这些具体特征和动作是作为实现权利要求的所要求保护的主题的示例性形式而公开的。
Claims (20)
1.一种方法,包括:
在认证授权机构处使用认证协议接收认证输入,所述认证输入与客户机相关联(502、602、702);以及
提供所述认证输入的一个或多个表示,所述表示中的每一个都表示所述认证输入的一属性(512、612、712)。
2.如权利要求1所述的方法,其特征在于,还包括:
在服务器处从客户机接收访问请求(802),所述访问请求包括所述认证输入的所述一个或多个表示;
对照所述服务器可以访问的授权策略来比较所述一个或多个表示(806);以及
如果所述一个或多个表示满足所述授权策略的要求,则准许对资源的访问(808)。
3.如权利要求1所述的方法,其特征在于,还包括使用所述认证协议将令牌返回所述客户机,所述令牌包括从经确认的认证输入创建的所述一个或多个表示,其中接收访问请求包括接收包括所述一个或多个表示的令牌。
4.如权利要求3所述的方法,其特征在于,所述认证授权机构包括基于Windows的网络中的Kerberos密钥分发中心(KDC),并且所述令牌包括Kerberos权证授予权证(TCG),并且其中所述表示被包含在所述KerberosTGT的特权属性证书(PAC)中。
5.如权利要求1所述的方法,其特征在于,所述认证输入包括强度属性、类型属性、以及类型属性中的至少一个。
6.如权利要求2所述的方法,其特征在于,还包括将准许对所述资源的访问通知给所述客户机(810)。
7.如权利要求2所述的方法,其特征在于,所述授权策略基于各个表示来提供不同的访问级别,并且其中准许对服务器的访问包括基于所述一个或多个表示所表示的一个或多个属性来授予特定访问级别。
8.如权利要求5所述的方法,其特征在于,所述认证输入包括口令、硬件身份证书、或软件身份证书中的至少一个,并且其中所述类型属性被配置成将所述认证输入标识为包括口令、基于硬件的输入、或基于软件的输入中的至少一个。
9.如权利要求5所述的方法,其特征在于,所述强度属性被配置成标识口令的置换复杂度或身份证书的密码复杂度之一。
10.如权利要求5所述的方法,其特征在于,所述类型属性被配置成将所述认证输入标识为是通过面对面请求、本地网络请求、或远程网络请求之一获得的。
11.如权利要求2所述的方法,其特征在于,所述授权策略存储在本地位置或联网远程位置之一中。
12.如权利要求2所述的方法,其特征在于,所述服务器是基于Windows的服务器,并且所述本地位置是位于所述基于Windows的服务器上的活动目录。
13.如权利要求2所述的方法,其特征在于,所述资源是资源服务器上的操作系统、应用程序、或服务之一。
14.如权利要求2所述的方法,其特征在于,比较所述一个或多个表示包括使用应用程序、操作系统、资源管理器、或授权系统中的至少一个来对照授权策略比较所述一个或多个表示。
15.如权利要求2所述的方法,其特征在于,所述表示与所述授权策略中的至少一个是用抽象句法表示法.1(ASN.1)、可扩展标记语言(XML)、或可扩展权限标记语言(XrML)之一来格式化的。
16.一种方法,包括:
在认证授权机构处使用认证协议接收认证输入,所述认证输入与客户机相关联(502、602、702);以及
使用所述认证协议将令牌返回所述客户机,所述令牌包括一个或多个表示,其中每一声明都表示所述认证输入的一属性(512、612、712)。
17.如权利要求16所述的方法,其特征在于,所述表示包括由对象标识符(OID)、全局唯一标识符(GUID)、安全标识符(SID)、以及强表示之一所表示的表示。
18.如权利要求16所述的方法,其特征在于,所述令牌包括授权令牌、服务令牌、或安全断言标记语言(SAML)令牌。
19.如权利要求16所述的方法,其特征在于,所述认证协议是NTLAN管理器(NTLM)协议、Kerberos协议、web服务(WS)-安全协议、用于Kerberos中的初始认证的公钥密码(PKINIT)协议、安全套接字层(SSL)协议、以及运输层安全(TLS)协议之一。
20.一种系统,所述系统包括:
用于分析认证输入的第一组件(304、306),其中所述认证输入与客户机相关联;以及
用于提供所述认证输入的一个或多个表示的第二组件(308),其中所述表示中的每一个都表示所述认证输入的一属性。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/969,456 | 2008-01-04 | ||
| US11/969,456 US8621561B2 (en) | 2008-01-04 | 2008-01-04 | Selective authorization based on authentication input attributes |
| PCT/US2008/086047 WO2009088615A2 (en) | 2008-01-04 | 2008-12-09 | Selective authorization based on authentication input attributes |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101911585A true CN101911585A (zh) | 2010-12-08 |
| CN101911585B CN101911585B (zh) | 2014-08-13 |
Family
ID=40845671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880124249.6A Active CN101911585B (zh) | 2008-01-04 | 2008-12-09 | 基于认证输入属性的选择性授权 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8621561B2 (zh) |
| EP (1) | EP2238711B1 (zh) |
| CN (1) | CN101911585B (zh) |
| WO (1) | WO2009088615A2 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025748A (zh) * | 2011-01-04 | 2011-04-20 | 深信服网络科技(深圳)有限公司 | 获取Kerberos认证方式的用户名的方法、装置和系统 |
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN103685244A (zh) * | 2013-11-28 | 2014-03-26 | 深圳大学 | 一种差异化认证方法及装置 |
| CN104247483A (zh) * | 2012-02-01 | 2014-12-24 | 高通股份有限公司 | 用于由移动实体进行空白空间操作的方法和装置 |
| CN104573418A (zh) * | 2013-10-25 | 2015-04-29 | 国际商业机器公司 | 用于授权计算机系统内的改变的方法和系统 |
| CN105743845A (zh) * | 2014-12-08 | 2016-07-06 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN106161462A (zh) * | 2016-08-29 | 2016-11-23 | 无锡华云数据技术服务有限公司 | 一种网络安全认证方法 |
| CN106375340A (zh) * | 2016-10-11 | 2017-02-01 | 北京元心科技有限公司 | 提高证书验证安全性的方法和系统 |
Families Citing this family (90)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
| US8621561B2 (en) | 2008-01-04 | 2013-12-31 | Microsoft Corporation | Selective authorization based on authentication input attributes |
| US20100106963A1 (en) * | 2008-04-22 | 2010-04-29 | Barclays Capital Inc. | System and method for secure remote computer task automation |
| US9973491B2 (en) * | 2008-05-16 | 2018-05-15 | Oracle International Corporation | Determining an identity of a third-party user in an SAML implementation of a web-service |
| US10146926B2 (en) * | 2008-07-18 | 2018-12-04 | Microsoft Technology Licensing, Llc | Differentiated authentication for compartmentalized computing resources |
| US20100138916A1 (en) * | 2008-12-02 | 2010-06-03 | Price Iii William F | Apparatus and Method for Secure Administrator Access to Networked Machines |
| US20100154024A1 (en) * | 2008-12-12 | 2010-06-17 | At&T Intellectual Property I, L.P. | Methods, appliances, and computer program products for controlling access to a communication network based on policy information |
| DE102009027682A1 (de) * | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Soft-Tokens |
| US8875285B2 (en) * | 2010-03-24 | 2014-10-28 | Microsoft Corporation | Executable code validation in a web browser |
| US8949939B2 (en) * | 2010-10-13 | 2015-02-03 | Salesforce.Com, Inc. | Methods and systems for provisioning access to customer organization data in a multi-tenant system |
| US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
| US9258312B1 (en) | 2010-12-06 | 2016-02-09 | Amazon Technologies, Inc. | Distributed policy enforcement with verification mode |
| US9396327B2 (en) * | 2011-05-16 | 2016-07-19 | D2L Corporation | Systems and methods for security verification in electronic learning systems and other systems |
| CN102333070A (zh) * | 2011-05-26 | 2012-01-25 | 杭州华三通信技术有限公司 | 一种信息的获取方法和设备 |
| US8769642B1 (en) * | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
| US8973108B1 (en) | 2011-05-31 | 2015-03-03 | Amazon Technologies, Inc. | Use of metadata for computing resource access |
| US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
| US9495533B2 (en) * | 2011-09-29 | 2016-11-15 | Oracle International Corporation | Mobile application, identity relationship management |
| US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
| US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
| US9137234B2 (en) * | 2012-03-23 | 2015-09-15 | Cloudpath Networks, Inc. | System and method for providing a certificate based on granted permissions |
| US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
| US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
| US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
| CN103650430B (zh) * | 2012-06-21 | 2016-06-22 | 华为技术有限公司 | 报文处理方法、装置、主机和网络系统 |
| US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
| US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
| US10212158B2 (en) | 2012-06-29 | 2019-02-19 | Apple Inc. | Automatic association of authentication credentials with biometrics |
| US9959539B2 (en) | 2012-06-29 | 2018-05-01 | Apple Inc. | Continual authorization for secured functions |
| US20140006795A1 (en) * | 2012-06-29 | 2014-01-02 | Apple Inc. | Continual Authorization for Secured Functions |
| US9832189B2 (en) | 2012-06-29 | 2017-11-28 | Apple Inc. | Automatic association of authentication credentials with biometrics |
| US9819676B2 (en) | 2012-06-29 | 2017-11-14 | Apple Inc. | Biometric capture for unauthorized user identification |
| US8745718B1 (en) * | 2012-08-20 | 2014-06-03 | Jericho Systems Corporation | Delivery of authentication information to a RESTful service using token validation scheme |
| US9425966B1 (en) * | 2013-03-14 | 2016-08-23 | Amazon Technologies, Inc. | Security mechanism evaluation service |
| US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
| US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
| US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
| US10331866B2 (en) | 2013-09-06 | 2019-06-25 | Apple Inc. | User verification for changing a setting of an electronic device |
| US20150073998A1 (en) | 2013-09-09 | 2015-03-12 | Apple Inc. | Use of a Biometric Image in Online Commerce |
| US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
| US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
| US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
| US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
| US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
| US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
| US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
| US9262642B1 (en) | 2014-01-13 | 2016-02-16 | Amazon Technologies, Inc. | Adaptive client-aware session security as a service |
| US20150220931A1 (en) | 2014-01-31 | 2015-08-06 | Apple Inc. | Use of a Biometric Image for Authorization |
| US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
| US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
| US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
| US9729538B2 (en) * | 2014-09-01 | 2017-08-08 | Microsoft Israel Research And Development (2002) Ltd | System, method and process for detecting advanced and targeted attacks with the recoupling of kerberos authentication and authorization |
| US10021088B2 (en) | 2014-09-30 | 2018-07-10 | Citrix Systems, Inc. | Fast smart card logon |
| US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
| US10812464B2 (en) * | 2015-06-15 | 2020-10-20 | Airwatch Llc | Single sign-on for managed mobile devices |
| US10171447B2 (en) | 2015-06-15 | 2019-01-01 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
| US10944738B2 (en) * | 2015-06-15 | 2021-03-09 | Airwatch, Llc. | Single sign-on for managed mobile devices using kerberos |
| US11057364B2 (en) * | 2015-06-15 | 2021-07-06 | Airwatch Llc | Single sign-on for managed mobile devices |
| US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
| US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
| CN105141585B (zh) * | 2015-07-31 | 2019-04-02 | 深信服网络科技(深圳)有限公司 | 认证的方法及装置 |
| US9509684B1 (en) * | 2015-10-14 | 2016-11-29 | FullArmor Corporation | System and method for resource access with identity impersonation |
| US9450944B1 (en) | 2015-10-14 | 2016-09-20 | FullArmor Corporation | System and method for pass-through authentication |
| US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
| US10609042B2 (en) * | 2016-02-15 | 2020-03-31 | Cisco Technology, Inc. | Digital data asset protection policy using dynamic network attributes |
| US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
| US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
| US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
| US10511589B2 (en) | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
| US10846390B2 (en) | 2016-09-14 | 2020-11-24 | Oracle International Corporation | Single sign-on functionality for a multi-tenant identity and data security management cloud service |
| US10445395B2 (en) | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
| US10484243B2 (en) | 2016-09-16 | 2019-11-19 | Oracle International Corporation | Application management for a multi-tenant identity cloud service |
| CN109565511B (zh) | 2016-09-16 | 2021-06-29 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
| US10904074B2 (en) | 2016-09-17 | 2021-01-26 | Oracle International Corporation | Composite event handler for a multi-tenant identity cloud service |
| JP6765537B2 (ja) * | 2016-12-14 | 2020-10-07 | ピヴォタル・ソフトウェア・インコーポレーテッド | 資格情報の分散型検証 |
| US10454915B2 (en) * | 2017-05-18 | 2019-10-22 | Oracle International Corporation | User authentication using kerberos with identity cloud service |
| US10521581B1 (en) * | 2017-07-14 | 2019-12-31 | EMC IP Holding Company LLC | Web client authentication and authorization |
| US10831789B2 (en) | 2017-09-27 | 2020-11-10 | Oracle International Corporation | Reference attribute query processing for a multi-tenant cloud service |
| US10705823B2 (en) | 2017-09-29 | 2020-07-07 | Oracle International Corporation | Application templates and upgrade framework for a multi-tenant identity cloud service |
| CN107786344B (zh) * | 2017-10-30 | 2020-05-19 | 阿里巴巴集团控股有限公司 | 数字证书申请、使用的实现方法和装置 |
| US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
| US10958640B2 (en) | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
| EP3544255A1 (en) * | 2018-03-23 | 2019-09-25 | ProofShow Inc. | Method and system for issuing proof-equipped certificates for certificate authority |
| US11321187B2 (en) | 2018-10-19 | 2022-05-03 | Oracle International Corporation | Assured lazy rollback for a multi-tenant identity cloud service |
| US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
| US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
| US11027196B2 (en) * | 2019-09-04 | 2021-06-08 | Take-Two Interactive Software, Inc. | System and method for managing transactions in a multiplayer network gaming environment |
| US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
| US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
| US20220321347A1 (en) * | 2021-03-30 | 2022-10-06 | Andrew Mark | System, method and apparatus for transaction access and security |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030101348A1 (en) * | 2001-07-12 | 2003-05-29 | Russo Anthony P. | Method and system for determining confidence in a digital transaction |
| US6892307B1 (en) * | 1999-08-05 | 2005-05-10 | Sun Microsystems, Inc. | Single sign-on framework with trust-level mapping to authentication requirements |
Family Cites Families (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4868877A (en) * | 1988-02-12 | 1989-09-19 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
| US5455953A (en) | 1993-11-03 | 1995-10-03 | Wang Laboratories, Inc. | Authorization system for obtaining in single step both identification and access rights of client to server directly from encrypted authorization ticket |
| US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
| US6367013B1 (en) | 1995-01-17 | 2002-04-02 | Eoriginal Inc. | System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents |
| WO1998039876A1 (en) | 1997-03-06 | 1998-09-11 | Skylight Software, Inc. | Cryptographic digital identity method |
| US6026166A (en) | 1997-10-20 | 2000-02-15 | Cryptoworx Corporation | Digitally certifying a user identity and a computer system in combination |
| US6845453B2 (en) | 1998-02-13 | 2005-01-18 | Tecsec, Inc. | Multiple factor-based user identification and authentication |
| US6275944B1 (en) | 1998-04-30 | 2001-08-14 | International Business Machines Corporation | Method and system for single sign on using configuration directives with respect to target types |
| US6334121B1 (en) | 1998-05-04 | 2001-12-25 | Virginia Commonwealth University | Usage pattern based user authenticator |
| US20020138640A1 (en) | 1998-07-22 | 2002-09-26 | Uri Raz | Apparatus and method for improving the delivery of software applications and associated data in web-based systems |
| US6629246B1 (en) | 1999-04-28 | 2003-09-30 | Sun Microsystems, Inc. | Single sign-on for a network system that includes multiple separately-controlled restricted access resources |
| US6636975B1 (en) | 1999-12-15 | 2003-10-21 | Identix Incorporated | Accessing a secure resource using certificates bound with authentication information |
| US6871276B1 (en) | 2000-04-05 | 2005-03-22 | Microsoft Corporation | Controlled-content recoverable blinded certificates |
| US7150038B1 (en) | 2000-04-06 | 2006-12-12 | Oracle International Corp. | Facilitating single sign-on by using authenticated code to access a password store |
| AU2002339746A1 (en) | 2001-05-18 | 2002-12-03 | Imprivata Inc. | System and method for authentication using biometrics |
| US7231661B1 (en) | 2001-06-21 | 2007-06-12 | Oracle International Corporation | Authorization services with external authentication |
| US7076797B2 (en) * | 2001-10-05 | 2006-07-11 | Microsoft Corporation | Granular authorization for network user sessions |
| US7152066B2 (en) | 2002-02-07 | 2006-12-19 | Seiko Epson Corporation | Internet based system for creating presentations |
| US20040039909A1 (en) | 2002-08-22 | 2004-02-26 | David Cheng | Flexible authentication with multiple levels and factors |
| US7568218B2 (en) * | 2002-10-31 | 2009-07-28 | Microsoft Corporation | Selective cross-realm authentication |
| CA2508937A1 (en) | 2002-12-12 | 2004-06-24 | Encentuate Pte Ltd. | Identity management system for automatic user authentication |
| US8122453B2 (en) | 2003-02-04 | 2012-02-21 | International Business Machines Corporation | Method and system for managing resources in a data center |
| US7703128B2 (en) | 2003-02-13 | 2010-04-20 | Microsoft Corporation | Digital identity management |
| US7200754B2 (en) * | 2003-03-03 | 2007-04-03 | International Business Machines Corporation | Variable expiration of passwords |
| US7721329B2 (en) | 2003-11-18 | 2010-05-18 | Aol Inc. | Method and apparatus for trust-based, fine-grained rate limiting of network requests |
| US20050120213A1 (en) | 2003-12-01 | 2005-06-02 | Cisco Technology, Inc. | System and method for provisioning and authenticating via a network |
| US7546640B2 (en) | 2003-12-10 | 2009-06-09 | International Business Machines Corporation | Fine-grained authorization by authorization table associated with a resource |
| US20050132054A1 (en) | 2003-12-10 | 2005-06-16 | International Business Machines Corporation | Fine-grained authorization by traversing generational relationships |
| US7650409B2 (en) | 2004-04-12 | 2010-01-19 | Nokia Siemens Networks Oy | System and method for enabling authorization of a network device using attribute certificates |
| US20050261926A1 (en) * | 2004-05-24 | 2005-11-24 | Hartridge Andrew J | System and method for quantifying and communicating a quality of a subject entity between entities |
| US8522039B2 (en) | 2004-06-09 | 2013-08-27 | Apple Inc. | Method and apparatus for establishing a federated identity using a personal wireless device |
| US7487361B2 (en) * | 2004-06-30 | 2009-02-03 | International Business Machines Corporation | Dynamic cache lookup based on dynamic data |
| US7406597B2 (en) | 2004-10-29 | 2008-07-29 | International Business Machines Corporation | Methods for efficiently authenticating multiple objects based on access patterns |
| US8219814B2 (en) | 2005-06-30 | 2012-07-10 | Psion Teklogix Inc. | System and method of user credential management |
| US7434253B2 (en) | 2005-07-14 | 2008-10-07 | Microsoft Corporation | User mapping information extension for protocols |
| US20070136603A1 (en) * | 2005-10-21 | 2007-06-14 | Sensis Corporation | Method and apparatus for providing secure access control for protected information |
| US7853995B2 (en) * | 2005-11-18 | 2010-12-14 | Microsoft Corporation | Short-lived certificate authority service |
| KR100789250B1 (ko) | 2005-12-10 | 2008-01-02 | 이임영 | 속성 인증서를 이용한 유비쿼터스 디바이스 도메인 인증방법 |
| US8413229B2 (en) * | 2006-08-21 | 2013-04-02 | Citrix Systems, Inc. | Method and appliance for authenticating, by an appliance, a client to access a virtual private network connection, based on an attribute of a client-side certificate |
| US7845003B2 (en) * | 2006-10-31 | 2010-11-30 | Novell, Inc. | Techniques for variable security access information |
| US8060833B2 (en) | 2007-02-21 | 2011-11-15 | International Business Machines Corporation | Method and system for computer folder management |
| US7949771B1 (en) * | 2007-09-05 | 2011-05-24 | Trend Micro Incorporated | Authentication of unknown parties in secure computer communications |
| US8621561B2 (en) | 2008-01-04 | 2013-12-31 | Microsoft Corporation | Selective authorization based on authentication input attributes |
-
2008
- 2008-01-04 US US11/969,456 patent/US8621561B2/en active Active
- 2008-12-09 CN CN200880124249.6A patent/CN101911585B/zh active Active
- 2008-12-09 WO PCT/US2008/086047 patent/WO2009088615A2/en active Application Filing
- 2008-12-09 EP EP08869537.4A patent/EP2238711B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6892307B1 (en) * | 1999-08-05 | 2005-05-10 | Sun Microsystems, Inc. | Single sign-on framework with trust-level mapping to authentication requirements |
| US20030101348A1 (en) * | 2001-07-12 | 2003-05-29 | Russo Anthony P. | Method and system for determining confidence in a digital transaction |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102025748B (zh) * | 2011-01-04 | 2013-01-23 | 深信服网络科技(深圳)有限公司 | 获取Kerberos认证方式的用户名的方法、装置和系统 |
| CN102025748A (zh) * | 2011-01-04 | 2011-04-20 | 深信服网络科技(深圳)有限公司 | 获取Kerberos认证方式的用户名的方法、装置和系统 |
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN102546648B (zh) * | 2012-01-18 | 2015-04-01 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| CN104247483A (zh) * | 2012-02-01 | 2014-12-24 | 高通股份有限公司 | 用于由移动实体进行空白空间操作的方法和装置 |
| CN104247483B (zh) * | 2012-02-01 | 2018-06-15 | 高通股份有限公司 | 用于对进行空白空间操作的移动实体进行认证的方法和装置 |
| CN104573418B (zh) * | 2013-10-25 | 2017-07-14 | 国际商业机器公司 | 用于授权计算机系统内的改变的方法和系统 |
| CN104573418A (zh) * | 2013-10-25 | 2015-04-29 | 国际商业机器公司 | 用于授权计算机系统内的改变的方法和系统 |
| CN103685244A (zh) * | 2013-11-28 | 2014-03-26 | 深圳大学 | 一种差异化认证方法及装置 |
| CN103685244B (zh) * | 2013-11-28 | 2017-01-04 | 深圳大学 | 一种差异化认证方法及装置 |
| CN105743845A (zh) * | 2014-12-08 | 2016-07-06 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN106161462A (zh) * | 2016-08-29 | 2016-11-23 | 无锡华云数据技术服务有限公司 | 一种网络安全认证方法 |
| CN106161462B (zh) * | 2016-08-29 | 2019-02-15 | 无锡华云数据技术服务有限公司 | 一种网络安全认证方法 |
| CN106375340A (zh) * | 2016-10-11 | 2017-02-01 | 北京元心科技有限公司 | 提高证书验证安全性的方法和系统 |
| CN106375340B (zh) * | 2016-10-11 | 2020-03-31 | 北京元心科技有限公司 | 提高证书验证安全性的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009088615A3 (en) | 2009-09-03 |
| CN101911585B (zh) | 2014-08-13 |
| EP2238711A2 (en) | 2010-10-13 |
| EP2238711A4 (en) | 2016-11-16 |
| WO2009088615A2 (en) | 2009-07-16 |
| US20090178129A1 (en) | 2009-07-09 |
| US8621561B2 (en) | 2013-12-31 |
| EP2238711B1 (en) | 2020-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101911585B (zh) | 基于认证输入属性的选择性授权 | |
| US11223614B2 (en) | Single sign on with multiple authentication factors | |
| US10922401B2 (en) | Delegated authorization with multi-factor authentication | |
| US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
| US7865950B2 (en) | System of assigning permissions to a user by password | |
| EP2283669B1 (en) | Trusted device-specific authentication | |
| EP2689372B1 (en) | User to user delegation service in a federated identity management environment | |
| KR100920871B1 (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| JP2020537218A (ja) | デジタル証明書のモバイル認証相互運用性 | |
| JP2017524214A (ja) | サードパーティの認証サポートを介した企業認証 | |
| US20080015986A1 (en) | Systems, methods and computer program products for controlling online access to an account | |
| US10592978B1 (en) | Methods and apparatus for risk-based authentication between two servers on behalf of a user | |
| Eap et al. | Enabling user control with personal identity management | |
| JP6792647B2 (ja) | 監査能力を備えた仮想スマートカード | |
| Madsen et al. | Challenges to supporting federated assurance | |
| Paul et al. | UI Component and Authentication | |
| US11917087B2 (en) | Transparent short-range wireless device factor in a multi-factor authentication system | |
| Grammatopoulos | FIDO2/WebAuthn implementation and analysis in terms of PSD2 | |
| Responders | Mobile Application Single Sign-On | |
| Serrano et al. | Implementing the Internet of Everything Federation: Towards Cloud-Data Management for Secure AI-Powered Applications in Future Networks | |
| Mourya | Implementing an IDaaS for Azure Active Directory using Azure Conditional Access Policies | |
| Dixit et al. | FIDO2 Passwordless Authentication for Remote Devices | |
| Kivinen | OpenID Connect Provider Certification | |
| Czeskis | Practical, usable, and secure authentication and authorization on the Web | |
| Mazumder et al. | Windows CardSpace |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150423 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150423 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |