CN102281286B - 分布式混合企业的灵活端点顺从和强认证的方法和系统 - Google Patents
分布式混合企业的灵活端点顺从和强认证的方法和系统 Download PDFInfo
- Publication number
- CN102281286B CN102281286B CN201110170880.3A CN201110170880A CN102281286B CN 102281286 B CN102281286 B CN 102281286B CN 201110170880 A CN201110170880 A CN 201110170880A CN 102281286 B CN102281286 B CN 102281286B
- Authority
- CN
- China
- Prior art keywords
- client computer
- access
- enterprise
- resource
- security token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文描述了用于分布式混合企业的灵活端点顺从和强认证。用来访问由云服务提供商中的至少一个服务器主存的至少一个资源的系统、方法和装置。在一些实施例中,客户计算机将与客户计算机的用户相关联的认证信息和关于客户计算机的健康声明发送给企业的受管理网络中部署的访问控制网关。访问控制网关认证用户,并且确定用户是否被授权访问在云中主存的至少一个资源。如果用户认证和授权成功了,则访问控制网关从访问控制部件信任的安全令牌服务请求安全令牌,并且将安全令牌转发给客户计算机。客户计算机将安全令牌发送给云中的访问部件,以从至少一个服务器访问至少一个资源。
Description
技术领域
本发明涉及用于分布式混合企业的灵活端点顺从和强认证。
背景技术
云计算成为日益流行的范例,在云计算中,通过一个或多个网络将诸如软件,硬件,以及数据存储之类的计算资源作为服务提供给远程计算机。这些资源在多个实体之间分享,并且由每个实体按要求进行访问。在典型的商业排列中,支持资源的物理基础设施(例如,服务器,存储系统,通信基础设施等等)由云计算提供商拥有和/或操作,云计算提供商根据达成一致的服务级和计帐方法来将资源作为服务通过因特网递送给客户。这个范例对许多企业有吸引力,原因是它以低的在前资本支出提供对计算的就绪访问和存储能力。即使对于具有灵活资本预算的大型企业,云计算是一种用来满足需求尖峰的成本效率选项。
当企业将其数据和/或应用中的更多个迁移至云(例如,将主存在云计算提供商的通过因特网可到达的服务器上)时,新的安全质询出现了。例如,最好是根据在企业自己管理的网络中实施的相同的访问控制策略,企业可能希望将对主存在云服务器上的资源的访问限于经授权用户。
图1示出了控制访问在云中主存的资源的常规解决方案。在这个示例中,多个应用(例如,110A,110B,…)和数据存储器(例如,115A,115B,…)被主存在云设备105处的一个或多个服务器上。这些应用和数据存储器中的一个或多个代表可作为云设备105的客户的企业而被主存。企业还操作具有一个或多个服务器(例如,180A,180B,…)的它自己的内部网络155,该一个或多个服务器提供了与云中主存的服务相同或不同的服务。虽然未示出,但是,企业网络155可包括诸如客户计算机和存储设备之类的其它网络设备。
当企业的雇员(例如,用户195)希望访问企业资源(例如,检查他的电子邮件,运行商业应用,从公司的数据库中检索文档等等)时,他被提醒使用他的计算机(例如,客户计算机190)来经历认证过程,以证明他是他声称的那个人。视企业的安全需要,认证过程或多或少是苛刻的。例如,如果用户试图从企业网络155外部的连接点访问企业网络155(例如,服务器180A,180B,…中的一个)内部的服务器提供的服务,则他被提醒向企业认证服务器160标识他自己(例如,通过提供他的用户名),并且提供认证服务器160可用来验证他的身份的一个或多个用户凭证(例如,口令)。认证服务器进一步判断用户是否被授权来访问所请求的服务,例如,根据一个或多个企业访问策略和企业组织等级中用户的角色。
另外,如果用户195希望使用客户计算机190连到企业网络155上,则他被提醒经历端点顺从检查过程。例如,用户被提醒将关于客户计算机190的健康声明提供给健康策略服务器(示未出)。基于健康声明,健康策略服务器验证一个或多个保护部件是否安装在客户计算机190上,并且如果是,验证他们是否被恰当地配置和操作。例如,健康策略服务器检查是否安装了一个或多个补丁来修补操作系统部件中的弱点。作为另一个示例,健康策略服务器可检查是否安装了并且采用恰当的操作参数配置了诸如个人防火墙或防病毒程序之类的保护软件工具。
如果用户试图访问云中主存的服务,他被提醒用云认证服务器120经历认证过程,云认证服务器120可复制企业认证服务器160的一些或所有访问控制功能。例如,云认证服务器120可复制企业身份管理和访问策略基础设施,所以,它以与企业认证服务器160相同的方式做出决定。
发明内容
提供了系统,方法和装置,用来控制访问云中主存的资源,而无需将企业的身份管理和访问策略基础设施复制给云。在一些实施例中,云设备将用户认证和/或授权任务委托给在企业管理的网络中部署的访问网关。访问网关可访问企业的内部身份管理和访问策略基础设施,并且可因用户请求访问云中主存的资源而执行访问控制协议。访问网关的访问控制决定可被封装到安全令牌里,该安全令牌由云设备处访问控制部件信任的安全令牌服务生成。用户可将 这个令牌提交给云中的访问控制部件,作为他被授权访问所请求的资源的证据。如果访问控制部件成功地验证了安全令牌,则准许用户访问资源。
访问网关使用各种技术来认证和/或授权用户。例如,访问网关提醒用户经历多因素认证过程,藉此用户可基于至少两个独立的因素来向访问网关证明他的身份。作为另一个示例,访问网关将一个或多个企业访问控制策略应用于用户身份和所请求的资源,以确定是否应该准许或拒绝用户的访问请求。作为再一个示例,访问网关提醒用户将他的计算机提交给健康检查。
在一些实施例中,提供了一种方法,该方法供客户计算机用来访问至少一个服务提供商控制的至少一个服务器所主存的至少一个资源。该方法包括:向由不同于至少一个服务提供商的至少一个企业控制的访问控制网关发送与客户计算机的用户相关联的认证信息和关于客户计算机的健康声明;从访问控制网关接收安全令牌;将从访问控制网关接收到的安全令牌发送给主存至少一个资源的至少一个服务器;以及从至少一个服务器访问至少一个资源。
在一些另外的实施例中,提供了一种客户计算机,该客户计算机用于访问由至少一个服务提供商控制的至少一个服务器所主存的至少一个资源。客户计算机包括至少一个处理器,该至少一个处理器被编程为:向由不同于至少一个服务提供商的至少一个企业控制的访问控制网关发送声称指示客户计算机被授权访问至少一个资源的访问请求信息;从访问控制网关接收安全令牌;将从访问控制网关接收到的安全令牌发送给主存至少一个资源的至少一个服务器;以及从至少一个服务器访问至少一个资源。
在再一些另外的实施例中,提供了其上编码有指令的至少一种非瞬态计算机可读介质,当指令由至少一个处理器执行时,执行一种供至少一个企业控制的访问网关使用的方法。该方法包括:从客户计算机接收声称指示客户计算机被授权访问由至少一个服务器主存的至少一个资源的访问请求信息,该至少一个服务器由不同于至少一个企业的至少一个服务提供商控制;至少部分地基于访问请求信息来确定客户计算机是否被授权访问至少一个资源,如果确定客户计算机被授权访问至少一个资源,则从至少一个服务器信任的安全令牌服务请求安全令牌;以及将安全令牌发送给客户计算机,该安全令牌将被呈现给至少一个服务器以获得对至少一个资源的访问。
前面是本发明的非限制性概述,它由所附权利要求来限定。
附图说明
附图并不旨在按比例绘制。为了清楚起见,并不是每一个部件在每一张附图中都做出标记:
图1示出了控制访问云中主存的资源的常规解决方案;
图2示出了根据一些实施例的控制访问云中主存的资源的示例系统;
图3示出了根据一些实施例的客户计算机、客户计算机所请求的主存资源、以及主存资源信任的云安全令牌服务(security token service(STS))之间的示例性交互序列;
图4示出了根据一些实施例的客户计算机,企业STS,以及公布企业STS的企业访问网关之间的示例性交互序列;以及
图5示意性地示出了示例计算机,在它上面实现了本公开的各个发明方面。
具体实施方式
发明人认识到和意识到控制访问云中主存的资源的现有解决方案存在许多缺点。例如,复制企业的身份管理和云中的访问策略基础设施的常规方法十分昂贵,特别是对于具有大量雇员和/或实现复杂的访问控制策略的企业。另外,当云中的复制基础设施不再与企业的内部网络中的基础设施同步时,资源的安全受到威胁。例如,在复制基础设施与内部基础设施同步之前,具有撤销或期满的特权的用户在时间窗期间能够访问云中主存的资源。因此,复制身份管理和访问策略基础设施需要经常地更新,以维持它的有效性,这样增加了云中主存资源的成本。
而且,企业不愿意将它的身份管理和访问策略基础设施委托给云设备,原因是对那些信息的妥协会导致未经授权地访问所有企业服务,甚至那些不是云中主存的服务(例如,在企业的管理网络内部的服务器提供的服务)。相反,企业可试图只将基础设施里与控制访问云中主存的资源相关的部分复制给云。这种方法涉及基础设施的一些重新设计,并且再次地,实现起来是十分昂贵的。
简而言之,发明人认识到和意识到建立和/或维持用来控制访问云中主存的资源的常规解决方案十分昂贵,并且常规解决方案不能提供另人满意的安全保 证级别。因此,在一些公开的实施例中,提供了系统,方法和装置,用来控制访问在云中主存资源,无需将企业的身份管理和访问策略基础设施复制到云。
例如,在一些实施例中,可提供了访问网关部件,以实现按照常规由云中的认证服务器(例如,图1所示的云认证服务器120)实现的一些访问控制功能。访问网关可在由企业(例如,图1所示的企业网络155)控制的内部网络中部署,并且可访问企业现有的身份管理和访问策略基础设施(例如,通过诸如企业认证服务器160之类的现有认证服务器)。替换地,访问网关在也由企业管理的非武装区(demilitarized zone(DMZ))中部署,但是可通过一个或多个防火墙与内部网络相隔离。
在一些实施例中,访问网关因用户请求访问云中主存的资源而执行访问控制协议,并且向云中部署的一个或多个访问控制部件传送协议结果,访问网关最终准许或拒绝访问所请求的资源。例如,如果用户成功地完成了访问请求序列,则访问网关给用户提供了安全令牌,用户将安全令牌呈现给云中的访问控制部件,作为用户被授权访问所请求的资源的证据。在准许访问之前,云中的访问控制部件可验证安全令牌由本身是访问网关的获信任实体或访问网关从中获取安全令牌的一些其它实体生成。例如,在一些实施例中,根据活动目录联合服务(Active Directory Federation Services(ADFS))标准(例如,ADFS第二版)或使用SAML协议,可实现云中的访问控制部件和生成安全令牌的实体之间的信任关系。
访问网关使用各种技术认证用户。例如,在一些实施例中,访问网关可提醒用户经历多因素认证过程,通过多因素认证过程,用户基于至少两个独立的因素来向访问网关证明他的身份。因素的例子包括,但并不限定于,一段秘密信息(例如,口令,通行短语,或随机产生的密钥),唯一性物理对象(例如,护照,信用卡,智能卡,或硬件令牌),以及用户的一些个人物理特征(例如,指纹,声音印记,脸部轮廓,虹膜扫描等等)。授权所使用的因素的数目和类型视与未经授权的访问相关联的危险(例如,如通过可能是由未经授权的访问的实例导致的结果的损害程度所测量)而定。
除了认证用户,访问网关使用各种技术来确定用户是否被授权来访问所请求的资源。例如,在一些实施例中,访问网关将一个或多个企业访问控制策略 应用于用户身份和所请求的资源,从而确定是应该准许还是拒绝访问请求。例如,访问网关检查用户是否是企业内部的采购员,并且由此,被授权运行企业资源计划(Enterprise Resource Planning(ERP))应用。作为另一个示例,在准许用户访问能够执行银行转账的应用之前,访问网关可要求用户经历多因素(例如,2因素)认证。
在一些另外的实施例中,访问网关提醒用户将他的计算机(例如,客户计算机195)提交给健康检查,来作为认证过程的部分。例如,计算机在它上面安装了一个或多个健康代理,这些健康代理被编程为收集关于计算机的配置和/或操作状态信息。将收集到的信息格式化成健康说明,后者可被传送给访问网关进行检查。作为更为具体的示例,根据美国华盛顿州雷德蒙市的微软公司提供的网络访问保护TM(Network Access ProtectionTM(NAP))框架,可实现机器健康检查。
如在此所使用,术语“企业”指具有由用户远程访问的一个或多个计算资源的任何实体。在企业控制的一个或多个内部服务器和/或云计算提供商控制的一个或多个云服务器上主存这些计算资源。企业的例子包括,但并不限定于,企业,非赢利组织,大学,以及政府实体。此外,如果实体参与操作,维持,掌管,和/或管理系统部件,则系统部件(例如,硬件或软件部件)由实体来控制。实体可能拥有或可能不拥有系统部件或者具有对其的排他性控制,并且物理上,系统部件可能在,或可能不在实体的基地上。
术语“安全令牌”(或,简单地“令牌”)可以指为了用户认证和/或授权的目的而使用的任何适合的信息组。例如,令牌包括标识用户的信息,他的属性和/或他的访问许可。这些信息可被表达为一个或多个安全断言标记语言(SAML)断言(例如,根据SAML 2.0版)。然而,封装这些信息的任何方式也是适合的,因为与安全令牌的内容和/或格式相关的发明方面并不限定于使用任何特定语言或标准。
下列是与用来控制访问云中主存的资源的发明系统,方法和装置相关的各种概念和实施例的更为具体的描述。应该了解,由于所公开的概念并不限定于任何特定的实现方式,如上介绍和如下更为具体地论述的各种概念可以许多方式中的任何方式来实现。例如,由于其它排列也是适合的,本公开并不限定于 各个附图中所示的部件的特定排列。特定实现和应用的这些示例只提供用于示例性的目的。
图2示出了根据本公开的一些实施例的用于控制访问云中主存的资源的示例系统。在这个示例中,访问网关部件260在企业的内部网络155中部署。如上所论述,在替换的实施例中,访问网关部件260在企业管理的网络的非武装区中部署,通过一个或多个防火墙与内部网络155相隔离。在任一配置中,访问网关部件260可在由企业控制的网络领域中部署,并且可直接地(例如,直接访问存储用户身份信息和/或访问策略的一个或多个数据库)或通过一个或多个内部服务器(例如,如图2所示的企业认证服务器160)间接地访问企业的身份管理和访问策略基础设施,这取决于企业的受管理网络的系统拓扑。在这种方式中,访问网关部件能够在企业的安全域中认证用户,并且确定用户是否被授权访问所请求的企业资源。
在图2所示的示例中,访问网关部件260访问企业安全令牌服务(Security TokenService(STS))270,企业安全令牌服务270可以是任何适合的网络部件——配置成发出云设备105处的访问控制部件所信任的安全令牌,例如,云STS 220。虽然企业STS 270和云STS220可驻留在两个不同的安全域(例如,分别用于企业和云设备的域)中,但是,可使用适合的联合身份框架(例如,ADFS第二版)建立从云STS 220到企业STS 270的跨域信任关系。这种信任关系允许云设备105将用户认证和/或授权任务委托给企业域中的访问网关部件260。
例如,与在云中执行认证和/或授权不同,认证和/或授权可由企业网络155中的访问网关部件260执行,并且结果被封装在企业STS 270产生的安全令牌中。因为云STS 220信任企业STS 270,所以,基于安全令牌中包含的信息准许或拒绝访问云中主存的资源。例如,如果安全令牌包含用户(例如,用户195)被授权访问特定资源的断言且云STS 220验证令牌的确是由企业STS 270产生的,则云STS 220准许用户访问资源,无需独立地实施用户认证和/或授权。
由于在此所公开的发明概念并不限于任何特定配置和/或各方之间的交互序列,因此用户195,云设备105和访问网关部件260之间的精确交互可以任何适合的方式来实现。例如,在一些实施例中,当用户195希望访问一个或多 个云服务器(例如,应用110A,110B,…,或数据存储115A,115B,…中的一个)上主存的资源时,他可首先联系云设备105。基于接收请求,主存所请求的资源的服务器可将用户195重定向到服务器所信任的STS,例如,云STS220。在一些实现(例如,根据SAML体系结构)中,云STS 220可以是主存所请求的资源的服务器所信任的仅有的STS,且也可以具有关于用户195可被进一步重定向至的其它获信任STS的信息。例如,云STS 220把用户195重定向至云STS 220所信任的企业STS 270。
应该了解,只要每次用户195被重定向至不同STS时保持信任关系,可以重定向用户195任何次数。就是说,仅当第一STS信任第二STS,第一STS才可将用户195重定向至第二STS。替换地,用户195可能完全不被重定向至任何中间STS。替代地,假定服务器信任企业STS 270,主存所请求的资源的服务器可立刻把用户195重定向至企业STS 270。
在图2所示的示例中,企业STS 270由访问网关部件260“公布”(例如,使得可从诸如因特网的外部网络访问)。这种配置允许访问网关部件260截取定向至企业STS 270的任何通信。例如,当用户195从云STS 220被重定向至企业STS 270时,访问网关部件260可截取那个通信,并且就用户195启动访问控制协议。只有在用户195根据访问控制协议圆满地完成了访问请求序列之后,访问网关部件260才可从企业STS 270请求安全令牌,因此,安全令牌作为用户195被访问网关部件260正确地认证和/或授权的证据。
再次,由于其它序列和/或类型的交互也是适合的,因此用户195,云设备105和访问网关部件260之间如上所述的交互只是示例性的。例如,在替换的实施例中,当用户195希望访问云中主存的资源时,他可直接联系访问网关部件260,而无需被云中的任何部件重定向。
如上所论述,由于在此所公开的发明概念并不限定于任何特定访问控制技术,访问网关部件260可以使用任何数目的适合的技术来认证和/或授权用户195。例如,访问网关部件260请求用户195经历多因素认证,或一些其它形式的强认证。访问网关部件260可在自己上执行一些或所有认证任务,如果其完成那些认证任务所需的信息的话。这些信息的示例包括,但并不限定于,与用户身份相关联的密码密钥,与用户个人物理特征(例如,指纹,声音印记, 脸部轮廓,虹膜扫描等等)相关的信息,和/或与用户所拥有的物理对象(例如,用户身份证的磁性指纹)相关的信息。替换地,访问网关部件260将从用户195接收到的一些信息(例如,用户凭证)转发给企业认证服务器160,企业认证服务器160代表访问网关部件260使用所转发的信息来认证用户195。
相似地,如果访问网关部件260访问了相关信息(例如,访问策略信息),访问网关部件260可在它上面执行用户授权,或者它可请求企业认证服务器160(或一些其它适合的授权服务器)代表它执行用户授权。在后面的例子中,访问网关部件260将诸如用户身份(例如,如企业认证服务器160所认证的)和/或标识所请求的资源的信息(例如,以包括在用户访问请求中的统一资源定位符(Uniform Resource Locator)的形式)之类的任何相关的信息转发给所选的服务器。
在一些另外的实施例中,访问网关部件260提醒用户195将他的计算机提交给健康检查,来作为授权程序的部分。在这个上下文中,客户计算机的“健康”可以指客户计算机的一个或多个保护部件的配置和/或操作状态。保护部件包括软件和/或硬件部件,例如,防病毒软件,防火墙,和/或获取和安装补丁以修复系统弱点的操作系统更新管理器。当这个部件的操作状态指示部件是否正在操作或被禁用时,这个部件的配置信息包括为部件所设置的特定操作参数。
如上所论述,客户计算机195在它的上面安装了一个或多个健康代理,这些健康代理可被编程为收集配置和/或操作状态信息。例如,根据美国华盛顿州雷德蒙市的微软公司提供的网络访问保护TM(Network Access ProtectionTM(NAP))框架,可将收集到的信息格式化成健康声明。健康声明可被传送给访问网关部件260进行检查。再次,如果访问网关部件260访问了用于企业的机器健康策略,则访问网关部件260可在它自己上面检查健康声明,或者它可将健康声明转发给健康策略服务器280进行评估。
如果用户成功完成了访问网关部件260实现的所有(或阈值数目的)访问控制程序,则访问网关部件260可从企业STS 270请求安全令牌,并且将安全令牌传送给用户195,用户195进而可将令牌转发给将用户195重定向至企业STS 270的实体(例如,云STS 220)。云STS 220可验证令牌是由企业STS 270 产生的,并且令牌的内容指示用户195被授权访问所请求的资源。如果验证成功,则云STS可产生第二安全令牌,并且将第二安全令牌传送给用户195,接着,用户195可把第二令牌转发给主存所请求的资源的服务器以进行验证。如果服务器成功验证了第二令牌,则它可准许用户195访问资源。本领域的技术人员应该了解,令牌产生和验证的这个过程可以反复用于用户195通过其被重定向的每个中间STS。
虽然结合图2描述了实现的特定细节,但是,应该了解,在此所公开的发明概念并不限定于任何特定的实现模式。例如,虽然访问网关和企业STS在图2中显示为两个独立的部件,但是,他们可以一起被实现为单个部件,或以任何其它适合的配置来实现。作为另一个示例,访问网关部件260使用的任何访问控制技术可由第三方软件实现。例如,第三方多因素认证部件可被安装在访问网关部件260或代表访问网关部件260执行用户认证的认证服务器160上。
图3示出了根据一些实施例的客户计算机310,客户计算机310请求的主存资源320,以及主存资源320信任的云STS 220之间的示例性交互序列。客户计算机310是图2所示的客户计算机195,而主存资源320是图2所示的由云设备105主存的应用110A,110B,…和数据存储115A,115B…中的一个。同样地,云STS 330是图2所示的云STS 220。
在图3所示的示例中,在动作340,客户计算机310通过将访问请求发送给主存资源320来启动交互。客户计算机310可以任何适合的方式,例如,通过统一资源定位符(URL),来标识主存资源320。在一些实施例中,访问请求还可标识客户计算机310的用户,例如,通过包括用户名。
在动作345,主存资源320通过重定向客户计算机310来从主存资源320信任的云STS 330获取安全令牌来作出响应。例如,主存资源320可向客户计算机310提供网络地址和/或用于云STS 330的任何其它标识信息。在一些实施例中,主存资源320可进一步指定要从云STS 330获取的一种类型的安全令牌。
如主存资源320所指令的,在动作350,客户计算机310将对安全令牌的请求提交给云STS 330,这个请求可以任何适合的方式标识主存资源320和/或希望访问主存资源320的客户计算机310的用户。
在动作355,云STS 330通过重定向客户计算机310来从云STS 330信任 的企业STS(例如,图2所示的企业STS 270)获取安全令牌来作出响应。与动作345相类似,在一些实施例中,云STS 330可向客户计算机310提供了网络地址和/或用于企业STS的任何其它标识信息。云STS 330可进一步指定一要从企业STS获取的一种类型的安全令牌。
如云STS 330所指令的,在动作360,客户计算机310从企业STS获取安全令牌(此后叫做“企业安全令牌”)。如上所论述,企业安全令牌可包括指示客户计算机310和它的用户已正确地认证和/或被授权访问主存资源320的一个或多个SAML 2.0断言。而且,在一些实施例中,企业安全令牌可包括企业STS产生的一个或多个电子签名,来作为企业安全令牌的真实性的证据。
结合图4在下面描述了客户计算机310和企业STS之间的交互的详细示例,客户计算机310通过企业STS获取企业安全令牌。
继续到动作365,客户计算机310将企业安全令牌提交给云STS 330以进行验证。在动作370,云STS 330验证令牌是由云STS 330信任的企业STS产生的(例如,通过验证所附的签名是由企业STS产生的),并且令牌的内容指示客户计算机310和它的用户被授权来访问主存资源320。如果验证成功,则云STS 330在动作375产生第二安全令牌(此后叫做“云安全令牌”),并且在动作380将云安全令牌传送给客户计算机310。如果验证失败,在一些实施例中,客户计算机310可被告知失败和/或被重定向至不同的STS来获取另一个安全令牌。
在动作385,客户计算机310将云安全令牌转发给主存资源320以进行验证。主存资源320在动作390以与所执行的验证相类似的方式验证云安全令牌。如果验证成功,则在动作395,主存资源320向客户计算机310准许访问。如果验证失败,则客户计算机310被拒绝访问主存资源320,并且在一些实现中,被重定向至不同的STS来获取另一个安全令牌。
继续到图4,根据一些实施例,示出了客户计算机310,企业STS 420(例如,图2所示的企业STS 270),以及公布企业STS 420的企业访问网关410(例如,图2所示的访问网关部件260)之间的示例性交互序列。通过这些相互作用,客户计算机310从企业STS 420获取指示客户计算机310和它的用户被授权访问云主存的资源(例如,图3所示的主存资源320)的安全令牌。
如上所论述,企业访问网关410公布企业STS 420可允许企业访问网关410截取定向到企业STS 420的通信。例如,在动作430,当客户计算机310从企业STS420请求安全令牌时,在动作435,企业访问网关410截取那个通信,并且通过在动作440生成安全质询以及在动作445将安全质询传送给客户计算机310来就客户计算机310启动访问控制协议。安全质询的内容可视企业访问网关410使用的访问控制技术而变化。例如,如上所论述,安全质询可包括用于多因素认证和/或机器健康检查的质询。
在动作450,客户计算机310可收集相关信息,并且准备对从企业访问网关410接收到的质询的安全响应。例如,客户计算机310可通过提供多个用户凭证来响应多因素认证质询,如本领域所知的。作为另一个示例,客户计算机310可使用一个或多个客户健康代理来收集健康信息,并且准备要包括在安全响应中的健康声明。
在动作455,客户计算机310将经组装的安全响应传送给企业访问网关410,在动作460,企业访问网关410验证安全响应中的每一个分量以进行用户认证和/或授权。例如,企业访问网关410可检索与用户声称的身份相关联的认证信息,并且确定用户是否真的是他声称的那个人。作为另一个示例,企业访问网关410可检索访问策略信息,并且确定用户是否被授权访问所请求的资源。作为再一个示例,企业访问网关410可检索机器健康策略信息,并且确定客户计算机310是否是足够健康(例如,不像是被计算机病毒感染)来访问所请求的资源。替换地,企业访问网关410请求一个或多个适合的服务器(例如,认证服务器160和健康策略服务器280)来执行任何如上所述的验证。
如果企业访问网关410在动作460确定客户计算机310和它的用户被授权访问所请求的资源,则它从企业STS 420请求安全令牌。作为响应,企业STS 420在动作470产生所请求的令牌,并且在动作475将所请求的令牌传送给企业访问网关410。如上所论述,这个企业安全令牌可指示客户计算机310和它的用户成功通过企业访问网关410实现的访问控制测试,例如强认证和机器健康检查。在动作480,企业访问网关410将企业安全令牌转发给客户计算机310,因此,客户计算机向云中的访问控制部件(例如,图3所示的云STS 330)呈现企业安全令牌,来获得对所期望的资源(例如,图3所示的主存资源320)的访问。
图5示意性地示出了示例计算机1000,在它上面可以实现本公开的各个发明方面。例如,在此所述的任何网络部件在诸如计算机1000的计算机上实现,网络部件包括,但并不限定于,客户计算机190,云安全令牌服务220,访问网关260,企业安全令牌服务270,认证服务器160,以及健康策略服务器280,图2中所示的所有部件。
在图5所示的示例中,计算机1000包括具有一个或多个处理器的处理单元1001和可包括易失性和/或非易失性存储器的存储器1002。除了系统存储器1002之外,计算机1000还可包括存储1005(例如,一个或多个磁盘驱动)。存储器1002可以存储一个或多个指令,用于对处理单元1001编程来执行在此所述的任何功能。存储器1002还可以存储一个或多个应用程序和/或应用程序设计接口功能。
计算机1000可具有一个或多个输入设备和/或输出设备,诸如图5中所解说的设备1006和1007。这些设备主要可被用来呈现用户界面。可被用来提供用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其它声音生成设备。可被用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示例,计算机可以通过语音识别或以其他可听格式来接收输入信息。
如图5中所示,计算机1000还可包括使能经由各种网络(例如,网络1020)进行通信的一个或多个网络接口(例如,网络接口1010)。网络的示例包括局域网或广域网,诸如企业网或因特网。这些网络可以基于任何合适的技术并可以根据任何合适的协议来操作,并且可以包括无线网络、有线网络或光纤网络。
至此描述了本发明的至少一个实施例的若干方面,可以理解,本领域的技术人员可容易地想到各种更改、修改和改进。这样的更改、修改和改进旨在是本发明的一部分,且旨在处于本发明的精神和范围内。从而,上述描述和附图仅用作示例。
可以用多种方式中的任一种来实现本发明的上述实施例。例如,可使用硬件、软件或其组合来实现各实施例。当使用软件实现时,该软件代码可在无论是在单个计算机中提供的还是在多个计算机之间分布的任何合适的处理器或处理器的集合上执行。
而且,此处略述的各种方法或过程可被编码为可在采用各种操作系统或平台中任何一种的一个或多个处理器上执行的软件。此外,这样的软件可使用多种合适的程序设计语言和/或程序设计或脚本工具中的任何一种来编写,而且它们还可被 编译为可执行机器语言代码或在框架或虚拟机上执行的中间代码。
就此,本发明可被具体化为用一个或多个程序编码的非暂态计算机可读介质(例如,计算机存储器、一个或多个软盘、紧致盘、光盘、磁带、闪存、现场可编程门阵列或其他半导体器件中的电路配置,或其他非瞬态有形的计算机存储介质),当这些程序在一个或多个计算机或其他处理器上执行时,它们执行实现本发明的上述各个实施例的方法。这一个或多个计算机可读介质可以是可移植的,使得其上存储的一个或多个程序可被加载到一个或多个不同的计算机或其他处理器上以便实现本发明上述的各个方面。
此处以一般的意义使用术语“程序”或“软件”来指可被用来对计算机或其他处理器编程以实现本发明上述的各个方面的任何类型的计算机代码或计算机可执行指令集。另外,应当理解,根据本实施例的一个方面,当被执行时实现本发明的方法的一个或多个计算机程序不必驻留在单个计算机或处理器上,而是可以按模块化的方式分布在多个不同的计算机或处理器之间以实现本发明的各方面。
计算机可执行指令可以具有可由一个或多个计算机或其他设备执行的各种形式,诸如程序模块。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,程序模块的功能可以按需在各个实施例中进行组合或分布。
而且,数据结构能以任何合适的形式存储在计算机可读介质上。为简化说明,数据结构可被示为具有通过该数据结构中的位置而相关的字段。这些关系同样可以通过对各字段的存储分配传达各字段之间的关系的计算机可读介质中的位置来得到。然而,可以使用任何合适的机制来在数据结构的各字段中的信息之间建立关系,例如通过使用指针、标签、或在数据元素之间建立关系的其他机制。
本发明的各个方面可单独、组合或以未在前述实施例中特别讨论的各种安排来使用,从而并不将其应用限于前述描述中所述或附图形中所示的组件的细节和安排。例如,可使用任何方式将一个实施例中描述的各方面与其它实施例中描述的各方面组合。
同样,本发明可被具体化为方法,其示例已经提供。作为该方法的一部分所执行的动作可以按任何合适的方式来排序。因此,可以构建各个实施例,其中各动作以与所示的次序所不同的次序执行,不同的次序可包括同时执行某些动作,即使这些动作在各说明性实施例中被示为顺序动作。
在权利要求书中使用诸如“第一”、“第二”、“第三”等序数词来修饰权 利要求元素本身并不意味着一个权利要求元素较之另一个权利要求元素的优先级、先后次序或顺序、或者方法的各动作执行的时间顺序,而仅用作将具有某一名字的一个权利要求元素与(若不是使用序数词则)具有同一名字的另一元素区分开的标签以区分各权利要求元素。
同样,此处所使用的短语和术语是出于描述的目的而不应被认为是限制。此处对“包括”、“包含”、或“具有”、“含有”、“涉及”及其变型的使用旨在包括其后所列的项目及其等效物以及其他项目。
Claims (10)
1.一种用于访问由至少一个服务器(105)主存的至少一个资源(110A,110B,…,115A,115B,…)的客户计算机(190),所述至少一个服务器(105)由至少一个服务提供商控制,所述客户计算机包括至少一个处理器(1001),所述至少一个处理器(1001)被编程为:
从所述客户计算机向由不同于所述至少一个服务提供商的至少一个企业控制的访问控制网关(260)发送指示声称指示所述客户计算机(190)被授权访问所述至少一个资源(110A,110B,…,115A,115B,…)的访问请求信息;
在试图访问主存所述至少一个资源(110A,110B,…,115A,115B,…)的所述至少一个服务器(105)之前在所述客户计算机处接收来自所述访问控制网关(260)的安全令牌;
由所述客户计算机向主存所述至少一个资源(110A,110B,…,115A,115B,…)的所述至少一个服务器(105)发送从所述访问控制网关(260)接收到的所述安全令牌;以及
从所述至少一个服务器(105)访问所述至少一个资源(110A,110B,…,115A,115B,…)而无需独立地实施认证。
2.如权利要求1所述的客户计算机(190),其特征在于,所述至少一个处理器(1001)被进一步编程为:
向所述访问控制网关(260)发送对所述安全令牌的请求;以及
从所述访问控制网关(260)接收至少一个安全质询,其中响应于对所述安全令牌的请求,所述访问控制网关(260)发送所述至少一个安全质询,并且其中响应所述至少一个安全质询,所述至少一个处理器(1001)被编程为发送所述访问请求信息。
3.如权利要求1所述的客户计算机(190),其特征在于,所述至少一个处理器(1001)被进一步编程为:
向所述至少一个服务器(105)发送对访问所述至少一个资源(110A,110B,…,115A,115B,…)的请求;以及
从所述至少一个服务器(105)接收联系所述访问控制网关(260)的指令,作为访问所述至少一个资源(110A,110B,…,115A,115B,…)的先决条件。
4.如权利要求1所述的客户计算机(190),其特征在于,所述访问请求信息包括在包括以下的组中选择的至少两个用户凭证:秘密知识凭证、物理对象凭证、以及个人物理特征凭证。
5.如权利要求1所述的客户计算机(190),其特征在于,所述访问请求信息包括关于所述客户计算机(190)的至少一个保护部件的配置信息,所述至少一个保护部件是从包括以下的组中选择的:防病毒软件、防火墙、以及操作系统补丁。
6.一种供由至少一个企业控制的访问网关(260)来使用的方法,所述方法包括:
从客户计算机(190)接收声称指示所述客户计算机(190)被授权访问由至少一个服务器(105)主存的至少一个资源(110A,110B,…,115A,115B,…)的访问请求信息,所述至少一个服务器(105)由不同于所述至少一个企业的至少一个服务提供商控制;
由所述访问网关(260)至少部分地基于所述访问请求信息来确定所述客户计算机(190)是否被授权访问所述至少一个资源(110A,110B,…,115A,115B,…);以及
如果确定所述客户计算机(190)被授权访问所述至少一个资源(110A,110B,…,115A,115B,…),则在试图访问所述至少一个服务器(105)之前由所述访问网关(260)向所述客户计算机(190)发送安全令牌,所述安全令牌将被呈现给所述至少一个服务器(105)以获得对所述至少一个资源(110A,110B,…,115A,115B,…)的访问而无需独立地实施认证。
7.如权利要求6所述的方法,其特征在于,进一步包括:
从所述客户计算机(190)接收对所述安全令牌的请求;以及
响应对所述安全令牌的所述请求,将至少一个安全质询发送给所述客户计算机(190),其中所述客户计算机(190)响应所述至少一个安全质询发送所述访问请求信息。
8.如权利要求6所述的方法,其特征在于,进一步包括:
从所述至少一个服务器(105)信任的安全令牌服务(270)请求所述安全令牌。
9.如权利要求6所述的方法,其特征在于,确定所述客户计算机(190)是否被授权访问所述至少一个资源包括:
将包括一个或多个用户凭证的所述访问请求信息中的至少一些转发给由所述至少一个企业控制的认证服务器(160)。
10.如权利要求6所述的方法,其特征在于,确定所述客户计算机(190)是否被授权访问所述至少一个资源包括:
将包括关于所述客户计算机(190)的配置信息的所述访问请求信息中的至少一些转发给所述至少一个企业控制的健康策略服务器(280)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/815,215 | 2010-06-14 | ||
US12/815,215 US8997196B2 (en) | 2010-06-14 | 2010-06-14 | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102281286A CN102281286A (zh) | 2011-12-14 |
CN102281286B true CN102281286B (zh) | 2017-05-24 |
Family
ID=45097367
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110170880.3A Active CN102281286B (zh) | 2010-06-14 | 2011-06-13 | 分布式混合企业的灵活端点顺从和强认证的方法和系统 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8997196B2 (zh) |
CN (1) | CN102281286B (zh) |
Families Citing this family (114)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7974235B2 (en) | 2006-11-13 | 2011-07-05 | Telecommunication Systems, Inc. | Secure location session manager |
US9301191B2 (en) | 2013-09-20 | 2016-03-29 | Telecommunication Systems, Inc. | Quality of service to over the top applications used with VPN |
US8544075B2 (en) * | 2010-06-15 | 2013-09-24 | Microsoft Corporation | Extending a customer relationship management eventing framework to a cloud computing environment in a secure manner |
US9183374B2 (en) * | 2010-07-15 | 2015-11-10 | Novell, Inc. | Techniques for identity-enabled interface deployment |
US8910295B2 (en) * | 2010-11-30 | 2014-12-09 | Comcast Cable Communications, Llc | Secure content access authorization |
US10108955B1 (en) | 2011-03-14 | 2018-10-23 | Amazon Technologies, Inc. | Metering costs of aggregated storage |
US9497184B2 (en) * | 2011-03-28 | 2016-11-15 | International Business Machines Corporation | User impersonation/delegation in a token-based authentication system |
US8869244B1 (en) * | 2011-05-03 | 2014-10-21 | Symantec Corporation | Techniques for providing role-based access control using dynamic shared accounts |
US20120317639A1 (en) * | 2011-06-08 | 2012-12-13 | Johnson Huang | Biometric data system |
WO2012174444A1 (en) | 2011-06-17 | 2012-12-20 | Huawei Technologies Co., Ltd. | Cloud service control and management architecture expanded to interface the network stratum |
US9294564B2 (en) * | 2011-06-30 | 2016-03-22 | Amazon Technologies, Inc. | Shadowing storage gateway |
US9544271B2 (en) | 2011-09-16 | 2017-01-10 | Telecommunication Systems, Inc. | Anonymous messaging conversation |
US9479344B2 (en) | 2011-09-16 | 2016-10-25 | Telecommunication Systems, Inc. | Anonymous voice conversation |
CN103067428B (zh) * | 2011-10-21 | 2016-08-10 | 华为技术有限公司 | 基站、服务处理方法和云计算系统 |
US8984591B2 (en) | 2011-12-16 | 2015-03-17 | Telecommunications Systems, Inc. | Authentication via motion of wireless device movement |
US8434080B2 (en) * | 2011-12-22 | 2013-04-30 | Software Ag Usa, Inc. | Distributed cloud application deployment systems and/or associated methods |
US9384339B2 (en) * | 2012-01-13 | 2016-07-05 | Telecommunication Systems, Inc. | Authenticating cloud computing enabling secure services |
GB2498708B (en) * | 2012-01-17 | 2020-02-12 | Secure Cloudlink Ltd | Security management for cloud services |
EP2807454A4 (en) | 2012-01-26 | 2015-08-19 | Telecomm Systems Inc | NAVIGATION GUIDANCE |
US9059853B1 (en) * | 2012-02-22 | 2015-06-16 | Rockwell Collins, Inc. | System and method for preventing a computing device from obtaining unauthorized access to a secure network or trusted computing environment |
US9148417B2 (en) | 2012-04-27 | 2015-09-29 | Intralinks, Inc. | Computerized method and system for managing amendment voting in a networked secure collaborative exchange environment |
US9251360B2 (en) | 2012-04-27 | 2016-02-02 | Intralinks, Inc. | Computerized method and system for managing secure mobile device content viewing in a networked secure collaborative exchange environment |
US9253176B2 (en) | 2012-04-27 | 2016-02-02 | Intralinks, Inc. | Computerized method and system for managing secure content sharing in a networked secure collaborative exchange environment |
US10176335B2 (en) * | 2012-03-20 | 2019-01-08 | Microsoft Technology Licensing, Llc | Identity services for organizations transparently hosted in the cloud |
US20140317413A1 (en) * | 2012-03-29 | 2014-10-23 | Steven Deutsch | Secure remediation of devices requesting cloud services |
WO2013149257A1 (en) * | 2012-03-30 | 2013-10-03 | Goldman, Sachs & Co. | Secure mobile framework |
US9338153B2 (en) | 2012-04-11 | 2016-05-10 | Telecommunication Systems, Inc. | Secure distribution of non-privileged authentication credentials |
US9553860B2 (en) | 2012-04-27 | 2017-01-24 | Intralinks, Inc. | Email effectivity facility in a networked secure collaborative exchange environment |
US9237156B2 (en) * | 2012-05-21 | 2016-01-12 | Salesforce.Com, Inc. | Systems and methods for administrating access in an on-demand computing environment |
US8930139B2 (en) | 2012-06-21 | 2015-01-06 | Telecommunication Systems, Inc. | Dynamically varied map labeling |
EP2683127A1 (en) * | 2012-07-05 | 2014-01-08 | Alcatel-Lucent | Voucher authorization for cloud server |
US9710626B2 (en) | 2012-07-06 | 2017-07-18 | International Business Machines Corporation | Security model for network information service |
US9053304B2 (en) * | 2012-07-13 | 2015-06-09 | Securekey Technologies Inc. | Methods and systems for using derived credentials to authenticate a device across multiple platforms |
US9692858B2 (en) * | 2012-07-17 | 2017-06-27 | International Business Machines Corporation | Security model for a memory of a network information system |
CN102752319B (zh) * | 2012-07-31 | 2015-02-11 | 广州市品高软件开发有限公司 | 一种云计算安全访问方法、装置及系统 |
CN102857335B (zh) * | 2012-08-31 | 2016-09-21 | 中国电力科学研究院 | 基于散列算法的电力安全云终端通信的过滤方法及系统 |
US9710664B2 (en) * | 2012-09-07 | 2017-07-18 | Amrita Vishwa Vidyapeetham | Security layer and methods for protecting tenant data in a cloud-mediated computing network |
US20140101434A1 (en) * | 2012-10-04 | 2014-04-10 | Msi Security, Ltd. | Cloud-based file distribution and management using real identity authentication |
US9363241B2 (en) | 2012-10-31 | 2016-06-07 | Intel Corporation | Cryptographic enforcement based on mutual attestation for cloud services |
CN103812770B (zh) * | 2012-11-12 | 2017-04-12 | 华为技术有限公司 | 云业务报文重定向的方法、系统和云网关 |
US9253185B2 (en) | 2012-12-12 | 2016-02-02 | Nokia Technologies Oy | Cloud centric application trust validation |
CN102970380B (zh) * | 2012-12-20 | 2015-08-12 | 青岛海信传媒网络技术有限公司 | 获取云存储文件的媒体数据的方法以及云存储服务器 |
US8955076B1 (en) * | 2012-12-28 | 2015-02-10 | Emc Corporation | Controlling access to a protected resource using multiple user devices |
CN103152386B (zh) * | 2013-01-30 | 2015-10-28 | 青岛海信传媒网络技术有限公司 | 业务数据分发服务器及其业务数据分发方法 |
US9264414B2 (en) | 2013-03-15 | 2016-02-16 | Microsoft Technology Licensing, Llc | Retry and snapshot enabled cross-platform synchronized communication queue |
US8769644B1 (en) * | 2013-03-15 | 2014-07-01 | Rightscale, Inc. | Systems and methods for establishing cloud-based instances with independent permissions |
US9294454B2 (en) * | 2013-03-15 | 2016-03-22 | Microsoft Technology Licensing, Llc | Actively federated mobile authentication |
US9729514B2 (en) * | 2013-03-22 | 2017-08-08 | Robert K Lemaster | Method and system of a secure access gateway |
US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
WO2014193896A2 (en) * | 2013-05-28 | 2014-12-04 | Raytheon Company | Message content ajudication based on security token |
EP3014465B1 (en) * | 2013-06-28 | 2018-11-21 | Telefonaktiebolaget LM Ericsson (publ) | Identity management system |
US9411978B2 (en) * | 2013-07-11 | 2016-08-09 | Open Text S.A. | System and method for access control using network verification |
WO2015073708A1 (en) | 2013-11-14 | 2015-05-21 | Intralinks, Inc. | Litigation support in cloud-hosted file sharing and collaboration |
US9584615B2 (en) * | 2013-11-27 | 2017-02-28 | Adobe Systems Incorporated | Redirecting access requests to an authorized server system for a cloud service |
EP3080742A4 (en) * | 2013-12-11 | 2017-08-30 | Intralinks, Inc. | Customizable secure data exchange environment |
CN105814834B (zh) | 2013-12-20 | 2019-12-20 | 诺基亚技术有限公司 | 用于公共云应用的基于推送的信任模型 |
WO2015089821A1 (en) * | 2013-12-20 | 2015-06-25 | Hewlett-Packard Development Company, L.P. | Policy rules for network resource |
US9794227B2 (en) * | 2014-03-07 | 2017-10-17 | Microsoft Technology Licensing, Llc | Automatic detection of authentication methods by a gateway |
US9613190B2 (en) | 2014-04-23 | 2017-04-04 | Intralinks, Inc. | Systems and methods of secure data exchange |
US9264419B1 (en) * | 2014-06-26 | 2016-02-16 | Amazon Technologies, Inc. | Two factor authentication with authentication objects |
US9749311B2 (en) | 2014-09-24 | 2017-08-29 | Oracle International Corporation | Policy based compliance management and remediation of devices in an enterprise system |
CN104202230B (zh) * | 2014-09-26 | 2017-12-05 | 深圳中兴网信科技有限公司 | 用于多级结构的数据交互装置及方法 |
US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
US10021088B2 (en) | 2014-09-30 | 2018-07-10 | Citrix Systems, Inc. | Fast smart card logon |
US9148408B1 (en) | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
US9787690B2 (en) * | 2014-12-19 | 2017-10-10 | Microsoft Technology Licensing, Llc | Security and permission architecture |
US10063537B2 (en) * | 2014-12-19 | 2018-08-28 | Microsoft Technology Licensing, Llc | Permission architecture for remote management and capacity instances |
CN104869175B (zh) * | 2015-06-16 | 2018-07-27 | 腾讯科技(北京)有限公司 | 跨平台的账号资源共享实现方法、装置及系统 |
US10033702B2 (en) | 2015-08-05 | 2018-07-24 | Intralinks, Inc. | Systems and methods of secure data exchange |
US9509684B1 (en) * | 2015-10-14 | 2016-11-29 | FullArmor Corporation | System and method for resource access with identity impersonation |
US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
US9736120B2 (en) | 2015-10-16 | 2017-08-15 | Cryptzone North America, Inc. | Client network access provision by a network traffic manager |
US10749854B2 (en) | 2015-11-12 | 2020-08-18 | Microsoft Technology Licensing, Llc | Single sign-on identity management between local and remote systems |
US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
WO2018004600A1 (en) | 2016-06-30 | 2018-01-04 | Sophos Limited | Proactive network security using a health heartbeat |
US10484460B2 (en) * | 2016-07-22 | 2019-11-19 | Microsoft Technology Licensing, Llc | Access services in hybrid cloud computing systems |
US10382441B2 (en) * | 2016-10-13 | 2019-08-13 | Honeywell International Inc. | Cross security layer secure communication |
CN106487804A (zh) * | 2016-11-17 | 2017-03-08 | 南通芯电物联网科技有限责任公司 | 云端机密认证平台及其建立方法 |
JP6806543B2 (ja) * | 2016-11-25 | 2021-01-06 | キヤノン株式会社 | 権限検証システムおよびリソースサーバー、認証サーバー、権限検証方法 |
DK3334186T3 (da) * | 2016-12-08 | 2021-06-07 | Gn Hearing As | Høresystem og fremgangsmåde til hentning af høreapparatdata |
US10742629B2 (en) | 2017-02-28 | 2020-08-11 | International Business Machines Corporation | Efficient cloud resource protection |
US10362612B2 (en) * | 2017-03-06 | 2019-07-23 | Citrix Systems, Inc. | Virtual private networking based on peer-to-peer communication |
US10395036B2 (en) * | 2017-03-16 | 2019-08-27 | Dell Products, L.P. | Continued runtime authentication of information handling system (IHS) applications |
US10623410B2 (en) * | 2017-04-24 | 2020-04-14 | Microsoft Technology Licensing, Llc | Multi-level, distributed access control between services and applications |
US10742638B1 (en) * | 2017-04-27 | 2020-08-11 | EMC IP Holding Company LLC | Stateless principal authentication and authorization in a distributed network |
US10089801B1 (en) | 2017-05-15 | 2018-10-02 | Amazon Technologies, Inc. | Universal access control device |
CN107330780A (zh) * | 2017-05-26 | 2017-11-07 | 中企云链(北京)金融信息服务有限公司 | 开立云信的系统及其方法 |
CN107249209A (zh) * | 2017-06-09 | 2017-10-13 | 苏州汉明科技有限公司 | 无线局域网网关管理方法及系统 |
US11544356B2 (en) * | 2017-06-19 | 2023-01-03 | Citrix Systems, Inc. | Systems and methods for dynamic flexible authentication in a cloud service |
US11012441B2 (en) * | 2017-06-30 | 2021-05-18 | Open Text Corporation | Hybrid authentication systems and methods |
US10721222B2 (en) * | 2017-08-17 | 2020-07-21 | Citrix Systems, Inc. | Extending single-sign-on to relying parties of federated logon providers |
US10498538B2 (en) * | 2017-09-25 | 2019-12-03 | Amazon Technologies, Inc. | Time-bound secure access |
US10887390B1 (en) * | 2017-12-15 | 2021-01-05 | Parallels International Gmbh | Remote access to published resources |
US10958640B2 (en) | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
US11297495B2 (en) * | 2018-05-08 | 2022-04-05 | Biosense Webster (Israel) Ltd. | Medical image transfer system |
US10673837B2 (en) * | 2018-06-01 | 2020-06-02 | Citrix Systems, Inc. | Domain pass-through authentication in a hybrid cloud environment |
US10708270B2 (en) * | 2018-06-12 | 2020-07-07 | Sap Se | Mediated authentication and authorization for service consumption and billing |
US11632360B1 (en) * | 2018-07-24 | 2023-04-18 | Pure Storage, Inc. | Remote access to a storage device |
US11048815B2 (en) | 2018-08-06 | 2021-06-29 | Snowflake Inc. | Secure data sharing in a multi-tenant database system |
US11190517B2 (en) | 2018-08-08 | 2021-11-30 | At&T Intellectual Property I, L.P. | Access control based on combined multi-system authentication factors |
US11556607B2 (en) * | 2019-03-06 | 2023-01-17 | Oracle International Corporation | System and method for abstracted analysis system design for dynamic API scanning service |
CN110290193A (zh) * | 2019-06-18 | 2019-09-27 | 深圳市赛柏特通信技术有限公司 | 一种企业网连入云服务系统及方法 |
CN110535957B (zh) * | 2019-09-02 | 2021-04-23 | 珠海格力电器股份有限公司 | 业务应用平台的数据调取方法及业务应用平台系统 |
US11716626B2 (en) * | 2019-10-22 | 2023-08-01 | General Electric Company | Network access control system |
US11451537B2 (en) * | 2020-04-15 | 2022-09-20 | Sap Se | Securing identity token forwarding |
CN112153055B (zh) * | 2020-09-25 | 2023-04-18 | 北京百度网讯科技有限公司 | 鉴权方法及装置、计算设备和介质 |
CN113660240B (zh) * | 2021-08-11 | 2023-07-04 | 积至(海南)信息技术有限公司 | 一种基于联邦结构的物联网访问控制方法 |
US11546358B1 (en) * | 2021-10-01 | 2023-01-03 | Netskope, Inc. | Authorization token confidence system |
CN114629719A (zh) * | 2022-04-08 | 2022-06-14 | 中国移动通信集团陕西有限公司 | 资源访问控制方法和资源访问控制系统 |
CN114745185A (zh) * | 2022-04-18 | 2022-07-12 | 阿里巴巴(中国)有限公司 | 集群访问方法及装置 |
US11695772B1 (en) * | 2022-05-03 | 2023-07-04 | Capital One Services, Llc | System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101069402A (zh) * | 2004-10-26 | 2007-11-07 | 意大利电信股份公司 | 透明地验证访问web服务的移动用户的方法和系统 |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6771812B1 (en) * | 1991-12-27 | 2004-08-03 | Minolta Co., Ltd. | Image processor |
US6377993B1 (en) * | 1997-09-26 | 2002-04-23 | Mci Worldcom, Inc. | Integrated proxy interface for web based data management reports |
US6362836B1 (en) * | 1998-04-06 | 2002-03-26 | The Santa Cruz Operation, Inc. | Universal application server for providing applications on a variety of client devices in a client/server network |
US6275944B1 (en) * | 1998-04-30 | 2001-08-14 | International Business Machines Corporation | Method and system for single sign on using configuration directives with respect to target types |
US6243816B1 (en) * | 1998-04-30 | 2001-06-05 | International Business Machines Corporation | Single sign-on (SSO) mechanism personal key manager |
US20090094164A1 (en) * | 1999-07-09 | 2009-04-09 | Bally Gaming, Inc. | Remote access verification environment system and method |
AU2001234479A1 (en) | 2000-01-19 | 2001-07-31 | Kline And Walker, Llc | Protected accountable primary focal node interface |
US20030191817A1 (en) * | 2000-02-02 | 2003-10-09 | Justin Fidler | Method and system for dynamic language display in network-based applications |
US6624760B1 (en) | 2000-05-30 | 2003-09-23 | Sandia National Laboratories | Monitoring system including an electronic sensor platform and an interrogation transceiver |
US8751801B2 (en) | 2003-05-09 | 2014-06-10 | Emc Corporation | System and method for authenticating users using two or more factors |
US20050125677A1 (en) * | 2003-12-09 | 2005-06-09 | Michaelides Phyllis J. | Generic token-based authentication system |
US20070186099A1 (en) | 2004-03-04 | 2007-08-09 | Sweet Spot Solutions, Inc. | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method |
US20060085850A1 (en) | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
US8266676B2 (en) | 2004-11-29 | 2012-09-11 | Harris Corporation | Method to verify the integrity of components on a trusted platform using integrity database services |
US20070174630A1 (en) | 2005-02-21 | 2007-07-26 | Marvin Shannon | System and Method of Mobile Anti-Pharming and Improving Two Factor Usage |
US20070101409A1 (en) * | 2005-11-01 | 2007-05-03 | Microsoft Corporation | Exchange of device parameters during an authentication session |
US20070107050A1 (en) | 2005-11-07 | 2007-05-10 | Jexp, Inc. | Simple two-factor authentication |
US20070136573A1 (en) | 2005-12-05 | 2007-06-14 | Joseph Steinberg | System and method of using two or more multi-factor authentication mechanisms to authenticate online parties |
EP1802155A1 (en) | 2005-12-21 | 2007-06-27 | Cronto Limited | System and method for dynamic multifactor authentication |
US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
NZ547903A (en) | 2006-06-14 | 2008-03-28 | Fronde Anywhere Ltd | A method of generating an authentication token and a method of authenticating an online transaction |
US8245281B2 (en) | 2006-12-29 | 2012-08-14 | Aruba Networks, Inc. | Method and apparatus for policy-based network access control with arbitrary network access control frameworks |
US20080201780A1 (en) * | 2007-02-20 | 2008-08-21 | Microsoft Corporation | Risk-Based Vulnerability Assessment, Remediation and Network Access Protection |
US20080208957A1 (en) | 2007-02-28 | 2008-08-28 | Microsoft Corporation | Quarantine Over Remote Desktop Protocol |
US8185740B2 (en) * | 2007-03-26 | 2012-05-22 | Microsoft Corporation | Consumer computer health validation |
US20090178131A1 (en) | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
US9443084B2 (en) * | 2008-11-03 | 2016-09-13 | Microsoft Technology Licensing, Llc | Authentication in a network using client health enforcement framework |
-
2010
- 2010-06-14 US US12/815,215 patent/US8997196B2/en active Active
-
2011
- 2011-06-13 CN CN201110170880.3A patent/CN102281286B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101069402A (zh) * | 2004-10-26 | 2007-11-07 | 意大利电信股份公司 | 透明地验证访问web服务的移动用户的方法和系统 |
US20080127320A1 (en) * | 2004-10-26 | 2008-05-29 | Paolo De Lutiis | Method and System For Transparently Authenticating a Mobile User to Access Web Services |
Also Published As
Publication number | Publication date |
---|---|
US8997196B2 (en) | 2015-03-31 |
CN102281286A (zh) | 2011-12-14 |
US20110307947A1 (en) | 2011-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102281286B (zh) | 分布式混合企业的灵活端点顺从和强认证的方法和系统 | |
US10475273B2 (en) | Architecture for access management | |
JP6951329B2 (ja) | デジタルアイデンティティを管理するためのシステム及び方法 | |
US11763305B1 (en) | Distributed ledger for device management | |
CN108292331B (zh) | 用于创建、验证和管理身份的方法及系统 | |
CN101911585B (zh) | 基于认证输入属性的选择性授权 | |
JP5373997B2 (ja) | セキュアトランザクションを促進するために、ドメイン特定セキュリティサンドボックスを使用するためのシステムおよび方法 | |
CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
EP1914658B1 (en) | Identity controlled data center | |
US9443084B2 (en) | Authentication in a network using client health enforcement framework | |
WO2019213292A1 (en) | Distributed consent protecting data across systems and services | |
US20070220589A1 (en) | Techniques for validating public keys using AAA services | |
CN108351927A (zh) | 用于访问管理的无密码认证 | |
US20190325129A1 (en) | Delegated authorization with multi-factor authentication | |
AU2023223007A1 (en) | Secure online access control to prevent identification information misuse | |
JP2015515218A (ja) | 抽象化およびランダム化された取引認証用ワンタイム使用パスワードのための方法およびシステム | |
US20190098009A1 (en) | Systems and methods for authentication using authentication management server and device application | |
US20180218364A1 (en) | Managing distributed content using layered permissions | |
KR20160018554A (ko) | 신뢰 및 비신뢰 플랫폼에 걸쳐 인터넷 액세스가능 애플리케이션 상태를 로밍하는 기법 | |
US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
CN106415567B (zh) | 基于web浏览器cookie的安全令牌的拥有证明方法和设备 | |
JP2015038691A (ja) | 行動パターン認証による振込処理システムおよび方法 | |
Corella et al. | A Proposed Architecture for the NSTIC Ecosystem |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150717 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20150717 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |