CN102349061A - 动态远程外围绑定 - Google Patents
动态远程外围绑定 Download PDFInfo
- Publication number
- CN102349061A CN102349061A CN2009801579555A CN200980157955A CN102349061A CN 102349061 A CN102349061 A CN 102349061A CN 2009801579555 A CN2009801579555 A CN 2009801579555A CN 200980157955 A CN200980157955 A CN 200980157955A CN 102349061 A CN102349061 A CN 102349061A
- Authority
- CN
- China
- Prior art keywords
- user
- remote
- smart card
- local
- local system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002093 peripheral effect Effects 0.000 title abstract description 48
- 238000000034 method Methods 0.000 claims abstract description 32
- 239000000284 extract Substances 0.000 claims abstract description 11
- 238000000605 extraction Methods 0.000 claims description 4
- 238000003780 insertion Methods 0.000 claims 2
- 230000037431 insertion Effects 0.000 claims 2
- 230000006870 function Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/067—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
- G06K19/07—Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/131—Protocols for games, networked simulations or virtual reality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了动态远程外围绑定的系统和方法。在一个实施例中,此类系统包括被配置为将智能卡阅读器(110)绑定到本地系统(102)的本地系统(102)。智能卡阅读器(110)被配置为从智能卡(112)提取数据。该系统包括针对与智能卡(112)相关联的用户认证信息提示用户的本地认证引擎(120)。本地认证引擎(120)认证用户与智能卡(112)相关联,被授权访问用户证书并从智能卡(112)提取用户证书。远程访问客户端(116)模块建立从本地系统(102)到远程系统(104)的远程会话(121)。本地系统(102)将智能卡阅读器(110)从本地系统(102)解除绑定并将智能卡阅读器(110)绑定到远程系统(104)。
Description
背景技术
操作系统(一般缩写为OS和O/S)是负责计算机的活动的管理和协调及资源共享的计算机系统的软件组件。操作系统充当用于在机器上运行的应用程序的主机。作为主机,操作系统的目的之一是处理硬件的操作细节。这使应用程序解除不得不管理这些细节并使得编写应用程序更为容易。几乎所有计算机都是使用某种类型的操作系统,包括手持式计算机、台式计算机、巨型计算机以及甚至现代视频游戏机。薄型客户端是可以运行不如用来连接到其它计算机的标准桌面操作系统那样强大的型式的操作系统的台式计算机或本地系统的示例。在本地系统上,可以将远程访问客户端软件初始化以连接到远程系统。
附图说明
参考以下附图能够更好地理解本公开的许多方面。图中的组件不一定按比例,而是着重于清楚地举例说明本公开的原理。此外,在图中,相似的附图标记遍及多个图指定相应的部分。虽然结合这些图描述了多个实施例,但并不意图使本公开局限于本文公开的实施例。相反,意图是涵盖所有替换、修改和等价物。
图1举例说明依照本公开的实施例的网络环境。
图2是依照本公开的实施例的来自图1的网络环境的图1的本地系统的方框图。
图3是依照本公开的实施例的与图1的远程系统通信的图1的本地系统的方框图。
图4是采用图1的本地系统和图1的远程系统的动态远程外围绑定的方法的示例性实施例的流程图。
图5是采用图1的本地系统和图1的远程系统的动态远程外围绑定的方法的替换示例性实施例的流程图。
图6是采用图1的本地系统和图1的远程系统的动态远程外围绑定的方法的替换示例性实施例的流程图。
图7是响应于智能卡去除的图1的本地系统和/或图1的远程系统行为的示例性实施例的流程图。
具体实施方式
单点登录(SSO)是远程系统所使用的访问控制方法,其使得用户能够登录一次并在不被提示再次登录的情况下获得对多个软件能系统或服务的资源的访问。单点登出是相反的过程,由此,登出的单个动作终止对多个软件系统的访问。由于不同的应用程序和资源支持不同的认证机制,所以单点登录在内部翻译并存储与可以用于初始认证的相比不同的证书。
SSO的示例性实施例可以实现所有其它应用程序和系统出于认证目的利用的集中式认证服务器,并且可以将其与技术组合以保证用户不会主动地必须输入其证书不止一次。
可以将企业单点登录(E-SSO)系统设计为使用户键入ID和口令以登录到多个应用程序中的次数最小化。E-SSO解决方案自动地为用户登录,并在自动登录不可能的情况下充当口令填写者。可以对每个客户端给定处理该认证的令牌。在E-SSO解决方案的替换实施例中,每个客户端具有存储在计算机上以处理认证的E-SSO软件。在服务器侧,可以将E-SSO认证服务器集成到企业网络中。
另外,可以采用智能卡认证来提供SSO和/或E-SSO系统中的硬件水平安全元件。在远程可视化系统、即其中例如本地系统能够访问远程桌面或在本地系统上显示的其它远程运行应用程序的系统中,本公开的实施例可以采用智能卡认证以用于对本地系统以及远程系统的访问。本公开还提出了其中能够将诸如智能卡阅读器的外围设备动态地绑定到本地系统和/或远程系统的系统和方法。
在本公开的背景下,在某些实施例中,当外围设备绑定到本地系统和/或远程系统时,外围设备绑定到的系统能够独有地访问外围设备。在其它实施例中,当外围设备绑定到本地系统和/或远程系统时,外围设备绑定到的系统能够非独有地访问该设备。应认识到外围设备能够经由诸如USB连接、串联连接等本地连接绑定到本地系统。可替换地,外围设备能够经由通过网络与远程系统通信的本地系统绑定到远程系统。在某些实施例中,本地和远程系统能够使用外围设备进行用户认证。例如,智能卡阅读器能够被本地系统本地地用于用户认证目的以及被远程系统用于远程访问服务器进行的认证。
因此,参考图1,示出了根据本公开的实施例的网络环境100的一个示例。在一个实施例中,本地系统102被配置为与远程系统104通信。在描绘的实施例中,本地系统102还被配置为与网络106通信。同样地,远程系统104可以被配置为与网络106通信,从而促进本地系统102与远程系统104之间的通信。网络106可以包括任何类型的网络环境,诸如因特网、内部网、局域网、广域网(WAN)、无线网络、蜂窝式网络、电话网络或其它适当的网络或网络的组合。
所描绘的本地系统102可以包括个人计算机、薄型客户端计算设备或能够认识到的其它计算系统。远程系统104可以包括个人计算机、服务器、认证设备或能够认识到的其它计算系统。在一个实施例中,本地系统102可以包括被配置为访问计算资源、存储资源、软件资源以及被容纳在远程系统104内或可用于远程系统104的其它资源的薄型客户端计算设备。因此,网络环境100的用户能够从各种位置访问远程系统104的资源,并且远程系统104能够保持关于用户的简档信息、偏好及其它数据以允许用户访问被容纳在远程系统104内或可用于远程系统104的软件应用程序。这样,远程系统104能够向各种用户分配虚拟桌面,无论用户的位置如何,其可以是一致的。另外,此类系统促进本地系统102的部署、维护和替换,因为薄型客户端设备能够被部署为本地系统102,其具有存在于远程系统104上或可用于远程系统104的用户所需的显著计算资源。此类架构能够根据用户的需要使得显著的计算资源可用于本地系统102,同时促进低成本薄型客户端设备作为本地系统102在网络环境100中的使用。
本地系统102还可以包括经由通用串行总线(USB)、以太网、IEEE-1394、串行和/或并行端口或能够认识到的其它连接标准与之附接的外围设备。在一个实施例中,外围设备包括被配置为访问、读和/或写智能卡112的智能卡阅读器110。因此,在一个实施例中,本地系统102能够经由智能卡阅读器110接受并访问用户的智能卡112,其中,用关于用户的各种信息对智能卡112进行编码。此类信息可以包括但不限于:用户证书、授权令牌、公钥、私钥或能够认识到的其它认证或用户数据。还可以采用数据加密和/或解密来存储和/或从智能卡112提取某些数据。在一个实施例中,智能卡112可以包括未加密数据以及加密数据。未加密数据可以包括诸如用户名、公钥等不那么敏感的数据,而加密数据可以包括诸如口令、用户证书、私钥等更加敏感的数据。
因此,智能卡阅读器110能够绑定到本地系统102并促进智能卡112的使用以向本地系统102认证用户。另外,智能卡阅读器110能够经由本地系统102和网络106绑定到远程系统104。因此,根据本公开的实施例,被本地系统102访问的智能卡阅读器110能够绑定到远程系统104以促进向远程系统104的用户认证。以上功能仅仅是根据本公开的实施例的一个示例,因为应认识到任何外围设备都能够绑定到本地系统102以及远程系统104。因此,本地系统102和远程系统104能够访问被耦合到本地系统102的任何类型的外围设备。
参考图2,示出了根据本公开的实施例的本地系统102的一个示例。图2描绘具有存储器124和处理器142的本地系统102,处理器142被配置为执行各种软件组件以促进采用被智能卡阅读器110访问的智能卡112的用户的认证。例如,存储器124和处理器142能够与数据总线125通信,智能卡阅读器110也能够与数据总线125通信。因此,在智能卡112插入智能卡阅读器110时,能够由智能卡阅读器110生成外围设备事件,其能够被本地认证引擎120处理,在一个实施例中,本地认证引擎120被存储在存储器124中且可被处理器142执行。本地系统102执行本地认证引擎120以从智能卡112提取各种用户数据以便认证和/或识别智能卡112所属的和/或被分配到的用户。
在一个实施例中,本地系统102的本地认证引擎120在智能卡112进入智能卡阅读器110时能够认证用户并提供对本地系统102的访问。换言之,如果用户拥有具有存储在上面的适当用户证书的智能卡,则本地认证引擎120能够对用户许可对本地系统102的访问。在另一实施例中,本地认证引擎120能够针对诸如口令、个人识别号或其它用户提供的认证信息的附加认证信息对用户进行提示。换言之,本地认证引擎120能够通过针对能够使用存储在智能卡112上的数据来检验的用户提供证书对用户进行提示来提供附加的安全层。为了促进以上所述,智能卡阅读器110绑定到本地系统102,因为其独有地或非独有地可用于本地系统102的本地认证引擎120。
本地系统102还能够执行远程访问客户端116以便促进本地系统102与远程系统104之间的通信。因此,现在对图3进行参考,其描绘与远程系统104通信的本地系统102。为了促进本地系统102与远程系统104之间的通信,本地系统102能够执行远程访问客户端116。同样地,远程系统104能够执行被配置为与远程访问客户端116通信的远程访问服务器132以促进此类功能。本地系统102和/或远程系统104能够为希望经由本地系统102获得对远程系统104的访问的用户建立远程会话121。如上文参考图1所述的,远程会话121可以包括促进用于各种用户的虚拟桌面和/或远程访问功能的各种用户简档信息、偏好及其它数据。
在一个实施例中,当智能卡112插入本地系统102的智能卡阅读器110中时,智能卡阅读器110能够触发能够被远程访问客户端116处理的事件。因此,远程访问客户端116能够建立与为用户建立的远程会话121相对应的远程外围会话128,其允许远程访问客户端116如上所述地经由智能卡阅读器110从智能卡112提取和/或访问信息。远程访问客户端116能够将远程外围会话128和远程会话121内的关于智能卡112和智能卡阅读器110的数据传送到存储在存储器130中且由处理器143执行的远程访问服务器132。
远程访问服务器132因此能够在远程系统104中建立基于服务器的远程外围会话133。在一个实施例中,基于服务器的远程外围会话133能够为远程系统104提供对智能卡112和智能卡阅读器110的独有访问,从而将智能卡阅读器110从本地系统102解除绑定并将智能卡阅读器110绑定到远程系统104。在智能卡阅读器110绑定到远程系统104时,远程认证引擎134能够提取编码在智能卡112上的关于用户的数据以便对用户进行认证。在一个实施例中,用户能够向本地系统102呈现智能卡112,本地系统102能够建立远程会话121,其具有远程外围会话120以促进能够施加于软件口令认证方案的顶部上的物理安全层。
因此,基于服务器的远程外围会话133能够对远程系统104提供对智能卡阅读器110的独有访问,并且远程认证引擎134能够对可以存储在智能卡112上并从智能卡112提取的用户证书进行认证。远程认证引擎134还能够经由远程会话121和本地系统102针对附加认证信息对用户进行提示。作为非限制性示例,远程认证引擎134能够从用户请求个人识别号、口令和/或其它认证数据,其能够经由输入设备被本地系统102接收并经由网络106传送到远程系统104。用户可以终止远程会话121和/或到远程系统104的连接,这随后将智能卡阅读器110从远程系统104解除绑定。因此,智能卡112和智能卡阅读器110能够在远程会话121终止时再次绑定到本地系统102。
在另一实施例中,本地系统102能够在建立远程会话121和/或与远程系统104的通信之前经由本地认证引擎120本地地对用户进行认证。在建立远程会话121时,智能卡阅读器110能够从本地系统102解除绑定并绑定到远程系统104。因此,远程系统104然后能够从智能卡112和智能卡阅读器110提取数据和/或访问智能卡112和智能卡阅读器110。
现在参考图4,其描绘了根据本公开的一个实施例的过程的一个示例。还可以将图2的流程图视为远程外围绑定的方法。在方框205中,用户能够在本地系统102(图1)中发起远程访问客户端116(图3)。在方框210中,用户将智能卡112(图1)滑动到、插入智能卡阅读器110或另外提供对智能卡112的访问给智能卡阅读器110(图1)。在方框215中,智能卡阅读器110被作为本地系统102的本地外围设备附接。在方框220中,本地认证引擎120(图3)接收智能卡事件的通知并与本地附接的外围设备通信以从智能卡112提取用户证书。在方框225中,远程访问客户端116(图3)促进基于由智能卡112返回的用户证书、由用户输入的网际协议地址或能够认识到的其它数据进行的用户可以连接到的远程访问服务器132(图3)的确定。
在方框235中,远程访问客户端116建立到远程访问服务器的连接。该连接可以是匿名连接。在方框240中,远程访问客户端116将智能卡阅读器110从本地系统102解除绑定。这时,智能卡阅读器不再可用于供除远程访问客户端116之外的本地系统102上的软件使用。例如,本地认证引擎120不再能够访问智能卡阅读器110。在方框245中,远程访问客户端116将本地附接的智能卡阅读器绑定到远程访问服务器132。
在方框250中,远程访问服务器132基于为用户创建的远程会话121来建立基于服务器的远程外围会话133(图3)。智能卡阅读器110现在可用于远程访问服务器132和远程认证引擎134(图3)。用户然后可以向远程访问服务器132认证其本身。如果远程访问服务器132被配置为使用智能卡认证,则能够使用基于服务器的远程外围会话133来访问智能卡。
当远程会话121终止时,智能卡阅读器110被从远程系统104解除绑定并被绑定到本地系统102。因此,智能卡阅读器110可以是可用于到远程系统104的后续重新连接的。因此,智能卡阅读器110可用于供本地系统102使用,因为远程系统104已解除其使用。虽然上述方法讨论了智能卡的使用作为示例,但应认识到本文公开的系统和方法能够应用于本地系统102和远程系统104可能要求对其的访问和/或独有访问的任何外围设备。
参考图5,流程图300提供了依照本公开的用于远程外围绑定的方法的实施例的一个示例。在方框310中,本地系统102(图1)在智能卡阅读器110(图1)中接收智能卡112(图1)。在本地系统102中不存在由远程访问客户端116(图1)建立的远程会话121的情况下,智能卡阅读器110被绑定到本地系统102。在方框330中,能够针对个人识别号(PIN)或其它认证信息对用户进行提示。用户可以经由诸如输盘、鼠标等输入设备在本地系统102中输入此类认证信息。在方框340中,本地系统102接收PIN并建立远程会话121(图3)。在方框350中,在已在本地系统102中的远程访问客户端116(图3)与远程系统104(图1)中的远程访问服务器132(图3)之间建立连接之后将智能卡阅读器从本地系统解除绑定。在方框360中,将智能卡阅读器从本地系统102解除绑定并经由远程访问客户端116和远程访问服务器132绑定到远程系统104,这促进远程系统104中的基于服务器的远程外围会话133的创建。
如本文所公开的,动态外围绑定的方法的示例性实施例允许在已在本地系统102与远程系统104之间建立连接之后将非限制性示例性智能卡阅读器110(图1)动态地绑定到本地系统102(图1)和远程系统104(图1)。这允许本地地和远程地使用诸如智能卡阅读器110的外围设备。现在参考图6中的远程外围绑定的替换示例性实施例,用户能够通过将智能卡112(图1)插入被绑定到本地系统102的智能卡阅读器110来访问本地系统102并进一步经由本地系统102请求对远程系统104的访问。在方框410中,本地系统102接收智能卡。
在方框430中,本地系统102从智能卡112提取用户证书。在一个实施例中,可以从智能卡112从智能卡112数据的未加密部分提取用户名。在另一实施例中,本地系统102可以从智能卡112提取用户证书数据并将其解密。在方框440中,远程访问客户端116(图3)查询数据库以确定要与之连接的远程系统104(图3)。在确定要与之连接的远程系统104时,本地系统102能够显示与认证屏幕、虚拟桌面、用户简档数据、用户偏好或由远程系统104的能够认识到的其它数据相对应的用户界面。
因此,远程访问客户端116能够创建远程会话121(图3)以及远程外围会话128,其将智能卡阅读器110从本地系统102解除绑定并将智能卡阅读器110绑定到远程访问服务器132(图1)中的基于服务器的远程外围会话133(图3)。因此,远程认证引擎134(图3)能够从智能卡112提取用户证书信息。远程认证引擎134然后能够促使远程访问客户端116基于从智能卡112提取的用户证书信息生成请求来自用户的认证信息(例如PIN、密码短语等)的一个或多个用户界面元素。在方框450中,用户能够输入诸如PIN的认证信息,其被本地系统102接收。在方框460中,远程认证引擎134能够出于验证的目的确定接收到的PIN是否与从智能卡112提取的用户证书信息一致。
在方框470中,远程认证引擎134访问智能卡阅读器110,并且使用输入的PIN将智能卡112解锁以访问和/或提取存储在智能卡112中的安全证书。在一个实施例中,可以基于输入的PIN或能够认识到的其它数据以密码方式执行解锁。在方框480中,本地系统102能够用提取的安全证书对用户进行认证。在一个实施例中,本地认证引擎能够通过例如查询活动目录域控制器来对用户进行认证。在另一实施例中,本地认证引擎能够将安全证书传送到远程系统104,其能够采用远程认证引擎进行用户认证。
在方框490中,智能卡阅读器110在如上所述的用户认证时被从远程系统104解除绑定,因为远程系统104能够终止基于服务器的远程外围会话133,并且远程访问客户端能够终止远程外围会话128,从而将智能卡阅读器110从独有使用释放。在方框495中,智能卡阅读器110在被远程访问客户端116和远程访问服务器132释放时绑定到本地系统102。然后对用户进行认证以访问本地系统102以及远程系统104的计算资源。
现在参考图7,示出了依照本公开的实施例的方法的一个示例。该方法500举例说明从智能卡阅读器110去除智能卡112时的本地系统102和远程系统104的行为。在一个实施例中,为了终止和/或中止远程会话121,用户可以简单地从智能卡阅读器110去除智能卡112。在方框510中感测智能卡去除时,可以将本地系统102配置为做以下各项中的一个,作为非限制示例:1)在方框520中锁定本地系统102的桌面;2)在方框530中使用户登出桌面;以及3)什么都不做。在方框520中,在本地系统102和/或远程系统104中可以保持对应于用户的远程会话121,但是本地系统102和/或远程系统104可以要求认证以允许用户重新开始远程会话121。在方框530中,可以由本地系统102和/或远程系统104终止对应于用户的远程会话121。如果远程会话121被终止,则用户必须如上所述地建立新的远程会话121。
如果系统已被配置为响应于方框520中的智能卡112的去除锁定本地系统102的桌面,则用户可以使用相同的本地系统102或访问不同的本地系统102并插入其智能卡。用户然后必须在方框540中进行重新认证。因此,本地系统102能够将桌面解锁并重新开始被中止的远程会话121。此类功能允许用户锁定本地系统102上的桌面,漫游到另一本地系统102,呈现智能卡112和/或其它认证信息并重新开始同一远程会话121。
如果系统已被配置为在方框中登出本地系统102并终止远程会话121,则用户能够使用相同的本地系统102或不同的本地系统102,并呈现其智能卡112和/或其认证信息。可以遵循如前所述的相同过程。必须对用户进行重新认证并生成新的远程会话121。
如果系统已被配置为响应于智能卡112的去除什么都不做,则用户能够转到不同的本地系统102并呈现其智能卡112和/或其它认证信息。然而,在不同的本地系统102上,在方框540中,用户必须建立新的远程会话121并向本地系统102和/或远程系统104对其本身进行认证。
本文所公开的连接/断开连接的动态远程外围绑定的系统和方法允许在由用户建立远程会话121(图1)之后动态地将外围设备,例如智能卡阅读器110(图1)及其它即插即用设备从本地系统102绑定到远程系统104。这允许本地地且如果期望的话然后远程地使用外围设备。
本文公开的实施例能够在硬件、软件、固件或其组合中实现。本文公开的至少一个实施例可以在存储在存储器中且由适当的指令执行系统来执行的软件和/或固件中实现。如果在硬件中实现,能够用任何以下技术或其组合来实现本文公开的实施例中的一个或多个:具有用于对数据信号实现逻辑函数的逻辑门的离散逻辑电路、具有适当的组合逻辑门的专用集成电路(ASIC)、可编程门阵列(PGA)、现场可编程门阵列(FPGA)等。
外围设备逻辑可以作为指令存在于存储器中,该指令在被处理器装置执行时实现连接/断开连接时的动态远程外围绑定。作为非限制性示例,处理器装置可以是例如微处理器、微控制器、网络处理器、数字信号处理器、可重配置处理器或可扩展处理器。
可以替换地在硬件中实现外围设备,包括但不限于可编程逻辑器件(PLD)、可编程门阵列(PGA)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、芯片上系统(SoC)以及封装中系统(SiP)。此外,可以将外围设备逻辑实现为处理器可执行软件和硬件逻辑的组合。
本文中包括的流程图示出了软件的可能实施方式的架构、功能和操作。在这方面,能够解释每个方框以表示软件模块、段或代码部分,其包括用于实现指定逻辑函数的一个或多个可执行指令。应注意的是在某些替换实施方式中,在方框中记录的功能可以不按顺序发生和/或根本不发生。例如,连续地示出的两个方框可以实际上基本上同时地执行,或者有事可以按照相反的顺序来执行该方框,取决于所涉及的功能。
本文所列的任何程序(其可以包括用于实现逻辑功能的可执行指令的有序列表)可以在供指令执行系统、装置或设备,例如基于计算机的系统、包含处理器的系统或能够从指令执行系统、装置或设备获取指令并执行该指令的其它系统使用或与之相结合的任何计算机可读介质。在本文的上下文中,“计算机可读介质”可以是能够包含或存储供指令执行系统、装置或设备使用或与之相结合的程序的任何装置。计算机可读介质可以是例如但不限于电子、磁性、光学、电磁、红外或半导体存储系统、装置或设备。计算机可读介质的更具体示例(非排他性列表)可以包括便携式计算机磁盘(磁性)、随机存取存储器(RAM)(电子)、只读存储器(ROM)(电子)、可擦可编程只读存储器(EPROM或闪速存储器)(电子)、便携式压缩磁盘只读存储器(CDROM)(光学)、数字多功能磁盘只读存储器(DVD-ROM)及能够认识到的其它存储介质。另外,本公开的某些实施例的范围可以包括体现在已在硬件或软件配置介质中体现的逻辑中描述的功能。
还应注意的是条件语言(诸如其中“能够”、“可”、“可能”或“可以”,除非另外具体地说明,或另外在所使用的背景内理解)通常意图传达的是某些实施例包括某些特征、元素和/或步骤,而其它实施例不包括。因此,此类条件语言通常并不意图暗示一个或多个特定实施例以任何方式要求特征、元素和/或步骤,或者一个或多个特定实施例在有或没有用户输入或提示的情况下必须包括用于判定的逻辑,无论在任何特定实施例中是否包括或将执行这些特征、元素和/或步骤。
应强调的是上述实施例仅仅是实施方式的可能示例,仅仅是为了清楚地理解本公开的原理而阐述的。在基本上不脱离本公开的精神和原理的情况下可以对上述实施例进行许多变更和修改。所有此类修改和变更意图在此包括在本公开的范围内。
Claims (15)
1.一种方法,包括:
将智能卡阅读器(110)绑定到本地系统(102),智能卡阅读器(110)被配置为从智能卡(112)提取数据;
针对与智能卡(112)相关联的用户认证信息(310)对用户进行提示,智能卡(112)具有存储在其上面的用户证书;
接收用户提供的认证数据(340、430);
认证用户与智能卡(112)相关联并被授权访问用户证书(460);
从智能卡(470)提取用户证书;
将智能卡阅读器从本地系统(350)解除绑定;
建立从本地系统(102)到远程系统(104)的远程会话(121);以及
将智能卡阅读器(110)绑定到远程系统(104)。
2.权利要求1的方法,还包括采用提取的用户证书(470)来向远程系统(104)认证用户(480)的步骤。
3.权利要求1的方法,其中,认证用户与智能卡(112)相关联且被授权访问用户证书(460)的步骤还包括从智能卡(430)的未加密部分提取用户名、为与该用户名相关联的查询认证数据(440)查询数据库以及针对查询的认证数据(460)对用户提供的认证数据进行认证。
4.权利要求3的方法,其中,用户证书被存储在智能卡(112)的加密部分(470)中。
5.权利要求4的方法,其中,所述用户证书是以下各项中的至少一个:安全证书、私钥、口令以及通行短语(470)。
6.权利要求1的方法,还包括确定将从多个远程系统(225)向其建立远程会话(121)的远程系统(104)的步骤。
7.权利要求1的方法,还包括步骤:
检测智能卡(112、510)的去除;以及
采用安全措施,安全措施包括以下各项中的至少一个:中止远程会话(520)并终止远程会话(530)。
8.权利要求7的方法,还包括步骤:
检测智能卡(112)在智能卡阅读器(110)中的插入;以及
提示用户重新认证用户与智能卡相关联并被授权访问用户证书(540)。
9.一种包括用于对用户进行认证的程序的计算机可读存储介质,该程序在被计算机处理器执行时促使处理器执行步骤:
将智能卡阅读器(110)绑定到本地系统(102),智能卡阅读器(110)被配置为从智能卡(112)提取数据;
针对与智能卡(112)相关联的用户认证信息(310)对用户进行提示,智能卡(112)具有存储在其上面的用户证书;
接收用户提供的认证数据(340、430);
认证用户与智能卡(112)相关联并被授权访问用户证书(460);
从智能卡(470)提取用户证书;
将智能卡阅读器从本地系统(350)解除绑定;
建立从本地系统(102)到远程系统(104)的远程会话(121);以及
将智能卡阅读器(110)绑定到远程系统(104)。
10.一种用于对用户进行认证的系统,包括:
本地系统(102),其被配置为将智能卡阅读器(110)绑定到本地系统(102),智能卡阅读器(110)被配置为从智能卡(112)提取数据;
本地认证引擎(120),其被配置为针对与智能卡(112)相关联的用户认证信息对本地系统(102)的用户进行提示,智能卡(112)具有存储在其上面的用户证书并接收用户提供的认证数据,本地认证引擎还被配置为认证用户与智能卡(112)相关联且被授权访问用户证书,并从智能卡(112)提取用户证书;
远程访问客户端(116)模块,其被配置为建立从本地系统(102)到远程系统(104)的远程会话(121);以及
其中,本地系统(102)将智能卡阅读器(110)从本地系统(102)解除绑定并将智能卡阅读器(110)绑定到远程系统(104)。
11.权利要求10的系统,其中,远程系统(104)还包括被配置为接收提取的用户证书并采用提取的用户证书来向远程系统(104)认证用户的远程认证(134)模块。
12.权利要求10的系统,其中,本地认证引擎(120)还被配置为从智能卡(112)的未加密部分提取用户名,为与用户名相关联的查询认证数据查询数据库,并针对查询的认证数据对用户提供的认证数据进行认证。
13.权利要求10的系统,其中,本地系统(102)还被配置为:
检测智能卡(112、510)的去除;以及
采用安全措施,安全措施包括以下各项中的至少一个:中止远程会话(520)并终止远程会话(530)。
14.权利要求13的系统,其中,所述本地系统还被配置为:
检测智能卡(112)在智能卡阅读器(110)中的插入;以及
提示用户重新认证用户与智能卡(112)相关联并被授权访问用户证书(540)。
15.权利要求10的系统,其中,远程访问客户端(116)确定将从多个远程系统(225)向其建立远程会话(121)的远程系统(104)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2009/036918 WO2010104511A1 (en) | 2009-03-12 | 2009-03-12 | Dynamic remote peripheral binding |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102349061A true CN102349061A (zh) | 2012-02-08 |
| CN102349061B CN102349061B (zh) | 2014-04-16 |
Family
ID=42728607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980157955.5A Expired - Fee Related CN102349061B (zh) | 2009-03-12 | 2009-03-12 | 用于对用户进行认证的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8348157B2 (zh) |
| CN (1) | CN102349061B (zh) |
| DE (1) | DE112009004968T5 (zh) |
| GB (1) | GB2480581B (zh) |
| WO (1) | WO2010104511A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040103325A1 (en) * | 2002-11-27 | 2004-05-27 | Priebatsch Mark Herbert | Authenticated remote PIN unblock |
| US8418079B2 (en) | 2009-09-01 | 2013-04-09 | James J. Nicholas, III | System and method for cursor-based application management |
| FR2973185B1 (fr) * | 2011-03-22 | 2013-03-29 | Sagem Defense Securite | Procede et dispositif de connexion a un reseau de haute securite |
| US9542148B2 (en) * | 2011-08-24 | 2017-01-10 | Lenovo (Singapore) Pte. Ltd. | Adapting a user interface of a remote desktop host |
| CN102496035A (zh) * | 2011-11-15 | 2012-06-13 | 大唐微电子技术有限公司 | 实现智能卡与卡终端交互数据采集的系统及方法 |
| US20130139185A1 (en) * | 2011-11-30 | 2013-05-30 | Oracle International Corporation | Intercepting and tracing interface routine transactions |
| US9224001B2 (en) * | 2012-03-30 | 2015-12-29 | Aetherpal Inc. | Access control list for applications on mobile devices during a remote control session |
| CN103595790B (zh) | 2013-11-14 | 2017-01-04 | 华为技术有限公司 | 设备远程访问的方法、瘦客户端和虚拟机 |
| US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
| CN104808501B (zh) | 2015-03-31 | 2018-02-02 | 小米科技有限责任公司 | 智能场景删除方法和装置 |
| US10433168B2 (en) * | 2015-12-22 | 2019-10-01 | Quanta Computer Inc. | Method and system for combination wireless and smartcard authorization |
| US10050957B1 (en) * | 2016-04-08 | 2018-08-14 | Parallels International Gmbh | Smart card redirection |
| CN106713269B (zh) * | 2016-11-21 | 2019-08-06 | 珠海格力电器股份有限公司 | 数据处理方法和系统、单点服务端和远程服务端 |
| US10958640B2 (en) * | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
| US10798097B2 (en) * | 2018-08-07 | 2020-10-06 | Dell Products L.P. | Intelligent redirection of authentication devices |
| US11316854B2 (en) * | 2019-02-04 | 2022-04-26 | Dell Products L.P. | Reverse authentication in a virtual desktop infrastructure environment |
| US11782610B2 (en) * | 2020-01-30 | 2023-10-10 | Seagate Technology Llc | Write and compare only data storage |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030139180A1 (en) * | 2002-01-24 | 2003-07-24 | Mcintosh Chris P. | Private cellular network with a public network interface and a wireless local area network extension |
| US20060013393A1 (en) * | 2000-02-08 | 2006-01-19 | Swisscom Mobile Ag | Single sign-on process |
| CN101022482A (zh) * | 2007-01-22 | 2007-08-22 | 珠海市鸿瑞软件技术有限公司 | 一种拨号安全网关装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6549934B1 (en) | 1999-03-01 | 2003-04-15 | Microsoft Corporation | Method and system for remote access to computer devices via client managed server buffers exclusively allocated to the client |
| KR20020039703A (ko) | 2000-11-22 | 2002-05-30 | 정경석 | 다수의 웹 사이트에 대한 사용자 인증 단일 처리 방법 및사용자 인증 단일 처리 시스템 |
| KR20030075809A (ko) | 2002-03-20 | 2003-09-26 | 유디에스 주식회사 | 멀티도메인으로 구성된 웹사이트에서 단일 로그인에 의한접속자 인증 방법 |
| JP4420201B2 (ja) * | 2004-02-27 | 2010-02-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム |
| US8769275B2 (en) * | 2006-10-17 | 2014-07-01 | Verifone, Inc. | Batch settlement transactions system and method |
| US20090007248A1 (en) * | 2007-01-18 | 2009-01-01 | Michael Kovaleski | Single sign-on system and method |
| US7823775B2 (en) * | 2007-02-28 | 2010-11-02 | Red Hat, Inc. | Access to a remote machine from a local machine via smart card |
| US8070061B2 (en) * | 2008-10-21 | 2011-12-06 | Habraken G Wouter | Card credential method and system |
| BRPI0920478B1 (pt) * | 2009-01-29 | 2020-03-17 | Hewlett - Packard Development Company, L.P. | Método para uso em um arranjo de rede, computador remetente e meio de armazenagem legível por computador não-transitório |
-
2009
- 2009-03-12 DE DE112009004968T patent/DE112009004968T5/de active Pending
- 2009-03-12 US US13/255,668 patent/US8348157B2/en active Active
- 2009-03-12 WO PCT/US2009/036918 patent/WO2010104511A1/en active Application Filing
- 2009-03-12 CN CN200980157955.5A patent/CN102349061B/zh not_active Expired - Fee Related
- 2009-03-12 GB GB1115552.0A patent/GB2480581B/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060013393A1 (en) * | 2000-02-08 | 2006-01-19 | Swisscom Mobile Ag | Single sign-on process |
| US20030139180A1 (en) * | 2002-01-24 | 2003-07-24 | Mcintosh Chris P. | Private cellular network with a public network interface and a wireless local area network extension |
| CN101022482A (zh) * | 2007-01-22 | 2007-08-22 | 珠海市鸿瑞软件技术有限公司 | 一种拨号安全网关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB201115552D0 (en) | 2011-10-26 |
| US8348157B2 (en) | 2013-01-08 |
| WO2010104511A1 (en) | 2010-09-16 |
| CN102349061B (zh) | 2014-04-16 |
| DE112009004968T5 (de) | 2012-07-12 |
| GB2480581B (en) | 2014-05-07 |
| GB2480581A (en) | 2011-11-23 |
| US20110315763A1 (en) | 2011-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102349061B (zh) | 用于对用户进行认证的方法和系统 | |
| US9613205B2 (en) | Alternate authentication | |
| JP6239788B2 (ja) | 指紋認証方法、装置、インテリジェント端末及びコンピュータ記憶媒体 | |
| US20140282992A1 (en) | Systems and methods for securing the boot process of a device using credentials stored on an authentication token | |
| CN101599832B (zh) | 一种实现网络系统登录的个人身份认证方法及系统 | |
| US8595806B1 (en) | Techniques for providing remote computing services | |
| WO2003088014A3 (en) | User authentication for computer systems | |
| CN107292176A (zh) | 用于访问计算设备的可信平台模块的方法和系统 | |
| WO2010089723A1 (en) | A circuit, system, device and method of authenticating a communication session and encrypting data thereof | |
| CN106446692A (zh) | 硬件强制访问保护 | |
| KR101741917B1 (ko) | 음성인식을 활용한 인증 장치 및 방법 | |
| Tsai et al. | Trusted M-banking Verification Scheme based on a combination of OTP and Biometrics | |
| CN102694782A (zh) | 基于互联网的安全性信息交互设备及方法 | |
| EP3111360A1 (en) | Universal authenticator across web and mobile | |
| JP2013517584A (ja) | 個人用のポータブルで安全性の確保されたネットワークアクセスシステム | |
| EP1870832B1 (en) | Pairing to a wireless peripheral device at the lock-screen | |
| KR102016976B1 (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
| CN103428191A (zh) | 基于cas框架与指纹相结合的单点登录方法 | |
| CN108964883A (zh) | 一种以智能手机为介质的数字证书存储与签名方法 | |
| EP2051469A1 (en) | Delegation of authentication | |
| JP5040860B2 (ja) | 認証システム、認証制御方法、及び認証制御プログラム | |
| CN112560116A (zh) | 一种功能控制方法、装置和存储介质 | |
| KR20180132811A (ko) | 사용자와 모바일 단말기 및 추가 인스턴스 간의 보안 상호 작용을 위한 방법 | |
| CN103870736A (zh) | 用于互联网访问控制的个人信息安全保护装置和访问方法 | |
| KR100930012B1 (ko) | 사용자 인증 처리방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140416 |