CN102685089A - 用于企业应用的可信设备声明 - Google Patents
用于企业应用的可信设备声明 Download PDFInfo
- Publication number
- CN102685089A CN102685089A CN2011103079721A CN201110307972A CN102685089A CN 102685089 A CN102685089 A CN 102685089A CN 2011103079721 A CN2011103079721 A CN 2011103079721A CN 201110307972 A CN201110307972 A CN 201110307972A CN 102685089 A CN102685089 A CN 102685089A
- Authority
- CN
- China
- Prior art keywords
- client devices
- device asserts
- information
- certificate
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明描述了用于企业应用的可信设备声明。本发明的各实施例使得客户机设备能够获得描述客户机设备的一个或多个属性的可信设备声明,将这些设备声明包括在具有适合于被应用处理的格式的数据结构中,并结合要访问应用的请求来使用包括设备声明的数据结构。应用可使用设备声明来导出多种类型的应用功能中的任何功能,诸如与安全有关的功能和/或其他功能。
Description
技术领域
本发明涉及通信领域,尤其涉及设备声明技术。
背景技术
许多组织设法为用户提供在任何时间使用任何设备来从任何位置透明地访问应用的能力。向用户提供这一访问级别涉及克服多个障碍,包括与安全有关的那些障碍。例如,组织可取决于用户在组织中的角色和/或用户与组织的关系来向用户提供不同级别的应用访问。
发明内容
2010年6月24日提交的题为“Network Layer Claims Based Access Control(基于访问控制的网络层声明)”的共同转让的美国专利申请号12/822,724公开了通过在“声明”(对于本领域技术人员而言也称为断言)中所提供的信息的使用来提供关于在OSI栈的网络层处作出访问控制决定的灵活性的各技术。简言之,以上引用的申请公开了声明可提供在网络层处作出访问控制决定时有用的信息。在这方面,声明可包括关于以下中的任一个的信息:请求访问资源的计算机的多个属性、所请求的访问周围的情况、被请求访问的资源、和/或其他信息。根据所公开的各技术,在声明中提供的信息可鉴于一个或多个访问控制策略来被评估,并在决定向提出请求的计算机授予还是拒绝对特定网络资源的访问中使用。由于在声明中所提供的信息可比先前用于在网络层处作出访问控制决定的信息更详细,访问控制策略可被更灵活地制定,并且在作出访问控制决定时可提供更大的灵活性,以便将具有变换的本质或类型的信息考虑在内。
申请人认识到,在描述请求对应用程序进行访问的计算机的特性或属性的声明中提供的信息(下文中称为“设备声明”)可由被请求访问的应用使用来导出多种类型的应用功能中的任一个。该功能可包括访问授权和/或其他安全相关的功能,或多种其他类型的功能中的任一个。例如,应用可在使特定功能或数据对设备可用之前验证设备满足某些准则,可生成适合于设备的特性和/或能力的输出,或以多种其他方式中的任何方式来使用设备以声明形式提供的信息。本发明的各实施例不限于任何特定的使用。
本发明的某些实施例提供一种过程,借此过程使设备声明中的信息被转换为应用被配置成处理的形式。在这方面,申请人认识到,虽然设备声明被常规地使用(例如,为实现作出关于访问控制的灵活决定,如在以上引用的共同转让的申请中所公开的),但常规上它们未被应用使用,且应用未被配置成以设备声明常规被提供的形式来处理设备声明。结果,本发明的某些实施例允许将声明中的信息按应用被配置成消费的形式提供给应用。例如,设备声明常常以X.509证书形式由安全令牌服务(STS)发放,而应用未被配置成处理以这种形式提供的设备声明。根据本发明的某些实施例,X.509证书中包括的设备声明可被转换成应用被配置成处理的形式,诸如安全断言标记语言(SAML)令牌。在某些实施例中,X.509证书可首先被转换成Kerberos权证(例如,如在以上引用的申请中所描述的),然后被转换成SAML令牌以提供给应用。在其他实施例中,X.509证书可被直接转换成SAML令牌,而不必首先被转换成Kerberos权证。多种实现中的任何些都是可能的,且本发明的各实施例不限于按任何特定形式将设备声明提供给应用,或按任何特定方式将设备声明转换成该形式。
在某些实施例中,生成提供给应用的设备声明以使得设备声明是“可信的”,从而应用可被确保其中表示的信息是设备特性和/或属性的准确且真实的表示。例如,本发明的某些实施例提供包括要经由远程证明过程来生成的设备声明的证书,其中客户机设备从一个或多个数据源(例如,外部数据源)获得对其状态和特性的评估并将评估提供给证明服务器以便生成设备声明。因为设备声明是经由远程证明过程来生成的,所以它们可由应用接受作为设备的状态、特性和/或属性的可信表示。
以上是对由所附权利要求书所定义的本发明的非限定性的概述。
附图说明
附图不旨在按比例绘制。在附图中,各个附图中示出的每个相同或近乎完全相同的组件由同样的附图标记来表示。出于简明的目的,不是每个组件在每张附图中均被标记。在附图中:
图1是描绘了根据本发明的某些实施例的其中客户机设备获得包括设备声明信息的证书的系统的框图;
图2是描绘了包括用于按适于被web应用消费的格式来产生设备声明信息的组件的示例系统的框图;
图3是描绘了根据本发明的某些实施例的包括可用于将机器证书转换成SAML令牌的组件的系统的框图;
图4是描绘了根据本发明的某些实施例的示例过程的流程图,借此过程安全令牌服务从客户机设备接收并处理设备声明信息;
图5是描绘了一示例过程的流程图,借此过程客户机设备按适于被应用消费的格式获得设备声明信息;
图6是描绘了一示例过程的流程图,借此过程应用可处理从客户机设备接收的设备声明信息;
图7是描绘其上可实现本发明的某些实施例的示例计算机系统的框图;以及
图8是描绘其上可存储体现本发明的各方面的指令的示例存储器的框图。
具体实施方式
图1描绘了可用来生成包括可信设备声明的证书的示例系统。图1的系统确保设备声明的“可信性”从而保证它们对下游实体的真实性和完整性,下游实体诸如接收声明以用于处理的应用。在图1的示例系统中,可信性经由远程证明过程来确保,由此客户机设备110通过一个或多个网络130向证明服务器142(在所示示例中被实现在服务器140上)认证其自身。因为客户机经由远程证明过程展示其自身是可信的,所以证明服务器142“证明”设备声明是客户机设备110的状态、特性和/或属性的真实、真正且可信的指示。被指定为可信的设备声明之后可关于与客户机设备110访问网络资源的请求而被使用,且可向被访问的资源确保描述客户机设备110的状态、特性和/或属性的信息是准确的。
在图1所示的示例系统中,客户机设备110联系服务器140以请求包括与客户机设备110有关的信息的、声明形式的证书。例如,客户机设备110向服务器140发出的请求可以是针对包括与客户机设备110有关的信息的、以声明形式提供的X.509证书。当然,并非本发明的所有实施例都可将设备声明包括在X.509证书中,因为可采用多种形式中的任何形式,且本发明的各实施例不限于任何特定的实现。此外,由于本发明各实施例不限于这一方面,因此可用任何合适的形式来提供设备声明。例如,在本发明的某些实施例中,设备声明经由一个或多个发放策略(IP)OID来表示,安全和认证领域的技术人员将认识到发放策略OID是可用于传达设备状态和特性的、使用X.509扩展来编码的分层数字构造。当然,本发明的各实施例不限于使用IP OID来表示设备声明,因为可另选地采用任何一个或多个合适的表示形式,包括使用专有技术进行编码的形式。
设备声明可包括与客户机设备110有关的多种类型的信息中的任何信息。例如,信息可包括客户机设备110的“健康”的指示(例如,设备是否配备有安全和/或反病毒软件,特定(例如,安全)软件是否被激活,客户机设备是否采用了防火墙,防火墙是否是运行的,反病毒签名是否是最新的,等等)、客户机设备用来访问资源的密码术的类型(例如,是否将签名和/或加密通信用于通信,加密的类型等)、客户机设备110的标识符、客户机设备扮演的角色(例如,作为台式计算机、数据库服务器、web服务器等)、客户机设备的组织关系(例如,由销售部门操作、由财务部门操作等)、其所有者(例如,公司、职员、厂商等)、设备的地理位置、和/或多种其他类型的信息中的任何信息。本发明的各实施例不限于这一方面。
应该明白,图1所示的客户机设备110可以是任何合适的计算设备,诸如台式计算机或膝上型计算机、移动电话、个人数字助理、内容再现设备、电视机、游戏控制台和/或任何其他合适的设备类型。本发明的各实施例不限于与任何特定类型的设备一起使用。
为收集与客户机设备110有关的信息,数据收集器114与一个或多个数据源进行通信。在某些实施例中,数据收集器114是可扩展的,以使得可随着时间来补充其收集的信息(例如,经由一个或多个插件)。每一数据源基于数据收集器114供应给数据源的信息来提供指示客户机设备110的状态和/或健康的信息。在某些实施例中,每一数据源可对其提供给数据收集器114的信息进行“签名”以提供对信息的准确性的保证。
在所示示例中,数据收集器114与防火墙设备状态提供者(DSP)120通信以提供关于客户机设备110上的防火墙的状态的信息,与安全健康代理(SHA)122通信以提供关于客户机设备110的健康状况的信息,与地理位置DSP 124通信以提供关于客户机设备110的当前物理位置的信息,以及与反恶意软件DSP 126通信以提供关于客户机设备110上的反恶意软件引擎(未示出)的信息。提供给组件120、122、124和126中的任一个或全部的信息可例如描述客户机设备110在客户机设备110的生存周期期间发生多种事件中的任何事件时或之后的状态,该事件诸如对其操作系统(未在图1中示出)的重新引导、从休眠/睡眠中恢复、一个或多个驱动程序或软件补丁的安装、网络连接的启动、位置变更、或其他事件。因此可动态地生成信息和/或信息可以是上下文相关的,因为它可与客户机设备在特定时间的状态、声明被请求期间的情况(例如,设备的位置)等有关。
在所示示例中,数据收集器114从数据源120、122、124和126中的每一个接收经签名的信息,并将该信息提供给客户机设备110上的证明客户机112。当然,本发明的各实施例不限于这样的实现,因为可将多种变换中的任何变换应用于从数据源120、122、124和126中的任何数据源接收的信息。
另外,证明客户机112与TPM 116通信。TPM 116可执行与远程证明过程有关的若干功能中的任何功能。例如,TPM 116可允许事件被收集在其平台配置寄存器(PCR)中;允许生成、存储和使用密钥;允许在被称为“TCG日志”(未示出)的构造上生成“引证”来向远程方证明关于在该日志中报告的事件的可信性;维护可用于区分连续的引导周期的“引导计数器”并提供跨越休眠/重启事件的附加安全措施;和/或执行其他功能。可将作为这些功能中的一个或多个中的任一个功能的结果而生成的信息传递给证明客户机112。当然,不必在远程证明过程中采用TPM,因为本发明的各实施例不限于这一方面。如果TPM提供了指示,则该指示可用以数字形式表达的测量的形式来提供,但是本发明的各实施例不限于这一方面。
证明客户机112随后经由网络130将从数据源120、122、124和126收集的信息以及从TPM 116接收的指示提供给证明服务器142。在某些实施例中,证明服务器142可诸如通过确认TPM 116生成的测量来确定该测量在生成之后未被修改过,和/或通过确定客户机设备110是否没有病毒来评估从证明客户机112接收的信息。当然,证明服务器142可用多种方式中的任何方式来评估从证明客户机112接收的任何信息,因为本发明的各实施例不限于这一方面。如果评估结果是应该继续设备声明的生成(作为示例,如果客户机设备110被确定为没有已知恶意软件,包括但不限于已知病毒),则证明服务器142可发起为客户机设备110生成设备声明。
在某些实施例中,发起证明服务器142生成声明隐含地意味着从客户机设备接收的信息已经被证明服务器142接受为可信的,并因此证明服务器在从客户机设备110接受的信息的基础上生成的设备声明也要被其他(例如,下游)实体接受为可信的。
为发起设备声明的生成,证明服务器142向驻留在服务器140上的声明引擎144发出请求。在所示示例中,声明引擎144查询活动目录150来检索与客户机设备110和/或其用户(如果执行复合认证,如下文所描述的)有关的信息。
声明引擎144随后评估从上述源(包括证明服务器142和活动目录150)接收到的信息,并确定应该生成与客户机设备110有关的哪些设备声明。在某些实施例中,该确定至少部分地由声明引擎144所实现的一个或多个策略来驱动,声明引擎144基于接收到的信息来管理应该生成哪些设备声明。例如,策略可将证明服务器142对信息具有的信任的指示考虑在内,该指示可使用任何合适的技术来生成。当然,本发明的各实施例不限于这样的实现,因为不必使用一个或多个策略来控制声明生成,并且如果采用了一个或多个策略,它们也不必说明对信任的指示。
应该生成的对设备声明的指示随后由声明引擎144传递至声明生成器146。在图1的示例中,声明生成器146将设备声明包括在X.509证书中,但是本发明的(如上所述的)各实施例不限于这样的实现。设备声明可采用任何合适的一个或多个形式被包括在任何一个或多个数据结构中。如果采用X.509证书,则声明生成器146可经由证明服务器142和网络130将包括设备声明的证书提供给证明客户机112。
图2描绘了其中被包括在证书(例如,图1所示的示例系统所产生的)中的设备声明被转换成适于被web应用270处理的形式的示例系统。具体地,在图2的示例系统中,证书中的设备声明首先被包括在Kerberos权证中,Kerberos权证随后被转换成SAML令牌,SAML令牌是常规应用被配置成处理的一种形式。客户机设备110关于要访问web应用270的尝试可采用SAML令牌。例如,在某些实施例中,客户机设备110执行浏览器应用来发起对web应用270的访问,且浏览器可结合访问尝试来采用SAML令牌。然而,本发明的各实施例不限于这样的实现,因为任何合适的应用、浏览器或其他都可结合访问尝试来使用以任何合适形式提供的信息。还应该明白,虽然图2所示的示例系统描绘了客户机设备110试图访问的web应用,但本发明的各实施例不限于这样的实现,而是可提供对任何应用、服务、对象或其他组件的访问,这些组件可经由任何一个或多个通信协议来访问,这些通信协议可以包括或可以不包括超文本传输协议(HTTP)。本发明的各实施例不限于这一方面。
在所示示例中,客户机设备110首先从证明服务器140获得包括设备声明的证书,诸如以在上文中参考图1所述的方式。图2象征性地将这一处理表示为客户机设备110和证明服务器140之间的交互,其经由箭头205和210来指示。
在所示示例中,一旦向客户机设备110提供包括设备声明的证书,客户机设备110就向活动目录/密钥分发中心(AD/KDC)255发出请求以生成包括设备声明的Kerberos权证,如箭头215所指示的。Kerberos权证的生成可以多种方式中的任何方式来执行,因为本发明的各实施例不限于这一方面。一个示例技术在以上引用的美国专利申请第12/822,724号中公开,其中AD/KDC 255向客户机设备110提供权证授予权证(TGT),而客户机设备110使用TGT来请求权证授予服务(未在图2中示出)发放包括设备声明的Kerberos权证,但是本发明的各实施例不限于这样的实现。在所示示例中,将嵌入有设备声明的Kerberos权证提供给客户机设备110,如经由箭头220所指示的。
在某些实施例中,可执行复合认证(例如,对客户机设备110及其用户两者)。例如,客户机设备110向AD/KDC 255发出的请求可以针对不仅包括设备声明还包括用户声明的TGT。在这样的实现中,AD/KDC 255可检索与用户有关的信息,并将该信息或其导出作为用户声明与设备声明一起包括在提供给客户机设备110的TGT中。
应该明白,客户机设备110、证明服务器140和AD/KDC 255之间的上述交互可在任意时间执行,并且不必直接响应于客户机设备110要访问web应用270的尝试。例如,客户机设备可在尝试访问web应用270之前与证明服务器140和AD/KDC 255交互,以使得客户机设备在期望对web应用270的访问时具有带有嵌入的设备声明(和/或(如果执行复合认证)用户声明)的TGT。本发明的各实施例不限于在任何特定时间或响应于任何特定事件获得Kerberos权证,因为可采用任何合适的实现。
在所示示例中,当客户机设备110尝试访问web应用270时,web应用270将客户机设备110重定向至安全令牌服务(STS)265。这可用多种方式中的任何方式来实现,因为本发明的各实施例不限于任何特定的技术。在所示示例中,web应用270与STS 265具有信任关系。web应用270和STS 265之间的这种联系或关系可使用任何合适的方法来形成或指示,因为本发明的各实施例在这一方面不受限制。例如,web应用270的提供者可使得STS 265专门可用于从寻求访问web应用270的客户机设备接收经重定向的请求,STS 265可以是出于这一目的而建立的单独服务,或者STS 265可形成任何其他合适的安排的一部分。多种实现中的任何实现是可能的,且本发明的各实施例在这一方面不受限制。
在所示示例中,STS 265随后将客户机设备110重定向至STS 260,STS 260与客户机设备110驻留在组织边界202的同一侧上且与STS 265具有信任关系。和web应用270与STS 265之间的信任关系一样,可使用任何合适的技术来形成或指示STS 265和STS 260之间的信任关系。例如,可能已经在客户机设备110要访问web应用的尝试之前建立了STS 265和STS 260之间的信任关系,并可使得STS 260可专门用于处理来自客户机设备的要访问web应用的经重定向的请求。多种实现中的任何实现是可能的。
在所示示例中,当STS 260接收到经重定向的访问请求时,它指示客户机设备110向权证授予服务请求Kerberos权证以访问STS 260。在获得Kerberos权证之后,Kerberos权证被提供给STS 260,STS 260提取设备声明并将设备声明变换成SAML令牌中的声明。在某些实施例中,通过将来自Kerberos权证的信息变换成SAML令牌来将设备声明包括在SAML令牌中。然而,对Kerberos权证中提供的信息的多种变换或导出中的任一种是可能的并且可被执行,因为本发明的各实施例在这一方面不受限制。
在某些实施例中,STS 260可在新生成的SAML令牌中包括用户声明以及设备声明。如果要包括用户声明,则STS 260可用AD/KDC 255来验证用户供应的信息(例如,经由基于表单的认证),经由虚线箭头228指示。例如,用户供应的信息可使用从活动目录服务器检索的信息来验证,并且如果是可验证的,则用户供应的信息可作为用户声明被包括在SAML令牌中。
一旦生成SAML令牌,STS 260对令牌签名并将其返回至客户机设备110,然后将客户机设备110重定向至STS 265。客户机设备110将新生成的SAML令牌提供给STS 265。因为STS 260生成了SAML令牌且在STS 260和STS 265之间存在信任关系,所以STS 265随后生成并签名SAML令牌并将其发放给客户机设备110。给出STS 265和web应用270之间的信任关系,当客户机设备给出STS 265发放的SAML令牌时,web应用270将访问权授予客户机设备110,如经由箭头235所指示的。
Web应用270可用多种方式中的任何方式来使用SAML令牌中包括的设备声明。例如,web应用270可在授予对特定类型的数据的访问之前使用设备声明中提供的信息来验证某些安全措施在客户机设备110上就位。在这方面,某些组织常规地要求客户机设备具有BitLocker,BitLocker是在设备被盗用并激活以访问某些(例如,高商业影响)数据的情况下阻止对数据的未经授权的访问的加密组件。Web应用270可在授予对某些数据和/或某些应用功能的访问之前采用被包括在SAML令牌中的设备声明中的信息来确定客户机设备110是否激活了BitLocker。
在另一示例中,web应用270可在授予对某些数据的访问之前使用设备声明中的信息来验证没有已知的恶意软件在客户机设备110上执行。例如,web应用270可在提供对某些数据和/或应用功能的访问之前使用被包括在SAML令牌中的设备声明中的信息来验证没有已知的恶意软件驻留在客户机设备110上。
设备声明中的信息还可被与安全无关的应用功能使用。例如,设备声明中的信息可指示设备的特性或能力,且该信息可被web应用270用来特制适于这些特性或能力的输出。例如,如果客户机设备110是具有某一CPU、存储器量、屏幕分辨率等的移动电话,则指示这些特性的设备声明可被包括在提供给web应用270的SAML令牌中,且web应用270可使用这一信息来生成和/或更改适于设备的特性的内容。
应该明白,以上给出的示例仅表示应用可处理设备声明中提供的信息的多种可能的方式中的几种。本发明的各实施例不限于以任何特定的方式来使用该信息。
还应该明白,虽然图2描绘了从Kerberos权证生成包括设备声明的SAML令牌,但并非本发明的所有实施例都限于这样的实现。例如,SAML令牌可改为直接从证书生成,无需执行生成Kerberos权证的中间步骤。图3描绘了从接收自证明服务器的机器证书中生成包括设备声明信息的SAML令牌而无需首先将证书转换成Kerberos权证的示例系统。
在图3所示的示例中,客户机设备110首先从证明服务器140获得包括设备声明的证书,这可按与在上文中参考图1所述的大体上相同方式来执行。图3象征性地将这一过程表示为客户机设备110和证明服务器140之间的交互,经由箭头305和310指示。
一旦客户机设备110接收到包括设备声明的证书,它将该证书提供给STS代理345,如经由箭头315所指示的。如果期望复合(即,用户和设备)认证,则STS代理345可要求客户机设备110的用户(未在图3中示出)诸如经由基于表单的认证(FBA)来进行认证。如果用户和设备认证成功,则STS代理345将证书提供给STS 350,如经由箭头320所指示的。STS 350随后通过查询活动目录355来验证用户信息,如经由虚线箭头325所指示的。STS 350随后生成SAML令牌,令牌中包括从活动目录355接收的经验证的用户信息以及证书中提供的设备信息。如上文参考图2所描述的过程,可通过将来自证书的信息传输至SAML令牌或者通过将多种变换中的任一种应用于包括在证书中的信息来将设备声明包括在SAML令牌中。本发明的各实施例不限于这一方面。
STS 350随后将SAML令牌提供给STS代理345,如经由箭头330所指示的,而STS代理345随后将SAML令牌提供给客户机110,如经由箭头335所指示的。客户机设备110随后在要访问应用的请求中将SAML令牌提供给web应用365。客户机设备110随后结合访问尝试来使用SAML令牌,如经由箭头340所指示的。
应该明白,提供STS代理345是因为在所示安排中,提供了客户机设备在组织边界302以外的灵活性。例如,如果客户机设备110在组织边界302以内,则可改为采用Kerberos权证。
还应该明白,以上参考图2和3所述的技术只是示例性的,且本发明的各实施例可以不包括创建SAML令牌以供在访问web应用时使用。例如,本发明的某些实施例可提供包括设备声明信息的Kerberos权证的生成,并将该权证提供给web应用而无需首先将其转换成SAML令牌。其他实施例可能要求将包括设备声明的证书提供给应用而无需到SAML令牌的转换或以其他方式执行的任何转换。本发明的各实施例不限于任何特定的实现。
图4-6描绘了图1-3中描绘的组件所执行的示例过程。具体地,图4描绘了一示例过程,借此过程STS从客户机设备接收设备声明信息并处理设备声明信息,图5描绘了一示例过程,借此过程客户机设备将设备声明信息提供给STS并用适合于被应用消费的形式接收信息,而图6描绘了一示例过程,借此过程应用接收并处理设备声明。
首先参考图4,在所示示例过程的开始,在动作410中STS从客户机设备接收设备声明信息。在动作420中,转换设备声明信息以使其被包括在适合于被应用处理的格式的输出中。例如,设备声明信息可被包括在SAML令牌、Kerberos权证和/或适合于被应用处理的其他一个或多个格式中。在动作430中,将转换输出提供给客户机设备。图4的示例过程随后完成。
在图5所示的示例过程的开始,在动作510中客户机设备将设备声明信息提供给STS。在动作520中,随后按适合被应用处理的格式从STS接收设备声明信息。在动作530中,随后将设备声明信息提供给应用。图5的示例过程随后完成。
在图6所示示例过程的开始,在动作610中,应用从客户机设备接收设备声明信息,该设备声明信息是以应用被配置成处理的格式来提供的。在动作620中,应用随后处理设备声明信息。处理可包括例如执行取决于设备声明所描述的客户机设备的属性的功能。图6的示例过程随后完成。
用于实施本发明的各特征的系统和方法的各个方面可被实现在一个或多个计算机系统上,诸如图7中示出的示例性计算机系统700。计算机系统700包括输入设备702、输出设备701、处理器703、存储器系统704和存储706,这些设备全都经由可包括一个或多个总线、交换机、网络和/或任何其他合适互连的互连机制705来直接或间接地耦合。输入设备702接收来自用户或机器(如,人类操作者)的输入,并且输出设备701向用户或机器(如,液晶显示器)显示或传送信息。输入和输出设备主要可用于呈现用户界面。可用于提供用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其它声音生成设备。可用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示例,计算机可以通过语音识别或以其它可听格式来接收输入信息。
处理器703通常执行被称为操作系统(例如,微软Windows系列操作系统或任何其他合适的操作系统)的计算机程序,操作系统控制其他计算机程序的执行并提供调度、输入/输出以及其他设备控制、会计、汇编、存储安排、数据管理、存储器管理、通信以及数据流控制。笼统而言,处理器和操作系统定义为其编写应用程序和其他计算机程序语言的计算机平台。
处理器703还可执行一个或多个计算机程序以实现各种功能。这些计算机程序语言可以用任何类型的计算机程序语言来编写,包括过程程序设计语言、面向对象的程序设计语言、宏语言、或它们的组合。这些计算机程序可存储在存储系统706中。存储系统706可将信息保持在易失性或非易失性介质上,并可以是固定或可移动的。在图8中更详细地示出了存储系统706。
存储系统706可包括有形计算机可读和可写非易失性记录介质801,其上存储有定义计算机程序或要由该程序使用的信息的信号。记录介质例如可以是盘存储器、闪存、和/或可用于记录和存储信息的任何其它制品。通常,在操作中,处理器703使得数据从非易失性记录介质801读入允许处理器703比对介质801进行的更快的信息访问的易失性存储器802(如,随机存取存储器,即RAM)中。如图4所示,存储器802可位于存储系统706中或位于存储器系统704中。处理器703一般处理集成电路存储器704、802内的数据,随后在处理结束之后将这些数据复制到介质801中。已知有各种机制可用于管理介质801和集成电路存储元件704、802之间的数据移动,并且本发明不限于当前已知的或以后研发的任何机制。本发明也不限于特定的存储器系统704或存储系统706。
至此描述了本发明的至少一个实施例的若干方面,可以理解,本领域的技术人员可容易地想到各种更改、修改和改进。这样的更改、修改和改进旨在是本发明的一部分,且旨在处于本发明的精神和范围内。从而,上述描述和附图仅用作示例。
可以多种方式中的任一种来实现本发明的上述实施例。例如,可使用硬件、软件或其组合来实现各实施例。当使用软件实现时,该软件代码可在无论是在单个计算机中提供的还是在多个计算机和/或系统之间分布的任何合适的处理器或处理器的集合上执行。尽管可使用以任何适合的形式的电路来实现处理器,但这样的处理器可被实现为集成电路,集成电路组件中具有一个或多个处理器。
应当理解,执行此处描述的功能的任何组件或组件的集合一般可被认为是控制上述功能的一个或多个控制器。一个或多个控制器可以用众多方式来实现,诸如用专用硬件、或通过采用使用执行上述功能的微码或软件来编程的一个或多个处理器。在控制器存储或提供数据以供系统操作的情况下,这些数据可以存储在中央储存库中、多个储存库中、或其组合。
应当理解,计算机可以用多种形式中的任意一种来具体化,诸如机架式计算机、台式计算机、膝上型计算机、或平板计算机。此外,计算机可以具体化在通常不被认为是计算机但具有合适的处理能力的设备中,包括个人数字助理(PDA)、智能电话、或任何其它适合的便携式或固定电子设备。
同样,计算机可以具有一个或多个输入和输出设备。这些设备主要可用于呈现用户界面。可用于提供用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其它声音生成设备。可用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示例,计算机可以通过语音识别或以其它可听格式来接收输入信息。
这些计算机可以通过任何合适形式的一个或多个网络来互连,包括作为局域网或广域网,如企业网络或因特网。这些网络可以基于任何合适的技术并可以根据任何合适的协议来操作,并且可以包括无线网络、有线网络或光纤网络。
而且,此处略述的各种方法或过程可被编码为可在采用各种操作系统或平台中任何一种的一个或多个处理器上执行的软件。此外,这样的软件可使用多种合适的程序设计语言和/或程序设计或脚本工具中的任何一种来编写,而且它们还可被编译为可执行机器语言代码或在框架或虚拟机上执行的中间代码。
在这方面,本发明可被具体化为用一个或多个程序编码的一个计算机可读介质(或多个计算机可读介质)(如,计算机存储器、一个或多个软盘、紧致盘(CD)、光盘、数字视频盘(DVD)、磁带、闪存、现场可编程门阵列或其他半导体器件中的电路配置、或其他非瞬态的有形计算机可读存储介质),当这些程序在一个或多个计算机或其他处理器上执行时,它们执行实现本发明的上述多个实施例的方法。计算机可读介质或媒体可以是便携的,使得其上存储的一个或多个程序可被加载到一个或多个不同的计算机或其它处理器上以实现本发明上述的各个方面。如此处所使用的,术语“非瞬态计算机可读存储介质”只包含可被认为是产品(即,制品)或机器的计算机可读介质。
此处以一般的意义使用术语“程序”或“软件”来指可被用来对计算机或其他处理器编程以实现本发明上述的各个方面的任何类型的计算机代码或计算机可执行指令集。另外,应当理解,根据本实施例的一个方面,当被执行时实现本发明的方法的一个或多个计算机程序不必驻留在单个计算机或处理器上,而是可以按模块化的方式分布在多个不同的计算机或处理器之间以实现本发明的各方面。
计算机可执行指令可以具有可由一个或多个计算机或其他设备执行的各种形式,诸如程序模块。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,程序模块的功能可以按需在多个实施例中进行组合或分布。
而且,数据结构能以任何适合的形式存储在计算机可读介质上。为简化说明,数据结构可被示为具有通过该数据结构中的位置而相关的字段。这些关系同样可以通过对各字段的存储分配传达各字段之间的关系的计算机可读介质中的位置来得到。然而,可以使用任何适合的机制在数据结构的各字段中的信息之间建立关系,包括通过使用指针、标签、或在数据元素之间建立关系的其他机制。
本发明的各个方面可单独、组合或以未在前述实施例中特别讨论的各种安排来使用,从而并不将其应用限于前述描述中所述或附图形中所示的组件的细节和安排。例如,可使用任何方式将一个实施例中描述的各方面与其它实施例中描述的各方面组合。
同样,本发明可被具体化为方法,其示例已经提供。作为该方法的一部分所执行的动作可以按任何适合的方式来排序。因此,可以构建各个实施例,其中各动作以与所示的次序所不同的次序执行,不同的次序可包括同时执行某些动作,即使这些动作在此处描述的各说明性实施例中被示为顺序动作。
在权利要求书中使用诸如“第一”、“第二”、“第三”等序数词来修饰权利要求元素本身并不意味着一个权利要求元素较之另一个权利要求元素的优先级、先后次序或顺序、或者方法的各动作执行的时间顺序,而仅用作将具有某一名字的一个权利要求元素与(若不是使用序数词则)具有同一名字的另一元素区分开的标签以区分各权利要求元素。
同样,此处所使用的短语和术语是出于描述的目的而不应被认为是限制。此处对“包括”、“包含”、或“具有”、“含有”、“涉及”及其变型的使用旨在包括其后所列的项目及其等效物以及其他项目。
Claims (10)
1.一种方法,包括:
(A)应用(270)经由至少一个网络(130)从客户机设备(110)接收各自描述所述客户机设备的属性的一个或多个设备声明;
(B)采用至少一个处理器(703)来处理所述一个或多个设备声明,所述处理包括执行取决于所述一个或多个设备声明中的每一个所描述的所述客户机设备的属性的功能。
2.如权利要求1所述的方法,其特征在于,在(A)中接收的每一设备声明描述了从包括以下各项的一组属性中选择的所述客户机设备的属性:
所述客户机设备是否配备有安全软件,
所述客户机设备是否采用防火墙,
所述客户机设备采用的防火墙是否是运行的,
所述客户机设备上的反病毒签名是否是最新的,
所述客户机设备扮演的角色,
所述客户机设备所附属的组织,
所述客户机设备的所有者,以及
所述设备的地理位置。
3.如权利要求1所述的方法,其特征在于,(B)包括执行与安全有关的功能。
4.如权利要求1所述的方法,其特征在于,(B)包括生成为所述一个或多个设备声明所描述的所述客户机设备的属性特制的输出。
5.一种其上编码有指令的计算机可读存储介质(801),所述指令在被执行时执行一种方法,所述方法包括:
(A)经由至少一个网络(130)从客户机设备(110)接收各自描述所述客户机设备的属性的一个或多个设备声明;
(B)生成包括所述一个或多个设备声明的数据结构,所述数据结构具有适合于被应用处理的格式;以及
(C)将所述数据结构提供给所述客户机设备以供结合所述客户机设备要访问所述应用的请求来使用。
6.如权利要求5所述的计算机可读存储介质,其特征在于,(A)包括接收证书,所述证书包括各自描述所述客户机设备的属性的所述一个或多个设备声明。
7.如权利要求5所述的计算机可读存储介质,其特征在于,(B)包括生成包括所述一个或多个设备声明的SAML令牌。
8.一种包括至少一个处理器(703)的客户机设备(110),所述处理器被编程为:
向所述客户机设备可经由至少一个网络访问的证明机构请求包括一个或多个可信设备声明的证书,每一设备声明描述所述客户机设备的属性;
将所述证书或使用所述证书生成的Kerberos权证提供给安全令牌服务(STS),所述证书或Kerberos权证包括所述一个或多个可信设备声明;
从所述STS接收包括所述一个或多个可信设备声明的安全断言标记语言(SAML)令牌;
结合要访问web应用的请求来使用包括所述一个或多个可信设备声明的SAML令牌。
9.如权利要求8所述的客户机设备,其特征在于,还包括具有web能力的组件,且所述至少一个处理器被编程为使得所述具有web能力的组件能够结合要访问所述web应用的请求来使用所述SAML令牌。
10.如权利要求9所述的客户机设备,其特征在于,所述具有web能力的组件包括浏览器应用。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US38845510P | 2010-09-30 | 2010-09-30 | |
| US61/388,455 | 2010-09-30 | ||
| US13/015,202 | 2011-01-27 | ||
| US13/015,202 US8528069B2 (en) | 2010-09-30 | 2011-01-27 | Trustworthy device claims for enterprise applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102685089A true CN102685089A (zh) | 2012-09-19 |
| CN102685089B CN102685089B (zh) | 2016-01-27 |
Family
ID=45890973
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110307972.1A Active CN102685089B (zh) | 2010-09-30 | 2011-09-29 | 用于企业应用的可信设备声明的方法和客户机设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8528069B2 (zh) |
| CN (1) | CN102685089B (zh) |
| HK (1) | HK1174446A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161462A (zh) * | 2016-08-29 | 2016-11-23 | 无锡华云数据技术服务有限公司 | 一种网络安全认证方法 |
| WO2020259419A1 (zh) * | 2019-06-24 | 2020-12-30 | 华为技术有限公司 | 一种远程证明方式的协商方法及装置 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8918856B2 (en) | 2010-06-24 | 2014-12-23 | Microsoft Corporation | Trusted intermediary for network layer claims-enabled access control |
| US9087196B2 (en) * | 2010-12-24 | 2015-07-21 | Intel Corporation | Secure application attestation using dynamic measurement kernels |
| KR20140043068A (ko) * | 2011-02-17 | 2014-04-08 | 타세라, 아이엔씨. | 애플리케이션 증명을 위한 시스템 및 방법 |
| US9092616B2 (en) | 2012-05-01 | 2015-07-28 | Taasera, Inc. | Systems and methods for threat identification and remediation |
| US9369458B2 (en) * | 2012-05-18 | 2016-06-14 | Red Hat, Inc. | Web-centric authentication protocol |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US9396320B2 (en) | 2013-03-22 | 2016-07-19 | Nok Nok Labs, Inc. | System and method for non-intrusive, privacy-preserving authentication |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US20170109751A1 (en) | 2014-05-02 | 2017-04-20 | Nok Nok Labs, Inc. | System and method for carrying strong authentication events over different channels |
| CN104660583B (zh) * | 2014-12-29 | 2018-05-29 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
| US10803175B2 (en) * | 2015-03-06 | 2020-10-13 | Microsoft Technology Licensing, Llc | Device attestation through security hardened management agent |
| US9614845B2 (en) | 2015-04-15 | 2017-04-04 | Early Warning Services, Llc | Anonymous authentication and remote wireless token access |
| US9674200B2 (en) * | 2015-07-14 | 2017-06-06 | Mastercard International Incorporated | Identity federation and token translation module for use with a web application |
| US10084782B2 (en) | 2015-09-21 | 2018-09-25 | Early Warning Services, Llc | Authenticator centralization and protection |
| US9973500B2 (en) * | 2016-04-18 | 2018-05-15 | Bank Of America Corporation | Security architecture for authentication and audit |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US11115224B1 (en) * | 2018-06-05 | 2021-09-07 | Amazon Technologies, Inc. | Access control system |
| EP3534288A3 (en) * | 2019-02-13 | 2020-08-12 | Merck Patent GmbH | Methods and systems for token-based anchoring of a physical object in a distributed ledger environment |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US11290471B2 (en) * | 2019-08-27 | 2022-03-29 | Hewlett Packard Enterprise Development Lp | Cross-attestation of electronic devices |
| JP7322283B2 (ja) * | 2019-09-03 | 2023-08-07 | グーグル エルエルシー | 安全な識別情報検索のためのシステムおよび方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1521978A (zh) * | 2002-12-31 | 2004-08-18 | 国际商业机器公司 | 与异类联合体环境中验证声明相关的拥有证明操作用方法和系统 |
| US7630974B2 (en) * | 2004-09-28 | 2009-12-08 | Oracle International Corporation | Multi-language support for enterprise identity and access management |
| US20100001833A1 (en) * | 2008-07-07 | 2010-01-07 | Microsoft Corporation | Representing security identities using claims |
| CN101785243A (zh) * | 2007-08-31 | 2010-07-21 | 微软公司 | 可传递受限安全令牌 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2025170A1 (en) * | 1989-09-28 | 1991-03-29 | John W. White | Portable and dynamic distributed applications architecture |
| US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US8266266B2 (en) * | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
| US7114174B1 (en) * | 1999-10-01 | 2006-09-26 | Vidiator Enterprises Inc. | Computer program product for transforming streaming video data |
| US20020138643A1 (en) * | 2000-10-19 | 2002-09-26 | Shin Kang G. | Method and system for controlling network traffic to a network computer |
| US6873988B2 (en) * | 2001-07-06 | 2005-03-29 | Check Point Software Technologies, Inc. | System and methods providing anti-virus cooperative enforcement |
| US7809807B2 (en) * | 2001-08-08 | 2010-10-05 | Canon Kabushiki Kaisha | Image forming system, image forming method, and server |
| US20030065942A1 (en) * | 2001-09-28 | 2003-04-03 | Lineman David J. | Method and apparatus for actively managing security policies for users and computers in a network |
| US7903549B2 (en) * | 2002-03-08 | 2011-03-08 | Secure Computing Corporation | Content-based policy compliance systems and methods |
| US7987491B2 (en) * | 2002-05-10 | 2011-07-26 | Richard Reisman | Method and apparatus for browsing using alternative linkbases |
| CN101241426B (zh) * | 2003-03-27 | 2011-03-23 | 佳能株式会社 | 控制装置 |
| US7792920B2 (en) * | 2004-04-30 | 2010-09-07 | Vulcan Inc. | Network-accessible control of one or more media devices |
| US7774824B2 (en) | 2004-06-09 | 2010-08-10 | Intel Corporation | Multifactor device authentication |
| US8095983B2 (en) | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Platform for analyzing the security of communication protocols and channels |
| US20090164564A1 (en) * | 2005-07-01 | 2009-06-25 | Michael John Willis | System and methods for mobilizing web content |
| FI20050770A (fi) | 2005-07-19 | 2007-01-20 | Ssh Comm Security Corp | Todentaminen turvakäytännön yhteydessä |
| US20070150934A1 (en) | 2005-12-22 | 2007-06-28 | Nortel Networks Ltd. | Dynamic Network Identity and Policy management |
| US8528058B2 (en) * | 2007-05-31 | 2013-09-03 | Microsoft Corporation | Native use of web service protocols and claims in server authentication |
| CA2632793A1 (en) * | 2008-04-01 | 2009-10-01 | Allone Health Group, Inc. | Information server and mobile delivery system and method |
| CN101635707A (zh) * | 2008-07-25 | 2010-01-27 | 国际商业机器公司 | 在Web环境中为用户提供身份管理的方法和装置 |
| US8332647B2 (en) * | 2009-06-25 | 2012-12-11 | Raytheon Company | System and method for dynamic multi-attribute authentication |
| US9384299B2 (en) * | 2009-09-22 | 2016-07-05 | Thwapr, Inc. | Receiving content for mobile media sharing |
-
2011
- 2011-01-27 US US13/015,202 patent/US8528069B2/en active Active
- 2011-09-29 CN CN201110307972.1A patent/CN102685089B/zh active Active
-
2013
- 2013-01-29 HK HK13101253.5A patent/HK1174446A1/zh unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1521978A (zh) * | 2002-12-31 | 2004-08-18 | 国际商业机器公司 | 与异类联合体环境中验证声明相关的拥有证明操作用方法和系统 |
| US7630974B2 (en) * | 2004-09-28 | 2009-12-08 | Oracle International Corporation | Multi-language support for enterprise identity and access management |
| CN101785243A (zh) * | 2007-08-31 | 2010-07-21 | 微软公司 | 可传递受限安全令牌 |
| US20100001833A1 (en) * | 2008-07-07 | 2010-01-07 | Microsoft Corporation | Representing security identities using claims |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161462A (zh) * | 2016-08-29 | 2016-11-23 | 无锡华云数据技术服务有限公司 | 一种网络安全认证方法 |
| CN106161462B (zh) * | 2016-08-29 | 2019-02-15 | 无锡华云数据技术服务有限公司 | 一种网络安全认证方法 |
| WO2020259419A1 (zh) * | 2019-06-24 | 2020-12-30 | 华为技术有限公司 | 一种远程证明方式的协商方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102685089B (zh) | 2016-01-27 |
| US8528069B2 (en) | 2013-09-03 |
| US20120084850A1 (en) | 2012-04-05 |
| HK1174446A1 (zh) | 2013-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102685089A (zh) | 用于企业应用的可信设备声明 | |
| US8918856B2 (en) | Trusted intermediary for network layer claims-enabled access control | |
| CN101785243B (zh) | 可传递受限安全令牌 | |
| US9344432B2 (en) | Network layer claims based access control | |
| US9336369B2 (en) | Methods of licensing software programs and protecting them from unauthorized use | |
| US8417640B2 (en) | Secure license key method and system | |
| CN103620556A (zh) | 将应用绑定到设备能力 | |
| US9111079B2 (en) | Trustworthy device claims as a service | |
| CN107409129B (zh) | 使用访问控制列表和群组的分布式系统中的授权 | |
| US20080066170A1 (en) | Security Assertion Revocation | |
| CN102938043A (zh) | 授权应用对安全资源的访问 | |
| US9129098B2 (en) | Methods of protecting software programs from unauthorized use | |
| Nyman et al. | Citizen electronic identities using TPM 2.0 | |
| US20240048562A1 (en) | Sponsor delegation for multi-factor authentication | |
| CN110414253A (zh) | 一种基于区块链的电子病历管理方法、装置、系统及设备 | |
| US20070016770A1 (en) | System and method for managing the initiation of software programs in an information handling system | |
| US11146403B2 (en) | Self-governed secure attestation policy for server data privacy logs | |
| CN109324843A (zh) | 一种指纹处理系统、方法及指纹设备 | |
| US20220376902A1 (en) | Resource access control | |
| US20230370473A1 (en) | Policy scope management | |
| US20220407877A1 (en) | Detecting data leakage | |
| CN102404315B (zh) | 作为服务的可信设备声明 | |
| WO2024015508A1 (en) | Non-fungible token authentication | |
| WO2023241879A1 (en) | Protecting sensitive data dump information | |
| CN115348035A (zh) | 访问请求的处理方法及装置、存储介质、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1174446 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150728 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150728 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1174446 Country of ref document: HK |