CN104052602B - 用于单点登录的方法和装置 - Google Patents
用于单点登录的方法和装置 Download PDFInfo
- Publication number
- CN104052602B CN104052602B CN201410095577.5A CN201410095577A CN104052602B CN 104052602 B CN104052602 B CN 104052602B CN 201410095577 A CN201410095577 A CN 201410095577A CN 104052602 B CN104052602 B CN 104052602B
- Authority
- CN
- China
- Prior art keywords
- application
- ltpa
- tokens
- order
- uia
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了利用单点登录结合命令行接口防止密码泄漏。提供了一种技术,用于把轻量级域访问协议(LDAP)请求从用户接口应用(UIA)传送到LDAP服务器;响应于LDAP请求的传送而在UIA接收LTPA令牌;从UIA向与一个应用关联的命令行接口传送所述LTPA令牌连同要由所述应用执行的命令;由所述应用验证LTPA令牌;以及响应于所述验证而由所述应用执行所述命令的技术。所述技术还包括从所述应用向与第二应用关联的第二命令行接口传送所述LTPA令牌连同要由第二应用执行的第二命令;由第二应用验证所述LTPA令牌;以及响应于由第二应用进行的验证而由第二应用执行第二命令。
Description
技术领域
要求保护的主题总体上涉及计算机安全,而且更具体地说,涉及对命令行接口提供单点安全登录。
背景技术
对计算工具和命令行接口的访问可能需要用户ID和密码的输入。一般而言,为多种行为采用命令行接口,诸如但不限于起动服务器、改变配置等。命令行接口还可以用来处理诸如打开或关闭安全性的安全配置。
有些工具接受提供必要登录认证信息的安全证书。此外,用户可以经程序或应用访问计算工具和命令行接口。通常,这种访问使用户必需为每次访问尝试提供任何所需的用户ID、密码和凭证。许多程序不允许级联的凭证,这使得或者难以或者不可能对许多应用与命令行接口提供安全的单点登录(SSO)。解决这个问题的一条可能途径是由每个访问的应用或程序维护为能够访问程序和命令行接口的用户管理凭证的凭证库(credentialvault)。
发明内容
提供了对命令行接口进行安全的单点登录(SSO)的技术。需要安全SSO的命令行接口与程序提供使用户能够传递可以用于认证用户的令牌,诸如轻量级第三方认证(LTPA)或LTPA2令牌,的选项。以这种方式,不再需要先前可用的凭证管理方案。
提供了一种技术,用于把轻量级域访问协议(LDAP)请求从用户接口应用(UIA)传送到LDAP服务器;响应于LDAP请求的传送,在UIA接收LTPA令牌;从UIA向与一个应用关联的命令行接 口传送所述LTPA令牌连同要由所述应用执行的命令;由所述应用验证LTPA令牌;以及响应于所述验证,由所述应用执行所述命令。所述技术还包括:从所述应用向与第二应用关联的第二命令行接口传送所述LTPA令牌连同要由第二应用执行的第二命令;由第二应用验证所述LTPA令牌;以及响应于由第二应用进行的验证,由第二应用执行第二命令。
本概述不是要作为要求保护的主题的综合描述,而是要提供对与其关联的一些功能性的简要概述。通过检查下图和具体描述,要求保护的主题的其它系统、方法、功能性、特征与优点将或者将变得对本领域技术人员显而易见。
附图说明
当结合附图考虑以下对所公开实施例的具体描述时,可以获得对要求保护的主题的更好理解,其中:
图1是可以实现要求保护的主题的计算系统体系架构的一个例子。
图2是根据要求保护的主题,说明用户、用户接口(UI)应用、轻量级域访问协议(LDAP)服务器与命令行接口(CLI)之间关系的框图。
图3是说明UI应用、web组件,C1、C2…CM,与LDAP服务器之间关系的框图。
图4是可以实现要求保护的主题各方面的“得到令牌(Get Token)”过程的一个例子的流程图。
图5是可以实现要求保护的主题各方面的“建立连接(Establish Connection)”过程的一个例子的流程图。
具体实施方式
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现 为以下形式,即:完全的硬件实施例、完全的软件实施例(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施例,这里可以统称为“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设 计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。
计算机程序指令还可以加载到计算机、其它可编程数据处理装置或者其它设备上,使得一系列操作步骤在计算机、其它可编程装置或者其它设备上执行,产生一种计算机实现的过程,使得在所述计算机或者其它可编程装置上执行的指令提供用于实现在所述流程图和/或框图中一个或多个方框中规定的功能/动作的过程。
现在转向附图,图1是可以实现根据所公开技术的单点登录(SSO)过程的计算系统体系架构100的一个例子。计算系统102包括耦合到监视器106的中央处理单元(CPU)104、键盘108以及定 点设备或“鼠标”110,这些组件一起方便人与体系架构100和计算系统102的其它元件交互。也包括在计算系统102中并且附连到CPU104的是计算机可读存储介质(CRSM)112,它或者可以结合到CPU104中(即内部设备),或者通过各种常用的连接设备,诸如但不限于通用串行总线(USB)端口(未示出),在外部附连到CPU104。CRSM112被示出为存储计算机应用的一个例子,即app_1114。app_1114由计算系统102托管并且包括可以通过采用要求保护的主题来访问的命令行接口(CLI),即CLI_1115。存储在CRSM112上的还有与用户接口(UI)应用或者“UIA”118关联的逻辑。应当指出,典型的计算系统将包括多于一个应用,但是为了简化只示出了一个。
计算系统102通信耦合到局域网(LAN)120,局域网120耦合到互联网130。也耦合到LAN120并且由此耦合到计算系统102的是第二计算系统122。虽然没有示出,但是客户端系统122通常也将包括CPU、监视器、键盘、定点设备以及CRSM。计算系统122被示出为托管第二应用,即app_2124,该应用存储在CRSM(未示出)上并且在CPU或“处理器”(未示出)上执行,其中CRSM与CPU都与计算系统122关联。就像app_1114那样,app_2124也包括可以根据要求保护的主题来访问的CLI,即CLI_2125。
还附连到互联网130的是服务器132和轻量级目录访问协议(LDAP)服务器140,就像计算系统102和122那样,该服务器通常将包括CPU、监视器、键盘和定点设备。耦合到服务器132的是CRSM134,该CRSM被示出为存储服务应用,即或者简单地说“服务”136,该服务包括可以根据要求保护的主题来访问的CLI,即CLI_M137。LDAP服务器140及其与所要求保护的主题的关系在下面结合图2-5解释。
虽然在这个例子中计算系统102、122、服务器132和LDAP服务器140都经LAN120和互联网130中的一个或二者通信耦合,但是它们也可以通过任何数量的通信介质,诸如但不限于附加的LAN (未示出)或者直接或间接、有线或无线连接进行耦合。另外,应当指出,存在许多可能的计算系统配置,其中体系架构100和计算系统102仅仅是简单的例子。贯穿本说明书,计算系统102和122、应用114和124、服务器132和服务136都用作可以实现和/或利用要求保护的主题的计算组件的例子。
图2是说明根据要求保护的主题在用户152、UIA118(图1)、LDAP服务器140(图1)和CLI166之间的关系的框图。用户152把用户标识(ID)和密码(PW)154输入到UIA118中,以便关于UIA118登录并被认证。UIA118经通信链路158向LDAP服务器140传送LDAP请求(Req)156,该请求包括ID&PW154。响应于基于ID和PW154对用户152的验证和认证,LDAP服务器140通过经通信链路162向UIA118传送轻量级第三方认证(LTPA)令牌(tok)160来对UIA118作出响应。然后,UIA118可以利用LTPA令牌160与LDAP服务器140通信,而不需要再次输入ID和PW154。
根据要求保护的主题,LTPA令牌160可以经通信链路168传送到CLI166,以便为CLI166提供安全的登录。CLI166经通信链路170向LDAP服务器140传送LTPA令牌160,以便验证和认证用户152。当前可用的技术需要用户152向CLI166传送ID和PW154并且需要CLI166向LDAP服务器140传送LDAP请求(未示出)。当前技术的一些缺点包括但不限于需要CLI166知道ID和PW154,这通常是通过为能访问CLI166的用户维护凭证库并管理凭证。此外,有可能ID和PW154最终被记录到控制台日志,这会是个安全问题。
图3是说明UIA118(图1和2)、web组件的一些例子,即C_1172、C_2176等一直到C_M180,以及LDAP服务器140(图1和2)之间的关系的框图。Web组件172、176和180中每一个都具有CLI,即分别是CLI_1174、CLI_2178和CLI_M182。就像在图2中一样,UIA118在LDAP请求156(图2)中向LDAP服务器 140传送ID和PW154。响应于基于ID和PW154对用户152(图2)的验证和认证,LDAP服务器140通过向UIA118传送LTPA令牌160作出响应(图2)。
当UIA118访问C_1172时,LTPA令牌160被传送到CLI_1174。换句话说,CLI_1174暴露了允许UIA118传递LTPA令牌160而不是ID和PW154的选项。然后,C_1172可以通过向LDAP服务器140传送LTPA令牌160来验证和认证用户152。以这种方式,C_1172不需要知道ID和PW154,并且ID和PW154可能在无意中被暴露的任何机会都通过使用LTPA令牌160从命令执行历史、外壳日志或操作系统(OS)上对应于C_1172的过程中隐藏掉用户名和密码而减轻了。
以类似的方式,C_1172可以向C_2的CLI_2178传送LTPA令牌160,使得C_1172和用户152可以不需要传送ID和PW154就得以认证和验证。为了认证,C_2176仅仅向LDAP服务器140传送LTPA令牌160。这种验证/认证链可以继续,作为例子,让C_2176向C_M180的CLI_M182传送LTPA令牌160,C_M180通过向LDAP服务器140传送LTPA令牌160来验证和认证C_2176和用户152。
图4是可以实现要求保护的主题各方面的“得到令牌”过程200的一个例子的流程图。在以下的例子中,过程200与存储在CRSM112(图1)上并且在计算系统102(图1)的CPU104(图1)的一个或多个处理器(未示出)上执行的逻辑关联。
过程200在“开始得到令牌”方框200中开始并且立即前进到“接收ID和PW”方框204。在与方框204关联的处理期间,用户152通过提供用户ID和密码,即ID&PW154(图2和3),登录到UIA118(图2和3)。在与“生成LDAP请求”方框206关联的处理期间,生成LDAP请求156(图2)。在与“传送LDAP请求”方框208关联的处理期间,LDAP请求156从UIA118传送到LDAP服务器140(图1-3)。虽然在图4中没有示出,但是在接收到包括 ID&PW154的LDAP请求156时,LDAP服务器140认证并验证用户152、生成LTPA令牌160(图2和3)并且把令牌传送回UIA118。在与“等待LTPA令牌”方框210关联的处理期间,UIA118等待LDAP服务器140传送回LTPA令牌160。
在与“接收到令牌?”方框212关联的处理期间,确定令牌160是否已被返回。应当理解,令牌可能没有返回的原因包括但不限于LDAP服务器140拒绝ID&PW154并且因此不认证和/或验证用户152或者过程200可以在等待比预定时间周期长的时间之后发布超时。在没有接收到LTPA令牌的情况下,控制前进到“抛出异常(Throw Exception)”方框214,在这个过程期间,采取适当的动作,包括但不限于通知用户152并且通过重新传送LDAP请求156重试登录。
如果在与方框212关联的处理期间确定已经接收到LTPA令牌160,则控制前进到“存储LTPA”方框216。根据要求保护的主题,在与方框216关联的处理期间,在与方框210关联的处理期间接收到的LTPA令牌160存储在CRSM112中,用于随后使用。一旦LTPA令牌160已经在与方框216关联的处理期间存储或者已经在与方框214关联的处理期间抛出异常,控制就前进到“结束得到令牌”方框219,其中过程200完成。
图5是可以实现要求保护的主题各方面的“建立连接”过程250的一个例子的流程图。在以下例子中,过程250与存储在与计算系统122(图1)关联的CRSM(未示出)上并且在计算系统122的CPU(未示出)的一个或多个处理器(未示出)上执行的逻辑关联。在这个例子中,根据要求保护的主题,通过传送已经存储在计算系统102(图1)的CRSM112(图1)上的LTPA令牌160,UIA118(图2和3)请求对app_2124(图1)的CLI_2125的访问(见216,图4)。
过程250在“开始建立连接”方框252开始并且立即前进到“接收访问请求”方框254。在与方框254关联的处理期间,CLI接收对 访问或服务的请求。连同该请求一起传送的是LTPA令牌。在这个例子中,通过包括LTPA令牌160的消息,UIA118(图1-3)向CLI_1174(图3)传送访问web组件C_1172(图3)的请求。应当指出,要求保护的主题同等地适用于对web组件、对不同web组件的请求。例如,一旦C_1172接收到请求,提取出的LTPA令牌(见256)和对服务的请求就可以转发到不同的web组件,诸如C_2176(图3)和CLI_2178(图3)或者C_M180(图3)和CLI_M182(图3)。
在与“提取LTPA令牌”方框256关联的处理期间,为在与方框254关联的处理期间接收到的请求提取LTPA令牌160。在与“认证/验证(A/V)LTPA令牌”方框258关联的处理期间,在与方框256关联的处理期间提取出的令牌通过从LDAP服务器140(图1-3)请求认证/验证来验证。在与“接收到A/V?”方框260关联的处理期间,确定LDAP服务器140是否已经利用A/V消息应答。应当指出,验证/认证可能没有被返回的原因包括但不限于LDAP服务器140拒绝令牌160或者过程250可以在等待比预定时间周期长的时间后发布超时。
如果没有接收到A/V,则控制前进到“抛出异常”方框262。在与方框262关联的处理期间,采取适当的动作,包括但不限于通知请求链中的组件,最终是用户152(图2),并且通过向LDAP服务器140重新传送LTPA令牌160来重试A/V。如果在与方框260关联的处理期间确定已经接收到A/V,则控制前进到“处理请求”方框264,在这期间处理所请求的操作。以这种方式,操作可以从一个组件请求,而不需要传送用户ID和密码。最后,在与“结束建立连接”方框269关联的处理期间,过程250完成。以这种方式,防止了用户ID和密码的不必要的暴露。
这里所使用的术语仅仅是为了描述特定的实施例而不是要作为本发明的限制。如在此所使用的,除非上下文明确地另外指出,否则单数形式“一”、“一个”和“这个”是要也包括复数形式。还应当理 解,当在本说明书使用时,术语“包括”和/或“包含”规定所述特征、整数、步骤、操作、元素和/或组件的存在,但是并不排除一个或多个其它特征、整数、步骤、操作、元素、部件和/或其组的存在或添加。
以下权利要求中所有方式或步骤加功能元素的对应结构、材料、动作及等价物都是要包括用于结合具体所述的其它所述元素执行所述功能的任何结构、材料或行为。已经为了说明和描述给出了本发明的描述,但这不是详尽的或者要把本发明限定到所公开的形式。在不背离本发明范围与主旨的情况下,许多修改和变化对本领域普通技术人员都将是显而易见的。实施例的选择和描述是为了最好地解释本发明的原理和实践应用,并使本领域普通技术人员能够理解本发明具有适于预期特定使用的各种修改的各种实施例。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
Claims (18)
1.一种用于单点登录的方法,包括:
从用户接口应用UIA向轻量级域访问协议LDAP服务器传送LDAP请求;
响应于LDAP请求的传送,在UIA接收轻量级第三方认证LTPA令牌;
从UIA向与一个应用关联的命令行接口连同要由所述应用执行的命令一起传送所述LTPA令牌;
由所述应用验证所述LTPA令牌;以及
响应于所述验证,由所述应用执行所述命令。
2.如权利要求1所述的方法,还包括:
从所述应用向与第二应用关联的第二命令行接口连同要由第二应用执行的第二命令一起传送所述LTPA令牌;
由第二应用验证所述LTPA令牌;以及
响应于由第二应用进行的验证,由第二应用执行所述第二命令。
3.如权利要求1所述的方法,其中,响应于所述验证,所述应用不需要用户名和密码来执行命令。
4.如权利要求1所述的方法,还包括由命令行接口暴露使UIA能够传送LTPA令牌而不是用户名和密码的选项。
5.如权利要求1所述的方法,其中用户名和密码不在执行历史、外壳日志和操作系统中的过程任何一个中出现,其中每个都对应于所述应用。
6.如权利要求1所述的方法,其中,对于要执行的命令,在UIA与应用之间不需要凭证管理。
7.一种用于单点登录的装置,包括:
处理器;
耦合到处理器的非过渡性的计算机可读存储介质CRSM;以及
存储在CRSM上并且在处理器上执行的逻辑电路,用于:
从用户接口应用UIA向轻量级域访问协议LDAP服务器传送LDAP请求;
响应于LDAP请求的传送,在UIA接收轻量级第三方认证LTPA令牌;
从UIA向与一个应用关联的命令行接口连同要由所述应用执行的命令一起传送所述LTPA令牌;
由所述应用验证所述LTPA令牌;以及
响应于所述验证,由所述应用执行所述命令。
8.如权利要求7所述的装置,所述逻辑电路还包括用于以下的逻辑电路:
从所述应用向与第二应用关联的第二命令行接口连同要由第二应用执行的第二命令一起传送所述LTPA令牌;
由第二应用验证所述LTPA令牌;以及
响应于由第二应用进行的验证,由第二应用执行所述第二命令。
9.如权利要求7所述的装置,其中,响应于所述验证,所述应用不需要用户名和密码来执行命令。
10.如权利要求7所述的装置,所述逻辑电路还包括用于由命令行接口暴露使UIA能够传送LTPA令牌而不是用户名和密码的选项的逻辑电路。
11.如权利要求7所述的装置,其中用户名和密码不在执行历史、外壳日志和操作系统中的过程任何一个中出现,其中每个都对应于所述应用。
12.如权利要求7所述的装置,其中,对于要执行的命令,在UIA与应用之间不需要凭证管理。
13.一种用于单点登录的装置,包括:
命令行接口;以及
存储在非过渡性的计算机可读存储介质上并且在处理器上执行的逻辑电路,用于:
从用户接口应用UIA接收轻量级第三方认证LTPA令牌和命令;
向轻量级域访问协议LDAP服务器传送所述LTPA令牌;
在所述应用接收来自所述LDAP服务器的关于所述LTPA令牌的认证验证;以及
响应于所述接收,执行所述命令。
14.如权利要求13所述的装置,所述逻辑电路还包括用于以下的逻辑电路:
从所述应用向与第二应用关联的第二命令行接口连同要由第二应用执行的第二命令一起传送所述LTPA令牌;以及
响应于由第二应用进行的验证,接收对应于来自第二应用的第二命令的结果。
15.如权利要求13所述的装置,其中,响应于所述验证,所述应用不需要用户名和密码来执行命令。
16.如权利要求13所述的装置,所述逻辑电路还包括:用于由命令行接口暴露使UIA能够传送LTPA令牌而不是用户名和密码的选项的逻辑电路。
17.如权利要求13所述的装置,其中用户名和密码不在执行历史、外壳日志和操作系统中的过程任何一个中出现,其中每个都对应于所述应用。
18.如权利要求13所述的装置,其中,对于要执行的命令,所述应用不需要凭证管理。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/844,859 US9298903B2 (en) | 2013-03-16 | 2013-03-16 | Prevention of password leakage with single sign on in conjunction with command line interfaces |
| US13/844,859 | 2013-03-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104052602A CN104052602A (zh) | 2014-09-17 |
| CN104052602B true CN104052602B (zh) | 2017-09-08 |
Family
ID=51504988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410095577.5A Active CN104052602B (zh) | 2013-03-16 | 2014-03-14 | 用于单点登录的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9298903B2 (zh) |
| CN (1) | CN104052602B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108259502B (zh) * | 2018-01-29 | 2020-12-04 | 平安普惠企业管理有限公司 | 用于获取接口访问权限的鉴定方法、服务端及存储介质 |
| US10846432B2 (en) | 2018-09-11 | 2020-11-24 | OneLogin, Inc. | Secure data leak detection |
| CN109241712B (zh) * | 2018-09-29 | 2021-02-05 | 苏州浪潮智能科技有限公司 | 一种用于访问文件系统的方法和装置 |
| CN113660192A (zh) * | 2021-06-23 | 2021-11-16 | 云南昆钢电子信息科技有限公司 | 一种Web系统身份认证系统和方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605030A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的基于Active Directory的统一认证实现方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6651168B1 (en) | 1999-01-29 | 2003-11-18 | International Business Machines, Corp. | Authentication framework for multiple authentication processes and mechanisms |
| US6826696B1 (en) | 1999-10-12 | 2004-11-30 | Webmd, Inc. | System and method for enabling single sign-on for networked applications |
| US7016875B1 (en) | 2000-08-04 | 2006-03-21 | Enfotrust Networks, Inc. | Single sign-on for access to a central data repository |
| US20020188597A1 (en) * | 2000-09-01 | 2002-12-12 | Jonathan Kern | Methods and systems for linking tasks to workflow |
| US7260838B2 (en) | 2000-12-18 | 2007-08-21 | International Business Machines Corporation | Incorporating password change policy into a single sign-on environment |
| US20040199584A1 (en) * | 2003-03-05 | 2004-10-07 | Evan Kirshenbaum | Method and system for customized configuration of an appearance of a website for a user |
| US7480718B2 (en) * | 2004-06-28 | 2009-01-20 | International Business Machines Corporation | Method for providing single sign-on user names for Web cookies in a multiple user information directory environment |
| US7757213B2 (en) * | 2005-05-18 | 2010-07-13 | Microsoft Corporation | Aggregation-based management of a distributed business process application |
| US7707269B2 (en) * | 2005-11-02 | 2010-04-27 | Nortel Networks Limited | Interfacing between a command line interface-based application program and a remote network device |
| US7774428B2 (en) * | 2006-04-27 | 2010-08-10 | International Business Machines Corporation | Automatic response time measurement of LDAP server operations |
| JP5014847B2 (ja) * | 2007-03-19 | 2012-08-29 | 株式会社リコー | 情報処理装置及び情報処理方法 |
| US20090064107A1 (en) * | 2007-08-29 | 2009-03-05 | International Business Machines Corporation | Token Transformation Profiles and Identity Service Mediation Node for Dynamic Identity Token |
| JP5643493B2 (ja) * | 2009-08-05 | 2014-12-17 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
| CN102549593B (zh) * | 2009-10-21 | 2015-08-05 | 惠普发展公司,有限责任合伙企业 | 可访问的文件 |
| US8522335B2 (en) * | 2009-12-01 | 2013-08-27 | International Business Machines Corporation | Token mediation service in a data management system |
| US20120070045A1 (en) * | 2009-12-17 | 2012-03-22 | Gregory Vesper | Global medical imaging repository |
| US8453225B2 (en) | 2009-12-23 | 2013-05-28 | Citrix Systems, Inc. | Systems and methods for intercepting and automatically filling in forms by the appliance for single-sign on |
| US20120210436A1 (en) * | 2011-02-14 | 2012-08-16 | Alan Rouse | System and method for fingerprinting in a cloud-computing environment |
| US8707405B2 (en) * | 2012-01-11 | 2014-04-22 | International Business Machines Corporation | Refreshing group membership information for a user identifier associated with a security context |
-
2013
- 2013-03-16 US US13/844,859 patent/US9298903B2/en not_active Expired - Fee Related
-
2014
- 2014-03-14 CN CN201410095577.5A patent/CN104052602B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605030A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的基于Active Directory的统一认证实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9298903B2 (en) | 2016-03-29 |
| US20140282966A1 (en) | 2014-09-18 |
| CN104052602A (zh) | 2014-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7027475B2 (ja) | 分散された、非集中化されたデータ集約 | |
| US10171241B2 (en) | Step-up authentication for single sign-on | |
| CN104247329B (zh) | 请求云服务的装置的安全补救 | |
| US8615794B1 (en) | Methods and apparatus for increased security in issuing tokens | |
| CN105531709B (zh) | 可执行对象在本地设备上的受信任的执行 | |
| US9569602B2 (en) | Mechanism for enforcing user-specific and device-specific security constraints in an isolated execution environment on a device | |
| US20160134660A1 (en) | Securely operating a process using user-specific and device-specific security constraints | |
| US10270757B2 (en) | Managing exchanges of sensitive data | |
| CN106716957A (zh) | 高效且可靠的认证 | |
| JP2017517823A (ja) | 機械生成認証トークンによってサービスを運用する技法 | |
| US9137244B2 (en) | System and method for generating one-time password for information handling resource | |
| WO2011073125A1 (en) | Securing asynchronous client server transactions | |
| CN106341234A (zh) | 一种授权方法及装置 | |
| EP2897094A1 (en) | Method for phone authentication in e-business transactions and computer-readable recording medium having program for phone authentication in e-business transactions recorded thereon | |
| CN104052602B (zh) | 用于单点登录的方法和装置 | |
| US20220182388A1 (en) | Transfer of trust between authentication devices | |
| CN102084374A (zh) | 使用声明来表示安全身份 | |
| WO2023241060A1 (zh) | 数据访问方法和装置 | |
| CN111541542A (zh) | 请求的发送和验证方法、装置及设备 | |
| CN110069909A (zh) | 一种免密登录第三方系统的方法及装置 | |
| CN102833296B (zh) | 用于构建安全的计算环境的方法和设备 | |
| EP3036674B1 (en) | Proof of possession for web browser cookie based security tokens | |
| CN113779522B (zh) | 一种授权处理方法、装置、设备及存储介质 | |
| CN108141434B (zh) | 经由设备通知提供多因素认证凭证 | |
| Kim et al. | Reducing security overhead to enhance service delivery in Jini IoT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |