CN106105139A - 由网关进行的认证方法的自动检测 - Google Patents
由网关进行的认证方法的自动检测 Download PDFInfo
- Publication number
- CN106105139A CN106105139A CN201580012535.3A CN201580012535A CN106105139A CN 106105139 A CN106105139 A CN 106105139A CN 201580012535 A CN201580012535 A CN 201580012535A CN 106105139 A CN106105139 A CN 106105139A
- Authority
- CN
- China
- Prior art keywords
- gateway
- resource
- request
- verification process
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Abstract
用于允许通过网关而不必用要被授权访问的每个特定URL来预先配置网关来访问安全资源并维持所暴露的资源的列表的系统和方法。网关被配置来从客户端设备获取进入的请求,诸如URL,并从URL它本身确定需要什么类型的认证来获得对资源的访问,而不是将该URL与受管理的URL列表进行对比。一旦认证过程被网关标识为过程被实现。网关分析来自资源的可能包括来自资源的拒绝或用户认证请求的响应,来确定要使用以获得对资源的访问的认证过程。一旦用户被认证,则客户端/用户和资源之间的通信流被允许通过网关。
Description
技术领域
本说明书一般涉及通过将两个网络分隔开的网关对来自客户端设备的对安全资源的访问的管理。
背景
企业和其它实体通常具有维护在它们自己的安全网络上的许多资源和应用。这些资源通常是起关键作用的或具有对实体的大的商业影响。因此这些资源通过认证方法和过程的使用来被保护避免被访问。这确保了希望访问它们的用户在被授权访问该资源之前被认证。
当用户从安全网络内部尝试访问该资源时,该资源可确保该用户具有访问资源的正确的凭证。在某些实例中,简单地在安全网络上是足够的。在其它情况中,需要附加的认证或预认证。这个级别的认证可容易地由网络内部的资源它们自己来处理。
然而,在当今世界中,各实体通常想要使得内部资源对内部网络以外的用户可用,但仍然维持或甚至提高用户从外面的网络访问资源的所需的安全级别。为了实现这种保护,内部网络的管理员必须用他们想要允许从外面访问的每个资源的信息来预先配置网关,诸如代理服务器或防火墙。这包括向网关提供针对该资源的特定认证需求。尝试访问资源的用户将向网关提供他们想要访问的特定资源的统一资源定位符或URL。网关查找特定URL并将预先配置的过程应用于传入的请求。由于每个单独的URL必须在网关处被分开地配置,管理员既需要将资源的列表保持最新也需要将每个资源的特定配置保持最新。这对于管理员而言是费时且麻烦的过程。
概述
下面呈现了本发明的简要概述,以便向读者提供基本理解。本概述不是本发明的详尽概览,并且不标识本发明的关键/重要元素,也不描述本发明的范围。其唯一的目的是以简化形式呈现此处所公开的一些概念,作为稍后呈现的更详细的描述的序言。
本示例提供用于允许通过网关(不必用要被授权访问的每个特定URL来预先配置网关)访问安全资源并维持所暴露的资源的列表的系统和方法。网关被配置来从客户端设备获取传入的请求,诸如URL,并从URL本身确定需要什么类型的认证来获得对资源的访问,而不是将该URL与受管理的URL列表进行对比。一旦认证过程被网关标识,过程通过例如将客户端重新定向到认证服务、代表客户端从认证服务获得认证(诸如模仿服务或资源)、或通过将请求传递到资源来实现。网关还能够分析来自那些资源的响应(可能包括来自资源的拒绝),来确定要使用的认证过程使得用户获得对资源的访问。一旦用户被认证,客户端/用户和资源之间的通信流被允许通过网关。
通过结合附图参考以下详细描述,可易于领会并更好地理解许多附带特征。
附图简述
根据附图阅读以下具体实施方式,将更好地理解本发明,在附图中:
图1是例示出根据一个说明性实施例的增强索引系统的各组件的框图。
图2是例示出根据一个说明性实施例的使用多个过滤器来生成经增强的索引的分析器的框图。
图3是例示出根据一个实施例的能实现增强索引系统的计算设备的框图。
在各个附图中使用相同的附图标记来指代相同的部件。
详细描述
下面结合附图提供的详细描述旨在作为本发明示例的描述,并不旨在表示可以构建或使用本发明示例的唯一形式。本描述阐述了本发明示例的功能,以及用于构建和操作本发明示例的步骤的序列。然而,可以通过不同的示例来实现相同或等效功能和序列。
当元素被称为被“相连接”或“相耦合”时,这些元素可被直接连接或耦合在一起,或者也可存在一个或多个中间元素。相反,当元素被称为被“直接连接”或“直接耦合”时,不存在中间元素。
本主题可被体现为设备、系统、方法、和/或计算机程序产品。因此,本主题的部分或全部可以用硬件和/或软件(包括固件、常驻软件、微码、状态机、门阵列等)来具体化。此外,本主题可以采用计算机可使用或计算机可读存储介质上的计算机程序产品的形式,介质中收录了供指令执行系统使用或结合指令执行系统一起使用的计算机可使用或计算机可读的程序代码。在本文档的上下文中,计算机可使用或计算机可读介质可以是可包含、储存、通信、传播、或传输程序以供指令执行系统、装置或设备使用或结合指令执行系统、装置或设备一起使用的任何介质。
计算机可使用或计算机可读介质可以是,例如,但不限于,电、磁、光、电磁、红外、或半导体系统、装置、设备或传播介质。作为示例而非限制,计算机可读介质可包括计算机存储介质和通信介质。
计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据这样的信息的任意方法或技术来实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备、或可用于储存所需信息且可由指令执行系统访问的任何其他介质。注意,计算机可使用或计算机可读介质可以是其上打印有程序的纸张或其他合适的介质,因为程序可经由例如对纸张或其他合适的介质的光学扫描来被电子地捕获,随后如有必要被编译、解释,或以其他合适的方式处理,并且随后被储存在计算机存储器中。
通信介质通常以诸如载波或其他传输机制之类的已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并且包括任何信息传送介质。术语“已调制数据信号”可被定义为其一个或多个特性以对信号中的信息编码的方式被设置或改变的信号。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、RF、红外及其他无线介质之类的无线介质。上述的任何组合也应包含在计算机可读介质的范围内。
当本主题在计算机可执行指令的一般上下文中具体化时,该实施例可包括由一个或多个系统、计算机、或其它设备执行的程序模块。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,程序模块的功能可在各个实施例中按需进行组合或分布。
图1是示出根据一个说明性实施例的安全系统100的各组件的框图,该安全系统被配置来自动检测环境类型以允许通信流传递通过网关120,诸如代理或防火墙。系统100包括客户端设备110、网关120、安全资源130、第一认证服务140以及第二认证服务150。在系统100的一个实施例中,各组件的一部分处在网关120的公共的或非安全侧101,而各组件的一部分处在网关120的安全侧102。
网关120的安全侧102是被网关120保护防止外来访问的网络。不打算被一般公众访问的应用和文档通常驻留在网关120的安全侧102,并可用一种或多种认证方法来保护以确保仅经认证的人能够访问该信息。在一个实施例中,网关120的安全侧102代表企业网络。同样,尽管术语安全侧102和非受保护侧在此被使用,应当注意,安全侧102可进一步被分割成附加的级别,其中每个级别具有其自己的将其与安全侧102分隔开的网关120。因此,多个网络和网关120可被提供以控制访问或提供保护的增强的级别。
网关120的非安全侧101是已经被从安全侧102分开的任何网络。在一个实施例中,非安全侧101是诸如通常在咖啡店或其它公共场合找到的Wi-Fi热点的公共网络。在另一实施例中,非安全侧101是具有连接于其上的不是网关120的安全侧102的一部分的设备的家庭或宾馆网络。在另一实施例中,非安全侧101是公共蜂窝网络,具有连接于该网络上的未被认证访问网关120的安全侧102的许多设备。在又一个实施例中,网络的非安全侧101是全都具有连接到网关120的能力的不同网络的组合。
在一个实施例中,客户端设备110是用户用来从网关120的非安全侧101连接回网关120的安全侧102上的安全组件和资源130的便携或移动设备。客户端设备110可以是移动电话、平板计算机、膝上计算机、台式计算机或可连接到网络并于网关120进行通信的任何其它计算设备。在某些实施例中,客户端设备110可以是前述计算设备的虚拟或虚拟化版本。客户端设备110可包括需要用户提供用于访问客户端设备110或访问客户端设备110的各组件的认证的操作系统100。此外,客户端设备110可包括连接到网关120的安全侧102上的资源130的各应用。这些应用可包括字处理应用、电子表格应用、浏览器应用或可接收来自网关120的安全侧102的数据并在网关120的非安全侧102消费该数据的任何其它应用。尽管在图1中仅示出一个客户端设备110,应当认识到本实施例可用多个设备来实现,多个设备的全部或部分通过网关120连接到或尝试连接到安全侧102。
网关120是系统100的组件,其控制非安全侧101和安全侧102之间的信息的流动。在一个实施例中,网关120是代理服务器。在另一个实施例中,网关120是防火墙。在又一个实施例中,网关120是逆向代理,诸如web应用代理。网关120从客户端设备110接收对资源130的请求,并基于从客户端110接收的请求的类型不同地操作。从客户端设备110接收请求之后,网关120分析请求来确定该请求是什么类型的请求或情形。在一个实施例中,这一分析是由预认证规则组件125来执行的。网关120,根据一个所示的实施例来确定,该请求是否被配置为传递通过请求,该请求是否在请求的头部包含信息,或该请求是否引起从资源130接收回特定响应。然而,在其它实施例中,取决于网关120支持的情形,其它信息可由预认证规则组件125使用来标识与请求相关联的情形。
预认证规则组件125在一个实施例中是网关120的配置用来分析来自客户端设备110的进入请求并确定向该请求应用哪个预认证规则或过程的组件。然而,在其它实施例中,预认证规则组件125可以是网关120所连接的分开的组件或服务。预认证规则组件125还从资源130接收基于所接收到的请求的通信和/或响应。来自资源130的这些响应也被预认证规则组件125分析以确定向该请求应用哪个规则或过程。预认证规则组件125查看来自客户端设备110的初始请求,并确定该请求是否是对需要预认证的资源130的请求。在某些实施例中,预认证规则组件125可通过请求中头部的内容来标识需要预认证。在这些实施例中,预认证规则组件125在请求中标识需要预认证令牌或声明。基于头部的格式和令牌的位置或描述令牌应处于何处的其它信息,规则组件125访问数据库126或认证规则列表并将令牌信息与规则进行匹配。相关联的规则接着被应用于该请求。取决于规则的本质,该规则可能导致请求转向认证服务之一(网关120的安全侧102或网关120的非安全侧101)。一旦客户端设备110已经接收资源130的合适的令牌,网关120将接着允许请求被传输到资源130。
在另一个实施例中,因为请求不指示认证被需要、不需要认证、或对应的规则在数据库126中找不到,所以预认证规则组件125不能从请求确定资源130是否需要认证。在这个实施例中,请求简单地传递到资源130用于处理和履行。然而,由于资源130确实需要预认证,资源130用指示所需预认证不包括在请求中的错误响应返回。该错误被预认证规则组件125接收并与规则的数据库126进行比较以确定网关120应当如何响应。当在数据库126中发现匹配返回的错误的规则时,预认证规则组件125向网关120提供该规则供网关120执行。在一个实施例中,该规则可导致网关120模仿资源130的特征,以得出来自客户端设备110的响应,并类似资源130在网关120不在两者之间部署的情况下可能执行的认证那样来执行认证。在另一个实施例中,规则可导致网关120将客户端设备110重新定向到合适的认证组件来完成认证。一旦客户端设备110已经完成所需认证过程,网关120处理对资源130的请求且客户端设备110能够访问资源130。
通过预认证规则组件125,网关120能够处理来自各种客户端设备110的对各种资源130的请求,其中每一个请求实现不同认证和预认证方法。规则组件125通过确保网关120被配置来为管理员已保护的每个站点实现认证过程来允许管理员不用担心或忧虑其自身。网关120被配置来处理每种类型的认证方法,无需特定资源130(或资源130位置)在网关120处被预定义。
在一个实施例中,安全资源130是管理员或企业想要许可通过网关120访问但确保资源130上的安全级别的服务器、服务、应用、web站点、文档或任何其它资源130。资源130可通过确保资源130安全的任何协议或方法来被保护。在一些实施例中,诸如当用户通过虚拟私有网络或从现场位置访问虚拟资源130时,资源130也不能针对位于安全侧102的客户端被保护在网关120的安全侧102,但当用户尝试从非安全侧101访问资源130时资源被保护。例如,安全资源130可以是配置用来向特定用户提供信息的SharePoint站点。SharePoint站点可能需要用户提供认证凭证来访问内容。在另一个示例中,安全资源130可以是诸如来自Windows Store(Windows应用商店)的一个应用。在一个实施例中,这个应用可以被包含或需要OAuth 2.0认证,以使得用户获得对网关120的安全侧上的应用的访问。然而,其它认证方法可被实现。在另一个示例中,资源130是通过浏览器访问的站点,其需要从由联合服务(诸如Active Directory)或诸如由Windows集成认证实现的协议的认证协议生成的令牌作出声明。
第一认证服务140是位于网关120的非安全侧101的认证服务,使得客户端设备110可访问服务并从该服务接收令牌或可被提供给网关120和安全资源130的其它声明以获得对安全资源130的访问。第一认证服务140可使得任何安全协议或方法可用。客户端设备110可直接与第一认证服务140交互或者它可通过网关120与第一认证服务140交互。
第二认证服务150是位于网关120的安全侧102的认证服务,使得客户端设备110只能通过网关120访问第二认证服务150。再一次类似第一认证服务140,第二认证服务150可使得任何安全协议或方法可用。在一个实施例中,第二认证服务150是Active Directory联合服务,其提供与客户端设备110的用户相关联的凭证和令牌。作为网关120将客户端设备110重新定向到第二认证服务150的结果,客户端设备110访问第二认证服务150。由于网关120布置在客户端设备110和第二认证服务150之间,因此客户端不能直接与服务进行交互。以此方式,网关120能够限制来自非安全侧101的对第二认证服务150的访问。
图2是根据一个说明性的实施例的例示出由网关120使用来处理来自客户端设备110的对安全资源130的请求的过程的流程图。客户端设备110的用户通过访问应用、进入浏览器、打开文档或执行需要客户端设备110访问网关120的安全侧102上的资源130的任何行动来开始此过程。这被例示于步骤210。
用户在步骤210的行动导致客户端设备110与网关120进行通信。客户端设备110向网关120发送统一资源130定位符(URL)或向网关120指示客户端设备110的用户试图访问的特定资源130的其它消息。这被例示于步骤220。
在从客户端接收请求后,网关120分析请求。这被例示于步骤230。在此分析期间,网关120确定请求是否包括指示资源130被认证机制保护需要用户预认证的信息。与其中网关120在数据库126中查找URL来确定资源130是否需要认证并且需要什么认证的典型系统100不同,网关120分析URL并确定URL的一部分是否包括指示需要认证的特定头部。例如,请求可包括资源130需要或接受诸如MS-OFBA(基于微软Office表格的认证)的基于表格的认证。在另一个示例中,头部可指示想要的资源130是包括认证头部和持有人令牌的应用,其可以或可以不呈现在请求中。然而,认证的需求的其它指示可以是URL的组件。
如果头部没有指示,网关120将请求传递到资源130。这被例示于步骤232。该指示因若干原因可能不能从头部被检测到。例如,请求可以是针对安全侧102上的资源130的,其不被保护或有意地可从外面访问,就好像资源130是支持文档。这些通常被称为传递通过资源130。在其它示例中,资源130可能需要认证,但是网关120不能知晓它需要认证或认证的方法,直至资源130已经通过网关120响应回客户端。
如果网关120确定头部包括访问资源130需要认证的指示,则网关120确定认证令牌是否存在于请求或相关联的通信中。如果网关120确定认证令牌存在,则请求被传递通过到达资源130。这被例示于步骤235。
如果认证令牌不存在,则网关120接着访问规则的数据库126来确定如何响应客户端请求。这被例示于步骤240。网关120可将请求或请求的部分发送到预认证规则组件125,预认证规则组件125标识资源130需要的特定认证方法。预认证规则组件125接着将所需要的用于所标识的认证方法的过程提供回网关120。这被例示于步骤245。
网关120接着获取预认证规则组件125提供的过程并执行所提供的过程。这被例示于步骤250。每个认证方法具有其自己的唯一的过程,该过程被执行以认证用户或设备。在某些实例中,过程将导致网关120模仿资源130来收集认证所需要的信息。在其它实例中,网关120将把客户端设备110重新定向到第一认证服务140或第二认证服务150以接收合适的令牌或预认证。
一旦认证令牌已经被接收或过程完成,网关120接着完成最初请求。这被例示于步骤260。这个过程可包括将认证令牌与最初请求合并。替换地,网关120可将令牌提供回客户端设备110并且使得客户端设备110重新提交带有包括在请求中的认证令牌的请求。该请求接着被传递到安全资源130,且客户端设备110能够与资源130进行交互或消费资源130的内容。
如果网关120不能够在步骤230确定是否需要认证,并在步骤232将请求传递到资源130,则网关120不做更多操作知道资源130在步骤265响应。资源130可通过发出指示未向请求提供所需认证的错误来响应于来自客户端设备110的请求。例如,资源130可从浏览器用指示不存在认证的“401”或“407”的HTTP响应来对请求进行响应。在另一个示例中,资源130可用指示请求需要被重新定向到不同位置的HTTP响应“302”来进行响应。这些仅仅是可从资源130接收的指示需要认证的各响应的示例。
网关120消费在步骤265从资源130接收的错误代码,并确定错误代码或指示在规则数据库126中具有对应的条目,诸如预认证规则组件125中包含的规则。这被例示于步骤270。如果由规则组件125找到对错误代码的匹配,与那个错误代码相关联的过程被提供给网关120。这被例示于步骤275。
网关120接着获取预认证规则组件125提供的过程并执行所提供的过程。这被例示于步骤280。由于每个认证方法具有其自己的唯一的过程,该过程被执行以认证用户或设备。例如,在一些实施例中,当错误代码是“302”时由规则组件125提供的该过程可指导重新定向到第二认证服务150。然而,由于第二认证服务150位于网关120的安全侧上,因此网关120可模仿第二认证服务150并将那个信息呈现给客户端设备110的用户。以此方式,客户端设备110响应于对网关120的请求,之后网关120通过呈现从客户端收集的信息并接着获得正确令牌来与第二认证服务150进行交互。在来自资源130的响应是“401”或“407”的示例中,规则组件125可简单地指令网关120将用户定向到对应的认证服务以获得认证令牌。
一旦认证令牌已经被接收或过程完成,网关120接着完成最初请求。这被例示于步骤285。这个过程可包括将认证令牌与最初请求合并。替换地,网关120可将令牌提供回客户端设备110并且使得客户端设备110重新提交带有包括在请求中的认证令牌的请求。该请求接着被传递到安全资源130,且客户端设备110能够与资源130进行交互或消费资源130的内容。
图3例示出根据一个实施例的计算设备的组件图。计算设备300可被用于实现本文所述的一个或多个计算设备、计算机过程、或软件模块。在一个示例中,计算设备300可用于处理计算、执行指令,接收并发送数字信号。在另一示例中,如本发明实施例的系统所要求的那样,计算设备300可被用于处理计算,执行指令,接收并发送数字信号,接收并发送搜索查询以及超文本,编译计算机代码。此外,计算设备300可以是分布式计算设备,其中计算设备300的组件位于通过网络或其他形式的连接而彼此连接的不同计算设备上。此外,计算设备300可以是基于云的计算设备。
计算设备300可以是现在已知或将变得已知的能够执行本文所述的步骤和/或执行本文所述的功能(采用软件、硬件、固件或其组合的形式)的任何通用或专用计算机。
在其最基本的配置中,计算设备300通常包括至少一个中央处理单元(CPU)或处理器302和存储器304。取决于计算设备的确切配置和类型,存储器304可以是易失性的(如RAM)、非易失性的(如ROM、闪存等)或是两者的某种组合。另外,计算设备300还可具有附加的特征/功能。例如,计算设备300可包括多个CPU。所述方法可由计算设备300中的任何处理单元以任何方式来执行。例如,所描述的过程可由多个CPU并行地执行。
计算设备300还可包括另外的存储(可移动和/或不可移动),其包括但不限于磁盘、光盘或磁带。这些另外的存储在图4中由存储306示出。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。存储器304和存储306是计算机存储介质的全部示例。计算机存储介质包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光存储、磁带盒、磁带、磁盘存储或其它磁存储设备,或者可用于存储所需信息并且可由计算设备300访问的任何其它介质。任何这样的计算机存储介质都可以是计算设备300的一部分。
计算设备300还可包含允许该设备与其它设备通信的(一个或多个)通信设备312。(一个或多个)通信设备312是通信介质的示例。通信介质通常以诸如载波或其他传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并包括任意信息传送介质。术语“已调制数据信号”是指使得以在信号中编码信息的方式来设置或改变其一个或多个特性的信号。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、RF、红外及其他无线介质之类的无线介质。如此处所使用的术语计算机可读介质包括存储介质和通信介质两者。所描述的方法可用诸如数据、计算机可执行指令等之类的任何形式被编码在任何计算机可读介质中。
计算设备300还可具有诸如键盘、鼠标、笔、话音输入设备、触摸输入设备等输入设备310。还可包括诸如显示器、扬声器、打印机等输出设备308。所有这些设备在本领域是众知的并且不必详细讨论。
本领域技术人员会认识到,用于存储程序指令的存储设备可分布在网络上。例如,远程计算机可以存储被描述为软件的进程的示例。本地或终端计算机可以访问远程计算机并下载软件的一部分或全部以运行程序。替代地,本地计算机可以根据需要下载软件片段,或通过在本地终端上执行一些软件指令而在远程计算机(或计算机网络)上执行另一些软件指令来分布式处理。本领域的技术人员还将认识到,通过利用本领域的技术人员已知的传统技术,软件指令的全部,或一部分可以通过诸如DSP、可编程逻辑阵列等等之类的专用电路来实现。
Claims (15)
1.一种用于在网关处实现认证机制的方法,包括:
在所述网关处接收来自客户端设备的对资源的请求;
分析所述对资源的请求来确定所述请求是否包含所述资源需要认证的指示;
当所述指示存在于所述请求中时,访问认证规则数据库来从多个不同认证过程中标识与所述指示相关联的认证过程;
执行与所述指示相关联的所述认证过程;
在所述认证过程执行之后,将所述请求从所述网关转发到所述资源;
当所述请求不包括所述资源需要认证的指示时,将所述请求从所述网关转发到所述资源而无需执行所述认证过程;以及
其中前述步骤由至少一个处理器来执行。
2.如权利要求1所述的方法,其特征在于,执行所述认证过程进一步包括:
将所述客户端设备重新定向到认证服务来进行认证。
3.如权利要求1所述的方法,其特征在于,所述请求包括头部并且所述指示包括所述头部的部分。
4.如权利要求1所述的方法,其特征在于,进一步包括:
从所述资源接收指示需要认证的指示,所述响应具有指示所述资源所需要的认证的类型的第二指示;
访问所述认证规则数据库以从所述多个不同认证过程中标识与所述第二指示相关联的第二认证过程;以及
执行所述第二认证过程。
5.如权利要求4所述的方法,其特征在于,执行所述第二认证过程进一步包括:
由所述网格查询所述客户端设备寻找认证所述客户端设备所需的信息;
从所述客户端设备接收所述信息;
将所接收到的信息从所述客户端设备转发到所述认证服务;以及
从所述认证服务接收认证令牌。
6.如权利要求4所述的方法,其特征在于,执行所述第二认证过程进一步包括:
将所述客户端设备重新定向到所述认证服务;以及
从所述客户端设备接收认证令牌。
7.如权利要求1所述的方法,其特征在于,在将所述请求传递到所述资源之前,进一步包括:
接收来自所述客户端设备的第二请求,所述第二请求包括从认证过程获得的认证令牌。
8.如权利要求1所述的方法,其特征在于,进一步包括:
从所述客户端设备接收对第二资源的请求;
分析对所述第二请求来确定所述第二请求是否包含所述第二资源需要认证的指示;
访问所述认证规则数据库以标识与所述指示相关联的第二认证过程;以及执行所述第二认证过程。
9.一种用于控制来自客户端设备的对资源的访问的系统,包括:
至少一个处理器以及至少一个存储器;
存储至少两个不同认证过程的规则数据库;以及
将第一网络与第二网络分隔开的网关,所述网关被配置用于从在所述第一网络上的所述客户端设备接收对所述第二网络上的所述资源请求,并基于所述请求的至少一部分从所述规则数据库选择用于所述资源的认证过程。
10.如权利要求9所述的系统,其特征在于,进一步包括:
被配置用于从所述至少两个不同认证过程中选择用于所述请求的认证过程并将所述认证过程提供给所述网关的规则组件。
11.如权利要求9所述的系统,其特征在于,所述网关被进一步配置成:
分析从所述资源接收的响应以基于所述响应的一部分来选择认证过程。
12.如权利要求9所述的系统,其特征在于,所述网关被配置用于从所述客户端设备接收对第二资源的第二请求,并基于请求的至少一部分从所述规则数据库选择用于所述第二资源的第二认证过程。
13.如权利要求9所述的系统,其特征在于,所述认证过程指令所述网关通过得出来自所述客户端设备的响应并将那些响应提供给所述认证服务来模仿认证服务,其中所述响应对应于被模仿的认证服务所使用的过程。
14.如权利要求9所述的系统,其特征在于,所述认证过程指令所述网关将所述客户端重新定向到认证服务。
15.如权利要求11所述的系统,其特征在于,进一步包括:
至少两个不同认证服务,所述至少两个不同认证服务的每一个被配置用来生成不同类型的认证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/201,780 | 2014-03-07 | ||
| US14/201,780 US9794227B2 (en) | 2014-03-07 | 2014-03-07 | Automatic detection of authentication methods by a gateway |
| PCT/US2015/018559 WO2015134554A1 (en) | 2014-03-07 | 2015-03-04 | Automatic detection of authentication methods by a gateway |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106105139A true CN106105139A (zh) | 2016-11-09 |
| CN106105139B CN106105139B (zh) | 2019-07-09 |
Family
ID=52815266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580012535.3A Active CN106105139B (zh) | 2014-03-07 | 2015-03-04 | 由网关进行的自动检测的认证方法及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9794227B2 (zh) |
| EP (1) | EP3114812A1 (zh) |
| CN (1) | CN106105139B (zh) |
| WO (1) | WO2015134554A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109376533A (zh) * | 2018-11-06 | 2019-02-22 | 北京芯盾时代科技有限公司 | 一种行为检测方法及装置 |
| CN110177096A (zh) * | 2019-05-24 | 2019-08-27 | 网易(杭州)网络有限公司 | 客户端认证方法、装置、介质和计算设备 |
| CN110612528A (zh) * | 2017-05-10 | 2019-12-24 | 微软技术许可有限责任公司 | 安全地验证自动程序用户 |
| CN111131276A (zh) * | 2019-12-27 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
| CN111414596A (zh) * | 2020-04-07 | 2020-07-14 | 中国建设银行股份有限公司 | 处理请求的方法和装置 |
| CN112202823A (zh) * | 2020-12-07 | 2021-01-08 | 杭州筋斗腾云科技有限公司 | 网络资源访问系统及方法、用户门户及资源门户 |
| CN112291072A (zh) * | 2020-12-28 | 2021-01-29 | 视联动力信息技术股份有限公司 | 基于管理面协议的安全视频通信方法、装置、设备及介质 |
| CN113765696A (zh) * | 2020-06-01 | 2021-12-07 | 慧与发展有限责任合伙企业 | 用于网络中增强型命令管理的方法和系统 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10382578B2 (en) * | 2015-06-05 | 2019-08-13 | Apple Inc. | Provision of a lease for streaming content |
| CN107104929B (zh) * | 2016-02-23 | 2021-03-09 | 阿里巴巴集团控股有限公司 | 防御网络攻击的方法、装置和系统 |
| US10728218B2 (en) * | 2018-02-26 | 2020-07-28 | Mcafee, Llc | Gateway with access checkpoint |
| US10853115B2 (en) | 2018-06-25 | 2020-12-01 | Amazon Technologies, Inc. | Execution of auxiliary functions in an on-demand network code execution system |
| US11099870B1 (en) | 2018-07-25 | 2021-08-24 | Amazon Technologies, Inc. | Reducing execution times in an on-demand network code execution system using saved machine states |
| US11943093B1 (en) | 2018-11-20 | 2024-03-26 | Amazon Technologies, Inc. | Network connection recovery after virtual machine transition in an on-demand network code execution system |
| CN109525613B (zh) * | 2019-01-16 | 2021-11-09 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种请求处理系统及方法 |
| US11861386B1 (en) * | 2019-03-22 | 2024-01-02 | Amazon Technologies, Inc. | Application gateways in an on-demand network code execution system |
| US11119809B1 (en) | 2019-06-20 | 2021-09-14 | Amazon Technologies, Inc. | Virtualization-based transaction handling in an on-demand network code execution system |
| CN111314355B (zh) * | 2020-02-20 | 2022-09-30 | 深信服科技股份有限公司 | 一种vpn服务器的认证方法、装置、设备及介质 |
| US11714682B1 (en) | 2020-03-03 | 2023-08-01 | Amazon Technologies, Inc. | Reclaiming computing resources in an on-demand code execution system |
| US11593270B1 (en) | 2020-11-25 | 2023-02-28 | Amazon Technologies, Inc. | Fast distributed caching using erasure coded object parts |
| US11550713B1 (en) | 2020-11-25 | 2023-01-10 | Amazon Technologies, Inc. | Garbage collection in distributed systems using life cycled storage roots |
| US11818102B2 (en) * | 2021-04-16 | 2023-11-14 | Nokia Technologies Oy | Security enhancement on inter-network communication |
| US20230126355A1 (en) * | 2021-10-21 | 2023-04-27 | Cisco Technology, Inc. | Limiting discovery of a protected resource in a zero trust access model |
| CN114268508B (zh) * | 2021-12-30 | 2023-08-18 | 天翼物联科技有限公司 | 物联网设备安全接入方法、装置、设备及介质 |
| US20230254321A1 (en) * | 2022-02-09 | 2023-08-10 | Microsoft Technology Licensing, Llc | Adaptive authorization with local route identifier |
| CN114745196B (zh) * | 2022-04-27 | 2024-01-02 | 广域铭岛数字科技有限公司 | 接口测试方法、系统、电子设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101099332A (zh) * | 2004-09-13 | 2008-01-02 | Ut斯达康公司 | 用于无线接入网关的动态防火墙能力 |
| US20100242092A1 (en) * | 2009-03-20 | 2010-09-23 | James Harris | Systems and methods for selecting an authentication virtual server from a plurality of virtual servers |
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6691232B1 (en) | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
| US7475146B2 (en) * | 2002-11-28 | 2009-01-06 | International Business Machines Corporation | Method and system for accessing internet resources through a proxy using the form-based authentication |
| US8700771B1 (en) * | 2006-06-26 | 2014-04-15 | Cisco Technology, Inc. | System and method for caching access rights |
| US7647404B2 (en) * | 2007-01-31 | 2010-01-12 | Edge Technologies, Inc. | Method of authentication processing during a single sign on transaction via a content transform proxy service |
| CA2690025C (en) | 2007-06-06 | 2014-05-20 | Boldstreet Inc. | Remote service access system and method |
| US8312154B1 (en) * | 2007-06-18 | 2012-11-13 | Amazon Technologies, Inc. | Providing enhanced access to remote services |
| US8990911B2 (en) * | 2008-03-30 | 2015-03-24 | Emc Corporation | System and method for single sign-on to resources across a network |
| US8910255B2 (en) | 2008-05-27 | 2014-12-09 | Microsoft Corporation | Authentication for distributed secure content management system |
-
2014
- 2014-03-07 US US14/201,780 patent/US9794227B2/en active Active
-
2015
- 2015-03-04 CN CN201580012535.3A patent/CN106105139B/zh active Active
- 2015-03-04 EP EP15714990.7A patent/EP3114812A1/en active Pending
- 2015-03-04 WO PCT/US2015/018559 patent/WO2015134554A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101099332A (zh) * | 2004-09-13 | 2008-01-02 | Ut斯达康公司 | 用于无线接入网关的动态防火墙能力 |
| US20100242092A1 (en) * | 2009-03-20 | 2010-09-23 | James Harris | Systems and methods for selecting an authentication virtual server from a plurality of virtual servers |
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110612528A (zh) * | 2017-05-10 | 2019-12-24 | 微软技术许可有限责任公司 | 安全地验证自动程序用户 |
| CN110612528B (zh) * | 2017-05-10 | 2023-07-14 | 微软技术许可有限责任公司 | 安全地验证自动程序用户的方法、系统及计算机存储介质 |
| CN109376533A (zh) * | 2018-11-06 | 2019-02-22 | 北京芯盾时代科技有限公司 | 一种行为检测方法及装置 |
| CN110177096A (zh) * | 2019-05-24 | 2019-08-27 | 网易(杭州)网络有限公司 | 客户端认证方法、装置、介质和计算设备 |
| CN111131276A (zh) * | 2019-12-27 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
| CN111131276B (zh) * | 2019-12-27 | 2022-03-25 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
| CN111414596A (zh) * | 2020-04-07 | 2020-07-14 | 中国建设银行股份有限公司 | 处理请求的方法和装置 |
| CN113765696A (zh) * | 2020-06-01 | 2021-12-07 | 慧与发展有限责任合伙企业 | 用于网络中增强型命令管理的方法和系统 |
| CN112202823B (zh) * | 2020-12-07 | 2021-03-19 | 杭州筋斗腾云科技有限公司 | 网络资源访问系统及方法、用户门户及资源门户 |
| US11632376B2 (en) | 2020-12-07 | 2023-04-18 | Hangzhou Jindoutengyun Technologies Co., Ltd. | Network resource access system and method, user portal and resource portal |
| CN112202823A (zh) * | 2020-12-07 | 2021-01-08 | 杭州筋斗腾云科技有限公司 | 网络资源访问系统及方法、用户门户及资源门户 |
| CN112291072B (zh) * | 2020-12-28 | 2021-03-26 | 视联动力信息技术股份有限公司 | 基于管理面协议的安全视频通信方法、装置、设备及介质 |
| CN112291072A (zh) * | 2020-12-28 | 2021-01-29 | 视联动力信息技术股份有限公司 | 基于管理面协议的安全视频通信方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106105139B (zh) | 2019-07-09 |
| EP3114812A1 (en) | 2017-01-11 |
| US20150256514A1 (en) | 2015-09-10 |
| US9794227B2 (en) | 2017-10-17 |
| WO2015134554A1 (en) | 2015-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106105139A (zh) | 由网关进行的认证方法的自动检测 | |
| AU2020256380B2 (en) | Methods and systems for secure and reliable identity-based computing | |
| US11822662B2 (en) | Methods and systems for secure and reliable identity-based computing | |
| CN105678872B (zh) | 一种门禁管理系统及其授权方法和门禁终端设备 | |
| US9369488B2 (en) | Policy enforcement using natural language processing | |
| EP3468103B1 (en) | Single set of credentials for accessing multiple computing resource services | |
| CN103581166B (zh) | 位置感知认证 | |
| CN106341381B (zh) | 管理机架服务器系统的安全金钥的方法与系统 | |
| US9756028B2 (en) | Methods, systems and computer program products for secure access to information | |
| WO2016062204A1 (zh) | 一种可信终端验证方法、装置 | |
| CN106030527B (zh) | 将可供下载的应用程序通知用户的系统和方法 | |
| US20220014509A1 (en) | Systems and methods for securing login access | |
| CN106878018B (zh) | 操作验证方法及装置 | |
| He et al. | Understanding mobile banking applications’ security risks through blog mining and the workflow technology | |
| US11568038B1 (en) | Threshold-based authentication | |
| JP5947358B2 (ja) | 認証処理装置、方法およびプログラム | |
| US20220207630A1 (en) | System and method for authorizing transfer requests of physical locations | |
| Dong et al. | The right tool for the job: A case for common input scenarios for security assessment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |