CN106464681B - 分支验证令牌技术 - Google Patents
分支验证令牌技术 Download PDFInfo
- Publication number
- CN106464681B CN106464681B CN201580025880.0A CN201580025880A CN106464681B CN 106464681 B CN106464681 B CN 106464681B CN 201580025880 A CN201580025880 A CN 201580025880A CN 106464681 B CN106464681 B CN 106464681B
- Authority
- CN
- China
- Prior art keywords
- token
- light weight
- client
- resource
- service provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
描述了分支验证令牌技术,其中登录凭证与用于资源的对应特权数据分离。在客户端验证期间,关于服务提供商是否配置为支持分支验证令牌技术而做出确定。如果支持技术,则向客户端发布轻量令牌并且将对应特权数据与令牌分离地存储在集中式验证数据库中。如果服务提供商不支持分支验证令牌技术,则向客户端发布包括特权数据的传统、组合验证令牌。轻量令牌包含身份信息以及对特权数据的引用,但是不包含实际特权数据。因此,轻量信息记录程序令牌单独地不足以获取向对应资源的访问。此外,与轻量令牌相关联的特权可以在不必改变轻量令牌本身或使其失效的情况下撤销或更改。
Description
背景技术
计算设备用户可以使用本地和在线账户以访问各种计算资源。用户可以从不同设备寻求对其账户的访问并且还可以共享设备以访问相应账户。对用户进行验证以证实用户“为他们自称的那个人”,在用户之间进行区分,以及提供对计算资源的选择性访问,是服务提供商所面临的持久性挑战。传统上,验证技术可以依赖于共享秘密,诸如密码和/或数字令牌(例如,票据授予票据TGT、加密团块、信息记录程序(cookies)或者其它登录凭证)。然而,共享秘密和数字令牌可能被盗或者受损。此外,传统令牌可以包括身份和特权数据二者,使得有效数字令牌(即便被盗)的占有足以通过将令牌提供给服务提供商而获得向对应资源的访问。因而,尽管基于共享秘密的验证技术可能是有效的,但是存在与现有技术相关联的一些缺点。
发明内容
描述了分支验证令牌技术。在一个或多个实现中,验证服务配置为针对支持分支验证令牌技术的资源而从对应特权数据分离登录凭证。为了完成这一点,验证服务可以与客户端的验证结合地就服务提供商是否配置为支持分支验证令牌技术而做出确定。如果支持技术,则将轻量令牌发布给客户端并且将对应特权数据存储在集中式验证数据库中,服务提供商可以从该集中式验证数据库查找特权数据。另一方面,如果服务提供商不支持分支验证令牌技术,则向客户端发布针对客户端、包括特权数据的传统组合式验证令牌。
用于分支验证令牌技术的轻量令牌可以配置为包含身份信息以及向特权数据的链接/引用,但是不包含实际特权数据。因此,轻量信息记录程序令牌单独地不足以获取向对应资源的访问。此外,与轻量令牌相关联的特权可以通过改变集中式验证数据库中的特权数据而撤销或更改,而不必改变轻量令牌本身或者使其无效。
提供本发明内容来以简化形式引入以下在具体实施例中进一步描述的概念的选择。本发明内容不意图标识所要求保护的主题的关键特征或必要特征,也不意图用于限制所要求保护的主题的范围。
附图说明
图1图示了其中可以采用分支验证令牌技术的示例操作环境。
图2是示出了依照一个或多个实现的发布令牌的示例交互场景的图示。
图3是示出了依照一个或多个实现的其中采用令牌以控制对资源的访问的示例交互场景的图示。
图4是描述了其中验证服务选择性地发布验证令牌以用于对资源进行访问的示例进程的细节的流程图。
图5是描述了其中服务提供商基于轻量令牌控制对资源的访问的示例进程的细节的流程图。
图6是描述了其中与轻量令牌相关联的特权被修改的示例进程的细节的流程图。
图7是示出了依照一个或多个实现的示例设备和组件的细节的系统的框图。
具体实施方式
概述
传统上,验证技术可以依赖于共享秘密,诸如密码和/或数字令牌(例如,票据授予票据TGT、加密团块、信息记录程序或者其它登录凭证)。然而,共享秘密和数字令牌可能被盗或者受损。附加地,令牌可能发布有长的有效期,在该有效期内访问权限可能改变。此外,传统令牌可以包括身份和特权数据二者,使得有效数字令牌(即便被盗)的占有足以通过将令牌提供给服务提供商而获得向对应资源的访问。
描述了分支验证令牌技术。在一个或多个实现中,验证服务配置为针对支持分支验证令牌技术的资源和服务提供商而从对应特权数据分离登录凭证。为了完成这一点,验证服务可以与客户端的验证结合地就与客户端尝试访问的资源相关联的服务提供商是否配置为支持分支验证令牌技术做出确定。如果支持分支验证令牌技术,则向客户端发布轻量令牌(例如,信息记录程序)并且将对应特权数据存储在集中式验证数据库中,服务提供商可以从集中式验证数据库查找特权数据。另一方面,如果服务提供商不支持分支验证令牌技术,则向客户端发布包括特权数据的传统、组合验证令牌。
用于分支验证令牌技术的轻量令牌可以配置为包含身份信息以及向特权数据的链接/引用,但是不包含实际特权数据。因此,轻量令牌单独地不足以获得向对应资源的访问。因为轻量令牌不包含特权数据,所以轻量令牌可以具有比传统、组合令牌明显更小的尺寸。此外,与轻量令牌相关联的特权可以通过改变集中式验证数据库中的特权数据而撤销或更改,并且不必改变轻量令牌本身或者使其失效。
在接下来的讨论中,提供了标题为“操作环境”的章节并且其描述了其中可以采用一个或多个实施例的一个环境。在此之后,标题为“分支验证令牌示例”的章节描述了依照一个或多个实现的示例技术和细节。最后,标题为“示例系统”的章节描述了可以在一个或多个实现中利用的示例计算系统和设备。
操作环境
图1一般地在100处图示了依照一个或多个实施例的操作环境。环境100包括通过网络104通信耦合到服务提供商106的计算设备102。计算设备可以以各种方式配置为访问由服务提供商通过网络104而可用的各种资源107(例如,内容和服务)并且与其交互。资源107可以包括典型地由一个或多个服务提供商通过网络而可用的内容和/或服务的任何适当组合。例如,内容可以包括文本、视频、广告、音频、多媒体流、动画、图像、网页等的各种组合。服务的一些示例包括但不限于,在线计算服务(例如,“云计算”)、验证服务、基于网络的服务、文件存储和协作服务、搜索服务、诸如电子邮件和/或即时消息之类的消息服务,以及社交联网服务。
计算设备还被描绘为包括操作系统108和一个或多个应用110,其可以驻留在计算机可读介质上并且由计算设备的处理系统可执行。处理系统可以以各种方式配置为检索并且执行来自应用110的计算机程序指令以向计算设备102提供各种各样的功能性,包括但不限于,访问从操作系统108可用的本地资源、游戏、办公效率、电子邮件、媒体管理、打印、联网、浏览网络以访问资源107等等。也可以包括涉及应用110的各种数据和程序文件,其示例包括游戏文件、办公文档、多媒体文件、电子邮件、数据文件、网页、用户简档和/或偏好数据等。
计算设备102可以体现为任何适当的计算系统和/或设备,诸如作为示例而非限制,游戏系统、桌上型计算机、便携式计算机、平板或板类计算机、诸如个人数字助理(PDA)之类的便携式计算机、手机、机顶盒等。例如,计算设备102可以实现为电视客户端设备、计算机和/或游戏设备,其连接到显示设备以显示媒体内容。可替换地,计算设备可以是任何类型的便携式计算机、移动电话、便携式设备、平板或板类设备,和/或可以包括集成显示器。任何计算设备可以以各种组件而实现,诸如一个或多个处理器和存储器设备,以及以不同组件的任何组合而实现。可以表示各种系统和/或设备(包括计算设备102)的计算系统的一个示例在下面图7中示出并且描述。
计算机可读介质可以包括(作为示例而非限制)所有形式的易失性和非易失性存储器和/或存储介质,其典型地与计算设备相关联。这样的介质可以包括ROM、RAM、闪速存储器、硬盘、可移除介质等。计算机可读介质可以包括“计算机可读存储介质”和“通信介质”二者,其示例可以在图7的示例计算系统的讨论中找到。
本文描述的分支验证令牌技术可以用于控制对本地账户和基于网络的账户中的任一个或二者的客户端访问。计算设备例如可以由用户采用以尝试通过宣称凭证112而访问用户账户,该凭证112可以作为验证序列的部分而经由验证服务114来核验。相应地,验证服务114表示可操作成解决用户的身份以控制对资源107的访问的功能性。作为独立服务(如所图示的)或者以其它方式,验证服务114可以由服务提供商106提供,从服务提供商106寻求资源107。验证服务114可以使用各种协议实现验证序列,以确定试图访问资源的用户是他们自称那个人和/或经授权以访问资源。可以利用的示例验证协议包括但不限于Kerberos、活动目录联合服务(ADFS)和主机身份协议(HIP),其仅仅是几个示例。
验证服务114可以对照作为用户账户数据的部分而与账户相关联的维持的凭证(例如,用户ID、密码、密钥、共享秘密等)来核验所宣称的凭证112。当验证成功(例如,客户端“是他们自称的那个人”)时,验证服务可以发布(多个)令牌(例如,TGT、加密团块、信息记录程序和/或其它适当的登录凭证)以使得能够访问对应资源。在实现中,验证服务114可以配置为支持传统、组合令牌技术以及分支验证令牌技术,其中特权数据从对应令牌分离,例如轻量令牌。单个验证可以对应于一个或多个资源107,使得通过“单点登录”对单个账户的验证可以提供对各个资源、来自多个服务提供商106的资源和/或从服务提供商106可用的整个资源套件的访问。因而,在成功核验凭证112之后,计算设备可以登录到用户账户并且因此可以给予其对针对账户所授权的资源107的访问。如果验证服务不能够核验凭证,则拒绝对资源107的访问,可以输出提示重试验证等。
已经描述了示例操作环境,现在考虑依照一个或多个实施例的关于基于输入挑战的验证的示例细节。
分支验证令牌示例
在以下章节中,讨论了用于分支验证令牌技术的实现细节和示例技术。讨论包括可以与任何适当的硬件、软件、固件或其组合结合实现的一些(多个)示例进程。在至少一些实施例中,进程可以通过适当配置的计算设备的方式实现,该计算设备包括或以其它方式利用验证服务114。进程的方面还可以通过计算设备102和/或通过分布在服务提供商106和计算设备102之间的功能性而实现。
示例交互场景
图2一般地在200处描绘了其中向客户端发布验证令牌的示例交互场景。特别地,示例交互场景表示可以由使用字母“A”到“E”标记的图1的示例操作环境100的一个或多个组件执行的操作。例如,在“A”处,客户端/用户201可以操作计算设备102以形成访问请求202来从服务提供商106获取资源107。例如,可以将浏览器导航到由服务提供商106通过网络104而可用的特定网站和/或网络服务。响应于访问请求202,服务提供商106在“B”处可以发布用于用户验证的挑战204,其发起验证序列。在一些实现中,服务提供商106可以并入验证服务114以代表其自己执行客户端/用户201的验证。此外或者可替换地,服务提供商106可以配置挑战204以使计算设备再定向到外部和/或第三方验证服务114,其可操作成代表一个或多个服务提供商106执行验证以用于访问对应资源。
作为验证序列的部分,可以为客户端/用户201呈现登录页面或者与验证服务114相关联的其它适当接口,其提供提示以输入用于验证的凭证112。在“C”处,计算设备102可以响应于针对核验对验证服务114的提示而传达由客户端/用户供应的凭证112。凭证112可以例如为用户ID和密码组合。还设想到其它类型的验证方案以及对应类型的凭证,诸如使用基于图片的挑战、所建立的输入模式、触摸手势组合、生物测量验证、代码等。如所指出的,验证服务114可以通过对照作为用户账户数据的部分而与账户相关联维持的已知凭证检查它们来核验所宣称的凭证112。另外,验证服务114可以配置为支持传统、组合令牌技术以及分支验证令牌技术,其中特权数据与对应令牌(例如,轻量令牌)分离。
因而,在通过验证服务114而成功验证凭证112之后,验证服务114在“D”处可以发布至少一个验证令牌206并且将(多个)验证令牌206传达回到计算设备102以用于访问对应资源。验证令牌206可以配置为各种类型的令牌,诸如票据授予票据TGT、加密团块、信息记录程序或者与各种验证协议结合使用的其它适当登录凭证。如在上文和下文详细讨论的,验证服务114可以进一步可操作为逐资源地和/或逐提供商地就是发布例如轻量令牌(例如,当支持分支验证令牌技术时)还是传统类型组合令牌(例如,针对不支持分支验证令牌的提供商和资源)而做出确定。为了标识和区分支持分支验证令牌的服务商/资源与不支持其的服务商/资源,验证服务114可以参照适当数据,诸如表格、数据库、文件、列表或者其它数据结构,其具有指示特定提供商/资源是否支持分支验证的性质、字段和/或元数据。验证服务114然后可以基于支持的确定而选择性地以不同格式提供验证令牌。
相应地,由验证服务114发布的验证令牌206可以或者可以不配置为包含对应特权数据208。特权数据208配置为指示通过对应账户而针对客户端/用户所授予的访问特权。换言之,特权数据208提供准许客户端/用户与其交互的资源和/或服务提供商的指示。特权数据208还可以包括针对其令牌有效的指定有效性时间段的指示,其可以是几小时、几天或几周。特权数据208可以进一步涵盖各种其它元数据,诸如偏好、群组成员资格、上下文指示、位置指示、语言选择、身份宣称、服务等级、设备能力等。
在传统令牌中,特权数据208可以与所授予的令牌内的身份信息组合。例如,特权数据208可以作为特权属性证书(PAC)和/或以用于不同验证协议的其它适当方式而加密在基于Kerberos的令牌内。服务提供商因此可以利用直接包含特权数据208的令牌以标识用户并且提取对应访问特权来控制对资源107的访问。该方案不涉及必须从资源而不是所呈现的令牌来查找特权。然而,该方案的一个缺点在于,在有效性时间段期间,令牌(即便受损或被盗)足以通过将令牌呈现给服务提供商而获取向对应资源的访问。由于组合令牌基本上是自包含式的,所以其还可能难以撤销或改变相关联的特权。附加地,将特权数据208嵌入令牌内增大了令牌的尺寸并且在一些情况下可能导致超出置于头文件、令牌尺寸和/或网络业务量上的带宽或尺寸限制。
因而,依照分支验证令牌技术,验证服务114可以配置为将特权数据208与所发布的令牌分离并且将特权数据存储在网络可访问的存储位置处,诸如在如图2中所表示的集中式验证数据库210中。集中式验证数据库210可以代表用于包括特权数据208的客户端/用户账户数据的集中式和/或经复制的储存库。集中式验证数据库210可以配置为验证服务114的集成组件,或者可替换地可以提供为由相同或不同的(多个)服务器和/或(多个)提供商实现的单独服务(例如,外部服务)。
例如,在“E”处,将与所发布的令牌相关联的特权数据208表示为经传达以用于存储在集中式验证数据库210处。在该示例中,在“D”处发布的验证令牌206可以配置为不包含特权数据208的轻量令牌。相反,轻量令牌可以配置为包含向网络可访问的存储位置的链接、URL、地址或其它引用,服务提供商可以从网络可访问的存储位置获得对应特权数据208。在一种方案中,轻量令牌可以配置为相对小的信息记录程序,其包括向网络可访问存储装置的引用。引用由服务提供商可使用以从集中式验证数据库210(或其它存储位置)查找与客户端相关联的特权数据。但是,轻量令牌不包含足以使得服务提供商能够确定授权客户端使用的资源而没有从集中式验证数据库进行查找的特权数据。因而,一般而言,组合验证令牌包含而轻量令牌不包含足以使得能够通过服务提供商进行关于客户端的访问特权的确定而没有依赖于外部信息的信息。
与所发布的轻量令牌相关联的特权可以通过修改维持在集中式验证数据库210处的特权数据208而撤销或改变。这种对特权的修改可以在不更改轻量令牌或者影响轻量令牌的有效性的情况下发生。换言之,特权可以改变而同时令牌保持有效并且令牌随后可用于依照经修改的特权来访问资源。当呈现令牌时,在修改特权与访问特权的推行之间存在很少延迟或者不存在延迟。此外,特权改变在不必向用户/客户端重新验证或发布新的验证令牌的情况下生效。
图3一般地在300处描绘了依照一个或多个实现的其中采用令牌以控制对资源的访问的示例交互场景。特别地,示例交互场景表示可以由使用字母“F”到“I”标记的图1的示例操作环境100的一个或多个组件执行的操作。在以刚刚关于图2所述的方式获得验证令牌206之后,客户端/用户201可以进行导航以访问从服务提供商106可用的各种资源。例如,计算设备102可以操作为形成访问请求。在“F”处,验证令牌206可以作为访问请求的部分和/或响应于来自提供商的供应验证令牌206的提示而传达。出于本示例的目的,假设验证令牌206是如本文描述的不包括特权数据208的轻量令牌。
相应地,在该示例中,服务提供商106可以是“有分支验证令牌意识的提供商”,其配置为除传统组合令牌之外或者代替于传统组合令牌而识别并且处置轻量令牌。作为示例,服务提供商106可以基于标识令牌所包括的数据而检测令牌是轻量令牌,所述数据诸如头文件字段、代码、令牌格式、向令牌内的特权数据的引用或链接、令牌内的特权数据的缺失等。响应于检测到轻量令牌,服务提供商106配置为执行操作以取得对应于令牌的完整特权数据208。
特别地,服务提供商106可以解析令牌以提取向集中式验证数据库210(或其它指定存储位置)的链接或其它引用。在“G”处,服务提供商利用所提取的链接/引用以形成查询302并且然后将查询302传达给集中式验证数据库210以便查找对应特权数据208。响应于查询302,服务提供商在“H”处获得特权数据208,其可以用于控制对如由特权数据208所指定的资源107的访问。在准许客户端/用户根据特权数据208访问所请求的资源的核验之后,服务提供商106在“I”处使得能够访问资源107并且计算设备102能够与资源107交互。关于接下来的示例进程而讨论与分支验证令牌技术的这些和其它方面有关的附加细节。
示例进程
图4描绘了其中验证服务选择性地发布验证令牌以用于访问资源的示例进程400。从客户端获取凭证以用于验证对来自服务提供商的资源的访问(块402)。例如,计算设备102可以操作为与尝试从服务提供商106访问资源结合地供应与客户端/用户相关联的凭证112(例如,用户ID和密码或其它验证凭证)。验证服务114配置为使用所供应的凭证来验证客户端以访问来自服务提供商的资源。为了完成此,在所获得的凭证与和客户端相关联地维持的对应凭证之间做出比较(块404)。基于该比较,关于客户端是否得到验证以获取对资源的访问做出确定(块406)。如果客户端没有得到验证,则拒绝对资源的访问(块408)。另一方面,当验证成功时,对从中寻求资源的服务提供商是否为有分支验证令牌意识的提供商做出确定(块410)。在服务提供商无意识的情况下,向客户端发布组合验证令牌(块412)。组合验证令牌配置为包括特权数据208。例如,特权数据可以加密在针对没有配置为支持分支令牌技术的服务提供商106和资源107所发布的组合验证令牌206内。作为示例,特权数据208可以使用加密PAC、数据团块或者其它适当机制而嵌入令牌内以使令牌包括特权数据。如之前所指出的,特权数据配置为提供来自在成功验证后授权客户端使用的一个或多个服务提供商的资源的指示,以及客户端标识信息和其它元数据。因为组合令牌包括客户端标识信息和特权数据二者,所以组合验证令牌使得能够通过授权客户端使用的资源的服务提供商进行直接确定。
但是,当服务提供商有意识时,采用分支验证令牌技术(块414)。此处,向客户端发布轻量令牌(块416)并且将对应特权数据传达给集中式验证数据库(块418)以用于与轻量令牌分离地存储。轻量令牌不包含足以使得服务提供商能够确定授权客户端使用的资源而没有从集中式验证数据库进行查找的特权数据。相反,轻量令牌配置为包括引用,其由服务提供商可使用以从集中式验证数据库查找与客户端相关联的特权数据。特权数据可以取决于客户端的访问权限、所访问的资源的类型和/或由资源传递给集中式验证数据库的轻量令牌中的附加上下文信息中的一个或多个而变化。例如,引用可以是用于集中式验证数据库中的特权数据的存储位置的地址、链接或URL。基于存储在集中式验证数据库中的特权数据来控制与轻量令牌相关联的访问特权。因而,轻量信息记录程序令牌的占有单独地不足以获取对资源的访问。附加地,与轻量令牌相关联的访问特权中的改变可以通过修改存储在集中式验证数据库中的对应特权数据来达成,而不必撤销或改变轻量令牌本身。关于修改与轻量令牌相关联的特权的技术的进一步细节在下文与图6的示例进程结合地讨论。
因为轻量令牌不包括完整特权数据,所以包括在轻量令牌中的信息量显著少于包括在组合验证令牌中的信息(例如,完全的特权数据)。因此,轻量令牌具有可以比对应组合验证令牌的尺寸显著更小的尺寸。因此,轻量令牌可以更容易处置和输运,以及更有可能满足任何带宽或令牌尺寸约束。附加地,轻量令牌的相对小的尺寸可以使得能够在一些情况下以未经压缩的格式传达轻量信息记录程序,其一般地对于承载完整特权数据的较大组合令牌是不大可能的。
图5描绘了其中服务提供商基于轻量令牌而控制对资源的访问的示例进程500。获取由客户端供应的轻量令牌以用于访问来自服务提供商的资源(块502)。客户端/用户可以依照图4的前述进程400以及图2的示例交互场景而获得轻量令牌。例如,可以通过验证服务114向客户端发布轻量令牌,验证服务114配置为确定服务提供商106是否支持分支验证令牌技术。基于这样的确定,验证服务114操作成:(1)发布不包括特权数据208的轻量令牌以用于访问来自支持分支验证令牌技术的服务提供商106的资源107,以及(2)发布包括特权数据208的组合验证令牌以用于访问来自不支持分支验证令牌技术的服务提供106的资源107。
在针对轻量令牌所建立的有效性时间段期间,可以与尝试访问来自服务提供商的资源结合地由客户端/用户呈现轻量令牌。服务提供商配置为将所呈现的令牌识别为轻量令牌并且解析令牌以提取向对应特权数据在其处可用的位置的引用。例如,服务提供商可以基于如之前描述的令牌所包括的各种标识数据来将令牌识别为轻量令牌。
一旦服务提供商将令牌识别为轻量令牌,服务提供商就配置为执行操作以获得对应特权数据208,其依照本文描述的分支验证令牌技术而保持与轻量令牌本身分离。代替于使令牌包括特权数据,轻量令牌经由对用于特权数据的存储位置的引用而链接到与客户端相关联的特权数据,诸如在如本文描述的集中式验证数据库中。服务提供商使用该引用来从轻量令牌所指定的位置查找用于客户端的特权数据(块504)。例如,轻量信息记录程序令牌单独地不足以使得服务提供商能够确定授权客户端使用的资源而没有从由轻量信息记录程序令牌指定的位置查找特权数据。相应地,由服务提供商基于服务提供商所查找的特权数据来选择性地控制对资源的访问。
特别地,服务提供商依照维持在轻量令牌中所指示的位置处的特权数据来确认客户端是否具有访问资源的特权(块506)。例如,服务提供商可以与集中式验证数据库交互以查找群组成员资格、资源授权、服务等级和/或关于特权数据208所反映的资源的其它客户端特权。当客户端具有针对特定资源的特权时,启用对那些单独资源的访问(块508)。另一方面,当客户端不具有针对一些资源的特权时,拒绝对这些资源的访问(块510)。
要指出,还可以采用分支验证令牌技术以用于不同域或域的片段之间的推举(referral)。在用于使用相同验证数据库的域的集合(例如,域森林)的信任边界内,可以将轻量令牌发布或转移到推举域(只要资源支持分支方案)以使得能够访问特权数据。附加地,分支验证令牌技术可以跨信任边界而应用于资源和域,其可以具有分离的验证数据库和特权数据,诸如在活动目录域森林的情况下。在这样的越边界的推举情况下,轻量令牌可能不在域森林之间工作,如果特权数据跨信任边界而改变的话。为了应对这些情况,可以跨信任边界而发布包含完整特权数据的组合验证令牌。但是,在分离的域内,轻量令牌和分支技术可以用于信任边界内的资源以及用于一直通往一个森林的根域的推举,并且在越过森林信任边界之后,以本文描述的方式向下直至推举域中的资源。
图6描绘了其中与轻量令牌相关联的特权被修改的示例进程600。标识与发布给客户端的轻量令牌相关联的特权中的改变(块602)。特权中的改变可以以各种方式发起。例如,用户或管理员可以更改具有不同特权的各种群组中的对应账户的成员资格。另外,用户可以针对不同服务等级进行签约和/或现有服务授权可能过期。这些和其它动作可以引起用于客户端/用户的特权中的对应改变。验证服务114和/或服务提供商可以配置为检测和/或获得特权中的改变的通知。
响应于改变的标识,通过与集中式验证数据库的交互来修改特权以改变维持在其中的对应特权数据而没有使轻量令牌失效(块604)。然后,响应于使用轻量令牌访问资源的随后请求,依照经修改的特权选择性地提供访问(块606)。例如,依照本文讨论的技术,可以经由保持与轻量令牌分离的特权数据208来修改特权而没有更改已经针对账户所发布的轻量令牌的有效性或数据。相应地,客户端/用户可以继续使用轻量令牌,只要它们有效,并且相关联的访问权限将在向与轻量令牌分离的对应特权数据208做出改变时基本上“实时地”改变。此外,权限可以通过改变特权数据而快速地并且容易地撤销。例如,与令牌相关联的特权可以从集中式验证数据库210擦除,从而使得令牌无用,甚至是在令牌仍旧有效的情况下(例如,有效性时间段尚未过期)。因而,可以简单地通过更新集中式验证数据库210处的特权数据来撤销受损令牌。
已经考虑了关于输入分支验证令牌技术的示例细节和技术,考虑依照一个或多个示例的示例系统的讨论。
示例系统
图7图示了示例系统700,其包括代表可以实现本文描述的各种技术的一个或多个计算系统和/或设备的示例计算设备702。计算设备702可以是例如服务提供商的服务器、与客户端相关联的设备(例如,客户端设备)、片上系统和/或任何其它适当的计算设备或计算系统。
如所图示的示例计算设备702包括处理系统704、一个或多个计算机可读介质706和一个或多个I/O接口708,其相互通信耦合。尽管没有示出,但是计算设备702可以进一步包括系统总线或其它数据和命令传递系统,其使各种组件彼此耦合。系统总线可以包括不同总线结构中的任何一个或组合,诸如存储器总线或存储器控制器、外围总线、通用串行总线和/或处理器或本地总线,其利用任何各种总线架构。还设想到各种其它示例,诸如控制和数据线。
处理系统704代表使用硬件执行一个或多个操作的功能性。相应地,处理系统704被图示为包括硬件元件710,其可以配置为处理器、功能块等。这可以包括作为专用集成电路或使用一个或多个半导体所形成的其它逻辑器件的硬件中的实现。硬件元件710可以不受形成它们的材料或者其中所采用的处理机制的限制。例如,处理器可以包括(多个)半导体和/或晶体管(例如,电子集成电路(IC))。在这样的上下文中,处理器可执行指令可以是电子可执行指令。
计算机可读介质706被图示为包括存储器/存储装置712。存储器/存储装置712表示与一个或多个计算机可读介质相关联的存储器/存储容量。存储器/存储装置712可以包括易失性介质(诸如随机存取存储器(RAM))和/或非易失性介质(诸如只读存储器(ROM)、闪速存储器、光盘、磁盘等)。存储器/存储装置712可以包括固定介质(例如,RAM、ROM、固定硬驱动等)以及可移除介质(例如,闪速存储器、可移除硬驱动、光盘等)。计算机可读介质706可以以各种其它方式进行配置,如下文进一步所述。
(多个)输入/输出接口708代表允许用户向计算设备702录入命令和信息并且还允许使用各种输入/输出设备向用户和/或其它组件或设备呈现信息的功能性。输入设备的示例包括键盘、光标控制设备(例如,鼠标)、用于语音操作的麦克风、扫描仪、触摸功能性(例如,配置为检测物理触摸的电容或其它传感器)、相机(例如,其可以采用可见或非可见波长,诸如红外频率,以检测不涉及如手势的触摸的移动)等。输出设备的示例包括显示设备(例如,监控器或投影仪)、扬声器、打印机、网络卡、触觉响应设备等。因而,计算设备702可以以各种方式进行配置,如下文进一步所述,以支持用户交互。
本文在软件、硬件元件或程序模块的一般上下文中描述各种技术。一般地,这样的模块包括例程、程序、对象、元件、组件、数据结构等,其执行特定任务或者实现特定抽象数据类型。如本文中使用的术语“模块”、“功能性”和“组件”一般表示软件、固件、硬件或其组合。本文描述的技术的特征是独立于平台的,这意味着技术可以在具有各种处理器的各种商用计算平台上实现。
所述模块和技术的实现可以存储在某种形式的计算机可读介质上或者跨某种形式的计算机可读介质传送。计算机可读介质可以包括可以由计算设备702访问的各种介质。作为示例而非限制,计算机可读介质可以包括“计算机可读存储介质”和“通信介质”。
“计算机可读存储介质”是指相比于单纯信号传送、载波或信号本身而言使得能够存储信息的介质和/或设备。因而,计算机可读存储介质不包括信号承载介质、传输信号或信号本身。计算机可读存储介质包括硬件,诸如易失性和非易失性、可移除和不可移除介质和/或存储设备,其以适用于存储诸如计算机可读指令、数据结构、程序模块、逻辑元件/电路或其它数据之类的信息的方法或技术实现。计算机可读存储介质的示例可以包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多用盘(DVD)或其它光学存储装置、硬盘、盒式磁带、磁带、磁盘存储装置或其它磁性存储设备、或其它存储设备、有形介质或制品,其适用于存储期望的信息并且可以由计算机访问。
“通信介质”可以是指信号承载介质,其配置为诸如经由网络向计算设备702的硬件传送指令。通信介质典型地可以体现计算机可读指令、数据结构、程序模块或者调制数据信号中的其它数据,诸如载波、数据信号或其它输运机制。通信介质还包括任何信息递送介质。术语“调制数据信号”意指使其一个或多个特性以便于将信息编码于信号中的这种方式进行设定或改变的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接之类的有线介质,以及诸如声学、RF、红外和其它无线介质之类的无线介质。
如之前所述,硬件元件710和计算机可读介质706代表以硬件形式实现的指令、模块、可编程器件逻辑和/或固定器件逻辑,其可以在一些实施例中用于实现本文描述的技术的至少一些方面。硬件元件可以包括集成电路或片上系统的组件、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)、以及硅或其它硬件设备中的其它实现。在该上下文中,硬件元件可以操作为执行由指令限定的程序任务、模块和/或由硬件元件体现的逻辑的处理设备和/或用于存储指令以供执行的硬件设备,例如之前描述的计算机可读存储介质。
还可以采用前述内容的组合以实现本文描述的各种技术和模块。相应地,包括操作系统108、应用110、验证服务114和其它程序模块的软件、硬件或程序模块可以实现为一个或多个指令和/或逻辑,其体现在某种形式的计算机可读存储介质上和/或由一个或多个硬件元件710所体现。计算设备702可以配置为实现对应于软件和/或硬件模块的特定指令和/或功能。相应地,如由计算设备702可执行的模块这样的模块作为软件的实现可以至少部分地实现在硬件中,例如通过使用处理系统的硬件元件710和/或计算机可读存储介质。指令和/或功能可以由一个或多个制品(例如,一个或多个计算设备702和/或处理系统704)可执行/可操作以实现本文描述的技术、模块和示例。
如图7中进一步图示的,示例系统700使得能够实现普遍存在的环境以用于在个人计算机(PC)、电视设备和/或移动设备上运行应用时的无缝用户体验。服务和应用在所有三个环境中基本上类似地运行以用于在从一个设备过渡到下一个而同时利用应用、播放视频游戏、观看视频等时的共同用户体验。
在示例系统700中,多个设备通过中央计算设备互连。中央计算设备可以在多个设备本地或者可以与多个设备远程定位。在一个实施例中,中央计算设备可以是通过网络、互联网或其它数据通信链接而连接到多个设备的一个或多个服务器计算机的云。
在一个实施例中,这种互连架构使得能够跨多个设备而递送功能性以向多个设备的用户提供共同且无缝的体验。多个设备中的每一个可以具有不同物理要求和能力,并且中央计算设备使用平台以使得能够向设备递送既针对设备定制又对于所有设备共同的体验。在一个实施例中,创建目标设备分类,并且针对一般设备分类对体验进行定制。设备分类可以通过设备的物理特征、使用类型或者其它共同特性来限定。
在各种实现中,计算设备702可以采取各种不同配置,诸如以用于计算机714、移动装置716和电视718用途。这些配置中的每一个包括可以具有一般不同构造和能力的设备,并且因而计算设备702可以根据不同设备分类中的一个或多个进行配置。例如,计算设备702可以实现为设备的计算机714分类,其包括个人计算机、桌上型计算机、多屏计算机、膝上型计算机、上网本等。
计算设备702还可以实现为设备的移动装置716分类,其包括移动设备,诸如移动电话、便携式音乐播放器、便携式游戏设备、平板计算机、多屏计算机等。计算设备702还可以实现为设备的电视718分类,其包括在非正式观看环境中具有或者连接到一般更大的屏幕的设备。这些设备包括电视、机顶盒、游戏控制台等。
本文描述的技术可以由计算设备702的这些各种配置所支持并且不限于本文描述的技术的具体示例。这通过在计算设备702上包括验证服务114而说明。由验证服务114和其它模块/应用表示的功能性还可以通过使用分布式系统而全部或部分实现,诸如经由如下文所述的平台722而通过“云”720。
云720包括和/或代表用于资源724的平台722。平台722对云720的硬件(例如,服务器)和软件资源的底层功能性进行抽象。资源724可以包括应用和/或数据,其可以在远离计算设备702的服务器上执行计算机处理时利用。资源724还可以包括通过互联网和/或通过订户网络所提供的服务,该订户网络诸如蜂窝或Wi-Fi网络。
平台722可以对资源和功能性进行抽象以使计算设备702与其它计算设备连接。平台722还可以服务于对资源伸缩进行抽象以针对经由平台722所实现的资源724的所遭遇的需求而提供对应伸缩等级。因而,在互连设备环境中,本文描述的功能性的实现可以遍及系统700分布。例如,功能性可以部分地实现在计算设备702上,以及经由对云720的功能性进行抽象的平台722而实现。
结论
尽管已经以具体到结构特征和/或方法动作的语言描述了主题,但是要理解到,在随附权利要求中限定的主题未必限于以上描述的具体特征或动作。相反,以上描述的具体特征和动作被公开为实现权利要求的示例形式。
Claims (20)
1.一种由计算设备实现的方法,包括:
验证客户端以访问来自服务提供商的资源;
与所述客户端的验证结合地,确定所述服务提供商是否配置为支持分支验证令牌技术;以及
基于所述确定:
当所述服务提供商没有配置为支持分支验证令牌技术时,向所述客户端发布包括与所述客户端相关联的特权数据的组合验证令牌,所述组合验证令牌包含足以向服务提供商提供关于客户端的访问特权的信息,而无需依赖于外部信息;或者
当所述服务提供商配置为支持分支验证令牌技术时,向所述客户端发布轻量令牌并且传达与所述客户端相关联的所述特权数据以用于存储在与所述服务提供商分离的集中式验证数据库中,所述轻量令牌配置为包含身份信息和引用以使得能够从所述集中式验证数据库查找所述特权数据,而并非包含所述特权数据本身。
2.根据权利要求1所述的方法,其中验证所述客户端包括从所述客户端获得凭证以用于验证,并且将所述凭证与和所述客户端相关联地维持的对应凭证进行比较。
3.根据权利要求1所述的方法,其中所述特权数据提供成功验证后授权所述客户端使用的来自一个或多个服务提供商的资源的指示。
4.根据权利要求1所述的方法,还包括当所述服务提供商没有配置为支持分支令牌技术时,将所述特权数据加密在所述组合验证令牌内。
5.根据权利要求1所述的方法,其中对所述特权数据的所述引用包括到所述集中式验证数据库的链接。
6.根据权利要求1所述的方法,其中所述引用是与所述集中式验证数据库相关联的针对所述特权数据的存储位置的地址。
7.根据权利要求1所述的方法,其中在所述服务提供商没有配置为支持分支令牌技术时发布的所述组合验证令牌包括客户端标识信息和所述特权数据二者,其使得能够由授权所述客户端使用的资源的所述服务提供商而进行直接确定。
8.根据权利要求1所述的方法,其中在所述服务提供商配置为支持分支令牌技术时发布的所述轻量令牌不包含足以使得所述服务提供商能够确定授权所述客户端使用的资源而无需从所述集中式验证数据库进行查找的特权数据。
9.根据权利要求1所述的方法,其中包括在所述轻量令牌中的信息少于包括在所述组合验证令牌中的信息,使得所述轻量令牌具有比所述组合验证令牌的尺寸小的尺寸。
10.根据权利要求9所述的方法,其中所述轻量令牌的所述尺寸使得能够以未经压缩的格式传达所述轻量令牌。
11.根据权利要求1所述的方法,其中基于存储在所述集中式验证数据库中的特权数据来控制与所述轻量令牌相关联的访问特权,使得所述轻量令牌的占有单独地不足以获取对资源的访问。
12.根据权利要求1所述的方法,还包括通过修改存储在所述集中式验证数据库中的特权数据来改变与所述轻量令牌相关联的访问特权,而没有使轻量令牌本身撤销。
13.一种由计算设备实现的方法,包括:
从客户端获得针对访问来自服务提供商的资源而供应的轻量令牌,所述轻量令牌配置为不包括与所述客户端相关联的特权数据,所述轻量令牌配置为包含身份信息和对用于所述客户端的所述特权数据的引用,所述引用将所述轻量令牌链接到被指定用于将所述特权数据存储在验证数据库内的位置,所述特权数据提供对准许所述客户端与其交互的资源的指示;
从由包含在所述轻量令牌中的所述引用所指定的位置查找用于所述客户端的所述特权数据;
根据所查找的所述特权数据而确认所述客户端是否具有访问所述资源的特权;以及
根据所述特权控制对所述资源的访问,包括:
当所述客户端具有访问所述资源的特权时,使得能够访问所述资源;或者
当所述客户端不具有访问所述资源的特权时,拒绝对所述资源的访问。
14.根据权利要求13所述的方法,其中通过验证服务向所述客户端发布所述轻量令牌,所述验证服务配置为:确定服务提供商是否支持分支验证令牌技术,发布不包括特权数据的轻量令牌以用于访问来自支持分支验证令牌技术的服务提供商的资源,以及发布包括特权数据的组合验证令牌以用于访问来自不支持分支验证令牌技术的服务提供商的资源。
15.根据权利要求13所述的方法,其中所述轻量令牌不足以使得所述服务提供商能够在无需从由所述轻量令牌所指定的所述位置查找所述特权数据的情况下确定授权所述客户端使用的资源。
16.一种系统,包括:
一个或多个处理器;以及
存储指令的一个或多个计算机可读存储介质,所述指令在由计算设备执行时实现验证服务,所述验证服务配置为执行动作,所述动作包括:
与验证客户端以访问来自服务提供商的资源结合地,确定服务提供商是否支持分支验证令牌技术;
向客户端发布包括特权数据的组合验证令牌,以用于访问来自不支持分支验证令牌技术的服务提供商的资源,所述组合验证令牌包含足以向服务提供商提供关于客户端的访问特权的信息,而无需依赖于外部信息;以及
向客户端发布不包括特权数据的轻量令牌,以用于访问来自支持分支验证令牌技术的服务提供商的资源,所述轻量令牌配置为包含身份信息和引用,其使得能够进行查找以从与验证服务相关联的指定存储位置获得对应的特权数据。
17.根据权利要求16所述的系统,其中所述验证服务还配置为执行动作,所述动作包括:
将所述轻量令牌配置为包括所述引用,以作为到由所述验证服务实现的集中式验证数据库内的用于所述客户端的对应的特权数据的所述指定存储位置的链接。
18.根据权利要求17所述的系统,其中所述验证服务还配置为执行动作,所述动作包括:
标识与向特定客户端发布的轻量令牌相关联的特权的改变;
通过与所述集中式验证数据库交互来修改所述特权,以改变维持于其中的对应的特权数据,而没有使所述轻量令牌无效。
19.根据权利要求16所述的系统,其中所述轻量令牌不包含足以使得由所述服务提供商进行关于所述客户端的访问特权的确定的信息,而无需依赖于外部信息。
20.根据权利要求16所述的系统,其中所述轻量令牌具有使得能够以未经压缩的格式传达所述轻量令牌的尺寸。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/284221 | 2014-05-21 | ||
US14/284,221 US9350729B2 (en) | 2014-05-21 | 2014-05-21 | Bifurcated authentication token techniques |
PCT/US2015/031287 WO2015179260A1 (en) | 2014-05-21 | 2015-05-18 | Bifurcated authentication token techniques |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106464681A CN106464681A (zh) | 2017-02-22 |
CN106464681B true CN106464681B (zh) | 2019-11-26 |
Family
ID=53373571
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580025880.0A Active CN106464681B (zh) | 2014-05-21 | 2015-05-18 | 分支验证令牌技术 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9350729B2 (zh) |
EP (1) | EP3146693B1 (zh) |
CN (1) | CN106464681B (zh) |
WO (1) | WO2015179260A1 (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9442808B1 (en) * | 2014-12-30 | 2016-09-13 | Emc Corporation | Session tickets for a backup and recovery system |
US11503031B1 (en) * | 2015-05-29 | 2022-11-15 | Pure Storage, Inc. | Storage array access control from cloud-based user authorization and authentication |
US9785783B2 (en) * | 2015-07-23 | 2017-10-10 | Ca, Inc. | Executing privileged code in a process |
CN110168549B (zh) * | 2016-12-14 | 2022-11-11 | 皮沃塔尔软件公司 | 证书的分布式验证 |
US10223541B2 (en) * | 2017-01-24 | 2019-03-05 | Salesforce.Com, Inc. | Adaptive permission token |
JP6501813B2 (ja) * | 2017-03-24 | 2019-04-17 | Kddi株式会社 | 情報処理システム、情報処理方法、及びプログラム |
CA3005598C (en) * | 2017-05-22 | 2022-05-24 | Hussein Talaat Mouftah | Methods and systems for conjugated authentication and authorization |
EP3692458B1 (en) * | 2017-10-03 | 2022-04-13 | Varonis Systems, Inc. | Systems and methods for preventing excess user authentication token utilization conditions in an enterprise computer environment |
CN112134808B (zh) * | 2020-07-21 | 2024-02-02 | 上海寻梦信息技术有限公司 | 仓配服务控速下发方法、装置、电子设备及存储介质 |
CN115499437B (zh) * | 2022-08-22 | 2024-04-05 | 苏州大学 | 一种分布式边缘协作中的轻量级群认证系统的认证方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013106688A2 (en) * | 2012-01-13 | 2013-07-18 | Telecommunication Systems, Inc. | Authenticating cloud computing enabling secure services |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030188193A1 (en) | 2002-03-28 | 2003-10-02 | International Business Machines Corporation | Single sign on for kerberos authentication |
US7607008B2 (en) | 2004-04-01 | 2009-10-20 | Microsoft Corporation | Authentication broker service |
US7603700B2 (en) | 2004-08-31 | 2009-10-13 | Aol Llc | Authenticating a client using linked authentication credentials |
US8281378B2 (en) | 2006-10-20 | 2012-10-02 | Citrix Systems, Inc. | Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation |
US8516566B2 (en) | 2007-10-25 | 2013-08-20 | Apple Inc. | Systems and methods for using external authentication service for Kerberos pre-authentication |
US8302170B2 (en) * | 2008-09-22 | 2012-10-30 | Bespoke Innovations S.A.R.L. | Method for enhancing network application security |
US8255984B1 (en) | 2009-07-01 | 2012-08-28 | Quest Software, Inc. | Single sign-on system for shared resource environments |
US20110252459A1 (en) | 2010-04-12 | 2011-10-13 | Walsh Robert E | Multiple Server Access Management |
US8881250B2 (en) * | 2011-06-17 | 2014-11-04 | Ebay Inc. | Passporting credentials between a mobile app and a web browser |
US9027097B2 (en) * | 2013-02-06 | 2015-05-05 | Dropbox, Inc. | Client application assisted automatic user log in |
-
2014
- 2014-05-21 US US14/284,221 patent/US9350729B2/en active Active
-
2015
- 2015-05-18 CN CN201580025880.0A patent/CN106464681B/zh active Active
- 2015-05-18 WO PCT/US2015/031287 patent/WO2015179260A1/en active Application Filing
- 2015-05-18 EP EP15728261.7A patent/EP3146693B1/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013106688A2 (en) * | 2012-01-13 | 2013-07-18 | Telecommunication Systems, Inc. | Authenticating cloud computing enabling secure services |
Also Published As
Publication number | Publication date |
---|---|
CN106464681A (zh) | 2017-02-22 |
WO2015179260A1 (en) | 2015-11-26 |
US20150341346A1 (en) | 2015-11-26 |
US9350729B2 (en) | 2016-05-24 |
EP3146693B1 (en) | 2019-04-24 |
EP3146693A1 (en) | 2017-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106464681B (zh) | 分支验证令牌技术 | |
US10880287B2 (en) | Out of box experience application API integration | |
CN102984199B (zh) | 资源访问授权 | |
CN105659558B (zh) | 计算机实现的方法、授权服务器以及计算机可读存储器 | |
US20190052465A1 (en) | Method and appratus for authentication and promotion of services | |
US11394715B2 (en) | Proxy authorization of a network device | |
CN104604204B (zh) | 在同步通信中安全地操控服务器证书错误 | |
US10148635B2 (en) | Systems, apparatuses, methods, and non-transitory computer readable media for authenticating user using history of user | |
AU2018205166A1 (en) | Methods and systems for secure and reliable identity-based computing | |
US20160182479A1 (en) | No password user account access | |
CA2861656C (en) | User authentication and authorization using personas | |
US20130074158A1 (en) | Method and apparatus for domain-based data security | |
KR20170005847A (ko) | 모바일 장치와 관련된 전자 키 지급 및 액세스 관리를 위한 시스템 및 방법 | |
KR20190035970A (ko) | 통신 세션에서의 가상 어시스턴트 | |
CN109076072A (zh) | Web服务图片密码 | |
CN109691057A (zh) | 经由私人内容分发网络可交换地取回敏感内容 | |
US20230230066A1 (en) | Crypto Wallet Configuration Data Retrieval | |
US10587594B1 (en) | Media based authentication | |
US10447702B2 (en) | Digital credential tiers | |
US9769171B2 (en) | Management apparatus, membership managing method, service providing apparatus, and membership managing system | |
US11032264B2 (en) | Backend service integration | |
US20140351096A1 (en) | Techniques for facilitating acquisition and exchange of ebook and other digital content via a computer network | |
US20150222431A1 (en) | Random identifier generation for offline database | |
Alt et al. | Emerging trends in usable security and privacy | |
US20180270294A1 (en) | Backend Service Integration |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |