CN107005605A - 服务授权中的设备标识 - Google Patents
服务授权中的设备标识 Download PDFInfo
- Publication number
- CN107005605A CN107005605A CN201580054594.7A CN201580054594A CN107005605A CN 107005605 A CN107005605 A CN 107005605A CN 201580054594 A CN201580054594 A CN 201580054594A CN 107005605 A CN107005605 A CN 107005605A
- Authority
- CN
- China
- Prior art keywords
- service
- token
- request
- access
- service access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了用于授权对服务的访问的技术。在各种实施例中,向应用提供了包括数据的令牌,所述数据包括或以其他方式与在其上安装了被配置为访问服务的应用的设备的设备标识符相关联。接收包括令牌的服务访问授权请求。令牌被用于确定与服务访问授权请求相关联的设备信息。
Description
对其他申请的交叉引用
本申请要求在2004年8月7日提交的标题为“DEVICE IDENTIFICATION IN SINGLESIGN-ON(SSO)”的美国临时专利申请号62/034,672的优先权,其通过引用并入本文中以用于所有目的。
背景技术
基于云的服务(例如,客户关系管理(CRM)服务、软件即服务(SaaS)提供商等)通常在提供对服务的访问之前使用授权和/或认证流程(例如,OAuth流程、安全断言标记语言(SAML)流程、基本认证流程和/或任何其他类型的授权和/或认证流程)来认证设备的用户。在典型的先前方法中,授权确定仅基于用户信息进行。关于用户正在使用的(例如,移动)设备的信息(例如,设备身份、安全状态、位置等)通常不可用于这样的服务来在确定是否提供对服务的访问中使用。
附图说明
在以下的具体实施方式和附图中公开了本发明的各种实施例。
图1是图示了与服务访问授权有关地提供设备标识的系统的实施例的框图。
图2是图示了移动设备管理(MDM)服务器系统的实施例的框图。
图3是图示了预置移动应用以访问第三方服务的过程的实施例的流程图。
图4是图示了访问服务的过程的实施例的流程图。
图5是图示了授权对服务的访问的过程的实施例的流程图。
图6是图示了用于确定是否授权对服务的访问的过程的实施例的流程图。
图7是图示了使用设备信息来确定是否授权对服务的访问的过程的实施例的流程图。
图8是图示了使用设备信息来确定是否授权对服务的访问的过程的实施例的流程图。
具体实施方式
本发明可以以许多方式实现,包括作为过程;装置;系统;物质的组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置为执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现或本发明可能采取的任何其他形式可以被称为技术。通常,所公开的过程的步骤的次序可以在本发明的范围内改变。除非另有说明,诸如处理器或存储器之类的描述为被配置为执行任务的组件可以被实现为临时配置为在给定时间执行该任务的一般组件或者被制造为执行该任务的特定组件。如本文所使用的,术语“处理器”是指被配置为处理诸如计算机程序指令之类的数据的一个或多个设备、电路和/或处理核。
下文提供了本发明的一个或多个实施例的详细描述以及图示本发明的原理的附图。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限制,并且本发明包括许多替代方案、修改和等同物。为了提供对本发明的透彻理解,在以下描述中阐述了许多具体细节。为了示例的目的提供这些细节,并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求实施本发明。出于清楚的目的,未详细描述与本发明相关的技术领域中已知的技术材料,使得不会不必要地使本发明模糊。
公开了一种技术以使得服务提供商能够扩展授权流程以不仅认证设备的用户而且授权用户正在从其连接的设备。在各种实施例中,企业移动性管理(EMM)服务器(有时被称为移动设备管理或MDM服务器)或其他管理服务器向设备(例如,移动设备)上的应用实例(例如移动应用实例)推送要与服务访问请求有关地呈现给第三方服务(例如,CRM、SaaS或其他服务)的令牌(例如,加密令牌)。在各种实施例中,令牌可以包括唯一设备标识符、设备状态信息(例如,安全的、有根的(rooted)等)和设备上下文信息(例如,位置等)中的一个或多个。在一些实施例中,令牌由移动(或其他)应用与服务访问请求有关地呈现给第三方服务。服务可以将令牌呈现给发行商(例如MDM或其他管理服务器),以确定是否授权该设备用于访问该服务。在一些实施例中,MDM或其他管理服务器可以应用一个或多个策略,并且向第三方服务返回指示是否应当提供所请求的服务的响应。在一些实施例中,MDM或其他管理服务器返回由第三方服务用来确定设备是否被授权的信息。
图1是图示了与服务访问授权有关地提供设备标识的系统的实施例的框图。在所示的示例中,系统100包括安装在诸如智能电话或平板设备之类的移动设备104上的移动应用102。在各种实施例中,移动应用102被配置为提供对第三方服务106的访问。这样的移动应用和关联的服务的示例包括但不限于客户关系管理(CRM)应用,诸如SAPTM、salesforce.comTM等等。在所示的示例中,移动设备104在由移动设备管理(MDM)服务器108的管理之下。在各种实施例中,“第三方服务”可以是不由或不通过MDM服务器或被配置为参与设备的管理的其他/相关节点(诸如在所示示例中的MDM服务器108)直接提供的任何服务。
有时称为“企业移动性管理”(EMM)服务器的MDM服务器108为诸如移动设备104的与企业相关联的移动设备提供管理。在各种实施例中,这样的管理的示例可以包括以下中的一个或多个:哪些应用之上的控制被需要和/或被阻止在用于访问企业数据的设备上安装;基于移动设备的所检测安全状态来检测和采取响应动作的功能(例如,获得的根访问或设备“破解”);整个设备的远程擦除(wipe);企业数据的选择性远程擦除(例如,而不擦除用户/雇员的个人数据);例如经由安全代理(图1中未示出)对后端企业服务的受控访问;对设备状态的监视;设备上下文信息(诸如位置)的报告;诸如移动应用102之类的企业应用的预置;等等。
在所示的示例中,MDM服务器108经由推送或其他通信110向移动应用102提供要用于访问第三方服务106的令牌112。在各种实施例中,令牌112包括与移动设备104唯一关联的设备标识符。在各种实施例中,令牌112可以以加密的形式包括以下中的一个或多个:设备ID(例如,MDM服务器108通过其标识移动设备104的标识符);与在移动设备104上安装的移动应用102的实例唯一关联的包(bundle)标识符或其他标识符;移动设备上下文数据(例如,位置、国家、漫游状态等);以及移动设备安全状态信息(例如,受损、安全等)。在各种实施例中,令牌112可以包括例如设备信息、用户信息、应用信息(例如,包ID和/或其他信息)、期满信息和/或其他信息。在某些情况下,加密令牌可以随时间由发行商更新和/或重新验证。
在各种实施例中,“令牌”可以是任何数据组。在一些实施例中,令牌112可以是加密令牌,即一组加密数据。在各种实施例中,令牌112的形式和/或格式和/或其被提供给移动应用102的方式可以变化。在一些实施例中,令牌112的形式/格式可以取决于移动应用102通过其被配置为获得访问第三方服务106的授权的方法,例如OAuth流程、SAML流程、基本认证等。在各种实施例中,应用/设备将基于应用如何被配置为认证而将令牌提供回到认证服务器。
在一些实施例中,令牌112可以包括加密令牌,其可以例如仅由发行商(例如,与移动设备管理平台(例如,MDM服务器108)相关联的实体)验证。
根据各种实施例,移动设备管理(MDM)平台(例如,MDM服务器108)可以以由MDM服务器108和移动设备104(例如,移动设备104的操作系统)支持的方式为诸如移动应用102的移动应用预置110授权令牌112。例如,MDM服务器108可以向应用102提供令牌112,这是经由设备的被管理应用功能(例如,iOS中的被管理应用配置),使用统一资源定位(URL)方案,经由粘贴板(pasteboard)(例如,指定的粘贴板),使用安卓目的关联的方法,使用安卓应用限制,和/或使用其他方法,取决于平台(即移动设备104)的类型及其能力。
根据一些实施例,可以向移动应用102预置简单证书注册协议(SCEP)简档。移动应用102可以获得特定身份(例如,基于SCEP简档)和/或该身份可以用于认证、授权和/或其他目的。
进一步参考图1,在所示的示例中,移动应用102被配置为将令牌112包括在请求114中以访问第三方服务106。第三方服务106经由发送到发行了令牌的MDM服务器108的授权查询来呈现令牌112。MDM服务器108基于令牌112执行处理,并向第三方服务106提供授权响应116。例如,在一些实施例中,第三方服务106可以通过查询MDM服务器108来验证与移动设备104相关联的安全状态、位置或其他信息。
在一些实施例中,第三方服务106可以连接到MDM服务器108以确定(例如,查找)与移动设备104相关联的安全状态和/或其他信息。在一些实施例中,令牌112可以对于第三方服务106是不透明的(即不可由第三方服务106读取),并且可以作为不透明的、加密的二进制大对象(blob)传递到MDM服务器108。MDM服务器108可以对令牌112进行解密,并使用包括在令牌112中的设备标识符和/或其他信息来提供对第三方服务106的响应。例如,响应可以是由该特定移动设备104上的移动应用102访问第三方服务106的简单指示,是“授权”或“不授权”。在一些实施例中,从令牌112提取的信息可以被提供回到第三方服务106,例如以使得能够由第三方服务应用策略,诸如基于设备104的安全状态和/或安全合规性的策略;与设备104相关联的用户身份;设备104的设备信息(例如,位置);和/或其他类型的响应。
在各种实施例中,本文公开的技术被描述为在OAuth流程的上下文中使用;然而,类似的方法可以与包括例如SAML流程、基本认证等的其他授权和/或认证流程一起使用。例如,可以扩展基本认证方法以将令牌包括为附加的超文本传输协议(HTTP)报头。在各种实施例中,任何认证/授权流程可以包括针对附加设备状态对MDM服务器的呼出——只要例如设备可以与访问第三方服务有关地呈现其设备令牌。
在各种实施例中,对移动设备管理授权服务器的呼叫可以是表示状态转移(REST)呼叫。在一些实施例中,第三方服务可以经由形式化的OAuth扩展和/或其他接口来授权设备。当然可以使用其他方法。
在一些实施例中,应用可以被配置为将令牌呈现给MDM服务器,而不是呈现给第三方服务。例如,在被启动和/或以其他方式接收访问第三方服务的指示时,该应用可以被配置为将令牌呈现给MDM服务器以执行合规性检查。MDM服务器可以核实该设备处于合规状态(例如,通过应用一个或多个策略)和/或执行其他处理,并且向应用返回是否继续针对第三方服务进行认证的指示。如果合规性检查结果指示该设备被发现是合规的和/或当前以其他方式被授权用于访问该服务,则该应用可以被配置为继续尝试针对第三方服务进行认证。如果合规性检查结果为否定,则在一些实施例中,由于利用MDM服务器的预认证检查失败,所以该应用将停止认证流程并且将不尝试针对第三方服务认证其自身。
图2是图示了移动设备管理(MDM)服务器系统的实施例的框图。在所示的示例中,图1的MDM服务器108被示出为包括通信接口202,其经由一个或多个网络(例如,移动电信网络、因特网等)提供针对诸如移动设备104的移动设备和/或诸如服务106的第三方服务的访问。MDM服务器108还包括基于设备身份的授权逻辑204。在各种实施例中,基于设备身份的授权逻辑204包括可操作以执行以下中的一个或多个的软件代码:生成并向移动应用实例(诸如图1的移动应用102)提供(预置)要用于访问第三方服务的加密令牌,例如包括与诸如移动设备104之类的设备唯一关联的设备标识符的令牌,移动应用102实例安装在所述设备上;从第三方服务接收并解密与访问该服务的请求有关地提供给第三方服务的令牌;从解密的令牌112提取设备和/或其他信息;基于从接收和解密的令牌提取的信息来标识适用于令牌与其相关联的设备的一个或多个策略;对从包括在接收的令牌中的信息获得和/或导出的信息应用一个或多个策略,例如以关于第三方服务进行访问授权确定;以及生成并向第三方服务提供响应通信,例如包括从包括令牌的信息提取和/或导出的信息以及在MDM服务器108处进行的授权确定的结果的指示(例如二进制“授权”或“不授权”结果;或指示设备未被授权的原因的结果)中的一个或两个的响应。
在图2中所示的示例中,基于设备身份的授权逻辑204将设备信息(诸如设备标识符、配置、安全或其他状态、上下文(例如,位置))和/或其他设备信息存储在设备数据库206中。从包括接收的令牌的数据提取和/或导出的设备标识符和/或其他信息可以用于标识并向服务访问请求应用存储在策略数据库208中的一个或多个可用策略,令牌与所述服务访问请求有关地接收。例如,存储在数据库208中的策略可以指示仅当设备在某些位置中和/或在某些时间(例如,正常工作日)和/或在一周中的某些日子(例如平日)时才授权访问请求与其相关联的设备访问服务。在一些实施例中,可以使用设备上下文数据(例如,位置)和/或访问请求上下文数据(例如,日/时间)来确定是否要提供访问。
图3是图示了预置移动应用以访问第三方服务的过程的实施例的流程图。在各种实施例中,图3的过程可以由诸如图1和图2的MDM服务器108的移动设备管理服务器实现。在所示的示例中,接收在被管理的移动设备(例如,图1的移动设备104)上预置移动应用实例(例如,图1的移动应用102)以访问诸如图1的第三方服务106的第三方服务的指示(302)。例如,可以诸如与移动设备104的注册和预置有关地接收移动应用(例如,移动应用102)已经安装在被管理设备上的指示。策略或规则可以指示移动应用102的安装要求移动应用102被预置和/或配置为访问第三方服务。响应于该指示(302),加密令牌(例如,图1的令牌112)被推送到移动应用实例(304)。在所示的示例中,令牌可以包括与在其上安装移动应用实例的设备相关联的设备标识符和设备安全姿态(例如,状态)或其他设备状态(或上下文)信息(例如,位置)中的一个或两个。
图4是图示了访问服务的过程的实施例的流程图。在各种实施例中,图4的过程可以由诸如图1的移动应用102的移动应用实现。在所示的示例中,启动移动应用(402),并且接收访问第三方服务的指示(例如,应用用户输入)(404)。例如,可以由用户选择访问服务的按钮或其他控件;或者可以选择服务相关内容的文件夹、文档或其他图标或图形表示;或者外部应用可能已经触发了该应用的启动,例如经由超链接来在网页中启动该应用。响应于该指示(404),服务访问请求被发送(406)到第三方服务,包括移动应用被配置为将其包括在该请求中的加密令牌。例如,在各种实施例中,加密令牌可能已经被推送或以其他方式提供给应用,例如,如上所述。如果接收到指示对服务的访问已经被授权的响应(408),则促进第三方服务的最终用户使用(410)。例如,移动应用可以提供用户接口,以使得移动应用安装在其上的移动设备的用户能够访问该服务。如果接收到指示对服务的访问已经被拒绝的响应(408),则在移动设备处显示(412)“访问被拒绝”或其他错误和/或信息性消息。例如,可以显示与移动设备管理管理员联系的消息。
图5是图示了授权对服务的访问的过程的实施例的流程图。在各种实施例中,图5的过程可以由诸如图5的第三方服务106的第三方服务执行。在所示的示例中,访问请求被接收(502)。包括在该请求中和/或与该请求相关联的用户身份和/或凭证信息可以(可选地)用于核实用户被识别和/或被授权访问服务(504)。包括在访问请求中和/或以其他方式与访问请求相关联的加密令牌(例如,从服务访问请求)被提取并发送到发行了该令牌的MDM服务器(或其他发行商)(506)。如果接收到指示设备被授权用于访问服务的响应(508),则提供对该服务的访问(510)。如果响应指示设备不被授权用于访问服务(508),则拒绝对该服务的访问(512)。在一些实施例中,来自MDM服务器(或其他发行商)的响应可以指示拒绝访问的原因,例如,设备已经受损、设备不被允许用于从设备的当前位置访问该服务等。在各种实施例中,可以至少部分地通过向服务访问请求从其接收的移动设备发送指示访问已经被拒绝的响应来拒绝访问(512)。在一些实施例中,响应可以包括访问被拒绝所基于的原因。
图6是图示了确定是否授权对服务的访问的过程的实施例的流程图。在各种实施例中,图6的过程可以由诸如图1和图2的MDM服务器108的MDM服务器和/或体现设备信息的加密令牌的另一发行商来执行。在所示的示例中,例如从第三方服务与访问服务的请求有关地接收(602)加密令牌。例如,令牌可以从第三方服务接收,作为与来自在移动设备(例如,移动设备104)上运行的移动应用实例(例如,移动应用102)的、访问服务的请求相关联的访问授权流程的一部分。从令牌提取设备标识符和/或其他信息(例如,应用包标识符)(604)。在该示例中,使用所提取的信息以及(可选地)诸如请求的日子/时间之类的上下文信息来基于适用的策略确定是否授权设备用于访问服务(606)。如果确定授权访问(608),则向服务返回指示应当允许访问的响应(610)。如果确定不授权访问(608),则向服务返回指示应当拒绝访问的响应(612)。
图7是图示了使用设备信息来确定是否授权对服务的访问的过程的实施例的流程图。在各种实施例中,图6的过程的步骤606可以包括图7的过程。在所示的示例中,从接收到的加密令牌所提取的设备标识符被用于检索当前设备信息(702)。设备信息的示例包括安全状态信息、当前和/或最后报告的位置、最后登记时间等。检索关于访问第三方服务的请求而适用于该设备的策略(704)。例如,可以检索与设备(例如,设备标识符)、设备与其相关联的用户、设备和/或用户与其相关联的群组等相关联的策略。策略被应用于设备和相关联的上下文信息(例如,星期几、一天中的时间、设备位置、全企业的和/或全服务的安全威胁级别等),以确定是否应当授权对服务的访问(706)。
图8是图示了使用设备信息来确定是否授权对服务的访问的过程的实施例的流程图。在一些实施例中,诸如图1中所示的示例中的第三方服务106的第三方服务可以被配置为应用一个或多个策略或规则,以基于从加密令牌的发行商所接收的设备信息来进行访问授权确定,所述加密令牌由该发行商提供给服务访问请求与其相关联的移动应用实例。在所示的示例中,响应于从第三方服务向加密令牌的发行商的查询而从发行商接收设备和/或状态信息(802、804)。例如,可以接收设备身份、设备群组成员资格、设备安全状态、设备位置等数据。在该示例中,由第三方服务使用所接收的设备/状态信息以及与请求相关联的上下文信息(例如,星期几、一天中的时间、特定服务和/或所请求的访问的类型等)来基于适用的策略确定(当前)关于该设备是否授权服务访问请求(806)。如果在第三方服务处确定授权请求(808),则提供对所请求的服务的访问(810)。如果在第三方服务处确定不授权请求(808),则拒绝所请求的(810)。
应用本文所公开的技术,可以基于设备信息来控制对服务的访问,所述设备信息通常将不以足够可靠/安全的方式可用于服务来使得能够进行服务访问授权确定。在各种实施例中,可以例如通过限定策略、规则等来提供访问的粒度控制,以基于如本文所公开的那样提供和/或获得的设备和/或上下文信息来支配服务访问授权确定。
尽管为了清楚理解的目的已经相当详细地描述了前述实施例,但是本发明不限于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的而不是限制性的。
Claims (20)
1.一种授权对服务的访问的方法,包括:
向被配置为访问所述服务的应用的实例提供令牌,所述令牌包括包含或以其他方式与所述应用的实例安装在其上的设备的设备标识符相关联的数据;
接收包括所述令牌的服务访问授权请求;以及
使用所述令牌来确定与所述服务访问授权请求相关联的设备信息。
2.根据权利要求1所述的方法,其中,所述服务访问授权请求由所述应用发送到移动设备管理服务器。
3.根据权利要求1所述的方法,其中,所述服务访问授权请求由所述服务发送到移动设备管理服务器。
4.根据权利要求1所述的方法,还包括生成所述令牌。
5.根据权利要求1所述的方法,其中,所述令牌被推送到所述应用的实例。
6.根据权利要求1所述的方法,其中,所述令牌包括与所述应用的实例相关联的标识符。
7.根据权利要求1所述的方法,其中,所述令牌包括设备状态信息。
8.根据权利要求7所述的方法,其中,所述设备状态信息指示所述设备的安全状态。
9.根据权利要求1所述的方法,其中,所述令牌包括加密令牌,并且使用加密令牌来确定与所述服务访问授权请求相关联的设备信息包括解密所述令牌并提取所述设备标识符。
10.根据权利要求9所述的方法,其中,使用加密令牌来确定与所述服务访问授权请求相关联的设备信息包括至少部分地基于所述设备标识符来确定与所述请求相关联的策略。
11.根据权利要求1所述的方法,还包括使用与所述服务访问授权请求相关联的设备信息来确定是否授权服务访问请求。
12.根据权利要求11所述的方法,还包括返回指示是否授权对所述服务的所请求的访问的响应。
13.根据权利要求1所述的方法,还包括响应于所述服务访问授权请求而至少包括所确定的设备信息的子集。
14.根据权利要求13所述的方法,其中,所述服务被配置为使用所述设备信息来进行服务访问授权确定。
15.一种授权对服务的访问的系统,包括:
通信接口;以及
处理器,其耦合到所述通信接口并且被配置为:
向被配置为访问所述服务的应用的实例提供令牌,所述令牌包括包含或以其他方式与所述应用的实例安装在其上的设备的设备标识符相关联的数据;
经由所述通信接口接收包括所述令牌的服务访问授权请求;以及
使用所述令牌来确定与所述服务访问授权请求相关联的设备信息。
16.根据权利要求15所述的系统,其中,所述服务访问授权请求由所述服务发送到移动设备管理服务器。
17.根据权利要求15所述的系统,其中,所述处理器还被配置为生成所述令牌。
18.根据权利要求15所述的系统,其中,所述令牌包括设备状态信息。
19.根据权利要求15所述的系统,其中,所述处理器还被配置为使用与所述服务访问授权请求相关联的设备信息来确定是否授权服务访问请求。
20.一种用于授权对服务的访问的计算机程序产品,所述计算机程序产品被体现在非暂时性计算机可读介质中并且包括计算机指令,所述计算机指令用于:
向被配置为访问所述服务的应用的实例提供令牌,所述令牌包括包含或以其他方式与所述应用的实例安装在其上的设备的设备标识符相关联的数据;
接收包括所述令牌的服务访问授权请求;以及
使用所述令牌来确定与所述服务访问授权请求相关联的设备信息。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462034672P | 2014-08-07 | 2014-08-07 | |
| US62/034672 | 2014-08-07 | ||
| US14/818151 | 2015-08-04 | ||
| US14/818,151 US10278069B2 (en) | 2014-08-07 | 2015-08-04 | Device identification in service authorization |
| PCT/US2015/043846 WO2016022712A1 (en) | 2014-08-07 | 2015-08-05 | Device identification in service authorization |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107005605A true CN107005605A (zh) | 2017-08-01 |
Family
ID=55264520
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580054594.7A Pending CN107005605A (zh) | 2014-08-07 | 2015-08-05 | 服务授权中的设备标识 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10278069B2 (zh) |
| EP (1) | EP3178221B1 (zh) |
| CN (1) | CN107005605A (zh) |
| WO (1) | WO2016022712A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112335274A (zh) * | 2018-06-29 | 2021-02-05 | 诺基亚技术有限公司 | 用于通信系统中服务访问的安全管理 |
| CN112534792A (zh) * | 2018-06-19 | 2021-03-19 | 西门子股份公司 | 在云计算环境中提供对云服务的安全访问的方法和系统 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10063594B2 (en) * | 2014-12-16 | 2018-08-28 | OPSWAT, Inc. | Network access control with compliance policy check |
| US10949841B2 (en) | 2015-05-07 | 2021-03-16 | Visa International Service Association | Provisioning of access credentials using device codes |
| US10341862B2 (en) | 2016-02-05 | 2019-07-02 | Verizon Patent And Licensing Inc. | Authenticating mobile devices |
| US10334075B2 (en) | 2016-05-23 | 2019-06-25 | Citrix Systems, Inc. | Virtual browser integration |
| US10595202B2 (en) * | 2016-05-23 | 2020-03-17 | Citrix Systems, Inc. | Dynamic access to hosted applications |
| US10637868B2 (en) * | 2016-11-16 | 2020-04-28 | The Boeing Company | Common authorization management service |
| CN108268472A (zh) * | 2016-12-30 | 2018-07-10 | 航天信息股份有限公司 | 一种SaaS软件商城系统及其实现方法 |
| US11210412B1 (en) * | 2017-02-01 | 2021-12-28 | Ionic Security Inc. | Systems and methods for requiring cryptographic data protection as a precondition of system access |
| US10812475B2 (en) * | 2017-04-18 | 2020-10-20 | Servicenow, Inc. | Authenticating access to an instance |
| US11429802B2 (en) * | 2019-09-12 | 2022-08-30 | MobileIron, Inc. | Obtaining device posture of a third party managed device |
| WO2021232347A1 (en) * | 2020-05-21 | 2021-11-25 | Citrix Systems, Inc. | Cross device single sign-on |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1638377A (zh) * | 2003-12-30 | 2005-07-13 | 国际商业机器公司 | 用于从无线设备访问环球网服务的认证的方法 |
| US20080020738A1 (en) * | 2006-07-19 | 2008-01-24 | Mspot. Inc. | Mobile device service authorization system and method |
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| US20130252583A1 (en) * | 2012-03-22 | 2013-09-26 | Research In Motion Limited | Authentication server and methods for granting tokens comprising location data |
| US20140075513A1 (en) * | 2012-09-10 | 2014-03-13 | Adobe Systems Incorporated | Device token protocol for authorization and persistent authentication shared across applications |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7480935B2 (en) * | 2002-10-10 | 2009-01-20 | International Business Machines Corporation | Method for protecting subscriber identification between service and content providers |
| EP1764972B1 (en) * | 2005-09-20 | 2017-07-19 | Accenture Global Services Limited | Authentication and authorization architecture for an access gateway |
| US20070130463A1 (en) * | 2005-12-06 | 2007-06-07 | Eric Chun Wah Law | Single one-time password token with single PIN for access to multiple providers |
| US7979899B2 (en) | 2008-06-02 | 2011-07-12 | Microsoft Corporation | Trusted device-specific authentication |
| CN101990183B (zh) * | 2009-07-31 | 2013-10-02 | 国际商业机器公司 | 保护用户信息的方法、装置及系统 |
| US9126491B2 (en) | 2009-12-17 | 2015-09-08 | Toyota Jidosha Kabushiki Kaisha | Shield and vehicle incorporating the shield |
| US8473743B2 (en) * | 2010-04-07 | 2013-06-25 | Apple Inc. | Mobile device management |
| EP2397868A1 (en) * | 2010-06-15 | 2011-12-21 | The European Union, represented by the European Commission | Method of providing an authenticable time-and-location indication |
| WO2012135748A2 (en) * | 2011-03-31 | 2012-10-04 | Google Inc. | Integrated mobile/server applications |
| US8973118B2 (en) | 2011-12-14 | 2015-03-03 | Cellco Partnership | Token based security protocol for managing access to web services |
| US20140281539A1 (en) * | 2012-03-30 | 2014-09-18 | Goldman, Sachs & Co. | Secure Mobile Framework With Operating System Integrity Checking |
| US8839376B2 (en) * | 2012-06-29 | 2014-09-16 | Cable Television Laboratories, Inc. | Application authorization for video services |
| EP2706727B1 (en) * | 2012-09-11 | 2014-09-10 | BlackBerry Limited | Systems, devices and methods for authorizing endpoints of a push pathway |
| US20140236846A1 (en) * | 2013-02-20 | 2014-08-21 | Star Appz Inc. | Subscription service of apps in the mobile market |
| US9009806B2 (en) * | 2013-04-12 | 2015-04-14 | Globoforce Limited | System and method for mobile single sign-on integration |
| US9648141B2 (en) * | 2015-03-31 | 2017-05-09 | Cisco Technology, Inc. | Token delegation for third-party authorization in computer networking |
-
2015
- 2015-08-04 US US14/818,151 patent/US10278069B2/en active Active
- 2015-08-05 EP EP15829688.9A patent/EP3178221B1/en active Active
- 2015-08-05 WO PCT/US2015/043846 patent/WO2016022712A1/en active Application Filing
- 2015-08-05 CN CN201580054594.7A patent/CN107005605A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1638377A (zh) * | 2003-12-30 | 2005-07-13 | 国际商业机器公司 | 用于从无线设备访问环球网服务的认证的方法 |
| US20080020738A1 (en) * | 2006-07-19 | 2008-01-24 | Mspot. Inc. | Mobile device service authorization system and method |
| CN102546648A (zh) * | 2012-01-18 | 2012-07-04 | Ut斯达康通讯有限公司 | 一种资源访问授权的方法 |
| US20130252583A1 (en) * | 2012-03-22 | 2013-09-26 | Research In Motion Limited | Authentication server and methods for granting tokens comprising location data |
| US20140075513A1 (en) * | 2012-09-10 | 2014-03-13 | Adobe Systems Incorporated | Device token protocol for authorization and persistent authentication shared across applications |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112534792A (zh) * | 2018-06-19 | 2021-03-19 | 西门子股份公司 | 在云计算环境中提供对云服务的安全访问的方法和系统 |
| CN112534792B (zh) * | 2018-06-19 | 2023-12-19 | 西门子股份公司 | 在云计算环境中提供对云服务的安全访问的方法和系统 |
| US11855984B2 (en) | 2018-06-19 | 2023-12-26 | Siemens Aktiengesellschaft | Method and system of providing secure access to a cloud service in a cloud computing environment |
| CN112335274A (zh) * | 2018-06-29 | 2021-02-05 | 诺基亚技术有限公司 | 用于通信系统中服务访问的安全管理 |
| US11924641B2 (en) | 2018-06-29 | 2024-03-05 | Nokia Technologies Oy | Security management for service access in a communication system |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160044511A1 (en) | 2016-02-11 |
| EP3178221A1 (en) | 2017-06-14 |
| US10278069B2 (en) | 2019-04-30 |
| WO2016022712A1 (en) | 2016-02-11 |
| EP3178221A4 (en) | 2018-05-02 |
| EP3178221B1 (en) | 2019-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107005605A (zh) | 服务授权中的设备标识 | |
| CA3029516C (en) | Two-channel authentication proxy system capable of detecting application tampering and method therefor | |
| US11736292B2 (en) | Access token management method, terminal, and server | |
| CN107534652B (zh) | 对基于云的服务的安全访问方法、系统和计算机可读介质 | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| WO2018137888A1 (de) | Verfahren zum durchführen einer authentifizierung | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| CN108011862A (zh) | 镜像仓库授权、访问、管理方法及服务器和客户端 | |
| CN105049427B (zh) | 应用系统登录账号的管理方法及装置 | |
| CN104685511B (zh) | 策略管理系统、id提供者系统以及策略评价装置 | |
| CN103986584A (zh) | 基于智能设备的双因子身份验证方法 | |
| CN103780580B (zh) | 提供能力访问策略的方法、服务器和系统 | |
| US9787678B2 (en) | Multifactor authentication for mail server access | |
| Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
| CN102457509A (zh) | 云计算资源安全访问方法、装置及系统 | |
| CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
| US9954853B2 (en) | Network security | |
| US20150328119A1 (en) | Method of treating hair | |
| Morii et al. | Research on integrated authentication using passwordless authentication method | |
| KR101824562B1 (ko) | 인증 게이트웨이 및 인증 게이트웨이의 인증 방법 | |
| CN102710621A (zh) | 一种用户认证方法和系统 | |
| EP3908946A1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät | |
| CN109460647B (zh) | 一种多设备安全登录的方法 | |
| KR102118556B1 (ko) | 프라이빗 블록체인 기반 개인정보 관리 서비스 제공 방법 | |
| Gibbons et al. | Security evaluation of the OAuth 2.0 framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170801 |