CN107534652A

CN107534652A - 对基于云的服务的安全访问

Info

Publication number: CN107534652A
Application number: CN201680012179.XA
Authority: CN
Inventors: K.D.卡鲁纳卡兰; V.帕瓦; I.戈罗文科
Original assignee: MobileIron Inc
Current assignee: MobileIron Inc
Priority date: 2015-01-26
Filing date: 2016-01-26
Publication date: 2018-01-02
Anticipated expiration: 2036-01-26
Also published as: US20160219060A1; US20180351960A1; EP3251324B1; US10673861B2; US10397239B2; CN107534652B; EP3257193A4; WO2016123109A1; US10320801B2; US20190028480A1; US10116663B2; EP3251324A1; EP3251324A4; CN107534557B; US20160219044A1; EP3257193A1; US20180248884A1; EP3257193B1; US10003600B2; WO2016123112A1

Abstract

公开了提供对基于云的服务的安全移动访问的技术。在各种实施例中，从移动设备接收访问所述基于云的服务的请求。使用与所述请求相关联的安全性证书以合成与所述请求相关联的基本认证首部。代表所述移动设备将经合成的基本认证首部发送到所述基于云的服务。

Description

对基于云的服务的安全访问

对其他申请的交叉引用

本申请要求2015年1月26日提交的名称为IDENTITY PROXY TO PROVIDE MOBILE APPACCESS CONTROL AND SINGLE SIGN ON的美国临时专利申请No. 62/107,927的优先权，该美国临时专利申请出于所有目的通过引用并入本文。

背景技术

越来越多地，移动设备正在将安全性保护和技术并入到操作系统中。在许多类型的设备中，应用被“沙盒化”且不能被设备上的其他app（应用程序）攻击。这也意味着：其自身的沙盒中的每一个应用典型地执行认证和授权过程。例如，应用典型地不能共享下述会话或令牌：其可以允许一个应用认证且允许其他应用利用相同的会话/令牌来得到单点登录。

安全性断言标记语言（SAML）是允许用户认证和授权数据被交换的XML标准。使用SAML，在线服务提供商（SP）可以联系分离的在线身份提供商（IDP）以认证正在尝试访问安全内容的用户。在移动设备中，例如，可以使用SAML或其他标准和/或协议以将移动app用户认证到关联的在线服务。然而，一些app可能不支持某些协议/标准，和/或可能不支持某些技术，诸如到分离的IDP的重定向。

在不支持重定向的情况下，SAML提供一种机制，其中客户端应用使用标准基本认证来关于SP进行认证。SP然后将通过将由用户提供的凭证传递到IdP来联系IdP以得到断言。以该方式使用基本认证可能不是期望的，例如以便防止用户的企业凭证（诸如企业用户名和密码）暴露在移动设备上和/或暴露于基于云的服务提供商（SP）。

附图说明

在以下详细描述和附图中公开了本发明的各种实施例。

图1是图示了将移动app配置成访问到基于云的服务的系统的实施例的框图。

图2是图示了提供对基于云的服务的安全移动访问的系统的实施例的框图。

图3是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。

图4是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。

图5是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。

具体实施方式

可以以许多方式实现本发明，该许多方式包括作为过程；装置；系统；物质组成；体现在计算机可读储存介质上的计算机程序产品；和/或处理器，诸如：被配置成执行存储在存储器上和/或由存储器提供的指令的处理器，该存储器耦合到该处理器。在本说明书中，这些实现方式或本发明可采取的任何其他形式可以被称作技术。一般地，可以在本发明的范围内更改所公开的过程的步骤的次序。除非以其他方式声明，被描述为被配置成执行任务的诸如处理器或存储器之类的部件可以被实现为：一般部件，其暂时被配置成在给定时间处执行任务；或者具体部件，其被制造成执行任务。如本文所使用，术语“处理器”指代被配置成处理数据（诸如计算机程序指令）的一个或多个设备、电路和/或处理核。

下面连同图示了本发明原理的附图一起提供本发明的一个或多个实施例的详细描述。结合这样的实施例描述本发明，但本发明不限于任何实施例。本发明的范围仅受权利要求限制，并且本发明涵盖了许多可替换方案、修改和等同方案。在以下描述中阐述了许多具体细节以便提供对本发明的透彻理解。这些细节是出于示例的目的而提供的，并且，在没有这些具体细节中的一些或全部的情况下可以根据权利要求来实践本发明。出于清楚的目的，未详细描述本发明相关技术领域中已知的技术材料，使得不会不必要地模糊本发明。

公开了供移动app之用的安全身份代理。在各种实施例中，身份代理可以被配置成和/或用于执行以下各项中的一个或多个：

· 不本机支持到分离的IDP的重定向的移动app的用户的安全认证；

· 关于移动app用户的安全访问控制，并入有动态信息，诸如移动设备安全性态势，而不将凭证暴露于服务提供商。

在各种实施例中，可以提供安全性代理或其他服务器。被配置成访问基于云的服务的移动客户端app或其他app被配置成经由安全性代理进行认证。例如，app可以被配置成将证书、令牌或其他安全认证信息呈现给安全性代理。在各种实施例中，安全性代理使用证书以认证用户和/或设备。安全性代理使用包括证书或以其他方式与证书相关联的信息，以合成包括与进行请求的设备和/或用户相关联的信息的散列令牌的基本授权首部。代表进行请求的用户/设备将经合成的基本授权首部发送到基于云的服务。令牌被基于云的服务使用以从身份提供商（IDP）和/或其代理获得SAML断言，该SAML断言将进行请求的用户认证到基于云的服务，从而导致基于云的服务向进行请求的用户准许对服务的访问。

图1是图示了将移动app配置成访问到基于云的服务的系统的实施例的框图。在所示的示例中，系统和环境100包括移动设备102，移动设备102具有移动设备管理（MDM）代理器104安装于其上。代理器104被配置成用于将移动设备102注册到企业移动管理（EMM）服务器108。EMM服务器108提供配置数据110（例如，应用简档或其他配置数据），配置数据110进而被提供给移动设备102上的所管理的app 112。在各种实施例中，配置数据110可以包括要被用于将所管理的app 112和/或移动设备102认证到管理实体的证书或其他安全性信息，例如，如下面结合图2描述的那样。所管理的app 112可以与基于云的服务114相关联。例如，所管理的app 112可以是由基于云的服务114与之相关联的服务提供商提供的客户端app，或者所管理的app 112可以是被配置成访问基于云的服务114（诸如通过调用基于云的服务114的API）的第三方app。在一些实施例中，所管理的app 112可以是使用ActiveSync协议以经由云电子邮件服务器（诸如Office 365®）访问电子邮件的电子邮件应用。

图2是图示了提供对基于云的服务的安全移动访问的系统的实施例的框图。在所示的示例中，系统和环境200包括移动设备102和安装于其上的所管理的app 112。

在一些实施例中，所管理的app 112可以与基于云的服务114相关联，但是所管理的app 112和基于云的服务114中的一个或全部两个可能不支持到另一节点的重定向以进行认证。某些标准和/或协议可能要求和/或可能被配置以便要求客户端被重定向到被服务直接信任或者通过“链式”或其他联合技术而信任的认证节点，以认证用户。例如，在安全性断言标记语言（SAML）标准之下，请求访问服务的客户端可以被重定向到受服务信任的身份提供商（IdP）以进行认证。如果客户端被IdP确定为被授权访问服务，则IdP发布SAML“断言”（或者在其他标准之下，其他安全性令牌），以供客户端使用以便认证到服务。客户端将令牌呈现给服务以访问服务。然而，某些移动app（诸如ActiveSync电子邮件客户端）不支持重定向。

在图2中所示的示例中，（例如，由EMM服务器108，经由图2中未示出的连接）向移动设备102提供以配置所管理的app 112的配置数据包括使得经由安全性代理202作出访问基于云的服务114的请求的数据。在一些实施例中，app 112本身未被管理。例如，在一些实施例中，app 112可以是经由所管理的简档而管理的本机电子邮件客户端。配置数据中包括的证书数据110被提供给安全性代理202。安全性代理202可以被配置成确定是否所管理的app112、移动设备102和移动设备102的关联用户中的一个或多个被授权访问基于云的服务114。该确定可以是基于证书110中包括的信息、使用证书110中包括的信息而获得的其他信息和/或来自协议字段和HTTP首部的信息来作出的。例如，证书110中包括的信息可以被用于访问存储在企业目录204（诸如Microsoft® Active Directory®（微软活动目录））中的企业目录信息。安全性代理202可以被配置成使关于对基于云的服务114的访问是否被授权的确定至少部分地基于与移动设备102相关联的安全性或其他依从性态势信息。例如，安全性代理202可以从EMM服务器108接收设备态势信息。例如，如果从EMM服务器108接收到的信息指示移动设备108可能已经受损害，则可以拒绝对基于云的服务114的访问。

在各种实施例中，安全性代理202可以被配置成代表所管理的app 112和移动设备102来合成基本认证（BA）首部206的至少部分。在一些实施例中，BA首部206的密码部分被合成，但是用户名部分未被修改。在超文本传输协议（HTTP）通信的情境中，BA首部提供用于传输用户凭证（诸如用户名和密码）的机制。在一些实施例中，为了避免暴露实际用户名和密码凭证（暴露于EMM服务器或安全性代理或者暴露于服务），可以对与用户、app、移动设备和证书110中的一个或多个相关联的信息的散列进行散列化或以其他方式变换和/或混淆和使用该散列以填充BA首部206中的字段。

在各种实施例中，代表进行请求的客户端app 112将经合成的BA首部206呈现给基于云的服务114。基于云的服务114被配置成使用经合成的BA首部206中的信息以确定用户是否被授权访问服务。在一些实施例中，基于云的服务114被配置成从BA首部206提取经合成的凭证208以及将凭证208发送到与服务114相关联的身份提供商（IdP）。在所示的示例中，与服务114相关联的IdP已经被集成到安全性代理202中。安全性代理202对如包括在经合成的BA首部206中的凭证信息进行高速缓存，并且当相同凭证208被返回到安全性代理202上的IdP时，IdP（或安全性代理202上的另一实体）使用经高速缓存的信息以确定访问被授权。基于访问被授权的确定，由安全性代理202上的IdP生成SAML断言210，并且代表客户端app 112将SAML断言210呈现给基于云的服务114。

基于云的服务114此后允许客户端app 112访问服务。在一些实施例中，经由安全性代理202来提供访问。

图3是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。在各种实施例中，图3的过程可以由安全性代理（诸如图2的安全性代理202）实现。在所示的示例中，接收与访问基于云的服务的请求相关联的证书（302）。例如，在图2中所示的示例中，从移动设备102上的app 112接收证书110。使用证书以合成基本认证（BA）首部（诸如，图2中所示的示例中的BA首部206），在该示例中，该基本认证（BA）首部包括从证书获得的信息和/或标识关联用户的关于基于云的服务的账户的信息的散列令牌（304）。代表请求访问的app/设备将经合成的BA首部发送到基于云的服务（306），如在图2中所示的示例中那样。

图4是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。在各种实施例中，图4的过程可以由安全性代理（诸如图2的安全性代理202）实现。在所示的示例中，在身份提供商处从基于云的服务接收要证实的凭证的集合（诸如，图2中所示的示例中的凭证208）（402）。可以使用先前存储的凭证信息、设备信息、设备安全性态势信息、用户信息和凭证源信息中的一个或多个以证实凭证（404）。例如，由充当身份提供商的安全性代理针对基于云的服务而接收的所接收到的凭证（如在图2中所示的示例中那样）可以使用由安全性代理自身或由受安全性代理信任的另一节点发送到服务的先前高速缓存的凭证信息。例如，如果所接收到的凭证信息匹配于经高速缓存的信息，则可以将凭证信息确定为有效的。在一些实施例中，可以检验关联的移动设备的安全性或其他依从性态势，例如通过查询EMM服务器。如果凭证信息被确定为有效的，则基于凭证有效并且访问被授权的确定将SAML断言或其他安全性令牌返回给服务（406）。

图5是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。在各种实施例中，图5的过程可以由安全性代理（诸如图2的安全性代理202）实现。在一些实施例中，图5的过程可以用于实现图4的过程的步骤404。在所示的示例中，将所接收到的凭证信息验证为（最初）已由经批准（即，受信任）的源提供（502）。例如，如果企业使多于一个安全性代理被安装，则检验与将凭证信息提供给服务（例如，经由经合成的BA首部，如在图2中所示的示例中那样）的安全性代理相关联的地址或其他标识符，以确定凭证信息是否源自于受信任的源。如果凭证信息被确定为已源自于经批准的源（504），则使用所接收到的凭证信息以识别关联的移动设备、进行请求的app、进行请求的用户和/或证书信息中的一个或多个（506）。例如，提供了凭证信息的安全性代理可以对凭证信息和指示凭证信息与之相关联的移动设备、用户等的数据二者进行高速缓存。如果基于所有可用信息和所配置的检验（例如，设备依从性检验），确定移动设备、app和/或用户被授权访问服务（508），则允许访问（510），例如通过提供有效SAML断言，如在图2中所示的示例中那样。如果凭证和/或关联信息以及基于其的检验指示对服务的访问当前未被授权（508），则拒绝访问（512），例如通过将指示认证失败了的响应返回给基于云的服务和进行请求的app中的一个或全部两个。

在一些实施例中，应用（例如，本机电子邮件客户端）可以被配置成直接与云服务（例如，Office 365®）通信。在一些实施例中，安全性代理（例如，图2的安全性代理202）仅充当针对服务的身份提供商（IdP）代理。在一些实施例中，EMM服务器创建BA首部的密码字段。该密码具有足够的信息以唯一地标识被推送到设备的具体电子邮件配置（即使当存在多个电子邮件信箱被配置时亦如此）。服务会将该BA首部发送到安全性代理，如在图2中所示的示例中那样。安全性代理将利用密码字段触及到EMM服务器，并且EMM服务器将能够识别设备并返回态势。安全性代理利用允许/阻拦SAML响应对服务作出响应。

使用本文公开的技术，可以提供对基于云的服务的安全移动访问，即使在未被配置成支持SAML或要求重定向的其他协议的移动app和/或基于云的服务的情境中以及在不将用户凭证（例如用户名和密码）暴露于该移动设备或该基于云的服务的情况下亦如此。

尽管已经出于清楚理解的目的稍为详细地描述了上述实施例，但本发明不限于所提供的细节。存在实现本发明的许多可替换方式。所公开的实施例是说明性的而不是限制性的。

Claims

1.一种提供对基于云的服务的安全移动访问的方法，包括：

从移动设备接收访问所述基于云的服务的请求；

使用与所述请求相关联的安全性证书以合成与所述请求相关联的基本认证首部；以及

代表所述移动设备将经合成的基本认证首部发送到所述基于云的服务。

2.如权利要求1所述的方法，其中所述请求与所述移动设备上的移动应用程序相关联。

3.如权利要求2所述的方法，其中所述移动应用程序包括本机电子邮件应用。

4.如权利要求1所述的方法，其中所述请求是在安全性代理处接收的。

5.如权利要求4所述的方法，其中所述安全性代理远离于所述基于云的服务，并且经合成的基本认证首部经由网络而被发送到所述基于云的服务。

6.如权利要求1所述的方法，其中所述安全性证书是随所述请求接收的。

7.如权利要求1所述的方法，其中所述安全性证书包括被提供给所述移动设备的证书。

8.如权利要求1所述的方法，其中使用所述安全性证书以合成所述基本认证首部包括：使用包括所述安全性证书的信息以填充所述基本认证首部的数据字段。

9.如权利要求1所述的方法，其中使用所述安全性证书以合成所述基本认证首部包括：使用包括所述安全性证书的信息以检索用于填充所述基本认证首部的数据字段的数据值。

10.如权利要求9所述的方法，其中所述数据值是经由对与所述移动设备相关联的目录的调用来检索的。

11.如权利要求1所述的方法，其中所述基本认证首部是至少部分地通过基于与所述请求相关联的凭证信息计算散列来合成的。

12.如权利要求11所述的方法，进一步包括：对经散列化的凭证信息进行高速缓存。

13.如权利要求12所述的方法，进一步包括：从所述基于云的服务接收认证经散列化的凭证信息的请求。

14.如权利要求13所述的方法，进一步包括：将所接收到的经散列化的凭证信息与经高速缓存的经散列化的凭证信息进行比较，以认证所接收到的经散列化的凭证信息。

15.如权利要求14所述的方法，进一步包括：至少部分地基于所接收到的经散列化的凭证信息的所述认证来向所述基于云的服务返回安全性令牌。

16.如权利要求15所述的方法，其中所述安全性令牌包括安全性断言标记语言（SAML）断言。

17.如权利要求1所述的方法，其中与所述请求相关联的安全性证书被用于至少部分地基于访问被授权的确定来合成与所述请求相关联的基本认证首部。

18.一种提供对基于云的服务的安全移动访问的系统，包括：

通信接口；以及

处理器，耦合到所述通信接口且被配置成：

从移动设备接收访问所述基于云的服务的请求；

19.如权利要求18所述的系统，其中所述基本认证首部是至少部分地通过基于与所述请求相关联的凭证信息计算散列来合成的。

20.一种提供对基于云的服务的安全移动访问的计算机程序产品，所述计算机程序产品体现在非瞬变计算机可读介质中且包括用于执行下述操作的计算机指令：

从移动设备接收访问所述基于云的服务的请求；