CN107534652A - 对基于云的服务的安全访问 - Google Patents
对基于云的服务的安全访问 Download PDFInfo
- Publication number
- CN107534652A CN107534652A CN201680012179.XA CN201680012179A CN107534652A CN 107534652 A CN107534652 A CN 107534652A CN 201680012179 A CN201680012179 A CN 201680012179A CN 107534652 A CN107534652 A CN 107534652A
- Authority
- CN
- China
- Prior art keywords
- cloud
- request
- service based
- basic authentication
- mobile device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
- G06F9/44526—Plug-ins; Add-ons
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Abstract
公开了提供对基于云的服务的安全移动访问的技术。在各种实施例中,从移动设备接收访问所述基于云的服务的请求。使用与所述请求相关联的安全性证书以合成与所述请求相关联的基本认证首部。代表所述移动设备将经合成的基本认证首部发送到所述基于云的服务。
Description
对其他申请的交叉引用
本申请要求2015年1月26日提交的名称为IDENTITY PROXY TO PROVIDE MOBILE APPACCESS CONTROL AND SINGLE SIGN ON的美国临时专利申请No. 62/107,927的优先权,该美国临时专利申请出于所有目的通过引用并入本文。
背景技术
越来越多地,移动设备正在将安全性保护和技术并入到操作系统中。在许多类型的设备中,应用被“沙盒化”且不能被设备上的其他app(应用程序)攻击。这也意味着:其自身的沙盒中的每一个应用典型地执行认证和授权过程。例如,应用典型地不能共享下述会话或令牌:其可以允许一个应用认证且允许其他应用利用相同的会话/令牌来得到单点登录。
安全性断言标记语言(SAML)是允许用户认证和授权数据被交换的XML标准。使用SAML,在线服务提供商(SP)可以联系分离的在线身份提供商(IDP)以认证正在尝试访问安全内容的用户。在移动设备中,例如,可以使用SAML或其他标准和/或协议以将移动app用户认证到关联的在线服务。然而,一些app可能不支持某些协议/标准,和/或可能不支持某些技术,诸如到分离的IDP的重定向。
在不支持重定向的情况下,SAML提供一种机制,其中客户端应用使用标准基本认证来关于SP进行认证。SP然后将通过将由用户提供的凭证传递到IdP来联系IdP以得到断言。以该方式使用基本认证可能不是期望的,例如以便防止用户的企业凭证(诸如企业用户名和密码)暴露在移动设备上和/或暴露于基于云的服务提供商(SP)。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1是图示了将移动app配置成访问到基于云的服务的系统的实施例的框图。
图2是图示了提供对基于云的服务的安全移动访问的系统的实施例的框图。
图3是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。
图4是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。
图5是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。
具体实施方式
可以以许多方式实现本发明,该许多方式包括作为过程;装置;系统;物质组成;体现在计算机可读储存介质上的计算机程序产品;和/或处理器,诸如:被配置成执行存储在存储器上和/或由存储器提供的指令的处理器,该存储器耦合到该处理器。在本说明书中,这些实现方式或本发明可采取的任何其他形式可以被称作技术。一般地,可以在本发明的范围内更改所公开的过程的步骤的次序。除非以其他方式声明,被描述为被配置成执行任务的诸如处理器或存储器之类的部件可以被实现为:一般部件,其暂时被配置成在给定时间处执行任务;或者具体部件,其被制造成执行任务。如本文所使用,术语“处理器”指代被配置成处理数据(诸如计算机程序指令)的一个或多个设备、电路和/或处理核。
下面连同图示了本发明原理的附图一起提供本发明的一个或多个实施例的详细描述。结合这样的实施例描述本发明,但本发明不限于任何实施例。本发明的范围仅受权利要求限制,并且本发明涵盖了许多可替换方案、修改和等同方案。在以下描述中阐述了许多具体细节以便提供对本发明的透彻理解。这些细节是出于示例的目的而提供的,并且,在没有这些具体细节中的一些或全部的情况下可以根据权利要求来实践本发明。出于清楚的目的,未详细描述本发明相关技术领域中已知的技术材料,使得不会不必要地模糊本发明。
公开了供移动app之用的安全身份代理。在各种实施例中,身份代理可以被配置成和/或用于执行以下各项中的一个或多个:
· 不本机支持到分离的IDP的重定向的移动app的用户的安全认证;
· 关于移动app用户的安全访问控制,并入有动态信息,诸如移动设备安全性态势,而不将凭证暴露于服务提供商。
在各种实施例中,可以提供安全性代理或其他服务器。被配置成访问基于云的服务的移动客户端app或其他app被配置成经由安全性代理进行认证。例如,app可以被配置成将证书、令牌或其他安全认证信息呈现给安全性代理。在各种实施例中,安全性代理使用证书以认证用户和/或设备。安全性代理使用包括证书或以其他方式与证书相关联的信息,以合成包括与进行请求的设备和/或用户相关联的信息的散列令牌的基本授权首部。代表进行请求的用户/设备将经合成的基本授权首部发送到基于云的服务。令牌被基于云的服务使用以从身份提供商(IDP)和/或其代理获得SAML断言,该SAML断言将进行请求的用户认证到基于云的服务,从而导致基于云的服务向进行请求的用户准许对服务的访问。
图1是图示了将移动app配置成访问到基于云的服务的系统的实施例的框图。在所示的示例中,系统和环境100包括移动设备102,移动设备102具有移动设备管理(MDM)代理器104安装于其上。代理器104被配置成用于将移动设备102注册到企业移动管理(EMM)服务器108。EMM服务器108提供配置数据110(例如,应用简档或其他配置数据),配置数据110进而被提供给移动设备102上的所管理的app 112。在各种实施例中,配置数据110可以包括要被用于将所管理的app 112和/或移动设备102认证到管理实体的证书或其他安全性信息,例如,如下面结合图2描述的那样。所管理的app 112可以与基于云的服务114相关联。例如,所管理的app 112可以是由基于云的服务114与之相关联的服务提供商提供的客户端app,或者所管理的app 112可以是被配置成访问基于云的服务114(诸如通过调用基于云的服务114的API)的第三方app。在一些实施例中,所管理的app 112可以是使用ActiveSync协议以经由云电子邮件服务器(诸如Office 365®)访问电子邮件的电子邮件应用。
图2是图示了提供对基于云的服务的安全移动访问的系统的实施例的框图。在所示的示例中,系统和环境200包括移动设备102和安装于其上的所管理的app 112。
在一些实施例中,所管理的app 112可以与基于云的服务114相关联,但是所管理的app 112和基于云的服务114中的一个或全部两个可能不支持到另一节点的重定向以进行认证。某些标准和/或协议可能要求和/或可能被配置以便要求客户端被重定向到被服务直接信任或者通过“链式”或其他联合技术而信任的认证节点,以认证用户。例如,在安全性断言标记语言(SAML)标准之下,请求访问服务的客户端可以被重定向到受服务信任的身份提供商(IdP)以进行认证。如果客户端被IdP确定为被授权访问服务,则IdP发布SAML“断言”(或者在其他标准之下,其他安全性令牌),以供客户端使用以便认证到服务。客户端将令牌呈现给服务以访问服务。然而,某些移动app(诸如ActiveSync电子邮件客户端)不支持重定向。
在图2中所示的示例中,(例如,由EMM服务器108,经由图2中未示出的连接)向移动设备102提供以配置所管理的app 112的配置数据包括使得经由安全性代理202作出访问基于云的服务114的请求的数据。在一些实施例中,app 112本身未被管理。例如,在一些实施例中,app 112可以是经由所管理的简档而管理的本机电子邮件客户端。配置数据中包括的证书数据110被提供给安全性代理202。安全性代理202可以被配置成确定是否所管理的app112、移动设备102和移动设备102的关联用户中的一个或多个被授权访问基于云的服务114。该确定可以是基于证书110中包括的信息、使用证书110中包括的信息而获得的其他信息和/或来自协议字段和HTTP首部的信息来作出的。例如,证书110中包括的信息可以被用于访问存储在企业目录204(诸如Microsoft® Active Directory®(微软活动目录))中的企业目录信息。安全性代理202可以被配置成使关于对基于云的服务114的访问是否被授权的确定至少部分地基于与移动设备102相关联的安全性或其他依从性态势信息。例如,安全性代理202可以从EMM服务器108接收设备态势信息。例如,如果从EMM服务器108接收到的信息指示移动设备108可能已经受损害,则可以拒绝对基于云的服务114的访问。
在各种实施例中,安全性代理202可以被配置成代表所管理的app 112和移动设备102来合成基本认证(BA)首部206的至少部分。在一些实施例中,BA首部206的密码部分被合成,但是用户名部分未被修改。在超文本传输协议(HTTP)通信的情境中,BA首部提供用于传输用户凭证(诸如用户名和密码)的机制。在一些实施例中,为了避免暴露实际用户名和密码凭证(暴露于EMM服务器或安全性代理或者暴露于服务),可以对与用户、app、移动设备和证书110中的一个或多个相关联的信息的散列进行散列化或以其他方式变换和/或混淆和使用该散列以填充BA首部206中的字段。
在各种实施例中,代表进行请求的客户端app 112将经合成的BA首部206呈现给基于云的服务114。基于云的服务114被配置成使用经合成的BA首部206中的信息以确定用户是否被授权访问服务。在一些实施例中,基于云的服务114被配置成从BA首部206提取经合成的凭证208以及将凭证208发送到与服务114相关联的身份提供商(IdP)。在所示的示例中,与服务114相关联的IdP已经被集成到安全性代理202中。安全性代理202对如包括在经合成的BA首部206中的凭证信息进行高速缓存,并且当相同凭证208被返回到安全性代理202上的IdP时,IdP(或安全性代理202上的另一实体)使用经高速缓存的信息以确定访问被授权。基于访问被授权的确定,由安全性代理202上的IdP生成SAML断言210,并且代表客户端app 112将SAML断言210呈现给基于云的服务114。
基于云的服务114此后允许客户端app 112访问服务。在一些实施例中,经由安全性代理202来提供访问。
图3是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。在各种实施例中,图3的过程可以由安全性代理(诸如图2的安全性代理202)实现。在所示的示例中,接收与访问基于云的服务的请求相关联的证书(302)。例如,在图2中所示的示例中,从移动设备102上的app 112接收证书110。使用证书以合成基本认证(BA)首部(诸如,图2中所示的示例中的BA首部206),在该示例中,该基本认证(BA)首部包括从证书获得的信息和/或标识关联用户的关于基于云的服务的账户的信息的散列令牌(304)。代表请求访问的app/设备将经合成的BA首部发送到基于云的服务(306),如在图2中所示的示例中那样。
图4是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。在各种实施例中,图4的过程可以由安全性代理(诸如图2的安全性代理202)实现。在所示的示例中,在身份提供商处从基于云的服务接收要证实的凭证的集合(诸如,图2中所示的示例中的凭证208)(402)。可以使用先前存储的凭证信息、设备信息、设备安全性态势信息、用户信息和凭证源信息中的一个或多个以证实凭证(404)。例如,由充当身份提供商的安全性代理针对基于云的服务而接收的所接收到的凭证(如在图2中所示的示例中那样)可以使用由安全性代理自身或由受安全性代理信任的另一节点发送到服务的先前高速缓存的凭证信息。例如,如果所接收到的凭证信息匹配于经高速缓存的信息,则可以将凭证信息确定为有效的。在一些实施例中,可以检验关联的移动设备的安全性或其他依从性态势,例如通过查询EMM服务器。如果凭证信息被确定为有效的,则基于凭证有效并且访问被授权的确定将SAML断言或其他安全性令牌返回给服务(406)。
图5是图示了提供对基于云的服务的安全移动访问的过程的实施例的流程图。在各种实施例中,图5的过程可以由安全性代理(诸如图2的安全性代理202)实现。在一些实施例中,图5的过程可以用于实现图4的过程的步骤404。在所示的示例中,将所接收到的凭证信息验证为(最初)已由经批准(即,受信任)的源提供(502)。例如,如果企业使多于一个安全性代理被安装,则检验与将凭证信息提供给服务(例如,经由经合成的BA首部,如在图2中所示的示例中那样)的安全性代理相关联的地址或其他标识符,以确定凭证信息是否源自于受信任的源。如果凭证信息被确定为已源自于经批准的源(504),则使用所接收到的凭证信息以识别关联的移动设备、进行请求的app、进行请求的用户和/或证书信息中的一个或多个(506)。例如,提供了凭证信息的安全性代理可以对凭证信息和指示凭证信息与之相关联的移动设备、用户等的数据二者进行高速缓存。如果基于所有可用信息和所配置的检验(例如,设备依从性检验),确定移动设备、app和/或用户被授权访问服务(508),则允许访问(510),例如通过提供有效SAML断言,如在图2中所示的示例中那样。如果凭证和/或关联信息以及基于其的检验指示对服务的访问当前未被授权(508),则拒绝访问(512),例如通过将指示认证失败了的响应返回给基于云的服务和进行请求的app中的一个或全部两个。
在一些实施例中,应用(例如,本机电子邮件客户端)可以被配置成直接与云服务(例如,Office 365®)通信。在一些实施例中,安全性代理(例如,图2的安全性代理202)仅充当针对服务的身份提供商(IdP)代理。在一些实施例中,EMM服务器创建BA首部的密码字段。该密码具有足够的信息以唯一地标识被推送到设备的具体电子邮件配置(即使当存在多个电子邮件信箱被配置时亦如此)。服务会将该BA首部发送到安全性代理,如在图2中所示的示例中那样。安全性代理将利用密码字段触及到EMM服务器,并且EMM服务器将能够识别设备并返回态势。安全性代理利用允许/阻拦SAML响应对服务作出响应。
使用本文公开的技术,可以提供对基于云的服务的安全移动访问,即使在未被配置成支持SAML或要求重定向的其他协议的移动app和/或基于云的服务的情境中以及在不将用户凭证(例如用户名和密码)暴露于该移动设备或该基于云的服务的情况下亦如此。
尽管已经出于清楚理解的目的稍为详细地描述了上述实施例,但本发明不限于所提供的细节。存在实现本发明的许多可替换方式。所公开的实施例是说明性的而不是限制性的。
Claims (20)
1.一种提供对基于云的服务的安全移动访问的方法,包括:
从移动设备接收访问所述基于云的服务的请求;
使用与所述请求相关联的安全性证书以合成与所述请求相关联的基本认证首部;以及
代表所述移动设备将经合成的基本认证首部发送到所述基于云的服务。
2.如权利要求1所述的方法,其中所述请求与所述移动设备上的移动应用程序相关联。
3.如权利要求2所述的方法,其中所述移动应用程序包括本机电子邮件应用。
4.如权利要求1所述的方法,其中所述请求是在安全性代理处接收的。
5.如权利要求4所述的方法,其中所述安全性代理远离于所述基于云的服务,并且经合成的基本认证首部经由网络而被发送到所述基于云的服务。
6.如权利要求1所述的方法,其中所述安全性证书是随所述请求接收的。
7.如权利要求1所述的方法,其中所述安全性证书包括被提供给所述移动设备的证书。
8.如权利要求1所述的方法,其中使用所述安全性证书以合成所述基本认证首部包括:使用包括所述安全性证书的信息以填充所述基本认证首部的数据字段。
9.如权利要求1所述的方法,其中使用所述安全性证书以合成所述基本认证首部包括:使用包括所述安全性证书的信息以检索用于填充所述基本认证首部的数据字段的数据值。
10.如权利要求9所述的方法,其中所述数据值是经由对与所述移动设备相关联的目录的调用来检索的。
11.如权利要求1所述的方法,其中所述基本认证首部是至少部分地通过基于与所述请求相关联的凭证信息计算散列来合成的。
12.如权利要求11所述的方法,进一步包括:对经散列化的凭证信息进行高速缓存。
13.如权利要求12所述的方法,进一步包括:从所述基于云的服务接收认证经散列化的凭证信息的请求。
14.如权利要求13所述的方法,进一步包括:将所接收到的经散列化的凭证信息与经高速缓存的经散列化的凭证信息进行比较,以认证所接收到的经散列化的凭证信息。
15.如权利要求14所述的方法,进一步包括:至少部分地基于所接收到的经散列化的凭证信息的所述认证来向所述基于云的服务返回安全性令牌。
16.如权利要求15所述的方法,其中所述安全性令牌包括安全性断言标记语言(SAML)断言。
17.如权利要求1所述的方法,其中与所述请求相关联的安全性证书被用于至少部分地基于访问被授权的确定来合成与所述请求相关联的基本认证首部。
18.一种提供对基于云的服务的安全移动访问的系统,包括:
通信接口;以及
处理器,耦合到所述通信接口且被配置成:
从移动设备接收访问所述基于云的服务的请求;
使用与所述请求相关联的安全性证书以合成与所述请求相关联的基本认证首部;以及
代表所述移动设备将经合成的基本认证首部发送到所述基于云的服务。
19.如权利要求18所述的系统,其中所述基本认证首部是至少部分地通过基于与所述请求相关联的凭证信息计算散列来合成的。
20.一种提供对基于云的服务的安全移动访问的计算机程序产品,所述计算机程序产品体现在非瞬变计算机可读介质中且包括用于执行下述操作的计算机指令:
从移动设备接收访问所述基于云的服务的请求;
使用与所述请求相关联的安全性证书以合成与所述请求相关联的基本认证首部;以及
代表所述移动设备将经合成的基本认证首部发送到所述基于云的服务。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562107927P | 2015-01-26 | 2015-01-26 | |
US62/107927 | 2015-01-26 | ||
PCT/US2016/014935 WO2016123112A1 (en) | 2015-01-26 | 2016-01-26 | Secure access to cloud-based services |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107534652A true CN107534652A (zh) | 2018-01-02 |
CN107534652B CN107534652B (zh) | 2021-04-20 |
Family
ID=56432908
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680012179.XA Active CN107534652B (zh) | 2015-01-26 | 2016-01-26 | 对基于云的服务的安全访问方法、系统和计算机可读介质 |
CN202110684764.7A Pending CN113343210A (zh) | 2015-01-26 | 2016-01-26 | 提供访问控制和单点登录的身份代理 |
CN201680012311.7A Active CN107534557B (zh) | 2015-01-26 | 2016-01-26 | 提供访问控制和单点登录的身份代理 |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110684764.7A Pending CN113343210A (zh) | 2015-01-26 | 2016-01-26 | 提供访问控制和单点登录的身份代理 |
CN201680012311.7A Active CN107534557B (zh) | 2015-01-26 | 2016-01-26 | 提供访问控制和单点登录的身份代理 |
Country Status (4)
Country | Link |
---|---|
US (6) | US10079834B2 (zh) |
EP (2) | EP3257193B1 (zh) |
CN (3) | CN107534652B (zh) |
WO (2) | WO2016123112A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111971941A (zh) * | 2018-01-26 | 2020-11-20 | 西门子股份公司 | 用于在物联网环境中管理基于IoT的设备的方法和系统 |
Families Citing this family (65)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9143529B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Modifying pre-existing mobile applications to implement enterprise security policies |
US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
US10834592B2 (en) | 2014-07-17 | 2020-11-10 | Cirrent, Inc. | Securing credential distribution |
US10356651B2 (en) | 2014-07-17 | 2019-07-16 | Cirrent, Inc. | Controlled connection of a wireless device to a network |
US10154409B2 (en) | 2014-07-17 | 2018-12-11 | Cirrent, Inc. | Binding an authenticated user with a wireless device |
US9942756B2 (en) | 2014-07-17 | 2018-04-10 | Cirrent, Inc. | Securing credential distribution |
WO2016123112A1 (en) | 2015-01-26 | 2016-08-04 | Mobile Iron, Inc. | Secure access to cloud-based services |
US10812464B2 (en) * | 2015-06-15 | 2020-10-20 | Airwatch Llc | Single sign-on for managed mobile devices |
US10171447B2 (en) | 2015-06-15 | 2019-01-01 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
US10944738B2 (en) * | 2015-06-15 | 2021-03-09 | Airwatch, Llc. | Single sign-on for managed mobile devices using kerberos |
US9882887B2 (en) * | 2015-06-15 | 2018-01-30 | Airwatch Llc | Single sign-on for managed mobile devices |
US11057364B2 (en) * | 2015-06-15 | 2021-07-06 | Airwatch Llc | Single sign-on for managed mobile devices |
US10171448B2 (en) * | 2015-06-15 | 2019-01-01 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
US10523741B2 (en) * | 2015-08-28 | 2019-12-31 | SoftNAS, LLC | System and method for avoiding proxy connection latency |
US10187374B2 (en) | 2015-10-29 | 2019-01-22 | Airwatch Llc | Multi-factor authentication for managed applications using single sign-on technology |
US9866546B2 (en) | 2015-10-29 | 2018-01-09 | Airwatch Llc | Selectively enabling multi-factor authentication for managed devices |
US10277572B2 (en) * | 2016-04-12 | 2019-04-30 | Blackberry Limited | Provisioning enterprise services provided by an infrastructure service server |
KR101680525B1 (ko) * | 2016-07-12 | 2016-12-06 | 김주한 | 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법 |
US10581876B2 (en) * | 2016-08-04 | 2020-03-03 | Proofpoint Israel Ltd | Apparatus and methods thereof for inspecting events in a computerized environment respective of a unified index for granular access control |
US10270743B2 (en) * | 2016-10-11 | 2019-04-23 | Sap Se | Proxy-based access to remote database |
EP3328016A1 (de) * | 2016-11-29 | 2018-05-30 | Siemens Aktiengesellschaft | Verfahren zum verbinden von geräten mit der sogenannten cloud, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens |
US10333936B2 (en) * | 2017-01-24 | 2019-06-25 | Box, Inc. | Method and system for secure cross-domain login |
US11240240B1 (en) * | 2017-08-09 | 2022-02-01 | Sailpoint Technologies, Inc. | Identity defined secure connect |
WO2019040658A1 (en) * | 2017-08-22 | 2019-02-28 | Terawe Corporation | SINGLE HYBRID SIGNATURE FOR APPLICATIONS AND SOFTWARE SERVICES USING CLASSIC AND MODERN IDENTITY PROVIDERS |
US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
CN108306872B (zh) * | 2018-01-24 | 2022-03-18 | 腾讯科技(深圳)有限公司 | 网络请求处理方法、装置、计算机设备和存储介质 |
US10841313B2 (en) * | 2018-02-21 | 2020-11-17 | Nutanix, Inc. | Substituting callback URLs when using OAuth protocol exchanges |
WO2019212579A1 (en) | 2018-04-30 | 2019-11-07 | Google Llc | Managing enclave creation through a uniform enclave interface |
US11509643B2 (en) * | 2018-04-30 | 2022-11-22 | Google Llc | Enclave interactions |
WO2019212581A1 (en) | 2018-04-30 | 2019-11-07 | Google Llc | Secure collaboration between processors and processing accelerators in enclaves |
US10819695B2 (en) * | 2018-05-25 | 2020-10-27 | Citrix Systems, Inc. | Electronic device including local identity provider server for single sign on and related methods |
US10708270B2 (en) * | 2018-06-12 | 2020-07-07 | Sap Se | Mediated authentication and authorization for service consumption and billing |
US11689521B2 (en) * | 2018-06-22 | 2023-06-27 | Verizon Patent And Licensing Inc. | Native single sign-on (SSO) for mobile applications |
US11632360B1 (en) | 2018-07-24 | 2023-04-18 | Pure Storage, Inc. | Remote access to a storage device |
US11146564B1 (en) * | 2018-07-24 | 2021-10-12 | Pure Storage, Inc. | Login authentication in a cloud storage platform |
US10742636B2 (en) * | 2018-08-22 | 2020-08-11 | Sap Se | OAuth2 SAML token service |
US11477197B2 (en) | 2018-09-18 | 2022-10-18 | Cyral Inc. | Sidecar architecture for stateless proxying to databases |
US11606358B2 (en) * | 2018-09-18 | 2023-03-14 | Cyral Inc. | Tokenization and encryption of sensitive data |
US10757091B2 (en) | 2018-10-25 | 2020-08-25 | International Business Machines Corporation | Certificate-based single sign-on (SSO) from mobile applications over the internet |
US11328054B2 (en) * | 2018-12-21 | 2022-05-10 | Netiq Corporation | Preventing access to single sign on credentials associated with executing applications |
CN109862605B (zh) * | 2019-01-22 | 2021-12-07 | 上海尚往网络科技有限公司 | 一种用于终端设备的连网方法及设备 |
US11818129B2 (en) * | 2019-03-07 | 2023-11-14 | Lookout, Inc. | Communicating with client device to determine security risk in allowing access to data of a service provider |
WO2020221956A1 (en) | 2019-04-27 | 2020-11-05 | Nokia Technologies Oy | Service authorization for indirect communication in a communication system |
US11297040B2 (en) * | 2019-05-01 | 2022-04-05 | Akamai Technologies, Inc. | Intermediary handling of identity services to guard against client side attack vectors |
US11095644B2 (en) | 2019-06-04 | 2021-08-17 | Bank Of America Corporation | Monitoring security configurations of cloud-based services |
CN110247917B (zh) * | 2019-06-20 | 2021-09-10 | 北京百度网讯科技有限公司 | 用于认证身份的方法和装置 |
US11503012B1 (en) * | 2019-06-28 | 2022-11-15 | Amazon Technologies, Inc. | Client authentication using a client certificate-based identity provider |
US20220303283A1 (en) * | 2019-09-12 | 2022-09-22 | Jabil Inc. | Method and System for Managing Secure IoT Device Applications |
US11582036B1 (en) * | 2019-10-18 | 2023-02-14 | Splunk Inc. | Scaled authentication of endpoint devices |
DK3633952T3 (da) * | 2019-10-21 | 2022-03-14 | Xertified Ab | Systemer og fremgangsmåder til at modtage og udsende kommunikationssignaler |
EP3817327A1 (en) * | 2019-10-28 | 2021-05-05 | Lookout Inc. | Monitoring security of a client device to provide continuous conditional server access |
US10628244B1 (en) | 2019-10-29 | 2020-04-21 | Snowflake Inc. | Calling external functions from a data warehouse |
US10715524B1 (en) | 2019-11-14 | 2020-07-14 | Snowflake Inc. | External credential-less stages for data warehouse integrations |
US11558189B2 (en) | 2020-11-30 | 2023-01-17 | Microsoft Technology Licensing, Llc | Handling requests to service resources within a security boundary using a security gateway instance |
US11606357B2 (en) | 2020-12-10 | 2023-03-14 | Google Llc | Pervasive resource identification |
US11483355B1 (en) * | 2020-12-15 | 2022-10-25 | Proofpoint, Inc. | System and methods for agentless managed device identification as part of setting a security policy for a device |
WO2022147354A1 (en) * | 2020-12-31 | 2022-07-07 | Abalta Technologies, Inc. | Secure cross-platform smart hosting, credential sharing, and identity management |
US11138192B1 (en) | 2021-04-30 | 2021-10-05 | Snowflake Inc. | Invoking external table functions from a database system |
US11921842B2 (en) | 2021-06-14 | 2024-03-05 | Kyndryl, Inc. | Multifactor authorization on accessing hardware resources |
CN113259479B (zh) * | 2021-06-18 | 2022-12-20 | 腾讯科技(深圳)有限公司 | 一种数据处理方法以及设备 |
US20220417243A1 (en) * | 2021-06-25 | 2022-12-29 | Vmware, Inc. | Passwordless access to virtual desktops |
US11411954B1 (en) | 2021-12-27 | 2022-08-09 | Coretech LT, UAB | Access control policy for proxy services |
US11553008B1 (en) | 2021-12-30 | 2023-01-10 | Netskope, Inc. | Electronic agent scribe and communication protections |
US20230403152A1 (en) * | 2022-06-09 | 2023-12-14 | Citrix Systems, Inc. | Centralization of Authentication Servers for Different Resource Servers |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102171984A (zh) * | 2008-10-06 | 2011-08-31 | 诺基亚西门子通信公司 | 服务提供者访问 |
US20120272058A1 (en) * | 2006-11-28 | 2012-10-25 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
CN105359486A (zh) * | 2013-05-03 | 2016-02-24 | 思杰系统有限公司 | 使用代理安全访问资源 |
Family Cites Families (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7359920B1 (en) * | 2001-04-18 | 2008-04-15 | Intellisync Corporation | Communication protocol for synchronization of personal information management databases |
DE602004012870T2 (de) | 2003-07-11 | 2009-05-14 | International Business Machines Corp. | Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung |
US20050262357A1 (en) * | 2004-03-11 | 2005-11-24 | Aep Networks | Network access using reverse proxy |
US9436820B1 (en) * | 2004-08-02 | 2016-09-06 | Cisco Technology, Inc. | Controlling access to resources in a network |
US9419955B2 (en) * | 2006-03-28 | 2016-08-16 | Inventergy Inc. | System and method for carrying trusted network provided access network information in session initiation protocol |
US7739744B2 (en) | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
CN101127634B (zh) * | 2006-08-15 | 2010-10-20 | 华为技术有限公司 | 一种移动台安全更新升级的方法及其系统 |
US8181227B2 (en) * | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
US8474027B2 (en) | 2006-09-29 | 2013-06-25 | Microsoft Corporation | Remote management of resource license |
US20080222714A1 (en) * | 2007-03-09 | 2008-09-11 | Mark Frederick Wahl | System and method for authentication upon network attachment |
US10015158B2 (en) | 2008-02-29 | 2018-07-03 | Blackberry Limited | Methods and apparatus for use in enabling a mobile communication device with a digital certificate |
EP2106093A1 (en) * | 2008-03-28 | 2009-09-30 | British Telecommunications Public Limited Company | Devolved authentication |
US8990911B2 (en) * | 2008-03-30 | 2015-03-24 | Emc Corporation | System and method for single sign-on to resources across a network |
US8468347B2 (en) * | 2009-02-19 | 2013-06-18 | Emc Corporation | Secure network communications |
US8458787B2 (en) | 2010-06-30 | 2013-06-04 | Juniper Networks, Inc. | VPN network client for mobile device having dynamically translated user home page |
US8996657B2 (en) * | 2010-09-01 | 2015-03-31 | Canon Kabushiki Kaisha | Systems and methods for multiplexing network channels |
US20120179909A1 (en) | 2011-01-06 | 2012-07-12 | Pitney Bowes Inc. | Systems and methods for providing individual electronic document secure storage, retrieval and use |
CA2775237C (en) * | 2011-04-27 | 2015-07-07 | Perspecsys Inc. | System and method of sort-order preserving tokenization |
US8769622B2 (en) * | 2011-06-30 | 2014-07-01 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security |
US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
US9081951B2 (en) * | 2011-09-29 | 2015-07-14 | Oracle International Corporation | Mobile application, identity interface |
US8776209B1 (en) * | 2012-03-09 | 2014-07-08 | Juniper Networks, Inc. | Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway |
US9350644B2 (en) * | 2012-04-13 | 2016-05-24 | Zscaler. Inc. | Secure and lightweight traffic forwarding systems and methods to cloud based network security systems |
US9306934B2 (en) * | 2012-04-17 | 2016-04-05 | Intel Corporation | Trusted service interaction |
US9027102B2 (en) * | 2012-05-11 | 2015-05-05 | Sprint Communications Company L.P. | Web server bypass of backend process on near field communications and secure element chips |
US8713633B2 (en) * | 2012-07-13 | 2014-04-29 | Sophos Limited | Security access protection for user data stored in a cloud computing facility |
EP2706467A1 (en) | 2012-09-05 | 2014-03-12 | Awingu Nv | Method for accessing a content item in a cloud storage system, and a corresponding cloud broker, cloud cache agent and client application |
US9137131B1 (en) * | 2013-03-12 | 2015-09-15 | Skyhigh Networks, Inc. | Network traffic monitoring system and method to redirect network traffic through a network intermediary |
US9137222B2 (en) * | 2012-10-31 | 2015-09-15 | Vmware, Inc. | Crypto proxy for cloud storage services |
CN103873491B (zh) * | 2012-12-07 | 2017-07-21 | 华耀(中国)科技有限公司 | 一种vpn安全浏览器系统及设置方法 |
US9331998B2 (en) | 2013-03-14 | 2016-05-03 | Forty Cloud Ltd. | Dynamic secured network in a cloud environment |
CN103179115B (zh) * | 2013-03-18 | 2015-12-23 | 中国科学院信息工程研究所 | 一种面向云电视终端跨云应用的云服务访问控制方法 |
US9098687B2 (en) | 2013-05-03 | 2015-08-04 | Citrix Systems, Inc. | User and device authentication in enterprise systems |
US9582297B2 (en) * | 2013-05-16 | 2017-02-28 | Vmware, Inc. | Policy-based data placement in a virtualized computing environment |
US9112851B2 (en) | 2013-06-18 | 2015-08-18 | Sap Se | Integrating web protocols with applications and services |
US9288231B2 (en) | 2013-07-22 | 2016-03-15 | Cisco Technology, Inc. | Web caching with security as a service |
US20150341445A1 (en) * | 2014-05-23 | 2015-11-26 | Radoslav Nikolov | Hybrid applications operating between on-premise and cloud platforms |
US9553887B2 (en) | 2014-10-13 | 2017-01-24 | Vmware, Inc. | Virtual machine compliance checking in cloud environments |
WO2016123112A1 (en) * | 2015-01-26 | 2016-08-04 | Mobile Iron, Inc. | Secure access to cloud-based services |
US11115417B2 (en) | 2015-05-19 | 2021-09-07 | Microsoft Technology Licensing, Llc. | Secured access control to cloud-based applications |
-
2016
- 2016-01-26 WO PCT/US2016/014935 patent/WO2016123112A1/en active Application Filing
- 2016-01-26 EP EP16743966.0A patent/EP3257193B1/en active Active
- 2016-01-26 US US15/006,917 patent/US10079834B2/en active Active
- 2016-01-26 WO PCT/US2016/014932 patent/WO2016123109A1/en active Application Filing
- 2016-01-26 EP EP16743969.4A patent/EP3251324B1/en active Active
- 2016-01-26 CN CN201680012179.XA patent/CN107534652B/zh active Active
- 2016-01-26 US US15/006,906 patent/US10003600B2/en active Active
- 2016-01-26 CN CN202110684764.7A patent/CN113343210A/zh active Pending
- 2016-01-26 CN CN201680012311.7A patent/CN107534557B/zh active Active
-
2018
- 2018-04-25 US US15/962,291 patent/US10116663B2/en active Active
- 2018-08-08 US US16/058,916 patent/US10397239B2/en active Active
- 2018-09-25 US US16/141,716 patent/US10320801B2/en active Active
-
2019
- 2019-04-26 US US16/396,354 patent/US10673861B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120272058A1 (en) * | 2006-11-28 | 2012-10-25 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
CN102171984A (zh) * | 2008-10-06 | 2011-08-31 | 诺基亚西门子通信公司 | 服务提供者访问 |
CN105359486A (zh) * | 2013-05-03 | 2016-02-24 | 思杰系统有限公司 | 使用代理安全访问资源 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111971941A (zh) * | 2018-01-26 | 2020-11-20 | 西门子股份公司 | 用于在物联网环境中管理基于IoT的设备的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
US20160219060A1 (en) | 2016-07-28 |
US20180351960A1 (en) | 2018-12-06 |
EP3251324B1 (en) | 2020-09-23 |
US10673861B2 (en) | 2020-06-02 |
US10397239B2 (en) | 2019-08-27 |
CN107534652B (zh) | 2021-04-20 |
EP3257193A4 (en) | 2018-11-14 |
WO2016123109A1 (en) | 2016-08-04 |
US10320801B2 (en) | 2019-06-11 |
US20190028480A1 (en) | 2019-01-24 |
US10116663B2 (en) | 2018-10-30 |
EP3251324A1 (en) | 2017-12-06 |
EP3251324A4 (en) | 2018-06-13 |
CN107534557B (zh) | 2021-07-09 |
US20160219044A1 (en) | 2016-07-28 |
EP3257193A1 (en) | 2017-12-20 |
US20180248884A1 (en) | 2018-08-30 |
EP3257193B1 (en) | 2022-08-10 |
US10003600B2 (en) | 2018-06-19 |
WO2016123112A1 (en) | 2016-08-04 |
CN113343210A (zh) | 2021-09-03 |
US10079834B2 (en) | 2018-09-18 |
US20190319962A1 (en) | 2019-10-17 |
CN107534557A (zh) | 2018-01-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107534652A (zh) | 对基于云的服务的安全访问 | |
US9038138B2 (en) | Device token protocol for authorization and persistent authentication shared across applications | |
US9674699B2 (en) | System and methods for secure communication in mobile devices | |
US10541991B2 (en) | Method for OAuth service through blockchain network, and terminal and server using the same | |
CN106209749B (zh) | 单点登录方法及装置、相关设备和应用的处理方法及装置 | |
CN105917630B (zh) | 使用单点登录自举到检查代理的重定向 | |
US9191814B2 (en) | Communications device authentication | |
US20180337784A1 (en) | Coordinating access authorization across multiple systems at different mutual trust levels | |
CN109196500B (zh) | 对基于云的服务的基于统一vpn和身份的认证 | |
US20120295587A1 (en) | Trusted mobile device based security | |
WO2016095540A1 (zh) | 一种处理授权的方法、设备和系统 | |
JP2018517367A (ja) | サービスプロバイダ証明書管理 | |
CN112532599B (zh) | 一种动态鉴权方法、装置、电子设备和存储介质 | |
JP5431040B2 (ja) | 認証要求変換装置、認証要求変換方法および認証要求変換プログラム | |
JP2018092446A (ja) | 認証認可システム及び情報処理装置と認証認可方法とプログラム | |
JP2016521029A (ja) | セキュリティ管理サーバおよびホームネットワークを備えるネットワークシステム、およびそのネットワークシステムにデバイスを含めるための方法 | |
Kubovy et al. | A secure token-based communication for authentication and authorization servers | |
CN106612281A (zh) | 一种基于移动终端的电子资源服务权限控制方法 | |
US20160285843A1 (en) | System and method for scoping a user identity assertion to collaborative devices | |
KR102558821B1 (ko) | 사용자 및 디바이스 통합 인증 시스템 및 그 방법 | |
Siriwardena et al. | OpenID Connect (OIDC) | |
Dodanduwa et al. | Trust-based identity sharing for token grants | |
JP2015176167A (ja) | ユーザ識別情報を安全に検証するためのネットワーク認証方法 | |
Alrodhan | Identity management systems | |
Schwartz et al. | OAuth |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |