CN109076075B - 访问企业资源 - Google Patents
访问企业资源 Download PDFInfo
- Publication number
- CN109076075B CN109076075B CN201780024479.4A CN201780024479A CN109076075B CN 109076075 B CN109076075 B CN 109076075B CN 201780024479 A CN201780024479 A CN 201780024479A CN 109076075 B CN109076075 B CN 109076075B
- Authority
- CN
- China
- Prior art keywords
- authentication
- response
- mobile device
- certificate
- identity provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
可用于访问企业资源的系统、方法和软件。在一些方面,在移动设备上的企业移动性管理(EMM)客户端处接收来自EMM服务器的用于访问一个或多个服务提供者(SP)处的企业资源的证书。认证请求从移动设备上的应用发送到身份提供者。响应于认证请求,从身份提供者接收认证质询。认证质询包括证书请求。响应于认证质询,从应用发送认证响应。认证响应包括证书。从身份提供者接收授权令牌。授权令牌指示身份提供者是否验证了证书和移动设备。
Description
优先权声明
本申请要求2016年3月3日提交的第15/060,466号美国专利申请的优先权,其全部内容通过引用合并于此。
背景技术
本公开涉及访问企业资源。在一些情况下,在尝试通过网络从服务提供者获得服务时,移动设备上的应用可以向服务提供者发送访问资源的请求。如果应用被授权访问该资源,则服务提供者可以许可该访问。
附图说明
图1是示出访问企业资源的示例通信系统的示意图。
图2是示出用于访问企业资源的示例过程的流程图。
图3是示出示例移动设备的框图。
图4是示出用于访问企业资源的示例方法的流程图。
各附图中相同的附图标记和名称表示相同的元件。
具体实施方式
在一些情况下,可以限制对服务提供者的资源的访问。例如,可以通过登录过程来实现对资源的限制。在登录过程期间,可以向用户提示用户名和密码的认证请求。如果验证了用户名和密码,则可以许可用户访问该资源。
在一些情况下,用户可以针对请求受限资源的每个应用执行登录过程。管理多个用户名和密码可能会对用户体验产生负面影响。在一些情况下,可以使用单点登录(SSO)过程。在SSO过程期间,用户可以对请求与公共实体相关联的受限资源的多个应用使用一组用户名和密码。例如,用户可以使用一组用户名和密码从与企业相关联的多个企业应用访问一个企业中的资源。在SSO过程中,每当企业应用中的一个尝试访问企业资源时,可以提示用户输入相同的用户名和密码。在一些情况下,用户名或密码可以存储在设备的文件系统中,例如,高速缓存或cookie,因此可以在没有附加用户输入的情况下检索到。但是,文件系统可能不是安全环境的一部分,因此容易受到恶意应用的攻击。
在一些情况下,零登录(ZSO)过程可用于进一步改善用户体验。在ZSO过程中,可以在不输入用户名或密码的情况下对用户进行认证。在一些情况下,在ZSO过程期间,当移动设备上的应用从服务提供者(SP)请求企业资源时,SP可以将请求重定向到身份提供者(IDP)。IDP可以从应用请求证书并将证书发送给SP进行验证。在一些情况下,可以使用安全声明标记语言(SAML)声明中的密钥持有者主题确认字段来发送证书。SP可以验证证书并相应地许可应用的访问。在这些情况下,可以定制SP以验证从IDP发送的证书。例如,IDP可以向SP提供软件开发工具包(SDK),并且SP可以使用SDK来实现证书验证过程。可替代地或另外地,应用包装可用于验证证书。在这些情况下,IDP可以使用应用包装将证书验证的扩展发送到SP,以便SP可以使用扩展执行证书验证。但是,使用这些方法可能会增加SP的实现复杂性。在一些情况下,SP可以为不同的企业提供服务,每个企业使用不同的IDP。在这些或其他情况下,SP可以针对这些不同IDP的证书验证实现不同的定制。
在一些情况下,可以在设备注册期间利用管理特定企业的移动设备的企业移动性管理(EMM)服务器来规定(provision)用于访问特定企业的资源的证书。证书可以由与特定企业相关联的IDP签名,并且签名后的证书可以由EMM服务器发送到移动设备。证书可以存储在移动设备上的安全环境中,并且由移动设备上被授权访问与特定企业相关联的资源的应用来访问。请求企业资源的应用可以在应用和IDP之间的握手协议中将证书发送到IDP。IDP可以验证证书和移动设备。图1-4和相关联的描述提供了这些实现的附加细节。
该方法可以提供一个或多个优点。例如,SP可以避免针对不同IDP的证书验证的定制,因此可以降低实现复杂性。另外,除了请求资源的应用之外,还可以验证设备或用户,因此可以提高安全保护级别。此外,可以在提供额外保护的安全环境中管理证书。
图1是示出提供对企业资源的访问的示例通信系统100的示意图。示例通信系统100包括移动设备102,其通过无线通信网络110与服务提供者(SP)130、企业移动性管理(EMM)服务器140和身份提供者(IDP)150通信地耦合。
SP 130表示可以被配置为提供企业资源的应用、应用集、软件、软件模块、硬件或其组合。企业资源可以包括文件系统、网站、门户或为提供企业服务而规定的任何其他资源。在一些情况下,可以许可已被验证的应用访问企业资源。图2-4和相关联的描述提供了这些实现的附加细节。
IDP 150表示可以被配置为识别实体的应用、应用集、软件、软件模块、硬件或其组合。在一些情况下,IDP 150也可以称为身份声明提供者。IDP 150可以验证请求访问企业资源的应用并向SP 130声明该应用被认证。在一些情况下,IDP 150还可以验证与请求相关联的用户或移动设备。图2-4和相关联的描述提供了这些实现的附加细节。
EMM服务器140表示可以被配置为管理企业的应用和设备的应用、应用集、软件、软件模块、硬件或其组合。例如,EMM服务器140可以安装、更新和管理企业应用的许可证。在一些情况下,EMM服务器140可以包括用于企业应用的应用商店。在一些情况下,EMM服务器140可以包括用于可以访问企业资源的用户和移动设备的授权状态的数据库。
示例通信系统100包括移动设备102。如图1所示,移动设备包括EMM客户端122、浏览器124、企业应用126、框架132和密钥库134。
EMM客户端122表示可以被配置为管理移动设备102上的企业服务的应用、应用集、软件、软件模块、硬件或其组合。在一些情况下,EMM客户端122可以使用应用程序接口(API)配置企业应用126。
在一些情况下,EMM客户端122可以与EMM服务器140通信以管理对移动设备102上的企业资源的访问。在一些情况下,证书可以用于认证请求访问企业资源的应用。在一些情况下,可以在移动设备102的注册期间获得证书。
在一个示例中,在注册期间,EMM客户端122可以生成私有-公共密钥对。EMM客户端122可以向EMM服务器140发送证书签名请求。证书签名请求包括生成的公共密钥。EMM服务器140可以将证书签名请求转发到IDP 150。在一些情况下,EMM服务器140还可以与IDP 150的证书签名请求一同发送附加信息,例如,与移动设备102相关联的信息、用于移动设备102的用户的用户标识符、与EMM服务器140管理的企业相关联的企业标识符、移动设备102的用户访问移动设备102的企业资源的权利、或其组合。IDP 150可以使用在证书签名请求中接收的公共密钥为移动设备102准备证书,例如使用IDP150的私有密钥对证书进行签名,并将签名后的证书发送给EMM服务器140。EMM服务器140可以将证书转发到EMM客户端122。
框架132表示可以被配置为管理移动设备102上的操作环境的应用、应用集、软件、软件模块、硬件或其组合。在一些情况下,框架132可以包括移动设备102的操作系统。在一些情况下,框架132管理对密钥库的访问。在这些或其他情况下,EMM客户端122、浏览器124、企业应用126可以通过框架132访问密钥库134中的证书。
密钥库134表示可以被配置为存储用于访问企业资源的证书的应用、应用集、软件、软件模块、硬件或其组合。在一些情况下,EMM客户端122可以将从EMM服务器140接收的签名后的证书存入密钥库134。在一些情况下,密钥库134可以是信任区域(TZ)的一部分。TZ是安全执行,其被配置为将操作环境与移动设备的生成操作系统隔离。TZ可以包括一组可用于执行安全操作的安全扩展。安全操作可以在TZ中以更高的安全级别执行。在TZ中执行的安全操作的示例可以包括生成证书、请求证书、更新证书等。在一些情况下,使用硬件处理器来实现TZ以提供额外的安全性。
浏览器124表示可以被配置为访问网站的应用、应用集、软件、软件模块、硬件或其组合。在一些情况下,浏览器124符合安全声明标记语言(SAML)2.0标准。在一些情况下,浏览器124可以访问企业网站以获取企业资源。
企业应用126表示可以在SP处执行企业服务和访问企业资源的应用、应用集、软件、软件模块或其组合。企业应用126的示例包括用于企业帐户的电子邮件应用、企业文档共享应用、企业开发工具和第三方软件即服务(SaaS)SaaS应用。
在一些情况下,可以仅针对被授权访问企业资源的应用(例如,浏览器124和企业应用126)规定先前描述的证书。因此,如果是除了浏览器124和企业应用126之外的应用请求证书,则该请求可能被拒绝。在一些情况下,EMM客户端122可以使用白名单来规定授权资源。白名单可以包括被授权请求证书的应用列表。在一些情况下,EMM客户端122可以使用黑名单来规定授权资源。黑名单可以包括未授权请求证书的应用列表。在一些情况下,白名单或黑名单可以由框架132管理。框架132可以在许可请求证书之前检查白名单或黑名单。在一些情况下,可以使用容器(例如KNOX工作空间容器或ANDROID工作管理配置文件容器)来规定已被授权的应用。
在一些情况下,可以由IDP 150、EMM服务器140、SP 130或其组合来确定针对证书规定的应用。EMM客户端122可以从EMM服务器140接收规定指令并相应地设置规定(provision)。
在一些情况下,应用(例如,浏览器124或企业应用126)请求从SP 130访问企业资源。应用可以向IDP 150发送认证请求。IDP 150可以向应用发送认证质询。应用可以发送包括用于访问企业资源的证书的认证响应。IDP 150可以对证书进行认证并将授权令牌发送给应用。应用可以将授权令牌转发给SP 130以访问企业资源。图2-4和相关联的描述提供了这些实现的附加细节。
如图1所示,示例通信系统包括无线通信网络110。无线通信网络110可以包括一个或多个无线电接入网络(RAN)、核心网络(CN)和外部网络。RAN可以包括一种或多种无线电接入技术。在一些实现中,无线电接入技术可以是全球移动通信系统(GSM)、临时标准95(IS-95)、通用移动电信系统(UMTS)、CDMA2000(码分多址)、演进通用移动电信系统(UMTS)、长期演进(LTE)或LTE高级。在一些情况下,核心网络可以是演进分组核心(EPC)。
RAN是实现无线电接入技术的无线电信系统的一部分,例如UMTS、CDMA2000、3GPPLTE和3GPP LTE-A。在许多应用中,RAN包括至少一个基站。基站可以是无线电基站,其可以控制系统的固定部分中的所有或至少一些无线电相关功能。基站可以在其覆盖区域内或针对移动设备102的小区内提供无线电接口进行通信。基站可以分布在整个蜂窝网络中,以提供广泛的覆盖区域。基站直接与一个或多个移动设备、其他基站和一个或多个核心网络节点通信。基站可以在任何不同的无线通信技术上操作。示例性无线技术包括全球移动通信系统(GSM)、通用移动电信系统(UMTS)、3GPP长期演进(LTE)、高级LTE(LTE-A)、无线宽带通信技术等。示例性无线宽带通信系统包括IEEE 802.11无线局域网、IEEE 802.16WiMAX网络等。
转到一般描述,移动设备(例如,移动设备102)可以被称为移动电子设备、用户设备、移动站、订户站、便携式电子设备、移动通信设备、无线调制解调器或无线终端。移动设备(例如,移动设备102)的示例可以包括蜂窝电话、个人数字助理(PDA)、智能电话、膝上型电脑、平板个人计算机(PC)、寻呼机、便携式计算机、便携式游戏设备、可穿戴电子设备、或者具有用于经由无线通信网络传送语音或数据的组件的其他移动通信设备。无线通信网络可以包括在许可频谱和免许可频谱中的至少一个上的无线链路。术语“移动设备”还可以指代可以终止用户的通信会话的任何硬件或软件组件。另外,术语“用户装置”、“UE”、“用户装置设备”、“用户代理”、“UA”、“用户设备”和“移动设备”在本文中可以同义使用。
图2是示出用于访问企业资源的示例过程200的流程图。过程200可以由访问企业资源的任何类型的系统或模块实现。例如,过程200可以由移动设备102、SP 130、IDP 150或其组合来实现,如图1所示。如图2所示,示例性过程200也可以使用附加的、更少的或不同的操作来实现,这些操作可以以所示的顺序或以不同的顺序执行。
示例过程200开始于202,其中发送对企业资源的访问请求。例如,访问请求可以是对企业服务的请求。在一些情况下,如图2所示,访问请求可以由移动设备上的浏览器124发送。可替代地或组合地,访问请求可以由移动设备上的企业应用126发送。在一些情况下,如先前所讨论的,已经对发送访问请求的实体(例如,浏览器124或企业应用126)规定了访问企业资源的授权。在一些情况下,如图2所示,访问请求被发送到提供企业服务和管理企业资源的SP 130。例如,访问请求可以是简单对象访问协议(SOAP)消息或超文本传输协议(HTTP)代表性状态转移(REST)消息。
在204处,响应于访问请求,从SP 130向浏览器124发送认证请求。浏览器124将认证请求转发到IDP 150。在一些情况下,响应于转发的认证请求可以在浏览器124中呈现与IDP 150相关联的网页。
在一些情况下,浏览器124可以在没有事先访问SP 130的情况下发起认证。例如,浏览器124可以跳过步骤202,并且作为对访问请求的响应,生成认证请求而不是从SP 130接收认证请求。浏览器124可以将生成的认证请求发送到IDP 150。例如,认证请求可以是HTTP消息或HTTP安全(HTTPS)消息。
在206处,IDP 150向浏览器124发送认证质询。在一些情况下,认证质询包括对证书的请求。在一些情况下,可以使用传输层安全性(TLS)握手协议发送认证质询。
在208处,浏览器124响应于认证质询向IDP 150发送认证响应。在一些情况下,可以使用传输层安全性(TLS)握手协议发送认证响应。
在一些情况下,认证响应包括证书。例如,认证响应可以包括由EMM客户端122接收的证书,例如,如先前在图1和相关联的描述中所讨论的。在一些情况下,浏览器124可以访问移动设备102上的密钥库(例如图1中的密钥库134)以检索证书。在一些情况下,仅针对被授权访问企业资源的应用规定了证书。在这些或其他情况下,密钥库、移动设备的操作系统或其组合可以确定浏览器124是否被授权使用证书。如果浏览器124被授权,则浏览器可以检索证书。如果浏览器124未被授权,则可以阻止检索器,并且浏览器124不能使用证书来生成认证响应。
在一些情况下,认证响应可以不包括用户输入的认证凭证(例如用户名和密码)。在这些或其他情况下,可以生成认证响应并将其发送到IDP 150而无需用户交互。这种方法加快了认证过程。
在一些情况下,IDP 150可以向浏览器124发送第二认证请求。第二认证请求可以包括对认证凭证的请求。在这些或其他情况下,可以在移动设备上输出用户界面。用户可以提供凭证,例如用户名和密码或一些其他第二因素凭证。浏览器124可以发送第二认证响应。第二认证响应可以包括认证凭证。此方法可在认证过程中提供额外的安全性。在一些情况下,EMM服务器可以规定IDP 150是否请求认证凭证。
在一些情况下,认证可以包括验证包括在认证响应中的证书。认证过程可以由IDP150、EMM服务器、其组合或可用于执行认证计算的任何其他实体来执行。在一个示例中,证书可以用IDP 150的私有密钥签名。因此,IDP 150可以通过验证证书的签名来验证证书是否是可信的。
在一些情况下,除了验证证书之外,IDP 150还可以确定用户或移动设备是否被授权访问企业资源。例如,如先前所讨论的,可以在证书的生成期间将与证书相关联的信息(例如,用户信息、移动设备信息或其组合)发送到IDP 150。因此,IDP 150可以检查用户或移动设备是否被授权访问企业资源。在一些情况下,用户或移动设备可能会失去授权。在一个示例中,用户可以是失去授权的前雇员。在另一示例中,移动设备可能不再被授权,因为它不符合企业设置的安全策略。在这些或其他情况下,IDP 150可以确定用户或移动设备未被验证。
在一些情况下,EMM服务器跟踪用户和移动设备的状态。例如,EMM客户端可以监视移动设备并向EMM服务器报告任何安全问题,例如恶意软件。在一些情况下,如果出现任何安全问题并且用户或移动设备不再被授权,则EMM服务器可以更新IDP 150。可替代地或组合地,IDP 150可以向EMM服务器查询用户或移动设备的状态并相应地验证用户或移动设备。
在一些情况下,如先前所讨论的,认证响应可以包括用户凭证。在这些或其他情况下,可以验证用户凭证以确定用户是否被授权。验证可以由IDP 150、EMM服务器或其组合执行。
在210处,IDP 150将授权令牌发送到浏览器124。在一些情况下,响应于浏览器124的认证而发送授权令牌。在一些情况下,授权令牌可以包括用户名、认证状态或其组合。认证状态可以指示认证是成功还是失败。例如,如果上面讨论的任何验证过程(例如,证书验证、用户或移动设备验证或用户凭证验证)不成功,则可以将认证状态设置为失败。如果所有验证过程都成功,则可以将认证状态设置为成功。
在一些情况下,授权令牌可以用IDP 150的私有密钥签名。在一些情况下,授权令牌可以被格式化为安全声明标记语言(SAML)声明或OpenID连接ID令牌。SAML声明可以不包括用于认证的密钥信息。例如,当SP不支持SAML声明时,SAML声明可以不包括密钥持有者主题确认字段。
在212处,浏览器124将授权令牌发送到SP 130。在一些情况下,浏览器124可以使用post命令来发送授权令牌。SP 130可以基于授权令牌中的认证状态来确定浏览器124是否被授权访问企业资源。在一些情况下,如先前所讨论的,授权令牌可以用IDP 150的私有密钥签名。在这些或其他情况下,SP 130可以使用IDP 150的公共密钥来验证授权令牌上的签名。
在214处,如果认证状态指示认证成功,则如图2所示,SP 130可以提供对浏览器124的访问以访问企业资源。如果认证状态指示认证失败,则SP 130可以拒绝对浏览器124的访问。
图3是示出示例移动设备300的框图。所示设备300包括处理单元302、计算机可读存储介质304(例如,ROM或闪存)、无线通信子系统306、用户界面308和I/O接口310。
处理单元302可以包括一个或多个处理组件(或者称为“处理器”或“中央处理单元”(CPU)),其被配置为执行与本文结合本文公开的一个或多个实现方式所描述的过程、步骤或动作中的一个或多个相关的指令。在一些实现中,处理单元302可以被配置为生成控制信息(例如测量报告),或者响应所接收的信息(例如来自网络节点的控制信息)。处理单元302还可以被配置为进行无线电资源管理(RRM)决定,例如小区选择/重选信息或触发测量报告。处理单元302还可以包括其他辅助组件,例如随机存取存储器(RAM)和只读存储器(ROM)。计算机可读存储介质304可以存储设备300的操作系统(OS)以及用于执行上述过程、步骤或动作中的一个或多个的各种其他计算机可执行指令、逻辑或软件程序。在一些情况下,计算机可读存储介质304可以是暂时的、非暂时的或其组合。
无线通信子系统306可以被配置为为处理单元302提供的语音、数据和/或控制信息提供无线通信。无线通信子系统306可以包括例如一个或多个天线、接收器、发射器、本地振荡器、混频器和数字信号处理(DSP)单元。在一些实现中,子系统306可以支持多输入多输出(MIMO)传输。在一些实现中,无线通信子系统306中的接收器可以是高级接收器或基线接收器。两个接收器可以用相同、相似或不同的接收器处理算法实现。
用户接口308可包括例如屏幕或触摸屏(例如,液晶显示器(LCD)、发光显示器(LED)、有机发光显示器(OLED)、微机电系统(MEMS)显示器中的一个或多个)、键盘或小键盘、轨迹球、扬声器和麦克风。I/O接口310可以包括例如通用串行总线(USB)接口。
图4是示出用于访问企业资源的示例方法400的流程图。方法400可以由访问企业资源的任何类型的系统或模块实现。例如,方法400可以由图1中所示的移动设备102实现。如图4所示,示例方法400也可以使用附加的、更少的或不同的操作来实现,这些操作可以以所示的顺序或以不同的顺序执行。
方法400开始于402,其中在移动设备上的企业移动性管理(EMM)客户端处从EMM服务器接收用于访问企业资源的证书。在一些情况下,EMM客户端可以生成用于访问企业资源的密钥对,并通过向EMM服务器发送包括所生成的公共密钥的证书签名请求(CSR)来从EMM服务器获得签名后的证书。在404处,从移动设备上的应用向身份提供者发送认证请求。在一些情况下,响应于确定应用被规定使用与企业资源相关联的企业的证书来发送认证响应。在一些情况下,应用向为企业提供企业服务的服务提供者发送请求。在这些情况下,响应于访问请求从服务提供者接收认证请求。可替代地或另外地,响应于应用访问身份提供者而发起认证请求。在406处,响应于认证请求,从身份提供者接收认证质询。认证质询包括证书请求。在408处,响应于认证质询,从应用发送认证响应。认证响应包括证书。在一些情况下,响应于认证响应,接收用于认证凭证的第二认证请求。响应于第二认证请求,发送第二认证响应。第二认证响应包括与应用相关联的认证凭证。在410处,从身份提供者接收授权令牌。授权令牌指示身份提供者是否验证了证书和移动设备。
本说明书中描述的一些主题和操作可以在数字电子电路中实现,或者在计算机软件、固件或硬件中实现,包括本说明书中公开的结构及其结构等同物,或者其一个或多个的组合。本说明书中描述的一些主题可以实现为一个或多个计算机程序,即计算机程序指令的一个或多个模块,其编码在计算机存储介质上,用于由数据处理装置执行或控制数据处理装置的操作。计算机存储介质可以是或可以包括在计算机可读存储设备、计算机可读存储基板、随机或串行存取存储器阵列或设备、或者它们中的一个或多个的组合中。此外,虽然计算机存储介质不是传播的信号,但是计算机存储介质可以是以人工生成的传播信号编码的计算机程序指令的源或目的地。计算机存储介质也可以是或包括在一个或多个单独的物理组件或介质(例如,多个CD、磁盘或其他存储设备)中。
术语“数据处理装置”包括用于处理数据的所有类型的装置、设备和机器,包括例如可编程处理器、计算机、片上系统或者前述的多个或组合。该装置可以包括专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该装置还可以包括为所讨论的计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机或其中一个或多个的组合的代码。
计算机程序(也称为程序、软件、软件应用、脚本或代码)可以用任何形式的编程语言编写,包括编译或解释语言、声明或过程语言。计算机程序可以但不必对应于文件系统中的文件。程序可以存储在保存其他程序或数据的文件的一部分中(例如,存储在标记语言文档中的一个或多个脚本),专用于该程序的单个文件中,或多个协调文件(例如,存储一个或多个模块、子程序或代码的一部分的文件)中。可以部署计算机程序以在一个计算机上或在位于一个站点上或分布在多个站点上并通过通信网络互连的多个计算机上执行。
本说明书中描述的一些过程和逻辑流可以由执行一个或多个计算机程序的一个或多个可编程处理器执行,以通过对输入数据进行操作并生成输出来执行动作。过程和逻辑流也可以由专用逻辑电路执行,并且装置也可以实现为专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
作为示例,适合于执行计算机程序的处理器包括通用和专用微处理器、以及任何类型的数字计算机的处理器。通常,处理器将从只读存储器、随机存取存储器或两者接收指令和数据。计算机可包括根据指令执行动作的处理器和存储指令和数据的一个或多个存储器设备。计算机还可以包括或可操作地耦合以从用于存储数据的一个或多个大容量存储设备(例如磁盘、磁光盘或光盘)接收数据或向其传输数据,或者两者兼具。但是,计算机不需要这样的设备。适用于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、介质和存储器设备,包括例如半导体存储器设备(例如,EPROM、EEPROM、闪存设备等)、磁盘(例如,内部硬盘、可移动磁盘等)、磁光盘、CD ROM和DVD-ROM盘。在一些情况下,处理器和存储器可以由专用逻辑电路补充或并入专用逻辑电路中。
为了提供与用户的交互,可以在具有用于向用户显示信息的显示设备(例如,监视器或其他类型的显示设备)、以及用户可通过其向计算机提供输入的键盘和指示设备(例如,鼠标、轨迹球、平板电脑、触敏屏幕或其他类型的指示设备)的计算机上实现操作。其他类型的设备也可用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感觉反馈,例如视觉反馈、听觉反馈或触觉反馈;并且可以以任何形式接收来自用户的输入,包括声学、语音或触觉输入。另外,计算机可以通过向用户使用的设备发送文档和从用户使用的设备接收文档来与用户交互;例如,通过响应于从web浏览器接收的请求将网页发送到用户的客户端设备上的web浏览器。
计算机系统可以包括单个计算设备,或者在彼此附近或通常彼此远离地操作并且通常通过通信网络交互的多个计算机。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”)、互联网(例如,因特网)、包括卫星链路的网络和对等网络(例如,自组织对等网络)。客户端和服务器的关系可以借助于在各个计算机上运行并且彼此具有客户端-服务器关系的计算机程序而产生。
虽然本说明书包含许多细节,但这些细节不应被解释为对可要求保护的范围的限制,而是作为特定示例特有的特征的描述。还可以组合在单独实现的上下文中在本说明书中描述的一些特征。相反,在单个实现的上下文中描述的各种特征也可以在多个实施例中单独地或以任何合适的子组合来实现。
类似地,尽管在附图中以特定顺序描绘了操作,但是这不应该被理解为要求这些操作以所示的特定顺序或按顺序执行,或者执行所有示出的操作,以实现期望的结果。在一些情况下,多任务和并行处理可能是有利的。此外,上述实现中的各种系统组件的分离不应被理解为在所有实现中都需要这种分离,并且应该理解,所描述的程序组件和系统通常可以集成在单个软件产品中或者打包成多种软件产品。
此外,在不脱离本公开的范围的情况下,在各种实现中描述和示出为离散或分离的技术、系统、子系统和方法可以与其他系统、模块、技术或方法组合或集成。示出或讨论为彼此耦合或直接耦合或通信的其他项目可以通过一些接口、设备或中间组件(无论是电气、机械还是其他方式)间接耦合或通信。本领域技术人员可以确定改变、替换和变更的其他示例,并且可以在不脱离本文公开的精神和范围的情况下进行改变、替换和变更。
虽然以上详细描述已经示出、描述并指出了应用于各种实现的本公开的基本新颖特征,但是应当理解,本领域技术人员可以对所示系统的形式和细节进行各种省略、替换和改变,而不脱离本公开的意图。此外,方法步骤的顺序并非由它们在权利要求中出现的顺序来暗示。
Claims (18)
1.一种方法,包括:
在移动设备上的企业移动性管理EMM客户端处以及从EMM服务器接收用于访问企业资源的证书,其中所述证书由身份提供者生成并提供给所述EMM服务器,并且所述证书是基于所述EMM客户端生成的公共密钥和所述身份提供者的私有密钥而生成的;
从所述移动设备上的应用向所述身份提供者发送认证请求;
响应于所述认证请求,从所述身份提供者接收认证质询,其中所述认证质询包括证书请求;
响应于所述认证质询,从所述应用向所述身份提供者发送认证响应,其中所述认证响应包括所述证书,并且所述证书是从作为所述移动设备上的信任区(TZ)的一部分的密钥库中检索的;以及
从所述身份提供者接收授权令牌,其中所述授权令牌指示:基于所述身份提供者和所述移动设备从其接收所述证书的EMM服务器之间的查询,所述证书被所述身份提供者验证,并且所述移动设备被所述身份提供者验证作为授权的移动设备。
2.根据权利要求1所述的方法,还包括:
在发送所述认证响应之前,确定是否规定了所述应用使用与所述企业资源相关联的企业的所述证书;以及
其中发送所述认证响应是响应于确定规定了所述应用。
3.根据权利要求1所述的方法,还包括:
从所述移动设备上的所述应用向为企业提供企业服务的服务提供者发送访问请求;以及
响应于所述访问请求,接收所述认证请求。
4.根据权利要求1所述的方法,其中响应于由所述应用访问所述身份提供者,发起所述认证请求。
5.根据权利要求1所述的方法,其中根据传输层安全性(TLS)握手协议来传输所述认证质询和所述认证响应。
6.根据权利要求1所述的方法,还包括:
响应于所述认证响应,接收针对认证凭证的第二认证请求;以及
响应于所述第二认证请求发送第二认证响应,其中所述第二认证响应包括与所述应用相关联的认证凭证。
7.根据权利要求1所述的方法,其中所述应用包括企业应用或浏览器中的至少一个。
8.一种移动设备,包括:
存储器;以及
至少一个硬件处理器,与所述存储器通信耦合并且被配置为:
在移动设备上的企业移动性管理EMM客户端处以及从EMM服务器接收用于访问企业资源的证书,其中所述证书由身份提供者生成并提供给所述EMM服务器,并且所述证书是基于所述EMM客户端生成的公共密钥和所述身份提供者的私有密钥而生成的;
从所述移动设备上的应用向所述身份提供者发送认证请求;
响应于所述认证请求,从所述身份提供者接收认证质询,其中所述认证质询包括证书请求;
响应于所述认证质询,从所述应用向所述身份提供者发送认证响应,其中所述认证响应包括所述证书,并且所述证书是从作为所述移动设备上的信任区(TZ)的一部分的密钥库中检索的;以及
从所述身份提供者接收授权令牌,其中所述授权令牌指示:基于所述身份提供者和所述移动设备从其接收所述证书的EMM服务器之间的查询,所述证书被所述身份提供者验证,并且所述移动设备被所述身份提供者验证作为授权的移动设备。
9.根据权利要求8所述的移动设备,其中所述至少一个硬件处理器还被配置为:
在发送所述认证响应之前,确定是否规定了所述应用使用与所述企业资源相关联的企业的所述证书;以及
其中发送所述认证响应是响应于确定规定了所述应用。
10.根据权利要求8所述的移动设备,其中所述至少一个硬件处理器还被配置为:
从所述移动设备上的所述应用向为企业提供企业服务的服务提供者发送访问请求;以及
响应于所述访问请求,接收所述认证请求。
11.根据权利要求8所述的移动设备,其中响应于由所述应用访问所述身份提供者,发起所述认证请求。
12.根据权利要求8所述的移动设备,其中根据传输层安全性(TLS)握手协议来传输所述认证质询和所述认证响应。
13.根据权利要求8所述的移动设备,其中所述至少一个硬件处理器还被配置为:
响应于所述认证响应,接收针对认证凭证的第二认证请求;以及
响应于所述第二认证请求发送第二认证响应,其中所述第二认证响应包括与所述应用相关联的认证凭证。
14.根据权利要求8所述的移动设备,其中所述应用包括企业应用或浏览器中的至少一个。
15.一种包含指令的非暂时性计算机可读介质,所述指令在被执行时使计算设备执行包括以下的操作:
在移动设备上的企业移动性管理EMM客户端处以及从EMM服务器接收用于访问企业资源的证书,其中所述证书由身份提供者生成并提供给所述EMM服务器,并且所述证书是基于所述EMM客户端生成的公共密钥和所述身份提供者的私有密钥而生成的;
从所述移动设备上的应用向所述身份提供者发送认证请求;
响应于所述认证请求,从所述身份提供者接收认证质询,其中所述认证质询包括证书请求;
响应于所述认证质询,从所述应用向所述身份提供者发送认证响应,其中所述认证响应包括所述证书,并且所述证书是从作为所述移动设备上的信任区(TZ)的一部分的密钥库中检索的;以及
从所述身份提供者接收授权令牌,其中所述授权令牌指示:基于所述身份提供者和所述移动设备从其接收所述证书的EMM服务器之间的查询,所述证书被所述身份提供者验证,并且所述移动设备被所述身份提供者验证作为授权的移动设备。
16.根据权利要求15所述的非暂时性计算机可读介质,其中所述操作还包括:
在发送所述认证响应之前,确定是否规定了所述应用使用与所述企业资源相关联的企业的所述证书;以及
其中发送所述认证响应是响应于确定规定了所述应用。
17.根据权利要求15所述的非暂时性计算机可读介质,其中所述操作还包括:
从所述移动设备上的所述应用向为企业提供企业服务的服务提供者发送访问请求;以及
响应于所述访问请求,接收所述认证请求。
18.根据权利要求15所述的非暂时性计算机可读介质,其中响应于由所述应用访问所述身份提供者,发起所述认证请求。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/060,466 | 2016-03-03 | ||
| US15/060,466 US10305885B2 (en) | 2016-03-03 | 2016-03-03 | Accessing enterprise resources using provisioned certificates |
| PCT/US2017/019596 WO2017151464A1 (en) | 2016-03-03 | 2017-02-27 | Accessing enterprise resources |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109076075A CN109076075A (zh) | 2018-12-21 |
| CN109076075B true CN109076075B (zh) | 2021-11-09 |
Family
ID=58264643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780024479.4A Active CN109076075B (zh) | 2016-03-03 | 2017-02-27 | 访问企业资源 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10305885B2 (zh) |
| EP (1) | EP3408994B1 (zh) |
| CN (1) | CN109076075B (zh) |
| WO (1) | WO2017151464A1 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6680022B2 (ja) * | 2016-03-18 | 2020-04-15 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法及びプログラム |
| US10516653B2 (en) * | 2016-06-29 | 2019-12-24 | Airwatch, Llc | Public key pinning for private networks |
| US11165591B2 (en) * | 2016-09-08 | 2021-11-02 | Cable Television Laboratories, Inc. | System and method for a dynamic-PKI for a social certificate authority |
| US10587582B2 (en) | 2017-05-15 | 2020-03-10 | Vmware, Inc | Certificate pinning by a tunnel endpoint |
| US10447486B2 (en) * | 2017-07-19 | 2019-10-15 | Spyrus, Inc. | Remote attestation of a security module's assurance level |
| US10355864B2 (en) * | 2017-08-29 | 2019-07-16 | Citrix Systems, Inc. | Policy based authentication |
| WO2020098941A1 (en) * | 2018-11-15 | 2020-05-22 | Huawei Technologies Co., Ltd. | Automatic digital identification system integrated between consumer devices and backend services |
| WO2020124420A1 (en) * | 2018-12-19 | 2020-06-25 | Citrix Systems, Inc. | Scenario based multiple applications on-screen |
| US11329990B2 (en) * | 2019-05-17 | 2022-05-10 | Imprivata, Inc. | Delayed and provisional user authentication for medical devices |
| EP3772832B1 (en) * | 2019-08-05 | 2022-04-06 | Mastercard International Incorporated | Secure server client interaction |
| KR102526106B1 (ko) * | 2019-10-15 | 2023-04-26 | 구글 엘엘씨 | 데이터를 보호하기 위한 시스템 및 방법 |
| CN111259363B (zh) * | 2020-01-19 | 2022-10-28 | 数字广东网络建设有限公司 | 业务访问信息处理方法、系统、装置、设备和存储介质 |
| CN111416822B (zh) * | 2020-03-20 | 2022-10-18 | 数篷科技(深圳)有限公司 | 访问控制的方法、电子设备和存储介质 |
| US11343139B2 (en) * | 2020-03-23 | 2022-05-24 | Microsoft Technology Licensing, Llc | Device provisioning using a supplemental cryptographic identity |
| US11032270B1 (en) * | 2020-04-07 | 2021-06-08 | Cyberark Software Ltd. | Secure provisioning and validation of access tokens in network environments |
| US10965674B1 (en) * | 2020-06-08 | 2021-03-30 | Cyberark Software Ltd. | Security protection against threats to network identity providers |
| CN112769549A (zh) * | 2020-12-29 | 2021-05-07 | 苏宁消费金融有限公司 | 一种基于缓存的可视化证书升级方法和系统 |
| CN114666147A (zh) * | 2022-03-31 | 2022-06-24 | 深信服科技股份有限公司 | 一种身份认证方法、装置、设备及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102047709A (zh) * | 2008-06-02 | 2011-05-04 | 微软公司 | 可信设备专用认证 |
| CN103942684A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互系统 |
| US9191381B1 (en) * | 2011-08-25 | 2015-11-17 | Symantec Corporation | Strong authentication via a federated identity protocol |
| CN105187372A (zh) * | 2015-06-09 | 2015-12-23 | 深圳市腾讯计算机系统有限公司 | 一种基于移动应用入口的数据处理方法、装置和系统 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6937729B2 (en) * | 1995-04-03 | 2005-08-30 | Scientific-Atlanta, Inc. | Representing entitlements to service in a conditional access system |
| US7187772B2 (en) * | 2001-08-31 | 2007-03-06 | Hewlett-Packard Development Company, L.P. | Anonymous transactions based on distributed processing |
| CN101027676B (zh) | 2004-08-24 | 2011-10-05 | 艾斯奥托公司 | 用于可控认证的个人符记和方法 |
| US7836298B2 (en) * | 2005-12-23 | 2010-11-16 | International Business Machines Corporation | Secure identity management |
| US8590027B2 (en) | 2007-02-05 | 2013-11-19 | Red Hat, Inc. | Secure authentication in browser redirection authentication schemes |
| US10594695B2 (en) | 2007-12-10 | 2020-03-17 | Nokia Technologies Oy | Authentication arrangement |
| EP2866413B1 (en) | 2009-10-15 | 2016-05-11 | Interdigital Patent Holdings, Inc. | Registration and credential roll-out for accessing a subscription-based service |
| US8549300B1 (en) | 2010-02-23 | 2013-10-01 | Juniper Networks, Inc. | Virtual single sign-on for certificate-protected resources |
| US9032473B2 (en) | 2010-03-02 | 2015-05-12 | Interdigital Patent Holdings, Inc. | Migration of credentials and/or domains between trusted hardware subscription modules |
| US8494485B1 (en) | 2010-12-22 | 2013-07-23 | Mobile Iron, Inc. | Management of certificates for mobile devices |
| WO2012104320A1 (de) * | 2011-01-31 | 2012-08-09 | Thomas Gerber | Kieselsäurekondensate mit geringer vernetzung |
| WO2012109751A1 (en) * | 2011-02-15 | 2012-08-23 | Research In Motion Limited | System and method for identity management for mobile devices |
| WO2012123727A1 (en) * | 2011-03-11 | 2012-09-20 | Callsign, Inc | Personal identity control |
| US8955078B2 (en) | 2011-06-30 | 2015-02-10 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
| US8850187B2 (en) * | 2012-05-17 | 2014-09-30 | Cable Television Laboratories, Inc. | Subscriber certificate provisioning |
| US9690920B2 (en) | 2012-08-30 | 2017-06-27 | International Business Machines Corporation | Secure configuration catalog of trusted identity providers |
| US8935808B2 (en) | 2012-12-18 | 2015-01-13 | Bank Of America Corporation | Identity attribute exchange and validation broker |
| US9286465B1 (en) * | 2012-12-31 | 2016-03-15 | Emc Corporation | Method and apparatus for federated single sign on using authentication broker |
| US8893230B2 (en) | 2013-02-22 | 2014-11-18 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
| US20140379584A1 (en) * | 2013-06-25 | 2014-12-25 | FraudFree Finance, LLC | Anti-fraud financial transaction method |
| CA2919106C (en) * | 2013-07-23 | 2018-07-17 | Ericsson Ab | Media client device authentication using hardware root of trust |
| FR3021177B1 (fr) * | 2014-05-14 | 2016-06-10 | Evidian | Procede de gestion de comptes utilisateurs dans une application hebergee |
| US9749310B2 (en) * | 2015-03-27 | 2017-08-29 | Intel Corporation | Technologies for authentication and single-sign-on using device security assertions |
| US10187374B2 (en) * | 2015-10-29 | 2019-01-22 | Airwatch Llc | Multi-factor authentication for managed applications using single sign-on technology |
-
2016
- 2016-03-03 US US15/060,466 patent/US10305885B2/en active Active
-
2017
- 2017-02-27 WO PCT/US2017/019596 patent/WO2017151464A1/en active Application Filing
- 2017-02-27 CN CN201780024479.4A patent/CN109076075B/zh active Active
- 2017-02-27 EP EP17709890.2A patent/EP3408994B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102047709A (zh) * | 2008-06-02 | 2011-05-04 | 微软公司 | 可信设备专用认证 |
| US9191381B1 (en) * | 2011-08-25 | 2015-11-17 | Symantec Corporation | Strong authentication via a federated identity protocol |
| CN103942684A (zh) * | 2014-04-25 | 2014-07-23 | 天地融科技股份有限公司 | 数据安全交互系统 |
| CN105187372A (zh) * | 2015-06-09 | 2015-12-23 | 深圳市腾讯计算机系统有限公司 | 一种基于移动应用入口的数据处理方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017151464A1 (en) | 2017-09-08 |
| EP3408994B1 (en) | 2019-10-30 |
| US10305885B2 (en) | 2019-05-28 |
| US20170257360A1 (en) | 2017-09-07 |
| EP3408994A1 (en) | 2018-12-05 |
| CN109076075A (zh) | 2018-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076075B (zh) | 访问企业资源 | |
| US10432608B2 (en) | Selectively enabling multi-factor authentication for managed devices | |
| US10187374B2 (en) | Multi-factor authentication for managed applications using single sign-on technology | |
| KR102057159B1 (ko) | 서버 또는 다른 디바이스로부터의 엔트로피에 기초한 클라이언트 디바이스의 인증 | |
| EP3162103B1 (en) | Enterprise authentication via third party authentication support | |
| US9882887B2 (en) | Single sign-on for managed mobile devices | |
| EP3633954B1 (en) | Providing virtualized private network tunnels | |
| US10536447B2 (en) | Single sign-on for managed mobile devices | |
| JP2020502616A (ja) | フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施 | |
| US20180145968A1 (en) | Single sign-on for managed mobile devices | |
| CN107425980B (zh) | 工作空间之间的通信 | |
| US20190182242A1 (en) | Authentication in integrated system environment | |
| EP3337125B1 (en) | Authenticating for an enterprise service | |
| EP3193488B1 (en) | Verifying a certificate | |
| US9917693B2 (en) | Providing security assurance information | |
| EP3232695B1 (en) | Provisioning enterprise services | |
| Donald et al. | Securing Data with Authentication in Mobile Cloud Environment: Methods, Models and Issues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |