CN109196500A - 对基于云的服务的基于统一vpn和身份的认证 - Google Patents
对基于云的服务的基于统一vpn和身份的认证 Download PDFInfo
- Publication number
- CN109196500A CN109196500A CN201780029215.8A CN201780029215A CN109196500A CN 109196500 A CN109196500 A CN 109196500A CN 201780029215 A CN201780029215 A CN 201780029215A CN 109196500 A CN109196500 A CN 109196500A
- Authority
- CN
- China
- Prior art keywords
- user
- equipment
- identity
- request
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
公开了向基于云的服务提供基于VPN和身份的认证的技术。在各种实施例中,接收向服务认证用户的请求。至少部分地基于包括请求的数据来确定与用户和请求中的一者或二者相关联的用户身份。至少部分地基于用户身份来生成身份断言。身份断言被提供给请求节点,认证请求与该请求节点相关联。
Description
对其它申请的交叉引用
本申请要求2016年5月13日提交的名称为对基于云的服务的基于统一VPN和身份的认证的美国临时专利申请No.62/336451的优先权,出于所有目的通过引用将其并入本文中。
背景技术
虚拟专用网络(VPN)是在公司网络内建立信任和用户身份的通常方式。VPN到移动设备的应用已经使得企业可能从移动设备得到相同级别的信任。然而,在基于云的服务中,许多企业生产力应用处于常规企业网络边界之外。因此,也存在能够安全地访问这些服务的需要,而不必单独地与每个服务建立他们的用户身份(最通常的是通过输入密码来登录到每个这样的服务)。
VPN通常通过使用在用户设备上预先建立的安全凭证来建立用户身份,该用户设备由用户输入密码或PIN而解锁,或者最近更多地通过生物计量,诸如使用设备读取指纹而解锁。这种凭证通常是在企业移动性管理(EMM)解决方案的帮助下采取设备上提供的PKI密钥和证书的形式。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1是图示用于对云服务执行基于VPN的认证的系统和过程的实施例的框图。
图2是图示向云服务提供基于VPN的认证的过程的实施例的流程图。
图3是图示使用推送通知来执行对云服务的基于VPN的认证的系统和过程的实施例的框图。
图4是图示用于向云服务提供结合执行基于VPN的认证的上下文保证的系统和过程的实施例的框图。
图5是图示向云服务提供认证的过程的实施例的流程图。
图6是图示用于向云服务提供结合基于VPN的认证的用户属性的过程的实施例的流程图。
图7是图示用于向云服务提供结合基于VPN的认证的用户属性的系统和过程的实施例的框图。
图8是图示向云服务提供基于批准的认证的系统和过程的实施例的框图。
具体实施方式
本发明可以以多种方式实现,包括作为过程;装置;系统;物质成分;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现方式或者本发明可以采取的任何其它形式可以被称为技术。通常,所公开的过程的步骤的顺序可以在本发明的范围内更改。除非另外断言,否则诸如被描述为被配置成执行任务的处理器或存储器之类的部件可被实现为被临时配置成在给定时间执行任务的通用部件或被制造成执行该任务的特定部件。如本文中所使用,术语“处理器”指代配置成处理数据(诸如计算机程序指令)的一或多个设备、电路和/或处理核心。
以下连同图示本发明的原理的附图提供本发明的一个或多个实施例的详细描述。结合这样的实施例来描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限定,并且本发明涵盖许多替换方案、修改和等同物。在以下描述中阐述了许多特定细节以便提供对本发明的透彻理解。出于示例的目的提供了这些细节,并且可以在没有这些特定细节中的一些或全部的情况下根据权利要求来实践本发明。为了清楚的目的,尚未详细描述与本发明相关的技术领域中已知的技术材料,使得本发明不会不必要地难理解。
公开了利用(诸如由思可信®(MobileIron®)隧道提供的)VPN安全性来建立信任和/或用户身份以用于到分布式基于云的服务的用户认证目的,甚至关于从非VPN设备访问这样的服务的请求。在各种实施例中,基于云的服务可以使用各种安全协议,诸如联合身份标准协议,例如SAML或OAuth。在一些实施例中,提供一种机制来在直接VPN连接不可用的情况下提供基于VPN的认证以(例如,相对于从其请求访问的设备)认证用户。在一些实施例中,可以修改并利用共同形成VPN安全性的基础的公钥基础设施(PKI)和企业移动性管理(EMM)服务来建立对基于云的服务的认证。在一些实施例中,可以修改与VPN相关联的证书,和/或可以结合这样的证书来利用企业目录信息,以便与云服务建立用户的身份。
企业客户感兴趣的大多数云服务支持联合身份标准SAML。许多服务还支持另一联合身份标准——OAuth。当使用SAML时,云服务通常基于用户要求的唯一标识符来确定身份提供者(即,断言用户身份的实体),所述唯一标识符通常是电子邮件地址或从该会话获得的其它属性,如存储的曲奇(cookie)。在各种实施例中,身份提供者可以使用基于VPN的认证来认证用户,而不管经由其进行访问基于云的服务的请求的设备是否经由VPN连接。
图1是图示用于对云服务执行基于VPN的认证的系统和过程的实施例的框图。在所示的示例中,(一个或多个)设备102可以用于经由VPN 106安全地访问诸如企业应用的服务。例如,VPN 106可以包括安全隧道或到诸如思可信®(MobileIron®)Sentry®的安全代理的其它基于证书的连接。可以例如在设备注册时在设备102上提供证书。例如,企业移动性管理(EMM)服务器可以在设备102上提供证书。EMM服务器可以维护设备安全态势信息,例如,破解或未破解、安装的未授权应用等,并且可以向安全代理提供这样的态势信息。设备102上的一个或多个代理(安全、EMM管理的应用)可以充当代理以提供与设备102的安全态势相关的信息、响应于检测到的安全漏洞而在设备102上采取行动和/或建立和维护安全VPN连接106。
在各种实施例中,经由VPN 106连接的(一个或多个)设备102可以用于访问云服务104。到云服务104的连接可以通过或可以不通过VPN 106。云服务104可以被配置成将访问请求重定向至身份提供者108。设备102一旦被重定向就可经由VPN 106与身份提供者(IDP)108通信以获得要呈现给云服务104的断言或其它凭证。在各种实施例中,可以由身份提供者(IDP)108使用与经由VPN 106的设备102的连接相关联的证书或其它凭证来建立与请求相关联的用户身份,并且构造断言以对云服务104认证用户。在一些实施例中,可以执行安全态势检查,并且可以至少部分地基于指示设备102不处于安全态势的安全态势信息来拒绝或不转发重定向认证请求。用于保护VPN(隧道)的用户身份证书具有描述用户的各种属性,诸如用户的电子邮件地址或员工id。另外,可以从诸如EMM或其它服务(如活动目录或云服务)的系统获得信息,或者为用户的分组所共有的恒定值,诸如公司归属、使用许可、角色等。IdP提供用户可以指定规则的灵活方式,以将这样的用户标识信息变换成特定云服务提供者在联合身份消息中期望的信息以便唯一地标识该云服务的用户。这样的变换可以包括选择一个或多个字段,以各种格式对它们进行编码和解码。
在图1所示的示例中,可以根据以下顺序来处理经由VPN连接的设备102的访问请求,其中每个数字段对应于图1中的编号的箭头:
1. 使用VPN连接的设备102的用户请求到云服务104访问。在各种实施例中,请求可以或可以不通过VPN 106发送;
2. 云服务104请求用户向身份提供者108认证。这通常使用诸如SAML的联合身份标准;
3. 用户的应用(在设备102处)经由VPN 106将请求重定向到身份提供者108;
4. 基于用于建立与VPN 106的VPN连接的用户身份证书内的用户的身份,身份提供者108生成对云服务104描述用户的身份断言。在一些实施例中,VPN 106和身份提供者108可被集成到同一物理系统中。在一些实施例中,VPN 106被配置成将用户会话上下文数据(例如,电子邮件地址、IP地址、身份证书、应用ID)安全地传递给身份提供者108。例如,当从设备102向身份提供者108转发访问请求时,在一些实施例中,VPN 106可包括用于注入包括或以其它方式指示上下文信息的经签名的HTTP报头的功能性。由身份提供者108生成的断言被发送回用户的应用(在设备102处)以传递到云服务104;
5. 用户的应用将具有该断言的用户重定向到云服务104,云服务104基于由应用呈现的断言(其由身份提供者108生成)来在服务104内建立用户的身份。
进一步参考图1,在各种实施例中,基于VPN的用户身份可以用于对云服务认证用户,即使该请求源自未连接到VPN的设备。在所示的示例中,未连接到VPN 106的(一个或多个)设备110(例如,基于遗留的窗口(Windows)®的操作系统的个人计算机、未管理移动设备或其它未管理设备等)可用于请求到云服务104的访问。在各种实施例中,云服务104可以将请求应用重定向到与VPN 106相关联的身份提供者108。在各种实施例中,身份提供者108可以使用可能涉及VPN 106的一种或多种技术来对云服务104认证用户。
例如,在一些实施例中,与请求用户相关联并且还包括在与VPN 106相关联的设备102之中的另一设备可以用于认证用户。例如,在一些实施例中,推送通知可以由身份提供者108发送到与同一用户相关联的VPN连接的设备102。经由非VPN设备110与请求相关联的电子邮件地址或其它用户身份可以被映射到VPN上的设备102。可替换地,身份提供者108可提示用户此识别信息,所述识别信息用于针对该用户唯一地识别设备102。在针对用户识别设备102时,身份提供者108可以向该设备发送推送通知。当用户经由他们的设备102连接时,经由和/或结合VPN 106建立的用户的经验证的身份可以用于生成断言以对云服务104认证用户,以使得能够经由非VPN设备110访问云服务104。
在图1中所示的示例中,可以根据以下顺序来处理经由非VPN连接的设备110的访问请求,其中每个字母段落对应于图1中对应标记的箭头:
A.用户从未连接到VPN 106的设备110请求对云服务104的访问;
B.云服务104请求用户由身份提供者108认证;
C.用户的应用(在设备110上)将该请求重定向到身份提供者108;
D.身份提供者108采取本文中所公开的动作,其可能需要用户交互来建立用户的身份。在各种实施例中,由箭头"D"表示的认证请求(尽管被示为去往与请求相关联的非VPN设备110)可以例如经由推送通知"D2"被引导到分配给同一用户的不同设备,诸如VPN连接的设备102。例如,可以提示用户经由VPN连接的设备102指示批准和/或输入认证信息和/或其它身份或存在信息。此外,通过向批准者的设备发送针对该用户/交易的类似推送消息,可以在单个批准或者基于定额或一连串的批准中从一个或多个其它用户获得附加批准;
E.用户与身份提供者108建立他们的身份,并且接收任何附加批准。箭头"E"尽管被示为源自非VPN设备110,但是可以来自分配给同一用户的不同设备,诸如通过VPN 106从设备102到达身份提供者108的输入;
F.基于用户的身份(其在一些实施例中可经由VPN来推断和/或经由在设备110处提供的凭证来建立),身份提供者108生成描述用户对云服务104的身份断言。该断言被发送回用户的应用(在发信设备110处)以传递到云服务104 ;
G. 用户的应用(在发信设备110处)基于由应用呈现的断言(其由身份提供者108生成)将具有该断言的用户重定向到云服务104,这在服务104内建立用户的身份。
在各种实施例中,可以使用一种或多种技术来结合来自非VPN连接的设备(例如,图1的设备110)的请求来认证用户,以访问基于云的服务(例如,图1中的云服务104)。这样的技术的示例包括但不限于以下中的一个或多个:
1. 使用证书的内联认证;
2. 使用除了证书之外的技术的内联认证;
3. 企业身份提供者认证;以及
4. 基于推送通知的认证。
使用证书的内联认证。在企业环境中,PKI证书和密钥可以被部署到可能不总是被VPN连接的设备。在一些实施例中,当来自未连接到VPN但是已经被供应有雇员PKI密钥和证书的设备的用户向VPN相关联的身份提供者呈现认证请求时,身份提供者要求用户呈现对应于其雇员证书的密钥的拥有证明。这可以使用诸如具有客户端认证的TLS的标准协议来完成。如果用户能够呈现该证明,则认为用户被认证,并且身份提供者基于该信息向基于云的服务提供者生成身份断言。
使用除了证书之外的技术的内联认证。在一些实施例中,VPN关联的身份提供者可要求用户输入可对照企业数据源(诸如企业雇员目录,例如,活动目录®)来验证以建立用户身份的密码。一些企业可以将其配置成多因素认证,但是在这种情况下,各种实施例中的身份提供者将能够直接对照来自企业的认证信息源来验证由用户呈现的信息。
企业身份提供者认证。在一些实施例中,VPN关联的身份提供者可以充当联合代理。当它从云服务提供者接收到认证请求时,它向企业身份提供者生成新的认证请求并且将用户重定向到它。企业身份提供者可以采用任何安全技术来建立用户的身份,并且通过重定向用户的应用来生成其呈现给联合身份提供者的身份断言。然后,联合身份提供者基于从由企业身份提供者生成的身份断言获得的信息来生成新断言。
基于推送通知的认证。在一些实施例中,基于推送通知的认证(例如,如上所述)可能需要将客户端应用安装在用户的移动设备或其它VPN连接的设备上。在一些实施例中,所要求的客户端应用可以由移动设备通过其雇主的EMM服务器和/或企业应用商店获得。可替换地,功能性可以与诸如移动设备管理(MDM)代理或应用之类的其它设备管理客户端应用绑定。
在各种实施例中,上述认证技术中的一个或多个可以与工作流组合以要求来自第三方(例如,主管或其它机构)的批准,例如,如结合图8所描述的那样。
图2是图示向云服务提供基于VPN的认证的过程的实施例的流程图。在各种实施例中,图2的过程可由身份提供者(诸如图1的身份提供者108)执行。在所示的示例中,从未经由VPN连接的设备(移动设备、计算机等)接收与访问云服务的请求相关联的认证请求(202)。确定与认证请求相关联的用户身份(204)。例如,可以使用上述技术中的一个或多个(例如,经由VPN连接的设备的使用证书的内联认证、通过其它技术的内联认证、企业IDP认证和基于推送通知的认证)来确定/建立用户身份。在一些实施例中,可以将包括或以其它方式与认证请求相关联的电子邮件地址或其它标识符映射到用户和/或除了从其接收认证请求的用户设备之外的用户设备。另一设备可以是VPN连接的,并且用户身份可以例如经由用于建立VPN隧道和/或连接的证书或其它凭证来经由VPN连接的设备来确定和/或验证。在一些实施例中,可以可选地要求和获得来自第三方的批准,例如,如图8中所示的那样。至少部分地基于所确定的用户身份来生成将用于对云服务进行认证的断言(例如,SAML或其它断言)(206)。断言被返回到从其接收认证请求的设备(208)。
图3是图示使用推送通知来执行对云服务的基于VPN的认证的系统和过程的实施例的框图。在所示的示例中,被用于访问基于云的服务的非VPN设备302被重定向到身份提供者304(箭头"1"),其经由通知网络和/或服务306(例如,Apple推送通知服务或等同物)向关联于与认证请求相同的用户的VPN连接的设备308发送推送通知(箭头"2")。经由VPN 310验证与设备308相关联的用户身份。例如,安装在设备308上并且用于经由VPN 310建立安全隧道或其它安全连接的证书可以用于建立用户身份。IDP 304至少部分地基于用户身份生成将用于对云服务进行认证的断言。断言被返回到从其接收认证请求的设备302。可选地,可以存在对零个或多个其它VPN连接的设备的附加的这样的推送通知,以获得用户或将进行的交易的批准。
在各种实施例中,认证可如下执行,其中以下编号的段落对应于图3中类似编号的箭头:
1. 用户的应用向身份提供者呈现来自基于云的服务提供者的认证请求。在一些实施例中,这对应于图1中的步骤"C";
2. 身份提供者确定用户请求来自未通过VPN连接的设备,并且确定它需要采取以下附加步骤中的一个或多个来执行用户认证:
a.基于其配置,它确定用户需要使用"推送通知"选项来认证;
b.身份提供者可能或可能不能够从请求中找出用户断言为的是谁。这可能是由于在用户的浏览器中较早某个时间设定的持久曲奇(cookie);
i.如果身份提供者不能确定用户断言为的是谁,则它提示用户在图3中未示出的附加交互中仅输入他们的用户名或电子邮件地址;
ii.否则,身份提供者将作用于从请求获得的用户的断言;
c.一旦身份提供者确定用户断言的是谁,它将查找已被分配给该用户的任何VPN注册的设备。例如,这可以是用户的商业移动电话;
d.身份提供者然后生成对该设备的推送通知。这可以通过安装在设备上的代理或通过诸如向设备发送文本消息的其它机制来完成。在一些实施例中,推送通知将导致代理(例如,客户端应用)向用户清楚地通知认证的上下文(即,需要用户认证的服务提供者)。在一些实施例中,可以要求并获得来自第三方批准者的批准,例如,如结合图8所描述的那样;
3. 响应于推送通知来认证用户可能需要通知并确保认证的上下文和目的,例如,如以下结合图4所描述的那样。在一些实施例中,用户可以例如通过基于现有VPN政策向VPN认证他/她自己来批准通过VPN关联的设备上的代理的动作。由于该认证,身份提供者从VPN获得关于用户的权威性身份信息;
4. 身份提供者然后基于该用户身份信息生成身份断言,并将其发送到重定向到基于云的服务提供者的发信设备。在一些实施例中,这对应于图1中的步骤"F"。
图4是图示用于向云服务提供结合执行基于VPN的认证的上下文保证的系统和过程的实施例的框图。在所示的示例中,不在VPN上的设备402被用于尝试访问云服务(未示出),这将设备402重定向到身份提供者404。身份提供者404向VPN连接的设备406发送推送通知(虚线箭头"2")。身份提供者404进一步提示非VPN设备402显示或以其它方式提供视觉、听觉、电磁或其它要求。在所示的示例中,设备402显示QRC代码并且向用户给出关于如何认证他们自身的指令。VPN连接的设备406(例如,经由安装在其上的应用或代理)可用于扫描要求(或以其它方式验证要求的存在)。所产生数据经由VPN 408被提供给身份提供者404,所产生数据可另外用于建立用户身份,如本文中所述的那样。
在各种实施例中,图4中所示的处理可以包括(编号的段落,对应于图4中编号的箭头):
1. 用户呈现来自基于云的服务提供者的认证请求。在一些实施例中,这对应于图1中的非VPN连接的设备情况中的步骤"C";
2. 身份提供者确定需要确保用户上下文,并且向用户的VPN注册设备上的代理发送推送通知;
3. 身份提供者还在请求应用(例如浏览器)中呈现对请求认证的设备的静态或动态视觉要求;
4. VPN连接的设备上的代理指示用户通过VPN注册设备的摄像头捕获正在请求设备上显示的静态图像或动态视觉图案。代理从设备摄像头获得该信息并将其发送到身份提供者。身份提供者实时地将图像/动态图案与发送到请求设备的图像/动态图案相关联。这确保了用户非常接近请求认证的设备的身份提供者;
5. 然后,用户使用VPN连接的设备上的代理通过基于现有VPN政策向VPN认证他/她自己来批准该动作,并且身份提供者从VPN连接获得认证证书信息。
虽然在上述示例中描述了视觉要求,但是在各种实施例中,可以使用其它技术来验证移动设备非常接近用户。例如,在可用的情况下,由移动设备可使用蓝牙或其它近场通信。例如,移动应用可以经由推送通知接收提示以验证其与正用于访问服务的膝上型计算机或其它计算机配对并且当前经由蓝牙连接到膝上型计算机或其它计算机。在一些实施例中,生物计量设备(例如,指纹扫描仪或电话、膝上型计算机或其它便携式计算机)可用于验证尝试经由本身不具有此能力的设备来访问服务的用户的身份和/或存在。
在各种实施例中,身份提供者可被配置成遵循级联策略的集合,其确定响应于不来自VPN连接的认证请求使用哪个非VPN认证选项。这样的级联策略集合可以包括决定顺序。此类决定顺序的一个示例如接下来那样以及结合图5在以下描述:
1. 如果用户具有与VPN注册的分配的设备,则使用推送通知选项;
2. 如果不具有,则向用户要求客户端证书内联认证。浏览器可以透明地或利用用户交互来检测用户是否不具有这样的证书;
3. 如果用户在设备上不具有任何证书,或者如果用户不能证明其拥有对应的密钥,则生成新的认证请求并且将用户重定向到企业身份提供者以认证用户。
图5是图示向云服务提供认证的过程的实施例的流程图。在各种实施例中,图5的过程可由身份提供者(诸如图1的身份提供者108)实现。在所示的示例中,从非VPN设备接收与访问云服务的请求相关联的认证请求(502)。如果确定与请求相关联的用户具有VPN关联设备(504),诸如被管理移动设备,则推送通知被发送到VPN关联设备以认证用户(506)。如果基于推送通知的认证成功,则图5的过程结束。如果基于推送通知的认证失败(508),或者如果用户没有VPN关联设备(504),则要求用户提供基于客户端证书的内联认证(510)。如果基于客户端证书的内联认证成功(512),则过程结束。如果代替地基于客户端证书的内联认证不成功(512),则该请求被重定向到企业身份提供者(514)以用于传统认证。
各种基于云的服务提供者可能需要他们从第三方身份提供者期望的身份断言中的用户身份信息的不同片段。例如,微软Office 365的基于云的服务需要SAML断言用于登录用户以包括用户的"不可变ID"和"电子邮件地址"信息。在各种实施例中,可以通过以下技术中的一个或多个来获得用户信息:
1. 检查经认证的用户证书以用于所需要的信息,并且如果其足以用于用户正试图到达的基于云的服务提供者,则使用它;
2. 考虑到来自经认证的用户证书的唯一标识用户信息,查找用于关于用户所需要的附加信息的权威性企业用户数据源(诸如活动目录或EMM);
3. 添加对于一些用户的分组共有的恒定值,诸如对于公司的所有雇员共有的公司标识符。
在当前VPN中,证书可能不包括由基于云的服务提供者所需要来认证用户的所有信息。创建证书的PKI通常与权威性用户信息源(诸如企业内的活动目录)连接。因此,证书简历应当被改变,使得由感兴趣的所有服务提供者所需要的信息被编码在证书内。在各种实施例中,X509证书可以被用于对证书的"主题DN"和"主题可替换名称"中的一个或二者中的信息进行编码。
在由服务提供者所需要的一些用户属性在证书内不可得的情况下,在一些实施例中,证书包含可用于查找关于用户的附加信息的关于用户的唯一标识信息。可以从EMM属性服务(例如,如下所述的那样)和企业目录(诸如活动目录)中的一个或多个获得关于由服务提供者所需要的关于用户的权威性信息的剩余部分。
取决于用户如何被认证,用户证书中的信息可以不同。例如,当用户通过VPN连接时,证书中的信息可以不同于当使用证书来认证用户(但来自非VPN设备)时的信息。在各种实施例中,如本文中所公开的身份提供者提供从认证的证书中选择正确信息并将其映射到由服务提供者期望的身份信息的方式。身份提供者使得管理员能够创建用户信息简历,简历各自可以应用于一个或多个基于云的服务提供者。用户信息简历指定级联规则的集合以获得并映射用户信息,诸如:
·在经认证的用户证书"主题可替换名称"字段得到"RFC822名称",并将其映射到将被发送到服务提供者的断言内的属性语句中的"IDPEmail"属性;
·如果上述规则失败,则得到经认证的用户证书中的"Subject"字段的"CN"组分,并将其映射到将被发送到服务提供者的断言内的属性语句中的IDPEmail属性;
·得到经认证的用户证书的"主题可替换名称"字段中的"RFC822名称"并将其映射到将被发送到服务提供者的断言内的属性语句中的"IDPEmail属性"。另外,从活动目录获得针对用户的"不可变ID"字段,并将其添加为将被发送到服务提供者的断言的主题。
在一些实施例中,EMM解决方案可以在向系统提供用户时获得由所有服务提供者所需要的用户信息。该信息中的一些可以被直接编码到发布给用户的PKI证书中,但是当需要时,一些稍后可以对于身份提供者而言是可得的。如果稍后添加的新服务提供者需要先前未与EMM解决方案一起的其它信息,那么EMM解决方案可与企业用户信息存储同步以获得附加信息,并且在当通过身份提供者由登录到新服务提供者中的用户需要时保持其可得。
图6是图示用于向云服务提供结合基于VPN的认证的用户属性的过程的实施例的流程图。在所示的示例中,确定要包括在将用于向给定云服务进行认证的断言中的用户属性(602)。如果属性(全部)包括在证书中(604),则基于来自证书的数据生成将用于对云服务进行认证的断言(608),并且过程结束。如果提供断言所需要的无属性或者非全部属性不包括在证书中(604),则从权威性用户简历数据存储获得缺失的用户属性(606),所述权威性用户简历数据存储诸如企业的活动目录®或其它用户目录,并且生成至少部分基于从目录检索(606)的数据的断言(608)。
图7是图示用于向云服务提供结合基于VPN的认证的用户属性的系统和过程的实施例的框图。在所示的示例中,处理可以如下执行,其中编号的段落对应于图7中编号的箭头:
1. 当提供用户时,EMM服务器702从企业用户信息存储706获得由所有服务提供者所需要的用户属性,并将它们存储在其属性存储704中;
2. EMM 702向被管理设备708提供证书,其中完全或至少唯一地标识它们中的用户信息;
3. 如果新的服务提供者被添加到身份提供者712,并且那些服务提供者需要在EMM属性存储704中尚未呈现的新的用户属性信息,则EMM解决方案702从企业用户信息存储706获得针对所有现有用户的附加属性。如在步骤1中那样,新用户将自动获得所有需要的属性;
4. 当用户请求经由设备708访问特定云服务710时;
5. 身份提供者712从EMM属性服务704请求由云服务提供者710所需要的任何附加属性;
6. 身份提供者712然后生成具有所有所需信息的身份断言,并将其发送给云服务710(这可涉及通过移动设备708的重定向,在图7中未示出)。
图8是图示向云服务提供基于批准的认证的系统和过程的实施例的框图。在一些实施例中,本文中公开的技术可以用于提供对云服务的基于安全批准的访问。当用户请求到云服务的访问时,可以向批准者通知所请求的访问。根据来自批准者的授权,允许原始请求进行。
在各种实施例中,除了如本文中所描述的向最终用户发送以用于验证用户的身份和上下文的任何推送通知之外,还可以执行图8中所示的批准过程。在图8(编号的段落对应于编号的箭头)中所示的示例中:
1. 用户通过身份提供者808或者从未连接到VPN 804的设备或通过连接在VPN 802上的设备请求对云服务的访问。这对应于图1中的步骤"1"或"A";
2. 基于用户角色和访问政策,身份提供者808确定需要另一用户(批准者)来授权该访问。它向与VPN 814相关联的批准者的设备812生成推送通知810;
3. 由于推送通知,批准者在批准者的设备812上启动代理,审阅该请求并且授权或拒绝该请求。批准者的身份可以经由设备812与VPN 814的关联来验证;
4. 如果批准者已经授权请求,则身份提供者808生成具有请求的最终用户的身份的身份断言,并将其(可能经由浏览器重定向到最终用户的浏览器,其未示出)发送到云服务806以使得能够接入。
在一些实施例中,如果用户的浏览器已经超时了批准者批准请求的时间,则用户可以重试请求。在一些实施例中,身份提供者可以被配置成高速缓存批准达某一段时间。如果身份提供者在其接收到最终用户请求时发现高速缓存的批准,则它不经历批准流程。
在各种实施例中,诸如图8中所图示的批准工作流可用来提供设备的安全注册和部署,包括但不限于所谓的"物联网"(IoT)和其它网络连接的设备。在一些实施例中,IoT设备的安全部署或其它设备注册可使用诸如图8中所图示的批准技术来提供。例如,在一些实施例中,用户部署IoT设备。IoT设备与其服务器注册,该服务器被配置成向身份提供者认证它。身份提供者配置有条件规则以向用户的移动设备代理应用发送推送通知。代理应用扫描包含在IoT设备中或以其它方式与IoT设备相关联的条形码或其它数据并将其报告回身份提供者。条形码(或其它源)中的信息然后被包括在回IoT服务器的断言中。这完成了安全注册。
在一些实施例中,可以使用图8中所图示的和以上描述的技术来支持通用工作流,其中批准可以触发其它批准或一连串或定额的批准,或其它工作流,每个工作流使用本文公开的技术(例如,具有与批准用户相关联的VPN连接的或以其它方式管理的设备的证书的移动应用)来证实批准者的权利。
在一些实施例中,可以应用如图8中所图示的批准来建立用于交易的身份和/或批准——例如,银行交易可以使用如本文所公开的技术来从用户获得金钱的转移的批准。
在一些实施例中,条件规则可结合本文所公开的技术在运行时定义和应用。在一些实施例中,EMM服务器和/或身份提供者可被配置成应用一个或多个规则以确定如本文所公开的认证技术是否可基于诸如用户正尝试认证的基于云的应用/服务之类的因素来应用;一天的时刻、一周的日期、用户位置信息等;用户的角色、特权、部门或其它企业单位归属等;尝试用于访问基于云的服务的设备和/或用户代理;安全状态,诸如全局状态或用户的安全态势、与用户相关联的设备等;等等。
虽然在本文描述的各种实施例中,基于云的服务正被访问,但是在各种实施例中可以使用本文所公开的技术来访问其它服务,诸如经由前提服务器提供的服务。虽然上文描述了向基于云的服务的基于SAML的认证,但在各种实施例中,本文所公开的技术可用于向使用其它安全协议(诸如OAuth或Kerberos)的服务进行认证。例如,在一些实施例中,代替被配置成基于本文所公开的基于VPN或基于非VPN的技术来提供SAML断言的身份提供者,访问节点可使用此类技术来确定是否发布Kerberos令牌来访问服务。
虽然移动设备在各种示例中被描述为被用于验证身份(例如,经由VPN和/或非VPN技术),以用于认证尝试使用另一设备访问服务的用户的目的,但是在各种实施例中,可以使用具有英特网或者其它网络访问和处理能力的任何设备,包括智能手表、其它可穿戴技术、物联网(IoT)设备等,所述物联网(IoT)设备诸如汽车、网络连接的智能隐形眼镜或其它植入物。
虽然为了理解的清楚性的目的已经以一些细节描述了前述实施例,但是本发明不限于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的而非限制性的。
Claims (20)
1.一种系统,包括:
通信接口;以及
处理器,其耦合到所述通信接口且配置成:
经由所述通信接口接收请求以对服务认证用户;
至少部分地基于包括所述请求的数据来确定与所述用户和所述请求中的一者或二者相关联的用户身份;
至少部分地基于所述用户身份来生成身份断言;以及
经由所述通信接口将所述身份断言提供给所述认证请求与其相关联的请求节点。
2.如权利要求1所述的系统,其中所述认证请求与由所述服务向与所述系统相关联的身份提供者的重定向相关联。
3.如权利要求1所述的系统,其中所述用户身份至少部分地基于与虚拟专用网络(VPN)连接相关联的凭证来确定。
4.如权利要求3所述的系统,其中所述请求是从不与所述VPN相关联的设备接收的。
5.如权利要求4所述的系统,其中所述请求是从第一设备接收的,并且所述用户身份与第二设备相关联,并且其中所述第二设备与所述VPN相关联。
6.如权利要求5所述的系统,其中所述第二设备包括企业管理的移动设备。
7.如权利要求6所述的系统,其中所述处理器进一步配置成接收与所述移动设备相关联的安全态势信息,并且至少部分地基于与所述移动设备相关联的所述安全态势信息指示所述移动设备处于安全状态的确定来生成所述身份断言。
8.如权利要求5所述的系统,其中所述处理器进一步配置成将通知发送到所述第二设备,且其中所述第二设备上的代理配置成至少部分地通过提示所述第二设备的用户提供输入来响应所述通知。
9.如权利要求8所述的系统,其中所述输入包括凭证。
10.如权利要求8所述的系统,其中所述输入包括上下文保证输入,所述上下文保证输入包括从所述第一设备位于其中的环境接收上下文保证数据,并且所述第二设备被配置成向所述处理器发送与所述上下文保证数据相关联的数据。
11.如权利要求10所述的系统,其中所述上下文保证输入包括在所述第一设备的显示器上显示并且使用所述第二设备扫描的视觉要求中的一个或多个;从所述第一设备到所述第二设备的蓝牙或其它近场发射或通信;或由所述第一设备显示或以其它方式提供为输出、并且由所述第二设备经由所述第一设备和所述第二设备二者并置在其内的物理空间内的直接路径接收的其它数据。
12.如权利要求5所述的系统,其中所述第二设备与具有关于所述请求的批准权威的第二用户相关联,并且其中所述处理器配置成至少部分地基于经由所述第二设备接收的批准响应而生成所述身份断言。
13.如权利要求3所述的系统,其中所述凭证包括证书。
14.如权利要求13所述的系统,其中所述证书包括与所述服务相关联的用户属性数据。
15.如权利要求13所述的系统,其中生成所述身份断言包括从所述证书读取所述用户属性数据并且使用从所述证书读取的所述用户属性数据的至少一部分来填充所述身份断言的数据值。
16.如权利要求15所述的系统,其中所述处理器还配置成从企业用户目录获得要包括在所述身份断言中的附加用户属性。
17.一种方法,包括:
经由通信接口接收对服务认证用户的请求;
使用处理器至少部分地基于包括所述请求的数据来确定与所述用户和所述请求中的一者或二者相关联的用户身份;
使用所述处理器至少部分地基于所述用户身份来生成身份断言;以及
经由所述通信接口将所述身份断言提供给所述认证请求与其相关联的请求节点。
18.如权利要求17所述的方法,其中所述用户身份至少部分地基于与虚拟专用网络(VPN)连接相关联的凭证来确定。
19.一种包含在非暂时性计算机可读介质中并且包括用于以下的计算机指令的计算机程序产品:
接收对服务认证用户的请求;
至少部分地基于包括所述请求的数据来确定与所述用户和所述请求中的一者或二者相关联的用户身份;
至少部分地基于所述用户身份来生成身份断言;以及
将所述身份断言提供给所述认证请求与其相关联的请求节点。
20.如权利要求19所述的计算机程序产品,其中所述用户身份至少部分地基于与虚拟专用网络(VPN)连接相关联的凭证来确定。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662336451P | 2016-05-13 | 2016-05-13 | |
| US62/336451 | 2016-05-13 | ||
| PCT/US2017/032726 WO2017197400A1 (en) | 2016-05-13 | 2017-05-15 | Unified vpn and identity based authentication to cloud-based services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109196500A true CN109196500A (zh) | 2019-01-11 |
| CN109196500B CN109196500B (zh) | 2022-11-01 |
Family
ID=60266843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780029215.8A Active CN109196500B (zh) | 2016-05-13 | 2017-05-15 | 对基于云的服务的基于统一vpn和身份的认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10673838B2 (zh) |
| EP (1) | EP3455762B1 (zh) |
| CN (1) | CN109196500B (zh) |
| WO (1) | WO2017197400A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10277572B2 (en) * | 2016-04-12 | 2019-04-30 | Blackberry Limited | Provisioning enterprise services provided by an infrastructure service server |
| US11012441B2 (en) * | 2017-06-30 | 2021-05-18 | Open Text Corporation | Hybrid authentication systems and methods |
| EP4155996A1 (en) * | 2018-04-30 | 2023-03-29 | Google LLC | Enclave interactions |
| EP3776323A1 (en) | 2018-04-30 | 2021-02-17 | Google LLC | Secure collaboration between processors and processing accelerators in enclaves |
| US11245683B2 (en) * | 2018-07-06 | 2022-02-08 | Citrix Systems, Inc. | Single-sign-on for third party mobile applications |
| CN110138726B (zh) * | 2019-03-27 | 2021-11-12 | 珍岛信息技术(上海)股份有限公司 | 一种智能优化管理云端信息的方法及系统 |
| US11916912B2 (en) | 2019-08-21 | 2024-02-27 | Aeris Communications, Inc. | Method and system for providing secure access to IoT devices using access control |
| TWI807193B (zh) | 2020-06-12 | 2023-07-01 | 佳易科技股份有限公司 | 虛擬私人網路連線方法以及應用該方法的儲存卡裝置 |
| SE544580C2 (en) | 2020-09-04 | 2022-07-26 | Mideye Ab | Methods and authentication server for authentication of users requesting access to a restricted data resource |
| US11645643B2 (en) * | 2020-09-29 | 2023-05-09 | Bank Of America Corporation | System for harnessing a connected network to securely verify a transaction |
| US20220141658A1 (en) * | 2020-11-05 | 2022-05-05 | Visa International Service Association | One-time wireless authentication of an internet-of-things device |
| CN113704734A (zh) * | 2021-07-14 | 2021-11-26 | 杭州溪塔科技有限公司 | 基于分布式数字身份实现凭证验证的方法及相关装置 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756148A (zh) * | 2004-09-30 | 2006-04-05 | 阿尔卡特公司 | 用于网络访问的移动认证 |
| US20100211780A1 (en) * | 2009-02-19 | 2010-08-19 | Prakash Umasankar Mukkara | Secure network communications |
| WO2010115607A1 (en) * | 2009-04-03 | 2010-10-14 | Digidentity B.V. | Secure data system |
| CN102025495A (zh) * | 2009-09-17 | 2011-04-20 | 成都康赛电子科大信息技术有限责任公司 | 基于saml2.0的身份认证和管理 |
| US20130219479A1 (en) * | 2012-02-17 | 2013-08-22 | Daniel B. DeSoto | Login Using QR Code |
| CN103503407A (zh) * | 2011-04-28 | 2014-01-08 | 交互数字专利控股公司 | 用于多sso技术的sso框架 |
| US20140020073A1 (en) * | 2012-07-13 | 2014-01-16 | Troy Jacob Ronda | Methods and systems for using derived credentials to authenticate a device across multiple platforms |
| US8776209B1 (en) * | 2012-03-09 | 2014-07-08 | Juniper Networks, Inc. | Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway |
| CN103930897A (zh) * | 2011-09-29 | 2014-07-16 | 甲骨文国际公司 | 移动应用、单点登录管理 |
| US20140245389A1 (en) * | 2013-02-22 | 2014-08-28 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
| US20150200924A1 (en) * | 2014-01-15 | 2015-07-16 | Cisco Technology, Inc. | Redirect to Inspection Proxy Using Single-Sign-On Bootstrapping |
| WO2015154066A1 (en) * | 2014-04-04 | 2015-10-08 | David Goldschlag | Method for authentication and assuring compliance of devices accessing external services |
Family Cites Families (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
| US10454931B2 (en) * | 2005-01-31 | 2019-10-22 | Unisys Corporation | Secure remote access for secured enterprise communications |
| EP2057819B1 (en) * | 2006-08-31 | 2011-08-31 | Encap AS | Method for synchronising between a server and a mobile device |
| EP2240863A4 (en) * | 2008-01-15 | 2013-07-10 | Aga Inc | SYSTEMS, DEVICES AND / OR METHOD FOR MANAGING MESSAGES |
| US8799640B2 (en) * | 2010-02-27 | 2014-08-05 | Novell, Inc. | Techniques for managing a secure communication session |
| US8984621B2 (en) * | 2010-02-27 | 2015-03-17 | Novell, Inc. | Techniques for secure access management in virtual environments |
| US9098850B2 (en) * | 2011-05-17 | 2015-08-04 | Ping Identity Corporation | System and method for transaction security responsive to a signed authentication |
| US9143530B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Secure container for protecting enterprise data on a mobile device |
| US8855312B1 (en) | 2012-06-29 | 2014-10-07 | Emc Corporation | Mobile trust broker |
| US9032490B1 (en) | 2012-09-12 | 2015-05-12 | Emc Corporation | Techniques for authenticating a user with heightened security |
| US9392077B2 (en) | 2012-10-12 | 2016-07-12 | Citrix Systems, Inc. | Coordinating a computing activity across applications and devices having multiple operation modes in an orchestration framework for connected devices |
| US9137131B1 (en) * | 2013-03-12 | 2015-09-15 | Skyhigh Networks, Inc. | Network traffic monitoring system and method to redirect network traffic through a network intermediary |
| US20140173692A1 (en) | 2012-12-15 | 2014-06-19 | Sudharshan Srinivasan | Bring your own device system using a mobile accessory device |
| US9621540B2 (en) | 2012-12-21 | 2017-04-11 | Intel Corporation | Secure provisioning of computing devices for enterprise connectivity |
| US8904482B1 (en) | 2012-12-31 | 2014-12-02 | Emc Corporation | Techniques for securing a one-time passcode with an alteration code |
| US9819593B1 (en) * | 2013-01-22 | 2017-11-14 | Hypori, Inc. | System, method and computer program product providing bypass mechanisms for a virtual mobile device platform |
| US9923897B2 (en) | 2013-03-06 | 2018-03-20 | Surfeasy, Inc. | Edge server selection for enhanced services network |
| US20140279611A1 (en) * | 2013-03-15 | 2014-09-18 | Eid Passport, Inc. | High assurance federated attribute management |
| US9225700B1 (en) | 2013-03-15 | 2015-12-29 | Emc Corporation | Proximity-based authentication |
| WO2014176539A1 (en) * | 2013-04-26 | 2014-10-30 | Interdigital Patent Holdings, Inc. | Multi-factor authentication to achieve required authentication assurance level |
| US9098687B2 (en) | 2013-05-03 | 2015-08-04 | Citrix Systems, Inc. | User and device authentication in enterprise systems |
| US9646150B2 (en) | 2013-10-01 | 2017-05-09 | Kalman Csaba Toth | Electronic identity and credentialing system |
| IL229907A (en) | 2013-12-10 | 2015-02-26 | David Almer | Mobile device with enhanced security |
| WO2015103338A1 (en) * | 2013-12-31 | 2015-07-09 | Lookout, Inc. | Cloud-based network security |
| US9203814B2 (en) * | 2014-02-24 | 2015-12-01 | HCA Holdings, Inc. | Providing notifications to authorized users |
| US9729539B1 (en) | 2014-03-28 | 2017-08-08 | Pulse Secure, Llc | Network access session detection to provide single-sign on (SSO) functionality for a network access control device |
| US9613190B2 (en) * | 2014-04-23 | 2017-04-04 | Intralinks, Inc. | Systems and methods of secure data exchange |
| US9584492B2 (en) | 2014-06-23 | 2017-02-28 | Vmware, Inc. | Cryptographic proxy service |
| US9736145B1 (en) | 2014-08-01 | 2017-08-15 | Secureauth Corporation | Generation and validation of derived credentials |
| US9652212B2 (en) * | 2014-09-24 | 2017-05-16 | Oracle International Corporation | Managing change events for devices in an enterprise system |
| JP6526181B2 (ja) * | 2014-09-30 | 2019-06-05 | サイトリックス システムズ,インコーポレイテッド | スマートカードによるログオンおよび連携されたフルドメインログオン |
| US10021137B2 (en) * | 2014-12-27 | 2018-07-10 | Mcafee, Llc | Real-time mobile security posture |
| US9998434B2 (en) * | 2015-01-26 | 2018-06-12 | Listat Ltd. | Secure dynamic communication network and protocol |
| JP6262681B2 (ja) | 2015-03-26 | 2018-01-17 | Kddi株式会社 | 管理装置、車両、管理方法、及びコンピュータプログラム |
| US9749310B2 (en) * | 2015-03-27 | 2017-08-29 | Intel Corporation | Technologies for authentication and single-sign-on using device security assertions |
| US9900156B2 (en) | 2015-04-15 | 2018-02-20 | Cisco Technology, Inc. | Cloud service validation |
| US10432592B2 (en) * | 2015-05-10 | 2019-10-01 | Citrix Systems, Inc. | Password encryption for hybrid cloud services |
| US10419514B2 (en) * | 2015-08-14 | 2019-09-17 | Oracle International Corporation | Discovery of federated logins |
| US10122718B2 (en) | 2015-08-21 | 2018-11-06 | Arm Ip Limited | Data access and ownership management |
| US9571457B1 (en) * | 2015-12-15 | 2017-02-14 | International Business Machines Corporation | Dynamically defined virtual private network tunnels in hybrid cloud environments |
| US9992187B2 (en) * | 2015-12-21 | 2018-06-05 | Cisco Technology, Inc. | Single sign-on authentication via browser for client application |
| US11216262B2 (en) * | 2016-03-25 | 2022-01-04 | Microsoft Technology Licensing, Llc | Device provisioning |
| US9935955B2 (en) | 2016-03-28 | 2018-04-03 | Zscaler, Inc. | Systems and methods for cloud based unified service discovery and secure availability |
| US10740080B2 (en) | 2016-04-22 | 2020-08-11 | Kony, Inc. | Preview and publishing of mobile applications |
| US10122761B2 (en) * | 2016-05-31 | 2018-11-06 | Airwatch Llc | Device authentication based upon tunnel client network requests |
| US10230725B2 (en) * | 2016-10-24 | 2019-03-12 | Sonicwall Inc. | Edge protection for internal identity providers |
| US10375052B2 (en) * | 2017-03-07 | 2019-08-06 | Airwatch Llc | Device verification of an installation of an email client |
| US10778684B2 (en) * | 2017-04-07 | 2020-09-15 | Citrix Systems, Inc. | Systems and methods for securely and transparently proxying SAAS applications through a cloud-hosted or on-premise network gateway for enhanced security and visibility |
| US9948612B1 (en) * | 2017-09-27 | 2018-04-17 | Citrix Systems, Inc. | Secure single sign on and conditional access for client applications |
-
2017
- 2017-05-15 CN CN201780029215.8A patent/CN109196500B/zh active Active
- 2017-05-15 US US15/595,648 patent/US10673838B2/en active Active
- 2017-05-15 EP EP17797026.6A patent/EP3455762B1/en active Active
- 2017-05-15 WO PCT/US2017/032726 patent/WO2017197400A1/en unknown
-
2019
- 2019-12-19 US US16/721,800 patent/US11178132B2/en active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1756148A (zh) * | 2004-09-30 | 2006-04-05 | 阿尔卡特公司 | 用于网络访问的移动认证 |
| US20100211780A1 (en) * | 2009-02-19 | 2010-08-19 | Prakash Umasankar Mukkara | Secure network communications |
| WO2010115607A1 (en) * | 2009-04-03 | 2010-10-14 | Digidentity B.V. | Secure data system |
| CN102025495A (zh) * | 2009-09-17 | 2011-04-20 | 成都康赛电子科大信息技术有限责任公司 | 基于saml2.0的身份认证和管理 |
| CN103503407A (zh) * | 2011-04-28 | 2014-01-08 | 交互数字专利控股公司 | 用于多sso技术的sso框架 |
| CN103930897A (zh) * | 2011-09-29 | 2014-07-16 | 甲骨文国际公司 | 移动应用、单点登录管理 |
| US20130219479A1 (en) * | 2012-02-17 | 2013-08-22 | Daniel B. DeSoto | Login Using QR Code |
| US8776209B1 (en) * | 2012-03-09 | 2014-07-08 | Juniper Networks, Inc. | Tunneling session detection to provide single-sign on (SSO) functionality for a VPN gateway |
| US20140020073A1 (en) * | 2012-07-13 | 2014-01-16 | Troy Jacob Ronda | Methods and systems for using derived credentials to authenticate a device across multiple platforms |
| US9053304B2 (en) * | 2012-07-13 | 2015-06-09 | Securekey Technologies Inc. | Methods and systems for using derived credentials to authenticate a device across multiple platforms |
| US20140245389A1 (en) * | 2013-02-22 | 2014-08-28 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
| US20150200924A1 (en) * | 2014-01-15 | 2015-07-16 | Cisco Technology, Inc. | Redirect to Inspection Proxy Using Single-Sign-On Bootstrapping |
| WO2015154066A1 (en) * | 2014-04-04 | 2015-10-08 | David Goldschlag | Method for authentication and assuring compliance of devices accessing external services |
Non-Patent Citations (1)
| Title |
|---|
| 王群等: "云计算身份认证模型研究", 《电子技术应用》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3455762A4 (en) | 2019-11-20 |
| EP3455762A1 (en) | 2019-03-20 |
| WO2017197400A1 (en) | 2017-11-16 |
| US20170331815A1 (en) | 2017-11-16 |
| EP3455762B1 (en) | 2022-04-06 |
| US10673838B2 (en) | 2020-06-02 |
| CN109196500B (zh) | 2022-11-01 |
| US20200128000A1 (en) | 2020-04-23 |
| US11178132B2 (en) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109196500A (zh) | 对基于云的服务的基于统一vpn和身份的认证 | |
| CA2975843C (en) | Apparatus, system, and methods for a blockchain identity translator | |
| Chadwick | Federated identity management | |
| US10110584B1 (en) | Elevating trust in user identity during RESTful authentication and authorization | |
| US7428750B1 (en) | Managing multiple user identities in authentication environments | |
| US8028325B2 (en) | Invocation of a third party's service | |
| US7685631B1 (en) | Authentication of a server by a client to prevent fraudulent user interfaces | |
| US8955082B2 (en) | Authenticating using cloud authentication | |
| US7926089B2 (en) | Router for managing trust relationships | |
| Erdos et al. | Shibboleth architecture draft v05 | |
| JP7083892B2 (ja) | デジタル証明書のモバイル認証相互運用性 | |
| US9825938B2 (en) | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration | |
| Chadwick et al. | Improved identity management with verifiable credentials and fido | |
| TW200820716A (en) | Method and apparatus for providing trusted single sign-on access to applications and internet-based services | |
| Laborde et al. | A user-centric identity management framework based on the W3C verifiable credentials and the FIDO universal authentication framework | |
| Berbecaru et al. | Providing login and Wi-Fi access services with the eIDAS network: A practical approach | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| Bazaz et al. | A review on single sign on enabling technologies and protocols | |
| Morii et al. | Research on integrated authentication using passwordless authentication method | |
| JP4932154B2 (ja) | アイデンティティ管理ネットワークにおいてユーザーの認証をメンバーサイトに与える方法及びシステム、アイデンティティ管理ネットワークに属するホームサイトでユーザーの認証を行う方法、コンピュータ読み取り可能な媒体、ならびに、階層的分散アイデンティティ管理のためのシステム | |
| Berbecaru et al. | On the design, implementation and integration of an Attribute Provider in the Pan-European eID infrastructure | |
| JP2002245008A (ja) | 証明書を用いた権利の検証方法及び装置並びにプログラム及び記録媒体 | |
| CN109905365A (zh) | 一种可分布式部署的单点登录及服务授权系统和方法 | |
| Imbault et al. | Managing authorization grants beyond OAuth 2 | |
| CAMERONI | Providing Login and Wi-Fi Access Services With the eIDAS Network: A Practical Approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |