CN110301127B - 用于预测性令牌验证的装置和方法 - Google Patents

用于预测性令牌验证的装置和方法 Download PDF

Info

Publication number
CN110301127B
CN110301127B CN201880012496.0A CN201880012496A CN110301127B CN 110301127 B CN110301127 B CN 110301127B CN 201880012496 A CN201880012496 A CN 201880012496A CN 110301127 B CN110301127 B CN 110301127B
Authority
CN
China
Prior art keywords
service
user
token
server
usage information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880012496.0A
Other languages
English (en)
Other versions
CN110301127A (zh
Inventor
卡伦·库玛·切努里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN110301127A publication Critical patent/CN110301127A/zh
Application granted granted Critical
Publication of CN110301127B publication Critical patent/CN110301127B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

提供了一种用于预测性令牌验证的装置和方法。在使用时,数据库存储与至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器。在接收至少一个来自所述至少一台服务器上的用户的服务请求之前,访问所述数据库中的所述服务使用信息。此外,根据所述服务使用信息,向所述至少一台服务器发送与所述用户关联的令牌以由至少一台服务器进行验证,使得所述至少一台服务器允许所述用户访问所述至少一个服务,以及响应来自所述用户的所述至少一个服务请求,所述用户具有与所述令牌不同的标识。

Description

用于预测性令牌验证的装置和方法
本申请要求于2017年3月1日递交的发明名称为“用于预测性令牌验证的装置和方法”的第15/446,943号美国非临时专利申请案的在先申请优先权,该在先申请的内容以引入的方式并入本文。
技术领域
本发明涉及用户身份验证系统,尤其涉及令牌验证技术。
背景技术
在云环境中,验证用户的秘密令牌是成功调用云服务的第一步。在使用这类云服务期间,可能有多个用户在给定时间内发出无数请求。在每个请求中,由所述用户传递令牌在所述云服务上进行验证。根据使用的令牌类型和在所述云服务上完成的令牌验证检查的类型,可能对所述云服务产生相当大的性能影响。进而,这又可能会导致网络和处理器出现服务此类重复任务的开销。此外,由于所述云服务存在相应的令牌验证检查,可能会延迟对每个客户端请求的响应。
发明内容
提供一种用于预测性令牌验证的装置。所述装置包括包含指令的非瞬时性存储器以及与所述存储器通信的一个或多个处理器。所述一个或多个处理器执行所述指令:在数据库中存储与至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器。在接收至少一个来自所述至少一台服务器上的用户的服务请求之前,访问所述数据库中的所述服务使用信息。根据所述服务使用信息,向所述至少一台服务器发送与所述用户关联的令牌以由至少一台服务器进行验证,使得所述至少一台服务器允许所述用户访问所述至少一个服务,以及响应来自所述用户的所述至少一个服务请求,所述用户具有与所述令牌不同的标识。
此外,还提供了一种用于预测性令牌验证的计算机实现方法。在使用时,数据库存储与至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器。在接收至少一个来自所述至少一台服务器上的用户的服务请求之前,访问所述数据库中的所述服务使用信息。此外,根据所述服务使用信息,向所述至少一台服务器发送与所述用户关联的令牌以由至少一台服务器进行验证,使得所述至少一台服务器允许所述用户访问所述至少一个服务,以及响应来自所述用户的所述至少一个服务请求,所述用户具有与所述令牌不同的标识。
可选地,在上述任一实施例中,所述标识可包括通用唯一标识(universallyunique idemifier,简称UUID)。
可选地,在上述任一实施例中,所述服务使用信息用于标识所述用户和所述至少一个服务。
可选地,在上述任一实施例中,所述服务使用信息可以标识与所述用户关联的时间和/或位置。
可选地,在上述任一实施例中,根据所述服务使用信息发送所述令牌的条件是:确定所述用户是否以前使用过所述至少一个服务;如果确定所述用户以前使用过所述至少一个服务,则发送所述令牌。
可选地,在上述任一实施例中,根据所述服务使用信息发送所述令牌的条件是:如果确定所述用户以前未使用过所述至少一项服务,则放弃发送所述令牌。
可选地,在上述任一实施例中,根据所述服务使用信息发送所述令牌的条件是:根据所述服务使用信息更改所述令牌的内容。
可选地,在上述任一实施例中,可以接收与至少一个失败的服务请求相关的所述标识,所述服务请求由于缺少令牌验证而失败。可选地,为响应对所述标识的接收,可以将所述至少一个失败的服务请求记录为所述数据库中的服务使用信息。进一步可选地,为响应对所述标识的接收,可以将与所述用户关联的所述令牌向所述至少一台服务器发送,以便由所述至少一台服务器验证。
可选地,在上述任一实施例中,通过自动收集关于所述至少一台服务器托管的所述至少一个服务的所述使用情况的数据,可以为所述数据库填充所述服务使用信息。
可选地,在上述任一实施例中,通过接收关于与一个或多个用户角色相关的由所述至少一台服务器托管的所述至少一个服务的所述使用情况的手动创建的数据,可以为所述数据库填充所述服务使用信息。
可选地,在上述任一实施例中,可以允许对所述至少一个服务进行访问,以响应从所述用户接收的所述至少一个服务请求,而无需等待所述令牌被验证。
提供另一种用于预测性令牌验证的装置。所述装置包括包含指令的非瞬时性存储器以及与所述存储器通信的一个或多个处理器。所述一个或多个处理器执行所述指令:在从带有标识的用户接收至少一个服务请求之前,根据与所述用户对至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器,接收与所述标识不同的令牌。此外,对所述令牌进行验证。但是,验证所述令牌后,从所述用户接收所述至少一个服务请求。允许所述用户访问所述至少一个服务,以响应来自所述用户的所述至少一个服务请求。
此外,还提供了另一种用于预测性令牌验证的计算机实现方法。在从带有标识的用户接收至少一个服务请求之前,根据与所述用户对至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器,接收与所述标识不同的令牌。此外,对所述令牌进行验证。但是,验证所述令牌后,从所述用户接收所述至少一个服务请求。允许所述用户访问所述至少一个服务,以响应来自所述用户的所述至少一个服务请求。
可选地,在上述任一实施例中,可以允许所述访问无需从所述用户接收所述令牌。
可选地,在上述任一实施例中,可以从所述用户接收与所述至少一台服务器托管的另一个服务相关的另一个服务请求。为响应来自所述用户的所述另一个服务请求,可以确定验证所述令牌是否与所述另一个服务相关。如果确定所述令牌验证未与所述另一个服务相关,则可以发送用于请求所述令牌的所述标识,使得所述令牌可以验证。
上述装置和/或方法的上述功能中的一个或多个可提供用于在用户请求访问服务平台的服务之前根据这类访问的预测执行令牌验证的机制。进而,这又可以加速对所述服务平台的服务的访问,否则在缺乏这类功能的系统中会摒弃这类访问。应该注意的是,前述的潜在优点仅出于说明的目的而进行阐述,并且不应被解释为以任何方式进行限制。
附图说明
图1示出了根据一实施例的用于预测性安全令牌验证的系统;
图2示出了根据另一实施例的用于与用户初始访问相关的预测性安全令牌验证的系统;
图3示出了根据另一实施例的用于与IAM模块相关的预测性安全令牌验证的方法;
图4示出了根据另一实施例的用于与服务平台相关的预测性安全令牌验证的方法;
图5示出了根据另一实施例的用于与IAM模块相关的预测性安全令牌验证的方法;
图6示出了根据另一实施例的用于与服务平台相关的预测性安全令牌验证的方法;
图7示出了通过在客户端请求处理之前执行的基于预测的令牌验证在客户端请求和请求服务访问之间节省的时间的示例;
图8示出了根据一实施例的用于预测性安全令牌验证的系统;
图9是根据一实施例的网络架构图;
图10是根据一实施例的示例性处理设备的示图。
具体实施方式
图1示出了根据一实施例的用于预测性安全令牌验证的系统100。如图所示,所述系统100包括身份和访问管理(identity and access management,简称IAM)模块102,所述身份和访问管理模块102与数据库104和服务平台106通信。应注意的是,所述系统100的上述组件之间的通信可以通过任何类型的网络(例如,总线网络、本地网络、远程网络等)提供。
此外,虽然在一个可能的实施例中显示各种组件是独立的和离散的,但在集成了一个或多个(或甚至所有)的情况下,还可以考虑其它可选实施例。为此,所述系统100中所示的每个组件可以包括能够执行以下将要阐述的预期任务的软件和/或硬件的任意组合,这些软件和/或硬件可以与所述系统100的一个或多个其它组件共享底层硬件,也可以不共享底层硬件。所示组件可以使用一个或多个数据通信网络(例如,互联网)彼此通信。现在将针对上述每个组件及其互操作性阐述更多信息。
所述服务平台106可以包括至少一个服务器,所述服务器托管一个或多个服务108。此类服务108的非限制性示例可以包括但不限于控制器服务109,以及其它服务,例如用于计算数据的计算服务、用于通信数据的网络服务、用于处理图像的图像服务、用于存储数据的存储服务、用于为一个或多个上述服务提供增强可用性的集群服务等。进一步显示,所述系统100可以配备缓存111。正如很快会变得显而易见的,此类控制器服务109用于使用存储在所述缓存111中的令牌验证结果控制对所述各种服务108的访问。
所述IAM模块102用于通过将一个或多个令牌和一个或多个标识分配给随后共享的每个用户来注册用户110,这可能是在注册期间使用分配给每个用户110的用户名/密码组合进行身份验证之后。在本说明的上下文中,上述标识可以是与所述令牌不同(至少一个方面)的任何标识。在一个实施例中,上述标识可以包括与所述令牌相比尺寸更小(例如,比特数/字节更少)的任何唯一或伪唯一标识。相反,所述令牌可以包括与上述标识相比大小较大(例如,比特数/字节较多)的任何安全数据结构。
在一些可选实施例中,所述标识可包括通用唯一标识(universally uniqueidentifier,简称UUID)(例如十六个八位组),并且所述令牌可包括以下任意一项或多项:对特定用户唯一的任何唯一标识或数据(例如,UUID等)、密码、加密密钥、生物识别数据(例如,代表用户指纹、视网膜、面部特征或这些特征的组合的数据)、数字签名、用户角色信息、用于基于时间和/或位置限制用户访问的时间和/或位置信息和/或用于促进为验证特定用户而处理所述令牌的代码。此外,在一个可能的实施例中,根据旨在验证的特定服务108,每个令牌可有所不同(例如,在大小和内容等方面)。例如,每个令牌可以仅包括验证相应服务108所需的那些令牌组件(请参见上文示例)。然而,在不同的可选实施例中,此类验证可涉及使用公钥和私钥组合解密令牌、填充和缓存从所述令牌提取的信息和/或对其中存储的令牌和/或信息执行完整性检查中的一项或多项操作。
在一个可能的实施例中,所述标识的大小越小(与所述令牌相比),进行相同通信所需的时间和带宽就越少,从而促进其传输。进一步可选地,这种较小的大小(和较少的内容)进一步支持更快地处理所述标识(与所述令牌相比)。正如很快变得显而易见的,所述系统100利用数据库104的内容来启动令牌验证(比使用标识麻烦),以便在用户实际访问所述服务平台106的一个或多个服务之前验证该用户,使得所述用户110可以使用较小、更容易处理的标识来加速对此类服务的访问。为此,允许所述用户110更快地访问所述服务平台106,同时保持与此类访问相关的足够程度的安全性。
为了支持此功能,所述数据库104用于存储与所述各种用户110使用所述服务108中的至少一种服务相关的服务使用信息。在本说明中,此类服务使用信息可包括标识、包括和/或源自此类使用的任何信息,而这些信息又可以是指对此类服务的任何历史和/或预测的未来访问、所述服务存储的信息和/或由此提供的功能。例如,在一个可能的实施例中,所述服务使用信息可以标识所述用户110中的每个用户(使用用户名、上述标识和/或令牌)和所述至少一个服务(使用命名协议或允许所述用户110跟踪过去和/或未来服务使用情况的任何其它机制)。
此外,在各种实施例中,所述数据库104可以以任何所需方式填充。例如,在一个可能的实施例中,通过自动收集关于所述服务平台106托管的所述服务的所述使用情况的数据,为所述数据库104填充所述服务使用信息。在另一可能的实施例中,通过接收关于与一个或多个用户角色相关的服务使用情况的手动创建的数据,为所述数据库104填充所述服务使用信息。具体而言,管理员可以填充模板(例如,使用标记语言),该模板提供所述服务平台106的所述不同服务108与所述用户110可承担的不同角色之间的映射。通过此设计,所述用户110可以根据这类用户110当前承担或预计承担的角色来验证对不同服务108的访问。
表1说明了根据一个可能的实施例的所述数据库104的简化示例性内容。
表1
角色_1-->服务_1,服务_2
角色_2-->服务_1,服务_3
角色_3-->服务_4,服务_5
在所述系统100的使用过程中,所述IAM模块102通过为这类用户110分配至少一个令牌和标识来注册所述用户110中的一个或多个,并与所述用户110中相应的一个用户共用标识,如操作1所示。此类令牌和标识随后存储在所述IAM模块102的内部存储器中。
如前所述,数据库104用于存储有关所述用户110对所述服务平台106的所述不同服务108的过去和/或未来服务使用情况的服务使用信息。通过查询每个操作2的所述数据库104中的此类服务使用信息,所述IAM模块102预测哪个用户110将使用哪种所述不同服务108,并将此类用户110的所述令牌和标识符发送到所述服务平台106。请参见操作3。作为响应,所述服务平台106使用所述控制器服务109:验证所述令牌,并以链接到所述缓存111中的任何令牌验证结果以及映射到所述相关服务108的方式存储所述标识。在其它实施例中,所述控制器服务109的上述功能可以分布在所述服务108中的任意一个或多个上,使得所述服务108独立地验证所述令牌。
表2说明了所述缓存111的示例内容。
表2UUID_1-->令牌_信息_服务_1、令牌_信息_服务_2
UUID_2-->令牌_信息_服务_1、令牌_信息_服务_3
UUID_3-->令牌_信息_服务_4、令牌_信息_服务_5
操作3至少部分发生在所述相关用户110尝试使用所述IAM模块102在操作1中初始分配的标识访问操作4中的所述不同服务108中的一个或多个服务。此时,所述服务平台106的所述控制器服务109使用所述标识(通过所述缓存111)检查此特定用户是否有权访问所述请求的服务108。如果是,则授予所述特定用户对所述请求的服务108的访问权限,而无需作为运行时间先决条件,为验证目的而要求所述通信和/或处理所述令牌(因为基于所述预测,这种情况已发生,因此必须执行-请参见操作3)。
因此,上述系统100的上述功能中的一个或多个功能提供了一种机制,用于在所述用户110请求通过预先基于此类访问的预测执行令牌验证来访问所述服务平台106的所述服务108之前执行所述令牌验证。进而,这又可以加速对所述服务平台106的所述服务108的访问,否则在缺乏这类功能的系统中会摒弃这类访问。根据用户的需求,现在将阐述关于在各种可选结构和应用中可以或不可以实现所述系统100的更多说明性信息。
例如,根据各种实施例,现在将描述当所述用户110中的一个用户首先访问所述服务平台106的所述服务108时的初始实例以及所述数据库104可以初始填充的方式的更多信息。应该注意的是,下面的信息是为了说明的目的而提出的,不应该被解释为以任何方式进行限制。任何以下特征可以可选地进行合并,不论是否已描述其它特征。
图2示出了根据另一实施例的用于与用户初始访问相关的预测性安全令牌验证的系统200。可选地,所述系统200可以在任何先前的和/或随后的附图和/或其描述中阐述的任何一个或多个实施例的上下文中实现。例如,在一个可能的实施例中,可以使用图1的所述系统100的所述功能中的一个或多个实现所述系统200。但是,应注意的是,所述系统200可以在其它合适的环境中实现。
与图1的所述系统100类似,所述系统200包括与数据库204通信的IAM模块202和服务平台206,所述服务平台206又包括服务108和配备了缓存211的控制器服务209,以允许用户210访问。此外,在填充所述数据库204后,所述系统200允许基于预测的早期令牌验证,以便在请求访问所述服务108中的一个或多个(使用上述标识)时,可以无需其它令牌验证进行访问。请参见操作1-5(类似于图1中的操作1-5,并在此处纳入)。
与图1的所述系统100不同,所述系统200还用于其它操作以适应以下情况:数据库204不必预先填充,用户在初始时间内请求访问所述服务108中的一个或多个(使用上述标识),而不进行令牌验证。在这种情况下,操作5-6继续如下。具体而言,在确定尚未进行与所述请求用户210(以及所述请求的服务208)相关的令牌验证后,为了请求和接收与所述请求用户210关联的令牌,将所述标识发送到所述IAM模块202。请参见操作5。为此,在所述服务平台206上可能会进行令牌验证,所述请求的用户210(如果验证成功)随后可以允许访问所述请求的服务208。
此外,在操作6中,所述请求的访问(来自操作4)记录在所述数据库204中,以便在所述特定用户210和所述请求的服务208之间存在对应关系。因此,如果所述之前的令牌验证(参见操作5)已过期,并且将来需要与此类请求的服务208相关,则所述令牌可以再次(基于预测分析)传送到所述服务平台206的缓存211配备的控制器服务209,以便在未来预测对相同请求的服务208的访问之前预先验证此令牌。现在将根据各种实施例阐述有关所述IAM模块202和所述服务平台206的功能的更多信息。
图3示出了根据另一实施例的用于与IAM模块相关的预测性安全令牌验证的方法300。可选地,所述方法300可以在任何先前的和/或随后的附图和/或其描述中阐述的任何一个或多个实施例的上下文中实现。例如,在一个可能的实施例中,所述方法300可以分别在图1和图2的所述IAM模块102和202的上下文中实现。但是,应注意的是,所述方法300可以在其它合适的环境中实现。
如图所示,在操作302中,服务使用信息存储在至少一个数据库中(例如,分别为图1和图2的所述数据库104和204)。如前所述,这种服务使用信息涉及与服务平台(例如,分别为图1和2的所述服务平台106和206)相关联的至少一个服务器托管的至少一个服务的使用情况。
继续参考图3,在从所述至少一个服务器上的用户接收至少一个请求之前,执行其它操作304-306。具体而言,在操作304中,在所述数据库中访问所述服务使用信息。此外,根据所述服务使用信息,将与所述用户关联的令牌发送到所述服务平台的所述服务器,以便由至少一台服务器进行验证。请参见操作306。
由于所述令牌是预先发送到任何用户请求的,因此此类验证允许所述服务平台的服务器允许所述用户访问所述服务,以响应使用标识(与所述令牌不同)从所述用户接收所述至少一个请求。如前所述,将预验证所述令牌和使用所述配备了轻量级标识的请求相结合,可以更实时地响应所述请求,而不用等待较重量级令牌的通信和/或处理。
如上文结合图2的描述所述,可能根本不存在服务使用信息,或者任何此类服务使用信息可能不一定与用户请求的服务相关。在这种情况下,所述IAM模块和所述服务平台之间可能不会发生早期令牌通信,并且可能会启动进一步的操作以适应这种情况。在一个或多个后续图(例如图5)中所示的不同IAM模块实施例的描述期间,将阐述有关此类可能操作(以及上述预测分析)的更多信息。
图4示出了根据另一实施例的与服务平台相关的预测性安全令牌验证方法400。可选地,所述方法400可以在任何先前的和/或随后的附图和/或其描述中阐述的任何一个或多个实施例的上下文中实现。例如,在一个可能的实施例中,所述方法400可以分别在图1和图2的所述服务平台106和206的上下文中实现。但是,应注意的是,所述方法400可以在其它合适的环境中实现。
如图所示,在操作402中接收令牌。在一个可能的实施例中,所述令牌可以在服务平台(例如,分别为图1和图2的所述服务平台106和206)从IAM模块(例如,分别为图1和图2的所述IAM模块102和202)接收。此外,是否接收到此令牌可以基于与所述服务平台的至少一个服务器托管的至少一个服务的用户使用情况相关的服务使用信息。在一个实施例中,此类服务使用信息可以通过数据库(例如,分别为图1和图2的数据库104和204)访问。具体而言,如果所述IAM模块基于此类服务使用信息预测所述用户将访问所述服务平台的所述服务中的一个或多个,则将传送所述令牌以进行与此类特定用户/服务组合相关的令牌验证。
为响应上述令牌的接收,在操作404中验证此令牌。进一步地,在验证所述令牌后,所述服务平台可以使用与所述令牌不同的标识从所述用户接收至少一个请求。请参见操作406。根据操作408,为响应来自所述用户的至少一个请求,允许所述用户访问所述至少一个服务。
通过该设计,所述服务平台可以允许所述访问操作408,而无需所述服务平台必须从所述用户接收所述令牌,因为此令牌已在较早时从所述IAM模块接收并预验证。如前所述,在操作402中可以不收到所述令牌,并且对操作404的预验证可能并不一定因缺少所需要的预测而发生。有关此类使用案例场景的更多信息将在一个或多个后续图(例如图6)中所示的不同服务平台实施例的描述期间阐明。
图5示出了根据又一实施例的用于与IAM模块相关的预测安全令牌验证的方法500。可选地,所述方法500可以在任何先前的和/或随后的附图和/或其描述中阐述的任何一个或多个实施例的上下文中实现。例如,在一个可能的实施例中,方法500可以分别在图1和图2的所述IAM模块102和202的上下文中实现,并且可以结合图3的所述方法300的一个或多个功能。然而,应当理解的是,所述方法500可以在其它合适的环境中实现。
如图所示,所述方法500从操作502开始,向用户注册用户名和密码,并为该用户生成UUID。在一个实施例中,这可以通过IAM模块(例如,分别为图1和图2的所述IAM模块102和202)实现,所述IAM模块可以与服务平台(例如,分别为图1和图2的所述服务平台106和206)集成,也可以不与服务平台集成。此外,虽然所述用户可以选择所述用户名和密码,但所述IAM模块通过任何随机或伪随机过程生成所述UUID。例如,在一个实施例中,为响应来自所述用户的注册请求,所述UUID可以即时随机生成。在其它实施例中,可以从先前生成的随机UUID列表中选择所述UUID。
注册后,根据操作504,使用所述用户名/密码组合对所述用户进行身份验证。在各种实施例中,此类身份验证可以带内或带外执行。根据决定506进行身份验证后,所述UUID将发送给所述用户。在不同的实施例中,所述UUID可以由其它机制加密或保护。由于所述用户现在配备了所述UUID,用户现在可以请求稍后访问所述服务平台的各种服务。但是,所述方法500继续操作510-520,以允许所述服务平台预先验证所述令牌,从而允许快速访问所请求的服务。
具体而言,在操作510中,查询数据库(例如,分别为图1和图2的所述数据库104和204)以获取服务使用信息。如前所述,这类服务使用信息可以包括用户手头的历史数据,和/或识别通常所述访问服务平台的某些服务的某些用户的角色(例如,管理员,经理,一般用户等)的预测数据。因此,对于后者,可以使用所述用户的当前、常规和/或预测角色来推断应该预先验证哪些服务。进一步可选地,还可以存储与每个用户相关的其它信息,包括但不限于所述用户访问特定服务时的时间和/或位置指示、所述用户访问的服务类型和/或所述用户历史上承担的角色。
然后,在决定512中确定所述数据库中是否存在任何此类命中,以指示所述当前用户可能访问所述服务平台的某些服务。应注意的是,此类“命中”可以以任何期望的方式完成。在一个可能的实施例中,可以确定所述数据库是否指示所述用户已访问过任何服务,在这种情况下,此类服务可以预先验证。
在另一实施例中,阈值可能性可以由所述IAM模块的管理员预先确定(或甚至动态确定),并且可以编译、聚合等任何服务使用信息,以便计算特定可能性,然后可以与所述阈值可能性进行比较。如果达到此阈值,则决定512可以标识“命中”,然后可以预先验证相关服务。
无论如何,在操作514中,将所述令牌发送到所述服务平台由所述服务平台进行验证,以便随后接收的(验证后)服务访问请求可以通过所述UUID进行管理,而不必在接收所述请求和允许访问所述服务之间全部或部分进行验证。在一个实施例中,可以向所述服务平台发送单个令牌,并根据所述服务使用信息指示预验证哪些服务,以便所述服务平台可以跟踪此类指示。在另一个实施例中,可以将多个服务特定令牌传输到所述服务平台,以便通过相应的令牌单独验证每个服务。
因此,所述操作510-514可涉及确定所述用户是否以前使用过所述请求的服务,然后,如果确定所述用户以前使用过所述至少一个服务,则发送所述令牌;或者,如果确定所述用户以前未使用所述至少一个服务,则拒绝发送所述令牌。在后者的情况下,任何后续访问服务的请求都可能导致请求失败,因为尚未进行令牌验证。
在另一些实施例中,可以根据服务使用信息更改所述令牌的内容。例如,如果发送与第一服务相关的令牌(以验证所述用户是否使用此类第一服务),则所述令牌可包括特定于所述第一服务的第一信息。此外,如果发送与第二服务相关的令牌(以验证所述用户是否使用此类第二服务),则所述令牌可包括特定于所述第二服务的第二信息。
如上文关于图2和图3的描述所述,可能不存在服务使用信息,或者任何此类服务使用信息可能不一定与特定请求的服务相关。在这种情况下,在所述IAM模块和所述服务平台之间,为启用预验证可能不会进行早期令牌通信,并且可以启动进一步操作以适应由于缺乏令牌验证而导致请求失败的情况。
具体而言,(从所述用户/在所述服务平台)接收的与上述失败请求相关的UUID可用于在所述IAM模块启动进一步处理。具体而言,在所述服务平台接收所述标识后(以及验证失败后),此类UUID可以从所述服务平台传输到所述IAM模块。为响应根据决定516接收UUID,所述IAM模块根据操作518将所述失败的请求记录为所述数据库中的服务使用信息,并将与所述用户相关的令牌发送到操作520中的所述服务平台的服务器,以便进行验证。因此,出于验证目的,仍然可以允许访问(尽管有延迟)所述用户通过向所述服务平台提供令牌而请求的服务。在图6的描述中,将从所述服务平台的角度阐述有关操作的更多信息。
在其它可能的实施例中,在操作514和/或520中发送的令牌可以在时间段(验证后)方面受到限制,在该时间段期间允许(即验证仍然有效)在特定会话期间访问。此时间段可以是预定的和/或静态的,也可以根据服务使用信息动态确定。例如,通过所述服务使用信息,可以知道特定用户可能只在第一位置的短时间内访问所述服务平台,但在第二位置的较长时间内访问所述服务平台。在某些实施例中,此类时间段限制可与所述令牌一起发送,但也可在所述服务平台上建立和实施(例如,仅通过临时缓存令牌验证结果等)。在任何情况下,所述方法500根据包括不同参数(例如,时间、位置、角色、前面提到的任何那些等)的不同查询来重复操作510-514,以用于发送和重新发送令牌以适应这样的时间段限制。因此,上述时间和位置参数(例如)可用于确定何时将令牌发送到服务平台进行验证,以及何时基于特定服务的明显不使用撤销令牌,或者何时和/或位置不再适用,因为它不反映用户通常使用特定服务的时间和/或地点。
图6示出了根据又一实施例的与服务平台相关的预测性安全令牌验证方法600。可选地,所述方法600可以在任何先前的和/或随后的附图和/或其描述中阐述的任何一个或多个实施例的上下文中实现。例如,在一个可能的实施例中,所述方法600可以分别在图1和图2的所述服务平台106和206的上下文中实现,并且可以结合图4的所述方法400的一个或多个功能。然而,应当理解的是,所述方法600可以在其它合适的环境中实现。
如图所示,根据决定601,确定是否在服务平台(例如,分别为图1和图2的所述服务平台106和206)从IAM模块(例如,分别为图1和图2的所述IAM模块102和202)接收令牌。在不同的实施例中,此类令牌可以主动请求或被动接收。此外,在一个可能的实施例中,此类令牌可以附有所述服务平台提供的一个或多个特定服务的指示。
所述令牌收到后,可以在操作602中验证。此外,在一些实施例中,此类验证可指定仅用于所述服务平台提供的完成服务集合中的子集。如后续明确所述,在所述服务平台接收任何用户服务请求之前可以进行此类验证,从而允许操作602在剩余操作之前进行。
特别地,根据决定603,确定所述服务平台是否接收到用户的服务请求。此类服务请求至少附有UUID和/或用户名(在所述请求用户处注册)以及所述服务平台提供的至少一个服务指示。在已经从所述1AM模块传送令牌进行验证的情况下(例如,参见操作601-602),可以在决定604中确定该令牌,从而允许按照操作605加速访问所述请求的服务。在各种实施例中,所述用户由此获得对所请求的服务的访问,而无需等待令牌验证,从而可以实时、接近实时、立即和/或可能以具有更少的中间操作或甚至没有中间操作(除了验证所述UUID和/或用户名)进行这类访问。在这种情况下,传输层安全(transport layer security,简称TLS)可用于信道级安全和补救,免于基于中间人(man-in-the-middle,简称MITM)的攻击。
如上文结合图2和图3的描述以及图5的操作518-520所述,所述IAM模块和所述服务平台之间可能不会发生早期令牌通信,以便能够根据操作601-605对所述服务请求进行验证。此外,如前所述,出于安全原因,所述允许的访问操作605可以在预定时间后超时,因此需要更新令牌验证。在任何此类情况下,可以启动进一步的操作,以适应这种请求失败的情况(即在决定604中的否定决定)。
具体而言,随所述服务请求接收的UUID可以从所述服务平台转发到操作606中的所述IAM模块,以便在所述IAM模块启动进一步的处理,从而可以从所述IAM模块向所述服务平台发布令牌,以便进行与所述服务请求相关的验证。因此,根据决定608等待对操作606的响应。如果未收到令牌,则通过操作610向用户报告错误。另一方面,在收到所述令牌后,可以根据操作609进行与相应服务相关的令牌验证,从而允许所述请求用户访问此类服务。再次参见操作605。因此,出于验证目的,仍然可以允许访问(尽管有延迟)所述用户通过向所述服务平台提供令牌而请求的服务。
因此,无论不同服务是否具有与其关联的令牌,所述方法600都可以适应相应的情况。此外,在某些情况下,每种此类情况都可以用于提供对所述请求的服务的更快访问,在其它情况下,还可以通过令牌验证(和更慢的服务访问)机制,为后续请求提供更快的访问。图7示出了通过在客户端请求处理708之前执行的基于预测的令牌验证706在客户端请求702和请求服务704访问之间节省的时间701的示例700。
图8示出了根据一实施例的用于预测性安全令牌验证的系统800。可选地,所述系统800可以使用任何先前的和/或随后的附图和/或其描述中阐述的任何一个或多个实施例的任何一个或多个特征实现。但是,应注意的是,所述系统800可以在其它合适的环境中实现。
如图所示,提供了存储模块802形式的存储装置,用于存储与至少一个服务器托管的至少一个服务的使用相关的服务使用信息。在各种实施例中,所述存储模块802可分别包括但不限于图1和图2的数据库104和204、存储器(将在后面描述)以及控制其的任何软件和/或能够实现上述功能的任何其它电路。
还包括一种IAM装置,其形式为IAM模块804,与所述存储模块802通信,用于:实现存储所述服务使用信息;并且,在从用户接收至少一个请求之前:访问所述存储模块802中的服务使用信息,并基于所述服务使用信息,向至少一个服务器发送与所述用户相关联的令牌以进行验证,使得所述至少一个服务器允许所述用户访问所述至少一个服务,以响应从所述用户接收的所述至少一个请求,所述至少一个请求的标识符与所述令牌不同(例如,参见图3的方法300)。在各种实施例中,所述IAM模块804可分别包括但不限于图1和图2的所述IAM模块102和202、至少一个处理器(将在后面描述)以及控制其的任何软件和/或能够实现上述功能的任何其它电路。
继续参考图8,服务模块806形式的服务装置与所述IAM模块804通信,用于基于与至少一个服务器托管的至少一个服务的用户使用情况相关的服务使用信息接收令牌;验证所述令牌;在验证所述令牌之后,使用与所述令牌不同的标识从所述用户接收至少一个请求;并允许所述用户访问至少一个服务,以响应来自所述用户的所述至少一项请求(例如,参见图4的所述方法400)。在各种实施例中,所述服务模块806可分别包括但不限于图1和图2的所述服务平台106和206、至少一个处理器(将在后面描述)以及控制其的任何软件和/或能够实现上述功能的任何其它电路。
图9是根据一实施例的网络架构900的示图。如图所示,提供至少一个网络902。在各种实施例中,可以结合至少一个网络902的任何一个或多个组件来实现在描述之前的任何图时所阐述的任何一个或多个组件/特征。
在本网络架构900的上下文中,所述网络902可以采取任何形式,包括但不限于电信网络、局域网(local area network,简称LAN)、无线网络、广域网(wide area network,简称WAN),例如互联网、对等网络,有线网络等。虽然仅示出了一个网络,但是应该理解的是,可以提供两个或更多类似或不同的网络902。
有多个设备耦合到所述网络902。例如,服务器912和计算机908可以耦合到所述网络902以进行通信。这种计算机908可以包括台式计算机、笔记本电脑和/或任何其它类型的逻辑。此外,各种其它设备可以耦合到网络902,包括个人数字助理(personal digitalassistant,简称PDA)设备910、移动电话设备906、电视904等。
图10是根据一实施例的示例性处理设备1000的示图。可选地,所述处理设备1000可以在图9的所述网络架构900的任何设备的上下文中实现。然而,应当理解的是,所述处理设备1000可以在任何期望的环境中实现。
如图所示,所述处理设备1000包括连接到总线1012的至少一个处理器1002。所述处理设备1000还包括存储器1004[例如硬盘驱动器、固态驱动器、随机存取存储器(randomaccess memory,简称RAM)等。]耦合到所述总线1012。所述存储器1004可以包括一个或多个存储器组件,甚至可以包括不同类型的存储器。
进一步包括通信接口1008(如本地/远程网络接口、存储器访问接口等)和输入/输出(input/output,简称I/O)接口1010(例如,显示器、扬声器、麦克风、触摸屏、触摸板、鼠标接口等)。
所述处理设备1000还可以包括辅助存储1006。所述辅助存储1006耦合到所述总线1012和/或所述处理设备1000的其它组件。所述辅助存储1006可以包括例如硬盘驱动器和/或可移动存储驱动器,比如软盘驱动器、磁带驱动器和光盘驱动器等。移动存储驱动器以众所周知的方式从可移动存储单元读取和/或向可移动存储单元写入。
就此而言,计算机程序或计算机控制逻辑算法可以存储于所述存储器1004、所述辅助存储1006和/或任何其它存储器。这种计算机程序执行时使所述处理设备1000能够执行各种功能(例如,如上所述)。存储器1004、辅助存储器1006和/或任何其它存储器包含非瞬时性计算机可读介质。
在一个实施例中,所述至少一个处理器1002执行所述存储器1004或所述辅助存储器1006中的指令,以将与至少一个服务器托管的至少一个服务的使用相关的服务使用信息存储在数据库中。在接收至少一个来自所述至少一台服务器上的用户的服务请求之前,访问所述数据库中的所述服务使用信息。根据所述服务使用信息,向所述至少一台服务器发送与所述用户关联的令牌以由至少一台服务器进行验证,使得所述至少一台服务器允许所述用户访问所述至少一个服务,以及响应来自所述用户的所述至少一个服务请求,所述用户具有与所述令牌不同的标识。
在一些实施例中,所述标识可以包括通用唯一标识符(universally uniqueidentifier,简称UUID)。
在一些实施例中,所述服务使用信息可以标识所述用户和所述至少一个服务。
在一些实施例中,所述服务使用信息可以标识与所述用户相关联的时间和/或位置。
在一些实施例中,所述令牌可以基于所述服务使用信息发送的条件是:确定所述用户是否以前使用过所述至少一个服务;如果确定所述用户以前使用过所述至少一个服务,则发送所述令牌。
在一些实施例中,所述令牌可以基于所述服务使用信息发送的条件是:如果确定所述用户以前未使用过所述至少一项服务,则放弃发送所述令牌。
在一些实施例中,所述令牌可以基于所述服务使用信息发送的条件是:根据所述服务使用信息更改所述令牌的内容。
在一些实施例中,可以接收与至少一个由于缺乏令牌验证而失败的服务请求有关的标识。可选地,为响应对所述标识的接收,可以将所述至少一个失败的服务请求记录为所述数据库中的服务使用信息。进一步可选地,为响应对所述标识的接收,可以将与所述用户关联的所述令牌向所述至少一台服务器发送,以便由所述至少一台服务器验证。
在一些实施例中,通过自动收集关于所述至少一台服务器托管的所述至少一个服务的所述使用情况的数据,可以为所述数据库填充所述服务使用信息。
在某些实施例中,通过接收关于与一个或多个用户角色相关的由所述至少一台服务器托管的所述至少一个服务的所述使用情况的手动创建的数据,可以为所述数据库填充所述服务使用信息。
在某些实施例中,可以允许对所述至少一个服务进行访问,以响应从所述用户接收的所述至少一个服务请求,而无需等待所述令牌被验证。
在另一实施例中,所述至少一个处理器1002执行在所述存储器1004或所述辅助存储器1006中的指令,以在从带有标识的用户接收至少一个服务请求之前,根据与所述用户对至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器,接收与所述标识不同的令牌。此外,对所述令牌进行验证。但是,验证所述令牌后,从所述用户接收所述至少一个服务请求。允许所述用户访问所述至少一个服务,以响应来自所述用户的所述至少一个服务请求。
在一些实施例中,可以允许所述访问无需从所述用户接收所述令牌。
在某些实施例中,可以从所述用户接收与所述至少一台服务器托管的另一个服务相关的另一个服务请求。为响应来自所述用户的所述另一个服务请求,可以确定验证所述令牌是否与所述另一个服务相关。如果确定所述令牌验证未与所述另一个服务相关,则可以发送用于请求所述令牌的所述标识,使得所述令牌可以验证。
应当注意的是,在一个方面中,此处描述的技术在存储在计算机可读介质中的可执行指令中体现,以供指令执行机器、装置或设备使用或与其结合使用,例如,基于计算机的或包括处理器的机器、装置或设备。本领域技术人员将认识到,对于一些实施例,包括其它类型的计算机可读介质,可存储计算机可访问的数据,比如磁带盒、闪存卡、数字视频光盘、伯努利盒、随机存取存储器(random access memory,简称RAM)和只读存储器(read-only memory,简称ROM)等。
此处所述的“计算机可读介质”包括用于存储计算机程序的可执行指令的任何合适介质中的一个或多个,使得指令执行机器、系统、装置或设备可以读取(或取出)来自计算机可读介质的指令并执行用于执行所述方法的指令。合适的存储格式包含电子、磁性、光和电磁格式中的一个或多个。常规示例性计算机可读介质的非详尽列表包括:诸如便携式计算机磁盘、RAM、ROM、可擦除可编程只读存储器(EPROM或闪存)以及光存储设备,其中包括便携式光盘(compact disc,简称CD)、便携式数字视频光盘(digital video disc,简称DVD)、高清晰度DVD(high definition DVD,简称HD-DVDTM)和蓝光光碟。
非瞬时性计算机可读介质包括所有类型的计算机可读介质,包括磁存储介质、光存储介质和固态存储介质,并且具体不包括信号。应当理解的是,软件可以安装在此处描述的设备上并可以随此处描述的设备一同出售。或者,可以获取软件并加载到设备中,包括通过光盘介质或以网络或分发系统的任何方式获取软件,例如,包括从软件开发者所有的服务器或从非软件开发者所有但为其所用的服务器获取软件。例如,该软件可以存储在服务器上以便通过因特网分发。
应理解,所描述的图中示出的组件的布置是示例性的,并且可能有其它布置。还应理解,由权利要求书界定的、下文描述的并且在各种框图中所说明的各种系统组件表示根据本文中所公开的主题配置的一些系统中的逻辑组件。
例如,这些系统组件中的一个或多个可以整体或部分地通过所描述的图中示出的布置中示出的至少部分组件实现。另外,尽管这些组件中的至少一个至少部分地实现于电子硬件组件并因此构成机器,但是其它组件可以实现于软件,当包含于执行环境中时所述组件构成机器、硬件或软件和硬件的组合。
更具体地,由权利要求书界定的至少一个组件至少部分实现于电子硬件组件,例如指令执行机器(例如,基于处理器的或包含处理器的机器),和/或实现于专用电路或电路系统(例如,互连以执行专用功能的离散逻辑门)。其它组件可以实现于软件、硬件或软件和硬件的组合中。此外,可以组合这些其它组件中的一些或全部组件,可以完全省略一些组件并且可以添加其它组件,同时仍实现本文中描述的功能。因此,本文中描述的主题可以许多不同变化形式体现,且所有此类变化形式涵盖在权利要求书的范围内。
在以上描述中,除非另外指明,否则参考动作和由一个或多个设备执行的操作的符号表示来描述主题。因而,应理解,有时被称为计算机执行动作和操作的此类动作和操作包含构造形式的数据处理器的操作。这种操作对数据进行变换或将该数据保持在计算机的内存系统中各个位置,以本领域技术人员容易理解的方式重新配置或改变设备的操作。数据作为数据结构保存在内存的物理位置处,数据结构具有由数据格式限定的特定性质。然而,虽然在前文上下文中描述了主题,但这并不表示对所述主题的限制,因为所属领域的技术人员将了解,下文中描述的各种动作和操作也可以实施于硬件中。
为了促进对本文中描述的主题的理解,根据动作顺序描述许多方面。由权利要求限定的这些方面中的至少一个方面由电子硬件组件执行。例如,将认识到,可通过专用电路或电路系统,通过正由一个或多个处理器执行的程序指令或通过这两者的组合执行各个动作。本文中对任何动作顺序的描述并不意图暗示必须遵循用于执行此顺序而描述的特定次序。本文所描述的所有方法可以以任何适当的次序来执行,除非本文中另有说明或上下文另有清楚否定。
在描述主题(特别是在下面的权利要求的上下文中)中使用术语“一”,“一个”和“所述”以及类似的指示物将被解释为涵盖单数和复数,除非本文另有说明或与上下文明显矛盾。在此引证数值的范围仅旨在用作单独地提及每个单独的数值落在所述范围内描述的方法,除非在此另有说明,并且每个单独的数值并入到本说明书中就像它被单独地在此引证一样。此外,上述描述仅出于说明的目的,而不是出于限制的目的,寻求保护的范围由附属权利要求及其任何等效物来限定。本文提供的任何和所有示例或示例性语言(例如,“比如”)的使用仅旨在更好地说明主题,并且不会对主题的范围提出限制,除非另有声明。使用术语“基于”和其它类似短语指示在附属权利要求和书面描述中产生结果的条件,并不旨在排除产生所述结果的其它条件。本说明书中的任何语言都不应理解为指示实践本实施例所必需的任何非声明的要素。
本文中描述的实施例包含发明人实施所要求的主题已知的一个或多个模式。应理解,所属领域的一般技术人员读了上述描述将明显了解上述实施例的变化形式。本发明人期望熟练的业内人士适当时采用此类变化,并且本发明人想以不同于本文中特定描述的其它方式来实践本发明所主张的主题。因此,所主张的主题包含可适用法律所准许的在附属权利要求中叙述的主题的所有变化和等效物。此外,除非本文另外指示或以其它方式明确指出与内容相矛盾,否则本发明涵盖上述要素以其所有可能的变化形式的任何组合。

Claims (21)

1.一种处理设备,其特征在于,包括:
非瞬时性存储器,包含指令;
一个或多个处理器,与所述存储器通信,其中所述一个或多个处理器执行以下指令:
在数据库中存储与至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器;
在接收至少一个来自所述至少一台服务器上的用户的服务请求之前:
访问所述数据库中的所述服务使用信息,以及
根据所述服务使用信息,向所述至少一台服务器发送与所述用户关联的令牌以便至少一台服务器验证,以使得所述至少一台服务器允许所述用户访问所述至少一个服务,以及响应来自所述用户的所述至少一个服务请求,所述用户具有与所述令牌不同的标识;
允许对所述至少一个服务进行访问,以响应从所述用户接收的所述至少一个服务请求,而无需等待所述令牌被验证。
2.根据权利要求1所述的处理设备,其特征在于,所述标识包括通用唯一标识(universally unique identifier,简称UUID)。
3.根据权利要求1所述的处理设备,其特征在于,所述服务使用信息用于标识所述用户和所述至少一个服务。
4.根据权利要求1所述的处理设备,其特征在于,所述服务使用信息用于标识与所述用户关联的时间。
5.根据权利要求1所述的处理设备,其特征在于,所述服务使用信息用于标识与所述用户关联的位置。
6.根据权利要求1所述的处理设备,其特征在于,根据所述服务使用信息发送所述令牌的条件是:
确定所述用户是否以前使用过所述至少一个服务;
如果确定所述用户以前使用过所述至少一个服务,则发送所述令牌。
7.根据权利要求6所述的处理设备,其特征在于,根据所述服务使用信息发送所述令牌的条件是:
如果确定所述用户以前未使用过所述至少一项服务,则放弃发送所述令牌。
8.根据权利要求1所述的处理设备,其特征在于,根据所述服务使用信息发送所述令牌的条件是:
根据所述服务使用信息更改所述令牌的内容。
9.根据权利要求1所述的处理设备,其特征在于,所述一个或多个处理器执行以下指令:接收与至少一个失败的服务请求相关的所述标识,所述服务请求由于缺少令牌验证而失败。
10.根据权利要求9所述的处理设备,其特征在于,所述一个或多个处理器执行以下指令:为响应对所述标识的接收,将所述至少一个失败的服务请求记录为所述数据库中的服务使用信息。
11.根据权利要求9所述的处理设备,其特征在于,所述一个或多个处理器执行以下指令:为响应对所述标识的接收,将与所述用户关联的所述令牌向所述至少一台服务器发送,以便由所述至少一台服务器验证。
12.根据权利要求1所述的处理设备,其特征在于,通过自动收集关于所述至少一台服务器托管的所述至少一个服务的所述使用情况的数据,为所述数据库填充所述服务使用信息。
13.根据权利要求1所述的处理设备,其特征在于,通过接收由所述至少一台服务器托管的所述至少一个服务的所述使用情况的手动创建的数据,为所述数据库填充所述服务使用信息,所述数据与一个或多个用户角色相关。
14.一种计算机实现方法,其特征在于,包括:
在数据库中存储与至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器;
在接收至少一个来自所述至少一台服务器上的用户的服务请求之前:
访问所述数据库中的所述服务使用信息,以及
根据所述服务使用信息,向所述至少一台服务器发送与所述用户关联的令牌以便至少一台服务器验证,以使得所述至少一台服务器允许所述用户访问所述至少一个服务,以及响应来自所述用户的所述至少一个服务请求,所述用户具有与所述令牌不同的标识。
15.一种处理设备,其特征在于,包括:
非瞬时性存储器,包含指令;
一个或多个处理器,与所述存储器通信,其中所述一个或多个处理器执行以下指令:
在从带有标识的用户接收至少一个服务请求之前,根据与所述用户对至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器,接收与所述标识不同的令牌;
验证所述令牌;
验证所述令牌后,从所述用户接收所述至少一个服务请求;
允许所述用户访问所述至少一个服务,以响应来自所述用户的所述至少一个服务请求;
允许所述访问无需从所述用户接收所述令牌。
16.根据权利要求15所述的处理设备,其特征在于,所述标识包括通用唯一标识(universally unique identifier,简称UUID)。
17.根据权利要求15所述的处理设备,其特征在于,所述服务使用信息用于标识所述用户和所述至少一个服务。
18.根据权利要求15所述的处理设备,其特征在于,所述服务使用信息用于标识与所述用户关联的时间。
19.根据权利要求15所述的处理设备,其特征在于,所述服务使用信息用于标识与所述用户关联的位置。
20.根据权利要求15所述的处理设备,其特征在于,所述一个或多个处理器执行以下指令:从所述用户接收与所述至少一台服务器托管的另一个服务相关的另一个服务请求;
为响应来自所述用户的所述另一个服务请求,确定验证所述令牌是否与所述另一个服务相关;
如果确定所述令牌验证未与所述另一个服务相关,则发送用于请求所述令牌的所述标识,使得所述令牌可以验证。
21.一种计算机实现方法,其特征在于,包括:
在从带有标识的用户接收至少一个服务请求之前,根据与所述用户对应的 至少一个服务的使用情况相关的服务使用信息,所述至少一个服务托管于至少一台服务器,接收与所述标识不同的令牌;
验证所述令牌;
验证所述令牌后,从所述用户接收所述至少一个服务请求;
允许所述用户访问所述至少一个服务,以响应来自所述用户的所述至少一个服务请求。
CN201880012496.0A 2017-03-01 2018-02-27 用于预测性令牌验证的装置和方法 Active CN110301127B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/446,943 2017-03-01
US15/446,943 US10693867B2 (en) 2017-03-01 2017-03-01 Apparatus and method for predictive token validation
PCT/CN2018/077371 WO2018157784A1 (en) 2017-03-01 2018-02-27 Apparatus and method for predictive token validation

Publications (2)

Publication Number Publication Date
CN110301127A CN110301127A (zh) 2019-10-01
CN110301127B true CN110301127B (zh) 2021-02-12

Family

ID=63355985

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880012496.0A Active CN110301127B (zh) 2017-03-01 2018-02-27 用于预测性令牌验证的装置和方法

Country Status (4)

Country Link
US (2) US10693867B2 (zh)
EP (3) EP3958150B1 (zh)
CN (1) CN110301127B (zh)
WO (1) WO2018157784A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10693867B2 (en) 2017-03-01 2020-06-23 Futurewei Technologies, Inc. Apparatus and method for predictive token validation
US11580058B1 (en) 2021-08-30 2023-02-14 International Business Machines Corporation Hierarchical ring-based interconnection network for symmetric multiprocessors
US11843546B1 (en) * 2023-01-17 2023-12-12 Capital One Services, Llc Determining resource usage metrics for cloud computing systems

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140282993A1 (en) * 2013-03-14 2014-09-18 Brivo Systems, Inc. System and Method for Physical Access Control
US20150074407A1 (en) * 2013-09-09 2015-03-12 Layer, Inc. Federated authentication of client computers in networked data communications services callable by applications
US20150089623A1 (en) * 2011-09-29 2015-03-26 Oracle International Corporation Service profile-specific token attributes and resource server token attribute overriding
US9038134B1 (en) * 2012-12-31 2015-05-19 Emc Corporation Managing predictions in data security systems
CN105229633A (zh) * 2013-03-13 2016-01-06 萨勒斯福斯通讯有限公司 用于实现数据上传、处理和预测查询api公开的系统、方法和装置
CN105871854A (zh) * 2016-04-11 2016-08-17 浙江工业大学 基于动态授权机制的自适应云访问控制方法
US9461980B1 (en) * 2014-03-28 2016-10-04 Juniper Networks, Inc. Predictive prefetching of attribute information

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080275993A1 (en) * 2007-03-21 2008-11-06 Microsoft Corporation Web service for user and subscription data storage
CN103595809A (zh) 2013-11-22 2014-02-19 乐视致新电子科技(天津)有限公司 智能电视中的账户信息管理方法及装置
US20160191512A1 (en) * 2014-12-27 2016-06-30 Mcafee, Inc. Predictive user authentication
US9717003B2 (en) * 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials
US20170111345A1 (en) * 2015-10-16 2017-04-20 Bank Of America Corporation Tokenization of sensitive personal data for use in transactions
US10693867B2 (en) 2017-03-01 2020-06-23 Futurewei Technologies, Inc. Apparatus and method for predictive token validation

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150089623A1 (en) * 2011-09-29 2015-03-26 Oracle International Corporation Service profile-specific token attributes and resource server token attribute overriding
US9038134B1 (en) * 2012-12-31 2015-05-19 Emc Corporation Managing predictions in data security systems
CN105229633A (zh) * 2013-03-13 2016-01-06 萨勒斯福斯通讯有限公司 用于实现数据上传、处理和预测查询api公开的系统、方法和装置
US20140282993A1 (en) * 2013-03-14 2014-09-18 Brivo Systems, Inc. System and Method for Physical Access Control
US20150074407A1 (en) * 2013-09-09 2015-03-12 Layer, Inc. Federated authentication of client computers in networked data communications services callable by applications
US9461980B1 (en) * 2014-03-28 2016-10-04 Juniper Networks, Inc. Predictive prefetching of attribute information
CN105871854A (zh) * 2016-04-11 2016-08-17 浙江工业大学 基于动态授权机制的自适应云访问控制方法

Also Published As

Publication number Publication date
US20200296083A1 (en) 2020-09-17
US11310216B2 (en) 2022-04-19
US10693867B2 (en) 2020-06-23
EP3577884B1 (en) 2021-11-03
EP3958150B1 (en) 2024-05-15
WO2018157784A1 (en) 2018-09-07
CN110301127A (zh) 2019-10-01
EP4407935A3 (en) 2024-10-23
EP3958150A1 (en) 2022-02-23
EP3577884A4 (en) 2020-01-22
EP4407935A2 (en) 2024-07-31
EP3577884A1 (en) 2019-12-11
US20180255040A1 (en) 2018-09-06

Similar Documents

Publication Publication Date Title
US9712565B2 (en) System and method to provide server control for access to mobile client data
US9491182B2 (en) Methods and systems for secure internet access and services
US8141138B2 (en) Auditing correlated events using a secure web single sign-on login
US9047458B2 (en) Network access protection
US20160197919A1 (en) Real identity authentication
US8131997B2 (en) Method of mutually authenticating between software mobility device and local host and a method of forming input/output (I/O) channel
US9225744B1 (en) Constrained credentialed impersonation
US11310216B2 (en) Apparatus and method for predictive token validation
US9990505B2 (en) Temporally isolating data accessed by a computing device
US11146552B1 (en) Decentralized application authentication
US20150188916A1 (en) Vpn connection authentication system, user terminal, authentication server, biometric authentication result evidence information verification server, vpn connection server, and computer program product
US11418488B2 (en) Dynamic variance mechanism for securing enterprise resources using a virtual private network
US20220232004A1 (en) Virtual session access management
US20220100862A1 (en) Boot-specific key access in a virtual device platform
US20150143499A1 (en) Single sign-on for disparate servers
JP6341031B2 (ja) アクセス制御プログラム、アクセス制御方法及び情報処理装置
US20230421562A1 (en) Method and system for protection of cloud-based infrastructure
CN114626034A (zh) 一种内存访问方法、装置、设备及存储介质
US9363274B2 (en) Methods and systems for broadcasting pictures
US20230412588A1 (en) Detecting credentials abuse of cloud compute services
CN118573386A (zh) 基于分布式集群的权限操作方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant