CN110447033B - 基于客户访问限制的认证 - Google Patents
基于客户访问限制的认证 Download PDFInfo
- Publication number
- CN110447033B CN110447033B CN201880019577.3A CN201880019577A CN110447033B CN 110447033 B CN110447033 B CN 110447033B CN 201880019577 A CN201880019577 A CN 201880019577A CN 110447033 B CN110447033 B CN 110447033B
- Authority
- CN
- China
- Prior art keywords
- credential
- file system
- identity
- declared
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
描述了实现对分布式文件系统的访问控制的系统、计算机程序产品和方法。文件系统执行点通过认证从客户端提交请求的任务的所声明的身份来保护HDFS免受未授权访问。在接收到请求之后,文件系统执行点向客户端提交请求任务提供所声明的身份的凭证的挑战。该任务提交凭证。在客户端上,每个任务都具有对任务的真实身份的凭证访问权。因此,在任务提交与任务的真实身份不同的所声明的身份的情况下,任务不能响应于挑战而提交正确的凭证。文件系统执行点使用所提交的凭证来对所声明的身份进行认证。文件系统执行点允许客户端仅在成功认证时才能访问HDFS。
Description
相关申请的交叉引用
本申请是临时申请,并且要求于2017年2月10日提交的美国临时专利申请号62/457,772和于2017年7月21日提交的美国实用申请号15/657,033的优先权,这两个申请的全部内容通过引用并入本文。
背景技术
是一种被配置为使用分布式计算框架来存储和处理数据的系统。在Apache Hadoop中,文件可以被存储在Hadoop分布式文件系统(HDFS)中。HDFS是一种可以部署在多个现成的计算机上的分布式文件系统。计算机被指定为在一个或多个集群中组织的节点。HDFS集群中的节点包括名称节点和多个数据节点。数据节点被配置为服务于来自HDFS集群的客户端的读取和写入请求。名称节点被配置为管理集群,包括控制客户端对数据节点上的文件的访问。
HDFS集群的安全治理可以包括认证和授权。认证可以包括确定向HDFS集群提交请求的用户是否是用户所声称的用户。授权可以包括确定经过认证的用户可以在HDFS集群中执行的哪些操作。
发明内容
通常,本说明书涉及数据安全性和访问控制。
描述了实现对分布式文件系统的访问控制的系统、计算机程序产品和方法。文件系统执行点通过认证从客户端提交请求的任务的所声明的身份来保护HDFS免受未授权访问。在接收到请求之后,文件系统执行点向客户端提交请求任务提供所声明的身份的凭证的挑战。该任务提交凭证。在客户端上,每个任务都具有对任务的真实身份的凭证的访问权。因此,在任务提交与任务的真实身份不同的所声称的身份的情况下,任务不能响应于挑战而提交正确的凭证。文件系统执行点使用所提交的凭证来对所声明的身份进行认证。文件系统执行点允许客户端仅在成功认证时才能访问HDFS。
本说明书中描述的主题内容的特定实施例可以被实施以实现以下示例优点中的一个或多个优点。常规情况下,认证访问HDFS的请求可能太弱或太复杂。所公开的技术使用客户端系统的固有安全性措施来提供简单且有效的认证。因此,不需要可能增加复杂性的外部附加认证。
所公开的技术可以使用基于Linux的安全性来硬化分布式文件系统。因此,所公开的技术使得对分布式文件系统的攻击无法实现。
在附图和以下描述中阐述了本说明书的主题内容的一个或多个实施例的细节。根据本说明书、附图和权利要求,主题内容的其他特征、方面和优点将变得很清楚。
附图说明
图1是图示示例分布式文件系统的常规数据访问控制技术的框图。
图2是图示基于客户端访问限制的认证的示例数据访问控制技术的框图。
图3是图示示例文件系统客户端的框图。
图4是基于客户端访问限制的认证的示例过程的流程图。
各个附图中的相同的附图标记和名称指示相同的元件。
具体实施方式
图1是图示示例分布式文件系统102的常规数据访问控制的框图。分布式文件系统102可以是HDFS。分布式文件系统102包括管理数据存储装置的多个计算机。计算机被指定为组织成集群的节点。分布式文件系统102包括名称节点104、第一数据节点108和第二数据节点110。名称节点104与存储系统信息的元数据存储装置112相关联。数据节点108和110分别与第一数据存储装置114和第二数据存储装置116相关联。数据存储装置114和116存储数据。
文件系统客户端118被配置为访问存储在数据存储装置114和116中的数据。文件系统客户端118可以包括一个或多个计算机,该一个或多个计算机被配置为Hadoop系统中的计算节点,该Hadoop系统执行映射阶段或减少数据处理的阶段。文件系统客户端118向分布式文件系统102提交请求。该请求与所声明的身份(例如用户Alice)相关联。
名称节点104接收请求并且认证所声明的身份。名称节点104可以使用的一些示例认证技术包括简单认证和Kerberos认证。在简单认证中,名称节点104信任所声明的身份。由简单认证提供的保护级别很低。在Kerberos认证中,名称节点104基于与请求相关联的票据来认证所声明的身份。文件系统客户端118可以在向认证服务器认证自身时从认证服务器获得票据。Kerberos认证设置可能很复杂。
在认证之后,名称节点104将数据节点信息提供给文件系统客户端118。数据节点信息可以包括例如对数据节点108和110的引用,数据节点108和110存储有所请求的数据。文件系统客户端118可以根据数据访问信息来访问数据。
图2是图示基于客户端访问限制的认证的示例数据访问控制技术的框图。作为分布式文件系统102的客户端的文件系统客户端202向分布式文件系统102提交访问存储在分布式文件系统102上的数据的请求204。请求204与所声明的身份(例如用户Alice)相关联。
文件系统执行点206充当在文件系统客户端202与分布式文件系统102之间的中介。文件系统执行点206包括一个或多个计算机,该一个或多个计算机被配置为执行除由分布式文件系统102的名称节点104执行的简单和/或Kerberos认证之外或者代替由分布式文件系统102的名称节点104执行的简单和/或Kerberos认证的基于客户端访问限制的认证。
文件系统执行点206接收请求204,并且向文件系统客户端202发出挑战208。挑战208可以是安全的HTTP请求。挑战208请求文件系统客户端202提供与与请求204相关联的所声明的身份相对应的凭证。文件系统执行点206信任文件系统客户端202能够提供仅与真实身份相关联的凭证。例如,当所声明的身份是Alice时,挑战208请求文件系统客户端202提供与Alice相关联的凭证。文件系统执行点206信任文件系统客户端202不提供不同用户Bob的凭证。
文件系统执行点206接收来自文件系统客户端202的响应于挑战208的凭证。然后,文件系统执行点206通过验证凭证确实对应于所声明的身份Alice来认证所声明的身份Alice。在成功认证之后,文件系统执行点206将请求204转发到名称节点104。名称节点104直接或通过文件系统执行点206向文件系统客户端202提供数据节点信息。文件系统客户端202然后可以使用数据节点信息直接或通过附加认证来通过文件系统执行点206访问数据。
在所示示例中,文件系统执行点206在分布式文件系统102之外实现。在各种实施方式中,文件系统执行点206可以并入分布式文件系统102中。
图3是图示示例文件系统客户端202的框图。文件系统客户端202包括一个或多个计算机。文件系统客户端202可以是Hadoop系统中的计算节点。文件系统客户端202包括用户凭证存储库302或与其通信。用户凭证存储库302存储可以用于认证用户的用户凭证,例如加密的密码或其他秘密。在所示示例中,用户凭证存储库302存储第一用户(例如,Alice)的第一用户凭证306。用户凭证存储库302存储第二用户(例如,Bob)的第二用户凭证308。用户(例如,Alice或Bob)可以对应于文件系统客户端202的注册用户列表中的记录。例如,每个用户可以对应于基于UNIX或Linux的系统中的.passwd文件中的行。
用户凭证存储库302保证仅具有超级用户权限的帐户或给定凭证的所有者可以访问给定凭证。具有超级用户权限的帐户可以是管理员帐户、系统根,或者在UNIX或类UNIX系统的情况下,可以是帐户标识符为零的帐户。
在该示例中,用户凭证存储库302可以将用户Alice的第一用户凭证306存储在路径/home/Alice/.fsep_user_secret中,其中仅用户Alice和超级用户具有对目录/home/Alice的读取访问权。同样,用户凭证存储库302可以将第二用户凭证308存储在路径/home/Bob/.fsep_user_secret中,其中仅用户Bob和超级用户具有对目录/home/Bob的读取访问权。因此,例如,用户凭证存储库302阻止(316)用户Alice尝试访问用户Bob的第二用户凭证308。
目录/home/Alice和/home/Bob可以分别是用户Alice和Bob的主文件夹。主文件夹可以在用户登录时创建。在所示示例中,每个路径中的文件.fsep_user_secret存储相应用户秘密,文件系统执行点206可以使用该相应用户秘密来认证所声明的身份。用户秘密可以是由自动密码生成器应用(例如,Linux apg)使用在用户登录时启动的脚本生成的令牌。
当文件系统客户端202向文件系统执行点206提交请求204时,请求204由任务312提交。任务312是与真实身份(例如,Alice)相关联的进程。请求204可以与所声明的身份相关联。所声明的身份应与真实身份相同。在攻击中,请求204可能已经由与真实身份Alice相关联的任务提交,但是声称是Bob。在这种情况下,所声明的身份是Bob。
文件系统执行点206包括挑战处理程序314。挑战处理程序314是文件系统执行点206的组件,文件系统执行点206的该组件被配置为响应于请求204而生成挑战208。生成挑战208可以包括:确定与请求204相关联的所声明的身份;并且生成用于查询任务312的安全HTTP请求。挑战处理程序314将挑战208提交给文件系统客户端202。挑战208请求任务312提供与所声明的身份相关联的凭证。
任务312只能访问与任务312相关联的真实身份的凭证。在该示例中,任务312只能访问与Alice相关联的第一用户凭证306。任务312不能访问与用户Bob相关联的第二用户凭证308。因此,在所声明的身份Alice与真实身份Alice相同的情况下,任务312能够取回与Alice相关联的第一用户凭证306,并且将第一用户凭证306提供给文件系统执行点206以用于认证。在所声明的身份Bob与真实身份Alice不同的情况下,任务312不能取回与Bob相关联的第二用户凭证308。因此,所声明的身份Bob的认证将失败。
任务312可以在对来自文件系统执行点206的挑战的响应中插入用户名和凭证。响应可以包括用于连接到文件系统执行点206的命令行连接命令,例如,在如下所示的卷曲命令中。
curl-i-u Alice:[凭证]http://[到FSEP 206的链接] (1)
然后,文件系统执行点206可以认证所声明的身份Alice。文件系统执行点206从在响应中提供的用户名的主文件夹/home/Alice中取回第一用户凭证306作为超级用户。文件系统执行点206将所取回的第一用户凭证306与在响应中提供的凭证进行比较。在确定两个凭证相匹配时,文件系统执行点206认证所声明的身份。
在一些实施方式中,任务312使用所声明的身份(例如,Alice)以及被声称为与所声明的身份相关联的凭证来将请求204提交给文件系统执行点206。作为响应,文件系统执行点206与文件系统客户端202通信(316),并且访问所声明的身份的主文件夹。文件系统执行点206从主文件夹中取回第一用户凭证306。文件系统执行点206将所取回的第一用户凭证306与由任务312提交的凭证进行比较。在确定从主文件夹中所取回的第一用户凭证306与提交的凭证相匹配时,系统执行点206认证所声明的身份。
图4是基于客户端访问限制的认证的示例过程400的流程图。过程400可以由包括分布式文件系统、文件系统客户端(例如,图2的文件系统客户端202)和文件系统执行点(例如,图2的文件系统执行点206)的系统来执行,文件系统执行点包括一个或多个计算机。分布式文件系统可以是HDFS。文件系统客户端可以是分布式计算系统的计算节点。
文件系统执行点从文件系统客户端接收(402)访问分布式文件系统的请求。请求由与所声明的身份相关联的任务提交。该请求可以是用于取回或修改分布式文件系统上的数据的数据查询,或者是用于发起文件系统客户端与分布式文件系统之间的会话的请求。
文件系统执行点向文件系统客户端提交(402)访问与所声明的身份相关联的凭证的挑战。凭证被存储在存储系统中的路径中,该路径只能由超级用户访问或者由与与所声明的身份相匹配的真实身份相关联的任务访问。挑战请求与所声明的身份相关联的任务访问与所声明的身份相关联的凭证。该路径可以是存储相应用户的凭证的多个凭证路径中的凭证路径,例如,存储凭证的目录。文件系统客户端阻止与真实身份相关联的任务访问另一凭证路径。该路径可以包括一个或多个文件目录名称。
文件系统执行点从文件系统客户端接收(406)对挑战的响应。响应包括由与所声明的身份相关联的任务在路径处所取回的凭证。响应可以由任务提供。如果任务未能提供响应,则文件系统执行点会阻止该请求。
文件系统执行点使用所取回的凭证来认证(408)所声明的身份。认证所声明的身份可以包括以下操作。文件系统执行点206可以作为超级用户取回存储在路径中的凭证。文件系统执行点206将所取回的凭证与响应中的凭证进行比较。在确定所取回的凭证与响应中的凭证相匹配时,文件系统执行点206可以认证所声明的身份。
可以针对每个数据查询或者针对文件系统客户端与分布式文件系统之间的每个会话进行认证。文件系统执行点仅在成功认证之后允许(410)访问分布式文件系统的请求。如果认证不成功,则文件系统强制点206阻止该请求,例如,当任务提供与所声明的身份不相关联的凭证时,或者当所取回的凭证与响应中的凭证不匹配时。
在一些实施方式中,文件系统执行点从文件系统客户端接收访问分布式文件系统的第一请求。该请求与所声明的身份和所声明的身份的所声称的凭证相关联。
文件系统执行点向凭证存储系统提交访问与所声明的身份相关联的真实凭证的第二请求。真实凭证由凭证存储系统提供的安全措施来保护。凭证存储系统可以是文件系统客户端或另一系统。凭证存储系统包括所声明的身份的目录。通过安全措施,对目录的访问仅限于所声明的身份或超级用户。安全措施由凭证存储系统的操作系统指定。
文件系统执行点从凭证存储系统接收对第二请求的响应。响应包括与所声明的身份相关联的真实凭证。
在由文件系统执行点使用所取回的真实凭证对照所声称的凭证认证所声明的身份时,文件系统执行点允许访问分布式文件系统的第一请求。
在一些实施方式中,文件系统执行点从文件系统客户端接收访问分布式文件系统的请求,该请求与所声明的身份和所声明的身份的所声称的凭证相关联。
文件系统执行点向外部系统转发与所声明的身份相关联的所声称的凭证以及所声明的身份。外部系统被配置为通过确定声称的凭证对照存储在外部系统中的所声明的身份的真实凭证的匹配来认证所声明的身份。外部系统可以是文件系统客户端,也可以是与文件系统客户端和文件系统执行点不同的计算机系统。
文件系统执行点从外部系统接收指示所声称的凭证是否与存储的凭证相匹配的响应。基于如果所声明的身份没有被外部系统认证,则文件系统执行点可以在响应中向文件系统客户端转发错误消息。或者,如果响应指示所声明的身份通过认证,则文件系统执行点可以允许访问分布式文件系统的请求。本说明书中描述的主题和功能操作的实施例可以在数字电子电路系统中实现,在有形实现的计算机软件或固件中实现,在包括本说明书中公开的结构及其结构等同物的计算机硬件中实现,或者在其中的一个或多个的组合中实现。本说明书中描述的主题的实施例可以被实现为一个或多个计算机程序,即,在有形非暂态程序载体上编码的用于由数据处理装置执行或控制数据处理装置的操作的一个或多个计算机程序指令模块。替代地或另外地,程序指令可以在人工生成的传播信号上编码,例如,机器生成的电、光或电磁信号,该信号被生成以对信息进行编码以便传输到合适的接收器装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或者其中的一个或多个的组合。然而,计算机存储介质不是传播信号。
术语“数据处理装置”涵盖用于处理数据的所有类型的装置、设备和机器,包括例如可编程处理器、计算机或者多个处理器或计算机。该装置可以包括专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该装置还可以包括为所讨论的计算机程序创建执行环境的代码,例如,构成处理器固件的代码、协议栈、数据库管理系统、操作系统、或其中的一个或多个的组合。
计算机程序(还可以被称为或描述为程序、软件、软件应用、模块、软件模块、脚本或代码)可以用任何形式的编程语言编写,包括编译或解释语言或者声明性或过程性语言,并且可以以任何形式部署,包括作为独立程序或者作为模块、组件、子例程或适合在计算环境中使用的其他单元。计算机程序可以但不必对应于文件系统中的文件。程序可以被存储在保存其他程序或数据的文件的一部分中,例如,存储在标记语言文档中、在专用于所讨论的程序的单个文件中、或者在多个协调文件中的一个或多个脚本,例如,存储一个或多个模块、子程序或代码部分的文件。计算机程序可以被部署为在一个计算机上执行,或者在位于一个站点处或者分布在多个站点上并且通过通信网络互连的多个计算机上执行。
如在本说明书中使用的,“引擎”或“软件引擎”是指提供与输入不同的输出的软件实现的输入/输出系统。引擎可以是编码的功能块,诸如库、平台、软件开发工具包(“SDK”)或对象。每个引擎可以在任何适当类型的计算设备上实现,例如,服务器、移动电话、平板计算机、笔记本计算机、音乐播放器、电子书阅读器、膝上型或台式计算机、PDA、智能电话或其他固定或便携式设备,这些计算设备包括一个或多个处理器和计算机可读介质。另外,两个或更多个引擎可以在同一计算设备上或者在不同的计算设备上实现。
本说明书中描述的过程和逻辑流可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过对输入数据进行操作并且生成输出来执行功能。过程和逻辑流也可以由专用逻辑电路执行,并且装置也可以被实现为专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
例如,适合于执行计算机程序的计算机包括可以基于通用或专用微处理器或两者、或者任何其他种类的中央处理单元。通常,中央处理单元将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备(例如,磁盘、磁光盘或光盘),或者可操作地被耦合以从用于存储数据的一个或多个大容量存储设备(例如,磁盘、磁光盘或光盘)接收数据或将数据传输到这样的一个或多个大容量存储设备或执行这两个操作。但是,计算机不需要具有这种设备。此外,计算机可以被嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或便携式存储设备(例如,通用串行总线(USB)闪存驱动器),仅举几例。
适用于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器设备,包括例如半导体存储器设备(例如EPROM、EEPROM和闪存设备);磁盘(例如内部硬盘或可移动磁盘);磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器可以由专用逻辑电路补充或并入专用逻辑电路中。
为了提供与用户的交互,本说明书中描述的主题的实施例可以在具有用于向用户显示信息的显示设备(例如,CRT(阴极射线管)监视器、LCD(液晶显示器)监视器或OLED显示器)和用于向计算机提供输入的输入设备(例如,键盘、鼠标或存在敏感显示器或其他表面)的计算机上实现。其他类型的设备也可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感觉反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入可以以任何形式接收,包括声学、语音或触觉输入。另外,计算机可以通过向由用户使用的设备发送资源和从该设备接收资源来与用户交互;例如,通过响应于从网络浏览器接收到的请求而将网页发送到在用户的客户端设备上的网络浏览器。
本说明书中描述的主题的实施例可以在包括后端组件(例如,作为数据服务器)或者包括中间件组件(例如,应用服务器)或者包括前端组件(例如,具有图形用户界面或网络浏览器的客户端计算机,用户可以通过该其与本说明书中描述的主题的实现进行交互)或者一个或多个这样的后端、中间件或前端组件的任何组合的计算系统中实现。系统的组件可以通过任何形式或介质的数字数据通信(例如通信网络)互连。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”),例如因特网。
计算系统可以包括客户端和服务器。客户端和服务器通常彼此远离,并且通常通过通信网络进行交互。客户端和服务器的关系借助于在各个计算机上运行并且彼此具有客户端服务器关系的计算机程序而产生。
虽然本说明书包含很多具体的实现细节,但是这些不应当被解释为对任何发明或可以要求保护的范围的限制,而是作为特定于特定发明的特定实施例的特征的描述。在本说明书中在单独实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也可以在多个实施例中单独地或以任何合适的子组合实现。此外,尽管上面的特征可以描述为以某些组合起作用并且甚至最初如此声明,但是在某些情况下,可以从组合中排除来自所要求保护的组合的一个或多个特征,并且所要求保护的组合可以涉及子组合或子组合的变化。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应当被理解为要求以所示的特定顺序或按顺序执行这些操作,或者执行所有示出的操作,以实现期望的结果。在某些情况下,多任务处理和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应当被理解为在所有实施例中都需要这种分离,并且应当理解,所描述的程序组件和系统通常可以集成在单个软件产品中或者打包成多个软件产品。
已经描述了主题的特定实施例。其他实施例在以下权利要求的范围内。例如,权利要求中记载的动作可以以不同的顺序执行并且仍然实现期望的结果。作为一个示例,附图中描绘的过程不必要求所示的特定顺序或连续顺序来实现期望的结果。在某些实现中,多任务和并行处理可以是有利的。
Claims (20)
1.一种在文件系统执行点中的方法,包括:
从文件系统客户端接收访问分布式文件系统的请求,所述请求与所声明的身份相关联;
向所述文件系统客户端提交指示所述文件系统客户端取回与所述所声明的身份相关联的凭证的挑战,所述凭证被存储在路径中的用户凭证存储库处,所述路径只能够由与具有超级用户权限的帐户相关联的任务和与所述所声明的身份相关联的任务访问;
从所述文件系统客户端接收对所述挑战的响应,所述响应包括由所述文件系统客户端从所述用户凭证存储库取回的所述凭证;
使用与具有超级用户权限的帐户相关联的任务来取回在所述用户凭证存储库存储的所述凭证;
将所取回的所述凭证与所述响应中的所述凭证进行比较;以及
当所取回的所述凭证与所述响应中的所述凭证相匹配时,允许所述文件系统客户端访问所述分布式文件系统。
2.根据权利要求1所述的方法,其中所述分布式文件系统是Hadoop分布式文件系统HDFS,并且所述文件系统客户端是分布式计算系统的计算节点。
3.根据权利要求1所述的方法,其中对每个访问会话进行一次取回和比较的步骤。
4.根据权利要求1所述的方法,其中与所述所声明的身份相关联的所述凭证被存储在与所述所声明的身份相对应的凭证路径处的所述用户凭证存储库中,所述凭证路径是各自存储与唯一身份相对应的凭证的多个凭证路径中的一个凭证路径,并且防止与所述所声明的身份相关联的所述任务访问所述多个凭证路径中不对应于所述所声明的身份的所述凭证路径。
5.根据权利要求4所述的方法,其中所述凭证路径包括一个或多个文件目录名。
6.一种在文件系统执行点中的方法,所述方法包括:
从文件系统客户端接收访问分布式文件系统的第一请求,所述请求与所声明的身份相关联并且包括所述所声明的身份的所声称的凭证,并且其中在凭证存储系统中所述所声明的身份的真实凭证只能够由具有超级用户权限的帐户相关联的任务和与所述所声明的身份相关联的任务访问;
使用与超级用户相关联的任务,从所述凭证存储系统取回所述真实凭证;
将所述真实凭证与所述所声称的凭证进行比较;以及
当所述真实凭证与所述所声称的凭证相匹配时,允许所述文件系统客户端访问所述分布式文件系统。
7.根据权利要求6所述的方法,其中所述凭证存储系统包括与所述所声明的身份相对应的并且包含所述真实凭证的目录,其中对所述目录的访问被安全措施限制到仅与所述所声明的身份或所述超级用户相关联的任务,并且其中所述安全措施由所述凭证存储系统的操作系统执行。
8.根据权利要求7所述的方法,其中所述凭证存储系统是所述文件系统客户端的一部分。
9.一种在文件系统执行点中的方法,包括:
从文件系统客户端接收访问分布式文件系统的请求,所述请求与所声明的身份相关联并且包括和所述所声明的身份的所声称的凭证,并且其中在外部系统中所述所声明的身份的真实凭证只能够由与超级用户相关联的任务和与所述所声明的身份相关联的任务访问;
向所述外部系统转发所述所声称的凭证,所述外部系统被配置为:
使用与超级用户相关联的任务,访问被存储在所述外部系统中的所述真实凭证;
将所述所声称的凭证与所述真实凭证进行比较;以及
当所述所声称的凭证与所述真实凭证相同时,确定匹配:
从所述外部系统接收指示是否确定了匹配的响应;以及
基于所述响应:
当所述响应指示没有确定匹配时,向所述文件系统客户端发送错误消息;或者
当所述响应指示确定了匹配时,允许所述文件系统客户端访问所述分布式文件系统。
10.根据权利要求9所述的方法,其中所述外部系统是所述文件系统客户端。
11.根据权利要求9所述的方法,其中所述外部系统包括与所述文件系统客户端和所述文件系统执行点不同的计算机系统。
12.根据权利要求9所述的方法,其中与所述所声明的身份相关联的所述真实凭证被存储在与所述所声明的身份相对应的凭证路径处的所述外部系统中,所述凭证路径是各自存储与唯一身份相对应的凭证的多个凭证路径中的一个凭证路径,并且防止与所述所声明的身份相关联的所述任务访问所述多个凭证路径中不对应于所述所声明的身份的所述凭证路径。
13.一种非暂态计算机可读存储介质,存储能够由文件系统执行点中的数据处理装置执行的指令,所述指令在这种执行时使得所述数据处理装置执行操作,所述操作包括:
从文件系统客户端接收访问分布式文件系统的请求,所述请求与所声明的身份相关联;
向所述文件系统客户端提交指示所述文件系统客户端取回与所述所声明的身份相关联的凭证的挑战,所述凭证能够由在路径中的用户凭证存储库处访问,所述路径只能够由与具有超级用户权限的帐户相关联的任务和与所述所声明的身份相关联的任务访问;
从所述文件系统客户端接收对所述挑战的响应,所述响应包括由所述文件系统客户端从所述用户凭证存储库取回的所述凭证;
使用与具有超级用户权限的帐户相关联的任务从所述用户凭证存储库取回所述凭证;
将所取回的所述凭证与所述响应中的所述凭证进行比较;以及
当所取回的所述凭证与所述响应中的所述凭证相匹配时,允许所述文件系统客户端访问所述分布式文件系统。
14.根据权利要求13所述的非暂态计算机可读存储介质,其中所述分布式文件系统是Hadoop分布式文件系统HDFS,并且所述文件系统客户端是分布式计算系统的计算节点。
15.根据权利要求13所述的非暂态计算机可读存储介质,其中对每个访问会话进行一次取回和比较的步骤。
16.根据权利要求13所述的非暂态计算机可读存储介质,其中与所述所声明的身份相关联的所述凭证被存储在与所述所声明的身份相对应的凭证路径处的所述用户凭证存储库中,所述凭证路径是各自存储与唯一身份相对应的凭证的多个凭证路径中的一个凭证路径,防止与所述所声明的身份相关联的所述任务访问所述多个凭证路径中不对应于所述所声明的身份的所述凭证路径。
17.根据权利要求13所述的非暂态计算机可读存储介质,其中所述凭证路径包括一个或多个文件目录名。
18.一种文件系统执行系统,包括:
一个或多个计算机和一个或多个存储设备,所述一个或多个存储设备存储有能够操作的指令,所述指令在由所述一个或多个计算机执行时使得所述一个或多个计算机执行操作,所述操作包括:
从文件系统客户端接收访问分布式文件系统的第一请求,所述请求与所声明的身份相关联并且包括所述所声明的身份的所声称的凭证,并且其中在凭证存储系统中所述所声明的身份的真实凭证只能够由具有超级用户权限的帐户相关联的任务和与所述所声明的身份相关联的任务访问;
向所述凭证存储系统提交要为所述所声明的身份提供所述真实凭证的第二请求,所述第二请求被作为超级用户;
接收对所述第二请求的响应,所述响应包括与所述所声明的身份相关联的所述真实凭证;
将所述真实凭证与所述所声称的凭证进行比较;以及
当所述真实凭证与所述所声称的凭证相匹配时,允许所述文件系统客户端访问所述分布式文件系统。
19.根据权利要求18所述的系统,其中所述凭证存储系统包括与所述所声明的身份相对应的并且包含所述真实凭证的目录,其中对所述目录的访问被安全措施限制到仅与所述所声明的身份或所述超级用户相关联的任务,并且其中所述安全措施由所述凭证存储系统的操作系统执行。
20.根据权利要求19所述的系统,其中所述凭证存储系统是所述文件系统客户端的一部分。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762457772P | 2017-02-10 | 2017-02-10 | |
US62/457,772 | 2017-02-10 | ||
US15/657,033 US10803190B2 (en) | 2017-02-10 | 2017-07-21 | Authentication based on client access limitation |
US15/657,033 | 2017-07-21 | ||
PCT/US2018/017698 WO2018148597A1 (en) | 2017-02-10 | 2018-02-09 | Authentication based on client access limitation |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110447033A CN110447033A (zh) | 2019-11-12 |
CN110447033B true CN110447033B (zh) | 2023-07-21 |
Family
ID=63105245
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880019577.3A Active CN110447033B (zh) | 2017-02-10 | 2018-02-09 | 基于客户访问限制的认证 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10803190B2 (zh) |
EP (1) | EP3580684A4 (zh) |
CN (1) | CN110447033B (zh) |
WO (1) | WO2018148597A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10291602B1 (en) | 2017-04-12 | 2019-05-14 | BlueTalon, Inc. | Yarn rest API protection |
CN110888840A (zh) * | 2019-11-07 | 2020-03-17 | 浪潮电子信息产业股份有限公司 | 分布式文件系统中的文件查询方法、装置、设备及介质 |
CN112559994B (zh) * | 2020-12-25 | 2023-12-01 | 北京百度网讯科技有限公司 | 访问控制方法、装置、设备及存储介质 |
CN113221089B (zh) * | 2021-03-15 | 2023-11-07 | 东北大学 | 基于可验证声明的隐私保护属性认证系统及方法 |
CN113204759A (zh) * | 2021-05-28 | 2021-08-03 | 北京市商汤科技开发有限公司 | 一种身份认证方法及装置、电子设备和存储介质 |
Family Cites Families (94)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0546568A (ja) | 1991-08-08 | 1993-02-26 | Internatl Business Mach Corp <Ibm> | 分散アプリケーシヨン実行装置および方法 |
US6449377B1 (en) | 1995-05-08 | 2002-09-10 | Digimarc Corporation | Methods and systems for watermark processing of line art images |
US5664173A (en) | 1995-11-27 | 1997-09-02 | Microsoft Corporation | Method and apparatus for generating database queries from a meta-query pattern |
US6463470B1 (en) | 1998-10-26 | 2002-10-08 | Cisco Technology, Inc. | Method and apparatus of storing policies for policy-based management of quality of service treatments of network data traffic flows |
US6687229B1 (en) | 1998-11-06 | 2004-02-03 | Lucent Technologies Inc | Quality of service based path selection for connection-oriented networks |
US7730089B2 (en) | 1998-11-16 | 2010-06-01 | Punch Networks Corporation | Method and system for providing remote access to the facilities of a server computer |
US6715077B1 (en) * | 1999-03-23 | 2004-03-30 | International Business Machines Corporation | System and method to support varying maximum cryptographic strength for common data security architecture (CDSA) applications |
US6539425B1 (en) | 1999-07-07 | 2003-03-25 | Avaya Technology Corp. | Policy-enabled communications networks |
JP4552242B2 (ja) | 1999-10-06 | 2010-09-29 | 株式会社日立製作所 | 仮想表インタフェースと該インタフェースを用いた問合せ処理システム及び方法 |
US6820082B1 (en) | 2000-04-03 | 2004-11-16 | Allegis Corporation | Rule based database security system and method |
US7155539B2 (en) | 2000-04-17 | 2006-12-26 | Circadence Corporation | Conductor gateway buffer prioritization |
US20040088560A1 (en) | 2000-04-20 | 2004-05-06 | Danks David Hilton | Secure system access |
US7577834B1 (en) | 2000-05-09 | 2009-08-18 | Sun Microsystems, Inc. | Message authentication using message gates in a distributed computing environment |
US20020019828A1 (en) | 2000-06-09 | 2002-02-14 | Mortl William M. | Computer-implemented method and apparatus for obtaining permission based data |
US20020031230A1 (en) | 2000-08-15 | 2002-03-14 | Sweet William B. | Method and apparatus for a web-based application service model for security management |
US7542943B2 (en) | 2000-10-30 | 2009-06-02 | Amazon Technologies, Inc. | Computer services and methods for collecting payments from and providing content to web users |
US7885981B2 (en) | 2000-10-31 | 2011-02-08 | Michael Philip Kaufman | System and method for generating automatic user interface for arbitrarily complex or large databases |
JP2002149468A (ja) | 2000-11-06 | 2002-05-24 | Hitachi Ltd | マルチデータベース統合システムのアクセス権管理方法 |
US8095869B2 (en) | 2000-12-29 | 2012-01-10 | International Business Machines Corporation | Latches-links as virtual attachments in documents |
US6785756B2 (en) | 2001-05-10 | 2004-08-31 | Oracle International Corporation | Methods and systems for multi-policy resource scheduling |
US6957261B2 (en) | 2001-07-17 | 2005-10-18 | Intel Corporation | Resource policy management using a centralized policy data structure |
WO2003012670A1 (en) | 2001-07-30 | 2003-02-13 | Alcatel Internetworking, Inc. | Distributed network management system using policies |
US7631084B2 (en) | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
US7350226B2 (en) | 2001-12-13 | 2008-03-25 | Bea Systems, Inc. | System and method for analyzing security policies in a distributed computer network |
US20040054791A1 (en) | 2002-09-17 | 2004-03-18 | Krishnendu Chakraborty | System and method for enforcing user policies on a web server |
US20040073668A1 (en) | 2002-10-10 | 2004-04-15 | Shivaram Bhat | Policy delegation for access control |
US7299221B2 (en) | 2003-05-08 | 2007-11-20 | Oracle International Corporation | Progressive relaxation of search criteria |
US7594256B2 (en) | 2003-06-26 | 2009-09-22 | Sun Microsystems, Inc. | Remote interface for policy decisions governing access control |
US7757268B2 (en) | 2003-07-25 | 2010-07-13 | Oracle International Corporation | Policy based service management |
US7539722B2 (en) | 2003-10-24 | 2009-05-26 | Microsoft Corporation | Method and system for accessing a file |
US20050289342A1 (en) | 2004-06-28 | 2005-12-29 | Oracle International Corporation | Column relevant data security label |
US20060053216A1 (en) | 2004-09-07 | 2006-03-09 | Metamachinix, Inc. | Clustered computer system with centralized administration |
US7721328B2 (en) | 2004-10-01 | 2010-05-18 | Salesforce.Com Inc. | Application identity design |
US8108869B2 (en) | 2005-03-11 | 2012-01-31 | Adaptive Computing Enterprises, Inc. | System and method for enforcing future policies in a compute environment |
FR2894757B1 (fr) | 2005-12-13 | 2008-05-09 | Viaccess Sa | Procede de controle d'acces a un contenu embrouille |
US7574457B2 (en) | 2006-01-13 | 2009-08-11 | Microsoft Corporation | Non-mutating tree-structured file identifiers |
TWI298129B (en) | 2006-01-20 | 2008-06-21 | Hon Hai Prec Ind Co Ltd | System and method for processing files distributively |
US7739744B2 (en) | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
FI20065288A (fi) | 2006-05-03 | 2007-11-04 | Emillion Oy | Autentikointi |
US9253151B2 (en) | 2006-05-25 | 2016-02-02 | International Business Machines Corporation | Managing authentication requests when accessing networks |
US20080065591A1 (en) | 2006-09-08 | 2008-03-13 | Leon Guzenda | Configurable software database parallel query system and method |
US7861290B2 (en) | 2006-09-22 | 2010-12-28 | Oracle International Corporation | Non-invasive insertion of pagelets |
WO2008097191A1 (en) | 2007-02-07 | 2008-08-14 | Encentuate Pte Ltd | Non-invasive usage tracking, access control, policy enforcement, audit logging, and user action automation on software applications |
US9130974B2 (en) | 2007-04-18 | 2015-09-08 | Mcafee, Inc. | System and method for limiting spyware activity |
US8181221B2 (en) | 2007-08-16 | 2012-05-15 | Verizon Patent And Licensing Inc. | Method and system for masking data |
US8181238B2 (en) | 2007-08-30 | 2012-05-15 | Software Ag | Systems and/or methods for streaming reverse HTTP gateway, and network including the same |
ITTO20070853A1 (it) | 2007-11-26 | 2009-05-27 | Csp Innovazione Nelle Ict Scar | Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali |
US8839344B2 (en) | 2008-01-28 | 2014-09-16 | Microsoft Corporation | Access policy analysis |
US8417723B1 (en) | 2008-09-12 | 2013-04-09 | Salesforce.Com, Inc. | System, method and computer program product for enabling access to a resource of a multi-tenant on-demand database service utilizing a token |
US8756704B2 (en) | 2008-12-15 | 2014-06-17 | International Business Machines Corporation | User impersonation and authentication |
US8886672B2 (en) | 2009-03-12 | 2014-11-11 | International Business Machines Corporation | Providing access in a distributed filesystem |
US8613108B1 (en) | 2009-03-26 | 2013-12-17 | Adobe Systems Incorporated | Method and apparatus for location-based digital rights management |
US8386448B2 (en) | 2009-11-30 | 2013-02-26 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for providing a generic database security application using virtual private database functionality with a common security policy function |
EP3002703B1 (en) | 2009-12-14 | 2017-08-30 | Citrix Systems Inc. | Methods and systems for communicating between trusted and non-trusted virtual machines |
US8990585B2 (en) | 2009-12-29 | 2015-03-24 | Cleversafe, Inc. | Time based dispersed storage access |
US9215236B2 (en) | 2010-02-22 | 2015-12-15 | Avaya Inc. | Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as SOA |
US8458209B2 (en) | 2010-08-24 | 2013-06-04 | International Business Machines Corporation | Virtual world query response system |
CN102457555A (zh) * | 2010-10-28 | 2012-05-16 | 中兴通讯股份有限公司 | 一种分布式存储的安全系统及方法 |
US8578487B2 (en) | 2010-11-04 | 2013-11-05 | Cylance Inc. | System and method for internet security |
WO2012149030A2 (en) | 2011-04-27 | 2012-11-01 | Merchant Moses Akbar | Accessing and interacting with web content and services using an external device to control a communication device |
EP2521066A1 (en) | 2011-05-05 | 2012-11-07 | Axiomatics AB | Fine-grained relational database access-control policy enforcement using reverse queries |
US8677447B1 (en) | 2011-05-25 | 2014-03-18 | Palo Alto Networks, Inc. | Identifying user names and enforcing policies |
US9716743B2 (en) | 2011-09-02 | 2017-07-25 | Microsoft Technology Licensing, Llc | Accessing hardware devices using web server abstractions |
US8683220B2 (en) | 2011-09-29 | 2014-03-25 | Mcafee, Inc. | System and method for securing database activity |
US20130091355A1 (en) | 2011-10-05 | 2013-04-11 | Cisco Technology, Inc. | Techniques to Prevent Mapping of Internal Services in a Federated Environment |
EP2847686B1 (en) | 2012-05-07 | 2019-10-30 | Digital Guardian, Inc. | Enhanced document and event mirroring for accessing content |
US8893258B2 (en) | 2012-06-11 | 2014-11-18 | Cisco Technology, Inc. | System and method for identity based authentication in a distributed virtual switch network environment |
US9658895B2 (en) | 2012-08-07 | 2017-05-23 | Advanced Micro Devices, Inc. | System and method for configuring boot-time parameters of nodes of a cloud computing system |
US8935764B2 (en) | 2012-08-31 | 2015-01-13 | Hewlett-Packard Development Company, L.P. | Network system for implementing a cloud platform |
US9087209B2 (en) * | 2012-09-26 | 2015-07-21 | Protegrity Corporation | Database access control |
US8819770B2 (en) | 2012-10-04 | 2014-08-26 | Microsoft Corporation | Data mapping using trust services |
US20140163948A1 (en) | 2012-12-10 | 2014-06-12 | At&T Intellectual Property I, L.P. | Message language conversion |
US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US9130920B2 (en) | 2013-01-07 | 2015-09-08 | Zettaset, Inc. | Monitoring of authorization-exceeding activity in distributed networks |
US9223950B2 (en) * | 2013-03-05 | 2015-12-29 | Intel Corporation | Security challenge assisted password proxy |
US9026783B2 (en) | 2013-03-07 | 2015-05-05 | Google Inc. | Low latency server-side redirection of UDP-based transport protocols traversing a client-side NAT firewall |
US9160718B2 (en) | 2013-05-23 | 2015-10-13 | Iboss, Inc. | Selectively performing man in the middle decryption |
CN104216907B (zh) | 2013-06-02 | 2018-12-18 | 上海诺基亚贝尔股份有限公司 | 一种用于提供数据库访问控制的方法、装置与系统 |
DE102013216501A1 (de) | 2013-08-20 | 2015-02-26 | Vega Grieshaber Kg | Messgerätezugangsvorrichtung, Feldgerät und Verfahren zum Steuern des Zugangs zu einem Messgerät |
WO2015035648A1 (zh) | 2013-09-16 | 2015-03-19 | 华为技术有限公司 | 一种应用管理的方法及装置 |
US9575974B2 (en) * | 2013-10-23 | 2017-02-21 | Netapp, Inc. | Distributed file system gateway |
US9973534B2 (en) | 2013-11-04 | 2018-05-15 | Lookout, Inc. | Methods and systems for secure network connections |
US9762590B2 (en) | 2014-04-17 | 2017-09-12 | Duo Security, Inc. | System and method for an integrity focused authentication service |
US9477833B2 (en) | 2014-09-22 | 2016-10-25 | Symantec Corporation | Systems and methods for updating possession factor credentials |
US9699049B2 (en) | 2014-09-23 | 2017-07-04 | Ebay Inc. | Predictive model for anomaly detection and feedback-based scheduling |
US9363267B2 (en) | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
US9628486B2 (en) | 2014-10-23 | 2017-04-18 | Vormetric, Inc. | Access control for data blocks in a distributed filesystem |
US10129256B2 (en) | 2015-01-08 | 2018-11-13 | BlueTalon, Inc. | Distributed storage and distributed processing query statement reconstruction in accordance with a policy |
GB2538518B (en) | 2015-05-19 | 2017-12-27 | Avecto Ltd | Computer device and method for controlling access to a resource via a security system |
US9866592B2 (en) | 2015-09-28 | 2018-01-09 | BlueTalon, Inc. | Policy enforcement system |
US11232453B2 (en) | 2015-09-30 | 2022-01-25 | Mastercard International Incorporated | Method and system for authentication data collection and reporting |
US9762563B2 (en) | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
US9871825B2 (en) | 2015-12-10 | 2018-01-16 | BlueTalon, Inc. | Policy enforcement for compute nodes |
US10776385B2 (en) | 2016-12-02 | 2020-09-15 | Vmware, Inc. | Methods and apparatus for transparent database switching using master-replica high availability setup in relational databases |
-
2017
- 2017-07-21 US US15/657,033 patent/US10803190B2/en active Active
-
2018
- 2018-02-09 EP EP18751946.7A patent/EP3580684A4/en active Pending
- 2018-02-09 CN CN201880019577.3A patent/CN110447033B/zh active Active
- 2018-02-09 WO PCT/US2018/017698 patent/WO2018148597A1/en unknown
Also Published As
Publication number | Publication date |
---|---|
EP3580684A1 (en) | 2019-12-18 |
EP3580684A4 (en) | 2020-11-11 |
CN110447033A (zh) | 2019-11-12 |
US10803190B2 (en) | 2020-10-13 |
US20180232531A1 (en) | 2018-08-16 |
WO2018148597A1 (en) | 2018-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110447033B (zh) | 基于客户访问限制的认证 | |
CN111213350B (zh) | 用于创建去中心化标识的系统和方法 | |
US10291605B2 (en) | Validation for requests | |
US9450954B2 (en) | Form filling with digital identities, and automatic password generation | |
CN110768967B (zh) | 业务授权方法、装置、设备、系统及存储介质 | |
CN112491881B (zh) | 跨平台单点登录方法、系统、电子设备及存储介质 | |
US10922401B2 (en) | Delegated authorization with multi-factor authentication | |
US9477833B2 (en) | Systems and methods for updating possession factor credentials | |
CN110753944B (zh) | 用于基于区块链的数据管理的系统和方法 | |
JP2018533141A (ja) | エンドユーザによって起動されるアクセスサーバ真正性チェック | |
EP3610623B1 (en) | Protocol-level identity mapping | |
Spoorthy et al. | A survey on data storage and security in cloud computing | |
US10270757B2 (en) | Managing exchanges of sensitive data | |
US8650405B1 (en) | Authentication using dynamic, client information based PIN | |
US10642664B2 (en) | System and method for securing an inter-process communication via a named pipe | |
JP2017516179A (ja) | デジタル証明書を用いた仮想マシンイメージの認証 | |
CN112492028B (zh) | 云桌面登录方法、装置、电子设备及存储介质 | |
CN110717171B (zh) | 用于状态保存和重用的访问令牌管理 | |
US11870766B2 (en) | Integration of legacy authentication with cloud-based authentication | |
US9893891B2 (en) | Identity verification using key pairs | |
US11363012B1 (en) | System and methods for using role credentials associated with a VM instance | |
EP2429146B1 (en) | Method and apparatus for authenticating access by a service | |
CN112653673B (zh) | 基于单点登录的多因素认证方法和系统 | |
CN114641767A (zh) | 在经管理的多租户服务中管理用户身份 | |
US10075440B1 (en) | Multi-party secure global attestation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20200813 Address after: Washington State Applicant after: MICROSOFT TECHNOLOGY LICENSING, LLC Address before: California, USA Applicant before: BLUETALON, Inc. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |