CN110521182A - 协议级身份映射 - Google Patents

协议级身份映射 Download PDF

Info

Publication number
CN110521182A
CN110521182A CN201880024836.1A CN201880024836A CN110521182A CN 110521182 A CN110521182 A CN 110521182A CN 201880024836 A CN201880024836 A CN 201880024836A CN 110521182 A CN110521182 A CN 110521182A
Authority
CN
China
Prior art keywords
user
service
request
distributed computing
identity map
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880024836.1A
Other languages
English (en)
Other versions
CN110521182B (zh
Inventor
R·坎杜雅
V·米塔尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Brutalon
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Brutalon filed Critical Brutalon
Publication of CN110521182A publication Critical patent/CN110521182A/zh
Application granted granted Critical
Publication of CN110521182B publication Critical patent/CN110521182B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Abstract

描述了实现协议级映射的系统、计算机程序产品和方法。身份映射系统拦截从客户端设备到分布式计算系统的请求。身份映射系统确定请求的第一协议。身份映射系统确定与请求相关联的用户凭证。身份映射系统基于用户凭证来认证请求。身份映射系统确定请求所访问的由分布式计算系统提供的服务。身份映射系统确定该服务的服务凭证。身份映射系统将第一协议转换为与分布式计算系统相关联的第二协议,包括将服务凭证与请求相关联。然后,身份映射系统将请求提交至分布式计算系统。

Description

协议级身份映射
背景技术
分布式计算系统可以提供各种服务,诸如分布式数据处理服务、分布式文件存储服务、分布式数据库服务或分布式消息传递服务。例如,基于技术的分布式计算系统可以包括提供文件存储服务的Hadoop分布式文件系统(HDFS)组件、提供数据仓库服务的HiveTM组件和提供数据处理服务的SparkTM组件。在该系统中,有时称为服务账户的诸如hdfs、hive和spark等服务特定的系统帐户用于访问相应服务的数据。多个应用可以使用服务帐户来访问数据。多个终端用户可以使用应用程序。终端用户可以被分布式计算系统所信任,或者可以来自不可信数据源,诸如企业、家庭、其他云等。
在传统的技术中,可以以静态方式将终端用户帐户映射到服务帐户。例如,传统系统可以在系统级别实现映射,其中映射被内置到分布式计算系统中。传统系统可以在应用级别实现映射,其中映射被内置到每个应用程序中。
发明内容
总体上,本说明书涉及计算机系统管理技术。
描述了实现协议级映射的系统、计算机程序产品和方法。身份映射系统拦截从客户端设备到分布式计算系统的请求。身份映射系统确定请求的第一协议。身份映射系统确定与请求相关联的用户凭证。身份映射系统根据用户凭证来认证请求。身份映射系统确定请求所访问的由分布式计算系统提供的服务。身份映射系统确定服务帐户和该服务的服务凭证。身份映射系统将第一协议转换为与分布式计算系统相关联的第二协议。转换包括将服务凭证与请求相关联。然后,身份映射系统将请求提交至分布式计算系统。
可以实现本说明书中描述的主题的特定实施例以实现以下示例优点中的一个或多个。所公开的技术提供了将分布式计算系统的服务账户映射到应用终端用户而无需改变分布式计算系统的配置或者改变应用的配置的简单且有效的方式。所公开的技术在协议级别实现映射,这在应用程序之外。因此,所公开的技术通过在应用程序的终端用户与分布式计算系统之间提供动态且透明的层来改进传统技术。透明性使得该层能够为应用提供比传统技术所能提供的更具可扩展性的框架,这至少是因为,映射逻辑独立于应用并且适用于多个应用。
通过在不改变分布式计算系统的配置的情况下向分布式计算系统添加用户可配置的认证和授权,所公开的技术可以增强分布式计算系统的安全性。所公开的技术可以提供多个级别的不同认证方法,从而增加了系统的灵活性。这些认证方法可以对应于各个终端用户的特定需求,并且不受由分布式计算平台提供的认证的限制。因此,所公开的技术使得认证更加灵活和可定制。
本说明书的主题的一个或多个实施例的细节在附图和以下描述中阐述。根据说明书、附图和权利要求书,本主题的其他特征、方面和优点将变得很清楚。
附图说明
图1是示出协议级身份映射的示例技术的框图。
图2是示出协议级身份映射的示例过程的流程图。
图3是示出用于各种应用的协议级身份映射的架构的框图。
图4是协议级身份映射的示例过程的流程图。
在不同附图中,相同的附图标记和指示表示相同的元素。
具体实施方式
图1是示出协议级身份映射的示例技术的框图。身份映射系统102执行用户身份与服务身份之间的协议级映射。身份映射系统102包括一个或多个计算机。
客户端设备104和106向访问分布式计算系统108提交请求。客户端设备104和106中的每个可以是与使用分布式计算系统108的相应企业用户帐户相关联的计算机。用户帐户的帐户名可以被称为用户身份。客户端设备104和106可以提交各种类型的请求,包括需要认证的请求110和112。请求110和112中的每个分别与用于认证的凭证相关联,例如,用户身份Alice和用户身份Bob。客户端设备104可以以第一用户协议来提交请求110。客户端设备106可以以第二用户协议来提交请求112。第一用户协议可以与第二用户协议相同或不同。每个协议可以指定一组过程和数据格式以用于通信。请求110和112用于调用分布式计算系统108的一个或多个服务。
分布式计算系统108包括被编程为执行各种服务的一个或多个计算机。例如,分布式计算系统108可以是提供数据库服务114的Hadoop系统。数据库服务114可以在对应的操作系统帐户(例如,UNIX帐户)的所有权下运行。操作系统帐户是服务帐户。服务帐户的帐户名(例如,hdfs)可以被称为服务身份。数据库服务114的服务帐户以及其他服务帐户属于专用操作系统用户组,并且不同于与请求110和112相关联的Alice和Bob的用户帐户。
身份映射系统102在协议级别将用户身份Alice和Bob映射到服务帐户hdfs。协议级别是支持各种应用的通信层。例如,协议级别可以包括OSI网络模型标准中一个或多个层,这些层位于作为层7(应用层)以下。
身份映射系统102在协议级别拦截请求110和112。身份映射系统102以认证协议在分布式计算系统108的数据库服务器与数据库服务器的数据库客户端之间注入服务身份。在所示示例中,客户端是客户端设备104和106。该协议可以包括:例如Java数据库连接(JDBC)协议、开放数据库连接(ODBC)协议或命令行界面(CLI)协议。
身份映射系统102可以确定请求110和112是需要认证的认证请求。身份映射系统102使用用户Alice和Bob的凭证来认证请求110和112。身份映射系统102确定请求110和112以其被发出的相应用户协议。身份映射系统102将已经认证的用户帐户的认证头部与服务帐户凭证交换,并且使用服务身份在服务帐户下建立连接。
身份映射系统102包括协议拦截模块116。协议拦截模块包括被配置为在协议级别拦截客户端设备104和106中的每个与分布式计算系统108之间的字节流的分组交换的硬件和软件组件。例如,在第一阶段,协议拦截模块116可以拦截从客户端设备104到分布式计算系统108的请求110。请求110包括第一字节流。第一字节流可以包括作为标签的部分,该标签指示请求110是否是认证请求。在下面的示例中,标记包括八个字节,如清单(1)所示,其中每个字节表示为十六进制数。
00 00 00 08 04 d2 16 2f (1)
协议拦截模块116可以确定标签中的字节04 d2 16 2f指示由客户端设备104提交的请求110包括认证请求。在该第一阶段,请求110可能尚未与凭证相关联。
基于该标签,协议拦截模块116确定客户端设备104正在向分布式计算系统108请求认证。协议拦截模块116将认证请求传递给分布式计算系统108。在第二阶段,分布式计算系统108响应以第二字节流,如下面的清单2所示。
52 00 00 00 08 00 00 00 00 (2)
协议拦截模块116拦截从分布式计算系统108到客户端设备104的第二字节流。协议拦截模块116确定标志(例如,第二字节流的最后字节)的值(例如,00)指示分布式计算系统108使用信任模式认证。信任模式认证是一种其中当请求110与任何凭证相关联或根本不与任何凭证相关联时分布式计算系统108仍信任请求110的模式。
在第三阶段,即使在分布式计算系统108不需要时,协议拦截模块116也通过添加认证操作来增强通信的安全性。协议拦截模块116将第二字节流修改为第三字节流。第三字节流指示需要附加认证。第三字节流如以下清单(3)所示。
52 00 00 00 08 00 00 00 03 (3)
在所示示例中,协议拦截模块116将标志的值改变为指示该请求将使用密码认证的新值。在所示示例中,协议拦截模块116将最后的字节从00改变为03。协议拦截模块116将第三字节流提供给客户端设备104。
作为响应,在第四阶段,客户端设备104向分布式计算系统108提供用户凭证。凭证包括用户标识符(例如,“Alice”)和密码(例如,“zkabiegfq”)。客户端设备104在第四字节流中提供用户凭证。下面在清单4中示出了包括用户凭证的第四字节流的示例。
00 00 00 29 00 03 00 00 75 73 65 72 00 41 6c 69 ...)....user.Ali
63 65 00 64 61 74 61 62 61 73 65 00 61 6e 61 75 ce.database.anau
64 69 74 72 65 70 6f 00 00 ditrepo..
70 00 00 00 0e 7a 6b 61 62 69 65 67 66 71 00 p....zkabiegfq (4)
在清单(4)中,左侧部分是十六进制表示形式的字节流。右侧部分是字符表示形式的相应十六进制数字,其中为了方便起见,将十六进制数字转换为基于ASCII的字符。例如,清单(4)的右侧示出了用户标识符Alice和密码zkabiegfq。
在第五阶段,协议拦截模块116拦截第四字节流并且标识凭证。协议拦截模块116对第四字节流进行译码以确定用户标识符和密码。例如,协议拦截模块116可以确定特定标志(例如,清单(4)的底部一行中的第一字节)的特定值(例如,70)指示随后的字节包括密码。协议拦截模块116可以确定特定字节(例如,清单(4)的底部一行中的第五字节)的特定值(例如,0e)指示第四字节流的密码部分的大小。
在第六阶段,协议拦截模块116将用户标识符(例如,Alice)和密码(例如,zkabiegfq)提供给代理认证模块118。代理认证模块118是身份映射系统102的组件,其包括被配置为基于用户标识符和密码对用户进行认证的硬件和软件组件。代理认证模块118可以在内部认证用户,或者使用预先配置的或用户指定的认证服务。例如,代理认证模块118可以将用户标识符和密码提交至LDAP/活动目录(Active Directory)以进行认证。
在第七阶段,响应于成功认证,代理认证模块118将成功通知给身份映射系统102的身份映射模块120。身份映射模块120包括被配置为从配置数据存储库122取回服务凭证的硬件和软件组件。配置数据存储库122可以包括数据库、配置文件或两者。服务凭证可以包括由分布式计算系统108提供的服务的服务标识符。例如,服务凭证可以包括云数据库服务114的服务标识符(例如,“anaudituser”)。云数据库服务114可以由PostgreSQL数据库提供。
在第八阶段,身份映射模块120通过将由客户端设备104提交的第四字节流修改为第五字节流来转换请求110的协议。修改可以包括将用户标识符(例如,Alice)替换为服务标识符(例如,anaudituser)。例如,身份映射模块120可以将以上清单(4)所示的第四字节流修改为如下所列出的第五字节流,如清单(5)所示。
00 00 00 2f 00 03 00 00 75 73 65 72 00 61 6e 61 .../....user.ana
75 64 69 74 75 73 65 72 00 64 61 74 61 62 61 73 udituser.databas
65 00 61 6e 61 75 64 69 74 72 65 70 6f 00 00 e.anauditrepo.. (5)
在第九阶段,身份映射模块120可以确定:因为分布式计算系统最初在第二字节流中指示(如清单(2)所示)认证模式是信任模式,所以身份映射模块120不需要在清单(5)所示的第五字节流中包括密码,例如zkabiegfq或其他密码。身份映射模块120将第五字节流提供给分布式计算系统108。然后,数据库服务114处理该请求。
在操作的整个阶段,身份映射系统102对分布式计算系统108隐藏用户凭证,并且对客户端设备104和106隐藏服务凭证。同样,身份映射系统102对分布式计算系统108以及客户端设备104和106隐藏第6阶段的认证操作。因此,操作对于分布式计算系统108以及客户端设备104和106是透明的,以使得系统是灵活且可扩展的。
在一些实现中,标识映射系统包括多级认证模块124。多级认证模块124包括被配置为针对请求(例如,请求112)执行定制认证的硬件和软件组件。定制认证可以包括在用户定义级别使用除用户标识符和密码外的用户定义凭证进行的认证。
图2是示出协议级身份映射的示例过程200的流程图。过程200可以由身份映射系统(例如,图1的身份映射系统102)执行。过程200可以通过客户端设备与分布式计算系统之间的通信来触发。
身份映射系统读取(202)通信流。通信流可以是在客户端设备(例如,企业中的客户端计算机)与分布式计算系统(例如,基于Apache Hadoop架构的计算平台)之间传递的字节流。
身份映射系统确定(204)通信流是否包括认证请求。身份映射系统可以通过检查通信流来做出确定,并且确定通信流的一部分(例如,报头)是否包括指示通信流包括认证请求的任何指示符(例如,在某些位置的某些值)。验证请求是需要认证的请求。
响应于确定通信流不包括认证请求,身份映射系统确定(206)客户端流是否继续。如果客户端流继续,则身份映射系统将通信流传递到分布式计算系统,并且继续读取(202)通信流。否则,身份映射系统结束过程200。
响应于确定通信流包括认证请求,身份映射系统通过至少暂时对分配系统隐瞒(withhold)请求直到完成进一步的处理来拦截(206)请求。身份映射系统从拦截的请求中译码(208)终端用户协议。译码终端用户协议可以包括:标识请求中指示协议类型的标志,并且然后使用标志在请求中的位置、标志的值或两者来在协议数据库中执行查找。
身份映射系统取回(210)用户凭证。取回用户凭证可以包括:将通信流的至少一部分保持不变地提交至分布式计算系统,并且修改来自分布式计算系统的指示不需要凭证的响应。经修改的响应可以指示需要用户凭证。身份映射系统可以将经修改的响应提供给客户端设备。经修改的响应可以触发客户端设备在下一字节流中提供用户凭证。然后,身份映射系统接收下一字节流,并且从下一字节流中取回用户凭证。在一些实现中,身份映射系统可以根据用户凭证来确定用户标识符和密码。在一些实现中,身份映射系统可以从用户凭证确定认证标记。
身份映射系统认证(212)请求。身份映射系统可以通过使用外部认证服务认证用户标识符来认证请求。身份映射系统可以将用户标识符和密码提供给外部认证服务,并且从外部认证服务接收响应。
身份映射系统基于响应确定(214)认证是否成功。响应于确定响应指示认证失败,身份映射系统可以终止过程200。响应于确定响应指示认证成功,身份映射系统获取(216)服务凭证。服务凭证可以包括服务标识符(例如,服务帐户名)和可选的服务密码。服务凭证可以包括用于认证的标记。身份映射系统可以从服务数据存储库(例如,数据库或配置文件)中取回服务凭证。
身份映射系统可以以由分布式计算系统使用的协议来对字节流进行编码(218)。编码可以包括将服务标识符的表示嵌入到字节流中。编码将请求转换为由分布式计算系统的服务协议可以理解的格式。身份映射系统以转换后的格式将请求注入(220)到分布式计算系统中。身份映射系统在分布式计算系统上创建(222)会话,例如数据库会话。然后,会话例如通过取回或插入数据来执行服务请求的操作。
图3是示出用于各种应用的协议级身份映射的架构的框图。身份映射系统(例如,图1的身份映射系统102)在协议级别执行身份映射操作。因此,映射对于应用和用户可以是透明的。
身份映射系统可以提供包括参考图2描述的操作的身份映射服务301。客户端设备向分布式计算系统108提交第一请求。第一请求可以包括第一用户身份302或与其相关联。第一请求可以访问由分布式计算系统108支持的web应用304。分布式计算系统108可以提供各种服务,包括例如数据库服务114、消息传递服务308和文件存储服务310。各种数据312、314和316可以通过这些服务来访问。数据库服务114、消息传递服务308和文件存储服务310中的每个在具有相应服务身份的相应服务帐户中执行。
服务于请求的web应用304可能需要验证用户身份302,并且使用一个或多个服务身份306来访问数据库服务114、消息传递服务308和文件存储服务310中的一个或多个。如果没有身份映射服务301,对于用户身份和服务身份,web应用304可能需要重复的管理和安全性。除了web应用304,请求还可以访问多于一个web应用。与web应用304一样,其他每个web应用也可能需要重复的管理和安全性。
与web应用场景类似,本地应用方法也可能需要重复的管理和安全性。例如,客户端设备可以提交访问分布式计算系统108的第二请求。第二请求可以包括第二用户身份320或与其相关联。本地应用322接收第二用户请求,并且使用一个或多个服务身份324访问数据库服务114、消息传递服务308和文件存储服务310中的一个或多个。本地应用322可以是为特定用户的特定操作而开发的应用,例如公司特定的记帐或库存跟踪程序。本地应用322可能需要对用户身份320和服务身份324的重复管理。不同的本地应用可能需要实现不同的管理和安全措施。
在协议级别工作的身份映射服务301可以处理管理和安全性,而无需每个web应用或本地应用实现重复的和应用特定的管理和安全性。身份映射服务301提供用户身份(例如,企业/企业身份)的认证和授权,而无需改变web或本地应用。身份映射服务301对在客户端设备与应用之间、在应用与分布式计算系统108之间或两者传递的分组执行自省(introspection)。身份映射服务301从分组中检测用户身份302和320的存在。身份映射服务301可以向认证服务326(例如,企业认证源)认证用户身份302和320。身份映射服务301还可以被配置为发布标记,例如Kerberos标记,该标记可以遵循由分布式计算系统108遵循的认证。
此外,身份映射服务301可以改变认证级别,并且在协议级别引入新的认证方法,而无需改变分布式计算系统108的配置。例如,身份映射服务301可以通过添加更多级别的认证来改变安全性强制流程,而无需改变云数据库和Hadoop数据库的数据库配置。
身份映射服务301可以针对各种技术和平台(例如,Hadoop)和云数据库服务(例如,RedshiftTM、RDSTM上的PostgreSQL等)在协议级别提供用户身份302和320(例如,业务或企业身份)的透明映射。身份映射服务301可以通过避免在分布式计算系统108上创建和维护业务或企业身份来提高分布式计算系统108的安全性和可缩放性。
图4是协议级身份映射的示例过程400的流程图。过程400可以由包括一个或多个计算机处理器的身份映射系统(例如,图1的身份映射系统102)执行。过程400独立于由客户端设备执行的本地认证和由分布式计算系统执行的本地认证而在协议级别执行。
身份映射系统拦截(402)从客户端设备提交至提供多个服务的分布式计算系统的用户请求。用户请求与用户凭证相关联。分布式计算系统可以包括Hadoop集群。服务可以包括分布式计算服务(例如,基于Spark的服务)、分布式文件存储服务(例如,基于HDFS的服务)、分布式数据仓库服务(例如,基于Hive的服务)或分布式消息传递服务(例如,基于Kafka的服务)中的至少一种。
身份映射系统确定(404)客户端设备提交用户请求的用户协议。确定用户协议可以包括:标识用户请求的字节流中的一个或多个标签,并且基于一个或多个标签来执行对用户协议的查找。
身份映射系统基于用户凭证来认证(406)用户请求。认证用户请求可以包括:由身份映射系统向用户认证服务提交用户凭证的表示,并且接收指示用户请求被用户认证服务认证的响应。
响应于对用户请求的成功认证,身份映射系统确定(408)服务中用户请求所被授权访问的服务。确定服务可以包括:标识与用户凭证中的用户标识符相关联的服务;标识与用户协议相关联的服务;或者基于用户请求中的一个或多个指示符来标识服务。
身份映射系统确定(410)与服务相关联的服务凭证。身份映射系统可以从包括数据库或配置文件的服务凭证数据存储库中确定服务凭证。
身份映射系统生成(412)服务请求。生成服务请求包括:至少部分地通过将服务凭证与服务请求相关联,来将用户请求的用户协议转换为与服务相关联的服务协议。转换用户协议可以包括将请求的用户标识符替换为服务标识符。身份映射系统将服务请求提交(414)给分布式计算系统。
在一些实现中,在拦截用户请求之前,身份映射系统执行以下操作。身份映射系统从客户端设备接收第一字节流。身份映射系统确定第一字节流包括认证请求。身份映射系统将第一字节流提交至分布式计算系统。身份映射系统从分布式计算系统接收第二字节流,该第二字节流包括标签,该标签指示认证请求将在信任模式中进行处理,在信任模式中用户凭证不需要以用于认证。身份映射系统修改第二字节流,包括改变标签以指示需要用户凭证。身份映射系统将经修改的字节流传输到客户端设备。由客户端设备响应于经修改的标签触发的经修改的字节流而提供用户凭证。
本说明书中描述的主题和功能操作的实施例可以在数字电子电路中,在有形地实施的计算机软件或固件中,在包括本说明书中公开的结构及其等同结构的计算机硬件中,或者在上述各项中的一个或多个的组合中实现。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序,即,在有形的非暂态程序载体上编码的用于由数据处理装置执行或控制数据处理装置的操作的一个或多个计算机程序指令模块。备选地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电信号、光信号或电磁信号,该信号被生成以对信息进行编码以传输到合适的接收装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行访问存储设备、或上述各项中的一个或多个的组合。但是,计算机存储介质不是传播信号。
术语“数据处理装置”涵盖用于处理数据的所有种类的装置、设备和机器,例如包括可编程处理器、计算机或多个处理器或计算机。该装置可以包括:专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该装置还可以包括为所讨论的计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统或上述各项中的一个或多个的组合的代码。
计算机程序(也可以称为或描述为程序、软件、软件应用、模块、软件模块、脚本或代码)可以以任何形式的编程语言(包括编译或解释语言、或声明性或程序语言)编写,并且可以以任何形式部署,包括作为独立程序或者作为模块、组件、子例程或适用于计算环境的其他单元。计算机程序可以但不必对应于文件系统中的文件。程序可以存储在保存其他程序或数据的文件的一部分中,例如存储在标记语言文档中,在专用于所讨论程序的单个文件中或在多个协调文件中的一个或多个脚本,例如,存储一个或多个模块、子程序或部分代码的文件。计算机程序可以被部署为在一个计算机或多个计算机上执行,多个计算机位于一个站点处或者分布在多个站点上并且通过通信网络互连。
如本说明书中使用的,“引擎”或“软件引擎”是指提供与输出不同的输出的软件实现的输入/输出系统。引擎可以是编码的功能块,诸如库、平台、软件开发工具包(“SDK”)或对象。每个引擎可以在包括一个或多个处理器和计算机可读介质的任何适当类型的计算设备上实现,例如,服务器、移动电话、平板电脑、笔记本计算机、音乐播放器、电子书阅读器、便携式计算机或台式计算机、PDA、智能电话、或者其他固定或便携式设备。另外,两个或更多个引擎可以在同一计算设备上或在不同的计算设备上被实现。
本说明书中描述的过程和逻辑流程可以由执行一个或多个计算机程序以通过对输入数据进行操作并且生成输出来执行功能的一个或多个可编程计算机来执行。处理和逻辑流程也可以由专用逻辑电路执行,并且装置也可以实现为专用逻辑电路,例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
例如,适合于执行计算机程序的计算机可以基于通用或专用微处理器或两者,或者基于任何其他种类的中央处理单元。通常,中央处理单元将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备(例如,磁盘、磁光盘或光盘),或者可操作地耦合以从这样的大容量存储设备接收数据或向其传输数据,或者两者。但是,计算机不必具有这样的设备。此外,计算机可以嵌入到另一设备,例如,移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏机、全球定位系统(GPS)接收器或便携式存储设备,例如通用串行总线(USB)闪存驱动器等。
适用于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储设备,包括:例如半导体存储设备,例如,EPROM、EEPROM和闪存设备;磁盘,例如内部硬盘或可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM磁盘。处理器和存储器可以由专用逻辑电路补充或并入其中。
为了提供与用户的交互,本说明书中描述的主题的实施例可以在具有用于向用户显示信息的显示设备(例如,CRT(阴极射线管)显示器、LCD(液晶显示器)显示器或OLED显示器)以及用于向计算机提供输入的输入设备(例如,键盘、鼠标或存在敏感显示器或其他表面)的计算机上实现。其他种类的设备也可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感觉反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入可以以任何形式接收,包括声音、语音或触觉输入。另外,计算机可以通过向由用户使用的设备发送资源或从其接收资源来与用户交互;例如,通过响应于从web浏览器接收的请求而将网页发送到用户的客户端设备上的web浏览器。
本说明书中描述的主题的实施例可以在包括后端组件(例如,作为数据服务器)或包括中间件组件(例如,应用服务器)或包括前端组件(例如,具有用户可以用来与本规范中描述的主题的实现交互的图形用户界面或web浏览器的客户端计算机)或者一个或多个这样的后端、中间件或前端组件的任何组合的计算系统中实现。系统的组件可以通过任何形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”),例如因特网。
该计算系统可以包括客户端和服务器。客户端和服务器通常彼此远离,并且通常通过通信网络交互。客户端与服务器之间的关系是通过在相应计算机上运行并且彼此具有客户端服务器关系的计算机程序产生的。
尽管本说明书包含很多特定的实现细节,但是这些细节不应当被解释为对任何发明或可以要求保护的范围的限制,而应当被解释为对特定发明的特定实施例而言特定的特征的描述。在本说明书中在单独的实施例的上下文中描述的某些特征也可以在单个实施例中组合实现。相反,在单个实施例的上下文中描述的各种特征也可以分别在多个实施例中或以任何合适的子组合来实现。
此外,尽管以上可以将特征描述为以某些组合起作用并且甚至最初如此要求保护,但是在某些情况下,可以从组合中排除所要求保护的组合的一个或多个特征,并且所要求保护的组合可以涉及子组合或子组合的变体。
类似地,尽管在附图中以特定顺序描绘了操作,但是这不应当被理解为要求以所示的特定顺序或以连续的顺序执行这样的操作,或者执行所有示出的操作以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应当被理解为在所有实施例中都需要这种分离,并且应当理解,所描述的程序组件和系统通常可以集成在单个软件产品或系统中,或者打包成多个软件产品。
已经描述了主题的特定实施例。其他实施例在所附权利要求的范围内。例如,权利要求中记载的动作可以以不同的顺序执行并且仍然实现期望的结果。作为一个示例,附图中描绘的过程不一定需要所示的特定顺序或连续的顺序来实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。

Claims (20)

1.一种方法,包括:
由身份映射系统拦截从客户端设备提交至提供多个服务的分布式计算系统的用户请求,所述用户请求与用户凭证相关联;
由所述身份映射系统确定所述客户端设备提交所述用户请求的用户协议;
基于所述用户凭证认证所述用户请求;
在成功地认证所述用户请求之后,由所述身份映射系统确定所述服务中所述用户请求被授权访问的服务;
确定与所述服务相关联的服务凭证;
由所述身份映射系统生成服务请求,包括至少部分地通过将所述服务凭证与所述服务请求相关联来将所述用户请求的所述用户协议转换为与所述服务相关联的服务协议;以及
由所述身份映射系统向所述分布式计算系统提交所述服务请求,其中所述身份映射系统包括一个或多个计算机处理器。
2.根据权利要求1所述的方法,其中所述分布式计算系统包括Hadoop集群,并且所述服务包括分布式计算服务、分布式文件存储服务、分布式数据仓库服务或分布式消息传递服务中的至少一项。
3.根据权利要求1所述的方法,其中认证所述用户请求包括:由所述身份映射系统向用户认证服务提交所述用户凭证的表示,以及接收指示所述用户请求被所述用户认证服务认证的响应。
4.根据权利要求1所述的方法,其中认证所述用户请求包括:执行可定制的多级认证,所述多级认证独立于由所述分布式计算系统提供的认证。
5.根据权利要求1所述的方法,其中转换所述用户协议包括:将所述用户请求的用户标识符替换为服务标识符。
6.根据权利要求1所述的方法,包括在拦截所述用户请求之前:
从所述客户端设备接收第一字节流;
确定所述第一字节流包括认证请求;
向所述分布式计算系统提交所述第一字节流;
从所述分布式计算系统接收第二字节流,所述第二字节流包括标签,所述标签指示所述认证请求将在信任模式中被处理,在所述信任模式中不需要所述用户凭证以用于认证;
修改所述第二字节流,包括改变所述标签以指示需要所述用户凭证;以及
向所述客户端设备提交经修改的所述字节流,其中所述用户凭证是由所述客户端设备响应于经修改的所述字节流而提供的。
7.根据权利要求1所述的方法,其中所述方法是独立于由所述客户端设备执行的本地认证和由所述分布式计算系统执行的本地认证而在协议级别被执行的。
8.一种非暂态计算机可读存储介质,存储由身份映射系统可执行的指令,所述指令在这样执行时使得所述身份映射系统执行操作,所述操作包括:
拦截从客户端设备被提交至提供多个服务的分布式计算系统的用户请求,所述用户请求与用户凭证相关联;
确定所述客户端设备提交所述用户请求的用户协议;
基于所述用户凭证认证所述用户请求;
在成功地认证所述用户请求之后,确定所述服务中所述用户请求被授权访问的服务;
确定与所述服务相关联的服务凭证;
生成服务请求,包括至少部分地通过将所述服务凭证与所述服务请求相关联来将所述用户请求的所述用户协议转换为与所述服务相关联的服务协议;以及
向所述分布式计算系统提交所述服务请求,其中所述身份映射系统包括一个或多个计算机处理器。
9.根据权利要求8所述的非暂态计算机可读存储介质,其中所述分布式计算系统包括Hadoop集群,并且所述服务包括分布式计算服务、分布式文件存储服务、分布式数据仓库服务或分布式消息传递服务中的至少一项。
10.根据权利要求8所述的非暂态计算机可读存储介质,其中认证所述用户请求包括:由所述身份映射系统向用户认证服务提交所述用户凭证的表示,以及接收指示所述用户请求被所述用户认证服务认证的响应。
11.根据权利要求8所述的非暂态计算机可读存储介质,其中认证所述用户请求包括:执行可定制的多级认证,所述多级认证独立于由所述分布式计算系统提供的认证。
12.根据权利要求8所述的非暂态计算机可读存储介质,其中转换所述用户协议包括:将所述用户请求的用户标识符替换为服务标识符。
13.根据权利要求8所述的非暂态计算机可读存储介质,所述操作包括在拦截所述用户请求之前:
从所述客户端设备接收第一字节流;
确定所述第一字节流包括认证请求;
向所述分布式计算系统提交所述第一字节流;
从所述分布式计算系统接收第二字节流,所述第二字节流包括标签,所述标签指示所述认证请求将在信任模式中被处理,在所述信任模式中不需要所述用户凭证以用于认证;
修改所述第二字节流,包括改变所述标签以指示需要所述用户凭证;以及
向所述客户端设备提交经修改的所述字节流,其中所述用户凭证是由所述客户端设备响应于经修改的所述字节流而提供的。
14.根据权利要求8所述的非暂态计算机可读存储介质,其中所述操作独立于由所述客户端设备执行的本地认证和由所述分布式计算系统执行的本地认证而在协议级别被执行。
15.一种身份映射系统,包括:
一个或多个计算机;以及
一个或多个存储设备,其上存储有指令,所述指令在由所述一个或多个计算机执行可操作以使得所述一个或多个计算机执行操作,所述操作包括:
拦截从客户端设备被提交至提供多个服务的分布式计算系统的用户请求,所述用户请求与用户凭证相关联;
确定所述客户端设备提交所述用户请求的用户协议;
基于所述用户凭证认证所述用户请求;
在成功地认证所述用户请求之后,确定所述服务中所述用户请求被授权访问的服务;
确定与所述服务相关联的服务凭证;
生成服务请求,包括至少部分地通过将所述服务凭证与所述服务请求相关联来将所述用户请求的所述用户协议转换为与所述服务相关联的服务协议;以及
向所述分布式计算系统提交所述服务请求。
16.根据权利要求15所述的身份映射系统,其中所述分布式计算系统包括Hadoop集群,并且所述服务包括分布式计算服务、分布式文件存储服务、分布式数据仓库服务或分布式消息传递服务中的至少一项。
17.根据权利要求15所述的身份映射系统,其中认证所述用户请求包括:由所述身份映射系统向用户认证服务提交所述用户凭证的表示,以及接收指示所述用户请求被所述用户认证服务认证的响应。
18.根据权利要求15所述的身份映射系统,其中认证所述用户请求包括:执行可定制的多级认证,所述多级认证独立于由所述分布式计算系统提供的认证。
19.根据权利要求15所述的身份映射系统,其中转换所述用户协议包括:将所述用户请求的用户标识符替换为服务标识符。
20.根据权利要求15所述的身份映射系统,所述操作包括在拦截所述用户请求之前:
从所述客户端设备接收第一字节流;
确定所述第一字节流包括认证请求;
向所述分布式计算系统提交所述第一字节流;
从所述分布式计算系统接收第二字节流,所述第二字节流包括标签,所述标签指示所述认证请求将在信任模式中被处理,在所述信任模式中不需要所述用户凭证以用于认证;
修改所述第二字节流,包括改变所述标签以指示需要所述用户凭证;以及
向所述客户端设备提交经修改的所述字节流,其中所述用户凭证是由所述客户端设备响应于经修改的所述字节流而提供的。
CN201880024836.1A 2017-04-13 2018-04-12 用于协议级身份映射的方法和系统 Active CN110521182B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/487,360 2017-04-13
US15/487,360 US10250723B2 (en) 2017-04-13 2017-04-13 Protocol-level identity mapping
PCT/US2018/027373 WO2018191543A1 (en) 2017-04-13 2018-04-12 Protocol-level identity mapping

Publications (2)

Publication Number Publication Date
CN110521182A true CN110521182A (zh) 2019-11-29
CN110521182B CN110521182B (zh) 2022-02-25

Family

ID=63791074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880024836.1A Active CN110521182B (zh) 2017-04-13 2018-04-12 用于协议级身份映射的方法和系统

Country Status (4)

Country Link
US (1) US10250723B2 (zh)
EP (1) EP3610623B1 (zh)
CN (1) CN110521182B (zh)
WO (1) WO2018191543A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115883119A (zh) * 2021-09-29 2023-03-31 富联精密电子(天津)有限公司 服务验证方法、电子装置及存储介质

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7458763B2 (ja) * 2018-12-13 2024-04-01 ソニーセミコンダクタソリューションズ株式会社 階層セキュリティを備えたフラッシュ変換層
EP3689683B1 (en) 2019-02-04 2024-05-01 Valeo Vision Light emitting module for an automotive vehicle
CN110022294A (zh) * 2019-02-27 2019-07-16 广州虎牙信息科技有限公司 一种代理服务器、Docker系统及其权限管理方法、存储介质
CN110232101A (zh) * 2019-06-10 2019-09-13 北京红山信息科技研究院有限公司 基于数据仓库的应用运行方法、装置、终端及存储介质
US11405393B2 (en) * 2019-09-25 2022-08-02 Microsoft Technology Licensing, Llc Calls to web services via service proxy
CN111240867B (zh) * 2020-01-21 2023-11-03 中移(杭州)信息技术有限公司 一种信息通讯系统及方法
US11899685B1 (en) 2021-12-10 2024-02-13 Amazon Technologies, Inc. Dividing authorization between a control plane and a data plane for sharing database data
CN116827695B (zh) * 2023-08-30 2023-10-31 中邮消费金融有限公司 黑名单共享方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140189845A1 (en) * 2012-12-27 2014-07-03 Yigang Cai Authentication of applications that access web services
CN104917742A (zh) * 2014-03-11 2015-09-16 华为技术有限公司 一种信息传送方法及装置
CN105409183A (zh) * 2013-08-23 2016-03-16 华为技术有限公司 用于在html5应用中实现任何网络功能客户端或服务器的系统和设备

Family Cites Families (75)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0546568A (ja) 1991-08-08 1993-02-26 Internatl Business Mach Corp <Ibm> 分散アプリケーシヨン実行装置および方法
US5604490A (en) * 1994-09-09 1997-02-18 International Business Machines Corporation Method and system for providing a user access to multiple secured subsystems
US6463470B1 (en) 1998-10-26 2002-10-08 Cisco Technology, Inc. Method and apparatus of storing policies for policy-based management of quality of service treatments of network data traffic flows
US6687229B1 (en) 1998-11-06 2004-02-03 Lucent Technologies Inc Quality of service based path selection for connection-oriented networks
US7730089B2 (en) 1998-11-16 2010-06-01 Punch Networks Corporation Method and system for providing remote access to the facilities of a server computer
US6226372B1 (en) 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
JP2001273388A (ja) 2000-01-20 2001-10-05 Hitachi Ltd セキュリティ管理システムおよび方法
US6826609B1 (en) 2000-03-31 2004-11-30 Tumbleweed Communications Corp. Policy enforcement in a secure data file delivery system
WO2001080024A2 (en) 2000-04-17 2001-10-25 Circadence Corporation Gateway buffer prioritization
WO2001082092A1 (en) 2000-04-20 2001-11-01 Securenet Limited Secure system access
US20020019828A1 (en) 2000-06-09 2002-02-14 Mortl William M. Computer-implemented method and apparatus for obtaining permission based data
US7542943B2 (en) 2000-10-30 2009-06-02 Amazon Technologies, Inc. Computer services and methods for collecting payments from and providing content to web users
US8095869B2 (en) 2000-12-29 2012-01-10 International Business Machines Corporation Latches-links as virtual attachments in documents
US6785756B2 (en) 2001-05-10 2004-08-31 Oracle International Corporation Methods and systems for multi-policy resource scheduling
US6957261B2 (en) 2001-07-17 2005-10-18 Intel Corporation Resource policy management using a centralized policy data structure
EP1412870A4 (en) 2001-07-30 2005-07-13 Alcatel Internetworking Inc DISTRIBUTED NETWORK MANAGEMENT SYSTEM WITH GUIDELINES
US7631084B2 (en) 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
US7350226B2 (en) 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
US6993596B2 (en) * 2001-12-19 2006-01-31 International Business Machines Corporation System and method for user enrollment in an e-community
US7822980B2 (en) 2002-03-15 2010-10-26 International Business Machines Corporation Authenticated identity propagation and translation within a multiple computing unit environment
US20040054791A1 (en) 2002-09-17 2004-03-18 Krishnendu Chakraborty System and method for enforcing user policies on a web server
US20040073668A1 (en) 2002-10-10 2004-04-15 Shivaram Bhat Policy delegation for access control
US7631089B2 (en) 2002-12-31 2009-12-08 Intel Corporation System for device-access policy enforcement
US20040267749A1 (en) 2003-06-26 2004-12-30 Shivaram Bhat Resource name interface for managing policy resources
US7594256B2 (en) 2003-06-26 2009-09-22 Sun Microsystems, Inc. Remote interface for policy decisions governing access control
US7757268B2 (en) 2003-07-25 2010-07-13 Oracle International Corporation Policy based service management
US7539722B2 (en) 2003-10-24 2009-05-26 Microsoft Corporation Method and system for accessing a file
US7607008B2 (en) 2004-04-01 2009-10-20 Microsoft Corporation Authentication broker service
US20060053216A1 (en) 2004-09-07 2006-03-09 Metamachinix, Inc. Clustered computer system with centralized administration
US7721328B2 (en) 2004-10-01 2010-05-18 Salesforce.Com Inc. Application identity design
WO2006098725A2 (en) 2005-03-11 2006-09-21 Cluster Resources, Inc. System and method for enforcing future policies in a compute environment
FR2894757B1 (fr) 2005-12-13 2008-05-09 Viaccess Sa Procede de controle d'acces a un contenu embrouille
US7716240B2 (en) 2005-12-29 2010-05-11 Nextlabs, Inc. Techniques and system to deploy policies intelligently
TWI298129B (en) 2006-01-20 2008-06-21 Hon Hai Prec Ind Co Ltd System and method for processing files distributively
KR101359324B1 (ko) 2006-03-27 2014-02-24 텔레콤 이탈리아 소시에떼 퍼 아찌오니 이동 통신 장치상의 보안 정책 시행 방법
US7739744B2 (en) 2006-03-31 2010-06-15 Novell, Inc. Methods and systems for multifactor authentication
FI20065288A (fi) 2006-05-03 2007-11-04 Emillion Oy Autentikointi
US9253151B2 (en) 2006-05-25 2016-02-02 International Business Machines Corporation Managing authentication requests when accessing networks
US8181221B2 (en) 2007-08-16 2012-05-15 Verizon Patent And Licensing Inc. Method and system for masking data
ITTO20070853A1 (it) 2007-11-26 2009-05-27 Csp Innovazione Nelle Ict Scar Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
US8417723B1 (en) 2008-09-12 2013-04-09 Salesforce.Com, Inc. System, method and computer program product for enabling access to a resource of a multi-tenant on-demand database service utilizing a token
US8886672B2 (en) 2009-03-12 2014-11-11 International Business Machines Corporation Providing access in a distributed filesystem
US8613108B1 (en) 2009-03-26 2013-12-17 Adobe Systems Incorporated Method and apparatus for location-based digital rights management
GB2507941B (en) 2010-02-22 2018-10-31 Avaya Inc Secure,policy-based communications security and file sharing across mixed media,mixed-communications modalities and extensible to cloud computing such as soa
US8402527B2 (en) 2010-06-17 2013-03-19 Vmware, Inc. Identity broker configured to authenticate users to host services
US8893215B2 (en) 2010-10-29 2014-11-18 Nokia Corporation Method and apparatus for providing distributed policy management
US9589145B2 (en) 2010-11-24 2017-03-07 Oracle International Corporation Attaching web service policies to a group of policy subjects
US8683560B1 (en) 2010-12-29 2014-03-25 Amazon Technologies, Inc. Techniques for credential generation
US20140128053A1 (en) 2011-04-27 2014-05-08 Moses Akbar Merchant Accessing and interacting with web content and services using an external device to control a communication device
US8677447B1 (en) 2011-05-25 2014-03-18 Palo Alto Networks, Inc. Identifying user names and enforcing policies
US8789157B2 (en) 2011-09-06 2014-07-22 Ebay Inc. Hybrid cloud identity mapping infrastructure
US20130091266A1 (en) 2011-10-05 2013-04-11 Ajit Bhave System for organizing and fast searching of massive amounts of data
US20130117313A1 (en) 2011-11-08 2013-05-09 Microsoft Corporation Access control framework
EP2847686B1 (en) 2012-05-07 2019-10-30 Digital Guardian, Inc. Enhanced document and event mirroring for accessing content
US8893258B2 (en) 2012-06-11 2014-11-18 Cisco Technology, Inc. System and method for identity based authentication in a distributed virtual switch network environment
EP2880837B1 (en) 2012-08-02 2019-10-30 Cellsec Limited Automated multi-level federation and enforcement of information management policies in a device network
US8935764B2 (en) 2012-08-31 2015-01-13 Hewlett-Packard Development Company, L.P. Network system for implementing a cloud platform
US9087209B2 (en) 2012-09-26 2015-07-21 Protegrity Corporation Database access control
US9130920B2 (en) 2013-01-07 2015-09-08 Zettaset, Inc. Monitoring of authorization-exceeding activity in distributed networks
US9258198B2 (en) 2013-02-12 2016-02-09 International Business Machines Corporation Dynamic generation of policy enforcement rules and actions from policy attachment semantics
US9026783B2 (en) 2013-03-07 2015-05-05 Google Inc. Low latency server-side redirection of UDP-based transport protocols traversing a client-side NAT firewall
US9160718B2 (en) 2013-05-23 2015-10-13 Iboss, Inc. Selectively performing man in the middle decryption
US9621625B2 (en) 2013-07-11 2017-04-11 Cinarra Systems Method and system for correlation of internet application domain identities and network device identifiers
CN105684388B (zh) * 2013-09-20 2019-04-09 甲骨文国际公司 利用表单填充代理应用的基于网络的单点登录
US9575974B2 (en) 2013-10-23 2017-02-21 Netapp, Inc. Distributed file system gateway
US9973534B2 (en) 2013-11-04 2018-05-15 Lookout, Inc. Methods and systems for secure network connections
TW201600997A (zh) 2014-06-30 2016-01-01 萬國商業機器公司 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品
US9477833B2 (en) 2014-09-22 2016-10-25 Symantec Corporation Systems and methods for updating possession factor credentials
EP3201816B1 (en) * 2014-09-30 2022-09-07 Citrix Systems, Inc. Fast smart card logon and federated full domain logon
US9628486B2 (en) 2014-10-23 2017-04-18 Vormetric, Inc. Access control for data blocks in a distributed filesystem
US10129256B2 (en) 2015-01-08 2018-11-13 BlueTalon, Inc. Distributed storage and distributed processing query statement reconstruction in accordance with a policy
GB2538518B (en) 2015-05-19 2017-12-27 Avecto Ltd Computer device and method for controlling access to a resource via a security system
US10454974B2 (en) * 2015-06-29 2019-10-22 Citrix Systems, Inc. Systems and methods for flexible, extensible authentication subsystem that enabled enhance security for applications
US9866592B2 (en) 2015-09-28 2018-01-09 BlueTalon, Inc. Policy enforcement system
US9871825B2 (en) 2015-12-10 2018-01-16 BlueTalon, Inc. Policy enforcement for compute nodes

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140189845A1 (en) * 2012-12-27 2014-07-03 Yigang Cai Authentication of applications that access web services
CN105409183A (zh) * 2013-08-23 2016-03-16 华为技术有限公司 用于在html5应用中实现任何网络功能客户端或服务器的系统和设备
CN104917742A (zh) * 2014-03-11 2015-09-16 华为技术有限公司 一种信息传送方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115883119A (zh) * 2021-09-29 2023-03-31 富联精密电子(天津)有限公司 服务验证方法、电子装置及存储介质

Also Published As

Publication number Publication date
US20180302399A1 (en) 2018-10-18
WO2018191543A1 (en) 2018-10-18
US10250723B2 (en) 2019-04-02
EP3610623A4 (en) 2020-08-19
CN110521182B (zh) 2022-02-25
EP3610623B1 (en) 2021-10-27
EP3610623A1 (en) 2020-02-19

Similar Documents

Publication Publication Date Title
CN110521182A (zh) 协议级身份映射
US10171455B2 (en) Protection of application passwords using a secure proxy
US10223524B1 (en) Compromised authentication information clearing house
US11651367B2 (en) Security in a communication network
US10320773B2 (en) Validation for requests
US10176318B1 (en) Authentication information update based on fraud detection
US10699023B1 (en) Encryption profiles for encrypting user-submitted data
US11831755B2 (en) Generating hypervisor protected key for cryptography
US11363021B1 (en) Proxy service for two-factor authentication
US10135808B1 (en) Preventing inter-application message hijacking
US20190372880A1 (en) Deserialization service
US11363012B1 (en) System and methods for using role credentials associated with a VM instance
US10049222B1 (en) Establishing application trust levels using taint propagation
US10172001B1 (en) Authentication mechanism
US11373185B2 (en) Transaction with security integrity and permission management
US11003761B2 (en) Inferred access authentication decision for an application
CA2991067A1 (en) Providing multi-factor authentication credentials via device notifications
US20230188515A1 (en) Securely preserving prior security tokens for recall
US20230269298A1 (en) Protecting api keys for accessing services
US11146558B2 (en) Stateless multi-party authorization system in web applications
US11777959B2 (en) Digital security violation system
US11394717B2 (en) Digitally secure transactions over public networks
US20230283484A1 (en) Privacy-preserving user certificates
CN113572784A (zh) Vpn用户身份认证方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20200812

Address after: Washington State

Applicant after: MICROSOFT TECHNOLOGY LICENSING, LLC

Address before: California, USA

Applicant before: BLUETALON, Inc.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant