CN111970116A - 具有远程认证的虚拟递送设备和系统以及相关方法 - Google Patents
具有远程认证的虚拟递送设备和系统以及相关方法 Download PDFInfo
- Publication number
- CN111970116A CN111970116A CN202010431097.7A CN202010431097A CN111970116A CN 111970116 A CN111970116 A CN 111970116A CN 202010431097 A CN202010431097 A CN 202010431097A CN 111970116 A CN111970116 A CN 111970116A
- Authority
- CN
- China
- Prior art keywords
- authentication
- client device
- virtual
- application
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 68
- 230000004044 response Effects 0.000 claims abstract description 73
- 238000004891 communication Methods 0.000 claims description 22
- 238000010586 diagram Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 24
- 238000007726 management method Methods 0.000 description 8
- 230000006855 networking Effects 0.000 description 8
- 230000008901 benefit Effects 0.000 description 7
- 239000003795 chemical substances by application Substances 0.000 description 7
- 238000013519 translation Methods 0.000 description 7
- 238000013459 approach Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000008520 organization Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 235000014510 cooky Nutrition 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- OFMQLVRLOGHAJI-FGHAYEPSSA-N (4r,7s,10s,13r,16s,19r)-n-[(2s,3r)-1-amino-3-hydroxy-1-oxobutan-2-yl]-19-[[(2r)-2-amino-3-phenylpropanoyl]amino]-10-[3-(diaminomethylideneamino)propyl]-7-[(1r)-1-hydroxyethyl]-16-[(4-hydroxyphenyl)methyl]-13-(1h-indol-3-ylmethyl)-3,3-dimethyl-6,9,12,15,18 Chemical compound C([C@H]1C(=O)N[C@H](CC=2C3=CC=CC=C3NC=2)C(=O)N[C@@H](CCCNC(N)=N)C(=O)N[C@H](C(=O)N[C@@H](C(SSC[C@@H](C(=O)N1)NC(=O)[C@H](N)CC=1C=CC=CC=1)(C)C)C(=O)N[C@@H]([C@H](O)C)C(N)=O)[C@@H](C)O)C1=CC=C(O)C=C1 OFMQLVRLOGHAJI-FGHAYEPSSA-N 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 3
- 238000003491 array Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000032258 transport Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 241000501754 Astronotus ocellatus Species 0.000 description 1
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000003619 Marshal aromatic alkylation reaction Methods 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000003416 augmentation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 238000011010 flushing procedure Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- UGODCLHJOJPPHP-AZGWGOJFSA-J tetralithium;[(2r,3s,4r,5r)-5-(6-aminopurin-9-yl)-4-hydroxy-2-[[oxido(sulfonatooxy)phosphoryl]oxymethyl]oxolan-3-yl] phosphate;hydrate Chemical compound [Li+].[Li+].[Li+].[Li+].O.C1=NC=2C(N)=NC=NC=2N1[C@@H]1O[C@H](COP([O-])(=O)OS([O-])(=O)=O)[C@@H](OP([O-])([O-])=O)[C@H]1O UGODCLHJOJPPHP-AZGWGOJFSA-J 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
- G06F9/452—Remote windowing, e.g. X-Window System, desktop virtualisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
Abstract
虚拟递送设备可以通过网络与客户端装置通信,以向客户端装置提供用于用户的虚拟会话。处理器可以被配置成通过网络与客户端装置通信,以执行与依赖方的注册操作。虚拟会话内的应用可以执行与依赖方的认证操作以访问资源。处理器可以被配置成响应于应用从依赖方接收到用于用户访问资源的认证挑战消息而将认证挑战消息转发到客户端装置,并且从客户端装置接收响应于认证挑战消息的认证应答消息。
Description
相关申请
本申请要求美国临时申请序列号No. 62 / 850099的权益,该申请于2019年5月20日提交,其全部内容通过引用合并于此。
技术领域
本公开涉及桌面虚拟化,并且更特别地涉及虚拟化认证。
背景技术
现在,许多组织都在使用应用和/或桌面虚拟化来提供更灵活的选项,以解决其用户不断变化的需求。在桌面虚拟化中,可以将用户的计算环境(例如,操作系统,应用和/或用户设置)与用户的物理计算装置(例如,智能手机,膝上型计算机,台式计算机)分开。使用客户端服务器技术,“虚拟桌面”可以存储在远程服务器中并由远程服务器管理,而不是存储在客户端装置的本地存储装置中。
存在几种不同类型的桌面虚拟化系统。例如,虚拟桌面基础结构(VDI)是指在驻留在服务器上的虚拟机内部运行用户桌面和/或应用的过程。虚拟化系统也可以在云计算环境或云系统中实现,在该环境中,可以使用计算资源池(例如,桌面虚拟化服务器)、存储磁盘、联网硬件和其它物理资源来提供虚拟桌面,和/或提供对共享应用的访问。
发明内容
虚拟递送设备可以包括存储器和处理器,该处理器被配置成与存储器协作以通过网络与客户端装置通信,以向客户端装置提供针对用户的虚拟会话。处理器可以被配置成通过网络与客户端装置通信,以执行与依赖方的注册操作。虚拟会话内的应用可以执行与依赖方的认证操作以访问资源。处理器可以被配置成响应于应用从依赖方接收到用于用户访问资源的认证挑战消息而将认证挑战消息转发到客户端装置,并且从客户端装置接收响应于认证挑战消息的认证应答消息。认证应答消息可以基于从客户端装置的存储器可访问的用户的生物统计特征(biometric characteristic)。该应用可以将认证应答消息转发给依赖方以完成认证操作。
在一些实施例中,客户端装置可以包括被配置成生成用户的生物统计特征的生物统计装置。在其它实施例中,客户端装置可以包括本地无线收发器,该本地无线收发器被配置成与移动无线通信装置交换认证挑战消息和认证应答消息。
此外,客户端装置和虚拟会话可以被配置成在它们之间操作虚拟信道,以将认证挑战消息和认证应答消息包装(wrap)在信道协议内。例如,该应用可以包括web浏览器应用。
处理器可以配置成从依赖方接收web认证应用编程接口(API)命令。处理器可以配置成将来自依赖方的web认证API命令转换为认证挑战消息。客户端装置可以被配置成基于认证挑战消息来生成web认证API命令。
web认证API命令可以包括WebAuthn标准认证命令。应用在虚拟操作系统(OS)内操作的虚拟递送设备,并且虚拟OS可以包括本地认证接口。处理器可以被配置成截获来自依赖方的本地认证接口的认证OS命令。处理器可以被配置成将来自依赖方的认证OS命令转换为认证挑战消息,并且客户端装置可以被配置成基于认证挑战消息来重构认证OS命令。
另一个方面涉及一种计算系统,该计算系统包括客户端装置和虚拟递送设备,该虚拟递送设备被配置成通过网络与客户端装置通信,以向客户端装置提供针对用户的虚拟会话。虚拟递送设备可以被配置成通过网络与客户端装置通信,以执行与依赖方的注册操作。虚拟会话内的应用可以执行与依赖方的认证操作以访问资源。虚拟递送设备可以被配置成响应于应用从依赖方接收到用于用户访问资源的依赖方的认证挑战消息而将认证挑战消息转发到客户端装置,并且从客户端装置接收响应于认证挑战消息的认证应答消息。认证应答消息可以基于从客户端装置的存储器可访问的用户的生物统计特征,并且应用可以将认证应答消息转发给依赖方以完成认证操作。
一种方法用于操作虚拟递送设备。该方法可以包括:通过网络与客户端装置通信,以向客户端装置提供针对用户的虚拟会话;以及通过网络与客户端装置通信,以执行与依赖方的注册操作。虚拟会话内的应用可以执行与依赖方的认证操作以访问资源。该方法可以包括:响应于应用从依赖方接收到用于用户访问资源的认证挑战消息,将认证挑战消息转发到客户端装置;以及从客户端装置接收响应于认证挑战消息的认证应答消息。认证应答消息可以基于从客户端装置的存储器可访问的用户的生物统计特征,并且应用可以将认证应答消息转发给依赖方以完成认证操作。
附图说明
图1是其中可以实现本公开的各个方面的计算装置的网络环境的示意框图。
图2是对于实施图1中所示的客户端机器或远程机器的实施例有用的计算装置的示意框图。
图3是其中可以实现本公开的各个方面的云计算环境的示意框图。
图4是其中可以实现本公开的各个方面的、操作工作空间应用的桌面,移动和基于网络的装置的示意性框图。
图5是其中可以实现本公开的各个方面的计算装置的工作空间网络环境的示意框图。
图6是根据第一示例实施例的实现FIDO2(在线快速身份识别)生物重定向的计算系统的示意框图。
图7是根据第二示例实施例的计算系统的示意框图。
图8A-8B是由图7的计算系统中的虚拟递送设备执行的一系列步骤的流程图。
图9是根据第三示例实施例的计算系统的示意框图。
图10是根据第四示例实施例的计算系统的示意框图。
图11是根据第五示例实施例的计算系统的示意框图。
图12是示出图7的计算系统的示例实施例中的注册操作的序列图。
图13是示出图7的计算系统的示例实施例中的认证操作的序列图。
图14A-14B是示出图7的计算系统的示例实施例中的注册操作的序列图。
图15A-15C是示出在图7的计算系统的示例实施例中的认证操作的序列图。
图16A-16B是示出图9的计算系统的示例实施例中的注册操作的序列图。
图17A-17B是示出图9的计算系统的示例实施例中的认证操作的序列图。
图18是示出图7的计算系统的示例实施例中的用户界面的屏幕打印。
图19是示出图7的计算系统的示例实施例中的注册界面的屏幕打印。
图20是示出图7的计算系统的示例实施例中的注册界面的屏幕打印。
图21是示出图7的计算系统的示例实施例中的登录界面的屏幕打印。
图22是示出图7的计算系统的示例实施例中的登录界面的屏幕打印。
具体实施方式
由于托管硬件的通用硬件性质,在典型方法中不能得到在托管浏览器和本机应用中使用生物认证服务的能力。特别是,基于虚拟可信平台模块(TPM)装置的解决方案可能不是可行的选择,因为物理TPM具有已烧入芯片中的Rivest–Shamir–Adleman(RSA)密钥,所述密钥验证其嵌入的平台。
使用密码作为认证形式存在一个全球性安全问题。它们是不安全的,对于最终用户而言越来越不方便,存在隐私问题,并且在企业级别,有效的密码策略不可扩展。特别地,常规认证系统主要基于密码,并且在两个方面遭受主要缺点:安全性和便利性。安全性:在端点上,密码容易遭受网络钓鱼攻击。在主机处,存在一个设计问题,即在主机环境中或利用云存储安全地存储散列密码,这两种密码都容易受到窃取攻击。便利性:随着帐户的增加,记住不同帐户的密码对用户来说变得充满挑战。为了减轻这种情况,用户可以选择将它们安全地保存在端点(客户端装置)平台的证书管理器中。如果端点无法安全地检索保存的密码,将导致执行附加方法来识别用户并创建新密码。此外,建议定期更改密码。前述内容有助于基于密码的认证系统及其在端点设备处的管理的不便方面。
FIDO2提供了一个用户认证框架,该框架可以替换密码,并且将在不损害跨不同类型的设备和客户端的用户便利性和体验的情况下实现它。该框架将密码替换为FIDO2证书,该证书不会被网络钓鱼,重播并且不会受到服务器违规攻击。用户可以方便地使用手势,例如使用PIN或生物统计学来认证使用FIDO2证书。FIDO2是FIDO Alliance最新规范集的总称。FIDO2使用户能够利用通用装置轻松地对移动和桌面环境中的在线服务进行认证。
从安全角度来看,FIDO2的密码登录证书跨每个网站都是唯一的,永远不会离开用户的设备,也永远不会存储在服务器上。此安全模型有助于消除网络钓鱼的风险以及密码盗窃和重播攻击的形式。
使用生物统计学有助于解决最终用户的便利性和隐私问题。用户使用内置方法(例如其设备上的指纹读取器或照相机)或通过利用易于使用的FIDO安全密钥来解锁密码登录证书。因为FIDO加密密钥对于每个互联网站点都是唯一的,所以它们不能用于跨站点跟踪用户。另外,生物统计数据在使用时绝不会离开用户的装置。最后,关于可扩展性,网站可以通过简单的JavaScript(JS)API调用来启用FIDO2,该调用跨数十亿装置消费者每天使用的领先浏览器和平台得到支持。
FIDO2需要三个组件才能起作用。认证器,认证器协议客户端(CTAP)和生物统计装置备。在现代笔记本电脑上,这些组件利用TPM 2.0模块(认证器),Windows Hello(CTAP)和集成的IR照相机或指纹扫描仪(生物统计装置)来解决。所有这些组件都需要对于已经启用WebAuthn的网站认证。
在虚拟世界中,例如在Windows 10虚拟桌面上,这些组件都不存在。没有TPM 2.0模块,没有集成的生物统计装置,并且因此也没有Windows Hello。本方法通过利用本地端点装置组件在虚拟桌面中执行FIDO2认证来解决这些技术问题。因此,减轻了虚拟会话中对密码的需求。使用生物统计识别符(指纹、面部识别等)来识别用户这一事实大大提高了便利性,从而消除了对于存储和密码重置的任何需求。
应当注意,不可能在托管(虚拟环境)中直接应用FIDO2,因为如上所述,要么不存在物理TPM,要么即使存在物理TPM时,在通常情况下不同用户会话之间也没有持久性,例如远程桌面会话主机(RDSH,终端服务器/多用户环境),池化桌面或Citrix Secure Browser服务,其中可以将不同的物理硬件(并且因此不同的TPM实例)与持久性OS实例,身份磁盘和每个带有VDA的新用户会话的用户层组合。
本文阐述的示例方法创建了用于对托管应用和桌面进行无密码认证的安全框架。特别地,本公开涉及一种生物统计认证框架,该生物统计认证框架利用客户端装置(台式计算装置,移动装置或具有Citrix Workspace App(CWA) 的受信任多跳)处的密码处理器(例如TPM 2.0)来为托管的浏览器和本机应用提供生物统计认证服务。更特别地,本公开提供了一种具有用于安全且鲁棒地重定向认证流并利用端点设备能力的技术的方法。完成认证操作所需的生物统计密钥被安全地锁定在密码处理器中,并且托管的应用和桌面通过安全流水线(pipeline)获得其服务。当台式装置不具有FIDO2能力时,可以将与台式装置安全地配对的具有FIDO2能力的移动装置用于完成认证操作。此外,为了实现安全性,弹性和高性能,可以将经过认证的证书ID存储在托管台式计算机,端点装置和移动装置的全部或子集上。本方法的优点在于,它在虚拟会话中启用了FIDO2。
特别地,本公开提供了从客户端装置和关联的移动装置(密码处理器的重定向)到托管硬件的认证硬件的远程处理。对于用户而言,这为远程托管的浏览器和本机应用提供了基于FIDO2(无密码)的生物统计认证服务。这样,本文阐述的系统和方法有利地在虚拟化和/或企业计算环境内提供了改进的性能。
首先参考图1,其中可以在实现本公开的各个方面的非限制性网络环境10包括一个或多个客户端机器12 A- 12 N ,一个或多个远程机器16 A- 16 N ,一个或多个网络14、14'和安装在计算环境10中的一个或多个设备18。客户端机器12 A- 12 N通过网络16 A-16 N与远程机器14、14'通信。
在一些实施例中,客户端机器12 A- 12 N经由中间设备18与远程机器16 A-16 N通信。所示的设备18位于网络14、14'之间,并且也可以称为网络接口或网关。在一些实施例中,设备108可以作为应用递送控制器(ADC)进行操作以向客户端提供对业务应用和跨客户端装置范围部署在数据中心,云中或作为软件即服务(SaaS)递送的其它数据的访问和/或提供其它功能性,诸如负载平衡等。在一些实施例中,可以使用多个设备18,并且可以将设备18部署为网络14和/或14'的一部分。
客户端机器12 A- 12 N通常可以称为客户端机器12,本地机器12,客户端12,客户端节点12,客户端计算机12,客户端装置12,计算装置12,端点12,或端点节点12。远程机器16 A- 16 N通常可以称为服务器16或服务器场16。在一些实施例中,客户端装置12可具有用来充当寻求访问由服务器16提供的资源的客户端节点并充当提供对其它客户端装置12A- 12 N的托管资源的访问的服务器16两者的能力。网络14、14'通常可以被称为网络14。网络14可以以有线和无线网络的任何组合来配置。
服务器16可以是任何服务器类型,例如比如:文件服务器;应用服务器;web服务器;代理服务器;设备;网络设备;网关;应用网关;网关服务器;虚拟化服务器;部署服务器;安全套接字层虚拟专用网(SSL VPN)服务器;防火墙;web服务器;执行活动目录的服务器;云服务器;或执行提供防火墙功能性、应用功能性或负载平衡功能性的应用加速程序的服务器。
服务器16可能执行,操作或以其它方式提供可能是以下任何之一的应用:软件;程序;可执行指令;虚拟机;管理程序;web浏览器;基于web的客户端;客户端服务器应用;瘦客户端计算客户端; ActiveX控件; Java小程序;与互联网协议语音(VoIP)通信相关的软件,例如软IP电话;用于流视频和/或音频的应用;用于促进实时数据通信的应用;HTTP客户端;FTP客户端;Oscar客户端;Telnet客户端;或任何其它可执行指令集。
在一些实施例中,服务器16可以执行使用瘦客户端或远程显示协议的远程演示服务程序或其它程序来捕获由在服务器16上执行的应用生成的显示输出并将应用显示输出传输到客户端装置12。
在又一实施例中,服务器16可以执行向客户端装置12的用户提供对计算环境的访问的虚拟机。客户端装置12可是虚拟机。可以通过例如管理程序、虚拟机管理器(VMM)或服务器16内的任何其它硬件虚拟化技术来管理虚拟机。
在一些实施例中,网络14可以是:局域网(LAN);城域网(MAN);广域网(WAN);初级公共网络14;和初级私人网络14。附加实施例可以包括使用各种协议在移动装置之间进行通信的移动电话网络的网络14。对于无线局域网(WLAN)内的短程通信,协议可以包括802.11、蓝牙和近场通信(NFC)。
图2描绘了用于实践客户端装置12、设备18和/或服务器16的实施例的计算装置20的框图。计算装置20包括一个或多个处理器22、易失性存储器24(例如,随机存取存储器(RAM))、非易失性存储器30、用户接口(UI)38、一个或多个通信接口26以及通信总线48。
非易失性存储器30可以包括:一个或多个硬盘驱动器(HDD)或其它磁或光存储介质;一个或多个固态驱动器(SSD),例如闪存驱动器或其它固态存储介质;一个或多个混合磁驱动器和固态驱动器;和/或一个或多个虚拟存储卷,例如云存储,或此类物理存储卷和虚拟存储卷或其阵列的组合。
用户接口38可以包括图形用户界面(GUI)40(例如,触摸屏、显示器等)和一个或多个输入/输出(I/O)设备42(例如,鼠标、键盘、麦克风、一个或多个扬声器、一个或多个照相机、一个或多个生物统计扫描仪、一个或多个环境传感器以及一个或多个加速度计等)。
非易失性存储器30存储操作系统32、一个或多个应用34和数据36,使得例如在易失性存储器24外由(一个或多个)处理器22执行操作系统32和/或应用34的计算机指令。在一些实施例中,易失性存储器24可以包括可以提供比主存储器更快的响应时间的一种或多种类型的RAM和/或高速缓冲存储器。可以使用GUI 40的输入装置来输入数据,或者可以从I/ O装置42接收数据。计算机20的各种元件可以经由通信总线48进行通信。
示出的计算装置20仅被示出为示例客户端装置或服务器,并且可以由具有任何类型的机器或一组机器的任何计算或处理环境来实现,这些机器或机器组可以具有能够如本文所述进行操作的合适的硬件和/或软件。
处理器22可以由一个或多个可编程处理器实现以执行一个或多个可执行指令(例如计算机程序)以执行系统的功能。如本文所使用的,术语“处理器”描述了执行功能、操作或操作序列的电路系统。可以将功能、操作或操作序列硬编码到电路系统中,或通过保持在存储器装置中并由电路系统执行的指令来软编码。处理器可以使用数字值和/或使用模拟信号来执行功能、操作或操作序列。
在一些实施例中,处理器可以体现在一个或多个专用集成电路(ASIC)、微处理器、数字信号处理器(DSP)、图形处理单元(GPU)、微控制器、现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、多核处理器或具有关联内存的通用计算机中。
处理器22可以是模拟、数字或混合信号。在一些实施例中,处理器22可以是一个或多个物理处理器,或者一个或多个虚拟(例如,远程定位或云)处理器。包括多个处理器核和/或多个处理器的处理器可以提供用于并行地、同时执行指令或用于并行地、同时地在多条数据上执行一个指令的功能。
通信接口26可以包括一个或多个接口,其用来使计算装置20能够访问诸如局域网(LAN)、广域网(WAN)、个域网(PAN)或通过各种有线和/或无线连接(包括蜂窝连接)的互联网之类的计算机网络。
在所描述的实施例中,计算装置20可以代表客户端装置的用户执行应用。例如,计算装置20可以执行由管理程序管理的一个或多个虚拟机。每个虚拟机可以提供执行会话,在该会话内,应用代表用户或客户端装置执行,例如托管的桌面会话。计算装置20还可以执行终端服务会话以提供托管的桌面环境。计算装置20可以提供对远程计算环境的访问,该远程计算环境包括一个或多个应用,一个或多个桌面应用,以及其中可以执行一个或多个应用的一个或多个桌面会话。
可以使用由佛罗里达州劳德代尔堡的Citrix Systems,Inc提供的CitrixHypervisor来实现示例虚拟化服务器16 (“Citrix Systems”)。Citrix Virtual Apps andDesktops(CVAD)也可以从Citrix Systems提供虚拟应用和桌面会话。Citrix VirtualApps and Desktops是一种应用虚拟化解决方案加上用来实现可扩展的VDI解决方案的选项,所述应用虚拟化解决方案利用从任何装置通用访问虚拟会话(包括虚拟应用、桌面和数据会话)来提高工作效率。例如,虚拟会话可以进一步包括软件即服务(SaaS)和桌面即服务(DaaS)会话。
参考图3,描绘了云计算环境50,其也可以被称为云环境,云计算或云网络。云计算环境50可以向多个用户或租户提供共享计算服务和/或资源的递送。例如,共享资源和服务可以包括但不限于网络、网络带宽、服务器、处理、存储器、存储装置、应用、虚拟机、数据库、软件、硬件、分析和智能。
在云计算环境50中,一个或多个客户端52A-52C(诸如上述的客户端)与云网络54通信。云网络54可以包括后端平台,例如服务器、存储装置、服务器场或数据中心。用户或客户端52A-52C可以对应于单个组织/租户或多个组织/租户。更特别地,在一个示例实现中,云计算环境50可以提供服务于单个组织的私有云(例如,企业云)。在另一个示例中,云计算环境50可以提供服务于多个组织/租户的社区或公共云。在又一实施例中,云计算环境50可以提供混合云,该混合云是公共云和私有云的组合。公共云可以包括由客户端52A-52C的第三方或企业/租户维护的公共服务器。服务器可位于偏远地理位置或其它位置的异地。
云计算环境50可以提供资源池,以通过多租户环境或多租户模型经由客户端52A-52C为多个用户服务,其中响应于相应环境内的不同需求而动态地分配和重新分配了不同的物理和虚拟资源。多租户环境可以包括可以提供软件、应用或软件应用的单个实例来服务多个用户的系统或体系结构。在一些实施例中,云计算环境50可以提供按需自助服务,以跨网络单方地为多个客户端52A-52C提供计算能力(例如,服务器时间,网络存储)。云计算环境50可以提供弹性以响应于来自一个或多个客户端52的不同需求而动态向外扩展或向内扩展。在一些实施例中,计算环境50可以包括或提供监视服务以监视、控制和/或生成与所提供的共享服务和资源相对应的报告。
在一些实施例中,云计算环境50可以提供不同类型的云计算服务的基于云的递送,诸如例如软件即服务(SaaS)56、平台即服务(PaaS)58、基础设施即服务(IaaS)60和桌面即服务(DaaS)62。IaaS可以指代用户租用指定时间段期间所需的基础结构资源。IaaS提供商可以从大型池中提供存储、联网、服务器或虚拟化资源,从而允许用户根据需要通过访问更多资源来快速扩展。IaaS的示例包括华盛顿州西雅图市的Amazon.com,Inc.提供的AMAZON WEB SERVICES,德克萨斯州圣安东尼奥市的Rackspace US,Inc.提供的RACKSPACECLOUD,加利福尼亚州山景城的Google Inc.提供的Google Compute Engine,或加利福尼亚州圣塔芭芭拉的RightScale,Inc.提供的RIGHTSCALE。
PaaS提供者可以提供由IaaS提供的功能,包括例如存储、联网、服务器或虚拟化、以及附加资源,诸如例如操作系统、中间件或运行时资源。PaaS的示例包括由华盛顿州雷德蒙德的Microsoft Corporation提供的WINDOWS AZURE,由Google Inc.提供的Google AppEngine和由加利福尼亚州旧金山的Heroku,Inc.提供的HEROKU。
SaaS提供商可能提供PaaS提供的资源,包括存储、联网、服务器、虚拟化、操作系统、中间件或运行时资源。在一些实施例中,SaaS提供商可以提供附加的资源,包括例如数据和应用资源。SaaS的示例包括Google Inc.提供的GOOGLE APPS,加利福尼亚州旧金山的Salesforce.com Inc.提供的SALESFORCE或Microsoft Corporation提供的OFFICE 365。SaaS的示例还可以包括数据存储提供商,例如,加利福尼亚州旧金山的Dropbox,Inc提供的DROPBOX,Microsoft Corporation提供的Microsoft SKYDRIVE,Google Inc.提供的GoogleDrive或加利福尼亚库比蒂诺的苹果公司提供的Apple ICLOUD。
与SaaS类似,DaaS(其也称为托管桌面服务)是一种虚拟桌面基础结构(VDI)的形式,其中虚拟桌面会话通常作为云服务与虚拟桌面上使用的应用一起递送。Citrix Cloud是DaaS递送平台的一个示例。DaaS递送平台可以托管在公共云计算基础架构上,诸如例如华盛顿州雷蒙德市Microsoft Corporation的AZURE CLOUD(以下简称“Azure”)或华盛顿州西雅图市Amazon.com,Inc.提供的AMAZON WEB SERVICES(以下简称“例如AWS”)。在CitrixCloud的情况下,Citrix Workspace应用可以用作将应用、文件和桌面组合在一起(无论是在本地还是在云中)的单一入口点,以提供统一的体验。
现在将参考图4更详细讨论由Citrix Workspace应用提供的统一体验。CitrixWorkspace应用一般将在本文中称为工作空间应用70。工作空间应用70是用户访问其工作空间资源的方式,其中一类是应用。这些应用可以是SaaS应用,web应用或虚拟应用。工作空间应用70还使用户能够访问其桌面,该桌面可以是本地桌面或虚拟桌面。此外,工作空间应用70使用户能够访问他们的文件和数据,这些文件和数据可以存储在许多存储库中。文件和数据可以托管在Citrix ShareFile上,托管在本地网络文件服务器上,或者托管在其它一些云存储提供商(诸如例如Microsoft OneDrive或Google Drive Box)中。
为了提供统一的体验,可以定位用户所需的所有资源,并且可以从工作空间应用70访问所述资源。工作空间应用70以不同的版本提供。工作空间应用70的一个版本是用于桌面72的已安装应用,其可以基于Windows、Mac或Linux平台。工作空间应用70的第二版本是用于移动设备74的安装的应用,其可以基于iOS或Android平台。工作空间应用70的第三版本使用超文本标记语言(HTML)浏览器来向用户提供对其工作空间环境的访问。当用户不想安装工作空间应用或没有权限安装工作空间应用时,例如当操作公共信息亭76时,使用工作空间应用70的网络版本。
工作空间应用70的这些不同版本中的每一个可以有利地提供相同的用户体验。这有利地允许用户在不同平台中从客户端装置72移动到客户端装置74再到客户端装置76,并且仍然为其工作空间接收相同的用户体验。客户端装置72、74和76被称为端点。
如上所述,工作空间应用70支持Windows、Mac、Linux、iOS和Android平台以及具有HTML浏览器(HTML5)的平台。工作空间应用70结合了多个引擎80-90,从而允许用户访问多种类型的应用和数据资源。每个引擎80-90针对特定资源优化用户体验。每个引擎80-90还为组织或企业提供有关用户活动和潜在安全威胁的见解。
嵌入式浏览器引擎80保持SaaS和web应用包含在工作空间应用70内,而不是发动它们在本地安装和非托管的浏览器。借助嵌入式浏览器,工作空间应用70能够截获SaaS和web应用中用户选择的超链接,并在批准、拒绝或隔离访问之前请求风险分析。
Citrix高清晰度用户体验(HDX)引擎82建立与在Windows或Linux操作系统上运行的虚拟浏览器、虚拟应用和桌面会话的连接。利用HDX引擎82,Windows和Linux资源在端点上远程运行,而显示保持在本地。为了提供最佳的用户体验,HDX引擎82利用不同的虚拟信道来适应不断变化的网络状况和应用需求。为了克服高延迟或高分组丢失的网络,HDX引擎82自动实现优化的传输协议和更大的压缩算法。每种算法针对特定类型的显示(例如视频、图像或文本)进行了优化。HDX引擎82识别应用中的这些资源类型,并将最合适的算法应用于屏幕的那个部分。
对于许多用户而言,工作空间以数据为中心。内容协作引擎84允许用户将所有数据集成到工作空间中,而不管数据是驻留在本地还是在云中。内容协作引擎84允许管理员和用户创建一组到公司和用户特定的数据存储位置的连接器。例如,这可以包括OneDrive、Dropbox和本地网络文件共享。用户可以维护多个存储库中的文件,并允许工作空间应用70将它们合并到单个个性化库中。
联网引擎86识别端点或该端点上的应用是否需要到安全后端资源的网络连接。联网引擎86可以为整个端点装置自动建立完整的VPN隧道,或者它可以创建应用特定的μ-VPN连接。µ-VPN定义了应用和端点设备可以访问的什么后端资源,从而保护了后端基础设施。在许多实例中,某些用户活动受益于独特的基于网络的优化。如果用户请求文件副本,则工作空间应用70可以自动同时利用多个网络连接以更快地完成活动。如果用户发起VoIP呼叫,则工作空间应用70通过跨多个网络连接复制呼叫来提高其质量。联网引擎86仅使用最先到达的分组。
分析引擎88报告用户的装置、位置和行为,其中基于云的服务识别出任何可能的异常,其可能是由于装置被盗,身份被黑或准备离开公司的用户造成的。由分析引擎88收集的信息通过自动实现对策来保护公司资产。
管理引擎90使工作空间应用70保持最新。这不仅为用户提供了最新能力,还包括附加安全性增强。工作空间应用70包括自动更新服务,其基于可定制策略例行检查并自动部署更新。
现在参考图5,将讨论基于工作空间应用70向用户提供统一体验的工作空间网络环境100。工作空间应用70的桌面、移动和网络版本都与在Citrix Cloud 104内运行的工作空间体验服务102通信。然后,工作空间体验服务102经由资源馈送微服务108拉入所有不同的资源馈送16中。也就是说,与在Citrix Cloud 104中运行的其它服务不同的所有资源均由资源馈送微服务108拉取。不同的服务可以包括虚拟应用和桌面服务110、安全浏览器服务112、端点管理服务114、内容协作服务116和访问控制服务118。组织或企业订阅的任何服务都将自动拉入工作空间体验服务102中,并递送给用户的工作空间应用70。
除了云馈送120,资源馈送微服务108还可引入本地馈送122。云连接器124用于提供在本地数据中心中运行的虚拟应用和桌面部署。桌面虚拟化可以例如由Citrix虚拟应用和桌面126、 Microsoft RDS 128或VMware Horizon 130提供。除了云馈送120和本地馈送122之外,例如,来自物联网(IoT)设备134的设备馈送132可以由资源馈送微服务108拉入。站点聚合用于将不同的资源绑定到用户的整体工作空间体验中。
云馈送120、本地馈送122和装置馈送132各自通过不同且独特的应用类型提供用户的工作空间体验。工作空间体验可以支持本地应用、SaaS应用、虚拟应用和桌面浏览器应用以及存储应用。由于馈送有助于增加和扩展,工作空间体验能够在用户的整体工作空间中包含附加资源。这意味着用户将能够到达他们需要访问的每一个应用。
仍然参考工作空间网络环境20,将描述关于如何向用户提供统一体验的一系列事件。统一体验始于用户使用工作空间应用70连接到Citrix Cloud 104内运行的工作空间体验服务102,并显示其身份(事件1)。身份例如包括用户名和密码。
工作空间体验服务102转发该用户的身份到Citrix云104内的身份微服务140内(事件2)。身份微服务140基于组织的工作空间配置,向正确的身份提供者142认证用户(事件3)。认证可以基于需要部署云连接器146的本地(on-premises)活动目录144。认证也可以基于Azure活动目录148乃至第三方身份提供商150,诸如例如Citrix ADC或Okta。
一旦被认证,工作空间体验服务102就向资源馈送微服务108请求认证资源的列表(事件4)。对于每个配置的资源馈送106,资源馈送微服务108向单登录微服务152请求身份令牌(事件5)。
资源馈送特定的身份令牌传递到每个资源的认证点(事件6)。通过Citrix 云连接器124与本地资源122联系。每个资源馈送106利用为相应身份认证的资源列表来答复(事件7)。
资源馈送微服务108聚合来自不同资源馈送106的所有项目,并将其转发(事件8)到工作空间体验服务102 。用户从工作空间体验服务102中选择资源(事件9)。
工作空间体验服务102将请求转发到资源馈送微服务108(事件10)。资源馈送微服务108向单登录(sign-on)微服务152请求身份令牌(事件11)。用户的身份令牌被发送到工作空间体验服务102(事件12),在其中生成启动票证(launch ticket)并将其发送给用户。
用户向网关服务160发起安全会话,并出示启动票证(事件13)。网关服务160启动到适当资源馈送106的安全会话,并提供身份令牌以无缝地认证用户(事件14)。一旦会话初始化,用户便能够利用资源(事件15)。通过单个访问点或应用递送整个工作空间有利于提高生产率并简化用户的通用工作流程。
本公开涉及一种生物统计认证框架,该生物统计认证框架利用客户端装置(台式计算机、移动装置或具有CWA的受信任多跳)处的密码处理器(例如TPM 2.0)向托管浏览器和本机应用提供生物统计认证服务。
在本公开中进一步讨论了向远程托管浏览器和本机应用提供基于FIDO2的(无密码)生物统计认证服务。该框架利用客户端端点处的密码处理器来生物统计地锁定用于认证的加密密钥。
该方法使用由于安全可靠地重定向认证流并利用端点装置能力的技术。完成认证操作所需的生物统计密钥被安全地锁定在密码处理器中,并且托管的应用和桌面通过安全流水线获得其服务。相反,与密码处理器不同,硬件安全性模块(HSM)位于网络总线上,并且因此不是合适的解决方案。本方法通过密码处理器提供平台认证器。当台式设备不具有FIDO2能力时,可以将与台式装置安全地配对的具有FIDO2能力的移动装置用于执行认证操作。此外,为了实现安全性,弹性和高性能,可以将经过认证的证书ID存储在托管台式计算机、端点设备和移动装置的全部或子集上。
本文阐述的示例方法创建了用于对托管应用和桌面进行无密码认证的安全框架。为此,它利用端点中的生物统计认证技术(例如TPM)来帮助确保私有/秘密密钥永远不会离开密码处理器。
在下文中,讨论了本公开的组件和流程。在一些示例中,所提出的方法利用用于加密服务的密码处理器(例如TPM 2.0)向托管浏览器和本机应用提供无密码认证框架,如图6所示。通过创建以下组件来完成此方法。
首先,生物统计学认证转换单元在主机中包括转换引擎,该转换引擎将源自FIDO2依赖方服务器的网络认证请求转换为可以在远程端点重建,转换或以其它方式解释以向密码处理器发出命令的消息。另外,转换单元还负责将密码处理器操作的结果传递给托管浏览器FIDO2客户端。
其次,JS / WebAuthn截获模块用于截获与托管浏览器中的FIDO2认证操作相对应的JS或Authenticator(WebAuthn)API,并将它们重定向到虚拟会话中的中继模块,进而将认证操作重定向到端点设备上的应用(例如,HDX虚拟信道上的Citrix Workspace应用(CWA))。对于更多详细信息,请进一步参阅下面“API截获技术”部分。
第三,密码处理器(例如HDX生物统计TPM 2.0)或WebAuthn虚拟信道是远程主机和端点之间的表示层通信流水线,该端点传输信道协议中包装的生物统计/ WebAuthn操作请求和响应。
第四,密码处理器/ WebAuthn命令处理器正在端点上的本机应用(例如CWA)中运行。它有至少三个主要目标。第一个目标是要在端点处创建客户端上下文,其实现与认证器的安全通信。第二个目标是要解组或以其它方式将认证请求协议消息转换为对应的平台数据结构。最后一个目标是要将适当的命令发送到端点中的认证器(密码处理器)。这是通过在由主机接收到的请求消息时发出对应的WebAuthn操作并返回响应消息来实现的。
生物统计重定向框架的流程如下:如图6的计算系统600中所示,数据中心602(虚拟会话)中的已发布浏览器615也扮演着web认证客户端的角色。它使用标准的网络认证API(WebAuthn)与FIDO2依赖方服务器进行交互。生物统计认证转换单元616由JS / WebAuthn截获模块加载,并采用将要由远程密码处理器(例如,TPM)执行的认证操作的输入编组或以其它方式转换为生物统计密码处理器请求命令。转换单元还负责解组生物统计密码处理器重定向器响应命令,并将它们传递给网络认证客户端(托管浏览器)。JS / WebAuthn截获模块,托管虚拟会话中的生物统计密码处理器重定向器614和端点装置601处的密码处理器代理620是支持安全的生物统计密码处理器虚拟信道610发送和接收密码处理器请求和响应命令的组件。密码处理器代理620的作用是表示协议(例如,Citrix HDX或独立计算架构(ICA))的堆栈管理,该协议包括虚拟信道协议的建立,拆除和状态机维护。实际上,代理620可以被实现为虚拟驱动器,例如由CWA的引擎子组件托管的DLL。
命令处理器624准备认证操作命令并建立安全的浏览器上下文,以利用例如诸如TPM之类的密码处理器622来启用密码操作。密码处理器命令单元命令包括密钥生成和请求,其用来根据帮助进行认证过程的先前生成的密钥对有效载荷进行数字签名。安全客户端上下文621执行由密码处理器命令处理器624准备的命令,并将密码处理器操作的结果返回给命令单元。
密码处理器命令单元624构建生物统计响应命令,并将其中继回主机。然后,在主机处,生物统计重定向器614将响应命令传递到代表应用发起请求的web认证客户端(托管浏览器)。
接下来,讨论JS API截获技术。JS API可用于web浏览器内或应用开发平台(例如Electron)内的HTML 5 / JS应用,该平台将HTML 5 / JS应用引擎与附加的桌面特定的平台功能性结合在一起。由桌面虚拟化平台截获JS API需要附加技术,如下进一步所述。
在下文中,讨论了挂钩(hooking)技术。在某些实现中,可以将JS呈现DLL API挂钩,以插入定制JS。例如,在诸如Internet Explorer(IE)之类的浏览器中,JS引擎DLL是jscript.dll,并且是(正在处理的)COM对象服务器。因此,该方法将是要采用标准COM匀场(shimming)技术以作为“中间人”(MITM)而操作,以便插入定制JS。在IE JS引擎中,所有JS对象都实现IDispatchEx接口。备选地,不同的方法将会是要挂接OS套接字API(例如WinSock API),解析HTTP流量和HTML内容,并且然后插入JS。
在下文中,讨论了定制浏览器。下面描述了定制的基于Chromium的浏览器引擎和定制安全浏览器(例如,作为Citrix安全浏览器云服务的部分)。此外,本公开还描述了在Chromium引擎内使用挂钩或插件来注入定制JS。备选地,定制浏览器引擎可以在本机代码中实现部分或全部JS API重定向功能,从而限制或消除了用来注入定制JS代码的需要。
在下文中,讨论了经由代理技术的JS注入,例如,下面描述了使用代理来截获HTML内容。代理将通过内容重写添加附加JS。代理可以是网络上的单独设备,或者可以驻留于虚拟桌面上。可以明确配置代理(使用浏览器设置),或者可以作为透明代理操作。
在下文中,将讨论通过浏览器帮助对象(BHO)或浏览器扩展(BE)技术进行JS注入。可以使用浏览器帮助程序对象或用于实现BHO或浏览器扩展机制的web浏览器的浏览器扩展将实现JS API重定向的JS代码注入基于浏览器的应用中。
在下文中,讨论通过微VPN插件技术进行的JS注入,例如,使用通用Windows平台(UWP)应用来实现虚拟专用网(VPN)应用插件。UWP VPN插件应用可以处理AppX清单中VPN客户端插件功能的声明,并提供对VPN插件应用处置者的引用。在沙盒(或应用容器)内运行插件允许更高安全性和降低的实现的复杂性。
VPN应用插件能够与OS VPN平台一起控制VPN连接。另外,VPN应用插件可以配置为微VPN,例如,可以在每个应用的基础上应用。例如,可以通过移动装置管理(MDM)或移动应用管理(MAM)策略来实现配置。备选地,可以使用PowerShell脚本创建定制配置文件。该配置可以指定其流量将由微VPN插件管理的应用。特别是,可以为浏览器应用和基于Electron的应用配置微VPN插件。可以启用微VPN插件来截获所有或特定应用的网络流量,使用本地证书存储解密TLS,解析HTTP流量和HTML内容,并且然后插入定制JS。
在下文中,讨论电子应用分解。对于电子应用分解,通过分解电子应用的二进制文件来访问实时媒体应用的API,可以检测和修改电子应用。应用内容通常位于.asar档案内,该档案位于与电子应用对应的子文件夹内。在一些实施例中,可以使用asar.exe(作为node.js包是可用的)解压缩该档案文件,以访问该应用的JS代码。然后添加挂钩,以基于截获的API将重定向代码注入到实时媒体应用中。然后重新包装电子应用二进制文件(electron application binaries),并且最后,对电子应用二进制文件进行重新签名。因此,修改后的电子应用被配置成基于挂钩来截获实时媒体应用的API,并基于所截获的API将重定向代码注入到实时媒体应用中。换句话说,在虚拟应用发布期间检测到电子应用。
在下文中,讨论了附加截获技术。浏览器和本机应用使用WebAuthn.DLL来按照WebAuthn和CTAP规范与Windows Hello和外部安全密钥进行通信。使用API挂钩技术,可以截获本地WebAuthn DLL并将其挂钩在主机(例如VDA)上。例如,Hook DLL实现了WebAuthn截获模块,该模块镜像了原始的WebAuthn DLL。该模块负责通过编组或以其它方式将其转换为独立于平台的协议来处理应用的认证请求。WebAuthn截获模块与认证器重定向器进行通信,该重定向器提供了用于将请求发送到客户端认证器代理的安全上下文。WebAuthn截获模块还负责处理从客户端认证器代理收到的响应,并将它们转换为应用期望的对应本机认证响应。
使用此重定向技术有很多好处。例如,当客户端应用决定使用认证器API时,挂钩DLL将在运行时动态加载。无需重新编译、重新打包或将定制扩展安装到客户端应用中。与先前描述的JS API截获技术相比,此方法具有优势。
在下文中,讨论了策略执行技术。管理员可以设置策略来控制注册和认证过程的各个方面。WebAuthn截获模块具有检查注册/认证请求并强制执行(enforce)适当的管理员策略的能力。例如,管理员可以将某些网站列入黑名单,或要求某些类型的认证器、证明类型、传输等。
在下文中,讨论了WebAuthn截获的API的示例列表。下表1列出了WebAuthn截获的API以及简要说明。
表1
在下文中,现在讨论到受信任的移动装置的FIDO2双跳重定向。当台式装置不具有FIDO2能力时,可以将与台式装置安全地配对的具有FIDO2能力的移动装置用于执行认证操作。特别是,可以委派新用户注册(生成证书)以及获取和验证断言操作两者。
为了安全地用台式装置自举(bootstrap)移动装置,台式装置上的本机应用(例如CWA)可以在确定其不在具有FIDO2能力的装置上运行时提示用户解锁并配对他们的移动装置。在解锁移动装置时,移动装置上的本机应用(例如CWA)可以与台式装置上的CWA建立安全的通信信道。例如,可以使用蓝牙、WiFi、近场通信(NFC)、QR码中的一项或多项。为了进一步保护通信,可以通过蓝牙或WiFi使用传输层安全性(TLS)。固定在第一CWA和第二CWA上的证书可用于使用TLS的客户端和服务器证书认证。在完成一组认证操作之后,可以终止第一CWA和第二CWA之间的安全信道。
此外,为了实现安全性,弹性和高性能,可以将已认证的证书标识符(ID)存储在托管台式机、端点装置和移动装置的全部或子集上。特别地,在完成认证操作之后,证书ID可以被缓存在端点装置601或托管浏览器615中(在虚拟会话中)。因此,所缓存的证书ID可以有利地用作用于进一步认证的操作的cookie,而无需用户解锁和连接他们的移动装置。托管浏览器中的缓存证书可以用作首选。但是,由于会话断开连接-重新连接,刷新池化的VDA或Citrix安全浏览器实例,或者会话漫游到不同RDSH主机,因此托管浏览器处的缓存证书可能不可用。因此,可以使用第一CWA处的缓存证书,包括刷新托管浏览器处的证书,而无需继续使用移动装置。作为最后的手段,如果在托管浏览器和第一CWA处缓存的证书均不可用,例如,用户已漫游到不同端点装置,则第二个CWA处(在移动设备上)的缓存证书可在要求用户连接移动装置后使用,但仍未提示他们进行附加认证。
应当领会,上述任何特征可以与计算系统200、300、400、500、600结合。
现在参考图7,计算系统200图示地包括多个客户端装置201a-201n,以及被配置成与多个客户端装置通信的虚拟递送设备202。特别地,虚拟递送设备202被配置成通过网络(例如,因特网或局域网)与给定的客户端装置201a通信,以向客户端装置提供针对用户的虚拟会话208。
虚拟递送设备202被配置成通过网络与给定的客户端装置201a通信,以执行与依赖方203的注册操作209。虚拟会话208中的应用204执行与依赖方203的认证操作223以访问资源。例如,应用204包括web浏览器应用,在虚拟会话208内运行的本机应用或用于本地资源的接口。在一些实施例中,资源和依赖方203远离虚拟递送设备202,但是在一些应用中,例如在信任提升情况或建立认证情形中,资源和依赖方对于虚拟递送设备是本地的。
虚拟递送设备202被配置成响应于应用204从依赖方203接收到用于用户访问资源的认证挑战消息而将认证挑战消息205转发到给定的客户端装置201a。虚拟递送设备202被配置成从给定的客户端装置201a接收响应于认证挑战消息205的认证回答消息206。
给定客户端装置201a说明性地包括被配置成生成用户的生物统计特征的生物统计装置207。给定客户端装置201a也包括耦合到生物统计装置207的处理器224,以及耦合到处理器的存储器225。
认证应答消息206基于从给定客户端装置201a的存储器225可访问的用户的生物统计特征。应用204将认证应答消息206转发给依赖方203以完成认证操作223。此外,给定的客户端装置201a和虚拟会话208被配置成在它们之间操作虚拟信道210,以将认证挑战消息205和认证应答消息206包装在信道协议内。
此外,在一些实施例中,处理器224被配置成从依赖方203接收web认证API命令。处理器224被配置成将来自依赖方203的web认证API命令转换为认证挑战消息205。给定客户端装置201a被配置成基于认证挑战消息205来生成web认证API命令。web认证API命令例如可以包括WebAuthn标准认证命令。
在其它实施例中,应用204在虚拟OS内运行,并且虚拟OS包括本地认证接口。处理器224被配置成从依赖方203截获本地认证接口的认证OS命令。处理器224被配置成将来自依赖方203的认证OS命令转换为认证挑战消息205,并且给定客户端装置201a被配置成基于认证挑战消息来重构认证OS命令。
现在参考图8A中的流程图2000,并且一般来说,描述了一种用于操作虚拟递送设备202的方法。从一开始(框2001),该方法包括向给定的客户端装置201a提供针对用户的虚拟会话208(框2003),执行与依赖方203的注册操作209(框2005),转发认证挑战消息205到给定客户端装置(框2007),并且从给定客户端装置接收响应于认证挑战消息的认证应答消息206(框2010)。该方法在框2011处结束。
现在参考图8B中的流程图3000,描述了用于操作虚拟递送设备202的更详细的步骤。从一开始(框3001),该方法包括:通过网络与给定客户端装置201a通信,以向给定客户端装置提供针对用户的虚拟会话208(框3003);以及通过网络与给定客户端装置通信以执行与依赖方203的注册操作209(框3005)。虚拟会话208中的应用204执行与依赖方203的认证操作223以访问资源。该方法包括:响应于应用204从依赖方203接收到用于用户访问资源的认证挑战消息而将认证挑战消息205转发到给定客户端装置201a(框3007),以及从给定客户端装置接收响应于认证挑战消息的认证应答消息206(框3010)。认证应答消息206基于从给定客户端装置201a的存储器可访问的用户的生物统计特征。应用204将认证应答消息206转发给依赖方203以完成认证操作223(框3011)。该方法在框3013处结束。
另一个方面涉及一种非暂时性计算机可读介质,其用于操作虚拟递送设备202,其中非暂时性计算机可读介质具有多个计算机可执行指令,所述指令用于使所述虚拟递送设备执行图8A-8B所示的方法的步骤。
现在另外参考图9,现在描述计算系统300的另一个实施例。在计算系统300的该实施例中,以上已经关于图7和8A-8B讨论的那些元件增加了100,并且大多数不需要在此进一步讨论。该实施例与先前的实施例的不同之处在于,该计算系统300包括与给定客户端装置301a进行通信的移动无线通信装置(MWCD)312。给定客户端装置301a包括本地无线收发器311,该本地无线收发器311被配置成与MWCD 312交换认证挑战消息305和认证应答消息306。例如,本地无线收发器311包括例如蓝牙无线收发器,NFC收发器。此处,MWCD 312包括被配置成生成用户的生物统计特征的生物统计装置307。
现在另外参考图10,现在描述计算系统400的另一个实施例。在计算系统400的该实施例中,上面已经关于图7和8A-8B讨论的那些元件增加了200,并且大多数不需要在此进一步讨论。该实施例与先前的实施例的不同之处在于,该计算系统400包括给定客户端装置401,该客户端装置包括工作空间应用417,该工作空间应用417在其中具有认证器代理模块420并且耦合至处理器424。给定客户端装置401说明性地包括耦合到处理器424的安全认证器上下文模块421,以及耦合到安全认证器上下文模块421的密码处理器422。
虚拟递送设备402说明性地包括与平台应用415通信的应用404。例如,平台应用415可以包括Microsoft Windows Hello平台。虚拟递送设备402包括具有认证器转换单元416的认证器API截获模块413,以及耦合到认证器API截获模块413的认证器重定向器模块414。认证器重定向器模块414和认证器代理模块420在它们之间操作认证器虚拟信道410。
现在另外参考图11,现在描述计算系统500的另一个实施例。在计算系统500的该实施例中,上面已经关于图10讨论的那些元件增加了100,并且大多数不需要在此进一步讨论。该实施例与先前的实施例的不同之处在于该计算系统500使用web认证(WebAuthn)标准。
图10-11的计算系统400、500的操作流程如下。数据中心(虚拟会话)中的已发布浏览器(应用404、504)也扮演着web认证客户端的角色。它使用标准网络认证API(WebAuthn)与FIDO2依赖方服务器进行交互。认证器转换单元416、516由认证器API截获模块413(或WebAuthn截获模块513)加载,并采用转换引擎,所述转换引擎编组或以其它方式将要由远程认证器执行的认证操作的输入转换成生物统计认证器请求消息。认证器转换单元416、516还负责解组或以其它方式将生物统计认证器重定向器414、514响应消息转换为用于认证操作的输入,并将它们传递给web认证客户端(托管浏览器404、504)。
认证器API截获模块413(或WebAuthn截获模块513)、在托管虚拟会话中的认证器重定向器模块414,514,以及在客户端装置401,501处的认证器代理模块420,520是支持安全的虚拟信道410,510发射和接收操作、WebAuthn请求和响应命令的组件。认证器代理模块420、520的角色是表示协议(例如,Citrix HDX / ICA)的堆栈管理,其包括虚拟信道协议的设置,拆除和状态机维护。实际上,认证器代理模块420、520可以被实现为虚拟驱动器,例如,由CWA的HDX引擎子组件托管的DLL。
命令处理器424(或WebAuthn命令处理器524)准备认证操作命令和建立安全认证器上下文模块421、521,以实现利用密码处理器422、522的加密操作。命令处理器424(或WebAuthn命令处理器524)命令包括密钥生成和请求,其用来根据有助于认证过程的先前生成的密钥对有效载荷进行数字签名。
安全认证器上下文模块421、521执行由命令处理器424、524准备的命令,并将本机认证器操作的结果返回给命令处理器424、524。命令处理器424,524建立HDX WebAuthn认证器响应命令并且将它中继返回给主机。然后,在主机处,HDX认证器重定向器模块414,514将响应命令传递给认证器API截获模块413(或WebAuthn截获模块513)(其使用所述转换单元将响应解码成适当的数据结构),并且之后,将响应命令传递给代表应用发起请求的web认证客户端(托管浏览器404、504)。
现在参考图12-17B,序列图1055、1060、1065、1075、1085、1095示出了在计算系统200、300、400、500的示例实施例的操作。
简图1055示出了用于新用户注册的过程。这是创建新的认证证书的过程。首先,浏览器204初始化与依赖方203的注册过程。然后,依赖方203使用注册选项来响应浏览器204。然后,浏览器204基于用户的选项和生物统计利用平台认证器207创建证书,这需要平台认证器207进行成功的用户验证。然后,浏览器204将证书发送给依赖方203,并且接收回证书ID。为了说明的目的,简图1055描述了成功的新用户注册,但是应当理解,该过程对于失败的新用户注册是类似的。例如,无法验证用户将导致平台认证器207向浏览器204返回失败响应(且没有证书),等等。
简图1060示出了用于注册用户的认证的过程。首先,浏览器204初始化与依赖方203的认证过程。然后,浏览器204从依赖方203接收认证挑战消息和认证选项,并将它们转发给平台认证器207。在平台认证器207成功验证用户之后,平台认证器207创建认证应答消息,并将其发送到浏览器204。然后,浏览器204将认证应答消息发送给依赖方203。依赖方203将带有证书/令牌/cookie的成功消息发送回浏览器204以完成认证。为了说明的目的,图1060描述了对注册用户的成功认证,但是应当理解,该过程对于失败的用户认证是类似的。例如,未能验证用户将导致平台认证器207创建失败认证应答消息并将其返回给浏览器204等。
简图1065示出了例如在部署HDX的计算系统200内用于新用户注册的过程。特别地,CWA浏览器250在客户端计算装置201a-201n上操作。首先,托管浏览器204和CWA浏览器250创建认证信任建立。托管浏览器204初始化与依赖方203的注册过程。然后,依赖方203利用注册选项来响应浏览器204。然后,托管浏览器204截获用于创建证书的请求,并且在策略验证(policy validation)之后,将其经由CWA浏览器250重定向到平台认证器207。在经由CWA浏览器250从平台认证器207接收到证书后(这需要平台认证器207进行成功的用户验证),托管浏览器204然后将证书发送给依赖方203,并接收回证书ID。
简图1075示出了用于例如在部署HDX的计算系统200内对注册用户进行认证的过程。首先,托管浏览器204和CWA浏览器250创建认证信任建立。托管浏览器204初始化与依赖方203的认证过程。然后,托管浏览器204从依赖方203接收认证挑战和认证选项消息,其生成WebAuthn命令,该WebAuthn命令被截获并经由CWA浏览器250转发给平台认证器207。在平台验证器207成功验证用户之后,平台认证器207创建认证应答消息,并经由CWA浏览器250将其发送到托管浏览器204。然后,托管浏览器204将认证应答消息发送给依赖方203。依赖方203将带有证书/令牌/cookie的成功消息发送回浏览器204以完成认证。
简图1085示出了例如在部署HDX的计算系统300内用于新用户注册的过程。特别地,CWA 350在客户端计算装置301a-301n上操作。首先,托管浏览器304和CWA 350创建认证信任建立。托管浏览器304初始化与依赖方303的注册过程。然后,依赖方303以注册选项来响应浏览器304。然后,托管浏览器304截获用于创建证书的请求,并且在策略验证之后,将其重定向到CWA 350。然后,CWA 350截获创建证书的请求,并提示用户解锁并配对MWCD312。在解锁MWCD 312时,在MWCD 312上操作的移动CWA 312建立与CWA 350的安全通信信道。然后,CWA 350将用于创建证书的请求重定向到移动CWA 312,并且然后重定向到MWCD312上的平台认证器307。在经由移动CWA 312和CWA 350从平台认证器307接收到证书之后(这需要平台认证器307进行成功的用户验证),托管浏览器304随后将证书发送给依赖方303,并接收回证书ID。
简图1095示出了用于例如部署HDX的计算系统300内的认证过程。首先,托管浏览器304和CWA 350创建认证信任建立。托管浏览器304初始化与依赖方303的认证过程。然后,托管浏览器304从依赖方303接收认证挑战和认证选项消息,其生成WebAuthn命令,该WebAuthn命令被截获并转发给CWA 350。然后,CWA 350提示用户解锁并配对MWCD 312。在解锁MWCD 312时,在MWCD 312上操作的移动CWA 312建立与CWA 350的安全通信信道。然后,CWA 350经由移动CWA 312将WebAuthn命令转发到平台认证器307。在平台验证器207进行成功的验证用户之后,平台认证器307创建认证应答消息,并将其经由移动CWA 312和CWA 350发送到托管浏览器304。然后,托管浏览器304将认证应答消息发送给依赖方303。依赖方303将带有证书/令牌/cookie的成功消息发送回浏览器304以完成认证。
图18-22示出了用于计算系统200、300、400、500的第二示例实施例的屏幕打印1105、1110、1115、1120、1125。屏幕印刷1105、1110、1115示出了用于注册的用户界面。用户界面示说明性地包括用户名,证明类型和认证器类型的字段,以及触发注册过程和登录过程的按钮。屏幕打印1120、1125显示登录过程。用户界面的部分(例如用户名、证明类型和认证器类型的字段,以及触发注册过程和登录过程的按钮)全部由托管浏览器(例如先前所讨论的浏览器204,304,404,504)呈现,并且经由虚拟会话(208,308)(例如HDX)图形被呈现给用户,所述虚拟会话(208,308)图形对于客户端装置(例如客户端计算设备201a-201n,301a-301n中的一个)是远程的。用户界面中涉及用户验证的其它部分直接在本地直接显示在客户端装置上,例如通过Microsoft Windows Hello对话框“ Windows Security.Making sure it's you…”,与平台认证器207,307协同工作,并要求用户回答生物统计学认证挑战,例如,“在指纹读取器上扫描您的手指”。
参考示出了示例实施例的附图进行本描述。但是,可以使用许多不同的实施例,并且因此,不应将描述解释为限于本文阐述的特定实施例。相反,提供这些实施例使得本公开将是彻底和完整的。贯穿全文,相似的附图标记指相似的元件,并且在备选实施例中,基数为100的附图标记用于指示相似的元件。
受益于前述描述和相关附图中呈现的教导,本领域技术人员将想到许多修改和其它实施例。因此,应当理解,前述内容不限于示例实施例,并且修改和其它实施例意图被包括在所附的权利要求的范围内。
Claims (23)
1.一种虚拟递送设备,包括:
存储器和处理器,所述处理器被配置成与所述存储器协作以
通过网络与客户端装置进行通信,以向所述客户端装置提供针对用户的虚拟会话,
通过所述网络与所述客户端装置进行通信,以执行与依赖方的注册操作;所述虚拟会话内的应用执行与所述依赖方的认证操作以访问资源,
响应于所述应用从所述依赖方接收到用于所述用户访问所述资源的认证挑战消息,将所述认证挑战消息转发给所述客户端装置,以及
从所述客户端装置接收响应于所述认证挑战消息的认证应答消息,所述认证应答消息基于从所述客户端装置的存储器可访问的所述用户的生物统计特征,所述应用用来将所述认证应答消息转发给所述依赖方以完成所述认证操作。
2.根据权利要求1所述的虚拟递送设备,其中所述客户端装置包括被配置成生成所述用户的所述生物统计特征的生物统计装置。
3.根据权利要求1所述的虚拟递送设备,其中所述客户端装置包括本地无线收发器,所述本地无线收发器被配置成与移动无线通信装置交换所述认证挑战消息和所述认证应答消息。
4.根据权利要求1所述的虚拟递送设备,其中所述客户端装置和所述虚拟会话配置成在它们之间操作虚拟信道,以将所述认证挑战消息和所述认证应答消息包装在信道协议内。
5.根据权利要求1所述的虚拟递送设备,其中所述应用包括web浏览器应用。
6.根据权利要求5所述的虚拟递送设备,其中所述处理器被配置成从所述依赖方接收web认证应用编程接口(API)命令。
7.根据权利要求6所述的虚拟递送设备,其中所述处理器被配置成将来自所述依赖方的所述web认证API命令转换为所述认证挑战消息;以及其中所述客户端装置被配置成基于所述认证挑战消息来生成所述web认证API命令。
8.根据权利要求6所述的虚拟递送设备,其中所述web认证API命令包括WebAuthn标准认证命令。
9.根据权利要求1所述的虚拟递送设备,其中所述应用在虚拟操作系统(OS)内操作;其中所述虚拟OS包括本地认证接口;并且其中所述处理器被配置成从所述依赖方截获所述本地认证接口的认证OS命令。
10.根据权利要求9所述的虚拟递送设备,其中所述处理器被配置成将来自所述依赖方的所述认证OS命令转换为所述认证挑战消息;以及其中所述客户端装置被配置成基于所述认证挑战消息来重构所述认证OS命令。
11.一种计算系统,包括:
客户端装置;和
虚拟递送设备,其被配置成通过网络与所述客户端装置进行通信以
向所述客户端装置提供针对用户的虚拟会话,
通过所述网络与所述客户端装置通信以执行与依赖方的注册操作,所述虚拟会话内的应用执行与所述依赖方的认证操作以访问资源;
响应于所述应用从所述依赖方接收到用于所述用户访问所述资源的认证挑战消息,将所述认证挑战消息转发给所述客户端装置,以及
从所述客户端装置接收响应于所述认证挑战消息的认证应答消息,所述认证应答消息基于从所述客户端装置的存储器可访问的所述用户的生物统计特征,所述应用将所述认证应答消息转发给所述依赖者以完成所述认证操作。
12.根据权利要求11所述的计算系统,其中所述客户端装置包括被配置成生成所述用户的所述生物统计特征的生物统计装置。
13.根据权利要求11所述的计算系统,其中所述客户端装置包括本地无线收发器,所述本地无线收发器被配置成与移动无线通信设备交换所述认证挑战消息和所述认证应答消息。
14.根据权利要求11所述的计算系统,其中所述客户端装置和所述虚拟会话被配置为在它们之间操作虚拟信道,以将所述认证挑战消息和所述认证应答消息包装在信道协议内。
15.根据权利要求11所述的计算系统,其中所述应用包括web浏览器应用。
16.根据权利要求15所述的计算系统,其中所述虚拟递送设备被配置成从所述依赖方接收web认证应用编程接口(API)命令。
17.根据权利要求16所述的计算系统,其中所述虚拟递送设备被配置成将来自所述依赖方的所述网络认证API命令转换为所述认证挑战消息;以及其中,所述客户端装置被配置为基于所述认证挑战消息来生成所述web认证API命令。
18.根据权利要求16所述的计算系统,其中所述web认证API命令包括WebAuthn标准认证命令。
19.一种用于操作虚拟递送设备的方法,所述方法包括:
通过网络与客户端装置通信,以向所述客户端装置提供针对用户虚拟会话;
通过所述网络与所述客户端装置通信以执行与依赖方的注册操作,所述虚拟会话内的应用执行与所述依赖方的认证操作以访问资源;
响应于所述应用从所述依赖方接收到用于所述用户访问所述资源的认证挑战消息,将所述认证挑战消息转发给所述客户端装置;和
从所述客户端装置接收响应于所述认证挑战消息的认证应答消息,所述认证应答消息基于从所述客户端装置的存储器可访问的所述用户的生物统计特征,所述应用将所述认证应答消息转发给所述依赖方以完成所述认证操作。
20.根据权利要求19所述的方法,其中,所述客户端装置包括被配置成生成所述用户的所述生物统计特征的生物统计装置。
21.根据权利要求19所述的方法,其中,所述客户端装置包括本地无线收发器,所述本地无线收发器被配置成与移动无线通信装置交换所述认证挑战消息和所述认证应答消息。
22.根据权利要求19所述的方法,其中所述客户端装置和所述虚拟会话被配置为在它们之间操作虚拟信道,以将所述认证挑战消息和所述认证应答消息包装在所述信道协议内。
23.根据权利要求19所述的方法,其中所述应用包括web浏览器应用。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201962850099P | 2019-05-20 | 2019-05-20 | |
US62/850099 | 2019-05-20 | ||
US16/876289 | 2020-05-18 | ||
US16/876,289 US11876798B2 (en) | 2019-05-20 | 2020-05-18 | Virtual delivery appliance and system with remote authentication and related methods |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111970116A true CN111970116A (zh) | 2020-11-20 |
Family
ID=70779538
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010431097.7A Pending CN111970116A (zh) | 2019-05-20 | 2020-05-20 | 具有远程认证的虚拟递送设备和系统以及相关方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11876798B2 (zh) |
EP (1) | EP3742289B1 (zh) |
CN (1) | CN111970116A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023011168A1 (zh) * | 2021-08-02 | 2023-02-09 | 飞天诚信科技股份有限公司 | 实现指纹共用的方法及系统 |
CN115859264A (zh) * | 2023-02-28 | 2023-03-28 | 北京亿赛通科技发展有限责任公司 | 一种Windows10以及Windows11下基于UWP程序的注入方法 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11228581B2 (en) * | 2019-03-07 | 2022-01-18 | Motorola Mobility Llc | Secure delayed FIDO authentication |
US11153100B2 (en) * | 2019-11-18 | 2021-10-19 | Microsoft Technology Licensing, Llc | Achieving certificate pinning security in reduced trust networks |
US11687348B2 (en) * | 2020-10-12 | 2023-06-27 | Vmware, Inc. | Intelligent launch of applications |
US11552943B2 (en) * | 2020-11-13 | 2023-01-10 | Cyberark Software Ltd. | Native remote access to target resources using secretless connections |
US11853100B2 (en) * | 2021-04-12 | 2023-12-26 | EMC IP Holding Company LLC | Automated delivery of cloud native application updates using one or more user-connection gateways |
US11997090B2 (en) | 2021-11-29 | 2024-05-28 | Cisco Technology, Inc. | Systems and methods for WebAuthn transport via a WebAuthn proxy |
US11930006B2 (en) * | 2022-05-26 | 2024-03-12 | Idmelon Technologies Inc. | System and method for hosting FIDO authenticators |
US20230388272A1 (en) * | 2022-05-31 | 2023-11-30 | Microsoft Technology Licensing, Llc | Multiple Virtual Private Network Active Connection Management |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140331297A1 (en) * | 2013-05-03 | 2014-11-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
US20160134599A1 (en) * | 2014-11-07 | 2016-05-12 | Brian G. Ross | Computer-implemented systems and methods of device based, internet-centric, authentication |
CN107113319A (zh) * | 2016-07-14 | 2017-08-29 | 华为技术有限公司 | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 |
Family Cites Families (214)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000092046A (ja) * | 1998-09-11 | 2000-03-31 | Mitsubishi Electric Corp | 遠隔認証システム |
US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
US7127743B1 (en) * | 2000-06-23 | 2006-10-24 | Netforensics, Inc. | Comprehensive security structure platform for network managers |
JP4201466B2 (ja) * | 2000-07-26 | 2008-12-24 | 富士通株式会社 | モバイルipネットワークにおけるvpnシステム及びvpnの設定方法 |
WO2002095543A2 (en) * | 2001-02-06 | 2002-11-28 | En Garde Systems | Apparatus and method for providing secure network communication |
US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
AU2002339746A1 (en) * | 2001-05-18 | 2002-12-03 | Imprivata Inc. | System and method for authentication using biometrics |
US8209753B2 (en) * | 2001-06-15 | 2012-06-26 | Activcard, Inc. | Universal secure messaging for remote security tokens |
CA2414044C (en) * | 2001-12-12 | 2007-07-24 | At&T Corp. | A secure ip access protocol framework and supporting network architecture |
CA2414216C (en) * | 2001-12-12 | 2007-05-22 | At&T Corp. | A secure ip access protocol framework and supporting network architecture |
US8126722B2 (en) * | 2001-12-20 | 2012-02-28 | Verizon Business Global Llc | Application infrastructure platform (AIP) |
US9087319B2 (en) * | 2002-03-11 | 2015-07-21 | Oracle America, Inc. | System and method for designing, developing and implementing internet service provider architectures |
US7509687B2 (en) * | 2002-03-16 | 2009-03-24 | Trustedflow Systems, Inc. | Remotely authenticated operation method |
US7895643B2 (en) * | 2002-03-16 | 2011-02-22 | Trustedflow Systems, Inc. | Secure logic interlocking |
US7082535B1 (en) * | 2002-04-17 | 2006-07-25 | Cisco Technology, Inc. | System and method of controlling access by a wireless client to a network that utilizes a challenge/handshake authentication protocol |
US6993683B2 (en) * | 2002-05-10 | 2006-01-31 | Microsoft Corporation | Analysis of pipelined networks |
US7574737B1 (en) * | 2002-05-31 | 2009-08-11 | Novatel Wireless, Inc. | Systems and methods for secure communication over a wireless network |
US20100293249A1 (en) * | 2009-05-15 | 2010-11-18 | Novatel Wireless | Method and apparatus for loading landing page |
ATE290290T1 (de) * | 2002-06-04 | 2005-03-15 | Cit Alcatel | Eine methode, ein netzwerkszugangsserver, ein authentifizierungs-, berechtigungs- und abrechnungsserver, ein computerprogram mit proxyfunktion für benutzer-authentifizierung, berechtigung und abrechnungsmeldungen über einen netzwerkszugangsserver |
JP4304362B2 (ja) * | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
JP4056849B2 (ja) * | 2002-08-09 | 2008-03-05 | 富士通株式会社 | 仮想閉域網システム |
AU2002951013A0 (en) * | 2002-08-27 | 2002-09-12 | Sunbay Software Ag | System for improved network data access |
CZ2005209A3 (cs) * | 2002-09-10 | 2005-12-14 | Ivi Smart Technologies, Inc. | Bezpečné biometrické ověření identity |
US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
US7907935B2 (en) * | 2003-12-22 | 2011-03-15 | Activcard Ireland, Limited | Intelligent remote device |
US9207953B1 (en) * | 2004-04-28 | 2015-12-08 | F5 Networks, Inc. | Method and apparatus for managing a proxy autoconfiguration in SSL VPN |
US8571011B2 (en) * | 2004-08-13 | 2013-10-29 | Verizon Business Global Llc | Method and system for providing voice over IP managed services utilizing a centralized data store |
US20060059344A1 (en) * | 2004-09-10 | 2006-03-16 | Nokia Corporation | Service authentication |
US20060090136A1 (en) * | 2004-10-01 | 2006-04-27 | Microsoft Corporation | Methods and apparatus for implementing a virtualized computer system |
US7373661B2 (en) * | 2005-02-14 | 2008-05-13 | Ethome, Inc. | Systems and methods for automatically configuring and managing network devices and virtual private networks |
US7409709B2 (en) * | 2005-02-14 | 2008-08-05 | Etsec, Inc. | Systems and methods for automatically reconfiguring a network device |
US20060230445A1 (en) * | 2005-04-06 | 2006-10-12 | Shun-Chao Huang | Mobile VPN proxy method based on session initiation protocol |
US7565535B2 (en) | 2005-05-06 | 2009-07-21 | Microsoft Corporation | Systems and methods for demonstrating authenticity of a virtual machine using a security image |
US8135022B2 (en) * | 2005-05-26 | 2012-03-13 | Xconnect Global Networks Ltd. | Detection of SPIT on VoIP calls |
US7808970B2 (en) * | 2005-06-30 | 2010-10-05 | Motorola, Inc. | Method of dynamically assigning mobility configuration parameters for mobile entities |
US8166538B2 (en) * | 2005-07-08 | 2012-04-24 | Microsoft Corporation | Unified architecture for remote network access |
US7920549B2 (en) * | 2005-07-20 | 2011-04-05 | Verizon Business Global Llc | Method and system for providing secure media gateways to support interdomain traversal |
US8184641B2 (en) * | 2005-07-20 | 2012-05-22 | Verizon Business Global Llc | Method and system for providing secure communications between proxy servers in support of interdomain traversal |
US7983254B2 (en) * | 2005-07-20 | 2011-07-19 | Verizon Business Global Llc | Method and system for securing real-time media streams in support of interdomain traversal |
US20070022289A1 (en) * | 2005-07-20 | 2007-01-25 | Mci, Inc. | Method and system for providing secure credential storage to support interdomain traversal |
US7861077B1 (en) * | 2005-10-07 | 2010-12-28 | Multiple Shift Key, Inc. | Secure authentication and transaction system and method |
US20230196357A9 (en) * | 2005-10-07 | 2023-06-22 | Multiple Shift Key, Inc. | Secure authentication and transaction system and method |
US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US20070143827A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
WO2007089503A2 (en) * | 2006-01-26 | 2007-08-09 | Imprivata, Inc. | Systems and methods for multi-factor authentication |
US20070234412A1 (en) * | 2006-03-29 | 2007-10-04 | Smith Ned M | Using a proxy for endpoint access control |
US7814541B1 (en) * | 2006-05-19 | 2010-10-12 | Array Networks, Inc. | Virtual routing for virtual local area networks having overlapping IP addresses |
US9197693B1 (en) * | 2006-05-19 | 2015-11-24 | Array Networks, Inc. | System and method for load distribution using a mail box proxy of a virtual private network |
US8776166B1 (en) * | 2006-07-17 | 2014-07-08 | Juniper Networks, Inc. | Plug-in based policy evaluation |
US8886934B2 (en) * | 2006-07-26 | 2014-11-11 | Cisco Technology, Inc. | Authorizing physical access-links for secure network connections |
US10255445B1 (en) * | 2006-11-03 | 2019-04-09 | Jeffrey E. Brinskelle | Identifying destinations of sensitive data |
US7852861B2 (en) * | 2006-12-14 | 2010-12-14 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method |
CN101711383B (zh) * | 2007-04-17 | 2016-06-08 | 维萨美国股份有限公司 | 用于认证交易方的方法和系统 |
WO2009063555A1 (ja) * | 2007-11-13 | 2009-05-22 | Fujitsu Limited | 制御代理装置、制御代理方法および制御代理プログラム |
US20090178131A1 (en) * | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
US20090265201A1 (en) * | 2008-04-21 | 2009-10-22 | Electronics And Telecommunications Research Institute | Method and apparatus for determining security solution |
EP2728528A1 (en) * | 2008-05-30 | 2014-05-07 | MR.QR10 GmbH & Co. KG | Server device for controlling a transaction, first entity and second entity |
US20100325719A1 (en) * | 2009-06-19 | 2010-12-23 | Craig Stephen Etchegoyen | System and Method for Redundancy in a Communication Network |
US8112066B2 (en) * | 2009-06-22 | 2012-02-07 | Mourad Ben Ayed | System for NFC authentication based on BLUETOOTH proximity |
US8045961B2 (en) * | 2009-06-22 | 2011-10-25 | Mourad Ben Ayed | Systems for wireless authentication based on bluetooth proximity |
US8549300B1 (en) * | 2010-02-23 | 2013-10-01 | Juniper Networks, Inc. | Virtual single sign-on for certificate-protected resources |
WO2011111842A1 (ja) * | 2010-03-11 | 2011-09-15 | Nishihata Akira | Vpnによる秘匿通信方法、そのシステム、そのプログラム、並びに、そのプログラムの記録媒体 |
US9412381B2 (en) * | 2010-03-30 | 2016-08-09 | Ack3 Bionetics Private Ltd. | Integrated voice biometrics cloud security gateway |
US9282097B2 (en) * | 2010-05-07 | 2016-03-08 | Citrix Systems, Inc. | Systems and methods for providing single sign on access to enterprise SAAS and cloud hosted applications |
WO2011143094A2 (en) * | 2010-05-09 | 2011-11-17 | Citrix Systems, Inc. | Systems and methods for allocation of classes of service to network connections corresponding to virtual channels |
CN102377629B (zh) * | 2010-08-20 | 2014-08-20 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 |
US8997172B2 (en) * | 2010-11-08 | 2015-03-31 | Citrix Systems, Inc. | Controlling information disclosure during application streaming and publishing |
US8584209B1 (en) * | 2010-12-03 | 2013-11-12 | Juniper Networks, Inc. | Authentication using a proxy network node |
US20120140993A1 (en) * | 2010-12-05 | 2012-06-07 | Unisys Corp. | Secure biometric authentication from an insecure device |
KR101047997B1 (ko) * | 2010-12-07 | 2011-07-13 | 플러스기술주식회사 | 네트워크 패킷을 이용한 공유 단말 구분 시스템 및 처리 방법 |
US9154953B2 (en) * | 2010-12-10 | 2015-10-06 | At&T Intellectual Property I, L.P. | Network access via telephony services |
US9880796B2 (en) * | 2011-03-08 | 2018-01-30 | Georgia Tech Research Corporation | Rapid view mobilization for enterprise applications |
US9141410B2 (en) * | 2011-03-08 | 2015-09-22 | Rackspace Us, Inc. | Pluggable allocation in a cloud computing system |
US9483627B1 (en) * | 2011-05-03 | 2016-11-01 | Symantec Corporation | Abstracting credentials for mobile client authentication |
US9264432B1 (en) * | 2011-09-22 | 2016-02-16 | F5 Networks, Inc. | Automatic proxy device configuration |
US9806940B1 (en) * | 2011-10-13 | 2017-10-31 | Comscore, Inc. | Device metering |
US20130103834A1 (en) * | 2011-10-21 | 2013-04-25 | Blue Coat Systems, Inc. | Multi-Tenant NATting for Segregating Traffic Through a Cloud Service |
US9787655B2 (en) * | 2011-12-09 | 2017-10-10 | Airwatch Llc | Controlling access to resources on a network |
US8713646B2 (en) * | 2011-12-09 | 2014-04-29 | Erich Stuntebeck | Controlling access to resources on a network |
KR101700171B1 (ko) * | 2011-12-28 | 2017-01-26 | 인텔 코포레이션 | 네트워크 액세스 관련 애플리케이션의 인증 |
US9098378B2 (en) * | 2012-01-31 | 2015-08-04 | International Business Machines Corporation | Computing reusable image components to minimize network bandwidth usage |
US20130253979A1 (en) * | 2012-03-13 | 2013-09-26 | Pacific Gas And Electric Company | Objectively managing risk |
US9350644B2 (en) * | 2012-04-13 | 2016-05-24 | Zscaler. Inc. | Secure and lightweight traffic forwarding systems and methods to cloud based network security systems |
US9699169B2 (en) * | 2012-05-10 | 2017-07-04 | Symantec Corporation | Computer readable storage media for selective proxification of applications and method and systems utilizing same |
US9253636B2 (en) * | 2012-08-15 | 2016-02-02 | Cisco Technology, Inc. | Wireless roaming and authentication |
US9438564B1 (en) * | 2012-09-18 | 2016-09-06 | Google Inc. | Managing pooled VPN proxy servers by a central server |
US8983433B2 (en) * | 2012-09-28 | 2015-03-17 | Cisco Technology, Inc. | Network based on demand wireless roaming |
US8613070B1 (en) * | 2012-10-12 | 2013-12-17 | Citrix Systems, Inc. | Single sign-on access in an orchestration framework for connected devices |
US9231918B2 (en) * | 2013-02-19 | 2016-01-05 | Cisco Technology, Inc. | Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions |
US9923897B2 (en) * | 2013-03-06 | 2018-03-20 | Surfeasy, Inc. | Edge server selection for enhanced services network |
US9401915B2 (en) * | 2013-03-15 | 2016-07-26 | Airwatch Llc | Secondary device as key for authorizing access to resources |
US20140282895A1 (en) * | 2013-03-15 | 2014-09-18 | Sky Socket, Llc | Secondary device as key for authorizing access to resources |
US8997187B2 (en) * | 2013-03-15 | 2015-03-31 | Airwatch Llc | Delegating authorization to applications on a client device in a networked environment |
US9633322B1 (en) * | 2013-03-15 | 2017-04-25 | Consumerinfo.Com, Inc. | Adjustment of knowledge-based authentication |
US9819682B2 (en) * | 2013-03-15 | 2017-11-14 | Airwatch Llc | Certificate based profile confirmation |
US9203820B2 (en) * | 2013-03-15 | 2015-12-01 | Airwatch Llc | Application program as key for authorizing access to resources |
US9396320B2 (en) * | 2013-03-22 | 2016-07-19 | Nok Nok Labs, Inc. | System and method for non-intrusive, privacy-preserving authentication |
US10270748B2 (en) * | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US9178761B2 (en) * | 2013-05-23 | 2015-11-03 | Avaya Inc. | Provisioning VPN phones |
US10291475B2 (en) * | 2013-08-05 | 2019-05-14 | Verizon Patent And Licensing Inc. | Virtualization of management services in a cloud computing environment |
US9336389B1 (en) * | 2013-08-19 | 2016-05-10 | Amazon Technologies, Inc. | Rapid malware inspection of mobile applications |
US9325687B2 (en) * | 2013-10-31 | 2016-04-26 | Cellco Partnership | Remote authentication using mobile single sign on credentials |
US9516039B1 (en) * | 2013-11-12 | 2016-12-06 | EMC IP Holding Company LLC | Behavioral detection of suspicious host activities in an enterprise |
KR101486307B1 (ko) * | 2013-11-18 | 2015-01-29 | 한국전자통신연구원 | 보안 관제 장치 및 그 방법 |
US20140109194A1 (en) * | 2013-12-05 | 2014-04-17 | Sky Socket, Llc | Authentication Delegation |
US10068077B2 (en) * | 2014-02-11 | 2018-09-04 | Tyco Fire & Security Gmbh | False alarm avoidance |
WO2015130700A1 (en) * | 2014-02-26 | 2015-09-03 | Secureauth Corporation | Security object creation, validation, and assertion for single sign on authentication |
US9578062B2 (en) * | 2014-04-03 | 2017-02-21 | Palo Alto Research Center Incorporated | Portable proxy for security management and privacy protection and method of use |
US9646309B2 (en) * | 2014-04-04 | 2017-05-09 | Mobilespaces | Method for authentication and assuring compliance of devices accessing external services |
WO2015184459A1 (en) * | 2014-05-30 | 2015-12-03 | Sha Samuel | Providing a custom virtual computing system |
US9350710B2 (en) * | 2014-06-20 | 2016-05-24 | Zscaler, Inc. | Intelligent, cloud-based global virtual private network systems and methods |
US10616180B2 (en) * | 2014-06-20 | 2020-04-07 | Zscaler, Inc. | Clientless connection setup for cloud-based virtual private access systems and methods |
US10375024B2 (en) * | 2014-06-20 | 2019-08-06 | Zscaler, Inc. | Cloud-based virtual private access systems and methods |
US9531714B2 (en) * | 2014-06-27 | 2016-12-27 | Citrix Systems, Inc. | Enterprise authentication via third party authentication support |
US9736154B2 (en) * | 2014-09-16 | 2017-08-15 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
US9509662B2 (en) * | 2014-09-24 | 2016-11-29 | Microsoft Technology Licensing, Llc | Techniques for providing services to multiple tenants via a shared end-point |
EP3770781B1 (en) * | 2014-09-30 | 2022-06-08 | Citrix Systems, Inc. | Fast smart card logon and federated full domain logon |
US9602468B2 (en) * | 2014-11-19 | 2017-03-21 | Facebook, Inc. | Techniques to authenticate a client to a proxy through a domain name server intermediary |
US10277578B2 (en) * | 2015-01-05 | 2019-04-30 | Citrix Systems, Inc. | Securing network activity managed by operating systems |
US9853971B2 (en) * | 2015-03-30 | 2017-12-26 | Vmware, Inc. | Proximity based authentication using bluetooth |
US9665654B2 (en) * | 2015-04-30 | 2017-05-30 | Icharts, Inc. | Secure connections in an interactive analytic visualization infrastructure |
US11115417B2 (en) * | 2015-05-19 | 2021-09-07 | Microsoft Technology Licensing, Llc. | Secured access control to cloud-based applications |
US10581977B2 (en) * | 2015-06-02 | 2020-03-03 | ALTR Solutions, Inc. | Computer security and usage-analysis system |
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
US10454917B2 (en) * | 2015-11-05 | 2019-10-22 | Red Hat, Inc. | Enabling single sign-on authentication for accessing protected network services |
US11182720B2 (en) * | 2016-02-16 | 2021-11-23 | BitSight Technologies, Inc. | Relationships among technology assets and services and the entities responsible for them |
US11363022B2 (en) * | 2016-03-28 | 2022-06-14 | Zscaler, Inc. | Use of DHCP for location information of a user device for automatic traffic forwarding |
US20210367944A1 (en) * | 2016-03-28 | 2021-11-25 | Zscaler, Inc. | REST API provided by a local agent to detect network path of a request |
US11962589B2 (en) * | 2016-03-28 | 2024-04-16 | Zscaler, Inc. | Disaster recovery for a cloud-based security service |
US11985129B2 (en) * | 2016-03-28 | 2024-05-14 | Zscaler, Inc. | Cloud policy enforcement based on network trust |
US20210105275A1 (en) * | 2016-03-28 | 2021-04-08 | Zscaler, Inc. | Adaptive multipath tunneling in cloud-based systems |
US11297058B2 (en) * | 2016-03-28 | 2022-04-05 | Zscaler, Inc. | Systems and methods using a cloud proxy for mobile device management and policy |
US20210234860A1 (en) * | 2016-03-28 | 2021-07-29 | Zscaler, Inc. | Securing local network traffic using cloud computing |
US11533307B2 (en) * | 2016-03-28 | 2022-12-20 | Zscaler, Inc. | Enforcing security policies on mobile devices in a hybrid architecture |
US9935955B2 (en) * | 2016-03-28 | 2018-04-03 | Zscaler, Inc. | Systems and methods for cloud based unified service discovery and secure availability |
US10050963B2 (en) * | 2016-03-29 | 2018-08-14 | Microsoft Technology Licensing, Llc | Securing remote authentication |
TWI621964B (zh) * | 2016-04-11 | 2018-04-21 | 群暉科技股份有限公司 | 透過行動裝置所執行的授權碼認證方法及相關的電腦程式產品 |
US10225740B2 (en) * | 2016-05-12 | 2019-03-05 | Zscaler, Inc. | Multidimensional risk profiling for network access control of mobile devices through a cloud based security system |
US10432673B2 (en) * | 2016-05-12 | 2019-10-01 | Zscaler, Inc. | In-channel event processing for network agnostic mobile applications in cloud based security systems |
US10511607B2 (en) * | 2016-05-12 | 2019-12-17 | Zscaler, Inc. | Multidimensional risk profiling for network access control of mobile devices through a cloud based security system |
US11949661B2 (en) * | 2016-05-18 | 2024-04-02 | Zscaler, Inc. | Systems and methods for selecting application connectors through a cloud-based system for private application access |
US20210314301A1 (en) * | 2016-05-18 | 2021-10-07 | Zscaler, Inc. | Private service edge nodes in a cloud-based system for private application access |
US11968179B2 (en) * | 2016-05-18 | 2024-04-23 | Zscaler, Inc. | Private application access with browser isolation |
US20220029965A1 (en) * | 2016-05-18 | 2022-01-27 | Zscaler, Inc. | Scaling private application access support per client |
US20220353244A1 (en) * | 2016-05-18 | 2022-11-03 | Zscaler, Inc. | Privileged remote access for OT/IOT/IIOT/ICS infrastructure |
US20210377223A1 (en) * | 2016-05-18 | 2021-12-02 | Zscaler, Inc. | Client to Client and Server to Client communication for private application access through a cloud-based system |
US11936623B2 (en) * | 2016-05-18 | 2024-03-19 | Zscaler, Inc. | Systems and methods for utilizing sub-clouds in a cloud-based system for private application access |
US20210336934A1 (en) * | 2016-05-18 | 2021-10-28 | Zscaler, Inc. | Cloud-based web application and API protection |
US11838271B2 (en) * | 2016-05-18 | 2023-12-05 | Zscaler, Inc. | Providing users secure access to business-to-business (B2B) applications |
US10362021B2 (en) * | 2016-05-31 | 2019-07-23 | Airwatch Llc | Device authentication based upon tunnel client network requests |
US10375055B2 (en) * | 2016-05-31 | 2019-08-06 | Airwatch Llc | Device authentication based upon tunnel client network requests |
US10122761B2 (en) * | 2016-05-31 | 2018-11-06 | Airwatch Llc | Device authentication based upon tunnel client network requests |
US10855725B2 (en) * | 2016-06-02 | 2020-12-01 | Microsoft Technology Licensing, Llc | Hardware-based virtualized security isolation |
US20170359344A1 (en) * | 2016-06-10 | 2017-12-14 | Microsoft Technology Licensing, Llc | Network-visitability detection control |
US10289835B1 (en) * | 2016-06-13 | 2019-05-14 | EMC IP Holding Company LLC | Token seed protection for multi-factor authentication systems |
US10873891B2 (en) * | 2016-07-06 | 2020-12-22 | Oceus Networks, Llc | Secure network rollover |
US9686238B1 (en) * | 2016-07-07 | 2017-06-20 | Oceus Networks Inc. | Secure network enrollment |
US10846389B2 (en) * | 2016-07-22 | 2020-11-24 | Aetna Inc. | Incorporating risk-based decision in standard authentication and authorization systems |
US10331882B2 (en) | 2016-08-24 | 2019-06-25 | Citrix Systems, Inc. | Tracking and managing virtual desktops using signed tokens |
US11184766B1 (en) * | 2016-09-07 | 2021-11-23 | Locurity Inc. | Systems and methods for continuous authentication, identity assurance and access control |
US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
US20180101850A1 (en) * | 2016-10-12 | 2018-04-12 | Microsoft Technology Licensing, Llc | User and device authentication for web applications |
US11843577B2 (en) * | 2016-12-13 | 2023-12-12 | Zscaler, Inc. | Fingerprinting to identify devices and applications for use in management and policy in the cloud |
US11134386B2 (en) * | 2016-12-13 | 2021-09-28 | Zscaler, Inc. | Device identification for management and policy in the cloud |
US10091195B2 (en) * | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
US20180198786A1 (en) * | 2017-01-11 | 2018-07-12 | Pulse Secure, Llc | Associating layer 2 and layer 3 sessions for access control |
US10547597B2 (en) * | 2017-01-24 | 2020-01-28 | International Business Machines Corporation | Secure network connections |
US10205735B2 (en) * | 2017-01-30 | 2019-02-12 | Splunk Inc. | Graph-based network security threat detection across time and entities |
US10237294B1 (en) * | 2017-01-30 | 2019-03-19 | Splunk Inc. | Fingerprinting entities based on activity in an information technology environment |
US10404735B2 (en) * | 2017-02-02 | 2019-09-03 | Aetna Inc. | Individualized cybersecurity risk detection using multiple attributes |
US20180254909A1 (en) | 2017-03-06 | 2018-09-06 | Lamark Solutions, Inc. | Virtual Identity Credential Issuance and Verification Using Physical and Virtual Means |
US10375052B2 (en) * | 2017-03-07 | 2019-08-06 | Airwatch Llc | Device verification of an installation of an email client |
US10726120B2 (en) * | 2017-03-31 | 2020-07-28 | Intel Corporation | System, apparatus and method for providing locality assertion between a security processor and an enclave |
US10645109B1 (en) * | 2017-03-31 | 2020-05-05 | Exabeam, Inc. | System, method, and computer program for detection of anomalous user network activity based on multiple data sources |
US20180295137A1 (en) * | 2017-04-06 | 2018-10-11 | Iconix, Inc. | Techniques for dynamic authentication in connection within applications and sessions |
US10979430B1 (en) * | 2017-05-17 | 2021-04-13 | Adnazon Technologies, Inc. | Service-initiated user authentication via delegated methods |
US10678567B2 (en) * | 2017-06-01 | 2020-06-09 | Airwatch Llc | Remote VPN configuration using dynamically generated configuration profiles |
US10992698B2 (en) * | 2017-06-05 | 2021-04-27 | Meditechsafe, Inc. | Device vulnerability management |
US10218697B2 (en) * | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
US10523658B2 (en) | 2017-09-05 | 2019-12-31 | Citrix Systems, Inc. | Securing a data connection for communicating between two end-points |
IL256192B (en) * | 2017-12-07 | 2019-01-31 | Cyberbit Ltd | A mobile system and method for analyzing network traffic |
CA2992333C (en) * | 2018-01-19 | 2020-06-02 | Nymi Inc. | User access authorization system and method, and physiological user sensor and authentication device therefor |
US11438310B2 (en) * | 2018-01-25 | 2022-09-06 | Koninklijke Kpn N.V. | IPX signaling security |
US10958640B2 (en) * | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
US20190319948A1 (en) * | 2018-04-11 | 2019-10-17 | Settleware Secure Services, Inc. | Remote authentication and identification proofing systems and methods |
US11297103B2 (en) * | 2018-04-30 | 2022-04-05 | Battelle Memorial Institute | High-fidelity model-driven deception platform for cyber-physical systems |
US11729782B2 (en) * | 2018-06-11 | 2023-08-15 | Apple Inc. | Enhanced uplink beam management |
US11012444B2 (en) * | 2018-06-25 | 2021-05-18 | Oracle International Corporation | Declarative third party identity provider integration for a multi-tenant identity cloud service |
WO2020065432A1 (en) * | 2018-09-26 | 2020-04-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Controlled handover from an incoming access network to a cellular access network of a visited network while in roaming |
US11153285B2 (en) * | 2018-11-07 | 2021-10-19 | Citrix Systems, Inc. | Systems and methods for application pre-launch |
US20200162517A1 (en) * | 2018-11-21 | 2020-05-21 | Cisco Technology, Inc. | Method and apparatus to have entitlement follow the end device in network |
US11301460B2 (en) * | 2019-01-24 | 2022-04-12 | Peoplebrowsr Inc. | Platform for creating and using actionable non-fungible tokens (KNFT) |
US11240027B2 (en) * | 2019-02-04 | 2022-02-01 | Hewlett Packard Enterprise Development Lp | Synchronizing radius server databases using distributed ledger network |
US20200285761A1 (en) * | 2019-03-07 | 2020-09-10 | Lookout, Inc. | Security policy manager to configure permissions on computing devices |
US10880175B2 (en) * | 2019-03-07 | 2020-12-29 | Lookout, Inc. | Developing security policies for deployment to mobile devices |
US10491603B1 (en) * | 2019-03-07 | 2019-11-26 | Lookout, Inc. | Software component substitution based on rule compliance for computing device context |
US11301569B2 (en) * | 2019-03-07 | 2022-04-12 | Lookout, Inc. | Quarantine of software based on analysis of updated device data |
US10785230B1 (en) * | 2019-03-07 | 2020-09-22 | Lookout, Inc. | Monitoring security of a client device to provide continuous conditional server access |
US11818129B2 (en) * | 2019-03-07 | 2023-11-14 | Lookout, Inc. | Communicating with client device to determine security risk in allowing access to data of a service provider |
US11323480B2 (en) * | 2019-05-07 | 2022-05-03 | Cisco Technology, Inc. | Policy enforcement and introspection on an authentication system |
US11645102B2 (en) * | 2019-05-20 | 2023-05-09 | Citrix Systems, Inc. | Connection leasing system and related methods for use with legacy virtual delivery appliances |
US20210019400A1 (en) * | 2019-07-15 | 2021-01-21 | SecureNative Ltd. | Security infrastructure as a service |
US11683393B2 (en) * | 2019-09-11 | 2023-06-20 | Intel Corporation | Framework for computing in radio access network (RAN) |
JP2023522199A (ja) * | 2020-04-14 | 2023-05-29 | モバイル ソニック インク. | モバイル管理システム |
US20210243782A1 (en) * | 2020-04-21 | 2021-08-05 | Honglei Miao | Methods of enhanced sps transmission and harq feedback |
US11799860B2 (en) * | 2020-04-27 | 2023-10-24 | Zscaler, Inc. | Client forwarding policies for zero trust access for applications |
US11617076B2 (en) * | 2020-06-15 | 2023-03-28 | Cisco Technology, Inc. | Clientless VPN roaming with 802.1x authentication |
US20220210130A1 (en) * | 2020-12-31 | 2022-06-30 | Netflow, UAB | Method and apparatus for maintaining a resilient vpn connection |
US20220329585A1 (en) * | 2021-04-08 | 2022-10-13 | Zscaler, Inc. | Utilizing endpoint security posture, identification, and remote attestation for restricting private application access |
US11943244B2 (en) * | 2021-06-22 | 2024-03-26 | International Business Machines Corporation | Anomaly detection over high-dimensional space |
US20230015603A1 (en) * | 2021-07-06 | 2023-01-19 | Zscaler, Inc. | Maintaining dependencies in a set of rules for security scanning |
US20230019448A1 (en) * | 2021-07-06 | 2023-01-19 | Zscaler, Inc. | Predefined signatures for inspecting private application access |
US11240242B1 (en) * | 2021-07-06 | 2022-02-01 | Revbits, LLC | System and method for providing a zero trust network |
US11496396B1 (en) * | 2022-04-25 | 2022-11-08 | Mimyr, Llc | Distributed software-defined network |
-
2020
- 2020-05-18 US US16/876,289 patent/US11876798B2/en active Active
- 2020-05-19 EP EP20175496.7A patent/EP3742289B1/en active Active
- 2020-05-20 CN CN202010431097.7A patent/CN111970116A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140331297A1 (en) * | 2013-05-03 | 2014-11-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
US20160134599A1 (en) * | 2014-11-07 | 2016-05-12 | Brian G. Ross | Computer-implemented systems and methods of device based, internet-centric, authentication |
CN107113319A (zh) * | 2016-07-14 | 2017-08-29 | 华为技术有限公司 | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023011168A1 (zh) * | 2021-08-02 | 2023-02-09 | 飞天诚信科技股份有限公司 | 实现指纹共用的方法及系统 |
CN115859264A (zh) * | 2023-02-28 | 2023-03-28 | 北京亿赛通科技发展有限责任公司 | 一种Windows10以及Windows11下基于UWP程序的注入方法 |
Also Published As
Publication number | Publication date |
---|---|
US20200374284A1 (en) | 2020-11-26 |
EP3742289A1 (en) | 2020-11-25 |
EP3742289B1 (en) | 2023-05-17 |
US11876798B2 (en) | 2024-01-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3742289B1 (en) | Virtual delivery appliance with remote authentication and related methods | |
AU2019384472B2 (en) | Dual factor authentication with active directory and one time password token combination | |
US11469894B2 (en) | Computing system and methods providing session access based upon authentication token with different authentication credentials | |
US11240240B1 (en) | Identity defined secure connect | |
CN113614691A (zh) | 供传统虚拟交付器件使用的连接租用系统和相关方法 | |
US20220158990A1 (en) | Single-sign-on for third party mobile applications | |
US11803398B2 (en) | Computing device and associated methods providing browser launching of virtual sessions in an application | |
US20220345311A1 (en) | Computing system and related methods providing multiple endpoint connections based upon connection leases | |
US11456861B2 (en) | Computing system and related methods providing connection lease exchange with secure connection lease communications | |
CN111970227A (zh) | 为虚拟计算会话提供连接租用防窃功能的系统和方法 | |
CN113615144A (zh) | 用于验证虚拟会话请求的系统和方法 | |
US20230020656A1 (en) | Computing session multi-factor authentication | |
US11889000B2 (en) | Shared device secure access | |
US20230179632A1 (en) | Token-based session establishment for client computing devices | |
WO2022226446A1 (en) | Computing system and related methods providing multiple endpoint connections based upon connection leases |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20201120 |
|
WD01 | Invention patent application deemed withdrawn after publication |