CN117223254A - 用于预认证链接的实体认证 - Google Patents
用于预认证链接的实体认证 Download PDFInfo
- Publication number
- CN117223254A CN117223254A CN202280028327.2A CN202280028327A CN117223254A CN 117223254 A CN117223254 A CN 117223254A CN 202280028327 A CN202280028327 A CN 202280028327A CN 117223254 A CN117223254 A CN 117223254A
- Authority
- CN
- China
- Prior art keywords
- entity
- link
- data content
- authentication
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 27
- 230000002708 enhancing effect Effects 0.000 claims abstract description 6
- 230000004044 response Effects 0.000 claims description 34
- 230000003213 activating effect Effects 0.000 claims description 28
- 230000015654 memory Effects 0.000 claims description 16
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000003068 static effect Effects 0.000 description 4
- 239000000203 mixture Substances 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 description 1
- 239000012212 insulator Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本文公开了用于增强预认证链接的安全性的技术。生成预认证链接的计算系统被配置为将实体标识符分配给预认证链接以指定被允许通过预认证链接访问相应数据的实体。当激活相应的预认证链接时,实体将实体令牌附加到请求以证明进行请求的实体的身份。如果来自实体令牌的身份与实体标识符匹配,则计算系统可以准许对相应数据的访问。
Description
技术领域
本文档总体上涉及但不限于预认证链接,并且特别地但不限于认证用于预认证链接的应用。
背景技术
预认证链接可用作针对客户端或应用在无需被提示输入凭证的情况下访问来自资源服务的数据的回调机制。资源服务器或其他系统可以生成预认证链接并将凭证附加到该链接,使得通过该链接的访问由资源服务器认证,而不需要客户端或应用提供其自己的凭证。
附图说明
在不一定按比例绘制的附图中,相同的标号可以在不同的视图中描述相似的组件。具有不同字母后缀的相似数字可以表示相似组件的不同实例。在附图的图中以示例而非限制的方式示出了一些实施例,其中:
图1是示出能够执行通过预认证链接访问数据的应用的若干设备的框图。
图2A是示出示例性预认证链接的图。
图2B是示出使用包括实体认证的预认证链接的示例请求的图。
图3是示出对尝试通过预认证链接访问数据的实体进行认证的方法的流程图。
图4是示出注册实体以使用特定于实体的预认证链接的方法的流程图。
图5是示出了可以在其上实现一个或多个实施例的机器的示例的框图。
具体实施方式
本文公开了用于对尝试通过激活预认证链接来访问数据的应用、用户或其他实体进行认证的系统和方法。预认证链接用作回调机制,其中用户、应用、服务商或其他实体可以访问由存储系统托管的数据,例如在资源服务器或任何其他数据存储服务上执行的应用,而无需被提示提供访问该数据的凭证。可以利用附加到链接的凭证(例如以令牌的形式)来生成预认证链接。这样,当由实体回放各个链接时,资源服务器或其他数据存储服务可以认证请求。例如,应用可以使用具有附加的所提供的凭证的预认证链接来执行超文本传输协议(HTTP)获得(Get)调用,以访问在由该链接提供的位置处的数据。
出现的技术问题在于,获得预认证链接的任何实体都能够访问相应的数据而无需提供任何凭证,这可能导致例如以重放攻击的形式的对该链接的恶意使用。增强这些预认证链接的安全性的技术解决方案包括生成链接,使得这些链接只能由针对其生成链接的实体访问。技术解决方案包括:当激活链接时、在尝试访问来自资源服务器的数据时,各个实体提供令牌或其他身份证明。这些特定于实体的预认证链接包括作为生成的链接的一部分的实体身份。当实体激活相应的链接以访问来自资源服务器或其他存储位置的相应数据时,该实体必须证明其身份与该实体身份相匹配。在示例中,当使用预认证链接执行HTTPGet调用时,实体可以使用作为标头附加的令牌来证明其身份。资源服务器验证实体令牌的有效性并确认该身份与由预认证链接指定的实体身份匹配。这具有保护预认证链接不被未知行为者激活的技术效果。例如,如果任何恶意行为者获得该链接并尝试使用该链接访问数据,则资源服务器可以确定实体令牌未与请求一起出现或实体令牌无效,并拒绝该请求,从而保护数据免受重放攻击。
图1是示出系统100的框图,系统100包括能够执行通过预认证链接访问数据的应用的若干个设备。系统100包括能够执行可以通过预认证链接请求数据的应用的计算系统102A-102C。在图1所示的示例中,设备102A是膝上型计算机,设备102B是移动电话,并且设备102C是应用服务器。在其他示例中,设备102A-102C还可以是平板计算机、台式计算机、可穿戴设备、或者能够自动地或者通过用户请求执行通过预认证链接而请求数据的一个或多个应用或服务的任何其他计算系统。在一些示例中,通过用户与应用的交互,或者通过激活预认证链接的任何其他方法,数据可以由应用本身访问。
设备102A-102C可以被连接以通过一个或多个网络108与资源服务器104和认证服务器106通信。网络108可以是根据包括蜂窝网络等的一种或多种协议的有线和/或无线网络。资源服务器104可以是一个或多个服务器,每个服务器包括一个或多个用于存储数据项的存储设备。数据项可以是数据文件,例如文字处理文档、便携式文档格式(PDF)文件、视频、图像、应用文件或任何其他数据项。例如,认证服务器106可以是被配置为执行一个或多个应用以对尝试从资源服务器104访问一个或多个数据项的实体执行认证的一个或多个计算系统。
资源服务器104或认证服务器106可以生成预认证链接,该预认证链接允许在设备102A-102C中的一个或多个上执行的应用访问由资源服务器104存储的一个或多个数据项。在示例中,使用预认证链接对数据内容的请求可以使用HTTP Get调用来进行,该HTTP Get调用包括统一资源定位符(URL)和访问令牌,该访问令牌包括用于认证请求的凭证。在示例用例中,设备102A-102C中的一个的用户可以识别由资源服务器104存储的恶意文件。一旦发现恶意文件,资源服务器104就可以将预认证链接返回给另一服务以运行对文件的分析。例如,分析服务器可以在应用服务器102C上执行。资源服务器104可以向在应用服务器102C上运行的服务提供预认证链接以访问该特定文件,而不是准许应用服务器102C上的服务的访问来访问资源服务器104中的数据。这样,资源服务器104仅根据需要准许应用/服务对特定数据项的访问。应用服务器102C然后可以利用恶意文件的URL和与该URL一起从资源服务器接收到的访问令牌来执行HTTP Get调用以访问该恶意文件。资源服务器接收请求并使用访问令牌对请求进行认证。
对于传统的预认证链接,如果除期望的应用之外的应用或实体获得预认证链接,则可以在没有许可的情况下访问相应的文件,这引起了安全考虑,例如对于重放攻击的脆弱性。为了应对这些安全考虑,资源服务器104或认证服务器106被配置为生成预认证链接,该预认证链接只能由针对其生成相应链接的特定实体访问。例如,资源服务器104可以生成只能由在计算设备102A上执行的特定应用访问的链接。这可以是特定于应用的,使得只有在计算设备102A上执行的单个应用能够访问该文件。这也可以是特定于服务的,使得在任何设备上执行的特定服务能够访问该文件。例如,设备102A和102B中的每一个都可以执行共同的应用。如果共同的应用被授权以通过预认证链接来访问数据,则可以从设备102A或102B激活该链接。为了促进特定于实体的预认证链接,当使用相应的预认证链接访问数据时,激活链接的实体必须提供其身份以证明应用是被授权访问数据的指定实体。
为了实现特定于实体的预认证链接,该链接包括实体身份作为预认证链接的一部分,并且当实体激活该链接以访问来自资源服务器104的相应数据时,该实体提供单独的实体令牌来证明其身份。实体令牌可以是能够标识该实体的身份的任何项目,例如由实体的私钥签名的加密项目。这可以是证书、令牌或任何其他加密项目。例如,实体令牌可以从认证服务器106获得或从能够针对资源服务器104而认证实体的任何其他应用获得。在接收到特定于实体的预认证链接之后,实体可以与认证服务器106通信以使用例如利用认证服务器建立的私钥来认证其自身,从而获得实体令牌。然后可以在指定的时间量内使用实体令牌来使用相应的预认证链接访问数据。
在一些示例中,实体可以通过在激活链接时将令牌附加到请求的标头来证明其身份。例如,HTTP Get调用可以包括数据URL、包括所提供的用于认证请求的凭证的访问令牌、以及提供对发出请求的实体的身份的证明的实体令牌。然后,资源服务器104检查预认证链接的实体身份并验证实体令牌中指定的身份是否匹配。这可以保护预认证链接不被未知或未经授权的行为者访问。如果恶意行为者获得这些链接中的一个链接并尝试使用该链接访问数据,则资源服务器104验证该链接,并且如果实体令牌不存在于请求内或者实体令牌无效,则资源服务器104拒绝该请求。
为了获得用于证明实体的身份的令牌,该实体可以向认证服务器106认证其自身。例如,在计算设备102A上执行的应用可以向认证服务器106认证其自身以接收身份令牌。虽然被描述为令牌,但是可以使用能够附加到请求以证明身份的任何数据。在一些示例中,认证服务器106可以与资源服务器104集成在同一系统上或者在其上执行。在设备102A上执行的用户或应用可以向认证服务器106认证其自身,认证服务器106是关于资源服务器104的可信服务器。因此,在应用设备102A上执行的用户或应用可以从认证服务器106获得令牌,以用于在使用预认证链接访问资源时识别该应用。
实体可以首先向认证服务器106注册。例如,在设备102B上执行的应用可以与认证服务器106通信以注册其自身。当注册时,认证服务器106可以向实体分配实体ID,该实体ID可以存储在数据库、查找表或任何其他存储机制中,使得资源服务器104或认证服务器106在生成预认证链接时可以引用该ID。例如,一旦实体被注册,并且资源服务器104想要生成针对该实体的预认证链接,资源服务器104就在查找表中查找该实体以获得该实体的实体ID。这样,资源服务器就可以将实体ID附加到预认证链接。
实体可以在注册时或者在任何其他时间通过向认证服务器进行认证来获得实体令牌。例如,当注册时,认证服务器106可以与实体共享私钥或以其他方式建立私钥,该实体可以使用该私钥在将来的时间向认证服务器106认证其自身,以便获得实体令牌。当实体请求实体令牌时,认证服务器可以查找实体ID并生成实体令牌以包括该实体ID。当激活预认证链接时,可以使用私钥对该令牌进行加密或以其他方式签名,以向资源服务器104或认证服务器106进行认证。
虽然被描述为资源服务器104和认证服务器106,但是存储数据的任何计算系统可以被配置为生成针对所存储的数据的预认证链接。例如,包括文件数据库的计算系统可以被配置为生成针对那些文件的预认证链接。计算系统可以执行其自己的认证或者可以与认证服务器(例如服务器106)通信。在一些示例中,资源服务器104、认证服务器106和/或应用服务器102C的功能可以由同一个服务器来执行。
图2A示出了被传送到实体的示例令牌200,示例令牌200包括相关联的预认证链接的信息。示例令牌200包括凭证202、资源服务器应用ID 204、资源URL 206、URL长度208、相关性ID 210、实体ID 212、范围214和令牌类型216。令牌200可以由例如资源服务器104或认证服务器106生成,并且被传送到计算设备102A-102C中的任何一个,以供由与相应计算设备102A-102C相关联的用户、应用或服务使用。虽然用特定字段202-216示出,但是令牌200可以包括任何附加的或替代的字段。
对于示例令牌200,由请求方使用凭证202来向资源服务器进行认证。凭证202可以使用对称密钥或非对称私钥来加密,例如与资源服务器104的公钥一起使用来认证使用相应的预认证链接进行的请求。凭证202还可以是可用于向资源服务器104认证请求的任何其他值或数据项。资源服务器应用ID 204是在资源服务器上执行的应用的标识符。这可以是应用的唯一标识符,例如数字、字符串或任何其他标识符。例如,数据库应用可以在资源服务器104上执行,并且资源服务器应用ID 204可以是数据库应用的标识符。资源URL 206是统一资源定位符(URL)或指示使用相应预认证链接可访问的资源的网络位置的其他网络地址。在一些示例中,资源URL 206可以是HTTP编码的URL的散列。与计算系统102A-102C中的一个相关联的实体可以在激活预认证链接时使用该URL。
URL长度208是指示资源URL的长度的值,其可用于指示例如是否需要忽略查询字符串参数。相关性ID 210可用于识别例如包括诸如何时生成链接之类的信息的日志。实体ID 212是指示被授权回放相应预认证链接的应用的唯一标识符。实体ID 212的存在可以向接收者实体指示接收者在激活预认证链接时需要证明身份。范围214指示当回放相应链接时准许的范围。例如,范围可以指示对相应文件的读和写许可。令牌类型216指示相应的预认证链接是否是特定于实体的预认证链接。实体可以参考令牌类型216字段来确定当激活预认证链接时是否需要实体令牌。
图2B是示出了在令牌200中传送的特定于实体的预认证链接的示例预认证链接250的图。请求250可以是HTTP Get调用或使用网络地址请求数据的任何其他方法的形式,诸如资源URL 206。与计算设备102A-102C中的一个相关联的实体可以通过发出包括资源URL 252、访问凭证254、和实体令牌256的请求250来激活预认证链接。资源URL 252可以是在令牌200中指定的资源URL 206。访问凭证254可以是在令牌200中指定的凭证202,并且实体令牌256可以是从认证服务器106获得的令牌,例如,其提供进行请求的实体的实体身份。例如,请求250可以采用以下形式:
“https://resource.address/data_item_[acess_token]_[entity_token]。”
图3是示出对尝试通过预认证链接了访问数据的实体进行认证的方法300的流程图。在步骤302,资源服务器生成预认证链接。在示例中,资源服务器将预认证链接以令牌的形式封装,诸如例如OAuth令牌。令牌可以包括使用私钥加密的凭证,例如资源URL和实体ID。实体ID指定被授权使用预认证链接的实体。例如,实体ID可以是指示被授权使用预认证链接的特定用户、应用或服务的标识符。
在步骤304,在使用预认证链接时,实体获得实体令牌来表示其身份。为了获得令牌,实体可以与关联于资源服务器的认证服务器进行通信。该实体可以先前已经向认证服务器注册(图4)以获得相对应的实体ID。当注册时,该实体可以已经与认证服务器建立了诸如私钥的凭证,并且可以使用该凭证来向认证服务器进行认证,以向认证服务器证明实体的身份。响应于证明其身份,实体从认证服务器接收例如实体令牌或其他加密标识符,该令牌或其他加密标识符可用于在使用相应的预认证链接时认证实体的身份。在一个示例中,实体令牌可以是OAuth令牌。
在步骤306,实体诸如通过使用来自预认证链接的URL进行HTTP Get调用来激活该链接,并且附加凭证和实体令牌。在示例中,实体可以将在步骤304期间获得的令牌附加到Get调用内的授权_行为者(authorization_actor)标头。该标头可以是实体和资源服务器两者都理解的任何格式。HTTP get的示例可以是:
“https://resource_URL/data_item?[access_credential]_[authorization_actor]”。
在步骤308,资源服务器接收HTTP Get调用并验证用于进行get调用的相应预认证链接。例如,资源服务器可以使用公钥来认证所附的访问_凭证(access_credential),该access_credential可以已经由资源服务器使用私钥进行加密。例如,当资源服务器向实体提供预认证链接时,实体可以已经从资源服务器获得了访问凭证。在步骤308,资源服务器还验证实体令牌。例如,如果令牌是从认证服务器获得的,则资源服务器使用来自认证服务器的公钥对来自实体的令牌进行解密,该令牌可以已使用实体通过向认证服务器进行认证以获得通过令牌所存储的身份而获得的秘密(private)进行了加密。在步骤310,资源服务器验证预认证链接的实体ID和来自实体令牌的实体身份是否匹配。如果实体令牌丢失或无效,则在步骤312,资源服务器拒绝该请求。如果由实体令牌指示的实体ID与由预认证链接指示的实体ID不匹配,则在步骤312,资源服务器将拒绝该请求。如果实体ID匹配,并且链接凭证有效,则在步骤314,资源服务器提供对数据的访问。
图4是示出向认证服务器注册实体的方法400的流程图。例如,实体可以向认证服务器注册以使得实体能够从相关联的资源服务器接收预认证链接。在步骤402,认证服务器接收来自实体的用于向认证服务器注册的请求。这可以是与认证服务器具有先前关系并且正在注册以使得能够接收特定于实体的预认证链接的实体,或者可以是与认证服务器不具有先前关系的实体。该实体可以已经具有私钥来向认证服务器认证自身。在步骤404,为该实体建立私钥。这可以是实体已经拥有的私钥,或者可以是响应于注册而由认证服务器提供的私钥。在步骤406,一旦实体已经向认证服务器注册,就可以建立实体ID。这是可以在预认证链接中使用以指定该实体被授权使用预认证链接的ID。该ID可以存储在数据库、查找表等中,并且可以在生成预认证链接时由资源服务器访问。这样,当资源服务器希望准许特定实体对文件的访问时,资源服务器可以在查找表中查找该实体并获得该实体的相对应的实体ID。
在步骤408,授权接收来自已注册实体的用于获得用于在通过预认证链接而访问数据时使用的令牌的请求。这些令牌可以在指定的时间内有效。例如,实体可以接收需要实体令牌的预认证链接。然后,该实体可以向认证服务器进行认证以获得令牌,该令牌可用于在使用相应的链接访问数据时证明该实体的身份。令牌可以在24小时的时段内有效,例如,允许实体在接下来的24小时的时段内使用该令牌以用于针对相应链接的所有HTTP Get调用。在步骤410,实体向认证服务器进行认证以获得令牌。为了进行认证,实体可以使用在步骤404建立的私钥来对针对令牌的请求进行签名。实体向认证服务器提供用私钥签名的针对令牌的请求,并且认证服务器使用例如公钥以对实体进行认证。在步骤412,响应于认证了实体的身份,认证服务器向实体提供实体令牌以用于在激活针对相关联的资源服务器的预认证链接时使用。这样,实体可以在接收预认证链接时获得实体令牌,并针对在指定的时间内每次激活该链接而使用由认证服务器建立的该令牌。
图5示出了示例机器500的框图,在该示例机器500上可以执行本文所讨论的任何一种或多种技术(例如,方法)。例如,机器500可以是服务器104、106或102C或者计算设备102A或102B中的任何一个或多个。如本文所描述的,示例可以包括机器500中的逻辑或多个组件或机制,或者可以通过机器500中的逻辑或多个组件或机制进行操作。电路系统(例如,处理电路系统)是在机器500的有形实体中实现的电路的集合,其包括硬件(例如,简单电路、门、逻辑等)。电路系统成员资格可能会随着时间的推移而灵活。电路系统包括在操作时可以单独或组合地执行指定操作的成员。在示例中,电路系统的硬件可以被不变地设计为执行特定操作(例如,硬连线)。在一个示例中,电路系统的硬件可以包括可变连接的物理组件(例如,执行单元、晶体管、简单电路等),其包括物理修改的机器可读介质(例如,磁性、电学、不变聚集粒子的可移动放置、等等)来编码具体操作的指令。在连接物理组件时,硬件组件的基本电气属性发生变化,例如从绝缘体变为导体,反之亦然。这些指令使得嵌入式硬件(例如,执行单元或加载机制)能够经由可变连接在硬件中创建电路系统的成员,以在操作时执行特定操作的部分。因此,在示例中,机器可读介质元件是电路系统的一部分或者当设备正在操作时通信地耦合到电路系统的其他组件。在一示例中,任何物理组件可以用在多于一个电路系统的多于一个成员中。例如,在操作中,执行单元可以在一个时间点在第一电路系统的第一电路中使用,并且在不同的时间由第一电路系统中的第二电路重用,或者由第二电路系统中的第三电路重用。下面是关于机器500的这些组件的附加示例。
在替代实施例中,机器500可以作为独立设备操作或者可以连接(例如,联网)到其他机器。在联网部署中,机器500可以以服务器机器、客户端机器或两者的身份在服务器-客户端网络环境中操作。在示例中,机器500可以充当对等(P2P)(或其他分布式)网络环境中的对等机器。机器500可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、移动电话、web工具、网络路由器、交换机或网桥,或者任何能够执行指定该机器要采取的动作的指令(顺序或其他方式)的机器。此外,虽然仅示出了单个机器,但术语“机器”还应当被理解为包括单独或联合执行一组(或多组)指令以执行本文所讨论的方法中的任何一个或多个的机器的任何集合,例如云计算、软件即服务(SaaS)、其他计算机集群配置。
机器(例如,计算机系统)500可以包括硬件处理器502(例如,中央处理单元(CPU)、图形处理单元(GPU)、硬件处理器核或其任意组合)、主存储器504、静态存储器(例如,用于固件、微代码、基本输入输出(BIOS)、统一可扩展固件接口(UEFI)等的存储器或存储装置)506,以及大容量存储装置508(例如,硬盘驱动器、磁带驱动器、闪存或其他块设备),其中一些或全部可以经由互连链路(例如,总线)530彼此通信。机器500还可以包括显示单元510、字母数字输入设备512(例如,键盘)、以及用户接口(UI)导航设备514(例如,鼠标)。在示例中,显示单元510、输入设备512和UI导航设备514可以是触摸屏显示器。机器500还可包括存储设备(例如,驱动单元)508、信号生成设备518(例如,扬声器)、网络接口设备520以及一个或多个传感器516,例如全球定位系统(GPS)传感器、罗盘、加速度计或其他传感器。机器500可以包括输出控制器528,诸如串行连接(例如,通用串行总线(USB)、并行连接、或其他有线或无线连接(例如,红外(IR)、近场通信(NFC)等)以与一个或多个外围设备(例如打印机、读卡器等)通信或控制一个或多个外围设备(例如打印机、读卡器等)。
处理器502、主存储器504、静态存储器506或大容量存储装置508的寄存器可以是或者包括机器可读介质522,其上存储了体现本文描述的任何一项或多项技术或功能或由本文描述的任何一项或多项技术或功能所利用的一组或多组数据结构或指令524(例如,软件)。指令524在由机器500执行期间还可以完全地或至少部分地驻留在处理器502、主存储器504、静态存储器506或大容量存储装置508的任何寄存器内。在示例中,硬件处理器502、主存储器504、静态存储器506或大容量存储装置508中的任一个或任意组合可以构成机器可读介质522。虽然机器可读介质522被示为单个介质,但是术语“机器可读介质”可以包括被配置为存储一个或多个指令524的单个介质或多个介质(例如,集中式或分布式数据库,和/或相关联的高速缓存和服务器)。
术语“机器可读介质”可以包括能够存储、编码或承载由机器500执行的指令并且使得机器500执行本公开的技术中的任何一项或多项或者能够存储、编码或承载由此类指令使用的或与此类指令相关联的数据结构的任何介质。非限制性机器可读介质示例可以包括固态存储器、光学介质、磁介质和信号(例如,射频信号、其他基于光子的信号、声音信号等)。在示例中,非暂时性机器可读介质包括具有多个具有不变(例如,静止)质量的颗粒的机器可读介质,因此是物质的组合物。因此,非暂时性机器可读介质是不包括瞬态传播信号的机器可读介质。非暂时性机器可读介质的具体示例可以包括:非易失性存储器,例如半导体存储器件(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))和闪存器件;磁盘,例如内置硬盘和可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM磁盘。
指令524还可以通过网络接口设备520使用传输介质在通信网络526上发送或接收,其中网络接口设备520利用多种传输协议(例如帧中继、网际协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)等中的任意一种)。示例性通信网络可以包括局域网(LAN)、广域网(WAN)、分组数据网络(例如,互联网)、移动电话网络(例如,蜂窝网络)、普通老式电话(POTS)网络和无线数据网络(例如,电气和电子工程师协会(IEEE)802.11标准系列,称为)、IEEE 802.16.4标准系列、点对点(P2P)网络等等。在示例中,网络接口设备520可以包括一个或多个物理插孔(例如,以太网、同轴电缆或电话插孔)或一个或多个天线以连接到通信网络526。在一示例中,网络接口设备520可以包括多个天线,以使用单输入多输出(SIMO)、多输入多输出(MIMO)或多输入单输出(MISO)技术中的至少一种来进行无线通信。术语“传输介质”应被理解为包括能够存储、编码或承载由机器500执行的指令的任何无形介质,并且包括数字或模拟通信信号或其他无形介质以促进此类软件的通信。传输介质是机器可读介质。
非限制性示例
示例1是一种用于使用一个或多个硬件处理器来增强针对数据内容的预认证链接的安全性的方法,该方法包括:生成预认证链接,所述预认证链接可激活以获得对由计算系统存储的数据内容的访问,其中所述预认证链接包括:指示所述数据内容的网络位置的网络地址、认证通过激活所述预认证链接而进行的对所述数据内容的访问请求的链接凭证、以及标识具有激活所述预认证链接以访问所述数据内容的许可的实体的实体标识符;从第一进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第一请求;从所述第一进行请求的实体接收与所述第一请求相关联的链接凭证;接收与所述第一请求相关联的实体令牌,其中所述实体令牌指示所述第一进行请求的实体的经认证身份;响应于以下项来向所述第一进行请求的实体准许对所述数据内容的访问:验证与所述第一请求相关联的所述链接凭证是有效的;以及通过验证由所述实体令牌指定的经认证身份与所述预认证链接的实体标识符匹配来验证所述第一进行请求的实体被授权访问所述数据内容;从第二进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第二请求;以及响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问。
在示例2中,示例1的主题包括,在接收到对所述数据内容的所述第一请求之前:由认证服务器接收来自所述第一进行请求的实体的获得所述实体令牌的请求;由所述认证服务器接收向所述认证服务器认证所述第一进行请求的实体的实体凭证;响应于验证所述实体凭证的有效性,由所述认证服务器为所述第一进行请求的实体生成所述实体令牌;以及将所述实体令牌传送到所述第一进行请求的实体。
在示例3中,示例1-2的主题包括,其中第一进行请求的实体与用户、应用或服务相关联。
在示例4中,示例1-3的主题包括,从第三进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第三请求;以及响应于确定与所述第三请求相关联的所述链接凭证丢失或无效而拒绝对所述数据内容的访问。
在示例5中,示例1-4的主题包括,在接收到所述第一请求之前,将所述预认证链接传送到与所述第一进行请求的实体相关联的计算设备;由所述计算设备处的所述第一进行请求的实体接收包括所述网络地址、所述链接凭证和所述实体标识符的所述预认证链接;由所述第一进行请求的实体向认证服务器进行认证;响应于向所述认证服务器进行了认证,在所述计算设备处接收所述实体令牌;以及在所述计算设备处使用所述网络地址、所述链接凭证和所述实体令牌来激活所述预认证链接。
在示例6中,示例1-5的主题包括,其中响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问包括:检测所述第二请求中不存在实体令牌。
在示例7中,示例1-6的主题包括,其中响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问包括:确定与所述第二请求一起接收的实体令牌无效或指示所述第二进行请求的实体的身份与所述实体标识符不匹配。
在示例8中,示例1-7的主题包括,其中所述计算系统是资源服务器,并且其中生成所述预认证链接包括由与所述资源服务器相关联的认证服务器生成所述预认证链接。
示例9是一种用于使用一个或多个硬件处理器来增强针对数据内容的预认证链接的安全性的系统,该系统包括:一个或多个硬件处理器;以及一个或多个存储器,所述一个或多个存储器存储指令,所述指令当被执行时,使所述一个或多个硬件处理器执行包括以下操作的操作:生成预认证链接,所述预认证链接可激活以获得对由计算系统存储的数据内容的访问,其中所述预认证链接包括:指示所述数据内容的网络位置的网络地址、认证通过激活所述预认证链接而进行的对所述数据内容的访问请求的链接凭证、以及标识具有激活所述预认证链接以访问所述数据内容的许可的实体的实体标识符;从第一进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第一请求;从所述第一进行请求的实体接收与所述第一请求相关联的链接凭证;接收与所述第一请求相关联的实体令牌,其中所述实体令牌指示所述第一进行请求的实体的经认证身份;响应于以下项来向所述第一进行请求的实体准许对所述数据内容的访问:验证与所述第一请求相关联的所述链接凭证是有效的;以及通过验证由所述实体令牌指定的经认证身份与所述预认证链接的实体标识符匹配来验证所述第一进行请求的实体被授权访问所述数据内容;从第二进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第二请求;以及响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问。
在示例10中,示例9的主题包括,所述操作还包括:在接收到对所述数据内容的所述第一请求之前:由认证服务器接收来自所述第一进行请求的实体的获得所述实体令牌的请求;由所述认证服务器接收向所述认证服务器认证所述第一进行请求的实体的实体凭证;响应于验证所述实体凭证的有效性,由所述认证服务器为所述第一进行请求的实体生成所述实体令牌;以及将所述实体令牌传送到所述第一进行请求的实体。
在示例11中,示例9-10的主题包括,其中第一进行请求的实体与用户、应用或服务相关联。
在示例12中,示例9-11的主题包括,操作还包括:从第三进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第三请求;以及响应于确定与所述第三请求相关联的所述链接凭证丢失或无效而拒绝对所述数据内容的访问。
在示例13中,示例9-12的主题包括,操作还包括:在接收到所述第一请求之前,将所述预认证链接传送到与所述第一进行请求的实体相关联的计算设备;由所述计算设备处的所述第一进行请求的实体接收包括所述网络地址、所述链接凭证和所述实体标识符的所述预认证链接;由所述第一进行请求的实体向认证服务器进行认证;响应于向所述认证服务器进行了认证,在所述计算设备处接收所述实体令牌;以及在所述计算设备处使用所述网络地址、所述链接凭证和所述实体令牌来激活所述预认证链接。
在示例14中,示例9-13的主题包括,其中响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问包括:检测所述第二请求中不存在实体令牌。
在示例15中,示例9-14的主题包括,其中响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问包括:确定与所述第二请求一起接收的实体令牌无效或指示所述第二进行请求的实体的身份与所述实体标识符不匹配。
在示例16中,示例9-15的主题包括,其中计算系统是资源服务器,并且其中生成预认证链接包括:由与资源服务器相关联的认证服务器生成预认证链接。
示例17是一种用于使用一个或多个硬件处理器增强针对数据内容的预认证链接的安全性的系统,该系统包括:用于生成预认证链接的装置,所述预认证链接可激活以获得对由计算系统存储的数据内容的访问,其中所述预认证链接包括:指示所述数据内容的网络位置的网络地址、认证通过激活所述预认证链接而进行的对所述数据内容的访问请求的链接凭证、以及标识具有激活所述预认证链接以访问所述数据内容的许可的实体的实体标识符;用于从第一进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第一请求的装置;用于从所述第一进行请求的实体接收与所述第一请求相关联的链接凭证的装置;用于接收与所述第一请求相关联的实体令牌的装置,其中所述实体令牌指示所述第一进行请求的实体的经认证身份;用于响应于以下项来向所述第一进行请求的实体准许对所述数据内容的访问的装置:验证与所述第一请求相关联的所述链接凭证是有效的;以及通过验证由所述实体令牌指定的经认证身份与所述预认证链接的实体标识符匹配来验证所述第一进行请求的实体被授权访问所述数据内容;用于从第二进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第二请求的装置;以及用于响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问的装置。
在示例18中,示例17的主题包括:用于在接收到所述第一请求之前将所述预认证链接传送到与所述第一进行请求的实体相关联的计算设备的装置;用于由所述计算设备处的所述第一进行请求的实体接收包括所述网络地址、所述链接凭证和所述实体标识符的所述预认证链接的装置;用于由所述第一进行请求的实体向认证服务器进行认证的装置;用于响应于向所述认证服务器进行了认证而在所述计算设备处接收所述实体令牌的装置;用于在所述计算设备处使用所述网络地址、所述链接凭证和所述实体令牌来激活所述预认证链接的装置。
在示例19中,示例17-18的主题包括,其中用于响应于确定第二进行请求的实体未被授权访问数据内容而拒绝第二进行请求的实体对数据内容的访问的装置包括:用于确定与第二请求一起接收的实体令牌无效或指示所述第二进行请求的实体的身份与所述实体标识符不匹配。
示例20,示例17-19的主题包括,其中用于响应于确定第二进行请求的实体未被授权访问数据内容而拒绝第二进行请求的实体对数据内容的访问的装置包括:用于检测第二请求中不存在实体令牌的装置。
示例21是至少一种机器可读介质,包括指令,指令当由处理电路系统执行时,使得处理电路系统执行操作以实现示例1-20中的任一个。
示例22是包括用于实现示例1至20中任一个的模块的装置。
示例23是实现示例1-20中任一个的系统。
示例24是实施示例1-20中任一个的方法。
以上描述包括对附图的参考,附图形成详细描述的一部分。附图以示例的方式示出了可以实施本发明的具体实施例。这些实施例在本文中也被称为“示例”。这些示例可以包括除了示出或描述的那些之外的元素。然而,本发明人还考虑了仅提供示出或描述的那些元件的示例。此外,本发明人还考虑了使用所示或描述的那些元素(或其一个或多个方面)的任意组合或排列的示例,或者相对于特定示例(或其一个或多个方面),或者相对于在此示出或描述的其他示例(或其一个或多个方面)。
在本文档中,如专利文件中常见的那样,使用术语“一”或“一个”来包括一个或多于一个,独立于“至少一个”或“一个或多个”的任何其他实例或用法。在本文档中,除非另有说明,术语“或”用于指非排他性的“或”,使得“A或B”包括“A但不B”、“B但不A”以及“A和B两者”。在本文档中,术语“包括(including)”和“其中(in which)”用作相应术语“包含(comprising)”和“其中(wherein)”的简单英语等同物。此外,在所附权利要求中,术语“包括”和“包含”是开放式的,即,还包括除了在一项权利要求中该术语之后列出的那些元素之外的元素的系统、设备、物品、组合物、制剂或过程仍被视为落入该权利要求的范围内。此外,在所附权利要求中,术语“第一”、“第二”和“第三”等仅用作标记,并不旨在对其对象强加数字要求。
上述描述旨在是说明性的而非限制性的。例如,上述示例(或其一个或多个方面)可以彼此组合使用。例如本领域普通技术人员在审阅以上描述后可以使用其他实施例。提供摘要是为了让读者快速确定技术公开的性质。提交时应理解其不会用于解释或限制权利要求的范围或含义。此外,在上面的具体实施方式中,各种特征可以被分组在一起以简化本公开。这不应被解释为意在未要求保护的公开特征对于任何权利要求都是必要的。相反,发明主题可以存在于少于特定公开的实施例的所有特征中。因此,所附权利要求特此作为示例或实施例并入具体实施方式中,其中每个权利要求本身作为单独的实施例,并且预期这样的实施例可以以各种组合或排列彼此组合。本发明的范围应当参考所附权利要求以及这些权利要求所赋予的等同物的完整范围来确定。
Claims (15)
1.一种用于使用一个或多个硬件处理器来增强针对数据内容的预认证链接的安全性的方法,所述方法包括:
生成预认证链接,所述预认证链接能够激活以获得对由计算系统存储的数据内容的访问,其中,所述预认证链接包括:指示所述数据内容的网络位置的网络地址、认证通过激活所述预认证链接而进行的对所述数据内容的访问请求的链接凭证、以及标识具有激活所述预认证链接以访问所述数据内容的许可的实体的实体标识符;
从第一进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第一请求;
从所述第一进行请求的实体接收与所述第一请求相关联的链接凭证;
接收与所述第一请求相关联的实体令牌,其中,所述实体令牌指示所述第一进行请求的实体的经认证身份;
响应于以下项,向所述第一进行请求的实体准许对所述数据内容的访问:
验证与所述第一请求相关联的所述链接凭证是有效的;以及
通过验证由所述实体令牌指定的经认证身份与所述预认证链接的实体标识符匹配来验证所述第一进行请求的实体被授权访问所述数据内容;
从第二进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第二请求;以及
响应于确定所述第二进行请求的实体未被授权访问所述数据内容,拒绝所述第二进行请求的实体对所述数据内容的访问。
2.根据权利要求1所述的方法,还包括:
在接收到对所述数据内容的所述第一请求之前:
由认证服务器从所述第一进行请求的实体接收用于获得所述实体令牌的请求;
由所述认证服务器接收向所述认证服务器认证所述第一进行请求的实体的实体凭证;
响应于验证所述实体凭证的有效性,由所述认证服务器为所述第一进行请求的实体生成所述实体令牌;以及
将所述实体令牌传送到所述第一进行请求的实体。
3.根据权利要求1所述的方法,其中,所述第一进行请求的实体是与用户、应用或服务相关联的。
4.根据权利要求1所述的方法,还包括:
从第三进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第三请求;以及
响应于确定与所述第三请求相关联的所述链接凭证丢失或无效,拒绝对所述数据内容的访问。
5.根据权利要求1所述的方法,还包括:
在接收到所述第一请求之前,将所述预认证链接传送到与所述第一进行请求的实体相关联的计算设备;
在所述计算设备处由所述第一进行请求的实体接收包括所述网络地址、所述链接凭证、和所述实体标识符的所述预认证链接;
由所述第一进行请求的实体向认证服务器进行认证;
响应于向所述认证服务器进行认证,在所述计算设备处接收所述实体令牌;以及
在所述计算设备处使用所述网络地址、所述链接凭证、和所述实体令牌来激活所述预认证链接。
6.根据权利要求1所述的方法,其中,响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问包括:检测所述第二请求中不存在实体令牌。
7.根据权利要求1所述的方法,其中,响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问包括:确定与所述第二请求一起接收的实体令牌无效或指示所述第二进行请求的实体的身份与所述实体标识符不匹配。
8.根据权利要求1所述的方法,其中,所述计算系统是资源服务器,并且其中,生成所述预认证链接包括由与所述资源服务器相关联的认证服务器生成所述预认证链接。
9.一种用于使用一个或多个硬件处理器来增强针对数据内容的预认证链接的安全性的系统,所述系统包括:
一个或多个硬件处理器;以及
一个或多个存储器,其存储指令,所述指令当被执行时,使得所述一个或多个硬件处理器执行包括以下项的操作:
生成预认证链接,所述预认证链接能够激活以获得对由计算系统存储的数据内容的访问,其中,所述预认证链接包括:指示所述数据内容的网络位置的网络地址、认证通过激活所述预认证链接而进行的对所述数据内容的访问请求的链接凭证、以及标识具有激活所述预认证链接以访问所述数据内容的许可的实体的实体标识符;
从第一进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第一请求;
从所述第一进行请求的实体接收与所述第一请求相关联的链接凭证;
接收与所述第一请求相关联的实体令牌,其中,所述实体令牌指示所述第一进行请求的实体的经认证身份;
响应于以下项,向所述第一进行请求的实体准许对所述数据内容的访问:
验证与所述第一请求相关联的所述链接凭证是有效的;以及
通过验证由所述实体令牌指定的经认证身份与所述预认证链接的实体标识符匹配来验证所述第一进行请求的实体被授权访问所述数据内容;
从第二进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第二请求;以及
响应于确定所述第二进行请求的实体未被授权访问所述数据内容,拒绝所述第二进行请求的实体对所述数据内容的访问。
10.根据权利要求9所述的系统,所述操作还包括:
在接收到对所述数据内容的所述第一请求之前:
由认证服务器从所述第一进行请求的实体接收用于获得所述实体令牌的请求;
由所述认证服务器接收向所述认证服务器认证所述第一进行请求的实体的实体凭证;
响应于验证所述实体凭证的有效性,由所述认证服务器为所述第一进行请求的实体生成所述实体令牌;以及
将所述实体令牌传送到所述第一进行请求的实体。
11.根据权利要求9所述的系统,其中,所述第一进行请求的实体是与用户、应用或服务相关联的。
12.根据权利要求9所述的系统,所述操作还包括:
从第三进行请求的实体接收通过激活所述预认证链接而生成的对所述数据内容的第三请求;以及
响应于确定与所述第三请求相关联的所述链接凭证丢失或无效,拒绝对所述数据内容的访问。
13.根据权利要求9所述的系统,所述操作还包括:
在接收到所述第一请求之前,将所述预认证链接传送到与所述第一进行请求的实体相关联的计算设备;
在所述计算设备处由所述第一进行请求的实体接收包括所述网络地址、所述链接凭证、和所述实体标识符的所述预认证链接;
由所述第一进行请求的实体向认证服务器进行认证;
响应于向所述认证服务器进行认证,在所述计算设备处接收所述实体令牌;以及
在所述计算设备处使用所述网络地址、所述链接凭证、和所述实体令牌来激活所述预认证链接。
14.根据权利要求9所述的系统,其中,响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问包括:检测所述第二请求中不存在实体令牌。
15.根据权利要求9所述的系统,其中,响应于确定所述第二进行请求的实体未被授权访问所述数据内容而拒绝所述第二进行请求的实体对所述数据内容的访问包括:确定与所述第二请求一起接收的实体令牌无效或指示所述第二进行请求的实体的身份与所述实体标识符不匹配。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/230,671 | 2021-04-14 | ||
US17/230,671 US11706224B2 (en) | 2021-04-14 | 2021-04-14 | Entity authentication for pre-authenticated links |
PCT/US2022/021628 WO2022221016A1 (en) | 2021-04-14 | 2022-03-24 | Entity authentication for pre-authenticated links |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117223254A true CN117223254A (zh) | 2023-12-12 |
Family
ID=81326956
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280028327.2A Pending CN117223254A (zh) | 2021-04-14 | 2022-03-24 | 用于预认证链接的实体认证 |
Country Status (4)
Country | Link |
---|---|
US (2) | US11706224B2 (zh) |
EP (1) | EP4324161A1 (zh) |
CN (1) | CN117223254A (zh) |
WO (1) | WO2022221016A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11675864B2 (en) | 2021-06-28 | 2023-06-13 | Dropbox, Inc. | Proxy links to support legacy links |
US11689374B1 (en) * | 2021-11-15 | 2023-06-27 | OneSpan Canada Inc. | Blockchain-enhanced proof of identity |
US20230359759A1 (en) * | 2022-05-03 | 2023-11-09 | Capital One Services, Llc | Aggregating Permissions Across Multiple Platforms |
US20230362148A1 (en) * | 2022-05-03 | 2023-11-09 | Capital One Services, Llc | Aggregating Permissions Across Multiple Platforms with Co-Signers |
CN117459285A (zh) * | 2023-11-02 | 2024-01-26 | 北京光润通科技发展有限公司 | 一种网络链路层数据保护方法及系统 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0762261A3 (en) * | 1995-09-08 | 1999-12-22 | Cadix Inc. | A verification server and authentication method for use in authentication on networks |
US6360254B1 (en) * | 1998-09-15 | 2002-03-19 | Amazon.Com Holdings, Inc. | System and method for providing secure URL-based access to private resources |
US6718328B1 (en) | 2000-02-28 | 2004-04-06 | Akamai Technologies, Inc. | System and method for providing controlled and secured access to network resources |
US7921450B1 (en) * | 2001-12-12 | 2011-04-05 | Klimenty Vainstein | Security system using indirect key generation from access rules and methods therefor |
US8719912B2 (en) * | 2008-06-27 | 2014-05-06 | Microsoft Corporation | Enabling private data feed |
US9087208B2 (en) * | 2011-06-27 | 2015-07-21 | Google Inc. | Persistent key access to album |
LV14456B (lv) * | 2011-10-04 | 2012-04-20 | Relative Cc, Sia | Lietotāja identitātes noteikšanas paņēmiens |
US9213853B2 (en) * | 2011-12-20 | 2015-12-15 | Nicolas LEOUTSARAKOS | Password-less login |
CN104662864B (zh) * | 2012-08-03 | 2018-03-09 | 威斯科数据安全国际有限公司 | 使用了移动认证应用的用户方便的认证方法和装置 |
WO2015042349A1 (en) | 2013-09-20 | 2015-03-26 | Oracle International Corporation | Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service |
CA2944012A1 (en) * | 2014-04-11 | 2015-10-15 | Diro, Inc. | Dynamic contextual device networks |
WO2017042400A1 (en) | 2015-09-11 | 2017-03-16 | Dp Security Consulting Sas | Access method to an on line service by means of access tokens and secure elements restricting the use of these access tokens to their legitimate owner |
US11069016B2 (en) * | 2017-05-10 | 2021-07-20 | Mastercard International Incorporated | National digital identity |
-
2021
- 2021-04-14 US US17/230,671 patent/US11706224B2/en active Active
-
2022
- 2022-03-24 CN CN202280028327.2A patent/CN117223254A/zh active Pending
- 2022-03-24 EP EP22717323.4A patent/EP4324161A1/en active Pending
- 2022-03-24 WO PCT/US2022/021628 patent/WO2022221016A1/en active Application Filing
-
2023
- 2023-06-01 US US18/204,738 patent/US20230370469A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4324161A1 (en) | 2024-02-21 |
US11706224B2 (en) | 2023-07-18 |
US20220337595A1 (en) | 2022-10-20 |
US20230370469A1 (en) | 2023-11-16 |
WO2022221016A1 (en) | 2022-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11178148B2 (en) | Out-of-band authentication to access web-service with indication of physical access to client device | |
US11706224B2 (en) | Entity authentication for pre-authenticated links | |
US9887997B2 (en) | Web authentication using client platform root of trust | |
US10872336B2 (en) | System and method for independent user effort-based validation | |
US10637650B2 (en) | Active authentication session transfer | |
US9917843B2 (en) | Secure data management techniques | |
US9723003B1 (en) | Network beacon based credential store | |
JP2019508763A (ja) | ローカルデバイス認証 | |
US10992656B2 (en) | Distributed profile and key management | |
WO2014175721A1 (en) | A system and method for privacy management for internet of things services | |
KR20110008272A (ko) | 단일 서비스 사인 온을 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 | |
US11063930B1 (en) | Resource access provisioning for on-premises network client devices | |
US10129299B1 (en) | Network beacon management of security policies | |
US11409861B2 (en) | Passwordless authentication | |
US11132465B1 (en) | Real-time feature level software security | |
US11443023B2 (en) | Distributed profile and key management | |
US20220286435A1 (en) | Dynamic variance mechanism for securing enterprise resources using a virtual private network | |
EP3286894B1 (en) | Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key | |
JP2020095687A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
US10063592B1 (en) | Network authentication beacon | |
US10033721B2 (en) | Credential translation | |
US11977620B2 (en) | Attestation of application identity for inter-app communications | |
Choi et al. | Home IoT Authority Control Method Based on DID Auth | |
CN117178304A (zh) | 用于合并lacs认证的pacs修改 | |
Manning | Device fingerprinting identification and authentication: A two-fold use in multi-factor access control schemes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |