CN118056380A - 在计算机网络之内限制横向遍历 - Google Patents

在计算机网络之内限制横向遍历 Download PDF

Info

Publication number
CN118056380A
CN118056380A CN202280066969.1A CN202280066969A CN118056380A CN 118056380 A CN118056380 A CN 118056380A CN 202280066969 A CN202280066969 A CN 202280066969A CN 118056380 A CN118056380 A CN 118056380A
Authority
CN
China
Prior art keywords
protected resource
resources
access
protected
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280066969.1A
Other languages
English (en)
Inventor
J·S·斯塔蒂亚
J·R·巴科
D·E·柯蒂斯
A·R·戴维斯
D·A·拉斯勒
E·A·弗皮恩
S·德范
B·S·郑
D·J·道森
G·K·林格
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN118056380A publication Critical patent/CN118056380A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2125Just-in-time application of countermeasures, e.g., on-the-fly decryption, just-in-time obfuscation or de-obfuscation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

在网络之内限制横向遍历。授权请求标识证书、受保护的第一资源和用于请求授权的受保护的第二资源的标识符。标识与第二资源相关联的横向遍历策略,该策略将对第二资源的访问约束为仅属于包括第二资源的资源的子集的资源。当确定证书被配置用于对第二资源的访问,并且当确定第一资源属于包括第二资源的资源的子集时,颁发授权令牌,该授权令牌授权证书经由第一资源访问第二资源。备选地,当确定证书被授予对第二资源的访问,并且当确定第一资源在资源的特定子集之外时,拒绝授权请求。

Description

在计算机网络之内限制横向遍历
技术领域
本公开涉及在计算机网络之内管理资源授权的系统、方法和设备。
背景技术
使用传统的授权技术,单个证书经常被授权以基于对证书的权限组的持续性或基于时间的分配(其中权限组授予对两个或多个受保护资源的访问)访问两个或多个受保护的计算机网络资源。在计算机网络之内,被授权以访问多个资源的此单个证书是横向遍历(lateral traversal)攻击以及权限的升级的基础。例如,一旦此单个证书已经被恶意方破坏(例如,由于社会工程、由于软件漏洞等),恶意方可能发现在权限组中的一个或多个其他受保护资源,并且然后使用此证书对已发现的受保护资源中的任何资源横向地遍历,其中已分配的权限组授予对该已发现的受保护资源的访问。有时恶意方等待数年以通过观察发现在权限组中的另一受保护资源。一旦恶意方已经对新系统横向地遍历,该方可能具有以破坏在新系统处的新证书的机会。当此新证书属于授予对一个或多个附加系统的访问的权限组时,恶意方可以使用此新证书来朝另外的目标横向地遍历,例如目标证书或感兴趣的系统。因此,横向遍历是通过对第一受保护资源的访问破坏的证书的使用,以访问第二受保护资源。
发明内容
本文所述的至少一些实施例在计算机网络之内限制了横向遍历。特别地,在实施例中,多个受保护资源(例如,计算机系统、服务等)被分组成资源的一个或多个子集。然后,针对访问请求的目标的至少一个受保护资源,实施例配置权限以施行策略,该策略仅当访问请求源自与目标受保护资源在同一子集中的源受保护资源时,才授权针对访问目标受保护资源的请求。换句话说,仅当访问请求源自特定子集之内,并且当访问请求的目标是此特定子集时,权限才认证访问请求。这意味着如果访问请求源自在目标受保护资源所属于的子集以外的任何子集中的资源,则权限拒绝该访问请求——即使该访问请求包括否则本来被有效配置用于对目标受保护资源的访问的证书(例如,基于组成员关系)。
通过将受保护资源分组成子集,并且通过施行限制跨子集访问的策略,本文所述的实施例限制了受破坏证书的横向遍历潜力。特别地,当恶意方破坏特定资源,包括破坏与该资源相关联的证书时,本文所述的实施例限制该恶意方对在此特定资源所属于的子集之外的任何受保护资源或关联证书的横向地遍历(以及破坏)。如此,本文所述的实施例能够将横向遍历限制为受破坏资源的同一子集之内的资源。因此,本文所述的实施例限制对在该子集之内的资源的横向遍历。
给出了将横向遍历限制为受破坏资源的同一子集之内的资源,以及限制在该子集之内的资源的横向遍历的技术效果。这进而通过限制恶意方能够在计算机网络之内到达和破坏受保护资源的范围来提高系统安全性。
在一些方面中,本文所述的技术涉及在包括处理器的计算机系统处实现的用于在计算机网络之内限制横向遍历的方法,该方法包括:接收授权请求,该授权请求包括(a)认证令牌,该认证令牌标识在计算机网络之内的证书和第一受保护资源,以及(b)在计算机网络之内的、针对其请求授权的第二受保护资源的标识符;基于证书的能力确定该证书是否被配置用于对第二受保护资源的访问;标识与第二受保护资源相关联的横向遍历策略,该横向遍历策略将对第二受保护资源的访问约束为仅计算机网络之内、属于资源的特定子集的资源,第二受保护资源属于该资源的特定子集所属于的;确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集;以及至少基于确定证书被配置用于对第二受保护资源的访问,执行以下之一:当第一受保护资源被确定为属于第二受保护资源所属于的资源的特定子集时,颁发授权用以经由第一受保护资源访问第二受保护资源的证书的授权令牌;或者当第一受保护资源被确定为在第二受保护资源所属于的资源的特定子集之外时,拒绝授权请求。
在一些方面中,本文所述技术涉及方法,其中第一受保护资源被确定为属于第二受保护资源所属于的资源的特定子集,并且该方法包括颁发授权令牌。在一些方面中,本文所述的技术涉及方法,该方法还包括配置网络以许可从第一受保护资源到第二受保护资源的网络通信。
在一些方面中,本文所述的技术涉及方法,其中第一受保护资源被确定为在第二受保护资源所属于的资源的特定子集之外,并且该方法包括拒绝授权请求。在一些方面中,本文所述的技术涉及方法,该方法还包括记录授权请求的拒绝,包括记录证书、第一受保护资源和第二受保护资源。在一些方面中,本文所述的技术涉及方法,该方法还包括配置网络以拒绝从第一受保护资源到第二受保护资源的网络通信。在一些方面中,本文所述的技术涉及方法,该方法还包括在拒绝授权请求之前,确定没有例外适用于第一受保护资源和第二受保护资源之间的横向遍历拒绝。
在一些方面中,这里所述的技术涉及方法,其中第一受保护资源和第二受保护资源是计算机系统或网络服务中的每一个。
在一些方面中,这里所述的技术涉及方法,其中认证令牌是票据授予票据(TGT),以及授权令牌是由票据授予服务(TGS)颁发的客户端到服务器票据。
在一些方面中,这里所述的技术涉及方法,其中将横向遍历策略第二受保护资源定义为第二受保护资源所属于的资源的特定子集的一部分。
在一些方面中,本文所述的技术涉及方法,其中证书被配置用于对第二受保护资源的即时访问。
在一些方面中,本文所述的技术涉及方法,其中证书的能力是与证书相关联的组成员关系。
在一些方面中,本文所述技术涉及方法,其中确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集包括比较第一受保护资源的第一子集成员关系属性与第二受保护资源的第二子集成员关系属性。
在一些方面中,本文所述的技术涉及方法,其中认证令牌也标识第一受保护资源的一个或多个属性,并且其中第一受保护资源的一个或多个属性被用于以下的至少一个:(a)确定该证书是否被配置用于对第二受保护资源的访问,或者(b)确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集。
在一些方面中,本文所述的技术涉及用于在计算机网络之内限制横向遍历的计算机系统,包括:处理器;以及存储计算机可执行指令的硬件存储设备,该计算机可执行指令是由处理器可执行的,以使该计算机系统至少:接收授权请求,该授权请求包括(a)认证令牌,该认证令牌标识在计算机网络之内的证书和第一受保护资源,以及(b)在计算机网络之内的、针对其请求授权的第二受保护资源的标识符;基于证书的能力确定证书是否被配置用于对第二受保护资源的访问;标识与第二受保护资源相关联的横向遍历策略,该横向遍历策略将对第二受保护资源的访问约束为仅计算机网络之内、属于资源的特定子集的资源,第二受保护资源属于该资源的特定子集所属于的;确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集;以及至少基于确定证书被配置用于对第二受保护资源的访问,执行以下之一:当第一受保护资源被确定为属于第二受保护资源所属于的资源的特定子集时,颁发授权用以经由第一受保护资源访问第二受保护资源的证书的授权令牌;或者当第一受保护资源被确定为在第二受保护资源所属于的资源的特定子集之外时,拒绝授权请求。
在一些方面中,本文所述的技术涉及存储计算机可执行指令的计算机可读介质,该计算机可执行指令是由处理器可执行的,以使计算机系统在计算机网络之内限制横向遍历,该计算机可执行指令包括由处理器可执行的指令,以使该计算机系统至少:接收授权请求,该授权请求包括(a)认证令牌,该认证令牌标识在计算机网络之内的证书和第一受保护资源,以及(b)在计算机网络之内的、针对其请求授权的第二受保护资源的标识符;基于证书的能力确定证书是否被配置用于对第二受保护资源的访问;标识与第二受保护资源相关联的横向遍历策略,该横向遍历策略将对第二受保护资源的访问约束为仅计算机网络之内、属于资源的特定子集的资源,第二受保护资源属于该资源的特定子集所属于的;确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集;以及至少基于确定证书被配置用于对第二受保护资源的访问,执行以下之一:当第一受保护资源被确定为属于第二受保护资源所属于的资源的特定子集时,颁发授权用以经由第一受保护资源访问第二受保护资源的证书的授权令牌;或者当第一受保护资源被确定为在第二受保护资源所属于的资源的特定子集之外时,拒绝授权请求。
本摘要被提供来以简化的形式介绍概念的一部分,将在以下具体实施例中进一步介绍这些概念。本摘要不旨在于标识所要求的主题内容的关键特征或基本特征,也不旨在于被用作为确定所要求的主题内容的范围的帮助。
附图说明
为了描述在其中可以获取发明的上述和其他优点和特征的方式,将通过参考在附图中说明的具体实施例呈现以上简要描述的发明的更详尽的描述。理解这些图仅描述了本发明的典型实施例,并且因此不被认为是其范围的限制,本发明将通过附图的使用以附加的特殊性和细节来描述和解释,在其中:
图1示出了促进在计算机网络之内限制横向遍历的示例计算机架构;以及
图2示出了用于在计算机网络之内限制横向遍历的示例方法的流程图;
图3A示出了显示由在与目标受保护资源同一的子集中的源受保护资源发送的访问请求的授权的通信时序图。
图3B示出了显示由在与目标受保护资源不同的子集中的源受保护资源发送的访问请求的拒绝的通信时序图。
图3C示出了显示由与任何子集不同的源受保护资源发送的访问请求的拒绝的通信时序图。
具体实施例
图1示出了促进在计算机网络之内限制横向遍历的示例计算机架构100。如在图1中所示,计算机架构100包括经由网络107(或多个网络)连接到多个受保护资源的(例如,被排列成子集102的受保护资源103a到受保护资源103n,被排列成子集104的受保护资源105a到受保护资源105n,和/或在任何子集之外的受保护资源106)权限101。在一些实施例中,权限101是根据Kerberos协议操作的票据授予服务(TGS)。然而,如由在本领域中的普通技术人员之一将理解的,本文所述的原则可以应用于Kerberos之外的各种认证/授权技术。在实施例中,受保护资源可以包括授权请求可以源自的任何资源和/或可以是授权请求的目标的任何资源。例如,在实施例中,受保护资源包括计算机系统或网络服务。
如在图1中所示,权限101与目录108通信(或在一些实施例中,包括目录108),目录108至少存储证书记录117和资源记录121。在一些实施例中,目录108使用对象数据模型存储这些记录,例如由X.500标准电子目录服务定义的数据模型、由来自微软公司的ACTIVEDIRECTORY使用的数据模型等。在实施例中,目录108可使用轻量级目录访问协议(LDAP)、活动目录轻量级目录服务(AD LDS)等访问。然而,如由在本领域中的普通技术人员之一将理解的,本文所述的原则可以应用于本文命名的那些技术之外的各种技术。
针对描述本文的实施例的目的,将证书记录117显示为至少包括定义证书119的记录118,该证书119被分配了能力120(例如,分配的组成员关系)。附加地,资源记录121被显示为至少包括针对受保护资源103a的记录122。此记录122定义针对受保护资源103a(即,子集102)的子集成员关系、策略123,并且定义指示受保护资源103a可由具有能力120的证书(例如,已分配到特定组的证书)访问的指示。注意,为了清晰起见,图1示出了在记录122之内针对子集定义和策略123的单独行,在一些实施例中,策略123包括子集定义和/或子集定义的存在意味着策略123的存在(例如,作为Kerberos声明)。虽然没有显示,但在实施例中,资源记录121包括针对其他受保护资源(例如,受保护资源103n、受保护资源105a、受保护资源105n)的附加记录,在实施例中,这些记录包括类似的子集定义和策略,仅当针对访问那些受保护资源的请求源自与该资源同一的子集的一部分的另一资源时,该策略才授权针对访问那些资源的请求。
在实施例中,权限101被配置为利用目录108来处理从源受保护资源接收的授权请求,并且在其中授权请求是针对授权对目标受保护资源的访问的请求。为了限制在受保护资源当中的横向遍历,权限101被配置为施行策略,仅当访问请求源自是在与目标受保护资源同一的子集中的源受保护资源时,才授权针对访问目标受保护资源的请求。例如,权限101被配置为施行与受保护资源103a相关联的策略123,该策略仅当那些请求源自也是子集102的一部分的另一资源时,才授权针对访问受保护资源103n的授权的请求。这意味着权限101被配置为拒绝针对访问来自子集102之外的资源(例如,在任何已分配的子集之外的受保护资源106、被分配到子集104的受保护资源105a到105n等)的受保护资源103a的任何请求,即使该请求标识证书(例如,证书119),该证书否则本来被有效配置用于对受保护资源103a的访问(例如基于能力120)。
注意,通过配置权限101来施行仅当访问请求源自与目标受保护资源同一的子集的源受保护资源时才授权针对访问给定的目标受保护资源的请求的策略,权限101限制了受破坏证书的横向遍历潜力。例如,如果恶意方破坏了受保护资源106和证书119,权限101限制恶意方使用证书119以从受保护资源106横向地遍历到受保护资源103a,并且因此阻止恶意方破坏受保护资源103a(或与受保护资源103a相关联但不与受保护资源106相关联的任何附加证书)。类似地,如果恶意方破坏了受保护资源105a和证书119,权限101限制恶意方使用证书119以从受保护资源105a横向地遍历到受保护资源103a,并且因此阻止恶意方破坏受保护资源103a(或与受保护资源103a相关联但不与受保护资源105a相关联的任何附加证书)。
图1根据一些实施例示出了权限101的细节,包括促进在计算机网络之内限制横向遍历的示例组件(例如,通信组件109、能力确定组件110、令牌颁发组件111、拒绝组件112和横向遍历阻止组件113)。要注意的是,如本文所述,所述组件——包括它们的标识、子组件和排列——只是作为对描述权限101的各种实施例的辅助提出,并且这些组件不是对软件和/或硬件可以如何实现本文所述的各种实施例或其特定功能的限制。
在实施例中,通信组件109通过网络107与受保护资源通信,该网络107可以包括接收来自受保护资源的访问请求,以及作为响应向这些受保护资源发送授权令牌和/或拒绝消息。在一些实施例中,通信组件109也与目录108通信以获取记录,例如证书记录117和/或资源记录121。
在实施例中,能力确定组件110标识与被包括在访问请求中的证书相关联的能力,并且确定该能力是否配置证书用于对目标受保护资源的访问。例如,由于证书119被分配了能力120(例如,管理组成员关系),则此证书119被配置用于对受保护资源103a的访问(例如,由于记录122指示受保护资源103a可由能力120访问)。
在实施例中,当权限101已经确定授权源受保护资源来访问目标受保护资源(例如,响应于在通信组件109处接收访问请求)时,令牌颁发组件111针对源受保护资源生成授权令牌。相反,当权限101已经确定源受保护资源未被授权来访问目标受保护资源(例如,响应于在通信组件109处接收访问请求)时,拒绝组件112生成拒绝消息。
在实施例中,横向遍历阻止组件113基于源受保护资源的(或其缺乏)子集成员关系、基于目标受保护资源的子集成员关系,并且基于仅当访问请求源自是在与目标受保护资源同一的子集之内的资源时才应该授权针对访问目标受保护资源的请求的策略(与目标受保护资源相关联)进行操作,以限制在受保护资源当中的横向遍历。
横向遍历阻止组件113显示为包括策略标识组件114。在实施例中,策略标识组件114标识和/或确定是否存在针对给定的目标受保护资源的横向遍历策略。横向遍历阻止组件113也显示为包括子集成员关系组件115。在实施例中,子集成员关系组件115确定源受保护资源和目标受保护资源中的每个资源属于哪个子集。在一些实施例中,在资源记录(例如,记录122)之内的子集成员关系的存在意味着横向遍历策略(例如,作为Kerberos声明)的存在。因此,在一些实施例中,策略识别组件114和子集成员关系组件115是单个公共组件。
横向遍历阻止组件113也显示为包括联合确定组件116。在实施例中,联合确定组件116基于在请求证书的证书能力和将对目标受保护资源的访问限制为仅是在与目标受保护资源的公共子集中的那些源受保护资源的横向遍历策略之间的联合,确定权限101是否可以授予对目标受保护资源的访问。在实施例中,联合确定组件116确定证书能力(例如,组成员关系)是否配置证书用于对目标受保护资源的访问(例如,证书是否被配置用于对目标受保护资源的访问?),以及从中发送访问请求的源受保护资源是否属于与目标受保护资源的同一子集(例如,源受保护资源是否在与目标受保护资源的同一子集中?)在实施例中,此联合确定权限101是否可以授予对目标受保护资源的访问,如在表1中所示:
表1
现将结合示出了用于在计算机网络之内限制横向遍历的示例方法200的流程图的图2进一步描述权限101的组件的操作。在实施例中,用于实现方法200的指令被编码为存储在硬件存储设备上的计算机可执行指令,该计算机可执行指令是由处理器可执行的,以使计算机系统(例如,权限101)执行方法200。
也结合图3A-3C进一步描述权限101的组件的操作,图3A-3C中的每个图都示出了演示由权限101处理由旨在于访问目标受保护资源的源受保护资源发送的访问请求的示例通信时序图。特别地,图3A示出了通信时序图的示例300a,其中显示了由是在与目标受保护资源的同一子集中的源受保护资源发送的访问请求的授权;在图3A中,受保护资源103n(子集102)是源受保护资源,以及受保护资源103a(子集102)是目标受保护资源。附加地,图3B示出了通信时序图的示例300b,其中显示了拒绝由与目标受保护资源在不同的子集中的源受保护资源发送的访问请求;在图3B中,受保护资源105a(子集104)是源受保护资源,以及受保护资源103a(子集102)是目标受保护资源。最后,图3C示出了通信时序图的示例300c,其中显示了拒绝由与任何子集不同的源受保护资源发送的访问请求;在图3C中,受保护资源106(没有分配的子集)是源受保护资源,受保护资源103a(子集102)是目标受保护资源。
以下讨论现涉及一些方法和方法行为。尽管方法行为可以以某些顺序来讨论,或者可以在流程图中说明为以特定的顺序发生,但除非具体说明,或者因为行为依赖于另一行为在行为执行之前完成要求的,否则不需要特定的顺序。
参考图2,在实施例中,方法200包括接收标识证书、源受保护资源和目标受保护资源的授权请求的行为201。在一些实施例中,行为201包括接收授权请求,该授权请求包括(a)认证令牌,该认证令牌标识在计算机网络之内的证书和第一受保护资源,以及(b)在计算机网络之内的、针对其请求授权的第二受保护资源的标识符。在实施例中,第一受保护资源和第二受保护资源是计算机系统或网络服务中的每一个。
参考图1和3A,在示例300a中,在时间(1)处受保护资源103n通过网络107向权限101发送授权请求301;在权限101处的通信组件109进而接收此授权请求301。如所示,在至少一个实施例中,授权请求301包括认证令牌302,该认证令牌302进而包括证书119的标识和作为请求的源的受保护资源103n的标识。附加地,授权请求301也包括作为请求的预期目标的受保护资源103a的标识。
参考图1和图3B,在示例300b中,在时间(1)处受保护资源105a通过网络107向权限101发送授权请求306;在权限101处的通信组件109进而接收此授权请求306。如所示,在至少一个实施例中,授权请求306包括认证令牌307,该认证令牌307进而包括证书119的标识和作为请求的源的受保护资源105a的标识。附加地,授权请求306也包括作为请求的预期目标的受保护资源103a的标识。
参考图1和3C,在示例300c中,在时间(1)处受保护资源106通过网络107向权限101发送授权请求310;在权限101处的通信组件109进而接收此授权请求310。如所示,在至少一个实施例中,授权请求310包括认证令牌311,该认证令牌311进而包括证书119的标识和作为请求的源的受保护资源106的标识。附加地,授权请求310也包括作为请求的预期目标的受保护资源103a的标识。
如所述,在实施例中,权限101是根据Kerberos协议操作的TGS。在这些实施例中,认证令牌是票据授予票据(TGT),其先前由权限101(或一些其他实体)颁发给源受保护资源(例如,在示例300a中的受保护资源103n、在示例300b中的受保护资源105a,或在示例300c中的受保护资源106),作为在此源受保护资源处的证书119的认证的一部分。然而,由在本领域中的普通技术人员之一可以理解的是,为了实现本文所述的原则,可以利用许多形式的认证令牌和认证请求。
注意,在一些实施例中,认证令牌(例如,在示例300a中的认证令牌302、在示例300b中的认证令牌307,或在示例300c中的认证令牌311)包括源受保护资源的一个或多个属性。在实施例中,这些属性由权限101使用来制定策略决策。因此,在行为201的一些实施例中,认证令牌也标识第一受保护资源的一个或多个属性。在一个实施例中,这些属性包括指定源受保护资源的子集成员关系的属性,并且该属性用于(例如,在行为206中)确定源受保护资源是否在与目标受保护资源的同一子集中。因此,在一些实施例中,第一受保护资源的一个或多个属性被用于确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集。例如,在示例300a中认证令牌302可以包括指定子集102的属性(例如,因为源受保护资源是在子集102之内的受保护资源103n),在示例300b中认证令牌307可以包括指定子集104的属性(例如,因为源受保护资源是在子集104之内的受保护资源103n),以及在示例300c中认证令牌311可以包括指示没有子集的属性(例如,因为源受保护资源是没有分配的子集的受保护资源106)。在一些实施例中,指定源受保护资源的子集成员关系的属性是以Kerberos声明的形式。
参考图2,在实施例中,方法200也包括标识证书能力的行为206。在一些实施例中,行为206包括标识证书的能力、配置证书用于对一个或多个受保护资源的访问的能力。例如,参考图1和3A-3C,能力确定组件110标识了与在由在行为201中的通信组件109接收的对应的授权请求(例如,在示例300a中的授权请求301,示例300b中的授权请求306,或示例300c中的授权请求310)中标识的证书(例如,证书119)相关联的能力(例如,能力120)。在实施例中,能力确定组件110通过在目录108(例如,X.500目录、ACTIVE DIRECTORY等)中执行查找来标识能力。
在一些实施例中,能力是属性,例如分配给证书的特权组成员关系(例如,管理员)。因此,在方法200的一些实施例中,证书的能力是与证书相关联的组成员关系。
在一些实施例中,能力持续地分配给证书,而在其他实施例中,能力基于时间基础分配给证书。例如,在这些后面的实施例中,在使用证书访问目标受保护资源(例如,受保护资源103a)的尝试期间,能力“即时地”分配给证书,并且在过期时间段之后从证书移除能力。因此,在方法200的一些实施例中,证书被配置用于对第二受保护资源的即时访问。
参考图2,在实施例中,方法200也包括标识将对目标受保护资源的访问限制为网络资源的子集的策略的行为203。在一些实施例中,行为203包括标识与第二受保护资源相关联的横向遍历策略,该横向遍历策略仅将对第二受保护资源的访问限制为在属于第二受保护资源所属于的资源的特定子集的计算机网络之内的资源。例如,参考图1和图3A-3C,策略标识组件114标识了与在由在行为201中的通信组件109接收的对应的授权请求(例如,在示例300a中的授权请求301,示例300b中的授权请求306,或示例300c中的授权请求310)中标识的目标受保护资源(例如,受保护资源103a)相关联的策略(例如,策略123)。在实施例中,策略标识组件114通过在目录108(例如,X.500目录、ACTIVE DIRECTORY等)中执行查找来标识策略。
如前所述,在一些实施例中,策略123包括子集定义(例如,受保护资源103a在子集102中)。因此,在方法200的一些实施例中,横向遍历策略将第二受保护资源定义为是第二受保护资源所属于的资源的特定子集的一部分。在其他实施例中,子集定义的存在意味着策略123的存在。
注意,行为206和行为203被说明为是并行地执行,这指示在行为206和行为203之间不需要特定的顺序。因此,在各种实施例中,行为206和行为203并行地执行,或以串行(以任意顺序)执行。
参考图2,在实施例中,方法200也包括确定在证书能力和横向遍历策略之间的联合的行为204。如在图2中所示,在一些实施例中,行为204包括确定(例如,由能力确定组件110)证书能力是否配置对目标受保护资源的访问(例如,证书是否被配置用于对目标受保护资源的访问?)的行为205和确定(例如,由子集成员关系组件115)源受保护资源是否属于该子集(例如,源受保护资源是否在与目标受保护资源的同一子集中?)的行为206。基于这些确定,行为204导致由联合确定组件116对目标受保护资源的访问的授予或拒绝的确定,如在表1中所示。注意,在行为205发生在行为206之前的情况下,行为205和行为206被说明为以串行执行。然而,在备选实施例中,行为205和行为206可以以反向顺序执行,甚至并行地执行。
在一些实施例中,行为205包括基于证书的能力确定证书是否被配置用于对第二受保护资源的访问。参考图1和3A-3C,在示例300a、300b和300c中的每个示例中,能力确定组件110确定证书119是被配置用于对受保护资源103a的访问(即,来自行为205的“是”)。在实施例中,此确定基于具有能力120的证书119,以及基于由能力120是可访问的受保护资源103a(即,如在记录122中所示)。
如结合行为201所讨论的,在一些实施例中,认证令牌(例如,在示例300a中的认证令牌302、在示例300b中的认证令牌307,或在示例300c中的认证令牌311)包括源受保护资源(例如,在示例300a中的受保护资源103n、在示例300b中的受保护资源105a,或在示例300c中的受保护资源106)的一个或多个属性,包括指定源受保护资源的子集成员关系的属性。在这些实施例中,能力确定组件110使用此属性作为确定证书是否被配置用于对第二受保护资源的访问的一部分。因此,在方法200的一些实施例中,第一受保护资源的一个或多个属性被用于确定证书是否被配置用于对第二受保护资源的访问。
在一些实施例中,行为206包括确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集。在实施例中,确定第一受保护资源是否属于在行为206中第二受保护资源所属于的资源的特定子集包括比较第一受保护资源的第一子集成员关系属性第二受保护资源的第二子集成员关系属性。
参考图1和3A,在示例300a中,子集成员关系组件115确定受保护资源103n属于受保护资源103a所属于的资源的同一子集(即,受保护资源103n和受保护资源103a都在子集102中),并且此源受保护资源因此在与目标受保护资源的同一子集中(即,来自行为206的“是”)。
基于行为205和行为206的结果,在示例300a中,行为204基于证书119被配置用于对受保护资源103a的访问的确定(即,来自行为205的“是”)以及基于受保护资源103n属于受保护资源103a所属于的资源的同一子集的确定(即,来自行为206的“是”),导致由联合确定组件116对受保护资源103a的访问的授予的确定。
参考图1和图3B,在示例300b中,子集成员关系组件115确定受保护资源105a不属于(即,在其之外)受保护资源103a所属于的资源的子集(即,受保护资源105a在子集104中,而受保护资源103a在子集102中),并且此源受保护资源因此在目标受保护资源的子集之外(即,来自行为206的“否”)。
基于行为205和行为206的结果,在示例300b中,行为204基于证书119被配置用于对受保护资源103a的访问的确定(即,来自行为205的“是”)以及基于受保护资源105a在受保护资源103a所属于的资源的子集之外的确定(即,来自行为206的“否”),导致由联合确定组件116对受保护资源103a的访问的拒绝的确定。
参考图1和3C,在示例300c中,子集成员关系组件115确定受保护资源106不属于(即,在其之外)受保护资源103a所属于的资源的子集(即,受保护资源106不在指定的子集中),并且此源受保护资源因此在目标受保护资源的子集之外(即,来自行为206的“否”)。
基于行为205和行为206的结果,在示例300c中,行为204基于证书119被配置用于对受保护资源103a的访问的确定(即,来自行为205的“是”)以及基于受保护资源106在受保护资源103a所属于的资源的子集之外的确定(即,来自行为206的“否”),导致由联合确定组件116对受保护资源103a的访问的拒绝的确定。
在一些实施例中,权限101许可绕过横向遍历策略的施行的例外的定义(并且因此许可来自目标受保护资源所属于的资源的子集之外的访问,即使当横向遍历策略有其他指示时)。因此,参考图2,方法200可以包括确定遍历例外是否适用的行为207。在一些实施例中,行为207包括在拒绝授权请求之前,确定没有例外适用于在第一受保护资源和第二受保护资源之间的横向遍历拒绝。如果行为207存在,则当遍历例外适用时,方法200继续执行在行为208处的授权令牌的颁发(即,来自行为207的“是”);否则,方法200继续执行在行为209处的授权请求的拒绝(即,来自行为207的“否”)。
例如,作为对行为204的确定的例外,如在图2所示,当证书能力被确定为配置对目标受保护资源的访问(即,来自行为205的“是”)时,包括行为207的一些实施例可以授予对目标受保护资源的访问,即使源受保护资源被确定为在目标受保护资源的子集之外(即,来自行为206的“否”)。在实施例中,此例外基于标识特定配置的例外(例如,存储在权限101处或在目录108处),例如在允许列表上的条目。在实施例中,此条目包括指定作为例外的特定的源受保护资源可以访问特定的目标受保护资源,即使它在目标受保护资源子集之外。在实施例中,此条目也包括指定被许可使用例外的至少一个证书。在一些实施例中,被许可使用例外的证书可以不考虑分配的能力而这样做,而在其他实施例中,被许可使用例外的证书只能在分配特定的能力时这样做(例如,如在条目中指定的)。
参考图2,在实施例中,方法200也包括颁发授权令牌的行为208。在一些实施例中,行为208包括至少基于确定证书被配置用于对第二资源的访问(即,来自行为205的“是”),并且当第一受保护资源被确定为属于第二受保护资源所属于的资源的特定子集(即,来自行为206的“是”)时,颁发授权用以经由第一受保护资源访问第二受保护资源的证书的授权令牌。在行为208中的授权令牌的颁发的技术效果包括授权并且使源受保护资源能够发起与目标受保护资源的通信会话(例如,通过向目标受保护资源发送授权令牌)。
参考图3A,在示例300a中,能力确定组件110在行为205中确定证书119被配置用于对受保护资源103a的访问(即,来自行为205的“是”)。此外,在示例300a中,子集成员关系组件115在行为206中确定受保护资源103n属于受保护资源103a所属于的资源的同一子集,并且此源受保护资源因此在与目标受保护资源的同一子集中(即,来自行为206的“是”)。因此,行为204导致对受保护资源103a的访问的授予的确定。因此,以及如在图2中所示,方法200继续执行由令牌颁发组件111颁发授权令牌的行为208。例如,在图3A中,在时间(2)处,权限101通过网络107向受保护资源103n发送回复303。如所示,在实施例中,回复303包括授权令牌304,在实施例中,该授权令牌304包括认证令牌302加上由权限101的签名(如由在授权令牌304中的密钥所示)。如在时间(3)处所示,在实施例中,受保护资源103n使用此授权令牌304来向受保护资源103a发送访问请求305。
在一些实施例中,授权令牌是由TGS根据Kerberos协议颁发的客户端到服务器票据。然而,为了实现本文所述的原则,由在本领域中的普通技术人员之一要理解的是,可以利用许多形式的授权令牌。
注意,在一些实施例中,除了在行为208处颁发授权令牌外,方法200也包括配置网络以许可从第一受保护资源到第二受保护资源的网络通信。例如,实施例可以配置网络防火墙服务以允许网络业务从第一受保护资源传递到第二受保护资源、配置网络信道服务以允许在第一受保护资源到第二受保护资源之间的网络信道(例如,IP安全信道)的建立等。在实施例中,这具有许可网络业务从第一受保护资源通信到第二受保护资源的通信的技术效果。
参考图2,在实施例中,方法200也包括拒绝授权请求的行为209。在一些实施例中,行为209包括至少基于确定证书被配置用于对第二受保护资源的访问(即,来自行为205的“是”),以及当第一受保护资源被确定为在第二受保护资源所属于的资源的特定子集之外(即,来自行为206的“否”)时,拒绝授权请求。在一些实施例中,方法200也包括确定在达到行为209之前没有适用例外(即,行为207)。在行为209中拒绝授权请求的技术效果包括阻止源受保护资源能够发起与目标受保护资源的通信会话。附加地,在行为209中拒绝授权请求的技术效果包括阻止从源受保护资源到目标受保护资源的横向遍历,由于该源受保护资源在目标受保护资源所属于的资源的子集之外。因此,在行为209中拒绝授权请求的技术效果包括阻止特权攻击的升级。
参考图3B,在示例300b中,能力确定组件110在行为205中确定证书119被配置用于对受保护资源103a的访问(即,来自行为205的“是”)。此外,在示例300b中,子集成员关系组件115在行为206中确定受保护资源105a在受保护资源103a所属于的资源的子集之外,并且此源受保护资源因此在目标受保护资源的子集之外(即,来自行为206中“否”)。因此,行为204导致对受保护资源103a的访问的拒绝的确定。因此,以及如在图2中所示,方法200继续执行由拒绝组件112拒绝授权请求的行为209。例如,在图3B中,在时间(2)处,权限101通过网络107向受保护资源105a发送回复308。如所示,在实施例中,回复303包括拒绝309,例如消息、错误码等。这里,横向遍历阻止组件113的操作导致访问拒绝确定,即使证书119否则将授权对受保护资源103a的访问。因此,作为技术效果,阻止从子集104到子集102的横向遍历以及潜在的权限升级。
参考图3C,在示例300c中,能力确定组件110在行为205中确定证书119被配置用于对受保护资源103a的访问(即,来自行为205的“是”)。此外,在示例300c中,子集成员关系组件115在行为206中确定受保护资源106在受保护资源103a所属于的资源的子集之外,并且此源受保护资源因此在目标受保护资源的子集之外(即,来自行为206的“否”)。因此,行为204导致对受保护资源103a的访问的拒绝的确定。因此,以及如在图2中所示,方法200继续执行由拒绝组件112拒绝授权请求的行为209。例如,在图3C中,在时间(2)处,权限101通过网络107向受保护资源106发送回复312.如所示,在实施例中,回复312包括拒绝313,例如消息、错误码等。这里,横向遍历阻止组件113的操作导致访问拒绝确定,即使证书119否则将授权对受保护资源103a的访问。因此,作为技术效果,阻止从在任何子集之外的资源到子集102的横向遍历以及潜在的权限升级。
在一些实施例中,权限101也记录授权请求的拒绝,例如记录成存储在计算机可读介质上的系统存储器中的日志文件中。这可以包括记录证书、第一受保护资源和第二受保护资源中的一个或多个。因此,在一些实施例中,方法200还包括记录授权请求的拒绝,包括记录证书、第一受保护资源和第二受保护资源。这具有提供试图横向遍历的书面证据的技术效果。
在一些实施例中,除了在行为209处拒绝授权请求之外,方法200也包括配置网络以拒绝从第一受保护资源到第二受保护资源的网络通信。例如,实施例可以配置网络防火墙服务以拒绝在第一受保护资源到第二受保护资源之间的通信、配置网络信道服务以拒绝在第一受保护资源到第二受保护资源之间是网络信道的建立(例如,IP安全信道)等。在实施例中,这具有阻止网络业务从源受保护资源到目标受保护资源的通信的技术效果。附加地,这阻止恶意方试图利用在目标受保护资源处的软件漏洞。
相应地,本文所述的实施例基于将多个受保护资源(例如,计算机系统、服务等)分组成资源的一个或多个子集,在计算机网络之内限制横向遍历。然后,针对是访问请求的目标的至少一个受保护资源,本文所述的实施例配置权限以施行仅当访问请求源自在与目标受保护资源的同一子集中的源受保护资源时授权针对访问目标受保护资源的请求的策略。通过将受保护资源分组成子集,以及通过施行限制跨子集的访问的策略,本文所述的实施例限制了受破坏证书的横向遍历潜力。这具有将横向遍历限制为在与受破坏资源的同一子集之内的资源,以及将横向遍历限制为在此子集之内的资源的技术效果。这进而通过限制恶意方在计算机网络之内能够到达和破坏的受保护资源的范围,提高了系统安全性。
尽管主题内容以特定于结构特征和/或方法行为的语言被描述,但要理解的是,在所附权利要求中定义的主题内容并不一定限于以上所述的描述特征或行为,或以上所述的行为的顺序。相反,所述特征和行为被公开为实现权利要求的示例形式。
本发明的实施例可以包括或利用专用或通用的计算机系统,该计算机系统包括计算机硬件,例如,一个或多个处理器和系统存储器,如在以下将更详细的细节中所讨论。在本发明的范围之内的实施例也包括用于携带或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这种计算机可读介质可以是可以由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令和/或数据结构的计算机可读介质是计算机存储介质。携带计算机可执行指令和/或数据结构的计算机可读介质是传输介质。因此,通过示例而不是限制的方式,本发明的实施例可以包括至少两种明显不同的计算机可读介质:计算机存储介质和传输介质。
计算机存储介质是存储计算机可执行指令和/或数据结构的物理存储介质。物理存储介质包括计算机硬件,例如RAM、ROM、EEPROM、固态驱动器(“SSD”)、闪存、相变存储器(“PCM”)、光盘存储、磁盘存储或其他磁存储设备,或可以被用于以计算机可执行指令或数据结构的形式存储程序代码的任何其他硬件存储设备,这可以由通用或专用计算机系统访问和执行,以实现本发明的公开功能。
传输介质可以包括网络和/或数据链路,它们可以被用于以计算机可执行指令或数据结构的形式携带程序代码,并且可以由通用或专用计算机系统访问。“网络”被定义为实现在计算机系统和/或模块和/或其他电子设备之间的电子数据的传输的一个或多个数据链路。当信息通过网络或另一通信连接(硬连线、无线或硬连线或无线的组合)传输或提供到计算机系统时,计算机系统可以将该连接视为传输介质。以上的组合也应该被包括在计算机可读介质的范围之内。
此外,一旦到达各种计算机系统组件,以计算机可执行指令或数据结构的形式的程序代码可以从传输介质自动地传输到计算机存储介质(反之亦然)。例如,通过网络或数据链路接收的计算机可执行指令或数据结构可以在网络接口模块(例如,“NIC”)之内的RAM中缓冲,并且然后最终传输到计算机系统RAM和/或到在计算机系统处更小易失性的计算机存储介质。因此,应该理解的是,计算机存储介质可以被包括在也(甚至主要)利用传输介质的计算机系统组件中。
例如,计算机可执行指令包括指令和数据,该指令和数据在一个或多个处理器处执行时,使通用计算机系统、专用计算机系统或专用处理设备执行某种功能或一组功能。例如,计算机可执行指令可以是二进制文件、诸如汇编语言的中间格式指令,甚至源代码。
在本领域中的那些技术人员将理解的是,本发明可以在具有许多类型的计算机系统配置的网络计算环境中实践,包括个人计算机、台式计算机、笔记本计算机、消息处理器、手持设备、多处理器系统、基于微处理器或可编程的消费者电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、平板电脑、寻呼机、路由器、交换机等。本发明也可以在分布式系统环境中实施,在该分布式系统环境中通过网络(通过硬连线数据链路、无线数据链路或通过硬连线和无线数据链路的组合)连接的本地和远程计算机系统都执行任务。因此,在分布式系统环境中,计算机系统可以包括多个组成计算机系统。在分布式系统环境中,程序模块可以位于本地和远程存储器存储设备中。
在本领域中的那些技术人员也将理解的是,本发明可以在云计算环境中实践。云计算环境可以是分布式的,尽管这不是需要的。当分布式时,云计算环境可以分布在国际范围的组织之内,和/或具有跨多个组织拥有的组件。在本说明书和以下权利要求中,“云计算”被定义为用于实现对可配置计算资源(例如,网络、服务器、存储、应用程序和服务)的共享池的按需网络访问的模型。“云计算”的定义并不局限于在适当部署时可以从这种模型获取的其他众多优势中的任何优势。
云计算模型可以由各种特征组成,例如按需自助服务、广泛的网络访问、资源池化、快速弹性、可测量服务等。云计算模型也可以以各种服务模型的形式出现,该服务模型例如软件即服务(“SaaS”)、平台即服务(“PaaS”)和基础设施即服务(“IaaS”)。云计算模型也可以使用不同的部署模型来部署,该部署模型例如私有云、社区云、公共云、混合云等。
诸如云计算环境的一些实施例可以包括系统,该系统包括一个或多个主机,每个主机都能够运行一个或多个虚拟机。在操作期间,虚拟机模拟支持操作系统以及也许还支持一个或多个其他应用程序的可操作计算系统。在一些实施例中,每个主机都包括使用从虚拟机的视图中抽象的物理资源针对虚拟机模拟虚拟资源的管理程序。管理程序也提供在虚拟机之间的适当隔离。因此,从任何给定的虚拟机的角度来看,管理程序提供了虚拟机与物理资源接口的假象,即使虚拟机只与物理资源的外观(例如,虚拟资源)接口。物理资源的示例包括处理能力、存储器、磁盘空间、网络带宽、介质驱动器等。
本发明可以在不偏离其本质特征的情况下以其他特定的形式体现。这种实施例可以包括数据处理设备,该数据处理设备包括用于执行本文所述的方法中的一个或多个方法的方式;包括指令的计算机程序,该指令在被计算机执行时,使计算机执行本文所述的方法中的一个或多个方法;和/或包括指令的计算机可读介质,该指令在被计算机执行时,使计算机执行本文所述的方法中的一个或多个方法。所述实施例要在所有方面仅作为说明性的而不是限制性的来考虑。因此,本发明的范围由所附权利要求而不是由前述说明书指示。在等价权利要求的意义和范围之内发生的所有改变都要被包含在其范围之内。当引入在所附权利要求中的要素时,冠词“一”(“a”、“an”)、“该”(“the”)和“所述”(“said”)旨在于意味着有要素中的一个或多个要素。术语“包括”、“包含”和“具有”旨在于是包容性的,并且意味着除了列出的要素之外,可能有附加的要素。除非另有规定,术语“集”、“超集”和“子集”旨在于排除空子集,并且因此“集”被定义为非空子集,“超集”被定义为非空超集,以及“子集”被定义为非空子集。除非另有规定,术语“子集”排除其超集的全部(即,超集包含未被包括在子集中的至少一个项)。除非另有规定,“超集”可以包括至少一个附加的元素,并且“子集”可以排除至少一个元素。

Claims (15)

1.一种在包括处理器的计算机系统处实现的方法,所述方法用于在计算机网络之内限制横向遍历,所述方法包括:
接收授权请求,所述授权请求包括(a)认证令牌,所述认证令牌标识在所述计算机网络之内的证书和第一受保护资源,以及(b)在所述计算机网络之内的、针对其请求授权的第二受保护资源的标识符;
基于所述证书的能力确定所述证书是否被配置用于对所述第二受保护资源的访问;
标识与所述第二受保护资源相关联的横向遍历策略,所述横向遍历策略将对所述第二受保护资源的访问约束为仅所述计算机网络之内的、属于资源的特定子集的资源,所述第二受保护资源属于所述资源的特定子集;
确定所述第一受保护资源是否属于所述第二受保护资源所属于的所述资源的特定子集;以及
至少基于确定所述证书被配置用于对所述第二受保护资源的访问,执行以下之一:
当所述第一受保护资源被确定为属于所述第二受保护资源所属于的所述资源的特定子集时,颁发授权用以经由所述第一受保护资源访问所述第二受保护资源的所述证书的授权令牌;或者
当所述第一受保护资源被确定为在所述第二受保护资源所属于的所述资源的特定子集之外时,拒绝所述授权请求。
2.根据权利要求1所述的方法,其中所述第一受保护资源被确定为属于所述第二受保护资源所属于的所述资源的特定子集,并且所述方法包括所述颁发所述授权令牌。
3.根据权利要求2所述的方法,还包括:配置网络以许可从所述第一受保护资源到所述第二受保护资源的网络通信。
4.根据权利要求1所述的方法,其中所述第一受保护资源被确定为在所述第二受保护资源所属于的所述资源的特定子集之外,并且所述方法包括所述拒绝所述授权请求。
5.根据权利要求4所述的方法,还包括:记录所述授权请求的拒绝,包括记录所述证书、所述第一受保护资源以及所述第二受保护资源。
6.根据权利要求4或5中任一项所述的方法,还包括:配置网络以拒绝从所述第一受保护资源到所述第二受保护资源的网络通信。
7.根据权利要求4至6中任一项所述的方法,还包括:在拒绝所述授权请求之前,确定没有例外适用于所述第一受保护资源和所述第二受保护资源之间的横向遍历拒绝。
8.根据任何前述权利要求所述的方法,其中所述认证令牌是票据授予票据(TGT),并且所述授权令牌是由票据授予服务(TGS)颁发的客户端到服务器票据。
9.根据任何前述权利要求所述的方法,其中所述横向遍历策略将所述第二受保护资源定义为所述第二受保护资源所属于的所述资源的特定子集的一部分。
10.根据任何前述权利要求所述的方法,其中所述证书被配置用于对所述第二受保护资源的即时访问。
11.根据任何前述权利要求所述的方法,其中所述证书的所述能力是与所述证书相关联的组成员关系。
12.根据任何前述权利要求所述的方法,其中确定所述第一受保护资源是否属于所述第二受保护资源所属于的所述资源的特定子集包括比较所述第一受保护资源的第一子集成员关系属性与所述第二受保护资源的第二子集成员关系属性。
13.根据任何前述权利要求所述的方法,其中所述认证令牌还标识所述第一受保护资源的一个或多个属性,并且其中所述第一受保护资源的所述一个或多个属性被用于以下至少一项:
(a)所述确定所述证书是否被配置用于对所述第二受保护资源的访问,或者
(b)所述确定所述第一受保护资源是否属于所述第二受保护资源所属于的所述资源的特定子集。
14.一种用于在计算机网络之内限制横向遍历的计算机系统,包括:
处理器;以及
存储计算机可执行指令的硬件存储设备,所述计算机可执行指令由所述处理器可执行以使所述计算机系统至少:
接收授权请求,所述授权请求包括(a)认证令牌,所述认证令牌标识在所述计算机网络之内的证书和第一受保护资源,以及(b)在所述计算机网络之内的、针对其请求授权的第二受保护资源的标识符;
基于所述证书的能力确定所述证书是否被配置用于对所述第二受保护资源的访问;
标识与所述第二受保护资源相关联的横向遍历策略,所述横向遍历策略将对所述第二受保护资源的访问约束为仅所述计算机网络之内的、属于资源的特定子集的资源,所述第二受保护资源属于所述资源的特定子集;
确定所述第一受保护资源是否属于所述第二受保护资源所属于的所述资源的特定子集;以及
至少基于确定所述证书被配置用于对所述第二受保护资源的访问,执行以下之一:
当所述第一受保护资源被确定为属于所述第二受保护资源所属于的所述资源的特定子集时,颁发授权用以经由所述第一受保护资源访问所述第二受保护资源的所述证书的授权令牌;或者
当所述第一受保护资源被确定为在所述第二受保护资源所属于的所述资源的特定子集之外时,拒绝所述授权请求。
15.一种存储计算机可执行指令的计算机可读介质,所述计算机可执行指令由处理器可执行以使计算机系统在计算机网络之内限制横向遍历,所述计算机可执行指令包括指令,所述指令由所述处理器可执行以使所述计算机系统至少:
接收授权请求,所述授权请求包括(a)认证令牌,所述认证令牌标识在所述计算机网络之内的证书和第一受保护资源,以及(b)在所述计算机网络之内的、针对其请求授权的第二受保护资源的标识符;
基于所述证书的能力确定所述证书是否被配置用于对所述第二受保护资源的访问;
标识与所述第二受保护资源相关联的横向遍历策略,所述横向遍历策略将对所述第二受保护资源的访问约束为仅所述计算机网络之内的、属于资源的特定子集的资源,所述第二受保护资源属于所述资源的特定子集;
确定所述第一受保护资源是否属于所述第二受保护资源所属于的所述资源的特定子集;以及
至少基于确定所述证书被配置用于对所述第二受保护资源的访问,执行以下之一:
当所述第一受保护资源被确定为属于所述第二受保护资源所属于的所述资源的特定子集时,颁发授权用以经由所述第一受保护资源访问所述第二受保护资源的所述证书的授权令牌;或者
当所述第一受保护资源被确定为在所述第二受保护资源所属于的所述资源的特定子集之外时,拒绝所述授权请求。
CN202280066969.1A 2021-10-19 2022-10-12 在计算机网络之内限制横向遍历 Pending CN118056380A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
LULU500755 2021-10-19
LU500755A LU500755B1 (en) 2021-10-19 2021-10-19 Confining lateral traversal within a computer network
PCT/US2022/077966 WO2023069852A1 (en) 2021-10-19 2022-10-12 Confining lateral traversal within a computer network

Publications (1)

Publication Number Publication Date
CN118056380A true CN118056380A (zh) 2024-05-17

Family

ID=78135048

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280066969.1A Pending CN118056380A (zh) 2021-10-19 2022-10-12 在计算机网络之内限制横向遍历

Country Status (5)

Country Link
US (1) US20240267373A1 (zh)
EP (1) EP4397005A1 (zh)
CN (1) CN118056380A (zh)
LU (1) LU500755B1 (zh)
WO (1) WO2023069852A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8544068B2 (en) * 2010-11-10 2013-09-24 International Business Machines Corporation Business pre-permissioning in delegated third party authorization
US9563480B2 (en) * 2012-08-21 2017-02-07 Rackspace Us, Inc. Multi-level cloud computing system
EP3422236B1 (en) * 2012-10-10 2022-06-01 Citrix Systems, Inc. Policy-based application management
US11245682B2 (en) * 2018-10-18 2022-02-08 Oracle International Corporation Adaptive authorization using access token

Also Published As

Publication number Publication date
WO2023069852A1 (en) 2023-04-27
LU500755B1 (en) 2023-04-20
US20240267373A1 (en) 2024-08-08
EP4397005A1 (en) 2024-07-10

Similar Documents

Publication Publication Date Title
Indu et al. Identity and access management in cloud environment: Mechanisms and challenges
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
US10397278B2 (en) Transparently enhanced authentication and authorization between networked services
US20240121211A1 (en) Systems and methods for continuous fingerprinting to detect session hijacking inside zero trust private networks
EP3435622B1 (en) Providing privileged access to non-privileged accounts
CN112765639B (zh) 基于零信任访问策略的安全微服务架构及实现方法
JP5714078B2 (ja) 分散セキュアコンテンツ管理システムに対する認証
US8407240B2 (en) Autonomic self-healing network
US10382202B1 (en) Method and apparatus for federated identity and authentication services
US20110107411A1 (en) System and method for implementing a secure web application entitlement service
US9881304B2 (en) Risk-based control of application interface transactions
US20210136068A1 (en) Telecom node control via blockchain
US20120137375A1 (en) Security systems and methods to reduce data leaks in enterprise networks
ES2768049T3 (es) Procedimientos y sistemas para asegurar y proteger repositorios y directorios
CN113039745B (zh) 文件系统服务器、应用于其中的方法、计算机可读介质
US20240064147A1 (en) Granular secure user access to private resources
Duy et al. B-DAC: a decentralized access control framework on northbound interface for securing SDN using blockchain
US11595372B1 (en) Data source driven expected network policy control
Brock et al. Toward a framework for cloud security
US20150281281A1 (en) Identification of unauthorized application data in a corporate network
Chaudhari et al. A review on cloud security issues and solutions
LU500755B1 (en) Confining lateral traversal within a computer network
Sagar et al. Information security: safeguarding resources and building trust
Basu et al. Strengthening Authentication within OpenStack Cloud Computing System through Federation with ADDS System
Kuzminykh et al. Mechanisms of ensuring security in Keystone service

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination