CN1303537C - 网络保护认证代理 - Google Patents

网络保护认证代理 Download PDF

Info

Publication number
CN1303537C
CN1303537C CNB03164824XA CN03164824A CN1303537C CN 1303537 C CN1303537 C CN 1303537C CN B03164824X A CNB03164824X A CN B03164824XA CN 03164824 A CN03164824 A CN 03164824A CN 1303537 C CN1303537 C CN 1303537C
Authority
CN
China
Prior art keywords
authentication
network
source
authenticator
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB03164824XA
Other languages
English (en)
Other versions
CN1501264A (zh
Inventor
S·L·格罗布曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN1501264A publication Critical patent/CN1501264A/zh
Application granted granted Critical
Publication of CN1303537C publication Critical patent/CN1303537C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

许可从外部网络如因特网访问如公司内部网的私有网络或面向外部的外部网应用是便利的。不幸的是,如果内部认证系统用于控制来自外部网络的访问,其可能受到如恶意用户故意尝试多次无效认证的攻击,最终导致受攻击的帐户被冻结。为防止其发生,可以采用认证前端、代理、包装等等在用内部认证系统尝试认证之前检查冻结状况。

Description

网络保护认证代理
技术领域
本发明总体上涉及对资源的认证,例如资源存取的用户记录,并且特别地涉及提供用于处理如来自外部网请求的一定认证请求的前端,以允许前端容易地避免认证闭锁。
背景技术
公司和其它实体常常具有由“内部网”和“外部网”组成的分支的网络。内部网通常仅仅能够由具有接入内部网授权的公司雇员、合伙人和设备接入。外部网通常被认为是一种不是内部网直接部分的网络部分,但其可以通过防火墙或其他安全的屏蔽以通信方式与内部网和如因特网的外部网络耦合。试图访问面向外部的应用或内部网资源的如外部网实体的局外人能够与外部服务器接触,该外部服务器将要求该局外人提供一个用于进行评估以确定该局外人访问内部网的授权的安全凭证,例如用于认证帐户的用户名和口令。
通常,外部网认证基础结构保存用户帐户,在内部网复制有效帐户,使得内部网用户能够通过对照一套复制的安全凭证进行认证而使用面向外部应用。但是,尽管这样能够使内部网用户使用外部网应用,但会导致重大的口令一致性问题。另外,在内部网和外部网服务器之间传送新帐户可能是困难的。这些问题的普遍解决方案是设置一个外部网应用服务器接入凭证,其直接对照内部网认证服务器,例如内部网登录服务器,进行认证内部网。这种结构消除了内部网和外部网服务器可能不同步的风险和其它的问题。
不幸的是,通过实际上许可从外部网访问内部网认证服务器,使内部网变得易受攻击,例如拒绝服务攻击。例如,多数的认证服务器在帐户被冻结之前仅仅允许一定数目的不正确的认证尝试,例如三次尝试。因此,如果外部网被允许直接访问内部网认证服务器,外部恶意用户简单地通过故意执行不正确的基于外部网认证请求,就能够冻结雇员的访问,如高级管理人员,外部网。冻结也可能发生在执行brut-force口令破解处理尝试的过程中。
发明内容
根据本发明的第一方面,提供了一种用于控制从外部网络访问内部网的方法,包括:从源接收安全凭证,该源要求用一个认证器服务器认证;确定源是在外部网络上;查询该认证器服务器,以获得认证限制;检查利用该认证器服务器认证失败是否将超过认证限制,如果是,向源返回一个错误,而不利用该认证器服务器认证。
根据本发明的第二方面,提供了一种用于在认证器周围包装认证服务的方法,包括:在通常被认证器使用的标准通信端口上侦听;从源接收安全凭证,该源要求用一个认证器服务器认证;确定源是在外部网络上;查询认证器,以获得认证限制;检查要求用所述认证器服务器认证以尝试认证该安全凭证是否将超过认证限制,如果是,向源返回一个错误,而不利用该认证器服务器认证。
根据本发明的第三方面,提供了一种设备,包括:存储器,用于至少存储用于控制从外部网络访问内部网的指令,和存储器访问电路,用于访问所述指令;其中,所述指令在被访问时导致一个或多个设备执行以下操作:从源接收安全凭证,该源要求用一个认证器服务器认证;确定源位于外部网络;查询该认证器服务器,以获得认证限制;检查利用该认证器服务器认证失败是否将超过认证限制,如果是,向源返回一个错误,而不利用该认证器服务器认证
根据本发明的第四方面,提供了一种一种设备,包括存储器,用于至少存储用于在认证器周围包装认证服务的指令,和存储器访问电路,用于访问所述指令;其中,所述指令在被访问时导致一个或多个设备执行以下操作:在通常被认证器使用的标准通信端口上进行侦听;从源接收安全凭证,该源要求用一个认证器服务器认证;确定源是在外部网络上;查询认证器,以获得认证限制;检查认证失败是否将超过认证限制,如果是,向源返回一个错误,而不利用该认证器服务器认证。
根据本发明的第五方面,提供了用于包括与具有一个源的第二网络通信耦合的第一网络的网络环境中的一种系统,从该第一网络可能发生认证失败,该系统包括:通信耦合到第一网络的外部设备;通信耦合到第二网络的内部认证系统,该内部认证系统可操作接收各种设备的认证尝试,授权认证成功的设备访问所述源,以及冻结过多认证错误的设备访问所述源;和通信耦合到第一网络和第二网络的认证前端,并且此认证前端被配置为从外部设备接收安全凭证,确定安全凭证的认证失败是否会导致由于过多认证错误而被冻结,并且如果不冒被冻结的风险,就对比内部认证器认证安全凭证。
附图说明
本发明的特征和优点将通过对本发明的下述详细说明变得显而易见,其中:
图1示出根据一种实施例的典型系统;
图2示出根据一种实施例的数据流图;
图3是根据一种实施例的流程图;
图4示出根据一种实施例的用于修改Kerberos认证的流程图;
图5示出一种适合计算环境,在此环境中本发明的特定方面能够被实现。
具体实施方式
图1示出根据一种内部网实施例的典型系统,该系统用于利用内部网(内部)认证系统认证一个局外人,而不会因无效认证而导致从内部网络上被冻结。图示的是对应于公共网络100的三个区域100、102、104,例如因特网、外部网102和内部网104。
如客户电脑、手持设备等等的在外部网上的外部设备106可能通过外部网102试图访问如内部网104的资源,例如内部网服务器(图中未示)的资源。该外部设备与具有可通过公共网络接入的面向外部的接口的应用108通信耦合。例如,此应用可以是“电子商务”应用、业务到业务(B2B)应用、记帐程序、用于旅行雇员的应用、网络服务器,或其它授权的内部网用户可以请求从外部访问的应用。最好是该应用能够驻留在内部网、外部网或外部网络的设备上,其备有合适的通信链路(或通道)以许可资源存取。
如将在下面进一步论述的,应用108被配置以在允许外部设备访问内部网104资源以前认证外部设备106(或其用户)。为此目的,应用108与认证前端110通信耦合,认证前端110工作以接收来自应用108的如安全凭证等的认证信息,并且向内部网的内部认证系统112提交该安全凭证,例如登录服务器或其它帐户认证器。在一种实施例中,认证前端是内部认证系统的代理。
然而,最好不是简单地将安全凭证传送到内部认证系统112,而是代之以认证前端110首先查询认证系统以确定该安全凭证的登录规则和/或当前状态以保证登录尝试不会冒因为过多无效认证尝试而冻结安全凭证的风险。例如,如果外部设备106尝试使用用户标识符“Joe”和口令“Secret”作为安全凭证访问内部网104,外部设备提供这些凭证到应用108,应用108将其提供到认证前端。然后认证前端查询认证系统112,以获得与该凭证相关的信息以决定是否会发生冻结的情况。
假定安全策略在冻结一个帐户以前允许三次不正确的登录。认证前端例如可以确定已经发生了两个在前的不正确尝试并且因此第三次无效的尝试将会导致冻结帐户。认证前端然后会决定向外部设备产生一个登录错误,好像安全凭证已经被提供给认证系统,但事实上没有其所出现的危险。因此,如果“Joe”帐户受到来自外部网络100的攻击,Joe仍然能从内部网登录,而外部网访问被拒绝。应当理解,能够采用多种的策略或决策系统来决定对一定帐户是否和何时恢复其外部网访问。例如,可以采用超时周期,管理员可以被要求检查被冻结帐户,并且批准外部网恢复正常,在回到内部网时此帐户所有者可以被发送要求帐户所有者激活外部网访问尝试的消息(例如,在允许外部网访问之前帐户所有者可以被要求承认帐户所有者是外部网认证失败的来源)等等。
应该理解,可以采用多种技术以允许认证前端110访问关于凭证的信息以确定是否会发生冻结情况。例如,在一种实施例中,内部认证系统112基于微软活动目录服务器(或等价物),且认证前端作为目录服务器的代理操作,因此能查询目录服务器以获得帐户状态信息。在一种实施例中,认证前端110利用简便目录访问协议(LDAP)(查看internet工程任务组(IETF)征求意见资料(RFC)2251-2254)查询目录服务器,以获得安全凭证的冻结状态。在另一种实施例中,认证前端利用国际标准化组织(ISO)/国际电信联盟(ITU)X.500标准查询目录服务器。注意,尽管应用108和110被示为分离的,但应当理解,它们能够包含在单独设备114中或由单独应用程序实现(虚线表示可能的组合)。
在例示的实施例中,安全边界116定义在外部网络100和外部网102之间的边界,并且可由防火墙或其他网关执行,以限制在外部设备106和应用108之间的通信。相似地,在例示的实施例中,具有定义在外部网和内部网104之间边界的安全边界118。应该理解,认证前端110可以与多种认证协议联合工作,包括Radius、Kerberos和其它认证基础结构。
图2例示根据用于图1系统的一种实施例的数据流图。外部设备106试图防问在内部网上的资源或认证一个外部网应用,例如图1区域104。为达此目的,外部设备发送数据200以初始化一个与具有面向外部的接口或多个接口的应用108的通信会话。应用108通过发送请求外部设备认证其自身身份,例如,提供安全凭证,的认证请求202进行响应。作为响应,外部设备提供安全凭证204。
在应用108提供安全凭证204之后,应用将该凭证206发送到认证前端110。注意,凭证204、206尽管具有不同的附图标记,但可以是相同的凭证,例如发送的凭证206可能与接收的凭证204一致;可选地,应用可以在发送之前变更或改变凭证,例如在不同的认证系统之间转换或译码。因此,在一种实施例中,应用在认证系统之间转换或译码以允许使用新的不相容协议或旧的废止协议。
如以上对图1所论述的,与传统的内部认证器112将被要求确认安全凭证并且因此冒来自恶意外部网络行为的冻结风险的认证方案所不同,代之以认证前端110查询208内部认证器以决定是否安全凭证206的帐户冒无效认证阈值的风险。也就是,认证前端会查询内部认证器以确定帐户在被冻结之前还有多少无效的认证请求。如果与阈值接近,认证前端可以选择拒绝外部网络访问以保留内部网访问此帐户。
认证器发送指示该帐户的当前状态的响应210。例如,假设冻结基于无效尝试的数目,此响应可能指示帐户允许三次无效登录尝试,并且两次无效登录尝试已经被记录。如果帐户没有冒阈值的危险,认证前端110则可能提交安全凭证212到内部认证器112。如上所述,应当理解提供的安全凭证212可以是接收到的安全凭证204、或修改了的安全凭证。内部认证器发送可能是批准访问或拒绝访问的响应214。如果必要,此批准或拒绝是具有适当安全凭证修改或转换的级联的216、218,返回到外部设备。
图3是根据一种实施例的流程图。
外部设备试图访问在内部网上的资源106,并且初始化与具有面向外部的接口的应用的通信会话300。在一种实施例中,该应用可以接收来自内部网和外部网络双方的联系,并且因此执行一个测试以决定是否是来自外部网络的联系302。如果其是外部的,该应用利用一个认证请求外部设备表明其本身身份,例如,提供安全凭证,来响应304。作为响应,外部设备提供安全凭证306。
应该理解多种的应用程序和/或硬件能够应用于安全凭证的交换。例如,外部设备可以是操作因特网类型浏览器的计算装置,并且应用可以是因特网网络服务器的公共部分。该浏览器能够联接网络服务器,接收显示用户名/口令对话框的指令,响应该指令,外部设备用户填写请求的凭证并且提交该凭证到该网络服务器。或者外部设备的操作系统可以试图建立加密或安全的隧道,并且应用可以是可公开访问的虚拟个人网络(VPN)服务器。或者,在传统的物理不安全网络上使用的公知认证系统可以被修改以实施所公开的实施例。(参见图4)
被提供306的安全凭证然后发送308到试图查询310内部认证器的认证前端110以判断认证被提供306的安全凭证是否会冒冻结在安全凭证中所标识帐户的风险。如果帐户冒被冻结的风险312,认证前端则返回外部设备一个认证错误314,不必实际上正式地尝试用内部认证器认证该安全凭证。如果312帐户没有冒此风险,则被提供的306安全凭证被发送314到内部认证器用于认证。内部认证器响应指示认证成功或失败318。然而,已知即使由于来自外部网络的恶意攻击而导致的认证失败,此帐户仍然可以从内部网访问。
如果通信初始不是源于外部资源302,则传统的认证可以被执行320,例如不必使用认证前端进行预认证登录,直接执行框304、306、316的318的操作。
图4示出根据为修改Kerberos认证的一种实施例的流程图,如在RFC 1510中所描述的,Kerberos是公知的简化身份确认的认证系统,其阻止窃听和重放攻击,并且提供数据流的完整和保密。
Kerberos通过为本人(例如外部设备106的用户或服务程序)提供用于认证其自身的“执照”和用于安全通信的加密密钥进行操作。在一种实施例中,Kerberos被修改以识别正在尝试认证所来自的区域,例如识别如图1的区域104的在内部网上的认证,或者如图1的区域100的来自外部网络的联接。假设Kerberos认证发生在与具有所需资源的第二设备上分开的第一设备上;该第二设备可以不同于接收登录凭证的第三设备。第二和第三设备可以是相同的设备。
安全凭证被接收400,例如,通常是在外部设备106上输入用于登录的用户名和口令。执行一个测试判断是否402联接源于外部源,例如外部网络。如果该认证来自外部网,执行检验404以判断认证该安全凭证的尝试是否可能导致帐户冻结。如上所述,在一种实施例中,微软活动目录服务器或其它跟踪如登录政策、无效登录尝试的次数等帐户状态数据的装置被查询。如果使用预认证,因为预认证失败可能导致冻结,所以检验404在Kerberos尝试预认证登录之前进行。在一种实施例中,Kerberos服务器可以包含微软活动目录服务器服务,并能够直接判断冻结的风险,例如活动目录服务充当包含关于冻结条件的状态数据的存储器。
如果存在冻结风险406,则返回认证错误408,而不进行实际尝试Kerberos认证处理。如果没有冻结风险,则认证可以正常地进行。也就是说,外部设备联接一种初始执照服务410,例如一种Kerberos初始执照服务(KITS),或者在一种Windows环境中,例如Windows 2000,联接最近的活动目录密钥分配中心(KDC)。为防止口令猜测,KITS/KDC可以发送外部设备预认证数据,例一种已经用与登录凭证相关的密钥加密的随机序列。当接收到时412,外部设备必须解密预认证数据以证明其知道正确口令414。在提供此证据之后,外部设备识别416一个执照授予服务器,即,它所希望连接的服务器,例如一个具有如文件、目录等等所需资源的服务器。执照授予服务器用一个包括唯一会话密钥的会话执照响应418,该会话密钥是与登录凭证相关双重加密,具有所要联接的服务器的密钥。
在一种实施例中,本发明不是修改例如kerberos或其它系统的认证系统,而是作为对系统的包装(wrapper)操作。也就是说,本发明能够被配置侦听典型地被认证系统使用的通信信道,例如kerberos的传输控制协议(TCP)/互联网协议(IP)端口88,接收源于外部设备的初始联接,对照冻结条件执行预备检验,并且如果没有冻结的威胁,则该隧道进一步在外部设备和认证系统之间进行认证通信。
如果不是从外部网络接收到认证安全凭证402,认证处理则如上所述如常地继续进行,例如好象帐户没有冒冻结风险。本领域技术人员应该理解,以上关于Kerberos的描述省去了Kerberos认证的许多操作细节以简便易读。应该进一步理解公开的原理能够应用到即使不是全部也至少是大部分其他认证系统。
图5和随后的论述目的是提供一个适合设备的简要、一般的描述,其中本发明的一定方面能够被实现。如在此使用的,术语“设备”包括如电脑、手持装置、传输设备等等的单个设备或通信耦合的多个设备或设备的系统。
典型地,设备500包括连接到处理器504,如某些状态保存媒介的存储器506、存储设备508、视频接口510,以及输入/输出接口端口512的系统总线502。该设备能够至少部分地被通过如键盘、鼠标等等传统的输入装置输入的指令控制,还能够被从另一设备接收的与虚拟现实(VR)环境的相互作用、生物测定反馈或其他输入资源或信号接收的指示控制。
该设备可以包括或嵌入内嵌式控制器,如可编程或不可编程逻辑器件与阵列、专用集成电路、嵌入式计算机、智能卡等等。此设备可以利用到一个或多个远程设备514、516的连接,例如通过网络接口518、调制解调器520或其它通信耦合途径。设备可以通过如图1所示的内部网104、外部网络100、因特网、局域网和广域网的物理和/或逻辑网络522的方法互连。本领域技术人员应该能够理解,网络522能够利用多种有线和/或无线的短程或远程载波和协议,包括射频(RF)、卫星、微波、电气与电子工程师协会(IEEE)802.11、蓝牙、光学、红外、电缆、激光等等。
本发明能够通过参考或结合包括功能、程序、数据结构、应用程序等等的相关数据被描述,其当通过设备访问时导致设备执行任务或者定义抽象数据类型或低级硬件环境。相关数据能够被存储在例如易失性和/或非易失性存储器506或储存装置508和其相应存储介质中,包括硬盘、软盘、光存储器、磁带、闪存、记忆棒、数字化视频光盘、生物存储器等等。相关数据可以以分组格式、串行数据、并行数据、传播信号等形式通过包括网络522的传输环境传递,,并且能够以压缩或加密格式运用。相关数据可以用在分布式环境、并且在本地和/或远程地存储,用于如个人数字助理(PDAs)、蜂窝式电话、图形输入卡等等的的单个或多个处理器设备、便携式计算机、手持装置访问。
因此,例如关于例示的实施例,假定设备500包括图1的应用108,远程设备514、516可以分别包括认证前端110和内部认证系统112。应该理解远程设备514、516能够被配置像设备500一样并且包括多个或所述设备的所有部件。
参考例示的实施例已经描述和例示了本发明的主要方面,应该理解,例示的实施例能够在排列上和不脱离此原则的细节被修改。并且,尽管在前所述集中于特定的实施例,其它的结构也是可预见的。特别地,尽管在此处使用如“在一种实施例中”、“在另一种实施例中”或其它类似措辞,这些语句目的是总体引用可能的实施例,并没有意图限定本发明在特定实施例的结构中。如在此处使用的,这些术语能够引用合并到其它实施例中的相同或不同的实施例。
因此考虑到对此处所描述实施例宽范围多种置换,此详细描述的目的仅仅是示例性的,而不是将其作为对本发明的范围的限制。因此可以包括在以下权利要求和等价物的范围和精神之内全部这样的修改将作为本发明的要求。

Claims (14)

1.一种用于控制从外部网络访问内部网的方法,包括:
从源接收安全凭证,该源要求用一个认证器服务器认证;
确定源是在外部网络上;
查询该认证器服务器,以获得认证限制;
检查利用该认证器服务器认证失败是否将超过认证限制,如果是,向源返回一个错误,而不利用该认证器服务器认证。
2.如权利要求1所述的方法,进一步包括:
如果检查指示尝试将超过认证限制,则返回一个认证错误到源,而不尝试用认证器服务器认证安全凭证。
3.如权利要求1所述的方法,进一步包括:
如果检查指示尝试不超过认证限制,则尝试用认证器服务器认证安全凭证。
4.如权利要求1所述的方法,其中认证器服务器提供活动目录服务,且其中所述检查包括:
发出简便目录访问协议(LDAP)查询到认证器服务器,以获得认证限制。
5.如权利要求1所述的方法,进一步包括:
用与认证器服务器不同的登录服务器认证安全凭证。
6.一种用于在认证器周围包装认证服务的方法,包括:
在通常被认证器使用的标准通信端口上侦听;
从源接收安全凭证,该源要求用一个认证器服务器认证;
确定源是在外部网络上;
查询认证器,以获得认证限制;
检查要求用所述认证器服务器认证以尝试认证该安全凭证是否将超过认证限制,如果是,向源返回一个错误,而不利用该认证器服务器认证。
7.如权利要求6所述的方法,其中简化认证包括:
将安全凭证发送到认证器进行认证。
8.如权利要求6所述方法,其中简化认证包括:
在源和认证器之间通过隧道传送数据。
9.如权利要求6所述的方法,进一步包括:
配置认证器以在非标准通信端口上进行侦听;和
在通信端口和非标准通信端口之间中继数据。
10.如权利要求6所述的方法,进一步包括:
在认证服务和认证器之间加密通信。
11.用于包括与具有一个源的第二网络通信耦合的第一网络的网络环境中的一种系统,从该第一网络可能发生认证失败,该系统包括:
通信耦合到第一网络的外部设备;
通信耦合到第二网络的内部认证系统,该内部认证系统可操作接收各种设备的认证尝试,授权认证成功的设备访问所述源,以及冻结过多认证错误的设备访问所述源;和
通信耦合到第一网络和第二网络的认证前端,并且此认证前端被配置为从外部设备接收安全凭证,确定安全凭证的认证失败是否会导致由于过多认证错误而被冻结,并且如果不冒被冻结的风险,就对比内部认证器认证安全凭证。
12.如权利要求11所述的系统,其中第一网络是因特网。
13.如权利要求11所述的系统,其中第二网络是内部网。
14.如权利要求11所述的系统,其中内部认证系统提供微软活动目录类型服务,以简化所述查询内部认证系统以获得冻结风险的步骤。
CNB03164824XA 2002-11-13 2003-09-12 网络保护认证代理 Expired - Fee Related CN1303537C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/294126 2002-11-13
US10/294,126 US7669229B2 (en) 2002-11-13 2002-11-13 Network protecting authentication proxy

Publications (2)

Publication Number Publication Date
CN1501264A CN1501264A (zh) 2004-06-02
CN1303537C true CN1303537C (zh) 2007-03-07

Family

ID=32229778

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB03164824XA Expired - Fee Related CN1303537C (zh) 2002-11-13 2003-09-12 网络保护认证代理

Country Status (2)

Country Link
US (2) US7669229B2 (zh)
CN (1) CN1303537C (zh)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040184425A1 (en) * 2003-03-17 2004-09-23 Inventec Appliances Corp. Method for accessing data from a company over the internet by cellular phone
EP1571781A1 (fr) * 2004-03-03 2005-09-07 France Telecom Sa Procédé et système d'accréditation d'un client pour l'accès à un réseau virtuel permettant d'accéder à des services
US7363513B2 (en) * 2004-04-15 2008-04-22 International Business Machines Corporation Server denial of service shield
US8166296B2 (en) * 2004-10-20 2012-04-24 Broadcom Corporation User authentication system
US20060129412A1 (en) * 2004-12-09 2006-06-15 International Business Machines Corporation Technology budget manager for mobile employees
US20060130140A1 (en) * 2004-12-14 2006-06-15 International Business Machines Corporation System and method for protecting a server against denial of service attacks
US7652991B2 (en) * 2005-12-16 2010-01-26 Alcatel Lucent Network with distributed authentication control
GB0619179D0 (en) * 2006-09-29 2006-11-08 Ip Access Ltd Telecommunications access control system and method
US8201231B2 (en) * 2007-02-21 2012-06-12 Microsoft Corporation Authenticated credential-based multi-tenant access to a service
US8302187B1 (en) * 2007-09-27 2012-10-30 Amazon Technologies, Inc. System and method for preventing large-scale account lockout
US8387130B2 (en) * 2007-12-10 2013-02-26 Emc Corporation Authenticated service virtualization
US8234695B2 (en) * 2007-12-21 2012-07-31 International Business Machines Corporation Network security management for ambiguous user names
US8042153B2 (en) * 2008-01-09 2011-10-18 International Business Machines Corporation Reducing overhead associated with distributed password policy enforcement operations
WO2012132697A1 (ja) * 2011-03-28 2012-10-04 株式会社野村総合研究所 接続先制限システム、接続先制限方法、端末設定制御システム、端末設定制御方法、及びプログラム
EP2629488B1 (en) 2012-02-17 2015-12-16 OSAN Technology Inc. Authentication system, authentication method, and network storage appliance
TWI468977B (zh) * 2012-02-17 2015-01-11 Qsan Technology Inc 認證系統、認證方法與網路儲存裝置
BR122018077460B1 (pt) * 2012-04-17 2021-07-20 Intel Corporation Interação com serviço confiável
CN103491054A (zh) * 2012-06-12 2014-01-01 珠海市鸿瑞信息技术有限公司 Sam准入系统
US20160014077A1 (en) * 2014-07-10 2016-01-14 Aorato Ltd. System, Method and Process for Mitigating Advanced and Targeted Attacks with Authentication Error Injection
GB2538774A (en) * 2015-05-28 2016-11-30 Vodafone Ip Licensing Ltd Setting a password on a device
WO2017012027A1 (zh) * 2015-07-21 2017-01-26 深圳市银信网银科技有限公司 一种电子凭证解付时效设定的方法、服务器、终端和系统
CN109391940B (zh) * 2017-08-02 2021-02-12 华为技术有限公司 一种接入网络的方法、设备及系统
US10505925B1 (en) * 2017-09-06 2019-12-10 Amazon Technologies, Inc. Multi-layer authentication
US11042629B2 (en) 2018-10-09 2021-06-22 EMC IP Holding Company LLC Preventing malicious lockout of user accounts
TWI706281B (zh) * 2019-02-19 2020-10-01 華東科技股份有限公司 裝置驗證方法
US11477028B2 (en) * 2019-04-15 2022-10-18 Pulse Secure, Llc Preventing account lockout through request throttling
CN110311785B (zh) * 2019-06-10 2022-06-07 平安科技(深圳)有限公司 一种内网访问方法及相关装置
CN110365701B (zh) * 2019-07-30 2021-12-31 达闼机器人有限公司 客户终端设备的管理方法、装置、计算设备及存储介质
US11595369B2 (en) * 2019-11-08 2023-02-28 Seagate Technology Llc Promoting system authentication to the edge of a cloud computing network
CN112866287A (zh) * 2021-02-25 2021-05-28 未鲲(上海)科技服务有限公司 基于办公环境的跨网络访问方法、装置、系统及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10327193A (ja) * 1997-05-26 1998-12-08 Nec Corp 暗号化方式
CN1201573A (zh) * 1995-10-31 1998-12-09 国际商业机器公司 安全的网关接口
JP2000330623A (ja) * 1999-05-18 2000-11-30 Toshiba Keiso Kk 広域オペレーションシステム
CN2434738Y (zh) * 2000-06-09 2001-06-13 西南交通大学 智能卡安全认证装置
WO2001069351A2 (en) * 2000-03-17 2001-09-20 Avner Geller A method for secured identification of user's i.d.
JP2002041173A (ja) * 2000-07-18 2002-02-08 Moan Kokusai Kofun Yugenkoshi プログラムファイル認証方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5559505A (en) * 1992-05-20 1996-09-24 Lucent Technologies Inc. Security system providing lockout for invalid access attempts
US5495235A (en) * 1992-09-30 1996-02-27 At&T Corp. Access control system with lockout
US6618806B1 (en) * 1998-04-01 2003-09-09 Saflink Corporation System and method for authenticating users in a computer network
AU4091199A (en) * 1998-05-21 1999-12-06 Equifax, Inc. System and method for authentication of network users
US6081900A (en) * 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
US6529955B1 (en) * 1999-05-06 2003-03-04 Cisco Technology, Inc. Proxy session count limitation
US6668322B1 (en) * 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US6662228B1 (en) * 2000-02-01 2003-12-09 Sun Microsystems, Inc. Internet server authentication client
US6986038B1 (en) * 2000-07-11 2006-01-10 International Business Machines Corporation Technique for synchronizing security credentials from a master directory, platform, or registry
US7389354B1 (en) * 2000-12-11 2008-06-17 Cisco Technology, Inc. Preventing HTTP server attacks
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US7020705B2 (en) * 2001-04-26 2006-03-28 Intel Corporation De-authenticating in security environments only providing authentication
US6732105B1 (en) * 2001-07-27 2004-05-04 Palmone, Inc. Secure authentication proxy architecture for a web-based wireless intranet application
US7032026B1 (en) * 2001-08-31 2006-04-18 Oracle International Corp. Method and apparatus to facilitate individual and global lockouts to network applications
US7159120B2 (en) * 2001-11-19 2007-01-02 Good Technology, Inc. Method and system for protecting data within portable electronic devices
US7054944B2 (en) * 2001-12-19 2006-05-30 Intel Corporation Access control management system utilizing network and application layer access control lists
TWI235580B (en) * 2002-05-03 2005-07-01 Ke-Cheng Fang Network security system and method for recording and resisting hacker
US6874031B2 (en) * 2002-10-07 2005-03-29 Qualcomm Inc. Method and apparatus for sharing authentication session state in a global distributed network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1201573A (zh) * 1995-10-31 1998-12-09 国际商业机器公司 安全的网关接口
JPH10327193A (ja) * 1997-05-26 1998-12-08 Nec Corp 暗号化方式
JP2000330623A (ja) * 1999-05-18 2000-11-30 Toshiba Keiso Kk 広域オペレーションシステム
WO2001069351A2 (en) * 2000-03-17 2001-09-20 Avner Geller A method for secured identification of user's i.d.
CN2434738Y (zh) * 2000-06-09 2001-06-13 西南交通大学 智能卡安全认证装置
JP2002041173A (ja) * 2000-07-18 2002-02-08 Moan Kokusai Kofun Yugenkoshi プログラムファイル認証方法

Also Published As

Publication number Publication date
US20040093519A1 (en) 2004-05-13
CN1501264A (zh) 2004-06-02
US7669229B2 (en) 2010-02-23
US8239933B2 (en) 2012-08-07
US20100211999A1 (en) 2010-08-19

Similar Documents

Publication Publication Date Title
CN1303537C (zh) 网络保护认证代理
US7707630B2 (en) Remote authentication caching on a trusted client or gateway system
US7886339B2 (en) Radius security origin check
CN102047262B (zh) 用于分布式安全内容管理系统的认证
US7231526B2 (en) System and method for validating a network session
EP2021938B1 (en) Policy driven, credential delegation for single sign on and secure access to network resources
CN100438421C (zh) 用于对网络位置的子位置进行用户验证的方法和系统
US8082578B2 (en) Intelligent firewall
CA2422334C (en) Authentication of network users
US20050198501A1 (en) System and method of providing credentials in a network
US20050144441A1 (en) Presence validation to assist in protecting against Denial of Service (DOS) attacks
CN101297534A (zh) 用于安全网络认证的方法和装置
CN111918284B (zh) 一种基于安全通信模组的安全通信方法及系统
CN115333840B (zh) 资源访问方法、系统、设备及存储介质
US7657926B1 (en) Enabling network communication from role based authentication
US10298588B2 (en) Secure communication system and method
Krishnamoorthy et al. Proposal of HMAC based Protocol for Message Authenication in Kerberos Authentication Protocol
KR20170084778A (ko) 인증된 릴레이 서버를 통한 서버 보호 시스템 및 방법
Zhang et al. Adding security features to fipa agent platforms
KR100383442B1 (ko) 서버시스템의 보안방법
KR100406292B1 (ko) 터미널 통신상의 사용자 보안 및 자동 인증을 위한 비밀번호 전송시스템 및 전송방법
CN115694855A (zh) 一种认证方法、装置及设备
Harrison et al. A protocol layer survey of network security
CN117319080A (zh) 隔离保密通信的移动终端及通信方法
CN116366344A (zh) 一种基于内外网分离的网络安全系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20070307

Termination date: 20190912

CF01 Termination of patent right due to non-payment of annual fee