TWI439103B - 網路資源之單一登入以及安全存取的政策導向憑證授權 - Google Patents
網路資源之單一登入以及安全存取的政策導向憑證授權 Download PDFInfo
- Publication number
- TWI439103B TWI439103B TW096116547A TW96116547A TWI439103B TW I439103 B TWI439103 B TW I439103B TW 096116547 A TW096116547 A TW 096116547A TW 96116547 A TW96116547 A TW 96116547A TW I439103 B TWI439103 B TW I439103B
- Authority
- TW
- Taiwan
- Prior art keywords
- server
- client
- identity code
- policy
- user identity
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Description
本發明係關於網路計算環境中對應用程式、資源及/或服務之單一登入(single sign on)及安全存取之策略導向、身分碼授權(credential delegation)。
有時,經由用戶端存取之伺服器應用程式需要將用戶端之使用者的身分碼授權給伺服器,以便支援由伺服器應用程式所啟用之方案。在此一授權情況下,伺服器端需要遠端終端機(remote terminal)之使用者密碼,以便在當使用者僅作為該伺服器應用程式之本地使用者登入時,伺服器應用程式能模擬該可用之功能性。
然而,現行系統在將來自用戶端之身分碼授權給一伺服器應用程式,以便存取該伺服器應用程式之能力並不夠安全,亦即,保護措施存在不足之處,當使用者身分碼自用戶端授權/傳輸至伺服器時,令使用者身分碼易受某些形式之攻擊。目前,例如,伺服器端或用戶端上之呼叫應用程式有時有權存取使用者之明文身分碼(clear text credentials),因此使用者身分碼頗不安全。此外,目前沒有控制並限制將來自用戶端之使用者身分碼授權給適用任何類型使用者身分碼之伺服器的策略導向方法,使用者身分碼亦即,使用者帳戶/密碼、智慧卡PIN碼、一次密碼(OTP)等。
關於本發明之部分將於下文中作更詳細描述,以希望改良此項技術狀態之該等及其他不足之處。
慮及以上不足之處,本發明提供一種身分碼安全支援提供者(credential security support provider)(Cred SSP)服務,其使任何應用程式能夠在網路計算環境中將經由用戶端安全支援提供者(SSP)軟體來自用戶端之使用者身分碼,安全地授權給經由伺服器端SSP軟體之目標伺服器。在一具體實施例中,Cred SSP經由安全支援提供者介面(SSPI)軟體可為使用者使用,其可作為用戶端作業系統之一部份包括在內。本發明之Cred SSP提供一種安全解決方案,其部分基於一組策略,該組策略包括對大範圍攻擊為安全的預設策略,其用於控制並限制將來自用戶端之使用者身分碼授權給伺服器。該等策略可用於任何類型使用者身分碼,且不同策略經設計以減輕大範圍攻擊,以便適當授權可發生於給定授權環境、網路條件、信任層級等。另外,僅一受信任之子系統,例如,本地安全性授權(Local Security Authority)(LSA)之一受信任之子系統,有權存取明文身分碼,以使得在伺服器端上使用Cred SSP之SSPI API呼叫應用程式或在用戶端上之使用Cred SSP之SSPI API呼叫應用程式皆無權存取明文身分碼。
下文將描述本發明之其他特徵。
如發明背景所提及的,某些用戶端/伺服器應用程式需要將使用者身分碼授權給該伺服器以便支援各種伺服器方案。終端伺服器為一此類之示例,其中有時使用者之密碼係用於伺服器端以便在用戶端上模擬其功能性。然而,如上文所提及的,先前技術中授權技術在使用者身分碼發送至伺服器時不能提供足夠保護。
本發明之Cred SSP為一種新穎“安全支援提供者”,有時亦稱作“安全服務提供者”,其經由用戶端作業系統之現有安全支援提供者介面(SSPI)基礎結構而為可用。本發明之Cred SSP使一應用程式能夠將來自用戶端之使用者身分碼(例如,經由用戶端SSP軟體,)授權給目標伺服器(例如,經由伺服器端SSP軟體)。在一例示性、非限制之具體實施例中,本發明之Cred SSP可包括於終端伺服器中。然而,本發明之Cred SSP可由其他應用程式使用,且可被使用於可應用作業系統之SSPI之任何內部或第三者應用程式所用。
Cred SSP解決方案係提供一組策略之更安全的解決方案,該組策略可用於控制並限制將來自用戶端之使用者身分碼授權給伺服器。該等策略經設計以處理大範圍之攻擊,包括運行於用戶端機器上之惡意軟體。本發明之Cred SSP包括“預設安全”策略,其為經由策略設定按預設啟用用戶端機器之特殊組態,以減輕大範圍之攻擊。本發明之該組策略適用於保護任何類型之使用者身分碼,包括(但不限於)使用者帳戶/密碼、智慧卡PIN碼、一次密碼(OTP)等。本發明之Cred SSP保護使用者身分碼,以使得伺服器或用戶端上(Cred SSP API)之呼叫應用程式無權存取明文身分碼,因為僅一受信任之子系統有權存取明文身分碼。
舉例而言,微軟之終端伺服器(Terminal Server)(TS)為伺服器/用戶端產品之一示例,其有時需要使用者提供終端機/用戶端處之登入身分碼,並將登入身分碼授權給伺服器,以便將微軟Windows作業系統產品之應用程式服務及“桌面”經驗授權給終端機/用戶端。TS通常可被認為包括三個主要部份:多使用者核心伺服器、使Windows桌面介面能夠由伺服器發送至終端機之遠端桌面協定(RDP),以及在每一終端機上運行之用戶端軟體。在本發明之一非限制具體實施例中,實現本發明之身分碼安全支援提供者之協定可與終端伺服器軟體有關。
本文參考通常由驗證及身分碼授權技術中之在該領域中熟知技術人士所理解之術語描述了各種具體實施例中之某些具體實施例。雖然並非意欲本部分替代在該領域中熟知技術人士之知識且不認為其為無遺漏之綜述,但是,據信本部分有利於為某些術語提供某些額外內容及背景,如下文所更詳細描述的,該等術語用於本發明之各種具體實施例之操作內容中。
因此本文提供為在該領域中熟知技術人士通常所瞭解之以下術語的額外內容及背景:Kerberos、Windows NT區域網路(區域網路)管理器(NTLM)、簡單及受保護之性通用安全服務應用程式介面(GSSAPI)協商機制(簡寫為SPNEGO)、本地安全性授權(LSA)、安全支援提供者介面(SSPI)及安全通訊端層(SSL)協定及一例示性Windows驗證基礎結構。
Kerberos Kerberos為一種電腦網路中驗證一服務請求之安全方法。其名稱借用在神話中保衛冥府入口之三頭犬,Kerberos另使用者請求來自驗證過程之一加密“票證”(ticket),其可接著用於請求來自一伺服器之特殊服務,以使得使用者之密碼不經由該網路而得以通過。Kerberos包括用戶端及伺服器端軟體,該軟體允許存取一伺服器,其包括在用戶端處使用者之登入請求。然而,在兌現存取應用程式、資源及/或服務之請求之前,伺服器需要一張Kerberos“票證”。要獲得合適的Kerberos票證,由用戶端發出對驗證伺服器(AS)之驗證請求。該AS產生一"通話金鑰",其亦為一加密金鑰,該通話金鑰基於自使用者帳戶所獲得之使用者密碼,且為表示所請求服務之隨機值。在此情況下,通話金鑰實際上為一張“票證授予票證(ticket-granting ticket)”。
接著,所獲得之票證授予票證傳輸至一票證授予伺服器(TGS)。TGS實際上可為與AS相同之伺服器,但在功能上執行一不同服務。TGS將該可為了該所請求服務而發送至伺服器之票證予以退回。該服務在票證無效時拒絕該票證,或在票證有效時接收該票證並運行該服務。因為自TGS所接收之票證加上時間戳記,所以票證允許額外請求在某一時段內使用相同票證而無需重新驗證使用者對伺服器服務之使用。另一方面,使票證在一有限時段有效,使得被授權之使用者之外的某人較不可能再使用該票證。一個在該領域中熟知技術之人士可瞭解,介面、協定、有效載荷(payload)及機層處之Kerberos驗證過程之細節可能更複雜,且使用者程式根據具體實施例可能略有不同。
Windows NT LAN管理器(NTLM)
Kerberos之替代品,NTLM為用於各種微軟網路協定具體實施例且由NTLM安全支援提供者(NTLMSSP)支援之驗證協定。最初用於驗證及協商安全分散式計算環境(DCE)/遠端程式呼叫(RPC)通訊,NTLM亦用作經整合之單一登入機制。
NTLM使用挑戰回應機制以便驗證,其中用戶端能夠證明其身份而無需將密碼發送至伺服器。挑戰回應機制包括三條訊息,通常稱作類型1(協商)、類型2(挑戰)及類型3(驗證)。在高層級,首先,藉由NTLM,用戶端將類型1之訊息發送至包括由用戶端支援且由伺服器所請求之功能清單的伺服器。該伺服器以類型2之訊息回應包括由伺服器所支援並同意之功能清單及由伺服器所產生之挑戰之用戶端。用戶端以類型3之訊息答覆挑戰,類型3之訊息具有幾條有關用戶端之資訊,其包括用戶端使用者之領域及使用者帳戶以及類型2挑戰之一或多回應。類型3之訊息中之回應為重要片段,其作用為向伺服器證明用戶端使用者瞭解帳戶密碼。
安全通道(Schannel)
安全通道,亦稱作“Schannel”,為安全支援/服務提供者(SSP),其包含一組經由加密技術提供身份驗證及增強型通訊安全之安全協定。Schannel主要用於針對超文件傳輸協定(Hypertext Transfer Protocol)(HTTP)通訊需要增強安全性之網際網路應用程式。伺服器驗證(其中伺服器向用戶端提供其身份證明)為Schannel安全協定之需要。因此,Schannel協定利用可用於驗證伺服器及(視需要)用戶端之Schannel身分碼。用戶端驗證可隨時由伺服器請求。Schannel身分碼為X.509憑證(certificates)。來自憑證之公鑰及私鑰資訊用於驗證伺服器及(視需要)用戶端。該等金鑰亦用於提供訊息整合,而用戶端及伺服器交換該所需資訊以產生並交換通話金鑰。Schannel參考以下更多詳述實現SSL及TLS協定。
簡單及受保護之GSSAPI協商機制(SPNEGO)
SPNEGO為一用於對等端之標準通用安全服務應用程式介面(Generic Security Service Application Program Interface)(GSSAPI)虛擬(pseudo)機制以判定共用哪些GSSAPI機制,選擇一者,且接著按共用GSSAPI機制建立安全內容。SPNEGO之規格可於1998年12月網際網路工程工作小組之草案RFC 2478中標題為“GSS-API Negotiation Mechanism”的文件中找到。
舉例而言,SPNEGO之使用可於“HTTP協定”擴展文件中找到,其為首先於瀏覽軟體網際網路流覽器中實現之驗證擴展文件,且其提供稱作Windows整合驗證之單一登入能力。SPNEGO之可協商子機制包括NTLM及Kerberos,兩者皆可使用動態目錄(Active Directory)。
GSSAPI提供可於不同安全機制上分層之通用介面,以使得若通訊對等端獲取相同安全機制之GSSAPI身分碼,則安全內容可在對等端之間建立。然而,GSSAPI未規定GSSAPI對等端可建立其是否具有一公共安全機制之方法。
SPNEGO使GSSAPI對等端能夠判定頻帶內(in-band)其身分碼是否共用公共GSSAPI安全機制,且若共用,則啟用(invoke)一選定公共安全機制之正常安全內容建立選項,以允許不同安全機制協商、在給定安全機制內之不同選項或來自幾種安全機制之不同選項。此對基於支援多安全機制之GSSAPI具體實施例之應用程式最為有用。一但確定公共安全機制,安全機制亦可在其內容建立期間協商機制專用選項。
藉由SPNEGO,協商資料封裝於在內容層級符記中。因此,GSSAPI之呼叫程式無需瞭解協商符記是否存在,而僅瞭解虛擬-安全機制。
SPNEGO之協商模型如下列各步進行工作:啟動程式提出一安全機制或一安全機制之順序清單,則該目標接受所提出之安全機制,或自一所提供集合中選擇一者,或拒絕該(等)所提出之值。該目標接著通知啟動程式其選擇。
在其基本形式中,此協定需要一額外往返行程。網路連接裝備為任何網路基礎結構之關鍵效能特徵,且WAN鏈結、封包無線網路等之上之額外往返行程實際上可有所差異。為了避免此一額外往返行程,啟動程式之較佳機制之初始安全符記可嵌入初始符記中。若目標較佳機制與啟動程式之較佳機制相符,則藉由使用該協商協定不會出現額外往返行程。
當由目標選定之優先機制具有完全保護能力時,SPNEGO亦提供一種技術以保護協商。當所有由啟動程式所提議之機制支援完全保護或當選定機制支援整體保護時,則因為已經選擇了此項由兩對等端所支援之該合適機制的保證,所以協商機制得以保護。
本地安全性授權(LSA)
雖然為一常用概念,但是LSA為對驗證本地及遠端登入之使用者負責之微軟Windows作業系統技術的登入程式之關鍵元件。LSA亦維護本地安全性策略。
在本地、互動式、登入到機器期間,一人將其帳戶及密碼輸入登入對話方塊。此資訊傳送至LSA,其接著呼叫適當之驗證封裝。該密碼使用單向雜湊函數(one-way hash function)以非可逆秘密金鑰格式發送。LSA接著詢問安全帳戶管理器(SAM)資料庫有關使用者之帳戶資訊。若提供的金鑰匹配該SAM中之一者,則SAM將該使用者安全識別符(SID)及任何群組之SID傳回至該使用者所屬之處。該LSA接著使用該等SID產生安全存取符記。此描述應用於一使用者具有一本地帳戶之情況,與領域帳戶相反般,其中獲得Kerberos服務票證以將使用者驗證於該機器。
安全支援提供者介面(SSPI)
SSPI定義驗證使用者之技巧,亦即,證實使用者是否為使用者所擁有之帳戶之使用者,或使用者知道對與特殊使用者帳戶相關聯之密鑰(例如,密碼)一無所知。
用於此一驗證鏈結之身分碼可為:(1)用於在用戶端與伺服器機器(例如,現有驅動器映射)之間之一現有驗證鏈結的身分碼,(2)用戶端使用者帳戶之身分碼,若伺服器確認與此帳戶相關聯之SID;則此意味著用戶端及伺服器皆信任同一領域,且使用者帳戶來自該領域,(3)伺服器上之本地帳戶之原始身分碼(例如,帳戶及密碼),若其匹配用戶端使用者帳戶與密碼(在此情況下,用戶端使用者之帳戶及其在伺服器上使用之帳戶截然不同)及(4)明確由使用者獲准進入之身分碼(例如,帳戶及密碼)。SSPI藉由詢問該等呼叫應用程式(用戶端及伺服器處理程式)往返傳輸資料區段工作,直至滿足基本安全提供者。
載入安全動態連結程式庫(DLL)且選擇一封裝(安全提供者之另一術語,諸如NTLM、Kerberos等)之後,用戶端初始化本地或用戶端SSPI並擷取第一組資料以發送至伺服器。同時,伺服器已初始化伺服器SSPI且在接收第一組資料之後,伺服器將其饋送(feed)至伺服器SSPI,其處理第一組資料以產生第二組資料。反之,伺服器對所得第二組資料進行檢查且若資料大於零,則伺服器將第二組資料發送至用戶端,其又將第二組資料饋送至用戶端SSPL。用戶端SSPI接著請求將第三組資料發送至伺服器,或告知應用程式驗證完成。此過程持續至用戶端及伺服器SSPI對自另一者所接收之資料滿意為止。
此時,伺服器持有一內容控制碼,其(尤其)可用於詢問用戶端之使用者帳戶。取決於由用戶端所使用之選項,亦可允許伺服器使用該內容以扮演(impersonate)該用戶端,以進行簽字或加密訊息等。另有一額外的可選步驟可供執行。為了結束該發送-接收循環,某些安全提供者可能需要一稱作CompleteAuthToken(CAT)之預定義結束步驟。
安全通訊端層(SSL)及傳送層安全(TLS)協定
安全通訊端層(SSL)協定及傳送層安全(TLS)協定,皆由Schannel實現之其繼承者係提供網際網路安全通訊之加密協定。在SSL3.0與TLS1.0之間略有不同,但是協定大體保持相同。術語“SSL”往往係指協定兩方,除非由內容另特別說明。
SSL/TSL協定使用加密技術在網際網路上提供端點驗證(endpoint authentication)及通訊隱私。雖然可經由公共金鑰基礎結構(PKI)相互驗證,但是在通常使用過程中,驗證伺服器(亦即,確定其身份)而不驗證用戶端。協定允許用戶端/伺服器應用程式以一種經設計以避免竊聽、干預及訊息偽造之方式通訊。
例示性非限制Windows驗證基礎結構
一例示性、非限制之驗證基礎結構係經由安全服務/支援提供者(SSP)軟體支援不同驗證方法之Windows作業系統技術所提供。
在一具體實施例中,Windows支援以上三種主要SSP:Kerberos、NTLM挑戰/回應以及SChannel安全協定。雖然Kerberos為Windows2000之預設驗證方法,但是可經由安全支援提供者介面或SSPI使用其他方法。此外,例如,Windows可使用以下網路SSP以使用數位憑證提供驗證服務:分散式密碼驗證(DPA)-網際網路驗證協定、可擴展之驗證協定(EAP)-點對點(PPP)協定及基於公共金鑰之協定之擴展,包括SSL、TLS及私秘通訊技術。
如上文所提及的,本發明提供增強型身分碼安全支援提供者(Cred SSP)軟體,其使應用程式能夠將來自用戶端之使用者身分碼(例如,經由用戶端SSP軟體)授權給目標伺服器(例如,經由伺服器端SSP軟體)。本發明之Cred SSP可由作業系統之任一固有應用程式或使用可應用SSPI之任何第三者應用程式(例如,與一作業系統應用程式整合之SSPI)利用。
第1圖為本發明之Cred SSP架構之示意性方框圖,其使來自用戶端之身分碼能夠安全授權給伺服器,而不將明文身分碼曝露給呼叫應用程式。在一具體實施例中,Cred SSP按一組兩個封裝實現:用戶端電腦裝置或伺服器電腦裝置之裝置D之用戶端(或應用程式)Cred SSP封裝Client-Side_Cre dSSP及LSA端Cred SSP封裝LSA_Cred SSP。
用戶端封裝Client-side_Cred SSP為曝露給用戶端安全支援提供者介面Client-side_Cred SSP之介面I1之呼叫程式之用戶端安全支援提供者軟體,其提供Schannel協定,且暴露Schannel封裝功能性,並經由LSA端Cred SSP介面I2與LSA端之封裝LSA_Cred SSP通訊。根據本發明,在使用者處理程式中處理Schannel協定及功能性與由LSA執行相比有助於更快地加密訊息(encryptMessage)及解密訊息(decryptMessage)操作。
根據本發明,LSA封裝LSA_Cred SSP提供SPNEGO協定及身分碼加密/解密及身分碼轉遞,以及針對根據本發明之上述策略集合所界定之策略進行策略檢查。
如所述與如第2A圖及第2B圖所示般,在一例示性、非限制之具體實施例中,,本發明之實現係與將身分碼授權給一終端伺服器250之終端伺服器用戶端200有關。
如第2A圖所示,終端伺服器用戶端200之具體實施例利用本地程式呼叫(LPC)函數215經由安全驗證庫205與LSA伺服器程式225互動,其包括跨越處理程式邊界220傳輸資料。函數210在安全驗證庫(secure authentication library)205中運行且可包括CredSSP初始化安全內容(Cred SSP.ISC)函數,該函數包括安全通訊端層/初始化安全內容(SSL.ISC)函數及安全傳輸/加密訊息(SSL.EM)函數。函數230在LSA伺服器處理程式225中運行且可包括CredSSP初始化安全內容(Cred SSP.ISC)函數,其包括SPNEGO/初始化安全內容(SPNEGO.ISC)函數及SPNEGO/加密訊息(SPNEGO.EM)函數。
如第2B圖所示,終端伺服器250之具體實施例利用本地程式呼叫(LPC)265經由安全驗證庫255與LSA伺服器程式275互動,其包括跨越處理程式邊界270。函數260在安全驗證處理程式205上運行且可包括CredSSP接受安全內容(Cred SSP.ASC)函數,其包括安全通訊端層/接受安全內容(SSL.ASC)函數及安全傳輸/解密訊息(SSL.DM)函數。函數280在LSA伺服器處理程式275中運行且可包括CredSSP接受安全內容(Cred SSP.ASC)函數,其包括SPNEGO/接受安全內容(SPNEGO.ASC)函數及SPNEGO/解密訊息(SPNEGO.DM)函數。
一由本發明之Cred SSP利用之例示性、非限制之協定在第3圖之流程圖中以例示性方式展示。在步驟300,初始SSL/TLS訊號交握發生於用戶端與伺服器之間。在步驟305,SPNEGO協商發生以選擇一驗證機制(例如,Kerberos 或NTLM,或由用戶端及伺服器理解之其他適當協商機制)。在步驟310及315,使用該已協商之驗證機制,對用戶端驗證伺服器,且對伺服器驗證用戶端。
若在步驟320時,根據步驟310及/或步驟315在用戶端與伺服器之間的適當驗證已經達成,則在步驟330為了全部更多之流量而建立一共用密鑰(例如,共用金鑰)。然而,有利地,若在步驟320,在用戶端與伺服器之間未建立適當驗證,則不在步驟325建立通話,而避免較多計算費用及流量。在過去,例如,對於終端伺服器之過去具體實施例,因為總是在建立通話之後才執行驗證之嘗試,所以驗證之執行成本較為昂貴。相反地,根據本發明之Cred SSP協定,除非根據SPNEGO選定之驗證機制達成用戶端及伺服器之驗證,否則不在用戶端與伺服器之間建立通話,。
因此,假定在步驟320使用選定之驗證機制已完成適當驗證,在步驟330為用戶端與伺服器之間之全部更多流量建立一共用金鑰。然而,僅因為臨界(threshold)驗證已經發生,並不意味著伺服器必然受用戶端信任。因此,此處,儘管在用戶端與伺服器之間已經建立通話,但是可考量信任或不信任該伺服器。從而,使用本發明之群組策略335,在用戶端機器上之LSA Cred SSP在步驟340進行策略檢查以判定是否授權使用者身分碼。若不信任該伺服器,則在步驟345,不授權身分碼。若步驟340每次策略檢查信任伺服器關係,則在步驟350,驗證伺服器之公共金鑰以有助於避免“中間人(man-in-the-middle)”攻擊,其中流氓軟體物件模仿伺服器之行為及公共金鑰。因此,若在步驟350未驗證伺服器之公共金鑰,則在步驟355根據中間人攻擊之風險而不授權該身分碼。在步驟360,一加密格式適用於僅由LSA之受信任之子系統理解之身分碼。在步驟465,加密之身分碼自用戶端授權給伺服器。藉由製造出僅由LSA之一受信任子系統所理解的加密格式,有利地,本發明之LSA及Cred SSP之用戶端及伺服器上之呼叫應用程式不具有存取明文身分碼之不適當許可權。
第4圖作為例示性、非限制之流程圖說明本發明之身分碼授權協定之更詳細具體實施例。在步驟400,SSL/TLS訊號交握在用戶端與伺服器之間完成,且SSL/TLS加密金鑰KSSL/TLS
在用戶端與伺服器之間建立。Kpub
為伺服器憑證中之公共金鑰。接著,在步驟410,在加密之SSL/TLS通道上,用戶端及伺服器之相互驗證使用SPNEGO封裝完成。取決於用戶端/伺服器之信任關係,協商並使用Kerberos或NTLM封裝。注意在協商NTLM之情況下,伺服器證明已知用戶端之密碼,而在相同領域中之其他伺服器有權存取該密碼。在SPNEGO交握完成之後,Kspnego
為由兩端共用之Kerberos子通話或NTLM通話金鑰。
在步驟420,在用戶端機器上之LSA Cred SSP基於伺服器之服務主帳戶(SPN)、伺服器驗證資訊(PKI/KRB對NTLM)及群組策略設定而進行策略檢查以判定是否對伺服器授權使用者身分碼。接著,在430步驟,藉由執行以下例示性驗證交握查證KSSIV/TLS屬於目標伺服器而非中間人:C->S:{{Kpub
}Kspnego
}KSSL/TLS
S->C:{{Kpub+1
}KSpnego
}KSSL/TLS
注意KSSL/TLS
用於加密所有用戶端/伺服器通訊。此外,若不存在基於PKI之信任,則此伺服器驗證步驟可以Kerberos或NTLM為基礎。如上所述,將SSL/TLS驗證通道安全綁定至基於Kerberos驗證可於SSL/TLS之頂端上實現。換言之,本發明可安全地利用以Kerberos為基礎之身分碼,來驗證SSL/TLS協商主/通話金鑰,若在SSL/TLS用戶端與SSL/TLS伺服器之間無PKI信任,則其可能尤其有用。
最後,在步驟440,可根據以下之符號資料交換,以避免明文身分碼被除了本發明之受信任LSA子系統之外所檢閱之方式,將使用者身分碼(例如,密碼)授權給伺服器:C->S:{{Password}Kspnego
}KSSL/TLS
如上所述,例如,分別在第3圖及第4圖之步驟340(及組策略335)及步驟420中,利用該等策略控制並限制根據本發明之用戶端身分碼授權,以減輕大範圍之安全攻擊。如上文所提及的,本發明之LSA封裝提供SPNEGO協商、身分碼密碼技術/解密及身分碼轉遞。本發明之LSA封裝亦針對根據本發明界定之策略進行策略檢查。本發明之群組策略設定確保使用者身分碼不授權給未經認可之伺服器,例如,在流氓攻擊程式或遭受攻擊程式之管理控制下的機器。吾人應注意到,雖然在用戶端與伺服器之間可能存在著信任以促進驗證過程,例如,以PKI、Kerberos或NTLM驗證為基礎,但是此信任並不意味著目標伺服器受使用者身分碼信任。因此,本發明包括策略資訊以確保目標伺服器可由授權之身分碼信任。
第5圖為本發明之Cred SSP架構之一例示性、非限制方框圖,其能夠將來自用戶端之身分碼安全授權給伺服器,而不向該(等)呼叫應用程式曝露明文身分碼。類似於第1圖,Cred SSP按用戶端C及伺服器S上之一組兩個封裝實現一用戶端封裝及LSA端封裝。在用戶端C上,此轉化(translate)為用戶端Cred SSP及LSA端Cred SSP。在伺服器S上,此轉化為用戶端Cred SSP'及LSA端Cred SSP'。第5圖說明,根據本發明,使用者之明文身分碼從不儲存到或是可存取到一用戶端500的呼叫應用程式CA,該用戶端500係請求一伺服器510之伺服器應用程式、資源或服務ARS。或者。分割LSA之受信任子系統部分之虛線表示,僅LSA之受信任子系統部分有權存取使用者之明文身分碼,亦即,解密/加密能力。此外,如將於下文更詳細描述的,第5圖說明在用戶端機器上之LSA端Cred SSP諮詢本發明之群組策略GP。
在此點上,在下表III中所示之群組策略設定界定由使用者身分碼信任哪一個伺服器,其中每一設定為服務主帳戶(SPN)之清單;在一具體實施例中,允許使用萬用字元(wildcards)。如在字串辨識領域中之熟悉技術人士所可瞭解般,萬用字元係指字元,諸如'*
',其可代表SPN字母表中可允許之任何字元或字串。因此,根據本發明,例如,如在下表III中所示之群組策略(GP)設定中所界定,僅在對用戶端驗證伺服器且伺服器之SPN通過策略檢查之情況下,Cred SSP(用戶端)授權使用者身分碼。
授權在下表III中所界定之使用者身分碼之策略設定經設計以減輕多種攻擊,其包括(但不限於)表I所列之攻擊:1 特洛伊木馬病毒或惡意軟體可(例如)以受限使用者存取(LUA)模式而非管理模式運行於用戶端機器上。
2 預設GP設定對其他GP值可藉由管理員來組態(包括萬用字元之誤用)。
3 領域名稱服務(DNS)中毒。當用戶端判斷主機名時,可能與流氓伺服器通訊。
4 阻斷Kerberos金鑰分佈中心(KDC)上之服務攻擊。
表I-攻擊策略設定減輕之類型
取決於在用戶端與伺服器之間協商之驗證協定,如結合第3圖至第5圖及身分碼之類型所述,按照根據本發明界定之策略(定義於下表III之例示性、非限制形式中)應用於給定情況。第6圖展示根據本發明策略可以三種例示性類型之身分碼為基礎,其包括新鮮身分碼(Fresh Credentials)、預設身分碼(Default Credentials)及儲存身分碼(Saved Credentials)。新鮮身分碼為經由一身分碼使用者介面即時輸入之身分碼,諸如CredUI610。儲存身分碼為先前已作為新鮮身分碼輸入之身分碼,其由身分碼管理器儲存以便另外重新使用,諸如CredMan600,例如用於優先時段。自安全性觀點而言,認為儲存身分碼較新鮮身分碼為弱。預設身分碼更不安全,將暗示之名稱作為預設身分碼,在無使用其他身分碼之其他指令的情況下,其指定由LSA 620使用。舉例而言,預設身分碼可包括登入時輸入之身分碼。對於特定情況,預設身分碼可為較佳的,其無需提高之安全性,諸如特定網站身分碼。同樣,雖然較不安全,但是預設身分碼具有LSA 620立即可用之優點。因此,如第6圖所示,結合終端伺服器用戶端TSC之請求存在三種可利用之身分碼。表II闡述作為此例示性、非限制之具體實施例考慮之三種身分碼:新鮮的、儲存的及預設的。
新鮮身分碼 經由諸如CredUI之使用者介面收集之使用者身分碼,且直接傳送至SSPI(例如,傳入AcquireCredentialsHandle呼叫函數)。
預設身分碼 使用者第一次登入到系統時由使用者初始提供之身分碼(SSP可用)。
儲存之身分碼 使用者選定儲存於身分碼管理器中之特殊目標伺服器之身分碼(例如,CredMan)。
表II-身分碼類型
如上文所提及,下表III包括一例示性、非限制組之組策略(GP)設定,用於根據本發明控制/限制由用戶端將使用者身分碼授權給伺服器。如在電腦網路領域中之熟悉技術人士可瞭解般,Termsrv/*
代表一組SPN,其中服務為Termsrv且依向前之斜線正斜杠“/”之後命名之主機可為匹配*
萬用字元之任何目標伺服器。
表III-控制/限制使用者身分碼之組策略設定
總之,本發明之Cred SSP解決方案,藉由提供一組可用於控制並限制將來自用戶端之使用者身分碼授權給伺服器之策略,提供較過去更安全之解決方案。如表III之例示性、非限制組策略所說明,該等策略經設計以處理大範圍之攻擊,其包括運行於用戶端機器上之惡意軟體。另外,本發明之Cred SSP包括“預設安全”策略,其為經由策略設定按照預設啟用用戶端機器之特殊組態,以減輕大範圍之攻擊。此外,本發明之策略組適用於任何類型使用者身分碼之保護,其包括(但不限於)使用者帳戶/密碼、智慧卡PIN碼、一次密碼(OTP)等。本發明之Cred SSP對使用者之身份信任憑提供額外保護,因為從未給予伺服器或用戶端上(Cred SSP API)之呼叫應用程式存取明文身分碼之權利,且因為僅LSA之受信任之子系統有權存取明文身分碼。
在該領域中熟悉技術人士可瞭解,可結合任何電腦或其他用戶端或伺服器裝置實施本發明,其可部署為電腦網路之一部份,或部署於分散式計算環境中。在此點上,本發明屬於任何電腦系統或環境,其具有任何數量之記憶體或儲存單元及在任何數量儲存單元或體積上發生之任何數量之應用程式及處理程式,其可結合處理程式一起使用,以便根據本發明將來自用戶端之身分碼授權給伺服器。本發明可應用於具有部署於網路環境或分散式計算環境具有遠端或本地記憶體之伺服器電腦及用戶端電腦之環境。本發明亦可應用於獨立電腦裝置,其結合遠端或本地服務及處理程式具有產生、接收以及傳輸資訊之程式化語言功能性、解釋及執行能力。
分散式計算藉由在計算裝置與系統之間交握提供電腦資源及服務之共用。該等資源及服務包括資訊交握,諸如檔案之物件的快取儲存及磁碟儲存。分散式計算利用網路連接性之優點,允許用戶端調節其全部能量以有益於整個企業。在此點上,多種裝置可具有應用程式、物件或資源,其能夠含有將來自用戶端之身分碼授權給本發明之伺服器的系統及方法。
第7A圖提供例示性網路或分散式計算環境之示意圖。該分散式環境包含計算物件10a、10b等以及計算物件或裝置110a、110b、110c等。該等物件可包含程式、方法、資料儲存、可程式化邏輯等。該等物件可包含諸如PDA、音訊/視訊裝置、MP3播放器、個人電腦等之相同或不同裝置之一部分。每一物件可經由通訊網路14與另一物件通訊。此網路自身可包含對第7A圖之系統提供服務之計算物件及計算裝置,且其自身可代表多條互連網路。根據本發明之一態樣,每一物件10a、10b等或110a、110b、110c等可包含一應用程式,該應用程式可利用API或其他物件、軟體、韌體及/或硬體,該等物件適於與根據本發明將來自用戶端之身分碼授權給伺服器之系統及方法一起使用。
亦可瞭解,諸如110c之物件可駐留於另一電腦裝置10上a、10b等或110a、110b等上。因此,雖然所描述之實體環境可展示諸如電腦之連接裝置,但是此說明僅為例示性的且可另外描述該實體環境或所描述之實體環境包含諸如PAD、電視、MP3播放器等各種數位裝置、諸如介面、COM物件及其類似物之軟體物件。
存在支援分散式計算環境之多種系統、元件及網路組態。舉例而言,計算系統可藉由有線、無線系統、藉由本地網路或寬分散式網路連在一起。當前,許多網路耦接至網際網路,其提供用於廣泛地分散式計算之基礎結構且包含許多不同網路。基礎結構之任一者可根據本發明而用於例示性通訊,該例示性通訊係伴隨著將身分碼自用戶端授權給伺服器之步驟所產生。
在家用網路環境中,存在至少四種單獨之網路傳輸媒體,其每一者可支援一唯一(unique)協定,諸如電力線、資料(無線及有線)、語音(例如,電話)及娛樂媒體。大部分家用控制裝置,諸如電燈開關及電器可使用電力線連接。資料服務可隨寬頻進入家庭(例如,DSL或電纜數據機)且可於家中使用無線(例如,HomeRF或802.11B)或有線(例如,家用PNA、Cat 5,乙太網路、甚至電力線)連接存取。語音流量可以有線(例如,Cat 3)或無線(例如,行動電話)方式進入家庭且可使用Cat 3分佈於家中。娛樂媒體或其他影像資料可透過人造衛星或電纜進入家庭,且通常使用同軸電纜分佈於家中。IEEE 1394及DVI亦被數位互連以用於媒體裝置之叢集(cluster)。所有該等網路環境及按照協定標準可能出現或已經出現之其他裝置可互連以形成一網路,諸如企業內網路(intranet),其可經由廣域網路(諸如網際網路)連接至外部世界。簡言之,存在多種用於資料儲存及傳輸且隨後轉遞之來源,計算裝置將需要多種共用資料,諸如程式物件易於存取或利用之資料,諸如根據本發明將來自用戶端之身分碼授權給伺服器期間。
網際網路通常係指網路及閘道器之集合,其利用傳輸控制協定/網際網路協定(TCP/IP)之協定套件,其為電腦網路技術中眾所周知之協定。網際網路可描述為藉由執行網路協定之電腦互聯之地理分散式遠端電腦網路,其令使用者能夠經由網路互動並共用資訊。因為此普遍資訊共用,諸如網際網路之遠端網路通常已深入涉及開放式系統,藉此開發人員可設計軟體應用程式以便執行特殊操作或服務,而實際上不受限制。
因此,網路基礎結構啟用一群網路拓撲結構,諸如用戶端/伺服器、端對端或混合架構。“用戶端”為類別或群組之成員,其使用與本類別或群組無關之另一類別或群組之服務。因此,在計算中,用戶端為一處理程式,亦即,概略為一指令或任務之集合,其請求由另一程式提供之服務。用戶端處理程式利用所請求之服務,而無需“瞭解”其他程式或服務自身之任何工作細節。在用戶端/伺服器架構中,尤其網路系統,用戶端通常為存取由另一電腦(例如,伺服器)所提供之共用網路資源的電腦。儘管任何電腦可依據該等環境而被當作為用戶端、伺服器或兩者,但是在第7A圖之說明中,作為一示例,電腦110a、110b等被視為用戶端,而電腦10a、10b等可被視為伺服器,其中伺服器10a、10b等維持該接著複製到用戶端電腦110a、110b等之資料。該等計算裝置之任一者可處理資料或請求服務或任務,其可包含根據本發明將來自用戶端之身分碼授權給伺服器。
伺服器通常為可經由諸如網際網路端或本地網路存取之遠端電腦系統。用戶端處理程式在第一電腦系統中可為正在使用的,且伺服器處理程式在第二電腦系統中可為正在使用的,經由通訊媒體彼此通訊,從而提供分散式功能性且允許多用戶端利用伺服器之資訊聚集能力。根據將來自用戶端之身分碼授權給本發明之伺服器的技術所使用之任何軟體物件可分佈於多計算裝置或物件上。
用戶端及伺服器利用由協定層提供之功能性彼此通訊。舉例而言,超文件傳輸協定(HTTP)為用於與全球資訊網(WWW)或“the Web”連接之常用協定。通常,諸如網際網路協定(IP)位址之電腦網路位址或諸如全世界之資源定位器(URL)之其他參考位址可用於伺服器或用戶端彼此確認。網路位址可稱作URL位址。通訊可經由通訊媒體提供,例如,用戶端及伺服器可經由高容量通訊之TCP/IP連接彼此耦接。
因此,第7A圖說明一例示性網路或分散式環境,且伺服器經由一網路/匯流排與用戶端電腦通訊,其中可利用本發明。更詳細地,眾多伺服器10a、10b等根據本發明經由一通訊網路/匯流排14(其可為一區域網路、廣域網路、企業內網、網際網路等)與眾多用戶端或遠端計算裝置110a、110b、110c、110d、110e等(諸如攜帶型電腦、掌上型電腦、薄用戶端、網路設備)或其他裝置(諸如VCR、電視、烤箱、電燈、加熱器及其類似物)相互連接。從而吾人可思及到,本發明可應用於將使用者身分碼授權給伺服器有關之任何計算裝置。
在網路環境中,其中通訊網路/匯流排14為網際網路,例如,伺服器10a、10b等可為網路伺服器,用戶端110a、110b、110c、110d、110e等經由諸如HTTP之若干已知協定與其通訊。伺服器10a、10b等亦可充當用戶端110a、110b、110c、110d、110e等,因為其可能具有分散式計算環境之特性。
如上文所提及的,通訊可為有線或無線的,或若適用,可為兩者之組合。用戶端裝置110a、110b、110c、110d、110e等可經由或不經由通訊網路/匯流排14通訊,且可與其獨立通訊。舉例而言,在電視或VCR情況下,可能存在或不存在控制其之網路態樣。每一用戶端電腦110a、110b、110c、110d、110e等及伺服器電腦10a、10b等可配有各種應用程式程式模組或物件135a、135b、35c等,且與多種儲存元件或物件連接或存取多種儲存元件或物件,藉由該等儲存元件或物件可儲存檔案,或檔案或資料流之一部分可下載、傳輸或移入該等儲存元件或物件。電腦10a、10b、110a、110b等之任一或多者可能負責維護並更新資料庫20或其他儲存元件,諸如資料庫或記憶體20以便儲存根據本發明處理或儲存之資料。因此,本發明可用於具有用戶端電腦110a、110b之電腦網路環境中,該等用戶端電腦110a、110b可存取電腦網路/匯流排14及伺服器電腦10a、10b等且彼此互動,伺服器電腦10a、10b等可與用戶端電腦110a、110b等及其他之相似裝置以及資料庫20互動。
如上文所提及的,本發明適用於任何裝置,其中可希望保護裝置之主要應用程式能免受次要應用程式干擾。因此,吾人應瞭解到,該等掌上型、攜帶型及其他計算裝置以及所有類型之計算物件皆被考量作為與本發明有關之用途,亦即只要裝置可能希望將對授權給伺服器(例如,經由諸如手機之攜帶型裝置的GSM網路)。從而,下文在第7B圖中所述之以下通用遠端電腦僅為一示例,且本發明可藉由具有網路/匯流排互通性及互動之任何用戶端實施。因此,本發明可於網路提供服務之環境中實現,其中包含極少或最少之用戶端支援,例如其中用戶端資源僅充當網路/匯流排之介面之網路環境,諸如,置於設備中之物件。
儘管未要求,但是本發明僅經由作業系統部分實現,以便由服務開發人員用於裝置或物件,及/或包括在結合本發明之元件運行之應用程式軟體內。軟體可能描述於電腦可執行指令之常用內容中,諸如程式模組,其藉由一或多電腦執行,諸如用戶端工作站、伺服器或其他裝置。熟習此項技術者將瞭解,本發明可藉由其他電腦系統配置及協定實現。
第7B圖從而說明其中可實施本發明之適當計算系統環境100a之一示例,雖然上文已清楚描述,但是電腦系統環境100a僅為用於計算裝置之合適計算環境之一示例,且不欲對本發明之使用範疇或功能性提出任何限制。計算環境100a不應解釋為相對於例示性操作環境100a中所說明之元件之任一者或其組合具有任何從屬性或要求。
參看第7B圖,實施本發明之一例示性遠端裝置包括電腦110a形式之通用電腦裝置。電腦110a之元件可包括(但不限於)處理單元120a、系統記憶體130a及系統匯流排121a,其耦接包括至對處理單元120a之系統記憶體之各種系統元件。系統匯流排121a可誒幾種類型匯流排結構至任一類,包括某記憶體匯流排或記憶體控制器、周邊匯流排及使用各種匯流排結構之任一結構的局部匯流排。
電腦110a通常包括多種電腦可讀媒體。電腦可讀媒體可為能由電腦110a存取之任何可用媒體。藉由示例,而非限制,電腦可讀媒體可包含電腦儲存媒體及通訊媒體。電腦儲存媒體包括揮發性及非揮發性、可移除及非可移除媒體,該等媒體以任何方法或技術建構以便儲存諸如媒體可讀指令、資料結構、程式模組或其他資料之資訊。電腦儲存媒體包括(但不限於)RAM、ROM、EEPROM、快閃記憶體或其他記憶體技術、CDROM、數位化通用光碟(DVD)或其他光磁記憶體,磁性卡匣、磁帶、磁碟記憶體或其他磁性儲存裝置或可用於儲存由所需資訊或可由電腦110a存取之任何其他媒體。通訊媒體通常體現電腦可讀指令、資料結構、程式模組或諸如載波或其他傳輸機制之調變資料訊號中之其他資料,且包括任何資訊傳遞媒體。
系統記憶體130a可包括諸如惟讀記憶體(ROM)及/或隨機存取記憶體(RAM)之揮發性及/或非揮發性記憶體形式之電腦儲存媒體。包含基本常用程式以有助于在電腦110a內之元件之間傳遞資訊(諸如啟動期間)之基本輸入/輸出系統(BIOS),可儲存於記憶體130a中。記憶體130a通常亦包含資料及/或程式模組,其可藉由處理單元120a立即存取或臨時操作。藉由示例,而非限制,記憶體130a亦可包括作業系統、應用程式程式、其他程式模組及程式資料。
電腦110a亦可包括其他可移除/非可移除、揮發性/非揮發性電腦儲存媒體。舉例而言,電腦110a可包括:硬碟機,其可自非可移除、非揮發性磁性媒體讀取或寫入;磁碟機,其可自可移除、非揮發性磁碟讀取或寫入;及/或光碟機,其可自可移除、非揮發性光碟讀取或寫入,諸如CD-ROM或其他光學媒體。可用於例示性操作環境之其他可移除/非可移除、揮發性/非揮發性電腦儲存媒體包括(但不限於)盒式磁帶、快閃記憶卡、數位化通用光碟、數位錄影帶、固態RAM、固態ROM及其類似物。硬碟機通常經由諸如一介面之非可移除記憶體介面連接至系統匯流排121a且磁碟機或光碟機通常藉由諸如一介面之可移除記憶體介面連接至系統匯流排121a。
使用者可經由諸如鍵盤及點陣裝置(通常稱作滑鼠、軌跡球或觸控板)之輸入裝置將命令及資訊輸入電腦110a內。其他輸入裝置可包括麥克風、遊戲控制器、遊戲手把、衛星天線、掃描器或其類似物。該等及其他輸入裝置通常經由使用者輸入裝置140a及耦接至系統流排121a之相關介面連接至處理單元120a,且可經由其他介面及匯流排結構(諸如平行埠、遊戲埠或通用序列匯流排(USB))連接。圖形子系統亦可連接至系統匯流排121a。監視器或其他類型顯示裝置亦經由諸如輸出介面150a之一介面連接至系統匯流排121a,其又可與視訊記憶體連通。除監視器之外,電腦亦可包括其他周邊輸出裝置,諸如揚聲器及印表機,其可經由輸出介面150a連接。
電腦110a可使用至一或多其他遠端電腦之邏輯連接操作於一網路或分散式環境中,諸如遠端電腦170a之一或多其他遠端電腦又可具有不同於裝置110a之能力,諸如媒體能力。遠端電腦170a可為個人電腦、伺服器、路由器、網路PC、對等裝置或其他通常網路節點或任何其他遠端媒體消耗或傳輸裝置,且可包括任何或所有相關於電腦110a之以上所述元件。第7B圖所述之邏輯連接包括網路171a,諸如區域網路(LAN)或廣域網路(WAN),而亦可包括其他網路/匯流排。此等網路環境為家庭、辦公室、企業範圍之電腦網路、企業內網及網際網路中所常見。
當用於LAN網路環境中時,電腦110a經由網路介面或配接器連接至LAN 171a。當用於WAN網路環境中時,電腦110a通常包括網路元件(網卡、數據機等)或經由諸如網際網路之WAN建立通訊之其他構件。連接至可為內部或外部網路之網路的構件可經由使用者輸入裝置140a之輸入介面或其他適當結構連接至系統匯流排121a。在網路環境中,相對於電腦110a或其部分所描述之程式模組可儲存於一遠端記憶体儲存裝置中。應瞭解所顯示並描述之網路連接為例示性的,且可使用在電腦之間建立通訊連接之其他構件。
各種分散式計算架構已經且正在依據個人電腦及網際網路之收斂而研發。同樣地,提供了個體及企業使用者一種無縫地可相互運作(interoperable)及網站運用(Web-enabled)之介面以供應用程式及計算裝置之用,使網路流覽器或網路定向之計算活動率日益增加。
舉例而言,MICROSOFT管理之代碼平臺,亦即,.NET,包括伺服器,建塊(building-blocks)服務,諸如網站式之資料儲存及可下載之裝置軟體。大體而言,.NET平臺提供(1)使整個計算裝置範圍之一起工作並令使用者資訊自動更新且全部同步之能力,(2)藉由更多使用XML而不是HTML來增加網頁之互動能力,(3)線上服務,包括對來自中心起始點之產品及服務客製化特性存取並將其傳送給使用者以便管理諸如電子郵件之各種應用程式或諸如Office.NET之軟體,(4)集中資料儲存,其增加效率且易於存取資訊,以及在使用者及裝置當中使資訊同步化,(5)整合諸如電子郵件、傳真及電話之各種通訊媒體的能力,(6)對於開發人員,創建可重新使用之模組,藉此提高生產率並降低程式化錯誤數目及(7)許多其他跨平臺及語言整合功能。
儘管本文結合諸如駐留於計算裝置之應用程式程式化介面(API)之軟體描述了某些例示性具體實施例,但是本發明之一或多部分亦可經由以下各物建構:作業系統或“中間人”物件、控制物件、硬體、韌體、媒體語言指令或物件等,以使得根據本發明將來自用戶端身分碼授權給伺服器之方法可包括於、支援於所有由諸如.NET代碼之管理代碼啟用之語言及服務中或經由所有由諸如.NET代碼之管理代碼啟用之語言及服務存取,及其他分散式計算結構中。
存在實施本發明之多種方法,例如,適當API、工具包、驅動程式碼、作業系統控制器、單機或可下載之軟體物件等,其使應用程式及服務能夠使用該等系統及方法,以便將來自用戶端之身分碼授權給本發明之伺服器。本發明涵蓋來自API(或其他之軟體物件)之觀點以及來自根據本發明接收下載程式之軟體或硬體物件的本發明之用途。因此,本文所描述之本發明之各種具體實施例可具有多種態樣,其可整體實施於硬體,部分實施於硬體且部分實施於軟體以及軟體中。
根據上文所提及的,儘管已描述之本發明之例示性具體實施例係與各種計算裝置及網路架構有關,但是主要概念可應用於任何計算裝置或系統中,其係希望將來自用戶端之身分碼授權給伺服器。舉例而言,本發明之演算法及硬體實施可應用於一計算裝置之作業系統,該計算裝置可作為裝置上之一獨立物件、作為另一物件之一部份、作為可重新使用之控制器、作為來自伺服器之可下載物件、作為裝置或物件與網路之間之“中間人”、作為分散式物件、作為硬體、在記憶體中、前述之任一組合等。同時在此所選擇之例示性程式化語言、名稱及示例可代表各種選擇,但是該等語言、名稱及示例並未意圖作為限制之用。在該領域中熟悉技術人士將瞭解到存在著提供物件代碼及術語之眾多方法,而其可達成與本發明各種具體實施例所具有之功能性般相同、相似或等效之功能性。
如上文所提及的,本文所描述之各種技術可用與硬體或軟體或在適當時結合兩者之組合有關的方式來實施。因此,本發明之方法及設備或其某些態樣或部分可採取程式代碼(亦即,指令)形式,其體現與可觸式媒體中,諸如軟碟、CD-ROM、硬碟機或任何機器可讀儲存媒體,其中,當程式代碼載入於諸如電腦之機器或由其執行時,該機器成為實施本發明之設備。在程式代碼於可程式化電腦上執行之情況下,計算裝置通常包括處理器、由處理器可讀之儲存媒體(包括揮發性及非揮發性記憶體及/或儲存元件)、至少一輸入裝置及至少一輸出裝置。可實施或利用將來自用戶端之身分碼授權給本發明伺服器之方法(例如,通過使用資料處理API、可重新使用之控制器或其類似物)的一或多程式,以高階程序或物件導向程式語言所較佳地實施以與電腦系統通訊。然而,視需要,程式可實施於元件或機器語言中。在任何情況下,該語言可為編譯語言或翻譯語言,且與硬體實施結合。
本發明之方法及裝置亦可經由以程式代碼形式體現之通訊實施,該程式代碼經由某些傳輸媒體(諸如於電線或電纜上、經由光纖或經由任何其他形式傳輸)傳輸,其中當程式代碼接收並載入於機器上並由機器(諸如EPROM、閘陣列、可程式化邏輯裝置(PLD)、用戶端電腦等)執行時,該機器成為實施本發明之設備。當於通用處理器上實施時,程式代碼與處理器組合提供一唯一設備,其操作以啟用本發明之功能。另外,與本發明有關所使用之任何儲存技術始終為硬體與軟體之組合。
儘管結合各圖之較佳具體實施例描述了本發明,但是應瞭解,在不偏離本發明之情況下,可使用類似具體實施例或可對所述具體實施例多處修改及添加以執行本發明之相同功能。舉例而言,儘管在諸如端對端網路環境之網路環境情況下描述了本發明之例示性網路環境,但是熟習此項技術者將認識到本發明不限於此,且如本發明應用中所描述之方法可應用於任何計算裝置或環境,諸如遊戲主機、掌上型電腦、攜帶型電腦等,無論有線還是無線,且可應用於經由通訊網絡所連接之任何數量之此等計算裝置,且可經由該網路互動。此外,應強調本發明涵蓋各種電腦平臺,尤其隨著無線網路裝置之數量連續激增,其包括掌上型裝置作業系統及其他特殊應用作業系統。
儘管例示性具體實施例涉及將本發明用於特定程式化語言架構中,但是本發明不限於此,而是可實施於任何語言中以提供將來自用戶端之身分碼授權給伺服器之方法。更進一步,本發明可實施於複數個處理晶片或裝置中或實施於其上,且在複數個裝置上可類似影響記憶體。因此,本發明不應受限於任何單一具體實施例,而應解釋為處於根據附加申請專利範圍之寬度及範疇內。
Device D...裝置D
Client-Side_CredSSP Interface I1 Client-Side_CredSSP...介面I1
LSA_CredSSP Interface I2 LSA_CredSSP...介面I2
210...TS伺服器
220...處理程式邊界
250...TS伺服器
270...處理程式邊界
500...用戶端
Trusted Subsystem...受信任之子系統
510...伺服器
Terminal Server Client TSC...終端伺服器端TSC
600...身分碼管理器CredMan
610...身分碼使用者介面CredUI
620...本地安全性授權
10a...伺服器物件
10b...伺服器物件
14...通訊網路/匯流排
20...資料庫
110a...計算裝置
110b...計算裝置
110c...物件
110d...物件
110e...計算裝置
120a...處理單元
121a...系統匯流排
130a...系統記憶體
135a...應用程式模組或物件
135b...應用程式模組或物件
135c...應用程式模組或物件
135d...應用程式模組或物件
135e...應用程式模組或物件
150a...輸出裝置等顯示裝置
160a...網路介面
170a...遠端電腦
140a...輸入
以下將參看附圖進一步描述,在一網路計算環境中對單一登入及安全存取資源之策略導向、身分碼授權,其中:第1圖為本發明之身分碼安全支援提供者架構之一示意性方塊圖,其使來自用戶端之身分碼能夠安全授權給伺服器;第2A圖及第2B圖說明一用於將身分碼授權給一終端伺服器之身分碼安全支援提供者架構的例示性、非限制具體實施例。
第3圖為一由本發明之身分碼安全支援提供者架構利用之例示性、非限制之協定流程圖;第4圖為一由本發明之身分碼安全支援提供者架構利用之協定之例示性、非限制具體實施例的流程圖;第5圖為一身分碼安全支援提供者架構之示意性方塊圖,其基於根據本發明之組策略使來自用戶端之身分碼能夠安全授權給伺服器;第6圖為三種不同類型身分碼之示意性方塊圖,其可根據本發明之攻擊威脅認為係策略級;第7A圖為其中可實施本發明之一表示例示性網路環境之方塊圖;以及第7B圖為其中可實施本發明之一表示例示性非限制計算系統環境之方塊圖。
500...用戶端
510...伺服器
Claims (19)
- 一種用於在一網路計算環境中將來自一用戶端之使用者身分碼授權給一伺服器的方法,其包含以下步驟:在該網路計算環境中從一用戶端發送對一伺服器之一應用程式、一服務及一資源中之至少一者的一請求,該請求涉及從該用戶端到該伺服器之使用者身分碼授權;啟動該用戶端與該伺服器之間之一訊號交握,該訊號交握包括由該用戶端接收該伺服器的一公共金鑰(Kpub );與該伺服器協商以選擇在該用戶端與該伺服器之間共用之一驗證封裝,以將該驗證封裝當作在該用戶端與該伺服器之間驗證通訊之一驗證機制來使用;將該選定驗證封裝作為該驗證機制來使用以驗證該伺服器;根據該驗證步驟判定驗證是否已經發生,且僅當驗證已經發生時,則建立在該用戶端與該伺服器之間的一通話,該建立步驟包括建立一共用密鑰以用於在該用戶端與該伺服器之間所溝通之訊息的加密;在該用戶端上,接收該伺服器之一分級的一指示;在針對該請求傳輸該等使用者身分碼之前,根據為使用者身分碼所界定之至少一預定義策略來執行一策略檢查,以判定該伺服器是否可信任委以該等使用者身分碼,其中該至少一預定義策略係基於該所接收伺服器分級;藉由以下步驟來驗證該伺服器之該Kpub :以該共用密鑰來加密該Kpub ; 發送該經加密Kpub 給該伺服器;接收來自該伺服器的一回應;以及檢驗該回應包括以該共用密鑰所加密之(Kpub +1);以及若根據該至少一預定義策略該伺服器係可信任且該回應經檢驗,則將該等使用者身分碼傳輸至該伺服器以獲得從該用戶端對該伺服器之該所請求之應用程式、服務及資源之至少一者的存取。
- 如申請專利範圍第1項所述之方法,其中該至少一預定義策略為複數個策略,該等複數個策略用於控制並限制將來自一用戶端之使用者身分碼授權給一伺服器。
- 如申請專利範圍第2項所述之方法,其中該等複數個策略用於減輕大範圍攻擊,該等攻擊包括下列之至少一者:運行於該用戶端上之特洛伊木馬病毒或惡意軟體、預設群組策略設定及可由該用戶端之一管理員所組態之群組策略值、網域名稱服務(DNS)毒化(poisoning)以避免解析成一流氓伺服器(rogue server),與阻斷服務攻擊(denial of service attacks)。
- 如申請專利範圍第2項所述之方法,其中該等複數個策略包括基於該伺服器之服務主要名稱(SPN)之一清單而至少允許或拒絕授權的策略。
- 如申請專利範圍第1項所述之方法,其中執行該策略檢查之該步驟包括:根據基於該等使用者身分碼之一類型所界定之至少一預定義策略來進行一策略檢查。
- 如申請專利範圍第5項所述之方法,其中執行該策略檢查之該步驟包括:根據基於該等使用者身分碼為新鮮的(fresh)、儲存的還是預設身分碼所定義之至少一預定義策略來進行一策略檢查。
- 如申請專利範圍第1項所述之方法,其中傳輸該等使用者身分碼之該步驟包括:以一種格式來傳輸該等使用者身分碼,該格式為僅一本地安全性系統之一受信任子系統有權以明文格式存取該等使用者身分碼。
- 如申請專利範圍第7項所述之方法,其中執行該策略檢查之該步驟係藉由一本地安全性授權(LSA)執行,且該受信任之子系統為該LSA之一受信任子系統。
- 如申請專利範圍第1項所述之方法,其進一步包含:在該用戶端與該伺服器之間建立該通話之後,驗證該伺服器之一公共金鑰。
- 如申請專利範圍第1項所述之方法,其中該等步驟經由 一身分碼安全支援提供者元件所執行,該元件經由一安全支援提供者介面(SSPI)對發出請求之該用戶端為可用。
- 如申請專利範圍第1項所述之方法,其中該初始訊號交握為根據安全通訊端層(SSL)或傳輸層安全性(TLS)協定之一訊號交握。
- 如申請專利範圍第1項所述之方法,其中該協商步驟包括:使用簡單及受保護之通用安全服務應用程式介面(GSSAPI)協商機制(SPNEGO)協商方式來協商。
- 如申請專利範圍第1項所述之方法,其中該選定驗證封裝為一Kerberos或NT區域網路(LAN)管理器(NTLM)。
- 如申請專利範圍第1項所述之方法,其中該共用密鑰為一共用通話金鑰。
- 一種用戶端計算裝置,其包含:一身分碼安全支援提供者元件,該身分碼安全支援提供者元件用於在一網路計算環境中處理來自該用戶端計算裝置對一伺服器之一應用程式、一服務及一資源之至少一者的一請求,其中該請求涉及從該用戶端計算裝置到該伺服器之使用者身分碼授權;其中該身分碼安全支援提供者元件啟動該用戶端計算 裝置與該伺服器之間之一訊號交握,該訊號交握包括由該用戶端接收該伺服器的一公共金鑰(Kpub ),協商以選擇在該用戶端計算裝置與該伺服器間所共用之一安全支援提供者,以將該安全支援提供者當作一驗證封裝來使用以驗證在該用戶端計算裝置與該伺服器間的通訊,以及利用該驗證封裝來執行步驟以驗證該伺服器及該用戶端計算裝置;以及其中,僅在驗證已經發生之後,則該身分碼安全支援提供者元件進行下列步驟:建立在該用戶端計算裝置與該伺服器之間的一通話,並根據該通話建立一共用密鑰以用於在該用戶端計算裝置與該伺服器之間所傳送之訊息的加密,以及在接收到該伺服器之一分級的一指示之後立即根據至少一預定義策略來執行一策略檢查,該至少一預定義策略係用於控制並限制將來自該用戶端計算裝置之使用者身分碼授權给該伺服器,該策略檢查係基於該所接收之伺服器分級;以及藉由以下步驟來驗證該伺服器之該Kpub :以該共用密鑰來加密該Kpub ;發送該經加密Kpub 給該伺服器;接收來自該伺服器的一回應;以及檢驗該回應包括以該共用密鑰所加密之(Kpub +1);以及僅當該策略檢查通過且該回應經檢驗時,將該等使用者身分碼傳輸至該伺服器,以獲得從該用戶端計算裝置對該伺服器之該所請求之該應用程式、該服務及該資源之至少一者 之存取。
- 如申請專利範圍第15項所述之用戶端計算裝置,其中該身分碼安全支援提供者元件以一種格式傳輸該等使用者身分碼,該格式為一本地安全性授權(LSA)之一受信任之子系統能解碼成一明文格式。
- 如申請專利範圍第15項所述之用戶端計算裝置,其中該至少一預定義策略用於減輕大範圍攻擊之任一或更多者,該等攻擊包括運行於該用戶端計算裝置上之特洛伊木馬病毒或惡意軟體、預設群組策略設定及可由該用戶端計算裝置之一管理員所組態之群組策略值、網域名稱服務(DNS)毒化(poisoning)以避免解析成一流氓伺服器(rogue server),與阻斷服務攻擊。
- 如申請專利範圍第15項所述之用戶端計算裝置,其中該至少一預定義之策略包括基於該等使用者身分碼為新鮮的、儲存的還是預設身分碼之一授權策略。
- 一種在一網路計算環境中將來自一用戶端之使用者身分碼授權給一伺服器作為至一伺服器資源之一單一登入之部分的電腦實施系統,該系統包括:至少一處理器;以及一記憶體,該記憶體通訊耦合至該至少一處理器,且該 記憶體包含指令,當該等指令由該至少一處理器所執行時進行一方法,該方法包含下列步驟:在一網路計算環境中從一用戶端發送對一伺服器的一應用程式、一服務及一資源中之至少一者的一請求,該請求涉及從該用戶端到該伺服器的使用者身分碼授權;啟動在該用戶端與該伺服器之間之一訊號交握,該訊號交握包括由該用戶端接收該伺服器的一公共金鑰(Kpub );與該伺服器協商以選擇在該用戶端與該伺服器之間所共用之一驗證封裝,以將該驗證封裝作為在該用戶端與該伺服器間驗證通訊之一驗證機制來使用;將該選定驗證封裝作為該驗證機制來使用以驗證該伺服器;根據該驗證步驟來決定是否驗證已經發生,且只有當驗證已經發生時,才建立在該用戶端與伺服器之間的一通話,該建立步驟包括建立一共用密鑰以用於在該用戶端與該伺服器之間所傳送訊息的加密;在該用戶端上,接收該伺服器之一分級的一指示;在針對該請求傳輸該等使用者身分碼之前,根據為使用者身分碼所界定之至少一預定義策略來執行一策略檢查,以判定該伺服器是否可信任委以該等使用者身分碼,其中該至少一預定義策略係基於該所接收伺服器分級; 藉由以下步驟來驗證該伺服器之該Kpub :以該共用密鑰來加密該Kpub ;發送該經加密Kpub 給該伺服器;接收來自該伺服器的一回應;以及檢驗該回應包括以該共用密鑰所加密之(Kpub +1);以及若根據該至少一預定義策略該伺服器能被信任且該回應經檢驗,則將該等使用者身分碼傳輸給該伺服器以獲得從該用戶端對該伺服器之該所請求之應用程式、服務及資源的至少一者之存取。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/441,588 US7913084B2 (en) | 2006-05-26 | 2006-05-26 | Policy driven, credential delegation for single sign on and secure access to network resources |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200810488A TW200810488A (en) | 2008-02-16 |
TWI439103B true TWI439103B (zh) | 2014-05-21 |
Family
ID=38750973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW096116547A TWI439103B (zh) | 2006-05-26 | 2007-05-09 | 網路資源之單一登入以及安全存取的政策導向憑證授權 |
Country Status (17)
Country | Link |
---|---|
US (1) | US7913084B2 (zh) |
EP (1) | EP2021938B1 (zh) |
JP (1) | JP5139423B2 (zh) |
KR (1) | KR101414312B1 (zh) |
CN (1) | CN101449257B (zh) |
AU (1) | AU2007267836B2 (zh) |
BR (1) | BRPI0711702A2 (zh) |
CA (1) | CA2654381C (zh) |
CL (1) | CL2007001510A1 (zh) |
IL (1) | IL194962A (zh) |
MX (1) | MX2008014855A (zh) |
MY (1) | MY148801A (zh) |
NO (1) | NO20084500L (zh) |
RU (1) | RU2439692C2 (zh) |
TW (1) | TWI439103B (zh) |
WO (1) | WO2007139944A2 (zh) |
ZA (1) | ZA200809318B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI746920B (zh) * | 2019-01-04 | 2021-11-21 | 臺灣網路認證股份有限公司 | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 |
TWI791144B (zh) * | 2020-03-17 | 2023-02-01 | 林金源 | 具會員身分等級之帳號管理系統 |
Families Citing this family (127)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
US7305700B2 (en) | 2002-01-08 | 2007-12-04 | Seven Networks, Inc. | Secure transport for mobile communication network |
US7742582B2 (en) | 2005-02-17 | 2010-06-22 | Core Systems (Ni) Limited | Offender message delivery system |
US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
US8028325B2 (en) * | 2005-08-08 | 2011-09-27 | AOL, Inc. | Invocation of a third party's service |
US7792792B2 (en) * | 2006-05-22 | 2010-09-07 | Microsoft Corporation | Synchronizing structured web site contents |
JP2008052578A (ja) * | 2006-08-25 | 2008-03-06 | Seiko Epson Corp | アクセス制御装置、画像表示装置及びプログラム |
US8467527B2 (en) | 2008-12-03 | 2013-06-18 | Intel Corporation | Efficient key derivation for end-to-end network security with traffic visibility |
US8528058B2 (en) * | 2007-05-31 | 2013-09-03 | Microsoft Corporation | Native use of web service protocols and claims in server authentication |
US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
US8291481B2 (en) * | 2007-09-18 | 2012-10-16 | Microsoft Corporation | Sessionless redirection in terminal services |
US8387130B2 (en) * | 2007-12-10 | 2013-02-26 | Emc Corporation | Authenticated service virtualization |
US8539568B1 (en) | 2007-10-03 | 2013-09-17 | Courion Corporation | Identity map creation |
US8601562B2 (en) * | 2007-12-10 | 2013-12-03 | Courion Corporation | Policy enforcement using ESSO |
US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
US8434149B1 (en) * | 2007-12-21 | 2013-04-30 | Symantec Corporation | Method and apparatus for identifying web attacks |
US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
US9218469B2 (en) * | 2008-04-25 | 2015-12-22 | Hewlett Packard Enterprise Development Lp | System and method for installing authentication credentials on a network device |
US8943560B2 (en) * | 2008-05-28 | 2015-01-27 | Microsoft Corporation | Techniques to provision and manage a digital telephone to authenticate with a network |
US8799630B2 (en) * | 2008-06-26 | 2014-08-05 | Microsoft Corporation | Advanced security negotiation protocol |
TW201011587A (en) * | 2008-09-03 | 2010-03-16 | Wayi Internat Digital Entertainment Co Ltd | Computer tied-in system and its method |
US7941549B2 (en) * | 2008-09-16 | 2011-05-10 | Microsoft Corporation | Protocol exchange and policy enforcement for a terminal server session |
US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
US8413210B2 (en) * | 2008-12-09 | 2013-04-02 | Microsoft Corporation | Credential sharing between multiple client applications |
US20100175113A1 (en) * | 2009-01-05 | 2010-07-08 | International Business Machine Corporation | Secure System Access Without Password Sharing |
US8844040B2 (en) * | 2009-03-20 | 2014-09-23 | Citrix Systems, Inc. | Systems and methods for using end point auditing in connection with traffic management |
US8458732B2 (en) * | 2009-08-19 | 2013-06-04 | Core Systems (Ni) Limited | Inmate information center for correctional facility processing |
US8555054B2 (en) | 2009-10-12 | 2013-10-08 | Palo Alto Research Center Incorporated | Apparatus and methods for protecting network resources |
US8156546B2 (en) * | 2009-10-29 | 2012-04-10 | Satyam Computer Services Limited Of Mayfair Centre | System and method for flying squad re authentication of enterprise users |
TW201126371A (en) * | 2010-01-27 | 2011-08-01 | Hui Lin | Online gaming authentication framework and method |
US20110231670A1 (en) * | 2010-03-16 | 2011-09-22 | Shevchenko Oleksiy Yu | Secure access device for cloud computing |
KR101102855B1 (ko) * | 2010-04-26 | 2012-01-10 | 엔에이치엔(주) | 게임 클라이언트 독립적인 게임 인증을 제공하기 위한 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 |
US9160738B2 (en) | 2010-05-27 | 2015-10-13 | Microsoft Corporation | Delegation-based authorization |
US8688994B2 (en) | 2010-06-25 | 2014-04-01 | Microsoft Corporation | Federation among services for supporting virtual-network overlays |
US20120017274A1 (en) * | 2010-07-15 | 2012-01-19 | Mcafee, Inc. | Web scanning site map annotation |
US9043433B2 (en) | 2010-07-26 | 2015-05-26 | Seven Networks, Inc. | Mobile network traffic coordination across multiple applications |
US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
US8505083B2 (en) | 2010-09-30 | 2013-08-06 | Microsoft Corporation | Remote resources single sign on |
JP5620781B2 (ja) * | 2010-10-14 | 2014-11-05 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
GB2500327B (en) | 2010-11-22 | 2019-11-06 | Seven Networks Llc | Optimization of resource polling intervals to satisfy mobile device requests |
AU2010246354B1 (en) * | 2010-11-22 | 2011-11-03 | Microsoft Technology Licensing, Llc | Back-end constrained delegation model |
US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
US9258312B1 (en) | 2010-12-06 | 2016-02-09 | Amazon Technologies, Inc. | Distributed policy enforcement with verification mode |
WO2012091948A2 (en) * | 2010-12-28 | 2012-07-05 | Citrix Systems, Inc. | Systems and methods for database proxy request switching |
GB2501416B (en) | 2011-01-07 | 2018-03-21 | Seven Networks Llc | System and method for reduction of mobile network traffic used for domain name system (DNS) queries |
US20120254972A1 (en) * | 2011-04-04 | 2012-10-04 | International Business Machines Corporation | Trust system |
GB2505103B (en) | 2011-04-19 | 2014-10-22 | Seven Networks Inc | Social caching for device resource sharing and management cross-reference to related applications |
US8621075B2 (en) | 2011-04-27 | 2013-12-31 | Seven Metworks, Inc. | Detecting and preserving state for satisfying application requests in a distributed proxy and cache system |
US20120278431A1 (en) | 2011-04-27 | 2012-11-01 | Michael Luna | Mobile device which offloads requests made by a mobile application to a remote entity for conservation of mobile device and network resources and methods therefor |
US8973108B1 (en) | 2011-05-31 | 2015-03-03 | Amazon Technologies, Inc. | Use of metadata for computing resource access |
US8769642B1 (en) * | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
DE102011077218B4 (de) | 2011-06-08 | 2023-12-14 | Servicenow, Inc. | Zugriff auf in einer Cloud gespeicherte Daten |
US8719571B2 (en) * | 2011-08-25 | 2014-05-06 | Netapp, Inc. | Systems and methods for providing secure multicast intra-cluster communication |
US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
US9038155B2 (en) | 2011-12-02 | 2015-05-19 | University Of Tulsa | Auditable multiclaim security token |
US8918503B2 (en) | 2011-12-06 | 2014-12-23 | Seven Networks, Inc. | Optimization of mobile traffic directed to private networks and operator configurability thereof |
EP2789138B1 (en) | 2011-12-06 | 2016-09-14 | Seven Networks, LLC | A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation |
GB2498064A (en) | 2011-12-07 | 2013-07-03 | Seven Networks Inc | Distributed content caching mechanism using a network operator proxy |
US9277443B2 (en) | 2011-12-07 | 2016-03-01 | Seven Networks, Llc | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
WO2013090821A1 (en) * | 2011-12-14 | 2013-06-20 | Seven Networks, Inc. | Hierarchies and categories for management and deployment of policies for distributed wireless traffic optimization |
WO2013090212A1 (en) | 2011-12-14 | 2013-06-20 | Seven Networks, Inc. | Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system |
EP2801236A4 (en) | 2012-01-05 | 2015-10-21 | Seven Networks Inc | DETECTION AND MANAGEMENT OF USER INTERACTIONS WITH FRONT PANEL APPLICATIONS ON A MOBILE DEVICE IN DISTRIBUTED CACHE STORES |
US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
US10263899B2 (en) | 2012-04-10 | 2019-04-16 | Seven Networks, Llc | Enhanced customer service for mobile carriers using real-time and historical mobile application and traffic or optimization data associated with mobile devices in a mobile network |
US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
US8775631B2 (en) | 2012-07-13 | 2014-07-08 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
US9176838B2 (en) * | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
US9307493B2 (en) | 2012-12-20 | 2016-04-05 | Seven Networks, Llc | Systems and methods for application management of mobile device radio state promotion and demotion |
US9271238B2 (en) | 2013-01-23 | 2016-02-23 | Seven Networks, Llc | Application or context aware fast dormancy |
US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
US9326185B2 (en) | 2013-03-11 | 2016-04-26 | Seven Networks, Llc | Mobile network congestion recognition for optimization of mobile traffic |
US20140366128A1 (en) * | 2013-05-30 | 2014-12-11 | Vinky P. Venkateswaran | Adaptive authentication systems and methods |
US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
CN104468074A (zh) * | 2013-09-18 | 2015-03-25 | 北京三星通信技术研究有限公司 | 应用程序之间认证的方法及设备 |
US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
US9112846B2 (en) * | 2013-10-11 | 2015-08-18 | Centrify Corporation | Method and apparatus for transmitting additional authorization data via GSSAPI |
US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
US10575347B2 (en) | 2013-11-04 | 2020-02-25 | Microsoft Technology Licensing, Llc | Delivery of shared WiFi credentials |
US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
US9262642B1 (en) | 2014-01-13 | 2016-02-16 | Amazon Technologies, Inc. | Adaptive client-aware session security as a service |
US9467441B2 (en) * | 2014-02-25 | 2016-10-11 | Dell Products, L.P. | Secure service delegator |
US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
US9413738B2 (en) * | 2014-06-19 | 2016-08-09 | Microsoft Technology Licensing, Llc | Securing communications with enhanced media platforms |
US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
US11275861B2 (en) * | 2014-07-25 | 2022-03-15 | Fisher-Rosemount Systems, Inc. | Process control software security architecture based on least privileges |
US9942229B2 (en) * | 2014-10-03 | 2018-04-10 | Gopro, Inc. | Authenticating a limited input device via an authenticated application |
US10225245B2 (en) * | 2014-11-18 | 2019-03-05 | Auth0, Inc. | Identity infrastructure as a service |
TW201619866A (zh) | 2014-11-20 | 2016-06-01 | 萬國商業機器公司 | 客製化資訊設備的方法 |
CN104660583B (zh) * | 2014-12-29 | 2018-05-29 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
CN104780154B (zh) | 2015-03-13 | 2018-06-19 | 小米科技有限责任公司 | 设备绑定方法和装置 |
TWI563412B (en) * | 2015-04-30 | 2016-12-21 | Taiwan Ca Inc | System for using trust token to make application obtain digital certificate signature from another application on device and method thereof |
US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
WO2017079980A1 (zh) * | 2015-11-13 | 2017-05-18 | 华为技术有限公司 | 一种计费欺诈的检测方法及装置 |
US10075424B2 (en) * | 2016-03-28 | 2018-09-11 | Airwatch Llc | Application authentication wrapper |
CN106101054A (zh) * | 2016-04-29 | 2016-11-09 | 乐视控股(北京)有限公司 | 一种多系统的单点登录方法和集中管控系统 |
US10372484B2 (en) * | 2016-06-27 | 2019-08-06 | Microsoft Technology Licensing, Llc | Secured computing system |
US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
US10387681B2 (en) * | 2017-03-20 | 2019-08-20 | Huawei Technologies Co., Ltd. | Methods and apparatus for controlling access to secure computing resources |
RU2658894C1 (ru) * | 2017-07-26 | 2018-06-25 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ управления доступом к данным с защитой учетных записей пользователей |
CN107451477A (zh) * | 2017-07-28 | 2017-12-08 | 腾讯科技(深圳)有限公司 | 一种恶意程序检测的方法、相关装置及系统 |
US11032287B1 (en) * | 2018-07-02 | 2021-06-08 | Amazon Technologies, Inc. | Delegated administrator with defined permission boundaries in a permission boundary policy attachment for web services and resources |
CN110971576A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种安全认证的方法和相关装置 |
WO2020073267A1 (en) * | 2018-10-11 | 2020-04-16 | Entit Software Llc | Asymmetric-man-in-the-middle capture based application sharing protocol traffic recordation |
US11477239B1 (en) * | 2018-10-16 | 2022-10-18 | Styra, Inc. | Simulating policies for authorizing an API |
US11038881B2 (en) * | 2018-11-01 | 2021-06-15 | Cisco Technology, Inc. | Anonymously generating an encrypted session for a client device in a wireless network |
US11258756B2 (en) * | 2018-11-14 | 2022-02-22 | Citrix Systems, Inc. | Authenticating to a hybrid cloud using intranet connectivity as silent authentication factor |
US11323480B2 (en) * | 2019-05-07 | 2022-05-03 | Cisco Technology, Inc. | Policy enforcement and introspection on an authentication system |
CN112887359B (zh) * | 2020-12-31 | 2022-12-02 | 北京思特奇信息技术股份有限公司 | 一种跨域session共享方法及系统 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7228291B2 (en) * | 2000-03-07 | 2007-06-05 | International Business Machines Corporation | Automated trust negotiation |
US20020150253A1 (en) * | 2001-04-12 | 2002-10-17 | Brezak John E. | Methods and arrangements for protecting information in forwarded authentication messages |
US7243370B2 (en) * | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
CN1400779A (zh) * | 2001-08-06 | 2003-03-05 | 平实数位股份有限公司 | 具有安全性的网络交易方法 |
KR20030033630A (ko) * | 2001-10-24 | 2003-05-01 | 주식회사 오앤이시스템 | 커버로스 기반의 인증에이전트를 이용한 단일인증 시스템 |
US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
JP2005123996A (ja) * | 2003-10-17 | 2005-05-12 | National Institute Of Information & Communication Technology | デバイス間において認証用情報を委譲する情報処理方法及び情報処理システム |
WO2005043282A2 (en) * | 2003-10-31 | 2005-05-12 | Electronics And Telecommunications Research Institute | Method for authenticating subscriber station, method for configuring protocol thereof, and apparatus thereof in wireless portable internet system |
CN1635738A (zh) * | 2003-12-26 | 2005-07-06 | 鸿富锦精密工业(深圳)有限公司 | 通用认证授权服务系统及方法 |
US7181761B2 (en) * | 2004-03-26 | 2007-02-20 | Micosoft Corporation | Rights management inter-entity message policies and enforcement |
US20090055642A1 (en) * | 2004-06-21 | 2009-02-26 | Steven Myers | Method, system and computer program for protecting user credentials against security attacks |
IL165416A0 (en) * | 2004-11-28 | 2006-01-15 | Objective data regarding network resources |
-
2006
- 2006-05-26 US US11/441,588 patent/US7913084B2/en active Active
-
2007
- 2007-05-09 TW TW096116547A patent/TWI439103B/zh not_active IP Right Cessation
- 2007-05-25 AU AU2007267836A patent/AU2007267836B2/en active Active
- 2007-05-25 RU RU2008146517/08A patent/RU2439692C2/ru active
- 2007-05-25 CN CN2007800188076A patent/CN101449257B/zh active Active
- 2007-05-25 CA CA2654381A patent/CA2654381C/en active Active
- 2007-05-25 MX MX2008014855A patent/MX2008014855A/es active IP Right Grant
- 2007-05-25 MY MYPI20084402A patent/MY148801A/en unknown
- 2007-05-25 EP EP07809190.7A patent/EP2021938B1/en active Active
- 2007-05-25 CL CL2007001510A patent/CL2007001510A1/es unknown
- 2007-05-25 WO PCT/US2007/012512 patent/WO2007139944A2/en active Application Filing
- 2007-05-25 JP JP2009512167A patent/JP5139423B2/ja active Active
- 2007-05-25 KR KR1020087028345A patent/KR101414312B1/ko active IP Right Grant
- 2007-05-25 BR BRPI0711702-7A patent/BRPI0711702A2/pt not_active Application Discontinuation
-
2008
- 2008-10-27 NO NO20084500A patent/NO20084500L/no unknown
- 2008-10-28 IL IL194962A patent/IL194962A/en active IP Right Grant
- 2008-10-30 ZA ZA2008/09318A patent/ZA200809318B/en unknown
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI746920B (zh) * | 2019-01-04 | 2021-11-21 | 臺灣網路認證股份有限公司 | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 |
TWI791144B (zh) * | 2020-03-17 | 2023-02-01 | 林金源 | 具會員身分等級之帳號管理系統 |
Also Published As
Publication number | Publication date |
---|---|
TW200810488A (en) | 2008-02-16 |
CA2654381A1 (en) | 2007-12-06 |
EP2021938A4 (en) | 2012-04-04 |
BRPI0711702A2 (pt) | 2011-11-29 |
MX2008014855A (es) | 2008-12-01 |
ZA200809318B (en) | 2010-02-24 |
CN101449257A (zh) | 2009-06-03 |
KR20090012244A (ko) | 2009-02-02 |
JP2009538478A (ja) | 2009-11-05 |
JP5139423B2 (ja) | 2013-02-06 |
IL194962A0 (en) | 2009-08-03 |
RU2439692C2 (ru) | 2012-01-10 |
AU2007267836A1 (en) | 2007-12-06 |
CL2007001510A1 (es) | 2008-01-25 |
RU2008146517A (ru) | 2010-05-27 |
KR101414312B1 (ko) | 2014-07-04 |
EP2021938B1 (en) | 2014-01-01 |
US20070277231A1 (en) | 2007-11-29 |
WO2007139944A3 (en) | 2008-02-14 |
CN101449257B (zh) | 2011-05-11 |
CA2654381C (en) | 2016-11-01 |
NO20084500L (no) | 2008-11-26 |
IL194962A (en) | 2014-03-31 |
WO2007139944A2 (en) | 2007-12-06 |
AU2007267836B2 (en) | 2011-08-25 |
MY148801A (en) | 2013-05-31 |
EP2021938A2 (en) | 2009-02-11 |
US7913084B2 (en) | 2011-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI439103B (zh) | 網路資源之單一登入以及安全存取的政策導向憑證授權 | |
KR101150108B1 (ko) | 피어-투-피어 인증 및 허가 | |
JP4917233B2 (ja) | 動的ネットワークにおけるセキュリティリンク管理 | |
JP5038531B2 (ja) | 信頼できる機器に限定した認証 | |
US8301876B2 (en) | Techniques for secure network communication | |
US7941549B2 (en) | Protocol exchange and policy enforcement for a terminal server session | |
EP3132559B1 (en) | Automatic log-in and log-out of a session with session sharing | |
US20210409403A1 (en) | Service to service ssh with authentication and ssh session reauthentication | |
US20090052675A1 (en) | Secure remote support automation process | |
JP7145308B2 (ja) | コンピューティング環境でオンプレミスの秘密を複製する安全な方法 | |
Raghunathan et al. | Secure agent computation: X. 509 Proxy Certificates in a multi-lingual agent framework | |
Raghunathan | A security model for mobile agent environments using X. 509 proxy certificates | |
Talaviya et al. | Security Assessment OAuth 2.0 System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |