TWI468977B - 認證系統、認證方法與網路儲存裝置 - Google Patents
認證系統、認證方法與網路儲存裝置 Download PDFInfo
- Publication number
- TWI468977B TWI468977B TW101112819A TW101112819A TWI468977B TW I468977 B TWI468977 B TW I468977B TW 101112819 A TW101112819 A TW 101112819A TW 101112819 A TW101112819 A TW 101112819A TW I468977 B TWI468977 B TW I468977B
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- storage device
- data
- network storage
- encrypted data
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本發明是有關於一種認證技術,且特別是有關於一種透過網路儲存裝置進行單一認證(Unified authentication)的系統與方法。
在現今區域網路高普及率的時代,架構一台內部電腦裝置之間可互相連結的網路儲存裝置,使得企業內部各電腦裝置可利用區域網路之連線來擷取在網路儲存裝置中所儲存之檔案或資料,網路儲存裝置更可使各異質平台或系統的客戶端及伺服端達到檔案共享的目的。為了資料存取的安全性,使用者必須透過已授權的帳號密碼來登入網路儲存裝置。由於不同種類的資料存取技術係使用不同的認證協定,換句話說,網路儲存裝置須使用不同的帳戶資料庫來進行帳號密碼的認證。
舉例來說,圖1繪示為一種認證系統的示意圖。認證系統100包括網路小型計算機系統介面(Internet Small Computer System Interface,iSCSI)發起端(Initiator)112、網路文件共享系統(Common Internet File System,CIFS)客戶端114、網路儲存裝置120以及目錄伺服器(Directory server)130。當iSCSI發起端112透過資料流1向iSCSI目標端(Target)122請求連線時,iSCSI目標端122藉由資料流2向網路儲存裝置120的本地端帳戶資料庫126請求比對認證。當CIFS客戶端114透過資料流4向CIFS伺服器124請求連線時,CIFS伺服器124必須透過資料流5向目錄伺服器130的遠端帳戶資料庫132請求比對認證。
同一使用者使用網路儲存裝置120所提供的不同種類服務,必須與相對應的帳戶資料庫進行認證。當使用者進行密碼的更改時,使用者並不知道是更改了本地端帳戶資料庫126的資料亦或是更改了遠端帳戶資料庫132的資料。在本地端帳戶資料庫126與遠端帳戶資料庫132的帳號密碼不同步的情況下,使用者容易輸入錯誤的帳號密碼,導致認證失敗、拒絕存取的情況發生。對於網路系統管理人員來說,須花費許多時間來同時維護本地端帳戶資料庫126以及遠端帳戶資料庫132的帳戶資訊,極為不便。
有鑑於此,本發明提供一種認證系統及其認證方法,不論選擇何種類型的資料存取服務,使用者僅須使用同一組帳號密碼來執行登入認證的動作。
本發明提供一種網路儲存裝置,可讓使用者設定統一由遠端帳戶資料庫來進行認證比對或者統一由本地端帳戶資料庫進行認證比對
本發明提出一種認證系統,其包括客戶端電子裝置、具有認證代理伺服器(Authentication proxy)的網路儲存裝置以及具有認證服務模組與帳戶資料庫的目錄伺服器。其中,客戶端電子裝置選擇一種資料存取服務並傳送認證所需的第一加密資料與使用者資料至網路儲存裝置。網路儲存裝置的認證代理伺服器將第一加密資料與使用者資料包裝(Pack)為認證登入訊息並傳送至目錄伺服器。其中,目錄伺服器的認證服務模組接收認證登入訊息,認證服務模組依據對應的認證服務協定與帳戶資料庫中對應的帳戶資訊進行解密與比對,藉以判斷認證是否成功,之後傳送認證回覆(Authentication response)至網路儲存裝置。
在本發明之一實施例中,上述之客戶端電子裝置更傳送認證請求至網路儲存裝置。網路儲存裝置接收並依據此認證請求選擇一種認證協定(Authentication protocol),並且傳送此認證協定所需的一或多個參數至客戶端電子裝置。
在本發明之一實施例中,上述之客戶端電子裝置使用雜湊(Hashing)演算法對上述參數以及使用者所輸入的密碼進行加密,以產生第一加密資料。其中網路儲存裝置的認證代理伺服器將第一加密資料、上述參數以及使用者資料包裝為認證登入訊息並傳送給目錄伺服器。
在本發明之一實施例中,上述之認證服務模組自帳戶資料庫中選取對應使用者資料的一密碼,並依據相同的雜湊演算法對上述參數以及此密碼進行加密,以產生第二加密資料。認證服務模組藉由比對第一加密資料與第二加密資料來判斷認證是否成功。
在本發明之一實施例中,上述之認證服務模組判斷第一加密資料相同於第二加密資料,則傳送正向回覆(Positive response)至網路儲存裝置;認證服務模組判斷第一加密資料不同於第二加密資料,則傳送負向回覆(Negative response)至網路儲存裝置。
在本發明之一實施例中,上述之資料存取服務包括網路小型計算機系統介面(Internet Small Computer System Interface,iSCSI)、網路文件共享系統(Common Internet File System,CIFS)、文件傳輸協定(File Transfer Protocol,FTP)、蘋果文件協定(Apple Filing Protocol,AFP)、超文本傳輸協定(HyperText Transfer Protocol,HTTP)或網路檔案系統(Network File System,NFS)其中之一。
在本發明之一實施例中,上述之目錄伺服器為微軟視窗(Windows)作業系統的動態目錄(Active Directory,AD)伺服器。
在本發明之一實施例中,上述之認證協定包括挑戰握手協定(Challenge-Handshake Authentication Protocol,CHAP)、安全認證協定(Kerberos Protocol)、新技術區域網路管理(New Technology LAN Manager,NTLM)、摘要式存取認證(Digest Access Authentication)、明碼(Clear-text password)或密碼(Encrypted password)其中之一。
本發明另提出一種網路儲存裝置,其包括認證代理伺服器,係用以將來自客戶端電子裝置的加密資料與使用者資料包裝為認證登入訊息,並將此認證登入訊息傳送至目錄伺服器。認證代理伺服器並從目錄伺服器接收用以表示認證是否成功的認證回覆,並將認證結果傳送給客戶端電子裝置。
在本發明之一實施例中,上述之網路儲存裝置更包括耦接至認證代理伺服器的一或多個檔案伺服器。檔案伺服器適於依據客戶端電子裝置所選擇的資料存取服務對應接收認證所需的加密資料與使用者資料,並將加密資料與使用者資料傳送給認證代理伺服器進行包裝。
在本發明之一實施例中,上述之網路儲存裝置為一種具有網路附加儲存(Network Attached Storage,NAS)技術的儲存裝置。
本發明又提出一種認證方法,適用於具有客戶端電子裝置、網路儲存裝置以及目錄伺服器的認證系統。認證方法包括下列步驟。先在網路儲存裝置中配置認證代理伺服器,並在目錄伺服器中配置認證服務模組與帳戶資料庫。藉由客戶端電子裝置選擇一種資料存取服務並傳送認證所需的加密資料與使用者資料至網路儲存裝置。藉由網路儲存裝置的認證代理伺服器將加密資料與使用者資料包裝為認證登入訊息,並將認證登入訊息傳送至目錄伺服器。藉由目錄伺服器的認證服務模組接收認證登入訊息,其中認證服務模組依據對應的認證服務協定與帳戶資料庫中對應的帳戶資訊進行解密與比對,藉以判斷認證是否成功,之後傳送認證回覆至網路儲存裝置。
基於上述,本發明所提供之認證系統及認證方法,藉由網路儲存裝置中認證代理伺服器以及目錄伺服器中的認證服務模組之運作,而可讓本發明之認證系統僅需使用一個帳戶資料庫即可對不同類型的資料存取服務進行認證比對。
為讓本發明之上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
圖2是依照本發明一實施例所繪示之認證系統的方塊圖。請參照圖2,認證系統200包括客戶端電子裝置210、網路儲存裝置220以及目錄伺服器230。其功能分述如下:客戶端電子裝置210例如是可透過乙太網路連結至網路儲存裝置220的個人電腦、筆記型電腦、平板電腦或工作站等,在此不限制。客戶端電子裝置210可選擇透過不同的資料存取服務來進行檔案或資料的傳輸,然而在進行檔案或資料的傳輸之前須先進行認證動作。其中,常見的資料存取服務包括網路小型計算機系統介面(Internet Small Computer System Interface,iSCSI)、網路文件共享系統(Common Internet File System,CIFS)、文件傳輸協定(File Transfer Protocol,FTP)、蘋果文件協定(Apple Filing Protocol,AFP)、超文本傳輸協定(HyperText Transfer Protocol,HTTP)或網路檔案系統(Network File System,NFS)等,不限於上述。
網路儲存裝置220為一種具有網路附加儲存(Network Attached Storage,NAS)技術的儲存裝置。NAS是一種使用在乙太網路上,以網際網路協定為基礎,透過專門的檔案伺服器來管理區域網路上的資料流,提供各種不同的伺服器、客戶端或工作站之間共通的資料儲存協定。網路儲存裝置220需裝設至少一個硬碟(未繪示),且此硬碟須安裝有NAS專用之檔案伺服器的作業系統。在本實施例中,網路儲存裝置220包括認證代理伺服器221以及多個檔案伺服器,檔案伺服器分別為iSCSI目標端222、FTP伺服器223、CIFS伺服器224、AFP伺服器225以及HTTP伺服器226。
目錄伺服器230可透過乙太網路連結至網路儲存裝置220。目錄伺服器230可使用Windows、Linux、Unix、Netware…等作業系統,不限於上述。在本實施例中,目錄伺服器230還包括認證服務模組232以及帳戶資料庫234。
如圖2所示,客戶端電子裝置210可選擇iSCSI、CIFS或網路瀏覽器其中之一的資料存取服務,並傳送認證所需的第一加密資料與使用者資料至網路儲存裝置220。網路儲存裝置220則由相對應的iSCSI目標端222、CIFS伺服器224以及HTTP伺服器226來接收第一加密資料與使用者資料。其中,使用者資料例如是使用者名稱;第一加密資料則隨著所使用的認證協定而有所不同,在一實施例中,第一加密資料例如是使用者所輸入的密碼進行加密後的資料。
網路儲存裝置220中相對應的檔案伺服器會先將第一加密資料與使用者資料傳送給認證代理伺服器221進行包裝。認證代理伺服器221依照認證協定的不同,將第一加密資料、使用者資料及其他認證所需的參數包裝為一認證登入訊息並傳送至目錄伺服器230。其中,目錄伺服器230的認證服務模組232接收此認證登入訊息,認證服務模組230依據對應的認證服務協定與帳戶資料庫中對應的帳戶資訊進行解密與比對,藉以判斷認證是否成功,之後傳送認證回覆至網路儲存裝置220。
須說明的是,認證代理伺服器221依照認證協定的不同,而需使用不同的資料來包裝認證登入訊息。其中,認證協定包括挑戰握手協定(Challenge-Handshake Authentication Protocol,CHAP)、安全認證協定(Kerberos Protocol)、新技術區域網路管理(New Technology LAN Manager,NTLM)、摘要式存取認證(Digest Access Authentication)、明碼或密碼等等,不限於上述。相對地,目錄伺服器230的認證服務模組232藉由判斷認證登入訊息的包裝內容來選擇適當的認證服務協定以及帳戶資料庫中對應的帳戶資訊來進行解密與比對的動作。如下表1所示,表1是依照本發明一實施例所列示之資料存取服務、認證協定、認證登入訊息的包裝內容及其認證服務協定。
請參照表1,本實施例的目錄伺服器230即為微軟視窗作業系統的動態目錄(Active Directory,AD)伺服器。故,認證服務模組232會依照認證協定的不同來選擇不同的認證服務協定。其中,對於CIFS資料存取服務來說,網路儲存裝置220可選擇Kerberos認證協定或NTLM認證協定其中之一。以下即舉iSCSI與CIFS兩種不同的資料存取服務來對本發明進行說明。
圖3是依照本發明一實施例所繪示之一種認證方法的時序流程圖。請參照圖3,本實施例的方法適用於圖2的認證系統200,以下即搭配圖2中的各構件說明本實施例方法的詳細步驟:於步驟S301中,客戶端電子裝置210更傳送認證請求至網路儲存裝置220。詳細地說,iSCSI發起端212選擇iSCSI資料存取服務並提供認證協定的選擇給網路儲存裝置220中的iSCSI目標端222。
接著於步驟S302中,網路儲存裝置220接收並依據此認證請求選擇一種認證協定,並且傳送此認證協定所需的一或多個參數至客戶端電子裝置210。在本實施例中,網路儲存裝置220選擇使用CHAP認證協定,同時傳送CHAP識別(ID)以及盤問(Challenge)至iSCSI發起端212。
接下來,在步驟S303中,客戶端電子裝置210利如使用雜湊(Hashing)演算法對上述參數以及使用者所輸入的密碼進行加密,以產生第一加密資料。詳細地說,iSCSI發起端212例如使用MD5雜湊演算法將所接收的CHAP識別、盤問以及使用者所輸入的密碼進行運算以產生一盤問回應(Challenge response)。iSCSI發起端212並將使用者名稱以及盤問回應(即,第一加密資料)傳送至網路儲存裝置220。
於步驟S304中,認證代理伺服器221係將使用者名稱、CHAP識別、盤問以及盤問回應包裝為認證登入訊息並傳送給目錄伺服器230。
於步驟S305中,認證服務模組232係採用對應CHAP認證協定的微軟遠端存取認證套件(Package)來進行解密與認證比對。認證服務模組232會先利用使用者名稱在帳戶資料庫234中查詢對應的密碼,接著使用相同的MD5雜湊演算法將認證登入訊息中CHAP識別、盤問以及所查詢到的密碼進行運算以產生第二加密資料。認證服務模組232並將此第二加密資料與認證登入訊息中的盤問回應(即,第一加密資料)進行比較。
若第一加密資料相同於第二加密資料,則認證服務模組232傳送正向回覆(Positive response)至網路儲存裝置220;若第一加密資料不同於第二加密資料,則認證服務模組232傳送負向回覆(Negative response)至網路儲存裝置220。
最後,於步驟S306中,網路儲存裝置220將接收存取連線或拒絕存取連線的結果通知客戶端電子裝置210。
以下另舉一實施例來對本發明進行說明。圖4是依照本發明另一實施例所繪示之一種認證方法的時序流程圖。本實施例的方法適用於圖2的認證系統200,以下請配合參照圖2與圖4。
於步驟S401中,客戶端電子裝置210傳送認證請求。由於客戶端電子裝置210係選擇CIFS的認證請求,故CIFS客戶端214會先向目錄伺服器230發送票據(ticket)請求。其中,票據內容記錄了客戶端電子裝置210的權限資訊。
於步驟S402中,目錄伺服器230會將客戶端電子裝置210的權限資訊寫入票據當中,並將此票據傳送給客戶端電子裝置210。
於步驟S403中,客戶端電子裝置210便可依據此票據及使用者資訊向網路儲存裝置220發送資料存取請求。
於步驟S404中,認證代理伺服器221依據Kerberos認證協定將使用者資訊以及Kerberos票據包裝為認證登入訊息並傳送給目錄伺服器230的認證服務模組232。
於步驟S405中,認證服務模組232使用微軟Kerberos認證套件來對認證登入訊息進行解密與認證比對。目錄伺服器230並傳送認證回覆給網路儲存裝置220。
最後於步驟S406,網路儲存裝置220將接收存取連線或拒絕存取連線的結果通知客戶端電子裝置210。
整理上述並推演可得一方法流程,如圖5所示,圖5是依照本發明又一實施例所繪示之一種認證方法的流程圖。圖6是依照本發明又一實施例所繪示之一種認證系統的方塊圖。認證系統600包括客戶端電子裝置610、網路儲存裝置620以及目錄伺服器630。請配合參照圖5與圖6。
先在網路儲存裝置620中配置認證代理伺服器621,並在目錄伺服器630中配置認證服務模組632與帳戶資料庫634(步驟S510)。客戶端電子裝置610選擇一種資料存取服務並傳送認證所需的加密資料與使用者資料至網路儲存裝置620(步驟S520)。網路儲存裝置620的認證代理伺服器621將加密資料與使用者資料包裝為認證登入訊息,並將認證登入訊息傳送至目錄伺服器630(步驟S530)。藉由目錄伺服器630的認證服務模組632接收認證登入訊息,其中認證服務模組632依據對應的認證服務協定與帳戶資料庫634中對應的帳戶資訊進行解密與比對,藉以判斷認證是否成功,之後傳送認證回覆至網路儲存裝置620。網路儲存裝置620再將接收存取連線或拒絕存取連線的結果通知客戶端電子裝置610(步驟S540)。
前述實施例皆描述認證系統具有目錄伺服器,因此,透過網路儲存裝置中的認證代理伺服器的運作,本發明之認證系統僅需使用存在目錄伺服器中的遠端帳戶資料庫來進行認證比對。然而,須說明的是,網路儲存裝置仍可設置本地端帳戶資料庫,在目錄伺服器不存在的情況下,因網路儲存裝置可擷取明碼資訊而可直接利用本地端帳戶資料庫來進行認證比對。也就是說,本發明之網路儲存裝置可讓使用者設定統一由遠端帳戶資料庫來進行認證比對或者統一由本地端帳戶資料庫進行認證比對。
綜上所述,本發明藉由網路儲存裝置中的認證代理伺服器以及目錄伺服器中的認證服務模組之運作,而可讓本發明之認證系統進行單一認證,意即僅需使用一個帳戶資料庫來進行認證比對,大幅減少網路系統管理人員對於帳戶資料庫的維護管理時間。對於使用者來說,不論選擇何種類型的資料存取服務,使用者僅須使用同一組帳號密碼來執行登入認證的動作,降低使用者輸入錯誤的帳號密碼導致認證失敗、拒絕存取的機率。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可作些許之更動與潤飾,故本發明之保護範圍當視後附之申請專利範圍所界定者為準。
100、200、600...認證系統
112、212...iSCSI發起端
114、214...CIFS客戶端
120、220、620...網路儲存裝置
122、222...iSCSI目標端
124...CIFS伺服器
126...本地端帳戶資料庫
130、230、630...目錄伺服器
132...遠端帳戶資料庫
210、610...客戶端電子裝置
216...網路瀏覽器
221、621...認證代理伺服器
223、224、225、226...伺服器
232、632...認證服務模組
234、634...帳戶資料庫
S301~S306...一實施例認證方法之各步驟
S401~S406...另一實施例認證方法之各步驟
S510~S540...又一實施例認證方法之各步驟
圖1繪示為一種認證系統的示意圖。
圖2是依照本發明一實施例所繪示之認證系統的方塊圖。
圖3是依照本發明一實施例所繪示之一種認證方法的時序流程圖。
圖4是依照本發明另一實施例所繪示之一種認證方法的時序流程圖。
圖5是依照本發明又一實施例所繪示之一種認證方法的流程圖。
圖6是依照本發明又一實施例所繪示之一種認證系統的方塊圖。
600...認證系統
610...客戶端電子裝置
620...網路儲存裝置
621...認證代理伺服器
630...目錄伺服器
632...認證服務模組
634...帳戶資料庫
Claims (20)
- 一種認證系統,包括:一客戶端電子裝置,透過相互相異的多個待選擇資料存取服務來進行資料傳輸;一網路儲存裝置,具有一認證代理伺服器;以及一目錄伺服器,具有一認證服務模組與一帳戶資料庫,其中該客戶端電子裝置選擇該些待選擇資料存取服務中的一資料存取服務並接收由一使用者所輸入的一密碼與一使用者資料,其中該密碼與該使用者資料對應至該帳戶資料庫中的一帳戶資訊,其中該客戶端電子裝置傳送認證所需的一第一加密資料與該使用者資料至該網路儲存裝置,而該網路儲存裝置基於該資料存取服務的類型而決定出一認證協定,其中該網路儲存裝置的該認證代理伺服器依據該資料存取服務的類型與該認證協定將該第一加密資料、該認證協定所需的至少一參數與該使用者資料包裝為一認證登入訊息,並將該認證登入訊息傳送至該目錄伺服器,其中該目錄伺服器的該認證服務模組接收該認證登入訊息,該認證服務模組依據對應於該資料存取服務的類型與該認證協定的一認證服務協定與該帳戶資料庫中對應的該帳戶資訊進行解密與比對,藉以判斷認證是否成功,之後傳送一認證回覆至該網路儲存裝置。
- 如申請專利範圍第1項所述之認證系統,其中: 該客戶端電子裝置更傳送一認證請求至該網路儲存裝置,該網路儲存裝置接收並依據該認證請求選擇一認證協定,並且傳送該認證協定所需的該些參數至該客戶端電子裝置。
- 如申請專利範圍第2項所述之認證系統,其中:該客戶端電子裝置使用一雜湊演算法對該些參數以及該使用者所輸入的該密碼進行加密,以產生該第一加密資料,其中該網路儲存裝置的該認證代理伺服器將該第一加密資料、該些參數以及該使用者資料包裝為該認證登入訊息並傳送給該目錄伺服器。
- 如申請專利範圍第3項所述之認證系統,其中:該認證服務模組自該帳戶資料庫中選取對應該使用者資料的一密碼,並依據相同的該雜湊演算法對該些參數以及該帳戶資料庫中的該密碼進行加密,以產生一第二加密資料,該認證服務模組藉由比對該第一加密資料與該第二加密資料來判斷認證是否成功。
- 如申請專利範圍第4項所述之認證系統,其中:該認證服務模組判斷該第一加密資料相同於該第二加密資料,傳送一正向回覆至該網路儲存裝置,該認證服務模組判斷該第一加密資料不同於該第二加密資料,傳送一負向回覆至該網路儲存裝置。
- 如申請專利範圍第1項所述之認證系統,其中該資料存取服務包括網路小型計算機系統介面、網路文件共享系統、文件傳輸協定、蘋果文件協定、超文本傳輸協定或 網路檔案系統其中之一。
- 如申請專利範圍第1項所述之認證系統,其中該目錄伺服器為微軟視窗作業系統的動態目錄伺服器。
- 如申請專利範圍第2項所述之認證系統,其中該認證協定包括挑戰握手協定、安全認證協定、新技術區域網路管理、摘要式存取認證、明碼或密碼其中之一。
- 一種網路儲存裝置,包括:至少一檔案伺服器,依據該客戶端電子裝置從多個待選擇資料存取服務中所選擇的一資料存取服務對應接收認證所需的一加密資料與一使用者資料,其中該網路儲存裝置基於該資料存取服務的類型而決定出一認證協定;以及一認證代理伺服器,耦接該至少一檔案伺服器,依據該資料存取服務的類型與該認證協定將來自一客戶端電子裝置的該加密資料、該認證協定所需的至少一參數與該使用者資料包裝為一認證登入訊息,並傳送該認證登入訊息至具有一帳戶資料庫的一目錄伺服器,該認證代理伺服器並從該目錄伺服器接收用以表示認證是否成功的一認證回覆,並將認證結果傳送給該客戶端電子裝置,其中該客戶端電子裝置收由一使用者所輸入的一密碼與該使用者資料,且該密碼與該使用者資料對應至該帳戶資料庫中的一帳戶資訊,其中該認證回覆係由該目錄伺服器依據對應於該資料存取服務的類型與該認證協定的一認證服務協定與該帳戶資料庫中對應的一帳戶資訊進行解密與比對而產生。
- 如申請專利範圍第9項所述之網路儲存裝置,其中該至少一檔案伺服器將該加密資料與該使用者資料傳送給該認證代理伺服器進行包裝。
- 如申請專利範圍第10項所述之網路儲存裝置,其中該資料存取服務包括網路小型計算機系統介面、網路文件共享系統、文件傳輸協定、蘋果文件協定、超文本傳輸協定或網路檔案系統其中之一。
- 如申請專利範圍第9項所述之網路儲存裝置,其中該網路儲存裝置為一種具有網路附加儲存技術的儲存裝置。
- 如申請專利範圍第9項所述之網路儲存裝置,其中該目錄伺服器為微軟視窗作業系統的動態目錄伺服器。
- 一種認證方法,適用於具有一客戶端電子裝置、一網路儲存裝置以及一目錄伺服器的一認證系統,其中該客戶端電子裝置透過相互相異的多個待選擇資料存取服務來進行資料傳輸,該認證方法包括下列步驟:在該網路儲存裝置中配置一認證代理伺服器,並在該目錄伺服器中配置一認證服務模組與一帳戶資料庫;藉由該客戶端電子裝置選擇該些待選擇資料存取服務中的一資料存取服務並接收由一使用者所輸入的一密碼與一使用者資料,以及傳送認證所需的一第一加密資料與該使用者資料至該網路儲存裝置,其中該密碼與該使用者資料對應至該帳戶資料庫中的一帳戶資訊;藉由該網路儲存裝置基於該資料存取服務的類型而 決定出一認證協定,並藉由該網路儲存裝置的該認證代理伺服器依據該資料存取服務的類型與該認證協定將該第一加密資料、該認證協定所需的至少一參數與該使用者資料包裝為一認證登入訊息,並將該認證登入訊息傳送至該目錄伺服器;以及藉由該目錄伺服器的該認證服務模組接收該認證登入訊息,其中該認證服務模組依據對應於該資料存取服務的類型與該認證協定的一認證服務協定與該帳戶資料庫中對應的該帳戶資訊進行解密與比對,藉以判斷認證是否成功,之後傳送一認證回覆至該網路儲存裝置。
- 如申請專利範圍第14項所述之認證方法,更包括:藉由該客戶端電子裝置傳送一認證請求至該網路儲存裝置;以及藉由該網路儲存裝置接收並依據該認證請求選擇一認證協定,並且傳送該認證協定所需的該些參數至該客戶端電子裝置。
- 如申請專利範圍第15項所述之認證方法,其中該認證協定包括挑戰握手協定、安全認證協定、新技術區域網路管理、摘要式存取認證、明碼或密碼其中之一。
- 如申請專利範圍第15項所述之認證方法,其中將該第一加密資料與該使用者資料包裝為該認證登入訊息並傳送至該目錄伺服器的步驟包括:藉由該客戶端電子裝置使用一雜湊演算法對該些參 數以及該使用者所輸入的該密碼進行加密,以產生該第一加密資料;以及藉由該網路儲存裝置的該認證代理伺服器將該第一加密資料、該些參數以及該使用者資料包裝為該認證登入訊息並傳送給該目錄伺服器。
- 如申請專利範圍第17項所述之認證方法,其中依據對應的該認證服務協定與該帳戶資料庫中對應的該帳戶資訊進行解密與比對的步驟包括:藉由該認證服務模組自該帳戶資料庫中選取對應該使用者資料的一密碼,並依據相同的該雜湊演算法對該些參數以及該帳戶資料庫中的該密碼進行加密,以產生一第二加密資料;以及比對該第一加密資料與該第二加密資料是否相同來判斷認證是否成功。
- 如申請專利範圍第18項所述之認證方法,其中比對該第一加密資料與該第二加密資料是否相同來判斷認證是否成功的步驟包括:若該第一加密資料相同於該第二加密資料,傳送一正向回覆至該網路儲存裝置以表示認證成功,若該第一加密資料不同於該第二加密資料,傳送一負向回覆至該網路儲存裝置以表示認證失敗。
- 如申請專利範圍第14項所述之認證方法,其中該資料存取服務包括網路小型計算機系統介面、網路文件共享系統、文件傳輸協定、蘋果文件協定、超文本傳輸協定或網路檔案系統其中之一。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP12179469.7A EP2629488B1 (en) | 2012-02-17 | 2012-08-07 | Authentication system, authentication method, and network storage appliance |
US13/762,381 US8955059B2 (en) | 2012-02-17 | 2013-02-08 | Authentication system, authentication method, and network storage appliance |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201261599952P | 2012-02-17 | 2012-02-17 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201335783A TW201335783A (en) | 2013-09-01 |
TWI468977B true TWI468977B (zh) | 2015-01-11 |
Family
ID=49627415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW101112819A TWI468977B (zh) | 2012-02-17 | 2012-04-11 | 認證系統、認證方法與網路儲存裝置 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI468977B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW200509641A (en) * | 2003-07-11 | 2005-03-01 | Ibm | System and method for authenticating clients in a client-server environment |
US20050125503A1 (en) * | 2003-09-15 | 2005-06-09 | Anand Iyengar | Enabling proxy services using referral mechanisms |
CN101569217A (zh) * | 2006-12-28 | 2009-10-28 | 艾利森电话股份有限公司 | 不同认证基础设施的集成的方法和布置 |
US20100211999A1 (en) * | 2002-11-13 | 2010-08-19 | Grobman Steven L | Network protecting authentication proxy |
TW201038039A (en) * | 2009-01-30 | 2010-10-16 | Ralph Mahmoud Omar | Improvements relating to multifunction authentication systems |
-
2012
- 2012-04-11 TW TW101112819A patent/TWI468977B/zh active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100211999A1 (en) * | 2002-11-13 | 2010-08-19 | Grobman Steven L | Network protecting authentication proxy |
TW200509641A (en) * | 2003-07-11 | 2005-03-01 | Ibm | System and method for authenticating clients in a client-server environment |
US20050125503A1 (en) * | 2003-09-15 | 2005-06-09 | Anand Iyengar | Enabling proxy services using referral mechanisms |
CN101569217A (zh) * | 2006-12-28 | 2009-10-28 | 艾利森电话股份有限公司 | 不同认证基础设施的集成的方法和布置 |
TW201038039A (en) * | 2009-01-30 | 2010-10-16 | Ralph Mahmoud Omar | Improvements relating to multifunction authentication systems |
Also Published As
Publication number | Publication date |
---|---|
TW201335783A (en) | 2013-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8955059B2 (en) | Authentication system, authentication method, and network storage appliance | |
WO2017186005A1 (zh) | 一种云桌面认证的方法、服务器及终端 | |
US11336631B2 (en) | Authorization method | |
US8024488B2 (en) | Methods and apparatus to validate configuration of computerized devices | |
US9246686B1 (en) | Salt value service | |
US20090089870A1 (en) | System and method for validating interactions in an identity metasystem | |
US10412068B2 (en) | API authentication | |
EP3017582B1 (en) | Method to enroll a certificate to a device using scep and respective management application | |
US20140109179A1 (en) | Multiple server access management | |
US9148412B2 (en) | Secure configuration of authentication servers | |
WO2012100677A1 (zh) | 用于移动终端的身份管理方法及装置 | |
JP2004173285A (ja) | リソースへのウェブ・ベースのアクセスに使用されるクライアントの資格証明書の安全な処理 | |
US11122122B2 (en) | Restricting access to a data storage system on a local network | |
US11218317B1 (en) | Secure enclave implementation of proxied cryptographic keys | |
US11418329B1 (en) | Shared secret implementation of proxied cryptographic keys | |
WO2014067284A1 (zh) | 一种跨域控制器认证的方法、装置及主机 | |
JP4860779B1 (ja) | データ分散保管システム | |
CA3172049A1 (en) | Exporting remote cryptographic keys | |
WO2022143498A1 (zh) | 接入控制方法、装置、网络侧设备、终端及区块链节点 | |
US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
TWI468977B (zh) | 認證系統、認證方法與網路儲存裝置 | |
US8069155B2 (en) | Securing DBMS event notifications | |
Li et al. | Action-based access control for web services | |
US11895227B1 (en) | Distributed key management system with a key lookup service | |
Usharani | Integrity and Privacy through Authentication Key Exchange Protocols for Distributed Systems |