TWI569167B - 安全的統一雲端儲存 - Google Patents
安全的統一雲端儲存 Download PDFInfo
- Publication number
- TWI569167B TWI569167B TW104112583A TW104112583A TWI569167B TW I569167 B TWI569167 B TW I569167B TW 104112583 A TW104112583 A TW 104112583A TW 104112583 A TW104112583 A TW 104112583A TW I569167 B TWI569167 B TW I569167B
- Authority
- TW
- Taiwan
- Prior art keywords
- cloud storage
- storage server
- client
- server
- ucd
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Description
本申請書一般關於資料儲存系統,尤其是關於實作安全統一的雲端儲存之技術。
本章節介紹可能有助於更好地了解本發明的態樣。因此,本章節的敘述就此而論被閱讀且不應被理解為准許什麼在習知技術中而什麼不在習知技術中。
「雲端」之術語通常係指實作雲端計算模型的集體計算架構。例如,按照國家標準與技術研究院(NIST特刊第800-145號),雲端計算可能被視為一種用於啟動遍佈、便捷、按需網路存取可配置計算資源(例如,網路、伺服器、儲存、應用及服務)之共享庫的模型,其能以最小管理工作量或服務提供者互動被快速地提供和發行。
雲端為基計算系統通常也能透過使用超管理器來實作「虛擬化」功能。超管理器係為一種在實體計算系統頂部執行,且建立和管理如虛擬機和邏輯(儲存)單元
之虛擬資產的軟體程式。超管理器以動態和通透方式來將實體計算系統的硬體資源分配給虛擬資產。
因此,「雲端儲存」被視為其中資料係儲存在虛擬化儲存庫中的網路線上儲存。例如,服務提供者可能操作包括上述雲端儲存的資料中心,且期望他/她的資料被服務提供者主控的顧客可能從服務提供者購買或租賃儲存容量。服務提供者動態且通透地虛擬化所需資源且暴露它們作為顧客接著使用以儲存資料的儲存庫。已知許多服務提供者提供雲端儲存服務(也被稱為軟體即服務或SaaS),例如,但不限於企業級雲端資料儲存服務及消費級文件代管服務。然而,已了解針對服務提供者所提供之每個不同的雲端儲存服務,通常有不同的SaaS應用程式編程介面(API)。這種相對於API結果的異質性導致過分大量之存取這些不同雲端儲存服務所需的API。
為了試圖解決上述問題,開放行動聯盟(OMA)已提出如例如在OMA工作項目文件經授權統一的雲端磁碟V1.0,W0273中所概述且被註明日期為2012-09-04之統一的雲端磁碟(UCD)方法。UCD架構在行動雲端計算環境中對行動操作者(例如,這裡的行動操作者係為服務提供者)提供統一的雲端儲存系統。在UCD架構中,行動使用者或應用程式能使用標準SaaS應用程式編程介面(API)以跨多個行動操作者將資料儲存在聯合(統一)的雲端儲存中。
本發明之說明性實施例提供用於安全統一的雲端儲存之技術和設備。儘管實施例可適用於不同類型的資料儲存系統,但一或更多實施例特別適用於在UCD架構中使用。
例如,在一實施例中,一種方法包括下列步驟。一客戶端進行請求以被可關聯於一第一服務提供者的一第一雲端儲存伺服器認證。從客戶端將一身分聯合請求發送至第一雲端儲存伺服器,其中身分聯合請求試圖聯合在第一雲端儲存伺服器上之客戶端的使用者帳號與在可關聯於第二服務提供者的第二雲端儲存伺服器上之客戶端的使用者帳號。客戶端從第一雲端儲存伺服器被重新導向第二雲端儲存伺服器。客戶端進行請求以被第二雲端儲存伺服器認證,使得一旦客戶端被認證,第二雲端儲存伺服器映射第一雲端儲存伺服器上的使用者帳號與第二雲端儲存伺服器上的使用者帳號,且建立兩者之間的身分聯合。客戶端從第二雲端儲存伺服器被重新導向第一雲端儲存伺服器,且可能接收身分聯合之確認。其他實施例包含單一登入方法、單一登出方法、及身分聯合方法。
在另一實施例中,提供一種製造物品,其包含具有編碼於其中的一或更多軟體程式之可執行程式碼的一處理器可讀儲存媒體。當一或更多軟體程式被至少一個處理裝置執行時實作上述方法的步驟。
在又一實施例中,一種設備包含一記憶體及
一處理器,處理器配置以進行上述方法之步驟。
在一UCD實例中,客戶端包含一UCD客戶端,第一雲端儲存伺服器包含一副UCD伺服器,且第二雲端儲存伺服器包含一主UCD伺服器。
有利的是,說明性實施例將安全技術整合在一UCD架構中。
本發明之這些及其他特徵和優點將從附圖和下面的詳細說明變得更顯而易見。
100‧‧‧雲端儲存系統
102-1‧‧‧顧客
102-2‧‧‧顧客
102-M‧‧‧顧客
104-1‧‧‧雲端儲存系統
104-2‧‧‧雲端儲存系統
104-N‧‧‧雲端儲存系統
106‧‧‧標準SaaS API
200‧‧‧方法
202‧‧‧UCD客戶端
204‧‧‧主UCD伺服器
206‧‧‧副UCD伺服器
300‧‧‧方法
400‧‧‧單一登出方法
500‧‧‧方法
600‧‧‧處理平台
610‧‧‧處理裝置
620‧‧‧處理裝置
630‧‧‧處理裝置
612‧‧‧I/O裝置/網路介面電路
614‧‧‧處理器
616‧‧‧記憶體
622‧‧‧I/O裝置/網路介面
624‧‧‧處理器
626‧‧‧記憶體
632‧‧‧I/O裝置/網路介面
634‧‧‧處理器
636‧‧‧記憶體
640‧‧‧網路
第1圖顯示於其中實作本發明之一或更多實施例之統一的資料儲存系統環境。
第2圖顯示根據本發明之一實施例之身分聯合請求方法。
第3圖顯示根據本發明之一實施例之單一登入方法。
第4圖顯示根據本發明之一實施例之單一登出方法。
第5圖顯示根據本發明之一實施例之身分解聯合請求方法。
第6圖顯示於其上實作根據本發明之一或更多實施例之統一的資料儲存系統和方法的處理平台。
本文將參考示範計算系統、資料儲存系統、通訊系統、處理平台、網路、使用者裝置、網路節點、網路元件、客戶端、伺服器、及相關通訊協定來說明本發明之說明性實施例。例如,說明性實施例特別適用於在統一的雲端磁碟(UCD)環境中使用。然而,應了解本發明之實施例並不限於與所述之特定佈置一起使用,但反而更一般適用於其中期望藉由提供安全統一的資料儲存功能來提供提高效能的任何環境。
如本文所使用,「客戶端」之術語說明性地係指軟體、硬體、或以上之組合,其被編程及/或配置以為終端使用者(例如,顧客)進行功能或服務。「伺服器」之術語說明性地係指軟體、硬體、或以上之組合,其被編程及/或配置以通常回應於來自終端使用者(例如,顧客)的請求而為服務提供者進行功能或服務。處理裝置能被編程及/或配置以操作作為用於一個目的的客戶端及用於另一目的的伺服器,或操作作為專用客戶端或專用伺服器。在本內文中,下面將參考「UCD客戶端」和「UCD伺服器」(例如,主和副UCD伺服器,如將於下進一步所解釋),其係為在UCD環境中操作的客戶端和伺服器元件。
如上所提及,已提出UCD所提供的雲端儲存架構以克服當顧客選擇跨不同雲端儲存服務和提供者儲存資料時顧客必須利用許多不同API的問題。例如,考慮希望跨不同服務提供者所保持之不同雲端儲存服務儲存文件的顧客。在UCD架構之前,顧客的客戶端裝置將使用單
獨、不同的介面以存取不同服務提供者的伺服器。然而,藉由UCD架構,顧客已經由標準介面存取多個不同的服務提供者。
第1圖顯示統一的雲端儲存系統100(例如,UCD系統),其中顧客(例如,顧客102-1、102-2、...、102-M)經由客戶端能夠存取複數個不同的雲端儲存系統(104-1、104-2、...、104-N),各包含經由標準SaaS API 106的一或更多服務。例如,假設顧客102-1的客戶端(UCD客戶端)最初經由API 106以雲端儲存系統104-1、104-2、...、104-N之各者的伺服器(UCD伺服器)註冊。顧客102-1的客戶端能接著經由單一標準介面(即,標準SaaS API 106)存取(例如,儲存和取得)在每個不同雲端儲存系統中的資料。這也被稱為「聯合雲端儲存」,因為客戶端能夠經由共同介面存取跨不同雲端儲存系統之組合所儲存的資料,藉此形成統一的雲端儲存系統。
然而,如在任何資料儲存情境中,安全性係在UCD架構中的一個主要考慮因素。因此,安全技術被期望用於認證試圖存取在UCD架構中的聯合雲端儲存之UCD客戶端的身分。
一個安全性技術被稱為「身分聯合」。在身分聯合中,允許使用者聯合(例如,連結、連接、或結合)本地「身分」(例如,使用識別符、密碼、電子郵件、個人偏好等),其已被建立用於每個服務提供者。連結之本地身分(被稱為「聯合身分」)允許使用者登入至一個服務提
供者網站且點擊通過至附屬的服務提供者。由此,身分聯合當使用者選擇統一不同的服務提供者帳號與一或更多身分提供者帳號時發生。使用者保留與每個提供者的個別帳號資訊,同時地建立允許在它們之間交換資訊的連結。身分聯合協定之實例係自由聯盟計畫,其定義用於身分聯合的開放式標準基礎的規範,例如,參見Cantor、Scott、Kemp、John、Champagne、Darryl、eds。「自由ID-FF結合及設定檔規範」,版本1.2-勘誤-v2.0、自由聯盟計畫,2004年9月12日(本文中被稱為「LibertyBindProf」);及Cantor、Scott、Kemp、John、eds。「自由ID-FF協定及架構規範」,版本1.2-勘誤-v3.0、自由聯盟計畫,2004年9月12日(本文中被稱為「LibertyProtSchema」),本文藉由參考其全文來合併其揭露。
然而,本文中了解自由聯盟計畫規範將在UCD架構上強加沉重的開銷負擔。藉此,本發明之說明性實施例提供改進的身分聯合管理方法用於在如UCD架構之統一的雲端儲存系統中使用。
如於下將在第2-5圖之內文中所述,本發明之說明性實施例提供在UCD環境中實作的身分聯合方法,其能利用自由聯盟計畫身分聯合信息的一些適合態樣。然而,給定本文所提出之本發明教導,將了解能以直接方法來實作本發明之其他實施例而沒有上述特定適合的自由聯盟計畫信息。
假設終端使用者(例如,第1圖之顧客102-1)
想要以關聯於第一雲端儲存服務提供者(即,在此例中,關聯於主UCD伺服器)的第一雲端儲存系統(例如,第1圖之雲端儲存系統104-1)來進行身分聯合程序。主UCD伺服器係具有身分提供者之功能(如下面進一步所解釋)且被終端使用者選擇以註冊主UCD帳號的UCD伺服器。根據一實施例,用於上述身分聯合(針對UCD客戶端202、主UCD伺服器204、及副UCD伺服器206)的方法200係顯示於第2圖中。副UCD伺服器係可能或可能不具有身分提供者之功能且被終端使用者選擇以註冊副UCD帳號的UCD伺服器。請注意在此省略從主UCD伺服器204發起之身分聯合請求的程序之說明以簡化本說明,然而,給定本文針對第2圖所提出之說明,程序係明顯的且可能以簡單方式來實現。
將了解在一或更多說明性實施例中,如下面在第2圖之內文中所說明性顯示和描述之身分聯合程序係用於進行如下面在第3圖之內文中所說明性顯示和描述之單一登入程序、如下面在第4圖之內文中所說明性顯示和描述之單一登出程序、及如下面在第5圖之內文中所說明性顯示和描述之身分解聯合程序的先決條件。亦即,終端使用者必須在他/她進行單一登入、單一登出、及/或身分解聯合之前聯合他/她在副UCD伺服器與主UCD伺服器中的帳號。然而,本發明之獨立實施例被視為包含分別描繪於第2-5圖中的每個獨立方法。
在本說明性實施例中,用於進行身分聯合的
一些假設係如下:(i)包括IdP功能之UCD伺服器的服務提供者與提供UCD服務之其他服務提供者建立服務協議(請注意身分提供者(IdP),也被稱為身分判定提供者,係負責為進行與一給定系統互動/服務的服務提供者發出識別資訊);及(ii)終端使用者已註冊且決定可能或可能不具有IdP功能之哪個UCD伺服器成為他/她的副UCD伺服器。
方法200顯示從副UCS伺服器204發起的身分聯合程序,其被描述如下(請注意下面使用之步驟的參考編號1.、1.1、1.2、2.、....9.對應於第2圖所示之方法的步驟編號):
1.終端使用者請求登入至副UCD伺服器206。由此,UCD客戶端202將包括使用者身分(例如,在副UCD伺服器206中的使用者帳號識別符)的信息UserLoginRequest(HTTP請求)發送至副UCD伺服器206。若終端使用者已被副UCD伺服器206認證且已保持登入狀態,則方法200直接繼續進行至步驟3。當終端使用者尚未被如此認證時,方法繼續進行如下:
1.1 副UCD伺服器206請求認證使用者。信息可能包括待用於認證使用者的挑戰或隨機值。
1.2 UCD客戶端202答覆副UCD伺服器204。信息包括使用者認證資訊,例如,證件的摘要。
2.副UCD伺服器206根據認證資訊(例如,在副UCD伺服器中的使用者帳號識別符、證件的使用者摘
要)來認證使用者。
副UCD伺服器206以包括成功回應之指示及一列具有IdP功能之UCD伺服器(至少包括一個UCD伺服器)的信息UserLoginResponse答覆UCD客戶端202。請注意若終端使用者登入至他/他的主UCD伺服器,則這列伺服器將是用於副UCD伺服器的這列候選。然而,若使用者登入至他/她的副UCD伺服器,則這列伺服器將是用於支援IdP功能之主UCD伺服器的這列候選。
3.終端使用者選擇其中一個UCD伺服器作為藉其用以聯合之她/他的主UCD伺服器(他/她已藉其註冊主UCD帳號)。UCD客戶端202將信息IdentityFederationRequest發送至副UCD伺服器206。此請求信息包括在副UCD伺服器中的使用者帳號識別符、在主UCD伺服器中的使用者帳號識別符、及關於主UCD伺服器的資訊(例如,主UCD伺服器位址)。
亦即,UCD客戶端202將身分聯合請求發送至副UCD伺服器206以聯合副使用者帳號與主使用者帳號。示範信息格式係如下:IdentityFederationRequest(userIdM,userIdS,serverIdM,serverIdS),其中當對副UCD伺服器206請求聯合時,userIdM係在主UCD伺服器204中的使用者識別符,userIdS係在副UCD伺服器206中的使用者識別符,serverIdM係主UCD伺服器204的統一資源識別符(URI),且當對主UCD伺服器204請求聯合時,serverIdS係副UCD伺服器206的URI。
4.副UCD伺服器206獲得主UCD伺服器204的位置資訊。
5. 副UCD伺服器206使用信息RegisterNameIdentifierRequest(具有狀態碼302的HTTP信息)來將UCD客戶端202重新導向主UCD伺服器204。信息RegisterNameIdentifierRequest包括主UCD伺服器204的位址、副UCD伺服器206的位址、在主UCD伺服器204中的使用者帳號識別符、在副UCD伺服器206中的使用者帳號識別符、及副UCD伺服器證件。
尤其是,此請求信息的一個示範格式係RegisterNameIdentifierRequest(IDPProvidedNameIdentifier,SPProvidedNameIdentifier,ProviderID),其中IDPProvidedNameIdentifier欄位係在主UCD伺服器中的使用者識別符userIdM,SPProvidedNameIdentifier欄位係在副UCD伺服器中的使用者識別符userIdS,且ProviderID欄位係下列之其中一者:(i)serverIdM:當對副UCD伺服器請求聯合時之主UCD伺服器的URI;或(ii)serverIdS:當對主UCD伺服器請求聯合時之副UCD伺服器的URI。此請求信息被副UCD伺服器206數位地簽章。副UCD伺服器206驗證主UCD伺服器204的數位簽章。
在記錄聯合資訊(例如,在主UCD伺服器與副UCD伺服器之間的使用者帳號之映射)之前,主UCD伺服器204認證使用者以保證此使用者具有聯合在主UCD伺
服器204中的使用者帳號與在副UCD伺服器206中的使用者帳號之權利。有數種可能運用的認證機制。一個說明性,但非限制的認證機制係如下:
5.1 主UCD伺服器204回應於UCD客戶端202以認證使用者。信息可能包括待用於認證使用者的挑戰或隨機值。
5.2 UCD客戶端202答覆主UCD伺服器204。信息包括使用者認證資訊,例如,使用者證件的摘要。
5.3 主UCD伺服器204認證使用者。主UCD伺服器204以HTTP信息200 OK答覆UCD客戶端202。
6.主UCD伺服器204記錄聯合資訊(例如,在主UCD伺服器204與副UCD伺服器206之間的使用者帳號之映射)。
7. 主UCD伺服器204使用信息RegisterNameIdentifierResponse(具有狀態碼302的HTTP信息)來將UCD客戶端202重新導向副UCD伺服器206。信息RegisterNameIdentifierResponse包括單一登入符記(SSOToken)、主UCD伺服器身分、在副UCD伺服器中的使用者帳號識別符、在主UCD伺服器中的使用者帳號識別符、及主UCD伺服器證件。此信息被主UCD伺服器204數位地簽章。
用於RegisterNameIdentifierResponse信息的一個示範格式係如下:RegisterNameIdentifierResponse(ProviderID、狀態、判定)。ProviderID欄位可以是下列
之其中一者:(i)serverIdM:當以從主UCD伺服器至副UCD伺服器之登出請求回應時之主UCD伺服器的URI;或(ii)serverIdS:當回應於從副UCD伺服器至主UCD伺服器之登出請求時之副UCD伺服器的URI。狀態欄位包含請求之處理的結果。若成功地進行身分聯合,則包括SSOToken的認證判定被產生且包括在判定欄位中。副UCD伺服器206驗證主UCD伺服器204的數位簽章。
8.副UCD伺服器206記錄聯合資訊,即,在主UCD伺服器204與副UCD伺服器206之間的使用者帳號之映射。
9.副UCD伺服器206以信息IdentityFederationResponse回應於UCD客戶端202,其可能具有下面的示範格式:IdentityFederationResponse(結果,SSOToken),其中結果欄位係請求處理的結果,且若成功地進行身分聯合,則SSOToken被產生且提供給UCD客戶端202在SSOToken欄位中。
在本說明性實施例中,最好以傳送層保全(TLS)來實作在客戶端與伺服器之間發信的超文字傳送協定(HTTP)以保持機密性和信息完整性。在用於評論標準5246的網際網路工程任務編組(IETF)請求中說明TLS 1.2協定,本文藉由參考其全文來合併其揭露。然而,在其他實施例中,除了HTTP和TLS以外,也可能運用信息協定和安全協定。
第3圖顯示根據一說明性實施例之單一登入
(SSO)方法300(請注意下面使用之步驟的參考編號1、2、...、6對應於第3圖所示之方法的步驟編號):
1.UCD客戶端202將SSOLogin請求(HTTP請求)發送至副UCD伺服器206以存取服務。此信息包括在副UCD伺服器206中的使用者識別符。此信息可能也包括有效SSOToken。例如,信息可能具有下面的示範格式:SSOLoginRequest(userIdS,SSOToken),其中userIdS係在副UCD伺服器中的使用者識別符,且SSOToken欄位包含SSO符記。若SSO符記係空的或無效的,則UCD伺服器重新導向UCD客戶端以在允許存取雲端儲存服務之前獲得有效SSO符記。
2.副UCD伺服器206獲得主UCD伺服器204的位址且檢查此請求是否包括由主UCD伺服器204所產生的有效認證判定(包括SSOToken)。若是,則方法直接繼續進行至步驟6。
3.若在步驟2中未發現任何有效認證判定,則副UCD伺服器206以具有AuthnRequest的信息HTTP回應(具有狀態碼302的HTTP信息)將UCD客戶端202重新導向主UCD伺服器204。請注意AuthRequest可能具有示範格式:AuthnRequest(NameIdentifier,ProviderID)。ProviderID欄位係主UCD伺服器204的URI且NameIdentifier欄位包括在副UCD伺服器206中的使用者識別符。
在發出認證判定之前,主UCD伺服器204認
證終端使用者如下:
3.1 主UCD伺服器204回應於UCD客戶端202以認證使用者(具有狀態碼401的HTTP信息)。信息可能包括待用於認證使用者的挑戰或隨機值。
3.2 UCD客戶端202答覆主UCD伺服器204。信息包括使用者認證資訊,例如,使用者證件的摘要。
3.3 主UCD伺服器204認證使用者。主UCD伺服器204以HTTP信息200 OK答覆UCD客戶端202。
4.主UCD伺服器204產生用於使用者的認證判定(包括SSOToken),且主UCD伺服器204以具有AuthnReponse的信息HTTP回應(包括認證判定)將UCD客戶端202重新導向副UCD伺服器206。請注意AuthResponse可能具有下面的示範格式:AuthnResponse(ProviderID、判定)。ProviderID欄位係主UCD伺服器204的URI且加入判定欄位,其包括請求之處理的結果和包括在成功認證之後所產生之SSOToken的認證判定。
5.僅透過舉例,副UCD伺服器使用在上述LibertyBindProf和LibertyProtSchema中所述之驗證來驗證認證判定。可能運用用以驗證認證判定的其他方式。
6.副UCD伺服器206以信息SSOLoginResponse回應於UCD客戶端202,其允許或拒絕存取最初請求的資源(例如,雲端儲存)。此信息的示範格式係:SSOLoginResponse(結果、SSOToken),其中結果
欄位係請求處理的結果,且當副UCD伺服器206從主UCD伺服器204取得有效SSOToken時,SSOToken欄位係可選的。UCD客戶端202應提取SSOToken並儲存SSOToken。
同樣在本說明性實施例中,最好以傳送層保全(TLS)來實作在客戶端與伺服器之間發信的HTTP以保持機密性和信息完整性。
第4圖顯示根據一說明性實施例之在主UCD伺服器204發起的單一登出方法400(請注意下面使用之步驟的參考編號1.、1.1、1.2、...、8.對應於第4圖所示之方法的步驟編號。也請注意在此省略在副UCD伺服器206發起之單一登出的程序之說明以簡化本說明,然而,給定本文針對第4圖所提出之說明,程序係明顯的且可能以簡單方式來實現。
方法400繼續進行如下:
1.使用者請求登入至主UCD伺服器204。UCD客戶端202發送包括使用者身分(例如,在主UCD伺服器204中的使用者帳號識別符)的信息UserLoginRequest,例如,示範格式UserLoginRequest(UserId)。若使用者已被主UCD伺服器204認證且保持登入狀態,則方法繼續進行至步驟3。若否,則:
1.1 主UCD伺服器204回應於UCD客戶端202以認證使用者。信息可能包括待用於認證使用者的挑戰或隨機值。
1.2 UCD客戶端202將請求發送至主UCD伺服器204。信息包括使用者認證資訊,例如,使用者證件的摘要。
2.主UCD伺服器204根據認證資訊(例如,在主UCD伺服器204中的使用者帳號識別符、使用者證件的摘要)來認證使用者,且主UCD伺服器204以信息UserLoginResponse答覆UCD 202客戶端,如上面在第2圖中所述。
3.UCD客戶端202將信息SingleLogoutRequest發送至主UCD伺服器204。此請求信息包括在主UCD伺服器204中的使用者帳號識別符、在副UCD伺服器206中的使用者帳號識別符、及關於副UCD伺服器206的資訊(例如,副UCD伺服器位址)。用於SingleLogoutRequest的示範信息格式如下:SingleLogoutRequest(UserId,ServerId),其中UserId欄位是下列之其中一者:(i)userIdM:當請求從主UCD伺服器登出至副UCD伺服器時之主UCD伺服器中的使用者識別符;或(ii)userIdS:當請求從副UCD伺服器登出至主UCD伺服器時之副UCD伺服器中的使用者識別符。ServerId欄位係主UCD伺服器的位址(當SingleLogoutRequest在副UCD伺服器初始時)或關聯於userIdM或userIdS之副UCD伺服器的位址(當SingleLogoutRequest在主UCD伺服器初始時)。
4.主UCD伺服器204發現所有副UCD伺服器
(例如,獲得位址),其終端使用者已以此主UCD伺服器204所發出的SSOToken登入。
5.接著,主UCD伺服器204分別將信息LogoutRequest從UCD客戶端202重新導向那些副UCD伺服器,在本實例中,是副UCD伺服器206。重新導向步驟5.1、5.2和5.3係類似於上面在第2圖之內文中所述之重新導向步驟。信息LogoutRequest被主UCD伺服器204簽章。信息包括副UCD伺服器206的位址、主UCD伺服器204的位址、在主UCD伺服器204中的使用者帳號識別符、在副UCD伺服器206中的使用者帳號識別符、及主UCD伺服器證件。請注意LogoutRequest信息可能具有下面的示範格式:LogoutRequest(NameIdentifier,ProviderID),其中NameIdentifier欄位係下列之其中一者:(i)userIdM:當請求從主UCD伺服器登出至副UCD伺服器時之主UCD伺服器中的使用者識別符;或(ii)userIdS:當請求從副UCD伺服器登出至主UCD伺服器時之副UCD伺服器中的使用者識別符。ProviderID欄位係下列之其中一者:(i)serverIdM:當請求從主UCD伺服器登出至副UCD伺服器時之主UCD伺服器的URI;或(ii)serverIdS:當請求從副UCD伺服器登出至主UCD伺服器時之副UCD伺服器的URI。
6.副UCD伺服器206處理登出請求。亦即,副UCD伺服器206驗證主UCD伺服器的數位簽章。若簽章係為提供用於原理的目前會談之認證之主UCD伺服器
204的簽章,則副UCD伺服器206無效被<NameIdentifier>元素、及在信息中所供應的任何SessionIndex元素所指之使用者的會談。副UCD伺服器206將登出請求信息供應至任何判定,其符合某些需要,例如,(a)判定的SessionIndex匹配在登出請求中所指定的判定;及/或(b)即使判定在登出請求之後到達,判定仍會是有效的。
7.副UCD伺服器206以信息LogoutResponse將UCD客戶端202重新導向主UCD伺服器204。此信息被副UCD伺服器206數位地簽章。LogoutResponse信息可能具有下面的示範格式:LogoutResponse(ProviderID,狀態),其中ProviderID欄位具有下列之其中一者:(i)serverIdM:當回應於從主UCD伺服器登出至副UCD伺服器時之主UCD伺服器的URI;或(ii)serverIdS:當回應從副UCD伺服器登出至主UCD伺服器時之副UCD伺服器的URI。狀態欄位包括請求處理的結果。
8.在從每個副UCD伺服器206接收信息登出回應之後(上面在步驟4中所述),主UCD伺服器204將SingleLogoutResponse發送至UCD客戶端202且確認UCD客戶端202從副UCD伺服器206登出。示範信息格式係SingleLogoutResponse(結果),其中結果欄位係請求處理的結果。
同樣在本說明實施例中,最好以傳送層保全(TLS)來實作在客戶端與伺服器之間發信的HTTP以保持
機密性和信息完整性。
現在假設使用者想要進行與主UCD伺服器的身分解聯合。第5圖繪示上述身分解聯合方法。請注意在此省略從副UCD伺服器206發起之身分解聯合請求的程序之說明以簡化本說明,然而,給定本文針對第5圖所提出之說明,程序係明顯的且可能以簡單方式來實現。
方法500顯示從主UCS伺服器204發起的身分解聯合程序,其被描述如下(請注意下面使用之步驟的參考編號1.、1.1、1.2、2.、....9.對應於第5圖所示之方法的步驟編號):
1.使用者請求登入至主UCD伺服器204。UCD客戶端202發送包括使用者身分(例如,在主UCD伺服器204中的使用者帳號識別符)的信息UserLoginRequest(如上所述)。若使用者已被主UCD伺服器204認證且保持登入狀態,則方法直接繼續進行至步驟3。若否,則:
1.1 主UCD伺服器204回應於UCD客戶端202以認證使用者。信息可能包括待用於認證使用者的挑戰或隨機值。
1.2 UCD客戶端202將請求發送至主UCD伺服器204。信息包括使用者認證資訊,例如,使用者證件的摘要。
2.主UCD伺服器204根據認證資訊(例如,在主UCD伺服器中的使用者帳號識別符、使用者證件的摘要)來認證使用者,且以包含一列副UCD伺服器位址的信
息UserLoginResponse(如上所述)答覆UCD客戶端202。
3.使用者選擇待被解聯合的副UCD伺服器,即,在此假設解聯合請求有關副UCD伺服器206。UCD客戶端202將信息IdentityDefederationRequest發送至主UCD伺服器204。此請求信息包括在主UCD伺服器中的使用者帳號識別符、在副UCD伺服器中的使用者帳號識別符、及關於副UCD伺服器的資訊(例如,副UCD伺服器位址)。
用於解聯合請求信息的示範格式係如下:IdentityDefederationRequest(userIdM,userIdS,serverIdM,serverIdS),其中userIdM係在主UCD伺服器中的使用者識別符,userIdS係在副UCD伺服器中的使用者識別符,serverIdM係當對副UCD伺服器userIdS請求解聯合時之主UCD伺服器的URI,且serverIdS係當對主UCD伺服器請求聯合時之副UCD伺服器的URI。
4.主UCD伺服器204獲得副UCD伺服器206的位置資訊。
5.主UCD伺服器204將UCD客戶端202重新導向副UCD伺服器206。這是使用包括副UCD伺服器之位址、主UCD伺服器之位址、在主UCD伺服器中的使用者帳號識別符、在副UCD伺服器中的使用者帳號識別符、及主UCD伺服器證件的信息FederationTerminationNotification來實現。信息被主UCD
伺服器數位地簽章。
用於FederationTerminationNotification信息的示範格式係如下:FederationTerminationNotification(NameIdentifier,ProviderID),其中NameIdentifier欄位係下列之其中一者:(i)userIdM:當請求從主UCD伺服器至副UCD伺服器解聯合時之在主UCD伺服器中的使用者識別符;或(ii)userIdS:當請求從副UCD伺服器至主UCD伺服器解聯合時之在副UCD伺服器中的使用者識別符。ProviderID欄位係下列之其中一者:(i)serverIdM:當請求從主UCD伺服器至副UCD伺服器解聯合時之主UCD伺服器的URI;或(ii)serverIdS:當請求從副UCD伺服器至主UCD伺服器解聯合時之副UCD伺服器的URI。
副UCD伺服器206驗證主UCD伺服器204的數位簽章。
在無效聯合資訊(例如,在主UCD伺服器與副UCD伺服器之間的使用者帳號之映射)之前,副UCD伺服器206認證使用者以保證此使用者具有進行上述解聯合之權利。有數種可能運用的認證機制。一個說明性,但非限制的認證機制係如下:
5.1 主UCD伺服器206回應於UCD客戶端202以認證使用者。信息可能包括待用於認證使用者的挑戰或隨機值。
5.2 UCD客戶端202答覆副UCD伺服器206。信息包括使用者認證資訊,例如,使用者證件的摘要。
5.3 副UCD伺服器206認證使用者。副UCD伺服器206以HTTP信息200 OK答覆UCD客戶端202。
6.副UCD伺服器206無效(及可能移除/刪除)在主UCD伺服器204與副UCD伺服器206之間的使用者帳號之映射。
7.副UCD伺服器206將UCD客戶端202重新導向主UCD伺服器204。回應信息包括位於主UCD伺服器204的URI。
8.主UCD伺服器無效(及可能移除/刪除)在主UCD伺服器204與副UCD伺服器206之間的使用者帳號之映射。
9.主UCD伺服器204以信息IdentityDefederationResponse回應於UCD客戶端202。信息的示範格式係IdentityDefederationResponse(結果),其中結果欄位係請求處理的結果。
同樣在本說明性實施例中,最好以傳送層保全(TLS)來實作在客戶端與伺服器之間發信的HTTP以保持機密性和信息完整性。
第6圖顯示於其上實作根據本發明之一或更多實施例之資料儲存系統和方法的處理平台。在本實施例中,處理平台600包含標為610、620、和630的複數個處理裝置,其透過網路640彼此通訊。如圖所示,處理裝置610代表UCD客戶端(例如,在第2-5圖中的UCD客戶端202),處理裝置620代表主UCD伺服器(例如,在第2-
5圖中的主UCD伺服器204),且處理裝置630代表副UCD伺服器(例如,在第2-5圖中的副UCD伺服器206)。額外處理裝置(未明確地示出)可以是處理平台600的一部分。將了解UCD架構之一或更多元件(UCD客戶端和UCD伺服器)可能各在一或更多電腦或其他處理平台元件上運行,其中之各者可能被視為在本文中一般被視為「處理裝置」之實例。如第6圖所示,這類裝置一般包含至少一個處理器和相關記憶體,且實作用於實例化及/控制本文所述之系統和方法之特徵的一或更多功能模組。在一給定實施例中,可能藉由單一處理裝置來實作多個元件或模組。
在處理平台600中的處理裝置610包含處理器614,耦接至記憶體616。處理器614可能包含微處理器、微控制器、專用積體電路(ASIC)、現場可編程閘陣列(FPGA)或其他類型的處理電路、以及這類電路元件之部分或組合。如本文所揭露之系統的元件能至少部分以儲存在記憶體中且由如處理器614之處理器執行的一或更多軟體程式之形式來實作。具有上述程式碼實作於其中的記憶體616(或其他儲存裝置)係在本文中更一般被稱為非暫態處理器可讀(或電腦可讀)儲存媒體之實例。包含上述處理器可讀儲存媒體的製造物品被視為本發明之實施例。例如,給定之這類製造物品可能包含如儲存磁碟、儲存陣列或包含記憶體之積體電路的儲存裝置。如本文所使用的「製造物品」之術語應被視為排除暫態、傳播信號。
再者,記憶體616可能包含以任何組合之如隨機存取記憶體(RAM)、唯讀記憶體(ROM)或其他類型之記憶體的電子記憶體。一或更多軟體程式當被如處理裝置610的處理裝置執行時使裝置進行關聯於系統/方法200、300、400及/或500的一或更多元件/步驟的功能。給定本文所提出之教導,本領域之技藝者將能夠易於實作這類軟體。實作本發明之實施例的處理器可讀儲存媒體之其他實例可能包括例如光或磁碟。
也包括在處理裝置610中的是I/O裝置/網路介面電路612。I/O裝置包括用於將資料輸入至處理裝置的一或更多輸入裝置(例如,鍵盤、小鍵盤、滑鼠、觸控螢幕等)、以及用於提供關聯於處理裝置之結果的一或更多輸出裝置(例如,電腦顯示器、螢幕、圖形使用者介面等)。網路介面包括用以將處理裝置與網路(例如,640)及其他網路元件(例如,620和630)連接的電路。這類電路可能包括本領域中熟知類型的傳統收發器。
處理平台600的其他處理裝置620(具有I/O裝置/網路介面622、處理器624、及記憶體626)和630(具有I/O裝置/網路介面632、處理器634、及記憶體636)被假設為以類似於對圖中之處理裝置610顯示的方式來配置。
雖然本文在利用特定通訊協定之通訊網路和系統的內文中說明了某些說明性實施例,但在其他實施例中能使用其他類型的網路和系統。如上所提及,如本文所
使用的「網路」或「系統」之術語因此預期被廣義地解釋。此外,應強調上述實施例僅為了說明之目的,且不應以任何方式被解釋為限制的。其他實施例可能使用不同類型的網路、系統、裝置和模組配置,及用於實作安全功能的其他通訊協定、程序步驟和操作。在其他實施例中,能改變其中使用者裝置和網路節點通訊的特定方式。而且,應了解在描述說明性實施例之內文中進行的特定假設不應被解釋為本發明之要求。能在這些特定假設不適用的其他實施例中實作本發明。在所附之申請專利範圍之範圍內的這些和許多其他替代實施例對於本領域之那些技藝者而言將是顯而易見的。
200‧‧‧方法
202‧‧‧UCD客戶端
204‧‧‧主UCD伺服器
206‧‧‧副UCD伺服器
Claims (9)
- 一種方法,包含:藉由一客戶端請求被一第一雲端儲存伺服器認證;從該客戶端發送一身分聯合請求至該第一雲端儲存伺服器,其中該身分聯合請求試圖聯合在該第一雲端儲存伺服器上之該客戶端的使用者帳號與在一第二雲端儲存伺服器上之該客戶端的使用者帳號,並且回應於發送該身分聯合請求,將該客戶端從該第一雲端儲存伺服器重新導向至該第二雲端儲存伺服器;藉由該客戶端請求被該第二雲端儲存伺服器認證,使得一旦該客戶端被認證,該第二雲端儲存伺服器映射該第一雲端儲存伺服器上的使用者帳號與該第二雲端儲存伺服器上的使用者帳號,且建立兩者之間的身分聯合,其中回應於建立該身分聯合,將該客戶端從該第二雲端儲存伺服器重新導向至該第一雲端儲存伺服器;從該客戶端將一身分解聯合請求發送至該第二雲端儲存伺服器,其中該身分解聯合請求試圖從在該第二雲端儲存伺服器上之該客戶端的使用者帳號將在該第一雲端儲存伺服器上之該客戶端的使用者帳號解除聯合,並且回應於發送該身分解聯合請求,將該客戶端從該第二雲端儲存伺服器重新導向至該第一雲端儲存伺服器;及藉由該客戶端請求被該第一雲端儲存伺服器認證,使得一旦該客戶端被認證,該第一雲端儲存伺服器無效或刪除該第一雲端儲存伺服器上該使用者帳號與該第二雲端儲 存伺服器之使用者帳號的映射,藉此結束在該第一及第二雲端儲存伺服器上之使用者帳號之間的該身分聯合,其中回應於藉由該客戶端請求以被該第一雲端儲存伺服器認證,將該客戶端從該第一雲端儲存伺服器重新導向至該第二雲端儲存伺服器,其中藉由一處理裝置來進行該些步驟之一或更多者。
- 如申請專利範圍第1項所述之方法,更包含在該客戶端從該第二雲端儲存伺服器接收用於該客戶端的一登入符記以登入該第一雲端儲存伺服器的一服務。
- 如申請專利範圍第2項所述之方法,更包含從該客戶端將該登入符記發送至該第一雲端儲存伺服器。
- 一種製造物品,包含具有實作於其中之可執行程式碼的一處理器可讀儲存媒體,當該可執行程式碼被該處理裝置執行時使該處理裝置進行如申請專利範圍第1項所述之方法的步驟。
- 一種設備,包含一記憶體及一處理器,該處理器操作地耦接至該記憶體且配置以進行如申請專利範圍第1項所述之方法的步驟。
- 一種方法,包含:回應於從一客戶端至一第一雲端儲存伺服器的一身分聯合請求,其中該身分聯合請求試圖聯合在該第一雲端儲存伺服器上之該客戶端的使用者帳號與在一第二雲端儲存伺服器上之該客戶端的使用者帳號,在該第二雲端儲存伺服器接收來自該客戶端之一請求以被認證; 在該客戶端被認證之後,映射該第一雲端儲存伺服器上的使用者帳號與該第二雲端儲存伺服器的使用者帳號,且建立兩者之間的身分聯合;及將該客戶端從該第二雲端儲存伺服器重新導向該第一雲端儲存伺服器;藉由該第二雲端儲存伺服器從該客戶端接收一身分解聯合請求,其中該身分解聯合請求試圖解除在該第一雲端儲存伺服器上之該客戶端的使用者帳號與在該第二雲端儲存伺服器上之該客戶端的使用者帳號的聯合,藉由該第二雲端儲存伺服器從該第二雲端儲存伺服器重新導向該客戶端到該第一雲端儲存伺服器;及回應於藉由該客戶端請求以被該第一雲端儲存伺服器認證,藉由該第二雲端儲存伺服器接收由該第一雲端儲存伺服器的將該客戶端之重新導向,使得一旦該客戶端被認證,該第一雲端儲存伺服器無效或刪除該第一雲端儲存伺服器上該使用者帳號與該第二雲端儲存伺服器之使用者帳號的映射,藉此結束在該第一及第二雲端儲存伺服器上之使用者帳號之間的該身分聯合,其中藉由一處理裝置來進行該些步驟之一或更多者。
- 一種製造物品,包含具有實作於其中之可執行程式碼的一處理器可讀儲存媒體,當該可執行程式碼被該處理裝置執行時使該處理裝置進行如申請專利範圍第6項所述之方法的步驟。
- 一種設備,包含一記憶體及一處理器,該處理器 操作地耦接至該記憶體且配置以進行如申請專利範圍第6項所述之方法的步驟。
- 一種方法,包含:配置一第一雲端儲存伺服器以從一客戶端接收一請求以被認證,回應於從該客戶端至一第二雲端儲存伺服器的一身分聯合請求,其中該身分聯合請求試圖聯合在該第二雲端儲存伺服器上之該客戶端的使用者帳號與在該第一雲端儲存伺服器上之該客戶端的使用者帳號;配置該第一雲端儲存伺服器以在該客戶端被認證之後映射該第二雲端儲存伺服器上的使用者帳號與該第一雲端儲存伺服器的使用者帳號,且建立兩者之間的身分聯合;配置該第一雲端儲存伺服器以回應於建立該身分聯合,將該客戶端重新導向該第二雲端儲存伺服器;配置該第一雲端儲存伺服器以回應於從該客戶端接收一身分解聯合請求,從該第一雲端儲存伺服器重新導向該客戶端到該第二雲端儲存伺服器,其中該身分解聯合請求試圖從該第二雲端儲存伺服器上該客戶端的使用者帳號將在該第一雲端儲存伺服器上之該客戶端的使用者帳號解除聯合;及配置該第一雲端儲存伺服器以回應於藉由該客戶端的一請求以被該第二雲端儲存伺服器認證,從該第二雲端儲存伺服器接收該客戶端之重新導向,使得一旦該客戶端被認證,該第二雲端儲存伺服器無效或刪除該第一雲端儲存伺服器上的該使用者帳號與該第二雲端儲存伺服器之使用 者帳號的映射,藉此結束在該第一及第二雲端儲存伺服器上之使用者帳號之間的該身分聯合。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2014/079628 WO2015188320A1 (en) | 2014-06-10 | 2014-06-10 | Secure unified cloud storage |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201606564A TW201606564A (zh) | 2016-02-16 |
| TWI569167B true TWI569167B (zh) | 2017-02-01 |
Family
ID=54832700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104112583A TWI569167B (zh) | 2014-06-10 | 2015-04-20 | 安全的統一雲端儲存 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20170155639A1 (zh) |
| EP (1) | EP3155534A4 (zh) |
| JP (1) | JP2017523508A (zh) |
| KR (1) | KR20170016456A (zh) |
| CN (1) | CN106415519B (zh) |
| TW (1) | TWI569167B (zh) |
| WO (1) | WO2015188320A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2015207842B2 (en) * | 2014-07-29 | 2020-07-02 | Samsung Electronics Co., Ltd. | Method and apparatus for sharing data |
| US10623406B2 (en) * | 2016-07-22 | 2020-04-14 | Box, Inc. | Access authentication for cloud-based shared content |
| US11146657B2 (en) * | 2018-08-31 | 2021-10-12 | Latticework, Inc. | Binding a public cloud user account and a personal cloud user account for a hybrid cloud environment |
| US10389704B1 (en) * | 2018-09-12 | 2019-08-20 | Cohesity, Inc. | Cluster claim |
| US11785051B1 (en) * | 2019-03-28 | 2023-10-10 | Amazon Technologies, Inc. | Cloud computing identity ecosystem |
| WO2023150527A1 (en) | 2022-02-02 | 2023-08-10 | Oracle International Corporation | Configuring a network-link for establishing communication between different cloud environments |
| WO2024081837A1 (en) * | 2022-10-14 | 2024-04-18 | Oracle International Corporation | Authorization framework in a multi-cloud infrastructure |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130007867A1 (en) * | 2011-06-30 | 2013-01-03 | Cisco Technology, Inc. | Network Identity for Software-as-a-Service Authentication |
| CN103023993A (zh) * | 2012-11-28 | 2013-04-03 | 青岛双瑞海洋环境工程股份有限公司 | 一种基于云计算的企业信息系统 |
| US20130110967A1 (en) * | 2011-11-01 | 2013-05-02 | Hitachi, Ltd. | Information system and method for managing data in information system |
| TW201338494A (zh) * | 2012-03-02 | 2013-09-16 | Univ Nat Cheng Kung | 雲端認證系統及方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060218628A1 (en) * | 2005-03-22 | 2006-09-28 | Hinton Heather M | Method and system for enhanced federated single logout |
| US9614924B2 (en) * | 2008-12-22 | 2017-04-04 | Ctera Networks Ltd. | Storage device and method thereof for integrating network attached storage with cloud storage services |
| US8924569B2 (en) * | 2009-12-17 | 2014-12-30 | Intel Corporation | Cloud federation as a service |
| US9501365B2 (en) * | 2009-12-28 | 2016-11-22 | Netapp, Inc. | Cloud-based disaster recovery of backup data and metadata |
| US8984503B2 (en) * | 2009-12-31 | 2015-03-17 | International Business Machines Corporation | Porting virtual images between platforms |
| US9137304B2 (en) * | 2011-05-25 | 2015-09-15 | Alcatel Lucent | Method and apparatus for achieving data security in a distributed cloud computing environment |
| KR20140119855A (ko) * | 2013-03-27 | 2014-10-13 | 주식회사 팬택 | 클라우드 연동 기능을 갖는 휴대 단말 및 이를 위한 파일 관리 방법 |
| US9509694B2 (en) * | 2013-12-31 | 2016-11-29 | EMC IP Holding Company LLC | Parallel on-premises and cloud-based authentication |
-
2014
- 2014-06-10 KR KR1020177000480A patent/KR20170016456A/ko not_active Application Discontinuation
- 2014-06-10 WO PCT/CN2014/079628 patent/WO2015188320A1/en active Application Filing
- 2014-06-10 JP JP2016572396A patent/JP2017523508A/ja active Pending
- 2014-06-10 CN CN201480079577.4A patent/CN106415519B/zh active Active
- 2014-06-10 EP EP14894632.0A patent/EP3155534A4/en not_active Withdrawn
- 2014-06-10 US US15/316,761 patent/US20170155639A1/en not_active Abandoned
-
2015
- 2015-04-20 TW TW104112583A patent/TWI569167B/zh not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130007867A1 (en) * | 2011-06-30 | 2013-01-03 | Cisco Technology, Inc. | Network Identity for Software-as-a-Service Authentication |
| US20130110967A1 (en) * | 2011-11-01 | 2013-05-02 | Hitachi, Ltd. | Information system and method for managing data in information system |
| TW201338494A (zh) * | 2012-03-02 | 2013-09-16 | Univ Nat Cheng Kung | 雲端認證系統及方法 |
| CN103023993A (zh) * | 2012-11-28 | 2013-04-03 | 青岛双瑞海洋环境工程股份有限公司 | 一种基于云计算的企业信息系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3155534A1 (en) | 2017-04-19 |
| CN106415519A (zh) | 2017-02-15 |
| KR20170016456A (ko) | 2017-02-13 |
| JP2017523508A (ja) | 2017-08-17 |
| TW201606564A (zh) | 2016-02-16 |
| WO2015188320A1 (en) | 2015-12-17 |
| EP3155534A4 (en) | 2017-11-29 |
| US20170155639A1 (en) | 2017-06-01 |
| CN106415519B (zh) | 2019-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102188919B1 (ko) | 클라이언트 애플리케이션들에 대한 보안 싱글 사인 온 및 조건부 액세스 | |
| TWI569167B (zh) | 安全的統一雲端儲存 | |
| US10122707B2 (en) | User impersonation/delegation in a token-based authentication system | |
| US9787659B2 (en) | Techniques for secure access management in virtual environments | |
| US9565178B2 (en) | Using representational state transfer (REST) for consent management | |
| US9450963B2 (en) | Multiple resource servers interacting with single OAuth server | |
| US10122703B2 (en) | Federated full domain logon | |
| US9419962B2 (en) | Method and apparatus for sharing server resources using a local group | |
| US9038138B2 (en) | Device token protocol for authorization and persistent authentication shared across applications | |
| US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
| US9276869B2 (en) | Dynamically selecting an identity provider for a single sign-on request | |
| US20190068578A1 (en) | Hybrid single sign-on for software applications and services using classic and modern identity providers | |
| US20110231840A1 (en) | Techniques for sharing virtual machine (vm) resources | |
| US20180091490A1 (en) | Authentication framework for a client of a remote database | |
| WO2015042349A1 (en) | Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service | |
| US12101319B2 (en) | Computing session multi-factor authentication | |
| JP7027612B2 (ja) | ヘルパを介したクライアントデバイスの匿名セッションへの接続 | |
| JP7018255B2 (ja) | 認証管理装置及びプログラム | |
| Edge et al. | Identity and Device Trust |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |