CN101669128A - 级联认证*** - Google Patents
级联认证*** Download PDFInfo
- Publication number
- CN101669128A CN101669128A CN200880013086A CN200880013086A CN101669128A CN 101669128 A CN101669128 A CN 101669128A CN 200880013086 A CN200880013086 A CN 200880013086A CN 200880013086 A CN200880013086 A CN 200880013086A CN 101669128 A CN101669128 A CN 101669128A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- destination server
- certification scheme
- plan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
大体上讲,本发明公开了用于基于之前到其他服务器的认证来将用户认证到服务器的***、方法和介质。用于将用户认证到服务器的方法的实施例包括:接收用于将用户认证到服务器的请求,以及确定认证用户是否要求匹配认证计划。如果要求计划,则该方法还可以包括:访问具有认证记录的所存储的认证计划,每个认证记录具有与用户接入到不同服务器相关的期望的信息。该方法还可以包括:从认证存储接收用户的当前认证计划的指示,在认证存储中该计划具有认证记录,每个认证记录具有关于用户接入的当前信息。该方法的实施例还可以包括:将所存储的认证计划和所接收的当前认证计划比较以确定它们是否匹配,以及响应于匹配来认证用户。
Description
技术领域
本发明涉及数据处理***领域,并且具体地,涉及用于实现用于基于由用户到其他服务器的之前认证来将用户认证到服务器的级联认证***的***、方法和介质。
背景技术
在现有技术中计算机***众所周知,并且实现了广泛使用,用于为如今的现代社会的许多部分提供计算机能力。因为半导体处理和计算机体系的进步持续向更高的方向推动计算机硬件的性能,所以更复杂的计算机软件已经演进以利用硬件的更高性能,导致计算机***持续在复杂度和能力方面增长。计算机***从而已经演进为极其复杂的设备,可以在许多不同的环境中找到。
许多组织将服务器计算机***用于更复杂的任务,例如:提供电子商务网站、提供复杂的多用户应用、维护大型数据库、或者执行其他资源密集(resource-intensive)的任务。具有显著的计算需要的组织通常具有许多服务器,这些服务器与经由诸如局域网(LAN)的网络互相通信的服务器一起执行多种任务。在这些***中,单独的用户可以与服务器交互以接入各种各样的***资源,比如应用、数据库或其他资源,使得***资源可以被多个用户共享。
用户通常通过成功地导航(navigating)在不同级别处的认证而到达他们的目标服务器(例如,他们期望获得接入的软件服务器)。例如,期望接入作为数据库的目标服务器的用户可能首先需要认证到他们计算机的操作***,接着从因特网认证到虚拟私有网(VPN)以接入公司网络,然后认证到防火墙以接入实验室,并且最后以位于实验室中机器上的数据库来认证。其他认证步骤是可能的,例如建立登陆到远程机器的远程控制会话,诸如使用SSH或Telnet的远程外壳(shell)会话,或者其他步骤。
然而,如果黑客可以“跳过”多个层并且从目标服务器尽可能少的层开始他们的认证尝试,则这种级联认证的***可能导致安全风险。例如,如果有人期望伪装成特别的用户,则更容易得多的是猜测或获取一组证书(credential)而不是多组(假设每层具有不同的证书)。因此典型地,更容易的是作为“内部者”获得未授权的接入,这部分因为存在更少的层。在说明性例子中,具有四层认证的***可以被假设为:外部墙具有95%的机会阻止黑客,内部防火墙具有93%的机会,安全***具有90%的机会,以及应用层认证具有85%的机会。采用所有方式从外界到应用的累积概率为1减去在通过***级联的每点处被停下来的机会,得到(0.05)(0.07)(0.10)(0.15)=0.0000525的概率。相反,在本例子中具有到应用的直接接入的内部者将具有15%的机会(0.15)来穿透(penetrating)应用,因为他们避免了之前层的认证。
***设计者已经尝试解决黑客通过仿效内部者来跳过认证的层的问题。一种已知的解决方案是仅允许来自于限定的IP或MAC地址的认证以将接入限制到指定的地址。然而,这种解决方案经常是不现实的,特别是当牵涉到VPN时。而且,这种解决方案在共享所授权的机器时是不充分的,没有完全利用所有的认证层,并且可容易地被欺骗(spoofed)。另一种已知的解决方案是要求额外的认证,例如智能卡或其他设备。然而,这种解决方案要求显著的基础设施成本并且增加用户的非便利性。如果用户需要认证多层,则将恶化这些问题,因为典型地,对于多层中的每层将要求单独的智能卡。
发明内容
通过用于基于之前到其他服务器的认证来将用户认证到服务器的***、方法和介质,大部分解决了上述的问题。
用于将用户认证到服务器的方法的实施例可以包括:接收用于将用户认证到服务器的请求,以及确定认证用户是否要求匹配认证计划。如果要求计划,则该方法还可以包括:访问具有认证记录的所存储的认证计划,每个认证记录具有与用户接入到在认证的之前层处的不同的指定的服务器而不是目标服务器相关的期望的信息。该方法还可以包括:从认证存储接收用户的当前认证计划的指示,在认证存储中计划具有授权记录,且每个授权记录具有与用户接入到在认证的之前层处的指定的不同的服务器而不是目标服务器相关的当前信息。该方法的实施例还可以包括:将所存储的认证计划和所接收的当前认证计划相比较以确定它们是否匹配,以及响应于匹配来认证用户。
另一实施例提供了计算机程序产品,该计算机程序产品包括具有计算机可读程序的计算机可用介质,其中当在计算机上执行该计算机可读程序时,该计算机可读程序引起计算机执行用于将用户认证到服务器的一系列操作。该一系列操作总的来说包括:接收用于将用户认证到服务器的请求,以及确定认证用户是否要求匹配认证计划。如果要求计划,则该一系列操作还可以包括:访问具有认证记录的所存储的认证计划,每个认证记录具有与用户接入到在认证的之前层处的不同的指定的服务器而不是目标服务器相关的期望的信息。该一系列操作的实施例还可以包括:从认证存储接收用户的当前认证计划的标识,在认证存储中计划具有授权记录,每个授权记录具有与用户接入到在认证的之前层处的指定的不同的服务器而不是目标服务器相关的当前信息。该一系列操作的实施例还可以包括:将所存储的认证计划与所接收的当前认证计划相比较以确定它们是否匹配,以及响应于匹配来认证用户
另外的实施例提供了级联认证***。级联认证***可以包括目标服务器,其具有用于访问与用户请求接入到该目标服务器相关联的所存储的认证计划的认证计划管理器,其中所存储的认证计划包括一个或多个认证记录,每个认证记录具有与由用户接入到在认证的之前层处的不同的指定的服务器而不是目标服务器相关的期望的信息。该级联认证***还可以包括认证存储,用于存储与用户相关联的当前认证计划,其中当前认证计划包括一个或多个认证记录,每个认证记录具有与由用户接入到在认证的之前层处的不同的指定的服务器而不是目标服务器相关的当前信息。该级联认证***的实施例还可以包括认证存储管理器,用于向目标服务器的认证计划管理器提供与指定的用户相关联的当前认证计划,其中目标服务器的认证计划管理器确定是否基于针对用户的所存储的认证计划和针对用户的当前认证计划之间的比较来认证用户。
另一实施例提供了用于将用户认证到目标服务器的方法。该方法的实施例可以包括:对在认证到目标服务器的之前层处的一个或多个服务器执行认证步骤,以及将对于每个所执行的认证步骤的认证事件记录存储在认证存储中。该方法的实施例还可以包括:尝试认证到目标服务器,其中该目标服务器要求与用户相关联的认证计划。该方法的实施例还可以包括:接收是否许可接入到目标服务器的指示。
优选地,认证计划的每个认证记录包括服务器标识符和认证事件事实。更优选地,认证存储是加密数据库。仍然更优选地,认证存储管理器在请求接入到目标服务器的用户的用户计算机***的非易失存储器中执行。仍然更优选地,认证存储管理器在受信任的第三方计算机***上执行。仍然更优选地,响应于接收不许可接入到目标服务器的指示,解决与目标服务器的认证计划不匹配。
附图说明
通过阅读之后的具体实施方式并且通过参考附图,本发明的某些实施例的方面将变得明显,在附图中,类似的附图标记可表示类似元件:
图1示出了根据一些实施例的具有用户计算机***、多个目标服务器和认证存储的级联认证***的环境;
图2示出了适于用作级联认证***的部件的计算机***的一个实施例的框图;
图3示出了根据一些实施例的认证计划管理器的软件部件的概念性说明;
图4示出了根据一些实施例的认证存储管理器的软件部件的概念性说明;
图5示出了根据一些实施例的用于为特定用户和目标服务器创建认证计划的流程图的例子;
图6示出了根据一些实施例的用于通过用户认证到目标服务器的流程图的例子;以及
图7示出了根据一些实施例的用于通过目标服务器认证用户的流程图的例子。
具体实施方式
下面是在附图中示出的本发明的例子实施例的详细描述。例子实施例以这种详细的方式是为了清楚地说明本发明。然而,提供的细节量并不试图限制实施例所预期的变形;相反,本发明覆盖了所有落入由所附权利要求定义的本发明的精神和范围内的修改、等效和替换。下面的描述被设计为使得这些实施例对于本领域普通技术人员是明显的。
大体上讲,本发明公开了用于基于到其他服务器的之前认证来将用户认证到服务器的***、方法和介质。用于将用户认证到服务器的方法的实施例可以包括:接收用于将用户认证到服务器的请求,以及确定认证用户是否要求匹配认证计划。如果要求计划,则该方法还可以包括:接入具有认证记录的所存储的认证计划,每一个认证记录具有与用户接入到在认证的之前层处的不同的指定的服务器而不是目标服务器有关的期望的信息。该方法还可以包括:从认证存储接收用户的当前认证计划的指示(indication),在认证存储中计划具有授权记录,每一个授权记录具有与用户接入到在认证的之前层处的不同服务器、具体服务器而不是目标服务器有关的当前信息。该方法的实施例还可以包括:将所存储的认证计划和所接收的当前认证计划进行比较以确定它们是否匹配,以及响应于匹配来认证用户。
所公开的实施例的***和方法学允许通过依赖于之前完成的到其他服务器的其他认证,来将用户有效果并有效率地认证到目标服务器。根据所公开的实施例的目标服务器被赋予能力用于核实并且要求根据认证用户之前的预先建立的认证计划的认证的之前层。这种解决方案帮助阻止黑客或其他人绕过(bypass)认证的较早层,例如通过假装为“内部者”,这增加了目标服务器的整体安全性。从而可以使得分层(tiered)认证***的内部层比之前的***更安全,因为内部层可以更直接地受益于来自之前层的授权方案。在其中商业规则或特定用户规则要求用户必须经历认证的多个限定层的情况下,所公开的***和方法学可以增强安全性,特别是来自于内部者的安全性。
通常,执行来实现本发明的实施例的例程可以是部分的特定应用、部件、程序、模块、对象或指令序列。本发明的计算机程序典型地由多指令构成,所述多指令将被本地计算机翻译为计算机可读的格式以及因而翻译为可执行指令。另外,程序由变量和数据结构构成,所述变量和数据结构可本地存在于程序中,也可以在存储器中或存储设备上找到。此外,可以基于应用来识别在此描述的各种各样的程序,它们在本发明的特定实施例中实现以用于应用。然而,应该理解的是,在此的任何具体程序术语仅为了方便而使用,从而本发明不应该限于仅用在由这些术语标识和/或暗示的任何特定应用中。
由于下面将参考硬件和/或软件的具体配置来描述特定实施例,本领域的技术人员将意识到,本发明的实施例可用其他基本等效的硬件、软件***、手动操作或者任意这些或所有这些的任何组合来有利地实现。本发明可以采用全硬件实施例、全软件实施例、或者包含硬件和软件元件的实施例的形式。在优选实施例中,本发明以软件形式实现,其包括但不限于固件、常驻(resident)软件、微代码等。
在此描述的本发明的方面可被存储或分布在计算机可读介质上,以及电子地分布于因特网或其他网络,包括无线网络之上。具体用于本发明的方面的数据结构和数据传送(包括无线传送)也被包括在本发明的范围内。而且,本发明可以采取从提供程序代码的计算机可读介质上可访问的计算机程序产品的形式,所述程序代码用于由计算机或任何指令执行***使用或者与计算机或任何指令执行***有关。为了该描述的目的,计算机可用或计算机可读介质可以是任何设备,其可以包括、存储、通信、传播或传送程序,所述代码用于由指令执行***、设备或装置使用或者与指令执行***、设备或装置有关。介质可以是电子的、磁的、光的、电磁的、红外线的、或半导体***(或设备或装置)或传播介质。计算机可读介质的例子包括:半导体或固态存储器、磁带、可拆卸计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性磁盘和光盘。光盘的当前例子包括:致密盘-只读存储器(CD-ROM)、致密盘-读/写(CD-R/W)和DVD。
在此描述的每个软件程序可以在任何类型的数据处理***上操作,例如个人计算机、服务器等。适于存储和/或执行程序代码的数据处理***可以包括通过***总线直接或间接耦连到存储器元件的至少一个处理器。存储器元件可以包括:执行程序代码期间使用的局部(local)存储器,块(bulk)存储,以及为至少一些程序代码提供临时存储以减少在执行期间必须从块存储检索代码的次数的高速缓存(cache)存储器。可以直接或通过介入(intervene)I/O控制器将输入/输出(I/O)装置(包括但不限于键盘、显示器、指针装置等)耦接到***。还可以将网络适配器耦接到***,以使得数据处理***可以通过介入包括无线网络的私有网或公有网而变为耦接到其他数据处理***或远程打印机或存储装置。调制解调器、线缆调制解调器和以太网卡仅仅是网络适配器的一些当前可用的类型。
现在回到附图,图1示出了根据一些实施例的具有用户计算机***、多个目标服务器和认证存储的级联认证***的环境。在所描述的实施例中,级联认证***100包括用户计算机***102以及经由网络104通信的多个目标服务器106。如将在随后描述的,目标服务器106是软件意义而不是机器分类意义的服务器,从而可将其视为软件实体(例如应用、操作***、网络接口等),对于该软件实体,可能需要认证来接入。用户计算机***102和/或目标服务器106也可以经由网络104与认证存储108通信。
用户计算机***102的用户可能期望接入作为目标服务器106序列中的下面一层或多层的具体目标服务器106,例如由防火墙目标服务器106和操作***认证协议保护的数据库目标服务器106。如随后将更详细描述的,所公开的***可以在向具体目标服务器106提供认证之前,有利地要求关于在目标服务器106的更低层的认证的信息,例如通过在认证到数据库目标服务器106之前,要求关于到防火墙或操作***目标服务器106的用户认证的信息。为了完成这个,目标服务器106可以将之前存储的认证计划和关于用户的当前认证的信息相比较,以确定它们是否匹配。如果它们不匹配,则目标服务器106可拒绝接入,因为用户可能伪装成内部者以跳过多层认证,而如果它们匹配,则用户可被认证到目标服务器106。认证计划可包括一个或多个限定的认证步骤,所述认证步骤在允许用户认证之前必须执行。认证计划的例子可能要求,例如,用户也必须在可能独立于服务器A的服务器B之前首先在服务器A处认证,允许用户在即便证书不完美的情况下认证。认证计划可以要求其所需要的或者用户或目标服务器106所期望的那么多的步骤。
用户可以利用根据本实施例的用户计算机***102,以帮助经由认证获得到目标服务器106的接入。用户计算机***102可以是适于执行计算机程序的个人计算机***或其他计算机***,例如:个人计算机、工作站、服务器、笔记本计算机、台式计算机、个人数字阻力(PDA)、移动电话、无线装置、或者置顶盒。用户可以经由用户接口与用户计算机***102交互,以例如请求到目标服务器106的接入或从目标服务器106接收关于是否许可接入的信息。用户计算机***102可以与网络104通信以传送和接收信息。
用户计算机***102可以包括认证存储管理器112以帮助级联认证。将参考图4详细描述的认证存储管理器112可以提供用于与目标服务器106和/或认证存储108交互。认证存储管理器112可以例如针对认证存储108中的每个执行的认证步骤来存储认证事件纪录。认证存储管理器112还可以与目标服务器106交互,例如当目标服务器106许可或拒绝接入、请求或建立认证计划、或者请求对认证计划和用户的当前认证之间的差异的解决方案时。认证存储管理器112从而可以用作认证信息的受信任的源,用于请求这种认证信息的各种目标服务器106的认证机制。
网络104可以是任何类型的数据通信信道或信道的组合,例如:因特网、内联网、LAN、WAN、以太网网络、无线网络、电话网络、私有网络、或者宽带线缆网络。在一个例子中,LAN在公司环境中作为用户计算机***102和目标服务器106之间的网络104可能特别有用,用于帮助组织内的通信,而在其他例子中,网络104可以使用作为网络104的因特网来将用户计算机***102与基于网络的认证存储108相连接。然而,本领域的技术人员将认识到,在此描述的发明可以使用任何类型的数据通信信道或其组合来实现而不背离本发明的范围和实质。
如前所述,目标服务器106是软件实体,可以为其要求和许可认证,以接入每个目标服务器106的资源。目标服务器106可以包括广泛种类的软件实体,包括:操作***、数据库、防火墙、虚拟私有网(VPN)、网络、应用、或者其他实体。可以在诸如应用服务器之类的服务器计算机***上以及其他任何类型的计算机***(例如参考图2所描述的)上实现一个或多个目标服务器106。如图1所示,可以以层的方式嵌套目标服务器106,使得接入到内部目标服务器106首先要求接入到外层(图1中)、更低级别的目标服务器106。例如,在所描述的实施例中,接入到层3处的目标服务器106还将要求接入到层1和2处的目标服务器106。
每个目标服务器106可以包括认证计划管理器110,用于接入与请求接入到目标服务器106的用户相关联的所存储的认证计划。所存储的认证计划可以包括一个或多个认证纪录,每个认证纪录具有与由用户接入到在认证的之前层处的不同目标服务器106而不是该目标服务器106相关的所期望的信息。认证计划管理器110可以提供当前认证计划,代表来自于认证存储管理器112的用户的当前认证状况(认证存储管理器112自身可以从认证存储108接入当前认证计划)。认证计划管理器110还可以决定是否基于在所存储的认证计划和当前认证计划之间的比较来认证用户。通过比较所期望的存储的认证计划和当前认证计划,认证计划管理器110可以确认用户是否已经在目标服务器106的更低层处进行了适当的认证,并且即使他们其他的证书(例如密码)是正确的,仍可以拒绝对这种用户的接入,这为目标服务器106提供了改善的安全性。
诸如遗留(legacy)***之类的一些目标服务器106可能不具有认证计划管理器110,从而不要求相关的认证计划,但是随后的目标服务器106仍然可以使用来自于这些目标服务器106的认证以增强它们的安全性。所公开的***从而兼容于现存基础设施,因为不实现所公开的***的目标服务器106将不请求认证信息,相反将常规地执行认证。如图1所示,一个级联认证***100中的一些目标服务器106可以具有认证计划管理器110(从而实现了所公开的***)而其他的不具有认证计划管理器。
认证存储108可以包括任何类型的存储装置或其组合,包括:诸如硬件驱动之类的易失或非易失存储、存储区域网络、存储器、固定或可拆卸存储、或者其他存储装置。在一些实施例中认证存储108可以是全异的本地和远程认证信息的加密数据库,可以由诸如认证存储管理器112之类的受信的源(代表请求该信息的任何授权的认证机制)来写入和读取。认证存储108可以位于级联认证***100的多种位置,例如:单机部件(可能由在远程服务器或服务器的网络上的受信的第三方实现),或者用户计算机***102或认证存储管理器112的一部分。
图2示出了适于用作级联认证***的部件的计算机***200的一个实施例的框图。计算机***200的其他可能性是有可能的,包括具有非在此归结的并且可能超出那些能力的计算机,并且在其他实施例中,它们可以是处理装置的任意组合,例如:工作站、服务器、大型(mainframe)计算机、笔记本计算机、台式计算机、PDA、移动电话、无线装置、置顶盒等。至少计算机***200的某些部件可以被安装在多层平板或主板上(平板或主板自身可以被安装在底盘上),以提供用于电互连计算机***200的部件的装置。计算机***200可以用于实现一个或多个目标服务器106、用户计算机***102、和/或认证存储108。
在所描述的实施例中,计算机***200包括连接到总线212或其他互连的:处理器202、存储204、存储器206、用户接口适配器208、以及显示器适配器210。总线212帮助处理器202和计算机***200的其他部件之间的通信,以及部件之间的通信。处理器202可以包括一个或多个***中央处理单元(CPU)或处理器以执行指令。处理器202可以使用存储204,存储204可以是非易失存储,例如:一个或多个硬件驱动、磁带驱动、磁盘驱动、CD-ROM驱动、DVD-ROM驱动等。处理器202还可以经由总线212连接到存储器206,例如经由存储器控制集线器(MCH)。***存储器206可以包括易失存储器,例如:随机读取存储器(RAM)、或者双倍速率(DDR)同步动态随机存取存储器(SDRAM)。例如,在所公开的***中,处理器202可以执行指令以执行认证存储管理器112的功能,例如通过与认证存储108交互,并且可以在它的计算期间暂时或永久地存储信息或在存储204或存储器206中存储计算之后的结果。例如,可以在它的例程执行期间将所有部分的认证存储管理器112存储在存储器206中。
用户接口适配器208可以将处理器202与诸如鼠标220或键盘222之类的用户接口装置相连接。用户接口适配器208还可以与其他类型的用户输入装置相连,例如:触摸板、触敏屏、电子笔、麦克风等。客户端102的用户请求接入到目标服务器106或解决认证计划冲突,例如,可以使用键盘222和鼠标220以与计算机***交互。总线212还可以经由显示器适配器210将处理器202连接到诸如LCD显示器或CRT监控器之类的显示器。
当认证存储管理器112被描述为位于图2中的处理器202中(例如BIOS的部件)时,本领域的普通技术人员将意识到其他替代物是可能的。在优选实施例中,认证存储管理器112可以在具有充分级别的安全性的位置来执行,以最小化攻击(hacking)的可能性。因为认证存储管理器112被信任来用于提供来自于认证存储108的精确信息,所以它优选的是通过具有受信加密的受信方来实现,并且它还可以与被认证以阻止欺骗这些记录的每个目标服务器106来交换私有密钥(或其他合适的加密方法)。在操作***中(例如核),或者通过诸如VeriSign Inc之类的第三方或公司轻量级目录访问协议(LDAP)目录扩展,认证存储管理器112从而可以在硬件(BIOS)中的低层处实现,如图2所示。因为防火墙和网络可见性的其他局限度,可以要求代理认证存储管理器112来跨过网络桥接以回复(field)请求。
图3示出了根据一些实施例的认证计划管理器110的软件部分的概念性说明。如前所述(并且参考图7更详细地),认证计划管理器110可以基于所存储的认证计划和在认证存储108中找到的用户的当前认证来认证用户。认证计划管理器110可以包括:认证存储管理器接口模块302、用户计算机***接口模块304、认证计划仓库306、和认证模块308。认证存储管理器接口模块302可以提供用于经由认证存储管理器112与认证存储108的通信,从而作为认证存储108和认证计划管理器110的其他部件之间的接口。用户计算机***接口模块304可以提供用于与用户计算机***的通信,包括接收用于接入到目标服务器106的请求以及将是否许可接入的标识传送到用户。在一些实施例中,可以将认证存储管理器接口模块302和用户计算机***接口模块304的功能合并到一个模块中,例如当用户计算机***102包括认证存储管理器112时。
认证模块308可以提供多种功能以帮助根据本实施例的用户的认证。认证模块308将与多个用户相关联的认证计划存储在认证计划仓库306中,并接入在认证计划仓库306中的与多个用户相关联的认证计划。当从用户接收认证计划时,或者当为用户(或结合用户)开放认证计划时,认证模块308可以存储认证计划,并且可以响应于用户请求接入到目标服务器106来接入所存储的认证计划,实现认证计划管理器110。在用户计算机***接口模块304接收来自于用户的认证请求之后,认证模块308可以为那个用户从认证计划仓库306接入所存储的认证计划,并且将那个计划与当前认证计划(由认证存储管理器接口模块302接收的)相比较。
图4示出了根据一些实施例的认证存储管理器112的软件部分的概念性说明。如前所述(并且参考图6更详细的),认证存储管理器112可以通过管理认证存储108来帮助存储和管理与多个目标服务器106的用户的认证相关的认证信息。认证存储管理器112可以包括:用户接口模块402、认证存储接口模块404、服务器接口模块406、认证事件监控器408、以及认证计划生成器410。用户接口模块402可以帮助与用户的通信,包括接收用于接入到目标服务器106的请求以及传送许可接入或拒绝接入的指示或者其他信息,认证计划需要该标识来被创建或修改。认证存储接口模块404可以帮助与认证存储108的通信,包括将认证事件的指示存储在认证存储108中以及在诸如目标服务器106之类的认证实体的请求下接入认证计划。服务器接口模块406可以帮助目标服务器106(以及它的认证计划管理器110)和认证存储管理器112之间的通信。这三个接口模块402、404和406的每个可以提供认证存储管理器112的部件和外部实体之间的通信,并且可以以任何方式将它们的功能组合或划分。
认证事件监控器408可以监控用户所执行的认证步骤(例如输入密码、使用智能卡等),并且可以(经由认证存储接口模块404)将这些步骤的加密指示存储在认证存储108中。在一些实施例中,认证事件监控器408可以在每个认证步骤处创建用于存储在认证存储108中的加密事件记录,该记录具有认证的随后层可能请求的信息。在认证记录中的信息可以包括:用于内部管理使用的一个或多个唯一记录标识符、一个或多个目标服务器106标识符(例如MAC地址、服务器类型、服务器标识符、服务器组、IP地址等)、一个或多个用户标识符(例如用户名称、群名称等)、一个或多个认证事件事实(例如在成功登陆之前所失败的认证尝试的数量、认证存储108本地的时间戳等)、或者其他信息。
认证计划生成器410可以帮助创建和维护针对用户的认证计划。如果目标服务器106要求或允许的话,则用户可以创建计划,例如通过识别他们的认证存储中的当前记录,对于指定的目标服务器106应该将该记录用在认证计划中。在一些实施例中,目标服务器106的管理员可能已经预先建立了在任何认证计划中所要求的要求认证步骤。例如,服务器管理员可能要求认证计划至少包括服务器类型BIOS、OS、VPN和FIREWALL,并且可能还包括预先知道的诸如特定VPN服务器群或防火墙IP地址之类的信息。用于用户的保护,用户还可以请求包括由目标服务器106要求的那些步骤之外的额外步骤。
图5示出了根据一些实施例的用于为指定的用户和目标服务器创建认证计划的流程图500的例子。在一个实施例中,可以通过诸如认证计划管理器110和认证存储管理器112之类的级联认证***100的部件来执行流程图500的方法。流程图500开始于元素502,接收用于为指定的服务器创建认证计划的请求。可以从尝试告知用户要求认证计划的目标服务器106接收对于认证计划的请求,或者可以从请求与指定的目标服务器106建立认证计划的用户接收该请求。
在判断块504处,认证存储管理器112可以确定对于指定的用户和认证的其他层、当前是否存在任何认证记录。如果存在,则认证存储管理器112可以将(来自于认证存储108的)现有的认证记录的当前列表呈现给用户,使得用户可以选择他们希望将哪些认证事件包括在用于目标服务器106的认证计划中。认证存储管理器112可以接收认证存储108中的当前记录的标识,在元素506处将该标识用在认证计划中。除了由用户选择的那些认证事件之外,目标服务器108还可以从用户要求指定的认证事件。在元素508处,认证存储管理器112的认证计划生成器410可以基于用户的偏好和选择以及目标服务器106来创建认证计划。
创建了认证计划之后,在元素510处,认证存储管理器112的服务器接口模块406然后可以将计划传送给目标服务器106。在元素512处,目标服务器106可以接收认证计划,在元素514处可以将计划存储在认证计划仓库306中,在这之后该方法结束。在一些实施例中,认证计划仓库306可以用作用于许多用户的各种认证计划的存储。
图6示出了根据一些实施例的用于通过用户认证到目标服务器的流程图600的例子。在一个实施例中,可以通过诸如认证存储管理器112之类的级联认证***100的部件来执行流程图600的方法。流程图600开始于可选元素602,更新认证存储108中的认证记录。认证存储管理器112可以为多种原因来更新认证记录。例如,在一些实施例中,无论何时已被认证的目标服务器106记录下我们断开连接、或者无论何时认证计划中更早期(earlier)的目标服务器106类似地退出或断开连接,认证存储管理器112可以通过删除认证记录来尝试避免陈旧的信息。在这些实施例中,为了诸如报告或使用分析之类的档案(archival)目的,认证记录可以被首先写到另一表中。认证存储管理器112可以通过周期地查询目标服务器的认证***的当前状态、从目标服务器106接收删除记录的请求、和/或从用户接收这些请求,来完成这个动作。如果退出了认证计划中更高的目标服务器106、或者如果服务器撤销或中止了用户,则认证存储管理器112还可以通过退出下游目标服务器106来执行逆向的方法学。
在元素604处,用户计算机***102可以执行对于不同的目标服务器106的认证步骤,例如通过成功地认证到诸如机器硬件(在密码上具有力量)、它们的操作***、VPN、防火墙、数据库等的目标服务器106。在元素606处,认证存储管理器112可以将加密的认证记录存储在用户的认证存储108中,如前所述。认证记录可以包括关于认证步骤的性能的信息,例如:它成功的指示、时间戳、要求了多少次尝试的指示等。在判断块608处,用户计算机***102然后可以尝试认证到目标服务器106。如果这个目标服务器106不要求认证计划,则该方法可以返回到元素604,用于执行认证步骤并基于所执行的步骤来存储认证记录。
如果目标服务器106要求认证计划,则在元素610处认证存储管理器112可以从目标服务器106接收对于当前认证计划的请求。如前所述,当前认证计划可以包括对于在认证到目标服务器106的之前层处的服务器的一个或多个认证步骤的认证记录。包括在当前认证计划中的认证记录从而是对于用户所期望的认证记录(即,目标服务器106期望用户已经完成了什么)。在元素612处,认证计划管理器112然后可以访问对于用户的认证计划,并且在元素614处,然后可以将来自于认证计划的期望的信息传送到目标服务器106。
传送了来自于认证计划的信息之后,在元素616处用户计算机***102和它的认证存储管理器112可以接收目标服务器106是否许可了接入的指示。如果在判断块618处许可了接入,则流程图600的方法终止(并且用户执行任何他们寻找接入以完成的任务),或者返回到元素604,用于在元素604处执行认证步骤。如果在判断块618处不许可接入,则可以通知认证存储管理器112它们正经由未授权的认证计划接入。如果需要改变认证计划,则该方法继续到元素620,其中认证存储管理器112可以解决与目标服务器106不匹配的任何认证计划,在这之后该方法终止。如果需要改变认证计划,则典型地将要求管理员与用户合作来介入,这可以以任何方式实现,例如通过要求额外的认证,例如经由秘密短语(passphrase)、智能卡或其它认证方法。这帮助阻止一些人欺骗用户来请求将认证计划改变为对于欺骗者(或黑客)更容易的一些东西或者作为服务攻击的拒绝(denial)。
图7示出了根据一些实施例的用于通过目标服务器认证用户的流程图700的例子。在一个实施例中,可以通过诸如目标服务器106的认证计划管理器110之类的级联认证***100的部件来执行流程图700的方法。流程图700开始于元素602,从用户计算机***102接收请求,用于将用户认证到目标服务器106。在判断块704处,认证计划管理器110可以确定期望认证到目标服务器106的指定的用户是否要求匹配所建立的认证计划。如果没有要求认证计划,则该方法前进到元素722,其中以标准方式认证用户(即,验证他们的认证证书),在这之后该方法终止。如果要求认证计划,则该方法继续到元素706。
在元素706处,认证计划管理器110的认证模块308可以接入针对用户的所存储的认证计划,该认证计划被存储在认证计划仓库306中。在元素708处,用户计算机***接口模块304可以向认证存储管理器112传送对于认证计划的请求。在元素710处,认证计划管理器110可以从认证存储管理器112接收当前认证计划是否存在于认证存储108中的指示。如果在判断块714处当前计划不存在,则该方法继续到元素724,其中认证模块308拒绝到目标服务器106的接入,并且尝试解决与认证存储管理器112不匹配的任意认证计划。例如,如果尝试是用户认证到目标服务器106的第一次尝试(或者在重置之后),则可以调用认证计划创建方法来和用户一起工作以开发用于目标服务器106的认证计划。可替代地,如前所述,可以请求用户提供额外的认证证书以进行认证,例如短语。
如果在判断块714处存在当前认证计划,则在元素716处认证计划管理器110可以经由认证存储管理器112从认证存储108请求与所存储的认证计划相关的认证记录。在元素718处,认证计划管理器110可以接收当前认证计划(或者要求匹配于所存储的认证计划的当前认证计划的认证记录的子集)。
在判断块720处,认证模块308可以将所存储的认证计划和所接收的当前认证计划相比较以确定它们是否对于用户足够匹配以允许其接入。在一些实施例中,认证模块308可以要求在所存储的认证计划和当前认证计划之间的精确匹配以允许接入。在其它实施例中,认证模块308可以进行更复杂的分析,例如通过分析当前认证计划中的认证事件的时间戳(并且拒绝太长时间以前的那些),对于以前的认证事件分析认证事实(例如,拒绝表现出可疑样式的那些,例如在认证之前进行了太多次尝试的那些),或者其他类型的分析。
如果在判断块720处认证模块308确定存在匹配,则该方法继续到元素722,其中可以以标准形式(例如通过要求指定的认证证书)来认证用户,在这之后该方法终止。如果没有匹配存在,则流程图700的方法继续到元素724用于解决认证计划不匹配,如前所述,在这之后该方法可以终止。流程图700的方法从而可以通过将用户的当前认证与之前所建立的认证计划相比较、并且要求足够的匹配以允许用标准方式认证用户,来提供改善的用户到目标服务器106的认证。
对于从该公开获益的本领域的技术人员,将明显的是,本发明思考了用于基于之前由用户到其他服务器的认证来将用户认证到服务器的方法、***和介质。要理解的是,在具体实施方式和附图中所示出和描述的发明的形式仅仅被视作例子。下面被宽泛解释的权利要求试图包含所有公开的例子实施例的变形。
Claims (28)
1.一种用于将用户认证到目标服务器的方法,所述方法包括:
从用户计算机***接收用于将所述用户认证到所述目标服务器的请求;
确定认证所述用户是否要求匹配认证计划;
响应于确定要求匹配认证计划,访问与所述用户相关联的所存储的认证计划,所述存储的认证计划具有一个或多个认证记录,每个所述认证记录具有与用户接入到在认证的之前层处的服务器而不是所述目标服务器相关联的期望的数据;
从认证存储接收所述用户的当前认证计划的指示,所述当前认证计划具有一个或多个认证记录,每个所述认证记录具有与用户接入到在认证的之前层处的服务器而不是所述目标服务器相关联的当前数据;
将所述存储的认证计划与所接收的当前认证计划比较以确定它们是否匹配;以及
响应于所述存储的认证计划和所述当前认证计划之间的匹配来认证所述用户。
2.根据权利要求1所述的方法,还包括:响应于确定要求匹配认证计划,向所述用户计算机***传送对于当前认证计划的请求。
3.根据权利要求1所述的方法,还包括:响应于所述存储的认证计划和所述当前认证计划之间的不匹配,解决所述认证计划不匹配。
4.根据权利要求3所述的方法,其中解决所述认证计划不匹配的步骤包括如下至少一个:要求额外的认证数据;修改认证计划以及创建认证计划。
5.根据权利要求1所述的方法,其中将所述存储的认证计划与所述当前认证计划比较以确定它们是否匹配的步骤包括:比较每个认证计划的认证记录以确定是否至少认证记录的指定的子集在所述认证计划之间匹配。
6.根据权利要求1所述的方法,还包括:
对在到所述目标服务器的认证的之前层处的一个或多个服务器执行认证步骤;以及
将用于每个所执行的认证步骤的认证事件记录存储在认证存储中。
7.根据权利要求1所述的方法,还包括:
尝试认证到所述目标服务器,所述目标服务器要求与所述用户相关联的认证计划;以及
接收是否许可接入到所述目标服务器的指示。
8.根据权利要求1所述的方法,还包括:将当前认证计划传送到所述目标服务器,所述当前认证计划具有用于对在到所述目标服务器的认证的之前层处的服务器的一个或多个所执行的认证步骤的存储的认证记录。
9.根据权利要求1所述的方法,还包括:从所述目标服务器接收用于当前认证计划的请求。
10.一种计算机程序,所述计算机程序包括适于当在计算机上执行所述程序时执行以下步骤的程序代码方式,所述步骤包括:
从用户计算机***接收将用户认证到目标服务器的请求;
确定认证所述用户是否要求匹配认证计划;
响应于确定要求匹配认证计划,访问与所述用户相关联的存储的认证计划,所述存储的认证计划具有一个或多个认证记录,每个所述认证记录具有与用户接入到在认证的之前层处的服务器而不是所述目标服务器相关联的期望的数据;
从认证存储接收所述用户的当前认证计划的指示,所述当前认证计划具有一个或多个认证记录,每个所述认证记录具有与用户接入到在认证的之前层处的服务器而不是所述目标服务器相关联的当前数据;
将所述存储的认证计划和所接收的所述当前认证计划比较以确定它们是否匹配;以及
响应于所述存储的认证计划和所述当前认证计划之间的匹配来认证所述用户。
11.根据权利要求10所述的计算机程序,还包括:响应于确定要求匹配认证计划,向所述用户计算机***传送对于当前认证计划的请求。
12.根据权利要求10所述的计算机程序,还包括:响应于所述存储的认证计划和所述当前认证计划之间的不匹配,解决所述认证计划不匹配。
13.根据权利要求12所述的计算机程序,其中解决所述认证计划不匹配的步骤包括如下至少一个:要求额外的认证数据;修改认证计划以及创建认证计划。
14.根据权利要求10所述的计算机程序,其中将所述存储的认证计划与所述当前认证计划比较以确定它们是否匹配的步骤包括:比较每个认证计划的认证记录以确定是否至少认证记录的指定的子集在所述认证计划之间匹配。
15.根据权利要求10所述的计算机程序,还包括:
对在到所述目标服务器的认证的之前层处的一个或多个服务器执行认证步骤;以及
将用于每个所执行的认证步骤的认证事件记录存储在认证存储中。
16.根据权利要求10所述的计算机程序,还包括:
尝试认证到所述目标服务器,所述目标服务器要求与所述用户相关联的认证计划;以及
接收是否许可接入到所述目标服务器的指示。
17.根据权利要求10所述的计算机程序,还包括:将当前认证计划传送到所述目标服务器,所述当前认证计划具有用于对在到所述目标服务器的认证的之前层处的服务器的一个或多个所执行的认证步骤的所存储的认证记录。
18.根据权利要求10所述的计算机程序,还包括:从所述目标服务器接收用于当前认证计划的请求。
19.一种用于将用户认证到目标服务器的设备,所述设备包括:
用于从用户计算机***接收将所述用户认证到所述目标服务器的请求的装置;
用于确定认证所述用户是否要求匹配认证计划的装置;
响应于确定要求匹配认证计划,用于访问与所述用户相关联的所存储的认证计划的装置,所述存储的认证计划具有一个或多个认证记录,每个所述认证记录具有与用户接入到在认证的之前层处的服务器而不是所述目标服务器相关联的期望的数据;
用于从认证存储接收所述用户的当前认证计划的指示的装置,所述当前认证计划具有一个或多个认证记录,每个所述认证记录具有与用户接入到在认证的之前层处的服务器而不是所述目标服务器相关联的当前数据;
用于将所述存储的认证计划与所接收的当前认证计划比较以确定它们是否匹配的装置;以及
响应于所述存储的认证计划和所述当前认证计划之间的匹配来认证所述用户的装置。
20.根据权利要求19所述的设备,还包括:响应于确定要求匹配认证计划,向所述用户计算机***传送对于当前认证计划的请求的装置。
21.根据权利要求19所述的设备,还包括:响应于所述存储的认证计划和所述当前认证计划之间的不匹配,解决所述认证计划不匹配的装置。
22.根据权利要求21所述的设备,其中用于解决的装置还包括如下至少一个:
用于要求额外的认证数据的装置;
用于修改认证计划的装置;以及
用于创建认证计划的装置。
23.根据权利要求19所述的设备,其中用于将所述存储的认证计划与所述当前认证计划比较以确定它们是否匹配的装置还包括:用于比较每个认证计划的认证记录以确定是否至少认证记录的指定的子集在所述认证计划之间匹配的装置。
24.根据权利要求19所述的设备,还包括:
用于对在到所述目标服务器的认证的之前层处的一个或多个服务器执行认证步骤的装置;以及
用于将用于每个所执行的认证步骤的认证事件记录存储在认证存储中的装置。
25.根据权利要求19所述的设备,还包括:
用于尝试认证到所述目标服务器的装置,所述目标服务器要求与所述用户相关联的认证计划;以及
用于接收是否许可接入到所述目标服务器的指示的装置。
26.根据权利要求19所述的设备,还包括:用于将当前认证计划传送到所述目标服务器的装置,所述当前认证计划具有用于对在到所述目标服务器的认证的之前层处的服务器的一个或多个所执行的认证步骤的所存储的认征记录。
27.根据权利要求19所述的装置,还包括:用于从所述目标服务器接收对于当前认证计划的请求的装置。
28.一种用于将用户认证到目标服务器的***,所述***包括:
目标服务器,具有可操作来访问与请求接入到所述目标服务器的用户相关联的所存储的认证计划的认证计划管理器,所述存储的认证计划包括一个或多个认证记录,每个所述认证记录具有与由用户接入到在认证的之前层处的服务器而不是所述目标服务器相关联的期望的数据;
认证存储,可操作来存储与所述用户相关联的当前认证计划,所述当前认证计划包括一个或多个认证记录,每个所述认证记录具有与由用户接入到在认证的之前层处的服务器而不是所述目标服务器相关联的当前数据;
认证存储管理器,可操作来与所述目标服务器和所述认证存储通信,并且可操作来向所述目标服务器的所述认证计划管理器提供与指定的用户相关联的所述当前认证计划;以及
其中所述目标服务器的所述认证计划管理器可操作来基于所述存储的认证计划和所述当前认证计划之间的比较来确定是否认证用户。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/741,516 US8726347B2 (en) | 2007-04-27 | 2007-04-27 | Authentication based on previous authentications |
| US11/741,516 | 2007-04-27 | ||
| PCT/EP2008/054412 WO2008132036A1 (en) | 2007-04-27 | 2008-04-11 | Cascading authentication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101669128A true CN101669128A (zh) | 2010-03-10 |
| CN101669128B CN101669128B (zh) | 2012-06-20 |
Family
ID=39580104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008800130864A Active CN101669128B (zh) | 2007-04-27 | 2008-04-11 | 级联认证*** |
Country Status (8)
| Country | Link |
|---|---|
| US (3) | US8726347B2 (zh) |
| EP (1) | EP2150916B1 (zh) |
| JP (1) | JP5260634B2 (zh) |
| KR (1) | KR101120810B1 (zh) |
| CN (1) | CN101669128B (zh) |
| CA (1) | CA2673950C (zh) |
| IL (1) | IL201728A (zh) |
| WO (1) | WO2008132036A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103107985A (zh) * | 2012-12-04 | 2013-05-15 | 百度在线网络技术(北京)有限公司 | 一种云端认证方法、***及装置 |
| CN107820250A (zh) * | 2017-11-13 | 2018-03-20 | 北京首信科技股份有限公司 | 认证方法和认证服务器 |
| CN109672602A (zh) * | 2019-01-03 | 2019-04-23 | 青岛聚好联科技有限公司 | 一种远程接入vpn的方法和设备 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8726347B2 (en) | 2007-04-27 | 2014-05-13 | International Business Machines Corporation | Authentication based on previous authentications |
| US8327430B2 (en) * | 2007-06-19 | 2012-12-04 | International Business Machines Corporation | Firewall control via remote system information |
| US8272043B2 (en) * | 2007-06-21 | 2012-09-18 | International Business Machines Corporation | Firewall control system |
| US8272041B2 (en) * | 2007-06-21 | 2012-09-18 | International Business Machines Corporation | Firewall control via process interrogation |
| US9355282B2 (en) * | 2010-03-24 | 2016-05-31 | Red Hat, Inc. | Using multiple display servers to protect data |
| US8839357B2 (en) * | 2010-12-22 | 2014-09-16 | Canon U.S.A., Inc. | Method, system, and computer-readable storage medium for authenticating a computing device |
| US8817984B2 (en) | 2011-02-03 | 2014-08-26 | mSignia, Inc. | Cryptographic security functions based on anticipated changes in dynamic minutiae |
| US11063920B2 (en) | 2011-02-03 | 2021-07-13 | mSignia, Inc. | Cryptographic security functions based on anticipated changes in dynamic minutiae |
| US8689304B2 (en) | 2011-04-27 | 2014-04-01 | International Business Machines Corporation | Multiple independent authentications for enhanced security |
| US9613052B2 (en) * | 2012-06-05 | 2017-04-04 | International Business Machines Corporation | Establishing trust within a cloud computing system |
| US10447677B1 (en) | 2014-03-14 | 2019-10-15 | United Services Automobile Association (Usaa) | Mobile application authentication infrastructure |
| US9332013B2 (en) * | 2014-08-28 | 2016-05-03 | Bank Of America Corporation | Neural authentication system |
| US9705879B2 (en) * | 2014-09-17 | 2017-07-11 | Microsoft Technology Licensing, Llc | Efficient and reliable attestation |
| US9723002B2 (en) | 2016-01-04 | 2017-08-01 | International Business Machines Corporation | Protecting access to a hardware device through use of an aggregate identity instance |
| WO2017147411A1 (en) * | 2016-02-25 | 2017-08-31 | Sas Institute Inc. | Cybersecurity system |
| US10425432B1 (en) * | 2016-06-24 | 2019-09-24 | EMC IP Holding Company LLC | Methods and apparatus for detecting suspicious network activity |
| JP6748667B2 (ja) * | 2018-03-20 | 2020-09-02 | 楽天銀行株式会社 | Api提供システム、認証サーバ、api提供方法、及びプログラム |
| EP3891927A4 (en) * | 2018-12-03 | 2021-11-24 | Visa International Service Association | TIME-BASED RISK MANAGEMENT MECHANISMS |
| CN116155631B (zh) * | 2023-04-21 | 2023-07-28 | 四川中电启明星信息技术有限公司 | 一种企业级的正反向级联认证方法及*** |
Family Cites Families (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6516416B2 (en) | 1997-06-11 | 2003-02-04 | Prism Resources | Subscription access system for use with an untrusted network |
| US6754820B1 (en) | 2001-01-30 | 2004-06-22 | Tecsec, Inc. | Multiple level access system |
| US6161182A (en) * | 1998-03-06 | 2000-12-12 | Lucent Technologies Inc. | Method and apparatus for restricting outbound access to remote equipment |
| JP3216602B2 (ja) | 1998-06-08 | 2001-10-09 | 日本電気株式会社 | ユーザ認証システム |
| US6219790B1 (en) | 1998-06-19 | 2001-04-17 | Lucent Technologies Inc. | Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types |
| JP2000259567A (ja) | 1999-03-09 | 2000-09-22 | Toshiba Corp | アクセス制御装置、アクセス制御方法および記憶媒体 |
| US6651096B1 (en) * | 1999-04-20 | 2003-11-18 | Cisco Technology, Inc. | Method and apparatus for organizing, storing and evaluating access control lists |
| US6584505B1 (en) | 1999-07-08 | 2003-06-24 | Microsoft Corporation | Authenticating access to a network server without communicating login information through the network server |
| US6853988B1 (en) | 1999-09-20 | 2005-02-08 | Security First Corporation | Cryptographic server with provisions for interoperability between cryptographic systems |
| US7082532B1 (en) | 1999-12-30 | 2006-07-25 | Intel Corporation | Method and system for providing distributed web server authentication |
| US7039812B2 (en) | 2000-01-26 | 2006-05-02 | Citicorp Development Center, Inc. | System and method for user authentication |
| US7162649B1 (en) * | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
| US7194764B2 (en) | 2000-07-10 | 2007-03-20 | Oracle International Corporation | User authentication |
| US7085934B1 (en) | 2000-07-27 | 2006-08-01 | Mcafee, Inc. | Method and system for limiting processor utilization by a virus scanner |
| US20020083325A1 (en) | 2000-11-03 | 2002-06-27 | Bharat Mediratta | Updating security schemes for remote client access |
| JP2002183089A (ja) | 2000-12-11 | 2002-06-28 | Mitsubishi Electric Corp | ログイン認証装置、およびログイン認証方法 |
| US20020133719A1 (en) | 2001-03-14 | 2002-09-19 | Jay Westerdal | Method and apparatus for sharing authentication information between multiple servers |
| US7546629B2 (en) | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
| US8200818B2 (en) | 2001-07-06 | 2012-06-12 | Check Point Software Technologies, Inc. | System providing internet access management with router-based policy enforcement |
| US7054944B2 (en) * | 2001-12-19 | 2006-05-30 | Intel Corporation | Access control management system utilizing network and application layer access control lists |
| FI20021802A (fi) | 2002-10-09 | 2004-04-10 | Tycho Technologies Oy | Hajautetun palomuurin hallinta |
| US6850943B2 (en) | 2002-10-18 | 2005-02-01 | Check Point Software Technologies, Inc. | Security system and methodology for providing indirect access control |
| US20040103317A1 (en) * | 2002-11-22 | 2004-05-27 | Burns William D. | Method and apparatus for protecting secure credentials on an untrusted computer platform |
| US7526800B2 (en) | 2003-02-28 | 2009-04-28 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
| JP4303952B2 (ja) | 2002-12-24 | 2009-07-29 | 株式会社コムスクエア | 多重認証システム、コンピュータプログラムおよび多重認証方法 |
| US7219154B2 (en) * | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
| US7603472B2 (en) | 2003-02-19 | 2009-10-13 | Google Inc. | Zero-minute virus and spam detection |
| US20040187029A1 (en) | 2003-03-21 | 2004-09-23 | Ting David M. T. | System and method for data and request filtering |
| US9003048B2 (en) | 2003-04-01 | 2015-04-07 | Microsoft Technology Licensing, Llc | Network zones |
| CN1777868A (zh) * | 2003-04-24 | 2006-05-24 | 国际商业机器公司 | 可执行文件的创建 |
| US8214481B2 (en) | 2004-02-10 | 2012-07-03 | Seagate Technology Llc | Firewall permitting access to network based on accessing party identity |
| US7526792B2 (en) | 2004-06-09 | 2009-04-28 | Intel Corporation | Integration of policy compliance enforcement and device authentication |
| JP4920878B2 (ja) * | 2004-07-14 | 2012-04-18 | 日本電気株式会社 | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム |
| JP2006035631A (ja) | 2004-07-27 | 2006-02-09 | Konica Minolta Business Technologies Inc | 画像形成装置および画像形成システム |
| US7548903B2 (en) * | 2005-01-11 | 2009-06-16 | International Business Machines Corporation | Method and apparatus for automatic recommendation and selection of clustering indexes |
| FI20050770A (fi) * | 2005-07-19 | 2007-01-20 | Ssh Comm Security Corp | Todentaminen turvakäytännön yhteydessä |
| US8402093B2 (en) * | 2005-12-22 | 2013-03-19 | Microsoft Corporation | Workflow and in-context e-mail recipient handling |
| US20070172808A1 (en) * | 2006-01-26 | 2007-07-26 | Let's Go Learn, Inc. | Adaptive diagnostic assessment engine |
| MX2008012213A (es) | 2006-03-28 | 2009-02-06 | Norgren Gmbh | Sensor de desplazamiento para una barra. |
| US7895657B2 (en) * | 2006-05-05 | 2011-02-22 | Broadcom Corporation | Switching network employing virus detection |
| GB2443229B (en) | 2006-08-23 | 2009-10-14 | Cramer Systems Ltd | Capacity management for data networks |
| US8239325B2 (en) * | 2007-01-18 | 2012-08-07 | Paymentone Corporation | Method and system to verify the identity of a user |
| US8726347B2 (en) | 2007-04-27 | 2014-05-13 | International Business Machines Corporation | Authentication based on previous authentications |
| US8327430B2 (en) | 2007-06-19 | 2012-12-04 | International Business Machines Corporation | Firewall control via remote system information |
| US8272041B2 (en) | 2007-06-21 | 2012-09-18 | International Business Machines Corporation | Firewall control via process interrogation |
| US8272043B2 (en) | 2007-06-21 | 2012-09-18 | International Business Machines Corporation | Firewall control system |
-
2007
- 2007-04-27 US US11/741,516 patent/US8726347B2/en not_active Expired - Fee Related
-
2008
- 2008-04-11 EP EP08736124.2A patent/EP2150916B1/en active Active
- 2008-04-11 CA CA2673950A patent/CA2673950C/en active Active
- 2008-04-11 KR KR1020097024518A patent/KR101120810B1/ko not_active IP Right Cessation
- 2008-04-11 WO PCT/EP2008/054412 patent/WO2008132036A1/en active Application Filing
- 2008-04-11 CN CN2008800130864A patent/CN101669128B/zh active Active
- 2008-04-11 JP JP2010504617A patent/JP5260634B2/ja active Active
-
2009
- 2009-10-25 IL IL201728A patent/IL201728A/en active IP Right Grant
-
2013
- 2013-11-11 US US14/076,392 patent/US9094393B2/en not_active Expired - Fee Related
-
2015
- 2015-05-07 US US14/706,044 patent/US9686262B2/en active Active
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103107985A (zh) * | 2012-12-04 | 2013-05-15 | 百度在线网络技术(北京)有限公司 | 一种云端认证方法、***及装置 |
| CN103107985B (zh) * | 2012-12-04 | 2016-01-20 | 百度在线网络技术(北京)有限公司 | 一种云端认证方法、***及装置 |
| CN107820250A (zh) * | 2017-11-13 | 2018-03-20 | 北京首信科技股份有限公司 | 认证方法和认证服务器 |
| CN107820250B (zh) * | 2017-11-13 | 2020-07-10 | 北京首信科技股份有限公司 | 认证方法和认证服务器 |
| CN109672602A (zh) * | 2019-01-03 | 2019-04-23 | 青岛聚好联科技有限公司 | 一种远程接入vpn的方法和设备 |
| CN109672602B (zh) * | 2019-01-03 | 2021-06-04 | 青岛聚好联科技有限公司 | 一种远程接入vpn的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9094393B2 (en) | 2015-07-28 |
| EP2150916A1 (en) | 2010-02-10 |
| CN101669128B (zh) | 2012-06-20 |
| US20150244701A1 (en) | 2015-08-27 |
| KR20100020947A (ko) | 2010-02-23 |
| US20080271117A1 (en) | 2008-10-30 |
| US8726347B2 (en) | 2014-05-13 |
| KR101120810B1 (ko) | 2012-03-22 |
| CA2673950C (en) | 2015-03-31 |
| JP2010525471A (ja) | 2010-07-22 |
| US20140068730A1 (en) | 2014-03-06 |
| IL201728A0 (en) | 2010-06-16 |
| US9686262B2 (en) | 2017-06-20 |
| IL201728A (en) | 2016-11-30 |
| CA2673950A1 (en) | 2008-11-06 |
| EP2150916B1 (en) | 2015-10-28 |
| WO2008132036A1 (en) | 2008-11-06 |
| JP5260634B2 (ja) | 2013-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101669128B (zh) | 级联认证*** | |
| US20230091605A1 (en) | Accessing an internet of things device using blockchain metadata | |
| CN110537346B (zh) | 安全去中心化域名*** | |
| KR101534890B1 (ko) | 신뢰된 장치별 인증 | |
| US20210006410A1 (en) | Method for providing virtual asset service based on decentralized identifier and virtual asset service providing server using them | |
| US8635671B2 (en) | Systems and methods for a security delegate module to select appropriate security services for web applications | |
| CN102047262B (zh) | 用于分布式安全内容管理***的认证 | |
| US8370905B2 (en) | Domain access system | |
| EP1706825B1 (en) | Avoiding server storage of client state | |
| US10589719B1 (en) | Method for managing digital key of mobile device for vehicle-sharing and key server using the same | |
| JP2010531516A (ja) | 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション | |
| CN102523089B (zh) | 用于批处理***的第二凭证 | |
| CN104718526A (zh) | 安全移动框架 | |
| KR20040049272A (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| KR20140127303A (ko) | 다중 팩터 인증 기관 | |
| US20190319794A1 (en) | Distributed access control | |
| CN1601954B (zh) | 不中断服务地横跨安全边界移动主体 | |
| CN114764492A (zh) | 基于区块链的sdp访问控制方法及*** | |
| CN117043744A (zh) | 用于激活使用制造能力数据的pcb分析的方法和*** | |
| US20220353073A1 (en) | Method for authenticating an end-user account, method for single authenticating within a cluster of hsm, and method for implementing access control | |
| KR20090106368A (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211109 Address after: New York, United States Patentee after: Qindarui Co. Address before: USA New York Patentee before: International Business Machines Corp. |
|
| TR01 | Transfer of patent right |