CN105074713A - 用于当连接至网络时识别安全应用程序的***和方法 - Google Patents
用于当连接至网络时识别安全应用程序的***和方法 Download PDFInfo
- Publication number
- CN105074713A CN105074713A CN201480011590.6A CN201480011590A CN105074713A CN 105074713 A CN105074713 A CN 105074713A CN 201480011590 A CN201480011590 A CN 201480011590A CN 105074713 A CN105074713 A CN 105074713A
- Authority
- CN
- China
- Prior art keywords
- application program
- access
- user
- request
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种计算机***,所述计算机***从用户装置接收访问组织的网络内的资源的请求并且接收与应用程序、用户和所述用户装置相关联的访问证书。所述计算机***识别应用程序标识符、用户标识符和装置标识符并且确定这些标识符的组合是否满足访问策略。如果所述应用程序标识符、所述用户标识符和所述装置标识符的所述组合满足所述访问策略,那么所述计算机***准予所述应用程序访问所述组织的所述网络内的所述资源。
Description
领域
本发明的实施例涉及应用程序认证,且具体来说涉及当连接至网络时识别安全应用程序。
背景技术
移动装置上的用户通常希望访问存在于诸如受控网络或企业网络的安全网络上的防火墙内的信息。防火墙可以具有诸如网关的访问代理,其可以向用户提供对安全网络的访问。组织可以通过网络(例如,互联网)向用户提供一种或多种云服务。这种云服务可以包括通过IP限制可能安全也可能不安全的计算、软件、数据访问、存储服务、承包服务等,其物理地驻留在用户可以从公司所拥有的计算机进行访问的任何地方(例如,另一台计算机或组织数据中心)。对于企业网络具体实施来说,当雇员用自己的装置(“BYOD”)访问企业网络时,雇员的装置通常被阻止访问企业网络。
发明内容
描述了一种用于访问云资源的***。在一个实施例中,访问代理接收应用程序访问组织的网络内的资源的请求。该应用程序在组织的网络外部的用户装置上运行。访问代理进一步识别应用程序的用户的用户标识符、用户装置的装置标识符和应用程序的应用程序标识符。访问代理还确定用户标识符、装置标识符和应用程序标识符的组合是否满足访问策略。如果用户标识符、装置标识符和应用程序标识符的组合满足访问策略,那么访问代理准予应用程序访问组织的网络内的资源。
在一个实施例中,该资源是私有云资源或公共云资源中的至少一者。在一个实施例中,应用程序的请求包括通过应用程序私有密钥签名的断言中所包含的用户标识符、装置标识符和应用程序标识符。访问代理可以进一步使用来自应用程序供应服务的应用程序公共密钥从该请求中提取用户标识符、装置标识符和应用程序标识符。在一个实施例中,准予应用程序访问组织的网络内的资源包括确定哪些云资源可用于用户装置。
在另一个实施例中,该***进一步包括接收启动应用程序以访问云资源的用户请求的用户装置。用户装置还可以获得应用程序的访问证书,这些访问证书包括用户标识符、装置标识符和应用程序标识符。用户装置可以进一步通过网络向访问代理发送包括访问证书和云资源的标识符的访问请求。用户装置可以从访问代理接收对访问请求的响应,该响应指示该访问请求已被准予还是被拒绝。
在一个实施例中,确定用户标识符、装置标识符和应用程序标识符的组合是否满足访问策略包括将与该请求相关联的用户标识符、装置标识符和应用程序标识符的组合与用户标识符、装置标识符和应用程序标识符的有效组合的列表进行比较。获得访问证书可以包括提供用户接口以有助于用户标识符、装置标识符和应用程序标识符中的至少一者的用户输入。
描述了一种用于访问云资源的方法。在一个实施例中,一个计算机***,诸如访问代理,接收应用程序访问组织的网络内的资源的请求。该应用程序在组织的网络外部的用户装置上运行。访问代理可以识别应用程序的用户的用户标识符、用户装置的装置标识符和应用程序的应用程序标识符。访问代理可以进一步确定用户标识符、装置标识符和应用程序标识符的组合是否满足访问策略。如果用户标识符、装置标识符和应用程序标识符的组合满足访问策略,那么访问代理还可以准予应用程序访问组织的网络内的资源。
另外,还描述了一种用于访问云资源的非暂态计算机可读存储介质网络。示例性计算机可读存储介质提供指令,这些指令在由处理器执行时,使得处理器执行诸如以上所讨论的示例性方法等方法。
附图说明
根据下文给出的详细描述并且根据本发明的各种实施例的附图将更全面地理解本发明,然而,所述详细描述和所述附图不应视为使本发明限于特定的实施例,而是仅作为解释和理解之用。
图1本发明的实施例可以在其中操作的样本网络体系结构的框图。
图2是根据一个实施例的示出访问控制模块的框图。
图3是根据一个实施例的示出认证模块的框图。
图4是根据一个实施例的示出用于云资源的访问控制方法的流程图。
图5是根据另一个实施例的示出用于云资源的访问控制方法的流程图。
图6是根据一个实施例的示出计算机***的一个实施例的框图。
具体实施方式
描述了当连接至一个网络时用于识别一个安全应用程序以访问云服务或云资源的一种方法和设备的实施例。在某些实施例中,访问代理使用用户身份、装置身份和应用程序身份的组合来将访问管理和身份认证相结合。访问代理可以阻止用户的个人装置上的一些应用程序访问云资源,同时允许用户的个人装置上的另一个应用程序访问同一云资源。
图1是本文所述的本发明的实施例可以在其中操作的样本网络体系结构100的框图。网络体系结构100可以包括企业网络(私有云)130、公共云140(包括不由企业管理并且包含在私有云130中的服务)和能够通过网络106与企业网络130和公共云140进行通信的用户装置102。网络106可以包括例如诸如局域网(LAN)等私有网络、广域网(WAN)、诸如互联网等全球局域网(GAN)或此类网络的组合,并且可以包括有线网络或无线网络。
云计算(“云”)可以是指通过计算机网络访问计算资源。云计算允许在用户工作时,在所用计算资源与物理机器之间实现功能分离。用户可以使用用户装置来访问云(例如,企业网络130或公共云140)中的资源。用户装置可以包括受管理的用户装置和不受管理的用户装置。受管理的用户装置是指企业可以对其进行一定程度的控制的用户装置(由企业或用户所拥有)。具体来说,企业可以控制在受管理的用户装置上可以安装和运行哪些应用程序或程序。不受管理的用户装置是用户所拥有的没有受到企业控制的用户装置,诸如雇员的家用计算机或个人移动电话。图1所示的用户装置102表示用户的不受管理的便携式装置,诸如平板计算机、智能电话、个人数字助理(PDA)、便携式媒体播放器、上网本等。
用户可以从一个或多个应用程序商店110向用户装置102下载各种应用程序。应用程序商店110可以通过一种应用程序供应服务进行管理,该应用程序供应服务可以是企业网络130或公共云140或任何其他网络或实体的一部分。应用程序商店110可以包括包装应用程序以供下载。用户可以从应用程序商店110向用户装置102下载包装应用程序107。包装应用程序107包括一个由可以执行策略、认证和加密的安全层所包装的应用程序(简称为“app”)108。应用程序108可以是任何类型的应用程序、可执行码(executable)、程序等。示例包括:本机应用程序(其可以使用第三方框架进行编码)、网页剪辑、或者快捷键、安全的网页应用程序(连接至一个URL的“包装的”无***窗口(chrome-less)浏览器)、“存储器指针”(其中正分配的对象是进入商业应用程序商店客户端的深链接)等。应用程序包装是在应用程序108分配之前,将策略执行“包装代码”添加到应用程序108。
应用程序的包装具有多种用途,包括例如认证。非活动超时是可配置的,并且可以允许逐个应用程序地进行离线认证。在线应用程序内认证与特定协议无关,但可以通过使用轻量级目录访问协议(LDAP)连接至活动目录(AD)来调整本地用户/组存储设备(例如,本地身份提供者(IdP)、身份断言提供者等)。例如,包装应用程序107可能需要在允许用户访问应用程序108之前进行在线认证。在另一个示例中,认证包括检查该装置的操作***是否已以可能对该装置或网络上的其他装置构成安全威胁的方式(例如,通过“获取超级用户”或“越狱”技术)被修改或改变,并且拒绝对修改的或改变的装置进行认证。
管理应用程序商店110的应用程序供应服务可以只允许授权用户访问和浏览可用应用程序107。在所述配置中,应用程序商店110向用户呈现登录屏幕,在该登录屏幕上,用户输入他们的用户证书。应用程序供应服务可以验证这些证书或使用另一个***或模块来验证这些证书。如果用户已提供了有效证书,那么应用程序商店110准予访问其包装应用程序库。在另一个实施例中,应用程序供应服务只允许授权装置访问应用程序商店。对于这种配置来说,访问应用程序商店110的请求来自装置。用户可以输入该装置标识符或该装置标识符可以被自动添加到访问应用程序商店110的用户请求。与验证用户证书类似,如果装置经过验证,那么它可以访问应用程序商店110。
在一个实施例中,通过安装在用户装置102上的可下载的客户端访问应用程序商店110。这个可下载的应用程序商店客户端使得用户能够从他们可以访问的应用程序集合中浏览和选择包装应用程序107。一旦选择了应用程序107,那么应用程序商店客户端和与应用程序商店110相关联的服务器一起工作以将应用程序107安装在装置102上。与应用程序商店110相关联的服务器维持安装在装置上的应用程序107的数据库,以及装置-用户关联度。
企业网络130和公共云140可以各自包括授权用户装置通过网络106可访问的一组云资源和/或云服务132、142。私有云资源132可以包括例如电子邮件服务、文档管理服务、客户关系管理(CRM)服务、视频通信服务或一些其他云服务。可以使得挑选出来的用户能够通过网络106使用用户装置102访问企业网络130中的私有云资源132。可以对私有云资源132加密。
网络体系结构100还可以被设计成具有安全特征以保护对由组织所维持的私有资源和服务以及机密信息的访问。在一个实施例中,可以由一系列的一个或多个访问代理(例如,云服务访问和信息网关)112、134、144、146来实现安全性,这些访问代理可以被定位在各个位置(例如,在企业网络130内、在公共云140内或在企业网络130和公共云140的外部)。例如,这些访问代理可以被定位在云内或安全网络的进入部分处。
这些访问代理112、134、144、146可以使用认证模块116充当访问执行点以基于用户、装置和应用程序来执行访问策略。认证模块116可以如图所示是访问代理112、134、144、146中的至少一者的一部分或可以在访问代理112、134、144、146的外部操作。认证模块116可以识别用户、用户装置和用户装置上的请求访问网络内的云资源的特定应用程序,并且可以准予或限制访问这个特定应用程序。同一装置上的其他应用程序将不能访问该互联网访问代理或网络内的云资源。
包装应用程序107的包装可以包括访问证书模块109,该访问证书模块使用访问证书来发起与访问代理112、134、144、146的经过认证的会话。访问证书模块109可以从用户、从装置、从应用程序等接收访问证书。访问证书可以包括可用于认证用户、装置和应用程序等的数据。访问证书模块109的一种具体实施结合图2更详细地描述。
通过使用软件开发包(SDK),包装应用程序107可以通过安全通信(例如,cookies或其他协议独立方法)识别其本身,以便编码用户、装置和应用程序信息。当使用移动应用程序包装器时,软件SDK在与访问代理通信时添加安全通信层。SDK添加用户标识符、装置标识符和应用程序标识符的安全且加密的组合以传递到访问代理以供认证。
在示例中,可以通过访问代理之一传递访问诸如私有云资源132或公共云资源142等云资源的请求。认证模块116可以将与该请求相关联的访问证书的组合与可允许的用户、装置和应用程序的列表或数据库进行比较,并且基于该比较的结果来执行动作。该动作可以包括例如允许请求、拒绝请求、认证请求、修改请求或一些其他动作。该动作可以用于确认,用户有权访问应用程序,装置具有安装应用程序的许可,并且应用程序本身被证实是安全的。认证模块116可以在准予该应用程序访问网络之前,验证这些访问证书中的每一个。认证模块116可以提供用于准予、授权、拒绝或限制应用程序访问组织的网络内的资源的指令。
在另一个示例中,可以通过多个访问代理传递访问云资源的请求以形成分层访问执行方案。这种分层方法中的每个访问代理都可以执行不同的认证或授权任务。第一访问代理可以执行对访问云资源的请求的第一认证。第二访问代理随后可以执行对该请求的第二认证。在一种具体实施中,第二访问代理根据另外的标准执行对该请求的第二认证。该另外的标准可以是针对在给定时间段内得到允许的请求的数量、允许请求的时间段(例如,在正常营业时间期间)、用户装置102的地理位置以及其他形式的不规则或不可信的行为的准则。
可以使用例如高级加密标准(AES)以密文块链接(CBC)的模式利用256位密钥对所有所传达的请求、信息和数据加密。可以以例如512个块的形式对数据加密,每个块都具有随机初始化向量(IV)。对于每个用户装置102上的每个包装应用程序107来说,加密密钥可以是不同的。在一个实施例中,用于对文件和目录数据加密的密钥是在包装代码内生成的并且不离开用户装置102。当留存时,使用AES-CBC和一个或多个256位密钥(称为“KEK”或密钥加密密钥)对加密密钥加密。还可以对云资源加密。为了访问加密的云资源,用户装置102可以从访问代理112、134、144、146接收加密密钥。用户装置102对加密密钥解密并且使用该密钥来访问加密的云资源。
图2是包括在包装应用程序107中的访问证书模块109的一个实施例的框图。访问证书模块109管理访问证书(例如,应用程序标识符、用户标识符、装置标识符等)。访问证书模块109可以接收访问证书,存储访问证书,将访问证书提供给请求模块、装置或***并且有助于用户装置102上的应用程序107访问云资源(例如,私有云资源132和/或公共云资源142)。这些证书可以由例如用户、***管理员、装置或其他人或实体创建或定义。
在一个实施例中,访问证书模块109可以包括用户接口162、证书提供者164和访问管理器166。在其他实施例中,访问证书模块109可以包括更多或更少的组件。在一个实施例中,访问证书模块109连接至数据存储设备168,该数据存储设备可以是驻留在诸如盘驱动器、RAM、ROM、数据库等数据存储装置上的文件***、数据库或其他数据管理层。
用户接口162可以是被呈现给装置102的用户的图形用户接口(GUI)并且可以在用户启动包装应用程序107时被呈现。用户接口162可以是用于从用户接收用户标识符(例如,用户名、密码)的登录屏幕。在一个实施例中,用户名可以被事先填入并且可以是与用于访问应用程序商店110相同的用户名。用户标识符176涉及提出访问云服务和/或云信息的请求的用户的身份。在一个实施例中,用户标识符被提供作为单点登录(SSO)的一部分。SSO是多个相关但独立的软件***(例如,私有云资源132和公共云资源142)的访问控制的性质。利用SSO,用户登录一次并且能够访问这些服务的全部(或某个子集),而不会被提示在它们中的每一个处再次登录。
在一个实施例中,由用户提供的登录证书可以取决于用户状态发生变化。例如,如果用户是第一组的成员,诸如是管理企业网络130的企业的雇员,那么用户可以具有某个用户名或可以登录。如果用户不是第一组的成员,那么用户可以具有不同的登录证书集合,从而同样地识别用户。另外,这些登录证书可以提供关于用户的其他信息,诸如级别、头衔、位置、或者其他信息。
用户接口162接收用户标识符176并且将其存储在数据存储设备168中。当用户第一次启动应用程序107时,可以调用用户接口162。下一次,当启动应用程序107时,可以从数据存储设备168获得用户标识符176或可以通过用户接口162再次请求用户标识符176。
用户接口162还可以请求用户输入用户标识符180。或者,证书提供者164可以通过例如在指定存储器位置处访问装置配置信息来确定装置标识符180。当第一次启动应用程序107时,证书提供者164可以获得装置标识符180,并且将其存储在数据存储设备168中。
另外,当启动应用程序107时,证书提供者164确定应用程序标识符172。应用程序标识符172可以是一串字母数字字符和符号。应用程序标识符172还可以通过它作出的资源请求的类型(例如,读取、写入、删除)以及相关服务子域(例如,所请求信息的范围)来表征。可以使应用程序标识符172嵌入在包装应用程序107中。当第一次启动应用程序107时,证书提供者164可以获得应用程序标识符172,并且将其存储在数据存储设备168中。
证书提供者164将访问证书(用户标识符176、装置标识符180和应用程序标识符172)发送至访问代理112、134、144、146并且可以将这些访问证书连同访问云资源的请求一起发送。当用户请求启动应用程序108时或响应于访问代理对访问证书的请求,证书提供者164可以将访问证书发送至访问代理112、134、144、146。证书提供者164可以使用SDK来将访问证书编码并包装在包含认证令牌(例如,基于XML的带签名的断言)的包内以发送至访问代理112、134、144、146。证书管理机构可以提供可用于对认证令牌进行数字签名的应用程序私有密钥。该应用程序私有密钥可以嵌入在包装应用程序107内。证书提供者164随后可以将具有访问证书的包通过安全通信(例如,cookies或其他协议独立方法)发送至访问代理112、134、144、146。
访问管理器166接收来自访问代理的响应并且将其传达到应用程序108,该应用程序随后可以继续进行其访问特定资源的请求或可以向用户显示对用户、装置和/或应用程序(其发起了资源请求)的访问被拒绝的消息。
图3是根据本发明的一个实施例的示出认证模块116的框图。在一个实施例中,认证模块116可以包括用户装置接口302、访问证书验证器304和资源访问提供者306。认证模块116可以包括更多或更少的组件。认证模块116可以连接至有效证书数据存储设备310和/或策略数据存储设备314,该有效证书数据存储设备和/或该策略数据存储设备可以是驻留在诸如盘驱动器、RAM、ROM、数据库等数据存储装置上的文件***、数据库或其他数据管理层。
有效证书数据存储设备310可以规定有效用户标识符,这些有效用户标识符可以是特定用户的标识符(例如,用户名和密码)和/或用户类别(例如,雇员、承包商等)。有效证书数据存储设备310还可以包括有效装置标识符的列表和关于对应的装置是受管理装置还是不受管理装置的信息。另外,有效证书数据存储设备310可以包括安全应用程序的标识符的列表和关于对应的应用程序是由企业的应用程序商店提供还是由第三方应用程序商店提供的信息。有效证书数据存储设备310还可以存储通过应用程序供应服务提供的安全应用程序的公共密钥。
策略数据存储设备314可以存储定义针对云资源的访问许可的各种访问策略。例如,访问策略可能需要利用管理相应应用程序商店的应用程序提供服务来验证来自不受管理装置的私有云资源和/或来自第三方应用程序商店的应用程序的请求以确认用户有权访问应用程序、应用程序被安装在请求访问的有效装置上并且应用程序本身是安全的。在另一个示例中,访问策略可能需要基于用户标识符、装置标识符和应用程序标识符的有效组合的列表来验证来自不受管理装置的私有云资源和/或来自第三方应用程序商店的请求,其中可以将有效组合的所述列表存储在策略数据存储设备314中或存储在有效证书数据存储设备310中。
认证模块116可以拦截或以其他方式接收访问请求。可以例如通过用户装置102发送该请求以访问云资源,诸如私有云资源132或公共云资源142。在一个实施例中,该请求可以包括关于请求者的信息和/或其他数据,诸如作出该请求的用户的身份(例如,用户标识符)、关于与该请求相关的应用程序的信息(例如,应用程序标识符)、关于作出该请求的装置的信息(例如,装置标识符)。认证模块116可以根据诸如云资源安全策略等一条或多条适用的访问策略来使用此信息进行访问确定,这些访问策略可以被存储在策略数据存储设备314中。
用户装置接口302从用户装置102接收通信并将通信传输到用户装置102。在一个实施例中,用户装置接口302可以接收访问云资源的请求并且提取与该请求相关联的访问证书。用户装置接口302随后可以将这些访问证书转发到访问证书验证器304。访问证书验证器304可以检查这些访问证书,确定哪些云资源被请求,并且找出一条或多条适用的访问策略。在一个实施例中,验证器304识别访问证书并且可以根据策略数据存储设备314中的适用的访问策略来确定对于给定的云资源来说,是否应允许该请求。例如,访问证书验证器304可以确定该请求是从企业雇员接收,并且与诸如用户装置102等有效用户装置上的安全应用程序相关联。该访问策略可以规定,对于私有云资源132或公共云资源142来说,应当允许具有访问证书的特定组合的请求。在一个实施例中,资源安全策略可指定可以被访问或不可以被访问的单独云资源,而不是仅仅某一类资源。
在一些实施例中,访问证书验证器304还可以识别访问请求正发送到云服务或从云服务请求的信息的类型。可以以任何数量的不同方式将该信息分类,诸如企业或个人、机密或公共、关键或非关键等。例如,访问证书验证器304可以确定用户正尝试从私有云服务132下载企业销售数据并且使用相应的访问策略来确定该操作应当被允许还是拒绝。基于这个确定,资源访问提供者306可以准予、拒绝或限制访问所请求的云资源。
图4是根据本发明的一个实施例的示出用于云资源的访问控制方法的流程图。方法400可以由处理逻辑执行,该处理逻辑包括硬件(例如,电路、专用逻辑、可编程逻辑、微码等)、软件(例如,在处理器上运行以执行硬件模拟的指令)或它们的组合。该处理逻辑被配置为监视由用户装置作出的访问云资源的请求。在一个实施例中,方法400可以由访问代理(例如,图1的访问代理112、134、144或146)执行。
参照图4,在块410处,该访问代理接收访问网络内的云资源的请求。在一个实施例中,可以由诸如用户装置102等用户装置发送该请求。该请求可以是访问云资源,诸如私有云资源132或公共云资源142。
在块420处,访问代理可以识别与该请求相关联的访问证书,诸如应用程序标识符172、用户标识符176和装置标识符180。可以将这些访问证书包装在包括认证令牌(例如,通过应用程序私有密钥签名的基于XML的断言)的包内。访问代理可以使用从应用程序供应服务接收的应用程序公共密钥解开该包以提取访问证书。在块425处,访问代理识别适用于该请求的访问策略。
在块430处,访问代理确定该请求基于所接收的访问证书和适用的访问策略是否是可允许的。该访问代理可以使用认证令牌来认证与该请求相关联的应用程序。在一个实施例中,访问代理还可以与对应的应用程序供应服务通信以在将包装应用程序107安装在用户装置102上之前进行验证。在另一个实施例中,访问代理将访问证书传递到第三方证实服务,该第三方证实服务确定用户标识符、装置标识符和应用程序标识符的组合是否是有效的,并且将其报告回访问代理。
如果在块430处,访问代理确定该请求基于资源安全策略是可允许的,那么访问代理确定应使得哪些云资源可用于用户装置102,并且准予该请求(块440)。访问代理可以传输对用户装置102的响应,即允许该请求。该响应可以包括用于包装应用程序107和用户装置102的唯一的加密密钥,诸如KEK。请求用户装置102可以访问云资源或信息。
在块440处准予该请求还可以包括基于所接收的访问证书的组合来限制对有限资源集合的访问(例如,通过访问策略)。在一个实施例中,所接收的访问证书的组合与特定的云资源(例如,数据库、文档等)相关联以限制应用程序、用户装置和用户的组合对那些特定云资源的访问。例如,公司可以具有两个雇员,各自使用同一个应用程序来访问企业云资源。第一雇员可能在人力资源HR部门工作并且可以访问HR相关云资源。第二雇员可能是专利组的一部分并且可以访问专利相关云资源。访问代理可以使用允许HR雇员访问专利相关云资源的访问策略并且阻止专利雇员访问HR相关云资源。在另一个示例中,由用户在用户装置上开始的应用程序可以首先请求在HR部门工作的雇员的姓名并且被允许访问私有云中的雇员数据库中的雇员姓名表。随后,该应用程序可以请求在HR部门工作的雇员的薪金,并且被拒绝访问私有云中的雇员数据库中的雇员薪金表。
如果该请求是不允许的(例如,访问策略规定不应允许具有访问证书的指定组合的请求访问私有云资源132),那么访问代理拒绝该请求并且告知请求者该请求被拒绝(块450)。
图5是根据本发明的一个实施例的示出用于云服务的云资源访问控制方法500的流程图。方法500可以由处理逻辑执行,该处理逻辑包括硬件(例如,电路、专用逻辑、可编程逻辑、微码等)、软件(例如,在处理器上运行以执行硬件模拟的指令)或它们的组合。该处理逻辑被配置为在用户装置上监视和控制访问云资源。在一个实施例中,方法500可以由图1的用户装置102执行。
参照图5,在块510处,用户装置接收启动应用程序的用户请求,该应用程序的操作涉及访问云资源。作为响应,用户装置获得可以包括用户标识符、装置标识符和应用程序标识符的访问证书。
在块520处,用户装置可以将包括访问证书和云资源的标识符的访问请求通过网络发送至云或访问代理。在块530处,用户装置可以从访问代理接收访问云资源是被准予、拒绝还是限制为有限资源集合的消息,并且可以将此信息传达到应用程序。
图6示出示例形式的计算机***600的机器的图示,在该计算机***600内,可以执行用于使该机器执行本文所讨论的方法的任一者或多者的指令集。***600可以呈诸如服务器计算机***等计算机***的形式,在该计算机***内,可以执行用于使该机器执行本文所讨论的方法的任一者或多者的指令集。在可供选择的实施例中,该机器可以连接到(例如,网络连接到)LAN、内部网、外部网或互联网中的其他机器。该机器可以在客户端-服务器网络环境中以服务器机器的身份操作。该机器可以是个人计算机(PC)、移动装置、平板电脑、智能电话、TV、膝上型计算机、上网本、机顶盒(STB)、服务器、网络路由器、交换机或网桥,或能够(顺序地或以其他方式)执行规定由该机器采取的动作的指令集的任何机器。此外,虽然仅示出了单个机器,但术语“机器”还应视为包括机器的任何集合,该集合独立地或联合地执行一指令集(或多个指令集)以执行本文所讨论的方法的任一者或多者。在一个实施例中,计算机***600可以表示图1中的访问代理112、134、144、146或图1中的用户装置102。
示例性计算机***600包括处理***(处理器)602、主存储器604(例如,只读存储器(ROM)、闪存、动态随机存取存储器(DRAM),诸如同步DRAM(SDRAM))、静态存储器606(例如,闪存、静态随机存取存储器(SRAM))以及数据存储装置618,其通过总线630彼此进行通信。
处理器602代表一个或多个通用处理装置,诸如微处理器、中央处理单元等等。更具体地讲,处理器602可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器,或实施其他指令集的处理器或实施指令集的组合的多个处理器。处理器602还可以是一个或多个专用处理装置,诸如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等等。该处理器602可以被配置为执行访问代理112、134、144、146,以用于执行本文所讨论的操作和步骤。
计算机***600可以进一步包括网络接口装置608。计算机***600还可以包括视频显示单元610(例如,液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入装置612(例如,键盘)、光标控制装置614(例如,鼠标)以及信号生成装置616(例如,扬声器)。
该数据存储装置618可以包括计算机可读介质628,在计算机可读介质628上存储有体现本文所述方法或功能的任一者或多者的指令622(例如,访问代理112、134、144、146的指令)的一个或多个集合。在计算机***600执行指令622期间,指令622还可以完全或至少部分地驻留在主存储器604内和/或处理器602的处理逻辑626内,主存储器604和处理器602还构成计算机可读介质。这些指令可以进一步经由网络接口装置608通过网络620来传输或接收。
虽然计算机可读存储介质628在示例性实施例中显示为单个介质,但术语“计算机可读存储介质”应视为包括存储了一个或多个指令集的单个介质或多个介质(例如,集中式或分布式数据库和/或相关联的缓存和服务器)。术语“计算机可读存储介质”还应视为包括能够存储、编码或携带用于由机器执行且使机器执行本发明的方法的任一者或多者的指令集的任何介质。术语“计算机可读存储介质”应因此视为包括但不限于固态存储器、光学介质以及磁介质。
本发明的说明书阐述了众多具体细节,诸如特定***、组件、方法等的示例,以便很好地理解本发明的几个实施例。然而,显而易见的是,对于本领域的技术人员而言,可以在没有这些具体细节的情况下实施本发明的至少一些实施例。在其他情况下,没有详细描述、或者只是以简单的框图格式介绍了熟知的组件或方法,以免不必要地使本发明晦涩难懂。因此,所阐述的具体细节仅仅是示例性的。具体实施可不同于这些示例性细节,但仍被预期为在本发明的范围内。
在以上描述中,阐述了许多细节。然而,显而易见的是,对于受益于本公开的本领域技术人员而言,可以在没有这些具体细节的情况下实施本发明的实施例。在一些情况下,以框图形式而不是详细地示出了熟知的结构和装置,以避免使描述晦涩难懂。
详细描述的一些部分以对计算机内存中的数据位的操作的算法和符号表示的方式来呈现。这些算法描述和表示是由数据处理领域的那些技术人员用于将其工作的本质(substance)最有效地传达给本领域的其他技术人员的手段。算法在此通常被构思成达到所需结果的步骤的有条理的序列。步骤是指需要物理量的物理操纵的那些步骤。通常(但不是必须的),这些量采用能够被存储、传输、组合、比较以及以其他方式操纵的电信号或磁信号的形式。已经证明,有时主要出于常见用法的原因,将这些信号称为位、值、元素、符号、字符、项、数等是方便的。
然而,应该牢记,这些和类似术语中的全部都将与适当的物理量相关联,并且仅仅是应用于这些量的方便标记。除非另有具体说明,否则根据以上讨论显而易见的是,应当理解,在全部描述中,使用诸如“确定”、“识别”、“添加”、“选择”等术语的讨论是指计算机***或类似电子计算装置的动作和过程,所述电子计算装置将表示为计算机***的寄存器和内存内的物理(例如,电子)量的数据操纵和转换为类似地表示为计算机***内存或寄存器或其他此类信息存储、传输或显示装置内的物理量的其他数据。
本发明的实施例还涉及用于执行本文中操作的设备。该设备可出于所需目的而专门构造,或者其可包括由存储在计算机中的计算机程序选择性地启动或重新配置的通用计算机。此类计算机程序可以存储在计算机可读存储介质中,诸如但不限于包括软盘、光盘、CD-ROM和磁光盘在内的任何类型的磁盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁卡或光卡,或适合用于存储电子指令的任何类型的介质。计算机可读存储介质可以是非暂态的。
本文呈现的算法和展示并不是固有地与任何特定计算机或其他设备有关。各种通用***可以与按照本文中教导的程序一起使用,或者构造更专用的设备来执行所需的方法步骤可证明是便利的。各种这样的这些***所需的结构将根据以下描述显现。另外,并未结合任何具体的编程语言来描述本发明。应当理解,可以使用各种编程语言来实施如本文所述的本发明的教导。
应当理解,上述描述旨在示例性描述,而非限制性描述。在阅读并理解上述描述后,许多其他实施例对于本领域的技术人员而言将是显而易见的。因此,应在参考随附权利要求书的情况下,并连同所述权利要求书有权获得的等效物的全面范围一起,来确定本发明的范围。
Claims (15)
1.一种方法,所述方法包括:
接收应用程序访问组织的网络内的资源的请求,其中所述应用程序在所述组织的所述网络外部的用户装置上运行;
识别所述应用程序的用户的用户标识符、所述用户装置的装置标识符和所述应用程序的应用程序标识符;
由处理器确定所述用户标识符、所述装置标识符和所述应用程序标识符的组合是否满足访问策略;以及
如果所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合满足所述访问策略,那么准予所述应用程序访问所述组织的所述网络内的所述资源。
2.根据权利要求1所述的方法,其中:
所述应用程序的所述请求包括通过应用程序私有密钥签名的断言中所包含的所述用户标识符、所述装置标识符和所述应用程序标识符;以及
所述方法进一步包括使用来自应用程序供应服务的应用程序公共密钥从所述请求中提取所述用户标识符、所述装置标识符和所述应用程序标识符。
3.根据权利要求1所述的方法,其中准予所述应用程序访问所述组织的所述网络内的所述资源包括:
确定哪些云资源可用于用户装置;以及
限制所述用户装置访问所述所确定的云资源。
4.根据权利要求1所述的方法,其中确定所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合是否满足所述访问策略包括将与所述请求相关联的所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合与用户标识符、装置标识符和应用程序标识符的有效组合的列表进行比较。
5.一种***,所述***包括:
访问代理,所述访问代理具有存储器和与所述存储器耦合的处理器,以便:
接收应用程序访问组织的网络内的资源的请求,其中所述应用程序在所述组织的所述网络外部的用户装置上运行;
识别所述应用程序的用户的用户标识符、所述用户装置的装置标识符和所述应用程序的应用程序标识符;
确定所述用户标识符、所述装置标识符和所述应用程序标识符的组合是否满足访问策略;以及
如果所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合满足所述访问策略,那么准予所述应用程序访问所述组织的所述网络内的所述资源。
6.根据权利要求5所述的***,其中:
所述应用程序的所述请求包括通过应用程序私有密钥签名的断言中所包含的所述用户标识符、所述装置标识符和所述应用程序标识符;以及
所述处理器进一步用于使用来自应用程序供应服务的应用程序公共密钥从所述请求中提取所述用户标识符、所述装置标识符和所述应用程序标识符。
7.根据权利要求5所述的***,其中所述处理器用于准予所述应用程序访问所述组织的所述网络内的所述资源,这通过以下步骤完成:
确定哪些云资源可用于用户装置;以及
限制所述用户装置访问所述所确定的云资源。
8.根据权利要求5所述的***,其中确定所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合是否满足所述访问策略包括将与所述请求相关联的所述用户标识符、所述装置标识符和所述应用程序标识符的所述组合与用户标识符、装置标识符和应用程序标识符的有效组合的列表进行比较。
9.根据权利要求5所述的***,所述***进一步包括:
用户装置,所述用户装置用于:
接收启动应用程序来访问云资源的用户请求;
获得所述应用程序的访问证书,所述访问证书包括用户标识符、装置标识符和应用程序标识符;
通过网络向所述访问代理发送包括所述访问证书和所述云资源的标识符的访问请求;以及
从所述访问代理接收对所述访问请求的响应,所述响应指示所述访问请求已被准予还是被拒绝。
10.根据权利要求9所述的***,其中获得访问证书包括提供用户接口以有助于所述用户标识符、所述装置标识符和所述应用程序标识符中的至少一者的用户输入。
11.根据权利要求9所述的***,其中所述访问请求是通过应用程序私有密钥签名的断言。
12.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质包括指令,当由处理器执行时,所述指令使得所述处理器执行一方法,所述方法包括:
接收启动应用程序来访问云资源的用户请求;
获得所述应用程序的访问证书,所述访问证书包括用户标识符、装置标识符和应用程序标识符;
通过网络向访问代理发送包括所述访问证书和所述云资源的标识符的访问请求;以及
从所述访问代理接收对所述访问请求的响应,所述响应指示所述访问请求已被准予还是被拒绝。
13.根据权利要求12所述的非暂态计算机可读存储介质,其中获得访问证书包括提供用户接口以有助于所述用户标识符、所述装置标识符和所述应用程序标识符中的至少一者的用户输入。
14.根据权利要求12所述的非暂态计算机可读存储介质,所述处理器进一步用于:
从所述访问代理接收加密密钥;
对所述加密密钥解密;以及
使用所述密钥访问加密的云资源。
15.根据权利要求12所述的非暂态计算机可读存储介质,其中所述访问请求是通过应用程序私有密钥签名的断言。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/834311 | 2013-03-15 | ||
| US13/834,311 US9313203B2 (en) | 2013-03-15 | 2013-03-15 | Systems and methods for identifying a secure application when connecting to a network |
| PCT/US2014/029222 WO2014144700A1 (en) | 2013-03-15 | 2014-03-14 | Systems and methods for identifying a secure application when connecting to a network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105074713A true CN105074713A (zh) | 2015-11-18 |
Family
ID=50628998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480011590.6A Pending CN105074713A (zh) | 2013-03-15 | 2014-03-14 | 用于当连接至网络时识别安全应用程序的***和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9313203B2 (zh) |
| EP (1) | EP2973166B1 (zh) |
| JP (1) | JP6431037B2 (zh) |
| CN (1) | CN105074713A (zh) |
| CA (1) | CA2904748C (zh) |
| WO (1) | WO2014144700A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107111511A (zh) * | 2016-03-25 | 2017-08-29 | 深圳前海达闼云端智能科技有限公司 | 访问控制的方法、装置和*** |
| CN107295008A (zh) * | 2017-08-01 | 2017-10-24 | 广东云下汇金科技有限公司 | 一种企业混合云计算环境下的连接建立方法 |
| CN110073327A (zh) * | 2016-10-13 | 2019-07-30 | 贝宝公司 | 基于位置的设备和认证*** |
| CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络***的安全控制方法、***、装置和存储介质 |
| CN112514348A (zh) * | 2018-09-12 | 2021-03-16 | 皮沃塔尔软件公司 | 安全绑定工作流 |
| CN112534792A (zh) * | 2018-06-19 | 2021-03-19 | 西门子股份公司 | 在云计算环境中提供对云服务的安全访问的方法和*** |
| CN113039764A (zh) * | 2018-10-29 | 2021-06-25 | 西门子股份公司 | 提供对存储在云平台的安全数据区中的数据的访问的方法和*** |
| CN114885331A (zh) * | 2022-07-12 | 2022-08-09 | 中国电力科学研究院有限公司 | 基于通信模组的网络接入控制方法、***及存储介质 |
Families Citing this family (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9489647B2 (en) | 2008-06-19 | 2016-11-08 | Csc Agility Platform, Inc. | System and method for a cloud computing abstraction with self-service portal for publishing resources |
| US10192199B2 (en) | 2011-11-16 | 2019-01-29 | Microsoft Technology Licensing, Llc | Enabling service features within productivity applications |
| US9246839B2 (en) * | 2013-01-02 | 2016-01-26 | International Business Machines Corporation | Extending organizational boundaries throughout a cloud architecture |
| WO2014209364A1 (en) * | 2013-06-28 | 2014-12-31 | Hewlett-Packard Development Company, L.P. | Expiration tag of data |
| FR3009915B1 (fr) * | 2013-08-22 | 2015-09-04 | Sagemcom Broadband Sas | Passerelle residentielle mettant a disposition au moins un espace memoire prive |
| US20150089632A1 (en) * | 2013-09-26 | 2015-03-26 | Aaron Robert Bartholomew | Application authentication checking system |
| US9544329B2 (en) | 2014-03-18 | 2017-01-10 | Shape Security, Inc. | Client/server security by an intermediary executing instructions received from a server and rendering client application instructions |
| US9692759B1 (en) * | 2014-04-14 | 2017-06-27 | Trend Micro Incorporated | Control of cloud application access for enterprise customers |
| AU2015256293B2 (en) * | 2014-05-06 | 2017-05-04 | Okta, Inc. | Facilitating single sign-on to software applications |
| US10050935B2 (en) * | 2014-07-09 | 2018-08-14 | Shape Security, Inc. | Using individualized APIs to block automated attacks on native apps and/or purposely exposed APIs with forced user interaction |
| US20160048688A1 (en) * | 2014-08-14 | 2016-02-18 | Google Inc. | Restricting System Calls using Protected Storage |
| US9729506B2 (en) | 2014-08-22 | 2017-08-08 | Shape Security, Inc. | Application programming interface wall |
| US20160080407A1 (en) * | 2014-09-11 | 2016-03-17 | International Business Machines Corporation | Managing operations in a cloud management system |
| US9998499B2 (en) * | 2014-09-29 | 2018-06-12 | Amazon Technologies, Inc. | Management of application access to directories by a hosted directory service |
| US9800602B2 (en) | 2014-09-30 | 2017-10-24 | Shape Security, Inc. | Automated hardening of web page content |
| US9967319B2 (en) * | 2014-10-07 | 2018-05-08 | Microsoft Technology Licensing, Llc | Security context management in multi-tenant environments |
| US20160127417A1 (en) * | 2014-10-29 | 2016-05-05 | SECaaS Inc. | Systems, methods, and devices for improved cybersecurity |
| US9893887B2 (en) * | 2015-01-30 | 2018-02-13 | Ciena Corporation | Dynamic licensing for applications and plugin framework for virtual network systems |
| CN106161350B (zh) * | 2015-03-31 | 2020-03-10 | 华为技术有限公司 | 一种管理应用标识的方法及装置 |
| US9930103B2 (en) * | 2015-04-08 | 2018-03-27 | Amazon Technologies, Inc. | Endpoint management system providing an application programming interface proxy service |
| CN107431613B (zh) | 2015-04-20 | 2021-02-05 | 深圳市大疆创新科技有限公司 | 用于支持可移动物体应用开发的***和方法 |
| US9756041B2 (en) | 2015-04-30 | 2017-09-05 | Rockwell Automation Technologies, Inc. | Offline access control for an application |
| US10171502B2 (en) * | 2015-05-21 | 2019-01-01 | Airwatch Llc | Managed applications |
| US10223526B2 (en) * | 2015-05-21 | 2019-03-05 | Airwatch Llc | Generating packages for managed applications |
| US10339302B2 (en) | 2015-05-21 | 2019-07-02 | Airwatch Llc | Creating multiple workspaces in a device |
| JPWO2016190355A1 (ja) * | 2015-05-27 | 2018-03-15 | 藤原 健吾 | 認証システム |
| CN105630584A (zh) * | 2015-06-16 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 应用程序的运行控制方法、***和终端 |
| US10162767B2 (en) * | 2015-06-27 | 2018-12-25 | Mcafee, Llc | Virtualized trusted storage |
| US9667657B2 (en) * | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
| CN106603461A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种业务认证的方法、装置和*** |
| US10171322B2 (en) * | 2016-01-11 | 2019-01-01 | International Business Machines Corporation | Dynamic and secure cloud to on-premise interaction and connection management |
| US10389705B2 (en) * | 2016-03-30 | 2019-08-20 | Airwatch Llc | Associating user accounts with enterprise workspaces |
| US10637723B2 (en) | 2016-03-30 | 2020-04-28 | Airwatch Llc | Configuring enterprise workspaces |
| JP6672964B2 (ja) * | 2016-03-31 | 2020-03-25 | ブラザー工業株式会社 | 仲介サーバ |
| WO2017188682A1 (ko) * | 2016-04-25 | 2017-11-02 | 주식회사 케이티 | Vnf 라이선스 관리 기능을 가진 nfvo 및 이를 이용한 vnf 라이선스 관리 방법 |
| US10310718B2 (en) * | 2016-06-22 | 2019-06-04 | Microsoft Technology Licensing, Llc | Enabling interaction with an external service feature |
| WO2018005893A1 (en) | 2016-06-30 | 2018-01-04 | Shape Security, Inc. | Client-side security key generation |
| EP3291500B1 (en) * | 2016-08-30 | 2020-05-13 | Siemens Aktiengesellschaft | Data processing system |
| KR101875863B1 (ko) * | 2016-09-08 | 2018-07-06 | 주식회사 유플렉스소프트 | 암호화된 해시값에 기반하여 클라우드 접속 허가를 결정하는 클라우드 시스템, 및 클라우드 접속 방법과 클라우드 단말에 설치된 소켓 데몬 장치 |
| US11973758B2 (en) * | 2016-09-14 | 2024-04-30 | Microsoft Technology Licensing, Llc | Self-serve appliances for cloud services platform |
| US10432407B2 (en) * | 2016-12-19 | 2019-10-01 | Arris Enterprises Llc | Secure provisioning of unique time-limited certificates to virtual application instances in dynamic and elastic systems |
| US10826703B1 (en) | 2017-06-05 | 2020-11-03 | United Services Automobile Association (Usaa) | Distributed ledger system for identity data storage and access control |
| JP6608878B2 (ja) | 2017-07-19 | 2019-11-20 | ファナック株式会社 | アプリケーション販売管理サーバシステム |
| US10673831B2 (en) | 2017-08-11 | 2020-06-02 | Mastercard International Incorporated | Systems and methods for automating security controls between computer networks |
| US10470040B2 (en) | 2017-08-27 | 2019-11-05 | Okta, Inc. | Secure single sign-on to software applications |
| JP6644756B2 (ja) * | 2017-11-21 | 2020-02-12 | エスゼット ディージェイアイ テクノロジー カンパニー リミテッドSz Dji Technology Co.,Ltd | 可動物体のアプリケーション開発を支援する方法、システム及びコンピュータ読取り可能媒体 |
| US11102140B2 (en) * | 2018-05-07 | 2021-08-24 | Bank Of America Corporation | Abstraction layer to cloud services |
| JP7060463B2 (ja) * | 2018-06-26 | 2022-04-26 | Phcホールディングス株式会社 | データ管理システム及びノード装置 |
| US11469894B2 (en) * | 2019-05-20 | 2022-10-11 | Citrix Systems, Inc. | Computing system and methods providing session access based upon authentication token with different authentication credentials |
| US11552947B2 (en) | 2019-07-10 | 2023-01-10 | Microsoft Technology Licensing, Llc | Home realm discovery with flat-name usernames |
| US11057340B2 (en) * | 2019-07-19 | 2021-07-06 | Vmware, Inc. | Per-application split-tunneled UDP proxy |
| US11057381B1 (en) * | 2020-04-29 | 2021-07-06 | Snowflake Inc. | Using remotely stored credentials to access external resources |
| US11106825B1 (en) | 2020-11-10 | 2021-08-31 | Netskope, Inc. | Predetermined credential system for remote administrative operating system (OS) authorization and policy control |
| US11928521B2 (en) * | 2021-04-17 | 2024-03-12 | UiPath, Inc. | Bring your own machine (BYOM) |
| US20230401332A1 (en) * | 2022-06-08 | 2023-12-14 | Microsoft Technology Licensing, Llc | Controlling application access to sensitive data |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1596521A (zh) * | 2001-11-30 | 2005-03-16 | 国际商业机器公司 | 基于秘密和/或个人信息的信息内容分发 |
| US20090228967A1 (en) * | 2008-03-05 | 2009-09-10 | Microsoft Corporation | Flexible Scalable Application Authorization For Cloud Computing Environments |
| CN102421098A (zh) * | 2010-09-27 | 2012-04-18 | ***通信集团公司 | 一种用户认证方法、装置及*** |
| CN102947847A (zh) * | 2010-05-26 | 2013-02-27 | 谷歌公司 | 使用域相关安全性沙盒来促进安全交易的***和方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004021923A (ja) * | 2002-06-20 | 2004-01-22 | Matsushita Electric Ind Co Ltd | 情報処理装置と情報処理方法 |
| JP4670598B2 (ja) * | 2005-11-04 | 2011-04-13 | 日本電気株式会社 | ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム |
| US7992197B2 (en) * | 2007-10-29 | 2011-08-02 | Yahoo! Inc. | Mobile authentication framework |
| US8645511B2 (en) * | 2009-10-13 | 2014-02-04 | Google Inc. | Pre-configuration of a cloud-based computer |
| JP5454102B2 (ja) * | 2009-11-25 | 2014-03-26 | 株式会社リコー | ライセンス更新管理装置、ライセンス管理システム、ライセンス更新方法、およびプログラム |
| US9094400B2 (en) * | 2011-04-27 | 2015-07-28 | International Business Machines Corporation | Authentication in virtual private networks |
| DE102011080467A1 (de) | 2011-08-04 | 2013-02-07 | Siemens Aktiengesellschaft | Zugangsregelung für Daten oder Applikationen eines Netzwerks |
-
2013
- 2013-03-15 US US13/834,311 patent/US9313203B2/en active Active
-
2014
- 2014-03-14 CA CA2904748A patent/CA2904748C/en active Active
- 2014-03-14 JP JP2016503018A patent/JP6431037B2/ja active Active
- 2014-03-14 WO PCT/US2014/029222 patent/WO2014144700A1/en active Application Filing
- 2014-03-14 EP EP14720836.7A patent/EP2973166B1/en active Active
- 2014-03-14 CN CN201480011590.6A patent/CN105074713A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1596521A (zh) * | 2001-11-30 | 2005-03-16 | 国际商业机器公司 | 基于秘密和/或个人信息的信息内容分发 |
| US20090228967A1 (en) * | 2008-03-05 | 2009-09-10 | Microsoft Corporation | Flexible Scalable Application Authorization For Cloud Computing Environments |
| CN102947847A (zh) * | 2010-05-26 | 2013-02-27 | 谷歌公司 | 使用域相关安全性沙盒来促进安全交易的***和方法 |
| CN102421098A (zh) * | 2010-09-27 | 2012-04-18 | ***通信集团公司 | 一种用户认证方法、装置及*** |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107111511A (zh) * | 2016-03-25 | 2017-08-29 | 深圳前海达闼云端智能科技有限公司 | 访问控制的方法、装置和*** |
| WO2017161569A1 (zh) * | 2016-03-25 | 2017-09-28 | 深圳前海达闼云端智能科技有限公司 | 访问控制的方法、装置和*** |
| CN110073327A (zh) * | 2016-10-13 | 2019-07-30 | 贝宝公司 | 基于位置的设备和认证*** |
| CN110073327B (zh) * | 2016-10-13 | 2023-09-12 | 贝宝公司 | 基于位置的设备和认证*** |
| CN107295008A (zh) * | 2017-08-01 | 2017-10-24 | 广东云下汇金科技有限公司 | 一种企业混合云计算环境下的连接建立方法 |
| CN112534792A (zh) * | 2018-06-19 | 2021-03-19 | 西门子股份公司 | 在云计算环境中提供对云服务的安全访问的方法和*** |
| CN112534792B (zh) * | 2018-06-19 | 2023-12-19 | 西门子股份公司 | 在云计算环境中提供对云服务的安全访问的方法和*** |
| US11855984B2 (en) | 2018-06-19 | 2023-12-26 | Siemens Aktiengesellschaft | Method and system of providing secure access to a cloud service in a cloud computing environment |
| CN112514348A (zh) * | 2018-09-12 | 2021-03-16 | 皮沃塔尔软件公司 | 安全绑定工作流 |
| CN112514348B (zh) * | 2018-09-12 | 2023-11-28 | 皮沃塔尔软件公司 | 安全绑定工作流 |
| CN113039764A (zh) * | 2018-10-29 | 2021-06-25 | 西门子股份公司 | 提供对存储在云平台的安全数据区中的数据的访问的方法和*** |
| CN113039764B (zh) * | 2018-10-29 | 2023-09-29 | 西门子股份公司 | 提供对存储在云平台的安全数据区中的数据的访问的方法和*** |
| CN112491886A (zh) * | 2020-11-27 | 2021-03-12 | 北京明朝万达科技股份有限公司 | 基于网络***的安全控制方法、***、装置和存储介质 |
| CN114885331A (zh) * | 2022-07-12 | 2022-08-09 | 中国电力科学研究院有限公司 | 基于通信模组的网络接入控制方法、***及存储介质 |
| CN114885331B (zh) * | 2022-07-12 | 2023-07-18 | 中国电力科学研究院有限公司 | 基于通信模组的网络接入控制方法、***及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9313203B2 (en) | 2016-04-12 |
| JP2016513851A (ja) | 2016-05-16 |
| WO2014144700A1 (en) | 2014-09-18 |
| US20140282821A1 (en) | 2014-09-18 |
| CA2904748C (en) | 2021-01-19 |
| CA2904748A1 (en) | 2014-09-18 |
| EP2973166A1 (en) | 2016-01-20 |
| JP6431037B2 (ja) | 2018-11-28 |
| EP2973166B1 (en) | 2019-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105074713A (zh) | 用于当连接至网络时识别安全应用程序的***和方法 | |
| KR102117584B1 (ko) | 로컬 디바이스 인증 | |
| US9787659B2 (en) | Techniques for secure access management in virtual environments | |
| Zissis et al. | Addressing cloud computing security issues | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| WO2015196659A1 (zh) | 一种桌面云客户端和服务端之间连接认证的方法及装置 | |
| KR20070097285A (ko) | 사용자 중심의 개인 데이터 관리를 위한 방법 및 장치 | |
| Sharma et al. | A survey on cloud security issues and techniques | |
| US11874905B2 (en) | Establishing access sessions | |
| Sharma et al. | Identity and access management-a comprehensive study | |
| US11658957B2 (en) | Methods and apparatuses for temporary session authentication and governor limits management | |
| KR20120067105A (ko) | 본인확인이 가능한 소셜 인증 로그인 시스템 및 그 제공방법 | |
| CN110022207B (zh) | 密钥管理及处理数据的方法、装置、设备和计算机可读介质 | |
| US9232078B1 (en) | Method and system for data usage accounting across multiple communication networks | |
| Binu et al. | A mobile based remote user authentication scheme without verifier table for cloud based services | |
| WO2022144024A1 (en) | Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization | |
| US9160544B2 (en) | Providing secure access to computing resources in a cloud computing environment | |
| Singh et al. | Security in amazon web services | |
| Hakobyan | Authentication and authorization systems in cloud environments | |
| Kivinen | OpenID Connect Provider Certification | |
| Thakore et al. | Scalable and Privacy-preserving Access Mechanism for Dynamic Clouds | |
| Lábaj et al. | Policy-based access control using biometric authetication mechanisms | |
| Schwartz et al. | OAuth | |
| Liu | Using Security Proxy Based Trusted Computing Enhanced Grid Security Infrastructure | |
| Galibus et al. | Cloud Storage Security Architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151118 |