CN1601954B - 不中断服务地横跨安全边界移动主体 - Google Patents
不中断服务地横跨安全边界移动主体 Download PDFInfo
- Publication number
- CN1601954B CN1601954B CN2004100557596A CN200410055759A CN1601954B CN 1601954 B CN1601954 B CN 1601954B CN 2004100557596 A CN2004100557596 A CN 2004100557596A CN 200410055759 A CN200410055759 A CN 200410055759A CN 1601954 B CN1601954 B CN 1601954B
- Authority
- CN
- China
- Prior art keywords
- account
- authorized organization
- checking
- main body
- authorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3674—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Software Systems (AREA)
- General Business, Economics & Management (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
一种改进的网络体系结构采用具有身份目录的超级授权机构以将登录验证任务定向到适当的授权机构。如果由超级授权机构如此定向,验证任务可由授权机构横跨名字空间边界执行,使主体账号可以移动而不改变其账号ID。在本发明的一个实施例中,身份目录包括将账号ID和适当的验证授权机构关联的列表。
Description
技术领域
本发明一般涉及网络管理,尤其涉及在网络环境中验证主体的***和方法。
背景技术
由于计算机网络在工业和企业的所有方面变得越来越流行,用户更频繁地需要访问位于远离其自己机器的计算机上的资源。然而,远程用户访问本地数据的可能性引出了许多安全问题。例如,远程用户可能访问其不被授权访问的数据,并且甚至可能恶意地破坏或改变这类数据。因此,大多数网络域需要用户在获取对该域中的资源的访问之前登录并被验证。验证旨在确保在授权访问之前用户的身份和关联的许可是已知的。验证的过程需要检查访问是否适当然后基于该检查的结果或者授权或者拒绝访问。
如本发明所使用的,“主体”(principal)是试图访问受保护的资源或设施(如,应用)的实体(通常是人、计算机、应用或服务)。“验证”是证明或核实身份的过程。“授权机构”(authority)是用来对某一组主体提供验证服务的信任的实体。
对于给定的授权机构,一旦验证了主体,它即信任它们,但是它可能不信任其它授权机构能正确地验证其主体。鉴于此原因,开发了一种名字空间约定,借此,特定的授权机构仅验证其账号ID驻留在给定名字空间中的主体。特别地,账号ID通常至少包括用户标识符部分和验证授权机构部分。账号ID的验证授权机构部分标识该主体ID的名字空间,并因此标识应当验证该主体的授权机构。主体标识符部分通常将特定的用户标识为同一名字空间内区别于其它用户。由此,例如,账号ID [email protected]应当由用于域dev.microsoft.com的授权机构验证,而账号ID [email protected]应当由用于域mktg.microsoft.com的授权机构验证。
这一解决方案给了网络资源的一定量的安全;然而名字空间划分的静态特性造成了另外的问题。例如,当用户从一个域移动到另一个、或需要具有横跨域边界的访问时,当前***不容易适应。在前一情况下,用户需要获取标识新域而非旧域的名字空间的新账号ID,而在后一情况下,用户必须或者获取正确名字空间中的另外的账号或者在授权机构之间必须存在强健的管理可信度(如信任)。
发明内容
本发明的实施例提供了一种新的网络体系结构,允许改变主体验证中所用的名字空间约定,使主体可以在不改变账号ID的情况下跨越安全边界移动,而同时充分地维护由当前方法提供的资源保护。依照本发明的特定实施例的体系结构包括对多个验证授权机构负责的超级授权机构(Super Authority)。当一个验证授权机构接收登录请求,它将该请求传输到超级授权机构,用于判定哪一验证授权机构应当验证该关联的主体。
作为响应,超级授权机构评估身份目录以确定哪一授权机构应当验证该主体。在本发明的一个实施例中,身份目录包括每一账号ID到一个验证授权机构的映射。该映射由政策确定,或在其它方面不是被强制来考虑名字空间边界,因此不同于现有***,两个相异的验证授权机构可以在同一名字空间中验证,并且任一验证授权机构可以在多个名字空间中验证。例如,映射可以基于组织内的主体的组织从属关系或主体的地理位置等等。一旦由超级授权机构标识了验证授权机构,超级授权机构或者直接将登录请求发送到适当的授权机构用于验证,或者另外促使请求被发送到适当的授权机构用于验证。
参考附图阅读以下说明性实施例的详细描述,将更清楚本发明的另外的特点和优点。
附图说明
尽管所附权利要求书采用细节陈述了本发明的特点,结合附图阅读以下详细描述可以最好地理解本发明与其目的和优点,附图中:
图1是一般地说明了可以在其中实现本发明的实施例的示例性装置体系结构的结构图;
图2A是可以在其中实现与主体关联的验证授权机构的示例一般网络体系结构的示意图;
图2B是主体和验证授权机构之间的关联的示例逻辑图;
图3A是可以在其中实现本发明的实施例中的超级授权机构的示例一般网络体系结构的示意图;
图3B是依照本发明的实施例超级授权机构、主体和验证授权机构之间的关联的示例逻辑图;
图4A所示是用于实现本发明的实施例的环境内的超级授权机构的示意图;
图4B所示是依照本发明的一个实施例用于将账号标识符映射到验证授权机构的身份目录的示意图;
图5所示是依照本发明的一个实施例用于在登录过程中验证主体账号ID的步骤的流程图。
具体实施方式
转向附图,其中,相同的标号指相同的元件,示出本发明在合适的计算环境中实现。尽管并非所需,但本发明将在计算机可执行指令的一般上下文中描述,计算机可执行指令如程序模块,由计算机执行。一般而言,程序模块包括例程、程序、对象、组件、数据结构等等,执行特定的任务或实现特定的抽象数据类型。此外,本领域的技术人员可以理解,本发明可以在其它计算机***构造中实践,包括手持式设备、多处理器***、基于微处理器或可编程消费者电子设备、网络PC、小型机、大型机等等。本发明也可以在分布式计算环境中实践,其中,任务由通过通信网络连接的远程处理设备来执行。在分布式计算环境中,程序模块可以位于本地和远程存储器存储设备中。
本描述从对可用于实现本发明的示例性***中的通用计算装置的描述开始,之后将参考图2-5更详细地描述本发明。现在转向图1,以常规计算机形式20示出了通用计算装置,包括处理单元21、***存储器22以及将各类***组件包括***存储器耦合至处理单元21的***总线23。***总线23可以是若干种总线结构类型的任一种,包括存储器总线或存储器控制器、***总线以及使用各类总线结构的本地总线。***存储器包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出***(BIOS)26,包含如在启动时协助在计算机20内的元件之间传输信息的基本例程,储存在ROM 24中。计算机20也包括用于对硬盘60进行读写的硬盘驱动器27、用于对可移动磁盘29进行读写的磁盘驱动器28以及用于对可移动光盘31如CD-ROM或其它光媒质进行读写的光盘驱动器30。除上述计算机可读媒质外,通信媒质通常在诸如载波或其它传输机制的已调制数据信号中包含计算机可读指令、数据结构、程序模块或其它数据。术语“已调制数据信号”指以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。作为示例而非局限,通信媒质包括有线媒质,如有线网络或直接连线连接,以及无线媒质,如声学、RF、红外和其它无线媒质。上述任一的组合也应当包括在计算机可读媒质的范围之内。
硬盘驱动器27、磁盘驱动器28以及光盘驱动器30分别通过硬盘驱动器接口32、磁盘驱动器接口33和光盘驱动器接口34连接至***总线23。驱动器及其相关的计算机可读媒质为计算机20提供了计算机可执行指令、数据结构、程序模块和其它数据的非易失存储。尽管这里描述的示例环境采用了硬盘60、可移动磁盘29以及可移动光盘31,本领域的技术人员可以理解,也可以在示例性操作环境中使用能够储存可由计算机访问的数据的其它类型的计算机可读媒质,包括盒式磁带、闪存卡、数字多功能盘、Bernoulli盒式磁盘、随机存取存储器、只读存储器、存储区域网络等等。
众多程序模块可储存在硬盘60、磁盘29、光盘31、ROM 24或RAM 25中,包括操作***35、一个或多个应用程序36、其它程序模块37以及程序数据38。用户可以通过诸如键盘40和指向设备42等输入设备向计算机20输入命令和信息。其它输入设备(未示出)可包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等等。这些和其它输入设备通常通过耦合至***总线的串行端口接口46连接到处理单元21。但是也可以通过其它接口连接,如并行端口、游戏端口或通用串行总线(USB)。监视器47或另一类型的显示设备也通过接口,如视频适配器48连接到***总线23。除监视器之外,个人计算机通常包括其它***输出设备(未示出),如扬声器和打印机。
计算机20可以在使用到一个或多个远程计算机,如远程计算机49的逻辑连接的网络化环境中操作。远程计算机49可以是服务器、路由器、网络PC、个人计算机、对等设备或其它公用网络节点,并通常包括许多或所有上述与计算机20相关的元件,尽管在图1中仅说明了存储器存储设备50。图1描述的逻辑连接包括局域网(LAN)51和广域网(WAN)52。这类网络环境常见于办公室、企业范围计算机网络、内联网以及因特网。
当在LAN网络环境中使用时,计算机20通过网络接口或适配器53连接至局域网51。当在WAN网络环境中使用时,计算机20通常包括调制解调器54或其它装置,用于通过WAN 52建立通信。调制解调器54可以是内置或外置的,通过串行端口接口46连接至***总线23。描述的与计算机20相关的程序模块或其部分可储存在远程存储器存储设备中,如果存在的话。可以理解,示出的网络连接是示例性的,也可以使用在计算机之间建立通信链路的其它装置。
在此,将参考由一个或多个计算机执行的行动和操作的符号表示来一般描述本发明,除非另外指示。由此,可以理解,这类行动和操作,有时候也被称为计算机执行的,包括计算机的处理单元对以结构化形式表示数据的电信号的操作。这一操作转化数据或在计算机的存储器***中的位置上对其进行维护,以本领域的技术人员都理解的方式重新配置或另外改变了计算机的操作。维护着数据的数据结构是存储器上的物理位置,具有由数据的格式定义的特定属性。然而,尽管本发明在上述上下文中描述,如本领域的技术人员所理解的,它并不意味着是局限性的,后文描述的各种行动和操作也可以以硬件实现。在以下描述中,计算装置如验证装置和超级授权机构装置可以是如上文对图1关于计算机20和/或远程计算机49的描述,或者可以作为替换是另一类型的计算装置。
图2A示意地示出了在其中使用现有网络资源管理技术的示例性网络环境200。特别地,主体A 201、主体B 203、主体C 205、主体D 207、主体E 209和主体F 211每一个都与授权机构X 213、授权机构Y 215和授权机构Z 217之一关联。主体以及至少它们的相应验证授权机构通过网络219通信地连接。每一主体可在网络219上由诸如参考图1所讨论的计算机20的计算机、工作站或能够执行所必须的网络通信和处理任务的任一其它类型的计算装置表示。网络219可包括任意数量和类型的网络连接,包括有线和无线连接、LAN、WAN和因特网连接或其任一组合以及任一类型的网络连接。
在现有技术中,授权机构X 213、授权机构Y 215和授权机构Z 217中的每一个负责在特定的名字空间内验证账号ID,因此当接收账号ID用于验证时,立即从该账号ID本身清楚哪一授权机构负责该验证。由此,当主体之一试图登录特定域(即,与特定授权机构关联的名字空间内的网络资源)时,适当的授权机构通过适用于该目的的众多已知协议之一执行验证,并向该主体或者授权或者拒绝访问。注意,尽管主体201、203、205、207、209、211可以仅与众多授权机构213、215、217之一关联,环境200内可存在网络连接,使主体能够直接或间接与其它域上的授权机构和机器进行通信。
现在参考图2B,示意地示出了对应于图2A的网络图的逻辑域体系结构202。在所示的示例中,主体A 201和主体C 205与授权机构X 213关联(如,有它的账号),主体B 203、主体D 207和主体F 211与授权机构215关联,主体E 209与授权机构217关联。尽管每一主体可以具有或不具有与除相应的关联验证授权机构之外的授权机构和机器的网络连接,在图2B的逻辑结构202中不对这类连接进行描述,因为图2B的机构202仅为示出验证关系。
由于如上所述因网络资源安全原因所采纳的名字空间约定,不可能在当前***中将主体从一个域移动到另一个而不改变该主体的账号ID,导致潜在的服务中断。即,由于账号ID包括便于验证的名字空间标识符,并且由于验证授权机构在非交迭名字空间中进行验证,对特定验证机构有用的账号ID对另一验证机构没用,即便对第二个域的访问的权限是另外可授权的。
有许多原因,特定的组织可能选择维护包括多个域或具有多个授权机构的网络***,且特定组织可能想要在这多个域之间移动主体。例如,在组织合并中,可以从独立的部分形成单个公司或组织,每一部分先前与一个或多个域关联。如果要维护组成组织的实体,所得到的组织网络经常将与合并的公司关联的域作为组成部分包括在内。在另一示例中,法律可能要求跨国公司或跨区域组织或集团维护独立的控制域。例如,本地法律可能需要跨国金融公司为在特定的国家内的管理人员建立单独的控制域,以使仅对本地人员授予对本地活动的控制和对本地数据的访问。
维护多个授权机构的其它原因包括管理分离和数据分离。当分散的、松散地联合的集团想要在某种程度上共享资源,但是不希望共享对资源或与其关联的主体的管理时,管理分离的主体就有用了。当网络资源包括宝贵的、机密的或者敏感的数据或资源时,数据分离的主体就有用了,并且多个授权机构的创建将可访问该组特定资源的个人的数量减到最小。
如上所述,横跨安全边界移动主体经常是有用或方便的。例如,当与特定用户账号关联的个别用户在组织内改变职位,从一个部门调动到另一个部门时,经常期望能这样做。如果每一部门与其自己的授权机构关联,调任的雇员需要将其账号从一个授权机构传输到另一个。在现有技术中,这需要改变账号ID并且伴随服务或访问的中断。可能期望移动用户账号的另一示例情况在合并或收购之后,当交易的一方希望将其主体迁移到与交易的另一方关联的原有授权机构时出现。
本发明描述的示例性实施例的***维护管理隔绝和数据分离,而在不中断服务的情况下使主体能够移动并且能够合并授权机构。一般而言,通过结合身份目录使用超级授权机构来实现这一级别的性能。如后文更详细描述的,超级授权机构不是验证授权机构,而是将访问尝试指引到适当的普通授权机构用于验证。超级授权机构采用身份目录来方便这一任务。身份目录有效地将账号ID映射到验证授权机构,借此每一账号ID与单个验证授权机构关联。
图3A的示意图示出了依照本发明的一个实施例可在其中实现超级授权机构的网络体系结构300。超级授权机构也可以被称为控制授权机构,因为它控制主体的验证,但不是实际上实施对那些主体的验证。除与图2A所示的主体和验证机构类似的主体和验证机构之外,体系结构300还包括通过示例超级授权机构I(321)和示例超级授权机构II(323)所示的一个或多个超级授权机构。每一超级授权机构321、323可以通过网络319连接到图中所示的其它网络实体的一些或全部。然而,唯一需要的连接是每一超级授权机构321、323和与该超级授权机构关联的任一一个或多个验证授权机构之间的连接。验证授权机构和超级授权机构之间的相互关系将在后文更详细描述。
参考图3B,通过逻辑结构302示意地示出了验证授权机构和超级授权机构之间的示例性逻辑关系。如图所示,每一超级授权机构321、323与一个或多个验证授权机构关联,而每一验证授权机构最多与一个超级授权机构关联。注意,尽管授权机构可与单个主体关联和/或超级授权机构可与单个授权机构关联,这一情况通常,尽管并非必须,是瞬时的。
尽管本发明不需要每一验证机构仅与一个超级授权机构关联,然而这是优选的,因为它往往简化了管理和验证任务。在示出的示例中,超级授权机构I(321)与授权机构X(313)和授权机构Y(315)关联,而超级授权机构II(323)与授权机构Z(317)关联。
进而,授权机构X(313)、授权机构Y(315)和授权机构Z(317)的每一个与特定的用户或主体,如特定的账号关联。然而,与其它验证技术不同,验证授权结构和主体之间的连接不是基于非交迭名字空间,而是基于由相关的超级授权机构维护的身份目录中包含的政策选择。后文将要详细讨论的身份目录本质上将每一主体的账号标识符映射到验证授权机构,并且可以改变目录的映射而不改变账号标识符。
由于映射由政策确定,而不是被强制来遵守名字空间边界,两个相异的验证授权机构可在同一名字空间中验证,并且任一验证授权机构可在多个名字空间中验证。映射可基于组织内主体的组织从属关系、主体的地理位置、资历、职位等等。
图4A示出了诸如超级授权机构I(321)和超级授权机构II(323)的超级授权机构的示意表示。图4A的示图是为了用于说明和简化目的,并表示超级授权机构401的一个可能的实现。给定本发明的教导,本领域的技术人员可以理解,本发明包括其它的实现。示例性超级授权机构401包括网络接口403、授权机构解析逻辑405以及身份目录407。组件间可通信地相互关联,使网络接口403和身份目录407对授权机构解析逻辑405可用。
超级授权机构401可以在众多类型的计算装置的任一个上实现。在本发明的一个实施例中,超级授权机构401在服务器上实现,并且超级授权机构401的组件是软件模块和元件,如上文一般对于图1所描述的。在本发明的一个实施例中,组件之间的通信路径包括服务器计算机的总线或内部通信路径。
图4B示意地示出了依照本发明的一个实施例的身份目录407的细节。特别地,身份目录407提供了主体账号ID(如,[email protected])到验证授权机构的映射。在图4B中示出该映射是列表格式的一对一映射,其中,身份列455中的每一条目453通过表映射到验证授权机构列459中对应的条目457。
如示出的示例所说明的,主体账号ID到验证授权机构的映射不需要考虑名字空间边界。例如,“msn.com”域中的客户机由验证授权机构A和验证授权机构B两者验证。对“microsoft.com”域中的客户机也是如此。只要改变身份目录中的映射就将得到相关主体到同一超级授权验证机构下的不同验证授权机构的重映射。如上所述,这是有利的,因为可以改变验证责任而不需要改变账号ID本身。
总览言之,依照本发明的一个实施例,超级授权机构401的操作如下。属于用户或主体的机器,如标签为主体A(413)的机器联系验证机构,如驻留在标签为授权机构411的机器上者,请求对资源的访问。这一请求的形式可以是登录请求或尝试。所联系的授权机构411然后通过网络409和网络结构402向超级授权机构401发送该请求,用于由授权机构解析逻辑405利用身份目录407标识适当的授权机构,以验证由该请求所标识的主体。超级授权机构401然后或者直接将验证请求传输到所选择的验证授权机构,或者通过初始的接收授权机构促使该请求得以传输。选择的验证授权机构可以是但不必是最初从主体接收登录请求的验证授权机构。
注意,依照本发明的一个实施例,改变身份目录407的内容,例如将给定的账号ID重映射到另一验证授权机构的过程也较佳地在授权机构解析逻辑405需要时执行。通常,管理员发布命令,引发授权机构解析逻辑405对身份目录407作出适当的改变。这类命令可以通过主含(hosting)超级授权机构401的计算机的用户接口接收,或者可以从远程位置通过网络接口403或其它网络连接到达。
图5的流程图更详细地传达出本发明描述的新体系结构在处理对网络资源的访问的请求时的操作。特别地,在步骤501,主体通过向授权机构发送登录请求试图登录到特定的网络资源。请求中包括主体账号ID,通常包括如图4B所示的个人标识符和域标识符。在步骤503,接收请求的授权结构不直接决定是否验证该请求的主体,而是将该请求转发到对特定的接收授权机构负责的超级授权机构。
随后在步骤505,超级授权机构从传输中提取账号ID信息,并在步骤507中使用该账号ID信息作为输入到身份表的关键字来标识与特定的主体关联的验证授权机构。注意,超级授权机构可以首先进行检查以确定特定的发送授权机构是否是超级授权机构所负责的。授权机构标识符可用于此目的。也要注意,根据身份目录的内容,与特定主体身份关联的验证授权机构可以是或不是接收并传递登录请求的同一授权机构。在步骤509,超级授权机构促使将登录请求传输到通过身份目录标识的适当的授权机构。
在这一步,超级授权机构可以或者直接发送该请求,或者促使第三方发送该请求。直接转发请求的过程可以被称为“链连(chaining)”。然而,链连不是必需的,请求也可以通过众多其它机制的任一个完成。例如,超级授权机构在步骤507解析了适当的验证授权机构之后,可以“移送”(refer)该请求而不是链连它。“移送”需要超级授权响应转发该请求的授权机构并向该授权机构告知适当的验证授权机构。然后将请求从最初向超级授权机构转发请求的授权机构传递到适当的验证授权机构。尽管可以使用链连或移送,或实际上其它方法,如果相关的授权机构是可通信地连接的,优选使用移送。这是由于移送一般允许更大的***规模,因为在特定的时间段内,单个超级授权机构可以是更大数量的验证请求中的一方。
最后,在步骤511,选择的授权机构适当地验证该请求。如果成功,作为验证的结果,验证授权机构可向主体发送许可通知。
应当理解,本发明描述的示例性实施例中的这一新体系结构和***允许提高的验证灵活性,而没有随之增加***对冒充和其它不法行为的易损性。例如,在传统的***中,信任两个相异的授权机构A和B来验证“@msn.com”和“@microsoft.com”主体,验证机构A和B必须彼此具有高管理可信度,因为授权机构A的管理员可能验证应当仅由授权机构B验证的主体,反之亦然。换言之,授权机构A需要如它信任它自己的管理员一样足够信任授权机构B的管理员,在一些情况下这简直是不可能的。然而,本发明描述的示例性***允许授权机构共享名字空间,而不需要相互的管理可信度。每一授权机构仅需要具有超级授权机构管理员的可信度,这是更合乎人意的,因为超级授权机构管理员的数量、位置和从属关系通常比标准授权机构更有约束。本发明的许多实施例中可达到的有利结果还有,主体可以横跨名字空间边界移动而不改变其身份;超级授权机构身份目录中的简单改变是记录主体身份到验证授权机构的新映射的全部所需。
可以理解,描述了用于主体账号验证的改进***和方法。由于可以应用本发明的主体的许多可能实施例,应当认识到,本发明参考附图描述的实施例仅为说明性的,并不应当作为限制本发明的范围。例如,本领域的技术人员可以认识到,以软件示出的说明的实施例的一些元件可以以硬件实现,并且反之亦然,或者在不脱离本发明的精神的情况下可以在排列和细节上修改说明的实施例。此外,可以理解,本发明可以在任意大小和形状的合适的网络环境中实现。而且,尽管本发明的说明示出了少量的主体、授权机构和超级授权机构,本发明意指具有更多或更少这些实体的***。因此,本发明如所述地考虑处于所附权利要求书及其等效技术方案的范围之内的所有这些实施例。
Claims (16)
1.一种标识验证授权机构用于验证主体以访问网络资源的控制授权机构,其特征在于,它包括:
一身份目录,它将多个账号ID的每一个映射到对应的多个验证授权机构之一,所述账号ID包括个人标识符和名字空间标识符,所述账号ID用于标识所述主体;以及
一授权机构解析模块,用于访问所述身份目录以在所述映射内,从多个验证授权机构,查找对应于所要验证的主体的所述账号ID中的个人标识符和名字空间标识符的所分配的验证授权机构的身份,并在需要时改变所述映射,借此先前映射到第一验证授权机构的账号ID被重映射到第二验证授权机构。
2.如权利要求1所述的控制授权机构,其特征在于,它还包括一网络接口,用于将所述账号ID传递到所述授权机构解析模块,并用于从所述授权机构解析模块接收指引到所述对应的验证授权机构的验证请求,其中所述验证请求从所述主体发送到多个验证授权机构中的一个,并且所述验证授权机构将所述验证请求转发到所述授权机构解析模块。
3.如权利要求1所述的控制授权机构,其特征在于,每一账号ID包括一名字空间标识符,并且其中,所述多个账号ID包括至少两个具有公用名字空间标识符的账号ID,其中,所述至少两个账号ID分别映射到所述多个验证授权机构的至少两个不同的验证授权机构。
4.如权利要求1所述的控制授权机构,其特征在于,每一账号ID包括一名字空间标识符,并且其中,所述多个账号ID包括至少两个具有不同名字空间标识符的账号ID,其中,所述至少两个账号ID映射到所述多个验证授权机构的同一个。
5.如权利要求1所述的控制授权机构,其特征在于,所述身份目录的内容至少部分地基于实体中主体的组织从属关系。
6.如权利要求1所述的控制授权机构,其特征在于,所述身份目录的内容至少部分地基于主体的地理位置。
7.一种在网络环境中控制主体验证以访问网络资源的方法,所述网络环境包括一超级授权机构和多个验证授权机构,每个验证授权机构配置用于验证从不同域访问所述网络环境的主体,其特征在于,所述方法包括:
所述超级授权机构从多个验证授权机构之一接收对验证授权机构解析的请求,其中,所述请求包括要验证的主体的账号ID,所述账号ID包括个人标识符和名字空间标识符;
所述超级授权机构访问多个账号ID到对应的多个被授权验证所述账号ID的验证授权机构的每一个的分配映射,所述账号ID包括个人标识符和名字空间标识符,所述账号ID用于标识所述主体;
在所述分配映射中查找所要验证的主体的账号ID,在所述分配映射内查找对应于所要验证的主体的账号ID中的个人标识符和名字空间标识符的分配的验证授权机构的身份;
促使将所述请求传输到从所述多个验证授权机构中查找到的所述分配的验证授权机构,其中,所述请求要求所述分配的验证授权机构验证所述要验证的主体;以及
改变所述分配映射,借此先前映射到第一验证授权机构的账号ID被重映射到第二验证授权机构。
8.如权利要求7所述的方法,其特征在于,每一账号ID包括一名字空间标识符,并且其中,所述多个账号ID包括至少两个具有公用名字空间标识符的账号ID,其中,所述至少两个账号ID通过所述分配映射被分别映射到所述多个验证授权机构的至少两个不同的验证授权机构。
9.如权利要求7所述的方法,其特征在于,每一账号ID包括一名字空间标识符,并且其中,所述多个账号ID包括至少两个具有不同名字空间标识符的账号ID,其中,所述至少两个账号ID通过所述分配映射被映射到所述多个验证授权机构的同一个。
10.如权利要求7所述的方法,其特征在于,所述分配映射至少部分地基于实体内主体的组织从属关系。
11.如权利要求7所述的方法,其特征在于,所述分配映射至少部分地基于主体的地理位置。
12.一种用于在网络环境中控制主体的验证以访问网络资源的装置,其特征在于,它包括:
用于从多个验证授权机构之一接收对验证授权机构解析的请求的装置,其中,所述请求包括要验证的主体的账号ID,所述账号ID包括个人标识符和名字空间标识符;
用于访问多个账号ID到对应的多个被授权验证所述账号ID的验证授权机构的每一个的分配映射的装置,所述账号ID包括个人标识符和名字空间标识符,所述账号ID用于标识所述主体;
用于在所述分配映射中查找所要验证的主体的账号ID,在所述分配映射内查找对应于所要验证的主体的账号ID中的个人标识符和名字空间标识符的分配的验证授权机构的身份的装置;
用于促使将所述请求传输到从所述多个验证授权机构中查找到的所述分配的验证授权机构的装置,其中,所述请求邀请所述分配的验证授权机构验证所述要验证的主体;以及
用于改变所述分配映射的装置,借此先前映射到第一验证授权机构的账号ID被重映射到第二验证授权机构。
13.如权利要求12所述的装置,其特征在于,每一账号ID包括一名字空间标识符,并且其中,所述多个账号ID包括至少两个具有公用名字空间标识符的账号ID,其中,所述至少两个账号ID通过所述分配映射分别映射到所述多个验证授权机构的至少两个不同的验证授权机构。
14.如权利要求12所述的装置,其特征在于,每一账号ID包括一名字空间标识符,并且其中,所述多个账号ID包括至少两个具有不同名字空间标识符的账号ID,其中,所述至少两个账号ID通过所述分配映射映射到所述多个验证授权机构的同一个。
15.如权利要求12所述的装置,其特征在于,所述分配映射至少部分地基于实体内主体的组织从属关系。
16.如权利要求12所述的装置,其特征在于,所述分配映射至少部分地基于主体的地理位置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/667,582 | 2003-09-22 | ||
| US10/667,582 US7370195B2 (en) | 2003-09-22 | 2003-09-22 | Moving principals across security boundaries without service interruption |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1601954A CN1601954A (zh) | 2005-03-30 |
| CN1601954B true CN1601954B (zh) | 2011-08-03 |
Family
ID=34194794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004100557596A Expired - Fee Related CN1601954B (zh) | 2003-09-22 | 2004-07-30 | 不中断服务地横跨安全边界移动主体 |
Country Status (10)
| Country | Link |
|---|---|
| US (3) | US7370195B2 (zh) |
| EP (1) | EP1517510B1 (zh) |
| JP (1) | JP4558402B2 (zh) |
| KR (1) | KR101015354B1 (zh) |
| CN (1) | CN1601954B (zh) |
| AU (1) | AU2004203412B2 (zh) |
| BR (1) | BRPI0402910B1 (zh) |
| CA (1) | CA2476340C (zh) |
| MX (1) | MXPA04007410A (zh) |
| RU (2) | RU2348075C2 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040236653A1 (en) * | 2002-01-03 | 2004-11-25 | Sokolic Jeremy N. | System and method for associating identifiers with data |
| US7469417B2 (en) * | 2003-06-17 | 2008-12-23 | Electronic Data Systems Corporation | Infrastructure method and system for authenticated dynamic security domain boundary extension |
| KR101281217B1 (ko) * | 2005-05-06 | 2013-07-02 | 베리사인 인코포레이티드 | 토큰 공유 시스템 및 방법 |
| US8155275B1 (en) | 2006-04-03 | 2012-04-10 | Verint Americas, Inc. | Systems and methods for managing alarms from recorders |
| US8307404B2 (en) * | 2007-04-16 | 2012-11-06 | Microsoft Corporation | Policy-management infrastructure |
| US7587718B1 (en) * | 2008-10-31 | 2009-09-08 | Synopsys, Inc. | Method and apparatus for enforcing a resource-usage policy in a compute farm |
| US8561157B2 (en) | 2011-09-23 | 2013-10-15 | Canon U.S.A., Inc. | Method, system, and computer-readable storage medium for establishing a login session |
| US9276932B2 (en) * | 2013-11-07 | 2016-03-01 | International Business Machines Corporation | Federated identity mapping using delegated authorization |
| US10067949B1 (en) * | 2013-12-23 | 2018-09-04 | EMC IP Holding Company LLC | Acquired namespace metadata service for controlling access to distributed file system |
| CA2895520A1 (en) | 2014-06-23 | 2015-12-23 | Prabaharan Sivashanmugam | Systems and methods for authenticating user identities in networked computer systems |
| CN106921555B (zh) * | 2015-12-24 | 2020-04-07 | 北京北信源软件股份有限公司 | 一种用于跨网络即时通信的用户账号定义方法 |
| CN107797721B (zh) * | 2016-09-07 | 2020-10-09 | 腾讯科技(深圳)有限公司 | 一种界面信息显示方法及其装置 |
| CN106407842B (zh) * | 2016-09-29 | 2019-06-14 | 恒大智慧科技有限公司 | 一种签核发起用户管理方法和设备 |
| US11941458B2 (en) | 2020-03-10 | 2024-03-26 | Sk Hynix Nand Product Solutions Corp. | Maintaining storage namespace identifiers for live virtualized execution environment migration |
| CN117642739A (zh) * | 2021-07-02 | 2024-03-01 | 株式会社电装 | 路由装置、管理中心装置、用户认证方法、以及用户认证程序 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1382334A (zh) * | 1999-08-31 | 2002-11-27 | Mci全球通讯公司 | 在一种多域环境下选择ipx/igx节点的方法 |
| US6510236B1 (en) * | 1998-12-11 | 2003-01-21 | International Business Machines Corporation | Authentication framework for managing authentication requests from multiple authentication devices |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5646534A (en) * | 1995-01-06 | 1997-07-08 | Chrysler Corporation | Battery monitor for electric vehicles |
| US5875296A (en) | 1997-01-28 | 1999-02-23 | International Business Machines Corporation | Distributed file system web server user authentication with cookies |
| US5908469A (en) | 1997-02-14 | 1999-06-01 | International Business Machines Corporation | Generic user authentication for network computers |
| US6446206B1 (en) | 1998-04-01 | 2002-09-03 | Microsoft Corporation | Method and system for access control of a message queue |
| US6324571B1 (en) * | 1998-09-21 | 2001-11-27 | Microsoft Corporation | Floating single master operation |
| US6367009B1 (en) | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US6609198B1 (en) | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| MXPA02001942A (es) | 1999-08-25 | 2002-10-31 | Du Pont | Preparacion de poli(trimetilen tereftalato) con bajo nivel de di(1,3-propilenglicol). |
| US7194764B2 (en) * | 2000-07-10 | 2007-03-20 | Oracle International Corporation | User authentication |
| RU2183348C2 (ru) * | 2000-07-19 | 2002-06-10 | Военный университет связи | Способ аутентификации объектов |
| US6912582B2 (en) * | 2001-03-30 | 2005-06-28 | Microsoft Corporation | Service routing and web integration in a distributed multi-site user authentication system |
| US7185359B2 (en) * | 2001-12-21 | 2007-02-27 | Microsoft Corporation | Authentication and authorization across autonomous network systems |
| US7221935B2 (en) | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| WO2003088571A1 (en) * | 2002-04-12 | 2003-10-23 | Karbon Systems, Llc | System and method for secure wireless communications using pki |
| US20030233328A1 (en) * | 2002-04-23 | 2003-12-18 | Scott David A. | Method and system for securely communicating data in a communications network |
| US20060005237A1 (en) * | 2003-01-30 | 2006-01-05 | Hiroshi Kobata | Securing computer network communication using a proxy server |
| US20040177247A1 (en) * | 2003-03-05 | 2004-09-09 | Amir Peles | Policy enforcement in dynamic networks |
-
2003
- 2003-09-22 US US10/667,582 patent/US7370195B2/en not_active Expired - Fee Related
-
2004
- 2004-05-13 EP EP04102099.1A patent/EP1517510B1/en not_active Expired - Lifetime
- 2004-07-21 BR BRPI0402910-0A patent/BRPI0402910B1/pt not_active IP Right Cessation
- 2004-07-26 AU AU2004203412A patent/AU2004203412B2/en not_active Ceased
- 2004-07-27 JP JP2004219243A patent/JP4558402B2/ja not_active Expired - Fee Related
- 2004-07-30 CN CN2004100557596A patent/CN1601954B/zh not_active Expired - Fee Related
- 2004-07-30 CA CA2476340A patent/CA2476340C/en not_active Expired - Fee Related
- 2004-07-30 MX MXPA04007410A patent/MXPA04007410A/es active IP Right Grant
- 2004-07-30 RU RU2004123581/09A patent/RU2348075C2/ru not_active IP Right Cessation
- 2004-07-30 KR KR1020040060135A patent/KR101015354B1/ko not_active IP Right Cessation
-
2008
- 2008-03-18 US US12/050,766 patent/US7779248B2/en not_active Expired - Fee Related
- 2008-03-31 US US12/058,968 patent/US7814312B2/en not_active Expired - Fee Related
- 2008-10-13 RU RU2008140652/08A patent/RU2475837C2/ru not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6510236B1 (en) * | 1998-12-11 | 2003-01-21 | International Business Machines Corporation | Authentication framework for managing authentication requests from multiple authentication devices |
| CN1382334A (zh) * | 1999-08-31 | 2002-11-27 | Mci全球通讯公司 | 在一种多域环境下选择ipx/igx节点的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1517510A2 (en) | 2005-03-23 |
| US20050066160A1 (en) | 2005-03-24 |
| JP4558402B2 (ja) | 2010-10-06 |
| CN1601954A (zh) | 2005-03-30 |
| RU2475837C2 (ru) | 2013-02-20 |
| EP1517510B1 (en) | 2014-06-25 |
| RU2004123581A (ru) | 2006-01-27 |
| US7370195B2 (en) | 2008-05-06 |
| US20080163348A1 (en) | 2008-07-03 |
| MXPA04007410A (es) | 2005-04-19 |
| US20080184343A1 (en) | 2008-07-31 |
| US7779248B2 (en) | 2010-08-17 |
| JP2005100358A (ja) | 2005-04-14 |
| KR101015354B1 (ko) | 2011-02-16 |
| AU2004203412A1 (en) | 2005-04-21 |
| BRPI0402910A (pt) | 2005-05-24 |
| RU2348075C2 (ru) | 2009-02-27 |
| RU2008140652A (ru) | 2010-04-20 |
| BRPI0402910B1 (pt) | 2018-05-29 |
| CA2476340A1 (en) | 2005-03-22 |
| KR20050029677A (ko) | 2005-03-28 |
| CA2476340C (en) | 2014-02-11 |
| US7814312B2 (en) | 2010-10-12 |
| AU2004203412B2 (en) | 2010-05-20 |
| EP1517510A3 (en) | 2008-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101669128B (zh) | 级联认证*** | |
| US8973122B2 (en) | Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method | |
| US8087060B2 (en) | Chaining information card selectors | |
| US9344432B2 (en) | Network layer claims based access control | |
| US8151324B2 (en) | Remotable information cards | |
| US7779248B2 (en) | Moving principals across security boundaries without service interruption | |
| US9088561B2 (en) | Method and system for authentication in a computer network | |
| CN102523089B (zh) | 用于批处理***的第二凭证 | |
| CN104718526A (zh) | 安全移动框架 | |
| CN105229987A (zh) | 主动联合的移动认证 | |
| JP2002335239A (ja) | シングルサインオン認証方法及びシステム装置 | |
| CN103020542B (zh) | 存储用于全球数据中心的秘密信息的技术 | |
| CN115510492A (zh) | 一种基于智能合约的电子病历管理***及方法 | |
| CN103179108A (zh) | 将服务器应用与多个认证提供者集成 | |
| TWI829215B (zh) | 可檢核取用訊標的移轉歷史以驗證取用訊標有效性的去中心化資料授權控管系統 | |
| Cole | Design alternatives for computer network security | |
| Toth et al. | The persona concept: a consumer-centered identity model | |
| CN116915482A (zh) | 一种融合多平台身份信息的身份认证平台及方法 | |
| Toth et al. | Persona concept for privacy and authentication | |
| KR20040106620A (ko) | 특허관리시스템 및 그 관리방법 | |
| JP2007249538A (ja) | 認証方法、及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150505 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150505 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110803 Termination date: 20200730 |