CN102047262A - 用于分布式安全内容管理系统的认证 - Google Patents
用于分布式安全内容管理系统的认证 Download PDFInfo
- Publication number
- CN102047262A CN102047262A CN2009801202351A CN200980120235A CN102047262A CN 102047262 A CN102047262 A CN 102047262A CN 2009801202351 A CN2009801202351 A CN 2009801202351A CN 200980120235 A CN200980120235 A CN 200980120235A CN 102047262 A CN102047262 A CN 102047262A
- Authority
- CN
- China
- Prior art keywords
- entity
- network
- equipment
- cookie
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Abstract
此处所描述的主题的各方面涉及用于分布式安全内容管理系统的认证。在各方面,要访问可通过因特网获得的资源的请求被路由到安全组件。安全组件是分布在因特网各处的多个安全组件中的一个并负责认证与企业相关联的实体。安全组件确定要对实体使用的认证协议然后认证该实体。如果该实体被认证,则该实体被允许使用转发代理。
Description
背景
通常,企业采用包括在各种安全产品和设备中的功能来保护公司信息技术资产。这些功能可包括,例如,过滤进入和离开企业的网络通信的诸如恶意软件等恶意代码、限制对不适当的外部内容的访问、阻止对企业网络的攻击和其他入侵等。
随着移动、家庭和其他计算设备的广泛的使用,员工将工作带到公司网络以外的地方。为了获得同等级的保护和实施企业网络上提供的策略,某些企业要求这些员工登录或以其他方式访问企业网络并通过企业网络来访问企业网络以外的资源。出于各种原因,当漫游用户不靠近企业网络时,这成为非最优的。
在此要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的各个实施例。相反,提供该背景仅用以示出在其中可实践在此描述的部分实施例的一个示例性技术领域。
概述
简言之,此处所描述的主题的各方面涉及用于分布式安全内容管理系统的认证。在各方面,访问可通过因特网获得的资源的请求被路由到安全组件。安全组件是分布在因特网各处的多个安全组件中的一个并负责认证与企业相关联的实体。安全组件确定要对实体使用的认证协议然后认证该实体。如果该实体被认证,则该实体被允许使用转发代理。
提供本概述是为了简要地标识在以下详细描述中进一步描述的主题的一些方面。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
除非上下文清楚地指出,否则短语“此处所描述的主题”指的是详细描述中所描述的主题。术语“方面”被当作“至少一个方面”。标识详细描述中所描述的主题的各方面不旨在标识所要求保护的主题的关键特征或必要特征。
上述各方面和此处所描述的主题的其它方面是借助于示例说明的,并且不受附图限制,附图中相同的标号指出相似的元素。
附图简述
图1是表示其中可结合此处所描述的主题的各方面的示例性通用计算环境的框图;
图2是概括地表示此处所描述的主题的各方面可以在其中实现的示例性环境的框图;
图3是表示根据此处所描述的主题的各方面的用安全组件配置的示例性装置的框图;以及
图4-5是概括地表示根据此处所描述的主题的各方面的可结合认证发生的动作的流程图。
详细描述
示例性操作环境
图1示出可在其上实现此处所描述的主题的各方面的合适的计算系统环境100的示例。计算系统环境100仅为合适的计算环境的一个示例,并非旨在对此处所描述的主题的各方面的使用范围或功能提出任何限制。也不应该将计算环境100解释为对示例性操作环境100中示出的任一组件或其组合有任何依赖性或要求。
此处所描述的主题的各方面可与众多其他通用或专用计算系统环境或配置一起操作。适用于此处所描述的主题的各方面的公知的计算系统、环境和/或配置的示例包括,但不限于,个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、包括上述系统或设备中的任一个的分布式计算环境等。
此处所描述的主题的各方面可在由计算机执行的诸如程序模块等计算机可执行指令的一般上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。此处所描述的主题的各方面也可以在其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境中实现。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地和远程计算机存储介质中。
参考图1,用于实现此处所描述的主题的各方面的示例性系统包括计算机110形式的通用计算设备。计算机110的组件可以包括但不限于:处理单元120、系统存储器130和将包括系统存储器在内的各种系统组件耦合至处理单元120的系统总线121。系统总线121可以是几种类型的总线结构中的任何一种,包括存储器总线或存储控制器、外围总线、以及使用各种总线体系结构中的任一种的局部总线。作为示例,而非限制,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线、也称为夹层(Mezzanine)总线的外围部件互连(PCI)总线、扩展外围部件互连(PCI-X)总线、高级图形端口(AGP)、以及快速PCI(PCIe)。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是能由计算机110访问的任何可用介质,并包含易失性和非易失性介质以及可移动、不可移动介质。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。
计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期望的信息并可由计算机110访问的任一其它介质。
通信介质通常以诸如载波或其他传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并包括任何信息传送介质。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作为示例而非限制,通信介质包括有线介质,如有线网络或直接线连接,以及诸如声学、RF、红外线及其他无线介质之类的无线介质。上述的任意组合也应包含在计算机可读介质的范围内。
系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质,如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出系统133(BIOS)包括如在启动时帮助在计算机110内的元件之间传输信息的基本例程,它通常储存在ROM 131中。RAM 132通常包含处理单元120可以立即访问和/或目前正在操作的数据和/或程序模块。作为示例而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110也可以包括其他可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图1示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器141,从可移动、非易失性磁盘152中读取或向其写入的磁盘驱动器151,以及从诸如CD ROM或其它光学介质等可移动、非易失性光盘156中读取或向其写入的光盘驱动器155。可以在该示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、其他光盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器141通常通过诸如接口140等不可移动存储器接口连接到系统总线121,而磁盘驱动器151和光盘驱动器155则通常由诸如接口150等可移动存储器接口连接至系统总线121。
以上描述并在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提供了对计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,硬盘驱动器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意,这些组件可以与操作系统134、应用程序135、其他程序模块136和程序数据137相同,也可以与它们不同。操作系统144、应用程序145、其他程序模块146和程序数据147在这里被标注了不同的附图标记是为了说明至少它们是不同的副本。用户可以通过输入设备,如键盘162和定点设备161(通常被称为鼠标、跟踪球或触摸板)向计算机20输入命令和信息。其它输入设备(未示出)可包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪、触敏屏、写字板等。这些和其他输入设备通常由耦合至系统总线的用户输入接口160连接至处理单元120,但也可以由其他接口和总线结构,诸如并行端口、游戏端口或通用串行总线(USB)连接。监视器191或其他类型的显示设备也经由接口,诸如视频接口190连接至系统总线121。除监视器以外,计算机还可以包括其他外围输出设备,诸如扬声器197和打印机196,它们可以通过输出外围接口190连接。
计算机110可使用至一个或多个远程计算机,如远程计算机180的逻辑连接在网络化环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见网络节点,且通常包括上文相对于计算机110描述的许多或所有元件,尽管在图1中只示出存储器存储设备181。图1中所示的逻辑连接包括局域网(LAN)171和广域网(WAN)173,但也可以包括其它网络。这样的联网环境常见于办公室、企业范围计算机网络、内联网和因特网中。
当在LAN联网环境中使用时,计算机110通过网络接口或适配器170连接至LAN 171。当在WAN联网环境中使用时,计算机110可包括调制解调器172或用于通过诸如因特网等的WAN 173来建立通信的其它装置。可为内置或可为外置的调制解调器172可以经由用户输入接口160或其他合适的机制连接至系统总线121。在网络化环境中,关于计算机110所描述的程序模块或其部分可被储存在远程存储器存储设备中。作为示例而非限制,图1示出了远程应用程序185驻留在存储器设备181上。可以理解,所示的网络连接是示例性的,且可以使用在计算机之间建立通信链路的其他手段。
认证
如前所述,员工常常在公司网络以外工作。然而,同时,企业希望能够提供同等级的保护、提供基于用户活动的报告、并应用与当用户使用企业网络来访问远程网络资源时所应用的相同的策略。
根据此处所描述的主题的各方面,提供了位于云中的一个或多个转发代理。在逻辑上,转发代理位于客户机和该客户机试图访问的网络资源之间。转发代理从客户机接收请求、向客户机提供到所请求的资源的连接、并可在适当时向这些请求提供上文标识的其他功能。转发代理可与认证实体并记录与其相关联的活动的一个或多个安全组件相关联。这些组件可使用各种认证协议来认证实体,并可与位于企业站点的身份系统进行通信来执行该认证。这些组件还可获得要在记录实体活动时使用的标识符。
与安全组件相关联意味着转发代理可包括安全组件的全部或部分,或者安全组件的全部或部分可位于转发代理之外。
图2是概括地表示此处所描述的主题的各方面可以在其中实现的示例性环境的框图。图2中示出的环境可包括漫游设备205-206、家庭设备207、企业设备208、网络访问设备209和身份系统210(在下文中有时被共同称为实体),并可包括其他实体(未示出)。各种实体可以经由各种网络进行通信,这些网络包括办公室内和办公室间网络以及网络215。
在一实施例中,网络215可包括因特网。在一实施例中,网络215可包括一个或多个局域网、广域网、直接连接、以上的某种组合等。
设备205-208可包括一个或多个通用或专用计算设备。这些设备可包括,例如,个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微控制器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、个人数字助理(PDA)、游戏设备、打印机、包括机顶盒、媒体中心或其他电器在内的电器、汽车嵌入式或附连的计算设备、其他移动设备、包括以上系统或设备中的任一种的分布式计算环境等。可被配置成用作设备205-208中的一个或多个的示例性设备包括图1的计算机110。
漫游设备205-206可包括在各位置之间携带的计算设备。例如,员工可在出差时携带笔记本计算机。作为另一示例,员工可带着蜂窝电话、PDA或员工几乎可以在任何地方使用的某种其他手持式设备来旅行。
家庭设备207可包括,例如,个人计算机或位于员工的家的其他电子设备。
企业设备208可包括位于一个或多个企业站点并连接到企业网络的设备。例如,企业设备208可包括工作站、服务器、路由器、移动设备、或上述的其他通用或专用计算设备。
网络访问设备209可包括被配置成允许、拒绝、代理、发送、缓存计算机通信或对其执行其他动作的一个或多个设备和/或软件组件。在被配置为防火墙的情况下,网络访问设备209可用于提供对连接在网络访问设备209后的企业设备208和身份系统210以及其他设备(如果存在)的保护。网络访问设备209可被配置为到虚拟专用网络的端点。在这种配置中,网络访问设备209可向转发代理220-222中的一个或多个以及诸如本地身份系统230等的附连到网络215的其他组件提供安全通信信道。与本地身份系统230之间的安全通信信道可用于在身份系统210和本地身份系统230之间建立单向或双向信任关系。在一个实施例中,网络访问设备209可包括,例如,用适当的硬件和软件来配置的图1的计算机110。在另一实施例中,网络访问设备209可包括专用设备。
身份系统210可包括主存在诸如以上描述的设备等的一个或多个设备上的一个或多个进程。可利用身份系统210来标识用户和/或设备,如以下将更详细地描述的。在一个实施例中,身份系统210可包括华盛顿州雷蒙德市微软公司生产的现用目录(Active Directory)。身份系统的其他示例包括基于RADIUS的ID系统、基于LDAP的ID系统、通用数据库ID系统等。
如图2所示,在一个实施例中,身份系统210驻留在可通过网络访问设备209访问的企业网络上。在另一实施例中,身份系统210可驻留在企业网络外部的网络上。例如,身份系统210可驻留或分布在网络215中的各个位置处。在一个实施例中,身份系统210可以是附连到网络215的服务器所主存的服务。
转发代理220-222位于可经由网络访问的各个位置处。这些转发代理可提供有时由企业网络中的设备所提供的各种功能,如连接、反病毒、间谍软件和网络钓鱼保护、URL过滤、防火墙、入侵检测、信息泄漏保护(ILP)等。转发代理220-222还可向连接到网络215的漫游设备提供集中式管理。转发代理220-220还可向各种设备提供其他功能,诸如用于移动设备的呈现、对网页和其他内容的缓存、和企业可能期望的任何其他连接和/或安全功能。
当设备试图访问连接到网络215的资源时,进入和离开该设备的通信可被路由到转发代理来提供例如上述的一个或多个功能。然而,在向设备提供这些功能之前,与转发代理相关联的安全组件认证该设备和/或使用该设备的用户。在认证的上下文中,此处使用的术语实体有时指示设备和/或使用该设备的用户。
可出于各种原因来认证实体。例如,可能期望只允许已注册的实体使用转发代理。为了确保出现这种情况,可执行认证。作为另一示例,认证实体可用作标识来了解向被路由至和自该设备的通信应用什么策略。作为又一示例,认证实体可用于报告、审计、和以其他方式跟踪实体的活动。
以上所述的认证实体的示例原因不旨在是包括一切的或限制性的。其也不旨在限制此处所描述的主题的各方面和涉及上述示例的一个或多个的实现。事实上,基于此处的教学,本领域技术人员可认识到,可以应用此处呈现的各概念中的许多其他场景而不背离此处所描述的主题的方面的精神或范围。
在基于企业凭证来认证实体时,来自身份系统210的信息可被发送到试图认证实体的安全组件。在一个实施例中,安全组件可以不为被授权使用转发代理的实体维护其自身的凭证数据库。相反,凭证可被存储在企业控制的位置处,如可经由身份系统210访问的凭证数据库上。这可以出于各种原因来完成。例如,在云中没有凭证数据库的情况下,系统可避免维护并同步存储在云中的凭证数据库和存储在企业网络上的凭证数据库。同样,因为云凭证数据库可由除企业之外的一方控制,所以将凭证数据库存储在企业网络上可引起较少的安全风险。作为另一好处,企业网络上最近创建的新的实体可立即访问转发代理,因为这些实体不需要等待同步。另外,不再被允许访问转发代理的实体可通过将其凭证从凭证数据库中移除来立即拒绝对转发代理的访问。此外,关于实体的网络活动所生成的报告可跟踪实体,无论该实体从什么位置访问转发代理。
在该实施例中,为认证实体,安全组件可在需要时与身份系统210进行通信来获得足够的信息以认证该实体。该信息可包括,例如,实体凭证、质询/响应数据、证书相关的信息、或可用于认证该实体的任何其他信息。
在另一实施例中,安全组件可访问使用单向或双向信任关系与身份系统210同步的本地身份系统230。在单向信任关系中,使用同步到本地身份系统230的企业凭证来认证的实体被允许经由转发代理来访问资源。
安全组件和身份系统210和230之间的通信可按各种方式完成,包括例如,虚拟专用网络(VPN)、多协议标签转换(MPLS)、因特网协议安全(IPSec)、因特网协议版本6(IPv6)全局寻址、其他通信协议等。
在一个实施例中,只有特定通信协议所需的端口可在身份系统和安全组件之间的虚拟专用网络中涉及。换言之,可转发到在通信协议中涉及的端口的消息,而不转发到不在通信协议中涉及的端口的消息。这可有助于维护企业网络的安全,因为大大降低了攻击表面(例如,转发的端口数量)。
转发代理和身份系统可被配置成经由IPv6来进行通信。结合IPsec和所配置的策略,这可用于保证只有指定的转发代理被允许与身份系统进行通信。
为了认证实体,与转发代理相关联的安全组件可使用许多不同的机制中的一个或多个。例如,可以在安全组件和设备之间建立虚拟专用网络(VPN)。在这种配置中,成功地建立VPN可用于认证实体。作为其他示例,可以使用集成
认证、IPSec、基于表单的认证、RADIUS、MPLS、基本访问认证、Kerberos、基于客户机证书的认证、或某些其他认证协议等来认证实体。在一个实施例中,认证可作为HTTP代理认证的一部分来发起。
认证协议的类型可在安全组件和设备之间协商。例如,如果设备支持第一组认证协议而安全组件支持第二组认证协议,则可以选择设备和安全组件两者都支持的认证协议来认证该实体。作为另一示例,如果设备支持允许设备来认证自身和/或用户而无需用户交互的认证协议(例如,诸如集成认证),则可以选择该协议。
有许多方式来认证实体。例如,为了认证实体,安全组件可要求实体凭证(例如,用户名和口令或与该实体相关联的其他凭证)。使用这些凭证,安全组件可与身份系统210进行通信来验证这些凭证。为此,实体可使用例如Basic、表单、RADIUS或某种其他认证协议。
如果凭证有效,则身份系统210可将此指示给安全组件并将与该实体相关联的标识符发送给安全组件。该标识符可包括该实体的企业身份。该标识符可在记录该实体的后续活动时使用。
作为认证实体的另一示例,安全组件可在不接收凭证的情况下认证凭证。例如,安全组件可向实体提供质询并可使用对该质询的响应来认证实体。安全组件可将身份系统210涉及到确定质询和/或验证对质询的响应中。
作为另一示例,安全组件可关联于使用单向或双向信任关系来与身份系统210同步的本地身份系统230。安全组件可利用本地身份系统230来认证实体。
作为另一示例,可向在HTTP协议中定义的代理能力添加安全套接字层(SSL)和/或传输层安全(TLS)能力。用于HTTP代理的当前HTTP协议不提供在HTTP代理中使用SSL或TLS。当与客户机进行通信时,可增强HTTP代理来使用SSL和/或TLS。SSL/TLS也可用于互认证。作为建立连接的一部分,客户机可经由SSL或TLS来认证。在该认证方法中,安全组件可例如通过验证可信证书授权机构所签署的客户机证书来认证客户机。向HTTP代理添加SSL/TLS还能够实现端点和转发代理之间的安全(例如,加密)通信。
在一个实施例中,在客户机和安全组件之间的第一认证之后,可向客户机提供cookie以便与后续请求一起使用。当前HTTP协议允许目标服务器向客户机提供cookie但不允许HTTP代理独立地生成cookie并将其供应给客户机。此外,在当前HTTP协议中,客户机只有在与向该客户机发送cookie的目标服务器进行通信时才提供cookie。
当转发代理用作HTTP代理时,转发代理(或与其相关联的安全组件)可生成cookie并在客户机被认证之后将其发送给客户机。在后续请求中,客户机随后可将该cookie发送给向该客户机提供该cookie的转发代理(或与其相关联的安全组件)或另一转发代理。客户机甚至还可在该客户机试图访问不同目标服务器上的资源时发送该cookie。
当客户机在后续请求中发送该cookie时,转发代理(或与其相关联的安全组件)可检查该cookie来判定该客户机是否已经被认证。这可避免与重新认证从客户机接收的每一请求相关联的开销。可用生存时间参数来配置cookie从而使得其在一设定时间后超时。
此处使用的cookie包括可用于验证一实体已经被认证的任何数据。例如,cookie可包括安全组件可用来访问数据库的记录的标识符。该记录可指示该实体是否已经被认证。作为另一示例,cookie可包括安全组件能够解密来判定该实体是否已经被认证的加密信息。
cookie还可包括关于实体的其他数据。例如,cookie可包括与该实体相关联的标识符。该标识符可与该实体例如在访问企业网络时使用的标识符相对应。该标识符可在记录实体活动时使用。作为另一示例,cookie可包括与该实体相关联的策略信息。例如,cookie可包括指示该实体被允许访问什么站点的信息。
可用于认证实体的另一机制是经由连接组件(例如,连接组件125)。连接组件是驻留在设备上并监视来自设备的连接的组件。例如,连接组件可监视发送至和自设备的TCP通信。当连接组件看到要被路由到转发代理的连接请求时,连接组件可用与该转发代理相关联的安全组件来认证并加密该连接。这可以按照对使用设备的用户透明的方式来完成。当用户输入需要通过转发代理来路由的请求(例如,URL请求)时,连接组件可用与该转发代理相关联的安全组件来认证该请求,然后通过安全信道将该请求转发给转发代理。
在一个实施例中,当cookie被提供给实体以便在后续请求中的认证中使用时,连接组件可处理该cookie并在后续请求中提供该cookie。在另一实施例中,当cookie被提供给实体以便在后续请求中的认证中使用时,连接组件可允许实体来处理该cookie并在后续请求中提供该cookie。
虽然上文提供了用于认证实体的某些机制的示例,但这些示例不旨在是包括一切的或限制性的。事实上,此处所描述的主题的各方面不限于该认证方法,因为基本上可以采用任何认证方法(现有的或要开发的)而不背离此处所描述的主题的各方面的精神或范围。
作为认证过程的结果,可以获得随后可用于记录、审计、应用策略等的标识符。该标识符可由身份系统210、本地身份系统230、或某一其他组件来提供而不背离此处所描述的主题的各方面。该标识符可以是与用于向与实体相关联的企业网络标识该实体的标识符相同的标识符。
虽然上述环境包括不同数量的实体中的每一个和相关基础结构,但可以理解,可以采用更多、更少的这些实体和其他实体或这些实体和其他实体的不同组合而不背离此处所描述的主题的各方面的精神或范围。此外,该环境中包括的各实体和通信网络可以用本领域技术人员所理解的各种方式来配置而不背离此处所描述的主题的各方面的精神或范围。
图3是表示根据此处所描述的主题的各方面的用安全组件来配置的示例性装置的框图。图3中示出的组件是示例性的且不意味着包括一切的可能需要或包括的组件。在其他实施例中,结合图3描述的组件或功能可被包括在其他组件中或者被放置在子组件中而不背离此处所描述的主题的各方面的精神或范围。在某些实施例中,结合图3描述的组件或功能可分布在装置305可访问的多个设备上。
转向图3,装置305可包括安全组件310、存储340和通信机制345。安全组件310可包括协议选择器315、客户机组件320、身份确认器325、代理通知器330、历史跟踪器335和报告组件337。安全组件310可与结合图1描述的转发代理相关联。与上下文相关联意味着被包括在相同的设备上、位于不主存转发代理但可与转发代理通信的一个或多个设备上等等。
通信机制345允许装置305与图2中示出的其他实体进行通信。通信机制345可以是结合图1描述的网络接口或适配器170、调制解调器172或用于建立通信的任何其它机制。
存储340是能够存储关于实体所参与的活动的历史信息的任何存储介质。存储340可包括文件系统、数据库、诸如RAM等易失性存储器、其它存储、以上的某种组合等,并可以分布在多个设备中。存储340可以在装置305的外部或内部。
协议选择器315可用于确定要结合认证试图获取对可经由第一网络获得的资源的访问的实体来使用的认证协议。例如,参考图2,协议选择器可确定要用于在设备205-208中的一个试图访问可经由网络215访问的资源时认证这些设备的认证协议。
客户机组件320可用于使用协议选择器315所确定的认证协议来认证实体。实体可包括使用设备的用户和/或设备。例如,参考图2,客户机组件可使用互TLS协议来认证使用漫游设备205的用户。
身份确认器325可用于从身份系统获得与实体相关联的标识符。身份系统可位于本地网络上或如前所指示的客户机组件320外部的网络上。身份系统可访问包括用于与控制客户机组件320外部的网络(例如,企业网络)的企业相关联的实体的标识符的数据库。例如,参考图2,身份确认器可与身份系统210通信来获得该标识符。
代理通知器330可用于基于从客户机组件320获得的结果向转发代理指示实体是否被认证。例如,参考图2,代理通知器可向转发代理220-222中的一个指示实体被认证来使用该转发代理所提供的安全功能。
历史跟踪器335可用于存储标识实体和该实体访问的资源的信息。例如,参考图2,历史跟踪器可随着使用漫游设备205的用户向转发代理220发送的每一URL来存储用户名。历史跟踪器335可利用存储340来存储历史信息。
报告组件337可用于按标识实体和该实体访问的资源(例如,URL、网络地址等)的形式来提供历史信息。该形式可包括用户名或其他标识符,连同资源标识符。因为该信息包含足够的信息来标识企业上的实体,所以如果设备变为感染的(例如,经由恶意软件),则当用户将设备带至企业网络时,报告可指示该设备已经被感染并需要在被允许访问企业网络之前清除。
图4-5是概括地表示根据此处所描述的主题的各方面的可结合认证发生的动作的流程图。为解释简明起见,结合图4-5描述的方法被描绘和描述为一系列动作。可以理解和明白,此处所描述的主题的各方面不受所示出的动作和/或动作次序的限制。在一个实施例中,动作以如下描述的次序发生。然而,在其它实施例中,动作可以并行地发生,以另一次序发生,和/或与此处未呈现和描述的其它动作一起发生。此外,并非所有示出的动作都是实现根据此处所描述的主题的各方面的方法所必需的。另外,本领域的技术人员将了解和明白,方法也可以替代地经由状态图或作为事件表示为一系列相互相关联的状态。
转向图4,在框405处,动作开始。在框407,可以建立信任关系。例如,参考图2,本地身份系统230可建立与企业身份系统210之间的信任关系。在框410处,设备试图访问该设备外部的网络(例如,因特网)上的资源。例如,参考图2,漫游设备206试图访问可经由网络215获得的资源(例如,网页)。
在框415处,请求被路由到与转发代理相关联的安全组件。例如,参考图2,连接组件125将请求路由到与转发代理222相关联的安全组件。
在框420处,安全组件从设备接收消息。例如,参考图3,安全组件310接收请求。
在框425处,确定要用于认证与设备相关联的实体的认证协议。例如,参考图310,协议选择器315确定要在认证与图2的漫游设备206相关联的用户时使用的认证协议。
在框430处,安全组件认证与设备相关联的实体。例如,参考图2和3,客户机组件320认证与漫游设备206相关联的用户。
在框435处,当使用cookie时,将cookie发送给设备以便在后续请求中使用。例如,参考图2,与转发代理222相关联的安全组件将cookie发送给漫游设备206。
在框440处,设备在后续请求中发送cookie。例如,参考图2,漫游设备206在对于可经由网络215访问的资源的后续请求中发送其接收的cookie。
在框445处,可以发生其他动作(如果存在)。例如,可以周期性地重新认证实体。
转向图5,在框505处,动作开始。在框510处,从与附连到第一网络的设备相关联的实体发送要访问第二网络上的资源的请求。例如,参考图2,从与设备206相关联的实体发送要访问可经由网络215访问的资源的请求。
在框515处,在通信组件处接收请求。例如,参考图2,通信组件125接收请求。
在框520处,经由通信组件来认证实体。例如,参考图2,通信组件125与关联于转发代理222的安全组件通信来认证使用设备206的用户。
在框525处,将请求发送到转发代理。例如,参考图2,将请求从设备206发送到转发代理222。
在框530处,可在设备处接收cookie。该cookie指示该实体先前是否已经由安全组件认证。例如,可出现这种情况来加速后续认证。
在框535处,在后续请求中发送cookie。例如,参考图2,通信组件125可在对资源的后续请求中发送cookie。
在框540处,可以发生其他动作(如果存在)。
如从上述详细描述中可以看见,已经描述了关于在分布式安全内容管理系统中的认证的各方面。尽管此处所描述的主题的各方面易于作出各种修改和替换构造,但其某些说明性实施例在附图中示出并在上面被详细地描述。然而,应当理解,并不旨在将所要求保护主题的各方面限制于所公开的具体形式,而是相反地,目的是要覆盖落入此处所描述的主题的各方面的精神和范围之内的所有修改、替换构造和等效方案。
Claims (20)
1.一种至少部分地由计算机实现的方法,所述方法包括:
在安全组件处接收(420)从设备发送的消息,所述安全组件与在逻辑上在所述设备和所述设备试图访问的资源之间的转发代理相关联;
经由所述安全组件认证(430)与所述设备相关联的实体;以及
将cookie发送(435)给所述设备,所述cookie指示所述实体先前是否已经由所述安全组件认证,所述设备随着要访问可经由所述转发代理访问的资源的后续请求来呈现所述cookie。
2.如权利要求1所述的方法,其特征在于,所述转发代理至少作为HTTP代理来操作,且其中认证与所述设备相关联的实体包括在所述转发代理和所述设备之间建立安全连接。
3.如权利要求2所述的方法,其特征在于,所述安全连接包括安全套接字层连接。
4.如权利要求2所述的方法,其特征在于,所述安全连接包括传输层安全连接。
5.如权利要求1所述的方法,其特征在于,所述转发代理至少作为HTTP代理来操作,且其中认证与所述设备相关联的实体包括使用客户机证书。
6.如权利要求1所述的方法,其特征在于,所述cookie指示与所述实体相关联的身份,所述身份标识关联于与所述设备相关联的实体的企业实体所控制的网络上的实体。
7.如权利要求1所述的方法,其特征在于,所述cookie包括与所述实体相关联的策略信息,所述策略信息可用于实施用于所述后续请求的策略。
8.如权利要求1所述的方法,其特征在于,还包括为所述cookie建立生存时间,所述cookie在超过所述生存时间之后对认证不再有用。
9.如权利要求6所述的方法,其特征在于,还包括存储所述设备发送的后续请求以及所述标识符的历史。
10.如权利要求1所述的方法,其特征在于,还包括在位于所述转发代理本地的第一网络上的第一身份系统和所述第一网络外部的网络上的第二身份系统之间建立信任关系。
11.如权利要求10所述的方法,其特征在于,建立信任关系包括在所述第一和第二身份系统之间同步凭证。
12.一种具有计算机可执行指令的计算机存储介质,所述计算机可执行指令在被执行时执行以下动作,包括:
从与附连到第一网络的设备相关联的实体发送(510)要访问来自第二网络的资源的请求;
在主存在所述设备上的组件处接收(515)所述请求,所述组件监视所述设备和所述第二网络之间的通信;
在将所述请求发送到所述第二网络之前,经由所述组件认证(520)所述实体;以及
将所述请求发送(525)给转发代理。
13.如权利要求12所述的计算机存储介质,其特征在于,经由所述组件验证与所述设备相关联的实体包括与关联于附连到所述第二网络的转发代理的安全组件进行通信,所述转发代理在逻辑上在所述设备和所述第二网络之间。
14.如权利要求13所述的计算机存储介质,其特征在于,所述转发代理至少作为HTTP代理来操作,且其中经由所述组件认证与所述设备相关联的实体包括使用客户机证书。
15.如权利要求13所述的计算机存储介质,其特征在于,还包括从所述转发代理接收cookie,所述cookie指示所述实体先前是否已经由所述安全组件认证。
16.如权利要求15所述的计算机存储介质,其特征在于,还包括经由所述组件处理所述cookie,其中处理所述cookie包括存储所述cookie并在对于可经由所述第二网络访问的资源的后续请求中发送所述cookie。
17.如权利要求12所述的计算机存储介质,其特征在于,所述实体包括所述设备和/或用户。
18.一种处于计算环境的装置,包括:
可用于确定要结合认证试图获得对可经由第一网络获得的资源的访问的实体来使用的认证协议的协议选择器(315);
可用于使用经由与所述实体相关联的设备的所述认证协议来认证所述实体的客户机组件(320);以及
可用于从与第二身份系统具有信任关系的第一身份系统获得用于所述实体的标识符的身份确认器(325),所述第一身份系统驻留在所述第一网络上,所述第二身份系统驻留在第二网络上;以及
可用于向转发代理指示所述实体是否被认证的代理通知器(330),所述转发代理是分布在一个或多个网络上的多个转发代理中的一个,所述转发代理被构造成允许经认证的实体访问可经由所述一个或多个网络获得的资源。
19.如权利要求18所述的装置,其特征在于,还包括可用于存储标识所述实体和所述实体访问的可经由所述第一网络获得的资源的信息的历史跟踪器。
20.如权利要求19所述的装置,其特征在于,还包括可用于按标识所述实体和所访问的资源的形式来提供所述信息的报告组件。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/127,803 | 2008-05-27 | ||
| US12/127,803 US8910255B2 (en) | 2008-05-27 | 2008-05-27 | Authentication for distributed secure content management system |
| PCT/US2009/038673 WO2009151730A2 (en) | 2008-05-27 | 2009-03-27 | Authentication for distributed secure content management system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102047262A true CN102047262A (zh) | 2011-05-04 |
| CN102047262B CN102047262B (zh) | 2015-07-22 |
Family
ID=41381539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980120235.1A Active CN102047262B (zh) | 2008-05-27 | 2009-03-27 | 用于分布式安全内容管理系统的认证 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8910255B2 (zh) |
| EP (1) | EP2304639B1 (zh) |
| JP (2) | JP5539335B2 (zh) |
| CN (1) | CN102047262B (zh) |
| WO (1) | WO2009151730A2 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104380301A (zh) * | 2012-05-25 | 2015-02-25 | 微软公司 | 管理分布式操作系统物理资源 |
| CN104718526A (zh) * | 2012-03-30 | 2015-06-17 | 高盛公司 | 安全移动框架 |
| CN107408183A (zh) * | 2015-03-06 | 2017-11-28 | 微软技术许可有限责任公司 | 通过安全硬化管理代理进行的设备证实 |
| CN107637044A (zh) * | 2015-04-24 | 2018-01-26 | 思杰系统有限公司 | 安全带内服务检测 |
| CN113508379A (zh) * | 2019-03-04 | 2021-10-15 | 日立数据管理有限公司 | 分布式系统中的多向信任形成 |
Families Citing this family (81)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8856782B2 (en) | 2007-03-01 | 2014-10-07 | George Mason Research Foundation, Inc. | On-demand disposable virtual work system |
| US8701172B2 (en) * | 2008-08-13 | 2014-04-15 | Apple Inc. | System and method for facilitating user authentication of web page content |
| US9098698B2 (en) | 2008-09-12 | 2015-08-04 | George Mason Research Foundation, Inc. | Methods and apparatus for application isolation |
| US20100095117A1 (en) * | 2008-10-15 | 2010-04-15 | Shebanow Michael C | Secure and positive authentication across a network |
| US8935773B2 (en) * | 2009-04-09 | 2015-01-13 | George Mason Research Foundation, Inc. | Malware detector |
| US8839422B2 (en) | 2009-06-30 | 2014-09-16 | George Mason Research Foundation, Inc. | Virtual browsing environment |
| US8489685B2 (en) | 2009-07-17 | 2013-07-16 | Aryaka Networks, Inc. | Application acceleration as a service system and method |
| US9443078B2 (en) | 2010-04-20 | 2016-09-13 | International Business Machines Corporation | Secure access to a virtual machine |
| WO2013082437A1 (en) | 2011-12-02 | 2013-06-06 | Invincia, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
| US9787655B2 (en) | 2011-12-09 | 2017-10-10 | Airwatch Llc | Controlling access to resources on a network |
| US8713646B2 (en) | 2011-12-09 | 2014-04-29 | Erich Stuntebeck | Controlling access to resources on a network |
| US20130160144A1 (en) * | 2011-12-14 | 2013-06-20 | Microsoft Corporation | Entity verification via third-party |
| US9124664B1 (en) | 2011-12-27 | 2015-09-01 | Google Inc. | Distributing multi-platform content |
| US9705813B2 (en) | 2012-02-14 | 2017-07-11 | Airwatch, Llc | Controlling distribution of resources on a network |
| US9680763B2 (en) | 2012-02-14 | 2017-06-13 | Airwatch, Llc | Controlling distribution of resources in a network |
| US10257194B2 (en) | 2012-02-14 | 2019-04-09 | Airwatch Llc | Distribution of variably secure resources in a networked environment |
| US10404615B2 (en) | 2012-02-14 | 2019-09-03 | Airwatch, Llc | Controlling distribution of resources on a network |
| US8949952B2 (en) * | 2012-04-25 | 2015-02-03 | Cisco Technology, Inc. | Multi-stack subscriber sign on |
| US9317670B2 (en) * | 2012-05-22 | 2016-04-19 | Verizon Patent And Licensing Inc | Security based on usage activity associated with user device |
| US10044624B2 (en) * | 2012-08-17 | 2018-08-07 | F5 Networks, Inc. | Network traffic management using stream-specific QoS bits |
| US20140082128A1 (en) * | 2012-09-18 | 2014-03-20 | Netapp, Inc. | Dynamic detection and selection of file servers in a caching application or system |
| US9355036B2 (en) | 2012-09-18 | 2016-05-31 | Netapp, Inc. | System and method for operating a system to cache a networked file system utilizing tiered storage and customizable eviction policies based on priority and tiers |
| US9247432B2 (en) | 2012-10-19 | 2016-01-26 | Airwatch Llc | Systems and methods for controlling network access |
| US8862868B2 (en) | 2012-12-06 | 2014-10-14 | Airwatch, Llc | Systems and methods for controlling email access |
| US8978110B2 (en) | 2012-12-06 | 2015-03-10 | Airwatch Llc | Systems and methods for controlling email access |
| US9021037B2 (en) | 2012-12-06 | 2015-04-28 | Airwatch Llc | Systems and methods for controlling email access |
| US8832785B2 (en) | 2012-12-06 | 2014-09-09 | Airwatch, Llc | Systems and methods for controlling email access |
| US8826432B2 (en) | 2012-12-06 | 2014-09-02 | Airwatch, Llc | Systems and methods for controlling email access |
| US9148285B2 (en) * | 2013-01-21 | 2015-09-29 | International Business Machines Corporation | Controlling exposure of sensitive data and operation using process bound security tokens in cloud computing environment |
| US9473417B2 (en) | 2013-03-14 | 2016-10-18 | Airwatch Llc | Controlling resources used by computing devices |
| US20140280955A1 (en) | 2013-03-14 | 2014-09-18 | Sky Socket, Llc | Controlling Electronically Communicated Resources |
| US9203820B2 (en) | 2013-03-15 | 2015-12-01 | Airwatch Llc | Application program as key for authorizing access to resources |
| US10652242B2 (en) | 2013-03-15 | 2020-05-12 | Airwatch, Llc | Incremental compliance remediation |
| US8997187B2 (en) | 2013-03-15 | 2015-03-31 | Airwatch Llc | Delegating authorization to applications on a client device in a networked environment |
| US9275245B2 (en) | 2013-03-15 | 2016-03-01 | Airwatch Llc | Data access sharing |
| US9148416B2 (en) | 2013-03-15 | 2015-09-29 | Airwatch Llc | Controlling physical access to secure areas via client devices in a networked environment |
| US9819682B2 (en) | 2013-03-15 | 2017-11-14 | Airwatch Llc | Certificate based profile confirmation |
| US9401915B2 (en) | 2013-03-15 | 2016-07-26 | Airwatch Llc | Secondary device as key for authorizing access to resources |
| US9378350B2 (en) | 2013-03-15 | 2016-06-28 | Airwatch Llc | Facial capture managing access to resources by a device |
| US9787686B2 (en) | 2013-04-12 | 2017-10-10 | Airwatch Llc | On-demand security policy activation |
| US10754966B2 (en) | 2013-04-13 | 2020-08-25 | Airwatch Llc | Time-based functionality restrictions |
| US8914013B2 (en) | 2013-04-25 | 2014-12-16 | Airwatch Llc | Device management macros |
| US9123031B2 (en) | 2013-04-26 | 2015-09-01 | Airwatch Llc | Attendance tracking via device presence |
| US9219741B2 (en) | 2013-05-02 | 2015-12-22 | Airwatch, Llc | Time-based configuration policy toggling |
| US9246918B2 (en) | 2013-05-10 | 2016-01-26 | Airwatch Llc | Secure application leveraging of web filter proxy services |
| US9058495B2 (en) | 2013-05-16 | 2015-06-16 | Airwatch Llc | Rights management services integration with mobile device management |
| WO2014184942A1 (ja) * | 2013-05-17 | 2014-11-20 | 株式会社日立製作所 | セキュリティ管理システム、装置、および方法 |
| US9584437B2 (en) | 2013-06-02 | 2017-02-28 | Airwatch Llc | Resource watermarking and management |
| US9900261B2 (en) | 2013-06-02 | 2018-02-20 | Airwatch Llc | Shared resource watermarking and management |
| US20140358703A1 (en) | 2013-06-04 | 2014-12-04 | SkySocket, LLC | Item Delivery Optimization |
| US9270777B2 (en) | 2013-06-06 | 2016-02-23 | Airwatch Llc | Social media and data sharing controls for data security purposes |
| US9535857B2 (en) | 2013-06-25 | 2017-01-03 | Airwatch Llc | Autonomous device interaction |
| US8924608B2 (en) | 2013-06-25 | 2014-12-30 | Airwatch Llc | Peripheral device management |
| US8756426B2 (en) | 2013-07-03 | 2014-06-17 | Sky Socket, Llc | Functionality watermarking and management |
| US8775815B2 (en) | 2013-07-03 | 2014-07-08 | Sky Socket, Llc | Enterprise-specific functionality watermarking and management |
| US8806217B2 (en) | 2013-07-03 | 2014-08-12 | Sky Socket, Llc | Functionality watermarking and management |
| US9112749B2 (en) | 2013-07-25 | 2015-08-18 | Airwatch Llc | Functionality management via application modification |
| US9226155B2 (en) | 2013-07-25 | 2015-12-29 | Airwatch Llc | Data communications management |
| US9665723B2 (en) | 2013-08-15 | 2017-05-30 | Airwatch, Llc | Watermarking detection and management |
| US9516005B2 (en) | 2013-08-20 | 2016-12-06 | Airwatch Llc | Individual-specific content management |
| US20160041996A1 (en) | 2014-08-11 | 2016-02-11 | Netapp, Inc. | System and method for developing and implementing a migration plan for migrating a file system |
| US9311314B2 (en) | 2013-08-27 | 2016-04-12 | Netapp, Inc. | System and method for migrating data from a source file system to a destination file system with use of attribute manipulation |
| US10860529B2 (en) | 2014-08-11 | 2020-12-08 | Netapp Inc. | System and method for planning and configuring a file system migration |
| US9304997B2 (en) | 2013-08-27 | 2016-04-05 | Netapp, Inc. | Asynchronously migrating a file system |
| US9300692B2 (en) | 2013-08-27 | 2016-03-29 | Netapp, Inc. | System and method for implementing data migration while preserving security policies of a source filer |
| US9311331B2 (en) | 2013-08-27 | 2016-04-12 | Netapp, Inc. | Detecting out-of-band (OOB) changes when replicating a source file system using an in-line system |
| US10129242B2 (en) | 2013-09-16 | 2018-11-13 | Airwatch Llc | Multi-persona devices and management |
| US9258301B2 (en) | 2013-10-29 | 2016-02-09 | Airwatch Llc | Advanced authentication techniques |
| US9544306B2 (en) | 2013-10-29 | 2017-01-10 | Airwatch Llc | Attempted security breach remediation |
| US9794227B2 (en) | 2014-03-07 | 2017-10-17 | Microsoft Technology Licensing, Llc | Automatic detection of authentication methods by a gateway |
| US9736119B2 (en) * | 2014-04-07 | 2017-08-15 | Google Inc. | Relay proxy providing secure connectivity in a controlled network environment |
| EP3172689A4 (en) | 2014-07-22 | 2018-03-21 | Hewlett-Packard Development Company, L.P. | Security indicator access determination |
| US9584964B2 (en) | 2014-12-22 | 2017-02-28 | Airwatch Llc | Enforcement of proximity based policies |
| US9413754B2 (en) | 2014-12-23 | 2016-08-09 | Airwatch Llc | Authenticator device facilitating file security |
| US9769661B2 (en) | 2015-04-06 | 2017-09-19 | Qualcomm, Incorporated | Wireless network fast authentication / association using re-association object |
| US10805291B2 (en) | 2015-09-11 | 2020-10-13 | Comcast Cable Communications, Llc | Embedded authentication in a service provider network |
| US9917862B2 (en) | 2016-04-14 | 2018-03-13 | Airwatch Llc | Integrated application scanning and mobile enterprise computing management system |
| US9916446B2 (en) | 2016-04-14 | 2018-03-13 | Airwatch Llc | Anonymized application scanning for mobile devices |
| CN107784221B (zh) * | 2016-08-30 | 2021-07-27 | 斑马智行网络(香港)有限公司 | 权限控制方法、服务提供方法、装置、系统及电子设备 |
| EP3772207B1 (en) | 2019-08-01 | 2024-03-20 | ISS IP Holding LLC | Method and system for data transmission with significantly reduced latency losses |
| JP7142664B2 (ja) * | 2020-06-23 | 2022-09-27 | デジタルアーツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
Family Cites Families (105)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| US6272538B1 (en) * | 1996-07-30 | 2001-08-07 | Micron Technology, Inc. | Method and system for establishing a security perimeter in computer networks |
| US5684950A (en) * | 1996-09-23 | 1997-11-04 | Lockheed Martin Corporation | Method and system for authenticating users to multiple computer servers via a single sign-on |
| US7287271B1 (en) * | 1997-04-08 | 2007-10-23 | Visto Corporation | System and method for enabling secure access to services in a computer network |
| US6892226B1 (en) * | 1997-03-27 | 2005-05-10 | Intel Corporation | System for delivery of dynamic content to a client device |
| US6119235A (en) * | 1997-05-27 | 2000-09-12 | Ukiah Software, Inc. | Method and apparatus for quality of service management |
| US6574661B1 (en) * | 1997-09-26 | 2003-06-03 | Mci Communications Corporation | Integrated proxy interface for web based telecommunication toll-free network management using a network manager for downloading a call routing tree to client |
| US5987610A (en) * | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| AU4824499A (en) * | 1998-06-17 | 2000-01-05 | Sun Microsystems, Inc. | Method and apparatus for authenticated secure access to computer networks |
| US6330561B1 (en) * | 1998-06-26 | 2001-12-11 | At&T Corp. | Method and apparatus for improving end to end performance of a data network |
| US6347375B1 (en) * | 1998-07-08 | 2002-02-12 | Ontrack Data International, Inc | Apparatus and method for remote virus diagnosis and repair |
| US6158010A (en) * | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6182148B1 (en) * | 1999-03-18 | 2001-01-30 | Walid, Inc. | Method and system for internationalizing domain names |
| US6757740B1 (en) * | 1999-05-03 | 2004-06-29 | Digital Envoy, Inc. | Systems and methods for determining collecting and using geographic locations of internet users |
| US6401125B1 (en) * | 1999-08-05 | 2002-06-04 | Nextpage, Inc. | System and method for maintaining state information between a web proxy server and its clients |
| US7877492B2 (en) * | 1999-10-12 | 2011-01-25 | Webmd Corporation | System and method for delegating a user authentication process for a networked application to an authentication agent |
| US6789202B1 (en) * | 1999-10-15 | 2004-09-07 | Networks Associates Technology, Inc. | Method and apparatus for providing a policy-driven intrusion detection system |
| US7954144B1 (en) * | 2000-01-18 | 2011-05-31 | Novell, Inc. | Brokering state information and identity among user agents, origin servers, and proxies |
| US6954799B2 (en) * | 2000-02-01 | 2005-10-11 | Charles Schwab & Co., Inc. | Method and apparatus for integrating distributed shared services system |
| US6535227B1 (en) * | 2000-02-08 | 2003-03-18 | Harris Corporation | System and method for assessing the security posture of a network and having a graphical user interface |
| AU2001253613A1 (en) * | 2000-04-17 | 2001-10-30 | Circadence Corporation | System and method for shifting functionality between multiple web servers |
| US8719562B2 (en) * | 2002-10-25 | 2014-05-06 | William M. Randle | Secure service network and user gateway |
| US6721721B1 (en) * | 2000-06-15 | 2004-04-13 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
| US20030061506A1 (en) * | 2001-04-05 | 2003-03-27 | Geoffrey Cooper | System and method for security policy |
| US7370364B2 (en) * | 2000-07-31 | 2008-05-06 | Ellacoya Networks, Inc. | Managing content resources |
| US7178166B1 (en) * | 2000-09-19 | 2007-02-13 | Internet Security Systems, Inc. | Vulnerability assessment and authentication of a computer by a local scanner |
| US6650890B1 (en) * | 2000-09-29 | 2003-11-18 | Postini, Inc. | Value-added electronic messaging services and transparent implementation thereof using intermediate server |
| US20030051026A1 (en) * | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
| US20030005152A1 (en) * | 2001-03-09 | 2003-01-02 | Arif Diwan | Content-request redirection method and system |
| US6871279B2 (en) * | 2001-03-20 | 2005-03-22 | Networks Associates Technology, Inc. | Method and apparatus for securely and dynamically managing user roles in a distributed system |
| US6920558B2 (en) * | 2001-03-20 | 2005-07-19 | Networks Associates Technology, Inc. | Method and apparatus for securely and dynamically modifying security policy configurations in a distributed system |
| US6986047B2 (en) | 2001-05-10 | 2006-01-10 | International Business Machines Corporation | Method and apparatus for serving content from a semi-trusted server |
| US20040103315A1 (en) * | 2001-06-07 | 2004-05-27 | Geoffrey Cooper | Assessment tool |
| US7383433B2 (en) * | 2001-07-31 | 2008-06-03 | Sun Microsystems, Inc. | Trust spectrum for certificate distribution in distributed peer-to-peer networks |
| US8776230B1 (en) * | 2001-10-02 | 2014-07-08 | Mcafee, Inc. | Master security policy server |
| US20040019656A1 (en) * | 2001-10-04 | 2004-01-29 | Smith Jeffrey C. | System and method for monitoring global network activity |
| US20030093680A1 (en) * | 2001-11-13 | 2003-05-15 | International Business Machines Corporation | Methods, apparatus and computer programs performing a mutual challenge-response authentication protocol using operating system capabilities |
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US20030110392A1 (en) * | 2001-12-06 | 2003-06-12 | Aucsmith David W. | Detecting intrusions |
| US7058970B2 (en) * | 2002-02-27 | 2006-06-06 | Intel Corporation | On connect security scan and delivery by a network security authority |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US7124438B2 (en) * | 2002-03-08 | 2006-10-17 | Ciphertrust, Inc. | Systems and methods for anomaly detection in patterns of monitored communications |
| US7587517B2 (en) * | 2002-07-08 | 2009-09-08 | Precache Inc. | Packet routing via payload inspection for quality of service management |
| US7206934B2 (en) * | 2002-09-26 | 2007-04-17 | Sun Microsystems, Inc. | Distributed indexing of identity information in a peer-to-peer network |
| US20040073629A1 (en) * | 2002-10-10 | 2004-04-15 | International Business Machines Corporation | Method of accessing internet resources through a proxy with improved security |
| WO2004038594A1 (en) * | 2002-10-22 | 2004-05-06 | Unho Choi | Integrated emergency response system in information infrastructure and operating method therefor |
| US20040093419A1 (en) * | 2002-10-23 | 2004-05-13 | Weihl William E. | Method and system for secure content delivery |
| US8364951B2 (en) * | 2002-12-30 | 2013-01-29 | General Instrument Corporation | System for digital rights management using distributed provisioning and authentication |
| US7003117B2 (en) * | 2003-02-05 | 2006-02-21 | Voltage Security, Inc. | Identity-based encryption system for secure data distribution |
| US20040177247A1 (en) * | 2003-03-05 | 2004-09-09 | Amir Peles | Policy enforcement in dynamic networks |
| US20040193691A1 (en) * | 2003-03-31 | 2004-09-30 | Chang William I. | System and method for providing an open eMail directory |
| US7640324B2 (en) * | 2003-04-15 | 2009-12-29 | Microsoft Corporation | Small-scale secured computer network group without centralized management |
| JP2004328029A (ja) * | 2003-04-21 | 2004-11-18 | Nec Corp | ネットワークアクセスシステム |
| US20040255167A1 (en) * | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
| US7451488B2 (en) * | 2003-04-29 | 2008-11-11 | Securify, Inc. | Policy-based vulnerability assessment |
| JP4499575B2 (ja) | 2003-05-12 | 2010-07-07 | 株式会社エヌ・ティ・ティ・ドコモ | ネットワークセキュリティ方法およびネットワークセキュリティシステム |
| JP2004355073A (ja) | 2003-05-27 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク認証とシングルサインオンの一括認証方法及びシステム |
| US8065725B2 (en) * | 2003-05-30 | 2011-11-22 | Yuliang Zheng | Systems and methods for enhanced network security |
| JP4467256B2 (ja) | 2003-06-19 | 2010-05-26 | 富士通株式会社 | 代理認証プログラム、代理認証方法、および代理認証装置 |
| US7496658B2 (en) * | 2003-07-08 | 2009-02-24 | Hewlett-Packard Development Company, L.P. | Systems and methods for testing network services |
| JP4039632B2 (ja) | 2003-08-14 | 2008-01-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 認証システム、サーバおよび認証方法並びにプログラム |
| US7594224B2 (en) * | 2003-10-10 | 2009-09-22 | Bea Systems, Inc. | Distributed enterprise security system |
| US7346923B2 (en) * | 2003-11-21 | 2008-03-18 | International Business Machines Corporation | Federated identity management within a distributed portal server |
| US8005112B2 (en) * | 2003-12-19 | 2011-08-23 | Teledata Networks, Ltd. | Service connection method and architecture |
| JP4000111B2 (ja) | 2003-12-19 | 2007-10-31 | 株式会社東芝 | 通信装置および通信方法 |
| CN101032142B (zh) * | 2003-12-29 | 2011-05-18 | 艾利森电话股份有限公司 | 通过接入网单一登录访问服务网络的装置和方法 |
| US20050160161A1 (en) * | 2003-12-29 | 2005-07-21 | Nokia, Inc. | System and method for managing a proxy request over a secure network using inherited security attributes |
| US8214481B2 (en) * | 2004-02-10 | 2012-07-03 | Seagate Technology Llc | Firewall permitting access to network based on accessing party identity |
| US7761923B2 (en) * | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
| WO2006012058A1 (en) * | 2004-06-28 | 2006-02-02 | Japan Communications, Inc. | Systems and methods for mutual authentication of network |
| FR2872363A1 (fr) * | 2004-06-29 | 2005-12-30 | France Telecom | Procede et systeme de certification de l'identite d'un utilisateur |
| BRPI0513195A (pt) * | 2004-07-09 | 2008-04-29 | Matsushita Electric Ind Co Ltd | sistemas para administrar autenticação e autorização de usuário, e para suportar o usuário, métodos para administrar autenticação e autorização de usuário, para acessar serviços de múltiplas redes, para o controlador de autenticação processar uma mensagem de pedido de autenticação, selecionar a combinação de controladores de autenticação do resultado de busca, autenticar um usuário, e descobrir o caminho a um domìnio tendo relação empresarial com o domìnio doméstico, para o controlador de autorização processar a mensagem de pedido de autorização de serviço, e executar autorização de serviço, para um controlador de autenticação e autorização executar autenticação e autorização de serviço, para proteger o sìmbolo de usuário, e para a autoridade de controle de acesso no domìnio doméstico do usuário prover ao controlador de autenticação uma informação de perfil de assinatura limitada do usuário, para alcançar autenticação e autorização rápidas, e para alcançar registro único para acessar múltiplas redes, e, formatos para informação de capacidade de assinatura, para um sìmbolo de usuário, para um domìnio tendo relação empresarial com o domìnio doméstico de um usuário para pedir afirmação de autenticação e de autorização, e para um terminal de usuário indicar suas credenciais para acessar múltiplas redes em múltiplos domìnios administrativos |
| US7363366B2 (en) * | 2004-07-13 | 2008-04-22 | Teneros Inc. | Network traffic routing |
| SG119237A1 (en) * | 2004-07-30 | 2006-02-28 | E Cop Net Pte Ltd | An intrusion protection system and method |
| US7562382B2 (en) * | 2004-12-16 | 2009-07-14 | International Business Machines Corporation | Specializing support for a federation relationship |
| US8887233B2 (en) * | 2005-04-08 | 2014-11-11 | Netapp, Inc. | Cookie-based acceleration of an authentication protocol |
| US20070033641A1 (en) * | 2005-07-07 | 2007-02-08 | Acenet Technology Inc. | Distributed Network Security System |
| KR20070032885A (ko) * | 2005-09-20 | 2007-03-23 | 엘지전자 주식회사 | 유비쿼터스 망의 보안 시스템 및 방법 |
| US8438643B2 (en) * | 2005-09-22 | 2013-05-07 | Alcatel Lucent | Information system service-level security risk analysis |
| EP2667344A3 (en) * | 2005-10-06 | 2014-08-27 | C-Sam, Inc. | Transactional services |
| US8286002B2 (en) * | 2005-12-02 | 2012-10-09 | Alcatel Lucent | Method and apparatus for providing secure remote access to enterprise networks |
| JP2007164661A (ja) | 2005-12-16 | 2007-06-28 | Fuji Xerox Co Ltd | ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法 |
| US20070150934A1 (en) * | 2005-12-22 | 2007-06-28 | Nortel Networks Ltd. | Dynamic Network Identity and Policy management |
| US7533798B2 (en) * | 2006-02-23 | 2009-05-19 | Rockwell Automation Technologies, Inc. | Data acquisition and processing system for risk assessment |
| JP2007241717A (ja) | 2006-03-09 | 2007-09-20 | Trans Cosmos Inc | ポータルサーバシステム |
| US20070223462A1 (en) * | 2006-03-27 | 2007-09-27 | Steven Hite | Enhanced service delivery platform that provides a common framework for use by IMS and Web applications in delivering services |
| US7552467B2 (en) * | 2006-04-24 | 2009-06-23 | Jeffrey Dean Lindsay | Security systems for protecting an asset |
| CN101064604B (zh) | 2006-04-29 | 2012-04-18 | 西门子公司 | 远程访问方法、系统及设备 |
| JP2007299259A (ja) | 2006-05-01 | 2007-11-15 | Nippon Telegr & Teleph Corp <Ntt> | 認証情報管理システムおよびアプリケーションサーバ |
| US20070261109A1 (en) * | 2006-05-04 | 2007-11-08 | Martin Renaud | Authentication system, such as an authentication system for children and teenagers |
| US8959596B2 (en) * | 2006-06-15 | 2015-02-17 | Microsoft Technology Licensing, Llc | One-time password validation in a multi-entity environment |
| JP2008003745A (ja) | 2006-06-21 | 2008-01-10 | Sharp Corp | 認証システムおよび認証方法 |
| US7934253B2 (en) * | 2006-07-20 | 2011-04-26 | Trustwave Holdings, Inc. | System and method of securing web applications across an enterprise |
| US20080028445A1 (en) * | 2006-07-31 | 2008-01-31 | Fortinet, Inc. | Use of authentication information to make routing decisions |
| US20080127333A1 (en) * | 2006-08-04 | 2008-05-29 | Gabriel Raffi T | Verification Authentication System and Method |
| JP4607082B2 (ja) | 2006-09-27 | 2011-01-05 | 株式会社エヌ・ティ・ティ・データ | 情報処理装置、管理方法、及びコンピュータプログラム |
| US8085936B2 (en) * | 2006-11-27 | 2011-12-27 | Echoworx Corporation | Method and system for content management in a secure communication system |
| US20080159313A1 (en) * | 2006-12-28 | 2008-07-03 | Nokia Corporation | Interworking policy and charging control and network address translator |
| US8086216B2 (en) * | 2007-01-31 | 2011-12-27 | Alcatel Lucent | Mobility aware policy and charging control in a wireless communication network |
| US8533327B2 (en) * | 2007-04-04 | 2013-09-10 | Zte Corporation | System and method of providing services via a peer-to-peer-based next generation network |
| US8209214B2 (en) * | 2007-06-26 | 2012-06-26 | Richrelevance, Inc. | System and method for providing targeted content |
| WO2009029583A1 (en) * | 2007-08-24 | 2009-03-05 | Starent Networks, Corp | Providing virtual services with an enterprise access gateway |
| US20090178131A1 (en) * | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
| US7899849B2 (en) | 2008-05-28 | 2011-03-01 | Zscaler, Inc. | Distributed security provisioning |
-
2008
- 2008-05-27 US US12/127,803 patent/US8910255B2/en active Active
-
2009
- 2009-03-27 JP JP2011511664A patent/JP5539335B2/ja active Active
- 2009-03-27 EP EP09763023.0A patent/EP2304639B1/en active Active
- 2009-03-27 WO PCT/US2009/038673 patent/WO2009151730A2/en active Application Filing
- 2009-03-27 CN CN200980120235.1A patent/CN102047262B/zh active Active
-
2013
- 2013-11-01 JP JP2013228511A patent/JP5714078B2/ja active Active
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104718526A (zh) * | 2012-03-30 | 2015-06-17 | 高盛公司 | 安全移动框架 |
| CN104718526B (zh) * | 2012-03-30 | 2018-04-17 | Sncr有限责任公司 | 安全移动框架 |
| CN104380301A (zh) * | 2012-05-25 | 2015-02-25 | 微软公司 | 管理分布式操作系统物理资源 |
| CN104380301B (zh) * | 2012-05-25 | 2017-08-25 | 微软技术许可有限责任公司 | 管理分布式操作系统物理资源 |
| CN107408183A (zh) * | 2015-03-06 | 2017-11-28 | 微软技术许可有限责任公司 | 通过安全硬化管理代理进行的设备证实 |
| US10803175B2 (en) | 2015-03-06 | 2020-10-13 | Microsoft Technology Licensing, Llc | Device attestation through security hardened management agent |
| CN107637044A (zh) * | 2015-04-24 | 2018-01-26 | 思杰系统有限公司 | 安全带内服务检测 |
| CN113508379A (zh) * | 2019-03-04 | 2021-10-15 | 日立数据管理有限公司 | 分布式系统中的多向信任形成 |
| CN113508379B (zh) * | 2019-03-04 | 2024-02-20 | 日立数据管理有限公司 | 用于分布式系统中的多向信任形成的系统、方法和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8910255B2 (en) | 2014-12-09 |
| WO2009151730A3 (en) | 2010-02-04 |
| JP2014041652A (ja) | 2014-03-06 |
| US20090300739A1 (en) | 2009-12-03 |
| EP2304639A2 (en) | 2011-04-06 |
| JP5539335B2 (ja) | 2014-07-02 |
| WO2009151730A2 (en) | 2009-12-17 |
| EP2304639A4 (en) | 2014-12-10 |
| JP5714078B2 (ja) | 2015-05-07 |
| JP2011522326A (ja) | 2011-07-28 |
| CN102047262B (zh) | 2015-07-22 |
| EP2304639B1 (en) | 2020-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| CN101227468B (zh) | 用于认证用户到网络的方法、设备和系统 | |
| EP2632108B1 (en) | Method and system for secure communication | |
| US8819787B2 (en) | Securing asynchronous client server transactions | |
| US9825948B2 (en) | Actively federated mobile authentication | |
| KR101904177B1 (ko) | 데이터 처리 방법 및 장치 | |
| TWI510108B (zh) | 可信賴聯合身份管理及資料存取授權方法及裝置 | |
| US20080134314A1 (en) | Automated security privilege setting for remote system users | |
| US20140289831A1 (en) | Web authentication using client platform root of trust | |
| CN101297534A (zh) | 用于安全网络认证的方法和装置 | |
| WO2012027089A1 (en) | Securely accessing an advertised service | |
| KR20120055728A (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
| JP5827680B2 (ja) | IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード | |
| JP3833652B2 (ja) | ネットワークシステム、サーバ装置、および認証方法 | |
| CN112825521A (zh) | 区块链应用可信身份管理方法、系统、设备及存储介质 | |
| Jana et al. | Management of identity and credentials in mobile cloud environment | |
| KR101619928B1 (ko) | 이동단말기의 원격제어시스템 | |
| US20080060060A1 (en) | Automated Security privilege setting for remote system users | |
| KR102444356B1 (ko) | 보안 강화 인트라넷 접속 방법 및 시스템 | |
| EP3261009B1 (en) | System and method for secure online authentication | |
| RU2722393C2 (ru) | Телекоммуникационная система для осуществления в ней защищенной передачи данных и устройство, связанное с этой системой | |
| CN116800487A (zh) | 一种基于车联网安全传输的认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150723 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150723 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |