CN101663670A - 对访问web服务资源的请求专用认证 - Google Patents
对访问web服务资源的请求专用认证 Download PDFInfo
- Publication number
- CN101663670A CN101663670A CN200880012470A CN200880012470A CN101663670A CN 101663670 A CN101663670 A CN 101663670A CN 200880012470 A CN200880012470 A CN 200880012470A CN 200880012470 A CN200880012470 A CN 200880012470A CN 101663670 A CN101663670 A CN 101663670A
- Authority
- CN
- China
- Prior art keywords
- authentication
- request
- client computer
- web service
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
Abstract
访问web服务资源的请求基于接收到的请求的类型来评估。除非提供授权请求的认证的足够证明,否则不授权该请求。认证服务评估一个或多个因素以确定是否认证客户机。在得到认证服务的认证后,向web服务提供授权对web服务资源的访问的认证的证明。
Description
背景
当用户试图通过诸如因特网等网络来访问受保护的远程资源时,该用户通常遵照由控制该资源的服务器发出的策略陈述。该策略陈述提供发起与资源的通信所需的认证和授权规则集。例如,策略陈述可能要求用户在访问资源之前提供口令。如果该用户提供正确的口令,则认证该用户的身份并允许访问该资源。
虽然策略陈述认证方法在其中单一的认证形式足以发起与受保护资源的通信的情形中起到很好的作用,但策略陈述在动态环境中无法起到很好的作用。在动态环境中,在客户机和受保护资源之间的通信开始时的单个认证实例可能不够。例如,当用户试图访问具有受保护资源的网站时,对于该用户而言通过输入口令来提供认证在最初可能是足够的。然而,一旦用户可访问该网站,该用户就可尝试改变他或她的口令,更新目录、访问高度受保护资源或请求诸如系统管理员组等提升的访问组的特权。在这种情况下,该用户正在请求执行不止简单地查看信息的动作。这些动作具有对受保护资源造成大量破坏的可能性。
某些认证方法在使得能够与资源进行通信之前需要认证。然而,在动态环境中,在接收到请求访问受保护资源的实际请求之前难以确定要应用什么认证和认证规则。
概述
本发明的各实施例涉及用于消息专用认证的系统、方法和数据结构。一方面是用于控制对受保护web服务资源的访问的计算系统。该计算系统包括通信设备、处理器和存储器。该通信设备跨通信网络进行通信。该处理器通信地连接到该通信设备。该存储器存储程序指令,该指令在由该处理器执行时使该计算系统执行一种控制对受保护web服务资源的访问的方法。该方法包括从客户机接收从通信网络访问受保护web服务资源的第一请求;确定该客户机已根据第一因素来认证;基于根据该第一因素的认证来授权该访问受保护web服务资源的第一请求;从客户机接收从通信网络访问受保护web服务资源的第二请求;基于根据不足以授权该第二请求的第一因素的认证来拒绝该访问受保护web服务资源的第二请求;确定客户机已根据第二因素来认证;以及基于根据该第二因素的认证来授权该访问受保护web服务资源的第二请求。
另一方面是一种认证客户机以便访问web服务资源的方法。该方法包括:(i)从要认证的客户机接收请求;(ii)向该客户机发送质询消息;(iii)从该客户机接收对该质询消息的确认响应;(iv)确定该确认响应满足预定准则;(v)确定要认证的请求需要进一步认证;(iv)以第二质询消息、第二确认响应和第二预定准则来重复(ii)到(iv);以及(v)向该客户机发送认证消息。
又一方面涉及一种包含计算机可执行指令的计算机可读存储介质,所述指令在由计算机执行时执行一种控制对受保护资源的访问的方法,所述方法包括:从客户机接收标识web服务的受保护资源的请求;向客户机发送向认证服务请求认证的响应;在向该认证服务认证后从该客户机接收认证令牌;确定该认证令牌是否足以授权该请求;如果该认证令牌足以授权该请求,则授权该请求;以及如果该认证令牌不足以授权该请求,则拒绝该请求。
各实施例可被实现为计算机进程、计算系统、或者诸如计算机程序产品或计算机可读介质等制品。计算机程序产品可以是计算机系统可读并编码用于执行计算机进程的指令的计算机程序的计算机存储介质。计算机程序产品也可以是计算系统可读并编码用于执行计算机进程的指令的计算机程序的载波上的传播信号。
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护的主题的关键特征或必要特征,也决不旨在用于限制所要求保护的主题的范围。
附图简述
图1是被配置成执行动态认证的示例系统的框图。
图2是示出用于动态确定是否需要认证的示例方法的流程图。
图3是示出用于认证客户机的示例方法的流程图。
图4是示出用于动态控制对受保护资源的访问的示例方法的流程图。
图5是示出用于控制对受保护资源的访问的示例方法的流程图。
图6是用于实现本发明的各方面的示例性计算系统的框图。
详细描述
本发明现将参考其中示出了各具体实施例的附图来更完整地描述各示例性实施例。然而,其它方面能以许多不同的形式来实现,并且在本发明中包括具体实施例不应被解释为将这些方面限于在此所述的各实施例。相反,包括附图中描绘的各实施例是为了提供全面和完整且将预期的范围完全地传达给本领域技术人员的公开。在参考附图时,使用相同的附图标记来指示所有附图所示的相同的结构和元素。
本发明的某些实施例涉及用于消息专用认证的系统和方法。一方面是在允许客户机访问受保护资源之前确定是否需要认证的方法。
一般而言,认证是验证由诸如计算系统、客户机、系统或人等某物作出的身份声明的真实性的过程。认证计算系统通常包括确认其来源或源。对来源或源的确认通常通过将诸如制造地点和时间、网络上的位置、物理位置、标识号等关于声明特定身份的计算系统的信息与关于该特定身份的已知信息进行比较来实现。
然而,认证一个人的动作涉及例如,确认这个人的身份。存在可用于认证的许多不同的标识特性。一种标识人的方法涉及检测生物测定标识符。该认证方法要求声明一身份的人提供诸如DNA、指纹图案、视网膜图案等声明该身份的人的唯一特征形式的验证。能够验证一个人的身份的另一种方式是通过这个人所知道的某样东西。该认证方法要求声明一身份的人提供诸如口令、pin号等个人信息形式的验证。能够验证一个人的身份的另一种方式是通过这个人所具有的某样东西。该认证方法要求声明一身份的人提供诸如钥匙、安全卡、安全令牌、信用卡等对象形式的验证。这些认证方法可在被称为多因素认证的过程中单独或一起使用。
一般而言,在认证客户机时,该过程包括认证客户机或认证使用该客户机的人的身份。在一个实施例中,该客户机可以是web浏览器。在另一实施例中,该客户机可以是被配置成作出远程过程调用的程序,或者与受保护资源进行通信的任何其他应用程序或程序。
在动态环境中,各种类型的认证以及用于认证客户机的规则取决于所作出的各种类型的访问受保护资源的请求而变化。例如,请求查看受保护资源的消息可能需要比请求修改该受保护资源的消息较不费力的认证。在一个实施例中,受保护资源是仅特定用户可访问的专用网站。在另一实施例中,受保护资源可以是私人电子邮件组、受保护数据、受保护方法、受保护过程、受保护操作或者应被限于特定用户或客户机的任何其他类型的受保护信息或功能。
图1是被配置成执行请求专用动态认证的示例系统100的框图。在所示实施例中,系统100包括客户机102、web服务104和认证服务108。web服务104包括受保护资源106。在该实施例中,客户机102期望获取对受保护资源106的访问权。然而,受保护资源106被保护以免被未经认证的客户机访问。客户机102、web服务104和认证服务108被配置成跨网络110进行通信。网络110是数据通信路径。在一个实施例中,网络110是因特网。在其他实施例中,网络110是局域网、内联网、无线网络或者被配置成将数据从一个计算设备传递到另一个计算设备的任何其他通信路径。
在一个实施例中,客户机102是计算系统。在其他实施例中,客户机102是被配置成跨网络110传递数据的任何计算系统。客户机102的一个示例是图6所示的计算系统600。客户机102通过网络110来与web服务104和认证服务108通信地连接。在某些实施例中,客户机102可通过向web服务104发送消息来访问受保护资源106。在另一实施例中,客户机102直接向受保护资源106发送消息。
在一个实施例中,web服务104是诸如web服务器等操作web服务的计算系统(例如,图6所示的计算系统600)。一般而言,web服务104提供可使用数据通信协议来通过网络110访问的有用功能。web服务可用于提供无数种有用功能。在一个实施例中,web服务104是服务器。在另一实施例中,web服务104是在通信地连接到网络110的计算系统上操作的计算系统应用程序。在某些实施例中,web服务104是web服务消息可被定址到的可引用实体、处理器或资源。
一般而言,web服务104的某些实施例监视网络110以查找发自客户机102的关于受保护资源106的消息。当接收到一消息时,web服务104确定该消息是否包含需要认证客户机102的请求。对客户机102的认证有时在准许客户机102访问受保护资源106之前是必需的,以便控制对受保护资源106的访问。如果web服务104确定需要认证,则web服务104将客户机102定向到认证服务108。
在所示实施例中,web服务104包括受保护资源106。受保护资源包括例如,只可由经认证的客户机来访问、使用或修改的由web服务104执行的功能以及由web服务104存储的数据。例如,如果web服务104提供维护组分发列表的服务,则该组分发列表是只可由经认证的客户机访问、使用或修改的受保护资源。作为另一示例,受保护资源106是目录中的条目。在另一实施例中,受保护资源106是数据库中的记录。在另一实施例中,受保护资源106是存储在存储器存储设备上的文件或文件的一部分。其他实施例使用其他形式的受保护资源106。
在一个实施例中,认证服务108是诸如服务器等通信地连接到网络110的计算系统(例如,图6所示的计算系统600)。在另一实施例中,认证服务108是运行位于网络上的软件应用程序的计算系统。认证服务108被配置成认证客户机102。认证服务108的一个示例是安全令牌服务端点。尽管所示实施例示出认证服务108的一个示例与web服务104分开且不同,但在其他实施例中,认证服务108和web服务104在同一服务器上操作。
如果客户机102得到认证以执行其消息中对受保护资源106的请求,则web服务104向客户机102传递所请求的操作的结果。然后,在其他可能的实施例中,认证服务108跨网络110直接与web服务104进行通信,诸如以便从web服务104接收对认证的请求,或者向web服务104发送认证证明。
除了认证之外,有时期望通过要求不仅认证客户机而且授权客户机来控制对受保护资源的访问。认证在由Craig V.McMurtry、Alexander T.Weinert、Vadim Meleshuk和Mark E.Gabarra在2008年2月1日提交的题为“AUTHORIZATION FOR ACCESS TO WEB SERVICE RESOURCES(对web服务资源的访问的授权)”的美国专利申请第12/024,896号中描述,该申请的全部公开内容通过引用结合于此。
图2是示出用于动态确定是否需要认证的示例方法200的流程图。方法200包括操作202、204、206、208和210。方法200开始于操作202,在其间作出资源请求。在一个实施例中,操作202涉及将包括访问受保护资源106的请求的消息从客户机102传递至web服务104。在某些实施例中,该消息是远程过程调用。在另一实施例中,该请求可采取电子邮件或客户机和资源之间的任何其他类型的电子通信的形式。在另一实施例中,操作202涉及客户机102向web服务104发送诸如在web服务通信中常用的Create(创建)、Get(获取)、Delete(删除)、Enumerate(枚举)请求。
在作出该资源请求后,执行操作204以评估该请求并确定认证是否是必需的。在一个实施例中,web服务分析从客户机发送到受保护资源的消息以确定该消息是否包含要求该客户机提供认证的请求。在一个实施例中,如果试图访问受保护资源的客户机先前已经提供了对于请求所必需的认证,则该客户机将不必提供认证。在另一实施例中,如果资源是对请求该资源的任何人可用的公共资源,则客户机将不必提供认证。在另一实施例中,即使资源可能是受保护的,但如果消息包含不需要认证的请求,诸如如果该消息是无法破坏该受保护资源的类型,则认证并非必需。如果web服务104在操作204中确定认证并非必需,则执行操作206。如果认证是必需的,则执行操作208。
在一个示例中,web服务104通过评估多个考虑事项来确定认证是否是必需的。这些考虑事项包括用于传达请求的介质(诸如是局域网还是远程访问)、请求所涉及的对象的类型、请求所涉及的对象的特性、以及已经与请求包括在一起的凭证的质量。例如,对于凭证的质量,如果凭证是对应于来自另一组织的用户,则取决于该用户正试图访问的资源,可能需要附加凭证。
如果认证并非必需,则执行操作206以授权对所请求的资源的访问。web服务通过例如向客户机发送资源的表示、通过对受保护资源执行所请求的操作或通过向客户机发送所请求的操作的结果来授权对该受保护资源的访问。
然而,如果认证是必需的,则执行操作208以执行该认证。认证客户机将参考图3进一步讨论。要求客户机提供认证的情形的示例包括其中客户机试图访问或修改专用网站、私人电子邮件组、受保护数据、受保护方法、受保护过程、受保护操作或任何其他类型的受保护信息或功能的情况。在某些实施例中,web服务104质询客户机102以使其提供认证。或者,web服务104将该客户机定向到认证服务(如认证服务108)。认证服务108可位于web服务104处,位于来自该web服务的其他地方,或者在分布式网络的情况下位于两者处。认证客户机的示例方法参考图3示出并描述。
在认证客户机后,执行操作206以授权该客户机访问该web服务的受保护资源。在一个实施例中,在该客户机将来自认证服务的认证令牌提供给web服务后授权该访问。该web服务例如通过向客户机发送资源、通过对受保护资源执行所请求的操作、通过指示受保护资源执行所请求的操作或通过向客户机发送所请求的操作的结果来授权访问。
如果确定客户机不应当得到认证,则执行操作210,在其间拒绝对受保护资源的访问。在一个示例中,由于认证服务108未提供获取对受保护资源的访问权所需的认证令牌而拒绝访问。
图3是示出用于认证客户机的示例方法300的流程图。在一个实施例中,方法300与图2所示的操作208相对应。方法300开始于操作302,在其间作出对认证的请求。在一个实施例中,操作302涉及将消息从客户机102发送到认证服务108以及认证服务108接收对认证的请求。
在所示实施例中,在接收到该对认证的请求后,执行操作304以传递认证质询。在一个实施例中,认证服务108向客户机102传递质询以测试该客户机或用户身份的真实性。在某些实施例中,该质询采取以下形式:请求口令;请求对安全问题的回答;请求DNA样本、指纹图案、视网膜图案、其他形式的生物测定标识符、使用客户机的人的其他唯一标识符;请求诸如钥匙、安全卡、安全令牌、信用卡或对于使用客户机的人是唯一的某一其他对象等对象形式的验证;请求诸如制造地点和时间、网络上的位置、物理位置、标识号等客户机专用信息;或者请求可用于认证目的的任何其他类型的信息。
在所示实施例中,一旦已传递质询,就执行操作306以接收对该质询的确认响应。操作306涉及提供操作304中所请求的信息、样本、标识符等,并将其传递给认证服务108。在一个实施例中,客户机102的用户使用输入设备(例如,图6所示的输入设备614)来向客户机102提供标识信息,该客户机102然后将该信息传递给认证服务108。在某些实施例中,使用传感器(其也是一种形式的输入设备)。例如,用户将手指放在指纹扫描仪上,该扫描仪扫描该指纹。该指纹数据然后被传送到认证服务108。可使用各种类型的输入设备,包括键盘、鼠标、触摸垫、话筒、笔、生物测定传感器、扫描仪、读卡器、化学检测器等。在其他实施例中,将数据输入到客户机102中,该客户机102然后将该数据传递给认证服务108。
在所示实施例中,一旦已传递确认,就执行操作308以验证该确认响应。在一个实施例中,认证服务将其从客户机102接收到的确认响应与关于所声明的身份的已知信息进行比较。例如,认证服务108取得存储在数据库中的数据,并将该数据与确认响应数据进行比较。认证服务108然后确定该确认响应是否匹配先前存储的数据。如果是,则该确认响应通过验证,并且执行操作312。如果否,则该确认响应未通过验证,并且执行操作310。
如果所接收到的确认响应不匹配已知信息,则执行操作310,其中拒绝对所请求的资源的访问。在另一实施例中,认证服务108改为返回至操作304以再次重试认证。在这一实施例中,可准许多次重试,诸如三次重试。如果重试不成功,则执行操作310以拒绝对受保护资源的访问。
如果所接收到的确认响应匹配已知信息,则然后执行操作312以确定进一步的认证是否是必需的。在一个实施例中,认证服务108确定是否需要更强形式的认证,即要求客户机提供多种形式的认证的多因素认证。如果多因素认证是必需的,则方法300返回到操作304以传递第二质询。然后如所需要地多次重复操作304、306、308和310或312。然而,在重复时,认证质询将采取不同于先前从认证服务发出的质询的形式。例如,如果认证服务最初要求客户机提供口令,则它可能在第二或后几轮验证期间要求该客户机使用智能卡或生物测定扫描仪。在某些实施例中,可使用任何形式的认证,只要该认证形式以某种方式不同于先前所使用的形式,以使得认证服务108并非简单地反复请求相同的信息。在大多数情形中,重复请求相同信息将不会提供任何附加认证价值。然而,在某些情形中,诸如如果自从前一次质询以来已过去了大量时间,则可使用重复请求。
如果进一步的认证并非必需,则执行操作314以发放认证令牌。认证服务108将安全令牌返回给客户机,该客户机将该安全令牌用作该客户机已通过认证的证明。将该认证令牌从客户机102发送到web服务104,并且web服务104然后授权客户机102访问最初请求的受保护资源。
图4是示出用于动态控制对受保护资源的访问的示例方法400的流程图。在一个实施例中,方法400由web服务104响应于从诸如试图获取对受保护资源106的访问权的客户机102接收到的消息来执行。方法400开始于操作404,在其间接收请求消息。在一个实施例中,web服务104从客户机102接收对受保护资源106的请求。作为一些示例,该请求是查看受保护资源、获取对受保护资源的访问权、修改受保护资源的请求。
在所示实施例中,然后执行操作406以确定该请求消息是否包含需要认证的请求。在一个实施例中,web服务104分析该请求以确定该请求中所包含的请求是否需要认证客户机。在某些实施例中,例如,如果试图访问受保护资源的客户机先前已经提供了对于请求所必需的认证,如果资源是公共的并且对所有人可用,如果请求类型是包含不需要认证的请求的类型,或者如果请求类型及其相关联的请求无法对受保护资源造成破坏,则该客户机将不必提供认证。如果认证并非必需,则然后执行操作414以执行所请求的操作。
在所示实施例中,如果消息中所包含的请求需要认证,则然后执行操作408以传达需要认证。在一个实施例中,操作408涉及将消息从web服务104发送到客户机102以通知客户机102执行所请求的操作需要认证。在一个实施例中,web服务104将客户机102定向到认证服务108以便进行认证,如参考图3所描述的。例如,消息包含认证提供者的地址。客户机使用该地址来定位该认证提供者以试图接收认证。在另一实施例中,方法300由web服务104来执行,以使得该消息包含请求客户机102提供认证信息的对客户机102的质询。
在所示实施例中,如果客户机成功地通过认证,则然后执行操作410,其中接收认证令牌。如参考图3所描述的,成功认证的结果是接收到认证令牌。将该令牌传递给web服务104以提供认证证明。web服务104评估该令牌并验证该令牌是有效的。
在某些实施例中,对令牌的验证涉及两个步骤。第一个步骤涉及公钥密码。如果web服务104能够使用认证服务108的公钥来解密令牌,则web服务104确定该令牌肯定是认证服务108发放的。第二个步骤包括判定认证服务108所作出的关于客户机102的声明是否满足一个或多个访问条件。
例如,为了使得能够访问特定受保护资源106,web服务104可能要求执行三个特定认证过程以便向认证服务108认证客户机102。结果,web服务104评估从客户机102接收到的令牌以验证该令牌包含认证服务108所作出的三个声明,从而断言客户机102已完成所有三个认证过程。在其他实施例中,可能需要任何数量的认证过程。在某些实施例中,所需认证过程的数量和类型与所做出的请求的类型相关。例如,涉及更高风险的请求通常将需要更严格的认证过程。
在某些实施例中,成功完成的认证过程的数量被称为认证级别。在某些实施例中,涉及受保护资源106的低风险操作只需要低认证级别,诸如一级或二级认证。在某些实施例中,高风险操作需要诸如三级认证和五级认证之间的高认证级别。单个受保护资源可取决于所作出的请求而与各个认证级别相关联。例如,从受保护资源中取得信息的请求在某些情形中可能只需要低认证级别,而从受保护资源中删除信息的请求可能需要中或高认证级别。在其他情形中,如果信息是敏感的或机密的,则从受保护资源中取得该信息的请求可能需要高认证级别。
在所示实施例中,如果未提供有效的认证证明或者如果所提供的认证被评估或确定为不足的,则执行操作411以拒绝对受保护资源的访问。在某些实施例中,向客户机102发送消息以将该拒绝通知给该客户机102。在某些实施例中,该消息还包括关于如何获取适当的认证的信息,诸如将客户机102定向到认证服务108。
在所示实施例中,如果提供认证证明并且该认证证明被验证为有效,则在操作412中执行所请求的操作。换言之,授权对受保护资源的访问。在某些实施例中,然后执行操作414以通知请求者请求已被处理。例如,web服务104发送消息以通知客户机102对受保护资源的请求已被处理。在其他示例中,web服务104通过向客户机102发送资源106的表示、通过对受保护资源106执行所请求的操作或通过向客户机102发送所请求的操作的结果来授权对该受保护资源的访问。
在所示实施例中,然后执行操作416以监视对其他消息的接收。例如,web服务104监视来自客户机102的关于资源106的其他通信。如果客户机102发送对于资源106的其他消息,则方法400返回到操作404以便通过操作404、406和408来评估该新消息是否需要附加认证。尽管客户机此时可能已经进行了自我认证,但在动态环境中该客户机可能取决于它发送的消息和请求的类型而必须提供更强形式的认证,即多因素认证。如果再未接收到消息,则方法400结束。
图5是示出用于控制对受保护资源的访问的示例方法500的流程图。方法500涉及客户机102、web服务104、认证服务108和受保护资源106。尽管认证服务108被示为与web服务分开且不同的实体,但在某些实施例中,认证服务108和web服务104在同一计算系统上操作。在一个实施例中,受保护资源106位于web服务104上。在又一实施例中,受保护资源106位于另一web服务、服务器、计算机或其他计算系统上。在通信512,客户机102提交对受保护资源106的请求。web服务104接收该请求。在通信514,web服务104确定认证是必需的并且用指示为了能够处理该请求必须完成至少一个认证过程的故障来响应。在可能的实施例中,该故障可采取如简单对象访问协议(SOAP)1.2规约中所定义的SOAP故障的形式。在其他实施例中,该故障可采取任何其他类型的数据通信协议的形式。在其他实施例中,来自web服务104的故障将包含诸如安全令牌服务端点等认证服务108的地址。
在通信516,客户机102向认证服务108发送对安全令牌的请求以声明已完成必需的认证过程。在一个实施例中,该请求采取如web服务信任(WS-信任)规约所定义的WS-信任请求安全令牌响应消息的形式。在其他实施例中,该请求可采取其他协议的形式。在通信518,认证服务108用对身份确认的质询来响应客户机102。在某些实施例中,该质询采取参考图3所描述的质询的形式。在通信520,客户机102用身份确认来响应。在某些实施例中,该身份确认采取参考图3所描述的确认的形式。在通信522,认证服务108用对身份确认的又一质询来响应客户机102。在一个实施例中,该质询响应于失败的身份确认。在又一实施例中,该质询是执行多因素认证所必需的。在通信524,客户机102用又一身份确认来响应认证服务108。该过程可用通信526中的质询和质询确认528来再次重复。尽管该组质询和确认被示为执行三次,但在其他实施例中,这些质询和响应通信重复任何次数。在认证服务108确认客户机102的身份后,认证服务108在通信530中向客户机102发放所请求的安全令牌。
在通信532,客户机102连同该安全令牌一起重新提交对受保护资源的原始请求。web服务104检查该请求以确保其与原始请求相同并验证该安全令牌以确保其有效。在通信534,web服务104处理客户机102所做出的请求。在某些实施例中,该处理涉及读取和/或更新受保护资源106。在通信536,将对受保护资源106的读取和/或更新的结果返回给web服务104。在通信538,web服务104响应客户机102所做出的请求。
现在参考表1:提供了认证质询架构,即用于指示需要消息专用认证过程来处理请求的数据结构。在某些实施例中,参考图5所描述的通信诸如在诸如web服务104等web服务确定对于认证发起请求的用户需要消息专用过程时以表1中所定义的数据结构的形式来传递。在一个实施例中,该服务将返回如SOAP 1.2规约中所定义的SOAP故障。在某些实施例中,与传统SOAP故障不同,用于指示需要消息专用认证协议的SOAP故障将包含上下文首部,该上下文首部包含web服务可用于取得原始请求以及被发现与该请求相关联的任何认证过程的细节的标识符。在另一实施例中,所返回的SOAP故障还将包含Detail(细节)元素,该元素将表示代表其作出请求的用户的身份。这是将进一步认证的身份。在又一实施例中,该Detail元素还将或另选地提供诸如认证服务108等认证服务的地址,该认证服务可向用户发放安全令牌以确认该用户已成功完成与请求相关联的每一个认证过程。在某些实施例中,认证服务的地址与web服务的地址相同。在其他实施例中,认证服务的地址与web服务的地址不同。
表1:认证质询架构
<?xml version=‘1.0’encoding=‘utf-8’?>
<xs:schema
elementFormDefault=‘qualified’
targetNamespace=‘http://schemas.microsoft.com/2006/11/IdentityManag
ement’
xmlns:xs=‘http://www.w3.org/2001/XMLSchema’
xmlns:wsa=http://schemas.xmlsoap.org/ws/2004/08/addressing
xmlns:idm=‘http://schemas.microsoft.com/2006/11/IdentityManagement
’>
<xs:import
namespace=‘http://schemas.xmlsoap.org/ws/2004/08/addressing’/>
<xs:complexType name=‘AuthenticationChallengeType’>
<xs:sequence>
<xs:element
name=‘Challenge’
nillable=‘true’
minOccurs=‘0’>
<xs:complexType>
<xs:sequence>
<xs:any
minOccurs=‘0’
processContents=‘lax’/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:sequence>
</xs:complexType>
<xs:element
name=‘AuthenticationChallenge’
nillable=‘true’
type=‘idm:AuthenticationChallengeType’/>
</xs:schema>
表1所示的架构包括Challenge(质询)元素和AuthenticationChallenge(认证质询)元素。该Challenge元素用于向客户机传送质询用户以使其提供所需认证数据所必需的信息。在某些实施例中,该客户机可以是web浏览器,该web浏览器将向用户显示质询数据,提示用户响应于该质询来提供数据。例如,Challenge元素可指示客户机102显示提示用户输入口令的文本框。其他实施例将提示用户提供以下形式的认证:请求对安全问题的回答;请求DNA样本、指纹图案、视网膜图案或使用客户机的人的某一其他唯一标识符;请求诸如钥匙、安全卡、安全令牌、信用卡或对于使用客户机的人是唯一的某一其他对象等对象形式的验证,如参考图3所描述的。在可能的实施例中,该认证质询架构将包括用作该架构的包装器的AuthenticationChallenge元素。
现在参考表2:提供了认证质询响应架构,即用于响应认证质询的数据结构。诸如认证服务108等认证服务向用户发出质询以认证信息。在某些实施例中,质询根据WS-信任规约的10节中所定义的质询框架来作出。如果认证服务需要附加信息来认证用户的身份,则它将用如WS-信任规约所定义的响应来响应对安全令牌的请求。
表2:认证质询响应架构
<?xml version=‘1.0’encoding=‘utf-8’?>
<xs:schema
elementFormDefault=‘qualified’
targetNamespace=‘http://schemas.microsoft.com/2006/11/IdentityManag
ement’
xmlns:xs=‘http://www.w3.org/2001/XMLSchema’
xmlns:wsa=http://schemas.xmlsoap.org/ws/2004/08/addressing
xmlns:idm=‘http://schemas.microsoft.com/2006/11/IdentityManagement
’>
<xs:import
namespace=‘http://schemas.xmlsoap.org/ws/2004/08/addressing’/>
<xs:complexType name=‘AuthenticationChallengeResponseType’>
<xs:sequence>
<xs:element
name=‘Response’
nillable=‘true’
minOccurs=‘0’>
<xs:complexType>
<xs:sequence>
<xs:any
minOccurs=‘0’
processContents=‘lax’/>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:sequence>
</xs:complexType>
<xs:element
name=‘AuthenticationChallengeResponse’
nillable=‘true’
type=‘idm:AuthenticationChallengeResponseType’/>
</xs:schema>
该认证质询响应架构包括Response(响应)元素和AuthenticationChallengeResponse(认证质询响应)元素。该Response元素向认证服务标识来自客户机的所需认证信息。该信息由认证服务例如用来确定应向客户机发送什么质询以认证该客户机。该AuthenticationChallengeResponse元素用作该架构的包装器。
图6是用于实现本发明的各方面的示例性计算系统600的框图。在一个实施例中,计算系统600是客户机102。在另一个实施例中,计算系统600是web服务104。在另一个实施例中,计算系统600是认证服务108。在其最基本的配置中,计算系统600通常包括至少一个处理单元602和存储器604。取决于计算系统系统的确切配置和类型,存储器604可以是易失性的(诸如RAM)、非易失性的(诸如ROM、闪存等)或是两者的某种组合。该最基本配置在图6中由虚线606来例示。另外,计算系统600还可具有附加特征/功能。例如,计算机系统600还可包含附加存储(可移动和/或不可移动),包括但不限于磁盘、光盘或磁带。这些其他存储在图6中由可移动存储608和不可移动存储610示出。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。存储器604、可移动存储608和不可移动存储610都是计算机存储介质的示例。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存储所需信息且可以由计算系统600访问的任何其它介质。任何这样的计算机存储介质都可以是计算系统600的一部分。
计算系统600还可包含允许该计算系统与其它设备进行通信的通信连接612。通信连接612是通信介质的一个示例。通信介质通常以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并包括任意信息传送介质。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作为示例而非限制,通信介质包括有线介质,诸如有线网络或直接线连接,以及无线介质,诸如声学、RF、红外线和其它无线介质。如此处所使用的术语计算机可读介质包括存储介质和通信介质两者。
计算系统600还可具有输入设备614,诸如键盘、鼠标、笔、语音输入设备、触摸输入设备等。在某些实施例中,输入设备还(或另选地)包括例如,生物测定标识符、传感器、检测器、读卡器等。还可包括输出设备616,如显示器、扬声器、打印机等。所有这些装置在本领域中都是众所周知的,因此不必在此详细讨论。
在某些实施例中,存储器604包括操作系统620、应用程序622、其他程序模块624和程序数据626中的一个或多个。在某些实施例中,全局数据、客户机专用数据和变换规则各自可被存储在存储器604、可移动存储608和不可移动存储610或此处所描述的任何其他计算机存储介质中。
虽然已经用对结构特征、方法动作和包含这些动作的计算机可读介质专用的语言描述了各实施例,但是应该理解,如在所附权利要求中定义的可能的实施例不必限于所描述的具体结构、动作、或介质。本领域技术人员将认识到本发明精神和范围中的其它实施例或改进。因此,这些具体结构、动作、或介质仅作为说明性实施例而公开。
Claims (20)
1.一种用于控制对受保护web服务资源(106)的访问的计算系统(104),所述计算系统(104)包括:
用于跨通信网络(110)进行通信的通信设备(612);
通信地耦合到所述通信设备(612)的处理器(602);以及
存储程序指令的存储器(604),所述指令在由所述处理器(602)执行时使所述计算系统(604)执行一种控制对受保护web服务资源(106)的访问的方法。所述方法包括:
(i)从客户机接收从所述通信网络(110)访问所述受保护web服务资源
(106)的第一请求;
(ii)确定所述客户机已根据第一因素来认证;
(iii)基于根据所述第一因素的认证来授权访问所述受保护web服务资源(106)的第一请求;
(iv)从所述客户机(102)接收从所述通信网络(110)访问所述受保护web服务资源(106)的第二请求;
(v)基于根据不足以授权所述第二请求的第一因素的认证来拒绝访问所述受保护web服务资源(106)的第二请求;
(vi)确定所述客户机(102)已根据第二因素来认证;以及
(vii)基于根据所述第二因素的认证来授权访问所述受保护web服务资源(106)的第二请求。
2.如权利要求1所述的计算系统,其特征在于,所述第一因素选自包括以下各项的组:口令、对安全问题的回答、生物测定标识符、对象以及客户机专用信息。
3.如权利要求1所述的计算系统,其特征在于,所述第二因素不同于所述第一因素。
4.如权利要求1所述的计算系统,其特征在于,所述方法还包括在所述客户机已根据所述第一因素来由认证服务认证后从所述客户机接收第一认证令牌并且使用该第一认证令牌来确定所述客户机已根据所述第一因素来认证。
5.如权利要求4所述的计算系统,其特征在于,确定所述客户机已被认证包括:
用所述认证服务的公钥来解密所述第一认证令牌;以及
确定所述第一认证令牌中的由所述认证服务作出的声明满足访问条件。
6.如权利要求1所述的计算系统,其特征在于,拒绝所述第二请求包括向所述客户机发送消息以将所述客户机定向到认证服务以便根据第二因素来认证。
7.如权利要求6所述的计算系统,其特征在于,确定所述客户机已根据第二因素来认证包括在根据所述第二因素来由所述认证服务认证后从所述客户机接收认证令牌。
8.如权利要求6所述的计算系统,其特征在于,授权访问所述受保护web服务资源的第二请求基于对认证令牌的评估。
9.一种授权客户机(102)访问web服务资源(106)的方法,所述方法包括:
(i)从所述客户机(102)接收要认证的请求(516);
(ii)向所述客户机(102)发送质询消息(518);
(iii)从所述客户机(102)接收对所述质询消息(518)的确认响应(520);
(iv)确定所述确认响应满足预定准则;
(v)确定所述要认证的请求需要进一步认证;
(iv)以第二质询消息(522)、第二确认响应(524)和第二预定准则来重复(ii)到(iv);以及
(v)向所述客户机(102)发送认证消息(530);
10.如权利要求9所述的方法,其特征在于,确定所述要认证的请求需要进一步认证包括从所述请求中读取数据并将来自所述请求的数据与同所述质询消息相关联的认证级别进行比较。
11.如权利要求9所述的方法,其特征在于,向所述客户机发送所述认证消息包括向所述客户机发送认证令牌。
12.如权利要求11所述的方法,其特征在于,所述认证令牌包括来自认证服务的关于用于认证所述客户机的因素的声明。
13.如权利要求9所述的方法,其特征在于,还包括在向所述客户机发送所述认证消息之前以第三质询消息、第三确认响应和第三预定准则来重复(ii)到(iv)。
14.一种包含计算机可执行指令的计算机可读存储介质(608),所述指令在由计算机(104)执行时执行一种控制对受保护资源(106)的访问的方法,所述方法包括:
从客户机(102)接收标识web服务(104)的受保护资源(106)的请求(512);
向所述客户机(102)发送向认证服务(108)请求认证的响应(514);
在向所述认证服务(108)认证后从所述客户机(102)接收认证(532);
确定所述认证是否足以授权所述请求;
如果所述认证足以授权所述请求,则授权所述请求;以及
如果所述认证不足以授权所述请求,则拒绝所述请求。
15.如权利要求14所述的计算机可读介质,其特征在于,所述认证是认证令牌。
16.如权利要求15所述的计算机可读介质,其特征在于,所述认证令牌使用公钥密码来加密。
17.如权利要求14所述的计算机可读介质,其特征在于,所述方法还包括如果所述认证足以授权所述请求,则在授权所述请求后授权对所述web服务的受保护资源的访问。
18.如权利要求14所述的计算机可读介质,其特征在于,拒绝所述请求包括用消息来将向所述客户机传达所述拒绝,所述消息包括关于被配置成认证所述客户机的认证服务的信息。
19.如权利要求14所述的计算机可读介质,其特征在于,所述方法还包括:
从所述客户机接收标识所述web服务的受保护资源的第二请求,所述第二请求包括所述认证;
确定所述认证是否足以授权所述第二请求;
如果所述认证足以授权所述第二请求,则授权所述第二请求;以及
如果所述认证不足以授权所述第二请求,则拒绝所述第二请求。
20.如权利要求14所述的计算机可读介质,其特征在于,拒绝所述请求包括发送根据简单对象访问协议的故障消息,并且其中接收认证包括接收根据web服务信任规约的web服务信任请求安全令牌响应消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US91298607P | 2007-04-20 | 2007-04-20 | |
| US60/912,986 | 2007-04-20 | ||
| US12/024,901 | 2008-02-01 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101663670A true CN101663670A (zh) | 2010-03-03 |
Family
ID=39873566
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880012470A Pending CN101663670A (zh) | 2007-04-20 | 2008-03-18 | 对访问web服务资源的请求专用认证 |
Country Status (6)
| Country | Link |
|---|---|
| US (5) | US8656472B2 (zh) |
| EP (1) | EP2149102B1 (zh) |
| JP (1) | JP5334332B2 (zh) |
| CN (1) | CN101663670A (zh) |
| ES (1) | ES2955941T3 (zh) |
| WO (1) | WO2008130760A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571345A (zh) * | 2010-10-19 | 2012-07-11 | 丰田自动车株式会社 | 车载设备、车辆认证系统及数据通信方法 |
| CN102792311A (zh) * | 2010-03-12 | 2012-11-21 | 阿尔卡特朗讯公司 | 安全动态权力委派 |
| CN102868519A (zh) * | 2011-07-04 | 2013-01-09 | 周哲仰 | 数据保密方法及系统 |
| CN104937909A (zh) * | 2013-01-24 | 2015-09-23 | 国际商业机器公司 | 用户身份验证 |
| CN106462674A (zh) * | 2014-06-11 | 2017-02-22 | 阿姆Ip有限公司 | 使用验证令牌的资源访问控制 |
| WO2017107976A1 (zh) * | 2015-12-23 | 2017-06-29 | 索尼公司 | 用于授权访问的客户端装置、服务器装置和访问控制系统 |
Families Citing this family (95)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8166562B2 (en) * | 2002-05-31 | 2012-04-24 | Peoplechart Corporation | Method and system for protecting information on a computer system |
| US20050261970A1 (en) | 2004-05-21 | 2005-11-24 | Wayport, Inc. | Method for providing wireless services |
| US8656472B2 (en) | 2007-04-20 | 2014-02-18 | Microsoft Corporation | Request-specific authentication for accessing web service resources |
| EP2026530A1 (en) * | 2007-07-12 | 2009-02-18 | Wayport, Inc. | Device-specific authorization at distributed locations |
| JP5391551B2 (ja) * | 2008-01-28 | 2014-01-15 | ソニー株式会社 | 認証システム、サーバ装置および認証方法 |
| US8132238B2 (en) | 2008-05-13 | 2012-03-06 | Ebay Inc. | System and method for identity authentication for service access without use of stored credentials |
| US8391834B2 (en) | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
| US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
| US8023425B2 (en) | 2009-01-28 | 2011-09-20 | Headwater Partners I | Verifiable service billing for intermediate networking devices |
| US8275830B2 (en) * | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
| US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
| US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
| US20100029306A1 (en) * | 2008-07-31 | 2010-02-04 | Sybase, Inc. | Mobile Banking with Short Message Service |
| US8881266B2 (en) * | 2008-11-13 | 2014-11-04 | Palo Alto Research Center Incorporated | Enterprise password reset |
| US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
| US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
| US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
| US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
| US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
| US10264138B2 (en) * | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
| US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
| US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
| CN101515932B (zh) * | 2009-03-23 | 2013-06-05 | 中兴通讯股份有限公司 | 一种安全的Web service访问方法和系统 |
| EP2237234A1 (de) * | 2009-04-03 | 2010-10-06 | Inventio AG | Verfahren und Vorrichtung zur Zugangskontrolle |
| US20100293604A1 (en) * | 2009-05-14 | 2010-11-18 | Microsoft Corporation | Interactive authentication challenge |
| US20110167477A1 (en) * | 2010-01-07 | 2011-07-07 | Nicola Piccirillo | Method and apparatus for providing controlled access to a computer system/facility resource for remote equipment monitoring and diagnostics |
| US20110191247A1 (en) * | 2010-01-29 | 2011-08-04 | Ben Dominguez | Authentication framework extension to verify identification information |
| US20110219440A1 (en) * | 2010-03-03 | 2011-09-08 | Microsoft Corporation | Application-level denial-of-service attack protection |
| US8572710B2 (en) * | 2010-03-18 | 2013-10-29 | Microsoft Corporation | Pluggable token provider model to implement authentication across multiple web services |
| US9183683B2 (en) * | 2010-09-28 | 2015-11-10 | Sony Computer Entertainment Inc. | Method and system for access to secure resources |
| JP2012137995A (ja) * | 2010-12-27 | 2012-07-19 | Fujitsu Ltd | リソース提供システム、アクセス制御プログラム及びアクセス制御方法 |
| US8447857B2 (en) | 2011-03-25 | 2013-05-21 | International Business Machines Corporation | Transforming HTTP requests into web services trust messages for security processing |
| US8595797B2 (en) * | 2011-03-28 | 2013-11-26 | Lars Reinertsen | Enforcing web services security through user specific XML schemas |
| EP3439267A1 (en) * | 2011-06-03 | 2019-02-06 | UC Group Limited | Systems and methods for managing chargeback requests |
| US9659164B2 (en) * | 2011-08-02 | 2017-05-23 | Qualcomm Incorporated | Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device |
| US9166966B2 (en) * | 2011-08-15 | 2015-10-20 | Bank Of America Corporation | Apparatus and method for handling transaction tokens |
| US9152783B2 (en) | 2011-09-29 | 2015-10-06 | Oracle International Corporation | Privileged account manager, application account management |
| EP2575315A1 (en) * | 2011-09-30 | 2013-04-03 | British Telecommunications Public Limited Company | Controlled access |
| US8839348B2 (en) * | 2011-10-05 | 2014-09-16 | International Business Machines Corporation | Effective testing of authorization logic of web components which utilize claims-based authorization |
| US11321414B2 (en) | 2012-04-17 | 2022-05-03 | Comcast Cable Communications, Llc | Self-validating data object locator for a media asset |
| US8806599B2 (en) * | 2012-06-11 | 2014-08-12 | Symantec Corporation | Systems and methods for implementing multi-factor authentication |
| US9519761B2 (en) * | 2012-09-06 | 2016-12-13 | Paypal, Inc. | Systems and methods for authentication using low quality and high quality authentication information |
| US9203835B2 (en) | 2013-03-01 | 2015-12-01 | Paypal, Inc. | Systems and methods for authenticating a user based on a biometric model associated with the user |
| WO2014159862A1 (en) | 2013-03-14 | 2014-10-02 | Headwater Partners I Llc | Automated credential porting for mobile devices |
| US10057289B2 (en) | 2013-08-12 | 2018-08-21 | International Business Machines Corporation | Adjusting multi-factor authentication using context and pre-registration of objects |
| US9667610B2 (en) | 2013-09-19 | 2017-05-30 | Oracle International Corporation | Privileged account plug-in framework—network—connected objects |
| US9602545B2 (en) | 2014-01-13 | 2017-03-21 | Oracle International Corporation | Access policy management using identified roles |
| GB2524010A (en) * | 2014-03-10 | 2015-09-16 | Ibm | User authentication |
| WO2015147779A1 (en) * | 2014-03-24 | 2015-10-01 | Hewlett-Packard Development Company, L.P. | Monitoring for authentication information |
| US9306930B2 (en) * | 2014-05-19 | 2016-04-05 | Bank Of America Corporation | Service channel authentication processing hub |
| US9836594B2 (en) * | 2014-05-19 | 2017-12-05 | Bank Of America Corporation | Service channel authentication token |
| US20150373011A1 (en) * | 2014-06-19 | 2015-12-24 | Oracle International Corporation | Credential collection in an authentication server employing diverse authentication schemes |
| US10313349B2 (en) | 2014-07-31 | 2019-06-04 | Hewlett Packard Enterprise Development Lp | Service request modification |
| US9578015B2 (en) * | 2014-10-31 | 2017-02-21 | Vmware, Inc. | Step-up authentication for single sign-on |
| US9560030B2 (en) | 2014-11-07 | 2017-01-31 | Kaiser Foundation Hospitals | Nodal random authentication |
| US9560046B2 (en) | 2014-11-07 | 2017-01-31 | Kaiser Foundation Hospitals | Device notarization |
| PL3227866T3 (pl) | 2014-12-02 | 2024-02-19 | Inventio Ag | Ulepszona kontrola dostępu przy użyciu przenośnych urządzeń elektronicznych |
| US9380058B1 (en) | 2014-12-22 | 2016-06-28 | University Of South Florida | Systems and methods for anonymous authentication using multiple devices |
| EP3238369A4 (en) * | 2014-12-22 | 2018-05-23 | University Of South Florida | Systems and methods for authentication using multiple devices |
| US10367817B2 (en) | 2014-12-22 | 2019-07-30 | University Of South Florida | Systems and methods for challengeless coauthentication |
| US10547599B1 (en) * | 2015-02-19 | 2020-01-28 | Amazon Technologies, Inc. | Multi-factor authentication for managed directories |
| WO2017003651A1 (en) * | 2015-06-30 | 2017-01-05 | University Of South Florida | Systems and methods for anonymous authentication using multiple devices |
| US9674200B2 (en) * | 2015-07-14 | 2017-06-06 | Mastercard International Incorporated | Identity federation and token translation module for use with a web application |
| US20180295126A1 (en) * | 2015-09-22 | 2018-10-11 | Conjur, Inc. | Dynamic computing resource access authorization |
| US10402555B2 (en) | 2015-12-17 | 2019-09-03 | Google Llc | Browser attestation challenge and response system |
| CN105912899A (zh) * | 2016-03-31 | 2016-08-31 | 联想(北京)有限公司 | 一种控制电子设备的方法以及电子设备 |
| US10574660B2 (en) * | 2016-06-23 | 2020-02-25 | Airwatch, Llc | Continuous sensitive content authentication |
| EP3535660A4 (en) * | 2016-11-01 | 2020-11-11 | Hewlett-Packard Development Company, L.P. | SERVICE IMPLEMENTATIONS VIA RESOURCE AGREEMENTS |
| US10462124B2 (en) | 2016-12-30 | 2019-10-29 | Google Llc | Authenticated session management across multiple electronic devices using a virtual session manager |
| US10541992B2 (en) * | 2016-12-30 | 2020-01-21 | Google Llc | Two-token based authenticated session management |
| US10643004B2 (en) * | 2017-05-16 | 2020-05-05 | Apple Inc. | Techniques for enabling a software application to access files at a computing device while enforcing privacy measures |
| US10491584B2 (en) * | 2017-05-22 | 2019-11-26 | General Electric Company | Role-based resource access control |
| US11544356B2 (en) | 2017-06-19 | 2023-01-03 | Citrix Systems, Inc. | Systems and methods for dynamic flexible authentication in a cloud service |
| US10896249B2 (en) | 2018-08-31 | 2021-01-19 | Target Brands, Inc. | Secure electronic authentication of a user on an electronic device |
| US11316867B2 (en) | 2019-04-23 | 2022-04-26 | Microsoft Technology Licensing, Llc | Generated audio signal granting access to resource |
| US11949677B2 (en) * | 2019-04-23 | 2024-04-02 | Microsoft Technology Licensing, Llc | Resource access based on audio signal |
| US11226983B2 (en) | 2019-06-18 | 2022-01-18 | Microsoft Technology Licensing, Llc | Sub-scope synchronization |
| US11700121B2 (en) * | 2019-09-13 | 2023-07-11 | Amazon Technologies, Inc. | Secure authorization for sensitive information |
| CN111539006A (zh) * | 2020-04-26 | 2020-08-14 | 北京思特奇信息技术股份有限公司 | 一种权限管控方法及装置 |
| US20220166762A1 (en) * | 2020-11-25 | 2022-05-26 | Microsoft Technology Licensing, Llc | Integrated circuit for obtaining enhanced privileges for a network-based resource and performing actions in accordance therewith |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0981519A (ja) | 1995-09-08 | 1997-03-28 | Kiyadeitsukusu:Kk | ネットワーク上の認証方法 |
| US7287271B1 (en) * | 1997-04-08 | 2007-10-23 | Visto Corporation | System and method for enabling secure access to services in a computer network |
| US6845453B2 (en) * | 1998-02-13 | 2005-01-18 | Tecsec, Inc. | Multiple factor-based user identification and authentication |
| US6167517A (en) | 1998-04-09 | 2000-12-26 | Oracle Corporation | Trusted biometric client authentication |
| EP1080415B1 (en) | 1998-05-21 | 2017-01-18 | Equifax Inc. | System and method for authentication of network users |
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| US6880088B1 (en) * | 1999-11-19 | 2005-04-12 | Nortel Networks Limited | Secure maintenance messaging in a digital communications network |
| US6978364B1 (en) | 2000-04-12 | 2005-12-20 | Microsoft Corporation | VPN enrollment protocol gateway |
| KR20010105705A (ko) | 2000-05-17 | 2001-11-29 | 정문술 | 다중 인터넷 서비스에 대한 통합 사용자 관리환경 제공방법 및 이를 위한 시스템 |
| US7194764B2 (en) * | 2000-07-10 | 2007-03-20 | Oracle International Corporation | User authentication |
| JP2002288138A (ja) | 2001-03-27 | 2002-10-04 | Matsushita Electric Works Ltd | Wwwサーバ認証連携システム |
| US20020169874A1 (en) * | 2001-05-09 | 2002-11-14 | Batson Elizabeth A. | Tailorable access privileges for services based on session access characteristics |
| US7243369B2 (en) | 2001-08-06 | 2007-07-10 | Sun Microsystems, Inc. | Uniform resource locator access management and control system and method |
| US7590859B2 (en) * | 2001-08-24 | 2009-09-15 | Secure Computing Corporation | System and method for accomplishing two-factor user authentication using the internet |
| US7373515B2 (en) * | 2001-10-09 | 2008-05-13 | Wireless Key Identification Systems, Inc. | Multi-factor authentication system |
| US7603469B2 (en) | 2002-01-15 | 2009-10-13 | International Business Machines Corporation | Provisioning aggregated services in a distributed computing environment |
| US20030163694A1 (en) | 2002-02-25 | 2003-08-28 | Chaing Chen | Method and system to deliver authentication authority web services using non-reusable and non-reversible one-time identity codes |
| US7747856B2 (en) | 2002-07-26 | 2010-06-29 | Computer Associates Think, Inc. | Session ticket authentication scheme |
| US7606560B2 (en) * | 2002-08-08 | 2009-10-20 | Fujitsu Limited | Authentication services using mobile device |
| US20040187036A1 (en) * | 2002-12-26 | 2004-09-23 | Takashi Nakamura | Information providing apparatus, information providing system, service providing apparatus, image forming apparatus, information providing method, service providing method and illegal usage preventing method |
| JP2004234415A (ja) | 2003-01-31 | 2004-08-19 | Blue Box Japan Co Ltd | 安否情報登録システムおよび方法、安否情報配信システムおよび方法、安否情報登録端末、プログラム、コンピュータ読取り可能な記録媒体 |
| SE0300368D0 (sv) | 2003-02-11 | 2003-02-11 | Ericsson Telefon Ab L M | System for internet privacy |
| US20040177369A1 (en) * | 2003-03-06 | 2004-09-09 | Akins Glendon L. | Conditional access personal video recorder |
| US7562217B2 (en) | 2003-06-06 | 2009-07-14 | Ricoh Company, Ltd. | Web service provider and authentication service provider |
| JP4698169B2 (ja) * | 2003-07-24 | 2011-06-08 | 株式会社リコー | ユーザ認証方法、画像形成装置 |
| JP4039632B2 (ja) | 2003-08-14 | 2008-01-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 認証システム、サーバおよび認証方法並びにプログラム |
| JP4738791B2 (ja) * | 2003-11-12 | 2011-08-03 | 株式会社リコー | サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体 |
| US8966579B2 (en) * | 2003-12-30 | 2015-02-24 | Entrust, Inc. | Method and apparatus for providing authentication between a sending unit and a recipient based on challenge usage data |
| US9191215B2 (en) * | 2003-12-30 | 2015-11-17 | Entrust, Inc. | Method and apparatus for providing authentication using policy-controlled authentication articles and techniques |
| WO2005069823A2 (en) | 2004-01-15 | 2005-08-04 | Jun Song | Centralized transactional security audit for enterprise systems |
| US20050177724A1 (en) | 2004-01-16 | 2005-08-11 | Valiuddin Ali | Authentication system and method |
| US7665130B2 (en) * | 2004-03-10 | 2010-02-16 | Eric White | System and method for double-capture/double-redirect to a different location |
| US20050228984A1 (en) * | 2004-04-07 | 2005-10-13 | Microsoft Corporation | Web service gateway filtering |
| JP4573559B2 (ja) | 2004-04-07 | 2010-11-04 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム |
| US7559080B2 (en) * | 2004-05-04 | 2009-07-07 | Microsoft Corporation | Automatically generating security policies for web services |
| US7788716B2 (en) | 2004-05-21 | 2010-08-31 | Bea Systems, Inc. | Token handler API |
| US7647319B2 (en) | 2004-09-06 | 2010-01-12 | Canon Kabushiki Kaisha | Information processing apparatus, information processing method, program, and storage medium |
| US7721328B2 (en) * | 2004-10-01 | 2010-05-18 | Salesforce.Com Inc. | Application identity design |
| CN1812403A (zh) | 2005-01-28 | 2006-08-02 | 广东省电信有限公司科学技术研究院 | 一种跨管理域实现身份认证的单点登录方法 |
| JP4667908B2 (ja) | 2005-02-28 | 2011-04-13 | 三菱電機株式会社 | クライアント端末及びシングルサインオンシステム |
| US7900247B2 (en) | 2005-03-14 | 2011-03-01 | Microsoft Corporation | Trusted third party authentication for web services |
| JP2006309595A (ja) | 2005-04-28 | 2006-11-09 | Canon Inc | ネットワークシステム、情報処理装置、及び通信制御方法 |
| US20060259759A1 (en) * | 2005-05-16 | 2006-11-16 | Fabio Maino | Method and apparatus for securely extending a protected network through secure intermediation of AAA information |
| US20070022196A1 (en) * | 2005-06-29 | 2007-01-25 | Subodh Agrawal | Single token multifactor authentication system and method |
| US20070022301A1 (en) * | 2005-07-19 | 2007-01-25 | Intelligent Voice Research, Llc | System and method for highly reliable multi-factor authentication |
| JP2007049343A (ja) | 2005-08-09 | 2007-02-22 | Fujitsu Ltd | 認証システム |
| US20070038525A1 (en) * | 2005-08-15 | 2007-02-15 | Waldvogel Richard T | Systems and Methods of Managing Retailer Affiliate Programs |
| JP4572151B2 (ja) | 2005-09-14 | 2010-10-27 | Necビッグローブ株式会社 | セッション管理装置、セッション管理方法、セッション管理プログラム |
| US8245292B2 (en) * | 2005-11-16 | 2012-08-14 | Broadcom Corporation | Multi-factor authentication using a smartcard |
| US7739744B2 (en) * | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
| US7587425B2 (en) * | 2006-04-28 | 2009-09-08 | Sap Ag | Method and system for generating and employing a dynamic web services invocation model |
| US20070255843A1 (en) * | 2006-04-28 | 2007-11-01 | Zubev Alexander I | Configuration of clients for multiple computer services |
| US8006300B2 (en) * | 2006-10-24 | 2011-08-23 | Authernative, Inc. | Two-channel challenge-response authentication method in random partial shared secret recognition system |
| US20080120705A1 (en) * | 2006-11-17 | 2008-05-22 | Bellsouth Intellectual Property Corporation | Systems, Methods and Computer Program Products Supporting Provision of Web Services Using IMS |
| US8375360B2 (en) * | 2006-11-22 | 2013-02-12 | Hewlett-Packard Development Company, L.P. | Provision of services over a common delivery platform such as a mobile telephony network |
| US8041781B2 (en) * | 2007-03-16 | 2011-10-18 | Yahoo! Inc. | System and method for providing web system services for storing data and context of client applications on the web |
| US7979896B2 (en) * | 2007-04-20 | 2011-07-12 | Microsoft Corporation | Authorization for access to web service resources |
| US8656472B2 (en) | 2007-04-20 | 2014-02-18 | Microsoft Corporation | Request-specific authentication for accessing web service resources |
| US8634703B1 (en) | 2008-08-12 | 2014-01-21 | Tivo Inc. | Real-time DVR usage and reporting system |
-
2008
- 2008-02-01 US US12/024,901 patent/US8656472B2/en active Active
- 2008-03-18 WO PCT/US2008/057375 patent/WO2008130760A1/en active Application Filing
- 2008-03-18 ES ES08732419T patent/ES2955941T3/es active Active
- 2008-03-18 JP JP2010504132A patent/JP5334332B2/ja active Active
- 2008-03-18 EP EP08732419.0A patent/EP2149102B1/en active Active
- 2008-03-18 CN CN200880012470A patent/CN101663670A/zh active Pending
-
2014
- 2014-01-27 US US14/165,133 patent/US9183366B2/en not_active Expired - Fee Related
-
2015
- 2015-11-09 US US14/936,362 patent/US9590994B2/en active Active
-
2017
- 2017-01-23 US US15/412,866 patent/US9832185B2/en active Active
- 2017-10-31 US US15/799,305 patent/US10104069B2/en active Active
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102792311A (zh) * | 2010-03-12 | 2012-11-21 | 阿尔卡特朗讯公司 | 安全动态权力委派 |
| CN102571345A (zh) * | 2010-10-19 | 2012-07-11 | 丰田自动车株式会社 | 车载设备、车辆认证系统及数据通信方法 |
| CN102571345B (zh) * | 2010-10-19 | 2015-02-11 | 丰田自动车株式会社 | 车载设备、车辆认证系统及数据通信方法 |
| CN102868519A (zh) * | 2011-07-04 | 2013-01-09 | 周哲仰 | 数据保密方法及系统 |
| CN104937909A (zh) * | 2013-01-24 | 2015-09-23 | 国际商业机器公司 | 用户身份验证 |
| CN106462674A (zh) * | 2014-06-11 | 2017-02-22 | 阿姆Ip有限公司 | 使用验证令牌的资源访问控制 |
| CN106462674B (zh) * | 2014-06-11 | 2019-12-06 | 阿姆Ip有限公司 | 使用验证令牌的资源访问控制 |
| US10742655B2 (en) | 2014-06-11 | 2020-08-11 | Arm Ip Limited | Resource access control using a validation token |
| WO2017107976A1 (zh) * | 2015-12-23 | 2017-06-29 | 索尼公司 | 用于授权访问的客户端装置、服务器装置和访问控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008130760A1 (en) | 2008-10-30 |
| US20160191528A1 (en) | 2016-06-30 |
| JP5334332B2 (ja) | 2013-11-06 |
| EP2149102A1 (en) | 2010-02-03 |
| US20170134368A1 (en) | 2017-05-11 |
| EP2149102B1 (en) | 2023-08-23 |
| US20080263652A1 (en) | 2008-10-23 |
| US10104069B2 (en) | 2018-10-16 |
| ES2955941T3 (es) | 2023-12-11 |
| US9832185B2 (en) | 2017-11-28 |
| US20180069848A1 (en) | 2018-03-08 |
| US20140143546A1 (en) | 2014-05-22 |
| EP2149102A4 (en) | 2014-05-14 |
| US9183366B2 (en) | 2015-11-10 |
| JP2010525448A (ja) | 2010-07-22 |
| US9590994B2 (en) | 2017-03-07 |
| US8656472B2 (en) | 2014-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101663670A (zh) | 对访问web服务资源的请求专用认证 | |
| US10685526B2 (en) | Architecture for access management | |
| US10829088B2 (en) | Identity management for implementing vehicle access and operation management | |
| US20050198536A1 (en) | Digital credential usage reporting | |
| US11348093B2 (en) | System and method for merchant and personal transactions using mobile identification credential | |
| CN101682509A (zh) | 使用生物测定表示来标识令牌 | |
| US11580559B2 (en) | Official vetting using composite trust value of multiple confidence levels based on linked mobile identification credentials | |
| US20190132312A1 (en) | Universal Identity Validation System and Method | |
| KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
| KR101505667B1 (ko) | 주민번호의 수집 없는 회원가입, 인증 및 결제 방법 | |
| EP4050923A1 (en) | Systems and methods of access validation using distributed ledger identity management | |
| US20210319116A1 (en) | Systems and methods of access validation using distributed ledger identity management | |
| JP2004070814A (ja) | サーバセキュリティ管理方法及び装置並びにプログラム | |
| JP2013020643A (ja) | 個人情報提供装置、および個人情報提供方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150724 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150724 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100303 |