不受信任的設(shè)備上的資源保護(hù)的制作方法
【專利說(shuō)明】不受信任的設(shè)備上的資源保護(hù)
[0001]背景
[0002]計(jì)算機(jī)和計(jì)算系統(tǒng)已經(jīng)影響了現(xiàn)代生活的幾乎每個(gè)方面。計(jì)算機(jī)通常涉及工作����、休閑、保健����、運(yùn)輸、娛樂(lè)���、家政管理等���。
[0003]此外���,計(jì)算系統(tǒng)功能還可以通過(guò)計(jì)算系統(tǒng)經(jīng)由網(wǎng)絡(luò)連接互連到其他計(jì)算系統(tǒng)的能力來(lái)增強(qiáng)��。網(wǎng)絡(luò)連接可包括�,但不僅限于,經(jīng)由有線或無(wú)線以太網(wǎng)的連接����,蜂窩式連接,或者甚至通過(guò)串行�、并行、USB或其它連接的計(jì)算機(jī)到計(jì)算機(jī)的連接���。這些連接允許計(jì)算系統(tǒng)訪問(wèn)其他計(jì)算系統(tǒng)上的服務(wù)��,并快速且有效地從其他計(jì)算系統(tǒng)接收應(yīng)用數(shù)據(jù)���。
[0004]當(dāng)前網(wǎng)絡(luò)允許許多新的以及不同類型的設(shè)備被聯(lián)網(wǎng)。另外��,還期望使聯(lián)網(wǎng)設(shè)備具有移動(dòng)性�。隨著智能電話和平板在商業(yè)企業(yè)網(wǎng)絡(luò)上越來(lái)越流行,移動(dòng)性持續(xù)發(fā)展�。希望利用機(jī)會(huì)來(lái)提高雇員生產(chǎn)力的許多組織正在擁抱移動(dòng)工作方式,允許信息工作人員從他們的移動(dòng)設(shè)備訪問(wèn)企業(yè)資源����。
[0005]盡管這一趨勢(shì)帶來(lái)了提高雇員效率的新的機(jī)會(huì)��,但是�����,它也為IT管理員造成了新的安全風(fēng)險(xiǎn)����,因?yàn)樵诤芏嗲闆r下����,雇員會(huì)將企業(yè)憑證(例如,用戶名和口令對(duì))存儲(chǔ)在他們的移動(dòng)設(shè)備上����。例如,使用由位于美國(guó)華盛頓州雷德蒙市的微軟公司所提供的Active Sync的大多數(shù)移動(dòng)電子郵件客戶端都要求企業(yè)憑證���?���?梢暂p松地從移動(dòng)設(shè)備中提取這些憑據(jù)��。例如,設(shè)備可能會(huì)被偷���,設(shè)備可能主存結(jié)果是收集保存的口令或記錄擊鍵的特洛伊木馬的移動(dòng)應(yīng)用。這會(huì)是特別危險(xiǎn)的�����,假定企業(yè)用戶常常使用相同憑證來(lái)訪問(wèn)對(duì)該企業(yè)用戶可用的大多數(shù)��,如果并非全部資源��。
[0006]在此要求保護(hù)的主題不限于解決任何缺點(diǎn)或僅在諸如上述環(huán)境中操作的各個(gè)實(shí)施例�。相反,提供該背景僅用以示出在其中可實(shí)踐在此描述的部分實(shí)施例的一個(gè)示例性技術(shù)領(lǐng)域����。
【發(fā)明內(nèi)容】
[0007]在此所示的一個(gè)實(shí)施例包括可以在計(jì)算環(huán)境中實(shí)施的方法。該方法包括向第一服務(wù)認(rèn)證用戶以允許該用戶訪問(wèn)由第一服務(wù)所提供的資源的動(dòng)作��。資源是要求通用憑證(例如��,用戶名和/或口令)才能訪問(wèn)該資源的受保護(hù)的資源�。該方法包括在第二服務(wù)處從設(shè)備接收自組織(ad-hoc)憑證。自組織憑證是為該設(shè)備所特有的憑證��。自組織憑證可用于認(rèn)證用戶和設(shè)備兩者,但是不能直接被用作第一服務(wù)處對(duì)用戶訪問(wèn)資源的認(rèn)證��。該方法還包括�����,在第二服務(wù)處用通用憑證來(lái)替換自組織憑證以及將通用憑據(jù)轉(zhuǎn)發(fā)到第一服務(wù)����。如此,第一服務(wù)可以向該設(shè)備處的用戶提供資源�。
[0008]提供本概述是為了以精簡(jiǎn)的形式介紹將在以下詳細(xì)描述中進(jìn)一步描述的一些概念。本概述并不旨在標(biāo)識(shí)出所要求保護(hù)的主題的關(guān)鍵特征或必要特征���,也不旨在用于幫助確定所要求保護(hù)的主題的范圍���。
[0009]將在以下的描述中闡述另外的特征和優(yōu)點(diǎn),并且部分特征和優(yōu)點(diǎn)可從該描述中顯而易見(jiàn)�,或者可從本文教導(dǎo)的實(shí)踐中獲知。本發(fā)明的特征和優(yōu)點(diǎn)可以通過(guò)在所附權(quán)利要求中特別指出的手段和組合來(lái)實(shí)現(xiàn)并獲取�����。本發(fā)明的特征將從以下描述和所附權(quán)利要求書(shū)中變得完全顯而易見(jiàn)�����,或者可通過(guò)如下所述對(duì)本發(fā)明的實(shí)踐而獲知。
[0010]附圖簡(jiǎn)述
[0011]為了描述可獲得本主題的上述和其它優(yōu)點(diǎn)和特征的方式�,將通過(guò)參考附圖中示出的本主題的具體實(shí)施例來(lái)呈現(xiàn)以上簡(jiǎn)要描述的本主題的更具體描述。應(yīng)該理解���,這些附圖僅描繪了各典型實(shí)施例,因此其不應(yīng)被認(rèn)為是對(duì)范圍的限制���,各實(shí)施例將通過(guò)使用附圖用附加特征和詳情來(lái)描述并解釋��,在附圖中:
[0012]圖1示出了用于管理用戶主要和輔助憑證的系統(tǒng)���;以及
[0013]圖2示出了用于向第一服務(wù)認(rèn)證用戶以允許用戶訪問(wèn)由第一服務(wù)所提供的資源的方法。
【具體實(shí)施方式】
[0014]各實(shí)施例可包括通過(guò)發(fā)出將只從特定上下文��,諸如特定企業(yè)接口��、特定協(xié)議�、特定郵箱,等等的和/或設(shè)備使用的并且可以具有單獨(dú)的預(yù)期的生命周期的專用輔助憑證(例如���,憑證只能從位于美國(guó)華盛頓州雷德蒙市的微軟公司所提供的ActiveSync接口使用)來(lái)保護(hù)通用主要憑證的功能��。如果這些輔助憑證被破壞���,則損害是有限的���。具體而言,損害可能僅限于輔助憑證應(yīng)用到的設(shè)備��,僅限于輔助憑證應(yīng)用到的那些某些企業(yè)接口���,和/或僅限于輔助憑證有效的有限的時(shí)段����。如此�,與當(dāng)允許對(duì)整個(gè)企業(yè)系統(tǒng)或企業(yè)系統(tǒng)的大部分進(jìn)行訪問(wèn)的主要企業(yè)憑證被破壞的情況相比,損毀會(huì)是有限的��。
[0015]如此�,并參考圖1,一些實(shí)施例為不受信任的設(shè)備(諸如設(shè)備104)實(shí)現(xiàn)輔助憑證102 (諸如口令)���。例如�����,設(shè)備104可以是移動(dòng)設(shè)備�。
[0016]各實(shí)施例可以實(shí)現(xiàn)將輔助憑證106替換為主要憑證108(例如,主要企業(yè)范圍的憑證)的網(wǎng)關(guān)106�。通過(guò)實(shí)現(xiàn)網(wǎng)關(guān)106,可以在不改變企業(yè)網(wǎng)絡(luò)110上的設(shè)備104內(nèi)部系統(tǒng)或各種服務(wù)或系統(tǒng)的情況下����,實(shí)現(xiàn)主要憑證108和輔助憑證102的共存。網(wǎng)關(guān)106可以和客戶端104分離�����。網(wǎng)關(guān)106能夠代理與企業(yè)網(wǎng)絡(luò)110中的應(yīng)用112相關(guān)的話務(wù)��,并將利用主要憑證108更換輔助憑證102以允許對(duì)企業(yè)資源進(jìn)行訪問(wèn)���。
[0017]在很多情況下,此網(wǎng)關(guān)106駐留在企業(yè)網(wǎng)絡(luò)110的邊緣���。網(wǎng)關(guān)106可以以這樣的方式實(shí)現(xiàn)�,以便所有外部話務(wù)都必須經(jīng)過(guò)網(wǎng)關(guān)106才能進(jìn)入企業(yè)網(wǎng)絡(luò)110�����。如此,從企業(yè)網(wǎng)絡(luò)110內(nèi)對(duì)應(yīng)用112進(jìn)行訪問(wèn)將要求使用主要憑證108�����。例如�����,圖1示出了用戶可以使用駐場(chǎng)公司系統(tǒng)114�,諸如臺(tái)式機(jī)或膝上型計(jì)算機(jī),它們位于企業(yè)的建筑物中���,并通過(guò)在企業(yè)網(wǎng)絡(luò)110管理員的直接控制下硬件和通信線路連接到企業(yè)網(wǎng)絡(luò)110�。在此情況下���,如圖所示����,可以從公司系統(tǒng)114向服務(wù)116發(fā)送主要憑證108以訪問(wèn)應(yīng)用112的資源118����。
[0018]可另選地���,當(dāng)用戶希望在遠(yuǎn)程連接時(shí)訪問(wèn)由應(yīng)用112所提供的資源118時(shí),可以通過(guò)客戶端系統(tǒng)104向網(wǎng)關(guān)106發(fā)送輔助憑證102來(lái)使用特殊輔助憑證102����,它用于替換主要憑證108以允許資源118被返回到客戶端系統(tǒng)104。值得注意的是����,可以實(shí)現(xiàn)并非所有的話務(wù)都被發(fā)送到網(wǎng)關(guān)106的實(shí)施例。相反��,在某些實(shí)施例中��,只向網(wǎng)關(guān)106發(fā)送某些類型的話務(wù)���,或計(jì)劃用于某些應(yīng)用的話務(wù)。例如���,可以向網(wǎng)關(guān)106發(fā)送電子郵件和日歷數(shù)據(jù)���,而其他話務(wù)不通過(guò)網(wǎng)關(guān)106路由。
[0019]輔助憑證102可以服從與主要憑證108不同的策略����。例如�,輔助憑證102可以比主要憑證在時(shí)間上更受限�。例如,輔助憑證可以比主要憑證108有效達(dá)更短的時(shí)間段����。另選地或另外地,輔助憑證102可以比主要憑證108在何時(shí)可以使用它方面具有限制性更強(qiáng)的時(shí)間限制��。例如����,主要憑證108可以在白天或夜間的任何時(shí)間使用,而輔助憑證102可以僅限于��,例如����,5:00PM和9:00AM之間。這些策略可以通過(guò)網(wǎng)關(guān)106實(shí)施��。
[0020]網(wǎng)關(guān)106能夠?qū)嵤╆P(guān)于輔助憑證102的服務(wù)或應(yīng)用級(jí)別的限制����。例如����,主要憑證108可以被用來(lái)訪問(wèn)對(duì)主要憑證108所屬的給定用戶可用的幾乎任何資源�����,網(wǎng)關(guān)106可以將通過(guò)設(shè)備104并使用輔助憑證102來(lái)訪問(wèn)企業(yè)資源的相同用戶限制到有限的應(yīng)用或資源的集合�����。例如���,當(dāng)作出對(duì)電子郵件資源的請(qǐng)求時(shí)�,網(wǎng)關(guān)可以替換主要憑證108��,但是�����,對(duì)于從客戶端104作出的對(duì)敏感數(shù)據(jù)庫(kù)資源的請(qǐng)求�,可以拒絕替換主要憑證�。某些這樣的實(shí)施例可以是基于角色的。例如�����,網(wǎng)關(guān)106可以對(duì)CEO或企業(yè)的主要網(wǎng)絡(luò)管理員實(shí)施較少的(或沒(méi)有)限制,而對(duì)數(shù)據(jù)輸入職員施加較多的限制����。
[0021]網(wǎng)關(guān)106可以基于將由管理系統(tǒng)122管理的主要憑證108和輔助憑證102進(jìn)行相關(guān)的數(shù)據(jù)庫(kù)120來(lái)執(zhí)行輔助憑證102和主要憑證108的憑證交換。
[0022]此管理系統(tǒng)122可以基于向用戶界面提供的輸入或/和其內(nèi)部邏輯來(lái)分配輔助憑證��。管理系統(tǒng)122也可以定義使用和期滿策略����。此管理系統(tǒng)通常將實(shí)現(xiàn)額外的認(rèn)證邏輯來(lái)生成輔助認(rèn)證并將其提供到用戶和設(shè)備(諸如設(shè)備104)。在說(shuō)明性示例中�,用戶使用WebΠ來(lái)訪問(wèn)管理系統(tǒng)122。使用智能卡或其他認(rèn)證來(lái)認(rèn)證用戶���。然后�����,用戶通過(guò)Web UI以自組織口令的形式接收輔助憑證�,該自組織口令對(duì)于ActiveSync有效達(dá)一周����。如此��,用戶能夠獲取可以與不受信任的設(shè)備104 —起使用的輔助憑證102���,其中,輔助憑證在關(guān)于它有效期多長(zhǎng)時(shí)間方面受限制以及限于某些應(yīng)用��。
[0023]進(jìn)一步��,在某些實(shí)施例中���,輔助憑證102可以以只允許它與某些設(shè)備(例如���,設(shè)備104)或某些信道一起使用的方式生成。例如��,網(wǎng)關(guān)106能夠?qū)嵤┰试S輔助憑證102與特定設(shè)備104或設(shè)備組一起使用而排除其與其他設(shè)備一起使用的限制�����。網(wǎng)關(guān)106能夠另選地或另外地限制輔助憑證102與某些通信信道一起使用�。例如,輔助憑證能夠和用戶的特定家庭網(wǎng)絡(luò)一起使用���,但當(dāng)設(shè)備連接到某些公眾W1-Fi網(wǎng)絡(luò)或蜂窩網(wǎng)絡(luò)時(shí)不能被使用��。
[0024]可以以各種不同的方式生成諸如憑證102之類的輔助憑證�����。例如��,在某些實(shí)施例中����,輔助憑證102可以通過(guò)使用在管理系統(tǒng)122處的秘密和主要憑證108來(lái)生成�。可以使用管理系統(tǒng)處的秘密和主要憑證來(lái)執(zhí)行散列或其他計(jì)算以生成輔助憑證102��。
[0025]在另一個(gè)實(shí)施例中�,在用戶通過(guò)管理系統(tǒng)122的Web Π呈現(xiàn)主要憑證108之后,可以由用戶選擇或人工地生成輔助憑證102��。
[0026]以下討論現(xiàn)涉及可以執(zhí)行的多種方法以及方法動(dòng)作����。雖然用特定次序討論或用以特定次序發(fā)生的流程圖示出了各個(gè)方法動(dòng)作,但除非明確規(guī)定或因?yàn)橐粍?dòng)作依賴于另一動(dòng)作在執(zhí)行該動(dòng)作之前完成而需要特定次序�����,否則不需要特定次序。
[0027]現(xiàn)在參考圖2��,示出了方法200����。可以在計(jì)算環(huán)境中實(shí)施方法200��。方法200包括向第一服務(wù)認(rèn)證用戶以允許該用戶訪問(wèn)由第一服務(wù)所提供的資源的