CN108123930A - 访问计算机网络中的主机 - Google Patents
访问计算机网络中的主机 Download PDFInfo
- Publication number
- CN108123930A CN108123930A CN201711179545.3A CN201711179545A CN108123930A CN 108123930 A CN108123930 A CN 108123930A CN 201711179545 A CN201711179545 A CN 201711179545A CN 108123930 A CN108123930 A CN 108123930A
- Authority
- CN
- China
- Prior art keywords
- authenticator
- host
- access
- request
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 66
- 238000012544 monitoring process Methods 0.000 claims abstract description 30
- 238000000034 method Methods 0.000 claims description 40
- 230000006870 function Effects 0.000 claims description 19
- 230000015654 memory Effects 0.000 claims description 16
- 230000009471 action Effects 0.000 claims description 8
- 230000006399 behavior Effects 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000012550 audit Methods 0.000 description 22
- 238000012545 processing Methods 0.000 description 19
- 230000004044 response Effects 0.000 description 13
- 238000007726 management method Methods 0.000 description 11
- 238000013507 mapping Methods 0.000 description 8
- 230000008859 change Effects 0.000 description 5
- 238000003860 storage Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000013481 data capture Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000002708 enhancing effect Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012806 monitoring device Methods 0.000 description 3
- 230000017702 response to host Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000000151 deposition Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
访问计算机网络中的主机。安全功能由在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置来提供。所述中间装置接收针对主机的访问请求,并且获得在所请求的对所述主机的访问中使用的至少一个认证器。所述中间装置然后监测使用所述至少一个认证器的通信。
Description
技术领域
本公开涉及对计算机化网络中的主机(host)的访问。更特定方面涉及监测与主机的通信以及针对访问和通信使用认证器。
背景技术
计算机化网络系统通常包括各种计算装置和使得能够在这些装置之间传送数据的其它设备。物理计算装置常常被称作主机。主机也可以是虚拟计算装置或容器,诸如物理计算装置内的LinuxTM容器或等同物。各个主机可以包括或者与一个或更多个用户账户、进程和/或文件关联。
用户可借助于被配置用于在计算机化网络系统中通信的用户装置来访问主机。要访问的主机有时被称为目标主机。由于各种原因用户可能希望访问计算机化网络中的主机。例如,主机可提供各式各样的服务并且/或者存储用户可能希望使用的文件或其它内容。可配置用于访问计算机化网络系统中的主机和其它实体的各种配置。这些的非限制性示例包括基于web的访问、基于安全协议(例如,安全外壳协议;SSH)的访问、文件传送访问、远程过程调用访问和/或软件升级访问。这种访问可以被例如终端用户、通过自动化和/或被系统管理员使用。
数据通信、对主机的访问、用户装置和主机它本身可能易受到未授权方的攻击。因此安全考虑事项是重要的。例如,诸如企业、政府或市政组织或非盈利组织的组织以及个人用户通常希望控制他们的计算机系统及存储在其中的数据如何可被访问和使用。
已经建议了用于增强数据安全的各种解决方案。这些中的一些基于密钥的使用。密钥可被例如用于在装置之间传送的数据的加密和/或存储的数据的加密。除密码学之外,密钥也被用于认证和授权功能、数字签名等。公钥和私密密钥被使用。在公钥密码学或非对称密码学中,公钥和私钥的对被使用。公钥可以被广泛传播,然而私钥仅为所有者知道。这实现认证(公钥用于验证已配对的私钥的持有者发送了消息)和加密(仅已配对的私钥的持有者可对用公钥加密的消息进行解密)。另一安全功能基于用于对密钥进行验证或者签名的证书的使用。公钥证书可用于证明公钥的所有权。公钥证书是电子文档,也被称为数字证书或身份证书,其包括关于密钥的信息、关于密钥的所有者的身份的信息以及已验证了证书的内容正确的实体的数字签名。原理是如果签名是有效的,并且检查证书的人信任签名者,则该密钥可用于与其所有者安全地进行通信。证书被考虑以在防止攻击者冒充安全网站或其它服务器时提供良好的防御。证书由证书机构(CA)颁发。CA可以是可信方或组织,例如,负责为客户颁发证书的公司。在信任方案的网络中,签名者可以是检查证书的人可能知道并信任的密钥的所有者(自签名的证书)或其它用户(“签注”)。
密钥和证书在计算机网络系统中被广泛用于增强安全。这种广泛的使用可导致问题。例如,大量的证书可以用在任何组织和/或计算机化系统中。这些中的一些可在没有任何人意识到的情况下/在没有被考虑的情况下用在系统中。特定问题可以是因尚未设定期满或者仅在很长一段时间之后期满的证书而导致的。另外,证书可能已被颁发给其访问权限已期满的用户,例如前雇员或分包商。只要证书存在并且尚未被撤回,它就可被用于访问主机。此外,一旦响应于对主机的访问请求建立了连接,它就可以在很长一段时间内甚至可以无期限地保持打开。
可以对系统进行扫描以清除任何旧的和/或未使用的和/或以其它方式怀疑的证书和/或密钥以及旧的打开的连接。但是,扫描可花费相当长的一段时间并且/或者也可以遗漏不应该在使用中的内容。
管理证书、其它认证器和安全特征及旧连接在许多物理实体可以给用户提供对主机的访问的虚拟化环境和云计算中可以变得更成问题。例如,可以为通过云中的不同物理实体或主机在不同会话中访问服务的用户提供服务,从而导致在许多位置中使用证书和/或密钥。此外,不同类型的主机可能需要对于访问使用不同的认证器。用户可能不知道这个,例如他/她是否正在尝试访问传统(legacy)或云类型主机。这对于管理密钥和证书的使用以及一般而言对主机的访问来说可构成相当大的挑战。
注意,以上讨论的问题不限于任何特定通信协议和数据处理设备,而是可以在使用诸如证书的认证器用于增强数据安全的任何计算机化系统中发生。
本发明的实施方式目的旨在解决以上问题中的一个或更多个。
发明内容
根据一个方面提供了一种用于在主机与能够访问所述主机的装置之间的计算机化网络中提供安全功能的中间装置,该中间装置包括:接口设备,该接口设备被配置用于主机和请求访问所述主机的装置通信,使得所述中间装置在所述主机与所述装置之间提供中间节点;以及控制设备,该控制设备连接到所述接口设备并且包括至少一个处理器和存储指令的存储器,所述指令当被执行时,使该控制设备处理来自装置的对主机的访问请求,从安全装置获得在所请求的访问中使用的至少一个认证器,并且监测使用所述至少一个认证器的通信。
根据另一方面提供了一种用于由在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置来提供安全功能的方法,该方法包括:在所述中间装置处从装置接收对主机的访问请求;由所述中间装置获得在所请求的对所述主机的访问中使用的至少一个认证器;以及由所述中间装置监测使用所述至少一个认证器的通信。
根据又一方面提供了一种包括程序代码的非暂时性计算机可读介质,所述程序代码用于使处理器执行在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置处实现的安全方法的指令,由所述中间装置执行的所述安全方法包括:从装置接收对主机的访问请求;获得在所请求的对所述主机的访问中使用的至少一个认证器;以及监测使用所述至少一个认证器的通信。
根据一更特定形式所述认证器可以包括证书。所述控制设备可被配置为从证书机构(CA)请求所述证书。
中间装置的控制设备可以包括认证组件,该认证组件被配置为在向所述安全装置发送对认证器的请求之前,针对对主机的访问请求进行认证。
中间装置可以还被配置为:对来自所述装置的所述访问请求进行接收和认证,其中所述访问请求包含在所述访问请求的所述认证中使用的至少一个第二认证器;在所述访问请求已基于所述至少一个第二认证器被认证之后,从所述安全装置请求并接收所述至少一个认证器;以及基于来自所述安全装置的所述至少一个认证器来处理所述装置与所述主机之间的通信。
可以基于针对所述至少一个认证器的使用的至少一个条件来监测通信。可以独立于所述安全装置来设定针对所述至少一个认证器的使用的至少一个条件。所述控制设备可以被配置为从所述安全装置接收针对所述至少一个认证器的使用的至少一个条件的信息。
所述条件可包括认证器的有效期。可将所述有效期设定为比用于从所述装置接收到的所述访问请求的认证的第二认证器的有效期短。
可监测所述认证器的有效期的期满,该有效期比以下项中的至少一个短:从所述安全装置接收到的所述认证器的有效期、用于从所述装置接收到的所述访问请求的认证的第二认证器的有效期、与所述主机关联地定义的最大会话长度以及与所述装置关联地定义的最大会话长度。
控制设备也可以被配置为监测以下项中的至少一个:所述至少一个认证器的使用、所述至少一个认证器的用户、所述装置的行为、与所述主机关联的事件、与基于所述至少一个认证器建立的一个或更多个通信会话关联的事件以及所述至少一个认证器如何和/或何时被使用。
控制设备可以还被配置为基于所述监测采取控制动作。所述控制设备可被配置为以下项中的至少一个:为所述装置请求新认证器,触发警报,防止通过所述装置访问所述主机,防止通过所述装置访问至少一个其它主机,限制通过所述装置访问所述主机或所述至少一个其它主机,并且控制基于所述至少一个认证器建立的通信会话的长度。
可在中间装置中提供所公开的功能和特征,所述中间装置被配置为拦截所述装置与主机之间的加密通信并且/或者提供数据审计系统的至少一些功能性。
某些更详细的方面根据具体实施方式是明显的。
附图说明
本发明的各种例示实施方式通过附图来例示。可以对步骤和元件进行重新排序、省略步骤和元件、将步骤和元件组合以形成新的实施方式,并且可以使被指示为执行的任何步骤由另一装置或模块来执行。在图中:
图1例示了可具体实现本发明的一个方面的网络的示例;
图2示出了根据实施方式的流程图;
图3例示了另一方面;
图4示出了根据实施方式的流程图;
图5a、图5b和图5c示出了代理的使用的示例;
图6例示了与主体的概念有关的示例;
图7、图8、图9和图10例示了又一方面;
图11示出了根据又一方面的流程图;以及
图12示出了数据处理设备。
具体实施方式
图1示出了可以具体实现本文描述的方面中的一些的计算机化网络系统1的示例。更特别地,图1示出了中间装置20在主机与能够访问主机的装置之间提供安全功能的一个方面的特定示例。在此特定示例中用户10使用他的/她的用户装置11来访问主机30。经由网络的访问路径通过从用户装置11到主机30的箭头100和106来指示。
网络可包括例如企业或另一组织的内联网,或诸如因特网的更广的网络。网络可以是例如基于IPv4(网际协议版本4)或IPv6(网际协议版本6)的网络。网络系统可以包括一个或更多个数据网络。
此方面的中间装置包括接口设备22、23,所述接口设备22、23被配置用于与主机和请求访问主机的装置通信,使得中间装置在主机与装置之间提供中间节点。中间装置还包括控制设备28,所述控制设备28连接到接口设备并且包括至少一个处理器和存储指令的存储器,所述指令当被执行时,使该控制设备执行本文所描述的任务。处理器可被配置为处理来自装置11的用于访问主机30的请求100。在接收到请求之后,处理器可获得在所请求的访问中使用的认证器40。这可以通过向外部安全装置25发送请求102并且在消息104中从其接收认证器40来提供。另选地,可以给中间装置提供集成安全装置,并且可以从集成安全装置请求认证器。中间装置20还被配置为监测使用所获得的认证器的通信。中间装置20也可以被配置为控制已基于来自安全装置的认证器而建立的通信。
认证器可以包括证书,控制设备被配置为从提供证书机构(CA)的安全装置请求证书。CA可以是外部实体或者与中间设备集成在一起。
在本说明书中术语主机或目标主机指代可被装置11访问的实体。被访问的主机30可经由网络为用户提供服务。主机可以例如由服务器或另一物理数据处理实体来提供。也可以在基于云计算的虚拟环境中提供主机。
可给予主机逻辑角色。也就是说,主机可以不一定需要通过特定名称和身份来标识,而是可被指派到逻辑角色中。例如,可将诸如web服务器、数据库服务器(例如OracleTM数据库服务器)等的逻辑角色指派给主机。目标主机可被配置有基于静态角色的模板。主机配置和应用软件可被提供有自动化系统配置工具。这些的示例包括根据诸如CHEF、PUPPET、ANSIBLE等的商品名称提供的那些。
逻辑角色可被提供有配置工具模板。基于逻辑角色可在系统级账户上映射诸如用户主体的特征。主体被理解为系统中的逻辑特权。可在用户对本身进行认证时给予他们一组主体。然后可在目标主机处使用这些主体来将用户映射到目标系统账户。例如,在xxx数据库服务器上,“xxx-admins”主体提供对“xxx”系统账户的访问。
用户装置11可以包括通过空中接口连接到网络的移动装置。因此可通过无线接口来提供连接的至少一部分。例如,可以给用户装置提供对通信网络的无线访问。可基于例如无线局域网(WLAN)、GSM/EDGE/HSPA、3G、4G、5G或WiMAX标准和/或光和近场网络或者无线标准的任何将来发展来经由基站提供到网络的无线连接。用户装置也可以包括经由固定线路连接而连接到网络的计算机装置。
可基于适当的安全协议使对通信网络的访问安全。控制设备20可以包括认证组件,该认证组件被配置为在向安全装置发送对认证器的请求之前对访问主机30的请求100进行认证。例如,可以使用安全外壳(SSH)协议、安全套接字层(SSL)协议、传输层安全(TLS)协议等。在图1示例中,用户装置11被示出为包括适于与网络元件中提供的另一SSH实体21进行通信的SSH客户端12。
可不断地监测网络系统及其中的通信以保护系统免受恶意用户攻击和数据泄漏以及其它未经授权的数据通信和/或以防止数据丢失。可以使用中间设备以提供在网络中用于监测装置与主机之间的通信的中间监测功能。也可在加密通信上应用监测。中间设备也可以被配置为干预通信。可出于各种原因提供干预。干预可用于例如为了防御、分析和审计目的并且/或者为了防止数据丢失而创建数据。例如,诸如企业、政府或市政组织或非赢利组织的组织可能希望审计和/或以其它方式监测对其内部计算机系统的使用和访问。提供这个的方式是由适当的中间节点来捕获并分析在两方之间传送的数据。
流经中间装置的数据的至少一部分可以是加密的。在这种情况下中间数据处理装置可被配置为对流经的加密数据提供中间人(MITM)类型操作以获得数据的明文。MITM操作涉及加密数据的解密。这可基于在加密中使用的私钥或其它加密凭证的知识。数据捕获中间节点由可信方(通常是网络的所有者)操作和维护,并且因此可被提供有解密所需要的必要密钥和/或其它安全信息。注意,这仅是示例并且所示的架构和/或MITM类型操作在所有场景中不是必要的。例如,被监测的通过数据流也可以是明文,例如明文传输控制协议(TCP)或用户数据报协议(UDP)通信。代替所示布置其它网络布置和模式也是可能的。例如,接口可处于堡垒模式下。
诸如密码审计器的数据捕获装置可作为独立硬件组件被提供或者嵌入在另一元件中,例如在防火墙或相似的组件中。数据捕获装置也可作为在云计算环境中设置的虚拟机被提供。防火墙可以包含一个或更多个协议代理,诸如安全外壳(SSH)代理、远程桌面协议(RDP)代理、虚拟网络计算(VNC)代理、文件传送协议/安全(FTP/S;基于安全套接字层(SSL)、传输层安全(TLS)协议的FTP)代理或HTTP/S(基于SSL/TLS的HTTP)代理。代理也可以实现多于一个协议。各个代理可包含用于执行中间人操作的中间人组件或者密钥契约或其它适合的方法,以用于获得对会话的明文的访问。
在图1中,用户装置11与目标主机30之间的通信会话流经中间数据捕获设备20。中间节点20托管数据捕获实体,该数据捕获实体被配置为出于例如数据审计目的而监测在那里通过的业务并捕获数据。可以在中间节点处处理和/或存储所捕获的数据。根据可能性捕获的数据的至少一部分被转发到另一实体以供存储和/或处理。这在图1中通过审计日志实体35来表示。该审计日志实体可以经由接口34与中间设备对应。因此该设备可被称作密码图形审计器或者简称密码审计器。由于各种原因对系统中的数据业务进行审计可以是期望的。例如,公司策略可以强迫对所有数据业务或来自特定主机的业务进行审计。出于网络拓扑原因可能甚至有必要设置密钥管理器以通过审计器节点工作。审计器节点可以仅透明地支持口令和键盘交互式认证。所有询问和响应可通过非加密信道在明文中发送并因此可通过审计器节点被透明地中继。如果使用了内容的加密,则将需要给审计器节点提供明文口令。可将审计系统的捕获器组件分类为高安全级别装置,并且因此可通过策略来允许此操作。
注意,所捕获的数据如何被处理(诸如例如,解密和分析)以用于审计目的的方式在理解本文公开的原理方面是不太相关的。相关的是用户装置11可经由中间数据捕获设备20访问主机30,并且在装置之间传送的数据(包括对访问的请求以及在访问已被许可之后的通信)经由中间设备来路由。
图2的流程图例示了根据一个方面的操作。在200处中间装置从装置接收对主机的访问请求。中间装置然后在202处获得在所请求的对主机的访问中使用的认证器。在204处中间装置监测使用该认证器的通信。
可以从外部安全装置或集成安全装置获得认证器。获得认证器可以包括从中间装置向安全装置(例如证书机构(CA))发送对认证器的请求。监测可以包括监测使用证书或其它认证器的通信。使用应该被理解为指代将证书用于访问,并且根据应用,出于其它目的在建立的一个或更多个通信会话期间使用认证器。
可以在发送对认证器的请求之前基于用于请求装置与中间装置之间的通信的至少一个第二认证器来对针对主机的访问请求进行认证。
监测可以基于关于认证器的使用的至少一个条件。关于认证器的使用的至少一个条件可以由中间装置独立于安全装置来设定。也能够在中间装置处从安全装置接收关于认证器的使用的至少一个条件的信息。根据一特定方面认证器具有有效期,该有效期比用于从装置接收到的访问请求的认证的第二认证器的有效期短。也可以将认证器的有效期设定为比从安全装置接收到的认证器的有效期短。另外,可以将认证器的有效期定义为比与主机关联地定义的最大会话长度和/或与装置关联地定义的最大会话长度短。
监测可包括监测认证器的使用。例如,可监测认证器在哪里被使用、如何被使用、传送数据的量、认证器被谁和/或何时使用。可监测认证器的用户的身份(装置和/或用户)以确保它尚未落入坏人手中。可以监测主机和主机中的任何改变。也可监测装置的行为。例如,可检测到在所建立的通信中存在暂停。然后可确定该暂停是否是可接受的,或者认证器是否将被撤回和/或通信会话终止。也可以监测与基于认证器建立的一个或更多个通信会话关联的各种事件。例如,如果具有基于来自安全装置的认证器建立的通信会话的用户具有大量的其它通信会话,或者尝试打开多于可接受数量的通信会话,或者如果存在干预这样的通信会话的尝试,则可以采取适当的控制动作。
可响应于监测检测到触发需要控制动作的事件而采取适当的控制动作。控制动作可以包括为装置请求新认证器。这例如当在已建立的通信会话中和/或在主机中存在改变时或者在然后继续的通信中存在暂停之后可能是需要的。监测也可以导致触发警报。警报可以是针对系统的管理员、主机和/或访问主机的用户。中间装置也可以响应于检测到可疑行为或另一预定义事件(诸如太长暂停、用户或装置的身份改变和/或访问许多主机的尝试)而防止通过装置访问主机并且/或者防止通过装置访问至少一个其它主机。对主机或对至少一个其它主机的访问也可以由中间装置例如通过暂时地或永久地防止使用认证器访问主机而被暂时地或永久地限制。也可以控制基于认证器建立的通信会话的长度。
图1示出了单独的安全装置,更特别地是授权服务器25。该授权服务器可包括提供网络系统的证书颁发功能性的证书机构(CA)。诸如CA的安全装置可与记录系统29进行通信以对用户进行认证并得到附加信息,例如组信息。安全装置还可以实现策略决定。策略决定尤其可包括用户如何被认证、用户组如何映射到主体以及哪些选项和扩展包括在证书中。
记录系统29可提供权威用户信息注册表。该记录系统可被布置为提供用户信息和系统策略定义的权威来源。在客户环境上这可以是例如活动目录(Active Directory);保持用户和组(主体)的轻量目录访问协议(LDAP)目录/OpenLDAP目录。用户可由记录系统唯一地标识。唯一标识符(ID)可以是例如LDAP DN(cn=Markku Rossi,cn=users,dc=ssh,dc=com)。其它用户属性也可以被用于在认证流程中标识用户。ID的其它示例包括例如uid“mrossi”、电子邮件地址、诸如电话号码的其它地址信息、用户账户名称等。
可在记录系统中配置用户和用户组。配置可具有例如三个级别,其中一级别用于利用活动用户的登录信息(用户名、口令、电子邮件地址、系统账户名称等)来定义他们并且将用户映射到逻辑组中,另一级别定义用于将用户认证信息映射到用户账户中的规则,并且第三级别定义用于将用户和用户组映射到主体中的策略规则。
中间监测装置20包括用于与各种其它实体通信的适当的接口设备。在图1示例中接口22用于与用户装置11通信。当用户10使用他的用户终端装置11向主机30发起访问时,不是直接访问目标主机,而是用户首先访问中间装置20。对装置20的访问可由设置在用户装置11处并且被配置为与设置在中间装置20处的客户端或服务器21通信的客户端12来处理。在所示示例中,中间设备20包括用于与用户装置11更具体地与设置在用户装置中的SSH客户端12进行安全通信的SSH客户端21。可出于此目的在用户装置11和/或中间设备20处使用未修改的安全外壳(SSH)客户端。
中间装置20可经由连接到数据处理设备28的接口接收来自装置的访问请求100。该访问请求可以包含在由装置对访问请求的认证中使用的至少一个第二认证器。中间装置20与主机之间的通信106可经由接口23来处理。通信可基于从安全装置25获得的认证器。接口24可被提供用于与安全装置25通信。中间装置20可发送请求102并且作为响应104经由接口24从安全装置接收认证器40。
应当了解,单独的接口是为了清楚而示出的,并且表示逻辑接口。接口设备可以包括与所示数量不同数量的物理连接,或仅一个物理连接。此外,安全装置可以被设置在中间节点内或者作为集成在其中的组件,并且因此中间装置20与安全装置之间的接口可以是装置20内的内部接口。
在中间装置基于至少一个第二认证器对访问请求进行了认证之后,可以向安全装置发送对认证器的请求。可由中间装置基于任何适当的认证器对用户进行认证。认证器可包括密钥,例如符合PKI布置的公钥和私钥对。可以提供密钥管理器装置用于密钥的集中式管理。例如,可以提供通用密钥管理器服务器。密钥管理器为数据网络系统的装置和应用生成、分发并管理密钥。例如,密钥管理器可创建密钥并且给系统中的各个主机提供一组非对称密钥。
在一些示例中也可以提供用于向安全装置25通信的SSH代理27。SSH 27代理可被配置为实现SSH代理协议,例如与CA进行通信,获得用户认证信息,并且看管用户认证认证器(例如,密钥对)。
中间装置20终止用户的SSH会话并且可以基于审计器策略对用户进行认证。中间装置可嵌入CA客户端功能性并且使用该CA客户端来利用CA对用户的公钥进行签名。CA可利用记录系统验证用户认证信息。CA也可利用记录系统解析用户主体。CA创建包含用户公钥和其它属性(例如主体)的证书,并且利用其私钥对得到的证书进行签名。密码审计器装置在SSH认证中与所对应的私钥一起使用证书。
目标服务器然后验证用户的证书。目标服务器验证可以使用用户主体登录到所请求的系统账户。
此方面提供对使用认证器(例如,能够设定关于认证器的使用的附加条件的证书)所建立的连接的监测和控制。例如,该方面使得能够控制会话长度并且防止/降低使用有效证书所创建的会话被劫持并用于恶意目的的可能性。另外,该方面可减少所需密钥的数量。
在下文中参照图3和图4描述用于在混合计算机网络环境中访问主机的另一方面。注意,在图3中多个元件可以与图1的那些元件相似,并且因此不在这里对那些元件进行详细的描述。
混合环境可以包括至少第一类型的主机32和第二类型的主机34。因为这,针对用户10可能需要不同的登录凭证以便能够访问目标主机。对用户来说透明的操作可由中间设备38来提供,该中间设备38被配置为确定用户想要访问的目标主机的类型以及访问目标主机所需的认证器。中间设备可酌情从安全装置36获得认证器。对应关系和/或确定可由包括在中间设备38中的代理39来提供。
中间设备包括至少一个处理器和存储指令的存储器,所述指令当被执行时,使该设备能够执行适当的操作。这些操作包括适配用于接收来自用户的对主机的访问请求、获得用于访问主机的认证器、确定主机的类型以及处理访问请求。处理包括导致中间设备将第一类型的认证器用于访问第一类型的主机并且将第二类型的认证器用于访问第二类型的主机的确定。
中间设备可以根据所确定的主机的类型从安全装置选择性地请求认证器。在这种情况下在请求认证器之前执行对类型的确定。另选地,中间设备可以向主机发送包括不同类型的认证器的认证器篮。主机然后可选择适于使用的一个或更多个认证器。
可能的是,中间设备已经获得了针对不同类型的主机的认证器,并且根据所确定的主机的类型来确定是否使用它已经从安全装置接收到认证器。
第一类型的主机可以包括传统主机并且第二类型的主机可以包括云主机。该设备可以被配置为确定目标主机是传统主机还是云主机。传统目标主机不一定支持基于证书的认证,或者传统主机未被配置为使用证书。替代地,传统主机可以基于例如主密钥对进行操作。例如,目标账户的“authorized_keys”文件可能已用所对应的“主密钥对”的公钥填充。可例如在主机提供阶段中完成填充。可能的是使用诸如SSH通用密钥管理器的密钥管理系统来动态地执行填充。中间设备可被配置为确定是否将使用基于证书或主密钥的访问。根据一个方面该设备被配置为响应于对主机的访问请求而确定主机的类型,并且响应于确定主机是云主机而请求证书,并且响应于确定主机是传统主机而使用主密钥对。
图4示出了针对包括第一类型的主机和第二类型的主机的混合计算机网络环境的方法的流程图。在该方法中在400处接收对主机的访问请求。在402处确定主机的类型。然后在404处使用用于访问第一类型的主机的第一类型的认证器和用于访问第二类型的主机的第二类型的认证器来处理访问请求。
可在确定主机的类型之前、同时或之后获得适当的认证器。
图5a、图5b和图5c示出了用于实现在混合计算机网络中访问主机的方法的不同可能性。根据图5a,在已从客户端接收到访问请求之后,代理在50处确定由客户端请求访问的主机所使用的认证器的类型。在确定了认证器的类型后,代理器向CA发送消息51作为所确定的类型的认证器的请求。CA通过52以所确定的类型的认证器来响应。代理然后在消息53处使用此认证器来向客户端提供对主机的访问。这种类型的操作具有优势的原因在于无需对主机进行改变。另外,可使CA处的处理保持最佳简单。
在图5b所示的可能性中,代理在消息54处向CA发送用于发送不同类型的多个认证器的请求。这些优选地可以是由CA针对客户端或代理所支持的所有类型。CA在消息55处向代理返回不同类型的认证器的列表。代理然后在56处选择要用于访问特定主机的认证器的类型,并且在57处使用所选择的认证器来访问主机。操作的这种方式具有在主机处不需要任何改变同时使得能够用一个请求访问不同类型的多个主机的优势。
图5c示出了代理在58处向CA发送用于发送不同类型的多个认证器的请求的操作。该请求优选地可针对由CA针对客户端或代理所支持的所有类型的认证器。CA通过消息59向代理返回不同类型的认证器的列表。代理然后使用它从CA接收到的多个认证器来在主机处发送访问请求60。代理可将它从CA接收到的所有认证器提供给主机。主机接收包括多个认证器的访问请求60,并且在61处选择要用于处理该请求的适当的认证器。主机然后可使用所选择的认证器来完成认证过程。
根据更特定方面基于证书的认证流程以如以上参照图1和图2所说明的相同的方式工作。此示例与图1之间的差异在于安全装置或CA36被配置的方式。根据可能性CA对于包含传统目标主机的所有主体来说具有“主密钥对”,因为传统目标主机不支持基于证书的认证或者它们未被配置为使用它。当用户将访问请求发送到目标主机(这可以是传统主机或云主机)中时,请求可包括CA将对用户装置的公钥进行签名并返回证书的指示。CA可检查用户认证并且将用户的主体添加到得到的证书。
CA在证书响应中返回所有适用的主密钥的公钥。SSH握手然后按身份:{Certificate(principal1,principal2...),PrincipalKey1,PrincipalKey2...}继续。基于目标主机的配置,目标主机利用私钥中的一个(证书或主密钥)请求签名操作。如果目标主机是云主机,则中间设备38处的代理39具有与证书的公钥匹配的私钥。如果目标主机是传统主机,则代理将签名请求委托给CA,该CA利用记录系统验证用户授权并且在用户授权仍然有效的情况下对操作进行签名。证书可以是例如符合X.509标准或任何其它证书标准的证书。
可利用“用户”和“主体”完成目标主机配置。云主机可被配置有“授权主体”映射。这将证书的主体映射到主机上的本地账户中。传统主机的本地账户可被配置为在账户的authorized_keys文件中接受主密钥的公钥。用户和主体的角色的示例通过图6来例示。
在此示例中用户U1至Un被映射到定义用户角色的主体。在此示例中用户角色是管理员、网络管理员和数据库管理员。对于各个主机,这些主体被映射到账户,这细化该主机上的不同管理动作、目录和文件的访问权限。这简化用户到他们对不同主机具有的权限的映射,因为各个用户仅被映射到相对较少数量的主体,并且仅需要将相对较少数量的主体映射到主机上的不同账户。此外,用户到主体的映射可以是主要基于人力资源信息的映射。主体到账户的映射进而可以是主要基于IT部门掌握的信息的映射。这使得各个映射能够由可获得该特定映射的最佳信息集的组织来完成。
记录系统和CA中的逻辑策略配置可纯粹地在“用户”和“主体”的基础上操作。
从用户的角度看登录流程对于传统主机和云主机两者来说的是相同的。代理在传统主机的情况下执行代理关键操作以提供用户认证。
在期望审计的情况下,两个主机类型提供从用户到CA到目标主机的相似的审计跟踪。
该布置具有优势的原因在于可显著地减少需要维护的密钥的数量。用于云类型主机的认证器可被设定为具有相对较短的有效期,并且因此将在被用于访问之后不久且在它们将通过扫描被发现之前期满。这尤其在新虚拟主机或服务器被不断地创建和删除的云环境中具有优势。
接下来参照图7、图8、图9和图10描述与用于提供安全访问的代理有关的一个方面。可在中间设备处实现代理功能性70。代理被配置为响应于从用户装置11接收到对主机72的连接请求100而创建短暂密钥对或另一认证器。代理也可以从其存储器(例如易失性存储器)中检索短暂认证器。如上所述,可以在用户装置处的SSH实体与设备之间传送连接请求。根据系统配置,可在网络侧(例如在如上所述的中间设备中)或者在用户装置11中提供SSH客户端71。
代理70使用所创建的短暂密钥对来获取使用短暂密钥对的至少一部分具有有限使用寿命的证书。证书也可以基于更永久的认证器。然后使用所获取的证书74对主机72进行认证。更永久的认证器可以是由认证器机构提供的任何认证器。
可创建短暂密钥对或另一短暂认证器,使得它仅能被使用一次,或者它能具有相对较短的有效期。另一条件可以是它仅可在相关证书的使用寿命内被使用。也可以限定短暂密钥对不能被存储在非易失性存储器上。因此代理可以创建存储器内短暂密钥,该存储器内短暂密钥仅一次或者在有限时间内(例如在五分钟窗口期间的所有认证操作)或在SSH代理的使用寿命内被用于一个认证操作。
如果SSH客户端被实现在用户装置上,则代理可选地可从用户的主目录读取用户的传统密钥。
图8示出了针对需要仅一种类型的认证器的场景的客户端、代理和CA及与CA关联的组件之间的信令流程。客户端(在此示例中为SSH客户端)从代理请求身份。代理可能已事先创建或者在此阶段处创建短暂密钥对。
代理向CA发送用于对公钥请求进行签名的请求。CA通过与活动目录交换适当的消息来对用户进行认证。
在用户被认证之后CA可创建证书。证书用保管库进行签名。然后可将已签名的证书从CA转发给代理。代理然后可将证书转发给SSH客户端。证书现在随时可用。
客户端可请求对询问进行签名以确认拥有与证书对应的私钥。在接收到对询问进行签名的请求时,代理可利用与证书对应的短暂密钥来对询问进行签名并且以签名响应对请求作出响应。
图9示出了针对混合模式的信令。在这种情况下密钥被存储在CA的HSM/保管库中,并且私钥从来不会被用户看到。
如上,客户端首先从代理请求身份。代理向CA发送用于对公钥请求进行签名的请求。CA通过与活动目录交换适当的消息来对用户进行认证。在用户已被认证之后CA可创建证书。用保管库对证书进行签名。
在此阶段处CA可将已签名的证书和主密钥返回给代理。代理然后可将证书和主密钥转发给客户端。
客户端可请求对主密钥进行签名。在接收到请求时CA可利用活动目录对用户进行认证并且此后从保管库请求对主密钥的签名。对签名请求的响应被从CA转发给代理并再转发给客户。
客户端可选择性地使用证书或主密钥。另选地,客户端在向主机认证时可使用证书和主密钥两者,并且主机选择适当的认证机制和密钥。
图10示出了根据实施方式的各种实体之间的信令逻辑。由客户端80在消息1中接收到主机服务器84的连接请求。客户端在阶段2处创建短暂密钥对。该密钥对可以是例如{Cl-PUB,Cl-PRIV}。其中有用户名、口令和Cl-PUB的访问请求3然后被发送到证书机构(CA)82。CA然后通过消息4返回具有Cl-Pub、CA-Publ和签名的证书。客户端80然后在向主机服务器84发送消息5时使用该证书。在阶段6处主机服务器验证证书是由CA使用CA pub颁发的。在肯定验证之后服务器可相信证书是由可信CA 82授予的。进而询问7被发送到客户端80。客户端通过利用CI-PRIV对它进行签名来响应询问。在阶段9处主机服务器84可验证客户端的身份。
图11是例示了用于向主机对用户进行认证的代理实体的操作的流程图。在该方法中代理实体在500处从用户接收对主机的连接请求,并且作为对其的响应,在502处确定短暂认证器。确定可以包括代理实体创建短暂认证器。可能的是代理将短暂认证器存储在其存储器(例如易失性存储器)中,并且确定的步骤包括从存储器中检索短暂认证器。代理实体然后可以在504处使用短暂认证器来获取第二认证器。第二认证器可由外部认证器机构生成,使得其使用至少部分地基于短暂认证器。第二认证器可以例如基于短暂密钥对和至少一个更永久的认证器的使用。代理然后可使用第二认证器在506处向主机对用户进行认证。
所接收的第二认证器可以包括证书。短暂认证器可以包括公钥。所接收到的证书然后可以包括短暂认证器的公钥部分的至少一部分。
例如如以上所讨论的,第二认证器的使用寿命可被限制。
在这方面能够减少或者甚至完全避免将密钥用于使与主机服务器的访问和通信安全的需要。密钥的数量的减少可使密钥的管理变得更容易。在云环境中情况尤其如此。由用户使用的密钥可被转换成证书。证书可具有在它限制其使用时设定的各种条件。例如,证书可具有有限的使用寿命,因为它可被使用有限次数和受限的用途。
图12示出了用于提供实现上述的实施方式所必需的数据处理功能的控制设备的示例。控制设备90可例如与图1的中间数据安全设备20、图3的38以及图1、图3、图5和图7、图8、图9、图10中的代理中的任一个集成,联接到图1的中间数据安全设备20、图3的38以及图1、图3、图5和图7、图8、图9、图10中的代理中的任一个,并且/或者被以其它方式布置用于控制图1的中间数据安全设备20、图3的38或者实现图1、图3、图5和图7、图8、图9、图10中的代理中的任一个。控制设备90可还被布置为提供对通信会话、认证器和任何附加信息的控制。除监测功能之外,控制设备还可被配置为与诸如对请求装置、安全装置和主机的认证、数据的解密、信令和数据通信操作的操作关联的控制功能。控制设备可确定为了访问和其它控制操作中间设备需要哪些密钥或其它认证。出于这些目的控制设备包括至少一个存储器91、至少一个数据处理单元92、93以及至少一个输入/输出接口94。经由接口控制设备可联接到相应装置的其它实体。控制设备可被配置为执行适当的软件代码以提供控制功能。控制设备也可与其它控制实体互连。用于在主机与能够访问主机的装置之间的计算机化网络中提供中间安全功能的装置可包括适当的数据处理和接口布置。
根据一个方面中间设备可包括:接口装置,该接口装置被配置用于与主机和请求访问主机的装置通信,使得中间设备在主机与装置之间提供中间安全功能;以及控制装置,该控制装置被配置为处理来自装置的对主机的访问请求,从安全装置获得在所请求的访问中使用的至少一个认证器,并且监测使用该至少一个认证器的通信。
根据另一方面提供了一种用于混合计算机网络环境的控制装置,所述环境包括第一类型的主机和第二类型的主机,其中所述装置被配置为使设备处理接收到的对主机的访问请求,获得用于访问主机的认证器,确定主机的类型,并且使用用于访问第一类型的主机的第一类型的认证器和用于访问第二类型的主机的第二类型的认证器来处理访问请求。
根据一个方面控制装置提供代理功能,该代理功能被布置为响应于接收到连接请求而确定短暂认证器,使用该短暂认证器来获取第二认证器,其中第二认证器至少部分地基于短暂认证器的使用,并且使用第二认证器来与主机一起执行认证。也可以从诸如CA的外部安全装置请求此方面的第二认证器。可以在网络元件或用户装置中提供控制装置。
控制装置还可以包括认证组件,该认证组件被配置为在向安全装置发送对认证器的请求之前,对针对主机的访问请求进行认证。
控制装置可以还被配置为对来自访问请求装置的访问请求进行接收和认证,其中访问请求包含在访问请求的认证中使用的至少一个第二验证器,在访问请求已基于至少一个第二认证器被认证之后从安全装置请求并接收至少一个验证器,并且基于来自安全装置的至少一个认证器来处理装置与主机之间的通信。
控制装置也可以被配置为基于针对至少一个认证器的使用的至少一个条件来监测通信。控制装置可以独立于安全装置来设定针对至少一个认证器的使用的至少一个条件。控制装置可从安全装置接收针对至少一个认证器的使用的至少一个条件的信息。该条件可以包括认证器的有效期。可将有效期设定为比用于从装置接收到的访问请求的认证的第二认证器的有效期短。控制装置可以监测认证器的有效期的期满,该有效期比以下项短:从安全装置接收到的认证器的有效期、用于从装置接收到的访问请求的认证的第二认证器的有效期、与主机关联地定义的最大会话长度和/或与装置关联地定义的最大会话长度。
控制装置可以被配置为至少监测至少一个认证器的使用、至少一个认证器的用户、装置的行为、与主机关联的事件、与基于至少一个认证器建立的一个或更多个通信会话关联的事件和/或至少一个认证器如何和/或何时被使用。
控制装置可还被配置为基于监测采取控制动作。例如,控制装置可被布置为为装置请求新认证器,触发警报,防止通过装置访问主机,防止通过装置访问至少一个其它主机,限制通过装置访问主机或至少一个其它主机,并且/或者控制基于至少一个认证器建立的通信会话的长度。
控制装置可被包括在被配置为拦截装置与主机之间的加密通信的中间装置中。该中间装置可以提供数据审计系统的至少一些功能性。
控制装置可以被配置为根据所确定的主机的类型从安全装置选择性地请求认证器。控制装置可以根据所确定的主机的类型来确定是否使用从安全装置接收到的至少一个认证器。控制装置可以从多个认证器中选择一个认证器,或者将从安全装置接收到的多个或所有认证器发送到一个或更多个主机。控制装置可以响应于对主机的访问请求而确定主机的类型,响应于确定主机是云主机而使用证书并且响应于确定主机是传统主机而使用主密钥对。
中间设备可以包括用于使得能够与安全装置、主机和请求访问主机的装置进行通信的接口装置。该设备可以包括:第一接口装置,该第一接口装置用于与用户装置进行通信,其中可经由第一接口装置从用户装置接收对用于访问请求的认证的第二认证器的访问请求;第二接口装置,该第二接口装置用于从安全装置请求认证器;以及第三接口装置,该第三接口装置用于与主机进行通信。
控制装置可以创建和/或检索短暂认证器。也可以提供用于存储短暂认证器的存储器装置。控制装置可以响应于接收到访问请求而从存储器装置中检索短暂认证器。
短暂认证器可以包括公钥。响应于短暂认证器而创建的证书或另一认证器可以包括短暂认证器的公钥部分的至少一部分。认证器可以基于短暂密钥对和至少一个更永久的认证器的使用。
各种实施方式及其组合或细分可以作为方法、设备或计算机程序产品被实现。根据一个方面在虚拟化环境中提供这些功能性中的至少一些。也可以提供用于下载用于执行方法的计算机程序代码的方法。计算机程序产品可以被存储在实现在处理器内的非暂时性计算机可读介质(诸如存储器芯片或存储器块)、诸如硬盘或软盘的磁介质以及诸如例如DVD及其数据变体CD的光学介质、磁盘或半导体存储器上。方法步骤可以使用指令来实现,所述指令可操作来使计算机使用处理器和存储器来执行方法步骤。指令可以被存储在任何计算机可读介质(诸如存储器或非易失性存储器)上。
可以借助于一个或更多个数据处理器来提供所需要的数据处理设备。在各端处所描述的功能可以由单独的处理器或者由集成处理器来提供。数据处理器可以是适合于本地技术环境的任何类型,并且作为非限制性示例,可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、门级电路以及基于多核心处理器架构的处理器中的一个或更多个。数据处理可以分布在多个数据处理模块上。可在虚拟化环境中提供处理和/或主机中的至少一些。
可以借助于例如至少一个芯片来提供数据处理器。一个或更多个存储器可以是适合于本地技术环境的任何类型并且可以使用任何适合的数据存储技术来实现,所述数据存储技术诸如基于半导体的存储器装置、磁存储器装置和系统、光学存储器装置和系统、固定存储器和可拆卸存储器。
一般而言,各种实施方式可以用硬件或专用电路、软件、逻辑或其任何组合加以实现。本发明的一些方面可以用硬件加以实现,然而其它方面可以用可以由控制器、微处理器或其它计算装置执行的固件或软件加以实现,但是本发明不限于此。虽然本发明的各个方面可以作为框图、流程图或者使用某个其它图形表示来例示和描述,但是很好理解的是,本文所描述的这些块、设备、系统、技术或方法可以按照各种组合用作为非限制性示例的硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其它计算装置或其某种组合加以实现。
可以为弹性云环境提供集中式和可扩展的访问管理解决方案。可立即进行访问权限更新。可以不需要每主机改变。某些方面支持交互式连接和非交互式(机器到机器)连接两者。
也可在某些应用中提供代理或CA代理服务。CA代理在目标主机处运行。代理可在“按需基于服务器的认证”用例中用于缓存用户的公钥并管理CA通信。在“按需用户提供”用例中用于管理CA通信。
在某些实施方式中NSS(名称服务交换)服务为目标主机提供网络用户信息。NSS服务与标准“pam_mkhomedir”PAM模块一起实现“按需用户提供”。Ordain NSS服务和PAM模块为目标主机提供按需用户提供。
在某些场景中也可以提供SSO代理。SSO代理可用于实现非交互式单点登录功能性,在非用户特权上运行,并且基于例如共享秘密与证书颁发机构(CA)具有信任关系以提供用户认证信息。
根据可能性可使用拦截审计器设备的不同配置。这些可以包括堡垒模式、路由器模式和网桥模式。审计器装置可以嵌入CA客户端(SSH代理)功能性,如此它将看到所颁发的用户证书。用户证书可用SSH特定扩展来注释,使得CA和密码审计器可实施粒度更精细的策略。例如,密码审计器可在认证证书期满之后终止用户的SSH会话。另外,证书可在协议和端口号级别上描述哪些SSH端口转发选项是允许的。证书可描述由密码审计器分组处理引擎实现的详细的会话审计参数。
可按照附图未具体地示出的和/或以上所描述的方式组合以上所讨论的各个方面和特征。
上述描述通过示例性和非限制性示例来提供本发明的示例性实施方式和方面的完全和信息性描述。然而,当结合附图和所附权利要求书阅读时,落入本公开的精神和范围内的各种修改和适配可以变得对于相关领域技术人员而言显而易见。
Claims (28)
1.一种用于在主机与能够访问所述主机的装置之间的计算机化网络中提供安全功能的中间装置,该中间装置包括:
接口设备,该接口设备被配置为与主机和请求访问所述主机的装置通信,使得所述中间装置在所述主机与所述装置之间提供中间节点,以及
控制设备,该控制设备连接到所述接口设备,并且包括至少一个处理器和存储指令的存储器,所述指令当被执行时,使该控制设备:
处理来自装置的对主机的访问请求,
从安全装置获得在所请求的访问中使用的至少一个认证器,并且
监测使用所述至少一个认证器的通信。
2.根据权利要求1所述的中间装置,其中所述认证器包括证书。
3.根据权利要求2所述的中间装置,其中所述控制设备被配置为从证书机构CA请求所述证书。
4.根据权利要求1所述的中间装置,所述控制设备包括认证组件,该认证组件被配置为在向所述安全装置发送对认证器的请求之前,对针对所述主机的所述访问请求进行认证。
5.根据权利要求1所述的中间装置,该中间装置还被配置为:
对来自所述装置的所述访问请求进行接收和认证,其中所述访问请求包含在所述访问请求的所述认证中使用的至少一个第二认证器;
在所述访问请求已基于所述至少一个第二认证器被认证之后,从所述安全装置请求并接收所述至少一个认证器;以及
基于来自所述安全装置的所述至少一个认证器来处理所述装置与所述主机之间的通信。
6.根据权利要求1所述的中间装置,其中所述控制设备被配置为基于针对所述至少一个认证器的使用的至少一个条件来监测所述通信。
7.根据权利要求6所述的中间装置,其中所述控制设备被配置为独立于所述安全装置来设定针对所述至少一个认证器的使用的至少一个条件。
8.根据权利要求6所述的中间装置,其中所述控制设备被配置为从所述安全装置接收针对所述至少一个认证器的使用的至少一个条件的信息。
9.根据权利要求6所述的中间装置,其中所述条件包括认证器的有效期。
10.根据权利要求9所述的中间装置,其中所述有效期比用于从所述装置接收的所述访问请求的认证的第二认证器的有效期短。
11.根据权利要求9所述的中间装置,其中所述控制设备被配置为监测所述认证器的有效期的期满,所述认证器的有效期比以下项中的至少一个短:
从所述安全装置接收的认证器的有效期,
用于从所述装置接收的所述访问请求的认证的第二认证器的有效期,
与所述主机关联地定义的最大会话长度,以及
与所述装置关联地定义的最大会话长度。
12.根据权利要求1所述的中间装置,其中所述控制设备被配置为监测以下项中的至少一个:
所述至少一个认证器的使用,
所述至少一个认证器的用户,
所述装置的行为,
与所述主机关联的事件,
与基于所述至少一个认证器建立的一个或更多个通信会话关联的事件,以及
所述至少一个认证器如何和/或何时被使用。
13.根据权利要求1所述的中间装置,其中所述控制设备还被配置为基于所述监测采取控制动作。
14.根据权利要求11所述的中间装置,其中所述控制装置还被配置为以下项中的至少一个:
为所述装置请求新认证器,
触发警报,
防止通过所述装置访问所述主机,
防止通过所述装置访问至少一个其它主机,
限制通过所述装置访问所述主机或至少一个其它主机,以及
控制基于所述至少一个认证器建立的通信会话的长度。
15.根据权利要求1所述的中间装置,该中间装置被配置为拦截所述装置与主机之间的加密通信。
16.根据权利要求15所述的中间装置,该中间装置被配置为提供数据审计系统的至少一些功能性。
17.一种用于由在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置提供安全功能的方法,该方法包括以下步骤:
在所述中间装置处从装置接收对主机的访问请求,
由所述中间装置获得在所请求的对所述主机的访问中使用的至少一个认证器,以及
由所述中间装置监测使用所述至少一个认证器的通信。
18.根据权利要求17所述的方法,该方法包括以下步骤:从外部安全装置获得至少一个认证器。
19.根据权利要求17所述的方法,其中获得至少一个认证器的步骤包括:从所述中间装置向证书机构发送对证书的请求,并且监测的步骤包括:监测使用所述证书的通信。
20.根据权利要求17所述的方法,该方法包括以下步骤:在发送对所述至少一个认证器的请求之前,基于至少一个第二认证器对针对所述主机的所述访问请求进行认证。
21.根据权利要求17所述的方法,其中所述监测基于关于认证器的使用的至少一个条件。
22.根据权利要求21所述的方法,该方法包括以下步骤中的至少一个:由所述中间装置独立于所述安全装置来设定关于所述认证器的使用的至少一个条件,以及从所述安全装置接收关于所述认证器的使用的至少一个条件的信息。
23.根据权利要求17所述的方法,其中至少一个认证器具有比以下项中的至少一个短的有效期:
用于从所述装置接收的所述访问请求的认证的第二认证器的有效期,
由所述安全装置设定并从所述安全装置接收的至少一个认证器的有效期,
与所述主机关联地定义的最大会话长度,以及
与所述装置关联地定义的最大会话长度。
24.根据权利要求17所述的方法,该方法包括以下步骤:监测以下项中的至少一个:
所述至少一个认证器的使用,
所述至少一个认证器的用户,
所述装置的行为,
与所述主机关联的事件,
与基于所述至少一个认证器建立的一个或更多个通信会话关联的事件,以及
所述至少一个认证器如何和/或何时被使用。
25.根据权利要求17所述的方法,该方法还包括以下步骤:基于所述监测的步骤执行控制动作,该控制动作包括以下项中的至少一个:
为所述装置请求新认证器,
触发警报,
防止通过所述装置访问所述主机,
防止通过所述装置访问至少一个其它主机,
限制通过所述装置访问所述主机或至少一个其它主机,以及
控制基于所述至少一个认证器建立的通信会话的长度。
26.根据权利要求17所述的方法,该方法还包括以下步骤:拦截所述装置与主机之间的加密通信,以及基于所拦截的通信来提供数据审计系统的至少一些功能性。
27.一种包括程序代码的非暂时性计算机可读介质,所述程序代码用于使处理器执行在计算机化网络中位于主机与请求访问所述主机的装置之间的中间装置处实现的安全方法的指令,由所述中间装置执行的所述安全方法包括以下步骤:
从装置接收对主机的访问请求,
获得在所请求的对所述主机的访问中使用的至少一个认证器,以及
监测使用所述至少一个认证器的通信。
28.根据权利要求27所述的非暂时性计算机可读介质,使所述处理器执行用于从外部安全装置获得所述至少一个认证器的指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311156033.0A CN117560170A (zh) | 2016-11-28 | 2017-11-23 | 用于混合计算机网络环境的设备、方法和计算机可读介质 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/361,690 US10951421B2 (en) | 2016-11-28 | 2016-11-28 | Accessing hosts in a computer network |
| US15/361,690 | 2016-11-28 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311156033.0A Division CN117560170A (zh) | 2016-11-28 | 2017-11-23 | 用于混合计算机网络环境的设备、方法和计算机可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108123930A true CN108123930A (zh) | 2018-06-05 |
Family
ID=60480194
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311156033.0A Pending CN117560170A (zh) | 2016-11-28 | 2017-11-23 | 用于混合计算机网络环境的设备、方法和计算机可读介质 |
| CN201711179545.3A Pending CN108123930A (zh) | 2016-11-28 | 2017-11-23 | 访问计算机网络中的主机 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311156033.0A Pending CN117560170A (zh) | 2016-11-28 | 2017-11-23 | 用于混合计算机网络环境的设备、方法和计算机可读介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10951421B2 (zh) |
| EP (1) | EP3328024A1 (zh) |
| CN (2) | CN117560170A (zh) |
| HK (1) | HK1256072A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114189370A (zh) * | 2021-11-30 | 2022-03-15 | 新华三云计算技术有限公司 | 一种访问方法及装置 |
| CN114491452A (zh) * | 2022-01-27 | 2022-05-13 | 中远海运科技股份有限公司 | 面向云主机和云堡垒机实现云资源多账户权限管控的方法 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11316666B2 (en) | 2017-07-12 | 2022-04-26 | Amazon Technologies, Inc. | Generating ephemeral key pools for sending and receiving secure communications |
| US11082412B2 (en) * | 2017-07-12 | 2021-08-03 | Wickr Inc. | Sending secure communications using a local ephemeral key pool |
| US10715504B2 (en) | 2017-07-12 | 2020-07-14 | Wickr Inc. | Provisioning ephemeral key pools for sending and receiving secure communications |
| EP3651427B1 (en) * | 2018-11-12 | 2021-02-17 | Ovh | Systems and methods for connection management |
| US11871308B2 (en) * | 2019-07-29 | 2024-01-09 | TapText llc | System and method for link-initiated dynamic-mode communications |
| US11165817B2 (en) * | 2019-10-24 | 2021-11-02 | Arbor Networks, Inc. | Mitigation of network denial of service attacks using IP location services |
| CN110913024B (zh) * | 2019-12-30 | 2022-02-01 | 中国联合网络通信集团有限公司 | 云平台信息同步方法、系统、控制设备及存储介质 |
| US12099997B1 (en) | 2020-01-31 | 2024-09-24 | Steven Mark Hoffberg | Tokenized fungible liabilities |
| US20220231838A1 (en) * | 2021-01-15 | 2022-07-21 | Micron Technology, Inc. | Server System to Control Memory Devices over Computer Networks |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6026166A (en) * | 1997-10-20 | 2000-02-15 | Cryptoworx Corporation | Digitally certifying a user identity and a computer system in combination |
| US6367009B1 (en) * | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US20030079136A1 (en) * | 2001-08-21 | 2003-04-24 | Emmanuel Ericta | Security framework |
| US20080126794A1 (en) * | 2006-11-28 | 2008-05-29 | Jianxin Wang | Transparent proxy of encrypted sessions |
| CN101951385A (zh) * | 2010-09-30 | 2011-01-19 | 西本新干线股份有限公司 | 电子交易平台服务切换方法 |
| CN102088360A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理系统及其实现方法 |
| CN102088350A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 基于目录服务的授权管理系统及其实现方法 |
| CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
| CN105007279A (zh) * | 2015-08-04 | 2015-10-28 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
| US20160183087A1 (en) * | 2014-12-23 | 2016-06-23 | Ssh Communications Security | Authenticating data communications |
| CN105847226A (zh) * | 2015-01-30 | 2016-08-10 | 株式会社Pfu | 服务器、系统以及访问令牌管理方法 |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7209889B1 (en) | 1998-12-24 | 2007-04-24 | Henry Whitfield | Secure system for the issuance, acquisition, and redemption of certificates in a transaction network |
| US7085931B1 (en) | 1999-09-03 | 2006-08-01 | Secure Computing Corporation | Virtual smart card system and method |
| US20020080190A1 (en) | 2000-12-23 | 2002-06-27 | International Business Machines Corporation | Back-up and usage of secure copies of smart card data objects |
| JP4602606B2 (ja) | 2001-08-15 | 2010-12-22 | ソニー株式会社 | 認証処理システム、認証処理方法、および認証デバイス、並びにコンピュータ・プログラム |
| KR100449484B1 (ko) | 2001-10-18 | 2004-09-21 | 한국전자통신연구원 | 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법 |
| SE0104344D0 (sv) | 2001-12-20 | 2001-12-20 | Au System Ab Publ | System och förfarande |
| US7506368B1 (en) | 2003-02-13 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for network communications via a transparent security proxy |
| US8214884B2 (en) | 2003-06-27 | 2012-07-03 | Attachmate Corporation | Computer-based dynamic secure non-cached delivery of security credentials such as digitally signed certificates or keys |
| JP2005085102A (ja) | 2003-09-10 | 2005-03-31 | Canon Inc | 保証システム |
| US7472277B2 (en) * | 2004-06-17 | 2008-12-30 | International Business Machines Corporation | User controlled anonymity when evaluating into a role |
| US7853995B2 (en) * | 2005-11-18 | 2010-12-14 | Microsoft Corporation | Short-lived certificate authority service |
| CA2531533C (en) | 2005-12-28 | 2013-08-06 | Bce Inc. | Session-based public key infrastructure |
| US7882538B1 (en) * | 2006-02-02 | 2011-02-01 | Juniper Networks, Inc. | Local caching of endpoint security information |
| US8132242B1 (en) | 2006-02-13 | 2012-03-06 | Juniper Networks, Inc. | Automated authentication of software applications using a limited-use token |
| US8015594B2 (en) | 2006-03-17 | 2011-09-06 | Cisco Technology, Inc. | Techniques for validating public keys using AAA services |
| PL2011301T3 (pl) | 2006-04-10 | 2011-11-30 | Trust Integration Services B V | System i sposób bezpiecznej transmisji danych |
| US8166308B2 (en) | 2006-07-18 | 2012-04-24 | Certicom Corp. | System and method for authenticating a gaming device |
| US8181227B2 (en) * | 2006-08-29 | 2012-05-15 | Akamai Technologies, Inc. | System and method for client-side authenticaton for secure internet communications |
| US7469151B2 (en) | 2006-09-01 | 2008-12-23 | Vivotech, Inc. | Methods, systems and computer program products for over the air (OTA) provisioning of soft cards on devices with wireless communications capabilities |
| US8402514B1 (en) | 2006-11-17 | 2013-03-19 | Network Appliance, Inc. | Hierarchy-aware role-based access control |
| US20090037729A1 (en) | 2007-08-03 | 2009-02-05 | Lawrence Smith | Authentication factors with public-key infrastructure |
| US20090132813A1 (en) | 2007-11-08 | 2009-05-21 | Suridx, Inc. | Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones |
| US8539562B2 (en) | 2010-12-09 | 2013-09-17 | International Business Machines Corporation | Automated management of system credentials |
| US8843750B1 (en) | 2011-01-28 | 2014-09-23 | Symantec Corporation | Monitoring content transmitted through secured communication channels |
| US8683562B2 (en) | 2011-02-03 | 2014-03-25 | Imprivata, Inc. | Secure authentication using one-time passwords |
| US20130041830A1 (en) | 2011-08-09 | 2013-02-14 | Ravi Singh | Methods and apparatus to provision payment services |
| DE102011082101B4 (de) | 2011-09-02 | 2018-02-22 | Bundesdruckerei Gmbh | Verfahren zur Erzeugung eines Soft-Tokens, Computerprogrammprodukt und Dienst-Computersystem |
| US20140040139A1 (en) | 2011-12-19 | 2014-02-06 | Sequent Software, Inc. | System and method for dynamic temporary payment authorization in a portable communication device |
| US9008316B2 (en) | 2012-03-29 | 2015-04-14 | Microsoft Technology Licensing, Llc | Role-based distributed key management |
| US8713658B1 (en) * | 2012-05-25 | 2014-04-29 | Graphon Corporation | System for and method of providing single sign-on (SSO) capability in an application publishing environment |
| US20140282976A1 (en) * | 2013-03-15 | 2014-09-18 | Netop Solutions A/S | System and method for secure application communication between networked processors |
| US9003196B2 (en) | 2013-05-13 | 2015-04-07 | Hoyos Labs Corp. | System and method for authorizing access to access-controlled environments |
| US9369279B2 (en) | 2013-09-23 | 2016-06-14 | Venafi, Inc. | Handling key rotation problems |
| US9369282B2 (en) * | 2014-01-29 | 2016-06-14 | Red Hat, Inc. | Mobile device user authentication for accessing protected network resources |
| US10396984B2 (en) | 2014-05-02 | 2019-08-27 | Barclays Services Limited | Apparatus and system having multi-party cryptographic authentication |
| US10021088B2 (en) | 2014-09-30 | 2018-07-10 | Citrix Systems, Inc. | Fast smart card logon |
| WO2017004466A1 (en) | 2015-06-30 | 2017-01-05 | Visa International Service Association | Confidential authentication and provisioning |
| US10419452B2 (en) * | 2015-07-28 | 2019-09-17 | Sap Se | Contextual monitoring and tracking of SSH sessions |
| EP3394810A4 (en) | 2015-12-23 | 2019-08-07 | LG Electronics Inc. -1- | MOBILE DEVICE AND METHOD OF OPERATION |
| US10645577B2 (en) | 2016-07-15 | 2020-05-05 | Avago Technologies International Sales Pte. Limited | Enhanced secure provisioning for hotspots |
| US10764263B2 (en) * | 2016-11-28 | 2020-09-01 | Ssh Communications Security Oyj | Authentication of users in a computer network |
-
2016
- 2016-11-28 US US15/361,690 patent/US10951421B2/en active Active
-
2017
- 2017-11-23 CN CN202311156033.0A patent/CN117560170A/zh active Pending
- 2017-11-23 CN CN201711179545.3A patent/CN108123930A/zh active Pending
- 2017-11-24 EP EP17203652.7A patent/EP3328024A1/en active Pending
-
2018
- 2018-11-27 HK HK18115133.6A patent/HK1256072A1/zh unknown
-
2021
- 2021-01-21 US US17/154,648 patent/US12101416B2/en active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6026166A (en) * | 1997-10-20 | 2000-02-15 | Cryptoworx Corporation | Digitally certifying a user identity and a computer system in combination |
| US6367009B1 (en) * | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US20030079136A1 (en) * | 2001-08-21 | 2003-04-24 | Emmanuel Ericta | Security framework |
| US20080126794A1 (en) * | 2006-11-28 | 2008-05-29 | Jianxin Wang | Transparent proxy of encrypted sessions |
| CN102088360A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理系统及其实现方法 |
| CN102088350A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 基于目录服务的授权管理系统及其实现方法 |
| CN101951385A (zh) * | 2010-09-30 | 2011-01-19 | 西本新干线股份有限公司 | 电子交易平台服务切换方法 |
| CN103716326A (zh) * | 2013-12-31 | 2014-04-09 | 华为技术有限公司 | 一种资源访问方法及用户资源网关 |
| US20160183087A1 (en) * | 2014-12-23 | 2016-06-23 | Ssh Communications Security | Authenticating data communications |
| CN105847226A (zh) * | 2015-01-30 | 2016-08-10 | 株式会社Pfu | 服务器、系统以及访问令牌管理方法 |
| CN105007279A (zh) * | 2015-08-04 | 2015-10-28 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114189370A (zh) * | 2021-11-30 | 2022-03-15 | 新华三云计算技术有限公司 | 一种访问方法及装置 |
| CN114491452A (zh) * | 2022-01-27 | 2022-05-13 | 中远海运科技股份有限公司 | 面向云主机和云堡垒机实现云资源多账户权限管控的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3328024A1 (en) | 2018-05-30 |
| US12101416B2 (en) | 2024-09-24 |
| US20210144015A1 (en) | 2021-05-13 |
| US10951421B2 (en) | 2021-03-16 |
| HK1256072A1 (zh) | 2019-09-13 |
| CN117560170A (zh) | 2024-02-13 |
| US20180152299A1 (en) | 2018-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108123930A (zh) | 访问计算机网络中的主机 | |
| US10303871B2 (en) | System and method for controlling state tokens | |
| US6985953B1 (en) | System and apparatus for storage and transfer of secure data on web | |
| US7444666B2 (en) | Multi-domain authorization and authentication | |
| US8549300B1 (en) | Virtual single sign-on for certificate-protected resources | |
| US7437550B2 (en) | System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data | |
| CN104054321B (zh) | 针对云服务的安全管理 | |
| US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
| EP1724987A1 (en) | System and method for encrypted communication | |
| US9122865B2 (en) | System and method to establish and use credentials for a common lightweight identity through digital certificates | |
| CN105122265B (zh) | 数据安全服务系统 | |
| JP7109909B2 (ja) | コンピュータネットワーク内のユーザの認証 | |
| ES2875963T3 (es) | Método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos | |
| JP2009514072A (ja) | コンピュータ資源への安全なアクセスを提供する方法 | |
| US20070255815A1 (en) | Software, Systems, and Methods for Secure, Authenticated Data Exchange | |
| CN107872455A (zh) | 一种跨域单点登录系统及其方法 | |
| EP3328025B1 (en) | Accessing hosts in a hybrid computer network | |
| CN105681030A (zh) | 密钥管理系统、方法及装置 | |
| US20170104748A1 (en) | System and method for managing network access with a certificate having soft expiration | |
| US6795920B1 (en) | Vault controller secure depositor for managing secure communication | |
| Singh et al. | Dynamic federation in identity management for securing and sharing personal health records in a patient centric model in cloud | |
| Railkar et al. | Proposed identity and access management in future internet (IAMFI): a behavioral modeling approach | |
| Nandhakumar et al. | Non repudiation for internet access by using browser based user authentication mechanism | |
| Khorasani et al. | SDSuPK: Secured data sharing using proxy Kerberos to improve Openstack Swift security | |
| Primc | Naslavljanje overovljenih identitet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180605 |