專利名稱:用于分布式混合企業(yè)的靈活端點(diǎn)順從和強(qiáng)認(rèn)證的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于分布式混合企業(yè)的靈活端點(diǎn)順從和強(qiáng)認(rèn)證�。
背景技術(shù):
云計(jì)算成為日益流行的范例,在云計(jì)算中�,通過一個(gè)或多個(gè)網(wǎng)絡(luò)將諸如軟件,硬件����,以及數(shù)據(jù)存儲(chǔ)之類的計(jì)算資源作為服務(wù)提供給遠(yuǎn)程計(jì)算機(jī)。這些資源在多個(gè)實(shí)體之間分享�,并且由每個(gè)實(shí)體按要求進(jìn)行訪問。在典型的商業(yè)排列中�����,支持資源的物理基礎(chǔ)設(shè)施 (例如���,服務(wù)器,存儲(chǔ)系統(tǒng)��,通信基礎(chǔ)設(shè)施等等)由云計(jì)算提供商擁有和/或操作,云計(jì)算提供商根據(jù)達(dá)成一致的服務(wù)級(jí)和計(jì)帳方法來將資源作為服務(wù)通過因特網(wǎng)遞送給客戶����。這個(gè)范例對(duì)許多企業(yè)有吸引力,原因是它以低的在前資本支出提供對(duì)計(jì)算的就緒訪問和存儲(chǔ)能力��。即使對(duì)于具有靈活資本預(yù)算的大型企業(yè)��,云計(jì)算是一種用來滿足需求尖峰的成本效率選項(xiàng)�����。當(dāng)企業(yè)將其數(shù)據(jù)和/或應(yīng)用中的更多個(gè)遷移至云(例如��,將主存在云計(jì)算提供商的通過因特網(wǎng)可到達(dá)的服務(wù)器上)時(shí)���,新的安全質(zhì)詢出現(xiàn)了�����。例如��,最好是根據(jù)在企業(yè)自己管理的網(wǎng)絡(luò)中實(shí)施的相同的訪問控制策略�,企業(yè)可能希望將對(duì)主存在云服務(wù)器上的資源的訪問限于經(jīng)授權(quán)用戶�����。圖1示出了控制訪問在云中主存的資源的常規(guī)解決方案。在這個(gè)示例中�,多個(gè)應(yīng)用(例如,110A�,110B,…)和數(shù)據(jù)存儲(chǔ)器(例如�,115A,115B����,…)被主存在云設(shè)備105處的一個(gè)或多個(gè)服務(wù)器上。這些應(yīng)用和數(shù)據(jù)存儲(chǔ)器中的一個(gè)或多個(gè)代表可作為云設(shè)備105的客戶的企業(yè)而被主存��。企業(yè)還操作具有一個(gè)或多個(gè)服務(wù)器(例如�����,180A�����,180B�,…)的它自己的內(nèi)部網(wǎng)絡(luò)155�����,該一個(gè)或多個(gè)服務(wù)器提供了與云中主存的服務(wù)相同或不同的服務(wù)。雖然未示出�,但是,企業(yè)網(wǎng)絡(luò)155可包括諸如客戶計(jì)算機(jī)和存儲(chǔ)設(shè)備之類的其它網(wǎng)絡(luò)設(shè)備��。當(dāng)企業(yè)的雇員(例如����,用戶195)希望訪問企業(yè)資源(例如,檢查他的電子郵件��, 運(yùn)行商業(yè)應(yīng)用�,從公司的數(shù)據(jù)庫(kù)中檢索文檔等等)時(shí),他被提醒使用他的計(jì)算機(jī)(例如�����,客戶計(jì)算機(jī)190)來經(jīng)歷認(rèn)證過程��,以證明他是他聲稱的那個(gè)人�。視企業(yè)的安全需要,認(rèn)證過程或多或少是苛刻的�����。例如,如果用戶試圖從企業(yè)網(wǎng)絡(luò)155外部的連接點(diǎn)訪問企業(yè)網(wǎng)絡(luò) 155(例如����,服務(wù)器180A,180B�,…中的一個(gè))內(nèi)部的服務(wù)器提供的服務(wù),則他被提醒向企業(yè)認(rèn)證服務(wù)器160標(biāo)識(shí)他自己(例如�,通過提供他的用戶名),并且提供認(rèn)證服務(wù)器160可用來驗(yàn)證他的身份的一個(gè)或多個(gè)用戶憑證(例如�,口令)。認(rèn)證服務(wù)器進(jìn)一步判斷用戶是否被授權(quán)來訪問所請(qǐng)求的服務(wù)�,例如,根據(jù)一個(gè)或多個(gè)企業(yè)訪問策略和企業(yè)組織等級(jí)中用戶的角色�。另外,如果用戶195希望使用客戶計(jì)算機(jī)190連到企業(yè)網(wǎng)絡(luò)155上��,則他被提醒經(jīng)歷端點(diǎn)順從檢查過程�����。例如��,用戶被提醒將關(guān)于客戶計(jì)算機(jī)190的健康聲明提供給健康策略服務(wù)器(示未出)�。基于健康聲明����,健康策略服務(wù)器驗(yàn)證一個(gè)或多個(gè)保護(hù)部件是否安裝在客戶計(jì)算機(jī)190上,并且如果是����,驗(yàn)證他們是否被恰當(dāng)?shù)嘏渲煤筒僮鳌@?��,健康策略服?wù)器檢查是否安裝了一個(gè)或多個(gè)補(bǔ)丁來修補(bǔ)操作系統(tǒng)部件中的弱點(diǎn)�����。作為另一個(gè)示例����,健康策略服務(wù)器可檢查是否安裝了并且采用恰當(dāng)?shù)牟僮鲄?shù)配置了諸如個(gè)人防火墻或防病毒程序之類的保護(hù)軟件工具�����。如果用戶試圖訪問云中主存的服務(wù)����,他被提醒用云認(rèn)證服務(wù)器120經(jīng)歷認(rèn)證過程,云認(rèn)證服務(wù)器120可復(fù)制企業(yè)認(rèn)證服務(wù)器160的一些或所有訪問控制功能���。例如��,云認(rèn)證服務(wù)器120可復(fù)制企業(yè)身份管理和訪問策略基礎(chǔ)設(shè)施�����,所以����,它以與企業(yè)認(rèn)證服務(wù)器160 相同的方式做出決定。
發(fā)明內(nèi)容
提供了系統(tǒng)�,方法和裝置,用來控制訪問云中主存的資源�,而無需將企業(yè)的身份管理和訪問策略基礎(chǔ)設(shè)施復(fù)制給云。在一些實(shí)施例中�,云設(shè)備將用戶認(rèn)證和/或授權(quán)任務(wù)委托給在企業(yè)管理的網(wǎng)絡(luò)中部署的訪問網(wǎng)關(guān)。訪問網(wǎng)關(guān)可訪問企業(yè)的內(nèi)部身份管理和訪問策略基礎(chǔ)設(shè)施���,并且可因用戶請(qǐng)求訪問云中主存的資源而執(zhí)行訪問控制協(xié)議�����。訪問網(wǎng)關(guān)的訪問控制決定可被封裝到安全令牌里����,該安全令牌由云設(shè)備處訪問控制部件信任的安全令牌服務(wù)生成。用戶可將這個(gè)令牌提交給云中的訪問控制部件����,作為他被授權(quán)訪問所請(qǐng)求的資源的證據(jù)����。如果訪問控制部件成功地驗(yàn)證了安全令牌,則準(zhǔn)許用戶訪問資源�。訪問網(wǎng)關(guān)使用各種技術(shù)來認(rèn)證和/或授權(quán)用戶。例如����,訪問網(wǎng)關(guān)提醒用戶經(jīng)歷多因素認(rèn)證過程,藉此用戶可基于至少兩個(gè)獨(dú)立的因素來向訪問網(wǎng)關(guān)證明他的身份�。作為另一個(gè)示例,訪問網(wǎng)關(guān)將一個(gè)或多個(gè)企業(yè)訪問控制策略應(yīng)用于用戶身份和所請(qǐng)求的資源����,以確定是否應(yīng)該準(zhǔn)許或拒絕用戶的訪問請(qǐng)求。作為再一個(gè)示例�����,訪問網(wǎng)關(guān)提醒用戶將他的計(jì)算機(jī)提交給健康檢查。在一些實(shí)施例中����,提供了一種方法,該方法供客戶計(jì)算機(jī)用來訪問至少一個(gè)服務(wù)提供商控制的至少一個(gè)服務(wù)器所主存的至少一個(gè)資源���。該方法包括向由不同于至少一個(gè)服務(wù)提供商的至少一個(gè)企業(yè)控制的訪問控制網(wǎng)關(guān)發(fā)送與客戶計(jì)算機(jī)的用戶相關(guān)聯(lián)的認(rèn)證信息和關(guān)于客戶計(jì)算機(jī)的健康聲明�����;從訪問控制網(wǎng)關(guān)接收安全令牌�����;將從訪問控制網(wǎng)關(guān)接收到的安全令牌發(fā)送給主存至少一個(gè)資源的至少一個(gè)服務(wù)器����;以及從至少一個(gè)服務(wù)器訪問至少一個(gè)資源�����。在一些另外的實(shí)施例中�,提供了一種客戶計(jì)算機(jī),該客戶計(jì)算機(jī)用于訪問由至少一個(gè)服務(wù)提供商控制的至少一個(gè)服務(wù)器所主存的至少一個(gè)資源�����。客戶計(jì)算機(jī)包括至少一個(gè)處理器�,該至少一個(gè)處理器被編程為向由不同于至少一個(gè)服務(wù)提供商的至少一個(gè)企業(yè)控制的訪問控制網(wǎng)關(guān)發(fā)送聲稱指示客戶計(jì)算機(jī)被授權(quán)訪問至少一個(gè)資源的訪問請(qǐng)求信息;從訪問控制網(wǎng)關(guān)接收安全令牌�;將從訪問控制網(wǎng)關(guān)接收到的安全令牌發(fā)送給主存至少一個(gè)資源的至少一個(gè)服務(wù)器;以及從至少一個(gè)服務(wù)器訪問至少一個(gè)資源��。在再一些另外的實(shí)施例中�,提供了其上編碼有指令的至少一種非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)���,當(dāng)指令由至少一個(gè)處理器執(zhí)行時(shí)��,執(zhí)行一種供至少一個(gè)企業(yè)控制的訪問網(wǎng)關(guān)使用的方法�����。該方法包括從客戶計(jì)算機(jī)接收聲稱指示客戶計(jì)算機(jī)被授權(quán)訪問由至少一個(gè)服務(wù)器主存的至少一個(gè)資源的訪問請(qǐng)求信息�,該至少一個(gè)服務(wù)器由不同于至少一個(gè)企業(yè)的至少一個(gè)服務(wù)提供商控制�;至少部分地基于訪問請(qǐng)求信息來確定客戶計(jì)算機(jī)是否被授權(quán)訪問至少一個(gè)資源,如果確定客戶計(jì)算機(jī)被授權(quán)訪問至少一個(gè)資源�,則從至少一個(gè)服務(wù)器信任的安全令牌服務(wù)請(qǐng)求安全令牌;以及將安全令牌發(fā)送給客戶計(jì)算機(jī)��,該安全令牌將被呈現(xiàn)給至少一個(gè)服務(wù)器以獲得對(duì)至少一個(gè)資源的訪問。前面是本發(fā)明的非限制性概述��,它由所附權(quán)利要求來限定����。
附圖并不旨在按比例繪制。為了清楚起見��,并不是每一個(gè)部件在每一張附圖中都做出標(biāo)記圖1示出了控制訪問云中主存的資源的常規(guī)解決方案���;圖2示出了根據(jù)一些實(shí)施例的控制訪問云中主存的資源的示例系統(tǒng)��;圖3示出了根據(jù)一些實(shí)施例的客戶計(jì)算機(jī)����、客戶計(jì)算機(jī)所請(qǐng)求的主存資源�����、以及主存資源信任的云安全令牌服務(wù)(security token service (STS))之間的示例性交互序列���;圖4示出了根據(jù)一些實(shí)施例的客戶計(jì)算機(jī)���,企業(yè)STS��,以及公布企業(yè)STS的企業(yè)訪問網(wǎng)關(guān)之間的示例性交互序列�����;以及圖5示意性地示出了示例計(jì)算機(jī)�����,在它上面實(shí)現(xiàn)了本公開的各個(gè)發(fā)明方面����。
具體實(shí)施例方式發(fā)明人認(rèn)識(shí)到和意識(shí)到控制訪問云中主存的資源的現(xiàn)有解決方案存在許多缺點(diǎn)��。 例如���,復(fù)制企業(yè)的身份管理和云中的訪問策略基礎(chǔ)設(shè)施的常規(guī)方法十分昂貴,特別是對(duì)于具有大量雇員和/或?qū)崿F(xiàn)復(fù)雜的訪問控制策略的企業(yè)�����。另外�����,當(dāng)云中的復(fù)制基礎(chǔ)設(shè)施不再與企業(yè)的內(nèi)部網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施同步時(shí),資源的安全受到威脅��。例如����,在復(fù)制基礎(chǔ)設(shè)施與內(nèi)部基礎(chǔ)設(shè)施同步之前,具有撤銷或期滿的特權(quán)的用戶在時(shí)間窗期間能夠訪問云中主存的資源���。因此�����,復(fù)制身份管理和訪問策略基礎(chǔ)設(shè)施需要經(jīng)常地更新�,以維持它的有效性�,這樣增加了云中主存資源的成本。而且����,企業(yè)不愿意將它的身份管理和訪問策略基礎(chǔ)設(shè)施委托給云設(shè)備,原因是對(duì)那些信息的妥協(xié)會(huì)導(dǎo)致未經(jīng)授權(quán)地訪問所有企業(yè)服務(wù)��,甚至那些不是云中主存的服務(wù)(例如���,在企業(yè)的管理網(wǎng)絡(luò)內(nèi)部的服務(wù)器提供的服務(wù))��。相反��,企業(yè)可試圖只將基礎(chǔ)設(shè)施里與控制訪問云中主存的資源相關(guān)的部分復(fù)制給云��。這種方法涉及基礎(chǔ)設(shè)施的一些重新設(shè)計(jì)�,并且再次地,實(shí)現(xiàn)起來是十分昂貴的�。簡(jiǎn)而言之,發(fā)明人認(rèn)識(shí)到和意識(shí)到建立和/或維持用來控制訪問云中主存的資源的常規(guī)解決方案十分昂貴�����,并且常規(guī)解決方案不能提供另人滿意的安全保證級(jí)別�。因此,在一些公開的實(shí)施例中��,提供了系統(tǒng)�,方法和裝置�,用來控制訪問在云中主存資源,無需將企業(yè)的身份管理和訪問策略基礎(chǔ)設(shè)施復(fù)制到云�。例如,在一些實(shí)施例中�����,可提供了訪問網(wǎng)關(guān)部件,以實(shí)現(xiàn)按照常規(guī)由云中的認(rèn)證服務(wù)器(例如��,圖1所示的云認(rèn)證服務(wù)器120)實(shí)現(xiàn)的一些訪問控制功能���。訪問網(wǎng)關(guān)可在由企業(yè)(例如���,圖1所示的企業(yè)網(wǎng)絡(luò)155)控制的內(nèi)部網(wǎng)絡(luò)中部署,并且可訪問企業(yè)現(xiàn)有的身份管理和訪問策略基礎(chǔ)設(shè)施(例如�����,通過諸如企業(yè)認(rèn)證服務(wù)器160之類的現(xiàn)有認(rèn)證服務(wù)器)����。 替換地,訪問網(wǎng)關(guān)在也由企業(yè)管理的非武裝區(qū)(demilitarized zone (DMZ))中部署�,但是可通過一個(gè)或多個(gè)防火墻與內(nèi)部網(wǎng)絡(luò)相隔離。在一些實(shí)施例中�,訪問網(wǎng)關(guān)因用戶請(qǐng)求訪問云中主存的資源而執(zhí)行訪問控制協(xié)議,并且向云中部署的一個(gè)或多個(gè)訪問控制部件傳送協(xié)議結(jié)果�,訪問網(wǎng)關(guān)最終準(zhǔn)許或拒絕訪問所請(qǐng)求的資源。例如����,如果用戶成功地完成了訪問請(qǐng)求序列���,則訪問網(wǎng)關(guān)給用戶提供了安全令牌,用戶將安全令牌呈現(xiàn)給云中的訪問控制部件����,作為用戶被授權(quán)訪問所請(qǐng)求的資源的證據(jù)。在準(zhǔn)許訪問之前���,云中的訪問控制部件可驗(yàn)證安全令牌由本身是訪問網(wǎng)關(guān)的獲信任實(shí)體或訪問網(wǎng)關(guān)從中獲取安全令牌的一些其它實(shí)體生成���。例如,在一些實(shí)施例中�,根據(jù)活動(dòng)目錄聯(lián)合服務(wù)(Active Directory Federation Services (ADFS))標(biāo)準(zhǔn)(例如,ADFS 第二版)或使用SAML協(xié)議�,可實(shí)現(xiàn)云中的訪問控制部件和生成安全令牌的實(shí)體之間的信任關(guān)系。訪問網(wǎng)關(guān)使用各種技術(shù)認(rèn)證用戶�����。例如�,在一些實(shí)施例中,訪問網(wǎng)關(guān)可提醒用戶經(jīng)歷多因素認(rèn)證過程���,通過多因素認(rèn)證過程�,用戶基于至少兩個(gè)獨(dú)立的因素來向訪問網(wǎng)關(guān)證明他的身份�����。因素的例子包括��,但并不限定于�����,一段秘密信息(例如�,口令,通行短語���,或隨機(jī)產(chǎn)生的密鑰)����,唯一性物理對(duì)象(例如��,護(hù)照���,信用卡���,智能卡�����,或硬件令牌)����,以及用戶的一些個(gè)人物理特征(例如��,指紋���,聲音印記�����,臉部輪廓�����,虹膜掃描等等)�����。授權(quán)所使用的因素的數(shù)目和類型視與未經(jīng)授權(quán)的訪問相關(guān)聯(lián)的危險(xiǎn)(例如���,如通過可能是由未經(jīng)授權(quán)的訪問的實(shí)例導(dǎo)致的結(jié)果的損害程度所測(cè)量)而定��。除了認(rèn)證用戶,訪問網(wǎng)關(guān)使用各種技術(shù)來確定用戶是否被授權(quán)來訪問所請(qǐng)求的資源���。例如���,在一些實(shí)施例中,訪問網(wǎng)關(guān)將一個(gè)或多個(gè)企業(yè)訪問控制策略應(yīng)用于用戶身份和所請(qǐng)求的資源����,從而確定是應(yīng)該準(zhǔn)許還是拒絕訪問請(qǐng)求。例如����,訪問網(wǎng)關(guān)檢查用戶是否是企業(yè)內(nèi)部的采購(gòu)員,并且由此����,被授權(quán)運(yùn)行企業(yè)資源計(jì)劃(Enterprise Resource Planning (ERP))應(yīng)用。作為另一個(gè)示例�,在準(zhǔn)許用戶訪問能夠執(zhí)行銀行轉(zhuǎn)賬的應(yīng)用之前,訪問網(wǎng)關(guān)可要求用戶經(jīng)歷多因素(例如�,2因素)認(rèn)證��。在一些另外的實(shí)施例中����,訪問網(wǎng)關(guān)提醒用戶將他的計(jì)算機(jī)(例如�,客戶計(jì)算機(jī) 195)提交給健康檢查,來作為認(rèn)證過程的部分�。例如,計(jì)算機(jī)在它上面安裝了一個(gè)或多個(gè)健康代理����,這些健康代理被編程為收集關(guān)于計(jì)算機(jī)的配置和/或操作狀態(tài)信息。將收集到的信息格式化成健康說明��,后者可被傳送給訪問網(wǎng)關(guān)進(jìn)行檢查�。作為更為具體的示例,根據(jù)美國(guó)華盛頓州雷德蒙市的微軟公司提供的網(wǎng)絡(luò)訪問保護(hù)""(Network Access Protection (NAP))框架��,可實(shí)現(xiàn)機(jī)器健康檢查�����。如在此所使用�����,術(shù)語“企業(yè)”指具有由用戶遠(yuǎn)程訪問的一個(gè)或多個(gè)計(jì)算資源的任何實(shí)體。在企業(yè)控制的一個(gè)或多個(gè)內(nèi)部服務(wù)器和/或云計(jì)算提供商控制的一個(gè)或多個(gè)云服務(wù)器上主存這些計(jì)算資源����。企業(yè)的例子包括,但并不限定于���,企業(yè),非贏利組織��,大學(xué)�,以及政府實(shí)體。此外�����,如果實(shí)體參與操作���,維持����,掌管�����,和/或管理系統(tǒng)部件,則系統(tǒng)部件(例如���,硬件或軟件部件)由實(shí)體來控制����。實(shí)體可能擁有或可能不擁有系統(tǒng)部件或者具有對(duì)其的排他性控制��,并且物理上��,系統(tǒng)部件可能在��,或可能不在實(shí)體的基地上����。術(shù)語“安全令牌”(或,簡(jiǎn)單地“令牌”)可以指為了用戶認(rèn)證和/或授權(quán)的目的而使用的任何適合的信息組���。例如���,令牌包括標(biāo)識(shí)用戶的信息,他的屬性和/或他的訪問許可����。這些信息可被表達(dá)為一個(gè)或多個(gè)安全斷言標(biāo)記語言(SAML)斷言(例如��,根據(jù)SAML 2.0 版)��。然而�����,封裝這些信息的任何方式也是適合的����,因?yàn)榕c安全令牌的內(nèi)容和/或格式相關(guān)的發(fā)明方面并不限定于使用任何特定語言或標(biāo)準(zhǔn)��。下列是與用來控制訪問云中主存的資源的發(fā)明系統(tǒng)�����,方法和裝置相關(guān)的各種概念和實(shí)施例的更為具體的描述�����。應(yīng)該了解�,由于所公開的概念并不限定于任何特定的實(shí)現(xiàn)方式�����,如上介紹和如下更為具體地論述的各種概念可以許多方式中的任何方式來實(shí)現(xiàn)。例如�����, 由于其它排列也是適合的����,本公開并不限定于各個(gè)附圖中所示的部件的特定排列。特定實(shí)現(xiàn)和應(yīng)用的這些示例只提供用于示例性的目的���。圖2示出了根據(jù)本公開的一些實(shí)施例的用于控制訪問云中主存的資源的示例系統(tǒng)��。在這個(gè)示例中����,訪問網(wǎng)關(guān)部件260在企業(yè)的內(nèi)部網(wǎng)絡(luò)155中部署�。如上所論述,在替換的實(shí)施例中����,訪問網(wǎng)關(guān)部件260在企業(yè)管理的網(wǎng)絡(luò)的非武裝區(qū)中部署,通過一個(gè)或多個(gè)防火墻與內(nèi)部網(wǎng)絡(luò)155相隔離�����。在任一配置中,訪問網(wǎng)關(guān)部件260可在由企業(yè)控制的網(wǎng)絡(luò)領(lǐng)域中部署��,并且可直接地(例如���,直接訪問存儲(chǔ)用戶身份信息和/或訪問策略的一個(gè)或多個(gè)數(shù)據(jù)庫(kù))或通過一個(gè)或多個(gè)內(nèi)部服務(wù)器(例如���,如圖2所示的企業(yè)認(rèn)證服務(wù)器160)間接地訪問企業(yè)的身份管理和訪問策略基礎(chǔ)設(shè)施,這取決于企業(yè)的受管理網(wǎng)絡(luò)的系統(tǒng)拓?fù)?。在這種方式中,訪問網(wǎng)關(guān)部件能夠在企業(yè)的安全域中認(rèn)證用戶��,并且確定用戶是否被授權(quán)訪問所請(qǐng)求的企業(yè)資源��。在圖2所示的示例中�����,訪問網(wǎng)關(guān)部件260訪問企業(yè)安全令牌服務(wù)(Security Token ServiCe(STS))270����,企業(yè)安全令牌服務(wù)270可以是任何適合的網(wǎng)絡(luò)部件——配置成發(fā)出云設(shè)備105處的訪問控制部件所信任的安全令牌��,例如��,云STS 220。雖然企業(yè)STS 270和云 STS 220可駐留在兩個(gè)不同的安全域(例如���,分別用于企業(yè)和云設(shè)備的域)中����,但是�,可使用適合的聯(lián)合身份框架(例如,ADFS第二版)建立從云STS 220到企業(yè)STS 270的跨域信任關(guān)系��。這種信任關(guān)系允許云設(shè)備105將用戶認(rèn)證和/或授權(quán)任務(wù)委托給企業(yè)域中的訪問網(wǎng)關(guān)部件260���。例如��,與在云中執(zhí)行認(rèn)證和/或授權(quán)不同�,認(rèn)證和/或授權(quán)可由企業(yè)網(wǎng)絡(luò)155中的訪問網(wǎng)關(guān)部件260執(zhí)行���,并且結(jié)果被封裝在企業(yè)STS 270產(chǎn)生的安全令牌中��。因?yàn)樵芐TS 220信任企業(yè)STS 270�,所以���,基于安全令牌中包含的信息準(zhǔn)許或拒絕訪問云中主存的資源�����。例如���,如果安全令牌包含用戶(例如���,用戶195)被授權(quán)訪問特定資源的斷言且云STS 220驗(yàn)證令牌的確是由企業(yè)STS 270產(chǎn)生的,則云STS 220準(zhǔn)許用戶訪問資源����,無需獨(dú)立地實(shí)施用戶認(rèn)證和/或授權(quán)。由于在此所公開的發(fā)明概念并不限于任何特定配置和/或各方之間的交互序列���, 因此用戶195���,云設(shè)備105和訪問網(wǎng)關(guān)部件260之間的精確交互可以任何適合的方式來實(shí)現(xiàn)。例如�����,在一些實(shí)施例中��,當(dāng)用戶195希望訪問一個(gè)或多個(gè)云服務(wù)器(例如����,應(yīng)用110A, 110B�����,···�,或數(shù)據(jù)存儲(chǔ)115A,115B�����,…中的一個(gè))上主存的資源時(shí)����,他可首先聯(lián)系云設(shè)備105。 基于接收請(qǐng)求��,主存所請(qǐng)求的資源的服務(wù)器可將用戶195重定向到服務(wù)器所信任的STS���,例如����,云STS220。在一些實(shí)現(xiàn)(例如�,根據(jù)SAML體系結(jié)構(gòu))中,云STS 220可以是主存所請(qǐng)求的資源的服務(wù)器所信任的僅有的STS��,且也可以具有關(guān)于用戶195可被進(jìn)一步重定向至的其它獲信任STS的信息�����。例如���,云STS 220把用戶195重定向至云STS 220所信任的企業(yè) STS 270�����。應(yīng)該了解��,只要每次用戶195被重定向至不同STS時(shí)保持信任關(guān)系���,可以重定向用戶195任何次數(shù)。就是說����,僅當(dāng)?shù)谝?STS信任第二 STS,第一 STS才可將用戶195重定向至第二 STS�����。替換地�,用戶195可能完全不被重定向至任何中間STS。替代地�����,假定服務(wù)器信任企業(yè)STS 270���,主存所請(qǐng)求的資源的服務(wù)器可立刻把用戶195重定向至企業(yè)STS 270�����。
在圖2所示的示例中���,企業(yè)STS 270由訪問網(wǎng)關(guān)部件260 “公布”(例如,使得可從諸如因特網(wǎng)的外部網(wǎng)絡(luò)訪問)���。這種配置允許訪問網(wǎng)關(guān)部件沈0截取定向至企業(yè)STS 270的任何通信�。例如����,當(dāng)用戶195從云STS 220被重定向至企業(yè)STS 270時(shí)���,訪問網(wǎng)關(guān)部件260 可截取那個(gè)通信,并且就用戶195啟動(dòng)訪問控制協(xié)議�����。只有在用戶195根據(jù)訪問控制協(xié)議圓滿地完成了訪問請(qǐng)求序列之后���,訪問網(wǎng)關(guān)部件260才可從企業(yè)STS 270請(qǐng)求安全令牌��,因此�����,安全令牌作為用戶195被訪問網(wǎng)關(guān)部件260正確地認(rèn)證和/或授權(quán)的證據(jù)����。再次����,由于其它序列和/或類型的交互也是適合的,因此用戶195�,云設(shè)備105和訪問網(wǎng)關(guān)部件260之間如上所述的交互只是示例性的。例如�����,在替換的實(shí)施例中,當(dāng)用戶195 希望訪問云中主存的資源時(shí)����,他可直接聯(lián)系訪問網(wǎng)關(guān)部件260�,而無需被云中的任何部件重定向。如上所論述����,由于在此所公開的發(fā)明概念并不限定于任何特定訪問控制技術(shù),訪問網(wǎng)關(guān)部件260可以使用任何數(shù)目的適合的技術(shù)來認(rèn)證和/或授權(quán)用戶195��。例如�����,訪問網(wǎng)關(guān)部件260請(qǐng)求用戶195經(jīng)歷多因素認(rèn)證����,或一些其它形式的強(qiáng)認(rèn)證。訪問網(wǎng)關(guān)部件260可在自己上執(zhí)行一些或所有認(rèn)證任務(wù)�����,如果其完成那些認(rèn)證任務(wù)所需的信息的話。這些信息的示例包括��,但并不限定于���,與用戶身份相關(guān)聯(lián)的密碼密鑰��,與用戶個(gè)人物理特征(例如�����, 指紋��,聲音印記�,臉部輪廓����,虹膜掃描等等)相關(guān)的信息,和/或與用戶所擁有的物理對(duì)象 (例如�,用戶身份證的磁性指紋)相關(guān)的信息。替換地���,訪問網(wǎng)關(guān)部件260將從用戶195接收到的一些信息(例如����,用戶憑證)轉(zhuǎn)發(fā)給企業(yè)認(rèn)證服務(wù)器160,企業(yè)認(rèn)證服務(wù)器160代表訪問網(wǎng)關(guān)部件260使用所轉(zhuǎn)發(fā)的信息來認(rèn)證用戶195�����。相似地���,如果訪問網(wǎng)關(guān)部件260訪問了相關(guān)信息(例如,訪問策略信息)�����,訪問網(wǎng)關(guān)部件260可在它上面執(zhí)行用戶授權(quán)�,或者它可請(qǐng)求企業(yè)認(rèn)證服務(wù)器160 (或一些其它適合的授權(quán)服務(wù)器)代表它執(zhí)行用戶授權(quán)。在后面的例子中�,訪問網(wǎng)關(guān)部件260將諸如用戶身份 (例如,如企業(yè)認(rèn)證服務(wù)器160所認(rèn)證的)和/或標(biāo)識(shí)所請(qǐng)求的資源的信息(例如���,以包括在用戶訪問請(qǐng)求中的統(tǒng)一資源定位符(Uniform Resource Locator)的形式)之類的任何相關(guān)的信息轉(zhuǎn)發(fā)給所選的服務(wù)器���。在一些另外的實(shí)施例中,訪問網(wǎng)關(guān)部件260提醒用戶195將他的計(jì)算機(jī)提交給健康檢查��,來作為授權(quán)程序的部分。在這個(gè)上下文中��,客戶計(jì)算機(jī)的“健康”可以指客戶計(jì)算機(jī)的一個(gè)或多個(gè)保護(hù)部件的配置和/或操作狀態(tài)�����。保護(hù)部件包括軟件和/或硬件部件�,例如, 防病毒軟件�,防火墻,和/或獲取和安裝補(bǔ)丁以修復(fù)系統(tǒng)弱點(diǎn)的操作系統(tǒng)更新管理器�����。當(dāng)這個(gè)部件的操作狀態(tài)指示部件是否正在操作或被禁用時(shí)�,這個(gè)部件的配置信息包括為部件所設(shè)置的特定操作參數(shù)。如上所論述��,客戶計(jì)算機(jī)195在它的上面安裝了一個(gè)或多個(gè)健康代理�����,這些健康代理可被編程為收集配置和/或操作狀態(tài)信息��。例如���,根據(jù)美國(guó)華盛頓州雷德蒙市的微軟公司提供的網(wǎng)絡(luò)訪問保護(hù)""(Network Access Protection (NAP))框架�,可將收集到的信息格式化成健康聲明。健康聲明可被傳送給訪問網(wǎng)關(guān)部件260進(jìn)行檢查���。再次�,如果訪問網(wǎng)關(guān)部件260訪問了用于企業(yè)的機(jī)器健康策略����,則訪問網(wǎng)關(guān)部件260可在它自己上面檢查健康聲明,或者它可將健康聲明轉(zhuǎn)發(fā)給健康策略服務(wù)器280進(jìn)行評(píng)估����。如果用戶成功完成了訪問網(wǎng)關(guān)部件沈0實(shí)現(xiàn)的所有(或閾值數(shù)目的)訪問控制程序�����,則訪問網(wǎng)關(guān)部件260可從企業(yè)STS 270請(qǐng)求安全令牌���,并且將安全令牌傳送給用戶195��,用戶195進(jìn)而可將令牌轉(zhuǎn)發(fā)給將用戶195重定向至企業(yè)STS 270的實(shí)體(例如����,云STS 220)。云STS 220可驗(yàn)證令牌是由企業(yè)STS 270產(chǎn)生的����,并且令牌的內(nèi)容指示用戶195被授權(quán)訪問所請(qǐng)求的資源。如果驗(yàn)證成功����,則云STS可產(chǎn)生第二安全令牌,并且將第二安全令牌傳送給用戶195�����,接著�,用戶195可把第二令牌轉(zhuǎn)發(fā)給主存所請(qǐng)求的資源的服務(wù)器以進(jìn)行驗(yàn)證。如果服務(wù)器成功驗(yàn)證了第二令牌����,則它可準(zhǔn)許用戶195訪問資源。本領(lǐng)域的技術(shù)人員應(yīng)該了解�����,令牌產(chǎn)生和驗(yàn)證的這個(gè)過程可以反復(fù)用于用戶195通過其被重定向的每個(gè)中間 STS��。雖然結(jié)合圖2描述了實(shí)現(xiàn)的特定細(xì)節(jié)����,但是���,應(yīng)該了解,在此所公開的發(fā)明概念并不限定于任何特定的實(shí)現(xiàn)模式��。例如�,雖然訪問網(wǎng)關(guān)和企業(yè)STS在圖2中顯示為兩個(gè)獨(dú)立的部件,但是��,他們可以一起被實(shí)現(xiàn)為單個(gè)部件�,或以任何其它適合的配置來實(shí)現(xiàn)。作為另一個(gè)示例����,訪問網(wǎng)關(guān)部件260使用的任何訪問控制技術(shù)可由第三方軟件實(shí)現(xiàn)。例如��,第三方多因素認(rèn)證部件可被安裝在訪問網(wǎng)關(guān)部件260或代表訪問網(wǎng)關(guān)部件260執(zhí)行用戶認(rèn)證的認(rèn)證服務(wù)器160上�。圖3示出了根據(jù)一些實(shí)施例的客戶計(jì)算機(jī)310��,客戶計(jì)算機(jī)310請(qǐng)求的主存資源 320���,以及主存資源320信任的云STS 220之間的示例性交互序列�����?�?蛻粲?jì)算機(jī)310是圖 2所示的客戶計(jì)算機(jī)195����,而主存資源320是圖2所示的由云設(shè)備105主存的應(yīng)用110A, 110B��,…和數(shù)據(jù)存儲(chǔ)115A����,115B…中的一個(gè)。同樣地���,云STS 330是圖2所示的云STS 220�。在圖3所示的示例中���,在動(dòng)作340�,客戶計(jì)算機(jī)310通過將訪問請(qǐng)求發(fā)送給主存資源320來啟動(dòng)交互����?�?蛻粲?jì)算機(jī)310可以任何適合的方式��,例如��,通過統(tǒng)一資源定位符 (URL)����,來標(biāo)識(shí)主存資源320��。在一些實(shí)施例中�����,訪問請(qǐng)求還可標(biāo)識(shí)客戶計(jì)算機(jī)310的用戶����, 例如,通過包括用戶名����。在動(dòng)作345�����,主存資源320通過重定向客戶計(jì)算機(jī)310來從主存資源320信任的云STS 330獲取安全令牌來作出響應(yīng)。例如�,主存資源320可向客戶計(jì)算機(jī)310提供網(wǎng)絡(luò)地址和/或用于云STS 330的任何其它標(biāo)識(shí)信息。在一些實(shí)施例中�,主存資源320可進(jìn)一步指定要從云STS 330獲取的一種類型的安全令牌。如主存資源320所指令的��,在動(dòng)作350��,客戶計(jì)算機(jī)310將對(duì)安全令牌的請(qǐng)求提交給云STS 330����,這個(gè)請(qǐng)求可以任何適合的方式標(biāo)識(shí)主存資源320和/或希望訪問主存資源 320的客戶計(jì)算機(jī)310的用戶。在動(dòng)作355����,云STS 330通過重定向客戶計(jì)算機(jī)310來從云STS 330信任的企業(yè) STS (例如,圖2所示的企業(yè)STS 270)獲取安全令牌來作出響應(yīng)�����。與動(dòng)作345相類似��,在一些實(shí)施例中�����,云STS 330可向客戶計(jì)算機(jī)310提供了網(wǎng)絡(luò)地址和/或用于企業(yè)STS的任何其它標(biāo)識(shí)信息。云STS 330可進(jìn)一步指定一要從企業(yè)STS獲取的一種類型的安全令牌�。如云STS 330所指令的,在動(dòng)作360���,客戶計(jì)算機(jī)310從企業(yè)STS獲取安全令牌(此后叫做“企業(yè)安全令牌”)���。如上所論述,企業(yè)安全令牌可包括指示客戶計(jì)算機(jī)310和它的用戶已正確地認(rèn)證和/或被授權(quán)訪問主存資源320的一個(gè)或多個(gè)SAML 2.0斷言�。而且,在一些實(shí)施例中���,企業(yè)安全令牌可包括企業(yè)STS產(chǎn)生的一個(gè)或多個(gè)電子簽名�,來作為企業(yè)安全令牌的真實(shí)性的證據(jù)�。結(jié)合圖4在下面描述了客戶計(jì)算機(jī)310和企業(yè)STS之間的交互的詳細(xì)示例,客戶計(jì)算機(jī)310通過企業(yè)STS獲取企業(yè)安全令牌�。
繼續(xù)到動(dòng)作365,客戶計(jì)算機(jī)310將企業(yè)安全令牌提交給云STS 330以進(jìn)行驗(yàn)證����。 在動(dòng)作370,云STS 330驗(yàn)證令牌是由云STS 330信任的企業(yè)STS產(chǎn)生的(例如�,通過驗(yàn)證所附的簽名是由企業(yè)STS產(chǎn)生的),并且令牌的內(nèi)容指示客戶計(jì)算機(jī)310和它的用戶被授權(quán)來訪問主存資源320。如果驗(yàn)證成功�����,則云STS 330在動(dòng)作375產(chǎn)生第二安全令牌(此后叫做“云安全令牌”)�,并且在動(dòng)作380將云安全令牌傳送給客戶計(jì)算機(jī)310�。如果驗(yàn)證失敗, 在一些實(shí)施例中�����,客戶計(jì)算機(jī)310可被告知失敗和/或被重定向至不同的STS來獲取另一個(gè)安全令牌�。在動(dòng)作385,客戶計(jì)算機(jī)310將云安全令牌轉(zhuǎn)發(fā)給主存資源320以進(jìn)行驗(yàn)證��。主存資源320在動(dòng)作390以與所執(zhí)行的驗(yàn)證相類似的方式驗(yàn)證云安全令牌�。如果驗(yàn)證成功,則在動(dòng)作395���,主存資源320向客戶計(jì)算機(jī)310準(zhǔn)許訪問���。如果驗(yàn)證失敗,則客戶計(jì)算機(jī)310 被拒絕訪問主存資源320��,并且在一些實(shí)現(xiàn)中,被重定向至不同的STS來獲取另一個(gè)安全令牌���。繼續(xù)到圖4�,根據(jù)一些實(shí)施例����,示出了客戶計(jì)算機(jī)310,企業(yè)STS 420 (例如��,圖2所示的企業(yè)STS 270)�����,以及公布企業(yè)STS 420的企業(yè)訪問網(wǎng)關(guān)410 (例如�����,圖2所示的訪問網(wǎng)關(guān)部件260)之間的示例性交互序列���。通過這些相互作用���,客戶計(jì)算機(jī)310從企業(yè)STS 420 獲取指示客戶計(jì)算機(jī)310和它的用戶被授權(quán)訪問云主存的資源(例如,圖3所示的主存資源320)的安全令牌�����。如上所論述,企業(yè)訪問網(wǎng)關(guān)410公布企業(yè)STS 420可允許企業(yè)訪問網(wǎng)關(guān)410截取定向到企業(yè)STS 420的通信����。例如�����,在動(dòng)作430�����,當(dāng)客戶計(jì)算機(jī)310從企業(yè)STS420請(qǐng)求安全令牌時(shí)�,在動(dòng)作435,企業(yè)訪問網(wǎng)關(guān)410截取那個(gè)通信�����,并且通過在動(dòng)作440生成安全質(zhì)詢以及在動(dòng)作445將安全質(zhì)詢傳送給客戶計(jì)算機(jī)310來就客戶計(jì)算機(jī)310啟動(dòng)訪問控制協(xié)議����。 安全質(zhì)詢的內(nèi)容可視企業(yè)訪問網(wǎng)關(guān)410使用的訪問控制技術(shù)而變化。例如�����,如上所論述,安全質(zhì)詢可包括用于多因素認(rèn)證和/或機(jī)器健康檢查的質(zhì)詢�����。在動(dòng)作450����,客戶計(jì)算機(jī)310可收集相關(guān)信息,并且準(zhǔn)備對(duì)從企業(yè)訪問網(wǎng)關(guān)410接收到的質(zhì)詢的安全響應(yīng)��。例如�����,客戶計(jì)算機(jī)310可通過提供多個(gè)用戶憑證來響應(yīng)多因素認(rèn)證質(zhì)詢���,如本領(lǐng)域所知的�����。作為另一個(gè)示例���,客戶計(jì)算機(jī)310可使用一個(gè)或多個(gè)客戶健康代理來收集健康信息��,并且準(zhǔn)備要包括在安全響應(yīng)中的健康聲明����。在動(dòng)作455����,客戶計(jì)算機(jī)310將經(jīng)組裝的安全響應(yīng)傳送給企業(yè)訪問網(wǎng)關(guān)410,在動(dòng)作460����,企業(yè)訪問網(wǎng)關(guān)410驗(yàn)證安全響應(yīng)中的每一個(gè)分量以進(jìn)行用戶認(rèn)證和/或授權(quán)�。例如, 企業(yè)訪問網(wǎng)關(guān)410可檢索與用戶聲稱的身份相關(guān)聯(lián)的認(rèn)證信息��,并且確定用戶是否真的是他聲稱的那個(gè)人����。作為另一個(gè)示例,企業(yè)訪問網(wǎng)關(guān)410可檢索訪問策略信息�����,并且確定用戶是否被授權(quán)訪問所請(qǐng)求的資源�。作為再一個(gè)示例�,企業(yè)訪問網(wǎng)關(guān)410可檢索機(jī)器健康策略信息���,并且確定客戶計(jì)算機(jī)310是否是足夠健康(例如���,不像是被計(jì)算機(jī)病毒感染)來訪問所請(qǐng)求的資源。替換地��,企業(yè)訪問網(wǎng)關(guān)410請(qǐng)求一個(gè)或多個(gè)適合的服務(wù)器(例如��,認(rèn)證服務(wù)器160和健康策略服務(wù)器280)來執(zhí)行任何如上所述的驗(yàn)證���。如果企業(yè)訪問網(wǎng)關(guān)410在動(dòng)作460確定客戶計(jì)算機(jī)310和它的用戶被授權(quán)訪問所請(qǐng)求的資源�����,則它從企業(yè)STS 420請(qǐng)求安全令牌��。作為響應(yīng)��,企業(yè)STS 420在動(dòng)作470產(chǎn)生所請(qǐng)求的令牌�,并且在動(dòng)作475將所請(qǐng)求的令牌傳送給企業(yè)訪問網(wǎng)關(guān)410���。如上所論述��,這個(gè)企業(yè)安全令牌可指示客戶計(jì)算機(jī)310和它的用戶成功通過企業(yè)訪問網(wǎng)關(guān)410實(shí)現(xiàn)的訪問控制測(cè)試���,例如強(qiáng)認(rèn)證和機(jī)器健康檢查��。在動(dòng)作480��,企業(yè)訪問網(wǎng)關(guān)410將企業(yè)安全令牌轉(zhuǎn)發(fā)給客戶計(jì)算機(jī)310�,因此��,客戶計(jì)算機(jī)向云中的訪問控制部件(例如����,圖3所示的云STS 330)呈現(xiàn)企業(yè)安全令牌�����,來獲得對(duì)所期望的資源(例如���,圖3所示的主存資源320)的訪問��。圖5示意性地示出了示例計(jì)算機(jī)1000�����,在它上面可以實(shí)現(xiàn)本公開的各個(gè)發(fā)明方面���。例如���,在此所述的任何網(wǎng)絡(luò)部件在諸如計(jì)算機(jī)1000的計(jì)算機(jī)上實(shí)現(xiàn),網(wǎng)絡(luò)部件包括��,但并不限定于��,客戶計(jì)算機(jī)190��,云安全令牌服務(wù)220����,訪問網(wǎng)關(guān)260,企業(yè)安全令牌服務(wù)270��, 認(rèn)證服務(wù)器160�����,以及健康策略服務(wù)器280����,圖2中所示的所有部件����。在圖5所示的示例中�,計(jì)算機(jī)1000包括具有一個(gè)或多個(gè)處理器的處理單元1001 和可包括易失性和/或非易失性存儲(chǔ)器的存儲(chǔ)器1002。除了系統(tǒng)存儲(chǔ)器1002之外���,計(jì)算機(jī) 1000還可包括存儲(chǔ)1005 (例如�����,一個(gè)或多個(gè)磁盤驅(qū)動(dòng))���。存儲(chǔ)器1002可以存儲(chǔ)一個(gè)或多個(gè)指令,用于對(duì)處理單元1001編程來執(zhí)行在此所述的任何功能�。存儲(chǔ)器1002還可以存儲(chǔ)一個(gè)或多個(gè)應(yīng)用程序和/或應(yīng)用程序設(shè)計(jì)接口功能。計(jì)算機(jī)1000可具有一個(gè)或多個(gè)輸入設(shè)備和/或輸出設(shè)備����,諸如圖5中所解說的設(shè)備1006和1007�。這些設(shè)備主要可被用來呈現(xiàn)用戶界面?����?杀挥脕硖峁┯脩艚缑娴妮敵鲈O(shè)備的示例包括用于可視地呈現(xiàn)輸出的打印機(jī)或顯示屏和用于可聽地呈現(xiàn)輸出的揚(yáng)聲器或其它聲音生成設(shè)備?����?杀挥糜谟脩艚缑娴妮斎朐O(shè)備的示例包括鍵盤和諸如鼠標(biāo)�����、觸摸板和數(shù)字化輸入板等定點(diǎn)設(shè)備��。作為另一示例�,計(jì)算機(jī)可以通過語音識(shí)別或以其他可聽格式來接收輸入信息。如圖5中所示�,計(jì)算機(jī)1000還可包括使能經(jīng)由各種網(wǎng)絡(luò)(例如,網(wǎng)絡(luò)1020)進(jìn)行通信的一個(gè)或多個(gè)網(wǎng)絡(luò)接口(例如���,網(wǎng)絡(luò)接口 1010)�。網(wǎng)絡(luò)的示例包括局域網(wǎng)或廣域網(wǎng)�,諸如企業(yè)網(wǎng)或因特網(wǎng)。這些網(wǎng)絡(luò)可以基于任何合適的技術(shù)并可以根據(jù)任何合適的協(xié)議來操作��, 并且可以包括無線網(wǎng)絡(luò)�����、有線網(wǎng)絡(luò)或光纖網(wǎng)絡(luò)。至此描述了本發(fā)明的至少一個(gè)實(shí)施例的若干方面���,可以理解����,本領(lǐng)域的技術(shù)人員可容易地想到各種更改�����、修改和改進(jìn)�����。這樣的更改�、修改和改進(jìn)旨在是本發(fā)明的一部分,且旨在處于本發(fā)明的精神和范圍內(nèi)����。從而,上述描述和附圖僅用作示例���。可以用多種方式中的任一種來實(shí)現(xiàn)本發(fā)明的上述實(shí)施例。例如�,可使用硬件、軟件或其組合來實(shí)現(xiàn)各實(shí)施例����。當(dāng)使用軟件實(shí)現(xiàn)時(shí),該軟件代碼可在無論是在單個(gè)計(jì)算機(jī)中提供的還是在多個(gè)計(jì)算機(jī)之間分布的任何合適的處理器或處理器的集合上執(zhí)行�����。而且�,此處略述的各種方法或過程可被編碼為可在采用各種操作系統(tǒng)或平臺(tái)中任何一種的一個(gè)或多個(gè)處理器上執(zhí)行的軟件。此外��,這樣的軟件可使用多種合適的程序設(shè)計(jì)語言和/或程序設(shè)計(jì)或腳本工具中的任何一種來編寫����,而且它們還可被編譯為可執(zhí)行機(jī)器語言代碼或在框架或虛擬機(jī)上執(zhí)行的中間代碼。就此�����,本發(fā)明可被具體化為用一個(gè)或多個(gè)程序編碼的非暫態(tài)計(jì)算機(jī)可讀介質(zhì)(例如���,計(jì)算機(jī)存儲(chǔ)器�����、一個(gè)或多個(gè)軟盤�����、緊致盤��、光盤����、磁帶、閃存��、現(xiàn)場(chǎng)可編程門陣列或其他半導(dǎo)體器件中的電路配置����,或其他非瞬態(tài)有形的計(jì)算機(jī)存儲(chǔ)介質(zhì)),當(dāng)這些程序在一個(gè)或多個(gè)計(jì)算機(jī)或其他處理器上執(zhí)行時(shí)����,它們執(zhí)行實(shí)現(xiàn)本發(fā)明的上述各個(gè)實(shí)施例的方法。這一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)可以是可移植的���,使得其上存儲(chǔ)的一個(gè)或多個(gè)程序可被加載到一個(gè)或多個(gè)不同的計(jì)算機(jī)或其他處理器上以便實(shí)現(xiàn)本發(fā)明上述的各個(gè)方面����。此處以一般的意義使用術(shù)語“程序”或“軟件”來指可被用來對(duì)計(jì)算機(jī)或其他處理器編程以實(shí)現(xiàn)本發(fā)明上述的各個(gè)方面的任何類型的計(jì)算機(jī)代碼或計(jì)算機(jī)可執(zhí)行指令集����。另外,應(yīng)當(dāng)理解���,根據(jù)本實(shí)施例的一個(gè)方面�,當(dāng)被執(zhí)行時(shí)實(shí)現(xiàn)本發(fā)明的方法的一個(gè)或多個(gè)計(jì)算機(jī)程序不必駐留在單個(gè)計(jì)算機(jī)或處理器上�����,而是可以按模塊化的方式分布在多個(gè)不同的計(jì)算機(jī)或處理器之間以實(shí)現(xiàn)本發(fā)明的各方面���。計(jì)算機(jī)可執(zhí)行指令可以具有可由一個(gè)或多個(gè)計(jì)算機(jī)或其他設(shè)備執(zhí)行的各種形式�, 諸如程序模塊���。一般而言��,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程�、程序����、對(duì)象�����、組件���、數(shù)據(jù)結(jié)構(gòu)等。通常����,程序模塊的功能可以按需在各個(gè)實(shí)施例中進(jìn)行組合或分布。而且����,數(shù)據(jù)結(jié)構(gòu)能以任何合適的形式存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上。為簡(jiǎn)化說明���,數(shù)據(jù)結(jié)構(gòu)可被示為具有通過該數(shù)據(jù)結(jié)構(gòu)中的位置而相關(guān)的字段����。這些關(guān)系同樣可以通過對(duì)各字段的存儲(chǔ)分配傳達(dá)各字段之間的關(guān)系的計(jì)算機(jī)可讀介質(zhì)中的位置來得到���。然而�,可以使用任何合適的機(jī)制來在數(shù)據(jù)結(jié)構(gòu)的各字段中的信息之間建立關(guān)系,例如通過使用指針����、標(biāo)簽、 或在數(shù)據(jù)元素之間建立關(guān)系的其他機(jī)制�����。本發(fā)明的各個(gè)方面可單獨(dú)�����、組合或以未在前述實(shí)施例中特別討論的各種安排來使用����,從而并不將其應(yīng)用限于前述描述中所述或附圖形中所示的組件的細(xì)節(jié)和安排�����。例如����,可使用任何方式將一個(gè)實(shí)施例中描述的各方面與其它實(shí)施例中描述的各方面組合。同樣�,本發(fā)明可被具體化為方法���,其示例已經(jīng)提供。作為該方法的一部分所執(zhí)行的動(dòng)作可以按任何合適的方式來排序��。因此���,可以構(gòu)建各個(gè)實(shí)施例�,其中各動(dòng)作以與所示的次序所不同的次序執(zhí)行�����,不同的次序可包括同時(shí)執(zhí)行某些動(dòng)作����,即使這些動(dòng)作在各說明性實(shí)施例中被示為順序動(dòng)作。在權(quán)利要求書中使用諸如“第一”��、“第二”��、“第三”等序數(shù)詞來修飾權(quán)利要求元素本身并不意味著一個(gè)權(quán)利要求元素較之另一個(gè)權(quán)利要求元素的優(yōu)先級(jí)�����、先后次序或順序、 或者方法的各動(dòng)作執(zhí)行的時(shí)間順序�����,而僅用作將具有某一名字的一個(gè)權(quán)利要求元素與(若不是使用序數(shù)詞則)具有同一名字的另一元素區(qū)分開的標(biāo)簽以區(qū)分各權(quán)利要求元素���。同樣���,此處所使用的短語和術(shù)語是出于描述的目的而不應(yīng)被認(rèn)為是限制。此處對(duì) “包括”����、“包含”��、或“具有”�、“含有”、“涉及”及其變型的使用旨在包括其后所列的項(xiàng)目及其等效物以及其他項(xiàng)目����。
1權(quán)利要求
1.一種用于訪問由至少一個(gè)服務(wù)器(105)主存的至少一個(gè)資源(110Α,110Β�����,···,115Α�����, 115Β,…)的客戶計(jì)算機(jī)(190)�,所述至少一個(gè)服務(wù)器(105)由至少一個(gè)服務(wù)提供商控制, 所述客戶計(jì)算機(jī)包括至少一個(gè)處理器(1001)�����,所述至少一個(gè)處理器(1001)被編程為向由不同于所述至少一個(gè)服務(wù)提供商的至少一個(gè)企業(yè)控制的訪問控制網(wǎng)關(guān)(260)發(fā)送指示聲稱指示所述客戶計(jì)算機(jī)(190)被授權(quán)訪問所述至少一個(gè)資源(110Α����,110Β,…��, 115Α�����,115Β�,…)的訪問請(qǐng)求信息;接收來自所述訪問控制網(wǎng)關(guān)(260)的安全令牌��;向主存所述至少一個(gè)資源(110Α��,110Β,…��,115Α���,115Β�����,…)的所述至少一個(gè)服務(wù)器 (105)發(fā)送從所述訪問控制網(wǎng)關(guān)(260)接收到的所述安全令牌����;以及從所述至少一個(gè)服務(wù)器(105)訪問所述至少一個(gè)資源(110Α�,110Β,…�,115Α, 115Β,…)�����。
2.如權(quán)利要求1所述的客戶計(jì)算機(jī)(190)�����,其特征在于���,所述至少一個(gè)處理器(1001) 被進(jìn)一步編程為向所述訪問控制網(wǎng)關(guān)(260)發(fā)送對(duì)所述安全令牌的請(qǐng)求����;以及從所述訪問控制網(wǎng)關(guān)(260)接收至少一個(gè)安全質(zhì)詢����,其中響應(yīng)于對(duì)所述安全令牌的請(qǐng)求,所述訪問控制網(wǎng)關(guān)(260)發(fā)送所述至少一個(gè)安全質(zhì)詢�,并且其中響應(yīng)所述至少一個(gè)安全質(zhì)詢,所述至少一個(gè)處理器(1001)被編程為發(fā)送所述訪問請(qǐng)求信息�。
3.如權(quán)利要求1所述的客戶計(jì)算機(jī)(190),其特征在于�����,所述至少一個(gè)處理器(1001) 被進(jìn)一步編程為向所述至少一個(gè)服務(wù)器(105)發(fā)送對(duì)訪問所述至少一個(gè)資源(110Α�,110Β,…�����,115Α�����, 115Β,…)的請(qǐng)求;以及從所述至少一個(gè)服務(wù)器(105)接收聯(lián)系所述訪問控制網(wǎng)關(guān)(260)的指令�����,作為訪問所述至少一個(gè)資源(110Α���,110Β���,…,115Α���,115Β�����,…)的先決條件�����。
4.如權(quán)利要求1所述的客戶計(jì)算機(jī)(190),其特征在于���,所述訪問請(qǐng)求信息包括包括以下的組中選擇的至少兩個(gè)用戶憑證秘密知識(shí)憑證���、物理對(duì)象憑證�、以及個(gè)人物理特征憑證���。
5.如權(quán)利要求1所述的客戶計(jì)算機(jī)(190)���,其特征在于,所述訪問請(qǐng)求信息包括關(guān)于所述客戶計(jì)算機(jī)(190)的至少一個(gè)保護(hù)部件的配置信息�����,所述至少一個(gè)保護(hù)部件是從包括以下的組中選擇的防病毒軟件����、防火墻、以及操作系統(tǒng)補(bǔ)丁�����。
6.一種供由至少一個(gè)企業(yè)控制的訪問網(wǎng)關(guān)(260)來使用的方法�����,所述方法包括 從客戶計(jì)算機(jī)(190)接收聲稱指示所述客戶計(jì)算機(jī)(190)被授權(quán)訪問由至少一個(gè)服務(wù)器(105)主存的至少一個(gè)資源(ΙΙΟΑ,ΙΙΟΒ,…�����,115Α,115Β�,…)的訪問請(qǐng)求信息,所述至少一個(gè)服務(wù)器(105)由不同于所述至少一個(gè)企業(yè)的至少一個(gè)服務(wù)提供商控制����;至少部分地基于所述訪問請(qǐng)求信息來確定所述客戶計(jì)算機(jī)(190)是否被授權(quán)訪問所述至少一種資源(110Α,110Β�����,…��,115Α��,115Β�����,…)���;以及如果確定所述客戶計(jì)算機(jī)(190)被授權(quán)訪問所述至少一個(gè)資源(110Α���,110Β,…����,115Α, 115Β,…)�����,則向所述客戶計(jì)算機(jī)(190)發(fā)送安全令牌���,所述安全令牌將被呈現(xiàn)給所述至少一個(gè)服務(wù)器(105)以獲得對(duì)所述至少一種資源(ΙΙΟΑ,ΙΙΟΒ,…����,115Α�,115Β,…)的訪問��。
7.如權(quán)利要求6所述的方法���,其特征在于����,進(jìn)一步包括從所述客戶計(jì)算機(jī)(190)接收對(duì)所述安全令牌的請(qǐng)求����;以及響應(yīng)對(duì)所述安全令牌的所述請(qǐng)求���,將至少一個(gè)安全質(zhì)詢發(fā)送給所述客戶計(jì)算機(jī)(190), 其中所述客戶計(jì)算機(jī)(190)響應(yīng)所述至少一個(gè)安全質(zhì)詢發(fā)送所述訪問請(qǐng)求信息���。
8.如權(quán)利要求6所述的方法����,其特征在于��,進(jìn)一步包括從所述至少一個(gè)服務(wù)器(10 信任的安全令牌服務(wù)(270)請(qǐng)求所述安全令牌�。
9.如權(quán)利要求6所述的方法,其特征在于����,確定所述客戶計(jì)算機(jī)(190)是否被授權(quán)訪問所述至少一個(gè)資源包括將包括一個(gè)或多個(gè)用戶憑證的所述訪問請(qǐng)求信息中的至少一些轉(zhuǎn)發(fā)給由所述至少一個(gè)企業(yè)控制的認(rèn)證服務(wù)器(160)。
10.如權(quán)利要求6所述的方法��,其特征在于�,確定所述客戶計(jì)算機(jī)(190)是否被授權(quán)訪問所述至少一個(gè)資源包括將包括關(guān)于所述客戶計(jì)算機(jī)(190)的配置信息的所述訪問請(qǐng)求信息中的至少一些轉(zhuǎn)發(fā)給所述至少一個(gè)企業(yè)控制的健康策略服務(wù)器080)。
全文摘要
本文描述了用于分布式混合企業(yè)的靈活端點(diǎn)順從和強(qiáng)認(rèn)證����。用來訪問由云服務(wù)提供商中的至少一個(gè)服務(wù)器主存的至少一個(gè)資源的系統(tǒng)�、方法和裝置�����。在一些實(shí)施例中�����,客戶計(jì)算機(jī)將與客戶計(jì)算機(jī)的用戶相關(guān)聯(lián)的認(rèn)證信息和關(guān)于客戶計(jì)算機(jī)的健康聲明發(fā)送給企業(yè)的受管理網(wǎng)絡(luò)中部署的訪問控制網(wǎng)關(guān)�。訪問控制網(wǎng)關(guān)認(rèn)證用戶���,并且確定用戶是否被授權(quán)訪問在云中主存的至少一個(gè)資源�����。如果用戶認(rèn)證和授權(quán)成功了�����,則訪問控制網(wǎng)關(guān)從訪問控制部件信任的安全令牌服務(wù)請(qǐng)求安全令牌����,并且將安全令牌轉(zhuǎn)發(fā)給客戶計(jì)算機(jī)?��?蛻粲?jì)算機(jī)將安全令牌發(fā)送給云中的訪問部件���,以從至少一個(gè)服務(wù)器訪問至少一個(gè)資源。
文檔編號(hào)H04L29/06GK102281286SQ201110170880
公開日2011年12月14日 申請(qǐng)日期2011年6月13日 優(yōu)先權(quán)日2010年6月14日
發(fā)明者A·卡里夫, D·科肖, E, (J)·尼斯塔德特, E·托夫賓, O·阿納尼耶夫 申請(qǐng)人:微軟公司