不受信任的设备上的资源保护的制作方法
【专利说明】不受信任的设备上的资源保护
[0001]背景
[0002]计算机和计算系统已经影响了现代生活的几乎每个方面。计算机通常涉及工作、休闲、保健、运输、娱乐、家政管理等。
[0003]此外,计算系统功能还可以通过计算系统经由网络连接互连到其他计算系统的能力来增强。网络连接可包括,但不仅限于,经由有线或无线以太网的连接,蜂窝式连接,或者甚至通过串行、并行、USB或其它连接的计算机到计算机的连接。这些连接允许计算系统访问其他计算系统上的服务,并快速且有效地从其他计算系统接收应用数据。
[0004]当前网络允许许多新的以及不同类型的设备被联网。另外,还期望使联网设备具有移动性。随着智能电话和平板在商业企业网络上越来越流行,移动性持续发展。希望利用机会来提高雇员生产力的许多组织正在拥抱移动工作方式,允许信息工作人员从他们的移动设备访问企业资源。
[0005]尽管这一趋势带来了提高雇员效率的新的机会,但是,它也为IT管理员造成了新的安全风险,因为在很多情况下,雇员会将企业凭证(例如,用户名和口令对)存储在他们的移动设备上。例如,使用由位于美国华盛顿州雷德蒙市的微软公司所提供的Active Sync的大多数移动电子邮件客户端都要求企业凭证。可以轻松地从移动设备中提取这些凭据。例如,设备可能会被偷,设备可能主存结果是收集保存的口令或记录击键的特洛伊木马的移动应用。这会是特别危险的,假定企业用户常常使用相同凭证来访问对该企业用户可用的大多数,如果并非全部资源。
[0006]在此要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的各个实施例。相反,提供该背景仅用以示出在其中可实践在此描述的部分实施例的一个示例性技术领域。
【发明内容】
[0007]在此所示的一个实施例包括可以在计算环境中实施的方法。该方法包括向第一服务认证用户以允许该用户访问由第一服务所提供的资源的动作。资源是要求通用凭证(例如,用户名和/或口令)才能访问该资源的受保护的资源。该方法包括在第二服务处从设备接收自组织(ad-hoc)凭证。自组织凭证是为该设备所特有的凭证。自组织凭证可用于认证用户和设备两者,但是不能直接被用作第一服务处对用户访问资源的认证。该方法还包括,在第二服务处用通用凭证来替换自组织凭证以及将通用凭据转发到第一服务。如此,第一服务可以向该设备处的用户提供资源。
[0008]提供本概述是为了以精简的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
[0009]将在以下的描述中阐述另外的特征和优点,并且部分特征和优点可从该描述中显而易见,或者可从本文教导的实践中获知。本发明的特征和优点可以通过在所附权利要求中特别指出的手段和组合来实现并获取。本发明的特征将从以下描述和所附权利要求书中变得完全显而易见,或者可通过如下所述对本发明的实践而获知。
[0010]附图简述
[0011]为了描述可获得本主题的上述和其它优点和特征的方式,将通过参考附图中示出的本主题的具体实施例来呈现以上简要描述的本主题的更具体描述。应该理解,这些附图仅描绘了各典型实施例,因此其不应被认为是对范围的限制,各实施例将通过使用附图用附加特征和详情来描述并解释,在附图中:
[0012]图1示出了用于管理用户主要和辅助凭证的系统;以及
[0013]图2示出了用于向第一服务认证用户以允许用户访问由第一服务所提供的资源的方法。
【具体实施方式】
[0014]各实施例可包括通过发出将只从特定上下文,诸如特定企业接口、特定协议、特定邮箱,等等的和/或设备使用的并且可以具有单独的预期的生命周期的专用辅助凭证(例如,凭证只能从位于美国华盛顿州雷德蒙市的微软公司所提供的ActiveSync接口使用)来保护通用主要凭证的功能。如果这些辅助凭证被破坏,则损害是有限的。具体而言,损害可能仅限于辅助凭证应用到的设备,仅限于辅助凭证应用到的那些某些企业接口,和/或仅限于辅助凭证有效的有限的时段。如此,与当允许对整个企业系统或企业系统的大部分进行访问的主要企业凭证被破坏的情况相比,损毁会是有限的。
[0015]如此,并参考图1,一些实施例为不受信任的设备(诸如设备104)实现辅助凭证102 (诸如口令)。例如,设备104可以是移动设备。
[0016]各实施例可以实现将辅助凭证106替换为主要凭证108(例如,主要企业范围的凭证)的网关106。通过实现网关106,可以在不改变企业网络110上的设备104内部系统或各种服务或系统的情况下,实现主要凭证108和辅助凭证102的共存。网关106可以和客户端104分离。网关106能够代理与企业网络110中的应用112相关的话务,并将利用主要凭证108更换辅助凭证102以允许对企业资源进行访问。
[0017]在很多情况下,此网关106驻留在企业网络110的边缘。网关106可以以这样的方式实现,以便所有外部话务都必须经过网关106才能进入企业网络110。如此,从企业网络110内对应用112进行访问将要求使用主要凭证108。例如,图1示出了用户可以使用驻场公司系统114,诸如台式机或膝上型计算机,它们位于企业的建筑物中,并通过在企业网络110管理员的直接控制下硬件和通信线路连接到企业网络110。在此情况下,如图所示,可以从公司系统114向服务116发送主要凭证108以访问应用112的资源118。
[0018]可另选地,当用户希望在远程连接时访问由应用112所提供的资源118时,可以通过客户端系统104向网关106发送辅助凭证102来使用特殊辅助凭证102,它用于替换主要凭证108以允许资源118被返回到客户端系统104。值得注意的是,可以实现并非所有的话务都被发送到网关106的实施例。相反,在某些实施例中,只向网关106发送某些类型的话务,或计划用于某些应用的话务。例如,可以向网关106发送电子邮件和日历数据,而其他话务不通过网关106路由。
[0019]辅助凭证102可以服从与主要凭证108不同的策略。例如,辅助凭证102可以比主要凭证在时间上更受限。例如,辅助凭证可以比主要凭证108有效达更短的时间段。另选地或另外地,辅助凭证102可以比主要凭证108在何时可以使用它方面具有限制性更强的时间限制。例如,主要凭证108可以在白天或夜间的任何时间使用,而辅助凭证102可以仅限于,例如,5:00PM和9:00AM之间。这些策略可以通过网关106实施。
[0020]网关106能够实施关于辅助凭证102的服务或应用级别的限制。例如,主要凭证108可以被用来访问对主要凭证108所属的给定用户可用的几乎任何资源,网关106可以将通过设备104并使用辅助凭证102来访问企业资源的相同用户限制到有限的应用或资源的集合。例如,当作出对电子邮件资源的请求时,网关可以替换主要凭证108,但是,对于从客户端104作出的对敏感数据库资源的请求,可以拒绝替换主要凭证。某些这样的实施例可以是基于角色的。例如,网关106可以对CEO或企业的主要网络管理员实施较少的(或没有)限制,而对数据输入职员施加较多的限制。
[0021]网关106可以基于将由管理系统122管理的主要凭证108和辅助凭证102进行相关的数据库120来执行辅助凭证102和主要凭证108的凭证交换。
[0022]此管理系统122可以基于向用户界面提供的输入或/和其内部逻辑来分配辅助凭证。管理系统122也可以定义使用和期满策略。此管理系统通常将实现额外的认证逻辑来生成辅助认证并将其提供到用户和设备(诸如设备104)。在说明性示例中,用户使用WebΠ来访问管理系统122。使用智能卡或其他认证来认证用户。然后,用户通过Web UI以自组织口令的形式接收辅助凭证,该自组织口令对于ActiveSync有效达一周。如此,用户能够获取可以与不受信任的设备104 —起使用的辅助凭证102,其中,辅助凭证在关于它有效期多长时间方面受限制以及限于某些应用。
[0023]进一步,在某些实施例中,辅助凭证102可以以只允许它与某些设备(例如,设备104)或某些信道一起使用的方式生成。例如,网关106能够实施允许辅助凭证102与特定设备104或设备组一起使用而排除其与其他设备一起使用的限制。网关106能够另选地或另外地限制辅助凭证102与某些通信信道一起使用。例如,辅助凭证能够和用户的特定家庭网络一起使用,但当设备连接到某些公众W1-Fi网络或蜂窝网络时不能被使用。
[0024]可以以各种不同的方式生成诸如凭证102之类的辅助凭证。例如,在某些实施例中,辅助凭证102可以通过使用在管理系统122处的秘密和主要凭证108来生成。可以使用管理系统处的秘密和主要凭证来执行散列或其他计算以生成辅助凭证102。
[0025]在另一个实施例中,在用户通过管理系统122的Web Π呈现主要凭证108之后,可以由用户选择或人工地生成辅助凭证102。
[0026]以下讨论现涉及可以执行的多种方法以及方法动作。虽然用特定次序讨论或用以特定次序发生的流程图示出了各个方法动作,但除非明确规定或因为一动作依赖于另一动作在执行该动作之前完成而需要特定次序,否则不需要特定次序。
[0027]现在参考图2,示出了方法200。可以在计算环境中实施方法200。方法200包括向第一服务认证用户以允许该用户访问由第一服务所提供的资源的