所维持的私有资源和服务以及机密信息的访问。在一个实施例中,可以由一系列的一个或多个访问代理(例如,云服务访问和信息网关)112、134、144、146来实现安全性,这些访问代理可以被定位在各个位置(例如,在企业网络130内、在公共云140内或在企业网络130和公共云140的外部)。例如,这些访问代理可以被定位在云内或安全网络的进入部分处。
[0026]这些访问代理112、134、144、146可以使用认证模块116充当访问执行点以基于用户、装置和应用程序来执行访问策略。认证模块116可以如图所示是访问代理112、134、144、146中的至少一者的一部分或可以在访问代理112、134、144、146的外部操作。认证模块116可以识别用户、用户装置和用户装置上的请求访问网络内的云资源的特定应用程序,并且可以准予或限制访问这个特定应用程序。同一装置上的其他应用程序将不能访问该互联网访问代理或网络内的云资源。
[0027]包装应用程序107的包装可以包括访问证书模块109,该访问证书模块使用访问证书来发起与访问代理112、134、144、146的经过认证的会话。访问证书模块109可以从用户、从装置、从应用程序等接收访问证书。访问证书可以包括可用于认证用户、装置和应用程序等的数据。访问证书模块109的一种具体实施结合图2更详细地描述。
[0028]通过使用软件开发包(SDK),包装应用程序107可以通过安全通信(例如,cookies或其他协议独立方法)识别其本身,以便编码用户、装置和应用程序信息。当使用移动应用程序包装器时,软件SDK在与访问代理通信时添加安全通信层。SDK添加用户标识符、装置标识符和应用程序标识符的安全且加密的组合以传递到访问代理以供认证。
[0029]在示例中,可以通过访问代理之一传递访问诸如私有云资源132或公共云资源142等云资源的请求。认证模块116可以将与该请求相关联的访问证书的组合与可允许的用户、装置和应用程序的列表或数据库进行比较,并且基于该比较的结果来执行动作。该动作可以包括例如允许请求、拒绝请求、认证请求、修改请求或一些其他动作。该动作可以用于确认,用户有权访问应用程序,装置具有安装应用程序的许可,并且应用程序本身被证实是安全的。认证模块116可以在准予该应用程序访问网络之前,验证这些访问证书中的每一个。认证模块116可以提供用于准予、授权、拒绝或限制应用程序访问组织的网络内的资源的指令。
[0030]在另一个示例中,可以通过多个访问代理传递访问云资源的请求以形成分层访问执行方案。这种分层方法中的每个访问代理都可以执行不同的认证或授权任务。第一访问代理可以执行对访问云资源的请求的第一认证。第二访问代理随后可以执行对该请求的第二认证。在一种具体实施中,第二访问代理根据另外的标准执行对该请求的第二认证。该另外的标准可以是针对在给定时间段内得到允许的请求的数量、允许请求的时间段(例如,在正常营业时间期间)、用户装置102的地理位置以及其他形式的不规则或不可信的行为的准则。
[0031]可以使用例如高级加密标准(AES)以密文块链接(CBC)的模式利用256位密钥对所有所传达的请求、信息和数据加密。可以以例如512个块的形式对数据加密,每个块都具有随机初始化向量(IV)。对于每个用户装置102上的每个包装应用程序107来说,加密密钥可以是不同的。在一个实施例中,用于对文件和目录数据加密的密钥是在包装代码内生成的并且不离开用户装置102。当留存时,使用AES-CBC和一个或多个256位密钥(称为“KEK”或密钥加密密钥)对加密密钥加密。还可以对云资源加密。为了访问加密的云资源,用户装置102可以从访问代理112、134、144、146接收加密密钥。用户装置102对加密密钥解密并且使用该密钥来访问加密的云资源。
[0032]图2是包括在包装应用程序107中的访问证书模块109的一个实施例的框图。访问证书模块109管理访问证书(例如,应用程序标识符、用户标识符、装置标识符等)。访问证书模块109可以接收访问证书,存储访问证书,将访问证书提供给请求模块、装置或系统并且有助于用户装置102上的应用程序107访问云资源(例如,私有云资源132和/或公共云资源142)。这些证书可以由例如用户、系统管理员、装置或其他人或实体创建或定义。
[0033]在一个实施例中,访问证书模块109可以包括用户接口 162、证书提供者164和访问管理器166。在其他实施例中,访问证书模块109可以包括更多或更少的组件。在一个实施例中,访问证书模块109连接至数据存储设备168,该数据存储设备可以是驻留在诸如盘驱动器、RAM、ROM、数据库等数据存储装置上的文件系统、数据库或其他数据管理层。
[0034]用户接口 162可以是被呈现给装置102的用户的图形用户接口(⑶I)并且可以在用户启动包装应用程序107时被呈现。用户接口 162可以是用于从用户接收用户标识符(例如,用户名、密码)的登录屏幕。在一个实施例中,用户名可以被事先填入并且可以是与用于访问应用程序商店110相同的用户名。用户标识符176涉及提出访问云服务和/或云信息的请求的用户的身份。在一个实施例中,用户标识符被提供作为单点登录(SSO)的一部分。SSO是多个相关但独立的软件系统(例如,私有云资源132和公共云资源142)的访问控制的性质。利用SS0,用户登录一次并且能够访问这些服务的全部(或某个子集),而不会被提示在它们中的每一个处再次登录。
[0035]在一个实施例中,由用户提供的登录证书可以取决于用户状态发生变化。例如,如果用户是第一组的成员,诸如是管理企业网络130的企业的雇员,那么用户可以具有某个用户名或可以登录。如果用户不是第一组的成员,那么用户可以具有不同的登录证书集合,从而同样地识别用户。另外,这些登录证书可以提供关于用户的其他信息,诸如级别、头衔、位置、或者其他信息。
[0036]用户接口 162接收用户标识符176并且将其存储在数据存储设备168中。当用户第一次启动应用程序107时,可以调用用户接口 162。下一次,当启动应用程序107时,可以从数据存储设备168获得用户标识符176或可以通过用户接口 162再次请求用户标识符176。
[0037]用户接口 162还可以请求用户输入用户标识符180。或者,证书提供者164可以通过例如在指定存储器位置处访问装置配置信息来确定装置标识符180。当第一次启动应用程序107时,证书提供者164可以获得装置标识符180,并且将其存储在数据存储设备168中。
[0038]另外,当启动应用程序107时,证书提供者164确定应用程序标识符172。应用程序标识符172可以是一串字母数字字符和符号。应用程序标识符172还可以通过它作出的资源请求的类型(例如,读取、写入、删除)以及相关服务子域(例如,所请求信息的范围)来表征。可以使应用程序标识符172嵌入在包装应用程序107中。当第一次启动应用程序107时,证书提供者164可以获得应用程序标识符172,并且将其存储在数据存储设备168中。
[0039]证书提供者164将访问证书(用户标识符176、装置标识符180和应用程序标识符172)发送至访问代理112、134、144、146并且可以将这些访问证书连同访问云资源的请求一起发送。当用户请求启动应用程序108时或响应于访问代理对访问证书的请求,证书提供者164可以将访问证书发送至访问代理112、134、144、146。证书提供者164可以使用SDK来将访问证书编码并包装在包含认证令牌(例如,基于XML的带签名的断言)的包内以发送至访问代理112、134、144、146。证书管理机构可以提供可用于对认证令牌进行数字签名的应用程序私有密钥。该应用程序私有密钥可以嵌入在包装应用程序107内。证书提供者164随后可以将具有访问证书的包通过安全通信(例如,cookies或其他协议独立方法)发送至访问代理112、134、144、146。
[0040]访问管理器166接收来自访问代理的响应并且将其传达到应用程序108,该应用程序随后可以继续进行其访问特定资源的请求或可以向用户显示对用户、装置和/或应用程序(其发起了资源请求)的访问被拒绝的消息。
[0041]图3是根据本发明的一个实施例的示出认证模块116的框图。在一个实施例中,认证模块116可以包括用户装置接口 302、访问证书验证器304和资源访问提供者306。认证模块116可以包括更多或更少的组件。认证模块116可以连接至有效证书数据存储设备310和/或策略数据存储设备314,该有效证书数据存储设备和/或该策略数据存储设备可以是驻留在诸如盘驱动器、RAM、ROM、数据库等数据存储装置上的文件系统、数据库或其他数据管理层。
[0042]有效证书数据存储设备310可以规定有效用户标识符,这些有效用户标识符可以是特定用户的标识符(例如,用户名和密码)和/或用户类别(例如,雇员、承包商等)。有效证书数据存储设备310还可以包括有效装置标识符的列表和关于对应的装置是受管理装置还是不受管理装置的信息。另外,有效证书数据存储设备310可以包括安全应用程序的标识符的列表和关于对应的应用程序是由企业的应用程序商店提供还是由第三方应用程序商店提供的信息。有效证书数据存储设备310还可以存储通过应用程序供应服务提供的安全应用程序的公共密钥。
[0043]策略数据存储设备314可以存储定义针对云资源的访问许可的各种访问策略。例如,访问策略可能需要利用管理相应应用程序商店的应用程序提供服务来验证来自不受管理装置的私有云资源和/或来自