在企业系统中的用户和设备认证的制作方法
【专利说明】在企业系统中的用户和设备认证
[0001]相关案例的交叉引用
[0002]本申请要求于2013年5月3日提交的申请号为13/886,518的美国申请的优先权。
[0003]领域
[0004]本文描述的方面总体上涉及企业系统内的用户的认证。更具体地,本文的特定方面提供移动设备和其它客户端设备上的用户到企业系统中的各种资源和服务的安全认证的方法。
[0005]背景
[0006]移动设备(例如,智能电话、个人数字助理、平板电脑、其它类型的移动计算设备)正变得越来越流行。为了各种目的,移动设备被用在个人和商业环境中。此外,很多人具有多个计算设备(包括一个或多个移动设备)。用户的不同的设备可以位于不同的位置中,并且可以具有不同的物理设备功能。例如,用户可以具有带有标准键盘和鼠标接口的台式电脑、带有触摸屏接口和语音识别功能的移动设备、带有指纹扫描仪接口的膝上型电脑等等。
[0007]具有多个计算设备的用户可能希望使用他们的设备中的任一个来访问相同的数据、应用和其它信息。为了经由客户端设备远程访问数据和应用,用户可以首先由提供数据和应用的认证服务和/或远程资源或服务来认证。通常,用户将认证凭证(例如用户名和密码)输入到他们的设备中以便验证他们的身份并且访问企业系统的远程资源或服务。用户可能需要定期重新认证(例如在通信会话期间或在新的会话开始时)。此外,对于不同的远程资源或服务,单个用户可能具有不同的认证凭证集。
[0008]简要概述
[0009]以下的内容呈现了本文描述的各个方面的简化概述。该概要并非广泛的综述,并且并非旨在确定关键或重要元素或描绘权利要求的范围。以下的概述仅仅以简化形式呈现一些概念作为对以下提供的更详细的描述的介绍性的前奏。
[0010]为了克服以上描述的现有技术的限制,并且克服在阅读和理解本说明书时将明显的其它限制,本文描述的方面针对在移动设备和其它客户端设备上的用户的安全认证,并且允许访问企业系统中的各种资源和服务。根据某些方面,认证设备可以从客户端设备接收用户认证凭证(包括密码(或令牌))。用户可以被用认证凭证进行验证,并且认证设备可以创建包括加密的用户密码的验证数据和包括用于对密码进行加密的密码密钥(cryptographic key)的访问令牌。验证数据可以由认证设备存储,并且访问令牌可以被传送到客户端设备。对于来自客户端设备的将来的资源访问请求,客户端设备可以传送访问令牌,并且认证设备可以使用从客户端设备接收的访问令牌来检索和解密验证数据。
[0011]根据附加的方面,用户可以经由客户端设备的输入接口输入用户秘密(usersecret)(例如,个人识别号码、触摸屏手势或生物统计数据)。用户秘密可以由认证设备存储并且用于验证来自客户端设备的将来的请求。例如,用户可以针对将来的请求重新输入用户秘密,并且认证设备可以将请求中的用户秘密与对应于相同的用户、设备和/或请求的资源或服务的先前的存储的用户秘密进行比较。
[0012]根据另外的方面,在利用第一组认证凭证验证用户之后,针对第一用户,一个或多个附加的组的认证凭证可以被检索并且存储在访问网关或企业系统中的其它储存器。附加的组的认证凭证可以对应于用于访问企业系统中的各种服务或资源的、相同的用户的不同的凭证。在来自客户端设备的将来的请求中,可以基于第一组的认证凭证来验证用户,并且然后附加的组的认证凭证可以被检索并且根据请求的服务或资源添加到请求。
[0013]得益于以下进一步详细论述的本公开,将理解这些和附加的方面。
[0014]附图简述
[0015]可以通过参考考虑到附图的以下的描述来获得本文描述的方面的更完整的理解及其优点,其中相似的参考数字指示相似的特征,并且在附图中:
[0016]图1示出了可以根据本文描述的一个或多个说明性方面来使用的说明性计算机系统架构。
[0017]图2示出了可以根据本文描述的一个或多个说明性方面来使用的说明性远程访问系统架构。
[0018]图3根据本文描述的一个或多个说明性方面示出了说明性企业移动管理系统。
[0019]图4根据本文描述的一个或多个说明性方面示出了另一个说明性企业移动管理系统。
[0020]图5是根据本文描述的一个或多个说明性方面示出了客户端设备和认证设备之间的示例用户认证过程的流程图。
[0021]图6是根据本文描述的一个或多个说明性方面示出了客户端设备和企业系统的各个组件之间的示例用户认证和资源访问请求的流程图。
[0022]图7A和7B是根据本文描述的一个或多个说明性方面示出了用于在客户端设备和认证设备之间的认证过程中创建和使用验证数据和访问令牌的示例技术的图示。
[0023]详细描述
[0024]在各个实施例的以下描述中参考了以上确认的附图,并且其形成本文的一部分,并且其中通过说明的方式示出了各个实施例,其中本文描述的各方面可以被实践。应当理解的是,其它实施例可以被利用,并且结构性的和功能性的修改可以被做出,而不偏离本文描述的范围。各个方面能够其它的实施例并且能够被以各种不同的方式来实践或实施。
[0025]作为对下文更加详细描述的主题的一般介绍,本文描述的各方面针对在移动计算设备处使用受管移动应用控制对在企业系统的资源的远程访问。访问管理器可以执行确认请求对企业资源的访问的移动应用自身是否被准确地确认以及在安装在移动计算设备之后是否没有被随后改变的验证过程。以这种方式,访问管理器可以确保请求对企业资源访问的移动应用可以被信任以及不试图规避用于保护那些企业资源的安全机制。因此,与企业相关的个体可以有利地在他们的个人移动设备利用企业资源。
[0026]应当理解的是,本文使用的措辞和术语是为了描述的目的,并且不应当被视为限制性的。相反,本文使用的短语和术语将被给出它们最广义的解释和含义。“包括(including) ”和“包含(comprising) ”及其变化的使用旨在包含其后列出的项以及其等价物以及其附加的项和等价物。术语“安装的(mounted) ”、“连接的(connected) ”、“親合的(coupled) ”、“定位的(posit1ned) ”、“接合的(engaged) ”以及类似术语的使用旨在包括直接和间接安装、连接、親合、定位和接合两者。
[0027]计算架构
[0028]计算机软件、硬件和网络可以被在各种不同的系统环境中使用,其中各种不同的系统环境除了别的之外包括独立的、联网的、远程访问(又叫做远程桌面)、虚拟化的和/或基于云的环境。图1示出了可以用于在独立的和/或联网的环境中实现本文描述的一个或多个说明性方面的系统架构和数据处理设备的一个示例。各个网络节点103、105、107和109可以经由广域网(WAN) 101 (例如互联网)来互连。其它网络也可以或可选地被使用,包括私人企业内部网、公司网络、LAN、城域网(MAN)无线网络、个人网络(PAN)等等。网络101是为了说明的目的并且可以用较少的或附加的计算机网络来代替。局域网(LAN)可以具有任何已知的LAN拓扑结构中的一个或多个以及可以使用各种不同的协议中的一个或多个(例如以太网)。设备103、105、107、109和其它设备(未示出)可以经由双绞线、同轴电缆、光纤、无线电波或其它通信介质连接到网络中的一个或多个。
[0029]如在本文使用和在附图中描绘的术语“网络”不仅指的是其中远程存储设备经由一个或多个通信路径被耦合在一起的系统,而且指的是可以不时耦合到具有存储能力的这样的系统的独立的设备。因此,术语“网络”不仅包括“物理网络”,而且包括“内容网络”,其由归因于驻留在全部物理网络的单个实体的数据组成。
[0030]组件可以包括数据服务器103、web服务器105和客户端计算机107、109。数据服务器103提供数据库的总访问、控制和管理以及用于执行本文描述的一个或多个说明性方面的控制软件。数据服务器103可以连接到web服务器105,用户通过网页服务器105根据要求进行交互和获得数据。可选地,数据服务器103可以用作web服务器本身并且可以直接连接到互联网。数据服务器103可以通过网络101 (例如互联网)经由直接或间接连接或经由一些其它网络连接到web服务器105。用户可以使用远程计算机107、109 (例如使用网页浏览器)与数据服务器103交互以经由由web服务器105托管的一个或多个暴露在外的网站连接到数据服务器103。客户端计算机107、109可以与数据服务器103 —致使用以访问其中存储的数据或可以用于其它目的。例如,从客户端设备107用户可以使用互联网浏览器(如本领域已知的)或通过执行通过计算机网络(例如互联网)与web服务器105和/或访问数据服务器103进行通信的软件应用来访问web服务器105。
[0031]服务器和应用可以被组合在相同的物理机器上并且保持独立的虚拟或逻辑地址,或可以驻留在独立的物理机器上。图1仅仅示出了可以使用的网络架构的一个示例,并且本领域的技术人员将理解的是,所使用的特定的网络架构和数据处理设备可以变化,并且对于它们提供的功能是次要的(如本文进一步描述的)。例如,由web服务器105和数据服务器103提供的服务可以组合在单个服务器上。
[0032]每个组件103、105、107、109可以是任何类型的已知的计算机、服务器或数据处理设备。数据服务器103例如可以包括控制速率服务器103的总操作的处理器111。数据服务器103还可以包括RAM 113,ROM 115、网络接口 117、输入/输出接口 119(例如,键盘、鼠标、显示器、打印机等)以及存储器121。I/O 119可以包括用于读取、写入、显示和/或打印数据或文件的各种接口单元和设备。存储器121还可以存储用于控制数据处理设备103的总操作的操作系统软件123、用于指令数据服务器103以执行本文描述的方面的控制逻辑125和提供次要的支持和/或其它功能的其它应用软件127 (其可以或不可以结合本文描述的方面来使用)。控制逻辑在本文还可以被称为数据服务器软件125。数据服务器软件的功能可以指的是基于编码成控制逻辑的规则自动进行的、由用户将输入提供到系统中手动进行的操作和决定和/或基于用户输入(例如查询、数据更新等)的自动处理的组合。
[0033]存储器121还可以存储在执行本文描述的一个或多个方面时使用的数据(包括第一数据库129和第二数据库131)。在一些实施例中,第一数据库可以包括第二数据库(例如,作为单独的表格、报告等)。也就是说,根据系统设计,信息可以被存储在单个数据库中,或分离成不同的逻辑、虚拟、或物理数据库。设备105、107、109可以具有与关于设备103描述的架构类似的或不同的架构。本领域技术人员将理解的是,如本文描述的数据处理设备103(或设备105、107、109)的功能可以跨越多个数据处理设备而分布(例如以跨越多个计算机分配处理负荷)以基于地理位置、用户访问级别、服务质量(QoS)等来将事务分开。
[0034]—个或多个方面可以以计算机可用或可读的数据和/或计算机可执行的指令(例如,在由如本文描述的一个或多个计算机或其它设备执行的一个或多个程序模块中)来体现。通常,程序模块包括当由计算机或其它设备中的处理器执行时执行特定的任务或实现特定的抽象数据类型的例程、程序、对象、组件、数据结构等。模块以以随后被编译用于执行的源代码编程语言来编写或可以以例如(但不限于)HTML或XML的脚本语言来编写。计算机可执行指令可以被存储在计算机可读介质(例如非易失性存储介质)上。任何合适的计算机可读存储介质可以被利用,其包括硬盘、CD-ROM、光存储设备、磁存储设备和/或其任何组合。此外,表示如本文描述的数据或事件的各种传输(非存储)介质可以以经过信号传导介质(例如,金属线、光纤)和/或无线传输介质(例如,空气和/或空间)的电磁波的形式在源和目的地之间传递。本文描述的各个方面可以体现为方法、数据处理系统或计算机程序产品。因此,各个功能可以全部或部分以软件、固件和/或硬件或硬件等价物(例如,集成电路、现场可编程门阵列(FPGA)等等)来体现。特定数据结构可以用于更有效地实现本文描述的一个或多个方面,并且这样的数据结构被预期在本文描述的计算机可执行指令和计算机可用数据的范围之内。
[0035]进一步参考图2,本文描述的一个或多个方面可以在远程访问环境中实现。图2示出了包括在说明性计算环境200中的通用计算设备201的示例系统架构,其可以根据本文描述的一个或多个说明性方面来使用。例如,通用计算设备201可以用作被配置为提供客户端访问设备的虚拟机的单服务器或多服务器桌面虚拟化系统(例如远程访问或云系统)中的服务器206a。通用计算设备201可以具有用于控制服务器的总操作的处理器203及其相关组件(包括随机访问存储器(RAM) 205、只读存储器(ROM) 207、输入/输出(I/O)模块209和存储器215)。
[0036]I/O模块209可以包括鼠标、键盘、触摸屏、扫描仪、光学阅读器和/或触针(或其它输入设备),通用计算设备201的用户通过其可以提供输入,并且还可以包括用于提供音频输出的扬声器和用于提供文本、视听和/或图形输出的视频显示设备中的一个或多个。软件可以被存储在存储器215和/或其它储存器内以向处理器203提供用于将通用计算设备201配置成专用计算设备以便执行如本文描述的各种功能的指令。例如,存储器215可以存储由计算设备201使用的软件(例如,操作系统217、应用程序219和相关的数据库221)。
[0037]计算设备201可以在支持到例如终端240 (也被称为客户端设备)的一个或多个远程计算机的连接的联网的环境中操作。终端240可以是个人计算机、移动设备、膝上型计算机、平板电脑、或包括以上关于通用计算设备103或201描述的很多或所有元件的服务器。在图2中示出的网络连接包括局域网(LAN) 225和广域网(WAN) 229,但是还可以包括其他网络。当在LAN联网环境中使用时,计算设备201可以通过网络接口或适配器223连接到LAN 225。当在WAN联网环境中使用时,计算设备201可以包括调制解调器227或用于通过例如计算机网络230 (例如互联网)的WAN 229建立通信的其它广域网络接口。将理解的是,所示出的网络连接是说明性的,并且可