许可离线使用。例如,企业可以想要以这样的方式来访问企业应用商店。在这种情况下,接收器404可以要求用户设置定制离线密码,并且AD密码不被使用。云网关406可以提供策略以控制和实施关于最小长度、字符类组成和密码使用年限的密码标准(例如通过标准Windows服务器密码复杂度要求描述的,尽管这些要求可以被修改)。
[0084]另一个特征涉及实现特定应用410的客户端侧证书作为次级证书(为了经由MDX微VPN特征访问PKI保护的网页资源的目的)。例如,例如OWorkMai 1的应用可以利用这样的证书。在这种情况下,使用ActiveSync协议的基于证书的认证可以被支持,其中,来自接收器404的证书可以由云网关406检索并且用在密钥链中。每个受管应用可以具有由在云网关406中定义的标签识别的一个相关的客户端证书。
[0085]云网关406可以与企业专用网页服务进行交互以支持客户端证书的发行以允许相关的受管应用认证到内部PKI保护的资源。
[0086]接收器404和MDX框架414可以被增强以支持获得和使用到内部PKI保护的网络资源的认证的客户端证书。多于一个证书可以被支持,例如以匹配各种等级的安全和/或分离要求。证书可以由邮件和浏览器受管应用来使用,并且最终由任意包装的应用来使用(提供的这些应用使用网页服务式通信模式,其中对于MDX框架调解HTTPS请求是合理的)。
[0087]对于每个使用周期,对1S的MDX客户端证书支持可以依赖于将PKCS 12BL0B (二进制大对象)导入到每个受管应用中的1S密钥链中。MDX客户端证书支持可以将HTTPS实现与专用存储器中的密钥储存一起使用。除了可能在被强保护的“仅仅在线”数据值中以外,客户端证书将永远不出现在1S密钥链中并且将不被持续。
[0088]相互SSL还可以被实现以通过要求移动设备402被认证到企业来提供附加的安全,并且反之亦然。用于到云网关406的认证的虚拟智能卡还可以被实现。
[0089]有限的和完全的Kerberos支持两者可以是附加的特征。完全的支持特征涉及使用AD密码或受信任的客户端证书进行完全Kerberos登录到AD 422并且获得Kerberos服务票据以响应于HTTP协商认证挑战的能力。有限的支持特征涉及AFEE中的约束委派,其中AFEE支持调用Kerberos协议转换,因此它可以获得和使用Kerberos服务票据(受到约束委派)以响应于HTTP协商认证挑战。该机制以反向网页代理(又称作CVPN)模式工作,并且当HTTP (但不是HTTPS)连接时以VPN和微VPN模式来代理。
[0090]另一个特征涉及应用容器锁定和擦除,其可以在越狱或获得管理员权限检测时自动发生,并且因为来自管理控制台的推送的命令而发生,并且可以包括远程擦除功能(甚至当应用410不运行时)。
[0091]企业应用商店和应用控制器的多站点架构或配置可以被支持,其允许用户在故障的情况下得到来自若干不同的位置中的一个的服务。
[0092]在一些情况下,受管应用410可以被允许经由API (示例OpenSSL)访问证书和专用密钥。企业的受信任的受管应用410可以被允许利用应用的客户端证书和专用密钥执行特定的公共密钥操作。各种使用情况可以被识别并且被相应地处理,例如当应用行为类似浏览器并且没有证书访问被要求时,当应用读取“我是谁”的证书时,当应用使用该证书以构建安全会话令牌时,并且当应用使用专用密钥用于重要数据(例如,交易日志)的数字签名或用于临时数据加密时。
[0093]企业系统中的用户和设备认证
[0094]图5和6是示出了认证企业系统中的客户端设备的特征和方法的各个示例的流程图。以下参考图5和6描述的特征和方法可以由计算设备或设备的组合(例如,在图1和2中示出的各种计算设备和系统)来执行,并且可以在各种不同类型的企业系统内实现(例如在图3和4中示出的说明性移动管理系统或任何其它的企业系统(即当提供到资源的访问时需要认证的任何计算设备))。图5和6涉及通过企业系统对经由客户端设备访问系统的用户的认证和资源访问控制。例如,在客户端设备302或402的用户可以通过访问网关360或406与企业系统进行通信、提供认证凭证以验证用户的身份以及然后可以请求和访问企业系统的各种资源和服务。
[0095]参考图5和6描述的各个实施例和示例可以包括关于认证的一些特征和潜在的优点以及对企业系统中的用户的资源访问控制。如在下文更详细描述的,特定的实施例可以允许用户较不频繁地将认证凭证输入到他们的设备中,并且在一些情况下,简化的用户秘密可以被输入来代替用户的完整的认证凭证(例如,用户名/密码),其可以为设备用户(并且特别的是移动设备用户)提供便利和节省时间。此外,可以为用户认证和资源访问控制功能提供增加的灵活性,据此特定的认证凭证和/或认证请求可以与特定的企业服务和资源和/或特定的时间段相关。当例如用户密码的安全凭证可以由用户较不频繁地(或根本不)输入,并且不需要储存在客户端设备,从而如果客户端设备或通信网络被破坏则保护用户和系统,由此,企业系统安全还可以在各个实施例和示例中增强。
[0096]现在参考图5,示出了示例方法,其中客户端设备(例如,移动设备302和/或402)和认证设备(例如,认证设备358和/或云网关406)通信以认证(即验证)企业系统的用户,并且使得被验证的用户能够访问企业系统的资源和服务。
[0097]在步骤501中,第一认证请求由客户端设备(例如客户端设备302或402)发起。第一认证请求可以由客户端设备302使用在客户端设备302上运行的安全的或非安全的应用(例如,控制台应用、移动应用或web浏览器或其它基于web的应用)登录尝试到企业系统。客户端设备302的用户可以使用客户端设备302的输入接口和/或输入设备来输入认证凭证。例如,用户可以使用键盘或触摸屏以将用户标识符和密码输入到客户端设备302中,其可以被加密和/或安全地传送到企业系统的访问网关360。访问网关360可以是安全服务器,并且可以被实现为一个或多个单独的计算设备(如图3和4中所示),或可选地可以被实现在服务器或提供资源或服务的其它计算设备(例如,电子邮件服务器、web应用服务器等等)内。访问网关360可以支持各种附加的认证技术(例如基于密码的、基于令牌的(例如,智能卡、磁条卡)、生物识别(例如,指纹、声纹、虹膜或视网膜扫描)等等)。在步骤501中的认证可以是单因素或多因素,并且可以包括多个认证步骤(例如,挑战问题)和相互的认证技术。
[0098]在步骤502中,认证设备358从客户端设备302接收认证请求,并且验证用户的认证凭证以确认该用户是具有访问企业系统的一个或多个资源或服务的权限的有效的系统用户。在该示例中,认证设备358可以指的是认证服务358在其上执行的计算设备。如图3中所示,访问网关360可以从移动设备302接收登录请求,并且将登录请求转发到认证服务358,其验证用户的凭证并且授权用户访问针对其用户被授权的企业资源或服务集。认证服务358可以被在一个或多个专用计算设备358上、在支持其它企业服务308和/或资源304的共享的计算设备358上实现,或可以在访问网关360内实现。在这些示例中,认证设备358可以被配置为通过将由用户输入的凭证呈现到认证服务(例如活动目录422)来验证(即认证)用户,其可以对用户的凭证的他们的准确性/有效性进行裁定。
[0099]在用户的凭证已经被在步骤502中成功验证之后,用户可以登录到企业系统并且可以被授权对企业系统内的资源304或服务308的访问。在步骤502中的用户的验证可以根据企业系统的设计是可选的。此外,在特定的示例中,用户可以被授权访问一些资源304和服务308,但是可能不被授权访问其它(根据关于企业系统中的各种资源304和服务308的用户的权限)。
[0100]在该示例中,在用户被在步骤502中验证之后,用户可以被在步骤503中提示将“用户秘密”(将在将来的资源访问请求中使用)输入到客户端设备302中。在其它示例中,用户可以在步骤501中的第一认证请求和步骤502中的验证之前、之后或同时被提示输入用户秘密。“用户秘密”可以是个人识别号码(PIN)、触摸屏手势、生物识别数据、口语短语或可视图像或由用户输入到客户端设备302中的其它数据。在步骤503中,用户可以被允许在输入他们的用户秘密之前选择用户秘密类型(例如,文本、PIN、手势、密码、口语短语、生物识别等等)。在其它示例中,用户秘密类型可以基于客户端设备302的物理能力来自动选择,并且用户可以被提示输入选择的类型的用户秘密。例如,如果客户端设备302是具有触摸屏的移动设备、PDA或平板电脑,则用户可以被提示输入触摸屏手势作为用户秘密。如果客户端设备302包括麦克风和音频处理软件,则用户可以被提示说一个单词或短语作为用户秘密。类似地,如果客户端设备302包括摄像机,则用户秘密可以是用户的脸、用户的家或办公室中的物品、或由用户选择的另一个对象的图像。用户秘密的其它示例包括在键盘上输入的文本密码、在键盘或数字小键盘上输入的PIN和/或可以从各种生物识别数据(例如,指纹、虹膜扫描等等)或可视图像等等获得。
[0101]在一些示例中,用户秘密可以不同于用户登录到企业系统所需的认证凭证(用户名和密码)和/或比其简单。很多系统需要强大的用户密码(例如具有最小长度、复杂性和/或不可预测性的密码)。这样的密码可能对于用户输入是乏味的(尤其在例如没有传统的键盘的移动电话、PDA和平板电脑的设备上)。相比之下,在一些实施例中,用户秘密可以被允许比密码更短和更简单,并且因此更快输入到客户端设备302中。此外,对于用户可以可选的或甚至需要的是,选择不同于在步骤501中输入的用户的密码的用户秘密。因此,如果用户秘密被盗用(例如通过在客户端设备302的恶意软件),则用户的密码可以保持被保护,并且企业系统的整体安全性可以被增强。
[0102]在步骤503中,客户端设备302内的软件和/或企业系统内的软件可以发起提示客户端设备302的用户输入用户秘密的功能。例如,认证设备358可以响应于在步骤502中的用户的凭证的成功的验证而发起提示用户输入秘密的功能。在该示例中,认证设备358可以首先确定用户秘密是否已经先前针对客户端设备302被设置,并且如果没有,则可以提示用户输入用户秘密。客户端设备302也可以发起提示用户输入用户秘密的功能。例如,接收器应用404(或其它基于客户端的应用410)可以建议用户输入用户秘密以便简化到企业系统的将来资源访问请求。接收器404或其它客户端应用410可以首先确定用户是否已经先前输入了用户秘密,和/或可以在提示用户输入用户秘密之前与用户确认客户端设备302不是共享的设备。在一些示例中,用户秘密可以与第一认证请求同时接收和传送。因此,步骤501和503可以被组合成单个步骤,并且类似地,步骤502和504可以被组合成单个步骤。此外,如以下更详细地论述的,用户秘密可以是可选的并且不需要在一些实施例中得到支持,并且因此步骤503和504在一些示例中不需要得到执行。
[0103]在步骤504中,在企业系统中的认证设备358可以从客户端设备302接收用户秘密,并且可以创建将用于来自客户端设备302的将来的资源访问请求的验证数据和访问令牌。在一些示例中,客户端设备302可以发起到认证服务358的呼叫,将在步骤503中输入的用户秘密传递到认证服务。客户端设备302还可以将确认客户端设备302当前登录到企业系统的附加的数据(例如会话cookie或令牌)传递到认证服务358中。
[0104]认证设备358可以然后创建将由企业系统存储的验证数据(例如,在认证设备358、访问网关360内或企业系统内的其它地方),并且可以创建将在步骤505中传送到客户端设备302的访问令牌。如以下论述的,访问令牌和验证数据可以被用于从客户端设备302到企业系统的将来的请求。在一些实施例中,访问令牌可以包括由认证设备358生成的或从密钥生成器接收的密码密钥(例如加密或解密密钥),并且验证数据可以由认证设备358使用密码密钥以加密以下项中的一项或多项来创建:对应于用户和/或客户端设备的密钥标识符;用户的当前的密码或其它认证凭证;和在步骤503中输入的用户秘密。密钥标识符可以是用户标识符(例如,用户名或登录),或可以是单独的标识符(例如,用于定位正确的验证数据的表索引)。
[0105]参考图7A,示出了由认证设备358在步骤504中创建验证数据710和访问令牌705的示例。在该示例中,认证设备收集密钥标识符701 (例如,对应于用户的验证数据的用户名或表索引)、用户的密码702和由用户在步骤503中输入的用户秘密703。用户的密码702可以包括密码、令牌(例如,安全声明标记语言(SAML)令牌)、或用户凭证数据。认证设备358使用可以由认证设备358生成或从企业系统内的加密密钥生成器接收到的密码密钥705来加密该数据。产生的加密的数据是验证数据710,其可以在步骤505中被存储在企业系统内,并且可以用于认证来自用户的将来的请求。在该示例中的认证设备358还创建包括密钥标识符701和用于加密验证数据710的密码密钥705的访问令牌715。在步骤505中,访问令牌715可以由认证设备358传送到客户端设备302。
[0106]如图7A中所示,可以通过加密密钥标识符701、密码702和用户秘密703来生成验证数据710。然而,在其它示例中,不是数据的所有三个部分都需被使用,并且验证数据710可以通过对数据的三个部分中的仅仅一个或两个部分进行加密来生成。验证数据710还可以包括加密的数据和未加密的数据的组合,或可以在一些示例中被完全存储为未加密的数据。例如,验证数据710可以在一些实施例中通过将加密的密码702附加到未加密的密钥标识符701来生成。类似地,访问令牌715可以包括密码密钥705和用户密钥701 (如图7A中所示)或可选地可以仅仅包括密码密钥705。访问令牌715还可以包括附加的信息,例如识别以下项的数据:与访问令牌715相关的多个用户、与访问令牌715相关的一个或多个客户端应用、与访问令牌715相关的一组企业资源和/或服务和与访问令牌715相关的访问时间段或截止日期。
[0107]在步骤506中,客户端设备302接收和存储由认证设备358在步骤505中传送的访问令牌715。如以上所讨论的,访问令牌715可以包括加密/解密密钥705而不包括用户的密码702或秘密703的加密