专利名称:控制受信网络节点的访问权限的方法和系统的制作方法
技术领域:
本发明涉及提供这样的方法和系统,以实现本地网络内宽松安全性的优点而不牺 牲对网络外部访问的强安全性的方式,控制对一个或多个计算机,如在未管理的网络内组 成安全组的受信节点的访问。在一个实施例中,对网络中的机器具有物理访问的用户可以 访问任何受信节点的数据,而无需指定、输入和记住密码。 根据本发明的一个方面,提供对安全网络组中的节点的访问进行控制的系统。该 系统包括组成安全网络组的多个相互受信节点,及提供在安全网络组内宽松安全性同时对 安全网络组的外部访问保持强安全性的机制。 一种这样的机制允许安全网络组内的用户访 问其他节点而无需输入身份验证凭证。 根据本发明的另一个方面,揭示了向用户提供对一个或多个计算机的访问的方 法。在第一个计算机中,对新用户账号生成强随机密码。将该账号通过例如设置标志指定 为空密码账号,并将强随机密码存储在数据库等等中。在一个实施例中,用户可以选择建立 空密码账号或常规账号。如果该计算机是受信节点组成的安全网络组的一部分,则将强随 机密码复制到组中的其他节点。 根据本发明的另一个方面,提供控制用户对计算机的访问的方法。用户选择用来 登录计算机的账号。如果通过例如检查标志,确定选择的账号是空密码账号,则通过例如查 询数据库,检索与该账号关联的存储的强随机密码。然后可以基于该密码对用户进行身份 验证。如果该账号不是空密码账号,则像常规登录那样提示用户输入密码。
本发明可以用于对作为生物统计身份验证账号建立的用户账号提供空密码或一 次点击登录特性。本发明的实施例可以在未管理的和管理的网络中,及独立的计算机中实 现。应理解,本发明可以全部或部分地通过硬件或软件或其组合实现。
图1为示意图,展示本地计算机网络,其中少量计算设备组成一个安全网络组,在 其中实现本发明的实施例; 图2为流程图,展示与用户根据本发明的实施例创建新的一次点击登录账号关联 的步骤; 图3为流程图,展示与用户根据本发明的实施例通过一次点击登录账号登录计算 机关联的步骤;及 图4为结构图,展示根据本发明的实施例配置 计算机的组件。
具体实施例方式
总的来说,本发明提供这样的系统和方法,以实现本地网络内宽松安全性的优点 而不牺牲对网络外部访问的强安全性的方式,控制对计算机,如在安全本地网络组中的受 信节点的访问。在一个实施例中,对网络中的机器具有物理访问的用户可以访问任何受信 节点的数据,而无需指定、输入和记住密码。从而将独立计算机上开放和方便的空密码账号 模型扩展到安全网络范围。当建立作为空密码账号的用户账号时,生成密码学上的强随机 密码,并将此生成的密码安全地存储在安全账号数据库中。在本发明的实施例中,用户只需 要点击用户标题等等就可以登录到网络中的计算机。因此本发明的空密码账号可以称为 "一次点击登录"账号。因为将用户安全账号信息复制到网络中的几个机器上,用户对所有 这些机器都能进行一次点击登录访问。 现参考图l,在一个实施例中,本发明适合于在由少量计算设备组成的未管理的本 地网络100内实现。在很多家庭网络和小型商业网络中,这样的网络是很典型的。从没有 集中的管理组件,如域控制器等等这个意义上来说,本地网络100是未管理的。所示的本地 网络100包括网络集线器或交换机104和多个与其相连的计算设备。计算机之间的连接可 以是有线或无线的。例如,设备116通过接入点114与网络无线通信。可以部署在如本地 网络IOO这样的网络中的计算设备的例子包括,但不仅限于,个人计算机、手持计算设备、 个人数字助理、笔记本计算机、移动电话、数码相机、具有处理器和存储器的电子设备、专用 计算设备等等。这样的设备主要细节对熟悉技术的人来说是很初级的,因而不在此赘述。
如图l所示,网络100中的部分机器,设备106U08、110和118,组成了安全网络 组102(通过虚线连接设备的表示),这对用户访问和资源共享提供组范围的控制,而无需 集中的管理组件。在本发明的上下文中,"安全网络组"指在组范围实现用于防止组外部的 计算机或用户进行非授权访问和使用资源,同时允许在组内基于每个用户进行共享资源的 安全政策和访问控制。安全网络组中的设备在它们之间建立信任并在组内共享信息,如用 户账号数据和用户配置文件数据。安全网络组并不依赖于特定的网络拓扑结构。新设备可 以加入安全网络组102,组中的设备可以离开安全组,并且在特殊的情况下,可以从组中移 去某设备。 组102中的每个计算设备都维护一个包括用户账号数据的安全信息数据库或其 等价。用户账号数据包括用户安全标识符(SID),用户安全标识符与每个授权用户关联并由 内部处理用于识别用户账号。在代表性的实施例中,SID是可变长数字值。在组成安全网 络组之后,将组中的每个机器上的安全信息都复制到组中的其他机器。复制安全信息使得 具有合法账号的用户能够登录到组中的任何一个计算机。有关在计算网络中复制安全配置 文件信息的更详细的说明在2003年4月15日提交、标题为"无需集中管理的小规模安全计 算机网络组"、编号为10/414, 354的共同指派的待批准申请提供,将其包括在此作为参考。
安全组102中的设备,如计算机118,包括本地安全授权(LSA)122、安全支 持提供者(SSP)120、安全账号管理器(SAM)124、存储的安全信息126、身份验证引擎 (WinLogon)128,及用户登录显示(登录用户接口 )130。后面参考图4对这些组件进行进一 步描述。 图2展示根据本发明的一个方面创建新的一次点击登录账号的处理。在图2中, 在开始之后,处理进入判定块200,其中确定新账号是一次点击登录账号还是常规的用户选
5择密码账号。在本发明的实施例中,将新用户账号作为一次点击登录账号建立,除非用户选 择对该账号指定密码。如果新账号不是一次点击账号,则在202提示用户输入密码。否则, 在204对新账号生成密码学上的强随机密码。因为使用了强随机密码,在其上创建该账号 的机器得到保护,防止字典攻击或其他非授权的外部访问。接下来进入块206,设置指示账 号是一次点击登录账号的数据标志。该标志可以是账号控制标志集合中的一个。在块208, 将用户的安全配置文件信息,包括生成的强随机密码,安全地存储在数据库中。然后处理终 止。然后将用户账号信息,包括特定于用户的强随机密码,复制到安全网络环境中的其他受 信的机器上。随后用户可以登录到安全组中的任何受信机器,而无需输入密码。熟悉技术 的人应理解,这些特定步骤的顺序是任意的,且可以改变顺序而不偏离本发明的核心。
图3展示用户登录到机器上已有的一次点击账号的处理。在开始之后,处理进入 判定块300,其中确定是否设置了此账号的一次点击登录标志。如果未设置该标志,则在块 302提示用户输入密码。如果设置了该标志,则登录用户接口不显示密码输入对话框,且处 理进入块304,其中查询数据库,检索与用户的一次点击账号关联的强随机密码。在块306, 将密码传递给SSP,目前用户已登录,且在块308完成登录。然后处理终止。
在图4所示结构图中进一步展示了根据本发明的实施例配置的计算设备的组件。 计算机400包括LSA 402。在示例实施例中,LSA 402是负责本地系统安全政策的用户模式 处理。安全政策控制这样的事务,如用户身份验证、密码政策、授予用户和组的权限,及系统 安全审核设置。在示例实施例中,SSP 404包括使得安全协议包对应用程序可用的动态链 接库。SAM 406是通过安全信息数据库408维护用户账号信息的服务。设备400还包括与 LSA 402和登录用户接口 412交互的用户身份验证引擎410。 根据本发明实施例各方面,当用户尝试通过一次点击登录账号登录计算机400 时,用户身份验证引擎410使得登录用户接口组件412显示与计算机400关联的用户账号。 通过用户接口 412,用户点击用户账号标题或对其账号的其他表示,且用户接口组件412将 用户的选择发送到用户身份验证引擎410。用户身份验证引擎410通知LSA 402用户希望 通过选择的用户账号登录。在LSA402内,SSP 404通过SAM 408从数据库408中检索密码, 使得可以使用该密码对试图通过一次点击登录账号登录到机器400的用户进行身份验证。
本发明的实施例还可以使用生物统计身份验证账号。在生物统计账号保护中,用 户通过向输入设备提供唯一的身体特征,如拇指纹,来安全地登录机器。根据本发明的实施 例,当用户建立生物统计账号时,如上述一次点击登录账号那样对该账号生成强随机密码 并存储在安全账号数据库中。当用户试图登录某机器时,SSP从数据库中检索该强随机密 码,且对该账号的用户登录进行身份验证。 本发明的其他实施例可以在管理的以及未管理的网络环境中实现。本发明使得可 能使用简化的用户接口,如并不显示密码对话框的登录接口。通过本发明,目前限于独立机 器上的空密码账号的方便的用户接口,也可以用于安全网络组。 在此描述了本发明的较佳实施例,包括对发明人已知的实现本发明的最佳模式。 考虑到本发明的原理可以应用于很多可能的实施例,应理解,在此所述的实施例只是说明 性的,并不应理解为限止本发明的范围。熟悉技术的人应理解,可以修改所述实施例的安排 和细节而不偏离本发明的精神。因此,本发明如在此所述包括可以出现在下面的权利要求 及其等价范围内的所有这样的实施例。
权利要求
一种用于向用户提供对一个或多个计算机的访问的方法,包括在第一个计算机,对用户的新账号生成强随机密码;将所述新账号指定为空密码账号;及存储所述强随机密码。
2. 如权利要求1所述的方法,其特征在于,所述存储强随机密码包括安全地存储所述 密码。
3. 如权利要求1所述的方法,其特征在于,还包括在一开始确定新账号是否是空密码 账号。
4. 如权利要求3所述的方法,其特征在于,还包括,如果所述新账号不是空密码账号, 则提示用户选择密码。
5. 如权利要求3所述的方法,其特征在于,所述在一开始确定新账号是否是空密码账 号还包括将新账号作为空密码账号建立,除非用户指示所述新账号不是空密码账号。
6. 如权利要求1所述的方法,其特征在于,所述将新账号指定为空密码账号还包括设 置标志。
7. 如权利要求1所述的方法,其特征在于,所述存储强随机密码还包括通过数据库存 储所述强随机密码。
8. 如权利要求1所述的方法,其特征在于,还包括,如果一个或多个计算机包括多个相 链接的计算机,则将所述强随机密码复制到多个相连接的计算机中第一个计算机之外的每 个计算机。
9. 如权利要求8所述的方法,其特征在于,所述复制强随机密码还包括将所述强随机 密码复制到安全网络组中的一个或多个受信节点。
10. 如权利要求9所述的方法,其特征在于,还包括向用户提供至少与非空密码账号用 户相同的对所述安全网络组的访问权限。
11. 如权利要求1所述的方法,其特征在于,所述对新账号生成强随机密码还包括对生 物统计身份验证账号生成强随机密码。
12. —种用于控制用户对计算机的访问的方法,包括 确定用户选择的账号是否是空密码账号;如果所述账号是空密码账号,则检索与所述账号关联的存储的强随机密码;及 对用户进行身份验证。
13. 如权利要求12所述的方法,其特征在于,所述确定账号是否是空密码账号还包括 确定是否设置了与所述账号关联的标志。
14. 如权利要求12所述的方法,其特征在于,还包括,如果所述账号不是空密码账号, 则提示用户输入密码。
15. 如权利要求12所述的方法,其特征在于,所述检索存储的强随机密码还包括查询数据库。
16. 如权利要求12所述的方法,其特征在于,所述确定用户选择的账号是否是空密码 账号还包括确定所述账号是否是生物统计身份验证账号。
全文摘要
本发明揭示了控制对计算机访问的系统和方法,在本地网络内提供宽松的安全性,同时对网络的外部访问保持强安全性。本发明提供一种用于向用户提供对一个或多个计算机的访问的方法在第一个计算机,对用户的新账号生成强随机密码;将所述新账号指定为空密码账号;及存储所述强随机密码。本发明还提供一种用于控制用户对计算机的访问的方法确定用户选择的账号是否是空密码账号;如果所述账号是空密码账号,则检索与所述账号关联的存储的强随机密码;及对用户进行身份验证。
文档编号H04L29/06GK101729551SQ20091022086
公开日2010年6月9日 申请日期2005年8月15日 优先权日2004年9月15日
发明者E·R·弗罗, J·E·布里扎克, P·J·利齐, R·奇纳塔, S·M·里瑟 申请人:微软公司