通过机器生成的认证令牌操作服务的技术,包括认证令牌管理组件,至少部分地基于与客户的第一账户相关联的客户认证信息来建立与客户端设备的安全连接,接收对与客户的第一账户相关联的一个或多个账户的账户信息的请求,经由客户端设备提供与第一账户相关联的第二账户的账户信息给客户,接收生成针对第二账户的认证令牌的请求,基于与所述客户相关联的所述客户认证信息来验证生成所述认证令牌的所述请求,以及令牌生成组件,其生成针对第二账户的认证令牌。描述并且要求保护其他实施例。
【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
利用目前可用于设计计算与通信系统的各种高速发展的方法,很多用户可能需要访问用于托管系统的一个或多个服务的服务器,为了测试、升级、调试、开发、部署和/或维护这些服务器的目的。然而,用户的增加也会伴随着用户账户、访问水平和关联的安全风险的增加。
技术实现思路
下面提供了简要的
技术实现思路
,以便于提供对本文所描述的一些新颖实施例的基本理解。该
技术实现思路
不是泛泛的概览,也不旨在确定主要/关键元素或者界定其范围。其唯一的用途是以简化的形式呈现一些概念作为后面呈现的更详细说明的前序。各个实施例总体上涉及到通过利用机器生成的认证令牌来操作服务以增强网络安全性的技术。一些实施例特别地涉及到用于管理与一个或多个服务账户相关联的认证令牌的技术。在一个实施例中,例如,一种装置可以包括:处理器电路;以及由处理器电路执行的服务器应用。服务器应用可以包括管理组件,该管理组件至少部分地基于与客户的第一账户相关联的客户认证信息来建立与客户端设备的安全连接,接收对与客户的第一账户相关联的一个或多个账户的账户信息的请求,经由客户端设备将与第一账户相关联的第二账户的账户信息提供给客户,接收生成第二账户的认证令牌的请求,以及基于与所述客户相关联的所述客户认证信息来验证生成所述认证令牌的所述请求。服务器应用还可以包括:令牌生成组件,其用于生成第二账户的认证令牌;以及通知组件,其用于在安全的连接上经由客户端设备将认证令牌提供给客户以便客户使用。描述了其它实施例并要求保护。为了实现上述目的以及相关的目的,本文结合下面的说明书和附图阐述了一些示例性的方面。这些方面表明可以实现本文公开的原理的各种方式,并且所有方面及等同物旨在落入所要求保护的主题的范围内。其它优点和新颖特征将根据以下结合附图考虑的具体实施方式而变得显而易见。附图说明图1示出了用于服务账户的认证令牌管理系统的示例。图2示出了用于管理服务账户的认证令牌的认证令牌管理系统的用户接口视图的示例。图3A示出了接收对与客户相关联的服务账户的请求的认证令牌管理应用的逻辑流程的示例。图3B示出了接收对生成用于服务账户的认证令牌的请求的认证令牌管理应用的逻辑流程的示例。图3C示出了用于令牌管理代理应用的逻辑流程的示例。图3D示出了请求相关联的服务账户以及请求相关联的服务账户的认证令牌的生成的客户端设备的逻辑流程的示例。图4示出了计算体系结构的示例。具体实施方式各个实施例总体上涉及提供对用于一个或多个账户的认证令牌的管理的认证令牌管理系统。通过使用认证令牌管理系统来生成认证令牌(例如,口令、密码、密钥、个人标识号(PIN)、加密令牌等)来替代用于电子系统的一些或全部账户的全部人类创建的认证令牌,电子系统的安全性和隐私性可得到大幅提升。为了实现这些以及其它的改进,认证令牌管理系统通常可布置成基于多因素认证协议(例如,使用智能卡和关联PIN的两因素认证)来认证客户(例如,用户、工程师、承包商、顾客和/或软件/硬件组件),使用例如联合身份应用(例如,活动目录联合服务(AD FS))或者任何其它互联网信息服务(IIS)认证提供商来基于多因素认证协议验证客户的认证。利用当前可用于设计软件即服务(SaaS)系统的各种高速发展的方法,许多用户(例如,测试者、工程师、承包商、内部顾客和/或外部顾客)可能需要访问用于托管SaaS系统的一个或多个服务的服务器,为了日常测试、升级、调试、开发、部署和/或维护这些服务器的目的。由于大量用户需要访问服务器,每个用户可被授予一个或多个用户账户来访问这些服务器。然而,随着SaaS系统增加,用户账户数量和相关联的安全风险也增加。这是因为,每个额外的用户账户会对攻击者暴露潜在的进入点,结果,增大了攻击者获得非授权访问权的攻击表面或向量。当一些用户账户为了执行它们的日常任务而具有提升的特权(例如,管理特权)时,这些潜在的进入点变得尤其成问题。虽然各种认证方法当前可用于确保这些账户不易于受到攻击者危害,但是使用人类创建的口令一直是脆弱的,尤其当人类创建的口令趋于短、简单且经常跨多个账户重用时。这些因素与SaaS系统中可用的大量账户相结合造成了攻击者会通过例如危害与Saas系统的一个或多个账户相关联的人类口令来获得非授权访问权的很大的风险和概率。攻击者的这种非授权访问权会对商业带来极大的伤害并且导致顾客有严重的安全性和隐私性担忧。在各个实施例中,为了使得客户(例如,用户、工程师、承包商、顾客和/或软件/硬件组件)能够取回与他们的客户账户相关联的一个或多个服务账户,认证令牌管理系统通常可布置成接收对于服务账户的集合的一个或多个客户请求,以及响应于一个或多个客户请求而提供服务账户的集合和与服务账户相关联的服务账户信息(例如,服务账户标识符、服务账户角色、服务账户范围、服务账户生存期、服务账户状态等)。一旦已经接收到对服务账户集合的请求,认证令牌管理系统可以进一步布置成认证一个或多个接收到的请求。在请求已经被验证后,认证令牌管理系统可布置成至少部分地基于代理认证信息(例如,共享秘密数字证书的数字指纹或拇指指纹)经由会暴露数据中心中的公共端点的代理应用来取回或取得一个或多个服务账户并且向客户端设备提供所取回的一个或多个服务账户。为使得客户能够以安全的方式为一个或多个服务账户生成认证令牌,认证令牌管理系统通常可以布置成通过安全的连接(例如,使用超文本传输协议安全(HTTPS)的可信且加密的连接)经由各种网络互连接收一个或多个请求以生成用于服务账户的认证令牌。一旦已经接收到生成一个或多个认证令牌的请求,认证令牌管理系统可进一步布置成验证接收到的一个或多个请求。在已经验证了请求后,认证令牌管理系统可布置成至少部分地基于客户认证信息来生成用于一个或多个服务账户的认证令牌。为了以安全的方式生成认证令牌,认证令牌管理系统可通常布置成使用一个或多个安全硬件和/或软件组件(例如,可信平台模块(Trusted Platform Module(TPM))、MICROSOFT.NET框架库(Framework Library)的System.Web.Security.Membership等)通过认证令牌管理系统的服务器设备来生成认证令牌。一旦通过服务器设备生成了认证令牌,认证令牌管理系统的服务器设备可进一步布置成请求至少部分地基于代理认证信息(例如,认证令牌管理应用与令牌管理代理应用之间的共享安全数字证书以及共享秘密数字证书的数字指纹或拇指指纹)经由代理应用更新或设置针对服务账户的认证令牌。代理应用可布置成请求管理服务账户的目录服务服务器设备和/或与管理服务账户的目录服务服务器设备通信以利用所生成的认证令牌来更新或设置现有的认证令牌。为进一步使得一个或多个服务账户安全,认证令牌管理系统通常布置成配置所生成的认证令牌不能变,以使得一旦已经为服务账户生成了认证令牌则客户不可以修改或更新认证令牌(例如,修改或更新认证令牌为较弱的认证令牌)。此外,认证令牌管理系统可进一步布置成生成唯一的认证令牌,以使得SaaS系统中没有两个服务账户可具有相同的认证令牌。在认证令牌包括口令、密钥、密码、PIN等的实施例中,认证令牌管理系统可布置成生成包括随机生成的字母数字字符和/或符号的序列的认证令牌。生成的字母数字本文档来自技高网...
【技术保护点】
一种装置,包括:处理器电路;以及由所述处理器电路执行的服务器应用,所述服务器应用包括管理组件,所述管理组件至少部分地基于与客户的第一账户相关联的客户认证信息来建立与客户端设备的安全连接,接收对与所述客户的第一账户相关联的一个或多个账户的账户信息的请求,经由所述客户端设备将与所述第一账户相关联的第二账户的账户信息提供给所述客户,接收针对所述第二账户生成认证令牌的请求,以及基于与所述客户相关联的所述客户认证信息来验证生成所述认证令牌的所述请求。
【技术特征摘要】
【国外来华专利技术】2014.03.27 US 14/227,4191.一种装置,包括:处理器电路;以及由所述处理器电路执行的服务器应用,所述服务器应用包括管理组件,所述管理组件至少部分地基于与客户的第一账户相关联的客户认证信息来建立与客户端设备的安全连接,接收对与所述客户的第一账户相关联的一个或多个账户的账户信息的请求,经由所述客户端设备将与所述第一账户相关联的第二账户的账户信息提供给所述客户,接收针对所述第二账户生成认证令牌的请求,以及基于与所述客户相关联的所述客户认证信息来验证生成所述认证令牌的所述请求。2.如权利要求1所述的装置,其中,所述服务器应用还包括:代理组件,其通过将代理认证信息的一部分提供给令牌管理代理应用来请求与所述客户的第一账户相关联的一个或多个账户的账户信息,其中,所述令牌管理代理应用被配置为取回由目录服务服务器设备管理的所述一个或多个账户的账户信息。3.如权利要求2所述的装置,其中,所述代理组件响应于对所述一个或多个账户的账户信息的请求,进一步从所述令牌管理代理应用接收与所述第一账户相关联的第二账户的账户信息。4.如权利要求1所述的装置,其中,所述服务器应用还包括:令牌生成组件,其生成所述第二账户的认证令牌;以及通知组件,其将所述认证令牌通过所述安全连接经由所述客户端设备提供给所述客户以供客户使用。5.如权利要求2所述的装置,其中,所述代理组件进一步将与所述第二账户相关联的账户信息、所生成的认证令牌、以及所述代理认证信息的一部分提供给令牌管理代理应用,其中,所述令牌管理代理应用被配置为更新与由所述目录服务服务器设备管理的所述第二账户相关联的认证令牌。6.如权利要求1所述的装置,其中,与客户账户相关联的所述客户认证信息包括数字证书以及与身份令牌相关联的个人标识号(PIN),并且所述认证令牌是至少部分地基于长度参数和字符类参数而生成的明文随机口令。7.如权利要求1所述的装置,其中,生成所述认证令牌的请求与令牌请求信息相关联,并且所述令牌请求信息包括至少...
【专利技术属性】
技术研发人员:L·舍恩,S·库马尔,R·达尼,S·马图尔,S·布拉迪,R·阿里米利,D·赫瑟林顿,V·阿胡贾,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。