用于装置安全外壳的单点登录方法制造方法及图纸

本发明专利技术提供了用于有效地建立用于访问Web资源的安全外壳连接的系统和方法。用户尝试在客户端计算设备与远程存储设备之间建立安全的超文本传输协议(HTTP)会话。所述存储设备将所述客户端计算设备的Web浏览器重定向到用于授权所述用户的单点登录(SSO)第三方身份提供商。在成功授权之后，所述客户端计算设备接收用于维护安全HTTP会话的信息。该信息存储在所述存储设备上。所述用户尝试建立基于文本的安全外壳会话。所述用户不会被提示提供登录凭据。然而，使用所述先前存储的信息对所述用户进行认证，并且建立基于文本的安全外壳会话。

【技术实现步骤摘要】
【国外来华专利技术】用于装置安全外壳的单点登录方法
技术介绍

本专利技术涉及安全网络通信领域，并且更具体地涉及有效地建立用于访问Web资源的安全外壳连接。相关领域的描述早期的客户端一服务器计算模型利用多个客户端计算设备中的每一个客户端计算设备上的代码以及远程服务器上的代码来获得支持的客户端-服务器应用程序。客户端计算设备的代码提供了用户界面，并且代码被安装在多个客户端计算设备中的每一个客户端计算设备上。升级导致对多个客户端计算设备中的每一个客户端计算设备上的代码的更改。另外，客户端计算设备和服务器的代码通常取决于给定指令集架构(ISA)和操作系统(OS)。基于Web的应用程序通过利用标准语言格式创建的网页来处理上述许多问题。客户端计算设备上的Web浏览器将请求传输到存储所请求的网页的远程Web服务器。Web浏览器使用超文本传输协议(HTTP)来传输请求。当成功访问特定网页时，在远程Web服务器上托管的应用程序的客户端代码被下载到客户端计算设备。托管应用程序的远程Web服务器可限制对特定用户组的应用程序的访问。用于客户端一服务器计算模型的早期安全实践使用HTTP基本认证，其中用户提供了用于在允许用户访问托管应用程序之前认证用户的凭据。这种类型的认证提示用户提供用于每次访问通过远程Web服务器可用的其他资源的凭据，尽管用户已被认证。另外，一旦用户被认证，可包括编码格式的凭据的应用编程接口(API)密钥用于每个请求的标头。获得由已认证用户使用的计算设备的访问权限的恶意用户可逆向工程计算设备上的应用程序的客户端代码并获得所存储的API密钥。令牌认证提供了对访问在远程Web服务器上托管的基于Web的应用程序的每个连接的计算设备的跟踪，并且当用户已经认证时不会提示提供用于访问通过远程Web服务器可用的其他资源的凭据。操作系统通过隐藏访问令牌的存储来提供附加的安全性。此外，访问令牌的有效期限限制了恶意用户获得访问令牌的潜在损害。认证服务用于验证用户凭据并生成将要在远程Web服务器上的会话期间使用的临时访问令牌。令牌认证的生成和维护是很复杂的。开发人员更倾向于把时间用在创建基于Web的应用程序并在线获取应用程序以及快速运行上，而不是花费大量的时间来编写用于支持和维护令牌认证的代码。此外，对于许多类型的任务和对应的基于Web的应用程序，特定用户(诸如系统管理员)更喜欢使用安全外壳(SSH)用户界面。SSH用户界面为OS和基于Web的应用程序提供了命令行界面(CLI)。然而，尽管系统管理员已经在托管基于Web的应用程序的远程Web服务器上建立了HTTP会话，但是SSH访问通常会提示用户进行另一次登录尝试。认证服务还可在验证凭据时使用HTTP重定向。SSH用户界面无法支持HTTP重定向。鉴于上述情况，需要用于有效地建立用于访问Web资源的安全外壳连接的改进的系统和方法。
技术实现思路
设想了用于有效地建立用于访问Web资源的安全外壳连接的系统和方法。在各种实施方案中，存储服务设备被部署在商业环境中的多个设备之间，诸如相对较小的商业环境或者大型企业环境。存储服务设备也可被称为存储设备。多个客户端计算设备可通过网络(诸如互联网或基于云端的网络)远程连接到存储设备。该环境可包括用于处理用户管理的第三方认证服务，其也被称为身份提供商，诸如对远程存储设备上的web资源的访问受到限制的用户进行认证。第三方身份提供商(IDP)使用一个或多个超文本传输协议(HTTP)重定向，同时执行认证用户的步骤。客户端计算设备上的用户Web浏览器和存储设备上的Web服务支持HTTP重定向。然而，HTTP重定向不受用于在客户端计算设备与远程存储设备之间建立安全外壳连接的安全外壳(SSH)代码(进程)的支持。在利用SSO身份提供商实现成功授权之后，存储设备可将访问令牌和可选的刷新令牌发送到客户端计算设备。另外，存储设备可发送包括会话cookie、互联网协议(IP)地址和媒体访问控制(MAC)地址中的一个或多个的客户端设备标识符(ID)。存储设备可存储访问令牌和/或可选的刷新令牌以及客户端设备ID。当用户请求基于文本的安全外壳会话时，至少所存储的访问令牌和所存储的客户端设备ID随后可用于在不使用第三方身份提供商的情况下对用户进行认证。至少所存储的访问令牌可用于认证来自客户端设备的针对存储设备上的web资源的访问请求。。此时，在客户端计算设备与远程存储设备之间为用户建立安全HTTP会话。用户可使用安全HTTP会话发送请求，其中这些请求至少包括访问令牌和/或可选的刷新令牌以及客户端设备ID。稍后，用户可请求存储设备上的web应用程序在客户端计算设备与存储设备之间建立基于文本的安全外壳(SSH)连接。在各种实施方案中，该请求包括用户名、访问令牌和/或可选的刷新令牌以及客户端设备ID。将请求发送到远程存储设备上的Web应用程序以进行基于文本的安全外壳(SSH)会话时，不会提示用户提供登录凭据。另外，在为基于文本的SSH会话认证用户的步骤中，不会提示用户提供登录凭据。远程存储设备接收基于文本的SSH会话的请求，并在不使用第三方身份提供商的情况下在本地认证用户。相反，远程存储设备可使用先前存储的访问令牌和/或刷新令牌以及客户端设备ID和用户名。远程存储设备可使用身份和访问管理器(IAM)来认证用户。没有使用HTTP重定向来执行认证。在一些实施方案中，与生成用于安全HTTP会话的一个或多个令牌分开的访问令牌和可选的刷新令牌对创建用于基于文本的安全外壳会话。在其他实施方案中，用于安全HTTP会话的相同访问令牌和可选的刷新令牌对用于基于文本的安全外壳会话。远程存储设备向客户端计算设备发送用户正在为SSH会话进行认证的通知。虽然在系统中使用了第三方身份提供商，但是用户能够在客户端计算设备与远程存储设备之间使用基于文本的安全外壳连接而无需登录步骤请求凭据。可在客户端计算设备上的web浏览器内向用户呈现命令行界面(CLI)。参考以下描述和附图将理解这些和其他实施方案。附图说明图1是示出了使用第三方单点登录(SSO)服务在托管Web资源的远程存储设备上建立安全HTTP会话的一个实施方案的一般化框图。图2是示出了继续使用第三方SSO服务在托管Web资源的远程存储设备上建立安全HTTP会话的一个实施方案的一般化框图。图3是示出了在使用第三方SSO服务建立安全HTTP会话之后，在远程存储设备上建立基于文本的安全外壳会话的一个实施方案的一般化框图。图4是示出了用于使用第三方SSO服务在托管Web资源的远程存储设备上建立安全HTTP会话的方法的一个实施方案的流程图。图5是示出了在使用第三方SSO服务建立安全HTTP会话之后，用于在远程存储设备上建立基于文本的安全外壳会话的方法的一个实施方案的流程图。尽管本专利技术容许各种修改和替代形式，但是具体实施方案以举例的方式在附图中示出并且将在本文中详细描述。但应当理解，附图以及对其进行的详细描述并不旨在将本专利技术限制为所公开的特定形式，恰恰相反，其目的在于涵盖落入由所附权利要求限定的本专利技术精神和范围内的所有修改形式、等同形式和替代形式。具体实施方式在以下描述中，阐述了许多具体细节以提供对本专利技术的透彻理解。但本领域普通技术人员应当认识到，可在没有这些具体细节的情况下实践本本文档来自技高网...

【技术保护点】
1.一种认证系统，包括：第三方身份提供商(IDP)，所述第三方身份提供商被配置为通过一系列一个或多个超文本传输协议(HTTP)重定向来认证多个用户；存储设备，所述存储设备托管应用程序；以及客户端设备，所述客户端设备被配置为：发送用于与所述存储设备建立安全HTTP会话和安全外壳(SSH)会话的请求以便访问所述应用程序；并且发送给定请求以建立SSH会话，其中所述请求至少包括对应于先前使用所述第三方IDP建立的安全HTTP会话的第一访问令牌；并且其中响应于接收到所述给定请求，所述存储设备被配置为进一步响应于验证所述第一访问令牌对应于所述先前建立的安全HTTP会话，授权所述客户端设备以建立所述SSH会话，尽管所述给定请求缺少密码。

【技术特征摘要】
【国外来华专利技术】2015.10.02 US 14/8741731.一种认证系统，包括：第三方身份提供商(IDP)，所述第三方身份提供商被配置为通过一系列一个或多个超文本传输协议(HTTP)重定向来认证多个用户；存储设备，所述存储设备托管应用程序；以及客户端设备，所述客户端设备被配置为：发送用于与所述存储设备建立安全HTTP会话和安全外壳(SSH)会话的请求以便访问所述应用程序；并且发送给定请求以建立SSH会话，其中所述请求至少包括对应于先前使用所述第三方IDP建立的安全HTTP会话的第一访问令牌；并且其中响应于接收到所述给定请求，所述存储设备被配置为进一步响应于验证所述第一访问令牌对应于所述先前建立的安全HTTP会话，授权所述客户端设备以建立所述SSH会话，尽管所述给定请求缺少密码。2.根据权利要求1所述的认证系统，其中所述存储设备被进一步配置为响应于接收到来自所述第三方IDP的对请求通过安全HTTP会话访问所述应用程序的所述客户端设备上的所述多个用户中的给定用户成功认证的指示，向所述客户端设备发送至少所述第一访问令牌和客户端设备标识符(ID)。3.根据权利要求2所述的认证系统，其中所述存储设备被进一步配置为存储所述第一访问令牌和所述客户端设备ID中的每一个，以用于验证来自所述客户端设备经由所述安全HTTP会话对所述应用程序的后续访问。4.根据权利要求3所述的认证系统，其中所述客户端设备ID包括会话cookie、互联网协议(IP)地址和媒体访问控制(MAC)地址中的一个或多个。5.根据权利要求2所述的认证系统，其中来自所述客户端设备的建立所述SSH会话的所述给定请求进一步包括所述客户端设备ID。6.根据权利要求3所述的认证系统，其中为了授权所述客户端设备以建立所述SSH会话，所述存储设备被进一步配置为确定所述请求中的至少所述第一访问令牌和所述客户端设备ID是否与所述存储的第一访问令牌和所述存储的客户端设备ID匹配。7.根据权利要求3所述的认证系统，其中为了授权所述客户端设备以建立所述SSH会话，所述存储设备被进一步配置为放弃任何HTTP重定向。8.根据权利要求3所述的认证系统，其中为了授权所述客户端设备以建立所述SSH会话，所述存储设备被进一步配置为放弃使用所述第三方IDP。9.一种用于在处理器上执行的方法，所述方法包括：通过一系列一个或多个超文本传输协议(HTTP)重定向，利用第三方身份提供商(IDP)来认证多个用户；在存储设备上托管应用程序；从客户端设备发送用于与所述存储设备建立安全HTTP会话和安全外壳(SSH)会话的请求以便访问所述应用程序；从所述客户端设备向所述存储设备发送给定请求以建立SSH会话，其中所述请求至少包括对应于先前使用所述第三方IDP建立的安全HTTP会话的第一访问令牌；并且响应于验证所述第一访问令牌对应于所述先前建...

【专利技术属性】
技术研发人员：V·戈埃尔，R·科顿，
申请(专利权)人：华睿泰科技有限责任公司，
类型：发明
国别省市：美国,US