【技术实现步骤摘要】
【国外来华专利技术】第三方网络中的安全委托凭证相关申请案交叉申请本申请要求于2017年9月18日递交的专利技术名称为“第三方网络中的安全委托凭证”的第15/707,528号美国专利申请案的在先申请优先权,该在先申请的内容以引入的方式并入本文。
本专利技术大体涉及对网络和信息技术服务的安全访问,更具体地,涉及使用凭证的网络和信息技术服务的基于云的安全访问。
技术介绍
基于凭证的访问通常使用用户名和密码的组合,在安全访问协议使用方面具有很长的历史。试图访问某一远程资源的端点设备的用户向所述远程资源的认证服务器提供凭证,若被接受,则被授权访问所述远程资源。用户越来越多地通过第三方访问远程资源,使所述第三方代表他们使用所述远程资源。例如,用户或端点设备可以请求第三方访问邮件服务器,这样,所述用户设备向所述第三方提供所述用户凭证。然而,在经由所述用户的端点设备向所述第三方提供所述用户的凭证时,所述用户现在面临窃取或暴露其凭证的风险。所述用户无从知晓所述第三方在使用凭证访问所述远程资源之后是否删除了所述凭证。如果所述第三方没有删除所述用户的凭证,则所述第三方便是一个节点,在所述节点处,所述用户的凭证可能会被恶意参与者获取,或者可能会在违规之后暴露。因此,将凭证委托给第三方的技术有改进的余地。
技术实现思路
根据广泛的方面,提供了一种用于向端点设备提供对远程资源的访问的方法,包括:从中间设备建立与所述端点设备的第一安全隧道,所述第一隧道终止于所述中间设备中的可信执行环境(trustedexecuti ...
【技术保护点】
1.一种用于向端点设备提供对远程资源的访问的方法,其特征在于,包括:/n从中间设备建立与所述端点设备的第一安全隧道,所述第一隧道终止于所述中间设备中的可信执行环境(trusted execution environment,简称TEE);/n在所述TEE内,经由所述第一安全隧道,从所述端点设备接收至少一个凭证;/n经由第二安全隧道,将所述至少一个凭证从所述中间设备传输至所述远程资源,所述第二安全隧道位于所述远程资源与所述中间设备之间,在所述TEE内发起;/n响应于所述远程资源将接受的所述至少一个凭证,通过所述第一安全隧道和所述第二安全隧道,经由所述中间设备中的所述TEE,启用所述端点设备与所述远程资源之间的通信。/n
【技术特征摘要】
【国外来华专利技术】20170918 US 15/707,5281.一种用于向端点设备提供对远程资源的访问的方法,其特征在于,包括:
从中间设备建立与所述端点设备的第一安全隧道,所述第一隧道终止于所述中间设备中的可信执行环境(trustedexecutionenvironment,简称TEE);
在所述TEE内,经由所述第一安全隧道,从所述端点设备接收至少一个凭证;
经由第二安全隧道,将所述至少一个凭证从所述中间设备传输至所述远程资源,所述第二安全隧道位于所述远程资源与所述中间设备之间,在所述TEE内发起;
响应于所述远程资源将接受的所述至少一个凭证,通过所述第一安全隧道和所述第二安全隧道,经由所述中间设备中的所述TEE,启用所述端点设备与所述远程资源之间的通信。
2.根据权利要求1所述的方法,其特征在于,还包括:在建立所述第一安全隧道之前,在所述中间设备处,从所述端点设备接收访问所述远程资源的请求;响应于所述请求,建立所述第一安全隧道。
3.根据权利要求2所述的方法,其特征在于,还包括:响应于接收所述请求,在所述中间设备内构建所述TEE。
4.根据权利要求2所述的方法,其特征在于,还包括:响应于所述访问所述远程资源的请求,建立所述第二安全隧道。
5.根据权利要求1至4中任一项所述的方法,其特征在于,还包括:将所述至少一个凭证存储在所述TEE内。
6.根据权利要求1至5中任一项所述的方法,其特征在于,还包括:
在所述中间设备处,从所述端点设备接收终止对所述远程资源的访问的请求;
从所述TEE中删除所述至少一个凭证;
终止所述第一安全隧道和所述第二安全隧道中的至少一个。
7.根据权利要求1至6中任一项所述的方法,其特征在于,启用所述端点设备与所述远程资源之间的通信包括:
在所述中间设备处,从所述TEE内的所述端点设备接收明文数据;
使用所述TEE内的数据加密密钥对所述明文数据进行加密,以生成加密数据;
经由所述第二安全隧道,将所述加密后的数据传输至所述远程资源。
8.根据权利要求7所述的方法,其特征在于,还包括:对所述明文数据进行加密之后,从所述TEE中删除所述明文数据。
9.根据权利要求7所述的方法,其特征在于,还包括:将所述加密数据传输至所述远程资源之后,指示所述端点设备从所述端点设备中删除所述明文数据。
10.根据权利要求1至9中任一项所述的方法,其特征在于,建立与所述端点设备的所述第一安全隧道包括:在所述端点设备与所述TEE之间建立传输层安全连接。
11.一种用于向端点设备提供对远程资源的访问的系统,其特征在于,包括:处理单元;
非瞬时性计算机可读存储...
【专利技术属性】
技术研发人员:尼古拉·吉戈夫,谭寅,罗伯特·兰伯特,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。