第三方网络中的安全委托凭证制造技术

本发明专利技术公开了用于向端点设备提供对远程资源的访问的方法和系统。从中间设备建立与所述端点设备的第一安全隧道，所述第一隧道终止于所述中间设备中的可信执行环境(trusted execution environment，简称TEE)。在所述TEE内，经由所述第一安全隧道，从所述端点设备接收至少一个凭证。经由第二安全隧道，将所述至少一个凭证从所述中间设备传输至所述远程资源，所述第二隧道位于所述远程资源与所述中间设备之间，在所述TEE内发起。响应于所述远程资源将接受的所述至少一个凭证，通过所述第一安全隧道和所述第二安全隧道，经由所述中间设备中的所述TEE，启用所述端点设备与所述远程资源之间的通信。

Security delegation certificate in the third party network

【技术实现步骤摘要】
【国外来华专利技术】第三方网络中的安全委托凭证相关申请案交叉申请本申请要求于2017年9月18日递交的专利技术名称为“第三方网络中的安全委托凭证”的第15/707,528号美国专利申请案的在先申请优先权，该在先申请的内容以引入的方式并入本文。
本专利技术大体涉及对网络和信息技术服务的安全访问，更具体地，涉及使用凭证的网络和信息技术服务的基于云的安全访问。
技术介绍
基于凭证的访问通常使用用户名和密码的组合，在安全访问协议使用方面具有很长的历史。试图访问某一远程资源的端点设备的用户向所述远程资源的认证服务器提供凭证，若被接受，则被授权访问所述远程资源。用户越来越多地通过第三方访问远程资源，使所述第三方代表他们使用所述远程资源。例如，用户或端点设备可以请求第三方访问邮件服务器，这样，所述用户设备向所述第三方提供所述用户凭证。然而，在经由所述用户的端点设备向所述第三方提供所述用户的凭证时，所述用户现在面临窃取或暴露其凭证的风险。所述用户无从知晓所述第三方在使用凭证访问所述远程资源之后是否删除了所述凭证。如果所述第三方没有删除所述用户的凭证，则所述第三方便是一个节点，在所述节点处，所述用户的凭证可能会被恶意参与者获取，或者可能会在违规之后暴露。因此，将凭证委托给第三方的技术有改进的余地。
技术实现思路
根据广泛的方面，提供了一种用于向端点设备提供对远程资源的访问的方法，包括：从中间设备建立与所述端点设备的第一安全隧道，所述第一隧道终止于所述中间设备中的可信执行环境(trustedexecutionenvironment，简称TEE)；在所述TEE内，经由所述第一安全隧道，从所述端点设备接收至少一个凭证；经由第二安全隧道，将所述至少一个凭证从所述中间设备传输至所述远程资源，所述第二安全隧道位于所述远程资源与所述中间设备之间，在所述TEE内发起；响应于所述远程资源将接受的所述至少一个凭证，通过所述第一安全隧道和所述第二安全隧道，经由所述中间设备中的所述TEE，启用所述端点设备与所述远程资源之间的通信。在一些实施例中，所述方法还包括：在建立所述第一安全隧道之前，在所述中间设备处，从所述端点设备接收访问所述远程资源的请求；响应于所述请求，建立所述第一安全隧道。在一些实施例中，所述方法还包括：响应于接收所述请求，在所述中间设备内构建所述TEE。在一些实施例中，所述方法还包括：响应于所述访问所述远程资源的请求，建立所述第二安全隧道。在一些实施例中，所述方法还包括：将所述至少一个凭证存储在所述TEE内。在一些实施例中，所述方法还包括：在所述中间设备处，从所述端点设备接收终止对所述远程资源的访问的请求；从所述TEE中删除所述至少一个凭证；终止所述第一安全隧道和所述第二安全隧道中的至少一个。在一些实施例中，启用所述端点设备与所述远程资源之间的通信包括：在所述中间设备处，从所述TEE内的所述端点设备接收明文数据；使用所述TEE内的数据加密密钥对所述明文数据进行加密，以生成加密数据；经由所述第二安全隧道，将所述加密后的数据传输至所述远程资源。在一些实施例中，所述方法还包括：对所述明文数据进行加密之后，从所述TEE中删除所述明文数据。在一些实施例中，所述方法还包括：将所述加密数据传输至所述远程资源之后，指示所述端点设备从所述端点设备中删除所述明文数据。在一些实施例中，建立与所述端点设备的所述第一安全隧道包括：在所述端点设备与所述TEE之间建立传输层安全连接。根据另一广泛的方面，提供了一种用于向端点设备提供对远程资源的访问的系统，包括：处理单元；非瞬时性计算机可读存储器，通信上耦合到所述处理单元。所述计算机可读存储器包括可由所述处理单元执行的计算机可读程序指令，用于：从中间设备建立与所述端点设备的第一安全隧道，所述第一隧道终止于所述中间设备中的可信执行环境；在所述TEE内，经由所述第一安全隧道，从所述端点设备接收至少一个凭证；经由第二安全隧道，将所述至少一个凭证从所述中间设备传输至所述远程资源，所述第二安全隧道位于所述远程资源与所述中间设备之间，在所述TEE内发起；响应于所述远程资源将接受的所述至少一个凭证，通过所述第一安全隧道和所述第二安全隧道，经由所述中间设备中的所述TEE，启用所述端点设备与所述远程资源之间的通信。在一些实施例中，所述处理单元进一步执行所述程序指令，用于：在建立所述第一安全隧道之前，在所述中间设备处，从所述端点设备接收访问所述远程资源的请求；响应于所述请求，建立所述第一安全隧道。在一些实施例中，所述处理单元进一步执行所述程序指令，用于：响应于接收所述请求，在所述中间设备内构建所述TEE。在一些实施例中，所述处理单元进一步执行所述程序指令，用于：响应于所述访问所述远程资源的请求，建立所述第二安全隧道。在一些实施例中，所述处理单元进一步执行所述程序指令，用于：将所述至少一个凭证存储在所述TEE内。在一些实施例中，所述处理单元进一步执行所述程序指令，用于：在所述中间设备处，从所述端点设备接收终止对所述远程资源的访问的请求；从所述TEE中删除所述至少一个凭证；终止所述第一安全隧道和所述第二安全隧道中的至少一个。在一些实施例中，启用所述端点设备与所述远程资源之间的通信包括：在所述中间设备处，从所述TEE内的所述端点设备接收明文数据；使用所述TEE内的数据加密密钥对所述明文数据进行加密，以生成加密数据；经由所述第二安全隧道，将所述加密后的数据传输至所述远程资源。在一些实施例中，所述处理单元进一步执行所述程序指令，用于：对所述明文数据进行加密之后，从所述TEE中删除所述明文数据。在一些实施例中，所述处理单元进一步执行所述程序指令，用于：将所述加密数据传输至所述远程资源之后，指示所述端点设备从所述端点设备中删除所述明文数据。在一些实施例中，建立与所述端点设备的所述第一安全隧道包括：在所述端点设备与所述TEE之间建立传输层安全连接。附图说明现在参考附图，其中：图1是一种示例性现有技术凭证委托系统的示图；图2是一种示例性凭证委托系统的框图；图3A至图3B是示出一种用于向端点设备提供对远程资源的访问的示例性方法的流程图；图4是示出一种用于执行第三方加密的示例性方法的流程图；图5是一种示例性第三方加密系统的框图；图6是一种用于实现图3A至图3B和图4的方法的示例性计算机系统的框图。需要注意的是，在所有附图中，相同的特征由相同的参考数字标识。具体实施方式结合图1，在现有技术系统中，端点设备102请求第三方设备104访问远程资源106并代表所述端点设备102在所述远程资源106上执行一个或多个操作。例如，所述第三方设备104是一种身份访问管理器，可以实现单点登录服务。所述端点设备102是笔记本电脑或台式电脑、智能手机或其它移动设备，或任何其它合适的通信设备。所述第三方设备104是基于云的服务器或任何其它合适类型的本文档来自技高网...

【技术保护点】
1.一种用于向端点设备提供对远程资源的访问的方法，其特征在于，包括：/n从中间设备建立与所述端点设备的第一安全隧道，所述第一隧道终止于所述中间设备中的可信执行环境(trusted execution environment，简称TEE)；/n在所述TEE内，经由所述第一安全隧道，从所述端点设备接收至少一个凭证；/n经由第二安全隧道，将所述至少一个凭证从所述中间设备传输至所述远程资源，所述第二安全隧道位于所述远程资源与所述中间设备之间，在所述TEE内发起；/n响应于所述远程资源将接受的所述至少一个凭证，通过所述第一安全隧道和所述第二安全隧道，经由所述中间设备中的所述TEE，启用所述端点设备与所述远程资源之间的通信。/n

【技术特征摘要】
【国外来华专利技术】20170918 US 15/707,5281.一种用于向端点设备提供对远程资源的访问的方法，其特征在于，包括：
从中间设备建立与所述端点设备的第一安全隧道，所述第一隧道终止于所述中间设备中的可信执行环境(trustedexecutionenvironment，简称TEE)；
在所述TEE内，经由所述第一安全隧道，从所述端点设备接收至少一个凭证；
经由第二安全隧道，将所述至少一个凭证从所述中间设备传输至所述远程资源，所述第二安全隧道位于所述远程资源与所述中间设备之间，在所述TEE内发起；
响应于所述远程资源将接受的所述至少一个凭证，通过所述第一安全隧道和所述第二安全隧道，经由所述中间设备中的所述TEE，启用所述端点设备与所述远程资源之间的通信。


2.根据权利要求1所述的方法，其特征在于，还包括：在建立所述第一安全隧道之前，在所述中间设备处，从所述端点设备接收访问所述远程资源的请求；响应于所述请求，建立所述第一安全隧道。


3.根据权利要求2所述的方法，其特征在于，还包括：响应于接收所述请求，在所述中间设备内构建所述TEE。


4.根据权利要求2所述的方法，其特征在于，还包括：响应于所述访问所述远程资源的请求，建立所述第二安全隧道。


5.根据权利要求1至4中任一项所述的方法，其特征在于，还包括：将所述至少一个凭证存储在所述TEE内。


6.根据权利要求1至5中任一项所述的方法，其特征在于，还包括：
在所述中间设备处，从所述端点设备接收终止对所述远程资源的访问的请求；
从所述TEE中删除所述至少一个凭证；
终止所述第一安全隧道和所述第二安全隧道中的至少一个。


7.根据权利要求1至6中任一项所述的方法，其特征在于，启用所述端点设备与所述远程资源之间的通信包括：
在所述中间设备处，从所述TEE内的所述端点设备接收明文数据；
使用所述TEE内的数据加密密钥对所述明文数据进行加密，以生成加密数据；
经由所述第二安全隧道，将所述加密后的数据传输至所述远程资源。


8.根据权利要求7所述的方法，其特征在于，还包括：对所述明文数据进行加密之后，从所述TEE中删除所述明文数据。


9.根据权利要求7所述的方法，其特征在于，还包括：将所述加密数据传输至所述远程资源之后，指示所述端点设备从所述端点设备中删除所述明文数据。


10.根据权利要求1至9中任一项所述的方法，其特征在于，建立与所述端点设备的所述第一安全隧道包括：在所述端点设备与所述TEE之间建立传输层安全连接。


11.一种用于向端点设备提供对远程资源的访问的系统，其特征在于，包括：处理单元；
非瞬时性计算机可读存储...

【专利技术属性】
技术研发人员：尼古拉·吉戈夫，谭寅，罗伯特·兰伯特，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44