System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 在计算机网络之内限制横向遍历制造技术_技高网
当前位置: 首页 > 专利查询>微软技术许可有限责任公司专利>正文

在计算机网络之内限制横向遍历制造技术

技术编号:41392922 阅读:9 留言:0更新日期:2024-05-20 19:15
在网络之内限制横向遍历。授权请求标识证书、受保护的第一资源和用于请求授权的受保护的第二资源的标识符。标识与第二资源相关联的横向遍历策略,该策略将对第二资源的访问约束为仅属于包括第二资源的资源的子集的资源。当确定证书被配置用于对第二资源的访问,并且当确定第一资源属于包括第二资源的资源的子集时,颁发授权令牌,该授权令牌授权证书经由第一资源访问第二资源。备选地,当确定证书被授予对第二资源的访问,并且当确定第一资源在资源的特定子集之外时,拒绝授权请求。

全部详细技术资料下载

【技术实现步骤摘要】
【国外来华专利技术】

本公开涉及在计算机网络之内管理资源授权的系统、方法和设备。


技术介绍

1、使用传统的授权技术,单个证书经常被授权以基于对证书的权限组的持续性或基于时间的分配(其中权限组授予对两个或多个受保护资源的访问)访问两个或多个受保护的计算机网络资源。在计算机网络之内,被授权以访问多个资源的此单个证书是横向遍历(lateral traversal)攻击以及权限的升级的基础。例如,一旦此单个证书已经被恶意方破坏(例如,由于社会工程、由于软件漏洞等),恶意方可能发现在权限组中的一个或多个其他受保护资源,并且然后使用此证书对已发现的受保护资源中的任何资源横向地遍历,其中已分配的权限组授予对该已发现的受保护资源的访问。有时恶意方等待数年以通过观察发现在权限组中的另一受保护资源。一旦恶意方已经对新系统横向地遍历,该方可能具有以破坏在新系统处的新证书的机会。当此新证书属于授予对一个或多个附加系统的访问的权限组时,恶意方可以使用此新证书来朝另外的目标横向地遍历,例如目标证书或感兴趣的系统。因此,横向遍历是通过对第一受保护资源的访问破坏的证书的使用,以访问第二受保护资源。


技术实现思路

1、本文所述的至少一些实施例在计算机网络之内限制了横向遍历。特别地,在实施例中,多个受保护资源(例如,计算机系统、服务等)被分组成资源的一个或多个子集。然后,针对访问请求的目标的至少一个受保护资源,实施例配置权限以施行策略,该策略仅当访问请求源自与目标受保护资源在同一子集中的源受保护资源时,才授权针对访问目标受保护资源的请求。换句话说,仅当访问请求源自特定子集之内,并且当访问请求的目标是此特定子集时,权限才认证访问请求。这意味着如果访问请求源自在目标受保护资源所属于的子集以外的任何子集中的资源,则权限拒绝该访问请求——即使该访问请求包括否则本来被有效配置用于对目标受保护资源的访问的证书(例如,基于组成员关系)。

2、通过将受保护资源分组成子集,并且通过施行限制跨子集访问的策略,本文所述的实施例限制了受破坏证书的横向遍历潜力。特别地,当恶意方破坏特定资源,包括破坏与该资源相关联的证书时,本文所述的实施例限制该恶意方对在此特定资源所属于的子集之外的任何受保护资源或关联证书的横向地遍历(以及破坏)。如此,本文所述的实施例能够将横向遍历限制为受破坏资源的同一子集之内的资源。因此,本文所述的实施例限制对在该子集之内的资源的横向遍历。

3、给出了将横向遍历限制为受破坏资源的同一子集之内的资源,以及限制在该子集之内的资源的横向遍历的技术效果。这进而通过限制恶意方能够在计算机网络之内到达和破坏受保护资源的范围来提高系统安全性。

4、在一些方面中,本文所述的技术涉及在包括处理器的计算机系统处实现的用于在计算机网络之内限制横向遍历的方法,该方法包括:接收授权请求,该授权请求包括(a)认证令牌,该认证令牌标识在计算机网络之内的证书和第一受保护资源,以及(b)在计算机网络之内的、针对其请求授权的第二受保护资源的标识符;基于证书的能力确定该证书是否被配置用于对第二受保护资源的访问;标识与第二受保护资源相关联的横向遍历策略,该横向遍历策略将对第二受保护资源的访问约束为仅计算机网络之内、属于资源的特定子集的资源,第二受保护资源属于该资源的特定子集所属于的;确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集;以及至少基于确定证书被配置用于对第二受保护资源的访问,执行以下之一:当第一受保护资源被确定为属于第二受保护资源所属于的资源的特定子集时,颁发授权用以经由第一受保护资源访问第二受保护资源的证书的授权令牌;或者当第一受保护资源被确定为在第二受保护资源所属于的资源的特定子集之外时,拒绝授权请求。

5、在一些方面中,本文所述技术涉及方法,其中第一受保护资源被确定为属于第二受保护资源所属于的资源的特定子集,并且该方法包括颁发授权令牌。在一些方面中,本文所述的技术涉及方法,该方法还包括配置网络以许可从第一受保护资源到第二受保护资源的网络通信。

6、在一些方面中,本文所述的技术涉及方法,其中第一受保护资源被确定为在第二受保护资源所属于的资源的特定子集之外,并且该方法包括拒绝授权请求。在一些方面中,本文所述的技术涉及方法,该方法还包括记录授权请求的拒绝,包括记录证书、第一受保护资源和第二受保护资源。在一些方面中,本文所述的技术涉及方法,该方法还包括配置网络以拒绝从第一受保护资源到第二受保护资源的网络通信。在一些方面中,本文所述的技术涉及方法,该方法还包括在拒绝授权请求之前,确定没有例外适用于第一受保护资源和第二受保护资源之间的横向遍历拒绝。

7、在一些方面中,这里所述的技术涉及方法,其中第一受保护资源和第二受保护资源是计算机系统或网络服务中的每一个。

8、在一些方面中,这里所述的技术涉及方法,其中认证令牌是票据授予票据(tgt),以及授权令牌是由票据授予服务(tgs)颁发的客户端到服务器票据。

9、在一些方面中,这里所述的技术涉及方法,其中将横向遍历策略第二受保护资源定义为第二受保护资源所属于的资源的特定子集的一部分。

10、在一些方面中,本文所述的技术涉及方法,其中证书被配置用于对第二受保护资源的即时访问。

11、在一些方面中,本文所述的技术涉及方法,其中证书的能力是与证书相关联的组成员关系。

12、在一些方面中,本文所述技术涉及方法,其中确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集包括比较第一受保护资源的第一子集成员关系属性与第二受保护资源的第二子集成员关系属性。

13、在一些方面中,本文所述的技术涉及方法,其中认证令牌也标识第一受保护资源的一个或多个属性,并且其中第一受保护资源的一个或多个属性被用于以下的至少一个:(a)确定该证书是否被配置用于对第二受保护资源的访问,或者(b)确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集。

14、在一些方面中,本文所述的技术涉及用于在计算机网络之内限制横向遍历的计算机系统,包括:处理器;以及存储计算机可执行指令的硬件存储设备,该计算机可执行指令是由处理器可执行的,以使该计算机系统至少:接收授权请求,该授权请求包括(a)认证令牌,该认证令牌标识在计算机网络之内的证书和第一受保护资源,以及(b)在计算机网络之内的、针对其请求授权的第二受保护资源的标识符;基于证书的能力确定证书是否被配置用于对第二受保护资源的访问;标识与第二受保护资源相关联的横向遍历策略,该横向遍历策略将对第二受保护资源的访问约束为仅计算机网络之内、属于资源的特定子集的资源,第二受保护资源属于该资源的特定子集所属于的;确定第一受保护资源是否属于第二受保护资源所属于的资源的特定子集;以及至少基于确定证书被配置用于对第二受保护资源的访问,执行以下之一:当第一受保护资源被确定为属于第二受保护资源所属于的资源的特定子集时,颁发授权用以经由第一受保护资源访问第二受保护资源的证书的授权令牌;或者当第一受保护资本文档来自技高网...

【技术保护点】

1.一种在包括处理器的计算机系统处实现的方法,所述方法用于在计算机网络之内限制横向遍历,所述方法包括:

2.根据权利要求1所述的方法,其中所述第一受保护资源被确定为属于所述第二受保护资源所属于的所述资源的特定子集,并且所述方法包括所述颁发所述授权令牌。

3.根据权利要求2所述的方法,还包括:配置网络以许可从所述第一受保护资源到所述第二受保护资源的网络通信。

4.根据权利要求1所述的方法,其中所述第一受保护资源被确定为在所述第二受保护资源所属于的所述资源的特定子集之外,并且所述方法包括所述拒绝所述授权请求。

5.根据权利要求4所述的方法,还包括:记录所述授权请求的拒绝,包括记录所述证书、所述第一受保护资源以及所述第二受保护资源。

6.根据权利要求4或5中任一项所述的方法,还包括:配置网络以拒绝从所述第一受保护资源到所述第二受保护资源的网络通信。

7.根据权利要求4至6中任一项所述的方法,还包括:在拒绝所述授权请求之前,确定没有例外适用于所述第一受保护资源和所述第二受保护资源之间的横向遍历拒绝。

8.根据任何前述权利要求所述的方法,其中所述认证令牌是票据授予票据(TGT),并且所述授权令牌是由票据授予服务(TGS)颁发的客户端到服务器票据。

9.根据任何前述权利要求所述的方法,其中所述横向遍历策略将所述第二受保护资源定义为所述第二受保护资源所属于的所述资源的特定子集的一部分。

10.根据任何前述权利要求所述的方法,其中所述证书被配置用于对所述第二受保护资源的即时访问。

11.根据任何前述权利要求所述的方法,其中所述证书的所述能力是与所述证书相关联的组成员关系。

12.根据任何前述权利要求所述的方法,其中确定所述第一受保护资源是否属于所述第二受保护资源所属于的所述资源的特定子集包括比较所述第一受保护资源的第一子集成员关系属性与所述第二受保护资源的第二子集成员关系属性。

13.根据任何前述权利要求所述的方法,其中所述认证令牌还标识所述第一受保护资源的一个或多个属性,并且其中所述第一受保护资源的所述一个或多个属性被用于以下至少一项:

14.一种用于在计算机网络之内限制横向遍历的计算机系统,包括:

15.一种存储计算机可执行指令的计算机可读介质,所述计算机可执行指令由处理器可执行以使计算机系统在计算机网络之内限制横向遍历,所述计算机可执行指令包括指令,所述指令由所述处理器可执行以使所述计算机系统至少:

...

【技术特征摘要】
【国外来华专利技术】

1.一种在包括处理器的计算机系统处实现的方法,所述方法用于在计算机网络之内限制横向遍历,所述方法包括:

2.根据权利要求1所述的方法,其中所述第一受保护资源被确定为属于所述第二受保护资源所属于的所述资源的特定子集,并且所述方法包括所述颁发所述授权令牌。

3.根据权利要求2所述的方法,还包括:配置网络以许可从所述第一受保护资源到所述第二受保护资源的网络通信。

4.根据权利要求1所述的方法,其中所述第一受保护资源被确定为在所述第二受保护资源所属于的所述资源的特定子集之外,并且所述方法包括所述拒绝所述授权请求。

5.根据权利要求4所述的方法,还包括:记录所述授权请求的拒绝,包括记录所述证书、所述第一受保护资源以及所述第二受保护资源。

6.根据权利要求4或5中任一项所述的方法,还包括:配置网络以拒绝从所述第一受保护资源到所述第二受保护资源的网络通信。

7.根据权利要求4至6中任一项所述的方法,还包括:在拒绝所述授权请求之前,确定没有例外适用于所述第一受保护资源和所述第二受保护资源之间的横向遍历拒绝。

8.根据任何前述权利要求所述的方法,其中所述认证令牌是票据授予票据(tgt),并且所述授权令牌是由票据授予...

【专利技术属性】
技术研发人员:J·S·斯塔蒂亚J·R·巴科D·E·柯蒂斯A·R·戴维斯D·A·拉斯勒E·A·弗皮恩S·德范B·S·郑D·J·道森G·K·林格
申请(专利权)人:微软技术许可有限责任公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有