本发明专利技术涉及多承租人订阅环境中的安全机器登记。在多承租人环境中,向承租人的订阅安全地登记因特网上属于特定订阅的机器。将对这些机器的认证委托给拥有内部部署认证机制的每一个承租人。与承租人的认证服务的信任关系被用于确认正被认证的机器所呈现的安全令牌。一旦被认证,机器即具有访问订阅的授权(例如,SSL机器身份证书、安全令牌等)。多承租人环境中的每一承租人可以提供其自己的认证级别。机器为来自用户的对资源(例如,服务/内容)的请求将安全令牌呈现给多承租人环境。当从机器接收访问资源的请求时,多承租人环境根据所发放的令牌来确定是否授权该机器来访问所请求的资源。
【技术实现步骤摘要】
本专利技术涉及登记多承租人环境中的机器的技术。
技术介绍
许多因特网服务尝试防止未经授权的用户访问该服务所提供的资源。例如,服务可以向经授权的用户发放访问该服务处的内容的链接。服务还可以要求用户提供访问由该服务提供的资源的认证凭证。然而,获得对该链接的访问权或获得对用户的认证凭证的访问权的任何人都可以访问这些资源
技术实现思路
提供本概述以便以简化形式介绍将在以下具体实施方式中进一步描述的一些概念。本
技术实现思路
并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。在多承租人环境中,对承租人的订阅安全地登记因特网上属于特定订阅的机器。将对这些机器的认证委托给拥有内部部署认证机制(例如,公钥基础结构“PKI”、安全令牌服务“STS'KerbeiOs···)的每一个承租人。与承租人的认证服务的信任关系(PKI根证书/发放者、证书信任)用于确认由尝试被认证的机器所呈现的令牌。一旦被认证,机器就具有访问该订阅的授权(例如,SSL机器身份证书、令牌……)。多承租人环境中的每一承租人可以提供其自己的认证级别。信任关系(例如,公钥基础结构“PKI”、安全令牌服务“STS”……)被建立在这些承租人中的每一个和多承租人环境之间。机器为请求资源(例如,服务/内容)将令牌呈现给多承租人环境。当接收到来自机器的访问资源的请求时,多承租人环境根据所发放的令牌来确定是否授权该机器来访问所请求的资源。附图说明图I示出了示例性计算设备;图2示出了用于向多承租人环境安全地登记各机器的示例性系统;图3示出了用于认证请求来自多承租人环境的资源的机器的过程;以及图4示出了承租人为多承租人环境认证机器的过程。具体实施例方式现在参考其中相同的标号代表相同的元素的附图,描述各实施例。具体地,图I和相应的讨论旨在提供对在其中可实现各实施例的合适计算环境的简要、概括描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构和其他类型的结构。也可使用其它计算机系统配置,包括手持式设备、多处理器系统、基于微处理器或可编程消费电子产品、小型计算机、大型计算机等等。还可使用在其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境。在分布式计算环境中,程序模块可位于本地和远程存储器存储设备两者中。现在参考图1,将描述在各实施例中利用的计算机100的说明性计算机架构。图I 所示的计算机架构可被配置为服务器计算设备、台式计算设备、移动计算设备(例如智能电话、笔记本、平板……)并且包括中央处理单元5 (“CPU”)、包括随机存取存储器9 (“RAM”) 和只读存储器(“ROM”)10的系统存储器7、以及将存储器耦合至中央处理单元(“CPU”)5的系统总线12。基本输入/输出系统存储在ROM 10中,所述基本输入/输出系统包含帮助在诸如启动期间在计算机内元件之间传递信息的基本例程。计算机100还包括用于存储操作系统 16、应用24、以及其它程序模块的大容量存储设备14,其他程序模块为例如Web浏览器应用 25、文件27 (例如,文件、图像、其他内容)以及认证管理器26,这将在以下更为详尽地描述。大容量存储设备14通过连接至总线12的大容量存储控制器(未示出)连接到CPU 5。大容量存储设备14及其相关联的计算机可读介质为计算机100提供非易失性存储。虽然此处包含的对计算机可读介质的描述涉及诸如硬盘或CD-ROM驱动器等大容量存储设备,但是计算机可读介质可以是能够由计算机100访问的任何可用介质。作为示例而非限制,计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括以存储如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质还包括,但不限于,RAM、ROM、可擦除可编程只读存储器(“EPROM”)、电可擦可编程只读存储器 (“EEPR0M”)、闪存或其它固态存储器技术、⑶-ROM、数字多功能盘(“DVD”)或其它光存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存储所需信息且可以由计算机100访问的任何其它介质。根据各实施例,计算机100可以使用通过诸如因特网的网络18至远程计算机的逻辑连接在联网环境中操作。计算机100可以通过连接至总线12的网络接口单元20来连接到网络18。网络连接可以是无线的和/或有线的。网络接口单元20也可用于连接到其它类型的网络和远程计算机系统。计算机100也可包括输入/输出控制器22,用于接收和处理来自诸如触摸输入设备的多个其他设备的输入。触摸输入设备可利用允许识别单次/多次触摸输入(触摸/非触摸)的任何技术。例如,技术可包括但不限于热量、手指压力、高俘获率照相机、红外光、光学捕捉、调谐的电磁感应、超声波接收器、传感麦克风、激光测距仪、 阴影捕捉等。根据一个实施例,触摸输入设备可以被配置为检测接近触摸(即在离触摸输入设备的某个距离内,但是与所述触摸输入设备没有物理上接触)。触摸输入设备也可以作为显示器28。输入/输出控制器22也向一个或多个显示屏、打印机或其他类型的输出设备提供输出。相机和/或某种其他传感设备可操作来记录一个或多个用户以及捕捉计算设备的用户作出的运动和/或姿势。传感设备还可操作来捕捉诸如通过话筒口述的单词和/或捕捉来自用户的诸如通过键盘和/或鼠标(未描绘)的其他输入。传感设备可包括能够检测用户的移动的任何运动检测设备。例如,相机可以包括微软K1NECT 运动捕捉设备,它包括多个相机和多个话筒。可以通过片上系统(S0C)来实践本专利技术的各实施例,其中,可以将附图中示出的每个或许多组件/处理集成到单个集成电路上。这样的SOC设备可包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元以及各种应用功能,所有这些都被集成到(或“烧录到”)芯片基板上作为单个集成电路。当通过SOC操作时,在此所述的关于统一通信的所有或部分功能可以通过在单个集成电路(芯片)上集成有计算设备/系统100的其它组件的专用逻辑来操作。如前简述的一样,多个程序模块和数据文件可以存储在计算机100的大容量存储设备14和RAM 9内,包括适于控制联网的个人计算机的操作的操作系统16,如来自华盛顿州雷蒙德市的微软公司的WINDOWS SERVER ,WINDOWS 7 操作系统。大容量存储设备14和RAM 9还可以存储一个或多个程序模块。具体地,大容量存储设备14和RAM 9可以存储诸如生产性应用之类的一个或多个应用24,并且可以存储一个或多个Web浏览器25。Web浏览器25用于请求、接收、呈现诸如网页之类的电子文档以及提供与这些电子文档的交互。根据一实施例,Web浏览器包括来自微软公司的INTERNET EXPLORER Web浏览器应用程序。来自其它制造商的其它Web浏览器应用程序可用于实现本专利技术的各个方面,例如来自MOZILLA FOUNDATION的FIREF0X Web浏览器应用。认证管理器26被配置成执行用于向多承租人环境19安全地登记承租人的机器的认证操作。认证管理器26是向不同的承租人提供资源(例如,服务、数据……)的多承租人环境的一部分。将对机器的认证委托给拥有内部部署本文档来自技高网...
【技术保护点】
一种用于安全地登记多承租人环境中的机器的方法,包括:从机器接收访问多承租人环境中的承租人的资源的请求,所述请求包括令牌;检索所建立的与所述承租人的信任关系;确定何时所述令牌有效;使用所述令牌和所述信任关系来确定所述机器何时被所述承租人授权来访问所述承租人的所述资源;以及当所述机器被确定要被所述承租人认证时,授权对所述资源的访问。
【技术特征摘要】
2011.10.31 US 13/286,0011.一种用于安全地登记多承租人环境中的机器的方法,包括 从机器接收访问多承租人环境中的承租人的资源的请求,所述请求包括令牌; 检索所建立的与所述承租人的信任关系; 确定何时所述令牌有效; 使用所述令牌和所述信任关系来确定所述机器何时被所述承租人授权来访问所述承租人的所述资源;以及 当所述机器被确定要被所述承租人认证时,授权对所述资源的访问。2.如权利要求I所述的方法,其特征在于,确定何时所述令牌有效包括确定何时所述令牌被从所述承租人处发放至所述机器处。3.如权利要求I所述的方法,其特征在于,还包括请求与所述资源相关联的承租人在确定要认证所述机器时尝试认证所述机器,并建立所述多承租人环境与所述多承租人环境的每一个承租人之间的信任关系。4.如权利要求I所述的方法,其特征在于,所述信任关系使用以下各项中的至少一个公钥基础结构(PKI)和安全令牌服务(STS),并且其中每一个承租人向所述多承租人环境提供被授权对该承租人的机器进行认证的至少一个证书发放者。5.如权利要求I所述的方法,其特征在于,所述多承租人环境是基于云的服务,所述基于云的服务向不同网络位置处的不同承租人提供资源,其中与所述不同承租人中的每一个承租人相关联的数据被保护以免被其他承租人访问,并且其中每一个承租人指定其认证过程,所述认证过程采用不同的认证协议。6.一种具有用于安全地登记多承租人环境中的机器的计算机可执行指令的计算机可读介质,包括 在基于云的多承租人...
【专利技术属性】
技术研发人员:M·K·圣巴特拉,D·兰吉高达,M·A·布朗,J·陈,A·S·查韦斯,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。