[发明专利]用于对网络资源的单次登入和安全访问的策略驱动的凭证委托

说明书

技术领域

本发明涉及用于对联网计算环境中的应用程序、资源和/或服务的单次登入和安全访问的策略驱动的凭证委托。

背景

有时，经由客户机访问的服务器应用程序要求将客户机用户的凭证委托给服务器以支持服务器应用程序所允许的情形。在这一委托情形中，在服务器侧需要远程终端用户的口令以使服务器应用程序仿真当用户仅仅作为服务器应用程序的本地用户登录时可用的功能。

然而，用于将凭证从客户机委托给服务器应用程序以便访问服务器应用程序的能力的现有系统不够安全，即，当将用户的凭证从客户机委托/发送给服务器时不存在充足的保护，这使得用户的凭证易受某些形式的攻击。例如，当前，服务器或客户机侧的调用应用程序有时能够访问用户的明文凭证，并且因此用户的凭证是相当不安全的。另外，当前没有应用于任何类型的用户凭证，即用户名/口令、智能卡个人识别号、一次性通行码(OTP)等的、控制并限制用户凭证从客户机到服务器的委托的策略驱动的方式。

如以下对于本发明更详细描述的，改进现有技术的这些和其它缺陷将是合乎需要的。

概述

鉴于以上原因，本发明提供了一种在联网计算环境中使得任何应用程序能经由客户机侧安全支持提供者(SSP)软件将用户凭证从客户机经由服务器侧SSP软件委托给目标服务器的凭证安全支持提供者(Cred SSP)。在一个实施例中，使该Cred SSP经由可作为客户机的操作系统的一部分包括的安全支持提供者接口(SSPI)软件对用户可用。本发明的Cred SSP提供了部分地基于一组策略的安全解决方案，这些策略包括对于各种各样的攻击安全的默认策略，并用于控制并限制用户凭证从客户机到服务器的委托。策略可以用于任何类型的用户凭证，并且设计不同的策略以缓解各种各样的攻击，使得可对给定委托环境、网络条件、信任等级等发生适当的委托。另外，仅可信子系统，例如本地安全认证机构(LSA)的可信子系统能够访问明文凭证，使得服务器侧上使用Cred SSP的SSPI API的调用应用程序和客户机侧上使用Cred SSP的SSPI API的调用应用程序都不能访问明文凭证。

以下描述了本发明的其它特征。

附图

用于对联网计算环境中的资源的单次登入和安全访问的策略驱动的凭证委托将参考附图来进一步描述，附图中：

图1是允许从客户机到服务器的安全凭证委托的本发明的凭证安全支持提供者体系结构的框图概览；

图2A和2B示出了用于将凭证委托给终端服务器的凭证安全支持提供者体系结构的示例性、非限制性实现。

图3是本发明的凭证安全支持提供者体系结构所利用的示例性、非限制性协议的流程图；

图4是本发明的凭证安全支持提供者体系结构所利用的协议的示例性、非限制性实现的流程图；

图5是根据本发明的允许基于组策略从客户机到服务器的安全凭证委托的凭证安全支持提供者体系结构的框图概览；

图6是根据本发明的可根据攻击威胁在策略等级处考虑的三种不同类型的凭证的框图概览；

图7A是表示其中可实现本发明的示例性网络环境的框图；以及

图7B是表示其中可实现本发明的示例性、非限制性计算系统环境的框图。

详细描述

概览

如在背景中所提到的，存在需要将用户的凭证委托给服务器以便支持服务器情形的某些客户机/服务器应用程序。终端服务器是一个这样的示例，其中有时候在服务器侧使用用户的口令以仿真其在客户机侧的功能。然而，如上所述，现有的委托技术在发送到服务器时并未提供对用户凭证的充足保护。

本发明的Cred SSP是一种新的“安全支持提供者”，其有时候被称为“安全服务提供者”，它可经由客户机的操作系统的现有安全支持提供者接口(SSPI)基础结构而可用。本发明的Cred SSP使得应用程序能例如经由客户机侧SSP软件将用户的凭证从客户机例如经由服务器侧SSP软件委托给目标服务器。在一个示例性、非限制性实施例中，本发明的Cred SSP可被包括在终端服务器中。然而，本发明的Cred SSP可由其它应用程序使用，并且可以使用适用的操作系统的SSPI而对任何内部或第三方应用程序可用。