[发明专利]用于单登录的代理认证

说明书

对相关申请的交叉引用

本申请要求2013年9月25日提交的标题为“SystemandMethod forProvidingaProxy(用于提供代理的系统和方法)”的美国临时申请案 61/882,460的优先权，这里全文引用了该申请的内容作为参考。

发明领域

本申请涉及计算机安全领域，更具体而言，涉及基于代理的单 登录架构。

背景技术

认证是第一方验证第二方是它自称为是什么人或东西的过程。 例如，在计算机安全上下文中，认证可包括计算机验证试图访问计算资源 的用户是他自称的人，在此情况下，被授权访问那些资源的人。当用户希 望使用该计算机来访问诸如web服务之类的服务器上的资源时，他可能需 要再次向web服务认证他自己。随着许多web服务扩散，用户可能需要跟 踪用于访问每一服务的安全凭证的日益增长的列表。此问题会出现在用户 由于个人原因访问web服务的个人计算上下文中，以及用户可能需要访问 多个企业资源(每一企业资源都要求凭证)的企业中。

可以提供“单登录”(singlesign-on：SSO)解决方案以帮助用 户管理安全凭证。这些可以呈现，例如，用户存储通过主口令保护的多个 口令的本地口令储存库的形式。在企业上下文中，SSO可包括配置客户端 设备以连接到其中用户的凭证可以提供对多个资源和服务的访问的网络。

附图简述

通过下面的结合附图对本发明进行的详细说明，将更好地理解 本发明。值得强调的是，根据行业的标准作法，各种特点不是按比例绘制 的，只用于说明。事实上，为讨论清楚起见，可以任意地扩大或缩小各种 特点的尺寸。

图1是根据本说明书的一个或多个示例的启用安全的网络的框 图。

图2是根据本说明书的一个或多个示例的计算设备的框图。

图3是根据本说明书的一个或多个示例的服务器的框图。

图4是根据本说明书的一个或多个示例的代理认证引擎的功能 框图。

图5是根据本说明书的一个或多个示例的代理认证引擎的功能 框图。

图6是根据本说明书的一个或多个示例的代理认证引擎的功能 框图。

具体实施方式

概览

在一个示例中，描述了web网关，包括代理认证引擎(PAE)。 PAE通过，例如，用户名和口令、生物测定数据，或两因素(two-factor) 认证，来认证用户设备。然后，web网关提供对于一个或多个web服务的 无缝并透明的单登录(SSO)。当用户从web服务请求网页时，PAE插入 检测登录动作的自定义代码。当用户登录时，可以提供一次性的令牌以自 动填充用户名和口令字段。当用户提交表单时，PAE向web服务提供实际 凭证。PAE也可以通过认证头部来提供认证。

本发明的示例实施例

下列公开提供了用于实现本发明的不同的特点的许多不同的实 施例，或示例。下面将描述组件以及布局的具体示例以简化本发明。当然， 这些仅仅示例，不计划限制。进一步，在各示例中，本发明可以重复参考 编号和/或字母。此重复只是为了简明和清晰，本身不规定所讨论的各实施 例和/或配置之间的关系。

不同的实施例可以具有不同的优点，没有特定优点是任何实施 例一定需要的。

在诸如商业或其他企业之类的受控环境中，管理员可能希望针 对对客户端使用的某些服务的访问行使完全控制。这些服务中有许多可能 要求认证，诸如基于表单的认证，表单字段用，例如，用户名和口令来填 充，或web服务器认证，其中，除了每一请求或连接将利用认证头部认证 外，没有别的逻辑会话存在，如在“基本”WindowsNT局域网(LAN)管 理(NTLM)，X509客户端证书，以及类似的中那样。

在基于表单的认证中，可以通过在表单中的合适的字段中填写 用户名和口令来认证用户。在某些情况下，额外的认证可以采取填写安全 代码、“CAPTCHA”、或两因素认证(诸如使用RSA密钥、生物测定认 证，或使用一次性代码的使用)的形式。在这样的系统中要了解的问题可 包括下列各项：