專利名稱:通過非安全網(wǎng)絡(luò)的設(shè)備供應(yīng)和域加入仿真的制作方法
通過非安全網(wǎng)絡(luò)的設(shè)備供應(yīng)和域加入仿真
些且 冃爾
企業(yè)計算機通常通過稱為"域"(例如在微軟網(wǎng)絡(luò)中)或非微軟網(wǎng)絡(luò)中的
類似名稱(例如Novell 目錄�����、黃頁等)的社區(qū)機制來標識和管理����。域中的成 員資格在許多企業(yè)安裝中被認為是強制的,以便標識特定機器并集中管理機器 內(nèi)容(例如策略���、軟件、和配置)�����。
例如,對于諸如膝上型計算機等便攜式計算機���,成為域的成員通常需要經(jīng) 由諸如用戶名和口令等認證憑證的授權(quán)。在某些處理之后���,該計算機變?yōu)榧尤?域的�����。憑證可以手動地提供或經(jīng)由例如智能卡來提供�����,這些憑證認證設(shè)法將機 器加入域的用戶。
移動設(shè)備在該領(lǐng)域提出挑戰(zhàn)����,因為例如移動電話不具有執(zhí)行域加入操作的 技術(shù)設(shè)施?���?紤]到移動設(shè)備很少(如果有)在企業(yè)網(wǎng)絡(luò)上使用����,供應(yīng)商為這些 設(shè)備提供解決方案進展很慢。因此�����,智能卡解決方案是麻煩的,而如果認證不 是端對端的,則諸如用戶名/口令等用戶憑證可能被泄漏�。
域控制器被認為是企業(yè)網(wǎng)絡(luò)中的安全核心并且期望它在防火墻和其他隔 離機制之后受到很好的保護�����。許多移動設(shè)備缺乏必須的軟件組件來成功地加入 企業(yè)域,尤其是由于這些設(shè)備通常是遠程的(或在企業(yè)內(nèi)聯(lián)網(wǎng)的范圍之外)并 且不能直接訪問企業(yè)的域控制器���。挑戰(zhàn)是多層面的���,并且包括彌合從移動電話 到網(wǎng)絡(luò)的軟件差距以及從企業(yè)網(wǎng)絡(luò)之外通過非安全無線公共接口(空中(即 OTA))安全地執(zhí)行加入操作。
概述
以下呈現(xiàn)了簡化概述以提供對本文中所描述的新穎實施例的基本理解�。該 概述并不是詳盡的概覽�,并且它并非旨在標識關(guān)鍵/重要元素或描繪其范圍����。其 唯一目的是以簡化的形式給出一些概念��,作為稍后給出的更加詳細的描述的序
曰o
所公開的體系結(jié)構(gòu)包括便于移動客戶機的域加入操作的登記代理�����。該代理
是可以從客戶機在其中操作的公共域(例如因特網(wǎng))通過空中(OTA)訪問的����,并代表移動客戶機填充軟件和連接性中的差距以便將客戶機加入私有域��。新穎 性部分地在于以下事實因特網(wǎng)暴露的服務(wù)沒有固有的特權(quán)���,并且泄漏這些服 務(wù)對私有域而言表示了顯著降低的風險����。該體系結(jié)構(gòu)引入代理作為中間服務(wù)以 便于加入操作,并且一旦完成�,則不再需要代理來維持客戶機和私有域之間的 連接���。
在第一實現(xiàn)中��,通過代理進行的域加入是僅僅使用由移動設(shè)備的用戶提供 給代理的用戶名和口令來完成的。代理代表移動客戶機在私有域建立帳戶�。私 有域和代理具有信任關(guān)系�;然而,代理降低了私有域?qū)Π踩L險的暴露�。
在更加穩(wěn)健和安全的第二實現(xiàn)中�,采用一次性口令(OTP)。登記代理允 許移動客戶機通過代理的域加入操作�。該加入操作是在最小的安全暴露的情況 下完成的��。該加入操作基于移動設(shè)備的機器身份而非基于用戶憑證(例如用戶 名和口令),并且因此不是泄漏用戶身份信息(例如身份盜用)的潛在風險。 登記代理僅需將新機器帳戶添加入企業(yè)(或公司)目錄的許可;代理未被授權(quán) 添加用戶帳戶或取得現(xiàn)有帳戶的所有權(quán)��。登記代理基于實際的機器帳戶憑證而 非采用諸如委托等常規(guī)技術(shù)來獲取經(jīng)簽署的證書。登記過程采用移動設(shè)備和登 記服務(wù)器之間的私有根信任���,而非要求或依賴于公共信任技術(shù)。最終,客戶機 在私有域公司目錄(例如微軟公司的Active Directory (活動目錄))中被授予 機器身份��,并接收允許自認證為與該帳戶相關(guān)聯(lián)的域成員的經(jīng)簽署的公共證書 (例如X.509,用于公鑰基礎(chǔ)結(jié)構(gòu)的標準)�����。
為實現(xiàn)上述和相關(guān)目的,在本文中結(jié)合以下描述和附圖描述了某些說明性 方面����。然而,這些方面僅指示其中可采用本文中所公開的原理的各種方式中的 少數(shù)幾種,并且旨在包括所有這些方面及其等效方案。結(jié)合附圖閱讀以下詳細 描述,則其它優(yōu)點和新穎特征將變得顯而易見�。
附圖簡述
圖1示出了用于將設(shè)備加入域的計算機實現(xiàn)的域成員資格管理系統(tǒng)����。 圖2示出了用于管理對于域的域成員資格的替換系統(tǒng)�����。 圖3示出了至少出于引導和認證目的而持久存儲在域數(shù)據(jù)存儲中的信息�。 圖4示出了管理域成員資格的方法�。
圖5示出了將數(shù)據(jù)持久存儲到數(shù)據(jù)存儲中以支持建立信任關(guān)系和認證的方法�����。圖6示出了設(shè)備準備認證信息以認證代理服務(wù)器的方法�����。 圖7示出了通過認證代理來登記設(shè)備的方法��。 圖8示出了向代理認證客戶機的方法。
圖9示出了在設(shè)備和代理認證之后獲取證書的方法�。 圖IO示出了獲取證書以用于域登記的方法�����。
圖11示出了可用于提供非安全的供應(yīng)和仿真的域加入的計算系統(tǒng)的框圖。
圖12示出了便于非安全的供應(yīng)和仿真的域加入的示例性計算環(huán)境的示意 性框圖����。
詳細描述
所公開的體系結(jié)構(gòu)提供了解決通常與設(shè)法訪問私有域(例如企業(yè))的客戶 機(例如移動)相關(guān)聯(lián)的常規(guī)非安全連接和訪問問題的單個安全機制����。該解決 方案包括登記代理���,該登記代理可以在公共網(wǎng)絡(luò)(例如因特網(wǎng))中的客戶機上 通過空中(OTA)訪問并基于用戶憑證或機器憑證來便于客戶機的域加入操作��, 并接著將其自身從該連接移除�。最終���,客戶機被授予私有域內(nèi)的成員資格。
現(xiàn)在參照附圖��,全部附圖中��,相同的參考標號用于指代相同的元素。在以 下描述中,為解釋起見���,闡明了眾多具體細節(jié)以提供對本發(fā)明的全面理解��。然 而�����,顯然���,各新穎實施例能夠在沒有這些具體細節(jié)的情況下實施。在其它情況 中,以框圖形式示出公知的結(jié)構(gòu)和設(shè)備以便于描述它們����。
最初參考圖1�����,圖1示出了用于管理域成員資格的計算機實現(xiàn)的系統(tǒng)100���。 系統(tǒng)100提供了用于經(jīng)由登記代理服務(wù)器106將移動客戶機102加入私有域104 的機制�����。代理106提供了移動客戶機102 (例如蜂窩電話)在其中操作的公共 域和私有域104 (例如公司企業(yè))之間的接口�����。在該實現(xiàn)中,域加入是基于由 移動客戶機102的用戶所提供的用戶名和口令的形式的用戶憑證的��。將該用戶 名和口令給予代理106并且代理106向域104扮演客戶機102以便將客戶機102 加入域104����。
為了支持這一點,代理IOO包括用于從移動客戶機102接收用戶憑證和將 該用戶憑證傳遞給代理106的認證組件110的引導組件108。認證組件110接 著代表客戶機102向私有域執(zhí)行認證��,并且基于用戶憑證在私有域中創(chuàng)建機器 帳戶�����。不要求使用一次性使用的口令(OTP)或單次使用的個人識別號(PIN)��, 如將在以下實現(xiàn)中使用的�����。圖2示出了用于管理對于域的成員資格的替換和更加穩(wěn)健的系統(tǒng)200�。以
下從對系統(tǒng)操作的高級描述開始��,之后是對實體之間的過程的詳細描述���。
系統(tǒng)200便于將設(shè)備202 (例如移動、便攜式計算機)加入私有域104的 二階段過程。第一階段是在設(shè)備202和代理106之間發(fā)展信任關(guān)系,下文中稱 為"基本"信任關(guān)系���。該基本信任關(guān)系其自身是一個兩部分的過程設(shè)備202 確定代理106是正確的代理,并且代理106確定設(shè)備202被授權(quán)連接到域104��。 」i確定���,則基本信任關(guān)系不再需要代理106�����。第二階段在設(shè)備202和私有域 104之間發(fā)展信任關(guān)系�,下文中稱為"完全"信任關(guān)系�。相似地, 一旦確定��, 則該完全信任關(guān)系不再需要代理106。
系統(tǒng)200的操作是基于諸如OTP (或PIN)等其他類型的憑證的,而非基 于圖1的系統(tǒng)100中采用的用戶憑證����。為了該描述的目的�����,假設(shè)結(jié)合與私有域 104的先前交互己經(jīng)向用戶提供了該OTP���,這樣使得用戶和私有域共享相同的 憑證���。設(shè)備用戶獲取OTP的手段可以通過任何常規(guī)的安全/非安全機制�����。如果 設(shè)備用戶和域中的任一個未能提供(或訪問)OTP,則域加入操作終止����。
一般而言�����,交互通過建立從設(shè)備202到代理106的基本信任關(guān)系開始���。設(shè) 備202檢查以確保代理106是正確的代理��。這是通過設(shè)備向代理106發(fā)送對公 司信任信息的請求來完成的�����。代理106還生成該信任信息的密碼地散列的簽名, 其中該散列是使用從先前定義的OTP導出的密鑰來生成的�。通過在設(shè)備202 上使用該OTP生成相同的散列�����,設(shè)備202能夠驗證代理106是用于建立基本信 任關(guān)系的"正確的"代理�����。如果代理106不能訪問該憑證服務(wù)器����,則代理106 不是用于建立基本信任關(guān)系的"正確的"代理,并且該過程結(jié)束���。
一旦建立了從設(shè)備202到代理106的基本信任關(guān)系的第一部分����,則基本信 任關(guān)系的第二部分涉及代理106接著檢查設(shè)備202是可以被允許加入私有域 104的設(shè)備����。 一旦在設(shè)備202和代理106之間建立該雙向的基本信任關(guān)系�����,則 代理106代表設(shè)備202來獲取證書并生成設(shè)備接著可以訪問的機器帳戶����。這涉 及使用用于主存機器帳戶206的域數(shù)據(jù)存儲204和用于發(fā)出用于要建立的完全 信任關(guān)系的證書的域證書授權(quán)機構(gòu)208。
在繼續(xù)對該過程的更加詳細的描述之前,應(yīng)當理解,某些信息是基于提供 給用戶的OTP來在域104中(例如在數(shù)據(jù)庫204中)生成的并且也被存儲在域 104中�����。以下信息是在域中生成并持久存儲的OTP�����、從該OTP導出的加密密 鑰��、設(shè)備機器帳戶206的名稱����、對設(shè)備202的所有者的引用(例如所有者的數(shù)據(jù)存儲帳戶的標識符)、數(shù)據(jù)存儲204中用于該設(shè)備的機器帳戶206的目標容 器的標識符�����、使用以上加密密鑰導出的用戶標識串(例如設(shè)備所有者的電子郵 件地址)的鍵控散列(keyed hash)碼(例如用HMAC散列的機器認證碼)摘 要����、以及機器帳戶206�。數(shù)據(jù)存儲204可以是文件����、數(shù)據(jù)庫���、應(yīng)用程序分區(qū)等�����。 還要注意�����,摘要可以是諸如用戶的登錄ID或例如詞語"匿名的"等任何加密 種子�。
如上文中概括描述的,登記包括通過設(shè)備202驗證代理106的確實性 (authenticity)來建立基本信任關(guān)系的第一部分。為了實現(xiàn)這一點�����,設(shè)備202 通過調(diào)用web服務(wù)將HMAC摘要傳遞給代理106���。該web服務(wù)使用安全套接 字層(SSL)來進行信道加密,但并不使用SSL認證。代理106接著從數(shù)據(jù)存 儲204檢索先前存儲的加密密鑰����,并使用該加密密鑰來創(chuàng)建代理的SSL證書鏈 的可信的根域證書的HMAC摘要���。該HMAC摘要與相對應(yīng)的根域證書一起傳 遞給設(shè)備202�����,設(shè)備202驗證HMAC摘要是由代理106使用先前導出的加密密 鑰正確計算的�。
設(shè)備202 —旦根據(jù)上述機制確定域證書可以被信任��,則設(shè)備202重新連接 到同一代理106,這一次使用具有信道加密的完全SSL服務(wù)器認證��。設(shè)備202 重新連接以驗證服務(wù)器SSL證書適當?shù)劓溄?或鏈)回先前被確定為可信的域 證書。設(shè)備202接著將證書請求(例如公鑰密碼標準(PKCS)第10號)以及 使用先前計算的加密密鑰導出的該證書請求的HMAC摘要一起提交(PKCSWO 標準證書請求是用于發(fā)送給證書授權(quán)機構(gòu)以請求公鑰的證書的消息的格式)���。 代理106驗證該證書請求的HMAC摘要是使用先前導出的加密密鑰從所提供的 證書請求導出的����,由此認證設(shè)備202����。
代理106接著使用鏈接到HMAC摘要的數(shù)據(jù)存儲信息(圖3的信息304) 來在數(shù)據(jù)存儲204 (例如Active Directory)中創(chuàng)建新機器帳戶206�。新機器帳 戶206由認證組件110登錄并且在登錄期間被用于向證書授權(quán)機構(gòu)208提交證 書請求�����。接著檢索所發(fā)出的證書并將其返回給設(shè)備202。
概括某些新穎方面���,登記代理106為設(shè)備202仿真域加入操作。該加入操 作是基于一次性使用的口令的�,并且因此不是泄露用戶身份信息的潛在風險。 此外,登記代理106僅需要對域的最低級別的訪問以將新機器帳戶添加到企業(yè) (或公司)數(shù)據(jù)存儲中��。此外���,登記代理106未被授權(quán)添加新用戶帳戶或取得 現(xiàn)有帳戶的所有權(quán)�����?��?蛻魴C設(shè)備202和代理106之間所發(fā)展的基本信任關(guān)系由
8代理106用于在設(shè)備202和私有域104之間最終建立完全信任關(guān)系����。機器身份 可以被存儲在域數(shù)據(jù)存儲或目錄(例如微軟公司的Active Directory )中�,并 且接收允許設(shè)備202認證其自身是私有域104的成員的經(jīng)簽署的公共證書(例 如X.509)���。
在一可任選的實施例中��,OTP結(jié)合硬件專用的唯一設(shè)備標識符(ID)來使 用����,這樣使得傳遞給代理106的標識信息包括OTP和設(shè)備ID兩者��。這防止將 OTP用于用戶可能具有的其他移動設(shè)備或防止可能由不同的用戶在不同的設(shè) 備上使用該OTP。在一個實現(xiàn)中���,基于對OTP的最初的處理,可以提升設(shè)備 202和代理106之間的基本或完全信任處理以包括設(shè)備ID并接著偏向或不偏向 設(shè)備202來完成信任過程��。
圖3示出了至少出于引導和認證目的而持久存儲在域數(shù)據(jù)存儲204中的信 息�。以下描述是在移動設(shè)備300 (例如蜂窩電話)的上下文中的。然而,可以 理解,便攜式計算機和諸如PDA和圖形輸入板PC等其他無線設(shè)備可以獲得所 公開的域登記體系結(jié)構(gòu)的好處。
引導過程是基于移動設(shè)備用戶已經(jīng)獲取了 OTP 302的。接著生成以下信息 304并將其持久存儲在中間數(shù)據(jù)存儲306中OTP 302��、從該OTP導出的加密 密鑰��、設(shè)備機器帳戶206的名稱(假設(shè)移動設(shè)備300相對于域是"新"設(shè)備����, 并因此對于設(shè)備300不存在先前的機器帳戶)�����、對移動設(shè)備300的所有者的引 用(例如所有者的數(shù)據(jù)存儲的帳戶的全域名(FQDN))���、對數(shù)據(jù)存儲204中 的用于設(shè)備的機器帳戶206的目標容器的引用(例如容器的FQDN)����、使用上 述加密密鑰導出的用戶標識串(例如設(shè)備所有者的電子郵件地址)的鍵控散列 (例如HMAC)摘要��、以及圖2的機器帳戶206�。
圖4示出了管理域成員資格的方法�。盡管出于簡化解釋的目的�,本文中例 如以流程圖表或流程圖的形式示出的一種或多種方法被示出和描述為一系列 動作��,但應(yīng)該理解和明白����,各方法不受動作的次序的限制��,因為根據(jù)本發(fā)明�,
--些動作能夠以與在此所示出和描述所不同的次序發(fā)生和/或與其它動作同時 發(fā)生��。例如��,本領(lǐng)域技術(shù)人員將會明白并理解�,方法可替換地被表示為一系列 相互關(guān)聯(lián)的狀態(tài)或事件,諸如以狀態(tài)圖的形式�����。此外��,并非所有所示動作都是 新穎實現(xiàn)所必需的�����。
在400處��,從移動設(shè)備處接收憑證(例如OTP)以用于加入域���,該憑證是 由域的代理服務(wù)器通過空中接口接收的���。在402處�,基于該憑證在移動設(shè)備和
9代理服務(wù)器之間建立信任關(guān)系��。在404處��,經(jīng)由代理服務(wù)器并基于信任關(guān)系來
在域中為移動設(shè)備創(chuàng)建機器帳戶�。在406處,基于該機器帳戶將移動設(shè)備加入域�����。
圖5示出了將數(shù)據(jù)持久存儲到數(shù)據(jù)存儲中以支持建立信任關(guān)系和認證處理 的方法���。在500處�����,在根據(jù)其他程序或過程生成OTP并將其分配給移動設(shè)備用 戶之后�,代理將該OTP和加密密鑰持久存儲到數(shù)據(jù)存儲中。在502處��,代理將 機器帳戶的名稱持久存儲到數(shù)據(jù)存儲中���。在504處����,代理將對設(shè)備的引用(例 如用戶標識信息)持久存儲到數(shù)據(jù)存儲中����。在506處���,代理將設(shè)備機器帳戶的 目標容器的FQDN持久存儲到數(shù)據(jù)存儲中。在508處�����,代理將使用上述加密密 鑰的加密種子的鍵控散列碼摘要持久存儲到數(shù)據(jù)存儲中����。
圖6示出了設(shè)備生成認證信息以用于認證代理服務(wù)器的方法。在600處�����, 設(shè)備基于先前獲取的OTP經(jīng)由登記代理發(fā)起對私有域的訪問�����。在602處,設(shè)備 提示設(shè)備用戶輸入用戶帳戶信息和OTP��。在604處�,設(shè)備使用該OTP生成加 密密鑰。在606處,設(shè)備使用該加密密鑰創(chuàng)建用戶帳戶信息的鍵控散列碼(例 如HMAC)摘要�����。
圖7示出了通過認證代理來登記設(shè)備(例如移動設(shè)備)的方法。在700處, 設(shè)備發(fā)起對代理的認證以確保代理是預(yù)期網(wǎng)絡(luò)實體�。在702處,設(shè)備使用通用 加密種子(例如用戶帳戶或其他用戶標識信息)生成鍵控散列碼摘要形式的設(shè) 備身份�����。在704處���,設(shè)備接著調(diào)用采用信道加密的web服務(wù)以將摘要發(fā)送給代 理。Web服務(wù)可以使用SSL進行信道加密���,但是仍不使用SSL認證���。在706 處����,代理接著從數(shù)據(jù)存儲檢索先前存儲的加密密鑰���。在708處,代理創(chuàng)建服務(wù) 器的SSL證書鏈的根證書的鍵控散列碼摘要(例如HMAC)�����。在710處����,代理 將根證書的摘要和根證書發(fā)送給設(shè)備�����。在712處,設(shè)備使用根證書并通過使用 先前導出的設(shè)備加密密鑰來重新計算摘要以驗證摘要是代理正確地計算的�。一 旦驗證���,則設(shè)備現(xiàn)在信任代理是客戶機希望與之通信的預(yù)期網(wǎng)絡(luò)實體����。
圖8示出了向代理認證客戶機的方法��。 一旦設(shè)備認證了代理��,則代理反過 來認證設(shè)備。在800處,設(shè)備使用具有信道加密的完全服務(wù)器認證(例如SSL) 來重新連接到代理以驗證代理SSL證書適當?shù)劓溄?或鏈)回先前被確定為可 信的域證書。在802處�����,設(shè)備接著將證書請求以及該證書請求的鍵控散列碼摘 要(例如HMAC) —起提交�����;該摘要是使用先前計算并存儲的加密密鑰來導出 的�����。在804處����,代理驗證證書請求的摘要是使用先前導出的加密密鑰從所提供的證書請求導出的。在806處,當成功認證時�,代理就認證了設(shè)備��。
圖9示出了在設(shè)備和代理認證之后獲取域證書的方法。在900處�����,代理檢 索鏈接到標識信息的摘要的數(shù)據(jù)存儲信息���。在902處,代理使用該數(shù)據(jù)存儲信 息來在數(shù)據(jù)存儲中創(chuàng)建新機器帳戶���。在904處�����,代理登錄到該新機器帳戶。在 卯6處�����,代理將從設(shè)備處接收到的證書請求提交給證書授權(quán)機構(gòu)。在908處�����, 證書授權(quán)機構(gòu)基于設(shè)備身份發(fā)出經(jīng)簽署的域證書�����。在910處,代理接收所發(fā)出 的域證書并將其發(fā)送給設(shè)備����。設(shè)備現(xiàn)在具有對域服務(wù)的完全訪問�。
用于基于缺乏獲取證書的委托授權(quán)機構(gòu)來獲取證書的機制向?qū)で笤L問私 有域以獲取企業(yè)服務(wù)的設(shè)備提供了顯著的好處在本體系結(jié)構(gòu)的構(gòu)想之內(nèi)。
用于代表設(shè)備獲取證書的常規(guī)代理機制供代理通過從設(shè)備請求口令、將該 口令發(fā)送給證書授權(quán)機構(gòu)、從授權(quán)機構(gòu)接收經(jīng)簽署的證書、并接著將經(jīng)簽署的 證書轉(zhuǎn)發(fā)給設(shè)備來扮演設(shè)備。
如本文中所描述的可以被認為是"反向委托"的常規(guī)代理機制的新穎替換 是獲取與新機器帳戶相關(guān)聯(lián)的證書并接著在認證過程結(jié)束時轉(zhuǎn)移該帳戶的所 有權(quán)���,由此向證書的接收者(在該情況下為設(shè)備)提供對域服務(wù)的完全訪問�����。
圖IO示出了獲取證書以用于域登記的計算機實現(xiàn)的方法。在1000處,將 代理許可限于僅創(chuàng)建新機器帳戶D在1002處,代理基于與OTP相關(guān)聯(lián)的供應(yīng) 信息在組織目錄內(nèi)為移動設(shè)備創(chuàng)建任意機器帳戶����。在1004處�,代理從域的證 書授權(quán)機構(gòu)請求證書。在1006處���,代理使用證書請求的散列摘要來驗證證書 請求的計算����。在1008處,代理從證書授權(quán)機構(gòu)接收經(jīng)簽署的客戶機證書。在 1010處���,代理通過將經(jīng)簽署的證書發(fā)送給移動設(shè)備來將機器帳戶的所有權(quán)轉(zhuǎn)移 給移動設(shè)備。在1012處���,代理在將經(jīng)簽署的客戶機證書發(fā)送給客戶機之后放 棄對機器帳戶的訪問。
如在本申請中所使用的���,術(shù)語"組件"和"系統(tǒng)"指的是計算機相關(guān)的實體����, 它們可以是硬件���、硬件和軟件的組合、軟件����、或者執(zhí)行中的軟件�����。例如���,組件可以 是��,但不限于,在處理器上運行的進程、處理器���、硬盤驅(qū)動器��、多個(光學和/或 磁存儲介質(zhì)的)存儲驅(qū)動器���、對象����、可執(zhí)行代碼�、執(zhí)行的線程��、程序�、和/或計算 機��。作為說明�,在服務(wù)器上運行的應(yīng)用程序和服務(wù)器都可以是組件����。 一個或多個組 件可以駐留在進程和/或執(zhí)行的線程內(nèi)����,且組件可以位于一臺計算機上和/或分布在 兩臺或多臺計算機之間����。
現(xiàn)在參考圖11,所示出的是可用于提供非安全的供應(yīng)和仿真的域加入的計算系統(tǒng)1100的框圖�。為了提供用于其各方面的附加上下文,圖ll及以下討論 旨在提供其中可實現(xiàn)各方面的合適的計算系統(tǒng)1100的簡要概括描述��。盡管以
上描述是在可在一個或多個計算機上運行的計算機可執(zhí)行指令的一般上下文 中的�,但是本領(lǐng)域的技術(shù)人員將認識到�����,新穎實施例可結(jié)合其它程序模塊和/ 或作為硬件和軟件的組合來實現(xiàn)�。
一般而言,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程、 程序���、組件�、數(shù)據(jù)結(jié)構(gòu)等等��。此外,本領(lǐng)域的技術(shù)人員可以理解�����,本發(fā)明的方 法可用其它計算機系統(tǒng)配置來實施���,包括單處理器或多處理器計算機系統(tǒng)�、小 型機����、大型計算機��、以及個人計算機�����、手持式計算設(shè)備����、基于微處理器的或可 編程消費電子產(chǎn)品等����,其每一個都可操作上耦合到一個或多個相關(guān)聯(lián)的設(shè)備�。
所示的各方面也可在其中某些任務(wù)由通過通信網(wǎng)絡(luò)鏈接的遠程處理設(shè)備 來執(zhí)行的分布式計算環(huán)境中實施���。在分布式計算環(huán)境中,程序模塊可以位于本 地和遠程存儲器存儲設(shè)備中�����。
計算機通常包括各種計算機可讀介質(zhì)�����。計算機可讀介質(zhì)可以是可由計算機 訪問的任一可用介質(zhì)����,并包括易失性和非易失性介質(zhì)����、可移動和不可移動介質(zhì)�����。 作為示例而非限制��,計算機可讀介質(zhì)可以包括計算機存儲介質(zhì)和通信介質(zhì)。計 算機存儲介質(zhì)可包括以存儲諸如計算機可讀指令����、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它 數(shù)據(jù)等信息的任意方法或技術(shù)來實現(xiàn)的易失性和非易失性、可移動和不可移動
介質(zhì)。計算機存儲介質(zhì)包括但不限于,RAM���、 ROM、 EEPROM、閃存或其它 存儲器技術(shù)�、CD-ROM、數(shù)字視頻盤(DVD)或其它光盤存儲�����、磁盒����、磁帶�、 磁盤存儲或其它磁存儲設(shè)備、或可以用來存儲所需信息并可由計算機訪問的任 一其它介質(zhì)。
再次參考圖ll����,用于實現(xiàn)各方面的示例性計算系統(tǒng)1100包括計算機1102, 計算機1102包括處理單元1104����、系統(tǒng)存儲器1106和系統(tǒng)總線1108�����。系統(tǒng)總 線1108向包括但不限于系統(tǒng)存儲器1106的各系統(tǒng)組件提供到處理單元1104 的接口�����。處理單元1104可以是市場上可購買到的各種處理器中的任意一種��。 雙微處理器和其它多處理器體系結(jié)構(gòu)也可用作處理單元1104�。
系統(tǒng)總線1108可以是若干種總線結(jié)構(gòu)中的任一種����,這些總線結(jié)構(gòu)還可互 連到存儲器總線(帶有或沒有存儲器控制器)、外圍總線���、以及使用市場上可 購買到的各類總線體系結(jié)構(gòu)中的任一種的局部總線��。系統(tǒng)存儲器1106包括只 讀存儲器(ROM) 1110和隨機存取存儲器(RAM) 1112。基本輸入/輸出系統(tǒng)
12(BIOS)儲存在諸如ROM��、 EPROM�����、 EEPROM等非易失性存儲器1110中�����, 其中BIOS包含幫助諸如在啟動期間在計算機1102內(nèi)的元件之間傳輸信息的基 本例程。RAM 1112還可包括諸如靜態(tài)RAM等高速RAM來用于高速緩存數(shù)據(jù)。
計算機1102還包括內(nèi)置硬盤驅(qū)動器(HDD) 1114 (例如��,EIDE��、 SATA), 該內(nèi)置硬盤驅(qū)動器1114還可被配置成在合適的機殼(未示出)中外部使用��; 磁軟盤驅(qū)動器(FDD) 1116 (例如�,從可移動磁盤1118中讀取或向其寫入)��; 以及光盤驅(qū)動器1120 (例如����,從CD-ROM盤1122中讀取�����,或從諸如DVD等 其它高容量光學介質(zhì)中讀取或向其寫入)。硬盤驅(qū)動器1114���、磁盤驅(qū)動器1116 和光盤驅(qū)動器1120可分別通過硬盤驅(qū)動器接口 1124��、磁盤驅(qū)動器接口 1126和 光盤驅(qū)動器接口 1128連接到系統(tǒng)總線1108��。用于外置驅(qū)動器實現(xiàn)的接口 1124 包括通用串行總線(USB)和IEEE 1394接口技術(shù)中的至少一種或兩者。
驅(qū)動器及其相關(guān)聯(lián)的計算機可讀介質(zhì)提供了對數(shù)據(jù)��、數(shù)據(jù)結(jié)構(gòu)、計算機可 執(zhí)行指令等的非易失性存儲���。對于計算機1102����,驅(qū)動器和介質(zhì)容納適當?shù)臄?shù)字 格式的任何數(shù)據(jù)的存儲�。盡管以上對計算機可讀介質(zhì)的描述涉及HDD、可移動 磁盤以及諸如CD或DVD等可移動光學介質(zhì)����,但是本領(lǐng)域的技術(shù)人員應(yīng)當理 解��,示例性操作環(huán)境中也可使用可由計算機讀取的任何其它類型的介質(zhì),諸如 zip驅(qū)動器�����、磁帶盒����、閃存卡�����、盒式磁帶等等,并且任何這樣的介質(zhì)可包含用 于執(zhí)行所公開的方法的計算機可執(zhí)行指令���。
多個程序模塊可儲存在驅(qū)動器和RAM 1112中����,包括操作系統(tǒng)1130��、 一個 或多個應(yīng)用程序1132���、其它程序模塊1134和程序數(shù)據(jù)1136�。所有或部分操作 系統(tǒng)、應(yīng)用程序�����、模塊和/或數(shù)據(jù)也可被高速緩存在RAM 1112中��。應(yīng)該明白��, 所公開的體系結(jié)構(gòu)可以用市場上可購買到的各種操作系統(tǒng)或操作系統(tǒng)的組合 來實現(xiàn)��。
應(yīng)用程序1132和/或模塊1134可以包括圖l的代理服務(wù)器引導和認認證組 件(108和110)。在系統(tǒng)1100是客戶機102的情況下�����,應(yīng)用程序1132禾口/或 模塊1134可以包括例如用于生成加密密鑰和鍵控散列碼摘要的客戶機處理能 力���。在圖1和圖2的域104的上下文中��,系統(tǒng)1100可以包括證書授權(quán)機構(gòu)208 和/或數(shù)據(jù)存儲204和機器帳戶206�����。
用戶可以通過--個或多個有線/無線輸入設(shè)備���,例如鍵盤1138和諸如鼠標 1140等定點設(shè)備將命令和信息輸入到計算機1102中�����。其它輸入設(shè)備(未示出) 可包括話筒��、IR遙控器���、操縱桿�����、游戲手柄����、指示筆����、觸摸屏等等����。這些和其它輸入設(shè)備通常通過耦合到系統(tǒng)總線1108的輸入設(shè)備接口 1142連接到處理單 元1104,但也可通過其它接口連接�,如并行端口��、 IEEE 1394串行端口���、游戲 端口��、 USB端口、 IR接口等等�。
監(jiān)視器1144或其它類型的顯示設(shè)備也經(jīng)由接口����,諸如視頻適配器1146連 接至系統(tǒng)總線1108。除了監(jiān)視器1144之外����,計算機通常包括諸如揚聲器、打 印機等其它外圍輸出設(shè)備(未示出)。
計算機1102可使用經(jīng)由有線和/或無線通信至一個或多個遠程計算機���,諸 如遠程計算機1048的邏輯連接在網(wǎng)絡(luò)化環(huán)境中操作�。遠程計算機1148可以是 工作站�、服務(wù)器計算機�、路由器�����、個人計算機�、便攜式計算機、基于微處理器 的娛樂設(shè)備���、對等設(shè)備或其它常見的網(wǎng)絡(luò)節(jié)點��,并且通常包括以上相對于計算 機1102描述的許多或所有元件����,盡管為簡明起見僅示出了存儲器/存儲設(shè)備 1150���。所描繪的邏輯連接包括到局域網(wǎng)(LAN) 1152禾口/或例如廣域網(wǎng)(WAN) 1154等更大的網(wǎng)絡(luò)的有線/無線連接�����。這一 LAN和WAN聯(lián)網(wǎng)環(huán)境常見于辦公 室和公司���,并且方便了諸如內(nèi)聯(lián)網(wǎng)等企業(yè)范圍計算機網(wǎng)絡(luò)��,所有這些都可連接 到例如因特網(wǎng)等全球通信網(wǎng)絡(luò)。
當在LAN網(wǎng)絡(luò)環(huán)境中使用時���,計算機1102通過有線和/或無線通信網(wǎng)絡(luò)接 口或適配器1156連接到局域網(wǎng)1152��。適配器1156可以便于到LAN 1152的有 線或無線通信�����,并且LAN 1152還可包括其上設(shè)置的用于與無線適配器1156通 信的無線接入點。
當在WAN網(wǎng)絡(luò)環(huán)境中使用時��,計算機1102可包括調(diào)制解調(diào)器1158�,或 連接到WAN 1154上的通信服務(wù)器,或具有用于通過WAN 1154���,諸如通過因 特網(wǎng)建立通信的其它裝置����。或為內(nèi)置或為外置以及有線或無線設(shè)備的調(diào)制解調(diào) 器U58經(jīng)由串行端口接口 1142連接到系統(tǒng)總線1108。在網(wǎng)絡(luò)化環(huán)境中����,相對 于計算機1102所描述的程序模塊或其部分可以存儲在遠程存儲器/存儲設(shè)備 1150中。應(yīng)該理解��,所示網(wǎng)絡(luò)連接是示例性的��,并且可以使用在計算機之間建 立通信鏈路的其它手段�����。
計算機1102可用于與操作上設(shè)置在無線通信中的任何無線設(shè)備或?qū)嶓w通 信,這些設(shè)備或?qū)嶓w例如有打印機����、掃描儀��、臺式和/或便攜式計算機、便攜式 數(shù)據(jù)助理�、通信衛(wèi)星、與無線可檢測標簽相關(guān)聯(lián)的任何一個設(shè)備或位置(例如�����, 公用電話亭����、報亭���、休息室)以及電話機��。這至少包括Wi-Fi和藍牙TM無線技 術(shù)。由此��,通信可以如對于常規(guī)網(wǎng)絡(luò)那樣是預(yù)定義結(jié)構(gòu)����,或者僅僅是至少兩個設(shè)備之間的自組織(ad hoc)通信。
Wi-Fi,即無線保真���,允許從家里沙發(fā)�、酒店房間的床上或工作的會議室 連接到因特網(wǎng)而不需要線纜����。Wi-Fi是一種類似蜂窩電話中使用的無線技術(shù)�����, 它使得諸如計算機等設(shè)備能夠在室內(nèi)和室外��;在基站范圍內(nèi)的任何地方發(fā)送和 接收數(shù)據(jù)。Wi-Fi網(wǎng)絡(luò)使用稱為IEEE 802.1 1 (a�、 b��、 g等等)的無線電技術(shù)來 提供安全、可靠����、快速的無線連接�。Wi-Fi網(wǎng)絡(luò)可用于將計算機彼此連接�����、連 接到因特網(wǎng)以及連接到有線網(wǎng)絡(luò)(使用IEEE 802.3或以太網(wǎng))。
現(xiàn)在參考圖12,所示出的是便于非安全的供應(yīng)和仿真的域加入的示例性計 算環(huán)境1200的示意性框圖����。系統(tǒng)1200包括一個或多個客戶機1202���。客戶機 1202可以是硬件和/或軟件(例如�,線程、進程�、計算設(shè)備)����??蛻魴C1202可 例如容納cookie禾B/或相關(guān)聯(lián)的上下文信息��。
系統(tǒng)1200還包括一個或多個服務(wù)器1204����。服務(wù)器1204也可以是硬件和/ 或軟件(例如���,線程、進程、計算設(shè)備)�����。服務(wù)器1204可以例如通過利用該 體系結(jié)構(gòu)以容納各線程來執(zhí)行轉(zhuǎn)換�。在客戶機1202和服務(wù)器1204之間的一種 可能的通信能夠以適合在兩個或多個計算機進程之間傳輸?shù)臄?shù)據(jù)分組的形式 進行。數(shù)據(jù)分組可包括例如cookie和/或相關(guān)聯(lián)的上下文信息。系統(tǒng)1200包括 可以用來使客戶機1202和服務(wù)器1204之間通信更容易的通信框架1206(例如�, 諸如因特網(wǎng)等全球通信網(wǎng)絡(luò))。
通信可經(jīng)由有線(包括光纖)禾口/或無線技術(shù)來促進??蛻魴C1202操作上 被連接到可以用來存儲對客戶機1202本地的信息(例如�,cookie禾B/或相關(guān)聯(lián) 的上下文信息)的一個或多個客戶機數(shù)據(jù)存儲1208。同樣地�,服務(wù)器1204可 在操作上連接到可以用來存儲對服務(wù)器1204本地的信息的一個或多個服務(wù)器 數(shù)據(jù)存儲1210���。
客戶機1202可以包括設(shè)法訪問代理服務(wù)器106的客戶機102����,兩者都在圖 1中。數(shù)據(jù)存儲204和證書授權(quán)機構(gòu)208(兩者都在圖2中)可以是服務(wù)器1204���, 服務(wù)器1204也可以是企業(yè)的后端服務(wù)器�。
以上所描述的包括所公開的體系機構(gòu)的各個示例�����。當然�����,描述每一個可以 想到的組件和/或方法的組合是不可能的,但本領(lǐng)域內(nèi)的普通技術(shù)人員可以認識 到,許多其它組合和排列都是可能的�。因此,本新穎的體系機構(gòu)旨在涵蓋所有 這些落入所附權(quán)利要求書的精神和范圍內(nèi)的更改�、修改和變化���。此外����,就在說 明書或權(quán)利要求書中使用術(shù)語"包括"而言�����,這一術(shù)語旨在以與術(shù)語"包含"
15在用作權(quán)利要求中的過渡詞時被解釋的相似的方式為包含性的。
權(quán)利要求
1.一種用于管理域成員資格的計算機實現(xiàn)的系統(tǒng)(100)���,包括用于從設(shè)法訪問域的移動客戶機接收用戶憑證的域代理的引導組件(108)��;以及用于基于所述用戶憑證向所述域認證所述移動客戶機的所述代理的認證組件(110)�����。
2. 如權(quán)利要求l所述的系統(tǒng),其特征在于���,所述用戶憑證包括用戶名或口令 中的至少一個���。
3. 如權(quán)利要求l所述的系統(tǒng)��,其特征在于�����,所述認證組件基于所述用戶憑證 為所述移動客戶機創(chuàng)建機器帳戶�����。
4. 如權(quán)利要求l所述的系統(tǒng),其特征在于�����,所述移動客戶機是通過非安全空 中接口傳遞所述用戶憑證的蜂窩電話�����。
5. —種管理域成員資格的計算機實現(xiàn)的方法����,包括以下動作-從移動設(shè)備接收憑證以加入域���,所述憑證是由所述域的代理服務(wù)器通過空中接口接收的(400);基于所述憑證在所述移動設(shè)備和所述代理服務(wù)器之間建立信任關(guān)系(402);經(jīng)由所述代理服務(wù)器并基于所述信任關(guān)系在所述域中為所述移動設(shè)備創(chuàng)建機 器帳戶(404);以及基于所述機器帳戶將所述移動設(shè)備加入所述域(406)��。
6. 如權(quán)利要求5所述的方法����,其特征在于��,所述憑證包括用戶名,以及一次 性使用口令(OTP)或設(shè)備ID中兩者的至少一個����。
7. 如權(quán)利要求5所述的方法���,其特征在于,還包括經(jīng)由web服務(wù)從移動設(shè)備 接收通用加密種子的鍵控散列碼摘要。
8. 如權(quán)利要求7所述的方法��,其特征在于,還包括從使用信道加密的web服務(wù)接收所述鍵控散列碼摘要�。
9. 如權(quán)利要求5所述的方法,其特征在于,還包括基于加密密鑰在所述代理 服務(wù)器處生成域證書的鍵控散列碼摘要�����。
10. 如權(quán)利要求5所述的方法�,其特征在于,還包括將所述鍵控散列碼摘要 和根證書發(fā)送給所述移動設(shè)備以供所述移動設(shè)備驗證以及基于所述移動設(shè)備的成 功認證來建立所述信任關(guān)系����。
11. 如權(quán)利要求5所述的方法,其特征在于,還包括允許所述移動客戶機使 用具有信道加密的完全服務(wù)器認證來重新連接到所述代理服務(wù)器以進行驗證 過程���。
12. 如權(quán)利要求5所述的方法,其特征在于����,還包括驗證代理服務(wù)器證書鏈接回與完全信任關(guān)系相關(guān)聯(lián)的域證書����。
13. 如權(quán)利要求5所述的方法�����,其特征在于��,還包括作為登記過程的一部分 將經(jīng)簽署的域證書存儲在所述移動設(shè)備上。
14. 如權(quán)利要求5所述的方法,其特征在于��,還包括代表所述移動客戶機登 錄到所述機器帳戶并將對經(jīng)簽署的證書的證書請求提交給所述域的證書授權(quán)機構(gòu)����。
15. 如權(quán)利要求14所述的方法,其特征在于,所述經(jīng)簽署的證書被返回給所 述移動客戶機���。
16. 如權(quán)利要求5所述的方法�����,其特征在于�����,還包括將以下的至少一個存儲 在域數(shù)據(jù)存儲上OTP���、從所述OTP導出的加密密鑰、新機器帳戶的名稱�、對所 述客戶機的所有者的引用、所述新機器帳戶的目標容器的全域名����、或使用所述加密 密鑰導出的通用加密種子的散列機器認證碼(HMAC)摘要�。
17. 如權(quán)利要求5所述的方法,其特征在于��,還包括在加入動作之后所述代 理服務(wù)器停止協(xié)助所述移動客戶機。
18. 如權(quán)利要求5所述的方法,其特征在于�����,所述信任關(guān)系是私有信任關(guān)系。
19. 如權(quán)利要求5所述的方法,其特征在于��,還包括基于機器身份憑證而非 用戶憑證來將所述移動設(shè)備加入所述域,所述域是私有域����。
20. —種計算機實現(xiàn)的系統(tǒng)�,包括用于從移動設(shè)備接收憑證以加入域的計算機實現(xiàn)的裝置(108),所述憑證是 由所述域的代理服務(wù)器通過空中接口接收的;用于基于所述憑證在所述移動設(shè)備和所述代理服務(wù)器之間建立信任關(guān)系的計 算機實現(xiàn)的裝置(110);用于經(jīng)由所述代理服務(wù)器并基于所述信任關(guān)系在所述域中為所述移動設(shè)備創(chuàng) 建機器帳戶的計算機實現(xiàn)的裝置(106);以及用于基于所述機器帳戶將所述移動設(shè)備加入所述域的計算機實現(xiàn)的裝置 (106)。
全文摘要
允許客戶機通過非安全網(wǎng)絡(luò)的域加入操作的代理服務(wù)。該加入操作通過使用機器身份信息而非用戶憑證在最小的安全暴露的情況下完成的。該代理僅使用與將新機器帳戶添加到企業(yè)目錄相關(guān)聯(lián)的許可����,而沒有添加用戶帳戶或取得現(xiàn)有帳戶的所有權(quán)的許可。該代理允許基于實際機器帳戶憑證而非諸如委托等常規(guī)技術(shù)的認證以獲取經(jīng)簽署的證書。此外,登記過程采用在該設(shè)備和該代理之間的原始的信任關(guān)系而非要求或依賴于公開的信任。
文檔編號H04L9/30GK101689991SQ200880021782
公開日2010年3月31日 申請日期2008年6月11日 優(yōu)先權(quán)日2007年6月25日
發(fā)明者P·科特, S·赫佐格 申請人:微軟公司