发明名称 |
用于对网络资源的单次登入和安全访问的策略驱动的凭证委托 |
摘要 |
凭证安全支持提供者(Cred SSP)使得任何应用程序能经由客户机侧安全支持提供者(SSP)软件将用户的凭证从客户机经由服务器侧SSP软件安全地委托给目标服务器。该Cred SSP提供了部分地基于一组策略的安全解决方案。策略可以用于任何类型的用户凭证,并且设计不同的策略以缓解各种各样的攻击,使得可对给定委托环境、网络条件、信任等级等发生适当的委托。另外,仅可信子系统,例如本地安全认证机构(LSA)的可信子系统能够访问明文凭证,使得服务器侧上的Cred SSP API的调用应用程序和客户机侧上的Cred SSPAPI的调用应用程序都不能访问明文凭证。 |
申请公布号 |
CN101449257B |
申请公布日期 |
2011.05.11 |
申请号 |
CN200780018807.6 |
申请日期 |
2007.05.25 |
申请人 |
微软公司 |
发明人 |
G·梅德文斯基;C·伊尔卡;C·哈古;J·E·帕森斯;M·E·E·D·法萨拉;P·J·里奇;T·B·E-D·M·卡梅尔 |
分类号 |
G06F15/00(2006.01)I;H04L9/32(2006.01)I |
主分类号 |
G06F15/00(2006.01)I |
代理机构 |
上海专利商标事务所有限公司 31100 |
代理人 |
顾嘉运 |
主权项 |
一种用于在联网计算环境中将用户凭证从客户机委托给服务器的方法,包括:在所述联网计算环境中,从客户机请求服务器的应用程序、服务或资源,所述请求涉及用户凭证从所述客户机向所述服务器的委托;发起所述客户机和所述服务器之间的握手;协商以选择在所述客户机和服务器之间共享的认证包,以用作用于认证所述客户机和所述服务器之间的通信的认证机制;利用所选认证包作为所述认证机制来互认证所述服务器和所述客户机;根据所述互认证步骤确定是否发生了互认证,并且如果发生了互认证,则在所述客户机和服务器之间建立会话,包括建立用于加密在所述客户机和服务器之间传送的消息的共享秘密;在发送针对所述请求的凭证之前,根据为用户凭证定义的至少一个预定义策略来执行策略检验,以确定所述服务器对于所述用户凭证是否是可信的;以及如果所述服务器是可信的,则将所述用户凭证发送给所述服务器以获得从所述客户机对所请求的所述服务器的应用程序、服务或资源的访问。 |
地址 |
美国华盛顿州 |