ES2719538T3 - Transferencia segura de información de autenticación - Google Patents

Transferencia segura de información de autenticación Download PDF

Info

Publication number
ES2719538T3
ES2719538T3 ES16714996T ES16714996T ES2719538T3 ES 2719538 T3 ES2719538 T3 ES 2719538T3 ES 16714996 T ES16714996 T ES 16714996T ES 16714996 T ES16714996 T ES 16714996T ES 2719538 T3 ES2719538 T3 ES 2719538T3
Authority
ES
Spain
Prior art keywords
application
server
user
proxy
account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16714996T
Other languages
English (en)
Inventor
Serge Adda
Raphaël Zhou
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wallix SARL
Original Assignee
Wallix SARL
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wallix SARL filed Critical Wallix SARL
Application granted granted Critical
Publication of ES2719538T3 publication Critical patent/ES2719538T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procedimiento de conexión seguro a una aplicación (504) ejecutada en un servidor (500) desde un equipo informático cliente, por un usuario (100) que no dispone de los datos de autenticación de la cuenta declarada en dicha aplicación, comprendiendo dicha cuenta al menos una identidad ID proxy,aplicación y datos de autenticación asociados, implementando un proxy (300) que comprende una memoria para el registro, para cada usuario declarado por una cuenta primaria que comprende al menos una identidad IDusuario, de la lista de los destinos Drecursos, cuentas a la que tiene acceso, comprendiendo el procedimiento las etapas siguientes: - apertura por el usuario de una conexión (200) con el proxy por medio de un protocolo de administración nativo multicanal, con una primera identidad IDusuario para la apertura de una sesión multicanal primaria (301), - definición simultánea o secuencial de la aplicación, - conexión del proxy al servidor de alojamiento de dicha aplicación seleccionada por medio del mismo protocolo de administración nativo multicanal con una segunda identidad IDproxy,servidor para abrir una sesión multicanal secundaria (501), - registro temporal de una información Irelé correspondiente al enlace entre dicha sesión primaria y dicha sesión secundaria - ejecución en el servidor de un código informático (502) que abre un canal entre dicho servidor y dicho proxy, en el marco de dicha sesión multicanal secundaria, - envío por dicho código en dicho canal de una petición que solicita, para dicha aplicación y dicha cuenta, los datos de autenticación - en respuesta a esta petición, transmisión por el proxy de estos datos de autenticación si el destino definido por dicha aplicación y dicha cuenta pertenece a la lista de los destinos Drecursos, cuentas, asociados a un identificador IDproxy,aplicación, registrado por dicho usuario, - y ejecución de dicha aplicación y transmisión (503) a dicha aplicación por dicho código de los datos usuarios o notificación de error si la cuenta no pertenece a dicha lista.

Description

DESCRIPCIÓN
Transferencia segura de información de autenticación
Campo de la invención
La presente invención se refiere al campo de los servidores de aplicación, y más particularmente de los procedimientos y sistemas de acceso a recursos aplicativos alojados en uno o varios servidores, por un usuario.
Estado de la técnica
Se conoce en particular en el estado de la técnica la solicitud de patente internacional WO 2014064686 que describe un sistema y procedimiento de autenticación segura basada en una pasarela intermediaria. Este documento divulga un sistema y un procedimiento de autenticación segura que facilita la mejora de la seguridad de una autenticación entre un cliente y un destino por medio de un módulo de autenticación novedoso en una pasarela intermediaria. Según la invención, el cliente puede conectarse a la pasarela intermediaria por medio de un protocolo nativo y proporciona informaciones de identificación de usuario a la pasarela intermediaria.
La invención facilita la conexión entre el cliente y el destino de modo que es inútil, para el usuario, estar en posesión de las informaciones de identificación de acceso de destino. La pasarela intermediaria puede conectarse eventualmente a un sistema de gestión de acceso privilegiado que puede proporcionar y/o almacenar informaciones de identificación de acceso de destino. Las informaciones de identificación de acceso de destino proporcionadas por la pasarela intermediaria facilitan la prevención contra un fallo en la seguridad del cliente que expone las informaciones de identificación de acceso de destino.
Inconvenientes de la técnica anterior
La solución propuesta por la solicitud WO2014064686 no se refiere explícitamente a un procedimiento de acceso seguro a aplicaciones sino solamente a recursos de infraestructura tales como un servidor o un enrutador. Esta solicitud se refiere al acceso a un destino, que corresponde expresamente a un servidor y no a una aplicación alojada por un servidor.
Solución aportada por la invención
El objeto de la presente invención no es solamente asegurar el acceso a un servidor, sino más precisamente asegurar el acceso a aplicaciones alojadas en un servidor, con el fin de permitir por ejemplo el uso en una cuenta compartida por varios usuarios manteniendo la imputabilidad de las acciones operadas bajo esta cuenta.
Para este propósito, la invención se refiere según su acepción más general a un procedimiento de conexión segura a una aplicación ejecutada en un servidor desde un equipo informático cliente, por un usuario que no dispone de los datos de autenticación de la cuenta declarada en dicha aplicación, comprendiendo dicha cuenta al menos una identidad IDproxy, aplicación y datos de autenticación asociados, implementando un proxy [pasarela intermediaria] que comprende una memoria para el registro, para cada usuario declarado por una cuenta primaria que comprende al menos una identidad IDusuario, de la lista de los destinos Drecursos, cuentas a la que tiene acceso, comprendiendo el procedimiento las etapas siguientes:
- apertura por el usuario de una conexión a un proxy por medio de un protocolo de administración nativo multicanal [SSH, RDP o ICA,...], con una primera identidad IDusuario para la apertura de una sesión multicanal primaria - definición simultánea [en los parámetros de conexión] o secuencial [selección después de apertura de la conexión de entre una lista propuesta por el proxy] de la aplicación (destino).
- conexión del proxy al servidor de alojamiento de dicha aplicación seleccionada por medio del mismo protocolo de administración nativo multicanal [SSH, RDP o ICA,...] con una segunda identidad IDproxy, servidor para abrir una sesión multicanal secundaria
- registro temporal de una información Irelé correspondiente al enlace entre dicha sesión primaria y dicha sesión secundaria
- ejecución en el servidor de un código informático [script, en español, secuencia de comandos] que abre un canal entre dicho servidor y dicho proxy, en el marco de dicha sesión secundaria,
- envío por dicho código en dicho canal de una petición que solicita, para dicha aplicación y dicha cuenta, los datos de autenticación [password, en español, contraseña]
- en respuesta a esta petición, transmisión por el proxy de estos datos de autenticación si el destino definido por dicha aplicación y dicha cuenta pertenece a la lista de los destinos Drecursos, cuentas registrados para dicho usuario - y ejecución de dicha aplicación y transmisión a dicha aplicación por dicho código de los datos usuarios o notificación de error si la cuenta no pertenece a dicha lista.
Una de las ventajas de este procedimiento es que luego la aplicación puede usarse gracias a la misma conexión que la que ha servido para el acceso a la pasarela.
Ventajosamente, el procedimiento incluye además una etapa de selección de un servidor de aplicación de entre una pluralidad de servidor que aloja la misma aplicación.
Según un modo de implementación particular, dicho código informático se registra en el servidor de aplicación. Preferentemente, dicho código informático se registra por el proxy en dicho servidor de aplicación con un nombre de uso único.
Según una variante, dicho código informático registrado en el servidor de aplicación contiene un testigo de uso único transmitido con dicha petición.
Preferentemente, la aplicación puede usarse por dos usuarios diferentes que tienen como identidades IDusuario a e ID usuario b. Para ello, cada una de las sesiones secundarias se ejecuta con una identidad diferente (IDproxy,servidor a e IDproxy,servidor b). Estas identidades se eligen automáticamente por el proxy de entre las identidades configuradas de modo que nunca haya al mismo tiempo dos sesiones secundarias con la misma identidad.
Descripción detallada de un ejemplo no limitativo de realización
La presente invención se comprenderá mejor con la lectura de la descripción que sigue, en referencia con unos ejemplos no limitativos de realización, ilustrados por los dibujos adjuntos en los que:
- la figura 1 representa un esquema de la arquitectura funcional de la invención
- la figura 2 representa un esquema de la arquitectura funcional de una variante de realización de la invención - la figura 3 representa una vista esquemática de los datos intercambiados entre los diferentes recursos informáticos. Arquitectura funcional
El usuario es un administrador de recursos de un sistema de información (SI) (servidores, aplicaciones, enrutadores...) que dispone de derechos limitados de administrador, para un conjunto de recursos de los que se encarga.
Dispone de un terminal (100) que comunica con la pasarela intermediaria (300) (o “pasarela de administración”) por la mediación de un canal (201) de una conexión (200) según un protocolo por ejemplo SSH (“secure shell”, en español, intérprete de órdenes seguro) o RDP (“remote desktop protocol”, en español, protocolo de escritorio remoto).
La conexión conlleva la creación de una sesión primaria (301) en la pasarela (300).
El usuario se identifica mediante identificadores digitales que le son propios, y que definen sus derechos, así como la imputación de las acciones que efectúa.
La pasarela (300) incluye una base de datos (302) en la que se registran los identificadores de los usuarios autorizados así como los derechos asociados, que definen los destinos (cuentas y equipos) en los que el usuario tiene derecho de actuar.
Durante la conexión, dos modos de selección del recurso son posibles:
- según el primer modo, el usuario precisa, durante la conexión, el destino al que quiere acceder. En este caso la pasarela verifica si el usuario identificado por su identificador dispone de las autorizaciones necesarias para acceder a este destino, en función de las informaciones registradas en la base de datos (302).
- Según el segundo modo, la pasarela transmite al usuario la lista de los destinos que corresponden a los datos registrados en la base de datos (302) en relación con el identificador transmitido, para permitir al usuario seleccionar uno de los destinos propuestos.
La etapa siguiente consiste en abrir una conexión (400), generalmente con el mismo protocolo SSH o RDP, o incluso con un segundo protocolo con la cuenta asociada al destino seleccionado. Esta conexión abre una sesión secundaria (501) en el destino.
Cuando el destino es una aplicación (504), la pasarela (300) elige el servidor (500) adecuado para la ejecución de dicha aplicación. Para este propósito, la base de datos (302) comprende una lista de las aplicaciones y de los servidores que alojan cada una de dichas aplicaciones, así como las cuentas que permiten conectarse a estos servidores.
Cuando varios servidores alojan una misma aplicación, la pasarela realiza un balance de las cargas en función del número de conexiones ya abiertas hacia cada uno de los servidores, y selecciona para la nueva petición el servidor menos solicitado.
Asimismo, en ausencia de respuesta por un servidor que aloja una aplicación, la pasarela busca sucesivamente los otros servidores que alojan la misma aplicación, para seleccionar un destino disponible.
La etapa siguiente consiste en ejecutar un código informático (502) para:
- interrogar la pasarela (petición 402) para obtener las informaciones de autenticación que corresponden a la cuenta de la aplicación, a saber el identificador IDproxy,aplicación así como los datos de autenticación asociados a esta cuenta, por ejemplo una contraseña o un certificado criptográfico, o un ticket Kerberos. Estos datos se vuelven a enviar por la pasarela (respuesta 403). La petición y la respuesta se efectúan en un canal abierto para este propósito por el código informático.
- inyectar estos datos (503) en la aplicación (504) con el fin de abrir una sesión aplicativa y permitir al usuario usar dicha aplicación.
Este código puede:
- instalarse en el servidor (500) de manera permanente. En este caso, el camino de acceso a este código se define en la base de datos (302)
- o transmitirse transitoriamente, por un canal dedicado (401) previsto en el protocolo multicanal, para ejecutarse transitoriamente en el servidor (500).
El nombre de este código puede generarse de manera única, con el fin de dificultar la alteración de este código durante la ejecución de la aplicación, por un ataque informático.
Este código instalado transitoriamente puede incluir igualmente un testigo único con el fin de reducir los riesgos de acceso no autorizado a los datos registrados en la base (302), por medio de la sesión abierta, por un atacante que tenga acceso al servidor (500).
Acceso concurrente a aplicaciones en un mismo servidor por varios usuarios.
La figura 2 representa un esquema funcional de una solución que permite a varios usuarios el acceso a aplicaciones alojadas en un mismo servidor. El objetivo es evitar las interferencias entre las sesiones primarias (200 y 250), y hacerlas estancas en términos de seguridad.
Para este propósito, cuando un segundo usuario (150) trata de ejecutar una aplicación alojada en el mismo servidor (500) que una aplicación ejecutada para un primer usuario (100), la pasarela (300) inhibirá los datos de la base (302) relativos a la cuenta usada por el primer usuario (100), en el servidor (500). Solo autorizará la ejecución de una aplicación en este mismo servidor (500) si una cuenta permanece disponible para un segundo usuario (150).
Datos intercambiados entre los recursos informáticos
La figura 3 representa una vista esquemática de los datos intercambiados entre los diferentes recursos informáticos. Durante la conexión por un usuario, el terminal (100) transmite a la pasarela intermediaria (300) los datos de autenticación digitales siguientes:
- IDusuario
- Contraseña
Estos datos de autenticación pueden estar constituidos, en vez de la contraseña, por un ticket Kerberos o por un certificado X509).
Estos datos de autenticación se verifican por la pasarela (300), en función de las informaciones registradas en su base de datos (302).
En caso de validación, la pasarela (302) transmite la lista de los destinos autorizados.
Cada destino corresponde a un par:
- aplicación
- cuenta asociada a la aplicación.
La cuenta comprende:
- una información de identificación
- una información de autenticación, tal como una contraseña.
La pasarela transmite al usuario (100), para cada uno de los destinos autorizados, solamente la designación de la aplicación y la designación del identificador de la cuenta, pero no la información de autenticación, bajo la forma de cadenas de caracteres que designan los pares aplicación/cuenta.
El usuario (100) selecciona uno de los destinos propuestos y transmite de ello el identificador a la pasarela (300). La pasarela (300) elige un servidor, y una cuenta para abrir una sesión en dicho servidor (500) según el proceso de selección del servidor y de la cuenta que se ha descrito anteriormente.
Abre de este modo una sesión secundaria, en el servidor, ejecutando el código informático que corresponde a la aplicación. Este código solicita a la pasarela el identificador de la cuenta de la aplicación así como los datos de autenticación asociados a esta cuenta.
El código informático transmite entonces estas informaciones a la aplicación para mandar la ejecución de la aplicación. La invención permite al código informático interrogar la pasarela sin necesitar una nueva autenticación por el usuario, porque lo hace a través de una conexión ya autenticada.

Claims (6)

REIVINDICACIONES
1. Procedimiento de conexión seguro a una aplicación (504) ejecutada en un servidor (500) desde un equipo informático cliente, por un usuario (100) que no dispone de los datos de autenticación de la cuenta declarada en dicha aplicación, comprendiendo dicha cuenta al menos una identidad ID proxy,aplicación y datos de autenticación asociados, implementando un proxy (300) que comprende una memoria para el registro, para cada usuario declarado por una cuenta primaria que comprende al menos una identidad IDusuario, de la lista de los destinos Drecursos, cuentas a la que tiene acceso, comprendiendo el procedimiento las etapas siguientes:
- apertura por el usuario de una conexión (200) con el proxy por medio de un protocolo de administración nativo multicanal, con una primera identidad IDusuario para la apertura de una sesión multicanal primaria (301),
- definición simultánea o secuencial de la aplicación,
- conexión del proxy al servidor de alojamiento de dicha aplicación seleccionada por medio del mismo protocolo de administración nativo multicanal con una segunda identidad IDproxy,servidor para abrir una sesión multicanal secundaria (501),
- registro temporal de una información Irelé correspondiente al enlace entre dicha sesión primaria y dicha sesión secundaria
- ejecución en el servidor de un código informático (502) que abre un canal entre dicho servidor y dicho proxy, en el marco de dicha sesión multicanal secundaria,
- envío por dicho código en dicho canal de una petición que solicita, para dicha aplicación y dicha cuenta, los datos de autenticación
- en respuesta a esta petición, transmisión por el proxy de estos datos de autenticación si el destino definido por dicha aplicación y dicha cuenta pertenece a la lista de los destinos Drecursos, cuentas, asociados a un identificador IDproxy,aplicación, registrado por dicho usuario,
- y ejecución de dicha aplicación y transmisión (503) a dicha aplicación por dicho código de los datos usuarios o notificación de error si la cuenta no pertenece a dicha lista.
2. Procedimiento de conexión segura a una aplicación según la reivindicación anterior, que incluye además una etapa de selección de un servidor de aplicación de entre una pluralidad de servidor que aloja la misma aplicación.
3. Procedimiento de conexión segura a una aplicación según una cualquiera de las reivindicaciones anteriores, en el que el código informático se registra en el servidor de aplicación (500).
4. Procedimiento de conexión seguro a una aplicación según la reivindicación anterior, en el que el código informático se registra por el proxy (300) en el servidor de aplicación (500) con un nombre de uso único.
5. Procedimiento de conexión seguro a una aplicación según la reivindicación 3 o 4, en el que el código informático registrado en el servidor de aplicación (500) contiene un testigo de uso único transmitido con la petición.
6. Procedimiento de conexión seguro a una aplicación según la reivindicación 3 o 4, en el que la aplicación (504) se usa por dos usuarios (100, 150) diferentes que tienen como identidades IDusuario a e IDusuario b, ejecutándose cada una de las sesiones secundarias con una identidad diferente (IDproxy,/servidor a e IDproxy,servidor b), eligiéndose dichas identidades automáticamente por el proxy (300) de entre las identidades configuradas de modo que nunca haya al mismo tiempo dos sesiones secundarias con la misma identidad.
ES16714996T 2015-03-03 2016-03-03 Transferencia segura de información de autenticación Active ES2719538T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1551784A FR3033434B1 (fr) 2015-03-03 2015-03-03 Transfert securise d'information d'authentification
PCT/FR2016/050482 WO2016139427A1 (fr) 2015-03-03 2016-03-03 Transfert sécurisé d'information d'authentification

Publications (1)

Publication Number Publication Date
ES2719538T3 true ES2719538T3 (es) 2019-07-11

Family

ID=53758311

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16714996T Active ES2719538T3 (es) 2015-03-03 2016-03-03 Transferencia segura de información de autenticación

Country Status (8)

Country Link
US (1) US10498733B2 (es)
EP (1) EP3265948B1 (es)
CA (1) CA2977899C (es)
DK (1) DK3265948T3 (es)
ES (1) ES2719538T3 (es)
FR (1) FR3033434B1 (es)
PL (1) PL3265948T3 (es)
WO (1) WO2016139427A1 (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12562966B2 (en) 2023-05-19 2026-02-24 Oracle International Corporation Transitioning network entities associated with a virtual cloud network through a series of phases of a certificate bundle distribution process
US12401526B2 (en) 2023-07-18 2025-08-26 Oracle International Corporation Updating digital certificates associated with a virtual cloud network
US12563029B2 (en) 2023-07-18 2026-02-24 Oracle International Corporation Provisioning cloud resource instances associated with a virtual cloud network
US12425239B2 (en) 2023-08-10 2025-09-23 Oracle International Corporation Authenticating certificate bundles with asymmetric keys
US12425240B2 (en) 2023-09-13 2025-09-23 Oracle International Corporation Certificate revocation list management services
US12401657B2 (en) 2023-09-13 2025-08-26 Oracle International Corporation Aggregating certificate authority certificates for authenticating network entities located in different trust zones
US12401634B2 (en) 2023-09-14 2025-08-26 Oracle International Corporation Distributing certificate bundles according to fault domains
US12432076B2 (en) 2023-10-24 2025-09-30 Oracle International Corporation Provisioning hosts with operator accounts for use by clients to access target resources
US12438733B2 (en) 2023-10-25 2025-10-07 Oracle International Corporation Authorizing requests for access credentials, for accessing cloud resources, based on successful stateless validation of digital certificates
US12495032B2 (en) 2024-03-08 2025-12-09 Oracle International Corporation Orchestrating distribution of digital certificates to an execution environment of a computing network

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050015490A1 (en) * 2003-07-16 2005-01-20 Saare John E. System and method for single-sign-on access to a resource via a portal server
US8713633B2 (en) * 2012-07-13 2014-04-29 Sophos Limited Security access protection for user data stored in a cloud computing facility
CA2833108A1 (en) * 2012-10-24 2014-04-24 Andrey Dulkin A system and method for secure proxy-based authentication

Also Published As

Publication number Publication date
US20180083966A1 (en) 2018-03-22
CA2977899C (fr) 2021-11-16
EP3265948A1 (fr) 2018-01-10
EP3265948B1 (fr) 2019-01-23
WO2016139427A1 (fr) 2016-09-09
PL3265948T3 (pl) 2019-10-31
DK3265948T3 (en) 2019-04-23
FR3033434B1 (fr) 2017-02-17
FR3033434A1 (fr) 2016-09-09
CA2977899A1 (fr) 2016-09-09
US10498733B2 (en) 2019-12-03

Similar Documents

Publication Publication Date Title
ES2719538T3 (es) Transferencia segura de información de autenticación
US10541991B2 (en) Method for OAuth service through blockchain network, and terminal and server using the same
US9183374B2 (en) Techniques for identity-enabled interface deployment
US8954735B2 (en) Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
US10417428B2 (en) Methods and systems for providing and controlling cryptographic secure communications terminal providing a remote desktop accessible in secured and unsecured environments
US20120084545A1 (en) Methods and systems for implementing a secure boot device using cryptographically secure communications across unsecured networks
US20130212386A1 (en) Storage Access Authentication Mechanism
US11456860B2 (en) Computing system and related methods providing connection lease exchange and mutual trust protocol
US11729160B2 (en) System and method for selecting authentication methods for secure transport layer communication
US20210297409A1 (en) Systems and methods for provisioning network devices
US11606359B1 (en) Cloud service authentication microservice
US8977775B2 (en) Techniques for identity and policy based routing
CN103944716B (zh) 用户认证的方法和装置
CN112733129B (zh) 一种服务器带外管理的可信接入方法
US20090185685A1 (en) Trust session management in host-based authentication
CN106230594A (zh) 一种基于动态口令进行用户认证的方法
US10931662B1 (en) Methods for ephemeral authentication screening and devices thereof
JP2025118834A (ja) クラウドシェルのインスタンスにわたってデータを永続化するための技法
US8782773B2 (en) Framework for communicating across a firewall
ES2730125T3 (es) Procedimiento de conexión de seguridad, desde un dispositivo informático cliente, a un recurso informático
Dey et al. A light-weight authentication scheme based on message digest and location for mobile cloud computing
US10834065B1 (en) Methods for SSL protected NTLM re-authentication and devices thereof
WO2022053055A1 (zh) 宽带接入服务器的访问方法、服务器及存储介质
JP6487392B2 (ja) クライアント端末認証システム及びクライアント端末認証方法
JP7703173B2 (ja) ユーザ認証に基づくパケット分類を用いる船舶ネットワークの差分セキュリティサービス提供方法及び装置