TW200920068A - Device provisioning and domain join emulation over non-secured networks - Google Patents

Device provisioning and domain join emulation over non-secured networks Download PDF

Info

Publication number
TW200920068A
TW200920068A TW097122935A TW97122935A TW200920068A TW 200920068 A TW200920068 A TW 200920068A TW 097122935 A TW097122935 A TW 097122935A TW 97122935 A TW97122935 A TW 97122935A TW 200920068 A TW200920068 A TW 200920068A
Authority
TW
Taiwan
Prior art keywords
domain
proxy server
mobile device
computer
machine
Prior art date
Application number
TW097122935A
Other languages
English (en)
Inventor
Shai Herzog
Paul Cotter
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of TW200920068A publication Critical patent/TW200920068A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Description

200920068 九、發明說明: 【發明所屬之技術領域】 本發明係關於不安全網路上之裝置提供及網域加入之 仿真。 【先前技術】 公司電腦通常透過一稱作「網域」(例如,在Microsoft 網路中),或在非微軟網路中之類似名稱(例如,Novell ™目錄、黃頁等)的社區機制來進行辨識和管理。為了辨 識特定機器及集中管理機器内容(例如,政策、軟體,及 組態),在許多公司安裝中,作為一網域中之成員被視為強 制性的。 對於諸如一膝上型電腦之可攜式電腦,舉例而言,變 成網域之一成員通常需要經由驗證憑證(諸如使用者名稱 及密碼)取得授權。經過某些處理之後,該等電腦變為新 加入的網域。可由手動提供憑證或經由一智慧卡進行憑 證,舉例而言以鑒別試圖將該機器加入該網域之使用者。 對於行動裝置而言,例如當一行動電話不具備可執行 一網域加入操作之技術設施時,使用上將面臨挑戰。在一 行動電話極少(如果曾經)用於一公司網路上之情況下, 供應商並不會積極地為此等裝置提供解決方案而採取行 動。因此,智慧卡解決方案很麻煩,且如果該驗證並非端 點對端點驗證,則諸如使用者名稱/密碼之類的使用者憑證 可能被妥協放棄。 5 200920068 網域控制器被視為公司網路中的安全核心,且期望在 一防火牆及其他隔離機制之後得到很好的保護。許多行動 裝置缺乏成功加入公司網域的必需軟體組件,尤其是由於 此等裝置時常在遠端(或在公司企業内部網路之外部)且 無法直接存取公司網域控制器。挑戰來自多方面因素,且 包含閉合自該行動電話至該網路間之軟體間隙,以及透過 不安全無線公用介面(從空中或Ο T A )自該公司網路外部 安全地執行該加入操作。 【發明内容】 以下展示一簡化發明内容,以便對本文中所述具體實 施例之新穎性提供一基本瞭解。本「發明内容」並非一詳 盡概述,且其無意用於辨識關鍵/重要元件或描繪該其範 圍。其唯一目的是以一簡化形式展示某些概念,以作為下 面展示之更詳細說明之一序部。 本揭示架構包括一登入代理伺服器,其促進一行動用 戶端之網域加入操作。該代理伺服器可自公用網域(例如, 網際網路)經由空中(OTA)存取,在該公用領域中該用戶 端代表一行動用戶端去操作及填充該等軟體及連結性間 隙,以將該用戶端加入一私密網域。部分地,新穎性在於 以下事實:該等暴露於網際網路之服務不具有固有特權, 且該妥協表示該私密網域之風險之一顯著降低。該架構引 入該代理伺服器作為一中間服務,用以促進該加入操作, 且一旦操作完成,則代理伺服器不再需要該代理伺服器來 6 200920068 維護在該用戶端與該私密網域之間之連結。 在-第-實施例中,該代理伺服器僅使 置之-使用者提供給該代理伺服器之ι ”仃動裝 來完成執行網域加入。該代理伺 纟稱及密碼 服δδ η表該行動 建立該私密網域中之帳戶。該私 用戶端, ’域/、該代理飼服器 有-信賴關係;然❿,該代理词服器使該私密 ,' 露於安全風險之機會。 ”域減>暴 在一更穩固及安全之第-音/,丄
文金之第一實施例中,使用 密碼(OTP)。該登入代理伺服器允許透過 執行-行動用戶端之'網域加入操习服器來 該加入操彳令太甚 Ϊ 的安全暴露下達成。該加入操作係基於該行動裝置之機器 識別踢’而非使用者憑證(例如’使用者名稱及密碼),因 此該加人操作並不會因對使用者識別資訊(例b,偷竊識 別)進行妥協被放棄而成為-潜在風險。該登人代理飼服 器僅需要允許將一新機器帳戶添加至該企案r — I呆、·^公司)目 錄之權限;該代理伺服器未經授權去添加—使用者帳戶或 擁有現有帳戶。該登入代理伺服器基於實際機器帳戶憑證 而非使用諸如委派之習知技術’而獲得一簽署憑證。該登 入程序使用在該行動裝置與該登入伺服器之間之私密根信 賴’而不需要或不依據公用信賴技術。最後,授與該用戶 端一在該私密網域公司目錄中(例如’由微軟公司出品之 現用目錄(Active Directory))之機器識別碼,且該用戶 端接收一簽署公用憑證(例如’ X·509 ’即一種公開金鑰基 礎結構標準),該憑證允許執行自驗證動作以驗證確實為與 7 200920068 該帳戶相關聯之一網域成員。 為實現上述及相關目的,本文將結合以下說明 該等圖式說明某些示意性態樣。然而,此等態樣僅 其中本文所揭示之原理可使用之該等各種方式其 個,且意欲包含所有此等態樣及其等效者。其他優 穎特徵將由當結合該等圖式考慮時之以下詳細說明 易見。 【實施方式】 本揭示架構提供單一安全機制,其解決一用戶 如,行動端)在尋求存取一私密網域(例如,企業 相關習知不安全連接性及存取問題。該解決方案包 入代理伺服器,其可由公用網路(例如,網際網路 用戶端上經由空中(OTA)且基於使用者憑證或機器 行存取,以促進該用戶端之網域加入操作,然後自 移除代理伺服器本身。最後,授與該用戶端在該私 中之成員資格。 現參考該等圖式,其中在全文中類似元件符號 示類似元件。在以下說明中,出於說明之目的,闡 特定細節以便提供對其之一透徹理解。然而,顯而 無需此等特定細節,亦可實踐該等新穎具體實施例 他實施例中,以方塊圖形式顯示吾人熟習之結構及 以便促進其說明。 首先參照該等圖式,第1圖圖示說明一用於管 及隨附 係指示 中之幾 點及新 而顯而 端(例 )上的 括一登 )中一 憑證進 該連結 密網域 用於指 釋眾多 易見, 。在其 裝置, 理網域 8 200920068 成員之電腦實施之系統100。該系統100提供-機制,其 用於經由一登入代理伺服器伺服器1 0 6將一行動用戶端 I 02加入一私密網域1 〇4。該代理伺服器1 〇6提供該公用網 域(該行動用戶端102 (例如,一行動電話)操作於其中) 與該私密網域1 04 (例如,一公司企業)之間之介面。在 此實施例中,該網域加入係基於該行動用戶端1〇2之一使 用者k供之一使用者名稱及密碼之使用者憑證來實現。給 予該代理伺服器1 06該使用者名稱及密碼,且向該網域1 〇4 模擬該用戶端102,以便將該用戶端1〇2加入該網域1〇4 在本發明架構中,該代理伺服器1〇〇包含一啟動組件 108,用於自一行動用戶端1〇2接收該等使用者憑證,且將 該等使用者憑證傳送至該代理伺服器106之一驗證組件 II 0。該驗證組件11 0然後代表該用戶端1 02對該私密網域 執行驗證’且依據該等使用者憑證在該私密網域中建立一 機器帳戶。不存在使用一單次使用密碼(one-time-use password,OTP)或一單次使用個人識別數字(personai identification number, PIN)之請求,然而這些請求將在以 下實施例中使用。 第2圖圖示說明一用於管理一網域之成員之替代及更 穩固之系統200。以下將以該系統之一上位說明作為開 頭,然後詳細說明本系統實體間之程序進行。 該系統200執行一兩階段處理,用於將一裝置202(例 如,行動、可攜式電腦)加入私密網域 104。該第一階段 200920068 執行在該裝置202與該代理伺服器1 06之間發展一信賴關 係,以下稱作「基礎」信賴關係。該基礎信賴關係本身係 一兩階段程序:該裝置202確定該代理伺服器1 06為正確 的代理伺服器,且該代理伺服器1 06確定該裝置202係經 授權可連接至該網域 104。一旦基礎信賴關係建立,該基 礎信賴關係不再需要該代理伺服器1 06。該第二階段在該 裝置202與該私密網域1 04之間發展一信賴關係,以下稱 作「完整」信賴關係。類似地,一旦建立完整信賴關係, 該完整信賴關係不再需要該代理伺服器1 0 6。 系統2 0 0之操作係基於其他類型憑證,諸如單次使用 密碼(或個人識別號碼),而非第1圖之系統1 0 0中所使用 之使用者憑證。為了說明目的,假定已結合先前與該私密 網域1 04之互動並提供該使用者單次使用密碼,如此該使 用者與該私密網域可共用相同憑證。裝置使用者可使用任 何習知安全/不安全機制,藉以獲得該單次使用密碼。如果 該裝置使用者或該網域二者中任一者不能提供(或存取) 該單次使用密碼,則該網域加入操作終止。 大體上,互動開始於建立自該裝置202至該代理伺服 器1 06之基礎信賴關係。該裝置202檢查以確保該代理伺 服器106為正確的代理伺服器。這由該裝置發送一請求至 該代理伺服器1 06以請求公司信賴資訊來完成。該代理伺 服器106亦產生該信賴資訊之一加密雜湊簽章,其中該雜 湊係使用一源自先前定義之單次使用密碼之鍵來產生。藉 由使用該單次使用密碼在該裝置202上產生相同雜湊,該 10 200920068 裝置2 0 2能夠驗證該代理伺服器1 0 6係用來建立該基礎 賴關係之「正確」代理伺服器。如果該代理伺服器1 0 6 能存取此憑證伺服器,則該代理伺服器1 0 6不是用於建 該基礎信賴關係之「正確」代理伺服器,且該程序結束 一旦建立了自該裝置2 02至該代理伺服器106之該 礎信賴關係之第一部分,該基礎信賴關係之該第二部分 及:該代理伺服器1 06接著檢查該裝置202係一可被容 加入該私密網域1 04之裝置。一旦在該裝置202與該代 伺服器1 06之間建立此雙向基礎信賴關係,該代理伺服 106代表該裝置202執行動作以獲得一憑證,並產生該 置然後可存取之一機器帳戶。這涉及使用一網域資料儲 區204來主控一機器帳戶206,及使用一網域認證授權 構208來發送一憑證,用於建立完整信賴關係。 在繼續對該程序進行更詳細之說明之前,應瞭解, 據提供至該使用者及亦儲存於該網域104中之該單次使 密碼,某些資訊係產生於網域1 04中(例如,在該資料 存區204中)。以下資訊係產生並保持於該網域中:單次 用密碼、一源自該單次使用密碼之加密鍵、該裝置機器 戶206之一名稱、該裝置202之擁有者之一參考(例如 該擁有者之資料儲存帳戶之一識別符)、在該設備的機器 戶206之該資料儲存區204中該目標容器之一識別符、 用以上之加密鍵而取得之一使用者識別字串(例如,該 置擁有者之電子郵件位址)之一鍵雜湊編碼(例如, HMAC,雜湊機器驗證編碼)摘要,及該機器帳戶2 06。 信 不 立 〇 基 涉 許 理 器 裝 存 機 依 用 儲 使 帳 5 帳 使 裝 該 11 200920068 資料儲存區2 04可能是一檔案、一資料庫、一應用分區, 等專。亦注意,該摘要可為任何加密種子,諸如使用者之 且入ID’或舉例而言’為單詞 anonymous(「匿名」)”。 如以上大體所述,登入包含藉由該裝置202識別驗證 該代理伺服器106來建立該基礎信賴關係之該第一部分。 為了實現這一點,該等裝置202藉由呼叫一網路服務將該 雜湊機器驗證編碼摘要傳送至該代理伺服器丨06。此網路 服務使用安全通訊端層(secure s〇cket lay?r,$SL)進行通 道加费’但尚未使用安全通訊端層驗證。該代理伺服器1 0 6 然後自該資料儲存區2〇4擷取先前所儲存的加密鍵,且使 用該加密鍵以建立該代理伺服器的安全通訊端層憑證鏈之 該受化任根網域憑證之雜湊機器驗證編碼摘要。此雜湊機 器驗證編碼摘要與該對應根網域憑證一起被傳送至該裝置 2 〇2’其使用該先前衍生之加密鍵來驗證該雜湊機器驗證編 碼摘要已由該代理伺服器106正確計算得。 一旦該裝置202已依據上述機制判定該網域憑證係可 受信任,此次該裝置2〇2使用具有通道加密之完整安全通 訊端層飼服器驗證而重新連接至相同代理伺服器1 〇6。該 裝置202重料&以驗證該$月民器安|通訊端層憑證係正 確地連結(或鏈結)回至先前判定為可受信任之該網域憑 證°然後使用先前計算之加密鍵所產生之該憑證請求之一 雜湊機器驗證編碼摘要與一憑證請求一起由裝置2〇2提交 (例如 A用金咕密碼標準(public key cryptography standard,PKCS)第10號)。(該pKCS#1〇標準憑證請求係 12 200920068 一訊息發送格息,該訊息發送至一憑證授權機構以請求認 證一公開金鑰。)該代理伺服器1 06使用先前衍生之加密 鍵驗證該憑證請求之雜湊機器驗證編碼摘要係產生自所提 供的憑證請求,藉此驗證該裝置202。 該代理词服器1 06然後使用連結至該雜湊機器驗證編 碼摘要之資料儲存資訊(第3圖之資訊3〇4),以在該資料 錯存區204 (例如,現用目錄)中建立新的機器帳戶206。 該新的機器帳戶20 6谗藉由該驗證組件11〇進行登錄,且 其在登入期間用於提交該憑證請求至該認證授權機構 208 °然後’該發出之憑證被擷取並回傳至該裝置202。 簡要說明某些新穎態樣,該登入代理伺服器1 0 6仿真 該裝置202之網域加入操作。該加入操作係基於一單次使 用密碼,且2 , 且@此並非對使用者識別資訊進行妥協放棄之一 潛在風險。& &外’該登入代理伺服器106僅需要對該網域 之最小等級之存取,以將一新機器帳戶添加至該企業(或 么司)資料储存區。此外,該登入代理伺服器106未經授 權而無法添加—使用者帳戶或擁有一現有帳戶。在該用戶 端裝置202與代理伺服器106之間發展之基礎信賴關係被 該代理偏日B sa 15 1〇6使用來最終建立在該裝置2 02與該私密 網域104之門a . 间之完整信賴關係。該機器識別碼可儲存於一 網域資料儲f 甲孖區或目錄(例如,由微軟公司出品之Active Directory ™ \ 丄 ;中,且其接收一簽署公用憑證(例如, X.509)>w ^ 凡許該装置202驗證其本身作為該私密網域104 之一成員。 13 200920068 在一可選具體實施例中,該單次使用密碼與一硬體特 定之唯一裝置識別符(ID)組合使用,以便被傳遞至該代理 伺服器1 0 6之該識別資訊,其包含該單次使用密碼及該裝 置ID兩者。這防止該單次使用密碼用於使用者之其他行 動裝置,或防止該單次使用密碼用於其它裝置上之不同使 用者之其它行動裝置。在一實施例中,基於該單次使用密 碼之初始處理,在該裝置202與該代理伺服器106之間之 該基本或完整信賴處理可被提升以包含該裝置ID,然後以 利於或不利於該裝置202之方式完成該信賴處理。 第3圖圖示說明保持在該網域資料儲存區204中,至 少用於啟動及驗證目的之資訊。以下說明係在一行動裝置 3 0 0 (例如,行動電話)之架構中進行描述。然而,應瞭解, 諸如個人數位助理及平板PC之類的可攜式電腦及其他無 線裝置可獲得所揭示之網域登入架構之該等優點。 該啟動程序係基於該行動裝置使用者已經獲得一單次 使用密碼302。然後,產生以下資訊304並將其保持至一 中繼資料儲存區306 :該單次使用密碼3 02、一產生自該單 次使用密碼之加密鍵、該裝置機器帳戶20 6之一名稱(假 定該行動裝置3 0 0相對該網域係一「新的」裝置,且因此, 不存在裝置300之先前機器帳戶)、該行動裝置300之擁有 者之一參考(例如,該擁有者資料儲存區帳戶之一完整合 格網域名稱(fully qualified domain name, FQDN))、該裝置 的機器帳戶206之該資料儲存區204中目標容器之一參考 (例如,該容器之該完整合格網域名稱)、使用上述之加密 14 200920068 鍵所產生之一使用者識別字串(例如,該裝置擁有者之電 子郵件位址)之一鍵雜湊(例如,雜湊機器驗證編碼)摘 要,及第2圖之機器帳戶206。
第4圖圖示說明一種管理網域成員之方法。儘管,為 簡化說明之目的,本文所示之該一或多種方法,舉例而言 係以一流程圖或流程圖表之形式來顯示及說明為一系列動 作,然而應理解及瞭解,該等方法不受動作之順序之限制, 原因在於某些動作可以一與本文所示及所述不同之順序發 生及/或與其他動作並行發生。舉例而言,熟習此項技術者 將瞭解及理解,一方法可以替代方式表示為一系列互相關 狀態或事件,諸如在一狀態圖表中。此外,對於一新穎實 現,並非所有圖示說明之動作都可能需要。 在4 0 0處,憑證(例如,單次使用密碼)係自一行動 裝置接收得,用於加入一網域,該網域之一代理伺服器透 過一空中介面接收該等憑證。在402處,在該行動裝置與 該代理伺服器之間基於該等憑證建立一信賴關係。在 404 處,在該行動裝置之網域中經由該代理伺服器且基於該信 賴關係建立一機器帳戶。在406處,該行動裝置基於該機 器帳戶加入該網域。 第5圖圖示說明一種保持資料於一資料儲存區中以支 援建立一信賴關係及驗證程序之方法。在500處,在該單 次使用密碼已根據其他程序而被產生並被指派給該行動裝 置使用者之後,該代理伺服器保持該單次使用密碼及一加 密鍵於一資料儲存區中。在502處,該代理伺服器保持該 15 200920068 機器帳戶之一名稱於該資料儲存區中。 伺服器保持該裝置之一參考(例如在504處,該代理 該資料儲存區中。纟506處 用者辨識資訊)於 哭紙ή 飼服器保持該裝詈嫵 器帳户之目標容器之一完整合格裝置機 . 用' 於該資料儲; 。在508處,該代理伺服器保持使用以上加密 ~ 密種子之一雜湊機器驗證編碼 加 X貝杆儲存區中。 第6圖圖示說明一種藉由該裝置產生驗證資 驗證該代理祠服器之方法。在6〇〇處 用於 代理朽冊突IA w裝置經由該登入 理伺服器基於一先前獲得之單次使用 一右令 在碼’來啟動存取 私密網域。在602 4,該裝置提示該裝 用者帳戶眘^置使用者輪入使 可恨戶貢訊及該早次使用密碼。在6〇4 ’ 該單次使用密碼產生_加密鍵。纟6〇6處,該裝置使用 加密鍵建立該使用者帳戶資訊之-鍵雜湊編:置使用該 凑機器驗證編碼)摘要。 Ά例如’雜 第7圖圖示說明一種藉由驗證該代 » » . 1服器以登入一 罝(例如,一行動電話)之方法。在7 動驗%# 處’該裝置啟 扭該代理伺服器以確保該代理伺服器 實艚。+ ❺所期望之網路 在702處,該裝置使用---般加密種 用者帳戶十甘&从 但千(例如’使 戶或其他使用者識別資訊)來產生— 要形式夕壯μ μ 鍵雜湊編碼摘 之裝置識別符。在704處,該裝置鍊α 服務,装# m 然谈呼叫一網路 再使用通道加密來發送該摘要至該 網路服激 n理伺服器。該 用安全通可使用安全通訊端層以進行通道加密,但尚未使 資料錯存=:證…06處,該代理旬服器然後自該 s摘取先前儲存之加密鍵。在7〇 處,該代理伺 16 200920068 服器建立該祠服器的女全通訊端層憑證鍵之根憑證之一鍵 雜湊編碼摘要(例如,雜泰機器驗證編碼)。在71〇處,該 代理伺服器發送該根憑證之摘要及該根憑證至該裝置。在 712處,該裝置使用該根憑證且藉由使用該先前衍生之裝 置加密鍵重新計算該摘要’來驗證該摘要係由該代理伺服 器正確計算。一旦通過驗證,該裝置現在即信賴該代理伺 服器為該用戶端希望與其通信之所期望網路實體。 第8圖圖示說明一種由代理词服器驗證該用戶端之方 f、 ' 法。一旦該裝置已驗證該代理伺服器,該代理伺服器反過 來驗證該裝置。在800處,該裝置使用具有通道加密之完 整伺服器驗證(例如,安全通訊端層)重新連接至該代理 伺服器,以驗證該等代理伺服器安全通訊端層憑證係正確 地連結(或鏈結)回至先前判定為受信任之網域憑證。在 8〇2處’該裝置然後同時提交該憑證請求之一鍵雜湊編碼 摘要(例如,雜湊機器驗證編碼)及—憑證請求;該摘要 係依據先前計算及儲存之加密鍵所產生。在804處,該代 {) 理伺服器使用先前衍生之加密鍵,來驗證該憑證請求之摘 要係產生自所提供之憑證請求。在8〇6處,當驗證成功時, 該代理伺服器已驗證該裝置。 第9圖圖示說明一種在裝置及代理伺服器驗證之後獲 知·一網域憑證之方法。在9〇〇處,該代理伺服器擷取連結 至識別資訊摘要之資料儲存資訊。在902處,該代理伺服 器使用該資料儲存區資訊以在該資料儲存區中建立新的機 器帳戶。在904處,該代理伺服器登入該新的機器帳戶。 17 200920068 在906處,該代理伺服器提交接收自該裝置之憑證請求至 該認證授權機構。在908處’該認證授權機構基於該裝置 識別符發出一經簽署之網域憑證。在9 1 〇處,該代理词服 器接收發出之網域憑證且將其發送至該裝置。該裝置現在 可完整存取該等網域服務。 本主題架構涵蓋在缺乏委派授權來獲得一憑證下,用 以獲得該憑證之機制,將有助於裝詈震七士说 节助%衣直辱未存取一私密網域 以存取企業服務。
一用於代表該裝置獲得一憑證之習知代理祠服器機 制,其係藉由該代理飼服器來模擬該裝置,以執行以下步 驟.自該裝置凊求冑碼’發送該密碼至該認證授權機構, 自該授權機構接收該簽署憑證, 裝置。 然後轉遞該簽署憑證至該 穎替代,其可被視為「反 一新機器帳戶相關聯之 傳送該帳戶之所有權, 該憑證之接受者,在此 該習知代理伺服器機制之一新 向委派」’如本文中所述,係獲得與 憑證’然後在該驗證程序最終步驟 藉此將網域服務之完整存取提供給 情況下’即提供給該裝置。 乐 圖圖 、 电觸貫施之獲得一網域登入 之方法。在1000處,代理祠服哭描π 服器權限僅限制於允許建 的機器帳戶。在1〇〇2處,嗜抖 a代理伺服器基於提供與一 使用密碼相關聯之資訊,為一 马組織目錄中之一行動裝 立一任意機器帳戶。在1〇〇4虚,外、 處該代理伺服器自該網 一認證授權機構請求_憑證。 牡處’該代理伺服 18 200920068 用該憑證請求之一雜湊摘要驗證一憑證請求之計算。在 1 008處,該代理伺服器從該認證授權機構接收一簽署用戶 端憑證。在1 0 1 0處,該代理伺服器藉由發送該簽署憑證至 該行動裝置,將該機器帳戶之所有權傳送至該行動裝置。 在1 0 1 2處,該代理伺服器在發送該簽署用戶端憑證至該用 戶端之後,放棄存取該機器帳戶。 如在此應用中所使用,該等術語「組件」及「系統」 意欲指一電腦相關實體,其為硬體、硬體及軟體之一組合、 軟體,或在執行中之軟體。舉例而言,一組件可,但並不 限於,運行於一處理器上之一處理序、一處理器、一硬磁 碟驅動機、多個儲存驅動機(屬光及/或磁儲存媒艚)、一 物件、一可執行檔、一執行緒、一程式,及/或一電腦。藉 由圖示說明之方式,一運行於一伺服器上之應用程式及該 伺服器可能係一組件。一或多個組件可駐留於一處理序及/ 或執行緒内,及一組件可區域化於一電腦上及/或分散於兩 個或兩個以上電腦之間。 現參照第11圖,其中圖示說明一計算系統11 00之方 塊圖,該計算系統11 0 0可運作以提供不安全提供且仿真網 域加入之功能。為了提供各種態樣之其他架構,第11圖及 以下討論意欲提供一適當計算系統11 0 0之一簡單、一般性 說明,其中可實現該等各種態樣。儘管以上所述係在可運 行於一或多個電腦上之電腦可執行指令之一般上下文中, 熟習此項技術者將認識到可與其他程式模組組合及/或作 為硬體及軟體之一組合實現一新穎具體實施例。 19 200920068 資料二體丨,程式模組包含執行特定任務或實施特定抽象 …: 件、資料結構,等等。此外, 組:技術者將瞭解該等發明方法可使用其他電腦系統 你電腦肖’其包含單一處理器或多處理器電腦系統、迷 、主機電腦,以及個人電腦、手持 於微處理哭+ π Τ弄衣J: 丞 …的或可程式化消費型電子產品,及諸如此類, 母者可被可操縱地耦接至一或多個關聯裝置。 :等圖示說明之態樣亦可實踐於分散式計算環境中, 」二、些任務藉由透過一通信網路連結之遠端處理裝置執 =-分散式計算環境中’程式模組可位於區域及遠端 纪•憶體儲存裝置中。 (... :電腦通常包含各種電腦可讀媒體。冑腦可讀媒體可 ’-、Π由該電腦存取之任何可用媒體’且包含揮發性及非 揮發性媒^、可移除及非可移除媒體。藉由實例之方式, :不限於此,t腦可讀媒體可包括電腦儲存媒體及通信媒 二電腦儲存媒體包含揮發性及非揮發性、可移除及非可 ^體,其以任何方法或技術實施以用於健存諸如電滕 d日令、資料結構、程式模组或其他資料之資訊。電腦 儲存媒體包含,但並不限於,讀、R〇M、EEpR⑽、快 閃記憶體或其他記憶體技術、CD-ROM、數位視訊碟(DVD) 或其他光確儲存、4帶金、磁帶、磁碟健存器或其他磁儲 存裝置,或可用於儲存所需資訊及可藉由該電腦存取之任 何其他媒體。 再人,考第1 1圖,用於實施各種態樣之該例示性計算 20 200920068 系統1100包含—電腦11 〇2,該電腦1102包含一處理單元 11 04、一系統記憶體n 〇6及一系統匯流排i i 〇8。該系統 匯流排11 0 8為系統組件提供一介面,該等系統組件包含, 但不限於’該系統記憶體1106至該處理單元1104。該處 理單元1104可為任何各種商業上可用之處理器。雙微處理 器及其他多處理器架構亦可用作該處理單元11〇4。 該系統匯流排丨丨08可為任何若干類型之匯流排結 構,其可使用任何各種商業上可用之匯流排架構此外互連 至一記憶體匯流排(或無須一記憶體控制器)、一周邊匯流 排’及一區域匯流排。該系統記憶體u 〇 6包含唯讀記憶體 (ROM)lllO及隨機存取記憶體(RAM)1丨12。一基本輸入/輪 出系統(BIOS)儲存於一非揮發性記憶體ηι〇中諸如 ROM、EPROM、EEPROM,該BIOS含有諸如在起動期間 有助於傳送資訊於該電腦1102内各元件之間之該等基本 常式。該RAM1112亦可包含一高速(諸如靜態ram) 以用於快取資料。 該電腦1102更包含一内部硬磁碟驅動機(HDD)ni4 (例如,EIDE、SATA),該内部硬磁碟驅動機1114亦可 經組態以於一適當底盤(未顯示)中用於外部使用、一磁 軟磁碟驅動機(FDD)1116(例如,自一可移除磁片1118讀 取或寫入一可移除磁片1118)及一光碟驅動機n2〇(例 如,讀取一CD-ROM1122,或自諸如DVD之其他高容量光 媒體讀取或寫入其他而容量光媒體該硬磁碟驅動機 1114、磁碟驅動機1Π6及光碟驅動機H20可分別藉由一 21 200920068 硬磁碟驅動機介面1124、一磁碟驅動機介面1126及一光 學驅動機介面1128連接至該系統匯流排1108。用於外部 驅動機實現之該介面n 24包含通用串列匯流排(USB)及 IEEE 13 94介面技術之至少一者或二者。 該等驅動機及其關聯電腦可讀媒體提供用於儲存資 料、資料結構、電腦可執行指令及諸如此類之非揮發性儲 存記憶體。對於該電腦11 〇2,該等驅動機及媒體容納以一 適當數位格式之任何資料之儲存。儘管以上所說明之電腦 可讀媒體參照一 HDD、一可移除磁碟,及一諸如一 CD或 DVD之可移除光媒體,但是熟習此項技術者應暸解’藉由 一電腦可讀之其他類型媒體,諸如zip壓縮驅.動機、磁帶 盒、快閃記憶體卡 '匣式磁帶及諸如此類,亦可用於該例 示性操作環境中,且此外,任何此等媒體可含有用於執行 該等揭示方法之電腦可執行指令。 若干程式模組可被儲存於該等驅動機及RAM1112 中’其包含一作業系統113〇、一或多個應用程式1132、其 他程式模組11 3 4及程式資料1 1 3 6。所有或部分該等作業 系統、應用、模組,及/或資料亦可快取在該RAM 1 1 1 2中。 應瞭解’所揭示之架構可使用各種商業上可用之操作系統 或操作系統组合來實現。 該等應用程式Π32及/或模組1134可包含第1圖之該 代理飼服器伺服器啟動及驗證組件(1 0 8及1 1 0 )。該系統 1100為該用戶端1〇2時,舉例而言,該等應用程式1132 及/或模組1134可包含用於產生該加密鍵及鍵雜湊編碼摘 22 200920068 要之用戶端處理功能。在第1圖及第2圖之網域l〇4架構 中,該系統1 100可包含該認證授權機構208及/或該資料 儲存區204及機器帳戶206。
U 一使用者可透過一或多個有線/無線輸入裝置將命令 及資訊輸入該電腦1102’舉例而言,透過一鍵盤il38及 一指標裝置’諸如一滑鼠1140。其他輪入裝置(未顯亦) 可包含一麥克風、一紅外線遠端控制、一操縱杆、/遊戲 塾' 一尖筆、觸摸營幕,或諸如此類。此等及其他輸入裝 置通常透過一耦接至該系統匯流排11〇8之輸入裝置介面 U42連接至該處理單元1104,但可藉由其他介面連接,諸 如一平行埠、一 IEEE 1394串列埠、—遊戲璋一 usB埠、 一 IR介面,等等。 頸型顯示裝置經由一介面( 盟祝窃 驭具他 一視訊配接器1146)亦連接s 逆按至该系統匯流排1108。除該 視器1144外,一電腦通當勺 _ 常包含其他周邊輸出裝置(未 示),諸如揚聲器、列印機,等等。 該電腦1102可操作於一 _ ’路環境中,其使用邏輯連 經由有線及/或無線通信遠技= 钱至一或多個遠端電腦,諸如 遠端電腦1148。該遠端電胞 罨腦1148可能是一工作站、一 服器電腦、一路由器、—個 人電腦、可攜式電腦、基於 處理器的娛樂設備、一同纽壯逆 、裝置或其他常見網路節點, 通常包含許多或所有有關該 電腦11〇2說明之元件,儘管 於簡略之目的’僅圖示說明 λ —s己憶體/儲存區裝置1150 所描繪之該等邏輯連接包含 主一區域網路(LAN)l 152 3 23 200920068 或更大的網路,舉例而言,一廣域網路(WAN) 11 54之 /無線連接。此等LAN及WAN網路連結環境常見於辦 及公司中’且促進企業級電腦網路,諸如内部網路, 此等網路可連接至一全球通信網路,舉例而言,網際绍 當用於一 LAN網路連結環境中時,該電腦丨丨02 一有線及/或無線通信網路介面或配接器n56連接至 域網路1152。該配接器i156可促進至該LAN 11 52之 或無線通信’其亦可包含一佈置於其上以甩於與該無 接器11 5 6通信之無線存取點。 當用於一 WAN網路連結環境中時,該電腦11〇2 含一數據機1158,或連接至該Wan1154上之一通信 器’或具有其他裝置以用於透過該WAN 1 1 5 4 (諸如藉 際網路之方式)建立通信。該數據機1158,其可為内 外部及一有線或無線裝置,經由該串列埠介面n 42連 該系統匯流排1 1 0 8。在一網路環境中,有關該電腦 描鳍之程式模組,或其部分,可被儲存於該遠端記,t 儲存區裝置1 1 5 0中。應瞭解,所示該等網路連接係例 的’且可使用建立該等電腦之間之一通信連結之其他身 該電腦1102可操縱以與可操縱佈置於無線通信 任何無線裝置或實體進行通信’舉例而言,_印表機 瞄器、桌上及/或可攜式電腦、可攜式資料助理、通信祿 與一無線可偵測標籤相關聯之任何一件設備或位置 如,一亭子、報攤、洗手間),及電話。這至少包含無 真(Wi-Fi)及藍牙711無線技術。因此,該通信可能是一 有線 公室 所有 1路。 透過 該區 有線 線配 可包 伺服 由網 部或 接至 1102 I體/ 示性 b 史 5·罝。 中之 、掃 ;星、 (例 線保 預定 24 200920068 義結構,如一習知網路或只是至少兩個裝置之間之一 通信。
Wi-Fi或無線保真允許自家中一沙發、一賓館房 之一床、或工作場所之一會議室連接至網際網路,而 線纜。無線保真係一類似於用於一行動電話中之無 術,其允許此等裝置(舉例而言,電腦)由室内外發 接收資料;在一基地台範圍内之任意處。無線保真網 用稱作IEEE 8 0 2.1 1 X ( a、b、g等)之無線電技術以 安全、可靠、快速之無線連接性。一無線保真網路可 將電腦彼此連接、連接至網際網路,及至有線網路( 用IEEE 802.3或乙太網路)。 現參照第1 2圖,其中圖示說明一例示性計算環境 之示意方塊圖,該計算環境1200促進不安全提供及仿 域加入。該系統1200包含一或多個用戶端1202。該( 用戶端1202可為硬體及/或軟體(例如,執行緒、處理 計算裝置)。舉例而言,該(等)用戶端1202可容納 餅乾及/或關聯上下文資訊。 該系統1 2 0 0亦包含一或多個伺服器1 2 0 4。該( 伺服器1 2 04亦可為硬體及/或軟體(例如,執行緒、 序、計算裝置)。舉例而言,該等伺服器1 204藉由使 架構可容納執行緒以執行轉換。一用戶端1 2 0 2及一伺 1 204之間之一可能通信可以一資料封包之形式,其經 以待傳輸於兩個或兩個以上電腦處理序之間。舉例而 該資料封包可包含一網路餅乾及/或關聯上下文資訊。 臨時 間中 無需 線技 送及 路使 提供 用於 其使 1200 真網 :等) 序、 網路 等) 處理 用該 服器 調適 言, 該系 25 200920068 統1200包含一通信架構 (例如,—諸如網際網路之 全球通信網路),其可用於 ⑷飼服器12。4之間之通:…)用戶端及該 通信可經由一有線(包 _ _ λ 含光纖)及/或無線技術促進。 該(等)用戶端1 202可操縱 姊六β ·Λ〇社 也連接至—或多個用戶端資料 儲存區1208,其可用於儲存 咨存"x(等)用戶端1 202之區域 資訊(例如,網路餅乾及/或關聯上 f t 該…飼服器12。4可操縱地 文資訊)類似地’ 儲存區1210,該伺服器次u —或多個伺服器資料 存[mo肖们服為資㈣存區ΐ2ι"胃 伺服器1204之區域資訊。 4存該等 該等用戶端1202可包含尋求 器1〇6之該用戶端1〇2,-者均顯^取該代理飼服器祠服 —者均顯不在第1圖中。第2圖 中之該資料儲存區2〇4及認證授權機構2〇8,可 祠 服器1204,其亦可為一企業之後端伺服器。 ° 以上所述包含所揭示架構之實例。當然:,不可能說明 組件及/或方法之每一可想像組合,但本項技術中之一b旅通 技藝者可認識到亦可能有許多此外組合及排列。因此:該 新穎架構意欲包括落入隨附申請專利範圍之精神與範疇内 之所有此等改變、修改及變化。此外,就該術語「包含 (“includes,,)」用於「實施方式」段落中或用於申請專利範 圍中而言,此等術語意欲為包含性的,其解讀類似於該術 語「包括(“comprising”)」在一申請專利範圍中用作—轉接 字時之解釋。 26 200920068 【圖式簡單說明】 第1圖圖示說明用於將一裝置加入一網域之一電腦實 施之網域成員管理系統。 第2圖圖示說明一用於管理一網域之網域成員之替代 系統。 第3圖圖示說明保持在該網域資料儲存區中至少用於 啟動及驗證目的之資訊。 第4圖圖示說明一種管理網域成員之方法。 第5圖圖示說明一種保持資料於一資料儲存區以支援 建立一信賴關係及驗證之方法。 第6圖圖示說明一種由該裝置備置用於驗證該代理伺 服器之驗證資訊之方法。 第7圖圖示說明一種藉由驗證該代理伺服器以登入一 裝置之方法。 第8圖圖示說明一種由該代理伺服器驗證該用戶端之 方法。 第9圖圖示說明一種在裝置及代理伺服器驗證之後獲 得一憑證之方法。 第10圖圖示說明一種獲得一用於網域登入之憑證之 方法。 第11圖圖示說明一計算系統之一方塊圖,該計算系統 可運作以提供不安全提供且仿真網域加入之功能。 第 12圖圖示說明一例示性計算環境之一示意方塊 圖,該例示性計算環境促進不安全提供且仿真網域加入。 27 200920068 【主要元件符號說明】 100 系統 1 02 行動用戶端 1 04 私密網域 104 網域 106 登入代理伺服器 106 登入代理伺服器伺服器 108 啟動組件 110 驗證組件 200 系統 202 裝置 204 資料儲存區 206 機器帳戶 208 認證授權機構 300 行動裝置 302 單次使用密碼 304 資訊 306 資料儲存區 1100 計算系統 1102 電腦 1104 處理單元 1106 系統記憶體 1108 匯流排 28 1110 200920068
1112 1114 1114 1116 1118 1120 1122 1124 1126 1128 1130 1132 1134 1136 1138 1140 1142 1144 1146 1148 1150 1152 唯讀記憶體 隨機存取記憶體 内部硬碟驅動機 外部硬碟驅動機 軟碟驅動機 碟 光學驅動機 碟 介面 介面 介面 作業系統 應用程式 模組 程式資料 鍵盤 滑鼠 輸入裝置介面 監視 視訊配接器 遠端電腦 記憶體/儲存器 區域網路 廣域網路 29 1154 200920068 1156 網 路 配 接 器 1158 數 據 機 1200 計 算 環 境 1202 用 戶 端 1204 飼 服 器 1206 通 信 架 構 1208 用 戶 端 資 料 儲 存 區 1210 伺 服 器 資 料 儲 存 區 30

Claims (1)

  1. 200920068 十、申請專利範圍: 1. 一種用於管理網域成員之電腦實施之系統,包括: 一網域代理飼服器之一啟動(bootstrap)組件,用於自一 尋求存取一網域之行動用戶端接收使用者憑證;及 該代理伺服器之一驗證組件,用於基於該等使用者憑證 由該網域驗證該行動用戶端。 2.如申請專利範圍第1項所述之系統,其中該等使用者憑 證包含一使用者名稱或一密碼二者中至少一者。 ^ 如申請專利範圍第1項所述之系統,其中該驗證組件基 於該等使用者憑證為該行動用戶端建立一機器帳戶。 4. 如申請專利範圍第1項所述之系統,其中該行動用戶端 係屬一行動電話,其透過一不安全空中介面傳輸該等使用 者憑證。 5. —種管理網域成員之電腦實施方法,包括以下步驟: 自一行動裝置接收用於加入一網域之憑證,該等憑證藉 由該網域之一代理伺服器透過一空中介面接收; 基於該等憑證在該行動裝置與該代理伺服器之間建立一 信賴關係; 經由該代理伺服器且基於該信賴關係,在該網域中為該 行動裝置建立一機器帳戶;及 31 200920068 基於該機器帳戶將該行動裝置加入該網域。 6. 如申請專利範圍第5項所述之方法’其中該等憑證包含 一使用者名稱以及一單次使用密碼(〇ne-time-use,OTP)或 一裝置ID二者中至少一者。 7. 如申請專利範圍第5項所述之方法,更包括以下步驟: 經由一網路服務,自--般加密種子之該行動裝置接收 一鍵雜湊編碼摘要(keyed-hash code digest)。 8. 如申請專利範圍第7項所述之方法’更包括以下步驟: 使用通道加密,自該網路服務接收該鍵雜湊編碼摘要。 9. 如申請專利範圍第5項所述之方法,更包括以下步驟: 在該代理伺服器基於一加密鍵產生一網域憑證之一鍵雜 湊編碼摘要。 10. 如申請專利範圍第5項所述之方法’更包括以下步驟: 發送該鍵雜湊編碼摘要及該根憑證至該行動裝置,以藉 由該行動裝置進行驗證,及基於由該行動裝置之成功驗證 建立該信賴關係。 如申請專利範圍第5項所述之方法’更包括以下步驟: 允許該行動用戶端使用具通道加松之完整伺服器驗證來 32 200920068 重新連接至該 代理伺服器 以進行一驗證程序。 12 係 .如申請專利 驗證一代理伺 相關聯之網^ 範圍第5項所述之方法,更包括以下步驟, 服器憑證確實連結回至一與一完整信賴關 憑。 13.如申請專利範 將一簽署之網域 程序之一部分。 圍第5項所述之方法,更包括以下步驟· 憑證儲存於該行動裝置上,作為—登& 1 4.如申請泉*,丨# 圍第5項所述之方法,更包括以 登入代表診〜紅 r少驟. 交一憑證心用戶端之該機器帳戶及為-簽署憑證提 、明、至該網域之一憑證授權機構。 其中該簽署憑證 15.如申請專利範圍第14項所述之方法 被回傳至該行動用戶端。
    申請專利範圍第5項所述之方法,更包括以下步驟: 於網域資料儲存區上儲存以下至少一者:一單次使用 畨碼、由該單次使用密碼產生之加密鍵、一新機器帳戶 之一名稱、該用戶端之一擁有者之一參考、該新的機器帳 戶之一目標容器之一完整合格網域名稱,或由該加密鍵產 生之 般加密種子之雜湊機器驗證編碼(hashed machine authentication c〇de, HMAC)摘要。 33 200920068 17.如申請專利範圍第5項所述之方法,更包括以下步驟: 在該加入步驟執行之後,停止輔助該行動用戶端之該代 理伺服器。 1 8 ·如申請專利範圍第5項所述之方法,其中該信賴關係一 私密信賴關係。 19.如申請專利範圍第5項所述之方法,更包括以下步驟: 基於一機器識別碼憑證而非使用者憑證,將該行動裝置 加入該網域,其為一私密網域。 2 0. —種電腦實施之系統,包括: 一電腦實施之裝置,用於自一行動裝置接收用於加入一 網域之憑證,該等憑證係藉由該網域之一代理伺服器透過 一空中介面接收得; 一電腦實施之裝置,用於基於該等憑證在該行動裝置與 該代理伺服器之間建立一信賴關係; 一電腦實施之裝置,用於經由該代理伺服器且基於該信 賴關係,在該網域中為該行動裝置建立一機器帳戶;及 一電腦實施之裝置,用於基於該機器帳戶將該行動裝置 加入該網域。 34
TW097122935A 2007-06-25 2008-06-19 Device provisioning and domain join emulation over non-secured networks TW200920068A (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/821,686 US20080320566A1 (en) 2007-06-25 2007-06-25 Device provisioning and domain join emulation over non-secured networks

Publications (1)

Publication Number Publication Date
TW200920068A true TW200920068A (en) 2009-05-01

Family

ID=40137911

Family Applications (1)

Application Number Title Priority Date Filing Date
TW097122935A TW200920068A (en) 2007-06-25 2008-06-19 Device provisioning and domain join emulation over non-secured networks

Country Status (7)

Country Link
US (1) US20080320566A1 (zh)
EP (1) EP2171911A4 (zh)
JP (1) JP2010531516A (zh)
KR (1) KR20100029098A (zh)
CN (1) CN101689991A (zh)
TW (1) TW200920068A (zh)
WO (1) WO2009002705A2 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI620091B (zh) * 2016-09-13 2018-04-01 健行學校財團法人健行科技大學 植基於worker序列化請求的認證處理方法

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8370905B2 (en) * 2010-05-11 2013-02-05 Microsoft Corporation Domain access system
US9645992B2 (en) 2010-08-21 2017-05-09 Oracle International Corporation Methods and apparatuses for interaction with web applications and web application data
US20120254949A1 (en) * 2011-03-31 2012-10-04 Nokia Corporation Method and apparatus for generating unique identifier values for applications and services
AP2014007426A0 (en) * 2011-07-18 2014-02-28 Visa Int Service Ass Mobile device with secure element
US9246882B2 (en) 2011-08-30 2016-01-26 Nokia Technologies Oy Method and apparatus for providing a structured and partially regenerable identifier
US8756651B2 (en) * 2011-09-27 2014-06-17 Amazon Technologies, Inc. Policy compliance-based secure data access
US8935777B2 (en) 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
US9722972B2 (en) * 2012-02-26 2017-08-01 Oracle International Corporation Methods and apparatuses for secure communication
US8955075B2 (en) * 2012-12-23 2015-02-10 Mcafee Inc Hardware-based device authentication
US20160019542A1 (en) * 2013-03-04 2016-01-21 S. A. Selinko Method For Providing Secure E-Commerce Transactions
JP6482526B2 (ja) 2013-03-15 2019-03-13 オラクル・インターナショナル・コーポレイション コンピュータアプリケーションのオブジェクトコードを変更することによるコンピュータアプリケーションのためのセキュリティサービス管理
US9129112B2 (en) 2013-03-15 2015-09-08 Oracle International Corporation Methods, systems and machine-readable media for providing security services
US9344422B2 (en) 2013-03-15 2016-05-17 Oracle International Corporation Method to modify android application life cycle to control its execution in a containerized workspace environment
US10908937B2 (en) 2013-11-11 2021-02-02 Amazon Technologies, Inc. Automatic directory join for virtual machine instances
US10530742B2 (en) 2013-11-11 2020-01-07 Amazon Technologies Inc. Managed directory service
FR3015824A1 (fr) * 2013-12-23 2015-06-26 Orange Obtention de donnees de connexion a un equipement via un reseau
US9584492B2 (en) 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
JP6464256B2 (ja) 2014-09-24 2019-02-06 オラクル・インターナショナル・コーポレイション Androidアプリケーションのライフサイクルを変更することによって、コンテナ化ワークスペース環境内でアプリケーションの実行を管理する方法
US10509663B1 (en) 2015-02-04 2019-12-17 Amazon Technologies, Inc. Automatic domain join for virtual machine instances
EP3262582B1 (en) 2015-02-27 2021-03-17 Samsung Electronics Co., Ltd. Electronic device providing electronic payment function and operating method thereof
US10193700B2 (en) * 2015-02-27 2019-01-29 Samsung Electronics Co., Ltd. Trust-zone-based end-to-end security
US9614835B2 (en) * 2015-06-08 2017-04-04 Microsoft Technology Licensing, Llc Automatic provisioning of a device to access an account
JP6516009B2 (ja) * 2015-07-10 2019-05-22 富士通株式会社 機器認証システム、管理装置及び機器認証方法
US9769153B1 (en) 2015-08-07 2017-09-19 Amazon Technologies, Inc. Validation for requests
US10846696B2 (en) 2015-08-24 2020-11-24 Samsung Electronics Co., Ltd. Apparatus and method for trusted execution environment based secure payment transactions
US10699274B2 (en) 2015-08-24 2020-06-30 Samsung Electronics Co., Ltd. Apparatus and method for secure electronic payment
US10439889B2 (en) * 2017-05-16 2019-10-08 Microsoft Technology Licensing, Llc High fidelity network emulation
GB2565282B (en) * 2017-08-02 2021-12-22 Vnc Automotive Ltd Remote control of a computing device
IL275147B2 (en) * 2017-12-05 2024-09-01 Defender Cyber Tech Ltd Secure content routing using one-time pads
US10574444B2 (en) * 2018-01-22 2020-02-25 Citrix Systems, Inc. Systems and methods for secured web application data traffic
US10693633B2 (en) 2018-11-19 2020-06-23 Cypress Semiconductor Corporation Timestamp based onboarding process for wireless devices
US11792288B2 (en) * 2019-09-09 2023-10-17 Extreme Networks, Inc. Wireless network device with directional communication functionality
CN121167789B (zh) * 2025-11-20 2026-03-03 杭州熵烨科技有限公司 一种基于密码学标记的收件信息自主闭环方法、系统、介质及硬件

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5586260A (en) * 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5913025A (en) * 1996-11-14 1999-06-15 Novell, Inc. Method and apparatus for proxy authentication
US6189100B1 (en) * 1998-06-30 2001-02-13 Microsoft Corporation Ensuring the integrity of remote boot client data
US6591095B1 (en) * 1999-05-21 2003-07-08 Motorola, Inc. Method and apparatus for designating administrative responsibilities in a mobile communications device
ATE311063T1 (de) * 2000-02-08 2005-12-15 Swisscom Mobile Ag Vereinter einloggungsprozess
US6959336B2 (en) * 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets
US20040254890A1 (en) * 2002-05-24 2004-12-16 Sancho Enrique David System method and apparatus for preventing fraudulent transactions
US7263619B1 (en) * 2002-06-26 2007-08-28 Chong-Lim Kim Method and system for encrypting electronic message using secure ad hoc encryption key
KR100468566B1 (ko) * 2002-10-24 2005-01-27 에스케이 텔레콤주식회사 Http 프록시를 이용한 tcp/ip 서비스의 통합인증방법
CN1723674B (zh) * 2002-11-08 2012-06-13 捷讯研究有限公司 用于无线移动通信设备的连接控制的系统和方法
US7103772B2 (en) * 2003-05-02 2006-09-05 Giritech A/S Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers
US20050015499A1 (en) * 2003-05-15 2005-01-20 Georg Mayer Method and apparatus for SIP user agent discovery of configuration server
US7171555B1 (en) * 2003-05-29 2007-01-30 Cisco Technology, Inc. Method and apparatus for communicating credential information within a network device authentication conversation
US7448080B2 (en) * 2003-06-30 2008-11-04 Nokia, Inc. Method for implementing secure corporate communication
JP4069388B2 (ja) * 2003-09-16 2008-04-02 ソニー株式会社 サーバ装置およびコンテンツサーバ装置
EP1562343A1 (fr) * 2004-02-09 2005-08-10 France Telecom Procédé et système de gestion d'autorisation d'accès d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur à un réseau IP
WO2005117466A2 (en) * 2004-05-24 2005-12-08 Computer Associates Think, Inc. Wireless manager and method for managing wireless devices
KR100587158B1 (ko) * 2004-10-28 2006-06-08 에스케이 텔레콤주식회사 무선 인터넷에서 자동 인증 방법 및 그 장치
WO2006019275A1 (en) * 2004-08-18 2006-02-23 Sk Telecom Co., Ltd. Method for providing contents in a mobile communication system and apparatus thereof
US8700729B2 (en) * 2005-01-21 2014-04-15 Robin Dua Method and apparatus for managing credentials through a wireless network
US20060185004A1 (en) * 2005-02-11 2006-08-17 Samsung Electronics Co., Ltd. Method and system for single sign-on in a network
US20060282680A1 (en) * 2005-06-14 2006-12-14 Kuhlman Douglas A Method and apparatus for accessing digital data using biometric information
JP4792876B2 (ja) * 2005-08-30 2011-10-12 株式会社日立製作所 情報処理装置及び情報処理方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI620091B (zh) * 2016-09-13 2018-04-01 健行學校財團法人健行科技大學 植基於worker序列化請求的認證處理方法

Also Published As

Publication number Publication date
WO2009002705A3 (en) 2009-02-12
EP2171911A4 (en) 2014-02-26
CN101689991A (zh) 2010-03-31
JP2010531516A (ja) 2010-09-24
KR20100029098A (ko) 2010-03-15
EP2171911A2 (en) 2010-04-07
US20080320566A1 (en) 2008-12-25
WO2009002705A2 (en) 2008-12-31

Similar Documents

Publication Publication Date Title
TW200920068A (en) Device provisioning and domain join emulation over non-secured networks
JP7181539B2 (ja) 利用者識別認証データを管理する方法および装置
US10949526B2 (en) User device authentication
EP3756328B1 (en) Identity-based certificate authority system architecture
US10805085B1 (en) PKI-based user authentication for web services using blockchain
CN101171782B (zh) 对等认证和授权
US10382203B1 (en) Associating applications with Internet-of-things (IoT) devices using three-way handshake
CN103503408B (zh) 用于提供访问凭证的系统和方法
JP5944501B2 (ja) ピアツーピアオーバーレイネットワーク内のデータオブジェクトに対するグループアクセス制御の容易化
CN101764803B (zh) 参与与计算系统的认证的方法
CN105027107B (zh) 迁移计算资源的计算机实现的方法及计算系统
CN106464494B (zh) 无线装置认证和服务访问
US8918641B2 (en) Dynamic platform reconfiguration by multi-tenant service providers
WO2018214165A1 (zh) 通信方法、装置、系统、电子设备及计算机可读存储介质
KR20170106515A (ko) 다중 팩터 인증 기관
EP4145763B1 (en) Exporting remote cryptographic keys
EP4096160B1 (en) Shared secret implementation of proxied cryptographic keys
CN102893575B (zh) 借助于ipsec和ike第1版认证的一次性密码
CN117223254A (zh) 用于预认证链接的实体认证
CN114765551B (zh) 基于区块链的sdp访问控制方法及装置
TW201430608A (zh) 單點登入系統及方法
Akhtar et al. A Decentralized Self-Sovereign-Identity Management and On-Boarding Framework for Industrial IoT Environment
US20250337717A1 (en) Secure request transport across transport layer connections
Sharma HTTP Signature Authentication Library
CA2855043C (en) System and method for secure remote access to a service on a server computer