專利名稱:使用云認(rèn)證進(jìn)行認(rèn)證的制作方法
使用云認(rèn)證進(jìn)行認(rèn)證背景許多計(jì)算機(jī)用戶具有各種基于web的服務(wù)的在線帳戶�����。這些在線賬戶可用于電子郵件服務(wù)�����、購(gòu)買產(chǎn)品�、訪問(wèn)文字處理或其他應(yīng)用�����、社交聯(lián)網(wǎng)服務(wù)��、以及許多其他用途���?��;趙eb的服務(wù)——也被稱為云服務(wù)——可具有各種認(rèn)證機(jī)構(gòu)。在一些情況下���, 云服務(wù)可具有僅由由用戶選擇的用戶標(biāo)識(shí)和密碼構(gòu)成的非常簡(jiǎn)單的認(rèn)證��。這種認(rèn)證機(jī)構(gòu)可以是匿名的�。其他云服務(wù)可使用信用卡或其他機(jī)構(gòu)來(lái)驗(yàn)證用戶身份。在這樣的服務(wù)中�����,在線標(biāo)識(shí)可被追溯回使用信用卡或其他機(jī)構(gòu)的實(shí)際的人�����。概述局域網(wǎng)中的認(rèn)證機(jī)構(gòu)可使用云認(rèn)證機(jī)構(gòu)來(lái)允許或拒絕認(rèn)證請(qǐng)求����。用戶可通過(guò)輸入云標(biāo)識(shí)和密碼來(lái)獲得局域網(wǎng)內(nèi)的訪問(wèn),所述云標(biāo)識(shí)和密碼可由云認(rèn)證機(jī)構(gòu)驗(yàn)證���。如果認(rèn)證從云認(rèn)證機(jī)構(gòu)成功���,則用戶標(biāo)識(shí)和密碼被本地存儲(chǔ)以供后續(xù)認(rèn)證請(qǐng)求。在一些實(shí)施例中�,云密碼可被周期性地清除(flush)以使后續(xù)請(qǐng)求可被傳遞到該云認(rèn)證機(jī)構(gòu)�����。該認(rèn)證機(jī)構(gòu)在域和工作組局域網(wǎng)中均可使用,并且可與可具有局域網(wǎng)或客戶端憑證的其他用戶并行操作���, 所述局域網(wǎng)或客戶端憑證可不從該云認(rèn)證����。提供本概述以便以簡(jiǎn)化形式介紹將在以下詳細(xì)描述中進(jìn)一步描述的一些概念���。本概述并不旨在標(biāo)識(shí)所要求保護(hù)主題的關(guān)鍵特征或必要特征�����,也不旨在用于限制所要求保護(hù)主題的范圍����。附圖簡(jiǎn)述在附圖中
圖1是示出可包括云認(rèn)證的網(wǎng)絡(luò)環(huán)境的實(shí)施例的圖示�。圖2是示出用于具有云認(rèn)證的客戶端操作的方法的實(shí)施例的流程圖示。圖3是示出可由具有云認(rèn)證的域服務(wù)器執(zhí)行的方法的實(shí)施例的流程圖示�����。圖4是用于強(qiáng)制更新的方法的實(shí)施例的流程圖示。詳細(xì)描述用戶可在局域網(wǎng)環(huán)境內(nèi)使用云憑證來(lái)認(rèn)證工作組或域登入����。云憑證可在設(shè)備或域級(jí)別被本地存儲(chǔ)并用于未來(lái)認(rèn)證?���?捎迷普J(rèn)證機(jī)構(gòu)來(lái)周期性地刷新云憑證。云認(rèn)證機(jī)構(gòu)可允許用戶使用可被云認(rèn)證機(jī)構(gòu)形式的遠(yuǎn)程第三方驗(yàn)證的憑證來(lái)訪問(wèn)其家庭�����、商業(yè)或其他計(jì)算機(jī)�����。用戶可具有用于各云服務(wù)和本地計(jì)算機(jī)訪問(wèn)的單組登入憑證����。客戶端或域設(shè)備上的本地認(rèn)證機(jī)構(gòu)可被配置為在設(shè)備或域級(jí)別提供認(rèn)證服務(wù)�����。本地認(rèn)證機(jī)構(gòu)可具有數(shù)據(jù)庫(kù)���,用戶標(biāo)識(shí)和密碼(通常以被散列的或加密的形式)被存儲(chǔ)在該數(shù)據(jù)庫(kù)中���。當(dāng)用戶帳戶被配置為用于云認(rèn)證時(shí),該用戶的憑證可被傳遞到云認(rèn)證機(jī)構(gòu)�����,并且如果被該云認(rèn)證機(jī)構(gòu)正確認(rèn)證�,則該憑證可被存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中。然后后續(xù)認(rèn)證請(qǐng)求可由該本地認(rèn)證機(jī)構(gòu)來(lái)處理�����。該用戶可連接到該云認(rèn)證機(jī)構(gòu)并執(zhí)行密碼改變���。用戶下一次嘗試登錄到本地系統(tǒng)時(shí)�,本地認(rèn)證可使用新用戶憑證來(lái)觸發(fā)到該云認(rèn)證機(jī)構(gòu)的請(qǐng)求�,因?yàn)樵撔聭{證可能不與本地?cái)?shù)據(jù)庫(kù)中的憑證相匹配。本地認(rèn)證機(jī)構(gòu)可周期性地刷新本地存儲(chǔ)的密碼或周期性地將本地存儲(chǔ)的密碼與該云認(rèn)證機(jī)構(gòu)同步����。在一些實(shí)施例中,該本地認(rèn)證機(jī)構(gòu)可周期性地刪除該密碼以在下次登入時(shí)強(qiáng)制云認(rèn)證����。在其他實(shí)施例中�,該本地認(rèn)證機(jī)構(gòu)可周期性地將登入憑證發(fā)送到該云認(rèn)證機(jī)構(gòu)以驗(yàn)證所述憑證仍舊有效����。如果發(fā)現(xiàn)所述憑證無(wú)效,則所述憑證可從本地?cái)?shù)據(jù)庫(kù)中移除并可在用戶在稍后的時(shí)間登入時(shí)被刷新�。該本地認(rèn)證機(jī)構(gòu)可被部署在工作組環(huán)境中并可充當(dāng)用于本地的、設(shè)備特定的帳戶的認(rèn)證機(jī)構(gòu)���。該本地認(rèn)證機(jī)構(gòu)還可被部署在域環(huán)境中并可用于授予域級(jí)訪問(wèn)權(quán)�。貫穿本說(shuō)明書(shū)���,在對(duì)附圖的整個(gè)描述中�����,相同的附圖標(biāo)記表示相同的元素�����。當(dāng)元素被稱為被“連接”或“耦合”時(shí)���,這些元素可被直接連接或耦合在一起���,或者也可存在一個(gè)或多個(gè)中間元素。相反����,當(dāng)元素被稱為被“直接連接”或“直接耦合”時(shí)�����,不存在中間元素����。本主題可體現(xiàn)為設(shè)備、系統(tǒng)��、方法�����、和/或計(jì)算機(jī)程序產(chǎn)品����。因此,本發(fā)明的部分或全部能以硬件和/或軟件(包括固件��、常駐軟件、微碼���、狀態(tài)機(jī)����、門陣列等)來(lái)具體化����。此外,本主題可以采取上面包含有供指令執(zhí)行系統(tǒng)使用或結(jié)合其使用的計(jì)算機(jī)可使用或計(jì)算機(jī)可讀程序代碼的計(jì)算機(jī)可使用或計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品的形式��。在本文獻(xiàn)的上下文中��,計(jì)算機(jī)可使用或計(jì)算機(jī)可讀介質(zhì)可以是可包含�����、存儲(chǔ)����、通信、傳播�����、或傳輸程序以供指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或結(jié)合其使用的任何介質(zhì)����。計(jì)算機(jī)可使用或計(jì)算機(jī)可讀介質(zhì)可以是,例如����,但不限于,電�����、磁�����、光�、電磁�、紅外、 或半導(dǎo)體系統(tǒng)��、裝置���、設(shè)備或傳播介質(zhì)����。作為示例而非限制,計(jì)算機(jī)可讀介質(zhì)可包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)����。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括以存儲(chǔ)諸如計(jì)算機(jī)可讀的指令、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或其他數(shù)據(jù)之類的信息的任何方法或技術(shù)實(shí)現(xiàn)的易失性和非易失性��、可移動(dòng)和不可移動(dòng)介質(zhì)�。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括,但不限于����,RAM、ROM����、EEPR0M、閃存或其他存儲(chǔ)器技術(shù)��、CD-ROM����、數(shù)字多功能盤(DVD)或其他光盤存儲(chǔ)����、磁帶盒���、磁帶�、磁盤存儲(chǔ)或其他磁性存儲(chǔ)設(shè)備����、或可用于存儲(chǔ)所需信息且可以由指令執(zhí)行系統(tǒng)訪問(wèn)的任何其他介質(zhì)。注意��,計(jì)算機(jī)可使用或計(jì)算機(jī)可讀介質(zhì)可以是其上打印有程序的紙張或其他合適的介質(zhì)���,因?yàn)槌绦蚩山?jīng)由例如對(duì)紙張或其他合適的介質(zhì)的光學(xué)掃描來(lái)電子地捕獲,隨后如有必要被編譯�、解釋,或以其他合適的方式處理����,并且隨后存儲(chǔ)在計(jì)算機(jī)存儲(chǔ)器中。通信介質(zhì)通常以諸如載波或其他傳輸機(jī)制之類的已調(diào)制數(shù)據(jù)信號(hào)來(lái)具體化計(jì)算機(jī)可讀指令��、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)�,并且包括任何信息傳送介質(zhì)。術(shù)語(yǔ)“已調(diào)制數(shù)據(jù)信號(hào)”可被定義為其一個(gè)或多個(gè)特性以對(duì)信號(hào)中的信息編碼的方式設(shè)置或改變的信號(hào)��。 作為示例而非限制�����,通信介質(zhì)包括諸如有線網(wǎng)絡(luò)或直接線連接之類的有線介質(zhì)����,以及諸如聲學(xué)、RF�����、紅外及其他無(wú)線介質(zhì)之類的無(wú)線介質(zhì)����。上述的任何組合也應(yīng)包含在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)。當(dāng)本主題在計(jì)算機(jī)可執(zhí)行指令的一般上下文中具體化時(shí)����,該實(shí)施例可包括由一個(gè)或多個(gè)系統(tǒng)、計(jì)算機(jī)、或其他設(shè)備執(zhí)行的程序模塊�。一般而言,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程�����、程序�����、對(duì)象��、組件���、數(shù)據(jù)結(jié)構(gòu)等�����。通常����,程序模塊的功能可在各個(gè)實(shí)施例中按需進(jìn)行組合或分布��。
圖1是示出云認(rèn)證機(jī)構(gòu)可在其中操作的網(wǎng)絡(luò)環(huán)境的實(shí)施例100的圖�。實(shí)施例100 是其中基于域或工作組的認(rèn)證機(jī)構(gòu)可使用基于云的認(rèn)證機(jī)構(gòu)來(lái)允許或拒絕用戶登入的憑證的網(wǎng)絡(luò)環(huán)境的簡(jiǎn)化示例。圖1的圖示出了系統(tǒng)的功能組件�����。在一些情況下���,這些組件可以是硬件組件����、軟件組件�、或者硬件和軟件的組合。一些組件可以是應(yīng)用級(jí)軟件�,而其他組件可以是操作系統(tǒng)級(jí)組件。在一些情況下��,一個(gè)組件到另一組件的連接可以是緊密連接�����,其中兩個(gè)或更多個(gè)組件在單個(gè)硬件平臺(tái)上操作��。在其他情況下����,連接可通過(guò)跨長(zhǎng)距離的網(wǎng)絡(luò)連接來(lái)進(jìn)行。每個(gè)實(shí)施例都可使用不同的硬件、軟件�、以及互連架構(gòu)來(lái)實(shí)現(xiàn)所描述的功能。云認(rèn)證機(jī)構(gòu)可被用來(lái)將用戶認(rèn)證到域或工作組���?��?杀挥脩籼峤坏奖镜卣J(rèn)證機(jī)構(gòu)的憑證可被轉(zhuǎn)發(fā)到云認(rèn)證機(jī)構(gòu)。如果云認(rèn)證機(jī)構(gòu)允許所述憑證��,則所述用戶憑證可被本地存儲(chǔ)并用于后續(xù)認(rèn)證��。貫穿本說(shuō)明書(shū)����,術(shù)語(yǔ)“認(rèn)證機(jī)構(gòu)”可被用來(lái)指代可執(zhí)行認(rèn)證的任何系統(tǒng)、設(shè)備�、應(yīng)用、服務(wù)或其他功能����。認(rèn)證是指用于基于用戶所出示的憑證來(lái)確認(rèn)該用戶的身份的過(guò)程。在許多情況下�,所述憑證可包括公開(kāi)部分和私隱部分。在簡(jiǎn)單的一組憑證中�,公開(kāi)部分可以是用戶名而私隱部分可以是密碼。在域或工作組環(huán)境中�����,用戶帳戶中的一些或全部可被配置以用于云認(rèn)證���。這種配置可在本地系統(tǒng)的管理員允許云認(rèn)證機(jī)構(gòu)作為受信任的認(rèn)證機(jī)構(gòu)時(shí)使用�����。該配置可呈現(xiàn)本地系統(tǒng)和云認(rèn)證機(jī)構(gòu)之間的單向信任���。該單向信任可以是本地系統(tǒng)接受云認(rèn)證機(jī)構(gòu)來(lái)在本地系統(tǒng)上驗(yàn)證用戶的憑證,但是云認(rèn)證機(jī)構(gòu)可不接受本地系統(tǒng)的對(duì)任何其他經(jīng)云認(rèn)證的服務(wù)的認(rèn)證����。對(duì)于基于云的認(rèn)證,用戶可出示憑證���,該憑證可被云認(rèn)證機(jī)構(gòu)分析并被云認(rèn)證機(jī)構(gòu)允許或拒絕�����。典型憑證可以是用戶標(biāo)識(shí)和密碼����,但是其他實(shí)施例可使用硬件認(rèn)證,諸如可使用來(lái)自智能卡�、信用卡、駕駛執(zhí)照�、護(hù)照或類似設(shè)備的憑證的讀卡器。在這樣的實(shí)施例中�, 可由受信任方(諸如政府機(jī)關(guān)、安全組織或其他組織)向用戶頒發(fā)憑證�����,而該憑證可包括憑證可存儲(chǔ)于其上的計(jì)算機(jī)可讀存儲(chǔ)�。一些這樣的實(shí)施例可使用硬件供應(yīng)的憑證連同其他憑證,諸如用戶標(biāo)識(shí)和密碼來(lái)驗(yàn)證人的身份��。在一些實(shí)施例中可使用生物測(cè)定憑證作為用戶憑證的一部分�。可使用指紋讀取器�����、視網(wǎng)膜掃描儀��、語(yǔ)音識(shí)別或其他生物測(cè)定感測(cè)來(lái)捕捉生物測(cè)定憑證��。在這樣的實(shí)施例中,生物測(cè)定憑證可在本地設(shè)備上捕捉并傳送到云認(rèn)證機(jī)構(gòu)來(lái)進(jìn)行驗(yàn)證���。在使用生物測(cè)定掃描的實(shí)施例中,可在收集�����、傳送�����、存儲(chǔ)或使用這種數(shù)據(jù)之前接收用戶同意�����。一些實(shí)施例可準(zhǔn)許用戶的不同組憑證�。例如,一實(shí)施例可用用戶標(biāo)識(shí)�����、密碼和硬件設(shè)備(諸如智能卡)來(lái)執(zhí)行認(rèn)證�����。相同的實(shí)施例可僅用用戶標(biāo)識(shí)和來(lái)自本地生物測(cè)定掃描的輸出來(lái)執(zhí)行相同的認(rèn)證。不同的實(shí)施例可使用不同類型的用戶標(biāo)識(shí)��。在許多實(shí)施例中����,用戶標(biāo)識(shí)可以是例如登入名稱。一些實(shí)施例可允許用戶創(chuàng)建他們自己的登入標(biāo)識(shí)��。這種實(shí)施例可在匿名登入被準(zhǔn)許或其中用戶可以能夠輸入用戶易于記憶的登入名稱的情況下使用���。其他實(shí)施例可使用電子郵件地址作為人的登入標(biāo)識(shí)���。電子郵件地址可包括用戶名和域名并通常在多個(gè)人之
間不重復(fù)。云認(rèn)證機(jī)構(gòu)130可以是本地認(rèn)證機(jī)構(gòu)可向其配置了至少單向信任的任何認(rèn)證機(jī)構(gòu)�����。一典型實(shí)施例可以是具有用于訪問(wèn)基于web的服務(wù)的憑證的web服務(wù)��。在許多實(shí)施例中��,集中式云認(rèn)證機(jī)構(gòu)130可被用來(lái)獲得對(duì)許多不同的基于web的服務(wù)的訪問(wèn)�����。這樣的服務(wù)可包括電子郵件服務(wù)、社交網(wǎng)絡(luò)�����、各種基于web的應(yīng)用��、以及其他服務(wù)�����?�?梢允褂迷S多不同類型的云認(rèn)證機(jī)構(gòu)����。在一些云認(rèn)證機(jī)構(gòu)中���,用戶可以能夠通過(guò)提供用戶名和密碼用云服務(wù)創(chuàng)建他們自己的帳戶���。一些這樣的機(jī)構(gòu)可允許用戶創(chuàng)建可不具有對(duì)真實(shí)的人的任何進(jìn)一步的驗(yàn)證的匿名登入。在一些云認(rèn)證機(jī)構(gòu)中�����,用戶可提供可被信用卡公司驗(yàn)證的信用卡號(hào)和其他信息。 所述信用卡和其他信息(諸如姓名��、地址和電話號(hào)碼)可被傳送到信用卡公司�,信用卡公司進(jìn)而可以認(rèn)證該信息。該云認(rèn)證機(jī)構(gòu)可允許信用卡公司的認(rèn)證并可將用戶憑證與該信用卡被發(fā)給的真實(shí)的人相匹配����。一些云認(rèn)證機(jī)構(gòu)可包括一些對(duì)用戶憑證的人為驗(yàn)證。例如��,公司內(nèi)的安保部門可向員工發(fā)出智能卡�����,同時(shí)配置認(rèn)證機(jī)構(gòu)以供員工和廠商使用�。智能卡可包括用戶的照片,連同生物測(cè)定或其他信息���,諸如特征的唯一序列�。一些這樣的實(shí)施例可使用全局唯一標(biāo)識(shí)符 (⑶ID)或其他序列�����。⑶ID可作為用戶憑證的一部分被傳送并由公司的認(rèn)證機(jī)構(gòu)來(lái)使用。這種認(rèn)證機(jī)構(gòu)可被用作云認(rèn)證機(jī)構(gòu)���。許多設(shè)備具有本地認(rèn)證機(jī)構(gòu)和本地用戶數(shù)據(jù)庫(kù)�。該本地認(rèn)證機(jī)構(gòu)可允許用戶使用登入名稱登入并使用用戶帳戶操作該設(shè)備�����。許多設(shè)備可允許多個(gè)用戶在設(shè)備上具有帳戶����。 在許多情況下,每個(gè)用戶帳戶可具有不同的訪問(wèn)許可(access permission)或可允許每個(gè)用戶定制該設(shè)備的用戶接口�����。即使在只有一個(gè)用戶訪問(wèn)這些設(shè)備時(shí)���,一些設(shè)備也可具有本地認(rèn)證機(jī)構(gòu)和本地用戶數(shù)據(jù)庫(kù)。在域環(huán)境中�����,域服務(wù)器102可為附連到局域網(wǎng)106的域客戶端104提供認(rèn)證服務(wù)�。 該域環(huán)境可被配置以使用戶在登入到不同的域客戶端104時(shí)可使用相同的憑證。一些這樣的實(shí)施例可提供多個(gè)設(shè)備上的公共用戶接口、從不同設(shè)備對(duì)相同文件的訪問(wèn)��、以及其他特征以使用戶可在設(shè)備之間漫游并維持許多公共體驗(yàn)����。域服務(wù)器102可以是局域網(wǎng)106內(nèi)的服務(wù)器計(jì)算機(jī)。域服務(wù)器102可具有若干軟件組件122�,這些軟件組件可在由硬件組件IM構(gòu)成的硬件平臺(tái)上操作。域服務(wù)器的軟件組件122可包括域認(rèn)證機(jī)構(gòu)108�����,域認(rèn)證機(jī)構(gòu)108可包括用戶數(shù)據(jù)庫(kù)110和設(shè)備數(shù)據(jù)庫(kù)112����。域認(rèn)證機(jī)構(gòu)108可從各客戶端設(shè)備上的用戶接收認(rèn)證請(qǐng)求并基于用戶出示的憑證來(lái)允許或拒絕認(rèn)證。該用戶憑證可被存儲(chǔ)在用戶數(shù)據(jù)庫(kù)110中����,并且域認(rèn)證機(jī)構(gòu)108可查詢用戶數(shù)據(jù)庫(kù)110以確定是否存在與用戶出示的憑證的匹配。在一些實(shí)施例中��,域中的每個(gè)設(shè)備可被列在設(shè)備數(shù)據(jù)庫(kù)112中�。在一些這樣的實(shí)施例中,設(shè)備可連接到域認(rèn)證機(jī)構(gòu)108以連接到域服務(wù)器102所提供的服務(wù)��,所述服務(wù)可包括域名服務(wù)(DNS)、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)���、文件共享服務(wù)���、以及許多其他服務(wù)�����。在用戶嘗試使用客戶端設(shè)備登錄該域之前或之后��,當(dāng)該設(shè)備通電或連接到局域網(wǎng)106時(shí)�,這些設(shè)備可被接合(engage)��。在一些這樣的實(shí)施例中��,用戶可僅在使用在設(shè)備數(shù)據(jù)庫(kù)112中具有條目的設(shè)備時(shí)執(zhí)行有效登入���。域服務(wù)器102可包括本地認(rèn)證機(jī)構(gòu)114和本地用戶數(shù)據(jù)庫(kù)116。本地認(rèn)證機(jī)構(gòu)114 可為域服務(wù)器102上的本地用戶帳戶提供認(rèn)證服務(wù)�。本地用戶帳戶可以是允許用戶直接登錄到域服務(wù)器102并使用域服務(wù)器102的用戶帳戶。例如���,許多域服務(wù)器可具有本地管理員帳戶以使管理員可登入域服務(wù)器并執(zhí)行該服務(wù)器的配置�����。本地管理員帳戶可允許對(duì)域服務(wù)器102的訪問(wèn)并且可以不連接到或依賴于域服務(wù)來(lái)操作����。類似地,域客戶端104可具有本地認(rèn)證機(jī)構(gòu)118和本地用戶數(shù)據(jù)庫(kù)120�����。用戶可在本地?cái)?shù)據(jù)庫(kù)120中具有可準(zhǔn)許該用戶訪問(wèn)域客戶端104的資源但是不允許訪問(wèn)域服務(wù)的帳戶�����。重復(fù)域服務(wù)器150可在更大環(huán)境中提供類似于域服務(wù)器102的域服務(wù)����。重復(fù)域服務(wù)器150可具有用戶數(shù)據(jù)庫(kù)152以及設(shè)備數(shù)據(jù)庫(kù)154,用戶數(shù)據(jù)庫(kù)152可以是用戶數(shù)據(jù)庫(kù) 110的副本����,設(shè)備數(shù)據(jù)庫(kù)1 可以是設(shè)備數(shù)據(jù)庫(kù)112的副本。一些實(shí)施例可被配置以使域客戶端104中的一些被分配給域服務(wù)器102���,而其他域客戶端104被分配到重復(fù)域服務(wù)器 150�����。一些實(shí)施例可采用各種負(fù)載平衡或其他布置以使認(rèn)證工作負(fù)載可在域服務(wù)器102和重復(fù)域服務(wù)器150之間共享�����。工作組設(shè)備156可以是與局域網(wǎng)106連接并且可共享資源(諸如文件)的設(shè)備���, 但是不具有集中式服務(wù)器(諸如域服務(wù)器10 �。在域架構(gòu)中���,服務(wù)器可為用戶提供認(rèn)證��,而在工作組架構(gòu)中��,認(rèn)證可僅由本地認(rèn)證機(jī)構(gòu)158使用本地?cái)?shù)據(jù)庫(kù)160來(lái)提供�����。在許多實(shí)施例中,域服務(wù)器102可包括用戶接口�,管理員通過(guò)該用戶接口可設(shè)定并配置用戶帳戶。用戶帳戶可用用戶名和限定該用戶可如何與該域上的服務(wù)交互的各種許可或設(shè)定來(lái)標(biāo)識(shí)用戶����。例如���,第一用戶可被給予該域內(nèi)的管理員特權(quán),并且可以能夠執(zhí)行某些服務(wù)的配置和設(shè)定任務(wù)���。第二用戶可被給予該域內(nèi)的受限的用戶特權(quán)�,并且可以能夠消費(fèi)該服務(wù)但是不能配置它們����。許多本地認(rèn)證機(jī)構(gòu)還可具有管理員可通過(guò)它來(lái)添加���、刪除和配置用戶帳戶的用戶接口。在配置用戶帳戶時(shí)���,管理員可指示特定用戶帳戶可被云認(rèn)證�����。管理員可以能夠?yàn)槊總€(gè)所指示的用戶標(biāo)識(shí)云認(rèn)證機(jī)構(gòu)。管理員可以能夠通過(guò)指示用于與云認(rèn)證機(jī)構(gòu)130通信的地址或其他參數(shù)來(lái)設(shè)定云認(rèn)證機(jī)構(gòu)。在一些實(shí)施例中���,管理員可以能夠配置兩個(gè)或更多個(gè)云認(rèn)證機(jī)構(gòu)����。通過(guò)選擇用戶帳戶來(lái)進(jìn)行云認(rèn)證,管理員可以在本地或域認(rèn)證機(jī)構(gòu)和云認(rèn)證機(jī)構(gòu) 130之間建立信任����。所述信任可指示云認(rèn)證機(jī)構(gòu)所允許或拒絕的任何認(rèn)證可在本地或域級(jí)別沿用。各認(rèn)證機(jī)構(gòu)所使用的方法的示例在本說(shuō)明書(shū)稍后呈現(xiàn)的實(shí)施例200和300中示出�。云認(rèn)證機(jī)構(gòu)130可以通過(guò)網(wǎng)關(guān)126和廣域網(wǎng)1 從局域網(wǎng)106達(dá)到。在許多實(shí)施例中��,廣域網(wǎng)1 可包括因特網(wǎng)。云認(rèn)證機(jī)構(gòu)130可包括用戶數(shù)據(jù)庫(kù)132以及用戶接口 134,用戶憑證可被存放在該用戶數(shù)據(jù)庫(kù)132中���。在許多情況下���,用戶接口 134可以是可使用附連于廣域網(wǎng)128的設(shè)備 136以及使用web瀏覽器138訪問(wèn)的網(wǎng)頁(yè)的形式����。在一典型實(shí)施例中,用戶可用云認(rèn)證機(jī)構(gòu)130建立帳戶��。在建立帳戶時(shí)����,用戶可出示憑證(諸如用戶名和密碼)�����。在一些情況下�����,云認(rèn)證機(jī)構(gòu)130可要求附加憑證,諸如信用卡���、駕駛執(zhí)照�、或其他標(biāo)識(shí)符���。在一些情況下��,管理員可用云認(rèn)證機(jī)構(gòu)130為每個(gè)用戶配置用戶帳戶�。用戶帳戶可被配置為本地訪問(wèn)特定設(shè)備��,諸如為域客戶端104或工作組設(shè)備156��,或?yàn)榭墒谟鑼?duì)域范圍服務(wù)的訪問(wèn)權(quán)的域帳戶。例如�,管理員可在本地或域數(shù)據(jù)庫(kù)中創(chuàng)建新帳戶并建立憑證,該憑證可包括用戶名和密碼�����。該密碼可以是用戶以后可修改的初始密碼�。管理員可將域憑證發(fā)送到云認(rèn)證機(jī)構(gòu)130并使用相應(yīng)用戶數(shù)據(jù)庫(kù)中的用戶名和密碼來(lái)建立帳戶���。該用戶的帳戶可被標(biāo)記為經(jīng)云認(rèn)證的帳戶����,并且當(dāng)該用戶登入該帳戶時(shí)��,該用戶的憑證可由云認(rèn)證機(jī)構(gòu)130認(rèn)證�。當(dāng)用戶具有經(jīng)云認(rèn)證的帳戶時(shí),該用戶可通過(guò)與云認(rèn)證機(jī)構(gòu)130直接通信來(lái)管理該帳戶�����。例如�,該用戶可以通過(guò)使用web瀏覽器連接到云認(rèn)證機(jī)構(gòu)用戶接口 134來(lái)改變他們的密碼或其他登入憑證。該用戶可首先認(rèn)證web瀏覽會(huì)話�,然后可輸入新的憑證。在一些實(shí)施例中,在域客戶端104或域服務(wù)器102上操作的軟件可使用戶能夠更新他們?cè)谠摫镜卦O(shè)備上的憑證并且使更新后的憑證被傳送到云認(rèn)證機(jī)構(gòu)130以進(jìn)行更新�����。域服務(wù)器102可具有硬件平臺(tái)�����,該硬件平臺(tái)具有處理器140�、隨機(jī)存取存儲(chǔ)器142、 以及非易失性存儲(chǔ)器或存儲(chǔ)144�。硬件組件IM還可包括用戶接口 146和網(wǎng)絡(luò)連接148。硬件組件IM可以是個(gè)人計(jì)算機(jī)�、服務(wù)器計(jì)算機(jī)、膝上型計(jì)算機(jī)或臺(tái)式計(jì)算機(jī)����、或任何其他計(jì)算設(shè)備。在一些實(shí)施例中�����,硬件組件1 可以是手持式計(jì)算設(shè)備���,諸如移動(dòng)電話�、個(gè)人數(shù)字助理、手持式掃描儀��、或其他設(shè)備�����。圖2是示出用于操作具有云認(rèn)證的客戶端設(shè)備的方法的實(shí)施例200的流程圖示�����。 實(shí)施例200是一種在使用云認(rèn)證時(shí)可由工作組或域客戶端設(shè)備執(zhí)行的方法�����。其他實(shí)施例可使用不同的排序���、附加或更少的步驟、以及不同的命名或術(shù)語(yǔ)來(lái)完成類似功能�����。在一些實(shí)施例中���,各個(gè)操作或操作集合可與其他操作以同步或異步方式并行地執(zhí)行�。此處所選的步驟是為了以簡(jiǎn)化的形式示出一些操作原理而選擇的。實(shí)施例200是可由域客戶端或工作組設(shè)備(諸如實(shí)施例100的域客戶端104或工作組設(shè)備156)執(zhí)行的認(rèn)證過(guò)程的示例�。實(shí)施例200示出一種用于在設(shè)備或域上認(rèn)證用戶的方法。在框202中����,可呈現(xiàn)登入屏幕,并且在框204中���,可接收用戶標(biāo)識(shí)和密碼�����。在框202和204中可使用許多不同機(jī)構(gòu)來(lái)從用戶接收憑證�。在個(gè)人計(jì)算機(jī)中��,登入屏幕可覆蓋顯示器并且僅在被適當(dāng)認(rèn)證時(shí)準(zhǔn)許訪問(wèn)�。在一些實(shí)例中,作為安全措施���,用戶可能需要按下鍵盤上的Control���、Alt和Delete來(lái)到達(dá)登入屏幕。在一些情況下�,用戶可通過(guò)出示其他類型的憑證來(lái)登入����。例如�,用戶可在指紋讀取設(shè)備上滑動(dòng)(swipe)手指、執(zhí)行視網(wǎng)膜掃描��、將他們的面部呈現(xiàn)在相機(jī)前方以進(jìn)行面部識(shí)別����、或其他生物測(cè)定掃描。在另一示例中�����,用戶可插入電子標(biāo)識(shí)可存儲(chǔ)于其上的卡或設(shè)備��。在框204中接收憑證之后�,在框206中可在本地?cái)?shù)據(jù)庫(kù)中查找所述憑證��?�??06 中的本地?cái)?shù)據(jù)庫(kù)查找可為所有憑證執(zhí)行�,不管所述憑證是經(jīng)域認(rèn)證的憑證還是經(jīng)云認(rèn)證的憑證。經(jīng)域認(rèn)證的憑證可以是其中域服務(wù)器是認(rèn)證授權(quán)機(jī)構(gòu)的那些憑證�。經(jīng)云認(rèn)證的憑證可以是其中云認(rèn)證機(jī)構(gòu)是認(rèn)證授權(quán)機(jī)構(gòu)的那些憑證�����。在實(shí)施例200的示例中�,該操作對(duì)于任一類型的認(rèn)證授權(quán)機(jī)構(gòu)是相同的�。如果在框208中在數(shù)據(jù)庫(kù)中找到了所述憑證,并且在框210中所述憑證匹配����,并且在框211中所述憑證是用于本地帳戶的,用戶在框212中可以用本地特權(quán)登錄并且在框214 中可以用本地特權(quán)操作客戶端設(shè)備�����。當(dāng)在框216中用戶完成并登出時(shí)��,該過(guò)程返回框202�����。
如果在框208中數(shù)據(jù)庫(kù)中不存在所述憑證����,則該用戶可能先前從未登入過(guò)該本地設(shè)備。在實(shí)施例200的客戶端設(shè)備中�,所有憑證被本地存儲(chǔ)�。經(jīng)域或云認(rèn)證的憑證的副本可被本地存儲(chǔ)以使得在網(wǎng)絡(luò)連接停止時(shí)或如果認(rèn)證機(jī)構(gòu)離線時(shí)認(rèn)證可進(jìn)行����。這使得用戶能夠獲得對(duì)該設(shè)備的訪問(wèn)權(quán)并至少執(zhí)行某些操作。當(dāng)在框208中所述憑證不存在時(shí)����,所述憑證可被傳送到域或云認(rèn)證機(jī)構(gòu)。當(dāng)實(shí)施例200的設(shè)備是域附連設(shè)備時(shí)����,在框218中可將所述憑證傳送到域認(rèn)證機(jī)構(gòu)。當(dāng)該設(shè)備是工作組設(shè)備時(shí)�����,在框208中可將所述憑證傳送到該云認(rèn)證機(jī)構(gòu)����。如果在框208中找到所述憑證但是在框210中不匹配�,則所述憑證可被傳遞到框 218。當(dāng)用戶輸入已知用戶名但是輸入不同的密碼時(shí)���,這種情況可能發(fā)生����。在框208中可找到該用戶名但是在框210中可能在用戶數(shù)據(jù)庫(kù)中找不到該密碼。在一些情況下�,用戶可能已登入云認(rèn)證機(jī)構(gòu)或其他域設(shè)備并改變了密碼或其他憑證。在這種情況下�,在框204中被出示的憑證會(huì)通過(guò)框208的檢查但是沒(méi)有通過(guò)框210的檢查。在這種情況下���,在框218中所述憑證可被傳遞到權(quán)威性認(rèn)證機(jī)構(gòu)�����。如果所述憑證通過(guò)了框208和210兩者��,但是在框211中所述憑證不是用于域帳戶的�����,則所述憑證可被傳遞到框218���。在實(shí)施例200中未示出的一些情況下,所述憑證可被接受并被用于域特權(quán)�。實(shí)施例200示出了其中每個(gè)域登入均由域授權(quán)機(jī)構(gòu)認(rèn)證的實(shí)施例。在框218中,所述憑證被傳送到認(rèn)證授權(quán)機(jī)構(gòu)的下一級(jí)���。在域授權(quán)機(jī)構(gòu)的情況下����, 所述憑證可被傳遞到該域認(rèn)證機(jī)構(gòu)����。具有云認(rèn)證的域服務(wù)器的操作可在本說(shuō)明書(shū)中稍后呈現(xiàn)的實(shí)施例300中示出。在工作組設(shè)備的情況下�,在框218中可將所述憑證傳送到該云認(rèn)證機(jī)構(gòu)。在框218中傳送所述憑證之后�����,該客戶端設(shè)備可等待�����,直到在框220中從該認(rèn)證授權(quán)機(jī)構(gòu)接收到令牌��。如果在框222中該令牌指示該認(rèn)證被批準(zhǔn)�����,則在框224中所述憑證可被存儲(chǔ)在本地用戶數(shù)據(jù)庫(kù)中���。如果在框226中所述憑證是用于本地訪問(wèn)的�,則該過(guò)程可前進(jìn)至框212�����, 在框212該用戶可登入該設(shè)備并以本地特權(quán)使用該設(shè)備�����。如果在框226中所述憑證是用于域訪問(wèn)的��,則在框2 中該用戶可以用域特權(quán)登入并且在框230中可以用域特權(quán)來(lái)操作���,直到在框232中登出����,該過(guò)程在這一點(diǎn)可返回至框202����。如果在框222中該令牌指示所述憑證沒(méi)有被認(rèn)證,則在框234中可生成錯(cuò)誤消息并且該過(guò)程可返回至框202�。圖3是示出用于操作具有云認(rèn)證的域服務(wù)器的方法的實(shí)施例300的流程圖示。實(shí)施例300是一種可由域服務(wù)器(諸如實(shí)施例100的域服務(wù)器10 執(zhí)行的方法。其他實(shí)施例可使用不同的排序�、附加或更少的步驟、以及不同的命名或術(shù)語(yǔ)來(lái)完成類似功能��。在一些實(shí)施例中�����,各個(gè)操作或操作集合可與其他操作以同步或異步方式并行地執(zhí)行�。此處所選的步驟是為了以簡(jiǎn)化的形式示出一些操作原理而選擇的。實(shí)施例300示出可使用云認(rèn)證機(jī)構(gòu)作為某些用戶帳戶的認(rèn)證授權(quán)機(jī)構(gòu)的認(rèn)證方法�。其他用戶帳戶可由該域認(rèn)證授權(quán)機(jī)構(gòu)來(lái)認(rèn)證。在框302中可從客戶端設(shè)備接收所述憑證���。在框302中接收的憑證可以是實(shí)施例 200的框218中傳送的相同憑證�。在框304中在該用戶數(shù)據(jù)庫(kù)中查找所述憑證�����。
10
如果所述憑證在框306中存在并且在框308中匹配���,則在框310中可返回令牌以接受域認(rèn)證�����。在這種情形下�,可使用域或云認(rèn)證來(lái)認(rèn)證該用戶�。當(dāng)在本實(shí)施例中使用云認(rèn)證時(shí),該云認(rèn)證機(jī)構(gòu)所接受的憑證的副本可被本地存儲(chǔ)并用于后續(xù)認(rèn)證�����??芍芷谛缘刂刂媒?jīng)云認(rèn)證的帳戶的憑證。在本說(shuō)明書(shū)中稍后呈現(xiàn)的實(shí)施例400中示出了一示例��,該示例可充當(dāng)致使所述經(jīng)云認(rèn)證的憑證被定期重新驗(yàn)證的機(jī)構(gòu)����。如果在框306中不存在所述憑證,并且在框311中所述憑證不是用于經(jīng)云認(rèn)證的帳戶的�,則在框324中可為失敗的認(rèn)證返回令牌。在一些實(shí)施例中���,在框306中存在新的一組憑證�,并且在框311中所述新的一組憑證可被標(biāo)識(shí)為經(jīng)云認(rèn)證的一組憑證��。所述憑證可按照其形式而被標(biāo)識(shí)為經(jīng)云認(rèn)證的憑證���, 諸如具有帶有來(lái)自云認(rèn)證機(jī)構(gòu)的域名的電子郵件地址��。一些實(shí)施例可被配置以使任何經(jīng)云認(rèn)證的帳戶可被授予對(duì)該域的訪問(wèn)權(quán)����。這樣的實(shí)施例可在該云認(rèn)證機(jī)構(gòu)在可位于公司或其他企業(yè)的控制之下的廣域網(wǎng)內(nèi)的情況下、或在具有對(duì)該云系統(tǒng)的訪問(wèn)權(quán)的任何用戶可被授予對(duì)該域的訪問(wèn)權(quán)的情況下使用�。如果所述憑證在框306被找到但是在框308不匹配,則該用戶可能輸入了已知用戶名但是輸入了不同的密碼��。如果在框311中所述憑證還用于云認(rèn)證帳戶��,則所述憑證可被發(fā)送到該云認(rèn)證機(jī)構(gòu)�。當(dāng)憑證被從框311發(fā)送到該云認(rèn)證機(jī)構(gòu)時(shí),在框312可加密所述憑證��,在框314可打開(kāi)安全連接��,并且在框316可將所述憑證傳送到該云認(rèn)證機(jī)構(gòu)�����。一些實(shí)施例可不包括加密和安全信道通信����。一些實(shí)施例可對(duì)所述憑證執(zhí)行散列并且用經(jīng)散列的值取代所述憑證的一些或全部的清楚文本版本來(lái)傳送����。在框318可從該云認(rèn)證機(jī)構(gòu)接收令牌��。該令牌可以是任何消息�、指示符���、或其他機(jī)構(gòu)來(lái)傳送該認(rèn)證請(qǐng)求的批準(zhǔn)或不批準(zhǔn)�����。在使用加密的實(shí)施例中�,該令牌可被加密以進(jìn)行傳送并且由域控制器解密����。如果該令牌指示所述憑證有效,則在框322所述憑證可被存儲(chǔ)在該本地?cái)?shù)據(jù)庫(kù)中�����,并且在框310可將指示接受所述憑證的令牌傳送給提出請(qǐng)求的客戶端設(shè)備�����。如果該令牌指示所述憑證無(wú)效,則在框234可將指示認(rèn)證失敗的令牌傳送到該客戶端設(shè)備����。實(shí)施例300的方法使用本地存儲(chǔ)的用戶數(shù)據(jù)庫(kù)來(lái)驗(yàn)證憑證。如果所述憑證在該數(shù)據(jù)庫(kù)中被找到并且適當(dāng)匹配�����,則可批準(zhǔn)認(rèn)證請(qǐng)求���,即便所述憑證是用于可能是經(jīng)云認(rèn)證的帳戶的�。為了避免所述憑證變得過(guò)時(shí)或使用戶直接用該云認(rèn)證機(jī)構(gòu)更新所述憑證��,所述憑證可被刪除或期滿�����。實(shí)施例400中呈現(xiàn)了這種方法的一個(gè)示例�����。圖4是示出用于強(qiáng)制對(duì)經(jīng)云認(rèn)證的憑證的更新的方法的實(shí)施例400的流程圖示����。 實(shí)施例400是一種可由本地認(rèn)證機(jī)構(gòu)執(zhí)行的方法�����,該本地認(rèn)證機(jī)構(gòu)可為工作組或域認(rèn)證機(jī)構(gòu)����。其他實(shí)施例可使用不同的排序���、附加或更少的步驟����、以及不同的命名或術(shù)語(yǔ)來(lái)完成類似功能���。在一些實(shí)施例中,各個(gè)操作或操作集合可與其他操作以同步或異步方式并行地執(zhí)行��。此處所選的步驟是為了以簡(jiǎn)化的形式示出一些操作原理而選擇的�����。在框402中����,可用云憑證來(lái)更新該本地或域用戶數(shù)據(jù)庫(kù)�?�??02可表示用于本地?cái)?shù)據(jù)庫(kù)(諸如工作組設(shè)備或域客戶端)的框224���?����??02還可表示用于域服務(wù)器的框322的動(dòng)作����。在框404中可記錄更新時(shí)間��,并且在框406中計(jì)時(shí)器可進(jìn)行�����,直到預(yù)定時(shí)間已流逝����。一旦該預(yù)定時(shí)間已流逝,在框408中可強(qiáng)制所述憑證期滿���。一種強(qiáng)制所述憑證期滿的機(jī)制可以是擦除密碼或所述憑證的其他部分�。在一些情況下,所述憑證可與一標(biāo)志一起存儲(chǔ)�����,所述標(biāo)志指示所述憑證可在下次登入時(shí)被該云認(rèn)證機(jī)構(gòu)刷新�����。當(dāng)所述憑證期滿或被刪除時(shí)�����,分別在實(shí)施例200和300中的框210或框308中的失敗憑證匹配的條件會(huì)被觸發(fā)�。該條件可致使所述憑證被傳送到該云認(rèn)證機(jī)構(gòu)并被驗(yàn)證, 然后被存儲(chǔ)在該本地?cái)?shù)據(jù)庫(kù)中�。當(dāng)所述憑證被存儲(chǔ)在該本地?cái)?shù)據(jù)庫(kù)中時(shí)����,它們可被用于認(rèn)證,直到達(dá)到框406的預(yù)定時(shí)間���,而所述憑證在后續(xù)登入時(shí)被再次刷新�����。對(duì)本發(fā)明的上述描述是出于圖示和描述的目的而呈現(xiàn)的�����。它不旨在窮舉本主題或?qū)⒈局黝}限于所公開(kāi)的精確形式�����,并且鑒于上述教導(dǎo)其他修改和變型都是可能的����。選擇并描述實(shí)施例來(lái)最好地解釋本發(fā)明的原理及其實(shí)踐應(yīng)用,由此使本領(lǐng)域的其他技術(shù)人員能夠在各種實(shí)施例和各種適于所構(gòu)想的特定用途的修改中最好地利用本發(fā)明���。所附權(quán)利要求書(shū)旨在被解釋為包括除受現(xiàn)有技術(shù)所限的范圍以外的其他替換實(shí)施例���。
權(quán)利要求
1.一種域服務(wù)器,包括 處理器�;到多個(gè)客戶端設(shè)備的局域網(wǎng)連接; 到云認(rèn)證機(jī)構(gòu)的廣域網(wǎng)連接���; 包括用戶標(biāo)識(shí)和密碼的數(shù)據(jù)庫(kù)����;域認(rèn)證機(jī)構(gòu),所述域認(rèn)證機(jī)構(gòu)被配置成執(zhí)行包括以下動(dòng)作的方法 從第一客戶端設(shè)備接收第一認(rèn)證請(qǐng)求���,所述認(rèn)證請(qǐng)求包括第一用戶標(biāo)識(shí)和第一密碼�; 將所述第一用戶標(biāo)識(shí)和所述第一密碼傳送到所述云認(rèn)證機(jī)構(gòu)�; 從所述云認(rèn)證機(jī)構(gòu)接收第一接受令牌;基于所述第一接受令牌����,將所述第一用戶標(biāo)識(shí)和所述第一密碼存儲(chǔ)在所述數(shù)據(jù)庫(kù)中;以及將第二接受令牌傳送到所述第一客戶端設(shè)備���。
2.如權(quán)利要求1所述的域服務(wù)器�����,其特征在于����,所述方法還包括從第二客戶端設(shè)備接收第二認(rèn)證請(qǐng)求�,所述第二認(rèn)證請(qǐng)求包括所述第一用戶標(biāo)識(shí)和所述第一密碼�����;在所述數(shù)據(jù)庫(kù)中查找所述第一用戶標(biāo)識(shí)和所述第一密碼并確定在所述數(shù)據(jù)庫(kù)中找到所述第一用戶標(biāo)識(shí)和所述第一密碼;以及將第三接受令牌傳送到所述第二客戶端設(shè)備而不執(zhí)行云認(rèn)證�����。
3.如權(quán)利要求2所述的域服務(wù)器���,其特征在于���,所述第一用戶標(biāo)識(shí)被標(biāo)識(shí)為經(jīng)云認(rèn)證的用戶標(biāo)識(shí)。
4.如權(quán)利要求1所述的域服務(wù)器���,其特征在于����,所述方法還包括從所述第一客戶端設(shè)備接收第三認(rèn)證請(qǐng)求����,所述第三認(rèn)證請(qǐng)求包括所述第一用戶標(biāo)識(shí)和第二密碼;檢查所述數(shù)據(jù)庫(kù)以確定所述第一用戶標(biāo)識(shí)和所述第二密碼不匹配所述數(shù)據(jù)庫(kù)�; 將所述第一用戶標(biāo)識(shí)和所述第二密碼傳送到所述云認(rèn)證機(jī)構(gòu); 從所述云認(rèn)證機(jī)構(gòu)接收第三接受令牌�����;以及基于所述第三接受令牌,將第四接受令牌傳送到所述第一客戶端設(shè)備并通過(guò)移除所述第一密碼并存儲(chǔ)所述第二密碼來(lái)更新所述數(shù)據(jù)庫(kù)��。
5.如權(quán)利要求4所述的域服務(wù)器���,其特征在于�����,所述方法還包括從所述第一客戶端設(shè)備接收第四認(rèn)證請(qǐng)求�����,所述第四認(rèn)證請(qǐng)求包括所述第一用戶標(biāo)識(shí)和所述第二密碼��;檢查所述數(shù)據(jù)庫(kù)以確定所述第一用戶標(biāo)識(shí)和所述第二密碼不匹配所述數(shù)據(jù)庫(kù)�����; 將所述第一用戶標(biāo)識(shí)和所述第二密碼傳送到所述云認(rèn)證系統(tǒng)����; 從所述云認(rèn)證機(jī)構(gòu)接收第一失敗令牌�����;以及基于所述第一失敗令牌����,將第二失敗令牌傳送到所述第一客戶端設(shè)備。
6.如權(quán)利要求1所述的域服務(wù)器�,其特征在于,所述第一用戶標(biāo)識(shí)具有云認(rèn)證標(biāo)識(shí)符�。
7.如權(quán)利要求6所述的域服務(wù)器,其特征在于���,所述方法包括從第二客戶端設(shè)備接收第二認(rèn)證請(qǐng)求���,所述第二認(rèn)證請(qǐng)求包括第二用戶標(biāo)識(shí)和第二密碼;確定所述第二用戶標(biāo)識(shí)具有本地認(rèn)證指示符�;檢查所述數(shù)據(jù)庫(kù)來(lái)確定所述第二用戶標(biāo)識(shí)和所述第二密碼匹配所述數(shù)據(jù)庫(kù),生成失敗令牌���,并且傳送所述失敗令牌而不執(zhí)行云認(rèn)證�。
8.如權(quán)利要求1所述的域服務(wù)器���,其特征在于����,到所述云認(rèn)證機(jī)構(gòu)的所述傳送是使用安全連接執(zhí)行的。
9.如權(quán)利要求1所述的域服務(wù)器���,其特征在于��,所述方法還包括對(duì)所述第一密碼執(zhí)行散列以生成經(jīng)散列的值并將所述第一密碼以所述經(jīng)散列的值的形式傳送到所述云認(rèn)證機(jī)構(gòu)�。
10.如權(quán)利要求1所述的域服務(wù)器�����,其特征在于��,所述廣域網(wǎng)連接包括通過(guò)所述局域網(wǎng)連接到網(wǎng)關(guān)到所述廣域網(wǎng)的連接�����。
11.如權(quán)利要求1所述的域服務(wù)器��,其特征在于�����,還包括期滿機(jī)構(gòu),所述期滿機(jī)構(gòu)被配置成確定自從所述存儲(chǔ)所述第一用戶標(biāo)識(shí)起何時(shí)預(yù)定時(shí)間量已流逝并致使所述第一密碼期滿����。
12.如權(quán)利要求11所述的域服務(wù)器,其特征在于�,所述致使所述第一密碼期滿包括從所述數(shù)據(jù)庫(kù)擦除所述第一密碼�����。
13.如權(quán)利要求1所述的域服務(wù)器���,其特征在于�,所述數(shù)據(jù)庫(kù)是位于第二域服務(wù)器上的第二數(shù)據(jù)庫(kù)的重復(fù)��,所述第二域服務(wù)器被配置成認(rèn)證用戶��。
14.一種工作組計(jì)算機(jī)�����,包括 處理器����;到云認(rèn)證機(jī)構(gòu)的廣域網(wǎng)連接; 包括用戶標(biāo)識(shí)和密碼的數(shù)據(jù)庫(kù)�����;認(rèn)證機(jī)構(gòu),所述認(rèn)證機(jī)構(gòu)被配置成執(zhí)行包括以下動(dòng)作的方法接收第一用戶的第一認(rèn)證請(qǐng)求�,所述第一認(rèn)證請(qǐng)求包括第一用戶標(biāo)識(shí)和第一密碼;將所述第一用戶標(biāo)識(shí)和所述第一密碼傳送到所述云認(rèn)證機(jī)構(gòu)����;從所述云認(rèn)證機(jī)構(gòu)接收第一接受令牌;基于所述第一接受令牌�,將所述第一用戶標(biāo)識(shí)和所述第一密碼存儲(chǔ)在所述數(shù)據(jù)庫(kù)中;以及準(zhǔn)許所述第一用戶對(duì)所述工作組計(jì)算機(jī)的訪問(wèn)���。
15.如權(quán)利要求14所述的工作組計(jì)算機(jī)�����,其特征在于�����,所述方法還包括接收所述第一用戶的第二認(rèn)證請(qǐng)求���,所述第二認(rèn)證請(qǐng)求包括所述第一用戶標(biāo)識(shí)和所述第一密碼;在所述數(shù)據(jù)庫(kù)中查找所述第一用戶標(biāo)識(shí)和所述第一密碼并確定在所述數(shù)據(jù)庫(kù)中找到所述第一用戶標(biāo)識(shí)和所述第一密碼;以及準(zhǔn)許所述第一用戶對(duì)所述工作組計(jì)算機(jī)的訪問(wèn)而不執(zhí)行云認(rèn)證��。
全文摘要
局域網(wǎng)中的認(rèn)證機(jī)構(gòu)可使用云認(rèn)證機(jī)構(gòu)來(lái)允許或拒絕認(rèn)證請(qǐng)求�。用戶可通過(guò)輸入云標(biāo)識(shí)和密碼來(lái)獲得局域網(wǎng)內(nèi)的訪問(wèn),所述云標(biāo)識(shí)和密碼可由云認(rèn)證機(jī)構(gòu)驗(yàn)證�。如果認(rèn)證從云認(rèn)證機(jī)構(gòu)成功,則用戶標(biāo)識(shí)和密碼被本地存儲(chǔ)以供后續(xù)認(rèn)證請(qǐng)求���。在一些實(shí)施例中,云密碼可被周期性地清除(flush)以使后續(xù)請(qǐng)求可被傳遞到該云認(rèn)證機(jī)構(gòu)�����。該認(rèn)證機(jī)構(gòu)在域和工作組局域網(wǎng)中均可使用�,并且可與可具有局域網(wǎng)或客戶端憑證的其他用戶并行操作,所述局域網(wǎng)或客戶端憑證可不從該云認(rèn)證�����。
文檔編號(hào)H04L9/32GK102598577SQ201080047506
公開(kāi)日2012年7月18日 申請(qǐng)日期2010年10月12日 優(yōu)先權(quán)日2009年10月23日
發(fā)明者C·J·薩雷托, J·謝, L·馬祖爾, S·D·丹尼爾 申請(qǐng)人:微軟公司