本发明专利技术的各方面公开了一种用于管理和使用共享认证凭证的方法、计算机程序产品和系统。该方法包括一个或多个处理器用对应于与使用认证凭证相对应的计算设备的媒体访问控制地址(MAC地址)来更新与认证凭证相关联的使用信息。该方法进一步包括一个或多个处理器从计算设备接收包括认证凭证的登录请求。该方法还包括一个或多个处理器取得发送登录请求的计算设备的MAC地址。该方法还包括一个或多个处理器验证认证凭证和MAC地址。理器验证认证凭证和MAC地址。理器验证认证凭证和MAC地址。
【技术实现步骤摘要】
共享认证凭证的管理
[0001]本专利技术一般涉及安全领域,尤其涉及管理共享认证凭证。
技术介绍
[0002]安全外壳(SSH)是用于在不安全网络上安全地操作网络服务的加密网络协议。典型的应用包括远程命令行、登录、和远程命令执行,但是任何网络服务都可以用SSH来保护。SSH通过使用客户端
‑
服务器体系结构并将SSH客户端应用程序与SSH服务器连接来在不安全网络上提供安全信道。SSH通常被用于登录远程机器并执行命令,但SSH也支持隧道技术、转发传输控制协议(TCP)端口和X11连接。此外,SSH可以使用相关联的SSH文件传输(SFTP)或安全复制(SCP)协议来传输文件。SSH是可用于跨不同平台(例如,不同操作系统)的许多不同类型的应用程序的协议。
[0003]媒体访问控制地址(MAC地址)是被分配给网络接口控制器(NIC)的唯一标识符,用作在网段内通信中的网络地址。该使用在大多数IEEE802联网技术(包括以太网、Wi
‑
Fi和蓝牙)中是常见的。在开放系统互连(OSI)网络模型中,MAC地址被用在数据链路层的媒体访问控制协议子层中。如典型表示的,MAC地址可识别为六组两个十六进制数字,由连字符、冒号来分隔或者没有分隔符。MAC地址主要由设备制造商分配,因此,通常被称为烧录地址或者以太网硬件地址、硬件地址或物理地址。每个地址可以被存储在硬件(例如卡的只读存储器)中,或者通过固件机制来存储。
技术实现思路
[0004]本专利技术的各方面公开了一种用于管理和使用共享认证凭证的方法、计算机程序产品和系统。该方法包括一个或多个处理器用对应于与使用认证凭证相对应的计算设备的媒体访问控制地址(MAC地址)来更新与认证凭证相关联的使用信息。该方法进一步包括一个或多个处理器从计算设备接收包括认证凭证的登录请求。该方法还包括一个或多个处理器取得发送登录请求的计算设备的MAC地址。该方法还包括一个或多个处理器验证认证凭证和MAC地址。
附图说明
[0005]图1是根据本专利技术的实施例的数据处理环境的功能框图。
[0006]图2是根据本专利技术的实施例的描绘用于管理和跟踪共享认证凭证的使用的程序的操作步骤的流程图。
[0007]图3是根据本专利技术的实施例的描绘用于验证认证凭证的程序的操作步骤的流程图。
[0008]图4描绘了根据本专利技术的实施例的表示图1的客户端设备、共享ID管理系统和认证系统的计算系统的组件的框图。
具体实施方式
[0009]本专利技术的实施例允许一种扩展共享认证凭证(例如,共享标识(ID)凭证和密码)的使用的功能的过程,尤其是在信息技术(IT)基础设施环境中。因此,本专利技术的实施例操作以通过创建避免密码的共享绕过更完全实现的共享认证凭证系统的技术解决方案来扩展现有工具和系统的功能。本专利技术的实施例操作以在签出(check out)和签入(check in)认证凭证的过程中并入请求用户的设备的媒体访问控制地址(MAC地址)。
[0010]本专利技术的一些实施例认识到,共享认证凭证是IT基础设施的标准特征,并且用于为执行特定任务集的一组用户提供公共身份。本专利技术的实施例认识到,共享认证凭证的当前实现包括正弦问题,诸如:跟踪哪个用户已使用共享认证凭证用于特定操作的可追究性(accountability),由于共享用于共享ID的密码而导致的合规违反,共享认证凭证的潜在误用(例如,安全漏洞等),审计风险和复杂性等。
[0011]此外,本专利技术的实施例认识到,现有的用于共享认证凭证服务的方法利用签出和签入过程来维持个体可追究性,并且认为与共享认证凭证相对应的用户严格遵循签出过程和签入过程以维护共享认证凭证的使用日志的安全性和可追究性。因此,本专利技术的实施例认识到,现有的用于共享认证凭证工具的方法有许多潜在泄漏的区域。例如,在签出时,密码可以从一个用户共享到另一个个体,绕过完整的签出和签入过程。
[0012]此外,本专利技术的实施例认识到,如果用户在使用之后没有正确地签入凭证(例如,并改变对应的密码),则共享认证凭证可保持可用于潜在的误用。进一步地,本专利技术的实施例认识到,当前的实现针对合规利用人工过程(例如,经由合规团队)来监视共享认证凭证使用,以努力确保遵循正确的过程。
[0013]本专利技术的各种实施例用于扩展由现有的用于共享认证凭证的工具提供的功能以创建实现共享认证凭证的技术方案,同时避免共享凭证绕过共享认证凭证系统。本专利技术的实施例提供了一种包括接收新密码的签出过程。接收新密码的事务链接(绑定)了提供对认证凭证的请求的系统的MAC地址,并用用于凭证的所链接的MAC地址的指示来更新对应的服务器或数据库记录。进一步地,本专利技术的实施例修改登录脚本或对应的安全外壳(SSH)协议以包括用于在授权共享认证凭证作为有效登录之前匹配MAC地址的设置。
[0014]因此,本专利技术的实施例利用对应系统的MAC地址作为另一个认证因素并结合认证凭证。因此,当执行登录的设备的MAC地址与被链接到认证凭证的MAC地址(即,签出认证凭证的系统/设备的MAC地址)相匹配时,登录将成功。在使用之后,用户签入共享认证凭证,并且本专利技术的实施例可用于更新共享认证凭证的密码,从而降低被其他个体使用(无需签出)的可能性。此外,本专利技术的实施例可以维护与共享认证凭证相关联的MAC地址,直到另一个用户(和设备)完成签出。
[0015]本专利技术的实施例的实现可以采取各种形式,随后参考附图讨论示例性实现细节。
[0016]现在将参照附图详细描述本专利技术。图1是示出根据本专利技术的一个实施例的分布式数据处理环境(通常标记为100)的功能框图。图1仅提供了一种实现的图示,并且不暗示对其中可实现不同实施例的环境的任何限制。本领域技术人员可以对所描述的环境进行许多修改,而不偏离权利要求所陈述的本专利技术的范围。
[0017]数据处理环境100的实施例包括客户端设备110、客户端设备120、共享ID管理系统130和认证系统140,它们都通过网络105互连。在示例实施例中,共享ID管理系统130表示管
理用于一组用户(例如,与企业相关联的一组用户)的共享认证凭证的计算系统(例如,一个或多个管理服务器),该组用户是诸如与客户端设备110和客户端设备120相关联的用户。在另一个示例实施例中,认证系统140表示向受保护资源和/或资产提供对利用来自共享ID管理系统130的共享认证凭证的用户(例如,与客户端设备110和客户端设备120相关联的用户)的认证服务的计算系统(例如,一个或多个管理服务器)。在其他实施例中,根据本专利技术的各种实施例,数据处理环境100可以包括附加的可与共享ID管理系统130和认证系统140相接的计算设备(未示出)的实例。
[0018]网络105可以是例如局域网(LAN)、电信网络、诸如互联网的广域网(WAN)、或这三者的任何组合,并且包括有线、无线或光纤连接。通常,根据本专利技术的实施例,网络105可以是支持客户端设备110、客户端设备120、共享ID管理系统130和认证系统140本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:由一个或多个处理器用对应于与使用认证凭证相对应的相应计算设备的媒体访问控制MAC地址来更新与所述认证凭证相关联的使用信息;由一个或多个处理器从计算设备接收包括所述认证凭证的登录请求;由一个或多个处理器取得发送所述登录请求的所述计算设备的MAC地址;以及由一个或多个处理器验证所述认证凭证和所述MAC地址。2.根据权利要求1所述的方法,还包括:响应于确定对所述认证凭证和所述MAC地址的验证通过,由一个或多个处理器授权所述计算设备访问。3.根据权利要求1所述的方法,还包括:响应于确定对所述认证凭证和所述MAC地址的验证未通过,由一个或多个处理器限制所述计算设备的访问。4.根据权利要求1所述的方法,其中,用对应于与使用认证凭证相对应的相应计算设备的MAC地址来更新与所述认证凭证相关联的使用信息进一步包括:由一个或多个处理器加密所述MAC地址;以及由一个或多个处理器将加密后的MAC地址存储在所述使用信息中,指示所述认证凭证的使用被绑定到所述MAC地址。5.根据权利要求1所述的方法,其中,所述认证凭证是与多个潜在用户相关联的共享认证凭证。6.根据权利要求1所述的方法,其中,验证所述认证凭证和所述MAC地址进一步包括:由一个或多个处理器确定所述认证凭证是否与有效认证凭证数据库中的信息相匹配;以及由一个或多个处理器确定所取得的发送所述登录请求的所述计算设备的MAC地址是否与在与所述认证凭证相关联的所述使用信息中的MAC地址相匹配。7.根据权利要求1所述的方法,其中,取得发送所述登录请求的所述计算设备的MAC地址进一步包括:由一个或多个处理器通过安全外壳(SSH)协议通信来接收指示发送所述登录请求的所述计算设备的MAC地址的信息。8.根据权利要求3所述的方法,其中,限制所述计算设备的访问进一步包括:响应于确定所取得的发送所述登录请求的所述计算设备的MAC地址与在与所述认证凭证相关联的所述使用信息中的MAC地址不匹配,由一个或多个处理器阻止所述计算设备。9.一种计算机程序产品,包括:一个或多个计算机可读存储介质和存储在所述一个或多个计算机可读存储介质上的程序指令,所述程序指令包括:用对应于与使用认证凭证相对应的相应计算设备的媒体访问控制MAC地址来更新与所述认证凭证相关联的使用信息的程序指令;从计算设备接收包括所述认证凭证的登录请求的程序指令;取得发送所述登录请求的所述计算设备的MAC地址的程序指令;以及验证所述认证凭证和所述MAC地址的程序指令。
10.根据权利要求9所述的计算机程序产品,还包括:存储在所述一个或多个计算机可读存储介质上的程序指令以:响应于确定对所述认证凭证和所述MAC地址的验证通过,授权所述计算设备访问。11.根据权利要求9所述的计算机程序产品,还包括:存储在所述一个或多个计算机可读存储介质上的程序指...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。