通过恰好准时开通的账户来提供网络安全的技术

摘要

通过恰好准时(JIT)开通的账户来遏制攻击者的横向移动的技术包括账户管理组件，该账户管理组件经由客户端端设备从第一账户接收对用以访问一组服务器设备中的服务器设备的第二账户的请求；账户授权组件，该账户授权组件至少部分基于与第一账户关联的账户信息授权对第二账户的请求；账户开通组件，该账户开通组件开通第二账户，以使得客户端能够访问服务器设备；以及账户通知组件，该账户通知组件经由客户端端设备向客户端提供与第二账户关联的账户信息。描述并要求保护其他实施例。

说明书

背景技术

随着各种高节奏开发方法现今可用于设计软件即服务(SaaS)系统，大量用户(例如，测试者、工程师、承包人、内部顾客和/或外部顾客)可能需要为了每天测试、升级、调试、开发、部署和/或维护托管SaaS系统的一个或多个服务的服务器的目的而访问这些服务器。随着大量用户需要访问服务器，每个用户可以被授予访问这些服务器的一个或多个用户账户。然而，随着用户账户的数量增大，所关联的安全风险同样增大。这是因为每个额外的用户账户可能暴露攻击者的潜在入口点，因此增大攻击者获得未授权访问的攻击面或向量。这些潜在入口点在一些用户账户可能具有提升特权(例如，管理特权)以便执行它们的日常任务时变得特别成问题。即使在攻击者最初不具有对具有提升特权的用户账户的访问时，攻击者也可以采用诸如例如“传递散列攻击”的技术以获得对具有提升特权的用户账户的访问，以便破坏SaaS系统的服务。攻击者进行的这种未经授权的访问可能引起对业务的相当大的伤害，并且引起顾客的严重安全和隐私忧虑。

发明内容

下面提出了简化的概述，以便提供这里所述的一些新的实施例的基本理解。该概述不是广泛的概括，并且不旨在识别关键/重要元素或不旨在描写其范围。该概述的唯一目的是以简化形式将一些构思提出为稍后提出的更详细描述的前序。

各种实施例总地针对通过经由恰好准时(Just-in-Time,JIT)开通账户或JIT账户来遏制攻击者的横向移动来增强网络安全的技术。一些实施例特别针对用于管理JIT账户的技术。在一个实施例中，例如，一种装置可以包括：处理器电路；和用于由该处理器电路执行的服务器应用。该服务器应用可以包括：账户管理组件，该账户管理组件经由客户端端设备从第一账户接收对用以访问一组服务器设备中的服务器设备的第二账户的请求；账户授权组件，该账户授权组件至少部分基于与该第一账户关联的账户信息授权对该第二账户的该请求；账户开通组件，该账户开通组件开通该第二账户，以使得客户端能够访问该服务器设备；以及账户通知组件，该账户通知组件经由该客户端端设备向该客户端提供与该第二账户关联的账户信息。描述并要求保护其他实施例。

为了完成前述及相关目标，这里关于以下描述和附图描述特定说明性方面。这些方面指示可以实践这里所公开的原理的各种方式，并且所有方面及其等同物旨在处于所要求保护的主题的范围内。其他优点和新的特征在连同附图考虑时将从以下详细描述变得清楚。

附图说明

图1图示了用于开通JIT账户的JIT账户开通系统的实施例。

图2图示了用于将一个或多个资源和/或资产分割、开通和/或配置到一个或多个违约边界中的JIT账户开通系统的另一个实施例。

图3图示了用于授权客户端并管理与JIT账户关联的认证令牌的JIT账户开通系统的又一实施例。

图4A图示了用于开通JIT账户的逻辑流程的实施例。

图4B图示了用于授权对具有提升访问权限的JIT账户的所接收的请求的逻辑流程的实施例。

图4C图示了用于启用开通的JIT账户的逻辑流程的实施例。

图4D图示了用于配置与JIT账户关联的访问权限的逻辑流程的实施例。

图4E图示了用于管理与JIT账户关联的寿命的逻辑流程的实施例。

图5图示了计算架构的实施例。

具体实施方式

各种实施例针对网络账户开通系统，该网络账户开通系统被布置为通过实施违约边界和证书的划分来提供身份分割。通过使用违约边界并向服务、管理和/或使用与SaaS系统关联的一个或多个资源和/或资产的客户端提供恰好准时(JIT)账户，可以显著提高SaaS系统的安全和隐私。为了实现这些和其他改进，网络账户开通系统通常可以被布置为将SaaS系统的至少一部分(例如，域)划分或分割为两个或更多个违约边界，其中每个违约边界可以与一个或多个资源和/或资产(例如，服务器、工作站、计算设备、移动设备、应用、服务和/或软件/硬件组件)关联，并且还与安全组关联，该安全组被布置为管理对该违约边界内的这些资源的访问权限。

为了使得客户端(例如，用户、工程师、承包人、顾客和/或软件/硬件组件)能够访问这些资源和/或资产，JIT账户开通系统还可以被布置为增加一个或多个JIT账户，作为与包括这些资源和/或资产的违约边界关联的安全组中的成员。以该方式，JIT账户可以使得具有拥有较低或最低特权和/或权限的现有账户的客户端能够获得具有提升特权的JIT账户，以执行可能需要提升特权以执行的一个或多个服务(例如，测试、升级、调试、开发、部署和/或维护SaaS系统的一个或多个资源)。

为了获得用于对SaaS系统中的一个或多个资源和/或资产执行一个或多个服务的、具有提升特权的JIT账户，JIT账户开通系统可以被布置为从客户端接收对提升访问权限的请求，以便访问SaaS系统的资源和/或资产。作为响应，JIT账户开通系统可以被布置为开通作为对提升访问权限的请求的一部分的JIT账户。每个请求还可以与由客户端提供的所请求的角色和范围关联，使得JIT账户开通系统可以用执行如由客户端请求的任务或服务所需的最小范围的权限来开通每个JIT账户。

一旦请求被另一个客户端批准和/或被JIT账户开通系统自动验证，则JIT账户开通系统可以被进一步布置为响应于批准而创建所请求的角色和范围的JIT账户。在与客户端关联的JIT账户已存在时的情况下，JIT账户开通系统可以被布置为将之前创建的现有JIT账户重新用于由客户端所请求的同一或基本上类似的角色和范围。通过连同重新使用之前创建的JIT账户懒散地开通JIT账户，可以显著减少JIT账户开通系统可能需要管理的JIT账户的数量。

为了通知客户端请求是否已经被验证、批准和/或拒绝，JIT账户开通系统还可以被布置为向客户端提供对具有提升访问权限的JIT账户的请求是否已经被验证、批准和/或拒绝的通知。如果已验证和/或批准对具有提升访问权限的JIT账户的请求，则JIT账户开通系统还可以关于批准通知客户端并提供与所开通的JIT账户关联的JIT账户信息。客户端然后可以以提升访问权限来使用JIT账户信息来访问和/或服务所开通的JIT账户的角色和范围内的一个或多个资源和/或资产。

为了进一步确保SaaS系统的安全和隐私，JIT账户开通系统还可以被布置为使每个JIT账户与寿命(例如，4小时)关联，使得每个JIT账户可以在它们的关联寿命结束时停用。与每个账户关联的寿命可以由客户端在它们对JIT账户的请求中明确地提供。另外地或备选地，寿命可以内在于与特定JIT账户关联的范围和角色。对于长时间段(例如，月)保持不活跃的一个或多个JIT账户，JIT账户开通系统还可以被布置为从JIT账户开通系统去除或破坏不活跃的JIT账户。

作为结果，JIT账户开通系统可以通过限制违约边界之间的攻击者的横向移动来提高SaaS系统的安全和隐私，并且将攻击者限于单个违约边界，使得攻击者通过危害JIT账户可以做的最大限度是在同一影响范围内的资源和/或资产之间横向移动。因为攻击者通常将被限于较低或最低等级的访问权限并且对具有提升访问权限的JIT账户的任意请求可能需要之前批准，所以JIT账户开通系统还使得与客户端关联的任意现有客户端账户对攻击者是不感兴趣的。即使在危害具有提升访问权限的JIT账户时，攻击者将被限于单个违约边界，并且它们的访问将在JIT账户变得停用之前具有有限寿命。以该方式，可以大幅提高SaaS系统的安全和隐私。

一般地参考这里所用的注释和命名，接着的具体实施方式可以根据在计算机或计算机的网络上执行的程序过程来提出。这些过程式的描述和陈述由本领域技术人员用来向本领域中其他技术人员最有效地传达他们工作的主旨。

过程在这里且通常被考虑为产生期望结果的自相一致的操作序列。这些操作为需要物理量的物理操纵的操作。通常，虽然不是必须的，这些量采取能够被存储、传递、组合、比较且以其他方式操纵的电、磁或光信号的形式。有时，原理上出于普通用途的原因，将这些信号称为位、值、元素、符号、字符、项、数字等证明是方便的。然而，应理解这些和类似项中的全部要与适当的物理量关联，并且仅为应用于这些量的方便标记。

进一步地，所执行的操纵通常以通常与由人工操作者执行的智力操作关联的诸如添加或比较的术语来指代。人工操作者的这种能力在这里所述的、形成一个或多个实施例的一部分的操作中的任意操作中不是必须的或者在多数情况下不是期望的。相反，操作为机器操作。用于执行各种实施例的操作的有用机器包括通用数字计算机或类似设备。

各种实施例还涉及用于执行这些操作的装置或系统。该装置可以为了所需的目的而特别构建或它可以包括如由计算机中所存储的计算机程序选择性激活或重新配置的通用计算机。这里所提出的程序并非固有地与特定计算机或其他装置相关。各种通用机器可以与根据这里的示教而编写的程序一起使用，或者构建用于执行所需的方法步骤的更专业化的装置可以被证明是方便的。用于各种这些机器的所需的结构将从给出的描述出现。

现在对附图进行参考，其中类似的附图标记用来自始至终指代类似的元件。在以下描述中，为了说明的目的，阐述大量具体细节，以便提供描述的彻底理解。然而，可以明显的是，新的实施例可以在没有这些具体细节的情况下实践。在其他情况下，公知结构和设备以框图形式来示出，以便有助于公知结构和设备的描述。目的是覆盖与所要求保护的主题一致的全部修改例、等同例以及变型例。

图1图示了JIT账户开通系统100的实施例。在各种实施例中，JIT账户开通系统100可以在企业计算环境150(例如，云存储系统、数据中心等)中实施或用企业计算环境150实施，该企业计算环境150包括一个或多个客户端102-a(例如，用户、工程师、承包人、顾客和/或软件/硬件组件)，其中每个客户端(例如，客户端102-1或客户端102-2)可以与一个或多个客户端账户关联，并且一个或多个客户端账户中的每个客户端账户还可以与客户端账户信息关联。客户端账户信息可以包括但不限于客户端账户验证信息(例如，用户主体名(UPN)、账户标识符、账户密码或其散列和/或散布衍生物、账户域、智能卡证书、生物统计学等)、客户端账户授权信息(例如、客户端账户角色和范围信息、访问权限、关联组等)、和/或与一个或多个客户端102-a的验证和授权相关的任意其他信息。

一个或多个客户端102-a可以使用一个或多个客户端账户来请求具有用于服务一个或多个资源和/或资产的提升访问权限的JIT账户，一个或多个资源和/或资产诸如例如被布置为提供一个或多个SaaS系统(例如，微软Office 365、微软Exchange Online、微软SharePoint Online、微软Dynamics CRM等)的一个或多个服务的服务器设备140-i-j。服务器设备140-i-j还可以经由网络互连112在彼此之间和之中互连，以便提供SaaS系统的服务。可以理解，各种实施例中的服务器设备140-i-j仅为了说明而非限制的目的而参考。因此，各种实施例中的服务器设备140-i-j的任意或全部可以用任意其他资源和/或资产来替换，任意其他资源和/或资产诸如例如虚拟设备、工作站、计算设备、移动设备、应用、服务和/或其他软件/硬件组件。

还值得注意的是，如这里所用“a”、“b”、“c”以及类似标识符旨在为代表任意正整数的变量。因此，例如，如果实施方式设置值a＝2，那么完整的一组客户端102-a可以包括客户端102-1和102-2。在另一个示例中，如果实施方式设置值i＝1且j＝6，那么完整的一组服务器设备140-i-j可以包括服务器设备140-1-1、14-1-2、140-1-3、140-1-4、140-1-5以及140-1-6。实施例不限于该上下文中。

JIT账户开通系统100可以包括由客户端102-a用于经由网络互连112服务一个或多个SaaS系统的服务器设备140-i-j(例如，测试、升级、调试、开发、部署和/或维护SaaS系统的一个或多个资源和/或资产)的一个或多个客户端端设备104-b(例如，膝上型计算机、计算机、电话、工作站或任意其他计算设备)。而且，网络互连112可以被布置为使用一个或多个网络设备(例如中继器、桥接器、集线器、交换机、路由器、网关、负载均衡器等)在一个或多个网络(例如，内联网和/或因特网)上的企业计算环境150中的各种设备、组件、应用、服务器、资源和/或资产之间和之中提供网络连接。

JIT账户开通系统100可以包括一个或多个目录服务服务器设备130-l或与一个或多个目录服务服务器设备130-l集成，该目录服务服务器设备130-l通常可以被布置为在除了其他应用之外执行目录服务应用(未示出)，以便将服务器设备140-i-j组织为一个或多个逻辑组、逻辑子组和/或逻辑子子组的层级(例如，森林132-k、域136-d和/或组织单元134-e-f)。目录服务服务器设备130-l还可以被布置为将层级存储在包括目录服务信息的一个或多个目录服务数据库(未示出)中。

目录服务信息可以包括与一个或多个JIT账户关联的JIT账户信息，使得一个或多个目录服务服务器设备130-l可以使用JIT账户来验证来自一个或多个客户端102-a的访问请求来访问一个或多个资源和/或资产。JIT账户信息可以包括但不限于JIT账户验证信息(例如，用户主体名(UPN)、账户标识符、账户密码或散列和/或其散布衍生物、账户域、智能卡证书、生物统计学等)、JIT账户授权信息(例如，JIT账户角色和范围信息、JIT账户访问权限、JIT账户关联组等)、JIT账户寿命信息(例如，JIT账户的寿命)、目录服务信息(例如、与JIT账户关联的目录服务服务器设备)、和/或与一个或多个JIT账户的验证、授权以及寿命相关的任意其他信息。

在各种实施例中，每个目录服务服务器设备(例如，目录服务服务器设备130-1)可以包括或实施目录服务应用(未示出)。示例目录服务应用可以包括但不限于微软活动目录、NOVELL eDirectory、苹果开放目录、甲骨文因特网目录(OID)、IBM Tivoli目录服务器或实施目录访问协议(DAP)、轻量级目录访问协议(LDAP)和/或由国际电信联盟(ITU)电信标准化部(ITU-T)公布的X.500标准的任意其他应用。

用图示的方式，目录服务服务器设备130-1可以包括或实施微软活动目录的至少一部分(例如，活动目录域服务、活动目录域控制器、活动目录数据库等)。一个或多个目录服务服务器设备130-l的每个目录服务服务器设备(例如，目录服务服务器设备130-1)可以被布置为管理顶级逻辑组，诸如例如森林132-l。一个或多个森林132-k可以包括一个或多个较低逻辑组，例如逻辑子组，诸如例如域136-d。一个或多个域136-d的每个域(例如，域136-1)可以被布置为管理较低级的逻辑组，例如逻辑子子组，诸如例如组织单元134-e-f。可选地，域136-d还可以被逻辑地分组到森林132-k与域136-d之间的诸如例如树(未示出)的一个或多个中间逻辑组中。一个或多个组织单元134-e-f的每个组织单元(例如，组织单元134-1-1)可以包括一个或多个资源和/或资产，诸如例如服务器设备140-g-h。

可以理解，各种实施例中的森林132-k、域136-d和/或组织单元134-e-f仅是为了说明而非限制的目的而参考。因此，各种实施例中的森林132-k、域136-d和/或组织单元134-e-f的任意或全部对于给定实施方式可以用它们的实质等同物来替换。例如，在目录服务服务器设备130-1可以包括或实施NOVELL eDirectory的至少一部分的一个实施方式中，森林132-k、域136-d以及组织单元134-e-f可以分别用如NOVELL eDirectory中实施的树、分区以及组织单元来替换。实施例不限于该上下文中。

为了遏制攻击者的横向移动，JIT账户开通系统100的每个域(例如，域136-1)还可以包括一个或多个违约边界138-g-h。例如，域136-1可以包括违约边界138-1-1和138-1-2。另外，在一些实施方式中，违约边界138-g-h可以独立于一个或多个组织单元134-e-f。例如，在域136-1中，组织单元134-1-1、134-1-2、134-1-3可以跨违约边界138-1-1和138-1-2，使得诸如违约边界138-1-1的单个违约边界可以包括来自全部三个组织单元134-1-1、134-1-2、134-1-3的资源和/或资产，诸如例如服务器设备140-1-1、140-1-2、140-1-3。在诸如例如域136-d的其他域中，诸如例如违约边界138-g-l的违约边界138-g-h可以与诸如例如组织单元134-e-l的组织单元134-e-f共存，使得诸如违约边界138-g-1的单个违约边界可以包括来自单个组织单元134-e-1的资源和/或资产，诸如例如服务器设备140-i-1、140-i-4。

一个或多个违约边界138-g-h通常可以由一个或多个目录服务服务器设备130-l来管理，并且被布置为对于可以与安全边界关联的一个或多个JIT账户授予或提供一组访问权限，使得一个或多个JIT账户可以访问安全边界内的一个或多个资源和/或资产。为了进一步确保具有对JIT账户的访问的攻击者无法使用“传递散列攻击”在一个或多个违约边界138-g-h之间和之中移动，一个或多个违约边界138-g-h的每个违约边界(例如，违约边界138-1-1和138-1-2)还可以被布置为包括彼此不包括或非重叠的一组资源和/或资产，使得在任意违约边界138-g-h之间没有重叠。

JIT账户开通系统100可以包括服务器设备108，该服务器设备108通常可以被布置为除了其他应用之外执行目录服务应用110。目录服务应用110通常可以被布置为存储并提供与客户端102-a的一个或多个客户端账户关联的客户端账户信息。目录服务应用110还可以被布置为存储组织层级信息，该组织层级信息包括一个或多个客户端102-a可以为例如公司的成员或隶属机构的组织的层级结构，使得可以识别一个或多个客户端102-a的任意监督人和/或管理者。目录服务应用110还可以被布置为经由监管管理应用114验证或帮助验证请求具有提升访问权限的JIT账户的一个或多个客户端104-a。示例目录服务应用或实施方式可以包括但不限于之前关于目录服务服务器设备130-l讨论的目录服务应用或实施方式。

为了验证或有助于请求具有提升访问权限的JIT账户的一个或多个客户端102-a的验证，目录服务应用110还可以暴露和/或实施用于监管管理应用114的一个或多个应用程序接口(API)，以验证请求提升访问权限的一个或多个客户端102-a。例如，监管管理应用114可以通过使用经由网络互连112、目录服务应用110的一个或多个API和/或一个或多个局部过程调用(LPC)和/或远程过程调用(RPC)机制验证请求提升访问权限的一个或多个客户端102-a。示例API可以包括但不限于ADP API、LADP API、微软活动目录服务接口(ADSI)API、微软消息API(MAPI)、微软目录系统代理(DSA)API和/或启用客户端102-a的验证的任意其他API。

JIT账户开通系统100可以包括服务器设备106，该服务器设备106通常可以被布置为除了其他应用之外执行监管管理应用114。监管管理应用114通常可以被布置为从一个或多个客户端102-a接收请求，以提升访问权限，并且验证从客户端102-a接收的一个或多个请求。另外，监管管理应用114还可以被布置为管理、授权、开通具有由客户端102-a请求的提升访问权限的一个或多个JIT账户，并且通知客户端102-a与所开通的JIT账户关联的JIT账户信息。

在各种实施例中，监管管理应用114可以包括账户管理组件116。账户管理组件116通常可以被布置为验证请求具有提升访问权限的JIT账户的一个或多个客户端102-a，并且经由客户端端设备104-b从一个或多个客户端102-a接收一个或多个请求，以提升访问请求，以便对资源和/或资产执行一个或多个动作或任务。

用图示的方式，账户管理组件116可以使得客户端102-1能够在使得客户端102-1能够请求具有提升访问权限的JIT账户之前向监管管理应用114验证。为了使得能够验证客户端102-1，账户管理组件116可以从客户端102-1请求和/或接收客户端账户信息(例如，账户标识符和/或账户密码)的至少一部分，在该客户端102-1中所接收的客户端账户信息可以与客户端102-1的客户端账户关联。账户管理组件116可以经由客户端端设备104-1的一个或多个应用和/或组件(例如，计算设备的web浏览器)接收客户端账户信息(例如，UPN、账户标识符和/或密码)。响应于所接收的客户端账户信息，账户管理组件116可以至少部分基于所接收的客户端账户信息和由目录服务应用110可访问的、之前存储的客户端账户信息来验证客户端102-1。而且，为了至少部分基于由目录服务应用110可访问的、之前存储的客户端账户信息来验证客户端102-1，账户管理组件116可以被配置为使用经由网络互连112和目录服务应用110的一个或多个API。

继续上述示例，一旦已验证客户端102-1，账户管理组件116可以被配置为使得客户端102-1能够输入JIT账户请求信息。JIT账户请求信息可以包括但不限于要执行的一个或多个动作或任务、一个或多个服务器设备140-i-j以及与一个或多个动作或任务关联的所请求的寿命信息。所请求的寿命信息可以包括但不限于JIT账户到期且变得停用时的具体时间或时间流逝和/或去除JIT账户时的具体时间或时间流逝。

另外地或备选地，账户管理组件116可以被配置为将从一个或多个客户端102-a接收的所请求的寿命信息限于上限值，使得与JIT账户关联的寿命不能超过预定时间量(例如，分钟、小时、天、周、年等)。在一个示例性实施例中，账户管理组件116可以将具有提升访问权限的JIT账户的所请求的寿命信息限于上限值72小时或3天，使得具有大于72小时的寿命(例如，4天)的JIT账户的任意请求将被限于72小时或3天。实施例不限于该上下文中。

另外地或备选地，账户管理组件116还可以被配置为提供与企业计算环境150关联的一个或多个预定义角色和范围，并且使得一个或多个客户端102-a能够基于要执行的动作或任务选择一个或多个预定义角色和范围以及要对其执行动作或任务的哪一个资源和/或资产。

要执行的示例动作或任务可以包括但不限于远程应用调试、应用备份、应用升级和/或维护、服务器升级和/或维护、测试和/或可能需要一个或多个资源和/或资产的访问和/或修改的任意其他动作或任务。示例所请求的寿命信息可以包括但不限于用于JIT账户可以保持启用的天数、分钟数、小时数和/或秒数，和/或JIT账户可以保持启用的天和日期的具体时间。

在各种实施例中，监管管理应用114还可以包括账户授权组件118。账户授权组件118通常可以被布置为确定所请求的角色和范围信息和客户端账户角色和范围信息。账户授权组件118还可以被布置为向客户端提供客户端账户角色和范围信息，并基于所请求的角色和范围信息以及客户端账户角色和范围信息授权请求提升访问权限。

在一个实施例中，账户授权组件118可以被配置为至少部分基于所接收的JIT账户请求信息和由目录服务服务器设备130-l提供的目录服务信息确定所请求的角色和范围信息。为了确定所请求的角色和范围信息，账户管理组件116可以被配置为基于由一个或多个客户端102-a经由一个或多个客户端端设备104-b提供的所请求的动作或任务识别一个或多个所请求的角色。

为了确定所请求的范围，账户授权组件118还可以被配置为与目录服务服务器设备130-l通信，并且识别包括客户端102-a请求对其执行动作或任务的资源和/或资产的安全边界。示例所请求的角色可以包括但不限于管理者、备份操作者、调试者、远程用户、测试者等。可以理解，每个角色还可以与可以授予和/或否决对一个或多个资源和/或资产和/或一个或多个资源和/或资产的组件的一组访问权限关联。示例所请求的范围可以包括但不限于一个或多个服务器设备140-1-1、140-1-2、140-1-3或任意其他资源和/或资产和/或资源和/或资产的组件。

用图示的方式，当客户端102-1请求对服务器设备140-1-1执行远程应用调试时，由账户授权组件118确定且与所请求的动作或任务关联的所请求的角色和范围信息可以包括用于远程用户和调试者的角色，并且范围可以包括违约边界138-1-1。另外地或备选地，来自客户端102-1的所接收的JIT账户请求信息可以包括一个或多个预定义角色的客户端的选择以及之前关于账户管理组件116讨论的范围信息，使得账户管理组件116可以基于所接收的JIT账户请求信息容易且无困难地确定所请求的角色和范围信息。

在一个实施例中，账户授权组件118还可以被配置为通过使用经由网络互连112和目录服务应用110的一个或多个API来确定客户端账户角色和范围信息来获取与请求具有提升访问权限的JIT账户的一个或多个客户端102-a关联的客户端账户角色和范围信息。另外地或备选地，账户授权组件118还可以被配置为在经由客户端端设备104-b从一个或多个客户端102-a接收所请求的角色和客户端信息之前经由账户通知组件122提供与一个或多个客户端102-a关联的所获取的客户端账户角色和范围信息。这可以使得一个或多个客户端102-a能够提供在它们的客户端账户角色和范围信息内或与该客户端账户角色和范围信息一致的所请求的角色和范围信息。

一旦从目录服务应用110获取到客户端账户角色和范围信息，账户授权组件118可以至少部分基于所请求的角色和范围是在与请求JIT账户的客户端102-a关联的客户端账户角色和范围内还是与该角色和范围一致来自动授权提升访问权限的请求。如果由客户端请求的角色和范围等同于与客户端关联的客户端账户角色和范围或在与客户端关联的客户端账户角色和范围内，那么账户授权组件118可以被配置为授权对具有提升访问权限的JIT账户的请求。否则，账户授权组件118可以拒绝对具有提升访问权限的JIT的请求。

用图示的方式，当客户端102-1请求对服务器设备140-1-1执行远程应用调试时，所请求的角色和范围信息可以包括用于远程用户和调试者的角色，并且范围可以包括违约边界138-1-1。与客户端102-1的客户端账户关联且从目录服务应用110获取的客户端账户角色和范围信息可以包括用于远程用户和调试者的角色，并且范围可以包括森林132-1。基于所请求的角色和范围信息以及客户端账户角色和范围信息，账户授权组件118可以授权对JIT账户的请求，因为由客户端102-1请求的角色(例如，远程用户和调试者)等同于客户端账户的角色(例如，远程用户和调试者)且由客户端请求的范围(例如，违约边界138-1-1)在客户端账户的范围(例如，森林132-1)内。

在另一个图示中，所请求的角色和范围信息可以被确定为包括用于远程用户和调试者的角色，并且范围可以包括违约边界138-1-1。从目录服务应用110获取的客户端102-1的客户端账户角色和范围信息可以包括用于调试者但不用于远程用户的角色，并且范围可以包括森林132-2(未示出)。因为由客户端102-1请求的角色(例如，远程用户和调试者)不等同于客户端账户的角色(例如，调试者，但不包括远程用户)或不在该客户端账户的角色内，并且由客户端请求的范围(例如，违约边界138-1-1)也不在客户端账户的范围(例如，森林132-2)内，所以账户授权组件118可以拒绝请求。

另外地或备选地，为了确保SaaS系统的安全和隐私，还可以通过限制客户端可以请求的所请求的角色和范围的类型和数量来限制客户端账户角色和范围信息，以便限制所请求的角色和范围信息。因此，在一些实施例中，客户端账户角色和范围信息还可以将所请求的角色的数量限于单个角色，将角色的类型限于角色的具体集合(例如，远程用户、调试和/或测试)，并且将范围限于单个违约边界，使得从不适合在这些限制内的客户端接收的任意所请求的角色和范围将被授权组件118拒绝。因此，由账户开通组件120开通的任意JIT账户还将在它们的角色和范围上受限。

用图示的方式，所请求的角色和范围信息可以被确定为包括用于远程用户和调试者的角色，并且范围可以包括违约边界138-1-1。与客户端102-1关联的客户端账户角色和范围信息可以包括用于远程用户和调试者的角色，然而，客户端账户角色和范围信息还可以将角色限于单个角色(例如，远程用户或调试者但不是两者)，并且范围可以限于单个违约边界。因为由客户端102-1请求的角色(例如，远程用户和调试者这两者)不在单个角色限制(例如，远程用户或调试者但不是两者)内，所以账户授权组件118可以拒绝请求。

通过进一步限制客户端账户角色和范围实现的至少一个技术优点是所授权且稍后由账户开通组件120开通的每一个JIT账户将为受限角色和范围，以便确保每个JIT账户以执行如由客户端请求的任务或服务所需的最小范围的权限来开通。因此，即使攻击面或攻击向量可能随着JIT账户的数量增加而增大，因为每个所开通的JIT账户将在角色和范围上受限，所以也可以减轻效果。

另外地或备选地，为了进一步确保SaaS系统的安全和隐私，账户授权组件118还可以被配置为通过使用经由网络互连112和目录服务应用110的一个或多个API来基于由目录服务应用110可访问的组织层级信息来识别一个或多个客户端102-a的监督者或管理者来确定请求提升访问权限的一个或多个客户端102-a的监督者或管理者。一旦确定一个或多个客户端102-a的监督者或管理者，账户授权组件118可以被配置为经由账户通知组件122来将监督批准信息通知并提供给监督者或管理者。监督批准信息可以包括用于请求JIT账户的一个或多个客户端102-a的所请求的角色和范围账户信息、所请求的寿命信息以及客户端账户角色和范围信息。账户授权组件118还可以被配置为在授权请求之前从一个或多个客户端102-a的监督者或管理者请求并接收批准。

用图示的方式，在对于客户端102-1授权对具有提升访问权限的JIT账户的请求之前但在确定所请求的角色和范围信息以及客户端账户角色和范围信息之后，账户授权组件118可以确定监督者或管理者为客户端102-2，并且可以经由账户通知组件122将客户端102-1的所请求的角色和范围信息和客户端账户角色和范围信息通知并提供给客户端102-2。账户授权组件118还可以在授权或请求之前从客户端102-2请求并接收批准。

在各种实施例中，监管管理应用114还可以包括账户开通组件120，该账户开通组件120通信地耦合到JIT账户数据库126。JIT账户数据库126通常可以被布置为存储与一个或多个JIT账户关联的JIT账户信息。账户开通组件120通常可以被布置为在已授权对JIT账户的请求之后开通JIT账户。账户开通组件120还可以被布置为确定具有相同或基本上类似的所请求的角色和范围的JIT账户对于客户端是否已存在。账户开通组件120可以被布置为在具有相同或基本上类似的所请求的角色和范围的JIT账户对于客户端已存在时获取与客户端关联的现有JIT账户。备选地，当具有相同或基本上类似的所请求的角色和范围的JIT账户对于客户端尚未存在时，账户开通组件120通常可以被布置为创建新JIT账户。在创建和/或获取JIT账户之后，账户开通组件120还可以被布置为启用JIT账户。

在一个实施例中，账户开通组件120可以被配置为确定具有等同于或基本上类似于由客户端请求的角色和范围的角色和范围的JIT账户对于该客户端是否已存在于JIT账户数据库126中。账户开通组件120可以通过搜索和/或扫描JIT账户数据库126并将所请求的角色和范围信息与现有JIT账户的JIT账户角色和范围信息比较并匹配来确定之前创建的JIT账户的存在。当账户开通组件120确定具有所请求的角色和范围的JIT账户对于该客户端已存在时，那么账户开通组件120可以被配置为从用于该客户端的JIT账户数据库126获取与之前创建的JIT账户关联的JIT账户信息。

备选地，当账户开通组件120确定具有所请求的角色和范围的JIT账户对于该客户端不存在时，账户开通组件120可以被配置为对于该客户端自动创建新JIT账户。这另外被称为JIT账户的懒散开通，其中账户开通组件120可以被配置为仅在具有等同或基本上类似的角色和范围的之前JIT账户对于该客户端尚未存在时创建JIT账户。

在一个实施例中，账户开通组件120可以至少部分基于JIT账户请求信息(例如，所请求的角色和范围信息、所请求的寿命信息等)以及客户端账户信息来创建新JIT账户及其关联的JIT账户信息。例如，假定用于客户端102-1的客户端账户信息可以包括UPN“EllenAdams@domain136-1.contoso.com”，并且假定所请求的角色包括远程用户和调试者且所请求的范围包括违约边界138-1-1。账户开通组件120可以创建具有包括UPN“EllenAdams_RemoteDebugger_Boundary138-1-1@domain136-1.contoso.com”的JIT账户信息的新JIT账户，使得客户端102-1可以至少部分基于UPN来识别用于JIT账户的一个或多个角色和范围。另外，账户开通组件120还可以将新创建的JIT账户存储在JIT账户数据库126中，并且将新创建的JIT账户与用于该客户端的客户端账户关联。

为了确保由一个或多个目录服务服务器设备130-l管理的资源和/或资产通过一个或多个客户端102-a使用新创建的JIT账户可访问和/或可服务，账户开通组件120还可以被配置为识别管理包括客户端请求访问和/或服务的一个或多个资源和/或资产的一个或多个违约边界138-g-h的适当目录服务服务器设备。一旦识别适当的目录服务服务器设备，账户开通组件120还可以被配置为经由网络互连112和所识别的目录服务服务器设备的一个或多个API与所识别的目录服务服务器设备通信，以便创建JIT账户。另外，账户开通组件120可以被配置为将新创建的JIT账户和所关联的JIT账户信息存储在JIT账户数据库126中，并且将新创建的JIT账户和所关联的JIT账户信息与客户端账户关联，使得可以获取并重新使用新创建的JIT账户和所关联的JIT账户信息。

用图示的方式，假定用于客户端102-1的所请求的角色包括远程用户和调试者，所请求的范围包括违约边界138-1-1，并且请求已由账户授权组件118授权，则账户开通组件120首先可以确定是否之前创建具有远程用户和调试者的角色以及包括违约边界138-1-1的范围的JIT账户。当在JIT账户数据库126中已找到之前创建的JIT账户且其关联JIT账户信息包括用于远程用户和调试者的角色，并且范围包括违约边界138-1-1，那么账户开通组件120可以获取与JIT账户关联的、之前创建和/或存储的JIT账户信息。

继续上述图示，当在JIT账户数据库126中尚未找到与客户端102-1关联的JIT账户时，因为所请求的范围包括由目录服务服务器设备130-1管理的违约边界138-1-1，所以账户开通组件120可以识别用于创建新的JIT账户的目录服务服务器设备130-1。账户开通组件120然后可以与目录服务服务器设备130-1通信，以创建新的JIT账户。账户开通组件120还可以将新创建的JIT账户和关联的JIT账户信息存储在JIT账户数据库126中，以便获取和重新使用。

一旦获取或创建JIT账户，则账户开通组件120还可以被配置为至少部分基于所请求的角色和范围信息启用JIT账户，使得所获取或创建的JIT账户具有与由客户端请求的相同角色和范围。这还确保所创建或获取的每个JIT账户包括对如由客户端请求的资源和/或资产访问或执行服务所需的一组最小范围的提升访问权限。为了启用JIT账户，账户开通组件120还可以被配置为至少部分基于所请求的角色和范围信息向JIT账户授予或提供一组访问权限。

在各种实施例中，监管管理应用114还可以包括账户通知组件122。账户通知组件122通常可以被布置为经由一个或多个客户端端设备104-b向一个或多个客户端102-a通知并提供一个或多个通知消息中的客户端账户信息(例如，客户端账户角色和范围)、请求批准信息(例如，是批准还是拒绝对提升访问权限的请求)、监督批准信息以及JIT账户信息。示例通知消息可以包括但不限于移动SMS消息、自动语音呼叫、电子邮件、基于交互式web的表单、web警示、基于因特网和/或内联网的消息应用或用于关于提升访问权限的批准和/或拒绝通知一个或多个客户端102-a并向一个或多个客户端102-a提供请求批准信息、监督批准信息和/或JIT账户信息的任意其他部件。

在一个实施例中，在已拒绝对提升访问权限的请求之后，账户通知组件122可以被配置为在一个或多个通知消息中经由一个或多个应用和/或一个或多个客户端端设备104-b的组件通知客户端(例如，客户端102-1)请求已被拒绝。另外，一个或多个通知信息还可以包括可以指示拒绝的一个或多个原因的JIT账户拒绝信息(例如，请求超过客户端账户的角色和/或范围)。

在已批准对具有提升访问权限的JIT账户的请求且已开通JIT账户之后，账户通知组件122可以被配置为在一个或多个通知消息中经由客户端端设备(例如，客户端端设备104-1)通知客户端(例如，客户端102-1)请求已被批准。账户通知组件122还可以被配置为提供与具有提升访问权限的所开通的JIT账户关联的JIT账户信息，该提升访问权限足以使得客户端(例如，客户端端设备104-1)能够与JIT账户的角色和范围一致地访问和/或服务一个或多个资源和/或资产(例如，服务器设备104-1-1)。

在另一个实施例中，在对于客户端(例如，客户端102-1)授权对具有提升访问权限的JIT账户的请求之前且在对于该客户端确定所请求的角色和范围信息和客户端账户角色和范围信息之后，账户通知组件122还可以被配置为在授权对具有提升访问权限的JIT账户的请求之前经由一个或多个通知消息从该客户端(例如，客户端102-1)的监督者或管理者(例如，客户端102-2)请求批准。为了进一步帮助监督者或管理者(例如，客户端102-2)批准或拒绝一个或多个请求，账户通知组件122还可以被配置为在一个或多个通知消息中向监督者或管理者(例如，客户端102-2)提供监督批准信息(例如，所请求的角色和范围账户信息、所请求的寿命信息以及与请求提升访问权限的客户端102-1关联的客户端账户角色和范围信息)。

虽然图1中所示的JIT账户开通系统100在特定拓扑结构中具有有限数量的元件，但可以理解，JIT账户开通系统100可以对于给定实施方式根据期望在备选拓扑结构中包括更多或更少元件。类似地，虽然各种实施例可以图示包含一个或多个客户端端设备104-b、服务器设备108、服务器设备106以及一个或多个森林132-k的企业计算环境150，但可以理解，客户端端设备和/或服务器设备中的至少一些对于给定实施方式可以在企业计算环境150之外。

图2图示了JIT账户开通系统100的另一个实施例。在各种实施例中，JIT账户开通系统100还可以包括服务器设备202，该服务器设备202通常可以被布置为除了其他应用之外执行资源和资产管理应用204。目录服务服务器设备130-l还可以被布置为使用一个或多个所关联的安全组实施一个或多个安全边界138-g-h，其中每个安全组可以被布置为对于每个安全组的一个或多个成员管理一个或多个资源和/或资产的一组访问权限。

资产管理应用204通常可以被布置为经由网络互连112和一个或多个目录服务服务器设备130-l的目录服务应用(未示出)的一个或多个API将一个或多个资源和/或资产配置或分离到一个或多个安全组中。在一个实施例中，资产管理应用204可以被配置为通过创建一个或多个违约边界安全组210-m-n来实施一个或多个安全边界138-g-h。为了进一步遏制已获得对被危害的JIT账户的访问的攻击者的横向移动，在一些实施例中，资产管理应用204还可以被布置为将一个或多个资源和/或资产配置或分离到一个或多个彼此不包括或非重叠违约边界安全组210-m-n，使得没有单个资源和/或资产可从作为两个不同违约边界安全组的成员的JIT账户可访问或可服务。

在另一个实施例中，资产管理应用204还可以被配置为向一个或多个违约边界安全组210-m-n中的每个违约边界安全组分配对一个或多个资源和/或资产的一组访问权限，使得添加到违约边界安全组的任意成员(例如，一个或多个JIT账户)可以根据一组访问权限访问由该安全组管理的一个或多个资源和/或资产。另外地或备选地，在一个或多个资源和/或资产包括虚拟设备(例如，使用一个或多个虚拟机实施的虚拟服务器设备)的实施方式中，资产管理应用204还可以被配置为开通或部署一个或多个资源和/或资产，使得每个所开通的资源和/或资产与违约边界安全组关联。

用图示的方式，资产管理应用204可以通过使用网络互连112以及目录服务服务器设备130-1的目录服务应用(未示出)的一个或多个API分别创建关联的违约边界安全组210-1-1和210-1-2来实施安全边界138-1-1和138-1-2。另外，资产管理应用204还可以配置要由违约边界安全组138-1-1管理的服务器设备140-1-1、140-1-2、140-1-3和要由安全组138-1-2管理的服务器设备140-1-4、140-1-5、140-1-6。

继续上述图示，资产管理应用204还可以配置违约边界安全组210-1-1以向服务器设备140-1-1、140-1-2、140-1-3授予或提供一组访问权限。该组访问权限可以在JIT账户被添加到违约边界安全组210-1-1时，使得JIT账户根据与安全组210-1-1关联的一组访问权限访问服务器设备140-1-1、140-1-2、140-1-3。

仍然继续上述图示，资产管理应用204还可以以与关于违约边界安全组210-1-1讨论的类似方式配置违约边界安全组210-1-2，使得作为违约边界安全组210-1-2的成员的JIT账户可以根据与违约边界安全组210-1-2关联的一组访问权限访问服务器设备140-1-4、140-1-5、140-1-6。在服务器设备140-1-1至140-1-6为使用驻留在服务器设备140-i-j上的一个或多个虚拟机实施的虚拟服务器设备的实施方式中，资产管理应用204可以在虚拟服务器设备的开通处理(例如，创建和/或部署)期间自动配置虚拟服务器设备。

可以理解，虽然在各种实施例中仅图示了两个违约边界安全组210-1-1和210-1-2，但资产管理应用204可以被配置为对于一个或多个角色创建多个组(例如，远程访问组、调试者组等)，其中每个组可以与和角色关联的一组访问权限(例如，对一个或多个资源和/或资产的远程访问、一个或多个资源和/或资产的调试等)关联，使得JIT账户可以以嵌套方式为多个组的成员，以实现基于角色的访问控制(RBAC)。实施例不限于该上下文中。

为了确保合适的一组访问权限被授予或提供给所开通的JIT账户，监管管理应用114的账户开通组件120还可以被配置为识别实施适当违约边界安全组210-m-n的目录服务服务器设备，并识别一个或多个违约边界安全组210-m-n，该一个或多个违约边界安全组210-m-n被配置为通过使用网络互连112和一个或多个目录服务服务器设备130-l的目录服务应用(未示出)的一个或多个API授予对一个或多个资源和/或资产的访问。一旦已识别适当的目录服务服务器设备和一个或多个违约边界安全组210-m-n，账户开通组件120可以被配置为使所开通的JIT账户与所识别的违约边界安全组关联。

在一个实施例中，账户开通组件120可以通过将JIT账户添加到一个或多个违约边界安全组210-m-n作为成员来使JIT账户与违约边界安全组210-m-n关联，使得可以授予JIT账户一组访问权限，以访问与违约边界安全组关联的违约边界内的一个或多个资源和/或资产。在一些实施例中，账户开通组件120还可以被配置为限制可以与JIT账户关联的违约边界安全组210-m-n的数量(例如，每个JIT账户仅可以与单个违约边界安全组关联)，以便进一步限制攻击者使用被危害的JIT账户引起的影响范围。

用图示的方式，假定对于具有提升访问权限的JIT账户从客户端102-1接收的所请求的角色和范围信息包括违约边界138-1-1的远程用户和调试者，并且JIT账户已被开通，则账户开通组件120首先可以识别一个或多个目录服务服务器设备130-l中使用违约边界安全组210-1-1实施违约边界138-1-1的目录服务服务器设备130-1。账户开通组件120还可以将违约边界安全组210-1-1识别为被配置为向服务器设备140-1-1、140-1-2、140-1-3授予一组访问权限的违约边界安全组。账户开通组件120还可以通过将所开通的JIT账户添加到至少一个所识别的违约边界安全组210-1-1来关联，以便授予所开通的JIT账户对服务器设备140-1-1、140-1-2、140-1-3的一组访问权限。可以理解，账户开通组件120还可以通过将所开通的JIT账户添加到其他组(例如，远程用户组、调试者组等)来关联，以便授予作为远程用户和调试者的访问权限，使得所开通的JIT账户可以由客户端102-1用于对服务器设备140-1-1、140-1-2、140-1-3执行远程调试。

在各种实施例中，监管管理应用114还可以包括账户寿命组件124。账户寿命组件124通常可以被布置为基于JIT账户寿命信息或预定义的JIT账户寿命信息来管理与每个JIT账户关联的寿命。账户寿命组件124还可以被布置为在一时间段流逝之后停用和/或去除一个或多个JIT账户。JIT账户寿命信息可以包括但不限于在JIT账户到期和变得停用时的具体时间或时间流逝以及在去除JIT账户时的具体时间或时间流逝。

可以理解，在一些实施例中，JIT账户寿命信息可以对于给定实施方式基于经由客户端端设备104-b从一个或多个客户端102-a接收的JIT账户请求信息来确定和/或导出。在其他实施例中，JIT账户寿命信息可以基于如由JIT账户角色和范围信息指示的一个或多个角色来确定和/或导出，其中一些角色(例如，远程用户和调试者)可以具有2小时的关联JIT账户寿命，而其他角色(例如，备份操作者)可以具有4小时的关联寿命。实施例不限于该上下文中。

在一个实施例中，账户寿命组件124还可以被配置为在一个或多个客户端102-a访问由一个或多个目录服务服务器设备130-l管理的一个或多个资源和/或资产时，经由网络互连112从一个或多个目录服务服务器设备130-l接收一个或多个访问批准请求。账户寿命组件124还可以被配置为在JIT账户的寿命尚未到期时，自动批准或允许一个或多个客户端102-a访问由相应目录服务服务器设备130-l管理的一个或多个资源和/或资产。

备选地，账户寿命组件124可以被配置为在JIT账户的寿命已到期时，自动否决一个或多个客户端102-a对由相应目录服务服务器设备130-l管理的一个或多个资源和/或资产的任意访问。另外，在一个实施例中，账户寿命组件124还可以被配置为停用JIT账户和/或使JIT账户与一个或多个违约边界安全组取消关联。例如，账户寿命组件124可以通过否决全部访问批准请求来停用JIT账户，并且在不向客户端102-a提供新生成的验证令牌的情况下生成新的验证令牌。账户寿命组件还可以通过从一个或多个违约边界安全组中的成员资格去除JIT账户来使JIT账户取消关联。

在一个示例性实施例中，JIT账户的寿命可以从开通(例如，由账户开通组件120开通)JIT账户的时间开始，并且在基于JIT账户寿命信息的指定时间或时间流逝时结束。备选地，JIT账户的寿命可以从第一次使用JIT账户(例如，客户端尝试访问资源和/或资产)的时间开始，并且在基于JIT账户寿命信息的指定时间或时间流逝时结束。示例性实施方式不限于该上下文中。

另外地或备选地，账户寿命组件124还可以被配置为对于任意启用的JIT账户定期扫描JIT账户数据库124，并且基于JIT账户寿命信息来停用具有已到期的寿命的任意JIT账户。在一些实施例中，变得停用的JIT账户还将立即终止(例如，强制注销)当前使用中的任意JIT账户及其关联的活动动作或任务。为了确保管理一个或多个资源和/或资产的一个或多个目录服务器设备130-l与JIT账户数据库126适当同步，账户寿命组件124还可以被配置为经由网络互连112和目录服务应用110的一个或多个API通信，以更新JIT账户的JIT账户寿命信息和/或停用具有到期寿命的任意JIT账户。

另外地或备选地，账户寿命组件124还可以被配置为对于任意停用的JIT账户定期扫描JIT账户数据库124并基于JIT账户寿命信息去除在预定时间段内未使用的任意停用的JIT账户(例如，不活动的JIT账户)。为了确保管理一个或多个资源和/或资产的一个或多个目录服务器设备130-l被适当同步，账户寿命组件124还可以被配置为通过经由网络互连112和一个或多个目录服务器设备130-l的一个或多个目录服务应用(未示出)的一个或多个API通信来去除那些停用的JIT账户。

用图示的方式，假定的客户端102-1请求具有作为违约边界138-1-1的远程用户和调试者的提升访问权限的JIT账户，使得JIT账户请求信息包括指示JIT账户的所请求的寿命为4小时的所请求的寿命信息。还假定在12:00PM向客户端102-1已开通具有JIT账户寿命信息的JIT账户，该JIT账户寿命信息指示所开通的JIT账户寿命为4小时，并且所开通的JIT账户的寿命从开通JIT账户时(即，12:00PM)开始，使得JIT账户的寿命在4:00PM时结束。在一个示例性实施例中，账户寿命组件124可以在客户端102-1在4:00PM之前经由客户端端设备104-1和网络互连112使用所开通的JIT账户(例如，使用远程桌面协议(RDP))尝试远程访问服务器设备140-1-1时，授予来自目录服务服务器设备130-1的访问批准请求。

继续上述示例，在另一个示例性实施例中，账户寿命组件124可以在客户端102-1在4:00PM之后使用所开通的JIT账户尝试(例如，使用远程桌面协议(RDP))远程访问服务器设备140-1-1时，拒绝来自目录服务服务器设备130-1的访问批准请求。账户寿命组件124还可以在4:00PM之后自动否决对服务器设备140-1-1的任意访问并停用所开通的JIT账户。另外，账户寿命组件124可以通过从违约边界安全组210-1-1去除所开通的JIT账户的成员资格来使所开通的JIT账户与违约边界安全组210-1-1取消关联。进一步地，账户寿命组件124还可以在停用的JIT账户在连续的不活动(例如，未登录)时段(例如，一天、一周、一月、一年等)之后未由客户端102-1使用时自动扫描、确定并去除停用的JIT账户，作为不活动的JIT账户。

可以通过使每个JIT账户与寿命关联实现的至少一个技术优点是攻击者将被限于仅在JIT账户仍然被启用时获得对任意JIT账户的访问。另外，即使JIT账户在JIT账户仍然被启用时的时间期间被危害，攻击者进行危害的能力也将至少部分基于与被危害的JIT账户关联的寿命而是时间有限的。可以实现的另一个技术优点是降低与“传递散列攻击”关联的有效性，因为获得对用于JIT账户的一个或多个验证令牌(例如，用于JIT账户的散列和/或散布密码)的访问的攻击者也必须找到当前启用的JIT账户。可以实现的又一个技术优点是通过去除一个或多个不活动的JIT账户来减小攻击面或攻击向量。可以实现的再一个技术优点是在以有限寿命(例如，限于4小时)、有限角色(例如，限于单个角色)、有限角色类型(例如，限于调试者)以及有限范围(例如，限于单个违约边界)开通JIT账户时，可以减轻与所开通的JIT账户的数量的增加关联的攻击面或攻击向量的任意增大。另外，当有限寿命、有限角色、有限角色类型以及有限范围与被布置为彼此不包括或非重叠的违约边界组合时，将大幅限制甚至不可能实施由具有对被危害的JIT账户的访问的攻击者进行的任意横向移动(例如，违约边界之间的移动)。

图3图示了JIT账户开通系统100的另一个实施例。在各种实施例中，JIT账户开通系统100还可以包括服务器设备302和306，该服务器设备302和306通常可以被布置为除了其他应用之外分别执行联合身份应用304和验证令牌管理应用308。另外，至少一个客户端端设备还可以被布置为将与JIT账户关联的一个或多个验证令牌存储在验证令牌数据库310中。

在各种实施例中，联合身份应用304通常可以被布置为使用一个或多个验证协议(例如，Kerberos协议)提供多因素验证(例如，使用智能卡、密码/个人识别号码(pin)和/或指纹的二因素验证)。联合身份应用304通常还可以被布置为提供安全令牌服务并向一个或多个客户端102-a和/或要求启用的应用发布一个或多个安全令牌(例如，安全声明标记语言(SAML)令牌)，使得一个或多个要求启用的应用可以在不必直接接收和/或处理与一个或多个客户端102-a关联的客户端账户信息(例如，用户主体名(UPN)、账户标识符、账户密码或其散列衍生物、账户域、智能卡证书等)的情况下识别客户端。示例联合身份应用304可以包括但不限于微软活动目录联合服务(AD FS)、微软联合网关或被配置为发布包括声明之前验证的客户端的身份的要求的安全令牌的任意其他联合身份服务供应商。

在各种实施例中，监管管理应用114的账户管理组件116还可以被配置为从一个或多个客户端端设备104-b接收由联合身份应用304发布的安全令牌，并且基于所接收的安全令牌识别请求提升访问权限的一个或多个客户端102-a。所接收的安全令牌还可以包括与一个或多个客户端102-a关联的客户端账户信息，并且使得账户授权组件118能够确定用于一个或多个客户端102-a的客户端账户角色和范围信息。

在各种实施例中，验证令牌管理应用308通常可以被布置为管理与客户端关联的一个或多个JIT账户的验证令牌(例如，密码)。在一个实施例中，验证令牌管理应用308可以被配置为从一个或多个客户端端设备104-b接收由联合身份应用304发布的安全令牌，并且识别一个或多个客户端102-a。

在一个实施例中，验证令牌管理应用308还可以被配置为响应于一个或多个客户端102-a对获得与一个或多个客户端102-a关联的JIT账户的集合的请求，向一个或多个客户端102-a提供用于管理的JIT账户的集合及其关联的JIT账户信息(例如，JIT账户寿命信息、JIT账户角色和范围信息、JIT账户标识符等)。验证令牌管理应用308还可以被配置为关联用于从一个或多个客户端102-a接收的一个或多个JIT账户的验证令牌，或者自动生成并关联用于一个或多个JIT账户的一个或多个验证令牌。

在另一个实施例中，验证令牌管理应用308还可以被配置为将用于每个JIT账户的所接收或生成的验证令牌存储在JIT账户数据库126中。验证令牌管理应用308可以被配置为通过使用网络互连112和目录服务服务器设备130-l的目录服务应用(未示出)的一个或多个API来更新具有所接收或生成的验证令牌的一个或多个JIT账户，使得一个或多个客户端102-a能够访问由目录服务服务器设备130-l管理的一个或多个资源和/或资产。

在另外的实施例中，验证令牌管理应用308还可以使用一个或多个安全通信协议(例如，超文本传输协议安全(HTTPS))在安全连接(例如，受信且加密连接)上经由网络互连112和客户端端设备104-b向一个或多个客户端102-a提供验证令牌。可以理解，客户端端设备104-b中的至少一些(诸如，例如，客户端端设备104-2)可以通信地耦合到验证令牌数据库310，该验证令牌数据库310用于使用一个或多个加密算法(例如，两鱼对称密匙分组加密)以加密格式安全存储至少JIT账户标识符及其关联的验证令牌。由此，在一些实施例中，客户端端设备104-2可以被配置为将提供给客户端102-2的任意验证令牌加密并存储在验证令牌数据库310中，并且允许客户端102-2稍后获取用于访问一个或多个资源和/或资产的之前存储的JIT账户标识符及其关联的验证令牌。

在用于JIT账户的验证令牌为明文密码的实施方式中，验证令牌管理应用308可以被配置为生成随机密码，该随机密码具有变化的复杂度要求(诸如，例如，耦合有最小字符长度(例如，8字符最小值)的至少两个不同字符类(例如，数字、字母和/或符号))。验证令牌管理应用308还可以被配置为散列和/或散布生成的或客户端提供的明文密码，使得在一个或多个目录服务服务器设备130-l和/或一个或多个资源和/或资产被攻击者危害时无法恢复明文密码。然而，可以理解，即使散列和/或散布明文密码，客户端102-a也可以继续使用提供给客户端102-a的明文密码来使用JIT账户以访问一个或多个资源和/或资产。

为了有助于客户端设置或生成真正的动作令牌，监管管理应用114的通知组件122还可以被配置为在一个或多个通知消息中提供对验证令牌管理应用308的引用，使得一个或多个客户端102-a可以访问验证管理应用308，以设置和/或生成用于一个或多个所开通JIT的账户的一个或多个验证令牌。

用图示的方式，假定对于用于违约边界138-1-2的客户端102-2已开通JIT账户，通知组件122可以除了其他信息之外经由电子邮件向客户端102-2提供与所开通的JIT账户关联的JIT账户标识符和用于令牌管理应用308的URL。客户端102-2然后可以使用客户端端设备104-2的一个或多个应用和/或组件(例如，计算设备的web浏览器)来访问令牌管理应用308，以获取包括与客户端102-2关联的所开通的JIT账户的JIT账户的集合。客户端102-2还可以设置和/或生成用于所开通的JIT账户的随机明文密码，并且随后将JIT账户标识符与所关联的随机明文密码存储在验证令牌数据库310中。为了使用所开通的JIT账户来访问或服务服务器设备140-1-4、140-1-5、140-1-6，经由客户端端设备104-2的客户端102-2然后可以获取验证令牌数据库310中所存储的JIT账户标识符和所关联的随机明文密码，并使用所获取的JIT账户标识符与所关联的随机明文密码来访问服务器设备140-1-4。

这里所包括的是代表用于执行所公开的架构的新的方面的示例方法的一组流程图。虽然为了简化说明的目的，这里例如以流程图或流程图表的形式所示的一个或多个方法被示出且描述为一系列动作，但应理解和领会，因为一些动作可以根据动作以与这里所示且所述不同的顺序发生和/或与其他动作同时发生，所以方法不受动作的顺序限制。例如，本领域技术人员将理解和领会，方法可以备选地表示为诸如状态图中的一系列互相联系的状态或事件。而且，不是方法所图示的全部动作都可被新的实施方式需要。

图4A图示了逻辑流程400的一个实施例。逻辑流程400可以代表由这里所述的一个或多个实施例执行的操作中的一些或全部。

在图4A中所示的图示实施例中，逻辑流程400可以在块402处开始，并且可以在块404处验证请求具有提升访问权限的JIT账户的客户端。例如，账户管理组件116可以验证请求具有提升访问权限的一个或多个JIT账户的、具有关联客户端账户的客户端102-1。账户管理组件116还可以使得客户端102-1能够经由客户端端设备104-1请求具有提升访问权限的JIT账户，以访问或服务需要高于客户端账户的访问权限的服务器设备140-1-1。

逻辑流程400可以在块406处接收对具有提升访问权限的JIT账户的请求。例如，账户管理组件116可以经由客户端端设备104-1从具有关联客户端账户的客户端102-1接收对具有访问或服务服务器设备140-1-1的一组提升访问权限的JIT账户的请求。

逻辑流程400可以在块408处确定是否授权所接收的请求。例如，账户授权组件118可以至少部分基于与客户端102-1的客户端账户关联的客户端账户信息以及经由客户端端设备104-1从与客户端102-2关联的客户端账户接收的JIT账户请求信息来确定是否授权对JIT账户的请求。

逻辑流程400可以在块412处在授权请求时开通JIT账户。例如，账户开通组件120可以在由账户授权组件118授权对JIT账户的请求时，开通具有提升访问权限的JIT账户，以使得客户端102-1能够访问服务器设备140-1-1。

逻辑流程400可以在块414处提供JIT账户信息或提供JIT账户拒绝信息，并且在块416处结束。例如，账户通知组件122可以在授权对JIT账户的请求时，向客户端102-1提供与具有提升访问权限的所开通的JIT账户关联的JIT账户信息。备选地，当对JIT账户的请求未被账户授权组件118授权时，账户通知组件122可以经由客户端端设备104-1向客户端102-1提供JIT账户拒绝信息，其中JIT账户拒绝信息可以指示拒绝的一个或多个原因。实施例不限于这些示例。

图4B图示了逻辑流程420并且具体地图4A的块408的一个实施例。逻辑流程420可以代表由这里所述的一个或多个实施例执行的操作中的一些或全部。

在图4B中所示的图示实施例中，逻辑流程420可以在块422处开始，并且可以在块424处确定与请求关联的角色和范围。例如，账户授权组件118可以至少部分基于经由客户端端设备104-1从客户端102-1接收的JIT账户请求信息确定与对JIT账户的请求关联的角色(例如，远程用户和调试者)和范围(违约边界138-1-1)。

逻辑流程420可以在块426处确定与客户端账户关联的角色和范围。例如，账户授权组件118可以至少部分基于与客户端102-1关联的客户端账户信息确定与客户端102-1的客户端账户关联的角色(例如，远程用户和调试者)和范围(森林132-1)。账户授权组件118可以从目录服务应用110和/或从由客户端102-1经由客户端端设备104-1提供的安全令牌接收用于客户端102-1的客户端账户信息。

逻辑流程420可以在块428处确定所请求的角色和范围是否在账户角色和范围内。例如，账户授权组件118可以通过将所请求的(多个)角色和范围与(多个)账户角色和范围进行比较来确定所请求的角色和范围是在(多个)账户角色和范围内还是与(多个)账户角色和范围一致。

逻辑流程420可以在块432处在所请求的角色和范围未在账户角色和范围内时拒绝请求，并且在块436处结束。例如，账户授权组件118可以在所请求的角色包括远程用户和调试者且请求范围包括违约边界138-1-1，而账户角色包括调试者但不包括远程用户且账户范围包括森林132-2时，拒绝请求。

逻辑流程420可以在块432处在所请求的角色和范围在账户角色和范围内时授权请求，并且在块436处结束。例如，账户授权组件118可以在所请求的角色包括远程用户和调试者且请求范围包括违约边界138-1-1，而账户角色也包括远程用户和调试者且账户范围包括森林132-1(该森林132-1包括违约边界138-1-1)时，授权请求。实施例不限于这些示例。

图4C图示了逻辑流程440并且具体地图4A的块412的一个实施例。逻辑流程440可以代表由这里所述的一个或多个实施例执行的操作中的一些或全部。

在图4C中所示的图示实施例中，逻辑流程440可以在块442处开始，并且可以在块444处确定具有所请求的角色和范围的JIT账户的存在。例如，账户开通组件120可以通过搜索和/或扫描JIT账户数据库126并将所请求的角色和范围信息与现有JIT账户的JIT账户角色和范围信息进行比较，来确定具有所请求的角色和范围以及一组提升范围权限的JIT账户的存在。账户开通组件120还可以确定与现有JIT账户关联的JIT账户角色和范围信息与从客户端102-1接收的所请求的角色和范围信息之间的实质匹配。

逻辑流程440可以在块448处在具有所请求的角色和范围的JIT账户对于该客户端已存在时获取现有JIT账户。例如，账户开通组件120可以在账户开通组件120确定具有所请求的角色和范围的JIT账户对于客户端120-1已存在时，对于客户端120-1从JIT账户数据库126获取与之前创建的JIT账户关联的JIT账户信息。

逻辑流程440可以在块450处在具有所请求的角色和范围的JIT账户对于该客户端尚未存在时创建JIT账户。例如，账户开通组件120可以在具有所请求的角色和范围的现有JIT在JIT账户数据库126中未找到时，创建用于客户端102-1访问服务器设备140-1-1的JIT账户。

逻辑流程440可以在块452处启用JIT，并且在块454处结束。例如，一旦已创建或获取JIT账户，账户开通组件120可以启用具有一组提升访问权限的JIT账户，使得客户端102-1可以使用所启用的JIT账户来访问或服务服务器设备140-1-1。实施例不限于这些示例。

图4D图示了逻辑流程470并且具体地图4C的块452的一个实施例。逻辑流程470可以代表由这里所述的一个或多个实施例执行的操作中的一些或全部。

在图4D中所示的图示实施例中，逻辑流程470可以在块472处开始，并且可以在块474处识别被配置为授予对违约边界的访问的安全组。例如，假定用于JIT账户的所请求的范围包括违约边界138-1-1，账户开通组件120可以将违约边界安全组210-1-1识别为被配置为授予通过使用网络互连112和目录服务服务器设备130-1的目录服务应用(未示出)的一个或多个API对违约边界138-1-1的访问。

逻辑流程470可以在块476处使JIT账户与所识别的安全组关联，并且在块478处结束。例如，一旦已识别违约边界安全组210-1-1，账户开通组件120可以通过将该JIT账户添加到违约边界安全组210-1-1作为成员来使JIT账户与违约边界安全组210-1-1关联，使得JIT账户可以被授予一组访问权限，以使得能够访问违约边界138-1-1内的服务器设备140-1-1、140-1-2、140-1-3。实施例不限于这些示例。

图4E图示了逻辑流程480的一个实施例。逻辑流程478可以代表由这里所述的一个或多个实施例执行的操作中的一些或全部。

在图4E中所示的图示实施例中，逻辑流程480可以在块482处开始，并且可以在块484处确定JIT账户的寿命。例如，账户寿命组件124可以基于经由客户端端设备104-1从客户端102-1接收的JIT账户请求信息确定JIT账户的寿命。备选地，账户寿命组件124可以基于JIT账户角色和范围信息确定JIT账户的寿命。

逻辑流程480可以在块484处确定JIT账户的寿命是否到期。例如，假定JIT账户寿命信息指示被开通以访问服务器设备140-1-1的JIT账户的寿命为2小时，并且JIT账户的寿命从开通JIT账户的时间(即，在1:00PM时)开始。账户寿命组件124可以在账户寿命组件124从目录服务服务器设备130-1在3:15PM时接收访问服务器设备140-1-1的访问批准请求时确定JIT账户的寿命已到期。备选地，账户寿命组件124可以在账户寿命组件124从目录服务服务器设备130-1在1:30PM时接收访问服务器设备140-1-1的访问批准请求时确定JIT账户的寿命尚未到期。

逻辑流程480可以在块490处在JIT账户寿命到期时停用JIT账户，并且在块492处结束。例如，假定JIT账户寿命信息指示JIT账户的寿命为2小时且2小时已消逝，使得JIT账户的寿命已到期。账户寿命组件124然后可以在客户端使用到期的JIT账户来访问服务器设备140-1-1时通过否决从目录服务服务器设备130-1接收的对服务器设备140-1-1的任意访问批准请求来自动停用JIT账户。实施例不限于这些示例。

图5图示了适于实施如之前所述的各种实施例的示例计算架构500的实施例。在一个实施例中，计算架构500可以包括或被实施为客户端端设备和/或服务器设备的一部分。实施例不限于该上下文中。

如本申请中所用的，术语“系统”和“组件”旨在指代计算机相关的实体(硬件、硬件和软件的组合、软件、或执行中的软件)，该实体的示例由示例计算架构500来提供。例如，组件可以为但不限于运行在处理器上的进程、处理器、硬盘驱动器、(光学和/或磁存储介质的)多个存储驱动器、对象、可执行文件、执行线程、程序和/或计算机。用图示的方式，运行在服务器上的应用和服务器这两者可以为组件。一个或多个组件可以驻留在进程和/或执行线程内，并且组件可以在一个计算机上是本地的和/或分布在两个或更多个计算机之间。进一步地，组件可以由各种类型的通信介质通信地彼此耦合，以协调操作。协调可以涉及单向或双向信息交换。比如，组件可以以在通信介质上传达的信号的形式来传达信息。信息可以实施为被分配到各种信号线的信号。在这种配置中，每个消息为信号。然而，另外的实施例可以备选地采用数据消息。这种数据消息可以跨各种连接来发送。示例连接包括并行接口、串行接口以及总线接口。

计算架构500包括各种通用计算元件，诸如一个或多个处理器、多核处理器、协处理器、存储器单元、芯片集、控制器、外设、接口、震荡器、定时设备、视频卡、音频卡、多媒体输入/输出(I/O)组件、电源等。然而，实施例不限于由计算架构500进行的实施方式。

如图5所示，计算架构500包括处理单元504、系统存储器506以及系统总线508。处理单元504可以为各种商业上可用的处理器中的任意一个，没有限制的包括以及处理器；应用、嵌入且安全处理器；和以及处理器；IBM和Cell处理器；Core(2)以及处理器；以及类似的处理器。双微处理器、多核处理器以及其他多处理器架构也可以用作处理单元504。

系统总线508向处理单元504提供系统组件(系统组件包括但不限于系统存储器506)的接口。系统总线508可以为若干类型的总线结构中的任意一个，该总线结构还可以使用各种商业上可用的总线架构中的任意一个来互连到(具有或不具有存储器控制器的)存储器总线、外围总线以及本地总线。接口适配器可以经由狭槽架构连接到系统总线508。示例狭槽架构可以没有限制地包括加速图形端口(AGP)、插件总线、(扩展)工业标准架构((E)ISA)、微通道架构(MCA)、NuBus、外设组件互连(扩展)(PCI(X))、PCI Express、个人计算机存储卡国际协会(PCMCIA)等。

计算架构500可以包括或实施各种制品。制品可以包括存储逻辑的计算机可读存储介质。计算机可读存储介质的示例可以包括能够存储电子数据的任意有形介质，该介质包括易失性存储器或非易失性存储器、可移除或不可移除存储器、可擦除或不可擦除存储器、可写或可重写存储器等。逻辑的示例可以包括使用任意合适类型的代码(诸如，源代码、编译代码、直译码、可执行代码、静态代码、动态代码、面向对象的代码、视觉编码等)实施的可执行计算机程序指令。实施例还可以至少部分实施为包含在非瞬时性计算机可读介质中或上的指令，该指令可以由一个或多个处理器来读取和执行，以使得能够执行这里所述的操作。

系统存储器506可以包括各种类型的计算机可读存储介质，该存储介质为一个或多个较高速存储器单元的形式，诸如只读存储器(ROM)、随机存取存储器(RAM)、动态RAM(DRAM)、双倍数据速率DRAM(DDRAM)、同步DRAM(SDRAM)、静态RAM(SRAM)、可编程ROM(PROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、闪存、聚合物存储器(诸如铁电聚合物存储器)、奥式存储器、相变或铁电存储器、硅氧化氮氧化硅(SONOS)存储器、磁卡或光学卡、器件阵列(诸如独立盘冗余阵列(RAID)驱动器)、固态存储器设备(例如，USB存储器、固态驱动器(SSD))以及用于存储信息的任意其他类型的存储介质。在图5中所示的图示实施例中，系统存储器506可以包括非易失性存储器510和/或易失性存储器512。基本输入/输出系统(BIOS)可以存储在非易失性存储器510中。

计算机502可以包括各种类型的计算机可读存储介质，该存储介质为一个或多个较低速存储器单元的形式，包括内部(或外部)硬盘驱动器(HDD)514、从可移除磁盘518读取或写入可移除磁盘518的磁软盘驱动器(FDD)516以及从可移除光学盘522(例如，CD-ROM或DVD)读取或写入可移除光学盘522的光学盘驱动器520。HDD514、FDD 516以及光学盘驱动器520可以分别由HDD接口524、FDD接口526以及光学驱动器接口528连接到系统总线508。用于外部驱动实施方式的HDD接口524可以包括通用串行总线(USB)和IEEE1394接口技术中的至少一个或这两者。

驱动器和所关联的计算机可读介质提供数据、数据结构、计算机可执行指令等的易失性和/或非易失性存储。例如，若干程序模块可以存储在驱动器和存储器单元510、512中，程序模块包括操作系统530、一个或多个应用程序532、其他程序模块534以及程序数据536。在一个实施例中，一个或多个应用程序532、其他程序模块534以及程序数据536可以包括例如系统100的各种应用和/或组件。

用户可以通过一个或多个有线/无线输入设备(例如，键盘538和定点设备(诸如鼠标540))来将命令和信息输入到计算机502中。其他输入设备可以包括麦克风、红外(IR)远程控件、射频(RF)远程控件、游戏板、手写笔、读卡器、安全装置、指纹读取器、手套、绘图板、控制杆、键盘、视网膜读取器、触摸屏(例如，电容性、电阻性等)、轨迹球、轨迹板、传感器、触笔等。这些和其他输入设备通常可以通过耦合到系统总线508的输入设备接口542连接到处理单元504，但可以由其他接口(诸如，并行端口、IEEE 1394串行端口、游戏端口、USB端口、IR接口等)来连接。

监视器544或其他类型的显示设备也经由接口(诸如视频适配器546)连接到系统总线508。监视器544可以在计算机502内部或外部。除了监视器544之外，计算机通常包括其他外围输出设备(诸如扬声器、打印机等)。

计算机502可以在使用经由有线和/或无线通信进行的、到一个或多个远程计算机(诸如远程计算机548)的逻辑连接的联网环境中操作。远程计算机548可以为工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐电器、对等设备或其他普通网络节点，并且通常包括相对于计算机502描述的元件中的许多或全部，但为了简洁的目的，仅图示了存储器/存储设备550。所描绘的逻辑连接包括到局域网(LAN)552和/或更大网络(例如，广域网(WAN)554)的有线/无线连接。这种LAN和WAN联网环境在办公室和公司中是普通的，并且有助于企业范围的计算机网络(诸如内联网)，上述网络中的全部可以连接到全局通信网络(例如，因特网)。

当用于LAN联网环境中时，计算机502通过有线和/或无线通信网络接口或适配器556连接到LAN 552。适配器556可以有助于到LAN 552的有线和/或无线通信，该LAN 552还可以包括用于与适配器556的无线功能通信的、布置在其上的无线接入点。

当用于WAN联网环境中时，计算机502可以包括调制解调器558，或者连接到WAN554上的通信服务器，或具有用于在WAN 554上建立通信的其他部件(诸如用因特网的方式)。可以为内部或外部的且可以为有线和/或无线设备的调制解调器558经由输入设备接口542连接到系统总线508。在联网的环境中，相对于计算机502描绘的程序模块及其部分可以存储在远程存储器/存储设备550中。将理解，所示的网络连接是示例性的，并且可以使用在计算机之间建立通信链路的其他部件。

计算机502可操作为使用IEEE 802标准族(例如，IEEE 802.11空中调制技术)与有线和无线设备或实体(诸如操作地布置在无线通信中的无线设备)通信。该技术除了别的之外至少包括Wi-Fi(或无线保真)、WiMax以及Bluetooth^TM无线技术。由此，通信可以为如传统网络一样的预定义结构或简单地为至少两个设备之间的自组网通信。Wi-Fi网络使用称为IEEE>

一些实施例可以使用表达“一个实施例”或“实施例”连同其派生词来描述。这些术语意指关于实施例描述的特定特征、结构或特性包括在至少一个实施例中。词组“在一个实施例中”在说明书中各种位置中的出现不是必须全部指代同一实施例。进一步地，一些实施例可以使用表达“耦合”和“连接”连同其派生词来描述。这些术语不必旨在为彼此的同义词。例如，一些实施例可以使用术语“连接”和/或“耦合”来描述，以指示两个或更多个元件彼此直接物理或电接触。然而，术语“耦合”还可以意指两个或更多个元件未彼此直接接触，但还是彼此合作或相互作用。

强调的是，本公开的摘要被提供为允许读者快速确定技术公开的性质。应理解摘要将不用于解释或限制权利要求的范围或意义。另外，在上述具体实施方式中，可以看到，各种特征为了精简公开的目的而在单个实施例中分组到一起。该公开的方法不被解释为反映所要求保护的实施例需要比每个权利要求中明确列出的更多特征。相反，如以下权利要求反映的，发明主题在于少于单个所公开的实施例的全部特征。因此，以下权力要求在此并入具体实施方式中，每个权利要求独立地作为单独的实施例。在所附权利要求中，术语“包含(including)”和“在……中(in which)”分别用作相应术语“包括(comprising)”和“其中(wherein)”的简单英语等同物。而且，术语“第一”、“第二”、“第三”等仅用作标记，并且不旨在对它们的对象强加数字要求。

上面描述的内容包括所公开的架构的示例。当然，不可能描述组件和/或方法的每一个想得到的组合，但本领域普通技术人员可以意识到许多另外组合和排列是可以的。因此，新的架构旨在包含落在所附权利要求的精神和范围内的所有这种变换、修改以及改变。