專利名稱:自動(dòng)重新驗(yàn)證的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及具有遠(yuǎn)程終端的系統(tǒng)中的用戶和會(huì)話身份驗(yàn)證��。
背景技術(shù):
Microsoft Windows服務(wù)器操作系統(tǒng)的某些版本支持“終端服務(wù)”����。通過使用“終端服務(wù)”,服務(wù)器系統(tǒng)可以向被稱為客戶端設(shè)備或遠(yuǎn)程終端的位于遠(yuǎn)程的桌面計(jì)算設(shè)備提供傳統(tǒng)的Windows桌面���,以及最新的基于Windows的應(yīng)用程序�。遠(yuǎn)程終端常常是運(yùn)行專門的終端仿真軟件的個(gè)人計(jì)算機(jī)�����。在此處描述的MicrosoftWindows環(huán)境中��,遠(yuǎn)程終端運(yùn)行專門為與Windows終端服務(wù)一起操作而設(shè)計(jì)的軟件�����。
當(dāng)用戶在此環(huán)境中運(yùn)行應(yīng)用程序,大多數(shù)或所有應(yīng)用程序的執(zhí)行���、數(shù)據(jù)處理��,以及數(shù)據(jù)存儲(chǔ)是在服務(wù)器上發(fā)生的�;只有諸如鍵盤���、鼠標(biāo)���、顯示器,以及打印信息之類的東西在服務(wù)器和遠(yuǎn)程終端之間來回地傳輸���。
單個(gè)服務(wù)器系統(tǒng)可以支持多個(gè)用戶和對(duì)應(yīng)的用戶會(huì)話�����。每個(gè)用戶登錄時(shí)只能看到他們的單個(gè)會(huì)話����,該會(huì)話由服務(wù)器操作系統(tǒng)透明地管理����,并獨(dú)立于任何其他客戶端會(huì)話。
服務(wù)器系統(tǒng)和各個(gè)遠(yuǎn)程終端之間的通信通常是通過某種網(wǎng)絡(luò)進(jìn)行的���。網(wǎng)絡(luò)可以是專用局域網(wǎng)����、專用或公用廣域網(wǎng)�,或諸如因特網(wǎng)之類的可公開訪問的網(wǎng)絡(luò)。在服務(wù)器系統(tǒng)和遠(yuǎn)程終端之間利用了各種形式的加密��,以確保這些否則不安全的網(wǎng)絡(luò)通信形式的保密和數(shù)據(jù)完整性�。設(shè)計(jì)了服務(wù)器系統(tǒng)軟件和遠(yuǎn)程終端軟件以支持此加密。
Microsoft Windows終端服務(wù)利用RDP(遠(yuǎn)程桌面協(xié)議)���,這是一個(gè)控制服務(wù)器系統(tǒng)和遠(yuǎn)程終端之間的通信的呈現(xiàn)服務(wù)協(xié)議�����。RDP在服務(wù)器系統(tǒng)上通過將呈現(xiàn)信息構(gòu)建為網(wǎng)絡(luò)數(shù)據(jù)包并通過網(wǎng)絡(luò)向客戶端設(shè)備發(fā)送它們�,使用其自己的視頻驅(qū)動(dòng)程序呈現(xiàn)顯示輸出���?����?蛻舳私邮粘尸F(xiàn)數(shù)據(jù)并將它解釋為對(duì)應(yīng)的Win32 GDI API調(diào)用�。同樣,客戶端鼠標(biāo)和鍵盤消息被從客戶端重定向到服務(wù)器��。在服務(wù)器上�,RDP使用其自己的虛擬鍵盤和鼠標(biāo)驅(qū)動(dòng)程序接收這些鍵盤和鼠標(biāo)事件。除了這些基本輸入/輸出功能之外�����,RDP還為各種其他功能提供支持���,如打印重定向��、剪貼板映射����、遠(yuǎn)程控制�����、和網(wǎng)絡(luò)負(fù)載平衡。此外���,RDP能進(jìn)行數(shù)據(jù)壓縮、數(shù)據(jù)加密����,以及登錄及注銷服務(wù)。RDP通信通常被封裝或嵌入在TCP/IP協(xié)議內(nèi)��。
服務(wù)器系統(tǒng)能夠執(zhí)行許多不同的會(huì)話�。每個(gè)用戶會(huì)話通常與單個(gè)用戶和遠(yuǎn)程終端關(guān)聯(lián),雖然同一會(huì)話可以在不同的時(shí)段與不同的遠(yuǎn)程終端關(guān)聯(lián)����。要啟動(dòng)用戶會(huì)話,用戶在特定客戶端設(shè)備和服務(wù)器系統(tǒng)之間建立一個(gè)安全的連接����。然后,服務(wù)器系統(tǒng)利用客戶端設(shè)備的輸入/輸出功能在被稱為“登錄”的過程中對(duì)用戶進(jìn)行身份驗(yàn)證�。身份驗(yàn)證通常是通過要求用戶憑據(jù)執(zhí)行的,用戶憑據(jù)通常包括用戶名和密碼��。在接收到有效的憑據(jù)之后����,服務(wù)器系統(tǒng)就會(huì)創(chuàng)建一個(gè)會(huì)話并將客戶端設(shè)備連接到該會(huì)話����。
在許多聯(lián)網(wǎng)環(huán)境中��,特別是在因特網(wǎng)環(huán)境中���,數(shù)據(jù)連接是不可靠的����,并且可能輕易地?fù)p失�。在上文描述的終端服務(wù)環(huán)境中,在服務(wù)器系統(tǒng)和客戶端設(shè)備之間丟失數(shù)據(jù)通信不一定會(huì)終止與該客戶端設(shè)備關(guān)聯(lián)的會(huì)話�。相反,會(huì)話在預(yù)定義的時(shí)段內(nèi)仍處于活動(dòng)狀態(tài)�,然后用戶可以使用同一客戶端設(shè)備或不同的客戶端設(shè)備登錄回該會(huì)話。登錄過程類似于最初的登錄過程���,服務(wù)器系統(tǒng)也是通過要求用戶憑據(jù)來對(duì)用戶進(jìn)行身份驗(yàn)證�。然而����,服務(wù)器系統(tǒng)不是創(chuàng)建新會(huì)話,而是認(rèn)為用戶與現(xiàn)有的會(huì)話關(guān)聯(lián),并將用戶重新連接到該會(huì)話���。在某些系統(tǒng)中�����,客戶端設(shè)備可以保留前面的會(huì)話的會(huì)話標(biāo)識(shí)符,并在后面的登錄過程中提交會(huì)話標(biāo)識(shí)符以重新連接到該會(huì)話����。
發(fā)明內(nèi)容
在服務(wù)器系統(tǒng)成功地對(duì)客戶端設(shè)備進(jìn)行身份驗(yàn)證之后,客戶端設(shè)備和服務(wù)器系統(tǒng)共享自動(dòng)重新連接數(shù)據(jù)�����。在隨后丟失與服務(wù)器系統(tǒng)的通信并重新建立通信之后����,客戶端向服務(wù)器發(fā)送自動(dòng)身份驗(yàn)證請(qǐng)求。自動(dòng)身份驗(yàn)證請(qǐng)求包括會(huì)話驗(yàn)證符��,該驗(yàn)證符至少部分地基于共享的自動(dòng)重新連接數(shù)據(jù)��。服務(wù)器對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證���。如果驗(yàn)證是成功的���,服務(wù)器就自動(dòng)對(duì)客戶端設(shè)備重新進(jìn)行身份驗(yàn)證����。
圖1是集成了下面描述的本發(fā)明的元素的客戶端/服務(wù)器系統(tǒng)的方框圖�����。
圖2-6是顯示了圖1所示的服務(wù)器系統(tǒng)和客戶端設(shè)備執(zhí)行的步驟的流程圖�����。
圖7是顯示了圖1的服務(wù)器系統(tǒng)的組件對(duì)于計(jì)算機(jī)的用戶和內(nèi)核模式如何執(zhí)行的方框圖。
圖8是可以被編程以執(zhí)行此處描述的功能的示范計(jì)算機(jī)的方框圖。
具體實(shí)施例方式
下面的說明闡明了特定的實(shí)施例和集成了所附的權(quán)利要求所述的元素的客戶端/服務(wù)器系統(tǒng)的元素�。下面將有針對(duì)性地描述實(shí)施例以滿足法定的要求��。然而��,描述本身不對(duì)本專利的范圍作出限制�。發(fā)明人認(rèn)為權(quán)利要求書所述的發(fā)明還可以以其他方式實(shí)施���,以與其他當(dāng)前或未來的技術(shù)一起包括不同的元素或類似于本文檔中描述的元素的元素的組合���。
圖1顯示了終端服務(wù)器系統(tǒng)10的示范實(shí)施例����。系統(tǒng)10包括服務(wù)器計(jì)算機(jī)或系統(tǒng)12和許多遠(yuǎn)程終端或客戶端設(shè)備14�����。遠(yuǎn)程客戶端14通過網(wǎng)絡(luò)16與服務(wù)器計(jì)算機(jī)12進(jìn)行通信����,網(wǎng)絡(luò)16可以是局域網(wǎng)�、廣域網(wǎng)、可公開訪問的網(wǎng)絡(luò)�����,如公用因特網(wǎng)�,或一些其他類型的數(shù)據(jù)通信網(wǎng)絡(luò)?�;蛘?,一個(gè)或多個(gè)遠(yuǎn)程客戶端14可以利用非網(wǎng)絡(luò)手段與服務(wù)器系統(tǒng)12進(jìn)行通信,如專用或點(diǎn)播撥號(hào)連接����,或其他形式的直接或點(diǎn)對(duì)點(diǎn)數(shù)據(jù)通信���。
服務(wù)器系統(tǒng)10和單個(gè)客戶端計(jì)算機(jī)都是傳統(tǒng)的,一般桌面計(jì)算機(jī)或其他類型的計(jì)算機(jī)����,雖然專門的計(jì)算機(jī)和其他比較專門的設(shè)備也可以用來執(zhí)行這些組件的功能。下面將結(jié)合圖8闡明適合于執(zhí)行所描述的功能的計(jì)算機(jī)的特定和詳細(xì)的示例���。
在所描述的實(shí)施例中�,服務(wù)器系統(tǒng)12運(yùn)行MicrosoftWindows服務(wù)器操作系統(tǒng)的一個(gè)版本�,并包括諸如上文描述的功能之類的終端服務(wù)器功能,一般被稱為“終端服務(wù)”���。如上文所述����,此環(huán)境中的應(yīng)用程序在服務(wù)器系統(tǒng)12上運(yùn)行���,而不是在單個(gè)客戶端設(shè)備14上運(yùn)行���。然而��,鍵盤�、鼠標(biāo)�、顯示器和打印信息在服務(wù)器和遠(yuǎn)程終端之間來回地傳輸。這種職責(zé)的劃分一般來講對(duì)用戶來說是透明的�。對(duì)用戶來說,好像應(yīng)用程序在客戶端設(shè)備上運(yùn)行��;用戶界面功能�,包括圖形界面元素和用戶輸入功能是通過客戶端設(shè)備執(zhí)行的。在許多情況下�����,客戶端設(shè)備被配置了終端仿真軟件����,以與服務(wù)器協(xié)調(diào)這些功能�����。
Microsoft Windows服務(wù)器操作系統(tǒng)的終端服務(wù)與遠(yuǎn)程終端或客戶端設(shè)備14一起執(zhí)行多個(gè)服務(wù)器會(huì)話��,其特征在于��,用戶應(yīng)用程序主要在服務(wù)器系統(tǒng)上執(zhí)行,用戶輸入/輸出是通過客戶端設(shè)備執(zhí)行的����。術(shù)語“會(huì)話”一般是與給定客戶端設(shè)備關(guān)聯(lián)的一組變化的狀態(tài)信息。在諸如此處描述的終端服務(wù)器環(huán)境的環(huán)境中���,此狀態(tài)信息駐留在服務(wù)器系統(tǒng)12上���,而不是駐留在單個(gè)客戶端計(jì)算機(jī)14上。給定客戶端計(jì)算機(jī)的會(huì)話或狀態(tài)信息涉及服務(wù)器系統(tǒng)12代表客戶端計(jì)算機(jī)執(zhí)行的任何應(yīng)用程序�。
應(yīng)該注意的是,雖然本發(fā)明被描述為在Microsoft Windows服務(wù)器操作系統(tǒng)以及其終端服務(wù)組件內(nèi)實(shí)現(xiàn)的����,但是其他實(shí)現(xiàn)方式也是可以的。本發(fā)明可以在服務(wù)器對(duì)客戶端進(jìn)行身份驗(yàn)證作為允許這樣的客戶端利用服務(wù)器的服務(wù)的條件的情況下使用���。本發(fā)明在服務(wù)器/客戶端通信不可靠并容易中斷的情況下特別有用��。
圖2-5顯示了在發(fā)生通信故障之后服務(wù)器系統(tǒng)12和客戶端設(shè)備14執(zhí)行的與身份驗(yàn)證和自動(dòng)重新身份驗(yàn)證有關(guān)的操作���。注意,如圖2-5所示的操作是由在服務(wù)器系統(tǒng)12或在其中一個(gè)客戶端設(shè)備14上運(yùn)行的軟件執(zhí)行的�����。在所描述的實(shí)施例中,操作集成在服務(wù)器系統(tǒng)12上運(yùn)行的終端服務(wù)軟件內(nèi)或集成在客戶端設(shè)備14上運(yùn)行的終端仿真軟件內(nèi)�。在其他實(shí)施例中,所描述的操作可以與其他類型的軟件集成����。
圖2顯示了服務(wù)器12在為特定的客戶端設(shè)備建立新會(huì)話時(shí)執(zhí)行的操作。最初的操作20包括在服務(wù)器系統(tǒng)12和客戶端設(shè)備14之間建立安全的數(shù)據(jù)通信通道�����。在所描述的實(shí)施例中��,這是通過使用RDP(遠(yuǎn)程桌面協(xié)議)和RDP使用的各種加密技術(shù)完成的����。RDP使用RC4,這是位于加利福尼亞州的Redwood City的RSA DataSecurity����,Inc.�,開發(fā)的機(jī)密密鑰加密方法,用于保護(hù)通信通道����。術(shù)語“安全的”用于表示服務(wù)器和客戶端之間的通信���,相對(duì)來說不易被截取或偷聽。在使用諸如因特網(wǎng)之類的相對(duì)來說不安全的通信介質(zhì)時(shí)�,通信安全通常是通過加密提供的。然而���,如果通信介質(zhì)本身是安全的����,則可能不需要加密���。
通過安全的通信通道使用RDP執(zhí)行的后面的操作22��,包括對(duì)服務(wù)器會(huì)話的客戶端或客戶端設(shè)備進(jìn)行身份驗(yàn)證�����。在許多情況下���,此操作包括登錄過程,在該過程中,用戶被要求或提示在客戶端設(shè)備上提供諸如用戶名和密碼之類的用戶憑據(jù)�����,它們又被服務(wù)器接收和驗(yàn)證�。
雖然用戶憑據(jù)常常包括用戶名和密碼,但是也可以利用其他類型的憑據(jù)���。例如���,用戶可能被提示提供諸如指紋或視網(wǎng)膜掃描之類的生物統(tǒng)計(jì)信息,提供諸如智能卡或其他設(shè)備之類的硬件令牌����,或提供一些其他形式的標(biāo)識(shí)。
在許多情況下�,身份驗(yàn)證受服務(wù)器系統(tǒng)12的控制,服務(wù)器系統(tǒng)12傳輸在客戶端設(shè)備14上顯示的圖形提示���,然后又從客戶端設(shè)備14接收用戶憑據(jù)�。在某些情況下���,在客戶端設(shè)備14上運(yùn)行的終端仿真軟件可能具有特殊的安全功能�����,這些功能與服務(wù)器軟件一起操作�,以提高登錄過程的安全性���。在成功的身份驗(yàn)證或登錄過程之后�,操作24包括在服務(wù)器系統(tǒng)12上啟動(dòng)會(huì)話���,以便請(qǐng)求客戶端設(shè)備���。
可以在啟動(dòng)客戶端的會(huì)話之前、之后或同時(shí)執(zhí)行的進(jìn)一步操作26�,包括生成自動(dòng)重新連接數(shù)據(jù)并與客戶端設(shè)備共享。自動(dòng)重新連接數(shù)據(jù)包括會(huì)話ID號(hào)和第一個(gè)隨機(jī)數(shù)��。在所描述的實(shí)施例中��,這些數(shù)字是由服務(wù)器系統(tǒng)12生成的�����,并通過安全的通信通道發(fā)送到客戶端設(shè)備14��。會(huì)話ID是與客戶端的當(dāng)前服務(wù)器會(huì)話關(guān)聯(lián)的數(shù)字,并且在當(dāng)前執(zhí)行的會(huì)話中是唯一的����。第一個(gè)隨機(jī)數(shù)是使用密碼安全的隨機(jī)數(shù)生成器生成的16字節(jié)數(shù),并可能包括偽隨機(jī)數(shù)�����。
操作27包括在服務(wù)器上存儲(chǔ)自動(dòng)重新連接數(shù)據(jù)����,以供以后使用。與自動(dòng)重新連接數(shù)據(jù)一起�����,服務(wù)器還存儲(chǔ)為其生成了自動(dòng)重新連接數(shù)據(jù)的服務(wù)器會(huì)話的引用��。圖2顯示了客戶端設(shè)備14在為特定的客戶端設(shè)備建立新會(huì)話時(shí)執(zhí)行的操作����。這些操作在極大程度上是圖4所示的操作的對(duì)應(yīng)物。
操作28包括如上文所述的使用RDP在客戶端設(shè)備14和服務(wù)器系統(tǒng)12之間請(qǐng)求和建立安全的通信通道�。后面的操作29包括在登錄過程中向服務(wù)器系統(tǒng)12提供用戶憑據(jù),以便服務(wù)器系統(tǒng)12對(duì)客戶端設(shè)備14進(jìn)行身份驗(yàn)證���,啟動(dòng)與客戶端設(shè)備14關(guān)聯(lián)的服務(wù)器會(huì)話���。
操作30包括與服務(wù)器系統(tǒng)共享自動(dòng)重新連接數(shù)據(jù)。如已經(jīng)描述的��,自動(dòng)重新連接數(shù)據(jù)包括會(huì)話ID號(hào)和第一個(gè)隨機(jī)數(shù)����。在所描述的實(shí)施例中,這些數(shù)字都是從服務(wù)器系統(tǒng)接收到的�����。在其他實(shí)施例中����,這些數(shù)字中的一個(gè)或兩個(gè)可以由客戶端設(shè)備生成,并發(fā)送到服務(wù)器��。
操作31包括在客戶端設(shè)備14上存儲(chǔ)自動(dòng)重新連接數(shù)據(jù)���。為了安全起見�����,優(yōu)選情況下�����,這些數(shù)字存儲(chǔ)在客戶端設(shè)備的易失性程序存儲(chǔ)器中����,而不是存儲(chǔ)在非易失性文件系統(tǒng)中,以使自動(dòng)重新連接數(shù)據(jù)難以從可能在客戶端設(shè)備14上執(zhí)行的其他應(yīng)用程序訪問�����。
圖4顯示了在丟失與服務(wù)器系統(tǒng)12的通信并重新建立通信執(zhí)行的操作��。通信丟失可能是由于數(shù)據(jù)錯(cuò)誤��、超時(shí)���、通信介質(zhì)故障���,或許多不同的事件中的任何一個(gè)引起的。在許多情況下���,這樣的通信丟失是臨時(shí)的����,用戶能夠在短暫的延遲之后將客戶端設(shè)備14與服務(wù)器系統(tǒng)12重新連接。重新連接常常涉及用戶執(zhí)行的手動(dòng)步驟����。然而,重新連接過程可以是自動(dòng)的���。具體來說,客戶端設(shè)備14的終端仿真軟件可以被設(shè)計(jì)為在通信丟失之后自動(dòng)并反復(fù)地嘗試與服務(wù)器系統(tǒng)12重新連接��。
不論重新連接過程是否為自動(dòng)的�����,最后的結(jié)果總是在客戶端設(shè)備14和服務(wù)器12之間重新建立安全的通信通道的操作33����。一旦這樣的通信通道被重新建立,客戶端和服務(wù)器就會(huì)在操作34中共享第二個(gè)隨機(jī)數(shù)�。第二個(gè)隨機(jī)數(shù)是一個(gè)與第一個(gè)隨機(jī)數(shù)不同的值,但由服務(wù)器系統(tǒng)12以與生成第一個(gè)隨機(jī)數(shù)的方式類似的或完全相同的方式生成的�����。因此,第二個(gè)隨機(jī)數(shù)是客戶端設(shè)備14從服務(wù)器系統(tǒng)12接收到的16字節(jié)值���。
然后�����,操作35包括至少從自動(dòng)重新連接數(shù)據(jù)的一部分在客戶端設(shè)備計(jì)算或派生客戶端會(huì)話驗(yàn)證符��。更具體來說��,這包括至少部分地從第一個(gè)隨機(jī)數(shù)�����,并至少部分地從第二個(gè)隨機(jī)數(shù)派生客戶端會(huì)話驗(yàn)證符���。在所描述的實(shí)施例中,會(huì)話驗(yàn)證符是兩個(gè)隨機(jī)數(shù)的某些組合的單向哈希����。例如,兩個(gè)數(shù)字可以相加�、相乘或連結(jié)在一起,在此之后��,在該結(jié)果上執(zhí)行單向哈希,以產(chǎn)生會(huì)話驗(yàn)證符���。HMAC(哈希消息身份驗(yàn)證代碼)是合適的單向哈希函數(shù)的一個(gè)示例����。也可以使用其他哈希函數(shù)��。
操作36包括在不提供用戶憑據(jù)的情況下由服務(wù)器系統(tǒng)請(qǐng)求自動(dòng)重新身份驗(yàn)證���。在所描述的實(shí)施例中�����,此操作包括從客戶端設(shè)備向服務(wù)器系統(tǒng)發(fā)送自動(dòng)身份驗(yàn)證請(qǐng)求。自動(dòng)身份驗(yàn)證請(qǐng)求包括(a)會(huì)話ID(以前在操作32中接收的)和(b)在前面的操作中計(jì)算出的會(huì)話驗(yàn)證符����。假設(shè)此請(qǐng)求是成功的,那么客戶端設(shè)備重新連接到原始的服務(wù)器會(huì)話�。注意,為了提供自動(dòng)重新身份驗(yàn)證�,客戶端設(shè)備不需要存儲(chǔ)用戶憑據(jù)。
圖5顯示了在丟失了客戶端設(shè)備14和服務(wù)器系統(tǒng)12之間的通信之后由服務(wù)器系統(tǒng)12執(zhí)行的操作����。操作38包括在客戶端設(shè)備14和服務(wù)器系統(tǒng)12之間重新建立安全的通信通道����。這是響應(yīng)客戶端啟動(dòng)的通信���,利用RDP的加密功能或其他加密技術(shù)完成的��。
后面的操作40包括在服務(wù)器系統(tǒng)12和客戶端設(shè)備14之間生成和共享第二個(gè)隨機(jī)數(shù)����。在所描述的實(shí)施例中�,此第二個(gè)隨機(jī)數(shù)是由服務(wù)器系統(tǒng)12以與生成第一個(gè)隨機(jī)數(shù)的方式類似的或完全相同的方式生成的。在其他實(shí)施例中���,客戶端設(shè)備可以負(fù)責(zé)生成第二個(gè)隨機(jī)數(shù)�,并負(fù)責(zé)將它發(fā)送到服務(wù)器系統(tǒng)12����。
操作42包括從客戶端設(shè)備14接收自動(dòng)身份驗(yàn)證請(qǐng)求。如已經(jīng)提到的��,自動(dòng)身份驗(yàn)證請(qǐng)求包括(a)會(huì)話ID和(b)如已經(jīng)描述的,由客戶端設(shè)備14計(jì)算出的客戶端會(huì)話驗(yàn)證符���。
操作44包括計(jì)算或派生服務(wù)器會(huì)話驗(yàn)證符�。服務(wù)器會(huì)話驗(yàn)證符是以與計(jì)算客戶端會(huì)話驗(yàn)證符相同的方式通過取第一和第二個(gè)隨機(jī)數(shù)的單向哈希計(jì)算出的�����。
操作46包括通過將客戶端會(huì)話驗(yàn)證符與服務(wù)器會(huì)話驗(yàn)證符進(jìn)行比較來對(duì)其進(jìn)行驗(yàn)證�����。如果兩個(gè)驗(yàn)證符匹配�,則驗(yàn)證是成功的,執(zhí)行操作48����,該操作自動(dòng)對(duì)正在請(qǐng)求由在自動(dòng)身份驗(yàn)證請(qǐng)求中接收的會(huì)話ID表示的會(huì)話的客戶端設(shè)備重新進(jìn)行身份驗(yàn)證—而不要求提供用戶憑據(jù)����。一旦被請(qǐng)求的會(huì)話通過身份驗(yàn)證,客戶端設(shè)備就被重新連接到該會(huì)話����,正常的會(huì)話操作就會(huì)恢復(fù)。如果兩個(gè)驗(yàn)證符不匹配,則驗(yàn)證不成功��,自動(dòng)身份驗(yàn)證請(qǐng)求就會(huì)被拒絕�����。在這種情況下����,客戶端設(shè)備就不會(huì)重新連接到請(qǐng)求的會(huì)話,并啟動(dòng)比較傳統(tǒng)的用戶登錄過程50—通常要求用戶輸入用戶憑據(jù)���。
每次客戶端設(shè)備重新經(jīng)過身份驗(yàn)證以便進(jìn)行特定會(huì)話時(shí)���,都會(huì)重復(fù)執(zhí)行圖2操作26和27和圖3的操作30和31。即���,在每一次成功的重新身份驗(yàn)證之后���,在服務(wù)器系統(tǒng)和客戶端設(shè)備之間重新生成和共享第一個(gè)隨機(jī)數(shù)。這樣就確保了一次只能有一個(gè)客戶端設(shè)備連接到特定的會(huì)話�����。
作為可選功能,在預(yù)先確定的時(shí)間間隔內(nèi)至少自動(dòng)重新生成和重新共享自動(dòng)重新連接數(shù)據(jù)的一部分��。具體來說����,大致每隔一小時(shí),在服務(wù)器系統(tǒng)12和客戶端設(shè)備14之間重新生成和重新共享第一個(gè)隨機(jī)數(shù)��。一旦新生成的第一個(gè)隨機(jī)數(shù)在服務(wù)器和客戶端之間共享���,舊的隨機(jī)數(shù)就失效����,無法再用于重新連接���。
圖6顯示了定期更改自動(dòng)重新連接數(shù)據(jù)的隨機(jī)數(shù)部分并將它發(fā)送到客戶端的過程�。操作66包括生成第一個(gè)隨機(jī)數(shù)�,并將它發(fā)送到客戶端以及記錄時(shí)間戳。后面的操作68包括將時(shí)間戳與當(dāng)前時(shí)間進(jìn)行比較�����,以判斷如一個(gè)小時(shí)之類的預(yù)先確定的時(shí)間段是否已經(jīng)消逝��。如果已經(jīng)消失�,執(zhí)行回到操作66,生成新隨機(jī)數(shù)�,并發(fā)送到客戶端,并記錄新時(shí)間戳��。如果該時(shí)段還沒有到����,區(qū)塊68被重復(fù),直到比較的結(jié)果為真�����,于是操作66再次執(zhí)行一遍���。
圖7顯示了如何在計(jì)算機(jī)的操作系統(tǒng)內(nèi)實(shí)現(xiàn)服務(wù)器系統(tǒng)14的相關(guān)詳細(xì)信息��。在此實(shí)施例中���,計(jì)算機(jī)具有操作系統(tǒng)70,該操作系統(tǒng)監(jiān)督被稱作用戶和內(nèi)核模式的東西�����。程序或程序組件通常在這兩個(gè)模式中其中一個(gè)模式下運(yùn)行。內(nèi)核模式通常是為對(duì)計(jì)算機(jī)的操作比較關(guān)鍵的較低水平的系統(tǒng)軟件組件預(yù)留的���。應(yīng)用程序通常在操作系統(tǒng)下的非內(nèi)核用戶模式下運(yùn)行��,并對(duì)內(nèi)核模式的組件進(jìn)行調(diào)用�����,以便執(zhí)行系統(tǒng)級(jí)別的功能���。內(nèi)核模式通常受計(jì)算機(jī)的微處理器硬件的支持。
在終端服務(wù)器系統(tǒng)的所描述的實(shí)施例中��,有一個(gè)或多個(gè)用戶級(jí)別的服務(wù)器組件71�,它們管理用戶會(huì)話并執(zhí)行與用戶會(huì)話關(guān)聯(lián)的各種功能。此外��,有多個(gè)協(xié)議堆?��;蛲ㄐ沤M件72��,它們?cè)趦?nèi)核模式內(nèi)運(yùn)行����,以執(zhí)行服務(wù)器和相應(yīng)的客戶端之間的較低級(jí)別的通信功能�����。一般來講�����,每個(gè)會(huì)話和對(duì)應(yīng)的客戶端設(shè)備14有單個(gè)協(xié)議堆棧72���。堆棧在RDP協(xié)議下和在諸如TCP���、IP、UDP之類的較低級(jí)別的協(xié)議下管理通信��。一般來講����,服務(wù)器組件71和多個(gè)協(xié)議堆棧72之間的通信是通過服務(wù)器組件71對(duì)堆棧72作出的函數(shù)調(diào)用進(jìn)行的。
在所描述的實(shí)施例中�,特定會(huì)話的協(xié)議堆棧72負(fù)責(zé)生成和向關(guān)聯(lián)的客戶端設(shè)備發(fā)送第一個(gè)隨機(jī)數(shù),并負(fù)責(zé)在周期性的時(shí)間間隔內(nèi)重新生成和重新發(fā)送第一個(gè)隨機(jī)數(shù)�����。具體來說,每次協(xié)議堆棧被調(diào)用以執(zhí)行服務(wù)器/客戶端通信時(shí)��,它就檢查以查看預(yù)先確定的時(shí)間段是否已經(jīng)消逝���,如果該時(shí)間段已經(jīng)消逝��,則重新生成并重新發(fā)送第一個(gè)隨機(jī)數(shù)����。這就允許隨機(jī)數(shù)在不由終端服務(wù)器組件71刺激的情況下變化和重新發(fā)送�。使用此技術(shù),只有在預(yù)先確定的時(shí)間段已經(jīng)消逝并且只有在協(xié)議堆棧處于在發(fā)送或接收數(shù)據(jù)的活動(dòng)的情況下��,才發(fā)送新隨機(jī)數(shù)�����。
此體系結(jié)構(gòu)是有利的����,因?yàn)樗苊馐褂脤S玫挠脩裟J健白孕本€程,否則可能需要以便以周期性的時(shí)間間隔定期向客戶端重新發(fā)送第一個(gè)隨機(jī)數(shù)��,使用這樣的線程會(huì)潛在地消耗計(jì)算機(jī)資源�����。因此,消除這樣的線程是非常重要的優(yōu)點(diǎn)����。
在自動(dòng)重新連接過程中��,接收到的自動(dòng)重新連接請(qǐng)求由新協(xié)議堆棧72進(jìn)行處理并傳遞給終端服務(wù)器組件71���。作為此請(qǐng)求的一部分��,終端服務(wù)器組件接收會(huì)話ID和客戶端會(huì)話驗(yàn)證符����。為了查找與接收到的會(huì)話ID標(biāo)識(shí)的會(huì)話關(guān)聯(lián)的當(dāng)前第一個(gè)隨機(jī)數(shù)���,服務(wù)器組件71標(biāo)識(shí)與通信故障之前的會(huì)話關(guān)聯(lián)的協(xié)議堆棧72�����,并查詢與該會(huì)話的客戶端共享的最新的第一個(gè)隨機(jī)數(shù)的協(xié)議堆棧�����。然后��,服務(wù)器組件使用隨機(jī)數(shù)計(jì)算服務(wù)器會(huì)話驗(yàn)證符并驗(yàn)證從客戶端接收到的會(huì)話驗(yàn)證符���。
上文描述的各個(gè)組件和功能是以單個(gè)計(jì)算機(jī)實(shí)現(xiàn)的���。圖8顯示了由引用數(shù)字100引用的這樣的計(jì)算機(jī)的典型示例的組件。圖8所示的組件只是示例����,并不對(duì)本發(fā)明的功能的范圍作出任何限制;本發(fā)明不一定依賴于圖8所示的功能���。
一般來講�����,可以使用各個(gè)不同的一般用途或特殊用途的計(jì)算系統(tǒng)配置����?��?梢詰?yīng)用本發(fā)明的已知的計(jì)算系統(tǒng)����、環(huán)境、和/或配置的示例包括但不僅限于個(gè)人計(jì)算機(jī)��、服務(wù)器計(jì)算機(jī)�、手提或膝上型設(shè)備、多處理器系統(tǒng)�����、基于微處理器的系統(tǒng)����、機(jī)頂盒����、可設(shè)定的消費(fèi)類電子產(chǎn)品、網(wǎng)絡(luò)PC���、小型機(jī)���、大型機(jī)、包括上述任何系統(tǒng)或設(shè)備的分布式計(jì)算環(huán)境。
計(jì)算機(jī)的功能在許多情況下是由計(jì)算機(jī)執(zhí)行的諸如程序模塊之類的計(jì)算機(jī)可執(zhí)行的指令�。一般來講,程序模塊包括例程�、程序、對(duì)象�����、組件和執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的數(shù)據(jù)結(jié)構(gòu)�。任務(wù)還可以由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行。在分布式計(jì)算環(huán)境中����,程序模塊可以位于本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中。
指令和/或程序模塊在不同時(shí)間存儲(chǔ)在各種計(jì)算機(jī)可讀的介質(zhì)中���,這些介質(zhì)是計(jì)算機(jī)的組成部分或者可以由計(jì)算機(jī)讀取��。程序通常分布在軟盤��、CD-ROM��、DVD或諸如調(diào)制信號(hào)之類的某些形式的通信介質(zhì)上���。從那里���,它們被安裝或加載到計(jì)算機(jī)的輔助內(nèi)存中。在執(zhí)行時(shí)���,它們被至少部分地加載到計(jì)算機(jī)的主要電子內(nèi)存中�。此處描述的發(fā)明包括這些和其他各種類型的計(jì)算機(jī)可讀的介質(zhì)�,當(dāng)此類介質(zhì)包含指令、程序�、和/或用于與微處理器或其他數(shù)據(jù)處理器一起實(shí)現(xiàn)上文描述的步驟和操作時(shí)。當(dāng)根據(jù)上文描述的方法和技術(shù)進(jìn)行編程時(shí)���,本發(fā)明還包括計(jì)算機(jī)本身���。
為便于說明�����,諸如操作系統(tǒng)之類的程序和其他可執(zhí)行程序組件此處作為不連續(xù)的區(qū)塊來顯示�����,雖然這樣的程序和組件在不同的時(shí)間駐留在計(jì)算機(jī)的不同的存儲(chǔ)組件中��,并由計(jì)算機(jī)的數(shù)據(jù)處理器來執(zhí)行。
請(qǐng)看圖8�,計(jì)算機(jī)100的組件可以包括,但不僅限于����,處理單元120、系統(tǒng)內(nèi)存130���,以及連結(jié)包括系統(tǒng)內(nèi)存的各種系統(tǒng)組件與處理單元120的系統(tǒng)總線121����。系統(tǒng)總線121可以是任何類型的總線結(jié)構(gòu)�����,包括內(nèi)存總線或內(nèi)存控制器����、外圍總線,以及使用任何種類的總線體系結(jié)構(gòu)的本地總線�����。作為示例�,而不僅限于���,這樣的體系結(jié)構(gòu)包括工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)總線、微通道體系結(jié)構(gòu)(MCA)總線�、增強(qiáng)的ISA(EISAA)總線、視頻電子產(chǎn)品標(biāo)準(zhǔn)協(xié)會(huì)(VESA)本地總線�����,以及外圍組件互連(PCI)總線�����,也就是通常所說的附加板總線����。
計(jì)算機(jī)100通常包括各種計(jì)算機(jī)可讀的介質(zhì)。計(jì)算機(jī)可讀的介質(zhì)可以是由計(jì)算機(jī)100訪問的任何可用的介質(zhì)����,并包括易失性和非易失性介質(zhì)����、可移動(dòng)以及非可移動(dòng)介質(zhì)。作為示例���,而不僅限于����,計(jì)算機(jī)可讀的介質(zhì)可以包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括以任何方法或技術(shù)實(shí)現(xiàn)的易失性的和非易失性的�����、可移動(dòng)的和非可移動(dòng)的介質(zhì)��,以用于存儲(chǔ)諸如計(jì)算機(jī)可讀的指令�����、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或其他數(shù)據(jù)之類的信息�����。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括���,但不僅限于����,RAM、ROM�����、EEPROM�、閃存或其他內(nèi)存技術(shù),CD-ROM��、數(shù)字多功能磁盤(DVD)或其他光盤存儲(chǔ)器���、磁帶機(jī)��、磁帶���、磁盤存儲(chǔ)器或其他磁性存儲(chǔ)設(shè)備,或者可用于存儲(chǔ)所需要的信息并且計(jì)算機(jī)110可以訪問的任何其他介質(zhì)����。通信介質(zhì)通常在一個(gè)諸如載波之類的調(diào)制數(shù)據(jù)信號(hào)或其他傳輸機(jī)制中實(shí)施計(jì)算機(jī)可讀的指令、數(shù)據(jù)結(jié)構(gòu)�、程序模塊或者其他數(shù)據(jù)�,并且包括任何信息提供介質(zhì)�。術(shù)語“調(diào)制的數(shù)據(jù)信號(hào)”是指具有一個(gè)或多個(gè)其特征集或以這樣是否方式以便對(duì)信號(hào)中是否信息進(jìn)行編碼的信號(hào)���。作為示例�����,而不僅限于�,通信介質(zhì)包括有線介質(zhì)��,如有線網(wǎng)絡(luò)或者直接有線連接��,以及無線介質(zhì)��,如聲控���、RF�����、紅外和其他無線介質(zhì)�。上述任何幾項(xiàng)的組合也應(yīng)包括在計(jì)算機(jī)可讀的介質(zhì)的范圍內(nèi)��。
系統(tǒng)內(nèi)存130包括易失的和/或非易失性存儲(chǔ)器形式的計(jì)算機(jī)存儲(chǔ)介質(zhì)���,如只讀存儲(chǔ)器(ROM)131和隨機(jī)存取存儲(chǔ)器(RAM)132����。ROM131中通常存儲(chǔ)了一個(gè)基本輸入/輸出系統(tǒng)133(BIOS),里面包含幫助在計(jì)算機(jī)100內(nèi)的各個(gè)元素之間(如在啟動(dòng)過程中)傳輸信息的基本例程���。RAM132通常包含處理單元120立即可訪問和/或目前正在對(duì)其進(jìn)行操作的數(shù)據(jù)和/或程序模塊�����。作為示例����,而不僅限于�,圖8顯示了操作系統(tǒng)134、應(yīng)用程序135��、其他程序模塊136����,以及程序數(shù)據(jù)137。
計(jì)算機(jī)100還可以包括其他可移動(dòng)的/非可移動(dòng)的��、易失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì)。僅作為示例�,圖8顯示了一個(gè)可以從非可移動(dòng)的非易失性磁介質(zhì)中讀取或?qū)懭氲挠脖P驅(qū)動(dòng)器,一個(gè)從可移動(dòng)的非易失性磁盤152讀取或?qū)懭氲挠泊膨?qū)動(dòng)器��,以及可以從諸如CD ROM或其他光學(xué)介質(zhì)之類的可移動(dòng)的非易失性光盤156讀取或?qū)懭氲墓獗P驅(qū)動(dòng)器155���。其他可用于示范操作環(huán)境的可移動(dòng)/非可移動(dòng)的易失性/非易失性計(jì)算機(jī)存儲(chǔ)介質(zhì)包括但不僅限于磁帶、快速內(nèi)存卡�、數(shù)字多功能磁盤、數(shù)字視頻磁帶���、固態(tài)RAM����、固態(tài)ROM等等�����。硬盤驅(qū)動(dòng)器141通常通過一個(gè)諸如接口140之類的非可移動(dòng)的內(nèi)存接口連接到系統(tǒng)總線121��,硬磁盤驅(qū)動(dòng)器151和光盤驅(qū)動(dòng)器155通常由諸如接口150之類的可移動(dòng)的內(nèi)存接口連接到系統(tǒng)總線121�。
上面討論并在圖8中顯示的驅(qū)動(dòng)器和與它們關(guān)聯(lián)的計(jì)算機(jī)存儲(chǔ)介質(zhì),將為計(jì)算機(jī)100存儲(chǔ)計(jì)算機(jī)可讀的指令����、數(shù)據(jù)結(jié)構(gòu)���、程序模塊以及其他數(shù)據(jù)。例如�����,在圖8中�����,硬盤驅(qū)動(dòng)器141存儲(chǔ)了操作系統(tǒng)144����、應(yīng)用程序145、其他程序模塊146���,以及程序數(shù)據(jù)147�����。請(qǐng)注意�,這些組件可以與操作系統(tǒng)134�、應(yīng)用程序135�、其他程序模塊136�,以及程序數(shù)據(jù)137相同,也可以不同���。操作系統(tǒng)144����、應(yīng)用程序145�����、其他程序模塊146�,以及程序數(shù)據(jù)147在這里使用了不同的編號(hào)����,以至少說明它們是不同的副本。用戶可以通過諸如鍵盤162和指示設(shè)備161(通常是指鼠標(biāo)�、軌跡球或觸摸板)之類的輸入設(shè)備向計(jì)算機(jī)100中輸入命令和信息。其他輸入設(shè)備(未顯示)可以包括麥克風(fēng)��、游戲桿��、游戲板����、碟形衛(wèi)星天線�、掃描儀或類似的裝置�����。這些和其他輸入設(shè)備通常通過一個(gè)連接到系統(tǒng)總線的用戶輸入接口160連接到處理單元120����,但也可以通過諸如并行端口、游戲端口或通用串行總線(USB)之類的其他接口和總線結(jié)構(gòu)進(jìn)行連接��。監(jiān)視器191或其他類型的顯示設(shè)備也通過一個(gè)諸如視頻接口190之類的接口連接到系統(tǒng)總線12����。除了監(jiān)視器外,計(jì)算機(jī)還可能包括其他外圍輸出設(shè)備�,如揚(yáng)聲器197和打印機(jī)196,它們可以通過一個(gè)輸出外圍接口195進(jìn)行連接���。
計(jì)算機(jī)可以使用與諸如遠(yuǎn)程計(jì)算機(jī)180之類的一臺(tái)或多臺(tái)遠(yuǎn)程計(jì)算機(jī)的邏輯連接在一個(gè)網(wǎng)絡(luò)環(huán)境中運(yùn)行��。遠(yuǎn)程計(jì)算機(jī)180可以是一臺(tái)個(gè)人計(jì)算機(jī)����、服務(wù)器、路由器�����、網(wǎng)絡(luò)PC���、一臺(tái)對(duì)等設(shè)備或其他通用網(wǎng)絡(luò)節(jié)點(diǎn)�,通常包括上文描述的關(guān)于計(jì)算機(jī)100的許多或者全部元素��,雖然在圖8中只顯示了內(nèi)存存儲(chǔ)設(shè)備181���。圖8中描述的邏輯連接包括局域網(wǎng)(LAN)171和廣域網(wǎng)(WAN)173,但也可以包括其他網(wǎng)絡(luò)�����。這樣的網(wǎng)絡(luò)環(huán)境在辦公室�����、企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)�����、Intranet以及因特網(wǎng)中是常見的。
當(dāng)計(jì)算機(jī)100在一個(gè)LAN網(wǎng)絡(luò)環(huán)境中使用時(shí)�,它通過網(wǎng)絡(luò)接口或適配器170連接到LAN171。當(dāng)計(jì)算機(jī)100在一個(gè)WAN網(wǎng)絡(luò)環(huán)境中使用時(shí)�����,它通常包括一個(gè)調(diào)制解調(diào)器172或其他用于在諸如因特網(wǎng)之類的WAN173建立通信的裝置���。調(diào)制解調(diào)器172可以是內(nèi)置的���,也可以是外置的,可以通過用戶輸入接口160或其他相應(yīng)的機(jī)制連接到系統(tǒng)總線121���。在網(wǎng)絡(luò)環(huán)境中���,涉及個(gè)人計(jì)算機(jī)100的程序模塊,或者它的一部分���,可以存儲(chǔ)在遠(yuǎn)程內(nèi)存存儲(chǔ)設(shè)備中�。作為示例����,而不限于��,圖8顯示了駐留在存儲(chǔ)設(shè)備181上的遠(yuǎn)程應(yīng)用程序185����。顯然����,這里顯示的網(wǎng)絡(luò)連接是示范性的,也可以使用其他裝置在計(jì)算機(jī)之間建立通信鏈路�。
雖然上文描述了特定的實(shí)現(xiàn)和實(shí)施例的詳細(xì)信息,但是這樣的詳細(xì)信息用于滿足法定的說明義務(wù)�,而不是限制下面的權(quán)利要求的范圍。因此�,如權(quán)利要求定義的本發(fā)明不僅限于上文描述的特定功能?�?梢栽谒降臋?quán)利要求的相應(yīng)的范圍內(nèi)進(jìn)行任何形式的修改�,并相應(yīng)地根據(jù)等價(jià)物的原理作出解釋�。
權(quán)利要求
1.一種被編程以執(zhí)行包括以下內(nèi)容的操作的服務(wù)器系統(tǒng)對(duì)客戶端設(shè)備進(jìn)行身份驗(yàn)證,以建立特定的服務(wù)器會(huì)話���;與客戶端設(shè)備共享自動(dòng)重新連接數(shù)據(jù)��;在丟失與客戶端設(shè)備的通信之后��,從客戶端設(shè)備接收一個(gè)會(huì)話驗(yàn)證符�����,該驗(yàn)證符至少部分地從自動(dòng)重新連接數(shù)據(jù)派生而來���;對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證��;在成功地對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證之后���,為特定的服務(wù)器會(huì)話自動(dòng)對(duì)客戶端設(shè)備重新進(jìn)行身份驗(yàn)證。
2.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)�����,其特征在于���,所說的重新身份驗(yàn)證是在不要求用戶憑據(jù)的情況下執(zhí)行的�。
3.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)���,其特征在于��,發(fā)送自動(dòng)重新連接數(shù)據(jù)是通過安全的數(shù)據(jù)通信通道執(zhí)行的�。
4.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng),其特征在于�,自動(dòng)重新連接數(shù)據(jù)包括隨機(jī)數(shù)。
5.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)�����,其特征在于���,自動(dòng)重新連接數(shù)據(jù)包括與特定服務(wù)器會(huì)話和隨機(jī)數(shù)關(guān)聯(lián)的會(huì)話ID��。
6.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)����,其特征在于自動(dòng)重新連接數(shù)據(jù)包括與特定服務(wù)器會(huì)話和隨機(jī)數(shù)關(guān)聯(lián)的會(huì)話ID����;會(huì)話驗(yàn)證符是至少部分地從隨機(jī)數(shù)派生而來的;所說的操作進(jìn)一步包括��,在丟失與客戶端設(shè)備的通信之后����,從客戶端設(shè)備接收會(huì)話ID�����。
7.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng),其特征在于所說的操作進(jìn)一步包括�,在丟失與客戶端設(shè)備的通信之后,與客戶端設(shè)備共享一個(gè)隨機(jī)數(shù)��;會(huì)話驗(yàn)證符是至少部分地從共享的隨機(jī)數(shù)和自動(dòng)重新連接數(shù)據(jù)派生而來的����。
8.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng),其特征在于所說的操作進(jìn)一步包括��,在丟失與客戶端設(shè)備的通信之后����,與客戶端設(shè)備共享隨機(jī)數(shù);會(huì)話驗(yàn)證符是至少部分地基于(a)共享隨機(jī)數(shù)和(b)自動(dòng)重新連接數(shù)據(jù)的單向哈希�����。
9.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)����,其特征在于自動(dòng)重新連接數(shù)據(jù)包括第一個(gè)隨機(jī)數(shù);所說的操作進(jìn)一步包括,在丟失與客戶端設(shè)備的通信之后����,與客戶端設(shè)備共享第二個(gè)隨機(jī)數(shù);會(huì)話驗(yàn)證符是至少部分地從第一個(gè)和第二個(gè)隨機(jī)數(shù)派生而來的����。
10.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng),其特征在于自動(dòng)重新連接數(shù)據(jù)包括第一個(gè)隨機(jī)數(shù)���;所說的操作進(jìn)一步包括����,在丟失與客戶端設(shè)備的通信之后�����,與客戶端設(shè)備共享第二個(gè)隨機(jī)數(shù)����;會(huì)話驗(yàn)證符包括至少部分地基于第一個(gè)和第二個(gè)隨機(jī)數(shù)的單向哈希。
11.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)���,其特征在于,所說的操作進(jìn)一步包括至少定期更改自動(dòng)重新連接數(shù)據(jù)的一部分并至少將所說的變化的部分發(fā)送到客戶端設(shè)備。
12.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)�����,其特征在于�����,自動(dòng)重新連接數(shù)據(jù)包括一個(gè)隨機(jī)數(shù)�,所說的操作進(jìn)一步包括定期更改隨機(jī)數(shù)并將它發(fā)送到客戶端設(shè)備。
13.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)���,其特征在于�,對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證的操作包括在服務(wù)器系統(tǒng)上計(jì)算會(huì)話驗(yàn)證符�����,并將計(jì)算出的會(huì)話驗(yàn)證符與接收到的會(huì)話驗(yàn)證符進(jìn)行比較����。
14.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng),進(jìn)一步包括一個(gè)操作系統(tǒng)�����;在操作系統(tǒng)上的內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)通信程序組件;在操作系統(tǒng)上的非內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)服務(wù)器程序組件�,以實(shí)現(xiàn)服務(wù)器會(huì)話;其特征在于�����,通信程序組件定期至少將自動(dòng)重新連接數(shù)據(jù)的一部分重新發(fā)送到客戶端設(shè)備�,而不必由服務(wù)器程序組件觸發(fā)。
15.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)���,進(jìn)一步包括一個(gè)操作系統(tǒng)��;在操作系統(tǒng)上的內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)通信程序組件����;在操作系統(tǒng)上的非內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)服務(wù)器程序組件���,以實(shí)現(xiàn)服務(wù)器會(huì)話�;其特征在于����,通信程序組件定期至少更改自動(dòng)重新連接數(shù)據(jù)的一部分并重新發(fā)送,而不必由服務(wù)器程序組件觸發(fā)���。
16.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng)��,進(jìn)一步包括一個(gè)操作系統(tǒng)����;在操作系統(tǒng)上的內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)通信程序組件����;在操作系統(tǒng)上的非內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)服務(wù)器程序組件,以實(shí)現(xiàn)服務(wù)器會(huì)話�;其特征在于,當(dāng)通信程序組件與客戶端設(shè)備進(jìn)行通信時(shí)�����,(a)檢查以判斷自從至少發(fā)送一部分自動(dòng)重新連接數(shù)據(jù)以來預(yù)先確定的時(shí)間是否已經(jīng)消逝�����,(b)如果預(yù)先確定的時(shí)間已經(jīng)消逝����,更改和重新發(fā)送至少一部分自動(dòng)重新連接數(shù)據(jù),而不必由服務(wù)器程序組件觸發(fā)��。
17.根據(jù)權(quán)利要求1所述的服務(wù)器系統(tǒng),其特征在于所說的重新身份驗(yàn)證是在不要求用戶憑據(jù)的情況下執(zhí)行的��;自動(dòng)重新連接數(shù)據(jù)包括與特定服務(wù)器會(huì)話和第一個(gè)隨機(jī)數(shù)關(guān)聯(lián)的會(huì)話ID����;發(fā)送自動(dòng)重新連接數(shù)據(jù)是通過安全的數(shù)據(jù)通信通道執(zhí)行的;所說的操作進(jìn)一步包括�,在丟失與客戶端設(shè)備的通信之后從客戶端設(shè)備接收會(huì)話ID;以及與客戶端設(shè)備共享第二個(gè)隨機(jī)數(shù)�����;會(huì)話驗(yàn)證符是至少部分地從第一個(gè)和第二個(gè)隨機(jī)數(shù)派生而來的��;以及對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證的操作包括在服務(wù)器上計(jì)算會(huì)話驗(yàn)證符��,并將計(jì)算出的會(huì)話驗(yàn)證符與接收到的會(huì)話驗(yàn)證符進(jìn)行比較��。
18.一種被編程以執(zhí)行包括以下內(nèi)容的操作的終端服務(wù)器系統(tǒng)與遠(yuǎn)程終端一起執(zhí)行多個(gè)服務(wù)器會(huì)話����,其特征在于,用戶應(yīng)用程序主要在終端服務(wù)器系統(tǒng)上執(zhí)行�,用戶輸入/輸出是通過遠(yuǎn)程終端執(zhí)行的;請(qǐng)求用戶憑據(jù)以對(duì)特定遠(yuǎn)程終端進(jìn)行身份驗(yàn)證���,以建立特定的服務(wù)器會(huì)話�;通過安全的通信通道與特定遠(yuǎn)程終端共享自動(dòng)重新連接數(shù)據(jù),自動(dòng)重新連接數(shù)據(jù)包括第一個(gè)隨機(jī)數(shù)���;在發(fā)生通信故障之后與特定遠(yuǎn)程終端重新建立通信�����;在重新建立通信之后與特定遠(yuǎn)程終端共享第二個(gè)隨機(jī)數(shù);從特定遠(yuǎn)程終端接收一個(gè)會(huì)話驗(yàn)證符�,該驗(yàn)證符至少部分地從第一個(gè)和第二個(gè)隨機(jī)數(shù)派生而來;對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證��;在成功地對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證之后�����,為特定的服務(wù)器會(huì)話自動(dòng)對(duì)特定遠(yuǎn)程終端重新進(jìn)行身份驗(yàn)證�����,而不必再次要求用戶憑據(jù)�����。
19.根據(jù)權(quán)利要求18所述的服務(wù)器系統(tǒng),其特征在于自動(dòng)重新連接數(shù)據(jù)包括與特定服務(wù)器會(huì)話關(guān)聯(lián)的會(huì)話ID�;以及所說的操作進(jìn)一步包括,在重新建立通信之后����,從特定遠(yuǎn)程終端接收會(huì)話ID。
20.根據(jù)權(quán)利要求18所述的服務(wù)器系統(tǒng)�,其特征在于,會(huì)話驗(yàn)證符是至少部分地基于第一個(gè)隨機(jī)數(shù)的單向哈希���。
21.根據(jù)權(quán)利要求18所述的服務(wù)器系統(tǒng)����,操作進(jìn)一步包括在重新建立通信之后�����,與特定遠(yuǎn)程終端共享第二個(gè)隨機(jī)數(shù)�;其特征在于,會(huì)話驗(yàn)證符是至少部分地從第一個(gè)和第二個(gè)隨機(jī)數(shù)派生而來的���。
22.根據(jù)權(quán)利要求18所述的服務(wù)器系統(tǒng)�����,操作進(jìn)一步包括在重新建立通信之后�,與特定遠(yuǎn)程終端共享第二個(gè)隨機(jī)數(shù);其特征在于����,會(huì)話驗(yàn)證符是至少部分地基于第一個(gè)和第二個(gè)隨機(jī)數(shù)的單向哈希。
23.根據(jù)權(quán)利要求18所述的服務(wù)器系統(tǒng)�,其特征在于,所說的操作進(jìn)一步包括定期更改所說的第一個(gè)隨機(jī)數(shù)并將它重新發(fā)送到特定的遠(yuǎn)程終端��。
24.根據(jù)權(quán)利要求18所述的服務(wù)器系統(tǒng)����,其特征在于���,對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證的操作包括在終端服務(wù)器系統(tǒng)上計(jì)算會(huì)話驗(yàn)證符�����,并將計(jì)算出的會(huì)話驗(yàn)證符與接收到的會(huì)話驗(yàn)證符進(jìn)行比較��。
25.根據(jù)權(quán)利要求18所述的服務(wù)器系統(tǒng)����,操作進(jìn)一步包括一個(gè)操作系統(tǒng);在操作系統(tǒng)上的內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)通信程序組件�;在操作系統(tǒng)上的非內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)服務(wù)器程序組件,以實(shí)現(xiàn)服務(wù)器會(huì)話��;其特征在于��,通信程序組件定期更改第一個(gè)隨機(jī)數(shù)并將它重新發(fā)送到特定遠(yuǎn)程終端�����,而不必由服務(wù)器程序組件觸發(fā)�。
26.根據(jù)權(quán)利要求18所述的服務(wù)器系統(tǒng),進(jìn)一步包括一個(gè)操作系統(tǒng)���;在操作系統(tǒng)上的內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)通信程序組件�;在操作系統(tǒng)上的非內(nèi)核模式下執(zhí)行的一個(gè)或多個(gè)服務(wù)器程序組件���,以實(shí)現(xiàn)服務(wù)器會(huì)話�;其特征在于���,當(dāng)通信程序組件與特定遠(yuǎn)程終端進(jìn)行通信時(shí)���,(a)檢查以判斷自從發(fā)送第一個(gè)隨機(jī)數(shù)以來預(yù)先確定的時(shí)間是否已經(jīng)消逝����,以及(b)如果預(yù)先確定的時(shí)間已經(jīng)消逝�,更改第一個(gè)隨機(jī)數(shù)并將它重新發(fā)送到特定遠(yuǎn)程終端,而不必由服務(wù)器程序組件觸發(fā)����。
27.一種被編程以執(zhí)行包括以下內(nèi)容的操作的客戶端設(shè)備向服務(wù)器系統(tǒng)提供用戶憑據(jù)以便服務(wù)器系統(tǒng)對(duì)客戶端設(shè)備進(jìn)行身份驗(yàn)證;在服務(wù)器系統(tǒng)上啟動(dòng)服務(wù)器會(huì)話��,服務(wù)器會(huì)話與客戶端設(shè)備關(guān)聯(lián)���;與服務(wù)器系統(tǒng)共享自動(dòng)重新連接數(shù)據(jù)���,自動(dòng)重新連接數(shù)據(jù)包括會(huì)話ID和第一個(gè)隨機(jī)數(shù)��;至少部分地從第一個(gè)隨機(jī)數(shù)派生會(huì)話驗(yàn)證符��;在丟失與服務(wù)器系統(tǒng)的通信并重新建立通信之后���,由服務(wù)器系統(tǒng)請(qǐng)求自動(dòng)重新身份驗(yàn)證�,而不必提供用戶憑據(jù),其特征在于����,所說的請(qǐng)求包括向服務(wù)器系統(tǒng)發(fā)送會(huì)話驗(yàn)證符。
28.根據(jù)權(quán)利要求27所述的客戶端設(shè)備�,其特征在于所說的操作進(jìn)一步包括,在丟失與服務(wù)器系統(tǒng)的通信之后���,與服務(wù)器系統(tǒng)共享第二個(gè)隨機(jī)數(shù)�����;至少部分地從第一個(gè)和第二個(gè)隨機(jī)數(shù)派生會(huì)話驗(yàn)證符���。
29.根據(jù)權(quán)利要求27所述的客戶端設(shè)備,其特征在于��,所說的操作進(jìn)一步包括定期與服務(wù)器系統(tǒng)共享變化的第一個(gè)隨機(jī)數(shù)
30.根據(jù)權(quán)利要求27所述的客戶端設(shè)備�����,其特征在于���,自動(dòng)重新連接數(shù)據(jù)是從服務(wù)器系統(tǒng)接收到的
31.根據(jù)權(quán)利要求27所述的客戶端設(shè)備����,其特征在于,所說的請(qǐng)求進(jìn)一步包括向服務(wù)器系統(tǒng)發(fā)送會(huì)話ID���。
32.一種方法�,包括在客戶端設(shè)備和服務(wù)器系統(tǒng)之間建立數(shù)據(jù)通信�����;對(duì)客戶端設(shè)備進(jìn)行身份驗(yàn)證�,以建立特定的服務(wù)器會(huì)話;在客戶端設(shè)備和服務(wù)器系統(tǒng)之間共享自動(dòng)重新連接數(shù)據(jù)���;至少從自動(dòng)重新連接數(shù)據(jù)的一部分在客戶端設(shè)備派生客戶端會(huì)話驗(yàn)證符�����;在發(fā)生通信故障之后在客戶端設(shè)備和服務(wù)器系統(tǒng)之間重新建立數(shù)據(jù)通信��;在重新建立數(shù)據(jù)通信之后����,從客戶端設(shè)備向服務(wù)器系統(tǒng)提供客戶端會(huì)話驗(yàn)證符���;至少從自動(dòng)重新連接數(shù)據(jù)的一部分服務(wù)器系統(tǒng)派生服務(wù)器會(huì)話驗(yàn)證符����;通過將客戶端會(huì)話驗(yàn)證符與服務(wù)器會(huì)話驗(yàn)證符進(jìn)行比較來對(duì)其進(jìn)行驗(yàn)證���;在成功地對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證之后�,為特定的服務(wù)器會(huì)話自動(dòng)對(duì)客戶端設(shè)備重新進(jìn)行身份驗(yàn)證����。
33.根據(jù)權(quán)利要求32所述的方法,其特征在于�,所說的重新身份驗(yàn)證是在不要求用戶憑據(jù)的情況下執(zhí)行的。
34.根據(jù)權(quán)利要求32所述的方法�����,其特征在于���,自動(dòng)重新連接數(shù)據(jù)包括隨機(jī)數(shù)�����。
35.根據(jù)權(quán)利要求32所述的方法���,其特征在于��,自動(dòng)重新連接數(shù)據(jù)包括與特定服務(wù)器會(huì)話和隨機(jī)數(shù)關(guān)聯(lián)的會(huì)話ID���。
36.根據(jù)權(quán)利要求32所述的方法,進(jìn)一步包括在重新建立數(shù)據(jù)通信之后�,在客戶端設(shè)備和服務(wù)器設(shè)備之間共享隨機(jī)數(shù);以及其特征在于����,客戶端會(huì)話驗(yàn)證符和服務(wù)器會(huì)話驗(yàn)證符是至少部分地從共享的隨機(jī)數(shù)和自動(dòng)重新連接數(shù)據(jù)派生而來的。
37.根據(jù)權(quán)利要求32所述的方法�����,其特征在于自動(dòng)重新連接數(shù)據(jù)包括第一個(gè)隨機(jī)數(shù)�;該方法進(jìn)一步包括,在重新建立數(shù)據(jù)通信之后���,在客戶端設(shè)備和服務(wù)器設(shè)備之間共享第二個(gè)隨機(jī)數(shù)����;以及客戶端會(huì)話驗(yàn)證符和服務(wù)器會(huì)話驗(yàn)證符是至少部分地從第一個(gè)和第二個(gè)隨機(jī)數(shù)派生而來的。
38.根據(jù)權(quán)利要求32所述的方法�����,其特征在于自動(dòng)重新連接數(shù)據(jù)包括第一個(gè)隨機(jī)數(shù)�;該方法進(jìn)一步包括�,在重新建立數(shù)據(jù)通信之后,在客戶端設(shè)備和服務(wù)器設(shè)備之間共享第二個(gè)隨機(jī)數(shù)�����;以及客戶端會(huì)話驗(yàn)證符和服務(wù)器會(huì)話驗(yàn)證符包括至少部分地基于第一個(gè)和第二個(gè)隨機(jī)數(shù)的單向哈希��。
39.根據(jù)權(quán)利要求32所述的方法�,其特征在于,所說的操作進(jìn)一步包括至少定期更改自動(dòng)重新連接數(shù)據(jù)的一部分并至少在客戶端設(shè)備和服務(wù)器設(shè)備之間共享所說的變化的部分����。
40.根據(jù)權(quán)利要求32所述的方法,其特征在于���,自動(dòng)重新連接數(shù)據(jù)包括隨機(jī)數(shù)����,所說的操作進(jìn)一步包括定期更改隨機(jī)數(shù)�,并在客戶端設(shè)備和服務(wù)器設(shè)備之間共享該隨機(jī)數(shù)���。
41.根據(jù)權(quán)利要求32所述的方法,進(jìn)一步包括在操作系統(tǒng)上的內(nèi)核模式下執(zhí)行一個(gè)或多個(gè)通信程序組件��;在操作系統(tǒng)上的非內(nèi)核模式下執(zhí)行一個(gè)或多個(gè)服務(wù)器程序組件�����,以實(shí)現(xiàn)服務(wù)器會(huì)話�;通信程序組件定期更改自動(dòng)重新連接數(shù)據(jù)并至少將自動(dòng)重新連接數(shù)據(jù)的一部分重新發(fā)送到客戶端設(shè)備,而不必由服務(wù)器程序組件觸發(fā)���。
42.根據(jù)權(quán)利要求32所述的方法���,進(jìn)一步包括在操作系統(tǒng)上的內(nèi)核模式下執(zhí)行一個(gè)或多個(gè)通信程序組件;在操作系統(tǒng)上的非內(nèi)核模式下執(zhí)行一個(gè)或多個(gè)服務(wù)器程序組件�,以實(shí)現(xiàn)服務(wù)器會(huì)話;當(dāng)通信程序組件與客戶端設(shè)備進(jìn)行通信時(shí)�����,(a)檢查以判斷自從至少發(fā)送一部分自動(dòng)重新連接數(shù)據(jù)以來預(yù)先確定的時(shí)間是否已經(jīng)消逝��,(b)如果預(yù)先確定的時(shí)間已經(jīng)消逝,更改和重新發(fā)送至少一部分自動(dòng)重新連接數(shù)據(jù)�����,而不必由服務(wù)器程序組件觸發(fā)�����。
43.一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)�,包含可由計(jì)算機(jī)執(zhí)行的指令以執(zhí)行包括以下內(nèi)容的操作與客戶端設(shè)備建立通信�����;通過客戶端設(shè)備請(qǐng)求用戶憑據(jù)以為特定的服務(wù)器會(huì)話對(duì)客戶端設(shè)備進(jìn)行身份驗(yàn)證��;與客戶端設(shè)備共享自動(dòng)重新連接數(shù)據(jù)���,自動(dòng)重新連接數(shù)據(jù)包括第一個(gè)隨機(jī)數(shù)�;在發(fā)生通信故障之后與客戶端設(shè)備重新建立通信����;從特定客戶端設(shè)備接收一個(gè)會(huì)話驗(yàn)證符,該驗(yàn)證符至少部分地從第一個(gè)隨機(jī)數(shù)派生而來�����;對(duì)接收到的會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證;在成功地對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證之后���,為特定的服務(wù)器會(huì)話自動(dòng)對(duì)特定客戶端設(shè)備重新進(jìn)行身份驗(yàn)證����,而不必再次要求用戶憑據(jù)���。
44.根據(jù)權(quán)利要求43所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)��,其特征在于自動(dòng)重新連接數(shù)據(jù)包括與特定服務(wù)器會(huì)話關(guān)聯(lián)的會(huì)話ID���;以及所說的操作進(jìn)一步包括,在重新建立通信之后���,從客戶端設(shè)備接收會(huì)話ID����。
45.根據(jù)權(quán)利要求43所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)���,其特征在于���,會(huì)話驗(yàn)證符是至少部分地基于第一個(gè)隨機(jī)數(shù)的單向哈希��。
46.根據(jù)權(quán)利要求43所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)���,操作進(jìn)一步包括在重新建立通信之后,與客戶端設(shè)備共享第二個(gè)隨機(jī)數(shù)���;其特征在于�����,會(huì)話驗(yàn)證符是至少部分地從第一個(gè)和第二個(gè)隨機(jī)數(shù)派生而來的。
47.根據(jù)權(quán)利要求43所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)����,操作進(jìn)一步包括在重新建立通信之后,與客戶端設(shè)備共享第二個(gè)隨機(jī)數(shù)����;其特征在于,會(huì)話驗(yàn)證符是至少部分地基于第一個(gè)和第二個(gè)隨機(jī)數(shù)的單向哈希���。
48.根據(jù)權(quán)利要求43所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)�,其特征在于,所說的操作進(jìn)一步包括定期更改所說的第一個(gè)隨機(jī)數(shù)并將它重新發(fā)送到客戶端設(shè)備�����。
49.根據(jù)權(quán)利要求43所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)�,操作進(jìn)一步包括在操作系統(tǒng)上的內(nèi)核模式下執(zhí)行一個(gè)或多個(gè)通信程序組件;在操作系統(tǒng)上的非內(nèi)核模式下執(zhí)行一個(gè)或多個(gè)服務(wù)器程序組件���,以實(shí)現(xiàn)服務(wù)器會(huì)話���;通信程序組件定期更改第一個(gè)隨機(jī)數(shù)并將它重新發(fā)送到客戶端設(shè)備,而不必由服務(wù)器程序組件觸發(fā)�����。
50.根據(jù)權(quán)利要求43所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)����,操作進(jìn)一步包括在操作系統(tǒng)上的內(nèi)核模式下執(zhí)行一個(gè)或多個(gè)通信程序組件;在操作系統(tǒng)上的非內(nèi)核模式下執(zhí)行一個(gè)或多個(gè)服務(wù)器程序組件���,以實(shí)現(xiàn)服務(wù)器會(huì)話�����;當(dāng)通信程序組件與客戶端設(shè)備進(jìn)行通信時(shí)�����,(a)檢查以判斷自從發(fā)送第一個(gè)隨機(jī)數(shù)以來預(yù)先確定的時(shí)間是否已經(jīng)消逝���,以及(b)如果預(yù)先確定的時(shí)間已經(jīng)消逝�����,更改第一個(gè)隨機(jī)數(shù)并將它重新發(fā)送到客戶端設(shè)備�,而不必由服務(wù)器程序組件觸發(fā)�。
51.一個(gè)或多個(gè)客戶端計(jì)算機(jī)可讀的介質(zhì)���,包含可由客戶端計(jì)算機(jī)執(zhí)行的指令以執(zhí)行包括以下內(nèi)容的操作向服務(wù)器系統(tǒng)提供用戶憑據(jù)以便服務(wù)器系統(tǒng)對(duì)客戶端計(jì)算機(jī)進(jìn)行身份驗(yàn)證�;在服務(wù)器系統(tǒng)上啟動(dòng)服務(wù)器會(huì)話�����,服務(wù)器會(huì)話與客戶端計(jì)算機(jī)關(guān)聯(lián)���;與服務(wù)器系統(tǒng)共享自動(dòng)重新連接數(shù)據(jù)�,自動(dòng)重新連接數(shù)據(jù)包括會(huì)話ID和第一個(gè)隨機(jī)數(shù);在丟失與服務(wù)器系統(tǒng)的通信并重新建立通信之后���,由服務(wù)器系統(tǒng)請(qǐng)求自動(dòng)重新身份驗(yàn)證���,而不必提供用戶憑據(jù),其特征在于���,所說的請(qǐng)求包括與服務(wù)器系統(tǒng)共享第二個(gè)隨機(jī)數(shù)�����;至少部分地從第一個(gè)和第二個(gè)隨機(jī)數(shù)派生會(huì)話驗(yàn)證符�;以及向服務(wù)器系統(tǒng)發(fā)送會(huì)話驗(yàn)證符�����。
52.根據(jù)權(quán)利要求51所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)��,其特征在于��,所說的操作進(jìn)一步包括定期與服務(wù)器系統(tǒng)共享變化的第一個(gè)隨機(jī)數(shù)
53.根據(jù)權(quán)利要求51所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)����,其特征在于�����,自動(dòng)重新連接數(shù)據(jù)是從服務(wù)器系統(tǒng)接收到的
54.根據(jù)權(quán)利要求51所述的一個(gè)或多個(gè)計(jì)算機(jī)可讀的介質(zhì)����,其特征在于�,所說的請(qǐng)求進(jìn)一步包括向服務(wù)器系統(tǒng)發(fā)送會(huì)話ID。
全文摘要
本發(fā)明公開了一種能夠進(jìn)行自動(dòng)重新驗(yàn)證的服務(wù)器系統(tǒng)和方法�。在服務(wù)器系統(tǒng)成功地對(duì)客戶端設(shè)備進(jìn)行身份驗(yàn)證之后,客戶端設(shè)備和服務(wù)器系統(tǒng)共享自動(dòng)重新連接數(shù)據(jù)����。在隨后丟失與服務(wù)器系統(tǒng)的通信并重新建立通信之后,客戶端向服務(wù)器發(fā)送自動(dòng)身份驗(yàn)證請(qǐng)求��。自動(dòng)身份驗(yàn)證請(qǐng)求包括會(huì)話驗(yàn)證器����,該驗(yàn)證器至少部分地基于共享的自動(dòng)重新連接數(shù)據(jù)����。服務(wù)器對(duì)會(huì)話驗(yàn)證符進(jìn)行驗(yàn)證。如果驗(yàn)證是成功的�����,服務(wù)器就自動(dòng)對(duì)客戶端設(shè)備重新進(jìn)行身份驗(yàn)證。
文檔編號(hào)G06F13/10GK1448861SQ0310871
公開日2003年10月15日 申請(qǐng)日期2003年3月28日 優(yōu)先權(quán)日2002年4月1日
發(fā)明者納迪姆·Y·阿波多, 阿達(dá)拇·J·歐文頓, 杰森·加姆斯, 小約翰·E·帕森斯, 阿爾文·羅, 斯科特·A·菲爾德 申請(qǐng)人:微軟公司