專利名稱:級(jí)聯(lián)認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)處理系統(tǒng)領(lǐng)域�����,并且具體地��,涉及用于實(shí)現(xiàn)用于基于由 用戶到其他服務(wù)器的之前認(rèn)證來將用戶認(rèn)證到服務(wù)器的級(jí)聯(lián)認(rèn)證系統(tǒng)的系 纟充�����、方法禾�。介質(zhì)�。
背景技術(shù):
在現(xiàn)有技術(shù)中計(jì)算機(jī)系統(tǒng)眾所周知,并且實(shí)現(xiàn)了廣泛使用���,用于為如今 的現(xiàn)代社會(huì)的許多部分提供計(jì)算機(jī)能力��。因?yàn)榘雽?dǎo)體處理和計(jì)算機(jī)體系的進(jìn) 步持續(xù)向更高的方向推動(dòng)計(jì)算機(jī)硬件的性能�,所以更復(fù)雜的計(jì)算機(jī)軟件已經(jīng) 演進(jìn)以利用硬件的更高性能��,導(dǎo)致計(jì)算機(jī)系統(tǒng)持續(xù)在復(fù)雜度和能力方面增 長(zhǎng)���。計(jì)算機(jī)系統(tǒng)從而已經(jīng)演進(jìn)為極其復(fù)雜的設(shè)備��,可以在許多不同的環(huán)境中 找到��。
許多組織將服務(wù)器計(jì)算機(jī)系統(tǒng)用于更復(fù)雜的任務(wù)��,例如提供電子商務(wù) 網(wǎng)站����、提供復(fù)雜的多用戶應(yīng)用、維護(hù)大型數(shù)據(jù)庫��、或者執(zhí)行其他資源密集 (resource-intensive)的任務(wù)�。具有顯著的計(jì)算需要的組織通常具有許多服 務(wù)器�,這些服務(wù)器與經(jīng)由諸如局域網(wǎng)(LAN)的網(wǎng)絡(luò)互相通信的服務(wù)器一起 執(zhí)行多種任務(wù)。在這些系統(tǒng)中�,單獨(dú)的用戶可以與服務(wù)器交互以接入各種各 樣的系統(tǒng)資源,比如應(yīng)用����、數(shù)據(jù)庫或其他資源,使得系統(tǒng)資源可以被多個(gè)用 戶共享�。
用戶通常通過成功地導(dǎo)航(navigating)在不同級(jí)別處的認(rèn)證而到達(dá)他們 的目標(biāo)服務(wù)器(例如,他們期望獲得接入的軟件服務(wù)器)���。例如�,期望接入 作為數(shù)據(jù)庫的目標(biāo)服務(wù)器的用戶可能首先需要認(rèn)證到他們計(jì)算機(jī)的操作系 統(tǒng)����,接著從因特網(wǎng)認(rèn)證到虛擬私有網(wǎng)(VPN)以接入公司網(wǎng)絡(luò)���,然后認(rèn)證到 防火墻以接入實(shí)驗(yàn)室,并且最后以位于實(shí)驗(yàn)室中機(jī)器上的數(shù)據(jù)庫來認(rèn)證�。其 他認(rèn)證步驟是可能的,例如建立登陸到遠(yuǎn)程機(jī)器的遠(yuǎn)程控制會(huì)話���,諸如使用 SSH或Telnet的遠(yuǎn)程外殼(shell)會(huì)話,或者其他步驟�����。
然而�,如果黑客可以"跳過"多個(gè)層并且從目標(biāo)服務(wù)器盡可能少的層開始他們的認(rèn)證嘗試,則這種級(jí)聯(lián)認(rèn)證的系統(tǒng)可能導(dǎo)致安全風(fēng)險(xiǎn)���。例如��,如果 有人期望偽裝成特別的用戶�����,則更容易得多的是猜測(cè)或獲取一組證書
(credential)而不是多組(假設(shè)每層具有不同的證書)�����。因此典型地�����,更容 易的是作為"內(nèi)部者"獲得未授權(quán)的接入��,這部分因?yàn)榇嬖诟俚膶?���。在說 明性例子中,具有四層認(rèn)證的系統(tǒng)可以被假設(shè)為外部墻具有95%的機(jī)會(huì)阻 止黑客�,內(nèi)部防火墻具有93%的機(jī)會(huì),安全系統(tǒng)具有90%的機(jī)會(huì)�����,以及應(yīng)用 層認(rèn)證具有85%的機(jī)會(huì)��。采用所有方式從外界到應(yīng)用的累積概率為1減去在 通過系統(tǒng)級(jí)聯(lián)的每點(diǎn)處被停下來的機(jī)會(huì)��,得到(0.05 ) (0.07) (0.10) (0.15) =0.0000525的概率����。相反,在本例子中具有到應(yīng)用的直接接入的內(nèi)部者將 具有15%的機(jī)會(huì)(0.15)來穿透(penetrating)應(yīng)用����,因?yàn)樗麄儽苊饬酥?層的認(rèn)證�����。
系統(tǒng)設(shè)計(jì)者已經(jīng)嘗試解決黑客通過仿效內(nèi)部者來跳過認(rèn)證的層的問題���。
限制到指定的地址。然而��,這種解決方案經(jīng)常是不現(xiàn)實(shí)的����,特別是當(dāng)牽涉到 VPN時(shí)�����。而且��,這種解決方案在共享所授權(quán)的機(jī)器時(shí)是不充分的�����,沒有完全 利用所有的認(rèn)證層�����,并且可容易地被欺騙(spoofed )。另一種已知的解決方 案是要求額外的認(rèn)證�����,例如智能卡或其他設(shè)備�����。然而����,這種解決方案要求顯 著的基礎(chǔ)設(shè)施成本并且增加用戶的非便利性。如果用戶需要認(rèn)證多層����,則將 惡化這些問題,因?yàn)榈湫偷?��,?duì)于多層中的每層將要求單獨(dú)的智能卡���。
發(fā)明內(nèi)容
通過用于基于之前到其他服務(wù)器的認(rèn)證來將用戶認(rèn)證到服務(wù)器的系統(tǒng)、 方法和介質(zhì),大部分解決了上述的問題�����。
用于將用戶認(rèn)證到服務(wù)器的方法的實(shí)施例可以包括接收用于將用戶認(rèn) 證到服務(wù)器的請(qǐng)求�,以及確定認(rèn)證用戶是否要求匹配認(rèn)證計(jì)劃。如果要求計(jì) 劃�,則該方法還可以包括訪問具有認(rèn)證記錄的所存儲(chǔ)的認(rèn)證計(jì)劃,每個(gè)認(rèn) 證記錄具有與用戶接入到在認(rèn)證的之前層處的不同的指定的服務(wù)器而不是 目標(biāo)服務(wù)器相關(guān)的期望的信息�。該方法還可以包括從認(rèn)證存儲(chǔ)接收用戶的 當(dāng)前認(rèn)證計(jì)劃的指示,在認(rèn)證存儲(chǔ)中計(jì)劃具有授權(quán)記錄��,且每個(gè)授權(quán)記錄具 有與用戶接入到在認(rèn)證的之前層處的指定的不同的服務(wù)器而不是目標(biāo)服務(wù) 器相關(guān)的當(dāng)前信息��。該方法的實(shí)施例還可以包括將所存儲(chǔ)的認(rèn)證計(jì)劃和所
8接收的當(dāng)前認(rèn)證計(jì)劃相比較以確定它們是否匹配�,以及響應(yīng)于匹配來認(rèn)證用戶����。
另 一 實(shí)施例提供了計(jì)算機(jī)程序產(chǎn)品,該計(jì)算機(jī)程序產(chǎn)品包括具有計(jì)算機(jī) 可讀程序的計(jì)算機(jī)可用介質(zhì)�����,其中當(dāng)在計(jì)算機(jī)上執(zhí)行該計(jì)算機(jī)可讀程序時(shí)�����, 該計(jì)算機(jī)可讀程序引起計(jì)算機(jī)執(zhí)行用于將用戶認(rèn)證到服務(wù)器的一系列操作。 該一系列操作總的來說包括接收用于將用戶認(rèn)證到服務(wù)器的請(qǐng)求�����,以及確 定認(rèn)證用戶是否要求匹配認(rèn)證計(jì)劃����。如果要求計(jì)劃,則該一系列操作還可以
包括訪問具有認(rèn)證記錄的所存儲(chǔ)的認(rèn)證計(jì)劃�,每個(gè)認(rèn)證記錄具有與用戶接
入到在認(rèn)證的之前層處的不同的指定的服務(wù)器而不是目標(biāo)服務(wù)器相關(guān)的期
望的信息。該一系列操作的實(shí)施例還可以包括從認(rèn)證存儲(chǔ)接收用戶的當(dāng)前 認(rèn)證計(jì)劃的標(biāo)識(shí)�����,在認(rèn)證存儲(chǔ)中計(jì)劃具有授權(quán)記錄����,每個(gè)授權(quán)記錄具有與用 戶接入到在認(rèn)證的之前層處的指定的不同的服務(wù)器而不是目標(biāo)服務(wù)器相關(guān) 的當(dāng)前信息。該一系列操作的實(shí)施例還可以包括將所存儲(chǔ)的認(rèn)證計(jì)劃與所 接收的當(dāng)前認(rèn)證計(jì)劃相比較以確定它們是否匹配�,以及響應(yīng)于匹配來認(rèn)證用 戶
另外的實(shí)施例提供了級(jí)聯(lián)認(rèn)證系統(tǒng)。級(jí)聯(lián)認(rèn)證系統(tǒng)可以包括目標(biāo)服務(wù) 器��,其具有用于訪問與用戶請(qǐng)求接入到該目標(biāo)服務(wù)器相關(guān)聯(lián)的所存儲(chǔ)的認(rèn)證 計(jì)劃的認(rèn)證計(jì)劃管理器���,其中所存儲(chǔ)的認(rèn)證計(jì)劃包括一個(gè)或多個(gè)認(rèn)證記錄����, 每個(gè)認(rèn)證記錄具有與由用戶接入到在認(rèn)證的之前層處的不同的指定的服務(wù) 器而不是目標(biāo)服務(wù)器相關(guān)的期望的信息。該級(jí)聯(lián)認(rèn)證系統(tǒng)還可以包括認(rèn)證存 儲(chǔ)����,用于存儲(chǔ)與用戶相關(guān)聯(lián)的當(dāng)前認(rèn)證計(jì)劃,其中當(dāng)前認(rèn)證計(jì)劃包括一個(gè)或 多個(gè)認(rèn)證記錄�,每個(gè)認(rèn)證記錄具有與由用戶接入到在認(rèn)證的之前層處的不同 的指定的服務(wù)器而不是目標(biāo)服務(wù)器相關(guān)的當(dāng)前信息。該級(jí)聯(lián)認(rèn)證系統(tǒng)的實(shí)施 例還可以包括認(rèn)證存儲(chǔ)管理器�����,用于向目標(biāo)服務(wù)器的認(rèn)證計(jì)劃管理器提供與 指定的用戶相關(guān)聯(lián)的當(dāng)前認(rèn)證計(jì)劃�����,其中目標(biāo)服務(wù)器的認(rèn)證計(jì)劃管理器確定 是否基于針對(duì)用戶的所存儲(chǔ)的認(rèn)證計(jì)劃和針對(duì)用戶的當(dāng)前認(rèn)證計(jì)劃之間的 比較來認(rèn)證用戶�。
另 一實(shí)施例提供了用于將用戶認(rèn)證到目標(biāo)服務(wù)器的方法���。該方法的實(shí)施 例可以包括對(duì)在認(rèn)證到目標(biāo)服務(wù)器的之前層處的一個(gè)或多個(gè)服務(wù)器執(zhí)行認(rèn) 證步驟��,以及將對(duì)于每個(gè)所執(zhí)行的認(rèn)證步驟的認(rèn)證事件記錄存儲(chǔ)在認(rèn)證存儲(chǔ) 中�。該方法的實(shí)施例還可以包括嘗試認(rèn)證到目標(biāo)服務(wù)器,其中該目標(biāo)服務(wù)器要求與用戶相關(guān)聯(lián)的認(rèn)證計(jì)劃�����。該方法的實(shí)施例還可以包括接收是否許 可接入到目標(biāo)服務(wù)器的指示�。
優(yōu)選地,認(rèn)證計(jì)劃的每個(gè)認(rèn)證記錄包括服務(wù)器標(biāo)識(shí)符和認(rèn)證事件事實(shí)����。 更優(yōu)選地,認(rèn)證存儲(chǔ)是加密數(shù)據(jù)庫�。仍然更優(yōu)選地,認(rèn)證存儲(chǔ)管理器在請(qǐng)求 接入到目標(biāo)服務(wù)器的用戶的用戶計(jì)算機(jī)系統(tǒng)的非易失存儲(chǔ)器中執(zhí)行����。仍然更 優(yōu)選地,認(rèn)證存儲(chǔ)管理器在受信任的第三方計(jì)算機(jī)系統(tǒng)上執(zhí)行�����。仍然更優(yōu)選 地���,響應(yīng)于接收不許可接入到目標(biāo)服務(wù)器的指示���,解決與目標(biāo)服務(wù)器的認(rèn)證 計(jì)劃不匹配�。
通過閱讀之后的具體實(shí)施方式
并且通過參考附圖��,本發(fā)明的某些實(shí)施例 的方面將變得明顯���,在附圖中����,類似的附圖標(biāo)記可表示類似元件
圖1示出了根據(jù)一些實(shí)施例的具有用戶計(jì)算機(jī)系統(tǒng)�����、多個(gè)目標(biāo)服務(wù)器和 認(rèn)證存儲(chǔ)的級(jí)聯(lián)認(rèn)證系統(tǒng)的環(huán)境�����;
圖2示出了適于用作級(jí)聯(lián)認(rèn)證系統(tǒng)的部件的計(jì)算機(jī)系統(tǒng)的一個(gè)實(shí)施例的 框圖3示出了根據(jù)一些實(shí)施例的認(rèn)證計(jì)劃管理器的軟件部件的概念性說
明��;
圖4示出了根據(jù)一些實(shí)施例的認(rèn)證存儲(chǔ)管理器的軟件部件的概念性說
明��;
圖5示出了根據(jù)一些實(shí)施例的用于為特定用戶和目標(biāo)服務(wù)器創(chuàng)建認(rèn)證計(jì) 劃的流程圖的例子����;
圖6示出了根據(jù)一些實(shí)施例的用于通過用戶認(rèn)證到目標(biāo)服務(wù)器的流程圖 的例子�����;以及
圖7示出了根據(jù)一些實(shí)施例的用于通過目標(biāo)服務(wù)器認(rèn)證用戶的流程圖的例子。
具體實(shí)施例方式
下面是在附圖中示出的本發(fā)明的例子實(shí)施例的詳細(xì)描述����。例子實(shí)施例以 這種詳細(xì)的方式是為了清楚地說明本發(fā)明。然而��,提供的細(xì)節(jié)量并不試圖限 制實(shí)施例所預(yù)期的變形����;相反,本發(fā)明覆蓋了所有落入由所附權(quán)利要求定義的本發(fā)明的精神和范圍內(nèi)的修改�����、等效和替換���。下面的描述被設(shè)計(jì)為使得這 些實(shí)施例對(duì)于本領(lǐng)域普通技術(shù)人員是明顯的�。
大體上講�,本發(fā)明公開了用于基于到其他服務(wù)器的之前認(rèn)證來將用戶認(rèn) 證到服務(wù)器的系統(tǒng)、方法和介質(zhì)��。用于將用戶認(rèn)證到服務(wù)器的方法的實(shí)施例
可以包括接收用于將用戶認(rèn)證到服務(wù)器的請(qǐng)求��,以及確定認(rèn)證用戶是否要 求匹配認(rèn)證計(jì)劃。如果要求計(jì)劃��,則該方法還可以包括接入具有認(rèn)證記錄 的所存〗諸的認(rèn)證計(jì)劃�����,每一個(gè)認(rèn)證記錄具有與用戶接入到在認(rèn)證的之前層處 的不同的指定的服務(wù)器而不是目標(biāo)服務(wù)器有關(guān)的期望的信息���。該方法還可以 包括從認(rèn)證存儲(chǔ)接收用戶的當(dāng)前認(rèn)證計(jì)劃的指示(indication),在認(rèn)證存 儲(chǔ)中計(jì)劃具有授權(quán)記錄�����,每一個(gè)授權(quán)記錄具有與用戶接入到在認(rèn)證的之前層 處的不同服務(wù)器��、具體服務(wù)器而不是目標(biāo)服務(wù)器有關(guān)的當(dāng)前信息��。該方法的
以確定它們是否匹配����,以及響應(yīng)于匹配來認(rèn)證用戶��。
所公開的實(shí)施例的系統(tǒng)和方法學(xué)允許通過依賴于之前完成的到其他服 務(wù)器的其他認(rèn)證���,來將用戶有效果并有效率地認(rèn)證到目標(biāo)服務(wù)器��。根據(jù)所公 開的實(shí)施例的目標(biāo)服務(wù)器被賦予能力用于核實(shí)并且要求根據(jù)認(rèn)證用戶之前 的預(yù)先建立的認(rèn)證計(jì)劃的認(rèn)證的之前層�。這種解決方案幫助阻止黑客或其他 人繞過(bypass)認(rèn)證的較早層�,例如通過假裝為"內(nèi)部者",這增加了目標(biāo) 服務(wù)器的整體安全性����。從而可以使得分層(tiered)認(rèn)證系統(tǒng)的內(nèi)部層比之前 的系統(tǒng)更安全,因?yàn)閮?nèi)部層可以更直接地受益于來自之前層的授權(quán)方案�����。在 其中商業(yè)規(guī)則或特定用戶規(guī)則要求用戶必須經(jīng)歷認(rèn)證的多個(gè)限定層的情況 下�,所公開的系統(tǒng)和方法學(xué)可以增強(qiáng)安全性,特別是來自于內(nèi)部者的安全性���。
通常�,執(zhí)行來實(shí)現(xiàn)本發(fā)明的實(shí)施例的例程可以是部分的特定應(yīng)用�、部件、 程序���、模塊����、對(duì)象或指令序列。本發(fā)明的計(jì)算機(jī)程序典型地由多指令構(gòu)成�����, 所述多指令將被本地計(jì)算機(jī)翻譯為計(jì)算機(jī)可讀的格式以及因而翻譯為可執(zhí) 行指令��。另外��,程序由變量和數(shù)據(jù)結(jié)構(gòu)構(gòu)成����,所述變量和數(shù)據(jù)結(jié)構(gòu)可本地存 在于程序中,也可以在存儲(chǔ)器中或存儲(chǔ)設(shè)備上找到�����。此外����,可以基于應(yīng)用來 識(shí)別在此描述的各種各樣的程序,它們?cè)诒景l(fā)明的特定實(shí)施例中實(shí)現(xiàn)以用于 應(yīng)用��。然而����,應(yīng)該理解的是�����,在此的任何具體程序術(shù)語僅為了方便而使用�����, 從而本發(fā)明不應(yīng)該限于僅用在由這些術(shù)語標(biāo)識(shí)和/或暗示的任何特定應(yīng)用中。
由于下面將參考硬件和/或軟件的具體配置來描述特定實(shí)施例��,本領(lǐng)域的技術(shù)人員將意識(shí)到���,本發(fā)明的實(shí)施例可用其他基本等效的硬件��、軟件系統(tǒng)����、 手動(dòng)操作或者任意這些或所有這些的任何組合來有利地實(shí)現(xiàn)����。本發(fā)明可以采 用全硬件實(shí)施例、全軟件實(shí)施例��、或者包含硬件和軟件元件的實(shí)施例的形式。 在優(yōu)選實(shí)施例中�����,本發(fā)明以軟件形式實(shí)現(xiàn)��,其包括但不限于固件���、常駐
(resident)軟件�����、微代碼等��。
在此描述的本發(fā)明的方面可被存儲(chǔ)或分布在計(jì)算機(jī)可讀介質(zhì)上���,以及電 子地分布于因特網(wǎng)或其他網(wǎng)絡(luò),包括無線網(wǎng)絡(luò)之上��。具體用于本發(fā)明的方面 的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)傳送(包括無線傳送)也被包括在本發(fā)明的范圍內(nèi)��。而且����, 本發(fā)明可以采取從提供程序代碼的計(jì)算機(jī)可讀介質(zhì)上可訪問的計(jì)算機(jī)程序 產(chǎn)品的形式����,所述程序代碼用于由計(jì)算機(jī)或任何指令執(zhí)行系統(tǒng)使用或者與計(jì) 算機(jī)或任何指令執(zhí)行系統(tǒng)有關(guān)���。為了該描述的目的�,計(jì)算機(jī)可用或計(jì)算機(jī)可 讀介質(zhì)可以是任何設(shè)備���,其可以包括�����、存儲(chǔ)、通信�����、傳播或傳送程序���,所述 代碼用于由指令執(zhí)行系統(tǒng)���、設(shè)備或裝置使用或者與指令執(zhí)行系統(tǒng)、設(shè)備或裝 置有關(guān)�����。介質(zhì)可以是電子的、 一磁的��、光的����、電》茲的、紅外線的�����、或半導(dǎo)體系 統(tǒng)(或設(shè)備或裝置)或傳播介質(zhì)����。計(jì)算機(jī)可讀介質(zhì)的例子包括半導(dǎo)體或固 態(tài)存儲(chǔ)器、磁帶�����、可拆卸計(jì)算機(jī)磁盤���、隨機(jī)存取存儲(chǔ)器(RAM)���、只讀存儲(chǔ) 器(ROM)�����、剛性》茲盤和光盤�。光盤的當(dāng)前例子包括致密盤-只讀存儲(chǔ)器 (CD-ROM )����、致密盤-讀/寫(CD-R/W)和DVD。
在此描述的每個(gè)軟件程序可以在任何類型的數(shù)據(jù)處理系統(tǒng)上操作�,例如 個(gè)人計(jì)算機(jī)、服務(wù)器等��。適于存儲(chǔ)和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)可以包 括通過系統(tǒng)總線直接或間接耦連到存儲(chǔ)器元件的至少一個(gè)處理器���。存儲(chǔ)器元 件可以包括執(zhí)行程序代碼期間使用的局部(local)存儲(chǔ)器��,塊(bulk)存 儲(chǔ),以及為至少一些程序代碼提供臨時(shí)存儲(chǔ)以減少在執(zhí)行期間必須從塊存儲(chǔ) 檢索代碼的次數(shù)的高速緩存(cache )存儲(chǔ)器����。可以直接或通過介入(intervene ) 1/0控制器將輸入/輸出(I/O)裝置(包括但不限于鍵盤�、顯示器、指針裝置 等)耦接到系統(tǒng)���。還可以將網(wǎng)絡(luò)適配器耦接到系統(tǒng)���,以使得數(shù)據(jù)處理系統(tǒng)可 以通過介入包括無線網(wǎng)絡(luò)的私有網(wǎng)或公有網(wǎng)而變?yōu)轳罱拥狡渌麛?shù)據(jù)處理系 統(tǒng)或遠(yuǎn)程打印機(jī)或存儲(chǔ)裝置�����。調(diào)制解調(diào)器�、線纜調(diào)制解調(diào)器和以太網(wǎng)卡僅僅 是網(wǎng)絡(luò)適配器的一些當(dāng)前可用的類型�����。
現(xiàn)在回到附圖��,圖1示出了根據(jù)一些實(shí)施例的具有用戶計(jì)算機(jī)系統(tǒng)��、多 個(gè)目標(biāo)服務(wù)器和認(rèn)證存儲(chǔ)的級(jí)聯(lián)認(rèn)證系統(tǒng)的環(huán)境�����。在所描述的實(shí)施例中��,級(jí)聯(lián)認(rèn)證系統(tǒng)100包括用戶計(jì)算機(jī)系統(tǒng)102以及經(jīng)由網(wǎng)絡(luò)104通信的多個(gè)目標(biāo) 服務(wù)器106��。如將在隨后描述的����,目標(biāo)服務(wù)器106是軟件意義而不是機(jī)器分 類意義的服務(wù)器��,從而可將其視為軟件實(shí)體(例如應(yīng)用�、操作系統(tǒng)��、網(wǎng)絡(luò)接 口等)���,對(duì)于該軟件實(shí)體�����,可能需要認(rèn)證來接入���。用戶計(jì)算^/L系統(tǒng)102和/或 目標(biāo)服務(wù)器106也可以經(jīng)由網(wǎng)絡(luò)104與認(rèn)證存儲(chǔ)108通信。
用戶計(jì)算機(jī)系統(tǒng)102的用戶可能期望接入作為目標(biāo)服務(wù)器106序列中的 下面一層或多層的具體目標(biāo)服務(wù)器106���,例如由防火墻目標(biāo)服務(wù)器106和操 作系統(tǒng)認(rèn)證協(xié)議保護(hù)的數(shù)據(jù)庫目標(biāo)服務(wù)器106���。如隨后將更詳細(xì)描述的��,所 公開的系統(tǒng)可以在向具體目標(biāo)服務(wù)器106提供認(rèn)證之前�����,有利地要求關(guān)于在 目標(biāo)服務(wù)器106的更低層的認(rèn)證的信息,例如通過在認(rèn)證到數(shù)據(jù)庫目標(biāo)服務(wù) 器106之前��,要求關(guān)于到防火墻或操作系統(tǒng)目標(biāo)服務(wù)器106的用戶認(rèn)證的信 息��。為了完成這個(gè)�����,目標(biāo)服務(wù)器106可以將之前存儲(chǔ)的認(rèn)證計(jì)劃和關(guān)于用戶 的當(dāng)前認(rèn)證的信息相比較����,以確定它們是否匹配。如果它們不匹配����,則目標(biāo) 服務(wù)器106可拒絕接入,因?yàn)橛脩艨赡軅窝b成內(nèi)部者以跳過多層認(rèn)證�����,而如 果它們匹配����,則用戶可被認(rèn)證到目標(biāo)服務(wù)器106�。認(rèn)證計(jì)劃可包括一個(gè)或多 個(gè)限定的認(rèn)證步驟�,所述認(rèn)證步驟在允許用戶認(rèn)證之前必須執(zhí)行。認(rèn)證計(jì)劃 的例子可能要求���,例如���,用戶也必須在可能獨(dú)立于服務(wù)器A的服務(wù)器B之 前首先在服務(wù)器A處認(rèn)證,允許用戶在即便證書不完美的情況下認(rèn)證��。認(rèn)證 計(jì)劃可以要求其所需要的或者用戶或目標(biāo)服務(wù)器106所期望的那么多的步 驟�����。
用戶可以利用根據(jù)本實(shí)施例的用戶計(jì)算機(jī)系統(tǒng)102 ����,以幫助經(jīng)由認(rèn)證獲 得到目標(biāo)服務(wù)器106的接入。用戶計(jì)算機(jī)系統(tǒng)102可以是適于執(zhí)行計(jì)算機(jī)程 序的個(gè)人計(jì)算機(jī)系統(tǒng)或其他計(jì)算機(jī)系統(tǒng)��,例如個(gè)人計(jì)算機(jī)�、工作站、服務(wù) 器���、筆記本計(jì)算機(jī)�、臺(tái)式計(jì)算機(jī)�����、個(gè)人數(shù)字阻力(PDA)����、移動(dòng)電話、無線 裝置����、或者置頂盒。用戶可以經(jīng)由用戶接口與用戶計(jì)算機(jī)系統(tǒng)102交互�,以 例如請(qǐng)求到目標(biāo)服務(wù)器106的接入或從目標(biāo)服務(wù)器106接收關(guān)于是否許可接 入的信息。用戶計(jì)算機(jī)系統(tǒng)102可以與網(wǎng)絡(luò)104通信以傳送和接收信息�。
用戶計(jì)算機(jī)系統(tǒng)102可以包括認(rèn)證存儲(chǔ)管理器112以幫助級(jí)聯(lián)認(rèn)證。將 參考圖4詳細(xì)描述的認(rèn)證存儲(chǔ)管理器112可以提供用于與目標(biāo)服務(wù)器106和 /或認(rèn)證存儲(chǔ)108交互���。認(rèn)證存儲(chǔ)管理器112可以例如針對(duì)認(rèn)證存儲(chǔ)108中的 每個(gè)執(zhí)行的認(rèn)證步驟來存儲(chǔ)認(rèn)證事件紀(jì)錄��。認(rèn)證存儲(chǔ)管理器112還可以與目標(biāo)服務(wù)器106交互���,例如當(dāng)目標(biāo)服務(wù)器106許可或拒絕接入、請(qǐng)求或建立認(rèn) 證計(jì)劃、或者請(qǐng)求對(duì)認(rèn)證計(jì)劃和用戶的當(dāng)前認(rèn)證之間的差異的解決方案時(shí)��。 認(rèn)證存儲(chǔ)管理器112從而可以用作認(rèn)證信息的受信任的源����,用于請(qǐng)求這種認(rèn) 證信息的各種目標(biāo)服務(wù)器106的認(rèn)證機(jī)制。
網(wǎng)絡(luò)104可以是任何類型的數(shù)據(jù)通信信道或信道的組合����,例如因特網(wǎng)、 內(nèi)聯(lián)網(wǎng)����、LAN、 WAN��、以太網(wǎng)網(wǎng)絡(luò)���、無線網(wǎng)絡(luò)�、電話網(wǎng)絡(luò)���、私有網(wǎng)絡(luò)��、或 者寬帶線纜網(wǎng)絡(luò)���。在一個(gè)例子中���,LAN在公司環(huán)境中作為用戶計(jì)算機(jī)系統(tǒng) 102和目標(biāo)服務(wù)器106之間的網(wǎng)絡(luò)104可能特別有用�����,用于幫助組織內(nèi)的通 信���,而在其他例子中����,網(wǎng)絡(luò)104可以使用作為網(wǎng)絡(luò)104的因特網(wǎng)來將用戶計(jì) 算機(jī)系統(tǒng)102與基于網(wǎng)絡(luò)的認(rèn)證存儲(chǔ)108相連接�����。然而���,本領(lǐng)域的技術(shù)人員 將認(rèn)識(shí)到���,在此描述的發(fā)明可以使用任何類型的數(shù)據(jù)通信信道或其組合來實(shí) 現(xiàn)而不背離本發(fā)明的范圍和實(shí)質(zhì)。
如前所述�����,目標(biāo)服務(wù)器106是軟件實(shí)體,可以為其要求和許可認(rèn)證��,以 接入每個(gè)目標(biāo)服務(wù)器106的資源����。目標(biāo)服務(wù)器106可以包括廣泛種類的軟件 實(shí)體,包括操作系統(tǒng)�、數(shù)據(jù)庫、防火墻�����、虛擬私有網(wǎng)(VPN)�����、網(wǎng)絡(luò)�、應(yīng) 用、或者其他實(shí)體�。可以在諸如應(yīng)用服務(wù)器之類的服務(wù)器計(jì)算機(jī)系統(tǒng)上以及 其他任何類型的計(jì)算機(jī)系統(tǒng)(例如參考圖2所描述的)上實(shí)現(xiàn)一個(gè)或多個(gè)目 標(biāo)服務(wù)器106��。如圖1所示���,可以以層的方式嵌套目標(biāo)服務(wù)器106�����,使得接 入到內(nèi)部目標(biāo)服務(wù)器106首先要求接入到外層(圖1中)�����、更低級(jí)別的目標(biāo) 服務(wù)器106����。例如�,在所描述的實(shí)施例中,接入到層3處的目標(biāo)服務(wù)器106 還將要求接入到層1和2處的目標(biāo)服務(wù)器106�。
每個(gè)目標(biāo)服務(wù)器106可以包括認(rèn)證計(jì)劃管理器110,用于接入與請(qǐng)求接 入到目標(biāo)服務(wù)器106的用戶相關(guān)聯(lián)的所存儲(chǔ)的認(rèn)證計(jì)劃��。所存儲(chǔ)的認(rèn)證計(jì)劃 可以包括一個(gè)或多個(gè)認(rèn)證紀(jì)錄����,每個(gè)認(rèn)證紀(jì)錄具有與由用戶接入到在認(rèn)證的 之前層處的不同目標(biāo)服務(wù)器106而不是該目標(biāo)服務(wù)器106相關(guān)的所期望的信 息。認(rèn)證計(jì)劃管理器IIO可以提供當(dāng)前認(rèn)證計(jì)劃��,代表來自于認(rèn)證存儲(chǔ)管理 器112的用戶的當(dāng)前認(rèn)證狀況(認(rèn)證存儲(chǔ)管理器112自身可以從認(rèn)證存儲(chǔ)108 接入當(dāng)前認(rèn)證計(jì)劃)���。認(rèn)證計(jì)劃管理器110還可以決定是否基于在所存儲(chǔ)的 認(rèn)證計(jì)劃和當(dāng)前認(rèn)證計(jì)劃之間的比較來認(rèn)證用戶���。通過比較所期望的存儲(chǔ)的 認(rèn)證計(jì)劃和當(dāng)前認(rèn)證計(jì)劃���,認(rèn)證計(jì)劃管理器IIO可以確認(rèn)用戶是否已經(jīng)在目 標(biāo)服務(wù)器106的更低層處進(jìn)行了適當(dāng)?shù)恼J(rèn)證,并且即使他們其他的證書(例如密碼)是正確的����,仍可以拒絕對(duì)這種用戶的接入,這為目標(biāo)服務(wù)器106提 供了改善的安全性�。
諸如遺留(legacy)系統(tǒng)之類的一些目標(biāo)服務(wù)器106可能不具有認(rèn)證計(jì) 劃管理器IIO,從而不要求相關(guān)的認(rèn)證計(jì)劃��,但是隨后的目標(biāo)服務(wù)器106仍 然可以使用來自于這些目標(biāo)服務(wù)器106的認(rèn)證以增強(qiáng)它們的安全性�����。所公開 的系統(tǒng)從而兼容于現(xiàn)存基礎(chǔ)設(shè)施��,因?yàn)椴粚?shí)現(xiàn)所公開的系統(tǒng)的目標(biāo)服務(wù)器 106將不請(qǐng)求認(rèn)證信息����,相反將常規(guī)地執(zhí)行認(rèn)證。如圖l所示��, 一個(gè)級(jí)聯(lián)認(rèn) 證系統(tǒng)100中的一些目標(biāo)服務(wù)器106可以具有認(rèn)證計(jì)劃管理器110 (從而實(shí) 現(xiàn)了所公開的系統(tǒng))而其他的不具有認(rèn)證計(jì)劃管理器。
認(rèn)證存儲(chǔ)108可以包括任何類型的存儲(chǔ)裝置或其組合�����,包括諸如硬件 驅(qū)動(dòng)之類的易失或非易失存儲(chǔ)�、存儲(chǔ)區(qū)域網(wǎng)絡(luò)、存儲(chǔ)器����、固定或可拆卸存儲(chǔ)、 或者其他存儲(chǔ)裝置���。在一些實(shí)施例中認(rèn)證存Y渚108可以是全異的本地和遠(yuǎn)程 認(rèn)證信息的加密數(shù)據(jù)庫,可以由諸如認(rèn)證存儲(chǔ)管理器112之類的受信的源(代 表請(qǐng)求該信息的任何授權(quán)的認(rèn)證機(jī)制)來寫入和讀取��。認(rèn)證存儲(chǔ)108可以位 于級(jí)聯(lián)認(rèn)證系統(tǒng)100的多種位置�����,例如單機(jī)部件(可能由在遠(yuǎn)程服務(wù)器或 服務(wù)器的網(wǎng)絡(luò)上的受信的第三方實(shí)現(xiàn))��,或者用戶計(jì)算機(jī)系統(tǒng)102或認(rèn)證存 儲(chǔ)管理器112的一部分���。
圖2示出了適于用作級(jí)聯(lián)認(rèn)證系統(tǒng)的部件的計(jì)算機(jī)系統(tǒng)200的一個(gè)實(shí)施 例的框圖����。計(jì)算機(jī)系統(tǒng)200的其他可能性是有可能的,包括具有非在此歸結(jié) 的并且可能超出那些能力的計(jì)算機(jī)���,并且在其他實(shí)施例中�,它們可以是處理 裝置的任意組合���,例如工作站���、服務(wù)器、大型(mainframe)計(jì)算機(jī)�、筆 記本計(jì)算機(jī)、臺(tái)式計(jì)算機(jī)���、PDA��、移動(dòng)電話����、無線裝置���、置頂盒等����。至少計(jì) 算機(jī)系統(tǒng)200的某些部件可以被安裝在多層平板或主板上(平板或主板自身 可以被安裝在底盤上),以提供用于電互連計(jì)算機(jī)系統(tǒng)200的部件的裝置���。 計(jì)算機(jī)系統(tǒng)200可以用于實(shí)現(xiàn)一個(gè)或多個(gè)目標(biāo)服務(wù)器106�、用戶計(jì)算機(jī)系統(tǒng) 102���、和/或認(rèn)證存儲(chǔ)108��。
在所描述的實(shí)施例中���,計(jì)算機(jī)系統(tǒng)200包括連接到總線212或其他互連 的處理器202、存儲(chǔ)204����、存儲(chǔ)器206��、用戶接口適配器208���、以及顯示器 適配器210����。總線212幫助處理器202和計(jì)算機(jī)系統(tǒng)200的其他部件之間的 通信����,以及部件之間的通信。處理器202可以包括一個(gè)或多個(gè)系統(tǒng)中央處理 單元(CPU)或處理器以執(zhí)行指令����。處理器202可以使用存儲(chǔ)204,存儲(chǔ)204可以是非易失存儲(chǔ)��,例如 一個(gè)或多個(gè)硬件驅(qū)動(dòng)����、磁帶驅(qū)動(dòng)、磁盤驅(qū)動(dòng)��、 CD-ROM驅(qū)動(dòng)���、DVD-ROM驅(qū)動(dòng)等���。處理器202還可以經(jīng)由總線212連接到 存儲(chǔ)器206,例如經(jīng)由存儲(chǔ)器控制集線器(MCH)。系統(tǒng)存儲(chǔ)器206可以包 括易失存儲(chǔ)器�����,例如隨機(jī)讀取存儲(chǔ)器(RAM)、或者雙倍速率(DDR)同 步動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(SDRAM)�。例如,在所公開的系統(tǒng)中�����,處理器202 可以執(zhí)行指令以執(zhí)行認(rèn)證存儲(chǔ)管理器112的功能�,例如通過與認(rèn)證存儲(chǔ)108 交互,并且可以在它的計(jì)算期間暫時(shí)或永久地存儲(chǔ)信息或在存儲(chǔ)204或存儲(chǔ) 器206中存儲(chǔ)計(jì)算之后的結(jié)果��。例如��,可以在它的例程執(zhí)行期間將所有部分 的認(rèn)證存儲(chǔ)管理器112存儲(chǔ)在存儲(chǔ)器206中���。
用戶接口適配器208可以將處理器202與諸如鼠標(biāo)220或鍵盤222之類 的用戶接口裝置相連接���。用戶接口適配器208還可以與其他類型的用戶輸入 裝置相連,例如觸摸板�、觸敏屏、電子筆�、麥克風(fēng)等����?��?蛻舳?02的用戶 請(qǐng)求接入到目標(biāo)服務(wù)器106或解決認(rèn)證計(jì)劃沖突,例如����,可以使用4定盤222 和鼠標(biāo)220以與計(jì)算機(jī)系統(tǒng)交互?����?偩€212還可以經(jīng)由顯示器適配器210將 處理器202連接到諸如LCD顯示器或CRT監(jiān)控器之類的顯示器��。
當(dāng)認(rèn)證存儲(chǔ)管理器112被描述為位于圖2中的處理器202中(例如BIOS 的部件)時(shí)��,本領(lǐng)域的普通技術(shù)人員將意識(shí)到其他替代物是可能的����。在優(yōu)選 實(shí)施例中,認(rèn)證存儲(chǔ)管理器112可以在具有充分級(jí)別的安全性的位置來執(zhí)行�����, 以最小化攻擊(hacking)的可能性�。因?yàn)檎J(rèn)證存儲(chǔ)管理器112被信任來用于 提供來自于認(rèn)證存儲(chǔ)108的精確信息�����,所以它優(yōu)選的是通過具有受信加密的 受信方來實(shí)現(xiàn)���,并且它還可以與被認(rèn)證以阻止欺騙這些記錄的每個(gè)目標(biāo)服務(wù) 器106來交換私有密鑰(或其他合適的加密方法)。在操作系統(tǒng)中(例如核)���, 或者通過諸如VeriSign Inc之類的第三方或^^司輕量級(jí)目錄訪問協(xié)議 (LDAP)目錄擴(kuò)展�,認(rèn)證存儲(chǔ)管理器112從而可以在硬件(BIOS)中的低 層處實(shí)現(xiàn)�,如圖2所示。因?yàn)榉阑饓途W(wǎng)絡(luò)可見性的其他局限度�,可以要求 代理認(rèn)證存儲(chǔ)管理器112來跨過網(wǎng)絡(luò)橋接以回復(fù)(field)請(qǐng)求。
圖3示出了才艮據(jù)一些實(shí)施例的認(rèn)證計(jì)劃管理器110的軟件部分的概念性 說明��。如前所述(并且參考圖7更詳細(xì)地)���,認(rèn)證計(jì)劃管理器110可以基于 所存儲(chǔ)的認(rèn)證計(jì)劃和在認(rèn)證存儲(chǔ)108中找到的用戶的當(dāng)前認(rèn)證來認(rèn)證用戶���。 認(rèn)證計(jì)劃管理器110可以包括認(rèn)證存儲(chǔ)管理器接口模塊302、用戶計(jì)算機(jī) 系統(tǒng)接口模塊304�、認(rèn)證計(jì)劃倉庫306、和認(rèn)證模塊308���。認(rèn)證存儲(chǔ)管理器接口模塊302可以提供用于經(jīng)由認(rèn)證存儲(chǔ)管理器112與認(rèn)證存儲(chǔ)108的通信���, 從而作為認(rèn)證存儲(chǔ)108和認(rèn)證計(jì)劃管理器110的其他部件之間的接口 。用戶 計(jì)算機(jī)系統(tǒng)接口模塊304可以提供用于與用戶計(jì)算機(jī)系統(tǒng)的通信���,包括接收 用于接入到目標(biāo)服務(wù)器106的請(qǐng)求以及將是否許可接入的標(biāo)識(shí)傳送到用戶����。 在一些實(shí)施例中��,可以將認(rèn)證存儲(chǔ)管理器接口模塊302和用戶計(jì)算機(jī)系統(tǒng)接 口模塊304的功能合并到一個(gè)模塊中���,例如當(dāng)用戶計(jì)算機(jī)系統(tǒng)102包括認(rèn)證 存儲(chǔ)管理器112時(shí)���。
認(rèn)證模塊308可以提供多種功能以幫助根據(jù)本實(shí)施例的用戶的認(rèn)證。認(rèn) 證模塊308將與多個(gè)用戶相關(guān)聯(lián)的認(rèn)證計(jì)劃存儲(chǔ)在認(rèn)證計(jì)劃倉庫306中���,并 接入在認(rèn)證計(jì)劃倉庫306中的與多個(gè)用戶相關(guān)聯(lián)的認(rèn)證計(jì)劃�����。當(dāng)從用戶接收 認(rèn)證計(jì)劃時(shí)�,或者當(dāng)為用戶(或結(jié)合用戶)開放認(rèn)證計(jì)劃時(shí),認(rèn)證才莫塊308 可以存儲(chǔ)認(rèn)證計(jì)劃��,并且可以響應(yīng)于用戶請(qǐng)求接入到目標(biāo)服務(wù)器106來接入 所存儲(chǔ)的認(rèn)證計(jì)劃�,實(shí)現(xiàn)認(rèn)證計(jì)劃管理器110。在用戶計(jì)算機(jī)系統(tǒng)接口模塊 304接收來自于用戶的認(rèn)證請(qǐng)求之后����,認(rèn)證模塊308可以為那個(gè)用戶從認(rèn)證 計(jì)劃倉庫306接入所存儲(chǔ)的認(rèn)證計(jì)劃,并且將那個(gè)計(jì)劃與當(dāng)前認(rèn)證計(jì)劃(由 認(rèn)證存儲(chǔ)管理器接口模塊302接收的)相比較�����。
圖4示出了根據(jù)一些實(shí)施例的認(rèn)證存儲(chǔ)管理器112的軟件部分的概念性 說明���。如前所述(并且參考圖6更詳細(xì)的)�,認(rèn)證存儲(chǔ)管理器112可以通過 管理認(rèn)證存儲(chǔ)108來幫助存儲(chǔ)和管理與多個(gè)目標(biāo)服務(wù)器106的用戶的認(rèn)證相 關(guān)的認(rèn)證信息�����。認(rèn)證存儲(chǔ)管理器112可以包括用戶接口模塊402���、認(rèn)證存 儲(chǔ)接口模塊404��、服務(wù)器接口模塊406����、認(rèn)證事件監(jiān)控器408、以及認(rèn)證計(jì)劃 生成器410�。用戶接口模塊402可以幫助與用戶的通信,包括接收用于接入 到目標(biāo)服務(wù)器106的請(qǐng)求以及傳送許可接入或拒絕接入的指示或者其他信 息����,認(rèn)證計(jì)劃需要該標(biāo)識(shí)來被創(chuàng)建或修改��。認(rèn)證存儲(chǔ)接口模塊404可以幫助 與認(rèn)證存儲(chǔ)108的通信����,包括將認(rèn)證事件的指示存儲(chǔ)在認(rèn)證存儲(chǔ)108中以及 在諸如目標(biāo)服務(wù)器106之類的認(rèn)證實(shí)體的請(qǐng)求下接入認(rèn)證計(jì)劃。服務(wù)器接口 模塊406可以幫助目標(biāo)服務(wù)器106 (以及它的認(rèn)證計(jì)劃管理器110)和認(rèn)證 存儲(chǔ)管理器112之間的通信����。這三個(gè)接口才莫塊402、 404和406的每個(gè)可以 提供認(rèn)證存儲(chǔ)管理器112的部件和外部實(shí)體之間的通信�����,并且可以以任何方 式將它們的功能組合或劃分����。
認(rèn)證事件監(jiān)控器408可以監(jiān)控用戶所執(zhí)行的認(rèn)證步驟(例如輸入密碼�、使用智能卡等)�����,并且可以(經(jīng)由認(rèn)證存儲(chǔ)接口模塊404 )將這些步驟的加密 指示存儲(chǔ)在認(rèn)證存儲(chǔ)108中�。在一些實(shí)施例中,認(rèn)證事件監(jiān)控器408可以在 每個(gè)認(rèn)證步驟處創(chuàng)建用于存儲(chǔ)在認(rèn)證存儲(chǔ)108中的加密事件記錄���,該記錄具 有認(rèn)證的隨后層可能請(qǐng)求的信息�����。在認(rèn)證記錄中的信息可以包括用于內(nèi)部 管理使用的一個(gè)或多個(gè)唯一記錄標(biāo)識(shí)符�����、 一個(gè)或多個(gè)目標(biāo)服務(wù)器106標(biāo)識(shí)符 (例如MAC地址��、服務(wù)器類型�、服務(wù)器標(biāo)識(shí)符�����、服務(wù)器組、IP地址等)��、 一個(gè)或多個(gè)用戶標(biāo)識(shí)符(例如用戶名稱�����、群名稱等)��、 一個(gè)或多個(gè)認(rèn)證事件 事實(shí)(例如在成功登陸之前所失敗的認(rèn)證嘗試的數(shù)量�、認(rèn)證存儲(chǔ)108本地的 時(shí)間戳等)、或者其他信息�。
認(rèn)證計(jì)劃生成器410可以幫助創(chuàng)建和維護(hù)針對(duì)用戶的認(rèn)證計(jì)劃�。如果目 標(biāo)服務(wù)器106要求或允許的話,則用戶可以創(chuàng)建計(jì)劃���,例如通過識(shí)別他們的 認(rèn)證存儲(chǔ)中的當(dāng)前記錄����,對(duì)于指定的目標(biāo)力良務(wù)器106應(yīng)該將該記錄用在認(rèn)證 計(jì)劃中���。在一些實(shí)施例中�,目標(biāo)服務(wù)器106的管理員可能已經(jīng)預(yù)先建立了在 任何認(rèn)證計(jì)劃中所要求的要求認(rèn)證步驟����。例如�,服務(wù)器管理員可能要求認(rèn)證 計(jì)劃至少包括服務(wù)器類型BIOS���、 OS��、 VPN和FIREWALL,并且可能還包括 預(yù)先知道的諸如特定VPN服務(wù)器群或防火墻IP地址之類的信息���。用于用戶步驟。
圖5示出了根據(jù)一些實(shí)施例的用于為指定的用戶和目標(biāo)服務(wù)器創(chuàng)建認(rèn)證 計(jì)劃的流程圖500的例子�。在一個(gè)實(shí)施例中,可以通過諸如認(rèn)證計(jì)劃管理器 110和認(rèn)證存儲(chǔ)管理器112之類的級(jí)聯(lián)認(rèn)證系統(tǒng)100的部件來執(zhí)行流程圖500 的方法�。流程圖500開始于元素502,接收用于為指定的服務(wù)器創(chuàng)建認(rèn)證計(jì) 劃的請(qǐng)求����。可以從嘗試告知用戶要求認(rèn)證計(jì)劃的目標(biāo)服務(wù)器106接收對(duì)于認(rèn) 證計(jì)劃的請(qǐng)求�,或者可以從請(qǐng)求與指定的目標(biāo)服務(wù)器106建立認(rèn)證計(jì)劃的用 戶接收該請(qǐng)求。
在判斷塊504處����,認(rèn)證存儲(chǔ)管理器112可以確定對(duì)于指定的用戶和認(rèn)證 的其他層、當(dāng)前是否存在任何認(rèn)證記錄�����。如果存在,則認(rèn)證存儲(chǔ)管理器112 可以將(來自于認(rèn)證存儲(chǔ)108的)現(xiàn)有的認(rèn)證記錄的當(dāng)前列表呈現(xiàn)給用戶�, 使得用戶可以選擇他們希望將哪些認(rèn)證事件包括在用于目標(biāo)服務(wù)器106的認(rèn) 證計(jì)劃中。認(rèn)證存儲(chǔ)管理器112可以接收認(rèn)證存儲(chǔ)108中的當(dāng)前記錄的標(biāo)識(shí)���, 在元素506處將該標(biāo)識(shí)用在認(rèn)證計(jì)劃中��。除了由用戶選擇的那些認(rèn)證事件之外���,目標(biāo)服務(wù)器108還可以從用戶要求指定的認(rèn)證事件。在元素508處�,認(rèn) 證存儲(chǔ)管理器112的認(rèn)證計(jì)劃生成器410可以基于用戶的偏好和選擇以及目 標(biāo)服務(wù)器106來創(chuàng)建認(rèn)證計(jì)劃。
創(chuàng)建了認(rèn)證計(jì)劃之后�����,在元素510處�����,認(rèn)證存儲(chǔ)管理器112的服務(wù)器接 口模塊406然后可以將計(jì)劃傳送給目標(biāo)服務(wù)器106���。在元素512處,目標(biāo)服 務(wù)器106可以接收認(rèn)證計(jì)劃,在元素514處可以將計(jì)劃存儲(chǔ)在認(rèn)證計(jì)劃倉庫 306中��,在這之后該方法結(jié)束���。在一些實(shí)施例中����,認(rèn)證計(jì)劃倉庫306可以用 作用于許多用戶的各種認(rèn)證計(jì)劃的存儲(chǔ)�。
圖6示出了根據(jù)一些實(shí)施例的用于通過用戶認(rèn)證到目標(biāo)服務(wù)器的流程圖 600的例子。在一個(gè)實(shí)施例中����,可以通過諸如認(rèn)證存儲(chǔ)管理器112之類的級(jí) 聯(lián)認(rèn)i正系統(tǒng)100的部件來4丸行流程圖600的方法。流程圖600開始于可選元 素602,更新認(rèn)證存儲(chǔ)108中的認(rèn)證記錄�����。認(rèn)證存儲(chǔ)管理器112可以為多種 原因來更新認(rèn)證記錄�����。例如����,在一些實(shí)施例中��,無論何時(shí)已被認(rèn)證的目標(biāo)服 務(wù)器106記錄下我們斷開連接����、或者無論何時(shí)認(rèn)證計(jì)劃中更早期(earlier) 的目標(biāo)服務(wù)器106類似地退出或斷開連接�����,認(rèn)證存儲(chǔ)管理器112可以通過刪 除認(rèn)證記錄來嘗試避免陳舊的信息��。在這些實(shí)施例中����,為了諸如報(bào)告或使用 分析之類的檔案(archival)目的,認(rèn)證記錄可以被首先寫到另 一表中����。認(rèn)證 存儲(chǔ)管理器112可以通過周期地查詢目標(biāo)服務(wù)器的認(rèn)證系統(tǒng)的當(dāng)前狀態(tài)、從 目標(biāo)服務(wù)器106接收刪除記錄的請(qǐng)求�����、和/或從用戶接收這些請(qǐng)求���,來完成這 個(gè)動(dòng)作���。如果退出了認(rèn)證計(jì)劃中更高的目標(biāo)服務(wù)器106、或者如果服務(wù)器撤 銷或中止了用戶�����,則認(rèn)證存儲(chǔ)管理器112還可以通過退出下游目標(biāo)服務(wù)器 106來執(zhí)行逆向的方法學(xué)�����。
在元素604處����,用戶計(jì)算機(jī)系統(tǒng)102可以執(zhí)行對(duì)于不同的目標(biāo)服務(wù)器106 的認(rèn)證步驟,例如通過成功地認(rèn)證到諸如機(jī)器硬件(在密碼上具有力量)��、 它們的操作系統(tǒng)���、VPN���、防火墻、數(shù)據(jù)庫等的目標(biāo)服務(wù)器106���。在元素606 處�����,認(rèn)證存儲(chǔ)管理器112可以將加密的認(rèn)證記錄存儲(chǔ)在用戶的認(rèn)證存儲(chǔ)108 中����,如前所述。認(rèn)證記錄可以包括關(guān)于認(rèn)證步驟的性能的信息�,例如它成 功的指示、時(shí)間戳�、要求了多少次嘗試的指示等。在判斷塊608處��,用戶計(jì) 算機(jī)系統(tǒng)102然后可以嘗試認(rèn)證到目標(biāo)服務(wù)器106��。如果這個(gè)目標(biāo)服務(wù)器106 不要求認(rèn)證計(jì)劃��,則該方法可以返回到元素604,用于4丸4亍認(rèn)證步驟并基于 所執(zhí)行的步驟來存儲(chǔ)認(rèn)證記錄���。如果目標(biāo)服務(wù)器106要求認(rèn)證計(jì)劃���,則在元素610處認(rèn)證存儲(chǔ)管理器112 可以從目標(biāo)服務(wù)器106接收對(duì)于當(dāng)前認(rèn)證計(jì)劃的請(qǐng)求。如前所述�,當(dāng)前認(rèn)證 計(jì)劃可以包括對(duì)于在認(rèn)證到目標(biāo)服務(wù)器106的之前層處的服務(wù)器的一個(gè)或多 個(gè)認(rèn)證步驟的認(rèn)證記錄�����。包括在當(dāng)前認(rèn)證計(jì)劃中的認(rèn)證記錄/人而是對(duì)于用戶 所期望的認(rèn)證記錄(即,目標(biāo)服務(wù)器106期望用戶已經(jīng)完成了什么)��。在元 素612處����,認(rèn)證計(jì)劃管理器112然后可以訪問對(duì)于用戶的i人i正計(jì)劃,并且在 元素614處����,然后可以將來自于認(rèn)證計(jì)劃的期望的信息傳送到目標(biāo)服務(wù)器 106。
傳送了來自于認(rèn)證計(jì)劃的信息之后�,在元素616處用戶計(jì)算機(jī)系統(tǒng)102 和它的認(rèn)證存儲(chǔ)管理器112可以接收目標(biāo)服務(wù)器106是否許可了接入的指 示。如果在判斷塊618處許可了接入����,則流程圖600的方法終止(并且用戶 執(zhí)行任何他們尋找接入以完成的任務(wù)),或者返回到元素604,用于在元素 604處執(zhí)行認(rèn)證步驟�。如果在判斷塊618處不許可接入,則可以通知認(rèn)證存 儲(chǔ)管理器112它們正經(jīng)由未授權(quán)的認(rèn)證計(jì)劃接入�。如果需要改變認(rèn)證計(jì)劃, 則該方法繼續(xù)到元素620,其中認(rèn)證存儲(chǔ)管理器112可以解決與目標(biāo)服務(wù)器 106不匹配的任何認(rèn)證計(jì)劃���,在這之后該方法終止�����。如果需要改變認(rèn)證計(jì)劃�����, 則典型地將要求管理員與用戶合作來介入�����,這可以以任何方式實(shí)現(xiàn)��,例如通 過要求額外的認(rèn)證���,例如經(jīng)由秘密短語(passphrase )�����、智能卡或其它認(rèn)證方 法����。這幫助阻止一些人欺騙用戶來請(qǐng)求將認(rèn)證計(jì)劃改變?yōu)閷?duì)于欺騙者(或黑 客)更容易的一些東西或者作為服務(wù)攻擊的拒絕(denial)����。
圖7示出了根據(jù)一些實(shí)施例的用于通過目標(biāo)服務(wù)器認(rèn)證用戶的流程圖 700的例子�。在一個(gè)實(shí)施例中�����,可以通過諸如目標(biāo)服務(wù)器106的認(rèn)證計(jì)劃管 理器IIO之類的級(jí)聯(lián)認(rèn)證系統(tǒng)100的部件來執(zhí)行流程圖700的方法�����。流程圖 700開始于元素602,從用戶計(jì)算機(jī)系統(tǒng)102接收請(qǐng)求���,用于將用戶認(rèn)證到 目標(biāo)服務(wù)器106。在判斷塊704處����,認(rèn)證計(jì)劃管理器110可以確定期望認(rèn)證 到目標(biāo)服務(wù)器106的指定的用戶是否要求匹配所建立的認(rèn)證計(jì)劃。如果沒有 要求認(rèn)證計(jì)劃��,則該方法前進(jìn)到元素722��,其中以標(biāo)準(zhǔn)方式認(rèn)證用戶(即����, 馬全證他們的認(rèn)證證書),在這之后該方法終止。如果要求認(rèn)證計(jì)劃���,則該方 法繼續(xù)到元素706����。
在元素706處�,認(rèn)證計(jì)劃管理器110的認(rèn)證模塊308可以接入針對(duì)用戶 的所存儲(chǔ)的認(rèn)證計(jì)劃,該認(rèn)證計(jì)劃被存儲(chǔ)在認(rèn)證計(jì)劃倉庫306中�。在元素708處,用戶計(jì)算機(jī)系統(tǒng)接口模塊304可以向認(rèn)證存儲(chǔ)管理器112傳送對(duì)于認(rèn)證 計(jì)劃的請(qǐng)求���。在元素710處�����,認(rèn)證計(jì)劃管理器IIO可以從認(rèn)證存儲(chǔ)管理器112 接收當(dāng)前認(rèn)證計(jì)劃是否存在于認(rèn)證存儲(chǔ)108中的指示��。如果在判斷塊714處 當(dāng)前計(jì)劃不存在����,則該方法繼續(xù)到元素724�,其中認(rèn)證模塊308拒絕到目標(biāo) 服務(wù)器106的接入,并且嘗試解決與認(rèn)證存儲(chǔ)管理器112不匹配的任意認(rèn)證 計(jì)劃�。例如����,如果嘗試是用戶認(rèn)證到目標(biāo)服務(wù)器106的第一次嘗試(或者在 重置之后)���,則可以調(diào)用認(rèn)證計(jì)劃創(chuàng)建方法來和用戶一起工作以開發(fā)用于目 標(biāo)服務(wù)器106的認(rèn)證計(jì)劃�����。可替代地����,如前所述,可以請(qǐng)求用戶提供額外的 iU正i正書以進(jìn)4亍i^i正����,例如短語。
如果在判斷塊714處存在當(dāng)前認(rèn)證計(jì)劃��,則在元素716處認(rèn)證計(jì)劃管理 器110可以經(jīng)由認(rèn)證存儲(chǔ)管理器112從認(rèn)證存儲(chǔ)108請(qǐng)求與所存儲(chǔ)的認(rèn)證計(jì) 劃相關(guān)的認(rèn)證記錄���。在元素718處�����,認(rèn)證計(jì)劃管理器IIO可以接收當(dāng)前認(rèn)證 計(jì)劃(或者要求匹配于所存儲(chǔ)的認(rèn)證計(jì)劃的當(dāng)前認(rèn)證計(jì)劃的認(rèn)證記錄的子 集)�����。
在判斷塊720處��,認(rèn)證模塊308可以將所存儲(chǔ)的認(rèn)證計(jì)劃和所接收的當(dāng) 前認(rèn)證計(jì)劃相比較以確定它們是否對(duì)于用戶足夠匹配以允許其接入�����。在一些
的精確匹配以允許接入�����。在其它實(shí)施例中��,認(rèn)證模塊308可以進(jìn)行更復(fù)雜的 分析�,例如通過分析當(dāng)前認(rèn)證計(jì)劃中的認(rèn)證事件的時(shí)間戳(并且拒絕太長(zhǎng)時(shí) 間以前的那些),對(duì)于以前的認(rèn)證事件分析認(rèn)證事實(shí)(例如�����,拒絕表現(xiàn)出可 疑樣式的那些�����,例如在認(rèn)證之前進(jìn)行了太多次嘗試的那些),或者其他類型 的分析����。
如果在判斷塊720處i人證模塊308確定存在匹配,則該方法繼續(xù)到元素 722��,其中可以以標(biāo)準(zhǔn)形式(例如通過要求指定的認(rèn)證證書)來認(rèn)i正用戶����, 在這之后該方法終止。如果沒有匹配存在��,則流程圖700的方法繼續(xù)到元素 724用于解決認(rèn)證計(jì)劃不匹配����,如前所述���,在這之后該方法可以終止����。流程
較��、并且要求足夠的匹配以允許用標(biāo)準(zhǔn)方式認(rèn)證用戶����,來提供改善的用戶到 目標(biāo)服務(wù)器106的認(rèn)證�����。
對(duì)于從該公開獲益的本領(lǐng)域的技術(shù)人員���,將明顯的是,本發(fā)明思考了用 于基于之前由用戶到其他服務(wù)器的認(rèn)證來將用戶認(rèn)證到服務(wù)器的方法����、系統(tǒng)和介質(zhì)。要理解的是���,在具體實(shí)施方式
和附圖中所示出和描述的發(fā)明的形式僅僅被視作例子���。下面被寬泛解釋的權(quán)利要求試圖包含所有公開的例子實(shí)施例的變形。
權(quán)利要求
1.一種用于將用戶認(rèn)證到目標(biāo)服務(wù)器的方法�,所述方法包括從用戶計(jì)算機(jī)系統(tǒng)接收用于將所述用戶認(rèn)證到所述目標(biāo)服務(wù)器的請(qǐng)求;確定認(rèn)證所述用戶是否要求匹配認(rèn)證計(jì)劃���;響應(yīng)于確定要求匹配認(rèn)證計(jì)劃���,訪問與所述用戶相關(guān)聯(lián)的所存儲(chǔ)的認(rèn)證計(jì)劃��,所述存儲(chǔ)的認(rèn)證計(jì)劃具有一個(gè)或多個(gè)認(rèn)證記錄����,每個(gè)所述認(rèn)證記錄具有與用戶接入到在認(rèn)證的之前層處的服務(wù)器而不是所述目標(biāo)服務(wù)器相關(guān)聯(lián)的期望的數(shù)據(jù)��;從認(rèn)證存儲(chǔ)接收所述用戶的當(dāng)前認(rèn)證計(jì)劃的指示�����,所述當(dāng)前認(rèn)證計(jì)劃具有一個(gè)或多個(gè)認(rèn)證記錄�����,每個(gè)所述認(rèn)證記錄具有與用戶接入到在認(rèn)證的之前層處的服務(wù)器而不是所述目標(biāo)服務(wù)器相關(guān)聯(lián)的當(dāng)前數(shù)據(jù)�����;將所述存儲(chǔ)的認(rèn)證計(jì)劃與所接收的當(dāng)前認(rèn)證計(jì)劃比較以確定它們是否匹配���;以及響應(yīng)于所述存儲(chǔ)的認(rèn)證計(jì)劃和所述當(dāng)前認(rèn)證計(jì)劃之間的匹配來認(rèn)證所述用戶。
2. 根據(jù)權(quán)利要求1所述的方法�,還包括響應(yīng)于確定要求匹配認(rèn)證計(jì) 劃,向所述用戶計(jì)算機(jī)系統(tǒng)傳送對(duì)于當(dāng)前認(rèn)證計(jì)劃的請(qǐng)求���。
3. 根據(jù)權(quán)利要求1所述的方法����,還包括響應(yīng)于所述存儲(chǔ)的認(rèn)證計(jì)劃 和所述當(dāng)前i^江計(jì)劃之間的不匹配,解決所述i人i正計(jì)劃不匹配�。
4. 根據(jù)權(quán)利要求3所述的方法,其中解決所述認(rèn)證計(jì)劃不匹配的步驟 包括如下至少 一個(gè)要求額外的認(rèn)證數(shù)據(jù)��;修改認(rèn)證計(jì)劃以及創(chuàng)建認(rèn)證計(jì)劃�。
5. 根據(jù)權(quán)利要求1所述的方法,其中將所述存儲(chǔ)的認(rèn)證計(jì)劃與所述當(dāng) 前認(rèn)證計(jì)劃比較以確定它們是否匹配的步驟包括比較每個(gè)認(rèn)證計(jì)劃的認(rèn)證 記錄以確定是否至少認(rèn)證記錄的指定的子集在所述認(rèn)證計(jì)劃之間匹配����。
6. 根據(jù)權(quán)利要求1所述的方法,還包括對(duì)在到所述目標(biāo)服務(wù)器的認(rèn)證的之前層處的一個(gè)或多個(gè)服務(wù)器執(zhí)行認(rèn) 證步驟�;以及將用于每個(gè)所執(zhí)行的認(rèn)證步驟的認(rèn)證事件記錄存儲(chǔ)在認(rèn)證存儲(chǔ)中。
7. 根據(jù)權(quán)利要求1所述的方法�,還包括嘗試認(rèn)證到所述目標(biāo)服務(wù)器,所述目標(biāo)服務(wù)器要求與所述用戶相關(guān)聯(lián)的iU正i十劃����;以及接收是否許可接入到所述目標(biāo)服務(wù)器的指示。
8. 根據(jù)權(quán)利要求1所述的方法���,還包括將當(dāng)前認(rèn)證計(jì)劃傳送到所述 目標(biāo)服務(wù)器��,所述當(dāng)前認(rèn)證計(jì)劃具有用于對(duì)在到所述目標(biāo)服務(wù)器的認(rèn)證的之 前層處的服務(wù)器的一個(gè)或多個(gè)所執(zhí)行的認(rèn)證步驟的存儲(chǔ)的認(rèn)證記錄����。
9. 根據(jù)權(quán)利要求1所述的方法,還包括從所述目標(biāo)服務(wù)器接收用于 當(dāng)前認(rèn)證計(jì)劃的請(qǐng)求���。
10. —種計(jì)算機(jī)程序���,所述計(jì)算機(jī)程序包括適于當(dāng)在計(jì)算機(jī)上執(zhí)行所述 程序時(shí)執(zhí)行以下步驟的程序代碼方式,所述步驟包括從用戶計(jì)算機(jī)系統(tǒng)接收將用戶認(rèn)證到目標(biāo)服務(wù)器的請(qǐng)求���; 確定認(rèn)證所述用戶是否要求匹配認(rèn)證計(jì)劃�;響應(yīng)于確定要求匹配認(rèn)證計(jì)劃����,訪問與所述用戶相關(guān)聯(lián)的存儲(chǔ)的認(rèn)證計(jì) 劃,所述存儲(chǔ)的認(rèn)證計(jì)劃具有一個(gè)或多個(gè)認(rèn)證記錄����,每個(gè)所述認(rèn)證記錄具有 與用戶接入到在認(rèn)證的之前層處的服務(wù)器而不是所述目標(biāo)服務(wù)器相關(guān)聯(lián)的 期望的數(shù)據(jù)�����;從認(rèn)證存儲(chǔ)接收所述用戶的當(dāng)前認(rèn)證計(jì)劃的指示,所述當(dāng)前認(rèn)證計(jì)劃具 有一個(gè)或多個(gè)認(rèn)證記錄��,每個(gè)所述認(rèn)證記錄具有與用戶接入到在認(rèn)證的之前將所述存儲(chǔ)的認(rèn)證計(jì)劃和所接收的所述當(dāng)前認(rèn)證計(jì)劃比較以確定它們 是否匹配��;以及述用戶����。
11. 根據(jù)權(quán)利要求10所述的計(jì)算機(jī)程序,還包括響應(yīng)于確定要求匹 配認(rèn)證計(jì)劃��,向所述用戶計(jì)算機(jī)系統(tǒng)傳送對(duì)于當(dāng)前認(rèn)證計(jì)劃的請(qǐng)求�����。
12. 根據(jù)權(quán)利要求10所述的計(jì)算機(jī)程序�,還包括響應(yīng)于所述存儲(chǔ)的 認(rèn)證計(jì)劃和所述當(dāng)前認(rèn)證計(jì)劃之間的不匹配,解決所述認(rèn)證計(jì)劃不匹配��。
13. 根據(jù)權(quán)利要求12所述的計(jì)算機(jī)程序����,其中解決所述認(rèn)證計(jì)劃不匹 配的步驟包括如下至少一個(gè)要求額外的認(rèn)證數(shù)據(jù);修改認(rèn)證計(jì)劃以及創(chuàng)建 認(rèn)證計(jì)劃����。
14. 根據(jù)權(quán)利要求10所述的計(jì)算機(jī)程序��,其中將所述存儲(chǔ)的認(rèn)證計(jì)劃 與所述當(dāng)前認(rèn)證計(jì)劃比較以確定它們是否匹配的步驟包括比較每個(gè)認(rèn)證計(jì)劃的認(rèn)證記錄以確定是否至少認(rèn)證記錄的指定的子集在所述認(rèn)證計(jì)劃之間匹配�����。
15. 根據(jù)權(quán)利要求IO所述的計(jì)算機(jī)程序���,還包括對(duì)在到所述目標(biāo)服務(wù)器的認(rèn)證的之前層處的一個(gè)或多個(gè)服務(wù)器執(zhí)行認(rèn) i正步驟;以及將用于每個(gè)所執(zhí)行的認(rèn)證步驟的認(rèn)證事件記錄存儲(chǔ)在認(rèn)證存儲(chǔ)中���。
16. 根據(jù)權(quán)利要求IO所述的計(jì)算機(jī)程序��,還包括 嘗試認(rèn)證到所述目標(biāo)服務(wù)器�����,所述目標(biāo)服務(wù)器要求與所述用戶相關(guān)聯(lián)的iU正i十劃����;以及接收是否許可接入到所述目標(biāo)服務(wù)器的指示��。
17. 根據(jù)權(quán)利要求IO所述的計(jì)算機(jī)程序����,還包括將當(dāng)前認(rèn)證計(jì)劃傳 送到所述目標(biāo)服務(wù)器,所述當(dāng)前認(rèn)證計(jì)劃具有用于對(duì)在到所述目標(biāo)服務(wù)器的 認(rèn)證的之前層處的服務(wù)器的 一個(gè)或多個(gè)所執(zhí)行的認(rèn)證步驟的所存儲(chǔ)的認(rèn)證記錄��。
18. 根據(jù)權(quán)利要求IO所述的計(jì)算機(jī)程序,還包括從所述目標(biāo)服務(wù)器 接收用于當(dāng)前認(rèn)證計(jì)劃的請(qǐng)求���。
19. 一種用于將用戶認(rèn)證到目標(biāo)服務(wù)器的設(shè)備,所述設(shè)備包括用于從用戶計(jì)算機(jī)系統(tǒng)接收將所述用戶認(rèn)證到所述目標(biāo)服務(wù)器的請(qǐng)求 的裝置���;用于確定認(rèn)證所述用戶是否要求匹配認(rèn)證計(jì)劃的裝置����;響應(yīng)于確定要求匹配認(rèn)證計(jì)劃�����,用于訪問與所述用戶相關(guān)聯(lián)的所存儲(chǔ)的 認(rèn)證計(jì)劃的裝置�,所述存儲(chǔ)的認(rèn)證計(jì)劃具有一個(gè)或多個(gè)認(rèn)證記錄,每個(gè)所述 認(rèn)證記錄具有與用戶接入到在認(rèn)證的之前層處的服務(wù)器而不是所述目標(biāo)服 務(wù)器相關(guān)聯(lián)的期望的數(shù)據(jù)���;用于從認(rèn)證存儲(chǔ)接收所述用戶的當(dāng)前認(rèn)證計(jì)劃的指示的裝置����,所述當(dāng)前 認(rèn)證計(jì)劃具有一個(gè)或多個(gè)認(rèn)證記錄,每個(gè)所述認(rèn)證記錄具有與用戶接入到在 認(rèn)證的之前層處的服務(wù)器而不是所述目標(biāo)服務(wù)器相關(guān)聯(lián)的當(dāng)前數(shù)據(jù)�����;用于將所述存儲(chǔ)的認(rèn)證計(jì)劃與所接收的當(dāng)前認(rèn)證計(jì)劃比較以確定它們 是否匹配的裝置�;以及響應(yīng)于所述存儲(chǔ)的i人證計(jì)劃和所述當(dāng)前i人證計(jì)劃之間的匹配來認(rèn)i正所 述用戶的裝置。
20. 根據(jù)權(quán)利要求19所述的設(shè)備���,還包括響應(yīng)于確定要求匹配認(rèn)證 計(jì)劃���,向所述用戶計(jì)算機(jī)系統(tǒng)傳送對(duì)于當(dāng)前認(rèn)證計(jì)劃的請(qǐng)求的裝置。
21. 根據(jù)權(quán)利要求19所述的設(shè)備�,還包括響應(yīng)于所述存儲(chǔ)的認(rèn)證計(jì) 劃和所述當(dāng)前認(rèn)證計(jì)劃之間的不匹配,解決所述認(rèn)證計(jì)劃不匹配的裝置�����。
22. 根據(jù)權(quán)利要求21所述的設(shè)備���,其中用于解決的裝置還包括如下至 少一個(gè)用于要求額外的認(rèn)證數(shù)據(jù)的裝置����; 用于修改認(rèn)證計(jì)劃的裝置���;以及 用于創(chuàng)建認(rèn)證計(jì)劃的裝置�����。
23. 根據(jù)權(quán)利要求19所述的設(shè)備����,其中用于將所述存儲(chǔ)的認(rèn)證計(jì)劃與 所述當(dāng)前認(rèn)證計(jì)劃比較以確定它們是否匹配的裝置還包括用于比較每個(gè)認(rèn) 證計(jì)劃的認(rèn)證記錄以確定是否至少認(rèn)證記錄的指定的子集在所述認(rèn)證計(jì)劃 之間匹配的裝置����。
24. 根據(jù)權(quán)利要求19所述的設(shè)備,還包括用于對(duì)在到所述目標(biāo)服務(wù)器的認(rèn)證的之前層處的一個(gè)或多個(gè)服務(wù)器執(zhí) 行認(rèn)證步驟的裝置��;以及用于將用于每個(gè)所執(zhí)行的認(rèn)證步驟的認(rèn)證事件記錄存儲(chǔ)在認(rèn)證存儲(chǔ)中 的裝置����。
25. 根據(jù)權(quán)利要求19所述的設(shè)備,還包括用于嘗試認(rèn)證到所述目標(biāo)服務(wù)器的裝置�,所述目標(biāo)服務(wù)器要求與所述用 戶相關(guān)聯(lián)的認(rèn)證計(jì)劃;以及用于接收是否許可接入到所述目標(biāo)服務(wù)器的指示的裝置��。
26. 根據(jù)權(quán)利要求19所述的設(shè)備��,還包括用于將當(dāng)前認(rèn)證計(jì)劃傳送 到所述目標(biāo)服務(wù)器的裝置�����,所述當(dāng)前認(rèn)證計(jì)劃具有用于對(duì)在到所述目標(biāo)服務(wù) 器的認(rèn)證的之前層處的服務(wù)器的一個(gè)或多個(gè)所執(zhí)行的認(rèn)證步驟的所存儲(chǔ)的 認(rèn)證記錄。
27. 根據(jù)權(quán)利要求19所述的裝置�,還包括用于從所述目標(biāo)服務(wù)器接 收對(duì)于當(dāng)前認(rèn)證計(jì)劃的請(qǐng)求的裝置。
28. —種用于將用戶i/v證到目標(biāo)服務(wù)器的系統(tǒng)�,所述系統(tǒng)包括目標(biāo)服務(wù)器,具有可操作來訪問與請(qǐng)求接入到所述目標(biāo)服務(wù)器的用戶相 關(guān)聯(lián)的所存儲(chǔ)的認(rèn)證計(jì)劃的認(rèn)證計(jì)劃管理器���,所述存儲(chǔ)的認(rèn)證計(jì)劃包括一個(gè)或多個(gè)認(rèn)證記錄��,每個(gè)所述認(rèn)證記錄具有與由用戶接入到在認(rèn)證的之前層處的服務(wù)器而不是所述目標(biāo)服務(wù)器相關(guān)聯(lián)的期望的數(shù)據(jù)�;認(rèn)證存儲(chǔ)�,可操作來存儲(chǔ)與所述用戶相關(guān)聯(lián)的當(dāng)前認(rèn)證計(jì)劃,所述當(dāng)前 認(rèn)證計(jì)劃包括一個(gè)或多個(gè)認(rèn)證記錄�,每個(gè)所述認(rèn)證記錄具有與由用戶接入到 在認(rèn)證的之前層處的服務(wù)器而不是所述目標(biāo)服務(wù)器相關(guān)聯(lián)的當(dāng)前數(shù)據(jù);認(rèn)證存儲(chǔ)管理器��,可操作來與所述目標(biāo)服務(wù)器和所述認(rèn)證存儲(chǔ)通信�����,并 且可操作來向所述目標(biāo)服務(wù)器的所述認(rèn)證計(jì)劃管理器提供與指定的用戶相關(guān)聯(lián)的所述當(dāng)前認(rèn)i正計(jì)劃�;以及其中所述目標(biāo)服務(wù)器的所述認(rèn)證計(jì)劃管理器可操作來基于所迷存儲(chǔ)的 認(rèn)證計(jì)戈'j和j
全文摘要
大體上講,本發(fā)明公開了用于基于之前到其他服務(wù)器的認(rèn)證來將用戶認(rèn)證到服務(wù)器的系統(tǒng)�����、方法和介質(zhì)。用于將用戶認(rèn)證到服務(wù)器的方法的實(shí)施例包括接收用于將用戶認(rèn)證到服務(wù)器的請(qǐng)求���,以及確定認(rèn)證用戶是否要求匹配認(rèn)證計(jì)劃�。如果要求計(jì)劃��,則該方法還可以包括訪問具有認(rèn)證記錄的所存儲(chǔ)的認(rèn)證計(jì)劃�����,每個(gè)認(rèn)證記錄具有與用戶接入到不同服務(wù)器相關(guān)的期望的信息����。該方法還可以包括從認(rèn)證存儲(chǔ)接收用戶的當(dāng)前認(rèn)證計(jì)劃的指示����,在認(rèn)證存儲(chǔ)中該計(jì)劃具有認(rèn)證記錄,每個(gè)認(rèn)證記錄具有關(guān)于用戶接入的當(dāng)前信息��。該方法的實(shí)施例還可以包括將所存儲(chǔ)的認(rèn)證計(jì)劃和所接收的當(dāng)前認(rèn)證計(jì)劃比較以確定它們是否匹配�����,以及響應(yīng)于匹配來認(rèn)證用戶。
文檔編號(hào)G06F21/20GK101669128SQ200880013086
公開日2010年3月10日 申請(qǐng)日期2008年4月11日 優(yōu)先權(quán)日2007年4月27日
發(fā)明者基思·R·沃爾克, 布賴恩·M·奧康奈爾, 約翰·帕維希, 里克·A·漢密爾頓二世 申請(qǐng)人:國際商業(yè)機(jī)器公司