专利名称:基于令牌进行认证的方法和系统的制作方法
技术领域:
本发明涉及在计算机系统中进行认证的方法、执行所述方法的计算机系统、及含有执行所述方法的程序代码部分的计算机程序产品。
背景技术:
客户端应用需要访问服务器应用的资源。客户端应用开启与服务器应用的通信信道。此通信信道通常未经认证,也就是说任何客户端应用皆可建立连接。在客户端应用访问服务器应用的资源之前,客户端应用请求服务器应用通过识别客户端应用用户的名称进行认证。为了认证客户端应用用户,服务器应用向客户端应用发送质询,即一种只有真正的客户端应用用户才能解决的难题。客户端应用发送回难题的解答。服务器应用检验解答正确与否,以此方式认证客户端应用,然后将服务器应用资源的访问权限授予客户端应用。在现有技术的实施方案中,质询可以是来自服务器应用的消息,客户端应用使用客户端应用用户的密钥加密此消息。此消息可以是临时随机数(nonce),其在安全工程中称为“使用一次的数字”且仅针对一个通信会话产生。临时随机数可以是任何随机数据或时间戳。客户端应用用户的密钥是客户端应用及服务器应用二者均具有副本的对称密钥。 或者,密钥是非对称密钥,其中客户端应用具有私钥,而服务器应用具有对应的公钥。客户端将加密后的消息发送回服务器应用。服务器应用分别使用客户端应用用户的对称密钥或公钥解密此消息,然后检验此解密后的消息是否匹配服务器应用已发送给客户端应用的消息。当检验成功后,服务器应用推断此消息已由客户端应用用户的相应对称密钥或私钥的持有者加密,然后认证加密后的消息的发送者。在现有技术中,另一种认证方式是基于使用非对称密钥对密码进行加密及解密。 客户端应用经由加密后的通信信道将密码发送给服务器应用。可使用服务器应用用户的公钥加密所述通信信道,所述公钥或者可公开取得,或者在加密密码且经由所述通信信道将其发送给服务器应用之前,已经被传递给客户端应用。只有服务器应用才能使用服务器应用用户的私钥解密含有所述密码的所接收的消息。当服务器应用在服务器应用主机上运行时,服务器应用可使用从客户端应用获得的密码,请求服务器应用主机的基础操作系统进行认证。在现有技术中,Kerberos算法使用服务器应用经由中央认证服务器对客户端应用的认证。详情请见例如C. Kaufman等人的“网络安全(Network Security) ",Prentice Hall 出版社,2002年。Kerberos算法本质上按如下方式工作客户端应用将请求发送至中央认证服务器,要求返回由服务器应用用于认证的票证。认证服务器通过服务器应用用户的公开或对称密钥加密会话密钥及客户端应用用户的名称,为服务器应用设计会话密钥及产生票证。为服务器应用设计的会话密钥、生成的票证、及服务器应用用户的名称均使用客户端应用用户的公开或对称密钥来加密。中央认证服务器将加密后的消息发送给客户端应用。 只有客户端应用用户才能够使用客户端应用用户的私钥或对称密钥解密所接收的消息。客户端应用用户检验从中央认证服务器接收的消息是否可用来由服务器应用认证客户端应
5用,因为只有客户端应用用户才能够解密消息且所述消息含有服务器应用用户的名称。客户端应用将服务器应用的票证及使用会话密钥加密的时间戳发送给服务器应用。只有服务器应用用户才能够使用服务器应用用户的私钥或对称密钥解密票证并取回会话密钥及客户端应用用户的名称。服务器应用认可中央认证服务器已插入票证中的客户端应用用户名称,因而此票证可用来由服务器应用认证进行发送的客户端应用。服务器应用使用来自解密后的票证的会话密钥解密加密后的时间戳并加以验证。根据票证及时间戳,服务器应用将访问权限授予请求访问服务器应用的客户端应用。中央认证服务器的加密保证只有客户端应用用户才能解密来自中央认证服务器的消息,而且只有服务器应用用户才能解密中央认证服务器所产生及客户端应用已发送至服务器应用的票证。在Kerberos算法中,客户端应用用户自行与服务器应用进行认证,不用知道服务器应用用户的密码或密钥。反之亦然,服务器应用也不需要存储客户端应用用户的任何密钥或密码。然而,中央认证服务器必须存储客户端应用用户及服务器应用用户二者的公钥或对称密钥。现有技术在服务器应用无法访问基础操作系统的认证机制时具有缺点。在此情况下,服务器应用无法使用接收自客户端应用的密码来认证客户端应用用户。现有技术的第二个缺点是传送任何密码时均必须加密通信信道的事实。客户端应用及服务器应用中的至少一个必须对经由通信信道安全交换数据所需的密码或临时随机数进行加密及解密。加密及解密程序代码的实施方案很复杂。Kerberos算法基于具有票证生成机制的中央认证服务器及使用客户端应用用户和服务器应用用户的对称或非对称密钥对消息进行加密及解密。认证服务器的设定及实施方案和在客户端应用侧及服务器应用侧用于加密及解密的程序代码也很复杂。
发明内容
因此,本发明的目的是提供一种用于认证的简化方法及系统在客户端应用和服务器应用之间建立未认证和未加密的次通信信道之后,由服务器应用认证客户端应用。本发明的此目的可以通过一种在系统中进行认证的方法来实现,所述系统具有 客户端应用、服务器应用、资源位置、在所述客户端应用和所述资源位置之间的已认证主通信信道、以及在所述服务器应用和所述资源位置之间的已认证主通信信道。已认证通信信道意味着由所述资源位置认证了在所述客户端应用和所述资源位置之间建立所述通信信道的客户端应用用户。这也适用于在所述服务器应用和所述资源位置之间的已认证通信信道,其中所述资源位置认证服务器应用用户。所述资源位置仅允许一组特权用户建立通信信道,且知道创建与所述资源位置的通信信道的用户身份。所述主通信信道不一定要加密, 也就是说,入侵的应用可在通信信道上窃听并读取传送的消息。为了建立在客户端应用及服务器应用之间的直接次通信信道连接,客户端应用创建与服务器应用的次通信信道,其通常为未认证及未加密的。任何客户端应用皆可创建与服务器应用的通信信道。服务器应用并不知道建立通信信道连接的客户端应用用户的身份。客户端应用经由所述次通信信道向服务器应用提交授予访问权限的请求,并告知服务器应用客户端应用用户的身份。服务器应用按以下方式认证客户端应用用户服务器应用启动认证令牌的生成。服务器应用可自行创建认证令牌或请求远程服务器生成认证令牌。 认证令牌可以是使用一次的某个临时随机数、数字或字,例如,在统计上为随机的位模式或加密时间戳。服务器应用启动以将认证令牌存储在资源位置处,并设定访问权限使得客户端应用用户具有访问认证令牌的权利。在服务器应用将所生成的认证令牌存储在资源位置处后,服务器应用用户具有访问资源位置的写入及创建权限、将认证令牌存储在资源位置处、以及设定访问权限,使得只有包括客户端应用用户的特权用户才被允许经由在客户端应用和资源位置之间的已认证主通信信道访问认证令牌。客户端应用必须至少具有读取认证令牌的权限。请求访问服务器应用的非特权用户不得具有访问认证令牌的权利,因而也没有读取或修改认证令牌的权利。服务器应用用户及可能系统管理员通常属于特权用户, 因而具有访问认证令牌的权限。客户端应用经由在客户端应用和资源位置之间的已认证主通信信道取回认证令牌的副本。客户端应用经由次通信信道将认证令牌副本返回服务器应用。在服务器应用启动后,服务器应用随即检查客户端应用返回的认证令牌副本是否匹配存储在资源位置处的所生成的认证令牌。在服务器应用证实所接收的认证令牌副本和所存储的认证令牌完全相同后,服务器应用认证客户端应用、经由次通信信道将成功消息返回客户端应用、以及将访问权限授予客户端应用。当所接收的认证令牌副本与所存储的认证令牌不同时,服务器应用经由次通信信道返回错误消息,并拒绝客户端应用的访问。在本发明的一个优选实施例中,在将所生成的认证令牌存储在资源位置处之前, 客户端应用已与服务器应用建立次通信信道。所述次通信信道是服务器应用预期从客户端应用接收认证令牌所利用的唯一通信信道。这意味着所述主通信信道未必要加密。当入侵的客户端应用在任何已认证主通信信道上窃听、读取认证令牌、及建立与服务器应用的另一次通信信道时,服务器应用将拒绝入侵客户端应用的访问,因为已经创建与发出请求的客户端应用的次通信信道。所述客户端应用在客户端设备中运行,以及所述服务器应用在服务器设备中运行。所述资源位置是所述客户端设备、所述服务器设备以及第三设备中的一个。在本发明的所述优选实施例中,客户端设备及服务器设备是各自具有独立文件系统的独立主机系统,并且资源位置是服务器应用主机的本地文件系统。客户端应用主机将服务器应用主机的文件系统安装为远程文件系统,并使用操作系统服务提供的远程文件系统的安装的认证机制来访问远程文件系统的文件。服务器应用使用本地文件系统的操作系统服务,其内在地认证服务器应用用户,以授予本地文件系统的文件的访问权限。在本发明的所述优选实施例中,所述客户端应用是数据库驱动器的客户端组件, 并且所述服务器应用是所述数据库驱动器的服务器组件。在本发明的一个备选实施例中,客户端应用及服务器应用在同一设备中运行。这意味着二者均可在具有一个本地文件系统的同一主机系统中执行。客户端应用将要求授予访问权限的请求发送给服务器应用。所述请求包括客户端应用用户的名称,但不包括密码。 服务器应用无法使用客户端应用用户的密码,因为服务器应用无法访问基础操作系统的认证机制。服务器应用将所生成的认证令牌存储在公共文件系统的位置处,客户端应用在该处可轻易地读取认证令牌。客户端应用将认证令牌副本发送给服务器应用。服务器应用检验认证令牌后,将访问权限授予客户端应用。在本发明的第二备选实施例中,所述资源位置是文件服务器主机的文件系统,所
7述文件服务器主机与客户端应用主 机及服务器应用主机分离。所述客户端应用主机及服务器应用主机分别将文件服务器主机的文件系统安装为远程文件系统,并使用操作系统服务提供的认证机制访问远程文件系统的文件。在本发明的第三备选实施例中,所述资源位置可以是认证服务器或数据库服务器。
在本发明的第四备选实施例中,在所述客户端应用和所述资源位置之间的所述主通信信道以及在所述服务器应用和所述资源位置之间的所述主通信信道中的至少一个使用已认证的网络通信协议。所述网络通信协议可以是安全套接字层(SSL),并且通过统一资源定位器(URL)标识存储在所述资源位置处的所述认证令牌。在本发明的第五备选实施例中,在客户端应用创建与服务器应用的次通信信道之前,服务器应用启动以将所生成的认证令牌存储在资源位置处。客户端应用用户可访问及读取认证令牌、创建与服务器应用的次通信信道、将认证令牌副本发送给服务器应用,最后由服务器应用认证客户端应用。然而,在此情况下,必须加密所述主通信信道。当主通信信道未加密时,入侵的客户端应用可在任何主通信信道上窃听、创建与服务器应用的次通信信道、假装是为其生成认证令牌的客户端应用用户、滥用所窃取的认证令牌副本并将其发送给服务器应用、及取得授予服务器应用的访问权限。在本发明的第六备选实施例中,使用服务器应用替换客户端应用,反之亦然。使用在服务器应用和资源位置之间的主通信信道替换在客户端应用和资源位置之间的主通信信道,反之亦然。在客户端应用和服务器应用之间的如此角色交换之后,可按对应的方式应用所说明的认证方法。在本发明的第七备选实施例中,所述客户端应用和所述服务器应用中的至少一个在智能卡设备中运行。本发明的方法可在计算机系统中执行,并可在计算机程序产品中执行,以便在包含执行所述方法的各步骤的计算机程序代码部分的数据处理系统中执行。
通过实例例示了本发明并且本发明不受附图中的图形形状的限制,其中图1是根据本发明的基于令牌的认证系统的示意性方块图表示;以及图2、3、4是根据本发明的基于认证令牌的认证方法的流程图和过程图表示。
具体实施例方式在附图及说明书中提出了本发明的优选实施例,虽然使用特定术语,但如此提供的说明仅针对一般及描述的意义使用,而非用来限制。然而,将显而易见的是,可对本发明进行各种修改和改变而不脱离如所附权利要求所述的本发明的广泛精神和范围。本发明可以以硬件、软件或硬件和软件的组合来实现。任何适合于执行此处所描述的方法的计算机系统或其他装置都是适合的。典型的硬件和软件的组合可以是具有计算机程序的通用计算机系统,当所述计算机程序被加载和执行时,将控制所述计算机系统以使得其执行此处描述的方法。本发明还可以被嵌入计算机程序产品,其包括允许实现此处所述的方法的所有特征,并且当被加载到计算机系统中时,其能够执行这些方法。
当前上下文中的计算机程序装置或计算机程序是指一组指令的以任何语言、代码或符号表示的任何表达,旨在使具有信息处理能力的系统直接执行特定的功能,或者执行以下两者之一或全部后执行特定的功能a)转换为另一种语言、代码或符号;和/或b)以不同的材料形式再现。图1示出了一种用于认证的系统(100),其包含客户端应用(101)、服务器应用 (102)以及资源位置(103)。客户端应用(101)和服务器应用(102)分别经由已认证的主通信信道(104)和(105)访问资源位置(103)。主通信信道(104)和(105)未必要加密,也就是说,第三方可以读取在信道(104) 及(105)上传送的数据。通信信道(104)提供路径以便客户端应用能够访问资源位置(103) 的访问权限受控的资源,例如,远程文件系统 中访问权限受控的文件。客户端应用(101)代表客户端应用用户在已认证的登录会话中运行,客户端应用用户通过输入用户名称和密码来登录(111)客户端应用。服务器应用(102)代表服务器应用用户在由操作系统服务建立的已认证登录会话中运行。客户端应用(101)希望建立与服务器应用(102)的次通信信道(106)。次通信信道 (106)可以是在数据库驱动器的客户端和服务器组件之间将客户端应用连接到数据库服务器的通信套接字。数据库驱动器的服务器组件可能无法访问数据库服务器的基础操作系统的认证机制并使用客户端应用用户的接收的密码进行认证。因此,客户端应用(101)创建 (121,122)与服务器应用(102)的次要未认证次通信信道(106),这意味着通信信道不需要用户证书,任何客户端应用均可建立此连接。通信信道(106)未必要加密。客户端应用(101)通过所建立的未认证的次通信信道(106),发送请求(123)给服务器应用(102),要求认证代表客户端应用用户运行的客户端应用。此请求含有客户端应用用户的名称。服务器应用(102)生成认证令牌(141),其可以是在统计上为随机的位模式或加密时间戳。身份验证的可信度由认证令牌(141)的随机发生器的质量决定。服务器应用将认证令牌(143)置于(即,存储)(124、125)在资源位置(103)处,也就是说,以特定的名称及位置加以存储。服务器应用设定认证令牌(143)的文件访问权限,因而只有一组特权用户(包括客户端应用用户)被允许读取认证令牌。客户端应用用户的名称包含在请求(123) 中,以认证与服务器应用的次通信信道。然而,非特权用户不允许访问认证令牌。服务器应用用户并且通常是系统管理员属于具有访问认证令牌(143)的权利的一组特权用户。服务器应用(102)经由次通信信道(106)将响应返回(126)客户端应用(101),所述响应可包括存储在资源位置(103)处的认证令牌(143)的名称及位置。客户端应用(101)经由已认证主通信信道(104)从资源位置(103) “恢复”(即, 读取)(127、128)认证令牌。请求与具有客户端应用用户证书的服务器应用(102)或任何应用用户的次通信信道(106)的客户端应用用户是获准访问及读取认证令牌(143)的特权用户之一。客户端应用(101)经由次通信信道(106)将认证令牌(143)的副本(145)返回 (129)服务器应用(102)。服务器应用(102)通过预期的次通信信道(106)接收认证令牌(143)的副本 (146)。这是服务器应用(102)为了响应认证客户端应用用户的请求(123),预期可在其上接收认证令牌(143)的副本(146)的唯一通信信道。服务器应用检验(102)所接收(所恢复)的认证令牌(143)的副本(146)是否匹配服务器应用已存储在(置于)资源位置(103)处且只有客户端应用用户才能访问的认证令牌(143)。所存储的认证令牌(143)与所生成的认证令牌(141)完全相同。如果检验成功,则建立与服务器应用(102)的未认证次通信信道(106)的用户是其所宣称的用户。服务器应用(102)认证与客户端应用的次通信信道(106)并将访问权限授予客户端应用(101)。服务器应用可经由次通信信道(106),将客户端应用用户已被认证的确认消息返回(130)客户端应用。如果检验失败,也就是说,如果认证令牌的副本(146)不同于所存储的认证令牌 (143)或不同于所生成的认证令牌(141),则服务器应用拒绝访问并经由次通信信道(106) 将应用错误返回(130)客户端应用。如果在客户端应用(101)和资源位置(103)之间的主通信信道(104)以及在服务器应用(102)和资源位置(103)之间的主通信信道中的至少一个未加密,则重要的是,在服务器应用将认证令牌存储在资源位置(103)处“之前”,建立与服务器应用(102)的未认证的次通信信道(106)。服务器应用(102)预期仅使用经由所建立的次通信信道(106)的认证令牌。 图2包含本发明的认证方法的流程图及过程图。响应于建立次通信信道(106)的请求(211),客户端应用(201)创建(212、231、232)与服务器应用(202)的未认证次通信信道(106)。客户端应用(201)使用此通信信道(106)将请求(213、233)提交至服务器应用(202)。服务器应用(202)生成(214)认证令牌并将其存储(215、234、235)于资源位置 (203),使得客户端应用用户是除了服务器应用用户及可能系统管理员之外,唯一能够读取认证令牌的用户。服务器应用(202)将响应返回(216、236)客户端应用(201)。接着,客户端应用(201)经由在客户端应用(201)和资源位置(203)之间的主通信信道(104),取回(217、237、238)认证令牌副本,并使用次通信信道(106)将其返回(218、239)服务器应用(202)。服务器应用(202)检验(219)所接收的认证令牌副本是否匹配存储在资源位置 (203)及只有客户端应用用户才能读取-访问的所生成的认证令牌。如果检验成功,则服务器应用经由次通信信道(106)返回(220、240)成功消息并将访问权限授予(222)客户端应用(201)。如果检验失败,则服务器应用(202)利用次通信信道(106)将错误消息发送回 (221,240)客户端应用(201),并拒绝(223)客户端应用(201)的访问。图3示出了一个备选实施例,其中在客户端应用(301)和服务器应用(302)之间的次通信信道(106)已经建立之前,服务器应用(302)在初始化(311)后即生成(312)认证令牌,并将其存储(313、321、322)在资源位置(303)处。在所述备选实施例中,在所生成的认证令牌和预期创建与服务器应用的次通信信道(106)并将认证令牌副本发送给服务器应用的客户端应用用户之间,存在一对一的关系。图4示出了所述备选实施例的方法步骤,其中在建立次通信信道之前,所生成的认证令牌已存储在资源位置(403)处。响应于经由次通信信道(106)的认证代表客户端应用用户运行的客户端应用的请求(411),客户端应用从资源位置(403)取回(412、421、422) 认证令牌副本。除了服务器应用用户及可能是系统管理用户以外,只有客户端应用用户是访问认证令牌的特权用户。
客户端应用创建(413、423、424)与服务器应用的未认证的次通信信道(106),并经由次通信信道(106)将认证令牌副本返回(414、425)服务器应用。服务器应用检验(415) 接收的认证令牌副本是否匹配服务器应用已针对特定的客户端应用用户存储的认证令牌。 根据检验的结果,服务器应用发送(426)成功消息(416)或错误消息(417),并相应地将访问权限授予(418)客户端应用或拒绝(419)客户端应用的访问。如果在客户端应用(101)和资源位置(103)之间的主通信信道(104)以及在服务器应用(102)和资源位置(103)之间的主通信信道(105)中的至少一个未加密,则第三方可自通信信道读取认证令牌副本、建立与服务器应用的未认证次通信信道,及宣称是为其创建认证令牌的客户端应用用户。为了避免在建立次通信信道(106)之前将认证令牌存储在资源位置处的情况中滥用认证令牌,必须加密在客户端应用(101)和资源位置(103) 之间的主通信信道(104)以及在服务器应用(102)和资源位置(103)之间的主通信信道 (105)。当第一次经由客户端应用(101)和服务器应用(102)之间的次通信信道(106)传送认证令牌时,服务器应用通常在入侵的客户端应用可以在次通信信道(106)上窃听及读取认证令牌副本之前接收认证令牌副本。在此情况下,次通信信道未必要加密。当任何认证令牌副本在至少一个通信信道上至少传送多次时,即使顺序使用多个通信信道,也必须加密对应的通信信道。客户端应用(101)可以以与服务器应用认证客户端应用用户相同的方式,检验服务器应用用户的身份,只要交换以下角色即可客户端应用(101)与服务器应用 (102),以及在客户端应用(101)和资源位置(103)之间的主通信信道(104)与在服务器应用(102)和资源位置(103)之间的主通信信道(105)。在此反向认证的情况中,服务器应用建立与客户端应用的未认证次通信信道(106)、将授予访问权限的请求提交给客户端应用。 客户端应用启动以生成认证令牌并将其存储在资源位置处,请求授予访问权限的服务器应用用户可读取访问认证令牌。服务器应用经由已认证主通信信道(105)从资源位置取回认证令牌副本,并经由次通信信道(106)将认证令牌副本返回客户端应用。客户端应用检验由服务器应用返回的认证令牌副本是否匹配客户端应用存储在资源位置(103)处的认证令牌。
1权利要求
1.一种在系统(100)中进行认证的方法,所述系统(100)具有客户端应用(101)、服务器应用(102)、资源位置(103)、在所述客户端应用(101)和所述资源位置(10 之间的已认证主通信信道(104)、以及在所述服务器应用(10 和所述资源位置(10 之间的已认证主通信信道(105),所述方法包含以下步骤-所述客户端应用(101)创建(121、12幻与所述服务器应用(10 的次通信信道 (106);-所述客户端应用(101)经由所述次通信信道(106)向所述服务器应用(10 提交授予访问权限的请求(123);-所述服务器应用(10 在认证成功后,经由所述次通信信道(106)将访问权限授予所述客户端应用(101);所述方法的特征在于,所述方法还包含以下步骤-所述服务器应用(10 启动要存储在所述资源位置(10 处的认证令牌的生成,所述客户端应用(101)可经由所述客户端应用(101)和所述资源位置(10 之间的所述已认证主通信信道(104)访问所述认证令牌(143);-所述客户端应用(101)经由所述客户端应用(101)和所述资源位置(103)之间的所述已认证主通信信道(104)从所述资源位置(103)取回(127、128)所述认证令牌(143);-所述客户端应用(101)经由所述次通信信道(106)将所述认证令牌(14 返回(129) 所述服务器应用(102);-所述服务器应用(10 通过检查所述客户端应用(101)返回所述服务器应用(102) 的所述认证令牌(146)是否与所述服务器应用(10 启动时存储在所述资源位置(103)处的所生成的认证令牌(14 匹配来认证所述客户端应用(101)。
2.如权利要求1中所述的方法,其中所述认证令牌(14 仅可由特权用户访问,所述特权用户包括请求访问所述服务器应用(10 的所述客户端应用(101)。
3.如权利要求1中所述的方法,其中针对所述客户端应用(101)和所述服务器应用(102)之间的所述次通信信道(106)的单次建立而生成存储在所述资源位置(10 处的所述认证令牌(143)。
4.如权利要求1中所述的方法,其中所生成的认证令牌(14 是统计上随机的位模式。
5.如权利要求1中所述的方法,其中所述资源位置(103)是文件系统。
6.如权利要求5中所述的方法,其中所述文件系统是所述服务器应用(10 和所述客户端应用(101)中的至少一个的本地文件系统,并且其中在所述客户端应用(101)和所述资源位置(10 之间的所述主通信信道(104)以及在所述服务器应用(10 和所述资源位置(103)之间的所述主通信信道(105)中的至少一个使用所述文件系统的操作系统服务所提供的认证机制。
7.如权利要求5中所述的方法,其中所述文件系统是所述客户端应用(101)和所述服务器应用(102)中的至少一个的远程文件系统,并且在所述客户端应用(101)和所述资源位置(10 之间的所述主通信信道(104)以及在所述服务器应用(10 和所述资源位置(103)之间的所述主通信信道(105)中的至少一个分别使用所述远程文件系统的安装来连接和认证所述客户端应用(101)和所述服务器应用(10 中的至少一个。
8.如权利要求1中所述的方法,其中在所述客户端应用(101)和所述资源位置(103)之间的所述主通信信道(104)以及在所述服务器应用(10 和所述资源位置(10 之间的所述主通信信道(105)中的至少一个使用已认证的网络通信协议,并且其中所述网络通信协议是安全套接字层(SSL),并且通过统一资源定位器(URL)标识存储在所述资源位置 (103)处的所述认证令牌(143)。
9.如权利要求1中所述的方法,其中在将所生成的认证令牌(14 存储在所述资源位置(10 处之前,已经建立(121、12幻所述次通信信道(106)。
10.如权利要求1中所述的方法,其中加密在所述客户端应用(101)和所述资源位置 (103)之间的所述主通信信道(104)以及在所述服务器应用(10 和所述资源位置(103) 之间的所述主通信信道(105),并且在所述客户端应用(101)创建(121、12幻与所述服务器应用(10 的所述次通信信道(106)之前,将所生成的认证令牌(14 存储在所述资源位置(103)处。
11.如权利要求1中所述的方法,其中所述客户端应用(101)是数据库驱动器的客户端组件,并且所述服务器应用(10 是所述数据库驱动器的服务器组件。
12.一种用于进行认证的系统(100),所述系统(100)具有运行客户端应用(101)的客户端设备、运行服务器应用(10 的服务器设备、资源位置(103)、在所述客户端设备和所述资源位置(10 之间的已认证主通信信道(104)、以及在所述服务器设备和所述资源位置(10 之间的已认证主通信信道(105),所述系统执行以下步骤-所述客户端应用(101)创建(121、12幻与所述服务器应用(10 的次通信信道 (106);-所述客户端应用(101)经由所述次通信信道(106)向所述服务器应用(10 提交授予访问权限的请求(123);-所述服务器应用(10 在认证成功后,经由所述次通信信道(106)将访问权限授予所述客户端应用(101);所述系统的特征在于,所述系统还包含执行以下步骤的部件-所述服务器应用(10 启动要存储在所述资源位置(10 处的认证令牌的生成,所述客户端应用(101)可经由所述客户端应用(101)和所述资源位置(103)之间的所述已认证主通信信道(104)访问所述认证令牌(143);-所述客户端应用(101)经由所述客户端应用(101)和所述资源位置(103)之间的所述已认证主通信信道(104)从所述资源位置(103)取回(127、128)所述认证令牌(145);-所述客户端应用(101)经由所述次通信信道(106)将所述认证令牌(14 返回(129) 所述服务器应用(102);-所述服务器应用(10 通过检查所述客户端应用(101)返回所述服务器应用(102) 的所述认证令牌(146)是否与所述服务器应用(10 启动时存储在所述资源位置(103)处的所生成的认证令牌(14 匹配来认证所述客户端应用(101)。
13.如权利要求12中所述的系统,其中所述客户端应用(101)和所述服务器应用 (102)在同一设备中运行。
14.如权利要求12或13中所述的系统,其中所述服务器设备和所述客户端设备中的至少一个还包含所述资源位置(103)。
15.一种计算机程序产品,其实现在数据处理系统中执行的认证机制并且包含执行如任一先前权利要求1至11中所述的各步骤的计算机程序代码部分。
全文摘要
本发明涉及在客户端应用(101)和资源应用(103)之间建立已认证的主通信信道(104)后,认证在所述客户端应用(101)和服务器应用(102)之间的次通信信道(106),所述服务器应用(102)可在所述资源应用(103)上存储所生成的认证令牌(143),只有包括客户端应用用户的特权用户才能读取-访问(127、128)所生成的认证令牌(143)并经由所述次通信信道将其发送回所述服务器应用。
文档编号H04L29/06GK102217277SQ200980146296
公开日2011年10月12日 申请日期2009年10月26日 优先权日2008年11月28日
发明者E·卡斯 申请人:国际商业机器公司