专利名称::经由安全网站安全地签入至网站的方法和装置的制作方法
技术领域:
:本发明的实施例涉及数据处理领域,尤其涉及对在线服务的安全签入领域。
背景技术:
:集成电路、处理器和相关技术的进步产生了迅速发展的各种各样具备多种计算能力的计算设备。同时,电信技术、网络技术和其他相关技术的发展导致联网计算的快速发展。现今,用户通过使用各种客户端计算设备,可以访问各种各样的在线服务,例如获取数据、商品销售以及多媒体(例如音乐和/或视频)服务。由于多种原因(包括但不限于补偿商品销售和/或服务、数据安全以及私密性),许多在线服务需要签入(sign-on)作为处理过程的一部分,以确保这些服务是由授权用户进行消费的。
发明内容结合附图,通过以下详细描述,将容易理解本发明的实施例。为了便于描述,相似的附图标记表示相似的结构元件。附图中本发明的实施例作为示例示出,而非限制本发明。图l示意了根据本发明的各个实施例的计算机系统;以及图2示意了根据本发明的各个实施例的计算机网络。具体实施例方式在以下详细描述中,参照构成本发明说明书一部分的附图,其中在所有附图中,相似的附图标记表示相似的部分,并示出了实现本发明的示例性实施例。要理解的是,在不背离本发明范围的前提下,也可以利用其他实施例,并可以进行结构或逻辑上的改变。因此,以下详细描述不应被视为限制性的,根据本发明的实施例的范围由所附权利要求及其等同物限定。按照可能有助于理解本发明实施例的方式,多种操作可以依次描述为多个离散的操作;然而,描述的顺序不应当视为意味着这些操作是依赖于顺序的。描述可以使用基于透视法的描述,例如上/下、后/前、和顶/底。这样的描述仅用来方便讨论,并不意在限制本发明实施例的应用。对于本发明,短语"A/B"表示A或B。对于本发明,短语"A禾口/或B"表示"(A)、(B)、或者(A和B)"。对于本发明,短语"A、B和C中的至少一个"表示"(A)、(B)、(C)、(A和B)、(A和C)、(B和C)、或(A、B和C)"。对于本发明,短语"(A)B"表示"(B)或(AB)",即A是可选元素。描述可以使用短语"在实施例中",其可以分别指一个或多个相同或不同的实施例。此外,对于本发明实施例所使用的术语"包含"、"包括"、"具有"等是同义的。本发明的实施例提供了经由安全网站来签入至网站的方法和装置。图1示意性示出了根据本发明多种实施例的计算机系统100,其可以作为服务器、客户端设备、数据库等进行操作。系统100可以具有执行环境104,执行环境104可以是执行操作系统(OS)108的域。OS108可以是被配置为执行和控制执行环境104内受管理模块116管理的其他组件(例如,软件组件112)的一般操作的组件。管理模块116可以仲裁一般组件对硬件资源的访问,硬件资源是例如一个或多个处理器120、网络接口控制器124、存储装置128、和/或存储器132。在一些实施例中,组件112可以是监控级组件,例如,内核组件。在多种实施例中,内核组件可以是服务(例如,加载器、调度器、存储器管理器等)、扩展/驱动器(例如,针对网卡,是通用串行总线(USB)接口、磁盘驱动器等)、或服务-驱动器混合体(例如,对代码的执行进行监视的入侵检测器)。处理器120可以执行系统100的组件的程序指令。处理器120可以是单核和/或多核处理器、控制器、专用集成电路(ASIC)等。在实施例中,存储装置128可以代表非易失性存储器,以存储用于系统100组件执行的永久性内容,例如但不限于操作系统、程序文件、配置文件等。在实施例中,存储装置128可以包括存储的内容136,该存储的内容可以代表组件112的源内容的永久性存储。源内容的永久性存储可以包括,例如可以具有可执行文件和/或代码段的可执行代码存储,至其他例程的链接(例如,对动态链接库(DLL)的调用)、数据段等。在多种实施例中,存储装置128可以包括集成的和/或外围的存储设备,例如但不限于,磁盘和关联的驱动器(例如,磁、光盘)、通用串行总线(USB)存储设备和关联的端口、闪存、ROM、非易失性半导体设备等。在多种实施例中,存储装置128可以是作为系统100的物理部分的存储资源,或者存储装置128可以但不是必须能够被系统100的一部分访问。例如,存储装置128可以经由网络接口控制器124通过网络140被系统110访问。此外,多个系统100可以可操作地经由网络140彼此连接。例如,对于来自OS108的加载代理的加载请求,管理模块116和/或OS108可以将来自存储装置128的存储内容136加载到存储器132中,作为针对执行环境104中组件112的操作的有效内容144。在多种实施例中,存储器132可以是易失性存储器,以提供用于系统100上组件操作的有效内容。在多种实施例中,存储器132可以包括RAM、动态RAM(DRAM)、静态RAM(SRAM)、同步DRAM(SDRAM)、双数据率RAM(DDRRAM)等。在一些实施例中,存储器132可以将其存储内容组织成多个存储位置组。这些大小可以固定和/或可变的有组织的组可以便于虚拟存储器管理。存储位置的组可以是页、段或其组合。如这里所使用的,术语"组件"意在指可以用来获得期望结果的程序逻辑和关联的数据。术语"组件"可以与"模块"或"代理"同义,并可以指程序逻辑,该程序逻辑可以以硬件或固件、或者以软件指令集的形式具体实现,该软件指令集可能具有入口和出口点,以如C++、英特尔构架32位(IntelArchitecture32bit,IA-32)可执行代码等程序语言编写。软件组件可被编译并链接成可执行程序,或安装在动态链接库中,或可以采用如BASIC等解释语言编写。将理解的是,软件组件可从其他组件或其自身调用,和/或可以响应于检测到的事件或中断来调用软件组件。可以在机器可访问介质中提供软件指令,机器可访问介质在被访问时,可以使机器执行结合本发明实施例组件而描述的操作或执行。机器可访问介质可以是固件,例如,电可擦除可编程只读存储器(EEPROM)、或其他可记录/非可记录介质,例如只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储器、光盘存储器等。还将理解的是,硬件组件可以包括如门和触发器等连接的逻辑单元,和/或可以包括诸如可编程门阵列或处理器等可编程单元。在一些实施例中,这里所述的组件可以实现为软件模块,但也可以以硬件或固件表示。此外,尽管仅说明和/或描述了给定数量的离散的软件/硬件组件,但是在不背离本发明实施例的精祌和范围的前提下,这样的组件可以由更多的组件或更少的组件来表示。在本发明的实施例中,可以采用制造品来实现如这里所述的一种或多种方法。例如,在示例实施例中,制造品可以包括存储介质和存储在存储介质中的多个程序指令,并适于对装置进行编程,来使装置能够向代理服务器请求一个或多个位置限制,以修改一个或多个用户偏好。在这些实施例的不同实施例中,程序指令可以适于修改一个或多个用户偏好,来使一个或多个用户偏好受制于一个或多个位置限制。在不同实施例中,可以采用制造品来在一个或多个客户端设备中实现这里所述的一种或多种方法。在不同实施例中,程序指令可以适于实现浏览器,并且在这些实施例的不同实施例中,浏览器可以适于允许用户显示与网络接入相关的信息。在示例性实施例中,程序指令可以适于在客户端设备上实现浏览器。客户端设备的示例包括台式计算机、膝上型计算机、手持计算机、平板(tablet)计算机、蜂窝电话、个人数字助理(PDA)、音频和/或视频播放器(例如,MP3播放器或DVD播放器)、游戏设备、导航设备(例如,GPS设备)、禾P/或其他适合的固定、便携式或移动电子设备。参照图2,示意性示出了一种示例计算机网络200。网络200包括以服务器、客户端设备、数据库等形式存在的多个计算设备100和/或其部分。所示的示例网络200包括两个客户端设备202、204,三个商用服务器206、208、210,安全服务器212和辅助服务器214。还提供了安全数据库216和辅助数据库218。可以看出,客户端设备202、204与安全服务器212通信连接。一般而言,这里使用的商用服务器是具有限制性访问并且要求客户端设备进行正确认证来进行访问。本领域技术人员应当理解,网络200可以包括更多或者更少的组件。本领域技术人员应当理解,这些网络组件可以经由陆上线路和/或无线通信的形式和协议来进行通信链接。此外,可以通过网络(如因特网)来提供通信。根据各种实施例,客户端设备202的用户可以充当管理员,向客户端设备204的用户提供准许或"许可",以访问安全服务器212以及商用服务器206、208、210上的各个帐户。可以看到,客户端设备204与商用服务器206、208、210通信连接。如果充当管理员,则客户端设备202可以与商用服务器206、208、210通信连接或可以不连接。为了清楚起见,将其示意为不进行通信连接。根据本发明的各个实施例,可以经由安全服务器212产生的网站来在安全服务器212上创建帐户。如现有技术所知,该网站一般可以经由客户端设备202上的浏览器进行访问。在图2所示的示例中,该帐户是由充当客户端设备204的管理员的客户端设备202创建的。因此,客户端设备204的用户现在被授权访问安全服务器上创建的帐户。根据本发明的各个实施例,客户端设备202的管理员用户在一个或多个商用服务器上为客户端设备204的用户创建帐户。这些帐户是通过商用服务器所产生的这些商用服务器的网站来创建的。客户端设备202经由安全服务器212的网站上的管理员接口来将商用服务器的帐户链接到安全服务器212上的帐户。关于这些帐户的信息存储在安全服务器数据库216和/或辅助数据库218中。根据各个实施例,当客户端设备204的用户希望访问一个商用服务器网站上的帐户时,客户端设备204的用户登录安全服务器212产生的网站。举例而言,这可以通过用户访问安全服务器网站上的网页并输入用户名和密码来完成。可选地,用户可以经由另一应用程序来访问安全服务器并输入用户名和密码。在任一情形中,在输入用户名和密码之外,或取代输入用户名和密码,也可以使用数字证书。客户端设备204可以经由例如安全的超文本传输协议(HTTPS)或者其他因特网协议来连接到安全服务器212。根据本发明的各个实施例,安全服务器212还验证用户所使用的客户端设备204被授权访问一个或多个商用网站。例如,这可以通过接收来自客户端设备204的数据集合、cookie、存储的令牌信息和/或客户端设备204的其他标识特征来实现。客户端设备204的验证可以由安全服务器212或者另一服务器(如辅助服务器214)来完成。客户端设备204的验证可以取代或者结合之前描述的用户验证来完成。另外,在某些情况下(例如,用户使用新设备来访问安全服务器),在用户名和密码之外,或取代用户名和密码,质询问题或者带外信息也可以用于验证用户身份。然后,用户可能试图经由例如安全服务器212的网站上的用户接口控制来登录期望的商用服务器网站。另外,用户可以经由客户端设备204上的桌面图标开始对期望的商用服务器网站的登录过程,该图标将按照之前描述的方式来开始访问安全服务器的过程。根据各个实施例,安全服务器212经由安全服务器数据库216或者辅助数据库218来验证用户在期望的商用服务器网站上拥有帐户和/或登录。验证帐户和/或登录的另一示例包括安全服务器212与期望的商用服务器之间的握手过程。一旦验证了帐户和/或登录,安全服务器212可以允许用户登录到期望的商用服务器的网站。这可以通过使用户使用例如用户名和/或密码登录到安全服务器212上的帐户来实现。一旦安全服务器验证了用户和/或客户端设备204被授权访问期望的商用服务器,根据各实施例,安全服务器212产生要发送至客户端设备204的网页,所述网页包括代码(例如JavaScript),所述代码将创建包含表格的网页,该表格在语义上与期望的商用服务器网站的登录表格等价。根据各实施例,使用用户的商用服务器网站帐户和密码,以及任何其他所需信任证书来预先填充该登录表格。随后,一旦该登录表格完成从安全服务器至客户端设备204的加载,则使用例如HTTPS自动将该表格发送到期望的商用服务器网站。因此,根据各实施例,用户可能事实上没有看到登录表格,因此事实上没有看到期望的商用服务器网站的登录页面。用户首先看到的页面可能是商用服务器网站上的着陆页面(landingpage,登录后的页面)。可选地,根据各实施例,安全服务器可以登录期望的商用服务器,并经由安全协议向客户端设备204发送会话标识和/或向客户端设备发送用户名和密码以访问期望的商用服务器。根据各实施例,客户端可以通过自动将用户名和密码发送到安全服务器212上的期望的商用网站的统一资源定位符(URL),或者通过对作为客户端设备204与期望商用网站之间的代理的数据(用户名和密码,或会话标识)进行修改,来将登录信任证书发送到期望的商用网站。此处使用的网站一般是网页、图像、视频和其他数字资产的集合,这些数字资产位于一个或多个web服务器上,通常可以经由因特网、蜂窝电话或者局域网(LAN)来访问。典型地,网页是一种以超文本标记语言(HTML)编写的文档,其几乎总是可以经由HTTP或者HTTPS来访问,HTTP或HTTPS是一种从web服务器传送信息以在用户的web浏览器中进行显示的协议。在各实施例中,客户端设备202的管理员用户可以添加和/或撤销对特定用户和一个或多个用户的客户端设备的授权。另外,客户端设备204也可以用作其自身的管理员,即客户端设备204的用户可以授权客户端设备204和该用户的其他客户端设备(未示出)访问一个或多个商用服务器206、208、210的网页,并且类似地可以撤销这种授权。因此,系统200可以不具有专用的管理员客户端设备。可以使用辅助服务器214和数据库218来补充安全服务器212和数据库216。可以使用辅助服务器214和辅助服务器218来帮助针对安全服务器212和客户端设备212、204产生各种表格、授权和标识符。尽管针对优选实施例的描述这里己说明和描述了特定实施例,但本领域的普通技术人员将理解的是,在不背离本发明范围的前提下,计划用来实现相同目的的各种可选和/或等同实施例或实现方式可以代替所说明和描述的实施例。本领域的技术人员将容易理解,根据本发明的实施例可以采用多种不同方式来实现。本申请意在覆盖这里所讨论的实施例的任何改变或变型。因此,显而易见的是,根据本发明的实施例仅由所附权利要求和等同物限定。权利要求1、一种方法,包括在安全网站上为用户提供安全帐户;将另一网站的另一帐户链接至所述安全帐户;以及当所述用户试图经由所述安全帐户来访问所述另一帐户时,所述安全网站验证所述用户的设备被授权访问所述另一帐户。2、如权利要求l所述的方法,还包括所述安全网站验证所述用户在所述另一网站上拥有帐户。3、如权利要求2所述的方法,还包括所述安全网站验证所述用户被允许访问所述另一网站上的所述另一帐户。4、如权利要求l所述的方法,还包括所述安全网站自动创建针对所述另一帐户的登录表格。5、如权利要求4所述的方法,其中,所述安全网站使用所述用户的信息来自动填充所述登录表格。6、如权利要求5所述的方法,其中,所述安全网站将所述登录表格自动发送到所述另一网站,从而将所述用户登录到所述另一帐户。7、如权利要求6所述的方法,其中,经由安全超文本传输协议HTTPS来发送所述登录表格。8、一种装置,包括管理模块,所述管理模块被配置为在装有所述装置的管理平台产生的安全网站上为用户提供安全帐户;所述管理模块还被配置为将另一网站的另一帐户链接至所述安全帐户;以及所述管理模块还被配置为当所述用户试图经由所述安全帐户来访问所述另一帐户时,验证所述用户的设备被授权访问所述另一帐户。9、如权利要求8所述的装置,其中,所述管理模块还被配置为验证所述用户在所述另一网站上拥有帐户。10、如权利要求9所述的装置,其中,所述管理模块还被配置为验证所述用户被允许访问所述另一网站上的所述另一帐户。11、如权利要求8所述的装置,其中,所述管理模块还被配置为自动创建针对所述另一帐户的登录表格。12、如权利要求ll所述的装置,其中,所述管理模块使用所述用户的信息来自动填充所述登录表格。13、如权利要求12所述的装置,其中,所述管理模块将所述登录表格自动发送到所述另一网站,从而将所述用户登录到所述另一帐户。14、如权利要求13所述的装置,其中,经由安全超文本传输协议HTTPS来发送所述登录表格。15、一种制造品,包括存储介质;以及存储在所述存储介质中的指令集合,当产生安全网站的管理平台的处理器执行所述指令集合时,使所述处理器执行以下操作在安全网站上为用户提供安全帐户;将另一网站的另一帐户链接至所述安全帐户;以及当所述用户试图经由所述安全帐户来访问所述另一帐户时,所述安全网站验证所述用户的设备被授权访问所述另一帐户。16、如权利要求15所述的制造品,还包括所述安全网站验证所述用户在所述另一网站上拥有帐户。17、如权利要求16所述的制造品,还包括所述安全网站验证所述用户被允许访问所述另一网站上的所述另一帐户。18、如权利要求15所述的制造品,还包括所述安全网站自动创建针对所述另一帐户的登录表格。19、如权利要求18所述的制造品,其中,所述安全网站使用所述用户的信息来自动填充所述登录表格。20、如权利要求19所述的制造品,所述安全网站将所述登录表格自动发送到所述另一网站,从而将所述用户登录到所述另一帐户。21、如权利要求20所述的制造品,其中,经由安全超文本传输协议HTTPS来发送所述登录表格。全文摘要本发明提供了一种方法,用于提供安全网站,并且当用户试图经由所述安全网站来访问另一网站时,所述安全网站验证所述用户的设备被授权访问所述另一网站。文档编号H04L9/32GK101563885SQ200780036585公开日2009年10月21日申请日期2007年10月1日优先权日2006年9月29日发明者丹尼尔·P·卢立齐,格雷戈·皮尔逊,罗恩·伦德申请人:约维申有限公司