專利名稱:分布式應(yīng)用環(huán)境內(nèi)驗證服務(wù)器的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明與分布式應(yīng)用環(huán)境(distributed application environment)內(nèi)服務(wù)器的驗證有關(guān),具體地說��,與在具有非連續(xù)客戶機(jī)-服務(wù)器連接的安全分布式應(yīng)用環(huán)境內(nèi)驗證第三級服務(wù)器(third tier server)有關(guān)。
背景技術(shù):
分布式應(yīng)用環(huán)境通常包括一個或多個具有分布式應(yīng)用的一些諸如GUI組件����、處理組件(客戶機(jī)應(yīng)用)之類的部分的客戶機(jī)系統(tǒng),一些具有分布式應(yīng)用的其余部分(服務(wù)器應(yīng)用或服務(wù)器組件)的服務(wù)器系統(tǒng)���,以及一個在客戶機(jī)系統(tǒng)與服務(wù)器系統(tǒng)之間諸如通過提供一個應(yīng)用數(shù)據(jù)儲存庫之類來交換數(shù)據(jù)的第三級服務(wù)器系統(tǒng)。例如�����,SAP R/3(SAP的商標(biāo))是一個分布式應(yīng)用的典型例子,應(yīng)用分成一個例如在一個象IBM的Thinkpad那樣的工作站上運行的客戶機(jī)部分和一些例如在IBM的zSeries大型機(jī)系統(tǒng)上運行的服務(wù)器部分����。
分布式應(yīng)用環(huán)境的各系統(tǒng)之間的通信可以在一個安全或不安全的通信環(huán)境內(nèi)進(jìn)行�。例如���,通常安全通信在內(nèi)部網(wǎng)內(nèi)進(jìn)行���,而不安全通信在因特網(wǎng)內(nèi)進(jìn)行。分布式應(yīng)用�,特別是處理諸如操作系統(tǒng)配置數(shù)據(jù)之類的敏感信息的那些應(yīng)用,要求在分布組件之間的數(shù)據(jù)交換和與諸如數(shù)據(jù)庫之類的應(yīng)用的數(shù)據(jù)交換應(yīng)該用一個建立的安全機(jī)制加以保護(hù)��。
保護(hù)客戶機(jī)與服務(wù)器之間的通信的常用方式是建立一個安全會話�,所有的通信都用一個對稱密鑰加密。這個對稱密鑰在各方之間用公鑰密碼技術(shù)交換�����。這種交換通常還結(jié)合對各方的驗證。
這種安全機(jī)制的最突出的典范是表示“管理在因特網(wǎng)上消息傳輸?shù)陌踩缘淖畛S玫膮f(xié)議”的SSL(Secure Socket Layer,安全套接層)����。除其他一些之外,SSL用所謂的“服務(wù)器證書(server certificate)”來檢驗(verify)和保證一個連接內(nèi)的服務(wù)器部分的身份。證書用來分發(fā)公鑰�。此外,它還含有擁有者名��、證書名、終止日期����、證書簽署者公鑰和通過將擁有者的私鑰應(yīng)用于證書而產(chǎn)生的數(shù)字簽名。如果不能進(jìn)行直接用戶互動����,在分布式應(yīng)用的每個組件內(nèi)檢驗�、接受和管理這種證書可能是一個問題,在服務(wù)器組件的情況下尤為如此����。
采用這個協(xié)議,用戶不怎么費事就可從高級保護(hù)得到好處���。為了建立一個安全連接��,這個安全協(xié)議在連接握手期間交換客戶機(jī)或服務(wù)器證書�����。SSL握手的定義和消息流例如可參見RFC 2246�����。證書標(biāo)識和驗證各參與方�。
接收方檢驗一個證書可以有兩種不同的方式�����。在第一種方式中�,如果這個證書已經(jīng)由另一個證書簽署����,而該證書以前業(yè)已得到接收方的信任���,那么這個新的證書就可以自動得到信任。已經(jīng)得到信任的證書保存在一個數(shù)據(jù)庫內(nèi)�,供以后連接握手中的檢驗過程使用。在第二種方式中�����,如果接收方在它的數(shù)據(jù)庫內(nèi)沒有將發(fā)來的對等證書確認(rèn)為可信任的證書���,用戶必須決定接受還是拒絕這個證書�。這可以通過將散列函數(shù)作用于證書信息而得到的結(jié)果與一些安全公布的值相比較來實現(xiàn)�。如果用戶選擇拒絕這個證書,就不會建立連接����。
現(xiàn)有技術(shù)圖1示出了現(xiàn)有技術(shù)的分布式應(yīng)用環(huán)境,它包括一個在客戶機(jī)系統(tǒng)上運行的組件1和一些在若干服務(wù)器上運行的組件2(n服務(wù)器系統(tǒng))�����,通過連接a進(jìn)行通信。用戶控制客戶機(jī)應(yīng)用1�����,但除在管理情況之外沒有與服務(wù)器組件2的直接用戶交互作用�����。
客戶機(jī)系統(tǒng)的一個例子是Windows工作站�。服務(wù)器應(yīng)用例如可以在IBM的zSeries大型機(jī)系統(tǒng)上運行。
客戶機(jī)系統(tǒng)和服務(wù)器系統(tǒng)通過相應(yīng)的連接b和c與一個第三級服務(wù)器系統(tǒng)3通信�,這個第三級服務(wù)器系統(tǒng)3例如為一個數(shù)據(jù)庫或象LDAP服務(wù)器那樣的另一種儲存庫。這兩個連接用來將數(shù)據(jù)從客戶機(jī)應(yīng)用1傳送給服務(wù)器應(yīng)用2或?qū)?shù)據(jù)從服務(wù)器應(yīng)用2傳送給客戶機(jī)應(yīng)用1�,即客戶機(jī)應(yīng)用1將信息寫入公共數(shù)據(jù)庫(第三級服務(wù)器系統(tǒng)3)而服務(wù)器系統(tǒng)從數(shù)據(jù)庫提取信息。在處理服務(wù)器應(yīng)用2期間�����,處理的結(jié)果寫給數(shù)據(jù)庫�,從而可以從客戶機(jī)應(yīng)用提取?����?蛻魴C(jī)系統(tǒng)1和服務(wù)器系統(tǒng)2用本地證書數(shù)據(jù)庫來檢驗從第三級服務(wù)器3發(fā)來的證書��。
分布式應(yīng)用環(huán)境的組件之間的數(shù)據(jù)流可以簡要地概括如下?���?蛻魴C(jī)系統(tǒng)1向第三級服務(wù)器系統(tǒng)3發(fā)送一個建立連接b的請求。在連接握手期間��,第三級服務(wù)器3向客戶機(jī)系統(tǒng)發(fā)回一個標(biāo)識第三級服務(wù)器3的第三級服務(wù)器證書�。客戶機(jī)系統(tǒng)1用證書數(shù)據(jù)庫4檢驗這個第三級證書����。如果自動檢驗失敗�,用戶必須手動地拒絕或接受這個證書。這可借助于一個對話來實現(xiàn)�。在接受證書的情況下,所接受的證書存儲在證書數(shù)據(jù)庫4內(nèi)����。客戶機(jī)系統(tǒng)1將程序控制移交給服務(wù)器系統(tǒng)2�。服務(wù)器系統(tǒng)2試圖與第三級服務(wù)器系統(tǒng)3連接。服務(wù)器系統(tǒng)發(fā)送一個建立連接c的請求����。在連接握手期間��,第三級服務(wù)器3向服務(wù)器系統(tǒng)2發(fā)回一個標(biāo)識第三級服務(wù)器3的第三級服務(wù)器證書����。服務(wù)器系統(tǒng)2用證書數(shù)據(jù)庫5來檢驗這個第三級服務(wù)器����。如果檢驗沒有通過,必須用一個機(jī)制來決定這個證書是否可接受�����。如果與客戶機(jī)系統(tǒng)1的連接a是永久性的而且是安全的����,一種可行的解決方案是利用證書數(shù)據(jù)庫4或手動用戶互動。另一種方式可以是一組在服務(wù)器系統(tǒng)上的確定作出判決的策略�。
現(xiàn)有技術(shù)的缺點每個服務(wù)器應(yīng)用都具有一個本地證書數(shù)據(jù)庫,這意味著需要有附加的操作來維護(hù)和保護(hù)證書數(shù)據(jù)����。如果有例如100個服務(wù)器系統(tǒng)的話,防止各個證書數(shù)據(jù)庫被欺騙性修改就要花費巨大的精力��。此外,服務(wù)器系統(tǒng)必須知道訪問證書數(shù)據(jù)庫的多個參數(shù)�����,諸如位置(文件名)和口令或用戶名之類����,以訪問數(shù)據(jù)庫。這些參數(shù)對每個系統(tǒng)來說可以是不同的�����,因此必須為每個服務(wù)器應(yīng)用特別規(guī)定��。如果由于某種原因一個證書不再是可信任的�����,就可能要手動地修改所有的服務(wù)器證書數(shù)據(jù)庫以刪除這個作廢的證書�。
有時需要讓用戶決定一個未知的證書是否為可信任的����。這是一個問題,因為用戶通常不直接與服務(wù)器應(yīng)用互動���。不能想當(dāng)然地認(rèn)為存在一個連續(xù)�、安全和防竄改的與客戶機(jī)的連接可用來向用戶發(fā)送驗證請求?�?蛻魴C(jī)和服務(wù)器不一定始終都同時處在活動狀態(tài)����,特別是對于服務(wù)器應(yīng)用是一個由客戶機(jī)啟動的批處理的情況。這個服務(wù)器過程啟動后連接斷開時��,沒有一種方便的方式使服務(wù)器應(yīng)用可以啟動一個對客戶機(jī)系統(tǒng)的安全連接�。用硬編碼策略來決定一個未知證書是否可接受不夠靈活,而且可能有安全漏洞���。
發(fā)明內(nèi)容
因此��,本發(fā)明的目的是提供一種可以避免現(xiàn)有技術(shù)的這些缺點的在一個分布式應(yīng)用環(huán)境內(nèi)驗證服務(wù)器的方法和系統(tǒng)��。
本發(fā)明揭示了一種在一個分布式應(yīng)用環(huán)境內(nèi)用一個在客戶機(jī)系統(tǒng)側(cè)識別和管理第三級服務(wù)器證書的中心程序驗證第三級服務(wù)器的方法和系統(tǒng)��。已被中心程序(central procedure)接受的第三級服務(wù)器證書存儲在分布式應(yīng)用環(huán)境的一個公共數(shù)據(jù)庫內(nèi)�����,客戶機(jī)系統(tǒng)通過一個安全連接向服務(wù)器系統(tǒng)發(fā)送用于確定接受還是拒絕與第三級服務(wù)器的連接的�����、已被接受作為可信任的所述第三級服務(wù)器證書的所有必需信息��。在本發(fā)明的一個優(yōu)選實施例中被接受作為可信任的第三級服務(wù)器證書的指紋與發(fā)送所述第三級服務(wù)器證書的服務(wù)器名和證書名一起通過一個安全連接傳送給分布式應(yīng)用環(huán)境的服務(wù)器系統(tǒng)�。
從以下詳細(xì)說明中可清楚地看到本發(fā)明的以上這些及其他一些目的、特征和優(yōu)點�。
本發(fā)明的新穎特征在所附權(quán)利要求書中給出。然而�,從以下結(jié)合附圖對例示性實施例所作的詳細(xì)說明中可以很好地理解本發(fā)明本身及其應(yīng)用的優(yōu)選方式、其他目的和優(yōu)點����,在這些附圖中
圖1示出了現(xiàn)有的分布式應(yīng)用環(huán)境;圖2A-C示出了分布式應(yīng)用環(huán)境內(nèi)采用公共證書識別和管理新構(gòu)思的在客戶機(jī)系統(tǒng)和服務(wù)器系統(tǒng)側(cè)的獨創(chuàng)性系統(tǒng)���;圖3示出了分布式應(yīng)用環(huán)境內(nèi)采用公共證書識別和管理獨創(chuàng)性構(gòu)思的在客戶機(jī)��、服務(wù)器和第三級服務(wù)器之間的獨創(chuàng)性數(shù)據(jù)流;圖4示出了分布式應(yīng)用環(huán)境的工作流程環(huán)境內(nèi)采用證書識別和管理獨創(chuàng)性構(gòu)思的本發(fā)明一個具體實施例��;以及圖5示出了具有客戶機(jī)系統(tǒng)與第三級服務(wù)器系統(tǒng)邏輯關(guān)聯(lián)的分布式應(yīng)用環(huán)境內(nèi)采用證書識別和管理獨創(chuàng)性構(gòu)思的本發(fā)明另一個具體實施例���。
具體實施例方式
來看圖2A�����,圖中示出了分布式應(yīng)用內(nèi)采用公共證書管理獨創(chuàng)性構(gòu)思的系統(tǒng)框圖���。與現(xiàn)有技術(shù)顯著不同的是在服務(wù)器側(cè)現(xiàn)在不再需要證書數(shù)據(jù)庫���。支持這個獨創(chuàng)性構(gòu)思的客戶機(jī)系統(tǒng)和服務(wù)器系統(tǒng)詳細(xì)例示于圖2B和圖2C。
來看圖2B��,圖中示出了支持公共證書管理獨創(chuàng)性構(gòu)思的客戶機(jī)系統(tǒng)的客戶機(jī)組件����。客戶機(jī)組件包括數(shù)據(jù)訪問協(xié)議客戶機(jī)組件70��、連接協(xié)商器組件60���、證書檢驗器組件50�����、用戶接口組件40��、證書發(fā)送器組件30和傳送客戶機(jī)組件20����。
客戶機(jī)系統(tǒng)的獨創(chuàng)性組件有連接協(xié)商器組件60,具有通過連接b從第三級服務(wù)器接收第三級服務(wù)器證書的功能�����;證書檢驗器組件50����,具有對照存儲在分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫內(nèi)的證書信息檢查接收到的第三級服務(wù)器證書的功能;用戶接口組件40���,具有向用戶詢問未知的第三級服務(wù)器證書是否可接受的功能���;證書發(fā)送器組件30,具有從公共數(shù)據(jù)庫提取所有可信證書的證書信息和通過連接a將它發(fā)送給服務(wù)器系統(tǒng)的功能�;以及分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫4,存有從已接受為分布式應(yīng)用環(huán)境的可信任的所述第三級服務(wù)器接收到的第三級服務(wù)器證書��。
下列通信組件通常在現(xiàn)有技術(shù)的客戶機(jī)系統(tǒng)內(nèi)用來建立與服務(wù)器系統(tǒng)和/或第三級服務(wù)器系統(tǒng)的通信數(shù)據(jù)庫訪問協(xié)議客戶機(jī)組件70��,具有與第三級服務(wù)器通信的功能����,可能使用的協(xié)議例如是與LDAP服務(wù)器連接的LDAP(輕型目錄訪問協(xié)議)或與關(guān)系型數(shù)據(jù)庫連接的JDBC(Java數(shù)據(jù)庫連接性);以及傳送客戶機(jī)組件20�,具有與服務(wù)器系統(tǒng)通信的功能,例如SFTP客戶機(jī)實現(xiàn)或HTTPS客戶機(jī)實現(xiàn)���。
來看圖2C���,圖中示出了支持公共證書管理獨創(chuàng)性構(gòu)思的服務(wù)器系統(tǒng)的服務(wù)器組件。優(yōu)選的是�,服務(wù)器組件包括數(shù)據(jù)訪問協(xié)議客戶機(jī)組件150、連接協(xié)商器組件140��、證書檢驗器組件130和傳送服務(wù)器組件120�����。
服務(wù)器系統(tǒng)的獨創(chuàng)性組件有連接協(xié)商器組件140��,具有系統(tǒng)從第三級服務(wù)器接收第三級服務(wù)器證書的功能�����;以及證書檢驗器組件130�����,具有對照通過連接a從客戶機(jī)系統(tǒng)接收到的證書信息檢查接收到的證書的功能,這個連接不需要在服務(wù)器的整個壽命期間都要維持���。
下列通信組件通常在現(xiàn)有技術(shù)的服務(wù)器系統(tǒng)內(nèi)用來建立與客戶機(jī)系統(tǒng)或其他第三級服務(wù)器系統(tǒng)的通信數(shù)據(jù)庫訪問協(xié)議客戶機(jī)組件150�,具有與第三級服務(wù)器通信的功能��,可能使用的協(xié)議例如是與LDAP服務(wù)器連接的LDAP(輕型目錄訪問協(xié)議)或與關(guān)系型數(shù)據(jù)庫連接的JDBC(Java數(shù)據(jù)庫連接性)�����;以及傳送服務(wù)器組件120���,具有與相同協(xié)議的客戶機(jī)應(yīng)用通信的功能�����,例如安全FTP服務(wù)器實現(xiàn)或HTTPS服務(wù)器實現(xiàn)���。
下面說明按照圖2A-C的公共證書管理的獨創(chuàng)性構(gòu)思設(shè)計的一個優(yōu)選實施例。
客戶機(jī)系統(tǒng)1含有一個證書發(fā)送器組件30��,它為每個存儲在分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫內(nèi)的證書計算出至少一個指紋(優(yōu)選的是通過將一個散列函數(shù)作用于一個證書上產(chǎn)生指紋)���,優(yōu)選的是計算出兩個不同的指紋(例如用SHA和MD5算法)�。然而應(yīng)指出的是,產(chǎn)生指紋并不是實現(xiàn)本發(fā)明的一個實質(zhì)性的特征���,本發(fā)明也可以通過將整個第三級證書發(fā)送給服務(wù)器組件實現(xiàn)。這信息與從其接收證書的第三級服務(wù)器系統(tǒng)的證書名和主機(jī)名一起發(fā)送給服務(wù)器系統(tǒng)2��。這是檢驗客戶機(jī)組件是否接受一個證書的所有必需信息�。它要求客戶機(jī)系統(tǒng)在與分布式應(yīng)用內(nèi)任何服務(wù)器系統(tǒng)建立連接前先成功建立與第三級服務(wù)器的連接。在大多數(shù)分布式應(yīng)用中通常都可以假設(shè)是這種情況��??蛻魴C(jī)系統(tǒng)1已接受的所有證書也將被所有服務(wù)器系統(tǒng)2接受。
例如�����,在客戶機(jī)系統(tǒng)與服務(wù)器系統(tǒng)通過因特網(wǎng)通信時��,客戶機(jī)系統(tǒng)與服務(wù)器系統(tǒng)之間的連接必須是安全的�����,以避免客戶機(jī)系統(tǒng)發(fā)送的證書信息被竄改��。優(yōu)選的是�����,這個構(gòu)思有賴于通常在每個服務(wù)器系統(tǒng)上可得到的標(biāo)準(zhǔn)傳輸協(xié)議(例如FTP)。在安全性是致關(guān)緊要的環(huán)境內(nèi)�����,協(xié)議(例如安全的FTP)的安全措施應(yīng)該是默認(rèn)可用的�����。不需要為建立與服務(wù)器系統(tǒng)的安全連接花費額外的精力��。
從證書管理來看�����,連接的信息流只需要是單向的�����。不需要服務(wù)器系統(tǒng)向客戶機(jī)系統(tǒng)發(fā)送接受或拒絕證書的反饋信息���。
不需要在服務(wù)器組件過程的整個壽命期間維持客戶機(jī)與服務(wù)器系統(tǒng)之間的連接a��。一個很短的時幀足以將必要的證書數(shù)據(jù)從客戶機(jī)發(fā)送給服務(wù)器���。
服務(wù)器系統(tǒng)2的每個服務(wù)器用客戶機(jī)系統(tǒng)發(fā)送的證書信息來檢驗一個與第三級服務(wù)器3的連接��。將發(fā)來的第三級服務(wù)器證書的指紋對照從客戶機(jī)系統(tǒng)接收到的證書數(shù)據(jù)集進(jìn)行比較�,決定證書因此也就是連接c是否為可接受的��。將從第三級證書得出的第三級服務(wù)器的證書名和主機(jī)名與從客戶機(jī)組件接收到的相應(yīng)證書信息相比較�。如果所有的屬性(指紋�、證書名和主機(jī)名)都匹配,證書才通過檢驗����。這個技術(shù)遵循了用戶手動驗證證書的方式。因此�,維護(hù)了高級別的安全性。
在服務(wù)器系統(tǒng)2上不存在本地證書數(shù)據(jù)庫����。專門通過客戶機(jī)系統(tǒng)發(fā)送的證書信息處理證書檢驗。在服務(wù)器系統(tǒng)上不需要本地管理任何第三級證書�����。與現(xiàn)有技術(shù)相比,這是一個重要改進(jìn)�。
客戶機(jī)系統(tǒng)作為分布式應(yīng)用的安全性基礎(chǔ)設(shè)施內(nèi)的單個控制點。它是需要進(jìn)行安全性專用管理的唯一應(yīng)用����。
在本發(fā)明的這個優(yōu)選實施例中,下列屬性必須對服務(wù)器系統(tǒng)的證書檢驗器組件已知證書名�;兩個不同的指紋(例如用SHA和MD5算法產(chǎn)生的);以及從其接受證書的服務(wù)器名���。
必須產(chǎn)生兩個不同的指紋����,以保證證書信息的完整性�。要產(chǎn)生一個具有與另一個證書相同的兩個指紋的偽造證書幾乎是不可能的。為了避免一個錯誤的第三方服務(wù)器重新使用一個屬于一個得到信任的服務(wù)器的有效證書�,主機(jī)名是必要的。如果客戶機(jī)接受不一致的值的話�,主機(jī)名可以不同于證書名內(nèi)引用的主機(jī)名。
在本發(fā)明的另一個實施例中�,將包括發(fā)送證書的第三級服務(wù)器的名稱在內(nèi)的整個第三級證書傳送給服務(wù)器系統(tǒng)。然而���,這個備選方案的程序與指紋程序相比導(dǎo)致在服務(wù)器系統(tǒng)上需要較大的存儲量而所提供的安全性較小�。
在本發(fā)明的另一個實施例中,只產(chǎn)生一個指紋�,將它與發(fā)送第三級證書的服務(wù)器的名稱一起發(fā)送給服務(wù)器系統(tǒng)。與二指紋程序相比����,這將提供較小的安全性。
所發(fā)送的包括證書名�、兩個不同的指紋和提供第三方證書的服務(wù)器的名稱在內(nèi)的從一個第三級服務(wù)器證書得出的屬性的一個例子為證書名 “cn=Pollux1065.de.ibm.com,ou=dev�,o=IBM,c=DE”SHA指紋 f4:e2:54:0c:9a:2a:5f:94:1d:c0:60:03:e4:b0:
指紋e4:25:12:08:6a:ab:10:83:1e:7c:ed:c4:36:8f:
服務(wù)器名Castor1065.de.ibm.com來看圖3�����,圖中示出了按照圖2A-C設(shè)計的客戶機(jī)系統(tǒng)�����、第三級服務(wù)器系統(tǒng)和服務(wù)器系統(tǒng)之間的數(shù)據(jù)流���。
客戶機(jī)系統(tǒng)建立一個與一個第三級服務(wù)器系統(tǒng)的安全連接310。第三級服務(wù)器系統(tǒng)向客戶機(jī)系統(tǒng)發(fā)送它的證書320�。客戶機(jī)系統(tǒng)將接收到的第三級服務(wù)器證書對照存儲在分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫內(nèi)的證書信息進(jìn)行檢查320�。如果第三級證書與存儲在所述公共數(shù)據(jù)庫內(nèi)的信息匹配,就將這個證書接受為可信任的證書,從而可以建立一個與第三級服務(wù)器的安全連接330���?��?蛻魴C(jī)系統(tǒng)含有一個證書發(fā)送器組件30,它為存儲在分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫內(nèi)的每個證書計算出至少一個指紋����,優(yōu)選的是兩個不同的指紋(例如用SHA和MD5算法),將這些指紋與證書名和從其接收證書的第三級服務(wù)器的主機(jī)名一起發(fā)送給服務(wù)器系統(tǒng)340����。優(yōu)選的是,在每個服務(wù)器應(yīng)用調(diào)用期間向服務(wù)器系統(tǒng)發(fā)送證書信息��。此外�����,客戶機(jī)系統(tǒng)與服務(wù)器系統(tǒng)之間的連接優(yōu)選的是一個安全和非連續(xù)的客戶機(jī)-服務(wù)器連接����。服務(wù)器系統(tǒng)通過啟動握手準(zhǔn)備與第三級服務(wù)器連接350。第三級服務(wù)器將它的證書發(fā)送給服務(wù)器系統(tǒng)�,服務(wù)器系統(tǒng)將這證書信息與從客戶機(jī)系統(tǒng)接收到的信息相比較360��?����?梢栽L問客戶機(jī)系統(tǒng)用來產(chǎn)生這兩個不同的指紋的兩個不同的算法的服務(wù)器系統(tǒng)用每個算法計算出從第三級服務(wù)器接收到的證書的一個指紋�。如果指紋與從客戶機(jī)系統(tǒng)接收到的指紋匹配���,就接受這個第三級服務(wù)器��,從而可以建立一個安全連接370��。
來看圖4����,圖中示出了本發(fā)明的采用這種在一個工作流程環(huán)境內(nèi)證書識別和管理獨創(chuàng)性構(gòu)思的一個具體實施例����。
在以級連調(diào)用方式組織信息流的情況下���,這種新構(gòu)思可用來保護(hù)從每個服務(wù)器至第三級服務(wù)器以及各服務(wù)器本身之間的數(shù)據(jù)流����。
數(shù)據(jù)流的第一部分與前面所說明的情況相同。在一個工作流程過程中�,服務(wù)器系統(tǒng)2a可以在與另一個服務(wù)器系統(tǒng)2b的后續(xù)安全連接a2中作為安全連接的發(fā)起方。每個服務(wù)器系統(tǒng)必須用一個附加的“證書發(fā)送器”模塊和一個“傳送客戶機(jī)”模塊擴(kuò)展�����,這兩個模塊與前面在客戶機(jī)系統(tǒng)內(nèi)用的模塊相同����。為了啟動在服務(wù)器系統(tǒng)之間的級連的安全連接,客戶機(jī)系統(tǒng)1不僅必須發(fā)送與第三級服務(wù)器關(guān)聯(lián)的證書信息(400)�����,而且還必須發(fā)送在調(diào)用鏈內(nèi)所有的服務(wù)器的證書信息(300)�����。每個服務(wù)器必須將這個證書信息集移交給它調(diào)用的服務(wù)器���。
采用這個程序����,可以保證服務(wù)器之間和服務(wù)器與第三級服務(wù)器3之間的所有連接都用通過檢驗的證書確保其安全���。同樣����,客戶機(jī)系統(tǒng)1是分布式工作流應(yīng)用的安全性基礎(chǔ)設(shè)施內(nèi)的單個控制點。
來看圖5��,圖中示出了本發(fā)明的采用在一個環(huán)境內(nèi)用客戶機(jī)系統(tǒng)與第三級服務(wù)器之間的邏輯關(guān)聯(lián)進(jìn)行證書管理的獨創(chuàng)性構(gòu)思的具體實施例���。
這種情況強(qiáng)調(diào)了使證書信息適應(yīng)所涉及的客戶機(jī)的實際要求的可能性����。在這種情況下���,將每個客戶機(jī)系統(tǒng)與單獨的第三級服務(wù)器關(guān)聯(lián)��。所有的客戶機(jī)系統(tǒng)與一個相同的服務(wù)器系統(tǒng)上的一些相同的服務(wù)器系統(tǒng)通信����,但每個客戶機(jī)系統(tǒng)要求這些服務(wù)器系統(tǒng)與一個不同的第三級服務(wù)器交互作用���。
作為一個例子,客戶機(jī)系統(tǒng)1a將數(shù)據(jù)存放在第三級服務(wù)器3a內(nèi)���,要求服務(wù)器系統(tǒng)2與這個儲存庫連接����。在通過連接a1調(diào)用這些服務(wù)器系統(tǒng)時,客戶機(jī)系統(tǒng)將發(fā)送與第三級服務(wù)器3a關(guān)聯(lián)的證書信息�,以保證服務(wù)器應(yīng)用2可以通過連接c1安全地與第三級服務(wù)器3a連接。
相反����,客戶機(jī)系統(tǒng)1b將它的數(shù)據(jù)存放在第三級服務(wù)器3b內(nèi)?���?蛻魴C(jī)系統(tǒng)1b通過連接a2將與第三級服務(wù)器關(guān)聯(lián)的證書信息發(fā)送給服務(wù)器系統(tǒng)2。這樣��,客戶機(jī)系統(tǒng)保證服務(wù)器系統(tǒng)2可以通過連接c2安全地與第三級3b連接��。
權(quán)利要求
1.一種在一個分布式應(yīng)用環(huán)境內(nèi)驗證第三級服務(wù)器的方法����,其中所述分布式應(yīng)用環(huán)境包括具有分布式應(yīng)用的一些部分的客戶機(jī)系統(tǒng)、具有分布式應(yīng)用的其余一些部分(服務(wù)器應(yīng)用或服務(wù)器組件)的服務(wù)器系統(tǒng)和在所述客戶機(jī)系統(tǒng)與所述服務(wù)器系統(tǒng)之間交換數(shù)據(jù)的第三級服務(wù)器系統(tǒng)��,其中所述客戶機(jī)系統(tǒng)充當(dāng)識別和管理第三級服務(wù)器證書的單個點,并提供對分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫的訪問�����,所述公共數(shù)據(jù)庫含有從所述第三級服務(wù)器接收到的對所述分布式應(yīng)用環(huán)境而言已被接受為可信任的第三級服務(wù)器證書����,所述方法在所述服務(wù)器系統(tǒng)側(cè)包括下列步驟從所述客戶機(jī)系統(tǒng)的所述公共數(shù)據(jù)庫接收用于確定接受還是拒絕與所述第三級服務(wù)器的連接、被接受為可信任的所述第三級服務(wù)器證書的所有必需信息��;將從所述客戶機(jī)系統(tǒng)接收到的所述信息與從所述第三級服務(wù)器系統(tǒng)接收到的第三級證書相比較����;以及如果來自所述客戶機(jī)系統(tǒng)和所述第三級證書的所述信息匹配,接受所述第三級服務(wù)器系統(tǒng)作為通過驗證的系統(tǒng)��。
2.按照權(quán)利要求1所述的方法����,其中來自所述客戶機(jī)系統(tǒng)的所述信息是通過一個非連續(xù)的客戶機(jī)-服務(wù)器連接接收的。
3.按照權(quán)利要求2所述的方法��,其中所述非連續(xù)的客戶機(jī)-服務(wù)器連接采用一個安全傳輸協(xié)議����。
4.按照權(quán)利要求1所述的方法�����,其中所述第三級服務(wù)器證書的所述必需信息包括如在所述分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫內(nèi)所存儲的原始第三級服務(wù)器證書和將所述原始第三級服務(wù)器證書發(fā)送給所述客戶機(jī)系統(tǒng)的服務(wù)器名。
5.按照權(quán)利要求1所述的方法��,其中所述第三級服務(wù)器證書的所述必需信息包括原始第三級服務(wù)器證書的指紋和將所述第三級服務(wù)器證書發(fā)送給所述客戶機(jī)系統(tǒng)的服務(wù)器名�。
6.按照權(quán)利要求1所述的方法,其中所述第三級服務(wù)器證書的所述必需信息包括原始第三級服務(wù)器證書的兩個不同指紋��、將所述第三級服務(wù)器證書發(fā)送給所述客戶機(jī)系統(tǒng)的服務(wù)器名和證書名�����。
7.一種在一個分布式應(yīng)用環(huán)境內(nèi)驗證第三級服務(wù)器的方法����,其中所述分布式應(yīng)用環(huán)境包括具有分布式應(yīng)用的一些部分的客戶機(jī)系統(tǒng)、具有分布式應(yīng)用的其余一些部分(服務(wù)器應(yīng)用或服務(wù)器組件)的服務(wù)器系統(tǒng)和在所述客戶機(jī)系統(tǒng)與所述服務(wù)器系統(tǒng)之間交換數(shù)據(jù)的第三級服務(wù)器系統(tǒng)���,其中所述客戶機(jī)系統(tǒng)提供對分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫的訪問��,所述公共數(shù)據(jù)庫含有從所述第三級服務(wù)器接收到的對所述分布式應(yīng)用環(huán)境而言已被接受為可信任的第三級服務(wù)器證書����,其中所述方法在所述客戶機(jī)系統(tǒng)側(cè)包括下列步驟從第三級服務(wù)器系統(tǒng)接收第三級服務(wù)器證書;確定所述接收到的第三級服務(wù)器證書是否可被接受為可信任的���;如果所述第三級服務(wù)器證書已被接受為可信任的����,將所述第三級服務(wù)器證書存儲在分布式應(yīng)用環(huán)境的所述公共數(shù)據(jù)庫內(nèi)���;以及將用于確定接受還是拒絕第三級服務(wù)器系統(tǒng)���、被接受為可信任的所述第三級服務(wù)器證書的所有必需信息傳送給所述服務(wù)器系統(tǒng)的每個服務(wù)器。
8.按照權(quán)利要求7中所述的方法�����,其中所述存儲步驟還包括已發(fā)送所述第三級證書的所述第三級服務(wù)器系統(tǒng)的名稱��。
9.按照權(quán)利要求7中所述的方法�,其中所述第三級服務(wù)器證書是通過一個安全傳輸協(xié)議接收的。
10.按照權(quán)利要求7中所述的方法����,其中所述第三級服務(wù)器證書的所述必需信息通過一個非連續(xù)的安全連接發(fā)送給所述服務(wù)器系統(tǒng)的所述每個服務(wù)器。
11.按照權(quán)利要求8所述的方法����,其中所述客戶機(jī)系統(tǒng)的驗證由用戶ID和/或口令實現(xiàn)���。
12.一種在一個分布式應(yīng)用環(huán)境內(nèi)驗證第三級服務(wù)器系統(tǒng)(3)的服務(wù)器系統(tǒng)(2)���,其中所述分布式應(yīng)用環(huán)境包括客戶機(jī)系統(tǒng)(1)�����,具有分布式應(yīng)用的一些部分�,通過一個安全連接從所述第三級服務(wù)器(3)接收發(fā)來的第三級服務(wù)器證書的連接協(xié)商器組件(60)��,含有從所述第三級服務(wù)器(3)接收到的對所述分布式應(yīng)用環(huán)境而言已被接受為可信任的第三級服務(wù)器證書的分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫(4)���,將接收到的第三級服務(wù)器證書與存儲在所述公共數(shù)據(jù)庫內(nèi)的信息相比較�、如果匹配就將它們存入所述公共數(shù)據(jù)庫的證書驗證器組件(50)�,允許拒絕或接受一個不包含在所述公共數(shù)據(jù)存儲器內(nèi)的未知第三級服務(wù)器證書的用戶接口組件(40),從所述公共數(shù)據(jù)庫提取用于確定接受還是拒絕第三級服務(wù)器����、被接受為可信任的所述第三級服務(wù)器證書的所有必需信息并通過安全連接(a)將其發(fā)送給所述服務(wù)器系統(tǒng)(2)的證書發(fā)送器組件(30);具有分布式應(yīng)用的其余一些部分(服務(wù)器應(yīng)用或服務(wù)器組件)的服務(wù)器系統(tǒng)(2)��;以及在所述客戶機(jī)系統(tǒng)(1)與所述服務(wù)器系統(tǒng)(2)之間交換數(shù)據(jù)的所述第三級服務(wù)器系統(tǒng)(3),其中所述服務(wù)器系統(tǒng)的各服務(wù)器包括支持非連續(xù)和安全的客戶機(jī)-服務(wù)器連接的傳送服務(wù)器組件(120)����,用來接收用于確定接受還是拒絕與所述第三級服務(wù)器系統(tǒng)(3)的連接、被接受為可信任的所述第三級服務(wù)器證書的所有必需信息�����;連接協(xié)商器組件(140)����,用來通過一個在所述服務(wù)器系統(tǒng)與所述第三級服務(wù)器之間的安全連接接收發(fā)來的第三級服務(wù)器證書;證書檢驗器組件(130)��,用來將所述第三級服務(wù)器證書與用于確定接受還是拒絕第三級服務(wù)器系統(tǒng)(3)�����、被接受為可信任的所述第三級服務(wù)器證書的所有必需信息進(jìn)行比較��。
13.按照權(quán)利要求12所述的系統(tǒng)�����,其中所述第三級服務(wù)器證書的所述必需信息包括原始第三級服務(wù)器證書的兩個不同指紋�、已將所述第三級服務(wù)器證書發(fā)送給所述客戶機(jī)系統(tǒng)的服務(wù)器名和證書名��。
14.按照權(quán)利要求13所述的系統(tǒng)���,其中所述不同的指紋是通過將兩個不同的算法作用到從所述公共數(shù)據(jù)庫接收到的所述第三級服務(wù)器證書上產(chǎn)生的。
15.按照權(quán)利要求14所述的系統(tǒng)�����,其中所述服務(wù)器系統(tǒng)還包括與用來產(chǎn)生所述兩個不同指紋的算法相同的算法�����。
16.一種在一個分布式應(yīng)用環(huán)境內(nèi)驗證第三級服務(wù)器(3)的客戶機(jī)系統(tǒng)(1)�����,其中所述分布式應(yīng)用環(huán)境包括具有分布式應(yīng)用的一些部分的客戶機(jī)系統(tǒng)(1)��,具有分布式應(yīng)用的其余一些部分(服務(wù)器應(yīng)用或服務(wù)器組件)的服務(wù)器系統(tǒng)(2)��,所述服務(wù)器系統(tǒng)(2)還包括支持非連續(xù)和安全的客戶機(jī)-服務(wù)器連接的傳送服務(wù)器組件(120)�����,通過在所述服務(wù)器系統(tǒng)(2)與所述第三級服務(wù)器(3)之間的安全連接接收發(fā)來的第三級服務(wù)器證書的連接協(xié)商器組件(140)�,將從所述第三級服務(wù)器接收到的所述第三級服務(wù)器證書與從所述客戶機(jī)系統(tǒng)接收到的用于確定接受還是拒絕第三級服務(wù)器的所述信息相比較的證書檢驗器組件;以及在所述客戶機(jī)系統(tǒng)與所述服務(wù)器系統(tǒng)之間交換數(shù)據(jù)的第三級服務(wù)器�,所述客戶機(jī)系統(tǒng)(1)包括連接協(xié)商器組件(60),用來通過一個安全連接從所述第三級服務(wù)器(3)接收發(fā)來的第三級服務(wù)器證書���;分布式應(yīng)用環(huán)境的公共數(shù)據(jù)庫(4)�����,它含有從所述第三級服務(wù)器系統(tǒng)(3)接收到的對所述分布式應(yīng)用環(huán)境而言已被接受為可信任的第三級服務(wù)器證書����;證書檢驗器組件(50)���,用來將接收到的第三級服務(wù)器證書與存儲在所述公共數(shù)據(jù)庫(4)內(nèi)的信息相比較����,并且如果匹配就將它們存入所述公共數(shù)據(jù)庫���;用戶接口組件(40)�,用來允許拒絕或接受不包含在所述公共數(shù)據(jù)存儲器內(nèi)的未知第三級服務(wù)器證書����;以及證書發(fā)送器組件(30)�,用來從所述公共數(shù)據(jù)庫提取用于確定接受還是拒絕第三級服務(wù)器��、被接受為可信任的所述第三級服務(wù)器證書的所有必需信息���,并通過安全連接將其發(fā)送給所述服務(wù)器系統(tǒng)�。
17.一種存儲在一個數(shù)字計算機(jī)的內(nèi)部存儲器內(nèi)的計算機(jī)程序產(chǎn)品���,所述計算機(jī)程序產(chǎn)品含有在所述產(chǎn)品在計算機(jī)上運行時執(zhí)行按照權(quán)利要求1-11所述的方法的軟件代碼的部分��。
全文摘要
本發(fā)明揭示了一種在一個分布式應(yīng)用環(huán)境內(nèi)用一個在客戶機(jī)系統(tǒng)側(cè)識別和管理第三級服務(wù)器證書的中心程序驗證第三級服務(wù)器的方法和系統(tǒng)��。已被中心程序接受的第三級服務(wù)器證書存儲在分布式應(yīng)用環(huán)境的一個公共數(shù)據(jù)庫內(nèi),客戶機(jī)系統(tǒng)通過一個安全連接向服務(wù)器系統(tǒng)發(fā)送用于確定接受還是拒絕一個第三級服務(wù)器����、已被接受為可信任的所述第三級服務(wù)器證書的所有必需信息。在本發(fā)明的一個優(yōu)選實施例中�����,只將接受為可信任的第三級服務(wù)器證書的指紋與發(fā)送所述第三級服務(wù)器證書的服務(wù)器名和證書名一起通過一個安全連接傳送給分布式應(yīng)用環(huán)境的服務(wù)器系統(tǒng)�����。
文檔編號H04L29/08GK1698310SQ200480000702
公開日2005年11月16日 申請日期2004年4月22日 優(yōu)先權(quán)日2003年6月24日
發(fā)明者阿德里安·阿爾瓦雷茲·迪亞茲, 弗蘭克·萊奧·米埃爾克 申請人:國際商業(yè)機(jī)器公司