專利名稱::用于擴(kuò)展驗(yàn)證方法的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及改進(jìn)的數(shù)據(jù)處理系統(tǒng)���,并且具體地���,涉及用于多計(jì)算機(jī)數(shù)據(jù)傳送的方法和裝置。更具體地�����,本發(fā)明導(dǎo)向于計(jì)算機(jī)系統(tǒng)內(nèi)的驗(yàn)證方法��。
背景技術(shù):
:電子商務(wù)網(wǎng)站和網(wǎng)絡(luò)應(yīng)用代表用戶在計(jì)算機(jī)網(wǎng)絡(luò)上執(zhí)行各種業(yè)務(wù)。出于安全目的���,用戶必須經(jīng)常通過(guò)驗(yàn)證處理以便證明用戶的標(biāo)識(shí)確實(shí)達(dá)到適當(dāng)?shù)募?jí)別�����。在基于電子商務(wù)網(wǎng)絡(luò)的環(huán)境下�,計(jì)算機(jī)系統(tǒng)經(jīng)常將驗(yàn)證服務(wù)實(shí)現(xiàn)為用于訪問(wèn)網(wǎng)站的前門或哨門(sentrygate)的形式�����。這些驗(yàn)證服務(wù)位于應(yīng)用的前面����,即,在用戶和應(yīng)用之間���,以確保用戶在獲得對(duì)任何資源的訪問(wèn)之前被驗(yàn)證�??梢詫⑦@些驗(yàn)證服務(wù)實(shí)現(xiàn)為網(wǎng)絡(luò)服務(wù)器插件、反向代理(reverseproxy)或其他類似技術(shù)����。企業(yè)一般希望通過(guò)包括因特網(wǎng)的各種網(wǎng)絡(luò)以用戶友好的方式向驗(yàn)證后的用戶提供對(duì)于受保護(hù)資源的安全訪問(wèn)�����。盡管提供安全驗(yàn)證機(jī)制降低了對(duì)受保護(hù)資源的未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)��,但是那些驗(yàn)證機(jī)制可能成為訪問(wèn)受保護(hù)資源的障礙��。用戶通常希望能夠從與一個(gè)應(yīng)用交互改變?yōu)榕c另一應(yīng)用交互����,而不考慮保護(hù)支持這些應(yīng)用的每個(gè)具體系統(tǒng)的驗(yàn)證障礙�。隨著用戶變得更老練,他們期望計(jì)算機(jī)系統(tǒng)協(xié)助他們的動(dòng)作以便減少用戶的負(fù)擔(dān)��。這種期望也應(yīng)用于驗(yàn)證處理�。用戶可能假設(shè)一旦他或她已經(jīng)經(jīng)過(guò)某個(gè)計(jì)算機(jī)系統(tǒng)的驗(yàn)證�����,則在用戶的工作會(huì)話期間或者至少對(duì)于特定的時(shí)間段�����,該驗(yàn)證應(yīng)該有效�,而不考慮對(duì)于用戶來(lái)說(shuō)幾乎不可見(jiàn)的各種計(jì)算機(jī)體系界限�。企業(yè)通常試圖在其部署的系統(tǒng)的可操作特性方面滿足這些期望����,以便不僅安撫用戶而且提高用戶效率,無(wú)論用戶效率是與雇員生產(chǎn)量還是與顧客滿意度有關(guān)����。很多計(jì)算機(jī)系統(tǒng)具有對(duì)于不同安全級(jí)別的不同類型驗(yàn)證。例如����,在成功完成由用戶提供正確的用戶名與密碼的組合的第一級(jí)別的驗(yàn)證后,系統(tǒng)可以提供對(duì)于網(wǎng)站上的特定一組資源的訪問(wèn)�����。第二級(jí)別的驗(yàn)證可能要求用戶給出硬件記號(hào)��、例如智能卡���,其后�,為用戶提供對(duì)于網(wǎng)站上的更嚴(yán)格控制的資源的訪問(wèn)�����。第三級(jí)別的驗(yàn)證可能要求用戶提供某種形式的生物學(xué)數(shù)據(jù),例如通過(guò)指紋掃描或視網(wǎng)膜掃描�����,其后��,系統(tǒng)提供對(duì)于網(wǎng)站上非常敏感或機(jī)密的資源的訪問(wèn)����。從一個(gè)驗(yàn)證級(jí)別向上移動(dòng)到下一級(jí)別的處理被稱作"遞進(jìn)驗(yàn)證"或者"被迫再驗(yàn)證"。換句話說(shuō)�����,用戶按系統(tǒng)要求從一個(gè)級(jí)別的驗(yàn)證遞進(jìn)到更高級(jí)別以便獲得對(duì)于更敏感資源的訪問(wèn)����。可以用公知的驗(yàn)證方法實(shí)現(xiàn)驗(yàn)證����,但是不容易實(shí)現(xiàn)對(duì)多種慣用方法的支持����。典型的反向代理內(nèi)的驗(yàn)證方法經(jīng)常限于支持即開即用(out-of-the-boxsupported)的方法�����、例如相互驗(yàn)證的SSL(安全套接層)�����,或者各種慣用方法��。添加對(duì)于新驗(yàn)證方法的支持不是簡(jiǎn)單的處理�����,因?yàn)榈湫偷卦诜?wù)器內(nèi)部?jī)?nèi)在化(internalize)新驗(yàn)證方法�����。即使在通過(guò)外部應(yīng)用而具有對(duì)于添加的新驗(yàn)證方法的支持的那些系統(tǒng)中�,該支持的有限之處在于能夠基于外部的驗(yàn)證信息為用戶建立會(huì)話���,而不能更新用戶的例如當(dāng)前會(huì)話證書(sessioncredential),以反映另一驗(yàn)證操作的完成����。為了圍繞這樣的限制而展開工作,當(dāng)前的解決方案取消了用戶的當(dāng)前會(huì)話����,并且用在新的會(huì)話信息和證書信息中所包括的新驗(yàn)證方法來(lái)建立新的會(huì)話。一種系統(tǒng)可以嘗試以對(duì)用戶不可見(jiàn)的方式來(lái)建立新的會(huì)話�,A^而減少獲悉了新會(huì)話的用戶在該用戶不需要這種獲悉時(shí)的負(fù)擔(dān)。然而���,仍然存在的問(wèn)題是�,一般會(huì)從用戶的原始會(huì)話丟失某種程度的狀態(tài)信息��;換句話說(shuō)���,關(guān)于從舊會(huì)話向新會(huì)話的改變���,下游應(yīng)用或受保護(hù)資源可能具有某種不可預(yù)見(jiàn)的問(wèn)題。因此�����,將具有優(yōu)勢(shì)的是提供一種方法或系統(tǒng)�,其可以將驗(yàn)證方法擴(kuò)展到可以更新用戶證書而不需為用戶建立新會(huì)話的外部應(yīng)用,從而獲得驗(yàn)證服務(wù)或受保護(hù)資源出于某種目的所需的更高安全級(jí)別����。
發(fā)明內(nèi)容給出了用于管理用戶的驗(yàn)證證書的方法、系統(tǒng)����、計(jì)算機(jī)程序制品和裝置。給出了用于管理用戶的驗(yàn)證證書的方法���。會(huì)話管理服務(wù)器對(duì)于包括受保護(hù)資源的域?qū)τ脩魣?zhí)行會(huì)話管理�����。會(huì)話管理服務(wù)器接收要訪問(wèn)受保護(hù)資源的請(qǐng)求��,該受保護(hù)資源要求已經(jīng)對(duì)于第一類-瞼證上下文而生成的驗(yàn)證證書��。響應(yīng)于確定已經(jīng)對(duì)于第二類驗(yàn)證上下文生成了用戶的驗(yàn)證證書���,會(huì)話管理服務(wù)器向驗(yàn)證代理服務(wù)器發(fā)送包含了用戶的驗(yàn)證證書和用于第一類驗(yàn)證上下文的指示符。會(huì)話管理服務(wù)器隨后接收第二消息���,該第二消息包含指示已經(jīng)用于對(duì)于第一類驗(yàn)證上下文生成了用戶的更新后的驗(yàn)證證書?����,F(xiàn)在將僅通過(guò)例子��,參考附圖描述本發(fā)明���,附圖中圖1A繪出數(shù)據(jù)處理系統(tǒng)的典型網(wǎng)絡(luò)�,這些數(shù)據(jù)處理系統(tǒng)的每個(gè)都可以實(shí)現(xiàn)本發(fā)明����;圖IB繪出在可實(shí)現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)中可以使用的典型計(jì)算機(jī)體系;圖2繪出示出了典型的企業(yè)數(shù)據(jù)處理系統(tǒng)的方框圖��;圖3繪出示出了當(dāng)客戶嘗試訪問(wèn)服務(wù)器處的受保護(hù)資源時(shí)可以使用的典型驗(yàn)證處理的數(shù)據(jù)流程圖����;圖4繪出示出了用于執(zhí)行擴(kuò)展的驗(yàn)證操作的數(shù)據(jù)處理系統(tǒng)的一部分的方框圖;圖5繪出示出由支持驗(yàn)證操作的會(huì)話管理服務(wù)器所管理的一些信息的方框圖�����;圖6繪出示出由支持驗(yàn)證操作的驗(yàn)證代理服務(wù)器所管理的一些信息的方框圖�����;圖7繪出示出了在會(huì)話管理服務(wù)器到驗(yàn)證代理服務(wù)器之間的驗(yàn)證請(qǐng)求消息中可以包含的一些信息的方框圖�����;圖8繪出示出了在從驗(yàn)證代理服務(wù)器到會(huì)話管理服務(wù)器的驗(yàn)證響應(yīng)消息中可以包含的一些信息的方框圖;圖9繪出示出了會(huì)話管理服務(wù)器通過(guò)該處理來(lái)啟動(dòng)驗(yàn)證操作的處理的流程圖�����;圖10繪出示出了驗(yàn)證代理服務(wù)器通過(guò)該處理來(lái)管理如所請(qǐng)求的驗(yàn)證操作的處理的流程圖��;以及圖11繪出示出了會(huì)話管理服務(wù)器通過(guò)該處理來(lái)完成驗(yàn)證操作的處理的流程圖����。具體實(shí)施方式一般而言����,可以包含或涉及本發(fā)明的設(shè)備包括很多種數(shù)據(jù)處理技術(shù)。因此�����,作為背景�����,在更詳細(xì)描述本發(fā)明之前��,描述分布式數(shù)據(jù)處理系統(tǒng)中的硬件和軟件組件的典型組織。現(xiàn)在參考附圖��,圖1A繪出數(shù)據(jù)處理系統(tǒng)的典型網(wǎng)絡(luò)�����,每個(gè)數(shù)據(jù)處理系統(tǒng)可以實(shí)現(xiàn)本發(fā)明的一部分���。分布式數(shù)據(jù)處理系統(tǒng)100包括網(wǎng)絡(luò)101,其是可以用于提供在分布式數(shù)據(jù)處理系統(tǒng)100內(nèi)的連接在一起的各種設(shè)備和計(jì)算機(jī)之間的通信鏈接的媒介��。網(wǎng)絡(luò)101可以包括諸如有線或光纖電纜的永久連接或者通過(guò)電話或無(wú)線通信而做出的臨時(shí)連接�����。在所示例子中�����,服務(wù)器102和103與存儲(chǔ)單元104—起被連接到網(wǎng)絡(luò)101�。另外�����,客戶端105-107也被連接到網(wǎng)絡(luò)101�?�?梢杂筛鞣N計(jì)算設(shè)備�、比如主機(jī)��、個(gè)人計(jì)算機(jī)���、個(gè)人數(shù)字助理(PDA)等來(lái)代表客戶端105-107和服務(wù)器102-103����。分布式數(shù)據(jù)處理系統(tǒng)100可以包括未示出的另外的服務(wù)器���、客戶端、路由器����、其他設(shè)備、以及對(duì)等體系�。在所示例子中,分布式數(shù)據(jù)處理系統(tǒng)IOO可以包括具有網(wǎng)絡(luò)101的因特網(wǎng)�����,代表使用各種協(xié)議來(lái)相互通信的網(wǎng)絡(luò)和網(wǎng)關(guān)的全世界范圍的集合���,該各種協(xié)議諸如輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)����、傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)、文件傳送協(xié)議(FTP)�、超文本傳輸協(xié)議(HTTP)、無(wú)線應(yīng)用協(xié)議(WAP)等的�����。當(dāng)然�,分布式數(shù)據(jù)處理系統(tǒng)IOO還可以包括大量各種網(wǎng)絡(luò),諸如��,企業(yè)內(nèi)部互聯(lián)網(wǎng)���、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)���。例如,服務(wù)器102直接支持客戶端109和網(wǎng)絡(luò)110����,該服務(wù)器102并入了無(wú)線通信鏈接。網(wǎng)絡(luò)使能的電話111通過(guò)無(wú)線鏈接112連接到網(wǎng)絡(luò)110,并且PDA113通過(guò)無(wú)線鏈接114連接到網(wǎng)絡(luò)110。電話111和PDA113也可以經(jīng)過(guò)使用適當(dāng)?shù)募夹g(shù)����、比如藍(lán)牙TM無(wú)線技術(shù)的無(wú)線鏈接在它們自身之間直接傳送數(shù)據(jù),以建立所謂的個(gè)人局域網(wǎng)絡(luò)(PAN)或個(gè)人ad-hoc網(wǎng)絡(luò)�����。以類似的方式���,PDA113可以經(jīng)由無(wú)線通信鏈接116向PDA107傳送數(shù)據(jù)��??梢栽诟鞣N硬件平臺(tái)上實(shí)現(xiàn)本發(fā)明��;圖1A意要作為各種計(jì)算環(huán)境的例子���,并且不意要作為對(duì)本發(fā)明的體系限制。現(xiàn)在參考圖1B�����,該圖繪出了比如圖1A所示的�����、可以在其中實(shí)現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)的典型計(jì)算機(jī)體系。數(shù)據(jù)處理系統(tǒng)120包括與內(nèi)部系統(tǒng)總線123連接的一個(gè)或多個(gè)中央處理單元(CPU)122,該內(nèi)部系統(tǒng)總線123與隨機(jī)存取存儲(chǔ)器(RAM)124�����、只讀存儲(chǔ)器126��、以及輸入/輸出適配器128互連�,該輸入/輸出適配器128支持各種I/O設(shè)備,比如打印機(jī)130���、盤單元132或其他未示出的設(shè)備��,比如音頻輸出系統(tǒng)等����。系統(tǒng)總線123還連接了提供到通信鏈接136的訪問(wèn)的通信適配器134���。用戶接口適配器148連接了各種用戶設(shè)備����,比如鍵盤140和鼠標(biāo)142,或者未示出的其他設(shè)備����,比如觸摸屏�����、觸針��、麥克風(fēng)等���。顯示適配器144將系統(tǒng)總線123連接到顯示設(shè)備146。本領(lǐng)域普通技術(shù)人員將認(rèn)識(shí)到���,圖1B中的硬件可以取決于系統(tǒng)實(shí)現(xiàn)而改變�。例如����,系統(tǒng)可以具有諸如基于IntefPentium②的處理器和數(shù)字信號(hào)處理器(DSP)的一個(gè)或多個(gè)處理器,以及一種或多種易失性和非易失性存儲(chǔ)器�。除了圖1B中所示的硬件以外或者替換圖1B中所示的硬件�,還可以使用其他外圍設(shè)備。所示例子不意味著暗示關(guān)于本發(fā)明的體系限制���。除了能夠在各種硬件平臺(tái)上實(shí)現(xiàn)以外�,也可以在各種軟件環(huán)境下實(shí)現(xiàn)本發(fā)明。典型的操作系統(tǒng)可以用于控制每個(gè)數(shù)據(jù)處理系統(tǒng)內(nèi)的程序執(zhí)行�����。例如���,一個(gè)設(shè)備可以運(yùn)行1111〖乂8操作系統(tǒng)���,而另一設(shè)備包含簡(jiǎn)單的Java運(yùn)行時(shí)間環(huán)境。代表性的計(jì)算機(jī)平臺(tái)可以包括瀏覽器����,這是用于訪問(wèn)各種格式的超文本文檔的公知軟件應(yīng)用,該各種格式的超文本文檔諸如圖形文件���、文字處理文件��、可擴(kuò)展標(biāo)記語(yǔ)言(XML)���、超文本標(biāo)記語(yǔ)言(HTML)、手持設(shè)備標(biāo)記語(yǔ)言(HDML)�����、無(wú)線標(biāo)記語(yǔ)言(WML)和各種其它格式和類型的文件。如關(guān)于圖1A和1B所述�,可以在各種硬件和軟件平臺(tái)上實(shí)現(xiàn)本發(fā)明。盡管更具體地��,本發(fā)明導(dǎo)向于改進(jìn)的數(shù)據(jù)處理環(huán)境�����。在更詳細(xì)描述本發(fā)明之前���,描述典型的數(shù)據(jù)處理環(huán)境的一些方面�。在此對(duì)附圖的描述可以涉及由客戶端設(shè)備或客戶端設(shè)備的用戶做出的某些動(dòng)作���。本領(lǐng)域普通技術(shù)人員將理解�,去往客戶端的響應(yīng)和/或來(lái)自客戶端的請(qǐng)求有時(shí)候由用戶發(fā)起�����,并且其他時(shí)候經(jīng)常由客戶端代表該客戶端的用戶來(lái)自動(dòng)發(fā)起���。因此,當(dāng)在附圖的描述中提到客戶端或者客戶端的用戶時(shí)��,應(yīng)當(dāng)理解,可互換地使用術(shù)語(yǔ)"客戶端"和"用戶"����,而不會(huì)嚴(yán)重影響所述處理的意思。下文中可以將某些計(jì)算任務(wù)描述為由功能單元執(zhí)行�����。功能單元可以由例程�、子例程、處理���、子處理����、進(jìn)程����、功能、方法�、面向?qū)ο蟮膶?duì)象、軟件模塊�����、小程序、插件�、ActiveX,控制�、腳本或用于執(zhí)行計(jì)算任務(wù)的固件或軟件的一些其他組件來(lái)表示��。在此對(duì)附圖的描述可以涉及各種組件之間的信息交換���,并且該信息交換可以被描述為經(jīng)由消息�、例如跟隨了響應(yīng)消息的請(qǐng)求消息的交換來(lái)實(shí)現(xiàn)的��。應(yīng)當(dāng)注意���,當(dāng)合適時(shí),可以經(jīng)由諸如消息���、方法調(diào)用����、遠(yuǎn)程進(jìn)程調(diào)用���、事件信號(hào)或其他機(jī)制的各種數(shù)據(jù)交換機(jī)制來(lái)等效地實(shí)現(xiàn)計(jì)算組件間的信息交換���,該信息交換可以包括同步或異步的請(qǐng)求/響應(yīng)交換?�,F(xiàn)在參考圖2,方框圖繪出典型的企業(yè)數(shù)據(jù)處理系統(tǒng)�。而圖1A繪出具有客戶端和服務(wù)器的典型數(shù)據(jù)處理系統(tǒng),相反��,圖2示出與某些服務(wù)器側(cè)實(shí)體有關(guān)的網(wǎng)絡(luò)內(nèi)的客戶端��,該某些服務(wù)器側(cè)實(shí)體可以用于支持對(duì)于訪問(wèn)資源的客戶端請(qǐng)求���。如在典型的計(jì)算環(huán)境中����,企業(yè)域200例如通過(guò)網(wǎng)絡(luò)208使用客戶端206上的瀏覽器應(yīng)用204來(lái)主管(host)用戶202可以訪問(wèn)的資源�����;計(jì)算機(jī)網(wǎng)絡(luò)可以是因特網(wǎng)�、企業(yè)內(nèi)部互聯(lián)網(wǎng)或其他網(wǎng)絡(luò),如圖1A所示��。企業(yè)域200支持多個(gè)服務(wù)器�����。應(yīng)用服務(wù)器210通過(guò)基于網(wǎng)絡(luò)的應(yīng)用或其他類型后端應(yīng)用、包括傳統(tǒng)應(yīng)用(legacyapplication),來(lái)支持受控制的資源和/或未控制的資源���。反向代理服務(wù)器214�����、或者筒稱代理服務(wù)器214執(zhí)行用于企業(yè)域200的廣闊范圍的功能��。例如�����,代理服務(wù)器214可以緩存網(wǎng)頁(yè)以便鏡像(mirror)來(lái)自應(yīng)用服務(wù)器的內(nèi)容�?���?梢苑謩e通過(guò)輸入數(shù)據(jù)流過(guò)濾器216和輸出數(shù)據(jù)流過(guò)濾器218來(lái)處理流入和流出的數(shù)據(jù)流,以便根據(jù)在各種策略中所指定的目標(biāo)或條件或根據(jù)所采用的軟件模塊的配置來(lái)對(duì)流入的請(qǐng)求和流出的響應(yīng)執(zhí)行各種處理任務(wù)���。會(huì)話管理單元220管理如由代理服務(wù)器214識(shí)別的會(huì)話標(biāo)識(shí)符��、緩存的證書或與會(huì)話有關(guān)的其他信息�����?�;诰W(wǎng)絡(luò)的應(yīng)用典型地利用各種手段來(lái)幫助用戶輸入驗(yàn)證信息�����,該驗(yàn)證信息通常為HTML表單內(nèi)的用戶名/密碼組合���。在圖2所示的例子中,在客戶端206可以具有對(duì)資源的訪問(wèn)之前���,可以要求對(duì)用戶202進(jìn)行驗(yàn)證����,這之后��,為客戶端206建立會(huì)話�����。在可替換的實(shí)施例中���,在向用戶提供對(duì)域200上的資源的訪問(wèn)之前不進(jìn)行驗(yàn)證和授權(quán)操作���;可能不需隨附的驗(yàn)證操作來(lái)創(chuàng)建用戶會(huì)話�����。上述企業(yè)域200內(nèi)的實(shí)體表示許多計(jì)算環(huán)境內(nèi)的典型的實(shí)體�。然而���,許多企業(yè)域具有用于控制對(duì)于受保護(hù)計(jì)算資源的訪問(wèn)的安全特征���。計(jì)算資源可以是應(yīng)用、對(duì)象����、文檔、網(wǎng)頁(yè)���、文件���、可執(zhí)行的代碼模塊、或一些其他的計(jì)算資源或通信類資源���。如果發(fā)請(qǐng)求的客戶端或發(fā)請(qǐng)求的用戶被驗(yàn)證和/或授權(quán)��,受保護(hù)的或受控制的資源是僅可訪問(wèn)或可檢索的資源��;在一些情況下����,經(jīng)過(guò)驗(yàn)證的用戶是默認(rèn)被授權(quán)的用戶。驗(yàn)證服務(wù)器222可以支持各種驗(yàn)證機(jī)制�,比如用戶名/密碼、X.509證書或安全記號(hào)�;多個(gè)驗(yàn)證服務(wù)器可以專用于專門的驗(yàn)證方法���。授權(quán)服務(wù)器224可以使用授權(quán)數(shù)據(jù)庫(kù)226,其包含如下信息���,諸如訪問(wèn)控制列表228、授權(quán)策略230�����、關(guān)于用戶組或角色的信息232����、以及關(guān)于特定管理組內(nèi)的管理用戶的信息234。使用該信息,授權(quán)服務(wù)器224響應(yīng)于來(lái)自客戶端206的請(qǐng)求���,向代理服務(wù)器214提供對(duì)于是否應(yīng)該允許繼續(xù)具體請(qǐng)求����、例如是否應(yīng)該準(zhǔn)許對(duì)受控制的資源訪問(wèn)的指示��。應(yīng)當(dāng)注意���,可以與各種驗(yàn)證和授權(quán)應(yīng)用聯(lián)合地實(shí)現(xiàn)本發(fā)明����,并且在此描述的本發(fā)明的實(shí)施例不應(yīng)被理解為將本發(fā)明的范圍限制于驗(yàn)證和授權(quán)服務(wù)的配置?�,F(xiàn)在參考圖3,數(shù)據(jù)流程示了當(dāng)客戶端試圖訪問(wèn)服務(wù)器處的受保護(hù)資源時(shí)可以使用的典型的驗(yàn)證處理�。如所示,位于客戶端工作站300處的用戶通過(guò)在客戶端工作站上執(zhí)行的用盧的網(wǎng)絡(luò)瀏覽器�,來(lái)尋求經(jīng)過(guò)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)服務(wù)器302上的受保護(hù)資源的訪問(wèn)。受保護(hù)資源可以由僅能夠由被驗(yàn)證和授權(quán)的用戶來(lái)訪問(wèn)的統(tǒng)一資源定位符(URL)��、或者更具體地統(tǒng)一資源標(biāo)識(shí)符(URI)來(lái)標(biāo)識(shí)�。當(dāng)用戶請(qǐng)求服務(wù)器側(cè)的受保護(hù)資源、比如域"ibm.com"內(nèi)的網(wǎng)頁(yè)時(shí)�,開始處理(步驟304)�����。在聯(lián)網(wǎng)的環(huán)境下���,術(shù)語(yǔ)"服務(wù)器側(cè)"和"客戶端側(cè)"分別指網(wǎng)絡(luò)環(huán)境中的服務(wù)器或客戶端處的動(dòng)作或?qū)嶓w。網(wǎng)絡(luò)瀏覽器(或相關(guān)應(yīng)用或小程序)生成HTTP請(qǐng)求��,該HTTP請(qǐng)求被發(fā)送到主管域"ibm.com"的網(wǎng)絡(luò)服務(wù)器(步驟306)���。術(shù)語(yǔ)"請(qǐng)求"和"響應(yīng)"應(yīng)該被理解為包括適合于具體操作中所涉及的信息�����、諸如消息、通信協(xié)議信息或其他有關(guān)信息的傳送的數(shù)據(jù)格式化�����。服務(wù)器確定沒(méi)有客戶端的有效會(huì)話(步驟308)�,因此服務(wù)器通過(guò)向客戶端發(fā)送某種類型的驗(yàn)證詢問(wèn)(challenge)來(lái)要求用戶進(jìn)行驗(yàn)證處理(步驟310)。驗(yàn)證詢問(wèn)可以是各種格式的�����,比如HTML表單。然后用戶提供所請(qǐng)求或所需要的信息(步驟312)��、比如用戶標(biāo)識(shí)符和相關(guān)密碼�,或者客戶端可以自動(dòng)返回某種信息、比如數(shù)字證書��。向服務(wù)器發(fā)送驗(yàn)證響應(yīng)消息(步驟314),此時(shí)��,服務(wù)器例如通過(guò)在檢索先前所提交的注冊(cè)信息并將所呈現(xiàn)的驗(yàn)證信息與用戶所存儲(chǔ)的信息相匹配來(lái)驗(yàn)證用戶或客戶端(步驟316)�。假設(shè)驗(yàn)證成功,則為被驗(yàn)證的用戶或客戶端建立有效會(huì)話�。然后服務(wù)器檢索被請(qǐng)求的網(wǎng)頁(yè),并將HTTP響應(yīng)消息發(fā)送到客戶端(步驟318)�。這時(shí),用戶可以通過(guò)點(diǎn)擊超文本鏈接來(lái)請(qǐng)求瀏覽器中的"ibm.com"內(nèi)的另一頁(yè)面(步驟320),并且瀏覽器將另一HTTP請(qǐng)求消息發(fā)送到服務(wù)器(步驟322)���。這時(shí)����,服務(wù)器基于由服務(wù)器保持的會(huì)話狀態(tài)信息來(lái)識(shí)別用戶具有有效會(huì)話(步驟324)���。例如�,因?yàn)橛脩舻目蛻舳朔祷亓薍TTP請(qǐng)求消息內(nèi)的會(huì)話ID,因此服務(wù)器識(shí)別發(fā)出請(qǐng)求的用戶的適當(dāng)?shù)臅?huì)話狀態(tài)信息�?����;谒彺娴挠脩魰?huì)話信息����,服務(wù)器例如通過(guò)用戶的證書的副本的可用性�����,來(lái)確定用戶已經(jīng)被驗(yàn)證���;然后服務(wù)器可以確定�����,在滿足用戶的請(qǐng)求之前����,不需要執(zhí)行諸如驗(yàn)證操作的某些操作��。月l務(wù)器在另一HTTP響應(yīng)消息中將所請(qǐng)求的網(wǎng)頁(yè)發(fā)送回客戶端(步驟326),從而滿足了用戶對(duì)于受保護(hù)資源的原始請(qǐng)求��。盡管圖2繪出了典型的數(shù)據(jù)處理系統(tǒng)�,并且圖3繪出了當(dāng)客戶端試圖訪問(wèn)服務(wù)器處的受保護(hù)資源時(shí)可以使用的典型的驗(yàn)證處理,但是本發(fā)明定向?yàn)閷Ⅱ?yàn)證操作擴(kuò)展到外部應(yīng)用的改進(jìn)的驗(yàn)證基礎(chǔ)結(jié)構(gòu)����,其中該外部應(yīng)用可以更新用戶證書而不需要求為用戶建立新的會(huì)話,如其余圖所示?����,F(xiàn)在參考圖4�,方框圖繪出了根據(jù)本發(fā)明的實(shí)施例的用于執(zhí)行擴(kuò)展的驗(yàn)證操作的數(shù)據(jù)處理系統(tǒng)的一部分。圖4所示的數(shù)據(jù)處理系統(tǒng)與圖2所示的凝:據(jù)處理系統(tǒng)類似�。例如,在兩圖中客戶端402與客戶端206類似�����;會(huì)話管理服務(wù)器404與代理服務(wù)器214類似����;并且受保護(hù)資源406可以表示應(yīng)用服務(wù)器210和其它類型的受保護(hù)資源。優(yōu)選地�,會(huì)話管理服務(wù)器404位于計(jì)算的DMZ(隔離區(qū)(DeMilitarizedzone))內(nèi),以便向會(huì)話管理服務(wù)器404和從會(huì)話管理服務(wù)器404傳送的數(shù)據(jù)必須通過(guò)防火墻408和410�。會(huì)話管理服務(wù)器404負(fù)責(zé)關(guān)于用戶會(huì)話的會(huì)話管理,其中該用戶會(huì)話是在包括了受保護(hù)資源406的安全域中創(chuàng)建的��。當(dāng)可能時(shí),會(huì)話管理服務(wù)器404依靠驗(yàn)證服務(wù)405來(lái)進(jìn)行驗(yàn)證操作����;在驗(yàn)證服務(wù)405不能進(jìn)行驗(yàn)證操作的情況下,會(huì)話管理服務(wù)器404依靠驗(yàn)證代理服務(wù)器412��,如下更詳細(xì)說(shuō)明�。會(huì)話管理服務(wù)器404和受保護(hù)資源406可以存在于信任的網(wǎng)絡(luò)內(nèi),其可以代表例如與圖2所述的企業(yè)域200類似的企業(yè)域內(nèi)的計(jì)算資源��。然而�,也可以在其他安全域內(nèi)主管各種組件、具體為驗(yàn)證代理服務(wù)器412����。圖4圖示用于論述驗(yàn)證操作可以處于執(zhí)行對(duì)域的會(huì)話管理的會(huì)話管理服務(wù)器外部的本發(fā)明的實(shí)施方式的組件,其中�,驗(yàn)證操作更新用戶的證書而不需為用戶建立新的會(huì)話。此外�����,圖4圖示了在客戶端/用戶和支持由客戶端/用戶訪問(wèn)的受保護(hù)資源的組件之間的一些數(shù)據(jù)流��。去往會(huì)話管理服務(wù)器404和來(lái)自會(huì)話管理服務(wù)器404的示例數(shù)據(jù)流被圖示為通過(guò)客戶端而被重定向�;然而,應(yīng)當(dāng)注意���,可以通過(guò)各種傳輸?shù)南⒁约捌渌麛?shù)據(jù)傳送機(jī)制來(lái)執(zhí)4亍去往會(huì)話管理服務(wù)器404和來(lái)自會(huì)話管理服務(wù)器404的數(shù)據(jù)流�,該各種傳llr的消息是向會(huì)話管理服務(wù)器/從會(huì)話管理服務(wù)器發(fā)送和/或轉(zhuǎn)發(fā)的�,該其他數(shù)據(jù)傳送機(jī)制向會(huì)話管理服務(wù)器推入數(shù)據(jù)或從會(huì)話管理服務(wù)器拉出數(shù)據(jù)。在某個(gè)時(shí)間點(diǎn)����,客戶端402的用戶可能已經(jīng)經(jīng)由會(huì)話管理服務(wù)器404完成了驗(yàn)證處理,使得會(huì)話管理服務(wù)器404具有用戶的證書�;例如當(dāng)將用戶所接收的請(qǐng)求轉(zhuǎn)發(fā)或發(fā)送到受保護(hù)資源406時(shí),會(huì)話管理服務(wù)器404使用證書以向用戶提供對(duì)某些受保護(hù)資源406的訪問(wèn)��。在很多情況下��,當(dāng)會(huì)話管理服務(wù)器404接收要訪問(wèn)受保護(hù)資源的請(qǐng)求并確定發(fā)出請(qǐng)求的用戶的證書足夠時(shí)�,會(huì)話管理服務(wù)器404轉(zhuǎn)發(fā)或發(fā)送用戶的請(qǐng)求而不修改用戶的當(dāng)前證書。然而��,在圖4所示的例子中���,當(dāng)會(huì)話管理服務(wù)器404接收到資源請(qǐng)求414時(shí)��,資源請(qǐng)求414不被轉(zhuǎn)發(fā)到受保護(hù)資源�����,例如作為假定被轉(zhuǎn)發(fā)的請(qǐng)求416��。在此情況下�����,會(huì)話管理服務(wù)器404識(shí)別資源請(qǐng)求414是要訪問(wèn)如下受保護(hù)資源的請(qǐng)求該受保護(hù)資源需要合適的�����、有效的���、足夠的�����、滿足的或可接受的用于在特定驗(yàn)證上下文中的斷言(assertion)的證書����。在所示例子中��,會(huì)話管理服務(wù)器404識(shí)別用戶的當(dāng)前證書對(duì)于由受保護(hù)資源所需要的驗(yàn)證上下文來(lái)說(shuō)是不合適的、無(wú)效的�����、不足夠的���、不滿足的、或不可接受的����。驗(yàn)證上下文是一個(gè)或多個(gè)標(biāo)準(zhǔn)或限制的集合,其中在該集合中創(chuàng)建驗(yàn)證證書或或意圖驗(yàn)證證書用于該集合�����。驗(yàn)證上下文可以指示怎樣驗(yàn)證����、使用何者來(lái)驗(yàn)證、和/或意圖使用證書的范圍���。例如��,可能已經(jīng)由具體的驗(yàn)證實(shí)體生成了用戶的驗(yàn)證證書���,其中在該驗(yàn)證證書中指示了該驗(yàn)證實(shí)體的標(biāo)識(shí)�����;換句話說(shuō)��,驗(yàn)證證書可以指示驗(yàn)證用戶所使用或利用的實(shí)體���。作為另一例子,已經(jīng)通過(guò)具體類型���、種類或類別的驗(yàn)-〖正操作(例如�,用戶名/密碼����、硬件記號(hào)�、生物信息或者和其他的這種驗(yàn)證方法)來(lái)生成了用戶的驗(yàn)證證書,在驗(yàn)證證書內(nèi)指示了該具體類型�����、等級(jí)或類別的驗(yàn)證操作的標(biāo)識(shí)�;換句話說(shuō)�����,驗(yàn)證證書可以指示如何驗(yàn)證用戶�����。作為另一例子,用戶的驗(yàn)證證書可以指示證書意圖有效的時(shí)間段�����;證書意圖有效的業(yè)務(wù)上下文��,比如僅用于銀行業(yè)務(wù)或僅用于購(gòu)買業(yè)務(wù)等�;證書在各團(tuán)體之間是否是可委托(delegatable);或者其他意圖的限制。因此����,在圖4的例子中,用戶的當(dāng)前證書可以指示在很多種特性上的無(wú)效或不足�。例如,受保護(hù)資源的操作者可能無(wú)法識(shí)別用戶的當(dāng)前證書的發(fā)證機(jī)關(guān)(issuingauthority)��。然而����,可能存在由受保護(hù)資源的操作者識(shí)別的另一發(fā)證機(jī)關(guān)���;此另一發(fā)證機(jī)關(guān)可以識(shí)別用戶的當(dāng)前證書內(nèi)的所指示的發(fā)證才幾關(guān),并且此另一發(fā)證機(jī)關(guān)可能將要基于那些證書的確認(rèn)而重新發(fā)布用戶的證書��。作為另一例子���,用戶的當(dāng)前證書可以指示它們是響應(yīng)于驗(yàn)證操作��、基于用戶成功斷言用戶名/密碼對(duì)的確認(rèn)而生成的����。然而����,受保護(hù)資源的操作者可能需要響應(yīng)于驗(yàn)證操作、基于用戶的生物斷言的確認(rèn)而生成的驗(yàn)證證書��。此時(shí)����,不轉(zhuǎn)發(fā)對(duì)于受保護(hù)資源的請(qǐng)求,反而會(huì)話管理服務(wù)器404將消息418發(fā)送到驗(yàn)證代理服務(wù)器412;該消息包含用于請(qǐng)求與用戶先前獲得的不同的驗(yàn)證上下文的����、用戶的更新后的證書的信息�����。驗(yàn)證代理服務(wù)器412將到來(lái)的請(qǐng)求轉(zhuǎn)發(fā)到后端驗(yàn)證服務(wù)器420中的適當(dāng)一個(gè)��,其基于在消息418中所包括的����、用戶的當(dāng)前證書信息來(lái)生成更新后的證書�����。驗(yàn)證服務(wù)器420可以表示驗(yàn)證服務(wù)器�、servlet��、或其他類型的計(jì)算組件�����,其每個(gè)提供了對(duì)于完成或執(zhí)行不同類型的驗(yàn)證操作和/或在不同驗(yàn)證上下文中的驗(yàn)證操作的支持���,從而生成對(duì)于特定驗(yàn)證上下文來(lái)說(shuō)有效的驗(yàn)證證書�。依據(jù)所實(shí)現(xiàn)的操作,驗(yàn)證服務(wù)器可能需要與用戶/客戶端的交互422來(lái)收集用于建立更新后的證書的信息��。如上述����,驗(yàn)證上下文可以包括一個(gè)或多個(gè)標(biāo)準(zhǔn)或限制的集合,其每個(gè)可能是簡(jiǎn)單的或遲鈍的(obtuse)��。因此��,由驗(yàn)證服務(wù)器420之一實(shí)現(xiàn)的驗(yàn)i正才喿作可能相應(yīng)地簡(jiǎn)單或復(fù)雜�����。例如�,如果用戶的更新后的驗(yàn)證證書需要由新的發(fā)證機(jī)關(guān)來(lái)發(fā)布,則驗(yàn)證操作可能涉及具有另外的實(shí)體或操作者的冗長(zhǎng)的下游處理���。在此例子中�����,在如操作者或受保護(hù)資源需要�、已經(jīng)由特定發(fā)證才幾關(guān)來(lái)發(fā)布了用戶的更新后的驗(yàn)證證書之后,認(rèn)為對(duì)于由受保護(hù)資源所需要的驗(yàn)證上下文���、已經(jīng)生成了用戶的更新后的驗(yàn)證證書�。在另一例子中�,如果用戶的當(dāng)前-瞼證證書最近已經(jīng)在先前的小時(shí)內(nèi)過(guò)期,并且驗(yàn)證服務(wù)器具有將用戶證書的生命期延長(zhǎng)一個(gè)小時(shí)的授權(quán)�����,則驗(yàn)證操作可以僅包括更新后的驗(yàn)證證書的有效期的修改���,盡管這可能還需要在證書中的數(shù)字校驗(yàn)和或其他數(shù)據(jù)項(xiàng)的修改����。在此例子中�,在如由受保護(hù)資源的凈乘作者需要���、已經(jīng)由驗(yàn)證服務(wù)器生成了在當(dāng)前時(shí)間段上有效的用戶的更新后的驗(yàn)證證書之后��,認(rèn)為已經(jīng)對(duì)于由受保護(hù)資源所需要的驗(yàn)證上下文生成了用戶的更新后的-驗(yàn)i正i正書���。然后,驗(yàn)證代理服務(wù)器412通過(guò)將到來(lái)的消息424發(fā)送到客戶端402來(lái)返回更新后的證書����,然后客戶端402適當(dāng)?shù)貙⑵滢D(zhuǎn)發(fā)到會(huì)話管理服務(wù)器404����。如果����,會(huì)話管理服務(wù)404緩存、存儲(chǔ)���、或者更新���、關(guān)聯(lián)、或者修改關(guān)于更新后的證書的用戶的當(dāng)前會(huì)話狀態(tài)信息��。然后���,會(huì)話管理服務(wù)器404將用戶的原始請(qǐng)求發(fā)送到受保護(hù)資源�。請(qǐng)求可以附有用戶的更新后的證書�����,該更新后的證書指示如受保護(hù)資源所要求的適當(dāng)?shù)尿?yàn)證上下文、或者用戶的更新后的證書仍然可用于在需要時(shí)由下游實(shí)體執(zhí)行的^r索�。在任何情況下,用戶都已經(jīng)獲得了在由用戶試圖訪問(wèn)的受保護(hù)資源所要求的驗(yàn)證上下文中有效的證書�。盡管,應(yīng)當(dāng)注意���,用戶對(duì)于在由訪問(wèn)受保護(hù)資源的請(qǐng)求將被準(zhǔn)許或?qū)⒊晒?;例如��,可能發(fā)生各種錯(cuò)誤��,或者可能基于各種其他限制而否定或拒絕用戶的請(qǐng)求��,比如由被認(rèn)為未被包括在現(xiàn)在參考圖5,方框圖繪出了根據(jù)本發(fā)明的實(shí)施例的���、由支持?jǐn)U展的驗(yàn)證操作的會(huì)話管理服務(wù)器所管理的一些信息��。會(huì)話管理服務(wù)器500與圖4所示的會(huì)話管理服務(wù)器404類似�����。會(huì)話管理服務(wù)器500在會(huì)話數(shù)據(jù)結(jié)構(gòu)502中存儲(chǔ)用于管理用戶會(huì)話的信息,該會(huì)話數(shù)據(jù)結(jié)構(gòu)502是包含了諸如會(huì)話項(xiàng)504的多個(gè)會(huì)話項(xiàng)的表格或某個(gè)其它類型的數(shù)據(jù)結(jié)構(gòu)��。會(huì)話項(xiàng)504包含會(huì)話標(biāo)識(shí)符506,會(huì)話標(biāo)識(shí)符506是該會(huì)話的唯一標(biāo)識(shí)符��。會(huì)話項(xiàng)504還可以存4諸用戶標(biāo)識(shí)符508�,用戶標(biāo)識(shí)符508是用于與發(fā)起在包含會(huì)話管理服務(wù)器500的企業(yè)域內(nèi)的會(huì)話的客戶端相關(guān)聯(lián)的、用戶的唯一標(biāo)識(shí)符�。另外的會(huì)話狀態(tài)變量510可以被本地存儲(chǔ)在每個(gè)會(huì)話項(xiàng)中。會(huì)話項(xiàng)504還包含用戶證書512,當(dāng)需要時(shí)使用該用戶證書512來(lái)4受權(quán)擁有該證書的用戶訪問(wèn)受保護(hù)資源�����。用戶證書512指示其中生成該證書的驗(yàn)證上下文或上下文514��。會(huì)話項(xiàng)504還可以包含緩存的請(qǐng)求消息516�����,其是來(lái)自發(fā)起進(jìn)行驗(yàn)證操作以獲得更新后的證書的需要的客戶端/用戶的原始請(qǐng)求消息的所存儲(chǔ)的副本�。會(huì)話管理服務(wù)器500還存儲(chǔ)指示需要特定驗(yàn)證上下文的受保護(hù)資源的表格518或類似的數(shù)據(jù)結(jié)構(gòu)。每個(gè)資源可以由其URI來(lái)標(biāo)識(shí)�,并且可以與URI關(guān)聯(lián)地存儲(chǔ)其所要求的驗(yàn)證上下文,從而對(duì)于每個(gè)所呈現(xiàn)的受保護(hù)資源形成具有URI520和驗(yàn)證上下文指示符522的密鑰值對(duì)�����。依據(jù)驗(yàn)證上下文的實(shí)施方式�,驗(yàn)證上下文指示符522可以是一個(gè)或多個(gè)數(shù)據(jù)項(xiàng)的集合��。會(huì)話管理服務(wù)器500還存儲(chǔ)指示驗(yàn)證代理服務(wù)器的位置的可配置的驗(yàn)證代理服務(wù)器URI524��。在會(huì)話管理服務(wù)器500的初始化階段期間�,可配置URI524和可配置的表格518在從配置文件中檢索之后�,可以被緩存在存儲(chǔ)器中。現(xiàn)在參考圖6,方框圖繪出了根據(jù)本發(fā)明的實(shí)施例的���、由支持驗(yàn)證操作的驗(yàn)證代理服務(wù)器所管理的一些信息����。驗(yàn)證代理服務(wù)器600與圖4所示的驗(yàn)證代理服務(wù)器412類似�����。驗(yàn)證代理服務(wù)器600存儲(chǔ)用于從所請(qǐng)求的驗(yàn)證上下文映射到能夠生成對(duì)于相關(guān)驗(yàn)證上下文有效的用戶證書的驗(yàn)證操作的信息��。例如���,可以是表格或類似數(shù)據(jù)結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)602包含密鑰值對(duì)����;驗(yàn)證上下文604的每個(gè)指示符與驗(yàn)證操作606成對(duì)����。依據(jù)驗(yàn)證上下文的實(shí)施方式,驗(yàn)證上下文指示符604可以是一個(gè)或多個(gè)數(shù)據(jù)項(xiàng)的集合�。另外,驗(yàn)證代理服務(wù)器600還存儲(chǔ)可配置的會(huì)話管理服務(wù)器URI608,其指示從其處接收驗(yàn)證請(qǐng)求和/或應(yīng)該將驗(yàn)證響應(yīng)返回到其處的會(huì)話管理服務(wù)器的位置��。在驗(yàn)證代理服務(wù)器600的初始化階段期間���,可配置URI608和可配置的表格602在從配置文件中檢索之后����,可以被緩存在存儲(chǔ)器中?��,F(xiàn)在參考圖7,方框圖繪出了根據(jù)本發(fā)明的實(shí)施例的����、在會(huì)話管理服務(wù)器到驗(yàn)證代理服務(wù)器之間的驗(yàn)證請(qǐng)求消息中可能包含的一些信息��。驗(yàn)證請(qǐng)求消息702包含用戶當(dāng)前證書704的副本����;如由后端驗(yàn)證方法/服務(wù)器要求、使用用戶當(dāng)前證書來(lái)生成更新后的用戶證書�。被請(qǐng)求的驗(yàn)證上下文706指示更新后的用戶證書所要求的驗(yàn)證上下文����,如由已經(jīng)發(fā)起驗(yàn)證操作的會(huì)話管理服務(wù)器所確定的�。在某些情況下,后端驗(yàn)證方法/服務(wù)器可能需要與用戶交互以完成驗(yàn)證:燥作����;對(duì)于那些情況,定制信息708被包括在^r證請(qǐng)求702中����。應(yīng)當(dāng)注意,驗(yàn)證請(qǐng)求消息702表示被關(guān)聯(lián)地存儲(chǔ)和/或傳送的信息項(xiàng)���,并且可以以各種數(shù)據(jù)格式來(lái)實(shí)現(xiàn)這些信息項(xiàng)�,包括作為嵌入其他消息中的它們的包含物�。當(dāng)請(qǐng)求與用戶交互以完成驗(yàn)證操作時(shí),定制信息708可以用于定制與用戶的客戶端交換的信息����。通過(guò)提供用戶名或其他前后關(guān)系的信息,可以更加用戶友好地進(jìn)行驗(yàn)證操作�����,或者關(guān)于對(duì)驗(yàn)證操作的需要更多信息量地進(jìn)行驗(yàn)證操作,例如指示用戶所請(qǐng)求的業(yè)務(wù)需要另外的安全進(jìn)程����,因?yàn)樵摌I(yè)務(wù)必須與用戶已知的另一網(wǎng)站交互?,F(xiàn)在參考圖8,方框圖繪出了根據(jù)本發(fā)明的實(shí)施例的��、在從驗(yàn)證代理服務(wù)器到會(huì)話管理服務(wù)器的驗(yàn)證響應(yīng)消息中可能包含的一些信息�。驗(yàn)證響應(yīng)消息802包含用戶的更新后的證書的副本804。當(dāng)由初始地請(qǐng)求更新后的^正書的會(huì)話管理服務(wù)器通過(guò)驗(yàn)證操作接收更新后的證書時(shí)���,更新后的證書將被緩存����。例如���,更新后的證書可能被緩存在適當(dāng)?shù)挠脩舻臅?huì)話項(xiàng)信息中�,用于隨后在訪問(wèn)受保護(hù)資源中使用���。應(yīng)當(dāng)注意����,驗(yàn)證響應(yīng)消息802表示被關(guān)聯(lián)地存儲(chǔ)和/或傳送的信息項(xiàng),并且可以以各種數(shù)據(jù)格式實(shí)現(xiàn)這些信息項(xiàng)����,包括作為嵌入其他消息中的它們的包含物。現(xiàn)在參考圖9����,流程圖繪出了根據(jù)本發(fā)明的實(shí)施例的處理,通過(guò)該處理��,會(huì)話管理服務(wù)器發(fā)起驗(yàn)證操作�。當(dāng)諸如圖4所示的會(huì)話管理服務(wù)器404的會(huì)話管理服務(wù)器接收了要訪問(wèn)受保護(hù)資源的請(qǐng)求時(shí),處理開始(步驟902);該請(qǐng)求可以被緩存在用戶的會(huì)話信息中用于隨后檢索�。會(huì)話管理服務(wù)器從到來(lái)的請(qǐng)求消息中提取所請(qǐng)求的受保護(hù)資源的URI(步驟904),并使用所提取的URI執(zhí)行查找操作,以獲得受保護(hù)資源所要求的驗(yàn)證上下文(步驟906);使用諸如圖5所示的表格的可配置表格或其他數(shù)據(jù)存儲(chǔ)來(lái)執(zhí)行查找操作��。在此例子中��,會(huì)話管理服務(wù)器確定�,用戶的證書缺乏所要求的驗(yàn)證上下文(步驟908)。換句話說(shuō)��,用戶的當(dāng)前證書無(wú)效����、不合適��、不足夠���、不滿足或與由用戶正試圖訪問(wèn)的受保護(hù)資源所要求的類型或特性不同的類型或特性。因此�,會(huì)話管理服務(wù)器確定,需要驗(yàn)證操作來(lái)更新用戶的證書��。如果用戶的"i正書滿足受保護(hù)資源對(duì)于特定驗(yàn)證上下文的要求�,則如需要��、可以轉(zhuǎn)發(fā)用戶的請(qǐng)求以嘗試獲得對(duì)于受保護(hù)資源的訪問(wèn)��,而不需進(jìn)一步處理����,這在圖中未示出。會(huì)話管理服務(wù)器生成驗(yàn)證請(qǐng)求(步驟910),其包括當(dāng)前用戶證書和由受保護(hù)資源所要求的驗(yàn)證上下文的指示����。然后,會(huì)話管理服務(wù)器將所生成的消息內(nèi)的驗(yàn)證請(qǐng)求發(fā)送到驗(yàn)證代理服務(wù)器(步驟912),并且處理終止�����。驗(yàn)證代理服務(wù)器的URI可以是由會(huì)話管理服務(wù)器從適當(dāng)?shù)臄?shù)據(jù)存儲(chǔ)中檢索的可配置的值,例如圖5所示?�,F(xiàn)在參考圖10���,流程圖繪出了根據(jù)本發(fā)明的實(shí)施例的處理��,通過(guò)該處理�����,驗(yàn)證代理服務(wù)器管理如所請(qǐng)求的驗(yàn)證操作���。當(dāng)驗(yàn)證代理服務(wù)器接收到驗(yàn)證請(qǐng)求時(shí),處理開始(步驟1002)�����。所接收的請(qǐng)求以某種方式指示��,關(guān)于如所接收的請(qǐng)求內(nèi)所指示的具體類型的驗(yàn)證上下文�,正請(qǐng)求更新當(dāng)前證書。驗(yàn)證代理服務(wù)器從到來(lái)的請(qǐng)求中提取所指示的驗(yàn)證上下文(步驟1004)����,并使用所指示的驗(yàn)證上下文來(lái)執(zhí)行查找操作以獲得已經(jīng)與驗(yàn)證上下文相關(guān)聯(lián)的驗(yàn)證操作(步驟1006);使用諸如圖6所示的表格的可配置表格或其他數(shù)據(jù)存儲(chǔ)來(lái)執(zhí)行查找操作����。如從查找操作所確定的��,仍然包含用戶的當(dāng)前證書的驗(yàn)證請(qǐng)求被轉(zhuǎn)發(fā)或被發(fā)送到適當(dāng)?shù)暮蠖蓑?yàn)證服務(wù)器(步驟1008)���。如果需要��,驗(yàn)證服務(wù)器與用戶交互���,以獲得附加信息或完成關(guān)于用戶的所請(qǐng)求的-驗(yàn)-〖正操作(步驟1010)。驗(yàn)證服務(wù)器生成更新后的用戶證書(步驟1012),其以某種方式被提供給或發(fā)送到驗(yàn)證代理服務(wù)器�。驗(yàn)證代理服務(wù)器向發(fā)出請(qǐng)求的會(huì)話管理服務(wù)器發(fā)送更新后的用戶證書作為消息內(nèi)的驗(yàn)證響應(yīng)(步驟1014)���,從而終止處理��。發(fā)出請(qǐng)求的會(huì)話管理服務(wù)器的URI可以是由驗(yàn)證代理服務(wù)器從適當(dāng)?shù)臄?shù)據(jù)存儲(chǔ)中檢索的可配置的值���,例如圖6所示。現(xiàn)在參考圖11����,流程圖繪出了根據(jù)本發(fā)明的實(shí)施例的處理��,通過(guò)該處理�,會(huì)話管理服務(wù)器完成驗(yàn)證操作����。當(dāng)已經(jīng)發(fā)起驗(yàn)證操作的會(huì)話管理服務(wù)器4妄收到對(duì)于其請(qǐng)求的響應(yīng)時(shí),處理開始(步驟1102)�,并且從該響應(yīng)中提取更新后的用戶證書(步驟1104),并將更新后的用戶證書緩存用于隨后使用(步驟1106)。然后例如從用戶的會(huì)話信息中檢索訪問(wèn)受保護(hù)資源的用戶原始請(qǐng)求���,并以適當(dāng)?shù)姆绞綄⑵浒l(fā)送到受保護(hù)資源(步驟1108),從而終止處理����。該請(qǐng)求可以附有用戶的更新后的證書��,其指示如由受保護(hù)資源所要求的適當(dāng)?shù)尿?yàn)證上下文��,或者用戶的更新后的證書仍然可用于當(dāng)需要時(shí)由下游實(shí)體檢索��?���?紤]到以上提供的本發(fā)明的詳細(xì)描述�����,本發(fā)明的優(yōu)點(diǎn)顯而易見(jiàn)��。受保護(hù)資源可以要求用戶已經(jīng)獲得如由與受保護(hù)資源的URI相關(guān)聯(lián)的可配置的驗(yàn)證上下文指示符所指示的特定驗(yàn)證上下文內(nèi)的驗(yàn)證證書�����。當(dāng)接收到訪問(wèn)受^f呆護(hù)資源的請(qǐng)求時(shí)��,將所請(qǐng)求的受保護(hù)資源所需的驗(yàn)證上下文與例如用戶證書內(nèi)所指示的��、其中或?qū)τ谄渖捎脩糇C書的驗(yàn)證上下文相比較����。如果用戶在該驗(yàn)證上下文內(nèi)還沒(méi)有被驗(yàn)證�����,即����,如果用戶的證書沒(méi)有指示適當(dāng)?shù)尿?yàn)證上下文��,則本發(fā)明使用適合于受保護(hù)資源所要求的驗(yàn)證上下文的驗(yàn)證操作來(lái)觸發(fā)用戶的再驗(yàn)證。本發(fā)明允許系統(tǒng)管理員通過(guò)在單一的驗(yàn)證代理服務(wù)器后面布置驗(yàn)證操作或服務(wù)器���,來(lái)有效地?cái)U(kuò)展可用于數(shù)據(jù)處理系統(tǒng)內(nèi)使用的驗(yàn)證操作����。因此����,通過(guò)指定單的配置。然后�,由會(huì)話管理服務(wù)器等同地對(duì)待需要驗(yàn)證的所有到來(lái)的請(qǐng)求。會(huì)話管理服務(wù)器保持預(yù)先存在的用戶會(huì)話�����,更新后的證書變得與預(yù)先存在的用戶會(huì)話關(guān)聯(lián)��,而不建立更新后的證書的新會(huì)話����。重要的是,注意��,盡管在具有充分功能的數(shù)據(jù)處理系統(tǒng)的上下文中描述了本發(fā)明��,但是本領(lǐng)域普通技術(shù)人員將認(rèn)識(shí)到,能夠以計(jì)算機(jī)可讀介質(zhì)中的指令的形式和各種其他形式來(lái)分配本發(fā)明的處理�����,無(wú)論實(shí)際用于實(shí)行分配的承載介質(zhì)的具體類型���。計(jì)算機(jī)可讀介質(zhì)的例子包括諸如EPROM�����、ROM�����、磁帶���、紙張、軟盤�����、硬盤驅(qū)動(dòng)�����、RAM和CD-ROM的介質(zhì)���、以及諸如數(shù)字和模擬通信鏈接的傳輸型介質(zhì)����。一般將方法構(gòu)思為通向所希望的結(jié)果的前后一致的步驟的序列�����。這些步驟要求對(duì)物理量的物理操縱����。一般而言,盡管不是必須的��,這些量采取能夠被存儲(chǔ)���、傳送����、組合��、比較或操縱的電或磁信號(hào)的形式�����。有時(shí),主要由于一般使用的原因����,將這些信號(hào)稱作位、值�、參數(shù)、項(xiàng)���、元件��、對(duì)象�、符號(hào)��、字符���、術(shù)語(yǔ)����、數(shù)字等很方便�����。然而,應(yīng)當(dāng)注意����,所有這些術(shù)語(yǔ)和類似的術(shù)語(yǔ)都與適當(dāng)?shù)奈锢砹坑嘘P(guān)�����,并且僅是方便應(yīng)用于這些量的標(biāo)簽�����。出于說(shuō)明的目的已經(jīng)給出了本發(fā)明的描述����,但是不意要詳盡或限制本發(fā)明于所公開的實(shí)施例。對(duì)于本領(lǐng)域普通技術(shù)人員而言�����,很多修改和變更將是顯然的�。選擇實(shí)施例以說(shuō)明本發(fā)明的原理及其實(shí)際應(yīng)用,以及以使本4頁(yè)i或普通技術(shù)人員能夠理解本發(fā)明以便用可能適合于其他預(yù)期使用的各種修改來(lái)實(shí)現(xiàn)各種實(shí)施例���。權(quán)利要求1.一種用于在數(shù)據(jù)處理系統(tǒng)內(nèi)管理用戶的驗(yàn)證證書的計(jì)算機(jī)實(shí)現(xiàn)的方法���,該方法包括在會(huì)話管理服務(wù)器處從客戶端接收代表用戶訪問(wèn)受保護(hù)資源的請(qǐng)求��,其中所述會(huì)話管理服務(wù)器執(zhí)行對(duì)于包括所述受保護(hù)資源的域的����、關(guān)于用戶的會(huì)話管理��,并且其中對(duì)所述受保護(hù)資源的訪問(wèn)需要已經(jīng)為第一類驗(yàn)證上下文而生成的驗(yàn)證證書����;響應(yīng)于所述會(huì)話管理服務(wù)器確定所述用戶的驗(yàn)證證書指示已經(jīng)為第二類驗(yàn)證上下文生成了驗(yàn)證證書,將第一消息從所述會(huì)話管理服務(wù)器發(fā)送到驗(yàn)證代理服務(wù)器�����,其中�����,所述第一消息包含所述用戶的驗(yàn)證證書和用于所述第一類驗(yàn)證上下文的指示符�����;以及在所述會(huì)話管理服務(wù)器處從所述驗(yàn)證代理服務(wù)器接收第二消息,其中所述第二消息包含用戶的更新后的驗(yàn)證證書�,并且其中,所述更新后的驗(yàn)證證書指示已經(jīng)為所述第一類驗(yàn)證上下文生成了所述更新后的驗(yàn)證證書��。2.如權(quán)利要求l所述的方法����,還包括用戶建立新的會(huì)話�����。3.如f又利要求1所述的方法����,還包括在接收到所述更新后的驗(yàn)證證書后,從所述會(huì)話管理服務(wù)器發(fā)送所述代表用戶訪問(wèn)所述受保護(hù)資源的請(qǐng)求���。4.如權(quán)利要求l所述的方法����,還包括由所述會(huì)話管理服務(wù)器從所述要訪問(wèn)受保護(hù)資源的請(qǐng)求中提取所述受保護(hù)資源的統(tǒng)一資源標(biāo)識(shí)符(URI);以及基于所提取的URI執(zhí)行查找操作�����,以獲得所述第一類驗(yàn)證上下文。5.如權(quán)利要求1所述的方法�����,還包括由所述會(huì)話管理服務(wù)器從可配置的信息中檢索所述驗(yàn)證代理服務(wù)器的URI;以及對(duì)于來(lái)自所述會(huì)話管理服務(wù)器的每個(gè)請(qǐng)求�,使用所檢索的所述驗(yàn)證代理服務(wù)器的URI來(lái)獲得更新后的證書。6.如權(quán)利要求l所述的方法��,還包括由所述驗(yàn)證代理服務(wù)器從可配置的信息中檢索所述會(huì)話管理服務(wù)器的URI;以及對(duì)于來(lái)自所述驗(yàn)證代理服務(wù)器的每個(gè)響應(yīng)�����,使用所檢索的所述會(huì)話管理服務(wù)器的URI來(lái)返回更新后的證書���。7.如權(quán)利要求1所述的方法�����,還包括由所述驗(yàn)證代理服務(wù)器從所述第一消息提取用于所述第一類驗(yàn)證上下文的指示符��;以及基于所提取的用于所述第一類驗(yàn)證上下文的指示符執(zhí)行查找操作以確定要采用的驗(yàn)證方法����,來(lái)更新所述用戶的驗(yàn)證證書��。8.如權(quán)利要求7所述的方法,還包括由所述驗(yàn)證代理服務(wù)器將所述驗(yàn)證證書發(fā)送到所確定的驗(yàn)證方法�����。9.一種在計(jì)算機(jī)可讀介質(zhì)上的用于在數(shù)據(jù)處理系統(tǒng)內(nèi)^f吏用以管理用戶的驗(yàn)證證書的計(jì)算機(jī)程序制品��,該計(jì)算機(jī)程序制品包括用于在會(huì)話管理服務(wù)器處從客戶端接收代表用戶訪問(wèn)受保護(hù)資源的請(qǐng)求的部件���,其中所述會(huì)話管理服務(wù)器執(zhí)行對(duì)于包括所述受保護(hù)資源的域的��、關(guān)于用戶的會(huì)話管理,并且其中對(duì)所述受保護(hù)資源的訪問(wèn)需要已經(jīng)為第一類驗(yàn)證上下文而生成的驗(yàn)證證書����;用于響應(yīng)于所述會(huì)話管理服務(wù)器確定所述用戶的驗(yàn)證證書指示已經(jīng)為第二類驗(yàn)證上下文生成了驗(yàn)證證書、將第一消息從所述會(huì)話管理服務(wù)器發(fā)送到驗(yàn)證代理服務(wù)器的部件�����,其中���,所述第一消息包含所述用戶的驗(yàn)證證書和用于所述第一類驗(yàn)證上下文的指示符�;以及用于在所述會(huì)話管理服務(wù)器處從所述驗(yàn)證代理服務(wù)器接收第二消息的部件����,其中所述第二消息包含用戶的更新后的驗(yàn)證證書����,并且其中���,所述更新后的驗(yàn)證證書指示已經(jīng)為所述第一類驗(yàn)證上下文生成了所述更新后的驗(yàn)證證書�����。10.如權(quán)利要求9所述的計(jì)算機(jī)程序制品��,還包括為用戶建立新的會(huì)話的部件�。11.如權(quán)利要求9所述的計(jì)算機(jī)程序制品����,還包括用于在接收到所述更新后的驗(yàn)證證書后、從所述會(huì)話管理服務(wù)器發(fā)送所述代表用戶訪問(wèn)所述受保護(hù)資源請(qǐng)求的部件��。12.如權(quán)利要求9所述的計(jì)算機(jī)程序制品����,還包括用于由所述會(huì)話管理服務(wù)器從所述要訪問(wèn)受保護(hù)資源的請(qǐng)求中提取所述受保護(hù)資源的統(tǒng)一資源標(biāo)識(shí)符(URI)的部件;以及用于基于所提取的URI執(zhí)行查找搡作以獲得所述第一類驗(yàn)證上下文的部件�。13.如權(quán)利要求9所述的計(jì)算機(jī)程序制品�����,還包括用于由所述會(huì)話管理服務(wù)器從可配置的信息中檢索所述驗(yàn)證代理服務(wù)器的URI的部件����;以及用于對(duì)于來(lái)自所述會(huì)話管理服務(wù)器的每個(gè)請(qǐng)求使用所檢索的所述驗(yàn)證代理服務(wù)器的URI來(lái)獲得更新后的證書的部件����。14.如權(quán)利要求9所述的計(jì)算機(jī)程序制品,還包括用于由所述驗(yàn)證代理服務(wù)器從可配置的信息中檢索所述會(huì)話管理服務(wù)器的URI的部件���;以及理服務(wù)器的URI來(lái)返回更新后的證書的部件����。15.如權(quán)利要求9所述的計(jì)算機(jī)程序制品�,還包括用于由所述驗(yàn)證代理服務(wù)器從所述第一消息提取用于所述第一類驗(yàn)證上下文的指示符的部件��;以及用于基于所提取的所述第一類驗(yàn)證上下文的指示符執(zhí)行查找操作以確定要采用的驗(yàn)證方法來(lái)更新所述用戶的驗(yàn)證證書的部件�。16.如權(quán)利要求15所述的計(jì)算機(jī)程序制品,還包括用于由所述驗(yàn)證代理服務(wù)器將所述驗(yàn)證證書發(fā)送到所確定的驗(yàn)證方法的部件�。17.—種用于在數(shù)據(jù)處理系統(tǒng)內(nèi)管理用戶的驗(yàn)證證書的裝置,該裝置包括用于在會(huì)話管理服務(wù)器處從客戶端接收代表用戶訪問(wèn)受保護(hù)資源的請(qǐng)求的部件���,其中所述會(huì)話管理服務(wù)器執(zhí)行對(duì)于包括所述受保護(hù)資源的域的�����、關(guān)于用戶的會(huì)話管理�,并且其中對(duì)所述受保護(hù)資源的訪問(wèn)需要已經(jīng)為第一類驗(yàn)證上下文而生成的驗(yàn)證證書;用于響應(yīng)于所述會(huì)話管理服務(wù)器確定所述用戶的驗(yàn)證證書指示已經(jīng)為第二類驗(yàn)證上下文生成了驗(yàn)證證書���、將第一消息從所述會(huì)話管理服務(wù)器發(fā)送到驗(yàn)證代理服務(wù)器的部件����,其中�,所述第一消息包含所述用戶的驗(yàn)證證書和用于所述第一類驗(yàn)證上下文的指示符;以及用于在所述會(huì)話管理服務(wù)器處從所述驗(yàn)證代理服務(wù)器接收第二消息的部件����,其中所述第二消息包含用戶的更新后的驗(yàn)證證書,并且其中�,所述更新后的驗(yàn)證證書指示已經(jīng)為所述第一類驗(yàn)證上下文生成了所述更新后的驗(yàn)證證書。18.如權(quán)利要求17所述的裝置�����,還包括為用戶建立新的會(huì)話的部件���。19.如權(quán)利要求17所述的裝置��,還包括用于在接收到所述更新后的驗(yàn)證證書后�、從所述會(huì)話管理服務(wù)器發(fā)送所述代表用戶訪問(wèn)所述受保護(hù)資源請(qǐng)求的部件。20.如權(quán)利要求17所述的裝置����,還包括用于由所述會(huì)話管理服務(wù)器從所述要訪問(wèn)受保護(hù)資源的請(qǐng)求中提取所述受保護(hù)資源的統(tǒng)一資源標(biāo)識(shí)符(URI)的部件;以及用于基于所提取的URI執(zhí)行查找操作以獲得所述第一類驗(yàn)證上下文的部全文摘要給出了用于管理用戶的驗(yàn)證證書的方法����。會(huì)話管理服務(wù)器對(duì)于包括受保護(hù)資源的域?qū)τ脩魣?zhí)行會(huì)話管理。會(huì)話管理服務(wù)器接收要訪問(wèn)受保護(hù)資源的請(qǐng)求����,該受保護(hù)資源要求已經(jīng)對(duì)于第一類驗(yàn)證上下文而生成的驗(yàn)證證書。響應(yīng)于確定已經(jīng)對(duì)于第二類驗(yàn)證上下文生成了用戶的驗(yàn)證證書��,會(huì)話管理服務(wù)器向驗(yàn)證代理服務(wù)器發(fā)送包含了用戶的驗(yàn)證證書和用于第一類驗(yàn)證上下文的指示符����。會(huì)話管理服務(wù)器隨后接收第二消息���,該第二消息包含指示已經(jīng)用于對(duì)于第一類驗(yàn)證上下文生成了用戶的更新后的驗(yàn)證證書�����。文檔編號(hào)H04L29/06GK101331735SQ200680047306公開日2008年12月24日申請(qǐng)日期2006年12月13日優(yōu)先權(quán)日2005年12月16日發(fā)明者安東尼·S·莫蘭,希瑟·M·欣頓,本杰明·B·哈蒙申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司