CN101090319B - 控制装置、通信系统及存储有控制程序的计算机可读介质 - Google Patents
控制装置、通信系统及存储有控制程序的计算机可读介质 Download PDFInfo
- Publication number
- CN101090319B CN101090319B CN200710006922.3A CN200710006922A CN101090319B CN 101090319 B CN101090319 B CN 101090319B CN 200710006922 A CN200710006922 A CN 200710006922A CN 101090319 B CN101090319 B CN 101090319B
- Authority
- CN
- China
- Prior art keywords
- authentication
- unit
- information
- finished
- browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了控制装置、通信系统及存储有控制程序的计算机可读介质。该控制装置用于控制在访问资源时执行的认证处理,该控制装置包括:确定单元,其确定来自浏览器的对所述资源的请求是否给出了表示已进行了认证的信息;验证单元,当所述确定单元确定没有给出表示已进行了认证的信息时,该验证单元验证是否进行了认证;发布单元,当所述验证单元验证出已进行了认证时,该发布单元向所述浏览器发出表示已进行了认证的信息;以及中继单元,当给出了表示已进行了认证的所述信息时,该中继单元在所述浏览器与所述资源之间中继数据通信。
Description
技术领域
本发明涉及一种控制装置、通信系统及存储控制程序的计算机可读记录介质。
背景技术
已提出一种SSO(单点登录)系统,该系统允许曾被认证的用户使用经认证的用户可用的全部功能。该系统例如可通过日本特开2005-267529号公报中描述的构成来实现。根据该现有技术,用户可免除重复获得认证(获得认证以访问一台服务器并再次获得认证以访问另一台服务器)的烦琐工作。
当网络系统由学校或公司运营时,通过在内部网络与外部网络(例如,因特网)之间的边界上设置代理服务器,使得代理服务器代表计算机执行与外部网络的连接,可以增强系统安全性。该代理服务器用于从内部网络使用外部网络上的服务器,并且有时特别地被称为“转发代理”。
与用于中继从内部网络到外部网络的连接的转发代理形成对比,反向代理中继从外部网络到内部网络的连接。对反向代理的使用不限于从外部网络到内部网络的连接,而是通常将反向代理用在单个网络内。
SSO系统包括反向代理型SSO系统,其中安排反向代理来管理并检查来自外部网络的所有连接。在该类型系统中,反向代理一接收到从网络浏览器到网络服务器的所有请求,就将其传送给网络服务器。因此,所有请求都经过反向代理,这可能造成瓶颈,导致处理速度和可用性的降低。
在该反向代理型SSO系统中,当从浏览器观察时,所有内容似乎都位于反向代理中。如果在内容(例如由HTML(超文本标记语言)、样式表(CSS)、客户机侧脚本语言(JavaScript(注册商标))、VB Script等构成)中设置一链接,则每当所链接的URL改变时都请求反向代理重写内容。这些内容大多由用户手工创建,或当访问服务器时由程序自动创建。因此,无法保证这些内容在语法上总是正确的。实际上,它们经常包含语法错误。
语法上的任何错误都将使得难以重写内容。因此,有时在服务器侧要求采取诸如语法检查的预防措施。这是利用常规的SSO系统难以提供期望服务的原因之一。
除上述的反向代理型SSO系统之外,还提出了一种代办(agent)型SSO系统,其中在网络服务器中并有认证模块,使得在请求到达网络应用程序之前执行认证。在网络服务器中并入认证模块导致依赖于网络服务器的平台或类型。在一些情况下,必须在网络服务器侧进行大量的修改。
此外,在被称为“代办型反向代理SSO”类型的SSO系统的情况下,每个网络服务器都要求虚拟服务器,这增加了消耗的IP(网际协议)地址的数量。
鉴于上述问题做出了本发明。本发明的目的是提供一种通信系统、记录有控制程序的记录介质以及嵌入在载波中的计算机数据信号,其被设计为消除对平台的依赖性或使得不必重写内容、同时提高性能。
发明内容
本发明的第一方面提供了一种控制装置,该控制装置用于控制在访问资源时执行的认证处理,该控制装置包括:确定单元,其用于确定来自浏览器的对所述资源的请求是否给出了表示已进行了认证的信息;验证单元,其用于当所述确定单元确定没有给出表示进行了认证的信息时,验证是否进行了认证;发布单元,当所述验证单元验证出已进行了认证时,该发布单元向所述浏览器发出表示已进行了认证的信息;以及中继单元,当给出了表示已进行了认证的信息时,该中继单元在所述浏览器与所述资源之间中继数据通信。
本发明的第二方面是根据第一方面的控制装置,其中,所述验证单元基于对通过通信单元连接的特定终端的查询,验证是否进行了认证。
本发明的第三单元是根据第二方面的控制装置,其中,当未能验证出已进行了认证时,将来自所述浏览器的请求重定向到所述特定终端以执行认证。
本发明的第四方面是根据第一方面的控制装置,该控制装置还包括在数据通信之前授权对所述资源进行访问的授权单元。
本发明的第五方面是根据第四方面的控制装置,其中,所述授权单元基于对通过通信单元连接的特定终端的查询来执行授权。
本发明的第六方面是根据第一方面的控制装置,该控制装置还包括日志输出单元,该日志输出单元将日志输出到其他终端。
本发明的第七方面提供了一种具有通过通信单元彼此连接的第一终端和第二终端的通信系统,其中:所述第一终端包括:认证单元,其基于认证信息执行认证;和第一授权单元,其基于授权信息授权对资源进行访问,并且,所述第二终端包括:存储器,其存储所述资源;确定单元,其确定来自浏览器的对所述资源的请求是否给出表示已进行了认证的信息;验证单元,当所述确定单元确定没有给出表示已进行了认证的信息时,该验证单元验证是否进行了认证;发布单元,当所述验证单元验证出已进行了认证时,该发布单元向所述浏览器发出表示已进行了认证的信息;第二授权单元,当给出表示已进行了认证的信息时,该第二授权单元基于对所述第一授权单元的查询来授权对所述资源进行访问;以及中继单元,当给出表示已进行了认证的信息时,该中继单元在所述浏览器与所述资源之间中继数据通信。
本发明的第八方面提供了一种存储有控制程序的计算机可读记录介质,该控制程序使得与资源布置在相同终端上的计算机执行在访问所述资源时执行的认证处理,该处理包括以下步骤:确定来自浏览器的对所述资源的请求是否给出表示已进行了认证的信息;当确定所述请求没有给出表示已进行了认证的信息时,验证是否已进行了认证;当验证出已进行了认证时,向所述浏览器发出表示已进行了认证的信息;以及,当确定所述请求给出表示已进行了认证的信息时,在所述浏览器与所述资源之间中继数据通信。
本发明的第九方面提供了一种存储有控制程序的计算机可读记录介质,该控制程序使得计算机执行在访问资源时执行的认证处理,该处理包括以下步骤:确定来自浏览器的对所述资源的请求是否给出表示已进行了认证的信息;当确定所述请求没有给出表示已进行了认证的信息时,验证是否已进行了认证;当验证出已进行了认证时,向所述浏览器发出表示已进行了认证的信息;以及,当确定所述请求给出表示已进行了认证的信息时,通过名称服务器在所述浏览器与所述资源之间中继数据通信。
根据本发明的一方面,不同于反向代理型的情形,不会造成瓶颈,因此可提高性能。
根据本发明的另一方面,消除了对平台的依赖性和重写内容的必要性,并且在参与SSO系统的服务器终端侧无需采取措施。因此,在SSO系统中可包含任何期望的服务。
此外,根据本发明的另一方面,消除了重写内容的必要性,因此,性能将不会劣化。
附图说明
将基于下列附图详细描述本发明的实施例,附图中:
图1是表示根据本发明的通信系统的配置的示例的框图;
图2是用于说明图1中所示的服务提供服务器20的一部分功能配置的说明图;
图3是表示图1和图2中所示的通信系统的操作的示例的流程图;
图4是例示图3中步骤S103的认证处理的第一操作的顺序图;
图5是例示图3中步骤S103的认证处理的第二操作的顺序图;
图6是例示图3中步骤S104的授权处理的操作的顺序图;以及
图7是表示根据本发明的通信系统的变型例的示例的图。
具体实施方式
将参照附图详细描述根据本发明的控制装置、通信系统以及存储控制程序的计算机可读记录介质的实施例。
图1是表示根据本发明的通信系统的配置的示例的框图。
在该通信系统中,一个或多个客户机终端10、一个或多个服务提供服务器20、SSO信息服务器30和日志服务器40通过由LAN(局域网)或WAN(广域网)形成的网络50相连接。在该通信系统中,在SSO信息服务器30的认证单元33和服务提供服务器20的SSO模块21的控制下执行SSO系统。具体地说,网络浏览器11、SSO模块21以及认证单元33协同操作,使得一旦用户经认证单元33认证,此后就允许该用户访问任何期望的服务提供服务器20,而无需进行认证。应该理解的是,这里所示的通信系统的网络构成仅是一个示例,各种其他网络终端都可连接在网络50上。
客户机终端10具有作为用于浏览HTML内容等的应用程序的网络浏览器11。通过使用网络浏览器11来执行与服务提供服务器20等的数据通信。
SSO信息服务器30具有用于存储并管理认证信息31a的认证信息管理单元31,以及用于存储并管理授权信息32a的授权信息管理单元32。SSO信息服务器30还具有基于认证信息31a执行认证的认证单元33,和基于授权信息32a执行授权的授权单元34。
服务提供服务器20具有网络服务器22,该网络服务器22用于保持诸如HTML内容和图像的各种信息以及诸如网络应用程序等的资源。服务提供服务器20响应于通过网络浏览器11从客户机终端10发送的HTTP(超文本传输协议)请求(下文中有时简写为“请求”)而提供信息等。
网络服务器22不直接接收来自网络浏览器11的请求,而总是通过SSO模块21接收请求。也通过SSO模块21将网络服务器22对请求的响应返回到网络浏览器11。这意味着客户机终端10与网络服务器22之间的所有数据通信都是通过SSO模块21来执行的。由于SSO模块21和网络服务器放置在同一服务器中,所以没有必要重写内容。
SSO模块21与SSO信息服务器30协同操作,以执行认证和授权,并且将表示处理结果的日志输出到日志服务器40。通过日志服务器40中的日志管理单元41来存储并管理输出到日志服务器40的日志。
日志服务器40管理从服务提供服务器20发送的所有日志41a,这确保用户在维护以及防护方面的高可用性。此外,由于与SSO模块21分开地来管理日志,所以即使未经授权的入侵者访问了具有SSO模块21的服务器,也可以降低日志被该入侵者删除或篡改以消除入侵证据的风险。日志服务器40可设置有篡改-检测的检测功能。代替单个日志服务器,可布置多个日志服务器40。在该情形下,可用性和防篡改性有望提高。
参照图2,将描述图1中所示的服务提供服务器20的一部分功能配置。
服务提供服务器20在功能上由两个主要组件构成:SSO模块21和网络服务器22。SSO模块21其中包括各种处理单元,即网络通信单元61、控制单元62、认证单元63、授权单元64、日志输出单元65以及网络服务器通信单元66。
网络通信单元61用于与网络50上的终端进行通信。具体来说,网络通信单元61从网络50接收对网络服务器22的请求,并且将该请求中继到网络服务器22。
控制单元62整体控制SSO模块21的操作。这意味着形成SSO模块21的所有功能单元都根据来自控制单元62的指令进行操作。控制单元62还控制SSO模块21的功能单元间的数据的输入/输出。
认证单元63与SSO信息服务器30的认证单元33协同操作,以执行认证处理。稍后将参照图4和图5详细描述通过认证单元63进行的认证处理的详情。
授权单元64具有确定是否授权访问由经认证用户指定的资源的功能。该授权确定是基于对SSO信息服务器30的查询来执行的。该授权可通过常规方法来执行。例如,可通过参照请求所表示的主机、路径或扩展名来识别资源。可对授权结果进行缓存,以防止与SSO信息服务器30的通信出现瓶颈。稍后将参照图6来描述通过授权单元64进行的授权处理。
日志输出单元65具有生成并输出表示SSO模块21执行的处理(特别是认证和授权处理)的内容的日志的功能。日志输出单元65可被设计为还生成并输出与和网络服务器22的数据通信有关的日志。由日志输出单元65生成并输出的日志不限于那些与认证和授权有关的日志,而是可以与各种其他项目有关。
网络服务器通信单元66用于与网络服务器22通信。这意味着网络服务器通信单元66将来自网络浏览器11的请求等传送到网络服务器22。当传送请求时,网络服务器通信单元66还将包括了Cookie的HTTP请求头中并有的用户标识信息给予网络服务器22。可将消息认证符或数字签名添加到HTTP请求头以保证该头不是伪造的。可将网络服务器22设置为只接受本地请求而不接受来自除网络服务器通信单元66之外的任何其他源的数据通信。以该方式,可避免绕过SSO模块21直接访问网络服务器22的风险或通过IP欺骗攻击等由除SSO模块21之外的源来访问网络服务器22的风险。
参照图3,现在将描述图1和图2所示的通信系统的操作。这里将描述当服务提供服务器20已接受来自网络浏览器11的HTTP请求时的操作。
当SSO模块21的网络通信单元61已接受来自网络浏览器11的HTTP请求时(步骤S101中的“是”),处理开始。在处理开始后,认证单元63确定请求源的用户以前是否经过认证。通过查询SSO信息服务器30或通过参照Cookie来执行关于用户是否经过认证的确定。
如果确定用户未经认证(步骤S102中的“否”),则执行认证处理(步骤S103)。如果确定用户经过认证(步骤S102中的“是”),则授权单元64执行授权处理来确定是否授权用户访问资源(步骤S104)。稍后将详细描述步骤S103中的认证处理和步骤S104中的授权处理。
作为授权处理的结果,如果确定用户不具有访问该资源的权限(步骤S105中的“否”),则例如通过告知用户他/她不具有访问权限而终止该处理。如果确定用户具有访问权限(步骤S105中的“是”),则SSO模块21的网络服务器通信单元66将来自网络浏览器11的请求传送到网络服务器22(步骤S106)。
在接收到传送的请求后,网络服务器22响应于该请求执行网络应用程序等,并将执行的结果返回给网络服务器通信单元66(步骤S107)。接收到该响应后,网络服务器通信单元66将该响应传送给网络通信单元61,网络通信单元61继而将其传送到网络浏览器11(步骤S108)。从而终止该处理。
参照图4,将描述图3的步骤S103中的认证处理的流程。图4是例示图1和图2中所示的通信系统所执行的认证处理的流程的示例的顺序图。这里将描述认证用户之前的处理的流程。
接收到来自网络浏览器11的HTTP请求(步骤S201)后,SSO模块21的认证单元63首先确定在SSO模块21与作为请求源的网络浏览器11之间是否存在会话。由于这里假定这是第一次访问,所以不存在会话(步骤S202)。因此,认证单元63指示网络浏览器11重定向到SSO信息服务器30(步骤S203)。同时,网路浏览器11接收要重定向到的SSO信息服务器30的URL以及包含要返回到的服务提供服务器20的URL的信息。
根据重定向,网络浏览器11自动访问SSO信息服务器30(步骤S204)。由于通过重定向来自动执行对SSO信息服务器30的该访问,所以不要求用户执行任何特定操作。
在接收到来自网络浏览器11的请求后,由于SSO信息服务器30与网络浏览器11之间不存在会话(步骤S205),所以SSO信息服务器30生成新会话,并发送认证画面到网络浏览器11(步骤S206)。由认证单元33来执行对认证画面的发送。该认证画面具有用于输入诸如帐户信息和密码的认证信息的输入字段。
当在网络浏览器11上显示认证画面并且用户在该画面上输入了认证信息时(步骤S207),将所输入的认证信息从网络浏览器11发送到SSO信息服务器30(步骤S208)。SSO信息服务器30的认证单元33然后执行对用户的认证(步骤S209)。基于如此接收到的认证信息和由认证信息管理单元31管理的认证信息31a来执行认证。
如果该认证确定认证信息无效,则将表示认证失败的响应给予网络浏览器11,从而提示用户重试认证或终止该处理。如果该认证成功,则向网络浏览器11发出针对SSO信息服务器30的第一认证许可证(Cookie)(步骤S210)。仅对于SSO信息服务器30提供该第一认证许可证,该第一认证许可证对于使用SSO模块21是无效的。
在该响应中,指定了服务提供服务器20的URL,并指示了到服务提供服务器20的重定向(步骤S211)。这是因为用户原本希望访问服务提供服务器20。
该重定向使得网络浏览器11自动地访问服务提供服务器20(步骤S212)。SSO模块21的认证单元63确定在SSO模块21与作为请求源的网络浏览器11之间是否存在会话。因为在该情况下由于在步骤S201中的访问故而存在会话,所以确定存在会话(步骤S213)。
如果存在会话,则认证单元63向SSO信息服务器30的认证单元33查询有关用户的认证状态(步骤S214)。如果对该查询的响应是用户经过了认证(步骤S215),则接收响应的认证单元63向网络浏览器11发出只针对SSO模块21有效的第二认证许可证(步骤S216)。从而完成对SSO模块21的认证。在第二次访问以及随后的访问时,网络浏览器11只需给出该第二认证许可证,并且不必再次被认证。
一旦完成了认证处理,SSO模块21的日志输出单元65就向日志服务器40发送表示如上所述的由SSO模块21执行的认证处理的结果的日志(步骤S217)。尽管在图4中在完成认证处理后向日志服务器40发送日志,但也可在认证处理过程中的任意时刻发送日志。
参照图5,将描述图3的步骤S 103中的认证处理的流程。图5是例示图1和图2中所示的通信系统所执行的认证处理的流程的示例的顺序图。图5中所示的顺序与图4中的顺序的不同之处在于,在图5中在网络浏览器11与SSO信息服务器30之间存在会话,而在图4中不存在会话(图4中的步骤S205和图5中的步骤S305)。这意味着图5例示了当经认证的用户(该用户曾使用过服务提供服务器20)访问不具有会话的另一服务提供服务器20时的处理的流程。
接收到来自网络浏览器11的HTTP请求(步骤S301)后,SSO模块21的认证单元63首先确定在SSO模块21与作为请求源的网络浏览器11之间是否存在会话。由于这是对SSO模块21的首次访问,所以不存在会话(步骤S302)。因此,认证单元63指示网络浏览器11重定向到SSO信息服务器30(步骤S303)。同时,网络浏览器11接收要重定向到的SSO信息服务器30的URL以及包含要返回到的服务提供服务器20的URL的信息。
根据重定向,网络浏览器11自动访问SSO信息服务器30(步骤S304)。由于通过重定向自动执行对SSO信息服务器30的该访问,所以不要求用户执行任何特定操作。
由于网络浏览器11与SSO信息服务器30之间存在会话(步骤S305),并且已经认证了该用户,所以网络浏览器11将第一认证许可证提供给SSO信息服务器30。通过网络浏览器11提供的第一认证许可证,使得SSO信息服务器30可以识别出用户经过了认证并不需要对用户的进一步认证。SSO信息服务器30指示网络浏览器11重定向到服务提供服务器20(步骤S306)。
根据重定向,网络浏览器11自动地访问服务提供服务器20(步骤S307)。SSO模块21的认证单元63确定在SSO模块21与作为请求源的网络浏览器11之间是否存在会话。因为由于在步骤S301中的访问故而存在会话,所以确定存在会话(步骤S308)。
如果存在会话,则认证单元63向SSO信息服务器30的认证单元33查询有关用户的认证状态(步骤S309)。如果对该查询的响应是用户经过了认证(步骤S310),则接收响应的认证单元63向网络浏览器11发出只针对SSO模块21有效的第二认证许可证(步骤S311)。从而完成对SSO模块21的认证。在第二次访问以及随后的访问时,网络浏览器11只需给出该第二认证许可证,而不必再次被认证。
一旦完成了认证处理,SSO模块21的日志输出单元65就向日志服务器40发送表示如上所述的由SSO模块21执行的认证处理的结果的日志(步骤S312)。尽管在图5中在完成认证处理后向日志服务器40发送日志,但也可在认证处理过程中的任意时刻发送日志。
参照图6,将描述图3的步骤S104中的授权处理的流程。图6是例示图1和图2中所示的通信系统所执行的授权处理的流程的示例的顺序图。
接收到来自网络浏览器11的指定了资源的HTTP请求(步骤S401)后,SSO模块21的授权单元64确定是否授权用户来访问该资源。为此目的,授权单元64首先向SSO信息服务器30的授权单元34查询有关用户的访问权限(步骤S402)。同时,SSO信息服务器30接收包含用户标识信息和资源指定信息的信息。
SSO信息服务器30的授权单元34基于如此接收到的信息来执行授权处理(步骤S403)。具体来说,授权单元34基于如此接收到的用户标识信息和资源指定信息以及由授权信息管理单元32管理的授权信息32a,来确定是否授权用户访问该资源。
如果该授权处理确定用户不具有访问权限,则从SSO信息服务器30返回FALSE到SSO模块21,而如果确定用户具有访问权限,则返回TRUE(步骤S404)。在接收到此后,授权单元64基于确定的结果授权或不授权用户访问资源(步骤S405)。
在完成授权处理后,SSO模块21的日志输出单元65向日志服务器40发送表示如上所述的由SSO模块21执行的授权处理的结果的日志(步骤S406)。尽管在图6中在完成授权处理后向日志服务器40发送日志,但可在授权处理过程中的任意时刻发送日志。
尽管以本发明的优选实施例作为其代表示例描述并例示了本发明,但应理解的是,本发明不限于此,而是可以在本发明的范围内做出其他的各种实现。
例如,当使用形式认证时,不使用SSO信息服务器30的认证单元33,SSO模块21在形式认证的页面中填入帐户信息和密码。由于此时SSO模块21和网络服务器22通过本地通信相连接,所以即使在明文中传递诸如密码的敏感数据,也将不会产生安全问题。
当存在不使用SSL(安全套接层)的网络应用程序时,在针对与网络应用程序的数据通信采用HTTP的同时,通过针对客户机终端10与SSO模块21之间的数据通信采用HTTPS(安全超文本传输协议)来实现SSL中的通信。然而,这是基于如下前提的,即在网络服务器自身的控制下以相对路径书写内容路径,从而不必对URL的方案(冒号前的部分)进行重写。
SSO模块21和网络服务器22可布置在分开的机器中。这可通过与DNS(域名系统)的设置相组合来实现。例如,如图7所示,可将DNS服务器70设置为使得通过设置有SSO模块21的机器(管理服务器80)来解析要访问的网络服务器22的名称,由此避免对内容进行重写。此外,可根据DNS的设置来布置多个SSO模块21(例如,SSO模块21可布置在各子网中)。在该情况下,可避免性能中的瓶颈。
通过使用SSL作为执行相互认证的传输层,可处理甚至除HTTP之外的不具有认证功能的协议。
该通信系统可与IDS(入侵检测系统)或IPS(侵入防御系统)结合以提高安全性。
可通过SSO模块21的认证单元63执行用户认证。换言之,可将上述SSO信息服务器30的认证单元33的功能分配给SSO模块21的认证单元63。在该情况下,理想的是,按照与上述实施例中相同的方式,通过SSO信息服务器30存储并管理认证信息31a,并基于来自SSO信息服务器30的查询来执行认证。然而,显然认证信息31a可与SSO模块21布置在相同的终端上。此外,也可按照与认证单元63相同的方式来构造授权单元64。
尽管针对其中SSO模块21设置有认证单元63和授权单元64以执行认证和授权二者的示例对上述实施例进行了描述,但并不是一定要通过SSO模块21来执行授权,或者可根本不执行授权。如果执行授权的话,可针对作为一个整体的网络应用程序而不是针对各个内容来设定授权。
尽管针对其中SSO模块21设置有目志输出单元65以输出表示处理结果的日志的示例对上述实施例进行了描述,但并不是一定要输出日志,并且可以根本不输出日志。
尽管针对其中通过根据本发明的通信系统来执行处理的情况对上述实施例进行了描述,但也可由安装在计算机中的控制程序来执行处理。不仅可以通过诸如网络的通信介质来提供控制程序,而且可以通过在诸如CD-ROM的记录介质中存储控制程序来提供该控制程序。
根据本发明的控制程序和通信系统可应用于被设计为使计算机执行对资源的认证处理的所有控制程序和通信系统。
对本发明实施例的前述描述是为了例示和描述的目的而提供的。其并非旨在穷举或者将本发明限于所公开的确切形式。显然,许多修改和变型对于本领域技术人员是显而易见的。选择并描述这些实施例是为了最好地说明本发明的原理及其实际应用,从而使得本领域其他技术人员能够理解本发明的适用于所构想特定用途的各种实施例和各种变型例。旨在由所附权利要求及其等同物来限定本发明的范围。
Claims (7)
1.一种服务器,该服务器包含:控制装置,该控制装置用于控制在访问资源时执行的认证处理;以及存储器,其存储所述资源,
所述控制装置包括:
确定单元,其确定来自浏览器的对所述资源的请求是否给出了表示已完成了对所述控制装置的第二认证的信息;
验证单元,当所述确定单元确定没有给出表示已完成了所述第二认证的信息时,该验证单元确定所述浏览器与所述控制装置之间是否存在会话,当确定存在会话时,基于对通过通信单元连接的特定终端的查询来验证完成了第一认证的情况;
发布单元,当所述验证单元验证出已完成了所述第一认证时,该发布单元向所述浏览器发出表示已完成了对所述控制装置的第二认证的信息;以及
中继单元,当给出了表示已完成了所述第二认证的所述信息时,该中继单元在所述浏览器与所述资源之间中继数据通信。
2.根据权利要求1所述的服务器,其中,所述验证单元在确定不存在会话时,生成会话,并且将来自所述浏览器的请求重定向到所述特定终端以执行所述第一认证。
3.根据权利要求1所述的服务器,该服务器还包括在数据通信之前授权对所述资源进行访问的授权单元。
4.根据权利要求3所述的服务器,其中,所述授权单元基于对通过所述通信单元连接的所述特定终端的查询而执行所述授权。
5.根据权利要求1所述的服务器,该服务器还包括向其他终端输出日志的日志输出单元。
6.一种具有通过通信单元彼此连接的第一终端和第二终端的通信系统,其中:
所述第一终端包括:
认证单元,其基于认证信息而执行第一认证;和
第一授权单元,其基于授权信息授权对资源进行访问,并且
所述第二终端包括:
控制装置;以及
存储器,其存储所述资源,
所述控制装置包括:
确定单元,其确定来自浏览器的对所述资源的请求是否给出了表示已完成了对所述第二终端的第二认证的信息;
验证单元,当所述确定单元确定没有给出表示已完成了所述第二认证的信息时,该验证单元确定所述浏览器与所述控制装置之间是否存在会话,当确定存在会话时,基于对所述第一终端的询问来验证已完成了所述第一认证的情况;
发布单元,当所述验证单元验证出已完成了所述第一认证时,该发布单元向所述浏览器发出表示已完成了对所述控制装置的第二认证的信息;
第二授权单元,当给出表示了已完成了所述第二认证的所述信息时,该第二授权单元基于对所述第一授权单元的查询来授权对所述资源进行访问;以及
中继单元,当给出了表示已完成了所述第二认证的所述信息时,该中继单元在所述浏览器与所述资源之间中继数据通信。
7.一种控制在访问资源时执行的认证处理的控制装置中的控制方法,该控制方法包括以下步骤:
确定来自浏览器的对所述资源的请求是否给出了表示已完成了对所述资源的第二认证的信息;
当确定所述请求没有给出表示已完成了所述第二认证的信息时,确定所述浏览器与所述控制装置之间是否存在会话,当确定存在会话时,基于对通过通信单元连接的特定终端的查询来验证完成了第一认证的情况;
当验证出已完成了所述第一认证时,向所述浏览器发出表示已完成了对所述资源的第二认证的信息;以及
当确定所述请求给出了表示已完成了所述第二认证的所述信息时,在所述浏览器与所述资源之间中继数据通信。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006-162261 | 2006-06-12 | ||
JP2006162261 | 2006-06-12 | ||
JP2006162261A JP4867486B2 (ja) | 2006-06-12 | 2006-06-12 | 制御プログラムおよび通信システム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101090319A CN101090319A (zh) | 2007-12-19 |
CN101090319B true CN101090319B (zh) | 2013-01-02 |
Family
ID=38823238
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200710006922.3A Active CN101090319B (zh) | 2006-06-12 | 2007-01-30 | 控制装置、通信系统及存储有控制程序的计算机可读介质 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20070288634A1 (zh) |
JP (1) | JP4867486B2 (zh) |
CN (1) | CN101090319B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005080523A (ja) * | 2003-09-05 | 2005-03-31 | Sony Corp | 生体遺伝子に導入するdna、遺伝子導入ベクター、細胞、生体遺伝子への情報導入方法、情報処理装置および方法、記録媒体、並びにプログラム |
US7647404B2 (en) * | 2007-01-31 | 2010-01-12 | Edge Technologies, Inc. | Method of authentication processing during a single sign on transaction via a content transform proxy service |
US9800614B2 (en) * | 2007-05-23 | 2017-10-24 | International Business Machines Corporation | Method and system for global logoff from a web-based point of contact server |
US8627493B1 (en) * | 2008-01-08 | 2014-01-07 | Juniper Networks, Inc. | Single sign-on for network applications |
US20100043065A1 (en) * | 2008-08-12 | 2010-02-18 | International Business Machines Corporation | Single sign-on for web applications |
JP5375976B2 (ja) * | 2010-01-22 | 2013-12-25 | 富士通株式会社 | 認証方法、認証システムおよび認証プログラム |
CN102065141B (zh) * | 2010-12-27 | 2014-05-07 | 广州欢网科技有限责任公司 | 一种跨应用与浏览器实现单点登录的方法及系统 |
JP5962261B2 (ja) * | 2012-07-02 | 2016-08-03 | 富士ゼロックス株式会社 | 中継装置 |
US8769651B2 (en) * | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
JP6311214B2 (ja) * | 2013-01-30 | 2018-04-18 | 富士通株式会社 | アプリケーション認証プログラム、認証サーバ、端末およびアプリケーション認証方法 |
US9544313B2 (en) * | 2013-12-27 | 2017-01-10 | Abbott Diabetes Care Inc. | Systems, devices, and methods for authentication in an analyte monitoring environment |
US20160352731A1 (en) * | 2014-05-13 | 2016-12-01 | Hewlett Packard Enterprise Development Lp | Network access control at controller |
CN106209913B (zh) * | 2016-08-30 | 2019-07-23 | 江苏天联信息科技发展有限公司 | 数据访问方法及装置 |
CN109492375B (zh) * | 2018-11-01 | 2021-07-16 | 北京京航计算通讯研究所 | 基于java中间件集成模式的sap erp单点登录系统 |
JP2021043675A (ja) * | 2019-09-10 | 2021-03-18 | 富士通株式会社 | 制御方法、制御プログラム、情報処理装置及び情報処理システム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1430377A (zh) * | 2001-12-30 | 2003-07-16 | 华为技术有限公司 | 互联网内容付费的实现方法 |
CN1469583A (zh) * | 2002-07-16 | 2004-01-21 | 北京创原天地科技有限公司 | 因特网上不同应用系统间用户认证信息共享的方法 |
CN1625853A (zh) * | 2002-04-23 | 2005-06-08 | Sk电信有限公司 | 在公共无线局域网中具有移动性的认证系统和方法 |
CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09266475A (ja) * | 1996-03-28 | 1997-10-07 | Hitachi Ltd | アドレス情報管理装置およびネットワークシステム |
JPH11282804A (ja) * | 1998-03-31 | 1999-10-15 | Secom Joho System Kk | ユーザ認証機能付き通信システム及びユーザ認証方法 |
US7134137B2 (en) * | 2000-07-10 | 2006-11-07 | Oracle International Corporation | Providing data to applications from an access system |
US7421731B2 (en) * | 2001-02-23 | 2008-09-02 | Microsoft Corporation | Transparent authentication using an authentication server |
US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
JP2003296277A (ja) * | 2002-03-29 | 2003-10-17 | Fuji Xerox Co Ltd | ネットワーク装置、認証サーバ、ネットワークシステム、認証方法 |
AU2003239220A1 (en) * | 2002-06-10 | 2003-12-22 | Akonix Systems, Inc. | Systems and methods for a protocol gateway |
US20040002878A1 (en) * | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
JP2004112018A (ja) * | 2002-09-13 | 2004-04-08 | Johnson Controls Inc | インターネットアクセスWeb監視制御システム |
JP4305146B2 (ja) * | 2003-11-27 | 2009-07-29 | 富士ゼロックス株式会社 | 通信制御装置、アプリケーションサーバ、およびプログラム |
JP2005267529A (ja) * | 2004-03-22 | 2005-09-29 | Fujitsu Ltd | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 |
-
2006
- 2006-06-12 JP JP2006162261A patent/JP4867486B2/ja not_active Expired - Fee Related
- 2006-11-20 US US11/601,825 patent/US20070288634A1/en not_active Abandoned
-
2007
- 2007-01-30 CN CN200710006922.3A patent/CN101090319B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1430377A (zh) * | 2001-12-30 | 2003-07-16 | 华为技术有限公司 | 互联网内容付费的实现方法 |
CN1625853A (zh) * | 2002-04-23 | 2005-06-08 | Sk电信有限公司 | 在公共无线局域网中具有移动性的认证系统和方法 |
CN1469583A (zh) * | 2002-07-16 | 2004-01-21 | 北京创原天地科技有限公司 | 因特网上不同应用系统间用户认证信息共享的方法 |
CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101090319A (zh) | 2007-12-19 |
JP2007334411A (ja) | 2007-12-27 |
JP4867486B2 (ja) | 2012-02-01 |
US20070288634A1 (en) | 2007-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101090319B (zh) | 控制装置、通信系统及存储有控制程序的计算机可读介质 | |
US20240154973A1 (en) | Graduated authentication in an identity management system | |
US8181010B1 (en) | Distributed authentication user interface system | |
CN1820481B (zh) | 在客户机-服务器环境中认证客户机的系统和方法 | |
EP2005698B1 (en) | Method for providing web application security | |
US7587491B2 (en) | Method and system for enroll-thru operations and reprioritization operations in a federated environment | |
JP4882546B2 (ja) | 情報処理システムおよび制御プログラム | |
CN104954330B (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
US20110154459A1 (en) | Method and system for securing electronic transactions | |
CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
CN105229987A (zh) | 主动联合的移动认证 | |
JP2005538434A (ja) | 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム | |
JP2002523973A (ja) | コンピュータ・ネットワークにおけるサービスへの安全なアクセスを可能にするシステムおよび方法 | |
JP2004185623A (ja) | ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム | |
JP6572750B2 (ja) | 認証制御プログラム、認証制御装置、及び認証制御方法 | |
WO2014042992A2 (en) | Establishing and using credentials for a common lightweight identity | |
US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
CN109040069A (zh) | 一种云应用程序的发布方法、发布系统及访问方法 | |
CN112600674A (zh) | 一种前后端分离系统的用户安全认证方法、装置及存储介质 | |
CN108259457A (zh) | 一种web认证方法及装置 | |
Jammalamadaka et al. | Delegate: A proxy based architecture for secure website access from an untrusted machine | |
CN108462671A (zh) | 一种基于反向代理的认证保护方法及系统 | |
KR100501125B1 (ko) | 인터넷 컨텐츠의 권한 검증 시스템 및 그 방법 | |
Geihs et al. | Single sign-on in service-oriented computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: Tokyo Patentee after: Fuji film business innovation Co.,Ltd. Address before: Tokyo Patentee before: Fuji Xerox Co.,Ltd. |
|
CP01 | Change in the name or title of a patent holder |