CN101232375B - 单点登录系统、信息终端设备、单点登记服务器及方法 - Google Patents
单点登录系统、信息终端设备、单点登记服务器及方法 Download PDFInfo
- Publication number
- CN101232375B CN101232375B CN2007101823044A CN200710182304A CN101232375B CN 101232375 B CN101232375 B CN 101232375B CN 2007101823044 A CN2007101823044 A CN 2007101823044A CN 200710182304 A CN200710182304 A CN 200710182304A CN 101232375 B CN101232375 B CN 101232375B
- Authority
- CN
- China
- Prior art keywords
- server
- service providing
- address
- providing server
- connection request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了一种单点登录服务器,包括:接收单元,其接收从客户机传送的对于提供服务的服务提供服务器的服务器连接请求;建立单元,向根据所接收的服务器连接请求确定的服务提供服务器发送验证请求,经历用户验证,并且建立与所述服务提供服务器的会话,所述验证请求至少包含用于与所述服务提供服务器通信的地址以及为所述单点登录服务器设置的验证信息;禁用单元,其对在与所述服务提供服务器通信中正在使用的地址执行禁用处理;以及信息传输单元,其将关于所建立的与服务提供服务器之间的会话的会话信息传送到所述的传送了所述服务器连接请求的客户机,所述会话信息至少包含所述地址。
Description
技术领域
本发明涉及一种单点登录(single sign-on)系统、信息终端设备、单点登录服务器和利用单点登录的方法。
背景技术
现今,用户使用各种计算机和/或应用程序时,为了维持安全性,通常需要先输入用户ID和密码。例如,连接到网络的终端的用户可能被多次要求输入用户ID和密码,例如当用户启动该终端时、用户使终端连接到网络时、使终端连接到服务器时,和/或激活服务器上的应用程序时。已经出现了一种被称为单点登录的系统,其功能是一旦已验证用户,就能够使得该用户免于输入上述所有的用户ID和密码。单点登录意味着允许通过对一个用户仅进行一次验证,就能够使用该用户被授权使用的每项功能。也就是说,当采用单点登录时,用户仅需经历一次验证,即使是当用户从通过执行多个应用程序而提供多项服务的服务器接收一种服务时也是如此。
实现单点登录而无需改变服务器的一种传统方法是利用中继服务器(日本专利特开公报No.2005-321970)。该传统技术通过在用户终端访问系统内的服务器时,总是使得该访问经过负责用户验证的中继服务器,来实现单点登录。
另一种所提出的的传统技术是一种发送证书的方法(日本专利特开公报No.2002-269272)。该传统技术通过在第一次用户验证时为各种服务器生成访问证书(access credential),并将所生成的证书发送到用户终端,来实现单点登录。
这种使用用于管理验证信息的中继服务器的方法需要经过中继服务器。
同样,对于这种发送证书的实现方法而言,单点登录仅适用于已
同样,对于这种发送证书的实现方法而言,单点登录仅适用于已经提前对其发送了证书的服务器。
发明内容
本发明的一个优点在于实现了一种对于提供包含验证的服务的服务提供服务器的单点登录,而不需要经过用于管理验证信息的中继服务器。
根据本发明的一个方面,提供了一种单点登录服务器,包括:服务提供服务器,其提供多种服务;客户机,其使用由所述服务提供服务器提供的服务:以及单点登录服务器,其实现单点登录;其中,所述单点登录服务器包括:接收单元,其接收从所述客户机传送的服务器连接请求;建立单元,其向根据所接收的服务器连接请求确定的服务提供服务器发送验证请求,经历用户验证,并且建立与所述服务提供服务器的会话,所述验证请求至少包含用于与所述服务提供服务器通信的地址以及所述单点登录服务器的验证信息;禁用单元,其对在与所述服务提供服务器通信中正在使用的地址执行禁用处理;以及信息传输单元,其将关于所建立的与所述服务提供服务器之间的会话的会话信息传送到所述的传送了所述服务器连接请求的客户机,所述会话信息至少包含所述地址;并且其中,所述客户机包括:请求传输单元,其将对于所述服务提供服务器的服务器连接请求传送到所述单点登录服务器;会话信息接收单元,其接收所述单点登录服务器响应于所传送的服务器连接请求而传送的会话信息;通信单元,其将在所述信息接收单元所接收的会话信息中包含的地址用于与所述服务提供服务器之间的通信,并且接管所述单点登录服务器已经建立的与所述服务提供服务器之间的会话,以便与所述服务提供服务器进行通信。
根据本发明的第一方面,允许客户机使用由服务提供服务器所提供的服务,该服务无需经过所述单点登录服务器。
根据本发明的第二方面,提供了一种用于实现单点登录的方法,该方法包括:将对于服务提供服务器的服务器连接请求传送到实现单点登录的单点登录服务器;接收所述单点登录服务器响应于所传送的服务器连接请求而传送的会话信息;并且将在所接收的会话信息中所包含的地址用于与所述服务提供服务器之间的通信,并且接管所述单点登录服务器已经建立的与所述服务提供服务器之间的会话,以便与所述服务提供服务器进行通信。
根据本发明的第二方面,允许一计算机使用由服务提供服务器所提供的服务,该服务无需经过所述单点登录服务器。
根据本发明的第三方面,提供了一种实现单点登录的方法,该方法包括:接收来自信息终端设备的对于提供服务的服务提供服务器的服务器连接请求,所述信息终端设备使用由所述服务提供服务器所提供的服务;向根据所接收的服务器连接请求而确定的服务提供服务器传送验证请求,从而建立与所述服务提供服务器的会话,所述验证请求至少包含用于与所述服务提供服务器通信的地址以及计算机的验证信息;对在与所述服务提供服务器通信中正在使用的地址执行禁用处理;并且将关于所建立的与所述服务提供服务器之间的会话的会话信息传送到所述的传送了所述服务器连接请求的信息终端设备,所述会话信息至少包含所述地址。
根据本发明的第三方面,有可能提供按照需要管理验证信息的单点登录。
根据本发明的第四方面,提供了一种信息终端设备,包括:请求传输单元,其向实现单点登录的单点登录服务器传送对于提供服务的服务提供服务器的服务器连接请求;以及通信单元,其将所述单点登录服务器响应于所传送的服务器连接请求而传送的会话信息中包含的地址,用于与所述服务提供服务器之间的通信,从而接管所述单点登录服务器已经建立的与所述服务提供服务器之间的会话,并且与所述服务提供服务器进行通信。
根据本发明的第四方面,能够可靠地保护未使用的地址。
根据本发明的第五方面,提供了一种单点登录服务器,包括:接收单元,其接收来自客户机的对于提供服务的服务提供服务器的服务器连接请求;建立单元,其向根据所接收的服务器连接请求确定的服务提供服务器发送验证请求,经历用户验证,并且建立与所述服务提供服务器的会话,所述验证请求至少包含用于与所述服务提供服务器通信的地址以及为所述单点登录服务器设置的验证信息;禁用单元,其对在与所述服务提供服务器通信中正在使用的地址执行禁用处理;以及信息传输单元,其将关于所建立的与所述服务提供服务器之间的会话的会话信息传送到所述的传送了所述服务器连接请求的客户机,所述会话信息至少包含所述地址。
根据本发明的第五方面,未使用的地址能够得到可靠的保护。
根据本发明的第六方面,提供了一种单点登录服务器,其还包括选择器,用于在预先准备的用于与所述服务提供服务器进行通信的多个地址中选择一个未使用地址,用于与根据所述服务器连接请求确定的服务提供服务器进行通信。
根据本发明的第六方面,未使用的地址能够得到可靠的保护。
根据本发明的第七方面,提供了一种单点登录服务器,其还包括选择器,用于在相同链路上可用的多个任意地址中选择一个未使用地址,用于与根据所述服务器连接请求确定的服务提供服务器进行通信。
根据本发明的第七方面,有可能提供按照需要管理验证信息的单点登录。
附图说明
将基于下面的附图详细描述本发明的示范性实施例,其中:
图1示出了根据示范性实施例的单点登录系统的总体配置;
图2示出了构成该示范性实施例中的服务器、客户机和SSO服务器的每个计算机的硬件配置;
图3示出了根据该示范性实施例的单点登录系统的配置;
图4是示出了该示范性实施例中的客户机的操作过程的流程图;
图5是示出了该示范性实施例中的SSO服务器的操作过程的流程图;以及
图6示出了该示范性实施例中由地址决定单元访问进行查询的地址池的示范性数据配置。
具体实施方式
将参照附图描述本发明的示范性实施例。
图1示出了根据该示范性实施例的单点登录系统的总体配置。图1示出了服务器18、客户机20和单点登录(SSO)服务器30。服务器18是通过根据命令执行规定的应用程序从而提供服务的服务器计算机。客户机20是希望使用服务器18所提供的服务的用户所使用的客户机计算机。SSO服务器30是实现单点登录的服务器计算机。客户机20和SSO服务器30连接到相同的LAN12,并通过防火墙14和公用网16与服务器18通信。
图2示出了该示范性实施例的构成服务器18、客户机20和SSO服务器30的每个计算机的硬件配置。如图2所示,通过将CPU1、ROM2、RAM3、HDD控制器5、输入/输出控制器9、以及网络接口11连接到内部总线10,构造了该计算机,其中,所述HDD控制器5与硬盘驱动器(HDD)4连接,作为输入装置的鼠标6、键盘7和作为显示装置的显示器8与输入/输出控制器9连接,并且网络接口11作为通信装置提供。虽然构成服务器18、客户机20和SSO服务器30的各个计算机在功能上有差别,但是它们仍然可以如图2所示,因为它们的硬件可以用传统、一般的硬件配置实现。
图3是示出了根据该示范性实施例的单点登录系统的配置的框图。由于服务器18和客户机20必须各自地具有相似的功能,因此图3示出了仅仅一个服务器18和一个客户机20。服务器18不需要为实现该示范性实施例而新添加任何额外的功能,仅用现有的功能即可实现。因此,在图3中省略了用于实现该示范性实施例的功能模块,例如用户验证功能。
客户机20具有连接请求传输单元21、会话信息接收单元22和通信控制器23。连接请求传输单元21将对于期望的服务器18的连接请求传送到SSO服务器30。会话信息接收单元22响应于所传送的连接请求,接收SSO服务器30发送的会话信息。通信控制器23控制服务器18所执行的数据通信。通信控制器23中包含的服务器连接单元24将会话信息接收单元22所接收的会话信息中包括的IP地址设置在网络接口11中,从而在与由该会话请求指定的服务器18的通信过程中使用该IP地址。
客户机20的组件21-23是由构成客户机20的计算机和在该计算机中包括的CPU 1上运行的程序之间的协同工作实现的。
SSO服务器30包括连接请求接收单元31、验证信息获取单元32、地址决定单元33、通信控制器34和会话信息传输单元35。连接请求接收单元31接收客户机20所发送的连接请求。验证信息获取单元32获取对于得到在该示范性实施例中连接请求所指定的服务器18的验证而言所必需的验证信息,该验证信息用于使SSO服务器30得到服务器18的验证。地址决定单元33确定与服务器18的通信中使用的IP地址。通信控制器34控制与服务器18的数据通信的执行。通信控制器34中包含的服务器连接单元24将由地址决定单元33所确定的IP地址设置在网络接口11中,并且还建立与服务器18的会话,例如通过发送验证请求,以便启动数据通信。会话中断单元37执行禁止处理,用于停止使用所建立的与服务器18的会话,例如从网络接口11中删除正在用于与服务器18的通信的IP地址。在通过会话中断单元37所执行的禁止处理而禁用了上述IP地址之后,会话信息传输单元35将与以上所建立的与服务器的会话相关的会话信息传送至发送了连接请求的客户机20。
SSO服务器30的组件31-35是由构成SSO服务器30的计算机以及除非另外说明否则就是运行在该计算机的CPU1上的程序之间的协同工作实现的。
示范性实施例中使用的程序可以由通信装置提供,当然,还可以存储在例如CD-ROM等记录介质中来提供。
客户机20将建立与期望的服务器18之间的会话,以接收由该服务器18所提供的服务器。接下来,将参照图4和图5所示的流程图描述从客户机20请求与期望的服务器18进行连接时刻开始,直到建立了客户机20与期望的服务器18之间的会话以使得客户机20能够接收该服务时刻为止,在该示范性实施例中所执行的操作。
首先,当希望使用由期望的服务器18所提供的服务的客户机20的用户执行了规定的用户操作时,连接请求传输单元21将对服务器18的连接请求传送到SSO服务器30(步骤101)。表示该连接请求的信息包括客户机验证信息和服务器连接信息。客户机验证信息是用于使SSO服务器30检查感兴趣的客户机20是否被授权连接到该SSO服务器30的验证信息,其包括客户机20的标识信息(以下称为“客户机ID”)和密码。虽然该示范性实施例使用IP地址作为客户机ID,但是客户机ID不限于IP地址,可以是能够标识客户机20的任何信息,例如MAC地址。如后面将会更详细描述的,客户机20将从SSO服务器30接收包含IP地址的会话信息。通过将IP地址包含的客户机验证信息中,该IP地址能够不仅用作客户机ID,还可以在SSO服务器30上用作会话信息的目的地信息。
服务器连接信息包括对于建立与服务器18之间的通信而言所必需的信息。具体而言,其至少包括将服务器18标识为连接目标的信息,例如服务器18的名称或IP地址。如果其中还一起包含了诸如端口号和协议之类的信息,就能够灵活地支持采用各种通信方案的客户机20。
在SSO服务器30,一旦接收到客户机20所发送的连接请求(步骤201),连接请求接收单元31就查询在该连接请求中所包含的客户机验证信息,以便提前检查客户机20是否被授权。也就是说,SSO服务器30并不是要满足来自任何客户机20的请求,而是仅限于能够使用该示范性实施例的客户机20。因此,连接请求接收单元31执行对于该连接请求中包含的客户机ID和密码的用户验证,如果该验证显示客户机20被授权(步骤202:是),则其将服务器连接信息传送到通信控制器34。然而,如果客户机20没有被授权(步骤202:否),则SSO服务器30向该连接请求的发送端,即客户机20,通知发生了错误,即客户机20不能被验证(步骤214)。
一旦接收到关于客户机20已经被连接请求接收单元31所验证的通知,验证信息获取单元32就获取SSO服务器30与该连接请求所指定的服务器18建立连接所必需的验证信息(步骤203)。这里所获取的验证信息是SSO服务器30的验证信息(用户ID和密码),SSO服务器30已经提前获得了该验证信息,以便访问服务器18。也就是说,验证信息获取单元32从多个验证信息项目中,获得连接到由该连接请求所指定的服务器18所必需的验证信息,其中,所述验证信息项目是访问各个服务器18所必需的,且与每一个服务器18分别对应。因此,需要将服务器连接信息包含在从连接请求接收单元31接收的通知中。可以将一个积累了用于每个服务器18的验证信息的目录数据库存储在SSO服务器30的HDD4中,或者在外部设备中进行保存和管理:验证信息获取单元32从已知的存储装置中检索必要的验证信息。如果验证信息获取单元32已经正常地获取了验证信息(步骤204:是),则其将所获取的验证信息传送到通信控制器34。另一方面,如果验证信息获取单元32由于诸如客户机20上的服务器18的说明中存在错误,或者SSO服务器30并不涵盖该服务器18之类原因,而没有成功地获取验证信息(步骤204:否),则SSO服务器30向就发送该连接请求的客户机20通知发生了错误,即不能验证该服务器18(步骤214)。
然后,地址决定单元33获取用于与该连接请求所指定的服务器18进行通信的IP地址(步骤205)。地址决定单元33所获取的IP地址至少是已经在SSO服务器30中受到保护的一个IP地址,或者是已经在用于与服务器18进行通信的系统中受到保护的一个IP地址,该示范性实施例在地址池中管理这种受保护的IP地址。
图6示出了该示范性实施例中使用的地址池的示范性数据配置。在该地址池中,对提前受到保护的IP地址和客户机ID相互关联地进行管理,正在使用的IP地址与正在使用该IP地址的客户机20的客户机ID相互关联。因此,具有空白客户机ID字段的IP地址可以被确定为是未使用地址,地址决定单元33从地址池中取出一个具有空白客户机ID字段的IP地址,将该地址确定为在与由该连接请求所指定的服务器18进行通信中使用的IP地址。当存在多个未使用IP地址时,地址决定单元33可以根据预定规则确定一个IP地址,例如使用地址池中较高位置的一个IP地址。
图6所示的地址池的数据配置仅仅是示例。因此,数据配置可以是:使得IP地址与表示该地址是否正在使用的标记信息相关联,或者使得IP地址与关于已经获取该IP地址的SSO服务器30的标识信息相关联。此外,地址池的使用不是必需的:可以从在相同链路上可用的多个任意IP地址中选择未使用的IP地址,并将其确定为在与由该连接请求所指定的服务器18进行通信中使用的IP地址,而不使用地址池。更具体而言,选择任意可用的IP地址,并进行关于该IP地址是否已使用的查询。例如,使用地址解析协议(ARP)命令来检查拥有该IP地址的节点的MAC地址。如果没有对于该命令的响应,则证实该IP地址是未使用的地址,从而可以将其确定为在与服务器18进行通信中使用的IP地址。另一方面,如果存在对于该命令的响应,这意味着该IP地址已经被使用,则选择另一个IP地址并重复相同的处理。如果所有的可能的IP地址都在使用中,则执行预定的错误处理,以结束该过程。搜索未使用IP地址的处理可以重复预定的次数,或者在特定的时限内执行,而且搜索处理的次数或者持续的时间可以根据该连接请求所指定的服务器18的重要性,或者根据该连接请求的重要性(或优先级)而动态地改变。在找到未使用的IP并将其确定为在与服务器18进行通信中使用的IP地址之后,可以通知其他节点该IP地址将要被使用。这是为了防止另一个节点抢先使用该IP地址。对未使用地址的搜索可以使用任意的算法。例如,可以使用一种检测重叠地址的公知方法,即重地址检验(Duplicate AddressDetection)(“DAD”)。在该示范性实施例中,“未使用地址”包括从未使用过的IP地址,以及已经使用过一次但是当前未使用的IP地址。简而言之,仅仅是要求该IP地址至少必须在期望的或预期的与服务器18进行通信的时间段内未使用。
当存在至少一个未使用IP地址时,可以实现该示范性实施例。然而,由于无法仅使用一个IP地址在服务器18和客户机20之间并行地执行数据通信,因此该示范性实施例提前保护了许多IP地址并在地址池中对其进行管理,以便能够从该地址池中选择未使用的IP地址。地址池可以存储在SSO服务器30的RAM3或HDD4中,或者被设置为在外部设备中保存并进行管理。如果系统中提供了许多SSO服务器30,则优选地在外部设备中保存并管理地址池。地址决定单元33从已知的存储器中取出当前要使用的IP地址。
有可能与步骤205并行地处理步骤203和204。
然后,在将地址决定单元33所获取的IP地址设置在网络接口11中之后(步骤206),服务器连接单元36向服务器18发送一个连接请求,该服务器18可以根据连接请求接收单元31所发送的服务器连接信息来确定(步骤207)。在服务器18和SSO服务器30之间建立连接的过程遵循预定的协议,并且在该示范性实施例中,遵循TCP的连接建立过程。这里,如果未能建立连接(步骤208:否),SSO服务器30向发送连接请求的客户机20通知与服务器18的连接错误(步骤214)。
如果成功建立连接(步骤208:是),则服务器连接单元36发送验证请求到所连接的服务器18(步骤209)。包含在该验证请求中发送的验证信息是验证信息获取单元32所获取的SSO服务器30的验证信息。
如果验证失败(步骤210:否),则通信控制器34断开与服务器18的连接,并且还从网络接口11中删除在步骤206设置的IP地址(步骤215)。然后,SSO服务器30向发送连接请求的客户机20通知对服务器18的验证错误(步骤214)。
当地址决定单元33已经确定该IP地址的使用时,或者当验证已经成功且已经建立会话时,可以在地址池中设置客户机ID。需要考虑上述的错误的发生,来确定设置客户机ID的时刻。在步骤215,由于错误的发生,必须取消自步骤205已经设置的内容,以便返回到初始状态。何时应当在地址池中设置客户机ID,基本上取决于包括错误处理等在内的程序设计。在该示范性实施例中,在确认会话的建立之后,在地址池中设置客户机ID。因此,当服务器18已经验证了用户时,服务器连接单元36设置发送连接请求的客户机20的客户机ID,并将其与已经确定使用的IP地址相关联。
当服务器验证了该用户时(步骤210:是),会话中断单元37启动会话中断处理。具体而言,会话中断单元37首先获取关于所建立的会话的信息(步骤211)。这里,所获取的会话信息包括TCP信息、与服务器18的会话中使用的IP地址、端口号、会话标识符等等。然后,会话中断单元37通过从网络接口11中删除所设置的IP地址,来执行禁用该IP地址的处理(步骤212)。其后,会话信息传输单元35将会话中断单元37所获取的会话信息传送到发送连接请求的客户机20(步骤213)。
在该时刻,由于已经从SSO服务器30的网络接口11中删除了该IP地址,因此SSO服务器30就不能与服务器18进行通信,也就是说,其处于会话被中断的状态。与此同时,服务器18保持所建立的与SSO服务器30的会话。
而客户机20在传送了连接请求之后已经等待接收会话信息,当会话信息接收单元22接收到SSO服务器30响应于所传送的连接请求而发送的会话信息时(步骤102:是),服务器连接单元24使用在该会话信息中包含的TCP信息等等,设置TCP会话(步骤103)。尤为重要的是,将会话信息中包含的IP地址设置在客户机20的网络接口11中。另一方面,如果在步骤102不能接收到会话信息,这可能因为接收到错误通知或者由于不能接收到任何信息而造成超时。在上述情况中(步骤102:否),客户机20执行预定的连接错误处理,例如通过显示器8上显示的信息通知用户、日志记录等等(步骤106)。
步骤103中执行的会话设置处理是为了使客户机20接管并使用在SSO服务器30上建立的会话而执行的设置处理。对于作为一个组合而与服务器18进行通信的SSO服务器30和客户机20而言,上述处理也可以被认为是用于使客户机20继续由SSO服务器30所中断的会话的环境设置。
存在这种可能,即SSO服务器30所通知的端口号已经被客户机20使用。为了防止这种可能,可以与服务器30共同决定要使用的端口号,例如,客户机20在发送连接请求的同时,指定要使用的端口号,或者提供可用的端口号列表(即,通知可使用的候选端口号)。
通过上述设置处理,使用与在服务器18和SSO服务器30之间建立的会话完全相同的设置,在客户机20上设置与服务器18的会话。
存在这种可能,即在内部存储并管理相同链路上的其他网络设备的IP地址的网络设备连接到LAN12。在上述情况中,即使客户机内部的设置处理已经完成,如果不采取任何措施,相同链路上客户机20和SSO服务器30以外的网络设备继续将该IP地址作为SSO服务器30的IP地址。因此,服务器连接单元24发送Gratuitous ARP包来通知其他网络设备,该IP地址当前是客户机20的IP地址(步骤104)。更具体地描述上述处理,客户机20向LAN12发送关于客户机20已经接管的IP地址的占有者的查询。客户机20,即该占有者,将会自己答复该查询。也就是说,客户机20将对该查询的答复发送到LAN12上。
因此,其他设备通过接收并查阅该答复,能够得知该IP地址的占有者已经从SSO服务器30改变为客户机20,以便其他设备能够更新它们内部管理的关于该IP地址的信息。
一旦以上述方式得知与服务器18的会话中使用的IP地址的占有者是客户机20,就允许客户机20执行与服务器18的通信,并接收服务器18所提供的服务。当提供该服务时,客户机20与服务器18直接交换信息,不需经过SSO服务器30,也不需使用SSO服务器30的验证信息。同时,服务器18不需知道该会话的另一方已经改变,而且在客户机20继续该会话之后,提供客户机20所需要的特定服务。
虽然该示范性实施例图示了作为使用服务器18所提供的服务的客户机20的计算机,通常是PC,但是表示上述的其他网络设备的图像形成设备、网络打印机、网络扫描仪等等同样能够作为客户机20。
为了图示和描述的目的提供了本发明的示范性实施例的上述描述。其并不意图穷举本发明或者将本发明限制到所公开的精确形式。很明显,对本领域技术人员来说很多改变和变化是显而易见的。选择并描述上述实施例是为了最好地解释本发明的宗旨和其实际应用,从而使本领域技术人员能够理解本发明的各种实施例,并且具有适用于预期的特定用途的各种改变。本发明的范围由附带的权利要求和其等价物确定。
Claims (7)
1.一种单点登录系统,包括:
服务提供服务器,其提供多种服务;
客户机,其使用由所述服务提供服务器提供的服务:以及
单点登录服务器,其实现单点登录,其中
所述单点登录服务器包括:
接收单元,其接收从所述客户机传送的服务器连接请求;
建立单元,其向根据所接收的服务器连接请求确定的服务提供服务器发送验证请求,经历用户验证,并且建立与所述服务提供服务器的会话,所述验证请求至少包含用于与所述服务提供服务器通信的地址以及所述单点登录服务器的验证信息;
禁用单元,其对在与所述服务提供服务器通信中正在使用的地址执行禁用处理;以及
信息传输单元,其将关于所建立的与所述服务提供服务器之间的会话的会话信息传送到所述的传送了所述服务器连接请求的客户机,所述会话信息至少包含所述地址;
所述客户机包括:
请求传输单元,其将对于所述服务提供服务器的服务器连接请求传送到所述单点登录服务器;
会话信息接收单元,其接收所述单点登录服务器响应于所传送的服务器连接请求而传送的会话信息;以及
通信单元,其将在所述会话信息接收单元所接收的会话信息中包含的地址用于与所述服务提供服务器之间的通信,并且接管所述单点登录服务器已经建立的与所述服务提供服务器之间的会话,以便与所述服务提供服务器进行通信。
2.一种用于实现单点登录的方法,所述方法包括:
将对于服务提供服务器的服务器连接请求传送到实现单点登录的单点登录服务器;
接收所述单点登录服务器响应于所传送的服务器连接请求而传送的会话信息;并且
将在所接收的会话信息中所包含的地址用于与所述服务提供服务器之间的通信,并且接管所述单点登录服务器已经建立的与所述服务提供服务器之间的会话,以便与所述服务提供服务器进行通信。
3.一种用于实现单点登录的方法,所述方法包括:
接收来自信息终端设备的对于提供服务的服务提供服务器的服务器连接请求,所述信息终端设备使用由所述服务提供服务器所提供的服务;
向根据所接收的服务器连接请求确定的服务提供服务器传送验证请求,从而建立与所述服务提供服务器的会话,所述验证请求至少包含用于与所述服务提供服务器通信的地址以及计算机的验证信息;
对在与所述服务提供服务器通信中正在使用的地址执行禁用处理;并且
将关于所建立的与所述服务提供服务器之间的会话的会话信息发送到传送了所述服务器连接请求的所述信息终端设备,所述会话信息至少包含所述地址。
4.一种信息终端设备,包括:
请求传输单元,其向实现单点登录的单点登录服务器传送对于提供服务的服务提供服务器的服务器连接请求;以及
通信单元,其将所述单点登录服务器响应于所传送的服务器连接请求而传送的会话信息中包含的地址,用于与所述服务提供服务器之间的通信,从而接管所述单点登录服务器已经建立的与所述服务提供服务器之间的会话,并且与所述服务提供服务器进行通信。
5.一种单点登录服务器,包括:
接收单元,其接收来自客户机的对于提供服务的服务提供服务器的服务器连接请求;
建立单元,其向根据所接收的服务器连接请求确定的服务提供服务器发送验证请求,经历用户验证,并且建立与所述服务提供服务器的会话,所述验证请求至少包含用于与所述服务提供服务器通信的地址以及为所述单点登录服务器设置的验证信息;
禁用单元,其对在与所述服务提供服务器通信中正在使用的地址执行禁用处理;以及
信息传输单元,其将关于所建立的与所述服务提供服务器之间的会话的会话信息发送到传送了所述服务器连接请求的所述客户机,所述会话信息至少包含所述地址。
6.根据权利要求5所述的单点登录服务器,还包括选择器,用于在预先准备的用于与根据服务器连接请求确定的服务提供服务器进行通信的多个地址中选择一个未使用地址,以用于与所述服务提供服务器进行通信。
7.根据权利要求5所述的单点登录服务器,还包括选择器,用于在相同链路上可用的多个任意地址中选择一个未使用地址,以用于与根据服务器连接请求确定的服务提供服务器进行通信。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP015583/2007 | 2007-01-25 | ||
JP2007015583A JP2008181427A (ja) | 2007-01-25 | 2007-01-25 | シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101232375A CN101232375A (zh) | 2008-07-30 |
CN101232375B true CN101232375B (zh) | 2012-05-30 |
Family
ID=39669491
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101823044A Expired - Fee Related CN101232375B (zh) | 2007-01-25 | 2007-10-17 | 单点登录系统、信息终端设备、单点登记服务器及方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20080184354A1 (zh) |
JP (1) | JP2008181427A (zh) |
CN (1) | CN101232375B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8677351B2 (en) | 2007-03-29 | 2014-03-18 | Vmware, Inc. | System and method for delivering software update to guest software on virtual machines through a backdoor software communication pipe thereof |
KR101510473B1 (ko) | 2008-10-06 | 2015-04-08 | 에스케이커뮤니케이션즈 주식회사 | 컨텐츠 제공자에 제공되는 회원 정보의 보안을 강화한 인증방법 및 시스템 |
US20110016518A1 (en) * | 2009-07-20 | 2011-01-20 | Hiroshi Kitada | System to enable a single sign-on between a document storage service and customer relationship management service |
US8943571B2 (en) | 2011-10-04 | 2015-01-27 | Qualcomm Incorporated | Method and apparatus for protecting a single sign-on domain from credential leakage |
US8949938B2 (en) * | 2011-10-27 | 2015-02-03 | Cisco Technology, Inc. | Mechanisms to use network session identifiers for software-as-a-service authentication |
KR101957462B1 (ko) * | 2011-12-28 | 2019-03-13 | 삼성전자주식회사 | 무선 이동 통신 시스템에서 제3자 사이트 인증 및 결제 대행 서비스 제공 방법 및 장치 |
US9152781B2 (en) | 2012-08-09 | 2015-10-06 | Cisco Technology, Inc. | Secure mobile client with assertions for access to service provider applications |
JP6066647B2 (ja) * | 2012-09-27 | 2017-01-25 | キヤノン株式会社 | デバイス装置、その制御方法、およびそのプログラム |
KR101350299B1 (ko) * | 2013-06-13 | 2014-01-10 | 논산시 | 예산집행관리를 위한 지방재정관리시스템 |
CN104917735A (zh) * | 2014-03-14 | 2015-09-16 | 中国移动通信集团江西有限公司 | 基于sso平台的登录认证方法、系统及sso平台 |
JP6439370B2 (ja) | 2014-05-28 | 2018-12-19 | 株式会社リコー | 情報処理システム、情報処理方法、情報処理装置及びプログラム |
CN104468587B (zh) * | 2014-12-11 | 2018-01-23 | 中标软件有限公司 | 一种云计算环境下的虚拟机单点登录方法和系统 |
US11082423B2 (en) | 2016-06-29 | 2021-08-03 | Prosper Creative Co., Ltd. | Communications system, communications device used in same, management device, and information terminal |
JP6540642B2 (ja) * | 2016-09-21 | 2019-07-10 | 京セラドキュメントソリューションズ株式会社 | 認証システムおよび認証方法 |
CN108076077A (zh) * | 2016-11-08 | 2018-05-25 | 华为技术有限公司 | 一种会话控制方法及装置 |
JP7301668B2 (ja) | 2019-08-07 | 2023-07-03 | キヤノン株式会社 | システム、制御方法、プログラム |
JP7001665B2 (ja) * | 2019-12-25 | 2022-01-19 | 株式会社野村総合研究所 | アクセス管理方法、アクセス管理装置およびコンピュータプログラム |
CN112153055B (zh) * | 2020-09-25 | 2023-04-18 | 北京百度网讯科技有限公司 | 鉴权方法及装置、计算设备和介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1588850A (zh) * | 2004-06-30 | 2005-03-02 | 大唐微电子技术有限公司 | 一种网络认证方法及系统 |
CN1627684A (zh) * | 2003-12-09 | 2005-06-15 | 联想(北京)有限公司 | 网络计算机用户安全管理方法及系统 |
CN1661964A (zh) * | 2004-02-27 | 2005-08-31 | 联想(北京)有限公司 | 网络计算机切换服务器的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7174383B1 (en) * | 2001-08-31 | 2007-02-06 | Oracle International Corp. | Method and apparatus to facilitate single sign-on services in a hosting environment |
DE60313445T2 (de) * | 2003-06-26 | 2008-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang |
-
2007
- 2007-01-25 JP JP2007015583A patent/JP2008181427A/ja not_active Withdrawn
- 2007-08-15 US US11/839,122 patent/US20080184354A1/en not_active Abandoned
- 2007-10-17 CN CN2007101823044A patent/CN101232375B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1627684A (zh) * | 2003-12-09 | 2005-06-15 | 联想(北京)有限公司 | 网络计算机用户安全管理方法及系统 |
CN1661964A (zh) * | 2004-02-27 | 2005-08-31 | 联想(北京)有限公司 | 网络计算机切换服务器的方法 |
CN1588850A (zh) * | 2004-06-30 | 2005-03-02 | 大唐微电子技术有限公司 | 一种网络认证方法及系统 |
Non-Patent Citations (1)
Title |
---|
JP特开2006-209610A 2006.08.10 |
Also Published As
Publication number | Publication date |
---|---|
CN101232375A (zh) | 2008-07-30 |
JP2008181427A (ja) | 2008-08-07 |
US20080184354A1 (en) | 2008-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101232375B (zh) | 单点登录系统、信息终端设备、单点登记服务器及方法 | |
US11088903B2 (en) | Hybrid cloud network configuration management | |
CN104967609B (zh) | 内网开发服务器访问方法、装置及系统 | |
JP4992332B2 (ja) | ログイン管理方法及びサーバ | |
EP2454679B1 (en) | Management of an instant message session | |
CN107113319A (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
US7496949B2 (en) | Network system, proxy server, session management method, and program | |
US9197578B2 (en) | High-availability remote-authentication dial-in user service | |
JP2007310512A (ja) | 通信システム、サービス提供サーバおよびユーザ認証サーバ | |
US20100030346A1 (en) | Control system and control method for controlling controllable device such as peripheral device, and computer program for control | |
US6754212B1 (en) | Repeater and network system utililzing the same | |
JP4564408B2 (ja) | サーバ装置 | |
US20110029775A1 (en) | Communication cutoff device, server device and method | |
CN105873053B (zh) | 一种接入认证页面嵌入网页的方法、系统及无线接入点 | |
US7624265B1 (en) | Methods and apparatus for establishing communications with a data storage system | |
CN113194099B (zh) | 一种数据代理方法及代理服务器 | |
JP2009277024A (ja) | 接続制御方法、通信システムおよび端末 | |
JP4305146B2 (ja) | 通信制御装置、アプリケーションサーバ、およびプログラム | |
JPH0779243A (ja) | ネットワーク接続装置およびネットワーク接続方法 | |
JP5150965B2 (ja) | 複数端末装置への一括認証システム | |
JP5705699B2 (ja) | 接続制御システムおよび接続制御方法 | |
US20070162557A1 (en) | System and method for transferring service requests | |
JP2009157435A (ja) | ライセンス管理装置及びライセンス管理方法 | |
JP6072954B1 (ja) | 認証処理装置および認証処理方法 | |
JP6122984B1 (ja) | 認証処理装置および認証処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120530 Termination date: 20171017 |