CN101325493B - 用于认证用户的方法和系统 - Google Patents
用于认证用户的方法和系统 Download PDFInfo
- Publication number
- CN101325493B CN101325493B CN200810125209.5A CN200810125209A CN101325493B CN 101325493 B CN101325493 B CN 101325493B CN 200810125209 A CN200810125209 A CN 200810125209A CN 101325493 B CN101325493 B CN 101325493B
- Authority
- CN
- China
- Prior art keywords
- client
- subscriber data
- data storehouse
- upn
- data bank
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 230000009471 action Effects 0.000 claims description 9
- 101100172294 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) ACF2 gene Proteins 0.000 claims description 2
- 230000008569 process Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了用于认证用户的方法和系统。本发明涉及一种在异构计算机环境中认证用户(1、3、5)的方法,该方法包括以下步骤:定义一组唯一前缀(201),每个前缀(201)标识一种用户资料库;定义一组抽象资料库名称,每个抽象资料库名称标识用户资料库(20,22)的地址;并且通过为在由到抽象资料库名称的引用(203)所表示的用户资料库(20,22)内的用户(1、3、5)分配包括唯一前缀(201)、到所述抽象资料库名称的引用(203)和唯一标识符(205)的序列,来在异构计算机环境中认证用户(1、3、5)。
Description
技术领域
本发明涉及一种在异构计算机环境中认证用户的方法。
背景技术
计算机系统通常要求用户向系统认证他自己。认证是用于向用户进行任何授权的必要的技术上的先决条件。仅在计算机系统或连接的计算机系统的网络可认证用户时,即确信他的身份时,可授权用户在网络内执行某些动作,例如添加、修改或删除数据。
在因特网时代之前,用户身份仅在有限空间内使用,通常为单个计算机。一个用户资料库(例如,一个LDAP目录)足够用于认证单个计算机系统的所有用户。然而,随着计算机网络的发展,仅使用单个用户资料库不再够用。因此,概念发展为用于在包括多个计算机系统的整个计算机环境中认证。一个示例是Microsoft的当前活动目录模型,其中多个域组合为一个“森林”。在这个概念中,域名在实际用户id之前的表示法足够用于唯一标识。
然而,当今的大多数计算机环境不再是同构的,而是代替地使用应用不同认证策略的来自各种厂商的硬件和软件。例如,用户可在使用MS程序的指定的活动目录上认证他自己,如:
“euro\jdoe”
然而,相同用户可在UNIX系统上认证他自己,这产生以下Id:
“cn=John Doe,ou=users,ou=England,dc=euro,dc=company,dc=com”
另一示例是Windows NT:在内部,由SID(安全标识符)表示用户,SID是可在windows域内唯一全局标识用户的数值。可由人类读取并且也由非Windows软件处理的SID的形式看起来象:
jdoemyorg.com.
在轻量级目录访问协议(LDAP)中,LDAP目录是维护用户条目等条目的在中心可获得的服务。任何LDAP对象总是通过其在分级树中的位置来表示:
“cn=john doe,ou=user,o=eur,dc=mycomp,dc=org”
很明显,没有容易的方式来识别实际上指代相同用户的所有上面的表示法。不管用户是在异构计算机环境中访问资源的人类还是也是计算机或应用,都出现了上面的困难。
如果在异构计算机环境中委托任务,这种不一致性尤其是一个问题。为此,以这样的方式来传递某用户的凭证,其中接收系统必须能够认出这些凭证。因此,必须能够将特定凭证与其它相比较,并且这些凭证必须是有意义的并且不仅仅是一块数据。仅在接收者理解用户凭证时,他可接着采取进一步的授权动作。将(计算机环境的一部分的)一个用户id映射到另一个仅仅部分地解决了问题,因为每个映射过程导致信息的损失,即其中用户可能已经在整个计算机环境中第一次认证他自己。
鉴于上面,本发明的第一方面下面的技术问题是提供一种认证异构计算机环境的人类或非人类用户的方法,其克服了上述现有技术的缺点中的至少一些。
发明内容
通过根据本申请的权利要求1的方法来解决该问题。在一个实施例中,所述方法包括以下步骤:
a.定义一组唯一前缀,每个前缀标识一种用户资料库;
b.定义一组抽象资料库名称,每个抽象资料库名称标识用户资料库的地址;和
c.通过为在由到抽象资料库名称的引用所表示的用户资料库内的用户分配唯一前缀、到抽象资料库名称的引用和唯一标识符来在异构计算机环境中认证用户。
因此,提供了唯一认证或命名方案,其允许标识曾在异构计算机环境中认证用户的用户资料库的类型和起源,其中可为每种资料库指定不同的规则。基于所提供的唯一方案,可比较人类或非人类用户的身份,以验证是否正确认证某用户并且授权其执行所请求的动作。例如如果通过不同的认证过程收集一个特定用户的凭证而使用相同的基础资料库的话,这不再是一个问题,因为使用所定义的认证方案可解决所有多义性。
此外,可自由地交换关于用户的信息,因为异构计算机环境的所有参与者关于用户的描述“说同样的语言”,其对人类来说也是容易读取的。后者是重要的,因为现代通信协议,例如XML(SOAP)要求使用可印刷的(人类可读的)形式。
在一个实施例中,唯一前缀组包括用于用户资料库类型组中的至少一种用户资料库类型的前缀,该用户资料库类型组包括:
-轻量级目录访问协议服务器(LDAP)
-Windows活动目录服务器(ADS)
-安全授权功能(SAF),尤其是RACF、ACF2或TopSecret。
可替换地或附加地,唯一前缀组可包括任何原生操作系统的用户资料库的前缀。因为用户资料库的类型由前缀标识,所述方法对于认证由随后加入现有的计算机环境并且应用环境中其余方所不知道的规则的资料库来管理的用户也是完全灵活的。
优选地,步骤b.包括定义抽象资料库名称目录,其将引用映射到抽象资料库名称并且映射到物理地址。该目录定义了在引用、抽象资料库名称和各种真实地址(例如IP地址,取决于唯一前缀)之间的映射。如果可使用多于一种传输协议(例如TCP/IP、SSL、HTTP、HTTPS等)来访问相应的资料库,则可为单个抽象资料库名称提供多于一个物理地址。
在一个实施例中,如果相应资料库当从环境中的不同位置被访问时要求不同的地址信息,则对于单个抽象资料库名称存在多于一个引用。抽象资料库名称目录可实现为数据库。
上述方法的另外变化在进一步的从属权利要求中定义。
根据另一方面,本发明涉及具有用于执行根据前述方法中任意一个的方法步骤的指令的计算机程序。
最后,本发明涉及包括多个异构计算机系统的计算机环境,所述环境适于执行上述方法的任意一个。
附图说明
在随后的详细描述中,参考具有以下图形的附图来描述当前的优选实施例:
图1:根据本发明实施例的异构计算机环境的示意性表示;和
图2:用于在异构计算机环境中认证用户的字符串的三个示例。
具体实施方式
图1给出了包括三个访问应用10的客户端1、3、5的示例计算机环境的示意性表示。如果各种客户端和/或应用是异构的,优选地使用本发明。例如,客户端1、3和5和应用10可运行在不同的硬件平台(例如Windows服务器、UNIX服务器或大型机系统)上(图1中未示出),或者使用相同硬件但使用不同的操作系统。然而,尽管在这种异构环境中本发明是尤其有用的,但本发明也可在同构环境中实现。
在图1系统中的用户可执行任何动作(例如访问应用10)之前,他必须被认证。为此,环境中存在所提供的一个或多个不同的用户资料库。图1的示例包括两个资料库20、22。在步骤100中,用户资料库20认证客户端1和3;在步骤102中,用户资料库22认证客户端5。要注意的是,基本简化了图1的环境。在真实情况下,可能有数百个广泛分布的资料库去认证大量的客户端。
图1的环境中的资料库20、22为每个人类或非人类用户(例如客户端1、3、5)提供了所谓的用户主体名称(UPN)。UPN在前缀中指定类型并且在进一步的条目中指定用于认证用户凭证的实际用户资料库。可根据相应资料库20、22的特定规则来执行认证过程。由于本发明提供的灵活性,不需要协调异构环境的各种资料库20、22的认证规则。此外,如果需要,可将新的资料库加入环境。
通过将抽象引用名称(ARN)包括在UPN中,这成为可能。该ARN唯一地标识用户资料库和与资料库名称所标识的资料库20、22通信所必须使用的所需地址信息。如果两个条目的ARN不相同,它们仍可指向相同的物理资料库。
所有活动ARN的列表存储在可由计算机环境中的所有相关实体经由网络访问的ARN目录30中。可使用数据库31实现ARN目录30。如在图1中可见,客户端1、3和5以及应用10都可访问ARN目录30。可复制该ARN目录30,以便获得计算机环境中的高可用性(图1中未示出)。
如上所述,对于某用户资料库可存在多个引用名称。为了找出两个不同引用名称是指代相同还是两个不同的资料库,可比较在ARN目录中存储的资料库名称。在UPN中使用引用具有如下优点,可改变实际资料库而不必使UPN无效。因此,可改变资料库的地址而不需要修改所有UPN,这导致对UPN的简单管理。最后,用于资料库的寻址信息不直接放在UPN中;而是使用符号名。
如图1中示意性示出,在一组第一步骤104中客户端1、3、5联系ARN目录30,以获得可用于当前会话的别名,即用于认证的当前主体资料库的名称。该别名203(参照下面论述的图2)将用于构成唯一主体名称。
随后,当在步骤106中向应用10请求某动作时,在步骤108中应用10可联系ARN目录30,该应用10需要理解由客户端1、3和5转发的用户凭证。更精确地,客户端1、3和5在它们的请求106中包括它们的UPN,然后这些UPN可通过应用10首先联系ARN目录30并且然后分别联系相应的用户资料库20、22来验证。
除了前缀和引用,UPN包括所谓的主体标识符。主体标识符唯一地在某用户资料库中指定人类或非人类用户。用于主体标识符的语法表示法依赖于表示某用户资料库类型的上述前缀。对于每个可能的用户资料库类型,该主体标识符如何编码的规则对于环境的任何实体必须是可得到的。
图2给出了用于使用不同用户资料库来认证用户的UPN字符串的三个示例。为了可移植性的问题,将总是以UTF-8编码的Unicode来表示UPN字符串本身。
在图2中的a示例中,前缀201表示LDAP用户资料库。随后的引用203表示用户资料库“SouthEurope”。使用ARN目录,任何请求实体可获得例如适合IP地址的物理地址,在那里可得到所引用的用户资料库。最后,主体标识符205根据LDAP资料库的规则在引用的资料库中标识某用户。
在图2中的b示例中,前缀201表示Microsoft的活动目录服务器的用户资料库。引用203“AME”表示ADS类型的某用户资料库,而剩下的主体标识符205标识在具体引用的ADS资料库AME中的某用户“JDoe”。
最后,第三个示例给出了根据本发明实施例用于由用于IBM大型机的安全授权功能认证用户的UPN。因此,前缀201表示该类型的资料库。随后的引用203使得能够找到用户专用的SAF资料库,其中用户“JFK”已进行认证。
如在图2的字符串中所示的UPN的各种元素的顺序仅仅是示例性的。前缀、引用和主体标识符可以按照任何顺序排列并且由任何适合的分隔符分开。
明显的是,图2仅给出了对可为任何任意类型的用户资料库创建的可能无限数量的UPN的选择。实现本发明的原理,可唯一地标识用任何可访问用户资料库认证的用户,不必规定单个或有限数量的标识机制。相对照地,可使用任何已知或新类型的用户资料库,并且可生成对应的UPN。
Claims (7)
1.一种在异构计算机环境中认证客户端(1、3、5)的方法,所述方法包括步骤:
a.定义一组唯一前缀(201),每个前缀(201)标识一种用户资料库(20,22);
b.定义一组抽象资料库名称,每个抽象资料库名称标识用户资料库(20,22)的地址;
c.用户资料库(20,22)根据该用户资料库(20,22)的认证规则来认证所述客户端(1,3,5)的客户端凭证;和
d.根据所述用户资料库(20,22)的规则向所述客户端(1,3,5)分配用户主体名称UPN,所述UPN包括标识所述用户资料库(20,22)的类型的唯一前缀(201)、标识所述用户资料库(20,22)的引用(203)和在所述用户资料库(20,22)中唯一地标识所述客户端(1,3,5)的唯一标识符(205);
特征在于所述方法还包括以下步骤:
e.定义抽象资料库名称目录(30),其将引用(203)映射到抽象资料库名称并且映射到物理地址;
f.所述客户端(1,3,5)在步骤c之后联系(104)所述抽象资料库名称目录(30)以获得所述用户资料库(20,22)的引用(203),其中所述引用(203)在步骤d中用于构成所述UPN;
g.将所述UPN包括在从所述客户端(1,3,5)向应用(10)的动作请求(106)中,所述请求(106)还包括所述客户端(1,3,5)的客户端凭证;
h.所述应用(10)通过联系(108)所述抽象资料库名称目录(30)来验证所述UPN,以获得在所述UPN中引用的所述用户资料库(20,22)的物理地址;和
i.所述应用(10)联系相应用户资料库(20,22),以通过基于所述UPN比较所述客户端(1,3,5)的客户端凭证来验证所述客户端(1,3,5)是否被正确认证以及是否被授权执行所请求动作。
2.根据权利要求1所述的方法,其中所述一组唯一前缀(201)包括用于用户资料库类型组中的至少一种用户资料库类型的前缀,该用户资料库类型组包括:
-轻量级目录访问协议服务器LDAP
-Windows活动目录服务器ADS
-安全授权功能SAF,包括RACF、ACF2或Top Secret。
3.根据权利要求1所述的方法,其中所述一组唯一前缀包括原生操作系统的用户资料库的前缀(201)。
4.根据前述权利要求中任意一个所述的方法,其中如果能够使用多于一种传输协议访问相应的资料库,则为单个抽象资料库名称提供多于一个物理地址。
5.根据权利要求1-3中任意一个所述的方法,其中对于单个抽象资料库名称存在多于一个引用(203)。
6.根据权利要求1-3中任意一个所述的方法,其中所述抽象资料库名称目录(30)被实现为数据库(31)。
7.一种在异构计算机环境中认证客户端(1、3、5)的设备,所述设备包括:
a.用于定义一组唯一前缀(201)的装置,每个前缀(201)标识一种用户资料库(20,22);
b.用于定义一组抽象资料库名称的装置,每个抽象资料库名称标识用户资料库(20,22)的地址;
c.用户资料库(20,22)根据该用户资料库(20,22)的认证规则来认证所述客户端(1,3,5)的客户端凭证;和
d.用于根据所述用户资料库(20,22)的规则向所述客户端(1,3,5)分配用户主体名称UPN的装置,所述UPN包括标识所述用户资料库(20,22)的类型的唯一前缀(201)、标识所述用户资料库(20,22)的引用(203)和在所述用户资料库(20,22)中唯一地标识所述客户端(1,3,5)的唯一标识符(205);
特征在于所述设备还包括:
e.用于定义抽象资料库名称目录(30)的装置,其将引用(203)映射到抽象资料库名称并且映射到物理地址;
f.所述客户端(1,3,5)在用户资料库(20,22)根据该用户资料库(20,22)的认证规则来认证所述客户端(1,3,5)的客户端凭证之后联系(104)所述抽象资料库名称目录(30)以获得所述用户资料库(20,22)的引用(203),其中所述引用(203)在装置d中用于构成所述UPN;
g.用于将所述UPN包括在从所述客户端(1,3,5)向应用(10)的动作请求(106)中的装置,所述请求(106)还包括所述客户端(1,3,5)的客户端凭证;
h.所述应用(10)通过联系(108)所述抽象资料库名称目录(30)来验证所述UPN,以获得在所述UPN中引用的所述用户资料库(20,22)的物理地址;和
i.所述应用(10)联系相应用户资料库(20,22),以通过基于所述UPN比较所述客户端(1,3,5)的客户端凭证来验证所述客户端(1,3,5)是否被正确认证以及是否被授权执行所请求动作。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP07011721A EP2003591B1 (en) | 2007-06-14 | 2007-06-14 | Method and system for authenticating a user |
| EP07011721.3 | 2007-06-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101325493A CN101325493A (zh) | 2008-12-17 |
| CN101325493B true CN101325493B (zh) | 2012-02-01 |
Family
ID=38521727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810125209.5A Active CN101325493B (zh) | 2007-06-14 | 2008-06-16 | 用于认证用户的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8296853B2 (zh) |
| EP (1) | EP2003591B1 (zh) |
| CN (1) | CN101325493B (zh) |
| AT (1) | ATE539413T1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103853949A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 一个异构的计算机环境上进行用户身份验证的方法 |
| CN104270368B (zh) * | 2014-10-08 | 2017-11-03 | 福建星网锐捷网络有限公司 | 认证方法、认证服务器和认证系统 |
| KR102480519B1 (ko) | 2015-05-25 | 2022-12-26 | 크라운 이큅먼트 코포레이션 | 산업용 차량 지리적 특징 시스템 |
| CN110099128B (zh) * | 2019-05-13 | 2020-07-10 | 重庆八戒电子商务有限公司 | 一种认证数据同步方法及装置 |
| LU101410B1 (de) * | 2019-09-25 | 2021-03-25 | Phoenix Contact Gmbh & Co | Verfahren zum Bereitstellen und Validieren alternativer Objektbezeichner sowie zum Ermitteln von Referenzen alternativer Objektbezeichner innerhalb einer OPC-UA-basierenden Kommunikationsumgebung |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030188193A1 (en) * | 2002-03-28 | 2003-10-02 | International Business Machines Corporation | Single sign on for kerberos authentication |
-
2007
- 2007-06-14 AT AT07011721T patent/ATE539413T1/de active
- 2007-06-14 EP EP07011721A patent/EP2003591B1/en active Active
- 2007-06-20 US US11/765,750 patent/US8296853B2/en active Active
-
2008
- 2008-06-16 CN CN200810125209.5A patent/CN101325493B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| ATE539413T1 (de) | 2012-01-15 |
| EP2003591A1 (en) | 2008-12-17 |
| US20080320602A1 (en) | 2008-12-25 |
| US8296853B2 (en) | 2012-10-23 |
| CN101325493A (zh) | 2008-12-17 |
| EP2003591B1 (en) | 2011-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112615849B (zh) | 微服务访问方法、装置、设备及存储介质 | |
| JP7222036B2 (ja) | モデルトレーニングシステムおよび方法および記憶媒体 | |
| CN111434085B (zh) | 用于在区块链系统中进行跨链交互的域名管理方案 | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| EP1953950B1 (en) | A method for protecting network service application account, the system, and the apparatus thereof | |
| US8898764B2 (en) | Authenticating user through web extension using token based authentication scheme | |
| CN110417863B (zh) | 生成身份识别码的方法和装置、身份认证的方法和装置 | |
| US20100077467A1 (en) | Authentication service for seamless application operation | |
| CN106612246A (zh) | 一种模拟身份的统一认证方法 | |
| KR20090015026A (ko) | 인덱스 저장소 사용 방법, 컴퓨터 시스템, 및 컴퓨터 판독가능 매체 | |
| CN101729541B (zh) | 多业务平台的资源访问方法及系统 | |
| CN110933092A (zh) | 一种基于jwt的单点登录实现方法及装置 | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| CN101325493B (zh) | 用于认证用户的方法和系统 | |
| US20080163191A1 (en) | System and method for file transfer management | |
| CN109067785A (zh) | 集群认证方法、装置 | |
| CN111800426A (zh) | 应用程序中原生代码接口的访问方法、装置、设备及介质 | |
| KR101110928B1 (ko) | 콘텐츠 공표를 위한 컴퓨터 네트워크 오퍼레이팅 방법 및시스템 | |
| JP2007518330A5 (zh) | ||
| CN102420808A (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN109241712A (zh) | 一种用于访问文件系统的方法和装置 | |
| WO2009066858A1 (en) | Personal information management apparatus and personal information management method | |
| CN103118025A (zh) | 基于入网认证的单点登录方法、装置及认证服务器 | |
| CN106161467A (zh) | 水务数据访问方法及装置 | |
| JP2006119769A (ja) | コンテンツ提供システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |