CN1308870C - 单次注册用户访问多个环球网服务器的方法和系统 - Google Patents
单次注册用户访问多个环球网服务器的方法和系统 Download PDFInfo
- Publication number
- CN1308870C CN1308870C CNB001305778A CN00130577A CN1308870C CN 1308870 C CN1308870 C CN 1308870C CN B001305778 A CNB001305778 A CN B001305778A CN 00130577 A CN00130577 A CN 00130577A CN 1308870 C CN1308870 C CN 1308870C
- Authority
- CN
- China
- Prior art keywords
- www server
- server
- authentication token
- user
- www
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Abstract
一种单次注册用户访问多个环球网服务器的方法和系统。在第一个环球网用户鉴别用户的身份。第一个环球网服务器构造一个加密鉴权权标,并从第一个环球网服务器发送给第二个环球网服务器。第一个和第二个环球网服务器共享一个子域。这一鉴权权标包括一个截止时间,并由第一个环球网服务器用数字方式签署,由第二个环球网服务器鉴别。鉴别通过后,第二个环球网服务器允许用户跟第二个环球网服务器对话。
Description
技术领域
总的来说,本发明涉及电子商务领域。更具体地说,本发明的实施方案涉及单次注册用户访问多个环球网服务器的一种方法和系统。
本专利申请要求享受共同未决的第60/155853号美国临时专利申请的优先权,该申请的标题是“单次注册(single sign-on)用户访问一群(a federation of)环球网服务器的方法和系统”,于1999年9月24日提交,这里将它全部引入作为参考。
背景技术
在许多情况下,一个实体或者一组实体,比方说有银行服务、经纪服务等等的全球金融机构,希望将不同全球网应用服务器的功能资源组合起来,以便为这一个实体或者这一组实体的顾客提供集成功能服务。这样一个实体或者一组实体可能会希望让它们的顾客只通过一次注册,鉴别一次他们的身份,便能访问这样的集成功能,获得不同的服务,这些不同的服务可能是由这一组实体中一些实体的不同服务器提供的,也可能是由这一组实体的一些服务器提供的,以及例如,由第三方实体的服务器提供的。
在这种情况下,这一实体或者这一组实体可能希望通过环球网浏览器,为这一顾客提供一组服务,这一组服务由不同的环球网应用程序服务器提供。这些应用程序服务器可以采用不同的平台,比方说一个UNIX平台、一个NT平台或者某种其它类型的平台。这一平台可能已经由这一组实体中不同的组织建造,或者这一平台有可能是由第三方提供商提供的。不管是在哪种情况下,都有一个基本的问题,那就是如何让顾客只注册一次,然后就能将这一顾客重新定向到这些不同的服务器,而不需要这个顾客在他或她每次访问一个不同的服务器时都要注册。
传统的产品想要解决这一问题是有缺陷的,例如,在性能和成本方面都有缺陷。在这样一些产品中,必须返回到一个中央资源去。其它的这种产品不支持跨越管理边界或者因特网区域边界。因此需要一种方法和系统,用于单次注册用户能够访问多个环球网服务器,比方说共享一个子域的一群环球网服务器,它能克服这些缺点,并能提供其它优点。
发明内容
为解决上述问题,本发明提供一种单次注册用户访问多个环球网服务器的方法,包括下列步骤:在第一个环球网服务器中鉴别用户身份,其中,该第一个环球网服务器是多个环球网服务器之一,所述多个环球网服务器每个提供的功能与其他每个环球网服务器提供的功能不同,并且所述多个环球网服务器每个包含识别其他每个环球网服务器提供的功能和其他每个环球网服务器的地址的信息;在所述第一个环球网服务器检测请求不同于第一个环球网服务器所提供功能的功能的客户请求;所述第一个环球网服务器确定提供所请求的功能的多个环球网服务器中的第二个环球网服务器;产生与用户相关的加密鉴权权标;向所述第二个环球网服务器发送所述加密鉴权权标,其中该鉴权权标被赋予截止时间,并由第一个环球网服务器进行数字签名;在第二个环球网服务器里鉴别该鉴权权标;和允许用户在第二个环球网服务器里进行对话。
本发明还提供一种用户通过单次注册来访问一群环球网服务器的方法,其特征在于,包括以下步骤:允许计算装置的用户通过该计算装置的环球网浏览器访问一群环球网服务器中的第一个环球网服务器,其中,所述一群环球网服务器中的每个环球网服务器提供的功能与所述一群环球网服务器中其他每个环球网服务器提供的功能不同,并且所述一群环球网服务器每个包含识别其他每个环球网服务器提供的功能和其他每个环球网服务器的地址的信息;第一个环球网服务器利用用户提供的鉴别信息鉴别用户的身份,该鉴别信息至少包括用户标识;在所述第一个环球网服务器检测请求不同于第一个环球网服务器所提供功能的功能的客户请求;所述第一个环球网服务器确定提供所请求的功能的所述一群环球网服务器中的第二个环球网服务器;第一个环球网服务器为用户产生加密鉴权权标,该加密鉴权权标至少包括用户标识以及预先确定的权标截止时间标记;第一个环球网服务器用数字方式签署该鉴权权标;第一个环球网服务器将该鉴权权标的域属性设置为共享的子域名;第一个环球网服务器将该加密且数字签署过的鉴权权标发送给计算装置的环球网浏览器;第一个环球网服务器将该环球网浏览器重新定向到第二个环球网服务器;该环球网浏览器将该鉴权权标发送给第二个环球网服务器;第二个环球网服务器将该鉴权权标解密;第二个环球网服务器检查该鉴权权标中预先确定的截止时间;如果在这一预先确定的鉴权权标截止时间以前,就允许该用户跟第二个环球网服务器进行对话。
本发明还提供一种为多个环球网服务器单次注册的方法,包括:从第一个服务器的一个用户接收登录数据,其中,该第一个服务器是多个服务器之一,所述多个服务器每个提供的功能与其他每个服务器提供的功能不同,并且所述多个服务器每个包含识别其他每个服务器提供的功能和其他每个服务器的地址的信息;在所述第一个服务器检测请求不同于第一个服务器所提供功能的功能的客户请求;所述第一个服务器确定提供所请求的功能的多个服务器中的第二个环球网服务器;构造鉴权权标,该鉴权权标包括跟这个用户有关的简档数据,其中该鉴权权标被赋予截至时间;加密和数字签署该鉴权权标;将用户重新定向到所述第二个服务器;发送该鉴权权标给用户;在第二个服务器里接收该鉴权权标;在第二个服务器里核实该鉴权权标;和允许该用户访问第二个服务器提供的服务。
本发明还提供一种单次注册用户访问多个环球网服务器的系统,其特征在于,包括:在第一个环球网服务器鉴别用户身份的装置,其中,该第一个环球网服务器是多个环球网服务器之一,所述多个环球网服务器每个提供的功能与其他每个环球网服务器提供的功能不同,并且所述多个环球网服务器每个包含识别其他每个环球网服务器提供的功能和其他每个环球网服务器的地址的信息;在所述第一个环球网服务器检测请求不同于第一个环球网服务器所提供功能的功能的客户请求的装置;在所述第一个环球网服务器确定提供所请求的功能的多个环球网服务器中的第二个环球网服务器的装置;产生与用户相关的加密鉴权权标的装置;向所述第二个环球网服务器发送所述加密鉴权权标的装置,其中,该鉴权权标被赋予截止时间,并被第一个环球网服务器以数字方式签名;在第二个环球网服务器鉴别该鉴权权标的装置;和允许用户在第二个环球网服务器对话的装置。
本发明还提供一种单次注册用户访问一群环球网服务器的系统,其特征在于,包括:允许计算装置前的用户通过该计算装置的一个环球网浏览器访问这一群环球网服务器中的一个环球网服务器的装置,其中,所述一群环球网服务器中的每个环球网服务器提供的功能与所述一群环球网服务器中其他每个环球网服务器提供的功能不同,并且所述一群环球网服务器每个包含识别其他每个环球网服务器提供的功能和其他每个环球网服务器的地址的信息;在第一个环球网服务器利用用户提供的鉴别信息鉴别用户身份的装置,该信息至少包括一个用户标识;在所述第一个环球网服务器检测请求不同于第一个环球网服务器所提供功能的功能的客户请求的装置;在所述第一个环球网服务器确定提供所请求的功能的所述一群环球网服务器中的第二个环球网服务器的装置;在第一个环球网服务器为用户产生加密鉴权权标的装置,该加密鉴权权标至少包括用户的用户标识和预先确定的鉴权权标截止时间;在第一个环球网服务器以数字方式签署该鉴权权标的装置;在第一个环球网服务器将该鉴权权标的域属性设置为共享的子域名的装置;在第一个环球网服务器将该加密且数字签署过的鉴权权标发送给计算装置的环球网浏览器的装置;在第一个环球网服务器将该环球网浏览器重新定向到第二个环球网服务器的装置;在该环球网浏览器将该鉴权权标发送给第二个环球网服务器的装置;在第二个环球网服务器将该鉴权权标解密的装置;在第二个环球网服务器检查该鉴权权标中预先确定的截止时间的装置;和如果在这一预先确定的鉴权权标截止时间以前,就允许该用户跟第二个环球网服务器进行对话的装置。
本发明还提供一种为多个环球网服务器单次注册的系统,包括:从第一个服务器的一个用户接收登录数据的装置,其中,该第一个服务器是多个服务器之一,所述多个服务器每个提供的功能与其他每个服务器提供的功能不同,并且所述多个服务器每个包含识别其他每个服务器提供的功能和其他每个服务器的地址的信息;在所述第一个服务器检测请求不同于第一个服务器所提供功能的功能的客户请求的装置;在所述第一个环球网服务器确定提供所请求的功能的多个服务器中的第二个环球网服务器的装置;构造鉴权权标的装置,该鉴权权标包括跟这个用户有关的简档数据,其中该鉴权权标被赋予截止时间;加密和数字签署这一鉴权权标的装置;将用户重新定向到第二个服务器的装置;发送鉴权权标给用户的装置;在第二个服务器里接收该鉴权权标的装置;在第二个服务器里核实该鉴权权标的装置;和允许该用户访问第二个服务器提供的服务的装置。
本发明提供一些方法和系统,用于单次注册用户访问多个环球网服务器,比方说共享子域的一群环球网服务器。在一个实施方案中,(例如通过用户名和口令)在第一个环球网服务器上鉴别用户的身份。这第一个环球网服务器提供网页给用户,上面有一个服务选择器(例如一个超级链接,它包括第二个环球网服务器的URL,这第二个环球网服务器提供选择器指明的服务)。在用户激活选择器的时候,第一个环球网服务器构造并以数字方式签署一个加密鉴权权标(authentication token)(例如一个曲奇(cookie)),并通过用户客户机,从第一个环球网服务器向第二个环球网服务器发送这个加密鉴权权标。采用ULR编码来加密和签署鉴权权标。第一个和第二个环球网服务器共享一个子域。这个鉴权权标包括一个截止时间。在第二个环球网服务器内,采用URL译码方式对这一个鉴权权标进行检查和鉴权。在鉴权的时候,如果没有超过截止时间,第二个环球网服务器就允许用户跟第二个环球网服务器进行对话。
在另一个实施方案里,提供了一种方法,用于单次注册用户访问一群环球网服务器,比方说共享一个子域的第一个环球网服务器和第二个环球网服务器。在一个实施方案里,该方法包括让用户在一个计算装置上通过该计算装置的环球网浏览器,访问这一群环球网服务器的第一个环球网服务器,这第一个环球网服务器用用户提供的鉴权信息对用户进行鉴权,这些鉴权信息至少包括一个用户标识,并让用户在这第一个环球网服务器上进行对话。在对话的过程中,第一个环球网服务器执行一项功能,提示用户选择通过至少第二个环球网服务器提供的一项功能,并接收用户对通过第二个环球网服务器提供的功能的一个选择。在收到选择的时候,第一个环球网服务器为这一个用户生成一个鉴权权标,该鉴权权标至少包括用户的标识,还有一个由第一个环球网服务器预先确定的权标截止时间,由第一个环球网服务器以数字方式签署(例如通过公钥加密)这一鉴权权标。一个实施方案还包括由第一个环球网服务器用共享的子域名使鉴权权标的域属性有效,由第一个环球网服务器发送这一经过数字签署的鉴权权标给这一计算装置的环球网浏览器,第一个环球网服务器将这一环球网浏览器重新定向到第二个环球网服务器,并由环球网浏览器发送这一鉴权权标给第二个环球网服务器。第二个环球网服务器对这一鉴权权标解密,跟第一个环球网服务器的数字签名进行比较,第二个环球网服务器检查鉴权权标里预先确定的截止时间,如果没有超过预先确定的权标截止时间,就允许用户跟第二个环球网服务器对话。
在另一个实施方案里,单次注册就能使用多个环球网服务器的一种方法,包括在第一个服务器里接收用户的数据,为用户提供一个服务选择器,接收一个标志,该标志说明用户选择了这一服务选择器,构造一个鉴权权标,这个鉴权权标包括跟用户有关的一个简档数据,加密并签署这一鉴权权标,将用户重新定向到第二个服务器,发送这一鉴权权标给用户,第二个服务器接收这一鉴权权标,第二个服务器核实这一鉴权权标,并允许这个用户访问第二个服务器提供的服务。在这样一个实施方案里,鉴权权标包括一个曲奇,还包括截止时间数据。
本发明的一个特征和优点是,提供一种方法和系统,用于单次注册用户访问一群环球网服务器,该系统和方法允许已经在一个环球网网站鉴权的用户,比方说已经在一个金融机构的一个环球网网站鉴权的用户,能够访问,例如,一个服务提供商的环球网网站,而不需要通过提供有效用户名和口令重新鉴权。
为了实现上述特征和优点以及其它特征和优点,本发明的一个实施方案提供一种方法和系统,它能使单次注册用户访问一群环球网服务器,允许用户在一个实体的环球网站点服务器上鉴权,选择一个服务提供商的URL,并由这个实体的环球网站点服务器将一个鉴权权标传递给一个服务提供商的服务器,这个鉴权权标包括足够的信息,用于让服务提供商的服务器,例如,能够将这个用户识别为有效的服务提供商用户,并为该用户提供顾客专用信息。
本发明其它的目的、优点和新特征将部分地在下面的说明里介绍,通过以下说明使本领域里的技术人员更加清楚,或者能够通过实施本发明来了解。
附图说明
图1说明了本发明一个系统的一个实施方案。
图2给出了一个流程图,它说明图1所示系统实现的本发明中的过程。
图3给出了跟图1所示系统的环球网服务器有关的网页的一个形象说明。
图4给出了一个流程图,它说明图1所示系统实现的本发明的另一个过程。
具体实施方式
图1说明了本发明一个系统的一个实施方案。一个经纪人事务所环球网服务器(BFWS)30包括一个经纪人事务所网站32。这个经纪人事务所环球网服务器30(跟经纪人事务所网站32一样)跟因特网20进行通信。同样,一个银行环球网服务器40包括一个银行网站42。这个银行环球网服务器(BWS)40(以及银行网站42)也在跟因特网20进行通信。图中画出了这个经纪人事务所和这个银行的一个顾客5。顾客5有一个用户名和口令,用来访问经纪人事务所网站32和银行网站42。这个顾客的个人计算机10有一个环球网浏览器,比方说微软的因特网浏览器或者网景公司的导航器(一个客户程序),也在跟因特网20通信。顾客5用顾客的个人计算机和浏览器10通过因特网跟环球网服务器30、40通信。在这里,顾客这个术语在许多情况下都用来表示顾客使用的客户机10。除了网络通信设备等等以外,这个经纪人事务所环球网服务器30和银行服务器40都包括一些程序,用来执行这里描述的功能。
图2给出了图1所示系统执行的步骤的一个流程图。顾客5将顾客的浏览器指向经纪人事务所网站32。顾客5用顾客在经纪人事务所网站32上正确的用户名字(或者用户标识)和口令登录到这一经纪人事务所网站32,然后由经纪人事务所环球网服务器30鉴权。一旦顾客登录到经纪人事务所网站32,网站32就从网站32为顾客5提供一个欢迎页。一旦登录进来以后,顾客5就可以检查顾客的经纪账号信息、有价证券、投资信息等等。
图3给出了图1所示系统的一个图形描述,包括顾客登录进入经纪人事务所网站30以后从经纪人事务所网站30提供给顾客的欢迎页100。图3中说明的欢迎页100包括一个服务选择器,它的形式是标为“记账支付”102的一个超级链接。经纪人事务所网站使它的顾客能够支付账单。
再一次参考图2,顾客5通过点击“记账支付”超级链接102请求进行记账支付50。经纪人事务所环球网服务器30自己并不执行记账支付过程,但是服务器30中的程序知道银行环球网服务器40执行这样一个过程。超级链接102包括银行网站42的URL。检测到记账支付的请求时,经纪人事务所服务器30构造一个鉴权权标52。鉴权权标包括一个对象(或者数据),可以在协作的服务器之间传递。鉴权权标一个实施方案的一项功能是将必需的信息从主(或者第一个)服务器传递给辅助(或者第二个)服务器,让辅助服务器跳过注册过程,如果不这样,这一注册过程就是必须的。一旦主服务器为用户建立起一个对话,从主服务器接收有效鉴权权标的协作的辅助服务器就能建立对话,而不用用户再一次注册。
在图1所示的实施方案里,经纪人事务所环球网服务器30构造一个鉴权权标(或者一个访问权标),其中包括用户标识数据(或者简档数据)和截止时间数据(权标截止时间)52。简档数据包括用户标识数据,用户标识数据包括顾客的识别号,该识别号向辅助服务器唯一地说明用户的身份。在图示实施方案里,该权标还包括这个顾客的一个账目清单。截止时间数据包括一些数据,说明超过这一时间以后鉴权权标就失效。在给出的实施方案里,时间是格林威治平均时间(GMT)。在其它的实施方案里,时间可以是世界时。截止时间可以由主服务器在任何时候设置,尽管在多数实施方案里,从产生鉴权权标的时刻算起,这个截止时间是一个相对短的时间,例如,三分钟到二十分钟。在给出的实施方案里,截止时间被设置成从产生鉴权权标的时刻开始过十五分钟。注意,交换这种鉴权权标的服务器保持正确或者同步的时钟是非常重要的。截止时间的使用是产生一个一次有效、容易失效的权标。
在给出的实施方案中,构造的鉴权权标包括一个曲奇,其中包括顾客5的简档数据和从权标产生时刻开始算起的十五分钟的截止时间。鉴权消息还可以包括URL字符串或者能够在服务器之间传递的其它数据。顾客的简档数据包括顾客5的顾客识别号。经纪人事务所环球网服务器30包括一个数据存储系统(例如一个硬盘驱动器),其中有跟经纪人事务所环球网服务器30的顾客使用的登录用户名有关的顾客识别号。这些号码由服务器30、40的管理员事先协商好。在给出的实施方案里,一个顾客跟一个顾客识别号相关联。在这一实施方案中,当顾客请求进行记账支付50的时候,服务器30从数据存储系统中检索出顾客5的识别号。检索出来的这一顾客识别号被用于用来构造曲奇52的简档数据中。
在另一个实施方案里,各种顾客识别号跟各种辅助服务器相关联。当顾客请求一个辅助站点提供的服务(或者要转移到一个辅助站点)时,主服务器检测到这一请求,确定辅助站点,并从数据存储系统中检索出跟顾客要被连接过去以获得记账支付服务的这一辅助站点有关的、发出请求的顾客的顾客识别号。
再一次参考图2,服务器30还选择辅助服务器接收方名称54。服务器30通过检查顾客发出的请求,确定处理这一请求的合适的辅助服务器的名称/地址来做到这一点。在给出的实施方案里,服务器30检查顾客发出的“记账支付”请求。在当前实施方案里,这一检查包括确定跟“记账支付”超级链接有关的统一资源地址(URL)。跟欢迎页100有关的网页文件包括跟“记账支付”超级链接有关的URL,服务器30选择这一URL。
然后,服务器30签署并加密曲奇56。服务器30在曲奇56上签上经纪人事务所30的数字签名。最好是,服务器30包括公开密钥加密软件,该软件能够在应用程序和服务器之间进行加密、数字签署和鉴别电子交易。在给出的实施方案里,Entrust/PKT 5.0软件包,以及它的应用程序接口(API)库,从德克萨斯Plano的Entrust技术有限公司可以获得它们,它们被用于利用公开密钥加密系统签署这一曲奇。在给出的实施方案里,使用的加密器是Triple DES(数据加密标准)加密算法系统,加密以后的曲奇采用保密性增强型邮件(PEM)报头,并利用安全散列算法(SHA-1)来产生签字的消息摘要(或者散列值)。这里的Triple DES系统用于加密鉴权权标(曲奇),还包括一个PEM报头和一个SHA-1摘要。
用于曲奇、跟服务器30有关的数字签名(以签名加密字符串的形式)使得辅助服务器能够核实这一鉴权权标是由经纪人事务所服务器30产生的。此外,这一签名使得辅助服务器能够检测出来这一鉴权权标是否被改动或者被破坏。这一数字签名由服务器30来完成和加密。
在给出的实施方案里,这一曲奇用响应页中的一个标题项被产生并保留在用户5的浏览器10中,这一标题项的结构如下:设置曲奇;名称=值;截止时间=日期和时间;域=域名;路径=路径;安全。其中的路径值包括一个具体的路径,域名值最好是一个公用子域(下面将进一步讨论)。在一个实施方案里,鉴权权标(曲奇)是不稳定的,不会写入顾客客户机10的磁盘。在这样一个实施方案里,不需要失效值,曲奇会在接收到以后被接收它的服务器立即删去。
本发明一个实施方案中包括曲奇结构的字符串的一个实例如下:
VER|1EXPDT|19990505132540||CT\CUST|AF|EXIST||CID|576001000560050234||
FCID|0||TA|2||ANM|0010000001||RTN|099||ANA|我妻子的检验
||ab|237600||ANM|0010000002||RTN009||ANA|我的检验
||AB|24556。该实例的格式如下:标签1标签值1标签2标签值2标签3标签值3……
应该指出:具体的标签和标签值可能会随着应用需要而变化,比方说随目的地服务器的要求而变化。
在给出的实例中,标签、它们的值以及说明在下表中给出:
标签 | 标签值 | 说明 |
VER | 1 | 使用的曲奇系统的版本(当前版本是1) |
EXPDT | 日期/时间 | 鉴权权标失效的ASCII GMT日期和时间,格式是:CCYYMMDDHHMMSS |
CT | CUST FC | 顾客类型。CUST=老主顾。FC=顾客代表。用于激活只查看模式。 |
AF | 新的/存在 | 新顾客或者已经存在的顾客标志 |
CID | 整数 | 顾客识别号 |
FCID | 字母数字 | 顾客服务代表的识别号。如果这个顾客是一个老主顾,就不将FCID置位(也就是将它设置成0) |
TA | 整数 | 顾客账号的总个数 |
ANM | 整数 | 账号号码 |
RTN | 整数 | 路由选择支票交换号码—到prod-type-ed的图 |
ANA | 字母数字 | 账号别名 |
AB | 整数 | 账号结余,以分为单位(也就是说$10.50=1050) |
在上述实施方案中,标签的顺序没有意义,除了ANM、ANA、AB以外,它们被看成一个多元组,放在一起,就象前面说明的一样。还有,在所述实施方案中,VER、EXPDT和CT是必须的标签。可以用于其它实施方案的其它标签包括:AG(雇用用户的代理或者公司的名称)、FNAM(用户的名)和LNAM(用户的姓)。
AF标签使银行服务器40能够判断是否应当向一个交易处理系统(TPS)发去一则“启动用户”消息。如果经纪人事务所环球网服务器30不能确定一个顾客是新顾客还是已经在GTPS中登记过,那么,服务器30最好将AF标签设置成新的。另外,说明的经纪人事务所环球网服务器30假设所有账号都属于“检验(Checking)”类型,并将在确定了的RTN值的基础之上设置产品类型。
然后,经纪人事务所服务器30对构成的曲奇58进行URL编码(也叫做URLEncode)。在对曲奇进行URL编码的过程中,经纪人事务所环球网服务器基本上将前面讨论过的格式化的字符串转换成上述URL编码格式。在一个实施方案里,URL编码用URL转义句法对这一字符串编码,这一URL转义句法包括一个三字符字符串(%nn),具体说明一个字符的十六进制码。这一句法用于隐藏一些字符,如果不隐藏这些字符,当它们用于URL时可能会是有意义的。经纪人事务所环球网服务器30所进行的URL编码58产生一个编过码、签过字和加过密的字符串,适合于写入一个曲奇中,这样一个字符串被服务器30包括在构造的曲奇中。
然后,经纪人事务所服务器30在设置曲奇报头中发送有URL编码曲奇(鉴权权标)的一个重新定向命令(或者重新定向页)给顾客客户机60。这一重新定向命令包括跟“记账支付”42有关的网站的URL。顾客客户机10收到这一重新定向命令和经纪人环球网服务器30构造的经过了URL编码的曲奇。
顾客的客户机10通过因特网20跟银行网站42连接,并将这一曲奇发送给银行环球网服务器62。在所示实施方案中,鉴权权标在加密套接字协议层(SSL)对话中发送。还有,在所示实施方案中,收到重新定向命令时,顾客客户机10打开第二个浏览器窗口,请求下载环球网服务器42的URL处的主页(或者URL指定的页),从银行环球网服务器40接收网站42的这一页,并在窗口中显示这一页。这样一个窗口110和页的一个实施方案在图3里说明。顾客客户机10从经纪人事务所环球网服务器30收到的曲奇被顾客客户机10发送给银行环球网服务器40。
银行环球网服务器40从顾客客户机10那里接收曲奇。银行环球网服务器40将经纪人事务所环球网服务器30编码、签字和加密,放进曲奇的字符串译码,得到签过字、加过密的字符串64。这一译码采用的是给出的实施方案中的URL译码(或者URLDecode)方法。在所示实施方案中,采用了URL译码将曲奇中URL编码的字符串转换成普通ASCII,供银行环球网服务器40检查。在此之前银行环球网服务器40和经纪人事务所环球网服务器30交换过公开密钥-保密密钥解密信息。
一旦这一字符串被译码,银行环球网服务器40就对曲奇66(包括现在译码的签过字的加密字符串)进行解密和核实。在所示实施方案里,软件包括公开密钥加密软件,它能在应用程序和服务器之间对电子交易进行解密和鉴权,并由银行环球网服务器40用来这样做。这种软件的一个实例是Entrust/PKT 5.0软件包,以及它的应用程序接口(API)库,可以从德克萨斯Plano的Entrust技术有限公司获得。
利用这里介绍的软件,银行环球网服务器40判断曲奇中的数字签名是否正确68。如果这一签名不正确,银行环球网服务器40就拒绝这一注册,并将顾客客户机10重新定向到经纪人事务所环球网服务器30的一个网页上,说明由于失败的注册尝试72而发生了错误,注册失败70。在另一个实施方案里,如果这一签字不正确,银行环球网服务器40就拒绝注册,并发送一个网页给顾客的客户机10,说明发生了错误,注册失败。在一个实施方案里,如果签字不正确,银行环球网服务器40也发送一则消息给经纪人事务所网站30,例如一则电子邮件消息,说明这一操作失败。
如果这一签字正确,银行环球网服务器40就检查曲奇74的许可证(CA)。服务器40比较曲奇的CA名(也就是预期的CA名使用的CA,就象银行环球网服务器40里一个注册文件里记录的一样)。如果CA名不是预期的那一个,银行环球网服务器40就将顾客应用程序10重新定向到经纪人事务所环球网服务器70的一个出错页上去,注册尝试失败72,就象前面介绍过的一样。
如果这一CA名是预期的CA名,那么,银行环球网服务器30下一步就检查发送方的名称是否正确76。这样做的时候,银行环球网服务器30跟曲奇有关的普通名称(CN)(也就是正在证明的名称—经纪人事务所环球网服务器30使用的名称)是否是一个得到了认可的名称。在做这一判断的时候,银行环球网服务器40将跟这一曲奇有关的CN跟银行环球网服务器40中一个数据记录中一个文件里保存的授权名称进行比较。如果这一CN不是预期的那一个,银行环球网服务器40就将顾客应用程序10重新定向到经纪人事务所环球网服务器70的一个出错页去,注册尝试失败72,就象前面介绍过的一样。
如果这一CN正确,也就是说,如果这一CN是一个被许可的名称,银行环球网服务器40就从曲奇中提取简档数据并开始记账支付对话78。在所示实施方案里,服务器40分析跟曲奇有关的普通文字数据(普通文字指的是没有加密的信息)78,并检查曲奇中的截止时间(没有画出)。如果已经过了截止时间,银行环球网服务器40就将顾客应用程序10重新定向到经纪人事务所环球网服务器70上的一个出错页去,这一注册尝试失败72,就象前面介绍过的一样。这些普通文字数据包括简档数据(例如顾客识别号)。如果截止时间还没过,环球网服务器40就通过发送图3所示的银行网站42的网页110给顾客客户机,用这一对话和简档数据78开始记账支付对话,这一注册是成功的80。顾客客户机10收到这一网页100,并跟银行服务器40继续这一记账支付对话。然后在一个实施方案里,环球网服务器40将这一鉴权权标(曲奇)丢弃或者销毁。
在另一个实施方案里,系统反映跟用户的雇员有关的一项服务。这样一个实施方案在图4里说明。在图4所示的实施方案里,总的来说这一可选实施方案的过程跟上面讨论过的一样,以下讨论的内容例外。所示实施方案采用一个主服务器,它包括一个有一个中心网站(没有画出)的一个中心环球网服务器。这一中心网站包括这样一个网站,在那里,顾客客户机10可以通过点击超级链接请求各种服务。
参考图4,顾客5在中心网站49那里注册,过程150、152、154、156、158、160、162、164、166、168、170、174按照图3所示步骤50、52、54、56、58、60、62、64、66、68、70、74中的方式继续下去,中心环球网服务器用作主服务器(在图2所示的实施方案里,经纪人环球网服务器用作主环球网服务器),直到进入示为77的步骤。主服务器在曲奇中包括以下额外的标签:AG(雇用这一用户的代理或者公司名称)、FNAM(用户的名)和LNAM(用户的性)。图4中提到的服务提供商包括辅助服务器,在所示实施方案里,包括银行环球网服务器40。在银行环球网服务器40认定发送方的CA正确以后,环球网服务器40就判断该顾客/用户的雇主是否已经在辅助服务器(银行环球网服务器40)77那里的服务提供商那里注册。银行环球网服务器40包括一个数据库,其中包括一个雇主清单,这些雇主在银行环球网服务器40提供的服务那里注过册。环球网服务器40将AG标签中的代理或者公司名称跟这一个雇主清单比较。如果这一AG标签中的名称不在这个清单里,环球网服务器40就因为错误的URL 70将顾客的客户机10重新定向到中心网站。
如果AG标签里的名称在这一清单上,环球网服务器40就通过提取曲奇中的简档数据继续这一过程,开始记账支付对话78。在银行环球网服务器40从曲奇提取出简档数据并开始记账支付对话78以后,服务器40检查跟这一服务器40有关的一个数据库(没有画出),该数据库包括数据,反映以前注册过或者使用过服务器40提供的服务的用户。如果曲奇反映的用户存在(也就是说,以前注册过或者使用过服务器40提供的服务),环球网服务器40就检索以前被选做用户的默认网页的默认网页,并发送这一默认网页给顾客客户机83,然后,顾客客户机10就可以继续记账支付对话80。
如果这一曲奇反映的用户不存在(也就是说,数据库没有反映用户以前注册过或者使用过服务器40提供的服务),环球网服务器40就用这一标签信息产生一个用户标识,包括AG、FNAM和LNAM标签信息,并将这一用户标识存入一个数据库里。然后,服务器40取出一个预先指定的默认网页,并发送这一网页给顾客客户机83。这一预先指定的默认网页包括一个预先指定的网页,给跟AG标签说明的代理/公司有关的用户。然后,顾客客户机10就可以继续记账支付对话80。
辅助服务器被用于本发明的一个实施方案。在另外一个实施方案里,采用了多个主服务器。像这里介绍的一样,共享注册和其它信息的一个或者多个主服务器和一个或者多个辅助服务器构成的一组可以叫做一“群”服务器(a“federation”of servers)。
在这里给出的实施方案中,采用了数字证书生成软件程序来产生证书。这种软件的一个实例是Entrust Solo 4.0版软件包,可以从德克萨斯Plano的Entrust技术有限公司获得,在本发明的一个实施方案中采用多个辅助服务器时,这些辅助服务器会使用同样的简档(在服务器能够鉴权之前包括证书所需要的信息的一个文件)。还有,简档里的CN名称最好跟辅助服务器的通用主机名相同。
在一些实施方案里,采用了多个辅助服务器。主服务器可以在所有主机上使用相同的简档,或者每一个主机都可以使用一个不同的简档。跟辅助服务器一样,每一个主服务器都采用证书。
在一个实施方案里,在它们自己之间共享不同机构维护的信息的服务器之间,使用一个共享的域,以便简化信息的共享。在这样一个实施方案里,建立一个子域或者将一个子域指定为共同的子域,鉴权权标的域属性(例如共享的曲奇)被指定为共同的子域,并在协作机构的DNS名称服务器里增加一个“转发IP(因特网协议)指针”。
例如,主服务器设置一个曲奇子域xxxx.yyyy.com(其中yyyy.com包括主服务器的域名)。利用“尾部匹配”,所有域尾部是“yyyy.com”的主机都共享这些曲奇。当服务器在用户计算机上搜索曲奇清单寻找有效或者可用的曲奇时,服务器将曲奇的域属性跟主机的因特网域名进行比较。如果尾部相同,那么这一曲奇就开始路径匹配检查,看它是否应当发送。“尾部匹配”指的是用域属性的尾部跟主机完整的有效域名的尾部进行比较。例如,“xxxx.com”的域属性跟主机名“yyyy.xxxx.com”和“zzzz.yyyy.xxxx.com”相同。例如,用户打交道的主服务器的域名是qqqq.yyyy.com,而辅助服务器的域名则是ssss.rrrr.yyyy.com,它们可以在这样一个实施方案中共享曲奇。在一个实施方案里,跟主服务器有关的域名服务器里的IP指针或者(1)将辅助服务器域(ssss.rrrr.yyyy.com)映射到跟辅助服务器有关的一个预先指定的IP地址;或者(2)委派区域“rrrr”给跟辅助服务器有关的一个DNS名称服务器,来解决这一问题。
如上所述,本发明的某些实施方案采用URL编码和URL译码。下面是一段用微软C++6.0编写的代码,这段代码说明的是一个服务器进行URL编码的一个实例:
// //URL编码将一些字符转换成%xx格式,用于 //在URL中发送或者写入一个曲奇 // void URLEncode(BYTE*szDecoded,BYTE*szEncoded) { BYTE*pszInPtr=szDecoded; BYTE*pszOutPtr=szEncoded; BYTE inch; while((inch=*pszInPtr++)!='\') { if((inch<32)||(inch>127)|| (inch==‘=’)||(inch==‘?’)|| (inch==‘&’)||(inch==‘+’)|| (inch==‘%’)||(inch==‘-’)|| (inch==‘:’)||(inch==‘:’)|| (inch==‘,’)) { *pszOutPtr++=‘%’; sprintf((char*)pszOutPtr,“%02x”,inch); pszOutPtr+=2; } else *pszOutPtr++=inch; } <!-- SIPO <DP n="20"> --> <dp n="d20"/> *pszOutPtr++=‘\0\’;; }
下面的代码段说明了服务器进行的URL译码:
// //URL译码将%xx格式的字符转换回它们的ASCII值 // void URLDecode(BYTE*szEncoded,BYTE*szDecoded) { BYTE*pszInPtr=szEncoded; BYTE*pszInPtr=szEncoded; int inch; while((inch=*pszIntPtr++)!=‘\0’) { if(inch==’%’) *pszOutPtr++=(unHex(pszInPtr++)<<4)+ unHex(*pszInPtr++); else *pszOutPtr++=inch; } *pszOutPtr++=‘\0’; } int unHex(BYTE hexChar) { if((hexChar>=’0’)&&(hexChar<=‘9’)) <!-- SIPO <DP n="21"> --> <dp n="d21"/> return hexChar-‘0’; if((hexChar>='a')&&(hexChar<=‘f’)) return hexChar-‘a’+10; if((hexChar>='A')&&(hexChar<=‘F’)) return hexChar-‘A’+10; return 0; }
本领域里的技术人员会认识到,有各种代码段可以用于执行这些步骤。此外,还可以采用各种编程语言。
已经介绍了本发明的各种实施方案,用这些实施方案来达到本发明的各种目的。应当认识到,这些实施方案只是用于说明本发明的原理。对本领域里的技术人员而言,对本发明的各种修改和改进均属于本发明的实质和范围。
Claims (48)
1.一种单次注册用户访问多个环球网服务器的方法,其特征在于,包括下列步骤:
在第一个环球网服务器中鉴别用户身份,其中,该第一个环球网服务器是多个环球网服务器之一,所述多个环球网服务器每个提供的功能与其他每个环球网服务器提供的功能不同,并且所述多个环球网服务器每个包含识别其他每个环球网服务器提供的功能和其他每个环球网服务器的地址的信息;
在所述第一个环球网服务器检测请求不同于第一个环球网服务器所提供功能的功能的客户请求;
所述第一个环球网服务器确定提供所请求的功能的多个环球网服务器中的第二个环球网服务器;
产生与用户相关的加密鉴权权标;
向所述第二个环球网服务器发送所述加密鉴权权标,其中该鉴权权标被赋予截止时间,并由第一个环球网服务器进行数字签名;
在第二个环球网服务器里鉴别该鉴权权标;和
允许用户在第二个环球网服务器里进行对话。
2.根据权利要求1的方法,其中第一个环球网服务器和第二个环球网服务器共享一个子域名。
3.根据权利要求2的方法,还包括只在截止时间还没有过的时候,在第二个环球网服务器中检查鉴权权标截止时间,并允许用户在第二个环球网服务器进行对话。
4.根据权利要求3的方法,其中的鉴权权标包括一个曲奇。
5.根据权利要求4的方法,其中从第一个环球网服务器向第二个环球网服务器发送加密鉴权权标包括从第一个环球网服务器向用户,然后从用户向第二个环球网服务器发送这一加密鉴权权标。
6.根据权利要求5的方法,其中在第一个环球网服务器里鉴别用户的身份包括接收用户名和口令。
7.根据权利要求6的方法,其中从第一个环球网服务器向第二个环球网服务器发送加密鉴权权标包括从第一个环球网服务器向用户的一台计算机发送这一鉴权权标;并从用户的计算机向第二个环球网服务器发送这一鉴权权标。
8.根据权利要求7的方法,其中第一个环球网服务器和第二个环球网服务器包括一群环球网服务器。
9.根据权利要求8的方法,其中在第二个环球网服务器中鉴别鉴权权标包括检查曲奇。
10.根据权利要求9的方法,还包括对鉴权权标进行URL编码。
11.根据权利要求10的方法,还包括在第二个环球网服务器中对鉴权权标进行URL译码。
12.根据权利要求11的方法,还包括为用户提供有一个服务选择器的一个网页。
13.根据权利要求12的方法,其中的服务选择器包括一个超级链接。
14.根据权利要求13的方法,其中的超级链接包括第二个环球网服务器的一个URL。
15.一种用户通过单次注册来访问一群环球网服务器的方法,其特征在于,包括以下步骤:
允许计算装置的用户通过该计算装置的环球网浏览器访问一群环球网服务器中的第一个环球网服务器,其中,所述一群环球网服务器中的每个环球网服务器提供的功能与所述一群环球网服务器中其他每个环球网服务器提供的功能不同,并且所述一群环球网服务器每个包含识别其他每个环球网服务器提供的功能和其他每个环球网服务器的地址的信息;
第一个环球网服务器利用用户提供的鉴别信息鉴别用户的身份,该鉴别信息至少包括用户标识;
在所述第一个环球网服务器检测请求不同于第一个环球网服务器所提供功能的功能的客户请求;
所述第一个环球网服务器确定提供所请求的功能的所述一群环球网服务器中的第二个环球网服务器;
第一个环球网服务器为用户产生加密鉴权权标,该加密鉴权权标至少包括用户标识以及预先确定的权标截止时间标记;
第一个环球网服务器用数字方式签署该鉴权权标;
第一个环球网服务器将该鉴权权标的域属性设置为共享的子域名;
第一个环球网服务器将该加密且数字签署过的鉴权权标发送给计算装置的环球网浏览器;
第一个环球网服务器将该环球网浏览器重新定向到第二个环球网服务器;
该环球网浏览器将该鉴权权标发送给第二个环球网服务器;
第二个环球网服务器将该鉴权权标解密;
第二个环球网服务器检查该鉴权权标中预先确定的截止时间;
如果在这一预先确定的鉴权权标截止时间以前,就允许该用户跟第二个环球网服务器进行对话。
16.根据权利要求15的方法,还包括允许该用户跟第一个环球网服务器进行对话。
17.根据权利要求16的方法,其中第二个环球网服务器跟第一个环球网服务器共享一个子域。
18.根据权利要求17的方法,其中第一个环球网服务器以数字方式签署鉴权权标包括用公开密钥加密方式数字签署这一鉴权权标。
19.根据权利要求18的方法,还包括确认跟数字签名是否相同。
20.一种为多个环球网服务器单次注册的方法,包括:
从第一个服务器的一个用户接收登录数据,其中,该第一个服务器是多个服务器之一,所述多个服务器每个提供的功能与其他每个服务器提供的功能不同,并且所述多个服务器每个包含识别其他每个服务器提供的功能和其他每个服务器的地址的信息;
在所述第一个服务器检测请求不同于第一个服务器所提供功能的功能的客户请求;
所述第一个服务器确定提供所请求的功能的多个服务器中的第二个环球网服务器;
构造鉴权权标,该鉴权权标包括跟这个用户有关的简档数据,其中该鉴权权标被赋予截至时间;
加密和数字签署该鉴权权标;
将用户重新定向到所述第二个服务器;
发送该鉴权权标给用户;
在第二个服务器里接收该鉴权权标;
在第二个服务器里核实该鉴权权标;和
允许该用户访问第二个服务器提供的服务。
21.根据权利要求20的方法,其中的鉴权权标还包括截止时间数据。
22.根据权利要求21的方法,其中的鉴权权标包括一个曲奇。
23.根据权利要求22的方法,其中的登录数据包括一个用户名和一个口令。
24.根据权利要求23的方法,其中的服务选择器包括一个超级链接。
25.一种单次注册用户访问多个环球网服务器的系统,其特征在于,包括:
在第一个环球网服务器鉴别用户身份的装置,其中,该第一个环球网服务器是多个环球网服务器之一,所述多个环球网服务器每个提供的功能与其他每个环球网服务器提供的功能不同,并且所述多个环球网服务器每个包含识别其他每个环球网服务器提供的功能和其他每个环球网服务器的地址的信息;
在所述第一个环球网服务器检测请求不同于第一个环球网服务器所提供功能的功能的客户请求的装置;
在所述第一个环球网服务器确定提供所请求的功能的多个环球网服务器中的第二个环球网服务器的装置;
产生与用户相关的加密鉴权权标的装置;
向所述第二个环球网服务器发送所述加密鉴权权标的装置,其中,该鉴权权标被赋予截止时间,并被第一个环球网服务器以数字方式签名;
在第二个环球网服务器鉴别该鉴权权标的装置;和
允许用户在第二个环球网服务器对话的装置。
26.根据权利要求25的系统,其中的第一个环球网服务器和第二个环球网服务器共享一个子域名。
27.根据权利要求26的系统,还包括在第二个环球网服务器内检查鉴权权标截止时间的装置。
28.根据权利要求27的系统,其中的鉴权权标包括一个曲奇。
29.根据权利要求28的系统,其中从第一个环球网服务器向第二个环球网服务器发送加密鉴权权标的装置包括从第一个环球网服务器向用户发送加密鉴权权标,然后从用户向第二个环球网服务器发送加密鉴权权标的装置。
30.根据权利要求29的系统,其中第一个环球网服务器鉴别用户身份的装置包括接收用户名和口令的装置。
31.根据权利要求30的系统,其中从第一个环球网服务器向第二个环球网服务器发送加密鉴权权标的装置包括从第一个环球网服务器向用户的计算机发送鉴权权标的装置,以及从用户的计算机向第二个环球网服务器发送鉴权权标的装置。
32.根据权利要求31的系统,其中第一个环球网服务器和第二个环球网服务器包括一群环球网服务器。
33.根据权利要求32的系统,其中第二个环球网服务器鉴别鉴权权标的装置包括检查这一曲奇的装置。
34.根据权利要求33的系统,还包括对鉴权权标进行URL编码的装置。
35.根据权利要求34的系统,还包括在第二个环球网服务器那里对鉴权权标进行URL译码的装置。
36.根据权利要求35的系统,还包括提供有一个服务选择器的一个网页给用户的装置。
37.根据权利要求36的系统,其中的服务选择器包括一个超级链接。
38.根据权利要求37的系统,其中的超级链接包括第二个环球网服务器的一个URL。
39.一种单次注册用户访问一群环球网服务器的系统,其特征在于,包括:
允许计算装置前的用户通过该计算装置的一个环球网浏览器访问这一群环球网服务器中的一个环球网服务器的装置,其中,所述一群环球网服务器中的每个环球网服务器提供的功能与所述一群环球网服务器中其他每个环球网服务器提供的功能不同,并且所述一群环球网服务器每个包含识别其他每个环球网服务器提供的功能和其他每个环球网服务器的地址的信息;
在第一个环球网服务器利用用户提供的鉴别信息鉴别用户身份的装置,该信息至少包括一个用户标识;
在所述第一个环球网服务器检测请求不同于第一个环球网服务器所提供功能的功能的客户请求的装置;
在所述第一个环球网服务器确定提供所请求的功能的所述一群环球网服务器中的第二个环球网服务器的装置;
在第一个环球网服务器为用户产生加密鉴权权标的装置,该加密鉴权权标至少包括用户的用户标识和预先确定的鉴权权标截止时间;
在第一个环球网服务器以数字方式签署该鉴权权标的装置;
在第一个环球网服务器将该鉴权权标的域属性设置为共享的子域名的装置;
在第一个环球网服务器将该加密且数字签署过的鉴权权标发送给计算装置的环球网浏览器的装置;
在第一个环球网服务器将该环球网浏览器重新定向到第二个环球网服务器的装置;
在该环球网浏览器将该鉴权权标发送给第二个环球网服务器的装置;
在第二个环球网服务器将该鉴权权标解密的装置;
在第二个环球网服务器检查该鉴权权标中预先确定的截止时间的装置;和
如果在这一预先确定的鉴权权标截止时间以前,就允许该用户跟第二个环球网服务器进行对话的装置。
40.根据权利要求39的系统,还包括允许该用户跟第一个环球网服务器进行对话的装置。
41.根据权利要求40的系统,其中第二个环球网服务器跟第一个环球网服务器共享一个子域。
42.根据权利要求41的系统,其中第一个环球网服务器以数字方式签署鉴权权标的装置包括用公开密钥加密方式数字签署这一鉴权权标的装置。
43.根据权利要求42的系统,还包括确认跟数字签名是否相同的装置。
44.一种为多个环球网服务器单次注册的系统,包括:
从第一个服务器的一个用户接收登录数据的装置,其中,该第一个服务器是多个服务器之一,所述多个服务器每个提供的功能与其他每个服务器提供的功能不同,并且所述多个服务器每个包含识别其他每个服务器提供的功能和其他每个服务器的地址的信息;
在所述第一个服务器检测请求不同于第一个服务器所提供功能的功能的客户请求的装置;
在所述第一个服务器确定提供所请求的功能的多个服务器中的第二个服务器的装置;
构造鉴权权标的装置,该鉴权权标包括跟这个用户有关的简档数据,其中该鉴权权标被赋予截止时间;
加密和数字签署这一鉴权权标的装置;
将用户重新定向到第二个服务器的装置;
发送鉴权权标给用户的装置;
在第二个服务器里接收该鉴权权标的装置;
在第二个服务器里核实该鉴权权标的装置;和
允许该用户访问第二个服务器提供的服务的装置。
45.根据权利要求44的系统,其中的鉴权权标还包括截止时间数据。
46.根据权利要求45的系统,其中的鉴权权标包括一个曲奇。
47.根据权利要求46的系统,其中的登录数据包括一个用户名和一个口令。
48.根据权利要求47的系统,其中的服务选择器包括一个超级链接。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15585399P | 1999-09-24 | 1999-09-24 | |
US60/155,853 | 1999-09-24 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1289974A CN1289974A (zh) | 2001-04-04 |
CN1308870C true CN1308870C (zh) | 2007-04-04 |
Family
ID=22557048
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB001305778A Expired - Lifetime CN1308870C (zh) | 1999-09-24 | 2000-09-25 | 单次注册用户访问多个环球网服务器的方法和系统 |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP1089516B1 (zh) |
CN (1) | CN1308870C (zh) |
AT (1) | ATE345002T1 (zh) |
DE (1) | DE60031755T2 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989276A (zh) * | 2018-03-27 | 2018-12-11 | 深圳市小赢信息技术有限责任公司 | 一种系统间安全伪登陆架构及方法 |
Families Citing this family (110)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7058817B1 (en) | 1999-07-02 | 2006-06-06 | The Chase Manhattan Bank | System and method for single sign on process for websites with multiple applications and services |
WO2001033477A2 (en) | 1999-11-04 | 2001-05-10 | Jpmorgan Chase Bank | System and method for automated financial project management |
US8571975B1 (en) | 1999-11-24 | 2013-10-29 | Jpmorgan Chase Bank, N.A. | System and method for sending money via E-mail over the internet |
EP1510984A3 (en) * | 2000-03-01 | 2005-06-08 | Passgate Corporation | Method, system and computer readable medium for web site account and e-commerce management from a central location |
US7865414B2 (en) | 2000-03-01 | 2011-01-04 | Passgate Corporation | Method, system and computer readable medium for web site account and e-commerce management from a central location |
TW550477B (en) | 2000-03-01 | 2003-09-01 | Passgate Corp | Method, system and computer readable medium for Web site account and e-commerce management from a central location |
EP1290568A4 (en) * | 2000-05-15 | 2005-05-11 | Communicator Inc | METHOD AND SYSTEM FOR ESTABLISHING AN ONLINE INDUSTRIAL ACTIVITY CENTER |
US7426530B1 (en) | 2000-06-12 | 2008-09-16 | Jpmorgan Chase Bank, N.A. | System and method for providing customers with seamless entry to a remote server |
US10185936B2 (en) | 2000-06-22 | 2019-01-22 | Jpmorgan Chase Bank, N.A. | Method and system for processing internet payments |
US7010582B1 (en) * | 2000-06-26 | 2006-03-07 | Entrust Limited | Systems and methods providing interactions between multiple servers and an end use device |
US8566248B1 (en) | 2000-08-04 | 2013-10-22 | Grdn. Net Solutions, Llc | Initiation of an information transaction over a network via a wireless device |
US7257581B1 (en) | 2000-08-04 | 2007-08-14 | Guardian Networks, Llc | Storage, management and distribution of consumer information |
US9928508B2 (en) | 2000-08-04 | 2018-03-27 | Intellectual Ventures I Llc | Single sign-on for access to a central data repository |
US8335855B2 (en) | 2001-09-19 | 2012-12-18 | Jpmorgan Chase Bank, N.A. | System and method for portal infrastructure tracking |
FR2821685A1 (fr) * | 2001-03-01 | 2002-09-06 | Couponet S A | Systeme d'echange d'informations entre des ordinateurs par l'intermediaire d'un reseau |
US8849716B1 (en) | 2001-04-20 | 2014-09-30 | Jpmorgan Chase Bank, N.A. | System and method for preventing identity theft or misuse by restricting access |
DE10120364A1 (de) * | 2001-04-26 | 2002-10-31 | Philips Corp Intellectual Pty | Just-in-Time Authentifizierung von Benutzern eines digitalen Hausnetzwerks |
US20030005308A1 (en) * | 2001-05-30 | 2003-01-02 | Rathbun Paul L. | Method and system for globally restricting client access to a secured web site |
WO2002099598A2 (en) | 2001-06-07 | 2002-12-12 | First Usa Bank, N.A. | System and method for rapid updating of credit information |
US7266839B2 (en) | 2001-07-12 | 2007-09-04 | J P Morgan Chase Bank | System and method for providing discriminated content to network users |
GB2378104A (en) * | 2001-07-27 | 2003-01-29 | Hewlett Packard Co | Authentification for computer networks using a hybrid protocol and digital certificate |
US20050240763A9 (en) * | 2001-08-06 | 2005-10-27 | Shivaram Bhat | Web based applications single sign on system and method |
US7243369B2 (en) | 2001-08-06 | 2007-07-10 | Sun Microsystems, Inc. | Uniform resource locator access management and control system and method |
GB2378780B (en) * | 2001-08-14 | 2003-07-09 | Elan Digital Systems Ltd | Data integrity |
US7590859B2 (en) | 2001-08-24 | 2009-09-15 | Secure Computing Corporation | System and method for accomplishing two-factor user authentication using the internet |
US7103576B2 (en) | 2001-09-21 | 2006-09-05 | First Usa Bank, Na | System for providing cardless payment |
US7530099B2 (en) * | 2001-09-27 | 2009-05-05 | International Business Machines Corporation | Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation |
US7275260B2 (en) | 2001-10-29 | 2007-09-25 | Sun Microsystems, Inc. | Enhanced privacy protection in identification in a data communications network |
US7085840B2 (en) * | 2001-10-29 | 2006-08-01 | Sun Microsystems, Inc. | Enhanced quality of identification in a data communications network |
CA2466071C (en) | 2001-11-01 | 2016-04-12 | Bank One, Delaware, N.A. | System and method for establishing or modifying an account with user selectable terms |
EP1315064A1 (en) * | 2001-11-21 | 2003-05-28 | Sun Microsystems, Inc. | Single authentication for a plurality of services |
US7987501B2 (en) | 2001-12-04 | 2011-07-26 | Jpmorgan Chase Bank, N.A. | System and method for single session sign-on |
US7610390B2 (en) | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
GB2383147B (en) * | 2001-12-13 | 2005-04-06 | Inventec Corp | Method for integrating multiple web servers based on individual client authorisation |
US6993596B2 (en) * | 2001-12-19 | 2006-01-31 | International Business Machines Corporation | System and method for user enrollment in an e-community |
US20030135734A1 (en) * | 2002-01-14 | 2003-07-17 | Fagan Robert H. | Secure mutual authentication system |
US7260836B2 (en) | 2002-02-26 | 2007-08-21 | Aol Llc | System and method for distributed authentication service |
US7228417B2 (en) | 2002-02-26 | 2007-06-05 | America Online, Inc. | Simple secure login with multiple-authentication providers |
US7221935B2 (en) | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
EP1343286A1 (en) * | 2002-03-04 | 2003-09-10 | BRITISH TELECOMMUNICATIONS public limited company | Lightweight authentication of information |
US20180165441A1 (en) | 2002-03-25 | 2018-06-14 | Glenn Cobourn Everhart | Systems and methods for multifactor authentication |
US7500262B1 (en) | 2002-04-29 | 2009-03-03 | Aol Llc | Implementing single sign-on across a heterogeneous collection of client/server and web-based applications |
WO2003104947A2 (en) | 2002-06-06 | 2003-12-18 | Hardt Dick C | Distributed hierarchical identity management |
JP4276411B2 (ja) | 2002-06-28 | 2009-06-10 | インクリメント・ピー株式会社 | 通信機器認証システム、通信機器認証方法、通信機器認証装置、通信機器認証用プログラムおよび情報記録媒体 |
US20040002878A1 (en) | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
AU2003261124A1 (en) | 2002-07-02 | 2004-01-23 | America Online Incorporated | Seamless cross-site user authentication status detection and automatic login |
US20040054629A1 (en) * | 2002-09-13 | 2004-03-18 | Sun Microsystems, Inc., A Delaware Corporation | Provisioning for digital content access control |
US7380280B2 (en) | 2002-09-13 | 2008-05-27 | Sun Microsystems, Inc. | Rights locker for digital content access control |
US20040064719A1 (en) * | 2002-09-13 | 2004-04-01 | Sun Microsystems, Inc., A Delaware Corporation | Accessing for digital content access control |
US7398557B2 (en) | 2002-09-13 | 2008-07-08 | Sun Microsystems, Inc. | Accessing in a rights locker system for digital content access control |
US7363651B2 (en) * | 2002-09-13 | 2008-04-22 | Sun Microsystems, Inc. | System for digital content access control |
US7240365B2 (en) * | 2002-09-13 | 2007-07-03 | Sun Microsystems, Inc. | Repositing for digital content access control |
US7913312B2 (en) | 2002-09-13 | 2011-03-22 | Oracle America, Inc. | Embedded content requests in a rights locker system for digital content access control |
US7512972B2 (en) * | 2002-09-13 | 2009-03-31 | Sun Microsystems, Inc. | Synchronizing for digital content access control |
FR2844949B1 (fr) * | 2002-09-24 | 2006-05-26 | Radiotelephone Sfr | Procede de gestion d'une configuration d'une passerelle par un utilisateur de la passerelle |
US7058660B2 (en) | 2002-10-02 | 2006-06-06 | Bank One Corporation | System and method for network-based project management |
EP1408704A1 (en) * | 2002-10-09 | 2004-04-14 | Nokia Corporation | Method and arrangement for concealing true identity of user in communications system |
US8301493B2 (en) | 2002-11-05 | 2012-10-30 | Jpmorgan Chase Bank, N.A. | System and method for providing incentives to consumers to share information |
US7353282B2 (en) * | 2002-11-25 | 2008-04-01 | Microsoft Corporation | Methods and systems for sharing a network resource with a user without current access |
US8024781B2 (en) * | 2002-12-04 | 2011-09-20 | Microsoft Corporation | Signing-in to software applications having secured features |
US7451217B2 (en) * | 2002-12-19 | 2008-11-11 | International Business Machines Corporation | Method and system for peer-to-peer authorization |
US7219154B2 (en) * | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
US7725562B2 (en) * | 2002-12-31 | 2010-05-25 | International Business Machines Corporation | Method and system for user enrollment of user attribute storage in a federated environment |
FR2850224B1 (fr) * | 2003-01-22 | 2005-06-03 | France Telecom | Procede et systeme d'enregistrement de parametres d'authentification d'un utilisateur et supports d'enregistrement d'informations pour mettre en oeuvre ce procede |
US7386617B2 (en) | 2003-05-15 | 2008-06-10 | International Business Machines Corporation | Method, system and program product for managing multiple network application versions |
US7594256B2 (en) | 2003-06-26 | 2009-09-22 | Sun Microsystems, Inc. | Remote interface for policy decisions governing access control |
US7444519B2 (en) | 2003-09-23 | 2008-10-28 | Computer Associates Think, Inc. | Access control for federated identities |
WO2005062989A2 (en) * | 2003-12-23 | 2005-07-14 | Wachovia Corporation | Authentication system for networked computer applications |
US8527752B2 (en) | 2004-06-16 | 2013-09-03 | Dormarke Assets Limited Liability | Graduated authentication in an identity management system |
US9245266B2 (en) | 2004-06-16 | 2016-01-26 | Callahan Cellular L.L.C. | Auditable privacy policies in a distributed hierarchical identity management system |
US8504704B2 (en) | 2004-06-16 | 2013-08-06 | Dormarke Assets Limited Liability Company | Distributed contact information management |
US7454623B2 (en) | 2004-06-16 | 2008-11-18 | Blame Canada Holdings Inc | Distributed hierarchical identity management system authentication mechanisms |
WO2006065973A2 (en) * | 2004-12-15 | 2006-06-22 | Exostar Corporation | Enabling trust in a federated collaboration of networks |
US7353034B2 (en) | 2005-04-04 | 2008-04-01 | X One, Inc. | Location sharing and tracking using mobile phones or other wireless devices |
CN1854965B (zh) * | 2005-04-21 | 2010-04-28 | 广达电脑股份有限公司 | 服务器系统的单一登入方法 |
US8583926B1 (en) | 2005-09-19 | 2013-11-12 | Jpmorgan Chase Bank, N.A. | System and method for anti-phishing authentication |
US7747540B2 (en) * | 2006-02-24 | 2010-06-29 | Microsoft Corporation | Account linking with privacy keys |
US8225385B2 (en) * | 2006-03-23 | 2012-07-17 | Microsoft Corporation | Multiple security token transactions |
US8312523B2 (en) * | 2006-03-31 | 2012-11-13 | Amazon Technologies, Inc. | Enhanced security for electronic communications |
US7739744B2 (en) | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
KR20070110779A (ko) * | 2006-05-15 | 2007-11-20 | 김성주 | 통합 인증 방법 및 통합인증서버 |
US8793490B1 (en) | 2006-07-14 | 2014-07-29 | Jpmorgan Chase Bank, N.A. | Systems and methods for multifactor authentication |
US8001588B2 (en) * | 2006-12-12 | 2011-08-16 | Oracle International Corporation | Secure single sign-on authentication between WSRP consumers and producers |
US8473735B1 (en) | 2007-05-17 | 2013-06-25 | Jpmorgan Chase | Systems and methods for managing digital certificates |
US8127235B2 (en) | 2007-11-30 | 2012-02-28 | International Business Machines Corporation | Automatic increasing of capacity of a virtual space in a virtual world |
US20090164919A1 (en) | 2007-12-24 | 2009-06-25 | Cary Lee Bates | Generating data for managing encounters in a virtual world environment |
US8321682B1 (en) | 2008-01-24 | 2012-11-27 | Jpmorgan Chase Bank, N.A. | System and method for generating and managing administrator passwords |
US8392969B1 (en) * | 2009-06-17 | 2013-03-05 | Intuit Inc. | Method and apparatus for hosting multiple tenants in the same database securely and with a variety of access modes |
US9608826B2 (en) | 2009-06-29 | 2017-03-28 | Jpmorgan Chase Bank, N.A. | System and method for partner key management |
JP5570610B2 (ja) | 2009-11-05 | 2014-08-13 | ヴイエムウェア インク | 遠隔ユーザ・セッションのためのシングル・サインオン |
WO2011077305A1 (en) * | 2009-12-24 | 2011-06-30 | Koninklijke Philips Electronics N.V. | Methods and apparatuses for providing content for user terminals |
CN103167497B (zh) * | 2011-12-19 | 2015-10-28 | 卓望数码技术(深圳)有限公司 | 一种鉴权处理方法和鉴权处理系统 |
US8856517B2 (en) * | 2012-11-27 | 2014-10-07 | Oracle International Corporation | Access management system using trusted partner tokens |
US10137376B2 (en) | 2012-12-31 | 2018-11-27 | Activision Publishing, Inc. | System and method for creating and streaming augmented game sessions |
US9419957B1 (en) | 2013-03-15 | 2016-08-16 | Jpmorgan Chase Bank, N.A. | Confidence-based authentication |
US10148726B1 (en) | 2014-01-24 | 2018-12-04 | Jpmorgan Chase Bank, N.A. | Initiating operating system commands based on browser cookies |
CN105592011B (zh) * | 2014-10-23 | 2019-12-24 | 阿里巴巴集团控股有限公司 | 一种账号登录方法及装置 |
US11351466B2 (en) | 2014-12-05 | 2022-06-07 | Activision Publishing, Ing. | System and method for customizing a replay of one or more game events in a video game |
US11122034B2 (en) | 2015-02-24 | 2021-09-14 | Nelson A. Cicchitto | Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system |
US10735404B2 (en) | 2015-02-24 | 2020-08-04 | Avatier Corporation | Aggregator technology without usernames and passwords implemented in a service store |
US9686273B2 (en) | 2015-02-24 | 2017-06-20 | Avatier Corporation | Aggregator technology without usernames and passwords |
US10848485B2 (en) | 2015-02-24 | 2020-11-24 | Nelson Cicchitto | Method and apparatus for a social network score system communicably connected to an ID-less and password-less authentication system |
US10432615B2 (en) | 2015-02-24 | 2019-10-01 | Avatier Corporation | Aggregator technology without usernames and passwords implemented in unified risk scoring |
US11171941B2 (en) | 2015-02-24 | 2021-11-09 | Nelson A. Cicchitto | Mobile device enabled desktop tethered and tetherless authentication |
US11140168B2 (en) | 2015-07-22 | 2021-10-05 | AVAST Software s.r.o. | Content access validation system and method |
US10376781B2 (en) | 2015-10-21 | 2019-08-13 | Activision Publishing, Inc. | System and method of generating and distributing video game streams |
US10232272B2 (en) | 2015-10-21 | 2019-03-19 | Activision Publishing, Inc. | System and method for replaying video game streams |
US10245509B2 (en) | 2015-10-21 | 2019-04-02 | Activision Publishing, Inc. | System and method of inferring user interest in different aspects of video game streams |
US10300390B2 (en) | 2016-04-01 | 2019-05-28 | Activision Publishing, Inc. | System and method of automatically annotating gameplay of a video game based on triggering events |
CN111628965B (zh) * | 2020-04-03 | 2022-09-30 | 北京奇艺世纪科技有限公司 | 一种跨域名登录方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5671354A (en) * | 1995-02-28 | 1997-09-23 | Hitachi, Ltd. | Method of assisting server access by use of user authentication information held in one of servers and a method of assisting management user account for use of servers |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6243451B1 (en) * | 1997-10-09 | 2001-06-05 | Alcatel Usa Sourcing, L.P. | Service management access point |
DE69820391D1 (de) * | 1997-10-31 | 2004-01-22 | Sun Microsystems Inc | Vorausbezahlte Links zu Netwerk-Server |
-
2000
- 2000-09-20 DE DE60031755T patent/DE60031755T2/de not_active Expired - Lifetime
- 2000-09-20 AT AT00203266T patent/ATE345002T1/de not_active IP Right Cessation
- 2000-09-20 EP EP00203266A patent/EP1089516B1/en not_active Expired - Lifetime
- 2000-09-25 CN CNB001305778A patent/CN1308870C/zh not_active Expired - Lifetime
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5671354A (en) * | 1995-02-28 | 1997-09-23 | Hitachi, Ltd. | Method of assisting server access by use of user authentication information held in one of servers and a method of assisting management user account for use of servers |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989276A (zh) * | 2018-03-27 | 2018-12-11 | 深圳市小赢信息技术有限责任公司 | 一种系统间安全伪登陆架构及方法 |
CN108989276B (zh) * | 2018-03-27 | 2021-09-28 | 深圳市小赢信息技术有限责任公司 | 一种系统间安全伪登陆方法 |
Also Published As
Publication number | Publication date |
---|---|
CN1289974A (zh) | 2001-04-04 |
DE60031755D1 (de) | 2006-12-21 |
ATE345002T1 (de) | 2006-11-15 |
DE60031755T2 (de) | 2007-09-06 |
EP1089516B1 (en) | 2006-11-08 |
EP1089516A2 (en) | 2001-04-04 |
EP1089516A3 (en) | 2002-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1308870C (zh) | 单次注册用户访问多个环球网服务器的方法和系统 | |
US7137006B1 (en) | Method and system for single sign-on user access to multiple web servers | |
US10454918B1 (en) | Method for SSO service using PKI based on blockchain networks, and device and server using the same | |
US6421768B1 (en) | Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment | |
US6438550B1 (en) | Method and apparatus for client authentication and application configuration via smart cards | |
CN100342294C (zh) | 生物计量私用密钥基础结构 | |
Jøsang et al. | User centric identity management | |
US8020196B2 (en) | Secure transmission and exchange of standardized data | |
CN100369030C (zh) | 在全异的网域之间验证和传送可核实授权的方法和系统 | |
KR100800339B1 (ko) | 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템 | |
US6862610B2 (en) | Method and apparatus for verifying the identity of individuals | |
AU782518B2 (en) | A method for inter-enterprise role-based authorization | |
US7500099B1 (en) | Method for mitigating web-based “one-click” attacks | |
CN101341492B (zh) | 提供和接收身份相关的信息的方法和系统 | |
US20040030887A1 (en) | System and method for providing secure communications between clients and service providers | |
US20010045451A1 (en) | Method and system for token-based authentication | |
US20090037995A1 (en) | System and Method For Authentication Of Users In A Secure Computer System | |
MX2008015958A (es) | Estructura de verificacion de credencial biometrica. | |
WO2007005997A2 (en) | Method and system for automatically issuing digital merchant based online payment card | |
US20140058875A1 (en) | Methods for facilitating an electronic signature and devices thereof | |
CN1758586A (zh) | 时间戳服务系统和时间戳信息验证服务器及计算机·软件 | |
US20030065789A1 (en) | Seamless and authenticated transfer of a user from an e-business website to an affiliated e-business website | |
US6611916B1 (en) | Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment | |
US6963873B2 (en) | Method and system for automatic association of a signed certificate with a certificate signing request | |
CN1249975C (zh) | 产生用于分离连接到电信息通信网络用户的第一标识符的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20070404 |
|
CX01 | Expiry of patent term |