CN1701295B - 用于对计算机网格进行单次登录访问的方法和系统 - Google Patents
用于对计算机网格进行单次登录访问的方法和系统 Download PDFInfo
- Publication number
- CN1701295B CN1701295B CN2004800007306A CN200480000730A CN1701295B CN 1701295 B CN1701295 B CN 1701295B CN 2004800007306 A CN2004800007306 A CN 2004800007306A CN 200480000730 A CN200480000730 A CN 200480000730A CN 1701295 B CN1701295 B CN 1701295B
- Authority
- CN
- China
- Prior art keywords
- authentication
- access
- netwoks
- attorment
- letter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
用户设备通过网络访问设备向网络访问认证服务器例如远程认证拨入用户服务(RADIUS)服务器发起网络访问认证操作,还生成X.509代理证书,并且在响应网络访问认证操作的成功完成而返回给用户设备的信息如一组网络访问参数中包括代理证书。用户设备提取并存储代理证书。网络访问参数由用户设备用来通过网络访问设备在支持网格的网络上进行通信。当用户设备访问网格中的资源时,代理证书已经可用,从而消除了生成新代理证书的需要,并且允许用户设备的用户体验网络访问和网格访问的集成单次登录。
Description
技术领域
本发明涉及改进的数据处理系统,具体地说,涉及一种用于多计算机数据传输的方法和装置。更具体地说,本发明提供一种用于计算机到计算机的认证的方法和装置。
背景技术
企业通常希望在包括因特网的各种网络上以用户界面友好的方式向授权用户提供对受保护资源的安全访问。远程认证拨入用户服务(RADIUS)协议是保护对网络的远程访问且非常常用的服务器认证和结算协议。然而,在经过适当认证的用户获得了对网络的访问之后,网络上的恶意用户可窃听来自用户的电子消息,或者可以伪造来自用户的消息。有关电子通信的完整性和私密性的关注随着基于因特网的服务的采用而发展。各种加密和认证技术已被开发出来以保护电子通信,如非对称加密密钥。
X.509数字证书标准集已被颁布,以创建公共、安全的计算框架,其包括密钥的使用。X.509数字证书是已由因特网工程任务组(IETF)团体采用的国际电信联盟(ITU)标准。它加密地绑定可能由证书内的主体名称标识的证书持有者与其公共密钥。该加密绑定基于认证中心因特网公开密钥基础结构X.509证书(PKIX)内称作认证中心(CA)的可信任实体的参与。结果,证书持有者与其公开密钥之间强且可信的关联可成为公开信息,但是仍然保持防伪且可靠。该可靠性的重要方面是认证中心在发行证书以便使用之前在其上签署的数字签名。随后,每当将证书提供给系统以便使用服务时,在认证主体持有者之前验证其签名。在成功完成认证过程之后,可以向证书持有者提供对特定信息、服务或其它受控资源的访问,即证书持有者可以被授权访问特定系统。
因特网相关和万维网相关技术的广泛采用促进了在物理上由数以千计的组织和商业机构以及数以百万计的个人支持的互连计算机的全球网络的发展,这主要是由于对诸如超文本传输协议(HTTP)的通信协议的采用,但是在较小的程度上也包括对诸如X.509证书的标准的采用。最近,企业已经致力于将很多计算机的计算能力组织成网格,其是很多计算机的逻辑组织,用于提供计算能力和数据存储能力的集体共享,同时保持各个计算机上的本地自主控制。这些企业中很多在由GGF,Inc.支持的Global Grid ForumTM内协作,以开发共同组织驱动的网格计算标准。
Globus ProjectTM是由政府机关、公司和大学支持以开发网格相关技术的一个研究项目,其引起了开放网格服务架构(OGSA)的开发,这是将网格概念包括在基于万维网服务的面向服务的框架内的倡议。Globus
是提供用于开发支持网格的应用的软件编程工具的开放网格服务架构的实现,并且网格安全基础结构(GSI)是实现安全功能性的Globus部分。GSI使用X.509证书作为网格内用户认证的基础。
虽然提供安全认证机制降低了对受保护资源的非授权访问的危险,但是相同的认证机制可能成为与受保护资源的用户交互的障碍。用户通常希望具有从与一个应用交互跳转到另一个应用的能力而不考虑保护支持这些应用的每个特定系统的认证障碍。
随着用户越来越成熟,他们期望计算机系统协调他们的行动,以便减轻用户负担。这样的期望也适用于认证过程。用户可能假定一旦他或她被计算机系统认证,认证凭证就应当在用户的整个工作会话期间或者至少在特定时间周期内有效,而不考虑有时对于用户不可见的各种计算机架构边界。企业通常试图在其操作的特性中实现这些期望,以不仅安抚用户,而且提高用户效率,而不管用户效率是否与雇员生产率或顾客满意度有关,因为在给定时间范围内使用户经过多个认证过程可能严重影响用户效率。
各种技术已用来减轻用户和计算机系统管理员的认证负担。这些技术通常被描述为“单次登录”(SSO,single-sign-on)过程,因为它们具有共同的目的:在用户完成了登录操作即用户被认证之后,随后用户无需执行其它认证操作。其目标是在用户会话期间用户只需完成一个认证过程。
由于网格的高度分散特性,已经致力于将单次登录功能性的概念包括到网格架构的基础结构中。例如,Globus通过使用X.509代理证书来实现单次登录功能性;单次登录功能性应用于网格内的资源,使得网格内的多个服务的用户无需对于所使用的每个服务都一一通过认证询问。
然而,用户通常需要在试图访问网格内的服务之前通过认证询问以获得对网络的初始访问。在用户完成了对网络的认证操作之后,用户则可以尝试通过网络获得对网格内的资源的访问。因此,为了获得对网格内的资源的访问,用户通常需要通过两次认证询问,这有悖于单次登录操作的概念,并且减弱了将单次登录功能性包括在网格基础结构内的努力。
因此,具有一种用于提供当成功完成时允许访问网络并且随后允许访问通过网络访问的网格内的资源的单次登录操作的方法将是有利的。提供与一般根据标准规范实现的实体(如RADIUS服务器和支持GlobusTM的网格)兼容的单次登录操作将是特别有利的。
发明内容
网络访问认证服务器如RADIUS服务器的用户注册中心被配置成保存用户的私有密钥和用户的公开密钥证书,然后其在例如根据RADIUS协议实现的网络访问认证操作期间对网络访问认证服务器可得。使用用户注册中心中的信息,网络访问认证服务器能够在对用户的网络访问认证操作期间生成用户的代理证书。通过网络访问设备将代理证书随同网络访问参数一起返回给用户设备。将代理证书存储在用户设备的适当位置上,然后当将作业提交给网格时,代理证书对网格-客户端应用可得。
在随后某个时间点,网格-客户端应用准备将作业提交到网格中。当网格-客户端应用找到先前在网络访问认证操作期间存储的最新的有效代理证书时,网格-客户端应用放弃生成新代理证书。因此,此时不需要在用户设备上生成新代理证书这一事实消除了与新代理证书的生成相关联的认证操作的需要。
从第一方面来看,本发明提供一种用于认证操作的方法,该方法包括:通过网络访问设备从用户设备向网络访问认证服务器发起网络访问认证操作;响应网络访问认证操作的成功完成,在用户设备处接收包括一组网络访问参数的信息;从所接收的信息中提取代理证书;并且在用户设备处存储代理证书。
优选地,本发明包括通过网络访问设备将事务请求消息发送到网格内;以及将代理证书提供给网格。
优选地,本发明提供一种方法,其中使用Globus通过软件执行关于网格的操作。
优选地,本发明提供一种方法,其中使用远程认证拨入用户服务(RADIUS)协议执行网络访问认证操作。
从第二方面来看,本发明提供一种用于认证操作的方法,该方法包括:通过网络访问设备在网络访问认证服务器处执行对用户设备的网络访问认证操作;在网络访问认证服务器处生成代理证书;以及响应网络访问认证操作的成功完成,将包括一组网络访问参数的信息发送到用户设备,其中该信息包括所生成的代理证书。
优选地,本发明提供一种与发起网络访问认证操作的实体相关联的代理证书。
优选地,本发明提供一种还包括以下操作的方法:在网络访问认证服务器处从用户注册中心检索公开密钥证书和关联的私有密钥;将来自公开密钥证书的信息插入到代理证书中;以及使用私有密钥对代理证书进行数字签名。
优选地,本发明提供一种方法,其中使用远程认证拨入用户服务(RADIUS)协议执行网络访问认证操作。
优选地,本发明提供一种方法,其中在RADIUS协议中的厂商特定属性内发送代理证书。
从第三方面来看,本发明提供一种计算机可读介质中的计算机程序产品,其在数据处理系统中使用,以执行认证操作,该计算机程序产品包括:用于通过网络访问设备从用户设备向网络访问认证服务器发起网络访问认证操作的部件;用于响应网络访问认证操作的成功完成而在用户设备处接收包括一组网络访问参数的信息的部件;用于从所接收的信息中提取代理证书的部件;以及用于在用户设备处存储代理证书的部件。
优选地,本发明提供一种还包括以下部件的计算机程序产品:用于通过网络访问设备将事务请求消息发送到网格内的部件;以及用于将代理证书提供给网格的部件。
优选地,本发明提供一种计算机程序产品,其中使用Globus
通过软件执行关于网格的操作。
优选地,本发明提供一种计算机程序产品,其中使用远程认证拨入用户服务(RADIUS)协议执行网络访问认证操作。
从第四方面来看,本发明提供一种计算机可读介质中的计算机程序产品,其在数据处理系统中使用,以执行认证操作,该计算机程序产品包括:用于通过网络访问设备在网络访问认证服务器处执行对用户设备的网络访问认证操作的部件;用于在网络访问认证服务器处生成代理证书的部件;以及用于响应网络访问认证操作的成功完成而将包括一组网络访问参数的信息发送到用户设备的部件,其中该信息包括所生成的代理证书。
优选地,本发明提供一种计算机程序产品,其中代理证书与发起网络访问认证操作的实体相关联。
优选地,本发明提供一种还包括以下部件的计算机程序产品:用于在网络访问认证服务器处从用户注册中心检索公开密钥证书和关联的私有密钥的部件;用于将来自公开密钥证书的信息插入到代理证书中的部件;以及用于使用私有密钥对代理证书进行数字签名的部件。
优选地,本发明提供一种计算机程序产品,其中使用远程认证拨入用户服务(RADIUS)协议执行网络访问认证操作。
优选地,本发明提供一种计算机程序产品,其中在RADIUS协议中的厂商特定属性内发送代理证书。
从第五方面来看,本发明提供一种用于认证操作的装置,该装置包括:用于通过网络访问设备从用户设备向网络访问认证服务器发起网络访问认证操作的部件;用于响应网络访问认证操作的成功完成而在用户设备处接收包括一组网络访问参数的信息的部件;用于从所接收的信息中提取代理证书的部件;以及用于在用户设备处存储代理证书的部件。
优选地,本发明提供一种还包括以下部件的装置:用于通过网络访问设备将事务请求消息发送到网格内的部件;以及用于将代理证书提供给网格的部件。
优选地,本发明提供一种装置,其中使用Globus
通过软件执行关于网格的操作。
优选地,本发明提供一种装置,其中使用远程认证拨入用户服务(RADIUS)协议执行网络访问认证操作。
从第六方面来看,本发明提供一种用于认证操作的装置,该装置包括:用于通过网络访问设备在网络访问认证服务器处执行对用户设备的网络访问认证操作的部件;用于在网络访问认证服务器处生成代理证书的部件;以及用于响应网络访问认证操作的成功完成而将包括一组网络访问参数的信息发送到用户设备的部件,其中该信息包括所生成的代理证书。
优选地,本发明提供一种装置,其中代理证书与发起网络访问认证操作的实体相关联。
优选地,本发明还包括:用于在网络访问认证服务器处从用户注册中心检索公开密钥证书和关联的私有密钥的部件;用于将来自公开密钥证书的信息插入到代理证书中的部件;以及用于使用私有密钥对代理证书进行数字签名的部件。
优选地,本发明提供一种装置,其中使用远程认证拨入用户服务(RADIUS)协议执行网络访问认证操作。
优选地,本发明提供一种装置,其中在RADIUS协议中的厂商特定属性内发送代理证书。
附图说明
下面参照附图仅作为示例详细描述本发明的实施例,其中:
图1A示出其中每一个都可实现本发明的数据处理系统的典型网络;
图1B示出可以在可实现本发明的数据处理系统内使用的典型计算机架构;
图1C示出实体获得数字证书的典型方式;
图1D是示出实体可以在分布式数据处理系统内使用数字证书的典型方式的方框图;
图2A是示出包括访问网络以及通过网络访问网格的用户设备的典型数据处理系统的方框图;
图2B是示出根据本发明实施例的包括访问网络和网格的用户设备的数据处理系统的方框图;
图3是示出根据本发明实施例的用于在用户注册中心内建立网格相关信息的过程的流程图;
图4是示出根据本发明实施例的用于将网络访问的认证操作与网格访问的认证操作集成在一起以提供组合网络和网格单次登录操作的服务器端过程的流程图;以及
图5是示出根据本发明实施例的用于将网络访问的认证操作与网格访问的认证操作集成在一起以提供组合网络和网格单次登录操作的客户端过程的流程图。
具体实施方式
一般而言,可包括或涉及本发明的设备包含各种数据处理技术。因此,作为背景,在更详细地描述本发明之前,先描述分布式数据处理系统内的硬件和软件组件的典型组织。
现在参照附图,图1A示出其中每一个都可实现本发明的一部分的数据处理系统的典型网络。分布式数据处理系统100包含网络101,其是可用来提供在分布式数据处理系统100内连接在一起的各种设备和计算机之间的通信链路。网络101可包括诸如电缆或光缆的永久性连接或者通过电话或无线通信而创建的临时连接。在所示例子中,服务器102和服务器103随同存储单元104一起连接到网络101。另外,客户端105-107也连接到网络101。客户端105-107和服务器102-103可以以多种计算设备如大型机、个人计算机、个人数字助理(PDA)等为代表。分布式数据处理系统100可包括未示出的附加服务器、客户机、路由器、其它设备以及对等架构。
在所示例子中,分布式数据处理系统100可包括因特网,其中网络101代表使用各种协议相互通信的网络和网关的全球集合,例如,轻量级目录访问协议(LDAP)、传输控制协议/网际协议(TCP/IP)、超文本传输协议(HTTP)、无线应用协议(WAP)等。当然,分布式数据处理系统100还可包括大量不同类型的网络,例如内部网、局域网(LAN)或广域网(WAN)。例如,服务器102直接支持客户端109和包括无线通信链路的网络110。支持网络的电话111通过无线链路112连接到网络110,而PDA 113通过无线链路114连接到网络110。电话111和PDA 113还可使用适当的技术如蓝牙TM无线技术通过无线链路115相互直接传输数据,以创建所谓的个人区域网(PAN)或个人专用网。以类似的方式,PDA 113可通过无线通信链路116传输数据到PDA 107。本发明可在各种硬件平台上实现;图1A旨在作为异构计算环境的示例,而不作为对本发明的架构限制。
现在参照图1B,其是示出了可实现本发明的如图1A所示的数据处理系统的典型计算机架构的图。数据处理系统120包含一个或多个连接到内部系统总线123的中央处理单元(CPU)122,其中内部系统总线123使随机存取存储器(RAM)124、只读存储器126和输入/输出适配器128互连,输入/输出适配器128支持各种I/O设备如打印机130、盘单元132,或者未示出的其它设备如音频输出系统等。系统总线123还连接通信适配器134,其提供对通信链路136的访问。用户接口适配器148连接各种用户设备如键盘140和鼠标142或者未示出的其它设备如触摸屏、输入笔、麦克风等。显示适配器144将系统总线123连接到显示设备146。
本领域的普通技术人员应当理解,图1B中的硬件可根据系统实现而变化。例如,该系统可具有一个或多个处理器,如基于
的处理器和数字信号处理器(DSP),以及一种或多种类型的易失性和非易失性存储器。作为图1B所示的硬件的补充或替代,可使用其它外围设备。所示例子并不意味着作为对本发明的架构限制。
除了能够在各种硬件平台上实现之外,本发明还可在各种软件环境中实现。典型的操作系统可用来控制每个数据处理系统内的程序执行。例如,一个设备可运行
操作系统,而另一个设备包含简单运行时环境。代表性计算机平台可包括浏览器,其是用于访问采用各种格式和语言的超文本文档如图形文件、字处理文件、可扩展标记语言(XML)、超文本标记语言(HTML)、手持设备标记语言(HDML)、无线标记语言(WML)以及各种其它格式和类型的文件的公知软件应用。
附图描述在此包括用户设备或设备用户的特定操作。本领域的普通技术人员应当理解,到/从客户端的响应/请求有时由用户发起,有时由客户端自动发起,而通常代表客户端用户。因此,当在附图描述中提到客户端或客户端用户时,应当理解,术语“客户端”和“用户”有时可通用而不严重影响所述过程的含义。
如上面关于图1A和图1B所述,本发明可在各种硬件和软件平台上实现。然而,更具体地说,本发明致力于使用数字证书的改进认证操作。在更详细地描述改进的认证服务之前,先描述非对称密钥和数字证书的使用。
数字证书支持公开密钥加密,其中参与通信或事务的每方具有称作公开密钥和私有密钥的一对密钥。每方的公开密钥被发布,而私有密钥被保密。公开密钥是与特定实体相关联的数字,并且旨在为需要与该实体具有可信交互的任何人所知。私有密钥是仅为特定实体所知即保密的数字。在典型的非对称加密系统中,私有密钥对应于恰好一个公开密钥。
在公开密钥加密系统内,由于所有通信仅涉及公开密钥并且私有密钥从不被传输或共享,因此仅使用公开信息生成保密消息,并且仅可以使用仅由预定接收者拥有的私有密钥对其进行解密。此外,公开密钥加密可用于通过数字签名的认证,以及通过加密的保密。加密是将数据变换成在没有秘密解密密钥的情况下任何人都不可读的形式;加密通过对任何不期望的人,即使是可看到加密数据的那些人,隐藏信息内容而保证了私密性。认证是数字消息的接收人可以由此相信发送者的身份和/或消息的完整性的过程。
例如,当发送者对消息进行加密时,使用接收者的公开密钥将原始消息内的数据变换成加密消息的内容。发送者使用预定接收者的公开密钥对数据进行加密,并且接收者使用其私有密钥对加密消息进行解密。
当认证数据时,可通过使用签名者的私有密钥从数据计算数字签名来对数据进行签名。一旦数据被数字签名,它就可与签名者的身份和证明该数据来源于该签名者的签名一起存储。签名者使用其私有密钥对数据进行签名,而接收者使用签名者的公开密钥来验证签名。
证书是证明诸如个人、计算机系统、运行在该系统上的特定服务器等的实体的身份和密钥所有权的数字文档。证书由认证中心签发。认证中心(CA)是受委托为其他人或实体签署或签发证书的实体,其通常是事务的可信第三方。CA对于其有关使人们信任签署证书的实体的公开密钥与其拥有者之间的绑定的证明通常具有某种法律责任。存在很多这样的商业认证中心。这些认证中心负责在签发证书时验证实体的身份和密钥所有权。
如果认证中心为一实体签发了证书,则该实体必须提供公开密钥和有关该实体的一些信息。软件工具例如专门配备的万维网浏览器可以对该信息进行数字签名,并且将其发送到认证中心。认证中心可能是提供可信第三方证书管理服务的公司。然后,认证中心将生成证书,并且将其返回。证书可包含其它信息如序列号和证书的有效日期。认证中心提供的值的一部分用作中立且可信的介绍服务,其部分基于在各种证书服务实践(CSP)中公开发布的其验证要求。
CA通过随同其它标识信息一起嵌入请求实体的公开密钥然后采用CA的私有密钥对数字证书进行签名来创建新数字证书。然后,任何在事务或通信期间接收到数字证书的人可使用CA的公开密钥来验证证书内经过签名的公开密钥。其用意是CA的签名用作数字证书的防伪戳记,从而确保证书中数据的完整性。
证书处理的其它方面也是标准化的,并且有关X.509公开密钥基础结构(PKIX)的更多信息可以在www.ietf.org从因特网工程任务组(IETF)获得。例如,证书请求消息格式(RFC 2511)规定了每当信赖方从CA请求证书时所推荐使用的格式。证书管理协议也已被颁布用于传输证书。由于本发明居于处理数字证书的分布式数据处理系统内,因此用图1C和1D来图解有关数字证书的一些有用背景信息。
现在参照图1C,其是示出了个人获得数字证书的典型方式的方框图。通过某种类型的客户端计算机操作的用户152先前获得或生成了公开/私有密钥对,例如用户公开密钥154和用户私有密钥156。用户152生成包含用户公开密钥154的证书请求158,并且将该请求发送到认证中心160,其拥有CA公开密钥162和CA私有密钥164。认证中心160以某种方式验证用户152的身份,并且生成包含用户公开密钥154的X.509数字证书166。采用CA私有密钥164对整个证书进行签名;证书包括用户的公开密钥、与用户相关联的名称、和其它属性。用户152接收新生成的数字证书166,然后用户152必要时可提供数字证书166以参加可信事务或可信通信。从用户152接收到数字证书166的实体可通过使用在认证中心的公开密钥证书中发布的CA公开密钥162验证CA的签名,其中该公开密钥证书对验证实体可用(或可得)。
现在参照图1D,其是示出了实体可使用数字证书以向因特网系统或应用认证的典型方式的方框图。用户172拥有X.509数字证书174,其被传输到主机系统178上的应用176(或者可由其获得);应用176包括用于处理和使用数字证书的X.509功能性。用户172采用其私有密钥对其发送到应用176的数据进行签名或加密。
接收或获得证书174的实体可以是应用、系统、子系统等。证书174包含向可以为用户172执行某种服务的应用176标识用户172的主体名称或主体标识符。使用证书174的实体在使用关于来自用户172的经过签名或加密的数据的证书之前,验证证书的真实性。
主机系统178还可包含系统注册中心180,其用来授权用户172访问系统178内的服务和资源,即,使用户的身份与用户权限相符合。例如,系统管理员可能已配置了用户的身份属于某一安全组,并且限制了该用户只能访问被配置成可用于该整个安全组的那些资源。该系统内可采用各种公知的用于施加授权方案的方法。
如前面关于现有技术所述,为了适当地证实数字证书,应用必须检查证书是否已被废除。当认证中心签发证书时,认证中心生成用来标识证书的唯一序列号,并且该序列号存储在X.509证书内的“序列号”字段中。典型地,被废除的X.509证书在CRL内通过证书的序列号识别;被废除证书的序列号出现在CRL内的序列号列表中。
为了确定证书174是否仍然有效,应用176从CRL库182获得证书废除列表(CRL),并且证实CRL。应用176将证书174内的序列号与所检索的CRL内的序列号列表进行比较,并且如果不存在匹配的序列号,则应用176证实证书174。如果CRL具有匹配的序列号,则证书174应当被拒绝,并且应用176可以采取适当的措施来拒绝用户访问任何受控资源的请求。
现在参照图2A,其是示出了典型数据处理系统的方框图,其中该数据处理系统包括访问网络并通过网络访问网格的用户设备。用户设备200通过网络访问设备204在网络202上发送和接收数据。用户设备200类似于图1A所示的客户端105-107,而网络202类似于图1A中的网络101。网络访问设备204可以是网络访问服务器、以太网交换机、无线接入点或者能够运行远程认证拨入用户服务(RADIUS)协议或类似协议以认证和授权连接的其它类型的网络访问设备。
网络访问认证服务器206使用适当的协议来处理认证和授权用户连接到网络的请求;在优选实施例中,服务器206支持RADIUS协议,在这种情况下,网络访问设备204将被视作RADIUS客户端,而用户设备200将被视作访问客户端。服务器206可以由各种实体操作,例如操作很多访问客户端如桌面计算机的公司,或者向操作访问客户端的个人用户出售其服务的因特网服务提供商(ISP)。
服务器206在用户注册中心208内存储和检索用户信息,其中用户注册中心208可以是数据库或者其它类型的数据存储库。用户注册中心208存储要由服务器206控制其网络访问的每个用户的帐户信息。可以假定,服务器206的操作者的系统管理员完成每个用户的注册操作。用户注册中心208被示出为包含操作用户设备200的特定用户的帐户信息210,但是其他用户的帐户信息也将存储在用户注册中心208内;帐户信息210包含该特定用户的用户名212和口令(passphrase)214。
假定服务器206根据RADIUS协议工作,则用户设备200可以在下面简化的示例中获得对网络202的访问。例如,响应用户设备200的用户启动万维网浏览器应用,而这又自动启动拨号连网程序,用户设备200向网络访问设备204发起点对点协议(PPP)认证操作。网络访问设备204以对用户名和口令的请求来响应,并且用户设备200从用户获得用户名及其关联口令,并且将该值对返回给网络访问设备204,其将该用户名和口令发送到RADIUS服务器206;可以假定,口令在整个过程期间通过适当的加密而受到保护。RADIUS服务器206采用用户注册中心208中的信息证实所接收的用户名/口令组合,并且以接受响应或拒绝响应来响应。假定用户信息被成功证实,则RADIUS服务器206将向用户设备200提供服务所需的配置信息返回给网络访问设备204,例如,描述要用于会话的参数的属性-值对列表,如要分配给用户设备200的IP地址。网络访问设备204将信息返回给用户设备200,并且用户设备200继续将数据通信发送到网络访问设备204,其将数据传输到网络202上。
当有必要访问网络202内的服务时,在用户设备200上执行的应用可以访问客户端数据存储库216,其中客户端数据存储库216随同其关联用户公开密钥证书220一起以受保护的方式存储用户私有密钥218;用户私有密钥218可使用口令214或某种其它秘密信息来加密,或者它可通过某种其它手段加以保护。用户设备200可支持很多不同类型的应用,例如万维网浏览器应用,并且客户端数据存储库216可采用多种不同形式作为一个或多个数据存储库实现,包括各种应用内或由其控制的存储。
用户设备200还支持网格-客户端应用230,即允许客户端应用请求或访问网格234内的服务/资源232;网格-客户端应用230的形式可以变化,例如独立程序、小应用程序或者某种形式的软件模块。如上所述,网格是很多计算机的逻辑/虚拟组织,用于提供计算能力和数据存储能力的集体共享,同时保持单个计算机上的本地自主控制。由于网格是一个或多个网络内的物理支持单元的虚拟组织,并且由于网络202代表一个或多个网络(其可包括因特网),网格234在图2A内被示出为网络202内的资源的子集。
在本发明的优选实现中,网格-客户端应用230根据Globus
工作,下面将对其各方面进行简要的描述。通过使用“globusrun”命令将作业提交到网格中,并且每个作业伴随有X.509代理证书,其用来认证用户或网格客户端。因此,代理证书必须在可以在网格上运行作业之前创建。
当网格客户端将代理证书传输到网格服务时,网格客户端授予该网格服务如同其就是网格客户端一样被其它网格服务授权的权利。当在网格内处理作业时,可触发多个服务,以帮助处理所提交的作业。由于代理证书伴随网格内的作业,因此它有利于网格内的单次登录操作;认证询问不针对每个对网格资源或服务的访问而生成。
代理证书是具有有限生存期的短期会话证书,该生存期典型地为数小时左右。特定代理证书基于特定公开密钥证书;在公开密钥证书内标识的主体可生成代理证书。使用公开密钥证书内的特定公开密钥的对应私有密钥对代理证书进行数字签名,从而允许根据隐含在X.509证书的使用中的分级信任路径证实代理证书,下面将对此进行更详细的说明。
在图2A所示的例子中,网格认证中心(CA)236例如以类似于上面关于图1C和1D所述的方式向将在网格234内使用证书的用户签发证书。在可选实施例中,可采用与网格无关的不同CA,例如,被委托为除支持网格234的组织之外的其它组织签发证书的第三方厂商。然而,为了获得网格234内的单次登录操作的益处,应当假定,网格234内的所有资源都信任给定CA,如CA 236。换句话说,网格CA 236被认为是关于网格234的根CA。然而,对于本发明,假定公开密钥证书220和网格资源/服务232的用户/主体都信任网格CA 236就足够。
公开密钥证书220由CA 236使用其私有密钥进行过签名。一般而言,当用户设备200通过向服务232发送事务请求消息来向服务232发起事务时,它采取其私有密钥218对事务相关消息进行签名。用户设备200可将公开密钥证书220的副本随同事务相关消息一起传输到服务232,或者服务232可从已知位置如LDAP目录获得公开密钥证书220的副本。使用公开密钥证书220中与用来对事务相关消息进行签名的私有密钥218对应的公开密钥,服务232证实事务相关消息上的数字签名。
以类似的方式,服务232使用CA 236的公开密钥证书的副本中与用来对公开密钥证书220进行签名的CA私有密钥对应的公开密钥,证实所接收或所检索的公开密钥证书220的副本的真实性。服务232可从已知位置获得CA 236的公开密钥证书的副本,或者还可随同事务相关消息一起传输CA 236的公开密钥证书的副本;用户设备200可存储CA公开密钥证书238的副本。以这种方式,形成所谓的分级信任链、信任路径或证书路径;必要时,证实可沿着信任路径继续直到根CA。由于服务232隐含地信任CA 236,因此服务232被认为是信任该事务相关消息是由在公开密钥证书220内标识的主体真实生成的。
以类似的方式,用户设备200可担当认证中心来生成使用私有密钥218签名的代理证书240;所生成的代理证书包含唯一名称和非对称密钥对的公开密钥。当代理证书240由用户设备200传输到服务232时,服务232必要时可使用公开密钥证书220、CA公开密钥证书238和信任路径中的其它证书证实代理证书240的信任路径。由于代理证书240的性质,服务232因而可以相对于其它服务担当代表用户设备200的代理。
如上所述,在本发明的优选实现中,网格-客户端应用230根据Globus
工作,并且代理证书必须使用Globus在可以在网格上运行作业之前创建。“grid-proxy-init(网格代理发起)”命令创建代理证书,它将该代理证书存储在特定文件内。在一种实现中,该文件存储在路径名“/tmp/<filename>”处,其中该文件名为“x509up_u<uid>”,并且其中用户标识符与运行“grid-proxy-init”命令的用户相关联。该文件随同其对应的私有密钥以及作为代理证书的基础的公开密钥证书的副本一起存储代理证书。
用来对代理证书进行数字签名的用户私有密钥在不同文件内保持加密;在一种实现中,它存储在文件“$HOME/.globus/userkey.pem”中。该私有密钥可以通过用户的网格口令来访问;在一种实现中,该口令是在通过使用“grid-cert-request(网格证书请求)”命令由网格认证中心创建用户的公开密钥证书时由用户提供的相同口令。
因此,当用户操作网格-客户端应用230时,网格-客户端应用230使用存储在特定文件中的代理证书;“grid-proxy-init”应当已被预先运行以创建代理证书。当调用“globusrun”命令时,执行例程知道从其检索代理证书以伴随提交到网格中的作业的文件位置。
如上所述,通过使用代理证书而实现的网格单次登录功能性仅应用于网格内的资源。因此,在用户通过网络访问认证服务器完成了关于网络的认证操作之后,将通过网格-客户端应用向用户询问以完成关于网格的另一认证操作。因此,在现有技术中,用户通常需要通过两次认证询问以获得对网格内的资源的访问,这有悖于单次登录操作概念,并且减弱了在网格基础结构内包括单次登录功能性的努力。本发明提供了对该问题的解决方案。
现在参照图2B,其是示出了根据本发明实施例的包括访问网络和网格的用户设备的数据处理系统的方框图。图2B类似于图2A,并且类似的附图标记表示相同的部件。然而,在图2B的例子中,用户注册中心中的用户帐户信息被修改成包括每个网格用户的受保护私有密钥218和公开密钥证书220的副本。另外,图2A中的网络访问认证服务器和用户设备被修改成包括附加功能性。在图2B中,网络访问认证服务器250包括网格代理证书生成器252,并且用户设备260包括修改的拨号程序262。下面将对采用修改的帐户信息和附加功能性的方式做进一步的详细描述。
现在参照图3,其是示出了根据本发明实施例的用于在用户注册中心内建立网格相关信息的过程的流程图。该过程以在由网络访问认证服务器如RADIUS服务器使用的用户注册数据库内建立用户帐户的典型用户注册操作(步骤302)开始;该用户注册操作基本上类似于在图2A所示的数据处理系统内所需的用户注册操作。随后,网络访问认证服务器使用用户注册中心以确定是否应当允许用户访问网络。
然而,与图2A所示的数据处理系统不同的是,如果特定用户要受益于本发明,则图2B所示的数据处理系统需要在该特定用户的帐户信息内存储附加信息。因此,在用户注册操作期间,还与用户的其它帐户信息相关联地存储用户的私有密钥和用户的公开密钥证书(步骤304),这就完成了修改的登记过程。用户的私有密钥最好以某种方式例如通过以用户口令对其进行加密而加以保护。这些数据项可通过本发明范围之外(out-of-band)的过程传输给帐户登记者;例如,系统管理员可负责直接从用户获得用户的私有密钥和用户公开密钥证书。
现在参照图4,其是示出了根据本发明实施例的用于将网络访问的认证操作与网格访问的认证操作集成在一起以提供组合网络和网格单次登录操作的服务器端过程的流程图。图4示出单次登录操作处理在服务器上发生的部分,而图5示出单次登录操作处理在用户设备上发生的部分。该过程以网络访问认证服务器执行网络访问认证操作(步骤402)开始。假定用户被成功地认证;如果否,则将返回适当的拒绝响应。例如,具有扩展功能性例如图2B所示的网格代理证书生成器功能的RADIUS服务器,如上面关于图2A所述,根据RADIUS协议执行认证操作。
然而,在为成功的认证返回网络访问参数之前,网络访问认证服务器获得用户私有密钥的副本和用户公开密钥证书的副本(步骤404),例如,来自用户帐户注册中心的副本;如果用户的私有密钥受到保护,则对用户私有密钥的加密副本进行解密。假定例如通过完成图3所示的过程,用户的帐户信息包含用户私有密钥的副本和用户公开密钥证书的副本,尽管在存在不访问网格的一些用户的情况下,可以以有选择的方式控制步骤404和406。例如,用户的帐户信息可包括表示用户是否是需要集成网络-网格单次登录操作的网格用户的值。
假定用户需要访问网格,则网络访问认证服务器以类似于上述方式的方式生成代理证书(步骤406);代理证书包含从用户的公开密钥证书拷贝的一些信息,例如“主体”标识符,并且以用户的私有密钥对代理证书进行数字签名。然后,网络访问认证服务器随同网络访问参数一起返回代理证书(步骤408),由此完成集成的认证过程。例如,具有扩展功能性例如图2B所示的网格代理证书生成器功能的RADIUS服务器能够在允许厂商支持RADIUS协议内的扩展属性的厂商特定属性(VSA)内返回代理证书。
现在参照图5,其是示出了根据本发明实施例的用于将网络访问的认证操作与网格访问的认证操作集成在一起以提供组合网络和网格单次登录操作的客户端过程的流程图。该过程以用户设备在试图获得对网络的访问时发起和参与网络访问认证操作(步骤502)开始。
在随后某个时间点,从网络访问认证服务器返回一组网络访问参数,用户设备存储其以用于生成用于在网络上通信的适当网络分组。先前已在用户设备上配置了修改的拨号程序;修改的拨号程序参与网络访问认证操作,并且修改的拨号程序处理所返回的网络访问参数。当返回了网络访问参数时,修改的拨号程序检测代理证书的存在(步骤504)。修改的拨号程序提取代理证书,并且将其存储在用户设备上的适当文件中(步骤506),从而完成该过程。例如,如果通过使用Globus
的应用配置了用户设备,则修改的拨号程序创建包含代理证书的文件。
在本发明中,典型的用户设备和典型的网络访问认证服务器被修改成适应代理证书的传输。将代理证书从网络认证服务器传输到用户设备的方式在本发明的不同实施例中可以变化。在本发明的优选实施例中,用户设备和网络访问认证服务器支持如下所述的功能性。
用户设备使用PPP可扩展认证协议(与点对点协议(PPP)相关并且缩写为EAP)与网络访问设备通信;EAP定义在Blunk等人的“PPP ExtensibleAuthentication Protocol(EAP)”,RFC 2284,因特网工程任务组(IETF),1998年3月内。如在RFC 2284内所描述的那样,PPP提供用于在点对点链路上传输多协议数据报的标准方法。为了在点对点链路上建立通信,PPP链路的每端必须初始发送链路控制协议(LCP)分组,以在链路建立阶段期间配置数据链路。在建立了链路之后,PPP在进入网络层协议阶段之前提供可选的认证短语。缺省地,认证不是强制性的,但是如果需要链路认证,则其实现必须在链路建立阶段期间指定认证协议配置选项;EAP定义特定认证协议。当到达连接认证阶段时,端点设备(有时称作“对等方”)协商使用称作EAP类型的特定EAP认证方案。
EAP定义请求分组和响应分组;每个请求具有类型字段,其表示正在请求什么信息。EAP定义用于请求/响应交换的一组初始EAP类型。一旦商定EAP类型,则EAP允许在用户设备(访问客户端)和网络访问认证服务器(例如,RADIUS服务器)之间进行可扩充的(open-ended)的消息交换,其可以根据参数和连接需要而变化。端点之间的对话包括一系列认证信息请求和响应。
本发明可使用EAP定义的“类型6”,其典型地用于支持需要用户输入的一般性标记卡。该请求典型地包含ASCII文本消息。回复典型地包含认证所需的标记卡信息;典型地,这将是由用户从标记卡设备读取然后作为ASCII文本输入的信息。
在优选实施例中,在已经向用户设备请求并且从用户设备接收认证信息(用户名/口令)之后,将代理证书作为“类型6”的EAP请求传输到用户设备,该EAP请求可具有多达64千字节的可变长度,这大于足以保存代理证书的长度;代理证书可根据各种算法如UU编码被变换成全ASCII文本串。
以这种方式,该数据字段被“过载”以承载不同于EAP规范所预期的数据有效载荷。这样,来自用户设备的EAP响应的内容可具有各种信息,如确认或可变哑数据。
EAP被设计成在两个端点处都允许认证插入式模块,从而允许厂商具有提供新认证方案的机会。用户设备上经修改的拨号程序识别过载的“类型6”EAP请求,提取ASCII文本的内容有效载荷;必要时,它例如通过UU解码算法变换该ASCII文本,以获得代理证书,然后,它将其存储在适当的位置,例如,如上所述由网格-客户端应用使用的文件中。
网络访问设备仅传输认证分组的内容,从而网络访问设备不受传输代理证书的方式的影响。在实现RADIUS协议的本发明优选实施例中,网络访问设备支持所谓的“RADIUS上的EAP”,其通过网络访问设备将任何EAP类型的EAP消息传到RADIUS服务器。在访问客户端(用户设备)与RADIUS服务器之间发送的EAP消息被格式化为“EAP消息”属性,并且在网络访问设备与RADIUS服务器之间的RADIUS消息中发送。这样,网络访问设备成为在访问客户端与RADIUS服务器之间传递EAP消息的中介设备;EAP消息的处理发生在访问客户端和RADIUS服务器处而非网络访问设备处。
网络访问设备只需支持作为认证协议的EAP的协商以及向RADIUS服务器传递EAP消息,这是由市场上可买到的很多网络访问设备提供的功能性。应当注意的是,“EAP消息”属性定义在Rigney等人的“RADIUS Extensions”,RFC 2869,IETF,2000年6月中。因此,在本发明的优选实施例中,网络访问设备被配置成使用EAP并且使用RADIUS作为其认证提供者。当进行连接尝试时,用户设备与网络访问设备协商EAP的使用。当用户设备将EAP消息发送到网络访问设备时,网络访问设备将EAP消息封装为RADIUS消息,并且将其发送到其配置的RADIUS服务器。RADIUS服务器处理EAP消息,并且将RADIUS格式的EAP消息发送回到网络访问设备,然后,网络访问设备将EAP消息转发给用户设备。
通过上面提供的详细描述,本发明的优点应当是清楚的。网络访问认证服务器如RADIUS服务器的用户注册中心被配置成保存用户的私有密钥和用户的公开密钥证书,然后其在例如根据RADIUS协议实现的网络访问认证操作期间对网络访问认证服务器可得。使用用户注册中心中的信息,网络访问认证服务器能够在对用户的网络访问认证操作期间生成用户的代理证书。通过网络访问设备将代理证书随同网络访问参数一起返回给用户设备。将代理证书存储在用户设备的适当位置上,然后当将作业提交到网格中时,代理证书对网格-客户端应用可得。
在某个随后的时间点,网格-客户端应用准备将作业提交到网格中。当网格-客户端应用找到先前在网络访问认证操作期间存储的新的有效代理证书时,网格-客户端应用使用它。因此,此时不需要在用户设备上生成新代理证书这一事实消除了对与新代理证书的生成相关联的认证操作的需要。以这种方式,对于网络访问和网格访问,仅执行一个认证操作,从而为网络和网格的用户实现单次登录的体验。
值得注意的是,虽然本发明是在全功能数据处理系统的上下文中描述的,但是本领域的普通技术人员应当理解,本发明的过程能够以计算机可读介质中的指令的形式和各种其它形式分发,而不管实际用来执行分发的信号承载介质的特定类型。计算机可读介质的例子包括诸如EPROM、ROM、磁带、纸、软盘、硬盘驱动器、RAM和CD-ROM的介质以及诸如数字和模拟通信链路的传输型介质。
方法一般地被表达为自相容的产生期望结果的步骤序列。这些步骤需要对物理量的物理操纵。通常,尽管不一定,这些量采取能够被存储、传输、组合、比较和按照其它方式操纵的电或磁信号的形式。主要是由于常用的原因,有时将这些信号称为位、值、参数、项目、元素、对象、符号、字符、术语、数字等是方便的。然而,应当注意的是,所有这些术语和类似术语要与适当的物理量相关联,并且它们仅是应用于这些量的方便标注。
本发明的描述是为了示例说明的目的而提供的,而不旨在是彻底无遗漏的,或者局限于所公开的实施例。很多修改和变更对于本领域的普通技术人员将是清楚的。选择这些实施例是为了说明本发明的原理及其实际应用,并且使得本领域的其他普通技术人员能够理解本发明,以便实现可能适于其他预期用途的具有各种修改的各种实施例。
Claims (8)
1.一种用于认证操作的方法,该方法包括:
通过网络访问设备从用户设备向网络访问认证服务器发起网络访问认证操作,其中所述发起包括向网络访问设备发送一个与用户设备相关联的私有密钥和一个与用户设备相关联的公开密钥;
响应于网络访问认证操作的成功完成,在用户设备处接收包括一组网络访问参数的信息,其中,该信息进一步包括一个由网络访问认证服务器产生的代理证书,其中,代理证书包括从公开密钥拷贝的第二信息,并且代理证书采用私有密钥进行签名;
从所接收的信息中提取代理证书;
在用户设备处存储代理证书;
通过网络访问设备将事务请求消息发送到网格内,其中所述事务请求消息包括所述代理证书以及使用网格资源的请求,其中,用户需要通过第一认证询问和第二认证询问来获得对网格资源的访问,其中,必须通过第一认证询问以便获得对网络访问认证服务器的访问,必须通过第二认证询问以便获得对网络资源的访问,其中,第二认证询问在第一认证询问之后执行,其中,所述发起网络访问认证操作满足第一认证询问并成功完成网络访问认证操作;
将代理证书提供给网格,其中,将代理证书提供给网格满足第二认证询问,从而使得该网络访问认证操作既满足第一认证询问又满足第二认证询问。
2.如权利要求1所述的方法,还包括:
由一个网格资源/服务证实所述代理证书,其中,所述网格资源/服务然后相对于其他服务担当代表用户的代理。
3.如权利要求1所述的方法,其特征在于,使用开放网格服务架构协议通过软件执行关于网格的操作。
4.如权利要求1所述的方法,其特征在于,使用远程认证拨入用户服务FADIUS协议执行网络访问认证操作。
5.一种用于认证操作的装置,该装置包括:
用于通过网络访问设备从用户设备向网络访问认证服务器发起网络访问认证操作的部件,其中所述发起包括向网络访问设备发送一个与用户设备相关联的私有密钥和一个与用户设备相关联的公开密钥;
用来响应于网络访问认证操作的成功完成而在用户设备处接收包括一组网络访问参数的信息的部件,其中,该信息进一步包括一个由网络访问认证服务器产生的代理证书,其中,代理证书包括从公开密钥拷贝的第二信息,并且代理证书采用私有密钥进行签名;
用于从所接收的信息中提取代理证书的部件;
用于在用户设备处存储代理证书的部件;
用于通过网络访问设备将事务请求消息发送到网格内的部件,其中所述事务请求消息包括所述代理证书以及使用网格资源的请求,其中,用户需要通过第一认证询问和第二认证询问来获得对网格资源的访问,其中,必须通过第一认证询问以便获得对网络访问认证服务器的访问,必须通过第二认证询问以便获得对网络资源的访问,其中,第二认证询问在第一认证询问之后执行,其中,所述发起网络访问认证操作满足第一认证询问并成功完成网络访问认证操作;以及
用于将代理证书提供给网格的部件,其中,将代理证书提供给网格满足第二认证询问,从而使得该网络访问认证操作既满足第一认证询问又满足第二认证询问。
6.如权利要求5所述的装置,还包括:
用于由一个网格资源/服务证实所述代理证书的部件,其中,所述网格资源/服务然后相对于其他服务担当代表用户的代理。
7.如权利要求5所述的装置,其特征在于,使用开放网格服务架构协议通过软件执行关于网格的操作。
8.如权利要求5所述的装置,其特征在于,使用远程认证拨入用户服务FADIUS协议执行网络访问认证操作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/610,980 US7496755B2 (en) | 2003-07-01 | 2003-07-01 | Method and system for a single-sign-on operation providing grid access and network access |
| US10/610,980 | 2003-07-01 | ||
| PCT/EP2004/051002 WO2005003934A1 (en) | 2003-07-01 | 2004-06-08 | Method and system for a single-sign-on access to a computer grid |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1701295A CN1701295A (zh) | 2005-11-23 |
| CN1701295B true CN1701295B (zh) | 2011-01-12 |
Family
ID=33564250
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800007306A Expired - Fee Related CN1701295B (zh) | 2003-07-01 | 2004-06-08 | 用于对计算机网格进行单次登录访问的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US7496755B2 (zh) |
| JP (1) | JP4632315B2 (zh) |
| KR (1) | KR100872099B1 (zh) |
| CN (1) | CN1701295B (zh) |
| TW (1) | TWI321939B (zh) |
| WO (1) | WO2005003934A1 (zh) |
Families Citing this family (71)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7475146B2 (en) * | 2002-11-28 | 2009-01-06 | International Business Machines Corporation | Method and system for accessing internet resources through a proxy using the form-based authentication |
| US7787497B1 (en) * | 2003-03-03 | 2010-08-31 | Cisco Technology, Inc. | System for grouping attributes in packets in a radius protocol |
| US8473620B2 (en) * | 2003-04-14 | 2013-06-25 | Riverbed Technology, Inc. | Interception of a cloud-based communication connection |
| US7496755B2 (en) * | 2003-07-01 | 2009-02-24 | International Business Machines Corporation | Method and system for a single-sign-on operation providing grid access and network access |
| KR100519770B1 (ko) * | 2003-07-08 | 2005-10-07 | 삼성전자주식회사 | 애드 혹 망에서 분산 인증서 관리 방법 및 그 시스템 |
| US7823199B1 (en) | 2004-02-06 | 2010-10-26 | Extreme Networks | Method and system for detecting and preventing access intrusion in a network |
| US7467303B2 (en) | 2004-03-25 | 2008-12-16 | International Business Machines Corporation | Grid mutual authorization through proxy certificate generation |
| US8561200B2 (en) * | 2004-06-24 | 2013-10-15 | Telecom Italia S.P.A. | Method and system for controlling access to communication networks, related network and computer program therefor |
| US7814216B2 (en) * | 2004-09-07 | 2010-10-12 | Route 1 Inc. | System and method for accessing host computer via remote computer |
| US7721328B2 (en) * | 2004-10-01 | 2010-05-18 | Salesforce.Com Inc. | Application identity design |
| KR100995423B1 (ko) * | 2005-01-28 | 2010-11-18 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 통신 시스템에서 사용자 인증 및 권한 부여 |
| US8286223B2 (en) | 2005-07-08 | 2012-10-09 | Microsoft Corporation | Extensible access control architecture |
| US20090083537A1 (en) * | 2005-08-10 | 2009-03-26 | Riverbed Technology, Inc. | Server configuration selection for ssl interception |
| US8613071B2 (en) * | 2005-08-10 | 2013-12-17 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
| US8438628B2 (en) * | 2005-08-10 | 2013-05-07 | Riverbed Technology, Inc. | Method and apparatus for split-terminating a secure network connection, with client authentication |
| US8478986B2 (en) * | 2005-08-10 | 2013-07-02 | Riverbed Technology, Inc. | Reducing latency of split-terminated secure communication protocol sessions |
| CN100466657C (zh) * | 2005-12-06 | 2009-03-04 | 南京邮电大学 | 一种网格计算环境下的访问控制决策器 |
| US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| EP2011301B1 (en) * | 2006-04-10 | 2011-06-22 | Trust Integration Services B.V. | Arrangement of and method for secure data transmission. |
| US20070283143A1 (en) * | 2006-06-06 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for certificate-based client registration via a document processing device |
| JP4882546B2 (ja) * | 2006-06-28 | 2012-02-22 | 富士ゼロックス株式会社 | 情報処理システムおよび制御プログラム |
| KR101302763B1 (ko) * | 2006-08-22 | 2013-09-03 | 인터디지탈 테크날러지 코포레이션 | 애플리케이션 및 인터넷 기반 서비스들에 신뢰성있는 싱글 사인온 액세스를 제공하는 방법 및 장치 |
| EP1898330A1 (de) * | 2006-09-06 | 2008-03-12 | Nokia Siemens Networks Gmbh & Co. Kg | Verfahren für Single-Sign-On bei Peer-To-Peer-Anwendungen |
| US8555335B2 (en) * | 2006-11-01 | 2013-10-08 | Microsoft Corporation | Securing distributed application information delivery |
| KR100901872B1 (ko) * | 2006-12-01 | 2009-06-09 | 한국전자통신연구원 | 그리드 서비스를 이용한 이종 노매딕/이동 통신 네트워크간 협업 시스템 및 그 방법 |
| WO2008066277A1 (en) * | 2006-12-01 | 2008-06-05 | Electronics And Telecommunications Research Institute | Collaboration system and method among heterogeneous nomadic and mobile communication networks using grid services |
| US7974286B2 (en) * | 2006-12-04 | 2011-07-05 | International Business Machines Corporation | Reduced redundant security screening |
| US7643175B2 (en) * | 2006-12-14 | 2010-01-05 | Eastman Kodak Company | Color print enhancement system with conversion of PCS encoded picture into photographic process confined PCS and correction for finish |
| US7886339B2 (en) * | 2007-01-20 | 2011-02-08 | International Business Machines Corporation | Radius security origin check |
| US8429734B2 (en) * | 2007-07-31 | 2013-04-23 | Symantec Corporation | Method for detecting DNS redirects or fraudulent local certificates for SSL sites in pharming/phishing schemes by remote validation and using a credential manager and recorded certificate attributes |
| US8990911B2 (en) * | 2008-03-30 | 2015-03-24 | Emc Corporation | System and method for single sign-on to resources across a network |
| US8327143B2 (en) * | 2008-08-04 | 2012-12-04 | Broadcom Corporation | Techniques to provide access point authentication for wireless network |
| US8707043B2 (en) * | 2009-03-03 | 2014-04-22 | Riverbed Technology, Inc. | Split termination of secure communication sessions with mutual certificate-based authentication |
| MY150173A (en) * | 2009-03-16 | 2013-12-13 | Mimos Berhad | Method of generating a proxy certificate |
| US8156546B2 (en) * | 2009-10-29 | 2012-04-10 | Satyam Computer Services Limited Of Mayfair Centre | System and method for flying squad re authentication of enterprise users |
| EP2348447B1 (en) | 2009-12-18 | 2014-07-16 | CompuGroup Medical AG | A computer implemented method for generating a set of identifiers from a private key, computer implemented method and computing device |
| EP2348449A3 (en) * | 2009-12-18 | 2013-07-10 | CompuGroup Medical AG | A computer implemented method for performing cloud computing on data being stored pseudonymously in a database |
| EP2348452B1 (en) | 2009-12-18 | 2014-07-02 | CompuGroup Medical AG | A computer implemented method for sending a message to a recipient user, receiving a message by a recipient user, a computer readable storage medium and a computer system |
| US8549300B1 (en) | 2010-02-23 | 2013-10-01 | Juniper Networks, Inc. | Virtual single sign-on for certificate-protected resources |
| EP2365456B1 (en) * | 2010-03-11 | 2016-07-20 | CompuGroup Medical SE | Data structure, method and system for predicting medical conditions |
| US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| CN102907038B (zh) * | 2010-05-19 | 2015-09-16 | 皇家飞利浦电子股份有限公司 | 基于属性的数字签名系统 |
| JP2012043154A (ja) * | 2010-08-18 | 2012-03-01 | Canon Inc | 情報処理装置及びその制御方法 |
| US8566596B2 (en) * | 2010-08-24 | 2013-10-22 | Cisco Technology, Inc. | Pre-association mechanism to provide detailed description of wireless services |
| US8924715B2 (en) * | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
| WO2012149384A1 (en) * | 2011-04-28 | 2012-11-01 | Interdigital Patent Holdings, Inc. | Sso framework for multiple sso technologies |
| US20130198513A1 (en) * | 2012-01-27 | 2013-08-01 | DoctorCom, Inc. | Encryption method and system for network communication |
| US8874766B2 (en) * | 2012-03-09 | 2014-10-28 | Mcafee, Inc. | System and method for flexible network access control policies in a network environment |
| US9760939B2 (en) | 2012-03-23 | 2017-09-12 | The Toronto-Dominion Bank | System and method for downloading an electronic product to a pin-pad terminal using a directly-transmitted electronic shopping basket entry |
| US9003507B2 (en) * | 2012-03-23 | 2015-04-07 | Cloudpath Networks, Inc. | System and method for providing a certificate to a third party request |
| US9842335B2 (en) * | 2012-03-23 | 2017-12-12 | The Toronto-Dominion Bank | System and method for authenticating a payment terminal |
| US9152957B2 (en) | 2012-03-23 | 2015-10-06 | The Toronto-Dominion Bank | System and method for downloading an electronic product to a pin-pad terminal after validating an electronic shopping basket entry |
| US9935953B1 (en) * | 2012-11-06 | 2018-04-03 | Behaviometrics Ab | Secure authenticating an user of a device during a session with a connected server |
| KR20140131764A (ko) * | 2013-05-06 | 2014-11-14 | 삼성전자주식회사 | 무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치 |
| FR3006536A1 (fr) * | 2013-05-28 | 2014-12-05 | France Telecom | Technique de distribution d'un contenu dans un reseau de distribution de contenus |
| US20160021097A1 (en) * | 2014-07-18 | 2016-01-21 | Avaya Inc. | Facilitating network authentication |
| JP2016085641A (ja) * | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
| US9843452B2 (en) | 2014-12-15 | 2017-12-12 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
| US9843572B2 (en) * | 2015-06-29 | 2017-12-12 | Airwatch Llc | Distributing an authentication key to an application installation |
| JP6672964B2 (ja) * | 2016-03-31 | 2020-03-25 | ブラザー工業株式会社 | 仲介サーバ |
| JP6540642B2 (ja) * | 2016-09-21 | 2019-07-10 | 京セラドキュメントソリューションズ株式会社 | 認証システムおよび認証方法 |
| JP6652074B2 (ja) * | 2017-01-10 | 2020-02-19 | 京セラドキュメントソリューションズ株式会社 | 認証システムおよび認証方法 |
| US11025608B2 (en) * | 2017-11-10 | 2021-06-01 | Cisco Technology, Inc. | Enabling zero-touch bootstrap for devices across network perimeter firewalls |
| AU2018455995A1 (en) * | 2018-12-31 | 2021-08-19 | Lleidanetworks Serveis Telemàtics S.A. | Universal certified and qualified contracting method |
| US10856170B1 (en) * | 2019-06-12 | 2020-12-01 | Cisco Technology, Inc. | Reducing traffic in a low power and lossy network based on removing redundant certificate from authentication message destined for constrained wireless device via authenticated wireless device |
| CN111787044A (zh) * | 2019-12-23 | 2020-10-16 | 北京沃东天骏信息技术有限公司 | 物联网终端平台 |
| CN111191202B (zh) * | 2019-12-31 | 2022-08-02 | 北京指掌易科技有限公司 | 移动应用的单点登录方法、装置及系统 |
| CN112464205A (zh) * | 2020-11-20 | 2021-03-09 | 南京酷开智慧屏科技有限公司 | 一种用于触点连接设备的权鉴认证系统及权鉴认证方法 |
| US11870919B2 (en) | 2020-12-18 | 2024-01-09 | Visa International Service Association | Method and system for authentication credential |
| CN113656829B (zh) * | 2021-07-22 | 2024-08-23 | 北京理工大学 | 一种基于格密码与联盟链的医疗数据安全共享方法 |
| US20230403138A1 (en) * | 2022-06-13 | 2023-12-14 | Cyberark Software Ltd. | Agentless single sign-on techniques |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5944824A (en) * | 1997-04-30 | 1999-08-31 | Mci Communications Corporation | System and method for single sign-on to a plurality of network elements |
| WO2001011450A1 (en) * | 1999-08-05 | 2001-02-15 | Sun Microsystems, Inc. | Single sign-on framework with trust-level mapping to authentication requirements |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6694025B1 (en) * | 1999-06-02 | 2004-02-17 | Koninklijke Philips Electronics N.V. | Method and apparatus for secure distribution of public/private key pairs |
| US6286104B1 (en) * | 1999-08-04 | 2001-09-04 | Oracle Corporation | Authentication and authorization in a multi-tier relational database management system |
| US7069440B2 (en) | 2000-06-09 | 2006-06-27 | Northrop Grumman Corporation | Technique for obtaining a single sign-on certificate from a foreign PKI system using an existing strong authentication PKI system |
| JP2002278933A (ja) * | 2001-03-15 | 2002-09-27 | Hitachi Software Eng Co Ltd | 巡回系列による複数のサーバ間の相互認証方法及びシングルサインオン実現方法 |
| US8185938B2 (en) * | 2001-03-29 | 2012-05-22 | International Business Machines Corporation | Method and system for network single-sign-on using a public key certificate and an associated attribute certificate |
| NO318842B1 (no) * | 2002-03-18 | 2005-05-09 | Telenor Asa | Autentisering og tilgangskontroll |
| US7353383B2 (en) * | 2002-03-18 | 2008-04-01 | Jpmorgan Chase Bank, N.A. | System and method for single session sign-on with cryptography |
| US7200657B2 (en) * | 2002-10-01 | 2007-04-03 | International Business Machines Corporation | Autonomic provisioning of network-accessible service behaviors within a federated grid infrastructure |
| US20040123232A1 (en) * | 2002-12-18 | 2004-06-24 | Hodges Donna K. | System and method for providing a service-oriented container |
| US7421500B2 (en) * | 2003-01-10 | 2008-09-02 | Hewlett-Packard Development Company, L.P. | Grid computing control system |
| US7496755B2 (en) * | 2003-07-01 | 2009-02-24 | International Business Machines Corporation | Method and system for a single-sign-on operation providing grid access and network access |
-
2003
- 2003-07-01 US US10/610,980 patent/US7496755B2/en not_active Expired - Fee Related
-
2004
- 2004-06-08 KR KR1020067000046A patent/KR100872099B1/ko not_active IP Right Cessation
- 2004-06-08 JP JP2006516130A patent/JP4632315B2/ja not_active Expired - Fee Related
- 2004-06-08 CN CN2004800007306A patent/CN1701295B/zh not_active Expired - Fee Related
- 2004-06-08 WO PCT/EP2004/051002 patent/WO2005003934A1/en active Application Filing
- 2004-06-25 TW TW093118480A patent/TWI321939B/zh not_active IP Right Cessation
-
2009
- 2009-01-08 US US12/350,471 patent/US7752443B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5944824A (en) * | 1997-04-30 | 1999-08-31 | Mci Communications Corporation | System and method for single sign-on to a plurality of network elements |
| WO2001011450A1 (en) * | 1999-08-05 | 2001-02-15 | Sun Microsystems, Inc. | Single sign-on framework with trust-level mapping to authentication requirements |
Non-Patent Citations (2)
| Title |
|---|
| William Johnston,Ray Bair,Ian Foster,Al Geist,William Kramer.DOE Science Grid.http://doesciencegrid.org/management/DOE_Science_Grid_highlight_June_21,_2002.pdf.2002,正文第1-2页. * |
| 同上. |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100872099B1 (ko) | 2008-12-05 |
| US7752443B2 (en) | 2010-07-06 |
| JP2009514046A (ja) | 2009-04-02 |
| KR20060096979A (ko) | 2006-09-13 |
| US7496755B2 (en) | 2009-02-24 |
| CN1701295A (zh) | 2005-11-23 |
| TW200509640A (en) | 2005-03-01 |
| JP4632315B2 (ja) | 2011-02-16 |
| TWI321939B (en) | 2010-03-11 |
| US20090113533A1 (en) | 2009-04-30 |
| US20050021956A1 (en) | 2005-01-27 |
| WO2005003934A1 (en) | 2005-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1701295B (zh) | 用于对计算机网格进行单次登录访问的方法和系统 | |
| CN1885771B (zh) | 用于建立安全通信会话的方法与装置 | |
| EP1661362B1 (en) | Method and system for stepping up to certificate-based authentication without breaking an existing ssl session | |
| US8185938B2 (en) | Method and system for network single-sign-on using a public key certificate and an associated attribute certificate | |
| CN101421968B (zh) | 用于连网计算机应用的鉴权系统 | |
| CN100574184C (zh) | 用于在计算机系统之间建立用于传递消息的安全上下文的方法和设备 | |
| CN1332521C (zh) | 用于管理网络业务接入与登记的系统和方法 | |
| US8340283B2 (en) | Method and system for a PKI-based delegation process | |
| US7356690B2 (en) | Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate | |
| CA2463034C (en) | Method and system for providing client privacy when requesting content from a public server | |
| EP2020797B1 (en) | Client-server Opaque token passing apparatus and method | |
| US20020144108A1 (en) | Method and system for public-key-based secure authentication to distributed legacy applications | |
| US20040030887A1 (en) | System and method for providing secure communications between clients and service providers | |
| US20020144109A1 (en) | Method and system for facilitating public key credentials acquisition | |
| US8117438B1 (en) | Method and apparatus for providing secure messaging service certificate registration | |
| US20030163694A1 (en) | Method and system to deliver authentication authority web services using non-reusable and non-reversible one-time identity codes | |
| WO2008058915A1 (en) | Certificate handling method and system for ensuring secure identification of identities of multiple electronic devices | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| JP2004528624A (ja) | ワンタイムパスワードを用いてユーザを事前認証する装置 | |
| JP3739008B1 (ja) | アカウント管理方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110112 Termination date: 20160608 |