CN1930850A - 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 - Google Patents
对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 Download PDFInfo
- Publication number
- CN1930850A CN1930850A CNA2005800079506A CN200580007950A CN1930850A CN 1930850 A CN1930850 A CN 1930850A CN A2005800079506 A CNA2005800079506 A CN A2005800079506A CN 200580007950 A CN200580007950 A CN 200580007950A CN 1930850 A CN1930850 A CN 1930850A
- Authority
- CN
- China
- Prior art keywords
- service
- voip identifiers
- request
- service request
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 54
- 238000013475 authorization Methods 0.000 claims abstract description 32
- 239000000284 extract Substances 0.000 claims abstract description 15
- 230000004044 response Effects 0.000 claims description 22
- 238000004891 communication Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000008878 coupling Effects 0.000 claims description 4
- 238000010168 coupling process Methods 0.000 claims description 4
- 238000005859 coupling reaction Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
一种在Web服务环境中使用驻留在应用服务器中的安全全局哈希表防止对客户数据进行未授权访问的集中式认证和授权系统(CAA)。CAA包括服务请求过滤器(SRF)和安全程序(SP)。SRP拦截服务请求,从附加于该请求的数字证书中提取服务客户的标识符,将标识符存储在可为服务提供者访问的存储器中。由SP使用对客户标识符唯一的密钥保护客户标识符。当Web服务管理器请求客户标识符时,Web服务管理器必须向SP提供密钥,以访问客户标识符。从而,一旦恶意用户获得通过防火墙的访问时,由本发明防止恶意用户试图获得在应用服务器内的敏感数据。
Description
技术领域
本发明通常涉及网络安全,具体涉及针对通过网络提供的服务的认证和授权。
背景技术
多年来,网络技术使得能够共享以及远程访问在世界各处的计算资源。一台计算机能够很容易地与邻近(down the hall)或另一国家的计算机交换数据。当然,商业世界在不久的将来就能利用全球网络的力量,并且网络技术推动了侧重于通过这些网络提供的服务的整个新产业的增长。
一般称为“Web服务”、“应用服务”,或“Web服务应用”的网络服务,通常通过在受控环境中的网络展示出现有商业功能,并允许多个应用彼此交互。Web服务应用使用可广泛获得和被接受用于促进网络上的交互的标准,例如可扩展标记语言(XML)、简单对象访问协议(SOAP)和超文本传输协议(HTTP)。XML提供了用于对数据进行标记的语言,从而使Web服务应用的各种部件能够理解请求。SOAP是当在网络上发送数据之前对其进行打包的方法。HTTP是用于在网络上传递数据的传输协议。Web服务应用通常运行在后台,且不具有图形用户界面(GUI)。当然,Web服务通过服务程序接口(SPI)交互。根据Web服务接受的消息对SPI进行严格定义。从而,典型的Web服务调用由在网络上通过HTTP向第二应用(以后称之为“服务提供者”)发送XML消息的第一应用(以后称之为“服务客户”)组成,其中,XML消息封装在SOAP“信封”中。当然,XML消息的格式必须符合服务提供者的SPI的要求。Web服务应用能够执行多种功能,其范围从简单的股票报价请求到复杂的记帐过程。Web服务调用具有许多常见的名称,包括“服务请求”,“请求调用”,或“调用”。出于简化和说明清楚的目的,此处将服务客户与服务提供者之间用于调用服务的任何通信都称之为“服务请求”。
一般而言,企业需要控制对Web服务的访问,以使得收益最大化,以及保护内部计算资源。通常来讲,企业通过要求服务请求通过Web服务管理器来实现控制,其中Web服务管理器起到很像防火墙的作用。Web服务管理器在两个级别上对访问进行控制:服务客户级别和服务协议级别。为获得对所需Web服务的访问,服务客户必须首先向Web服务管理器提供证书。然后,Web服务管理器必须确定该证书是否可信。如果证书可信,Web服务管理器则确定是否授权服务客户接收该服务客户请求的服务。最后,如果证书可信且授权服务客户对服务提供者进行访问,则Web服务管理器授权服务提供者对该请求进行处理。
本领域中已知有数种认证方法。最传统的方法要求每个客户具有唯一标识符(ID)和仅客户知道的密码。每当客户需要访问服务时,客户必须提供ID和网络服务提供者将其与所提供的ID相匹配的密码。当然,客户和网络服务提供者都必须保持密码不被不正当地公开或散布。还必须使密码难以猜到。为使得密码难以猜到,许多企业实施了要求密码满足严格标准的复杂安全策略,且需要客户频繁地改变密码。
专有认证(proprietary authentication)方法,例如IBM的WEBIDENTITY或TIVOLI ACCESS MANAGER,也能够用于控制对网络服务的访问,但这些方法极其复杂,且需要较大系统开销。
数字证书是ID/密码方法的另一替代方式。数字证书通常由证书机构颁发,证书机构通常是可信的第三方机构或公司。或者,数字证书可以是“自签名”的。自签名证书由证书持有者生成,但如果事务各方已彼此熟悉且最初人工地验证了证书的完整性,则该证书仍有用。数字证书通常被加密,且通常包含持有者姓名或标识符、序列号和有效期。X.509是最普遍的数字证书格式,并且是由国际电信联盟推荐的格式。持有者的姓名或标识符通常表示为特异名(distinguishedname),其作为X.500标准的一部分(也由ITU所公布)。特异名包括其他X.500标识符的组合,该组合可包括公共名称、组织单位、组织机构和国家。
数字证书无需密码,且具有优于使用ID和密码的明显优势。显而易见的优点在于,用户不必回忆或记起复杂的密码。此外,数字证书无需实施复杂的安全策略以确保密码很难被猜到,且它们减少了因密码丢失或泄漏引起的危及安全的风险。
尽管使用数字证书的技术并不新,然而将数字证书技术集成到现有技术中,特别是集成到Web服务应用中,仍极具挑战性。特别是,将许多现有Web服务应用设计成基于通常嵌入在服务请求中的ID对用户进行认证。从而,现有Web服务应用一般不识别编码到数字证书中的ID。因此,需要一种能够与现有Web服务技术集成在一起同时又兼有数字证书技术优点的认证机制。
在Web服务背景下出现的另一问题是对数据库的恶意访问和搜索。一般而言,怀有恶意的一方能够使用未授权他们使用的访问代码以及其他信息绕开防火墙。在某些情形中,恶意方已将访问限制在防火墙内且试图访问未授权他访问的数据资料库。一旦处在防火墙内部,恶意方就能够随意对数据库、哈希表及其他数据结构进行搜索,这是因为数据结构中不存在进一步的安全特征。这样的未被授权的访问是不可取的。从而,需要一种当恶意方获得通过防火墙的访问时将会防止恶意方搜索数据资料库的安全特征。
发明内容
根据第一方面,提供了一种用于对自服务客户向服务提供者发送的服务请求进行认证和授权的可编程设备,包括:处理器;与处理器相连的存储器;在存储器中的授权数据库;在存储器中的服务请求过滤程序,用于指引处理器执行以下步骤:在通信信道上从服务客户接收输入服务请求,该服务请求附有数字证书;从与该服务请求相关联的数字证书中提取出客户标识符;使用安全程序将客户标识符存储在存储器中;其中,安全程序使用密钥在安全数据结构中对客户标识符进行加密。
在一个实施例中,安全程序包括用于使处理器还执行以下步骤的指令,这些步骤为:获得服务请求的Web上下文;获取被请求的对象;从对象获得SSL客户证书;通知认证和授权代理继续对服务请求的处理;其中,客户证书包括客户标识符。
在一个实施例中,密钥对客户标识符是唯一的。
在一个实施例中,所述设备还用于在通信信道上向Web服务管理器发送服务请求,并包括在存储器中的服务客户认证程序,用于指引处理器执行以下步骤:响应于从Web服务管理器接收认证请求,请求客户标识符;其中,仅在通过请求提供了密钥的情况下由安全程序提供客户标识符。
在一个实施例中,在存储器中的服务客户认证程序指引处理器还执行以下步骤:将客户标识符与在授权数据库中具有相同客户标识符的服务客户记录进行匹配;以及响应于客户标识符与在授权数据库中的记录匹配,调用存储器中的服务授权程序;其中,服务授权程序指引处理器执行以下步骤:确定与服务请求相关联的客户标识符是否被授权访问服务提供者;以及响应于确定该服务请求得到授权,授权服务提供者对请求进行处理。
在一个实施例中,服务请求过滤程序还指引处理器通过颁发证书机构对数字证书进行认证。
在一个实施例中,数字证书为X.509数字证书。
在一个实施例中,客户标识符为特异名。
在一个实施例中,数字证书是自签名的。
在一个实施例中,可编程设备还包括授权日志。
在一个实施例中,服务客户认证程序还在授权日志中记录客户标识符。
在一个实施例中,服务授权程序还在授权日志中记录客户标识符和服务请求。
在一个实施例中,在存储器中的服务请求过滤程序还可用于指引处理器在通信信道上向Web服务管理器发送服务请求。
在一个实施例中,客户证书包括客户标识符,所述设备还包括:用于向Web服务管理器发送服务请求的装置;响应于从Web服务管理器接收到认证请求,用于请求客户标识符的装置;其中,仅在通过请求提供了与所述密钥相应的密钥的情况下由安全程序提供客户标识符;用于将客户标识符与在授权数据库中具有相同客户标识符的服务客户记录进行匹配的装置;用于确定与服务请求相关联的客户标识符是否被授权访问服务提供者的装置;响应于确定服务请求得到授权,用于授权服务提供者对请求进行处理的装置;用于通过颁发证书机构对数字证书进行认证的装置;其中,数字证书为X.509数字证书;其中,客户标识符为特异名;其中,数字证书是自签名的;用于在授权日志中记录客户标识符的装置;以及用于在授权日志中记录客户标识符和服务请求的装置。
本发明可实现为Web服务体系结构的一部分。
根据第二方面,提供了一种用于在安全数据结构中对客户标识符进行加密的安全程序,所述安全程序包括:计算机可读介质;其中,计算机可读介质包括用于使处理器执行以下步骤的指令,这些步骤为:获取服务请求;从服务请求中提取客户标识符;在安全数据结构中存储客户标识符;以及使用密钥对安全数据结构进行加密。
在一个实施例中,计算机可读介质还包括用于使处理器执行以下步骤的指令,这些步骤为:获得服务请求的Web上下文;得到被请求的对象;从对象获得SSL客户证书;通知认证和授权代理继续进行对服务请求的处理;其中,客户证书包括客户标识符。
在一个实施例中,密钥对客户标识是唯一的。
根据另一方面,提供了一种用于使计算机对从服务客户向服务提供者发送的服务请求进行认证和授权的计算机可读存储器,包括:计算机可读存储介质;存储在该存储介质中的授权数据库;存储在该存储介质中的服务请求过滤程序,其中,通过服务请求过滤程序如此配置该存储介质,使得计算机执行以下步骤:在通信信道上接收输入服务请求,该服务请求附有数字证书;从与该服务请求相关联的数字证书中提取出客户标识符;使用安全程序将客户标识符存储在存储器中;其中,安全程序使用密钥在安全数据结构中对客户标识符进行加密;以及在通信信道上向Web服务管理器发送服务请求。
在一个实施例中,安全程序包括用于使处理器执行以下步骤的指令,这些步骤为:获取服务请求;从服务请求中提取出客户标识符;在安全数据结构中存储客户标识符;以及使用密钥将安全数据结构加密。
在一个实施例中,安全程序包括用于使处理器还执行以下步骤的指令,这些步骤为:获得服务请求的Web上下文;得到被请求的对象;从对象获得SSL客户证书;通知认证和授权代理继续进行对服务请求的处理;其中,客户证书包括客户标识符。
在一个实施例中,密钥对客户标识是唯一的。
在一个实施例中,安全程序包括用于使处理器执行以下步骤的指令,这些步骤为:在通信信道上向Web服务管理器发送服务请求;其中,计算机可读存储器还包括在存储器中的服务客户认证程序,用于指引处理器执行以下步骤:响应于从Web服务管理器接收认证请求,请求客户标识符;其中,仅在通过该请求提供了密钥的情况下由安全程序提供客户标识符。
在一个实施例中,在存储器中的服务客户认证程序指引处理器还执行以下步骤:在该存储介质中存储服务客户认证程序,其中,通过服务客户认证程序如此配置该存储介质,使得计算机执行以下步骤:响应于从Web服务管理器接收认证请求,请求客户标识符;其中,仅在通过请求提供了与所述密钥相应的密钥的情况下由安全程序提供客户标识符;将客户标识符与在授权数据库中具有相同客户标识符的服务客户记录进行匹配;响应于客户标识符与在授权数据库中的记录匹配,调用存储器中的服务授权程序;其中,服务授权程序被存储在存储介质中,通过服务授权程序如此配置存储介质,使得计算机执行以下步骤:确定与服务请求相关联的客户标识符是否被授权访问服务提供者;以及响应于确定服务请求得到授权,授权服务提供者对请求进行处理。
在一个实施例中,服务请求过滤程序还导致计算机通过颁发证书机构对数字证书进行认证。
在一个实施例中,数字证书为X.509数字证书。
在一个实施例中,客户标识符为特异名。
在一个实施例中,数字证书是自签名的。
在一个实施例中,计算机可读存储器还包括授权日志。
在一个实施例中,服务客户认证程序还使得计算机在授权日志中记录客户标识符。
在一个实施例中,服务授权程序还使得计算机在授权日志中记录客户标识符和服务请求。
根据另一方面,提供了一种用于对自服务客户向服务提供者发送的服务请求进行认证和授权的设备,包括:用于在通信信道上接收输入服务请求的装置,该服务请求附有数字证书;用于从与服务请求相关联的数字证书中提取出客户标识符的装置;用于使用安全程序将客户标识符存储在存储器中的装置;其中,安全程序包括:用于获取服务请求的装置;用于从服务请求中提取客户标识符的装置;用于在安全数据结构中存储客户标识符的装置;以及用于使用密钥对安全数据结构进行加密的装置,其中,客户证书包括客户标识符;用于向Web服务管理器发送服务请求的装置;响应于从Web服务管理器接收到认证请求,用于请求客户标识符的装置;其中,仅在通过请求提供了与所述密钥相应的密钥的情况下由安全程序提供客户标识符;用于将客户标识符与在授权数据库中具有相同客户标识符的服务客户记录进行匹配的装置;用于确定与服务请求相关联的客户标识符是否被授权访问服务提供者的装置;响应于确定服务请求得到授权,用于授权服务提供者对请求进行处理的装置;用于通过颁发证书机构对数字证书进行认证的装置;其中,数字证书为X.509数字证书;其中,客户标识符为特异名;其中,数字证书是自签名的;用于在授权日志中记录客户标识符的装置;以及用于在授权日志中记录客户标识符和服务请求的装置。
根据另一方面,提供了一种方法,包括步骤:在通信信道上从服务客户接收输入服务请求,该服务请求附有数字证书;从与该服务请求相关联的数字证书中提取出客户标识符;使用安全程序将客户标识符存储在存储器中;其中,安全程序使用密钥在安全数据结构中对客户标识符进行加密。
根据另一方面,提供了一种用于在安全数据结构中对客户标识符进行加密的方法,所述方法包括:获取服务请求;从服务请求中提取客户标识符;在安全数据结构中存储客户标识符;以及使用密钥对安全数据结构进行加密。
本发明可通过计算机软件实现。
优选地提供了一种用于在按需应用环境中使用安全全局哈希表进行集中式认证和授权的体系结构和设计。
根据优选实施例,此处所述本发明包括集中式认证和授权系统(CAA)。CAA优选地通过保持授权数据库以及向其他Web服务应用提供认证服务来利于Web服务应用之间的安全通信。
CAA优选地包括服务请求过滤器(SRF),服务客户认证程序(SCAP),服务授权程序(SAP),授权数据库(ADB),和安全程序(SP)。SRP优选地拦截输入服务请求,从附加于该请求的数字证书中提取服务客户标识符,将标识符存储在安全哈希表中,其中,所述安全哈希表仅可由Web服务应用进行访问,以及在其最初路径上转发服务请求。SP优选地通过利用密钥对安全哈希表进行加密来控制对安全哈希表的访问。一般而言,Web服务管理器将会接收最初请求并且调用SCAP。SCAP将标识符与存储在ADB中的标识符进行匹配,并验证服务客户。然后,SAP优选地对ADB进行查询,以确定服务请求是否对服务客户而言有效。如果服务请求有效,则SAP优选地授权服务请求,并且由合适的服务提供者对服务请求进行处理。根据优选实施例,Web服务管理器必须向SP提供正确的密钥,以便访问客户标识符以及对服务请求进行处理。
附图说明
现在,将参照以下附图,仅以示例性方式,描述本发明的优选实施例,在附图中,相同的标记表示优选实施例的同样部分:
图1描述了其中可根据优选实施例实现集成服务器体系结构的典型网络化计算环境;
图2表示使用根据优选实施例的集成服务器体系结构的典型计算工作站的存储器结构;
图3描述了本发明的优选实施例的逻辑设计;以及
图4图解了本发明优选实施例的安全程序(SP)的逻辑。
具体实施方式
现在,将参照以下附图,仅以示例性方式,描述本发明的优选实施例,在附图中,相同的标记表示优选实施例的同样部分:
图1描述了其中可根据优选实施例实现集成服务器体系结构的典型网络化计算环境;
图2表示使用根据优选实施例的集成服务器体系结构的典型计算工作站的存储器结构;
图3描述了本发明的优选实施例的逻辑设计;以及
图4图解了本发明优选实施例的安全程序(SP)的逻辑。
Claims (36)
1.一种用于对自服务客户向服务提供者发送的服务请求进行认证和授权的可编程设备,包括:处理器;与处理器相连的存储器;在存储器中的授权数据库;在存储器中的服务请求过滤程序,用于指引处理器执行以下步骤:在通信信道上从服务客户接收输入服务请求,该服务请求附有数字证书;从与该服务请求相关联的数字证书中提取出客户标识符;使用安全程序将客户标识符存储在存储器中;其中,安全程序使用密钥在安全数据结构中对客户标识符进行加密。
2.根据权利要求1所述的可编程设备,其中,所述安全程序包括用于处理器执行以下步骤的指令,这些步骤为:获取服务请求;从服务请求中提取客户标识符;在安全数据结构中存储客户标识符;以及使用密钥对安全数据结构进行加密。
3.根据权利要求2所述的可编程设备,其中,所述安全程序包括用于使处理器还执行以下步骤的指令,这些步骤为:获得服务请求的Web上下文;获取被请求的对象;从对象获得SSL客户证书;通知认证和授权代理继续对服务请求的处理;其中,客户证书包括客户标识符。
4.根据权利要求3所述的安全程序,其中,密钥对客户标识符是唯一的。
5.根据权利要求4所述的可编程设备,还包括:在通信信道上向Web服务管理器发送服务请求;在存储器中的服务客户认证程序,用于指引处理器执行以下步骤:响应于从Web服务管理器接收认证请求,请求客户标识符;其中,仅在通过请求提供了密钥的情况下由安全程序提供客户标识符。
6.根据权利要求5所述的可编程设备,其中,在存储器中的服务客户认证程序指引处理器还执行以下步骤:将客户标识符与在授权数据库中具有相同客户标识符的服务客户记录进行匹配;以及响应于客户标识符与在授权数据库中的记录匹配,调用存储器中的服务授权程序;其中,服务授权程序指引处理器执行以下步骤:确定与服务请求相关联的客户标识符是否被授权访问服务提供者;以及响应于确定该服务请求得到授权,授权服务提供者对请求进行处理。
7.根据权利要求6所述的可编程设备,其中,服务请求过滤程序还指引处理器通过颁发证书机构对数字证书进行认证。
8.根据权利要求7所述的可编程设备,其中,数字证书为X.509数字证书。
9.根据权利要求8所述的可编程设备,其中,客户标识符为特异名。
10.根据权利要求9所述的可编程设备,其中,数字证书是自签名的。
11.根据权利要求10所述的可编程设备,还包括授权日志。
12.根据权利要求11所述的可编程设备,其中,服务客户认证程序还在授权日志中记录客户标识符。
13.根据权利要求12所述的可编程设备,其中,服务授权程序还在授权日志中记录客户标识符和服务请求。
14.根据权利要求1所述的设备,其中,在存储器中的服务请求过滤程序还可用于指引处理器在通信信道上向Web服务管理器发送服务请求。
15.根据权利要求2所述的设备,其中,客户证书包括客户标识符,所述设备还包括:用于向Web服务管理器发送服务请求的装置;响应于从Web服务管理器接收到认证请求,用于请求客户标识符的装置;其中,仅在通过请求提供了与所述密钥相应的密钥的情况下由安全程序提供客户标识符;用于将客户标识符与在授权数据库中具有相同客户标识符的服务客户记录进行匹配的装置;用于确定与服务请求相关联的客户标识符是否被授权访问服务提供者的装置;响应于确定服务请求得到授权,用于授权服务提供者对请求进行处理的装置;用于通过颁发证书机构对数字证书进行认证的装置;其中,数字证书为X.509数字证书;其中,客户标识符为特异名;其中,数字证书是自签名的;用于在授权日志中记录客户标识符的装置;以及用于在授权日志中记录客户标识符和服务请求的装置。
16.一种具有根据权利要求13所述的可编程设备的Web服务体系结构。
17.一种用于在安全数据结构中对客户标识符进行加密的安全程序,所述安全程序包括:计算机可读介质;其中,计算机可读介质包括用于使处理器执行以下步骤的指令,这些步骤为:获取服务请求;从服务请求中提取客户标识符;在安全数据结构中存储客户标识符;以及使用密钥对安全数据结构进行加密。
18.根据权利要求17所述的安全程序,其中,所述步骤还包括:获得对于服务请求的Web上下文;得到被请求的对象;从对象获得SSL客户证书;通知认证和授权代理继续进行对服务请求的处理;其中,客户证书包括客户标识符。
19.根据权利要求18所述的安全程序,其中,密钥对客户标识是唯一的。
20.一种用于使计算机对从服务客户向服务提供者发送的服务请求进行认证和授权的计算机可读存储器,包括:计算机可读存储介质;存储在该存储介质中的授权数据库;存储在该存储介质中的服务请求过滤程序,其中,通过服务请求过滤程序如此配置该存储介质,使得计算机执行以下步骤:在通信信道上接收输入服务请求,该服务请求附有数字证书;从与该服务请求相关联的数字证书中提取出客户标识符;使用安全程序将客户标识符存储在存储器中;其中,安全程序使用密钥在安全数据结构中对客户标识符进行加密;以及在通信信道上向Web服务管理器发送服务请求。
21.根据权利要求20所述的计算机可读存储器,其中,安全程序包括用于使处理器执行以下步骤的指令,这些步骤为:获取服务请求;从服务请求中提取出客户标识符;在安全数据结构中存储客户标识符;以及使用密钥将安全数据结构加密。
22.根据权利要求21所述的计算机可读存储器,其中,安全程序包括用于使处理器还执行以下步骤的指令,这些步骤为:获得服务请求的Web上下文;得到被请求的对象;从对象获得SSL客户证书;通知认证和授权代理继续进行对服务请求的处理;其中,客户证书包括客户标识符。
23.根据权利要求21所述的计算机可读存储器,其中,密钥对客户标识是唯一的。
24.根据权利要求21所述的计算机可读存储器,包括用于以下操作的指令:在通信信道上向Web服务管理器发送服务请求,计算机可读存储器还包括:在存储器中的服务客户认证程序,用于指引处理器执行以下步骤:响应于从Web服务管理器接收认证请求,请求客户标识符;其中,仅在通过该请求提供了密钥的情况下由安全程序提供客户标识符。
25.根据权利要求21所述的计算机可读存储器,其中,在存储器中的服务客户认证程序用于指引处理器执行以下操作:响应于从Web服务管理器接收认证请求,请求客户标识符;其中,仅在通过请求提供了与所述密钥相应的密钥的情况下由安全程序提供客户标识符;将客户标识符与在授权数据库中具有相同客户标识符的服务客户记录进行匹配;响应于客户标识符与在授权数据库中的记录匹配,调用存储器中的服务授权程序;其中,服务授权程序被存储在存储介质中,通过服务授权程序如此配置存储介质,使得计算机执行以下步骤:确定与服务请求相关联的客户标识符是否被授权访问服务提供者;以及响应于确定服务请求得到授权,授权服务提供者对请求进行处理。
26.根据权利要求21所述的计算机可读存储器,其中,服务请求过滤程序还导致计算机通过颁发证书机构对数字证书进行认证。
27.根据权利要求21所述的计算机可读存储器,其中,数字证书为X.509数字证书。
28.根据权利要求21所述的计算机可读存储器,其中,客户标识将为特异名。
29.根据权利要求21所述的计算机可读存储器,其中,数字证书是自签名的。
30.根据权利要求21所述的计算机可读存储器还包括授权日志。
31.根据权利要求30所述的计算机可读存储器,其中,服务客户认证程序还使得计算机在授权日志中记录客户标识符。
32.根据权利要求30所述的计算机可读存储器,其中,服务授权程序还使得计算机在授权日志中记录客户标识符和服务请求。
33.一种用于对自服务客户向服务提供者发送的服务请求进行认证和授权的设备,包括:用于在通信信道上接收输入服务请求的装置,该服务请求附有数字证书;用于从与服务请求相关联的数字证书中提取出客户标识符的装置;用于使用安全程序将客户标识符存储在存储器中的装置;其中,安全程序包括:用于获取服务请求的装置;用于从服务请求中提取客户标识符的装置;用于在安全数据结构中存储客户标识符的装置;以及用于使用密钥对安全数据结构进行加密的装置,其中,客户证书包括客户标识符;用于向Web服务管理器发送服务请求的装置;响应于从Web服务管理器接收到认证请求,用于请求客户标识符的装置;其中,仅在通过请求提供了与所述密钥相应的密钥的情况下由安全程序提供客户标识符;用于将客户标识符与在授权数据库中具有相同客户标识符的服务客户记录进行匹配的装置;用于确定与服务请求相关联的客户标识符是否被授权访问服务提供者的装置;响应于确定服务请求得到授权,用于授权服务提供者对请求进行处理的装置;用于通过颁发证书机构对数字证书进行认证的装置;其中,数字证书为X.509数字证书;其中,客户标识符为特异名;其中,数字证书是自签名的;用于在授权日志中记录客户标识符的装置;以及用于在授权日志中记录客户标识符和服务请求的装置。
34.一种方法,包括步骤:在通信信道上从服务客户接收输入服务请求,该服务请求附有数字证书;从与该服务请求相关联的数字证书中提取出客户标识符;使用安全程序将客户标识符存储在存储器中;其中,安全程序使用密钥在安全数据结构中对客户标识符进行加密。
35.一种用于在安全数据结构中对客户标识符进行加密的方法,所述方法包括:获取服务请求;从服务请求中提取客户标识符;在安全数据结构中存储客户标识符;以及使用密钥对安全数据结构进行加密。
36.一种计算机程序,包括用于当所述程序运行在计算机上时执行根据权利要求34或35所述的方法的程序代码装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/850,398 US7412719B2 (en) | 2004-05-20 | 2004-05-20 | Architecture and design for central authentication and authorization in an on-demand utility environment using a secured global hashtable |
| US10/850,398 | 2004-05-20 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1930850A true CN1930850A (zh) | 2007-03-14 |
Family
ID=34968400
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800079506A Pending CN1930850A (zh) | 2004-05-20 | 2005-05-18 | 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US7412719B2 (zh) |
| CN (1) | CN1930850A (zh) |
| TW (1) | TW200607302A (zh) |
| WO (1) | WO2005114946A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103927491A (zh) * | 2014-04-30 | 2014-07-16 | 南方电网科学研究院有限责任公司 | 基于scap的安全基线评估方法 |
| CN107211028A (zh) * | 2015-02-06 | 2017-09-26 | 微软技术许可有限责任公司 | 对服务控制器的基于音频的发现和连接 |
| CN107241353A (zh) * | 2012-09-18 | 2017-10-10 | 谷歌公司 | 用于服务供应商计算系统与安全元件的接口连接方法、系统和计算机可读存储介质 |
| CN107637044A (zh) * | 2015-04-24 | 2018-01-26 | 思杰系统有限公司 | 安全带内服务检测 |
| CN108027851A (zh) * | 2015-07-14 | 2018-05-11 | 优捷达公司 | 包括服务流水线的客户通信系统 |
| CN113536276A (zh) * | 2013-01-15 | 2021-10-22 | 施耐德电气美国股份有限公司 | 安全访问可编程装置的系统和方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7519812B2 (en) * | 2004-02-19 | 2009-04-14 | International Business Machines Corporation | Architecture and design for central authentication and authorization in an on-demand utility environment |
| US7412719B2 (en) * | 2004-05-20 | 2008-08-12 | International Business Machines Corporation | Architecture and design for central authentication and authorization in an on-demand utility environment using a secured global hashtable |
| CN101212460B (zh) * | 2006-12-25 | 2012-04-25 | 华为技术有限公司 | 业务功能提供方法及系统 |
| US20080263644A1 (en) * | 2007-04-23 | 2008-10-23 | Doron Grinstein | Federated authorization for distributed computing |
| US8844002B2 (en) * | 2007-06-29 | 2014-09-23 | Ebay Inc. | Method and system for notification and request processing |
| US9270471B2 (en) | 2011-08-10 | 2016-02-23 | Microsoft Technology Licensing, Llc | Client-client-server authentication |
| CN103116819B (zh) * | 2012-11-12 | 2016-12-21 | 成都锦瑞投资有限公司 | 基于cfca认证标准的物业实名制认证key管理平台及其应用 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5793868A (en) * | 1996-08-29 | 1998-08-11 | Micali; Silvio | Certificate revocation system |
| US6285991B1 (en) * | 1996-12-13 | 2001-09-04 | Visa International Service Association | Secure interactive electronic account statement delivery system |
| US6128740A (en) * | 1997-12-08 | 2000-10-03 | Entrust Technologies Limited | Computer security system and method with on demand publishing of certificate revocation lists |
| US6615347B1 (en) * | 1998-06-30 | 2003-09-02 | Verisign, Inc. | Digital certificate cross-referencing |
| US6321333B1 (en) * | 1998-10-14 | 2001-11-20 | Wave Systems Corporation | Efficient digital certificate processing in a data processing system |
| US6430688B1 (en) * | 1998-12-22 | 2002-08-06 | International Business Machines Corporation | Architecture for web-based on-line-off-line digital certificate authority |
| US6553568B1 (en) * | 1999-09-29 | 2003-04-22 | 3Com Corporation | Methods and systems for service level agreement enforcement on a data-over cable system |
| US6611869B1 (en) * | 1999-10-28 | 2003-08-26 | Networks Associates, Inc. | System and method for providing trustworthy network security concern communication in an active security management environment |
| US6571221B1 (en) * | 1999-11-03 | 2003-05-27 | Wayport, Inc. | Network communication service with an improved subscriber model using digital certificates |
| US20020128981A1 (en) * | 2000-12-28 | 2002-09-12 | Kawan Joseph C. | Method and system for facilitating secure customer financial transactions over an open network |
| US7171411B1 (en) * | 2001-02-28 | 2007-01-30 | Oracle International Corporation | Method and system for implementing shared schemas for users in a distributed computing system |
| EP1488595B1 (en) * | 2002-03-20 | 2007-08-08 | Research In Motion Limited | Certificate information storage system and method |
| US7748020B2 (en) * | 2002-10-08 | 2010-06-29 | Canon Kabushiki Kaisha | Receiving apparatus and method for processing interruptions in streaming broadcasts |
| EP1511306A1 (en) * | 2003-09-01 | 2005-03-02 | Thomson Licensing S.A. | Method for detecting source status changes during time-shift recording |
| US20050160308A1 (en) * | 2004-01-09 | 2005-07-21 | General Instrument Corporation | Failure recovery for digital video recorders |
| US7519812B2 (en) * | 2004-02-19 | 2009-04-14 | International Business Machines Corporation | Architecture and design for central authentication and authorization in an on-demand utility environment |
| US7412719B2 (en) * | 2004-05-20 | 2008-08-12 | International Business Machines Corporation | Architecture and design for central authentication and authorization in an on-demand utility environment using a secured global hashtable |
-
2004
- 2004-05-20 US US10/850,398 patent/US7412719B2/en not_active Expired - Fee Related
-
2005
- 2005-05-03 TW TW094114175A patent/TW200607302A/zh unknown
- 2005-05-18 CN CNA2005800079506A patent/CN1930850A/zh active Pending
- 2005-05-18 WO PCT/EP2005/052280 patent/WO2005114946A1/en active Application Filing
-
2008
- 2008-06-27 US US12/147,716 patent/US7788710B2/en not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241353A (zh) * | 2012-09-18 | 2017-10-10 | 谷歌公司 | 用于服务供应商计算系统与安全元件的接口连接方法、系统和计算机可读存储介质 |
| CN107241353B (zh) * | 2012-09-18 | 2020-08-28 | 谷歌有限责任公司 | 用于服务供应商计算系统与安全元件的接口连接方法、系统和计算机可读存储介质 |
| CN113536276A (zh) * | 2013-01-15 | 2021-10-22 | 施耐德电气美国股份有限公司 | 安全访问可编程装置的系统和方法 |
| CN103927491A (zh) * | 2014-04-30 | 2014-07-16 | 南方电网科学研究院有限责任公司 | 基于scap的安全基线评估方法 |
| CN107211028A (zh) * | 2015-02-06 | 2017-09-26 | 微软技术许可有限责任公司 | 对服务控制器的基于音频的发现和连接 |
| CN107211028B (zh) * | 2015-02-06 | 2020-05-29 | 微软技术许可有限责任公司 | 服务控制器设备和支持与其自动连接的方法和系统 |
| CN107637044A (zh) * | 2015-04-24 | 2018-01-26 | 思杰系统有限公司 | 安全带内服务检测 |
| CN108027851A (zh) * | 2015-07-14 | 2018-05-11 | 优捷达公司 | 包括服务流水线的客户通信系统 |
| US11087332B2 (en) | 2015-07-14 | 2021-08-10 | Ujet, Inc. | Customer communication system including service pipeline |
| CN108027851B (zh) * | 2015-07-14 | 2023-08-08 | 优捷达公司 | 包括服务流水线的客户通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090037731A1 (en) | 2009-02-05 |
| US7412719B2 (en) | 2008-08-12 |
| WO2005114946A1 (en) | 2005-12-01 |
| US20050273596A1 (en) | 2005-12-08 |
| US7788710B2 (en) | 2010-08-31 |
| TW200607302A (en) | 2006-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1930850A (zh) | 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 | |
| US12047365B2 (en) | System and method for pool-based identity authentication for service access without use of stored credentials | |
| US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
| US5586260A (en) | Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms | |
| US8850219B2 (en) | Secure communications | |
| US7991996B2 (en) | Architecture and design for central authentication and authorization in an on-demand utility environment | |
| CN1787513A (zh) | 安全远程访问系统和方法 | |
| CN107872455A (zh) | 一种跨域单点登录系统及其方法 | |
| CN101064717A (zh) | 信息系统或设备的安全防护系统及其工作方法 | |
| CN1701315A (zh) | 数据库访问控制方法、控制装置及代理处理服务器装置 | |
| CN112511565A (zh) | 请求响应方法、装置、计算机可读存储介质及电子设备 | |
| JP2008015733A (ja) | ログ管理計算機 | |
| CN1194498C (zh) | 基于数字标签的内容安全监控系统及方法 | |
| US11870781B1 (en) | Enterprise access management system for external service providers | |
| WO2014011376A1 (en) | Optimized service integration | |
| US7899918B1 (en) | Service accounting in a network | |
| US20240348589A1 (en) | Method, server, and computer program product for identity authentication | |
| CN117097540A (zh) | 一种基于智能网联的校园身份验证安全管理方法 | |
| CN114500031A (zh) | 基于单点登录获取bi报表的系统、方法、电子设备及介质 | |
| CN117220934A (zh) | 一种http消息动态编排装置和方法 | |
| CN113507450A (zh) | 一种基于参数特征向量的内外网数据过滤方法及装置 | |
| Tusa et al. | Design and implementation of an xml-based grid file storage system with security features | |
| CN118233167A (zh) | 用户登录方法、装置、设备、介质和产品 | |
| JPH06332826A (ja) | ネットワーク・セキュリティ管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20070314 |