CN1937608A - 管理客户机-服务器通信的方法和计算机系统 - Google Patents
管理客户机-服务器通信的方法和计算机系统 Download PDFInfo
- Publication number
- CN1937608A CN1937608A CNA2006100922847A CN200610092284A CN1937608A CN 1937608 A CN1937608 A CN 1937608A CN A2006100922847 A CNA2006100922847 A CN A2006100922847A CN 200610092284 A CN200610092284 A CN 200610092284A CN 1937608 A CN1937608 A CN 1937608A
- Authority
- CN
- China
- Prior art keywords
- session
- server
- client
- request
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000006854 communication Effects 0.000 title claims abstract description 20
- 238000004891 communication Methods 0.000 title claims abstract description 20
- 238000013475 authorization Methods 0.000 claims abstract description 10
- 238000004590 computer program Methods 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 11
- 238000012217 deletion Methods 0.000 description 5
- 230000037430 deletion Effects 0.000 description 5
- 230000015572 biosynthetic process Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 201000006549 dyspepsia Diseases 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000013396 workstream Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及用于在电子网络中管理客户机-服务器通信的方法和系统。根据本发明的方法包括:a)在会话控制部件(20)中,独立于所述服务器应用来管理多个客户机的客户机认证数据和授权数据,用于对所述服务器应用进行经授权的访问;b)接收指向对所述服务器应用之一的访问的输入客户机请求;c)检查所述客户机请求的认证和/或授权;d)保持(540)和单个服务器应用有关的单个代理用户,其中所述代理用户代表了多个客户机及其用于连接和使用所述相应单个服务器应用的授权;e)对于指向对各个相同单个服务器应用的访问的多个已允许的客户机请求,使用所述代理用户来操作单个会话;以及f)在所述单个会话内顺序地处理所述请求。
Description
技术领域
本发明涉及用于在电子网络中管理客户机-服务器通信的方法和系统,其中,对于多个客户机来说,需要客户机认证和授权用于访问服务器应用。
背景技术
图1A中给出了典型的现有技术系统体系结构。多个客户机1...n与多个服务器应用1...m进行通信。对每个通信使用相应的单个会话,所述会话在每个客户机和每个服务器应用之间被独立构建和管理。
出于本发明的目的,会话应理解为客户机和服务器应用之间的通信任务。
会话由来自特定服务器应用的客户机请求服务所创建。客户机使用操作系统服务来处理该服务器应用并且根据双方都支持的协议进行通信。会话保持激活直到其明确地被客户机、服务器应用终止,或者作为在通信层内的故障的结果。
这里的术语“服务器”应理解为包括在向请求客户机提供任何服务时起作用的计算机系统的硬件以及安装在执行同样操作的硬件上的软件。
术语“用户”和“客户机”同时被使用,在通常意义上是指服务请求单元。
每个会话需要管理用户认证和用户授权用于访问由各个服务器应用管理的资源。为了执行该操作,向用户提供用于认证目的的用户ID和口令以及向用户提供特定的访问权限,所述访问权限使得用户能够访问某些特定的服务器应用资源。如果服务器应用管理数据库或这些资源包括对某些文件系统结构的写或读访问,则所述资源可以例如是某些数据库表,其中,由所述文件系统结构定义对某种操作(例如,读、写、删除、创建等)的授权。在此现有技术系统体系结构里,用户认证和用户授权需要很高的管理级并且绑定了相应的大量资源。
如果客户机数量n很大,则会话管理工作量会高得无法令人接受。
另一种现有技术方案是所谓的“会话池”,其特别用于数据库应用。会话池处理有时费时的过程的问题,以便在客户机和服务器应用之间,特别是在数据库环境中通过高速缓存曾经建立的会话来建立通信会话。即使用户已经执行了用于终止会话的注销,会话池也会在预定时间内为用户临时地存储会话。如果同一用户希望重新连接其在上次会话中与其通信过的特定服务器应用,则这样的会话池体系结构能够使得恢复先前使用过的会话而不需要建立新的会话。只要此先前的会话还存储在高速缓冲存储器中,这就可以实现。如果会话已经从高速缓冲中删除,则必须创建新的会话。缺陷在于池的大小受限,并且在经过某个预定时间或满足其它规则之后,会话必须被删除并且对于同一客户机的另一次使用不再可用。会话池的单独使用仍会导致一个特定客户机和服务器应用之间的专用会话。
在数据库环境中,所谓“技术用户”的概念在图1B中概略地作了描述,以其作为代表,n个客户机可创建到特定数据库的会话。这一概念例如发表在
http://www.trivadis.ch/Images/RLSmitDotNet en tcm9-3433.pdf。对于这些n个客户机的管理员数据库访问所需的定义因此仅被限于技术用户。这一现有技术概念的缺陷在于,诸如插入或删除的特定数据库交互还是由客户机自己完成的。由于每个客户机的权限必须在服务器端进行管理,所以除了仅由自己创建会话之外,没有任何管理方面的益处。
发明内容
因此,本发明的目的是根据权利要求1的导言提供一种用于在电子网络中管理客户机-服务器通信的方法和系统,其提供了用户管理中增强的灵活性以及由此在服务器端减少的工作。
本发明的该目的通过所附独立权利要求中声明的特征来实现。本发明的其它有利的布置和实施例在相应的从属权利要求中阐述。现在应参照所附的权利要求。
根据本发明最宽的方面,公开了一种用于在电子网络中管理客户机-服务器通信的方法,其中,对于多个客户机需要相应的与客户机有关的认证和授权以访问服务器应用,所述方法由以下步骤所表征:
a)优选地在会话控制部件中,独立于所述服务器应用来管理多个客户机的客户机认证数据和授权数据,用于对所述服务器应用进行经授权的访问,
b)接收指向对所述服务器应用之一的访问的输入客户机请求,该过程优选地通过以下两种方式之一来实现:
b1)通过传递建立会话所需要的所有信息连同所述请求一起来直接实现,或者
b2)通过传递对包含所述信息的会话对象的引用来间接实现,
c)检查所述客户机请求的认证和/或授权,
d)保持和单个服务器应用有关的单个代理用户,所述代理用户代表了多个客户机及其对于连接和使用相应单个服务器应用的授权,
e)对于指向对各个相同单个服务器应用的访问的多个已允许的客户机请求,使用所述代理用户来操作单个会话,
f)在所述单个会话内顺序地处理所述请求。
在此,代理用户将被理解为被放入“初始客户机”和“初始服务器”之间的通信系统的部件。其外观和特性与任何其它用户没有不同,除了它代表了多个真实用户。因此,上述步骤a)意味着将用户管理和会话管理所必需的工作集中到控制部件中,以及在控制部件内或由控制部件所告知的单独软件内独立于服务器应用来完成用户认证和授权工作。接着此会话控制软件优选地提供对服务器应用可见的单个代理用户功能。对于每个服务器应用优选地遵循该原理。因此,每个服务器应用使用相应的合并会话(consolidated session)来与客户机相关并与其通信。这优选地通过在会话控制部件中提供的相应软件部分来完成。
此原理允许执行一种“合并的”应用服务器会话。对于每个服务器应用必须实现至少一个会话。当然,如果由此而需要流量,则可以对于一个特定服务器应用建立多个会话。由于一个合并会话包括实际上对相当大量的用户的管理(这是独立设置的问题),因此非常大量的用户可被连接于特定的单个服务器应用。
参与到单个合并会话中的多个客户机被顺序地处理,其可以例如在队列中被实现。
如本领域技术人员可以意识到的,管理开销受限于访问服务器应用的一个或相应的小数量的代理用户ID。另外,例如任务和网络资源的资源需求受限于单个会话的需求,并且编程需求被保持在最少,因为编程需求仅仅需要引用单个合并会话(或者如果确实必要则仅仅需要小数量的程序需求),而不是在现有技术的多个会话情况下的大量编程需求,其中会话在每个客户机和每个服务器应用之间单独被定义。
另外,这一基本原理可以用下述方式随意扩展:例如,如果例如由于不同的安全性特征而需要不同的会话特性,则单个客户机具有创建多个会话的灵活性。
当通过生成代表多个N会话对象的逻辑会话代理部分以及与此相关联的物理会话代理部分并用实现会话控制部件的硬件的操作系统提供的相应资源(进程、任务、线程等)来运行会话控制实例来实现所述单个代理用户功能时,那么所述优点使得如果例如由通信故障引起物理部分损坏也可以保持逻辑代理部分不被接触。因此在这种情况下只有物理部分必须被恢复。
会话控制部件可驻留于托管一个或多个服务器应用的同一硬件上,或者它可以被独立实现并通过网络设备进行连接,或者在可能性很小的情况下,它可驻留于每个客户系统。
另外,合并会话可以被定义,以使通过合并会话所提供的通信信道具有特定的带宽。因此,在定义了多个合并会话的情况下,可以建立具有不同带宽的通信信道,这是在本发明的思想中用于适应所需带宽的装置。
另外,有利的是,当定义了将各个控制参数包括在客户机请求中的会话对象之时,那么可以为这样的会话对象提供用符号表示的、意义自明的名称,并且由此对于用户覆盖服务器ID或服务器应用ID的非意义自明的、“难以理解”的名称。通过将用符号表示的名称与这些相应的服务器ID或服务器应用ID进行附加的映射,可以定义唯一的映射关系,并且当将请求转发到正确的服务器应用时可以由会话控制部件进行查找。同时,用户不会再碰到这类难以理解的名称或术语,也就是说,用户关注于需要实现“什么”而不是它“怎样”才能实现。
附图说明
本发明通过举例的方式来说明,并不受限于附图中的图像形状,在附图中:
图1A和B分别是在每个客户机和每个服务器之间由各个会话建立的现有技术的客户机服务器互连的简要框图表示(n乘以m个会话);
图2是根据本发明的优选实施例的系统体系结构的简要框图表示,该图说明了在会话控制部件和相应的服务器应用之间的合并会话;
图3是对于会话管理相关的部件的简要描述;
图4是显示了本发明的会话控制实例的某些实现方面的简要描述;
图5A和5B是说明在本发明优选实施例中的发明方法的步骤的控制流程图;
图6是说明了会话实现细节的简要描述;以及
图7是根据本发明的客户机请求到会话之间的映射的简要描述。
具体实施方式
通过总体地参考附图及特别地参照图2,图中绘于左侧的多个客户机向绘于右侧的服务器应用提出一些请求。更具体地,提供了根据本发明的会话控制部件20,用于对于绘于右侧的服务器应用,建立和操作(以及终止)合并会话28。
为了这样做,对于特定服务器应用的输入请求在对于每个合并会话提供的队列22中排队。队列22向访问授权管理部件24发布串行化的请求。该部件24连接在队列22和会话创建/删除部件26之间。部件24检查输入请求中的请求人员的用户ID和口令,或者在请求者不是人类而是自动化程序部件的情况下检查是否允许不同的请求ID。
另外,访问授权管理部件24检查在特定的相应服务器应用上,哪些请求对于特定的请求客户机是允许的。例如,如果请求用户是对于相应数据库表没有写入访问权限的人员,则部件24拒绝对某个数据库字段的删除请求。
执行检查过程之后,请求或者被拒绝或者被转发到会话创建/删除部件26,会话创建/删除部件26将该请求映射到为所请求的服务器应用而提供的特定会话28,与此同时还将该请求映射到与该会话相关的特定代理用户。代理用户在所描述的系统中作为任意其它普通用户出现,但是其代表了与所请求的服务器应用相关的多个“实际”用户和他们的权限。
取决于当前的需要,会话创建/删除部件26能动态地管理所需要数目的会话。因此,如果输入的请求需要到还未建立合并会话的服务器的连接,则会话被该部件自动创建。另外,输入请求的数量需要的带宽超过对于特定的服务器应用的现有合并会话所定义的带宽,则由该部件自动地创建会话并将其提供给客户机用于人工或经编程的输入。无论何时创建会话,至所述会话的连接都是通过代理用户完成的。在该请求的持续时间内,每个请求/响应对独占地使用所述合并会话。因此,由部件26创建的合并会话是以串行化形式来处理客户机请求的会话。如果特定请求包含服务器应用响应,则这也会用于服务器应用响应。因此,会话是会话控制部件20和相应的服务器应用之间的双向通信信道。如果,例如在出错的情况下无法对请求进行服务,则合并会话自动被恢复,而不需要客户机来这么做。然后,客户机只需要检查请求并且可能用相同的或经修正的形式来重复该请求。
从服务器端提供的代理用户管理部件23可以看出,服务器应用处的管理工作量显著降低,因为服务器应用只需要认证由本发明的会话控制部件20提供的代理用户而不是如现有技术情形中那样的多个单个客户机。
取决于在部件26内实现的会话实现思想,可以对于每个服务器应用只管理单个会话,或者如果对于带宽需求有需要,则可以创建相应的更大量的会话。从附图描述中可以清楚地看出,客户机与会话控制部件20通信,会话控制部件20用作为与客户机相关的代理用户,且同一代理用户用作为与服务器应用相关的单个客户机。本发明对于由会话控制部件20处理的用户认证和授权工作的重新分配导致在托管服务器应用的操作系统中需要更少的资源。更具体地,当一个系统进程被分配用于实现一个单个的合并会话时,如果向此服务器应用发布请求的客户机数量是n,则操作系统进程的数量被本发明减少了n的倍数。另外,服务器端的管理工作被大大减少到检查由会话控制部件20定义的单个代理用户所需的工作。
另外,当把附加的单个客户机与其应该具有访问权的已有会话进行映射时,只需要增加一点工作,因为该会话已经存在并且已经在会话控制部件20和相应的服务器应用之间被管理和维护。因此,总之,只需要m个会话而不是n乘以m个会话用来在n个客户机和m个服务器应用之间建立通信,其中,每个客户机都被允许与每个服务器应用通信。
通过进一步参考图3,下面给出了本发明“合并会话”概念的一些附加的逻辑方面。每个输入的客户机请求指定了用于使在本发明的会话控制部件20中实现的用户代理能够在下面描述的服务器应用上进行认证所需要的所有属性。
优选地,这些属性被结合在所谓的会话对象“会话”中并由符号化的名称标注为一个实体。
这些属性包括类似以下的所有信息:服务器应用地址、可用于控制服务器应用的行为的附加连接数据、在客户端对不同种类的服务器提供通用行为的服务器应用类型、会话超时限制、用户ID、口令(可读的或加密的)、企业名称等,所述信息对于认证请求人员是必需的,并且还清楚地对每个所述用户定义了由客户机请求所请求的允许的操作。在相应服务器应用上请求的操作通常取决于相应的服务器应用。因此,例如,可以指定后面跟随一些命令参数(例如,delete path_name/file)的简单命令,以及各种其它的语句(例如,SQL语句)。
另外,每个请求指定了例如任何协议(例如HTTP、SMA、TCPIP等)需要的服务器应用名称或服务器应用ID,也要参见图6作为参考。因此,对于每个输入的请求,给出“谁从哪个服务器应用请求什么”的完整描述。
会话控制部件创建和所请求的服务器应用的数量一样多的会话,并且创建对于托管会话控制部件20的计算机的操作系统最适合的相应的多个实例、进程、任务、线程等。这里显示了会话控制实例,该实例在“先入先服务”的基础上以串行顺序处理单个合并会话的客户机请求。如果发生硬件或软件错误,则会话可以被会话控制部件20很容易地恢复。这可以自动完成而不需要任何人工交互。另外,上面已经提到,可以对单个服务器应用实现不同的合并会话,例如为了适应所需的不同的相应会话特性。例如某些请求应当被非常快速地处理而其它的可以不那么快地处理。另外,在由单独的合并会话所建立的通信信道中,某些请求能够以较高的安全级别进行处理而其它以较低的安全级别进行处理。
此外,输入请求的串行化可以在或者不在这里所公开的会话控制部件内实现。这应当根据所讨论的IT环境的特定需要来完成。这对于访问权限管理也基本正确,所述访问权限管理在图2中被描述为会话控制部件20中的软件部件24。这也可以在此部件20之外实现,并被特别地预先连接到此部件20。
同样,能够实现预先连接到应用服务器并从会话控制部件20与代理用户进行通信的预先连接的安全工具。
从图3可以看出,客户机可关注于事务上的关键问题:它们想要从某个服务器应用请求“什么”,而本发明的会话控制部件20可以关注于“怎样”在客户机和服务器应用之间建立通信的问题。特别地,如果没有隐藏会话存在(即对客户机隐含地和透明地存在的会话),则这包括由会话控制部件20提供的自动创建会话的功能,所以客户机减轻了管理它们独自使用的会话的负担。
通过进一步参照图4,本发明方法的单独优选的特征可以描述为:根据此优选的实现特征定义了会话对象,其在图4中用标号40A、40B、40C表示。所述会话对象包含与对于特定服务器应用建立会话有关的所有属性(见图上方)。会话对象由客户机请求所引用。它们被分配给特定的逻辑会话代理。另外,逻辑会话代理可代表多个会话对象。逻辑会话代理用标号44A、44B表示。在会话对象和逻辑会话代理之间可实现轮叫循环(roundrobin)分配或任何其它适当的分配42。
此外,在会话控制部件20(图2)内,例如通过人工分配46,将每个逻辑会话代理44分配给特定的物理会话代理48A、48B。此物理会话代理48是运行如前所述的特定会话控制实例的物理任务(进程)。每个所述物理任务都可代表多个逻辑会话代理。
逻辑和物理会话代理的分隔在物理会话代理故障方面提供了较高的鲁棒性。尽管逻辑会话代理对于任何指定的会话对象保持不变,但如果首要的物理会话代理不可用,则会话控制实例具有选择其另一个、次要的(预先定义的)物理会话代理的灵活性。
物理会话代理和逻辑会话代理之间可以是1:n的关系。对于n>1,对于由映射到n个逻辑会话代理的会话对象所代表的会话的所有请求在物理会话代理层上进行串行化处理。对于n=1,只有对于由映射到一个逻辑会话代理的会话对象所代表的会话的请求在物理会话代理层上进行串行化处理。所以,这给了管理者用最少的资源(n>1)交换最大性能(n=1)的灵活性。
在物理会话代理48和逻辑会话代理之间提出了人工分配46,根据整个通信系统的当前需求,可以对其进行改变。每次当请求按FIFO次序排队时,如图4中的这些细节所描述的会话控制实例就会处理一个请求。另外,控制实例(优选地是逻辑会话代理44A、44B)检测会话是否已经存在,如果不然,则其根据在相应的会话对象中给定的属性来建立会话。
此外,该控制实例实现了用于检测会话何时中断的控制软件。在这种情况下,其专注于在下一个请求时修复连接。客户机将只检测这种情况下失效的请求而自身并不对恢复会话负责——这是会话控制实例的责任。
此外通过参考图5A和5B,更详细地描述了本发明优选实施例中的本发明方法的控制流:
在第一步骤510中,在会话控制部件上关于属性“谁从哪里用哪种访问权限请求什么”来评估客户机请求。例如,在文件系统管理中,可以由特定用户用特定删除指令来请求删除某个文件系统子树。
在检查步骤520,部件20读取这些输入属性并执行在其中维护的用户表中的交叉检查,该用户表保有该特定用户对任何允许的应用的任何访问权限。应当注意:在现有技术里这是由被请求的服务器应用自身来完成的工作。在检查步骤520的NO分支里,在步骤570中错误消息被发送回请求用户。
否则,如果由伴随有相应命令参数的请求所组成的特定命令被请求用户所允许,则通过访问授权管理部件24进行检查而执行第二检查步骤530。为了这样做,执行对相应用户访问权限表的类似查找。在否定的检查结果的情况下,类似的错误消息570被发送到请求用户。否则,在步骤540中,由会话控制部件20来执行对该请求的适当物理会话代理的搜索。步骤540的细节在图5B中进行了描述:
首先在步骤541,搜索用于请求的适当任务,即物理会话代理。为了这样做,该请求与请求ID相关联,所述请求ID标识对于与该请求相关的服务器应用,并且如前参照图4所描述的那样,执行对于适当物理会话代理48的查找。
更详细地,会话控制实例查找分配给所述会话的逻辑会话代理。在下一步骤中,会话控制实例查找当前映射到逻辑会话代理的物理会话代理。如果任务已经被定义并且对于输入请求来说适当且可用,则通过检查来执行检查步骤542。在任务失效的情况下,该任务在步骤546中恢复。接着,在后续步骤547中,相应的会话(合并会话)是不可用的并且因此执行重试。
在检查步骤542发现用于访问被请求的服务器应用的适当任务的情况下,下一个检查步骤543检查在会话控制部件20和被请求的服务器应用之间当前是否已经存在合并会话。如果该会话存在,则在步骤545中,该会话进入输入请求,也就是说,通过将该请求放入预先存在的、发往这一服务器应用的请求序列,该请求被转发到该服务器应用。然后,再回到图5A,如果请求序列被处理使得当前请求可被执行,则这一请求就在步骤550中执行。服务器应用接着在步骤560中生成对这一请求的响应,通过使用对该请求自身曾使用过的相同合并会话,将该响应转发到请求客户机。当然,可以实现对于请求和相应的响应使用不同会话的异步变体,其中控制实例用信号通知客户机对于具有相应客户机令牌的在前的客户机请求的响应存在。
回来参考步骤543,在步骤543的NO情况下,在步骤544建立新的物理会话以使得请求能够被转到服务器应用。接着,同样执行步骤550和560。当在步骤544中建立新的物理会话时,通过使用先前提到的、隐含地和透明地连接至发起请求的客户机的代理用户,建立到服务器应用的连接。
进一步参考图6,将更详细地描述根据本发明的用于建立合并会话的一些实现细节和变体:可以实现基本用于接收客户机请求和向请求发布响应的一个或多个进程。另外,代理用户口令由会话代理20管理,会话代理20优选地作为与作为服务器应用的漏(drain)相关的请求的源。可选地,代理用户口令也可以作为客户机请求的一部分被实现和需要。
在应用服务器上还可以实现一个或多个进程。例如,一个进程可被用于执行图5中提到的“是”分支,即常规工作流,而一个或多个进程可被用于实现“否”分支,即错误处理。
另外,代理用户可被授权一次并且只要应用服务器未定义超时就会被接受,或者可在服务器上执行对输入请求进行的重复授权检查。在第一种情况下,由应用服务器生成令牌,令牌被用于会话控制部件20的进一步请求。另外,认证部件可以是服务器应用的一部分,或者可以由连接在部件20和服务器应用之间的独立认证工具来实现。
通过进一步参考图7并特别地参考图5A中的检查步骤520,更详细地描述了不同客户机到不同合并会话之间的映射。图7左侧显示了输入请求,其被按照以上参考图5所描述的那样由会话控制部件进行处理。图7中描述的逻辑在该会话控制部件之内或以预先连接到该会话控制部件的形式所最好地实现。首先,分析输入请求以产生发布过请求的软件部件或用户(用户ID和口令)。
在图7中,说明了将客户机映射至特定会话的若干不同可能性:在上面的情况下,允许客户机A参与到会话70中。这在该图上部进行了描绘。对于给定客户机B相同的情况也成立。另外,可以将组G定义为包括两个不同的客户机。这在图的底部进行了描绘。这种分组还可被修改,以包括第二个或更多的组G’。
在左侧,列出了允许客户机A和B或者客户机组G来执行的特定的请求R1...R4。取决于服务器应用的性能或取决于命名方案,有可能将R1...R4作为单独请求的类来处理。所以,取决于具体的要求,请求授权的粒度可细可粗。
应当注意,代理用户的访问权限总体上必须足够,以便执行在输入请求R1...R4中定义的命令。
例如,R4示例性地显示为不可执行,因为任何客户机(A、B或组G)都不被允许这样做。因此,总之,取决于安全需要的具体实现,提供对于使用特定的合并会话的特定的或更通用的允许。同样,可以提供对于对特定请求的服务的特定的或更通用的允许。另外,可定义对特定会话或请求的通用的访问拒绝。
本发明可在硬件、软件或硬件和软件的结合中实现。根据本发明的会话合并工具可以在一个计算机系统中以集中式方式实现,或者以不同单元跨若干互连计算机系统分布的分布式方式实现。适于执行这里描述的方法的任何类型的计算机系统或其它装置都是适合的。硬件和软件的典型组合可以是具有计算机程序的通用计算机系统,所述计算机程序在被加载和执行时控制所述计算机系统以使其执行这里描述的方法。
本发明也可被包含在计算机程序产品中,该产品包括能够实现这里描述的方法的所有特征,并且当其被加载于计算机系统中时能够执行这些方法。
本上下文中的计算机程序装置或计算机程序意指采用任何语言、代码或符号的任何表述的一组指令,所述指令意在使得具有信息处理能力的系统直接地或在完成以下两者之一或两者之后执行特定的功能:
a)转换为另一种语言、代码或符号;
b)以不同的材料形式进行复制。
Claims (6)
1.一种用于在电子网络中管理客户机-服务器通信的方法,其中对于多个客户机需要相应的与客户机有关的客户机认证和授权以访问服务器应用,其特征在于以下步骤:
a)在会话控制部件(20)中,独立于所述服务器应用来管理多个客户机的所述客户机认证数据和授权数据,用于对所述服务器应用进行经授权的访问,
b)接收(510)指向对所述服务器应用之一的访问的输入客户机请求,
c)检查(520、530)所述客户机请求的所述认证和/或授权,
d)保持(540)和单个服务器应用有关的单个代理用户,其中所述代理用户代表了多个客户机及其对于连接和使用所述相应单个服务器应用的授权,
e)对于指向对各个相同单个服务器应用的访问的多个已允许的客户机请求,使用所述代理用户来操作单个会话,
f)在所述单个会话内顺序地处理(550、560)所述请求。
2.根据权利要求1所述的方法,其中,通过生成代表多个N会话对象(40)的逻辑会话代理部分(44)以及与此相关联的物理会话代理部分(48)并运行会话控制实例来实现所述单个代理用户功能,所述会话控制实例通过实现所述会话控制部件(20)的硬件的操作系统提供的相应资源来执行所请求的服务器应用访问。
3.根据权利要求1所述的方法,其中,对于包括不同带宽容量或不同安全定义的单个或多个应用服务器,建立多个合并会话(28)。
4.根据权利要求2所述的方法,其中对于所述会话对象(28)应用逻辑名称,对所述逻辑名称的选择是在语义上有意义的,并且其中提供了这些逻辑名称到服务器应用ID的映射。
5.一种用于在电子网络中管理客户机-服务器的计算机系统,其中对于多个客户机需要相应的与客户机有关的客户机认证和授权以访问服务器应用,所述系统具有:
a)会话控制部件(20),用于独立于所述服务器应用来管理多个客户机的客户机认证数据和授权数据,用于对所述服务器应用进行经授权的访问,以及用于保持(540)和单个服务器应用有关的单个代理用户功能(28),
b)排队装置(22),用于在单个会话内顺序地处理(550、560)所述请求。
6.一种存储在计算机可用媒体上的计算机程序产品,所述计算机可用媒体包括计算机可读程序装置,当所述计算机程序产品在计算机上执行时,所述装置用于使所述计算机执行权利要求1到4中任意一项的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP05108752.6 | 2005-09-22 | ||
EP05108752 | 2005-09-22 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1937608A true CN1937608A (zh) | 2007-03-28 |
Family
ID=37885621
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006100922847A Pending CN1937608A (zh) | 2005-09-22 | 2006-06-16 | 管理客户机-服务器通信的方法和计算机系统 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20070067638A1 (zh) |
CN (1) | CN1937608A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102447729A (zh) * | 2010-10-05 | 2012-05-09 | 株式会社日立制作所 | 服务协同系统 |
CN101436961B (zh) * | 2007-11-12 | 2012-07-11 | 国际商业机器公司 | 会话管理系统和方法 |
WO2013041037A1 (zh) * | 2011-09-20 | 2013-03-28 | 苏州宝时得电动工具有限公司 | 商品介绍系统及商品介绍方法 |
CN110162606A (zh) * | 2018-02-13 | 2019-08-23 | 国际商业机器公司 | 用于解决客户端服务请求的会话代理学习模型服务选择 |
CN110892382A (zh) * | 2017-05-16 | 2020-03-17 | 谷歌有限责任公司 | 用于经由自动化助理恢复对话会话的系统、方法和装置 |
CN111756784A (zh) * | 2019-04-30 | 2020-10-09 | 北京京东尚科信息技术有限公司 | 会话方法、会话装置、计算机设备和介质 |
WO2020233206A1 (zh) * | 2019-05-20 | 2020-11-26 | 深圳前海微众银行股份有限公司 | 一种处理代码执行请求的方法及装置 |
CN116530073A (zh) * | 2020-12-11 | 2023-08-01 | 亚马逊技术股份有限公司 | 无边界访问控制服务 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070294209A1 (en) * | 2006-06-20 | 2007-12-20 | Lyle Strub | Communication network application activity monitoring and control |
US7685293B2 (en) * | 2007-08-21 | 2010-03-23 | Qualcomm Incorporated | Method and apparatus for optimization of sigcomp UDVM performance |
US8295306B2 (en) | 2007-08-28 | 2012-10-23 | Cisco Technologies, Inc. | Layer-4 transparent secure transport protocol for end-to-end application protection |
AU2008317006A1 (en) * | 2007-10-21 | 2009-04-30 | Citrix Systems, Inc. | Systems and methods to adaptively load balance user sessions to reduce energy consumption |
US8667556B2 (en) | 2008-05-19 | 2014-03-04 | Cisco Technology, Inc. | Method and apparatus for building and managing policies |
US8677453B2 (en) | 2008-05-19 | 2014-03-18 | Cisco Technology, Inc. | Highly parallel evaluation of XACML policies |
US8094560B2 (en) | 2008-05-19 | 2012-01-10 | Cisco Technology, Inc. | Multi-stage multi-core processing of network packets |
US9712514B2 (en) * | 2015-02-08 | 2017-07-18 | Cyber-Ark Software Ltd. | Super-session access to multiple target services |
KR102590439B1 (ko) * | 2018-10-01 | 2023-10-18 | 에스케이하이닉스 주식회사 | 메모리 시스템 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1996017306A2 (en) * | 1994-11-21 | 1996-06-06 | Oracle Corporation | Media server |
US5983227A (en) * | 1997-06-12 | 1999-11-09 | Yahoo, Inc. | Dynamic page generator |
EP1032886B1 (en) * | 1997-11-14 | 2009-03-18 | Microsoft Corporation | Server operating system for supporting multiple client-server sessions and dynamic reconnection of users to previous sessions |
US6233577B1 (en) * | 1998-02-17 | 2001-05-15 | Phone.Com, Inc. | Centralized certificate management system for two-way interactive communication devices in data networks |
US6138120A (en) * | 1998-06-19 | 2000-10-24 | Oracle Corporation | System for sharing server sessions across multiple clients |
US6292657B1 (en) * | 1998-07-13 | 2001-09-18 | Openwave Systems Inc. | Method and architecture for managing a fleet of mobile stations over wireless data networks |
US6636503B1 (en) * | 1998-10-06 | 2003-10-21 | Siemens Information & Communication Networks, Inc. | Method and system for communicating with a telecommunications switch |
EP1104133A1 (en) * | 1999-11-29 | 2001-05-30 | BRITISH TELECOMMUNICATIONS public limited company | Network access arrangement |
US20020152175A1 (en) * | 2001-04-17 | 2002-10-17 | Armstrong John E. | Methods and apparatus for the interoperablility and manipulation of data in a computer network |
US7243370B2 (en) * | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
US7512652B1 (en) * | 2001-09-28 | 2009-03-31 | Aol Llc, A Delaware Limited Liability Company | Passive personalization of buddy lists |
US7103671B2 (en) * | 2002-03-14 | 2006-09-05 | Yahoo! Inc. | Proxy client-server communication system |
US7373424B2 (en) * | 2002-03-28 | 2008-05-13 | Sap Ag | Exactly once protocol for message-based collaboration |
US7668901B2 (en) * | 2002-04-15 | 2010-02-23 | Avid Technology, Inc. | Methods and system using a local proxy server to process media data for local area users |
US6938090B2 (en) * | 2002-04-26 | 2005-08-30 | Nokia Corporation | Authentication and protection for IP application protocols based on 3GPP IMS procedures |
US7257218B2 (en) * | 2002-12-30 | 2007-08-14 | Nortel Networks Limited | Presence enabled queue management |
US7219154B2 (en) * | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
US7434044B2 (en) * | 2003-02-26 | 2008-10-07 | Cisco Technology, Inc. | Fast re-authentication with dynamic credentials |
US20060218628A1 (en) * | 2005-03-22 | 2006-09-28 | Hinton Heather M | Method and system for enhanced federated single logout |
US8326996B2 (en) * | 2006-06-02 | 2012-12-04 | Oracle International Corporation | Method and apparatus for establishing multiple sessions between a database and a middle-tier client |
-
2006
- 2006-05-18 US US11/419,063 patent/US20070067638A1/en not_active Abandoned
- 2006-06-16 CN CNA2006100922847A patent/CN1937608A/zh active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101436961B (zh) * | 2007-11-12 | 2012-07-11 | 国际商业机器公司 | 会话管理系统和方法 |
CN102447729A (zh) * | 2010-10-05 | 2012-05-09 | 株式会社日立制作所 | 服务协同系统 |
WO2013041037A1 (zh) * | 2011-09-20 | 2013-03-28 | 苏州宝时得电动工具有限公司 | 商品介绍系统及商品介绍方法 |
CN110892382A (zh) * | 2017-05-16 | 2020-03-17 | 谷歌有限责任公司 | 用于经由自动化助理恢复对话会话的系统、方法和装置 |
US11817099B2 (en) | 2017-05-16 | 2023-11-14 | Google Llc | Systems, methods, and apparatuses for resuming dialog sessions via automated assistant |
CN110892382B (zh) * | 2017-05-16 | 2024-01-23 | 谷歌有限责任公司 | 用于经由自动化助理恢复对话会话的系统、方法和装置 |
CN110162606A (zh) * | 2018-02-13 | 2019-08-23 | 国际商业机器公司 | 用于解决客户端服务请求的会话代理学习模型服务选择 |
CN110162606B (zh) * | 2018-02-13 | 2023-05-09 | 国际商业机器公司 | 用于解决客户端服务请求的会话代理学习模型服务选择 |
CN111756784A (zh) * | 2019-04-30 | 2020-10-09 | 北京京东尚科信息技术有限公司 | 会话方法、会话装置、计算机设备和介质 |
WO2020233206A1 (zh) * | 2019-05-20 | 2020-11-26 | 深圳前海微众银行股份有限公司 | 一种处理代码执行请求的方法及装置 |
CN116530073A (zh) * | 2020-12-11 | 2023-08-01 | 亚马逊技术股份有限公司 | 无边界访问控制服务 |
CN116530073B (zh) * | 2020-12-11 | 2024-03-01 | 亚马逊技术股份有限公司 | 无边界访问控制服务 |
Also Published As
Publication number | Publication date |
---|---|
US20070067638A1 (en) | 2007-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1937608A (zh) | 管理客户机-服务器通信的方法和计算机系统 | |
US10749873B2 (en) | User abstracted RBAC in a multi tenant environment | |
US9047462B2 (en) | Computer account management system and realizing method thereof | |
US7349949B1 (en) | System and method for facilitating development of a customizable portlet | |
US8474012B2 (en) | Progressive consent | |
Skogsrud et al. | Model-driven trust negotiation for web services | |
CN110032571A (zh) | 业务流程处理方法、装置、存储介质及计算设备 | |
US7958200B2 (en) | Methods, computer program products, and apparatuses for providing remote client access to exported file systems | |
US20070250365A1 (en) | Grid computing systems and methods thereof | |
US20050060572A1 (en) | System and method for managing access entitlements in a computing network | |
CN111259378B (zh) | 多租户管理系统和多租户管理系统的实现方法 | |
US20120246695A1 (en) | Access control of distributed computing resources system and method | |
US8141160B2 (en) | Mitigating and managing privacy risks using planning | |
KR20120062514A (ko) | SaaS 환경에서의 권한 관리 장치 및 방법 | |
US20080162499A1 (en) | System and Method for Facilitating Access to Content Information | |
US20050240622A1 (en) | Multi-connection control system | |
US20120074221A1 (en) | Information card overlay | |
US20080163335A1 (en) | Method and arrangement for role management | |
US20040006590A1 (en) | Service for locating centralized schema-based services | |
US20100011408A1 (en) | Implementing Organization-Specific Policy During Establishment of an Autonomous Connection Between Computer Resources | |
US20080104250A1 (en) | Identity migration system apparatus and method | |
CN108173839A (zh) | 权限管理方法及系统 | |
Abdallah et al. | A formal model for parameterized role-based access control | |
WO2002059819A1 (en) | Method and apparatus for managing publication and sharing of data | |
JPH11232201A (ja) | 通信資源制御装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20070328 |
|
C20 | Patent right or utility model deemed to be abandoned or is abandoned |