TW201042973A - Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels - Google Patents

Description

201042973 六、發明說明： 【發明所屬之技術領域】 本發明有關在電腦系統中進行驗證的方法、執行該方法的 電跑糸統、及含減行該枝之財碼部分的電齡式產品。 【先前技術】 客戶端應用程式需要存取伺服器應用程式的資源。客戶端 用程式開啟油《應職柄軌通道。此軌通道通常 〇 n ’也叙說任何客戶端顧喊皆可建立連線。在客 =端應用程式存取伺服II制程式的資源之前，客戶端應用程 式請求飼服器應用程式藉由識別客戶端應用程式使用者的名稱 進订驗迅。為了驗證客戶端應用程式使用者，饲服器應用程式 對客戶應用程式發送s吉問，即一種只有真正的客戶端應用程 式使用者才能解決的難題。客戶端應用程式送回難題的解答。 1服器應贿式㈣解答正销否，以此方式驗證客戶端應用 程式’然後授予伺服器應用程式資源的存取權限給客戶端應用 程式。 . 一在先前技術的實施方案中，詰問（challenge)可以是來自 飼服器應用程式的訊息，客戶端應隸式以客戶端制程式使 用者的金鑰加密此訊息。此訊息可以是臨時亂數，其已知為安 王工程中使用一次的數字」（“number used once，，），且僅針對 一個通Λ對話產生。臨時亂數可以是任何隨機資料或時戳 (thnestamp )。客戶端應用程式使用者的金錄係客戶端應用程式 及伺服器應用程式二者均有副本的對稱金鑰。或者，金鑰係非 對稱金鑰，其中客戶端應用程式具有私密金鑰，及伺服器應用 4 201042973 r 客戶端將加密訊息送回伺服器應用 2二Γ 式分卿客戶端應用程式使用者的對稱金 密此訊息’然後核對此解密訊息是否匹配飼服 給客戶端應用裎式的訊息。當核對成功後， 對二:f: 此訊息已由客戶端應用程式使用者之各別 =冉金贼私密麵的财者加密然猶證加魏息的發送 Ο Ο 前技射ϋ驗證方式絲於神對稱金餘對密 踩^禮及解雄、客戶端應用程式經由加密通訊通道，發送密 = = 應雜式。職通射_服魏祕式使用者的 加密’該公開金鑰不是可公開取得，就是在加密密碼 訊通道將其發送給伺服器應用程式之前，已經傳遞給 你田^用程式。只有伺服11應用程式才能用.11應用程式 2者的私密金鑰解密含有密碼的接收訊息。當舰器應用程 ^仃於伺服n應用程式主機上時，伺服器應用程式可使用得 業系式的密碼，糊服器應用程式主機的基本作 在先前技術中，Kerb_演算法使用伺服器應用程式經由 、驗證伺服H對客戶端應用程式的驗證。詳情請見例如c 屮π、如等人的「網路安全(跑则呔SeCUrity)」，Prentice Hal1 用rt2GG2年。kb·演算法實質上運作如下：客戶端應 二式务运請求至中央驗證伺服器，要求傳回由伺服器應用程 1於驗證的票證。驗湘服輯由舰器應_式使用者的 汗或對稱金餘加密對話金錄及客戶端應用程式使用者的名 5 201042973 稱 Ο ❹ 用裎用程式設計對話金鑰及產生票證。為伺服器應 相對話金餘、產生的票證、及伺服器應用程式使用 …$全部都用客戶端_程式使用者的公誠對稱金餘來 2进。中央驗證健器將加密訊息發送給客戶端應用程式。只 用程式使用者才能夠用客戶端應用程式使用者的私 金鑰解密接收的訊息。客戶端應用程式使用者核對接 央驗證伺服器的訊息是否可用來由飼服器應用程式驗證 自鈿應，程式’因為只有客戶端應用程式使用者能夠解密訊 含有舰ϋ應用程式使用者的名^客戶端應用程 式將舰器應難式的票證及用對話金錄加密的時紐送給飼 ==。只有伺服器應用程式使用者才能夠用飼服器應 私式使用者的Μ或對稱麵解密票證並擷取對話金餘及 戶=應用程式使用者的名稱。舰程式認可巾央驗 服器已插人票證t的客戶端應用程式使用者名稱，因而此票證 可用來由伺服ϋ應用程式驗證發送的客戶端應贿式。飼服器 應用程式使絲自解密票證的對話金鑰解密加密的時戳並㈣ ，認。根财證鱗戳’他n_程式針存取權限給 存取伺服器應用程式的客戶端應用程式。 '水 中央驗證伺服器的加密保證只有客戶端應用程式使用 能解密來自中央驗糊服器的訊息，而且只有舰器應用 使用者才能浦巾央驗·縣缝生及客戶端崩程式 送至伺服器應用程式的票證。 x 。。在Kerberos演算法中，客戶端應用程式使用者自行與伺服 器應用程式進行驗證’列知道龍器應用程式使用者的密碼 6 201042973 或金鑰。反之亦然，伺服器應用程式也不需要儲存客戶端應用 程式使用者的任何金錄或密碼。然而，中央驗證伺服器必須儲 存客戶端應用程式使用者及伺服器應用程式使用者二者的公開 或對稱金鑰。 先前技術在伺服器應用程式無法存取基本作業系統的驗證 機制時具有缺點。在此情況下，伺服器應用程式無法使用接收 自客戶端應用程式的密碼驗證客戶端應用程式使用者。 先前技術的第二個缺點是傳送任何密碼時均必須加密通訊 通道的事實。客戶端應用程式及伺服器應用程式中至少一個必 ，對經由軌通道安全交換資騎需的密碼或臨時亂數進行加 密及解密。加密及解密程式碼的實施方案很複雜。 ❹ erbems ’冑算/i：係基於具票證產生機制的巾央驗證祠服器 =用客戶端應雜式使用者及伺服賴用程式使用者的對稱 ^非對稱金鑰對訊息的加密及解密。驗證伺服㈣設定及實施 j及在客戶端顧料側及伺服㈣猶式_於加密 雄、的程式碼也是很複雜。 【發明内容】 ，此本發明之目的係提供—種祕驗證的簡化方法及系 :二，客戶端應隸式及伺服器應用程式之間建立未驗證及未 口在-人通訊通道之後，由伺服器應用程式驗證客戶端應用程式。 本發明此目的可以在具有以下項目之系統中的驗證方法來 7 201042973 f成·客戶端應用程式、飼服器應用程式、資源位置、在客戶 端應用程式及資源位置之間的驗證主通訊通道、及在飼服器應 用，式及資源位置之間的驗證主通訊通道。驗證通訊通道是指 由貧源位置驗證在客戶端應用程式及資源位置之間建立通訊通 道的客戶j應用程式使用者。相同的道理也適用於在飼服器應 用，式及身源位置之間的驗證通訊通道，其中資源位置驗證祠 服器應用程式使用者。資源位置僅允許一組授權使用者建立通 訊通道，且知道與資源位置建立通訊通道的使用者身分。主通 〇 til通道不-定要加密，也就是說入侵的應用程式可在通訊通道 上竊聽並讀取傳送的訊息。 A為了建立在客戶端應用程式及伺服器應用程式之間的直接 次通訊通道連線，客戶端應用程式建立與伺服器應用程式的次 通甙通道，其通常為未驗證及未加密。任何客戶端應用程式皆 可與伺服器應用程式建立通訊通道。飼服器應用程式並不知道 建立通訊通道連線的客戶端應用程式使用者身分。客戶端應用 程式經由次通訊通道對伺服器應用程式提出授予存取權限^請 Ο 求三並告知伺服器應用程式客戶端應用程式使用者的身分。伺 服器應用程式按以下方式驗證客戶端應用程式使用者：伺服器 應用程式啟始驗證訊標的產生❶伺服器應用程式可自行產生驗 證訊標或請求遠端伺服器產生驗證訊標。驗證訊標可以是使用 -次的某娜時亂數、數字或字組，例如，在統計上為隨機的 位凡型樣或加密時戳(timestamp)。伺服器應用程式啟始以儲存 驗證訊標於資源位置處，並設定存取權限讓客戶端應用程式使 用者具有存取驗證訊標的權利。在伺服器應用程式儲存產生的 驗證訊標於資源位置處後，伺服器應用程式使用者具有存取資 201042973

源位置的寫入及產生權限、儲存驗證訊標於資源位置處、及設 定存取權限，因此僅授權使用者，包括客戶端應用程式使用者， 獲准經由在客戶端應用程式及資源位置之間的驗證主通訊通道 存取驗證訊標。客戶端應用程式必須至少具有讀取驗證訊標的 權限。請求存取伺服器應用程式的非授權使用者不得有存取驗 證訊標的權利，因而也沒有讀取或修改驗證訊標的權利。伺服 器應用程式使用者及可能系統管理員通常屬於授權使用者，因 而具有存取驗證訊標的權限。客戶端應用程式經由在客戶端應 用程式及資源位置之間的驗證主通訊通道摘取驗證訊標副本。 客戶端應用程式經由次通訊通道將驗證訊標副本傳回伺服器應 用程式。在伺服器應用程式啟始後，伺服器應用程式隨即檢查 客戶端應賴辆回的驗證訊標副本是純配儲存於資源位置 處之產生的驗證訊標。在伺服器應用程式證實所 標副本及_麵驗證訊標完全相同後，舰鶴用程式驗證 客戶端應雜式、經由:欠軌通道將成魏息傳回客戶端應用 程式、及授飾取觀給客戶端應贿式。當 標副本與所儲存的驗證訊標不同時，伺服ϋ應用程式 訊通道傳回錯誤訊息，並拒絕客戶端應用程式的存^ 於資較Ϊ具體實施例中’在產生的驗證訊標儲存 -欠通气通、f Ί各戶端應用程式已與伺服器應用程式建立 -人通减道。-人通_道是伺服器制 標所利用的唯-通訊通道。這表 訊S時：二;、Λ建立與·應用程式的另-次通 應用程式將拒絕入侵客戶端應用裎式的存 9 201042973 經建立 取’因為與請求之客戶端應用程式的次通訊通道已 及第三褒置其中之—。、原置在客端裝置、飼服器裝置、 $各具有獨立檔㈣統的獨立主機系統及資源 盗應用程式主機的本機檔案系統 :服 系統…案系統掛載為通端播案系統，並使用作業 具體實施例中，客戶端裝置及舰器裝置 供的遠端檔案系統之掛載“證機制存取遠端檔案 驅 〇 發明之—替紐嫌實施射，客戶端剌程式及伺 μ應用程式係在相同的裝置中運行。這表示二者均可執行於 ”有一個本機檔案系統的相同主機系統 ^，存取權限的請求給刪應用程==二 =用，式❹者的名稱，但*包括_。伺服器應用程式無 半用各戶端應用程式使用者的密碼，因為伺服器應用程式叙 ，存取基本作職統的驗證機制。舰程式儲存產生的 201042973 ”同檔案系統的位置處，客戶端應用程式在該處可 輕易^讀取驗證訊標。客戶端應用程式將驗證訊標副本發送給 $服器應用程式。伺服器應用程式核對驗證訊標後，授予存取 權限給客戶端應用程式。 一，本發明之一第二替代性具體實施例中資源位置係檔案 主機的檔㈣統，槽案伺服器主機係與客戶端應用程式 伺服器應用程式主機分I客戶端應用程式主機及飼服 0= 式主機分別將檔案伺服器主機的檔案系統掛載為遠端 、糸統並使用作業系統服務提供的驗證機制存取遠端檔案 系統的槽案。 本毛月之第二替代性具體實施例中，資源位置可以是 驗證伺服器或資料庫伺服器。 ◎ =本發明之—第四替代性具體實施例中，在客戶端應用程 ^„源位置之間的主通訊通道及在祠服11應用程式及資源位 日的主通訊通道中至少—個使驗證的網路通訊協定。網 脸^:定可以是安全通訊端層(SSL)，及儲存於資源位置處的 〇丑汛払可由統一貢源定位器(URL)識別。 々诸發明，―第五替代性具體實施例中，在客戶端應用程 二私、m應用程式的次通訊通道之前，祠服11應用程式 你用將產生的驗證訊標儲存於㈣位置處。客戶端應用程式 =存取及讀取驗證訊標、建立油服輯_式的次通 a k逼、發运驗證訊標副本給词服器應用f呈式，最後由饲服器 201042973 應 、“驗證客戶端應用程式。然而，在此情況下’主通訊通 =須加密。當主通訊通道未加密時’人侵的客戶端應用程式 二、·任何主軌通道上紐、建立與他器應祕式的次通訊 =道佯裝是驗證訊標為其所產生的客戶端應用程式使用者、 及 1所竊取的驗證訊標副本並將其發送給伺服器應用程式、 取得授予伺服器應用程式的存取權限。 隸ί本發明之第六替代性具體實施例中，以飼服器應用程式 〇 =客戶端應用程式’反之亦然。以在伺服器應用程式及資源 2置之間的主通訊通道替換在客戶端應用程式及資源位置之間 々主=訊通道’反之亦然。在客戶端應絲式及伺服器應用程 的如此角色交換之後，可按對應的方式應用所說明的驗 故万法。 和ΗΕί本發明之第七替代性具體實施例中，客戶端應用程式及 5艮益應用程式中至少一個在智慧卡裝置中運行。 Ο 本毛明方法可施彳τ於電腦系統中，並可實施於電腦程式產 ϊ統中二在包含施行本方法步驟之電腦程式碼部分的資料處理 【實施方式】 在圖式及制書巾提出本發明雜佳具財齡卜雖然使 特疋用語’但如此提供的說明僅針對—般及描述的意義使 ,而非用來限制。然而，應明.白，只要不脫離如隨附申請專 乾圍所述之本發明的廣泛精神及範轉’可對本發明進行修改 12 201042973 及變更。 何種硬體、軟體 '或硬體及軟體的組合來實現。任 、，電腦系統或其他適於執行本文所述方法的設備都很合 5L的硬體與軟體組合可以是具有載入及執行時可控制電 =統以執行本文所述方法之電腦程式的通用電腦系統。本發 内建在電腦程式產品中，電腦程式產品包含實施本文所 Ο 〇 $法的所有特色，且電腦程式產品在被載人電财統中後， 還可以執行這些方法。 本文中的電腦程式構件或電腦程式係指任何用來使具有資 訊处理旎力的系統能夠直接或在以下之一 種語言、程式碼或標記;b)以不同的材;=現： 力仃特疋功能之-組指令之任何語言、程式碼或標記的表示。 圖1顯示-種用於驗證的系統，其包含：客戶端應用程式 )、伺服H應贿式(1〇2)、及資源位置_。客戶端應用程 工101)及飼服器應用程式(1〇2)分別經由已驗證的主通訊通道 (1〇4)及(1〇5)存取資源位置(103)。 、主通訊通道(104)及⑽)未必要加密，也就是說，第三方可 以頃取在通道(1〇4)及(1〇5)上傳送的資料。通訊通道(1〇4)提供路 從讓客戶端應用程式能夠存取資源位置⑽)之控制存取權限的 資源，例如，遠端檔案系統中控制存取權限的檔案。 驗證登 客戶端應用程式(101)代表客戶端應用程式使用者在! 201042973 入對話中運行，客戶端應用程式使用者藉由輸入使用者名稱及 密碼，登入(111)客戶端應用程式。 飼服态應用程式(102)代表祠服器應用程式使用者，在由作 業系統服務建立的驗證登入對話(l〇g〇n sessi〇n)中運行。 客戶端應用程式（101)預計建立與伺服器應用程式（1〇2)的 次通訊通道(106)。次通訊通道(1〇6)可以是在資料庫驅動程式之 0 客戶端及伺服器元件之間連接客戶端應用程式與資料庫伺服器 的通。負料庫驅動程式的伺服器元件可能無法存取資料庫 伺服器之基本作業系統的驗證機制並使用客戶端應用程式使用 者的接收密碼進行驗證。因此，客戶端應用程式(1〇1)建立(121、 122)與伺服器應用程式(1〇2)之次要的未驗證次通訊通道(1〇6)， 岐表不通訊通道不需要使用者憑證，任何客戶端應用程式均可 建立此連線。通訊通道(1〇6)未必要加密。 客戶端應用程式（101)透過所建立之未驗證的次通訊通道 Ο (106) ’發送請求(123)給伺服器應用程式(102)，要求驗證代表客 戶端應用程式使用者運行的客戶端應用程式。此請求含有客戶 端應用程式使用者的名稱。 伺服器應用程式(102)產生驗證訊標（141)，其可以是在統計 上為隨機的位元型樣或加密時戳。身分確認的可信度由驗證訊 標(141)的隨機產生器品質決定。飼服器應用程式「放下伽p谂 〇ff)」⑽、ns)驗證訊標（M3)於資源位置(1〇3)處，也就是說， 以特定的名稱及位置加以儲存。飼服器應用程式設定驗證訊標 14 201042973 (143)的檔案存取權限’因而僅有一組授權使用者，包括客戶端 應用程式使用者’獲准讀取驗證訊標。客戶端應用程式使用者 的名稱包含在請求(123)中，以驗證與伺服器應用程式的次通訊 通道。然而’非授權使用者不得存取驗證訊標。伺服器應用程 式使用者及通常是系統管理員，屬於具有存取驗證訊標(143)之 權利的一組授權使用者。 伺服器應用程式（102)經由次通訊通道(1〇6)，將回應傳回 (126)客戶端應用程式(101)，回應包括儲存於資源位置(103)處之 驗證訊標(143)的名稱及位置。 客戶端應用程式（101)經由驗證主通訊通道（1〇4)「恢復 (recover)」’也就是說，讀取(127、128)，資源位置(1〇3)的驗證 訊標。請求與具有客戶端應用程式使用者憑證之伺服器應用程 式（102)或任何應用程式使用者之次通訊通道(1〇6)的客戶端應 用程式使用者是獲准存取及讀取驗證訊標（143)的授權使用者之 一。客戶端應用程式(101)經由次通訊通道(106)，將驗證訊標(143) Ο 的副本(〗45)傳回（129)祠服器應用程式(丨02)。 伺服器應用程式（102)透過預期的次通訊通道(1〇6)接收驗 證訊標（143)的副本(146)。這是伺服器應用程式(1〇2)為了回應驗 證客戶端應用程式使用者的請求(123) ’預期可在其上接收驗證 訊標(143)之副本(146)的唯一通訊通道。 伺服器應用程式核對（102)所接收(所恢復)之驗證訊標（M3) 的副本（146)是否匹配伺服器應用程式已儲存（「放下」）於資源 201042973 位置(103)且’、有客戶端應用程式使用者才能存取的驗證訊標 (143)。儲存的驗證訊標(143)與產生的驗證訊標(14丨）完全相同。 如果核對成功，則建立與伺服器應用程式（1〇2)之未驗證次 通訊通道(106)的使用者係其所宣稱的使用者。伺服器應用程式 (102)驗證與客戶端應用程式的次通訊通道(1〇6)並授予存取權 限給客戶端應用程式(101)。飼服器應用程式可經由次通訊通道 (106)，將客戶端應用程式使用者已經驗證的確認訊息傳回（13〇) _ 客戶端應用程式。 ◎ 如果核對失敗，也就是說，如果驗證訊標的副本(146)不同 於所儲存的驗證訊標(143)或不同於所產生的驗證訊標(mi)，則 伺服器應用知式拒絕存取並經由次通訊通道(1〇6)，將應用程式 錯誤傳回(130)客戶端應用程式。 如果在客戶端應用程式（1〇1)及資源位置（1〇3)之間的主通 訊通道（104)及在伺服器應用程式（1〇2)及資源位置（1〇3)之間的 〇 主通訊通道中至少一個未加密，則重要的是，在伺服器應用程 式儲存驗證訊標於資源位置(103)處“之前”，建立與伺服器應用 程式（102)之未驗證的次通訊通道(1〇6)。伺服器應用程式（〗〇2) 預期僅利用所建立之次通訊通道(106)的驗證訊標。 圖2含有本發明驗證方法的流程圖及程序圖。為回應建立 次通訊通道(106)的請求(211)，客戶端應用程式(2〇1)建立(212、 23〗、232)與伺服器應用程式(202)的未驗證次通訊通道(1〇6)。客 戶端應用程式(201)使用此通訊通道(106)提出請求(213、233)至 16 201042973 伺服器應用程式(202)。伺服器應用程式(202)產生(214)驗證訊標 並將其儲存(215、234、235)於資源位置(203) ’讓客戶端應用程 式使用者是除了伺服器應用程式使用者及可能系統管理員之 外，唯一能夠讀取驗證訊標的使用者。伺服器應用程式(2〇2)將 回應傳回(216、236)客戶端應用程式(201)。接著，客戶端應用 程式(201)經由在客戶端應用程式(201)及資源位置(203)之間的 主通訊通道(104)，擷取(217、237、238)驗證訊標副本，並使用 次通訊通道(106)將其傳回(218、239)伺服器應用程式(2〇2)。祠 0 服器應用程式(202)核對(219)所接收的驗證訊標副本是否匹配 儲存於資源位置(203)及只有客戶端應用程式使用者才能讀取_ 存取之所產生的驗證訊標。如果核對成功，則伺服器應用程式 經由次通訊通道(106)傳回(220、240)成功訊息及授予存取權限 (222)給客戶端應用程式(2〇1)。如果核對失敗，則伺服器應用程 式(202)利用次通訊通道(1〇6)，將錯誤訊息送回(221、240)客戶 端應用程式(201)，並拒絕(223)客戶端應用程式(2〇1)的存取。 圖3顯示一替代性具體實施例，其中在客戶端應用程式(3〇1) 〇 及伺服器應用程式（3 02)之間的次通訊通道（丨〇6)已經建立之 ^伺服器應用知式(3〇2)在啟始化(311)後即產生(312)驗證訊 標，並將其儲存(313、32卜322)於資源位置(3〇3)。在替代性具 體實施例中，在所產生的驗證訊標及預期建立與伺服器應用程 式之次通訊通道(106)並將驗證訊標副本發送給伺服器應用程式 的客戶端應用程式使用者之間，存在一對一的關係。 圖4 $員示替代性具體貫施例的方法步驟，其中在建立次通 訊通道之前，產生的驗證訊標已儲存於資源位置(4〇3)處。為回 17 201042973 應驗證代表客戶端應用程式使用者運行之客戶端應用裎式經由 次通訊通道(106)的請求(411)，客戶端應用程式自資源位置(4〇3) 擷取(412、421、422)驗證訊標副本。除了伺服器應用程式使用 者及可能系統管理使用者，只有客戶端應用程式使用者是存取 驗證訊標的授權使用者。 客戶端應用程式產生(413、423、424)與伺服器應用程式之 未驗證的次通訊通道(106) ’並經由次通訊通道(1〇6)將驗證訊標 ❹副本傳回(414、425)伺服器應用程式。伺服器應用程式核對(415) 接收的驗證訊標副本是否匹配伺服器應用程式已針對特定的客 戶端應用程式使用者儲存的驗證訊標。根據核對的結果，伺服 器應用程式發送(426)成功訊息(416)或錯誤訊息(417)，並分別授 予存取權限(418)給客戶端應用程式或拒絕(419)客戶端應用程 式的存取。 ~ 如果在客戶端應用程式（1〇1)及資源位置（1〇3)之間的主通 訊通道(104)及在伺服器應用程式(1〇2)及資源位置（1〇3)之間的 〇 主通訊通道(105)中至少一個未加密，則第三方可自通訊通道讀 取驗證訊標副本、建立與伺服器應用程式的未驗證次通訊通 道，及宣稱是驗證訊標為其產生的客戶端應用程式使用者。為 了避免在建立次通訊通道(106)之前儲存驗證訊標於資源位置處 的情況中濫用驗證訊標，在客戶端應用程式（1〇1)及資源位置 (103)之間的主通訊通道(1〇4)及在伺服器應用程式（1〇2)及資源 位置（103)之間的主通訊通道(1〇5)必須加密。 當第一次經由客戶端應用程式（101)及伺服器應用程式（102) 18 201042973 ❹ ❹ 之間=次通訊通道(丨06)傳送驗證訊標時，伺服器應用程式通常 在客戶端應用程式可以在:欠通訊通道(1〇6)上竊聽及讀取 驗也汛橾副本之前接收驗證訊標副本。在此情況下，次通訊通 道未必要加密。當任何驗證訊標副本在至少一個通訊通道上傳 送至少多次時，即使依序使用多個通訊通道，也必須加密對應 的通訊通道。客戶端應用程式(101)可以恰如客戶端應用程式使 用者以飼服器應用程式驗證的相同方式，核對飼服器應用程式 者!!身分’只要交換以下角色即可：客戶端應用程式(ι〇ι) =司服器應用程式(1〇2) ’以及在客戶端應用程式〇叫及資源位 (103)之間的主通訊通道(1〇4)與在飼服器應用程式⑽)及資 ，位置(10=)之間的主通訊通道(1G5)。在如此反向驗證的例子 伽1服ΐ應用程式建立與客戶端應用程式的未驗證次通訊通 田I出要求授予存取權限的請求至客戶端應用程式。客 峨始產生驗證訊標並將其儲存於資源位置處，驗 觀存取關服11應用程式使用者讀取存 驗噔;俨；：，式經由驗證主通訊通道⑽)擷取資源位置的 二==;戶端應用程式核對由伺服器應用程式傳回的 驗證訊&匹配客戶端應用程式儲存於資源位置⑽)的 【圖式簡單說明】 本發明藉由舉例加以說明且不香 其中 . η且小又圖式中圖解形狀的限制， 19 201042973 流程圖及程序圖。 【主要元件符號說明】 100 101、 201、301、401 102、 202、302、402 103、 203、303、403 104、 105 106 〇 14 卜 143 145 、 146 系統 客戶端應用程式 伺服器應用程式 資源位置 主通訊通道 次通訊通道 驗證訊標 驗證訊標副本

20

Claims (1)

1. 201042973 七、申請專利範圍： 1. 一種在一系統中進行驗證的方法，該系統具有：一客戶端應用 程式、伺服器應用程式、一資源位置、一在該客户端應用程式 及該資源位置之間的驗證主通訊通道、及一在該伺服器應用程式 及該資源位置之間的驗證主通訊通道，該方法包含以下步驟： 該客戶端應用程式建立一與該伺服器應用程式的次通訊通 道； 該客戶端應用程式經由該次通訊通道提出一請求至該伺服器 應用程式，要求授予存取權限； 該伺服器朗程式在該驗證成功後，触触軌通道授 存取權限給該客戶端應用程式； 5亥方法特徵在於其另外包含以下步驟： 的產生，該客戶端朗程式可經由在該客戶端應酿式及該資 位置之間賴驗證主通訊通道存取級證訊標；

   通訊通道將該驗證訊標傳回該伺 摘服器應用程式啟始將要儲存於該f源位置之—驗證訊標 服器應用程式；

   2.如申請糊_第1項所述之方法，

   其中该驗證訊標僅可由授 良存取該伺服器應用程式 21 201042973 3·如申請專利範圍第丨項所述之方法，其中針對在該客戶端應用 程式及該伺服器應用程式之間的該次通訊通道的單一建立，產生 儲存於該資源位置的該驗證訊標。 4·如申請專利範圍第丨項所述之方法，其中該產生的驗證訊標係 一在統計上為隨機的位元型樣(bit pattern)。 5·如申請專利範圍第1項所述之方法，其中該資源位置係一檔案 ^ 系統。 6. 如申請專利範圍第5項所述之方法，其中該檔案系統係該概 器應用程式及該客戶端應用程式中至少一個的一本機檔案系統。 7. 如利範圍第5項所述之方法’其中在該客戶端應用程式 及該貧源位置之間的該主通訊通道及在關服器應用程式及該資 源位置之_該主通訊通道中至少—個使用該檔録統之作業系 統服務所提供的驗證機制。 ^如申明專利範圍第5項所述之方法，其中該槽案系統係一用於 该客戶端應用程式及服器應用程式中至少—個的遠端槽案系 及在該客戶端應用程式及該資源位置之間的該主通訊通道及 在該飼服器應贿式及該#驗置之間的該主通訊通道中至少一 固刀別使用4遠端;錢統的掛載(mQuming)以分顧於該客戶 蠕應用程式及該伺服H應用程式中至少—個的連線及驗證。 ’如申吻專利|巳圍第1項所述之方法，其令在該客戶端應用程式 22 201042973 及該資源位置之間的該主通訊通道及在該伺服器應用程式及該資 源位置之間的該主通訊通道中至少一個使用一驗證的網路通訊協 定。 10.如申請專利範圍第9項所述之方法，其中該網路通訊協定係安 全通訊端層(SSL) ’及儲存於該資源位置的該驗證訊標為統一資源 定位器(URL)所識別。 〇 U·如申請專利範圍帛1項所述之方法，其中在該產生的驗證訊標 儲存於該資源位置之前，已經建立該次通訊通道。 12.如申明專利圍第i項所述之方法，其中加密在該客戶端應用 程=及該資驗置之間的該主通訊通道及在該舰減用程式及 該資源位置之_該域訊通道，及在該客戶端顧程式建立與 該飼服器應用程式的該次通訊通道之前，將該產生的驗證訊標儲 存於該資源位置。 Ο 13.=申請專利範圍第1項所述之方法，其中該客戶端應用程式係 -資料庫驅動程式的客戶端元件’及該舰器朗程式係該資料 庫驅動程式的伺服器元件。 M如申„:專她圍第1項所述之方法，其中該客戶端應用程式由 該=服器應用程式替換，及反之亦然；及在該客戶端應贿式及 该貧源位置之_該主軌通道由在翻服器_程式及該資源 位置之間的該主通訊通道替換，及反之亦然。 23 201042973 15. -種驗證祕’其具有運行__客戶端應贿式的—客戶 置、一執行一伺服器應用程式的伺服器裝置、一資源位置、―、 該客戶端裝置及該資源位置之間的驗證主通訊通道及一在兮， 服态裝置及該資源位置之間的驗證主通訊通道，該系 、x伺 步驟： W丁以下 該客戶端應用程式建立一與該伺服器應用程式的次通訊通 道； 該客戶端應用程式經由該次通訊通道提出一請求至該 應用程式，要求授予存取權限； ° 該伺服器應用程式在該驗證成功後，經由該次通訊通道授 存取權限給該客戶端應用程式； 又 5亥系統特徵在於其另外包含施行以下步驟的構件： 該伺服器應用程式啟始將要儲存於該資源位置之一驗證訊桿 的產生，該客戶端應用程式可經由在該客戶端應用程式及該資源 位置之間的該驗證主通訊通道存取該驗證訊標； 該客戶端應用程式經由在該客戶端應用程式及該資源位置之 間的該驗證主通訊通道擷取該資源位置的該驗證訊標； 該客戶端應用程式經由該次通訊通道，將該驗證訊標傳回註 伺服器應用程式； §亥伺服器應用程式藉由檢查該客戶端應用程式傳回該伺服器 應用程式的該驗證訊標是否匹配該伺服器應用程式啟始後儲存於 該資源位置(103)之該產生的驗證訊標，驗證該客戶端應用程式。 16.如申請專利範圍第15項所述之綠，其巾該客戶端應用程式 及該伺服器應用程式運行於相同的裝置中。 24 201042973 17.如申請專利範圍第〗5或 及铁宏卢㈣罢士石小 項所述系統’其中該伺服器裝置 〇X t置_至>_·個另外包含該資源位置。 队一種電腦程式產品，其實施—在一 機制且包含施行如前逑申請專利範圍第】至^項=^行的驗證 之系統步驟的電腦程式碼部分。 項中的任一項所述 〇 25