專利名稱:因特網(wǎng)協(xié)議兼容的訪問(wèn)鑒權(quán)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及計(jì)算機(jī)信息系統(tǒng)。更加具體而言,本發(fā)明涉及因特網(wǎng)協(xié)議兼容的訪問(wèn)鑒權(quán)系統(tǒng)。
背景技術(shù):
計(jì)算機(jī)安全是指這樣的技術(shù),即用于保護(hù)存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)沒(méi)有恰當(dāng)許可不能被讀取或損害。多數(shù)計(jì)算機(jī)安全系統(tǒng)使用鑒權(quán)和/或授權(quán)控制訪問(wèn)。
鑒權(quán)是一種通過(guò)計(jì)算機(jī)、計(jì)算機(jī)程序或個(gè)人控制對(duì)安全計(jì)算機(jī)系統(tǒng)訪問(wèn)的過(guò)程。鑒權(quán)通常通過(guò)識(shí)別它們是誰(shuí)(例如,生物測(cè)定學(xué),如指紋圖譜或視網(wǎng)膜掃描)、它們有什么(例如,識(shí)別卡或射頻識(shí)別標(biāo)記)、或者它們知道什么(例如,證書(credentials),如用戶名和/或口令)來(lái)識(shí)別個(gè)人以便控制對(duì)多用戶安全計(jì)算機(jī)系統(tǒng)的訪問(wèn)。用于在因特網(wǎng)上進(jìn)行鑒權(quán)的一種技術(shù)是稱為超文本傳輸協(xié)議(HTTP)基本鑒權(quán)的過(guò)程,它包括用戶名和用戶口令。
比較起來(lái),授權(quán)是控制個(gè)人訪問(wèn)安全計(jì)算機(jī)系統(tǒng)中的系統(tǒng)對(duì)象的權(quán)利的過(guò)程。通常,安全計(jì)算機(jī)系統(tǒng)首先鑒權(quán),然后再授權(quán)個(gè)人。
一些基于因特網(wǎng)的安全計(jì)算機(jī)系統(tǒng)使用基本鑒權(quán),每次個(gè)人訪問(wèn)相同或不同計(jì)算機(jī)資源時(shí),所述系統(tǒng)需要個(gè)人人工地重新鑒權(quán)。然而,人工重新鑒權(quán)打斷了個(gè)人的工作流程,這是耗時(shí)的,并且不同的計(jì)算機(jī)資源可能需要不同的證書,這可能很混亂或者難以記憶。
其他基于因特網(wǎng)的安全計(jì)算機(jī)系統(tǒng)使用基本鑒權(quán)和記錄/重放機(jī)制以自動(dòng)地輸入用于個(gè)人的證書以提供自動(dòng)的重新鑒權(quán)。記錄/重放機(jī)制的使用需要捕獲由個(gè)人輸入的證書,并且將證書傳送給個(gè)人計(jì)算機(jī)以允許證書被自動(dòng)地輸入(即,編寫(script))。然而,記錄/重放機(jī)制易受到安全性問(wèn)題以及易受到在個(gè)人計(jì)算機(jī)上的可用性。
其他基于因特網(wǎng)的安全計(jì)算機(jī)系統(tǒng)用專有的安全機(jī)制替代基本鑒權(quán),所述專有的安全機(jī)制具有用于通過(guò)用戶上下文的特定鉤子(hook)。然而,專有的安全機(jī)制與工業(yè)標(biāo)準(zhǔn)或非專有的計(jì)算機(jī)資源不兼容,并且需要相當(dāng)大的研發(fā)成本和努力。
其他基于因特網(wǎng)的安全計(jì)算機(jī)系統(tǒng)用工業(yè)標(biāo)準(zhǔn)證書替代基本鑒權(quán)。然而,證書強(qiáng)加了相當(dāng)多的證書管理問(wèn)題和費(fèi)用,因?yàn)樾枰獮槊總€(gè)客戶計(jì)算機(jī)獲得和管理證書。
因此需要克服現(xiàn)有系統(tǒng)的這些和其它缺點(diǎn)的一種因特網(wǎng)協(xié)議兼容的訪問(wèn)鑒權(quán)系統(tǒng)。
發(fā)明概述用于鑒權(quán)用戶訪問(wèn)信息的因特網(wǎng)兼容系統(tǒng)包括儲(chǔ)存庫(kù)和鑒權(quán)處理器。儲(chǔ)存庫(kù)使初始用戶標(biāo)識(shí)符與特定的可執(zhí)行應(yīng)用以及證書信息相關(guān)聯(lián)。所述證書信息包括第一用戶標(biāo)識(shí)符和相應(yīng)的第一口令,其使用戶能夠訪問(wèn)特定的可執(zhí)行應(yīng)用。鑒權(quán)處理器接收表示初始用戶標(biāo)識(shí)符的數(shù)據(jù)。鑒權(quán)處理器響應(yīng)于用戶給瀏覽器應(yīng)用的用于訪問(wèn)特定的可執(zhí)行應(yīng)用的命令,檢測(cè)瀏覽器應(yīng)用發(fā)起的對(duì)證書信息的請(qǐng)求。鑒權(quán)處理器確認(rèn)使用所接收的初始用戶標(biāo)識(shí)符從儲(chǔ)存庫(kù)得到的證書信息是否響應(yīng)于所檢測(cè)的瀏覽器應(yīng)用發(fā)起的請(qǐng)求來(lái)授權(quán)用戶訪問(wèn)特定的可執(zhí)行應(yīng)用。鑒權(quán)處理器提供從儲(chǔ)存庫(kù)得到的有效的授權(quán)證書信息給瀏覽器應(yīng)用,以便響應(yīng)于成功的確認(rèn)使用戶能夠訪問(wèn)特定的可執(zhí)行應(yīng)用。
附圖簡(jiǎn)述
圖1根據(jù)本發(fā)明的原理說(shuō)明了一個(gè)鑒權(quán)系統(tǒng)。
圖2根據(jù)本發(fā)明的原理說(shuō)明了用于如圖1中所示的系統(tǒng)的一個(gè)客戶和一個(gè)服務(wù)器。
圖3根據(jù)本發(fā)明的原理說(shuō)明了用于如圖1中所示的系統(tǒng)的鑒權(quán)方法。
圖4根據(jù)本發(fā)明的原理說(shuō)明了如圖1中所示的系統(tǒng)的第一次用戶操作的時(shí)序圖。
圖5根據(jù)本發(fā)明的原理說(shuō)明了如圖1中所示的系統(tǒng)的正常操作的時(shí)序圖。
圖6根據(jù)本發(fā)明的原理說(shuō)明了如圖1中所示的系統(tǒng)的過(guò)期口令操作的時(shí)序圖。
圖7根據(jù)本發(fā)明的原理說(shuō)明了用于如圖1中所示的系統(tǒng)的鑒權(quán)窗口。
優(yōu)選實(shí)施例詳述圖1說(shuō)明了鑒權(quán)系統(tǒng)100(“系統(tǒng)”)。所述系統(tǒng)100包括客戶101、第一服務(wù)器102、第二服務(wù)器103和總會(huì)話管理器104(“管理器”),它們通過(guò)網(wǎng)絡(luò)105彼此互連。第一服務(wù)器102包括第一可執(zhí)行應(yīng)用106(“第一應(yīng)用”)。第二服務(wù)器103包括第二可執(zhí)行應(yīng)用107(“第二應(yīng)用”)。所述系統(tǒng)100可以包括任意數(shù)目的客戶、服務(wù)器和管理器,并且每個(gè)服務(wù)器可以包括任意數(shù)目的可執(zhí)行應(yīng)用。可以室內(nèi)或遠(yuǎn)程使用所述應(yīng)用。
系統(tǒng)100可以被任何類型的企業(yè)、組織使用,或某部門可以使用系統(tǒng)100,例如衛(wèi)生保健產(chǎn)品提供商和/或負(fù)責(zé)服務(wù)所照顧的人們的健康和/或福利的服務(wù)提供商。例如,系統(tǒng)100表示醫(yī)院信息系統(tǒng)。衛(wèi)生保健提供商可以提供面向病人的精神、情感或身體健康的服務(wù)。衛(wèi)生保健提供商的例子包括醫(yī)院、療養(yǎng)院、輔助生活照顧機(jī)構(gòu)、家庭衛(wèi)生保健機(jī)構(gòu)、收容所機(jī)構(gòu)、急診機(jī)構(gòu)、衛(wèi)生保健門診、物理治療門診、脊椎指壓治療門診、醫(yī)藥供應(yīng)商、藥房和齒科醫(yī)院。當(dāng)服務(wù)所照顧的人時(shí),衛(wèi)生保健提供商診斷狀況或疾病,并且推薦一種治療過(guò)程來(lái)治愈所述狀況(如果這種治療存在的話),或者提供預(yù)防性的衛(wèi)生保健服務(wù)。衛(wèi)生保健提供商所服務(wù)人群的例子包括病人、居民、客戶和個(gè)人。
系統(tǒng)100中的每個(gè)元件可以是固定的和/或移動(dòng)的(即,便攜式)并且可以各種形式實(shí)現(xiàn),所述形式包括但不限于下面的一個(gè)或多個(gè)個(gè)人計(jì)算機(jī)(PC)、桌上型計(jì)算機(jī)、膝上型計(jì)算機(jī)、工作站、小型計(jì)算機(jī)、主機(jī)、超型計(jì)算機(jī)、基于網(wǎng)絡(luò)的設(shè)備、個(gè)人數(shù)字助理(PDA)、智能卡、蜂窩電話、尋呼機(jī)和手表??梢砸约惺脚渲没蚍稚⑹脚渲脤?shí)現(xiàn)系統(tǒng)100。
在系統(tǒng)100中,可以以硬件、軟件或二者組合實(shí)現(xiàn)一個(gè)或多個(gè)元件,并且所述一個(gè)或多個(gè)元件可以包括一個(gè)或多個(gè)處理器。處理器是用于執(zhí)行任務(wù)的設(shè)備和/或機(jī)器可讀指令集。處理器包括硬件、固件和/或軟件的任意組合。處理器通過(guò)計(jì)算、操作、分析、修改、轉(zhuǎn)換、或發(fā)送可執(zhí)行程序或信息設(shè)備所使用的信息,和/或通過(guò)將所述信息路由到輸出設(shè)備來(lái)作用于所存儲(chǔ)的和/或所接收的信息。例如,處理器可以使用或包括控制器或微處理器的能力。
網(wǎng)絡(luò)105(另外也稱為通信路徑或鏈路)可以使用任何類型的協(xié)議或數(shù)據(jù)格式,其包括但不限于以下因特網(wǎng)協(xié)議(IP)、傳輸控制協(xié)議因特網(wǎng)協(xié)議(TCPIP)、超文本傳輸協(xié)議(HTTP)、RS232協(xié)議、以太網(wǎng)協(xié)議、醫(yī)用接口總線(MIB)兼容協(xié)議、局域網(wǎng)(LAN)協(xié)議、廣域網(wǎng)(WAN)協(xié)議、校園區(qū)域網(wǎng)絡(luò)(CAN)協(xié)議、大城市區(qū)域網(wǎng)絡(luò)(MAN)協(xié)議、家庭區(qū)域網(wǎng)絡(luò)(HAN)協(xié)議、電氣和電子工程師協(xié)會(huì)(IEEE)總線兼容協(xié)議、數(shù)字和成像通信(DICOM)協(xié)議和健康信息交換第七層(HL7)協(xié)議。
系統(tǒng)100使用客戶/服務(wù)器結(jié)構(gòu)??蛻?服務(wù)器結(jié)構(gòu)是分布式計(jì)算結(jié)構(gòu),其涉及從服務(wù)器過(guò)程和/或設(shè)備請(qǐng)求服務(wù)的客戶過(guò)程和/或設(shè)備。客戶101是網(wǎng)絡(luò)105上的計(jì)算機(jī)或設(shè)備,例如個(gè)人計(jì)算機(jī)或工作站,在其上用戶運(yùn)行應(yīng)用。服務(wù)器102或103是網(wǎng)絡(luò)105上管理網(wǎng)絡(luò)資源的計(jì)算機(jī)或設(shè)備,例如磁盤驅(qū)動(dòng)器、打印機(jī)、網(wǎng)絡(luò)業(yè)務(wù)、數(shù)據(jù)庫(kù)和處理能力。服務(wù)器可以專用于執(zhí)行單個(gè)任務(wù)或同時(shí)執(zhí)行若干任務(wù)。
總會(huì)話管理器104協(xié)調(diào)第一服務(wù)器102和第二服務(wù)器103的會(huì)話。管理器104可以表示為單獨(dú)元件,如圖1所示出的,或者可以被結(jié)合到一個(gè)或多個(gè)服務(wù)器102和103中。會(huì)話是用戶與一個(gè)或多個(gè)應(yīng)用程序接口的時(shí)間周期。當(dāng)用戶訪問(wèn)應(yīng)用程序時(shí),會(huì)話開始,并且當(dāng)用戶停止應(yīng)用程序時(shí),會(huì)話結(jié)束。會(huì)話是在特定時(shí)間周期用戶在網(wǎng)站上消耗的活動(dòng)。在站點(diǎn)上用戶會(huì)話的數(shù)量被用于測(cè)量網(wǎng)站所獲得的業(yè)務(wù)量。站點(diǎn)管理員確定沒(méi)有用戶活動(dòng)的用戶會(huì)話持續(xù)時(shí)間將為多少(例如,30分鐘)。如果在所述時(shí)間內(nèi)訪問(wèn)者在該站上活動(dòng),則仍認(rèn)為一個(gè)用戶會(huì)話,因?yàn)樵?0分鐘內(nèi)任意數(shù)目的訪問(wèn)僅僅視為一次會(huì)話。如果在規(guī)定的時(shí)間到期(例如從開始訪問(wèn)算起一個(gè)小時(shí))之后由于沒(méi)有用戶活動(dòng)訪問(wèn)者返回所述站點(diǎn),則視為一個(gè)單獨(dú)的用戶會(huì)話。
系統(tǒng)100支持稱為單一登錄的過(guò)程(也拼寫為single signon或single sign-on并且縮寫為SSO)。單一登錄是在客戶/服務(wù)器結(jié)構(gòu)中的鑒權(quán)過(guò)程,其中用戶經(jīng)由客戶101執(zhí)行諸如用戶標(biāo)識(shí)符219和口令220之類的證書信息216(見圖2)的一次性輸入以訪問(wèn)一個(gè)以上的應(yīng)用,或者獲得訪問(wèn)系統(tǒng)100內(nèi)的多個(gè)資源。當(dāng)從一個(gè)應(yīng)用切換到另一應(yīng)用時(shí),單一登錄取消需要用戶輸入相同或額外的證書信息,并且允許任務(wù)順序工作流繼續(xù)而沒(méi)有中斷。需要登錄的不同應(yīng)用可以在相同服務(wù)器或不同服務(wù)器上實(shí)現(xiàn)。例如,用戶經(jīng)由客戶101單次輸入證書信息以訪問(wèn)第一服務(wù)器102上的第一應(yīng)用106并且訪問(wèn)第二服務(wù)器103上的第二應(yīng)用107。
單一登錄過(guò)程提供了至少以下優(yōu)點(diǎn)1.允許資源被HTTP基本鑒權(quán)保護(hù)。
2.允許資源利用使用HTTP基本鑒權(quán)而工作的基礎(chǔ)結(jié)構(gòu)。
3.使除了因特網(wǎng)瀏覽器之外的所需要的組件經(jīng)請(qǐng)求經(jīng)由HTTP請(qǐng)求能夠下載到客戶101。
4.不需要單獨(dú)軟件捕獲證書信息。
5.保護(hù)證書的管理和傳送。
6.不需要昂貴的證書管理過(guò)程/解決方案。
7.不需要HTTP服務(wù)器側(cè)的曲奇(cookies)。
圖2說(shuō)明了用于圖1中所示出的系統(tǒng)100的客戶101和第二服務(wù)器103??蛻?01經(jīng)由網(wǎng)絡(luò)105與第二服務(wù)器103通信。
客戶101包括用戶界面201、處理器202和存儲(chǔ)器203。用戶界面201包括數(shù)據(jù)輸入設(shè)備204、顯示處理器205和數(shù)據(jù)輸出設(shè)備206。存儲(chǔ)器203包括瀏覽器應(yīng)用2209(“瀏覽器”),其中瀏覽器應(yīng)用209包括一個(gè)applet應(yīng)用210(“applet”)。處理器202與用戶界面201和存儲(chǔ)器203中的每一個(gè)通信。
服務(wù)器103包括處理器211和儲(chǔ)存庫(kù)212。處理器211包括通信處理器213、鑒權(quán)處理器214和上下文處理器215。儲(chǔ)存庫(kù)212包括證書信息216、第二應(yīng)用107、初始用戶標(biāo)識(shí)符217、文件218和服務(wù)器頁(yè)224。證書信息216包括用戶標(biāo)識(shí)符219、口令220、生物測(cè)定信息221和安全對(duì)象信息222。服務(wù)器102包含與服務(wù)器103相同的元件。
在客戶101中,通過(guò)將用戶界面數(shù)據(jù)207輸入到客戶101和/或經(jīng)由網(wǎng)絡(luò)105從服務(wù)器103接收用戶界面數(shù)據(jù),用戶界面201允許用戶與客戶101交互。用戶界面201產(chǎn)生例如如圖7中所示出的一個(gè)或多個(gè)顯示圖像208。
響應(yīng)于接收人工地來(lái)自用戶的輸入信息或接收自動(dòng)地來(lái)自電子設(shè)備的輸入信息,數(shù)據(jù)輸入設(shè)備204提供輸入數(shù)據(jù)207給顯示處理器205。例如,數(shù)據(jù)輸入設(shè)備204是鍵盤和鼠標(biāo),而且也可以是觸摸屏,或者例如具有聲音識(shí)別應(yīng)用的話筒。
響應(yīng)于接收輸入數(shù)據(jù)207或者來(lái)自服務(wù)器103的其他數(shù)據(jù),例如用戶界面數(shù)據(jù),顯示處理器205產(chǎn)生表示一個(gè)或多個(gè)用于顯示的圖像208的顯示數(shù)據(jù)。顯示處理器205是包括電子電路或軟件或二者組合的已知元件,用于產(chǎn)生顯示圖像208或其部分。用于顯示的圖像208可以包括存儲(chǔ)在存儲(chǔ)器203中的任何信息和/或在此描述的任何信息。用戶的動(dòng)作,例如顯示按鈕的激活可導(dǎo)致顯示圖像208。
數(shù)據(jù)輸出設(shè)備206表示再現(xiàn)由用戶訪問(wèn)的數(shù)據(jù)的任何類型元件。例如,響應(yīng)于接收顯示信號(hào),數(shù)據(jù)輸出設(shè)備206是產(chǎn)生如圖7中所示出的顯示圖像的顯示器,但也可以例如是揚(yáng)聲器或打印機(jī)。
用戶界面201提供例如如圖7中所示出的圖形用戶界面(GUI)。
在存儲(chǔ)器203中,瀏覽器應(yīng)用209(即“網(wǎng)絡(luò)瀏覽器”)是用于定位和顯示網(wǎng)頁(yè)的軟件應(yīng)用(即功能或程序)。瀏覽器的例子包括NetscapeNavigator和MicrosoftInternet Explorer。這兩個(gè)瀏覽器都是圖形瀏覽器,這意味著它們能夠顯示圖形以及文本。瀏覽器可以顯示包括聲音和視頻的多媒體信息,盡管它對(duì)于一些格式來(lái)說(shuō)需要插件。
在瀏覽器應(yīng)用209中,applet應(yīng)用210是從另一應(yīng)用(例如瀏覽器209)內(nèi)執(zhí)行的可執(zhí)行應(yīng)用(即,功能或程序)。Applet在瀏覽器209中設(shè)置證書信息216。通常,applet不能直接從客戶101的操作系統(tǒng)執(zhí)行并且適合于從瀏覽器209訪問(wèn)的小因特網(wǎng)應(yīng)用。Applet文件尺寸小、交叉平臺(tái)兼容并且具有高的安全性(即,它們不能被用于訪問(wèn)用戶的硬驅(qū)動(dòng)器)。通常,applet 210是可以被嵌入超文本鏈接標(biāo)示語(yǔ)言(HTML)網(wǎng)頁(yè)中的小Java程序,當(dāng)瀏覽器209訪問(wèn)網(wǎng)頁(yè)時(shí),其被下載到瀏覽器209。Applet與full-fledged Java應(yīng)用的區(qū)別在于它們不被允許訪問(wèn)本地計(jì)算機(jī)上的某些資源,例如文件和串行設(shè)備(調(diào)制解調(diào)器、打印機(jī)等等),并且禁止在因特網(wǎng)上與多數(shù)其他計(jì)算機(jī)通信。通用規(guī)則是applet僅僅使因特網(wǎng)連接到發(fā)送applet的計(jì)算機(jī)??裳b備有Java虛擬機(jī)的瀏覽器209可以解釋來(lái)自于網(wǎng)站服務(wù)器的applet。
作為對(duì)applet 210的一種替換物,服務(wù)器103可以下載ActiveX控件到瀏覽器209。ActiveX是微軟公司研發(fā)的松散地定義的一組技術(shù),用于在不同的應(yīng)用之間共享信息。ActiveX是稱為對(duì)象鏈接和嵌入(OLE)和組件對(duì)象模型(COM)的兩個(gè)其他微軟技術(shù)的產(chǎn)物。ActiveX適用于基于COM的技術(shù)的整個(gè)集合。ActiveX控件表示執(zhí)行ActiveX技術(shù)的特定方法。
由瀏覽器209自動(dòng)地下載和執(zhí)行ActiveX控件。ActiveX不是編程語(yǔ)言,而是應(yīng)用如何共享信息的一組規(guī)則。程序員可以以包括C,C++,Visual Basic和Java的各種語(yǔ)言研發(fā)ActiveX控件。
ActiveX控件類似Java applet。然而,不像Java applet,ActiveX控件可完全訪問(wèn)Windows操作系統(tǒng)。這給ActiveX控件比Javaapplet更多的權(quán)力,但是這種權(quán)力帶來(lái)了某種危險(xiǎn),即ActiveX控件可能損壞客戶101上的軟件或數(shù)據(jù)。為了控制這種危險(xiǎn),微軟研發(fā)了一種注冊(cè)系統(tǒng)以便在下載ActiveX控件之前瀏覽器209能夠識(shí)別和鑒權(quán)ActiveX控件。Java applet與ActiveX控件的另一區(qū)別是Javaapplet可以被寫入以在多平臺(tái)上運(yùn)行,然而ActiveX控件目前限于Windows環(huán)境。
作為對(duì)applet 210和ActiveX控件的一種替換物,服務(wù)器103可以使用腳本語(yǔ)言(例如,Visual Basic Script(VBScript)或JavaScript),所述腳本語(yǔ)言允許網(wǎng)絡(luò)設(shè)計(jì)者在HTML文件中插入交互式元素。因此,服務(wù)器103可以下載各種形式(例如,applet、ActiveX控件和腳本)的允許功能到客戶101以實(shí)現(xiàn)本發(fā)明的優(yōu)點(diǎn)。
在服務(wù)器103中,處理器211與客戶101交換數(shù)據(jù),并且與存儲(chǔ)器儲(chǔ)存庫(kù)212交換存儲(chǔ)數(shù)據(jù)223。響應(yīng)于處理對(duì)象,處理器211執(zhí)行任務(wù)。一個(gè)對(duì)象包括一組數(shù)據(jù)和/或可執(zhí)行指令、可執(zhí)行程序或第二可執(zhí)行應(yīng)用107。
通信處理器213表示一種通過(guò)發(fā)送和/或接收信號(hào)(例如,數(shù)據(jù))經(jīng)由網(wǎng)絡(luò)105與多個(gè)不同設(shè)備建立通信鏈路(另外也稱為通信路徑、鏈路、信道或連接)的通信界面。通信處理器213使用存儲(chǔ)在儲(chǔ)存庫(kù)212中的通信協(xié)議數(shù)據(jù)經(jīng)由有線或無(wú)線網(wǎng)絡(luò)105建立通信。
在圖3中,鑒權(quán)處理器214執(zhí)行方法300。鑒權(quán)處理器214可以由一個(gè)處理器或多于一個(gè)的處理器表示,例如執(zhí)行步驟302和303的第一鑒權(quán)處理器和執(zhí)行步驟304-307的第二鑒權(quán)處理器。
上下文處理器215安全地從鑒權(quán)處理器214所接收的數(shù)據(jù)中得到初始用戶標(biāo)識(shí)符217。通過(guò)使用用于標(biāo)識(shí)用戶操作的特定會(huì)話和計(jì)算機(jī)資源用途的被安全產(chǎn)生的會(huì)話標(biāo)識(shí)符,上下文處理器215安全地得到初始用戶標(biāo)識(shí)符217。
儲(chǔ)存庫(kù)212表示數(shù)據(jù)存儲(chǔ)元件并且包括存儲(chǔ)設(shè)備、數(shù)據(jù)庫(kù)、存儲(chǔ)器設(shè)備、高速緩沖存儲(chǔ)器等等。儲(chǔ)存庫(kù)使初始用戶標(biāo)識(shí)符217與第二可執(zhí)行應(yīng)用107相關(guān)聯(lián)以及與證書信息216相關(guān)聯(lián),如參考圖3的步驟303所描述的。儲(chǔ)存庫(kù)也可以使另一初始用戶標(biāo)識(shí)符與第二服務(wù)器103中的另一可執(zhí)行應(yīng)用相關(guān)聯(lián)以及與其他證書信息216相關(guān)聯(lián)。證書信息216被保持在儲(chǔ)存庫(kù)212的非安全區(qū)域以便不需要鑒權(quán)來(lái)訪問(wèn)儲(chǔ)存庫(kù)212。
尤其,高速緩沖存儲(chǔ)器是特別高速的存儲(chǔ)機(jī)制。高速緩沖存儲(chǔ)器可以是主存儲(chǔ)器的預(yù)備部分或者是獨(dú)立的高速存儲(chǔ)設(shè)備。當(dāng)在高速緩沖存儲(chǔ)器中發(fā)現(xiàn)數(shù)據(jù)時(shí),它被稱為高速緩存命中,并且高速緩沖存儲(chǔ)器的效率通過(guò)其命中率來(lái)判斷。許多高速緩沖存儲(chǔ)器系統(tǒng)使用公知為智能高速緩存的技術(shù),其中系統(tǒng)可以識(shí)別頻繁使用的某些類型數(shù)據(jù)。
用于高速緩沖存儲(chǔ)器的儲(chǔ)存庫(kù)212可以是現(xiàn)有基礎(chǔ)結(jié)構(gòu)中的現(xiàn)有數(shù)據(jù)庫(kù)以提供在此描述的優(yōu)點(diǎn)給現(xiàn)有基礎(chǔ)結(jié)構(gòu)。這包括數(shù)據(jù)庫(kù)連接池和資源庫(kù)存數(shù)據(jù)存儲(chǔ)器,用于管理用戶帳戶和口令以訪問(wèn)數(shù)據(jù)庫(kù)。不需要額外的配置信息。下面表格列出了增加到服務(wù)器103中的現(xiàn)有數(shù)據(jù)庫(kù)的列。
表格中的其他字段可以例如包括生物測(cè)定、染色體組、DNA、或其他用戶識(shí)別信息。
證書信息216表示識(shí)別用戶的任何信息。用戶可以通過(guò)它們是誰(shuí)(例如,生物測(cè)定信息221,如指紋圖譜或視網(wǎng)膜掃描)、它們有什么(例如,安全對(duì)象信息222,如識(shí)別卡或射頻識(shí)別標(biāo)記)、或者它們知道什么(例如,證書,如用戶標(biāo)識(shí)符219(例如,用戶名稱)和/或用戶口令220)而被識(shí)別。用戶標(biāo)識(shí)符219和用戶口令220可以是任何形式,例如包括字母、數(shù)字、符號(hào)等等。在因特網(wǎng)上的HTTP基本鑒權(quán)使用用戶名稱和用戶口令。
第二可執(zhí)行應(yīng)用107表示一個(gè)或多個(gè)軟件應(yīng)用、程序或功能,其根據(jù)預(yù)定指令控制系統(tǒng)100的操作??蓤?zhí)行應(yīng)用包括代碼或機(jī)器可讀指令,用于例如響應(yīng)于用戶命令或輸入,執(zhí)行包括操作系統(tǒng)、衛(wèi)生保健信息系統(tǒng)或其他信息處理系統(tǒng)的功能的預(yù)定功能。儲(chǔ)存庫(kù)212還包括系統(tǒng)軟件(未示出),它包括在十分基本級(jí)上與計(jì)算機(jī)交互的低級(jí)程序,并且包括操作系統(tǒng)、編譯器和用于管理計(jì)算機(jī)資源的實(shí)用程序。
初始用戶標(biāo)識(shí)符217表示第一服務(wù)器107已知的用戶身份。初始用戶標(biāo)識(shí)符217可以是任何形式,例如其包括證書信息216的任何形式。
文件218支持一個(gè)或多個(gè)不同用戶對(duì)多個(gè)不同可執(zhí)行應(yīng)用的用戶訪問(wèn)。文件218中的單個(gè)文件包括與另一初始用戶標(biāo)識(shí)符相關(guān)聯(lián)以及與另一可執(zhí)行應(yīng)用相關(guān)聯(lián)的證書信息,這使用戶能夠訪問(wèn)其他可執(zhí)行應(yīng)用。
服務(wù)器頁(yè)224包括增加到儲(chǔ)存庫(kù)212中的bin(倉(cāng))目錄的三個(gè)新服務(wù)器頁(yè),并且例如被稱為GsmChild.asp、TestCredential.asp和SetCredential.asp。所述三個(gè)服務(wù)器頁(yè)支持參考圖3-圖6所描述的方法和時(shí)序圖。
圖3說(shuō)明了用于如圖1中所示出的系統(tǒng)100的鑒權(quán)方法300(“方法”)。
在步驟301,方法300開始。
在步驟302,響應(yīng)于接收用戶識(shí)別信息,鑒權(quán)處理器214安全地得到初始用戶標(biāo)識(shí)符217。通過(guò)使用用于標(biāo)識(shí)用戶操作的特定會(huì)話和計(jì)算機(jī)資源用途的被安全產(chǎn)生的會(huì)話標(biāo)識(shí)符,鑒權(quán)處理器214安全地得到初始用戶標(biāo)識(shí)符。
在步驟303,鑒權(quán)處理器214存儲(chǔ)信息,所述信息使初始用戶標(biāo)識(shí)符217與特定的可執(zhí)行應(yīng)用107相關(guān)聯(lián)以及與包括第一用戶標(biāo)識(shí)符219和相應(yīng)第一口令220的證書信息216相關(guān)聯(lián),這使用戶能夠訪問(wèn)特定的可執(zhí)行應(yīng)用107。
在步驟304,鑒權(quán)處理器214接收表示初始用戶標(biāo)識(shí)符217的數(shù)據(jù)。
在步驟305,響應(yīng)于到瀏覽器應(yīng)用209的用于訪問(wèn)特定的可執(zhí)行應(yīng)用107的用戶命令,鑒權(quán)處理器214檢測(cè)瀏覽器應(yīng)用209發(fā)起的對(duì)證書信息216的請(qǐng)求。
在步驟306,響應(yīng)于所檢測(cè)的瀏覽器應(yīng)用209發(fā)起的請(qǐng)求,鑒權(quán)處理器214確認(rèn)使用所接收的初始用戶標(biāo)識(shí)符217從儲(chǔ)存庫(kù)212得到的證書信息216是否鑒權(quán)用戶訪問(wèn)特定的可執(zhí)行應(yīng)用107。
在步驟307,響應(yīng)于成功的確認(rèn),鑒權(quán)處理器214提供從儲(chǔ)存庫(kù)212得到的已確認(rèn)鑒權(quán)的證書信息216給瀏覽器應(yīng)用209以使用戶能夠訪問(wèn)特定的可執(zhí)行應(yīng)用107。
在步驟308,方法300結(jié)束。
參考圖4,圖5和圖6,這些圖的每一個(gè)描述了在客戶101、第一服務(wù)器102、第二服務(wù)器103和管理器104之間或之內(nèi)的時(shí)序步驟(即,交互作用、交換、通信等等)??蛻?01包括瀏覽器209和applet 210。第一服務(wù)器102包括第一應(yīng)用106。第二服務(wù)器103包括第二應(yīng)用107、處理器211和儲(chǔ)存庫(kù)212。系統(tǒng)100有利地使applet 210和儲(chǔ)存庫(kù)212與所示出的其他元件結(jié)合以支持單一登錄方法。在這些元件的每一個(gè)下面延伸的垂直線表示相應(yīng)的元件。每一條水平線表示特定元件之間的通信,在每一條水平線上的箭頭方向表示通信方向。所述通信表示特定元件之間發(fā)送的一個(gè)或多個(gè)消息。
圖4說(shuō)明了用戶第一次操作圖1中所示出的系統(tǒng)100的時(shí)序圖400(“圖”)。
在步驟401,用戶經(jīng)由客戶101中的瀏覽器209登錄第一服務(wù)器106中的第一應(yīng)用210。用戶通過(guò)輸入初始用戶標(biāo)識(shí)符217(例如,所述初始用戶標(biāo)識(shí)符對(duì)第一應(yīng)用210是已知的)登錄。
在步驟402,第一應(yīng)用106將總會(huì)話管理器(“GSM”)起始會(huì)話消息傳遞給管理器104。起始會(huì)話消息通過(guò)常規(guī)的用戶界面互用性協(xié)議(“UIIP”)或其他協(xié)議來(lái)傳遞。起始會(huì)話消息包括初始用戶標(biāo)識(shí)符217。
在步驟403,第一服務(wù)器102中的第一應(yīng)用106將注冊(cè)用戶映射消息傳遞給管理器104。使用UIIP或其他協(xié)議傳遞用戶映射消息。
在步驟404,客戶101中的瀏覽器209與第一服務(wù)器106中的第一應(yīng)用106交互。這樣的交互例如可以包括輸入、改變、分析、處理或接收信息。當(dāng)衛(wèi)生保健組織使用系統(tǒng)100時(shí),第一應(yīng)用106可以是臨床應(yīng)用,例如其包括關(guān)于病人的衛(wèi)生保健信息。
在步驟405,客戶101中的瀏覽器209將超文本傳輸協(xié)議(HTTP)請(qǐng)求傳遞給第二服務(wù)器103中的處理器211(例如,給GsmChild.asp服務(wù)器頁(yè))。例如,通過(guò)單擊圖標(biāo)、菜單項(xiàng)、或在第一應(yīng)用中顯示的鏈接,在第一應(yīng)用106內(nèi)獲得這樣的請(qǐng)求。所述請(qǐng)求表示登錄到瀏覽器209的新實(shí)例(instance)中的第二應(yīng)用以及與所述第二應(yīng)用交互的請(qǐng)求。當(dāng)衛(wèi)生保健組織使用系統(tǒng)100時(shí),第二應(yīng)用107可以是財(cái)務(wù)應(yīng)用,例如其包括關(guān)于病人的財(cái)務(wù)信息。使用UIIP或其他協(xié)議傳遞請(qǐng)求,并且從查詢字符串中檢索參數(shù)以獲得會(huì)話ID。
所述請(qǐng)求例如可以形成為按照以下格式之一的統(tǒng)一資源定位符。URL的三個(gè)版本表示用戶將如何查看瀏覽器。
1.http//<Soarian Financial Server>/<Financial Information system Virtual Root>/bin/GsmChild.asp?GSM=<sessionIDencrypted data>&Tab=<initial tab url>
第一URL利用用戶主頁(yè)和初始標(biāo)記啟動(dòng)瀏覽器209。
2.http//<Soarian Financial Server>/<Financial Information system VirtualRoot>/bin/GsmChild.asp?GSM=<sessionIDencrypted data>&Homepage=<initial tab url>
第二URL不利用缺省主頁(yè)運(yùn)行瀏覽器209以防止用戶分支到其他任務(wù)。
3.http//<Soarian Financial Server>/<Financial Information system VirtualRoot>/bin/GsmChild.asp?GSM=<sessionIDencrypted data>>
第三URL利用缺省主頁(yè)和不特定的任務(wù)活動(dòng)啟動(dòng)瀏覽器209。
第一應(yīng)用210結(jié)合正確的<Financial InformationsystemServer>、<Financial Information systemVirtual Root>、和<initial tab url>。<initial tab url>可以完全被限定或者與<Financial Information systemServer>/<Financial InformationsystemVirtual Root>/html相關(guān)。第一應(yīng)用210也把瀏覽器209的單獨(dú)實(shí)例建立為URL的目標(biāo)。瀏覽器209的單獨(dú)實(shí)例應(yīng)該是命名窗口,因此如果上下文改變,則第一應(yīng)用210可刷新窗口。
因?yàn)镚smChild.asp服務(wù)器頁(yè)有可能將<Financial InformationsystemServer>改變?yōu)橥耆薅ǖ挠蛎訥SM加密數(shù)據(jù)被解密、被hash變化并且再加密。
在步驟406,第二服務(wù)器103中的處理器211將GSM獲取會(huì)話消息傳遞給管理器104。使用UIIP或其他協(xié)議傳遞獲取會(huì)話消息。
在步驟407,第二服務(wù)器103中的處理器211將獲取用戶映射消息傳遞給管理器104。使用UIIP或其他協(xié)議傳遞用戶映射消息。
在步驟408,第二服務(wù)器103中的處理器211將獲取證書消息傳遞給第二服務(wù)器103中的儲(chǔ)存庫(kù)212以為被請(qǐng)求的對(duì)話檢索用戶的證書信息216。在證書信息216中,例如通過(guò)使用加密方法和會(huì)話密鑰加密而保護(hù)口令220。然而,對(duì)于用戶第一次操作,儲(chǔ)存庫(kù)212不為用戶存儲(chǔ)任何證書信息216。
在步驟409,響應(yīng)于用戶沒(méi)有發(fā)現(xiàn)存儲(chǔ)在儲(chǔ)存庫(kù)212中的證書信息216,第二服務(wù)器103中的儲(chǔ)存庫(kù)212將無(wú)證書消息傳遞給第二服務(wù)器103中的處理器211。
在步驟410,響應(yīng)于沒(méi)有發(fā)現(xiàn)存儲(chǔ)在儲(chǔ)存庫(kù)212中的用戶證書信息216,第二服務(wù)器103中的儲(chǔ)存庫(kù)211將無(wú)證書消息傳遞給客戶101中的瀏覽器209。證書信息216是空白的(即,零長(zhǎng)度字符串)。
在步驟411,例如通過(guò)使用Microsoft Win32因特網(wǎng)(WinInet)應(yīng)用程序接口(API),客戶101中的瀏覽器209將設(shè)置證書消息傳遞給客戶101中的applet 210。步驟411確保用戶的證書信息216被設(shè)置用于隨后從瀏覽器209到網(wǎng)站的HTTP請(qǐng)求,由此取消需要提示用戶證書信息216。然而,由于儲(chǔ)存庫(kù)212不為用戶存儲(chǔ)在步驟409和步驟410要返回的證書信息216,所以在步驟411中設(shè)置無(wú)證書信息216。
在步驟412,例如使用Microsoft Win32因特網(wǎng)(WinInet)應(yīng)用程序接口(API),客戶101中的applet 210將測(cè)試證書消息傳遞給第二服務(wù)器103中的處理器211(例如,給TestCredential.asp服務(wù)器頁(yè))。所述測(cè)試證書消息確定證書信息216是否有效或無(wú)效以分別授權(quán)或拒絕訪問(wèn)第二應(yīng)用107。
在步驟413,響應(yīng)于沒(méi)有發(fā)現(xiàn)儲(chǔ)存庫(kù)212中存儲(chǔ)的用戶證書信息216,第二服務(wù)器103中的處理器211將訪問(wèn)拒絕消息(例如401的http狀態(tài))傳遞給客戶101中的applet 210。
在步驟414,客戶101中的applet 210將用于證書消息的提示傳遞給客戶101中的瀏覽器209。處理器211(例如,鑒權(quán)處理器214)通過(guò)下面的一個(gè)或多個(gè)步驟開始提示用戶輸入證書信息(a)開始產(chǎn)生表示菜單提示的數(shù)據(jù),用于把請(qǐng)求輸入證書信息顯示給用戶;以及(b)指引網(wǎng)絡(luò)瀏覽器209開始產(chǎn)生表示菜單提示的數(shù)據(jù),用于把請(qǐng)求輸入證書信息顯示給用戶。使用例如如圖7中所示出的用于HTTP基本鑒權(quán)的常規(guī)對(duì)話窗口,用戶可以輸入證書信息216。如果用戶輸入錯(cuò)誤的證書信息216,則服務(wù)器將最多再重復(fù)步驟413兩次(即,用戶有三次機(jī)會(huì)輸入正確信息)。
在步驟415,客戶101中的瀏覽器209將具有證書信息216的證書消息傳遞給客戶101中的applet 210。
在步驟416,客戶101中的applet 210將設(shè)置證書消息傳遞給第二服務(wù)器103中的處理器211(例如,給SetCredential.asp服務(wù)器頁(yè))以利用輸入的證書信息216更新儲(chǔ)存庫(kù)216。SetCredential.asp服務(wù)器頁(yè)為用戶標(biāo)識(shí)和用戶口令查詢請(qǐng)求對(duì)象服務(wù)器變量。這個(gè)網(wǎng)頁(yè)還從查詢參數(shù)中檢索GSM會(huì)話ID以及從高速緩沖存儲(chǔ)器中檢索實(shí)體和數(shù)據(jù)模式。
在步驟417,第二服務(wù)器103中的處理器211將GSM獲取會(huì)話消息傳遞給管理器104。使用UIIP或其他協(xié)議傳遞GSM獲取會(huì)話消息。
在步驟418,第二服務(wù)器103中的處理器211將設(shè)置的證書消息傳遞給第二服務(wù)器103中的儲(chǔ)存庫(kù)212。一旦成功完成所述設(shè)置證書的方法,處理器211使瀏覽器改向第二應(yīng)用107。
在步驟419,響應(yīng)于存儲(chǔ)和/或確認(rèn)儲(chǔ)存庫(kù)212中的用戶證書信息216,客戶101中的瀏覽器209經(jīng)由瀏覽器209的新實(shí)例與第二服務(wù)器103中的第二應(yīng)用107交互。在用戶完成第二應(yīng)用107中的任務(wù)之后,用戶可以關(guān)閉用于第二應(yīng)用107的瀏覽器209的實(shí)例,而保持打開用于第一應(yīng)用106的瀏覽器209的實(shí)例。在另一時(shí)間,如果識(shí)別第二應(yīng)用107的用戶的證書信息216在儲(chǔ)存庫(kù)212中保持有效,則用戶將被允許打開第二應(yīng)用而不用再次輸入識(shí)別第二應(yīng)用107的用戶的證書信息216。因此,當(dāng)請(qǐng)求訪問(wèn)第二應(yīng)用107時(shí),用戶的工作流程不會(huì)被登錄過(guò)程打斷。
在步驟420,客戶101中的瀏覽器209與第一服務(wù)器102中的第一應(yīng)用106交互。因此,在用戶登錄每一應(yīng)用之后,系統(tǒng)100允許用戶與第一服務(wù)器102中的第一應(yīng)用106以及第二服務(wù)器103中的第二應(yīng)用107交互。
圖5說(shuō)明了正常操作如圖1中所示出的系統(tǒng)100的時(shí)序圖500。在圖5中,步驟401-408,419和420與圖4中所示出和描述的步驟相同。
在步驟501,第二服務(wù)器中的儲(chǔ)存庫(kù)212將返回證書消息傳遞給第二服務(wù)器103中的處理器211。所述返回證書消息包括解密口令的例行程序(例如,使用window裝載事件(onLoad event))。
在步驟502,第二服務(wù)器103中的處理器211將返回證書消息(例如HTTP 200狀態(tài)消息)傳遞給客戶101中的瀏覽器209以調(diào)用applet210設(shè)置證書方法。
在步驟503,客戶101中的瀏覽器209將設(shè)置證書消息傳遞給客戶101中的applet 210,如圖4中的步驟411。
在步驟504,客戶101中的applet 210將測(cè)試證書消息傳遞給第二服務(wù)器103中的處理器211,如圖4中的步驟412。
圖6說(shuō)明了如圖1中所示的系統(tǒng)100的過(guò)期口令操作的時(shí)序圖600。在圖6中,步驟401-408,419和420與圖4中所示出和描述的步驟相同,并且步驟501-504與圖5中所示出和描述的步驟相同。
在步驟601,第二服務(wù)器103中的處理器211將改向消息(例如,HTTP 302狀態(tài)消息)傳遞給客戶101中的applet 210。
在步驟602,客戶101中的applet 210將設(shè)置改向統(tǒng)一資源定位符(“URL”)傳遞給客戶101中的applet 210。
在步驟603,客戶101中的applet 210將改向消息傳遞給客戶101中的瀏覽器209??蛻?01顯示一個(gè)窗口,通知用戶“您的口令過(guò)期”。一旦看到這個(gè)窗口,用戶輸入用戶標(biāo)識(shí)符219、舊口令和二次新口令并且單擊“確定”以恢復(fù)訪問(wèn)第二應(yīng)用107。
在步驟604,客戶101中的瀏覽器209將獲取改向URL消息傳遞給客戶101中的applet 210。
在步驟605,客戶101中的瀏覽器209將改向URL傳遞給第二服務(wù)器103中的處理器211。
在步驟606,第二服務(wù)器103中的處理器211將GSM獲取會(huì)話消息傳遞給管理器104。
在步驟607,第二服務(wù)器103中的處理器211將獲取用戶映射消息傳遞給管理器104。
在步驟608,第二服務(wù)器103中的處理器211將設(shè)置證書消息傳遞給第二服務(wù)器103中的儲(chǔ)存庫(kù)212。
同樣,類似的方法可以被用于口令220,所述口令220將要過(guò)期但還沒(méi)有過(guò)期。在這種情況中,用于第二應(yīng)用107的用戶口令過(guò)期日期是在用于預(yù)先給用戶通知過(guò)期的時(shí)限內(nèi)。在步驟408之后,例如客戶101顯示一個(gè)窗口,通知用戶“您的口令將要過(guò)期”。一旦看到這個(gè)窗口,用戶可以輸入用戶標(biāo)識(shí)符219、舊口令和二次新口令并且單擊“確定”以繼續(xù)訪問(wèn)第二應(yīng)用107。
圖7說(shuō)明用于圖1中所示出的系統(tǒng)100的鑒權(quán)窗口700。客戶101中的瀏覽器109產(chǎn)生鑒權(quán)窗口700。鑒權(quán)窗口700包括站點(diǎn)識(shí)別701、范圍識(shí)別702、用戶名稱框703、口令框704、保存口令檢查框705、確認(rèn)按鈕706和取消按鈕707。系統(tǒng)100的用戶在用戶名稱框703中輸入他們的用戶名稱并且在口令框740中輸入他們的口令以提供用戶對(duì)系統(tǒng)100的基本HTTP鑒權(quán)。
因此,盡管參考本發(fā)明的各種說(shuō)明實(shí)施例已經(jīng)描述了本發(fā)明,但是本發(fā)明不是旨在限于這些特定實(shí)施例。本領(lǐng)域的技術(shù)人員應(yīng)該意識(shí)到,在不偏離所附加權(quán)利要求所列出的本發(fā)明的范圍和精神的情況下,可以對(duì)所公開的主題進(jìn)行變化、修改和組合。
權(quán)利要求
1.一種用于鑒權(quán)用戶訪問(wèn)信息的因特網(wǎng)兼容系統(tǒng),包括儲(chǔ)存庫(kù),其使初始用戶標(biāo)識(shí)符與特定的可執(zhí)行應(yīng)用以及與包括第一用戶標(biāo)識(shí)符和相應(yīng)第一口令的證書信息相關(guān)聯(lián),所述第一用戶標(biāo)識(shí)符和所述第一口令使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用;以及鑒權(quán)處理器,用于接收表示所述初始用戶標(biāo)識(shí)符的數(shù)據(jù);響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問(wèn)特定的可執(zhí)行應(yīng)用的用戶命令,檢測(cè)瀏覽器應(yīng)用發(fā)起的對(duì)證書信息的請(qǐng)求;響應(yīng)于所檢測(cè)的瀏覽器應(yīng)用發(fā)起的請(qǐng)求,確認(rèn)使用所述接收的初始用戶標(biāo)識(shí)符從所述儲(chǔ)存庫(kù)得到的證書信息是否鑒權(quán)用戶訪問(wèn)所述特定的可執(zhí)行應(yīng)用;以及響應(yīng)于成功的確認(rèn),提供從所述儲(chǔ)存庫(kù)得到的已確認(rèn)鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用。
2.根據(jù)權(quán)利要求1的系統(tǒng),其中證書信息的所述儲(chǔ)存庫(kù)被保存在存儲(chǔ)器的非安全區(qū)域,以避免需要鑒權(quán)來(lái)訪問(wèn)所述儲(chǔ)存庫(kù)。
3.根據(jù)權(quán)利要求1的系統(tǒng),包括上下文處理器,用于安全地得到所述初始用戶標(biāo)識(shí)符;以及通過(guò)使用用于標(biāo)識(shí)用戶操作的特定會(huì)話和計(jì)算機(jī)資源的用途的被安全地產(chǎn)生的會(huì)話標(biāo)識(shí)符,所述上下文處理器安全地得到所述初始用戶標(biāo)識(shí)符。
4.根據(jù)權(quán)利要求1的系統(tǒng),其中所述證書信息包括以下內(nèi)容的至少一個(gè)(a)口令,(b)用戶標(biāo)識(shí)符,(c)顧客,以及(d)與特定用戶相關(guān)聯(lián)的生物測(cè)定信息。
5.根據(jù)權(quán)利要求1的系統(tǒng),其中響應(yīng)于從所述儲(chǔ)存庫(kù)得到的所述證書信息的失敗確認(rèn),所述鑒權(quán)處理器開始提示用戶輸入證書信息;以及通過(guò)以下步驟的至少一個(gè),所述鑒權(quán)處理器開始提示用戶輸入證書信息(a)開始產(chǎn)生表示菜單提示的數(shù)據(jù),用于把請(qǐng)求輸入證書信息顯示給用戶;(b)指引網(wǎng)絡(luò)瀏覽器開始產(chǎn)生表示菜單提示的數(shù)據(jù),用于把請(qǐng)求輸入證書信息顯示給用戶。
6.根據(jù)權(quán)利要求5的系統(tǒng),其中響應(yīng)于基于所述提示的用戶證書的輸入,所述鑒權(quán)處理器利用所述輸入的證書更新所述儲(chǔ)存庫(kù)。
7.根據(jù)權(quán)利要求1的系統(tǒng),其中響應(yīng)于成功的確認(rèn),所述鑒權(quán)處理器開始一個(gè)新的瀏覽器實(shí)例以使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用;并且所述瀏覽器應(yīng)用包括以下內(nèi)容的至少一個(gè)(a)Microsoft兼容因特網(wǎng)Explorer瀏覽器以及(b)Netscape Navigator兼容瀏覽器。
8.根據(jù)權(quán)利要求1的系統(tǒng),其中所述儲(chǔ)存庫(kù)使與另一初始用戶標(biāo)識(shí)符相關(guān)聯(lián)的證書信息和第二可執(zhí)行應(yīng)用結(jié)合,從而使用戶能夠訪問(wèn)第二可執(zhí)行應(yīng)用;以及所述儲(chǔ)存庫(kù)包括一個(gè)或多個(gè)儲(chǔ)存庫(kù),其使多個(gè)信息文件結(jié)合,所述文件的單個(gè)文件包括與另一初始用戶標(biāo)識(shí)符以及與另一可執(zhí)行應(yīng)用相關(guān)聯(lián)的證書信息,從而使用戶能夠訪問(wèn)所述其他可執(zhí)行應(yīng)用,所述多個(gè)文件支持一個(gè)或多個(gè)不同用戶對(duì)多個(gè)不同的可執(zhí)行應(yīng)用的用戶訪問(wèn)。
9.一種用于鑒權(quán)用戶訪問(wèn)信息的因特網(wǎng)兼容系統(tǒng),包括第一鑒權(quán)處理器,用于響應(yīng)于所接收的用戶識(shí)別信息,安全地得到初始用戶標(biāo)識(shí)符;儲(chǔ)存庫(kù),其使初始用戶標(biāo)識(shí)符與特定的可執(zhí)行應(yīng)用以及與包括第一用戶標(biāo)識(shí)符和相應(yīng)第一口令的證書信息相關(guān)聯(lián),所述第一用戶標(biāo)識(shí)符和所述第一口令使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用;以及第二鑒權(quán)處理器,用于接收表示所述初始用戶標(biāo)識(shí)符的數(shù)據(jù);響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問(wèn)特定的可執(zhí)行應(yīng)用的用戶命令,檢測(cè)瀏覽器應(yīng)用發(fā)起的對(duì)證書信息的請(qǐng)求;響應(yīng)于所檢測(cè)的瀏覽器應(yīng)用發(fā)起的請(qǐng)求,確認(rèn)使用所接收的初始用戶標(biāo)識(shí)符從所述儲(chǔ)存庫(kù)得到的證書信息是否鑒權(quán)用戶訪問(wèn)所述特定的可執(zhí)行應(yīng)用;以及響應(yīng)于成功的確認(rèn),提供從所述儲(chǔ)存庫(kù)得到的已確認(rèn)鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用。
10.根據(jù)權(quán)利要求9的系統(tǒng),其中通過(guò)使用用于標(biāo)識(shí)用戶操作的特定會(huì)話和計(jì)算機(jī)資源用途的被安全產(chǎn)生的會(huì)話標(biāo)識(shí)符,所述第一鑒權(quán)處理器安全地得到所述初始用戶標(biāo)識(shí)符。
11.一種用于鑒權(quán)用戶訪問(wèn)信息的因特網(wǎng)兼容系統(tǒng),包括第一鑒權(quán)處理器,用于響應(yīng)于所接收的用戶識(shí)別信息,安全地得到初始用戶標(biāo)識(shí)符;儲(chǔ)存庫(kù),其使初始用戶標(biāo)識(shí)符與特定的可執(zhí)行應(yīng)用以及與包括第一用戶標(biāo)識(shí)符和相應(yīng)第一口令的證書信息相關(guān)聯(lián),所述第一用戶標(biāo)識(shí)符和所述第一口令使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用;以及第二鑒權(quán)處理器,用于接收表示所述初始用戶標(biāo)識(shí)符的數(shù)據(jù);響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問(wèn)特定的可執(zhí)行應(yīng)用的用戶命令,檢測(cè)瀏覽器應(yīng)用發(fā)起的對(duì)證書信息的請(qǐng)求;響應(yīng)于所檢測(cè)的瀏覽器應(yīng)用發(fā)起的請(qǐng)求并且響應(yīng)于從所述儲(chǔ)存庫(kù)得到的所述證書信息的失敗確認(rèn),確認(rèn)使用所述接收的初始用戶標(biāo)識(shí)符從所述儲(chǔ)存庫(kù)得到的證書信息是否鑒權(quán)用戶訪問(wèn)所述特定的可執(zhí)行應(yīng)用,所述鑒權(quán)處理器開始提示用戶輸入證書信息;以及響應(yīng)于成功的確認(rèn),提供從所述儲(chǔ)存庫(kù)得到的已確認(rèn)鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用。
12.一種用于鑒權(quán)用戶訪問(wèn)因特網(wǎng)兼容系統(tǒng)中的信息的方法,包括以下活動(dòng)存儲(chǔ)信息,所述信息使初始用戶標(biāo)識(shí)符與特定的可執(zhí)行應(yīng)用以及與包括第一用戶標(biāo)識(shí)符和相應(yīng)第一口令的證書信息相關(guān)聯(lián),所述第一用戶標(biāo)識(shí)符和所述第一口令使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用;以及接收表示所述初始用戶標(biāo)識(shí)符的數(shù)據(jù);響應(yīng)于到瀏覽器應(yīng)用的用于訪問(wèn)特定的可執(zhí)行應(yīng)用的用戶命令,檢測(cè)瀏覽器應(yīng)用發(fā)起的對(duì)證書信息的請(qǐng)求;響應(yīng)于所檢測(cè)的瀏覽器應(yīng)用發(fā)起的請(qǐng)求,確認(rèn)使用所接收的初始用戶標(biāo)識(shí)符從所述儲(chǔ)存庫(kù)得到的證書信息是否鑒權(quán)用戶訪問(wèn)所述特定的可執(zhí)行應(yīng)用;以及響應(yīng)于成功的確認(rèn),提供從所述儲(chǔ)存庫(kù)得到的已確認(rèn)鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用。
13.一種用于鑒權(quán)用戶訪問(wèn)信息的因特網(wǎng)兼容系統(tǒng),包括儲(chǔ)存庫(kù),其使初始用戶標(biāo)識(shí)符與特定的可執(zhí)行應(yīng)用以及與證書信息相關(guān)聯(lián),從而使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用;以及鑒權(quán)處理器,用于接收表示所述初始用戶標(biāo)識(shí)符的數(shù)據(jù);響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問(wèn)特定的可執(zhí)行應(yīng)用的用戶命令,檢測(cè)瀏覽器應(yīng)用發(fā)起的對(duì)證書信息的請(qǐng)求;響應(yīng)于所檢測(cè)的瀏覽器應(yīng)用發(fā)起的請(qǐng)求,確認(rèn)使用所述接收的初始用戶標(biāo)識(shí)符從所述儲(chǔ)存庫(kù)得到的證書信息是否鑒權(quán)用戶訪問(wèn)所述特定的可執(zhí)行應(yīng)用;以及響應(yīng)于成功的確認(rèn),提供從所述儲(chǔ)存庫(kù)得到的已確認(rèn)鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用。
14.根據(jù)權(quán)利要求13的系統(tǒng),其中證書信息還包括第一用戶標(biāo)識(shí)符和相應(yīng)的第一口令。
全文摘要
用于鑒權(quán)用戶訪問(wèn)信息的因特網(wǎng)兼容系統(tǒng),包括儲(chǔ)存庫(kù)和鑒權(quán)處理器。儲(chǔ)存庫(kù)使初始用戶標(biāo)識(shí)符與特定的可執(zhí)行應(yīng)用以及與證書信息相關(guān)聯(lián)。證書信息包括第一用戶標(biāo)識(shí)符和相應(yīng)的第一口令,其使用戶能夠訪問(wèn)特定的可執(zhí)行應(yīng)用。鑒權(quán)處理器接收表示初始用戶標(biāo)識(shí)符的數(shù)據(jù)。響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問(wèn)特定的可執(zhí)行應(yīng)用的用戶命令,鑒權(quán)處理器檢測(cè)瀏覽器應(yīng)用發(fā)起的對(duì)證書信息的請(qǐng)求。響應(yīng)于所檢測(cè)的瀏覽器應(yīng)用發(fā)起的請(qǐng)求,鑒權(quán)處理器確認(rèn)使用所接收的初始用戶標(biāo)識(shí)符從所述儲(chǔ)存庫(kù)得到的證書信息是否授權(quán)用戶訪問(wèn)所述特定的可執(zhí)行應(yīng)用。響應(yīng)于成功的確認(rèn),鑒權(quán)處理器提供從所述儲(chǔ)存庫(kù)得到的已確認(rèn)鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問(wèn)所述特定的可執(zhí)行應(yīng)用。
文檔編號(hào)G06F1/00GK1894645SQ200480037554
公開日2007年1月10日 申請(qǐng)日期2004年12月17日 優(yōu)先權(quán)日2003年12月17日
發(fā)明者D·阿努斯?jié)煞蛩够?申請(qǐng)人:西門子醫(yī)療健康服務(wù)公司