專利名稱:用戶認(rèn)證系統(tǒng)、方法、程序以及記錄有該程序的記錄介質(zhì)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體涉及用戶認(rèn)證技術(shù),更詳細(xì)地,涉及一種在互聯(lián)的計(jì)算環(huán)境中對(duì)用戶進(jìn)行認(rèn)證的系統(tǒng)、方法以及程序。
背景技術(shù):
近年來,許多計(jì)算機(jī)相關(guān)企業(yè)都在為了利用因特網(wǎng)技術(shù)使商業(yè)事務(wù)自動(dòng)化而進(jìn)行web服務(wù)相關(guān)技術(shù)的開發(fā)。web服務(wù)的目的之一在于實(shí)現(xiàn)多個(gè)企業(yè)系統(tǒng)之間的電子商務(wù)的高效化。更詳細(xì)地,web服務(wù)通過搜索與基于web的應(yīng)用·程序自動(dòng)相關(guān)的其他應(yīng)用·程序,來提供實(shí)現(xiàn)多個(gè)企業(yè)系統(tǒng)之間的協(xié)作的機(jī)制。
作為用于這樣的web服務(wù)的安全標(biāo)準(zhǔn)的“WS-Security”,被國際商業(yè)機(jī)器公司、微軟公司以及VeriSign(ベリサイン)公司所公開(非專利文獻(xiàn)1)。在“WS-Security”中,定義了在包括相互確立了信賴關(guān)系的多個(gè)服務(wù)器的互聯(lián)的計(jì)算環(huán)境中實(shí)現(xiàn)單點(diǎn)注冊(cè)的機(jī)制。這里,所謂“信賴關(guān)系”,是指就在兩個(gè)或兩個(gè)以上服務(wù)器中的任意一個(gè)的認(rèn)證系統(tǒng)中用戶認(rèn)證成功而言,對(duì)于其他的服務(wù)器來說對(duì)該用戶也作為被認(rèn)證后的來進(jìn)行處理的情況下的這兩個(gè)或兩個(gè)以上服務(wù)器之間的關(guān)系。此外,上述互聯(lián)的標(biāo)準(zhǔn)的一個(gè)例子作為“WS-Federation”被公開(非專利文獻(xiàn)2)。
在背景技術(shù)中,用戶在利用包括多個(gè)服務(wù)器的互聯(lián)的計(jì)算環(huán)境的情況下,為了獲得安全令牌而使用多個(gè)服務(wù)器中的任意一個(gè)服務(wù)器的認(rèn)證系統(tǒng)進(jìn)行用戶認(rèn)證。接著,在含有所獲得的安全令牌的SOAP(Simple ObjectAccess Protocol,簡(jiǎn)單對(duì)象訪問協(xié)議)消息中簽上署名,并向提供web服務(wù)的服務(wù)器發(fā)送該SOAP消息。接收到SOAP消息的服務(wù)器檢驗(yàn)該SOAP消息中所包含的安全令牌,并根據(jù)檢驗(yàn)的成功,對(duì)用戶進(jìn)行服務(wù)的返回。
上述的“WS-Security”標(biāo)準(zhǔn)如果通過正式地被接受、作為產(chǎn)品被安裝而得到普及,則將加速企業(yè)間系統(tǒng)的無縫合作,從而將實(shí)現(xiàn)例如多個(gè)企業(yè)系統(tǒng)所參與的大規(guī)模的供應(yīng)鏈系統(tǒng)。
非專利文獻(xiàn)1丸山宏等著“Web Service Security(WS-Security)”,2002年4月5日,國際商業(yè)機(jī)器公司/微軟公司/VeriSign公司發(fā)行。
非專利文獻(xiàn)2丸山宏等著“Web Service Federation Language(WS-Federation)”,2003年7月8日,國際商業(yè)機(jī)器公司/微軟公司/VeriSign公司發(fā)行。
在互聯(lián)的計(jì)算環(huán)境中,如果所有服務(wù)器的認(rèn)證系統(tǒng)均采用相同的認(rèn)證策略(認(rèn)證策略是包括指紋認(rèn)證、聲紋認(rèn)證等認(rèn)證形式、各個(gè)認(rèn)證形式等的規(guī)約(字符數(shù)、有效期限、數(shù)據(jù)大小等)以及含有它們的組合的所有用戶認(rèn)證的形式的概念),則用戶通過注冊(cè)相同的認(rèn)證信息,可以使用自身的“唯一的”認(rèn)證信息進(jìn)行用戶認(rèn)證,而不會(huì)意識(shí)到自己在使用哪一個(gè)服務(wù)器的認(rèn)證系統(tǒng),從而來利用互聯(lián)的計(jì)算環(huán)境。
然而,互聯(lián)的計(jì)算環(huán)境中所包括的多個(gè)服務(wù)器的認(rèn)證系統(tǒng)大多采用彼此不同的認(rèn)證策略。這是因?yàn)?,互?lián)的計(jì)算環(huán)境預(yù)定的是能夠獨(dú)立地被使用的多個(gè)系統(tǒng)進(jìn)行參與的情況。由于這樣的性質(zhì),在互聯(lián)的計(jì)算環(huán)境中所包括的第一服務(wù)器和第二服務(wù)器采用不同的認(rèn)證策略的情況下,用戶會(huì)分別對(duì)第一服務(wù)器和第二服務(wù)器設(shè)定適合于不同認(rèn)證策略的認(rèn)證信息。
在這樣的計(jì)算環(huán)境中,用戶在存儲(chǔ)服務(wù)器的認(rèn)證系統(tǒng)與認(rèn)證信息的對(duì)應(yīng)關(guān)系上,會(huì)強(qiáng)調(diào)正確地認(rèn)知目前自己正在嘗試哪一認(rèn)證系統(tǒng)的認(rèn)證而輸入對(duì)應(yīng)于該認(rèn)證系統(tǒng)的認(rèn)證信息。由于與參與到互聯(lián)的計(jì)算環(huán)境中的服務(wù)器的增加成比例地,用戶應(yīng)該存儲(chǔ)的認(rèn)證信息的數(shù)量也會(huì)增加,從而該操作可能會(huì)成為用戶的較大負(fù)擔(dān)。
發(fā)明內(nèi)容
因此,本發(fā)明的目的在于提供一種能夠解決上述問題的認(rèn)證系統(tǒng)、認(rèn)證方法、認(rèn)證程序。
為了解決上述問題,根據(jù)本發(fā)明的第一方式,提供一種系統(tǒng),是用于進(jìn)行對(duì)含有相互確立了信賴關(guān)系的多個(gè)服務(wù)器的計(jì)算環(huán)境的用戶認(rèn)證的系統(tǒng),包括認(rèn)證策略表,其注冊(cè)有多個(gè)服務(wù)器中的至少一個(gè)服務(wù)器的認(rèn)證策略;從用戶接收認(rèn)證信息的單元;使用認(rèn)證策略表從多個(gè)服務(wù)器中確定至少一個(gè)采用與認(rèn)證信息相適合的認(rèn)證策略的服務(wù)器的單元;將指示使用認(rèn)證信息進(jìn)行用戶認(rèn)證的信號(hào)發(fā)送到由確定服務(wù)器的單元所確定的服務(wù)器的認(rèn)證機(jī)構(gòu)的單元;以及以用戶認(rèn)證成功為條件、允許用戶對(duì)計(jì)算環(huán)境的訪問的單元。
此外,根據(jù)本發(fā)明的第二方式,提供一種方法,是含有相互確立了信賴關(guān)系的多個(gè)服務(wù)器的計(jì)算環(huán)境中的方法,其保存至少一個(gè)注冊(cè)有多個(gè)服務(wù)器中的至少一個(gè)服務(wù)器的認(rèn)證策略的認(rèn)證策略表,該方法包括從用戶接收認(rèn)證信息的步驟;使用認(rèn)證策略表從多個(gè)服務(wù)器中確定至少一個(gè)采用與認(rèn)證信息相適合的認(rèn)證策略的服務(wù)器的步驟;將指示使用認(rèn)證信息進(jìn)行用戶認(rèn)證的信號(hào)發(fā)送到在確定服務(wù)器的步驟中確定的服務(wù)器的認(rèn)證機(jī)構(gòu)的步驟;以及以用戶認(rèn)證成功為條件、允許對(duì)計(jì)算環(huán)境的訪問的步驟。
此外,根據(jù)本發(fā)明的第三方式,提供一種程序,是含有相互確立了信賴關(guān)系的多個(gè)服務(wù)器的計(jì)算環(huán)境中的程序,其保存至少一個(gè)注冊(cè)有多個(gè)服務(wù)器的至少一個(gè)服務(wù)器的認(rèn)證策略的認(rèn)證策略表,認(rèn)證程序使計(jì)算機(jī)執(zhí)行從用戶接收認(rèn)證信息的步驟;使用認(rèn)證策略表從多個(gè)服務(wù)器中確定至少一個(gè)采用與認(rèn)證信息相適合的認(rèn)證策略的服務(wù)器的步驟;將指示使用認(rèn)證信息進(jìn)行用戶認(rèn)證的信號(hào)發(fā)送到在確定服務(wù)器的步驟中確定的服務(wù)器的認(rèn)證機(jī)構(gòu)的步驟;以及以用戶認(rèn)證成功為條件、允許對(duì)計(jì)算環(huán)境的訪問的步驟。
此外,作為本發(fā)明的第四方式,提供記錄有上述程序的計(jì)算機(jī)可讀的存儲(chǔ)介質(zhì)那樣的計(jì)算機(jī)程序產(chǎn)品。
如果采用本發(fā)明,則在互聯(lián)的計(jì)算環(huán)境中,能夠?qū)崿F(xiàn)便利性更高的用戶認(rèn)證。
圖1是表示本發(fā)明實(shí)施方式的互聯(lián)的計(jì)算環(huán)境100的系統(tǒng)結(jié)構(gòu)的一個(gè)例子的示意圖;圖2是本發(fā)明實(shí)施方式中服務(wù)器300的功能方框圖;圖3是表示本發(fā)明實(shí)施方式中確立服務(wù)器之間的信賴關(guān)系的操作流程的流程圖;圖4是表示本發(fā)明實(shí)施方式中新用戶認(rèn)證信息的注冊(cè)的操作流程的流程圖;圖5是表示本發(fā)明實(shí)施方式中用戶認(rèn)證的操作流程的流程圖;圖6是表示本發(fā)明實(shí)施方式中例外ID注冊(cè)確認(rèn)畫面的圖像的圖;圖7是表示本發(fā)明實(shí)施方式中認(rèn)證模式選擇畫面的圖像的圖;圖8是表示本發(fā)明實(shí)施方式中認(rèn)證信息輸入畫面的圖像的圖;圖9是表示本發(fā)明實(shí)施方式中認(rèn)證策略表324的一個(gè)例子的示意圖;圖10是表示本發(fā)明實(shí)施方式中例外ID表325的一個(gè)例子的示意圖;以及圖11是表示本發(fā)明實(shí)施方式中作為服務(wù)器300發(fā)揮作用的計(jì)算機(jī)的硬件結(jié)構(gòu)的一個(gè)例子的圖。
具體實(shí)施例方式
下面,根據(jù)附圖詳細(xì)地說明用于實(shí)現(xiàn)本發(fā)明的最佳方式。此外,本發(fā)明可以用多種不同的方式來實(shí)現(xiàn),而不應(yīng)由實(shí)施方式的記載內(nèi)容來限定及解釋,此外,在實(shí)施方式中說明的全部的特征組合也不能限定為是本發(fā)明的解決手段所必須的。此外,在對(duì)實(shí)施方式的說明的全體中,對(duì)相同的要素賦予相同的標(biāo)號(hào)。
在下面的實(shí)施方式中,雖然主要針對(duì)方法和系統(tǒng)進(jìn)行說明,但是本領(lǐng)域的技術(shù)人員可以理解,本發(fā)明也可以作為能夠在計(jì)算機(jī)中使用的程序來實(shí)現(xiàn)。因此,本發(fā)明可以采用作為硬件的實(shí)施方式、作為軟件的實(shí)施方式或者作為軟件與硬件的組合的實(shí)施方式。程序可以記錄在硬盤、CD-ROM、光存儲(chǔ)裝置或者磁存儲(chǔ)裝置等任意的計(jì)算機(jī)可讀介質(zhì)中。
圖1是表示本發(fā)明實(shí)施方式的互聯(lián)的計(jì)算環(huán)境1000的系統(tǒng)結(jié)構(gòu)的一個(gè)例子的示意圖?;ヂ?lián)的計(jì)算環(huán)境1000包括由網(wǎng)絡(luò)200相互連接的客戶機(jī)100以及多個(gè)服務(wù)器300-1~300-N(下面,根據(jù)需要統(tǒng)稱為服務(wù)器300)。
客戶機(jī)100是公知的可以與因特網(wǎng)連接的終端。本領(lǐng)域技術(shù)人員可以容易地實(shí)現(xiàn)這樣的客戶機(jī)100。此外,客戶機(jī)100與網(wǎng)絡(luò)200的連接也可以通過撥號(hào)連接等經(jīng)由ISP(Internet Service Provier因特網(wǎng)服務(wù)提供商,未圖示)來實(shí)現(xiàn)。此外,從客戶機(jī)100到ISP的連接并不局限于撥號(hào)連接,而也可以通過例如使用專用線路、LAN(Local Area Network,局域網(wǎng))、WAN(Wide Area Network,廣域網(wǎng))、ADSL(Asymmetric DigitalSubscriber Line,非對(duì)稱數(shù)字用戶線)、CATV(Cable TeleviSion,有線電視)的永久連接來實(shí)現(xiàn)。
網(wǎng)絡(luò)200是連接客戶機(jī)100、服務(wù)器300的通信路徑,作為一個(gè)例子,其可以利用因特網(wǎng)來實(shí)現(xiàn)。作為因特網(wǎng)的網(wǎng)絡(luò)200,如所公知的,使用TCP/IP(Transmission Control Protocol/Internet Protocol,傳輸控制協(xié)議/因特網(wǎng)協(xié)議)來連接系統(tǒng)間。在網(wǎng)絡(luò)200中,利用由全球地址或局部地址表示的IP地址來確定相互通信的系統(tǒng)。
服務(wù)器300是根據(jù)來自客戶機(jī)100的請(qǐng)求而提供服務(wù)的計(jì)算機(jī)裝置。更詳細(xì)地,服務(wù)器300-1~300-N使用公知的web服務(wù)技術(shù),對(duì)于來自客戶機(jī)100的服務(wù)請(qǐng)求,相互地協(xié)作而提供web服務(wù)。優(yōu)選地,服務(wù)器300-1~300-N形成根據(jù)上述的“WS-Federation”標(biāo)準(zhǔn)相互確立了信賴關(guān)系的互聯(lián)的計(jì)算環(huán)境1000。
圖2是本實(shí)施方式的服務(wù)器300的功能框圖。圖2的功能框圖中所示的各個(gè)要素,在具有后述的圖11中所例示的硬件結(jié)構(gòu)的計(jì)算機(jī)中,通過使硬件資源與軟件協(xié)作來實(shí)現(xiàn)。
服務(wù)器300包括通信控制部310、用戶認(rèn)證處理部320、應(yīng)用執(zhí)行部330。通信控制部310將從網(wǎng)絡(luò)200接收到的數(shù)據(jù)傳送到用戶認(rèn)證處理部320或應(yīng)用執(zhí)行部330。通信控制部310也可以將從用戶認(rèn)證處理部320或應(yīng)用執(zhí)行部330接收到的數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)200。
用戶認(rèn)證處理部320根據(jù)通過通信控制部310接收的客戶機(jī)100的用戶訪問請(qǐng)求進(jìn)行認(rèn)證處理。優(yōu)選地,訪問請(qǐng)求作為在客戶機(jī)100的web瀏覽器中生成、被發(fā)送給網(wǎng)絡(luò)200并由服務(wù)器300接收的HTTP(HyperTextTransfer Protocol,超文本傳輸協(xié)議)請(qǐng)求來實(shí)現(xiàn),但并不局限于此。用戶認(rèn)證處理部320包括認(rèn)證請(qǐng)求處理部321、認(rèn)證信息管理部322、LDAP客戶機(jī)323、認(rèn)證策略表324、例外ID表325以及認(rèn)證信息LDAP 326。
認(rèn)證請(qǐng)求處理部321,分析來自客戶機(jī)100的用戶的訪問請(qǐng)求,并在判定為發(fā)送訪問請(qǐng)求的用戶未認(rèn)證的情況下,進(jìn)行用戶認(rèn)證。即,認(rèn)證請(qǐng)求處理部321參照認(rèn)證策略表324,與互聯(lián)的計(jì)算環(huán)境1000中包括的其他服務(wù)器的認(rèn)證系統(tǒng)協(xié)作進(jìn)行用戶認(rèn)證。
更詳細(xì)地,認(rèn)證請(qǐng)求處理部321具有根據(jù)判定為發(fā)送訪問請(qǐng)求的客戶機(jī)100的用戶未認(rèn)證的情況,向客戶機(jī)100發(fā)送提示認(rèn)證信息的輸入的網(wǎng)頁數(shù)據(jù)的功能。此外,認(rèn)證請(qǐng)求處理部321具有如下功能使用認(rèn)證信息輸入用網(wǎng)頁接收所輸入的用戶的認(rèn)證信息,使用認(rèn)證策略表324確定該認(rèn)證信息是否符合互聯(lián)的計(jì)算環(huán)境1000中所包含的多個(gè)服務(wù)器中的任意一個(gè)服務(wù)器的認(rèn)證系統(tǒng)的認(rèn)證策略,并在所確定的服務(wù)器的認(rèn)證系統(tǒng)的認(rèn)證機(jī)構(gòu)中,使用認(rèn)證信息發(fā)送指示用戶認(rèn)證的信號(hào)。
進(jìn)而,認(rèn)證請(qǐng)求處理部321具有在判定為認(rèn)證信息符合自身的認(rèn)證策略的情況下、將該認(rèn)證信息與存儲(chǔ)在通過LDAP客戶機(jī)323輸入的認(rèn)證信息LDAP326中的認(rèn)證信息進(jìn)行核對(duì)的認(rèn)證機(jī)構(gòu)。進(jìn)而,認(rèn)證請(qǐng)求處理部321具有在用戶認(rèn)證成功的情況下、發(fā)送允許對(duì)與客戶機(jī)100互聯(lián)的計(jì)算環(huán)境1000進(jìn)行訪問的安全令牌的功能。在本實(shí)施方式中,優(yōu)選地,安全令牌是證書和cookie。
認(rèn)證信息管理部322進(jìn)行互聯(lián)的計(jì)算環(huán)境1000中的認(rèn)證信息的管理。優(yōu)選地,認(rèn)證信息管理部322具有對(duì)于互聯(lián)的計(jì)算環(huán)境1000中所包含的服務(wù)器的認(rèn)證系統(tǒng)的認(rèn)證策略的認(rèn)證策略表324進(jìn)行注冊(cè)、更新和參照處理的功能。此外,認(rèn)證信息管理部322具有向認(rèn)證信息LDAP注冊(cè)通過LDAP客戶機(jī)323從用戶接收到的認(rèn)證信息的功能。進(jìn)而,認(rèn)證信息管理部322具有這樣的功能在注冊(cè)新用戶的用戶ID時(shí),判定相同的用戶ID是否已經(jīng)在采用相同認(rèn)證策略的其他服務(wù)器的認(rèn)證系統(tǒng)中注冊(cè),并在判定為相同的用戶ID已被注冊(cè)的情況下,將該用戶ID注冊(cè)到例外ID表325中。
LDAP客戶機(jī)323提供對(duì)于認(rèn)證信息LDAP326的接口。更詳細(xì)地,LDAP客戶機(jī)323具有對(duì)來自服務(wù)器300的程序·組件或其他計(jì)算機(jī)的對(duì)于認(rèn)證信息LDAP326的訪問進(jìn)行控制的功能。LDAP客戶機(jī)323至少可以將從認(rèn)證信息管理部322接收到的認(rèn)證信息注冊(cè)到認(rèn)證信息LDAP326中,此外,可以根據(jù)認(rèn)證請(qǐng)求處理部321等的請(qǐng)求獲取在認(rèn)證信息LDAP326中注冊(cè)的認(rèn)證信息。
認(rèn)證策略表324是注冊(cè)互聯(lián)的計(jì)算環(huán)境1000中所包含的各個(gè)服務(wù)器的認(rèn)證系統(tǒng)的認(rèn)證策略的表。
圖9是表示本發(fā)明實(shí)施方式中的認(rèn)證策略表324的一個(gè)例子的圖。在認(rèn)證策略表324中,與認(rèn)證策略相關(guān)聯(lián)地注冊(cè)有互聯(lián)的計(jì)算環(huán)境1000中所包含的服務(wù)器的一部分或全部的地址·位置(優(yōu)選地,該服務(wù)器的URL地址)。在圖9中例示的認(rèn)證策略表324中,在第一列注冊(cè)認(rèn)證策略,在第二列注冊(cè)采用第一列的認(rèn)證策略的服務(wù)器的地址。
此外,優(yōu)選地,在認(rèn)證策略表324中,注冊(cè)互聯(lián)的計(jì)算環(huán)境1000中所包含的全部服務(wù)器的地址·位置和認(rèn)證策略。但是,需要注意,如后所述,本實(shí)施方式的用戶認(rèn)證,由于是根據(jù)地址·位置和認(rèn)證策略被注冊(cè)在認(rèn)證策略表324中的服務(wù)器中的任意一個(gè)中的用戶認(rèn)證成功的情況來允許對(duì)于互聯(lián)的計(jì)算環(huán)境1000的訪問的,所以即使互聯(lián)的計(jì)算環(huán)境1000中所包含的服務(wù)器的地址·位置和認(rèn)證策略未被注冊(cè),本實(shí)施方式的用戶認(rèn)證也可以進(jìn)行。
進(jìn)而,在本發(fā)明實(shí)施方式的認(rèn)證策略表324中,在存在采用相同的認(rèn)證策略的多個(gè)服務(wù)器的情況下,與服務(wù)器地址相關(guān)聯(lián)地注冊(cè)表示從哪一個(gè)服務(wù)器的認(rèn)證系統(tǒng)進(jìn)行用戶認(rèn)證處理的優(yōu)先級(jí)。優(yōu)先級(jí)的值可以由系統(tǒng)管理員手動(dòng)輸入,也可以按在認(rèn)證系統(tǒng)中注冊(cè)的用戶數(shù)量的多少順序來分配值等,自動(dòng)地確定。
更具體地,在本發(fā)明實(shí)施方式的認(rèn)證策略表324中,注冊(cè)有采用用戶ID為“字母3字符+數(shù)字3字符”且口令為“字母4字符”的認(rèn)證策略的三個(gè)服務(wù)器(地址為“server300-1.com”、“server300-2.com”、“server300-3.com”)。此外,還注冊(cè)有采用用戶ID為“字母8字符”且口令為“任意”的認(rèn)證策略的兩個(gè)服務(wù)器(地址為“server300-4.com”、“server300-5.com”)。
進(jìn)而,在認(rèn)證策略表324中,還注冊(cè)有采用“指紋認(rèn)證”且指紋認(rèn)證的二進(jìn)制數(shù)據(jù)的大小為“100字節(jié)”的認(rèn)證策略的兩個(gè)服務(wù)器(地址為“server300-6.com”、“server300-7.com”)以及采用“聲紋認(rèn)證”且聲紋認(rèn)證的二進(jìn)制數(shù)據(jù)的大小為“200字節(jié)”的認(rèn)證策略的一個(gè)服務(wù)器(地址為“server300-8.com”)。
例外ID表325是在互聯(lián)的計(jì)算環(huán)境1000中所包含的各個(gè)服務(wù)器的認(rèn)證系統(tǒng)之間不同的用戶使用相同的用戶ID的情況下、將該用戶ID作為例外ID進(jìn)行注冊(cè)的表。
圖10是表示本發(fā)明實(shí)施方式的例外ID表325的一個(gè)例子的圖。在例外ID表325中,與例外ID相關(guān)聯(lián)地注冊(cè)有互聯(lián)的計(jì)算環(huán)境1000中所包含的服務(wù)器的一部分或全部的地址·位置(優(yōu)選地,該服務(wù)器的URL地址)。在圖10中例示的例外ID表325中,在第一列注冊(cè)服務(wù)器地址,在第二列注冊(cè)第一列的服務(wù)器的認(rèn)證系統(tǒng)的例外ID。
應(yīng)用執(zhí)行部330,為了實(shí)現(xiàn)已被認(rèn)證的用戶的服務(wù)請(qǐng)求,根據(jù)來自客戶機(jī)100和/或互聯(lián)的計(jì)算環(huán)境1000中所包含的服務(wù)器的請(qǐng)求,執(zhí)行各種應(yīng)用·程序。優(yōu)選地,由應(yīng)用執(zhí)行部330執(zhí)行的應(yīng)用·程序,作為基于web的應(yīng)用·程序而實(shí)現(xiàn)。在本發(fā)明的實(shí)施方式中,可以執(zhí)行應(yīng)用A(331)、應(yīng)用B(332)、應(yīng)用C(333)以及應(yīng)用D(334)四種應(yīng)用。
圖3是表示確立多個(gè)服務(wù)器間的信賴關(guān)系的操作流程的流程圖。在本實(shí)施方式中,在多個(gè)服務(wù)器300-1~300-N相互確立信賴關(guān)系的情況下,首先,服務(wù)器300-1根據(jù)圖3中記載的操作流程,確立與還未確立信賴關(guān)系的服務(wù)器300-2~300-N的信賴關(guān)系。接著,服務(wù)器300-2同樣根據(jù)圖4中記載的操作流程,確立與還未確立信賴關(guān)系的服務(wù)器300-3~300-N的信賴關(guān)系。通過重復(fù)該過程直到服務(wù)器300-(N-1),來全部確立多個(gè)服務(wù)器300-1~300-N的相互信賴關(guān)系,從而形成互聯(lián)的計(jì)算環(huán)境1000。
下面,以服務(wù)器300-1在與服務(wù)器300-2~300-N之間確立信賴關(guān)系的情況為例,詳細(xì)地說明圖3中所示的操作流程圖。最初,服務(wù)器300-1向認(rèn)證策略表324注冊(cè)自身的認(rèn)證策略(S3010)。接下來,通過根據(jù)公知的PKI(Pubulic Key Infrastracture,公鑰基礎(chǔ)架構(gòu))方式交換電子證書,來確立服務(wù)器300-1與服務(wù)器300-2之間的信賴關(guān)系(S3020)。
接下來,服務(wù)器300-1輸入在S3020中確立信賴關(guān)系的對(duì)方服務(wù)器、即服務(wù)器300-2的認(rèn)證策略。具體地,服務(wù)器300-1通過訪問在服務(wù)器300-2中記載有存在于本地的服務(wù)器300-2的管理員所生成的認(rèn)證策略的簡(jiǎn)檔·表,來輸入服務(wù)器300-2的認(rèn)證策略。并且,將所輸入的服務(wù)器300-2的認(rèn)證策略注冊(cè)到認(rèn)證策略表324中(S3030),判定自身的認(rèn)證策略與對(duì)方服務(wù)器300-2的認(rèn)證策略是否相同(S3040)。在判定為服務(wù)器300-1與服務(wù)器300-2的認(rèn)證策略不同的情況下,為了判定是否存在還未確立信賴關(guān)系的服務(wù)器,從“否”箭頭前進(jìn)到S3090。
在S3040中判定為服務(wù)器300-1與服務(wù)器300-2的認(rèn)證策略相同的情況下,從“是”箭頭前進(jìn)到S3050,核查在服務(wù)器300-1與服務(wù)器300-2的認(rèn)證信息LDAP326中是否存在相同的用戶ID。在S3050中判定為在服務(wù)器300-1與服務(wù)器300-2的認(rèn)證信息LDAP325中不存在相同的用戶ID的情況下,為了判定是否存在還未確立信賴關(guān)系的服務(wù)器,從“否”箭頭前進(jìn)到S3090。
在S3050中判定為在服務(wù)器300-1和服務(wù)器300-2的認(rèn)證信息LDAP中存在相同的用戶ID的情況下,從“是”箭頭前進(jìn)到步驟S3060,向確立了服務(wù)器間的信賴關(guān)系的系統(tǒng)管理員所操作的終端顯示圖6中所示的例外ID注冊(cè)確認(rèn)畫面。在本實(shí)施方式中,在服務(wù)器300-1和服務(wù)器300-2雙方中注冊(cè)有“ABC001”的用戶ID,從而提示系統(tǒng)管理員確認(rèn)該用戶ID是否是同一用戶所使用的。此外,在例外ID注冊(cè)確認(rèn)畫面中,為了向系統(tǒng)管理員呈現(xiàn)確認(rèn)提示,與服務(wù)器名、用戶ID相關(guān)聯(lián)地顯示注冊(cè)名(相對(duì)于服務(wù)器300-1的用戶ID“ABC001”的注冊(cè)名為“Tanaka Taro”、相對(duì)于服務(wù)器300-2的用戶ID“ABC001”的注冊(cè)名為“Hirota Keisuke”)。
接下來,前進(jìn)到S3070,在系統(tǒng)管理員判定為在例外ID確認(rèn)畫面中顯示的用戶ID在服務(wù)器300-1和服務(wù)器300-2中由不同的用戶所使用的情況下,系統(tǒng)管理員在例外ID確認(rèn)畫面中按下“注冊(cè)”按鈕。對(duì)應(yīng)于“注冊(cè)”按鈕的按下,流程前進(jìn)到S3080,該用戶ID被注冊(cè)到例外ID表325中。此后,為了判定是否存在還未確立信賴關(guān)系的服務(wù)器,從“否”箭頭前進(jìn)到S3090。
在S3070中系統(tǒng)管理員判定為在例外ID確認(rèn)畫面中顯示的用戶ID在服務(wù)器300-1和服務(wù)器300-2中由同一用戶所使用的情況下,用戶在例外ID確認(rèn)畫面中按下“不注冊(cè)”按鈕。對(duì)應(yīng)于“不注冊(cè)”按鈕的按下,為了判定是否存在還未確立信賴關(guān)系的服務(wù)器,流程從“否”箭頭前進(jìn)到S3090。
在S3090,判定是否存在服務(wù)器300-1還未確立信賴關(guān)系的服務(wù)器。在S3090中判定為存在還未確立信賴關(guān)系的服務(wù)器的情況下,流程返回到S3030,通過與還未確立信賴關(guān)系的服務(wù)器執(zhí)行步驟S3030~S3080,使服務(wù)器300-1與其它全部服務(wù)器300-2~300-N確立信賴關(guān)系。在S3090中判定為不再存在還未確立信賴關(guān)系的服務(wù)器的情況下,前進(jìn)到“否”箭頭,從而流程結(jié)束。
上述說明的是服務(wù)器300-1與其它服務(wù)器300-2~300-N確立信賴關(guān)系。通過針對(duì)300-2~300-N執(zhí)行同樣的處理,來形成在服務(wù)器300-1~300-N之間相互確立了信賴關(guān)系的互聯(lián)的計(jì)算環(huán)境1000。
圖4是表示新用戶認(rèn)證信息的注冊(cè)的操作流程的流程圖。下面參照?qǐng)D4詳細(xì)地說明在參與到已經(jīng)在多個(gè)服務(wù)器300-1~300-N間相互確立了信賴關(guān)系的互聯(lián)的計(jì)算環(huán)境1000中的服務(wù)器300-1的認(rèn)證系統(tǒng)中注冊(cè)新用戶認(rèn)證信息的流程。此外,應(yīng)該注意,在其它服務(wù)器300-2~300-N的認(rèn)證系統(tǒng)中注冊(cè)新用戶認(rèn)證信息的流程可以利用同樣的處理來實(shí)現(xiàn)。
首先,從用戶操作的客戶機(jī)100接受新認(rèn)證信息(S4010)。此外,在S4010,服務(wù)器300-1使用記載有服務(wù)器300-1的管理員所生成的認(rèn)證策略的簡(jiǎn)檔·表,進(jìn)行新認(rèn)證信息是否符合自己的認(rèn)證策略的驗(yàn)證。接下來,判定在自己的認(rèn)證信息LDAP326中是否存在與從客戶機(jī)100接收到的認(rèn)證信息中所包含的用戶ID相同的用戶ID(S4020)。在S4020中判定為存在相同的用戶ID的情況下,由于不允許在同一服務(wù)器的認(rèn)證系統(tǒng)中存在相同的用戶ID,所以為了從用戶接受其它的認(rèn)證信息,從“是”箭頭返回到S4010,再次接受新用戶認(rèn)證信息。在S4020中判定為不存在相同的用戶ID的情況下,從“否”箭頭前進(jìn)到S4030。
在S4030中,服務(wù)器300-1使用存儲(chǔ)在自身的存儲(chǔ)裝置中的認(rèn)證策略表,確定在互聯(lián)的計(jì)算環(huán)境1000中存在的、具有采用與自己相同的認(rèn)證策略的認(rèn)證系統(tǒng)的服務(wù)器。接下來,判定在S4030中作為具有采用與自己相同的認(rèn)證策略的認(rèn)證系統(tǒng)的服務(wù)器而確定的服務(wù)器之中的一個(gè)服務(wù)器的認(rèn)證信息LDAP326中是否存在與新用戶認(rèn)證信息中所包含的用戶ID相同的用戶ID(S4040)。
在S4040中判定為在S4030中所確定的服務(wù)器之中的一個(gè)服務(wù)器的認(rèn)證信息LDAP326中不存在相同的用戶ID的情況下,為了判定是否存在其它的在S4030中確定的采用與300-1相同的認(rèn)證策略的服務(wù)器,從“否”箭頭前進(jìn)到S4080。
在S4040中判定為在S4030中所確定的服務(wù)器之中的一個(gè)服務(wù)器的認(rèn)證信息LDAP326中存在相同的用戶ID的情況下,從“是”箭頭前進(jìn)到S4050,從而向要注冊(cè)認(rèn)證信息的用戶所操作的客戶機(jī)顯示圖6所示的例外ID注冊(cè)確認(rèn)畫面。由于例外ID注冊(cè)確認(rèn)畫面已經(jīng)在圖3中說明,所以這里不再詳細(xì)說明。
接下來,前進(jìn)到S4060,在要注冊(cè)認(rèn)證信息的用戶判定為在例外ID確認(rèn)畫面中顯示的用戶ID不是自己所使用的情況下,用戶在例外ID確認(rèn)畫面中按下“注冊(cè)”按鈕。對(duì)應(yīng)于“注冊(cè)”按鈕的按下,流程前進(jìn)到S4070,從而該用戶ID被注冊(cè)到例外ID表325中。此后,為了判定是否存在其它的在S4030中確定的采用與300-1相同的認(rèn)證策略的服務(wù)器,從“否”箭頭前進(jìn)到S4080。
此外,在S4060中要注冊(cè)認(rèn)證信息的用戶判定為在例外ID確認(rèn)畫面中顯示的用戶ID是自己所使用的情況下,用戶在例外ID確認(rèn)畫面中按下“不注冊(cè)”按鈕。對(duì)應(yīng)于“不注冊(cè)”按鈕的按下,為了判定是否存在其它的在S4030中確定的采用與300-1相同的認(rèn)證策略的服務(wù)器,從“是”箭頭前進(jìn)到S4080。
在S4080中,判定是否還存在在S4030中確定的采用與服務(wù)器300-1相同的認(rèn)證策略的服務(wù)器。在S4080中判定為還存在采用相同的認(rèn)證策略的服務(wù)器的情況下,流程返回到S4040,通過與剩下的服務(wù)器執(zhí)行步驟S4040~S4070,使服務(wù)器300-1將必要的信息注冊(cè)到例外ID表中。在S4080中判定為不存在采用相同的認(rèn)證策略的服務(wù)器的情況下,從“否”箭頭前進(jìn)到S4090,從而服務(wù)器300-1將新用戶認(rèn)證信息注冊(cè)到自身的認(rèn)證信息LDAP326中。
圖5是表示本發(fā)明實(shí)施方式中用戶認(rèn)證的流程的流程圖。下面,根據(jù)圖5的流程圖詳細(xì)地說明,在從未認(rèn)證的用戶操作的客戶機(jī)100對(duì)互聯(lián)的計(jì)算環(huán)境1000中所包含的多個(gè)服務(wù)器的一個(gè)、即服務(wù)器300-1存在訪問請(qǐng)求的情況下的用戶認(rèn)證的流程。此外,應(yīng)該注意,可以利用同樣的處理實(shí)現(xiàn)在其它的服務(wù)器300-2~300-N的認(rèn)證系統(tǒng)中進(jìn)行用戶認(rèn)證的情況。
服務(wù)器300-1從用戶接收訪問請(qǐng)求(S5010)。并且,通過檢查在訪問請(qǐng)求中是否含有安全令牌而判定為發(fā)出該訪問請(qǐng)求的用戶是未認(rèn)證的服務(wù)器300-1,通過將圖7中所示的認(rèn)證模式選擇畫面的數(shù)據(jù)發(fā)送到用戶操作的客戶機(jī),來提示用戶進(jìn)行認(rèn)證模式的選擇(S5020)。在用戶在圖7中例示的認(rèn)證模式選擇畫面中按下“是”按鈕、從而選擇多認(rèn)證模式的情況下,處理前進(jìn)到S5040。此外,在用戶在圖7中例示的認(rèn)證模式選擇畫面中按下“否”按鈕、從而選擇通常認(rèn)證模式的情況下,處理前進(jìn)到S5030,以不使用認(rèn)證策略表的通常認(rèn)證進(jìn)行用戶認(rèn)證。由于通常認(rèn)證是公知的,所以在此不進(jìn)行詳細(xì)的說明。
接下來,服務(wù)器300-1將圖8中所示的、多認(rèn)證模式中使用的認(rèn)證畫面的數(shù)據(jù)發(fā)送到用戶的客戶機(jī)(S5040)。接收到認(rèn)證畫面的數(shù)據(jù)的用戶輸入認(rèn)證信息(S5050)??蛻魴C(jī)向服務(wù)器300-1發(fā)送所輸入的認(rèn)證信息。
更詳細(xì)地,在使用用戶ID進(jìn)行用戶認(rèn)證的情況下,用戶通過操作鍵盤在圖8中所示的認(rèn)證信息輸入畫面的第一行輸入用戶ID。在不使用用戶ID進(jìn)行用戶認(rèn)證的情況下,用戶復(fù)選第一行的“不使用”復(fù)選框。此外,在使用口令進(jìn)行用戶認(rèn)證的情況下,用戶通過操作鍵盤在圖8中所示的認(rèn)證畫面的第二行輸入口令。在不使用口令進(jìn)行用戶認(rèn)證的情況下,用戶復(fù)選第二行的“不使用”復(fù)選框。在使用指紋認(rèn)證、聲紋認(rèn)證等字符數(shù)據(jù)以外的數(shù)據(jù)(即二進(jìn)制數(shù)據(jù))進(jìn)行用戶認(rèn)證的情況下,用戶不復(fù)選圖8中所示的認(rèn)證畫面的第三行的“不使用”復(fù)選框,而按下“OK”按鈕,從而接著進(jìn)行二進(jìn)制數(shù)據(jù)的輸入(例如,對(duì)于指紋認(rèn)證來說,將手指放置在指紋數(shù)據(jù)輸入盤上,對(duì)于聲紋認(rèn)證來說,向麥克風(fēng)發(fā)出聲音等)。在不使用口令進(jìn)行用戶認(rèn)證的情況下,用戶復(fù)選第二行的“不使用”復(fù)選框。
處理前進(jìn)到S5050,服務(wù)器300-1參照自己的認(rèn)證策略表,獲得采用適合于用戶輸入的認(rèn)證信息的認(rèn)證策略的一個(gè)或一個(gè)以上服務(wù)器的地址(S5060)。例如,在服務(wù)器300-1使用圖9的認(rèn)證策略表且認(rèn)證信息中含有用戶ID“XYZ001”、口令“WXYZ”的情況下,由于適合于用戶ID為“字母3字符+數(shù)字3字符”且口令為“字母4字符”的認(rèn)證策略,所以服務(wù)器300-1獲得三個(gè)地址“server300-1.com”、“server300-2.com”、“server300-3.com”。
接下來,服務(wù)器300-1通過對(duì)在S5060中獲得的地址所代表的服務(wù)器進(jìn)行詢問而判定在來自用戶的認(rèn)證信息中所包含的用戶ID是否被注冊(cè)到了例外ID表中。在判定為在認(rèn)證信息中所包含的用戶ID已被注冊(cè)到了例外ID表中的情況下,從“是”箭頭前進(jìn)到S5080,從而進(jìn)行例外處理。由于不能判定被注冊(cè)到了例外ID表中的用戶ID應(yīng)在哪一個(gè)認(rèn)證系統(tǒng)中進(jìn)行用戶認(rèn)證,所以在例外處理中,服務(wù)器300-1向用戶的客戶機(jī)返回“由于該用戶ID是例外ID,所以不能使用多認(rèn)證模式。請(qǐng)以通常認(rèn)證進(jìn)行用戶認(rèn)證?!钡南?,并結(jié)束處理。
在S5070中判定為來自用戶的認(rèn)證信息中所包含的用戶ID未被注冊(cè)到任何一個(gè)服務(wù)器的例外ID表中的情況下,從“否”箭頭前進(jìn)到S5090。在S5090,服務(wù)器300-1使用在S5060中獲得的地址,將認(rèn)證信息發(fā)送給認(rèn)證策略相符合的服務(wù)器,并使用接收到認(rèn)證信息的服務(wù)器的認(rèn)證機(jī)構(gòu)進(jìn)行用戶認(rèn)證。優(yōu)選地,服務(wù)器300-1根據(jù)認(rèn)證策略表中的優(yōu)先級(jí)的值確定從哪一個(gè)服務(wù)器進(jìn)行用戶認(rèn)證。例如,在服務(wù)器300-1使用圖9的認(rèn)證策略表且在S5070中服務(wù)器300-1獲得三個(gè)地址“server300-1.com”、“server300-2.com”、“server300-3.com”的情況下,最初由優(yōu)先級(jí)值最高的“server300-1.com”的認(rèn)證系統(tǒng)嘗試進(jìn)行用戶認(rèn)證。
處理前進(jìn)到S5100,在判定為用戶認(rèn)證成功的情況下,進(jìn)行用戶認(rèn)證的服務(wù)器獲得身份信息(S5110),使用所獲得的身份信息生成證書和cookie,并返回給用戶(S5120)。此外,證書和cookie的生成以及向用戶的返回也可以由從進(jìn)行用戶認(rèn)證的服務(wù)器接收到用戶認(rèn)證成功的通知的服務(wù)器300-1進(jìn)行。并且,允許用戶使用接收到的證書和cookie訪問互聯(lián)的計(jì)算環(huán)境1000,并且認(rèn)證處理結(jié)束。
此外,在本發(fā)明實(shí)施方式中,采用為了允許用戶對(duì)互聯(lián)的計(jì)算環(huán)境的訪問而使用證書和cookie的方式進(jìn)行了說明。但是,本領(lǐng)域技術(shù)人員明了,也可以使用URL編碼、SAML令牌這樣的其它公知的認(rèn)證技術(shù)來代替證書和cookie。
在S5100判定為用戶認(rèn)證失敗的情況下,判定是否還有在S5060中確定的、認(rèn)證策略適合于用戶的認(rèn)證信息的服務(wù)器(S6130)。在S5130中判定為還有在S5060中確定的、認(rèn)證策略適合于用戶的認(rèn)證信息的服務(wù)器的情況下,流程返回到S5090,通過對(duì)其它剩余的服務(wù)器進(jìn)行S5090以后的處理,而再次嘗試用戶認(rèn)證。在上述的服務(wù)器300-1使用圖9的認(rèn)證策略表并在S5070中服務(wù)器300-1獲得三個(gè)地址“server300-1.com”、“server300-2.com”、“server300-3.com”的情況下,由于由“server300-1.com”的認(rèn)證系統(tǒng)進(jìn)行的認(rèn)證已經(jīng)失敗,所以服務(wù)器300-1最初嘗試由優(yōu)先級(jí)的值次高的“server300-2.com”的認(rèn)證系統(tǒng)進(jìn)行用戶認(rèn)證,在其也失敗的情況下,嘗試由“server300-3.com”的認(rèn)證系統(tǒng)進(jìn)行用戶認(rèn)證。
在判定為沒有剩余的在S5130中確定的認(rèn)證策略適合于用戶的認(rèn)證信息的服務(wù)器、即在全部服務(wù)器中認(rèn)證均失敗的情況下,流程前進(jìn)到S5140,不允許認(rèn)證失敗的用戶對(duì)互聯(lián)的計(jì)算環(huán)境1000的訪問,且認(rèn)證處理結(jié)束。
圖11是為了實(shí)現(xiàn)本發(fā)明實(shí)施方式中使用的服務(wù)器300而例示優(yōu)選的計(jì)算機(jī)裝置的硬件結(jié)構(gòu)的圖。服務(wù)器300包括中央處理單元(CPU)1和主存儲(chǔ)器4。CPU1和主存儲(chǔ)器4通過總線2與作為輔助存儲(chǔ)裝置的硬盤裝置13連接。此外,軟盤裝置20、MO裝置28、CD-ROM裝置26、29等可移動(dòng)存儲(chǔ)設(shè)備(可以交換存儲(chǔ)介質(zhì)的外部存儲(chǔ)系統(tǒng))通過相關(guān)聯(lián)的軟盤控制器19、IDE控制器25、SCSI控制器27等連接到總線2。
在軟盤裝置20、MO裝置28、CD-ROM裝置26、29等可移動(dòng)存儲(chǔ)設(shè)備中分別插入軟盤、MO、CD-ROM等存儲(chǔ)介質(zhì),在該軟盤等、硬盤裝置13、ROM14等中可以存儲(chǔ)與操作系統(tǒng)協(xié)作而向CPU等提供命令、用于實(shí)現(xiàn)本發(fā)明的計(jì)算機(jī)程序的編碼。通過被加載到主存儲(chǔ)器4中,計(jì)算機(jī)程序得以執(zhí)行。計(jì)算機(jī)程序也可以壓縮或分割成多個(gè)而存儲(chǔ)到多個(gè)介質(zhì)中。
服務(wù)器300可以進(jìn)一步具有鼠標(biāo)等指示器7、鍵盤6、用于將可視數(shù)據(jù)提示給用戶的顯示器12等,作為用戶接口硬件。此外,可以通過并行端口16與打印機(jī)(未圖示)連接、通過串行端口15連接調(diào)制解調(diào)器(未圖示)等。服務(wù)器300可以通過串行端口15和調(diào)制解調(diào)器、或者通過通信適配器18(以太網(wǎng)(R)卡、令牌環(huán)卡)等連接到網(wǎng)絡(luò),從而與其它的計(jì)算機(jī)等進(jìn)行通信。
揚(yáng)聲器23經(jīng)由放大器22接收由音頻控制器21進(jìn)行了D/A轉(zhuǎn)換(數(shù)字/模擬轉(zhuǎn)換)后的聲音信號(hào),并作為聲音輸出。此外,音頻控制器21可以對(duì)從麥克風(fēng)24接收到的聲音信息進(jìn)行A/D轉(zhuǎn)換(模擬/數(shù)字轉(zhuǎn)換),從而將系統(tǒng)外部的聲音信息獲取到系統(tǒng)中。
通過上述說明,可以容易地理解本發(fā)明實(shí)施方式中的服務(wù)器300通過主機(jī)、工作站、通常的個(gè)人計(jì)算機(jī)(PC)等信息處理裝置或它們的組合來實(shí)現(xiàn)。但是,這些構(gòu)成要素僅是示例,這所有的構(gòu)成要素并非是本發(fā)明的必須構(gòu)成要素。
特別地,這里說明的硬件結(jié)構(gòu)中,由于即使沒有軟盤裝置20、MO裝置28、CD-ROM裝置26、29等可移動(dòng)存儲(chǔ)設(shè)備、并行端口16、打印機(jī)、串行端口15、調(diào)制解調(diào)器、通信適配器18、揚(yáng)聲器23、音頻控制器21、放大器22、麥克風(fēng)24等也可以實(shí)現(xiàn)本發(fā)明的實(shí)施方式,所以也可以不包含在本發(fā)明實(shí)施方式中的服務(wù)器300中。
本領(lǐng)域的技術(shù)人員可以容易地想到組合多臺(tái)機(jī)器、對(duì)其分配功能、從而實(shí)現(xiàn)本發(fā)明的實(shí)施方式中所使用的服務(wù)器300的各個(gè)硬件構(gòu)成要素等各種變化,這些變化當(dāng)然也是包括在本發(fā)明的思想中的概念。
服務(wù)器300可以采用微軟公司提供的Windows(R)操作系統(tǒng)、國際商業(yè)機(jī)器公司提供的AIX、蘋果計(jì)算機(jī)公司提供的MacOS或者支持Linux等GUI多窗口環(huán)境的操作系統(tǒng),作為操作系統(tǒng)。
服務(wù)器300也可以采用國際商業(yè)機(jī)器公司提供的PC-DOS、微軟公司提供的MS-DOS等基于字符的環(huán)境的操作系統(tǒng),作為操作系統(tǒng)。此外,服務(wù)器300可以采用國際商業(yè)機(jī)器公司提供的OS/Open、Wind River Systems公司的Vx Works等實(shí)時(shí)OS、Java(R)OS等組合到網(wǎng)絡(luò)計(jì)算機(jī)中的操作系統(tǒng)。
由上所述,可以理解,服務(wù)器300并不限于特定的操作系統(tǒng)環(huán)境。顯而易見,服務(wù)器300-1~300-N也可以在彼此不同的操作系統(tǒng)環(huán)境下操作。
以上,如果采用本實(shí)施方式,則用戶通過輸入對(duì)于互聯(lián)的計(jì)算環(huán)境1000中的任意一個(gè)服務(wù)器的認(rèn)證系統(tǒng)的任一認(rèn)證信息,來接受用戶認(rèn)證,而無需存儲(chǔ)服務(wù)器的認(rèn)證系統(tǒng)與認(rèn)證信息的對(duì)應(yīng)關(guān)系,且不會(huì)正確地意識(shí)到自己正在哪一個(gè)認(rèn)證系統(tǒng)中嘗試認(rèn)證。
此外,在本實(shí)施方式中,由于僅在采用適合于從用戶接收到的認(rèn)證信息的認(rèn)證策略的服務(wù)器的認(rèn)證系統(tǒng)中進(jìn)行用戶認(rèn)證,所以可以實(shí)現(xiàn)高速的用戶認(rèn)證。
以上,如果采用本發(fā)明,則可以容易地理解,在互聯(lián)的計(jì)算環(huán)境中,可以實(shí)現(xiàn)便利性更高的用戶認(rèn)證。
以上,雖然使用本發(fā)明的實(shí)施方式進(jìn)行了說明,但是本發(fā)明的技術(shù)范圍并不局限于上述實(shí)施方式中記載的范圍。本領(lǐng)域的技術(shù)人員明了,在上述實(shí)施方式中可以增加各種變化或改進(jìn)。因此,增加了這樣的變化或改進(jìn)的方式當(dāng)然也包含在本發(fā)明的技術(shù)范圍內(nèi)。
權(quán)利要求
1.一種系統(tǒng),是用于進(jìn)行對(duì)含有相互確立了信賴關(guān)系的多個(gè)服務(wù)器的計(jì)算環(huán)境的用戶認(rèn)證的系統(tǒng),包括認(rèn)證策略表,其注冊(cè)有上述多個(gè)服務(wù)器中的至少一個(gè)服務(wù)器的認(rèn)證策略;從用戶接收認(rèn)證信息的單元;使用上述認(rèn)證策略表從上述多個(gè)服務(wù)器中確定至少一個(gè)采用與上述認(rèn)證信息相適合的認(rèn)證策略的服務(wù)器的單元;將指示使用上述認(rèn)證信息進(jìn)行用戶認(rèn)證的信號(hào)發(fā)送到由確定上述服務(wù)器的單元所確定的服務(wù)器的認(rèn)證機(jī)構(gòu)的單元;以及以上述用戶認(rèn)證成功為條件、允許上述用戶對(duì)上述計(jì)算環(huán)境的訪問的單元。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),進(jìn)一步包括獲得上述多個(gè)服務(wù)器中的至少一個(gè)服務(wù)器的認(rèn)證策略的信息的單元;以及將所獲得的上述多個(gè)服務(wù)器中的至少一個(gè)服務(wù)器的認(rèn)證策略與采用各認(rèn)證策略的服務(wù)器的標(biāo)識(shí)符相關(guān)聯(lián)地注冊(cè)到上述認(rèn)證策略表的單元。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),進(jìn)一步包括使用上述認(rèn)證策略表確定采用相同的認(rèn)證策略的兩個(gè)或兩個(gè)以上的服務(wù)器的單元;判定在由確定上述服務(wù)器的單元確定為采用相同的認(rèn)證策略的兩個(gè)或兩個(gè)以上的服務(wù)器的認(rèn)證系統(tǒng)之間是否注冊(cè)有相同的用戶ID的單元;以判定為注冊(cè)有相同的用戶ID為條件、接收判定該用戶ID是否屬于同一用戶的情況的信息的單元;以及以判定為上述用戶ID不屬于同一用戶為條件、將該用戶ID注冊(cè)到例外處理表的單元。
4.根據(jù)權(quán)利要求1所述的系統(tǒng),進(jìn)一步包括接收新用戶的認(rèn)證信息的單元;使用上述認(rèn)證策略表確定采用與上述新用戶的認(rèn)證信息相同的認(rèn)證策略的服務(wù)器的單元;判定在上述所確定的服務(wù)器的認(rèn)證系統(tǒng)中是否注冊(cè)有與上述新用戶的認(rèn)證信息相同的用戶ID的單元;以注冊(cè)有相同的用戶ID為條件、接收判定該用戶ID是否屬于同一用戶的情況的信息的單元;以及以上述用戶ID不屬于同一用戶為條件、將該用戶ID注冊(cè)到例外處理表的單元。
5.根據(jù)權(quán)利要求1所述的系統(tǒng),其中上述認(rèn)證策略是基于字符列的用戶ID的認(rèn)證、基于客戶端證書的認(rèn)證、生物體認(rèn)證、筆跡認(rèn)證中的至少一種。
6.根據(jù)權(quán)利要求1所述的系統(tǒng),其中允許上述訪問的單元包括生成用于進(jìn)行對(duì)上述計(jì)算環(huán)境的訪問的令牌的單元。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其中上述令牌是cookie、由URL編碼表示的認(rèn)證信息、SAML令牌中的任意一種。
8.根據(jù)權(quán)利要求1所述的系統(tǒng),包括對(duì)于多個(gè)計(jì)算環(huán)境的多個(gè)認(rèn)證策略表;其中,對(duì)應(yīng)于從用戶接收的認(rèn)證信息適合于在上述多個(gè)認(rèn)證策略表中注冊(cè)的服務(wù)器的情況,分別針對(duì)上述多個(gè)計(jì)算環(huán)境進(jìn)行用戶認(rèn)證。
9.一種方法,是含有相互確立了信賴關(guān)系的多個(gè)服務(wù)器的計(jì)算環(huán)境中的方法,其保存至少一個(gè)注冊(cè)有上述多個(gè)服務(wù)器中的至少一個(gè)服務(wù)器的認(rèn)證策略的認(rèn)證策略表,該方法包括從用戶接收認(rèn)證信息的步驟;使用上述認(rèn)證策略表從上述多個(gè)服務(wù)器中確定至少一個(gè)采用與上述認(rèn)證信息相適合的認(rèn)證策略的服務(wù)器的步驟;將指示使用上述認(rèn)證信息進(jìn)行用戶認(rèn)證的信號(hào)發(fā)送到在確定上述服務(wù)器的步驟中確定的服務(wù)器的認(rèn)證機(jī)構(gòu)的步驟;以及以上述用戶認(rèn)證成功為條件、允許對(duì)上述計(jì)算環(huán)境的訪問的步驟。
10.根據(jù)權(quán)利要求9所述的方法,包括獲得上述多個(gè)服務(wù)器中的至少一個(gè)服務(wù)器的認(rèn)證策略的信息的步驟;以及將所獲得的上述多個(gè)服務(wù)器中的至少一個(gè)服務(wù)器的認(rèn)證策略與采用各認(rèn)證策略的服務(wù)器的標(biāo)識(shí)符相關(guān)聯(lián)地注冊(cè)到上述認(rèn)證策略表的步驟。
11.根據(jù)權(quán)利要求9所述的方法,包括使用上述認(rèn)證策略表確定采用相同的認(rèn)證策略的兩個(gè)或兩個(gè)以上的服務(wù)器的步驟;判定在確定上述服務(wù)器的步驟中被確定為采用相同的認(rèn)證策略的兩個(gè)或兩個(gè)以上的服務(wù)器的認(rèn)證系統(tǒng)之間是否注冊(cè)有相同的用戶ID的步驟;以注冊(cè)有相同的用戶ID為條件、接收判定該用戶ID是否屬于同一用戶的情況的信息的步驟;以及以上述用戶ID不屬于同一用戶為條件、將該用戶ID注冊(cè)到例外處理表的步驟。
12.根據(jù)權(quán)利要求9所述的方法,包括接收新用戶的認(rèn)證信息的步驟;使用上述認(rèn)證策略表確定采用與上述新用戶的認(rèn)證信息相同的認(rèn)證策略的服務(wù)器的步驟;判定在上述所確定的服務(wù)器的認(rèn)證系統(tǒng)中是否注冊(cè)有與上述新用戶的認(rèn)證信息相同的用戶ID的步驟;以注冊(cè)有相同的用戶ID為條件、接收判定該用戶ID是否屬于同一用戶的情況的信息的步驟;以及以上述用戶ID不屬于同一用戶為條件、將該用戶ID注冊(cè)到例外處理表的步驟。
13.根據(jù)權(quán)利要求9所述的方法,其中上述認(rèn)證策略是基于字符列的用戶ID的認(rèn)證、基于客戶端證書的認(rèn)證、生物體認(rèn)證、筆跡認(rèn)證中的至少一種。
14.根據(jù)權(quán)利要求9所述的方法,其中允許上述訪問的步驟包括生成用于進(jìn)行對(duì)上述計(jì)算環(huán)境的訪問的令牌的步驟。
15.根據(jù)權(quán)利要求14所述的方法,其中上述令牌是cookie、由URL編碼表示的認(rèn)證信息、SAML令牌中的任意一種。
16.根據(jù)權(quán)利要求9所述的方法,包括(A)對(duì)采用上述認(rèn)證策略表注冊(cè)的相同的認(rèn)證策略的兩個(gè)或兩個(gè)以上的服務(wù)器的每一個(gè)賦予優(yōu)先級(jí)的步驟;(B)對(duì)應(yīng)于上述用戶的認(rèn)證信息適合于上述兩個(gè)或兩個(gè)以上的服務(wù)器所采用的認(rèn)證策略的情況,指示上述兩個(gè)或兩個(gè)以上的服務(wù)器中的上述優(yōu)先級(jí)最高的服務(wù)器的認(rèn)證機(jī)構(gòu)使用上述認(rèn)證信息進(jìn)行用戶認(rèn)證的步驟;(C)對(duì)應(yīng)于上述用戶認(rèn)證失敗的情況,指示上述兩個(gè)或兩個(gè)以上的服務(wù)器中優(yōu)先級(jí)次高的服務(wù)器的認(rèn)證機(jī)構(gòu)進(jìn)行用戶認(rèn)證的步驟;(D)重復(fù)上述步驟(C),直到上述兩個(gè)或兩個(gè)以上的服務(wù)器中的任意一個(gè)服務(wù)器中的用戶認(rèn)證成功或所有上述兩個(gè)或兩個(gè)以上的服務(wù)器中的用戶認(rèn)證均失敗為止;以及(E)以上述用戶認(rèn)證成功為條件,允許上述用戶對(duì)上述計(jì)算環(huán)境的訪問的步驟。
17.一種程序,是含有相互確立了信賴關(guān)系的多個(gè)服務(wù)器的計(jì)算環(huán)境中的程序,其保存至少一個(gè)注冊(cè)有上述多個(gè)服務(wù)器的至少一個(gè)服務(wù)器的認(rèn)證策略的認(rèn)證策略表,上述認(rèn)證程序使計(jì)算機(jī)執(zhí)行從用戶接收認(rèn)證信息的步驟;使用上述認(rèn)證策略表從上述多個(gè)服務(wù)器中確定至少一個(gè)采用與上述認(rèn)證信息相適合的認(rèn)證策略的服務(wù)器的步驟;將指示使用上述認(rèn)證信息進(jìn)行用戶認(rèn)證的信號(hào)發(fā)送到在確定上述服務(wù)器的步驟中確定的服務(wù)器的認(rèn)證機(jī)構(gòu)的步驟;以及以上述用戶認(rèn)證成功為條件、允許對(duì)上述計(jì)算環(huán)境的訪問的步驟。
18.根據(jù)權(quán)利要求17所述的程序,進(jìn)一步使計(jì)算機(jī)執(zhí)行獲得上述多個(gè)服務(wù)器中的一個(gè)服務(wù)器的認(rèn)證策略的信息的步驟;以及將所獲得的上述多個(gè)服務(wù)器中的一個(gè)服務(wù)器的認(rèn)證策略與采用各認(rèn)證策略的服務(wù)器的標(biāo)識(shí)符相關(guān)聯(lián)地注冊(cè)到上述認(rèn)證策略表的步驟。
19.根據(jù)權(quán)利要求17所述的程序,進(jìn)一步使計(jì)算機(jī)執(zhí)行使用上述認(rèn)證策略表確定采用相同的認(rèn)證策略的兩個(gè)或兩個(gè)以上的服務(wù)器的步驟;判定在確定上述服務(wù)器的步驟中被確定為采用相同的認(rèn)證策略的兩個(gè)或兩個(gè)以上的服務(wù)器的認(rèn)證系統(tǒng)之間是否注冊(cè)有相同的用戶ID的步驟;以注冊(cè)有相同的用戶ID為條件、接收判定該用戶ID是否屬于同一用戶的情況的信息的步驟;以及以上述用戶ID不屬于同一用戶為條件、將該用戶ID注冊(cè)到例外處理表的步驟。
20.根據(jù)權(quán)利要求17所述的程序,進(jìn)一步使計(jì)算機(jī)執(zhí)行接收新用戶的認(rèn)證信息的步驟;使用上述認(rèn)證策略表確定采用與上述新用戶的認(rèn)證信息相同的認(rèn)證策略的服務(wù)器的步驟;判定在上述所確定的服務(wù)器的認(rèn)證系統(tǒng)中是否注冊(cè)有與上述新用戶的認(rèn)證信息相同的用戶ID的步驟;以注冊(cè)有相同的用戶ID為條件、接收判定該用戶ID是否屬于同一用戶的情況的信息的步驟;以及以上述用戶ID不屬于同一用戶為條件、將該用戶ID注冊(cè)到例外處理表的步驟。
21.根據(jù)權(quán)利要求17所述的程序,其中上述認(rèn)證策略是基于字符列的用戶ID的認(rèn)證、基于客戶端證書的認(rèn)證、生物體認(rèn)證、筆跡認(rèn)證中的至少一種。
22.根據(jù)權(quán)利要求17所述的程序,其中允許上述訪問的步驟包括生成用于進(jìn)行對(duì)上述計(jì)算環(huán)境的訪問的令牌的步驟。
23.根據(jù)權(quán)利要求22所述的程序,其中上述令牌是cookie、由URL編碼表示的認(rèn)證信息、SAML令牌中的任意一種。
24.一種計(jì)算機(jī)可讀的存儲(chǔ)介質(zhì),記錄有權(quán)利要求17至23中的任意一項(xiàng)的程序。
全文摘要
本發(fā)明實(shí)現(xiàn)便利性更高的用戶認(rèn)證。本發(fā)明提供一種系統(tǒng),是用于進(jìn)行對(duì)含有相互確立了信賴關(guān)系的多個(gè)服務(wù)器的計(jì)算環(huán)境的用戶認(rèn)證的系統(tǒng),包括認(rèn)證策略表,其注冊(cè)有多個(gè)服務(wù)器中的至少一個(gè)服務(wù)器的認(rèn)證策略;從用戶接收認(rèn)證信息的單元;使用認(rèn)證策略表從多個(gè)服務(wù)器中確定至少一個(gè)采用與認(rèn)證信息相適合的認(rèn)證策略的服務(wù)器的單元;將指示使用認(rèn)證信息進(jìn)行用戶認(rèn)證的信號(hào)發(fā)送到由確定服務(wù)器的單元所確定的服務(wù)器的認(rèn)證機(jī)構(gòu)的單元;以及以用戶認(rèn)證成功為條件、允許用戶對(duì)計(jì)算環(huán)境的訪問的單元。
文檔編號(hào)H04L9/00GK1965304SQ20058001000
公開日2007年5月16日 申請(qǐng)日期2005年2月14日 優(yōu)先權(quán)日2004年3月30日
發(fā)明者竹日正弘 申請(qǐng)人:國際商業(yè)機(jī)器公司