專利名稱:因特網(wǎng)協(xié)議兼容的訪問鑒權(quán)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及計算機信息系統(tǒng)。更加具體而言��,本發(fā)明涉及因特網(wǎng)協(xié)議兼容的訪問鑒權(quán)系統(tǒng)���。
背景技術(shù):
計算機安全是指這樣的技術(shù)���,即用于保護存儲在計算機系統(tǒng)中的數(shù)據(jù)沒有恰當(dāng)許可不能被讀取或損害。多數(shù)計算機安全系統(tǒng)使用鑒權(quán)和/或授權(quán)控制訪問�。
鑒權(quán)是一種通過計算機、計算機程序或個人控制對安全計算機系統(tǒng)訪問的過程���。鑒權(quán)通常通過識別它們是誰(例如�����,生物測定學(xué)�����,如指紋圖譜或視網(wǎng)膜掃描)���、它們有什么(例如���,識別卡或射頻識別標(biāo)記)、或者它們知道什么(例如��,證書(credentials)��,如用戶名和/或口令)來識別個人以便控制對多用戶安全計算機系統(tǒng)的訪問���。用于在因特網(wǎng)上進行鑒權(quán)的一種技術(shù)是稱為超文本傳輸協(xié)議(HTTP)基本鑒權(quán)的過程�����,它包括用戶名和用戶口令����。
比較起來�,授權(quán)是控制個人訪問安全計算機系統(tǒng)中的系統(tǒng)對象的權(quán)利的過程。通常��,安全計算機系統(tǒng)首先鑒權(quán),然后再授權(quán)個人�����。
一些基于因特網(wǎng)的安全計算機系統(tǒng)使用基本鑒權(quán)����,每次個人訪問相同或不同計算機資源時�����,所述系統(tǒng)需要個人人工地重新鑒權(quán)����。然而,人工重新鑒權(quán)打斷了個人的工作流程�,這是耗時的,并且不同的計算機資源可能需要不同的證書�,這可能很混亂或者難以記憶。
其他基于因特網(wǎng)的安全計算機系統(tǒng)使用基本鑒權(quán)和記錄/重放機制以自動地輸入用于個人的證書以提供自動的重新鑒權(quán)�。記錄/重放機制的使用需要捕獲由個人輸入的證書,并且將證書傳送給個人計算機以允許證書被自動地輸入(即��,編寫(script))��。然而,記錄/重放機制易受到安全性問題以及易受到在個人計算機上的可用性���。
其他基于因特網(wǎng)的安全計算機系統(tǒng)用專有的安全機制替代基本鑒權(quán)����,所述專有的安全機制具有用于通過用戶上下文的特定鉤子(hook)�����。然而��,專有的安全機制與工業(yè)標(biāo)準或非專有的計算機資源不兼容��,并且需要相當(dāng)大的研發(fā)成本和努力�����。
其他基于因特網(wǎng)的安全計算機系統(tǒng)用工業(yè)標(biāo)準證書替代基本鑒權(quán)���。然而�,證書強加了相當(dāng)多的證書管理問題和費用����,因為需要為每個客戶計算機獲得和管理證書�。
因此需要克服現(xiàn)有系統(tǒng)的這些和其它缺點的一種因特網(wǎng)協(xié)議兼容的訪問鑒權(quán)系統(tǒng)�����。
發(fā)明概述用于鑒權(quán)用戶訪問信息的因特網(wǎng)兼容系統(tǒng)包括儲存庫和鑒權(quán)處理器��。儲存庫使初始用戶標(biāo)識符與特定的可執(zhí)行應(yīng)用以及證書信息相關(guān)聯(lián)���。所述證書信息包括第一用戶標(biāo)識符和相應(yīng)的第一口令���,其使用戶能夠訪問特定的可執(zhí)行應(yīng)用����。鑒權(quán)處理器接收表示初始用戶標(biāo)識符的數(shù)據(jù)。鑒權(quán)處理器響應(yīng)于用戶給瀏覽器應(yīng)用的用于訪問特定的可執(zhí)行應(yīng)用的命令����,檢測瀏覽器應(yīng)用發(fā)起的對證書信息的請求。鑒權(quán)處理器確認使用所接收的初始用戶標(biāo)識符從儲存庫得到的證書信息是否響應(yīng)于所檢測的瀏覽器應(yīng)用發(fā)起的請求來授權(quán)用戶訪問特定的可執(zhí)行應(yīng)用�����。鑒權(quán)處理器提供從儲存庫得到的有效的授權(quán)證書信息給瀏覽器應(yīng)用�����,以便響應(yīng)于成功的確認使用戶能夠訪問特定的可執(zhí)行應(yīng)用。
附圖簡述
圖1根據(jù)本發(fā)明的原理說明了一個鑒權(quán)系統(tǒng)�����。
圖2根據(jù)本發(fā)明的原理說明了用于如圖1中所示的系統(tǒng)的一個客戶和一個服務(wù)器�����。
圖3根據(jù)本發(fā)明的原理說明了用于如圖1中所示的系統(tǒng)的鑒權(quán)方法���。
圖4根據(jù)本發(fā)明的原理說明了如圖1中所示的系統(tǒng)的第一次用戶操作的時序圖�。
圖5根據(jù)本發(fā)明的原理說明了如圖1中所示的系統(tǒng)的正常操作的時序圖����。
圖6根據(jù)本發(fā)明的原理說明了如圖1中所示的系統(tǒng)的過期口令操作的時序圖。
圖7根據(jù)本發(fā)明的原理說明了用于如圖1中所示的系統(tǒng)的鑒權(quán)窗口��。
優(yōu)選實施例詳述圖1說明了鑒權(quán)系統(tǒng)100(“系統(tǒng)”)�。所述系統(tǒng)100包括客戶101、第一服務(wù)器102����、第二服務(wù)器103和總會話管理器104(“管理器”)����,它們通過網(wǎng)絡(luò)105彼此互連�����。第一服務(wù)器102包括第一可執(zhí)行應(yīng)用106(“第一應(yīng)用”)���。第二服務(wù)器103包括第二可執(zhí)行應(yīng)用107(“第二應(yīng)用”)����。所述系統(tǒng)100可以包括任意數(shù)目的客戶����、服務(wù)器和管理器��,并且每個服務(wù)器可以包括任意數(shù)目的可執(zhí)行應(yīng)用���?�?梢允覂?nèi)或遠程使用所述應(yīng)用����。
系統(tǒng)100可以被任何類型的企業(yè)、組織使用�,或某部門可以使用系統(tǒng)100,例如衛(wèi)生保健產(chǎn)品提供商和/或負責(zé)服務(wù)所照顧的人們的健康和/或福利的服務(wù)提供商�����。例如�,系統(tǒng)100表示醫(yī)院信息系統(tǒng)。衛(wèi)生保健提供商可以提供面向病人的精神�����、情感或身體健康的服務(wù)�����。衛(wèi)生保健提供商的例子包括醫(yī)院����、療養(yǎng)院、輔助生活照顧機構(gòu)�����、家庭衛(wèi)生保健機構(gòu)、收容所機構(gòu)�����、急診機構(gòu)����、衛(wèi)生保健門診、物理治療門診��、脊椎指壓治療門診�����、醫(yī)藥供應(yīng)商�����、藥房和齒科醫(yī)院����。當(dāng)服務(wù)所照顧的人時���,衛(wèi)生保健提供商診斷狀況或疾病�,并且推薦一種治療過程來治愈所述狀況(如果這種治療存在的話)����,或者提供預(yù)防性的衛(wèi)生保健服務(wù)�。衛(wèi)生保健提供商所服務(wù)人群的例子包括病人��、居民����、客戶和個人。
系統(tǒng)100中的每個元件可以是固定的和/或移動的(即��,便攜式)并且可以各種形式實現(xiàn)���,所述形式包括但不限于下面的一個或多個個人計算機(PC)�����、桌上型計算機�、膝上型計算機、工作站�����、小型計算機���、主機�、超型計算機�、基于網(wǎng)絡(luò)的設(shè)備、個人數(shù)字助理(PDA)�、智能卡、蜂窩電話��、尋呼機和手表�����?����?梢砸约惺脚渲没蚍稚⑹脚渲脤崿F(xiàn)系統(tǒng)100�����。
在系統(tǒng)100中�����,可以以硬件����、軟件或二者組合實現(xiàn)一個或多個元件,并且所述一個或多個元件可以包括一個或多個處理器���。處理器是用于執(zhí)行任務(wù)的設(shè)備和/或機器可讀指令集����。處理器包括硬件����、固件和/或軟件的任意組合。處理器通過計算�����、操作�����、分析����、修改、轉(zhuǎn)換���、或發(fā)送可執(zhí)行程序或信息設(shè)備所使用的信息�,和/或通過將所述信息路由到輸出設(shè)備來作用于所存儲的和/或所接收的信息。例如��,處理器可以使用或包括控制器或微處理器的能力��。
網(wǎng)絡(luò)105(另外也稱為通信路徑或鏈路)可以使用任何類型的協(xié)議或數(shù)據(jù)格式����,其包括但不限于以下因特網(wǎng)協(xié)議(IP)、傳輸控制協(xié)議因特網(wǎng)協(xié)議(TCPIP)�����、超文本傳輸協(xié)議(HTTP)���、RS232協(xié)議����、以太網(wǎng)協(xié)議�、醫(yī)用接口總線(MIB)兼容協(xié)議、局域網(wǎng)(LAN)協(xié)議�、廣域網(wǎng)(WAN)協(xié)議、校園區(qū)域網(wǎng)絡(luò)(CAN)協(xié)議�����、大城市區(qū)域網(wǎng)絡(luò)(MAN)協(xié)議、家庭區(qū)域網(wǎng)絡(luò)(HAN)協(xié)議���、電氣和電子工程師協(xié)會(IEEE)總線兼容協(xié)議、數(shù)字和成像通信(DICOM)協(xié)議和健康信息交換第七層(HL7)協(xié)議����。
系統(tǒng)100使用客戶/服務(wù)器結(jié)構(gòu)?��?蛻?服務(wù)器結(jié)構(gòu)是分布式計算結(jié)構(gòu)�,其涉及從服務(wù)器過程和/或設(shè)備請求服務(wù)的客戶過程和/或設(shè)備����。客戶101是網(wǎng)絡(luò)105上的計算機或設(shè)備����,例如個人計算機或工作站,在其上用戶運行應(yīng)用���。服務(wù)器102或103是網(wǎng)絡(luò)105上管理網(wǎng)絡(luò)資源的計算機或設(shè)備�����,例如磁盤驅(qū)動器���、打印機�、網(wǎng)絡(luò)業(yè)務(wù)�����、數(shù)據(jù)庫和處理能力�。服務(wù)器可以專用于執(zhí)行單個任務(wù)或同時執(zhí)行若干任務(wù)。
總會話管理器104協(xié)調(diào)第一服務(wù)器102和第二服務(wù)器103的會話����。管理器104可以表示為單獨元件,如圖1所示出的����,或者可以被結(jié)合到一個或多個服務(wù)器102和103中。會話是用戶與一個或多個應(yīng)用程序接口的時間周期���。當(dāng)用戶訪問應(yīng)用程序時��,會話開始���,并且當(dāng)用戶停止應(yīng)用程序時�����,會話結(jié)束����。會話是在特定時間周期用戶在網(wǎng)站上消耗的活動����。在站點上用戶會話的數(shù)量被用于測量網(wǎng)站所獲得的業(yè)務(wù)量���。站點管理員確定沒有用戶活動的用戶會話持續(xù)時間將為多少(例如�,30分鐘)�����。如果在所述時間內(nèi)訪問者在該站上活動�,則仍認為一個用戶會話,因為在30分鐘內(nèi)任意數(shù)目的訪問僅僅視為一次會話����。如果在規(guī)定的時間到期(例如從開始訪問算起一個小時)之后由于沒有用戶活動訪問者返回所述站點����,則視為一個單獨的用戶會話���。
系統(tǒng)100支持稱為單一登錄的過程(也拼寫為single signon或single sign-on并且縮寫為SSO)����。單一登錄是在客戶/服務(wù)器結(jié)構(gòu)中的鑒權(quán)過程�,其中用戶經(jīng)由客戶101執(zhí)行諸如用戶標(biāo)識符219和口令220之類的證書信息216(見圖2)的一次性輸入以訪問一個以上的應(yīng)用,或者獲得訪問系統(tǒng)100內(nèi)的多個資源�����。當(dāng)從一個應(yīng)用切換到另一應(yīng)用時�,單一登錄取消需要用戶輸入相同或額外的證書信息,并且允許任務(wù)順序工作流繼續(xù)而沒有中斷�����。需要登錄的不同應(yīng)用可以在相同服務(wù)器或不同服務(wù)器上實現(xiàn)���。例如����,用戶經(jīng)由客戶101單次輸入證書信息以訪問第一服務(wù)器102上的第一應(yīng)用106并且訪問第二服務(wù)器103上的第二應(yīng)用107。
單一登錄過程提供了至少以下優(yōu)點1.允許資源被HTTP基本鑒權(quán)保護���。
2.允許資源利用使用HTTP基本鑒權(quán)而工作的基礎(chǔ)結(jié)構(gòu)��。
3.使除了因特網(wǎng)瀏覽器之外的所需要的組件經(jīng)請求經(jīng)由HTTP請求能夠下載到客戶101�����。
4.不需要單獨軟件捕獲證書信息��。
5.保護證書的管理和傳送�。
6.不需要昂貴的證書管理過程/解決方案��。
7.不需要HTTP服務(wù)器側(cè)的曲奇(cookies)���。
圖2說明了用于圖1中所示出的系統(tǒng)100的客戶101和第二服務(wù)器103?��?蛻?01經(jīng)由網(wǎng)絡(luò)105與第二服務(wù)器103通信��。
客戶101包括用戶界面201�、處理器202和存儲器203。用戶界面201包括數(shù)據(jù)輸入設(shè)備204���、顯示處理器205和數(shù)據(jù)輸出設(shè)備206����。存儲器203包括瀏覽器應(yīng)用2209(“瀏覽器”)�,其中瀏覽器應(yīng)用209包括一個applet應(yīng)用210(“applet”)。處理器202與用戶界面201和存儲器203中的每一個通信����。
服務(wù)器103包括處理器211和儲存庫212。處理器211包括通信處理器213��、鑒權(quán)處理器214和上下文處理器215��。儲存庫212包括證書信息216����、第二應(yīng)用107、初始用戶標(biāo)識符217�����、文件218和服務(wù)器頁224�����。證書信息216包括用戶標(biāo)識符219、口令220���、生物測定信息221和安全對象信息222��。服務(wù)器102包含與服務(wù)器103相同的元件����。
在客戶101中����,通過將用戶界面數(shù)據(jù)207輸入到客戶101和/或經(jīng)由網(wǎng)絡(luò)105從服務(wù)器103接收用戶界面數(shù)據(jù),用戶界面201允許用戶與客戶101交互���。用戶界面201產(chǎn)生例如如圖7中所示出的一個或多個顯示圖像208��。
響應(yīng)于接收人工地來自用戶的輸入信息或接收自動地來自電子設(shè)備的輸入信息,數(shù)據(jù)輸入設(shè)備204提供輸入數(shù)據(jù)207給顯示處理器205����。例如,數(shù)據(jù)輸入設(shè)備204是鍵盤和鼠標(biāo)�,而且也可以是觸摸屏,或者例如具有聲音識別應(yīng)用的話筒。
響應(yīng)于接收輸入數(shù)據(jù)207或者來自服務(wù)器103的其他數(shù)據(jù)��,例如用戶界面數(shù)據(jù)�,顯示處理器205產(chǎn)生表示一個或多個用于顯示的圖像208的顯示數(shù)據(jù)。顯示處理器205是包括電子電路或軟件或二者組合的已知元件�,用于產(chǎn)生顯示圖像208或其部分。用于顯示的圖像208可以包括存儲在存儲器203中的任何信息和/或在此描述的任何信息���。用戶的動作�����,例如顯示按鈕的激活可導(dǎo)致顯示圖像208�。
數(shù)據(jù)輸出設(shè)備206表示再現(xiàn)由用戶訪問的數(shù)據(jù)的任何類型元件�����。例如���,響應(yīng)于接收顯示信號���,數(shù)據(jù)輸出設(shè)備206是產(chǎn)生如圖7中所示出的顯示圖像的顯示器,但也可以例如是揚聲器或打印機�����。
用戶界面201提供例如如圖7中所示出的圖形用戶界面(GUI)。
在存儲器203中�����,瀏覽器應(yīng)用209(即“網(wǎng)絡(luò)瀏覽器”)是用于定位和顯示網(wǎng)頁的軟件應(yīng)用(即功能或程序)���。瀏覽器的例子包括NetscapeNavigator和MicrosoftInternet Explorer���。這兩個瀏覽器都是圖形瀏覽器,這意味著它們能夠顯示圖形以及文本���。瀏覽器可以顯示包括聲音和視頻的多媒體信息����,盡管它對于一些格式來說需要插件�����。
在瀏覽器應(yīng)用209中�����,applet應(yīng)用210是從另一應(yīng)用(例如瀏覽器209)內(nèi)執(zhí)行的可執(zhí)行應(yīng)用(即�,功能或程序)。Applet在瀏覽器209中設(shè)置證書信息216����。通常,applet不能直接從客戶101的操作系統(tǒng)執(zhí)行并且適合于從瀏覽器209訪問的小因特網(wǎng)應(yīng)用�。Applet文件尺寸小、交叉平臺兼容并且具有高的安全性(即�,它們不能被用于訪問用戶的硬驅(qū)動器)。通常��,applet 210是可以被嵌入超文本鏈接標(biāo)示語言(HTML)網(wǎng)頁中的小Java程序�����,當(dāng)瀏覽器209訪問網(wǎng)頁時�����,其被下載到瀏覽器209���。Applet與full-fledged Java應(yīng)用的區(qū)別在于它們不被允許訪問本地計算機上的某些資源�,例如文件和串行設(shè)備(調(diào)制解調(diào)器�、打印機等等)����,并且禁止在因特網(wǎng)上與多數(shù)其他計算機通信�����。通用規(guī)則是applet僅僅使因特網(wǎng)連接到發(fā)送applet的計算機�。可裝備有Java虛擬機的瀏覽器209可以解釋來自于網(wǎng)站服務(wù)器的applet���。
作為對applet 210的一種替換物�,服務(wù)器103可以下載ActiveX控件到瀏覽器209�����。ActiveX是微軟公司研發(fā)的松散地定義的一組技術(shù)�����,用于在不同的應(yīng)用之間共享信息��。ActiveX是稱為對象鏈接和嵌入(OLE)和組件對象模型(COM)的兩個其他微軟技術(shù)的產(chǎn)物����。ActiveX適用于基于COM的技術(shù)的整個集合�����。ActiveX控件表示執(zhí)行ActiveX技術(shù)的特定方法。
由瀏覽器209自動地下載和執(zhí)行ActiveX控件����。ActiveX不是編程語言,而是應(yīng)用如何共享信息的一組規(guī)則���。程序員可以以包括C��,C++�,Visual Basic和Java的各種語言研發(fā)ActiveX控件���。
ActiveX控件類似Java applet���。然而,不像Java applet�����,ActiveX控件可完全訪問Windows操作系統(tǒng)�。這給ActiveX控件比Javaapplet更多的權(quán)力���,但是這種權(quán)力帶來了某種危險,即ActiveX控件可能損壞客戶101上的軟件或數(shù)據(jù)���。為了控制這種危險���,微軟研發(fā)了一種注冊系統(tǒng)以便在下載ActiveX控件之前瀏覽器209能夠識別和鑒權(quán)ActiveX控件。Java applet與ActiveX控件的另一區(qū)別是Javaapplet可以被寫入以在多平臺上運行�,然而ActiveX控件目前限于Windows環(huán)境。
作為對applet 210和ActiveX控件的一種替換物���,服務(wù)器103可以使用腳本語言(例如���,Visual Basic Script(VBScript)或JavaScript),所述腳本語言允許網(wǎng)絡(luò)設(shè)計者在HTML文件中插入交互式元素�。因此,服務(wù)器103可以下載各種形式(例如��,applet�����、ActiveX控件和腳本)的允許功能到客戶101以實現(xiàn)本發(fā)明的優(yōu)點。
在服務(wù)器103中�,處理器211與客戶101交換數(shù)據(jù),并且與存儲器儲存庫212交換存儲數(shù)據(jù)223�。響應(yīng)于處理對象,處理器211執(zhí)行任務(wù)����。一個對象包括一組數(shù)據(jù)和/或可執(zhí)行指令����、可執(zhí)行程序或第二可執(zhí)行應(yīng)用107。
通信處理器213表示一種通過發(fā)送和/或接收信號(例如�,數(shù)據(jù))經(jīng)由網(wǎng)絡(luò)105與多個不同設(shè)備建立通信鏈路(另外也稱為通信路徑、鏈路��、信道或連接)的通信界面��。通信處理器213使用存儲在儲存庫212中的通信協(xié)議數(shù)據(jù)經(jīng)由有線或無線網(wǎng)絡(luò)105建立通信�。
在圖3中,鑒權(quán)處理器214執(zhí)行方法300���。鑒權(quán)處理器214可以由一個處理器或多于一個的處理器表示�,例如執(zhí)行步驟302和303的第一鑒權(quán)處理器和執(zhí)行步驟304-307的第二鑒權(quán)處理器����。
上下文處理器215安全地從鑒權(quán)處理器214所接收的數(shù)據(jù)中得到初始用戶標(biāo)識符217�����。通過使用用于標(biāo)識用戶操作的特定會話和計算機資源用途的被安全產(chǎn)生的會話標(biāo)識符����,上下文處理器215安全地得到初始用戶標(biāo)識符217�。
儲存庫212表示數(shù)據(jù)存儲元件并且包括存儲設(shè)備、數(shù)據(jù)庫����、存儲器設(shè)備、高速緩沖存儲器等等�����。儲存庫使初始用戶標(biāo)識符217與第二可執(zhí)行應(yīng)用107相關(guān)聯(lián)以及與證書信息216相關(guān)聯(lián)�����,如參考圖3的步驟303所描述的��。儲存庫也可以使另一初始用戶標(biāo)識符與第二服務(wù)器103中的另一可執(zhí)行應(yīng)用相關(guān)聯(lián)以及與其他證書信息216相關(guān)聯(lián)���。證書信息216被保持在儲存庫212的非安全區(qū)域以便不需要鑒權(quán)來訪問儲存庫212�����。
尤其�����,高速緩沖存儲器是特別高速的存儲機制��。高速緩沖存儲器可以是主存儲器的預(yù)備部分或者是獨立的高速存儲設(shè)備����。當(dāng)在高速緩沖存儲器中發(fā)現(xiàn)數(shù)據(jù)時�����,它被稱為高速緩存命中����,并且高速緩沖存儲器的效率通過其命中率來判斷。許多高速緩沖存儲器系統(tǒng)使用公知為智能高速緩存的技術(shù)���,其中系統(tǒng)可以識別頻繁使用的某些類型數(shù)據(jù)�����。
用于高速緩沖存儲器的儲存庫212可以是現(xiàn)有基礎(chǔ)結(jié)構(gòu)中的現(xiàn)有數(shù)據(jù)庫以提供在此描述的優(yōu)點給現(xiàn)有基礎(chǔ)結(jié)構(gòu)����。這包括數(shù)據(jù)庫連接池和資源庫存數(shù)據(jù)存儲器,用于管理用戶帳戶和口令以訪問數(shù)據(jù)庫�����。不需要額外的配置信息�����。下面表格列出了增加到服務(wù)器103中的現(xiàn)有數(shù)據(jù)庫的列����。
表格中的其他字段可以例如包括生物測定、染色體組���、DNA���、或其他用戶識別信息。
證書信息216表示識別用戶的任何信息��。用戶可以通過它們是誰(例如,生物測定信息221����,如指紋圖譜或視網(wǎng)膜掃描)、它們有什么(例如��,安全對象信息222�,如識別卡或射頻識別標(biāo)記)、或者它們知道什么(例如�����,證書��,如用戶標(biāo)識符219(例如�����,用戶名稱)和/或用戶口令220)而被識別����。用戶標(biāo)識符219和用戶口令220可以是任何形式�����,例如包括字母、數(shù)字�、符號等等。在因特網(wǎng)上的HTTP基本鑒權(quán)使用用戶名稱和用戶口令���。
第二可執(zhí)行應(yīng)用107表示一個或多個軟件應(yīng)用�、程序或功能���,其根據(jù)預(yù)定指令控制系統(tǒng)100的操作�����??蓤?zhí)行應(yīng)用包括代碼或機器可讀指令��,用于例如響應(yīng)于用戶命令或輸入����,執(zhí)行包括操作系統(tǒng)、衛(wèi)生保健信息系統(tǒng)或其他信息處理系統(tǒng)的功能的預(yù)定功能����。儲存庫212還包括系統(tǒng)軟件(未示出),它包括在十分基本級上與計算機交互的低級程序���,并且包括操作系統(tǒng)���、編譯器和用于管理計算機資源的實用程序��。
初始用戶標(biāo)識符217表示第一服務(wù)器107已知的用戶身份��。初始用戶標(biāo)識符217可以是任何形式�,例如其包括證書信息216的任何形式�����。
文件218支持一個或多個不同用戶對多個不同可執(zhí)行應(yīng)用的用戶訪問����。文件218中的單個文件包括與另一初始用戶標(biāo)識符相關(guān)聯(lián)以及與另一可執(zhí)行應(yīng)用相關(guān)聯(lián)的證書信息,這使用戶能夠訪問其他可執(zhí)行應(yīng)用����。
服務(wù)器頁224包括增加到儲存庫212中的bin(倉)目錄的三個新服務(wù)器頁���,并且例如被稱為GsmChild.asp����、TestCredential.asp和SetCredential.asp。所述三個服務(wù)器頁支持參考圖3-圖6所描述的方法和時序圖�����。
圖3說明了用于如圖1中所示出的系統(tǒng)100的鑒權(quán)方法300(“方法”)��。
在步驟301����,方法300開始。
在步驟302��,響應(yīng)于接收用戶識別信息��,鑒權(quán)處理器214安全地得到初始用戶標(biāo)識符217����。通過使用用于標(biāo)識用戶操作的特定會話和計算機資源用途的被安全產(chǎn)生的會話標(biāo)識符,鑒權(quán)處理器214安全地得到初始用戶標(biāo)識符���。
在步驟303�����,鑒權(quán)處理器214存儲信息����,所述信息使初始用戶標(biāo)識符217與特定的可執(zhí)行應(yīng)用107相關(guān)聯(lián)以及與包括第一用戶標(biāo)識符219和相應(yīng)第一口令220的證書信息216相關(guān)聯(lián),這使用戶能夠訪問特定的可執(zhí)行應(yīng)用107��。
在步驟304�,鑒權(quán)處理器214接收表示初始用戶標(biāo)識符217的數(shù)據(jù)。
在步驟305�����,響應(yīng)于到瀏覽器應(yīng)用209的用于訪問特定的可執(zhí)行應(yīng)用107的用戶命令���,鑒權(quán)處理器214檢測瀏覽器應(yīng)用209發(fā)起的對證書信息216的請求�。
在步驟306�����,響應(yīng)于所檢測的瀏覽器應(yīng)用209發(fā)起的請求��,鑒權(quán)處理器214確認使用所接收的初始用戶標(biāo)識符217從儲存庫212得到的證書信息216是否鑒權(quán)用戶訪問特定的可執(zhí)行應(yīng)用107�。
在步驟307,響應(yīng)于成功的確認���,鑒權(quán)處理器214提供從儲存庫212得到的已確認鑒權(quán)的證書信息216給瀏覽器應(yīng)用209以使用戶能夠訪問特定的可執(zhí)行應(yīng)用107��。
在步驟308�,方法300結(jié)束�����。
參考圖4��,圖5和圖6�����,這些圖的每一個描述了在客戶101�、第一服務(wù)器102、第二服務(wù)器103和管理器104之間或之內(nèi)的時序步驟(即��,交互作用�����、交換�����、通信等等)?�?蛻?01包括瀏覽器209和applet 210��。第一服務(wù)器102包括第一應(yīng)用106��。第二服務(wù)器103包括第二應(yīng)用107���、處理器211和儲存庫212���。系統(tǒng)100有利地使applet 210和儲存庫212與所示出的其他元件結(jié)合以支持單一登錄方法。在這些元件的每一個下面延伸的垂直線表示相應(yīng)的元件���。每一條水平線表示特定元件之間的通信��,在每一條水平線上的箭頭方向表示通信方向����。所述通信表示特定元件之間發(fā)送的一個或多個消息����。
圖4說明了用戶第一次操作圖1中所示出的系統(tǒng)100的時序圖400(“圖”)。
在步驟401��,用戶經(jīng)由客戶101中的瀏覽器209登錄第一服務(wù)器106中的第一應(yīng)用210。用戶通過輸入初始用戶標(biāo)識符217(例如�����,所述初始用戶標(biāo)識符對第一應(yīng)用210是已知的)登錄���。
在步驟402,第一應(yīng)用106將總會話管理器(“GSM”)起始會話消息傳遞給管理器104���。起始會話消息通過常規(guī)的用戶界面互用性協(xié)議(“UIIP”)或其他協(xié)議來傳遞����。起始會話消息包括初始用戶標(biāo)識符217���。
在步驟403��,第一服務(wù)器102中的第一應(yīng)用106將注冊用戶映射消息傳遞給管理器104��。使用UIIP或其他協(xié)議傳遞用戶映射消息�。
在步驟404�,客戶101中的瀏覽器209與第一服務(wù)器106中的第一應(yīng)用106交互。這樣的交互例如可以包括輸入����、改變�、分析�����、處理或接收信息����。當(dāng)衛(wèi)生保健組織使用系統(tǒng)100時,第一應(yīng)用106可以是臨床應(yīng)用����,例如其包括關(guān)于病人的衛(wèi)生保健信息。
在步驟405�,客戶101中的瀏覽器209將超文本傳輸協(xié)議(HTTP)請求傳遞給第二服務(wù)器103中的處理器211(例如,給GsmChild.asp服務(wù)器頁)���。例如����,通過單擊圖標(biāo)��、菜單項�����、或在第一應(yīng)用中顯示的鏈接,在第一應(yīng)用106內(nèi)獲得這樣的請求�。所述請求表示登錄到瀏覽器209的新實例(instance)中的第二應(yīng)用以及與所述第二應(yīng)用交互的請求。當(dāng)衛(wèi)生保健組織使用系統(tǒng)100時�,第二應(yīng)用107可以是財務(wù)應(yīng)用,例如其包括關(guān)于病人的財務(wù)信息����。使用UIIP或其他協(xié)議傳遞請求���,并且從查詢字符串中檢索參數(shù)以獲得會話ID�����。
所述請求例如可以形成為按照以下格式之一的統(tǒng)一資源定位符�。URL的三個版本表示用戶將如何查看瀏覽器��。
1.http//<Soarian Financial Server>/<Financial Information system Virtual Root>/bin/GsmChild.asp����?GSM=<sessionIDencrypted data>&Tab=<initial tab url>
第一URL利用用戶主頁和初始標(biāo)記啟動瀏覽器209。
2.http//<Soarian Financial Server>/<Financial Information system VirtualRoot>/bin/GsmChild.asp��?GSM=<sessionIDencrypted data>&Homepage=<initial tab url>
第二URL不利用缺省主頁運行瀏覽器209以防止用戶分支到其他任務(wù)。
3.http//<Soarian Financial Server>/<Financial Information system VirtualRoot>/bin/GsmChild.asp�?GSM=<sessionIDencrypted data>>
第三URL利用缺省主頁和不特定的任務(wù)活動啟動瀏覽器209。
第一應(yīng)用210結(jié)合正確的<Financial InformationsystemServer>���、<Financial Information systemVirtual Root>�、和<initial tab url>��。<initial tab url>可以完全被限定或者與<Financial Information systemServer>/<Financial InformationsystemVirtual Root>/html相關(guān)���。第一應(yīng)用210也把瀏覽器209的單獨實例建立為URL的目標(biāo)��。瀏覽器209的單獨實例應(yīng)該是命名窗口���,因此如果上下文改變,則第一應(yīng)用210可刷新窗口��。
因為GsmChild.asp服務(wù)器頁有可能將<Financial InformationsystemServer>改變?yōu)橥耆薅ǖ挠蛎?��,所以GSM加密數(shù)據(jù)被解密��、被hash變化并且再加密�。
在步驟406����,第二服務(wù)器103中的處理器211將GSM獲取會話消息傳遞給管理器104��。使用UIIP或其他協(xié)議傳遞獲取會話消息����。
在步驟407�,第二服務(wù)器103中的處理器211將獲取用戶映射消息傳遞給管理器104。使用UIIP或其他協(xié)議傳遞用戶映射消息����。
在步驟408�,第二服務(wù)器103中的處理器211將獲取證書消息傳遞給第二服務(wù)器103中的儲存庫212以為被請求的對話檢索用戶的證書信息216。在證書信息216中�����,例如通過使用加密方法和會話密鑰加密而保護口令220�����。然而�����,對于用戶第一次操作,儲存庫212不為用戶存儲任何證書信息216��。
在步驟409�,響應(yīng)于用戶沒有發(fā)現(xiàn)存儲在儲存庫212中的證書信息216,第二服務(wù)器103中的儲存庫212將無證書消息傳遞給第二服務(wù)器103中的處理器211����。
在步驟410,響應(yīng)于沒有發(fā)現(xiàn)存儲在儲存庫212中的用戶證書信息216��,第二服務(wù)器103中的儲存庫211將無證書消息傳遞給客戶101中的瀏覽器209��。證書信息216是空白的(即��,零長度字符串)�����。
在步驟411���,例如通過使用Microsoft Win32因特網(wǎng)(WinInet)應(yīng)用程序接口(API)���,客戶101中的瀏覽器209將設(shè)置證書消息傳遞給客戶101中的applet 210。步驟411確保用戶的證書信息216被設(shè)置用于隨后從瀏覽器209到網(wǎng)站的HTTP請求,由此取消需要提示用戶證書信息216�����。然而����,由于儲存庫212不為用戶存儲在步驟409和步驟410要返回的證書信息216,所以在步驟411中設(shè)置無證書信息216�。
在步驟412,例如使用Microsoft Win32因特網(wǎng)(WinInet)應(yīng)用程序接口(API)����,客戶101中的applet 210將測試證書消息傳遞給第二服務(wù)器103中的處理器211(例如,給TestCredential.asp服務(wù)器頁)���。所述測試證書消息確定證書信息216是否有效或無效以分別授權(quán)或拒絕訪問第二應(yīng)用107。
在步驟413����,響應(yīng)于沒有發(fā)現(xiàn)儲存庫212中存儲的用戶證書信息216,第二服務(wù)器103中的處理器211將訪問拒絕消息(例如401的http狀態(tài))傳遞給客戶101中的applet 210��。
在步驟414�����,客戶101中的applet 210將用于證書消息的提示傳遞給客戶101中的瀏覽器209。處理器211(例如����,鑒權(quán)處理器214)通過下面的一個或多個步驟開始提示用戶輸入證書信息(a)開始產(chǎn)生表示菜單提示的數(shù)據(jù),用于把請求輸入證書信息顯示給用戶���;以及(b)指引網(wǎng)絡(luò)瀏覽器209開始產(chǎn)生表示菜單提示的數(shù)據(jù)�����,用于把請求輸入證書信息顯示給用戶�。使用例如如圖7中所示出的用于HTTP基本鑒權(quán)的常規(guī)對話窗口���,用戶可以輸入證書信息216���。如果用戶輸入錯誤的證書信息216,則服務(wù)器將最多再重復(fù)步驟413兩次(即���,用戶有三次機會輸入正確信息)����。
在步驟415,客戶101中的瀏覽器209將具有證書信息216的證書消息傳遞給客戶101中的applet 210�。
在步驟416,客戶101中的applet 210將設(shè)置證書消息傳遞給第二服務(wù)器103中的處理器211(例如�,給SetCredential.asp服務(wù)器頁)以利用輸入的證書信息216更新儲存庫216。SetCredential.asp服務(wù)器頁為用戶標(biāo)識和用戶口令查詢請求對象服務(wù)器變量�����。這個網(wǎng)頁還從查詢參數(shù)中檢索GSM會話ID以及從高速緩沖存儲器中檢索實體和數(shù)據(jù)模式��。
在步驟417�����,第二服務(wù)器103中的處理器211將GSM獲取會話消息傳遞給管理器104���。使用UIIP或其他協(xié)議傳遞GSM獲取會話消息�����。
在步驟418,第二服務(wù)器103中的處理器211將設(shè)置的證書消息傳遞給第二服務(wù)器103中的儲存庫212����。一旦成功完成所述設(shè)置證書的方法,處理器211使瀏覽器改向第二應(yīng)用107。
在步驟419��,響應(yīng)于存儲和/或確認儲存庫212中的用戶證書信息216����,客戶101中的瀏覽器209經(jīng)由瀏覽器209的新實例與第二服務(wù)器103中的第二應(yīng)用107交互。在用戶完成第二應(yīng)用107中的任務(wù)之后��,用戶可以關(guān)閉用于第二應(yīng)用107的瀏覽器209的實例���,而保持打開用于第一應(yīng)用106的瀏覽器209的實例����。在另一時間�����,如果識別第二應(yīng)用107的用戶的證書信息216在儲存庫212中保持有效�,則用戶將被允許打開第二應(yīng)用而不用再次輸入識別第二應(yīng)用107的用戶的證書信息216。因此����,當(dāng)請求訪問第二應(yīng)用107時,用戶的工作流程不會被登錄過程打斷�。
在步驟420����,客戶101中的瀏覽器209與第一服務(wù)器102中的第一應(yīng)用106交互��。因此�����,在用戶登錄每一應(yīng)用之后�,系統(tǒng)100允許用戶與第一服務(wù)器102中的第一應(yīng)用106以及第二服務(wù)器103中的第二應(yīng)用107交互。
圖5說明了正常操作如圖1中所示出的系統(tǒng)100的時序圖500��。在圖5中�����,步驟401-408�����,419和420與圖4中所示出和描述的步驟相同�。
在步驟501,第二服務(wù)器中的儲存庫212將返回證書消息傳遞給第二服務(wù)器103中的處理器211��。所述返回證書消息包括解密口令的例行程序(例如���,使用window裝載事件(onLoad event))�。
在步驟502�����,第二服務(wù)器103中的處理器211將返回證書消息(例如HTTP 200狀態(tài)消息)傳遞給客戶101中的瀏覽器209以調(diào)用applet210設(shè)置證書方法��。
在步驟503����,客戶101中的瀏覽器209將設(shè)置證書消息傳遞給客戶101中的applet 210,如圖4中的步驟411�����。
在步驟504����,客戶101中的applet 210將測試證書消息傳遞給第二服務(wù)器103中的處理器211,如圖4中的步驟412�����。
圖6說明了如圖1中所示的系統(tǒng)100的過期口令操作的時序圖600�����。在圖6中,步驟401-408���,419和420與圖4中所示出和描述的步驟相同�,并且步驟501-504與圖5中所示出和描述的步驟相同���。
在步驟601,第二服務(wù)器103中的處理器211將改向消息(例如�,HTTP 302狀態(tài)消息)傳遞給客戶101中的applet 210。
在步驟602�����,客戶101中的applet 210將設(shè)置改向統(tǒng)一資源定位符(“URL”)傳遞給客戶101中的applet 210��。
在步驟603���,客戶101中的applet 210將改向消息傳遞給客戶101中的瀏覽器209?���?蛻?01顯示一個窗口��,通知用戶“您的口令過期”。一旦看到這個窗口���,用戶輸入用戶標(biāo)識符219、舊口令和二次新口令并且單擊“確定”以恢復(fù)訪問第二應(yīng)用107����。
在步驟604,客戶101中的瀏覽器209將獲取改向URL消息傳遞給客戶101中的applet 210�����。
在步驟605�,客戶101中的瀏覽器209將改向URL傳遞給第二服務(wù)器103中的處理器211���。
在步驟606�����,第二服務(wù)器103中的處理器211將GSM獲取會話消息傳遞給管理器104���。
在步驟607�,第二服務(wù)器103中的處理器211將獲取用戶映射消息傳遞給管理器104���。
在步驟608����,第二服務(wù)器103中的處理器211將設(shè)置證書消息傳遞給第二服務(wù)器103中的儲存庫212�。
同樣,類似的方法可以被用于口令220�,所述口令220將要過期但還沒有過期。在這種情況中��,用于第二應(yīng)用107的用戶口令過期日期是在用于預(yù)先給用戶通知過期的時限內(nèi)���。在步驟408之后��,例如客戶101顯示一個窗口���,通知用戶“您的口令將要過期”。一旦看到這個窗口����,用戶可以輸入用戶標(biāo)識符219�、舊口令和二次新口令并且單擊“確定”以繼續(xù)訪問第二應(yīng)用107�。
圖7說明用于圖1中所示出的系統(tǒng)100的鑒權(quán)窗口700??蛻?01中的瀏覽器109產(chǎn)生鑒權(quán)窗口700。鑒權(quán)窗口700包括站點識別701���、范圍識別702、用戶名稱框703��、口令框704�����、保存口令檢查框705�、確認按鈕706和取消按鈕707。系統(tǒng)100的用戶在用戶名稱框703中輸入他們的用戶名稱并且在口令框740中輸入他們的口令以提供用戶對系統(tǒng)100的基本HTTP鑒權(quán)��。
因此�����,盡管參考本發(fā)明的各種說明實施例已經(jīng)描述了本發(fā)明�����,但是本發(fā)明不是旨在限于這些特定實施例。本領(lǐng)域的技術(shù)人員應(yīng)該意識到�����,在不偏離所附加權(quán)利要求所列出的本發(fā)明的范圍和精神的情況下�,可以對所公開的主題進行變化、修改和組合���。
權(quán)利要求
1.一種用于鑒權(quán)用戶訪問信息的因特網(wǎng)兼容系統(tǒng)���,包括儲存庫,其使初始用戶標(biāo)識符與特定的可執(zhí)行應(yīng)用以及與包括第一用戶標(biāo)識符和相應(yīng)第一口令的證書信息相關(guān)聯(lián)�,所述第一用戶標(biāo)識符和所述第一口令使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用;以及鑒權(quán)處理器���,用于接收表示所述初始用戶標(biāo)識符的數(shù)據(jù)�����;響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問特定的可執(zhí)行應(yīng)用的用戶命令�,檢測瀏覽器應(yīng)用發(fā)起的對證書信息的請求�����;響應(yīng)于所檢測的瀏覽器應(yīng)用發(fā)起的請求,確認使用所述接收的初始用戶標(biāo)識符從所述儲存庫得到的證書信息是否鑒權(quán)用戶訪問所述特定的可執(zhí)行應(yīng)用�;以及響應(yīng)于成功的確認,提供從所述儲存庫得到的已確認鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用���。
2.根據(jù)權(quán)利要求1的系統(tǒng)����,其中證書信息的所述儲存庫被保存在存儲器的非安全區(qū)域���,以避免需要鑒權(quán)來訪問所述儲存庫�����。
3.根據(jù)權(quán)利要求1的系統(tǒng),包括上下文處理器��,用于安全地得到所述初始用戶標(biāo)識符��;以及通過使用用于標(biāo)識用戶操作的特定會話和計算機資源的用途的被安全地產(chǎn)生的會話標(biāo)識符����,所述上下文處理器安全地得到所述初始用戶標(biāo)識符。
4.根據(jù)權(quán)利要求1的系統(tǒng),其中所述證書信息包括以下內(nèi)容的至少一個(a)口令����,(b)用戶標(biāo)識符,(c)顧客���,以及(d)與特定用戶相關(guān)聯(lián)的生物測定信息�。
5.根據(jù)權(quán)利要求1的系統(tǒng)���,其中響應(yīng)于從所述儲存庫得到的所述證書信息的失敗確認�����,所述鑒權(quán)處理器開始提示用戶輸入證書信息��;以及通過以下步驟的至少一個�,所述鑒權(quán)處理器開始提示用戶輸入證書信息(a)開始產(chǎn)生表示菜單提示的數(shù)據(jù)�����,用于把請求輸入證書信息顯示給用戶����;(b)指引網(wǎng)絡(luò)瀏覽器開始產(chǎn)生表示菜單提示的數(shù)據(jù)���,用于把請求輸入證書信息顯示給用戶。
6.根據(jù)權(quán)利要求5的系統(tǒng)�,其中響應(yīng)于基于所述提示的用戶證書的輸入,所述鑒權(quán)處理器利用所述輸入的證書更新所述儲存庫���。
7.根據(jù)權(quán)利要求1的系統(tǒng)�,其中響應(yīng)于成功的確認���,所述鑒權(quán)處理器開始一個新的瀏覽器實例以使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用�����;并且所述瀏覽器應(yīng)用包括以下內(nèi)容的至少一個(a)Microsoft兼容因特網(wǎng)Explorer瀏覽器以及(b)Netscape Navigator兼容瀏覽器����。
8.根據(jù)權(quán)利要求1的系統(tǒng)���,其中所述儲存庫使與另一初始用戶標(biāo)識符相關(guān)聯(lián)的證書信息和第二可執(zhí)行應(yīng)用結(jié)合,從而使用戶能夠訪問第二可執(zhí)行應(yīng)用����;以及所述儲存庫包括一個或多個儲存庫����,其使多個信息文件結(jié)合����,所述文件的單個文件包括與另一初始用戶標(biāo)識符以及與另一可執(zhí)行應(yīng)用相關(guān)聯(lián)的證書信息,從而使用戶能夠訪問所述其他可執(zhí)行應(yīng)用��,所述多個文件支持一個或多個不同用戶對多個不同的可執(zhí)行應(yīng)用的用戶訪問����。
9.一種用于鑒權(quán)用戶訪問信息的因特網(wǎng)兼容系統(tǒng),包括第一鑒權(quán)處理器��,用于響應(yīng)于所接收的用戶識別信息�����,安全地得到初始用戶標(biāo)識符�����;儲存庫���,其使初始用戶標(biāo)識符與特定的可執(zhí)行應(yīng)用以及與包括第一用戶標(biāo)識符和相應(yīng)第一口令的證書信息相關(guān)聯(lián)�����,所述第一用戶標(biāo)識符和所述第一口令使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用����;以及第二鑒權(quán)處理器,用于接收表示所述初始用戶標(biāo)識符的數(shù)據(jù)���;響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問特定的可執(zhí)行應(yīng)用的用戶命令��,檢測瀏覽器應(yīng)用發(fā)起的對證書信息的請求�;響應(yīng)于所檢測的瀏覽器應(yīng)用發(fā)起的請求�����,確認使用所接收的初始用戶標(biāo)識符從所述儲存庫得到的證書信息是否鑒權(quán)用戶訪問所述特定的可執(zhí)行應(yīng)用��;以及響應(yīng)于成功的確認�,提供從所述儲存庫得到的已確認鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用。
10.根據(jù)權(quán)利要求9的系統(tǒng)����,其中通過使用用于標(biāo)識用戶操作的特定會話和計算機資源用途的被安全產(chǎn)生的會話標(biāo)識符����,所述第一鑒權(quán)處理器安全地得到所述初始用戶標(biāo)識符�����。
11.一種用于鑒權(quán)用戶訪問信息的因特網(wǎng)兼容系統(tǒng)���,包括第一鑒權(quán)處理器,用于響應(yīng)于所接收的用戶識別信息���,安全地得到初始用戶標(biāo)識符�;儲存庫���,其使初始用戶標(biāo)識符與特定的可執(zhí)行應(yīng)用以及與包括第一用戶標(biāo)識符和相應(yīng)第一口令的證書信息相關(guān)聯(lián)��,所述第一用戶標(biāo)識符和所述第一口令使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用����;以及第二鑒權(quán)處理器�����,用于接收表示所述初始用戶標(biāo)識符的數(shù)據(jù)�����;響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問特定的可執(zhí)行應(yīng)用的用戶命令,檢測瀏覽器應(yīng)用發(fā)起的對證書信息的請求���;響應(yīng)于所檢測的瀏覽器應(yīng)用發(fā)起的請求并且響應(yīng)于從所述儲存庫得到的所述證書信息的失敗確認����,確認使用所述接收的初始用戶標(biāo)識符從所述儲存庫得到的證書信息是否鑒權(quán)用戶訪問所述特定的可執(zhí)行應(yīng)用��,所述鑒權(quán)處理器開始提示用戶輸入證書信息�;以及響應(yīng)于成功的確認,提供從所述儲存庫得到的已確認鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用��。
12.一種用于鑒權(quán)用戶訪問因特網(wǎng)兼容系統(tǒng)中的信息的方法��,包括以下活動存儲信息�,所述信息使初始用戶標(biāo)識符與特定的可執(zhí)行應(yīng)用以及與包括第一用戶標(biāo)識符和相應(yīng)第一口令的證書信息相關(guān)聯(lián),所述第一用戶標(biāo)識符和所述第一口令使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用��;以及接收表示所述初始用戶標(biāo)識符的數(shù)據(jù)�����;響應(yīng)于到瀏覽器應(yīng)用的用于訪問特定的可執(zhí)行應(yīng)用的用戶命令,檢測瀏覽器應(yīng)用發(fā)起的對證書信息的請求�;響應(yīng)于所檢測的瀏覽器應(yīng)用發(fā)起的請求���,確認使用所接收的初始用戶標(biāo)識符從所述儲存庫得到的證書信息是否鑒權(quán)用戶訪問所述特定的可執(zhí)行應(yīng)用�����;以及響應(yīng)于成功的確認��,提供從所述儲存庫得到的已確認鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用�����。
13.一種用于鑒權(quán)用戶訪問信息的因特網(wǎng)兼容系統(tǒng)����,包括儲存庫����,其使初始用戶標(biāo)識符與特定的可執(zhí)行應(yīng)用以及與證書信息相關(guān)聯(lián),從而使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用���;以及鑒權(quán)處理器���,用于接收表示所述初始用戶標(biāo)識符的數(shù)據(jù)�;響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問特定的可執(zhí)行應(yīng)用的用戶命令����,檢測瀏覽器應(yīng)用發(fā)起的對證書信息的請求;響應(yīng)于所檢測的瀏覽器應(yīng)用發(fā)起的請求����,確認使用所述接收的初始用戶標(biāo)識符從所述儲存庫得到的證書信息是否鑒權(quán)用戶訪問所述特定的可執(zhí)行應(yīng)用;以及響應(yīng)于成功的確認���,提供從所述儲存庫得到的已確認鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用��。
14.根據(jù)權(quán)利要求13的系統(tǒng)����,其中證書信息還包括第一用戶標(biāo)識符和相應(yīng)的第一口令�。
全文摘要
用于鑒權(quán)用戶訪問信息的因特網(wǎng)兼容系統(tǒng),包括儲存庫和鑒權(quán)處理器���。儲存庫使初始用戶標(biāo)識符與特定的可執(zhí)行應(yīng)用以及與證書信息相關(guān)聯(lián)���。證書信息包括第一用戶標(biāo)識符和相應(yīng)的第一口令�,其使用戶能夠訪問特定的可執(zhí)行應(yīng)用���。鑒權(quán)處理器接收表示初始用戶標(biāo)識符的數(shù)據(jù)��。響應(yīng)于到所述瀏覽器應(yīng)用的用于訪問特定的可執(zhí)行應(yīng)用的用戶命令���,鑒權(quán)處理器檢測瀏覽器應(yīng)用發(fā)起的對證書信息的請求����。響應(yīng)于所檢測的瀏覽器應(yīng)用發(fā)起的請求,鑒權(quán)處理器確認使用所接收的初始用戶標(biāo)識符從所述儲存庫得到的證書信息是否授權(quán)用戶訪問所述特定的可執(zhí)行應(yīng)用�。響應(yīng)于成功的確認,鑒權(quán)處理器提供從所述儲存庫得到的已確認鑒權(quán)的證書信息給所述瀏覽器應(yīng)用以使用戶能夠訪問所述特定的可執(zhí)行應(yīng)用�����。
文檔編號G06F1/00GK1894645SQ200480037554
公開日2007年1月10日 申請日期2004年12月17日 優(yōu)先權(quán)日2003年12月17日
發(fā)明者D·阿努斯?jié)煞蛩够?申請人:西門子醫(yī)療健康服務(wù)公司