用于进行用户身份证验证的基于异构域的路由机制

摘要

在安全访问程序内使用路由例程，以便提供对各种异构目录和注册表的访问。每一个用户在登录时都指出他们所属的域。加载给定域的访问协议，并使用该访问协议对用户的访问权限进行验证。

说明书

技术领域

本发明涉及安全访问系统。具体来说，本发明涉及从单一的源为多个异构域提供安全性的方法。

背景技术

随着电子商务成为商务世界的越来越必需的组成部分，以安全的方式管理可用的信息成为最优先考虑的事项和潜在的问题的来源。一个示例可以说明这些问题中的一些问题。

Alpha Corporation是一家运营多年的大型企业，并以其处于信息管理的领先地位而感到骄傲。Alpha Corporation利用安全应用程序来维护公司中的诸如应用程序、文件、打印机和人员之类的网络资源集的安全性，所述安全应用程序向用户注册表进行配置。使用用户注册表的应用程序提供了以安全的方式描述、管理和维护有关这些资源的信息的一致的方式。由于此安全应用程序，Alpha Corporation可以确保对敏感信息的访问，不论它是有关开发产品的技术信息还是人事记录，都能得到相应的处理。Alpha Corporation的安全应用程序使用得非常顺利，但是他们最近收购了小型的Beta Company，然后几个月之后，他们与Gamma Corporation合并，以便在市场上取得比较好的地位。Beta Company也运行了一个安全程序，该安全程序也使用用户注册表来控制访问-但是，其配置结构与AlphaCorporation所使用的不同。更糟糕的是，Gamma Corporation所使用的安全系统是在不同类型的用户注册表中配置的。AlphaCorporation面临着一个问题：如何支持所有这三家公司的用户身份证验证，而无需将大量的的数据迁移或复制到单一的用户注册表中。

图1概要显示了应用程序处理对域100内的资源的访问的原始概念。在此概念下，每一家公司，例如，Alpha Corporation在其域内或在其控制区域内都有单一的用户注册表102，所述用户注册表102存储了该公司的所有信息。在此应用环境中，用户注册表102被绑定到多个服务器，如Web服务应用程序服务器104、授权服务器106，及其他刀刃服务器108。每一台服务器对公司的用户进行身份验证所需的所有信息都包含在此域100内并在其直接控制之下。服务器104、106、108中的每一台服务器都处理单一的访问控制列表(ACL)101，服务器访问相同的用户注册表102，所有服务器都使用URAF(用户注册表适配器框架)接口。不需要也不允许任何变化。

图2显示了应用程序管理对域200内的资源进行访问的最新的实现方式。在此实现方式中，诸如Web服务应用程序服务器204、授权服务器206、刀刃服务器之类的服务器都包含单一的ACL 201，并被绑定到唯一的用户注册表选项210。此用户注册表选项210判断注册表适配器255、265、275或285的加载，这些注册表适配器将被服务器204、206、208用来与用户注册表250、260、270或280进行通信。这些注册表适配器255、265、275、285中的每一个都是为给定的注册表类型专门编写的通信模块。注册表适配器处理调用者的请求、注册表客户和注册表服务器之间的所有交互操作和数据操作。服务器可以被配置为使用任何受支持的用户注册表，但是它可以被配置为只使用一个注册表。在图中，此限制被显示为一个四路开关，通过此开关，用户注册表选项210可以连接到四个(或更多)选项中的任何一个，但每个实例只能连接到一个选项。对于受支持的用户注册表，如轻型目录访问协议(LDAP)270、Microsoft Active Directory250、Domino 260，及其他用户注册表280，每一台服务器中的注册表操作都将调用用户注册表适配器框架(URAF)接口217，该接口将动态地加载注册表服务提供程序接口(RSPI)适配器255、265、275、285以与给定的用户注册表进行连接。因此，在如何设置服务器204、206、208方面具有较大的灵活性，但是一旦进行了初始的选择，在处理不同的用户注册表方面没有变化。Alpha Corporation仍将具有管理新用户注册表的问题。

希望有一种方法允许一台服务器与多个用户注册表进行连接。这将允许Alpha Corporation对它收购的公司或它所合并的公司提供用户身份证验证。

发明内容

安装一个智能路由系统作为安全应用程序服务器和单个用户注册表之间的新的层。然后，用户在登录时将不仅需要识别它们的用户标识和密码，而且还需要识别他们所在的域。将使用域信息来判断哪一个注册表适配器被该域使用，并以对用户透明的方式将查询路由到适当的用户注册表。

附图说明

在所附的权利要求中阐述了本发明的新颖的特征。然而，本发明本身，以及优选的使用模式，进一步的目标和优点，通过参考对说明性的实施例的详细描述并参考附图，将得到最好的理解，其中：

图1是早期采用现有技术的安全应用程序系统的示意图。

图2是稍晚的采用现有技术的安全应用程序系统的示意图。

图3描述了在其中可以实现本发明的数据处理系统的网络的图形表示。

图4描述了在其中可以实现本发明的一个实施例的服务器。

图5概要描述了根据本发明的一个实施例的安全应用程序系统。

图6描述了安全应用程序系统管理身份验证的请求的方法的流程图。

具体实施方式

现在参考附图，图3描述了在其中可以实现本发明的数据处理系统的网络的图形表示。网络数据处理系统300是在其中可以实现本发明的计算机网络。网络数据处理系统300包含网络302，该网络是用来在网络数据处理系统300内连接在一起的各个设备和计算机之间提供通信链路的媒介。网络302可以包括诸如有线、无线通信链路或光纤电缆之类的连接。

在所描述的示例中，服务器计算机与存储单元306一起连接到网络302。此外，客户端308、310和312也连接到网络302。这些客户端308、310和312可以是个人计算机或网络计算机。

在所描述的示例中，服务器计算机为客户端308-312提供诸如启动文件、操作系统映像和应用程序之类的数据。客户端306、310和312是服务器计算机304的客户端。网络数据处理系统300可以包括更多的服务器计算机、客户端，及其他未显示的设备。在所描述的示例中，网络数据处理系统300是因特网，网络302表示全世界的网络和网关的集合，它们使用传输控制协议/Internet协议(TCP/IP)协议套件彼此进行通信。因特网的核心是主节点或主机计算机之间的高速数据通信线路构成的主干网，包括成千上万的商业、政府、教育及其他路由数据和消息的计算机系统。当然，网络数据处理系统300还可以作为多个不同类型的网络来实现，例如，内部网、局域网(LAN)或广域网(WAN)。图3只作为示例，而不对本发明的体系结构作出限制。

请参看图4，该图描述了根据本发明的优选实施例的可以作为服务器计算机(如图3中的服务器计算机304)实现的数据处理系统的方框图。数据处理系统400可以是包括连接到系统总线406的多个处理器402和404的对称多处理器(SMP)系统。或者，也可以使用单处理器系统。与系统总线406相连接的还有存储器控制器/缓存408，它提供了到本地存储器409的接口。I/O总线电桥410连接到系统总线406，并提供到I/O总线412的接口。如本文所述，存储器控制器/缓存408和I/O总线电桥410也可以集成在一起。

连接到I/O总线412的外围组件互连(PCI)总线电桥414提供了到PCI本地总线416的接口。多个调制解调器可以连接到PCI本地总线416。典型的PCI总线实现方式将支持四个PCI扩展槽或插入式连接器。到图3中的客户端308-312的通信链路可以利用通过插入式电路板连接到PCI本地总线416的调制解调器218和网络适配器420来提供。

更多的PCI总线电桥422和424为更多的PCI本地总线426和428提供了接口，从这些接口，可以支持更多的调制解调器或网络适配器。如此，通过数据处理系统400，可以连接到多个网络计算机。如文本所描述的，内存映射图形适配器430和硬盘432也可以直接或间接地连接到I/O总线412。

那些精通本技术的普通人员将认识到，图4所描述的硬件可以不同。例如，除了所描述的硬件，也可以使用诸如光盘驱动器之类的其他外围设备，或者代替所描述的硬件。所描述的示例不对本发明的体系结构作出限制。

图4中所描述的数据处理系统可以是，运行高级交互执行(AIX)操作系统或LINUX操作系统的IBM eServer pSeries系统，该系统是位于纽约Armonk的IBM公司的产品。

图5是根据本发明的一个实施例的安全应用程序系统的示意图。在此实施例中，诸如Web服务应用程序服务器504、授权服务器506，以及刀刃服务器508之类的各种服务器都与包含智能路由器590的URAF接口连接。智能路由器590能够与多个不同适配器以及它们的关联的用户注册表进行交互，并根据需要在这些注册表之间进行切换。在此实施例中，URAF接口/路由器590通过LDAP RSPI适配器516与LDAP服务器520连接，通过Active Directory服务接口与微软的Active Directory 550连接，通过Domino RSPI适配器565与Domino注册表560连接，使用Active DirectoryLDAP RSPI适配器575与另一个Active Directory 570连接，使用第三方RSPI适配器585与未指定的用户注册表580连接。URAF接口/路由器590通过504、506和508服务器应用程序中的每一个单个注册表配置在每一个受支持的域和其关联的注册表之间维护了一对一的映射。

图6显示了访问系统处理多个域的身份验证的过程的流程图。在步骤610中，安全应用程序系统接收对用户进行身份验证的请求。此请求包含在登录时提供的用户名、用户密码和域名。在步骤620中，URAF应用程序编程接口(API)在内部利用用户的域名来定位(或映射到)特定的注册表适配器，并动态地将请求路由到该注册表适配器。如果一直在内存中保留各种注册表适配器将会浪费很多空间，因此步骤630将检查内存中是否有需要的注册表适配器。如果没有，则在步骤640中URAF接口/路由器590会将该注册表适配器加载到内存中。一旦加载了适当的注册表适配器，URAF接口/路由器590就作为用户和适配器之间的电桥进行操作，使用一种简单的机制将必需的信息传递到适配器。在目前优选的实施例中，信息是使用接口条目映射表来传递的。然后，在步骤650中，URAF接口/路由器通过将用户名和用户密码经过注册表适配器转发到注册表服务器来对关联的用户注册表执行用户身份证验证。值得注意的是，注册表适配器将处理所有注册表所特定的操作，包括注册表绑定初始化、客户端调用和注册表数据操作。根据用户身份证验证的结果，安全应用程序系统在步骤660中以“用户已通过身份验证”或“用户身份证验证失败”来作出响应。

利用此新功能，Alpha Corporation将不仅能接纳它们自己的资源，而且还能接纳Beta Company和Gamma Corporation的资源。在Alpha、Beta和Gamma中使用的各种注册表可以以它们的当前格式维护，因此，不需要对资源进行繁琐的数据迁移。合并的公司也可以不需要花费太大的努力维护它们的安全性。

例如，通过使用图6的流程图，为Beta Company工作的JohnQ.Doe登录到他的工作站，提供johnqdoe作为其用户名、提供A2XQSJ8作为其密码，提供betaco作为其域。虽然John在Beta工作，但是，Alpha、Beta和Gamma的文件在Alpha Corporation的公司服务器上维护。当John作为人事主管访问工资单文件时，必须首先对他的访问这些文件的权限进行验证。他的用户名、密码和域名被传递到Alpha Corporation维护的授权服务器。然后，服务器将此信息传递到智能路由器590，该智能路由器判断betaco域在Domino注册表560中维护。然后，智能路由器590加载DominoRSPI适配器565，并检查John Q.Doe访问这些文件的权限。由于注册表包含该权限，因此，John通过身份验证，并可以继续处理他的工作。除了需要输入一个附加信息项-他的域名-整个过程对John不可见，身份验证过程很快地处理完毕。

在本发明的另一个实施例中，可以不需要用户输入域名。然而，这另一个实施例会影响响应时间，因为路由器需要加载并搜索连续的目录访问模块，直到找到John Q.Doe或不存在其他可能性，在这样的情况下，身份验证失败。虽然这另一个实施例确实给最终用户提供了方便，用户不必记住他们所属的域名，如果不输入域名，则系统中只能有一个johnqdoe。如果另一个John Q.Doe成为由AlphaCorporation控制的任何域的一部分，则他们需要使用一个不同的用户名。或者，如果输入域名，如在第一个示例中那样，则在每一个被搜索的域内可能会有不同的johnqdoe。总而言之，在一个产品的注册表的智能路由器实现方式中采用的适当的实施例取决于该产品的特定的执行环境。

值得注意的是，作为本发明的另一个优点，访问异构注册表的能力是如下最终目标的过渡：在希望提供相互支持并访问资源的多个单独的域组成的联合体内提供安全性，同时又依靠联合体内的每一个域来维护其自己的注册表的完整性。此外，在本发明中对联合的用户身份证验证的支持为增强应用程序处理跨域授权操作的能力提供了基础。这样的增强是非常关键和基本的，特别是在异构注册表分别与不同网络资源和用户集关联的大型企业环境中尤其如此。跨域授权支持是通过利用跨域用户凭据来实现的，所述跨域用户凭据是在联合的用户身份证验证过程中创建的。

图7演示了诸如这里所说明的本发明的URAF接口/路由器590的实施例支持的系统的可能的版本。在此系统中，所有服务器704、706、708都包含多域访问控制列表795，所述访问控制列表描述了可以通过它们访问系统的域D1、D2、D3、D4、Dx。每一台服务器都使用其本发明的URAF接口/路由器790的版本，加载正确的适配器716、755、765、775、785，并访问相应的注册表720、750、760、770、780。最后，Web服务门户管理器控制台797将允许管理员在相同的控制台上执行多个域管理操作。

在使用图7所示的系统的示范性情况下，Beta Company的John Q.Doe如在前面的示例中那样，使用他的用户名、密码和域名在他的办公室计算机上登录。然而，John最近参与到了与另一家公司Delta Corporation的联合开发项目。Delta是拥有Alpha、Beta和Gamma的集团公司之外的一个单独实体。然而，他们同意，参与联合开发项目的任何一家公司的雇员都应该具有访问与该项目有关的任何文件的权限，不管那些文件是位于Beta的域中还是位于Delta的域中。John现在可以进入Delta Corporation的网站并进入安全门户以访问Delta的文件。Delta的Web服务应用程序704包含多域访问控制列表795，该访问控制列表列出了Delta Corporation D3和Beta Company D4两家公司的域名。虽然Delta不控制Beta的域D4，John的请求被URAF接口/路由器790路由到与Beta的域D4关联的注册表770。在那里，发现John参与了联合项目，并被给予访问权限。

在此环境中，应用程序可以简单地用与网络资源关联的访问控制数据对跨域用户凭据进行验证，以判断是否允许用户对资源进行访问。如此，通过联合的用户身份证验证，可以实现跨域的授权强制，无需改变任何用户注册表设置，也无需跨企业中的多个注册表迁移任何数据。

值得注意的是，尽管是在完全运转的数据处理系统的上下文中描述本发明的，那些精通本技术的普通人员将认识到，本发明的进程能够以存储了指令的计算机可读的介质的形式和各种各样的形式进行分发，本发明同样适用，不管实际用于进行分发的承载信号的介质的特定类型是什么。计算机可读的介质的示例包括可记录类型的介质，如软盘、硬盘驱动器、RAM、CD-ROM、DVD-ROM、传输类型的介质，例如使用诸如射频和光波传输的传输形式的数字和模拟通信链路、有线或无线通信链路。计算机可读的介质可以采取编码格式的形式，这些编码在特定数据处理系统中实际使用时被解码。

本发明的说明书只作说明，而不是详尽的说明或限于所说明的形式。那些精通本技术的普通人员将认识到，可以进行多个修改。所选择的实施例是为了最好地说明本发明的原理，实际应用，并使精通本技术的其他人懂得，带有各种修改的各个实施例也是可以接受的。