用于提供对用户接口的服务访问控制的方法和装置

摘要

本发明公开了一种方法、装置以及程序存储设备，用于提供对用户接口的服务访问控制。将服务秘密与用户访问代码诸如用户ID/口令相结合。系统可以提取服务秘密并确定是否允许对服务功能的访问从而以安全的方式提供对服务接口访问的认证和授权。

说明书

技术领域

本发明总的来讲涉及计算机安全，特别是涉及用于对用户接口提供服务访问控制的方法、装置和程序存储设备。

背景技术

计算机安全是防止并检测未授权使用计算机和网络的过程。防止措施有助于制止未授权用户(也被称为“入侵者”)访问计算机系统或网络的任何部分。检测涉及确定是否有人试图侵入计算机系统或网络，如果他们成功侵入，确定他们可能做了什么。

因特网和万维网(WWW)为数据处理系统用户提供了相互连接大量数据库和其它网络用户的有效的全球通信网络。网络和用户之间的本地链接典型地是通过高速因特网连接。存在多种不同类型的高速的因特网访问服务，包括DSL、ADSL、SDSL、电缆和卫星。对高速的(宽带)因特网的访问有多种主要的好处。一个巨大的好处就是人们可以总是保持与因特网连接。这意味着从不需要拨入并且将根本不必担心信号繁忙。

然而，因为用户的工作站直接耦合到这样的通信接口，任何网络用户表面上具有访问耦合到网络节点的任何信息资源的能力。由于网络向链接到其任何节点的任何信息资源中提供了潜在的窗口，通过利用安全系统抵制对另一个系统资源(例如另一个计算机)的未授权的访问以保护所有的通信是常见的。

网络安全背后的概念细分为四种类别：认证、授权(又叫作访问控制)、计帐以及安全通信。认证就是简单地验证用户的身份。总是基于某种形式的信任，认证依赖于用户具有的某种东西，可以将其与已知的常量(信任值)进行对比。这可以出现在与用户的交互作用中(输入用户ID和口令)，或者可以出现在复杂的生物统计系统范围内诸如指纹识别、面孔识别或者视网膜扫描。认证也可以由代理服务器发生，诸如存储的认证令牌(当用户保持登录时保存在工作站的存储器中，或者保存在诸如智能卡的令牌上)。

授权，也被称作访问控制，确定在哪里允许谁。文件许可(filepermission)是访问控制的较好的实例。通常存储在资源层访问控制列表(ACL)中，这些只是被认证的用户(或用户组)的列表，所述用户被允许访问或不被允许访问给定资源。由于其需要安全、集中的存储以及访问这些ACL，这通常是网络安全最复杂的方面。由于授权系统依赖于被认证的用户的列表，只有在用户被认证时才发生授权。

计帐包括记录谁访问了什么资源的基本任务。大多数网络操作系统和服务包括某种形式的记录(logging)。这可以在每次服务时独立地执行，或者通过集中式的服务器来执行。然而，如果集中地执行，所有的计帐信息必须要被安全地传输，并且可以通过拒绝服务攻击(例如希望掩盖其攻击行为的黑客可以阻止记录信息到达统计服务器)来对其进行影响。

安全通信包括使网络传输免受拦截(其中可能损害私人信息)以及未授权的传输，其中黑客可以伪装为安全的主机，或者可以向已建立的连接插入数据。

在今天的网络和计算机系统中，对隐私以及网络和计算机用户的适当的认证的需要是人们最关心的领域之一。在许多软件系统中，客户或用户通过用户接口开始动作。通常通过接受用户ID以及口令，并将它们与有效的用户ID和口令进行对比，来认证并授权访问接口的权利(也称作auth2)。有效的用户ID/口令通常存储在目录服务器中或验证基准诸如LDAP、Kerberos等中。

除了典型的客户用户以外，为了执行不同的维护和诊断支持功能，服务人员需要访问客户的系统。服务访问是客户所担心的，因为它通常意味着授予外部人员观看或修改机密数据的能力，或者以通过客户接口不可能的方式修改敏感系统的状态的能力。

服务访问有时是通过单独的接口(入口(portal))而不是通过用户接口提供给系统的。有时服务访问是通过用户接口但包括特殊服务代码或命令(没有给用户的)的使用。通常将服务访问确定为仅限于服务人员。服务命令有时是非文件式(undocumented)的，或者通过“陷阱门(trap doors)”隐藏在用户接口中，或者使用不容易为客户得到的单独的接口。

具有多种方法来实现安全的服务访问。例如，可以利用基于时间的口令、要求提供两种单独的凭证(credential)的授权系统、以及根据认证凭证控制访问级别的系统来提供安全的服务访问。利用基于时间的口令的方法包括基于时间计算口令或者将对时间的参考合并到口令中。这些想法可以使得口令只在有限的时间间隔内有效。双重授权方案同时需要两种形式的凭证；例如用户必须结合电子钥匙链(keyfob)提供口令。通过增加物理要求，或者需要不止一方的参与，这些方法增加了系统的安全性。结合访问和认证的方案提供了对系统的受控的访问，其中访问的类型和范围取决于提供的用户认证凭证。

然而，这样的系统和技术出现了几个不合乎需要的安全弱点。例如，客户可以通过观察服务人员来学习访问服务入口。这些客户然后可以利用服务入口访问危险的命令、危及系统供应商内部信息的命令、或者危及系统可靠性的命令。另外，黑客可以利用服务入口损害系统。未授权的用户可以进入系统并充分学习以侵入用户接口。如果在单独的接口中提供，可能削弱对认证和授权(auth2)的控制。被授权的用户可以利用服务接口获得对未授权的能力的访问。为了使服务人员能够进行服务访问，客户必须对服务人员对系统的访问给以较差的限制。

交互式的计算机系统共享不同的应用程序、组件和节点中的数据。在交互式的软件系统中，将用户接口从服务接口分开是成问题的。现在，就工程计划、安全性、审计能力、自动化的脚本编辑的方便性、和/或不可抵赖即防止用户否认早先的访问授权来讲，服务访问控制方法具有缺点。

例如，促使服务auth2与用户auth2分开使得脚本编辑(scripting)更加复杂。特殊的服务接口或服务启动开关危及安全，因为它的存在通告了攻击系统的另外的途径。由于客户通常不打算访问服务接口，如果他们以某种方式获得访问，该访问通常不受与用户接口相同的控制。而且，要求用户将auth2凭证授予服务人员，给出了完全可见的对系统的访问。它也意味着用户不能否认已经准予的访问。

可以看出，需要一种方法、装置和程序存储设备用于提供对用户接口的服务访问控制。

发明内容

为了克服上述的限制，并克服在阅读并理解了本发明的说明书之后显而易见的其它限制，本发明公开了一种方法、装置以及程序存储设备，用于提供对用户接口的服务访问控制。

通过将服务秘密与用户访问代码诸如用户ID/口令相结合，本发明解决了上述的问题。本系统可以提取服务秘密并确定是否允许对服务功能的访问。因此，将服务秘密与用户访问代码相结合，以避免了在结合服务与常规用户接口中固有的缺点的方式，解决了认证并授权服务接口访问的问题。

根据本发明的实施例的数据结构包括用户口令和服务秘密，其中用户口令识别请求访问计算机系统的用户，服务秘密用于认证和授权对计算机系统的服务功能的访问。

在本发明的另一个实施例中，提供了一种计算机系统。该计算机系统包括认证和授权设备以及输入访问信息的入口(portal)，其中该访问信息包括识别请求访问的用户的用户口令以及请求访问服务功能的服务秘密，其中认证和授权设备测试访问信息以检测服务秘密的存在，并且当从输入的访问信息提取的服务秘密被确认有效(validate)时准许对服务功能进行访问。

在本发明的另一个实施例中，提供了一种程序存储设备。该程序存储设备包括可以由处理设备执行的程序指令，以执行对用户接口提供服务访问控制的操作，该操作包括接收访问信息、确定访问信息是否包括服务秘密，以及当服务秘密包括在访问信息中时提供与访问信息相对应的包括对服务操作的授权的访问角色(role)。

在本发明的另一个实施例中，提供了另外一种程序存储设备。该程序存储设备包括可以由处理设备执行的程序指令，以执行对用户接口提供服务访问控制的操作，该操作包括测试提供的访问信息以检测服务秘密的存在、设置服务标志、以及当检测到服务秘密时从访问信息中移除服务秘密，并请求与该访问信息相关的访问角色的识别。

在本发明的另一个实施例中，提供了一种用于对用户接口提供服务访问控制的方法。该方法包括接收访问信息、确定访问信息是否包括服务秘密，以及当服务秘密包括在访问信息中时提供与访问信息相对应的包括对服务操作的授权的访问角色。

在本发明的另一个实施例中，提供了另一种用于对用户接口提供服务访问控制的方法。该方法包括检测提供的访问信息以检测服务秘密的存在、设置服务标志、以及当检测到服务秘密时从访问信息中移除服务秘密，并请求与该访问信息相关的访问角色的识别。

表征本发明的新颖的这些和其它不同优点和特征详细地在附加的权利要求中做了说明，并形成了其一部分。然而，为了更好地理解本发明、其优点和其目的，将对附图以及附随的描述性的内容进行参照，其中所述附图进一步形成了本说明书的一部分，并且其中对依照本发明的装置的具体实例进行了描述。

附图说明

参照附图，其中相同的附图标记代表相同的对应部件。

图1描述了依照本发明的实施例的对用户接口提供的服务访问控制的计算机系统。

图2描述了依照本发明的实施例的一个认证和授权数据库的实例。

图3描述了依照本发明的实施例的将服务秘密与标准用户口令相结合的数据结构。

图4是依照本发明的实施例的对用户接口提供服务访问控制的方法的流程图。

图5是依照本发明的实施例，描述认证和授权程序的典型的用户接口的流程图；以及

图6描述了依照本发明的系统，其中参照图1-5描述的程序可以有形地包含在计算机可读的介质或载体中。

具体实施方式

在下列的实施例的描述中，参照构成其一部分的附图，说明了本发明可以实现的特定实施例。应当理解的是由于在不背离本发明的范围的情况下，可以做出结构上的变化，所以可以使用其它的实施例。

本发明提供了一种方法、装置和程序存储设备，用于对用户接口提供服务访问控制。本发明将服务秘密与用户访问代码诸如用户ID/口令相结合。该系统可以提取服务秘密并确定是否将允许对服务功能的访问。因此，将服务秘密与用户访问代码的结合，以避免了在结合服务与常规用户接口中固有的缺点的方式，解决了认证并授权服务接口访问的问题。

附图1描述了依照本发明的实施例对用户接口提供服务访问控制的计算机系统100。在附图1中，远程客户端110、112例如通过网络访问服务器120经由网络122例如因特网耦合到网络入口。网络访问服务器可以耦合到客户网络130。本地客户端140也可以提供对客户网络130的入口。网络服务器150提供了对用户数据152的访问。认证和授权(Auth2)服务器160耦合到用户网络130用于准予通过有效的用户ID和口令对客户数据和网络服务器的访问。认证和授权数据库162存储数据，用于验证用户身份并确定经过验证的用户具有什么访问权。

附图2描述了依照本发明的实施例的认证和授权数据库200的一个实例。在附图2中，认证和授权数据库200表示所有合法的用户210的类别。在所有合法的用户210的类别内，可以提供子集。例如一些用户可以是一个子集的成员，其可以访问第一组功能或数据220。第二个用户子集可以访问第二组功能或数据230。而且，依照本发明的实施例，认证和授权数据库200包括用于认证并授权对服务功能240的访问的信息。

依照本发明的实施例，服务秘密与标准用户口令结合在一起，以使得系统可以检测服务授权和认证而不必要求服务入口存在的任何外部标记。附图3示出了依照本发明的实施例的访问信息的数据结构。访问信息设置在数据结构300中，该数据结构将服务秘密与标准用户口令结合在一起。在附图3中，数据结构包括服务秘密310和用户口令320。在本发明的一个实施例中，服务秘密只可通过第三方诸如系统供应商或制造商来获得。系统可以检测到出现在复合口令300中的服务秘密310。将服务秘密310和用户口令320结合在复合口令300中的效果可以由系统还原以生成原始的用户口令。将服务秘密与标准的用户口令结合在一起可以使得常规用户接口支持服务功能而没有任何负面影响，诸如危及安全或者额外的认证挑战。该方法也允许以不危及安全的方式来插入基于时间的秘密。

虽然附图3表示的是服务秘密310和用户口令320的串接，本领域的技术人员将认识到也可以使用合并服务秘密310和用户口令320的其它方法，包括数学转换。例如在数学理论中存在多种满足该要求的转换。一些转换比其它的更加复杂。第一个较简单的方法是将服务秘密与用户口令串接。例如，如果用户口令是“foo”，服务秘密是“2701”，复合的口令可能是“foo.2701”。简单的转换的优点是它可以由服务人员在心里执行。缺点是它使得服务秘密更易于被非服务人员发现。

更复杂的例子包括利用逻辑XOR(“异或”逻辑)将服务秘密与用户口令结合在一起。秘密310可以是一系列4比特组。用户口令320的连续字符将考虑使用它们最低的4个比特。通过将每组秘密310与口令320中的每个字符进行异或运算，并预先设置标志(flag)字符例如“.”来形成复合的口令300。例如，如果秘密310是0xBEEF并且用户口令320是(ascii)“hush！”，复合的口令将是“.g{}g！”。位首的点示意系统提取服务秘密310。系统将0xBEEF与“g{}g！”进行异或运算生成“hush！”。在该情况下，服务人员可以访问安全的站点来计算复合的口令300。

为了进一步限制服务人员访问，服务秘密310可以是基于时间的，以方便其向服务人员的分配。这里的要求是该系统和服务组织可以基于大约等于当前的日期或时间的值独立地计算服务秘密。

此外，一些计算基于时间的秘密的方法可能比其它的更复杂。例如，将当前日期作为其种子的简单的伪随机函数可以生成服务秘密，该秘密对于临时检查是随机的，并且除了日期外不需要其它的输入。更具体地，基于时间的秘密可以通过计算(((Y*1000+J)*17)模65533)来得到，其中Y是年，J是Julian日期。可以以简单的命令过程文件(shell script)来计算该函数。

根据该系统，可能需要允许系统时间在系统中稍微有些不同。在这种情况下，为了认证，该系统可以基于几个不同的系统时间来计算服务秘密并接受那些秘密中的任何一个。例如，如果服务秘密是从公元日期计算的，系统可以接受基于昨天的、今天和明天的公元日期的秘密。

附图4是依照本发明的实施例对用户接口提供服务访问控制的方法的流程图400。首先，服务人员从独立的源例如系统供应商或制造商获取服务秘密410。如上所述，可以使用基于时间的秘密，由于不用参照特定的用户系统就可以对其进行计算和分配，所以其简化了分配。而且，如果秘密被损害，则该秘密连同用户认证和授权凭证只适于有限的时间，因此在其分配中需要较少的安全措施。

接下来，客户准许服务人员利用有效的用户ID/口令访问系统420。由于对系统的访问完全是以标准的方式在用户的控制下进行的，不需要服务入口禁止开关，客户可以跟踪服务访问。

服务人员将服务秘密与有效的用户ID/口令结合在一起以生成新的口令，并提供该新的口令连同用户ID以通过用户接口来访问系统422。由于两种秘密从外部结合到了软件系统，使得单独的服务认证步骤就不必要了。脚本中不需要特殊的服务授权协议从而简化了脚本编辑。

该系统确定是否可以从提供的口令中提取有效的服务秘密430。如果不可以432，系统采取非服务的访问尝试440并检测认证和授权凭证470。如果系统发现有效的服务秘密434，该过程也生成由用户提供的原始的口令450。系统采取服务访问尝试460。口令用于检测认证和授权凭证470。由于在任一种情况下系统以标准的认证和授权校验结束，该服务访问系统不需要来自客户的特殊的步骤，但仍没有给予对服务功能的未授权的访问。在用该方法认证用户之后，登录的用户的能力可以被增大，同时客户用户不可获得对服务功能的访问。

附图5是依照本发明的实施例用于认证和授权程序的典型的用户接口的流程图。在图5中显示了在用户接口510、系统520以及认证和授权目录540中进行的动作。时序从上到下进行。箭头表示控制的传输。首先，服务人员获得服务秘密并将其与用户提供的口令结合在一起512。用户或服务人员向系统提供用户ID和口令514。系统检测由用户或服务人员提供的口令，以检测服务秘密的存在522。如果检测到服务秘密，系统设置服务标志并从口令中移除服务秘密。系统向认证和授权目录请求用户ID和口令检查以及与用户ID和口令相关的访问角色(role)的识别524。该目录执行用户ID和口令检查并向系统返回与用户ID相对应的访问角色542。

如果用户ID和口令是有效的，系统确认对相应角色的访问合法；否则，系统向用户或服务人员返回错误消息526。用户或服务人员然后请求操作516。系统检查执行被请求的操作所需的角色，并检查该操作是否是服务功能528。如果经确认的角色不足以允许该操作，将错误返回到用户或服务人员530。如果操作是服务操作，并且没有设置服务标志，则将错误返回到服务人员532。否则，执行操作并将结果返回给用户或服务人员534。用户或服务人员接收该操作的结果518。

因此，客户使用服务接口是受控制的，因为为了获得稳定的访问，他们将不得不学习生成服务秘密口令的算法。没有给出外部可见的服务接口的指示。特殊的服务接口或服务启用开关损害安全性，因为它的存在公告了攻击系统的另外的途径。从用户接口角度考虑，依照本发明的实施例的系统提供了单一的认证和授权步骤，而服务认证和授权与用户认证和授权的分离使得脚本编辑更加复杂。要求用户将认证和授权凭证授予服务人员，使得对系统的服务访问完全可见。它也意味着用户不能否认已经准许了访问。

依照本发明的实施例的系统允许服务和用户共同控制服务访问。一些服务访问入口避开了用户认证和授权，这是很多用户所不希望的。因此，如果非服务人员知道了服务授权秘密，本发明防止了用户的系统的安全性被削弱。对于服务访问使用用户认证和授权意味着可以支持多种用户控制的授权等级。而且，本发明的实施例允许基于时间的服务秘密而不危及系统的安全。基于时间的服务秘密易于生成并且可以集中分布。

本领域的技术人员将认识到，参照附图4和5描述的本发明的实施例的上述实例并不意味着将本发明限制到由特定类型的人员执行的功能。例如，尽管将服务人员描述为获取服务秘密并将服务秘密与有效的用户ID/口令相结合，可以以允许额外的和/或其他的人员执行上述功能的方式来实现本发明。例如可以指派客户的雇员，其具有系统维护的责任，并且因而起服务人员的作用。而所有非服务用户，其包括其它的客户用户，将不具有获取服务秘密的能力，因而将不向其提供对服务功能的访问。

附图6描述了依照本发明的系统，其中参照附图1-5描述的过程可以包含在计算机可读的介质或载体中，例如附图6中所描述的一种或多种固定的和/或可移动的数据存储设备668，或者其它数据存储或数据通信设备。表示包含在可移动的数据存储设备668上的过程的计算机程序690可以存入存储器692或存入控制器系统600，例如处理器610中以构成附图6的控制器系统600，以便执行。该计算机程序690包括指令，当附图6的控制器600读取并执行该指令时，所述指令使得控制器系统600执行运行本发明的步骤或要素所必须的步骤。

本发明的典型的实施例的以上描述已提出了描述和说明的目的。它并不意味是穷举的或者是将本发明限制到所公开的详细形式。根据上述的说明，多种修改和变化是可能的。意味着本发明的范围并不是由该详细的描述来限定，而是由附加的权利要求来限定。