通过多个外部登记从主登记检索明码口令制造技术

技术编号:2890427 阅读:183 留言:0更新日期:2012-04-11 18:40
公开一种在一个主数据存储器和多个辅助数据存储器之间提供口令同步的网络系统服务器。该网络系统服务器包括:一个和主数据存储器连接的安全服务器;多个客户机,它们和安全服务器连接以便访问主数据存储器,其中每个客户机保持一个唯一的可修改的口令;一个口令同步服务器,它和安全服务器以及多个辅助数据存储器连接;以及一个和口令同步服务器连接的口令库,它存储口令。(*该技术在2016年保护过期,可自由使用*)

【技术实现步骤摘要】
本申请和名称为“从一个主登记向多个外部登记传播明码口令”的美国专利申请08/557,755以及名称为“用于共享资源环境中的可配置口令完整性服务器”的美国专利申请08/556,724有关,这三篇专利申请在相同的日期由本专利技术人们提交并转让给此间的受让人,并且在此互为参考。本专利技术一般地涉及数据处理系统,尤其涉及在带有口令同步化的诸数据处理系统之间的资源共享。更具体来说,本专利技术还涉及为客户机/服务器系统的每个用户提供从通用库到多个本地资源之间的口令同步化。在技术上计算机网络是众所周知的,其规模和复杂性都在继续增加。通过把更多的计算机连接到网络里以及把网络连接到其它网络助长了这种发展。这样做是为了使计算机能够有效地一起工作并且简化对诸如文件、应用程序、打印机甚至专用计算机的资源的共享。遣憾的是,许多网络包含来自不同厂家的计算机,从而使计算机一起有效工作的任务复杂化。这种“多厂商”网络里的计算机通常难以一起运行,因为它们不采用公共的数据格式或者不采用公共的安全机制。缺乏公共网络命名模式也限制着计算机能共享信息的程度。为了克服上述的许多问题,组建了开放系统基础集团(“OSF”),该集团已经开发了把一组连网的计算机变换为单一的、相干的计算引擎里的分布计算环境(“DCE”)。DCE屏蔽了各种不同类型的计算机之间的差异,从而使用户利用广泛分布的资源如存储器设备、CPU及内存能够开发和执行可以挖掘网络的潜在能力的分布式应用程序。因为这些应用程序的分布的部分可以被并发执行,比起必须顺序地对数据起作用的单处理器应用程序这些应用程序要强有力的多。遣憾的是,即使分布式计算环境也具有他们自身的问题,例如一个问题是如何保护必须由多个用户共享的数据。另外,事件必须在独立的计算机和具有不同的数据格式的计算机之间保持同步而且各文件命名模式必须允许彼此合作工作。DCE克服许多这样的问题并且对这些使人烦恼的问题提供解决办法。工业中对DCE是周知的,这样的一个例子显示在附图说明图1中。图1是一个为DCE文件服务3提供的DCE应用编程接口1的方块图。DCE是屏蔽不同种类主机之间差异的一层软件。作为一层软件,它位于主机操作系统5和用于网络传输7的连网服务的上部。DCE分布式服务其包括安全措施9、目录11、计时13、远程过程调用(“RPC”)15和调度服务17。RPC15和调度17是可以在每个安装着DCE的系统上得到的基本DCE服务。图1进而表示DCE文件服务如何类似于一个利用基础DCE服务用于分布的应用。DCE目录服务进而包括单元目录服务19(“CDS”)和全局目录服务(“GDS”)21,其通过调用目录服务(“XDS”)应用编程接口(“API”)程序利用DCE目录。典型地,每个用户必须首先通过利用一个保密口令验明他或她的标识以登录本地主机。本地主机利用仅由该用户和该本地主机知道的该口令作为该用户自称他或她是谁的证明。一用户登录本地主机之后,通常还通过和每个文件关联的许可或特权手段保护主机资源。这种许可管理一个用户是否可以读、写或执行这个文件。单个本地主机上的用户数典型地足够少,从而只有该主机就可以管理全部的口令和许可功能。另一方面,一个分布式计算环境可能在该环境下支持几百个或几千个本地主机上的几千个访问文件的用户。因为在该环境中的每个主机上保存每个DCE用户的保密信息是不实际的,DCE从一个集中式数据库中对保密信息进行服务。该数据库和分布式的数据自适应鉴定器和监测器及库集构成DCE安全服务。当服务器实施安全措施时,每个客户机必须提供它的用户的标识和访问权。这些是在第一次RPC调用中提供的,并且在高保密环境下有时要在每次RPC调用时提供。因为对DCE的各个资源-目录、文件、打印机等等-的访问是由一个服务器控制的,服务器对鉴别及授权的请求要求综合网络安全性。这一点适用于例如CDS的DCE服务器,也适用于用户的应用服务器。在允许访问资源之前该服务器验证客户机的鉴别和授权。典型地,安全服务功能是建立在各应用中的。这意味着客户机调用本地的安全例行程序以从安全服务器中请求鉴别信息并且把这个鉴别信息传给其它的服务器。服务器也调用安全例行程序以验证鉴别信息并且实施授权。鉴别是向其它方证明自己的标识的能力。授权是根据用户的标识管理访问的能力。口令用于担保鉴别并且进而用于获得授权。在DCE中,也称为登记(registry)的安全服务作为单一的保密源服务并且管理有关用户、群体等的信息。这赋予一个公司一个单一的定义和管理用户的场所。这种方法上的一个局限是口令的传播。大部分登记又存储用户口令的加密版。然而,经常每个登记的加密机理和任何的其它登记的加密机理晃同的,尤其在一个采用着来自不同的厂家的不同的登记的系统中。因此,由DCE登记加密的口令可能不能由不同于DCE主登记厂家的厂家制造的其它的登记使用。因此,这会是有益的,即能够把明码口令可靠地从DCE登记传播到和DCE登记同步化的各登记器从而这些其它的登记然后可以按照它们自己的格式加密该口令。这将允许一个用户避免具有多重其中之一用于保密登记器的口令,并且避免必须在每个登记人工地更新这些口令以确保这些口令在所有的保密登记器上是相容的。此外,DCE登记不提供增殖新的希望把以来自DCE登记的用户和口令增殖其数据库的非DCE或外部登记的手段。这是因为DCE本身典型地只存储加密的口令并且新的登记不能在对一个给定的用户口令发生更新之前得到的增殖给它的数据库所需的明码口令。因此,这一点,即提供一种克服现有的不能在给定用户口令出现更新之前向新的登记传播口令的上述问题的系统,是有益的。本专利技术的首要目的是提供一种口令同步化功能,这种功能允许外部登记和由一个在主登记中安全服务保持的同步一起保持本地口令的同步。只要系统帐户被定义或者经过口令更换这种功能允许任意数量的外部登记自动地为这些对它们感兴趣的系统帐户接收口令,这种功能还允许一旦提出要求为这些帐目获取口令。为了接收这些口令更新外部登记必须使用系统服务,这允许外部登记保持口令同步。主登记充当中央库,存储为了向特定的多个外部登记进行传播那些口令改变是合适的控制信息。在一种实施方式里,公开一种在主数据存储器和多个辅助数据存储器之间提供口令同步的网络系统服务器。该网络系统服务器包括一个安全服务器,其和主数据存储器连接;多个客户机,为了访问主数据存储器它们和安全服务器连接,其中每个客户机保持一个唯一的、可修改的口令;一个口令同步服务器,它和安全服务器以及多个辅助数据存储器连接;以及一个口令库,它和口令同步服务器连接并且存储口令。任何一个辅助数据存储器可以经过口令同步服务器检索口令,从而每个客户机能够在多个辅助数据存储器之间保持单个唯一的口令。与本地数据存储器的当前口令状态无关,口令检索由多个辅助数据存储器中的至少一个激发。主数据存储器进而保存一个用于多个客户机的每一个的包括着用户口令的信息帐户,一个用于口令同步服务器把多个辅助数据存储器的每一个和多个客户机的每一个结合的信息帐户,以及一个用于各个辅助数据存储器的信息帐户。安全服务器向口令同步服务器提供明码口令以便传播给多个辅助数据存储器的每个存储器。此外,安全服务器包括用于加密明码口令用于存储在信息帐户里的装置。另外还设备和口令同步服务器连接本文档来自技高网...

【技术保护点】
一种在一个主数据存储器和多个辅助数据存储器之间提供口令同步的网络系统服务器,包括: 一个和所述主数据存储器连接的安全服务器; 多个客户机,它们和所述安全服务器连接以便访问所述主数据存储器,其中每个客户机保持一个唯一的可修改的口令; 一个口令同步服务器,它和所述安全服务器以及所述多个辅助数据存储器连接;以及 一个和所述口令同步服务器连接的口令库,它存储所述各口令,所述辅助数据存储器中的一个可以通过所述口令同步服务器检索所述这些口令,从而各个客户机能够在所述多个辅助数据存储器之间保持单个,唯一的口令。

【技术特征摘要】
...

【专利技术属性】
技术研发人员:乔治罗伯特布莱克里三世伊万马塞罗米尔曼韦尼杜比西格勒
申请(专利权)人:国际商业机器公司
类型:发明
国别省市:US[美国]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1