访问web服务资源的请求基于接收到的请求的类型来评估。除非提供授权请求的认证的足够证明,否则不授权该请求。认证服务评估一个或多个因素以确定是否认证客户机。在得到认证服务的认证后,向web服务提供授权对web服务资源的访问的认证的证明。
【技术实现步骤摘要】
【国外来华专利技术】对访问web服务资源的请求专用认证祖且 冃尿当用户试图通过诸如因特网等网络来访问受保护的远程资源时,该用户通 常遵照由控制该资源的服务器发出的策略陈述。该策略陈述提供发起与资源的 通信所需的认证和授权规则集。例如,策略陈述可能要求用户在访问资源之前 提供口令。如果该用户提供正确的口令,则认证该用户的身份并允许访问该资 源。虽然策略陈述认证方法在其中单一的认证形式足以发起与受保护资源的 通信的情形中起到很好的作用,但策略陈述在动态环境中无法起到很好的作 用。在动态环境中,在客户机和受保护资源之间的通信开始时的单个认证实例 可能不够。例如,当用户试图访问具有受保护资源的网站时,对于该用户而言 通过输入口令来提供认证在最初可能是足够的。然而, 一旦用户可访问该网站, 该用户就可尝试改变他或她的口令,更新目录、访问高度受保护资源或请求诸 如系统管理员组等提升的访问组的特权。在这种情况下,该用户正在请求执行 不止简单地查看信息的动作。这些动作具有对受保护资源造成大量破坏的可能 性。某些认证方法在使得能够与资源进行通信之前需要认证。然而,在动态环 境中,在接收到请求访问受保护资源的实际请求之前难以确定要应用什么认证 和认证规则。概述本专利技术的各实施例涉及用于消息专用认证的系统、方法和数据结构。 一方 面是用于控制对受保护web服务资源的访问的计算系统。该计算系统包括通信 设备、处理器和存储器。该通信设备跨通信网络进行通信。该处理器通信地连 接到该通信设备。该存储器存储程序指令,该指令在由该处理器执行时使该计 算系统执行一种控制对受保护web服务资源的访问的方法。该方法包括从客户 机接收从通信网络访问受保护web服务资源的第一请求;确定该客户机已根据第一因素来认证;基于根据该第一因素的认证来授权该访问受保护web服务资 源的第一请求;从客户机接收从通信网络访问受保护web服务资源的第二请 求;基于根据不足以授权该第二请求的第一因素的认证来拒绝该访问受保护 web服务资源的第二请求;确定客户机已根据第二因素来认证;以及基于根据 该第二因素的认证来授权该访问受保护web服务资源的第二请求。另一方面是一种认证客户机以便访问web服务资源的方法。该方法包括 (i)从要认证的客户机接收请求;(ii)向该客户机发送质询消息;(iii)从该客户 机接收对该质询消息的确认响应;(iv)确定该确认响应满足预定准则;(v)确 定要认证的请求需要进一步认证;(iv)以第二质询消息、第二确认响应和第二 预定准则来重复(ii)到(iv);以及(v)向该客户机发送认证消息。又一方面涉及一种包含计算机可执行指令的计算机可读存储介质,所述指 令在由计算机执行时执行一种控制对受保护资源的访问的方法,所述方法包 括从客户机接收标识web服务的受保护资源的请求;向客户机发送向认证服 务请求认证的响应;在向该认证服务认证后从该客户机接收认证令牌;确定该 认证令牌是否足以授权该请求;如果该认证令牌足以授权该请求,则授权该请 求;以及如果该认证令牌不足以授权该请求,则拒绝该请求。各实施例可被实现为计算机进程、计算系统、或者诸如计算机程序产品或 计算机可读介质等制品。计算机程序产品可以是计算机系统可读并编码用于执 行计算机进程的指令的计算机程序的计算机存储介质。计算机程序产品也可以 是计算系统可读并编码用于执行计算机进程的指令的计算机程序的载波上的 传播信号。提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的 一些概念。本概述并不旨在标识所要求保护的主题的关键特征或必要特征,也 决不旨在用于限制所要求保护的主题的范围。附图简述附图说明图1是被配置成执行动态认证的示例系统的框图。图2是示出用于动态确定是否需要认证的示例方法的流程图。图3是示出用于认证客户机的示例方法的流程图。图4是示出用于动态控制对受保护资源的访问的示例方法的流程图。 图5是示出用于控制对受保护资源的访问的示例方法的流程图。 图6是用于实现本专利技术的各方面的示例性计算系统的框图。详细描述本专利技术现将参考其中示出了各具体实施例的附图来更完整地描述各示例 性实施例。然而,其它方面能以许多不同的形式来实现,并且在本专利技术中包括 具体实施例不应被解释为将这些方面限于在此所述的各实施例。相反,包括附 图中描绘的各实施例是为了提供全面和完整且将预期的范围完全地传达给本 领域技术人员的公开。在参考附图时,使用相同的附图标记来指示所有附图所 示的相同的结构和元素。本专利技术的某些实施例涉及用于消息专用认证的系统和方法。一方面是在允 许客户机访问受保护资源之前确定是否需要认证的方法。一般而言,认证是验证由诸如计算系统、客户机、系统或人等某物作出的 身份声明的真实性的过程。认证计算系统通常包括确认其来源或源。对来源或 源的确认通常通过将诸如制造地点和时间、网络上的位置、物理位置、标识号 等关于声明特定身份的计算系统的信息与关于该特定身份的已知信息进行比 较来实现。然而,认证一个人的动作涉及例如,确认这个人的身份。存在可用于认证 的许多不同的标识特性。 一种标识人的方法涉及检测生物测定标识符。该认证方法要求声明一身份的人提供诸如DNA、指纹图案、视网膜图案等声明该身份的人的唯一特征形式的验证。能够验证一个人的身份的另一种方式是通过这个人所知道的某样东西。该认证方法要求声明一身份的人提供诸如口令、pin 号等个人信息形式的验证。能够验证一个人的身份的另一种方式是通过这个人 所具有的某样东西。该认证方法要求声明一身份的人提供诸如钥匙、安全卡、 安全令牌、信用卡等对象形式的验证。这些认证方法可在被称为多因素认证的 过程中单独或一起使用。一般而言,在认证客户机时,该过程包括认证客户机或认证使用该客户机 的人的身份。在一个实施例中,该客户机可以是web浏览器。在另一实施例中,8该客户机可以是被配置成作出远程过程调用的程序,或者与受保护资源进行通 信的任何其他应用程序或程序。在动态环境中,各种类型的认证以及用于认证客户机的规则取决于所作出 的各种类型的访问受保护资源的请求而变化。例如,请求査看受保护资源的消 息可能需要比请求修改该受保护资源的消息较不费力的认证。在一个实施例 中,受保护资源是仅特定用户可访问的专用网站。在另一实施例中,受保护资 源可以是私人电子邮件组、受保护数据、受保护方法、受保护过程、受保护操 作或者应被限于特定用户或客户机的任何其他类型的受保护信息或功能。图1是被配置成执行请求专用动态认证的示例系统100的框图。在所示实施例中,系统100包括客户机102、 web服务104和认证服务108。 web服务 104包括受保护资源106。在该实施例中,客户机102期望获取对受保护资源 106的访问权。然而,受保护资源106被保护以免被未经认证的客户机访问。 客户机102、 web服务104和认证服务108被配置成跨网络110进行通信。网 络110是数据通信路径。在一个实施例中,网络110是因特网。在其他实施例 中,网络110是局域网、内联网、无线网络或者被配置成将数据从一个计算设 备传递到另一个计算设备的任何其他通信路径。在一个实施例中,客户机102是计算系统。在其他实施例中,客户机102 是被配置本文档来自技高网...
【技术保护点】
一种用于控制对受保护web服务资源(106)的访问的计算系统(104),所述计算系统(104)包括: 用于跨通信网络(110)进行通信的通信设备(612); 通信地耦合到所述通信设备(612)的处理器(602);以及 存储程序指令的存储器(604),所述指令在由所述处理器(602)执行时使所述计算系统(604)执行一种控制对受保护web服务资源(106)的访问的方法。所述方法包括: (i)从客户机接收从所述通信网络(110)访问所述受保护web服务资源(106)的第一请求; (ii)确定所述客户机已根据第一因素来认证; (iii)基于根据所述第一因素的认证来授权访问所述受保护web服务资源(106)的第一请求; (iv)从所述客户机(102)接收从所述通信网络(110)访问所述受保护web服务资源(106)的第二请求; (v)基于根据不足以授权所述第二请求的第一因素的认证来拒绝访问所述受保护web服务资源(106)的第二请求; (vi)确定所述客户机(102)已根据第二因素来认证;以及(vii)基于根据所述第二因素的认证来授权访问所述受保护web服务资源(106)的第二请求。...
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:C迈克默特里,AT韦纳特,V梅列舒克,ME贾巴拉,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。