允许为外国系统登录自动确定服务器的方法和装置

摘要

一种用于提供自动用户访问鉴别的方法和装置,其中访问是由作为一个计算机企业的一个授权用户集合的一个成员的任何用户通过采用单个登录从与计算机企业可操作地相关的多个地理上分散的工作站中的任何一个向多个预定本地安全服务器中的一个进行的。该系统提供了通过采用标准目录协议例如X.500标准在多个网络协议上运行的能力。

说明书

本发明涉及一种用于使被授权用户从多个工作站中的任何一个对在地理上分散的网络自动进行访问的装置和方法。

现今的商业环境为信息所驱动，实现对信息技术(IT)的最有效使用是任何机构成功的关键因素。但IT的发展及其向团体和个人生活的各个方面的扩展已经对IT专业人员和终端用户提出了越来越多的挑战。

在过去十年间，IT系统的标准模型已经发生了显著的变化。在从一个单一的中心部门控制的基于主机的系统中，组织正迅速地移向分布式计算环境，其中，应用和服务处于不同卖方的硬件或操作系统上的网络上的任何地方。将计算机连接到网络以及将网络连接到其他网络的主要原因是使得计算机能够一起高效地工作，并简化资源共享。

分布式计算机系统常常为全球范围的，并且在分散的地理位置上包括成千上万的工作站。这种系统对于可能希望从世界上的任何实际地方访问他们的网络的商业旅客特别有用。例如，在一个远程站点的商业旅客可能希望检索最新的成本数据、获得一个未决定的定单的状态、发出一个新的定单或仅仅阅读e-mail。然而，现在安装的许多客户机-服务器网络包括范围很广的阻止或至少使这个任务复杂化的独立网络服务器资源。本文中的“独立”的意思是，与共享用户数据库不同，网络资源是独立的。在一个独立网络中，在地理上距离他们的家用终端很远的、希望登录到他的家用网络服务器上的用户被迫输入路由和鉴别信息，例如网络服务器ID、用户标识和口令，以访问保持其帐户的本地独立网络资源。忘记口令和访问错误的服务或应用只是用户试图通过选择容易记住的口令及甚至将登录信息写在容易看到的地方来消除的两个挫折。然而，这样做会破坏安全性。熟悉网络命名约定的计算机了解用户可以容易地克服从远程位置在一个人的工作站上签名的不便，但大多数其他网络用户必须推迟完成任务或可能求助于获得信息的其他非网络装置。

现代的日间计算环境的来自恶意的或不小心的雇员、黑客或者甚至间谍的真实的和潜在的高代价风险有时被容忍，以维持生产率并避免由妨碍合法用户的安全措施引起的管理间接费。现有技术中的访问服务已经被开发为解决在用户试图从远程位置访问分布式网络时所产生的问题。这些服务通过使用存储在本地存储器中的鉴别数据向用户提供对远程网络资源的访问。例如，颁给Sudama等的美国专利5,483,652公开了一种用于允许客户实体在只了解一个服务或资源的普通名称的情况下请求对该服务或资源的访问的方法和相关装置。然而，该系统在特征上设想一个用户试图从他/她的工作站访问远程网络资源(例如，打印机、专用计算机和独占文件)，并不向用户提供登录到网络或从远程工作站访问这种资源的能力。

另一方面，Slaughter等人的美国专利5,598,536公开了一种用于向远程用户提供通过远程访问网络服务器访问他们的本地计算机网络的装置和方法。在这个系统中，远程用户输入一个唯一的用户ID串，以获得对远程计算机的访问。一旦鉴别了该远程用户，则准许该远程用户对本地网络的访问。虽然在Slaughter等中公开的系统已经克服了在该概念之前存在的许多不便，但仍然需要用户使用两个不同的鉴别串，这取决于他/她是否试图从一个本地或远程工作站登录到他们的本地网络服务器。

颁给Jones等人的美国专利5,655,077公开了一种用于鉴别从多个用户工作站对异类计算服务进行访问、同时使用户交互的数目最小的方法和系统。为了获得对Jones等人的系统的访问，用户指定一个首要登录提供者来提供初始用户界面。用户输入标识信息，计算机系统执行一个登录序列，该登录序列首先调用标识的首要登录提供者。系统鉴别所采集的标识信息，以便向用户提供对网络计算机服务的访问。如果系统登录程序不成功，则登录序列显示一个附加屏幕，以采集附加登录信息。登录序列然后调用其他登录提供者的登录例程，以便允许在不显示附加用户界面的情况下鉴别已经采集到的鉴别信息。虽然这个系统试图以最少数目的用户交互将用户登录在网络上，但它在准许用户访问网络之前需要用户指定一个首要登录提供者，然后输入多达两个的用户鉴别信息串。

在Sadovsky的美国专利No.5,689,638中公开了减少进行系统登录对用户交互的需要的另一个概念，该专利公开了一种用于提供对独立网络资源的访问的方法和系统。在系统登录中，将登录数据存储在一个客户计算机的存储器中。当一个服务器被访问时，将服务器鉴别数据存储在一个高速缓存器中。可以在稍后运用系统登录数据和鉴别数据来访问另一个独立资源，而不需要进一步的用户交互。然而，这个专利没有解决鉴别来自远程工作站的、其默认服务器没有存储在其中的允许初始鉴别所必须的用户信息的用户的问题。换句话说，如果默认服务器未识别出输入的用户名和口令，则拒绝对网络的访问。

希望在远程网络服务器上登录的网络用户所面临的另一个问题是必须通过因特网通信以及必须与在因特网上操作的多个协议(例如，IPX，TCP/IP，NetBEUI等)相接合。在过去，由于在用户与各种网络实体之间的语言和通信障碍，希望通过多个边界进行通信的用户不能容易地这样做。用户不得不知晓并适应每个数据存储实体的专用协议，以便将对信息的请求以可辨识的形式传送给该实体，并翻译所接收的信息。现有设备的限制在于它们仅仅提供实现简单协议以通过网络通信的能力。

在过去几年中，已经进行了很多努力来开发一个允许用户通过多个不同的网络协议进行通信的标准数据库协议。一个这样的标准协议是由国际电报电话咨询委员会(CCITT)开发的X.500标准。它提供了一个减少由在因特网上操作的多个不同协议所产生的通信障碍的标准协议，并允许由不同实体保持的局部目录相互进行通信。CITT，目录概述概念、模型和服务，X.500序列推荐标准，文件AP IX-47-E，X.500允许用户以方便的结构找到诸如个人和机构的电话号码、地址和其他细节等信息。X.500目录的特征还在于它们的高效处理大量高度分布信息的能力。

本发明极大地简化了通过应用过程上的一个单个的签名来签名到网络上的过程一旦用户通过一个登录过程登录，例如在1997年为PLATINUMtechnology版权所有的标题为“自动保密SSO”的V5.1特征指南中所述的被标识为AUTOSECURETM单个签到(SSO)的过程中实现，其中，用户输入用户名和口令，则系统通过允许对所有授权应用和服务的透明访问并提供对计算机网络的简单综合观察来完成剩下的工作。无论服务是处于本地还是远程网络服务器，在性能上的单个签名都起作用，并且它使用户可以在任何地方签到-即使当他们在旅行到远方时。并且，本发明并不限于只保护一个特定(异类)环境。它通过异类平台操作，这意味着它可以用于从任何卖方或卖方混合控制系统。这使得在现在以及将来它都可以更多地应用于可以包括任何数目的不同卖主的平台的企业环境。

因此，本发明的一个目的是，通过提供允许用户从网络上的多个在地理上分散的用户工作站中的任何一个以相同的用户名和口令登录上计算机网络的装置和方法，简化准许用户访问一个异类网络的任务。

本发明的另一个目的是实现上述目的，还提供一个允许用户通过使用单个用户名、口令和用户角色从企业的任何一个工作站登录到一个内联网上的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供一个允许用户通过包括多个网络通信协议的网络进行透明通信的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供一个首先向本地安全服务器发送来自一个用户工作站的登录请求的网络访问装置和方法，其中所述本地安全服务器准予鉴别请求或识别网络上的可以准予鉴别请求的第二个本地安全服务器。

本发明的又一个目的是实现上述的一个或多个目的，还提供一个通过检索处于一个本地安全服务器上的本地鉴别数据库以确定是否准许用户通过所述本地安全服务器访问网络来评价一个登录请求的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供一个将存储在本地鉴别数据库中的口令加密的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供一个在用户被拒绝通过第一本地安全服务器进行网络访问的情况下访问处于一个本地安全服务器的内部存储器中的网络数据库、以识别网络上的可以准予一个鉴别请求的第二本地安全服务器的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个在第一本地安全服务器不能准予网络访问的情况下将来自第一本地安全服务器的鉴别请求直接传送给第二本地安全服务器的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个在没有任何用户交互的情况下自动将来自用户工作站的鉴别请求传送给至少一个本地安全服务器的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个保持关于对访问网络资源的所有失败尝试的审计记录的网络访问装置和方法。本发明的又一个目的是实现上述的一个或多个目的，还提供了一个监视对访问网络资源的失败尝试的次数和在失败登录尝试次数超过一个数据库数目的情况下禁止网络资源的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个提供多余本地安全服务器性能的网络访问装置和方法，其中，在首要本地安全服务器由于某些原因不能被使用的情况下可以使用一个或多个备用服务器。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个允许用户仅仅通过输入用户名和口令来登录到可从网络上的任何用户工作站到达的最高优先权的本地安全服务器上的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个在每个本地安全服务器上保持授权网络用户的单个中央X.500数据库的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个为在企业上操作的每个本地安全服务器保持一个连接信息映像(map)的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个采用一个服务映像文件服务器来为在企业上操作的每个本地安全服务器向每个相关工作站周期地提供连接信息的更新映像的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个通过系统地轮询企业上的其他本地安全服务器来为每个本地安全服务器保持连接信息的更新映像的网络访问装置和方法。

本发明的又一个目的是实现上述的一个或多个目的，还提供了一个允许用户登录到网络上以便根据用户角色来访问网络服务的各个分类的网络访问装置和方法。

本发明的又一个目的是提供一个在每个本地安全数据库上保持一个单个的X.500数据库的网络访问装置和方法，所述数据库包括具有被授权访问每个本地安全服务器的相关口令的用户。

本发明的这些和其他特定目的在一个分布式计算网络中得到的证明，该分布式计算网络提供了通过采用单个登录将位于多个用户工作站之一的用户登录到多个预定网络服务器中的一个上的适应能力。在一个最佳实施例中，适于连接到用户工作站的首要本地安全服务器鉴别由用户在工作站输入的用户标识信息，或在用户提供的准许访问本地安全服务器的鉴别信息无效的情况下产生一个失败登录信号。然后，在本地安全服务器上操作的个人服务器从本地安全服务器接收该失败登录信号，识别一个替换本地安全服务器ID，其中，先前输入的用户名对应着一个有效用户，并将该替换本地安全服务器ID发送回第一本地安全服务器。当第一本地安全服务器接收到该替换本地安全服务器ID时，将用户标识信息发送给该替换本地安全服务器，用户在该替换本地安全服务器上被确认，并登录到计算机网络上。

图1是典型广域计算机网络的原理方框图；

图2是典型本地计算机网络的原理方框图；

图3是本地鉴别数据库记录的结构的示意图；

图4是典型服务映像文件记录的结构的示意图；

图5是典型网络数据库记录的结构的示意图；

图6a和6b是显示依据本发明的最佳实施例将用户登录到网络上的计算机化过程的流程图。

在下面对最佳实施例的详细说明中将参考附图，其中附图形成本发明的一部分，并通过一个实现本发明的特定实施例显示了本发明。对这个实施例进行了十分详细的说明，使得本领域普通技术人员能够实现该发明，并且，应该理解，在不偏离本发明的范围的情况下，还可以采用其他实施例和进行结构改变。因此，下面的详细说明不能被认为是对本发明进行的限制。

在这个说明书中，术语“服务器”指的是支持某些功能的软件过程或过程集。本地安全服务器是一个在终端用户能够获得对计算机网络上的应用程序和系统的访问之前终端用户必须鉴别的安全访问控制软件过程。

参看图1，在计算机网络系统或企业10中，计算机工作站11和21分别通过通信链路15和35与本地安全服务器(LSS)12和22相连。虽然图1显示了一个与每个LSS相连的单一用户工作站，但对本领域普通技术人员来说显而易见的是，任何数目的工作站可以与每个LSS相连。每个本地安全服务器(12和22)被构造为在对服务器的用户鉴别之后允许多个用户对服务器的访问。一旦用户被准许通过LSS(12和22)访问网络，则LSS用作为一个网关，向用户提供对该服务器被授权访问的所有网络服务的访问。可以将一个LSS指定为默认、首要和/或备用LSS，这取决于上下文。更具体地，默认LSS是在客户机软件中由系统管理员指定的LSS，用作为特定工作站的第一服务器，以便当有人试图采用该用户工作站访问网络时，系统将自动将该请求发送给该工作站的默认LSS。另一方面，首要服务器是由系统管理员指定的、用作为一特定用户在试图访问网络时总被登录上的服务器的LSS。备用服务器相应地是与首要服务器具有相同用户信息的LSS。当用户的首要服务器由于某些原因不能使用时，可以使用备用服务器。每个首要服务器可以具有一个或多个备用服务器。对本领域普通技术人员来说显而易见的是，LSS可以服务于多个工作站的多个目的。再参看图1，LSS 12可以用作为用户工作站11的默认LSS和用户工作站21的备用服务器以及一特定用户的首要LSS。实质上，一个LSS可以是一些用户工作站的默认LSS、其他工作站的备用LSS以及一些用户的首要LSS。

客户机软件过程40(如图2所示)在每个计算机工作站11和21上运行。当工作站上的用户希望获得对计算机网络的访问时，在用户工作站上操作的客户机将网络访问请求发送给一个默认LSS来进行鉴别。工作站的默认LSS的逻辑位置和身份是存储在工作站客户机中的数据值。默认LSS可以是离该工作站最近的服务器，或者可以是在网络的其他地方运行的另一个LSS。图1中的LSS 12或LSS 22可以是工作站11的默认服务器。LSS 22或LSS 12还可以是工作站21的默认服务器。需要指出的是，分配给工作站的默认LSS可以由系统管理员容易地修改。

为了增加网络的一个新用户，系统管理员生成一个新的本地鉴别数据库记录(图3)，并将该记录拷贝到将要变为新用户的首要LSS的LSS的内部存储器中。在最佳实施例中，一旦将新记录拷贝到首要LSS的本地鉴别数据库中，则如同在服务映像文件中所规定的(这将在后面讨论)，首要LSS自动将新用户记录的拷贝发送给首要LSS的所有备用服务器，其结果为，新用户作为有效用户被自动存储在备用服务器的存储器。为了提高安全性，整个记录或至少用户名和口令可以在发送给备用服务器之前被加密，然后在接收之后解密。

存储在每个工作站中的还有服务映像文件。如图4所示，服务映像文件41包含所有网络LSS及其相关备用服务器的名称和逻辑地址的列表。备用服务器是网络上的另一个LSS，在其本地鉴别数据库中具有与默认LSS相同的用户信息。当客户试图访问一个LSS时，如果该LSS不可用，则调用它的备用服务器来处理一个登录请求。备用服务器通过网络数据库入口与一个特定的LSS相联系。图5显示了可以存储的一种类型的记录的一个例子。可以由系统管理员将这个网络数据库入口输入进系统。网络数据库43的每个记录包括一个LSS，以及其逻辑位置和相关备用服务器名称和逻辑位置以及被授权登录上LSS的用户名。在最佳实施例中，网络数据库可以以X.500或其他合适的数据库的格式驻留在LSS的磁盘存储器中。

每个LSS还可以分别通过通信链路20和40连接到因特网或类似的计算机网络。如图2所示，每个LSS具有到本地鉴别数据库42和网络数据库43的通路。这些数据库可以存储在内部或外部存储器或任何其他合适的存储器存储系统中。图3显示了本地鉴别数据库42的一个典型的数据库记录。如图3所示，每个记录至少包括用户名、口令和用户角色。用户可以具有几个本地鉴别数据库入口，每个入口对应于用户的一个不同的角色。角色例子可以包括“总经理”、“管理人员”、“职员”等，但不限于这些。其中，角色可以与机构内的特定部门或职位有关。用户的角色确定了用户可以访问哪些网络服务。网络服务可以是已经被适当地安装在服务器的内部磁盘存储器上的应用程序。可在每个本地安全服务器上使用和操作的服务由系统管理员指定并在将本地安全增加到网络上时安装在服务器的磁盘存储器上。网络服务可以由系统管理员在任何时候容易地增加、删除或修改。虽然这个说明书就有限数目的网络服务描述了本发明，但对于本领域普通技术人员来说显而易见的是，网络服务的数目实际上是无限制的。在最佳实施例中，本地鉴别数据库42以X.500或其他合适的数据库的形式驻留在LSS的磁盘存储器中。如同本领域普通技术人员所公知的，X.500数据库还可以驻留在一个外部存储区域内。

如图2所示，每个LSS包括个人服务器31和服务映像文件(SMF)服务器。个人服务器31是在LSS上运行的软件过程，从客户机40接收所有登录网络请求、处理这些请求并将登录请求结果返回客户机40。个人服务器31采用从客户机接收的用户名/口令组合来检索存储在服务器的磁盘存储器中的本地鉴别数据库42。如果对应的用户名/口令存储在该本地鉴别数据库42中，则将用户连接到本地服务器。如果在本地鉴别数据库中未找到用户名/口令组合，则个人服务器31检索网络数据库43(目录)以确定用户名是否存在于企业中。如果在网络数据库中发现了该用户名，则将用户鉴别请求发送给所识别的LSS来处理该请求。另一方面，如果在网络数据库中未找到该用户名，则系统或者拒绝用户的请求，或者可以询问用户要求提供更多的信息以便处理该鉴别请求。

SMF服务器在每个LSS上存储服务映像文件41。如前所述，服务映像文件41包含企业上的所有服务器的操作细节。SMF服务器32通过周期地轮询网络数据库来保持企业的一个最新“映像”。所有LSS都在网络数据库中被定义在它们的服务器名和连接信息(即，通信地址)之下。它从网络数据库43中的信息生成，并由个人服务器31周期地更新和向下传递到所有工作站。虽然最佳实施例考虑个人服务器31和SMF服务器位于同一平台的网络，但个人服务器和SMF服务器也可以位于不同的平台。

如图1所示，多个本地计算机网络可以连接到因特网，形成一个在地理上分开的网络和包括许多计算机和外围设备的更小的计算机网络。如图6所示，当在工作站11的用户试图登录到计算机网络上时，准许用户访问计算机网络的过程开始。在工作站上运行的客户机40向用户展示一个登录屏幕(步骤600)。在步骤610，用户通过将用户名和口令输入进本地计算机11来启动对获得访问的尝试。用户名是预先确定的唯一地识别该用户的字母数字字符串。一般由系统管理员将用户名分配给用户，系统管理员必须确保该用户名在整个企业中是唯一的。在本地计算机上运行的客户机40捕获用户输入，然后在步骤620将用户提供的信息和服务映像文件41的版本号(图4)通过通信链路15或35(取决于特定工作站)发送给工作站的默认LSS。版本号实质上是一个表明何时生成该服务映像文件的时间标记。每次当客户机40试图登录到LSS上时，LSS将客户的服务映像文件版本号与由SMF服务器32保存的版本号进行比较。如果客户的拷贝已经过期，则LSS向客户机40返回最新的拷贝。如此，则客户机40总是具有网络上的所有LSS的最新的连接信息。在客户机的默认LSS不可用、需要客户机40访问一个备用LSS的情况下，客户机通过访问其存储在每个工作站磁盘存储器中的服务映像文件41的拷贝来检索网络上的备用服务器的连接信息(步骤640)。如果识别出一个备用服务器(步骤650)，则过程返回步骤620，在这里，客户机40将用户信息发送给识别出的服务器。如果未识别到备用服务器，则客户机40在工作站的屏幕上显示一个失败登录消息(步骤660)，过程结束。

如果在步骤630确定该默认服务器可用，则在LSS上运行的个人服务器31检索本地鉴别数据库42(步骤670)，并在步骤680尝试识别对应于输入的用户名和口令的单个用户名。如果找到匹配的用户名和口令，则在步骤690将用户登录到网络上。当用户被准许访问网络时，客户机软件评价与先前提供的用户名和口令组合相联系的用户角色，以确定用户被授权访问的网络服务补充(complement)。例如，作为管理人员登录到网络上的用户将被允许访问在网络上可得到的那些授权给管理人员使用的服务。如果用户作为雇员登录到网络上，则他/她被允许访问那些通常对所有雇员可用的服务。可以预想，管理人员可用的服务很可能不同于那些对所有雇员可用的服务。

如果未找到匹配的用户名和口令，则个人服务器31检索网络数据库43(步骤690)，以确定在企业上是否认可该用户名。在步骤710，如果未找到入口或者找到不止一个匹配入口，则个人服务器31向客户机40返回一个失败登录消息(步骤720)。在接收到该消息之后，客户机40在步骤730在工作站的显示器上显示该消息，然后过程结束。虽然这个说明书描述的发明是网络数据库43的多个匹配入口导致一个失败登录响应，但对于本领域普通技术人员显而易见的是，在不偏离本发明的范围和意图的情况下，可以采用许多其他选择。例如，系统可以向用户提供手动输入他/她的LSS名的机会，或者，系统可以给予用户从检索出的用户名的下拉菜单选择用户名/LSS组合的机会。一旦用户提供了正确的LSS名或识别出正确的用户名/LSS组合，则个人服务器31将该LSS名返回客户机40，处理在步骤750重新开始。虽然这个说明书描述的发明是个人服务器在用户工作站访问第二个本地安全服务器之前将一个本地安全ID返回给用户工作站，但对于本领域普通技术人员显而易见的是，个人服务器可以建立一个网络连接，从而将用户登录在网络上，而不将登录功能返回给用户工作站。

如果在步骤740找到单个的匹配入口，则个人服务器在步骤750将用户的首要LSS名发送回客户机40。一旦客户机接收到新的LSS名，则过程返回步骤620，在这里，客户机40从其服务映像文件41中检索出新LSS的逻辑位置，并将用户信息发送给识别出的服务器。如果未找到匹配入口，则个人服务器31(步骤760)将一个失败登录消息返回客户机40。在接收到消息之后，客户机40(步骤770)将该消息显示在工作站的显示器上，然后过程结束。作为安全预防措施，个人服务器31可以将对访问本地安全服务器的所有失败尝试记录在一个审计记录中，以便作为识别安全漏洞的一种方式由系统管理员定期查看。本地安全服务器还可以监视失败尝试的数目，可以在超过失败尝试的数据库数目之后禁止该终端。

虽然这个说明书包括许多细节和特性，但这些只用于例示目的，而不是限定本发明。在不偏离下面的权利要求书及其合法等效物所限定的本发明的范围的情况下，对上述例子的许多修改对于本领域普通技术人员是显而易见的。

工业应用

本发明的允许为外国系统登录自动确定服务器的方法和装置可以用于使授权用户自动进行从多个用户工作站中的任何一个到一个地理上分散的网络的访问。此外，该方法和装置可以用在希望提供给用户通过使用单个口令从网络上的任何工作站登录到网络上的能力的地方。此外，本发明的允许为外国系统登录自动确定服务器的方法和装置可以用在希望提供给网络自动识别用户的家用服务器以及响应于单个用户名和口令的用户入口将用户登录到系统上的能力的地方。