[发明专利]用于提供访问凭证的系统和方法

说明书

技术领域

本发明涉及一种向承载服务的服务器提供与服务的用户相关联的访问凭证的系统和方法。

更具体地，但非排他地，本发明涉及一种在与用户相关联的终端与承载服务的服务器之间建立第一通信会话的方法，其中第一通信会话经由向服务器提供与终端的用户相关联的访问凭证的代理服务器来建立。本发明可以用于允许终端的用户单点登录，其中可以授予用户对由多个服务器提供的相应服务的访问权，而无需重复提示输入访问凭证。

背景技术

已知单点登录系统的代理服务器可以被设置为代表使用终端的用户向服务器提供访问凭证。终端可以首先与代理服务器连接，使得它可以将认证信息传输至代理服务器，由此向代理服务器认证用户。一旦认证了用户，代理服务器就可以与服务器连接，向服务器指示用户已经被认证，并且然后用作终端与服务器之间的通信会话中的代理。

这些单点登录系统要求代理服务器从终端接收认证信息并使用形成在终端与服务器之间的代理通信会话的连接向服务器传输用户的认证指示。因此可以要求代理通信会话使用代理服务器已知的通信协议，并且可以将终端与服务器之间经由代理连接的通信限制为使用该通信协议的通信。

本发明的目的是提供一种向承载服务的服务器提供与服务的用户相关联的访问凭证的系统和方法。

发明内容

根据本公开的一个方面，提供了一种根据所附权利要求的向承载服务的服务器提供与服务的用户相关联的访问凭证的方法。在从属权利要求中陈述该方法的优选特征。

本文描述的实施方式涉及提供一种向承载服务的服务器提供与服务的用户相关联的访问凭证的方法，该方法包括：

基于终端的用户适用的认证凭证与终端建立第一数据连接，所述终端与用户相关联；

响应于建立所述第一数据连接，与服务器建立第二数据连接，并桥接第一和第二数据连接以便在终端与服务器之间建立第一通信会话，所述第一通信会话使用第一通信协议；

与服务器建立第二通信会话，所述第二通信会话使用第二通信协议，并经由第二通信会话从服务器接收对与用户相关联的访问凭证的请求，所述请求包括由所述服务器在所述第一通信会话中接收的信息；以及

基于所述信息识别所述访问凭证，并经由第二通信会话将所述访问凭证传输至服务器。

在本发明的实施方式中，第一通信协议不同于第二通信协议。相应地，通过允许终端和服务器在第一通信会话中经由第一通信协议进行通信，使用第二通信会话来经由第二通信协议向服务器传递访问认证，该实施方式确保第一通信会话可以根据第一通信协议进行，而不会由作用为桥接第一和第二数据连接的一方中断。这一方可以是被设置为代理第一和第二数据连接的代理服务器。

由终端和服务器使用的第一通信协议可以是由第一通信会话的端点（终端和服务器）选择的任意通信协议。在一个实施方式中，由服务器发送至桥接第一和第二数据连接的一方的所述对访问凭证的请求中的信息包括与用户相关联的认证凭证，这些认证凭证在第一通信会话中已经由服务器从终端接收。本实施方式然后可以包括桥接第一和第二数据连接的一方使用终端的用户适用的桥接方局部保存的认证凭证来验证所述接收的认证凭证，并根据验证识别所述访问凭证。

通过使用终端的用户适用的认证凭证来验证接收的认证凭证，这使得桥接数据连接的一方能够识别终端的用户，并因此检索访问凭证以传输至服务器。

更具体地，所述请求中的从服务器接收的认证凭证可以包括使用终端的用户适用的在终端上局部保存的所述认证凭证来生成的消息认证码，并且其中所述对访问凭证的请求中的信息可以包括用户标识符。向桥接方（例如，代理服务器）发送用户标识符，该桥接方使用终端的用户适用的所述认证凭证来验证所述接收的认证凭证中的消息认证码，并响应于所述消息认证码的验证，识别与所述用户标识符相关联的访问凭证。

在该设置中，首先使用代理服务器可访问的对应认证凭证来验证消息认证码，一旦验证，就使用用户标识符来检索相关访问凭证。

在另一个示例中，将访问令牌从终端传输至服务器，其中访问令牌包含识别终端的用户的信息（诸如用户名），以及识别服务器的信息。在该示例中，访问令牌包含上文提及的消息认证码，其中该消息认证码使用终端的用户的认证凭证中的密钥进行加密。（除消息认证码本身之外）消息认证码还可以是访问令牌的其他内容的哈希值，其中哈希值的密钥由终端的用户的认证凭证中的密钥组成。