專利名稱::用于擴展驗證方法的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及改進的數(shù)據(jù)處理系統(tǒng)�����,并且具體地�,涉及用于多計算機數(shù)據(jù)傳送的方法和裝置。更具體地����,本發(fā)明導向于計算機系統(tǒng)內(nèi)的驗證方法。
背景技術(shù):
:電子商務網(wǎng)站和網(wǎng)絡(luò)應用代表用戶在計算機網(wǎng)絡(luò)上執(zhí)行各種業(yè)務�����。出于安全目的,用戶必須經(jīng)常通過驗證處理以便證明用戶的標識確實達到適當?shù)募墑e�����。在基于電子商務網(wǎng)絡(luò)的環(huán)境下���,計算機系統(tǒng)經(jīng)常將驗證服務實現(xiàn)為用于訪問網(wǎng)站的前門或哨門(sentrygate)的形式��。這些驗證服務位于應用的前面���,即,在用戶和應用之間�����,以確保用戶在獲得對任何資源的訪問之前被驗證����。可以將這些驗證服務實現(xiàn)為網(wǎng)絡(luò)服務器插件�����、反向代理(reverseproxy)或其他類似技術(shù)���。企業(yè)一般希望通過包括因特網(wǎng)的各種網(wǎng)絡(luò)以用戶友好的方式向驗證后的用戶提供對于受保護資源的安全訪問����。盡管提供安全驗證機制降低了對受保護資源的未授權(quán)訪問的風險����,但是那些驗證機制可能成為訪問受保護資源的障礙。用戶通常希望能夠從與一個應用交互改變?yōu)榕c另一應用交互�����,而不考慮保護支持這些應用的每個具體系統(tǒng)的驗證障礙���。隨著用戶變得更老練�����,他們期望計算機系統(tǒng)協(xié)助他們的動作以便減少用戶的負擔���。這種期望也應用于驗證處理。用戶可能假設(shè)一旦他或她已經(jīng)經(jīng)過某個計算機系統(tǒng)的驗證�,則在用戶的工作會話期間或者至少對于特定的時間段,該驗證應該有效,而不考慮對于用戶來說幾乎不可見的各種計算機體系界限���。企業(yè)通常試圖在其部署的系統(tǒng)的可操作特性方面滿足這些期望����,以便不僅安撫用戶而且提高用戶效率�����,無論用戶效率是與雇員生產(chǎn)量還是與顧客滿意度有關(guān)�����。很多計算機系統(tǒng)具有對于不同安全級別的不同類型驗證����。例如,在成功完成由用戶提供正確的用戶名與密碼的組合的第一級別的驗證后�,系統(tǒng)可以提供對于網(wǎng)站上的特定一組資源的訪問。第二級別的驗證可能要求用戶給出硬件記號����、例如智能卡,其后�����,為用戶提供對于網(wǎng)站上的更嚴格控制的資源的訪問�。第三級別的驗證可能要求用戶提供某種形式的生物學數(shù)據(jù),例如通過指紋掃描或視網(wǎng)膜掃描��,其后����,系統(tǒng)提供對于網(wǎng)站上非常敏感或機密的資源的訪問。從一個驗證級別向上移動到下一級別的處理被稱作"遞進驗證"或者"被迫再驗證"�。換句話說,用戶按系統(tǒng)要求從一個級別的驗證遞進到更高級別以便獲得對于更敏感資源的訪問���?����?梢杂霉尿炞C方法實現(xiàn)驗證��,但是不容易實現(xiàn)對多種慣用方法的支持��。典型的反向代理內(nèi)的驗證方法經(jīng)常限于支持即開即用(out-of-the-boxsupported)的方法�、例如相互驗證的SSL(安全套接層)�����,或者各種慣用方法。添加對于新驗證方法的支持不是簡單的處理�,因為典型地在服務器內(nèi)部內(nèi)在化(internalize)新驗證方法。即使在通過外部應用而具有對于添加的新驗證方法的支持的那些系統(tǒng)中���,該支持的有限之處在于能夠基于外部的驗證信息為用戶建立會話�����,而不能更新用戶的例如當前會話證書(sessioncredential),以反映另一驗證操作的完成�����。為了圍繞這樣的限制而展開工作��,當前的解決方案取消了用戶的當前會話���,并且用在新的會話信息和證書信息中所包括的新驗證方法來建立新的會話。一種系統(tǒng)可以嘗試以對用戶不可見的方式來建立新的會話�,A^而減少獲悉了新會話的用戶在該用戶不需要這種獲悉時的負擔。然而���,仍然存在的問題是����,一般會從用戶的原始會話丟失某種程度的狀態(tài)信息;換句話說���,關(guān)于從舊會話向新會話的改變�,下游應用或受保護資源可能具有某種不可預見的問題���。因此,將具有優(yōu)勢的是提供一種方法或系統(tǒng)���,其可以將驗證方法擴展到可以更新用戶證書而不需為用戶建立新會話的外部應用����,從而獲得驗證服務或受保護資源出于某種目的所需的更高安全級別�����。
發(fā)明內(nèi)容給出了用于管理用戶的驗證證書的方法���、系統(tǒng)��、計算機程序制品和裝置���。給出了用于管理用戶的驗證證書的方法����。會話管理服務器對于包括受保護資源的域?qū)τ脩魣?zhí)行會話管理�����。會話管理服務器接收要訪問受保護資源的請求�����,該受保護資源要求已經(jīng)對于第一類-瞼證上下文而生成的驗證證書�����。響應于確定已經(jīng)對于第二類驗證上下文生成了用戶的驗證證書�����,會話管理服務器向驗證代理服務器發(fā)送包含了用戶的驗證證書和用于第一類驗證上下文的指示符����。會話管理服務器隨后接收第二消息,該第二消息包含指示已經(jīng)用于對于第一類驗證上下文生成了用戶的更新后的驗證證書?����,F(xiàn)在將僅通過例子,參考附圖描述本發(fā)明�����,附圖中圖1A繪出數(shù)據(jù)處理系統(tǒng)的典型網(wǎng)絡(luò)���,這些數(shù)據(jù)處理系統(tǒng)的每個都可以實現(xiàn)本發(fā)明�����;圖IB繪出在可實現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)中可以使用的典型計算機體系;圖2繪出示出了典型的企業(yè)數(shù)據(jù)處理系統(tǒng)的方框圖�����;圖3繪出示出了當客戶嘗試訪問服務器處的受保護資源時可以使用的典型驗證處理的數(shù)據(jù)流程圖���;圖4繪出示出了用于執(zhí)行擴展的驗證操作的數(shù)據(jù)處理系統(tǒng)的一部分的方框圖�����;圖5繪出示出由支持驗證操作的會話管理服務器所管理的一些信息的方框圖���;圖6繪出示出由支持驗證操作的驗證代理服務器所管理的一些信息的方框圖��;圖7繪出示出了在會話管理服務器到驗證代理服務器之間的驗證請求消息中可以包含的一些信息的方框圖��;圖8繪出示出了在從驗證代理服務器到會話管理服務器的驗證響應消息中可以包含的一些信息的方框圖���;圖9繪出示出了會話管理服務器通過該處理來啟動驗證操作的處理的流程圖;圖10繪出示出了驗證代理服務器通過該處理來管理如所請求的驗證操作的處理的流程圖�;以及圖11繪出示出了會話管理服務器通過該處理來完成驗證操作的處理的流程圖。具體實施方式一般而言�����,可以包含或涉及本發(fā)明的設(shè)備包括很多種數(shù)據(jù)處理技術(shù)���。因此�,作為背景��,在更詳細描述本發(fā)明之前��,描述分布式數(shù)據(jù)處理系統(tǒng)中的硬件和軟件組件的典型組織?�,F(xiàn)在參考附圖���,圖1A繪出數(shù)據(jù)處理系統(tǒng)的典型網(wǎng)絡(luò)���,每個數(shù)據(jù)處理系統(tǒng)可以實現(xiàn)本發(fā)明的一部分�����。分布式數(shù)據(jù)處理系統(tǒng)100包括網(wǎng)絡(luò)101,其是可以用于提供在分布式數(shù)據(jù)處理系統(tǒng)100內(nèi)的連接在一起的各種設(shè)備和計算機之間的通信鏈接的媒介�����。網(wǎng)絡(luò)101可以包括諸如有線或光纖電纜的永久連接或者通過電話或無線通信而做出的臨時連接��。在所示例子中��,服務器102和103與存儲單元104—起被連接到網(wǎng)絡(luò)101。另外�����,客戶端105-107也被連接到網(wǎng)絡(luò)101��?����?梢杂筛鞣N計算設(shè)備、比如主機�����、個人計算機���、個人數(shù)字助理(PDA)等來代表客戶端105-107和服務器102-103����。分布式數(shù)據(jù)處理系統(tǒng)100可以包括未示出的另外的服務器�、客戶端、路由器��、其他設(shè)備����、以及對等體系。在所示例子中����,分布式數(shù)據(jù)處理系統(tǒng)IOO可以包括具有網(wǎng)絡(luò)101的因特網(wǎng),代表使用各種協(xié)議來相互通信的網(wǎng)絡(luò)和網(wǎng)關(guān)的全世界范圍的集合����,該各種協(xié)議諸如輕量級目錄訪問協(xié)議(LDAP)����、傳輸控制協(xié)議/因特網(wǎng)協(xié)議(TCP/IP)�、文件傳送協(xié)議(FTP)、超文本傳輸協(xié)議(HTTP)����、無線應用協(xié)議(WAP)等的。當然���,分布式數(shù)據(jù)處理系統(tǒng)IOO還可以包括大量各種網(wǎng)絡(luò)�����,諸如��,企業(yè)內(nèi)部互聯(lián)網(wǎng)�����、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)。例如��,服務器102直接支持客戶端109和網(wǎng)絡(luò)110,該服務器102并入了無線通信鏈接��。網(wǎng)絡(luò)使能的電話111通過無線鏈接112連接到網(wǎng)絡(luò)110,并且PDA113通過無線鏈接114連接到網(wǎng)絡(luò)110���。電話111和PDA113也可以經(jīng)過使用適當?shù)募夹g(shù)����、比如藍牙TM無線技術(shù)的無線鏈接在它們自身之間直接傳送數(shù)據(jù)���,以建立所謂的個人局域網(wǎng)絡(luò)(PAN)或個人ad-hoc網(wǎng)絡(luò)��。以類似的方式�����,PDA113可以經(jīng)由無線通信鏈接116向PDA107傳送數(shù)據(jù)����?���?梢栽诟鞣N硬件平臺上實現(xiàn)本發(fā)明;圖1A意要作為各種計算環(huán)境的例子�����,并且不意要作為對本發(fā)明的體系限制。現(xiàn)在參考圖1B����,該圖繪出了比如圖1A所示的、可以在其中實現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)的典型計算機體系�����。數(shù)據(jù)處理系統(tǒng)120包括與內(nèi)部系統(tǒng)總線123連接的一個或多個中央處理單元(CPU)122,該內(nèi)部系統(tǒng)總線123與隨機存取存儲器(RAM)124���、只讀存儲器126���、以及輸入/輸出適配器128互連,該輸入/輸出適配器128支持各種I/O設(shè)備�,比如打印機130、盤單元132或其他未示出的設(shè)備�����,比如音頻輸出系統(tǒng)等����。系統(tǒng)總線123還連接了提供到通信鏈接136的訪問的通信適配器134。用戶接口適配器148連接了各種用戶設(shè)備���,比如鍵盤140和鼠標142,或者未示出的其他設(shè)備�,比如觸摸屏�、觸針、麥克風等���。顯示適配器144將系統(tǒng)總線123連接到顯示設(shè)備146�。本領(lǐng)域普通技術(shù)人員將認識到���,圖1B中的硬件可以取決于系統(tǒng)實現(xiàn)而改變��。例如����,系統(tǒng)可以具有諸如基于IntefPentium②的處理器和數(shù)字信號處理器(DSP)的一個或多個處理器�����,以及一種或多種易失性和非易失性存儲器�����。除了圖1B中所示的硬件以外或者替換圖1B中所示的硬件,還可以使用其他外圍設(shè)備��。所示例子不意味著暗示關(guān)于本發(fā)明的體系限制�����。除了能夠在各種硬件平臺上實現(xiàn)以外��,也可以在各種軟件環(huán)境下實現(xiàn)本發(fā)明�。典型的操作系統(tǒng)可以用于控制每個數(shù)據(jù)處理系統(tǒng)內(nèi)的程序執(zhí)行。例如����,一個設(shè)備可以運行1111〖乂8操作系統(tǒng),而另一設(shè)備包含簡單的Java運行時間環(huán)境�。代表性的計算機平臺可以包括瀏覽器,這是用于訪問各種格式的超文本文檔的公知軟件應用�,該各種格式的超文本文檔諸如圖形文件、文字處理文件���、可擴展標記語言(XML)����、超文本標記語言(HTML)���、手持設(shè)備標記語言(HDML)���、無線標記語言(WML)和各種其它格式和類型的文件。如關(guān)于圖1A和1B所述��,可以在各種硬件和軟件平臺上實現(xiàn)本發(fā)明�。盡管更具體地,本發(fā)明導向于改進的數(shù)據(jù)處理環(huán)境��。在更詳細描述本發(fā)明之前�����,描述典型的數(shù)據(jù)處理環(huán)境的一些方面�。在此對附圖的描述可以涉及由客戶端設(shè)備或客戶端設(shè)備的用戶做出的某些動作。本領(lǐng)域普通技術(shù)人員將理解�,去往客戶端的響應和/或來自客戶端的請求有時候由用戶發(fā)起,并且其他時候經(jīng)常由客戶端代表該客戶端的用戶來自動發(fā)起����。因此,當在附圖的描述中提到客戶端或者客戶端的用戶時�,應當理解,可互換地使用術(shù)語"客戶端"和"用戶"����,而不會嚴重影響所述處理的意思����。下文中可以將某些計算任務描述為由功能單元執(zhí)行��。功能單元可以由例程�、子例程、處理�、子處理、進程����、功能、方法�、面向?qū)ο蟮膶ο蟆④浖K��、小程序���、插件�、ActiveX���,控制��、腳本或用于執(zhí)行計算任務的固件或軟件的一些其他組件來表示���。在此對附圖的描述可以涉及各種組件之間的信息交換�����,并且該信息交換可以被描述為經(jīng)由消息、例如跟隨了響應消息的請求消息的交換來實現(xiàn)的�。應當注意,當合適時�,可以經(jīng)由諸如消息、方法調(diào)用�、遠程進程調(diào)用、事件信號或其他機制的各種數(shù)據(jù)交換機制來等效地實現(xiàn)計算組件間的信息交換�����,該信息交換可以包括同步或異步的請求/響應交換?�,F(xiàn)在參考圖2�����,方框圖繪出典型的企業(yè)數(shù)據(jù)處理系統(tǒng)�。而圖1A繪出具有客戶端和服務器的典型數(shù)據(jù)處理系統(tǒng)���,相反,圖2示出與某些服務器側(cè)實體有關(guān)的網(wǎng)絡(luò)內(nèi)的客戶端�����,該某些服務器側(cè)實體可以用于支持對于訪問資源的客戶端請求�。如在典型的計算環(huán)境中,企業(yè)域200例如通過網(wǎng)絡(luò)208使用客戶端206上的瀏覽器應用204來主管(host)用戶202可以訪問的資源�;計算機網(wǎng)絡(luò)可以是因特網(wǎng)、企業(yè)內(nèi)部互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)���,如圖1A所示����。企業(yè)域200支持多個服務器�。應用服務器210通過基于網(wǎng)絡(luò)的應用或其他類型后端應用、包括傳統(tǒng)應用(legacyapplication),來支持受控制的資源和/或未控制的資源����。反向代理服務器214、或者筒稱代理服務器214執(zhí)行用于企業(yè)域200的廣闊范圍的功能��。例如,代理服務器214可以緩存網(wǎng)頁以便鏡像(mirror)來自應用服務器的內(nèi)容���?�?梢苑謩e通過輸入數(shù)據(jù)流過濾器216和輸出數(shù)據(jù)流過濾器218來處理流入和流出的數(shù)據(jù)流�����,以便根據(jù)在各種策略中所指定的目標或條件或根據(jù)所采用的軟件模塊的配置來對流入的請求和流出的響應執(zhí)行各種處理任務�。會話管理單元220管理如由代理服務器214識別的會話標識符�����、緩存的證書或與會話有關(guān)的其他信息��?�;诰W(wǎng)絡(luò)的應用典型地利用各種手段來幫助用戶輸入驗證信息�,該驗證信息通常為HTML表單內(nèi)的用戶名/密碼組合��。在圖2所示的例子中��,在客戶端206可以具有對資源的訪問之前���,可以要求對用戶202進行驗證�����,這之后����,為客戶端206建立會話。在可替換的實施例中�,在向用戶提供對域200上的資源的訪問之前不進行驗證和授權(quán)操作;可能不需隨附的驗證操作來創(chuàng)建用戶會話�����。上述企業(yè)域200內(nèi)的實體表示許多計算環(huán)境內(nèi)的典型的實體����。然而,許多企業(yè)域具有用于控制對于受保護計算資源的訪問的安全特征�。計算資源可以是應用、對象���、文檔�、網(wǎng)頁��、文件、可執(zhí)行的代碼模塊�、或一些其他的計算資源或通信類資源。如果發(fā)請求的客戶端或發(fā)請求的用戶被驗證和/或授權(quán)���,受保護的或受控制的資源是僅可訪問或可檢索的資源��;在一些情況下���,經(jīng)過驗證的用戶是默認被授權(quán)的用戶。驗證服務器222可以支持各種驗證機制����,比如用戶名/密碼、X.509證書或安全記號�����;多個驗證服務器可以專用于專門的驗證方法��。授權(quán)服務器224可以使用授權(quán)數(shù)據(jù)庫226,其包含如下信息���,諸如訪問控制列表228、授權(quán)策略230�、關(guān)于用戶組或角色的信息232、以及關(guān)于特定管理組內(nèi)的管理用戶的信息234。使用該信息�����,授權(quán)服務器224響應于來自客戶端206的請求�,向代理服務器214提供對于是否應該允許繼續(xù)具體請求、例如是否應該準許對受控制的資源訪問的指示���。應當注意�����,可以與各種驗證和授權(quán)應用聯(lián)合地實現(xiàn)本發(fā)明�,并且在此描述的本發(fā)明的實施例不應被理解為將本發(fā)明的范圍限制于驗證和授權(quán)服務的配置?����,F(xiàn)在參考圖3,數(shù)據(jù)流程示了當客戶端試圖訪問服務器處的受保護資源時可以使用的典型的驗證處理�����。如所示���,位于客戶端工作站300處的用戶通過在客戶端工作站上執(zhí)行的用盧的網(wǎng)絡(luò)瀏覽器�����,來尋求經(jīng)過計算機網(wǎng)絡(luò)對服務器302上的受保護資源的訪問�。受保護資源可以由僅能夠由被驗證和授權(quán)的用戶來訪問的統(tǒng)一資源定位符(URL)、或者更具體地統(tǒng)一資源標識符(URI)來標識�����。當用戶請求服務器側(cè)的受保護資源���、比如域"ibm.com"內(nèi)的網(wǎng)頁時����,開始處理(步驟304)�。在聯(lián)網(wǎng)的環(huán)境下,術(shù)語"服務器側(cè)"和"客戶端側(cè)"分別指網(wǎng)絡(luò)環(huán)境中的服務器或客戶端處的動作或?qū)嶓w��。網(wǎng)絡(luò)瀏覽器(或相關(guān)應用或小程序)生成HTTP請求�����,該HTTP請求被發(fā)送到主管域"ibm.com"的網(wǎng)絡(luò)服務器(步驟306)���。術(shù)語"請求"和"響應"應該被理解為包括適合于具體操作中所涉及的信息�����、諸如消息��、通信協(xié)議信息或其他有關(guān)信息的傳送的數(shù)據(jù)格式化�。服務器確定沒有客戶端的有效會話(步驟308)��,因此服務器通過向客戶端發(fā)送某種類型的驗證詢問(challenge)來要求用戶進行驗證處理(步驟310)���。驗證詢問可以是各種格式的�����,比如HTML表單���。然后用戶提供所請求或所需要的信息(步驟312)、比如用戶標識符和相關(guān)密碼���,或者客戶端可以自動返回某種信息�、比如數(shù)字證書����。向服務器發(fā)送驗證響應消息(步驟314),此時����,服務器例如通過在檢索先前所提交的注冊信息并將所呈現(xiàn)的驗證信息與用戶所存儲的信息相匹配來驗證用戶或客戶端(步驟316)���。假設(shè)驗證成功�,則為被驗證的用戶或客戶端建立有效會話�����。然后服務器檢索被請求的網(wǎng)頁�,并將HTTP響應消息發(fā)送到客戶端(步驟318)。這時���,用戶可以通過點擊超文本鏈接來請求瀏覽器中的"ibm.com"內(nèi)的另一頁面(步驟320),并且瀏覽器將另一HTTP請求消息發(fā)送到服務器(步驟322)�。這時���,服務器基于由服務器保持的會話狀態(tài)信息來識別用戶具有有效會話(步驟324)�。例如�����,因為用戶的客戶端返回了HTTP請求消息內(nèi)的會話ID,因此服務器識別發(fā)出請求的用戶的適當?shù)臅挔顟B(tài)信息?;谒彺娴挠脩魰捫畔?,服務器例如通過用戶的證書的副本的可用性,來確定用戶已經(jīng)被驗證�����;然后服務器可以確定��,在滿足用戶的請求之前�����,不需要執(zhí)行諸如驗證操作的某些操作����。月l務器在另一HTTP響應消息中將所請求的網(wǎng)頁發(fā)送回客戶端(步驟326),從而滿足了用戶對于受保護資源的原始請求。盡管圖2繪出了典型的數(shù)據(jù)處理系統(tǒng)���,并且圖3繪出了當客戶端試圖訪問服務器處的受保護資源時可以使用的典型的驗證處理���,但是本發(fā)明定向為將驗證操作擴展到外部應用的改進的驗證基礎(chǔ)結(jié)構(gòu),其中該外部應用可以更新用戶證書而不需要求為用戶建立新的會話��,如其余圖所示?���,F(xiàn)在參考圖4�����,方框圖繪出了根據(jù)本發(fā)明的實施例的用于執(zhí)行擴展的驗證操作的數(shù)據(jù)處理系統(tǒng)的一部分��。圖4所示的數(shù)據(jù)處理系統(tǒng)與圖2所示的凝:據(jù)處理系統(tǒng)類似����。例如��,在兩圖中客戶端402與客戶端206類似��;會話管理服務器404與代理服務器214類似��;并且受保護資源406可以表示應用服務器210和其它類型的受保護資源�����。優(yōu)選地�,會話管理服務器404位于計算的DMZ(隔離區(qū)(DeMilitarizedzone))內(nèi),以便向會話管理服務器404和從會話管理服務器404傳送的數(shù)據(jù)必須通過防火墻408和410��。會話管理服務器404負責關(guān)于用戶會話的會話管理,其中該用戶會話是在包括了受保護資源406的安全域中創(chuàng)建的���。當可能時��,會話管理服務器404依靠驗證服務405來進行驗證操作;在驗證服務405不能進行驗證操作的情況下���,會話管理服務器404依靠驗證代理服務器412���,如下更詳細說明。會話管理服務器404和受保護資源406可以存在于信任的網(wǎng)絡(luò)內(nèi)�,其可以代表例如與圖2所述的企業(yè)域200類似的企業(yè)域內(nèi)的計算資源。然而��,也可以在其他安全域內(nèi)主管各種組件�����、具體為驗證代理服務器412�����。圖4圖示用于論述驗證操作可以處于執(zhí)行對域的會話管理的會話管理服務器外部的本發(fā)明的實施方式的組件�����,其中,驗證操作更新用戶的證書而不需為用戶建立新的會話���。此外�,圖4圖示了在客戶端/用戶和支持由客戶端/用戶訪問的受保護資源的組件之間的一些數(shù)據(jù)流�����。去往會話管理服務器404和來自會話管理服務器404的示例數(shù)據(jù)流被圖示為通過客戶端而被重定向��;然而���,應當注意����,可以通過各種傳輸?shù)南⒁约捌渌麛?shù)據(jù)傳送機制來執(zhí)4亍去往會話管理服務器404和來自會話管理服務器404的數(shù)據(jù)流����,該各種傳llr的消息是向會話管理服務器/從會話管理服務器發(fā)送和/或轉(zhuǎn)發(fā)的,該其他數(shù)據(jù)傳送機制向會話管理服務器推入數(shù)據(jù)或從會話管理服務器拉出數(shù)據(jù)���。在某個時間點�,客戶端402的用戶可能已經(jīng)經(jīng)由會話管理服務器404完成了驗證處理,使得會話管理服務器404具有用戶的證書����;例如當將用戶所接收的請求轉(zhuǎn)發(fā)或發(fā)送到受保護資源406時,會話管理服務器404使用證書以向用戶提供對某些受保護資源406的訪問�����。在很多情況下���,當會話管理服務器404接收要訪問受保護資源的請求并確定發(fā)出請求的用戶的證書足夠時,會話管理服務器404轉(zhuǎn)發(fā)或發(fā)送用戶的請求而不修改用戶的當前證書��。然而����,在圖4所示的例子中,當會話管理服務器404接收到資源請求414時��,資源請求414不被轉(zhuǎn)發(fā)到受保護資源����,例如作為假定被轉(zhuǎn)發(fā)的請求416。在此情況下���,會話管理服務器404識別資源請求414是要訪問如下受保護資源的請求該受保護資源需要合適的���、有效的����、足夠的�、滿足的或可接受的用于在特定驗證上下文中的斷言(assertion)的證書。在所示例子中�,會話管理服務器404識別用戶的當前證書對于由受保護資源所需要的驗證上下文來說是不合適的、無效的��、不足夠的�、不滿足的、或不可接受的��。驗證上下文是一個或多個標準或限制的集合��,其中在該集合中創(chuàng)建驗證證書或或意圖驗證證書用于該集合���。驗證上下文可以指示怎樣驗證�、使用何者來驗證�����、和/或意圖使用證書的范圍。例如����,可能已經(jīng)由具體的驗證實體生成了用戶的驗證證書,其中在該驗證證書中指示了該驗證實體的標識�����;換句話說���,驗證證書可以指示驗證用戶所使用或利用的實體�。作為另一例子���,已經(jīng)通過具體類型、種類或類別的驗-〖正操作(例如�����,用戶名/密碼�、硬件記號、生物信息或者和其他的這種驗證方法)來生成了用戶的驗證證書�����,在驗證證書內(nèi)指示了該具體類型、等級或類別的驗證操作的標識��;換句話說�,驗證證書可以指示如何驗證用戶。作為另一例子�����,用戶的驗證證書可以指示證書意圖有效的時間段���;證書意圖有效的業(yè)務上下文����,比如僅用于銀行業(yè)務或僅用于購買業(yè)務等�;證書在各團體之間是否是可委托(delegatable);或者其他意圖的限制。因此���,在圖4的例子中����,用戶的當前證書可以指示在很多種特性上的無效或不足���。例如�����,受保護資源的操作者可能無法識別用戶的當前證書的發(fā)證機關(guān)(issuingauthority)��。然而����,可能存在由受保護資源的操作者識別的另一發(fā)證機關(guān);此另一發(fā)證機關(guān)可以識別用戶的當前證書內(nèi)的所指示的發(fā)證才幾關(guān)��,并且此另一發(fā)證機關(guān)可能將要基于那些證書的確認而重新發(fā)布用戶的證書�����。作為另一例子��,用戶的當前證書可以指示它們是響應于驗證操作�����、基于用戶成功斷言用戶名/密碼對的確認而生成的��。然而��,受保護資源的操作者可能需要響應于驗證操作�、基于用戶的生物斷言的確認而生成的驗證證書。此時�����,不轉(zhuǎn)發(fā)對于受保護資源的請求���,反而會話管理服務器404將消息418發(fā)送到驗證代理服務器412;該消息包含用于請求與用戶先前獲得的不同的驗證上下文的���、用戶的更新后的證書的信息。驗證代理服務器412將到來的請求轉(zhuǎn)發(fā)到后端驗證服務器420中的適當一個��,其基于在消息418中所包括的�、用戶的當前證書信息來生成更新后的證書。驗證服務器420可以表示驗證服務器��、servlet���、或其他類型的計算組件�,其每個提供了對于完成或執(zhí)行不同類型的驗證操作和/或在不同驗證上下文中的驗證操作的支持�,從而生成對于特定驗證上下文來說有效的驗證證書。依據(jù)所實現(xiàn)的操作��,驗證服務器可能需要與用戶/客戶端的交互422來收集用于建立更新后的證書的信息。如上述���,驗證上下文可以包括一個或多個標準或限制的集合����,其每個可能是簡單的或遲鈍的(obtuse)�。因此,由驗證服務器420之一實現(xiàn)的驗i正才喿作可能相應地簡單或復雜�。例如,如果用戶的更新后的驗證證書需要由新的發(fā)證機關(guān)來發(fā)布�,則驗證操作可能涉及具有另外的實體或操作者的冗長的下游處理。在此例子中���,在如操作者或受保護資源需要�����、已經(jīng)由特定發(fā)證才幾關(guān)來發(fā)布了用戶的更新后的驗證證書之后��,認為對于由受保護資源所需要的驗證上下文�����、已經(jīng)生成了用戶的更新后的驗證證書。在另一例子中����,如果用戶的當前-瞼證證書最近已經(jīng)在先前的小時內(nèi)過期����,并且驗證服務器具有將用戶證書的生命期延長一個小時的授權(quán)����,則驗證操作可以僅包括更新后的驗證證書的有效期的修改,盡管這可能還需要在證書中的數(shù)字校驗和或其他數(shù)據(jù)項的修改�。在此例子中,在如由受保護資源的凈乘作者需要�����、已經(jīng)由驗證服務器生成了在當前時間段上有效的用戶的更新后的驗證證書之后����,認為已經(jīng)對于由受保護資源所需要的驗證上下文生成了用戶的更新后的-驗i正i正書。然后���,驗證代理服務器412通過將到來的消息424發(fā)送到客戶端402來返回更新后的證書�,然后客戶端402適當?shù)貙⑵滢D(zhuǎn)發(fā)到會話管理服務器404�����。如果,會話管理服務404緩存���、存儲���、或者更新、關(guān)聯(lián)�����、或者修改關(guān)于更新后的證書的用戶的當前會話狀態(tài)信息�����。然后�����,會話管理服務器404將用戶的原始請求發(fā)送到受保護資源�����。請求可以附有用戶的更新后的證書����,該更新后的證書指示如受保護資源所要求的適當?shù)尿炞C上下文、或者用戶的更新后的證書仍然可用于在需要時由下游實體執(zhí)行的^r索���。在任何情況下����,用戶都已經(jīng)獲得了在由用戶試圖訪問的受保護資源所要求的驗證上下文中有效的證書����。盡管,應當注意�,用戶對于在由訪問受保護資源的請求將被準許或?qū)⒊晒Γ焕?����,可能發(fā)生各種錯誤���,或者可能基于各種其他限制而否定或拒絕用戶的請求��,比如由被認為未被包括在現(xiàn)在參考圖5,方框圖繪出了根據(jù)本發(fā)明的實施例的����、由支持擴展的驗證操作的會話管理服務器所管理的一些信息。會話管理服務器500與圖4所示的會話管理服務器404類似�����。會話管理服務器500在會話數(shù)據(jù)結(jié)構(gòu)502中存儲用于管理用戶會話的信息��,該會話數(shù)據(jù)結(jié)構(gòu)502是包含了諸如會話項504的多個會話項的表格或某個其它類型的數(shù)據(jù)結(jié)構(gòu)�����。會話項504包含會話標識符506���,會話標識符506是該會話的唯一標識符���。會話項504還可以存4諸用戶標識符508,用戶標識符508是用于與發(fā)起在包含會話管理服務器500的企業(yè)域內(nèi)的會話的客戶端相關(guān)聯(lián)的���、用戶的唯一標識符����。另外的會話狀態(tài)變量510可以被本地存儲在每個會話項中����。會話項504還包含用戶證書512,當需要時使用該用戶證書512來4受權(quán)擁有該證書的用戶訪問受保護資源�����。用戶證書512指示其中生成該證書的驗證上下文或上下文514�����。會話項504還可以包含緩存的請求消息516,其是來自發(fā)起進行驗證操作以獲得更新后的證書的需要的客戶端/用戶的原始請求消息的所存儲的副本����。會話管理服務器500還存儲指示需要特定驗證上下文的受保護資源的表格518或類似的數(shù)據(jù)結(jié)構(gòu)。每個資源可以由其URI來標識�����,并且可以與URI關(guān)聯(lián)地存儲其所要求的驗證上下文��,從而對于每個所呈現(xiàn)的受保護資源形成具有URI520和驗證上下文指示符522的密鑰值對��。依據(jù)驗證上下文的實施方式���,驗證上下文指示符522可以是一個或多個數(shù)據(jù)項的集合�����。會話管理服務器500還存儲指示驗證代理服務器的位置的可配置的驗證代理服務器URI524�。在會話管理服務器500的初始化階段期間,可配置URI524和可配置的表格518在從配置文件中檢索之后��,可以被緩存在存儲器中?��,F(xiàn)在參考圖6,方框圖繪出了根據(jù)本發(fā)明的實施例的�、由支持驗證操作的驗證代理服務器所管理的一些信息��。驗證代理服務器600與圖4所示的驗證代理服務器412類似��。驗證代理服務器600存儲用于從所請求的驗證上下文映射到能夠生成對于相關(guān)驗證上下文有效的用戶證書的驗證操作的信息�。例如,可以是表格或類似數(shù)據(jù)結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)602包含密鑰值對��;驗證上下文604的每個指示符與驗證操作606成對��。依據(jù)驗證上下文的實施方式�,驗證上下文指示符604可以是一個或多個數(shù)據(jù)項的集合。另外���,驗證代理服務器600還存儲可配置的會話管理服務器URI608,其指示從其處接收驗證請求和/或應該將驗證響應返回到其處的會話管理服務器的位置��。在驗證代理服務器600的初始化階段期間�,可配置URI608和可配置的表格602在從配置文件中檢索之后,可以被緩存在存儲器中?���,F(xiàn)在參考圖7,方框圖繪出了根據(jù)本發(fā)明的實施例的、在會話管理服務器到驗證代理服務器之間的驗證請求消息中可能包含的一些信息����。驗證請求消息702包含用戶當前證書704的副本;如由后端驗證方法/服務器要求����、使用用戶當前證書來生成更新后的用戶證書����。被請求的驗證上下文706指示更新后的用戶證書所要求的驗證上下文,如由已經(jīng)發(fā)起驗證操作的會話管理服務器所確定的��。在某些情況下����,后端驗證方法/服務器可能需要與用戶交互以完成驗證:燥作;對于那些情況����,定制信息708被包括在^r證請求702中���。應當注意,驗證請求消息702表示被關(guān)聯(lián)地存儲和/或傳送的信息項�����,并且可以以各種數(shù)據(jù)格式來實現(xiàn)這些信息項���,包括作為嵌入其他消息中的它們的包含物�。當請求與用戶交互以完成驗證操作時���,定制信息708可以用于定制與用戶的客戶端交換的信息����。通過提供用戶名或其他前后關(guān)系的信息�����,可以更加用戶友好地進行驗證操作���,或者關(guān)于對驗證操作的需要更多信息量地進行驗證操作�,例如指示用戶所請求的業(yè)務需要另外的安全進程,因為該業(yè)務必須與用戶已知的另一網(wǎng)站交互?,F(xiàn)在參考圖8,方框圖繪出了根據(jù)本發(fā)明的實施例的�、在從驗證代理服務器到會話管理服務器的驗證響應消息中可能包含的一些信息。驗證響應消息802包含用戶的更新后的證書的副本804��。當由初始地請求更新后的^正書的會話管理服務器通過驗證操作接收更新后的證書時�����,更新后的證書將被緩存���。例如���,更新后的證書可能被緩存在適當?shù)挠脩舻臅掜椥畔⒅?����,用于隨后在訪問受保護資源中使用�����。應當注意�����,驗證響應消息802表示被關(guān)聯(lián)地存儲和/或傳送的信息項,并且可以以各種數(shù)據(jù)格式實現(xiàn)這些信息項�����,包括作為嵌入其他消息中的它們的包含物?�,F(xiàn)在參考圖9��,流程圖繪出了根據(jù)本發(fā)明的實施例的處理��,通過該處理�,會話管理服務器發(fā)起驗證操作。當諸如圖4所示的會話管理服務器404的會話管理服務器接收了要訪問受保護資源的請求時��,處理開始(步驟902);該請求可以被緩存在用戶的會話信息中用于隨后檢索�����。會話管理服務器從到來的請求消息中提取所請求的受保護資源的URI(步驟904),并使用所提取的URI執(zhí)行查找操作�,以獲得受保護資源所要求的驗證上下文(步驟906);使用諸如圖5所示的表格的可配置表格或其他數(shù)據(jù)存儲來執(zhí)行查找操作。在此例子中���,會話管理服務器確定���,用戶的證書缺乏所要求的驗證上下文(步驟908)����。換句話說�,用戶的當前證書無效、不合適�����、不足夠�、不滿足或與由用戶正試圖訪問的受保護資源所要求的類型或特性不同的類型或特性。因此�����,會話管理服務器確定����,需要驗證操作來更新用戶的證書。如果用戶的"i正書滿足受保護資源對于特定驗證上下文的要求����,則如需要�����、可以轉(zhuǎn)發(fā)用戶的請求以嘗試獲得對于受保護資源的訪問,而不需進一步處理���,這在圖中未示出�����。會話管理服務器生成驗證請求(步驟910),其包括當前用戶證書和由受保護資源所要求的驗證上下文的指示�。然后��,會話管理服務器將所生成的消息內(nèi)的驗證請求發(fā)送到驗證代理服務器(步驟912),并且處理終止��。驗證代理服務器的URI可以是由會話管理服務器從適當?shù)臄?shù)據(jù)存儲中檢索的可配置的值�����,例如圖5所示?��,F(xiàn)在參考圖10���,流程圖繪出了根據(jù)本發(fā)明的實施例的處理,通過該處理���,驗證代理服務器管理如所請求的驗證操作�。當驗證代理服務器接收到驗證請求時,處理開始(步驟1002)����。所接收的請求以某種方式指示,關(guān)于如所接收的請求內(nèi)所指示的具體類型的驗證上下文���,正請求更新當前證書�。驗證代理服務器從到來的請求中提取所指示的驗證上下文(步驟1004)��,并使用所指示的驗證上下文來執(zhí)行查找操作以獲得已經(jīng)與驗證上下文相關(guān)聯(lián)的驗證操作(步驟1006);使用諸如圖6所示的表格的可配置表格或其他數(shù)據(jù)存儲來執(zhí)行查找操作����。如從查找操作所確定的,仍然包含用戶的當前證書的驗證請求被轉(zhuǎn)發(fā)或被發(fā)送到適當?shù)暮蠖蓑炞C服務器(步驟1008)���。如果需要�����,驗證服務器與用戶交互�����,以獲得附加信息或完成關(guān)于用戶的所請求的-驗-〖正操作(步驟1010)����。驗證服務器生成更新后的用戶證書(步驟1012),其以某種方式被提供給或發(fā)送到驗證代理服務器���。驗證代理服務器向發(fā)出請求的會話管理服務器發(fā)送更新后的用戶證書作為消息內(nèi)的驗證響應(步驟1014)��,從而終止處理��。發(fā)出請求的會話管理服務器的URI可以是由驗證代理服務器從適當?shù)臄?shù)據(jù)存儲中檢索的可配置的值����,例如圖6所示?,F(xiàn)在參考圖11,流程圖繪出了根據(jù)本發(fā)明的實施例的處理�����,通過該處理���,會話管理服務器完成驗證操作��。當已經(jīng)發(fā)起驗證操作的會話管理服務器4妄收到對于其請求的響應時�����,處理開始(步驟1102)�����,并且從該響應中提取更新后的用戶證書(步驟1104),并將更新后的用戶證書緩存用于隨后使用(步驟1106)�。然后例如從用戶的會話信息中檢索訪問受保護資源的用戶原始請求,并以適當?shù)姆绞綄⑵浒l(fā)送到受保護資源(步驟1108),從而終止處理���。該請求可以附有用戶的更新后的證書���,其指示如由受保護資源所要求的適當?shù)尿炞C上下文,或者用戶的更新后的證書仍然可用于當需要時由下游實體檢索����。考慮到以上提供的本發(fā)明的詳細描述���,本發(fā)明的優(yōu)點顯而易見��。受保護資源可以要求用戶已經(jīng)獲得如由與受保護資源的URI相關(guān)聯(lián)的可配置的驗證上下文指示符所指示的特定驗證上下文內(nèi)的驗證證書��。當接收到訪問受^f呆護資源的請求時���,將所請求的受保護資源所需的驗證上下文與例如用戶證書內(nèi)所指示的��、其中或?qū)τ谄渖捎脩糇C書的驗證上下文相比較。如果用戶在該驗證上下文內(nèi)還沒有被驗證���,即�����,如果用戶的證書沒有指示適當?shù)尿炞C上下文��,則本發(fā)明使用適合于受保護資源所要求的驗證上下文的驗證操作來觸發(fā)用戶的再驗證��。本發(fā)明允許系統(tǒng)管理員通過在單一的驗證代理服務器后面布置驗證操作或服務器��,來有效地擴展可用于數(shù)據(jù)處理系統(tǒng)內(nèi)使用的驗證操作���。因此,通過指定單的配置���。然后��,由會話管理服務器等同地對待需要驗證的所有到來的請求�。會話管理服務器保持預先存在的用戶會話,更新后的證書變得與預先存在的用戶會話關(guān)聯(lián)��,而不建立更新后的證書的新會話����。重要的是,注意���,盡管在具有充分功能的數(shù)據(jù)處理系統(tǒng)的上下文中描述了本發(fā)明�����,但是本領(lǐng)域普通技術(shù)人員將認識到���,能夠以計算機可讀介質(zhì)中的指令的形式和各種其他形式來分配本發(fā)明的處理,無論實際用于實行分配的承載介質(zhì)的具體類型�����。計算機可讀介質(zhì)的例子包括諸如EPROM�、ROM、磁帶�、紙張、軟盤、硬盤驅(qū)動��、RAM和CD-ROM的介質(zhì)�����、以及諸如數(shù)字和模擬通信鏈接的傳輸型介質(zhì)�����。一般將方法構(gòu)思為通向所希望的結(jié)果的前后一致的步驟的序列�。這些步驟要求對物理量的物理操縱���。一般而言�,盡管不是必須的���,這些量采取能夠被存儲���、傳送、組合�����、比較或操縱的電或磁信號的形式。有時���,主要由于一般使用的原因����,將這些信號稱作位��、值�、參數(shù)、項��、元件���、對象�����、符號��、字符��、術(shù)語�、數(shù)字等很方便����。然而���,應當注意,所有這些術(shù)語和類似的術(shù)語都與適當?shù)奈锢砹坑嘘P(guān)��,并且僅是方便應用于這些量的標簽��。出于說明的目的已經(jīng)給出了本發(fā)明的描述���,但是不意要詳盡或限制本發(fā)明于所公開的實施例�����。對于本領(lǐng)域普通技術(shù)人員而言,很多修改和變更將是顯然的�。選擇實施例以說明本發(fā)明的原理及其實際應用,以及以使本4頁i或普通技術(shù)人員能夠理解本發(fā)明以便用可能適合于其他預期使用的各種修改來實現(xiàn)各種實施例�����。權(quán)利要求1.一種用于在數(shù)據(jù)處理系統(tǒng)內(nèi)管理用戶的驗證證書的計算機實現(xiàn)的方法��,該方法包括在會話管理服務器處從客戶端接收代表用戶訪問受保護資源的請求���,其中所述會話管理服務器執(zhí)行對于包括所述受保護資源的域的�、關(guān)于用戶的會話管理,并且其中對所述受保護資源的訪問需要已經(jīng)為第一類驗證上下文而生成的驗證證書��;響應于所述會話管理服務器確定所述用戶的驗證證書指示已經(jīng)為第二類驗證上下文生成了驗證證書�,將第一消息從所述會話管理服務器發(fā)送到驗證代理服務器,其中���,所述第一消息包含所述用戶的驗證證書和用于所述第一類驗證上下文的指示符��;以及在所述會話管理服務器處從所述驗證代理服務器接收第二消息��,其中所述第二消息包含用戶的更新后的驗證證書��,并且其中�����,所述更新后的驗證證書指示已經(jīng)為所述第一類驗證上下文生成了所述更新后的驗證證書���。2.如權(quán)利要求l所述的方法,還包括用戶建立新的會話��。3.如f又利要求1所述的方法���,還包括在接收到所述更新后的驗證證書后���,從所述會話管理服務器發(fā)送所述代表用戶訪問所述受保護資源的請求����。4.如權(quán)利要求l所述的方法���,還包括由所述會話管理服務器從所述要訪問受保護資源的請求中提取所述受保護資源的統(tǒng)一資源標識符(URI);以及基于所提取的URI執(zhí)行查找操作��,以獲得所述第一類驗證上下文��。5.如權(quán)利要求1所述的方法���,還包括由所述會話管理服務器從可配置的信息中檢索所述驗證代理服務器的URI;以及對于來自所述會話管理服務器的每個請求,使用所檢索的所述驗證代理服務器的URI來獲得更新后的證書���。6.如權(quán)利要求l所述的方法,還包括由所述驗證代理服務器從可配置的信息中檢索所述會話管理服務器的URI;以及對于來自所述驗證代理服務器的每個響應�,使用所檢索的所述會話管理服務器的URI來返回更新后的證書。7.如權(quán)利要求1所述的方法�����,還包括由所述驗證代理服務器從所述第一消息提取用于所述第一類驗證上下文的指示符;以及基于所提取的用于所述第一類驗證上下文的指示符執(zhí)行查找操作以確定要采用的驗證方法�,來更新所述用戶的驗證證書。8.如權(quán)利要求7所述的方法�,還包括由所述驗證代理服務器將所述驗證證書發(fā)送到所確定的驗證方法。9.一種在計算機可讀介質(zhì)上的用于在數(shù)據(jù)處理系統(tǒng)內(nèi)^f吏用以管理用戶的驗證證書的計算機程序制品�,該計算機程序制品包括用于在會話管理服務器處從客戶端接收代表用戶訪問受保護資源的請求的部件,其中所述會話管理服務器執(zhí)行對于包括所述受保護資源的域的�����、關(guān)于用戶的會話管理����,并且其中對所述受保護資源的訪問需要已經(jīng)為第一類驗證上下文而生成的驗證證書;用于響應于所述會話管理服務器確定所述用戶的驗證證書指示已經(jīng)為第二類驗證上下文生成了驗證證書���、將第一消息從所述會話管理服務器發(fā)送到驗證代理服務器的部件����,其中�����,所述第一消息包含所述用戶的驗證證書和用于所述第一類驗證上下文的指示符��;以及用于在所述會話管理服務器處從所述驗證代理服務器接收第二消息的部件,其中所述第二消息包含用戶的更新后的驗證證書��,并且其中����,所述更新后的驗證證書指示已經(jīng)為所述第一類驗證上下文生成了所述更新后的驗證證書。10.如權(quán)利要求9所述的計算機程序制品�,還包括為用戶建立新的會話的部件。11.如權(quán)利要求9所述的計算機程序制品�����,還包括用于在接收到所述更新后的驗證證書后��、從所述會話管理服務器發(fā)送所述代表用戶訪問所述受保護資源請求的部件����。12.如權(quán)利要求9所述的計算機程序制品,還包括用于由所述會話管理服務器從所述要訪問受保護資源的請求中提取所述受保護資源的統(tǒng)一資源標識符(URI)的部件�����;以及用于基于所提取的URI執(zhí)行查找搡作以獲得所述第一類驗證上下文的部件��。13.如權(quán)利要求9所述的計算機程序制品�����,還包括用于由所述會話管理服務器從可配置的信息中檢索所述驗證代理服務器的URI的部件����;以及用于對于來自所述會話管理服務器的每個請求使用所檢索的所述驗證代理服務器的URI來獲得更新后的證書的部件。14.如權(quán)利要求9所述的計算機程序制品���,還包括用于由所述驗證代理服務器從可配置的信息中檢索所述會話管理服務器的URI的部件���;以及理服務器的URI來返回更新后的證書的部件。15.如權(quán)利要求9所述的計算機程序制品�,還包括用于由所述驗證代理服務器從所述第一消息提取用于所述第一類驗證上下文的指示符的部件;以及用于基于所提取的所述第一類驗證上下文的指示符執(zhí)行查找操作以確定要采用的驗證方法來更新所述用戶的驗證證書的部件�����。16.如權(quán)利要求15所述的計算機程序制品���,還包括用于由所述驗證代理服務器將所述驗證證書發(fā)送到所確定的驗證方法的部件�����。17.—種用于在數(shù)據(jù)處理系統(tǒng)內(nèi)管理用戶的驗證證書的裝置�,該裝置包括用于在會話管理服務器處從客戶端接收代表用戶訪問受保護資源的請求的部件,其中所述會話管理服務器執(zhí)行對于包括所述受保護資源的域的��、關(guān)于用戶的會話管理���,并且其中對所述受保護資源的訪問需要已經(jīng)為第一類驗證上下文而生成的驗證證書����;用于響應于所述會話管理服務器確定所述用戶的驗證證書指示已經(jīng)為第二類驗證上下文生成了驗證證書�、將第一消息從所述會話管理服務器發(fā)送到驗證代理服務器的部件,其中�,所述第一消息包含所述用戶的驗證證書和用于所述第一類驗證上下文的指示符;以及用于在所述會話管理服務器處從所述驗證代理服務器接收第二消息的部件���,其中所述第二消息包含用戶的更新后的驗證證書��,并且其中��,所述更新后的驗證證書指示已經(jīng)為所述第一類驗證上下文生成了所述更新后的驗證證書���。18.如權(quán)利要求17所述的裝置,還包括為用戶建立新的會話的部件��。19.如權(quán)利要求17所述的裝置,還包括用于在接收到所述更新后的驗證證書后�����、從所述會話管理服務器發(fā)送所述代表用戶訪問所述受保護資源請求的部件�����。20.如權(quán)利要求17所述的裝置�����,還包括用于由所述會話管理服務器從所述要訪問受保護資源的請求中提取所述受保護資源的統(tǒng)一資源標識符(URI)的部件�;以及用于基于所提取的URI執(zhí)行查找操作以獲得所述第一類驗證上下文的部全文摘要給出了用于管理用戶的驗證證書的方法����。會話管理服務器對于包括受保護資源的域?qū)τ脩魣?zhí)行會話管理。會話管理服務器接收要訪問受保護資源的請求��,該受保護資源要求已經(jīng)對于第一類驗證上下文而生成的驗證證書�����。響應于確定已經(jīng)對于第二類驗證上下文生成了用戶的驗證證書���,會話管理服務器向驗證代理服務器發(fā)送包含了用戶的驗證證書和用于第一類驗證上下文的指示符���。會話管理服務器隨后接收第二消息���,該第二消息包含指示已經(jīng)用于對于第一類驗證上下文生成了用戶的更新后的驗證證書。文檔編號H04L29/06GK101331735SQ200680047306公開日2008年12月24日申請日期2006年12月13日優(yōu)先權(quán)日2005年12月16日發(fā)明者安東尼·S·莫蘭,希瑟·M·欣頓,本杰明·B·哈蒙申請人:國際商業(yè)機器公司