TWI505681B - 用於保障非同步客戶伺服器異動之電腦實施之方法、電腦可用程式產品及資料處理系統 - Google Patents
用於保障非同步客戶伺服器異動之電腦實施之方法、電腦可用程式產品及資料處理系統 Download PDFInfo
- Publication number
- TWI505681B TWI505681B TW099140456A TW99140456A TWI505681B TW I505681 B TWI505681 B TW I505681B TW 099140456 A TW099140456 A TW 099140456A TW 99140456 A TW99140456 A TW 99140456A TW I505681 B TWI505681 B TW I505681B
- Authority
- TW
- Taiwan
- Prior art keywords
- application
- service identifier
- directory
- request
- computer
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本發明大體而言係關於經改良之資料處理系統,且詳言之,本發明係關於用於提供資料安全性之電腦實施之方法。更特定言之,本發明係關於用於保障非同步客戶伺服器異動之電腦實施之方法、系統及電腦可用程式碼。
資料使用一或多個資料網路頻繁地在各種資料處理系統之間交換。可將一些資料處理系統視為客戶資料處理系統,因為該等系統為資料或服務之消費者。可將其他資料處理系統視為伺服器資料處理系統,因為該等系統提供所請求之資料或服務。將作為客戶(亦即,作為資料或服務之消費者)執行之應用程式稱為客戶應用程式。將作為伺服器(亦即,提供資料或服務)執行之應用程式稱為伺服器應用程式。
資料、資料所駐留之系統及系統所操作之網路的安全性係資料通信中所要關心的。通常,藉由某一安全性機制來實現資料處理系統、其內容及資料處理系統所操作之網路的安全性。使用者識別符(UID)及密碼(password)鑑認(authentication)為實現資料處理環境下之安全性目標之普通方法。
客戶資料處理系統及伺服器資料處理系統可使用各種協定彼此通信。發生在一客戶與一伺服器資料處理系統之間的資料通信包括一系列請求及回應。相互相關之請求及回應形成異動。
目前以各種方式來達成客戶伺服器異動之安全性。諸如安全超文字傳送協定(HTTPS)之某些協定藉由使用對伺服器資料處理系統之加密及安全識別來實現客戶伺服器異動之安全性。某些其他異動安全性機制包括使用作業階段識別符(作業階段ID)。作業階段ID為用以識別客戶與伺服器資料處理系統之間的作業階段之識別符。典型作業階段可包括一系列異動。
在一些情況下,客戶可以非同步方式請求來自伺服器之資料。非同步資料傳送傳送資料而不干擾進行中任務之行為。舉例而言,網頁瀏覽器應用程式可為一客戶應用程式。網頁瀏覽器可以非同步方式請求來自web伺服器之資料,以使得在網頁瀏覽器中顯示的頁面之行為或顯示不受非同步資料請求或回應影響。非同步請求亦不等待對應回應。換言之,對非同步請求之回應可在任何時間在客戶處到達且加以處理。客戶並不等待對非同步請求之回應,但繼續進行其他任務。
非同步請求為對非同步資料或服務之請求。非同步客戶伺服器異動為相對於另一進行中任務以非同步方式發生的客戶伺服器異動。
非同步JavaScript及XML(AJAX)為目前用於創建及執行非同步客戶伺服器異動之技術。非同步客戶伺服器異動在改良web應用程式之效能及改良使用者體驗上特別有用。
說明性實施例提供用於保障非同步客戶伺服器異動之方法、系統及電腦可用程式產品。一實施例在於一資料處理系統中執行之一第一應用程式處接收一請求。該請求包括與一第二應用程式相關聯之一應用程式識別符及一版本。若與該第二應用程式之一作業階段有效,則該實施例產生一服務識別符。該實施例在該第一應用程式處產生一登錄檔。該登錄檔包括關於准許使用該第二應用程式的服務之一集合及資料之資訊。該實施例基於該登錄檔產生一目錄。該目錄包括該登錄檔之內容之一子集或其某一變換。該實施例將該服務識別符及該目錄發送至該第二應用程式。
另一實施例進一步接收一子請求。該子請求為一非同步客戶伺服器異動之一部分且包括該服務識別符。該實施例藉由判定該服務識別符是否已過期、該子請求是否請求根據該目錄可准許之一服務、該服務識別符是否結合該第二應用程式使用或其組合,來判定該子請求之有效性。若該子請求有效,則該實施例提供回應於該子請求之該服務。
在另一實施例中,該有效性之該判定可進一步在該組合中組合判定該目錄是否過時。
在另一實施例中,該判定該服務識別符是否結合該第二應用程式使用包括判定該服務識別符是否與該第二應用程式之該應用程式識別符及該應用程式版本一起使用。
若該子請求無效,則另一實施例進一步提供一換新(renewal)的服務識別符、一換新的目錄或其組合。可接著用該換新的服務識別符、該換新的目錄或其組合來再試該子請求。
在一實施例中,該換新的服務識別符可為一新服務識別符、包括一經修改之安全性特徵的服務識別符、對應於該第一應用程式處之該安全性特徵驗證準則之一修改的服務識別符,或其組合。可用該換新的服務識別符來再試一子請求。此實施例中之提供在非同步客戶伺服器異動結束之前發生。
在另一實施例中,該換新的目錄可為一新目錄、該目錄之一更新、該目錄之一過期參數之一修改,或其組合。可用該換新的目錄再試一子請求。此實施例中,提供在非同步客戶伺服器異動結束之前發生。
另一實施例進一步判定該服務是否需要額外鑑認。若需要額外鑑認,則該實施例回應於對額外鑑認資訊之一請求而接收該額外鑑認資訊。該實施例判定該額外鑑認資訊是否有效。若該額外鑑認資訊有效,則該實施例提供該服務。
在一實施例中,該判定該服務根據該目錄是否可准許係藉由使用該登錄檔判定該服務是否可准許來執行。
另一實施例產生一原始服務識別符。在此實施例中,該服務識別符為該原始服務識別符之一變換版本。
在隨附申請專利範圍中闡述據信為本發明之特性的新穎特徵。然而,當結合附圖閱讀時,藉由參考說明性實施例之以下詳細描述,將最佳地理解本發明自身以及其較佳使用模式、其他目標及優點。
本發明認識到,目前,一客戶可在一非同步客戶伺服器異動下執行若干子請求。藉由使用用於非同步客戶伺服器異動之目前可用技術,一客戶可向伺服器鑑認一次且接著進行多個子請求且遍歷伺服器可提供的各種服務。
本發明認識到,以此方式,客戶可能夠存取可能與異動或客戶之操作無關的服務。本發明進一步認識到,在初始鑑認成功之後,惡意應用程式可利用一合法客戶之非同步客戶伺服器異動來能夠存取伺服器處之服務及資料。
本發明進一步認識到,作業階段ID技術不足以阻止此等類型之超越(transgression)。作業階段ID技術達不到目標,因為一般而言,作業階段ID在一作業階段期間保持不變且亦容易基於其他作業階段參數猜測。其他目前可用之技術亦不足以阻止對不相關服務及資料之存取及阻止用於惡意用途的對非同步客戶伺服器異動之劫持。
用以描述本發明之說明性實施例大體上處理並解決上述問題及與非同步客戶伺服器異動中之安全性相關之其他問題。說明性實施例提供一種用於保障非同步客戶伺服器異動之方法、電腦可用程式產品及資料處理系統。
關於僅作為實例之某些異動、資料、資料結構、請求及回應來描述說明性實施例。此等描述不欲為對本發明之限制。舉例而言,在本發明之範疇內,關於AJAX異動描述之說明性實施例可以類似方式應用於使用另一相當技術、格式或標準之非同步客戶伺服器異動。
此外,僅出於描述清楚起見,關於特定客戶及伺服器資料處理系統及應用程式來描述說明性實施例。在不脫離本發明之範疇的情況下,可關於可充當客戶及伺服器的任何類型之資料處理系統、資料、資料源或對資料源之存取而實施說明性實施例。可關於任何類型之應用程式(諸如,任何類型之客戶應用程式、伺服器應用程式、平台應用程式、獨立應用程式或其組合)而實施本發明之一實施例。
應用程式可進一步包括在資料處理環境中可用的資料物件、程式碼物件、囊封指令、應用程式片段、服務及其他類型之資源。舉例而言,Java物件、Enterprise Java Bean(EJB)、servlet或applet可為一應用程式之表現,可關於該應用程式、在該應用程式內或使用該應用程式而實施本發明。(Java、EJB及其他Java相關術語為Sun Microsystems,Inc.在美國及其他國家之註冊商標。)
說明性實施例可實施於硬體、軟體或其組合中。本發明中之實例僅用於描述清楚起見,而非對說明性實施例之限制。可自本發明想像出額外或不同資訊、資料、操作、動作、任務、活動及操縱以用於類似目的,且預期其在說明性實施例之範疇內。
說明性實施例係使用僅作為實例之特定識別符、參數、屬性、組態、程式碼、資料結構、檔案系統、設計、架構、佈局、示意圖及工具來描述,而非對說明性實施例之限制。此外,為描述清楚起見,說明性實施例在一些情況下係使用僅作為實例之特定軟體工具及資料處理環境來描述。說明性實施例可結合其他相當或類似目的之結構、系統、應用程式或架構來使用。
本文中列出之任何優點僅為實例且不欲為對說明性實施例之限制。可藉由特定說明性實施例來實現額外或不同優點。此外,特定說明性實施例可具有以上所列出之優點中的一些、全部,或不具有以上所列出之優點。
參看諸圖且詳言之參看圖1及圖2,此等圖為可實施說明性實施例的資料處理環境之例示性圖式。圖1及圖2僅為實例且不欲確定或暗示關於可實施不同實施例的環境之任何限制。特定實施可基於以下描述對所描繪之環境進行許多修改。
圖1描繪可實施說明性實施例的資料處理系統之網路的圖形表示。資料處理環境100為可實施說明性實施例的電腦之網路。資料處理環境100包括網路102。網路102為用以提供資料處理環境100內連接在一起的各種器件與電腦之間的通信鏈路之媒體。網路102可包括諸如電線、無線通信鏈路或光纜之連接。伺服器104及伺服器106與儲存單元108一起耦接至網路102。軟體應用程式可在資料處理環境100中之任何電腦上執行。
另外,客戶110、112及114耦接至網路102。諸如伺服器104或106或客戶110、112或114之資料處理系統可含有資料,且可具有在系統上執行之軟體應用程式或軟體工具。
伺服器104可包括應用程式伺服器105。應用程式伺服器105可為操作以伺服其他應用程式及服務之任何應用程式。伺服器106可包括伺服器107。伺服器107可為可操縱資料、伺服資料或執行其組合的函式、操作或應用程式。客戶112可包括客戶應用程式113。客戶應用程式113可為一應用程式或其一組件,其能夠進行根據本發明之一實施例之非同步客戶伺服器異動。
伺服器104及106、儲存單元108及客戶110、112及114可使用有線連接、無線通信協定或其他合適之資料連接性而耦接至網路102。客戶110、112及114可為(例如)個人電腦或網路電腦。
在所描繪之實例中,伺服器104將諸如啟動檔案、作業系統影像及應用程式之資料提供至客戶110、112及114。在此實例中,客戶110、112及114可為伺服器104之客戶。客戶110、112、114或其某一組合可包括其自身的資料、啟動檔案、作業系統影像及應用程式。資料處理環境100可包括未展示的額外伺服器、客戶及其他器件。
在所描繪之實例中,資料處理環境100可為網際網路。網路102可表示使用傳輸控制協定/網際網路協定(TCP/IP)及其他協定以相互通信的網路及閘道器之集合。網際網路之中心處為主要節點或主機電腦之間的資料通信鏈路之骨幹,包括投送資料及訊息之成千之商業、政府、教育及其他電腦系統。當然,資料處理環境100亦可實施為許多不同類型之網路,諸如,企業內部網路、區域網路(LAN)或廣域網路(WAN)。圖1意欲作為實例,而非對不同說明性實施例之架構限制。
在其他用途中,資料處理環境100可用於實施可實施說明性實施例之客戶伺服器環境。客戶伺服器環境使軟體應用程式及資料能夠跨網路而分散,以使得應用程式藉由使用客戶資料處理系統與伺服器資料處理系統之間的互動性而起作用。資料處理環境100亦可使用服務導向式架構,其中跨網路分散之可交互運作軟體組件可封裝在一起以作為相干商業應用程式。
參看圖2,此圖描繪可實施說明性實施例的資料處理系統之方塊圖。資料處理系統200為電腦之實例,諸如圖1中之伺服器104或客戶110,其中可針對說明性實施例定位實施該等過程之電腦可用程式碼或指令。
在所描繪之實例中,資料處理系統200使用包括北橋及記憶體控制器集線器(NB/MCH)202及南橋及輸入/輸出(I/O)控制器集線器(SB/ICH)204之一集線器架構。處理單元206、主記憶體208及圖形處理器210耦接至北橋及記憶體控制器集線器(NB/MCH)202。處理單元206可含有一或多個處理器,且可使用一或多個異質處理器系統來實施。在某些實施中,圖形處理器210可經由一加速圖形埠(AGP)耦接至NB/MCH。
在所描繪之實例中,區域網路(LAN)配接器212耦接至南橋及I/O控制器集線器(SB/ICH)204。音訊配接器216、鍵盤及滑鼠配接器220、數據機222、唯讀記憶體(ROM)224、通用串列匯流排(USB)及其他埠232及PCI/PCIe器件234係經由匯流排238耦接至南橋及I/O控制器集線器204。硬碟機(HDD)226及CD-ROM 230係經由匯流排240耦接至南橋及I/O控制器集線器204。PCI/PCIe器件可包括(例如)筆記型電腦之乙太網路配接器、附加介面卡(add-in card)及PC卡。PCI使用卡片匯流排控制器,而PCIe不使用卡片匯流排控制器。ROM 224可為(例如)快閃二進位輸入/輸出系統(BIOS)。硬碟機226及CD-ROM 230可使用(例如)整合驅動電子(IDE)或串列進階附接技術(SATA)介面。超級I/O(SIO)器件236可耦接至南橋及I/O控制器集線器(SB/ICH)204。
一作業系統在處理單元206上執行。該作業系統協調且提供對圖2中之資料處理系統200內之各種組件之控制。該作業系統可為一可購得之作業系統,諸如 (Microsoft及Windows為微軟公司(Microsoft Corporation)在美國及其他國家之商標)或(Linux為Linus Torvalds在美國及其他國家之商標)。一物件導向式程式設計系統(諸如,JavaTM
程式設計系統)可結合該作業系統執行,且將來自在資料處理系統200上執行之JavaTM
程式或應用程式之呼叫提供至該作業系統(Java為Sun Microsystems,Inc.在美國及其他國家之商標)。
用於作業系統、物件導向式程式設計系統及應用程式或程式之指令定位於儲存器件(諸如,硬碟機226)上,且可載入至主記憶體208中以由處理單元206執行。說明性實施例之該等過程可由處理單元206使用電腦實施之指令執行,該等電腦實施之指令可定位於諸如主記憶體208、唯讀記憶體224之記憶體中,或定位於一或多個周邊器件中。
圖1至圖2中之硬體可視實施而變化。除了圖1至圖2中所描繪之硬體之外或替代圖1至圖2中所描繪之硬體,可使用其他內部硬體或周邊器件,諸如快閃記憶體、等效非揮發性記憶體或光碟機及其類似者。另外,說明性實施例之該等過程可適用於多處理器資料處理系統。
在一些說明性實例中,資料處理系統200可為個人數位助理(PDA),其通常組態有快閃記憶體以提供用於儲存作業系統檔案及/或使用者產生之資料的非揮發性記憶體。匯流排系統可包含一或多個匯流排,諸如系統匯流排、I/O匯流排及PCI匯流排。當然,匯流排系統可使用任何類型之通信組構或架構來實施,其提供資料在附接至該組構或架構之不同組件或器件之間的傳送。
通信單元可包括用以傳輸及接收資料之一或多個器件,諸如數據機或網路配接器。記憶體可為(例如)主記憶體208或快取記憶體,諸如在北橋及記憶體控制器集線器202中發現之快取記憶體。處理單元可包括一或多個處理器或CPU。
圖1至圖2中所描繪之實例及以上所描述之實例並不意謂暗示架構限制。舉例而言,除了採用PDA之形式之外,資料處理系統200亦可為平板電腦、膝上型電腦或電話器件。
參看圖3,此圖描繪可實施說明性實施例的資料處理環境之方塊圖。客戶資料處理系統302可類似於圖1中之客戶112。客戶應用程式304可類似於圖1中之客戶應用程式113。伺服器資料處理系統306可類似於圖1中之伺服器104。應用程式伺服器308可類似於圖1中之應用程式伺服器105。
如同目前所使用之非同步客戶伺服器異動技術一樣,客戶應用程式304可向應用程式伺服器308作出一初始非同步請求,其後接著一或多個子請求。該等子請求可用於利用經授權服務310、存取經授權資料312或其兩者。
作為一實例,惡意應用程式314可為客戶資料處理系統302上之一應用程式,其可欺騙客戶應用程式304與應用程式伺服器308之間的異動資訊且進行可允許惡意應用程式314存取受保護服務316、受保護資料318或其兩者的子請求。
請注意,惡意應用程式314可為具有任何目的、但不以此方式表現之任何應用程式。事實上,在某些情況下,客戶應用程式302本身可表現為惡意應用程式314且以此方式存取受保護資源。
經授權服務310及經授權資料312可為可由客戶應用程式302在一給定非同步客戶伺服器異動中合法地存取之任何服務或資料。受保護服務316及受保護資料318為可在伺服器資料處理系統306上可用的可能超出一給定非同步客戶伺服器異動之範疇的服務或資料之實例。
參看圖4,此圖描繪根據說明性實施例之用於保障非同步客戶伺服器異動之伺服器資料處理系統組態的方塊圖。伺服器資料處理系統402可使用圖3中之伺服器資料處理系統306來實施。應用程式伺服器404可使用圖3中之應用程式伺服器308來實施。
應用程式伺服器404利用鑑認引擎406來鑑認可自與非同步客戶伺服器異動有關之客戶應用程式接收的一初始請求。通常,該初始請求包括與該客戶應用程式相關聯之一應用程式識別符,及該客戶應用程式之一應用程式版本。該初始請求亦可包括任何使用者鑑認憑證,諸如使用者識別符及密碼。
根據一說明性實施例,鑑認引擎406鑑認客戶應用程式、使用者(若存在)。在成功鑑認後,鑑認引擎406將使應用程式伺服器404能夠創建登錄檔408之資訊提供至應用程式伺服器404。
登錄檔408為客戶應用程式經授權以在伺服器資料處理系統402上執行之活動之列表。舉例而言,登錄檔408可包括在伺服器資料處理系統402上可用之經鑑認之客戶應用程式可存取的服務之一集合之識別符或參數。服務之一集合為更多服務中之一者。
作為另一實例,登錄檔408可包括指定經鑑認之客戶應用程式可查詢的一資料庫之部分之參數。作為另一實例,登錄檔408可包括否定參數或識別符,亦即,禁止經鑑認之客戶應用程式使用的服務之一集合及資料之參數或識別符。服務之一集合及資料為一或多個服務或資料。
登錄檔408中之此等實例項目僅出於說明性實施例清楚起見而描述,且並非對本發明之限制。在本發明之範疇內,可將許多其他類型之類似目的資訊記錄在登錄檔408中。
在鑑認客戶應用程式後,鑑認引擎406組合應用程式伺服器404產生服務識別符(服務ID)410。服務識別符410為與非同步客戶伺服器異動或其一部分相關聯之唯一識別符。
應用程式伺服器404回應於客戶應用程式之初始請求而將服務識別符410及目錄412傳回至經鑑認之客戶應用程式。目錄412包括登錄檔408之內容之一子集。在一實施例中,目錄412可包括登錄檔408之資訊中之一些或全部,該資訊之格式或資料結構不同於登錄檔408中之格式或資料結構。換言之,目錄412之內容可類似於登錄檔408之內容中之一些或全部,或為該等內容之變換,如區塊414所示。
區塊414表示可用以建構目錄412的登錄檔408之內容中之一些或全部。在一實施例中,區塊414之內容可以不變形式出現在目錄412中。在另一實施例中,當區塊414之內容出現在目錄412中時,該等內容可諸如藉由壓縮、加密或重組來變換。
在一實施例中,服務識別符410可與某些安全性特徵相關聯。舉例而言,服務識別符410在非同步客戶伺服器異動期間可能僅在一預定時段中有效且在此後可能必須換新。作為另一實例,服務識別符410在非同步客戶伺服器異動中可能僅在預定數目個子請求中有效且在此後可能必須換新。
由於可適合於特定實施,故在本發明之範疇內,任何其他安全性特徵(諸如,加密)可適用於服務識別符410。將關於圖6及圖7詳細描述服務識別符410之操作及性質。
在一實施例中,目錄412本質上可為動態的。換言之,目錄412之內容可在非同步客戶伺服器異動(目錄412係關於其創建)期間改變。舉例而言,在一實施例中,目錄412僅保持有效一預定時段且在此後可能必須再新。作為另一實例,在另一實施例中,目錄412可僅含有對某些類型或某一數目之預期子請求而言足夠的資訊,且在此後可能必須用額外類型或數目之子請求之資訊再新或換新。
目錄412之此等實例組態不欲為對本發明之限制。由於可適合於特定實施,故在本發明之範疇內,任何其他安全性特徵(諸如,加密)可適用於目錄412。將關於圖6及圖7詳細描述目錄412之操作及性質。
僅作為一實例組態,應用程式伺服器404、鑑認引擎406及登錄檔408經展示在伺服器資料處理系統402內。在本發明之範疇內,本發明之實施例之實施可跨資料處理環境中之任何組合中的不同資料處理系統分散此等組件。
參看圖5,此圖描繪根據說明性實施例之用於保障非同步客戶伺服器異動之客戶資料處理系統之組態的方塊圖。客戶資料處理系統502可使用圖3中之客戶資料處理系統302來實施。客戶應用程式504可使用圖3中之客戶應用程式304來實施。惡意應用程式506可類似於圖3中之惡意應用程式314。服務識別符508可使用圖4中之服務識別符410來實施。目錄510可使用圖4中之目錄412來實施。
如關於圖4所描述,客戶應用程式504可將一初始請求傳輸至一應用程式伺服器以供非同步客戶伺服器異動用。客戶應用程式504可將與客戶應用程式504相關聯之應用程式識別符512及應用程式版本514包括於該請求中。視情況,客戶應用程式504亦可包括與使用者(若存在)相關聯之鑑認資訊。在應用程式伺服器處使用該請求之鑑認資訊的成功鑑認後,回應於該請求,客戶應用程式504接收服務識別符508及目錄510。
在一實施例中,客戶應用程式504亦可接收目前所使用之識別符及資訊,諸如作業階段識別符。如上所述,惡意應用程式506可能夠猜測或欺騙此等目前所使用之識別符及資訊。然而,有利地,服務識別符508及目錄510在繼續非同步客戶伺服器異動中之結構及使用方式以類似方式不受惡意應用程式506之使用影響。
在一實施例中,在一子請求中使用應用程式識別符512、應用程式版本514、服務識別符508及目錄510之內容的組合。根據與當前技術中之固定或預編碼之子請求相對之實施例,在動態地創建子請求時使用此組合。該等子請求之動態建構以及應用程式識別符512、應用程式版本514、服務識別符508及目錄510之內容之組合允許本發明之實施例達成對非同步客戶伺服器異動及其中的子請求之安全性,此對目前可用的用於非同步客戶伺服器異動之技術而言係不可能的。
參看圖6,此圖描繪根據說明性實施例之在非同步客戶伺服器異動內發生之異動的時序圖。客戶應用程式602可使用圖5中之客戶應用程式502來實施。應用程式伺服器604可使用圖4中之應用程式伺服器404來實施。
應用程式伺服器組件606可為應用程式伺服器604所利用之應用程式、引擎或組件。舉例而言,在一實施例中,應用程式伺服器組件606可為圖4中之鑑認引擎406與一目前可用應用程式伺服器應用程式之某些其他現存組件之組合。應用程式伺服器組件606可為伺服不同功能之一個以上應用程式伺服器組件。
在一實例實施例中,應用程式伺服器604可將登入對話方塊607呈現給客戶應用程式602。登入對話方塊607可為可選的,且客戶應用程式602可自己主動地或回應於登入對話方塊607而在請求608中提供鑑認憑證。鑑認憑證可包括與客戶應用程式602相關聯之一應用程式識別符、與客戶應用程式602相關聯之一應用程式版本、與請求608相關聯之一識別符及與一使用者或帳戶(若存在)相關聯之一或多個鑑認憑證之組合。
應用程式伺服器604使用請求608中之該等鑑認憑證來驗證與客戶應用程式602之作業階段。在一實施例中,應用程式伺服器604可將驗證作業階段訊息610發送至應用程式伺服器組件606,且接收回一驗證訊息以完成此驗證。
應用程式伺服器604可使用應用程式伺服器組件606產生服務登錄檔612。步驟612中所產生之服務登錄檔可用作為圖4中之登錄檔408,且可包括對經由應用程式伺服器604可用的服務以及資料或其他資源之描述。
應用程式伺服器組件606產生服務識別符614。步驟614中所產生之服務識別符可用作為圖4中之服務識別符410及圖5中之服務識別符508。
應用程式伺服器604將回應616發送至客戶應用程式602。一或多個訊息可形成回應616。回應616將該服務識別符及一目標傳達至客戶應用程式602。回應616中之目錄可為步驟612中所產生之服務登錄檔之一子集。回應616中之目錄可用作為圖4中之目錄412及圖5中之目錄510。
客戶應用程式602可將一或多個子請求發送至應用程式伺服器604。對服務或資料之子請求618為一個此子請求。
客戶應用程式602使用在回應616中接收之服務識別符及目錄而動態地建構子請求618。舉例而言,在一實施例中,子請求618可包括僅對出現在於回應616中接收之目錄中之服務的請求。在一實施例中,子請求618可進一步包括客戶應用程式602之應用程式識別符、客戶應用程式602之應用程式版本、在回應616中接收之服務識別符或此服務識別符之一變換。
因此,由於不同於目前所使用的用於非同步客戶伺服器異動之技術,本發明之實施例藉由在需要時使用來自目錄及服務識別符之資訊而創建子請求來保障非同步客戶伺服器異動,目錄及服務識別符均可隨時間改變。以此方式創建子請求使子請求為動態的且能抵抗惡意應用程式之欺騙或試誤攻擊。
應用程式伺服器604諸如藉由使用應用程式伺服器組件606來執行服務識別符過期檢查620。一實施例可在每一子請求618之後執行檢查620。另一實施例可根據一選擇政策或演算法在若干子請求之後執行檢查620。
服務識別符之時間過期在此實施例中僅用作為一實例且並非對本發明之限制。在本發明之範疇內,可在步驟620中以合適方式檢查與服務識別符相關之任何安全性特徵。
若服務識別符尚未過期,則應用程式伺服器可將請求622發送至應用程式伺服器組件606以用於子請求618中所請求之服務或資料。應用程式伺服器604可將另一請求624發送至應用程式伺服器組件606,以用於可能必須使用服務識別符、應用程式識別符及應用程式版本之組合執行的任何額外資料處理。舉例而言,請求624可用於記載子請求618。作為另一實例,請求624可用於使服務識別符之過期計數增加。
應用程式伺服器604收集626客戶應用程式602所請求之資料或服務。應用程式伺服器604將資料或服務發送628至客戶應用程式602。
圖6之時序圖之一些步驟在受一實施例保障之非同步客戶伺服器異動中可以此方式發生一次以上。舉例而言,應用程式伺服器604可發送另一回應616,其包括換新的服務識別符、再新目錄,或在檢查620偵測到子請求618中之服務識別符已過期的情況下包括該兩者。
為描述清楚起見,僅將描繪為在應用程式伺服器組件606處如此執行之活動描繪為實例。在本發明之範疇內,此等活動可在應用程式伺服器604或一或多個應用程式伺服器組件606處執行。
參看圖7,此圖描繪根據說明性實施例之服務識別符及目錄換新過程的方塊圖。客戶應用程式702可類似於圖6中之客戶應用程式602。應用程式伺服器704可類似於圖6中之應用程式伺服器604。應用程式伺服器組件706可類似於圖6中之應用程式伺服器組件606。
在根據圖7之一實例實施例中,客戶應用程式702將初始請求708發送至應用程式伺服器704。應用程式伺服器組件706產生一登錄檔及一服務識別符。應用程式伺服器704將一基於登錄檔之目錄及該服務識別符傳回至客戶應用程式702。
客戶應用程式702使用該目錄及該服務識別符以及與客戶應用程式702及非同步客戶伺服器異動相關聯之其他資訊而動態地建構子請求。客戶應用程式702發送一或多個此等動態建構之子請求以促進非同步客戶伺服器異動。
在某一時間點,服務識別符過期或以其他方式在客戶應用程式702處變得無效。舉例而言,服務識別符可在非同步客戶伺服器異動完成之前過期,從而迫使使用多個服務識別符來完成非同步客戶伺服器異動。作為另一實例,服務識別符可在某一時間過期而不管非同步客戶伺服器異動是否已完成。
應用程式伺服器704可以適合一實施之任何方式驗證任何組合中之服務識別符及其他憑證。舉例而言,在一實施例中,應用程式伺服器組件706可驗證每一子請求中之服務識別符。在另一實施例中,可以預設間隔驗證服務識別符。在另一實施例中,可與另一鑑認憑證一起驗證服務識別符。
服務識別符之驗證可包括適合於一實施的任何類型之驗證。舉例而言,一驗證可檢查服務識別符之完整性以判定該服務識別符是否已被修改。另一實例驗證可簡單地檢查服務識別符之過期。另一實例驗證可檢查以判定一另外有效之服務識別符是使用相同應用程式識別符(該服務識別符在發佈時與之相關)抑或不同應用程式識別符。
在一實施例中,客戶應用程式702隨一過期的服務請求發送一動態建構之子請求。過期的服務識別符不能通過應用程式伺服器組件706處之驗證。若此換新得到保證,則應用程式伺服器704將一新或換新的服務識別符發送至客戶應用程式702。舉例而言,若客戶應用程式702已花費比預設時間量多的時間來完成一非同步客戶伺服器異動,則應用程式伺服器704可能不發送一換新的服務識別符。客戶應用程式702處之目錄可以類似方式過期、變得過時或以其他方式變得無效。若得到保證,則應用程式伺服器740可以類似方式換新或再新目錄。
客戶應用程式702使用該換新的服務識別符、該換新的目錄或其兩者而動態地建構後續子請求。客戶應用程式702與應用程式伺服器704之間的訊息傳遞及通信可以此方式繼續,直至所保障之非同步客戶伺服器異動結束。
參看圖8,此圖描繪根據說明性實施例之產生登錄檔、服務識別符及目錄之過程的流程圖。過程800可在一伺服器應用程式中(諸如,在圖7中之應用程式伺服器704及應用程式伺服器組件706之組合中)實施。
過程800藉由接收一請求(步驟802)開始。步驟802中之請求可為僅識別應用程式之初始請求,或可為對服務或資料之請求。
過程800自步驟802之請求偵測應用程式識別符及應用程式版本(步驟804)。若過程800判定與該請求之發送者之連接性可接受(圖中未展示),則過程800產生服務識別符(步驟806)。
過程800亦產生服務、資料或兩者之組合之登錄檔,可允許該請求之發送者使用該登錄檔(步驟808)。過程800使用來自該請求之服務識別符及任何其他鑑認憑證來更新登錄檔(步驟810)。
過程800基於該登錄檔產生服務及資料之目錄(步驟812)。過程800亦回應於步驟802之請求而發送服務識別符及目錄(步驟814)。過程800在此後結束。
參看圖9,此圖描繪根據說明性實施例之保障非同步客戶伺服器異動之過程的流程圖。過程900可在一伺服器應用程式中(諸如,在圖7中之應用程式伺服器704、應用程式伺服器組件706或其組合中)實施。
過程900藉由接收包括一應用程式識別符、一應用程式版本及一服務識別符之組合的一請求(步驟902)開始。步驟902之請求可類似於圖7之子請求。服務識別符可類似於圖8中在步驟814中發送之服務識別符。
過程900判定服務識別符是否過期或是否有效、請求之發送者處之目錄是否已更新或其兩者(步驟904)。若過程900判定服務識別符已過期,或發送者處之目錄過時(步驟904之「是」路徑),則過程900判定是否換新服務識別符、目錄或其兩者(步驟906)。
若過程900判定不換新服務識別符、目錄或其兩者(步驟906之「否」路徑),則過程900可記載該請求(步驟908)。過程900亦可將一錯誤訊息發送至該請求之發送者(步驟910)。過程900在此後結束。
若過程900判定換新服務識別符、目錄或其兩者(步驟906之「是」路徑),則過程可產生一新的服務識別符或延長現存服務識別符之過期時段(步驟912)。若需要,過程900亦可產生一新的目錄,產生現存目錄之更新或延長現存目錄之有效性(步驟914)。過程900回應於步驟902之請求按需要發送新或換新的服務識別符、新或更新的目錄或其兩者(步驟916)。過程900在此後結束。
若在步驟904,過程900判定服務識別符有效且目錄為最新的(步驟904之「否」路徑),則過程900判定與請求之發送者之作業階段是否有效(步驟918)。若過程900判定與請求之發送者之作業階段無效(諸如,當服務識別符或其使用無效時,或當對服務之請求不在目錄中時)(步驟912之「否」路徑),則過程900進行至步驟908。舉例而言,可藉由檢查包括於目錄中的登錄檔之該部分,來判定所請求之服務是否在目錄中。
若過程900判定與請求之發送者之作業階段有效(步驟918之「是」路徑),則過程900判定所請求之服務或資料是否需要額外鑑認(步驟920)。舉例而言,某些服務可能需要其自身的登入ID及密碼。
若過程900判定需要額外鑑認(步驟920之「是」路徑),則過程900諸如藉由於顯示器呈現一登入對話方塊來發送額外鑑認訊息(步驟922)。過程900接收額外鑑認資訊(步驟924)。
過程900判定該額外鑑認資訊是否有效(步驟926)。若該額外鑑認資訊無效(步驟926之「否」路徑),則過程900進行至步驟908。
若該額外鑑認資訊有效(步驟926之「是」路徑),或若所請求之服務不需要額外鑑認資訊(步驟920之「否」路徑),則過程900提供所請求之服務或資料(步驟928)。過程900發送所執行之服務之結果或根據該請求操縱之資料(步驟930)。過程900在此後結束。在不脫離本發明之範疇的情況下結果可發送至該請求之發送者或發送至另一應用程式或器件。
參看圖10,此圖描繪根據說明性實施例之保障非同步客戶伺服器異動之另一過程的流程圖。過程1000可在客戶應用程式(諸如,圖7中之客戶應用程式702)中實施。
過程1000藉由發送一請求(步驟1002)開始。該請求可類似於在圖8中之過程800之步驟802中接收之請求。
若根據該請求之一接收器(圖中未展示)該請求有效,則過程1000接收一服務識別符及一目錄(步驟1004)。過程1000使用該服務識別符及該目錄動態地建構對服務或資料之一或多個子請求(步驟1006)。過程1000亦可將額外鑑認憑證包括於該等子請求中。
過程1000發送動態創建之子請求(步驟1008)。回應於步驟1008之子請求,過程1000可接收所請求之服務或資料之一組合(步驟1010)、換新的服務識別符或目錄(步驟1012)及一錯誤訊息(步驟1014)。過程1000在此後結束。
僅將上文所描述的該等方塊圖中之組件及該等流程圖中之步驟描述為實例。該等組件及該等步驟為描述清楚起見已經過選擇且並非對本發明之說明性實施例之限制。舉例而言,在不脫離說明性實施例之範疇的情況下特定實施可組合、省略、進一步細分、修改、擴增、減小或替代地實施該等組件或該等步驟中之任一者。此外,在本發明之範疇內,上文所描述的該等過程之步驟可以一不同吹序執行。
因此,在說明性實施例中提供用於保障非同步客戶伺服器異動之電腦實施之方法、裝置及電腦程式產品。藉由使用本發明之實施例,可以不相關服務在非同步客戶伺服器異動期間不可存取的方式保障非同步客戶伺服器異動。非同步客戶伺服器異動之請求者限於提供者判定可准許之某些服務及資料。
本發明進一步為非同步客戶伺服器異動之請求者提供使用提供者供應之資訊動態地建構非同步客戶伺服器異動內之請求的能力。根據本發明之實施例,請求者自身的資訊、提供者供應之資訊及對可請求的服務及資料之限制之組合保障非同步客戶伺服器異動。根據實施例的服務識別符之性質、服務識別符與其他識別符之組合及服務識別符之過期及換新使非同步客戶伺服器異動能夠抵抗欺騙或試誤攻擊。
本發明之實施例提供可按需要改變或更新之靈活安全性組態。本發明之實施例進一步提供不需要額外硬體且可以大部分現存資料處理系統之現存硬體-軟體組態工作之安全性機制。
本發明之實施例可與現存鑑認應用程式及組件合作。該等實施例亦可與可在某些資料處理環境中使用之現存政策基礎結構合作。
本發明可採用一完全軟體實施例或一含有硬體元件及軟體元件兩者之實施例的形式。在一較佳實施例中,以軟體或程式碼來實施本發明,軟體或程式碼包括(但不限於)韌體、常駐軟體及微碼。
此外,本發明可採用可自提供由電腦或任何指令執行系統使用或與其結合使用之程式碼的電腦可用或電腦可讀媒體存取的電腦程式產品之形式。出於此描述之目的,一電腦可用或電腦可讀媒體可為可含有、儲存、傳達、傳播或輸送由指令執行系統、裝置或器件使用或與之結合地使用的程式之任何有形裝置。
媒體可為電子、磁性、光學、電磁、紅外線或半導體系統(或裝置或器件)或傳播媒體。電腦可讀媒體之實例包括半導體或固態記憶體、磁帶、抽取式電腦磁片、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬磁碟(rigid magnetic disk)及光碟。光碟之當前實例包括緊密光碟-唯讀記憶體(CD-ROM)、緊密光碟-讀寫(CD-R/W)及DVD。
此外,電腦儲存媒體可含有或儲存電腦可讀程式碼,以使得當電腦可讀程式碼在電腦上執行時,此電腦可讀程式碼之執行使電腦經由通信鏈路傳輸另一電腦可讀程式碼。此通信鏈路可使用(例如,非限制)實體或無線之媒體。
適合於儲存及/或執行程式碼之資料處理系統將包括直接或經由系統匯流排間接地耦接至記憶體元件之至少一處理器。記憶體元件可包括在程式碼之實際執行期間所使用之區域記憶體、大量儲存媒體及快取記憶體,快取記憶體提供至少某一程式碼之暫時儲存,以便減少在執行期間必須自大量儲存媒體擷取程式碼的次數。
資料處理系統可充當伺服器資料處理系統或客戶資料處理系統。伺服器資料處理系統及客戶資料處理系統可包括電腦可用(諸如,電腦可讀)之資料儲存媒體。與伺服器資料處理系統相關聯之資料儲存媒體可含有電腦可用程式碼。客戶資料處理系統可下載該電腦可用程式碼,諸如用於儲存於與客戶資料處理系統相關聯之資料儲存媒體上,或用於在客戶資料處理系統中使用。伺服器資料處理系統可類似地自客戶資料處理系統上載電腦可用程式碼。由說明性實施例之電腦可用程式產品實施例產生之電腦可用程式碼可以此方式藉由使用伺服器資料處理系統及客戶資料處理系統來上載或下載。
輸入/輸出或I/O器件(包括但不限於鍵盤、顯示器、指標器件等)可直接或經由介入之I/O控制器耦接至系統。
網路配接器亦可耦接至系統以使資料處理系統能夠經由介入之私人或公用網路而耦接至其他資料處理系統或遠端印表機或儲存器件。數據機、纜線數據機及乙太網路卡僅為目前可用之網路配接器類型中的少數幾種。
已出於說明及描述之目的呈現了本發明之描述,且該描述不欲為詳盡的或將本發明限於所揭示之形式。許多修改及變化對一般熟習此項技術者而言將為顯而易見的。選擇並描述實施例以便解釋本發明之原理、實際應用,且使其他一般熟習此項技術者能夠理解用於具有適合於所預期之特定用途之各種修改之各種實施例的本發明。
100...資料處理環境
102...網路
104...伺服器
105...應用程式伺服器
106...伺服器
108...儲存單元
110...客戶
112...客戶
113...客戶應用程式
114...客戶
200...資料處理系統
202...北橋及記憶體控制器集線器(NB/MCH)
204...南橋及輸入/輸出(I/O)控制器集線器(SB/ICH)
206...處理單元
208...主記憶體
210...圖形處理器
212...區域網路(LAN)配接器
216...音訊配接器
220...鍵盤及滑鼠配接器
222...數據機
224...唯讀記憶體(ROM)
226...硬碟機(HDD)
230...CD-ROM
232...通用串列匯流排(USB)及其他埠
234...PCI/PCIe器件
236...超級I/O(SIO)器件
238...匯流排
240...匯流排
302...客戶資料處理系統
304...客戶應用程式
306...伺服器資料處理系統
308...應用程式伺服器
310...經授權服務
312...經授權資料
314...惡意應用程式
316...受保護服務
318...受保護資料
402...伺服器資料處理系統
404...應用程式伺服器
406...鑑認引擎
408...登錄檔
410...服務識別符(服務ID)
412...目錄
414...區塊
502...客戶資料處理系統
504...客戶應用程式
506...惡意應用程式
508...服務識別符
510...目錄
512...應用程式識別符
514...應用程式版本
602...客戶應用程式
604...應用程式伺服器
606...應用程式伺服器組件
607...登入對話方塊
608...請求
610...驗證作業階段訊息
616...回應
618...子請求
620...服務識別符過期檢查
622...請求
624...請求
702...客戶應用程式
704...應用程式伺服器
706...應用程式伺服器組件
708...初始請求
圖1描繪可實施說明性實施例的資料處理系統之網路的圖形表示;
圖2描繪可實施說明性實施例的資料處理系統之方塊圖;
圖3描繪可實施說明性實施例的資料處理環境之方塊圖;
圖4描繪根據說明性實施例之用於保障非同步客戶伺服器異動之伺服器資料處理系統組態的方塊圖;
圖5描繪根據說明性實施例之用於保障非同步客戶伺服器異動之客戶資料處理系統之組態的方塊圖;
圖6描繪根據說明性實施例之在非同步客戶伺服器異動內發生之異動的時序圖;
圖7描繪根據說明性實施例之服務識別符及目錄換新過程的方塊圖;
圖8描繪根據說明性實施例之產生登錄檔、服務識別符及目錄之過程的流程圖;
圖9描繪根據說明性實施例之保障非同步客戶伺服器異動之過程的流程圖;及
圖10描繪根據說明性實施例之保障非同步客戶伺服器異動之另一方法的流程圖。
(無元件符號說明)
Claims (13)
- 一種用於保障非同步客戶伺服器異動之電腦實施之方法,該電腦實施之方法包含:在於一資料處理系統中執行之一第一應用程式處接收一請求,該請求包括與一第二應用程式相關聯之一應用程式識別符及一版本;回應於與該第二應用程式之一作業階段有效而產生一服務識別符;在該第一應用程式處產生一登錄檔,該登錄檔包括關於准許使用該第二應用程式的服務之一集合及資料之資訊;基於該登錄檔產生一目錄,該目錄包括該登錄檔之一變換(transformed)子集;及將該服務識別符及該目錄發送至該第二應用程式;接收一子請求,該子請求為一非同步客戶伺服器異動之一部分,該子請求包括該服務識別符;藉由判定(i)該服務識別符是否已過期、(ii)該子請求是否請求根據該目錄可准許之一服務及(iii)該服務識別符是否結合該第二應用程式使用之一組合,來判定該子請求之一有效性;回應於該子請求有效而提供回應於該子請求之該服務。
- 如請求項1之電腦實施之方法,其中該判定該有效性在該組合中進一步使用(iv)判定該目錄是否過時。
- 如請求項1之電腦實施之方法,其中該判定該服務識別符是否結合該第二應用程式使用包含:判定該服務識別符是否與該第二應用程式之該應用程式識別符及該應用程式版本一起使用。
- 如請求項1之電腦實施之方法,其進一步包含:回應於該子請求無效而提供(i)一換新的服務識別符及(ii)一換新的目錄中之一者。
- 如請求項2之電腦實施之方法,其中該換新的服務識別符為(i)一新服務識別符、(ii)包括一經修改之安全性特徵的該服務識別符及(iii)對應於該第一應用程式處之該安全性特徵驗證準則之一修改的該服務識別符中之一者,且其中該提供在該非同步客戶伺服器異動結束之前發生。
- 如請求項4之電腦實施之方法,其中該換新的目錄為(i)一新目錄、(ii)該目錄之一更新及(iii)該目錄之一過期參數之一修改中之一者,且其中該提供在該非同步客戶伺服器異動結束之前發生。
- 如請求項1之電腦實施之方法,其進一步包含:判定該服務是否需要額外鑑認,形成額外鑑認之一判定;回應於額外鑑認之該判定為真而接收額外鑑認資訊;及判定該額外鑑認資訊是否有效,其中該服務係回應於該額外鑑認資訊有效而提供。
- 如請求項1之電腦實施之方法,其中該服務根據該目錄 是否可准許之該判定係藉由使用該登錄檔判定該服務是否可准許來執行。
- 如請求項1之電腦實施之方法,其進一步包含:用於產生一原始服務識別符之電腦可用程式碼,其中該服務識別符為該原始服務識別符之一變換版本。
- 一種用於保障非同步客戶伺服器異動之電腦實施之方法,該電腦實施之方法包含:回應於發送與一第二應用程式相關聯之一應用程式識別符及一應用程式版本而在於一資料處理系統中執行之該第二應用程式處自一第一應用程式接收一服務識別符及一目錄,該目錄包括與該第一應用程式相關聯之一登錄檔之一變換子集;動態地建構一子請求,該子請求為一非同步客戶伺服器異動之一部分,該子請求包括該服務識別符,且該子請求進一步包括對來自該目錄之一服務之一請求,其中該子請求之一有效性係藉由判定(i)該服務識別符是否已過期、(ii)該子請求是否請求根據該目錄可准許之一服務及(iii)該服務識別符是否結合該第二應用程式使用之一組合,來判定;回應於該子請求根據該第一應用程式有效而接收與該服務相關聯之資料。
- 如請求項10之電腦實施之方法,其進一步包含:回應於該子請求無效而接收(i)一換新的服務識別符及(ii)一換新的目錄中之一者,其中該子請求歸因於(i)該服 務識別符無效、(ii)該服務不在該目錄內及(iii)該目錄過時中之一者之一判定而無效;及使用(i)該換新的服務識別符及(ii)該換新的目錄中之一者動態地建構一第二子請求。
- 一種包含一電腦可用儲存媒體的電腦可用程式產品,該電腦可用儲存媒體包括電腦可用程式碼使一電腦系統執行前述請求項1至9中任一項的方法以用於保障非同步客戶伺服器異動。
- 一種用於保障非同步客戶伺服器異動之資料處理系統,該資料處理系統包含:包括一儲存媒體之一儲存器件,其中該儲存器件儲存電腦可用程式碼;及一處理器,其中該處理器執行該電腦可用程式碼以實施前述請求項1至9中任一項的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/638,176 US8479268B2 (en) | 2009-12-15 | 2009-12-15 | Securing asynchronous client server transactions |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201141159A TW201141159A (en) | 2011-11-16 |
| TWI505681B true TWI505681B (zh) | 2015-10-21 |
Family
ID=43706318
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099140456A TWI505681B (zh) | 2009-12-15 | 2010-11-23 | 用於保障非同步客戶伺服器異動之電腦實施之方法、電腦可用程式產品及資料處理系統 |
Country Status (7)
| Country | Link |
|---|---|
| US (4) | US8479268B2 (zh) |
| JP (1) | JP5613259B2 (zh) |
| CN (1) | CN102771101B (zh) |
| DE (1) | DE112010004135B4 (zh) |
| GB (1) | GB2489164A (zh) |
| TW (1) | TWI505681B (zh) |
| WO (1) | WO2011073125A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230385396A1 (en) * | 2019-08-27 | 2023-11-30 | Comcast Cable Communications, Llc | Methods and systems for verifying applications |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9590990B2 (en) * | 2009-05-11 | 2017-03-07 | International Business Machines Corporation | Assigning user requests of different types or protocols to a user by trust association interceptors |
| US8479268B2 (en) * | 2009-12-15 | 2013-07-02 | International Business Machines Corporation | Securing asynchronous client server transactions |
| US8321566B2 (en) * | 2011-02-24 | 2012-11-27 | Jibe Mobile | System and method to control application to application communication over a network |
| CN102907062B (zh) * | 2011-05-26 | 2016-06-22 | 华为技术有限公司 | 获取云服务的方法和终端、云输入方法和设备、云服务卡及系统 |
| US9443258B2 (en) | 2011-08-26 | 2016-09-13 | Apple Inc. | Mass ingestion of content related metadata to an online content portal |
| US9122870B2 (en) | 2011-09-21 | 2015-09-01 | SunStone Information Defense Inc. | Methods and apparatus for validating communications in an open architecture system |
| US20130091266A1 (en) | 2011-10-05 | 2013-04-11 | Ajit Bhave | System for organizing and fast searching of massive amounts of data |
| US9027108B2 (en) * | 2012-05-23 | 2015-05-05 | Box, Inc. | Systems and methods for secure file portability between mobile applications on a mobile device |
| KR102002901B1 (ko) * | 2013-01-28 | 2019-07-23 | 삼성전자 주식회사 | 메모리 장치, 메모리 시스템 및 이의 제어 방법 |
| US9219758B2 (en) | 2013-03-05 | 2015-12-22 | Qualcomm Incorporated | Renewing registrations for a plurality of client applications that are associated with the same host server via an implicit piggybacking scheme |
| US9858321B2 (en) * | 2013-09-20 | 2018-01-02 | Oracle International Corporation | Accessing application services from forms |
| US9462044B1 (en) * | 2013-11-25 | 2016-10-04 | Ca, Inc. | Secure user, device, application registration protocol |
| US8863158B1 (en) * | 2013-12-04 | 2014-10-14 | Google Inc. | Intents with application-specific data |
| US9967181B2 (en) * | 2014-01-13 | 2018-05-08 | Futurewei Technologies, Inc. | Packet labeling in a virtual network |
| US9756030B2 (en) * | 2014-08-08 | 2017-09-05 | Eurotech S.P.A. | Secure cloud based multi-tier provisioning |
| CN105635083A (zh) * | 2014-11-14 | 2016-06-01 | 航天信息股份有限公司 | 基于服务器和客户端架构的业务处理方法及业务处理系统 |
| CN106156172A (zh) * | 2015-04-16 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 嵌入页面的会话过期处理方法和装置 |
| CN112866355B (zh) * | 2015-05-26 | 2024-05-21 | 爱唯思有限公司 | 用于服务器故障转移和负荷平衡的系统和方法 |
| US10218698B2 (en) * | 2015-10-29 | 2019-02-26 | Verizon Patent And Licensing Inc. | Using a mobile device number (MDN) service in multifactor authentication |
| US10620996B2 (en) | 2017-04-26 | 2020-04-14 | Servicenow, Inc. | Batching asynchronous web requests |
| CN109901049B (zh) * | 2019-01-29 | 2021-05-04 | 厦门码灵半导体技术有限公司 | 检测集成电路用时序路径中异步路径的方法、装置 |
| GB2582736B (en) * | 2019-02-01 | 2022-02-16 | Arm Ip Ltd | Template-based registration |
| CN110673168B (zh) * | 2019-09-05 | 2021-09-03 | 清华大学 | 异步多用户联合欺骗信号检测方法及装置 |
| CN111818025B (zh) * | 2020-06-23 | 2022-10-14 | 五八有限公司 | 一种用户终端的检测方法和装置 |
| EP4173227A4 (en) | 2020-06-29 | 2024-02-28 | Microsoft Technology Licensing, LLC | SELECTIVE SECURITY INCREASE IN SOURCE CONTROLLED ENVIRONMENTS |
| CN112612751B (zh) * | 2020-12-25 | 2024-08-13 | 北京浪潮数据技术有限公司 | 一种异步目录操作方法、装置、设备和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6101528A (en) * | 1996-03-27 | 2000-08-08 | Intel Corporation | Method and apparatus for discovering server applications by a client application in a network of computer systems |
| US20040030887A1 (en) * | 2002-08-07 | 2004-02-12 | Harrisville-Wolff Carol L. | System and method for providing secure communications between clients and service providers |
| US20090164340A1 (en) * | 2007-12-21 | 2009-06-25 | Alex A. Lluch | System and method for populating a gift registry using uploaded product information |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05314032A (ja) * | 1992-05-08 | 1993-11-26 | Matsushita Electric Ind Co Ltd | 電子掲示板装置 |
| US5918228A (en) * | 1997-01-28 | 1999-06-29 | International Business Machines Corporation | Method and apparatus for enabling a web server to impersonate a user of a distributed file system to obtain secure access to supported web documents |
| JP3088683B2 (ja) * | 1997-05-29 | 2000-09-18 | 三菱電機株式会社 | データ通信システム |
| EP2172852B1 (en) * | 1997-07-30 | 2015-01-07 | Good Technology Corporation | System and method for globally and securely accessing unified information in a computer network |
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| EP1168752A1 (en) * | 2000-06-23 | 2002-01-02 | Matra Nortel Communications | Access control in client-sever systems |
| US7350229B1 (en) * | 2001-03-07 | 2008-03-25 | Netegrity, Inc. | Authentication and authorization mapping for a computer network |
| US20050198379A1 (en) * | 2001-06-13 | 2005-09-08 | Citrix Systems, Inc. | Automatically reconnecting a client across reliable and persistent communication sessions |
| US7979914B2 (en) * | 2001-06-25 | 2011-07-12 | Audible, Inc. | Time-based digital content authorization |
| US7380271B2 (en) * | 2001-07-12 | 2008-05-27 | International Business Machines Corporation | Grouped access control list actions |
| JP4199670B2 (ja) * | 2002-01-15 | 2008-12-17 | アバイア テクノロジー コーポレーション | 収束通信サービスのための通信アプリケーション・サーバ |
| US7363487B2 (en) * | 2003-07-01 | 2008-04-22 | International Business Machines Corporation | Method and system for dynamic client authentication in support of JAAS programming model |
| US7562382B2 (en) * | 2004-12-16 | 2009-07-14 | International Business Machines Corporation | Specializing support for a federation relationship |
| JP4692922B2 (ja) * | 2005-03-16 | 2011-06-01 | 日本電気株式会社 | ローカル端末、リモート端末、アプリケーションアクセス制御システム、その動作方法及び動作プログラム |
| US20070240230A1 (en) * | 2006-04-10 | 2007-10-11 | O'connell Brian M | User-browser interaction analysis authentication system |
| GB0610113D0 (en) * | 2006-05-20 | 2006-06-28 | Ibm | Method and system for the storage of authentication credentials |
| JP4989935B2 (ja) * | 2006-07-21 | 2012-08-01 | 株式会社 日立東日本ソリューションズ | セッション管理方法、それに用いられるサーバ、セッション管理プログラム、プログラムを記録した記録媒体 |
| JP4267011B2 (ja) * | 2006-08-24 | 2009-05-27 | キヤノン株式会社 | 画像形成装置及び権限制御サーバ及び画像形成システム |
| CN101072234A (zh) * | 2007-06-06 | 2007-11-14 | 杭州华三通信技术有限公司 | 点到点异步协商方法及装置 |
| US8347405B2 (en) * | 2007-12-27 | 2013-01-01 | International Business Machines Corporation | Asynchronous java script and XML (AJAX) form-based authentication using java 2 platform enterprise edition (J2EE) |
| US8479268B2 (en) * | 2009-12-15 | 2013-07-02 | International Business Machines Corporation | Securing asynchronous client server transactions |
-
2009
- 2009-12-15 US US12/638,176 patent/US8479268B2/en not_active Expired - Fee Related
-
2010
- 2010-11-23 TW TW099140456A patent/TWI505681B/zh not_active IP Right Cessation
- 2010-12-13 WO PCT/EP2010/069479 patent/WO2011073125A1/en not_active Ceased
- 2010-12-13 GB GB1212055.6A patent/GB2489164A/en not_active Withdrawn
- 2010-12-13 JP JP2012543651A patent/JP5613259B2/ja not_active Expired - Fee Related
- 2010-12-13 CN CN201080056916.9A patent/CN102771101B/zh not_active Expired - Fee Related
- 2010-12-13 DE DE112010004135.0T patent/DE112010004135B4/de active Active
-
2012
- 2012-03-06 US US13/413,641 patent/US8474019B2/en not_active Expired - Fee Related
-
2013
- 2013-05-07 US US13/888,485 patent/US8984593B2/en not_active Expired - Fee Related
- 2013-05-07 US US13/888,502 patent/US8819787B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6101528A (en) * | 1996-03-27 | 2000-08-08 | Intel Corporation | Method and apparatus for discovering server applications by a client application in a network of computer systems |
| US20040030887A1 (en) * | 2002-08-07 | 2004-02-12 | Harrisville-Wolff Carol L. | System and method for providing secure communications between clients and service providers |
| US20090164340A1 (en) * | 2007-12-21 | 2009-06-25 | Alex A. Lluch | System and method for populating a gift registry using uploaded product information |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230385396A1 (en) * | 2019-08-27 | 2023-11-30 | Comcast Cable Communications, Llc | Methods and systems for verifying applications |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102771101B (zh) | 2015-09-02 |
| US20130297681A1 (en) | 2013-11-07 |
| DE112010004135B4 (de) | 2019-07-11 |
| US20110145891A1 (en) | 2011-06-16 |
| US8479268B2 (en) | 2013-07-02 |
| CN102771101A (zh) | 2012-11-07 |
| US20130246515A1 (en) | 2013-09-19 |
| GB201212055D0 (en) | 2012-08-22 |
| WO2011073125A1 (en) | 2011-06-23 |
| DE112010004135T5 (de) | 2012-09-13 |
| JP5613259B2 (ja) | 2014-10-22 |
| GB2489164A (en) | 2012-09-19 |
| JP2013513880A (ja) | 2013-04-22 |
| US8819787B2 (en) | 2014-08-26 |
| US8984593B2 (en) | 2015-03-17 |
| US8474019B2 (en) | 2013-06-25 |
| US20120233664A1 (en) | 2012-09-13 |
| TW201141159A (en) | 2011-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI505681B (zh) | 用於保障非同步客戶伺服器異動之電腦實施之方法、電腦可用程式產品及資料處理系統 | |
| US11089011B2 (en) | Algorithm hardening in background context and external from the browser to prevent malicious intervention with the browser | |
| US10726111B2 (en) | Increased security using dynamic watermarking | |
| JP4884243B2 (ja) | 構成可能な期間に関するプライベート・データをキャッシュする方法及び装置 | |
| US11048823B2 (en) | Secure file sharing over multiple security domains and dispersed communication networks | |
| CN106134154A (zh) | 利用机器生成的认证令牌操作服务的技术 | |
| US9104838B2 (en) | Client token storage for cross-site request forgery protection | |
| JP5193787B2 (ja) | 情報処理方法、中継サーバおよびネットワークシステム | |
| CN110268406A (zh) | 密码安全性 | |
| US11139966B2 (en) | Security code for integration with an application | |
| US20220309599A1 (en) | System and method for authorizing transfer requests of physical locations | |
| JP2012003411A (ja) | ログインシール管理システム及び管理サーバ | |
| JP6451498B2 (ja) | プログラム、情報処理端末、情報処理方法、及び情報処理システム | |
| KR101305755B1 (ko) | 주소에 기반하여 스크립트 실행을 필터링하는 장치 및 방법 | |
| CN114117360A (zh) | 外网源的访问方法、访问授权方法、装置及计算机设备 | |
| JP6499461B2 (ja) | 情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |