[发明专利]一个异构的计算机环境上进行用户身份验证的方法

说明书

技术领域

本发明涉及一个异构的计算机环境上进行用户身份验证的方法。 

背景技术

如果任务在异构的计算机环境中被授权操作，异构系统的不一致性将成为巨大的问题。为此，已知用户的认证信息必须能够通过某种方法传递。该方法使得接收的系统必须认得这些认证信息。因此，它必须能够和其他人比较特定的认证信息，这些认证信息必须是有意义的，而不是只是一团数据。只有在接收者了解认证信息，他才能采取进一步的用户授权行动。映射一个用户ID(计算机环境其中的一部分)到另一个用户ID只能部分地解决问题，因为每一个映射过程都会导致信息的损失，即，其中用户可能已经在计算机的全局环境中认证过自己一次。因此，鉴于上述情况，改善用户的认证是迫切需要的。 

典型的计算机系统通常需要用户自己向系统进行身份验证。身份验证是用户进行任何授权的技术上的先决条件。只有计算机系统或由计算机系统组成的网络可以对用户进行身份验证，即确定他的身份，用户才可以被授权执行某些操作，如在网络上添加，修改或删除数据。互联网时代之前，用户的身份是只用于在有限的空间中，通常是单个计算机。一个用户资源库(例如，一个LDAP目录)足够单台计算机上所有用户进行身份验证。然而，随着计算机网络的发展，只有使用一个单一的用户资源库的不再足够。因此，概念也在往用于由多个计算机系统组成的整个计算机环境上进行身份验证的方向发展。其中一个例子是微软目前的动态目录的模型，其中多个域结合在一个“森林”中。在这样的理念下，实际用户ID前的域名是足够表示一个唯一的标识。 

但是，当前的大部分的计算机环境都不是相同结构的，除了使用可代替的硬件和软件，而这些软硬件又使用不同的认证策略。比如，一个用户使用MS程序验证自己在动态目录上为“asia/zli”。而在UNIX系统上的ID则为“en＝Zhen Li，ou＝users，ou＝China，dc＝asia，dc＝company，dc＝com”。另外一个例子是Windows NT：在其内部用户是由一个SID(安全标识符)来表示的。SID是一个在 

Windows域里能够全局认证用户的唯一的一个数值。SID的形式能够被人类识别并由非Windows的软件处理，看上去类似：zli@myorg.com

而在轻型目录访问协议(LDAP)中，LDAP目录是一个集中式的可达的服务来维护在其他条目中的用户条目。LDAP对象通常是由它在树形层次结构中的位置来表示的。例如“en＝zhenli，ou＝userzh＝asizdc＝mycomp，dc＝org” 

由以上所述，很明显的，没有简单的方法来识别一个实际用户的所有表示方法。上述困难，在不管是一个用户或一台计算机或一个应用程序在异构的计算机环境中访问资源时都会发生。 

发明内容

一个异构的计算机环境上进行用户身份验证的方法，各种实施例如下：在一个异构的计算机环境中进行用户身份验证的方法包括：一、定义了一组唯一的前缀，每个前缀代表一个用户资源库的类型；二、定义了一组抽象的存储库名称，每个抽象的资料库名称来表示用户资源库的地址；三、在异构的计算机验证所述用户，通过分配一个序列含有一个独特的前缀，一个抽象的资源库名称的引用和由抽象资源库名指向的资源库中的用户的一个唯一的标识符。因此，提供一个唯一的身份验证或命名方案，它能够识别用户资源库的类型和源，其中不同的类型能够表示不同的验证规则。基于以上所述，该方案提供一个唯一的身份验证方案，使得人类或非人类的用户可以进行比较以验证某个用户是否是合法身份和被授权去执行请求的活动。于是可以使用一个相同的资源库，因为所有有歧义的条目都通过使用确切的验证方案消除了。如将一个具体的用户的身份验证信息通过不同的验证方法搜集到一起。 

另外，关于用户的信息可以自由地交换因为异构计算机环境的所有参与者在用户描述的方面都使用同一种语言，此外还要能使人类更容易理解。后者是很重要的，因为现代的通信协议，如XML(SOAP)，需要使用的可印刷(人们可读)的形式。 

在实施例中，该组唯一的前缀包含表示至少一个用户资源库的类型的前缀。例如轻量级目录访问协议服务器(LDAP)Windows活动目录服务器(ADS)安全授权功能(SAF)，特别是RACF，ACF2或TopSecret。也可以使用任意