利用單點登錄結(jié)合命令行接口防止密碼泄漏的制作方法
【專利摘要】本發(fā)明公開了利用單點登錄結(jié)合命令行接口防止密碼泄漏����。提供了一種技術(shù)����,用于把輕量級域訪問協(xié)議(LDAP)請求從用戶接口應(yīng)用(UIA)傳送到LDAP服務(wù)器�;響應(yīng)于LDAP請求的傳送而在UIA接收LTPA令牌;從UIA向與一個應(yīng)用關(guān)聯(lián)的命令行接口傳送所述LTPA令牌連同要由所述應(yīng)用執(zhí)行的命令�����;由所述應(yīng)用驗證LTPA令牌��;以及響應(yīng)于所述驗證而由所述應(yīng)用執(zhí)行所述命令的技術(shù)�。所述技術(shù)還包括從所述應(yīng)用向與第二應(yīng)用關(guān)聯(lián)的第二命令行接口傳送所述LTPA令牌連同要由第二應(yīng)用執(zhí)行的第二命令;由第二應(yīng)用驗證所述LTPA令牌�;以及響應(yīng)于由第二應(yīng)用進行的驗證而由第二應(yīng)用執(zhí)行第二命令。
【專利說明】利用單點登錄結(jié)合命令行接口防止密碼泄漏
【技術(shù)領(lǐng)域】
[0001]要求保護的主題總體上涉及計算機安全�,而且更具體地說,涉及對命令行接口提供單點安全登錄�����。
【背景技術(shù)】
[0002]對計算工具和命令行接口的訪問可能需要用戶ID和密碼的輸入。一般而言����,為多種行為采用命令行接口,諸如但不限于起動服務(wù)器���、改變配置等�。命令行接口還可以用來處理諸如打開或關(guān)閉安全性的安全配置�����。
[0003]有些工具接受提供必要登錄認證信息的安全證書���。此外����,用戶可以經(jīng)程序或應(yīng)用訪問計算工具和命令行接口�。通常,這種訪問使用戶必需為每次訪問嘗試提供任何所需的用戶ID�、密碼和憑證。許多程序不允許級聯(lián)的憑證�����,這使得或者難以或者不可能對許多應(yīng)用與命令行接口提供安全的單點登錄(SS0)。解決這個問題的一條可能途徑是由每個訪問的應(yīng)用或程序維護為能夠訪問程序和命令行接口的用戶管理憑證的憑證庫(credentialvault)ο
【發(fā)明內(nèi)容】
[0004]提供了對命令行接口進行安全的單點登錄(SSO)的技術(shù)����。需要安全SSO的命令行接口與程序提供使用戶能夠傳遞可以用于認證用戶的令牌,諸如輕量級第三方認證(LTPA)或LTPA2令牌��,的選項��。以這種方式��,不再需要先前可用的憑證管理方案���。
[0005]提供了一種技術(shù),用于把輕量級域訪問協(xié)議(LDAP)請求從用戶接口應(yīng)用(UIA)傳送到LDAP服務(wù)器�;響應(yīng)于LDAP請求的傳送,在UIA接收LTPA令牌�;從UIA向與一個應(yīng)用關(guān)聯(lián)的命令行接口傳送所述LTPA令牌連同要由所述應(yīng)用執(zhí)行的命令;由所述應(yīng)用驗證LTPA令牌��;以及響應(yīng)于所述驗證�,由所述應(yīng)用執(zhí)行所述命令。所述技術(shù)還包括:從所述應(yīng)用向與第二應(yīng)用關(guān)聯(lián)的第二命令行接口傳送所述LTPA令牌連同要由第二應(yīng)用執(zhí)行的第二命令����;由第二應(yīng)用驗證所述LTPA令牌�;以及響應(yīng)于由第二應(yīng)用進行的驗證���,由第二應(yīng)用執(zhí)行第二命令�。
[0006]本概述不是要作為要求保護的主題的綜合描述���,而是要提供對與其關(guān)聯(lián)的一些功能性的簡要概述���。通過檢查下圖和具體描述,要求保護的主題的其它系統(tǒng)����、方法、功能性����、特征與優(yōu)點將或者將變得對本領(lǐng)域技術(shù)人員顯而易見。
【專利附圖】
【附圖說明】
[0007]當(dāng)結(jié)合附圖考慮以下對所公開實施例的具體描述時��,可以獲得對要求保護的主題的更好理解��,其中:
[0008]圖1是可以實現(xiàn)要求保護的主題的計算系統(tǒng)體系架構(gòu)的一個例子����。
[0009]圖2是根據(jù)要求保護的主題�����,說明用戶�、用戶接口(UI)應(yīng)用�����、輕量級域訪問協(xié)議(LDAP)服務(wù)器與命令行接口(CLI)之間關(guān)系的框圖��。
[0010]圖3是說明Π應(yīng)用����、web組件��,Cl���、C2…CM���,與LDAP服務(wù)器之間關(guān)系的框圖。
[0011]圖4是可以實現(xiàn)要求保護的主題各方面的“得到令牌(Get Token)”過程的一個例子的流程圖��。
[0012]圖5是可以實現(xiàn)要求保護的主題各方面的“建立連接(Establish Connect1n)”過程的一個例子的流程圖。
【具體實施方式】
[0013]所屬【技術(shù)領(lǐng)域】的技術(shù)人員知道��,本發(fā)明的各個方面可以實現(xiàn)為系統(tǒng)�����、方法或計算機程序產(chǎn)品����。因此,本發(fā)明的各個方面可以具體實現(xiàn)為以下形式��,即:完全的硬件實施例��、完全的軟件實施例(包括固件�、駐留軟件、微代碼等)��,或硬件和軟件方面結(jié)合的實施例�,這里可以統(tǒng)稱為“電路”、“模塊”或“系統(tǒng)”��。此外��,在一些實施例中��,本發(fā)明的各個方面還可以實現(xiàn)為在一個或多個計算機可讀介質(zhì)中的計算機程序產(chǎn)品的形式,該計算機可讀介質(zhì)中包含計算機可讀的程序代碼����。
[0014]可以采用一個或多個計算機可讀介質(zhì)的任意組合。計算機可讀介質(zhì)可以是計算機可讀信號介質(zhì)或者計算機可讀存儲介質(zhì)��。計算機可讀存儲介質(zhì)例如可以是一但不限于——電�����、磁��、光����、電磁、紅外線�����、或半導(dǎo)體的系統(tǒng)��、裝置或器件��,或者任意以上的組合�����。計算機可讀存儲介質(zhì)的更具體的例子(非窮舉的列表)包括:具有一個或多個導(dǎo)線的電連接��、便攜式計算機盤�����、硬盤�����、隨機存取存儲器(RAM)�、只讀存儲器(ROM)、可擦式可編程只讀存儲器(EPR0M或閃存)�����、光纖���、便攜式緊湊盤只讀存儲器(CD-ROM)�����、光存儲器件����、磁存儲器件、或者上述的任意合適的組合��。 在本文件中�,計算機可讀存儲介質(zhì)可以是任何包含或存儲程序的有形介質(zhì),該程序可以被指令執(zhí)行系統(tǒng)����、裝置或者器件使用或者與其結(jié)合使用。
[0015]計算機可讀的信號介質(zhì)可以包括在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號��,其中承載了計算機可讀的程序代碼����。這種傳播的數(shù)據(jù)信號可以采用多種形式,包括——但不限于——電磁信號�、光信號或上述的任意合適的組合。計算機可讀的信號介質(zhì)還可以是計算機可讀存儲介質(zhì)以外的任何計算機可讀介質(zhì)����,該計算機可讀介質(zhì)可以發(fā)送、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)��、裝置或者器件使用或者與其結(jié)合使用的程序���。
[0016]計算機可讀介質(zhì)上包含的程序代碼可以用任何適當(dāng)?shù)慕橘|(zhì)傳輸��,包括一但不限于一無線�����、有線�、光纜��、RF等等�,或者上述的任意合適的組合。
[0017]可以以一種或多種程序設(shè)計語言的任意組合來編寫用于執(zhí)行本發(fā)明操作的計算機程序代碼���,所述程序設(shè)計語言包括面向?qū)ο蟮某绦蛟O(shè)計語言一諸如Java����、Smalltalk��、C++等���,還包括常規(guī)的過程式程序設(shè)計語言一諸如“C”語言或類似的程序設(shè)計語言����。程序代碼可以完全地在用戶計算機上執(zhí)行、部分地在用戶計算機上執(zhí)行����、作為一個獨立的軟件包執(zhí)行、部分在用戶計算機上部分在遠程計算機上執(zhí)行�����、或者完全在遠程計算機或服務(wù)器上執(zhí)行���。在涉及遠程計算機的情形中�,遠程計算機可以通過任意種類的網(wǎng)絡(luò)一包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)—連接到用戶計算機�,或者,可以連接到外部計算機(例如利用因特網(wǎng)服務(wù)提供商來通過因特網(wǎng)連接)����。
[0018]下面將參照根據(jù)本發(fā)明實施例的方法、裝置(系統(tǒng))和計算機程序產(chǎn)品的流程圖和/或框圖描述本發(fā)明��。應(yīng)當(dāng)理解����,流程圖和/或框圖的每個方框以及流程圖和/或框圖中各方框的組合,都可以由計算機程序指令實現(xiàn)。這些計算機程序指令可以提供給通用計算機����、專用計算機或其它可編程數(shù)據(jù)處理裝置的處理器���,從而生產(chǎn)出一種機器���,使得這些計算機程序指令在通過計算機或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時,產(chǎn)生了實現(xiàn)流程圖和/或框圖中的一個或多個方框中規(guī)定的功能/動作的裝置�����。
[0019]也可以把這些計算機程序指令存儲在計算機可讀介質(zhì)中�,這些指令使得計算機、其它可編程數(shù)據(jù)處理裝置�、或其他設(shè)備以特定方式工作,從而���,存儲在計算機可讀介質(zhì)中的指令就產(chǎn)生出包括實現(xiàn)流程圖和/或框圖中的一個或多個方框中規(guī)定的功能/動作的指令的制造品(article of manufacture)0
[0020]計算機程序指令還可以加載到計算機�、其它可編程數(shù)據(jù)處理裝置或者其它設(shè)備上��,使得一系列操作步驟在計算機��、其它可編程裝置或者其它設(shè)備上執(zhí)行,產(chǎn)生一種計算機實現(xiàn)的過程�,使得在所述計算機或者其它可編程裝置上執(zhí)行的指令提供用于實現(xiàn)在所述流程圖和/或框圖中一個或多個方框中規(guī)定的功能/動作的過程。
[0021]現(xiàn)在轉(zhuǎn)向附圖��,圖1是可以實現(xiàn)根據(jù)所公開技術(shù)的單點登錄(SSO)過程的計算系統(tǒng)體系架構(gòu)100的一個例子�����。計算系統(tǒng)102包括耦合到監(jiān)視器106的中央處理單元(CPU)104���、鍵盤108以及定點設(shè)備或“鼠標” 110�����,這些組件一起方便人與體系架構(gòu)100和計算系統(tǒng)102的其它元件交互�。也包括在計算系統(tǒng)102中并且附連到CPU104的是計算機可讀存儲介質(zhì)(CRSM)112�����,它或者可以結(jié)合到CPU104中(即內(nèi)部設(shè)備)����,或者通過各種常用的連接設(shè)備,諸如但不限于通用串行總線(USB)端口(未示出)�����,在外部附連到CPU104。CRSMl 12被示出為存儲計算機應(yīng)用的一個例子�,即app_1114。app_1114由計算系統(tǒng)102托管并且包括可以通過采用要求保護的主題來訪問的命令行接口(CLI)���,即CLI_1115���。存儲在CRSMl 12上的還有與用戶接口(UI)應(yīng)用或者“UIA” 118關(guān)聯(lián)的邏輯��。應(yīng)當(dāng)指出����,典型的計算系統(tǒng)將包括多于一個應(yīng)用,但是為了簡化只示出了一個��。
[0022]計算系統(tǒng)102通信耦合到局域網(wǎng)(LAN) 120�����,局域網(wǎng)120耦合到互聯(lián)網(wǎng)130�����。也耦合到LAN120并且由此耦合到計算系統(tǒng)102的是第二計算系統(tǒng)122。雖然沒有示出��,但是客戶端系統(tǒng)122通常也將包括CPU���、監(jiān)視器、鍵盤����、定點設(shè)備以及CRSM。計算系統(tǒng)122被示出為托管第二應(yīng)用�����,即app_2124�,該應(yīng)用存儲在CRSM (未示出)上并且在CPU或“處理器”(未示出)上執(zhí)行,其中CRSM與CPU都與計算系統(tǒng)122關(guān)聯(lián)����。就像app_1114那樣,app_2124也包括可以根據(jù)要求保護的主題來訪問的CLI�,即CLI_2125。
[0023]還附連到互聯(lián)網(wǎng)130的是服務(wù)器132和輕量級目錄訪問協(xié)議(LDAP)服務(wù)器140�,就像計算系統(tǒng)102和122那樣,該服務(wù)器通常將包括CPU���、監(jiān)視器、鍵盤和定點設(shè)備。耦合到服務(wù)器132的是CRSM134����,該CRSM被示出為存儲服務(wù)應(yīng)用���,即或者簡單地說“服務(wù)”136,該服務(wù)包括可以根據(jù)要求保護的主題來訪問的CLI��,即CLI_M137�。LDAP服務(wù)器140及其與所要求保護的主題的關(guān)系在下面結(jié)合圖2-5解釋。
[0024]雖然在這個例子中計算系統(tǒng)102��、122��、服務(wù)器132和LDAP服務(wù)器140都經(jīng)LAN120和互聯(lián)網(wǎng)130中的一個或二者通信耦合��,但是它們也可以通過任何數(shù)量的通信介質(zhì)�����,諸如但不限于附加的LAN (未示出)或者直接或間接�����、有線或無線連接進行耦合��。另外����,應(yīng)當(dāng)指出,存在許多可能的計算系統(tǒng)配置�,其中體系架構(gòu)100和計算系統(tǒng)102僅僅是簡單的例子��。貫穿本說明書�,計算系統(tǒng)102和122、應(yīng)用114和124�����、服務(wù)器132和服務(wù)136都用作可以實現(xiàn)和/或利用要求保護的主題的計算組件的例子���。
[0025]圖2是說明根據(jù)要求保護的主題在用戶152����、ΠΑ118 (圖1)�、LDAP服務(wù)器140 (圖I)和CLI166之間的關(guān)系的框圖。用戶152把用戶標識(ID)和密碼(PW)154輸入到ΠΑ118中�����,以便關(guān)于UIAl 18登錄并被認證。UIAl 18經(jīng)通信鏈路158向LDAP服務(wù)器140傳送LDAP請求(Req)156�����,該請求包括ID&PW154����。響應(yīng)于基于ID和PW154對用戶152的驗證和認證�����,LDAP服務(wù)器140通過經(jīng)通信鏈路162向UIAl 18傳送輕量級第三方認證(LTPA)令牌(tok)160來對ΠΑ118作出響應(yīng)���。然后,ΠΑ118可以利用LTPA令牌160與LDAP服務(wù)器140通信�����,而不需要再次輸入ID和PW154��。
[0026]根據(jù)要求保護的主題���,LTPA令牌160可以經(jīng)通信鏈路168傳送到CLI166��,以便為CLI166提供安全的登錄�。CLI166經(jīng)通信鏈路170向LDAP服務(wù)器140傳送LTPA令牌160,以便驗證和認證用戶152�����。當(dāng)前可用的技術(shù)需要用戶152向CLI166傳送ID和PW154并且需要CLI166向LDAP服務(wù)器140傳送LDAP請求(未示出)����。當(dāng)前技術(shù)的一些缺點包括但不限于需要CLI166知道ID和PW154,這通常是通過為能訪問CLI166的用戶維護憑證庫并管理憑證��。此外����,有可能ID和PW154最終被記錄到控制臺日志���,這會是個安全問題��。
[0027]圖3是說明UIA118(圖1和2)�����、web組件的一些例子����,即C_1172、C_2176等一直到C_M180����,以及LDAP服務(wù)器140 (圖1和2)之間的關(guān)系的框圖。Web組件172���、176和180中每一個都具有CLI���,即分別是CLI_1174、CLI_2178和CLI_M182��。就像在圖2中一樣����,UIA118在LDAP請求156 (圖2)中向LDAP服務(wù)器140傳送ID和PW154�。響應(yīng)于基于ID和PW154對用戶152 (圖2)的驗證和認證���,LDAP服務(wù)器140通過向ΠΑ118傳送LTPA令牌160作出響應(yīng)(圖2)����。
[0028]當(dāng)UIAl 18 訪問 C_1172 時,LTPA 令牌 160 被傳送到 CLI_1174���。換句話說����,CLI_1174暴露了允許ΠΑ118傳遞LTPA令牌160而不是ID和PW154的選項����。然后��,C_1172可以通過向LDAP服務(wù)器140傳送LTPA令牌160來驗證和認證用戶152���。以這種方式�,C_1172不需要知道ID和PW154�,并且ID和PW154可能在無意中被暴露的任何機會都通過使用LTPA令牌160從命令執(zhí)行歷史、外殼日志或操作系統(tǒng)(OS)上對應(yīng)于C_1172的過程中隱藏掉用戶名和密碼而減輕了����。
[0029]以類似的方式,C_1172可以向C_2的CLI_2178傳送LTPA令牌160,使得C_1172和用戶152可以不需要傳送ID和PWl54就得以認證和驗證����。為了認證,C_2176僅僅向LDAP服務(wù)器140傳送LTPA令牌160�����。這種驗證/認證鏈可以繼續(xù)�����,作為例子�,讓C_2176向C_M180的CLI_M182傳送LTPA令牌160�����,C_M180通過向LDAP服務(wù)器140傳送LTPA令牌160來驗證和認證C_2176和用戶152�。
[0030]圖4是可以實現(xiàn)要求保護的主題各方面的“得到令牌”過程200的一個例子的流程圖。在以下的例子中�,過程200與存儲在CRSM112 (圖1)上并且在計算系統(tǒng)102 (圖1)的CPU104 (圖1)的一個或多個處理器(未示出)上執(zhí)行的邏輯關(guān)聯(lián)。
[0031]過程200在“開始得到令牌”方框200中開始并且立即前進到“接收ID和PW”方框204���。在與方框204關(guān)聯(lián)的處理期間�,用戶152通過提供用戶ID和密碼,即ID&PW154(圖2和3)�,登錄到ΠΑ118 (圖2和3)�����。在與“生成LDAP請求”方框206關(guān)聯(lián)的處理期間����,生成LDAP請求156 (圖2)。在與“傳送LDAP請求”方框208關(guān)聯(lián)的處理期間�,LDAP請求156從ΠΑ118傳送到LDAP服務(wù)器140 (圖1_3)。雖然在圖4中沒有示出��,但是在接收到包括ID&PW154的LDAP請求156時�,LDAP服務(wù)器140認證并驗證用戶152、生成LTPA令牌160(圖2和3)并且把令牌傳送回ΠΑ118�。在與“等待LTPA令牌”方框210關(guān)聯(lián)的處理期間,UIAl 18等待LDAP服務(wù)器140傳送回LTPA令牌160�����。
[0032]在與“接收到令牌�����? ”方框212關(guān)聯(lián)的處理期間,確定令牌160是否已被返回�。應(yīng)當(dāng)理解����,令牌可能沒有返回的原因包括但不限于LDAP服務(wù)器140拒絕ID&PW154并且因此不認證和/或驗證用戶152或者過程200可以在等待比預(yù)定時間周期長的時間之后發(fā)布超時。在沒有接收到LTPA令牌的情況下��,控制前進到“拋出異常(Throw Except1n)”方框214��,在這個過程期間��,采取適當(dāng)?shù)膭幼?��,包括但不限于通知用?52并且通過重新傳送LDAP請求156重試登錄�����。
[0033]如果在與方框212關(guān)聯(lián)的處理期間確定已經(jīng)接收到LTPA令牌160�,則控制前進到“存儲LTPA”方框216����。根據(jù)要求保護的主題,在與方框216關(guān)聯(lián)的處理期間���,在與方框210關(guān)聯(lián)的處理期間接收到的LTPA令牌160存儲在CRSMl 12中����,用于隨后使用。一旦LTPA令牌160已經(jīng)在與方框216關(guān)聯(lián)的處理期間存儲或者已經(jīng)在與方框214關(guān)聯(lián)的處理期間拋出異常���,控制就前進到“結(jié)束得到令牌”方框219,其中過程200完成����。
[0034]圖5是可以實現(xiàn)要求保護的主題各方面的“建立連接”過程250的一個例子的流程圖。在以下例子中���,過程250與存儲在與計算系統(tǒng)122 (圖1)關(guān)聯(lián)的CRSM (未示出)上并且在計算系統(tǒng)122的CPU (未示出)的一個或多個處理器(未示出)上執(zhí)行的邏輯關(guān)聯(lián)����。在這個例子中�,根據(jù)要求保護的主題,通過傳送已經(jīng)存儲在計算系統(tǒng)102 (圖1)的CRSM112 (圖1)上的LTPA令牌160�����,UIA118 (圖2和3)請求對app_2124 (圖1)的CLI_2125的訪問(見216�,圖 4)����。
[0035]過程250 在“開始建立連接”方框252開始并且立即前進到“接收訪問請求”方框254���。在與方框254關(guān)聯(lián)的處理期間����,CLI接收對訪問或服務(wù)的請求�����。連同該請求一起傳送的是LTPA令牌����。在這個例子中,通過包括LTPA令牌160的消息���,UIA118 (圖1_3)向CLI_1174 (圖3)傳送訪問web組件C_1172 (圖3)的請求���。應(yīng)當(dāng)指出,要求保護的主題同等地適用于對web組件�、對不同web組件的請求。例如,一旦C_1172接收到請求,提取出的LTPA令牌(見256)和對服務(wù)的請求就可以轉(zhuǎn)發(fā)到不同的web組件���,諸如C_2176 (圖3)和CLI_2178 (圖 3)或者 C_M180 (圖 3)和 CLI_M182 (圖 3)����。
[0036]在與“提取LTPA令牌”方框256關(guān)聯(lián)的處理期間,為在與方框254關(guān)聯(lián)的處理期間接收到的請求提取LTPA令牌160��。在與“認證/驗證(A/V) LTPA令牌”方框258關(guān)聯(lián)的處理期間���,在與方框256關(guān)聯(lián)的處理期間提取出的令牌通過從LDAP服務(wù)器140 (圖1_3)請求認證/驗證來驗證。在與“接收到A/V?”方框260關(guān)聯(lián)的處理期間�,確定LDAP服務(wù)器140是否已經(jīng)利用A/V消息應(yīng)答。應(yīng)當(dāng)指出��,驗證/認證可能沒有被返回的原因包括但不限于LDAP服務(wù)器140拒絕令牌160或者過程250可以在等待比預(yù)定時間周期長的時間后發(fā)布超時��。
[0037]如果沒有接收到A/V���,則控制前進到“拋出異?���!狈娇?62���。在與方框262關(guān)聯(lián)的處理期間���,采取適當(dāng)?shù)膭幼?��,包括但不限于通知請求鏈中的組件,最終是用戶152 (圖2)�����,并且通過向LDAP服務(wù)器140重新傳送LTPA令牌160來重試A/V�。如果在與方框260關(guān)聯(lián)的處理期間確定已經(jīng)接收到A/V,則控制前進到“處理請求”方框264��,在這期間處理所請求的操作���。以這種方式��,操作可以從一個組件請求����,而不需要傳送用戶ID和密碼��。最后����,在與“結(jié)束建立連接”方框269關(guān)聯(lián)的處理期間��,過程250完成��。以這種方式�����,防止了用戶ID和密碼的不必要的暴露�����。
[0038]這里所使用的術(shù)語僅僅是為了描述特定的實施例而不是要作為本發(fā)明的限制����。如在此所使用的�,除非上下文明確地另外指出��,否則單數(shù)形式“一”���、“一個”和“這個”是要也包括復(fù)數(shù)形式�����。還應(yīng)當(dāng)理解���,當(dāng)在本說明書使用時��,術(shù)語“包括”和/或“包含”規(guī)定所述特征����、整數(shù)��、步驟���、操作���、元素和/或組件的存在,但是并不排除一個或多個其它特征�、整數(shù)、步驟�����、操作�、元素、部件和/或其組的存在或添加�。
[0039]以下權(quán)利要求中所有方式或步驟加功能元素的對應(yīng)結(jié)構(gòu)���、材料、動作及等價物都是要包括用于結(jié)合具體所述的其它所述元素執(zhí)行所述功能的任何結(jié)構(gòu)�����、材料或行為�。已經(jīng)為了說明和描述給出了本發(fā)明的描述,但這不是詳盡的或者要把本發(fā)明限定到所公開的形式�����。在不背離本發(fā)明范圍與主旨的情況下�����,許多修改和變化對本領(lǐng)域普通技術(shù)人員都將是顯而易見的��。實施例的選擇和描述是為了最好地解釋本發(fā)明的原理和實踐應(yīng)用�����,并使本領(lǐng)域普通技術(shù)人員能夠理解本發(fā)明具有適于預(yù)期特定使用的各種修改的各種實施例�。
[0040]附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個實施例的系統(tǒng)�、方法和計算機程序產(chǎn)品的可能實現(xiàn)的體系架構(gòu)、功能和操作。在這點上���,流程圖或框圖中的每個方框可以代表一個模塊����、程序段或代碼的一部分�����,所述模塊����、程序段或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當(dāng)注意����,在有些作為替換的實現(xiàn)中,方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生����。例如,兩個連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行�,它們有時也可以按相反的順序執(zhí)行,這依所涉及的功能而定��。也要注意的是,框圖和/或流程圖中的每個方框���、以及框圖和/或流程圖中的方框的組合��,可以用執(zhí)行規(guī)定的功能或動作的專用的基于硬件的系統(tǒng)來實現(xiàn)�,或者可以用專用硬件與計算機指令的組合來實現(xiàn)���。
【權(quán)利要求】
1.一種方法��,包括: 從用戶接口應(yīng)用(UIA)向輕量級域訪問協(xié)議(LDAP)服務(wù)器傳送LDAP請求�; 響應(yīng)于LDAP請求的傳送�,在UIA接收輕量級第三方認證(LTPA)令牌; 從UIA向與一個應(yīng)用關(guān)聯(lián)的命令行接口傳送所述LTPA令牌連同要由所述應(yīng)用執(zhí)行的命令��; 由所述應(yīng)用驗證所述LTPA令牌���;以及 響應(yīng)于所述驗證����,由所述應(yīng)用執(zhí)行所述命令��。
2.如權(quán)利要求1所述的方法�,還包括: 從所述應(yīng)用向與第二應(yīng)用關(guān)聯(lián)的第二命令行接口傳送所述LTPA令牌連同要由第二應(yīng)用執(zhí)行的第二命令; 由第二應(yīng)用驗證所述LTPA令牌���;以及 響應(yīng)于由第二應(yīng)用進行的驗證���,由第二應(yīng)用執(zhí)行所述第二命令。
3.如權(quán)利要求1所述的方法����,其中,響應(yīng)于所述驗證��,所述應(yīng)用不需要用戶名和密碼來執(zhí)行命令�����。
4.如權(quán)利要求1所述的方法����,還包括由命令行接口暴露使UIA能夠傳送LTPA令牌而不是用戶名和密碼的 選項。
5.如權(quán)利要求1所述的方法�,其中用戶名和密碼不在執(zhí)行歷史、外殼日志和操作系統(tǒng)中的過程任何一個中出現(xiàn)�,其中每個都對應(yīng)于所述應(yīng)用。
6.如權(quán)利要求1所述的方法�����,其中,對于要執(zhí)行的命令�,在UIA與應(yīng)用之間不需要憑證管理。
7.一種裝置���,包括: 處理器���; 耦合到處理器的非過渡性的計算機可讀存儲介質(zhì)(CRSM);以及 存儲在CRSM上并且在處理器上執(zhí)行的邏輯電路,用于: 從用戶接口應(yīng)用(UIA)向輕量級域訪問協(xié)議(LDAP)服務(wù)器傳送LDAP請求��; 響應(yīng)于LDAP請求的傳送��,在UIA接收輕量級第三方認證(LTPA)令牌�����; 從UIA向與一個應(yīng)用關(guān)聯(lián)的命令行接口傳送所述LTPA令牌連同要由所述應(yīng)用執(zhí)行的命令����; 由所述應(yīng)用驗證所述LTPA令牌;以及 響應(yīng)于所述驗證�����,由所述應(yīng)用執(zhí)行所述命令。
8.如權(quán)利要求7所述的裝置����,所述邏輯電路還包括用于以下的邏輯電路: 從所述應(yīng)用向與第二應(yīng)用關(guān)聯(lián)的第二命令行接口傳送所述LTPA令牌連同要由第二應(yīng)用執(zhí)行的第二命令���; 由第二應(yīng)用驗證所述LTPA令牌��;以及 響應(yīng)于由第二應(yīng)用進行的驗證�,由第二應(yīng)用執(zhí)行所述第二命令�。
9.如權(quán)利要求7所述的裝置,其中��,響應(yīng)于所述驗證���,所述應(yīng)用不需要用戶名和密碼來執(zhí)行命令��。
10.如權(quán)利要求7所述的裝置����,所述邏輯電路還包括用于由命令行接口暴露使UIA能夠傳送LTPA令牌而不是用戶名和密碼的選項的邏輯電路�����。
11.如權(quán)利要求7所述的裝置,其中用戶名和密碼不在執(zhí)行歷史�����、外殼日志和操作系統(tǒng)中的過程任何一個中出現(xiàn)���,其中每個都對應(yīng)于所述應(yīng)用���。
12.如權(quán)利要求7所述的裝置,其中��,對于要執(zhí)行的命令���,在ΠΑ與應(yīng)用之間不需要憑證管理�。
13.—種計算機應(yīng)用,包括: 命令行接口 ����;以及 存儲在非過渡性的計算機可讀存儲介質(zhì)上并且在處理器上執(zhí)行的邏輯電路,用于: 從用戶接口應(yīng)用(UIA)接收輕量級第三方認證(LTPA)令牌和命令����; 向輕量級域訪問協(xié)議(LDAP)服務(wù)器傳送所述LTPA令牌; 在所述應(yīng)用接收來自所述LDAP服務(wù)器的關(guān)于所述LTPA令牌的認證驗證;以及 響應(yīng)于所述接收�,執(zhí)行所述命令。
14.如權(quán)利要求13所述的計算機應(yīng)用���,所述邏輯電路還包括用于以下的邏輯電路: 從所述應(yīng)用向與第二應(yīng)用關(guān)聯(lián)的第二命令行接口傳送所述LTPA令牌連同要由第二應(yīng)用執(zhí)行的第二命令���;以及 響應(yīng)于由第二應(yīng)用進行的驗證�����,接收對應(yīng)于來自第二應(yīng)用的第二命令的結(jié)果�����。
15.如權(quán)利要求13所述的計算機應(yīng)用���,其中����,響應(yīng)于所述驗證����,所述應(yīng)用不需要用戶名和密碼來執(zhí)行命令。
16.如權(quán)利要求13所述的計算機應(yīng)用,所述邏輯電路還包括:用于由命令行接口暴露使UIA能夠傳送LTPA令牌而不是用戶名和密碼的選項的邏輯電路�。
17.如權(quán)利要求13所述的計算機應(yīng)用,其中用戶名和密碼不在執(zhí)行歷史�、外殼日志和操作系統(tǒng)中的過程任何一個中出現(xiàn),其中每個都對應(yīng)于所述應(yīng)用�����。
18.如權(quán)利要求13所述的計算機應(yīng)用�����,其中���,對于要執(zhí)行的命令����,所述應(yīng)用不需要憑證管理��。
【文檔編號】H04L29/06GK104052602SQ201410095577
【公開日】2014年9月17日 申請日期:2014年3月14日 優(yōu)先權(quán)日:2013年3月16日
【發(fā)明者】G·谷帕特, L·T·拉加曼尼卡曼, A·拉瑪科瑞什納, R·舍太 申請人:國際商業(yè)機器公司