技術領域

本發明涉及改進的數據處理系統，并且具體地，涉及用于多計算機數據傳送的方法和裝置。更具體地，本發明導向于計算機系統內的驗證方法。?

背景技術

電子商務網站和網絡應用代表用戶在計算機網絡上執行各種業務。出于安全目的，用戶必須經常通過驗證處理以便證明用戶的標識確實達到適當的級別。在基于電子商務網絡的環境下，計算機系統經常將驗證服務實現為用于訪問網站的前門或哨門(sentry?gate)的形式。這些驗證服務位于應用的前面，即，在用戶和應用之間，以確保用戶在獲得對任何資源的訪問之前被驗證。可以將這些驗證服務實現為網絡服務器插件、反向代理(reverse?proxy)或其他類似技術。?

企業一般希望通過包括因特網的各種網絡以用戶友好的方式向驗證后的用戶提供對于受保護資源的安全訪問。盡管提供安全驗證機制降低了對受保護資源的未授權訪問的風險，但是那些驗證機制可能成為訪問受保護資源的障礙。用戶通常希望能夠從與一個應用交互改變為與另一應用交互，而不考慮保護支持這些應用的每個具體系統的驗證障礙。?

隨著用戶變得更老練，他們期望計算機系統協助他們的動作以便減少用戶的負擔。這種期望也應用于驗證處理。用戶可能假設一旦他或她已經經過某個計算機系統的驗證，則在用戶的工作會話期間或者至少對于特定的時間段，該驗證應該有效，而不考慮對于用戶來說幾乎不可見的各種計算機體系界限。企業通常試圖在其部署的系統的可操作特性方面滿足這些期望，以便不僅安撫用戶而且提高用戶效率，無論用戶效率是與雇員生產量還是與顧客滿意度有關。?

很多計算機系統具有對于不同安全級別的不同類型驗證。例如，在成功完成由用戶提供正確的用戶名與密碼的組合的第一級別的驗證后，系統可以提供對于網站上的特定一組資源的訪問。第二級別的驗證可能要求用戶給出硬件記號、例如智能卡，其后，為用戶提供對于網站上的更嚴格控制的資源的訪問。第三級別的驗證可能要求用戶提供某種形式的生物學數據，例如通過指紋掃描或視網膜掃描，其后，系統提供對于網站上非常敏感或機密的資源的訪問。從一個驗證級別向上移動到下一級別的處理被稱作“遞進驗證”或者“被迫再驗證”。換句話說，用戶按系統要求從一個級別的驗證遞進到更高級別以便獲得對于更敏感資源的訪問。?

可以用公知的驗證方法實現驗證，但是不容易實現對多種慣用方法的支持。典型的反向代理內的驗證方法經常限于支持即開即用(out-of-the-boxsupported)的方法、例如相互驗證的SSL(安全套接層)，或者各種慣用方法。添加對于新驗證方法的支持不是簡單的處理，因為典型地在服務器內部內在化(internalize)新驗證方法。即使在通過外部應用而具有對于添加的新驗證方法的支持的那些系統中，該支持的有限之處在于能夠基于外部的驗證信息為用戶建立會話，而不能更新用戶的例如當前會話證書(session?credential)，以反映另一驗證操作的完成。?

為了圍繞這樣的限制而展開工作，當前的解決方案取消了用戶的當前會話，并且用在新的會話信息和證書信息中所包括的新驗證方法來建立新的會話。一種系統可以嘗試以對用戶不可見的方式來建立新的會話，從而減少獲悉了新會話的用戶在該用戶不需要這種獲悉時的負擔。然而，仍然存在的問題是，一般會從用戶的原始會話丟失某種程度的狀態信息；換句話說，關于從舊會話向新會話的改變，下游應用或受保護資源可能具有某種不可預見的問題。?

因此，將具有優勢的是提供一種方法或系統，其可以將驗證方法擴展到可以更新用戶證書而不需為用戶建立新會話的外部應用，從而獲得驗證服務或受保護資源出于某種目的所需的更高安全級別。?

發明內容

給出了用于管理用戶的驗證證書的方法、系統、計算機程序制品和裝置。給出了用于管理用戶的驗證證書的方法。會話管理服務器對于包括受保護資源的域對用戶執行會話管理。會話管理服務器接收要訪問受保護資源的請求，該受保護資源要求已經對于第一類驗證上下文而生成的驗證證書。響應于確定已經對于第二類驗證上下文生成了用戶的驗證證書，會話管理服務器向驗?證代理服務器發送包含了用戶的驗證證書和用于第一類驗證上下文的指示符。會話管理服務器隨后接收第二消息，該第二消息包含指示已經用于對于第一類驗證上下文生成了用戶的更新后的驗證證書。?

附圖說明

現在將僅通過例子，參考附圖描述本發明，附圖中：?

圖1A繪出數據處理系統的典型網絡，這些數據處理系統的每個都可以實現本發明；?