[发明专利]自动重新验证

说明书

本申请是申请日为2003年3月28日，名称为“自动重新验证”的第03108711.6号专利申请的分案申请。

技术领域

本发明涉及具有远程终端的系统中的用户和会话身份验证。

背景技术

MicrosoftWindows服务器操作系统的某些版本支持“终端服务”。通过使用“终端服务”，服务器系统可以向被称为客户端设备或远程终端的位于远程的桌面计算设备提供传统的Windows桌面，以及最新的基于Windows的应用程序。远程终端常常是运行专门的终端仿真软件的个人计算机。在此处描述的MicrosoftWindows环境中，远程终端运行专门为与Windows终端服务一起操作而设计的软件。

当用户在此环境中运行应用程序，大多数或所有应用程序的执行、数据处理，以及数据存储是在服务器上发生的；只有诸如键盘、鼠标、显示器，以及打印信息之类的东西在服务器和远程终端之间来回地传输。

单个服务器系统可以支持多个用户和对应的用户会话。每个用户登录时只能看到他们的单个会话，该会话由服务器操作系统透明地管理，并独立于任何其他客户端会话。

服务器系统和各个远程终端之间的通信通常是通过某种网络进行的。网络可以是专用局域网、专用或公用广域网，或诸如因特网之类的可公开访问的网络。在服务器系统和远程终端之间利用了各种形式的加密，以确保这些否则不安全的网络通信形式的保密和数据完整性。设计了服务器系统软件和远程终端软件以支持此加密。

MicrosoftWindows终端服务利用RDP(远程桌面协议)，这是一个控制服务器系统和远程终端之间的通信的呈现服务协议。RDP在服务器系统上通过将呈现信息构建为网络数据包并通过网络向客户端设备发送它们，使用其自己的视频驱动程序呈现显示输出。客户端接收呈现数据并将它解释为对应的Win32GDI API调用。同样，客户端鼠标和键盘消息被从客户端重定向到服务器。在服务器上，RDP使用其自己的虚拟键盘和鼠标驱动程序接收这些键盘和鼠标事件。除了这些基本输入/输出功能之外，RDP还为各种其他功能提供支持，如打印重定向、剪贴板映射、远程控制、和网络负载平衡。此外，RDP能进行数据压缩、数据加密，以及登录及注销服务。RDP通信通常被封装或嵌入在TCP/IP协议内。

服务器系统能够执行许多不同的会话。每个用户会话通常与单个用户和远程终端关联，虽然同一会话可以在不同的时段与不同的远程终端关联。要启动用户会话，用户在特定客户端设备和服务器系统之间建立一个安全的连接。然后，服务器系统利用客户端设备的输入/输出功能在被称为“登录”的过程中对用户进行身份验证。身份验证通常是通过要求用户凭据执行的，用户凭据通常包括用户名和密码。在接收到有效的凭据之后，服务器系统就会创建一个会话并将客户端设备连接到该会话。

在许多联网环境中，特别是在因特网环境中，数据连接是不可靠的，并且可能轻易地损失。在上文描述的终端服务环境中，在服务器系统和客户端设备之间丢失数据通信不一定会终止与该客户端设备关联的会话。相反，会话在预定义的时段内仍处于活动状态，然后用户可以使用同一客户端设备或不同的客户端设备登录回该会话。登录过程类似于最初的登录过程，服务器系统也是通过要求用户凭据来对用户进行身份验证。然而，服务器系统不是创建新会话，而是认为用户与现有的会话关联，并将用户重新连接到该会话。在某些系统中，客户端设备可以保留前面的会话的会话标识符，并在后面的登录过程中提交会话标识符以重新连接到该会话。

发明内容

在服务器系统成功地对客户端设备进行身份验证之后，客户端设备和服务器系统共享自动重新连接数据。在随后丢失与服务器系统的通信并重新建立通信之后，客户端向服务器发送自动身份验证请求。自动身份验证请求包括会话验证符，该验证符至少部分地基于共享的自动重新连接数据。服务器对会话验证符进行验证。如果验证是成功的，服务器就自动对客户端设备重新进行身份验证。

附图说明

图1是集成了下面描述的本发明的元素的客户端/服务器系统的方框图。

图2-6是显示了图1所示的服务器系统和客户端设备执行的步骤的流程图。

图7是显示了图1的服务器系统的组件对于计算机的用户和内核模式如何执行的方框图。

图8是可以被编程以执行此处描述的功能的示范计算机的方框图。

具体实施方式