專利名稱:用于對(duì)計(jì)算機(jī)網(wǎng)格進(jìn)行單次登錄訪問(wèn)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及改進(jìn)的數(shù)據(jù)處理系統(tǒng),具體地說(shuō)���,涉及一種用于多計(jì)算機(jī)數(shù)據(jù)傳輸?shù)姆椒ê脱b置��。更具體地說(shuō)���,本發(fā)明提供一種用于計(jì)算機(jī)到計(jì)算機(jī)的認(rèn)證的方法和裝置。
背景技術(shù):
企業(yè)通常希望在包括因特網(wǎng)的各種網(wǎng)絡(luò)上以用戶界面友好的方式向授權(quán)用戶提供對(duì)受保護(hù)資源的安全訪問(wèn)�����。遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議是保護(hù)對(duì)網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)且非常常用的服務(wù)器認(rèn)證和結(jié)算協(xié)議��。然而���,在經(jīng)過(guò)適當(dāng)認(rèn)證的用戶獲得了對(duì)網(wǎng)絡(luò)的訪問(wèn)之后,網(wǎng)絡(luò)上的惡意用戶可竊聽(tīng)來(lái)自用戶的電子消息����,或者可以偽造來(lái)自用戶的消息。有關(guān)電子通信的完整性和私密性的關(guān)注隨著基于因特網(wǎng)的服務(wù)的采用而發(fā)展。各種加密和認(rèn)證技術(shù)已被開(kāi)發(fā)出來(lái)以保護(hù)電子通信����,如非對(duì)稱加密密鑰。
X.509數(shù)字證書(shū)標(biāo)準(zhǔn)集已被頒布�����,以創(chuàng)建公共���、安全的計(jì)算框架���,其包括密鑰的使用。X.509數(shù)字證書(shū)是已由因特網(wǎng)工程任務(wù)組(IETF)團(tuán)體采用的國(guó)際電信聯(lián)盟(ITU)標(biāo)準(zhǔn)�����。它加密地綁定可能由證書(shū)內(nèi)的主體名稱標(biāo)識(shí)的證書(shū)持有者與其公共密鑰�。該加密綁定基于認(rèn)證中心因特網(wǎng)公開(kāi)密鑰基礎(chǔ)結(jié)構(gòu)X.509證書(shū)(PKIX)內(nèi)稱作認(rèn)證中心(CA)的可信任實(shí)體的參與。結(jié)果�����,證書(shū)持有者與其公開(kāi)密鑰之間強(qiáng)且可信的關(guān)聯(lián)可成為公開(kāi)信息�����,但是仍然保持防偽且可靠。該可靠性的重要方面是認(rèn)證中心在發(fā)行證書(shū)以便使用之前在其上簽署的數(shù)字簽名�。隨后,每當(dāng)將證書(shū)提供給系統(tǒng)以便使用服務(wù)時(shí)�,在認(rèn)證主體持有者之前驗(yàn)證其簽名。在成功完成認(rèn)證過(guò)程之后�,可以向證書(shū)持有者提供對(duì)特定信息、服務(wù)或其它受控資源的訪問(wèn)��,即證書(shū)持有者可以被授權(quán)訪問(wèn)特定系統(tǒng)����。
因特網(wǎng)相關(guān)和萬(wàn)維網(wǎng)相關(guān)技術(shù)的廣泛采用促進(jìn)了在物理上由數(shù)以千計(jì)的組織和商業(yè)機(jī)構(gòu)以及數(shù)以百萬(wàn)計(jì)的個(gè)人支持的互連計(jì)算機(jī)的全球網(wǎng)絡(luò)的發(fā)展,這主要是由于對(duì)諸如超文本傳輸協(xié)議(HTTP)的通信協(xié)議的采用�,但是在較小的程度上也包括對(duì)諸如X.509證書(shū)的標(biāo)準(zhǔn)的采用。最近���,企業(yè)已經(jīng)致力于將很多計(jì)算機(jī)的計(jì)算能力組織成網(wǎng)格,其是很多計(jì)算機(jī)的邏輯組織���,用于提供計(jì)算能力和數(shù)據(jù)存儲(chǔ)能力的集體共享����,同時(shí)保持各個(gè)計(jì)算機(jī)上的本地自主控制。這些企業(yè)中很多在由GGF����,Inc.支持的Global Grid ForumTM內(nèi)協(xié)作,以開(kāi)發(fā)共同組織驅(qū)動(dòng)的網(wǎng)格計(jì)算標(biāo)準(zhǔn)��。
Globus ProjectTM是由政府機(jī)關(guān)���、公司和大學(xué)支持以開(kāi)發(fā)網(wǎng)格相關(guān)技術(shù)的一個(gè)研究項(xiàng)目�����,其引起了開(kāi)放網(wǎng)格服務(wù)架構(gòu)(OGSA)的開(kāi)發(fā)����,這是將網(wǎng)格概念包括在基于萬(wàn)維網(wǎng)服務(wù)的面向服務(wù)的框架內(nèi)的倡議����。Globus Toolkit是提供用于開(kāi)發(fā)支持網(wǎng)格的應(yīng)用的軟件編程工具的開(kāi)放網(wǎng)格服務(wù)架構(gòu)的實(shí)現(xiàn),并且網(wǎng)格安全基礎(chǔ)結(jié)構(gòu)(GSI)是實(shí)現(xiàn)安全功能性的Globus Toolkit部分�。GSI使用X.509證書(shū)作為網(wǎng)格內(nèi)用戶認(rèn)證的基礎(chǔ)。
雖然提供安全認(rèn)證機(jī)制降低了對(duì)受保護(hù)資源的非授權(quán)訪問(wèn)的危險(xiǎn)��,但是相同的認(rèn)證機(jī)制可能成為與受保護(hù)資源的用戶交互的障礙�����。用戶通常希望具有從與一個(gè)應(yīng)用交互跳轉(zhuǎn)到另一個(gè)應(yīng)用的能力而不考慮保護(hù)支持這些應(yīng)用的每個(gè)特定系統(tǒng)的認(rèn)證障礙。
隨著用戶越來(lái)越成熟�����,他們期望計(jì)算機(jī)系統(tǒng)協(xié)調(diào)他們的行動(dòng)���,以便減輕用戶負(fù)擔(dān)���。這樣的期望也適用于認(rèn)證過(guò)程。用戶可能假定一旦他或她被計(jì)算機(jī)系統(tǒng)認(rèn)證�����,認(rèn)證憑證就應(yīng)當(dāng)在用戶的整個(gè)工作會(huì)話期間或者至少在特定時(shí)間周期內(nèi)有效�����,而不考慮有時(shí)對(duì)于用戶不可見(jiàn)的各種計(jì)算機(jī)架構(gòu)邊界����。企業(yè)通常試圖在其操作的特性中實(shí)現(xiàn)這些期望����,以不僅安撫用戶����,而且提高用戶效率����,而不管用戶效率是否與雇員生產(chǎn)率或顧客滿意度有關(guān),因?yàn)樵诮o定時(shí)間范圍內(nèi)使用戶經(jīng)過(guò)多個(gè)認(rèn)證過(guò)程可能嚴(yán)重影響用戶效率�����。
各種技術(shù)已用來(lái)減輕用戶和計(jì)算機(jī)系統(tǒng)管理員的認(rèn)證負(fù)擔(dān)���。這些技術(shù)通常被描述為“單次登錄”(SSO�����,single-sign-on)過(guò)程�����,因?yàn)樗鼈兙哂泄餐哪康脑谟脩敉瓿闪说卿洸僮骷从脩舯徽J(rèn)證之后�,隨后用戶無(wú)需執(zhí)行其它認(rèn)證操作���。其目標(biāo)是在用戶會(huì)話期間用戶只需完成一個(gè)認(rèn)證過(guò)程�。
由于網(wǎng)格的高度分散特性,已經(jīng)致力于將單次登錄功能性的概念包括到網(wǎng)格架構(gòu)的基礎(chǔ)結(jié)構(gòu)中����。例如,Globus Toolkit通過(guò)使用X.509代理證書(shū)來(lái)實(shí)現(xiàn)單次登錄功能性�����;單次登錄功能性應(yīng)用于網(wǎng)格內(nèi)的資源�����,使得網(wǎng)格內(nèi)的多個(gè)服務(wù)的用戶無(wú)需對(duì)于所使用的每個(gè)服務(wù)都一一通過(guò)認(rèn)證詢問(wèn)�����。
然而��,用戶通常需要在試圖訪問(wèn)網(wǎng)格內(nèi)的服務(wù)之前通過(guò)認(rèn)證詢問(wèn)以獲得對(duì)網(wǎng)絡(luò)的初始訪問(wèn)���。在用戶完成了對(duì)網(wǎng)絡(luò)的認(rèn)證操作之后���,用戶則可以嘗試通過(guò)網(wǎng)絡(luò)獲得對(duì)網(wǎng)格內(nèi)的資源的訪問(wèn)。因此��,為了獲得對(duì)網(wǎng)格內(nèi)的資源的訪問(wèn)��,用戶通常需要通過(guò)兩次認(rèn)證詢問(wèn)���,這有悖于單次登錄操作的概念���,并且減弱了將單次登錄功能性包括在網(wǎng)格基礎(chǔ)結(jié)構(gòu)內(nèi)的努力。
因此���,具有一種用于提供當(dāng)成功完成時(shí)允許訪問(wèn)網(wǎng)絡(luò)并且隨后允許訪問(wèn)通過(guò)網(wǎng)絡(luò)訪問(wèn)的網(wǎng)格內(nèi)的資源的單次登錄操作的方法將是有利的�����。提供與一般根據(jù)標(biāo)準(zhǔn)規(guī)范實(shí)現(xiàn)的實(shí)體(如RADIUS服務(wù)器和支持GlobusTM的網(wǎng)格)兼容的單次登錄操作將是特別有利的�����。
發(fā)明內(nèi)容
網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器如RADIUS服務(wù)器的用戶注冊(cè)中心被配置成保存用戶的私有密鑰和用戶的公開(kāi)密鑰證書(shū)��,然后其在例如根據(jù)RADIUS協(xié)議實(shí)現(xiàn)的網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作期間對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器可得���。使用用戶注冊(cè)中心中的信息�,網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器能夠在對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作期間生成用戶的代理證書(shū)�����。通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備將代理證書(shū)隨同網(wǎng)絡(luò)訪問(wèn)參數(shù)一起返回給用戶設(shè)備����。將代理證書(shū)存儲(chǔ)在用戶設(shè)備的適當(dāng)位置上,然后當(dāng)將作業(yè)提交給網(wǎng)格時(shí)�����,代理證書(shū)對(duì)網(wǎng)格-客戶端應(yīng)用可得���。
在隨后某個(gè)時(shí)間點(diǎn)�����,網(wǎng)格-客戶端應(yīng)用準(zhǔn)備將作業(yè)提交到網(wǎng)格中��。當(dāng)網(wǎng)格-客戶端應(yīng)用找到先前在網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作期間存儲(chǔ)的最新的有效代理證書(shū)時(shí)���,網(wǎng)格-客戶端應(yīng)用放棄生成新代理證書(shū)�����。因此����,此時(shí)不需要在用戶設(shè)備上生成新代理證書(shū)這一事實(shí)消除了與新代理證書(shū)的生成相關(guān)聯(lián)的認(rèn)證操作的需要��。
從第一方面來(lái)看����,本發(fā)明提供一種用于認(rèn)證操作的方法�����,該方法包括通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備從用戶設(shè)備向網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器發(fā)起網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作���;響應(yīng)網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的成功完成����,在用戶設(shè)備處接收包括一組網(wǎng)絡(luò)訪問(wèn)參數(shù)的信息�;從所接收的信息中提取代理證書(shū);并且在用戶設(shè)備處存儲(chǔ)代理證書(shū)�。
優(yōu)選地,本發(fā)明包括通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備將事務(wù)請(qǐng)求消息發(fā)送到網(wǎng)格內(nèi);以及將代理證書(shū)提供給網(wǎng)格����。
優(yōu)選地,本發(fā)明提供一種方法�,其中使用Globus Toolkit通過(guò)軟件執(zhí)行關(guān)于網(wǎng)格的操作。
優(yōu)選地����,本發(fā)明提供一種方法,其中使用遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作����。
從第二方面來(lái)看,本發(fā)明提供一種用于認(rèn)證操作的方法�,該方法包括通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備在網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器處執(zhí)行對(duì)用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作;在網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器處生成代理證書(shū)��;以及響應(yīng)網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的成功完成�����,將包括一組網(wǎng)絡(luò)訪問(wèn)參數(shù)的信息發(fā)送到用戶設(shè)備���,其中該信息包括所生成的代理證書(shū)�����。
優(yōu)選地�,本發(fā)明提供一種與發(fā)起網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的實(shí)體相關(guān)聯(lián)的代理證書(shū)。
優(yōu)選地����,本發(fā)明提供一種還包括以下操作的方法在網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器處從用戶注冊(cè)中心檢索公開(kāi)密鑰證書(shū)和關(guān)聯(lián)的私有密鑰;將來(lái)自公開(kāi)密鑰證書(shū)的信息插入到代理證書(shū)中�;以及使用私有密鑰對(duì)代理證書(shū)進(jìn)行數(shù)字簽名�。
優(yōu)選地,本發(fā)明提供一種方法�,其中使用遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作。
優(yōu)選地��,本發(fā)明提供一種方法����,其中在RADIUS協(xié)議中的廠商特定屬性內(nèi)發(fā)送代理證書(shū)。
從第三方面來(lái)看��,本發(fā)明提供一種計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品��,其在數(shù)據(jù)處理系統(tǒng)中使用�,以執(zhí)行認(rèn)證操作�����,該計(jì)算機(jī)程序產(chǎn)品包括用于通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備從用戶設(shè)備向網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器發(fā)起網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的部件��;用于響應(yīng)網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的成功完成而在用戶設(shè)備處接收包括一組網(wǎng)絡(luò)訪問(wèn)參數(shù)的信息的部件��;用于從所接收的信息中提取代理證書(shū)的部件��;以及用于在用戶設(shè)備處存儲(chǔ)代理證書(shū)的部件��。
優(yōu)選地����,本發(fā)明提供一種還包括以下部件的計(jì)算機(jī)程序產(chǎn)品用于通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備將事務(wù)請(qǐng)求消息發(fā)送到網(wǎng)格內(nèi)的部件�;以及用于將代理證書(shū)提供給網(wǎng)格的部件。
優(yōu)選地�����,本發(fā)明提供一種計(jì)算機(jī)程序產(chǎn)品�����,其中使用Globus Toolkit通過(guò)軟件執(zhí)行關(guān)于網(wǎng)格的操作�。
優(yōu)選地��,本發(fā)明提供一種計(jì)算機(jī)程序產(chǎn)品����,其中使用遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作����。
從第四方面來(lái)看,本發(fā)明提供一種計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品���,其在數(shù)據(jù)處理系統(tǒng)中使用�,以執(zhí)行認(rèn)證操作��,該計(jì)算機(jī)程序產(chǎn)品包括用于通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備在網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器處執(zhí)行對(duì)用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的部件����;用于在網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器處生成代理證書(shū)的部件����;以及用于響應(yīng)網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的成功完成而將包括一組網(wǎng)絡(luò)訪問(wèn)參數(shù)的信息發(fā)送到用戶設(shè)備的部件,其中該信息包括所生成的代理證書(shū)����。
優(yōu)選地��,本發(fā)明提供一種計(jì)算機(jī)程序產(chǎn)品��,其中代理證書(shū)與發(fā)起網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的實(shí)體相關(guān)聯(lián)��。
優(yōu)選地��,本發(fā)明提供一種還包括以下部件的計(jì)算機(jī)程序產(chǎn)品用于在網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器處從用戶注冊(cè)中心檢索公開(kāi)密鑰證書(shū)和關(guān)聯(lián)的私有密鑰的部件��;用于將來(lái)自公開(kāi)密鑰證書(shū)的信息插入到代理證書(shū)中的部件�;以及用于使用私有密鑰對(duì)代理證書(shū)進(jìn)行數(shù)字簽名的部件����。
優(yōu)選地,本發(fā)明提供一種計(jì)算機(jī)程序產(chǎn)品����,其中使用遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作。
優(yōu)選地����,本發(fā)明提供一種計(jì)算機(jī)程序產(chǎn)品,其中在RADIUS協(xié)議中的廠商特定屬性內(nèi)發(fā)送代理證書(shū)���。
從第五方面來(lái)看���,本發(fā)明提供一種用于認(rèn)證操作的裝置��,該裝置包括用于通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備從用戶設(shè)備向網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器發(fā)起網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的部件�;用于響應(yīng)網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的成功完成而在用戶設(shè)備處接收包括一組網(wǎng)絡(luò)訪問(wèn)參數(shù)的信息的部件���;用于從所接收的信息中提取代理證書(shū)的部件�;以及用于在用戶設(shè)備處存儲(chǔ)代理證書(shū)的部件����。
優(yōu)選地,本發(fā)明提供一種還包括以下部件的裝置用于通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備將事務(wù)請(qǐng)求消息發(fā)送到網(wǎng)格內(nèi)的部件�;以及用于將代理證書(shū)提供給網(wǎng)格的部件。
優(yōu)選地�����,本發(fā)明提供一種裝置��,其中使用Globus Toolkit通過(guò)軟件執(zhí)行關(guān)于網(wǎng)格的操作���。
優(yōu)選地,本發(fā)明提供一種裝置�����,其中使用遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作。
從第六方面來(lái)看�,本發(fā)明提供一種用于認(rèn)證操作的裝置,該裝置包括用于通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備在網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器處執(zhí)行對(duì)用戶設(shè)備的網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的部件�;用于在網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器處生成代理證書(shū)的部件;以及用于響應(yīng)網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的成功完成而將包括一組網(wǎng)絡(luò)訪問(wèn)參數(shù)的信息發(fā)送到用戶設(shè)備的部件�,其中該信息包括所生成的代理證書(shū)。
優(yōu)選地��,本發(fā)明提供一種裝置����,其中代理證書(shū)與發(fā)起網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的實(shí)體相關(guān)聯(lián)。
優(yōu)選地���,本發(fā)明還包括用于在網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器處從用戶注冊(cè)中心檢索公開(kāi)密鑰證書(shū)和關(guān)聯(lián)的私有密鑰的部件���;用于將來(lái)自公開(kāi)密鑰證書(shū)的信息插入到代理證書(shū)中的部件;以及用于使用私有密鑰對(duì)代理證書(shū)進(jìn)行數(shù)字簽名的部件���。
優(yōu)選地�����,本發(fā)明提供一種裝置��,其中使用遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作�。
優(yōu)選地,本發(fā)明提供一種裝置���,其中在RADIUS協(xié)議中的廠商特定屬性內(nèi)發(fā)送代理證書(shū)�����。
下面參照附圖僅作為示例詳細(xì)描述本發(fā)明的實(shí)施例��,其中圖1A示出其中每一個(gè)都可實(shí)現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)的典型網(wǎng)絡(luò)�����;圖1B示出可以在可實(shí)現(xiàn)本發(fā)明的數(shù)據(jù)處理系統(tǒng)內(nèi)使用的典型計(jì)算機(jī)架構(gòu)�����;圖1C示出實(shí)體獲得數(shù)字證書(shū)的典型方式����;圖1D是示出實(shí)體可以在分布式數(shù)據(jù)處理系統(tǒng)內(nèi)使用數(shù)字證書(shū)的典型方式的方框圖�;圖2A是示出包括訪問(wèn)網(wǎng)絡(luò)以及通過(guò)網(wǎng)絡(luò)訪問(wèn)網(wǎng)格的用戶設(shè)備的典型數(shù)據(jù)處理系統(tǒng)的方框圖;圖2B是示出根據(jù)本發(fā)明實(shí)施例的包括訪問(wèn)網(wǎng)絡(luò)和網(wǎng)格的用戶設(shè)備的數(shù)據(jù)處理系統(tǒng)的方框圖�;圖3是示出根據(jù)本發(fā)明實(shí)施例的用于在用戶注冊(cè)中心內(nèi)建立網(wǎng)格相關(guān)信息的過(guò)程的流程圖;圖4是示出根據(jù)本發(fā)明實(shí)施例的用于將網(wǎng)絡(luò)訪問(wèn)的認(rèn)證操作與網(wǎng)格訪問(wèn)的認(rèn)證操作集成在一起以提供組合網(wǎng)絡(luò)和網(wǎng)格單次登錄操作的服務(wù)器端過(guò)程的流程圖��;以及圖5是示出根據(jù)本發(fā)明實(shí)施例的用于將網(wǎng)絡(luò)訪問(wèn)的認(rèn)證操作與網(wǎng)格訪問(wèn)的認(rèn)證操作集成在一起以提供組合網(wǎng)絡(luò)和網(wǎng)格單次登錄操作的客戶端過(guò)程的流程圖�����。
具體實(shí)施例方式
一般而言�,可包括或涉及本發(fā)明的設(shè)備包含各種數(shù)據(jù)處理技術(shù)。因此�,作為背景,在更詳細(xì)地描述本發(fā)明之前���,先描述分布式數(shù)據(jù)處理系統(tǒng)內(nèi)的硬件和軟件組件的典型組織���。
現(xiàn)在參照附圖,圖1A示出其中每一個(gè)都可實(shí)現(xiàn)本發(fā)明的一部分的數(shù)據(jù)處理系統(tǒng)的典型網(wǎng)絡(luò)����。分布式數(shù)據(jù)處理系統(tǒng)100包含網(wǎng)絡(luò)101,其是可用來(lái)提供在分布式數(shù)據(jù)處理系統(tǒng)100內(nèi)連接在一起的各種設(shè)備和計(jì)算機(jī)之間的通信鏈路����。網(wǎng)絡(luò)101可包括諸如電纜或光纜的永久性連接或者通過(guò)電話或無(wú)線通信而創(chuàng)建的臨時(shí)連接�����。在所示例子中���,服務(wù)器102和服務(wù)器103隨同存儲(chǔ)單元104一起連接到網(wǎng)絡(luò)101。另外��,客戶端105-107也連接到網(wǎng)絡(luò)101����。客戶端105-107和服務(wù)器102-103可以以多種計(jì)算設(shè)備如大型機(jī)���、個(gè)人計(jì)算機(jī)����、個(gè)人數(shù)字助理(PDA)等為代表�。分布式數(shù)據(jù)處理系統(tǒng)100可包括未示出的附加服務(wù)器、客戶機(jī)����、路由器�����、其它設(shè)備以及對(duì)等架構(gòu)。
在所示例子中�����,分布式數(shù)據(jù)處理系統(tǒng)100可包括因特網(wǎng)�,其中網(wǎng)絡(luò)101代表使用各種協(xié)議相互通信的網(wǎng)絡(luò)和網(wǎng)關(guān)的全球集合,例如����,輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)、傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)�、超文本傳輸協(xié)議(HTTP)、無(wú)線應(yīng)用協(xié)議(WAP)等���。當(dāng)然����,分布式數(shù)據(jù)處理系統(tǒng)100還可包括大量不同類型的網(wǎng)絡(luò)��,例如內(nèi)部網(wǎng)�����、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)。例如�,服務(wù)器102直接支持客戶端109和包括無(wú)線通信鏈路的網(wǎng)絡(luò)110。支持網(wǎng)絡(luò)的電話111通過(guò)無(wú)線鏈路112連接到網(wǎng)絡(luò)110�,而PDA 113通過(guò)無(wú)線鏈路114連接到網(wǎng)絡(luò)110。電話111和PDA 113還可使用適當(dāng)?shù)募夹g(shù)如藍(lán)牙TM無(wú)線技術(shù)通過(guò)無(wú)線鏈路115相互直接傳輸數(shù)據(jù)���,以創(chuàng)建所謂的個(gè)人區(qū)域網(wǎng)(PAN)或個(gè)人專用網(wǎng)����。以類似的方式���,PDA 113可通過(guò)無(wú)線通信鏈路116傳輸數(shù)據(jù)到PDA 107���。本發(fā)明可在各種硬件平臺(tái)上實(shí)現(xiàn);圖1A旨在作為異構(gòu)計(jì)算環(huán)境的示例�,而不作為對(duì)本發(fā)明的架構(gòu)限制。
現(xiàn)在參照?qǐng)D1B�����,其是示出了可實(shí)現(xiàn)本發(fā)明的如圖1A所示的數(shù)據(jù)處理系統(tǒng)的典型計(jì)算機(jī)架構(gòu)的圖���。數(shù)據(jù)處理系統(tǒng)120包含一個(gè)或多個(gè)連接到內(nèi)部系統(tǒng)總線123的中央處理單元(CPU)122��,其中內(nèi)部系統(tǒng)總線123使隨機(jī)存取存儲(chǔ)器(RAM)124����、只讀存儲(chǔ)器126和輸入/輸出適配器128互連��,輸入/輸出適配器128支持各種I/O設(shè)備如打印機(jī)130�����、盤單元132�,或者未示出的其它設(shè)備如音頻輸出系統(tǒng)等。系統(tǒng)總線123還連接通信適配器134����,其提供對(duì)通信鏈路136的訪問(wèn)。用戶接口適配器148連接各種用戶設(shè)備如鍵盤140和鼠標(biāo)142或者未示出的其它設(shè)備如觸摸屏��、輸入筆�、麥克風(fēng)等。顯示適配器144將系統(tǒng)總線123連接到顯示設(shè)備146��。
本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解��,圖1B中的硬件可根據(jù)系統(tǒng)實(shí)現(xiàn)而變化。例如�,該系統(tǒng)可具有一個(gè)或多個(gè)處理器,如基于IntelPentium的處理器和數(shù)字信號(hào)處理器(DSP)����,以及一種或多種類型的易失性和非易失性存儲(chǔ)器。作為圖1B所示的硬件的補(bǔ)充或替代����,可使用其它外圍設(shè)備。所示例子并不意味著作為對(duì)本發(fā)明的架構(gòu)限制�����。
除了能夠在各種硬件平臺(tái)上實(shí)現(xiàn)之外���,本發(fā)明還可在各種軟件環(huán)境中實(shí)現(xiàn)�。典型的操作系統(tǒng)可用來(lái)控制每個(gè)數(shù)據(jù)處理系統(tǒng)內(nèi)的程序執(zhí)行���。例如����,一個(gè)設(shè)備可運(yùn)行Unix操作系統(tǒng),而另一個(gè)設(shè)備包含簡(jiǎn)單Java運(yùn)行時(shí)環(huán)境����。代表性計(jì)算機(jī)平臺(tái)可包括瀏覽器,其是用于訪問(wèn)采用各種格式和語(yǔ)言的超文本文檔如圖形文件����、字處理文件、可擴(kuò)展標(biāo)記語(yǔ)言(XML)���、超文本標(biāo)記語(yǔ)言(HTML)�、手持設(shè)備標(biāo)記語(yǔ)言(HDML)�、無(wú)線標(biāo)記語(yǔ)言(WML)以及各種其它格式和類型的文件的公知軟件應(yīng)用���。
附圖描述在此包括用戶設(shè)備或設(shè)備用戶的特定操作����。本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解��,到/從客戶端的響應(yīng)/請(qǐng)求有時(shí)由用戶發(fā)起���,有時(shí)由客戶端自動(dòng)發(fā)起��,而通常代表客戶端用戶�。因此,當(dāng)在附圖描述中提到客戶端或客戶端用戶時(shí)���,應(yīng)當(dāng)理解�����,術(shù)語(yǔ)“客戶端”和“用戶”有時(shí)可通用而不嚴(yán)重影響所述過(guò)程的含義�。
如上面關(guān)于圖1A和圖1B所述�����,本發(fā)明可在各種硬件和軟件平臺(tái)上實(shí)現(xiàn)����。然而,更具體地說(shuō)���,本發(fā)明致力于使用數(shù)字證書(shū)的改進(jìn)認(rèn)證操作���。在更詳細(xì)地描述改進(jìn)的認(rèn)證服務(wù)之前,先描述非對(duì)稱密鑰和數(shù)字證書(shū)的使用�。
數(shù)字證書(shū)支持公開(kāi)密鑰加密,其中參與通信或事務(wù)的每方具有稱作公開(kāi)密鑰和私有密鑰的一對(duì)密鑰。每方的公開(kāi)密鑰被發(fā)布�����,而私有密鑰被保密�。公開(kāi)密鑰是與特定實(shí)體相關(guān)聯(lián)的數(shù)字,并且旨在為需要與該實(shí)體具有可信交互的任何人所知���。私有密鑰是僅為特定實(shí)體所知即保密的數(shù)字����。在典型的非對(duì)稱加密系統(tǒng)中����,私有密鑰對(duì)應(yīng)于恰好一個(gè)公開(kāi)密鑰。
在公開(kāi)密鑰加密系統(tǒng)內(nèi)�,由于所有通信僅涉及公開(kāi)密鑰并且私有密鑰從不被傳輸或共享��,因此僅使用公開(kāi)信息生成保密消息��,并且僅可以使用僅由預(yù)定接收者擁有的私有密鑰對(duì)其進(jìn)行解密��。此外�,公開(kāi)密鑰加密可用于通過(guò)數(shù)字簽名的認(rèn)證,以及通過(guò)加密的保密。加密是將數(shù)據(jù)變換成在沒(méi)有秘密解密密鑰的情況下任何人都不可讀的形式�����;加密通過(guò)對(duì)任何不期望的人����,即使是可看到加密數(shù)據(jù)的那些人,隱藏信息內(nèi)容而保證了私密性���。認(rèn)證是數(shù)字消息的接收人可以由此相信發(fā)送者的身份和/或消息的完整性的過(guò)程����。
例如�,當(dāng)發(fā)送者對(duì)消息進(jìn)行加密時(shí),使用接收者的公開(kāi)密鑰將原始消息內(nèi)的數(shù)據(jù)變換成加密消息的內(nèi)容�。發(fā)送者使用預(yù)定接收者的公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行加密,并且接收者使用其私有密鑰對(duì)加密消息進(jìn)行解密����。
當(dāng)認(rèn)證數(shù)據(jù)時(shí),可通過(guò)使用簽名者的私有密鑰從數(shù)據(jù)計(jì)算數(shù)字簽名來(lái)對(duì)數(shù)據(jù)進(jìn)行簽名�。一旦數(shù)據(jù)被數(shù)字簽名,它就可與簽名者的身份和證明該數(shù)據(jù)來(lái)源于該簽名者的簽名一起存儲(chǔ)�����。簽名者使用其私有密鑰對(duì)數(shù)據(jù)進(jìn)行簽名,而接收者使用簽名者的公開(kāi)密鑰來(lái)驗(yàn)證簽名����。
證書(shū)是證明諸如個(gè)人、計(jì)算機(jī)系統(tǒng)��、運(yùn)行在該系統(tǒng)上的特定服務(wù)器等的實(shí)體的身份和密鑰所有權(quán)的數(shù)字文檔���。證書(shū)由認(rèn)證中心簽發(fā)����。認(rèn)證中心(CA)是受委托為其他人或?qū)嶓w簽署或簽發(fā)證書(shū)的實(shí)體���,其通常是事務(wù)的可信第三方�����。CA對(duì)于其有關(guān)使人們信任簽署證書(shū)的實(shí)體的公開(kāi)密鑰與其擁有者之間的綁定的證明通常具有某種法律責(zé)任。存在很多這樣的商業(yè)認(rèn)證中心��。這些認(rèn)證中心負(fù)責(zé)在簽發(fā)證書(shū)時(shí)驗(yàn)證實(shí)體的身份和密鑰所有權(quán)��。
如果認(rèn)證中心為一實(shí)體簽發(fā)了證書(shū),則該實(shí)體必須提供公開(kāi)密鑰和有關(guān)該實(shí)體的一些信息���。軟件工具例如專門配備的萬(wàn)維網(wǎng)瀏覽器可以對(duì)該信息進(jìn)行數(shù)字簽名�,并且將其發(fā)送到認(rèn)證中心��。認(rèn)證中心可能是提供可信第三方證書(shū)管理服務(wù)的公司���。然后�����,認(rèn)證中心將生成證書(shū)�����,并且將其返回��。證書(shū)可包含其它信息如序列號(hào)和證書(shū)的有效日期�����。認(rèn)證中心提供的值的一部分用作中立且可信的介紹服務(wù)�,其部分基于在各種證書(shū)服務(wù)實(shí)踐(CSP)中公開(kāi)發(fā)布的其驗(yàn)證要求�。
CA通過(guò)隨同其它標(biāo)識(shí)信息一起嵌入請(qǐng)求實(shí)體的公開(kāi)密鑰然后采用CA的私有密鑰對(duì)數(shù)字證書(shū)進(jìn)行簽名來(lái)創(chuàng)建新數(shù)字證書(shū)�����。然后�����,任何在事務(wù)或通信期間接收到數(shù)字證書(shū)的人可使用CA的公開(kāi)密鑰來(lái)驗(yàn)證證書(shū)內(nèi)經(jīng)過(guò)簽名的公開(kāi)密鑰���。其用意是CA的簽名用作數(shù)字證書(shū)的防偽戳記,從而確保證書(shū)中數(shù)據(jù)的完整性�。
證書(shū)處理的其它方面也是標(biāo)準(zhǔn)化的,并且有關(guān)X.509公開(kāi)密鑰基礎(chǔ)結(jié)構(gòu)(PKIX)的更多信息可以在www.ietf.org從因特網(wǎng)工程任務(wù)組(IETF)獲得�����。例如����,證書(shū)請(qǐng)求消息格式(RFC 2511)規(guī)定了每當(dāng)信賴方從CA請(qǐng)求證書(shū)時(shí)所推薦使用的格式。證書(shū)管理協(xié)議也已被頒布用于傳輸證書(shū)�。由于本發(fā)明居于處理數(shù)字證書(shū)的分布式數(shù)據(jù)處理系統(tǒng)內(nèi),因此用圖1C和1D來(lái)圖解有關(guān)數(shù)字證書(shū)的一些有用背景信息����。
現(xiàn)在參照?qǐng)D1C,其是示出了個(gè)人獲得數(shù)字證書(shū)的典型方式的方框圖�。通過(guò)某種類型的客戶端計(jì)算機(jī)操作的用戶152先前獲得或生成了公開(kāi)/私有密鑰對(duì)�����,例如用戶公開(kāi)密鑰154和用戶私有密鑰156。用戶152生成包含用戶公開(kāi)密鑰154的證書(shū)請(qǐng)求158����,并且將該請(qǐng)求發(fā)送到認(rèn)證中心160,其擁有CA公開(kāi)密鑰162和CA私有密鑰164����。認(rèn)證中心160以某種方式驗(yàn)證用戶152的身份,并且生成包含用戶公開(kāi)密鑰154的X.509數(shù)字證書(shū)166�����。采用CA私有密鑰164對(duì)整個(gè)證書(shū)進(jìn)行簽名���;證書(shū)包括用戶的公開(kāi)密鑰����、與用戶相關(guān)聯(lián)的名稱��、和其它屬性。用戶152接收新生成的數(shù)字證書(shū)166��,然后用戶152必要時(shí)可提供數(shù)字證書(shū)166以參加可信事務(wù)或可信通信���。從用戶152接收到數(shù)字證書(shū)166的實(shí)體可通過(guò)使用在認(rèn)證中心的公開(kāi)密鑰證書(shū)中發(fā)布的CA公開(kāi)密鑰162驗(yàn)證CA的簽名���,其中該公開(kāi)密鑰證書(shū)對(duì)驗(yàn)證實(shí)體可用(或可得)����。
現(xiàn)在參照?qǐng)D1D,其是示出了實(shí)體可使用數(shù)字證書(shū)以向因特網(wǎng)系統(tǒng)或應(yīng)用認(rèn)證的典型方式的方框圖�。用戶172擁有X.509數(shù)字證書(shū)174,其被傳輸?shù)街鳈C(jī)系統(tǒng)178上的應(yīng)用176(或者可由其獲得)����;應(yīng)用176包括用于處理和使用數(shù)字證書(shū)的X.509功能性。用戶172采用其私有密鑰對(duì)其發(fā)送到應(yīng)用176的數(shù)據(jù)進(jìn)行簽名或加密�����。
接收或獲得證書(shū)174的實(shí)體可以是應(yīng)用�����、系統(tǒng)����、子系統(tǒng)等�。證書(shū)174包含向可以為用戶172執(zhí)行某種服務(wù)的應(yīng)用176標(biāo)識(shí)用戶172的主體名稱或主體標(biāo)識(shí)符。使用證書(shū)174的實(shí)體在使用關(guān)于來(lái)自用戶172的經(jīng)過(guò)簽名或加密的數(shù)據(jù)的證書(shū)之前��,驗(yàn)證證書(shū)的真實(shí)性����。
主機(jī)系統(tǒng)178還可包含系統(tǒng)注冊(cè)中心180��,其用來(lái)授權(quán)用戶172訪問(wèn)系統(tǒng)178內(nèi)的服務(wù)和資源�,即���,使用戶的身份與用戶權(quán)限相符合。例如�,系統(tǒng)管理員可能已配置了用戶的身份屬于某一安全組,并且限制了該用戶只能訪問(wèn)被配置成可用于該整個(gè)安全組的那些資源��。該系統(tǒng)內(nèi)可采用各種公知的用于施加授權(quán)方案的方法。
如前面關(guān)于現(xiàn)有技術(shù)所述��,為了適當(dāng)?shù)刈C實(shí)數(shù)字證書(shū)�����,應(yīng)用必須檢查證書(shū)是否已被廢除���。當(dāng)認(rèn)證中心簽發(fā)證書(shū)時(shí)���,認(rèn)證中心生成用來(lái)標(biāo)識(shí)證書(shū)的唯一序列號(hào),并且該序列號(hào)存儲(chǔ)在X.509證書(shū)內(nèi)的“序列號(hào)”字段中����。典型地,被廢除的X.509證書(shū)在CRL內(nèi)通過(guò)證書(shū)的序列號(hào)識(shí)別����;被廢除證書(shū)的序列號(hào)出現(xiàn)在CRL內(nèi)的序列號(hào)列表中。
為了確定證書(shū)174是否仍然有效�,應(yīng)用176從CRL庫(kù)182獲得證書(shū)廢除列表(CRL),并且證實(shí)CRL�。應(yīng)用176將證書(shū)174內(nèi)的序列號(hào)與所檢索的CRL內(nèi)的序列號(hào)列表進(jìn)行比較,并且如果不存在匹配的序列號(hào)�,則應(yīng)用176證實(shí)證書(shū)174。如果CRL具有匹配的序列號(hào),則證書(shū)174應(yīng)當(dāng)被拒絕����,并且應(yīng)用176可以采取適當(dāng)?shù)拇胧﹣?lái)拒絕用戶訪問(wèn)任何受控資源的請(qǐng)求。
現(xiàn)在參照?qǐng)D2A��,其是示出了典型數(shù)據(jù)處理系統(tǒng)的方框圖����,其中該數(shù)據(jù)處理系統(tǒng)包括訪問(wèn)網(wǎng)絡(luò)并通過(guò)網(wǎng)絡(luò)訪問(wèn)網(wǎng)格的用戶設(shè)備�����。用戶設(shè)備200通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備204在網(wǎng)絡(luò)202上發(fā)送和接收數(shù)據(jù)�。用戶設(shè)備200類似于圖1A所示的客戶端105-107,而網(wǎng)絡(luò)202類似于圖1A中的網(wǎng)絡(luò)101����。網(wǎng)絡(luò)訪問(wèn)設(shè)備204可以是網(wǎng)絡(luò)訪問(wèn)服務(wù)器、以太網(wǎng)交換機(jī)�����、無(wú)線接入點(diǎn)或者能夠運(yùn)行遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議或類似協(xié)議以認(rèn)證和授權(quán)連接的其它類型的網(wǎng)絡(luò)訪問(wèn)設(shè)備�����。
網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器206使用適當(dāng)?shù)膮f(xié)議來(lái)處理認(rèn)證和授權(quán)用戶連接到網(wǎng)絡(luò)的請(qǐng)求;在優(yōu)選實(shí)施例中��,服務(wù)器206支持RADIUS協(xié)議�,在這種情況下,網(wǎng)絡(luò)訪問(wèn)設(shè)備204將被視作RADIUS客戶端��,而用戶設(shè)備200將被視作訪問(wèn)客戶端����。服務(wù)器206可以由各種實(shí)體操作,例如操作很多訪問(wèn)客戶端如桌面計(jì)算機(jī)的公司����,或者向操作訪問(wèn)客戶端的個(gè)人用戶出售其服務(wù)的因特網(wǎng)服務(wù)提供商(ISP)。
服務(wù)器206在用戶注冊(cè)中心208內(nèi)存儲(chǔ)和檢索用戶信息�����,其中用戶注冊(cè)中心208可以是數(shù)據(jù)庫(kù)或者其它類型的數(shù)據(jù)存儲(chǔ)庫(kù)�����。用戶注冊(cè)中心208存儲(chǔ)要由服務(wù)器206控制其網(wǎng)絡(luò)訪問(wèn)的每個(gè)用戶的帳戶信息���??梢约俣ǎ?wù)器206的操作者的系統(tǒng)管理員完成每個(gè)用戶的注冊(cè)操作���。用戶注冊(cè)中心208被示出為包含操作用戶設(shè)備200的特定用戶的帳戶信息210���,但是其他用戶的帳戶信息也將存儲(chǔ)在用戶注冊(cè)中心208內(nèi);帳戶信息210包含該特定用戶的用戶名212和口令(passphrase)214�����。
假定服務(wù)器206根據(jù)RADIUS協(xié)議工作��,則用戶設(shè)備200可以在下面簡(jiǎn)化的示例中獲得對(duì)網(wǎng)絡(luò)202的訪問(wèn)�����。例如�,響應(yīng)用戶設(shè)備200的用戶啟動(dòng)萬(wàn)維網(wǎng)瀏覽器應(yīng)用�����,而這又自動(dòng)啟動(dòng)撥號(hào)連網(wǎng)程序����,用戶設(shè)備200向網(wǎng)絡(luò)訪問(wèn)設(shè)備204發(fā)起點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)認(rèn)證操作��。網(wǎng)絡(luò)訪問(wèn)設(shè)備204以對(duì)用戶名和口令的請(qǐng)求來(lái)響應(yīng)�����,并且用戶設(shè)備200從用戶獲得用戶名及其關(guān)聯(lián)口令�����,并且將該值對(duì)返回給網(wǎng)絡(luò)訪問(wèn)設(shè)備204�����,其將該用戶名和口令發(fā)送到RADIUS服務(wù)器206���;可以假定,口令在整個(gè)過(guò)程期間通過(guò)適當(dāng)?shù)募用芏艿奖Wo(hù)�����。RADIUS服務(wù)器206采用用戶注冊(cè)中心208中的信息證實(shí)所接收的用戶名/口令組合�����,并且以接受響應(yīng)或拒絕響應(yīng)來(lái)響應(yīng)。假定用戶信息被成功證實(shí)�����,則RADIUS服務(wù)器206將向用戶設(shè)備200提供服務(wù)所需的配置信息返回給網(wǎng)絡(luò)訪問(wèn)設(shè)備204��,例如�����,描述要用于會(huì)話的參數(shù)的屬性-值對(duì)列表����,如要分配給用戶設(shè)備200的IP地址。網(wǎng)絡(luò)訪問(wèn)設(shè)備204將信息返回給用戶設(shè)備200����,并且用戶設(shè)備200繼續(xù)將數(shù)據(jù)通信發(fā)送到網(wǎng)絡(luò)訪問(wèn)設(shè)備204�,其將數(shù)據(jù)傳輸?shù)骄W(wǎng)絡(luò)202上。
當(dāng)有必要訪問(wèn)網(wǎng)絡(luò)202內(nèi)的服務(wù)時(shí)���,在用戶設(shè)備200上執(zhí)行的應(yīng)用可以訪問(wèn)客戶端數(shù)據(jù)存儲(chǔ)庫(kù)216��,其中客戶端數(shù)據(jù)存儲(chǔ)庫(kù)216隨同其關(guān)聯(lián)用戶公開(kāi)密鑰證書(shū)220一起以受保護(hù)的方式存儲(chǔ)用戶私有密鑰218�;用戶私有密鑰218可使用口令214或某種其它秘密信息來(lái)加密,或者它可通過(guò)某種其它手段加以保護(hù)����。用戶設(shè)備200可支持很多不同類型的應(yīng)用,例如萬(wàn)維網(wǎng)瀏覽器應(yīng)用����,并且客戶端數(shù)據(jù)存儲(chǔ)庫(kù)216可采用多種不同形式作為一個(gè)或多個(gè)數(shù)據(jù)存儲(chǔ)庫(kù)實(shí)現(xiàn),包括各種應(yīng)用內(nèi)或由其控制的存儲(chǔ)��。
用戶設(shè)備200還支持網(wǎng)格-客戶端應(yīng)用230��,即允許客戶端應(yīng)用請(qǐng)求或訪問(wèn)網(wǎng)格234內(nèi)的服務(wù)/資源232��;網(wǎng)格-客戶端應(yīng)用230的形式可以變化�,例如獨(dú)立程序、小應(yīng)用程序或者某種形式的軟件模塊���。如上所述�����,網(wǎng)格是很多計(jì)算機(jī)的邏輯/虛擬組織���,用于提供計(jì)算能力和數(shù)據(jù)存儲(chǔ)能力的集體共享����,同時(shí)保持單個(gè)計(jì)算機(jī)上的本地自主控制���。由于網(wǎng)格是一個(gè)或多個(gè)網(wǎng)絡(luò)內(nèi)的物理支持單元的虛擬組織����,并且由于網(wǎng)絡(luò)202代表一個(gè)或多個(gè)網(wǎng)絡(luò)(其可包括因特網(wǎng))���,網(wǎng)格234在圖2A內(nèi)被示出為網(wǎng)絡(luò)202內(nèi)的資源的子集��。
在本發(fā)明的優(yōu)選實(shí)現(xiàn)中�,網(wǎng)格-客戶端應(yīng)用230根據(jù)Globus Toolkit工作����,下面將對(duì)其各方面進(jìn)行簡(jiǎn)要的描述。通過(guò)使用“globusrun”命令將作業(yè)提交到網(wǎng)格中�����,并且每個(gè)作業(yè)伴隨有X.509代理證書(shū)��,其用來(lái)認(rèn)證用戶或網(wǎng)格客戶端����。因此,代理證書(shū)必須在可以在網(wǎng)格上運(yùn)行作業(yè)之前創(chuàng)建�。
當(dāng)網(wǎng)格客戶端將代理證書(shū)傳輸?shù)骄W(wǎng)格服務(wù)時(shí),網(wǎng)格客戶端授予該網(wǎng)格服務(wù)如同其就是網(wǎng)格客戶端一樣被其它網(wǎng)格服務(wù)授權(quán)的權(quán)利��。當(dāng)在網(wǎng)格內(nèi)處理作業(yè)時(shí)��,可觸發(fā)多個(gè)服務(wù)��,以幫助處理所提交的作業(yè)�。由于代理證書(shū)伴隨網(wǎng)格內(nèi)的作業(yè),因此它有利于網(wǎng)格內(nèi)的單次登錄操作���;認(rèn)證詢問(wèn)不針對(duì)每個(gè)對(duì)網(wǎng)格資源或服務(wù)的訪問(wèn)而生成��。
代理證書(shū)是具有有限生存期的短期會(huì)話證書(shū)��,該生存期典型地為數(shù)小時(shí)左右���。特定代理證書(shū)基于特定公開(kāi)密鑰證書(shū);在公開(kāi)密鑰證書(shū)內(nèi)標(biāo)識(shí)的主體可生成代理證書(shū)���。使用公開(kāi)密鑰證書(shū)內(nèi)的特定公開(kāi)密鑰的對(duì)應(yīng)私有密鑰對(duì)代理證書(shū)進(jìn)行數(shù)字簽名����,從而允許根據(jù)隱含在X.509證書(shū)的使用中的分級(jí)信任路徑證實(shí)代理證書(shū),下面將對(duì)此進(jìn)行更詳細(xì)的說(shuō)明��。
在圖2A所示的例子中�����,網(wǎng)格認(rèn)證中心(CA)236例如以類似于上面關(guān)于圖1C和1D所述的方式向?qū)⒃诰W(wǎng)格234內(nèi)使用證書(shū)的用戶簽發(fā)證書(shū)�。在可選實(shí)施例中,可采用與網(wǎng)格無(wú)關(guān)的不同CA�����,例如�����,被委托為除支持網(wǎng)格234的組織之外的其它組織簽發(fā)證書(shū)的第三方廠商���。然而��,為了獲得網(wǎng)格234內(nèi)的單次登錄操作的益處��,應(yīng)當(dāng)假定�,網(wǎng)格234內(nèi)的所有資源都信任給定CA���,如CA 236����。換句話說(shuō)�����,網(wǎng)格CA 236被認(rèn)為是關(guān)于網(wǎng)格234的根CA����。然而,對(duì)于本發(fā)明����,假定公開(kāi)密鑰證書(shū)220和網(wǎng)格資源/服務(wù)232的用戶/主體都信任網(wǎng)格CA 236就足夠。
公開(kāi)密鑰證書(shū)220由CA 236使用其私有密鑰進(jìn)行過(guò)簽名�����。一般而言�,當(dāng)用戶設(shè)備200通過(guò)向服務(wù)232發(fā)送事務(wù)請(qǐng)求消息來(lái)向服務(wù)232發(fā)起事務(wù)時(shí),它采取其私有密鑰218對(duì)事務(wù)相關(guān)消息進(jìn)行簽名。用戶設(shè)備200可將公開(kāi)密鑰證書(shū)220的副本隨同事務(wù)相關(guān)消息一起傳輸?shù)椒?wù)232����,或者服務(wù)232可從已知位置如LDAP目錄獲得公開(kāi)密鑰證書(shū)220的副本。使用公開(kāi)密鑰證書(shū)220中與用來(lái)對(duì)事務(wù)相關(guān)消息進(jìn)行簽名的私有密鑰218對(duì)應(yīng)的公開(kāi)密鑰��,服務(wù)232證實(shí)事務(wù)相關(guān)消息上的數(shù)字簽名��。
以類似的方式��,服務(wù)232使用CA 236的公開(kāi)密鑰證書(shū)的副本中與用來(lái)對(duì)公開(kāi)密鑰證書(shū)220進(jìn)行簽名的CA私有密鑰對(duì)應(yīng)的公開(kāi)密鑰��,證實(shí)所接收或所檢索的公開(kāi)密鑰證書(shū)220的副本的真實(shí)性���。服務(wù)232可從已知位置獲得CA 236的公開(kāi)密鑰證書(shū)的副本��,或者還可隨同事務(wù)相關(guān)消息一起傳輸CA 236的公開(kāi)密鑰證書(shū)的副本����;用戶設(shè)備200可存儲(chǔ)CA公開(kāi)密鑰證書(shū)238的副本����。以這種方式,形成所謂的分級(jí)信任鏈��、信任路徑或證書(shū)路徑;必要時(shí)���,證實(shí)可沿著信任路徑繼續(xù)直到根CA����。由于服務(wù)232隱含地信任CA 236����,因此服務(wù)232被認(rèn)為是信任該事務(wù)相關(guān)消息是由在公開(kāi)密鑰證書(shū)220內(nèi)標(biāo)識(shí)的主體真實(shí)生成的�。
以類似的方式,用戶設(shè)備200可擔(dān)當(dāng)認(rèn)證中心來(lái)生成使用私有密鑰218簽名的代理證書(shū)240���;所生成的代理證書(shū)包含唯一名稱和非對(duì)稱密鑰對(duì)的公開(kāi)密鑰��。當(dāng)代理證書(shū)240由用戶設(shè)備200傳輸?shù)椒?wù)232時(shí)�����,服務(wù)232必要時(shí)可使用公開(kāi)密鑰證書(shū)220��、CA公開(kāi)密鑰證書(shū)238和信任路徑中的其它證書(shū)證實(shí)代理證書(shū)240的信任路徑����。由于代理證書(shū)240的性質(zhì),服務(wù)232因而可以相對(duì)于其它服務(wù)擔(dān)當(dāng)代表用戶設(shè)備200的代理��。
如上所述�����,在本發(fā)明的優(yōu)選實(shí)現(xiàn)中���,網(wǎng)格-客戶端應(yīng)用230根據(jù)GlobusToolkit工作��,并且代理證書(shū)必須使用Globus Toolkit在可以在網(wǎng)格上運(yùn)行作業(yè)之前創(chuàng)建����?�!癵rid-proxy-init(網(wǎng)格代理發(fā)起)”命令創(chuàng)建代理證書(shū)��,它將該代理證書(shū)存儲(chǔ)在特定文件內(nèi)���。在一種實(shí)現(xiàn)中����,該文件存儲(chǔ)在路徑名“/tmp/<filename>”處��,其中該文件名為“x509up_u<uid>”,并且其中用戶標(biāo)識(shí)符與運(yùn)行“grid-proxy-init”命令的用戶相關(guān)聯(lián)����。該文件隨同其對(duì)應(yīng)的私有密鑰以及作為代理證書(shū)的基礎(chǔ)的公開(kāi)密鑰證書(shū)的副本一起存儲(chǔ)代理證書(shū)。
用來(lái)對(duì)代理證書(shū)進(jìn)行數(shù)字簽名的用戶私有密鑰在不同文件內(nèi)保持加密��;在一種實(shí)現(xiàn)中�����,它存儲(chǔ)在文件“$HOME/.globus/userkey.pem”中��。該私有密鑰可以通過(guò)用戶的網(wǎng)格口令來(lái)訪問(wèn)���;在一種實(shí)現(xiàn)中,該口令是在通過(guò)使用“grid-cert-request(網(wǎng)格證書(shū)請(qǐng)求)”命令由網(wǎng)格認(rèn)證中心創(chuàng)建用戶的公開(kāi)密鑰證書(shū)時(shí)由用戶提供的相同口令��。
因此��,當(dāng)用戶操作網(wǎng)格-客戶端應(yīng)用230時(shí)�,網(wǎng)格-客戶端應(yīng)用230使用存儲(chǔ)在特定文件中的代理證書(shū);“grid-proxy-init”應(yīng)當(dāng)已被預(yù)先運(yùn)行以創(chuàng)建代理證書(shū)����。當(dāng)調(diào)用“globusrun”命令時(shí)��,執(zhí)行例程知道從其檢索代理證書(shū)以伴隨提交到網(wǎng)格中的作業(yè)的文件位置�。
如上所述�,通過(guò)使用代理證書(shū)而實(shí)現(xiàn)的網(wǎng)格單次登錄功能性僅應(yīng)用于網(wǎng)格內(nèi)的資源。因此��,在用戶通過(guò)網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器完成了關(guān)于網(wǎng)絡(luò)的認(rèn)證操作之后��,將通過(guò)網(wǎng)格-客戶端應(yīng)用向用戶詢問(wèn)以完成關(guān)于網(wǎng)格的另一認(rèn)證操作�。因此,在現(xiàn)有技術(shù)中����,用戶通常需要通過(guò)兩次認(rèn)證詢問(wèn)以獲得對(duì)網(wǎng)格內(nèi)的資源的訪問(wèn),這有悖于單次登錄操作概念���,并且減弱了在網(wǎng)格基礎(chǔ)結(jié)構(gòu)內(nèi)包括單次登錄功能性的努力���。本發(fā)明提供了對(duì)該問(wèn)題的解決方案。
現(xiàn)在參照?qǐng)D2B�����,其是示出了根據(jù)本發(fā)明實(shí)施例的包括訪問(wèn)網(wǎng)絡(luò)和網(wǎng)格的用戶設(shè)備的數(shù)據(jù)處理系統(tǒng)的方框圖��。圖2B類似于圖2A,并且類似的附圖標(biāo)記表示相同的部件����。然而,在圖2B的例子中�,用戶注冊(cè)中心中的用戶帳戶信息被修改成包括每個(gè)網(wǎng)格用戶的受保護(hù)私有密鑰218和公開(kāi)密鑰證書(shū)220的副本。另外����,圖2A中的網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器和用戶設(shè)備被修改成包括附加功能性。在圖2B中����,網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器250包括網(wǎng)格代理證書(shū)生成器252��,并且用戶設(shè)備260包括修改的撥號(hào)程序262�。下面將對(duì)采用修改的帳戶信息和附加功能性的方式做進(jìn)一步的詳細(xì)描述。
現(xiàn)在參照?qǐng)D3��,其是示出了根據(jù)本發(fā)明實(shí)施例的用于在用戶注冊(cè)中心內(nèi)建立網(wǎng)格相關(guān)信息的過(guò)程的流程圖�����。該過(guò)程以在由網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器如RADIUS服務(wù)器使用的用戶注冊(cè)數(shù)據(jù)庫(kù)內(nèi)建立用戶帳戶的典型用戶注冊(cè)操作(步驟302)開(kāi)始�;該用戶注冊(cè)操作基本上類似于在圖2A所示的數(shù)據(jù)處理系統(tǒng)內(nèi)所需的用戶注冊(cè)操作��。隨后�����,網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器使用用戶注冊(cè)中心以確定是否應(yīng)當(dāng)允許用戶訪問(wèn)網(wǎng)絡(luò)���。
然而,與圖2A所示的數(shù)據(jù)處理系統(tǒng)不同的是��,如果特定用戶要受益于本發(fā)明����,則圖2B所示的數(shù)據(jù)處理系統(tǒng)需要在該特定用戶的帳戶信息內(nèi)存儲(chǔ)附加信息。因此�����,在用戶注冊(cè)操作期間�,還與用戶的其它帳戶信息相關(guān)聯(lián)地存儲(chǔ)用戶的私有密鑰和用戶的公開(kāi)密鑰證書(shū)(步驟304),這就完成了修改的登記過(guò)程��。用戶的私有密鑰最好以某種方式例如通過(guò)以用戶口令對(duì)其進(jìn)行加密而加以保護(hù)�。這些數(shù)據(jù)項(xiàng)可通過(guò)本發(fā)明范圍之外(out-of-band)的過(guò)程傳輸給帳戶登記者;例如,系統(tǒng)管理員可負(fù)責(zé)直接從用戶獲得用戶的私有密鑰和用戶公開(kāi)密鑰證書(shū)��。
現(xiàn)在參照?qǐng)D4�,其是示出了根據(jù)本發(fā)明實(shí)施例的用于將網(wǎng)絡(luò)訪問(wèn)的認(rèn)證操作與網(wǎng)格訪問(wèn)的認(rèn)證操作集成在一起以提供組合網(wǎng)絡(luò)和網(wǎng)格單次登錄操作的服務(wù)器端過(guò)程的流程圖。圖4示出單次登錄操作處理在服務(wù)器上發(fā)生的部分��,而圖5示出單次登錄操作處理在用戶設(shè)備上發(fā)生的部分�����。該過(guò)程以網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作(步驟402)開(kāi)始���。假定用戶被成功地認(rèn)證����;如果否���,則將返回適當(dāng)?shù)木芙^響應(yīng)�。例如�����,具有擴(kuò)展功能性例如圖2B所示的網(wǎng)格代理證書(shū)生成器功能的RADIUS服務(wù)器�,如上面關(guān)于圖2A所述,根據(jù)RADIUS協(xié)議執(zhí)行認(rèn)證操作�����。
然而�,在為成功的認(rèn)證返回網(wǎng)絡(luò)訪問(wèn)參數(shù)之前,網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器獲得用戶私有密鑰的副本和用戶公開(kāi)密鑰證書(shū)的副本(步驟404)����,例如,來(lái)自用戶帳戶注冊(cè)中心的副本��;如果用戶的私有密鑰受到保護(hù)�,則對(duì)用戶私有密鑰的加密副本進(jìn)行解密。假定例如通過(guò)完成圖3所示的過(guò)程�����,用戶的帳戶信息包含用戶私有密鑰的副本和用戶公開(kāi)密鑰證書(shū)的副本�����,盡管在存在不訪問(wèn)網(wǎng)格的一些用戶的情況下����,可以以有選擇的方式控制步驟404和406��。例如���,用戶的帳戶信息可包括表示用戶是否是需要集成網(wǎng)絡(luò)-網(wǎng)格單次登錄操作的網(wǎng)格用戶的值。
假定用戶需要訪問(wèn)網(wǎng)格�,則網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器以類似于上述方式的方式生成代理證書(shū)(步驟406);代理證書(shū)包含從用戶的公開(kāi)密鑰證書(shū)拷貝的一些信息�,例如“主體”標(biāo)識(shí)符,并且以用戶的私有密鑰對(duì)代理證書(shū)進(jìn)行數(shù)字簽名�。然后,網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器隨同網(wǎng)絡(luò)訪問(wèn)參數(shù)一起返回代理證書(shū)(步驟408)���,由此完成集成的認(rèn)證過(guò)程����。例如�����,具有擴(kuò)展功能性例如圖2B所示的網(wǎng)格代理證書(shū)生成器功能的RADIUS服務(wù)器能夠在允許廠商支持RADIUS協(xié)議內(nèi)的擴(kuò)展屬性的廠商特定屬性(VSA)內(nèi)返回代理證書(shū)���。
現(xiàn)在參照?qǐng)D5����,其是示出了根據(jù)本發(fā)明實(shí)施例的用于將網(wǎng)絡(luò)訪問(wèn)的認(rèn)證操作與網(wǎng)格訪問(wèn)的認(rèn)證操作集成在一起以提供組合網(wǎng)絡(luò)和網(wǎng)格單次登錄操作的客戶端過(guò)程的流程圖���。該過(guò)程以用戶設(shè)備在試圖獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)時(shí)發(fā)起和參與網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作(步驟502)開(kāi)始�����。
在隨后某個(gè)時(shí)間點(diǎn)��,從網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器返回一組網(wǎng)絡(luò)訪問(wèn)參數(shù)�����,用戶設(shè)備存儲(chǔ)其以用于生成用于在網(wǎng)絡(luò)上通信的適當(dāng)網(wǎng)絡(luò)分組�。先前已在用戶設(shè)備上配置了修改的撥號(hào)程序���;修改的撥號(hào)程序參與網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作���,并且修改的撥號(hào)程序處理所返回的網(wǎng)絡(luò)訪問(wèn)參數(shù)。當(dāng)返回了網(wǎng)絡(luò)訪問(wèn)參數(shù)時(shí)�����,修改的撥號(hào)程序檢測(cè)代理證書(shū)的存在(步驟504)�。修改的撥號(hào)程序提取代理證書(shū)���,并且將其存儲(chǔ)在用戶設(shè)備上的適當(dāng)文件中(步驟506),從而完成該過(guò)程�����。例如��,如果通過(guò)使用Globus Toolkit的應(yīng)用配置了用戶設(shè)備��,則修改的撥號(hào)程序創(chuàng)建包含代理證書(shū)的文件��。
在本發(fā)明中����,典型的用戶設(shè)備和典型的網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器被修改成適應(yīng)代理證書(shū)的傳輸。將代理證書(shū)從網(wǎng)絡(luò)認(rèn)證服務(wù)器傳輸?shù)接脩粼O(shè)備的方式在本發(fā)明的不同實(shí)施例中可以變化��。在本發(fā)明的優(yōu)選實(shí)施例中���,用戶設(shè)備和網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器支持如下所述的功能性���。
用戶設(shè)備使用PPP可擴(kuò)展認(rèn)證協(xié)議(與點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)相關(guān)并且縮寫(xiě)為EAP)與網(wǎng)絡(luò)訪問(wèn)設(shè)備通信;EAP定義在Blunk等人的“PPP ExtensibleAuthentication Protocol(EAP)”���,RFC 2284�����,因特網(wǎng)工程任務(wù)組(IETF)���,1998年3月內(nèi)。如在RFC 2284內(nèi)所描述的那樣�,PPP提供用于在點(diǎn)對(duì)點(diǎn)鏈路上傳輸多協(xié)議數(shù)據(jù)報(bào)的標(biāo)準(zhǔn)方法。為了在點(diǎn)對(duì)點(diǎn)鏈路上建立通信��,PPP鏈路的每端必須初始發(fā)送鏈路控制協(xié)議(LCP)分組�,以在鏈路建立階段期間配置數(shù)據(jù)鏈路。在建立了鏈路之后���,PPP在進(jìn)入網(wǎng)絡(luò)層協(xié)議階段之前提供可選的認(rèn)證短語(yǔ)���。缺省地,認(rèn)證不是強(qiáng)制性的�����,但是如果需要鏈路認(rèn)證��,則其實(shí)現(xiàn)必須在鏈路建立階段期間指定認(rèn)證協(xié)議配置選項(xiàng);EAP定義特定認(rèn)證協(xié)議��。當(dāng)?shù)竭_(dá)連接認(rèn)證階段時(shí)�,端點(diǎn)設(shè)備(有時(shí)稱作“對(duì)等方”)協(xié)商使用稱作EAP類型的特定EAP認(rèn)證方案。
EAP定義請(qǐng)求分組和響應(yīng)分組���;每個(gè)請(qǐng)求具有類型字段����,其表示正在請(qǐng)求什么信息�����。EAP定義用于請(qǐng)求/響應(yīng)交換的一組初始EAP類型�。一旦商定EAP類型,則EAP允許在用戶設(shè)備(訪問(wèn)客戶端)和網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器(例如�,RADIUS服務(wù)器)之間進(jìn)行可擴(kuò)充的(open-ended)的消息交換,其可以根據(jù)參數(shù)和連接需要而變化����。端點(diǎn)之間的對(duì)話包括一系列認(rèn)證信息請(qǐng)求和響應(yīng)。
本發(fā)明可使用EAP定義的“類型6”���,其典型地用于支持需要用戶輸入的一般性標(biāo)記卡���。該請(qǐng)求典型地包含ASCII文本消息�?����;貜?fù)典型地包含認(rèn)證所需的標(biāo)記卡信息�;典型地���,這將是由用戶從標(biāo)記卡設(shè)備讀取然后作為ASCII文本輸入的信息�����。
在優(yōu)選實(shí)施例中�,在已經(jīng)向用戶設(shè)備請(qǐng)求并且從用戶設(shè)備接收認(rèn)證信息(用戶名/口令)之后����,將代理證書(shū)作為“類型6”的EAP請(qǐng)求傳輸?shù)接脩粼O(shè)備,該EAP請(qǐng)求可具有多達(dá)64千字節(jié)的可變長(zhǎng)度���,這大于足以保存代理證書(shū)的長(zhǎng)度�;代理證書(shū)可根據(jù)各種算法如UU編碼被變換成全ASCII文本串。
以這種方式�����,該數(shù)據(jù)字段被“過(guò)載”以承載不同于EAP規(guī)范所預(yù)期的數(shù)據(jù)有效載荷�。這樣,來(lái)自用戶設(shè)備的EAP響應(yīng)的內(nèi)容可具有各種信息����,如確認(rèn)或可變啞數(shù)據(jù)。
EAP被設(shè)計(jì)成在兩個(gè)端點(diǎn)處都允許認(rèn)證插入式模塊�,從而允許廠商具有提供新認(rèn)證方案的機(jī)會(huì)。用戶設(shè)備上經(jīng)修改的撥號(hào)程序識(shí)別過(guò)載的“類型6”EAP請(qǐng)求���,提取ASCII文本的內(nèi)容有效載荷�����;必要時(shí)��,它例如通過(guò)UU解碼算法變換該ASCII文本�����,以獲得代理證書(shū)����,然后,它將其存儲(chǔ)在適當(dāng)?shù)奈恢?,例如,如上所述由網(wǎng)格-客戶端應(yīng)用使用的文件中�。
網(wǎng)絡(luò)訪問(wèn)設(shè)備僅傳輸認(rèn)證分組的內(nèi)容,從而網(wǎng)絡(luò)訪問(wèn)設(shè)備不受傳輸代理證書(shū)的方式的影響��。在實(shí)現(xiàn)RADIUS協(xié)議的本發(fā)明優(yōu)選實(shí)施例中���,網(wǎng)絡(luò)訪問(wèn)設(shè)備支持所謂的“RADIUS上的EAP”�����,其通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備將任何EAP類型的EAP消息傳到RADIUS服務(wù)器。在訪問(wèn)客戶端(用戶設(shè)備)與RADIUS服務(wù)器之間發(fā)送的EAP消息被格式化為“EAP消息”屬性����,并且在網(wǎng)絡(luò)訪問(wèn)設(shè)備與RADIUS服務(wù)器之間的RADIUS消息中發(fā)送。這樣��,網(wǎng)絡(luò)訪問(wèn)設(shè)備成為在訪問(wèn)客戶端與RADIUS服務(wù)器之間傳遞EAP消息的中介設(shè)備���;EAP消息的處理發(fā)生在訪問(wèn)客戶端和RADIUS服務(wù)器處而非網(wǎng)絡(luò)訪問(wèn)設(shè)備處���。
網(wǎng)絡(luò)訪問(wèn)設(shè)備只需支持作為認(rèn)證協(xié)議的EAP的協(xié)商以及向RADIUS服務(wù)器傳遞EAP消息�����,這是由市場(chǎng)上可買到的很多網(wǎng)絡(luò)訪問(wèn)設(shè)備提供的功能性���。應(yīng)當(dāng)注意的是,“EAP消息”屬性定義在Rigney等人的“RADIUS Extensions”�,RFC 2869,IETF�����,2000年6月中���。因此�,在本發(fā)明的優(yōu)選實(shí)施例中��,網(wǎng)絡(luò)訪問(wèn)設(shè)備被配置成使用EAP并且使用RADIUS作為其認(rèn)證提供者���。當(dāng)進(jìn)行連接嘗試時(shí)���,用戶設(shè)備與網(wǎng)絡(luò)訪問(wèn)設(shè)備協(xié)商EAP的使用�。當(dāng)用戶設(shè)備將EAP消息發(fā)送到網(wǎng)絡(luò)訪問(wèn)設(shè)備時(shí)��,網(wǎng)絡(luò)訪問(wèn)設(shè)備將EAP消息封裝為RADIUS消息����,并且將其發(fā)送到其配置的RADIUS服務(wù)器。RADIUS服務(wù)器處理EAP消息��,并且將RADIUS格式的EAP消息發(fā)送回到網(wǎng)絡(luò)訪問(wèn)設(shè)備����,然后,網(wǎng)絡(luò)訪問(wèn)設(shè)備將EAP消息轉(zhuǎn)發(fā)給用戶設(shè)備����。
通過(guò)上面提供的詳細(xì)描述,本發(fā)明的優(yōu)點(diǎn)應(yīng)當(dāng)是清楚的�����。網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器如RADIUS服務(wù)器的用戶注冊(cè)中心被配置成保存用戶的私有密鑰和用戶的公開(kāi)密鑰證書(shū)��,然后其在例如根據(jù)RADIUS協(xié)議實(shí)現(xiàn)的網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作期間對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器可得����。使用用戶注冊(cè)中心中的信息,網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器能夠在對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作期間生成用戶的代理證書(shū)�����。通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備將代理證書(shū)隨同網(wǎng)絡(luò)訪問(wèn)參數(shù)一起返回給用戶設(shè)備����。將代理證書(shū)存儲(chǔ)在用戶設(shè)備的適當(dāng)位置上,然后當(dāng)將作業(yè)提交到網(wǎng)格中時(shí)�,代理證書(shū)對(duì)網(wǎng)格-客戶端應(yīng)用可得。
在某個(gè)隨后的時(shí)間點(diǎn)��,網(wǎng)格-客戶端應(yīng)用準(zhǔn)備將作業(yè)提交到網(wǎng)格中�����。當(dāng)網(wǎng)格-客戶端應(yīng)用找到先前在網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作期間存儲(chǔ)的新的有效代理證書(shū)時(shí)��,網(wǎng)格-客戶端應(yīng)用使用它����。因此,此時(shí)不需要在用戶設(shè)備上生成新代理證書(shū)這一事實(shí)消除了對(duì)與新代理證書(shū)的生成相關(guān)聯(lián)的認(rèn)證操作的需要����。以這種方式����,對(duì)于網(wǎng)絡(luò)訪問(wèn)和網(wǎng)格訪問(wèn)����,僅執(zhí)行一個(gè)認(rèn)證操作,從而為網(wǎng)絡(luò)和網(wǎng)格的用戶實(shí)現(xiàn)單次登錄的體驗(yàn)�。
值得注意的是,雖然本發(fā)明是在全功能數(shù)據(jù)處理系統(tǒng)的上下文中描述的��,但是本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解���,本發(fā)明的過(guò)程能夠以計(jì)算機(jī)可讀介質(zhì)中的指令的形式和各種其它形式分發(fā)��,而不管實(shí)際用來(lái)執(zhí)行分發(fā)的信號(hào)承載介質(zhì)的特定類型���。計(jì)算機(jī)可讀介質(zhì)的例子包括諸如EPROM、ROM����、磁帶����、紙�、軟盤��、硬盤驅(qū)動(dòng)器��、RAM和CD-ROM的介質(zhì)以及諸如數(shù)字和模擬通信鏈路的傳輸型介質(zhì)���。
方法一般地被表達(dá)為自相容的產(chǎn)生期望結(jié)果的步驟序列�。這些步驟需要對(duì)物理量的物理操縱���。通常���,盡管不一定,這些量采取能夠被存儲(chǔ)�����、傳輸�、組合、比較和按照其它方式操縱的電或磁信號(hào)的形式���。主要是由于常用的原因���,有時(shí)將這些信號(hào)稱為位�����、值�、參數(shù)��、項(xiàng)目����、元素、對(duì)象��、符號(hào)�����、字符��、術(shù)語(yǔ)�����、數(shù)字等是方便的��。然而�,應(yīng)當(dāng)注意的是,所有這些術(shù)語(yǔ)和類似術(shù)語(yǔ)要與適當(dāng)?shù)奈锢砹肯嚓P(guān)聯(lián)�����,并且它們僅是應(yīng)用于這些量的方便標(biāo)注����。
本發(fā)明的描述是為了示例說(shuō)明的目的而提供的,而不旨在是徹底無(wú)遺漏的�,或者局限于所公開(kāi)的實(shí)施例。很多修改和變更對(duì)于本領(lǐng)域的普通技術(shù)人員將是清楚的���。選擇這些實(shí)施例是為了說(shuō)明本發(fā)明的原理及其實(shí)際應(yīng)用�����,并且使得本領(lǐng)域的其他普通技術(shù)人員能夠理解本發(fā)明��,以便實(shí)現(xiàn)可能適于其他預(yù)期用途的具有各種修改的各種實(shí)施例�。
權(quán)利要求
1.一種用于認(rèn)證操作的方法��,該方法包括通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備從用戶設(shè)備向網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器發(fā)起網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作�����;響應(yīng)于網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的成功完成,在用戶設(shè)備處接收包括一組網(wǎng)絡(luò)訪問(wèn)參數(shù)的信息����;從所接收的信息中提取代理證書(shū);以及在用戶設(shè)備處存儲(chǔ)代理證書(shū)��。
2.如權(quán)利要求1所述的方法��,還包括通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備將事務(wù)請(qǐng)求消息發(fā)送到網(wǎng)格內(nèi)�;以及將代理證書(shū)提供給網(wǎng)格。
3.如權(quán)利要求2所述的方法���,其特征在于���,使用Globus Toolkit通過(guò)軟件執(zhí)行關(guān)于網(wǎng)格的操作。
4.如權(quán)利要求1所述的方法����,其特征在于,使用遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作�。
5.一種可裝載到數(shù)字計(jì)算機(jī)的內(nèi)部存儲(chǔ)器中的計(jì)算機(jī)程序產(chǎn)品,包括用于當(dāng)在計(jì)算機(jī)上運(yùn)行所述產(chǎn)品時(shí)執(zhí)行以實(shí)現(xiàn)如權(quán)利要求1至4所述的本發(fā)明的軟件代碼部分�。
6.一種用于認(rèn)證操作的裝置����,該裝置包括用于通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備從用戶設(shè)備向網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器發(fā)起網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的部件���;用來(lái)響應(yīng)于網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的成功完成而在用戶設(shè)備處接收包括一組網(wǎng)絡(luò)訪問(wèn)參數(shù)的信息的部件;用于從所接收的信息中提取代理證書(shū)的部件����;以及用于在用戶設(shè)備處存儲(chǔ)代理證書(shū)的部件。
7.如權(quán)利要求6所述的裝置���,還包括用于通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備將事務(wù)請(qǐng)求消息發(fā)送到網(wǎng)格內(nèi)的部件�����;以及用于將代理證書(shū)提供給網(wǎng)格的部件��。
8.如權(quán)利要求7所述的裝置�����,其特征在于�����,使用Globus Toolkit通過(guò)軟件執(zhí)行關(guān)于網(wǎng)格的操作�����。
9.如權(quán)利要求6所述的裝置���,其特征在于�����,使用遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)協(xié)議執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作��。
全文摘要
用戶設(shè)備通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備向網(wǎng)絡(luò)訪問(wèn)認(rèn)證服務(wù)器例如遠(yuǎn)程認(rèn)證撥入用戶服務(wù)(RADIUS)服務(wù)器發(fā)起網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作����,還生成X.509代理證書(shū)�,并且在響應(yīng)網(wǎng)絡(luò)訪問(wèn)認(rèn)證操作的成功完成而返回給用戶設(shè)備的信息如一組網(wǎng)絡(luò)訪問(wèn)參數(shù)中包括代理證書(shū)。用戶設(shè)備提取并存儲(chǔ)代理證書(shū)�。網(wǎng)絡(luò)訪問(wèn)參數(shù)由用戶設(shè)備用來(lái)通過(guò)網(wǎng)絡(luò)訪問(wèn)設(shè)備在支持網(wǎng)格的網(wǎng)絡(luò)上進(jìn)行通信。當(dāng)用戶設(shè)備訪問(wèn)網(wǎng)格中的資源時(shí)����,代理證書(shū)已經(jīng)可用,從而消除了生成新代理證書(shū)的需要����,并且允許用戶設(shè)備的用戶體驗(yàn)網(wǎng)絡(luò)訪問(wèn)和網(wǎng)格訪問(wèn)的集成單次登錄�。
文檔編號(hào)G06F21/00GK1701295SQ200480000730
公開(kāi)日2005年11月23日 申請(qǐng)日期2004年6月8日 優(yōu)先權(quán)日2003年7月1日
發(fā)明者丹尼斯·M·根蒂, 肖恩·P·馬倫 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司