CN1691587A - 授权访问网格资源所用的方法和装置 - Google Patents
授权访问网格资源所用的方法和装置 Download PDFInfo
- Publication number
- CN1691587A CN1691587A CNA2005100591816A CN200510059181A CN1691587A CN 1691587 A CN1691587 A CN 1691587A CN A2005100591816 A CNA2005100591816 A CN A2005100591816A CN 200510059181 A CN200510059181 A CN 200510059181A CN 1691587 A CN1691587 A CN 1691587A
- Authority
- CN
- China
- Prior art keywords
- user
- certificate
- handling system
- data handling
- devolution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
公开了授权访问网格资源所用的方法和装置。访问所述数据处理系统中资源的请求被接收。这项请求包括对发出所述请求的所述用户进行验证中使用的证书。使用所述证书执行验证过程。如果验证了所述用户,就对所述证书中是否指定了授权代理进行判断。如果所述证书中指定了所述授权代理,就向所述授权代理请求所述用户的映射。响应于接收到所述用户的映射,使用所述映射把所述用户映射到所述数据处理系统中的本机用户,其中,所述用户作为本机用户访问所述数据处理系统中的资源。如果没有指定授权代理,就拒绝所述用户访问所述资源。
Description
技术领域
一般说来,本发明涉及改进的数据处理系统,确切地说,涉及访问网上资源所用的改进的方法和装置。更加确切地说,本发明涉及授权用户访问网上资源所用的方法、装置和计算机指令。
背景技术
网络数据处理系统通常用于商务和科研的各个方面。这些网络用于交换数据和思想,以及提供储存信息的仓库。在许多情况下,组成网络数据处理系统的不同节点可以用于处理信息。各个节点可以执行不同的任务。另外,使不同的节点协同工作去求解共同的问题(比如复杂的计算)变得更加常见。参与资源共享模式的一组节点也被称为“网格”或者“网格网络”。例如,网格网络中的若干节点可以共享处理资源以便执行复杂的计算,例如破译密钥。
网格网络中的所述节点可以包含在网络数据处理系统之内,例如局域网(LAN)或者广域网(WAN)。这些节点也可以位于天南海北的不同地点。例如,连接到因特网的不同计算机可以向网格网络提供处理资源。通过利用数千台独立的计算机,就能够快速求解若干大问题。网格使用在许多领域中,比如癌症研究、物理和地质科学。
通过使用软件方便了网格的建立和管理,比如由Globus工具箱和IBM网格工具箱提供的软件。所述Globus工具箱是建立网格中使用的开源工具箱。这种工具箱包括资源监控、探索和管理外加安全和文件管理所用的若干软件服务和程序库。所述工具箱由Globus联盟开发,它基于Argonne国家实验室、南加州大学信息科学院、芝加哥大学、爱丁堡大学以及瑞典并行计算机中心。所述IBM网格工具箱可以从国际商用机器系统公司(IBM)得到,与其系统一起使用。
目前通过使用户请求访问或者说使用网格资源,来授权用户访问不同的网格资源。网格资源就是为分布式计算提供的服务器或者服务。通过把请求访问网格资源的用户映射为本机用户,就对所述用户提供了访问。本机用户具有允许使用网格资源执行计算任务的特权。所述Globus工具箱和所述IBM网格工具箱采用网格映射文件将用户映射为本机身份。所述文件是网格身份到本机用户身份的、N到1的映射。目前,每个网格资源都必须有所述授权处理所用的网格映射文件。这个映射文件列出了被授权访问所述资源的每一个网格用户的身份。
因此,如果一个组织创建了包含500个数据处理系统的网格,那么每个数据处理系统都需要有网格映射文件,以便列出因特网或者内联网名称到本机用户名的映射。每次用户加入或者离开这个组织时,每个数据处理系统中的每个网格映射文件都需要更新。这种类型的更新可能冗长乏味,尤其是当某些网格包含数千个数据处理系统时。
因此,对授权用户访问网格资源的方法、装置以及计算机指令进行改进是有益的。
发明内容
本发明提供了一种方法、装置以及计算机指令,用于授权用户访问数据处理系统中的资源。访问所述数据处理系统中资源的请求被接收。这项请求包括对发出所述请求的所述用户进行验证中使用的证书。使用所述证书执行验证过程。如果验证了所述用户,就对所述证书中是否指定了授权代理进行判断。如果所述证书中指定了所述授权代理,就向所述授权代理请求所述用户的映射。响应于接收到所述用户的映射,使用所述映射把所述用户映射到所述数据处理系统中的本机用户,其中,所述用户作为本机用户访问所述数据处理系统中的资源。如果没有指定授权代理,就拒绝所述用户访问所述资源。
附图简要说明
在附带的权利要求书中阐明了本发明据信有特征的新颖特性。不过,连同附图参考一个展示性实施例的以下详细说明,将会最好地理解发明本身以及其使用的优选模式、进一步的目的和优点,其中:
图1是一幅示意图,表达了可以实施本发明的数据处理系统的网络;
图2是数据处理系统的框图,根据本发明的优选实施例可以实施为服务器;
图3是一幅框图,展示了可以实施本发明的数据处理系统;
图4是一幅示意图,展示了根据本发明优选实施例,在网络数据处理系统中分布式逻辑单元中使用的组件;
图5是一幅示意图,展示了根据本发明优选实施例,授权访问网格资源中使用的组件;
图6是一幅示意图,展示了根据本发明优选实施例,授权用户访问网格资源的证书;
图7是一幅处理流程图,用于根据本发明优选实施例为用户产生证书;
图8是一幅处理流程图,用于根据本发明优选实施例,授权用户访问网格资源。
具体实施方式
现在参考附图,图1中的示意图描绘了可以实施本发明的数据处理系统的网络。网络数据处理系统100是计算机网络,其中可以实施本发明。网络数据处理系统100包括网络102,它是为网络数据处理系统100之内连接在一起的多种设备和计算机之间提供通信链接所用的媒介。网络102可以包括若干连接,比如有线、无线通信连接或者光缆。
在所描绘的实例中,服务器104与存储单元106一起连接到网络102。此外,客户机108、110和112也连接到网络102。这些客户机108、110和112可以是例如个人计算机或者网络计算机。在所描绘的实例中,服务器104向客户机108-112提供数据,比如引导程序文件,操作系统影像以及应用程序。客户机108、110和112是服务器104的客户。网络数据处理系统100还可以包括另外的未显示的服务器、客户机以及其他设备。在所描绘的实例中,网络数据处理系统100是因特网,其中网络102表示使用传输控制协议/因特网协议(TCP/IP)组进行相互通信之网络和网关的全球集合。因特网的核心是主节点或主机之间高速数据通信线路的骨干网,连接着数千个用于路由数据和传递消息的商业、政府、教育以及其他行业的计算机系统。当然,网络数据处理系统100也可以实施为许多不同类型的网络,比如内联网、局域网(LAN)或广域网(WAN)。图1只是用作实例,而不是本发明的架构限制。
参考图2,根据本发明的优选实施例,描绘了数据处理系统的框图,它可以实施为服务器,比如图1中的服务器104。数据处理系统200可以是对称式多处理器(SMP)系统,包括连接到系统总线206的多个处理器202和204。作为选择,也可以采用单处理器系统。存储控制器/高速缓存208也连接到系统总线206上,它提供了到本机存储器209的接口。I/O总线桥接器210连接到系统总线206上,提供了到I/O总线212的接口。如图所示,存储控制器/高速缓存208和I/O总线桥接器210可以集成在一起。
连接到I/O总线212的外围组件互连(PCI)总线桥接器214提供了到PCI局域总线216的接口。PCI局域总线216可以连接多个调制解调器。典型的PCI总线实施方案将支持四个PCI扩展槽或者说内插附件连接器。通过以内插附件连接器连接到PCI局域总线216的调制解调器218和网络适配器220,可以提供图1中与客户机108-112的通信链接。
另外的PCI总线桥接器222和224为另外的PCI局域总线226和228提供了接口,可以支持另外的调制解调器或网络适配器。以这种方式,数据处理系统200能够连接到多台网络计算机。如图所示,存储器映射图形适配器230和硬盘232也可以或者直接地或者间接地连接到I/O总线212。
本领域的技术人员将会认同,图2所示的硬件可以改变。例如,其他某些外围设备,比如光盘驱动器等也可以加入或替换所示的硬件。所示实例并不意味着暗示对本发明的架构限制。
图2所示的数据处理系统可以是例如IBM eServer pServer系统,纽约州Armonk国际商用机器公司的产品,运行高级交互执行(AIX)操作系统或LINUX操作系统。
现在参考图3,框图展示了可以实施本发明的数据处理系统。数据处理系统300是客户机的实例。数据处理系统300采用外围组件互连(PCI)局域总线架构。尽管所示实例采用了PCI总线,但是也可以使用其他总线架构,比如加速图形端口(AGP)和工业标准架构(ISA)。处理器302和主存储器304通过PCI总线桥接器308连接到PCI局域总线306。PCI桥接器308也可以包括处理器302所用的集成存储控制器和高速缓存。通过直接组件互连或通过内插附件电路板,可以对PCI局域总线306进行另外的连接。在所示实例中,局域网(LAN)适配器310、SCSI主机总线适配器312和扩展总线接口314通过直接组件连接连接到PCI局域总线306。相反,音频适配器316、图形适配器318以及音频/视频适配器319通过插入扩展槽的内插附件电路板连接PCI局域总线306。扩展总线接口314为键盘和鼠标适配器320、调制解调器322以及附加存储器324提供连接。小型计算机系统接口(SCSI)主机总线适配器312为硬盘驱动器326、磁带驱动器328以及CD-ROM驱动器330提供连接。典型的PCI局域总线实施方案将支持三到四个PCI扩展槽或者说内插附件连接器。
本领域的技术人员将会认同,图3所示的硬件可以随所述实施而变。其他内部硬件或外围设备,比如闪速只读存储器(ROM)、等效非易失性存储器或光盘驱动器等可以加入或替换图3所示的硬件。此外,本发明的所述过程也可以应用于多处理器数据处理系统。
图3所示实例和上述实例并不意味着暗示架构限制。例如,数据处理系统300也可以是笔记本计算机或者存取PDA设备的掌上计算机。数据处理系统300也可以是信息站或网络家电。
现在参考图4,其中的示意图展示了根据本发明优选实施例,在网络数据处理系统中分布式逻辑单元中使用的组件。在这个实例中,节点400、402、404、406、408、410和412是网格414中的节点。节点416、418和420不是所述网格中的节点。这些节点可以位于网络数据处理系统中,比如图1的网络数据处理系统100。在这个实例中,这些节点都是网络的一部分,比如因特网、内联网、局域网、广域网或者这些和另外类型网络的某种组合。
目前,如果没有本发明,网格414中的每个节点都需要保留网格影射文件,它标识用户到本机用户的映射。例如,局域内联网名,C=US/O=IBM/CN=smullen@us.ibm.com,映射到本机用户名,比如“网格用户”。用户特权的任何改变、用户的加入和删除,都需要更新每个节点上的每个网格映射文件。
本发明提供的方法、装置和计算机指令在授权访问网格资源中,高效地管理和识别本机用户名。本发明的机制通过采用授权代理,避免了不得不使用在每个节点中保留的网格映射文件。所述授权代理在集中位置保留着用户到本机用户的所述映射。识别所述授权代理的信息包括在为请求访问网格资源而发送的所述证书中。如果所述证书验证了所述用户,本发明的所述机制就在所述证书中寻找所述授权代理的标志。如果授权代理不存在,那么尽管已经验证了所述用户,仍然拒绝其访问所述网格资源。这种特性能够应对以下情况:对于特定的网格资源,用户可能已经从本机映射中删除。在这种情况下,对于所述特定网格资源,所述用户不存在映射。可以容许所述用户仅仅使用某些资源,也可以拒绝所述用户访问全部所述资源。
现在转向图5,其中的示意图展示了根据本发明优选实施例,授权访问网格资源中使用的组件。在这个展示性实例中,在请求节点500的用户可以请求访问网格资源502。如上所述,网格资源是数据处理系统或者数据处理系统中的服务。
访问请求504包含着证书506。在这些展示性实例中,证书506是当前网格系统中验证用户使用的X.509证书。所述证书是证书授权机构发出的、与数字签名相关联的公共密钥。所述证书授权机构签发所述证书是通过在所述证书中产生所有字段的摘要或者说散列,并且用其私有密钥加密所述散列值。所述签名置于所述证书中。所述证书可以再由另一个证书授权机构签署,形成签署链,可以追踪到发现根证书。在这些展示性实例中,证书506具有标准的数字证书格式,作为本发明所述处理的一部分,用于验证所述用户。
网格资源502然后用证书506验证所述用户。验证就是为了保证资源访问而建立标识的过程。在这些实例中,使用X.509证书执行所述验证。通过将所述签名解密回所述散列值,进行核实所述“签署证书”的过程。如果所述解密成功,就核实了所述用户的所述标识。从所述证书中的所述原始数据重新计算所述散列,并且将其与所述解密的散列匹配。如果它们相符,就核实了所述证书的完整性。例如,证书506可以提供所述标识C=US/O=IBM/CN=smullen@us.ibm.com。
如果验证了所述用户,那么网格资源502就寻找授权代理的标识,比如授权代理505。如果这样的标识不存在,就拒绝对网格资源502的访问。在这些展示性实例中,通过所述Globus工具箱中的所述网守处理进行所述验证。这个网守是这个工具箱所述网格安全基础设施(GSI)的一部分。在这些展示性实例中把请求508发送到授权代理505。这项请求用于获得映射,把所述证书中识别的所述用户映射到所网格资源502的本机用户名。这项请求也可以包括以授权代理505验证网格资源502所用的证书。在这些展示性实例中,与所述授权代理的所述标识一起在证书506中提供这份证书。
授权代理505在映射文件510中寻找与请求508中提供的所述标识相关联的本机用户。在这个实例中,本机用户是网格用户。在响应512中,把这个本机用户名返回到网格资源502。然后使用本机用户名处理来自请求节点500的请求。
授权代理的所述标识在证书506中提供,在存在着不止一个授权代理的情况下避免需要在每个授权代理处都更新。例如,授权代理514可以具有在映射文件516中列出的用户,与映射文件510中不同。这些授权代理可以用企业标识映射(EIM)实现,它们是可以从国际商用机器公司获得的基础设施。这种类型的应用可以修改为包括本发明所述机制,用于把用户映射为网格的本机用户。
在这些展示性实例中,由授权代理505识别为网格资源502的本机用户能够访问网格资源502。根据为所述具体本机用户定义的所述特权提供所述访问。结果,按照从授权代理505返回到网格资源502的本机用户,可以对不同的用户提供不同级别的对网格资源502的访问。
作为附加特性,如果通过证书506验证了所述用户,网格资源502可以首先判断本机网格映射文件是否存在,比如网格映射文件518。如果网格映射文件518存在,那么网格资源502就不在证书506中寻找授权代理的标识。如果在网格映射文件518中存在着对所述用户的映射,那么就通过网格映射文件518中识别的本机用户提供对网格资源502的访问。否则,网格资源502可以寻找授权代理,如上所述。
现在转向图6,其中的示意图展示了根据本发明优选实施例,授权用户访问网格资源的证书。证书600可以是对网格资源识别和验证用户所用的证书,比如图5中的证书506。在这个展示性实例中,证书600是X.509 v3证书。证书600包含基本证书字段602、证书扩展604和证书路径确认606。这些字段是ANSI X9标准的一部分,据此开发了所述X509证书格式,其版本3包含扩展字段。在本发明的优选实施例中,这个字段包括了识别所述扩展之目的的关键字,比如,在“Authorizing Agent”之后跟随着所述授权代理的特定信息,比如主机名和端口。因此,所述字段可能看起来类似于“AuthorizingAgent:foo.foobar.com:4000”。其中所述授权代理机是foo,这台机器上寻找授权请求的所述端口是端口4000。
证书扩展604是为X.509v3证书定义的扩展。典型情况下,这个扩展用于将附加属性与用户或公共密钥相关联,以及管理认证体系。在所述展示性实例中,证书扩展604用于包括授权代理标识608和授权代理证书610。在这些展示性实例中,所述授权代理的所述标识可以是域名和处理请求所用的端口名。
下一步转向图7,其中的处理流程图用于根据本发明优选实施例为用户产生证书。图7所示的所述过程可以在授权代理处实施,比如图5中的授权代理505。
所述过程开始于接收访问网格的请求(步骤700)。下一步,判断是否应该接受所述请求(步骤702)。如果要接受所述请求,就向发出所述请求的所述用户分配本机用户名(步骤704)。下一步,为所述用户产生证书,其中所述证书包括所述授权代理的标识和授权代理证书(步骤706)。把所述用户到本机用户的映射加入映射文件(步骤708)。向所述用户返回所述证书(步骤710),随后所述过程终止。
再次参考步骤702,如果不接受所述请求,就向用户返回消息,指明所述请求已被拒绝(步骤712),然后所述过程进至步骤710,如上所述。
现在参考图8,其中的处理流程图用于根据本发明优选实施例,授权用户访问网格资源。图8所示的所述过程可以实施在网格资源中,比如图5中的网格资源502。
所述过程开始于接收访问请求(步骤800)。在这些实例中,所述访问请求包括访问特定访问或服务的请求,以及标识所述用户的证书。下一步,使用所述访问请求中的所述证书执行验证处理(步骤802)。下一步,判断用户标识是否在网格映射文件中(步骤804)。这个网格映射文件是可选择的网格映射文件,比如图5中的网格映射文件518。
如果用户标识不在网格映射文件中,那么就判断所述证书是否指定了授权代理(步骤806)。所述证书可以包括域名和所述授权代理的所述端口号。这份证书还可以包括所述授权代理的第二证书。这份证书也称为授权代理证书。这项信息在所述请求中收到的所述证书中的扩展中。
下一步,如果证书没有指定授权代理,那么就向所述授权代理发送请求,用所述用户证书的证书扩展中的所述授权代理证书进行验证(步骤808)。下一步,判断所述授权代理是否验证了所述请求(步骤810)。如果所述授权代理验证了所述请求,那么就发送有关用户映射的所述请求(步骤812)。其后,判断所述授权代理是否具有在所述证书中识别的所述用户至所述网格资源之本机用户名的映射(步骤814)。如果所述授权代理对所述用户没有映射,那么就把所述用户映射到所述授权代理指定的本机用户(步骤816),随后所述过程终止。根据分配给所述用户的本机用户,所述用户可以对所述网格资源具有不同的特权。例如,大多数网格用户也许只能访问节点上的某些服务,而在所述节点上可能无法具有写特权。某些用户可以访问其他服务,而其他用户则只能在更多的限制下访问数目更少的服务。例如,所述映射可能映射到称为Physics_Student的本机用户他具有UID(用户ID)201和组ID(GID)400(物理系组)。然后所述本机系统可能使目录/school/database/star_reserch对任何具有GID=400的用户是可读写的。做为选择,只有具有所述400 GID的用户才能够执行可执行文件/usr/bin/move_telescope。
回头参考步骤804,如果用户标识在网格映射文件中,那么就把所述用户映射到所述网格映射文件指定的本机用户(步骤818),随后所述过程终止。在步骤816中,如果所述证书没有指定授权代理,那么就向所述请求者发送授权失败的响应(步骤820),随后所述过程终止。在步骤810中,如果所述请求没有得到所述授权代理验证,所述过程就进至步骤820,如上所述。在步骤814中,如果所述授权代理对所述用户没有映射,那么所述过程就进至步骤820,如上所述。
因此,本发明提供了改进的方法、装置以及计算机指令,用于授权用户访问网格资源。这个机制包括识别授权代理,将所述用户的所述身份映射为网格资源的本机用户。所述授权代理的所述标识位于验证所述用户所用的证书之内。是向所述授权代理查询去识别所述网格资源的本机用户,而不是要求所述网格资源去查询本机网格映射文件。本发明的所述机制通过在集中位置保持当前用户到本机用户的映射,避免了在网格中每个节点都必须更新映射的相关联问题。
重要的是注意到,虽然介绍本发明时是在全功能数据处理系统的环境下,但是本领域的普通技术人员将会认同,本发明的所述过程也能够以计算机可读介质上指令的形式和多种形式发行,而且无论实际进行所述发行所用的信号承载介质的具体类型如何,本发明都同样适用。计算机可读介质的例子包括可记录类型的介质,比如软盘、硬盘驱动器、RAM、CD-ROM、DVD-ROM和传输类型媒介,比如数字和模拟通信链路、有线和无线通信链路,使用的传输形式比如射频和光波传输。所述计算机可读介质可以采取编码格式的形式,在具体的数据处理系统中解码后再实际使用。
为了展示和说明的目的已经呈现了本发明的描述,这不意味着面面俱到或者把本发明限制在所公开的形式。许多改进和变化对本领域的普通技术人员而言是显而易见的。虽然所述展示性实例是关于网格进行描述的,本发明的所述机制也可以应用于除网格之外的其他网络处理系统。
选择和介绍所述实施例是为了最好地讲解本发明的原理、实际应用以及使得本领域的其他普通技术人员能够理解本发明,以便对于预期的具体使用作出适宜的、具有多种修改的多种实施例。
Claims (26)
1.一种在数据处理系统中授权用户访问所述数据处理系统中资源的方法,所述方法包括:
响应于从所述用户接收到访问所述资源的请求,所述请求包括证书,使用所述证书执行验证过程;
响应所述用户经过验证,判断所述证书中是否指定了授权代理;
如果指定了所述授权代理,就向所述授权代理请求所述用户的映射;以及
响应于接收到所述用户的映射,使用所述映射把所述用户映射到所述数据处理系统中的本机用户,其中,所述用户作为本机用户访问所述数据处理系统中的资源。
2.根据权利要求1的方法,进一步包括:
如果在所述证书中没有指定所述授权代理,就对所述用户拒绝访问。
3.根据权利要求1的方法,其中,所述证书包括所述授权代理的联系证书,其中所述请求步骤包括:
向所述授权代理发送映射请求,其中所述映射请求包括所述联系证书。
4.根据权利要求1的方法,其中所述映射步骤包括:
如果从所述授权代理返回的所述用户的映射指明对所述数据处理系统所述用户的映射不存在,就对所述用户拒绝访问。
5.根据权利要求1的方法,其中,所述数据处理系统是网格资源。
6.根据权利要求1的方法,进一步包括:
响应所述用户经过验证,判断对于所述数据处理系统,所述用户是否存在于映射文件中;
响应于所述用户存在于所述映射文件中,跳过所述请求步骤;以及
响应所述映射文件的存在,使用所述映射文件将所述用户映射到本机用户。
7.根据权利要求1的方法,其中,所述证书是x509证书。
8.根据权利要求7的方法,其中,所述授权代理在所述x509证书的证书扩展中被标识。
9.根据权利要求1的方法,其中,所述用户根据为本机用户定义的特权访问所述数据处理系统中的资源。
10.一种数据处理系统,授权用户访问所述数据处理系统中的资源,所述数据处理系统包括:
执行装置,响应于从所述用户接收到访问所述资源的请求,所述请求包括证书,使用所述证书执行验证过程;
判断装置,响应所述用户经过验证,判断所述证书中是否指定了授权代理;
请求装置,如果指定了所述授权代理,就向所述授权代理请求所述用户的映射;以及
映射装置,响应于接收到所述用户的映射,使用所述映射把所述用户映射到所述数据处理系统中的本机用户,其中,所述用户作为本机用户访问所述数据处理系统中的资源。
11.根据权利要求10的数据处理系统,进一步包括:
拒绝装置,如果在所述证书中没有指定所述授权代理,就对所述用户拒绝访问。
12.根据权利要求10的数据处理系统,其中,所述证书包括所述授权代理的联系证书,其中所述请求装置包括:
发送装置,用于向所述授权代理发送映射请求,其中所述映射请求包括所述联系证书。
13.根据权利要求10的数据处理系统,其中所述映射装置包括:
拒绝装置,如果从所述授权代理返回的所述用户的映射指明对所述数据处理系统所述用户的映射不存在,就对所述用户拒绝访问。
14.根据权利要求10的数据处理系统,其中,所述数据处理系统是网格资源。
15.根据权利要求10的数据处理系统,其中所述判断装置是第一判断装置,所述映射装置是第一映射装置,而且进一步包括:
第二判断装置,响应所述用户经过验证,判断对于所述数据处理系统,所述用户是否存在于映射文件中;
跳过装置,响应于所述用户存在于所述映射文件中,跳过所述请求装置;以及
第二映射装置,响应所述映射文件的存在,使用所述映射文件将所述用户映射到本机用户。
16.根据权利要求10的数据处理系统,其中,所述证书是x509证书。
17.根据权利要求16的数据处理系统,其中,所述授权代理在所述x509证书的证书扩展中被标识。
18.根据权利要求10的数据处理系统,其中,所述用户根据为本机用户定义的特权访问所述数据处理系统中的资源。
19.一种在计算机可读介质中的计算机程序产品,授权用户访问所述数据处理系统中的资源,所述计算机程序产品包括:
第一指令,响应于从所述用户接收到访问所述资源的请求,所述请求包括证书,使用所述证书执行验证过程;
第二指令,响应所述用户经过验证,判断所述证书中是否指定了授权代理;
第三指令,如果指定了所述授权代理,就向所述授权代理请求所述用户的映射;以及
第四指令,响应于接收到所述用户的映射,使用所述映射把所述用户映射到所述数据处理系统中的本机用户,其中,所述用户作为本机用户访问所述数据处理系统中的资源。
20.根据权利要求19的计算机程序产品,进一步包括:
第五指令,如果在所述证书中没有指定所述授权代理,就对所述用户拒绝访问。
21.根据权利要求19的计算机程序产品,其中,所述证书包括所述授权代理的联系证书,其中所述第三指令包括:
子指令,用于向所述授权代理发送映射请求,其中所述映射请求包括所述联系证书。
22.根据权利要求19的计算机程序产品,其中,所述第四指令包括:
子指令,如果从所述授权代理返回的所述用户的映射指明对所述数据处理系统所述用户的映射不存在,就对所述用户拒绝访问。
23.根据权利要求19的计算机程序产品,其中,所述数据处理系统是网格资源。
24.根据权利要求19的计算机程序产品,进一步包括:
第五指令,响应所述用户经过验证,判断对于所述数据处理系统,所述用户是否存在于映射文件中;
第六指令,响应于所述用户存在于所述映射文件中,跳过所述第三指令;以及
第七指令,响应所述映射文件的存在,使用所述映射文件将所述用户映射到本机用户。
25.根据权利要求19的计算机程序产品,其中,所述证书是x509证书。
26.一种数据处理系统,包括:
总线系统;
连接到所述总线系统的存储器,其中所述存储器包括一组指令;以及
连接到所述总线系统的处理单元,其中所述处理单元执行所述一组指令,以响应于从用户接收到访问资源的请求,所述请求包括证书,使用所述证书执行验证过程;响应所述用户经过验证,判断所述证书中是否指定了授权代理;如果指定了所述授权代理,就向所述授权代理请求所述用户的映射;以及响应于接收到所述用户的映射,使用所述映射把所述用户映射到所述数据处理系统中的本机用户,其中,所述用户作为本机用户访问所述数据处理系统中的资源。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/829,831 | 2004-04-22 | ||
| US10/829,831 US20050240765A1 (en) | 2004-04-22 | 2004-04-22 | Method and apparatus for authorizing access to grid resources |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1691587A true CN1691587A (zh) | 2005-11-02 |
Family
ID=35137833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005100591816A Pending CN1691587A (zh) | 2004-04-22 | 2005-03-24 | 授权访问网格资源所用的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20050240765A1 (zh) |
| CN (1) | CN1691587A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100382511C (zh) * | 2005-12-26 | 2008-04-16 | 北京航空航天大学 | 一种网格授权实现方法 |
| CN101179500B (zh) * | 2007-10-30 | 2011-12-07 | 北京航空航天大学 | 访问网格的增强型视频服务模式的实现方法 |
| CN103038778A (zh) * | 2010-06-23 | 2013-04-10 | 惠普发展公司,有限责任合伙企业 | 授权控制 |
| CN107735790A (zh) * | 2015-06-08 | 2018-02-23 | 阿姆Ip有限公司 | 用于在安全区域和不太安全区域之间转换的装置和方法 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7308578B2 (en) * | 2003-03-06 | 2007-12-11 | International Business Machines Corporation | Method and apparatus for authorizing execution for applications in a data processing system |
| DE102004004048A1 (de) * | 2004-01-27 | 2005-08-18 | Siemens Ag | Kommunikationssystem, Verfahren zum Anmelden einer Kommunikationsbeziehung und Netzwerkverbindungs-Rechner |
| US7467303B2 (en) * | 2004-03-25 | 2008-12-16 | International Business Machines Corporation | Grid mutual authorization through proxy certificate generation |
| US7380129B2 (en) * | 2004-04-22 | 2008-05-27 | International Business Machines Corporation | Method and apparatus for detecting grid intrusions |
| US8355709B2 (en) * | 2006-10-23 | 2013-01-15 | Qualcomm Incorporated | Device that determines whether to launch an application locally or remotely as a webapp |
| US8087066B2 (en) * | 2007-04-12 | 2011-12-27 | Oracle America, Inc. | Method and system for securing a commercial grid network |
| JP2010020357A (ja) * | 2008-05-29 | 2010-01-28 | Toshiba Corp | 情報処理装置及びその使用開始日記録方法 |
| US10114939B1 (en) * | 2014-09-22 | 2018-10-30 | Symantec Corporation | Systems and methods for secure communications between devices |
| US20230318852A1 (en) * | 2022-03-31 | 2023-10-05 | Lenovo (United States) Inc. | Computing device digital certificates that include a geographic extension |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5235642A (en) * | 1992-07-21 | 1993-08-10 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using locally cached authentication credentials |
| US5796830A (en) * | 1996-07-29 | 1998-08-18 | International Business Machines Corporation | Interoperable cryptographic key recovery system |
| GB2357228B (en) * | 1999-12-08 | 2003-07-09 | Hewlett Packard Co | Method and apparatus for discovering a trust chain imparting a required attribute to a subject |
| US6754829B1 (en) * | 1999-12-14 | 2004-06-22 | Intel Corporation | Certificate-based authentication system for heterogeneous environments |
| US7210037B2 (en) * | 2000-12-15 | 2007-04-24 | Oracle International Corp. | Method and apparatus for delegating digital signatures to a signature server |
| US6983364B2 (en) * | 2001-06-29 | 2006-01-03 | Hewlett-Packard Development Company, Lp. | System and method for restoring a secured terminal to default status |
-
2004
- 2004-04-22 US US10/829,831 patent/US20050240765A1/en not_active Abandoned
-
2005
- 2005-03-24 CN CNA2005100591816A patent/CN1691587A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100382511C (zh) * | 2005-12-26 | 2008-04-16 | 北京航空航天大学 | 一种网格授权实现方法 |
| CN101179500B (zh) * | 2007-10-30 | 2011-12-07 | 北京航空航天大学 | 访问网格的增强型视频服务模式的实现方法 |
| CN103038778A (zh) * | 2010-06-23 | 2013-04-10 | 惠普发展公司,有限责任合伙企业 | 授权控制 |
| CN107735790A (zh) * | 2015-06-08 | 2018-02-23 | 阿姆Ip有限公司 | 用于在安全区域和不太安全区域之间转换的装置和方法 |
| CN107735790B (zh) * | 2015-06-08 | 2022-02-11 | 阿姆Ip有限公司 | 用于在安全区域和不太安全区域之间转换的装置和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050240765A1 (en) | 2005-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1691587A (zh) | 授权访问网格资源所用的方法和装置 | |
| CN1735011A (zh) | 检测网格指令的方法和装置 | |
| KR101084768B1 (ko) | 사용자가 상기 조직체 내의 선정된 그룹의 구성원인지를 판정하기 위한 방법 및 컴퓨터 판독가능 기록 매체 | |
| JP3943090B2 (ja) | コンテンツのディジタル権利管理(drm)ライセンスの発行に関するキャッシングされたユーザ−グループ情報の再検討 | |
| US6871279B2 (en) | Method and apparatus for securely and dynamically managing user roles in a distributed system | |
| US7774830B2 (en) | Access control policy engine controlling access to resource based on any of multiple received types of security tokens | |
| JP4847701B2 (ja) | 著作権管理システムにおける柔軟性のある権利テンプレートを使用したデジタルコンテンツの署名済み権利ラベル(srl)の取得 | |
| US20090228967A1 (en) | Flexible Scalable Application Authorization For Cloud Computing Environments | |
| KR100984440B1 (ko) | 디지탈 라이센스 발행 방법 및 컴퓨터 판독 가능 기록 매체 | |
| CN1713106A (zh) | 为应用程序提供保密的系统和方法 | |
| RU2430412C2 (ru) | Услуга определения, был ли аннулирован цифровой сертификат | |
| CN1681240A (zh) | 凭证漫游 | |
| CN1608362A (zh) | 认证方法 | |
| CN1914881A (zh) | 通过代理证书产生在网格中进行相互授权 | |
| CN1703867A (zh) | 防火墙 | |
| CN1701315A (zh) | 数据库访问控制方法、控制装置及代理处理服务器装置 | |
| CN1201247C (zh) | 用于操作提供加密内容的因特网站点的方法 | |
| CN1930850A (zh) | 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 | |
| CN1781067A (zh) | 存储撤销列表的方法 | |
| CN1781068A (zh) | 更新撤销列表的方法 | |
| CN1601954A (zh) | 不中断服务地横跨安全边界移动主体 | |
| US7308578B2 (en) | Method and apparatus for authorizing execution for applications in a data processing system | |
| US20020116648A1 (en) | Method and apparatus for centralized storing and retrieving user password using LDAP | |
| CN1204712C (zh) | 一种实现跨管理域文件共享的方法 | |
| CN1235163C (zh) | 实现嵌入式系统中不同用户客户机间数据共享的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |