201237639 六、發明說明: 相關申請案之交又引用 本申請案主張於2010年11月22曰提出申請,且標題 名稱為「Back-End Constrained Delegation Model」之澳 大利亞專利申請案第2010246354號之優先權,該申請案 之全部揭示内容以引用之方式併入本文。 【發明所屬之技術領域】 本發明係關於後端約束代理模型。 【先前技術】 用戶h與伺服器之間的網路通訊以最簡單之形式包含 自用戶%至伺服器之請求,該等請求可僅由彼伺服器應 答且返回用戶端。雖然該系統的確很簡單,但是該系統 可能並未良好地按比例製作,且該系統可能不允許呼叫 者與多個服務同時進行互動,諸如在單個通道上之檔案 儲存服務、資料庫儲存服務及電子郵件服務。為了使用 戶端仍能與單個伺服器通訊,但仍允許伺服器擴展其能 力,利用了分層結構(tierecj structure)。在分層結構中, 用戶端可將該用戶端之請求傳遞至充當中介層(middle tier)之伺服器。中介層伺服器自身不必包含回應於用戶 端請求所需之相關資訊。取而代之的是,中介層伺服器 可返回且參考作為後端層伺服器之一部分的一或更多伺 服器,以獲得用戶端所請求之資訊。獲得該資訊之後, 中介層伺服器可回應於用戶端。從用戶端之角度而言, 201237639 單個通訊端點(亦即中介層)可提供對潛在無限量之資 料及其他資訊資源之存取。 為了使中介層伺服器能夠回應於用戶端之請求,可允 許自代表用戶端之後端層词服器獲得資訊。從安全之角 度而言,允許中介層錢器料用戶端與並非在後端層 伺服器中之其他㈣器通訊可能是有害的。用戶端可藉 以該安排提供密碼或長期身份碼,或其他認證資訊給中 介層伺服器,且該中介層伺服器可作為用戶端藉由提供 該認證資訊與任何伺服器通訊,這通常被稱為「無約束 代理」,因為中介層伺服器代理用戶端之角色並不約束中 介層可與哪個何伺服器通訊。 ,·、、勺束代理之安全問題之—個解決方案為通常被稱 !「約束代理」之代理模型,乃藉由實施政策,而該政 朿限制了中介層伺服器可代表或作為用戶端通訊之後端 層伺服器。通常,約束代理模型經由域控制器操作,該 域控制器將參考一或更多相關政策且決定是否將允許中 介層飼服益代表且作為用戶端與—或更多後端層飼服器 =訊例如,在用戶端向中介層飼服器提供該用戶端認 證資訊之後’中介層祠服器可自域控制器請求權利,該 權利為代表且作為用戶端向後端層中之—或更多饲服器 私:動作。參考一或更多相關政策之域控制器可決定是 否谷:中介層伺服器之請求,且若域控制器容許中介層 伺服器之請求’則域控制器可向中介層伺服器提供服務 權證(咐vice ticket)或其他資訊之集合,以便中介層伺服 201237639 姦可呈現給一或更多後端層伺服器,以指示域控制器已 遇為中介層伺服器在中介層伺服器與彼等後端層伺服器 之通訊中代表且作為用戶端採取動作是可以接受的。 令人遺憾地,約束代理可能難以橫跨網路計算裝置之 多個域實施。更特定言之’在一個域中之後端層:服器 將不必信賴另一不同域之域控制器,諸如包含中介層伺 服态之域。取而代之的是’包含中介層伺服器之域的域 控制器可直接或間接地經由中介層伺服器及後端層饲服 器與包含後端層伺服器之域的域控制器通訊,且可向第 二域控制器提供足夠資訊以使該第二域控制器能夠決定 確貫允許該中介層伺服器代理—或更多後端層伺服器。 該模型可能難以實施’因為該模型需要多個域控制器或 多個域之管理者之合作。另外,該模型關注於域政策是 否允許中介層伺服器代理—或更多後端層伺服器之代理 的約束。 【發明内容】 在-個實施例中,由中介層計算裝置對作為後端層之 一部分之一或更多祠服器計算裝置的代理可能並非由域 政策是否允許中介層計算裝置代理更多後端層計算 裝置決定’而是由一或更多後端層計算裝置中之每一者 之單個纟策是否允許中介層計算裝置代理一或更多後端 層計算裝置中之每一者來決定。因此,域管理者之作用 被降低,且取而代之的是,相關政策決策制定可由後端 201237639 層計算裝置之系統管理者執行,該等系統管理者可能對 該等後端層計算裝置提供之服務更加熟悉。 在另一實施例中,當接收到來自中介層計算裝置代理 一或更多後端層計算裝置之請求時,域控制器計算裝置 可考慮是否-或更多後端層計算裝置在域控制器的域 中。若後端層計算裝置在域控制器的域中,則域控制器 計算裝置可向中介層計算裝置提供服務權證或其他資訊 之集合’則更中介層計算裝置可呈現給一&更多後端層 計算裝置,以使中介層計算裝置能夠充當且代表用戶端 計算裝置。然、而,若後端層計算裝置不在域控制器的域 中’則域控制器計算裝置可改為向中介層計算褒置提供 符記或其他資訊之集合,以便中介層計算裝置可呈現給 不同域之另-域控制ϋ計算裝置,以充t且代表對於在 彼其他不同域中之後端層計算裝置之用戶端計算裝置。 在又一實施例中,域控制器計算裝置可在利用符記、 服務權證或其他類似資料之前驗證中介層計算裝置,戋 其他域控制器計算裝置,該等符記、服務權證或其他類 似資料可用以最終使中介層計算裝£能夠充當且代表用 戶端計算裝置與一或更多後端層計算裝置通訊。 提供此【發明内容】以用簡化形式介紹下文在【實施 方式】中進-步描述之概念選擇。本【發明内容】不欲 識別所主張標的之關鍵特徵或基本特徵’亦不欲用以限 制所主張標的之範疇。 參照隨附圖式進行之以下詳細描述,其他特徵結構及 201237639 優點將為顯而易見。 【實施方式】 以下描述係關於一種代理模型,其中關於是否中介層 s十算裝置可代理後端層計算裝置之決策係由是否後端層 计算裝置將允許中介層計算裝置代理後端層計算裝置來 決定。在一個實施例中,為了實施該代理模型,當自中 介層計算裝置接收代理後端層計算裝置之請求時,域控 制器计昇裝置可首先決定後端層計算裝置是否在域控制 器的域中。若後端層計算裝置在域控制器的域中,則域 控制器可向中介層計算裝置提供服務權證或其他資訊之 集合,以便中介層計算裝置可呈現給後端層計算裝置, 以使中介層計算裝置能夠充當且代表用戶端計算裝置。 然而,右後端層計算裝置不在域控制器的域中,則域控 制器計算裝置可改為向中介層計算裝置提供符記或其他 資訊之集合,以便中介層計算裝置可呈現給不同域之另 一域控制器計算裝置’以充當且代表對於在彼其他不同 域中之後端層計算裝置之用戶端計算裝置。以此方式, 中"層β十异裝置充當且代表與後端層計算裝置通訊之用 戶鈿汁异裝置之能力可由政策控制,該政策由具有與後 端層計算裝置相同域之域控制器計算裝置執行,因此, 由後端層計算裝置本身控制,如政策之說明符。 本文描述之技術參考特定類型之通訊及通訊元件,諸 如「服務權證」或「符記」。然而,僅提供該等參考以分 8 201237639 配命名(nomenclature)給資料之集合,該等資料之集合提 供通知由下文描述詳述之製程及決策制定所必需之資 訊。該等參考並不意欲限制所描述之技術於術語通常相 關聯之特定標準化協定。因此,雖然熟習該項技術者可 能認識到,可利用特定、現有的認證及代理協定(諸如 Kerberos )來執行下文詳述之元件中之至少一些元件, 但疋本文提供之描述並不意欲限於該等現有協定且反而 同樣適用於可提供用於且完成如下所述之機制及過程之 各個態樣的訊息及資料之任何集合。同樣地’本文描述 之技術參考一或更多「域控制器」計算裝置。進行該等 參考係用於標記便利性且便於理解,且並不意欲將所描 述之技術特定地限於必須執行整套域控制器功能性之計 异裝置。取而代之的是,如熟習該項技術者將認識到, 下文參恥域控制器」詳細描述之功能性可由任何可信 賴之中央權限計算裝置執行。因此,如本文使用之㈣ 「域控制器」意謂任何可信賴之中央權限,且術語「域 控制益4算裝置」意謂包含且實施可信賴之中央權限之 任何一或更多計算裝置。 雖然亚非必需,但是以下描述將在電腦可執行指令之 —般情境下’諸如由計算裝置執行之程式模組。更特定 5之’除非另有說明,否則描述將參考由一或更多叶瞀 裝置或周邊裝置執行之操作之動作及㈣表示。因而: 應瞭解’有時被稱為電腦執行之該等動作及操作包括由 表示以結構化形式之資料之電訊號的處理單元之調處 9 201237639 (manipulation) 〇該調處轉換資料 中之諸位置處,該調處以由孰、貢枓保持在記憶體 ‘、、&。亥項技術者很好理+ 方式重配置或以其他方式改變計算 解之 作。保持資料之資料結構為 :&周邊裝置之操 特性的實體位置。 義之特疋 通吊,程式模組包括執行特 料類型之當4各或貫施特定抽象資 了寸頰生之㊉式、私式、物件、 lL A. 貧枓結構及類似物。 此外,熟習該項技術者將瞭解, , Τ τ裝置不必限於習知 個人電腦,且包括其他計算配置 於 括丰°亥荨其他计舁配置包 括手持裝置'多處理機系統、 微處理機的或可程式 化蝻費者電子產品、網路P e y ^ L、述你電腦、主機電腦及類 似物。同樣地,該等計算 、 τ异裒置不必限於獨立計算裝置, =為料機構料在經由通訊網路鏈接之分散^算環 兄:只踐。在分散式計算環境中’程式模組可位於本端 及遠端記憶體儲存裝置兩者中。 參看第1圖,圖不示例性計算裝置100,該計算裝置 ⑽部分地包含可用於且有助於如下所述之方法之硬體 Μ °示㈣計算裝置_可包括,但不限於-或更多 令央處理單元(CPUS) I2G、系統記憶體隱及系統匯流 排丨21,该系統匯流排121將包括系統記憶體之各種系 統部件耦接至處理單元120。系統匯流排121可為若干 類型之匯流排結構中之任一者,該匯流排結構包括記憶 體匯流排或記憶體控制器、周邊匯流排,及使用各種匯 机排架構中之任—者之本端匯流排。視特定實體實施而 10 201237639 定’計算裝置100之一或更多CPU 120、系統記憶體13〇 及其他部件可實體共置於諸如單個晶片上。在此狀況 下,系統匯流排1 21中之一些或所有可僅為在單個晶片 結構中的矽路徑,且系統匯流排121在第i圖中之圖示 僅為便於說明之目的。 計算裝置1 00亦通常包括電腦可讀取媒體,該電腦可 讀取媒體可包括可由計算裝置100存取之任何可用媒 體。舉例而言,但並非限制,電腦可讀取媒體可包含電 腦儲存媒體及通訊媒體。電腦儲存媒體包括以任何方法 或技術實施用於儲存資訊之媒體,該等資訊諸如電腦可 讀取指令、資料結構、程式模組或其他資料。電腦儲存 媒體包括,但不限於RAM、R0M、EEPR〇M、快閃記憶 體或其他記憶體技術、CD_R0M、數位多功能光碟(dv W 或其他光碟儲存器、磁性錄影帶、磁帶、磁碟儲存器或 其他磁性儲存裝置,或可用以儲存所要資訊且可由計算 裝置100存取之任何其他媒體。通訊媒體通常包含電= 可讀取指令、資料結構、程式模組或諸如載波或其他傳 輸機制之調變資料訊號中之其他資料,且通訊媒體包括 任何資訊傳遞媒體。舉例而言,但並非限制,通訊媒體 包括諸如有線網路或直接有線連#之有線媒冑,及諸如 聲音、RF、紅外線及其他無線媒體之無線媒體。任何上 述媒體之組合亦應包括在電腦可讀取媒體之範嘴内。 當使用通訊媒體時,計算裝置100可經由至-或更多 遠端電腦之邏輯連制作於料環境t。㈣於第】圖 201237639 中之邏輯連接為至網路180之一般網路連接i7i,該網 路180可為區域網路(LAN)、諸如網際網路之廣域網路 (WAN),或其他網路。計算裝置1〇〇經由網路介面或配 接器170連接至—般網路連接m,網路介面或配接器 170又連接至系統匯流排121。在網路環境中,相對於計 算裝置100、或計算裝£ 1〇〇之部分或周邊裝置圖示之 程式杈組可儲存於一或更多其他計算裝置之記憶體中, 該一或更多其他計算裝置經由一般網路連接i7i通訊地 耦接至計算裝i 100。應瞭解’圖示之網路連接僅為示 例性的,且亦可使用在計算裝置之間建立通訊鏈接之其 他手段。 在電腦儲存媒體中,系統記憶體1 3 0包含呈依電性及/ 或非依電性記憶體之形式的電腦儲存媒體,包括唯讀記 憶體(ROM) 131及隨機存取記憶體(RAM) 132。除了其 他事物之外,亦含有用於啟動計算裝置i 〇〇之代瑪的基 本輸入/輸出系統(BI0S) n3通常儲存於R〇M ni中。 RAM 132通常包含對處理單元12〇可立即存取及/或目 前正在由處理單元12〇操作之資料及/或程式模組。舉例 而。但並非限制,第1圖圖示作業系統13 4、其他程 式模組135,及程式資料136。RAM 132可進一步包含 可與TPM 1 50之操作有關的資料,諸如tCG事件曰誌 1 90。在一個實施例中’由於施加了功率或由於此為最後 一次重新啟動,故TCG事件曰誌1 90可包含由計算裝置 1 〇〇加载或執行之所有模組之唯一識別;加載或執行之 12 201237639
相同模組可能已在一或更多PCR 前保持之值。 由TPM 150當 /非化^置_亦可包括其他可移除/非可移除、依電性 、:性電腦錯存媒體。僅舉例而言,帛工圖圖示從非 =除、非依電性媒㈣取或向村移除、非 體寫入之硬碟驅動器141。 媒 了用於不例性計算裝置之JL 他可移除/非可移险、仗φ ω / L '、 '、電性/非依電性電腦儲存媒體包 Γ不限於,卡式磁帶、快閃記憶卡、數位多功能光碟、 數位視成磁帶、固離R Α λ/ί m 平UUAM、固態R〇M,及類似物。硬 :驅動器⑷通常經由諸如介面14〇之非可移除記憶體 ;ι面連接至系統匯流排12 i。 如上所述且圖示於第1同tb λ· 、弟圖令之驅動器及該等驅動器相 關聯電腦儲存媒體提供計算裝置100之電腦可讀取指 7資料、、’。構、私式模組及其他資料之儲存。在第1圖 例如硬碟驅動器141圓示為儲存作業系統144、 其他程式模組Η5,及程式資料146。注意,該等部件可 了作業系統134、其他程式模組135及程式資料136相 同或不同。在此處給出不同數字表示作業系統⑷其 矛式杈組145及程式資料丨46,以圖示作業系統】、 其:程式模組145及程式資料146至少為不同之副本。 ~至第2圖’第2圖圖示之系统2〇〇包含四個計算裝 置亦即用戶端计异裝置210、中介層計算裝置22〇、後 端计异裝置230,及域控制器計算裝置24〇。該等計算裝 置中之每一者可採用剛描述之示例性計算裝置^ 之形 13 201237639 °包含上文參照示例性計算裝置1 00詳述之一些 或广有邛件。帛2圖之系統200之計算裝置圖示為經由 連接通Λ地叙接至網⑬1 8。。為了便於說明,網路 由單個說明性元件圖示,但並不意謂限於單個網路 、或任何其他類似網路劃分或結構,也不意謂圖示在域 A 290外部之網路’該域Α 290亦圖示於第2圖之系統 200中。取而代之的是,如諸圖中所使用網路刚意 謂表示在圖示於諸圖中之系統之計算裝置之間的所有網 路通訊連接,包括®示之各種域,且意謂表示直接及間 接通Λ連接兩者。因此,例如圖示於第2圖中之系統· 圖不系列不例性通訊,藉由該一系列示例性通訊,用 戶端計算裝置210可經由網路18〇直接或間接地與中介 層计算裝置220通訊。第2圖之系統2〇〇進一步圖示一 不例性系列之通訊,藉由該一系列示例性通訊,中介層 十算裝置2 2 0可再次直接或間接地,且再次經由網路1 8 〇 與域控制器計算裝置240及後端計算裝置23〇通訊。因 此,雖然中介層計算裝置220、域控制器計算裝置24〇 及後端叶算裝置230全部圖示為相同域a 290之一部 分,但是如前所述之網路180意欲被視為包含域A 29〇 且並不意欲被視為與域A 290分離且相隔之網路單元。 如將在下文詳述,所示之通訊圖示代理機制之示例性操 作’該代理機制可使中介層計算裝置22〇能夠代表用戶 端計算裝置210對於諸如後端計算裝置23〇之後端層計 算裝置採取動作。 14 201237639 最初地,如第2圖之系統2〇〇所示,用戶端計算裝置 21〇可藉由提供用戶端識別符,或可由域控制器計算裝 置240簽名之其他資料之集合,經由通訊215認證其自' 身至中介層計算裝置,諸如中介層計算裝置22〇。例如, 在一個實施例中,在啟動與中介層計算裝置22()之諸如 通訊215之通訊之前,用戶端計算裝置2ι〇可首先自域 控制器計算裝置24G獲得用户端識別符。如熟習該項技 術者認識到,域控制器計算裝置24〇可在提供該用戶端 識別符之前執行用戶端計算裝置21G之評估。例如,域 控制器計算裝置240可驗證用戶端計算裝置21〇是否符 合相關安全設定,諸如是否安裝了最新版本之防惡意軟 體應用程式,或如另-實例,是否為常駐於用戶端計算 裝置210上之各種作業系統及軟體應用程式安裝了最新 程式修補(patch)。該資訊可由用戶端計算裝置21〇作為 用戶端計算裝置210與域控制器計算裝置24〇之通訊之 部分提供,且可參照例如事件曰誌使用域控制器計算 裝置驗證’該事件日諸可由用戶端計算裝置21G以安全 驗證之方式保持。 一旦域控制器計算裝置24〇決定可允許用戶端計算裝 置2 1 0與由域控制器計算裝置24〇控制且在第2圖中以 陰影區域圖不之域A 290中之其他計算裝置通訊,域控 制器计算裝置240就可向用戶端計算裝置21〇提供用戶 端識別符,或其他識別資料之集合。該用戶端識別符, 或其他識別資料可由域控制器24〇簽名以使得域A 290 15 201237639 ::其他汁舁裝置可驗證該用戶端識別符,或其他 :料之真實性。例如,域A 290中之其他計算裝置中之 母一者(諸如令介層計算裝置220及後端計算裝置23〇) ㈣存取域控制器計算裝置⑽之公鑰。因此,若域控 制益4异裝置24()欲使用域控制器計算裝置⑽之私錄 用戶端識別名’該私输對應於域A謂中的其他 計算裝置所擁有之公鑰,則彼等其他計算裝置中之每一 者皆可以熟習該項技術者已知之方法參照彼公錄驗證該 簽名。或者’並非依賴於公餘/私㈣’簽名可使用保持 在諸如域A 290之域中的域控制器計算裝置24〇與諸計 异裝置之間的-或更多共享對稱鑰匙執行,該等計算裝 置與域控制器計算裝置24〇通訊。 又 因此,S用戶端計算裝置210經由通訊215將用戶端 十算袁置210之用戶端識別符傳輸至中介層計算裝置 220時,中介層計算裝置22〇可利用例如域控制器計算 裝置240之公鑰以驗證在通訊215中用戶端計算裝置 21〇提供之用戶端識別符實際上由域控制器計算裝置 240簽名。在用戶端計算裝置21〇之該驗證之後,中介 層計算裝置220可接受來自用戶端計算裝置21〇之請 求,且中介層計算裝置22〇可作為彼等請求之一部分要 求用戶端計算裝置2 1 〇提供一些識別或認證資訊,以證 明用戶端計算裝置21 0之使用者經授權以存取正在請求 之資訊或資源。如將在下文進一步詳述,該識別及認證 資訊可隨後由中介層計算裝置220使用以代表用戶端計 201237639 算裝置210對於諸如後端計算裝置230之後端層計算裝 置採取動作。 士則所述’由用戶端計算裝置2 1 0之使用者請求之資 $或#源可不必與中介層計算裝置22G共置。取而代之 的疋’中介層計算裝置220可充當用戶端計算裝置21〇 之單個通訊端點以進行無數請求中之任何請求,且中介 層汁#裝置220可與諸如後端計算裝置230之適當後端 層。十算裝置通訊,以存取由用戶端計算裝置21〇之使用 者μ求之相關資訊或資源。以此方式,諸如中介層計算 裝置220之單個中介層計算裝置可提供對可橫跨多個後 端層計算裝置展開之無數資訊或其他資源之存取,然而 為了便於說明,在第2圖之系統2〇〇中僅圖示單個後端 層计算裝置,亦即後端計算裝置2 3 〇。 在中介層計舁裝置220已諸如參照經由通訊2丨5傳輸 之用戶端ID驗證用戶端計算裝置21〇之後,且在中介 層什算裝置220已自用戶端計算裝置21〇之使用者接收 識別及s忍證資訊之後(此通訊並未明確地圖示於第2圖 之系統200中以避免說明過於密集),中介層計算裝置 220可請求被允許與諸如後端計算裝置23〇之適當後端 層計算裝置通訊,猶如中介層計算裝置22〇為用戶端計 算裝置210。在一個實施例中,該請求225可與資訊一 起傳輸至域控制器計算裝置24〇,域控制器計算裝置24〇 可使用該資訊評估請求225且對請求225採取動作。例 如,如第2圖之系統200中所示,具有請求225之中介 17 201237639 層計算裝置220可提供經由通訊2 1 5接收自用戶端計算 裝置2 1 0之用戶端識別符250,且該用戶端識別符25〇 係由域控制器計算裝置240簽名。同樣地,亦如圖所示, 具有請求225之中介層計算裝置220可提供類似於用戶 端識別符2 5 0之中介層計算裝置2 2 0自身之識別符 260,該識別符260係由域控制器計算裝置24〇簽名。 在一個實施例中,在接收請求225及識別符25〇及26〇 之後,域控制器計算裝置240可分別參照識別符25〇及 260驗證用戶端計算裝置21〇及中介層計算裝置22〇。域 控制器计异裝置亦可在決定是否允許中介層計算裝置 220代理後端計算裝置23〇之前’首先決定中介層計算 裝置220所希望代理之後端計算裝置23〇是否實際在域 控制器計算裝置240之域A 290中。因此,如在第2圖 之系、、先200中經由虛線235所表示,域控制器計算裝置 24〇可決定後端計算裝置23〇是否在域控制器計算裝置 240之域290中。若後端計算裝置23〇在域a 中, 域:制器計算裝置240可參考一或更多政策以決定後端 計算裝置23G是否將允許中介層計算裝置22()代理後端 計算裝置2 3 0。 在一個實施例中,由域控制器計算裝置24〇進行之後 =計=裝置230是否將允許中介層計算裝置22()代理後 1十开裝置23G之決定係至少部分地由政策通知,节等 政策可由後端計算裝置咖自身,或更特定㈣ &者建立。如熟習該項技術者將認識 201237639 到,允許後端計算裝置230設定政策不必引入任何安全 、 或篡奪域控制器計算裝置240之功能,因為可 、賴後、计算裝置230去適當地決定該後端計算裝置 230山:1!賴以對其自身代理之裝置。換言之,可以信賴 /而十^凌置23〇建立定義該後端計算裝置23〇用於信 賴其他裝置對其代理之政策。 在—㈣施例中,當評估一或更多政策決定後端計算 ^ 疋否將允許中介層計算裝置220代理後端計算 二n犄,域控制斋計算裝置24〇可以類似於如上所 乂 >肖戶端计算裝置210之方式執行中介層計算裝置 上平估例如,域控制器計算裝置24〇可驗證中介 ^算裝置220疋否符合相關安全設定,諸如是否安裝 了最新版本之防惡意軟體應用程式,或如另一實例,是 :為常駐於用戶端計算裝置㈣上之各種作業系統及軟 ,用^式安裝了最新程式修補。更特定言之,由域控 制器計算裝置24〇參考之政第 /彳之政朿(如上所示,包括可由後 知計算裝置230建立之拉當、π & 東)可‘定後端計算裝置230 將僅允許中介層計算裝置咖在滿足某些條件(包括, :^考剛剛描述之相關安全設^之條件)時,代理後 =异裝置23G。然而’相關政策不僅限於對中介層計 异、置220之安全性態樣之分析,且取而代之的是,相 關政策可限制允許基於任何資1 +次 的疋相 p L於任竹貪机或資訊之集合代理後端 °十算裝置2 3 0之計算I#窨,兮次 t异裝置,该貧訊或資訊之集合包括例 如’正在使用之作業系統之類型、附接之周邊裝置之類 19 201237639 型、計算裝置之硬體配置,或任何其他資訊或資訊之集 合m可由域控制器計算裝置24G自中介層計算裝 々置220收集,該資訊可作為中介層計算裝置22〇之識別 符 之部分,或可作為在域控制器計算裝置24〇盥 中介層計算裝置22〇之間的後續通訊之一部A。'、 曰在-個實施例中’域控制器計算裝置24〇參考以決定. 疋否允斗令介層§十异裝置22〇代理後 -或更多政策可參考在中介層計算裝置22。上執行的: 務,以及實體中介層計算裝置22〇自身兩者。在該實施 例中’中介層計算裝置22〇之識別符26〇可不僅包含實 體计开裝置自身之識別符,而且包含執行在中介層計算 裝置220上且用以執行代理之電腦可執行指令之一或更 多服務’或其他集合之識別符。因此,為了下文描述之 目的,對中介層計具裝置220之諸如識別260之識別之 參考意謂包括實體裝置自身、一或更多服務或用以執行 代理之其他執行電腦可執行指令,或其任何組合之識別。 基於該政策之考慮,若域控制器計算裝置24〇決定後 端計算裝置230將允許中介層計算裝置22〇代理後端計 异裝置230,則域控制器計算裝置24〇可如通訊245所 示提供服務權證或其他資訊之集合,該服務權證或其他 資訊之集合可由域控制器簽名,且可指示中介層計算裝 置220被允許作為用戶端計算裝置21〇與後端計算裝置 230通訊。在接收到通訊245之後,中介層計算裝置22〇 可使已先前接收自用戶端計算裝置21〇之請求繼續進行 20 201237639 至後鳊°十异裝置230 ’如通訊255所示。如第2圖之系 先200所示’通訊255亦可包含服務權證270,該服務 權也270可能已由中介層計算裝置220經由通訊245接 收自域控制器計算裝置240。 儘S並未在第2圖之系統200中特定地圖示以避免說 明過於捃集,但是後端計算裝置23〇可評估與用戶端請 求255 —起提供之服務權證27〇 (諸如,參照域控制器 之公鑰)以驗證該服務權證27〇是否實際為適當且正確 簽名之服務權證,且若後端計算裝置230決定該服務權 證270實際為適當且正確簽名之服務權證,則後端計算 裝置230可與中介層計算裝置22〇通訊,猶如中介層計 异裝置220為用戶端計算裝置21〇。因而,後端計算裝 置230可請求中介層計算裝置22〇認證,猶如用戶端計 算裝置210本來需要在其與後端計算裝置23〇直接通訊 之情況下將用戶端計算裝置21 〇自身對後端計算裝置 230認證。在該認證中,後端計算裝置23〇可基於用戶 端汁异裝置2 1 〇自身之識別、基於單個使用者之識別, 或用戶端計算裝置210之使用者之群組,或其任何組合 決定是否容許用戶端之請求。因此,為了該認證之目的, 中介層計算裝置220可自用戶端計算裝置21〇獲得該資 訊且可將該資訊提供至後端計算裝置23〇,作為初始通 訊2 5 5之一部分’或可作為後續通訊之一部分。 以此方式,中介層計算裝置220可自後端計算裝置23〇 獲得用戶端計算裝置210所請求之資訊及資源,且隨 21 201237639 後’中介層計算裝置220可回應於用戶端計算裝置之原 始請求將該資訊及該等資源返回用戶端計算裝置21〇。' 如熟習該項技術者將認識到,可將額外後端層計算褒置 增加在域A 290中,且中介層計算裝置22〇可被允許以 相同方式代理彼等後端層計算裝置,藉此允許中介層計 算裝置220存取潛在實際無限量之資訊及資源,同時仍 然允許用戶端計算裝置210具有單個通訊參考,該通訊 參考可為用於存取彼資訊及彼等資源之中介層計算裝置 220。另外,目前描述之機制可以遞回方式使用,其中例 如後端計算裝置230又可充當中介層計算裝置且可代理 進步不同之後端什鼻裝置。該進一步代理可根據本文 描述之機制執行,且可基於可以類似方式評估之獨立設 定之政策。 如先剛所示,雖然第2圖之示例性系統2 〇 〇僅圖示單 個後端計算裝置230,但是本文所提供之描述同樣適用 於在單個中介層計算裝置與多個後端層計算裝置之間的 通訊’其中該中介層計算裝置充當用戶端計算裝置之聚 合器。例如’若用戶端計算裝置210請求橫跨多個後端 層計算裝置分散之資訊,該多個後端層計算裝置包括例 如後端計算裝置230及其他後端層計算裝置,則中介層 計算裝置220可以如上所述之相同方式代理該等其他後 端層計算裝置,並且此舉將在下文中進一步詳述。中介 層計算裝置220可自彼多個後端層計算裴置獲得相關資 訊’彼多個後端層計算裝置可包括在第2圖中圖示且在 22 201237639 本文描述中參考之後端s十异裝置230,且中介層計算裝 置220可在將該資訊呈現給用戶端計算裝置21〇之前為 用戶端計算裝置210將該等資訊收集且聚合,以作為對 該裝置進行之請求之回應。 在其他實施例中,為了回應於用戶端計算裝置之 β月求’中介層計鼻裝置220需要代表用戶端計算裝置21〇 代理之後端計算裝置230,且該後端計算裝置23()可不 必在相同域中’諸如域A 290。轉至第3圖,在該圖中 所示之系統3 0 0圖示多域系統,在該多域系統中,域控 制器計算裝置240及中介層計算裝置22〇仍然在域a 290 中’但是中介層計算裝置220需要代理之後端計算裝置 230可為域b 390之一部分,域B 390可具有域B 390 自身之域控制器計算裝置340。為了將域A 290之域控 制器計算裝置240與域B 390之域控制器計算裝置340 區分’將在第3圖中使用速記記法「DC 1 j來標記域A 290 之域控制器240,且在第3圖中使用速記記法「DC2 j 來標記域B 390之域控制器340。另外’先前在第2圖 中所示之相同通訊及元件在第3圖之系統300中保持該 等通訊及元件之相同數字識別符。 因此,如自第3圖之系統300中可以看出’用戶端計 算裝置210仍可以先前所述之方式與中介層計算裝置 220通訊,且中介層計算裝置220仍亦可以先前所述之 方式與域控制器計算裝置240通訊。然而,在經由先前 所述之通訊225接收來自中介層計算裝置220作為用戶 23 201237639 端計算裝置210與後端計算 w我罝23〇通訊之請求之後, 域控制器計算裝置240亦如土 a & 兀如先刚所述可首先決定後端計 算裝置230是否在盥域拎 ” Α控制益汁弃裝置240相同之域 中亦即域A 290,如虛線235所示。在由第3圖之系 統300所表示之特定實例中,可以看出後端計算裝置 230並不在與域控制器計算裝置240相同之域中。 因此,取而代之的是,域控制器計算裝置240可經由 通訊315向中介層計算裝置以提供由域控制器計算裝 置240簽名之符記或其他資訊之集合而非評估政策以 決定後端計算裝置230是否將允許中介層計算裝置22〇 代理後端計算裝置230。該符記或其他資訊之集合可使 中介層計算裝置220㈣導引中介層計算裝置22〇之代 理請求至不同域控制器計算裝置,諸如在第3圖之所示 實例中之域控制器計算裝置34〇_。因此,在一個實施例 中,可將經由通訊315提供之符記導引至域控制器計算 裝置340 。 在接收到由通讯3 1 5提供之符記之後,中介層計算褒 置220可發送請求325至域B 390中之域控制器計算裝 置340,該請求325可類似於先前所述之請求225<3然而, 雖然先前所述之請求225亦包含由域控制器計算裝置 240簽名之用戶端識別符250及中介層識別符260兩 者’但是中介層計算裝置220已導引至域控制器計算楚 置340之請求325可包含符記320,該符記320可為由 通訊3 1 5接收之先前描述之符記,且請求325亦可包含 24 201237639 由域控制器計算裝置240簽名之中介層計算裝置220之 識別符330。在一個實施例中,類似於經由通訊3 15提 供之符記320 ’中介層計算裝置220之識別符330可同 樣地被導引至域控制器計算裝置34〇。在該實施例中, 作為通訊3 1 5之一部分,或作為結合通訊3丨5發生之通 訊之一部分’中介層計算裝置22〇可向域控制器計算裝 置240請求,或以其他方式自域控制器計算裝置24〇接 收識別符3 3 0 ’該識別符3 3 0既由域控制器計算裝置2 4 〇 簽名,又被導引至域控制器計算裝置34〇。另外,在_ 個實施例中’符記320及識別符330可經由替用路徑傳 輸至域控制器計算裝置340,該等替用路徑包括例如, 直接自域控制器計算裝置240提供,或經由其他替用路 徑提供。 當減控制器計算裝置340接收請求325時,域控制器 計算裝置340可以類似於先前對於域控制器計算裝置 240所述之方式首先決定由請求325參考之後端計管麥 置230疋否在與域控制器計算裝置340相同之域中,亦 即在第3圖中所示之說明性系統3〇〇中之域b 39〇中。 如前所述’該決定在第3圖中經由虛線335示出。在本 實例中’因為後端計算裝置230在與域控制器計算裝置 340相同之域中’亦即在域B 390中,所以域控制器計 算裝置340可繼續諸如參考一或更多&策決冑後端計算 裝置230 S否將允許+介層言十算裝i 22〇代理後端計算 裝置230。 25 201237639 在執行該決定時’域控制器計算裝置34〇可首先驗證 符記320及中介層識別符33〇是否適當地由域控制器計 异褒置24G簽名,該符記32()及該中介層識別符33〇由 令介層計算裝£220作為請求325之_部分提供。例如, 域控制器計算裝置340可參照域控制器計算裝置24〇之 公鑰進行該決定,域控制器計算裝置“Ο可存取該公 鑰。-旦域控制器計算裝置34〇已執行該驗證,域控制 :計算裝置340可參考一或更多政策以決定諸如後端計 算裝置230是否允許中介層計算裝置22〇代理後端計算 裝置230。如先前所示,因為可信賴後端計算裝置23〇 建立疋義後端計算裝置230信賴何者對其代理之政策, 所以域控制器計算裝置340參考之政策可包括後端計算 裴置230建立之政策。亦如先前所示,域控制器計算裝 置340參考之政策可實際上參考中介層計算裝置220之 任何態樣’包括例如’由中介層計算裝置220執行之作 業系統、中介層計算裝置220之硬體,及中介層計算裝 置220之安全屬性,諸如是否已應用了最新程式修補, 及是否正在使用最新版本之防惡意軟體之軟體。該資訊 可包含於可由中介層計算裝置220經由通訊325提供至 域控制器計算裝置340之中介層識別符330中,或者, 該資訊可經由結合通訊325執行之在域控制器計算裝置 3 40與中介層計算裝置220之間的進一步通訊交換提供。 若域控制器計算裝置340基於上述之評估決定應允許 中介層計算裝置220代理後端計算裝置230,則域控制 26 201237639 器計算裝置可經由在第3圖中所示之通訊345提供服務 權證,或其他資訊之集合,該服務權證,或其他資訊之 集合可由域控制器計算裝置340簽名,且可使中介層計 算裝置220能夠代理後端計算裝置23〇。中介層計算裝 置220然後可如先前所述將最初由用戶端計算裝置21〇 對中介層計算裝置220之請求繼續進行至後端計算裝置 230 ’如由通訊355所示。另外,請求355可包括服務權 證3 7 0,該服務權證3 7 0可經由通訊3 4 5自域控制器計 算裝置340提供。 如前所述,在接收到請求3 5 5之後,後端計算裝置23 0 可評估服務權證370且驗證該服務權證370是否由包含 後端計算裝置230之域之域控制器計算裝置340適當地 簽名’諸如在第3圖中圖示之所示實例中之域b 390。 若後端計算裝置23 0驗證了服務權證370,則後端計算 裝置230可繼續與中介層計算裝置22〇通訊,猶如中介 層計算裝置220為用戶端計算裝置21〇。以此方式,中 介層計算裝置220可代表用戶端計算裝置21〇自後端計 异裝置230獲得資訊及資源,且中介層計算裝置220可 回應於請求將彼資訊及彼等資源呈現回用戶端計算裝置 210,該等請求由用戶端計算裝置21〇導引至中介層計算 裝置220。 在某些情況下,中介層計算裝置220可能需要在最終 能夠代理諸如後端計算裝置23〇之後端層計算裝置之前 與在超過兩個域中之域控制器計算裝置通訊。在該等情 27 201237639 几Γ,埤役制窃訂异聚置且實際上整個系統之操作可以 如上所述之類似方式進行。轉至第4圖,該圖中圖示之 系統彻提供該系統之—個說明性實例,及該圖中圖示 之各種元件之操作及通訊。如圖可見試圖代理後端計 算裝置230之中介層計算裝置220可首先經由通訊225 與域控制器計算裝置240 。^ 〇接觸,且域控制器計算裝置24〇 可基於由虛線2 3 5所示之古平/士、^〜μ 之°平估決定後端計算裝置230並 不在域控制器計算裝置㈣之域中,亦即並不在第4圖 之不例性系統彻之域Α29”。因此,如前所述,域 :制器計算裝置24。可諸如經由通訊315向中介層計算 裝置220提供至另—域控制器計算裝置之符記。然後, 亦如先前所述,中介層計算梦 供符記32。,及中則=可㈣通訊325提 制”… 付330至在不同域中之域控 裝置34。,亦即在第4圖中圖 4〇〇中之域B 390。 扒i·生尔統 然而,在第4圖之示例性系統中 置220企圖代理之後 "層汁异裝 …敌 後^汁具裝置230並非為域"9。之 可為#個貫施例令’域B 390僅 1 」具有後端計算裝置230之域 在第4圖中所示之示例性系統4。"所示=域,诸如 :為域控制器計算裝置240相信域β39二…。; 端計算裝詈a , 更#近」後 -褒置230,所以當至域控制器 記產生且裎彳αζχαα 裝置3 40之符 生且扶供至中介層計算裝置2 控制器計算裝f 34η 1 战B 390之域 异裝置州可邊已由域控制器計算裝置24〇選 28 201237639 =在一個實施例中’域控制器計算裝置240至少可在 L γ域控制器計算裝置時,確保對象不會最終在盆 ,自身環迴。返回第4圖之所示系統彻,在域控制料 :裝置340進行之後端計算裝置230是否在域控制器計 ^裝置34G之域中的決定(如由第4圖中之虛線335所 厂、° 頁示後女而6十算裝置23〇實際上並不在與域控制器 計算褒置340相同之域中’亦即,不在域B 39〇中。因 、類似於如上參照域控制器計算裝置〇所述之方 式,域控制器計算裝置34〇可向中介層計算裝置22〇提 供回應345’豸回應345向中介層計算裝置22〇提供符 記1符記由域控制器計算裝置34〇簽名且指示中介層 計算裝置220企圖在中介層計算裝置22〇與後端計算裝 置230之通訊中充當用戶端計算裝置2ι〇。如前所述, 在一個實施例中,經由通訊345提供之符記可導引至另 一特疋域控制器計算裝置,諸如在域C 490中之域控制 器汁算裝置440。如前所述,為了區分如第4圖中所示 之域控制器計算裝置,將在第4圖中使用速記記法 「DC3」來標記域控制器計算裝置wo。 在自域控制器計算裝置340接收到通訊345之後,中 介層計算裝置220可如前所述導引作為用戶端計算裝置 210與後端計算裝置230通訊之請求425至由通訊345 指定之其他域控制器計算裝置,諸如第4圖中圖示之示 例性系統400中之域控制器計算裝置44〇。請求425可 包含符記420及中介層識別符43〇,該符記42〇可由通 29 201237639 Λ 3 4 5自域控制器計算裝置3 4 〇接收。在一個實施例中, 為了獲得由域控制器計算裝置34〇簽名之中介層識別符 430,中介層計算裝置220可請求域控制器計算裝置340 基於中介層識別符330產生該識別符43〇,該中介層識 別符330由中介層計算裝置220作為請求325之一部分 提供至域控制器計算裝置340。若域控制器計算裝置34〇 仏賴域控制器計算裝置24〇,則域控制器計算裝置34〇 可藉由域控制器計算裝置340自身在中介層識別符330 中之資訊簽名來產生中介層識別符430,該中介層識別 符330先前由域控制器計算裝置24〇簽名。如前所述, 在一個實施例中,中介層識別符430及符記420可特定 地導引至域控制器計算裝置44〇。 然後’域控制器計算裝置440可以先前對於域控制器 計算裝置240及域控制器計算裝置34〇所述之類似方式 繼續進行。特定言之,如虛線435所示,域控制器計算 裝置440可驗證識別為請求425之一部分之後端計算裝 置230是否實際上在與域控制器計算裝置44〇相同之域 中’亦即在第4圖之示例性系統4〇〇之域^ 490中。在 第4圖之所示實例中’因為後端計算裝置230在與域控 制器计异裝置440相同之域中,所以域控制器計算裝置 440可繼續參考一或更多政策決定後端計算裝置230是 否將允許中介層計算裝置220代理後端計算裝置230, 该一或更多政策包括例如由後端計算裝置23〇建立之政 策。如先前所示,由域控制器計算裝置44〇參考之政策 30 201237639 可參考中介層計算裝置220之各種態樣,且關於該等態 樣之資訊可包含於中介層識別符430中,該中介層識別 符430可由中介層計算裝置22〇經由通訊425提供至域 控制器計算裝置440 ’或者,該資訊可經由結合通訊425 執行之在域控制器計算裝置440與中介層計算裝置220 之間的進一步通訊交換提供。 如前所述,若域控制器計算裝置44〇決定允許中介層 計算裝置220代理後端計算裝置23〇,則域控制器計算 裝置440可經由通訊445向中介層計算裝置22〇返回服 務權證,該服務權證可由域控制器計算裝置44〇簽名, 且可使中介層計算裝置22〇能夠作為用戶端計算裝置 21〇與後端計算裝置23〇通訊。隨後,亦如先前所述, 中介層計算裝置220可對後端計算裝置23〇進行如由通 訊455所示之適當請求,且該等適當請求可包括由域控 制益計算裝置440經由通訊445提供之服務權證47〇。 另外,雖然僅圖示橫跨一個、兩個及三個域之情形,但 是如熟習該項技術者所瞭解,本文所述之機制同樣適合 於跨任何數目之域或其他類似劃分。 /轉至第5圖,該圖中圖示之流程圖500圖示一示例性 系列步驟,該等步驟可根據上述之機制由中介層計算裝 置執仃。最初地,在步驟5 j 〇處,可接收導引至資訊或 資源之用戶端請求,該資訊或該等資源為後端層計算裝 ^之—部分。進行請求之用戶端計算裝置亦可諸如藉由^ 提i、可由域控制器計算裝置簽名之識別符、符記,或其 31 201237639 他類似資訊來認證用戶端計算裝置自身。在步驟520 處,可諸如藉由使用域控制器計算裝置之公鑰來驗證提 供之資訊。若在步驟520處之認證失敗,則過程可進行 至步驟570,可在步驟570處報告錯誤。然後,相關過 程可在步驟580處結束。 然而,或是若在步驟520處之用戶端認證成功,則由 用戶端計算裝置提供之資訊,及關於中介層計算裝置之 進一步資訊可在步驟53〇處與允許作為用戶端計算裝置 與後端層計算裝置通訊之請求一起提供至域控制器計算 裝置,該由用戶端計算裝置提供之資訊,及關於中介層 計算裝置之進一步資訊兩者皆可由域控制器計算裝置簽 名。回應於在步驟530處提供之資訊,可在步驟54〇處 接收可由域控制器簽名之服務權證,或其他類似資訊之 集合。若在步驟540處接收該服務權證,則過程可繼續 進订至步驟550,且可將服務權證提供至適當後端層計 π裝置以代表請求在5 1 0處被接收之用戶端計算裝置與 後螭層計算裝置建立通訊。雖然該等通訊可以熟習該項 技術者熟知之方式繼續進行,但是與本描述有關之過程 可在步驟580處結束❶然而,若在步驟54〇處並未接收 到服務權證,則過程可繼續進行至步驟56〇,其中可接 收符記或其他資訊之集合來代替服務權證,該符記或其 他資訊之集合可導引請求作為至不同域控制器計算裝置 之用戶端計算裝置與後端層計算裝置通訊。若在步驟 560處’接收了該符記’則過程可返回步驟530且請求 32 201237639 可被導引至另一不同域控制器計算裴 ^ 取者’若在步 驟560處未接收到符記,且在步 W )4ϋ處未接收到服務 權證,則過程可繼續進行至步驟57〇,在步驟570處可 將適當錯誤報告給用戶端。以此方式,直至該中… 算裝置到達在與後端層計算裝置相同域中之域控制器計 算裝置,中介層計算裝置可_ *" Π Τ异展置_]繼續進打請求與來自一或更 二域:制器計算裝置之後端層計算裝置通訊之許可,此 …乍出關於是否指示後端層計算震置之—或更多相關 2策將允許中介層計算裝置代理後端層計算裝置之決 策。 轉至第6圖,該圖中圖示之流程圖6⑽圖示—示例性 系列步驟’該等步驟可根攄 弊J根據上文詳述之機制由域控制器 =裝置執行。最初地,在步驟61。處,可自中介層計 =置接收作為用戶端計算裝置與後端層計算裝置通訊 月长”、、、後’過程可繼續進行至步驟6別,在步驟㈣ 挺可=出在步驟㈣處接收之請求中指^之後端層計 μ置疋否在與執行流程圖_之步驟之計算裝置相同 、中的決定。若在步驟62〇處,決定後端層計算裝置 相同之域中,則過程繼續進行至步# 66〇,符記或 算:資訊之集合可在步驟66〇處產生且傳輸至中介層計 t :置纟步驟610處自該中介層計算裝置接收請求。 人夕驟660處產生且傳輸之符記或其他資訊之集合可包 勺:丨層汁算裝置導引至另-域控制器之資訊,且亦 °匕3通知其他域控制器中介層計算裝置正企圖在中介 33 201237639 層計算裝置與後端層計算裝置之通訊中充當用戶端計算 装置的資訊。另外,如上文所詳述,在步驟660處產生 且傳輸之資訊可進一步包含中介層計算裝置之識別,包 括例如可由域控制器計算裝置簽名之各種配置資訊。然 後’相關過程可在步驟670處結束’如圖所示。 或者’若在步驟620處決定在步驟61〇處接收之請求 導引至之後4層計异裝置實際上在相同域中,則過程 可繼續進行至步驟63〇,在該步驟63〇處可進行一或更 多政策之評估以決定後端層計算裝置是否允許進行在步 驟610處接收之中介層計算裝置代理後端層計算裝置之 請求。如先前所示,可參照—或更多政策在步驟63〇處 出决策,該一或更多政策可由相關後端層計算裝置定 義及提仪。另外’亦如先前所示,在步驟630處之決策 :包括決定請求之中介層計算裝置是否符合已由相關政 策建立之因素’包括例如,導引至中介層計算裝置之硬 體或軟體配置之因素。因而,在步驟63〇處之決策可包 括決定在步驟61G處由中介層計算裝置提供之資訊是否 由域控制益叶算裝置適當簽名且指示中介層計算裝置 :否符合由相關政策參考之因素。或者,亦如先前所示, 步驟630處之決定可包含與中介層計算裝置之進一步 心㈣定中介層計^置是否符合由相關政策參考之 因素’但是為了便於說明,該等額外通訊並未特定地圖 不於第6圖之流程圖6〇〇中。 若在步驟630處決定& < 士入 一 &允5午中介層計算裝置代理後端層 34 201237639 計算裝置,則過程可繼續進行至步驟64〇,在步驟64〇 處可將服務權證或其他資訊產生且傳輸至中介層計算裝 置,该服務權證或其他資訊容許中介層計算裝置在中介 層计裝置與後端層計算裝置之通訊中充當用戶端計算 裝置之°午可。然後,相關過程可在步驟670處結束。或 者,若在步驟630處決定相關政策不允許中介層計算裝 置代理後端層計算裝置,則過程可繼續進行至步驟 650 ’在步驟650處可向中介層計算裝置報告錯誤。然 後,相關過程可在步驟670處結束。 如可自上述描述中可見,本發明係關於一種代理機 制,其中呈現了如由正在被代理之計算裝置通知之一計 算裝置代理另-言十算裝置之能力。馨於本文描述之標的 之許多可能變化,吾人主張本發明之所有該等實施例皆 可落入以下申請專利範圍及其均等物的範疇中。 【圖式簡單說明】 可結合隨附圖式最佳地理解以上詳細描述,其中: 第1圖為示例性計算裝置之圖式;
第3圖為圖示用於使中介層言 +笪駐. 中
中的後端層計算裝置之另一示 示例性系列之通訊的系統 35 201237639 圖; 第5圖為示例性中介層計算裝置之示例性操作之流程 圖;以及 第6圖為示例性域控制器計算裝置之示例性操作之流 程圖。 【主要元件符號說明】 100 計算裝置 120 121 糸統匯流排 130 13 1 唯讀記憶體(ROM) 132 133 135 140 144 146 171 190 200 215 225 235 245 255 270 300 320 330 340 355 390 420 430 統 系 Jib組輸 模 /Λ 式統料 輸S)程 系資 本10他面業式 基(B其介作程 一般網路連接 TCG事件曰誌 系統 通訊 請求 虛線 通訊 通訊/請求 服務權證 系統 符記 中介層識別符 域控制器計算裝置 通訊/請求 域B 符記 中介層識別符 134 136 141 145 150 170 180 210 220 230 240 250 260 290 315 325 335 345 370 400 425 435 體 元 憶 單體記 理 憶取統 處}記存M)系 央PU統機A業 中(C系隨(R作 程式貢料 硬碟驅動器 其他程式模組 TPM 網路介面/配接器 網路 用戶端計算裝置 中介層計算.裝置 後端計算裝置 域控制器計算裝置 用戶端識別符 中介層識別符 域A 通訊 請求 虛線 回應/通訊 服務權證 示例性系統 通訊/請求 虛、線 36 47024681357 44555556666 置 裝 算 tt 器 制 圖 控訊C驟驟驟驟程驟驟驟 域通域步步步步流步步步 證 權圖 訊務程驟驟驟驟驟驟驟驟 通服流步步步步步步步步 37