CN1735011A - 检测网格指令的方法和装置 - Google Patents
检测网格指令的方法和装置 Download PDFInfo
- Publication number
- CN1735011A CN1735011A CN200510065687.8A CN200510065687A CN1735011A CN 1735011 A CN1735011 A CN 1735011A CN 200510065687 A CN200510065687 A CN 200510065687A CN 1735011 A CN1735011 A CN 1735011A
- Authority
- CN
- China
- Prior art keywords
- certificate
- request
- user
- handling system
- host name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 238000012545 processing Methods 0.000 claims abstract description 64
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000004590 computer program Methods 0.000 claims 9
- 108091027981 Response element Proteins 0.000 claims 1
- 230000008878 coupling Effects 0.000 claims 1
- 238000010168 coupling process Methods 0.000 claims 1
- 238000005859 coupling reaction Methods 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 56
- 238000010586 diagram Methods 0.000 description 20
- 238000012544 monitoring process Methods 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
公开了检测网格指令的方法和装置,用于授权用户访问网格资源。访问所述数据处理系统中资源的用户发出的请求被接收。这项请求包括证书。收到所述请求时,使用所述证书执行验证过程。响应在所述授权过程中成功地验证了所述用户,就为所述证书向可信来源请求第一主机名。接收含有所述第一主机名的答复。如果从所述可信来源返回的所述第一主机名与发出所述请求的用户的第二主机名匹配,就提供对所述资源的访问权限。
Description
技术领域
一般说来,本发明涉及改进的数据处理系统,确切地说,涉及管理网络资源的改进的方法和装置。更加确切地说,本发明涉及授权用户访问网上资源和检测网上指令的方法、装置和计算机指令。
背景技术
网络数据处理系统通常用于商务和科研的各个方面。这些网络用于交换数据和思想,以及提供储存信息的仓库。在许多情况下,组成网络数据处理系统的不同节点可以用于处理信息。各个节点可以执行不同的任务。另外,使不同的节点协同工作去求解共同的问题(比如复杂的计算)变得更加常见。参与资源共享模式的一组节点也被称为“网格”或者“网格网络”。例如,网格网络中的若干节点可以共享处理资源以便执行复杂的计算,例如破译密钥。
网格网络中的所述节点可以包含在网络数据处理系统之内,例如局域网(LAN)或者广域网(WAN)。这些节点也可以位于天南海北的不同地点。例如,连接到因特网的不同计算机可以向网格网络提供处理资源。通过利用数千台独立的计算机,就能够快速求解若干大问题。网格使用在许多领域中,比如癌症研究、物理和地质科学。
通过使用软件方便了网格的建立和管理,比如由Globus工具箱和IBM网格工具箱提供的软件。所述Globus工具箱是建立网格中使用的开放源工具箱。这种工具箱包括资源监控、探索和管理外加安全和文件管理所用的若干软件服务和程序库。所述工具箱由Globus联盟开发,它基于Argonne国家实验室、南加州大学信息科学院、芝加哥大学、爱丁堡大学以及瑞典并行计算机中心。所述IBM网格工具箱可以从国际商用机器系统公司(IBM)得到,与其系统一起使用。
对网格资源的访问通过验证过程提供,当用户请求访问所述资源时就执行它。验证过程可以包括输入用户名或口令。对于大多数网格系统,颁发证书作为所述验证过程的一部分。在许多网格中尤其是使用X.509证书。然而这些证书易于被窃。未授权用户可能窃取所述证书,并且将该文件置于其他数据处理系统中,伪装成所述用户。以这种方式,所述盗贼可以未经允许就得到访问所述网格上资源的权限并执行任务。由于这种类型的盗贼,未授权的网格资源使用可能造成处理资源收入的损失。
因此,为了对请求访问网络数据处理系统比如网格中资源的用户进行验证,具有改进的方法、装置以及计算机指令是有益的。
发明内容
本发明提供了一种方法、装置以及计算机指令,用于授权用户访问网格资源。访问所述数据处理系统中资源的用户发出的请求被接收。这项请求包括证书。收到所述请求时,使用所述证书执行验证过程。响应在所述授权过程中成功地验证了所述用户,就为所述证书向可信来源请求第一主机名。接收含有所述第一主机名的答复。如果从所述可信来源返回的所述第一主机名与发出所述请求的用户的第二主机名匹配,就提供对所述资源的访问权限。
附图说明
在附带的权利要求书中阐明了本发明据信有特征的新颖特性。不过,连同附图参考一个展示性实施例的以下详细说明,将会最好地理解发明本身以及其使用的优选模式、进一步的目的和优点,其中:
图1是一幅示意图,表达了可以实施本发明的数据处理系统的网络;
图2是数据处理系统的框图,根据本发明的优选实施例可以实施为服务器;
图3是一幅框图,展示了可以实施本发明的数据处理系统;
图4是一幅示意图,展示了根据本发明优选实施例,在网络数据处理系统中分布式逻辑单元中使用的组件;
图5A-5C是示意图,展示了根据本发明优选实施例颁发证书;
图6A-6C是示意图,展示了根据本发明优选实施例申请访问网格资源的数据流程;
图7是一幅处理流程图,用于根据本发明优选实施例获取证书;
图8是一幅处理流程图,用于根据本发明优选实施例请求访问网格资源;
图9是一幅处理流程图,用于根据本发明优选实施例,处理访问网格资源的请求;
图10是一幅处理流程图,用于根据本发明优选实施例,管理对验证信息的请求。
具体实施方式
现在参考附图,图1中的示意图描绘了可以实施本发明的数据处理系统的网络。网络数据处理系统100是计算机网络,其中可以实施本发明。网络数据处理系统100包括网络102,它是为网络数据处理系统100之内连接在一起的多种设备和计算机之间提供通信链接的媒介。网络102可以包括若干连接,比如有线、无线通信连接或者光缆。
在所描绘的实例中,服务器104与存储单元106一起连接到网络102。此外,客户机108、110和112也连接到网络102。这些客户机108、110和112可以是例如个人计算机或者网络计算机。在所描绘的实例中,服务器104向客户机108-112提供数据,比如引导程序文件,操作系统影像以及应用程序。客户机108、110和112是服务器104的客户。网络数据处理系统100还可以包括另外的未显示的服务器、客户机以及其他设备。
在所描绘的实例中,网络数据处理系统100是因特网,其中网络102表示使用传输控制协议/因特网协议(TCP/IP)组进行相互通信之网络和网关的全球集合。因特网的核心是主节点或主机之间高速数据通信线路的骨干网,连接着数千个用于路由数据和传递消息的商业、政府、教育以及其他行业的计算机系统。当然,网络数据处理系统100也可以实施为许多不同类型的网络,比如内联网、局域网(LAN)或广域网(WAN)。图1只是用作实例,而不是本发明的架构限制。
参考图2,根据本发明的优选实施例,描绘了数据处理系统的框图,它可以实施为服务器,比如图1中的服务器104。数据处理系统200可以是对称式多处理器(SMP)系统,包括连接到系统总线206的多个处理器202和204。作为选择,也可以采用单处理器系统。存储控制器/高速缓存208也连接到系统总线206上,它提供了到本机存储器209的接口。I/O总线桥接器210连接到系统总线206上,提供了到I/O总线212的接口。如图所示,存储控制器/高速缓存208和I/O总线桥接器210可以集成在一起。
连接到I/O总线212的外围组件互连(PCI)总线桥接器214提供了到PCI局域总线216的接口。PCI局域总线216可以连接多个调制解调器。典型的PCI总线实施方案将支持四个PCI扩展槽或者说内插附件连接器。通过以内插附件连接器连接到PCI局域总线216的调制解调器218和网络适配器220,可以提供图1中与客户机108-112的通信链接。
另外的PCI总线桥接器222和224为另外的PCI局域总线226和228提供了接口,可以支持另外的调制解调器或网络适配器。以这种方式,数据处理系统200能够连接到多台网络计算机。如图所示,存储器映射图形适配器230和硬盘232也可以或者直接地或者间接地连接到I/O总线212。
本领域的技术人员将会认同,图2所示的硬件可以改变。例如,其他某些外围设备,比如光盘驱动器等也可以加入或替换所示的硬件。所示实例并不意味着暗示对本发明的架构限制。
图2所示的数据处理系统可以是例如IBM eServer pServer系统,纽约州Armonk国际商用机器公司的产品,运行高级交互执行(AIX)操作系统或LINUX操作系统。
现在参考图3,框图展示了可以实施本发明的数据处理系统。数据处理系统300是客户机的实例。数据处理系统300采用外围组件互连(PCI)局域总线架构。尽管所示实例采用了PCI总线,但是也可以使用其他总线架构,比如加速图形端口(AGP)和工业标准架构(ISA)。处理器302和主存储器304通过PCI总线桥接器308连接到PCI局域总线306。PCI桥接器308也可以包括处理器302所用的集成存储控制器和高速缓存。通过直接组件互连或通过内插附件电路板,可以对PCI局域总线306进行另外的连接。在所示实例中,局域网(LAN)适配器310、SCSI主机总线适配器312和扩展总线接口314通过直接组件连接到PCI局域总线306。相反,音频适配器316、图形适配器318以及音频/视频适配器319通过插入扩展槽的内插附件电路板连接PCI局域总线306。扩展总线接口314为键盘和鼠标适配器320、调制解调器322以及附加存储器324提供连接。小型计算机系统接口(SCSI)主机总线适配器312为硬盘驱动器326、磁带驱动器328以及CD-ROM驱动器330提供连接。典型的PCI局域总线实施方案将支持三到四个PCI扩展槽或者说内插附件连接器。
本领域的技术人员将会认同,图3所示的硬件可以随所述实施而变。其他内部硬件或外围设备,比如闪速只读存储器(ROM)、等效非易失性存储器或光盘驱动器等可以加入或替换图3所示的硬件。此外,本发明的所述过程也可以应用于多处理器数据处理系统。
图3所示实例和上述实例并不意味着暗示架构限制。例如,数据处理系统300也可以是笔记本计算机或者存取PDA设备的掌上计算机。数据处理系统300也可以是信息站或网络家电。
现在参考图4,其中的示意图展示了根据本发明优选实施例,在网络数据处理系统中分布式逻辑单元中使用的组件。在这个实例中,节点400、402、404、406、408、410和412是网格414中的节点。节点416、418和420不是所述网格中的节点。这些节点可以位于网络数据处理系统中,比如图1的网络数据处理系统100。在这个实例中,这些节点都是网络的一部分,比如因特网、内联网、局域网、广域网或者这些和另外类型网络的某种组合。
本发明认识到,在网络数据处理系统比如网格中所用的证书,比如X.509证书,易于被窃。证书可能被窃并被置于其他数据处理系统,以访问网格资源。可以采用的一种机制是让所述用户去颁发代理证书,其使用期限短,而不是真正提交从所述证书授权机构收到的所述证书。即使采用这种机制,资源也可能在短时间内被窃。本发明的机制通过使所述用户在请求证书时向所述授权机构提交主机名而克服了这些问题。当节点比如节点406收到了证书或代理证书,节点406就使用所述证书验证所述用户。如果所述证书是代理证书,节点406就判断所述证书是否过期。如果验证了所述用户,那么节点406就向所述授权机构请求主机名。把这个主机名与所述用户所在位置的所述主机名进行比较。所述用户的所述主机名由节点406识别。这个节点进行所述识别时通过考察收到所述证书的连接。基于这个连接和所述连接相关联的IP地址,节点406能够确定发出所述请求的主机名。采用这种技术是因为如果某人已经窃取了所述证书,该用户很有可能包括假的主机名。当节点406查询授权机构时,把所述证书授权机构存储的所述主机名与节点406识别的所述主机名进行对比。
如果所述主机名相匹配,就提供对节点406中所述请求资源的访问权限。否则,拒绝对节点406的访问,并且所述节点可以发出报警,指明已经出现了非法访问这个节点的企图。这项警报可以发送到位于所述网格中另一个节点上的某个管理过程,以及/或者可以发送到所述授权机构。
现在参考图5A-5C,所示的三幅示意图展示了根据本发明优选实施例颁发证书。在图5A中,用户500产生请求502,以便得到证书用于访问网格。在这个实例中,请求502的实例是“grid-cert-request”。所述请求由注册机构504处理。在这个展示性实例中,注册机构504方便了所述处理,它对请求所述证书之所述用户的身份进行审查。按照所述实施方案,证书授权机构508可以直接处理请求502。无论在哪种情况下,都是授权机构508最终处理请求502中的所述证书请求,并且把签署了的证书返回用户500。
在图5B中,注册机构504向授权机构508发送请求506。证书请求中位置和文件名的实例是“$HOME/.globus/usercert_request.pem”。请求506的实例是在这个位置的所述请求。在本发明这些展性实例中,请求506包括所述用户的所述主机名,以及描述所述用户的其他信息。按照具体的实施方案,证书授权机构508可以专门要求所述用户出示在将要使用所述证书之所述数据处理系统中的标识。另外,也可以由注册机构504通过考察用户500和注册机构504之间所述连接中的连接信息,对所述数据处理系统的所述主机名进行识别。在这种情况下,注册机构504将向证书授权机构508发送所述主机名。如果用户500直接向证书授权机构508发送请求502,授权机构508也可以从与所述用户的所述连接直接识别所述主机名。
根据本发明优选实施例,请求506符合使用所述Globus工具箱产生的那些请求,同时增加了主机名。除了向所述用户颁发所述证书时的所述正常处理之外,证书授权机构508还记载或者说存储与所述用户相关联的这个主机名。
然后,证书授权机构508向注册机构504返回证书510。然后,注册机构504向用户500返回证书510。现在证书510存储在所述用户的数据处理系统中。
在这个实例中,“$HOME/.globus/usercert.pem”是证书路径和文件名的实例,比如在所述用户的数据处理系统中的证书510。在这些展示性实例中,证书510是X.509证书。X.509证书目前在网格系统中用于验证用户。所述证书是证书授权机构发出的、与数字签名相关联的公共密钥。所述证书授权机构签发所述证书是通过在所述证书中产生所有字段的摘要或者说散列,并且用其私有密钥加密所述散列值。所述签名置于所述证书中。所述证书可以再由另一个证书授权机构签署,形成签署链,可以追踪到发现根证书。在这些展示性实例中,证书510具有标准的数字证书格式,作为本发明所述处理的一部分,用于验证所述用户。
在图5C中,证书510存储在所述用户的数据处理系统中。在这些实例中证书510由口令保护。另外,证书510以增强保密邮件格式(PEM)编码。所述用户可以进一步从证书510产生代理证书。在这个实例中,命令grid-cert-init可以用于产生代理证书,它具有以下路径和文件名:“/tmp/x509.<uid>”。这份代理证书仅在限定的期间内有效,比如24小时。以这种方式,如果所述证书被窃,它仅能够在短期间内使用。
现在转向图6A-6C,所示的三幅示意图展示了根据本发明优选实施例,请求访问网格资源中的数据流。在这个展示性实例中,在图6A中用户600向网格过程604发送作业请求602。用户600和网格过程604位于同一个数据处理系统中。用于产生作业请求602的命令实例是“globusrun-o-r<remote_host><execute job>”。在这个实例中,所述远程主机是所述网格资源的标识符,可执行作业是要由所述网格资源要运行的过程或者说任务的名称。网格过程604是用户使用的软件,用于产生和发送请求,以便访问网格上的网格资源。在所述Globus工具箱2.4中或者所述IBM网格工具箱2.2中的所述globusrun程序之内可以实施网格过程604。在这种情况下,这个过程的执行使所述过程寻找所述代理证书,并且将其发送以进行验证。这个过程为用户提供了接口,以产生和发送请求,执行任务或者说过程。典型情况下,这些请求是请求访问网格资源以便执行任务,比如数值计算。
在图6B中,当网格过程604收到作业请求602时,就产生作业请求602,并且发送至远程主机监控进程608。这个监控进程过程位于远程数据处理系统上,比如图4中的节点406。在所述Globus工具箱的所述网格网守中可能会发现这个主机监控进程。把这个组件修改为包括本发明的所述机制。
这个远程主机监控进程所在的节点接收访问节点上网格资源的请求,并且判断是否允许访问这些资源。在这些展示性实例中,作业请求606包括代理证书。
远程主机监控进程608对在作业请求606中收到的所述证书执行验证处理。如果所述用户通过了验证,远程主机监控进程608就执行附加的步骤,判断是否允许用户600访问网格资源。在这些展示性实例中,远程主机监控进程608在图6C中向证书授权机构612发送请求610。请求610包括请求的撤销列表和主机名。证书授权机构612收到请求610时,验证远程主机监控进程608。证书授权机构612保留撤销列表,用于识别近期已经取消的证书。此外,在这些展示性实例中,证书授权机构612也包含与用户及其证书相关联的主机名列表。
另外,证书授权机构612处于独特的位置,以便检测证书是否已经被窃,并正运行在其他数据处理系统中。请求610也包括在作业请求606中收到的所述证书或者所述用户的每种其他标识。利用所述用户的所述证书,如果远程主机监控进程608通过了验证,就识别与所述证书相关联的所述主机名并且在响应614中与证书撤销列表一起返回。
收到响应614时,远程主机监控进程608判断在作业请求606中收到的所述证书是否在所述证书撤销列表上。如果所述证书不在所述撤销列表上,远程主机监控进程608就返回由证书授权机构612返回的所述主机名,以及发出作业请求606之所述数据处理系统的所述主机名。如果所述主机名相匹配,就提供对网格资源的访问权限。
否则,在这些展示性实例中就拒绝访问并产生警报。这项警报发送到证书授权机构612和/或另一个管理过程。利用这项警报,就可以启动适当的措施或监控,以便防止进一步侵入所述网格。这些措施可以包括例如把所述证书置于撤销列表中或者识别发出所述被窃代理的所述主机。
通过对比主机名,本发明能够检测非法访问网格资源的企图。这种类型的对比同样可以用于证书和代理证书。即使代理证书仅仅延续很短时间,但是一份代理证书已经被窃的事实表明通过与窃取所述第一份代理证书所用之相同方法,其后可能窃取另一份。
现在参考图7,其中描绘了根据本发明优选实施例获取证书的处理流程图。图7中展示的所述过程可以在用户数据处理系统中实施,比如图3中的数据处理系统300。更确切地说,这个过程可以在注册机构中实施,比如图5中的注册机构504。所述过程开始于收到用户对证书的请求(步骤700)。下一步,产生所述证书的请求(步骤702)。然后,把证书请求发送到所述证书授权机构(步骤704)。在步骤704中的所述请求包括所述用户产生所述请求所在的所述数据处理系统的所述主机名。接收证书(步骤706)。然后,存储所述证书(步骤708),随后所述过程终止。在步骤708中通过把所述证书发送到所述用户的数据处理系统而存储所述证书。这份证书包括在访问网格资源的请求中。
现在参考图8,其中描绘了根据本发明优选实施例请求访问网格资源的处理流程图。图8中展示的所述过程可以在网格过程中实施,比如图6中的网格过程604。
所述过程开始于收到用户的作业请求(步骤800)。下一步,产生有时间限制的代理证书(步骤802)。在这些展示性实例中,步骤802是可选的然而是建议的步骤,用于在万一所述证书被窃时限制它的使用。然后,产生包括所述代理证书的请求(步骤804)。下一步,把所述请求发送到节点(步骤806),随后所述过程终止。
现在参考图9,其中描绘了根据本发明优选实施例处理访问网格资源之请求的处理流程图。图9中展示的所述过程可以在网格节点过程中实施,比如图6中的远程主机监控进程608。
所述过程开始于收到包括代理证书的作业请求(步骤900)。下一步,向证书授权机构申请证书撤销列表和主机名(步骤902)。在这些展示性实例中,通过包括所述代理证书推出这项请求。从所述证书授权机构接收答复(步骤904)。这项答复包括所述证书撤销列表和与所述证书相关联的所述主机名。
然后把所述代理证书与所述证书撤销列表进行对比(步骤906)。下一步,对是否相匹配进行判断(步骤908)。如果所述代理证书与所述列表不相匹配,就把从所述证书授权机构收到的所述主机名与发出所述请求的所述客户的主机名进行对比(步骤910)。下一步,对所述主机名之间是否相匹配进行判断(步骤912)。步骤912用于判断所述证书是否正在用在被授权的数据处理系统中。
如果相匹配,就执行所请求的作业(步骤914),随后所述过程终止。回头参考步骤908,如果相匹配,那么就产生警报(步骤916),随后所述过程终止。在这种情况下,所述代理证书已经被取消。在步骤912中如果不相匹配,那么就产生警报,随后所述过程终止。在这种情况下,所述代理证书正在用在与所述用户不同的位置。
现在转向图10,其中描绘了根据本发明优选实施例管理对验证信息之请求的处理流程图。图10中展示的所述过程可以在证书授权机构中实施,比如图6中的证书授权机构612。
所述过程开始于从节点收到对证书撤销列表和主机名的请求(步骤1000)。在这些展示性实例中,所述请求也包括标识请求访问所述网格资源之所述用户的所述证书。检索所述证书撤销列表(步骤1002),并且由所述请求识别主机名(步骤1004)。从步骤1000中收到的所述请求中包括的证书识别所述主机名。向所述节点返回所述证书撤销列表和所述主机名(步骤1006),随后所述过程终止。
因此,本发明提供了一种方法、装置以及计算机指令,用于识别访问网格资源的未授权企图。本发明的所述机制授权用户时根据发出所述请求的所述数据处理系统的所述主机名和与所述用户的所述证书相关联的所述主机名。除了当前执行的其他验证过程以外,还要采取这个步骤。本发明的所述机制同样利用证书和代理证书,以便提供另外的安全保障,防止对网格资源的未授权使用。
重要的是注意到,虽然介绍本发明时是在全功能数据处理系统的环境下,但是本领域的普通技术人员将会认同,本发明的所述过程也能够以计算机可读介质上指令的形式和多种形式发行,而且无论实际进行所述发行所用的信号承载介质的具体类型如何,本发明都同样适用。计算机可读介质的例子包括可记录类型的介质,比如软盘、硬盘驱动器、RAM、CD-ROM、DVD-ROM和传输类型媒介,比如数字和模拟通信链路、有线和无线通信链路,使用的传输形式比如射频和光波传输。所述计算机可读介质可以采取编码格式的形式,在具体的数据处理系统中解码后再实际使用。
为了展示和说明的目的已经呈现了本发明的描述,这不意味着面面俱到或者把本发明限制在所公开的形式。许多改进和变化对本领域的普通技术人员而言是显而易见的。虽然所述展示性实例是关于网格进行描述的,本发明的所述机制也可以应用于除网格之外的其他网络处理系统。选择和介绍所述实施例是为了最好地讲解本发明的原理、实际应用以及使得本领域的其他普通技术人员能够理解本发明,以便对于预期的具体使用作出适宜的、具有多种修改的多种实施例。
Claims (25)
1.一种在数据处理系统中授权用户访问网格资源的方法,所述方法包括:
从所述用户接收访问所述数据处理系统中资源的请求,所述请求包括证书;
响应接收到所述请求,使用所述证书执行验证过程;
响应在所述验证过程中成功地验证了所述用户,从可信来源为所述证书请求第一主机名;以及
响应接收到所述第一主机名,如果由所述可信来源返回的所述第一主机名与发出所述请求的用户的第二主机名匹配,就提供对所述资源的访问权限。
2.根据权利要求1的方法,其特征在于,所述可信来源是证书授权机构。
3.根据权利要求1的方法,进一步包括:
响应在所述验证过程中成功地验证了所述用户,从所述可信来源请求撤销列表;
使用所述撤销列表判断所述证书是否已经被撤销;以及
如果所述证书已经被撤销,就防止访问所述资源。
4.根据权利要求1的方法,其特征在于,所述证书是代理证书,所述代理证书仅在选定的期间内有效。
5.根据权利要求1的方法,其特征在于,所述第一主机名用于所述用户的客户数据处理系统,并且在颁发所述证书时在所述可信来源注册。
6.根据权利要求1的方法,其特征在于,所述证书是X.509证书。
7.根据权利要求1的方法,其特征在于,所述访问所述资源是在所述数据处理系统中运行任务。
8.根据权利要求1的方法,其特征在于,所述数据处理系统是网格的一部分。
9.一种数据处理系统,用于授权用户访问网格资源,所述数据处理系统包括:
接收装置,从所述用户接收访问所述数据处理系统中资源的请求,所述请求包括证书;
执行装置,响应接收到所述请求,使用所述证书执行验证过程;
请求装置,响应在所述验证过程中成功地验证了所述用户,从可信来源为所述证书请求第一主机名;以及
提供装置,响应接收到所述第一主机名,如果由所述可信来源返回的所述第一主机名与发出所述请求的用户的第二主机名匹配,就提供对所述资源的访问权限。
10.根据权利要求9的数据处理系统,其特征在于,所述可信来源是证书授权机构。
11.根据权利要求9的数据处理系统,其特征在于,所述请求装置是第一请求装置而且进一步包括:
第二请求装置,响应在所述验证过程中成功地验证了所述用户,从所述可信来源请求撤销列表;
判断装置,使用所述撤销列表判断所述证书是否已经被撤销;以及
防止装置,如果所述证书已经被撤销,就防止访问所述资源。
12.根据权利要求9的数据处理系统,其特征在于,所述证书是代理证书,所述代理证书仅在选定的期间内有效。
13.根据权利要求9的数据处理系统,其特征在于,所述第一主机名用于所述用户的客户数据处理系统,并且在颁发所述证书时在所述可信来源注册。
14.根据权利要求9的数据处理系统,其特征在于,所述证书是X.509证书。
15.根据权利要求9的数据处理系统,其特征在于,所述访问所述资源是在所述数据处理系统中运行任务。
16.根据权利要求9的数据处理系统,其特征在于,所述数据处理系统是网格的一部分。
17.一种在计算机可读介质中的计算机程序产品,用于授权用户访问网格资源,所述计算机程序产品包括:
第一指令,从所述用户接收访问所述数据处理系统中资源的请求,所述请求包括证书;
第二指令,响应接收到所述请求,使用所述证书执行验证过程;
第三指令,响应在所述验证过程中成功地验证了所述用户,从可信来源为所述证书请求第一主机名;以及
第四指令,响应接收到所述第一主机名,如果由所述可信来源返回的所述第一主机名与发出所述请求的用户的第二主机名匹配,就提供对所述资源的访问权限。
18.根据权利要求17的计算机程序产品,其特征在于,所述可信来源是证书授权机构。
19.根据权利要求17的计算机程序产品,进一步包括:
第五指令,响应在所述验证过程中成功地验证了所述用户,从所述可信来源请求撤销列表;
第六指令,使用所述撤销列表判断所述证书是否已经被撤销;以及
第七指令,如果所述证书已经被撤销,就防止访问所述资源。
20.根据权利要求17的计算机程序产品,其特征在于,所述证书是代理证书,所述代理证书仅在选定的期间内有效。
21.根据权利要求17的计算机程序产品,其特征在于,所述第一主机名用于所述用户的客户数据处理系统,并且在颁发所述证书时在所述可信来源注册。
22.根据权利要求17的计算机程序产品,其特征在于,所述证书是X.509证书。
23.根据权利要求17的计算机程序产品,其特征在于,所述访问所述资源是在所述数据处理系统中运行任务。
24.根据权利要求17的计算机程序产品,其特征在于,所述数据处理系统是网格的一部分。
25.一种数据处理系统,包括:
总线系统;
连接到所述总线系统的存储器,其中所述存储器包括一组指令;以及
连接到所述总线系统的处理单元,其中所述处理单元执行所述指令组,从用户接收访问所述数据处理系统中资源的请求,所述请求包括证书;使用所述证书执行验证过程,以响应接收到所述请求;从可信来源为所述证书请求第一主机名,以响应在所述验证过程中成功地验证了所述用户;以及如果由所述可信来源返回的所述第一主机名与发出所述请求的用户的第二主机名匹配,就提供对所述资源的访问权限,以响应接收到所述第一主机名。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/829,856 | 2004-04-22 | ||
| US10/829,856 US7380129B2 (en) | 2004-04-22 | 2004-04-22 | Method and apparatus for detecting grid intrusions |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1735011A true CN1735011A (zh) | 2006-02-15 |
| CN1735011B CN1735011B (zh) | 2010-09-08 |
Family
ID=35137839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510065687.8A Expired - Fee Related CN1735011B (zh) | 2004-04-22 | 2005-04-21 | 检测网格指令的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US7380129B2 (zh) |
| CN (1) | CN1735011B (zh) |
Families Citing this family (65)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8473620B2 (en) * | 2003-04-14 | 2013-06-25 | Riverbed Technology, Inc. | Interception of a cloud-based communication connection |
| US7337363B2 (en) * | 2003-09-19 | 2008-02-26 | International Business Machines Corporation | Ghost agents within a grid environment |
| US20070180225A1 (en) * | 2005-02-24 | 2007-08-02 | Schmidt Jeffrey A | Method and system for performing authentication and traffic control in a certificate-capable session |
| US8438628B2 (en) * | 2005-08-10 | 2013-05-07 | Riverbed Technology, Inc. | Method and apparatus for split-terminating a secure network connection, with client authentication |
| US8478986B2 (en) * | 2005-08-10 | 2013-07-02 | Riverbed Technology, Inc. | Reducing latency of split-terminated secure communication protocol sessions |
| US8613071B2 (en) * | 2005-08-10 | 2013-12-17 | Riverbed Technology, Inc. | Split termination for secure communication protocols |
| US20090083537A1 (en) * | 2005-08-10 | 2009-03-26 | Riverbed Technology, Inc. | Server configuration selection for ssl interception |
| EP1801720A1 (en) * | 2005-12-22 | 2007-06-27 | Microsoft Corporation | Authorisation and authentication |
| EP1826695A1 (en) * | 2006-02-28 | 2007-08-29 | Microsoft Corporation | Secure content descriptions |
| US8782393B1 (en) | 2006-03-23 | 2014-07-15 | F5 Networks, Inc. | Accessing SSL connection data by a third-party |
| US20070294404A1 (en) * | 2006-06-15 | 2007-12-20 | International Business Machines Corporation | Method and system for authorization and access control delegation in an on demand grid environment |
| US8019871B2 (en) * | 2006-07-27 | 2011-09-13 | Hewlett-Packard Development Company, L.P. | Federation of grids using rings of trust |
| US8355709B2 (en) * | 2006-10-23 | 2013-01-15 | Qualcomm Incorporated | Device that determines whether to launch an application locally or remotely as a webapp |
| US7974286B2 (en) * | 2006-12-04 | 2011-07-05 | International Business Machines Corporation | Reduced redundant security screening |
| US8087066B2 (en) * | 2007-04-12 | 2011-12-27 | Oracle America, Inc. | Method and system for securing a commercial grid network |
| US8707043B2 (en) * | 2009-03-03 | 2014-04-22 | Riverbed Technology, Inc. | Split termination of secure communication sessions with mutual certificate-based authentication |
| US8700892B2 (en) | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
| US10210162B1 (en) | 2010-03-29 | 2019-02-19 | Carbonite, Inc. | Log file management |
| US9715325B1 (en) | 2012-06-21 | 2017-07-25 | Open Text Corporation | Activity stream based interaction |
| US11037147B2 (en) * | 2012-07-09 | 2021-06-15 | The Western Union Company | Money transfer fraud prevention methods and systems |
| WO2015200211A1 (en) | 2014-06-22 | 2015-12-30 | Webroot Inc. | Network threat prediction and blocking |
| US9998150B1 (en) | 2015-06-16 | 2018-06-12 | Amazon Technologies, Inc. | Layered data redundancy coding techniques for layer-local data recovery |
| US10977128B1 (en) | 2015-06-16 | 2021-04-13 | Amazon Technologies, Inc. | Adaptive data loss mitigation for redundancy coding systems |
| US10298259B1 (en) | 2015-06-16 | 2019-05-21 | Amazon Technologies, Inc. | Multi-layered data redundancy coding techniques |
| US10270476B1 (en) | 2015-06-16 | 2019-04-23 | Amazon Technologies, Inc. | Failure mode-sensitive layered redundancy coding techniques |
| US10270475B1 (en) | 2015-06-16 | 2019-04-23 | Amazon Technologies, Inc. | Layered redundancy coding for encoded parity data |
| US10289686B1 (en) | 2015-06-30 | 2019-05-14 | Open Text Corporation | Method and system for using dynamic content types |
| US10162704B1 (en) | 2015-07-01 | 2018-12-25 | Amazon Technologies, Inc. | Grid encoded data storage systems for efficient data repair |
| US10108819B1 (en) | 2015-07-01 | 2018-10-23 | Amazon Technologies, Inc. | Cross-datacenter extension of grid encoded data storage systems |
| US9998539B1 (en) | 2015-07-01 | 2018-06-12 | Amazon Technologies, Inc. | Non-parity in grid encoded data storage systems |
| US9904589B1 (en) | 2015-07-01 | 2018-02-27 | Amazon Technologies, Inc. | Incremental media size extension for grid encoded data storage systems |
| US10394762B1 (en) | 2015-07-01 | 2019-08-27 | Amazon Technologies, Inc. | Determining data redundancy in grid encoded data storage systems |
| US10089176B1 (en) | 2015-07-01 | 2018-10-02 | Amazon Technologies, Inc. | Incremental updates of grid encoded data storage systems |
| US10198311B1 (en) | 2015-07-01 | 2019-02-05 | Amazon Technologies, Inc. | Cross-datacenter validation of grid encoded data storage systems |
| US9959167B1 (en) * | 2015-07-01 | 2018-05-01 | Amazon Technologies, Inc. | Rebundling grid encoded data storage systems |
| US9928141B1 (en) | 2015-09-21 | 2018-03-27 | Amazon Technologies, Inc. | Exploiting variable media size in grid encoded data storage systems |
| US11386060B1 (en) | 2015-09-23 | 2022-07-12 | Amazon Technologies, Inc. | Techniques for verifiably processing data in distributed computing systems |
| US9940474B1 (en) | 2015-09-29 | 2018-04-10 | Amazon Technologies, Inc. | Techniques and systems for data segregation in data storage systems |
| US20240414156A1 (en) * | 2023-06-12 | 2024-12-12 | Qomplx Llc | Dynamic authentication revocation utilizing privilege assurance |
| US10394789B1 (en) | 2015-12-07 | 2019-08-27 | Amazon Technologies, Inc. | Techniques and systems for scalable request handling in data processing systems |
| US9785495B1 (en) | 2015-12-14 | 2017-10-10 | Amazon Technologies, Inc. | Techniques and systems for detecting anomalous operational data |
| US10642813B1 (en) | 2015-12-14 | 2020-05-05 | Amazon Technologies, Inc. | Techniques and systems for storage and processing of operational data |
| US10248793B1 (en) | 2015-12-16 | 2019-04-02 | Amazon Technologies, Inc. | Techniques and systems for durable encryption and deletion in data storage systems |
| US10102065B1 (en) | 2015-12-17 | 2018-10-16 | Amazon Technologies, Inc. | Localized failure mode decorrelation in redundancy encoded data storage systems |
| US10235402B1 (en) | 2015-12-17 | 2019-03-19 | Amazon Technologies, Inc. | Techniques for combining grid-encoded data storage systems |
| US10127105B1 (en) | 2015-12-17 | 2018-11-13 | Amazon Technologies, Inc. | Techniques for extending grids in data storage systems |
| US10180912B1 (en) | 2015-12-17 | 2019-01-15 | Amazon Technologies, Inc. | Techniques and systems for data segregation in redundancy coded data storage systems |
| US10324790B1 (en) | 2015-12-17 | 2019-06-18 | Amazon Technologies, Inc. | Flexible data storage device mapping for data storage systems |
| JP2017152986A (ja) * | 2016-02-25 | 2017-08-31 | キヤノン株式会社 | 認証システム、画像形成装置とその制御方法、及びプログラム |
| US10592336B1 (en) | 2016-03-24 | 2020-03-17 | Amazon Technologies, Inc. | Layered indexing for asynchronous retrieval of redundancy coded data |
| US10678664B1 (en) | 2016-03-28 | 2020-06-09 | Amazon Technologies, Inc. | Hybridized storage operation for redundancy coded data storage systems |
| US10366062B1 (en) | 2016-03-28 | 2019-07-30 | Amazon Technologies, Inc. | Cycled clustering for redundancy coded data storage systems |
| US10061668B1 (en) | 2016-03-28 | 2018-08-28 | Amazon Technologies, Inc. | Local storage clustering for redundancy coded data storage system |
| US11137980B1 (en) | 2016-09-27 | 2021-10-05 | Amazon Technologies, Inc. | Monotonic time-based data storage |
| US11204895B1 (en) | 2016-09-28 | 2021-12-21 | Amazon Technologies, Inc. | Data payload clustering for data storage systems |
| US10496327B1 (en) | 2016-09-28 | 2019-12-03 | Amazon Technologies, Inc. | Command parallelization for data storage systems |
| US10810157B1 (en) | 2016-09-28 | 2020-10-20 | Amazon Technologies, Inc. | Command aggregation for data storage operations |
| US10657097B1 (en) | 2016-09-28 | 2020-05-19 | Amazon Technologies, Inc. | Data payload aggregation for data storage systems |
| US11281624B1 (en) | 2016-09-28 | 2022-03-22 | Amazon Technologies, Inc. | Client-based batching of data payload |
| US10437790B1 (en) | 2016-09-28 | 2019-10-08 | Amazon Technologies, Inc. | Contextual optimization for data storage systems |
| US10614239B2 (en) | 2016-09-30 | 2020-04-07 | Amazon Technologies, Inc. | Immutable cryptographically secured ledger-backed databases |
| US10296764B1 (en) | 2016-11-18 | 2019-05-21 | Amazon Technologies, Inc. | Verifiable cryptographically secured ledgers for human resource systems |
| US11269888B1 (en) | 2016-11-28 | 2022-03-08 | Amazon Technologies, Inc. | Archival data storage for structured data |
| US10728034B2 (en) | 2018-02-23 | 2020-07-28 | Webroot Inc. | Security privilege escalation exploit detection and mitigation |
| US11314863B2 (en) | 2019-03-27 | 2022-04-26 | Webroot, Inc. | Behavioral threat detection definition and compilation |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5796830A (en) | 1996-07-29 | 1998-08-18 | International Business Machines Corporation | Interoperable cryptographic key recovery system |
| GB2357228B (en) | 1999-12-08 | 2003-07-09 | Hewlett Packard Co | Method and apparatus for discovering a trust chain imparting a required attribute to a subject |
| US6754829B1 (en) | 1999-12-14 | 2004-06-22 | Intel Corporation | Certificate-based authentication system for heterogeneous environments |
| US7020778B1 (en) * | 2000-01-21 | 2006-03-28 | Sonera Smarttrust Oy | Method for issuing an electronic identity |
| US20050240765A1 (en) | 2004-04-22 | 2005-10-27 | International Business Machines Corporation | Method and apparatus for authorizing access to grid resources |
-
2004
- 2004-04-22 US US10/829,856 patent/US7380129B2/en not_active Expired - Fee Related
-
2005
- 2005-04-21 CN CN200510065687.8A patent/CN1735011B/zh not_active Expired - Fee Related
-
2008
- 2008-05-20 US US12/123,889 patent/US7765589B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US7380129B2 (en) | 2008-05-27 |
| US20080216166A1 (en) | 2008-09-04 |
| US7765589B2 (en) | 2010-07-27 |
| CN1735011B (zh) | 2010-09-08 |
| US20050240777A1 (en) | 2005-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1735011A (zh) | 检测网格指令的方法和装置 | |
| US8041955B2 (en) | Grid mutual authorization through proxy certificate generation | |
| EP1914658B1 (en) | Identity controlled data center | |
| US6189103B1 (en) | Authority delegation with secure operating system queues | |
| US8024488B2 (en) | Methods and apparatus to validate configuration of computerized devices | |
| JP3466025B2 (ja) | コンピュータ・ネットワークにおけるマスカレード・アタック保護方法及びその装置 | |
| JP4107669B2 (ja) | 動的に生成された公開鍵/秘密鍵対を用いたプログラム間認証のための装置および方法 | |
| WO2007048724A1 (en) | Method and apparatus for secure network authentication | |
| CN1507203A (zh) | 用于对网络位置的子位置进行用户验证的方法和系统 | |
| CN115333840B (zh) | 资源访问方法、系统、设备及存储介质 | |
| CN1855814A (zh) | 一种安全的统一身份认证方案 | |
| JP2002064485A (ja) | 公開鍵インフラストラクチャにおける安全なレガシー・エンクレーヴのためのシステム及び方法 | |
| CN1901452A (zh) | 用于网络单元认证的多层次和多因素安全证书管理 | |
| US8935417B2 (en) | Method and system for authorization and access control delegation in an on demand grid environment | |
| US7308578B2 (en) | Method and apparatus for authorizing execution for applications in a data processing system | |
| US20050240765A1 (en) | Method and apparatus for authorizing access to grid resources | |
| US20070297615A1 (en) | Computing Device with a Process-Based Keystore and method for Operating a Computing Device | |
| CN1725687A (zh) | 一种安全认证方法 | |
| Cordis et al. | Considerations in mitigating Kerberos vulnerabilities for active directory | |
| KR20030091866A (ko) | 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템 | |
| CN117201161A (zh) | 一种轻量化设备认证方法 | |
| CN115913696A (zh) | 一种虚拟网络零信任访问控制方法、装置、设备及介质 | |
| CN119675872A (zh) | 一种基于国密算法的客户端认证方法 | |
| CN117852079A (zh) | 一种深度学习模型搭建平台权限登录管理方法及系统 | |
| Lee et al. | Vulnerabilities leading to denial of services attacks in grid computing systems: a survey |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: TREND TECHNOLOGY CORP. Free format text: FORMER OWNER: INTERNATIONAL BUSINESS MACHINES CORP. Effective date: 20100715 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: NEW YORK, THE USA TO: TOKYO METROPOLIS, JAPAN |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20100715 Address after: Tokyo, Japan, Japan Applicant after: Trend Technology Corp. Address before: American New York Applicant before: International Business Machines Corp. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100908 Termination date: 20200421 |