专利名称:用于无需提供密钥认证请求者的方法和系统的制作方法
技术领域:
本发明一般地涉及在通信环境中管理资源,并且更具体地,涉及一种用于无需提供密钥认证请求者的方法和系统。
背景技术:
通信环境包括多个客户端节点,其经由通信介质耦合到一个或多个节点。这样的通信介质的一个例子是InfiniBandTM传送,其在可从位于5540SW Westgate Drive,Suite 217,Portland,Oregon,97221的InfiniBandTrade Association获得或在www.Infinibandta.org联机获得的“InfiniBandArchitecture Specification Volume 1”Release 1.2(2004年10月)中进行了更详细的描述,在此通过引用的方式引入其全部内容。InfiniBand是InfiniBand Trade Association的商标。
InfiniBand传送使得一组互连的客户端和服务器节点(称为子网)能够彼此通信。其还提供了一种分割机制,其允许子网在逻辑上细分为多组节点,称为分区。分区包括一个或多个客户端节点以及一个或多个服务器节点。节点(诸如服务器节点)可被包括在多于一个分区中。分区的成员彼此通信,但是不知道任何其它分区。
在InfiniBandTM(IB)构造中,可被各个客户端节点共享的资源提供者节点由网络管理员进行分割,使得允许每个客户端节点使用该共享节点处的所有资源。因此,当节点(例如服务器节点)被包括在多个分区中时,该节点的所有资源可被包括该节点的所有分区访问。当资源提供者节点接收来自客户端节点的请求时,其提供对允许该客户端节点使用的所有资源的访问,而不论请求来自客户端节点内的哪个应用。然而,当需要把每个应用可以使用的资源限制为客户端的所有资源的子集时,这种可访问性是不理想的(例如从安全性立场看)。因此,需要一种能力,其限制给定的客户端节点上的每个应用被允许使用的资源。
在这种能力的最初版本中,64位或任意长度的二进制密钥在提供者节点(例如,存储设备)处输入,然后再次在客户端节点(例如,主机操作系统)处输入。然而,这种认证方法可以是耗时的且易出错的。因此,将期望使得客户能够在资源提供者节点处实现定义,并且允许客户端(在InfiniBand体系结构中由唯一的硬件值所标识)获取二进制密钥,因此从密钥提供者节点得到授权而不需要在来自客户端的请求中提供密钥(或口令)给密钥提供者节点自身。这继而将消除在客户端处再输入密钥的需要,也避免了与不正确地输入该密钥相关联的任何错误。
发明内容
通过一种用于在通信环境中认证请求实体的方法克服或减轻了现有技术的上述缺陷和不足。在示例性实施例中,该方法包括确定与请求实体相关联的客户端节点的客户端标识;以及确定与客户端节点相关联的请求实体是否正充任超级用户能力。在确定客户端节点的客户端标识指示了许可客户端节点访问资源提供者节点的一个或多个资源并且客户端节点正充任超级用户能力之时,从提供者节点返回密钥给请求实体。
在另一实施例中,一种用于在通信环境中认证请求实体的系统包括用于确定与请求实体相关联的客户端节点的客户端标识的装置;以及用于确定与客户端节点相关联的请求实体是否正充任超级用户能力的装置。资源提供者节点配置为在确定客户端节点的客户端标识指示了许可客户端节点访问提供者节点的一个或多个资源并且客户端节点正充任超级用户能力之时,返回密钥给请求实体。
在又一实施例中,一种存储介质包括用于在通信环境中认证请求实体的机器可读的计算机程序代码,以及用于使得计算机实现一种方法的指令。该方法包括确定与请求实体相关联的客户端节点的客户端标识;以及确定与客户端节点相关联的请求实体是否正充任超级用户能力。在确定客户端节点的客户端标识指示了许可客户端节点访问资源提供者节点的一个或多个资源并且客户端节点正充任超级用户能力之时,从提供者节点返回给请求实体的密钥。
仅通过参考以下附图经由示例来描述本发明图1是适合根据本发明实施例使用的示例性通信环境(例如,子网)的示意框图;图2是说明针对图1的通信环境确定请求实体正以超级用户(或管理程序)模式运行或具有超级用户或管理程序特权的示例性实现的示意图;图3是说明资源提供者节点的配置的示意性框图,其中资源提供者节点具有包含每个客户端节点的GUID的表和包含授权使用的相应资源的表;图4是其中可以实现超级用户分割机制的示例性计算系统。
具体实施例方式
此处公开的是一种用于在下述环境中认证请求者的方法和系统,在该环境中允许客户端请求一组密钥,该密钥将提供对诸如InfiniBand之类的通信介质内的资源的访问。为了正确地认证请求者并且返回所请求的密钥信息,预先要满足某些条件。首先,请求是与预定的客户端标识(ID)相关联的,从而验证该请求者没有哄骗其物理节点标识符。例如,在InfiniBand中,客户端ID是全球唯一标识符(GUID),其通常与唯一的硬件块相关联。接着,进一步确定该请求是否来自在该节点上执行的超级用户状态代码。如果请求者的节点的客户端ID和超级用户状态条件二者都满足,则将一个密钥或一组密钥返回给该节点,该密钥可以用在随后的呼叫上,使得对于那些将来的呼叫不需要该验证序列。
简言之,此处提出的实施例描述了用于确定从其发送请求并且可以将密钥返回给其的物理节点的方法论。在示例性实施例中,该方法论可以应用到资源提供者节点,该资源提供者节点具有向对资源提供者节点作出请求的每个客户端节点提供不同组服务、资源或私有数据的能力。其也可以用在其中必须确定远程节点的标识的任何情况中,该远程节点发送包含不可能进行哄骗的远程节点的资源本地ID(SLID)的分组。
此外,提供了简单得多的认证机制来认证作为请求私有信息的发送者的超级用户。在这种做法中,消除了证书交换机制的复杂度和计算开销。在InfiniBand网络中实现时,本方法论不需要手工询问网络管理员以确定客户端节点访问资源提供者节点内的资源时所需要的那组密钥。在配置期间将这些密钥提供给请求节点和资源提供者二者,并且密钥被包括在给资源提供者的请求分组中。资源提供者使用在客户端的请求中提供的密钥来唯一地标识客户端节点,并且因此标识允许请求客户端使用的资源。示例性的密钥大小是128位,但是其可以根据需要变长或变短,以便确保其是不可能推测出的。因此,此处描述的本发明实施例提供了一种安全地将私有数据传给请求者的方法,而不需要给交换的两端配置任意长的二进制密钥或者其它类型的口令,所述配置可能是耗时的且易出错的。
确定请求者的客户端ID首先参考图1,示出了适合根据本发明实施例使用的示例性通信环境100(例如,子网)的示意框图。尽管此处讨论的方法论可以用在需要从其接收分组(请求)的客户端节点的标识的任何情况中,但是其特别适合于当对信息的请求是由资源提供者接收的情况,该资源提供者的资源已经根据同时提交的代理卷号POU9-2004-0157US1中公开的方式进行了分割。
在这样的框架中,请求包含了包括请求者的SLID和描述请求的净荷的头部。尽管SLID由可信的硬件生成,但是其仅是临时标识符。为了确定请求所来自的实际节点,资源提供者首先确定与请求者的物理节点相关联的永久标识符,其称为请求者的全球唯一标识符(GUID)。在接收到请求时并且在对该请求进行响应前,IB服务或资源提供者通过发送新的请求给子网管理员(SA)来确定请求节点的GUID。因为SA知道对物理节点的SLID的所有分配,所以其用对应于任何给定SLID的那组GUID进行响应。
包含客户端节点的SLID的请求来请求SA返回对应于在该请求中发送的SLID的GUID。响应于该请求,SA返回该SLID当前分配给的节点的GUID(或多个GUID)。在接收到来自SA的响应并因此确定请求者的GUID之后,资源提供者可以确定是否允许该请求客户端访问资源。如果资源被允许由从SA返回的GUID所标识的节点使用,则服务器节点将允许由该请求节点使用资源。
如在图1中所示,该示例性配置包括子网管理员(SA)102、物理管理员104、各个客户端节点106(标记为客户端物理节点A-E)以及共享的资源提供者节点108。所有的节点通过IB子网110互连。在一个可能的实现中,网络管理员104给资源提供者108配置包含每个客户端节点的节点GUID以及允许由节点访问或使用的相应资源114的表112。在所描述的例子中,通过将每个资源关联到GUID,节点A和C被许可访问单个资源(在资源组114之中),节点B和D被许可访问资源中的两个,而节点E被许可访问三个资源。与该GUID相关联的资源可以是超级用户或资源密钥(在代理卷号POU9-2004-0157US1中进行了进一步描述)。
在初始配置该通信环境100之后,客户端节点(例如,客户端物理节点A)发送请求116,在该请求中请求分组头部包含请求者的SLID。在接收到请求116时并在进行响应之前,资源提供者108通过把包含请求者的SLID的询问118发送给SA 102来确定请求者的GUID。接着,SA 102发送具有与该请求者的SLID相关联的GUID的响应120。
作为替代,资源提供者108还可以构建并维护客户端SLID和其相应的资源提供者先前已经确定的GUID的表121。换言之,无论何时资源提供者108询问SA 102以确定对应于来自请求分组的SLID的GUID,则将该信息添加到SLID到GUID映射的表中。在接收到具有已知SLID的随后请求时,资源提供者108根据其本地表121确定相应的GUID,因此不需要询问SA。然而,应该理解,在该情况下,资源提供者108将需要认出其客户端中任意一个的SLID的任何变化的能力。因为并不总是可以确保该能力,所以优选地,除非可以确保该改变能力,否则就不实现利用资源提供者108来维护SLID到GUID的信息。
在进一步确定请求116是由客户端节点106的超级用户发送的(在下文讨论)之后,资源提供者108可以接着确定授权该请求者使用的资源/私有数据,并且经由响应122返回这样的资源/私有数据。
保证请求者是超级用户除了确定请求实体的物理客户端ID之外,还有一个特定任务,即确定在某个客户端节点处的请求者是否实际上是相对于例如运行在该客户端节点上的应用的超级用户。在所提出的InfiniBand通信网络例子中,存在多种机制,通过这些机制端节点在IB构造中彼此通信。根据IB体系结构,节点在通信建立期间交换Q_Key(Q密钥)。接收到具有与节点提供给远程队列对的Q_Key不同的Q_Key的分组意味着该分组不是有效的,并且因此被拒绝。
在IB体系结构中存在两种常见类型的Q_Key特权Q_Key和非特权Q_Key。具有最高比特位组的Q_Key是特权Q_Key,它的使用由操作系统所控制。特权Q_Key和非特权Q_Key的主要区别在于非特权Q_Key可以通过若干措施由用户模式程序附加到消息。然而,InfiniBand体系结构要求仅运行在特权状态中的代码(即,超级用户)可以使得特权Q_Key附加到消息。这是通过当且仅当所关联的Q_Key是特权Q_Key时,使得关联Q_Key与队列对的操作成为特权操作来强制执行。一旦该关联完成,则发送自队列对的任何消息将附加该Q_Key(除非针对特定的具有非特权Q_Key消息进行了覆盖(override))。不存在其它的方式来将特权Q_Key附加到消息;因此,如果消息包含特权Q_Key,则确保是以下情况中的任一种(a)超级用户发送该消息,或者(b)超级用户通过设置队列对的Q_Key为特权Q_Key而允许该消息被发送,并且接着允许用户模式代码来使用该队列对。
另外,存在被称为已知特权Q_Key(WKPQ_Key)的单个已知Q_Key。IB管理器、代理和服务当前通过发送包含WKPQ_Key值的连接请求来建立连接,WKPQ_Key记载在IB规范中。然而WKPQ_Key的使用不限于超级用户,因为运行在超级用户或应用状态任一中的IB管理器、代理和服务也可以被允许使用它。这些是一个例子,即如上文所讨论的,超级用户将队列对的Q_Key设置到特权值,并且接着允许用户模式代码来使用该队列对。因此,包含当前WKPQ_Key的连接请求不足以认证出该连接请求来自超级用户。
因此,为了解决该标识问题,定义了新的特权Q_Key,并且此处称为仅超级用户用的特权Q_Key(SOPQ_Key)。仅由超级用户或其可信的代理许可该SOPQ_Key值在连接请求中的使用,并且因此使用SOPQ_Key的连接的建立肯定地指示了该连接是由发送请求的节点的超级用户完成的。相应地,这使得连接请求的接收者能够通过验证该连接请求包含SOPQ_Key值而确定该请求来自超级用户。如果请求不包含SOPQ_Key值,则连接请求接受者将拒绝该连接,并且因此拒绝通过任何私有信息。
因为请求节点上的超级用户限制了把使用SOPQ_Key的队列对用于超级用户自身及其可信代理,所以与超级用户驻留在同一节点上的客户端应用不能发送包含SOPQ_Key的连接请求。超级用户可以因此限制这种使用,因为SOPQ_Key是特权Q_Key,并且因此,如上面所解释的,仅超级用户可以将SOPQ_Key与队列对相关联。该过程使得接收包含SOPQ_Key的连接请求的节点能够确信该请求事实上来自超级用户,并且针对特权资源的请求可在该连接上被接受。
实现上述节点客户端ID和超级用户验证协议的一种实际使用在于,分发诸如超级用户和资源密钥之类的私有信息。超级用户或资源密钥是任意长度的数字序列,其足够长而不会被猜测出。在IB构造上的可被多个节点共享的每个资源可以与一个或多个资源密钥的集合相关联,其中每个资源密钥对应于给定节点被许可访问或消耗的资源。为了使用该共享资源,每个节点的超级用户必须获得资源密钥以便获取对提供者节点中它的那部分资源的访问。为了分发资源密钥,提供密钥服务以便在请求时将资源密钥分发到恰当的超级用户。因此,为了验证对密钥服务的请求来自超级用户,仅当请求包含SOPQ_Key时,密钥服务才接受该请求。该过程防止了除超级用户或其可信代理之外的所有应用从该密钥服务获得资源密钥。密钥服务可以在或者可以不在与资源提供者相同的节点上。
图2说明了针对图1的通信环境100的SOPQ_Key的实现。具体地,图2描述了来自客户端节点A的四个连接请求一个来自超级用户,因此包含SOPQ_Key;一个来自特权客户端,其包含WKPQ_Key;以及两个来自非特权客户端,包含非特权Q_Key。当接收到这些请求时,资源提供者节点108检查每个请求中包含的Q_Key,如框202所示。如果请求不包含SOPQ_Key,则由资源提供者节点108拒绝该请求,如框204所示。然而,如果请求的确包含SOPQ_Key,则其被接受并且资源提供者节点108允许发生连接,在该连接中将私有数据(例如密钥)返回给客户端节点106,如框206所示。
通过如此配置,资源提供者节点106仅在请求来自客户端节点的超级用户时才许可连接,因此保证了不会将私有数据分发给不是超级用户的任何进程。将要注意,已经由超级用户授权使用SOPQ_Key的任何进程被认为是超级用户的一部分。因此,通过定义SOPQ_Key并仅允许其由超级用户使用,消除了对耗时的超级用户认证过程(例如,交换证书数据)的需要,因此改善了系统性能,减少了复杂度和成本。
提供用于随后呼叫的密钥现在参考图3,示出了示例性通信环境100的另一个示意框图,其中网络管理员被示出为给资源提供者节点108配置包含每个客户端节点106的GUID和密钥映射的表302,以及如图1所示的包含被授权使用的相应资源114的表112。网络管理员104或某个其它可信实体将密钥与每个客户端相关联,其也示出在表302中。资源提供者节点108在正常操作期间在接收到来自各个客户端的请求时使用表302和112,如下文所描述的。
在正常操作期间,每个客户端节点106在给资源提供者节点108的所有连接请求中包括其相应的密钥。当资源提供者节点108接收到请求时,其通过检查表302、112(在配置步骤期间形成的)以标识对应于在请求中接收的密钥的资源,而确定允许客户端节点106使用的资源。例如,如果客户端节点B发送请求304,于是请求304包含客户端节点B的密钥,其在表302中表示为“密钥B”。
当接收到该请求时,资源提供者节点108使用表302来确定客户端节点B的GUID,并且进一步使用表112来确定与具有GUID B的客户端节点相关联的被允许资源。接着,从资源提供者节点108向客户端节点B发送连接响应306。该过程不需要资源提供者节点108每次进行到资源提供者108的连接时访问SA 102以确定允许客户端节点B使用的资源,如上所解释的。因为每个SA访问需要在SA上的查询操作,并且因此往返延迟由于多个资源提供者节点询问SA而倍增,这也降低了对SA的利用,所以不需要访问SA 102显著改善了性能,因此允许SA更高效地处理其它事务。
从客户端发起、到资源提供者的这种请求可以仅仅是针对资源使用的独立请求,或者它们也可以是在客户端节点和资源提供者节点之间的连接请求和响应。如果在客户端节点和资源提供者节点之间形成连接,则在连接持续期间允许客户端使用对应于在连接请求中包含的资源密钥的所有资源,而不需要在每个随后请求中传送资源密钥。
本发明实施例的又一附加方面涉及更新资源密钥。如果在资源密钥已经传送给资源提供者节点之后需要更新,则可信的管理员104可以发送GUID列表和其相应的密钥给资源提供者节点108。然而,不需要重新发送与每个GUID相关联的资源列表。参考图3,这样的操作将通过更新资源提供者中的表302来实现,而不会影响表112。
应该认识到,尽管上述的本发明的示例性实施例使用包含请求客户端节点的GUID的表302和112,而不需要使用GUID。例如,一个替代性的实施例将消除对GUID的使用,并且简单地将密钥直接与被允许的资源列表或其它参数相关联,因此有效地将表302和112合成到单个表。这样的替代方案将可应用在这样的情形下,其中管理员不是基于GUID而是基于诸如全球唯一软件标识符的另一标识符来分配资源。
最后,图4是其中可以实现上述请求认证机制的示例性计算机系统400的实施例的框图。图4中说明的计算机系统400旨在表示宽泛范围的计算机系统,并且因此替代性的计算机系统可以包括更多、更少和/或不同的部件。
如图4所示,计算机系统400包括总线402或用于传送信息的其它通信设备,以及耦合到总线402用于处理信息的处理器404。尽管计算机系统400被说明为具有单个处理器,但是也可以包括多个处理器和/或协处理器。
随机存取存储器(RAM)或其它类型的动态存储设备406(在图4中描述为主存储器)耦合到总线402,以便存储信息和由处理器404执行的指令。在处理器404执行指令期间,主存储器406也可以用于存储临时变量或其它中间信息。还示出了耦合到总线402的只读存储器(ROM)和/或其它静态数据存储设备408,用于存储静态信息和由处理器执行的其它指令,而数据存储设备410(例如,磁盘或光盘和相应的驱动器)耦合到总线402,用于存储信息和指令。
计算机系统400还可以经由总线402耦合到显示设备412,诸如阴极射线管(CRT)或液晶显示器(LCD),用于向计算机用户显示信息。包括字母数字键和其它键的字母数字输入设备414可以耦合到总线402,以允许用户向处理器404传送信息和命令选择。可与计算机系统400相关联的另一种类型的用户输入设备是光标控制设备416,诸如鼠标、跟踪球或光标方向键,其用于向处理器404传送方向信息和命令选择,以及控制显示设备412上的光标移动。另外,可以使用网络接口418来提供对诸如局域网之类的网络的访问。
考虑上文,因此,本方法和系统实施例可以采用计算机或控制器实现的过程和用于实施那些过程的装置的形式。该公开还可以用实现在有形媒体中的包含指令的计算机程序代码的形式来实现,该有形媒体诸如软盘、CD-ROM、硬盘驱动器或任何其它计算机可读的存储介质,其中当计算机程序代码被加载进计算机或控制器并由计算机或控制器执行时,计算机成为用于实施本发明的实施例的装置。本公开还可以用例如无论是存储在存储介质中、加载进计算机或控制器中和/或由计算机或控制器执行、或者通过某种传输介质传输(诸如通过电导线或电缆,通过光纤,或者经由电磁辐射)的计算机程序代码或信号的形式来实现,其中当计算机程序代码被加载进计算机并由计算机执行时,计算机成为用于实施本发明的装置。当在通用微处理器上实现时,计算机程序代码段配置该微处理器以创建专用的逻辑电路。
权利要求
1.一种用于在通信环境中认证请求实体的方法,所述方法包括确定与所述请求实体相关联的客户端节点的客户端标识;确定与所述客户端节点相关联的请求实体是否正充任超级用户能力;以及在确定所述客户端节点的所述客户端标识指示了许可所述客户端节点访问资源提供者节点的一个或多个资源并且所述客户端节点正充任超级用户能力之时,从所述提供者节点返回密钥给所述请求实体。
2.根据权利要求1所述的方法,其中所述确定与所述请求实体相关联的客户端节点的客户端标识包括从所述请求实体接收源标识符;以及将所述源标识符与所述客户端节点的一个或多个永久标识符相关联。
3.根据权利要求2所述的方法,其中所述源标识符是源逻辑标识符;以及所述一个或多个永久标识符是所述客户端节点的一个或多个全球唯一标识符。
4.根据权利要求3所述的方法,其中所述将所述源逻辑标识符与所述客户端节点的一个或多个全球唯一标识符相关联进一步包括将所述源逻辑标识符转发给子网管理员;以及从所述子网管理员接收对应于所述源逻辑标识符的所述一个或多个全球唯一标识符。
5.根据权利要求4所述的方法,进一步包括在所述资源提供者节点内维护第一表,所述第一表关联多个已知全球唯一标识符中的每一个的可访问资源。
6.根据权利要求5所述的方法,进一步包括在所述资源提供者节点内维护第二表,所述第二表将全球唯一标识符关联到源逻辑标识符。
7.根据权利要求6所述的方法,进一步包括在所述资源提供者节点内维护第三表,所述第三表包括对于所述资源提供者节点为已知的每个全球唯一标识符的密钥的关联。
8.根据权利要求1所述的方法,其中所述确定与所述客户端节点相关联的请求实体是否正充任超级用户能力进一步包括对于所述通信环境中的每个客户端节点定义仅超级用户用的特权密钥;以及确定从所述请求实体接收的连接请求是否包括对应于所述请求实体的所述客户端节点的所述仅超级用户用的特权密钥。
9.一种用于在通信环境中认证请求实体的系统,包括用于确定与所述请求实体相关联的客户端节点的客户端标识的装置;用于确定与所述客户端节点相关联的请求实体是否正充任超级用户能力的装置;以及资源提供者节点,其配置为在确定所述客户端节点的所述客户端标识指示了许可所述客户端节点访问所述提供者节点的一个或多个资源并且所述客户端节点正充任超级用户能力之时,返回密钥给所述请求实体。
10.根据权利要求9所述的系统,其中所述用于确定与所述请求实体相关联的客户端标识的装置进一步包括从所述请求实体接收源标识符;以及将所述源标识符与所述客户端节点的一个或多个永久标识符相关联。
11.根据权利要求10所述的系统,其中所述源标识符是源逻辑标识符;以及所述一个或多个永久标识符是所述客户端节点的一个或多个全球唯一标识符。
12.根据权利要求11所述的系统,其中所述将所述源逻辑标识符与所述客户端节点的一个或多个全球唯一标识符相关联进一步包括将所述源逻辑标识符转发给子网管理员;以及从所述子网管理员接收对应于所述源逻辑标识符的所述一个或多个全球唯一标识符。
13.根据权利要求12所述的系统,进一步包括在所述资源提供者节点内维护的第一表,所述第一表关联多个已知全球唯一标识符中的每一个的可访问资源。
14.根据权利要求13所述的系统,进一步包括在所述资源提供者节点内维护的第二表,所述第二表将全球唯一标识符关联到源逻辑标识符。
15.根据权利要求14所述的系统,进一步包括在所述资源提供者节点内的第三表,所述第三表包括对于所述资源提供者节点为已知的每个全球唯一标识符的密钥的关联。
16.根据权利要求9所述的系统,其中所述用于确定与所述客户端节点相关联的请求实体是否正充任超级用户能力的装置进一步包括对于所述通信环境中的每个客户端节点定义仅超级用户用的特权密钥;以及确定从所述请求实体接收的连接请求是否包括对应于所述请求实体的所述客户端节点的所述仅超级用户用的特权密钥。
17.一种存储介质,包括用于在通信环境中认证请求实体的机器可读的计算机程序代码;以及用于使得计算机实现一种方法的指令,所述方法进一步包括确定与所述请求实体相关联的客户端节点的客户端标识;确定与所述客户端节点相关联的请求实体是否正充任超级用户能力;以及在确定所述客户端节点的所述客户端标识指示了许可所述客户端节点访问提供者节点的一个或多个资源并且所述客户端节点正充任超级用户能力之时,从所述提供者节点返回密钥给所述请求实体。
18.根据权利要求17所述的存储介质,其中所述确定与所述请求实体相关联的客户端节点的客户端标识包括从所述请求实体接收源逻辑标识符;以及将所述源逻辑标识符与所述客户端节点的一个或多个全球唯一标识符相关联。
19.根据权利要求18所述的存储介质,其中所述将所述源逻辑标识符与所述客户端节点的一个或多个全球唯一标识符相关联进一步包括将所述源逻辑标识符转发给子网管理员;以及从所述子网管理员接收对应于所述源逻辑标识符的所述一个或多个全球唯一标识符。
20.根据权利要求17所述的存储介质,其中所述确定与所述客户端节点相关联的请求实体是否正充任超级用户能力进一步包括对于所述通信环境中的每个客户端节点定义仅超级用户用的特权密钥;以及确定从所述请求实体接收的连接请求是否包括对应于所述请求实体的所述客户端节点的所述仅超级用户用的特权密钥。
全文摘要
一种用于在通信环境中认证请求实体的方法。在示例性实施例中,该方法包括确定与请求实体相关联的客户端节点的客户端标识;以及确定与客户端节点相关联的请求实体是否正充任超级用户能力。在确定客户端节点的客户端标识指示了许可客户端节点访问资源提供者节点的一个或多个资源并且客户端节点正充任超级用户能力之时,从该提供者节点返回密钥给请求实体。
文档编号H04L29/06GK101057201SQ200580038334
公开日2007年10月17日 申请日期2005年11月9日 优先权日2004年11月12日
发明者T·布雷, G·弗雷泽, G·普菲斯特, W·鲁尼 申请人:国际商业机器公司