专利名称:在局域网络服务器环境中支持分布计算机制的系统和方法
技术领域:
本发明涉及计算机系统中的鉴别,更具体地,是涉及用户—服务器局域网络环境中的鉴别技术。
在一般局域网络的建立对话中,传统上都经过一个过程,如图2所示,其中用户100和服务器102协商得出网络协议104(NP)。在这种协商中,就协议和有关的协议级别208取得一致(例如对应于CORE,局域网络2.1等),为用户100确定对话秘钥106。
用户100通常向服务器102且更具体地是向重定向器116发送用户id、姓名和口令112等信息(图8),而重定向器116起着与局域网络服务器102连接的网络接口的作用。重定向器116主要起网络接口的作用,并将盘驱动器和文件输入/输出重定向等。例如,如果用户连接到一个驱动器,对于用户来说它是一个本地驱动器。然而,重定向器主要起着可以将驱动器技术特性传送到管理该驱动器的实际的文件系统的作用,从而将来自用户的请求重定向到管理该驱动器的实际文件服务器,这种过程对于用户来说是透明的。
在传统的操作中,服务器102此时通常检验其数据库118(图3),并根据用户id提取用户的口令和对话秘钥106(图2),并判定是否符合。如果符合,服务器102就从服务器的本地数据库118中提取用户定义120。应该注意的是,这种对话秘钥106基本上是时间戳或序列数。在所考虑的实施方案中,为了本发明下面讨论中将会明确的理由,不采用数据库118,而采用分布计算环境(DCE)和相关的Kerberos登记122(图4),更具体地,是其中驻留有用户定义的DCE的目录和保安服务器(DSS)部件。
因此可总结为,在登录时,当用户100在登录到分布计算环境时,协商一个协议104(图2),其结果是被送回的协议级别208。在某些局域网络服务器环境—诸如IBM公司的局域网络Server Enterprise(LSE)产品中,希望采用DCE来鉴别对DCE的使用,并由此与连接到该局域网络的用户所用的DCE凭证相联系,因为这被认为是比通常的局域网络服务器鉴别机构更为安全的环境。因此,希望在登录时获得服务器102能够明白的DCE凭证,这种DCE凭证通常是通过远程过程调用(RPC)获得的。
然而,已经发现,在这种局域网络中会出现问题,其中没有为服务器102提供从用户100获得这种DCE凭证的机制。更具体地,在LSE和类似的局域网络产品的情况下,RPC调用没有在本地得到利用,而服务器需要获得真实的凭证以在建立对话期间对用户进行鉴别。这种凭证被用来确定对LSE资源的存取,而这种LSE资源是由POSIX存取控制清单(ACL)所保护的。因此,产生了一个严重的问题,即借助当前的协议(诸如通常由X/Open协会定义的,以服务器管理块(SMB)协议为代表)向服务器提供用于从用户获得这种DCE凭证的机制,而同时却仍然采用传统的局域网络服务器机制。
在本发明的最佳实施例中,计算机化的局域网络中的局域网络服务器得到适当的配置,以使得它们能够利用它们已有的机制来传送类属安全子系统(GSS)的分布计算环境(DCE)凭证。X/Open定义的服务器管理块(SMB)协议得到扩展,以便利这种凭证的交换,其中服务器利用DCE提供的GSS API接口来获得并确认这种凭证。该GSS接口提供了包含有所有所需的信息的令牌,以进行用户与服务器之间的彼此鉴别。
在最佳实施例中,对于这种SMB协议扩展,定义了一种新的协议级别,在具体的实施例中,它包括在协商的协议(NP)SMB中交换的新的协议名。已有的局域网络服务器(例如IBM的局域网络Server Enterprise(LSE)产品)在响应中将SMB_secmode域中的一位(对于LSE为位2)置位,该位表示服务器支持secpkgX SMB交换。服务器随后将等待SMBsecpkgX或SMBsesssetupX请求。前一响应将允许用户和服务器交换GSS令牌并相互鉴别,并将进一步允许服务器能够从多个包中进行选择。已有的局域网络服务器产品将定义SMB_pkgname名下的一个新包,局域网络服务器将送出并识别该包以处理GSSDCE令牌。一旦该SMBsecpkgX已经流动,用户将被鉴别,因为该鉴别将分配并送回所需的数据结构,以使服务器对用户进行跟踪。
根据本发明,对于GSS令牌的处理,在用户方面,调用gss_initiate_sec_context功能,以使用户获得所要送到服务器的令牌。该令牌被送到服务器,并随后从服务器接收到一个返回令牌。该返回令牌随后被传送到一个gss_initiate_sec_context功能,后者将送回服务器是否得到鉴别的信息。如果服务器未得到鉴别,对话建立终止。
在服务器方面,当接收到SMBsecpkgX响应时,令牌由gss_accept_sec_context功能提取和处理。如果用户得到鉴别,将要送给用户的令牌也被接收。该令牌在SMBsecpkgX响应中被送给用户。在送出SMB之后,服务器从GSS令牌提取用户的凭证。该凭证附在对话数据结构中并随后每当用户试图存取资源时得到使用。
关于重定向器-GSS接口,在这里公布的最佳实施例中,局域网络服务器重定向器通常在环0上运行,而GSS在环3上运行,这意味着重定向器和GSS不能直接通信。因此,根据本发明,建立了一个凭证管理程序作为中介。该凭证管理器在启动时对重定向器构成了捕获链结线索。由于同局域网络服务器相连接,重定向器利用这种捕获链结线索来请求和处理GSS令牌。凭证管理器利用当前登录在局域网络服务器上的用户的凭证来获得这些令牌。一个用户情况管理(UPM)过程通知凭证管理器登录和注销事件。这使凭证管理器不用在每一次尝试对话建立时询问UPM而对登录的用户进行跟踪。
图1是适合于采用本发明的计算机网络的功能框图;图2是协议协商的示意说明;图3显示了服务器利用数据库来获得用户的定义;图4是框图,显示了服务器利用DCE登记来获得用户定义;图5是框图,显示了可实施在图1的系统中的本发明的部件和信号流;图6是本发明的令牌机制的示意说明;图7是框图,显示了本发明的凭证管理器和重定向器;图8是根据本发明采用的状态机。
参见图1,首先详细描述适合于实施本发明的网络环境。参见图1,它描述了数据处理系统8的示意代表,该系统可用来实施本发明的方法和系统。可以看出,数据处理系统8可以包括多个网络,诸如局域网络(LAN)10和32,其每一个都最好包括多个单独的计算机12、12a-12c、30、31、33和35。(以下,当讨论网络32中的计算机时,虽然讨论是关于网络32中的所有计算机的,但将随意地提及计算机30)。计算机12和30可以利用任何适合的计算机实施,例如IBM Personalsystem/2(也称为PS/2)计算机或IBM RISC SYSTEM/6000计算机工作站,它们都是位于纽约Armonk的国际商业机器公司的产品。RISCSYSTEM/6000是国际商业机器公司的商标,Personal System/2和PS/2是国际商业机器公司的注册商标。当然,本领域的技术人员应该理解,对于每一个这种网络,可以采用与主处理器连接的多个智能工作站(IWS)。
如在这种数据处理系统中通常的那样,各个计算机可以连接到存储装置14和/或打印机/输出装置16。根据本发明的方法,可以采用一或多个这种存储装置14,以存储数据处理系统8中的用户可以周期地存取的对象,诸如文件、资源对象或可执行编码。以现有技术中众所周知的方式,可以通过例如向各个计算机12或30的用户传送对象,而在整个数据处理系统8中自由地交换存储在存储装置14中的各个这种对象。
仍然参见图1,可见数据处理系统8还可包括多个主计算机,例如主计算机18,它可以借助通信链路22与局域网络10相连接。主计算机18可以用能够从IBM得到的Enterprise Systems Architecture/370(也称为ESA/370)或Enterprise Systems Architecture/390(也称为ESA/390)计算机来实施。根据应用,可以采用中档的计算机例如ApplicationSystem/400(也称为AS/400)。Enterprise Systems Architecture/370、ESA/370、Enterprise Systems Architecture/390和ESA/390都是IBM的注册商标;Application System/400和AS/400是IBM的注册商标。主计算机18还可以与可用作局域网络10的远程存储器的存储装置20相连接。类似地,局域网络10可以经过通信链路24并通过子系统控制单元/通信控制器26和通信链路34与网关服务器28相连接。网关服务器28最好是单独的计算机或用于将局域网络32联结到局域网络10的IWS。
如结合局域网络32和局域网络10讨论,则对象可以被存储在存储装置20中并由作为存储对象的资源管理器或文件系统管理器的主计算机18进行控制。当然,本领域的技术人员应该理解,主计算机18可以位于距局域网络10较大的地理距离的地方,且局域网络10类似地可以位于离局域网络32较远的地方。例如,局域网络32可以在加州,而局域网络10可以在德州,而主计算机18可以在纽约。
本发明的最佳实施例可以包含在数据处理系统8中所描述的各种计算机中。
在作为DCE的一部分的DSS协议中,用户100(图2)将请求来自登记122的入场券(图4),该入场券将传送到服务器102。对于某些应用程序,它们向重定向器116发出如图7的124所示的NetUse(网络使用)而重定向器116将断开协议—主要是用户发出的使用户100建立用服务器102的对话的指令。响应于这种NetUse,重定向器116此时根据X/Open的SMB通信协议而发出服务器管理块(SMB),以实现协议协商和建立对话。然而,根据本发明,在采用DCE的类属安全子系统(GSS)部件(图7的126)和图7的116所示的重定向器的局域网络服务器中,如前所述,出现了通过图8的凭证管理器128向GSS126提供用于传送请求的机制的问题。为了实现这种机制,为凭证管理器128定义了图8的状态机,因为在凭证管理器与重定向器之间有建立对话所需交换的指令。状态机的这种操作将在后面结合图8进行详细描述。
回想到X/Open协议定义的SMB主要是自由形式的安全扩展,而这种扩展提供了用作鉴别用户的机制的包的概念。本发明的一个重要特征是在本发明的实施中唯一地定义了这种包,这将提供对诸如图7的令牌130令牌的传送。进一步参见图7,令牌130可视为从GSS126传送至凭证管理器128并随后传送至重定向器116(也在图6中显示)。回想到重定向器116主要是用户的部件。服务器将调用gss_accept_context接受上下文(图6的133),以在GSS包中接收到这种令牌130之后对其进行处理。重定向器接收到该令牌,又使服务器102获得第二个令牌(图6的132)。用户100随后将该第二令牌132传送到凭证管理器128并随后传送至GSS126,GSS由此可对服务器102进行鉴别。
总之,当第一令牌经过网络时,用户基本上已经向服务器表明了自己。如果没有表明,建立对话结束。而当表明时,就实现了建立对话。由于服务器已经鉴别了用户,服务器现在将向GSS126发出一个功能调用,并如前面所述的从用户的GSS获得一个定义。重要的是要注意到,在现有技术的系统中,如前所述,服务器保持其自己的数据库(例如如3的标号118所示的),以获得核实用户所需的用户定义120。然而,根据本发明,不用为每一个服务器复制GSS,且在GSS下可以提供不同的安全机制。该DCE扩展使系统能够获得凭证,且不仅用户得到鉴别,而且根据该系统可以知道哪一个服务器对用户进行了鉴别。GSS得到采用,但实际上是DCE中的Kerberos功能用于鉴别。
总之,在此公布了一种系统,它使得传统的局域网络服务器工作站和与DCE构成整体的服务器能够采用它们已有的机制来传送用于鉴别的GSS DCE凭证。虽然并不是要使本发明受到这样的限制,但在这里公布的具体实施例中,对可从IBM公司获得的工作站和执行OS/2(TM)操作系统的的服务器进行了改变。可以从在此被作为参考文献的1994年的“OS/2局域网络服务器,编程指南和参考”IBM公司版权,S10H-9687-00获得一种有代表性的局域网络系统的用作背景材料的细节。然而,前述概念也可以被扩展到执行其他操作系统的站和服务器。
在OS/2实施例中,对已有局域网络服务器产品的修改将使NP响应中的smb_secmode域的第二位被置位。服务器随后等待前述的SMBsecpkgX或SMBsesssetupX请求。前者当然将使用户和服务器能够交换GSS令牌并彼此鉴别,并在能够从X/Open公司获得的“PC联网X/OPEN协议SMB第2版”,11.2节中被定义。这种功能使服务器能够从多个包中进行选择。
跟随SMBsecpkgX请求的SMBsesssetupX可以具有零长度的smb_apasswd,因为鉴别已经进行,且其中的所有内容都将因此而被忽略。如果没有接收到SMBsecpkgX请求,或者在SMBsecpkgX请求中没有包括已知的包且没有接收到该包,该smb_apasswd域必须包含合法的口令才能使服务器对用户进行鉴别。在此情况下,服务器必须获得该用户的凭证。
根据在此描述的本发明的实施例,必须以如下方式对协商协议(NP)进行改变。将制造一个建立标志以使能secpkgX(如前述的secmode域中的第2位)。另外,必须提供一个新的服务器推断位(srvhueristic),该位将判断服务器是否将支持传统的用户。如果传统的支持被撤消,则服务器在协商时将不提供该组传统协议。这将防止不那么安全的用户进行连接。
如前所述,定义了新的协议级别,它在所考虑的具体实施例中提供了在线上的成串局域网络10流。为了获得跨单元服务器的入场券,NP响应将进行改变以包括服务器的单元名和长度。该单元名将位于界域名之后并将被凭证管理器128(图5)在获得安全上下文时所使用。该单元名是跨单元鉴别所需的,但只当局域网络10串产生协商时才被送出。
如前所述,secpkgX改变是必须的。如所述,这种功能能够在从X/Open公司获得的“PC联网X/OPEN协议SMB第2版”第11.2节中得到定义。这种格式将在在此公布的本实施例中采用,其中具体的信息将为所采用的具体局域网络服务器确定,诸如能够从IBM公司获得的LS4.0E。对SMBpkglist结构,SMB pkgname将是“局域网络服务器4.0E GSS/DCE令牌”;如前所述,它将是LS4.0E服务器产品所送出或识别的唯一的包。
在以下的表中,将定义前述SMBsecpkgX的数据结构表1Request FormatBYTE smb_com/* value=7E(????)*/BYTE smb_wct; /* value=4 */BYTE smb_com2; /* secondary (X)command,0xFF=none */BYTE smb_reb2; /* reserved(must be zero) */WORD smb_off2; /* offset(from SMB hdr start)to next *//* cmd (@smb_wct)2*/WORD smb_pkgtype; /* package type=0*/WORD smb_numpkge; /* Number of Packages in list */WORD smb_bcc; /*struct smb_pkglist[*] ; /* package list struoture.1 package *//* list for LS4.0E*/Package List Structure (smb_pkglist) FormatWORD smb_pkgnamlen/* length of package name */WORD smb_pkgarglen;/* length of the package-specific infe*/BYTE smb_pkgname[*] ; /* name of the package*/struct smb_pkgargs[1] ; /* package-specific info for LS4.0E */Package Specific Information(smb_pkgargs) FormatDWORDsmb_xp_flags; /* Bit.If set,a reply with a GSS *//* token is required for mutual *//* authentication */WORD smb_xp_TokenLen; /* Length of GSS token*/BYTE smb_xp_Token[*] ;/* The GSS Token containing *//* Authentication info*/BYTE smb_xp name[*] ; /* Name of user to be authenticated */Response FormatBYTE smb_com/* value=7E */BYTE smb_wct; /* value=4 */BYTE smb_com2; /* secondary(X)command,OXFF=none*/BYTE smb_reh2; /* reserved (must be zero)*/WORD smb_off2; /* offset(from 8MB hdr start)to next *//* cma (@smb_wct) */WORD smb_index;/* number of the package selected by *//* server. 0 for LS4.0E */WORD smb_pkgarglen;/* length of package specific info*/WORD smb_bcc;struct smb_pkgargs[1]; /* package- specific information */
Package Specific Information (smb_pkgargs)FormatDWORD smb_xp_flags; /* Bit 0,GSS tokens require another *//* round of exhanges. */BYTEsmb_xp_Token[*] ; /* the GSS Token containing *//* authentication info*/现在详细参见图5,其中示意描述了该系统的基本流程。首先,用户登录(210),登录的上下文被设定为系统上下文(211)。随后,LSCredMGR功能为用户获得凭证,且从系统上下文产生GSS凭证(212,213)。随后是送至服务器的建立对话请求(214)。随后的一系列步骤215-218代表的是获得了包含对DCE的GSS调用的服务器上下文令牌。
继续参见图5,在步骤219,送出SMBsecpkgX调用,它包括系统上下文令牌。在此点,服务器在启动时获得凭证(220,221),且SMBsecpkg X被接收(222)。随后,在223、224,服务器将借助GSS接受上下文功能来确认用户,并接收包括对DCE的GSS调用的响应令牌。随后服务器从GSS令牌中提取EPAC(225,226)。随后SMBsecpkgX响应被送出,其中包含了GSS上下文令牌(227)。另外SMBsecpkg X响应被接收(227)。如步骤228-231所示,服务器的上下文令牌随后得到确认,其中包括对DCE的GSS调用。最后,如标号232所示,SMBsesssetup X被传送和接收。
本发明的另一方面涉及传统的提供具有有限寿命的令牌作法。当令牌期满时,服务器通常将在此时自动断开与用户的连接。因此,需要采取一些措施以周期地更新令牌。
因此,根据本发明,在对话建立之后,图5的凭证管理器128将确定入场券的剩余寿命。在刚好要期满之前,在作出这种确定之后,凭证管理器128最好因此而获得新的令牌并将其传送到服务器102。该令牌可以如图6中的令牌242所代表,并将结合图8的状态机提供的事件监测功能而得到进一步的描述。
当前的登录状态将影响凭证管理器128如何管理上下文。主要有四种登录事件,它们将以如下方式影响凭证管理器。
第一种,如图8所示,是登录功能238。凭证管理器128必须获得DCE系统凭证。该凭证将从登录exec获得。其次,图8的注销事件236将以相同的方式影响凭证管理器128。凭证管理器必须清除它为登录用户保持的所有对话信息。当注销发生时,RDR将关闭所有的对话并释放它正在使用的DCE系统凭证。该事件对于清除和状态维护也是需要的。第三,以上述方式提供了凭证更新234。该事件将防止凭证管理器改变到期满的凭证的状态。凭证高速缓存的名称将不改变。如果系统已经处于期满状态,将获得新的上下文和高速缓存名。凭证管理器将处理两种类型的更新。第四,在状态机中提供凭证期满信息,如图8的标号240所示。当凭证期满时,凭证管理器128不再能获得入场券。当在此状态下请求到来时凭证管理器128将因而送回一个错误码给RDR。一旦用户处于该状态,凭证不能得到更新,且登录exec将获得新的凭证。
当用户100被关闭时,应该注意凭证管理器128的另一方面。在此事件中,重定向器116将检测其(例如,Net Stop(网络停止)功能),此时重定向器116发出的关闭指令(图7的260)将使凭证管理器程序128结束。当系统重新启动时,重定向器116显然将在自举时启动。然而,凭证管理器128直到GSS的其余部分启动时才运行。一旦GSS启动,凭证管理器128将传送令牌指令130,该令牌指令130将被保持在重定向器116中。这种执行链结线索随后被重定向器所采用,该重定向器发出连接1指令262。一个连接2指令264将该链结线索保持在凭证管理器128中。
考虑前述描述,还应该注意这里所述的本发明的实施例的其他因素。应该注意的是,在DCE术语中,“凭证”可以被认为是Kerberos入场券,或者更一般地,用户和组的定义,用户是一个成员(例如管理员、来客、用户等等)。这种凭证通常是以过程为基础的,其中每一个过程都负责管理其自己的过程。然而,根据本发明,在此为整个网络系统设置了管理各个过程的凭证管理器。因此,根据本发明,所有这些单独的过程将不再象只对以前被认为是过程本身的项(例如所采用的具体登录项)负责的系统那样地认为DCE凭证是在它们之下运行的。通常它对于每一个应用程序来说是独特的。然而,根据本发明,当应用程序发出在其他情况下是针对具体过程的各种调用时,它们现在都在系统的水平上受到管理,其中凭证管理器知道每一个过程是什么并传送适当的凭证以获得令牌。
根据本发明,两种软件基本上被合并了,这些软件否则将实施不太类似的安全管理机制。更具体地说,本发明为局域网络服务器提供了与DCE编码相结合地利用它们已有的机制的机器,从而使传统的局域网络和DCE编码的这两种实体被结合在一起,以相互密切配合地进行工作。回忆起局域网络安全的实施提供了较简单的鉴别,且采用根据本发明的DCE鉴别的一个好处是由于它提供了更为安全的环境和更复杂的鉴别机制。
除了新颖地提供了用于使局域网络服务器能够借助GSS DCE凭证进行运行的凭证管理器之外,本发明的令牌的实施例采用了SMBsecpkgX包,后者是X/Open技术性能和SMB结构的一部分;这提供了新颖的结果。根据本发明的这一方面,由此定义的新颖的包包括强调彼此鉴别的标志、以前所述的令牌、和当用户被定义时通常在建立对话上的后面的SMB中获得的用户名。现在,不是在建立对话时采用的鉴别协议协商的SMBsecpkgX,根据本发明,鉴别已经从建立对话被向上移到SMBsecpkgX功能。
借助这种结构定义,用户被鉴别之处建立对话。然而,根据本发明,鉴别被移到SMB之前。因此当系统进行对话建立时,进行实现建立对话的工作,但不需要进行鉴别,因为它已经实现了。通过对传统的SMBsecpkgX包的新颖的使用,鉴别被有效地从一个SMB移到另一个。然而,对这种包功能的传统使用是当产品用对话秘钥加密后传送时,该特征将使鉴别的不同机制(例如不同的编码算法、秘钥等等)的技术性按需要实现。然而,本发明的实施例,如前所述,便利了鉴别从建立对话向上至SMBsecpkgX包的移动。
虽然结合本发明的具体实施例对其进行了描述,本领域的技术人员应该理解的是,可以在不脱离本发明的实质和范围的情况下,对本发明进行前述和其他形式和细节上的改变。
权利要求
1.一种在建立对话期间借助(DCE)凭证改进在本身不支持远程过程调用(RPC)的局域网络服务器环境中互连的用户和服务器之间的相互鉴别的方法,包括预定义交换凭证的服务器管理块(SMB)协议的扩展;作为所述预定义扩展的一个功能,通过所述DCE定义的GSS API接口,用所述服务器存取一个类属安全子系统(GSS);以及响应于所述存取而获得并确认来自所述GSS的所述凭证。
2.根据权利要求1的方法,其特征在于所述存取步骤进一步包括由所述用户和所述服务器获取包含进行所述相互鉴别所需的信息的令牌
3.根据权利要求2的方法,其特征在于所述SMB协议的所述扩展包括在协商协议(NP)响应中激活SMB_secmode域中的第二位。
4.根据权利要求3的方法,其特征在于进一步包括用所述服务器检测一个SMBsecpkgX响应;响应于所述检测,在所述用户和所述服务器之间交换GSS令牌以实现所述相互鉴别。
5.根据权利要求4的方法,其特征在于进一步包括定义对应于所述SMBsecpkgX响应的GSS/DCE令牌包。
6.根据权利要求5的方法,其特征在于进一步包括由所述用户调用一个GSS_initiate_sec_context功能,以获得第一令牌并送给所述服务器;响应于所述第一令牌,自所述用户向所述GSS_initiate_sec_context功能传送一个第二令牌;以及借助所述GSS_initiate_sec_context功能送回所述服务器是否得到鉴别的信息。
7.根据权利要求6的方法,其特征在于进一步包括响应于对所述SMBsecpkgX响应的所述检测,借助所述服务器提取所述第二令牌;借助GSS_accept_sec_context功能处理所述提取的令牌;响应于用户鉴别,用所述服务器接收GSS令牌以送给所述用户;在所述SMBsecpkgX响应时将所述GSS令牌传送给所述用户;用所述服务器从所述GSS令牌提取所述用户的所述凭证;以及将所述提取的凭证附在对话数据结构上,以供当所述用户寻求对所述网络的资源的存取时使用。
8.根据权利要求7的方法,其特征在于所述服务器包括一个重定向器,及所述重定向器和所述GSS在不同环上运行,且所述方法进一步包括建立一个作为所述重定向器与所述GSS之间的中介的凭证管理器过程。
9.一种在对话建立期间借助分布计算环境(DCE)凭证改进在本身不支持远程过程调用(RPC)的局域网络服务器环境中互连的用户和服务器之间的相互鉴别的设备,包括用于预定义交换凭证的服务器管理块(SMB)协议的扩展的装置;用于作为所述预定义扩展的一个功能,通过所述DCE定义的GSS API接口,用所述服务器存取一个类属安全子系统的装置;以及响应于所述存取而获得并确认来自所述GSS的所述凭证的装置。
10.根据权利要求9的设备,其特征在于所述存取装置进一步包括用于由所述用户和所述服务器获取包含进行所述相互鉴别所需的信息的令牌的装置。
11.根据权利要求10的设备,其特征在于所述SMB协议的所述扩展所用的装置包括用于激活协商协议(NP)响应中的SMB_secmode域中的第二位的装置。
12.根据权利要求11的设备,其特征在于进一步包括用于借助所述服务器检测一个SMBsecpkgX响应的装置;以及用于响应于所述检测而在所述用户和所述服务器之间交换GSS令牌以实现所述相互鉴别的装置。
13.根据权利要求12的设备,其特征在于进一步包括用于定义对应于所述SMBsecpkgX响应的GSS/DCE令牌包的装置。
14.根据权利要求13的设备,其特征在于进一步包括用于由所述用户调用一个GSS_initiate_sec_context功能以获得第一令牌并送给所述服务器的装置;用于响应于所述第一令牌将一个第二令牌自所述用户传送至所述GSS_initiate_sec_context功能的装置;以及用于借助所述GSS_initiate_sec_context功能送回所述服务器是否得到鉴别的信息的装置。
15.根据权利要求14的设备,其特征在于进一步包括用于响应于对所述SMBsecpkgX响应的所述检测借助所述服务器提取所述第二令牌的装置;用于借助GSS_accept_sec_context功能处理所述提取的令牌的装置;用于响应于一个用户鉴别借助所述服务器接收GSS令牌以送给所述用户的装置;用于在所述SMBsecpkgX响应时将所述GSS令牌传送给所述用户的装置;用于借助所述服务器从所述GSS令牌提取所述用户的所述凭证的装置;用于将所述提取的凭证附在对话数据结构上以供当所述用户寻求对所述网络的资源的存取时使用的装置。
16.根据权利要求15的设备,其特征在于所述服务器包括重定向器,及所述重定向器和所述GSS在不同环上运行,且所述设备进一步包括用于建立一个作为所述重定向器与所述GSS之间的中介的凭证管理器过程的装置。
17.一种在对话建立期间借助分布计算环境(DCE)凭证改进在本身不支持远程过程调用(RPC)的局域网络服务器环境中互连的用户和服务器之间的相互鉴别的计算机程序产品,包括用于预定义服务器管理块(SMB)协议的一个扩展以交换凭证的计算机可读程序编码装置;用于作为所述预定义扩展的一个功能,通过所述DCE定义的GSS API接口借助所述服务器对一个类属安全子系统(GSS)进行存取的计算机可读程序编码装置;以及用于响应于所述存取获得并确认来自所述GSS的所述凭证的计算机可读程序编码装置。
18.根据权利要求17的计算机程序产品,其特征在于用于进行存取的所述计算机可读程序编码装置进一步包括用于由所述用户和所述服务器获取包含进行所述相互鉴别所需的信息的令牌的计算机可读程序编码装置。
19.根据权利要求18的计算机程序产品,其特征在于用于所述SMB协议的扩展的所述计算机可读程序编码装置包括用于激活协商协议(NP)的响应中SMB_secmode域中的第二位的计算机可读程序编码装置。
20.根据权利要求19的计算机程序产品,其特征在于进一步包括用于借助所述服务器检测一个SMBsecpkgX响应的计算机可读程序编码装置;以及用于响应于所述检测而在所述用户和所述服务器之间交换GSS令牌以实现所述相互鉴别的计算机可读程序编码装置。
21.根据权利要求20的计算机程序产品,其特征在于进一步包括用于定义对应于所述SMBsecpkgX响应的GSS/DCE令牌包的计算机可读程序编码装置。
22.根据权利要求21的计算机程序产品,其特征在于进一步包括用于由所述用户调用一个GSS_initiate_sec_context功能以获得一个第一令牌并送给所述服务器的计算机可读程序编码装置;用于响应于所述第一令牌将一个第二令牌自所述用户传送给所述GSS_initiate_sec_context功能的计算机可读程序编码装置;以及用于借助所述GSS_initiate_sec_context功能送回所述服务器是否得到鉴别的信息的计算机可读程序编码装置。
23.根据权利要求22的计算机程序产品,其特征在于进一步包括用于响应于对所述SMBsecpkgX响应的检测借助所述服务器提取所述第二令牌的计算机可读程序编码装置;用于借助GSS_accept_sec_context功能对所述提取的令牌进行处理的计算机可读程序编码装置;用于响应于用户鉴别借助所述服务器接收一个GSS令牌以送给所述用户的计算机可读程序编码装置;用于在所述SMBsecpkgX响应时将所述GSS令牌传送给所述用户的计算机可读程序编码装置;用于借助所述服务器从所述GSS令牌提取所述用户的所述凭证的计算机可读程序编码装置;以及用于将提取的所述凭证附在对话数据结构上以供所述用户寻求对所述网络的资源的存取时使用的计算机可读程序编码装置。
24.根据权利要求23的计算机程序产品,其特征在于所述服务器包括一个重定向器,及所述重定向器和所述GSS在不同环上运行,且其特征在于所述计算机程序产品进一步包括用于建立一个作为所述重定向器与所述GSS之间的中介的凭证管理器过程的计算机可读程序编码装置。
全文摘要
局域网络服务器,利用它们已有的机制传送类属安全子系统(GSS)分布计算环境(DCE)凭证。服务器管理块(SMB)协议得到扩展,以便利这种凭证的交换,其中服务器利用GSSAPI接口获得并确认这种凭证。该GSS接口提供包含进行用户与服务器之间的相互鉴别所需的所有信息的令牌。
文档编号G06F21/20GK1155119SQ9611851
公开日1997年7月23日 申请日期1996年11月28日 优先权日1995年12月11日
发明者蒂默斯·罗格·凯尔斯, 托马斯·弗兰克·匹贝尔斯 申请人:国际商业机器公司