УРОВЕНЬ ТЕХНИКИ
В своей самой простой форме, осуществление связи по сети между клиентом и сервером содержит запросы от клиента к серверу, отвечать на которые и возвращать ответы клиенту может только этот сервер. Хотя такая система действительно проста, она не может хорошо масштабироваться и не может обеспечить вызывающей стороне возможности взаимодействия одновременно с несколькими сервисами, такими как сервис хранения файлов, сервис хранения базы данных и сервис электронной почты, по единственному каналу. Чтобы обеспечить клиенту возможность все также осуществлять связь с одним сервером, но еще обеспечить серверу возможность увеличения его возможностей, была применена многослойная структура. В многослойной структуре, клиент может передавать его запросы на сервер, который действует в качестве промежуточного слоя (middle tier). Этому серверу промежуточного слоя самому не обязательно содержать соответствующую информацию, необходимую для ответа на запросы клиента. Вместо этого, сервер промежуточного слоя мог бы идти дальше и обращаться к одному или нескольким серверам, которые входят в состав серверов слоя баз данных (back end tier), для того чтобы получить запрошенную клиентом информацию. Получив такую информацию, сервер промежуточного слоя сможет ответить клиенту. С точки зрения клиента, одна конечная точка связи, а именно, промежуточный слой, может обеспечивать доступ к потенциально неограниченному количеству данных и другим информационным ресурсам.
Для того чтобы обеспечить серверу промежуточного слоя возможность отвечать на запрос клиента, можно было бы разрешить ему получать информацию с серверов слоя баз данных от имени клиента. С точки зрения безопасности может быть опасно разрешить серверу промежуточного слоя осуществлять связь в качестве клиента с другими серверами, которые не входят в состав серверов слоя баз данных. Такая структура, посредством которой клиент мог обеспечивать сервер промежуточного слоя своим паролем или долгосрочными учетными данными, или другой информацией аутентификации, после чего сервер промежуточного слоя мог осуществлять связь с любыми серверами в качестве клиента, предоставляя эту информацию аутентификации, как правило, называлась "неограниченным делегированием", поскольку делегирование роли клиента серверу промежуточного слоя не было ограничено в отношении того сервера, с которым сервер промежуточного слоя мог осуществлять связь.
Одним решением проблем безопасности неограниченного делегирования была модель делегирования, как правило, называемая "ограниченным делегированием", посредством которой была введена политика, которая ограничивала серверы слоя баз данных, с которыми сервер промежуточного слоя мог осуществлять связь от имени или в качестве клиента. Обычно, модель ограниченного делегирования работала через контроллер домена, который мог обращаться к одной или нескольким политикам и определять, позволено ли серверу промежуточного слоя осуществление связи с одним или несколькими серверами слоя баз данных от имени или в качестве клиента. Например, после того, как клиент предоставлял серверу промежуточного слоя свою информацию аутентификации, сервер промежуточного слоя мог запросить у контроллера домена право действовать от имени и в качестве клиента по отношению к одному или нескольким серверам в слое баз данных. Контроллер домена, обращаясь к одной или нескольким соответствующим политикам, мог определить давать ли разрешение на запрос сервера промежуточного слоя и, если он дал разрешение на запрос сервера промежуточного слоя, контроллер домена мог бы предоставить серверу промежуточного слоя билет сервиса или другой набор информации, который сервер промежуточного слоя мог бы представить одному или нескольким серверам слоя баз данных, указывая, что контроллер домена признал допустимым, что сервер промежуточного слоя действует от имени и в качестве клиента при осуществлении связи с этими серверами слоя баз данных.
К сожалению, реализация ограниченного делегирования во множестве доменов сетевых вычислительных устройств может быть сложной. Точнее, серверы слоя баз данных в одном домене не обязательно должны доверять контроллеру домена другого, отличающегося домена, такого как домен, который содержит сервер промежуточного слоя. Вместо этого, контроллер домена упомянутого домена, который содержит сервер промежуточного слоя, может устанавливать связь, напрямую или опосредованно, через сервер промежуточного слоя и серверы слоя баз данных, с контроллером домена того домена, который содержит серверы слоя баз данных, и предоставлять этому контроллеру второго домена достаточную информацию для того, чтобы обеспечить ему возможность определения, что действительно разрешено делегирование серверу промежуточного слоя полномочий на осуществление связи с одним или несколькими серверами слоя баз данных. Такая модель может быть сложна для реализации, поскольку требует взаимодействия администраторов множества контроллеров доменов или множества доменов. В дополнение к этому, такая модель направлена на ограничение делегирования тем, разрешено ли политикой домена делегировать серверу промежуточного слоя полномочия на осуществление связи с одним или несколькими серверами слоя баз данных.
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
В одном варианте осуществления, делегирование вычислительному устройству промежуточного слоя полномочий на осуществление связи с одним или несколькими серверными вычислительными устройствами, которые входят в состав слоя баз данных, может быть определено не тем, позволяет ли политика домена делегировать вычислительному устройству промежуточного слоя полномочия на осуществление связи с одним или несколькими вычислительными устройствам слоя баз данных, но вместо этого, тем, позволяют ли индивидуальные политики каждого из одного или нескольких вычислительных устройств слоя баз данных делегирование вычислительному устройству промежуточного слоя полномочий на осуществление связи с ними. Следовательно, роль администратора домена уменьшается, и вместо этого, соответствующее принятие решений на основании политики может выполняться системными администраторами вычислительных устройств слоя баз данных, которые могут быть более осведомлены о сервисах, которые предлагаются такими вычислительными устройствами слоя баз данных.
В другом варианте осуществления, вычислительное устройство контроллера домена, при получении от вычислительного устройства промежуточного слоя запроса делегирования ему полномочий на осуществление связи с одним или несколькими вычислительными устройствами слоя баз данных, может принять во внимание, находятся ли одно или несколько вычислительных устройств слоя баз данных в домене данного контроллера домена. Если вычислительные устройства слоя баз данных находятся в домене данного контроллера домена, то вычислительное устройство контроллера домена может предоставить вычислительному устройству промежуточного слоя билет сервиса или другой набор информации, который вычислительное устройство промежуточного слоя может представить одному или нескольким вычислительным устройствам слоя баз данных, чтобы обеспечить вычислительному устройству промежуточного слоя возможность действовать в качестве и от имени клиентского вычислительного устройства. Однако, если вычислительные устройства слоя баз данных не находятся в домене данного контроллера домена, то вычислительное устройство контроллера домена может, вместо этого, предоставить вычислительному устройству промежуточного слоя маркер или другой набор информации, который вычислительное устройство промежуточного слоя может представить другому вычислительному устройству контроллера домена отличающегося домена, чтобы действовать в качестве и от имени клиентского вычислительного устройства в отношении вычислительных устройств слоя баз данных в упомянутом другом, отличающемся домене.
В дополнительном варианте осуществления, вычислительные устройства контроллера домена могут удостоверять вычислительное устройство промежуточного слоя или другие вычислительные устройства контроллера домена, до предоставления маркеров, билетов сервиса или других подобных данных, которые могут использоваться, чтобы в перспективе обеспечить вычислительному устройству промежуточного слоя возможность действовать в качестве и от имени клиентского вычислительного устройства при осуществлении связи с одним или несколькими вычислительными устройствами слоя баз данных.
Данный раздел Раскрытие изобретения представлен, чтобы в упрощенной форме ввести набор идей, которые далее описаны в разделе Осуществление изобретения. Раскрытие изобретения не предназначено для определения ключевых признаков или существенных признаков заявленного изобретения и не предназначено для того, чтобы использоваться для ограничения объема заявленного изобретения.
Дополнительные признаки и преимущества станут очевидными из приведенного ниже подробного описания осуществления изобретения, которое развивается со ссылками на прилагаемые чертежи.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Приведенное ниже подробное описание может быть наилучшим образом понято при изучении в совокупности с сопровождающими чертежами, из которых:
Фиг. 1 - схема примерного вычислительного устройства;
Фиг. 2 - схема системы, иллюстрирующая примерную последовательность обмена сообщениями для обеспечения возможности делегирования вычислительному устройству промежуточного слоя полномочий на осуществление связи с вычислительным устройством слоя баз данных в рамках одного и того же домена;
Фиг. 3 - схема системы, иллюстрирующая примерную последовательность обмена сообщениями для обеспечения возможности делегирования вычислительному устройству промежуточного слоя полномочий на осуществление связи с вычислительным устройством слоя баз данных в другом домене;
Фиг. 4 - схема системы, иллюстрирующая другую примерную последовательность обмена сообщениями для обеспечения возможности делегирования вычислительному устройству промежуточного слоя полномочий на осуществление связи с вычислительным устройством слоя баз данных в другом домене;
Фиг. 5 - блок-схема примерной последовательности операций примерного вычислительного устройства промежуточного слоя;
Фиг. 6 - блок-схема примерной последовательности операций примерного вычислительного устройства контроллера домена.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
Приведенное ниже подробное описание относится к модели делегирования, в которой решения относительно того, могут ли вычислительному устройству промежуточного слоя быть делегированы полномочия на осуществление связи с вычислительным устройством слоя баз данных, определяются тем, позволит ли вычислительное устройство слоя баз данных делегирование полномочий вычислительному устройству промежуточного слоя на осуществление связи с ним. Для реализации такой модели делегирования, в одном варианте осуществления, вычислительное устройство контроллера домена, при получении от вычислительного устройства промежуточного слоя запроса делегирования ему полномочий на осуществление связи с вычислительным устройством слоя баз данных, может сначала определить, находится ли вычислительное устройство слоя баз данных в домене данного контроллера домена. Если вычислительное устройство слоя баз данных находится в домене данного контроллера домена, контроллер домена может предоставить вычислительному устройству промежуточного слоя билет сервиса или другой набор информации, который вычислительное устройство промежуточного слоя может представить вычислительному устройству слоя баз данных, чтобы обеспечить вычислительному устройству промежуточного слоя возможность действовать в качестве и от имени клиентского вычислительного устройства. Однако, если вычислительное устройство слоя баз данных не находится в домене контроллера домена, вычислительное устройство контроллера домена может, вместо этого, предоставить вычислительному устройству промежуточного слоя маркер или другой набор информации, который вычислительное устройство промежуточного слоя может представить другому вычислительному устройству контроллера домена отличающегося домена для того, чтобы действовать в качестве и от имени клиентского вычислительного устройства по отношению к вычислительному устройству слоя баз данных в этом другом, отличающемся домене. Таким образом, возможность вычислительного устройства промежуточного слоя действовать в качестве и от имени клиентского вычислительного устройства, при его осуществлении связи с вычислительным устройством слоя баз данных, может управляться политикой, приводимой в исполнение вычислительным устройством контроллера домена того же самого домена, в котором находится вычислительное устройство слоя баз данных, а следовательно, самим вычислительным устройством слоя баз данных, выступающим в качестве спецификатора этой политики.
Методы, описанные здесь, могут ссылаться на конкретные типы связи и элементов связи, такие как "билеты сервиса" или "маркеры". Такие ссылки, однако, представлены только для того, чтобы назначить систему условных названий для наборов данных, которые предоставляют информацию, которую необходимо сообщить процессам и процедурам принятия решений, подробно разъясненных в представленном ниже описании. Такие ссылки не предназначены для ограничения методов, описанных для конкретных стандартных протоколов, с которыми обычно ассоциирована система условных названий. Следовательно, хотя специалисты в данной области техники могут распознать, что конкретные, существующие протоколы аутентификации и делегирования, такие как Kerberos, могут быть оптимизированы для выполнения, по меньшей мере, некоторых из подробно описанных ниже элементов, представленное здесь описание не предназначено для ограничения такими существующими протоколами, а, вместо этого, является в равной степени применимым к любому набору сообщений и данных, которые могут предоставляться для, и выполнять отдельные аспекты механизмов и процессов, описанных ниже. Аналогично, описанные здесь методы ссылаются на один или несколько вычислительных устройств "контроллера домена". Такие ссылки даны для удобства обозначения и простоты понимания и не предназначены для ограничения описанных методов конкретно вычислительными устройствами, которые должны реализовывать полный комплект функциональных возможностей контроллера домена. Вместо этого, как будет понятно специалистам в данной области техники, функциональные возможности, подробно описанные ниже со ссылкой на "контроллеры домена" могут реализовываться любым вычислительным устройством доверенного центрального органа управления. Следовательно, согласно его использованию здесь, термин "контроллер домена" означает любой доверенный центральный орган управления, а термин "вычислительное устройство контроллера домена" означает любое одно или несколько вычислительных устройств, которые включают в себя и реализуют доверенный центральный орган управления.
Хотя и не обязательно, приведенное ниже описание будет представлено в общем контексте компьютерно-выполняемых инструкций, таких как программные модули, выполняемые вычислительным устройством. Более конкретно, описание будет ссылаться на действия и символические представления операций, которые выполняются одним или несколькими вычислительными устройствами или периферийными средствами, если не указано иное. Таким образом, необходимо понимать, что такие действия и операции, которые иногда называются компьютерно-выполняемыми, включают в себя выполняемые блоком обработки действия с электрическими сигналами, представляющими данные в структурированной форме. Эти действия преобразуют данные или сохраняют их в ячейках в памяти, что реконфигурирует или по-другому изменяет работу вычислительного устройства или периферийных средств хорошо известным специалистам в данной области техники. Структуры данных, где сохраняются данные, являются физическими ячейками, которые имеют конкретные свойства, определяемые форматом данных.
Как правило, программные модули включают в себя подпрограммы, программы, объекты, компоненты, структуры данных и т.п., которые выполняют конкретные задачи или реализуют конкретные абстрактные типы данных. Кроме того, специалисты в этой области техники поймут, что вычислительные устройства не должны быть ограничены обычными персональными компьютерами и включают в себя другие вычислительные конфигурации, включая портативные устройства, многопроцессорные системы, бытовую электронику на микропроцессорной основе или программируемую бытовую электронику, сетевые персональные компьютеры, миникомпьютеры, мэйнфреймы и тому подобное. Кроме того, вычислительные устройства не должны быть ограничены отдельным вычислительным устройством, поскольку описанные механизмы также могут быть осуществлены в распределенных вычислительных средах, связанных через сеть связи. В распределенной вычислительной среде программные модули могут быть расположены как в локальных, так и в удаленных запоминающих устройствах.
Со ссылкой на Фиг. 1 показано примерное вычислительное устройство 100, содержащее, в частности, аппаратные элементы, которые могут быть использованы в описанных ниже методах, и содействовать им. Примерное вычислительное устройство 100 может включать в себя, но не ограничиваясь этим, один или несколько центральных блоков обработки (CPU) 120, системную память 130 и системную шину 121, которая соединяет различные компоненты системы, включая системную память, с блоком 120 обработки. Системная шина 121 может быть любой из нескольких типов шинных структур, включая шину памяти или контроллер памяти, периферийную шину и локальную шину, использующих любую из разнообразных шинных конфигураций. В зависимости от конкретной физической реализации, один или несколько CPU 120, системная память 130 и другие компоненты вычислительного устройства 100 могут быть физически совмещены, например, на однокристальной схеме. В таком случае, часть или вся системная шина 121 может представлять собой не более чем дорожки на кристалле в пределах структуры на однокристальной схеме и ее изображение на Фиг. 1 может представлять служить не более чем для удобства обозначения с целью иллюстрации.
Вычислительное устройство 100 также обычно включает в себя машиночитаемые носители, которые могут включать в себя любые доступные носители, к которым может иметь доступ вычислительное устройство 100. В качестве примера, но не ограничения, машиночитаемые носители могут содержать компьютерные носители хранения данных и носители передачи данных. Компьютерные носители хранения данных включают носители, реализованные любым способом или технологией для хранения информации, такой как машиночитаемые инструкции, структуры данных, программные модули или другие данные. Компьютерные носители хранения данных включают в себя, но не ограничиваются ими, ОЗУ (RAM), ПЗУ (ROM), ЭСППЗУ (EEPROM), флэш-память или другую технологию памяти, CD-ROM,цифровые универсальные диски (DVD) или другие оптические дисковые носители, магнитные кассеты, магнитную ленту, накопитель на магнитных дисках или другие магнитные запоминающие устройства или любой другой носитель, который может использоваться для хранения требуемой информации и к которому может обращаться вычислительное устройство 100. Носители передачи данных обычно воплощают машиночитаемые команды, структуры данных, программные модули или другие данные в модулированном сигнале данных, таком как сигнал несущей или другой транспортный механизм, и включают в себя любую среду доставки информации. В качестве примера, но не ограничения, носители передачи данных включают в себя проводные среды, такие как проводная сеть или прямое проводное соединение, и беспроводные среды, такие как акустические, радиочастотные (RF), инфракрасные и другие беспроводные среды. Комбинации любых вышеуказанных носителей также должны быть включены в объем машиночитаемых носителей.
При использовании носителей передачи данных, вычислительное устройство 100 может работать в сетевой среде через логические соединения с одним или несколькими удаленными компьютерами. Логическое соединение, изображенное на Фиг. 1, является общим сетевым соединением 171 с сетью 180, которая может быть локальной сетью (LAN), глобальной сетью (WAN), такой как Интернет, или другими сетями. Вычислительное устройство 100 подключено к общему сетевому соединению 171 через сетевой интерфейс или адаптер 170, который, в свою очередь, подключен к системной шине 121. В сетевой среде программные модули, изображенные по отношению к вычислительному устройству 100, или их части, или их периферийные средства, могут храниться в памяти одного или нескольких других вычислительных устройств, которые соединены с возможностью связи с вычислительным устройством 100 через общее сетевое соединение 171. Следует понимать, что показанные сетевые соединения являются примерными, и могут использоваться другие средства установления линии связи между вычислительными устройствами.
В числе компьютерных носителей хранения данных, системная память 130 содержит компьютерные носители хранения данных в виде энергозависимой и/или энергонезависимой памяти, в том числе Постоянную Память (ROM) 131 и Оперативная Память (RAM) 132. Базовая система ввода/вывода (BIOS) 133, содержащая, среди прочего, код для загрузки вычислительного устройства 100, обычно хранится в ROM 131. RAM 132 обычно содержит данные и/или программные модули, которые доступны немедленно и/или в данный момент обрабатываются блоком 120 обработки. В качестве примера, но не ограничения, Фиг. 1 иллюстрирует операционную систему 134, другие программные модули 135 и программные данные 136. RAM 132 может дополнительно содержать данные, которые могут иметь отношение к работе ТРМ 150, например, журнал 190 событий TCG. В одном варианте осуществления, журнал событий TCG 190 может содержать уникальную идентификацию всех модулей, загруженных или исполняемых вычислительным устройством 100 с момента подачи питания или с момента последней перезапуска, тех же модулей, загрузка или исполнение которых могли привести к значениям, в настоящее время хранимым ТРМ 150 в одном или нескольких PCR.
Вычислительное устройство 100 может также включать в себя другие съемные/несъемные, энергозависимые/энергонезависимые компьютерные носители хранения данных. Только в качестве примера, Фиг. 1 иллюстрирует накопитель 141 на жестких дисках, который считывает или записывает на несъемные энергонезависимые носители. Другие съемные/несъемные, энергозависимые/энергонезависимые компьютерные носители хранения данных, которые могут использоваться с примерным вычислительным устройством, включают в себя, но не ограничиваются ими, кассеты с магнитной лентой, карты флэш-памяти, цифровые многоцелевые диски, цифровую видеокассету, твердотельный RAM, твердотельный ROM и тому подобное. Накопитель 141 на жестких дисках обычно соединен с системной шиной 121 через несъемный интерфейс памяти, такой как интерфейс 140.
Накопители и ассоциированные с ними компьютерные носители хранения данных, описанные выше и проиллюстрированные в Фигуре 1, обеспечивают хранение машиночитаемых инструкций, структур данных, программных модулей и других данных для вычислительного устройства 100. На Фиг. 1, например, накопитель 141 на жестких дисках проиллюстрирован как хранящий операционную систему 144, другие программные модули 145 и программные данные 146. Заметим, что эти компоненты могут быть либо такими же, либо отличающимися от операционной системы 134, других программных модулей 135 и программных данных 136. Операционная система 144, другие программные модули 145 и программные данные 146 обозначены различными числами для иллюстрации того, что, как минимум, они являются разными копиями. Показанная на Фиг. 2 система 200 содержит четыре вычислительных устройства, то есть клиентское вычислительное устройство 210, вычислительное устройство 220 промежуточного слоя, вычислительное устройство 230 слоя баз данных и вычислительное устройство 240 контроллера домена. Каждое из этих вычислительных устройств может быть представлено в форме примерного вычислительного устройства 100 только что описанного, и может содержать некоторые или все компоненты, описанные выше со ссылкой на примерное вычислительное устройство 100. Вычислительные устройства системы 200 показаны на Фиг. 2 соединенными с возможностью связи через коммуникационные соединения с сетью 180. Для простоты иллюстрации, сеть 180 схематично показана как единый иллюстративный элемент, однако не подразумевается, что она ограничена одним доменом сети или чем-либо другим, таким как сетевой раздел или структура, а также не подразумевается, что она иллюстрирует сеть, которая является внешней по отношению к домену А 290, который также показан в системе 200 по Фиг. 2. Вместо этого, согласно использованию на Фигурах, сеть 180 предназначена, чтобы представлять все сетевые коммуникационные соединения между вычислительными устройствами в системах, показанных в Фигурах, включая различные проиллюстрированные домены, а также предназначена, чтобы представлять как прямые, так и опосредованные коммуникационные соединения. Так, например, система 200, показанная на Фиг. 2, иллюстрирует примерную последовательность обмена сообщениями, с помощью которой клиентское вычислительное устройство 210 может осуществлять связь напрямую или опосредованно через сеть 180 с вычислительным устройством 220 промежуточного слоя. Система 200 по Фиг. 2 дополнительно иллюстрирует примерную последовательность обмена сообщениями, с помощью которой вычислительное устройство 220 промежуточного слоя может, опять-таки напрямую или опосредованно, и опять-таки через сеть 180, осуществлять связь с вычислительным устройством 240 контроллера домена и вычислительным устройством 230 слоя баз данных. Таким образом, хотя вычислительное устройство 220 промежуточного слоя, вычислительное устройство 240 контроллера домена и вычислительное устройство 230 слоя баз данных показаны, все, как входящие в состав одного и того же домена А 290, сеть 180, как уже было указано, предназначена, чтобы рассматриваться как содержащая домен А 290, и не предназначена, чтобы рассматриваться, как сетевой блок, который отделен и удален от домена А 290. Как будет подробно описано ниже, показанный обмен сообщениями иллюстрируют примерную работу механизма делегирования, который может обеспечить вычислительному устройству 220 промежуточного слоя возможность действовать от имени клиентского вычислительного устройства 210 по отношению к вычислительному устройству слоя баз данных, такому как вычислительное устройство 230 слоя баз данных.
Сначала, как показано в системе 200 на Фиг. 2, клиентское вычислительное устройство 210 может аутентифицировать себя для вычислительного устройства промежуточного слоя, такого как вычислительное устройство 220 промежуточного слоя, посредством предоставления, через сообщение 215, идентификатор клиента, или другой набор данных, который может быть подписан вычислительным устройством 240 контроллера домена. Например, в одном варианте осуществления, до инициации связи, например, обмена сообщениями 215, с вычислительным устройством 220 промежуточного слоя, клиентское вычислительное устройство 210 может сначала получить идентификатор клиента от вычислительного устройства 240 контроллера домена. Как будет понятно специалистам в данной области техники, вычислительное устройство 240 контроллера домена может осуществлять оценку клиентского вычислительного устройства 210 до предоставления такого идентификатора клиента. Например, вычислительное устройство 240 контроллера домена может проверить, что клиентское вычислительное устройство 210 отвечает соответствующим настройкам безопасности, таким как, например, наличие установленных наиболее свежих версий прикладных программ защиты от вредоносного программного обеспечения, или как, в другом примере, наличие установленных наиболее свежих дополнений (патчей) для различных операционных систем и прикладных программ программного обеспечения, постоянно находящихся на вычислительном устройстве клиента 210. Такая информация может быть предоставлена вычислительным устройством клиента 210, как часть его обмена сообщениями с вычислительным устройством 240 контроллера домена, и может быть проверена вычислительным устройством контроллера домена с использованием, например, обращения к журналу событий, который может поддерживаться, способом с возможностью безопасной проверки, клиентским вычислительным устройством 210.
После того, как вычислительное устройство 240 контроллера домена определит, что клиентскому вычислительному устройству 210 может быть разрешено осуществлять связь с другими вычислительными устройствами в домене А 290, управляемом вычислительным устройством 240 контроллера домена, и проиллюстрированном затемненной областью, показанной на Фиг. 2, вычислительное устройство 240 контроллера домена может предоставлять идентификатор клиента или другой набор идентификационных данных клиентскому вычислительному устройству 210. Такой идентификатор клиента, или другие идентификационные данные, могут подписываться контроллером 240 домена таким образом, что другие вычислительные устройства в домене А 290 могут проверять их аутентичность. Например, каждое из других вычислительных устройств в домене А 290, таких как вычислительное устройство 220 промежуточного слоя и вычислительное устройство 230 слоя баз данных, может иметь доступ к открытому ключу вычислительного устройства 240 контроллера домена. Таким образом, если вычислительное устройство 240 контроллера домена подписало идентификатор клиента его закрытым ключом, соответствующим открытому ключу, которым обладают другие вычислительные устройства в домене А 290, каждый из этих других вычислительных устройств может проверить такую подпись с помощью обращения к открытому ключу способом, хорошо известным специалистам в данной области техники. Альтернативно, вместо того, чтобы полагаться на пары открытых/закрытых ключей, подпись может быть выполнена с одним или несколькими совместно используемыми симметричными ключами, которые поддерживаются между вычислительным устройством 240 контроллера домена и вычислительными устройствами в домене, таком как домен А 290, которые осуществляют связь с вычислительным устройством 240 контроллера домена.
Таким образом, когда клиентское вычислительное устройство 210 передает, через сообщение 215, его идентификатор клиента на вычислительное устройство 220 промежуточного слоя, вычислительное устройство 220 промежуточного слоя может использовать, например, открытый ключ вычислительного устройства 240 контроллера домена, чтобы проверить, что идентификатор клиента, предоставленный клиентским вычислительным устройством 210 в сообщении 215, был действительно подписан вычислительным устройством 240 контроллера домена. После такой проверки клиентского вычислительного устройства 210 вычислительное устройство 220 промежуточного слоя может принимать запросы от клиентского вычислительного устройства 210 и может, в качестве части этих запросов, требовать, чтобы клиентское вычислительное устройство 210 предоставило некоторую идентификационную или аутентификационную информацию, чтобы доказать, что пользователь клиентского вычислительного устройства 210 авторизован для доступа к запрашиваемой информации или ресурсам. Как будет подробно описано ниже, такая идентификационная и аутентификационная информация после может быть использована вычислительным устройством 220 промежуточного слоя, чтобы действовать от имени клиентского вычислительного устройства 210 по отношению к вычислительному устройству слоя баз данных, такому как вычислительное устройство 230 слоя баз данных.
Как уже было указано, информация или ресурсы, запрашиваемые пользователем клиентского вычислительного устройства 210, не обязательно должны быть совмещены с вычислительным устройством 220 промежуточного слоя. Вместо этого, вычислительное устройство 220 промежуточного слоя может действовать в качестве единственной конечной точки связи для клиентского вычислительного устройства 210, чтобы осуществлять любой из огромного количества запросов, и вычислительное устройство 220 промежуточного слоя может затем осуществлять связь с соответствующим вычислительным устройством слоя баз данных, таким как вычислительное устройство 230 слоя баз данных, для доступа к соответствующей информации или ресурсам, запрашиваемым пользователем клиентского вычислительного устройства 210. Таким образом, одно вычислительное устройство промежуточного слоя, такое как вычислительное устройство 220 промежуточного слоя, может обеспечить доступ к огромному количеству информации или других ресурсов, которые могут быть распределены по множеству вычислительных устройств слоя баз данных, хотя, для простоты иллюстрации, только одно вычислительное устройство слоя баз данных, то есть вычислительное устройство 230 слоя баз данных, показано в системе 200 Фиг. 2.
После того как вычислительное устройство 220 промежуточного слоя удостоверило клиентское вычислительное устройство 210, например, с помощью обращения к идентификатору клиента, переданному посредством сообщения 215, и после того как вычислительное устройство 220 промежуточного слоя приняло идентификационную и аутентификационную информацию от пользователя клиентского вычислительного устройства 210, чье осуществление связи не показано явно в системе 200 по Фиг. 2, чтобы избежать переполнения иллюстрации, вычислительное устройство 220 промежуточного слоя может осуществить запрос, чтобы получить разрешение на осуществление связи с подходящим вычислительным устройством слоя баз данных, таким как вычислительное устройство 230 слоя баз данных, как если бы оно было клиентским вычислительным устройством 210. Такой запрос 225 может, в одном варианте осуществления, передаваться в вычислительное устройство 240 контроллера домена вместе с информацией, которую вычислительное устройство 240 контроллера домена может использовать для оценки, и соответствующего действия, запроса 225. Например, как проиллюстрировано в системе 200 по Фиг. 2, на вычислительное устройство 220 промежуточного слоя может, с запросом 225, предоставить идентификатор 250 клиента, который оно приняло от клиентского вычислительного устройства 210 посредством сообщения 215, и который подписан вычислительным устройством 240 контроллера домена. Аналогично, что также показано, вычислительное устройство 220 промежуточного слоя может, с запросом 225, предоставить свой собственный идентификатор 260, который, как и идентификатор 250 клиента, подписан вычислительным устройством 240 контроллера домена.
В одном варианте осуществления вычислительное устройство 240 контроллера домена, при приеме запроса 225 и идентификаторов 250 и 260, может проверить клиентское вычислительное устройство 210 и вычислительное устройство 220 промежуточного слоя с помощью обращения к идентификаторам 250 и 260, соответственно. Вычислительное устройство контроллера домена может, также до определения того, позволять ли делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с вычислительным устройством 230 слоя баз данных, сначала определить, находится ли фактически вычислительное устройство 230 слоя баз данных, делегирование полномочий на осуществление связи с которым желательно вычислительному устройству 220 промежуточного слоя, в домене А 290 вычислительного устройства 240 контроллера домена. Таким образом, как представлено в системе 200 по Фиг. 2 с помощью пунктирной линии 235, вычислительное устройство 240 контроллера домена может определить находится ли вычислительное устройство 230 слоя баз данных в домене А 290. Если вычислительное устройство 230 слоя баз данных находится в домене А 290, вычислительное устройство 240 контроллера домена может обращаться к одной или нескольким политикам для определения того, позволит ли вычислительное устройство 230 слоя баз данных делегировать вычислительному устройству 220 промежуточного слоя полномочия на осуществление связи с ним.
Определение вычислительным устройство 240 контроллера домена того, позволит ли вычислительное устройство 230 слоя баз данных делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с ним, может, в одном варианте осуществления, сообщаться, по меньшей мере частично, политиками, которые могут быть заданы самим вычислительным устройством 230 слоя баз данных или, более конкретно, администратором вычислительного устройства 230 слоя баз данных. Как будет понятно специалистам в данной области техники, разрешение вычислительному устройству 230 слоя баз данных устанавливать политику не приводит к добавлению каких-либо угроз безопасности или захвату функций вычислительного устройства 240 контроллера домена, поскольку вычислительному устройству 230 слоя баз данных можно доверять в надлежащем определении того, кому оно может доверить делегирование полномочий на осуществление связи с ним. Иными словами, вычислительному устройству 230 слоя баз данных можно доверять в установлении политики, определяющей его критерии для доверия другим на делегирование полномочий на осуществление связи с ним.
В одном варианте осуществления вычислительное устройство 240 контроллера домена, при оценке одной или нескольких политик, определяя, позволит ли вычислительное устройство 230 слоя баз данных делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с ним, может выполнить оценку вычислительного устройства 220 промежуточного слоя способом, аналогичным описанному выше, со ссылкой на клиентское вычислительное устройство 210. Например, вычислительное устройство 240 контроллера домена может проверить, что вычислительное устройство 220 промежуточного слоя отвечает соответствующим настройкам безопасности, таким как, например, наличие установленных наиболее свежих версий прикладных программ защиты от вредоносного программного обеспечения, или, в другом примере, наличие установленных наиболее свежих дополнений для различных операционных систем и прикладных программ программного обеспечения, постоянно находящихся на вычислительном устройстве клиента 210. Более конкретно, политика, к которой обращается вычислительное устройство 240 контроллера домена, включая политики, которые могут быть установлены вычислительным устройством 230 слоя баз данных, как указывалось, может задавать, что вычислительное устройство 230 слоя баз данных позволит делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с ним только при соблюдении определенных условий, включая, например, условия, ссылающиеся на только что описанные соответствующие настройки безопасности. Тем не менее, соответствующие политики не ограничиваются только анализом аспектов безопасности вычислительного устройства 220 промежуточного слоя, а напротив, могут ограничить вычислительные устройства, делегирование которым полномочий на осуществление связи с вычислительным устройством 230 слоя баз данных разрешено, на основе любой информации или набора информации, включая, например, используемый тип операционной системы, тип подключенных периферийных средств, конфигурацию аппаратного обеспечения вычислительного устройства, или любую другую информацию или набор информации. Такая информация может быть получена вычислительным устройством 240 контроллера домена из вычислительного устройства 220 промежуточного слоя, как часть идентификатора 260 вычислительного устройства 220 промежуточного слоя, или как часть последующего обмена сообщениями между вычислительным устройством 240 контроллера домена и вычислительным устройством 220 промежуточного слоя.
В одном варианте осуществления одна или несколько политик, к которым обращается вычислительное устройство 240 контроллера домена, чтобы определить, разрешить ли делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с вычислительным устройством 230 слоя баз данных, могут ссылаться как на сервис, который исполняется на вычислительном устройстве 220 промежуточного слоя, так и на само физическое вычислительное устройство 220 промежуточного слоя. В таком варианте осуществления, идентификатор 260 вычислительного устройства 220 промежуточного слоя может содержать не только идентификатор самого физического вычислительного устройства, но также и одной или нескольких сервисов или другого набора компьютерно-исполняемых инструкций, которые выполняются на вычислительном устройстве 220 промежуточного слоя и которые предназначены для выполнения делегирования. Соответственно, для целей следующего описания, ссылки на идентификационные данные, такие как идентификационные данные 260 вычислительного устройства 220 промежуточного слоя, подразумеваются включающими в себя идентификационные данные самого физического устройства, одной или нескольких сервисов или других компьютерно-исполняемых инструкций, которые предназначены для выполнения делегирования, или любую их соответствующую комбинацию.
Если на основании рассмотрения такой политики, вычислительное устройство 240 контроллера домена определяет, что вычислительное устройство 230 слоя баз данных позволит делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с ним, вычислительное устройство 240 контроллера домена может, как проиллюстрировано сообщением 245, предоставить билет сервиса или другой набор информации, который может быть подписан контроллером домена и может указывать, что вычислительному устройству 220 промежуточного слоя должно быть разрешено осуществлять связь с вычислительным устройством 230 слоя баз данных в качестве клиентского вычислительного устройства 210. Вычислительное устройство 220 промежуточного слоя может затем, после приема сообщения 245, перейти к отправлению запроса, который оно ранее получило от клиентского вычислительного устройства 210, к вычислительному устройству 230 слоя баз данных, что проиллюстрировано сообщением 255. Сообщение 255 может также содержать, как показано системой 200 по Фиг. 2, билет 270 сервиса, который мог быть принят вычислительным устройством 220 промежуточного слоя от вычислительного устройства 240 контроллера домена, через сообщение 245.
Хотя, чтобы избежать переполнения иллюстрации, это не проиллюстрировано специально в системе 200 на Фиг. 2, вычислительное устройство 230 слоя баз данных может оценить билет 270 сервиса, предоставленный с запросом клиента 255, например, с помощью обращения к открытому ключу контроллера домена, чтобы проверить, что это действительно подходящий и должным образом подписанный билет сервиса, и, если вычислительное устройство 230 слоя баз данных определит это, оно может перейти к осуществлению связи с вычислительным устройством 220 промежуточного слоя, как если бы вычислительное устройство 220 промежуточного слоя было бы клиентским вычислительным устройством 210. Таким образом, вычислительное устройство 230 слоя баз данных может запросить, чтобы вычислительное устройство 220 промежуточного слоя аутентифицировалось, аналогично тому, как клиентскому вычислительному устройство 210 потребовалось бы аутентифицировать себя в вычислительном устройстве 230 слоя баз данных, если бы оно осуществляло связь с вычислительным устройством 230 слоя баз данных напрямую. При такой аутентификации, вычислительное устройство 230 слоя баз данных может определять, выдавать ли разрешение на запрос клиента, на основе идентификационной информации самого клиентского вычислительного устройства 210, на основе идентификационной информации отдельного пользователя или группы пользователей клиентского вычислительного устройства 210, или любой комбинации вышеперечисленного. Следовательно, для целей такой аутентификации, вычислительное устройство 220 промежуточного слоя может получить такую информацию от клиентского вычислительного устройства 210 и может предоставить ее в вычислительное устройство 230 слоя баз данных, либо как часть исходного сообщения 255, либо как часть последующего обмена сообщениями.
Таким образом, вычислительное устройство 220 промежуточного слоя может получить из вычислительного устройства 230 слоя баз данных информацию и ресурсы, которые были запрошены клиентским вычислительным устройством 210, и затем, вычислительное устройство 220 промежуточного слоя может вернуть такую информацию и ресурсы клиентскому вычислительному устройству 210 в ответ на первоначальные запросы клиентского вычислительного устройства. Как будет понятно специалистам в данной области техники, дополнительные вычислительные устройства слоя баз данных могут быть добавлены в домен А 290, и вычислительному устройству 220 промежуточного слоя может быть разрешено делегирование ему полномочий на осуществление связи с этим вычислительным устройствам слоя баз данных аналогичным образом, посредством чего вычислительному устройству 220 промежуточного слоя обеспечивается возможность доступа к потенциально практически безграничному количеству информации и ресурсов, в тоже время, все так же обеспечивая клиентскому вычислительному устройству 210 возможность иметь единственную точку связи, возможно, вычислительное устройство 220 промежуточного слоя, для доступа к этой информации и этим ресурсам. Кроме того, описываемые здесь механизмы могут применяться рекурсивно, когда, например, вычислительное устройство 230 слоя баз данных может, в свою очередь, действовать в качестве вычислительного устройства промежуточного слоя, и ему могут быть делегированы полномочия на осуществление связи с дополнительным, другим вычислительным устройством слоя баз данных. Такое дополнительное делегирование может быть выполнено в соответствии с механизмами, описанными здесь, и может быть основано на независимо устанавливаемой политике, которая может оцениваться аналогичным образом.
Как указано выше, хотя примерная система 200 Фиг. 2 иллюстрирует только одно вычислительное устройство 230 слоя баз данных, предоставленное здесь описание в равной степени применимо к осуществлению связи между одним вычислительным устройством промежуточного слоя и множеством вычислительных устройств слоя баз данных, где вычислительное устройство промежуточного слоя действует в качестве агрегатора для клиентского вычислительного устройства. Например, если клиентское вычислительное устройство 210 отправило запрос на информацию, которая была распределена по всему множеству вычислительных устройств слоя баз данных, включая, например, вычислительное устройство 230 слоя баз данных и другие вычислительные устройства слоя баз данных, вычислительному устройству 220 промежуточного слоя могут быть делегированы полномочия на осуществление связи с такими другими вычислительными устройствами промежуточного слоя таким же образом, как описано выше, и как будет более подробно описано ниже. Вычислительное устройство 220 промежуточного слоя может затем получить соответствующую информацию от этого множества вычислительных устройств слоя баз данных, которое может включать в себя вычислительное устройство 230 слоя баз данных, проиллюстрированное на Фиг. 2 и упоминаемое в приведенном здесь описании, а также может собирать и агрегировать такую информацию для клиентского вычислительного устройства 210, до представления ее клиентскому вычислительному устройству 210 в ответ на запрос, отправленный таким устройством.
В других вариантах осуществления, вычислительное устройство 230 слоя баз данных, к которому вычислительное устройство 220 промежуточного слоя должно делегироваться от имени клиентского вычислительного устройства 210 для того, чтобы ответить на запросы клиентского вычислительного устройства 210, не обязательно должно находиться в том же самом домене, например, домене А 290. Показанная на Фиг. 3 система 300 иллюстрирует многодоменную систему, в которой вычислительное устройство 240 контроллера домена и вычислительное устройство 220 промежуточного слоя остаются в домене А 290, а вычислительное устройство 230 слоя баз данных, полномочия на осуществление связи с которым должны быть делегированы вычислительному устройству 220 промежуточного слоя, может быть частью домена В 390, который может иметь свое собственное вычислительное устройство контроллера домена 340. В целях отличия вычислительного устройства 240 контроллера домена в Домене А 290 от вычислительного устройства 340 контроллера домена в Домене В 390, для ссылки на контроллер 240 домена в Домене А 290 на Фиг. 3 будет использоваться сокращенное обозначение "DC1", а для ссылки на вычислительное устройство 340 контроллера домена в Домене В 390 на Фиг. 3 будет использоваться сокращенное обозначение "DC2". Кроме того, идентичные сообщения и элементы, проиллюстрированные ранее на Фиг. 2, сохраняют свои идентичные числовые идентификаторы в системе 300 на Фиг. 3.
Таким образом, как видно из системы 300 по Фиг. 3, клиентское вычислительное устройство 210 может по-прежнему осуществлять связь с вычислительным устройством 220 промежуточного слоя описанным ранее способом, и вычислительное устройство 220 промежуточного слоя может по-прежнему осуществлять связь с вычислительным устройством 240 контроллера домена также описанным ранее способом. Однако при получении запроса от вычислительного устройства 220 промежуточного слоя на осуществление связи с вычислительным устройством 230 слоя баз данных, таким как клиентское вычислительное устройство 210, посредством сообщения 225, описанного ранее, вычислительное устройство 240 контроллера домена, так же, как было описано ранее, может сначала определить, что указано пунктирной линией 235, находится ли вычислительное устройство 230 слоя баз данных в том же самом домене, что и вычислительное устройство 240 контроллера домена, а именно, домене А 290. В этом конкретном примере, представленном системой 300 на Фиг. 3, как можно видеть, вычислительное устройство 230 слоя баз данных находится не в том же самом домене, что и вычислительное устройство 240 контроллера домена.
Следовательно, вычислительное устройство 240 контроллера домена, вместо оценивания политики для определения, позволит ли вычислительное устройство 230 слоя баз данных делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с ним, может, взамен, предоставить вычислительному устройству 220 промежуточного слоя, через сообщение 315, маркер или другой набор информации, который может быть подписан вычислительным устройством 240 контроллера домена. Такой маркер или другой набор информации может обеспечить вычислительному устройству 220 промежуточного слоя возможность направить свой запрос делегирования в другое вычислительное устройство контроллера домена, такое как, в примере, проиллюстрированном на Фиг. 3, вычислительное устройство 340 контроллера домена. Таким образом, в одном варианте осуществления, маркер, предоставленный посредством сообщения 315, может быть направлен в вычислительное устройство 340 контроллера домена.
При приеме маркера, предоставленного посредством сообщения 315, вычислительное устройство 220 промежуточного слоя может отправить запрос 325, который может быть аналогичным запросу 225, описанному ранее, в вычислительное устройство 340 контроллера домена в домене В 390. Однако, в то время как ранее описанный запрос 225 также содержал идентификатор 250 клиента и идентификатор 260 промежуточного слоя, оба подписанные вычислительным устройством 240 контроллера домена, запрос 325, который вычислительное устройство 220 промежуточного слоя направило вычислительному устройству 340 контроллера домена, может содержать маркер 320, который может быть описанным ранее маркером, принятым посредством сообщения 315, а также, может содержать идентификатор 330 вычислительного устройства 220 промежуточного слоя, который подписан вычислительным устройством 240 контроллера домена. В одном варианте осуществления, аналогично маркеру 320, который был предоставлен посредством сообщения 315, идентификатор 330 вычислительного устройства 220 промежуточного слоя так же может быть направлен вычислительному устройству 340 контроллера домена. В таком варианте осуществления, либо в качестве части сообщения 315, либо в качестве части обмена сообщениями, возникающими в сочетании с сообщением 315, вычислительное устройство 220 промежуточного слоя может запросить, или иным образом принять, от вычислительного устройства 240 контроллера домена идентификатор 330, который подписан вычислительным устройством 240 контроллера домена и направлен вычислительному устройству 340 контроллера домена. Кроме того, в одном варианте осуществления, маркер 320 и идентификатор 330 могут быть переданы в вычислительное устройство 340 контроллера домена через альтернативные пути, в том числе, например, предоставлены напрямую от вычислительного устройства 240 контроллера домена, или другими альтернативными путями.
Когда вычислительное устройство 340 контроллера домена принимает запрос 325, оно может сначала определить, способом, аналогичным описанному выше со ссылкой на вычислительное устройство 240 контроллера домена, находится ли вычислительное устройство 230 слоя баз данных, к которому обращается запрос 325, в том же домене, что и вычислительное устройство 340 контроллера домена, а именно, домене В 390 в иллюстративной системе 300, показанной на Фиг. 3. Как и ранее, такое определение проиллюстрировано на Фиг. 3 с помощью пунктирной линии 335. Поскольку, в настоящем примере, вычислительное устройство 230 слоя баз данных находится в том же домене, что и вычислительное устройство 340 контроллера домена, а именно, домене В 390, вычислительное устройство 340 контроллера домена может перейти к определению, например, путем обращения к одной или нескольким политикам, позволит ли вычислительное устройство 230 слоя баз данных делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с ним.
При выполнении такого определения, вычислительное устройство 340 контроллера домена может сначала проверить, что маркер 320 и идентификатор 330 промежуточного слоя, которые были предоставлены вычислительным устройством 220 промежуточного слоя в качестве части запроса 325, должным образом подписаны вычислительным устройством 240 контроллера домена. Например, вычислительное устройство 340 контроллера домена может выполнить такое определение путем обращения к открытому ключу вычислительного устройства 240 контроллера домена, к которому вычислительное устройство 340 контроллера домена может иметь доступ. Как только вычислительное устройство 340 контроллера домена выполнит такую проверку, оно может обращаться к одной или нескольким политикам для определения, разрешено ли, например, вычислительным устройством 230 слоя баз данных, делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с ним. Как указывалось ранее, политики, к которым обращается вычислительное устройство 340 контроллера домена, могут включать в себя политики, установленные вычислительным устройством 230 слоя баз данных, так как вычислительному устройству 230 слоя баз данных можно доверять в том, чтобы устанавливать политики, которые задают то, кому оно доверяет делегирование полномочий на осуществление связи с ним. Кроме того, как указано выше, политики, к которым обращается вычислительное устройство 340 контроллера домена, могут ссылаться практически на любой аспект вычислительного устройства 220 промежуточного слоя, включая, например, операционную систему, запущенную на вычислительном устройстве 220 промежуточного слоя, аппаратное обеспечение вычислительного устройства 220 промежуточного слоя и атрибуты безопасности вычислительного устройства 220 промежуточного слоя, такие как, например, были ли применены наиболее свежие дополнения, и используются ли самые свежие версии программ защиты от вредоносного программного обеспечения. Такая информация может содержаться в идентификаторе 330 промежуточного слоя, который может быть предоставлен в вычислительное устройство 340 контроллера домена вычислительным устройством 220 промежуточного слоя посредством сообщения 325, или, в качестве альтернативы, такая информация может быть предоставлена посредством последующего обмена сообщениями между вычислительным устройством 340 контроллера домена и вычислительным устройством 220 промежуточного слоя, выполняемого в сочетании с сообщением 325.
Если вычислительное устройство 340 контроллера домена определяет, основываясь на описанных выше оценках, что должно быть разрешено делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с вычислительным устройством 230 слоя баз данных, вычислительное устройство контроллера домена может предоставить, посредством сообщения 345, показанного на Фиг. 3, билет сервиса или другой набор информации, который может быть подписан вычислительным устройством 340 контроллера домена, который может обеспечить возможность делегирования вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с вычислительным устройством 230 слоя баз данных. Вычислительное устройство 220 промежуточного слоя может затем, как описано выше, отправлять в вычислительное устройство 230 слоя баз данных запрос, который первоначально был отправлен клиентским вычислительным устройством 210 в вычислительное устройство 220 промежуточного слоя, что проиллюстрировано сообщением 355. Кроме того, запрос 355 может включать в себя билет 370 сервиса, который мог быть предоставлен из вычислительного устройства 340 контроллера домена, посредством сообщения 345.
Как и прежде, при получении запроса 355, вычислительное устройство 230 слоя баз данных может оценивать билет 370 сервиса и проверять, что он был должным образом подписан вычислительным устройством 340 контроллера домена в домене, содержащем вычислительное устройство 230 слоя баз данных, таком как домен В 390 в проиллюстрированном примере, показанном на Фиг. 3. Если вычислительное устройство 230 слоя баз данных успешно проверило билет 370 сервиса, оно может перейти к осуществлению связи с вычислительным устройством 220 промежуточного слоя, как если бы вычислительное устройство 220 промежуточного слоя было клиентским вычислительным устройством 210. Таким образом, вычислительное устройство 220 промежуточного слоя может получать информацию и ресурсы от вычислительного устройства 230 слоя баз данных от имени клиентского вычислительного устройства 210, а затем, может представлять эту информацию и эти ресурсы обратно на клиентское вычислительное устройство 210, в ответ на запросы, направленные клиентским вычислительным устройством 210 на вычислительное устройство 220 промежуточного слоя.
В определенных ситуациях, вычислительному устройству 220 промежуточного слоя может потребоваться осуществление связи с вычислительными устройствами контроллеров доменов в более чем двух доменах, до того, как в конечном итоге, появится возможность делегирование ему полномочий на осуществление связи с вычислительным устройством слоя баз данных, таким как вычислительное устройство 230 слоя баз данных. В таких ситуациях, работа вычислительных устройств контроллеров домена, и, конечно, системы в целом, может происходить аналогично тому, как это описано выше. Показанная на фиг. 4 система 400 представляет один иллюстративный пример такой системы, а также работы и осуществления связи различных показанных здесь элементов. Как можно видеть, вычислительное устройство 220 промежуточного слоя, при попытке делегирования ему полномочий на осуществление связи с вычислительным устройством 230 слоя баз данных, может сначала связаться с вычислительным устройством 240 контроллера домена, посредством сообщения 225, а вычислительное устройство 240 контроллера домена может, на основе оценки, показанной пунктирной линией 235, определить, что вычислительное устройство 230 слоя баз данных не находится в домене вычислительного устройства 240 контроллера домена, а именно, домене А 290 в примерной системе 400, показанной на Фиг. 4. Следовательно, как и прежде, вычислительное устройство 240 контроллера домена может предоставить вычислительному устройству 220 промежуточного слоя, например, посредством сообщения 315, маркер для вычислительного устройства контроллера другого домена. Затем также, как описано выше, вычислительное устройство 220 промежуточного слоя может, посредством сообщения 325, предоставить маркер 320 и идентификатор 330 промежуточного слоя, в такое вычислительное устройство 340 контроллера домена в другом домене, а именно, домене В 390 в примерной системе 400, показанной на Фиг. 4.
Однако, в примерной системе 400, показанной на Фиг. 4, вычислительное устройство 230 слоя баз данных, к которому вычислительное устройство 220 промежуточного слоя стремится делегироваться, не является частью домена В 390. Вместо этого, в одном варианте осуществления, домен В 390 может быть просто доменом, который является "ближайшим" к домену с вычислительным устройством 230 слоя баз данных, таким как домен С 490 в примерной системе 400, показанной на Фиг. 4. Вычислительное устройство 340 контроллера домена в домене В 390 могло было быть выбрано вычислительным устройством 240 контроллера домена, когда маркер к нему был сформирован и предоставлен на вычислительное устройство 220 промежуточного слоя, так как вычислительное устройство 240 контроллера домена считало, что домен В 390 был "ближайшим" к вычислительному устройству 230 слоя баз данных. В одном варианте осуществления, как минимум, вычислительное устройство 240 контроллера домена может, при выборе следующего вычислительного устройства контроллера домена, удостовериться, что направления не замкнуться в конечном итоге на самих себя. Возвращаясь к проиллюстрированной системе 400, показанной на Фиг. 4, определение, вычислительным устройством 340 контроллера домена, того, находится ли вычислительное устройство 230 слоя баз данных в своем домене, как показано пунктирной линией 335 на Фиг. 4, может выявить, что вычислительное устройство 230 слоя баз данных не находится, на самом деле, в том же домене, что и вычислительное устройство 340 контроллера домена, а именно, домене В 390. Следовательно, аналогично тому, как описано выше со ссылкой на вычислительное устройство 240 контроллера домена, вычислительное устройство 340 контроллера домена может предоставить ответ 345 на вычислительное устройство 220 промежуточного слоя, предоставляющий вычислительному устройству 220 промежуточного слоя маркер, подписанный вычислительным устройством 340 контроллера домена, и указывающий, что вычислительное устройство 220 промежуточного слоя стремится действовать в качестве клиентского вычислительного устройства 210 при осуществлении связи с вычислительным устройством 230 слоя баз данных. Как и ранее, в одном варианте осуществления, маркер, предоставленный посредством сообщения 345, может быть направлен в другое, конкретное вычислительное устройство контроллера домена, такое как вычислительное устройство 440 контроллера домена в домене С 490. Как и прежде, чтобы отличать вычислительное устройство контроллера домена, показанное на Фиг. 4, для ссылки на вычислительное устройство 440 контроллера домена на Фиг. 4 будет использоваться сокращенное обозначение "DC3".
При получении сообщения 345 из вычислительного устройства 340 контроллера домена, вычислительное устройство 220 промежуточного слоя может, как и раньше, направить запрос 425 на осуществление связи с вычислительным устройством 230 слоя баз данных в качестве клиентского вычислительного устройства 210, в вычислительное устройство контроллера другого домена, заданное сообщением 345, такое как вычислительное устройство 440 контроллера домена в примерной системе 400, показанной на Фиг. 4. Запрос 425 может содержать маркер 420, который мог быть принят посредством сообщения 345 из вычислительного устройства 340 контроллера домена, и идентификатор 430 промежуточного слоя. В одном варианте осуществления, для получения идентификатора 430 промежуточного слоя, подписанного вычислительным устройством 340 контроллера домена, вычислительное устройство 220 промежуточногослоя может запросить, чтобы вычислительное устройство 340 контроллера домена сформировало такой идентификатор 430 на основе идентификатора 330 промежуточного слоя, который вычислительное устройство 220 промежуточного слоя предоставило в вычислительное устройство 340 контроллера домена в составе запроса 325. Если вычислительное устройство 340 контроллера домена доверяет вычислительному устройству 240 контроллера домена, то вычислительное устройство 340 контроллера домена может сформировать идентификатор 430 промежуточного слоя самостоятельно, подписав информацию в идентификаторе 330 промежуточного слоя, который ранее был подписан вычислительным устройством 240 контроллера домена. Как и ранее, в одном варианте осуществления, идентификатор 430 промежуточного слоя и маркер 420 могут быть специально направлены на вычислительное устройство 440 контроллера домена.
Вычислительное устройство 440 контроллера домена может затем продолжать работу способом, аналогичным тому, что было описано выше со ссылкой на вычислительное устройство 240 контроллера домена и вычислительное устройство 340 контроллера домена. В частности, как показано пунктирной линией 435, вычислительное устройство 440 контроллера домена может проверить, что вычислительное устройство 230 слоя баз данных, которое было идентифицировано в составе запроса 425, на самом деле находится в том же домене, что и вычислительное устройство 440 контроллера домена, а именно, домене С 490 в примерной системе 400, показанной на Фиг. 4. Поскольку в примере, показанном на Фиг. 4, вычислительное устройство 230 слоя баз данных находится в том же домене, что и вычислительное устройство 440 контроллера домена, вычислительное устройство 440 контроллера домена может перейти к обращению к одной или нескольким политикам, включая, например, политики, установленные вычислительным устройством 230 слоя баз данных, чтобы определить, позволит ли вычислительное устройство 230 слоя баз данных делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с ним. Как указывалось ранее, политики, к которым обращается вычислительное устройство 440 контроллера домена, могут ссылаться на огромное множество аспектов вычислительного устройства 220 промежуточного слоя, и информация, касающуюся таких аспектов может содержаться в идентификаторе 430 промежуточного слоя, который может предоставляться вычислительным устройством 220 промежуточного слоя на вычислительное устройство 440 контроллера домена посредством сообщения 425, или, в качестве альтернативы, такая информация может предоставляться посредством последующего обмена сообщениями между вычислительным устройством 440 контроллера домена и вычислительным устройством 220 промежуточного слоя, выполняемого в сочетании с сообщением 425.
Как и раньше, если вычислительное устройство 440 контроллера домена определит, что должно быть разрешено делегирование вычислительному устройству 220 промежуточного слоя полномочий на осуществление связи с вычислительным устройством 230 слоя баз данных, вычислительное устройство 440 контроллера домена может возвратить, посредством сообщения 445, на вычислительное устройство 220 промежуточного слоя билет сервиса, который может быть подписан вычислительным устройством 440 контроллера домена и который может обеспечить вычислительному устройству 220 промежуточного слоя возможность осуществления связи с вычислительным устройством 230 слоя баз данных в качестве клиентского вычислительного устройства 210. Впоследствии, как также было описано ранее, вычислительное устройство 220 промежуточного слоя может отправить соответствующие запросы на вычислительное устройство 230 слоя баз данных, что проиллюстрировано сообщением 455, и может включать билет 470 сервиса, который был предоставлен вычислительным устройством 440 контроллера домена, в сообщение 445. Кроме того, несмотря на то, что проиллюстрировано только один, два и три домена, механизмы, описанные здесь, как будет понятно специалистам в данной области техники, в равной степени применимы для любого числа доменов или других подобных разделов.
Показанная на Фиг. 5 блок-схема 500 иллюстрирует примерную последовательность этапов, которые могут выполняться вычислительным устройством промежуточного слоя в соответствии с описанными выше механизмами. Первоначально, на этапе 510, может быть принят запрос клиента, который направлен на информацию или ресурсы, которые являются частью вычислительного устройства слоя баз данных. Клиентское вычислительное устройство, отправляющее запрос, может также аутентифицировать себя, например, путем предоставления идентификатора, маркера или другой подобной информации, которая могла быть подписана вычислительным устройством контроллер домена. На этапе 520 эта информация может быть удостоверена, например, посредством использования открытого ключа вычислительного устройства контроллера домена. Если на этапе 520 аутентификация завершается неудачно, то процесс может перейти к этапу 570, на котором может осуществляться сообщение об ошибке. Соответствующий процесс может завершиться на этапе 580.
Однако, в альтернативном варианте, если аутентификация клиента на этапе 520 успешна, то информация, представленная клиентским вычислительным устройством, а также дополнительная информации о вычислительном устройстве промежуточного слоя, которые, обе, могут быть подписаны вычислительным устройством контроллера домена, могут предоставляться, на этапе 530, в вычислительное устройство контроллера домена вместе с запросом на разрешение осуществлять связь с вычислительным устройством слоя баз данных в качестве клиентского вычислительного устройства. В ответ на предоставление информации на этапе 530, билет сервиса или другой подобный набор информации, который может быть подписан контроллером домена, могут быть приняты на этапе 540. Если на этапе 540 такой билет сервиса был принят, процесс может переходить к этапу 550, и билет сервиса может быть предоставлен соответствующему вычислительному устройству слоя баз данных для установления связи с вычислительным устройством слоя баз данных от имени клиентского вычислительного устройства, чей запрос был принят на этапе 510. Поскольку такое осуществление связь может проходить способом, хорошо известным специалистам в данной области техники, процесс, относящейся к настоящему описанию изобретению, может быть завершен на этапе 580. Если, однако, на этапе 540 билет сервиса не принят, процесс может перейти к этапу 560, где, вместо билета сервиса, может быть принят маркер или другой набор информации, который может направить запрос, для осуществления связи с вычислительным устройством слоя баз данных в качестве клиентского вычислительного устройства, на вычислительное устройство контроллера другого домена. Если на этапе 560 принят такой маркер, то процесс может вернуться к этапу 530, и упомянутый запрос может быть направлен в другое, отличающееся вычислительное устройство контроллера домена. Или же, если никакого маркера не принято на этапе 560, и никакого билета сервиса не было принято на этапе 540, процесс можно перейти к этапу 570 и клиенту может быть сообщено о соответствующей ошибке. Таким образом, вычислительное устройство промежуточного слоя может перейти к осуществлению запроса на разрешение осуществления связи с вычислительным устройством слоя баз данных от одного или нескольких вычислительных устройств контроллеров доменов, пока оно не достигнет вычислительного устройства контроллера домена, которое находится в том же домене, что и вычислительное устройство слоя баз данных, которое затем может принимать решение относительно того, действительно ли одна или несколько соответствующих политик указывают, что вычислительное устройство слоя баз данных позволит делегирование вычислительному устройству промежуточного слоя полномочий на осуществление связи с ним.
Показанная на Фиг. 6 блок-схема 600 иллюстрирует примерную последовательность этапов, которые могут выполняться вычислительным устройством контроллера домена в соответствии с механизмами, подробно описанными выше. Первоначально, на этапе 610, может быть принят запрос от вычислительного устройства промежуточного слоя на осуществление связи с вычислительным устройством слоя баз данных в качестве клиентского вычислительного устройства. Процесс может затем перейти к этапу 620, на котором может быть выполнено определение того, находится ли вычислительное устройство слоя баз данных, заданное в запросе, принятом на этапе 610, в том же домене, что и вычислительное устройство, выполняющее этапы блок-схемы 600. Если на этапе 620 определено, что вычислительное устройство слоя баз данных не находится в том же домене, процесс может перейти к этапу 660, на котором маркер или другой набор информации может быть сформирован и передан в вычислительное устройство промежуточного слоя, запрос от которого был принят на этапе 610. Маркер или другой набор информации, сформированный и переданный на этапе 660, может содержать информацию, направляющую вычислительное устройство промежуточного слоя к другому контроллеру домена, а также может содержать информацию, информирующую этот другой контроллер домена о том, что вычислительное устройство промежуточного слоя стремится действовать в качестве клиентского вычислительного устройства при осуществлении связи с вычислительным устройством слоя баз данных. Кроме того, как подробно описано выше, информация, сформированная и переданная на этапе 660, может дополнительно содержать идентификационные данные вычислительного устройства промежуточного слоя, включая, например, различную информацию о конфигурации, которая могут быть подписана вычислительным устройством контроллера домена. Соответствующий процесс может затем завершаться на этапе 670, как показано.
Или же, если на этапе 620 определено, что вычислительное устройство слоя баз данных, к которому был направлен запрос, принятый на этапе 610, действительно находится в том же домене, то процесс может перейти к этапу 630, на котором может выполняться оценка одной или нескольких политик для определения того, разрешено ли вычислительным устройством слоя баз данных делегирование вычислительному устройству промежуточного слоя, осуществляющему запрос, принятый на этапе 610, полномочий на осуществление связи с ним. Как указывалось ранее, решение на этапе 630 может быть принято с помощью обращения к одной или нескольким политикам, которые могли быть определены, и предоставлены, соответствующие вычислительным устройством слоя баз данных. Кроме того, как также было указано выше, решение на этапе 630 может включать в себя определение, соответствует ли запрашивающее вычислительное устройство промежуточного слоя всем факторам, которые были установлены соответствующими политиками, включая, например, факторы, которые направлены на конфигурацию аппаратного или программного обеспечения вычислительного устройства промежуточного слоя. Таким образом, решение, принятое на этапе 630 может включать в себя определение того, действительно ли информация, предоставленная вычислительным устройством промежуточного слоя на шаге 610, является соответствующим образом подписанной вычислительным устройством контроллера домена и одновременно указывает, что вычислительное устройство промежуточного слоя соответствует факторам, на которые ссылаются соответствующие политики. Или же, как также было указано выше, определение на этапе 630 может включать в себя дополнительный обмен сообщениями с вычислительным устройством промежуточного слоя для того, чтобы определить, соответствует ли вычислительное устройство промежуточного слоя факторам, на которые ссылаются соответствующие политики, хотя, для простоты иллюстрации, такой дополнительный обмен сообщениями конкретно не показан в блок-схеме 600 на Фиг. 6.
Если на этапе 630 определено, что делегирование вычислительному устройству промежуточного слоя полномочий на осуществление связи с вычислительным устройством слоя баз данных разрешено, процесс может перейти к этапу 640, на котором билет сервиса или другая информация, предоставляющая вычислительному устройству промежуточного слоя разрешения на действие в качестве клиентского вычислительного устройства при осуществлении связи с вычислительным устройством слоя баз данных, могут быть сформированы и переданы в вычислительное устройство промежуточного слоя. Соответствующий процесс может завершиться на этапе 670. Или же, если на этапе 630 определено, что соответствующие политики не позволяют делегировать вычислительному устройству промежуточного слоя полномочия на осуществление связи с вычислительным устройством слоя баз данных, то процесс может перейти к этапу 650, на котором вычислительному устройству промежуточного слоя может быть сообщено об ошибке. Соответствующий процесс может быть завершен на этапе 670.
Как видно из приведенного выше описания, механизм делегирования, в котором была обеспечена возможность делегирования одному вычислительному устройству полномочий на осуществление связи с другим вычислительным устройством согласно информации от вычислительного устройства, делегирование полномочий на осуществление связи с которым осуществляется. Ввиду многих возможных вариаций описанного здесь изобретения, в качестве изобретения заявлены все такие варианты осуществления, которые входят в объем, определяемый прилагаемой формулой изобретения и ее эквивалентами.
название | год | авторы | номер документа |
---|---|---|---|
УПРАВЛЯЕМОЕ ПОЛИТИКАМИ ДЕЛЕГИРОВАНИЕ УЧЕТНЫХ ДАННЫХ ДЛЯ ЕДИНОЙ РЕГИСТРАЦИИ В СЕТИ И ЗАЩИЩЕННОГО ДОСТУПА К СЕТЕВЫМ РЕСУРСАМ | 2007 |
|
RU2439692C2 |
КОНТЕКСТ УСТОЙЧИВОЙ АВТОРИЗАЦИИ НА ОСНОВЕ ВНЕШНЕЙ АУТЕНТИФИКАЦИИ | 2008 |
|
RU2390838C2 |
КОНТЕКСТ УСТОЙЧИВОЙ АВТОРИЗАЦИИ НА ОСНОВЕ ВНЕШНЕЙ АУТЕНТИФИКАЦИИ | 2003 |
|
RU2337399C2 |
АБСТРАГИРОВАНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ ОТ И ПРЕОБРАЗОВАНИЕ В СОБСТВЕННЫЕ ПРЕДСТАВЛЕНИЯ МЕХАНИЗМОВ ПРОВЕРКИ ДОСТУПА | 2007 |
|
RU2447497C2 |
ИНФРАСТРУКТУРА ВЕРИФИКАЦИИ БИОМЕТРИЧЕСКИХ УЧЕТНЫХ ДАННЫХ | 2007 |
|
RU2434340C2 |
ФОРМИРОВАНИЕ КЛЮЧА В ЗАВИСИМОСТИ ОТ ПАРАМЕТРА | 2017 |
|
RU2671052C1 |
ФОРМИРОВАНИЕ КЛЮЧА В ЗАВИСИМОСТИ ОТ ПАРАМЕТРА | 2018 |
|
RU2709162C1 |
ФОРМИРОВАНИЕ КЛЮЧА В ЗАВИСИМОСТИ ОТ ПАРАМЕТРА | 2012 |
|
RU2636105C1 |
ФОРМИРОВАНИЕ КЛЮЧА В ЗАВИСИМОСТИ ОТ ПАРАМЕТРА | 2012 |
|
RU2582540C2 |
ФОРМИРОВАНИЕ КЛЮЧА В ЗАВИСИМОСТИ ОТ ПАРАМЕТРА | 2017 |
|
RU2670778C9 |
Изобретение относится к способу и системе связи по сети между клиентом и сервером, который обрабатывает запросы от клиента к серверу. Технический результат заключается в повышении безопасности осуществления связи с серверными вычислительными устройствами и достигается за счет того, что выполняют прием первым компьютерным устройством, предназначенным для управления первым доменом, запроса от второго компьютерного устройства во втором домене на осуществление связи в качестве и от имени клиента с третьим компьютерным устройством. Определяют, что третье компьютерное устройство находится в первом домене. Проверяют условие соответствия требований политики для делегирования полномочий по осуществлению связи с третьим компьютерным устройством, причем эти одно или более требований политики заданы третьим компьютерным устройством и введены в действие первым компьютерным устройством. Принимают конфигурационную информацию касаемо второго компьютерного устройства и четвертого компьютерного устройства. Формируют подписанный билет сервиса, представляющего собой совокупность информации для удовлетворения упомянутого запроса на осуществление связи. 3 н. и 17 з.п. ф-лы, 6 ил.
1. Система для обеспечения делегирования, содержащая: по меньшей мере один процессор; и
память, подключенную к по меньшей мере одному процессору, при этом в памяти сохранены инструкции, которыми при их исполнении по меньшей мере одним процессором выполняется способ, содержащий:
прием первым компьютерным устройством, предназначенным для управления первым доменом, запроса от второго компьютерного устройства во втором домене на осуществление связи в качестве и от имени клиента с третьим компьютерным устройством;
определение того, что третье компьютерное устройство находится в первом домене;
выявление одного или более требований политики для делегирования полномочий по осуществлению связи с третьим компьютерным устройством, причем эти одно или более требований политики заданы третьим компьютерным устройством и введены в действие первым компьютерным устройством;
прием конфигурационной информации касаемо второго компьютерного устройства и четвертого компьютерного устройства, предназначенного для управления вторым доменом;
определение того, удовлетворены ли выявленные одно или более требований политики, отчасти на основе принятой конфигурационной информации касаемо второго компьютерного устройства и четвертого компьютерного устройства, предназначенного для управления вторым доменом;
формирование подписанного билета сервиса, представляющего собой совокупность информации для удовлетворения упомянутого запроса на осуществление связи.
2. Система по п. 1, в которой по меньшей мере одно требование политики из упомянутых одного или более требований политики указывает на сервис, который исполняется на втором компьютерном устройстве.
3. Система по п. 1, в которой способ дополнительно содержит запрашивание информации, связанной с упомянутыми одним или более требованиями политики.
4. Система по п. 1, в которой способ дополнительно содержит:
прием подписанного идентификатора;
проверку подписи; и
подписание принятого идентификатора, если данная проверка пройдена успешно.
5. Система по п. 1, в которой способ дополнительно содержит прием маркера упомянутого клиента и маркера второго компьютерного устройства.
6. Система по п. 1, в которой маркер второго компьютерного устройства имеет подпись из четвертого компьютерного устройства, предназначенного для управления вторым доменом.
7. Система для обеспечения делегирования, содержащая:
по меньшей мере один процессор; и
память, подключенную к по меньшей мере одному процессору, при этом в памяти сохранены инструкции, которыми при их исполнении по меньшей мере одним процессором выполняется способ, содержащий:
отправку первым компьютерным устройством в первом домене запроса на осуществление связи в качестве и от имени клиента со вторым компьютерным устройством во втором домене;
отправку в третье компьютерное устройство, предназначенное для управления вторым доменом, конфигурационной информации касаемо первого компьютерного устройства и четвертого компьютерного устройства, предназначенного для управления первым доменом;
прием билета сервиса, представляющего собой совокупность информации для удовлетворения упомянутого запроса, причем билетом сервиса указывается, что набор требований политики, заданных вторым компьютерным устройством и введенных в действие третьим компьютерным устройством, удовлетворен; и
предоставление билета сервиса второму компьютерному устройству.
8. Система по п. 7, в которой способ дополнительно содержит осуществление связи со вторым компьютерным устройством в качестве и от имени клиента.
9. Система по п. 7, в которой способ дополнительно содержит прием маркера для доступа к другому домену.
10. Система по п. 9, в которой маркер имеет подпись из четвертого компьютерного устройства, предназначенного для управления первым доменом.
11. Система по п. 7, в которой способ дополнительно содержит предоставление первым компьютерным устройством маркера упомянутого клиента и маркера первого компьютерного устройства третьему компьютерному устройству.
12. Система по п. 7, в которой способ дополнительно содержит прием от упомянутого клиента запроса на доступ ко второму компьютерному устройству.
13. Система по п. 7, в которой совокупность информации билета сервиса показывает, что первому компьютерному устройству разрешено осуществлять связь со вторым компьютерным устройством.
14. Компьютерно-реализуемый способ обеспечения делегирования, содержащий:
прием первым компьютерным устройством, предназначенным для управления первым доменом, запроса от второго компьютерного устройства во втором домене на осуществление связи в качестве и от имени клиента с третьим компьютерным устройством;
определение того, что третье компьютерное устройство находится в первом домене;
выявление одного или более требований политики для делегирования полномочий по осуществлению связи с третьим компьютерным устройством, причем эти одно или более требований политики заданы третьим компьютерным устройством и введены в действие первым компьютерным устройством;
прием конфигурационной информации касаемо второго компьютерного устройства и четвертого компьютерного устройства, предназначенного для управления вторым доменом;
определение того, удовлетворены ли выявленные одно или более требований политики, отчасти на основе принятой конфигурационной информации касаемо второго компьютерного устройства и четвертого компьютерного устройства, предназначенного для управления вторым доменом;
формирование подписанного билета сервиса, представляющего собой совокупность информации для удовлетворения упомянутого запроса на осуществление связи.
15. Способ по п. 14, в котором по меньшей мере одно требование политики из упомянутых одного или более требований политики указывают на сервис, который исполняется на втором компьютерном устройстве.
16. Способ по п. 14, дополнительно содержащий запрашивание информации, связанной с упомянутыми одним или более требованиями политики.
17. Способ по п. 14, дополнительно содержащий:
прием подписанного идентификатора;
проверку подписи; и
подписание принятого идентификатора, если данная проверка пройдена успешно.
18. Способ по п. 14, дополнительно содержащий прием маркера упомянутого клиента и маркера второго компьютерного устройства.
19. Способ по п. 14, в котором маркер второго компьютерного устройства имеет подпись из четвертого компьютерного устройства, предназначенного для управления вторым доменом.
Способ и приспособление для нагревания хлебопекарных камер | 1923 |
|
SU2003A1 |
Колосоуборка | 1923 |
|
SU2009A1 |
Пломбировальные щипцы | 1923 |
|
SU2006A1 |
Приспособление для суммирования отрезков прямых линий | 1923 |
|
SU2010A1 |
КОНТЕКСТ УСТОЙЧИВОЙ АВТОРИЗАЦИИ НА ОСНОВЕ ВНЕШНЕЙ АУТЕНТИФИКАЦИИ | 2008 |
|
RU2390838C2 |
RU 2008146517 A, 27.05.2010. |
Авторы
Даты
2016-07-10—Публикация
2011-11-14—Подача