專(zhuān)利名稱(chēng):用于批處理系統(tǒng)的第二憑證的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及批處理���,尤其涉及用于批處理系統(tǒng)的第二憑證����。
技術(shù)背景
計(jì)算機(jī)批作業(yè)是可以在諸如計(jì)算機(jī)群集����、云計(jì)算系統(tǒng)、或不同于用戶的客戶機(jī)設(shè)備的某一其他計(jì)算機(jī)系統(tǒng)上遠(yuǎn)程執(zhí)行的作業(yè)�����。在許多情況下�,批作業(yè)可能花費(fèi)相當(dāng)多的時(shí)間,并且某些批作業(yè)可能花費(fèi)數(shù)小時(shí)、數(shù)天����、數(shù)周或甚至更長(zhǎng)的時(shí)間來(lái)處理。
在許多情況下�����,批作業(yè)可以用于用戶級(jí)認(rèn)證和安全措施���。用戶級(jí)認(rèn)證可用于與其他用戶隔離地執(zhí)行批作業(yè)以使得其他用戶無(wú)法訪問(wèn)該作業(yè)的輸入��、輸出或處理���。這些系統(tǒng)可允許批作業(yè)將來(lái)自該批作業(yè)的結(jié)果寫(xiě)到用戶的客戶機(jī)計(jì)算機(jī)或用戶可訪問(wèn)的某一其他位置。發(fā)明內(nèi)容
一種批作業(yè)系統(tǒng)可以為用戶創(chuàng)建第二組憑證并在認(rèn)證服務(wù)器中將該第二組憑證與該用戶相關(guān)聯(lián)��。第二組憑證可允許運(yùn)行批作業(yè)的計(jì)算機(jī)具有用戶級(jí)認(rèn)證以便執(zhí)行和報(bào)告結(jié)果����。該第二組憑證可以是關(guān)于憑證類(lèi)型的單個(gè)簽名,并且可由每一個(gè)工作者計(jì)算機(jī)可用來(lái)進(jìn)行認(rèn)證的虛擬智能卡組成��。在一些實(shí)施方式中�����,認(rèn)證請(qǐng)求可被路由至虛擬或物理硬件安全模塊�����。
提供本發(fā)明內(nèi)容以便以簡(jiǎn)化形式介紹將在以下的具體實(shí)施方式
中進(jìn)一步描述的一些概念���。本發(fā)明內(nèi)容并不旨在標(biāo)識(shí)出所要求保護(hù)的主題的關(guān)鍵或必要特征���,也不旨在用于限定所要求保護(hù)的主題的范圍。
在附圖中��,
圖1是示出用于執(zhí)行批作業(yè)的系統(tǒng)的實(shí)施方式的圖示��。
圖2是示出用于批作業(yè)處理的方法的實(shí)施方式的時(shí)間線圖示���。
圖3是示出使用軟件智能卡證書(shū)來(lái)處理批作業(yè)的方法的實(shí)施方式的流程圖示����。
圖4是示出使用遠(yuǎn)程智能卡請(qǐng)求來(lái)處理批作業(yè)的方法的實(shí)施方式的時(shí)間線圖示���。
具體實(shí)施方式
一種批作業(yè)系統(tǒng)可以創(chuàng)建第二組用戶憑證以供在遠(yuǎn)程計(jì)算設(shè)備上執(zhí)行批作業(yè)時(shí)使用�。該第二組用戶憑證可基于長(zhǎng)期憑證方案,諸如智能卡或安全證書(shū)�。該第二組憑證可以通過(guò)認(rèn)證服務(wù)器與用戶的普通憑證相關(guān)聯(lián),并且批作業(yè)可使用該第二組憑證來(lái)執(zhí)行并返回結(jié)果����。
該第二組憑證可允許批作業(yè)甚至在用戶改變其口令或?qū)ζ淦胀☉{證作出改變之后執(zhí)行。而且����,該第二組憑證可以在不撤消或影響用戶的普通憑證的情況下在建立作業(yè)之后的任何時(shí)刻撤消。
在一個(gè)實(shí)施方式中���,每一個(gè)遠(yuǎn)程計(jì)算設(shè)備都可具有仿真硬件讀取器的軟件驅(qū)動(dòng)程序以供智能卡創(chuàng)建軟件智能卡讀取器���。可以向遠(yuǎn)程計(jì)算設(shè)備發(fā)放可供軟件智能卡讀取器用來(lái)提供認(rèn)證的智能卡證書(shū)�����。
在另一實(shí)施方式中�,每一個(gè)遠(yuǎn)程計(jì)算設(shè)備可查詢認(rèn)證服務(wù)器,該認(rèn)證服務(wù)器可包含硬件或軟件智能卡以提供用于認(rèn)證的Kerberos權(quán)證��。在這種情況下�����,Kerberos權(quán)證可用于認(rèn)證,而憑證可以在安全位置��。
貫穿本說(shuō)明書(shū)�,在對(duì)附圖的所有描述中���,相同的附圖標(biāo)記表示相同的元素�����。
在將元素稱(chēng)為被“連接”或“耦合”時(shí)�,這些元素可以直接連接或耦合在一起��,或者也可以存在一個(gè)或多個(gè)中間元素�����。相反��,在將元素稱(chēng)為被“直接連接”或“直接耦合”時(shí)�,不存在中間元素。
本發(fā)明主題可被具體化為設(shè)備���、系統(tǒng)���、方法����、和/或計(jì)算機(jī)程序產(chǎn)品��。因此���,本發(fā)明主題的部分或全部可以用硬件和/或軟件(包括固件����、常駐軟件���、微碼�����、狀態(tài)機(jī)���、門(mén)陣列等) 來(lái)具體化。此外�,本發(fā)明主題可以采用其上嵌入有供指令執(zhí)行系統(tǒng)使用或結(jié)合其使用的計(jì)算機(jī)可使用或計(jì)算機(jī)可讀的程序代碼的計(jì)算機(jī)可使用或計(jì)算機(jī)可讀的存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品的形式����。在本文的上下文中��,計(jì)算機(jī)可使用或計(jì)算機(jī)可讀介質(zhì)可以是可包含����、存儲(chǔ)、通信���、傳播、或傳輸程序以供指令執(zhí)行系統(tǒng)���、裝置或設(shè)備使用或結(jié)合其使用的任何介質(zhì)��。
計(jì)算機(jī)可使用或計(jì)算機(jī)可讀介質(zhì)可以是�,例如����,但不限于,電�����、磁、光����、電磁、紅外���、 或半導(dǎo)體系統(tǒng)��、裝置�����、設(shè)備或傳播介質(zhì)���。作為示例而非限制,計(jì)算機(jī)可讀介質(zhì)可包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)���。
計(jì)算機(jī)存儲(chǔ)介質(zhì)包括以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令����、數(shù)據(jù)結(jié)構(gòu)��、程序模塊或其它數(shù)據(jù)這樣的信息的任意方法或技術(shù)來(lái)實(shí)現(xiàn)的易失性和非易失性、可移動(dòng)和不可移動(dòng)介質(zhì)�。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括,但不限于�,RAM、ROM��、EEPR0M�、閃存或其它存儲(chǔ)器技術(shù)、CD-ROM�����、數(shù)字多功能盤(pán)(DVD)或其它光盤(pán)存儲(chǔ)���、磁帶盒、磁帶��、磁盤(pán)存儲(chǔ)或其它磁性存儲(chǔ)設(shè)備�����、或能用于存儲(chǔ)所需信息且可以由指令執(zhí)行系統(tǒng)訪問(wèn)的任何其它介質(zhì)�����。注意,計(jì)算機(jī)可使用或計(jì)算機(jī)可讀介質(zhì)可以是其上打印有程序的紙張或其它合適的介質(zhì)�����,因?yàn)槌绦蚩梢越?jīng)由例如對(duì)紙張或其它合適介質(zhì)的光學(xué)掃描而電子地捕獲���,隨后如有必要被編譯�����、解釋?zhuān)蛞云渌线m的方式處理��,并隨后存儲(chǔ)在計(jì)算機(jī)存儲(chǔ)器中����。
通信介質(zhì)通常以諸如載波或其他傳輸機(jī)制的已調(diào)制數(shù)據(jù)信號(hào)來(lái)體現(xiàn)計(jì)算機(jī)可讀指令��、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或其他數(shù)據(jù)����,并包括任意信息傳送介質(zhì)。術(shù)語(yǔ)“已調(diào)制數(shù)據(jù)信號(hào)” 可以被定義為其一個(gè)或多個(gè)特征以在信號(hào)中編碼信息的方式被設(shè)定或更改的信號(hào)。作為示例而非限制�,通信介質(zhì)包括諸如有線網(wǎng)絡(luò)或直接線連接之類(lèi)的有線介質(zhì),以及諸如聲學(xué)�����、 RF���、紅外及其他無(wú)線介質(zhì)之類(lèi)的無(wú)線介質(zhì)���。上述的任意組合也應(yīng)包含在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)。
當(dāng)本發(fā)明主題在計(jì)算機(jī)可執(zhí)行指令的一般上下文中具體化時(shí)�,該實(shí)施方式可以包括由一個(gè)或多個(gè)系統(tǒng)、計(jì)算機(jī)��、或其它設(shè)備執(zhí)行的程序模塊����。一般而言��,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類(lèi)型的例程��、程序�����、對(duì)象、組件���、數(shù)據(jù)結(jié)構(gòu)等等�����。通常���,程序模塊的功能可以按需在各個(gè)實(shí)施方式中進(jìn)行組合或分布。
圖1是示出用于在遠(yuǎn)程設(shè)備上執(zhí)行批作業(yè)的系統(tǒng)的實(shí)施方式100的圖示���。實(shí)施方式100是其中可以在遠(yuǎn)程設(shè)備上使用第二組用戶憑證來(lái)執(zhí)行批作業(yè)的硬件和軟件環(huán)境的簡(jiǎn)化示例�����。
圖1的圖示出了系統(tǒng)的各功能組件�。在一些情況下�,組件可以是硬件組件、軟件組件��、或硬件和軟件的組合�����。一些組件可以是應(yīng)用層軟件,而其他組件可以是操作系統(tǒng)層組件����。在一些情況下,一個(gè)組件到另一個(gè)組件的連接可以是緊密連接���,其中兩個(gè)或更多個(gè)組件在單個(gè)硬件平臺(tái)上操作��。在其它情況下����,連接可以通過(guò)跨長(zhǎng)距離的網(wǎng)絡(luò)連接來(lái)形成����。各實(shí)施方式可以使用不同的硬件、軟件�、以及互連體系結(jié)構(gòu)來(lái)實(shí)現(xiàn)所描述的功能。
實(shí)施方式100示出了其中可以執(zhí)行批作業(yè)的典型環(huán)境�����。在本說(shuō)明書(shū)和權(quán)利要求書(shū)中�,批作業(yè)是用來(lái)指代在用戶的命令下執(zhí)行但在除了用戶可能正在使用的設(shè)備之外的設(shè)備上執(zhí)行的計(jì)算操作的術(shù)語(yǔ)。在一典型場(chǎng)景中��,用戶可登錄到客戶機(jī)設(shè)備并且使得在服務(wù)器計(jì)算機(jī)�����、云計(jì)算服務(wù)�、服務(wù)器群集或其他計(jì)算平臺(tái)上執(zhí)行批作業(yè)。該批作業(yè)可以在該用戶的標(biāo)識(shí)下并且使用該用戶的憑證來(lái)執(zhí)行���。
如在本說(shuō)明書(shū)和權(quán)利要求書(shū)中定義的���,批作業(yè)可以在一個(gè)或多個(gè)計(jì)算設(shè)備上執(zhí)行。在一些情況下�,批作業(yè)可以在諸如服務(wù)器或臺(tái)式計(jì)算機(jī)或甚至諸如蜂窩電話等小型便攜式設(shè)備等單個(gè)計(jì)算平臺(tái)上執(zhí)行。在其他情況下��,批作業(yè)可以在具有多個(gè)處理器的高性能計(jì)算設(shè)備上執(zhí)行�����。在另外一些情況下�����,批作業(yè)可以在具有可并行操作的許多服務(wù)器計(jì)算機(jī)的服務(wù)器群集上執(zhí)行。在還有一些情況下�����,批作業(yè)可以在可包含數(shù)百或數(shù)千計(jì)算設(shè)備的云計(jì)算環(huán)境中執(zhí)行�。
一種使用場(chǎng)景可以是作為工程師的用戶創(chuàng)建執(zhí)行計(jì)算上的流體動(dòng)力學(xué)計(jì)算的批作業(yè)。在許多情況下����,這一批作業(yè)可耗費(fèi)比該用戶習(xí)慣用來(lái)創(chuàng)建該批作業(yè)的典型的臺(tái)式客戶機(jī)計(jì)算機(jī)多得多的計(jì)算能力。該批作業(yè)可被傳送至控制器設(shè)備并且由高性能計(jì)算機(jī)或高性能計(jì)算機(jī)的群集通過(guò)數(shù)小時(shí)或甚至數(shù)天的過(guò)程來(lái)執(zhí)行�。
在另一使用場(chǎng)景中,批作業(yè)可由銀行主管在每晚午夜執(zhí)行以協(xié)調(diào)儲(chǔ)戶的銀行賬戶�����。這一批作業(yè)可以是在營(yíng)業(yè)日一天執(zhí)行一次的周期性批作業(yè)�。該批作業(yè)可被傳送至控制器設(shè)備并由服務(wù)器計(jì)算機(jī)執(zhí)行。
在這兩個(gè)使用場(chǎng)景中����,批作業(yè)可獨(dú)立于客戶機(jī)設(shè)備并且在遠(yuǎn)程計(jì)算系統(tǒng)上操作。 此外��,批作業(yè)可以與用戶憑證一起操作��。
因?yàn)榕鳂I(yè)與用戶憑證一起操作,所以可以強(qiáng)制實(shí)施用戶級(jí)訪問(wèn)限制���。在許多環(huán)境中,批作業(yè)可以在可由商業(yè)競(jìng)爭(zhēng)對(duì)手或?qū)ζ湎拗婆鳂I(yè)訪問(wèn)的其他用戶使用的計(jì)算平臺(tái)上執(zhí)行�。例如,一個(gè)公司可以在數(shù)據(jù)中心中提供可以對(duì)任何客戶開(kāi)放以執(zhí)行任何類(lèi)型的操作的云計(jì)算服務(wù)����。在這一示例中,計(jì)算服務(wù)的每一個(gè)用戶都可具有對(duì)其批作業(yè)的用戶級(jí)訪問(wèn)控制�����,該訪問(wèn)控制可禁止其他用戶獲取對(duì)該批作業(yè)的訪問(wèn)����。
在許多系統(tǒng)中,每一個(gè)用戶都可具有對(duì)其批作業(yè)的完全訪問(wèn)�����。完全訪問(wèn)可允許用戶啟動(dòng)��、停止����、暫停�、恢復(fù)批作業(yè)以及確定批作業(yè)的優(yōu)先級(jí)��,并且對(duì)批作業(yè)執(zhí)行其他管理任務(wù)���。用戶還可對(duì)批作業(yè)進(jìn)行數(shù)據(jù)讀寫(xiě)并且接收批作業(yè)的輸出����。
在一些系統(tǒng)中���,批作業(yè)計(jì)算服務(wù)的管理員能夠執(zhí)行一些管理動(dòng)作��,諸如關(guān)閉���、停止、暫?��;蚧謴?fù)批作業(yè)����。在這些系統(tǒng)中,管理員可能無(wú)法訪問(wèn)批作業(yè)中的數(shù)據(jù)�。對(duì)該數(shù)據(jù)的訪問(wèn)可被僅限于該用戶或該用戶已給予許可的其他用戶。在一些情況下����,例如,用戶可以向另一用戶授予讀許可但不授予寫(xiě)許可��。
與用戶憑證相關(guān)聯(lián)的批作業(yè)允許對(duì)批作業(yè)應(yīng)用用戶級(jí)策略�。例如����,特定用戶或用戶組可被允許訪問(wèn)特定計(jì)算資源。在一種使用場(chǎng)景中�,可訪問(wèn)敏感的內(nèi)部或機(jī)密信息的高級(jí)雇員可被限于僅僅訪問(wèn)諸如內(nèi)部服務(wù)器群集等安全的計(jì)算資源。在相同的使用場(chǎng)景中��, 對(duì)公司內(nèi)的敏感的內(nèi)部文檔具有有限訪問(wèn)的較低級(jí)的雇員可被允許訪問(wèn)可以在市場(chǎng)上購(gòu)買(mǎi)的云計(jì)算服務(wù)�����,其中該云計(jì)算訪問(wèn)可由該組織的競(jìng)爭(zhēng)對(duì)手或該組織之外的其他人訪問(wèn)�。
用戶級(jí)策略可定義針對(duì)特定用戶的訪問(wèn)限制或許可。在一些情況下���,用戶級(jí)策略可定義可訪問(wèn)哪些類(lèi)型的計(jì)算服務(wù)����,可訪問(wèn)這些服務(wù)多久,或者關(guān)于用戶對(duì)計(jì)算服務(wù)的訪問(wèn)的其他限制���。
當(dāng)可以創(chuàng)建批作業(yè)并將其發(fā)送到控制器設(shè)備時(shí)���,用戶可使用諸如用戶標(biāo)識(shí)和口令等第一組憑證來(lái)訪問(wèn)控制器設(shè)備。在一些情況下��,該第一組憑證可以是硬件智能卡��、個(gè)人標(biāo)識(shí)號(hào)�����、證書(shū)或其他憑證集合����。
控制器設(shè)備可針對(duì)批作業(yè)使用第二組用戶憑證。第二組用戶憑證可以與該用戶相關(guān)聯(lián)以使得該第二組憑證允許批作業(yè)由用戶使用與第一組憑證相同的授權(quán)機(jī)構(gòu)來(lái)執(zhí)行��。
因?yàn)榈诙M憑證在批作業(yè)中使用���,所以啟用若干場(chǎng)景��。
在一個(gè)場(chǎng)景中����,用戶可使用常規(guī)的用戶名和口令來(lái)訪問(wèn)控制器設(shè)備?����?刂破髟O(shè)備可獲取第二組憑證并且導(dǎo)致使用用戶的第二組憑證來(lái)執(zhí)行批作業(yè)��。當(dāng)批作業(yè)正在執(zhí)行時(shí)��, 用戶的口令可能期滿或者用戶可能以其他方式改變口令����。當(dāng)用戶改變口令時(shí)���,第一組憑證無(wú)效并且被憑證的更新版本替換��。如果批作業(yè)之前正使用第一組憑證來(lái)執(zhí)行�,則該批作業(yè)可能無(wú)法進(jìn)行認(rèn)證�����,因?yàn)樵撆鳂I(yè)不再具有一組有效憑證。
因?yàn)榕鳂I(yè)可以與第二組憑證一起操作����,所以可以在不影響批作業(yè)操作能力的情況下更新、改變或管理用戶的第一組憑證����。
在另一場(chǎng)景中,用戶可以再次使用第一組憑證來(lái)訪問(wèn)控制器設(shè)備���??刂破髟O(shè)備可獲取第二組憑證并且導(dǎo)致使用用戶的第二組憑證來(lái)執(zhí)行批作業(yè)���。在完成批作業(yè)之前的某一時(shí)刻����,可以懷疑或檢測(cè)遠(yuǎn)程計(jì)算服務(wù)中的安全違背�����。響應(yīng)于該安全違背��,可撤消第二組憑證。
當(dāng)可以撤消第二組憑證時(shí)��,可阻止批作業(yè)進(jìn)一步訪問(wèn)任何用戶相關(guān)數(shù)據(jù)或系統(tǒng)�����。 例如��,批作業(yè)可能無(wú)法訪問(wèn)用戶控制的系統(tǒng)以報(bào)告來(lái)自批作業(yè)的結(jié)果�����。在許多實(shí)施方式中��, 批作業(yè)在其上操作的系統(tǒng)可以嘗試響應(yīng)于諸如例如Kerberos系統(tǒng)中的認(rèn)證權(quán)證的期滿來(lái)重新認(rèn)證�。這一重新認(rèn)證請(qǐng)求可能由于可以撤消第二組憑證而失敗�。該失敗可導(dǎo)致批作業(yè)中止。
在這種情況下���,遠(yuǎn)程計(jì)算服務(wù)上的批作業(yè)的操作可通過(guò)在本地控制的環(huán)境中執(zhí)行操作來(lái)停止�。遠(yuǎn)程計(jì)算服務(wù)可以在由第三方控制并且用戶可能無(wú)法直接訪問(wèn)的硬件平臺(tái)上操作��。然而���,第二組用戶憑證可以在其中用戶可訪問(wèn)的受控環(huán)境中管理�。
第二組憑證可以是可以用硬件或軟件實(shí)現(xiàn)的智能卡認(rèn)證。智能卡可以是可使用可被存儲(chǔ)在智能卡中的密鑰來(lái)解密傳入信息的安全設(shè)備�。在硬件實(shí)現(xiàn)中,硬件智能卡可具有可接收傳入信息并執(zhí)行解密的小型處理器����。硬件實(shí)現(xiàn)可具有可抵擋或阻止訪問(wèn)存儲(chǔ)在智能卡內(nèi)的密鑰的各種特征。
在軟件實(shí)現(xiàn)中�����,智能卡的邏輯和密鑰可以在安全證書(shū)中實(shí)現(xiàn)����。安全證書(shū)可以是硬件智能卡的軟件版本并且可使用可仿真硬件智能卡的驅(qū)動(dòng)程序來(lái)訪問(wèn)。在一些實(shí)施方式中����,安全證書(shū)可以像硬件智能卡那樣操作,因?yàn)榘踩C書(shū)能夠在抵抗確定內(nèi)部秘密的同時(shí)解密輸入�����。
在另一實(shí)現(xiàn)中��,遠(yuǎn)程設(shè)備可配置有可接收對(duì)智能卡的任何請(qǐng)求并將該請(qǐng)求重定向到另一設(shè)備的重定向驅(qū)動(dòng)程序。例如�,這些請(qǐng)求可被重定向到控制器設(shè)備,其中可存儲(chǔ)軟件智能卡證書(shū)�����,或者硬件智能卡或硬件安全模塊可位于其中���。這一實(shí)現(xiàn)可確保即使當(dāng)計(jì)算設(shè)備可能并未處在安全環(huán)境中時(shí)也在安全環(huán)境中維護(hù)智能卡信息���。
第二組憑證可以是比第一組憑證存活更久的一組憑證。例如����,智能卡類(lèi)型的憑證可以不具有任何期滿日期,而一組用戶名和口令憑證可被設(shè)為每90天期滿���,除非改變口令�����。
實(shí)施方式100示出了可以從客戶機(jī)設(shè)備130和132接收批作業(yè)請(qǐng)求的控制器設(shè)備 102。認(rèn)證服務(wù)器138可以為控制器設(shè)備102驗(yàn)證從客戶機(jī)設(shè)備130和132接收到的憑證��。 控制器設(shè)備102可以將批作業(yè)發(fā)送到各個(gè)遠(yuǎn)程計(jì)算服務(wù),包括各個(gè)遠(yuǎn)程計(jì)算設(shè)備152�、云計(jì)算服務(wù)IM和服務(wù)器群集158。
控制器設(shè)備102被示為具有硬件組件104和軟件組件106�����。如圖所示�,控制器設(shè)備 102表示常規(guī)計(jì)算設(shè)備,但其他實(shí)施方式可具有不同配置����、體系結(jié)構(gòu)、或組件��。
控制器設(shè)備102可以是服務(wù)器計(jì)算機(jī)�、臺(tái)式計(jì)算機(jī)或類(lèi)似設(shè)備。在一些實(shí)施方式中����,控制器設(shè)備102可以是膝上型計(jì)算機(jī)、上網(wǎng)本計(jì)算機(jī)�����、圖形輸入板或平板計(jì)算機(jī)�、無(wú)線手機(jī)����、蜂窩電話��、或任何其他類(lèi)型的計(jì)算設(shè)備�����。
硬件組件104可以包括處理器108��、隨機(jī)存取存儲(chǔ)器110�����、以及非易失性存儲(chǔ)112�����。 硬件組件104還可以包括用戶接口 114和網(wǎng)絡(luò)接口 116���。
硬件組件104可包括硬件安全模塊118�。硬件安全模塊118可以是用于管理數(shù)字密鑰的一種類(lèi)型的安全細(xì)胞處理器(cytoprocessor)���。硬件安全模塊118可能難以從外部設(shè)備進(jìn)行攻擊���,并且可以在安全區(qū)域受到物理保護(hù)。
在許多實(shí)施方式中��,硬件安全模塊118可以用來(lái)存儲(chǔ)和處理遠(yuǎn)程設(shè)備的智能卡憑證�。
軟件組件106可以包括若干應(yīng)用程序和服務(wù)可在其上操作的操作系統(tǒng)120。
批作業(yè)控制器應(yīng)用程序122可接收批作業(yè)請(qǐng)求�,應(yīng)用訪問(wèn)策略126中定義的各種策略,并且將批作業(yè)置于批作業(yè)隊(duì)列1 中����。當(dāng)準(zhǔn)備好執(zhí)行批作業(yè)時(shí),批作業(yè)控制器應(yīng)用程序122可以與遠(yuǎn)程計(jì)算設(shè)備通信并且導(dǎo)致執(zhí)行批作業(yè)�。
批作業(yè)控制器應(yīng)用程序122可提供憑證或用于對(duì)正在遠(yuǎn)程計(jì)算服務(wù)上執(zhí)行的批作業(yè)進(jìn)行認(rèn)證的機(jī)制。用于批作業(yè)的憑證可以是用戶憑證���,但第二組用戶憑證與用來(lái)在執(zhí)行批作業(yè)時(shí)認(rèn)證用戶的用戶憑證分開(kāi)�。
第二組憑證可以在批作業(yè)準(zhǔn)備好執(zhí)行時(shí)創(chuàng)建����。在一些實(shí)施方式中,可以為每一個(gè)批作業(yè)創(chuàng)建單獨(dú)的一組憑證�����。這些實(shí)施方式在分開(kāi)且獨(dú)立地具有對(duì)每一個(gè)批作業(yè)的控制是有用的情況下可能是有用的。
在一些實(shí)施方式中�,遠(yuǎn)程計(jì)算服務(wù)可由許多不同的計(jì)算機(jī)或計(jì)算機(jī)組組成。在這些實(shí)施方式中�,可以比其他計(jì)算機(jī)更多或更少地信任一些計(jì)算機(jī)。在一些實(shí)施方式中����,可以為用于執(zhí)行單個(gè)批作業(yè)的計(jì)算機(jī)或計(jì)算機(jī)組中的每一個(gè)創(chuàng)建單獨(dú)的一組憑證。在用戶或管理員可能希望在執(zhí)行批作業(yè)期間取消或撤消單個(gè)計(jì)算設(shè)備或計(jì)算設(shè)備組的憑證的情況下����,這些實(shí)施方式可以是有用的。
在一些實(shí)施方式中�,批作業(yè)控制器應(yīng)用程序122可以在接收批作業(yè)之前具有第二組憑證。在一個(gè)示例中���,管理員可以用計(jì)算設(shè)備的每一個(gè)許可用戶的身份來(lái)配置該計(jì)算設(shè)備��。在配置用戶身份時(shí)���,可通過(guò)將這些第二組用戶憑證存儲(chǔ)在認(rèn)證服務(wù)器138中來(lái)將第二組憑證與每一個(gè)用戶的本地憑證相關(guān)聯(lián)。每一次批作業(yè)可以準(zhǔn)備好執(zhí)行時(shí)��,批作業(yè)控制器應(yīng)用程序122可檢索第二組憑證并且導(dǎo)致使用該第二組憑證來(lái)執(zhí)行批作業(yè)。
訪問(wèn)策略1 可定義哪些用戶或用戶組可訪問(wèn)哪些遠(yuǎn)程計(jì)算服務(wù)(如果有的話)�。 在一些情況下,特定用戶組或用戶類(lèi)型可訪問(wèn)特定遠(yuǎn)程計(jì)算服務(wù)組或類(lèi)型��,而其他用戶可被限制訪問(wèn)同一服務(wù)����。例如���,可以建立遠(yuǎn)程計(jì)算服務(wù)以執(zhí)行安全的金融交易���。可以定義只允許特定用戶具有向遠(yuǎn)程計(jì)算設(shè)備發(fā)送批作業(yè)的能力的訪問(wèn)策略���。
批作業(yè)隊(duì)列IM可以是在執(zhí)行之前存儲(chǔ)批作業(yè)的儲(chǔ)存庫(kù)或數(shù)據(jù)庫(kù)�。在一些情況下����,批作業(yè)可被調(diào)度成在特定時(shí)刻執(zhí)行,諸如特定時(shí)區(qū)中的午夜��。在另一示例中�����,批作業(yè)可被調(diào)度成在另一批作業(yè)完成時(shí)或特定資源集變得可用時(shí)執(zhí)行。
環(huán)境100的示例示出了局域網(wǎng)128�,其中客戶機(jī)設(shè)備130和132可以與控制器設(shè)備102和認(rèn)證服務(wù)器138通信。在局域網(wǎng)128中����,通常存在適當(dāng)?shù)奈锢戆踩胧┮韵拗茖?duì)網(wǎng)絡(luò)的訪問(wèn)。例如����,局域網(wǎng)可以在家里或在辦公樓里。由此�����,到網(wǎng)絡(luò)的物理連接可提供對(duì)網(wǎng)絡(luò)上的設(shè)備的某種訪問(wèn)控制�����。由于物理安全性����,用于從局域網(wǎng)外部訪問(wèn)資源的憑證可以比用于訪問(wèn)局域網(wǎng)上的資源的憑證更嚴(yán)格。
在局域網(wǎng)128中����,用戶134和136可分別登錄到客戶機(jī)設(shè)備130和132����。在登錄操作期間�����,設(shè)備130和132可執(zhí)行對(duì)認(rèn)證服務(wù)器138的查詢以確定用戶是否具有許可來(lái)進(jìn)行登錄�����。如果用戶具有許可�����,則登錄可以完成��。如果用戶不具有許可或者如果由用戶呈現(xiàn)的憑證不匹配存儲(chǔ)在認(rèn)證服務(wù)器138中的憑證�����,則可以拒絕用戶登錄�����。
在典型的登錄順序中��,用戶可呈現(xiàn)用戶標(biāo)識(shí)��,該用戶標(biāo)識(shí)可以是用戶名和口令�。在某些情況下,用戶可具有可被插入到智能卡讀取器中的硬件智能卡�����。這一用戶可能必須或并非必須還輸入個(gè)人標(biāo)識(shí)號(hào)或口令�。憑證可通過(guò)與認(rèn)證服務(wù)器138通信來(lái)驗(yàn)證。
認(rèn)證服務(wù)器138可以是與控制器設(shè)備102分開(kāi)的設(shè)備�����。在一些實(shí)施方式中�,認(rèn)證服務(wù)器138和控制器設(shè)備102的功能可以組合到同一硬件平臺(tái)中。
認(rèn)證服務(wù)器138可以為連接到局域網(wǎng)1 的設(shè)備以及其他設(shè)備提供認(rèn)證服務(wù)���。認(rèn)證服務(wù)可具有輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)或其他類(lèi)似服務(wù)的形式�����。
在一些實(shí)施方式中���,認(rèn)證服務(wù)器138可提供基于Kerberos的認(rèn)證�。Kerberos是一種供連接到網(wǎng)絡(luò)的設(shè)備彼此證明其身份的機(jī)制��。以簡(jiǎn)化方式����,Kerberos系統(tǒng)與認(rèn)證服務(wù)器一起操作,該認(rèn)證服務(wù)器可以響應(yīng)于適當(dāng)?shù)恼J(rèn)證來(lái)發(fā)放權(quán)證�����。權(quán)證可被傳遞至另一設(shè)備����,該設(shè)備可接受該權(quán)證作為認(rèn)證證明����。有了 Kerberos系統(tǒng),認(rèn)證服務(wù)器138可認(rèn)證請(qǐng)求并發(fā)放權(quán)證����。
認(rèn)證服務(wù)器138的體系結(jié)構(gòu)可具有硬件平臺(tái)140、操作系統(tǒng)142以及可訪問(wèn)用戶數(shù)據(jù)庫(kù)146的認(rèn)證引擎144����。硬件平臺(tái)140可表示如為控制器設(shè)備102的硬件組件104示出的相同硬件組件��。
認(rèn)證引擎144可以是用于接收和響應(yīng)認(rèn)證請(qǐng)求的機(jī)制���。認(rèn)證引擎144可使用 Kerberos協(xié)議或任何其他認(rèn)證協(xié)議來(lái)認(rèn)證。在某些情況下���,認(rèn)證引擎144可單獨(dú)地或結(jié)合其他協(xié)議來(lái)使用因特網(wǎng)密鑰交換�、IPSec��、點(diǎn)到點(diǎn)協(xié)議�、傳輸層安全或其他密碼協(xié)議。
用戶數(shù)據(jù)庫(kù)146可以是LDAP數(shù)據(jù)庫(kù)或可存儲(chǔ)用戶信息的其他數(shù)據(jù)庫(kù)��。
遠(yuǎn)程計(jì)算服務(wù)可采取若干形式��。在實(shí)施方式100的示例中����,遠(yuǎn)程計(jì)算服務(wù)可通過(guò)到廣域網(wǎng)150的網(wǎng)關(guān)148來(lái)訪問(wèn)。在其他實(shí)施方式中�����,遠(yuǎn)程計(jì)算服務(wù)可位于局域網(wǎng)1 中。
遠(yuǎn)程計(jì)算服務(wù)可由其上可執(zhí)行批作業(yè)的一個(gè)或多個(gè)計(jì)算設(shè)備組成�。在許多大型批作業(yè)中,可使用多個(gè)處理器來(lái)執(zhí)行批作業(yè)���。在一些大型批作業(yè)中�,數(shù)百或數(shù)千或甚至數(shù)十萬(wàn)個(gè)設(shè)備可用來(lái)執(zhí)行批作業(yè)��。
遠(yuǎn)程計(jì)算服務(wù)的一個(gè)示例可以是一組遠(yuǎn)程計(jì)算設(shè)備152�����。遠(yuǎn)程計(jì)算設(shè)備152可以是可被定制成執(zhí)行計(jì)算上繁重的操作的服務(wù)器計(jì)算機(jī)或其他高功率計(jì)算機(jī)�����。在另一示例中���,遠(yuǎn)程計(jì)算設(shè)備152可以是被配置成將批作業(yè)作為后臺(tái)進(jìn)程來(lái)執(zhí)行或者在沒(méi)有其他操作在該設(shè)備上執(zhí)行時(shí)執(zhí)行批作業(yè)的一組臺(tái)式計(jì)算機(jī)。
每一個(gè)遠(yuǎn)程設(shè)備152都可具有使用憑證來(lái)認(rèn)證的機(jī)制�����。憑證可允許批作業(yè)具有對(duì)用戶可訪問(wèn)位置的訪問(wèn)以存儲(chǔ)結(jié)果或訪問(wèn)用戶提供的數(shù)據(jù)��。例如,批作業(yè)可訪問(wèn)局域網(wǎng)128 內(nèi)的數(shù)據(jù)庫(kù)以檢索數(shù)據(jù)�。在這一檢索期間,批作業(yè)可使用控制器設(shè)備102提供的第二組用戶憑證來(lái)認(rèn)證和訪問(wèn)數(shù)據(jù)���。
—種用于提供認(rèn)證憑證的機(jī)制可以是向每一個(gè)遠(yuǎn)程計(jì)算設(shè)備152傳送軟件智能卡154���。在這一實(shí)施方式中,批作業(yè)可包含用于認(rèn)證用戶的憑證�。
在另一機(jī)制中,每一個(gè)遠(yuǎn)程計(jì)算設(shè)備152都可包含用于智能卡查詢的遙送 (remoting)應(yīng)用程序��。該遙送應(yīng)用程序可截取對(duì)智能卡查詢的任何請(qǐng)求并且將該查詢轉(zhuǎn)發(fā)或至另一設(shè)備����。遙送應(yīng)用程序可被配置成將查詢轉(zhuǎn)發(fā)至控制器設(shè)備102(在一些實(shí)施方式中)、認(rèn)證服務(wù)器138(在其他實(shí)施方式中)�、或?qū)嵤┓绞?00中未示出的又一設(shè)備。
云計(jì)算服務(wù)156可以是使用數(shù)據(jù)中心來(lái)提供計(jì)算服務(wù)的遠(yuǎn)程服務(wù)�。在一些實(shí)施方式中,云計(jì)算服務(wù)可以是為包括控制器設(shè)備102在內(nèi)的許多不同的客戶機(jī)提供計(jì)算服務(wù)的數(shù)據(jù)中心���。在一些這樣的實(shí)施方式中�����,云計(jì)算服務(wù)可以具有或不具有其上可執(zhí)行批作業(yè)的多個(gè)設(shè)備的概念�����。在一些實(shí)施方式中����,云計(jì)算服務(wù)156可具有其上可執(zhí)行批作業(yè)的多個(gè)虛擬機(jī)。
服務(wù)器群集158可以是可以一起操作以提供計(jì)算服務(wù)的一組服務(wù)器�。在一些實(shí)施方式中,服務(wù)器群集158可具有可允許高效地利用計(jì)算資源的負(fù)載平衡能力或其他功能����。
圖2是示出用于處理批作業(yè)的方法的實(shí)施方式200的時(shí)間線圖示。實(shí)施方式200 的過(guò)程是客戶機(jī)設(shè)備204����、批作業(yè)控制器206、認(rèn)證服務(wù)器208和遠(yuǎn)程設(shè)備210可以如何交互以建立并執(zhí)行批作業(yè)的簡(jiǎn)化示例����。
其他實(shí)施方式可以使用不同的序列�����、更多或更少的步驟、以及不同的命名或術(shù)語(yǔ)���, 來(lái)完成類(lèi)似功能����。在一些實(shí)施方式中���,各種操作或操作集合可以與其他操作并行執(zhí)行���,或是以同步方式或是以異步方式。此處所選的步驟是為了以簡(jiǎn)化的形式示出一些操作原理來(lái)選擇的����。
實(shí)施方式200在左手欄示出了客戶機(jī)設(shè)備204的操作,在第二欄示出了批作業(yè)控制器204的操作���,在第三欄示出了認(rèn)證服務(wù)器208的操作����,并且在右手欄示出了遠(yuǎn)程設(shè)備 210的操作��。客戶機(jī)設(shè)備204可以與實(shí)施方式100的設(shè)備130或132相對(duì)應(yīng)���。批作業(yè)控制器204可以與控制器設(shè)備102相對(duì)應(yīng)����。認(rèn)證服務(wù)器208可以與認(rèn)證服務(wù)器138相對(duì)應(yīng)�����,而遠(yuǎn)程設(shè)備210可以與實(shí)施方式100的各種計(jì)算服務(wù)中的任一個(gè)相對(duì)應(yīng)�。
實(shí)施方式200示出了其中批作業(yè)控制器可以將用戶憑證傳送至遠(yuǎn)程設(shè)備的實(shí)施方式。在某些情況下�,用戶憑證可具有智能卡證書(shū)的形式。
在框212中����,客戶機(jī)設(shè)備204可接收用戶憑證并且在框214中可以將這些憑證傳送至認(rèn)證服務(wù)器208。用戶憑證可具有用戶名和口令���、智能卡憑證或任何其他類(lèi)型的憑證的形式����。
在框216中����,認(rèn)證服務(wù)器208可接收憑證,在框218中對(duì)憑證進(jìn)行認(rèn)證����,并且在框 220中傳送認(rèn)證權(quán)證。在框222中�,權(quán)證可由客戶機(jī)設(shè)備204接收。認(rèn)證服務(wù)器可通過(guò)將接收到的憑證對(duì)照存儲(chǔ)在用戶數(shù)據(jù)庫(kù)中的憑證進(jìn)行比較來(lái)認(rèn)證憑證��。在某些情況下�����,憑證可涉及使用公鑰私鑰加密系統(tǒng)來(lái)解密傳輸���。
在一些實(shí)施方式中��,認(rèn)證服務(wù)器208傳送的權(quán)證可表示Kerberos權(quán)證�。權(quán)證可以是可由客戶機(jī)設(shè)備204識(shí)別的消息�。
在框224中,客戶機(jī)設(shè)備204可創(chuàng)建批作業(yè)��。批作業(yè)可以是可以在另一計(jì)算設(shè)備上執(zhí)行的任何類(lèi)型的計(jì)算作業(yè)�����。在一些實(shí)施方式中,批作業(yè)可以是大型的���、計(jì)算上昂貴的項(xiàng)目��,諸如大型工程模擬或具有復(fù)雜計(jì)算的其他項(xiàng)目�。在其他實(shí)施方式中����,批作業(yè)可以是經(jīng)調(diào)度的事件,諸如以預(yù)定間隔執(zhí)行數(shù)據(jù)收集����。
在框226中,客戶機(jī)設(shè)備204可將憑證傳送至批作業(yè)控制器206����,在框228中,批作業(yè)控制器206可接收憑證�����。在框230中��,批作業(yè)控制器206可將憑證傳送至認(rèn)證服務(wù)器 208。在框232中����,認(rèn)證服務(wù)器208可接收憑證,在框234中對(duì)憑證進(jìn)行認(rèn)證�����,并且在框236 中將認(rèn)證傳送至批作業(yè)控制器206���。在框238中,批作業(yè)控制器206可接收權(quán)證����。一旦接收到權(quán)證,就可以在框240和242中在客戶機(jī)設(shè)備204和批作業(yè)控制器206之間建立安全會(huì)話����。
框2 到238的操作示出了一種用于在客戶機(jī)設(shè)備204和批作業(yè)控制器206之間進(jìn)行認(rèn)證的方法。其他實(shí)施方式可使用不同的認(rèn)證順序和各種認(rèn)證機(jī)制來(lái)建立通信會(huì)話�����。
在一些實(shí)施方式中��,客戶機(jī)設(shè)備204和批作業(yè)控制器206之間的通信會(huì)話可能不是安全連接。例如�����,在局域網(wǎng)中的域環(huán)境中���,各種設(shè)備之間的連接可基于先前認(rèn)證或基于各種設(shè)備的已知物理位置來(lái)信任��。
一旦在客戶機(jī)設(shè)備204和批作業(yè)控制器206之間建立通信會(huì)話�,客戶機(jī)設(shè)備204 就可在框244中傳送批作業(yè)���,批作業(yè)控制器可以在框M6中接收該批作業(yè)�����。
在框248中��,批作業(yè)控制器206可確定第二組憑證���。在一些實(shí)施方式中,該第二組憑證可以在接收到批作業(yè)之后創(chuàng)建�����。在其他實(shí)施方式中,第二組憑證可以在接收到批作業(yè)之前創(chuàng)建���。在這些實(shí)施方式中��,批作業(yè)控制器206可以在框248中從存儲(chǔ)位置中檢索該第二組憑證�����。
在框250中,批作業(yè)控制器206可將第二組憑證傳送至認(rèn)證服務(wù)器208���,該認(rèn)證服務(wù)器208可以在框252中接收該第二組憑證�����。在框254中�,認(rèn)證服務(wù)器208可將第二組憑證與用戶相關(guān)聯(lián)�。
框254中的關(guān)聯(lián)第二組憑證的動(dòng)作可給予該第二組憑證作為憑證的“頭等”狀態(tài)。 “頭等”狀態(tài)可指示該組憑證不依賴(lài)于任何其他憑證集合��。在這些實(shí)施方式中�����,在框212中呈現(xiàn)的用戶的第一組憑證以及第二組憑證兩者都可被認(rèn)為是“頭等”憑證。例如���,第一組憑證或第二組憑證可以在不影響另一組憑證的情況下改變�����。一組憑證可以在不撤消另一組憑證的情況下撤消����,并且一組憑證可以在不改變另一組憑證的情況下改變或更新�����。
在框256中����,批作業(yè)控制器206可將批作業(yè)傳送至遠(yuǎn)程設(shè)備210,在框258中可接收該批作業(yè)��。在一些實(shí)施方式中�,批作業(yè)控制器206可以將批作業(yè)的各個(gè)部分發(fā)送到各個(gè)遠(yuǎn)程設(shè)備。在這些實(shí)施方式中���,批作業(yè)控制器206可單獨(dú)聯(lián)系每一個(gè)遠(yuǎn)程設(shè)備并將該部分發(fā)送到該設(shè)備�����。為簡(jiǎn)明起見(jiàn)���,所有遠(yuǎn)程設(shè)備的動(dòng)作被示為實(shí)施方式200中的一個(gè)遠(yuǎn)程設(shè)備的操作����。在一些這樣的實(shí)施方式中��,每一個(gè)遠(yuǎn)程設(shè)備都可以獨(dú)立操作���。
在框沈0中,遠(yuǎn)程設(shè)備可以用用戶憑證來(lái)執(zhí)行批作業(yè)�。用戶憑證可允許批作業(yè)在某些情況下用用戶賬戶登錄到遠(yuǎn)程設(shè)備。用戶憑證可由批作業(yè)用來(lái)訪問(wèn)與該用戶賬戶相關(guān)聯(lián)的數(shù)據(jù)��。例如���,可以保護(hù)數(shù)據(jù)庫(kù)免遭非認(rèn)證用戶訪問(wèn)��。在這一示例中����,批作業(yè)可通過(guò)使用批作業(yè)控制器提供的用戶憑證來(lái)獲取對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)。
在批作業(yè)已被傳送至遠(yuǎn)程設(shè)備210之后���,用戶可以在框沈2中更新或改變第一組憑證����。例如��,可以更新或改變用戶口令�。即使用戶的第一組憑證可以在框沈0中改變,批作業(yè)所使用的第二組憑證也可以保持不受影響��。
遠(yuǎn)程設(shè)備210可以在框264中傳送第二組憑證����,該第二組憑證可由客戶機(jī)設(shè)備204 在框266中接收?�?蛻魴C(jī)設(shè)備204可以在框268中將憑證傳送到認(rèn)證服務(wù)器208��,認(rèn)證服務(wù)器208可以在框270中接收憑證���。認(rèn)證服務(wù)器208可以在框272中對(duì)憑證進(jìn)行認(rèn)證并且在框274中傳送權(quán)證��??蛻魴C(jī)設(shè)備204可以在框276中接收權(quán)證并且在框278和觀0中可以建立安全的通信連接。
如同上文中的框226到238�,框沈4到276的操作對(duì)于其他實(shí)施方式可以是不同的。
一旦在框278和觀0中創(chuàng)建通信信道����,遠(yuǎn)程設(shè)備210就可以在框282中傳送結(jié)果, 該結(jié)果可由客戶機(jī)設(shè)備204在框觀4中接收�����。
圖3是示出使用軟件智能卡證書(shū)的實(shí)施方式中的遠(yuǎn)程設(shè)備執(zhí)行的操作的實(shí)施方式300的時(shí)間線圖示�。實(shí)施方式300的操作是遠(yuǎn)程設(shè)備在執(zhí)行批作業(yè)時(shí)可以執(zhí)行的操作的簡(jiǎn)化示例。
其他實(shí)施方式可以使用不同的序列�、更多或更少的步驟、以及不同的命名或術(shù)語(yǔ)�����, 來(lái)完成類(lèi)似功能��。在一些實(shí)施方式中��,各種操作或操作集合可以與其他操作并行執(zhí)行���,或是以同步方式或是以異步方式��。此處所選的步驟是為了以簡(jiǎn)化的形式示出一些操作原理來(lái)選擇的��。
實(shí)施方式300示出了遠(yuǎn)程設(shè)備使用智能卡證書(shū)來(lái)進(jìn)行的操作��。智能卡證書(shū)可以是可用于加密和解密數(shù)據(jù)的安全證書(shū)�。在一些實(shí)施方式中��,智能卡證書(shū)可包含私鑰和公鑰�����。私鑰可以是包含在證書(shū)中的秘密��,并且可能非常難以從證書(shū)中提取��。
在框302中�,可以從批作業(yè)控制器接收對(duì)安全通信信道的請(qǐng)求。作為響應(yīng)����,可以在框304中創(chuàng)建安全通信信道??稍诳?06中接收批作業(yè)���。在框308中,可以接收軟件智能卡證書(shū)����。
在其中遠(yuǎn)程設(shè)備可以位于局域網(wǎng)之外(諸如位于因特網(wǎng)上的遠(yuǎn)程設(shè)備)的實(shí)施方式中,安全通信信道可以是有用的����。安全信道可使用安全套接字層(SSL)或其他通信協(xié)議來(lái)創(chuàng)建。
在許多情況下����,軟件智能卡證書(shū)可以是對(duì)用戶對(duì)其具有許可的任何系統(tǒng)或數(shù)據(jù)庫(kù)具有完全的用戶級(jí)訪問(wèn)的憑證。由此�����,軟件智能卡證書(shū)可使用安全信道來(lái)傳送以避免憑證被偷或誤用�����。
在執(zhí)行諸如框310中的啟動(dòng)用戶賬戶以及框312中的使用該賬戶來(lái)執(zhí)行批作業(yè)等操作時(shí)��,智能卡證書(shū)可代替硬件智能卡來(lái)使用�����。
在框314中����,可作出建立到客戶機(jī)設(shè)備的安全通信信道的請(qǐng)求,可以在框316中建立該安全通信信道�����。一旦建立該信道�����,就可以在框318中嘗試使用智能卡證書(shū)來(lái)進(jìn)行登錄���。
如果在框320中登錄被拒絕��,則可以在框322中終止通信����。如果在框320中登錄被接受����,則可以在框324中將結(jié)果傳送至客戶機(jī)�����。
在一種使用場(chǎng)景中�����,智能卡憑證可以在執(zhí)行批作業(yè)的同時(shí)被撤消���。例如,在遠(yuǎn)程設(shè)備中的一個(gè)上可能出現(xiàn)安全違背��。管理員可以撤消智能卡憑證以使得違背設(shè)備不再能夠訪問(wèn)用戶身份��,而不是試圖訪問(wèn)每一個(gè)遠(yuǎn)程設(shè)備并停止批作業(yè)�。
圖4是示出用遙送的智能卡執(zhí)行的操作的實(shí)施方式400的時(shí)間線圖示。實(shí)施方式 400的過(guò)程是批作業(yè)控制器402和遠(yuǎn)程設(shè)備404可以如何使用重定向的智能卡配置來(lái)進(jìn)行交互的簡(jiǎn)化示例��。
其他實(shí)施方式可以使用不同的序列��、更多或更少的步驟���、以及不同的命名或術(shù)語(yǔ)�����, 來(lái)完成類(lèi)似功能���。在一些實(shí)施方式中,各種操作或操作集合可以與其他操作并行執(zhí)行���,或是以同步方式或是以異步方式���。此處所選的步驟是為了以簡(jiǎn)化的形式示出一些操作原理來(lái)選擇的。
實(shí)施方式400是在遠(yuǎn)程設(shè)備404配置有用于智能卡認(rèn)證的重定向或遙送系統(tǒng)時(shí)可以在批作業(yè)控制器402和遠(yuǎn)程設(shè)備404之間進(jìn)行的交互的示例��。遠(yuǎn)程設(shè)備404可以安裝截取對(duì)智能卡認(rèn)證的請(qǐng)求并通過(guò)安全信道將該請(qǐng)求傳送至另一設(shè)備的驅(qū)動(dòng)程序���。在實(shí)施方式 400中�����,請(qǐng)求可被重定向到可處理該請(qǐng)求的批作業(yè)控制器402���。
實(shí)施方式400是其中使用智能卡認(rèn)證,但智能卡憑證可以位于受控環(huán)境中的系統(tǒng)的示例�。作為比較,實(shí)施方式300是其中智能卡證書(shū)可被傳送至每一個(gè)遠(yuǎn)程設(shè)備的實(shí)施方式的示例。實(shí)施方式400可以是其中智能卡憑證可位于單個(gè)位置并且可以限制對(duì)智能卡的訪問(wèn)的系統(tǒng)的示例�。
在框406中,批作業(yè)控制器402可請(qǐng)求安全通信信道�����。該請(qǐng)求可由遠(yuǎn)程設(shè)備404 在框408中接收�����,并且可以在框410和412中建立安全通信信道���。
批作業(yè)控制器402可以在框414中傳送批作業(yè)以便執(zhí)行����,遠(yuǎn)程設(shè)備404可以在框 410中接收該批作業(yè)��。
在框418中���,批作業(yè)控制器402可傳送用于智能卡的重定向驅(qū)動(dòng)程序�����,遠(yuǎn)程設(shè)備 404可以在框420中接收該驅(qū)動(dòng)程序�。在框422中,可以安裝重定向驅(qū)動(dòng)程序�。
在執(zhí)行批作業(yè)期間,遠(yuǎn)程設(shè)備404可生成對(duì)認(rèn)證憑證的請(qǐng)求����。重定向驅(qū)動(dòng)程序可以在框424中截取請(qǐng)求并且在框426中將該請(qǐng)求重定向到控制器。
批作業(yè)控制器402可以在框428中接收請(qǐng)求�,在框430中處理請(qǐng)求����,并且在框432 中生成響應(yīng)?�?梢栽诳?34中傳送響應(yīng)并且由遠(yuǎn)程設(shè)備404在框436中接收響應(yīng)��。該響應(yīng)可用于滿足憑證請(qǐng)求并且遠(yuǎn)程設(shè)備404可以在框438中繼續(xù)操作�����。
以上對(duì)本發(fā)明的描述是出于說(shuō)明和描述的目的而提出的�。它不旨在窮舉本主題或?qū)⒈局黝}限于所公開(kāi)的精確形式,且鑒于以上教導(dǎo)其他修改和變型都是可能的��。選擇并描述實(shí)施方式來(lái)最好地解釋本發(fā)明的原理及其實(shí)踐應(yīng)用�,從而使本領(lǐng)域的其他技術(shù)人員能夠在各種實(shí)施方式和各種適于所構(gòu)想的特定用途的修改中最好地利用本發(fā)明的技術(shù)����。所附權(quán)利要求書(shū)旨在包括除受現(xiàn)有技術(shù)所限的范圍之外的其他替換實(shí)施方式�。
權(quán)利要求
1.一種在計(jì)算機(jī)處理器上執(zhí)行的方法,所述方法包括從客戶機(jī)設(shè)備接收連接請(qǐng)求0觀)�����,所述連接請(qǐng)求包括用戶身份�; 通過(guò)從所述客戶機(jī)設(shè)備接收第一組用戶憑證并對(duì)照認(rèn)證服務(wù)器來(lái)認(rèn)證所述第一組用戶憑證,來(lái)認(rèn)證所述用戶身份O30)�����;從所述客戶機(jī)設(shè)備接收批作業(yè)046)�;確定第二組用戶憑證(M8),并且使得在所述認(rèn)證服務(wù)器處將所述第二組用戶憑證與所述用戶身份相關(guān)聯(lián)��;標(biāo)識(shí)要執(zhí)行所述批作業(yè)的計(jì)算設(shè)備���;以及將所述批作業(yè)傳送至所述計(jì)算設(shè)備056)�����,以使得所述批作業(yè)用所述第二組用戶憑證來(lái)執(zhí)行����。
2.如權(quán)利要求1所述的方法,其特征在于�,還包括在不改變所述第二組用戶憑證的情況下在傳送所述批作業(yè)后改變所述第一組用戶憑證。
3.如權(quán)利要求1所述的方法����,其特征在于,還包括在傳送所述批作業(yè)之后并且在完成所述批作業(yè)之前撤消所述第二組用戶憑證�����,所述撤消使得所述批作業(yè)被禁止返回進(jìn)一步的結(jié)果����。
4.如權(quán)利要求1所述的方法����,其特征在于,所述第二組用戶憑證包括軟件智能卡證書(shū)��。
5.如權(quán)利要求1所述的方法���,其特征在于����,還包括從所述計(jì)算設(shè)備接收對(duì)認(rèn)證的請(qǐng)求,所述對(duì)認(rèn)證的請(qǐng)求包括所述第二組憑證的加密版本�;解密所述第二組憑證的所述加密版本以產(chǎn)生解密的認(rèn)證請(qǐng)求; 使用所述解密的認(rèn)證請(qǐng)求來(lái)執(zhí)行認(rèn)證�;以及將認(rèn)證權(quán)證返回給所述計(jì)算設(shè)備。
6.如權(quán)利要求5所述的方法����,其特征在于,所述認(rèn)證是對(duì)照硬件安全模塊執(zhí)行的�����。
7.如權(quán)利要求5所述的方法���,其特征在于�,所述解密是使用與所述計(jì)算機(jī)處理器相關(guān)聯(lián)的私鑰來(lái)執(zhí)行的����。
8.如權(quán)利要求1所述的方法,其特征在于����,所述第二組用戶憑證是響應(yīng)于對(duì)所述批作業(yè)的請(qǐng)求而確定的�,所述第二組用戶憑證與所述批作業(yè)相關(guān)聯(lián)�����。
9.一種系統(tǒng)��,包括接收認(rèn)證請(qǐng)求并認(rèn)證有效的認(rèn)證請(qǐng)求的認(rèn)證服務(wù)器(138)��;以及具有處理器的控制服務(wù)器(102)�����,所述控制服務(wù)器使用所述處理器來(lái) 從客戶機(jī)設(shè)備接收批作業(yè)請(qǐng)求046)�����,所述批作業(yè)請(qǐng)求包括用戶身份�; 對(duì)照所述認(rèn)證服務(wù)器使用從所述客戶機(jī)設(shè)備接收到的第一組憑證來(lái)認(rèn)證所述用戶身份(230)����;確定第二組憑證048);使得所述認(rèn)證服務(wù)器將所述第二組憑證與所述用戶身份相關(guān)聯(lián)O50)���; 標(biāo)識(shí)要執(zhí)行所述批作業(yè)的計(jì)算服務(wù)��;以及將所述批作業(yè)傳送至所述計(jì)算服務(wù)056)��,以使得所述計(jì)算服務(wù)可使用所述第二組憑證來(lái)執(zhí)行所述批作業(yè)���。
10.如權(quán)利要求9所述的系統(tǒng)�����,其特征在于�,所述認(rèn)證服務(wù)器包括輕量級(jí)目錄訪問(wèn)協(xié)議服務(wù)器�����。
11.如權(quán)利要求9所述的系統(tǒng)�,其特征在于,所述認(rèn)證服務(wù)器具有硬件安全模塊�。
12.如權(quán)利要求11所述的系統(tǒng),其特征在于���,所述計(jì)算服務(wù)被配置成將認(rèn)證請(qǐng)求傳送至所述認(rèn)證服務(wù)器���,所述認(rèn)證請(qǐng)求是針對(duì)所述第二組用戶憑證的。
13.如權(quán)利要求9所述的系統(tǒng),其特征在于�,所述第二組憑證是關(guān)于憑證集合的單個(gè)簽名。
14.如權(quán)利要求13所述的系統(tǒng)����,其特征在于,所述第二組憑證還是仿真智能卡的軟件證書(shū)��。
15.如權(quán)利要求9所述的系統(tǒng)���,其特征在于所述計(jì)算服務(wù)是云計(jì)算服務(wù)�����。
全文摘要
本發(fā)明涉及用于批處理系統(tǒng)的第二憑證����。一種批作業(yè)系統(tǒng)可以為用戶創(chuàng)建第二組憑證并在認(rèn)證服務(wù)器中將該第二組憑證與該用戶相關(guān)聯(lián)���。第二組憑證可允許運(yùn)行批作業(yè)的計(jì)算機(jī)具有用戶級(jí)認(rèn)證以便執(zhí)行和報(bào)告結(jié)果�����。該第二組憑證可以是關(guān)于憑證類(lèi)型的單個(gè)簽名,并且可由每一個(gè)工作者計(jì)算機(jī)可用來(lái)進(jìn)行認(rèn)證的虛擬智能卡組成�。在一些實(shí)施方式中��,認(rèn)證請(qǐng)求可被路由至虛擬或物理硬件安全模塊�。
文檔編號(hào)H04L29/06GK102523089SQ20111029986
公開(kāi)日2012年6月27日 申請(qǐng)日期2011年9月20日 優(yōu)先權(quán)日2010年9月20日
發(fā)明者C·克勞爾, D·L·克里斯蒂安森, H·李, J·米切納, Y·曾 申請(qǐng)人:微軟公司