本发明专利技术涉及认证服务虚拟化。公开了一种虚拟化服务。从客户端接收访问来自第一服务器的服务的请求。和第一服务器相关的秘密数据被用于处理接收到的请求。处理后的请求被发送到第二服务器。第一和第二服务器与虚拟化相关;并且其中处理后的请求能够被第二服务器用来认证客户端。
【技术实现步骤摘要】
本专利技术涉及认证服务虚拟化。
技术介绍
出于多种原因,管理员可能需要将服务(例如,文件服务)由一个服务器重 新定位到另一服务器。这样的例子包括系统的升级、移植和合并。不幸的是, 以对访问那些服务的用户透明的方式重新定位这些服务是困难的。例如,如果 管理员在第一服务器上终止服务并在第二服务器上启动该服务,而用户仍在使 用第一服务器时,用户对于该服务的使用将会被中断。如果访问该服务需要认证(authentication),情况将进一步变得复杂。例如, 当服务移植时,用户通常将被要求向第一服务器认证他们自己,而后向第二月艮 务器再次进行认证。 一种用来避免使用户多次提供凭证(credential)的技术是 中间方(intermediary)存储所有用户的密码,并在任何需要的时候代表用户提 供这些密码。不幸的是,维护所有用户和所有密码的列表将是繁琐的、存在安 全风险的,并且在某些情况下是不可能或不可行的。
技术实现思路
根据本专利技术的一个方面,提供了一种服务虚拟化设备,包括通信接口; 以及处理器,其被配置为经由通信接口从客户端接收访问来自第一服务器的 服务的请求;使用与第一服务器相关的秘密数据来处理所接收的请求;以及将 处理过的请求发送到第二服务器;其中第一和第二服务器与虚拟化相关;并且 其中处理过的请求能够被第二服务器用于认证客户端。根据本专利技术的另一方面,提供了一种用于对服务戯以化的方法,包括从 客户端接收访问来自第一服务器的服务的请求;使用与第一服务器相关的秘密 数据来处理接收到的请求;以及发送处理过的请求至l傑二服务器;其中第一和 第二服务器与虚拟化相关;并且其中处理过的请求能够由第二服务器用来认证 客户端。根据本专利技术的又一方面,提供了一种用于对服务戯以化的计算机程序产品 ,所述计算机程序产品被实现在计算机可读介质中并且包括计算机可读指令,4所述计算机可读指令用于从客户端接收访问来自第一服务器的服务的请求; 使用与第一服务器相关的秘密数据来处理接收到的请求;以及发送处理过的请 求到第二服务器;其中第一和第二服务器与虚拟化相关;并且其中处理过的请 求能够由第二服务器用来认证客户端。 附图说明本专利技术的各个实施例在下面的详细描述和附图中被公幵。 图1是说明向经认证的实体提供服务的环境的例子的框图。 图2是说明^f以化设备的实施例的框图。 图3是说明用于将服务虚拟化的过程的实施例的示意图。 图4是说明用于将服务戯以化的过程的实施例的流程图。 图5是说明用于将服务戯以化的过程的实施例的流程图。 具体实施例方式本专利技术可以多种方式实现,包括过程,装置,系统,事件组合(acomposition ofmatter)以及计算机可读介质,例如计算机可读存储介质或者计算机网络,其 中程序指令通过光或通信链路发送。在本说明书中,本专利技术可以采取的这些实 施方式或者任何其他形式可以被称为技术。诸如所描述的被配置为执行任务的 处理器或存储器之类的组件包括在给定时间被临时地配置为执行该任务的通用 组件或被制造为执行该任务的专用组件。通常,所公开的过程中的步骤的顺序 可以在本专利技术的范围内改变。在下面,和说明本专利技术的原理的附图一起,提供了本专利技术的一个或多个实施 例的详细描述。本专利技术结合这些实施例进^1描述,但是本专利技术不限于任何实施 例。本专利技术的范围仅由权利要求书限定,并且本专利技术包括多种可选方案、修改 和等j介物。在下面的描述中阐述了多种具体细节,以提供对于本专利技术的充分理 解。提供这些细节是为了举例的目的,可以根据权利要求书实践本专利技术而无需 一些或者所有这些具体细节。为了简明的目的,在本
中与本专利技术有关 的公知技术资料没有进纟亍详细描述,使得本专利技术不会不必要的含糊不清。图1是说明向经认证的实体提糊艮务的环境的例子的框图。图1中显示的节 点可以以各种方式连接,例如通过公共或私有网络和/或其组合,并且可以包括 因特网、内联网、LAN、 WAN或者将多个系统和/或系统群连接在一起的其他 形式。客户端102-106用于访问由服务器提供的多种服务,其中所述服务器例如是 服务器110、 114和116。为了使用由这些服务器中的一个所提供的服务,用户 (例如,使用客户端102)必须经过认证。在各个实施例中,域控制器(domain controller) 108被配置为从客户端接收对于Kerberos票据(ticket)的请求,该 Kerberos票据能够被客户端用于向服务器认证用户。如果用户提供正确的用户 名和密码,域控制器108就将该票据发给客户端102。在一些实施例中,域控制器108支持Kerberos协议,并且根据该协议执行认 证服务器和票据授予服务器的任务。由域控制器108发布的票据是凭证的一个 例子,当釆用这里所描述的技术向服务器认证时,客户端102之类的客户端能 够使用该凭证。类似的,这里所述的服务器的Kerberos密钥是与那些月艮务器相 关的秘密数据的一个例子,它能够用在这里所述的服务器虚拟化过程中。其它 认证符案(以及它们相对应的令牌/凭证)可以在可用被采用,并且这里所描述 的技术相应地可被采用。客户端的例子(例如客户端102)是运行微软Windows XPProfessional的膝 上型电脑。客户端也可以采用其它操作系统,并且客户端的附加例子包括蜂窝 电话和个人数字助理,以及其他类型的信息设备,例如可适用的机顶盒、游戏 机、数字录像机。在下面的段落里M图解说明所描述的例子中,服务器110是打印服务器, 服务器114是NetApp文件月艮务器,并且服务器116是EMCCelerra文件月艮务器。 这两个文件月艮务器都支持通用互联网文件系统(CIFS)文件共享协议;然而这 里所描述的技术也可以用于其它类型的服务器/协议。如果客户端102向打印服务器110给出正确的票据(例如,由域控制器108 发布的)及认证符(在这里共同被称为启动请求),打印服务器110将允许 客户端102与和该用户相关的特^又(例如,作为基本用户组或者管理员组的成 员)相称地发送打印作业、删除打印作业、配置打印服务器等。在显示的例子 中,服务器110没有被虚拟化,而服务器114和116被ltt以化。所有&H个服 务SP支持〗OT Kerberos进行认证。在使用不是Kerberos的认证协议的实施例 中,客户端102可以提供包括不是Kerberos票据和认证符和/或除了 Kerberos票 据和认证符以外的数据的认证数据。虚拟化设备112被置于客户端102—106禾n服务器114—116之间。其中,虚拟化设备112用作桥梁,并且至U服务器114一116提供的服务的所有客户端访问 都fflil虚拟化设备112。例如web服务器和邮件服务器的和/或支持其它协议的 其它服务器也可以被虚拟化,并且这里所描述的技术可以相应被应用。假定管理员想要把大量的文件从文件服务器114移植到文件服务器116。在 -一些实施例中,管理员M指示虚拟化设备112启动该移植而这样做。移植可 能需要几个小时。在这个时间期间,假定客户端102的用户需要访问那些文件 中的一些文件。客户端102联系域控制器画以请求提供给文件服务器114的票据。在这些 文件在文件服务器116上可用以本文档来自技高网...
【技术保护点】
一种服务虚拟化设备,包括: 通信接口;以及 处理器,其被配置为: 经由通信接口从客户端接收访问来自第一服务器的服务的请求; 使用与第一服务器相关的秘密数据来处理所接收的请求;以及 将处理过的请求发送到第二服务器 ; 其中第一和第二服务器与虚拟化相关;并且其中处理过的请求能够被第二服务器用于认证客户端。
【技术特征摘要】
US 2007-12-10 12/0011491. 一种服务虚拟化设备,包括通信接口;以及处理器,其被配置为经由通信接口从客户端接收访问来自第一服务器的服务的请求;使用与第一服务器相关的秘密数据来处理所接收的请求;以及将处理过的请求发送到第二服务器;其中第一和第二服务器与虚拟化相关;并且其中处理过的请求能够被第二服务器用于认证客户端。2. 如权利要求l的服务虚拟化设备,其中处理过的请求包括至少部分基于aai处理所接收的请求获得的信息产生的新请求。3. 如权利要求l的服务虚拟化设备,其中所述请求包括会话票据,与第一 服务器相关的秘密数据是秘密密钥,并且用该秘密密钥对该会话票据加密。4. 如权利要求l的服务虚拟化设备,其中与第一服务器相关的秘密数据是 从第一服务皿收的。5. 如权利要求l的服务虚拟化设备,其中与第一服务器相关的秘密数据由 管理员或其它授权用户提供给所述服务虚拟化设备。6. 如权利要求l的服务虚拟化设备,其中与第一服务器相关的秘密数据包 括作为Kerberos协议的一部分产生的密钥。7. 如权利要求l的服务虚拟化设备,其中处理包括使用与第一服务器相关 的秘密数据对至少一部分接收到的请 行解密。8. 如权利要求l的服务虚拟化设备,其中用与第二服务器相关的秘密密钥 对至少一部分处理过的请求加密。9. 如权利要求l的服务虚拟化设备,其中处理器被进一步配置为桥接客户 端和第一服务器之间的通信。10. 如权禾腰求l的服务戯以化设备,其中处理^^皮进一步配置为桥接客户 端和第二服务器之间的通信。11. 如权禾腰求l的服务戯以化设备,其中处理親皮进一步配置为将与所述 服务相关的通信从第一服务器重新定向至瞎二服务器。...
【专利技术属性】
技术研发人员:PC洛夫,SM阿吉,ZH郭,
申请(专利权)人:EMC公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。