[发明专利]后端受限委托模型

说明书

背景技术

在最简单的形式中，客户端与服务器之间的网络通信包括从客户端到服务器的请求，该请求可以专门由该服务器应答并返回到客户端。尽管这种系统确实简单，但是其可能扩展性不好，并且其可能不允许呼叫者在单个信道上同时与多个服务交互，例如文件存储服务、数据库存储服务以及电子邮件服务。为了使客户端仍然能够与单个服务器通信，但又要允许服务器扩展其能力，采用了分层结构。在分层结构中，客户端可以将其请求传送给充当中间层的服务器。该中间层服务器自身不必包括响应客户端请求所需的相关信息。取而代之，该中间层服务器可以向后并参考（reference）作为后端服务器层一部分的一个或多个服务器，以便获得客户端所请求的信息。在获得所述信息之后，中间层服务器继而可以响应该客户端。从客户端的角度来看，单个通信端点（即中间层）可以提供对潜在的无限数量数据和其他信息源的访问。

为了使得中间层服务器能够响应客户端的请求，可以允许该中间层服务器代表客户端从后端服务器层获得信息。从安全角度出发，可能有害的是，允许中间层服务器作为客户端与不在后端服务器层中的其他服务器通信。客户端可以向中间层服务器提供其密码或者长期证书（credential）或其他认证信息，并且中间层服务器然后可以作为客户端通过提供该认证信息与任何服务器通信，上述这种设置典型地被称作“不受限委托”，因为将客户端的角色委托给（delegate to）中间层服务器并不受中间层可与哪个服务器进行通信的限制。

针对该不受限委托的安全问题的一个解决方案是一种典型地称作“受限委托”的委托模型，其中实施（put in place）了一种策略，该策略限制与代表或作为客户端的中间层服务器通信的后端层服务器。典型地，受限委托模型通过域控制器操作，该域控制器将参考一个或多个相应的策略并确定是否将允许中间层服务器代表或作为客户端与一个或多个后端层服务器通信。例如，在客户端向中间层服务器提供了其认证信息之后，中间层服务器可以从域控制器请求代表并作为客户端对后端层中的一个或多个服务器行动（act）的权利。参考一个或多个相关策略的域控制器可以确定是否准许中间层服务器的请求，并且如果它允许中间层服务器的请求，则域控制器可以向中间层服务器提供服务凭据或者其他信息集合，中间层服务器可以将其呈现给一个或多个后端层服务器，从而指示域控制器已经认为该中间层服务器在与所述后端层服务器通信过程中代表并作为客户端来行动是可接受的。

遗憾的是，受限委托难以跨越联网的计算设备的多个域而实现。更具体地讲，在一个域中的后端层服务器不一定信赖另一不同域（例如包括该中间层服务器的域）的域控制器。取而代之，所述包括中间层服务器的域的域控制器既能够直接地也能够经由中间层服务器和后端层服务器间接地与所述包括后端层服务器的域的域控制器通信，并且向第二个域控制器提供足够的信息以使其能够确定的确允许中间层服务器委托给一个或多个后端层服务器。这种模型可能难以实现，因为它需要多个域控制器或者多个域的管理员的协作。此外，这种模型将对委托的限制集中于域策略是否允许中间层服务器委托给（delegate to）一个或多个后端层服务器。

发明内容

在一个实施例中，中间层计算设备对于作为后端层一部分的一个或多个服务器计算设备的委托不是通过域策略是否允许该中间层计算设备委托给该一个或多个后端层计算设备来确定的，而是通过所述一个或多个后端层计算设备中的每一个的相应策略是否允许中间层计算设备委托给（delegate to）它来确定的。因此，降低了域管理员的作用，且取而代之，相关策略的决策作出可以由后端层计算设备的系统管理员来执行，该系统管理员可能对于由这样的后端层计算设备提供的服务更为熟悉。

在另一个实施例中，域控制器计算设备在从中间层计算设备接收委托给一个或多个后端层计算设备的请求时可以考虑所述一个或多个后端层计算设备是否位于域控制器的域内。如果该后端层计算设备位于域控制器的域内，则域控制器计算设备可以向中间层计算设备提供服务凭据或者其他信息集合，中间层计算设备可以将其呈现给该一个或多个后端层计算设备，从而使该中间层计算设备能够作为客户端计算设备并代表其行动。然而，如果后端层计算设备并未位于域控制器的域内，则该域控制器计算设备可以改为向中间层计算设备提供权标（token）或者其他信息集合，中间层计算设备可以将其呈现给不同域的另一个域控制器计算设备，从而针对该另一不同域中的后端层计算设备作为客户端计算设备并代表其行动。