技術領域

本發明一般地涉及在通信環境中管理資源，并且更具體地，涉及一種用于無需提供密鑰認證請求者的方法和系統。

背景技術

通信環境包括多個客戶端節點，其經由通信介質耦合到一個或多個節點。這樣的通信介質的一個例子是InfiniBand^TM傳送，其在可從位于5540SW?Westgate?Drive，Suite?217，Portland，Oregon，97221的InfiniBandTrade?Association獲得或在www.Infinibandta.org聯機獲得的“InfiniBandArchitecture?Specification?Volume?1”Release?1.2(2004年10月)中進行了更詳細的描述，在此通過引用的方式引入其全部內容。InfiniBand是InfiniBand?Trade?Association的商標。

InfiniBand傳送使得一組互連的客戶端和服務器節點(稱為子網)能夠彼此通信。其還提供了一種分割機制，其允許子網在邏輯上細分為多組節點，稱為分區。分區包括一個或多個客戶端節點以及一個或多個服務器節點。節點(諸如服務器節點)可被包括在多于一個分區中。分區的成員彼此通信，但是不知道任何其它分區。

在InfiniBand^TM(IB)構造中，可被各個客戶端節點共享的資源提供者節點由網絡管理員進行分割，使得允許每個客戶端節點使用該共享節點處的所有資源。因此，當節點(例如服務器節點)被包括在多個分區中時，該節點的所有資源可被包括該節點的所有分區訪問。當資源提供者節點接收來自客戶端節點的請求時，其提供對允許該客戶端節點使用的所有資源的訪問，而不論請求來自客戶端節點內的哪個應用。然而，當需要把每個應用可以使用的資源限制為客戶端的所有資源的子集時，這種可訪問性是不理想的(例如從安全性立場看)。因此，需要一種能力，其限制給定的客戶端節點上的每個應用被允許使用的資源。

在這種能力的最初版本中，64位或任意長度的二進制密鑰在提供者節點(例如，存儲設備)處輸入，然后再次在客戶端節點(例如，主機操作系統)處輸入。然而，這種認證方法可以是耗時的且易出錯的。因此，將期望使得客戶能夠在資源提供者節點處實現定義，并且允許客戶端(在InfiniBand體系結構中由唯一的硬件值所標識)獲取二進制密鑰，因此從密鑰提供者節點得到授權而不需要在來自客戶端的請求中提供密鑰(或口令)給密鑰提供者節點自身。這繼而將消除在客戶端處再輸入密鑰的需要，也避免了與不正確地輸入該密鑰相關聯的任何錯誤。

發明內容

通過一種用于在通信環境中認證請求實體的方法克服或減輕了現有技術的上述缺陷和不足。在示例性實施例中，該方法包括：確定與所述請求實體相關聯的客戶端節點的客戶端標識，其中所述確定與所述請求實體相關聯的客戶端節點的客戶端標識包括從所述請求實體接收源標識符以及將所述源標識符與所述客戶端節點的一個或多個永久標識符相關聯；確定與所述客戶端節點相關聯的請求實體是否正充任超級用戶能力；以及在確定所述客戶端節點的所述客戶端標識指示了許可所述客戶端節點訪問資源提供者節點的一個或多個資源并且所述客戶端節點正充任超級用戶能力之時，從所述資源提供者節點返回密鑰給所述請求實體，并且，所述將所述源標識符與所述客戶端節點的一個或多個永久標識符相關聯進一步包括：將所述源標識符轉發給子網管理員；以及從所述子網管理員接收對應于所述源標識符的所述一個或多個永久標識符。

在另一實施例中，一種用于在通信環境中認證請求實體的系統包括：用于確定與所述請求實體相關聯的客戶端節點的客戶端標識的裝置，其中所述用于確定與所述請求實體相關聯的客戶端標識的裝置包括從所述請求實體接收源標識符的裝置以及將所述源標識符與所述客戶端節點的一個或多個永久標識符相關聯的裝置；用于確定與所述客戶端節點相關聯的請求實體是否正充任超級用戶能力的裝置；以及資源提供者節點，其配置為在確定所述客戶端節點的所述客戶端標識指示了許可所述客戶端節點訪問所述資源提供者節點的一個或多個資源并且所述客戶端節點正充任超級用戶能力之時，返回密鑰給所述請求實體，并且，所述將所述源標識符與所述客戶端節點的一個或多個永久標識符相關聯的裝置進一步包括將所述源標識符轉發給子網管理員的裝置以及從所述子網管理員接收對應于所述源標識符的所述一個或多個永久標識符的裝置。