[发明专利]保护分布式应用程序信息传递

说明书

技术领域

本发明涉及计算机通信技术，尤其涉及保护分布式应用程序信息传递。

背景技术

在现代分布式计算系统中，最优化一组用户对一个或多个共享的计算 资源的使用正变得日益重要。这一现象的示例是网格计算系统。在典型的 网格计算环境中，由一组作业管理系统来控制对多个计算设备的访问。作 业管理系统确定对所提交的作业的计算资源分配；确定这些作业的调度； 并且有时可以确定作业的执行上下文的各方面，如记帐帐户、安全凭证、 并行执行的作业活动的位置等。作业管理系统的目的是接受来自网格环境 的用户的作业请求并优化计算资源的总体使用。计算机资源可以包括超级 计算机、计算集群、应用服务器、桌面工作站等。

分布式计算系统(网格系统是其示例)可以涉及应用程序和支持大量 用户和计算机的资源管理系统的分层结构。例如，用户可以请求集中式作 业管理器来运行应用程序。该中央管理器又可以请求负责计算集群集合的 辅助作业管理器来运行该应用程序。该辅助管理器确定最适合该应用程序 的具体计算资源，并随后请求计算集群的作业管理器来运行该用户的应用 程序。

在这种分层管理的分布式系统中，可以基于该分布式环境的总体状态 来动态地确定负责用户的应用程序和所分配的计算集群的作业管理器(包 括任何辅助管理器)的序列。因为用户在提交作业请求时可能不知道其应 用程序将最终具体在何处执行，所以在应用程序执行时所需要的某些信息 可能必须由或最好由处理该作业请求的一个或多个作业管理器来提供。现 有系统不能为这种信息的安全提供有效的和足够的保护。

发明内容

在一示例实现中，数据结构遵循安全应用指令协议。该数据结构包括 第一应用级请求和第二应用级请求。第一应用级请求具有来自请求者的应 用程序专用指令和覆盖在该来自请求者的应用程序专用指令上的请求者签 名。第二应用级请求具有来自中介的应用程序专用指令和覆盖在至少该来 自中介的应用程序专用指令上的中介签名。

提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的 一些概念。该概述不旨在标识所要求保护的主题的关键特征或必要特征， 也不旨在用于帮助确定所要求保护的主题的范围。而且，其它方法、系统、 方案、装置、设备、介质、过程、API、安排等的实现也在此得到描述。

附图说明

在各图中使用相同的数字来引用相同和/或对应的方面、特征和组件。

图1是在其中可以实现保护分布式应用程序信息传递的示例分布式计 算环境的框图。

图2是示出在其中可以对所传输的应用级请求实现保护分布式应用程 序信息传递的总体的示例计算环境的框图。

图3A、图3B和图3C是示出诸如图2的示例计算环境中示出的应用 级请求等示例应用级请求的框图。

图4是示出包括访问数据的权限的委托的示例应用级请求的框图。

图5是示出可以在诸如图2的示例计算环境中示出的应用级通信参与 者等应用级通信参与者上执行的示例应用程序的框图。

图6是示出用于在应用级安全地交流请求信息的方法的示例的流程 图。

图7是可被用来实现对分布式应用程序信息传递的保护的示例设备的 框图。

具体实施方式

对保护分布式应用程序信息传递的简介

如上所述，某些分布式计算系统涉及可以支持大量用户和计算设备的 应用程序和资源管理系统的分层结构。仅作为示例，用户可以请求集中式 管理器运行应用程序。该中央管理器又可以请求负责计算集群集合的辅助 管理器来运行该应用程序。该辅助管理器确定最适合该应用程序的特定计 算资源，并随后请求该特定计算资源的管理器来运行该应用程序。

在这种系统中，需要运行应用程序的用户和将实际运行该应用程序的 计算资源之间通常存在多个管理器型中介。如上所述，作业管理器是存在 于这种环境中的一种类型的管理器。可以存在且可以帮助处理用户的作业 请求的其它类型的处理管理器包括但不限于，消息路由管理器、审计管理 器，等等。这些管理器通常可被称为请求处理中介。通常难以先验地确定 请求处理中介，因为它们取决于被调度或执行过程中的其它应用程序。任 何单个请求用户通常不知道这些其它应用程序。