云中心應用信任驗證的制作方法
【技術(shù)領域】
[0001] 依照本發(fā)明的示例實施例的教示一般設及云中屯��、應用信任驗證��,W及更具體地��, 設及由應用服務提供商用于認證在云網(wǎng)絡中運行的應用的多因素信任驗證�。
【背景技術(shù)】
[0002] 該部分旨在提供在權(quán)利要求書中陳述的本發(fā)明的背景或上下文。此處的描述可W 包含可W被追求的構(gòu)思���,但其不是必須是先前已設想或追求的構(gòu)思����。因此����,除非此處另外指 出,否則本部分所述的內(nèi)容不是本申請中的說明書和權(quán)利要求書的現(xiàn)有技術(shù)��,并且不通過 包含在本部分中而承認其為現(xiàn)有技術(shù)���。
[0003] 在本說明書中和/或在附圖中可W找到的某些縮寫在此被定義如下: AES 高級加密標準 AMI 亞馬遜機器映像 API 應用編程接口 AWS 應用網(wǎng)絡服務 DB 數(shù)據(jù)庫 DC 域控制器 EBS 彈性塊存儲 ELB 彈性負載均衡器 EMR 彈性映射化簡 FIPS 聯(lián)邦信息處理標準 ID 標識 HSM 硬件安全模塊 KM 密鑰管理 KMS 密鑰管理服務 RDS 關系數(shù)據(jù)庫服務 SDK 軟件開發(fā)套件 SSL 安全套接字層
[0004] 云計算是通過互聯(lián)網(wǎng)共享計算資源的方法��。云計算的一個領域包含�;主機提 供商(例如����,云提供商)����,其提供虛擬服務器實例���,在虛擬服務器實例上用戶設備能夠 運行應用。在此類云環(huán)境中可W使用的應用的示例可W包含��;社交媒體應用����,W及由 Yahoo愈、EBay愈和Amazon⑥(僅舉幾例)提供的應用���。當該些應用在與用戶設備 分開的云中運行時�,它的應用服務提供商需要對應用數(shù)據(jù)安全給予特別關注�。在該點上,至 少存在W下問題�����;由云提供商提供的應用數(shù)據(jù)安全可能不被信任��。
【發(fā)明內(nèi)容】
[0005] 在本發(fā)明的示例性方面,有一種方法���,所述方法包括����;使用云網(wǎng)絡的應用服務器向 針對應用的與應用服務提供商相關聯(lián)的密鑰管理設備發(fā)送針對在所述云網(wǎng)絡中被引導的 應用的密鑰請求���;W及響應于所述密鑰請求�����,接收針對所述應用的應用特定密鑰���,其中所述 密鑰基于與所述應用服務器相關聯(lián)的多個因素。
[0006] 在本發(fā)明的示例性方面�����,有一種裝置��,所述裝置包括至少一個處理器���;和包含計算 機程序代碼的至少一個存儲器�,其中所述至少一個存儲器和所述計算機程序代碼被配置為 使用所述至少一個處理器使得所述裝置至少:使用云網(wǎng)絡的應用服務器向針對應用的與應 用服務提供商相關聯(lián)的密鑰管理設備發(fā)送針對在所述云網(wǎng)絡中被引導的應用的密鑰請求; W及響應于所述密鑰請求�����,接收針對所述應用的應用特定密鑰�����,其中所述密鑰基于與所述 應用服務器相關聯(lián)的多個因素�����。
[0007] 在本發(fā)明的另一個示例性方面��,有一種裝置���,所述裝置包括;用于使用云網(wǎng)絡的應 用服務器向針對應用的與應用服務提供商相關聯(lián)的密鑰管理設備發(fā)送針對在所述云網(wǎng)絡 中被引導的應用的密鑰請求的構(gòu)件����;W及用于響應于所述密鑰請求,接收針對所述應用的 應用特定密鑰的構(gòu)件�����,其中所述密鑰基于與所述應用服務器相關聯(lián)的多個因素。
[0008] 依照如在W上段落中的本發(fā)明的示例性方面�,用于發(fā)送的構(gòu)件和用于接收的構(gòu)件 包括;至通信網(wǎng)的接口�����,W及包含計算機程序代碼的計算機可讀存儲器��,由至少一個處理器 來執(zhí)行所述計算機程序代碼�����。
[0009] 在本發(fā)明的另一個示例性方面�����,有一種方法��,所述方法包括����;使用針對應用的與應 用服務提供商相關聯(lián)的密鑰管理設備來接收來自云網(wǎng)絡的應用服務器的針對在所述云網(wǎng) 絡中被引導的應用的密鑰請求;響應于所述密鑰請求���,使用與所述應用服務器相關聯(lián)的多 個屬性來認證所述請求��;W及向所述應用服務器發(fā)送針對所述應用的應用特定密鑰�����。
[0010] 在本發(fā)明的又一個示例性方面��,有一種裝置��,所述裝置包括至少一個處理器�����;和包 含計算機程序代碼的至少一個存儲器���,其中所述至少一個存儲器和所述計算機程序代碼被 配置為使用所述至少一個處理器使得所述裝置至少:使用針對應用的與應用服務提供商相 關聯(lián)的密鑰管理設備來接收來自云網(wǎng)絡的應用服務器的針對在所述云網(wǎng)絡中被引導的應 用的密鑰請求;響應于所述密鑰請求���,使用與所述應用服務器相關聯(lián)的多個屬性來認證所 述請求�����;W及向所述應用服務器發(fā)送針對所述應用的應用特定密鑰�。
[0011] 在本發(fā)明的又一個示例性方面�,有一種裝置���,所述裝置包括;用于使用針對應用的 與應用服務提供商相關聯(lián)的密鑰管理設備來接收來自云網(wǎng)絡的應用服務器的針對在所述 云網(wǎng)絡中被引導的應用的密鑰請求的構(gòu)件�����;用于響應于所述密鑰請求�����,使用與所述應用服 務器相關聯(lián)的多個屬性來認證所述請求的構(gòu)件�����;W及用于向所述應用服務器發(fā)送針對所述 應用的應用特定密鑰的構(gòu)件�����。
[0012] 依照如在W上段落中的本發(fā)明的示例性方面��,用于接收的構(gòu)件���,用于認證的構(gòu)件 和用于發(fā)送的構(gòu)件包括�;至通信網(wǎng)的接口���,W及包含計算機程序代碼的計算機可讀存儲器�, 由至少一個處理器來執(zhí)行所述計算機程序代碼。
【附圖說明】
[0013] 當結(jié)合附圖來閱讀時�,在W下的詳細描述中將使得本發(fā)明的實施例的上述和其它 方面更加明顯,其中:
[0014] 圖1基于3GPPTS36. 300的圖4-1�����,并且示出了E-UTRAN系統(tǒng)的整體架構(gòu)�;
[0015] 圖2示出了適用于在實踐本發(fā)明的示例性實施例中使用的各種電子設備的簡化 框圖。
[0016] 圖3A和圖3B每個圖示出了依照本發(fā)明的示例實施例的云應用信任驗證的操作�����;
[0017] 圖4是說明依照示例實施例的密鑰管理系統(tǒng)的不同模塊的框圖�����;
[001引圖5A��、5B和5C說明了依照本發(fā)明的示例實施例的通信和/或操作架構(gòu)���;
[0019] 圖6說明了使用本發(fā)明的示例實施例所減輕的安全威脅;
[0020] 圖7A����、7B�����、7C和7D每個圖說明了使用本發(fā)明的示例實施例所解決的內(nèi)部安全問題 的方面�;化及
[0021] 圖8和圖9每一個圖是依照本發(fā)明的示例性實施例的邏輯流圖��,邏輯流圖說明了 方法的操作和在計算機可讀介質(zhì)上具體化的計算機程序指令的執(zhí)行結(jié)果����。
【具體實施方式】
[0022] 本發(fā)明的示例實施例提供了至少方法,該方法用于提供云中屯����、信任驗證W便使得 可信應用能夠訪問加密的內(nèi)容和加密密鑰管理服務。
[0023] 圖1基于3GPPTS36. 300的圖4-1���,W及示出了E-UTRAN系統(tǒng)的總體架構(gòu)���,在 E-UTRAN系統(tǒng)中,用戶設備可W受益于本發(fā)明的示例實施例����。E-UTRAN系統(tǒng)包含網(wǎng)絡接入點 或eNB�,網(wǎng)絡接入點或eNB提供朝向UE的E-UTRAN用戶平面和控制平面(無線電資源控制 (RRC))協(xié)議終止�。eNB借助于X2接口彼此互連。eNB還借助于S1接口連接到演進的分組 核屯��、巧PC)��,W及更具體地�����,借助于S1MME接口連接到移動性管理實體(MM巧和連接到服務 網(wǎng)關(S-GW)��。S1接口支持在MME��、S-GW與eNB之間的多對多關系����。
[0024] 當前的現(xiàn)有技術(shù)依賴于加密操作和在公共云環(huán)境內(nèi)部署的和/或利用信任驗 證解決方案的密鑰管理系統(tǒng),該信任驗證解決方案排他地或很大程度上依賴于從公共云 內(nèi)的應用驗證����。該兩種因素將對用戶和其它實體造成各種安全和合規(guī)風險(compliance risks)�����。
[0025] 盡管可W使用對特定實體(諸如Nokia⑥和乂mazon?)的參考來描述和/或 說明本發(fā)明,但是該些實體的使用是非限制性的��,W及可W實踐本發(fā)明W有利于包括類似 技術(shù)的任何實體�����。
[0026] 依照本發(fā)明的示例實施例(W下將更詳細地描述該示例實施例)����,至少有一種方 法,該方法用于認證在云中運行的可信應用�����,W便至少確保向此類云中屯�����、應用提供的或來 自此類云中屯�、應用的敏感數(shù)據(jù)是安全的。
[0027] 在進一步地詳細描述本發(fā)明的示例性實施例之前�,參照圖2,圖2用于說明適用于 在實踐本發(fā)明的示例性實施例中使用的各種電子設備和裝置的簡化框圖。在圖2中��,服務 器22、應用提供商設備(AP) 21和密鑰存儲設備23適應于經(jīng)由有線和/或無線鏈路與裝置 (諸如在本文中被稱為肥10的通信和/或計算設備)通信���。該種通信能夠經(jīng)由網(wǎng)絡接入 點(諸如節(jié)點B(基站))來發(fā)生���。另外,UE10可W是諸如移動電話的移動設備或諸如臺 式計算機的固定設備�����。此外���,肥10可W是被配置為運行此類云中屯����、應用的任何電子設備�����。 此類肥設備可W包含但不限于膝上型計算機��、個人數(shù)字助理���、GI^S和移動電話等��。應用提 供商網(wǎng)絡可W包含服務器22,服務器22可W包含在圖1中示出的MME/SGW功能����,化及其提 供與另外網(wǎng)絡(諸如電話網(wǎng)絡和/或數(shù)據(jù)通信網(wǎng)絡(例如�,互聯(lián)網(wǎng)))的連通性。
[002引肥10包含控制器����,諸如至少一個計算機或數(shù)據(jù)處理器值巧lOA、被具體化為存儲 器(MEM) 10B的至少一個計算機可讀存儲介質(zhì)(其存儲計算機指令的程序(PROG) 10C)��,W 及至少一個合適的射頻(R巧傳送器和接收器對(收發(fā)器)10DW用于經(jīng)由天線或多個天線 200F和/或硬接線連接與服務器22和/或應用提供商200的另一個設備通信�����。
[0029] 服務器22也包含控制器���,諸如至少一個計算機或數(shù)據(jù)處理器值巧22A��、被具 體化為存儲器(MEM) 22B的至少一個計算機可讀存儲介質(zhì)(其存儲計算機指令的程序 (PR0G)22C)�����,W及至少一個合適的RF收發(fā)器22DW用于經(jīng)由天線11B(當使用MIM0時�,若 干天線)與肥10通信。服務器22經(jīng)由數(shù)據(jù)/控制路徑212F禪合到AP21���。路徑212F可 W被實現(xiàn)為在圖1中示出的S1接口���。服務器22還可W禪合到另一個設備,諸如經(jīng)由數(shù)據(jù) /控制路徑215F禪合到密鑰存儲設備23,該數(shù)據(jù)/控制路徑215F可W被實現(xiàn)為圖1中示 出的X2接口�����。
[0030] 出于描述本發(fā)明的示例實施例的目的��,服務器�����、應用提供商設備21和/或密鑰存 儲設備23可W被認為包含�����;應用證書模塊功能(ACMF)�����。ACMF10G�、ACMF21G��、ACMF22G和 /或ACMF23G被認為被配置為依照如在本文描述的本發(fā)明的實施例的非限制性示例進行 操作�����。
[0031] 程序10C、21C��、22C和23C中的至少一個程序被認為包含程序指令�,當由相關聯(lián)的 數(shù)據(jù)處理器來執(zhí)行程序指令時,程序指令使得設備能夠依照如W下將更詳細描