TWI525448B - 雲端運算環境中伺服器與客戶端的遠端信賴認證及地理位置 - Google Patents
雲端運算環境中伺服器與客戶端的遠端信賴認證及地理位置 Download PDFInfo
- Publication number
- TWI525448B TWI525448B TW102102900A TW102102900A TWI525448B TW I525448 B TWI525448 B TW I525448B TW 102102900 A TW102102900 A TW 102102900A TW 102102900 A TW102102900 A TW 102102900A TW I525448 B TWI525448 B TW I525448B
- Authority
- TW
- Taiwan
- Prior art keywords
- cloud
- trust
- communication
- interface
- whitelist
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Description
實施例大體上關於雲端運算。更特別地,實施例關於致能雲端運算環境中遠端裝置信賴認證及地理位置功能。
雖然雲端運算可提供關於處理電力及靈活性之機會予終端用戶,從安全立場習知雲端運算解決方案之某態樣可能呈現挑戰。例如,以安全及萬無一失的方式判定信賴價值及/或雲端運算資源之位置是困難的,當該些資源採用不同作業系統(OS)及虛擬機器管理器(VMM)協定時尤甚。事實上,無力提供充分安全措施可能妨礙廣泛產業採用雲端運算。
10‧‧‧遠端信賴認證架構
12‧‧‧信賴權限服務
14、50‧‧‧雲端運算節點
14a‧‧‧第一節點
14b‧‧‧第二節點
14c‧‧‧第三節點
14d‧‧‧第四節點
14e‧‧‧節點
16‧‧‧查詢應用
16a‧‧‧雲端管理介面
16b‧‧‧虛擬化管理介面
16c‧‧‧政策介面
16d‧‧‧相容性介面
16e‧‧‧安全介面
18‧‧‧認證處理程序
20‧‧‧認證伺服器邏輯
21‧‧‧代表狀態轉移應用編程介面
22、64‧‧‧信賴代理器
24‧‧‧證書權限
26‧‧‧信賴驗證器
27‧‧‧網路介面
28‧‧‧應用編程介面
32‧‧‧協定特定外掛程式
34‧‧‧白名單儲存庫
36‧‧‧白名單模組
38‧‧‧白名單入口網站
40‧‧‧信賴高速緩衝記憶體
42‧‧‧方法
44、46、48‧‧‧方塊
52‧‧‧晶片組
54‧‧‧平台模組
56‧‧‧平台組態暫存器
58‧‧‧非揮發性隨機存取記憶體
60‧‧‧基本輸入/輸出系統/韌體層
62‧‧‧超管理器層
66‧‧‧信賴之啟動碼
68‧‧‧虛擬機器
70‧‧‧信賴權限服務
72‧‧‧雲端管理應用
74‧‧‧認證處理程序
76、80‧‧‧介面
78‧‧‧虛擬叢集
78a‧‧‧第一叢集
78b‧‧‧第二叢集
82‧‧‧警告信息
藉由閱讀下列說明書及所附申請專利範圍,
及藉由參照下列圖式,本發明之實施例的各式優點對於熟悉本技藝之人士將變得顯而易見,其中:圖1為依據實施例之遠端信賴認證架構之範例的方塊圖;圖2為依據實施例之操作信賴權限服務之方法之範例的流程圖;圖3為依據實施例之雲端運算節點之範例的方塊圖;以及圖4A及4B為依據實施例之具有位置驗證輸出之介面之範例的螢幕快照。
現在參照圖1,顯示雲端運算解決方案之遠端信賴認證架構10。在所描繪之範例中,信賴權限服務12經組配以確認各式雲端運算節點14(14a-14e)之信賴價值及/或地理位置(例如,geo-ocation),並向一或多個查詢應用16(16a-16e)證明該信賴價值(或缺少)及/或地理位置。例如,信賴權限服務12可使用認證處理程序18以接收來自一或多個查詢應用16之雲端認證請求,實施關於一或多個雲端運算節點14之信賴分析,及根據信賴分析返回驗證結果/輸出。雲端認證請求可包括信賴價值及/或地理位置查詢,其可從雲端管理介面16a、虛擬化管理介面16b、政策介面16c(例如,HyTrust Appliance)、相容性介面16d(例如,支配,風險及相容性/GRC)
、安全介面16e(例如,來自NitroSecurity、ArchSight等之安全資訊及事件管理/SIEM解決方案)等。例如,相容性介面16d可用以確認雲端運算節點14遵守一或多個GRC需求等。再者,認證處理程序可使用一或多個應用編程介面(API)28以接收來自查詢應用16之雲端認證請求,並將驗證結果輸出至查詢應用16。在一範例中,API28包括代表狀態轉移(REST)API。
雲端運算節點14可包括各式伺服器、網路裝置、客戶端裝置等,其中,節點14可採用不同作業系統(OS)及/或超管理器(例如,VMM)協定。在所描繪之範例中,第一節點(「節點1」)14a使用第一超管理器協定(例如,「超管理器協定A」)以管理第一節點14a上之虛擬機器環境,第二節點(「節點i」)14b使用第二超管理器協定(例如,「超管理器協定j」)以管理第二節點14b上之虛擬機器環境,第三節點(「節點N-1」)14c使用第三超管理器協定(例如,「超管理器協定n」)以操作第三節點14c上之虛擬機器環境,及第四節點(「節點N」)14d使用第三超管理器協定以操作第四節點14d上之虛擬機器環境。第三及第四節點14c、14d可藉由另一節點14e管理,節點14e亦經組配以使用第三超管理器協定(例如,「超管理器協定n」)。如同將更詳細討論,每一雲端運算節點14可與信賴代理器22相關,按照信賴之運算群組的遠端認證協定,信賴代理器22經組配以提供具將用於信賴分析之資訊的信賴權限服務12。
超管理器協定範例包括但不侷限於ESXi(ESXi 5.0,VMware,2011年8月)、核心為基之虛擬機器(KVM,例如,Linux 2.6.20之SUSE KVM,2007年2月)、Xen(例如,Linux v2.6.37之Red Hat Xen,2011年3月)等。此外,每一超管理器協定可致能各式不同作業系統中之多虛擬機器配置,包括但不侷限於Windows、Linux及Mac作業系統。一旦具有虛擬信賴之平台模組(TPM),認證機構將無縫地作業以證明虛擬機器之信賴。
在所描繪之範例中,信賴權限服務12包括一或多個REST API 21認證伺服器邏輯20,其接收來自信賴代理器22之數位簽署通訊(例如,安全插座層/SSL通訊),其中,證書權限24可用以確認數位簽章。此外,所描繪之信賴權限服務12包括信賴驗證器26,其經組配而以每一超管理器協定為基實施信賴分析。例如,信賴驗證器26可從複數協定特定外掛程式32選擇協定特定外掛程式,並使用選擇之協定特定外掛程式32實施來自信賴代理器22之通訊中一或多個數位簽署值的信賴分析。尤其,數位簽署值可包括平台組態暫存器(PCR)值,諸如地理位置值、軟體雜湊(例如,SHA-Hash值)、完整性測量登錄(IML)值,諸如測量序列及啟動登錄資訊等,其中,信賴分析可包含比較數位簽署值與一或多個已知值。
在這方面,所描繪之架構10亦包括白名單儲存庫34及白名單模組36,其使用一或多個REST API 37以經由白名單入口網站38接收已知值,並以已知值填充
白名單儲存庫34。例如,藉由在控制之IT(資訊技術)環境中運行雲端運算節點14,及識別目前測量,可判定已知值,其中,該值亦可儲存至雲端運算節點14之安全PCR供運行時使用。經由適當更新管理器子系統亦可從VMM/OS供應商獲得「極佳」或「完善」模組雜湊。
因而,信賴驗證器26可依據考慮中之雲端運算節點14而從白名單儲存庫34擷取已知值,並比較通訊中之數位簽署值與已知值。例如,比較可關於一或多個超管理器/OS雜湊值實施以判定匯入通訊之來源實際上是否與信賴之雲端運算節點14相關。在另一範例中,比較可關於一或多個地理位置值(例如,比較通訊中之數位簽署地理位置值與地圖)實施以判定匯入通訊之來源的位置。
所描繪之認證伺服器邏輯20將信賴分析之結果傳達至認證處理程序18,其可輸出該結果作為針對雲端認證請求之響應。認證處理程序18亦可使用信賴高速緩衝記憶體40以處理雲端認證請求,其中,信賴高速緩衝記憶體40可包括時間戳記信賴價值/地理位置資料,其可加速認證程序。例如,認證處理程序18可存取信賴高速緩衝記憶體40,並判定已為考慮中之雲端運算節點14產生信賴價值及/或地理位置驗證響應,並取代及/或除了來自信賴權限服務12之結果以外,使用來自信賴高速緩衝記憶體40之結果。
信賴權限服務12可於例如個人電腦(PC)、伺服器、工作站、膝上型電腦、個人數位助理(PDA)、
無線智慧手機、媒體播放器、成像裝置、行動網際網路裝置(MID)、諸如智慧手機、智慧型平板電腦等任何智慧型裝置、或其任何組合之上實施。因而,信賴驗證器26、認證伺服器邏輯20及證書權限24可合併某硬體元件,諸如處理器、控制器及/或晶片組、記憶體結構、匯流排等。此外,所描繪之信賴權限服務12酌情使用網路介面27以與雲端運算節點14及/或查詢應用16交換通訊。例如,網路介面27可為廣泛用途提供平台外無線通訊功能,諸如行動電話(例如寬帶碼分多路進接/W-CDMA(通用行動電信系統/UMTS)、CDMA2000(IS-856/IS-2000)等)、Wi-Fi(無線保真,例如電氣及電子工程師學會/IEEE 802.11-2007、無線局域網路/LAN媒體存取控制(MAC)及實體層(PHY)規格)、LR-WPAN(低速率無線個人區域網路,例如IEEE 802.15.4-2006)、藍牙(例如IEEE 802.15.1-2005、無線個人區域網路)、WiMax(例如IEEE 802.16-2004、LAN/MAN寬帶無線LANS)、GPS(全球定位系統)、展頻(例如900 MHz)、及其他RF(射頻)電話用途。網路介面27亦可提供平台外有線通訊(例如,RS-232(電子工業聯盟/EIA))、乙太網路(例如,IEEE 802.3-2005)、電力線通訊(例如,X10、IEEE P1675)、USB(通用串列匯流排,例如USB規格3.0,Rev.1.0,2008年11月12日,USB制訂者論壇)、DSL(數位用戶線)、電纜數據機、T1連接等功能。
圖2顯示操作信賴權限服務之方法42。方法
42可於諸如信賴權限服務12之信賴權限服務中實施(圖1),已予討論,作為一組可執行邏輯指令,儲存於至少一機器或電腦可讀取儲存媒體中,諸如在可組配邏輯中之隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可編程ROM(PROM)、快閃記憶體、韌體、微碼等,可組配邏輯諸如可編程邏輯陣列(PLA)、場可編程閘陣列(FPGA)、複雜可編程邏輯裝置(CPLD)、使用電路技術之固定功能硬體,諸如專用積體電路(ASIC)、互補金屬氧化物半導體(CMOS)或電晶體-電晶體邏輯(TTL)技術、或其任何組合。例如,方法42中所示實施作業之電腦程式碼可以一或多個編程語言之任何組合寫入,包括物件導向編程語言,諸如C++等,及習知程序編程語言,諸如「C」編程語言或類似編程語言。再者,方法42之各式方面可實施為使用任何上述電路技術之處理器的嵌入邏輯。
所描繪之處理方塊44根據與遠端信賴代理器相關之通訊從複數超管理器協定選擇超管理器協定。選擇之超管理器協定可於方塊46使用以實施通訊中一或多個數位簽署值之信賴分析。在一範例中,如已討論的,信賴分析包括比較數位簽署值與一或多個已知值。因而,若通訊係從偽裝為信賴之雲端運算節點的裝置接收,則在方塊46之程序可判定通訊中數位簽署值未對應於/匹配已知值。此外,方塊48可根據信賴分析處理雲端認證請求。因而,若其判定數位簽署值未對應於/匹配已知值,則方塊
48可包含產生指出考慮中之裝置不值得信賴的輸出。在另一範例中,所描繪之方法42可證明/輸出用於考慮中之遠端裝置之信賴之地理位置值。
現在參照圖3,顯示雲端運算節點(「節點i」)50之範例。所描繪之雲端運算節點50可包括伺服器、網路裝置、客戶端裝置等,其易於替代已討論之一或多個節點14(圖1)。在所描繪之範例中,節點50之硬體層包括中央處理單元(CPU)及晶片組52,以及具有PCR 56及非揮發性RAM(NVRAM)58之信賴之平台模組(TPM)54。節點50之軟體堆疊可包括基本輸入/輸出系統(BIOS)/韌體(FW)層60及具有信賴代理器64及信賴之啟動(「tboot」)碼66的超管理器層62。信賴代理器64可具有類似於已討論之信賴代理器22(圖1)的功能。所描繪之節點50亦包括複數虛擬機器68,其中,虛擬機器68之二或更多者可使用不同OS。
一旦正確配置所描繪之CPU及晶片組52及TPM 54(例如,用於信賴之執行、地理位置等),所描繪之tboot碼66可填充具地理位置值及其他軟體雜湊之PCR 56,其中,信賴代理器64可從PCR 56擷取資訊、數位簽署、並將其作為通訊傳輸至信賴權限服務70。信賴權限服務70可包括類似於已討論之信賴權限服務12(圖1)的功能,其接著可經由認證處理程序74使用數位簽署值以回應於來自雲端管理應用72之一或多個雲端認證請求。因而,所描繪之雲端管理應用72可具有類似於
已討論之一或多個查詢應用16的功能。
圖4A顯示介面76,其中雲端運算基礎設施中一組虛擬叢集78(78a、78b)被標記從與叢集78相關之信賴代理器獲得的地理位置資訊。介面76可因此回應於以地理位置為基之信賴分析而經由應用而輸出至使用者,諸如一或多個查詢應用16(圖1)或雲端管理應用72(圖3)。在所描繪之範例中,已判定運行特定虛擬機器(VM1)之第一叢集78a係位於美國(USA),及第二叢集78b係位於印度。圖4B顯示介面80,其可源自企圖將具有政策(例如,政府風險及相容性)之環境中虛擬機器從第一叢集78a遷移至第二叢集78b之結果,該環境需要所有雲端運算資源實體位於USA。尤其,所描繪之介面80包括警告信息82,其指出所建議之遷移違反適當之地理位置相容性政策。
實施例因此可包含操作信賴權限服務之方法,其中根據與遠端信賴代理器相關之通訊,從複數超管理器協定選擇超管理器協定。選擇之超管理器協定可用以實施通訊中一或多個數位簽署值的信賴分析。此外,該方法可提供用於根據該信賴分析處理雲端認證請求。在一範例中,處理雲端認證請求包括產生用於雲端運算節點之信賴價值驗證輸出。
在一範例中,從複數超管理器協定選擇該超管理器協定包括選擇協定特定外掛程式。
在另一範例中,方法進一步包括從白名單儲
存庫擷取一或多個已知值,其中,該信賴分析包括比較該一或多個數位簽署值與該一或多個已知值。方法亦可包括經由白名單入口網站接收該一或多個已知值,及以該一或多個已知值填充該白名單儲存庫。此外,該一或多個已知值及該一或多個數位簽署值包括一或多個暫存器值及登錄資料。
在另一範例中,方法進一步包括從與該遠端信賴代理器相關之雲端運算節點接收該通訊,其中,處理該雲端認證請求包括產生用於該雲端運算節點之信賴價值驗證輸出。此外,該通訊可從伺服器、網路裝置及客戶端裝置之一或多者接收。
在另一範例中,方法進一步包括經由雲端管理介面、虛擬化管理介面、政策介面、相容性介面、及安全介面之一或多者接收該雲端認證請求。
在另一範例中,處理該雲端認證請求包括存取信賴高速緩衝記憶體。
實施例亦可包括一種機器可讀取媒體,其包含複數指令,回應於該指令在運算裝置上被執行,致使該運算裝置實施上述方法之任何範例,一種設備用於操作信賴權限服務,該設備經組配以實施上述方法之任何範例,及一種系統用於操作信賴權限服務,該系統包含網路介面及晶片組經組配以實施上述方法之任何範例。
實施例亦可包括至少一種電腦可存取及/或機器可讀取儲存媒體,其具有一組指令,若指令藉由處理器
執行,致使運算裝置根據與遠端信賴代理器相關之通訊,從複數超管理器協定選擇超管理器協定。該指令亦可致使運算裝置使用所選擇之該超管理器協定以實施該通訊中一或多個數位簽署值的信賴分析,並根據該信賴分析處理雲端認證請求。在一範例中,處理雲端認證請求包括產生用於雲端運算節點之信賴價值驗證輸出。
其他實施例可包含操作信賴權限服務之方法,其中經由白名單入口網站接收該一或多個已知值,並以該一或多個已知值填充該白名單儲存庫。方法亦可提供用於從與該遠端信賴代理器相關之雲端運算節點接收該通訊,並根據對應於通訊之超管理器協定,從複數協定特定外掛程式選擇協定特定外掛程式。此外,可從白名單儲存庫擷取一或多個已知值,其中,選擇之協定特定外掛程式可用以實施通訊中一或多個數位簽署地理位置值的信賴分析。在一範例中,該信賴分析包括比較該一或多個數位簽署地理位置值與該一或多個已知值,其中,已知值包括地圖資料。再者,方法可提供用於根據信賴分析處理雲端認證請求,其中,處理雲端認證請求包括產生用於雲端運算節點之位置驗證輸出。
在一範例中,通訊係從伺服器、網路裝置及客戶端裝置之一或多者接收。
在另一範例中,方法進一步包括經由雲端管理介面、虛擬化管理介面、政策介面、相容性介面、及安全介面之一或多者接收該雲端認證請求。
在另一範例中,處理該雲端認證請求包括存取信賴高速緩衝記憶體。
實施例亦可包括一種機器可讀取媒體,其包含複數指令,回應於該指令在運算裝置上被執行,致使該運算裝置實施上述方法之任何範例,一種設備用於操作信賴權限服務,該設備經組配以實施上述方法之任何範例,及一種系統用於操作信賴權限服務,該系統包含網路介面及晶片組經組配以實施上述方法之任何範例。
此外,實施例可包括一種設備,具有白名單儲存庫,及具白名單入口網站之白名單模組,其中,白名單模組係經由白名單入口網站接收該一或多個已知值,並以該一或多個已知值填充該白名單儲存庫。該設備亦可包括具有認證伺服器邏輯之信賴模組以從與遠端信賴代理器相關之雲端運算節點接收通訊,及信賴驗證器以根據對應於通訊之超管理器協定,從複數協定特定外掛程式選擇協定特定外掛程式。該信賴驗證器亦可從白名單儲存庫擷取一或多個已知值,並使用選擇之協定特定外掛程式以實施通訊中一或多個數位簽署地理位置值的信賴分析。在一範例中,該信賴分析包括比較該一或多個數位簽署地理位置值與該一或多個已知值,且該認證伺服器邏輯根據信賴分析產生用於雲端運算節點之位置驗證輸出。
實施例亦可包括一種系統,具有網路介面以從與遠端信賴代理器相關之雲端運算節點識別通訊。該系統亦可具有具信賴驗證器之晶片組以根據該通訊從複數超
管理器協定選擇超管理器協定。此外,信賴驗證器可使用選擇之超管理器協定以實施通訊中一或多個數位簽署值的信賴分析,其中,晶片組進一步包括認證伺服器邏輯以根據信賴分析處理雲端認證請求。
文中所說明之技術因此提供遠端認證之方法,其可跨越多OS/多超管理器環境中數百/數千主機及裝置。該等技術使得可在派遣應用及工作量至雲端運算基礎設施中之主機、裝置及其他資源上之前實施信賴價值判定。再者,可以高度彈性之防竄改方法儲存及擷取地理位置資訊。
本發明之某方面實施例可使用硬體、軟體、或其組合實施,並可以一或多個電腦系統或其他處理系統實施。程式碼可施加於使用輸入裝置輸入之資料以實施所說明之功能,並產生輸出資訊。輸出資訊可施加於一或多個輸出裝置。熟悉本技藝之人士可理解實施例可以各式電腦系統組態體現,包括多處理器系統、迷你電腦、主機電腦等。實施例亦可於分佈運算環境中實現,其中作業可藉由經由通訊網路鏈接之遠端處理裝置實施。
每一程式可以高階程序或物件導向編程語言實施,以與處理系統通訊。然而,程式可視需要以組合或機器語言實施。在任何狀況下,語言可編譯或解譯。
程式指令可用以致使以指令編程之通用或專用處理系統實施文中所說明之方法。另一方面,方法可藉由特定硬體組件實施,其包含固線式邏輯用於實施方法,
或可藉由程控電腦組件及客製硬體組件之任何組合實施。文中所說明之方法可提供作為電腦程式產品,其可包括具有儲存於上之指令的至少一機器可讀取媒體,指令可用以編程處理系統或其他電子裝置以實施方法。文中使用之「機器可讀取媒體」或「機器可存取媒體」用詞將包括任何媒體,其可儲存或編碼一連串指令用於藉由機器執行,並致使機器實施文中所說明之任何一種方法。「機器可讀取媒體」或「機器可存取媒體」用詞因此可包括但不侷限於固態記憶體、光碟及磁碟、及編碼資料信號之載波。此外,本技藝中常見係以一種或另一形式論及軟體(例如,程式、程序、過程、應用、模組、邏輯等),以採取動作或造成結果。該等表達僅為陳述藉由處理系統執行軟體以致使處理器實施動作或產生結果之速記方式。
文中所使用之「耦接」用詞係指考慮中之組件間之任何類型之關係,直接或間接,並可施加於電、機械、流體、光學、電磁、機電或其他連接。此外,除非特別指明,文中所使用之「第一」、「第二」等用詞僅為便於討論,並不帶有特定時間或按時間順序之意義。
雖然以上已說明本發明之各式實施例,應理解的是其僅藉由範例呈現而非限制。熟悉本技藝之人士將理解其中可實施形式及細節的各式改變而未偏離所附申請專利範圍中所界定之本發明的精神及範圍。因而,本發明之幅度及範圍不應受限於任何以上所說明之示範實施例,而係依據下列申請專利範圍及其等效論述所界定。
10‧‧‧遠端信賴認證架構
12‧‧‧信賴權限服務
14‧‧‧雲端運算節點
14a‧‧‧第一節點
14b‧‧‧第二節點
14c‧‧‧第三節點
14d‧‧‧第四節點
14e‧‧‧節點
16‧‧‧查詢應用
16a‧‧‧雲端管理介面
16b‧‧‧虛擬化管理介面
16c‧‧‧政策介面
16d‧‧‧相容性介面
16e‧‧‧安全介面
18‧‧‧認證處理程序
20‧‧‧認證伺服器邏輯
21、37‧‧‧代表狀態轉移應用編程介面
22‧‧‧信賴代理器
24‧‧‧證書權限
26‧‧‧信賴驗證器
27‧‧‧網路介面
32‧‧‧協定特定外掛程式
34‧‧‧白名單儲存庫
36‧‧‧白名單模組
38‧‧‧白名單入口網站
40‧‧‧信賴高速緩衝記憶體
Claims (25)
- 一種操作信賴權限服務之方法,該方法包含:經由白名單入口網站接收一或多個已知值;以該一或多個已知值填充白名單儲存庫;從遠端信賴代理器相關之雲端運算節點接收通訊;根據對應該通訊的超管理器協定,從複數協定特定外掛程式選擇一協定特定外掛程式;從該白名單儲存庫擷取一或多個已知值;使用所選擇之該協定特定外掛程式以實施該通訊中一或多個數位簽署地理位置值的信賴分析,其中,該信賴分析包括比較該一或多個數位簽署地理位置值與該一或多個已知值;以及根據該信賴分析處理雲端認證請求,其中,處理該雲端認證請求包括產生用於該雲端運算節點之位置驗證輸出。
- 如申請專利範圍第1項之方法,其中,該通訊係從伺服器、網路裝置及客戶端裝置之一或多者接收。
- 如申請專利範圍第1項之方法,進一步包括經由雲端管理介面、虛擬化管理介面、政策介面、相容性介面、及安全介面之一或多者接收該雲端認證請求。
- 如申請專利範圍第1項之方法,其中,處理該雲端認證請求包括存取信賴高速緩衝記憶體。
- 一種操作信賴權限服務之裝置,包含:白名單儲存庫; 白名單模組,包括白名單入口網站,該白名單模組用以:經由該白名單入口網站接收一或多個已知值;以及以該一或多個已知值填充該白名單儲存庫;以及信賴模組,包括:認證伺服器邏輯,用以從遠端信賴代理器相關之雲端運算節點接收通訊;以及信賴驗證器,用以根據對應該通訊的超管理器協定從複數協定特定外掛程式選擇一協定特定外掛程式,從該白名單儲存庫擷取一或多個已知值,以及使用所選擇之該協定特定外掛程式以實施該通訊中一或多個數位簽署地理位置值的信賴分析,其中,該信賴分析係用以包括比較該一或多個數位簽署地理位置值與該一或多個已知值,且其中,該認證伺服器邏輯係用以根據該信賴分析產生用於該雲端運算節點之位置驗證輸出。
- 如申請專利範圍第5項之裝置,其中,該通訊係用以從伺服器、網路裝置及客戶端裝置之一或多者接收。
- 如申請專利範圍第5項之裝置,進一步包括認證處置器,其用以經由雲端管理介面、虛擬化管理介面、政策介面、相容性介面、及安全介面之一或多者接收該雲端認證請求。
- 如申請專利範圍第7項之裝置,進一步包括高速緩 衝記憶體,其中,該認證處置器係用以使用該信賴高速緩衝記憶體以處理該雲端認證請求。
- 一種操作信賴權限服務之方法,該方法包含:根據與遠端信賴代理器相關之通訊,從複數超管理器協定選擇超管理器協定;使用所選擇之該超管理器協定以實施該通訊中一或多個數位簽署值的信賴分析;以及根據該信賴分析處理雲端認證請求。
- 如申請專利範圍第9項之方法,其中,從複數超管理器協定選擇該超管理器協定包括選擇協定特定外掛程式。
- 如申請專利範圍第9項之方法,進一步包括從白名單儲存庫擷取一或多個已知值,其中,該信賴分析包括比較該一或多個數位簽署值與該一或多個已知值。
- 如申請專利範圍第11項之方法,進一步包括:經由白名單入口網站接收該一或多個已知值;以及以該一或多個已知值填充該白名單儲存庫。
- 如申請專利範圍第11項之方法,其中,該一或多個已知值及該一或多個數位簽署值包括一或多個暫存器值及登錄資料。
- 如申請專利範圍第9項之方法,進一步包括從與該遠端信賴代理器相關之雲端運算節點接收該通訊,其中,處理該雲端認證請求包括產生用於該雲端運算節點之信賴價值驗證輸出。
- 如申請專利範圍第14項之方法,其中,該通訊係從伺服器、網路裝置及客戶端裝置之一或多者接收。
- 如申請專利範圍第9項之方法,進一步包括經由雲端管理介面、虛擬化管理介面、政策介面、相容性介面、及安全介面之一或多者接收該雲端認證請求。
- 如申請專利範圍第9項之方法,其中,處理該雲端認證請求包括存取信賴高速緩衝記憶體。
- 一種電腦可存取儲存媒體,包含一組指令,若該等指令被處理器執行,則導致運算裝置實施以下操作:根據與遠端信賴代理器相關之通訊,從複數超管理器協定選擇超管理器協定;使用所選擇之該超管理器協定以實施該通訊中一或多個數位簽署值的信賴分析;以及根據該信賴分析處理雲端認證請求。
- 如申請專利範圍第18項之媒體,其中,若該等指令被執行,則導致運算裝置選擇協定特定外掛程式。
- 如申請專利範圍第18項之媒體,其中,若該等指令被執行,則導致運算裝置從白名單儲存庫擷取一或多個已知值,其中,該信賴分析包括比較該一或多個數位簽署值與該一或多個已知值。
- 如申請專利範圍第20項之媒體,其中,若該等指令被執行,則導致運算裝置實施以下操作:經由白名單入口網站接收該一或多個已知值;以及以該一或多個已知值填充該白名單儲存庫。
- 如申請專利範圍第20項之媒體,其中,該一或多個已知值及該一或多個數位簽署值係用以包括一或多個暫存器值及追蹤資料。
- 如申請專利範圍第18項之媒體,其中,若該等指令被執行,則導致運算裝置從與該遠端信賴代理器相關之雲端運算節點接收該通訊,其中,處理該雲端認證請求係用以包括產生用於該雲端運算節點之信賴價值驗證輸出。
- 如申請專利範圍第23項之媒體,其中,該通訊係用以從伺服器、網路裝置及客戶端裝置之一或多者接收。
- 如申請專利範圍第18項之媒體,其中,若該等指令被執行,則導致運算裝置經由雲端管理介面、虛擬化管理介面、政策介面、相容性介面、及安全介面之一或多者接收該雲端認證請求。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2012/023188 WO2013115776A1 (en) | 2012-01-30 | 2012-01-30 | Remote trust attestation and geo-location of of servers and clients in cloud computing environments |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201403346A TW201403346A (zh) | 2014-01-16 |
| TWI525448B true TWI525448B (zh) | 2016-03-11 |
Family
ID=48905635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102102900A TWI525448B (zh) | 2012-01-30 | 2013-01-25 | 雲端運算環境中伺服器與客戶端的遠端信賴認證及地理位置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9910972B2 (zh) |
| EP (1) | EP2810403B1 (zh) |
| CN (1) | CN104081713B (zh) |
| BR (1) | BR112014018826A8 (zh) |
| TW (1) | TWI525448B (zh) |
| WO (1) | WO2013115776A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR112014018826A8 (pt) | 2012-01-30 | 2017-07-11 | Intel Corp | Técnicas de certificação de confiabilidade remota e de geo-localização de servidores e clientes em ambientes de computação em nuvem |
| US9256742B2 (en) | 2012-01-30 | 2016-02-09 | Intel Corporation | Remote trust attestation and geo-location of servers and clients in cloud computing environments |
| US9367688B2 (en) * | 2012-06-22 | 2016-06-14 | Intel Corporation | Providing geographic protection to a system |
| EP2895996A4 (en) * | 2012-09-13 | 2016-04-06 | Digitata Ltd | MANAGEMENT OF CONSUMPTION SERVICE CONTRACTS |
| US9787667B2 (en) * | 2012-10-16 | 2017-10-10 | Nokia Technologies Oy | Attested sensor data reporting |
| US10389709B2 (en) * | 2014-02-24 | 2019-08-20 | Amazon Technologies, Inc. | Securing client-specified credentials at cryptographically attested resources |
| US11041933B2 (en) * | 2014-06-13 | 2021-06-22 | Signify Holding B.V. | Localization based on network of wireless nodes |
| CN104901959A (zh) * | 2015-05-26 | 2015-09-09 | 浪潮电子信息产业股份有限公司 | 一种验证计算池可信的方法及系统 |
| US9887882B2 (en) | 2015-06-12 | 2018-02-06 | At&T Intellectual Property I, L.P. | Referent system for devices of an NFV network |
| CN105049257A (zh) * | 2015-08-12 | 2015-11-11 | 北京因特信安软件科技有限公司 | 基于可信地理位置信息的云平台调度方法 |
| US10484429B1 (en) * | 2016-10-26 | 2019-11-19 | Amazon Technologies, Inc. | Automated sensitive information and data storage compliance verification |
| US10482034B2 (en) * | 2016-11-29 | 2019-11-19 | Microsoft Technology Licensing, Llc | Remote attestation model for secure memory applications |
| US10467124B2 (en) * | 2016-12-19 | 2019-11-05 | General Electric Company | Certification process for cloud platform |
| CA3051411C (en) * | 2017-01-25 | 2023-03-28 | Cable Television Laboratories, Inc. | Systems and methods for authenticating platform trust in a network function virtualization environment |
| CN106936816B (zh) * | 2017-02-15 | 2020-09-01 | 海尔优家智能科技(北京)有限公司 | 一种查询定位的方法和系统 |
| US10783235B1 (en) * | 2017-05-04 | 2020-09-22 | Amazon Technologies, Inc. | Secure remote access of computing resources |
| US10033756B1 (en) | 2017-10-26 | 2018-07-24 | Hytrust, Inc. | Methods and systems for holistically attesting the trust of heterogeneous compute resources |
| US11223631B2 (en) | 2018-04-06 | 2022-01-11 | Hewlett Packard Enterprise Development Lp | Secure compliance protocols |
| US11016798B2 (en) | 2018-06-01 | 2021-05-25 | The Research Foundation for the State University | Multi-hypervisor virtual machines that run on multiple co-located hypervisors |
| WO2020143906A1 (en) * | 2019-01-08 | 2020-07-16 | Huawei Technologies Co., Ltd. | Method and apparatus for trust verification |
| CN109977665B (zh) * | 2019-03-22 | 2021-01-01 | 北京工业大学 | 基于tpcm的云服务器启动过程防窃取和防篡改方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7117366B2 (en) | 2002-01-08 | 2006-10-03 | International Business Machines Corporation | Public key based authentication method for transaction delegation in service-based computing environments |
| CN100566255C (zh) | 2007-02-01 | 2009-12-02 | 北京飞天诚信科技有限公司 | 提高智能密钥设备安全性的方法和系统 |
| US8156298B1 (en) | 2007-10-24 | 2012-04-10 | Adam Stubblefield | Virtualization-based security apparatuses, methods, and systems |
| US8950007B1 (en) * | 2008-04-07 | 2015-02-03 | Lumension Security, Inc. | Policy-based whitelisting with system change management based on trust framework |
| KR100948693B1 (ko) | 2008-10-08 | 2010-03-18 | 한국전자통신연구원 | 가상 플랫폼을 이용한 이종 망간 프로토콜 연동 지원을 위한 인터넷 프로토콜 변환장치 및 방법 |
| US9106540B2 (en) * | 2009-03-30 | 2015-08-11 | Amazon Technologies, Inc. | Providing logical networking functionality for managed computer networks |
| US7941379B1 (en) * | 2009-06-25 | 2011-05-10 | Symantec Corporation | Systems and methods for using geo-location information in sensitive internet transactions |
| US8490150B2 (en) | 2009-09-23 | 2013-07-16 | Ca, Inc. | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems |
| US8619779B2 (en) * | 2009-09-30 | 2013-12-31 | Alcatel Lucent | Scalable architecture for enterprise extension in a cloud topology |
| KR20110051028A (ko) | 2009-11-09 | 2011-05-17 | 주식회사 케이티 | 보안 기능이 구비된 클라우드 컴퓨팅 시스템 |
| US8924569B2 (en) * | 2009-12-17 | 2014-12-30 | Intel Corporation | Cloud federation as a service |
| US8938782B2 (en) * | 2010-03-15 | 2015-01-20 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
| US8793439B2 (en) | 2010-03-18 | 2014-07-29 | Oracle International Corporation | Accelerating memory operations using virtualization information |
| US8505003B2 (en) | 2010-04-28 | 2013-08-06 | Novell, Inc. | System and method for upgrading kernels in cloud computing environments |
| WO2011152910A1 (en) | 2010-06-02 | 2011-12-08 | Vmware, Inc. | Securing customer virtual machines in a multi-tenant cloud |
| TW201145936A (en) | 2010-06-08 | 2011-12-16 | Sun Hon Technology Corp | Applying operation Bonder Bonder Authentication and human-machine Authentication method |
| US8601129B2 (en) | 2010-06-30 | 2013-12-03 | International Business Machines Corporation | Hypervisor selection for hosting a virtual machine image |
| CN102316203B (zh) | 2011-09-21 | 2015-09-16 | 广州市动景计算机科技有限公司 | 基于云计算的骚扰电话防止方法、装置及移动终端 |
| US9519781B2 (en) * | 2011-11-03 | 2016-12-13 | Cyphort Inc. | Systems and methods for virtualization and emulation assisted malware detection |
| US9992024B2 (en) * | 2012-01-25 | 2018-06-05 | Fujitsu Limited | Establishing a chain of trust within a virtual machine |
| US9256742B2 (en) | 2012-01-30 | 2016-02-09 | Intel Corporation | Remote trust attestation and geo-location of servers and clients in cloud computing environments |
| BR112014018826A8 (pt) | 2012-01-30 | 2017-07-11 | Intel Corp | Técnicas de certificação de confiabilidade remota e de geo-localização de servidores e clientes em ambientes de computação em nuvem |
-
2012
- 2012-01-30 BR BR112014018826A patent/BR112014018826A8/pt not_active IP Right Cessation
- 2012-01-30 EP EP12867592.3A patent/EP2810403B1/en active Active
- 2012-01-30 CN CN201280068563.3A patent/CN104081713B/zh not_active Expired - Fee Related
- 2012-01-30 WO PCT/US2012/023188 patent/WO2013115776A1/en active Application Filing
- 2012-01-30 US US13/997,930 patent/US9910972B2/en active Active
-
2013
- 2013-01-25 TW TW102102900A patent/TWI525448B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| CN104081713A (zh) | 2014-10-01 |
| EP2810403A1 (en) | 2014-12-10 |
| EP2810403A4 (en) | 2015-10-07 |
| WO2013115776A1 (en) | 2013-08-08 |
| CN104081713B (zh) | 2018-08-17 |
| BR112014018826A8 (pt) | 2017-07-11 |
| EP2810403B1 (en) | 2019-09-25 |
| TW201403346A (zh) | 2014-01-16 |
| BR112014018826A2 (zh) | 2017-06-20 |
| US9910972B2 (en) | 2018-03-06 |
| US20140109191A1 (en) | 2014-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI525448B (zh) | 雲端運算環境中伺服器與客戶端的遠端信賴認證及地理位置 | |
| US9774602B2 (en) | Remote trust attestation and geo-location of servers and clients in cloud computing environments | |
| US10705894B2 (en) | Electronic device for authenticating application and operating method thereof | |
| US10726120B2 (en) | System, apparatus and method for providing locality assertion between a security processor and an enclave | |
| US20180097809A1 (en) | Securing access to cloud components | |
| US20190058577A1 (en) | Techniques for key provisioning in a trusted execution environment | |
| US9147076B2 (en) | System and method for establishing perpetual trust among platform domains | |
| US11343082B2 (en) | Resource sharing for trusted execution environments | |
| US11847253B2 (en) | Efficient launching of trusted execution environments | |
| KR102363080B1 (ko) | 우회-불가능한 게이트웨이를 이용한 tpm-기반의 안전한 다자간 컴퓨팅 시스템 | |
| US9537738B2 (en) | Reporting platform information using a secure agent | |
| CN107077560B (zh) | 用于建立安全工作空间的所有权的系统 | |
| US20230106455A1 (en) | Efficient launching of trusted execution environments | |
| TWI602078B (zh) | 於雲端運算環境中供伺服器與客戶端的遠端信任證實及地理位置用之方法、設備、媒體及系統 | |
| US11861009B2 (en) | Mechanism to update attested firmware on a platform | |
| WO2023230836A1 (en) | Virtual microcontroller for device authentication in a confidential computing environment | |
| Guan et al. | An approach to ensure the trustworthiness of cloud platform using the trusted chain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |