CN103368983B - 安全需求查询方法、反馈方法和装置 - Google Patents

安全需求查询方法、反馈方法和装置 Download PDF

Info

Publication number
CN103368983B
CN103368983B CN201210084418.6A CN201210084418A CN103368983B CN 103368983 B CN103368983 B CN 103368983B CN 201210084418 A CN201210084418 A CN 201210084418A CN 103368983 B CN103368983 B CN 103368983B
Authority
CN
China
Prior art keywords
security
demand
csp
csu
response message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210084418.6A
Other languages
English (en)
Other versions
CN103368983A (zh
Inventor
张瑞山
林兆骥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201210084418.6A priority Critical patent/CN103368983B/zh
Publication of CN103368983A publication Critical patent/CN103368983A/zh
Application granted granted Critical
Publication of CN103368983B publication Critical patent/CN103368983B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种安全需求查询方法、反馈方法和装置,该方法包括:云计算用户(CSU)向云计算可信第三方(CTTP)发送安全需求查询请求,其中,安全需求查询请求用于指示CTTP向CSU返回满足CSU的安全需求的CSP的CSP标识;CSU接收CTTP返回的响应消息,其中,响应消息携带有CSP标识;CSU从响应消息中获取CSP标识。本发明解决了现有技术中由于CSU无法快速正确地选择满足安全需求的CSP导致CSU在使用CSP时数据的安全性下降的技术问题,达到了提高CSU从CSP获取云服务时的数据安全性的技术效果。

Description

安全需求查询方法、反馈方法和装置
技术领域
本发明涉及通信领域,具体而言,涉及一种安全需求查询方法、反馈方法和装置。
背景技术
云计算(Cloud Computing)是一种信息技术与商业服务结合的新的消费与交付模式。云计算的核心是云计算的硬件和软件都是资源,并被封装为服务,用户可以通过网络按自身的需求对其进行访问和使用。云计算核心的五大特征为:按需自助服务(On-demandself-service)、广泛的网络访问(Broad network access)、资源共享(Resourcepooling)、快速的可伸缩性(Rapid elasticity)以及可度量的服务(Measured service)。
按照云计算提供的服务类型,美国国家标准技术研究院(National Institute ofStandards and Technology,简称NIST)将云计算划分为:基础设施作为服务(Infrastructure as a Service,简称IaaS)、平台作为服务(Platform as a Service,简称PaaS)以及软件作为服务(Software as a Service,简称SaaS)。其他的标准组织、企业和研究团体提出了其他的服务类型,如,通信作为服务(Communications as a Service,简称CaaS)、安全作为服务(Security as a Service,简称SaaS)、身份作为服务(Identity as aService,简称IDaaS)以及网络作为服务(Network as a Service,简称NaaS)。现在,一般使用X作为服务(X as a Service,简称XaaS)来表示云计算服务,其中,X表明云服务类型。
按照部署方式划分,云计算可以划分为:公有云(Public Cloud)、私有云(PrivateCloud)、社区云(Community Cloud)和混合云(Hybrid Cloud)。
2008年10月,首席信息官(CIO)研究部门发布了对云计算的研究报告,调查收集了接收调查的173名IT主管对云计算的看法以及云计算对其企业的适用性,调查结果表明安全是被调查的公司采用云计算的最大顾虑。
当采用公有云、社区云或混合云的部署方式时,云计算用户(Cloud ServiceUser,简称CSU)的信息资产(数据和应用)运行在云计算服务提供商(Cloud ServiceProvider,简称CSP),不在CSU的直接控制下,CSU担心CSP是否具有足够的安全能力以及所提供的安全能力是否能够正确运行。
然而,作为评估CSP的安全保障能力的两个方面:CSP的安全能力以及安全能力的正确运行状况。由于缺乏简单、有效的评估方法,CSU难以简单、客观地评价CSP是否具有足够的安全保障能力来保证CSU信息资产的安全性、隐私和合规性,从而使得CSU无法快速正确地选择满足安全需求的CSP,降低了CSU在使用CSP时数据的安全性。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了安全需求查询方法、反馈方法和装置,以至少解决现有技术中由于CSU无法快速正确地选择满足安全需求的CSP导致CSU在使用CSP时数据的安全性下降的技术问题。
根据本发明的一个方面,提供了一种安全需求查询方法,包括:CSU向CTTP发送安全需求查询请求,其中,安全需求查询请求用于指示CTTP向CSU返回满足CSU的安全需求的CSP的CSP标识;CSU接收CTTP返回的响应消息,其中,响应消息携带有CSP标识;CSU从响应消息中获取CSP标识。
优选地,安全需求包括以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及安全控制或安全条目的参数。
优选地,响应消息安全需求查询请求携带有必选安全需求项集合和/或可选安全需求项集合,其中,必选安全需求项集合包括CSP必须满足的安全需求项,可选安全需求项集合包括CSP选择性满足的安全需求项。
优选地,当CSP满足必选安全需求项集合中的所有安全需求项时,响应消息中携带该CSP对应的CSP标识;或者当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,响应消息中携带有CSP不满足一个或多个安全需求项的原因。
优选地,查询请求还携带有云服务标识,响应消息携带有对应于云服务标识的云服务是否满足安全需求的指示信息。
根据本发明的另一个方面,提供了另一种安全需求查询方法,包括:CSU向CSP发送安全需求查询请求;CSU接收CSP返回的响应消息,其中,响应消息携带有用于指示该CSP是否满足CSU的安全需求的指示信息;CSU根据响应消息获取指示信息。
优选地,安全需求包括以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及安全控制或安全条目的参数。
优选地,安全需求查询请求携带有必选安全需求项集合和/或可选安全需求项集合,其中,必选安全需求项集合包括CSP必须满足的安全需求项,可选安全需求项集合包括CSP选择性满足的安全需求项。
优选地,当CSP不满足必选安全需求项集合中的一个或多个安全需求项时,响应消息中携带有用于指示该CSP不满足安全需求查询请求的指示信息;或者当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,响应消息中携带有该CSP不满足上述一个或多个安全需求项的原因。
优选地,查询请求还携带有云服务标识,响应消息携带有对应于云服务标识的云服务是否满足安全需求的指示信息。
根据本发明的又一个方面,提供了一种安全需求反馈方法,包括:第一CSP接收CSU发送的第一安全需求查询请求;第一CSP向CSU返回第一响应消息,其中,第一响应消息携带有用于指示第一CSP是否满足CSU的安全需求的指示信息。
优选地,安全需求包括以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及安全控制或安全条目的参数。
优选地,第一安全需求查询请求携带有必选安全需求项集合和/或可选安全需求项集合,其中,必选安全需求项集合包括CSP必须满足的安全需求项,可选安全需求项集合包括CSP选择性满足的安全需求项。
优选地,第一CSP向CSU返回第一响应消息,包括:当CSP不满足必选安全需求项集合中的一个或多个安全需求项时,CSP向CSU返回携带用于指示该CSP不满足安全需求查询请求的指示信息的响应消息;或者当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,CSP向CSU返回携带有指示该CSP不满足上述一个或多个安全需求项的原因的响应消息。
优选地,该安全需求反馈方法还包括:当CSU向第一CSP请求云服务时,第一CSP根据第一安全需求查询请求生成第二安全需求查询请求;第一CSP将第二安全需求查询请求发送给第二CSP,其中,第二CSP是一个或多个CSP;第一CSP接收第二CSP返回的第二响应消息,其中,第二响应消息携带有第二CSP是否满足第二安全需求查询请求中的安全需求的指示信息。
优选地,在第一CSP接收第二CSP返回的第二响应消息之后,该安全需求反馈方法还包括:当第二响应消息中的指示信息指示第二CSP满足第二安全查询请求中的安全需求时,第一CSP接收第二CSP根据第二安全需求查询请求提供的云服务;第一CSP按照第一安全需求查询请求中的安全需求向CSU提供云服务。
优选地,第一安全需求查询请求还携带有云服务标识,第一响应消息携带有对应于云服务标识的云服务是否满足安全需求的指示信息。
根据本发明的另一个方面,提供了另一种安全需求反馈方法,包括:CTTP接收CSU发送的安全需求查询请求,其中,安全需求查询请求用于指示CTTP向CSU返回满足CSU的安全需求的CSP的CSP标识;CTTP向CSU返回响应消息,其中,响应消息携带有CSP标识。
优选地,安全需求包括以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及安全控制或安全条目的参数。
优选地,CTTP为CSU信任的云中介和/或云审计机构。
优选地,查询请求还携带有云服务标识,响应消息携带有对应于云服务标识的云服务是否满足安全需求的指示信息。
根据本发明的又一方面,提供了一种安全需求查询装置,位于CSU侧,包括:第一发送单元,用于向CTTP发送安全需求查询请求,其中,安全需求查询请求用于指示CTTP向CSU返回满足CSU的安全需求的CSP的CSP标识;第一接收单元,用于接收CTTP返回的响应消息,其中,响应消息携带有CSP标识;第一获取单元,用于从响应消息中获取CSP标识。
优选地,第一接收单元包括:第一接收模块,用于当CSP满足必选安全需求项集合中的所有安全需求项时,接收携带该CSP对应的CSP标识的响应消息;或者第二接收模块,用于当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,接收携带有CSP不满足一个或多个安全需求项的原因的响应消息。
根据本发明的又一方面,提供了另一种安全需求查询装置,位于云计算用户CSU侧,包括:第二发送单元,用于向CSP发送安全需求查询请求;第二接收单元,用于接收CSP响应安全需求查询请求返回的响应消息,其中,响应消息携带有用于指示该CSP是否满足CSU的安全需求的指示信息;第二获取单元,用于根据响应消息获取指示信息。
优选地,第二接收单元包括:第三接收模块,用于当CSP不满足必选安全需求项集合中的一个或多个安全需求项时,接收携带有用于指示该CSP不满足安全需求查询请求的指示信息的响应消息;或者第四接收模块,用于当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,接收携带有该CSP不满足一个或多个安全需求项的原因的响应消息。
根据本发明的又一方面,提供了一种安全需求反馈装置,位于CSP侧,包括:第三接收单元,用于接收CSU发送的安全需求查询请求;第一返回单元,用于向CSU返回第一响应消息,其中,第一响应消息携带有用于指示第一CSP是否满足CSU的安全需求的指示信息。
优选地,安全需求反馈装置还包括:生成单元,用于当CSU向CSP请求云服务时,根据第一安全需求查询请求生成第二安全需求查询请求;第三发送单元,用于将第二安全需求查询请求发送给另一CSP,其中,另一CSP是一个或多个CSP;第四接收单元,用于接收另一CSP返回的第二响应消息,其中,第二响应消息携带有另一CSP是否满足第二安全需求查询请求中的安全需求的指示信息。
优选地,安全需求反馈装置还包括:第五接收单元,用于在第四接收单元接收另一CSP返回的第二响应消息后,当第二响应消息中的指示信息指示另一CSP满足第二安全查询请求中的安全需求时,接收另一CSP根据第二安全需求查询请求提供的云服务;提供单元,用于按照第一安全需求查询请求中的安全需求向CSU提供云服务。
根据本发明的又一方面,提供了另一种安全需求查询装置,位于CTTP侧,包括:第六接收单元,用于接收CSU发送的安全需求查询请求,其中,安全需求查询请求用于指示CTTP向CSU返回满足CSU的安全需求的CSP的CSP标识;第二返回单元,用于向CSU返回响应消息,其中,响应消息携带有CSP标识。
优选地,第二返回单元包括:第一返回模块,用于当CSP不满足必选安全需求项集合中的一个或多个安全需求项时,向CSU返回携带有用于指示该CSP不满足安全需求查询请求的指示信息的响应消息;或者第二返回模块,用于当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,向CSU返回携带有该CSP不满足一个或多个安全需求项的原因的响应消息。
在本发明中,CSU向CTTP发送安全需求查询请求,CTTP响应该查询请求向CSU返回满足该CSU安全需求的CSP的相关信息,从而使得CSU可以获得满足CSU安全需求的潜在可用的CSP集合,实现了对CSP的灵活选择。通过上述方式,解决了现有技术中由于CSU无法快速正确地选择满足安全需求的CSP导致CSU在使用CSP时数据的安全性下降的技术问题。实现了对CSP的灵活选择,提高了CSU在使用CSP提供的云服务时的数据的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的安全需求查询方法的一种优选流程图;
图2是根据本发明实施例的安全需求查询方法的另一种优选流程图;
图3是根据本发明实施例的安全需求查询方法的又一种优选流程图;
图4是根据本发明实施例的安全需求查询方法的又一种优选流程图;
图5是根据本发明实施例的云计算拓扑结构示意图;
图6是根据本发明实施例的安全需求查询装置的一种优选结构框图;
图7是根据本发明实施例的安全需求查询装置的另一种优选结构框图;
图8是根据本发明实施例的安全需求查询装置的又一种优选结构框图;
图9是根据本发明实施例的安全需求查询装置的又一种优选结构框图;
图10是根据本发明实施例的CSU向CTTP查询满足安全需求的CSP的交互流程图;
图11是根据本发明实施例的CSU利用云服务标识作为限定词向CTTP查询满足安全需求的CSP的交互流程图;
图12是根据本发明实施例的CSU向CSP查询CSP是否满足安全需求的交互流程图;
图13是根据本发明实施例的CSU向CSP查询CSP的云服务是否满足安全需求的交互流程图;
图14是根据本发明实施例的CSU向CTTP查询满足安全需求(包括可选安全需求项)的CSP的交互流程图;
图15是根据本发明实施例的CSU利用云服务标识作为限定词向CTTP查询满足安全需求(包括可选安全需求项)的CSP的交互流程图;
图16是根据本发明实施例的CSU向CSP查询CSP是否满足安全需求(包含可选安全需求项)的交互流程图;
图17是根据本发明实施例的CSU向CSP查询CSP的云服务是否满足安全需求(包含可选安全需求)的交互流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
针对现有技术中,云服务的应用越来越广泛,然而CSU的信息资产运行在CSP,不在CSU的直接控制下,CSU很难确定CSP是否具有足够的安全能力以及CSP所提供的安全能力是否能够正确运行。CSU无法快速正确地选择满足安全需求的CSP,从而导致CSU在使用CSP时数据的安全性难以得到保障。
为解决上述技术问题,本发明实施例提供了安全需求查询方法和反馈方法,在本方法中,CSU向CTTP发送安全需求查询请求,CTTP响应该查询请求向CSU返回满足该CSU安全需求的CSP的相关信息,从而使得CSU可以获得满足CSU安全需求的潜在可用的CSP集合,进一步的,CSU可以直接对该CSP的进行查询以确认CSP是否真正满足CSU的安全需求,可以保证选定的CSP满足CSU的其安全需求,实现简单,容易集成到现有的系统进行应用。
通过上述方式,解决了现有技术中由于CSU无法快速正确地选择满足安全需求的CSP导致CSU在使用CSP时数据的安全性下降的技术问题。
为更清楚更详细地对本发明实施例提供的安全需求查询方法和反馈方法进行阐述,现提供几个具体实施例对其进行说明。
实施例1
在本实施例中,以CSU向CTTP查询满足自身安全需求的CSP为例,本发明实施例提供了一种安全需求查询方法,如图1所示,包括:
S102:CSU向CTTP发送安全需求查询请求,其中,安全需求查询请求用于指示CTTP向CSU返回满足CSU的安全需求的CSP的CSP标识;
S104:CSU接收CTTP返回的响应消息,其中,响应消息携带有CSP标识;
S106:CSU从响应消息中获取CSP标识。
在本优选实施例中,CSU向CTTP发送安全需求查询请求,CTTP响应该查询请求向CSU返回满足该CSU安全需求的CSP的相关信息,从而使得CSU可以获得满足CSU安全需求的潜在可用的CSP集合,实现了对CSP的灵活选择。通过上述方式,解决了现有技术中由于CSU无法快速正确地选择满足安全需求的CSP导致CSU在使用CSP时数据的安全性下降的技术问题。实现了对CSP的灵活选择,提高了CSU在使用CSP提供的云服务时的数据的安全性。
对于上述的安全需求包括但不限于以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及安全控制或安全条目的参数。
CSU发送的安全需求查询请求中,可以携带有:必选安全需求项集合和/或可选安全需求项集合,其中,必选安全需求项集合包括CSP必须满足的安全需求项,可选安全需求项集合包括CSP选择性满足的安全需求项。
对应于上述的必选安全需求项集合和/或可选安全需求项集合,CTTP会根据必选安全需求项集合和/或可选安全需求项集合进行安全需求项的匹配,在一个优选实施方式中,1)当CSP满足必选安全需求项集合中的所有安全需求项时,响应消息中携带该CSP对应的CSP标识。2)当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,响应消息中携带有CSP不满足一个或多个安全需求项的原因。可选安全需求项集合中的安全项在不满足的时候,需要在响应消息中携带不满足的原因,以便通知CSU为什么该安全项不满足。
为了实现对CSP所提供的云服务是否满足CSU的安全需求进行判断,在一个优选实施方式中,查询请求中还可以携带有云服务标识。对应的,在响应消息中会携带对应于该云服务标识的云服务是否满足安全需求的指示信息。
实施例2
CSU在获得CTTP返回的满足其安全需求的CSP的CSP标识后,或者是CSU从公共认可度较高的CSP中选择一个CSP,直接向选择的CSP发送安全需求查询消息,从而确认该CSP是否真的满足CSP的安全需求。
基于上述目的,本发明实施例提供了一种安全需求查询方法,如图2所示,包括:
S202:CSU向CSP发送安全需求查询请求;
S204:CSU接收CSP返回的响应消息,其中,响应消息携带有用于指示该CSP是否满足CSU的安全需求的指示信息;
S206:CSU根据响应消息获取指示信息。
在上述优选实施方式中,CSU可以直接向选定的CSP发送安全需求查询请求,以确认该CSP是否真正满足CSU的安全需求,进一步保证选定的CSP满足CSU的安全需求,解决了现有技术中由于CSU无法快速正确地选择满足安全需求的CSP导致CSU在使用CSP时数据的安全性下降的技术问题。实现了对CSP的灵活选择,提高了CSU在使用CSP提供的云服务时的数据的安全性。
对于上述的安全需求包括但不限于以下至少之一:安全需求包括以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及安全控制或安全条目的参数。
在一个优选实施方式中,安全需求查询请求携带有必选安全需求项集合和/或可选安全需求项集合,其中,必选安全需求项集合包括CSP必须满足的安全需求项,可选安全需求项集合包括CSP选择性满足的安全需求项。
CSP在接收到上述携带有必选安全需求项集合和/或可选安全需求项集合的安全需求查询请求后,会对自身的安全项进行匹配,具体的匹配结果有两种:1)当CSP不满足必选安全需求项集合中的一个或多个安全需求项时,响应消息中携带有用于指示该CSP不满足安全需求查询请求的指示信息。2)当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,响应消息中携带有该CSP不满足上述一个或多个安全需求项的原因。
为了实现对CSP所提供的云服务是否满足CSU的安全需求进行判断,在一个优选实施方式中,查询请求中还可以携带有云服务标识。对应的,在响应消息中会携带对应于该云服务标识的云服务是否满足安全需求的指示信息。
实施例3
本发明实施例提供了一种安全需求反馈方法,在本实施例中,以CSP为执行主体进行描述,如图3所示,包括:
S302:第一CSP接收CSU发送的第一安全需求查询请求;
S304:第一CSP向CSU返回第一响应消息,其中,第一响应消息携带有用于指示第一CSP是否满足CSU的安全需求的指示信息。
在上述优选实施方式中,CSU可以直接向选定的CSP发送安全需求查询请求,以确认该CSP是否真正满足CSU的安全需求,进一步保证选定的CSP满足CSU的安全需求,解决了现有技术中由于CSU无法快速正确地选择满足安全需求的CSP导致CSU在使用CSP时数据的安全性下降的技术问题。实现了对CSP的灵活选择,提高了CSU在使用CSP提供的云服务时的数据的安全性。
上述的安全需求包括但不限于以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及安全控制或安全条目的参数。
在一个优选实施方式中,第一安全需求查询请求中携带有必选安全需求项集合和/或可选安全需求项集合,其中,必选安全需求项集合包括CSP必须满足的安全需求项,可选安全需求项集合包括CSP选择性满足的安全需求项。
第一CSP在接收到第一安全需求查询请求后,根据自身的安全项进行匹配以生成第一响应消息,在一个优选实施方式中,主要有两种方式:
1)当CSP不满足必选安全需求项集合中的一个或多个安全需求项时,CSP向CSU返回携带用于指示该CSP不满足安全需求查询请求的指示信息的响应消息;或者
2)当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,CSP向CSU返回携带有该CSP不满足上述一个或多个安全需求项的原因的的响应消息。
如果CSU认为该CSP的安全性满足自身对安全的需求时,该CSU将会从该CSP获取云服务。在实际应用中,可能会存在该第一CSP仅仅作为一个提供服务的接口,还要向其他的CSP请求服务或者是第一CSP的资源不足的时候,也可以向别的CSP请求服务,在这种情况下,第一CSP可以直接将CSU发送的安全需求查询请求发给选择的第二CSP或者是第一CSP可以生成比CSU发生的安全需求查询请求更高的安全需求的第二安全需求查询请求,将该第二安全需求查询请求发送给选择的CSP。在一个优选实施方式中,当CSU向第一CSP请求云服务时,CSP根据第一安全需求查询请求生成第二安全需求查询请求;第一CSP将第二安全需求查询请求发送给第二CSP,其中,第二CSP是一个或多个CSP;第一CSP接收第二CSP返回的第二响应消息,其中,第二响应消息携带有第二CSP是否满足第二安全需求查询请求中的安全需求的指示信息。
在第一CSP确认第二CSP提供的安全能力满足需求时,第一CSP可以从第二CSP获取云服务,然后通过从第二CSP获取的云服务向CSU提供服务。在一个优选实施方式中,在第一CSP接收第二CSP返回的第二响应消息之后,还包括:当第二响应消息中的指示信息指示第二CSP满足第二安全查询请求中的安全需求时,第一CSP接收第二CSP根据第二安全需求查询请求提供的云服务;第一CSP按照第一安全需求查询请求中的安全需求向CSU提供云服务。通过上述方式,实现了对CSP的动态分配,提高了CSU进行CSP选择的灵活性,也实现了对云计算服务的有效处理。
为了实现对CSP所提供的云服务是否满足CSU的安全需求进行判断,在一个优选实施方式中,查询请求中还可以携带有云服务标识。对应的,在响应消息中会携带对应于该云服务标识的云服务是否满足安全需求的指示信息。
实施例4
本发明实施例提供了一种安全需求反馈方法,在本实施例中,以CTTP为执行主体进行描述,如图4所示,包括:
S402:CTTP接收CSU发送的安全需求查询请求,其中,安全需求查询请求用于指示CTTP向CSU返回满足CSU的安全需求的CSP的CSP标识;
S404:CTTP向CSU返回响应消息,其中,响应消息携带有CSP标识。
在上述优选实施方式中,CTTP接收CSU发送安全需求查询请求,CTTP响应该查询请求向CSU返回满足该CSU安全需求的CSP的相关信息,从而使得CSU可以获得满足CSU安全需求的潜在可用的CSP集合,实现了对CSP的灵活选择。通过上述方式,解决了现有技术中由于CSU无法快速正确地选择满足安全需求的CSP导致CSU在使用CSP时数据的安全性下降的技术问题。实现了对CSP的灵活选择,提高了CSU在使用CSP提供的云服务时的数据的安全性。
对于上述的安全需求包括但不限于以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及安全控制或安全条目的参数。优选地,安全等级是全序集合中的一个元素。
CSU发送的安全需求查询请求中,可以携带有:必选安全需求项集合和/或可选安全需求项集合,其中,必选安全需求项集合包括CSP必须满足的安全需求项,可选安全需求项集合包括CSP选择性满足的安全需求项。
对应于上述的必选安全需求项集合和/或可选安全需求项集合,CTTP会根据必选安全需求项集合和/或可选安全需求项集合进行安全需求项的匹配,在一个优选实施方式中,1)当CSP满足必选安全需求项集合中的所有安全需求项时,响应消息中携带该CSP对应的CSP标识。2)当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,响应消息中携带有用于CSP不满足上述的一个或多个安全需求项的原因。可选安全需求项集合中的安全项在不满足的时候,需要在响应消息中携带不满足的原因,以便通知CSU为什么该安全项不满足。
为了实现对CSP所提供的云服务是否满足CSU的安全需求进行判断,在一个优选实施方式中,查询请求中还可以携带有云服务标识。对应的,在响应消息中会携带对应于该云服务标识的云服务是否满足安全需求的指示信息。
在上述各个优选实施方式中,CTTP为CSU信任的云中介和/或云审计机构。
实施例5
本发明提供了一种优选的实施例来进一步对本发明进行解释,但是值得注意的是,该优选实施例只是为了更好的描述本发明,并不构成对本发明不当的限定。
图5示出了云计算的拓扑结构示意图,包括CSU502,CSP504和CTTP506三种云计算角色,其中CTTP为CSU信任的云中介(Cloud Broker)、云审计机构(Cloud Auditor)、或者其它CSP。在NIST的云计算架构模型中,云审计机构是与CSU、CSP并列的一种云计算角色。在国际电信联盟的远程通信标准化组织(ITU Telecommunication Standardization Sector,简称ITU-T)的云计算焦点组(Focus Group on Cloud Computing,简称FGCC)的云计算架构中,云审计机构是一种云服务合作方(Cloud Service Partner,简称CSN),而CSU、CSP和CSN是FGCC架构中的三类角色。
基于上述的云计算的拓扑结构示意图,本实施例提供了几种安全需求查询装置,下面对这四种安全需求查询装置进行具体描述。
首先,位于CSU侧的安全需求查询装置如图6所示,包括:第一发送单元602,用于向CTTP发送安全需求查询请求,其中,安全需求查询请求用于指示CTTP向CSU返回满足CSU的安全需求的CSP的CSP标识;第一接收单元604,用于接收CTTP返回的响应消息,其中,响应消息携带有CSP标识;第一获取单元606,用于从响应消息中获取CSP标识。
在一个优选实施方式中,第一接收单元604包括:第一接收模块,用于当CSP满足必选安全需求项集合中的所有安全需求项时,接收携带该CSP对应的CSP标识的响应消息;或者第二接收模块,用于当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,接收携带有CSP不满足一个或多个安全需求项的原因的响应消息。
其次,位于云计算用户CSU侧的另一种安全需求查询装置,如图7所示,包括:第二发送单元702,用于向CSP发送安全需求查询请求;第二接收单元704,用于接收CSP响应安全需求查询请求返回的响应消息,其中,响应消息携带有用于指示该CSP是否满足CSU的安全需求的指示信息;第二获取单元706,用于根据响应消息获取指示信息。
在一个优选实施方式中,第二接收单元704包括:第三接收模块,用于当CSP不满足必选安全需求项集合中的一个或多个安全需求项时,接收携带有用于指示该CSP不满足安全需求查询请求的指示信息的响应消息;或者第四接收模块,用于当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,接收携带有该CSP不满足一个或多个安全需求项的原因的响应消息。
再其次,位于CSP侧的安全需求反馈装置,如图8所示,包括:第三接收单元802,用于接收CSU发送的安全需求查询请求;第一返回单元804,用于向CSU返回第一响应消息,其中,第一响应消息携带有用于指示第一CSP是否满足CSU的安全需求的指示信息。
在一个优选实施方式中,安全需求反馈装置还包括:生成单元,用于当CSU向CSP请求云服务时,根据第一安全需求查询请求生成第二安全需求查询请求;第三发送单元,用于将第二安全需求查询请求发送给另一CSP,其中,另一CSP是一个或多个CSP;第四接收单元,用于接收另一CSP返回的第二响应消息,其中,第二响应消息携带有另一CSP是否满足第二安全需求查询请求中的安全需求的指示信息。
在一个优选实施方式中,安全需求反馈装置还包括:第五接收单元,用于在第四接收单元接收另一CSP返回的第二响应消息后,当第二响应消息中的指示信息指示另一CSP满足第二安全查询请求中的安全需求时,接收另一CSP根据第二安全需求查询请求提供的云服务;提供单元,用于按照第一安全需求查询请求中的安全需求向CSU提供云服务。
在一个优选实施方式中,位于CTTP侧的安全需求反馈装置,如图9所示,包括:第六接收单元902,用于接收CSU发送的安全需求查询请求,其中,安全需求查询请求用于指示CTTP向CSU返回满足CSU的安全需求的CSP的CSP标识;第二返回单元904,用于向CSU返回响应消息,其中,响应消息携带有CSP标识。
在一个优选实施方式中,第二返回单元904包括:第一返回模块,用于当CSP不满足必选安全需求项集合中的一个或多个安全需求项时,向CSU返回携带有用于指示该CSP不满足安全需求查询请求的指示信息的响应消息;或者第二返回模块,用于当CSP满足必选安全需求项集合中的所有安全需求项,且CSP不满足可选安全需求项集合中的一个或多个安全需求项时,向CSU返回携带有该CSP不满足一个或多个安全需求项的原因的响应消息。
在考虑是否将信息资产部署在云服务上时,CSU会首先对需要云化的信息资产进行安全风险分析,分析信息资产面临安全威胁和风险,以及安全威胁和风险可能造成的影响,同时明确安全需求,特别是对CSP侧的安全需求。然后根据风险分析的结果,决定是否采用云服务。如果决定采用云服务,需要进一步细化考虑何种云计算部署模型和云服务类型。最后,CSU根据安全需求(CSP侧的安全需求),选择满足安全需求的CSP。
安全需求包括安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目、安全控制或安全条目的参数。
安全等级由CTTP(或CSP)生成,安全等级可以由CTTP综合CSP通过的信息安全评测机构和合规性评测的认证、独立第三方安全审计机构对CSP的审计结果、公开可获知的CSP遭遇的信息安全事件以及CSP客户的反馈结果多方面信息计算得出。CTTP计算信用等级的算法由CTTP决定。CTTP定期根据CSP云服务运行的安全态势更新CSP及其云服务的安全等级。当CSP通过一些重要的信息安全标准的认证后,CTTP将调高CSP及及其云服务的安全等级。当发现CSP遭遇较大的安全事件后、或独立第三方的安全审计机构的审计报告显示CSP及及其云服务的安全体系没有达到现在的安全等级时,或大量的CSP用户反馈CSP及其云服务的安全未到达用户预期时,CTTP将调低CSP及其云服务的安全等级。一旦调低CSP及其云服务的信用等级,对CSP可能导致严重的安全后果。如CSP的安全等级降低不能满足一些云计算用户的安全标准,可能导致现有的云计算用户终止与CSP的合同。
安全等级的取值范围是一个包含有限元素的全序集合。例如假如包含有限元素的全序集合为{1、2、3、4、5},则安全等级可以为1、2、3、4、5五种情况。CTTP 103可以规定信用等级数值越小,实际的信用度越高,也可以规定信用等级数值越大,实际的信用度越高。下面的实例中,假定CTTP使用1、2、3、4、5五个数字表示信用等级,数值越大,表示信用度越高
安全等级是从整体上对CSP的安全保障能力的评定。CSU的安全需求还需要考虑CSP对各个国家与地区、以及各类行业的信息安全与隐私的标准和法规的遵循程度。因此,安全需求同时规定CSP需要遵循的信息安全与隐私的标准和法规。例如,CSU可以在安全需求中要求CSP遵循的信息安全与隐私标准和法规为{国际标准化组织/国际电工委员会(International Organization for Standardization/International Electrotechnical Commission,简称ISO/IEC)的ISO/IEC 27002,萨班斯方案(SOX),健康保险携带和责任法案(Health Insurance Portability and Accountability Act,简称HIPAA),支付卡行业数据安全标准(Payment Card Industry Data Security Standard、简称PCIDSS)}
进一步地,CSU需要规定CSP对信息安全与隐私的标准和法规的安全控制(Security Controls)或安全条目的支持程度。例如,CSU可以要求CSP必须遵循某个标准或者法规中的某些安全条目。同时,对于具有可配置参数的安全条目,需要规定参数的具体值。例如,如果有一种称为SA(Security Assessment,简称SA)的安全控制,包含一个参数T,指定每隔多长时间对系统进行安全性扫描,在安全需求中,需要明确T的数值,如T设置为30,表示每隔30提案对系统进行安全性扫描。
例如,假定CSU需要使用IaaS服务提供的虚拟计算机资源,假设通过对信息资产的风险分析,CSU获得的安全需求A如下:
安全等级:4
遵循的安全标准或法案:Y,Z
需要支持的安全控制或安全条目:Y-SC1,Y-SC2,Z-SC1,Z-SC2。[X]-SC[i],表示X标准或法规的第i个安全控制
安全控制的参数:Y-SC1-p1<30,Y-SC2-p2<5,Z-SC2-p1=“中国”。[X]-SC[i]-p[j]表示X标准或法规的第i个安全控制的第j个参数。上述的Y-SC1-p1<30表示安全扫描的时间间隔需要少于30天,Y-SC2-p2<5表示补丁更新的周期少于5天,Z-SC2-p1=“中国”表示CSP的服务器的物理位置必须位于中国。
实施例6
图10示出了CSU向CTTP查询满足安全需求的CSP流程,具体步骤包括:
步骤S1002,CSU向CTTP发送查询满足安全需求的CSP查询请求,其中,该查询请求中携带有SRs,其中,SR为CSU的安全需求(Security Requirements)。
步骤S1004,CTTP向CSU返回响应消息,其中,该响应消息中携带有SoCSP(Set ofCloud Service Provider),SoCSP为满足CSU安全需求的CSP集合。
图11示出了CSU利用云服务标识作为限定词向CTTP查询满足安全需求的CSP的流程,具体步骤包括:
步骤S1102,CSU向CTTP发送查询满足安全需求的CSP的查询请求,其中,该查询请求中携带SRs、XaaSID。SR为CSU的安全需求,XaaSID为CSU希望使用的云服务的标识。
步骤S1104,CTTP对提供XaaS服务的CSP的安全能力进行查询,然后向CSU返回响应消息,该响应消息携带有SoCSP(Set of Cloud Service Provider),SoCSP为其XaaS云服务满足CSU安全需求的CSP集合。
获得满足安全需求的CSP集合后,CSU可以选择其中之一发起如图12和图13的操作。
图12示出CSU向CSP查询CSP是否满足CSU的安全需求的流程,具体步骤包括:
步骤S1202,CSU向CSP查询CSP是否满足CSU的安全需求,查询请求中携带SRs,SRs为CSU的安全需求。
步骤S1204,CSP向CSU返回响应消息,如果CSP满足CSU的安全需求,则响应消息中包含“Y”,否则响应消息中包含“N”。
图13示出了CSU利用云服务标识作为限定词向CSP查询CSP是否满足CSU对某的安全需求的流程,具体步骤包括:
步骤S1302,CSU向CSP查询CSP是否满足CSU的安全需求,查询请求中携带SRs、XaaSID。SRs为CSU的安全需求,XaaSID为云服务标识。
步骤S1304,CSP检查自己的XaaS服务是否满足CSU的安全需求,并返回响应消息,如果CSP的XaaS服务满足CSU的安全需求,响应消息中包含“Y”,否则响应消息中包含“N”。
如果CSP以及其XaaS服务均满足CSU的安全需求,则CSU将选择使用CSP的XaaS服务。否则,CSU可以从步骤S1002-S1004以及S1102-S1104中获得的CSP集合中选择一个新的CSP,重新执行图12和图13的步骤寻找满足安全需求的CSP。
实施例7
对于公共认可度较高的CSP,如Amazon、Google、Microsoft以及IBM等,或者维持着长期合作关系的CSP,如合作伙伴,CSU可能会省去步骤S1002-S1004以及步骤S1102-S1104,直接执行图12和图13所示的步骤检查CSP是否满足安全需求。
例如,假设CSP A、CSP B和CSP C都提供IaaS服务,同时他们之间建立了共享联盟,当其中某个成员的资源不足,无法向用户提供服务时,可以动态申请、使用其他成员的资源。此时,请求使用其他成员的服务提供商同时作为其他成员的云计算用户。在此种情况下,当需要动态申请使用其他成员的服务时,发起请求的成员,如CSPA,会直接将安全需求发送给其他成员,如CSP B、CSP C,查询他们是否满足安全需求,而不需要通过CTTP查询满足安全的CSP。
实施例8
一般而言,云用户的安全需求项的重要性并不相同,有些安全需求项是必须满足的,有些安全需求项是可选的。当云用户的可选的云安全需求项不能被满足时,用户也会选择使用满足其他所有必须满足的安全需求项的云服务提供商。
假定CSU在安全需求A的基础上,增加一项可选的安全需求项,Z-SC3-p1,表示CSP支持独立的第三方安全机构定期对CSP的安全性进行审计,其中的p1为进行安全审计的时间间隔。
完全的信息安全需求B,如下所示:
安全等级:4
遵循的安全标准或法案:Y,Z
需要支持的安全控制或安全条目:Y-SC1,Y-SC2,Z-SC1,Z-SC2,Z-SC3-(O),其中(O)表示此项安全需求项为可选安全需求项
安全控制的参数:Y-SC1-p1<30,Y-SC2-p2<5,Z-SC2-p1=“中国”。Z-SC3-p1<180(O),表示第三方审计的时间间隔小于180天,Z-SC3-p1=“中国”表示CSP的服务器的物理位置必须位于中国。
图10显示了CSU向CTTP查询满足安全需求的CSP流程。
步骤S1002,CSU向CTTP发送查询满足安全需求的CSP,请求中携带SRs。SR为CSU的安全需求(Security Requirements)。
步骤S1004,CTTP向CSU返回响应消息,该响应消息中携带SoCSP(Set ofCloudService Provider),其中,SoCSP为满足CSU安全需求的CSP集合。
图14示出CSU向CTTP查询满足安全需求(包括可选安全需求项)的CSP的流程,具体步骤包括:
步骤S1402,CSU向CTTP发送查询满足安全需求的CSP,请求中携带SRs,SRs为CSU的安全需求,SRs含有可选安全需求项。
步骤S1404,CTTP向CSU返回的响应消息。响应消息中包括SoCSP和可选的LoUSRIs,SoCSP为其XaaS云服务满足CSU的必选安全需求项的CSP集合。LoUSRIs(List of UnmatchedSecurity Requirement Items)为USRIs(Unmatched Security Items)列表。每个属于SoCSP但不满足CSU可选安全需求项的CSP,都绑定一个USRIs,USRIs包括CSP标识、针对每个不支持的可选安全需求项的解释和描述信息。假设对于CSU的安全需求B,没有CSP满足其所有的必选和可选安全需求,但是有两个CSP满足其必选安全需求,但是不满足其安全需求,返回的SoCSP为{csp1,csp2}。LoUSRIs为包含两个USRIs元素的列表。第一个USRIs元素的信息为(csp1,Z-SC3 Unsupported)表示csp1不知安全控制Z-SC3,即csp1不支持第三方审计机构对其进行安全评估。第二个USRIs元素的信息为(csp2,Z-SC3<360)表示csp2支持第三方审计机构对其进行安全评估,但是每隔1年进行一次安全审计,参数不符合CSU的安全需求。经过比较,CSU会觉得csp2更符合安全需求。
图15与图14类似,差别是利用云服务标识作为限定词。
图16示出了CSU向CSP查询CSP是否满足安全需求(包含可选安全需求项)的流程,具体步骤包括:
步骤S1602,CSU向CSP查询CSP是否满足CSU的安全需求,请求中携带SRs,SRs为CSU的安全需求,包含可选安全需求。
步骤S1604,CSP向CSU返回响应消息,如果CSP满足CSU的安全需求,响应消息中包含“Y”,否则响应消息中包含“N”。可选的,如果CSP满足所有必选的安全需求,但不满足可选安全需求,响应消息中包含USRIs。
图17与图16类似,差别是利用云服务标识作为限定词。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
从以上的描述中,可以看出,本发明实现了如下技术效果:
CSU向CTTP发送安全需求查询请求,CTTP响应该查询请求向CSU返回满足该CSU安全需求的CSP的相关信息,从而使得CSU可以获得满足CSU安全需求的潜在可用的CSP集合,实现了对CSP的灵活选择。通过上述方式,解决了现有技术中由于CSU无法快速正确地选择满足安全需求的CSP导致CSU在使用CSP时数据的安全性下降的技术问题。实现了对CSP的灵活选择,提高了CSU在使用CSP提供的云服务时的数据的安全性。进一步的,CSU可以直接对该CSP的进行查询以确认CSP是否真正满足CSU的安全需求,可以保证选定的CSP满足CSU的其安全需求,实现简单,容易集成到现有的系统进行应用。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (23)

1.一种安全需求查询方法,其特征在于,包括:
云计算用户CSU向云计算可信第三方CTTP发送安全需求查询请求,其中,所述安全需求查询请求用于指示所述CTTP向所述CSU返回满足所述CSU的安全需求的CSP的CSP标识;
所述CSU接收所述CTTP返回的响应消息,其中,所述响应消息携带有所述CSP标识;
所述CSU从所述响应消息中获取所述CSP标识;
其中,所述安全需求查询请求携带有必选安全需求项集合和/或可选安全需求项集合,其中,所述必选安全需求项集合包括所述CSP必须满足的安全需求项,所述可选安全需求项集合包括CSP选择性满足的安全需求项。
2.根据权利要求1所述的方法,其特征在于,所述安全需求包括以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及所述安全控制或所述安全条目的参数。
3.根据权利要求1所述的方法,其特征在于,
当CSP满足所述必选安全需求项集合中的所有安全需求项时,所述响应消息中携带该CSP对应的CSP标识;或者
当所述CSP满足所述必选安全需求项集合中的所有安全需求项,且所述CSP不满足所述可选安全需求项集合中的一个或多个安全需求项时,所述响应消息中携带有所述CSP不满足所述一个或多个安全需求项的原因。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述查询请求还携带有云服务标识,所述响应消息携带有对应于所述云服务标识的云服务是否满足所述安全需求的指示信息。
5.一种安全需求查询方法,其特征在于,包括:
云计算用户CSU向云计算服务提供商CSP发送安全需求查询请求;
所述CSU接收所述CSP响应所述安全需求查询请求返回的响应消息,其中,所述响应消息携带有用于指示该CSP是否满足所述CSU的安全需求的指示信息;
所述CSU根据所述响应消息获取所述指示信息;
其中,所述安全需求查询请求携带有必选安全需求项集合和/或可选安全需求项集合,其中,所述必选安全需求项集合包括所述CSP必须满足的安全需求项,所述可选安全需求项集合包括所述CSP选择性满足的安全需求项。
6.根据权利要求5所述的方法,其特征在于,所述安全需求包括以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及所述安全控制或所述安全条目的参数。
7.根据权利要求6所述的方法,其特征在于,
当所述CSP不满足所述必选安全需求项集合中的一个或多个安全需求项时,所述响应消息中携带有用于指示该CSP不满足所述安全需求查询请求的指示信息;或者
当所述CSP满足所述必选安全需求项集合中的所有安全需求项,且所述CSP不满足所述可选安全需求项集合中的一个或多个安全需求项时,所述响应消息中携带有该CSP不满足所述一个或多个安全需求项的原因。
8.根据权利要求5至7任一项所述的方法,其特征在于,所述查询请求还携带有云服务标识,所述响应消息携带有对应于所述云服务标识的云服务是否满足所述安全需求的指示信息。
9.一种安全需求反馈方法,其特征在于,包括:
第一云计算服务提供商CSP接收云计算用户CSU发送的第一安全需求查询请求;
第一CSP向所述CSU返回第一响应消息,其中,所述第一响应消息携带有用于指示所述第一CSP是否满足所述CSU的安全需求的指示信息;
其中,所述第一安全需求查询请求携带有必选安全需求项集合和/或可选安全需求项集合,其中,所述必选安全需求项集合包括所述CSP必须满足的安全需求项,所述可选安全需求项集合包括所述CSP选择性满足的安全需求项。
10.根据权利要求9所述的方法,其特征在于,所述安全需求包括以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及所述安全控制或所述安全条目的参数。
11.根据权利要求9所述的方法,其特征在于,所述第一CSP向所述CSU返回第一响应消息,包括:
当所述CSP不满足所述必选安全需求项集合中的一个或多个安全需求项时,所述CSP向所述CSU返回携带用于指示该CSP不满足所述安全需求查询请求的指示信息的响应消息;或者
当所述CSP满足所述必选安全需求项集合中的所有安全需求项,且所述CSP不满足所述可选安全需求项集合中的一个或多个安全需求项时,所述CSP向所述CSU返回携带有该CSP不满足所述一个或多个安全需求项的原因的响应消息。
12.根据权利要求9至11任一项所述的方法,其特征在于,还包括:
当所述CSU向所述第一CSP请求云服务时,所述第一CSP根据所述第一安全需求查询请求生成第二安全需求查询请求;
所述第一CSP将所述第二安全需求查询请求发送给第二CSP,其中,所述第二CSP是一个或多个CSP;
所述第一CSP接收所述第二CSP返回的第二响应消息,其中,所述第二响应消息携带有所述第二CSP是否满足所述第二安全需求查询请求中的安全需求的指示信息。
13.根据权利要求12所述的方法,其特征在于,在所述第一CSP接收所述第二CSP返回的第二响应消息之后,还包括:
当所述第二响应消息中的指示信息指示所述第二CSP满足第二安全查询请求中的安全需求时,所述第一CSP接收所述第二CSP根据所述第二安全需求查询请求提供的云服务;
所述第一CSP按照所述第一安全需求查询请求中的安全需求向所述CSU提供云服务。
14.根据权利要求9至11任一项所述的方法,其特征在于,所述第一安全需求查询请求还携带有云服务标识,所述第一响应消息携带有对应于所述云服务标识的云服务是否满足所述安全需求的指示信息。
15.一种安全需求反馈方法,其特征在于,包括:
云计算可信第三方CTTP接收云计算用户CSU发送的安全需求查询请求,其中,所述安全需求查询请求用于指示所述CTTP向所述CSU返回满足所述CSU的安全需求的云计算服务提供商CSP的CSP标识;
所述CTTP向所述CSU返回响应消息,其中,所述响应消息携带有所述CSP标识;
其中,所述安全需求查询请求携带有必选安全需求项集合和/或可选安全需求项集合,其中,所述必选安全需求项集合包括所述CSP必须满足的安全需求项,所述可选安全需求项集合包括CSP选择性满足的安全需求项。
16.根据权利要求15所述的方法,其特征在于,所述安全需求包括以下至少之一:安全等级、信息安全与隐私标准和法规、信息安全与隐私标准和法规中的安全控制或安全条目以及安全控制或安全条目的参数。
17.根据权利要求15任一项所述的方法,其特征在于,所述的CTTP为所述CSU信任的云中介和/或云审计机构。
18.根据权利要求15至17任一项所述的方法,其特征在于,所述查询请求还携带有云服务标识,所述响应消息携带有对应于所述云服务标识的云服务是否满足所述安全需求的指示信息。
19.一种安全需求查询装置,其特征在于,位于云计算用户CSU侧,包括:
第一发送单元,用于向云计算可信第三方CTTP发送安全需求查询请求,其中,所述安全需求查询请求用于指示所述CTTP向所述CSU返回满足所述CSU的安全需求的云计算服务提供商CSP的CSP标识;
第一接收单元,用于接收所述CTTP返回的响应消息,其中,所述响应消息携带有所述CSP标识;
第一获取单元,用于从所述响应消息中获取所述CSP标识;
其中,所述第一接收单元包括:第一接收模块,用于当CSP满足必选安全需求项集合中的所有安全需求项时,接收携带该CSP对应的CSP标识的响应消息;或者第二接收模块,用于当所述CSP满足必选安全需求项集合中的所有安全需求项,且所述CSP不满足可选安全需求项集合中的一个或多个安全需求项时,接收携带有所述CSP不满足所述一个或多个安全需求项的原因的响应消息。
20.一种安全需求查询装置,其特征在于,位于云计算用户CSU侧,包括:
第二发送单元,用于向云计算服务提供商CSP发送安全需求查询请求;
第二接收单元,用于接收所述CSP响应所述安全需求查询请求返回的响应消息,其中,所述响应消息携带有用于指示该CSP是否满足所述CSU的安全需求的指示信息;
第二获取单元,用于根据所述响应消息获取所述指示信息;
其中,所述第二接收单元包括:第三接收模块,用于当所述CSP不满足必选安全需求项集合中的一个或多个安全需求项时,接收携带有用于指示该CSP不满足所述安全需求查询请求的指示信息的响应消息;或者第四接收模块,用于当所述CSP满足必选安全需求项集合中的所有安全需求项,且所述CSP不满足可选安全需求项集合中的一个或多个安全需求项时,接收携带有该CSP不满足所述一个或多个安全需求项的原因的响应消息。
21.一种安全需求反馈装置,其特征在于,位于云计算服务提供商CSP侧,包括:
第三接收单元,用于接收云计算用户CSU发送的第一安全需求查询请求;
第一返回单元,用于向所述CSU返回第一响应消息,其中,所述第一响应消息携带有用于指示第一CSP是否满足所述CSU的安全需求的指示信息;
生成单元,用于当所述CSU向所述CSP请求云服务时,根据所述第一安全需求查询请求生成第二安全需求查询请求;
第三发送单元,用于将所述第二安全需求查询请求发送给另一CSP,其中,所述另一CSP是一个或多个CSP;
第四接收单元,用于接收所述另一CSP返回的第二响应消息,其中,所述第二响应消息携带有所述另一CSP是否满足所述第二安全需求查询请求中的安全需求的指示信息。
22.根据权利要求21所述的装置,其特征在于,还包括:
第五接收单元,用于在第四接收单元接收所述另一CSP返回的第二响应消息后,当所述第二响应消息中的指示信息指示所述另一CSP满足第二安全查询请求中的安全需求时,接收所述另一CSP根据所述第二安全需求查询请求提供的云服务;
提供单元,用于按照所述第一安全需求查询请求中的安全需求向所述CSU提供云服务。
23.一种安全需求反馈装置,其特征在于,位于云计算可信第三方CTTP侧,包括:
第六接收单元,用于接收云计算用户CSU发送的安全需求查询请求,其中,所述安全需求查询请求用于指示所述CTTP向所述CSU返回满足所述CSU的安全需求的云计算服务提供商CSP的CSP标识;
第二返回单元,用于向所述CSU返回响应消息,其中,所述响应消息携带有所述CSP标识;
其中,所述第二返回单元包括:第一返回模块,用于当所述CSP不满足必选安全需求项集合中的一个或多个安全需求项时,向所述CSU返回携带有用于指示该CSP不满足所述安全需求查询请求的指示信息的响应消息;或者第二返回模块,用于当所述CSP满足必选安全需求项集合中的所有安全需求项,且所述CSP不满足可选安全需求项集合中的一个或多个安全需求项时,向所述CSU返回携带有该CSP不满足所述一个或多个安全需求项的原因的响应消息。
CN201210084418.6A 2012-03-27 2012-03-27 安全需求查询方法、反馈方法和装置 Active CN103368983B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210084418.6A CN103368983B (zh) 2012-03-27 2012-03-27 安全需求查询方法、反馈方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210084418.6A CN103368983B (zh) 2012-03-27 2012-03-27 安全需求查询方法、反馈方法和装置

Publications (2)

Publication Number Publication Date
CN103368983A CN103368983A (zh) 2013-10-23
CN103368983B true CN103368983B (zh) 2019-02-19

Family

ID=49369520

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210084418.6A Active CN103368983B (zh) 2012-03-27 2012-03-27 安全需求查询方法、反馈方法和装置

Country Status (1)

Country Link
CN (1) CN103368983B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109150976A (zh) * 2018-07-23 2019-01-04 中国科学院计算机网络信息中心 提供安全服务的方法、装置及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101147130A (zh) * 2005-03-23 2008-03-19 国际商业机器公司 选择资源管理器以满足服务请求
CN102255933A (zh) * 2010-05-20 2011-11-23 中兴通讯股份有限公司 云服务中介、云计算方法及云系统
CN102316157A (zh) * 2010-07-09 2012-01-11 Sap股份公司 通过经纪进行的云计算结构

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1913701A (zh) * 2005-08-08 2007-02-14 北京三星通信技术研究有限公司 移动通信系统中为不同用户提供不同安全等级业务的方法
CN101170811B (zh) * 2006-10-24 2010-09-01 中兴通讯股份有限公司 通用引导体系中安全等级的协商方法
CN101188492B (zh) * 2006-11-17 2010-08-18 中兴通讯股份有限公司 实现安全业务的系统和方法
CN101227277B (zh) * 2007-01-15 2010-09-29 中兴通讯股份有限公司 一种基于wap1.2网关实现端到端的安全的系统及其方法
CN101867496A (zh) * 2009-04-14 2010-10-20 西门子(中国)有限公司 一种安全服务的服务质量的检测方法
BRPI1013062A2 (pt) * 2009-05-19 2016-04-05 Security First Corp sistemas e métodos para proteger dados na nuvem

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101147130A (zh) * 2005-03-23 2008-03-19 国际商业机器公司 选择资源管理器以满足服务请求
CN102255933A (zh) * 2010-05-20 2011-11-23 中兴通讯股份有限公司 云服务中介、云计算方法及云系统
CN102316157A (zh) * 2010-07-09 2012-01-11 Sap股份公司 通过经纪进行的云计算结构

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
云计算安全研究;冯登国等;《软件学报》;20110131;第22卷(第01期);第75-79页

Also Published As

Publication number Publication date
CN103368983A (zh) 2013-10-23

Similar Documents

Publication Publication Date Title
CN104243154B (zh) 服务器用户权限集中控制系统及方法
CN109819061A (zh) 一种在云系统中处理云服务的方法、装置和设备
CN105450581B (zh) 权限控制的方法和装置
US9325711B2 (en) Apparatus and data processing systems for accessing an object
CN103164416A (zh) 一种用户关系的识别方法及设备
CN110020934A (zh) 一种电子税务局系统
CN105243559A (zh) 客户分配方法及装置
CN107527222B (zh) 信息处理方法和装置及系统
CN105049246B (zh) 一种集团用户管理服务方法和系统
CN109670968A (zh) 保险数据的处理方法、装置、设备及计算机存储介质
US11489819B2 (en) Method and system for private identity verification
CN109960904A (zh) 业务系统管理方法、管理服务器、用户终端和管理系统
CN110198530A (zh) 免流量服务的调度处理方法、装置、设备及存储介质
CN108352010A (zh) 用于管理认证服务客户数据的方法和系统
CN106657112A (zh) 一种认证方法和装置
Moghadasi et al. Cloud computing auditing
CN108961034A (zh) 基于用户行为认证的系统和方法、存储介质
Balcerzak et al. Press F1 for help: participatory design for dealing with on-line and real life security of older adults
CN107301349A (zh) 一种数据库访问控制方法及系统
CN103368983B (zh) 安全需求查询方法、反馈方法和装置
CN106878455A (zh) 一种基于互联网的服务信息的获取方法和服务器
CN113194143A (zh) 一种区块链账户的创建方法、装置及电子设备
CN104517174A (zh) 一种统一凭证平台及其处理方法
CN110378494A (zh) 远程面签方法、装置、存储介质及计算机设备
CN110428299A (zh) 一种基于移动互联网的社交o2o共享系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant