CN103563294A

CN103563294A - 用于云计算平台安全性的认证和授权方法

Info

Publication number: CN103563294A
Application number: CN201280026313.3A
Authority: CN
Inventors: D·Y·常; M·本纳塔; J·Y-C·常; V·温卡塔拉玛帕
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2011-06-30
Filing date: 2012-06-26
Publication date: 2014-02-05
Anticipated expiration: 2032-06-26
Also published as: US20130007845A1; GB2506564B; GB201401348D0; US20150007274A1; US8769622B2; DE112012002741T5; GB2506564A; CN103563294B; WO2013000080A1; US9288214B2

Abstract

用于云计算环境的认证和授权插件模型使得云客户能够在将他们的应用部署在云中时保留对他们的企业信息的控制。云服务提供商提供了用于客户安全模块的可插拔接口。当客户部署应用时，云环境管理员为客户的应用和数据分配资源组（例如处理器、存储器和贮存器）。客户向云安全服务注册其自己的认证和授权安全模块，并且该安全模块然后用于控制什么人或实体可访问与部署的应用相关联的信息。然而，云环境管理员一般没有在客户安全模块内注册（作为许可用户）；因此，云环境管理员无法访问（或释放给其它方或云的通用资源池）分配给云客户的资源（即使管理员自己分配了这些资源）或相关联的业务信息。为了进一步均衡各方的权限，第三方公证人服务在客户的应用和信息被部署在云中时保护客户的隐私和访问权限。

Description

用于云计算平台安全性的认证和授权方法

技术领域

本公开内容总体上涉及在资源以可配置计算资源的共享池为宿主的环境中确保业务信息的完整性、保密性和隐私性。

背景技术

用户认证是服务提供商提供的确保访问资源（例如应用、网页内容等）的用户被授权这样做的一种功能。为了确保用户不是冒充者，服务提供商（例如网络服务器）通常询问用户的用户名和密码，以在授权对资源的访问之前证明身份。单点登录（SSO）是使得用户能够认证一次（例如提供用户名和密码）并跨多个系统获得对软件资源的访问的访问控制机制。一般，SSO系统使得用户能够访问企业或组织内的资源。联合单点登录（F-SSO）跨多个企业扩展了单点登录的概念，因此在不同组织和企业之间建立了合作关系。F-SSO系统一般包括允许一个企业（例如身份提供商）向另一企业（例如服务提供商）提供用户的身份和其它属性的应用级协议。

新兴的信息技术（IT）传送模型是云计算，利用该云计算，根据需求经由因特网向计算机和其它设备提供共享资源、软件和信息。云计算可以显著降低IT成本和复杂度，同时改进工作负载优化和服务传送。利用该方法，应用实例可以以经由HTTP通过传统的网络浏览器可访问的基于因特网的资源为宿主，并可从这些基于因特网的资源可获得。

尽管云计算提供了许多优点，但数据安全性是主要关注。特别地，期望在云环境内部署其企业应用的公司经常保持并管理与这种应用相关联的重要业务信息。当在云中部署这些应用时，该重要业务信息必然暴露给云计算服务提供商。结果，该业务信息处于风险中，因为云计算环境根据其本质将信息置于云计算服务提供商的管理控制内。尽管可能存在技术和法律保护，但无法绝对确保业务信息的完整性、保密性和隐私性。仅作为一个示例场景，如果云服务提供商被获取，则企业业务信息会暴露给第三方，甚至是潜在竞争者。这是不合理的。

直到云提供商的客户能确信他们能对他们的业务信息保持安全控制为止，他们将在云计算环境中部署他们的重要业务应用方面犹豫不决。本公开内容的主题解决该问题。

发明内容

该公开内容描述了用于云计算环境的认证和授权插件模型，使得当云客户在云中部署应用和他们的企业信息时能够保持对该信息的控制。为此，云服务提供商使得企业客户能够（例如通过插件服务）插入（到环境）并且使用客户自己的认证和授权安全模块。

云服务提供商具有云环境管理员，该云环境管理员为向云环境部署应用的客户分配资源组。当客户部署应用时，云环境管理员为客户的应用和数据分配资源组（例如处理器、存储器和贮存器）。客户利用云安全服务注册其认证和授权安全模块，并且该安全模块然后用于控制什么人或实体能访问与部署的应用相关联的信息。然而，云环境管理员没有在客户的安全模块内注册（作为许可用户）；因此，云环境管理员无法访问（或释放给其它方或云的通用资源池）分配给云客户的资源（即使管理员自己分配了这些资源）或相关联的业务信息。

插件安全模型确保企业客户的信息是安全的。为了帮助该方法，提供第三方公证服务作为企业客户与云提供商之间的中介。第三方公证服务可与一个或更多个云提供商相关联，但是它是不受云提供商控制的不同且独立的实体。公证人可以是政府实体、私有实体、公共实体等。公证人用作能证明（优选地以自动的方式）客户、云提供商和第三方公证服务之间的协定的证明人（或更一般的，授权第三方）。除其它规定外，该协定还提供了分配给云客户的资源组或多个资源组（即云资源）仅可在特定情况下被释放以由另一客户使用。一个示例情况是云环境管理员和云客户管理员两者均登录以核准释放，进一步条件是在这种释放之前擦除内容（例如客户的业务信息）。另一示例情况是接收许可公证用户和云环境管理员的登录，这可能在客户违背根据云服务协定的一些义务的情况下出现。然而，即使在此场景中，资源组的释放的条件是擦除（现在之前的）客户的信息。该方法确保云环境管理员无法单方面收回分配给客户的资源和/或查看客户敏感的信息，即使在客户违反了服务协定并且要终止客户的情况下也是如此。

上文概述了本发明的更相关特征中的一些。这些特征应被解释为仅是例示性的。通过如将要描述的以不同方式应用所公开的发明或通过修改本发明，可获得许多其它有益效果。

附图说明

为了更完全地理解本发明及其优点，现在结合附图参照以下描述，其中：

图1描绘可实现说明性实施例的示例性方面的分布式数据处理环境的示例性框图；

图2是可实现说明性实施例的示例性方面的数据处理系统的示例性框图；

图3是图示公知的联合单点登录（F-SSO，Federated SingleSign-On）技术的示例性框图；

图4描绘根据本发明的实施例的可实现身份提供者发现处理的云计算环境的抽象模型层；

图5是图示分配给部署的客户应用的云资源和公知云计算环境的示例性框图；

图6图示根据本公开内容的确保客户数据的云计算平台安全性的认证和授权模型；

图7图示根据本公开内容的如何将特定于客户的认证和授权模型插入到云架构中；

图8图示公证服务如何与云租户和云提供商进行交互以帮助形成对资源组的安全的、电子的和不可否认的租约；以及

图9图示系统的典型使用场景。

具体实施方式

现在参照附图，特别参照图1-2，提供了可实现本公开内容的说明性实施例的数据处理环境的示例性图。应该理解，图1-2仅是示例性的，并不是旨在声称或暗示关于可实现所公开的主题的方面或实施例的环境的任何限制。在不脱离本发明的精神和范围的情况下，可对描绘的环境做出许多修改。

客户端-服务器模型

现在参照附图，图1描绘可实现说明性实施例的方面的示例性分布式数据处理系统的图形表示。分布式数据处理系统100可包括可实现说明性实施例的方面的计算机网络。分布式数据处理系统100包含至少一个网络102，网络102是用于在分布式数据处理系统100内连接在一起的各种设备与计算机之间提供通信链路的介质。网络102可包括诸如有线、无线通信链路或光纤光缆的连接。

在描绘的示例中，服务器104和服务器106与存储单元108一起连接到网络102。此外，客户端110、112和114也连接到网络102。这些客户端110、112和114例如可以是个人计算机、网络计算机等。在描绘的示例中，服务器104向客户端110、112和114提供数据，例如引导文件、操作系统映像和应用。在描绘的示例中，客户端110、112和114是服务器104的客户端。分布式数据处理系统100可包括未示出的附加服务器、客户端和其它设备。

在描绘的示例中，分布式数据处理系统100是具有网络102的因特网，该网络102表示使用传输控制协议/因特网协议（TCP/IP）的协议套件彼此进行通信的世界范围的网络和网关的集合。因特网的中心是主节点或主计算机之间的高速数据通信线路的骨干，由对数据和消息进行路由的成千上万的商业、政府、教育和其它计算机系统构成。当然，分布式数据处理系统100也可被实现为包括许多不同类型的网络，例如内联网、局域网（LAN）、广域网（WAN）等。如上所述，图1旨在作为示例，而不是作为所公开的主题的不同实施例的架构限制，因此，图1中示出的特定部件不应被视为对可实现本发明的说明性实施例的环境的限制。

现在参照图2，示出了可实现说明性实施例的数据处理系统的框图。数据处理系统200是诸如图1中的服务器104或客户端110的计算机的示例，在该计算机中针对说明性实施例可存在实现处理的计算机可用程序代码或指令。在该说明性示例中，数据处理系统200包括通信组织202，该通信组织202在处理器单元204、贮存器206、持久存储器208、通信单元210、输入/输出（I/O）单元212和显示器214之间提供通信。

处理器单元204用于运行可加载到贮存器206的软件指令。根据特定实现方式，处理器单元204可以是一个或更多个处理器的集合，或者可以是多处理器内核。另外，处理器单元204可使用一个或更多个异构处理器系统来实现，在异构处理器系统中，主处理器与次级处理器一起存在于单个芯片上。作为另一说明性示例，处理器单元204可以是包含同一类型的多个处理器的对称多处理器（SMP）系统。

贮存器206和持久存储器208是存储设备的示例。存储设备是能够暂时和/或永久存储信息的任意硬件。在这些示例中，贮存器206例如可以是随机存取贮存器或者任意其它合适的易失性或非易失性存储设备。根据特定实现方式，持久存储器208可采用各种形式。例如，持久存储器208可包含一个或更多个组件或设备。例如，持久存储器208可以是硬盘驱动器、闪存、可重写光盘、可重写磁带或上述的一些组合。持久存储器208使用的介质也可以是可移除的。例如，可移除硬盘驱动器可用于持久存储器208。

在这些示例中，通信单元210提供与其它数据处理系统或设备的通信。在这些示例中，通信单元210是网络接口卡。通信单元210可通过使用物理和无线通信链路中的任一个或二者来提供通信。

输入/输出单元212允许与可连接到数据处理系统200的其它设备进行数据的输入和输出。例如，输入/输出单元212可通过键盘和鼠标提供用于用户输入的连接。另外，输入/输出单元212可向打印机发送输出。显示器214提供向用户显示信息的机构。

用于操作系统和应用或程序的指令位于持久存储器208上。这些指令可加载到贮存器206以被处理器单元204运行。可由处理器单元204使用计算机实现的指令来执行不同实施例的处理，其中计算机实现的指令可位于诸如贮存器206的贮存器中。这些指令被称为可由处理器单元204中的处理器读取并运行的程序代码、计算机可用程序代码或计算机可读程序代码。不同实施例中的程序代码可被实施在诸如贮存器206或持久存储器208的不同物理或有形计算机可读介质上。

程序代码216以功能形式位于选择性地可移除的计算机可读介质218上，并且可被加载到或传送到数据处理系统200以被处理器单元204运行。在这些示例中，程序代码216和计算机可读介质218形成计算机程序产品220。在一个示例中，计算机可读介质218可以是有形形式，例如光盘或磁盘，该光盘或磁盘被插入或放置到作为持久存储器208的一部分的驱动器或其它设备中，以便传送到诸如作为持久存储器208的一部分的硬盘驱动器的存储设备上。以有形形式，计算机可读介质218也可采用持久存储器的形式，例如连接到数据处理系统200的硬盘驱动器、拇指驱动器（thumb drive）或闪存。计算机可读介质218的有形形式也被称为计算机可记录存储介质。在一些情况下，计算机可记录介质218可以不是可移除的。

替选地，程序代码216可通过与通信单元210的通信链路和/或通过与输入/输出单元212的连接从计算机可读介质218传送到数据处理系统200。在说明性示例中，通信链路和/或连接可以是物理的或无线的。计算机可读介质也可采用非有形介质的形式，例如包含程序代码的通信链路或无线传输。针对数据处理系统200说明的不同组件并不意味着对可实现不同实施例的方式提供架构限制。不同的说明性实施例可在如下数据处理系统中实现，该数据处理系统包括附加到或替换针对数据处理系统200说明的组件的组件。图2中所示的其它组件可与所示的说明性示例不同。作为一个示例，数据处理系统200中的存储设备是可存储数据的任意硬件装置。贮存器206、持久存储器208和计算机可读介质218是有形形式的存储设备的示例。

在另一示例中，总线系统可用于实现通信组织202，并且可包括一条或更多条总线，例如系统总线或输入/输出总线。当然，可使用在附连到总线系统的不同组件或设备之间提供数据传送的任意合适类型的架构来实现总线系统。另外，通信单元可包括用于发送和接收数据的一个或更多个设备，例如调制解调器或网络适配器。另外，例如，贮存器可以是例如在可存在于通信组织202中的接口和贮存器控制器集线器中发现的贮存器206或高速缓存。

用于执行本发明的操作的计算机程序代码可以用一种或更多种编程语言的任意组合编写，编程语言包括面向对象的编程语言（例如Java、Smalltalk、C++等）、和传统的过程编程语言（例如“C”编程语言或类似的编程语言）。程序代码可全部运行在用户的计算机上、部分运行在用户的计算机上，作为单独的软件封包，部分地运行在用户的计算机上并且部分地运行在远程计算机上，或者全部运行在远程计算机或服务器上。在后一场景下，远程计算机可通过任意类型的网络（包括局域网（LAN）或广域网（WAN））连接到用户的计算机，或者可连接到外部计算机（例如，通过使用因特网服务提供商的因特网）。

本领域技术人员将理解，图1-2中的硬件可根据实现方式而变化。除了图1-2中描绘的硬件以外，还可以使用其它内部硬件或外设，例如闪存、等同的非易失性存储器或光盘驱动器等，或者可以使用其它内部硬件或外设来代替图1-2中描绘的硬件。而且，在不偏离所公开的主题的精神和范围的情况下，可将说明性实施例的处理应用于除之前提到的SMP系统之外的多处理器数据处理系统。

诸如图1所示的标准客户端-服务器模式是这样的模式，在该模式中客户端机器与运行在一个或更多个机器的集合上的因特网可访问的基于网页的门户网站进行通信。特别地，终端用户操作能够访问门户网站并与门户网站进行交互的因特网可连接设备（例如桌上型计算机、笔记本电脑、因特网使能的移动设备等）。一般，每个客户端或服务器机器是诸如图2中所示的包括硬件和软件的数据处理系统，并且这些实体经由诸如因特网、内联网、外联网、专有网络或者任何其它通信介质或链路的网络彼此进行通信。数据处理系统一般包括一个或更多个处理器、操作系统、一个或更多个应用和一个或更多个实用工具。数据处理系统上的应用提供对Web服务的本地支持，包括但不限于对HTTP、SOAP、XML、WSDL、UDDI和WSFL等的支持。关于SOAP、WSDL、UDDI和WSFL的信息可从万维网联盟（W3C）获得，W3C负责开发并维护这些标准；关于HTTP和XML的其它信息可从因特网工程任务组（IETF）获得。假设熟悉了这些标准。

作为附加的背景，如在本文中使用的，“断言”提供某个动作的间接证据。断言可提供身份、认证、属性、授权决策或其它信息和/或操作的间接证据。认证断言提供由不是认证服务但是监听认证服务的实体进行的认证的间接证据。如现有技术中已知的，安全断言标记语言（SAML）断言是可与本发明一起使用的可能断言格式的示例。SAML已由作为非盈利全球组织的结构化信息标准推动组织（OASIS）颁布。在“Assertion and Protocol for the OASIS Security AssertionMarkup Language(SAML)”,Committee Specification01,05/31/2002中对SAML进行了如下描述。

安全断言标记语言（SAML）是用于交换安全信息的基于XML的框架。该安全信息以关于主体的断言形式来表达，其中主体是具有某个安全域中的身份的实体（人或计算机）。主体的典型示例是人，该人由他或她在特定因特网DNS域中的电子邮件地址来标识。断言可传达关于由主体执行的认证动作的信息、主体的属性、和关于是否允许主体访问特定资源的授权决策。断言被表示为XML构造并且具有嵌套结构，由此单个断言可包含关于认证、授权和属性的若干不同的内部语句。注意，包含认证语句的断言仅描述之前发生的认证的动作。断言由SAML权威机构，即认证权威机构、属性权威机构和策略决策点来发布。SAML定义如下协议，通过该协议，客户端可从SAML权威机构请求断言并从SAML权威机构获得响应。由基于XML的请求和响应消息格式组成的该协议可绑定到许多不同的基础通信和传输协议；SAML当前定义了一个经由HTTP到SOAP的绑定。SAML权威机构可在创建其响应时使用诸如外部策略库的各种信息源和在请求中作为输入接收的断言。因此，尽管客户端总是消费断言，但SAML权威机构可以是断言的生产者和消费者。

SAML规范说明了断言是提供由发布者做出的一个或更多个语句的信息的封装。SAML允许发布者做出三种不同类型的断言语句：认证，其中规定的主体在特定时间通过特定方式被认证；授权，其中允许规定的主体访问规定的资源的请求已被授权或拒绝；以及属性，其中规定的主体与提供的属性相关联。

认证是证实由用户或用户代表提供的证书集合的处理。通过验证用户知道的某事、用户具有的某物或用户是什么（即，关于用户的某些物理特性）来完成认证。用户知道的某事可包括共享秘密，例如用户的密码，或者通过验证仅特定用户知道的某事，例如用户的加密密钥。用户具有的某物可包括智能卡或硬件令牌。关于用户的某些物理特性可包括生物特征输入，例如指纹或视网膜图。应该注意，用户一般（但不一定）是自然人；用户可以是使用计算资源的机器、计算设备或其它类型的数据处理系统。还应注意，用户一般（但不一定）处理单个唯一标识符；在某些场景中，多个唯一标识符可与单个用户相关联。

认证证书是在各种认证协议中使用的挑战/响应信息的集合。例如，用户名和密码组合是认证证书的最熟悉形式。其它形式的认证证书可包括各种形式的挑战/响应信息、公钥架构（PKI）证书、智能卡、生物识别等。认证证书有别于认证断言：认证证书由用户呈现为具有认证服务器或服务的认证协议序列的一部分，而认证断言是关于用户的认证证书的成功呈现和有效性的语句，该语句随后在需要时在实体之间传送。

联合SSO

单点登录（SSO）是使得用户能够认证一次（例如通过提供用户名和密码）并获得对跨多个系统的软件资源的访问的访问控制机制。一般，SSO系统使得用户能够访问企业或组织内的资源。联合单点登录（F-SSO）跨多个企业扩展了单点登录的概念，因此在不同组织和企业之间建立了合作关系。F-SSO系统通常包括诸如SAML的协议，该协议允许一个企业（例如身份提供商）向另一企业（例如服务提供商）提供用户的身份和其它属性。换句话说，F-SSO系统使用合适的协议（一般是HTTP）以信任的方式帮助将用户的证书从身份提供商传输到服务提供商。图3是图示已知的联合单点登录（F-SSO）处理中的一般操作流程的框图。如图3所示，F-SSO处理300涉及身份提供商302、用户应用304和服务提供商306之间的通信。身份提供商302和服务提供商304包括F-SSO系统308，该F-SSO系统308包括对用户进行认证、建立用户证书、以及生成包括用户信息的加密安全令牌（例如cookie）的逻辑。另外，服务提供商306还可包括一个或更多个目标应用310和312。目标应用可驻留在同一网络环境内，或者可以是同一服务提供商306内的不同网络环境314和316的一部分（例如Apache、

等）。用户应用304可包括向用户呈现

在一个实施例中，如步骤1指示的，用户应用304首先对身份提供商302进行认证（例如提供用户名和密码）。在步骤2中，身份提供商的F-SSO系统308向用户返回安全令牌。该安全令牌可以是时间敏感的（例如可包括时间戳）并且可以用密码签名。安全令牌可包括用户的身份（例如用户名）和身份提供商302希望向服务提供商306提供的其它属性（例如用户标识号）。用户应用304可使用任何合适的技术（例如HTTP请求）和由F-SSO协议定义的消息结构（例如使用HTTP查询字符串、HTTP POST数据等）向服务提供商的F-SSO系统呈现安全令牌（参照步骤3）。在步骤4中，服务提供商的F-SSO系统308证实安全令牌的密码签名，以确认初始的令牌的真实性以及安全令牌的内容是值得信任的。服务提供商的F-SSO系统还可从安全令牌提取用户的身份和相关属性，并生成包括用户的身份和属性的F-SSO属性cookie。

在实现单点登录（即，从身份提供商的F-SSO系统向服务提供商的F-SSO系统传达用户属性）之后，如果用户希望访问以服务提供商306为宿主的目标应用（例如310），则用户应用304可将从服务提供商的F-SSO系统308获得的F-SSO属性cookie传送到目标应用（参照步骤5）。替选地，属性可被存储在代理处，并且在用户请求通过代理时被传送，使得不需要cookie。在该示例实施例中，用户属性的传送（例如在F-SSO cookie中）以可信任和安全的方式进行，并可基于F-SSO规定的协议（一般为HTTP）执行。如果F-SSO属性cookie内包含的数据被目标应用接受和理解（例如，如果目标应用能解密并检索cookie的内容），则目标应用（例如e10）证实该数据并创建针对用户的会话。在一些实施例中，目标应用（例如310）理解F-SSO属性cookie，或者目标应用可以是F-SSO处理的一部分（即，目标应用可不包括F-SSO系统）。

云计算模型

作为附加的背景，云计算是服务传送的模型，用于使得能够对可配置计算资源（例如网络、网络带宽、服务器、处理、贮存器、存储器、应用、虚拟机和服务）的共享池进行方便、按需求的网络访问，其中可配置计算资源可以利用最小的管理工作或与服务提供商的交互快速地被供应并释放。该云模型可包括至少五个特性、至少三个服务模型和至少四个部署模型，全部都在Peter Mell和Tim Grance的2009年10月7日的“Draft NIST Working Definition of Cloud Computing”中进行了更具体的描述和定义。

特别地，下面是典型的特性：

按需自服务（On-demand self-service）：云消费者可根据需要自动地单方面供应计算能力，例如服务器时间和网络存储，而无需与服务提供商的人工交互。

广泛的网络访问：能力在网络上可获得并且通过标准机制被访问，该标准机制促进通过异构的瘦或胖客户端平台（例如移动电话、膝上型计算机和PDA）进行的使用。

资源池：提供商的计算资源形成池，以使用多租户模型来服务多个消费者，其中根据需求动态地分配并重新分配不同的物理和虚拟资源。存在位置无关感觉，因为消费者通常对于提供的资源的精确位置不具有控制或了解，但是能以更高级别的抽象（例如，国家、州或数据中心）来指定位置。

快速弹性：能力可以快速并弹性地（在一些情况下自动地）被供应以迅速扩大，并且可以快速地被释放以迅速缩小。对于消费者，可供应的能力经常看起来是无限的，并且可以在任何时间以任意量购买。

测量的服务：云系统通过以适合于服务类型（例如存储器、处理、带宽和活跃用户账户）的某个抽象级别调节计量能力来自动控制并优化资源使用。资源使用可被监视、控制并报告，从而为提供商和消费者两者提供所利用的服务的透明度。

服务模型通常如下：

软件即服务（SaaS）：提供给消费者的能力是使用在云架构上运行的提供商的应用。通过诸如网络浏览器的瘦客户端接口（例如基于网络的电子邮件）可从各种客户端设备访问应用。消费者不管理或控制基础云架构，该基础云架构包括网络、服务器、操作系统、存储器或甚至各个应用能力，可能的例外是有限的特定于用户的应用配置设置。

平台即服务（PaaS）：提供给消费者的能力是将使用由提供商支持的编程语言和工具创建的消费者创建或获取的应用部署到云架构上。消费者不管理或控制基础云架构，该基础云架构包括网络、服务器、操作系统或存储器，但对部署的应用以及可能对作为环境配置的宿主的应用进行控制。

架构即服务（IaaS）：提供给消费者的能力是供应处理、存储器、网络和其它基本计算资源，其中消费者能够部署并运行可包括操作系统和应用的任意软件。消费者不管理或控制基础云架构，但对系统和设备（例如操作系统、存储器、部署的应用等）进行控制，并且可能对选择的网络组件（例如，主机防火墙）进行有限的控制。

部署模型通常如下：

私有云：仅针对组织操作云架构。它可由组织或第三方来管理，并且它可以是本地（on-premises）的或非本地（off-premises）的。

社区云：云架构被若干组织共享，并且支持具有共享关注（例如任务、安全需求、策略和兼容性考虑）的特定社区。它可由组织或第三方来管理，并且它可被实现为本地（on-premises）的或非本地（off-premises）的。

公共云：云架构可用于公众或大型产业集团，并且由出售云服务的组织拥有。

混合云：云架构是两个或更多个云（私有、社区或公共）的合成，这些云保留唯一的实体，但是通过使得能够实现数据和应用便携性的标准或专有技术（例如用于云之间的负载均衡的云爆发（cloudbursting））绑定到一起。

云计算环境是面向服务的，关注于无国籍、低耦合、模块化和语义互操作性。云计算的中心是包括互连节点的网络的架构。代表性云计算节点如以上图2中所示。特别地，在云计算节点中存在计算机系统/服务器，该计算机系统/服务器可与许多其它的通用或专用计算系统环境或配置进行操作。可适于与计算机系统/服务器使用的公知计算系统、环境和/或配置的示例包括但不限于个人计算机系统、服务器计算机系统、瘦客户端、胖客户端、手持或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子设备、网络PC、迷你计算机系统、大型计算机系统、和分布式云计算环境（包括以上系统或设备中的任一种）等。计算机系统/服务器可在正被计算机系统运行的计算机系统可运行指令（例如程序模块）的一般上下文中进行描述。通常，程序模块可包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机系统/服务器可在分布式云计算环境中实现，在分布式云计算环境中，由通过通信网络链接的远程处理设备来执行任务。在分布式云计算环境中，程序模块可位于本地和远程计算机系统存储介质（包括贮存器存储设备）中。

现在参照图4，作为附加的背景，示出了由云计算环境提供的功能抽象层的集合。应该预先理解，图4所示的组件、层和功能旨在仅是说明性的，并且本发明的实施例不限于此。如所描绘的，提供以下层和对应的功能：

硬件和软件层400包括硬件和软件组件。硬件组件的示例包括大型机，在一个示例中是

系统；基于RISC（精简指令集计算机）架构的服务器，在一个示例中是IBM

系统；IBM

系统；IBM

系统；存储设备；网络和联网组件。软件组件的示例包括网络应用服务器软件，在一个示例中是IBM

应用服务器软件；以及数据库软件，在一个示例中是IBM

数据库软件。（IBM、zSeries、pSeries、xSeries、BladeCenter、WebSphere和DB2是在世界范围的许多司法管辖区中注册的国际商业机器公司的商标）。

虚拟层402提供抽象层，从该抽象层可提供虚拟实体的以下示例：虚拟服务器；虚拟存储器；虚拟网络，包括虚拟专用网；虚拟应用和操作系统；以及虚拟客户端。

在一个示例中，管理层404可提供下述功能。资源供应提供用来执行云计算环境内的任务的计算资源和其它资源的动态取得。计量和定价提供在云计算环境内利用资源时的成本跟踪，以及用于消费这些资源的账单或发票。在一个示例中，这些资源可包括应用软件许可。安全性提供对云消费者和任务的身份验证，以及对数据和其它资源的保护。用户门户网站为消费者和系统管理员提供对云计算环境的访问。服务等级管理提供云计算资源分配和管理，使得满足需要的服务等级。服务等级协定（SLA）的规划和实现提供云计算资源的预先布置和取得，其中根据SLA来预测对云计算资源的未来需求。

工作负载层406提供云计算环境可利用的功能的示例。从该层可提供的工作负载和功能的示例包括：映射和导航；软件开发和生命周期管理；虚拟教室教育传送；数据分析处理；交易处理；以及根据该公开内容的教导，富客户端期望认证的云应用。

预先理解，尽管该公开内容包括关于云计算的详细描述，但这里记载的教导的实现不限于云计算环境。相反，本发明的实施例能够结合现在已知或以后开发的任何其它类型的计算环境来实现。

因此，代表性的云计算环境具有高级功能组件的集合，包括前端身份管理器、业务支持服务（BSS）功能组件、操作支持服务（OSS）功能组件和计算云组件。身份管理器负责与请求客户端相互联系，以提供身份管理，并且该组件可利用一个或更多个已知系统（例如从NewYork的Armonk的IBM公司可获得的Tivoli Federated IdentityManager(TFIM)）来实现。在适当的环境下，TFIM可用于向其它云组件提供F-SSO。业务支持服务组件提供特定的管理功能，例如账单支持。操作支持服务组件用于提供其它云组件（例如虚拟机（VM）实例）的供应和管理。云组件代表主要计算资源，主要计算资源一般是用于运行经由云可访问的目标应用410的多个虚拟机实例。一个或更多个数据库用于存储目录、日志和其它工作数据。所有这些组件（包括前端身份管理器）都位于云“内”，但这不是要求。在替选实施例中，身份管理器可在云外部操作。

仅作为示例，部署在云中的代表性企业应用是诸如

LotusLive的客户端-服务器应用，客户端-服务器应用提供在容易使用的基于网络的环境中将网络会议、消息收发和合作服务与社交网络能力相结合的技术的云传送套件。作为LotusLive的组件，LotusLive

提供了完全特征的电子邮件、日历、联系人管理和即时消息。用户可以以许多方式经由因特网直接访问服务，例如使用网络浏览器或“富”客户端应用（例如Notes富客户端）。使用该服务，企业将其电子邮件、日历和/或合作架构放置在云服务中，并且用户使用Notes客户端访问他或她的电子邮件，执行日历操作，或帮助在线合作。在代表性的实施例中，Notes富客户端是版本8.5.2或更高。

以上示例（使用LotusLive）仅是代表性的。下述技术不限于与部署在云环境内的特定企业应用一起使用。

图5例示应用部署时的代表性实施例。在该实施例中，云提供商500包括公共管理平台组件的集合。这些组件包括身份管理器502、云BSS功能504和云OSS功能506的一个或更多个实例，所有这些都参照图4在以上进行了描述。计算云508包括提供计算架构的虚拟机实例，包括被应用使用的存储器510。在该示例中，公共管理平台组件的集合还包括pam_ldap模块507、目录集成模块（TDI）509、LDAP目录服务512和安全令牌服务（未示出），其中，pam_ldap模块507为Linux或UNIX服务器和工作台提供对LDAP目录进行认证的方式；目录集成模块（TDI）509对驻留在异构目录、数据库、文件、合作系统和应用中的身份数据进行变换并同步。安全令牌服务使用Web服务信任（WS-Trust）的安全消息机制，定义用于安全令牌的发布、交换和验证的附加扩展。WS-Trust是通过定义请求/响应协议来实现安全令牌互操作性的OASIS标准。WS-Trust协议允许Web服务客户端向某受信任的权威机构请求将特定的安全令牌交换为另一个。因此，如图所示，WS-Trust客户端511形成公共管理的一部分并且连接到客户LDAP514（通过客户侧WS-Trust客户端）。在数据库520中支持客户的外部数据。公共管理平台还包括数据仓库505、日志数据库517和共享LDAP515。经由网络浏览器501或经由“富”客户端（即，支持直接访问客户端的机器，例如CIFS（等））提供客户端访问。如图所示，身份管理组件502通常经由安全HTTP连接到云计算架构，而富客户端通常经由CIFS连接到存储器510。

对于那些将具有由云提供商500管理的U/P的用户，他们的F-SSO SAML断言可包括U/P，或可仅能包括用户名；在任一情况下，云提供商向用户呈现简单的交互以建立用于访问云服务的云侧密码。用户然后具有在云LDAP512处创建的账户，并且该账户被标记为“本地认证”用户，而且用户的密码也由LDAP管理。当用户试图访问存储器510时，pam_ldap模块507拦截U/P并且试图验证它们。在该方法中，代理（例如TDI509）是该U/P验证请求的接收方。代理将首先确定这是否是本地用户（因此进行本地认证）；如果是，则代理试图针对本地LDAP512验证U/P。如果用户不是“本地”用户，则代理生成WS-Trust请求，并且使用WS-Trust客户端511请求从用户的身份提供商（客户LDAP514）验证用户的密码。在该方法中，不要求云提供商管理用户的密码，但是对于那些不希望建立完全代理解决方案的客户仍可以这样做。在以上示例中，WS-Trust的使用仅是代表性的。

认证和授权插件模型

利用以上背景，现在描述本文中的主题。如上所述，尽管云计算提供了许多优点，但数据安全性是希望在云环境内部署企业应用的云客户的主要关注。如图5所示的部署图示的，客户的外部数据520必然暴露给云计算服务提供商。结果，不能绝对确保商业信息的完整性、保密性和隐私性。

本文中的主题处理并解决该问题。

如将看到的，如图6所示，描述的主题可涉及若干实体。第一实体600是建立并维持云服务的云服务提供商，有时被称为云计算环境。通常，该环境包括可配置计算资源的共享池，例如如图4所示。第二实体是云客户602，一般是租用可配置资源的某个子集以帮助整体或部分部署在云服务中的客户应用在云中运行的企业。云客户有时被称为由云提供商提供的云服务的“租户”或“客户端”。在图5提供的示例中的第二实体是期望在云中运行其应用（在示例中是LotusLive）或部分应用的企业（例如业务实体）。第三实体604是公证人服务，公证人服务是不同于并独立于云服务实体600和云客户（例如客户602）的实体。公证人可以是已被创建为提供公证人功能的管理实体，或者可以是公共实体或私有实体。云服务提供商和/或云客户可以与公证人相关联，但优选地，对公证人的控制在系统中的其它实体外部。这种控制分离使得公证人能够一方面相对于云服务提供商600、另一方面相对于云客户602独立地动作。公证人服务的基本功能是管理已被服务提供商600分配给客户602的资源组的实施，特别地，确保除非在公证人强制的特定环境下，否则这些资源组不能释放给其它实体（或一般地回到共享池）。

如上所述，公证人服务604充当证明人（或更一般地，授权第三方），可以优选地以自动方式证明客户602、云提供商600和公证人之间的协定。除其它规定之外，该协定还规定分配给云客户602的资源组或多个资源组（即，云资源）只能在特定情况下被释放给其它客户使用。一个示例情况是云环境管理员（与云服务提供商600相关联的人或自动处理）和云客户管理员均登录以核准这些云资源的释放，进一步条件是在这种释放之前应擦除内容（例如客户的业务信息）。另一示例情况是接收许可公证人用户（与公证人604相关联的人或自动处理）和云环境管理员的登录，这可能在客户违背云服务协定中的一些义务的情况下发生。然而，即使在后一场景中，资源组的释放的条件也是擦除（现在之前的）客户的信息。

涉及公证人服务的方法确保云环境管理员无法单方面收回分配给客户的资源和/或查看客户敏感信息，即使在客户违反了服务协定并且要终止客户的情况下也是如此。

根据本公开内容的另一方面，认证和授权“插件”模型在云计算环境内实现。这在图7中进行了图示。该插件安全模型替换或补充当前的安全样式，如以上参考图5所述的，这潜在地将客户的应用数据暴露于安全风险中。在这方面，如图7所示，云服务提供商700为客户702（在该图中被图示为“客户端”）提供发现客户自己的认证和/或授权模块705的方式。如上所述，系统还包括公证人704，公证人704帮助协定（每个被示出为租约708）的创建和实施。租约708与资源沙盒710相关联，资源沙盒710是共享池中的一个或更多个资源的集合。认证和/或授权模块705实施客户期望实现的各认证和/或授权功能，即使应用本身被部署在云中。换句话说，在云中实施客户自己的认证和/或授权方案，而不需要云服务提供商的直接参与。为此，云服务提供商插件服务703使得模块705能够被插入到云服务中，但是云提供商对该模块705的访问被限制。特别地，不向云服务提供商授权超级用户ID（或其它云系统访问）；相反，经由模块705实施对客户数据的访问，并且云环境管理员不向模块705内或与模块705关联的用户注册表（或其等同物）注册。云服务提供商向云客户的管理员分配资源组（或者在模块注册的情况下自动分配这种资源组），但是服务提供商不被限制（一般借助插件模块架构并且特别地通过禁止用户注册）获得对客户数据的许可访问。因此，云环境管理员不能访问分配给云客户的资源。

云操作系统（平台）运行时安全根据需要调用客户的认证和授权模块705。为了帮助该插件架构，云服务提供应用编程接口（API）707。API707实现可插拔认证模块（PAM）方案，可插拔认证模块（PAM）方案是将多个低级认证方案（例如模块705）集成到高级应用编程接口的已知技术。PAM允许与基础认证系统独立地编写依赖于认证的程序。关于可插拔认证模块的其它细节，读者可被指引到1995年10月的开放软件基金会请求评论（RFC）86.0。替选方法是实现操作系统（OS）可插拔安全，例如Linux OS内核可加载模块等。可利用任何其它插件架构。

图8是例示公证人服务804如何与云服务提供商800和云租户802进行交互的框图。优选地，公证人服务被实现为在计算环境内运行的自动电子处理或处理集合。它可包括一个或更多个机器、服务器、应用、处理、程序和实用工具。公证人服务804与公钥架构（PKI）806相关联（或访问公钥架构（PKI）806），公钥架构（PKI）806实现或实施已知的公共密钥密码协议以及诸如数字签名、公钥证书、公钥密码系统等技术。如图8所示，公证人服务804帮助（安排）用于建立协定810的安全、不可否认的数字签名协议。通过使用已知的PKI方案，云提供商800或云租户802都不可否认协定810。公证人服务804在数据库中维持运行的协定，并且公证人优选为被识别为具有实施或公开协定条款的权限的（云提供商800、租户802中的）唯一实体。可使用各种已知的密码协议和方案来以此方式创建、维持、实施该协定。

特别地，在供应期间，租户与唯一PKI证书相关联。在为租户供应证书期间，PKI架构806与公证人804交互，以创建租户与租户的PKI证书之间的关联。安全地建立该关联。当公证人804需要提供协定或其证据（例如给法庭）时，PKI系统使得法庭（或其它许可的政府或强制实体）能够验证租户与租户的PKI证书之间的关联，从而建立形成协定的原始签名的不可否认性。PKI机制确保租户无法否认安全关联，特别是其在文件上的签名（一般是数字签名）。

将上述作为背景，并且参照图9，下面描述各种使用场景。这些场景仅是代表性的。

云服务提供商具有云环境管理员，云环境管理员为将应用部署到云环境的客户分配一个或更多个资源组。资源组包括一个或更多个云计算资源的集合，并且这样的资源可以相当地多种多样。一般，资源包括处理器（CPU）、盘驱动器（DASD）和贮存器。当客户部署应用时，即步骤900，云环境管理员为客户的应用和数据分配资源组（例如处理器、存储器和贮存器）。在步骤902，客户向云安全服务注册其认证和授权安全模块。如上所述，然后使用该特定于客户的安全模块来控制什么人或实体可以访问与所部署的应用相关联的信息。然而，云环境管理员没有在客户的安全模块内注册（作为许可用户）；因此，云环境管理员不能访问（或释放给其它方或云的通用资源池）分配给云客户的资源（即使管理员自己分配了这些资源）或相关联的业务信息。在步骤904，租户向公证人注册，并且在步骤906协商（形成）安全协定。以上步骤的次序仅是代表性的，并且可同时或按不同的顺序执行这些步骤中的一个或更多个。在步骤908，许可与云租户相关联的终端用户访问并使用应用，假设他们已被特定于客户的安全模块认证和/或授权了。

当租户向云服务提供商请求资源时，开始替选场景。作为响应，云服务提供商准备合同，然后租户、提供商和公证人对该合同进行数字签名。一旦签署了合同，服务提供商向客户端分配资源，并且客户端然后通过插件服务接口建立其认证/授权机制。因为客户端建立仅客户端访问的资源许可，所以只有通过插件模块有效地认证的终端用户可以访问资源。如所述的，提供商被限制任何这样的访问。如果稍后客户端违反协定或合同过期，则服务提供商向公证人发出对从客户端移除资源的许可的请求。然后，公证人向服务提供商给予撤销资源的许可，并且服务提供商擦除客户数据并将资源返回到共享池（或将其分配给另一客户端）。在默认场景的替选中，客户端自己可通过移除分配给资源的许可而放弃资源（在其安全模块中）。在这种情况下，一旦服务提供商接收到客户端自己已移除许可的通知，则服务提供商可具有有限的权限以分配默认的资源许可。该默认供应然后可使得服务提供商能够访问其自己的资源，可能用于管理或其它支持活动。

参与实体之间的协定确保租户的业务信息保持安全。因此，例如，除其它规定之外，由租户和服务提供商输入的协定规定分配给云客户的资源组或多个资源组（即，云资源）只有在特定情况下可被释放给另一客户使用。一个示例情况是云环境管理员和云客户管理员均登录以核准释放，进一步条件是要求在这种释放之前擦除内容（例如客户的业务信息）。另一示例情况是接收许可公证人用户和云环境管理员的登录，这可能在客户违背云服务协议中的一些义务的情况下发生。然而，即使在这一场景中，资源组的释放的条件也是擦除（现在之前的）客户的信息。

因此，如果客户端决定不继续云使用，则在使用服务的租约被废除或终止之前从提供商存储器清除其客户数据，其中，废除或终止仅可在公证人的之前的核准的情况下发生。优选地，安全地并且以无法被交易的任意方否认的方式获得该核准。

如果云服务提供商被第三方获取，则租户可决定是否希望与新的拥有者继续云使用，但是租户不需要担心其数据是受到损害的。新的拥有者将无法访问该数据，除非且直到租户通过仅租户管理和控制的安全模块提供这种许可为止。

插件安全模型和独立公证人服务的使用确保企业客户的信息是安全的。插件模型允许云计算客户在云中部署企业应用和信息时保留对它们的企业信息的控制。当在云中部署客户的应用软件和信息时，公证人模型保护客户的隐私和访问权限。

该技术可在公共云、私有云或混合（公共-私有）云的上下文内使用。

客户端的插件（即，客户安全模块）安装在用于实施的每台机器上。如在以上示例场景中所述的，插件可在协商合同之前或之后安装。当然，如图7所示，任意数量的客户端可同时使用该技术，只要一个客户端被限制访问另一个客户端的资源即可。为此，云提供商对分配给特定客户端（并且与特定协定相关联）的资源进行沙盒处理（sandbox）。

在描述的示例中，客户安全模块对特定客户是唯一的，尽管这不是要求。在替选的场景中，服务提供商自己使得“租”给客户端的安全模块可用。无论是客户端还是提供商提供安全模块，如上所述，客户端应该（通过合适地向资源映射授权用户）来控制哪个用户能够（经由安全模块）访问协商的云资源。

在以上描述的实施例中，使用PKI来实施协定，这实现不可否认性。然而，这不是限制，因为可使用其它技术来实施协定。因此，例如，在替选的实施例中，其它不同实体可用于该目的。被称为“法庭”实体（类似于法律法庭）的该实体具有其自己的公钥/私钥对、以及数字证书。然后，可如下执行协定。租户使用它的秘密密钥对协定文本进行加密。云提供商使用其秘密密钥对相同的协定进行加密。然后，法庭实体对两个加密文档的聚合进行签名。为了验证协定，执行逆处理。特别地，法庭使用它的公钥验证聚合的文档（两个加密协定）上的签名。然后，法庭使用提供商的公钥对聚合的文档的第一部分进行解密，并且使用租户的公钥对聚合的文档的第二部分进行解密。然后，法庭实体将两个文档呈现给公证人。

关于云资源的支持服务可由服务提供商或客户提供。因此，例如，在租约时段期间，并且如果租户对机器具有完全控制，则客户端可执行任何必要的维护（例如，软件补丁），可能在提供商的指导下。当客户端放弃其中的机器或资源（通过拔出它们的安全模块或通过改变访问策略）时，提供商可使用传统的备份/恢复实用工具将资源恢复到已知的良好状态。如果期望，则客户端也可选择安装并维护其自己的虚拟操作系统（OS）映像；作为替选，提供商可向客户端提供在租约保持有效时客户端可更新的临时OS映像。

当租约结束（例如由于条款过期或在客户端违反的情况下）时，提供商通过移除客户的安全插件（或禁止客户对可能正在使用的任何通用模块的使用）来收回资源。结果，并且因为提供商拥有资源，默认安全机制被激活，从而使得提供商能够重新获得完全访问。当协定工作时，安全插件防止提供商访问作为协定的对象的任何资源。尽管不需要，优选地，在提供商试图访问（或采取其它某种不合适的行为）违反协定的资源的情况下，向公证人和/或客户端提供通知。相反，提供商应首先从公证人寻求这样做的许可。一旦获得了任何这种许可，提供商可废除客户端的访问，如已描述的那样。

为了帮助返回计算资源，公证人可具有根据需要卸除插件的“钥匙”（或类似机制）。特别地，在客户端违背的情况下，公证人向服务提供商提供钥匙（或证书）以使得能够将资源返回到共享池。然而，并非总是需要使用这种钥匙。例如，在客户端仅使用提供商的硬件和OS资源、然后随后打破合同的情况下，提供商（一旦从公证人获得许可）仅需要备份客户端的数据，然后重新引导并重新格式化受影响的盘。在客户端还安装其自己的虚拟机、然后随后打破合同的场景下，提供商（一旦获得许可）可访问系统管理程序（VM在系统管理程序上运行）并移除VM。在这些情况下，提供商保持对基础资源的充分访问以帮助移除操作，尽管在任何情况下提供商都无法访问客户端的虚拟机内的应用。

与之相比，规矩的客户端将自己（例如在协定终止的情况下）移除安全插件。

描述的主题具有许多优点。利用该方法，云客户在签约到云环境时不放弃对它们的企业信息的控制。该方法确保云环境管理员（或一些其它未授权的人或实体）在没有与公证人服务相关联的客户或许可第三方的许可的情况下无法取回资源组（或更一般地，一个或更多个云资源）。以此方式，云客户对它们在云计算环境中的信息具有完全控制，并且不存在云管理员或其它实体在没有许可或授权的情况下可访问客户的信息的重大风险。如果云服务提供商被新的云公司获取，或即使硬件资源被窃取，客户的信息也保持被保护，因为仅可利用客户自己的认证和授权安全插件（即，通过客户的认证和/或授权检查）来访问和查看该信息。有利地，云管理员以及任何其它人或实体都不具有在云环境的操作系统中用于访问或管理客户数据的超级用户ID。

公证人服务提供额外的优点。如所述的，公证人服务帮助确保客户数据保持安全，因为公证人服务用来实施确保数据所在的资源仅可在给定情况下被释放的（客户、云提供商和公证人之间的）协定。如果任一方违背协定，则另一方可通过公证人废除合同，公证人充当可证实合同的独立证明人。该方法确保云环境管理员无法单方面取回分配给客户的资源和/或查看客户敏感信息，即使在客户违反了服务协定并且要终止客户的情况下也是如此。另一方面，使用公证人服务还确保客户无法不合理地利用云提供商，例如通过违反提供商的服务协定而仍然接收云服务。

该技术为云计算提供了新的安全模式，这确保对客户信息的保护。云服务客户通过插入云插件模型来管理其自己的安全认证和授权服务。政府或第三方安全服务（公证人）以均衡所有参与者的利益的方式监管环境内的安全策略运行。

以上描述的插件和公证人服务功能可被实现为单独的方法，例如被处理器运行的基于软件的功能，或者可作为管理服务可用（包括作为经由SOAP/XML接口的Web服务）。这里描述的特定硬件和软件实现细节仅用于说明性的目的，而不是旨在限制所描述的主题的范围。

更一般地，在所公开的发明的上下文内的计算设备各自是包括硬件和软件的数据处理系统（例如如图2所示的），并且这些实体经由诸如因特网、内联网、外联网、专用网络或任何其它通信介质或链路的网络彼此通信。数据处理系统上的应用提供对Web服务和其它已知服务和协议的本地支持，包括但不限于对HTTP、FTP、SMTP、SOAP、XML、WSDL、SAML、Liberty、Shibboleth、OpenID、WS-Federation、Cardspace、WS-Trust、UDDI和WSFL等的支持。关于SOAP、WSDL、UDDI和WSFL的信息可从万维网联盟（W3C）获得，W3C负责开发并维护这些标准；关于HTTP、FTP、SMTP和XML的其它信息可从因特网工程任务组（IETF）获得。假设熟悉了这些已知标准和协议。

本文中描述的方案可在除基于云的架构之外的各种服务器侧架构中实现，或与除基于云的架构之外的各种服务器侧架构相结合来实现。这些包括但不限于简单n层架构、网络入口、联合系统等。

如以上示例所说明的，插件或公证人服务功能中的一个或更多个可以以云为宿主或在云外部。

更一般地，本文中描述的主题可采用全部硬件实施方式、全部软件实施方式或包含硬件和软件元件的实施方式的形式。在优选实施例中，以软件实现分层的登录功能，软件包括但不限于固件、驻留软件、微代码等。数据可被配置到数据结构（例如阵列、链接表等）中并且被存储在数据库（例如计算机贮存器）中。此外，如上所述，本文中描述的身份提供商实例发现功能可采用计算机程序产品的形式，计算机程序产品可从计算机可使用或计算机可读介质访问，计算机可使用或计算机可读介质提供用于由计算机或任何指令运行系统使用或与之关联的程序代码。为了本说明书的目的，计算机可使用或计算机可读介质可以是可包含或存储用于由指令运行系统、装置或设备使用或与之关联的程序的任何装置。介质可以是电的、磁的、光的、电磁的、红外线的或半导体系统（或装置或设备）。计算机可读介质的示例包括半导体或固态存储器、磁带、可移除计算机盘、随机存取贮存器（RAM）、只读贮存器（ROM）、硬磁盘和光盘。光盘的当前示例包括压缩盘–只读存储器（CD-ROM）、压缩盘–读/写（CD-R/W）和DVD。计算机可读介质是有形物品。

计算机程序产品可以是具有实现所描述的功能中的一个或更多个功能的程序指令（或程序代码）的产品。这些指令或代码可在经由网络从远程数据处理系统下载后被存储在数据处理系统中的计算机可读存储介质中。或者，这些指令或代码可被存储在服务器数据处理系统中的计算机可读存储介质中并适于经由网络被下载到远程数据处理系统以在远程系统内的计算机可读存储介质中使用。

在代表性的实施例中，插件和公证人服务组件在专用计算机中实现，优选地以被一个或更多个处理器运行的软件来实现。所使用的相关联数据被存储在相关联的数据库中。软件还被保持在与一个或更多个处理器相关联的一个或更多个数据库或存储器中，并且软件可被实现为一个或更多个计算机程序。

插件功能可被实现为现有的访问管理器或策略管理解决方案的附属或扩展。

尽管以上描述了由本发明的特定实施例执行的特定操作顺序，但应该理解，这种顺序是示例性的，因为替选实施例可按不同顺序执行操作，组合特定操作，交叠特定操作等。说明书中对给定实施例的提及指示所描述的实施例可包括特定特征、结构或特性，但每个实施例不一定包括特定特征、结构或特性。

最后，尽管已分开地描述了系统的给定组件，但本领域技术人员将理解，功能中的一些功能可在给定指令、程序序列、代码部分等中组合或共享。

如本文中所使用的，“客户端侧”应用应该被广义地解释为指代应用、与该应用相关联的页、或由应用的客户端侧请求调用的某些其它资源或功能。如本文中所使用的，“浏览器”不是旨在指代任何特定浏览器（例如Internet Explorer，Safari，FireFox等），而是应该被广义地解释为指代能访问并显示因特网可访问资源的任何客户端侧渲染引擎。“富”客户端一般指代基于非HTTP的客户端侧应用，例如SSH或CFIS客户端。另外，尽管客户端-服务器交互一般使用HTTP进行，但这也并非限制。客户端服务器交互可被格式化为遵循简单对象访问协议（SOAP）并且经由HTTP（经由公共因特网）、FTP进行传输，或者可使用任何其它可靠的传输机制（例如

技术和CORBA，用于经由企业内联网进行传输）。本文中描述的任何应用或功能可通过如下方式被实现为本地代码：通过向另一应用提供钩子、通过帮助使用如插件的机制、通过链接到机制等。

本文中提及的“插件”不应被视为限制。由插件提供的基本功能是拦截安全检查。因此，插件一般是用于拦截安全检查的任何代码。

Claims

1.一种用于在计算资源以可配置计算资源的共享池为宿主的环境中的验证和授权的方法，包括：

从第一实体接收对由第二实体管理的可配置计算资源的共享池的访问的请求；

在第一实体、第二实体和不同于第一实体和第二实体的第三实体之间执行协定的情况下，向第一实体分配资源组；

在由与可配置计算资源的共享池相关联的第二实体操作的插件服务中注册与第一实体相关联的插件安全模块；以及

限制除经由所述插件安全模块之外对所述资源组的访问。

2.如权利要求1所述的方法，还包括：接收与第一实体的许可用户相关联的信息并存储在所述资源组中。

3.如权利要求2所述的方法，还包括：在发生事件的情况下将所述资源组返回到所述共享池。

4.如权利要求3所述的方法，其中将所述资源组返回的步骤包括：

在发生事件的情况下，向第三方发出请求，所述请求寻求将第一实体从所述资源组解除关联的许可；以及

从第三方接收响应，所述响应指示第二实体具有将第一实体从所述资源组解除关联的许可。

5.如权利要求4所述的方法，还包括：在将所述资源组返回到所述共享池之前，删除与第一实体的许可用户相关联的信息。

6.如权利要求3所述的方法，其中将所述资源组返回的步骤包括：

接收与所述资源组相关联的许可已被第一实体移除的指示；以及

在将所述资源组返回到所述共享池之前，删除与第一实体的许可用户相关联的信息。

7.如权利要求1所述的方法，其中通过密码确保所述协定，使得所述协定无法被第一实体或第二实体否认。

8.一种用于在计算资源以可配置计算资源的共享池为宿主的环境中的验证和授权的装置，包括：

处理器；

计算机存储器，保持当被所述处理器运行时执行如下方法的计算机程序指令，所述方法包括：

限制除经由所述插件安全模块之外对所述资源组的访问。

9.如权利要求8所述的装置，其中所述方法还包括：接收与第一实体的许可用户相关联的信息并存储在所述资源组中。

10.如权利要求8所述的装置，其中所述方法还包括：在发生事件的情况下将所述资源组返回到所述共享池。

11.如权利要求10所述的装置，其中将所述资源组返回的步骤包括：

12.如权利要求11所述的装置，其中所述方法还包括：在将所述资源组返回到所述共享池之前，删除与第一实体的许可用户相关联的信息。

13.如权利要求10所述的装置，其中将所述资源组返回的步骤包括：

14.如权利要求8所述的装置，其中通过密码确保所述协定，使得所述协定无法被第一实体或第二实体否认。

15.一种计算机可读介质中的计算机程序产品，用于在计算资源以可配置计算资源的共享池为宿主的环境中的验证和授权的数据处理系统中使用，所述计算机程序产品保持当被所述数据处理系统运行时执行如下方法的计算机程序指令，所述方法包括：

限制除经由所述插件安全模块之外对所述资源组的访问。

16.如权利要求15所述的计算机程序产品，其中所述方法还包括：接收与第一实体的许可用户相关联的信息并存储在所述资源组中。

17.如权利要求16所述的计算机程序产品，其中所述方法还包括：在发生事件的情况下将所述资源组返回到所述共享池。

18.如权利要求17所述的计算机程序产品，其中将所述资源组返回的步骤包括：

19.如权利要求18所述的计算机程序产品，其中所述方法还包括：在将所述资源组返回到所述共享池之前，删除与第一实体的许可用户相关联的信息。

20.如权利要求17所述的计算机程序产品，其中将所述资源组返回的步骤包括：

21.如权利要求15所述的计算机程序产品，其中通过密码确保所述协定，使得所述协定无法被第一实体或第二实体否认。

22.一种在可配置计算资源的共享池中操作的装置，包括：

处理器；

计算机存储器，保持计算机程序指令，所述计算机程序指令被所述处理器运行以便：(i)提供应用编程接口（API），所述应用编程接口接收第一安全模块和第二安全模块作为插件，第一安全模块与可配置计算资源的共享池的第一客户端相关联，第二安全模块与可配置计算资源的共享池的第二客户端相关联，以及(ii)向第一客户端和第二客户端中的每个分配第一资源组和第二资源组，其中除被第一安全模块许可之外限制对第一资源组的访问，其中除被第二安全模块许可之外限制对第二资源组的访问。

23.如权利要求23所述的装置，其中所述计算机程序指令被所述处理器运行，以便：(iii)在给定的事件的情况下将资源组返回到所述共享池。

24.如权利要求23所述的装置，其中所述给定的事件是从担保所述资源组的返回的第三方公证接收到指示。

25.如权利要求24所述的装置，其中所述计算机程序指令被所述处理器运行，以便：(iv)在将所述资源组返回到所述共享池之前，从所述资源组删除任何特定于客户端的信息。

26.一种与可配置计算资源的共享池相关联的装置，所述共享池被服务提供商操作，并且包括已根据服务提供商、租户和管理所述装置的第三方之间的协定而分配给租户使用的资源组，其中作为协定的结果，插件安全模块与租户相关联并且用于限制除经由插件安全模块之外对所述资源组的访问，所述装置包括：

处理器；

计算机存储器，保持计算机程序指令，所述计算机程序指令被所述处理器运行以通过以下步骤来实施所述协定：(i)从所述服务提供商接收请求以在给定的事件的情况下将租户从所述资源组解除关联，以及(ii)向所述服务提供商发出响应，所述响应指示所述服务提供商具有将租户从所述资源组解除关联的许可。