CN104081407A - 云计算环境中的服务器和客户端的远程信任证明和地理位置 - Google Patents
云计算环境中的服务器和客户端的远程信任证明和地理位置 Download PDFInfo
- Publication number
- CN104081407A CN104081407A CN201380007266.2A CN201380007266A CN104081407A CN 104081407 A CN104081407 A CN 104081407A CN 201380007266 A CN201380007266 A CN 201380007266A CN 104081407 A CN104081407 A CN 104081407A
- Authority
- CN
- China
- Prior art keywords
- trust
- proof
- cloud
- white list
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Abstract
方法和系统可以规定基于与远程代理相关联的通信从多个管理程序协议选择管理程序协议。选定的管理程序协议可以用于进行通信中的一个或多个数字签名地理位置值的信任分析,其中可以基于信任分析处理云证明请求。处理云证明请求可以涉及生成与远程代理相对应的云计算节点的可信任性验证输出、地理位置验证输出等。
Description
技术领域
实施例通常涉及云计算。更具体地说,实施例涉及实现云计算环境中的远程设备信任证明和地理位置功能。
讨论
尽管云计算可以向终端用户提供关于处理能力和灵活性的机会,但是常规云计算解决方案的某些方面会从安全角度提出挑战。例如,按照安全和极简单的方式确定云计算资源的可信任性和/或位置是困难的,特别是当那些资源采用不同的操作系统(OS)和虚拟机管理器(VMM)协议时。实际上,不能够提供足够的安全措施会阻碍各种各样的产业采取云计算。
附图说明
通过阅读下面的说明书和所附权利要求并且通过参照下面的附图,本发明实施例的各种优点对于本领域中的技术人员将变得明显,在附图中:
图1是根据实施例的远程信任证明体系结构的示例的方框图;
图2是根据实施例操作信任权威服务的方法的示例的流程图;
图3是根据实施例的云计算节点的示例的方框图;并且
图4A和4B是根据实施例具有位置验证输出的示例接口的屏幕截图。
具体实施方式
现在转到图1,示出了用于云计算解决方案的远程信任证明体系结构10。在所说明的示例中,信任权威服务12被配置为验证各种云计算节点14(14a-14c)的可信任性和/或地理学位置(例如,地理位置)并且向一个或多个询问应用16(16a-16e)证明这样的可信任性(或其缺乏)和/或地理位置。例如,信任权威服务12可以使用证明处理机18来从询问应用16中的一个或多个接收云证明请求,进行关于云计算节点14中的一个或多个的信任分析,并且基于信任分析来返回验证结果/输出。可以从云管理接口16a、虚拟化管理接口16b、策略接口16c(例如HyTrust Appliance)、遵从接口16d(例如支配、风险和遵从/GRC)、安全接口16e(例如安全信息和事件管理/来自NitroSecurity的SIEM解决方案、ArchSight等等)等等接收可以包括可信任性和/或地理位置询问的云证明请求。例如,遵从接口16d可以用于验证云计算节点14遵从一个或多个GRC要求等等。而且,证明处理机可以使用一个或多个应用编程接口(API)28来从询问应用16接收云证明请求并且将验证结果输出到询问应用16。在一个示例中,API 28包括表述性状态转移(REST)API。
云计算节点14可以包括各种服务器、网络设备、客户端设备等等,其中节点14可以采用不同的操作系统(OS)和/或管理程序(例如VMM)协议。在所说明的示例中,第一节点(“节点1”)14a使用第一管理程序协议(例如“管理程序协议A”)来管理第一节点14a上的虚拟机环境,第二节点(“节点i”)14b使用第二管理程序协议(例如“管理程序协议j”)来管理第二节点14b上的虚拟机环境,第三节点(“节点N-1”)14c使用第三管理程序协议(例如“管理程序协议n”)来操作第三节点14c上的虚拟机环境,并且第四节点(“节点N”)14d使用所述第三管理程序协议来操作第四节点14d上的虚拟机环境。第三和第四节点14c、14d可以由也被配置为使用所述第三管理程序协议(例如,“管理程序协议n”)的另一节点14e管理。如将更详细讨论的,每一个云计算节点14可以按照受信计算组的远程证明协议来与信任代理22相关联,信任代理22被配置为向信任权威服务12提供将在信任分析中使用的信息。
示例管理程序协议包括但不局限于ESXi(ESXI 5.0、VMware,2011年8月)、KVM(基于内核的虚拟机,例如用于Linux 2.6.20的SUSE KVM,2007年2月)、Xen(例如用于Linux v2.6.37的红帽Xen,2011年3月)等等。此外,每一个管理程序协议可以实现多个虚拟机在各种不同的操作系统中的部署,该操作系统包括但不局限于Windows、Linux和Mac操作系统。证明机制将无缝地工作以便在我们具有虚拟TPM(受信平台模块)时证明虚拟机的信任。
在所说明的示例中,信任权威服务12包括从信任代理22接收数字签名通信(例如安全套接层/SSL通信)的一个或多个REST API 21证明服务器逻辑20,其中证书权威24可以用于验证数字签名。此外,所说明的信任权威服务12包括被配置为在按照管理程序协议的基础上进行信任分析的信任验证器26。例如,信任验证器26可以从多个协议特定插件32选择协议特定插件,并且使用选定的协议特定插件32来进行在来自信任代理22的通信中的一个或多个数字签名值的信任分析。特别地,数字签名值可以包括平台配置寄存器(PCR)值,例如地理位置值、软件散列(例如SHA散列值)、诸如测量序列和引导日志信息的完整性测量日志(IML)值等等,其中信任分析可以涉及将数字签名值与一个或多个已知值进行比较。
为此,所说明的体系结构10还包括白名单资源库34和白名单模块36,白名单模块36使用一个或多个REST API来经由白名单门户38接收所述已知值并且使用该已知值填充白名单资源库34。该已知值可以例如通过在受控IT(信息技术)环境中运行云计算节点14并且识别当前测量来确定,其中这样的值也可以被存储到云计算节点14的安全PCR用于在运行时间使用。“优良的”或者“正确的”模块散列也可以经由适当的更新管理器子系统从VMM/OS供应商获得。
因而,信任验证器26可以根据讨论中的云计算节点14从白名单资源库34取回已知值,并且将通信中的数字签名值与该已知值进行比较。例如,该比较可以关于一个或多个管理程序/OS散列值来进行。以便确定进入的通信的源是否实际上与受信云计算节点14相关联。在另一示例中,该比较可以关于一个或多个地理位置值来进行(例如,将通信中的数字签名地理位置值与地图进行比较),以便确定进入的通信的源的位置。
所说明的证明服务器逻辑20将信任分析的结果传送到证明处理机18,该证明处理机18可以输出结果作为对云证明请求的响应。证明处理机18还可以使用信任高速缓存40来处理云证明请求,其中信任高速缓存40可以包括可以使证明过程加速的具有时间戳的可信任性/地理位置数据。例如,证明处理机18可以访问信任高速缓存40,并且确定可信任性和/或地理位置验证响应对于讨论中的云计算节点14在最近已经被生成,并且代替和/或除了来自信任权威服务12的结果以外,还使用来自信任高速缓存40的结果。
信任权威服务12可以在例如个人计算机(PC)、服务器、工作站、膝上型计算机、个人数字助理(PDA)、无线智能电话、媒体播放器、成像设备、移动互联网设备(MID)、诸如智能电话、智能平板计算机等等的任何智能设备或者其任何组合上实现。因而,信任验证器26、证明服务器逻辑20和证书权威24可以合并例如以处理器、控制器和/或芯片组、存储器结构、总线等等为例的某些硬件元件。此外,所说明的信任权威服务12使用网络接口27来在适当时与云计算节点14和/或询问应用16交换通信。例如,网络接口27可以提供平台外无线通信功能用于各种各样的目的,例如以蜂窝电话(例如,宽带码分多址/W-CDMA(通用移动电信系统/UMTS)、CDMA2000(IS-856/IS-2000)等等)、Wi-Fi(无线保真,例如电气与电子工程师协会/IEEE 802.11-2007,无线局域网/LAN介质访问控制(MAC)和物理层(PHY)规范)、LR-WPAN(低速率无线个人域网,例如IEEE802.15.4-2006)、蓝牙(例如IEEE 802.15.1-2005,无线个人域网)、WiMax(例如,IEEE 802.16-2004、LAN/MAN宽带无线LANS)、GPS(全球定位系统)、扩展频谱(例如900 MHz)和其它RF(射频)电话目的为例。网络接口27还可以提供平台外有线通信(例如RS-232(电子工业联盟/WIA)、以太网(例如IEEE 802.3-2005)、电力线通信(例如X10、IEEE P1657)、USB(例如通用串行总线,例如USB规范3.0,版本1.0,2008年11月12日,USB实施者论坛)、DSL(数字用户线)、电缆调制解调器、T1连接等等功能。
图2示出了操作信任权威服务的方法42。方法42可以在诸如已经讨论的信任权威服务12(图1)的信任权威服务中被实现为存储在至少一个机器或计算机可读存储介质中、可配置逻辑中、使用电路技术的固定功能硬件中或者其任意组合中的一组可执行逻辑指令,该机器或计算机可读存储介质例如是随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、闪存、固件、微代码等等,该可配置逻辑例如是可编程逻辑阵列(PLA)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD),该电路技术例如是专用集成电路(ASIC)、互补金属氧化物半导体(CMOS)或晶体管-晶体管逻辑(TTL)技术。例如,可以使用一种或多种编程语言的任意组合来编写用于执行在方法42中示出的操作的计算机程序代码,该编程语言包括诸如C++等等的面向对象的编程语言和诸如“C”编程语言的常规过程编程语言或者类似的编程语言。而且,方法42的各种方面可以被实现为使用前述电路技术中的任意一种的处理器的嵌入式逻辑。
所说明的处理块44基于与远程信任代理相关联的通信从多个管理程序协议选择管理程序协议。选定的管理程序协议可以在块46处用于对通信中的一个或多个数字签名值进行信任分析。在一个示例中,信任分析包括将该数字签名值与一个或多个已知值进行比较,如已经讨论的。因而,如果通信被从伪装为受信云计算节点的设备接收到,则过程在块46处可以确定通信中的数字签名值不与该已知值相对应/相匹配。此外,块48可以基于该信任分析来处理云证明请求。因而,如果已经确定数字签名值与已知值不相对应/相匹配,则块48可以涉及生成指示讨论中的设备不是可信任的输出。在另一示例中,所说明的方法42可以证明/输出讨论中的远程设备的受信地理位置值。
现在转到图3,示出了云计算节点(“节点i”)50的示例。可以包括服务器、网络设备、客户端设备等等的所说明的云计算节点50可以容易地代替已经讨论的一个或多个节点14(图1)。在所说明的示例中,节点50的硬件层包括中央处理单元(CPU)和芯片组52以及具有PCR 56和非易失性RAM(NVRAM)58的受信平台模块(TPM)54。节点50的软件堆可以包括基本输入/输出系统(BIOS)/固件(FW)层60和具有信任代理64和受信引导(“tboot”)代码66的管理程序层62。信任代理64可以具有与已经讨论的信任代理22(图1)的功能类似的功能。所说明的节点50还包括多个虚拟机68,其中虚拟机68中的两个或更多个可以使用不同的OS。
一旦所说明的CPU和芯片组52以及TPM 54被正确地提供(例如,用于受信执行、地理位置等等),所说明的tboot代码66就可以使用地理位置值和其它软件散列填充PCR 56,其中信任代理64可以从PCR 56取回信息,对它进行数字签名,并且将它作为通信传输到信任权威服务70。可以包括与已经讨论的信任权威服务12(图1)的功能类似的功能的信任权威服务70可以接着使用数字签名值来经由证明处理机74对来自云管理应用72的一个或多个云证明请求做出响应。因而,所说明的云管理应用72可以具有与已经讨论的一个或多个询问应用16的功能类似的功能。
图4A示出了接口76,其中云计算基础设施中的一组虚拟集群78(78a、78b)使用从与集群78相关联的信任代理获得的地理位置信息被标记。接口76可以因此对基于地理位置的信任分析做出响应而经由例如以询问应用16(图1)或云管理应用72(图3)为例的应用被输出给用户。在所说明的示例中,已经确定运行特定虚拟机(VM1)的第一集群78a位于美国(USA),而第二集群78b位于印度。图4B示出了接口80,其可以在具有要求所有云计算资源都物理地位于美国的策略(例如,政府风险和遵从)的环境中由将虚拟机从第一集群78a迁移到第二集群78b的企图产生。特别是,所说明的接口80包括指示所提出的迁移违反适当的地理位置遵从策略的警告消息82。
实施例可以因此涉及操作信任权威服务的方法,其中管理程序协议基于与远程信任代理相关联的通信被从多个管理程序协议中选择。选定的管理程序协议可以用于对通信中的一个或多个数字签名值进行信任分析。此外,该方法可以规定基于信任分析来处理云证明请求。在一个示例中,处理云证明请求包括生成云计算节点的可信任性验证输出。
在一个示例中,从多个管理程序协议选择管理程序协议包括选择协议特定插件。
在另一示例中,该方法进一步包括从白名单资源库取回一个或多个已知值,其中信任分析包括将一个或多个数字签名值与一个或多个已知值进行比较。该方法还可以包括经由白名单门户接收一个或多个已知值,并且使用该一个或多个已知值填充白名单资源库。此外,该一个或多个已知值和一个或多个数字签名值包括寄存器值和日志数据中的一个或多个。
在另一示例中,该方法进一步包括从与远程信任代理相关联的云计算节点接收通信,其中处理云证明请求包括生成云计算节点的可信任性验证输出。此外,可以从服务器、网络设备和客户端设备中的一个或多个接收通信。
在另一示例中,该方法进一步包括经由云管理接口、虚拟化管理接口、策略接口、遵从接口和安全接口中的一个或多个接收云证明请求。
在另一示例中,处理云证明请求包括访问信任高速缓存。
实施例还可以包括包含多个指令的至少一个机器可读介质,所述指令对在计算设备上被执行做出响应而使所述计算设备执行前述方法的任意示例、用于操作信任权威服务的被配置为执行前述方法的任意示例的装置以及用于操作信任权威服务的包括网络接口和被配置为执行前述方法的任意示例的芯片组的系统。
实施例还可以包括具有一组指令的至少一个计算机可访问和/或机器可读存储介质,所述指令如果被处理器执行则使计算设备基于与远程信任代理相关联的通信从多个管理程序协议选择管理程序协议。指令还可以使计算设备使用选定的管理程序协议来对通信中的一个或多个数字签名值进行信任分析,并且基于信任分析来处理云证明请求。在一个示例中,处理云证明请求包括生成云计算节点的可信任性证明输出。
其它实施例可以涉及操作信任权威服务的方法,其中一个或多个已知值经由白名单门户被接收,并且使用该一个或多个已知值来填充白名单资源库。该方法还可以规定从与远程信任代理相关联的云计算节点接收通信,并且基于与该通信相对应的管理程序协议从多个协议特定插件选择协议特定插件。此外,一个或多个已知值可以从白名单资源库被取回,其中选定的协议特定插件可以用于进行通信中的一个或多个数字签名地理位置值的信任分析。在一个示例中,信任分析包括将一个或多个数字签名地理位置值与一个或多个已知值进行比较,其中该已知值包括地图数据。而且,该方法可以规定基于信任分析处理云证明请求,其中处理云证明请求包括生成云计算节点的位置验证输出。
在一个示例中,从服务器、网络设备和客户端设备中的一个或多个接收通信。
在另一示例中,该方法进一步包括经由云管理接口、虚拟化管理接口、策略接口、遵从接口和安全接口中的一个或多个接收云证明请求。
在另一示例中,处理云证明请求包括访问信任高速缓存。
实施例还可以包括包含多个指令的至少一个机器可读介质,所述指令对在计算设备上被执行做出响应而使该计算设备执行前述方法的任意示例、用于操作信任权威服务的被配置为执行前述方法的任意示例的装置和用于操作信任权威服务的包括网络接口和被配置为执行前述方法的任意示例的芯片组的系统。
此外,实施例可以包括一种装置,该装置具有白名单资源库和带有白名单门户的白名单模块,其中白名单模块经由白名单门户接收一个或多个已知值,并且使用该一个或多个已知值填充白名单资源库。该装置还可以包括信任模块,其具有用于从与远程信任代理相关联的云计算节点接收通信的证明服务器逻辑以及用于基于与通信相对应的管理程序协议从多个协议特定插件选择协议特定插件的信任验证器。信任验证器还可以从白名单资源库取回一个或多个已知值,并且使用选定的协议特定插件来进行通信中的一个或多个数字签名地理位置值的信任分析。在一个示例中,信任分析包括一个或多个数字签名地理位置值与一个或多个已知值的比较,并且证明服务器逻辑基于信任分析生成云计算节点的位置验证输出。
实施例还可以包括一种系统,该系统具有用于从与远程信任代理相关联的云计算节点识别通信的网络接口。该系统还可以具有芯片组,其具有用于基于通信从多个管理程序协议选择管理程序协议的信任验证器。此外,信任验证器可以使用选定的协议特定插件来进行通信中的一个或多个数字签名地理位置值的信任分析,其中,该芯片组进一步包括基于信任分析来处理云证明请求的证明服务器逻辑。
本文描述的技术因此提供了远程证明的方法,该远程证明在多OS/多管理程序环境中的数百/数千个主机和设备当中是可升级的。这样的技术能够在将应用和工作负荷分派到主机、设备和云计算基础设施中的其它资源之前做出可信任性确定。而且,地理位置信息可以被存储并且以高度灵活的防篡改方法被取回。
本发明实施例的某些方面可以使用硬件、软件或其组合来实现,并且可以在一个或多个计算机系统或其它处理系统中实现。程序代码可以应用于使用输入设备输入的数据以便执行所描述的功能并且生成输出信息。该输出信息可以被应用于一个或多个输出设备。本领域中的普通技术人员可以认识到,实施例可以使用包括多处理器系统、小型计算机、大型计算机等等的各种计算机系统配置实施。实施例也可以在其中任务可以由经过通信网络链接的远程处理设备执行的分布式计算环境中实施。
每一个程序可以用高级过程或面向对象的编程语言实现以便与处理系统进行通信。然而如果期望,程序可以用汇编或机器语言实现。在任何情况下,语言可以被编译或者解释。
程序指令可以用于使以指令被编程的通用或专用处理系统执行本文描述的方法。可选地,该方法可以由包含用于执行该方法的硬连线逻辑的专用硬件部件或由编程计算机部件和定制硬件部件的任何组合执行。本文描述的方法可以作为包括至少一个机器可读介质的计算机程序产品被提供,该机器可读介质具有存储在其上的指令,该指令可以用于对处理系统或其它电子设备进行编程以便执行所述方法。本文使用的词语“机器可读介质”或“机器可访问介质”应该包括能够存储或编码指令序列的任何介质,所述指令用于由机器执行并且使该机器执行本文描述的任意方法。词语“机器可读介质”或“机器可访问介质”可以因此包括但不局限于固态存储器、光盘和磁盘以及对数字信号进行编码的载波。而且,将软件以一种形式或另一形式(例如程序、流程、过程、应用、模块、逻辑等等)说明为采取动作或引起结果在本领域中是常见的。这样的表述仅仅是陈述由处理系统执行软件以使处理器执行动作或者产生结果的简略方式。
词语“耦合”可以在本文用于指代讨论中的部件之间的任何类型的关系,直接或间接,并且可以适用于电气、机械、流体、光学、电磁、机电或其它连接。此外,词语“第一”、“第二”等等可以在本文仅用于便于讨论,并且除非以其它方式指示,不承载特定的时间或按时间顺序的意义。
尽管上面描述了本发明的各种实施例,但是应该理解,它们仅作为示例而非限制的方式被提出。本领域中的技术人员将理解,可以在不偏离如在所附权利要求中限定的本发明的精神和范围的情况下在形式和细节方面做出各种改变。因而,本发明的广度和范围不应该由上述示例性实施例中的任意一个限定,而是应该根据下面的权利要求及其等效形式进行限定。
Claims (35)
1.一种方法,包括:
经由白名单门户接收一个或多个已知值;
使用所述一个或多个已知值填充白名单资源库;
从与远程信任代理相关联的云计算节点接收通信;
基于与所述通信相对应的管理程序协议从多个协议特定插件中选择协议特定插件;
从所述白名单资源库取回所述一个或多个已知值;
使用选定的协议特定插件进行所述通信中的一个或多个数字签名地理位置值的信任分析,其中,所述信任分析包括将所述一个或多个数字签名地理位置值与所述一个或多个已知值进行比较;并且
基于所述信任分析处理云证明请求,其中,处理所述云证明请求包括生成所述云计算节点的位置证明输出。
2.如权利要求1所述的方法,其中,所述通信是从服务器、网络设备和客户端设备中的一个或多个接收的。
3.如权利要求1所述的方法,进一步包括经由云管理接口、虚拟化管理接口、策略接口、遵从接口和安全接口中的一个或多个接收所述云证明请求。
4.如权利要求1所述的方法,其中,处理所述云证明请求包括访问信任高速缓存。
5.一种装置,包括:
白名单资源库;
白名单模块,包括白名单门户,所述白名单模块用于:
经由所述白名单门户接收一个或多个已知值;并且
使用所述一个或多个已知值填充所述白名单资源库;以及
信任模块,包括:
证明服务器逻辑,用于从与远程信任代理相关联的云计算节点接收通信;以及
信任验证器,用于基于与所述通信相对应的管理程序协议从多个协议特定插件中选择协议特定插件,从所述白名单资源库取回所述一个或多个已知值,并且使用选定的协议特定插件进行所述通信中的一个或多个数字签名地理位置值的信任分析,其中,所述信任分析包括将所述一个或多个数字签名地理位置值与所述一个或多个已知值进行比较,并且其中,所述证明服务器逻辑基于所述信任分析生成所述云计算节点的位置证明输出。
6.如权利要求5所述的装置,其中,所述通信是从服务器、网络设备和客户端设备中的一个或多个接收的。
7.如权利要求5所述的装置,进一步包括用于经由云管理接口、虚拟化管理接口、策略接口、遵从接口和安全接口中的一个或多个接收云证明请求的证明处理机。
8.如权利要求7所述的装置,进一步包括信任高速缓存,其中,所述证明处理机使用所述信任高速缓存处理所述云证明请求。
9.一种方法,包括:
基于与远程信任代理相关联的通信从多个管理程序协议中选择管理程序协议;
使用选定的管理程序协议进行所述通信中的一个或多个数字签名值的信任分析;并且
基于所述信任分析处理云证明请求。
10.如权利要求9所述的方法,其中,从多个管理程序协议中选择所述管理程序协议包括选择协议特定插件。
11.如权利要求9所述的方法,进一步包括从白名单资源库取回一个或多个已知值,其中,所述信任分析包括将所述一个或多个数字签名值与所述一个或多个已知值进行比较。
12.如权利要求11所述的方法,进一步包括:
经由白名单门户接收所述一个或多个已知值;并且
使用所述一个或多个已知值填充所述白名单资源库。
13.如权利要求11所述的方法,其中,所述一个或多个已知值和所述一个或多个数字签名值包括寄存器值和轨迹数据中的一个或多个。
14.如权利要求9所述的方法,进一步包括从与所述远程信任代理相关联的云计算节点接收所述通信,其中,处理所述云证明请求包括生成所述云计算节点的可信任性验证输出。
15.如权利要求14所述的方法,其中,所述通信是从服务器、网络设备和客户端设备中的一个或多个接收的。
16.如权利要求9所述的方法,进一步包括经由云管理接口、虚拟化管理接口、策略接口、遵从接口和安全接口中的一个或多个接收所述云证明请求。
17.如权利要求9所述的方法,其中,处理所述云证明请求包括访问信任高速缓存。
18.包括一组指令的至少一个机器可访问存储介质,所述指令如果被处理器执行则使计算设备执行下列操作:
基于与远程信任代理相关联的通信从多个管理程序协议中选择管理程序协议;
使用选定的管理程序协议进行所述通信中的一个或多个数字签名值的信任分析;并且
基于所述信任分析处理云证明请求。
19.如权利要求18所述的介质,其中,如果被执行,所述指令使计算设备选择协议特定插件。
20.如权利要求18所述的介质,其中,如果被执行,所述指令使计算设备从白名单资源库取回一个或多个已知值,其中,所述信任分析包括将所述一个或多个数字签名值与所述一个或多个已知值进行比较。
21.如权利要求20所述的介质,其中,如果被执行,所述指令使计算设备执行下列操作:
经由白名单门户接收所述一个或多个已知值;并且
使用所述一个或多个已知值填充所述白名单资源库。
22.如权利要求20所述的介质,其中,所述一个或多个已知值和所述一个或多个数字签名值包括寄存器值和轨迹数据中的一个或多个。
23.如权利要求18所述的介质,其中,如果被执行,所述指令使计算设备从与所述远程信任代理相关联的云计算节点接收所述通信,其中,处理所述云证明请求包括生成所述云计算节点的可信任性验证输出。
24.如权利要求23所述的介质,其中,所述通信是从服务器、网络设备和客户端设备中的一个或多个接收的。
25.如权利要求18所述的介质,其中,如果被执行,所述指令使计算设备经由云管理接口、虚拟化管理接口、策略接口、遵从接口和安全接口中的一个或多个接收所述云证明请求。
26.如权利要求18所述的介质,其中,如果被执行,所述指令使计算设备访问信任高速缓存以便处理所述云证明请求。
27.一种系统,包括:
网络接口,用于识别来自与远程信任代理相关联的云计算节点的通信;以及
芯片组,包括信任验证器,用于:
基于所述通信从多个管理程序协议中选择管理程序协议,并且
使用选定的管理程序协议进行所述通信中的一个或多个数字签名值的信任分析,
其中,所述芯片组进一步包括用于基于所述信任分析处理云证明请求的证明服务器逻辑。
28.如权利要求27所述的系统,其中,所述信任验证器用于选择协议特定插件。
29.如权利要求27所述的系统,进一步包括用于存储白名单资源库的存储器,其中,所述信任验证器用于从所述白名单资源库取回一个或多个已知值,并且其中,所述信任分析包括将所述一个或多个数字签名值与所述一个或多个已知值进行比较。
30.如权利要求29所述的系统,其中,所述芯片组进一步包括白名单模块,用于:
经由白名单门户接收所述一个或多个已知值;并且
使用所述一个或多个已知值填充所述白名单资源库。
31.如权利要求29所述的系统,其中,所述一个或多个已知值和所述一个或多个数字签名值包括寄存器值和轨迹数据中的一个或多个。
32.如权利要求27所述的系统,其中,所述通信是从与所述远程信任代理相关联的云计算节点接收的,其中,处理所述云证明请求包括生成所述云计算节点的可信任性验证输出。
33.如权利要求32所述的系统,其中,所述通信是从服务器、网络设备和客户端设备中的一个或多个接收的。
34.如权利要求27所述的系统,进一步包括用于经由云管理接口、虚拟化管理接口、策略接口、遵从接口和安全接口中的一个或多个接收所述云证明请求的证明处理机。
35.如权利要求34所述的系统,进一步包括信任高速缓存,其中,所述信任处理机用于访问所述信任高速缓存。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
USPCT/US2012/023188 | 2012-01-30 | ||
PCT/US2012/023188 WO2013115776A1 (en) | 2012-01-30 | 2012-01-30 | Remote trust attestation and geo-location of of servers and clients in cloud computing environments |
US13/421,437 US9256742B2 (en) | 2012-01-30 | 2012-03-15 | Remote trust attestation and geo-location of servers and clients in cloud computing environments |
US13/421,437 | 2012-03-15 | ||
PCT/US2013/023623 WO2013116214A1 (en) | 2012-01-30 | 2013-01-29 | Remote trust attestation and geo-location of servers and clients in cloud computing environments |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104081407A true CN104081407A (zh) | 2014-10-01 |
CN104081407B CN104081407B (zh) | 2017-12-22 |
Family
ID=48871526
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380007266.2A Expired - Fee Related CN104081407B (zh) | 2012-01-30 | 2013-01-29 | 用于云计算环境中的服务器和客户端的远程信任证明和地理位置功能的方法、装置和系统 |
Country Status (4)
Country | Link |
---|---|
US (2) | US9256742B2 (zh) |
EP (2) | EP3570195A1 (zh) |
CN (1) | CN104081407B (zh) |
WO (1) | WO2013116214A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111095865A (zh) * | 2019-07-02 | 2020-05-01 | 阿里巴巴集团控股有限公司 | 用于发布可验证声明的系统和方法 |
CN113055162A (zh) * | 2021-03-10 | 2021-06-29 | 重庆邮电大学 | 一种基于国密算法的wia-pa网络安全通信方法 |
CN113302893A (zh) * | 2019-01-08 | 2021-08-24 | 华为技术有限公司 | 用于信任验证的方法及装置 |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
BR112014018826A8 (pt) | 2012-01-30 | 2017-07-11 | Intel Corp | Técnicas de certificação de confiabilidade remota e de geo-localização de servidores e clientes em ambientes de computação em nuvem |
US9256742B2 (en) | 2012-01-30 | 2016-02-09 | Intel Corporation | Remote trust attestation and geo-location of servers and clients in cloud computing environments |
WO2014060633A1 (en) * | 2012-10-16 | 2014-04-24 | Nokia Corporation | Attested sensor data reporting |
US9456344B2 (en) | 2013-03-15 | 2016-09-27 | Ologn Technologies Ag | Systems, methods and apparatuses for ensuring proximity of communication device |
US9698991B2 (en) * | 2013-03-15 | 2017-07-04 | Ologn Technologies Ag | Systems, methods and apparatuses for device attestation based on speed of computation |
US10177915B2 (en) | 2013-03-15 | 2019-01-08 | Ologn Technologies Ag | Systems, methods and apparatuses for device attestation based on speed of computation |
EP2995061B1 (en) | 2013-05-10 | 2018-04-18 | OLogN Technologies AG | Ensuring proximity of wifi communication devices |
US9455998B2 (en) | 2013-09-17 | 2016-09-27 | Ologn Technologies Ag | Systems, methods and apparatuses for prevention of relay attacks |
US10305893B2 (en) | 2013-12-27 | 2019-05-28 | Trapezoid, Inc. | System and method for hardware-based trust control management |
US9258331B2 (en) * | 2013-12-27 | 2016-02-09 | Trapezoid, Inc. | System and method for hardware-based trust control management |
US10389709B2 (en) * | 2014-02-24 | 2019-08-20 | Amazon Technologies, Inc. | Securing client-specified credentials at cryptographically attested resources |
US9760712B2 (en) * | 2014-05-23 | 2017-09-12 | Vmware, Inc. | Application whitelisting using user identification |
CN106537963B (zh) * | 2014-06-13 | 2021-04-27 | 飞利浦灯具控股公司 | 基于无线节点的网络进行的定位 |
WO2016036858A1 (en) * | 2014-09-03 | 2016-03-10 | Virtustream, Inc. | Systems and methods for securely provisioning the geographic location of physical infrastructure elements in cloud computing environments |
US9641630B2 (en) * | 2014-12-15 | 2017-05-02 | International Business Machines Corporation | Location-enforced data management in complex multi-region computing |
US10038591B1 (en) * | 2015-01-09 | 2018-07-31 | Juniper Networks, Inc. | Apparatus, system, and method for secure remote configuration of network devices |
US10778720B2 (en) * | 2015-06-12 | 2020-09-15 | Teleputers, Llc | System and method for security health monitoring and attestation of virtual machines in cloud computing systems |
EP3176990B1 (en) * | 2015-12-01 | 2021-04-28 | France Brevets | Location based trusted computing nodes in a cloud computing architecture |
US9860131B2 (en) * | 2016-01-07 | 2018-01-02 | International Business Machines Corporation | System and method for policy-based geolocation services for virtual servers |
EP3465253B1 (en) | 2016-06-01 | 2022-04-13 | Nokia Technologies Oy | Seismic determination of location |
US10396991B2 (en) * | 2016-06-30 | 2019-08-27 | Microsoft Technology Licensing, Llc | Controlling verification of key-value stores |
US10484429B1 (en) * | 2016-10-26 | 2019-11-19 | Amazon Technologies, Inc. | Automated sensitive information and data storage compliance verification |
US10482034B2 (en) * | 2016-11-29 | 2019-11-19 | Microsoft Technology Licensing, Llc | Remote attestation model for secure memory applications |
DE112018000525T5 (de) * | 2017-01-25 | 2019-10-10 | Cable Television Laboratories Inc. | Systeme und Verfahren für die Authentifizierung von Platform Trust bzw. Plattform-Vertrauen in einerNetzwerkfunktions-Virtualisierungsumgebung |
US10783235B1 (en) | 2017-05-04 | 2020-09-22 | Amazon Technologies, Inc. | Secure remote access of computing resources |
US10033756B1 (en) | 2017-10-26 | 2018-07-24 | Hytrust, Inc. | Methods and systems for holistically attesting the trust of heterogeneous compute resources |
CN108040031B (zh) * | 2017-10-31 | 2020-12-29 | 安徽四创电子股份有限公司 | 一种基于portal协议实现AC黑白名单控制方法 |
US11016798B2 (en) | 2018-06-01 | 2021-05-25 | The Research Foundation for the State University | Multi-hypervisor virtual machines that run on multiple co-located hypervisors |
US11023587B2 (en) * | 2018-06-03 | 2021-06-01 | Apple Inc. | External trust cache |
US11223606B2 (en) * | 2018-06-29 | 2022-01-11 | Intel Corporation | Technologies for attesting a deployed workload using blockchain |
US11334345B2 (en) * | 2020-10-08 | 2022-05-17 | Pelion Technology, Inc. | Differential firmware update generation |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100085984A1 (en) * | 2008-10-08 | 2010-04-08 | Electronics And Telecommunications Research Institute | Method and ip translator for translating protocol to support compatibility between networks each employing different types of protocols |
US20110302415A1 (en) * | 2010-06-02 | 2011-12-08 | Vmware, Inc. | Securing customer virtual machines in a multi-tenant cloud |
CN102316203A (zh) * | 2011-09-21 | 2012-01-11 | 广州市动景计算机科技有限公司 | 基于云计算的骚扰电话防止方法、装置及移动终端 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7117366B2 (en) | 2002-01-08 | 2006-10-03 | International Business Machines Corporation | Public key based authentication method for transaction delegation in service-based computing environments |
CN100566255C (zh) | 2007-02-01 | 2009-12-02 | 北京飞天诚信科技有限公司 | 提高智能密钥设备安全性的方法和系统 |
US8156298B1 (en) | 2007-10-24 | 2012-04-10 | Adam Stubblefield | Virtualization-based security apparatuses, methods, and systems |
PL384648A1 (pl) | 2008-03-10 | 2009-09-14 | Andrzej Sadowski | Futerał na cyfrowy aparat fotograficzny |
US8950007B1 (en) | 2008-04-07 | 2015-02-03 | Lumension Security, Inc. | Policy-based whitelisting with system change management based on trust framework |
US9106540B2 (en) | 2009-03-30 | 2015-08-11 | Amazon Technologies, Inc. | Providing logical networking functionality for managed computer networks |
US7941379B1 (en) * | 2009-06-25 | 2011-05-10 | Symantec Corporation | Systems and methods for using geo-location information in sensitive internet transactions |
US8490150B2 (en) | 2009-09-23 | 2013-07-16 | Ca, Inc. | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems |
US8619779B2 (en) | 2009-09-30 | 2013-12-31 | Alcatel Lucent | Scalable architecture for enterprise extension in a cloud topology |
KR20110051028A (ko) | 2009-11-09 | 2011-05-17 | 주식회사 케이티 | 보안 기능이 구비된 클라우드 컴퓨팅 시스템 |
US8924569B2 (en) | 2009-12-17 | 2014-12-30 | Intel Corporation | Cloud federation as a service |
US8938782B2 (en) | 2010-03-15 | 2015-01-20 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
US8793439B2 (en) | 2010-03-18 | 2014-07-29 | Oracle International Corporation | Accelerating memory operations using virtualization information |
US8505003B2 (en) * | 2010-04-28 | 2013-08-06 | Novell, Inc. | System and method for upgrading kernels in cloud computing environments |
TW201145936A (en) | 2010-06-08 | 2011-12-16 | Sun Hon Technology Corp | Applying operation Bonder Bonder Authentication and human-machine Authentication method |
US8601129B2 (en) | 2010-06-30 | 2013-12-03 | International Business Machines Corporation | Hypervisor selection for hosting a virtual machine image |
US9519781B2 (en) * | 2011-11-03 | 2016-12-13 | Cyphort Inc. | Systems and methods for virtualization and emulation assisted malware detection |
US9992024B2 (en) | 2012-01-25 | 2018-06-05 | Fujitsu Limited | Establishing a chain of trust within a virtual machine |
BR112014018826A8 (pt) | 2012-01-30 | 2017-07-11 | Intel Corp | Técnicas de certificação de confiabilidade remota e de geo-localização de servidores e clientes em ambientes de computação em nuvem |
US9256742B2 (en) | 2012-01-30 | 2016-02-09 | Intel Corporation | Remote trust attestation and geo-location of servers and clients in cloud computing environments |
-
2012
- 2012-03-15 US US13/421,437 patent/US9256742B2/en not_active Expired - Fee Related
-
2013
- 2013-01-29 EP EP19186072.5A patent/EP3570195A1/en not_active Withdrawn
- 2013-01-29 WO PCT/US2013/023623 patent/WO2013116214A1/en active Application Filing
- 2013-01-29 EP EP13744281.0A patent/EP2810209B1/en active Active
- 2013-01-29 CN CN201380007266.2A patent/CN104081407B/zh not_active Expired - Fee Related
-
2015
- 2015-12-24 US US14/998,081 patent/US9774602B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100085984A1 (en) * | 2008-10-08 | 2010-04-08 | Electronics And Telecommunications Research Institute | Method and ip translator for translating protocol to support compatibility between networks each employing different types of protocols |
US20110302415A1 (en) * | 2010-06-02 | 2011-12-08 | Vmware, Inc. | Securing customer virtual machines in a multi-tenant cloud |
CN102316203A (zh) * | 2011-09-21 | 2012-01-11 | 广州市动景计算机科技有限公司 | 基于云计算的骚扰电话防止方法、装置及移动终端 |
Non-Patent Citations (2)
Title |
---|
ANTONIO CELESTI ET AL: "A Remote Attestation Approach for a Secure Virtual Machine Migration in Federated Cloud Environments", 《2011 FIRST INTERNATIONAL SYMPOSIUM ON NETWORK CLOUD COMPUTING AND APPLICATIONS》 * |
WANG HAN-ZHANG ET AL: "An improved trusted cloud computing platform model based on DAA and Privacy CA scheme", 《2010 INTERNATIONAL CONFERENCE ON COMPUTER APPLICATION AND SYSTEM MODELING(ICCASM 2010)》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113302893A (zh) * | 2019-01-08 | 2021-08-24 | 华为技术有限公司 | 用于信任验证的方法及装置 |
CN111095865A (zh) * | 2019-07-02 | 2020-05-01 | 阿里巴巴集团控股有限公司 | 用于发布可验证声明的系统和方法 |
CN111095865B (zh) * | 2019-07-02 | 2023-08-04 | 创新先进技术有限公司 | 用于发布可验证声明的系统和方法 |
CN113055162A (zh) * | 2021-03-10 | 2021-06-29 | 重庆邮电大学 | 一种基于国密算法的wia-pa网络安全通信方法 |
Also Published As
Publication number | Publication date |
---|---|
US20130198797A1 (en) | 2013-08-01 |
EP2810209A1 (en) | 2014-12-10 |
CN104081407B (zh) | 2017-12-22 |
EP2810209A4 (en) | 2015-09-23 |
EP3570195A1 (en) | 2019-11-20 |
US20160134636A1 (en) | 2016-05-12 |
WO2013116214A1 (en) | 2013-08-08 |
EP2810209B1 (en) | 2019-07-17 |
US9774602B2 (en) | 2017-09-26 |
US9256742B2 (en) | 2016-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104081407A (zh) | 云计算环境中的服务器和客户端的远程信任证明和地理位置 | |
US9910972B2 (en) | Remote trust attestation and geo-location of servers and clients in cloud computing environments | |
JP6463269B2 (ja) | データ・センター内のデータ・センター・サーバで実行される仮想ディスク・イメージの地理的位置を確認するための方法、システム、およびコンピュータ・プログラム製品 | |
CN106133743B (zh) | 用于优化预安装应用程序的扫描的系统和方法 | |
US9270467B1 (en) | Systems and methods for trust propagation of signed files across devices | |
US20180330093A1 (en) | Performing an action based on a pre-boot measurement of a firmware image | |
US20160366130A1 (en) | Apparatus and method for providing security service based on virtualization | |
CN108595983B (zh) | 一种基于硬件安全隔离执行环境的硬件架构、及应用上下文完整性度量方法 | |
WO2017143757A1 (zh) | 云计算平台的可信度量方法和装置 | |
CN107704308B (zh) | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 | |
EP3217310B1 (en) | Hypervisor-based attestation of virtual environments | |
US9537738B2 (en) | Reporting platform information using a secure agent | |
US20200110879A1 (en) | Trusted computing attestation of system validation state | |
US11689365B2 (en) | Centralized volume encryption key management for edge devices with trusted platform modules | |
WO2015182418A1 (ja) | 動的読み込みコード解析装置、動的読み込みコード解析方法及び動的読み込みコード解析プログラム | |
WO2023012201A1 (en) | Attestation of a secure guest | |
JP6284301B2 (ja) | 保守作業判定装置および保守作業判定方法 | |
US20230261867A1 (en) | Centralized volume encryption key management for edge devices with trusted platform modules | |
US20230239137A1 (en) | Linking a physical identifier to a digital identifier | |
US20230421601A1 (en) | Multi-factor authentication in endpoint detection and response | |
US20240129289A1 (en) | User certificate with user authorizations | |
TWI602078B (zh) | 於雲端運算環境中供伺服器與客戶端的遠端信任證實及地理位置用之方法、設備、媒體及系統 | |
WO2012096558A1 (en) | System and method to provide integrity measurement of a machine without tpm using trusted agent | |
CN114297603A (zh) | 基于云手机的生物特征鉴权方法、装置、云手机平台及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171222 Termination date: 20200129 |
|
CF01 | Termination of patent right due to non-payment of annual fee |