CN104620278B - 用于保证而不显露基础结构的复合认证 - Google Patents
用于保证而不显露基础结构的复合认证 Download PDFInfo
- Publication number
- CN104620278B CN104620278B CN201280075765.0A CN201280075765A CN104620278B CN 104620278 B CN104620278 B CN 104620278B CN 201280075765 A CN201280075765 A CN 201280075765A CN 104620278 B CN104620278 B CN 104620278B
- Authority
- CN
- China
- Prior art keywords
- service
- certificate
- certification
- compound
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5041—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Data Mining & Analysis (AREA)
- Operations Research (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Finance (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
提供了经由证书媒介来提供复合证书的技术。在一些示例中,证书媒介可以生成复合证书,复合证书捕获了应用的通过认证的行为及其基础的子服务,而不显露提供给客户的子服务的标识。证书媒介可以从认证权威接收各种证书。在其他示例中,认证权威可以生成复合证书,或者认证媒介可以充当至少一部分子服务的认证权威。
Description
背景技术
除非在此处进行说明,否则此处所描述的材料不是本申请权利要求的现有技术并且不因包含在该部分中而承认是现有技术。
随着基于云的计算变得更加普遍,云服务会变得更加廉价且更加通用。在一些情况下,基于云的服务应用可构建于其他云服务或平台之上。这些基于服务的云体系结构可以提供用于快速构建强大数据中心应用的灵活的工具。连同云服务的认证一起,基于服务的体系结构可允许在保持期望标准的同时实现复杂目标的商业处理服务的自动发现和构建。云服务认证可以利用证书来建立各服务要素对各自规则、标准和惯例的遵守。通常,可以通过将支持上级应用的较低级子服务的证书暴露于应用客户来确认这些证书。例如,如果特定的存储服务是应用的基础,则可以将用于该特定存储服务的特定证书显露给客户。这意味着,使用服务的任何人都可以得知用来构建上级服务的所有子服务。
发明概述
本公开一般描述了在基于数据中心的服务环境中采用复合认证来进行保证而不显露基础结构的技术。
根据一些示例性的实施例,采用复合认证用于保证的方法可以包括:在媒介认证服务处接收来自服务应用的用于认证的重定向请求;从认证权威处请求与服务应用和服务应用的服务要素相关联的证书;接收证书;基于接收到的证书构成复合证书,其中复合证书禁止服务要素的标识;以及响应于重定向请求而提供复合证书。
根据其他的示例性实施例,采用复合证书用于保证的方法可以包括:从数据中心托管的应用接收服务请求,其中所述请求包括认证请求;将认证请求与服务请求分离;从认证权威处请求与应用和应用的服务要素相关联的证书;接收证书;基于接收到的证书构成复合证书,其中复合证书禁止服务要素的标识;以及响应于服务请求而提供复合证书。
根据另外的示例性实施例,配置为采用复合认证用于保证的媒介认证服务可以包括:通信模块,其配置为与数据中心和认证权威所托管的服务应用通信;以及服务器。该服务器可配置为:从服务应用接收用于认证的重定向请求;从认证权威处请求与服务应用和服务应用的服务要素相关联的证书;接收证书;基于接收到的证书构成复合证书,其中复合证书禁止服务要素的标识;以及响应于重定向请求而提供复合证书。
根据另外的示例性实施例,配置为采用复合认证用于保证的基于云的数据中心可以包括:多个虚拟机,其可操作以在一个或多个物理机上执行,其中至少一个虚拟机托管配置为向客户提供组合服务的服务应用。数据中心还可以包括数据中心控制器,其配置为:从数据中心所托管的服务应用接收服务请求,其中该请求包括认证请求;将认证请求与服务请求分离;以及将认证请求转送给媒介认证服务,使得响应于服务请求而通过媒介认证服务来提供禁止服务要素的标识的由用于子服务的各证书构成的复合证书。
根据一些示例性的实施例,计算机可读存储介质可以存储采用复合证书用于保证的指令。所述指令可以包括:在媒介认证服务处接收来自服务应用的用于认证的重定向请求;从认证权威处请求与服务应用和服务应用的服务要素相关联的证书;接收证书;基于接收到的证书来构成复合证书,其中复合证书禁止服务要素的标识;以及响应于重定向请求而提供复合证书。
根据其他的示例性实施例,计算机可读存储介质可以存储采用复合认证用于保证的指令。所述指令可以包括:从数据中心托管的应用接收服务请求,其中所述请求包括认证请求;将认证请求与服务请求分离;从认证权威处请求与应用和应用的服务要素相关联的证书;接收证书;基于接收到的证书构成复合证书,其中复合证书禁止服务要素的标识;以及响应于服务请求而提供复合证书。
前面的概述仅仅是示例性的,而不意在以任何方式进行限制。通过参考附图以及下面的详细说明,除了上文所描述的示例性的方案、实施例和特征之外,另外的方案、实施例和特征将变得清晰可见。
附图说明
通过下面结合附图给出的详细说明和随附的权利要求,本公开的前述特征以及其它特征将变得更加清晰。应理解的是,这些附图仅描绘了依照本公开的多个实施例,因此,不应视为对本发明范围的限制,将通过利用附图结合附加的具体描述和细节对本公开进行说明,在附图中:
图1示出了复合认证可用于保证而不显露基础结构的示例的基于数据中心的系统;
图2示出了示例的系统,其中的应用提供组合服务及其子服务各自向该应用的客户提供单独的证书;
图3示出了示例的系统,其中通过使用复合证书能够使提供组合服务的应用避免暴露其子服务;
图4A示出了示例的系统,其中独立的媒介服务管理复合证书;
图4B示出了示例的系统,其中托管该应用的数据中心管理复合证书;
图5示出了通用计算设备,其可用于管理用于保证的复合认证而不显露基础结构;
图6是示出可以通过诸如图5中的设备的计算设备执行的示例方法的流程图;以及
图7示出了示例的计算机程序产品的框图;
所有都是依照本文所描述的至少一些实施例来布置的。
发明详述
在下面的详细说明中,将参考附图,附图构成了详细说明的一部分。在附图中,除非上下文指出,否则相似的符号通常表示相似的部件。在详细说明、附图和权利要求中所描述的示例性实施例不意在限制。可以使用其它实施例,并且可以做出其它改变,而不偏离本文呈现的主题的精神或范围。将易于理解的是,如本文大致描述且如图中所图示的,本公开的方案能够以各种不同配置来布置、替代、组合、分离和设计,所有这些都在本文中明确地构思出。
本公开一般尤其涉及与采用复合认证用于保证而不显露基础结构有关方法、装置、系统、设备和/或计算机程序产品。
简言之,提出了经由证书媒介来提供复合证书的技术。在一些示例中,证书媒介可以生成复合证书,复合证书捕获应用的通过认证的行为及其基础子服务,而不显露用于提供给客户的子服务的标识。证书媒介可以从认证权威接收各证书。在其他示例中,认证权威可以生成复合证书,或者证书媒介可以充当至少一部分子服务的认证权威。
图1示出了依照本文所描述的至少一些实施例布置的复合认证可用于保证而不显露基础结构的示例的基于数据中心的系统。
如图100所示,物理数据中心102可以包括一个或多个物理服务器110、111和113,多个物理服务器中的每一个可配置为提供一个或多个虚拟机104。例如,物理服务器111和113可以配置为分别提供四个虚拟机和两个虚拟机。在一些实施例中,一个或多个虚拟机可以组合到一个或多个虚拟数据中心中。例如,服务器111提供的四个虚拟机可以组合到虚拟数据中心112中。虚拟机104和/或虚拟数据中心112可配置为经由云106向诸如个体用户或企业客户的一组客户108提供诸如各种应用、数据存储、数据处理或类似服务的云相关数据/计算服务。
在一些示例中,一个或多个客户108可以经由组合了诸如存储、计算等各种子服务的数据中心向其客户端提供组合服务。客户108的客户端可以对来自客户108的服务请求认证。这种认证可以由第三方认证权威来提供。认证权威是发布数字证书的实体。数字证书可以通过证书的被指明主体来证明公共密钥的所有权。这允许其他人(依赖方)依赖于通过对应于经认证的公共密钥的私有密钥所做出的签名或断言,在这种信任关系的模型中。因此,认证权威是证书的主体(所有者)和依赖于证书的一方两者都信任的可信第三方。认证权威特点在于许多公共密钥基础结构(PKI)方案。VeriSign、Comodo和DigiNotar是一些示例的商业基础认证权威。大量的其他公司为例如其自己的软件提供证书。在一些情况下,在客户端信任的情况下数据中心操作者可以是认证权威,并且在被信任的情况下客户108甚至可以是“自签名”认证权威。例如,如果公司X为雇员或子公司提供服务,则该公司还可以充当认证权威。在常规环境下,第三方认证权威可以认证组合服务以及单个的子服务,从而向请求客户端标识子服务。在根据实施例的系统中,对于认证单个的子服务而没有向客户端标识它们的组合服务,可以生成复合证书。
图2示出了依照本文所描述的至少一些实施例布置的提供组合服务及其子服务的应用各自向应用的客户提供单独的证书的示例的系统。
如图200所示,应用客户224可以请求并接收来自应用226的服务。应用226可以操作于平台服务228(例如,提供硬件体系结构和/或软件架构以及其他以便运行应用的基于云的服务)之上。应用226还可以由存储服务230(即,提供数据存储的服务,通常是基于云的服务)、计算服务232(即,提供处理/计算能力的服务,通常是基于云的服务)、和/或任何其他服务支持。认证权威220可配置为对应用226、平台服务228、存储服务230和/或计算服务232执行测试且获得测试结果222。对应用226或子服务的测试可以包括测试应用处置各种数据量的容量、在繁忙条件下(例如,大量的客户端请求)的响应性、响应速度等。测试结果222可以与应用/服务是否遵守特定的规则、标准和/或惯例有关。
基于测试结果222、商业处理文档、审查或其他评估,认证权威220可以向应用和/或其子服务发布证书,其中每个证书可以证明关联的实体拥有某些属性或者满足某些条件。条件可以基于行业标准或客户端要求。例如,存储容量、数据传输速度、处理容量、安全级别等可以被定义为客户端请求条件。诸如数据处理容量、安全性等应用和/或子服务特征可视为针对该条件进行认证的特性。在示例的方案中,认证权威220可以发布应用证书234,证明应用226拥有属性“A”。认证权威220还可以发布平台证书236,证明平坦服务228拥有属性“B”。认证权威220可以进一步发布存储证书238,证明存储服务230拥有属性“C”。并且,认证权威220可以发布计算证书240,证明计算服务232拥有属性“D”。在一些实施例中,可以涉及到多于一个的认证权威。例如,应用证书234可以由一个认证权威发布,而平台证书236可以由不同的认证权威发布。在一些实施例中,多个认证权威可以发布用于单个应用或服务的证书。
当应用客户224接收到来自应用226的通过认证的服务时,应用客户224还可以请求并接收所有的证书234、236、238和240,从而确认认证权威220对接收到的服务的认证。
向应用客户224提供证书234、236、238和240中的每一证书可以意味着,应用客户224可以接收关于成为应用226的基础/支持应用226的具体服务的标识信息。例如,平台证书236可以标识平台服务228,存储证书238可以标识存储服务230,计算证书240可以标识计算服务232。然而,在一些实施例中,应用226的提供者可能不想公开支持应用226的具体服务。例如,利用其他服务的创造性的组合(有时称为“混聚”)的应用的提供者可能不想显露所组合的具体服务的标识。客户或竞争者能够容易地复制所标识的应用或者可以在应用226不充当媒介的情况下来使用它们。
一种可能的解决方案可以是允许应用226通过例如利用通过认证的属性的逻辑组合由证书234、236、238和240来构成交叉证书。例如,应用226可以通过利用分别来自证书234、236、238和240的属性的逻辑组合来构造交叉证书,证明应用226所提供的服务具有属性“A”、“B”、“C”和“D”。然而,该方法可能不安全,因为应用226能够伪造证书信息/属性和/或呈现来自其不再使用的服务或者其有时使用的服务的证书。例如,应用226可以在少量的时间内使用通过认证的存储服务238,而大多时候依赖于未通过认证(以及推测上较廉价)的存储服务。即使仅仅是极少使用通过认证的存储服务230,应用226随后也能够通过提供包括来自证书238的信息(用于存储服务230)的单个的匿名化证书来操纵客户。另一方面,在一些情形下使用如上所述的自认证。例如,应用226可以开发复合认证,特别是基于合同期而允许某级别的离线审查或金融担保的情况下。
图3示出了依照本文所描述的至少一些实施例布置的可使提供组合服务的应用能够通过使用复合证书来避免暴露其子服务的示例性的系统。
如图300所示,应用客户324(类似于图2中的应用客户224)可以请求且接收来自应用326(类似于图2中的应用226)的服务。类似于图2所示的情形,应用326可以操作于平台服务328上,而且还得到存储服务330和/或计算服务332的支持。认证权威320(类似于图2所示的认证权威220)可以对应用326、平台服务328、存储服务330和/或计算服务332执行测试322。认证权威320随后可以发布证书334、336、338和/或340,证明分别与应用326、平台服务328、存储服务330和/或计算服务332相关联的某些属性。
然而,如果客户正在请求通过认证的服务(以及因此还请求证书),而不是直接向应用客户324提供证书334、336、338和/或340(如图2中的情况),则可以将证书提供给媒介342。在一些实施例中,媒介342可以与认证权威(例如,认证权威320)、数据中心或一些其他受尊重或可信的实体或代表相关联或者可由它们来提供。在一些实施例中,媒介342自身可以对应用226、平台服务228、存储服务230和/或计算服务232进行遵守测试和/或认证,而不是认证权威320来进行或者与认证权威320一起来进行。
然后,例如通过在单个证书中包含属性的逻辑组合(例如,属性“A”、“B”、“C”和“D”),媒介342可以基于证书334、336、338和/或340来生成复合证书344。应用326随后可以将来自应用客户324的任意认证请求引导至媒介342,媒介342随后可以将复合证书344提供给应用客户324。在一些实施例中,当客户324接收到来自应用326的请求服务时,媒介342将复合证书344提供给应用客户324。在其他实施例中,在提供被请求的服务之前,可以将复合证书344提供给应用客户324。还可以在被请求的服务之后提供复合证书344。认证可进一步是对话或批次层级且可以与任意时机相关联。
单个的证书(和/或复合证书344)可任选地包括其他信息。例如,单个的证书可以包括关于应用326、平台服务328、存储服务330和/或计算服务332是否遵守支付卡行业(PCI)标准、关于技术公开的政府限制(例如,国际武器贸易条例或ITAR)、保健行业标准(例如,健康保险携带和责任法案或HIPAA)、受控商业列表(CCL)、ISO认证或任何其他适合的标准的信息。在一些示例中,如果所包含的证书/属性不都遵守特定标准,则复合证书不能声明对该特定标准的遵守。在这些情形下,复合证书可以反映所包含的证书/属性共有的最低遵守级别。
图4A示出了依照本文描述的至少一些实施例布置的示例的系统,其中独立的媒介服务管理复合证书。
如图400所示,一个或多个应用客户424(例如图2/3中的客户224/324)可以从一个或多个应用426(例如,图2/3中的应用226/326)请求服务。应用426可以由数据中心402托管,数据中心402类似于图1所描述的数据中心102。认证权威420(类似于图2/3中的认证权威220/320)可以向媒介442(类似于图2中的媒介342)提供与应用426相关联的子服务证书448。例如,子服务证书448可以是如图2/3中所述的平台证书236/336、存储证书238/338、和/或计算证书240/340。媒介442随后可以将子服务证书448组合成复合证书444(类似于图3中的复合证书342)。当应用426将所请求的服务提供给应用客户424时,媒介442也可以将复合证书444提供给应用客户424。在一些实施例中,应用426可以在其提供所请求服务时引导媒介442提供复合证书444。
图4B示出了依照本文所描述的至少一些实施例布置的示例性的系统,其中托管应用的数据中心管理复合证书。
图4B中的图450中类似标记的元件表现与图4A中的图400中方式类似。然而,在图450中,数据中心402处的网关(或对话边界控制器、网络处理器或类似物)452可以提供服务/认证请求的重定向或将其拷贝给媒介442,媒介442本身可以是诸如VM实例的实体。流量的截取可以提供实施的简易性,而无需对应用重新编程来处理认证(通过媒介)的过程。网关452可以提供与应用426的接口且可以是如上所述的应用426的部分或者是数据中心的单独的部分。
具体地,网关452可以截取从应用客户424发到应用426的通过认证的服务请求。网关452可以将服务请求与认证请求分离,然后将服务请求传递到应用426。网关452可以将证书请求转送给媒介442,媒介442可以如上所述构造复合证书444并且将其提供给应用客户424。应用426可以通过网关452将请求的服务提供给应用可客户424。如此配置的数据中心能够提供“作为服务的复合证书”,而不必修改应用426。因此,应用426的提供者能够通过仅选择数据中心辅助的复合证书服务而隐藏应用426之下的子服务。
在一些实施例中,针对具体的客户,可以调整通过认证的服务的提供。例如,应用(例如,图2、图3和图4A/B中的应用226、326和426)可配置为将不同定价的通过认证的未通过认证的服务传送给不同的客户。在一些示例中,应用可以利用证书媒介(例如,图2、图3和图4A中的媒介242、342和444,或者图4B中的网关452)将通过认证的服务传送给客户,而将未通过认证的服务传送给不同的客户,而无需使用证书媒介且无需生成发送给客户的证书。可以基于服务请求或流量来源、对话级别、特定会话(例如,基于登录信息)或任意其他适合的参数来确定服务之间的这种区别(即,是提供通过认证的服务还是未通过认证的服务)。
在其他示例中,应用之下的各个子服务可以各自向应用提供令牌。反过来,应用随后可以将令牌传送给认证权威以使认证权威独立地或者作为应用证书(例如,图2中的应用证书234)的替代将复合证书传送给应用客户。
图5示出了依照本文所描述的至少一些实施例布置的可用来管理用于保证的复合证书而不显露基础结构的通用计算设备。
例如,如本文所描述的,计算设备500可用来管理用于保证的复合认证,而不显露基础结构。在示例性的基础配置502中,计算设备500可以包括一个或多个处理器504和系统存储器506。存储器总线508可用于处理器504与系统存储器506之间通信。通过内虚线内的那些组件在图5中示出了基础配置502。
根据期望的配置,处理器504可以为任意类型,包括但不限于微处理器(μP)、微控制器(μC)、数字信号处理器(DSP)或其任意组合。处理器504可以包括诸如级别一超高速缓存512的一级或多级超高速缓存、处理器核514和寄存器516。示例的处理器核514可以包括算术逻辑单元(ALU)、浮点单元(FPU)、数字信号处理核(DSP Core)或其任意组合。示例的存储器控制器518还可与处理器504一起使用,或者在一些实施方式中,存储器控制器518可以是处理器504的内部部件。
根据所需的配置,系统存储器506可以是任意类型,包括但不限于易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或其任意组合。系统存储器506可以包括操作系统520、一个或多个应用522以及程序数据524。应用522可以包括复合模块526,该复合模块526可管理如本文所述的用于保证的复合认证而不显露基础结构。在一些实例中,程序数据524可以包括证书数据528或类似数据,以及其他数据,如本文所描述的。
计算设备500可具有附加的特征或功能以及附加的接口以便于基础配置502与任何所需的设备和接口之间的通信。例如,总线/接口控制器530可用于利于基础配置502与一个或多个数据存储设备532之间经由存储接口总线534的通信。数据存储设备532可以是一个或多个可移除存储设备536、一个或多个非可移除存储设备538或者其组合。可移除存储设备和非可移除存储设备的示例包括诸如软盘驱动器和硬盘驱动器(HDD)的磁盘设备、诸如压缩盘(CD)驱动器或数字多功能盘(DVD)驱动器的光盘驱动器、固态驱动器(SSD)和磁带驱动器,仅列举了几个。示例的计算机存储介质可以包括以用于诸如计算机可读指令、数据结构、程序模块或其它数据的信息的存储的任何方法或技术实现的易失性和非易失性的介质以及可移除和非可移除的介质。
系统存储器506、可移除存储设备536和非可移除存储设备538是计算机存储介质的示例。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存(flash memory)或其它存储器技术、CD-ROM、数字多功能盘(DVD)、固态驱动器或其它光学存储设备、磁盒、磁带、磁盘存储设备或其它磁存储设备、或者可用于存储所需信息并且可由计算设备500访问的任何其它介质。任意这样的计算机存储介质可以是计算设备500的部件。
计算设备500还可以包括接口总线540,该接口总线用于方便从各接口设备(例如,一个或多个输出设备542、一个或多个外围设备接口544和一个或多个通信设备546)经由总线/接口控制器530到基础配置502的通信。一些示例的输出设备542包括图形处理单元548和音频处理单元550,其可配置为经由一个或多个A/V端口552与诸如显示器或扬声器的各外部设备通信。一个或多个示例的外围设备接口544包括串行接口控制器554或并行接口控制器556,其可配置为经由一个或多个I/O端口558与诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备等)或其它外围设备(例如,打印机、扫描仪等)的外部设备通信。示例的通信设备566包括网络控制器560,其可布置成便于经由一个或多个通信端口564通过网络通信链路与一个或多个其他计算设备562的通信。一个或多个其他计算设备562可以包括数据中心处的服务器、客户设备和类似设备。
网络通信链路可以是通信介质的一个示例。通信介质通常可通过计算机可读指令、数据结构、程序模块或诸如载波或其它传输机制的调制数据信号中的其它数据来具体化,并且可以包括任何信息输送介质。“调制数据信号”可以是使得其特性中的一个或多个以将信号中的信息编码的方式设定或改变的信号。通过举例而不是限制的方式,通信介质可以包括诸如有线网络或直接线连接的有线介质,以及诸如声波、射频(RF)、微波、红外(IR)和其它无线介质的无线介质。如本文所使用的术语计算机可读介质可以包括存储介质和通信介质两者。
计算设备500可以实现为通用或专用服务器、主机或包括上述任意功能的类似计算机的一部分。计算设备500还可以实现为包括膝上型计算机和非膝上型计算机配置两者的个人计算机。
示例性的实施例还可以包括用于管理用于保证的复合认证而不显露基础结构的方法。这些方法能够以任意种方法来实施,包括本文所描述的结构。一种这样的方式可以是通过在本公开描述的类型的设备的机器操作。另一种可选的方式可以是与一位或多位执行一些操作的人类操作员相结合来执行方法的各操作中的一项或多项,而其他操作可以通过机器来执行。这些人类操作员无需彼此并置,但是各自可配有执行程序的一部分的机器。在其他示例中,人类交互可以自动进行,例如按照可以机器自动化的预先标准。
图6是示出依照本文所描述的至少一些实施例布置的可以通过诸如图5的设备500的计算设备执行的示例性的方法的流程图。
示例的方法可以包括如框622、624、626和/或628中的一个或多个图示的一个或多个操作、功能或动作,在一些实施例中可以通过诸如图5中的计算设备500的计算设备来执行。框图622-628中所描述的操作还可以存储为诸如计算设备610的计算机可读介质620的计算机可读介质中的计算机可执行指令。
示例性的用于实施复合证书的处理可以开始于框622,“从认证权威处请求用于服务应用和应用的服务要素的证书”,其中从认证权威(例如,图2、图3和图4A/B中的认证权威220、320和/或420)请求用于应用(例如,图2、图3和图4A/B中的应用226、326和/或426)和成为应用的基础的子服务要素(例如,图2和图3中的平台服务228/328、存储服务230/330、和/或计算服务232/332)的证书(例如,图2、图3和图4A/B中的应用证书234/334、平台证书236/336、存储证书238/338、计算证书240/340、和/或证书448)。在一些示例中,媒介(例如,图2、图3和图4A中的媒介232、342和442,或者图4B中的网关452)可以请求证书,并且媒介可以响应于来自应用的认证请求和/或来自应用客户(例如,图2、图3和图4A/B中的客户224、324和424)的认证请求而请求证书。在其他示例中,认证权威可以请求证书,特别是在如上所述的基于令牌的情形下。
框622之后是框624,“接收证书”,其中证书请求者接收所请求的证书。
框624之后是框626,“基于接收到的证书构成复合证书,而不显露服务要素标识”,其中接收到的证书可用于形成复合证书,而不显露成为应用的基础的各子服务或服务要素的标识。例如,与各个服务要素证书中的每一个相关联的经查证属性可进行逻辑组合且包含在复合证书中,如上所述。在一些示例中,复合证书关于一个或多个规则、标准或惯例的总体遵守级别可以通过与具体属性相关的证书中的最低共同遵守级别来确定,如上所述。在其他示例中,认证权威、媒介或数据中心网关可构造复合证书。
最后,框626之后是框628,“将复合证书提供给服务应用的客户”,其中在框626中形成的复合证书可以提供给已经从服务应用请求了服务的客户。在一些示例中,构造复合证书的认证权威、媒介或数据中心网关可以将复合证书提供给客户。
图7示出了依照本文所描述的至少一些实施例布置的示例性的计算机程序产品的框图。
在一些示例中,如图7所示,计算机程序产品700可以包括信号承载介质702,信号承载介质702可以包括一条或多条机器可读指令704,当通过例如处理器执行时,这些指令可以提供上文所描述的功能。因此,例如,参考图5中的处理器504,认证应用522可以响应于通过介质702传送给处理器504的指令704而承担图7所示的一项或多项任务,从而执行与本文所描述的管理用于保证的复合认证而不显露基础结构相关联的动作。根据本文所述的一些实施例,一些指令可以包括例如:从认证权威处请求用于服务应用和应用的服务要素的认证;接收证书;基于接收到的证书来构成复合证书,而不显露服务要素标识,和/或将复合证书提供给服务应用的客户。
在一些实现方式中,图7所示的信号承载介质702可以包含计算机可读介质706,诸如但不限于硬盘驱动器、固态驱动器、压缩盘(CD)、数字多功能盘(DVD)、数字磁带、存储器等。在一些实施方式中,信号承载介质702可以包含可记录介质708,诸如但不限于存储器、读/写(R/W)CD、R/W DVD,等等。在一些实施方式中,信号承载介质702可以包含通信介质710,诸如但不限于数字和/或模拟通信介质(例如,光纤电缆、波导、有线通信链路、无线通信链路等)。因此,例如,程序产品700可以通过RF信号承载介质传送到处理器704的一个或多个模块,其中信号承载介质702由无线通信介质710(例如,符合IEEE 802.11标准的无线通信介质)来传送.
根据一些示例,采用复合认证用于保证的方法可以包括:在媒介认证服务处接收来自服务应用的用于认证的重定向请求;从认证权威处请求与服务应用和服务应用的服务要素相关联的证书;接收证书;基于接收到的证书来构成复合证书,其中复合证书禁止服务要素的标识;以及响应于重定向请求而提供复合证书。
根据一些实施例,该方法还可以包括:将复合证书构成为接收到的证书的逻辑组合。接收到的证书可以建立每个服务要素对预先定义的规则、标准和/或惯例的遵守。该方法还可以包括:如果两个以上的服务要素按其相应的证书所限定的遵守级别不同,则在复合证书中指示最低共同遵守级别。证书可以证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、ISO认证或国际武器贸易条例(ITAR)的遵守。
根据其他的实施例,该方法还可以包括:从多个认证权威处接收证书。服务要素可以包括计算服务、存储服务、平台服务和/或交互服务。该方法还可以包括:在媒介认证服务处对至少一个服务要素执行测试和/或认证任务;通过选择是否调用媒介认证服务来使服务应用能够对通过认证的服务和未通过认证的服务定价;和/或使所述服务要素能够将令牌提供给服务应用;以及从服务应用接收令牌以便传送给认证权威。
根据其他的示例,采用复合认证用于保证的方法可以包括:从数据中心托管的应用接收服务请求,其中该请求包含认证请求;将认证请求与服务请求分离;从认证权威处请求与应用和应用的服务要素相关联的证书;接收证书;基于接收到的证书来构成复合证书,其中复合证书禁止服务要素的标识;以及响应于服务请求而提供复合证书。
根据一些实施例,该方法还可以包括:将复合证书构成为接收到的证书的逻辑组合;截取包含认证请求的服务请求;将认证请求分离;和/或在托管应用的数据中心的网关或对话边界控制器中的一者处将认证请求转送给媒介认证服务。应用可以具有基于服务的体系结构。接收到的证书可以建立每个服务要素对预先定义的规则、标准和/或惯例的遵守。该方法还可以包括:如果两个以上服务要素按其相应的证书所限定的遵守级别不同,则在复合证书中指示最低共同遵守级别。证书可以证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、ISO认证或国际武器贸易条例(ITAR)的遵守。
根据其他的实施例,该方法还可以包括:从多个认证权威处接收证书。服务要素可以包括计算服务、存储服务、平台服务和/或交互服务。该方法还可以包括:通过选择是否调用媒介认证服务来使应用能够对通过认证的服务和未通过认证的服务定价;和/或使服务要素能够将令牌提供给应用,以及从应用接收令牌以便传送给认证权威。
根据另外的示例,配置为采用复合认证用于保证的媒介认证服务可以包括:通信模块,其配置为与数据中心和认证权威所托管的服务应用通信;以及服务器。该服务器可配置为:接收来自服务应用的用于认证的重定向请求;从认证权威处请求与服务应用和服务应用的服务要素相关联的证书;接收证书;基于接收到的证书来构成复合证书,其中复合证书禁止服务要素的标识;以及响应于重定向请求而提供复合证书。
根据一些实施例,该服务还可以配置为将复合证书构成为接收到的证书的逻辑组合。接收到的证书可以建立每个服务要素对预先定义的规则、标准和/或惯例的遵守。该服务可进一步配置为:如果两个以上服务要素按其相应的证书所限定的遵守级别不同,则在复合证书中指示最低共同遵守级别。证书可以证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、ISO认证或国际武器贸易条例(ITAR)的遵守。
根据其他的实施例,服务器可进一步配置为从多个认证权威处接收证书。服务要素可以包括计算服务、存储服务、平台服务和/或交互服务。媒介认证服务可以进一步配置为对至少一个服务要素执行测试和/或认证任务。服务器可进一步配置为通过选择是否调用媒介认证服务来使服务应用能够对通过认证的服务和未通过认证的服务定价,和/或使服务要素能够将令牌提供给服务应用;以及从服务应用接收令牌以便传送给认证权威。
根据另外的示例,配置为采用复合认证用于保证的基于云的数据中心可以包括:多个虚拟机,其可操作以便在一个或多个物理机上执行,其中至少一个虚拟机托管配置为将组合服务提供给客户的服务应用。数据中心还可以包括数据中心控制器,其配置为从数据中心托管的服务应用接收服务请求,其中请求包括认证请求;将认证请求与服务请求分离;以及将认证请求转送给媒介认证服务,使得响应于服务请求而通过媒介认证服务来提供禁止服务要素的标识的由用于子服务的各证书构成的复合证书。
根据一些实施例,媒介认证服务可进一步配置为将复合证书构成为接收到的证书的逻辑组合。数据中心控制器可以是与服务应用接口的网关或对话边界控制器。媒介认证服务可由数据中心来提供。证书可以建立每个服务要素对一个或多个预先定义的规则、标准和/或惯例的遵守。媒介认证服务可进一步配置为:如果两个以上服务要素按其相应的证书所限定的遵守级别不同,则在复合证书中指示最低共同遵守级别。
根据其他实施例,证书可以证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、或国际武器贸易条例(ITAR)的遵守。服务要素可以包括计算服务、存储服务、平台服务和交互服务中的一项或多项。媒介认证服务可进一步配置为从多个认证权威处接收证书。通过选择是否调用复合证书,使服务应用能够对通过认证的服务和未通过认证的服务定价。数据中心控制器可进一步配置为使服务药物能够提供令牌且将令牌提供给媒介认证服务。
根据一些示例,计算机可读存储介质可以存储采用复合认证用于保证的指令。所述指令可以包括:在媒介认证服务处接收来自服务应用的用于认证的重定向请求;从认证权威处请求与服务应用和服务应用的服务要素相关联的证书;接收所述证书;基于接收到的证书来构成复合证书,其中复合证书禁止服务要素的标识;以及响应于重定向请求而提供复合证书。
根据一些示例,指令可进一步包括将复合证书构成为接收到的证书的逻辑组合。接收到的证书可以建立每个服务要素对预先定义的规则、标准和/或惯例的遵守。指令还可以包括:如果两个以上服务要素按其相应的证书所限定的遵守级别不同,则在复合证书中指示最低共同遵守级别。证书可以证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、ISO认证或国际武器贸易条例(ITAR)的遵守。
根据其他的实施例,指令还可以包括从多个认证权威处接收证书。服务要素可以包括计算服务、存储服务、平台服务和/或交互服务。指令还可以包括:在媒介认证服务处对至少一个服务要素执行测试和/或认证任务;通过选择是否调用媒介认证服务,使服务应用能够对通过认证的服务和未通过认证的服务定价;和/或使服务要素能够将令牌提供给服务应用;以及从服务应用接收令牌以便传送给认证权威。
根据其他的示例,计算机可读存储介质可以存储采用复合认证用于保证的指令。所述指令可以包括:从数据中心托管的应用接收服务请求,其中该请求包含认证请求;将认证请求与服务请求分离;从认证权威处请求与应用和应用的服务要素相关联的证书;接收证书;基于接收到的证书来构成复合证书,其中复合证书禁止服务要素的标识;以及响应于服务请求而提供复合证书。
根据一些实施例,指令还可以包括将复合证书构成为接收到的证书的逻辑组合;截取包含认证请求的服务请求;将认证请求分离;和/或在托管应用的数据中心的网关或对话边界控制器中的一者处将认证请求转送到媒介认证服务。应用可具有基于服务的体系结构。接收到的证书可以建立每个服务要素对预先定义的规则、标准和/或惯例的遵守。指令还可以包括:如果两个以上的服务要素按其相应的证书所限定的遵守级别不同,则在复合证书中指示最低共同遵守级别。证书可以证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、ISO认证或国际武器贸易条例(ITAR)的遵守。
根据其他的实施例,指令还可以包括:从多个认证权威处接收证书。服务要素可以包括计算服务、存储服务、平台服务和/或交互服务。指令还可以包括:通过选择是否调用媒介认证服务,使应用能够对通过认证的服务和未通过认证的服务定价;和/或使服务要素能够将令牌提供给应用,以及从应用接收令牌以传送给认证权威。
在系统方案的硬件实现和软件实现之间保留了极小的区别;硬件或软件的使用通常是(但并不总是,因为在一些背景下硬件和软件之间的选择会变得重要)表示成本相对于效率权衡的设计选择。存在各种可以实现(例如,硬件、软件和/或固件)本文所描述的过程和/或系统和/或其它技术的媒介物,并且优选的媒介物将随着部署过程和/或系统和/或其它技术的背景而变化。例如,如果实施者判定速度和精度重要,则实施者可以选择主硬件和/或固件媒介物;如果灵活性重要,则实施者可以选择主软件实现;或者,另外可选地,实施者可以选择硬件、软件和/或固件的一些组合。
前面的详细说明已经通过框图、流程图和/或示例阐述了设备和/或过程的各个实施例。在这些框图、流程图和/或示例包含一项或多项功能和/或操作的程度上,本领域技术人员将理解的是可以通过各种各样的硬件、软件、固件或几乎其任意组合来单独地和/或统一地实现这些框图、流程图或示例内的每项功能和/或操作。在一个实施例中,本文所描述的主题的多个部分可经由专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其它集成格式来实现。然而,本领域技术人员将理解的是,在本文公开的实施例的一些方案可以整体地或部分地等同地实现为集成电路、在一个或多个计算机上运行的一个或多个计算机程序(例如,实现为在一个或多个计算机系统上运行的一个或多个程序)、在一个或多个处理器上运行的一个或多个程序(例如,实现为在一个或多个微处理器上运行的一个或多个程序)、固件、或几乎任何组合,并且根据本公开的内容,设计电路和/或编写用于软件和/或固件的代码将在本领域技术人员的技能范围内。
本公开不受在本申请中所描述的特定实施例限制,这些特定实施例意在为各个方案的示例。本领域技术人员显而易见的是,能够进行各种改进和变型,而不偏离其精神和范围。根据前面的说明,除了本文列举的那些之外,在本公开范围内的功能上等同的方法和装置对于本领域技术人员而言将是显而易见的。旨在这些改进方案和变型例落在随附权利要求书的范围内。连同这些权利要求书所给予权利的等同方案的整个范围内,本公开仅受随附权利要求书限制。将理解的是,本公开不限于特定的方法、试剂、化合物组成或生物系统,当然这些可以变化。还应理解的是,本文所使用的术语仅是为了描述特定实施例的目的,而不意在限制。
另外,本领域技术人员将理解的是,本文所描述的主题的机制能够以各种形式分布为程序产品,并且本文所描述的主题的示例性实施例适用,无论实际上用于实施分布的特定类型的信号承载介质如何。信号承载介质的示例包括但不限于以下:可记录型介质,诸如软盘、硬盘驱动器、压缩盘(CD)、数字多功能盘(DVD)、数字带、计算机存储器等;以及传输型介质,诸如数字和/或模拟通信介质(例如,光纤电缆、波导、有线通信链路、无线通信链路等)。
本领域技术人员将理解的是,在本领域内常见的是以本文阐述的方式来描述设备和/或过程,此后利用工程实践将这些所描述的设备和/或过程集成到数据处理系统中。也即,本文所描述的设备和/或过程的至少一部分可以通过合理量的实验集成到数据处理系统中。本领域技术人员将理解的是,典型的数据处理系统通常包括如下中的一种或多种:系统单元壳体、视频显示设备、诸如易失性和非易失性存储器的存储器、诸如微处理器和数字信号处理器的处理器、诸如操作系统的计算实体、驱动器、图形用户接口、和应用程序、诸如触摸板或触摸屏的一个或多个交互设备、和/或包括反馈环和控制电动机(例如,用于感测门架系统的位置和/或速度的反馈;用于移动和/或调整部件和/或量的控制电动机)的控制系统。
典型的数据处理系统可利用任何适合的商业上提供的部件来实现,诸如在数据计算/通信和/或网络计算/通信系统中常见的部件。本文所描述的主题有时说明了包含在不同的其它部件内的不同部件或与不同的其它部件连接的不同部件。应理解的是,这些所描绘的体系结构仅是示例性的,并且实际上可以实施实现相同功能的许多其它体系结构。在概念意义上,实现相同功能的任何部件的布置有效地“关联”,使得实现期望功能。因此,在此处组合以实现特定功能的任何两个部件可视为彼此“关联”,使得实现期望功能,无论体系结构或中间部件如何。同样,任意两个如此关联的部件还可视为彼此“可操作地连接”、或“可操作地耦合”以实现期望的功能,并且能够如此关联的任意两个部件还可视为彼此“能够可操作地耦合”以实现期望功能。能够可操作耦合的具体示例包括但不限于能够物理上连接和/或物理交互的部件和/或能够无线交互和/或无线交互的部件和/或逻辑上交互和/或能够逻辑上交互的部件。
关于本文中基本上任何复数和/或单数术语的使用,本领域技术人员能够根据上下文和/或应用适当地从复数变换成单数和/或从单数变换成复数。为了清晰的目的,本文中明确地阐明了各单数/复数的置换。
本领域技术人员将理解,一般地,本文所使用的术语,尤其是随附权利要求(例如,随附权利要求的主体)中所使用的术语,通常意在为“开放式”术语(例如,术语“包括”应当解释为“包括但不限于”,术语“具有”应解释为“至少具有”,术语“包括”应解释为“包括但不限于”,等等)。本领域技术人员还理解,如果意图表达引导性权利要求记述项的具体数量,该意图将明确地记述在权利要求中,并且在不存在这种记述的情况下,不存在这样的意图。例如,为辅助理解,下面的随附权利要求可能包含了引导性短语“至少一个”和“一个或多个”的使用以引导权利要求记述项。然而,这种短语的使用不应解释为暗指不定冠词“一”或“一个”引导权利要求记述项将包含该所引导的权利要求记述项的任何特定权利要求局限于仅包含一个该记述项的实施例,即使当同一权利要求包括了引导性短语“一个或多个”或“至少一个”以及诸如不定冠词“一”或“一个”的(例如,“一”和/或“一个”应当解释为表示“至少一个”或“一个或多个”);这同样适用于对于用于引导权利要求记述项的定冠词的使用。另外,即使明确地记述了被引导的权利要求记述项的具体数量,本领域技术人员将理解到这些记述项应当解释为至少表示所记述的数量(例如,没有其它修饰语的裸记述“两个记述项”表示至少两个记述项或两个以上的记述项)。
此外,在使用类似于“A、B和C等中的至少一个”的惯用法的那些实例中,通常这样的构造旨在表达本领域技术人员理解该惯用法的含义(例如,“具有A、B和C中的至少一个的系统”将包括但不限于仅具有A、仅具有B、仅具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B和C等等的系统)。本领域技术人员将进一步理解,呈现两个以上可选项的几乎任何分离词和/或短语,无论是在说明书、权利要求或附图中,都应理解为设想包括一项、任一项或两项的可能性。例如,术语“A或B”将理解为包括“A”或“B”或“A和B”的可能性。
另外,在根据马库什组(Markush group)描述本公开的特征或方案的情况下,本领域技术人员将理解的是本公开也因此以马库什组的任何独立成员或成员的子组来描述。
本领域技术人员将理解的是,为了任何以及全部的目的,诸如在提供所撰写的说明书方面,本文所公开的全部范围也涵盖了任何和全部的可能的子范围及其子范围的组合。能够容易地认识到任何所列范围都充分地描述了同一范围并且使同一范围分解成至少均等的一半、三分之一、四分之一、五分之一、十分之一等等。作为非限制示例,本文所论述的每个范围能够容易地分解成下三分之一、中三分之一和上三分之一,等等。本领域技术人员还将理解的是,诸如“多达”、“至少”、“大于”、“小于”等所有的语言包括所记述的数量并且是指如上文所论述的随后能够分解成子范围的范围。最后,本领域技术人员将理解的是,范围包括每个独立的成员。因此,例如,具有1-3个单元的组是指具有1个、2个或3个单元的组。类似地,具有1-5个单元的组是指具有1个、2个、3个、4个、或5个单元的组,等等。
虽然本文公开了各个方案和实施例,但是其它的方案和实施例对于本领域技术人员而言将是显而易见的。因此,本文所公开的各个方案和实施例是为了示例的目的而不意在限制,真正的范围和精神是通过随附的权利要求表示的。
Claims (51)
1.一种采用复合认证用于保证的方法,所述方法包括:
在媒介认证服务处接收来自服务应用的用于认证的重定向请求;
从认证权威处请求与所述服务应用和所述服务应用的服务要素相关联的证书;
接收所述证书;
基于来自所述接收到的证书的、与各个服务要素相关联的通过认证的属性的逻辑组合来构成复合证书,其中所述复合证书禁止所述服务要素的标识,并且如果两个或两个以上的服务要素按其相应的证书所定义的遵守级别不同,则在所述复合证书中指示最低共同遵守级别;以及
响应于所述重定向请求而提供所述复合证书。
2.根据权利要求1所述的方法,其中接收所述证书包括:接收建立每个服务要素对预先定义的规则、标准和/或惯例中的一项或多项的遵守的证书。
3.根据权利要求2所述的方法,其中接收所述证书包括:接收证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、ISO认证或国际武器贸易条例(ITAR)中一项或多项的遵守的证书。
4.根据权利要求1所述的方法,其中接收所述证书包括:从多个认证权威接收所述证书。
5.根据权利要求1所述的方法,其中所述服务要素包括计算服务、存储服务、平台服务和交互服务中的一项或多项。
6.根据权利要求1所述的方法,还包括:在所述媒介认证服务处,对至少一个所述服务要素执行测试和认证任务中的一项或多项。
7.根据权利要求1所述的方法,还包括:通过选择是否调用所述媒介认证服务来使所述服务应用实现对通过认证的服务和未通过认证的服务定价。
8.根据权利要求1所述的方法,还包括:
使所述服务要素实现提供令牌给所述服务应用;以及
从所述服务应用接收所述令牌以便传送给所述认证权威。
9.一种采用复合认证用于保证的方法,所述方法包括:
从数据中心所托管的应用接收服务请求,其中所述请求包括认证请求;
将所述认证请求与所述服务请求分离;
从认证权威处请求与所述应用和所述应用的服务要素相关联的证书;
接收所述证书;
基于来自所述接收到的证书的、与各个服务要素相关联的通过认证的属性的逻辑组合来构成复合证书,其中所述复合证书禁止所述服务要素的标识,并且如果两个或两个以上的服务要素按其相应的证书所定义的遵守级别不同,则在所述复合证书中指示最低共同遵守级别;以及
响应于所述服务请求而提供所述复合证书。
10.根据权利要求9所述的方法,还包括:
在托管所述应用的所述数据中心的网关或对话边界控制器中的一者处将所述认证请求转送给媒介认证服务。
11.根据权利要求9所述的方法,其中所述应用具有基于服务的体系结构。
12.根据权利要求9所述的方法,其中接收所述证书包括:接收建立每个服务要素对预先定义的规则、标准和/或惯例中的一项或多项的遵守的证书。
13.根据权利要求12所述的方法,其中接收所述证书包括:接收证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、或国际武器贸易条例(ITAR)中一项或多项的遵守的证书。
14.根据权利要求9所述的方法,其中所述服务要素包括计算服务、存储服务、平台服务和交互服务中的一项或多项。
15.根据权利要求9所述的方法,其中接收所述证书包括:从多个认证权威接收所述证书。
16.根据权利要求9所述的方法,还包括:通过选择是否调用所述复合证书来使所述应用实现对通过认证的服务和未通过认证的服务定价。
17.根据权利要求9所述的方法,还包括:
使所述服务要素实现提供令牌给所述应用;以及
从所述应用接收所述令牌以传送给所述认证权威。
18.一种配置为采用复合认证用于保证的媒介认证服务,所述媒介认证服务包括:
一个或多个通信模块,其配置为与数据中心所托管的服务应用和认证权威通信;以及
服务器,其配置为:
从服务应用处接收用于认证的重定向请求;
从认证权威处请求与所述服务应用和所述服务应用的服务要素相关联的证书;
接收所述证书;
基于来自所述接收到的证书的、与各个服务要素相关联的通过认证的属性的逻辑组合来构成复合证书,其中所述复合证书禁止所述服务要素的标识,并且如果两个或两个以上的服务要素按其相应的证书所定义的遵守级别不同,则在所述复合证书中指示最低共同遵守级别;以及
响应于所述重定向请求而提供所述复合证书。
19.根据权利要求18所述的媒介认证服务,其中所述接收到的证书建立每个服务要素对预先定义的规则、标准和/或惯例中的一项或多项的遵守。
20.根据权利要求19所述的媒介认证服务,其中所述证书证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、或国际武器贸易条例(ITAR)中一项或多项的遵守。
21.根据权利要求18所述的媒介认证服务,其中所述服务器配置为从多个认证权威接收所述证书。
22.根据权利要求18所述的媒介认证服务,其中所述服务要素包括计算服务、存储服务、平台服务和交互服务中的一项或多项。
23.根据权利要求18所述的媒介认证服务,其中所述媒介认证服务还配置为对至少一个所述服务要素执行测试和认证任务中的一种或多种。
24.根据权利要求18所述的媒介认证服务,其中所述服务器还配置为:通过选择是否调用所述媒介认证服务,使所述服务应用实现对通过认证的服务和未通过认证的服务定价。
25.根据权利要求18所述的媒介认证服务,其中所述服务器还配置为:
使所述服务要素实现提供令牌给所述服务应用;以及
从所述服务应用接收所述令牌以传送给所述认证权威。
26.一种配置为采用复合认证用于保证的基于云的数据中心,所述数据中心包括:
多个虚拟机,其可操作以便在一个或多个物理机上执行,其中至少一个所述虚拟机托管服务应用,所述服务应用配置为将组合服务提供给客户;以及
数据中心控制器,其配置为:
从所述数据中心托管的所述服务应用接收服务请求,其中所述请求包括认证请求;
将所述认证请求从所述服务请求分离;以及
将所述认证请求转送给媒介认证服务,使得响应于所述服务请求而通过所述媒介认证服务来提供复合证书,所述复合证书包括来自用于子服务的各个证书的、与各个服务要素相关联的通过认证的属性的逻辑组合,并且禁止服务要素的标识,并且如果两个或两个以上的服务要素按其相应的证书所定义的遵守级别不同,则在所述复合证书中指示最低共同遵守级别。
27.根据权利要求26所述的数据中心,其中所述数据中心控制器是与所述服务应用接口的网关或对话边界控制器中的一个。
28.根据权利要求26所述的数据中心,其中所述媒介认证服务由所述数据中心提供。
29.根据权利要求26所述的数据中心,其中所述证书建立每个服务要素对预先定义的规则、标准和/或惯例中的一项或多项的遵守。
30.根据权利要求29所述的数据中心,其中所述证书证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、或国际武器贸易条例(ITAR)中一项或多项的遵守。
31.根据权利要求26所述的数据中心,其中所述服务要素包括计算服务、存储服务、平台服务和交互服务中的一项或多项。
32.根据权利要求26所述的数据中心,其中所述媒介认证服务还配置为从多个认证权威接收所述证书。
33.根据权利要求26所述的数据中心,其中通过选择是否调用所述复合证书,使所述服务应用实现对通过认证的服务和未通过认证的服务定价。
34.根据权利要求26所述的数据中心,其中所述数据中心控制器还配置为:
使所述服务要素实现提供令牌;以及
将所述令牌提供给所述媒介认证服务。
35.一种计算机可读存储介质,其中存储有采用复合认证用来保证的指令,所述指令包括:
在媒介认证服务处接收来自服务应用的对于认证的重定向请求;
从认证权威处请求与所述服务应用和所述服务应用的服务要素相关联的证书;
接收所述证书;
基于来自所述接收到的证书的、与各个服务要素相关联的通过认证的属性的逻辑组合来构成复合证书,其中所述复合证书禁止所述服务要素的标识,并且如果两个或两个以上的服务要素按其相应的证书所定义的遵守级别不同,则在所述复合证书中指示最低共同遵守级别;以及
响应于所述重定向请求而提供所述复合证书。
36.根据权利要求35所述的计算机可读存储介质,其中所述接收到的证书建立每个服务要素对预先定义的规则、标准和/或惯例中的一项或多项的遵守。
37.根据权利要求36所述的计算机可读存储介质,其中所述证书证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、或国际武器贸易条例(ITAR)中一项或多项的遵守。
38.根据权利要求35所述的计算机可读存储介质,其中所述指令还包括:
从多个认证权威接收所述证书。
39.根据权利要求35所述的计算机可读存储介质,其中所述服务要素包括计算服务、存储服务、平台服务和交互服务中的一项或多项。
40.根据权利要求35所述的计算机可读存储介质,其中所述指令还包括:
在所述媒介认证服务处,对至少一个所述服务要素执行测试和认证任务中的一种或多种。
41.根据权利要求35所述的计算机可读存储介质,其中所述指令还包括:
通过选择是否调用所述媒介认证服务,使所述服务应用实现对通过认证的服务和未通过认证的服务定价。
42.根据权利要求35所述的计算机可读存储介质,其中所述指令还包括:
使所述服务要素实现提供令牌给所述服务应用;以及
从所述服务应用接收所述令牌以传送给所述认证权威。
43.一种计算机可读存储介质,其中存储有采用复合认证用于保证的指令,所述指令包括:
从数据中心托管的应用接收服务请求,其中所述请求包括认证请求;
将所述认证请求与所述服务请求分离;
从认证权威处请求与所述应用和所述应用的服务要素相关联的证书;
接收所述证书;
基于来自所述接收到的证书的、与各个服务要素相关联的通过认证的属性的逻辑组合来构成复合证书,其中所述复合证书禁止所述服务要素的标识,并且如果两个或两个以上的服务要素按其相应的证书所定义的遵守级别不同,则在所述复合证书中指示最低共同遵守级别;以及
响应于所述服务请求而提供所述复合证书。
44.根据权利要求43所述的计算机可读存储介质,其中所述指令还包括:
在托管所述应用的所述数据中心的网关或对话边界控制器中的一者处将所述认证请求转送给媒介认证服务。
45.根据权利要求43所述的计算机可读存储介质,其中所述应用具有基于服务的体系结构。
46.根据权利要求43所述的计算机可读存储介质,其中所述接收到的证书建立每个服务要素对预先定义的规则、标准和/或惯例中的一项或多项的遵守。
47.根据权利要求46所述的计算机可读存储介质,其中所述证书证明对支付卡行业(PCI)、健康保险携带和责任法案(HIPAA)、受控商业列表(CCL)、或国际武器贸易条例(ITAR)中一项或多项的遵守。
48.根据权利要求43所述的计算机可读存储介质,其中所述服务要素包括计算服务、存储服务、平台服务和交互服务中的一项或多项。
49.根据权利要求43所述的计算机可读存储介质,其中所述指令还包括:
从多个认证权威接收所述证书。
50.根据权利要求43所述的计算机可读存储介质,其中所述指令还包括:
通过选择是否调用所述复合证书,使所述应用实现对通过认证的服务和未通过认证的服务定价。
51.根据权利要求43所述的计算机可读存储介质,其中所述指令还包括:
使所述服务要素实现提供令牌给所述应用;以及
从所述应用接收所述令牌以传送给所述认证权威。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2012/054942 WO2014042632A1 (en) | 2012-09-12 | 2012-09-12 | Compound certifications for assurance without revealing infrastructure |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104620278A CN104620278A (zh) | 2015-05-13 |
| CN104620278B true CN104620278B (zh) | 2017-12-22 |
Family
ID=50278559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280075765.0A Expired - Fee Related CN104620278B (zh) | 2012-09-12 | 2012-09-12 | 用于保证而不显露基础结构的复合认证 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9210051B2 (zh) |
| CN (1) | CN104620278B (zh) |
| WO (1) | WO2014042632A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11626975B2 (en) * | 2020-03-26 | 2023-04-11 | Arris Enterprises Llc | Secure online issuance of customer-specific certificates with offline key generation |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5610982A (en) * | 1996-05-15 | 1997-03-11 | Micali; Silvio | Compact certification with threshold signatures |
| CN1449523A (zh) * | 2000-08-28 | 2003-10-15 | 康坦夹德控股股份有限公司 | 内容消费环境的完整性验证和确认的系统和方法 |
| CN101980233A (zh) * | 2010-10-15 | 2011-02-23 | 上海聚力传媒技术有限公司 | 一种用于基于设备标识进行服务认证的方法和设备 |
Family Cites Families (64)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5367573A (en) * | 1993-07-02 | 1994-11-22 | Digital Equipment Corporation | Signature data object |
| US6256734B1 (en) * | 1998-02-17 | 2001-07-03 | At&T | Method and apparatus for compliance checking in a trust management system |
| AU2878800A (en) * | 1999-02-12 | 2000-08-29 | Allen Freudenstein | System and method for providing certification-related and other services |
| US6883100B1 (en) * | 1999-05-10 | 2005-04-19 | Sun Microsystems, Inc. | Method and system for dynamic issuance of group certificates |
| US7228291B2 (en) | 2000-03-07 | 2007-06-05 | International Business Machines Corporation | Automated trust negotiation |
| US7213266B1 (en) * | 2000-06-09 | 2007-05-01 | Intertrust Technologies Corp. | Systems and methods for managing and protecting electronic content and applications |
| US6516451B1 (en) * | 2000-07-05 | 2003-02-04 | Clarence Wayne Patin | Standards-integrated design software |
| US20020004901A1 (en) * | 2000-07-10 | 2002-01-10 | See-Wai Yip | Systems and methods for PKI-enabling applications using application-specific certificates |
| US7424457B2 (en) * | 2000-08-08 | 2008-09-09 | Squaretrade, Inc. | Managing an electronic seal of certification |
| US7380270B2 (en) * | 2000-08-09 | 2008-05-27 | Telos Corporation | Enhanced system, method and medium for certifying and accrediting requirements compliance |
| US6993448B2 (en) * | 2000-08-09 | 2006-01-31 | Telos Corporation | System, method and medium for certifying and accrediting requirements compliance |
| US7181304B2 (en) * | 2000-09-07 | 2007-02-20 | Praeses Corporation | System and method for an online jurisdiction manager |
| US20030004754A1 (en) * | 2001-04-06 | 2003-01-02 | Corbett Technologies, Inc. | Hipaa compliance systems and methods |
| US8140346B2 (en) * | 2001-08-16 | 2012-03-20 | International Business Machines Corporation | Computer-implemented method and system for handling business transactions within an inhomogeneous legal environment |
| US7003477B2 (en) * | 2002-03-01 | 2006-02-21 | Phillip Zarrow | Certification method for manufacturing process |
| US7080356B2 (en) * | 2002-09-18 | 2006-07-18 | Sun Microsystems, Inc. | Certification test suite |
| US20040150662A1 (en) * | 2002-09-20 | 2004-08-05 | Beigel Douglas A. | Online system and method for assessing/certifying competencies and compliance |
| US20040078434A1 (en) * | 2002-10-17 | 2004-04-22 | Lockheed Martin Corporation | Method, system and program product for automated document export control |
| US7970731B2 (en) * | 2002-12-27 | 2011-06-28 | Honda Motor Co., Ltd. | Enhanced trade compliance system: country of origin certifications |
| US20040128546A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for attribute exchange in a heterogeneous federated environment |
| US7448058B2 (en) * | 2003-03-10 | 2008-11-04 | Mark A. Heyner | Method for enabling a television user to control operation of application programs on a programmable television controller |
| US9232077B2 (en) * | 2003-03-12 | 2016-01-05 | Qualcomm Incorporated | Automatic subscription system for applications and services provided to wireless devices |
| WO2004081756A2 (en) * | 2003-03-12 | 2004-09-23 | Nationwide Mutual Insurance Co | Trust governance framework |
| US8549166B2 (en) * | 2004-03-01 | 2013-10-01 | Qualcomm Incorporated | Execution of unverified programs in a wireless, device operating environment |
| US20050235150A1 (en) * | 2004-04-19 | 2005-10-20 | Kaler Christopher G | Bi-directionally verifying measurable aspects associated with modules, pre-computing solutions to configuration challenges, and using configuration challenges along with other authentication mechanisms |
| US7743145B2 (en) * | 2004-04-19 | 2010-06-22 | Microsoft Corporation | Verifying measurable aspects associated with a module |
| US7882348B2 (en) * | 2004-04-30 | 2011-02-01 | Research In Motion Limited | System and method for administering digital certificate checking |
| US20050251857A1 (en) * | 2004-05-03 | 2005-11-10 | International Business Machines Corporation | Method and device for verifying the security of a computing platform |
| JP2006065690A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | デバイス認証装置、サービス制御装置、サービス要求装置、デバイス認証方法、サービス制御方法及びサービス要求方法 |
| US20060093149A1 (en) * | 2004-10-30 | 2006-05-04 | Shera International Ltd. | Certified deployment of applications on terminals |
| US7716720B1 (en) * | 2005-06-17 | 2010-05-11 | Rockwell Collins, Inc. | System for providing secure and trusted computing environments |
| US20070005390A1 (en) * | 2005-07-03 | 2007-01-04 | Donald Morgan | Business certification method |
| US20070012789A1 (en) * | 2005-07-15 | 2007-01-18 | Honeywell International Inc. | System and method for indicating validity of calibration certifications |
| GB2433628B (en) * | 2005-10-28 | 2011-05-18 | Hewlett Packard Development Co | Method of providing history and compliance information for objects |
| EP1955152A1 (en) * | 2005-12-01 | 2008-08-13 | Cassatt Corporation | Automated deployment and configuration of applications in an autonomically controlled distributed computing system |
| US8266426B2 (en) * | 2006-03-24 | 2012-09-11 | Red Hat, Inc. | Hardware certification based on certifying development processes |
| WO2008022086A2 (en) * | 2006-08-11 | 2008-02-21 | Visa International Service Association | Compliance assessment reporting service |
| US20080092107A1 (en) * | 2006-09-27 | 2008-04-17 | Mcwilliam Joshua | Software Development and Sales Life-Cycle Services |
| US8015039B2 (en) * | 2006-12-14 | 2011-09-06 | Sap Ag | Enterprise verification and certification framework |
| US8434129B2 (en) * | 2007-08-02 | 2013-04-30 | Fugen Solutions, Inc. | Method and apparatus for multi-domain identity interoperability and compliance verification |
| US8689224B2 (en) * | 2007-09-26 | 2014-04-01 | The Boeing Company | Methods and systems for preserving certified software through virtualization |
| US8997054B2 (en) * | 2007-11-30 | 2015-03-31 | Red Hat, Inc. | Software application certification service |
| US20100293058A1 (en) * | 2008-04-30 | 2010-11-18 | Intertrust Technologies Corporation | Ad Selection Systems and Methods |
| US8972978B2 (en) * | 2008-05-02 | 2015-03-03 | Skytap | Multitenant hosted virtual machine infrastructure |
| US8171296B2 (en) * | 2008-07-08 | 2012-05-01 | Xerox Corporation | System and method for producing and checking validation certificates |
| US20100057493A1 (en) * | 2008-09-02 | 2010-03-04 | Wendy Heckelman | Method for Independent Compliance Certification and Training |
| RU2549113C2 (ru) * | 2009-05-21 | 2015-04-20 | Интертраст Текнолоджиз Корпорейшн | Системы и способы доставки информационного содержания |
| WO2010135003A2 (en) * | 2009-05-21 | 2010-11-25 | Intertrust Technologies Corporation | Dynamic, local targeted advertising systems and methods |
| US20110126197A1 (en) * | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for controlling cloud and virtualized data centers in an intelligent workload management system |
| EP2524321A4 (en) * | 2010-01-15 | 2013-09-11 | Endurance Int Group Inc | HOSTING SERVICE FOR UNMITTED WEBDOMAINS BASED ON A GENERAL SERVICE ARCHITECTURE |
| US20110276490A1 (en) * | 2010-05-07 | 2011-11-10 | Microsoft Corporation | Security service level agreements with publicly verifiable proofs of compliance |
| US9189649B2 (en) * | 2010-06-25 | 2015-11-17 | International Business Machines Corporation | Security model for workflows aggregating third party secure services |
| US9699168B2 (en) * | 2010-12-13 | 2017-07-04 | International Business Machines Corporation | Method and system for authenticating a rich client to a web or cloud application |
| US20120209890A1 (en) * | 2011-02-14 | 2012-08-16 | Aginfolink Holdings Inc., A Bvi Corporation | Inter-enterprise ingredient specification compliance |
| US8566578B1 (en) * | 2011-02-17 | 2013-10-22 | Symantec Corporation | Method and system for ensuring compliance in public clouds using fine-grained data ownership based encryption |
| JP5961638B2 (ja) * | 2011-02-17 | 2016-08-02 | ターセーラ, インコーポレイテッド | アプリケーション証明のためのシステムおよび方法 |
| US8799334B1 (en) * | 2011-03-30 | 2014-08-05 | Emc Corporation | Remote verification of file protections for cloud data storage |
| US8868709B2 (en) * | 2011-05-03 | 2014-10-21 | International Business Machines Corporation | Programmatically selecting a service provider based on assured quality of service attributes |
| US20130132933A1 (en) * | 2011-11-17 | 2013-05-23 | Microsoft Corporation | Automated compliance testing during application development |
| US8528043B2 (en) * | 2011-12-06 | 2013-09-03 | Sap Ag | Systems and methods for generating trust federation data from BPMN choreography |
| US9098680B2 (en) * | 2011-12-22 | 2015-08-04 | Abbvie Inc. | Application security framework |
| US20130332194A1 (en) * | 2012-06-07 | 2013-12-12 | Iquartic | Methods and systems for adaptive ehr data integration, query, analysis, reporting, and crowdsourced ehr application development |
| US20130332376A1 (en) * | 2012-06-12 | 2013-12-12 | Pascal PILON | Method and system for dynamic test compliance in a multi level supply chain hierarchy |
| US9152781B2 (en) * | 2012-08-09 | 2015-10-06 | Cisco Technology, Inc. | Secure mobile client with assertions for access to service provider applications |
-
2012
- 2012-09-12 US US14/004,902 patent/US9210051B2/en not_active Expired - Fee Related
- 2012-09-12 WO PCT/US2012/054942 patent/WO2014042632A1/en active Application Filing
- 2012-09-12 CN CN201280075765.0A patent/CN104620278B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5610982A (en) * | 1996-05-15 | 1997-03-11 | Micali; Silvio | Compact certification with threshold signatures |
| CN1449523A (zh) * | 2000-08-28 | 2003-10-15 | 康坦夹德控股股份有限公司 | 内容消费环境的完整性验证和确认的系统和方法 |
| CN101980233A (zh) * | 2010-10-15 | 2011-02-23 | 上海聚力传媒技术有限公司 | 一种用于基于设备标识进行服务认证的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104620278A (zh) | 2015-05-13 |
| WO2014042632A1 (en) | 2014-03-20 |
| US20140325047A1 (en) | 2014-10-30 |
| US9210051B2 (en) | 2015-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ray | Web3: A comprehensive review on background, technologies, applications, zero-trust architectures, challenges and future directions | |
| JP7278379B2 (ja) | 集中型及び分散型の個別化医薬プラットフォーム | |
| US20190173854A1 (en) | Decentralized information sharing network | |
| AU2014238282B2 (en) | Systems and methods for cryptographic security as a service | |
| US20190182035A1 (en) | Protection of confidentiality, privacy and financial fairness in a blockchain based decentralized identity management system | |
| CN110458699A (zh) | 基于分布式帐簿的、实现金融包容性和可持续性的供应链应用的身份和起源 | |
| WO2017024071A1 (en) | System and method for decentralized autonomous healthcare economy platform | |
| CN109937420A (zh) | 去识别化分布式桥接网络平台 | |
| US11194922B2 (en) | Protecting study participant data for aggregate analysis | |
| WO2019153095A1 (en) | Blockchain-based consent management system and method | |
| US9922369B2 (en) | Transaction account interface | |
| WO2022016280A1 (en) | Digital ledger based health data sharing and management | |
| CN108959310A (zh) | 基于区块链的数据处理方法、装置和计算机可读存储介质 | |
| WO2018227092A1 (en) | Digital transaction matching and acquisition platform | |
| CN110263558A (zh) | 业务权限管理方法、装置、电子设备及计算机可读介质 | |
| KR20200044756A (ko) | 메신저 서비스를 기반으로 공동계좌를 관리하는 방법 및 시스템 | |
| AU2020200486A1 (en) | Router | |
| CN112489760B (zh) | 一种基于分布式身份认证的处方处理方法和系统 | |
| CN104620278B (zh) | 用于保证而不显露基础结构的复合认证 | |
| KR20190008602A (ko) | 메신저 서비스를 기반으로 가상계좌를 모임계좌로 사용하는 방법 및 시스템 | |
| Buttar et al. | Decentralized Identity Management Using Blockchain Technology: Challenges and Solutions | |
| Kumar et al. | Blockchain technology and applications | |
| Khare et al. | Blockchain: Structure, Uses, and Applications in IoT | |
| Braunstein et al. | Health information exchange | |
| Moriggl et al. | Touching space: distributed ledger technology for tracking and tracing certificates |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171222 Termination date: 20190912 |