CN105556894A - 网络连接自动化 - Google Patents
网络连接自动化 Download PDFInfo
- Publication number
- CN105556894A CN105556894A CN201480050814.4A CN201480050814A CN105556894A CN 105556894 A CN105556894 A CN 105556894A CN 201480050814 A CN201480050814 A CN 201480050814A CN 105556894 A CN105556894 A CN 105556894A
- Authority
- CN
- China
- Prior art keywords
- service provider
- computational resource
- client
- resource service
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1432—Metric aspects
- H04L12/1435—Metric aspects volume-based
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0896—Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
一种计算资源服务提供商从客户接收请求以在托管中心中在提供商网络装置与客户网络装置之间建立物理连接。一旦所述连接已被建立,所述客户就可以将密码认证信息通过所述物理连接传输给所述提供商网络装置。所述提供商网络装置将该信息传输给由所述计算资源服务提供商操作的认证服务,以验证所述信息的可信度。如果所述信息可信,那么所述认证服务就可以再配置所述提供商网络装置,以允许所述客户访问由所述计算资源服务提供商提供的一个或多个服务。所述认证服务可以将密码认证信息传输给所述客户,以验证所述计算资源服务提供商的身份。
Description
相关申请的交叉引用
本申请出于各种目的,以引用方式将2011年11月29日提交的、标题为“INTERFACESTOMANAGEDIRECTNETWORKPEERINGS”的美国专利申请号13/306,775和2013年9月17日提交的、标题为“NETWORKCONNECTIONAUTOMATION”的美国专利申请号14/029,496的全部公开内容包含在此。
背景
计算资源服务提供商和其他服务提供商经常准许用户通过使用专用网络连接来访问其服务。例如,许多用户利用托管环境来直接与计算资源服务提供商连接,以便访问一个或多个服务。尽管它们具有许多优点,但是在计算资源服务提供商与客户之间创建专用的和安全的连接可能并不是没有任意风险。例如,尽管它们尽最大努力去避免这种情况,但是物理专用连接可能(例如,在接插板处)具有易感点,在所述易感点处可能对通信进行未经授权的和/或无意识的访问。当前,计算资源服务提供商可使用常规认证方法来确保连接是安全的。但是,常规认证方法经常依赖于人工干预并且固有地不够灵活。另外地,用来使连接安全的密码技术可具有可利用的漏洞以获得对连接的未经授权的访问。适当解决这些风险对依赖于专用连接的组织和对计算资源服务提供商生成额外的成本。
附图简述
将参照附图描述根据本公开的各个实施方案,在附图中:
图1示出可实践各个实施方案的环境的说明性示例;
图2示出可实践各个实施方案的环境的说明性示例;
图3示出根据至少一个实施方案的由计算资源服务提供商提供的一个或多个服务的说明性示例;
图4示出可实践各个实施方案的环境的说明性示例;
图5示出根据至少一个实施方案的认证物理连接的环境的说明性示例;
图6示出根据至少一个实施方案的在初始认证之后管理与一个或多个服务的连接的环境的说明性示例;
图7示出根据至少一个实施方案的用于在客户与计算资源服务提供商之间建立物理连接的过程的说明性示例;
图8示出根据至少一个实施方案的用于第一次认证连接的过程的说明性示例;
图9示出根据至少一个实施方案的用于在先前已建立连接之后认证连接的过程的说明性示例;
图10示出根据至少一个实施方案的用于认证连接的过程的说明性示例;并且
图11示出可实现各个实施方案的环境。
详述
在以下描述中,将描述各个实施方案。出于解释的目的,将阐述具体的配置和细节,以便提供实施方案的透彻理解。但是,对本领域的技术人员将是明显的是,没有具体细节的情况下也可以实践实施方案。此外,为了不使所描述的实施方案变得模糊,可能会省略或简化众所周知的特征。
本文所描述和建议的技术涉及对在客户(例如,由客户操作的网络)与计算资源服务提供商之间的连接的认证。在一个实施方案中,计算资源服务提供商可从实体(例如,组织)接收在实体与计算资源服务提供商之间建立直接连接的请求。所述实体可以是可操作各种服务(诸如数据存储服务、虚拟计算系统服务和/或数据库服务)的计算资源服务提供商的客户。对于最佳使用所述服务中的一个或多个来说,计算资源服务提供商可允许客户使用直接连接(即,将客户计算资源与计算资源服务提供商计算资源连接的物理通信连接)与计算资源服务提供商的网络进行通信。用于建立此类连接的示例技术在2011年11月29日提交的、标题为“InterfacestoManageDirectNetworkPeerings”的美国专利申请号13/306,775中进行描述,出于各种目的,所述申请以引用的方式整体并入本文中。
在安装计算资源服务提供商与客户之间的连接之前,计算资源服务提供商可生成授权书以便允许计算资源服务提供商的雇员(即,数据技术员)连接与客户和计算资源服务提供商相关联的物理路由器。可响应于从客户所接收的请求生成该授权书以建立与计算资源服务提供商的直接连接。
在各种实施方案中,计算资源服务提供商可在连接之后将一个或多个信号传输至客户路由器,以发起在客户与计算资源服务提供商之间的网络连通性。这些一个或多个信号可另外地包括认证请求,以便验证连接已被正确地建立和客户是被授权连接到计算资源服务提供商的正确的实体。客户可响应于计算资源服务提供商来传输一个或多个信号,以便验证客户被授权访问计算资源服务提供商计算机系统。这些一个或多个信号可包括使用产生自一个或多个客户计算机系统的一个或多个认证凭证(诸如秘密密钥)生成的数字签名。可使用对称密码算法和/或非对称密码算法来生成该签名。计算资源服务提供商可将客户信号(或至少部分地基于其的信息)传输至认证服务,以便确定从客户接收的签名是否可信并且对应于该客户。如果客户信号不可信,那么计算资源服务提供商可拒绝访问其各种服务。否则,可准许客户访问客户已选择使用的一个或多个服务。
在一个实施方案中,在发起连接之后,计算资源服务提供商可随着时间推移将一个或多个认证请求传输给客户以确保所述连接未被破解。客户可将对请求(可包括使用散列函数生成的数字签名和密钥)的响应传输到计算资源服务提供商以提供客户被授权维持所述连接的证据。因此,如果签名诸如通过认证服务得到验证,那么计算资源服务提供商可允许所述连接继续。但是,如果所述认证服务不能验证客户具有授权访问由计算资源服务提供商提供的服务,那么计算资源服务提供商可限制客户对所述服务的访问,直到客户能够提供给计算资源服务提供商有效的数字签名。
在一个实施方案中,客户诸如通过对所述服务的适当地配置的API调用将认证请求传输给计算资源服务提供商,以便验证所述连接当前在客户与计算资源服务提供商之间。如果从计算资源服务提供商接收的信号不可信(例如,不包括代表计算资源服务提供商的有效的数字签名),那么客户可限制或甚至终止与计算资源服务提供商的连接。否则,客户可继续他/她对由计算资源服务提供商提供的各种服务的访问,只要被请求时,客户可相互地向计算资源服务提供商提供认证凭证。
在一些实施方案中,客户可诸如通过对所述服务的适当地已配置的API调用将认证请求传输给计算资源服务提供商,以便致使所述认证服务验证客户通信真正地产生自客户计算机系统。由客户传输的该认证请求可包括可由计算资源服务提供商使用的数字签名以验证客户的身份。如果数字签名可信,那么计算资源服务提供商可将包括用于计算资源服务提供商的数字签名的一个或多个信号传输给客户。因此,客户可使用该数字签名来验证计算资源服务提供商的身份。
以此方式,计算资源服务提供商及其客户可通过一个或多个物理路由器加以连接,并且确保所述连接在认证客户或计算资源服务提供商信号失败的情况下被限制或终止。此外,本文所描述的技术有利于另外的技术优点。例如,因为在一些实施方案中认证过程由计算资源服务提供商或客户管理的计算机系统执行,可能不需要人工干预来认证所述连接。因此,这些技术可在确保安全连接方面增加可用于计算资源服务提供商及其客户的灵活性。另外地,替代的认证过程的使用可消除对常规路由器到路由器认证技术的使用,从而潜在地消除或减轻在常规技术中固有的任意漏洞。另外的用途也可由在本文所述的各种技术实现。
图1示出可实践各个实施方案的环境100的说明性示例。在环境100中,计算资源服务提供商102向计算资源服务提供商的客户提供各种计算资源服务。计算资源服务提供商102可以是代表一个或多个用户托管各种计算资源的组织。例如,计算资源服务提供商可操作用来托管各种计算硬件资源(诸如,硬件服务器、数据存储装置、网络装置及其他设备(诸如服务器机架、联网电缆以及类似物))的一个或多个设施。计算资源硬件可利用其计算硬件资源来操作一个或多个服务。此类服务可包括在减少或甚至消除客户对物理设备投资的需要的同时,使计算资源服务提供商的客户能够远程管理计算资源以支持客户的操作的服务。示例服务包括但不限于各种数据存储服务(基于对象的数据存储服务、档案库数据存储服务、数据库服务以及类似物)、程序执行服务及其他服务。所述服务可被客户使用以支持多种多样的活动,诸如操作网站、操作支持组织的企业系统、分布式计算和/或其他活动。
因此,如图1所示,环境100包括客户104。客户104可以是至少部分地通过建立与计算资源服务提供商102的直接连接来利用各种服务中的一些或全部的组织。计算资源服务提供商102的客户104可利用由计算资源服务提供商102提供的各种服务。例如,客户104可通过自动化处理(诸如对服务作出的批量请求或需要访问服务的客户服务器请求)利用由计算资源服务提供商102提供的服务来支持客户操作。客户104可联系计算资源服务提供商102来请求安装与计算资源服务提供商的直接连接。计算资源服务提供商可生成授权书,并且部署数据技术员或允许客户102使用其自己的数据技术员或第三方来连接客户路由器和计算资源服务提供商路由器106。所述路由器可位于数据中心或托管中,所述数据中心或托管进而可位于远程位置中。尽管出于说明目的贯穿本公开普遍使用路由器,但是本公开中示出的技术可通常另外地施加到其他网络装置(例如,网关装置等)。
一旦在客户104与计算资源服务提供商路由器106之间的连接已被建立,计算资源服务提供商路由器就可发起将一个或多个信号传输给客户路由器。一种此类信号可包括认证请求,以便验证客户104被授权连接到计算资源服务提供商102。该认证请求可产生自认证服务108,所述认证服务108由计算资源服务提供商102维持和操作。认证服务108可被配置来从账户服务(未示出)获得客户信息,以便获得对散列所接收的客户数据是必要的密钥,以生成期望的客户数字签名。该期望的客户数字签名可与所接收的客户数字签名进行比较以便验证客户的身份。另外地,认证服务108可被配置来将可执行命令传输给计算资源服务提供商路由器106以便将认证请求传输给客户104。
响应于所述认证请求,客户104可通过传输给计算资源服务提供商路由器106的一个或多个信号向计算资源服务提供商102提供包括数字签名以及另外的数据(例如,客户识别号、端口号等)的一个或多个数据分组。因此,路由器106可将这些数据分组传输给认证服务108以供确认。认证服务108可被配置来散列从客户104接收的另外的数据以及密钥,以生成期望的客户数字签名。如果数字签名匹配,那么认证服务108就可再配置计算资源服务提供商路由器106以使客户能够访问由计算资源服务提供商102提供的一个或多个其他服务110。这些其他服务110可包括各种数据存储服务(基于对象的数据存储服务、档案库数据存储服务、数据库服务以及类似物)、程序执行服务等。但是,如果从客户104接收的数字签名与期望的数字签名不匹配,那么认证服务108就拒绝访问其他服务110。
可替代地,客户104可通过将一个或多个数据分组传输给计算资源服务提供商路由器106来发起(诸如通过对服务的适当地已配置的API调用的)认证过程。这些数据分组可包括使用秘密密钥生成的数字签名,所述秘密密钥在由计算资源服务提供商102处理时,致使所述服务提供商散列所接收的数据以及密钥,以生成期望的客户数字签名,所述期望的客户数字签名可用来确定所接收的数字签名是否可信。另外地,这些数据分组可致使服务提供商102生成包括其自己的数字签名的一个或多个数据分组,所述其自己的数字签名可由客户104使用以验证计算资源服务提供商的身份。用这种方法,客户104和计算资源服务提供商102两者均可验证通过直接物理连接传输的信号的可信度。
一旦客户104已获得对一个或多个其他服务110的访问,计算资源服务提供商102就可使用认证服务108来将一个或多个认证请求传输给客户以确保所述连接尚未被破解。如果存在所述连接已被破解的指示(例如,从客户104接收的认证凭证与期望值不匹配),那么计算资源服务提供商102就可通过认证服务108执行关于现有连接的一个或多个动作。例如,计算资源服务提供商102可配置认证服务108来将一个或多个可执行指令传输给路由器106以便限制所述连接。这可包括节流对客户104可用的网络带宽或禁用对其他服务110的访问。在其他情况下,认证服务108可指账户服务(未示出)根据客户104规范来对所述连接施加一个或多个限制。例如,客户104在针对与计算资源服务提供商102的直接连接的初始请求期间已规定如果连接被破解,那么就采取某些动作。如果在稍后点处客户104向计算资源服务提供商提供有效的认证凭证,那么计算资源服务提供商102可恢复所述连接。
如以上所指出,在客户路由器与计算资源服务提供商路由器之间的物理连接可在可位于远程位置处的数据中心或托管处进行。因此,图2是可实践各个实施方案的环境的说明性示例。在环境200中,可在一个或多个客户202与计算资源服务提供商212之间建立直接连接。如以上所指出,客户202可联系计算资源服务提供商212来请求安装与计算资源服务提供商的直接连接。因此,计算资源服务提供商212可部署数据技术员来在客户路由器206与计算资源服务提供商路由器210之间建立物理连接。路由器206、210可位于数据中心或托管204中,所述数据中心或托管204进而可位于远程位置中。
在该说明性示例中,在一个或多个客户202与计算资源服务提供商212之间的直接连接可通过在客户路由器206与计算资源服务提供商路由器210之间安装电缆而建立。在图2中示出的路由器206、210可包括被配置来允许用户将数据传输给接受者或从源接收数据的多个端口。例如,在客户和提供商使用光纤电缆连接的实施方案中,路由器206、210可包括许多传输端口和许多接收端口。因此,在客户路由器206与计算资源服务提供商路由器210之间的连接可包括多个电缆,在所述多个电缆连接到所述路由器上时,使客户202和计算资源服务提供商212能够传输和接收数据。
根据托管204的配置,在客户路由器206与计算资源服务提供商路由器210之间的直接物理连接(或仅“物理连接”)可包括一个或多个接插板208或其他干预结构(例如,非路由装置、耦合器等)。例如,所述一个或多个接插板208可使托管204操作员能够使用更短长度的电缆来连接两个或更多个装置,诸如客户路由器206和计算资源服务提供商路由器210。另外地,由于输入/输出端口可因此由接插板208标记,因而接插板208可用来简化用来建立连接的端口的识别。换句话说,本公开的实施方案并不限于连续的电缆连接客户路由器和提供商路由器的那些实施方案。一旦在托管204中已建立从客户路由器206到计算资源服务提供商路由器210的物理连接,计算资源服务提供商212就可再一次通过计算资源服务提供商路由器将一个或多个信号传输给客户路由器。在从计算资源服务提供商212接收到一个或多个信号之后,客户路由器206可将一个或多个信号传输给客户202以供处理。如以上所指出,所述一个或多个信号可包括认证请求,所述认证请求可致使由客户202操作的计算机系统传输包括认证证明的响应。所述认证证明可包括确认客户202的身份所需的数字签名或其他账户凭证。尽管出于说明目的贯穿本公开普遍使用用于认证的数字签名,但是可使用其他认证方法。例如,由计算资源服务提供商212发送的认证请求可包括可执行指令,所述可执行指令可致使客户图形用户接口在客户202计算机系统上显现对于密码的提示。因此,客户202可能需要在提示中输入密码以便认证所述连接。
一旦所述连接已被认证,计算资源服务提供商212通过认证服务可再配置计算资源服务提供商路由器210以允许在客户202与由计算资源服务提供商提供的一个或多个服务之间进行通信。在稍后的时间处,计算资源服务提供商212可通过其路由器210将一个或多个信号传输给客户202以便验证所述连接尚未被破解。如果客户202不能向计算资源服务提供商212提供足够的认证证明(例如,无效的凭证、无效的数字签名、错误的互联网协议(IP)地址、校检和失配等),那么计算资源服务提供商可通过认证服务来再一次再配置计算资源服务提供商路由器210以限制客户202对所述一个或多个服务的访问。
同时,客户202可通过客户路由器206将一个或多个信号传输给计算资源服务提供商212以验证所述连接尚未被破解。如果计算资源服务提供商212不能提供足够的认证证明,那么客户202可通过由客户操作的一个或多个计算机系统将可执行命令传输给客户路由器206,以限制或甚至终止现有连接。
如以上所指出,计算资源服务提供商可提供客户可使用来支持其业务操作的许多服务。因此,图3是根据至少一个实施方案的由计算资源服务提供商302提供的一个或多个服务的说明性示例。在该说明性示例中,计算资源服务提供商302提供至少五种类型的服务。在该示例中,由计算资源服务提供商302提供的服务包括虚拟计算机系统服务304、基于对象的数据存储服务306、数据库服务308、账户服务310、认证服务312和一个或多个其他服务314,尽管不是本公开的全部实施方案都将包括全部此类服务,但是除本文明确描述的服务之外或作为替代本文明确描述的服务,可提供另外的服务。
虚拟计算机系统服务304可以是计算资源的集合,其被配置来代表计算资源服务提供商302的客户将虚拟机实例例示到虚拟计算系统上。计算资源服务提供商302的客户可与虚拟计算机系统的服务交互,以便提供和操作在由计算资源服务提供商302托管并操作的物理计算装置上例示的虚拟计算机系统。虚拟计算机系统可用于各种目的,诸如作为支持网站的服务器来操作。用于虚拟计算机系统的其他应用可以用来支持数据库应用、电子商务应用、业务应用和/或其他应用。
基于对象的数据存储服务306可包括计算资源的集合,其共同地操作来存储用于客户的数据。可将在基于对象的数据存储服务306中存储的数据组织到数据对象中。也许除了对大小进行某些限制之外,数据对象可具有任意大小。因此,基于对象的数据存储服务306可存储具有不同大小的众多数据对象。基于对象的数据存储服务306可作为将数据对象与数据对象的标识符相关联的密钥值存储来操作,所述数据对象的标识符可由客户使用,以检索或执行与由数据存储服务306存储的数据对象有关的其他操作。对数据存储服务的访问可以是通过适当地已配置的API调用。
数据库服务308可以是计算资源的集合,其共同地操作以运行用于一个或多个客户的一个或多个数据库。计算资源服务提供商302的客户可通过利用适当地已配置的API调用来操作并管理来自数据库服务308的数据库。这进而可允许客户维持并潜在地扩展数据库中的操作。
账户服务310可以是计算资源的集合,其共同地操作以维持针对计算资源服务提供商302的每个客户的客户账户信息。账户服务310例如可包括客户姓名、地址、电话号码、记帐细节以及针对计算资源服务提供商302的每个客户的其他个人识别信息。另外地,账户服务310可包括可用来验证客户具有合适的授权来访问由计算资源服务提供商302提供的一个或多个服务的密钥或其他凭证。因此,如果客户未能提供足够的认证证明(例如,数字签名、密码等),那么账户服务310可被配置来结合认证服务312进行操作,以启用客户连接和限制对由计算资源服务提供商302提供的一个或多个服务进行访问。客户可能够通过一个或多个通信网络(诸如互联网)与账户服务310交互,以便当需要时提供和更新账户信息。因此,客户可访问账户服务310以执行密钥交换,以便确保客户和计算资源服务提供商302两者均具有确认物理连接所需的密钥的复本。
如以上所指出,认证服务312可用来认证和验证在计算资源服务提供商302与客户之间的连接。例如,在客户与计算资源服务提供商302之间(例如,通过使用位于托管中的路由器,如图2中所示)已建立直接连接之后,认证服务312可将认证请求传输给客户,以便确保客户具有授权访问由计算资源服务提供商提供的一个或多个服务。因此,认证服务312可被配置来从客户接收认证证明并且执行一个或多个操作,以确定所提供的认证证明是否可信。例如,认证服务312可与账户服务310交互以获得用于验证所提供的认证证明(例如,一个或多个密钥、密码、客户识别号等)的需要的客户信息。如果认证证明不足够,那么认证服务312可将一个或多个可执行命令传输给计算资源服务提供商302路由器,以限制客户对一个或多个服务的访问,直到客户能够提供足够的认证证明。认证服务312可被配置来在不同时刻执行该认证过程,以确保在客户与计算资源服务提供商302之间的连接不被破解。
认证服务312另外地可被配置来响应于由客户传输给计算资源服务提供商302的认证请求。例如,在客户与计算资源服务提供商302之间已建立直接连接之后,客户可将认证请求传输给计算资源服务提供商,以便验证所述连接可信并且尚未被破解。认证服务312可处理所述请求并且提供验证所述连接可信所需的认证证明。例如,认证服务312可被配置来访问账户服务310以定位与客户有关的账户信息并且识别认证所述连接所需的该种类型的认证证明。用这种方法,认证服务312可为在客户与计算资源服务提供商302之间的连接提供添加的安全性。
计算资源服务提供商302另外地可基于其客户的需要来维持一个或多个其他服务314。例如,计算资源服务提供商302可维持块级数据存储服务,所述块级数据存储服务可包括计算资源的集合,其共同地操作来通过利用块级数据存储卷来存储用于客户的数据。所述存储卷可被配置来表现像具有块级客户接口的原始的、无格式的块存储装置。因此,客户可通过对所述服务的适当地已配置的API调用来在块级数据存储卷的顶部上创建文件系统或将所述卷用作块级存储装置(例如,硬盘驱动器)。其他服务包括但不限于对象级档案库数据存储服务、管理其他服务的服务和/或其他服务。
如以上所指出,计算资源服务提供商可利用认证服务来认证在客户与计算资源服务提供商之间的直接的物理连接。但是,用以认证连接的认证服务的使用可用于其他类型的连接。因此,图4是可实践各个实施方案的环境400的说明性示例。在环境400中,客户可通过一个或多个通信网络404(诸如互联网)利用客户网关装置402来与计算资源服务提供商408进行通信。尽管出于说明目的贯穿本公开普遍使用互联网,但是本公开不受此限制。例如,网关装置402可用来通过局域网(LAN)、内联网、外联网、无线网络及其任意组合与计算资源服务提供商408进行通信。
客户网关装置402可以是被配置来充当网络404的入口或“网关”的任意装置。客户网关402可被配置来将产生自客户计算机系统的数据转换成可通过网络404被传输给预定接收者(例如,在这种情况下,计算资源服务提供商408)的数据分组。另外地,客户网关装置402可被配置来接收通过网络404传输的任意数据分组,并且将这些数据分组转换成可由客户计算机系统读取的数据。例如,如果将客户网关装置402通过互联网连接到计算资源服务提供商408,那么客户网关装置402可被配置来使用一组通信协议(诸如传输控制协议/互联网协议(TCP/IP))来将数据分组传输到计算资源服务提供商408。IP组件可通过互联网提供从客户计算机系统到计算资源服务提供商408的路由。这可通过使用可对应于客户计算机系统和计算资源服务提供商408系统的IP地址(例如,IPv4或IPv6地址)来完成。TCP组件可负责验证数据从客户到计算资源服务提供商408的正确递送。
客户计算机系统和计算资源服务提供商408计算系统可另外地使用另外的网络协议来识别用于路由数据分组的最有效的或最便利的路径。例如,各种计算机系统可利用边界网关协议(BGP),以便在网络404中交换路由信息。客户计算机系统和计算资源服务提供商计算机系统可使用BGP来确定可用来传输和接收通过网络404(例如,互联网)发送的数据分组的可用的网关装置(例如,路由器)。因此,使用BGP的计算机系统可依赖于TCP/IP,以便通过连接到计算机系统并支持网络404的各种路由器传输数据分组。
用来通过网络404将客户网关装置402连接到计算资源服务提供商408的协议可包括验证客户和计算资源服务提供商被授权加入安全连接406中所需的安全协议。安全连接406可以是通过一个或多个安全隧道(例如,使用一个或多个加密方法的互联网协议安全(IPsec)隧道)操作的虚拟专用网络(VPN)。因此,当使用该安全协议通过网络404在客户与计算资源服务提供商408之间进行初始连接时,计算资源服务提供商可将认证请求传输给客户,以确定客户是否具有授权加入该安全连接406中。因此,客户可根据安全协议通过客户网关装置402来传输包括由计算资源服务提供商408提供的认证服务的IP地址和认证证明(例如,密码、数字签名等)的数据分组。
一旦由计算资源服务提供商408提供的认证服务从客户网关装置402接收到数据分组,所接收的认证凭证就可利用散列函数来散列所接收的数据,以及与客户相关联的密钥,以生成期望的客户数字签名。因此,计算资源服务提供商408可将该期望的客户数字签名与从客户网关装置402接收的数字签名进行比较以确定这些签名是否匹配。如果存在匹配,那么计算资源服务提供商408可再配置其自己的网关装置以容许客户访问由计算资源服务提供商提供的一个或多个其他服务。但是,如果数字签名不匹配,那么就可拒绝传输给所述一个或多个其他服务的任意数据分组。另外地,客户可使用客户网关装置402来将认证请求传输给计算资源服务提供商408。因此,计算资源服务提供商408可根据安全协议来传输包括客户计算系统的IP地址和认证凭证(例如,数字签名、密码等)的数据分组。如果所接收的认证凭证不足够,那么客户可将一个或多个可执行命令传输给客户网关装置402以限制或终止与计算资源服务提供商408的安全连接406。
图5是根据至少一个实施方案的认证物理连接的环境500的说明性示例。在环境500中,客户可向计算资源服务提供商504提交请求,以建立与计算资源服务提供商的直接连接。因此,计算资源服务提供商504可生成授权书以将客户路由器502物理地连接到计算资源服务提供商路由器506。可部署数据技术员来建立物理连接,如图2中所示。
一旦在客户路由器502与计算资源服务提供商路由器506之间已建立物理连接,计算资源服务提供商504就可利用认证服务508来验证通过物理连接的客户传输产生自授权的客户。因此,认证服务508可被配置来通过计算资源服务提供商路由器506传输认证请求。如上文所述,计算资源服务提供商路由器506可被配置来使用安全协议传输该认证请求,以引起来自客户的响应。
因此,客户路由器502可接收该认证请求并且将请求传输给一个或多个客户计算机系统以供处理。一个或多个客户计算机系统可被配置来准备包括所需认证证明(例如,密码、数字签名等)的数据分组,以验证客户的身份以及访问对客户可用的其他服务512所需的任意其他必要的信息。可将该数据分组传输给客户路由器506,所述客户路由器506进而可利用安全协议来传输包括认证证明的数据分组。
计算资源服务提供商路由器506可将所接收的客户数据分组传输给认证服务508以供验证。因此,认证服务508可被配置来从数据分组提取认证证明。所述认证证明可包括数字签名,所述数字签名可能需要使用所接收的数据和由计算资源服务提供商保存的密钥的散列加以验证,并且特定于客户。因此,认证服务508可被配置来与由计算资源服务提供商504管理的账户服务510交互,以获得相关的客户信息。例如,如上文所述,账户服务510可包括针对计算资源服务提供商504的每个客户的客户账户信息。例如,客户账户可包括一个或多个密钥,所述一个或多个密钥可用来生成期望的客户数字签名以便验证所接收的数字签名可信,并且因此验证直接连接到计算资源服务提供商504的客户计算机系统的身份。因此,账户服务510可被配置来将这些密钥传输给认证服务508。
认证服务508可使用来自账户服务510的密钥以及从客户接收的数据,以生成期望的客户数字签名并且试图将该签名与客户认证证明进行匹配。如果在数字签名之间存在结果匹配,那么认证服务508就可将一个或多个可执行命令传输给计算资源服务提供商路由器506,以允许客户访问由计算资源服务提供商504提供的其他服务512。但是,如果没有匹配可被建立,那么认证服务508可将包括已拒绝访问其他服务512的理由的信息消息传输给客户。
在另一个实施方案中,一旦在客户路由器502与计算资源服务提供商路由器506之间已建立物理连接,客户就可诸如通过一个或多个对所述服务的适当地已配置的API调用来生成包括客户信息和数字签名的一个或多个数据分组,所述一个或多个数据分组可用来验证客户的身份。可使用认证协议通过物理连接将这些数据分组传输给计算资源服务提供商路由器506。该路由器506可被配置来将这些数据分组传送给认证服务508以供另外的处理。
认证服务508可被配置来与账户服务510交互,以便获得生成期望的客户数字签名所需的一个或多个密钥。因此,认证服务508可被配置来散列密钥和所接收的客户数据以生成该期望的客户数字签名。该签名可与所接收的客户数字签名进行比较以便确定是否存在匹配。如果存在匹配,那么客户传输被认为可信,从而致使认证服务508将一个或多个可执行指令传输给提供商路由器506,以便使客户能够访问由计算资源服务提供商504提供的一个或多个其他服务512。例如,如果客户传输被认为可信,那么计算资源服务提供商504可允许客户提供一个或多个虚拟接口来访问这些其他服务512。
另外地,对客户身份的验证可致使认证服务508生成包括可被传输给客户路由器502的用于计算资源服务提供商504的数字签名的一个或多个数据分组。这可使客户能够验证计算资源服务提供商504的身份。
在已进行了对客户的初始化认证之后,客户现可访问由计算资源服务提供商提供的多种服务。但是,另外的认证请求可在客户与计算资源服务提供商之间进行传输以确保所述连接尚未被破解。因此,图6是根据至少一个实施方案的在初始认证之后管理与一个或多个服务的连接的环境600的说明性示例。在环境600中,客户可通过客户路由器602来传输一个或多个信号,以便访问由计算资源服务提供商604提供的一个或多个其他服务612。因此,这些一个或多个信号可由计算资源服务提供商路由器606接收并且传输给所述一个或多个其他服务612以供处理。例如,客户可利用客户路由器602来提供虚拟接口,所述虚拟接口对访问一个或多个服务612是所需的。用这种方法,客户可利用一个或多个服务612以用于他的/她的目的。
在客户和计算资源服务提供商604与其相关联的其他服务612之间进行交互期间的任意点处,认证服务608可经由计算资源服务提供商路由器606和客户路由器602将认证请求传输给客户,以确保所述连接尚未被破解(例如,第三方已拦截所述连接等)。因此,客户可使用由客户维持和操作的一个或多个计算机系统来传输满足所接收的认证请求所需的认证证明。该认证证明可通过客户路由器602加以传输。作为图5中示出的初始认证过程,所述认证证明可包括密码、数字签名或在认证请求中请求的任意其他凭证。可在根据安全协议配置的一个或多个数据分组中将该认证证明传输给计算资源服务提供商604。
计算资源服务提供商路由器606可接收该认证证明并且因此将所述证明递送给认证服务608以供验证。如图5所示,认证服务608可被配置来与账户服务610交互以获得评估所接收的认证证明所需的相关的客户信息(例如,密钥、客户账户凭证等)。如果由客户提供的认证证明被确认为可信,那么认证服务608可允许客户继续访问所述其他服务612。但是,如果所提供的认证证明与从账户服务610获得的有关的客户信息不符,那么认证服务608可将一个或多个可执行指令传输给计算资源服务提供商路由器606,以限制客户访问由计算资源服务提供商604提供的其他服务612。例如,计算资源服务提供商路由器606可被配置来减少对客户可用的连接带宽,或完全终止所述连接或虚拟接口。可替代地,认证服务608可被配置来再一次与账户服务610交互,以识别可在认证质询失败的情况下进行的一个或多个动作。例如,客户可指定计算资源服务提供商604监视和记录与声称是访问所述其他服务612的客户的用户有关的全部活动。
可替代地,在客户和计算资源服务提供商604与其相关联的其他服务612之间进行交互的任意点处,由客户操作的计算机系统可将一个或多个认证请求传输给计算资源服务提供商,以确保所述连接尚未被破解。一旦所述请求已由计算资源服务提供商路由器606接收,所述请求可被传输给认证服务608以供处理。认证服务608可被配置来与账户服务610交互,以获得相关的客户信息,包括但不限于生成用以满足客户认证请求的认证证明所需的一个或多个密钥。例如,认证服务608可被配置来使用散列函数以散列数据和密钥以生成数字签名。因此,认证服务608可生成一个或多个数据分组,所述一个或多个数据分组可包括认证证明(例如,数字签名)以及可经由在计算资源服务提供商路由器606与客户路由器602之间的物理连接被传输给客户计算机系统的其他数据。
如果由计算资源服务提供商604提供的认证证明不足够,那么客户计算系统可被配置来传输可执行命令,所述可执行命令可致使客户路由器602终止所述连接。这可包括生成针对数据技术员的请求以切断物理连接或通过物理连接完全中断一个或多个信号的传输。但是,如果认证证明足够,以使得所述连接以及计算资源服务提供商604的确可信,那么客户可继续利用物理连接来访问支持其业务所需的一个或多个其他服务612。
在另一个实施方案中,客户可(诸如通过一个或多个对所述服务的适当地已配置的API调用)生成包括密码认证信息的另外的数据分组,所述另外的数据分组可用来验证客户的身份。如以上所指出,可使用认证协议通过物理连接将这些数据分组传输给计算资源服务提供商路由器606。该路由器606可被配置来将这些数据分组传送给认证服务608以供另外的处理。
如以上所指出,认证服务608可被配置来与账户服务610交互,以便获得生成期望的客户数字签名所需的一个或多个密钥。因此,认证服务608可被配置来散列密钥和所接收的客户数据以生成该期望的客户数字签名。该签名可与所接收的客户数字签名进行比较以便确定是否存在匹配。如果存在匹配,那么客户传输被认为可信,从而致使认证服务608允许继续访问由计算资源服务提供商604提供的所述一个或多个服务612。但是,如果不存在匹配,那么认证服务608可执行一个或多个动作以限制或甚至终止现有连接,如上文所述。
此外,如果数字签名匹配,那么认证服务608可生成包括可被传输给客户路由器602的计算资源服务提供商604的数字签名的一个或多个数据分组。这可使客户能够验证计算资源服务提供商604的身份,以便继续本直接连接。
如以上所指出,可在客户路由器与计算资源服务提供商之间建立直接连接以使客户能够访问由计算资源服务提供商提供的一个或多个服务。因此,图7是根据至少一个实施方案的用于在客户与计算资源服务提供商之间建立物理连接的过程700的说明性示例。过程700可由计算资源服务提供商操作的多种联网组件和计算组件,以及由计算资源服务提供商维持和操作的一个或多个服务(例如,认证服务和账户服务)执行。
客户可联系计算资源服务提供商以请求在客户路由器与计算资源服务提供商路由器之间创建直接物理连接。例如,客户可能希望在客户计算系统与计算资源服务提供商计算系统之间建立专用网络连接。这可使客户能够访问由计算资源服务提供商提供的所述一个或多个服务以支持他的/她的业务操作。因此,过程700可包括计算资源服务提供商从客户接收702建立该直接连接的请求。
一旦计算资源服务提供商已从客户接收到请求,那么计算资源服务提供商就可生成704授权书以将客户路由器连接到计算资源服务提供商路由器。如图2所示,客户路由器和计算资源服务提供商路由器可位于数据中心或托管中心中。因此,授权书可授予数据技术员(例如,计算资源服务提供商的雇员、客户或订立合同的第三方)许可以在客户路由器与计算资源服务提供商路由器之间建立连接。
数据技术员可使用一个或多个电缆以连接706物理路由器。这可能需要识别在托管中心内的客户路由器和计算资源服务提供商路由器以及需要建立所述连接的对应的端口。例如,数据技术员可将(例如,光纤的、铜质的或其他材料的)一组电缆的一端插入客户路由器的接收端口和传输端口中,并且将电缆的另一端连接到计算资源服务提供商的接收端口和传输端口上。如果托管中心包括一个或多个接插板,那么数据技术员就通过插接板将来自客户路由器的电缆从最终插接板端口连接到计算资源服务提供商路由器。数据技术员可使用诊断工具来确保适当连通性或可联系计算资源服务提供商来通知计算资源服务提供商所述连接已被建立。
应注意,认证过程可以是端口独立的。例如,在一个实施方案中,客户在托管中心内操作和维持包括客户路由器和由次级或三次客户(例如,与计算资源服务提供商具有现有关系的客户的客户)维持和操作的路由器的笼(cage)。在任意点处,客户可断开在客户路由器与计算资源服务提供商之间的物理连接,并且再连接与由次级或三次客户维持的路由器的物理连接。次级或三次客户可维持可与该次级或三次客户相关联并且可用来向计算资源服务提供商提供认证证明的一组凭证。因此,计算资源服务提供商可因此通过该物理连接来认证与该次级或三次客户的物理连接。次级或三次客户可因此向计算资源服务提供商提供认证证明,以认证所述连接,如将在下文所述。
在各种实施方案中,客户和/或提供商可改变用来建立直接物理连接的网络装置端口。例如,客户可请求升级现有物理连接(例如,在计算资源服务提供商路由器上从一千兆字节端口转变到十千兆字节端口),从而在客户路由器与计算资源服务提供商路由器之间导致不同连接。在这种情况下,一旦在所述过程没有任意系统变化的情况下已建立所述连接,就可重复认证过程。这可确保所述认证过程是端口独立的。
一旦在托管中心中的物理路由器已被连接并且数据技术员已提供所述连接的确认,计算资源服务提供商就可使用所述路由器将一个或多个信号传输708给客户路由器。如上文结合图5所述,计算资源服务提供商可操作和维持认证服务,所述认证服务可被配置来将认证请求传输给客户,以便验证客户被授权连接到由计算资源服务提供商提供的一个或多个服务。因此,所述认证服务可被配置来根据包括该认证请求的安全协议生成一个或多个数据分组。这些数据分组可经由在托管中心中建立的物理连接由计算资源服务提供商路由器传输给客户路由器。
当客户路由器从计算资源服务提供商接收到这些一个或多个数据分组时,客户路由器可将这些数据分组传输给客户计算系统以供处理。基于所述认证请求,客户计算机系统可被配置来利用散列函数和密钥来生成数字签名。所述数字签名可包括满足所述认证请求所需的认证证明。因此,客户计算机系统可被配置来生成包括满足所述请求以及其他客户数据所需的认证证明的一个或多个数据分组。可根据针对传输认证信息建立的安全协议来创建这些数据分组。
所述数据分组包括客户认证证明,所述客户认证证明可使用客户路由器通过物理连接传输给计算资源服务提供商。因此,计算资源服务提供商可从客户路由器接收710包括客户数据分组的信号。产生自客户路由器的信号可由计算资源服务提供商路由器接收,所述计算资源服务提供商路由器可被配置来分解来自客户的信号并且提取一个或多个数据分组。可将可被寻址到认证服务的数据分组传输给认证服务以供处理。
如以上所指出,所述认证服务可被配置来从所接收的数据分组提取客户认证证明(例如,数字签名),以便验证客户的身份。因此,认证服务可试图认证712通过物理连接接收的数字签名。如以上所指出,所述认证服务可被配置来与账户服务交互,以便获得有关的客户信息。例如,认证服务可从账户服务获得一个或多个密钥(例如,使用一个或多个加密方法(诸如椭圆曲线密码术)生成的客户密钥),以便验证认证证明。例如,认证服务可被配置来散列接收的客户数据以及密钥,以生成期望的客户数字签名。如果该期望的客户数字签名与从客户接收的数字签名匹配,那么所述信号就可信并且客户身份就得到了验证。
如果由客户提供的认证证明足够(例如,数字签名产生匹配),那么认证服务可使客户能够714访问由计算资源服务提供商提供的所述一个或多个服务。为了使客户能够访问所述一个或多个服务,认证服务可被配置来将一个或多个可执行指令传输给计算资源服务提供商路由器,以再配置所述路由器,以允许客户传输一个或多个信号以便访问所述一个或多个服务。例如,计算资源服务提供商路由器可被配置来允许将包括一个或多个服务的接收方IP地址的任意数据分组递送给一个或多个服务。另外地,所述认证可被配置来将一个或多个可执行指令传输给计算资源服务提供商路由器,以允许客户提供虚拟接口,所述虚拟接口可用来访问这些服务。用这种方法,客户可能够访问由计算资源服务提供商提供的所述一个或多个服务。
如以上所指出,所述认证服务可被配置来验证在客户与计算资源服务提供商之间已建立物理连接之后,客户具有授权访问由计算资源服务提供商提供的所述一个或多个服务。因此,图8是根据至少一个实施方案的用于第一次认证连接的过程800的说明性示例。如以上所指出,计算资源服务提供商和客户可通过使用位于托管中心中的路由器来建立物理连接。一旦物理连接已被建立,就存在未经授权的第三方可干扰所述连接(例如,试图扮演客户并且访问客户信息)的风险。因此,计算资源服务提供商可包括可被配置来将认证请求传输802给客户的认证服务,以验证客户具有授权访问请求的服务。
如以上所指出,所述认证服务可被配置来生成包括可通过物理连接加以发送的认证请求的一个或多个数据分组。这些数据分组可根据除其他标准协议(例如,TCP/IP、IPsec等)之外的安全协议来另外地被配置,以使得所述数据分组可被客户计算机系统处理并且所述传输是安全的。因此,所述认证服务可被配置来将这些数据分组传输给计算资源服务提供商路由器,所述计算资源服务提供商路由器进而可将所述数据分组传输给客户。
客户可通过客户路由器接收这些数据分组,所述客户路由器可物理地连接到在托管中心中的计算资源服务提供商路由器。因此,可将所述数据分组传输给一个或多个客户计算机系统以供处理,以使得所述一个或多个计算机系统可响应于包括所需的认证证明的所述请求而生成一个或多个数据分组,以验证客户具有授权访问由计算资源服务提供商提供的服务。如同使用所述认证服务生成数据分组一样,所述一个或多个客户计算机系统可被配置来生成根据除其他标准协议之外的安全协议配置的一个或多个数据分组。因此,可将这些数据分组从客户路由器传输给计算资源服务提供商路由器以供处理。计算资源服务提供商可将从客户接收的所述一个或多个数据分组传输给所述认证服务。
因此,所述认证服务可被配置来从客户接收804所述认证证明。基于已请求的该种类型的认证证明,所述认证服务可被配置来与账户服务交互,以获得验证所述认证证明所需的客户账户信息。例如,所述认证服务可获得与客户账户相关联的密钥,以生成可用来确定从客户接收的数字签名是否可信的期望的客户数字签名。
因此,所述认证服务可被配置来使用密钥来生成期望的客户数字签名以与从客户接收的数字签名进行比较,以便确定是否存在匹配。因此,所述认证服务可被配置来确定806所述客户认证证明是否可信。如果从客户接收的认证证明与由所述认证服务生成的期望的客户数字签名匹配,那么所述认证服务可建立808与由计算资源服务提供商提供的一个或多个服务的连接。例如,所述认证服务可被配置来将一个或多个可执行指令传输给计算资源服务提供商路由器,所述一个或多个可执行指令可致使路由器将从客户接收的被寻址到由计算资源服务提供商提供的一个或多个服务的任意数据分组传输给这些一个或多个服务。因此,客户可能够访问这些服务以支持其业务。
但是,如果从客户接收的认证证明与由所述认证服务生成的期望的客户数字签名不匹配,那么所述认证服务可拒绝810客户访问由计算资源服务提供商提供的所述服务。例如,所述认证服务可被配置来将一个或多个可执行命令传输给计算资源服务提供商路由器,所述一个或多个可执行命令可致使路由器拒绝来自客户的可被寻址到这些一个或多个服务的任意数据分组。可替代地,如果在初始物理连接期间计算资源服务提供商路由器的配置包括自动地拒绝被寻址到所述一个或多个服务的任意数据分组,那么所述认证服务就可能不将任意另外的指令传输给所述路由器。因此,所述路由器可继续拒绝来自客户的这些数据分组。
一旦客户已成功地连接到所述一个或多个服务,那么客户可继续利用这些服务来支持其业务。但是,所述认证服务可被配置来继续向客户提交认证请求,以便确保所述连接尚未被破解。因此,图9是根据至少一个实施方案的用于在先前已建立连接之后认证连接的过程900的说明性示例。如在图8中示出的过程中,认证服务可被配置来向客户传输902认证请求。该已请求的认证可在根据一个或多个通信协议(例如,TCP/IP)和用于物理连接的安全性所需的安全协议配置的一个或多个数据分组中加以传输。
如以上所指出,客户可操作被配置来另外操作客户业务的一个或多个计算机系统。因此,这些一个或多个计算机系统可被配置来处理认证请求,并且生成包括用以满足所述请求的所需的认证证明的一个或多个数据分组。如上文所述,所述认证证明可包括一个或多个客户凭证(例如,密码、数字签名等)。如在包括认证请求的数据分组中,使用客户计算系统生成的数据分组可被配置成一个或多个通信协议和安全协议。这些数据分组可使用客户路由器加以递送,所述客户路由器可(例如,通过在托管中心中的物理电缆)被直接连接到计算资源服务提供商路由器上。
计算资源服务提供商路由器因此可被配置来接收904包括认证证明的数据分组,并且将这些数据分组传输给由计算资源服务提供商操作的认证服务。因此,认证服务可被配置来与由计算资源服务提供商操作的账户服务交互,以获得用以验证所述认证证明的所需信息。这可使所述认证服务能够确定906所述客户认证证明是否可信。例如,所述认证服务可获得生成期望的客户数字签名所需的一个或多个密钥,可用来验证从客户接收的数字签名。
如果所述认证证明满足所述认证请求(例如,所提供的客户数字签名与由认证服务生成的期望的客户数字签名匹配),那么所述认证服务还可确定908客户当前是否可访问由计算资源服务提供商提供的一个或多个服务。如果计算资源服务提供商先前在客户与这些服务之间已建立连接,那么所述认证服务可被配置来继续允许客户访问这些服务。因此,所述认证服务可被配置来将另一个认证请求传输902给客户,以便确保所述连接尚未被破解。至少部分地基于所述认证服务的配置来在稍后时间做出这些后续请求。
但是,如果客户当前不可访问由计算资源服务提供商提供的一个或多个服务,那么所述认证服务就可在客户与这些服务之间建立910连接。例如,所述认证服务可被配置来将一个或多个可执行指令传输给计算资源服务提供商路由器,所述一个或多个可执行指令可致使所述路由器准许产生自客户计算机系统的任意数据分组被传输给所述一个或多个服务。因此,客户现可访问这些服务以促进他的/她的业务。再者,一旦所述连接已被建立,认证服务就可继续将认证请求传输902给客户,以确保所述连接尚未被破解。可取决于认证服务的配置来以每天、每周或每月或以不同时间间隔做出这些后续请求。
如果认证服务评估从客户接收的认证证明并且确定所述证明不可信,那么所述认证服务还可确定912是否限制客户访问由计算资源服务提供商提供的一个或多个服务。例如,计算资源服务提供商可允许客户定义在所述连接已被破解的情况下可采取何种动作。例如,客户可指定在潜在破坏之后应终止所述连接。在另一个示例中,客户可能优选在记录在所声称的客户(例如,未经授权的第三方等)与计算资源服务提供商之间的全部传输的同时允许所述连接继续不中断。
因此,所述认证服务可被配置来与账户服务交互,以在破坏的情况下参考客户的指令并且执行这些动作。可替代地,如果客户尚未指定待采取的任意动作,那么所述认证服务就可参考一个或多个默认指令,所述一个或多个默认指令可致使所述服务执行关于所述连接的一个或多个动作。如果客户的指令或默认指令包括限制访问所述一个或多个服务,那么所述认证服务可进行限制914客户访问这些服务。例如,所述认证服务可被配置来将一个或多个可执行指令传输给计算资源服务提供商路由器以节流对客户可用的可用连接带宽,因此减缓了客户访问所述服务的能力。可替代地,所述连接可被完全终止。用于限制访问所述服务的其他方法可另外地被并入,并且被认为是在本公开的范围内。
一旦在客户与计算资源服务提供商之间的所述连接已受到限制,所述认证服务就可继续将认证请求传输902给客户。因此,如果客户能够响应于新的认证请求而提供足够的认证证明,那么所述认证服务就可将一个或多个可执行指令传输给计算资源服务提供商路由器,以恢复对所述一个或多个服务的访问。用这种方法,客户和计算资源服务提供商可解决与所述连接的问题,即,未经授权的第三方、凭证期满或一些其他问题,并且恢复所述连接。
例如,如果客户已指定计算资源服务提供商在所述认证证明不足够的情况下不应采取任意动作,那么计算资源服务提供商就可允许所述连接继续不受约束。因此,所述认证服务可被配置来继续传输902认证请求以确定是否仍存在关于所述连接的问题。例如,所述认证服务可被配置来在许多认证请求已导致没有足够的认证证明响应之后终止连接。
如以上所指出,一旦在客户路由器与计算资源服务提供商路由器之间的物理连接已被建立,计算资源服务提供商就可将一个或多个认证请求传输给客户,以便验证客户的身份并且确保所述连接尚未被破解。以类似地方式,客户可利用其可用来支持他的/她的业务的一个或多个计算系统,以将一个或多个认证请求传输给计算资源服务提供商以便验证提供商的身份。因此,图10是根据至少一个实施方案的用于认证连接的过程1000的说明性示例。
客户可希望在将敏感的客户数据潜在地传输给一个或多个服务之前,验证所述连接的另一端处的所述方的身份。因此,客户可配置一个或多个计算机系统来将认证请求传输1002给计算资源服务提供商。如以上所指出,客户计算系统可被配置来生成根据通过所述安全连接传输这些数据分组所需的一个或多个通信协议和安全协议配置的一个或多个数据分组。这些数据分组可包括认证请求和客户识别数据。因此,客户计算机系统可将这些数据分组传送给可被配置来在物理连接的另一端上将这些数据分组传输给计算资源服务提供商路由器的客户路由器。
因此,可将所述认证请求递送给由计算资源服务提供商操作的认证服务以供处理。所述认证服务可被配置来与账户服务交互以访问客户账户,并且定位所需信息以实现所述请求。例如,所述认证服务可从客户账户获得密钥,以便生成可用作认证证明的数字签名。所述认证服务可被配置来生成包括实现所述请求所需的信息的一个或多个数据分组,并且通过计算资源服务提供商路由器将这些数据分组传输给所述一个或多个客户计算系统。用这种方法,所述一个或多个客户计算机系统可从计算资源服务提供商接收1004认证证明。
一旦客户计算系统已从计算资源服务提供商获得认证证明,客户计算系统就可处理所述认证证明以确定1006所述证明是否可信。为了确定所述证明是否确实可信,客户计算系统可被配置来使用密钥生成期望的认证服务数字签名,并且将该数字签名与从所述认证服务接收的数字签名进行比较。因此,客户计算机系统可定位或生成期望的计算资源服务提供商凭证(例如,密钥、期望的数字签名等),并且将这些凭证与所提供的证明进行比较。如果所接收的认证证明与所期望的计算资源服务提供商凭证不匹配,那么客户计算机系统可将再配置信息(例如,可执行指令)传输给客户路由器,以终止1008所述连接。因此,从计算资源服务提供商不可以接收到另外的传输,从而允许客户解决潜在的问题。
如果从计算资源服务提供商接收的认证证明有效(例如,期望的认证服务数字签名与所接收的数字签名匹配),那么客户可允许进行另外的传输,并且可继续访问由计算资源服务提供商提供的一个或多个服务。另外地,客户计算机系统可被配置来继续将一个或多个认证请求传输1002给计算资源服务提供商,以确保所述连接尚未被破解。
本公开的实施方案可鉴于以下条款来描述:
1.一种用于认证连接的计算机实现的方法,其包括:
在被配置有可执行指令的一个或多个计算机系统的控制下,
在计算资源服务提供商网络装置处和从通过安全连接与有计算资源服务提供商连接的客户装置接收至少部分地基于客户的秘密密钥而生成的密码认证信息;
将所述密码认证信息从所述计算资源服务提供商网络装置转发给可操作来认证所述密码认证信息的认证服务;以及
由于所述认证服务成功认证所述密码认证信息,配置所述计算资源服务提供商网络装置以将网络流量从所述客户装置路由到所述计算资源服务提供商的不同于所述认证服务的一个或多个服务。
2.如条款1所述的计算机实现的方法,其中所述秘密密钥是来自公共-私用密钥对的私用密钥。
3.如条款1至2中任一项所述的计算机实现的方法,其还包括由于所述认证服务成功认证所述密码认证信息,在所述计算资源服务提供商网络装置上为所述客户提供网络接口。
4.如前述条款中任一项所述的计算机实现的方法,其中至少部分地基于在托管中心中的物理连接来建立所述安全连接,所述物理连接包括从一组客户端口连接至一组计算资源服务提供商端口的一个或多个电缆。
5.如前述条款中任一项所述的计算机实现的方法,其还包括:
随着一定时间量的推移从所述客户装置接收另外的密码认证信息一次或多次;以及
所述网络流量从所述客户装置至所述一个或多个服务的继续路由依据成功认证所述另外的密码认证信息而定。
6.如前述条款中任一项所述的计算机实现的方法,其中所述安全连接包括在公共通信网络上的安全隧道。
7.如前述条款中任一项所述的计算机实现的方法,其中所述方法根据由所述客户装置和所述计算资源服务提供商网络装置使用的认证协议执行。
8.如前述条款中任一项所述的计算机实现的方法,其还包括通过缺乏所述计算资源服务提供商网络装置的通信通道接收所述客户的所述秘密密钥。
9.一种网络装置,其包括:
被配置来从所述网络装置的外面接收一个或多个信号的一个或多个通信端口,所述一个或多个通信端口包括连接到包括一个或多个服务的提供商网络上的通信端口,所述一个或多个服务包括认证服务;
一个或多个处理器,其可操作地与所述一个或多个通信端口耦接;
包括可以由所述一个或多个处理器执行的指令的存储器,所述指令在由所述一个或多个处理器执行时,致使所述一个或多个处理器:
将通过连接从连接到一个或多个通信端口的客户装置接收的密码认证信息转发给可操作来认证所述密码认证信息的认证服务;
由于所述认证服务已成功认证了所述密码信息,因而从所述认证服务接收再配置信息,以使所述网络装置能够将来自所述客户装置的数据转发给所述计算资源服务提供商的一个或多个服务;并且
根据所述再配置信息来再配置以将来自所述客户装置的数据转发给所述计算资源服务提供商的所述一个或多个服务。
10.如条款9所述的网络装置,其中至少部分地基于客户的秘密密钥来生成从所述客户装置接收的所述密码认证信息。
11.如条款9至10所述的网络装置,其中所述秘密密钥是来自公共-私用密钥对的私用密钥。
12.如条款9至11所述的网络装置,其中所述连接是在公共通信网络上的安全隧道。
13.如条款9至12所述的网络装置,其中所述指令还致使所述一个或多个处理器将可以由所述客户装置验证的所述密码认证信息从所述认证服务传输到所述客户装置。
14.如条款9至13所述的网络装置,其中所述指令还致使所述一个或多个处理器随着时间推移将从所述客户装置接收的另外的密码认证信息转发给所述认证服务一次或多次。
15.如条款9至14所述的网络装置,其中通过从所述客户装置连接到所述一个或多个通信端口的一个或多个光纤电缆接收所述信号。
16.如条款9至15所述的网络装置,其中所述指令还致使所述一个或多个处理器至少部分地基于所述再配置信息来提供用于处理来自所述客户装置的数据的网络接口。
17.一种或多种非暂时性计算机可读存储介质,其具有共同地存储在其中的指令,所述指令在由认证服务的一个或多个处理器执行时,致使所述认证服务:
确定至少部分地基于客户的秘密密钥生成的和通过与计算资源服务提供商网络装置的安全连接从所述客户接收的密码认证信息是否可信;
至少部分地基于所述确定采取一个或多个动作,其中:
如果所述确定指示所述密码认证信息可信,那么所述一个或多个动作包括将再配置信息传输给所述计算资源服务提供商网络装置,从而致使所述计算资源服务提供商网络装置将网络流量从客户装置路由至所述计算资源服务提供商的一个或多个其他服务;并且
如果所述确定指示所述密码认证信息不可信,那么所述一个或多个动作包括致使所述计算资源服务提供商网络装置拒绝从所述客户装置到所述计算资源服务提供商的所述一个或多个其他服务的网络流量。
18.如条款17所述的一种或多种非暂时性计算机可读存储介质,其中致使所述计算资源服务提供商拒绝所述网络流量包括将用于拒绝从所述客户装置到所述计算资源服务提供商的所述一个或多个其他服务的网络流量的再配置信息传输给所述计算资源服务提供商网络装置。
19.如条款17至18所述的一种或多种非暂时性计算机可读存储介质,其中所述秘密密钥是来自公共-私用密钥对的私用密钥。
20.如条款17至19所述的一种或多种非暂时性计算机可读存储介质,其中由于所述确定指示所述密码认证信息可信,所述一个或多个动作还包括在所述计算资源服务提供商网络装置上为所述客户提供网络接口。
21.如条款1至17所述的一种或多种非暂时性计算机可读存储介质,其中至少部分地基于在托管中心中的物理连接来建立所述安全连接,所述物理连接包括从一组客户端口连接至一组计算资源服务提供商端口的一个或多个电缆。
22.如条款17至21所述的一种或多种非暂时性计算机可读存储介质,其中所述安全连接包括在公共通信网络上的安全隧道。
23.如条款17至22所述的一种或多种非暂时性计算机可读存储介质,其中根据由所述客户和所述计算资源服务提供商网络装置使用的认证协议通过所述安全连接来传输所述密码认证信息。
24.如条款17至23所述的一种或多种非暂时性计算机可读存储介质,其中所述指令还致使所述认证服务生成可以由所述客户验证的第二密码信息,并且将所述密码认证信息通过所述计算资源服务提供商网络装置传输给所述客户。
25.如条款17至24所述的一种或多种非暂时性计算机可读存储介质,其中所述指令还致使所述认证服务至少部分地基于随时间的推移从所述客户接收另外的密码认证信息一次或多次而做出另外的确定。
图11示出用于实现根据各个实施方案的各方面的示例环境1100的各方面。如将了解,尽管出于解释目的使用基于web的环境,但是可视情况使用不同环境来实现各个实施方案。环境包括电子客户端装置1102,所述电子客户端装置1102可包括可操作来在适当网络1104上发送和接收请求、消息或信息并且将信息传送回装置用户的任意适当装置。此类客户端装置的示例包括个人计算机、手机、手持消息传送装置,膝上型计算机、平板计算机、机顶盒,个人数据助理、嵌入计算机系统、电子书阅读器等。网络可包括任意适当网络,包括内部网、互联网、蜂窝网、局域网或任意其他此类网络或上述网络的组合。此类系统所用的组件可以至少部分地取决于所选网络和/或环境的类型。用于通过此类网络通信的协议和组件是众所周知的,因而本文将不再详细论述。网络上的通信可通过有线或无线连接及其组合来实现。在这个示例中,网络包括互联网,因为环境包括用于接收请求并且响应于所述请求而提供内容的web服务器1106,但是对于其他网络来说,可使用服务类似目的替代装置,如本领域普通技术人员所显而易见的。
说明性环境包括至少一个应用服务器1108和数据存储1110。应当理解,可以存在可以链接起来或以其它方式来配置的若干应用服务器、层或其它元件、过程或组件,这些应用服务器、层或其它元件、过程或组件可交互来执行如从适合的数据存储获得数据的任务。如本文所使用的服务器可以各种方式实现,诸如硬件装置或虚拟计算机系统。在一些上下文中,服务器可以指代在计算机系统上执行的编程模块。如本文所使用的,术语“数据存储”指代能够存储、访问和检索数据的任意装置或装置组合,可包括任意标准、分布式或集群式环境中的任意组合和任意数目的数据服务器、数据库、数据存储装置和数据存储介质。应用服务器可包括任意适当硬件和软件,所述硬件和软件视执行客户端装置的一个或多个应用的各方面的需要而与数据存储集成、处理应用的一些(甚至大多数)数据访问和业务逻辑。应用服务器可提供与数据存储协作的访问控制服务,并且能够生成将要传送到用户的内容诸如文本、图形、音频和/或视频,在这个示例中,所述内容可以超文本标记语言(“HTML”)、可扩展标记语言(“XML”)或另一适当结构化语言的形式由web服务器向用户提供。全部请求和响应的处理以及客户端装置1102与应用服务器1108之间的内容递送可由web服务器来处理。应当理解,web服务器和应用服务器不是必要的,且仅仅是示例组件,因为本文所论述的结构化代码可在如本文其他地方所论述的任意适当装置或主机上执行。此外,除非上下文中另外清楚地指出,否则本文描述为由单个装置执行的操作可以由可形成分布式系统的多个装置共同地执行。
数据存储1110可包括若干单独的数据表、数据库或其他数据存储机构和介质,用来存储与本公开的特定方面相关的数据。例如,所示出的数据存储可包括用于存储生成数据1112和用户信息1116的机构,生成数据1112和用户信息1116可用于提供用于生成端的内容。数据存储还被示出为包括用于存储日志数据1114的机构,所述日志数据1114可用于报告、分析或其他此类目的。应当理解,可能存在可能需要存储在数据存储中的许多其它方面,如页面图像信息和访问权信息,所述方面可视情况存储在上文列出的机构中的任意机构中或存储在数据存储1110中的额外机构中。数据存储1110可通过与它关联的逻辑来操作,以便从应用服务器1108接收指令,并且响应于所述指令而获得、更新或以其他方式处理数据。在一个示例中,用户可以通过由用户操作的装置针对某种类型的项目提交搜索请求。在这种情况下,数据存储可能访问用户信息来验证用户的身份,并且可访问目录详细信息以获得有关所述类型的项目的信息。随后,可将信息诸如以网页上的结果列表的形式返回给用户,用户能够经由用户装置1102上的浏览器来查看所述网页。可在浏览器的专用页面或窗口中查看到感兴趣的特定项目的信息。但是,应该指出,本公开的实施方案不一定限于网页的上下文,但一般而言,可以是通常更适用于处理请求,其中所述请求不一定是针对内容的请求。
每个服务器通常将包括提供用于所述服务器的一般管理和操作的可执行程序指令的操作系统,并且通常将包括存储指令的计算机可读存储介质(例如,硬盘、随机存取存储器、只读存储器等),当由服务器的处理器执行时,所述指令允许服务器执行其期望的功能。操作系统的适合实现方式和服务器的一般功能是已知的或可商购的,并且易于由本领域普通技术人员实现,尤其是根据本文中的公开来实现。
在一个实施方案中,环境是利用通过通信链路、使用一个或多个计算机网络或直接连接来互连的若干计算机系统和组件的分布式计算环境。但是,本领域那些普通普通技术人员应理解,这种系统可在具有比图11所示的组件更少或更多组件的系统中同样顺利地操作。因此,图11中的系统1100的描绘本质上应视为说明性的,并且不限制本公开的范围。
各个实施方案还可在广泛范围的操作环境中实现,在一些情况下,所述环境可包括一个或多个用户计算机、计算装置或可用于操作多个应用中的任一个的处理装置。用户或客户端装置可包括多个通用个人计算机中的任意一个,诸如运行标准操作系统的台式计算机、膝上型计算机或平板计算机,以及运行移动软件并且能够支持多个联网协议和消息传送协议的蜂窝装置、无线装置和手持式装置。这种系统还可包括多个工作站,所述工作站运行各种可商购的操作系统和用于如开发和数据库管理等目的的其他已知应用中的任一个。这些装置还可包括其他电子装置,如虚拟终端、瘦客户端、游戏系统和能够通过网络通信的其他装置。
本公开的各种实施方案利用本领域那些技术人员可能熟悉的至少一种网络来使用各种各样可商购的协议中的任一种支持通信,所述协议诸如传输控制协议/互联网协议(“TCP/IP”)、在开放系统互连(“OSI”)模型的各个层级中操作的协议、文件传送协议(“FTP”)、通用即插即用(“UpnP”)、网络文件系统(“NFS”)、公共互联网文件系统(“CIFS”)以及AppleTalk。网络例如可以是例如局域网、广域网、虚拟专用网、互联网、内部网、外联网、公共交换电话网、红外网络、无线网络以及上述网络的任意组合。
在利用web服务器的实施方案中,web服务器可以运行各种各样服务器或中间层应用中的任一种,包括超文本传输协议(“HTTP”)服务器、FTP服务器、公共网关接口(“CGI”)服务器、数据服务器、Java服务器和业务应用服务器。服务器还能够响应于来自用户装置的请求而执行程序或脚本,诸如通过执行可以实施为以任意编程语言(诸如C、C#或C++)或任意脚本语言(诸如Perl、Python或TCL)以及其组合写成的一个或多个脚本或程序的一个或多个web应用。所述服务器还可以包括数据库服务器,包括但不限于可从 和商购的那些。
环境可包括如上文所论述的各种各样数据存储以及其他存储器和存储介质。这些可驻留在各种各样位置,如在一个或多个计算机本地(和/或驻留在一个或多个计算机中)的存储介质上,或远离网络上的计算机中的任意或全部计算机的存储介质。在实施方案的特定集中,信息可驻留在本领域那些技术人员熟悉的存储区域网(“SAN”)中。类似地,用于执行属于计算机、服务器或其他网络装置的功能的任意必要的文件可视情况本地或远程存储。在系统包括计算机化装置的情况下,每个这种装置可包括可经由总线电耦合的硬件元件,所述元件包括例如至少一个中央处理单元(“CPU”或“处理器”)、至少一个输入装置(例如,鼠标、键盘、控制器、触摸屏或小键盘)和至少一个输出装置(例如,显示装置、打印机或扬声器)。此类系统还可包括一个或多个存储装置,诸如硬盘驱动器、光存储装置和诸如随机存取存储器(“RAM”)或只读存储器(“ROM”)的固态存储装置,以及可移动媒体装置、存储卡、闪存卡等。
此类装置还可包括计算机可读存储介质读取器、通信装置(例如,调制解调器、网卡(无线或有线)、红外线通信装置等)和工作存储器,如上文所论述。计算机可读存储介质读取器可与计算机可读存储介质连接或被配置来接纳计算机可读存储介质,计算机可读存储介质表示远程、本地、固定和/或可移动存储装置以及用于临时和/或更永久地包含、存储、传输和检索计算机可读信息的存储介质。系统和各种装置通常还将包括位于至少一个工作存储器装置内的多个软件应用、模块、服务或其他元件,包括操作系统和应用程序,诸如客户端应用或web浏览器。应当了解,替代实施方案可具有与上述实施方案不同的众多变化形式。例如,也可使用定制硬件,和/或特定元件可以硬件、软件(包括可移植软件,如小程序)或两者实现。此外,可以采用与如网络输入/输出装置的其他计算装置的连接。
用于包含代码或部分代码的存储介质和计算机可读介质可包括本领域已知或已使用的任意适当介质,包括存储介质和通信介质,诸如但不限于以用于存储和/或传输信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任意方法或技术所实现的易失性和非易失性、可移动和不可移动的介质,包括RAM、ROM、电可擦除可编程只读存储器(“EEPROM”)、闪存或其他存储器技术、只读光盘驱动器(“CD-ROM”)、数字通用光盘(DVD)或其他光学存储装置、磁盒、磁带、磁盘存储装置或其他磁性存储装置,或可用于存储所需信息且可由系统装置访问的任意其他介质。基于本文所提供的公开内容和教义,本领域普通技术人员将了解实现各个实施方案的其他方式和/或方法。
因此,应在说明性意义而不是限制性意义上理解本说明书和附图。但是,将显而易见的是:在不脱离如在权利要求书中阐述的本发明的更宽广精神和范围的情况下,可以对其做出各种修改和改变。
其他变化形式也在本公开的精神内。因此,尽管所公开的技术可容许各种修改和替代构造,但在附图中已示出并且在上文中详细描述所示的其某些实施方案。但是,应当了解,并不旨在将本发明限制于所公开的一种或多种具体形式,相反地,旨在涵盖落在如所附权利要求书限定的本发明的精神和范围内的全部修改、替代构造和等效物。
在描述所公开实施方案的上下文中(尤其是在以下权利要求书的上下文中),术语“一个(a,an)”和“所述”以及类似指称对象的使用应解释为涵盖单数和复数两者,除非在本文另外地指示或明显地与上下文矛盾。术语“包括(comprising)”、“具有”、“包括(including)”和“包含”应解释为开放式术语(即,意味着“包括但不限于”),除非另外地注解。当术语“连接的”非经修改并且指代物理连接时,应解释为部分地或全部地包含在内、附接至或结合在一起,即使存在介入物。除非本文另外指明,否则本文中值范围的列举仅仅意图用作个别地表示落入所述范围的各单独值的速记方法,并且犹如本文个别描述地那样将各单独值并入到本说明书中。除非本文另外指明或与上下文矛盾,否则术语“集”(例如,“项目集”)或“子集”的使用解释为包括一个或多个成员的非空集合。此外,除非本文另外指明或与上下文矛盾,否则术语对应集的“子集”不一定指对应集的真子集,而是子集和对应集可以相等。
连接性语言,诸如“A、B、和C中的至少一个”或“A、B和C中的至少一个”形式的短语,除非另外特别指明或以其他方式明显地与上下文矛盾,否则如一般情况下使用的,根据上下文理解来表示项目、术语等可以是A或B或C、或A和B和C的集合的任意非空子集。例如,在具有以上连接性短语中所使用的三个成员的集的说明性示例中,“A、B、和C中的至少一个”和“A、B和C中的至少一个”指代以下集中的任意一个:{A}、{B}、{C}、{A,B}、{A,C}、{B,C}、{A,B,C}。因此,此类连接性语言一般并非意在暗示某些实施方案需要存在A中的至少一个、B中的至少一个以及C中的至少一个。
可按任意合适的顺序来执行本文所述的过程的操作,除非本文另外指明或以其他方式明显地与上下文矛盾。本文描述的过程(或变化形式和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下实行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)由硬件或其组合来实现。代码可以例如包括可由一个或多个处理器执行的多个指令的计算机程序的形式存储在计算机可读储存介质上。计算机可读储存介质可以是非暂时性的。
本文所提供的任意以及全部示例或示例性语言(例如,“诸如”)的使用仅意图更好地说明本发明的实施方案,并且除非另外要求,否则不会对本发明的范围施加限制。本说明书中的语言不应解释为将任意非要求的要素指示为实践本发明所必需。
本文中描述了本公开的优选实施方案,包括发明人已知用于执行本发明的最佳模式。阅读上述说明书后那些优选实施方案的变化形式对于本领域的普通技术人员可以变得明显。发明人希望技术人员视情况采用此类变化形式,并且发明人意图以不同于如本文所特别描述的方式来实践本公开的实施方案。因此,经适用的法律许可,本公开的范围包括在此附加的权利要求中叙述的主题的全部修改和等效物。此外,除非本文另外指示或以其他形式明显地与上下文矛盾,否则本公开的范围涵盖其全部可能变化形式中的上述元素的任意组合。
本文所引用的全部参考文献(包括出版物、专利申请和专利)据此以引用方式并入,其程度等同于每个参考文献单独地且具体地被表示为以引用方式并入本文并且以其全文在本文得以陈述。
Claims (15)
1.一种用于认证连接的计算机实现的方法,其包括:
在被配置有可执行指令的一个或多个计算机系统的控制下,
在计算资源服务提供商网络装置处和从通过安全连接与计算资源服务提供商连接的客户装置接收至少部分地基于客户的秘密密钥而生成的密码认证信息;
将所述密码认证信息从所述计算资源服务提供商网络装置转发给可操作来认证所述密码认证信息的认证服务;以及
由于所述认证服务成功认证所述密码认证信息,配置所述计算资源服务提供商网络装置以将网络流量从所述客户装置路由给所述计算资源服务提供商的不同于所述认证服务的一个或多个服务。
2.如权利要求1所述的计算机实现的方法,其中所述秘密密钥是来自公共-私用密钥对的私用密钥。
3.如权利要求1所述的计算机实现的方法,其还包括由于所述认证服务成功地认证所述密码认证信息,在所述计算资源服务提供商网络装置上为所述客户提供网络接口。
4.如权利要求1所述的计算机实现的方法,其中至少部分地基于在托管中心中的物理连接来建立所述安全连接,所述物理连接包括从一组客户端口连接至一组计算资源服务提供商端口的一个或多个电缆。
5.如权利要求1所述的计算机实现的方法,其还包括:
随着一定时间量的推移从所述客户装置接收另外的密码认证信息一次或多次;以及
所述网络流量从所述客户装置至所述一个或多个服务的继续路由依据成功地认证所述另外的密码认证信息而定。
6.如权利要求1所述的计算机实现的方法,其中所述安全连接包括在公共通信网络上的安全隧道。
7.如权利要求1所述的计算机实现的方法,其中所述方法根据由所述客户装置和所述计算资源服务提供商网络装置使用的认证协议执行。
8.如权利要求1所述的计算机实现的方法,其还包括通过缺乏所述计算资源服务提供商网络装置的通信通道接收所述客户的所述秘密密钥。
9.一种包括一个或多个处理器和一个或多个非暂时性计算机可读存储介质的系统,所述存储介质具有共同地存储在其中的指令,所述指令在由所述系统的所述一个或多个处理器执行时,致使所述系统:
确定至少部分地基于客户的秘密密钥生成的和通过与计算资源服务提供商网络装置的安全连接从所述客户接收的密码认证信息是否可信;
至少部分地基于所述确定采取一个或多个动作,其中:
如果所述确定指示所述密码认证信息可信,那么所述一个或多个动作包括将再配置信息传输给所述计算资源服务提供商网络装置,从而致使所述计算资源服务提供商网络装置将网络流量从客户装置路由至所述计算资源服务提供商的一个或多个其他服务;并且
如果所述确定指示所述密码认证信息不可信,那么所述一个或多个动作包括致使所述计算资源服务提供商网络装置拒绝从所述客户装置到所述计算资源服务提供商的所述一个或多个其他服务的网络流量。
10.如权利要求9所述的系统,其中致使所述计算资源服务提供商拒绝所述网络流量包括将用于拒绝从所述客户装置到所述计算资源服务提供商的所述一个或多个其他服务的网络流量的再配置信息传输给所述计算资源服务提供商网络装置。
11.如权利要求9所述的系统,其中由于所述确定指示所述密码认证信息可信,所述一个或多个动作还包括在所述计算资源服务提供商网络装置上为所述客户提供网络接口。
12.如权利要求9所述的系统,其中至少部分地基于在托管中心中的物理连接来建立所述安全连接,所述物理连接包括从一组客户端口连接至一组计算资源服务提供商端口的一个或多个电缆。
13.如权利要求9所述的系统,其中所述安全连接包括在公共通信网络上的安全隧道。
14.如权利要求9所述的系统,其中根据由所述客户和所述计算资源服务提供商网络装置使用的认证协议通过所述安全连接来传输所述密码认证信息。
15.如权利要求9所述的系统,其中所述指令还致使所述系统生成可以由所述客户验证的第二密码信息,并且将所述密码认证信息通过所述计算资源服务提供商网络装置传输给所述客户。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/029,496 | 2013-09-17 | ||
| US14/029,496 US9692732B2 (en) | 2011-11-29 | 2013-09-17 | Network connection automation |
| PCT/US2014/055874 WO2015042046A1 (en) | 2013-09-17 | 2014-09-16 | Network connection automation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105556894A true CN105556894A (zh) | 2016-05-04 |
| CN105556894B CN105556894B (zh) | 2019-05-10 |
Family
ID=52690022
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480050814.4A Active CN105556894B (zh) | 2013-09-17 | 2014-09-16 | 用于网络连接自动化的方法和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (4) | US9692732B2 (zh) |
| EP (2) | EP3047602A4 (zh) |
| JP (3) | JP6656157B2 (zh) |
| CN (1) | CN105556894B (zh) |
| CA (1) | CA2923431C (zh) |
| SG (1) | SG11201601797TA (zh) |
| WO (1) | WO2015042046A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474588A (zh) * | 2018-11-02 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种终端认证方法及装置 |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10181953B1 (en) | 2013-09-16 | 2019-01-15 | Amazon Technologies, Inc. | Trusted data verification |
| US9237155B1 (en) | 2010-12-06 | 2016-01-12 | Amazon Technologies, Inc. | Distributed policy enforcement with optimizing policy transformations |
| US8769642B1 (en) | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
| US9197409B2 (en) | 2011-09-29 | 2015-11-24 | Amazon Technologies, Inc. | Key derivation techniques |
| US9178701B2 (en) | 2011-09-29 | 2015-11-03 | Amazon Technologies, Inc. | Parameter based key derivation |
| US9203613B2 (en) | 2011-09-29 | 2015-12-01 | Amazon Technologies, Inc. | Techniques for client constructed sessions |
| US9215076B1 (en) | 2012-03-27 | 2015-12-15 | Amazon Technologies, Inc. | Key generation for hierarchical data access |
| US8892865B1 (en) | 2012-03-27 | 2014-11-18 | Amazon Technologies, Inc. | Multiple authority key derivation |
| US8739308B1 (en) | 2012-03-27 | 2014-05-27 | Amazon Technologies, Inc. | Source identification for unauthorized copies of content |
| US9258118B1 (en) | 2012-06-25 | 2016-02-09 | Amazon Technologies, Inc. | Decentralized verification in a distributed system |
| US9660972B1 (en) | 2012-06-25 | 2017-05-23 | Amazon Technologies, Inc. | Protection from data security threats |
| US9407440B2 (en) | 2013-06-20 | 2016-08-02 | Amazon Technologies, Inc. | Multiple authority data security and access |
| US9521000B1 (en) | 2013-07-17 | 2016-12-13 | Amazon Technologies, Inc. | Complete forward access sessions |
| US9311500B2 (en) | 2013-09-25 | 2016-04-12 | Amazon Technologies, Inc. | Data security using request-supplied keys |
| US9237019B2 (en) | 2013-09-25 | 2016-01-12 | Amazon Technologies, Inc. | Resource locators with keys |
| US10243945B1 (en) | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
| US9420007B1 (en) | 2013-12-04 | 2016-08-16 | Amazon Technologies, Inc. | Access control using impersonization |
| US9369461B1 (en) | 2014-01-07 | 2016-06-14 | Amazon Technologies, Inc. | Passcode verification using hardware secrets |
| US9292711B1 (en) | 2014-01-07 | 2016-03-22 | Amazon Technologies, Inc. | Hardware secret usage limits |
| US9374368B1 (en) | 2014-01-07 | 2016-06-21 | Amazon Technologies, Inc. | Distributed passcode verification system |
| US9270662B1 (en) | 2014-01-13 | 2016-02-23 | Amazon Technologies, Inc. | Adaptive client-aware session security |
| US10771255B1 (en) | 2014-03-25 | 2020-09-08 | Amazon Technologies, Inc. | Authenticated storage operations |
| US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
| US10326597B1 (en) | 2014-06-27 | 2019-06-18 | Amazon Technologies, Inc. | Dynamic response signing capability in a distributed system |
| US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
| US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
| US10333962B1 (en) * | 2016-03-30 | 2019-06-25 | Amazon Technologies, Inc. | Correlating threat information across sources of distributed computing systems |
| US10178119B1 (en) | 2016-03-30 | 2019-01-08 | Amazon Technologies, Inc. | Correlating threat information across multiple levels of distributed computing systems |
| US10148675B1 (en) | 2016-03-30 | 2018-12-04 | Amazon Technologies, Inc. | Block-level forensics for distributed computing systems |
| US10303623B2 (en) * | 2016-04-08 | 2019-05-28 | Cryptography Research, Inc. | Non-volatile memory for secure storage of authentication data |
| US10116440B1 (en) | 2016-08-09 | 2018-10-30 | Amazon Technologies, Inc. | Cryptographic key management for imported cryptographic keys |
| JP7067892B2 (ja) * | 2016-10-24 | 2022-05-16 | 株式会社アドバンス | オーナーチェックを行う端末 |
| US10135899B1 (en) * | 2016-12-16 | 2018-11-20 | Amazon Technologies, Inc. | Dynamic archiving of streaming content |
| US11217344B2 (en) * | 2017-06-23 | 2022-01-04 | Abiomed, Inc. | Systems and methods for capturing data from a medical device |
| US11005816B2 (en) * | 2017-12-05 | 2021-05-11 | Relay Wireless Network, Llc | Adaptive and dynamic network provisioning |
| US11075906B2 (en) * | 2017-12-28 | 2021-07-27 | Shoppertrak Rct Corporation | Method and system for securing communications between a lead device and a secondary device |
| CN111881431B (zh) | 2020-06-28 | 2023-08-22 | 百度在线网络技术(北京)有限公司 | 人机验证方法、装置、设备及存储介质 |
| CN113438242B (zh) * | 2021-06-25 | 2023-08-29 | 广西三方大供应链技术服务有限公司 | 服务鉴权方法、装置与存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6842628B1 (en) * | 2001-08-31 | 2005-01-11 | Palmone, Inc. | Method and system for event notification for wireless PDA devices |
| US20050063400A1 (en) * | 2003-09-24 | 2005-03-24 | Lum Stacey C. | Systems and methods of controlling network access |
| US20090106551A1 (en) * | 2006-04-25 | 2009-04-23 | Stephen Laurence Boren | Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks |
| CN101632280A (zh) * | 2006-12-21 | 2010-01-20 | 西蒙公司 | 服务链接的方法及装置 |
| US20100122094A1 (en) * | 2007-03-28 | 2010-05-13 | Shigeyoshi Shima | Software ic card system, management server, terminal, service providing server, service providing method, and program |
| CN102255971A (zh) * | 2010-07-30 | 2011-11-23 | 微软公司 | 分布式服务器之间的动态负载再分发 |
Family Cites Families (84)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5361062A (en) * | 1992-11-25 | 1994-11-01 | Security Dynamics Technologies, Inc. | Personal security system |
| US5822540A (en) | 1995-07-19 | 1998-10-13 | Fujitsu Network Communications, Inc. | Method and apparatus for discarding frames in a communications device |
| US6311218B1 (en) * | 1996-10-17 | 2001-10-30 | 3Com Corporation | Method and apparatus for providing security in a star network connection using public key cryptography |
| US5923756A (en) | 1997-02-12 | 1999-07-13 | Gte Laboratories Incorporated | Method for providing secure remote command execution over an insecure computer network |
| AU5079599A (en) | 1998-06-08 | 1999-12-30 | Ericsson Inc. | Application and communication platform for connectivity based services |
| US7039713B1 (en) | 1999-11-09 | 2006-05-02 | Microsoft Corporation | System and method of user authentication for network communication through a policy agent |
| EP1132844A3 (en) | 2000-03-02 | 2002-06-05 | Telseon IP Services Inc. | E-commerce system facilitating service networks including broadband communication service networks |
| US20030236745A1 (en) | 2000-03-03 | 2003-12-25 | Hartsell Neal D | Systems and methods for billing in information management environments |
| US7272643B1 (en) * | 2000-09-13 | 2007-09-18 | Fortinet, Inc. | System and method for managing and provisioning virtual routers |
| JP2002108818A (ja) | 2000-09-26 | 2002-04-12 | International Network Securitiy Inc | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
| US7107312B2 (en) | 2001-02-06 | 2006-09-12 | Lucent Technologies Inc. | Apparatus and method for use in a data/conference call system for automatically collecting participant information and providing all participants with that information for use in collaboration services |
| US6639919B2 (en) | 2001-05-01 | 2003-10-28 | Adc Dsl Systems, Inc. | Bit-level control for dynamic bandwidth allocation |
| US7292577B1 (en) | 2001-09-19 | 2007-11-06 | Cisco Technology, Inc. | End-to-end preservation of VLAN priority in connection-oriented networks |
| US20030074443A1 (en) | 2001-10-15 | 2003-04-17 | Makonnen Melaku | Last mile quality of service broker (LMQB) for multiple access networks |
| US7577154B1 (en) | 2002-06-03 | 2009-08-18 | Equinix, Inc. | System and method for traffic accounting and route customization of network services |
| US7254643B1 (en) * | 2002-08-08 | 2007-08-07 | At&T Corp. | System and method for providing multi-media services to communication devices over a communications network |
| US7359322B2 (en) | 2002-08-12 | 2008-04-15 | Telcordia Technologies, Inc. | Dynamic bandwidth reallocation |
| US8077681B2 (en) | 2002-10-08 | 2011-12-13 | Nokia Corporation | Method and system for establishing a connection via an access network |
| US7233999B2 (en) | 2003-01-28 | 2007-06-19 | Altaf Hadi | System and method for delivering last mile computing over light from a plurality of network edge locations |
| JP2004318582A (ja) | 2003-04-17 | 2004-11-11 | Nippon Telegraph & Telephone East Corp | ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム |
| US7327682B2 (en) | 2003-06-27 | 2008-02-05 | Cisco Technology, Inc. | Methods and devices for flexible bandwidth allocation |
| JP4009273B2 (ja) | 2004-05-19 | 2007-11-14 | 松下電器産業株式会社 | 通信方法 |
| US7933230B2 (en) | 2004-10-14 | 2011-04-26 | Nxp B.V. | Dynamic bandwidth sharing |
| US7644272B2 (en) * | 2004-10-22 | 2010-01-05 | Broadcom Corporation | Systems and methods for providing security to different functions |
| US7453825B1 (en) * | 2004-12-13 | 2008-11-18 | Garrettcom, Inc. | Apparatus and methods for point-to-point links in robust networks |
| US7743001B1 (en) | 2005-06-21 | 2010-06-22 | Amazon Technologies, Inc. | Method and system for dynamic pricing of web services utilization |
| US8214450B2 (en) | 2005-08-01 | 2012-07-03 | Limelight Networks, Inc. | Dynamic bandwidth allocation |
| US8429630B2 (en) | 2005-09-15 | 2013-04-23 | Ca, Inc. | Globally distributed utility computing cloud |
| US7734516B2 (en) | 2005-09-27 | 2010-06-08 | International Business Machines Corporation | Method for providing revisional delta billing and re-billing in a dynamic project environment |
| US8515387B2 (en) | 2005-12-08 | 2013-08-20 | At&T Intellectual Property I, Lp | Method for segregating billable transactions in a multimode communication device |
| US7623548B2 (en) | 2005-12-22 | 2009-11-24 | At&T Intellectual Property, I,L.P. | Methods, systems, and computer program products for managing access resources in an internet protocol network |
| US8966263B2 (en) | 2006-03-31 | 2015-02-24 | Alcatel Lucent | System and method of network equipment remote access authentication in a communications network |
| US20080028445A1 (en) * | 2006-07-31 | 2008-01-31 | Fortinet, Inc. | Use of authentication information to make routing decisions |
| US8230493B2 (en) | 2007-05-02 | 2012-07-24 | Cisco Technology, Inc. | Allowing differential processing of encrypted tunnels |
| CN101682519A (zh) | 2007-05-04 | 2010-03-24 | 阿尔卡特朗讯 | 用于对诸如推送邮件之类的服务进行计费的方法 |
| US20080298374A1 (en) | 2007-06-04 | 2008-12-04 | At&T Knowledge Ventures, L.P. | Apparatus for monitoring network connectivity |
| US7970903B2 (en) | 2007-08-20 | 2011-06-28 | Hitachi, Ltd. | Storage and server provisioning for virtualized and geographically dispersed data centers |
| WO2009032957A2 (en) | 2007-09-06 | 2009-03-12 | Metabyte, Inc. | Promoting a web technology through a virtual service marketplace |
| US20090112735A1 (en) | 2007-10-25 | 2009-04-30 | Robert Viehmann | Content service marketplace solutions |
| US20090192945A1 (en) | 2008-01-29 | 2009-07-30 | Lionos GmbH | Service marketplace system |
| US10372490B2 (en) | 2008-05-30 | 2019-08-06 | Red Hat, Inc. | Migration of a virtual machine from a first cloud computing environment to a second cloud computing environment in response to a resource or services in the second cloud computing environment becoming available |
| US8931038B2 (en) | 2009-06-19 | 2015-01-06 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer |
| EP2316071A4 (en) | 2008-06-19 | 2011-08-17 | Servicemesh Inc | CLOUD DATA PROCESSING GATEWAY, CLOUD DATA PROCESSING HYPERVISOR, AND METHOD FOR IMPLEMENTING THEM |
| US7782884B2 (en) | 2008-07-07 | 2010-08-24 | Embarq Holdings Company, Llc | System and method for adjusting bandwidth based on a time of day profile |
| US20100046381A1 (en) * | 2008-08-22 | 2010-02-25 | Paritosh Bajpay | Method and apparatus for processing of an alarm related to a frame relay encapsulation failure |
| US8121118B2 (en) | 2008-10-31 | 2012-02-21 | At&T Intellectual Property I, L.P. | Methods and apparatus to dynamically control connectivity within virtual private networks |
| US8069242B2 (en) | 2008-11-14 | 2011-11-29 | Cisco Technology, Inc. | System, method, and software for integrating cloud computing systems |
| US8782233B2 (en) | 2008-11-26 | 2014-07-15 | Red Hat, Inc. | Embedding a cloud-based resource request in a specification language wrapper |
| US10025627B2 (en) | 2008-11-26 | 2018-07-17 | Red Hat, Inc. | On-demand cloud computing environments |
| US8243628B2 (en) | 2009-01-30 | 2012-08-14 | Embarq Holdings Company, Llc | Free market based pricing for bandwidth and network usage |
| US20100226280A1 (en) | 2009-03-03 | 2010-09-09 | Erf Wireless, Inc. | Remote secure router configuration |
| US9104986B2 (en) | 2009-03-09 | 2015-08-11 | Centurylink Intellectual Property Llc | Customer premise equipment with access to free market based pricing for bandwidth on a communications network |
| US9501329B2 (en) | 2009-05-08 | 2016-11-22 | Rackspace Us, Inc. | Methods and systems for cloud computing management |
| US8527774B2 (en) * | 2009-05-28 | 2013-09-03 | Kaazing Corporation | System and methods for providing stateless security management for web applications using non-HTTP communications protocols |
| US20100319004A1 (en) | 2009-06-16 | 2010-12-16 | Microsoft Corporation | Policy Management for the Cloud |
| US8244559B2 (en) | 2009-06-26 | 2012-08-14 | Microsoft Corporation | Cloud computing resource broker |
| US8966110B2 (en) | 2009-09-14 | 2015-02-24 | International Business Machines Corporation | Dynamic bandwidth throttling |
| JP5278272B2 (ja) * | 2009-09-29 | 2013-09-04 | 沖電気工業株式会社 | ネットワーク通信装置及びその自動再接続方法 |
| US8156546B2 (en) | 2009-10-29 | 2012-04-10 | Satyam Computer Services Limited Of Mayfair Centre | System and method for flying squad re authentication of enterprise users |
| US20110131647A1 (en) | 2009-11-30 | 2011-06-02 | Scott Sanders | Virtual Endpoint Solution |
| US9875671B2 (en) | 2009-12-17 | 2018-01-23 | Google Llc | Cloud-based user interface augmentation |
| JP5660050B2 (ja) | 2009-12-28 | 2015-01-28 | 日本電気株式会社 | ユーザ情報活用システム、装置、方法およびプログラム |
| US9021046B2 (en) | 2010-01-15 | 2015-04-28 | Joyent, Inc | Provisioning server resources in a cloud resource |
| US8537815B2 (en) * | 2010-06-17 | 2013-09-17 | Apple Inc. | Accelerating data routing |
| SG189497A1 (en) | 2010-10-21 | 2013-05-31 | Net Power & Light Inc | System architecture and method for composing and directing participant experiences |
| US10192246B2 (en) | 2010-11-24 | 2019-01-29 | Red Hat, Inc. | Generating multi-cloud incremental billing capture and administration |
| US8763097B2 (en) * | 2011-03-11 | 2014-06-24 | Piyush Bhatnagar | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication |
| CN103583060A (zh) * | 2011-06-03 | 2014-02-12 | 黑莓有限公司 | 用于接入私有网络的系统和方法 |
| US8832039B1 (en) * | 2011-06-30 | 2014-09-09 | Amazon Technologies, Inc. | Methods and apparatus for data restore and recovery from a remote data store |
| CN103067416A (zh) * | 2011-10-18 | 2013-04-24 | 华为技术有限公司 | 一种虚拟私云接入认证方法及相关装置 |
| US8724642B2 (en) * | 2011-11-29 | 2014-05-13 | Amazon Technologies, Inc. | Interfaces to manage direct network peerings |
| BR112014012931B1 (pt) | 2011-11-29 | 2021-09-14 | Amazon Technologies, Inc | Método e sistema para proporcionar conectividade dedicada |
| US10015083B2 (en) | 2011-12-22 | 2018-07-03 | Amazon Technologies, Inc. | Interfaces to manage inter-region connectivity for direct network peerings |
| US8495199B2 (en) | 2011-12-22 | 2013-07-23 | Amazon Technologies, Inc. | Interfaces to manage service marketplaces accessible via direct network peerings |
| US8959203B1 (en) | 2011-12-19 | 2015-02-17 | Amazon Technologies, Inc. | Dynamic bandwidth management using routing signals in networks with direct peerings |
| JP2013134530A (ja) * | 2011-12-26 | 2013-07-08 | Kddi Corp | 認証システム、認証方法及び認証プログラム |
| CN104718526B (zh) * | 2012-03-30 | 2018-04-17 | Sncr有限责任公司 | 安全移动框架 |
| CA2788573C (en) * | 2012-09-06 | 2013-07-09 | Guest Tek Interactive Entertainment Ltd. | Allowing guest of hospitality establishment to utilize multiple guest devices to access network service |
| US8955055B1 (en) * | 2012-09-28 | 2015-02-10 | Juniper Networks, Inc. | Customer extendable AAA framework for network elements |
| US9456253B2 (en) * | 2012-12-04 | 2016-09-27 | Virtual Marketing Incorporated | Internet protocol television streaming methods and apparatus |
| US9059977B2 (en) * | 2013-03-13 | 2015-06-16 | Route1 Inc. | Distribution of secure or cryptographic material |
| US9344949B2 (en) * | 2013-03-14 | 2016-05-17 | T-Mobile Usa, Inc. | System and method for optimizing a media gateway selection in mobile switching center pool architecture |
| US20140279259A1 (en) * | 2013-03-15 | 2014-09-18 | Emerald Games Marketing Limited | Method and apparatus for connecting vendors with customers through a virtual interface |
| CN103338150B (zh) * | 2013-07-19 | 2016-06-15 | 中国人民解放军信息工程大学 | 信息通信网络体系结构建立方法、装置、服务器和路由器 |
-
2013
- 2013-09-17 US US14/029,496 patent/US9692732B2/en active Active
-
2014
- 2014-09-16 JP JP2016542872A patent/JP6656157B2/ja active Active
- 2014-09-16 CA CA2923431A patent/CA2923431C/en active Active
- 2014-09-16 EP EP14845785.6A patent/EP3047602A4/en not_active Withdrawn
- 2014-09-16 CN CN201480050814.4A patent/CN105556894B/zh active Active
- 2014-09-16 WO PCT/US2014/055874 patent/WO2015042046A1/en active Application Filing
- 2014-09-16 EP EP19204080.6A patent/EP3654612A1/en active Pending
- 2014-09-16 SG SG11201601797TA patent/SG11201601797TA/en unknown
-
2017
- 2017-06-23 US US15/632,166 patent/US11122022B2/en active Active
-
2018
- 2018-02-08 JP JP2018020880A patent/JP2018116708A/ja active Pending
-
2020
- 2020-01-06 JP JP2020000160A patent/JP2020064668A/ja active Pending
-
2021
- 2021-08-17 US US17/404,126 patent/US11843589B2/en active Active
-
2023
- 2023-11-18 US US18/513,547 patent/US20240089241A1/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6842628B1 (en) * | 2001-08-31 | 2005-01-11 | Palmone, Inc. | Method and system for event notification for wireless PDA devices |
| US20050063400A1 (en) * | 2003-09-24 | 2005-03-24 | Lum Stacey C. | Systems and methods of controlling network access |
| US20090106551A1 (en) * | 2006-04-25 | 2009-04-23 | Stephen Laurence Boren | Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks |
| CN101632280A (zh) * | 2006-12-21 | 2010-01-20 | 西蒙公司 | 服务链接的方法及装置 |
| US20100122094A1 (en) * | 2007-03-28 | 2010-05-13 | Shigeyoshi Shima | Software ic card system, management server, terminal, service providing server, service providing method, and program |
| CN102255971A (zh) * | 2010-07-30 | 2011-11-23 | 微软公司 | 分布式服务器之间的动态负载再分发 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474588A (zh) * | 2018-11-02 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种终端认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2923431A1 (en) | 2015-03-26 |
| US20210392122A1 (en) | 2021-12-16 |
| US20150082039A1 (en) | 2015-03-19 |
| EP3047602A1 (en) | 2016-07-27 |
| CN105556894B (zh) | 2019-05-10 |
| JP2016532984A (ja) | 2016-10-20 |
| JP2018116708A (ja) | 2018-07-26 |
| US9692732B2 (en) | 2017-06-27 |
| US20240089241A1 (en) | 2024-03-14 |
| US20170295150A1 (en) | 2017-10-12 |
| WO2015042046A1 (en) | 2015-03-26 |
| EP3047602A4 (en) | 2017-05-03 |
| CA2923431C (en) | 2020-03-10 |
| EP3654612A1 (en) | 2020-05-20 |
| US11843589B2 (en) | 2023-12-12 |
| JP6656157B2 (ja) | 2020-03-04 |
| JP2020064668A (ja) | 2020-04-23 |
| SG11201601797TA (en) | 2016-04-28 |
| US11122022B2 (en) | 2021-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105556894A (zh) | 网络连接自动化 | |
| US11777911B1 (en) | Presigned URLs and customer keying | |
| US7747856B2 (en) | Session ticket authentication scheme | |
| US10313112B2 (en) | Browser security module | |
| TWI400922B (zh) | 在聯盟中主用者之認證 | |
| CN100388278C (zh) | 在异构联合环境中统一注销的方法和系统 | |
| US7337468B2 (en) | Methods, apparatuses and systems facilitating seamless, virtual integration of online membership models and services | |
| US7836298B2 (en) | Secure identity management | |
| EP3602952A1 (en) | Method and system for identity and access management for blockchain interoperability | |
| US20150365394A1 (en) | Stateless and secure authentication | |
| CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| CN104054321A (zh) | 针对云服务的安全管理 | |
| US20160350748A1 (en) | Providing Access to Account Information Using Authentication Tokens | |
| Berbecaru et al. | Providing login and Wi-Fi access services with the eIDAS network: A practical approach | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| CN116438531A (zh) | 利用基于浏览器的安全pin认证的did系统及其控制方法 | |
| CN113411324B (zh) | 基于cas与第三方服务器实现登录认证的方法和系统 | |
| CN105379176A (zh) | 用于验证scep证书注册请求的系统和方法 | |
| KR20030042789A (ko) | 로밍 사용자 인증을 위한 트러스트 모델 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |