CN106233690B - 在网络环境中供应数字证书 - Google Patents
在网络环境中供应数字证书 Download PDFInfo
- Publication number
- CN106233690B CN106233690B CN201580010167.9A CN201580010167A CN106233690B CN 106233690 B CN106233690 B CN 106233690B CN 201580010167 A CN201580010167 A CN 201580010167A CN 106233690 B CN106233690 B CN 106233690B
- Authority
- CN
- China
- Prior art keywords
- client entity
- digital certificate
- virtual machine
- internet resources
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims abstract description 47
- 238000013475 authorization Methods 0.000 claims abstract description 33
- 230000015654 memory Effects 0.000 claims description 21
- 238000012544 monitoring process Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 5
- 239000011800 void material Substances 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 26
- 238000004891 communication Methods 0.000 description 24
- 230000006870 function Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 239000010410 layer Substances 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000005192 partition Methods 0.000 description 3
- 239000012792 core layer Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002045 lasting effect Effects 0.000 description 2
- 101000822695 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C1 Proteins 0.000 description 1
- 101000655262 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C2 Proteins 0.000 description 1
- 101000655256 Paraclostridium bifermentans Small, acid-soluble spore protein alpha Proteins 0.000 description 1
- 101000655264 Paraclostridium bifermentans Small, acid-soluble spore protein beta Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001143 conditioned effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 210000003127 knee Anatomy 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000001483 mobilizing effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
用于在计算服务环境中供应数字证书的方法可包括针对使用和/或控制计算服务环境中的网络资源授权客户实体。在完成所述授权时,可将数字证书发布给所述客户实体。所述数字证书可与所述网络资源相关联,并且可被发布持续有限的持续时间段。可监视由所述客户实体对所述网络资源的所述使用和/或控制。可根据所述客户实体是否仍在使用和/或控制所述计算服务环境中的网络资源调节所述数字证书的重新发布。如果所述客户实体仍在使用和/或控制所述多租户环境中的所述网络资源,则可自动地重新发布所述数字证书持续另一有限的持续时间段。所述自动地重新发布可在没有自所述客户实体接收证书重新发布请求的情况下发生。
Description
背景
云计算为可利用于远程位置中并且可通过如因特网的网络访问的计算资源(硬件和软件)的使用。在具有许多计算装置的计算环境(如具有许多服务器计算机的虚拟服务器或云计算环境)中,计算资源的使用可提供若干优点包括成本优点和/或快速适应以改变计算资源需求的能力。另外,云计算环境中的安全通信为重要的考虑因素,因为所述安全通信确保通信方的认证以及通信自身的完整性和安全性。然而,安全通信的设置对于云计算环境中的通信方来说可为困难的任务。
例如,云计算环境中的实体认证可基于数字证书,所述数字证书可能必须被发布到多方。数字证书通常以费用作为交换并且在证书机构(CA)已完成广泛的并且耗时的认证过程之后由CA发布。一旦发布,数字证书可在没有与CA的任何额外交互(或由CA进行的认证)的情况下加以使用,这在扩展验证证书的情况下可为长时间段。因此,不仅获得数字证书的过程为耗时的,而且发布用于扩展的时间段的证书也可能导致证书的未经授权的使用,从而在云计算环境中引起安全缺口。
附图简述
将参照附图描述根据本公开的各个实施方案,在附图中:
图1为根据本公开的实施方案的支持数字证书的供应的示例性网络环境的图解。
图2至图4为图示根据本公开的各种实施方案的在网络环境中将数字证书供应给客户实体的流程图。
图5为展示根据本公开的示例性实施方案的使用数字证书服务在多租户环境中运行的多个虚拟机实例的示例性系统图。
图6展示示例性系统的进一步细节,所述示例性系统包括与控制平面相关联的多个管理部件,所述多个管理部件可用来根据一个实施方案管理数字证书服务。
图7展示多个主机计算机、路由器和交换机的示例——所述多个主机计算机、路由器和交换机为用于运行虚拟机实例的硬件资产——其中主机计算机具有可根据一个实施方案配置的数字证书有关的功能。
图8为根据本公开的实施方案的用于在计算服务环境中供应数字证书的示例性方法的流程图。
图9为根据本公开的实施方案的用于在计算服务环境中供应数字证书的另一示例性方法的流程图。
图10为根据本公开的实施方案的用于供应数字证书的又一示例性方法的流程图。
图11描绘可实行所描述的创新的合适的计算环境的一般化示例。
详述
虚拟机图像含有操作系统(例如,Linux)和需要来在虚拟环境中发动虚拟机的其他数据。虚拟机图像类似于物理计算机的磁盘卷,并且可包括文件系统、操作系统和需要来作为机器启动的其他部件。为了发动虚拟机,硬件需要被选择。硬件选择可通过实例类型来完成,所述实例类型可允许各种不同大小的存储器、CPU容量、I/O性能等。虚拟机图像和实例类型的组合可用来创建可在云计算资源(如多租户网络环境中的主机服务器计算机)上发动的“实例”或虚拟机。
以下描述针对支持如云计算多租户网络环境或另一网络环境(例如,具有计算服务提供者的计算服务提供者环境)的网络环境中的数字证书的供应的技术和解决方案。客户实体可通过将证书签名请求(CSR)传达至证书机构(CA)来请求数字证书。CA可进行请求客户实体和客户实体正寻求断言并变得由CA授权的信息(例如,客户实体的域名、请求证书的客户实体的官员的身份、客户实体地址、客户实体的非对称公共私有密钥对的公共密钥的真实性等)的身份和其他验证。在这点上,CA可需要域的所有权和域所有者(例如,客户实体)的身份以及请求证书的公司办公室(或雇员)的身份的证据。一旦CA已完成认证过程,CA可发布使请求客户实体与公共密钥相关联的数字证书。数字证书也由发布CA(例如,使用CA的私有密钥)密码地签名,并且可通过CA的阶层追踪至已知并且信赖的CA。通常,数字证书具有期满日期,在该时刻处,客户实体可需要再次申请重新发布证书(并且为重新发布证书支付费用)。
在发布之后,数字证书可在云计算多租户网络环境(以及其他基于因特网的通信)中用来建立客户实体的身份和/或与客户实体相关联的一个或多个网络站点或其他网络资源或服务的真实性。数字证书发布和管理的灵活性和可靠性可通过例如将CA实行为多租户网络环境的部分来改进。另外,数字证书可被自动地供应为与正由客户实体使用的一个或多个网络资源相关联的有限持续时间的数字证书。在这点上,有限持续时间的数字证书可被自动地重新发布给客户实体,只要客户实体继续使用、支付和/或控制云计算多租户网络环境内的至少一个网络资源(例如,虚拟机、数据库、网络有关的服务等)。
如本文所使用,术语“供应数字证书”意味向客户启用和提供数字证书有关的服务,这可包括授权客户以具有数字证书、将数字证书发布给客户和在发布之后管理数字证书(例如,更新、重新发布和/或撤销数字证书)。
图1为根据本公开的实施方案的支持数字证书的供应的示例性网络环境的图解。参考图1,网络环境100可包括客户实体102和计算服务提供者110。计算服务提供者110可为例如云提供者,所述云提供者能够将计算和存储容量作为服务递送给如客户实体102的终端接收者(例如,租户或客户)的团体。计算服务提供者110可包括资源监视器112、一个或多个网络资源114a、……、114n、证书机构(CA)118和证书存储区116。
CA 118可包括合适的电路、逻辑和/或代码,并且可实行在计算服务提供者110内以处置数字证书的发布和管理(例如,重新发布和/或撤销)。网络资源114a、……、114n可包括与计算服务提供者110相关联的一个或多个网络资源。例如,网络资源114a、……、114n可包括以下各者中一个或多个:由代表客户实体102(例如,由客户实体操纵的客户实体102)的计算服务提供者110发动的虚拟机、由客户实体使用运行数据库并且由提供者110管理的资源管理(操纵)的数据库和/或由计算服务提供者110提供(并且管理)的另一网络有关的服务(例如,负载平衡)。虽然CA 118实行为计算机服务提供者110的部分,但在其他实行方案中提供者110可使用与提供者110分离地实行的CA的服务(如由图1中的短划线所指示)。
资源监视器112可包括合适的电路、逻辑和/或代码,并且可操作来通过通信路径120监视由客户实体102对网络资源114a、……、114n中一个或多个的使用/控制。例如,资源监视器可操作来监视客户实体102是否支付、使用和/或控制网络资源。如本文所使用,关于客户实体102的术语“控制网络资源”可意味,客户实体102为网络资源的管理人(例如,网络资源是使用客户实体与提供者110的账户发动,并且客户实体负责改变关于网络资源的设定和其他操纵功能)。使用或控制网络资源不一定意味客户实体102为所述网络资源支付。另外,使用网络资源不一定意味客户实体102正在控制网络资源。
资源监视器112可生成指示122,所述指示可包括“用过的资源”指示、“已支付的资源”指示和/或“受控制的资源”指示。指示122可被传达给CA 118。在示例性实施方案中,CA118可在自资源监视器112接收客户实体正在使用、支付和/或控制网络资源114a、……、114n中一个或多个的指示122时调节数字证书的发布。一旦发布,数字证书(例如,117)可被存储在一个或多个网络资源114中,存储在证书存储区116中,和/或被传达给客户实体102。数字证书117随后可被传达给第三方109(例如,浏览器),以用于使用第三方109来认证客户实体的目的。
在操作中,客户实体102可将认证信息124(例如,对数字证书的请求、一个或多个公共和/或私有密钥、域信息、客户地址信息、公司官员信息和其他认证信息)发送给CA118。请求的数字证书可与正由客户实体102使用、支付和/或控制的一个或多个网络资源(例如,114a、……、114n)相关联。本文以下论述在云计算多租户网络环境中发布数字证书的若干实例。
示例1.客户实体可正在支付和使用(例如,租用)由计算服务提供者110提供的虚拟机。在这种情况下,虚拟机由客户实体(例如,使用客户实体与提供者110的账户)运行。CA118随后可将数字证书117发布给客户实体102,从而使证书117与正由客户实体102租用的特定虚拟机相关联(即,证书117是针对特定虚拟机发布,并且识别特定虚拟机)。虚拟机(或由客户实体102支付、使用和/或控制的任何其他资源)的名称可由计算服务提供者110设定(并且反映在证书117上)。证书117可发布达有限的持续时间(例如,一天或多天、一小时或多个小时或一分钟或多个分钟),并且所述证书的重新发布可取决于由客户实体102进行的虚拟机的继续使用(租用)。因此,计算服务提供者的资源或服务的使用和客户实体与资源或服务之间的关系可足以自动地重新发布数字证书以用于所述资源或服务的继续使用。例如,关系可为客户实体代表另一第三方实体购买使用,或客户实体充当资源或服务的管理人。重新发布可通过追踪期满日期和在期满之前确保重新发布自动地发生。
示例2.在另一实例中,用于发布数字证书的目的的虚拟机(或由客户实体102支付、使用和/或控制的任何其他资源)的名称可由客户实体102选择。例如,客户实体102可选择特定虚拟机并且请求针对选定的机器发布的数字证书。在这点上,用于发布数字证书的目的的虚拟机的名称正由客户借助于选择数字证书将与哪个虚拟机相关联来选择。在CA118使用认证信息124认证客户实体102之后,CA 118可发布数字证书117持续有限的持续时间,并且所述数字证书的重新发布可取决于由客户实体102选择的虚拟机的继续使用(租用)。
示例3.客户实体可针对除网络资源114a、……、114n以外的资源自CA 118请求证书。例如,客户实体102可正在使用由提供者110操纵的服务(例如,负载平衡)。在这个实例中,CA 118可发布短期证书117,所述短期证书可与由客户实体识别的资源相关联。证书的重新发布可在客户继续支付并且使用由提供者110操纵的服务时被调节。
示例4.客户实体可正在使用网络资源(例如,114a),并且可自CA 118请求数字证书。在这种情况下,提供者110可发布请求数字证书持续有限的持续时间,并且要求客户实体102不仅支付并使用网络资源114a,而且还为持续有限持续时间的证书的发布支付单独费用。如果客户实体102决定不再需要证书(例如,在证书的发布和证书费用的付款以用于使用证书持续有限的持续时间段之后的某一时刻处),则提供者110可不更新/重新发布证书,并且证书将在有限的持续时间段结束时期满。
图2至图4为图示根据本公开的各种实施方案的在网络环境中将数字证书供应给客户实体的流程图。参考图1和图2,图示关于数字证书的供应可由客户实体102进行的动作(在页面左侧)和可由计算服务提供者110进行的动作(在页面右侧)。
动作202可包括请求(由客户实体102)网络资源。例如,客户实体102可请求使用选自可利用的网络资源114a、……、114n的一个或多个网络资源(例如,客户实体102可支付费用并且自提供者110租用虚拟机)。动作204可由提供者110进行,并且可包括针对使用和/或控制请求的网络资源授权客户实体102。授权过程可包括接收用于网络资源的所需设定以及用于使用/控制资源的费用的付款。
动作203可由客户实体102进行,并且可包括引发由提供者110授权的网络资源的使用和/或控制。在204处的授权动作之后,提供者110也可以通过针对发布数字证书授权客户实体来进行动作206。例如,客户实体102可已请求(例如,在动作202处)数字证书以与网络资源一起使用。在这点上,客户实体102也可以发送提供者110认证信息(例如,124)。在动作208处并且在客户实体已针对数字证书被授权之后,CA 118可生成一个或多个公共/私有密钥,所述一个或多个公共/私有密钥可用于数字证书生成。在其他实例中,CA 118可使用客户实体102的公共密钥,所述公共密钥已与认证信息124(客户实体102具有对私有密钥的占有)一起传达给CA 118。
在210处,CA 118可使用认证信息(包括生成的私有/公共密钥对)来生成数字证书(例如,证书117),以用于由客户实体102关于正由客户实体102使用、控制和/或支付的网络资源使用。数字证书可被发布持续短(固定)持续时间,并且可识别正由客户使用、控制和/或支付的特定网络资源(或另一网络资源,客户需要用于所述另一网络资源的证书)。生成的证书可另外由CA 118签名(例如,通过CA 118的私有密钥),以进一步认证证书。不考虑针对哪个资源发布证书,证书的继续使用(和更新)可取决于客户实体继续使用、控制和/或支付提供者110的给定网络资源。
在212处,可将发布的数字证书(例如,117)返回到客户实体和/或与网络资源一起存储。在214处,客户实体102可接收发布的数字证书的确认(如果证书存储在网络资源处),或可存储数字证书(例如,如果证书被发送给客户,则将数字证书存储在由客户实体102管理的本地证书存储区处)。
在216处,客户实体可停止使用、控制和/或支付请求的网络资源(例如,114a)。在218处,资源监视器112可检测由客户实体102进行的停止,并且可将停止指示122提供给CA118。CA 118随后可在数字证书期满时不重新发布/更新数字证书(动作220)。作为替代方案,客户实体甚至在先前发布的短期数字证书已期满之后可(在217处)继续使用、控制和/或支付网络资源114a。资源监视器112可发送通知CA 118网络资源的继续使用的指示122,并且CA 118可更新数字证书(在221处)。
参考图1和图3,图示关于用于虚拟机的数字证书的供应可由客户实体102进行的动作(在页面左侧)和可由计算服务提供者110进行的动作(在页面右侧)。在302处,客户实体102可为租用提供者110的虚拟机(例如,114a)支付。在304处,在已针对使用虚拟机114a授权客户实体,虚拟机的设定已被确定(例如,由客户和/或提供者110设定),并且来自客户的付款已由提供者110接收之后,提供者110可发动虚拟机114a。
在发动虚拟机114a之后,提供者可(在306处)针对与虚拟机114a相关联的数字证书的发布授权客户实体102。在308处,CA 118可发布数字证书(例如,117)持续有限的持续时间并使证书与虚拟机114a相关联(例如,证书列出/命名证书中的虚拟机114a),使得客户实体可关于提供服务(例如,给消费者)或使用虚拟机114a并要求数字证书的使用的任何其他服务或功能使用证书117。在310处,提供者110可将发布的数字证书存储在VM处。在312处,客户实体102可接收发布的数字证书的确认。在311处,CSP 110可允许客户关于在虚拟机114a上发动的服务使用数字证书。
参考图1和图4,图示关于供应用于第一网络资源的数字证书可由客户实体102进行的动作(在页面左侧)和可由计算服务提供者110进行的动作(在页面右侧),其中证书更新取决于客户实体使用、控制和/或支付第二网络资源。例如,在402处,客户实体102可为使用和/或控制提供者110的多个网络资源(例如,114a和114b)支付。在授权客户实体之后,提供者可(在404处)将网络资源114a和114b提供给客户实体以用于使用和/或控制。
在403处,客户实体102可请求数字证书以关于网络资源114a使用。授权信息(例如,124)可被发送给CA 118,并且CA 118可针对用于与网络资源114a一起使用的数字证书授权(在405处)客户实体。在406处,CA 118可发布数字证书持续短持续时间,并使数字证书与由客户实体102进行的网络资源114b的使用和/或控制相联系。在408处,将生成的数字证书(例如,117)返回至第一网络资源114a。在410处,客户实体102可接收关于网络资源114a的发布的数字证书的确认。
在412处,客户实体102可停止使用、控制和/或支付网络资源114b。在414处,资源监视器112可检测由客户实体102进行的停止,并且可将停止指示122提供给CA 118。CA 118随后可在数字证书期满时不重新发布/更新用于网络资源114a的数字证书(动作416)。作为替代方案,客户实体甚至在用于第一资源114a的先前发布的短期数字证书已期满之后可(在413处)继续使用、控制和/或支付第二网络资源114b。资源监视器112可发送通知CA 118第二网络资源114b的继续使用/控制的指示122,并且CA 118可更新用于第一资源114a的数字证书(在417处)。
图5为展示根据本公开的示例性实施方案的使用数字证书服务在多租户环境中运行的多个虚拟机实例的示例性系统图。更具体来说,图5为基于网络的计算服务提供者500的计算系统图,所述计算系统图图示可使用本文所描述的实施方案的一个环境。通过背景,计算服务提供者500(即,云提供者)能够将计算和存储容量作为服务递送给终端接收者(例如,租户或客户)的团体。
在示例性实施方案中,可由或代表组织为所述组织建立计算服务提供者500。也就是说,计算服务提供者500可提供“私有云环境”。在另一实施方案中,计算服务提供者500支持多租户环境,其中多个客户独立地操作(即,公共云环境)。一般来说,计算服务提供者500可提供以下模型:基础设施即服务(“IaaS”)、平台即服务(“PaaS”)和/或软件即服务(“SaaS”)。可提供其他模型。对于IaaS模型,计算服务提供者500可提供计算机作为物理或虚拟机和其他资源。虚拟机可作为客户机由管理程序运行,如以下进一步所描述。PaaS模型递送可包括操作系统、程序设计语言执行环境、数据库和网页服务器的计算平台。应用开发者可在计算服务提供者平台上开发并运行其软件解决方案,而没有购买和管理下层硬件和软件的成本。SaaS模型允许应用软件在计算服务提供者中的安装和操作。在一些实施方案中,终端用户使用联网客户端装置访问计算服务提供者500,所述联网客户端装置如运行网页浏览器或其他轻型客户端应用的台式计算机、膝上计算机、平板、智能电话等。本领域技术人员将认识到,计算服务提供者500可被描述为“云”环境。
特定的所图示计算服务提供者500包括多个服务器计算机502A-502D。虽然展示仅四个服务器计算机,但是可使用任何数目,并且大中心可包括数以千计的服务器计算机。服务器计算机502A-502D可提供计算资源以用于执行软件实例506A-506D。在一个实施方案中,实例506A-506D为虚拟机。如本领域中已知的,虚拟机为如物理机器执行应用的机器(即,计算机)的软件实行方案的实例。在所述实例中,服务器计算机502A-502D中每一个可被配置来执行管理程序508或另一类型的程序,其被配置来允许多个实例506在单个服务器上的执行。例如,服务器502A-502D中每一个可被配置(例如,通过管理程序508)来支持一个或多个虚拟机分区,其中每个虚拟机分区能够运行虚拟机实例(例如,服务器计算机502A可被配置来支持各自运行对应的虚拟机实例的三个虚拟机分区)。另外,实例506中每一个可被配置来执行一个或多个应用。
在示例性实施方案中,服务器计算机502A-502D中每一个也可以包括通信地耦接至网络530的数字证书存储区(516A-516D)。数字证书存储区516可包括合适的电路、逻辑和/或代码,并且可操作来存储已关于在对应的服务器计算机502上运行的至少一个实例发布的一个或多个数字证书。
计算服务提供者500可还包括数字证书服务550。数字证书服务550可包括合适的电路、逻辑和/或代码,并且可操作来监视提供者500的网络资源的使用,并发布、更新和/或撤销关于提供者500的网络资源中一个或多个(例如,实例506和/或与服务器计算机502相关联的其他服务)的数字证书。在这点上,数字证书服务可实行本文所描述的由资源监视器112和/或CA 118(图1中)进行的功能中的一个或多个。已由数字证书服务550生成和管理的数字证书可被传达给对应的服务器计算机502,所述对应的服务器计算机与和证书相联系的网络资源(例如,实例506)相关联。数字证书随后可由对应的服务器计算机502的数字证书存储区516本地存储。作为替代方案,生成的数字证书也可以由与管理服务器计算机504相关联的数字证书存储区554存储,并且在需要时(例如,在由正使用、控制和/或支付实例的客户端实体请求时)被传达给对应的服务器计算机。
数字证书服务550可被实行为提供者500内的独立服务,实行为专用服务器(类似于服务器502A-502D),和/或可被实行为进行管理功能的服务器计算机504的部分。例如,数字证书服务550可被实行为管理部件510的部分(如图6中所见)。
应了解,虽然主要在虚拟机的上下文中描述了本文所公开的实施方案,但是其他类型的实例可与本文所公开的概念和技术一起加以利用。例如,本文所公开的技术可与存储资源、数据通信资源一起,并且与其他类型的计算资源一起加以利用。本文所公开的实施方案也可直接在计算机系统上执行应用的全部或一部分,而不利用虚拟机实例。
一个或多个服务器计算机504可被保留来用于执行用于管理服务器计算机502、实例506、管理程序508和/或传感器516的操作的软件部件。例如,服务器计算机504可执行管理部件510。客户可访问管理部件510以配置由客户购买的实例506的操作的各个方面。例如,客户可购买、租用或租得实例并且对实例的配置做出改变。客户可还指定关于如何响应于需求而缩放所购买的实例的设定。管理部件510可还包括用来实行客户策略(例如,如关于图1所描述的配置策略)的策略文档。
服务器计算机504可还包括存储器552和数字证书存储区554。存储器552可被放置管理器550和/或部件510、……、515中一个或多个用作处理存储器。数字证书存储区554可用来存储数字证书(如以上所解释),并且所述数字证书存储区可包括用于存储和维持客户账户信息(用来授权由客户端实体使用/控制网络资源的授权信息和/或由数字证书服务550用来针对发布数字证书授权客户端实体的授权信息)的一个或多个数据库。数字证书存储区554可被实行为放置管理器550的部分和/或服务器计算机504的其他部件中的任何部件(例如,实行为管理部件510的部分)。
自动缩放部件512可基于由客户定义的规则缩放实例506。在一个实施方案中,自动缩放部件512允许客户指定用于在确定何时新实例应被实例化中使用的按比例放大规则和用于在确定何时现有实例应被终止中使用的按比例缩小规则。自动缩放部件512可由在不同服务器计算机502或其他计算装置上执行的若干子部件组成。自动缩放部件512可通过内部管理网络监视可利用的计算资源,并且基于需求修改可利用的资源。
部署部件514可用来在计算资源的新实例506的部署中帮助客户。部署部件可以访问与实例相关联的账户信息,如谁是账户的所有者、信用卡信息、所有者的国家等。部署部件514可自客户接收配置,所述配置包括描述应如何配置新实例506的数据。例如,配置可指定一个或多个应用将被安装在新实例506中,提供将被执行来用于配置新实例506的脚本和/或其他类型的代码,提供指定应如何准备应用缓存的缓存逻辑,和其他类型的信息。部署部件514可利用客户提供的配置和缓存逻辑来配置、填装并且发动新实例506。配置、缓存逻辑和其他信息可由客户使用管理部件510或通过将这信息直接提供给部署部件514来指定。实例管理器可被视为部署部件的部分。
客户账户信息515可包括与多租户环境的客户相关联的任何所需信息。例如,客户账户信息可包括用于客户的唯一标识符、客户地址、计费信息、许可信息、用于发动实例的定制参数、调度信息、自动缩放参数、用来访问账户的先前IP地址等。
网络530可被利用来互连服务器计算机502A-502D和服务器计算机504。网络530可为局域网(LAN),并且可连接至广域网(WAN)540使得终端用户可访问计算服务提供者500。应了解,图5中所图示的网络拓扑已被简化,并且很多网络和联网装置可被利用来互连本文所公开的各种计算系统。
图6展示示例性系统的进一步细节,所述示例性系统包括与控制平面相关联的多个管理部件,所述多个管理部件可用来根据一个实施方案管理数字证书服务。更具体来说,图6进一步详细地图示管理部件510,所述管理部件可在计算服务提供者500的多租户环境内实行数字证书服务550和数字证书存储区554。
为了访问并且利用实例(如图5的实例506),可使用客户端装置。客户端装置610可为各种计算装置、移动或其他计算装置中的任一,包括蜂窝电话、智能电话、手持式计算机、个人数字助理(PDA)、台式计算机等。客户端装置610可通过端点612与计算服务提供者500通信,所述端点可为被设计来接收并处理应用设计接口(API)请求的DNS地址。特别地,端点612可为被配置来暴露API的网页服务器。使用API请求,客户端装置610可做出用来实行本文所描述的任何功能的请求(例如,用来授权控制、使用和/或付款网络资源和/或关于一个或多个网络资源发布数字证书的请求)。可在计算服务提供者500内部的其他服务615同样地可对端点612做出API请求。例如,客户端装置610可使用API请求来传达用于发动实例和请求与这个实例相关联的数字证书的客户请求。
可或可不包括在计算服务提供者500中(和/或管理部件510内)的其他一般管理服务包括接纳控制614,例如,一个或多个计算机一起操作来作为接纳控制网页服务。接纳控制614可认证、验证并且解包(unpack)用于服务或数据在计算服务提供者500内的存储的API请求。容量追踪器616负责确定服务器需要如何被配置,以便通过根据容量的预测、供应和实时配置和分配来管理和配置物理库存来满足对不同实例类型的需要。容量追踪器616将可利用的库存池维持在容量池数据库618中。容量追踪器616可还监视容量水平以便知道资源是否为立即可利用的或有限的。
实例管理器650控制网络中的实例的发动和终止。当指令被接收(如通过API请求)以发动实例时,实例管理器650自容量池618拉出资源并且在决定的主机服务器计算机上发动实例。类似于实例管理器的是存储管理器622和网络资源管理器624。存储管理器622涉及存储卷的起始和终止,而网络资源管理器624涉及路由器、交换机、子网等的起始和终止。分区的网络640进一步关于图7加以描述,并且包括物理层,实例在所述物理层上发动。
数字证书服务550可与容量追踪器616通信以接收关于可用于发动实例(或由客户端实体请求的其他网络资源)的可利用的分区和/或主机服务器的信息。另外,与接纳控制614的通信可用来发动实例,并且与分区的网络640的通信可用来将配置改变以及数字证书推进至主机服务器的硬件和/或软件资源上,以便实现本文所描述的功能(例如,数字证书可被推进至托管与数字证书相关联的实例的对应的服务器计算机,并且随后被存储在对应的服务器计算机处的数字证书存储区516处)。
图7展示多个主机计算机、路由器和交换机的示例——所述多个主机计算机、路由器和交换机为用于运行虚拟机实例的硬件资产——其中主机计算机具有可根据一个实施方案配置的数字证书有关的功能。更具体来说,图7图示分区的网络740和与所述分区的网络相关联的物理硬件。分区的网络740可包括通过如路由器716的路由器耦接在一起的多个数据中心,如数据中心710a、……、710n。
路由器716读取接收的分组中的地址信息并且确定分组的目的地。如果路由器决定不同的数据中心含有主机服务器计算机,则将分组转发到那个数据中心。如果分组被寻址到数据中心710a中的主机,则所述分组被传递到网络地址转换器(NAT)718,所述网络地址转换器将分组的公共IP地址转换成私有IP地址。NAT 718还将私有地址转换成在数据中心710a外受限制的公共地址。附加的路由器720可耦接至NAT 718以将分组路由至主机服务器计算机的一个或多个机架730。每个机架730可包括耦接至多个主机服务器计算机的交换机732。特定的主机服务器计算机在741处展示于放大视图中。
每个主机741具有下层硬件750,包括网络接口卡(NIC)757、一个或多个CPU(例如,处理器754)、存储器(例如,存储器753)、数字证书存储区751等。硬件层750内的数字证书存储区751可用于存储与分区780中一个或多个相关联的一个或多个数字证书(例如,755)。
在硬件750上方运行的层是管理程序或核心层760。管理程序或核心层760可被分类为类型1或类型2管理程序。类型1管理程序直接在主机硬件750上运行,以控制硬件并且管理客户机操作系统。类型2管理程序在常规操作系统环境内运行。因此,在类型2环境中,管理程序可为在操作系统上方运行的不同层,并且操作系统与系统硬件交互。不同类型的管理程序包括基于Xen的、Hyper-V、ESXi/ESX、Linux等,但也可使用其他管理程序。
管理层770可为管理程序的部分或与所述管理程序分离,并且通常包括访问硬件750需要的装置驱动器。分区780为通过管理程序进行隔离的逻辑单元。每个分区780可被分配硬件层的存储器的所述分区自己的部分、CPU分配、存储设备等。另外,每个分区可包括虚拟机、所述分区自己的客户机操作系统和所述分区的数字证书758(例如,与在对应的分区上运行的虚拟机相关联)。因而,每个分区780为被设计来独立于其他分区而支持所述分区自己的虚拟机的容量的抽象部分。
根据本公开的示例性实施方案,数字证书服务(例如,550)可用来实行与如本文所描述的数字证书的供应有关的功能。
图8为根据本公开的实施方案的用于在计算服务环境中供应数字证书的示例性方法的流程图。参考图1和图8,当针对使用和/或控制计算服务环境(例如,多租户环境或另一网络环境)中的网络资源可授权客户实体时,示例性方法800可开始于802。例如,可由计算服务提供者110针对使用网络资源114a、……、114n中的一个或多个授权客户实体102。授权可还包括针对发布关于网络资源的数字证书授权客户实体。在804处,在完成授权时,可将数字证书发布给客户实体。例如,在完成授权时,CA 118可发布数字证书117,其中数字证书117与授权的网络资源(例如,114a)相关联,并且被发布持续有限的持续时间段。
在806处,资源监视器112可监视由客户实体102对网络资源(例如,114a)的使用和/或控制。如本文所使用,术语“监视(“monitor”和“monitoring”)”意味计算服务提供者110可查验(ping)主机服务器(例如,741)的管理层(例如,770),以确定VM是否仍为活动的。如果自管理层接收响应,则所述响应可包括与VM的客户账户相关联的元数据。随后,资源监视器112可使与数字证书相关联的客户账户与VM的客户账户匹配。如果所述账户匹配,则资源监视器112可确定VM为通过客户仍然活动的,并且对所述效应的指示122可被传达至CA118(如以下关于步骤808所解释)。资源监视器112可在发布给使用VM的客户实体的数字证书期满之前以预定的时间持续时间进行这样的监视。
在808处,可根据客户实体102是否仍在使用和/或控制多租户环境中的网络资源(例如,114a)调节数字证书117的重新发布。如果客户实体102仍在使用和/或控制多租户环境中的网络资源,则资源监视器112可将这样的继续使用的指示122传达给CA 118,并且CA118可自动地重新发布数字证书持续另一有限的持续时间段。自动重新发布可在没有自客户实体102接收证书重新发布请求的情况下发生。
授权可关于第一网络资源(例如,114a),并且数字证书117可被自动地发布给客户实体102,其中数字证书117可识别第一网络资源(例如,114a)并且可与由客户实体102对第一网络资源的使用相关联。
在另一实例中,授权可关于第一网络资源(例如,114a)和第二网络资源(例如,114b)。在提供者110接收用于发布关于第二网络资源(114b)的数字证书的请求之后,CA118可自动地发布关于第二网络资源的数字证书。用于第二网络资源(114b)的数字证书的发布可根据由客户实体102对第一网络资源(114a)的使用和/或控制加以调节。关于第二网络资源的数字证书的重新发布可根据客户实体102是否仍控制和/或使用第一网络资源(114a)加以调节。
图9为根据本公开的实施方案的用于在计算服务环境中供应数字证书的另一示例性方法的流程图。参考图1和图9,当可在计算服务环境(例如,多租户环境或另一网络环境)中使用(例如,由提供者110)与客户实体相关联的网络资源(例如,114a)时,示例性方法900可开始于902。客户实体102可拥有关于发动的网络资源(例如,114a)发布的数字证书。在904处,提供者110可确定网络资源(114a)是否仍与客户实体相关联(例如,资源监视器112可确定客户实体是否仍在使用、控制和/或支付网络资源114a)。在906处,如果网络资源(114a)仍与客户实体相关联(例如,客户实体102仍在使用、控制和/或支付资源),则可重新发布(例如,由CA 118)与网络资源(114a)相关联的数字证书,以用于由客户实体使用有限的持续时间。重新发布可自动地并且在没有自客户实体接收重新发布请求的情况下发生。确定可包括确定网络资源是否由客户实体使用、由客户实体支付和/或由客户实体102控制。
针对网络资源(114a)发布给客户实体的数字证书(例如,117)可使公共密码密钥与客户实体102相关联,公共密码密钥对应于私有密码密钥。私有和公共密钥对可由CA 118生成。例如,CA 118可在针对多租户环境中的网络资源(114a)的使用和/或控制授权客户实体102时生成公共密码密钥和私有密码密钥。私有密码密钥可由CA 118管理并且可为客户实体102不可访问的。网络资源可包括由客户实体102使用、控制和/或支付的虚拟机、数据库和/或服务中的一个或多个。
图10为根据本公开的实施方案的用于供应数字证书的又一示例性方法的流程图。参考图1和图10,当可自客户实体(102)接收(例如,由提供者110)对虚拟机(例如,114a)和与所述虚拟机相关联的数字证书的请求时,示例性方法1000可开始于1002。在1004处,响应于请求,提供者110可针对在多租户环境中使用虚拟机(114a)并且针对数字证书的发布授权客户实体102。在1006处,在完成授权(所述授权可包括用于发布数字证书的目的的授权)时,提供者110可发动用于客户实体(102)的虚拟机(114a)。CA 118随后可将数字证书(117)发布给客户实体,其中数字证书(117)可与由客户实体对虚拟机(114a)使用和/或控制有限的持续时间相关联。在1008处,资源监视器112可监视由客户实体(102)对虚拟机的使用和/或控制。在1010处,如果客户实体仍在使用虚拟机(114a),则CA 118可重新发布数字证书(117)。
CA 118可在接收客户实体仍在使用虚拟机的指示(例如,122)和客户实体仍在请求用于所述虚拟机的数字证书的指示时自动地重新发布数字证书。数字证书(117)也可在自客户实体接收对虚拟机的继续使用和对数字证书的重新发布的付款时由CA 118自动地重新发布。
客户实体的授权可包括自客户实体接收对使用虚拟机和对数字证书的发布的付款。虚拟机可与提供者110的多租户网络环境内的客户实体(102)的客户账户相关联。
本公开的实施方案可鉴于以下条款来描述:
1.一种计算机可读存储介质,其存储用于使一个或多个计算装置进行用于在计算服务环境中供应数字证书的方法的计算机可执行指令,所述方法包括:
针对使用和/或控制计算服务环境中的网络资源授权客户实体;
在完成授权时,将数字证书发布给客户实体,其中数字证书与网络资源相关联并且被发布持续有限的持续时间段;
监视由客户实体对网络资源的使用和/或控制;以及
根据客户实体是否仍在使用和/或控制多租户环境中的网络资源调节数字证书的重新发布。
2.根据条款1的计算机可读存储介质,其还包括:
如果客户实体仍在使用和/或控制多租户环境中的网络资源,则自动地重新发布数字证书持续另一有限的持续时间段。
3.根据条款2的计算机可读存储介质,其中:
自动地重新发布在没有自客户实体接收证书重新发布请求的情况下发生。
4.根据条款1的计算机可读存储介质,其中授权关于第一网络资源和第二网络资源,并且方法还包括:
接收用于发布关于第二网络资源的数字证书的请求;以及
自动地发布关于第二网络资源的数字证书,其中数字证书的发布根据由客户实体对第一网络资源的使用和/或控制加以调节。
5.根据条款4的计算机可读存储介质,其还包括:
根据客户实体是否仍控制和/或使用第一网络资源调节关于第二网络资源的数字证书的重新发布。
6.一种用于在计算服务环境中供应数字证书的方法,所述方法包括:
在计算服务环境中使用与客户实体相关联的网络资源,其中客户实体拥有关于网络资源发布的数字证书;
确定网络资源是否仍与客户实体相关联;以及
如果网络资源仍与客户实体相关联,则重新发布数字证书以用于由客户实体使用有限的持续时间。
7.根据条款6的方法,其中重新发布自动地并且在没有自客户实体接收重新发布请求的情况下发生。
8.根据条款6的方法,其中:
数字证书使公共密码密钥与客户实体相关联;以及
公共密码密钥对应于私有密码密钥。
9.根据条款8的方法,其还包括:
在针对多租户环境中的网络资源的使用和/或控制授权客户实体时生成公共密码密钥和私有密码密钥。
10.根据条款9的方法,其中私有密码密钥为客户实体不可访问的。
11.根据条款6的方法,其中网络资源为由客户实体使用和/或控制的虚拟机、数据库和/或服务中的至少一个。
12.根据条款6的方法,其包括:
自客户实体接收请求以发布数字证书;
关于数字证书授权客户实体;以及
在客户实体的成功授权时,发布数字证书,其中数字证书识别网络资源。
13.根据条款12的方法,其中网络资源为虚拟机,并且授权包括:
以费用作为交换来使客户实体与虚拟机相关联;以及
发动虚拟机以用于由客户实体使用。
14.根据条款6的方法,其还包括:
授予客户实体对网络资源的访问;以及
关于由客户实体使用网络资源将数字证书自动地发布给客户实体。
15.根据条款6的方法,其中确定包括确定网络资源是否为以下各项中至少一个:
由客户实体使用;
由客户实体支付;或
由客户实体控制。
16.一种基于网络的多租户服务,其提供计算资源以用于由客户实体使用,所述基于网络的多租户服务包括:
一个或多个处理器;以及
计算机可读存储器,其存储指令,所述指令可由一个或多个处理器执行来进行包括以下各项的动作:
自客户实体接收对虚拟机和与虚拟机相关联的数字证书的请求;
响应于请求,针对使用虚拟机并且针对数字证书的发布授权客户实体;
在完成授权时:
针对客户实体发动虚拟机;以及
将数字证书发布给客户实体,其中数字证书与由客户实体对虚拟机使用有限的持续时间相关联;
监视由客户实体对虚拟机的使用;以及
如果客户实体仍在使用虚拟机,则重新发布数字证书。
17.条款16的基于网络的多租户服务,动作还包括:
在接收以下指示时自动地重新发布数字证书:
客户实体仍在使用虚拟机的指示;以及
客户实体仍在请求用于虚拟机的数字证书的指示。
18.条款16的基于网络的多租户服务,动作还包括:
在自客户实体接收对虚拟机的继续使用和对重新发布数字证书的付款时自动地重新发布数字证书。
19.条款16的基于网络的多租户服务,其中:
授权客户实体包括自客户实体接收对使用虚拟机和对数字证书的发布的付款。
20.条款16的基于网络的多租户服务,其中虚拟机与客户实体的客户账户相关联。
图11描绘可实行所描述的创新的合适计算环境的一般化示例。参考图11,计算环境1100不意图暗示关于使用或功能的范围的任何限制,因为创新可实行于各种各样的通用或专用计算系统中。例如,计算环境1100可为各种计算装置(例如,台式计算机、膝上型计算机、服务器计算机、平板计算机等)中的任何计算装置。
参考图11,计算环境1100包括一个或多个处理单元1110、1115和存储器1120、1125。在图11中,这个基本配置1130包括在短划线内。处理单元1110、1115执行计算机可执行指令。处理单元可为通用中央处理单元(CPU)、专用集成电路(ASIC)中的处理器或任何其他类型的处理器。在多处理系统中,多个处理单元执行计算机可执行指令来增加处理能力。例如,图11展示中央处理单元1110以及图形处理单元或共处理单元1115。有形存储器1120、1125可为处理单元可访问的易失性存储器(例如,寄存器、缓存、RAM)、非易失性存储器(例如,ROM、EEPROM、闪速存储器等)或两者的某一组合。存储器1120、1125存储实行本文所描述的一个或多个创新(例如,功能)的软件1180,所述软件呈适合于由处理单元执行的计算机可执行指令的形式。
计算系统可具有附加特征。例如,计算环境1100包括存储设备1140、一个或多个输入装置1150、一个或多个输出装置1160和一个或多个通信连接1170。如总线、控制器或网络的互连机构(未示出)互连计算环境1100的部件。通常,操作系统软件(未示出)为在计算环境1100中执行的其他软件提供操作环境,并且协调计算环境1100的部件的活动。
有形存储设备1140可为可移动或不可移动的,并且包括磁碟、磁带或磁带盒、CD-ROM、DVD或可用来以非暂时方式存储信息并且可在计算环境1100内访问的任何其他介质。存储设备1140存储用于实行本文所描述的一个或多个创新的软件1180的指令。
输入装置1150可为如键盘、鼠标、笔或轨迹球的触摸式输入装置、语音输入装置、扫描装置或将输入提供至计算环境1100的另一装置。输出装置1160可为显示器、打印机、扬声器、CD写入器或提供来自计算环境1100的输出的另一装置。
通信连接1170允许通过通信介质通信至另一计算实体。通信介质传达如计算机可执行指令、音频或视频输入或输出或已调数据信号中的其他数据的信息。已调数据信号为使其特性中的一个或多个以将信息编码于信号中的方式设定或改变的信号。通过示例而不是限制的方式,通信介质可使用电气、光学、RF或其他载体。
虽然为便于呈现而以特定的相继次序描述了所公开的方法中的一些的操作,但是应理解,这个描述方式涵盖重新排列,除非通过以下阐述的特定语言要求特定的排序。例如,相继地描述的操作在一些情况下可重新排列或并行地进行。此外,为简单起见,附图可不展示可结合其他方法使用所公开的方法的各种方式。
所公开的方法中的任何方法可实行为计算机可执行指令,所述计算机可执行指令存储在一个或多个计算机可读存储介质(例如,一个或多个光学介质磁盘、易失性存储器部件(如DRAM或SRAM)或非易失性存储器部件(如闪速存储器或硬盘驱动器))上,并且在计算机(例如,任何可商业获得的计算机,包括智能电话或包括计算硬件的其他移动装置)上执行。术语计算机可读存储介质不包括通信连接,如信号和载波。用于实行所公开的技术的计算机可执行指令中的任何计算机可执行指令以及在所公开实施方案的实行期间产生并使用的任何数据可存储在一个或多个计算机可读存储介质上。计算机可执行指令可为例如专用软件应用或通过网页浏览器或其他软件应用(如远程计算应用)访问或下载的软件应用的部分。这类软件可例如在单个本地计算机(例如,任何合适的可商业获得的计算机)上或在使用一个或多个网络计算机的网络环境(例如,通过因特网、广域网、局域网、客户-服务器网络(如云计算网络)或其他这样的网络)中执行。
出于清晰性,仅描述基于软件的实行方案的某些选定的方面。省略本领域中熟知的其他细节。例如,应理解,所公开的技术不限于任何特定计算机语言或程序。例如,所公开的技术可通过用C++、Java、Perl、JavaScript、Adobe Flash或任何其他合适的程序设计语言撰写的软件实行。同样地,所公开的技术不限于任何特定的计算机或特定类型的硬件。合适的计算机和硬件的某些细节为熟知的,并且不需要在本公开中详细地阐述。
还应很好地理解,本文所描述的任何功能可至少部分由一个或多个硬件逻辑部件而不是软件来进行。例如并且无限制地,可使用的图示性类型的硬件逻辑部件包括现场可编程门阵列(FPGA)、程序特定的集成电路(ASIC)、程序特定的标准产品(ASSP)、片上系统系统(SOC)、复杂可编程逻辑装置(CPLD)等。
此外,基于软件的实施方案(包括例如用于使计算机进行所公开的方法中的任何方法的计算机可执行指令)中的任何实施方案可通过合适的通信手段上载、下载或远程访问。这样的合适的通信手段包括例如因特网、万维网、内部网、软件应用、电缆(包括光纤电缆)、磁通信、电磁通信(包括RF、微波和红外通信)、电子通信或其他这样的通信手段。
所公开的方法、设备和系统不应被视为以任何方式限制。实情为,本公开针对各种公开的实施方案的所有新颖的和非明显的特征和方面(单独以及彼此的各种组合和子组合)。所公开的方法、设备和系统不限于任何特定方面或特征或其组合,所公开的实施方案也不要求任何一个或多个特定优点存在或难题被解决。
鉴于所公开的发明的原理可适用的许多可能的实施方案,应认识到,所图示的实施方案仅为本发明的优选实例,并且不应被视为对本发明的范围的限制。实情为,本发明的范围由以下权利要求书定义。因此,本发明所要求保护的是归入这些权利要求项的范围内的所有内容。
Claims (15)
1.一种用于在计算服务环境中供应数字证书的方法,所述方法包括:
在所述计算服务环境中使用与客户实体相关联的网络资源,其中所述客户实体拥有关于所述网络资源发布的数字证书,其中所述网络资源是虚拟机;
通过监视所述客户实体是否仍在使用所述虚拟机,确定所述网络资源是否仍与所述客户实体相关联;以及
如果所述网络资源仍与所述客户实体相关联,包括所述客户实体仍在使用所述虚拟机,则无需接收客户实体的数字证书重新发布请求而自动地重新发布所述数字证书以用于由所述客户实体使用有限的持续时间。
2.根据权利要求1所述的方法,其中所述重新发布自动地并且在没有自所述客户实体接收重新发布请求的情况下发生。
3.根据权利要求1所述的方法,其中:
所述数字证书使公共密码密钥与所述客户实体相关联;以及
所述公共密码密钥对应于私有密码密钥。
4.根据权利要求3所述的方法,其还包括:
在针对所述计算服务环境中的所述网络资源的使用和/或控制授权所述客户实体时生成所述公共密码密钥和所述私有密码密钥。
5.根据权利要求4所述的方法,其中所述私有密码密钥为所述客户实体不可访问的。
6.根据权利要求1所述的方法,其中所述网络资源为由所述客户实体使用和/或控制的虚拟机、数据库和/或服务中的至少一个。
7.根据权利要求1所述的方法,其包括:
自所述客户实体接收请求以发布所述数字证书;
关于所述数字证书授权所述客户实体;以及
在所述客户实体的成功授权时,发布所述数字证书,其中所述数字证书识别所述网络资源。
8.根据权利要求7所述的方法,其中所述网络资源为虚拟机,并且所述授权包括:
以费用作为交换来使所述客户实体与所述虚拟机相关联;以及
发动所述虚拟机以用于由所述客户实体使用。
9.根据权利要求1所述的方法,其还包括:
授予所述客户实体对所述网络资源的访问;以及
关于由所述客户实体使用所述网络资源将所述数字证书自动地发布给所述客户实体。
10.根据权利要求1所述的方法,其中所述确定包括确定所述网络资源是否为以下各项中至少一个:
由所述客户实体使用;
由所述客户实体支付;或
由所述客户实体控制。
11.一种基于网络的多租户服务的装置,其提供计算资源以用于由客户实体使用,所述基于网络的多租户服务包括:
一个或多个处理器;以及
计算机可读存储器,其存储指令,所述指令可由所述一个或多个处理器执行来进行包括以下各项的动作:
自客户实体接收对虚拟机和与所述虚拟机相关联的数字证书的请求;
响应于所述请求,针对使用所述虚拟机并且针对所述数字证书的发布授权所述客户实体;
在完成所述授权时:
针对所述客户实体发动所述虚拟机;以及
将所述数字证书发布给所述客户实体,其中所述数字证书与由所述客户实体对所述虚拟机使用有限的持续时间相关联;
监视由所述客户实体对所述虚拟机的使用;以及
如果所述客户实体仍在使用所述虚拟机,则重新发布所述数字证书,无需接收客户实体的请求而重新发布数字证书。
12.根据权利要求11所述的基于网络的多租户服务的装置,所述动作还包括:
在接收以下指示时自动地重新发布所述数字证书:
所述客户实体仍在使用所述虚拟机的指示;以及
所述客户实体仍在请求用于所述虚拟机的数字证书的指示。
13.根据权利要求11所述的基于网络的多租户服务的装置,所述动作还包括:
在自所述客户实体接收对所述虚拟机的继续使用和对重新发布所述数字证书的付款时自动地重新发布所述数字证书。
14.根据权利要求11所述的基于网络的多租户服务的装置,其中:
授权所述客户实体包括自所述客户实体接收对使用所述虚拟机和对所述数字证书的所述发布的付款。
15.根据权利要求11所述的基于网络的多租户服务的装置,其中所述虚拟机与所述客户实体的客户账户相关联。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/189,262 US9306935B2 (en) | 2014-02-25 | 2014-02-25 | Provisioning digital certificates in a network environment |
US14/189,262 | 2014-02-25 | ||
PCT/US2015/017232 WO2015130648A1 (en) | 2014-02-25 | 2015-02-24 | Provisioning digital certificates in a network environment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106233690A CN106233690A (zh) | 2016-12-14 |
CN106233690B true CN106233690B (zh) | 2019-10-18 |
Family
ID=53883386
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580010167.9A Expired - Fee Related CN106233690B (zh) | 2014-02-25 | 2015-02-24 | 在网络环境中供应数字证书 |
Country Status (9)
Country | Link |
---|---|
US (2) | US9306935B2 (zh) |
EP (1) | EP3111620A4 (zh) |
JP (1) | JP6403789B2 (zh) |
KR (1) | KR101928038B1 (zh) |
CN (1) | CN106233690B (zh) |
AU (1) | AU2015223293B2 (zh) |
CA (1) | CA2940253A1 (zh) |
SG (1) | SG11201606999YA (zh) |
WO (1) | WO2015130648A1 (zh) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9158909B2 (en) * | 2014-03-04 | 2015-10-13 | Amazon Technologies, Inc. | Authentication of virtual machine images using digital certificates |
US9838371B2 (en) * | 2014-03-14 | 2017-12-05 | Citrix Systems, Inc. | Method and system for securely transmitting volumes into cloud |
US10038719B2 (en) * | 2014-04-29 | 2018-07-31 | Dell Products L.P. | Single-step custom configuration of a cloud client device |
CN105282122B (zh) * | 2014-07-22 | 2019-07-12 | 中兴通讯股份有限公司 | 基于数字证书的信息安全实现方法及系统 |
US9769153B1 (en) * | 2015-08-07 | 2017-09-19 | Amazon Technologies, Inc. | Validation for requests |
US9767318B1 (en) * | 2015-08-28 | 2017-09-19 | Frank Dropps | Secure controller systems and associated methods thereof |
US9912478B2 (en) | 2015-12-14 | 2018-03-06 | International Business Machines Corporation | Authenticating features of virtual server system |
US10554418B2 (en) * | 2016-06-24 | 2020-02-04 | General Electric Company | Routing cloud messages using digital certificates |
CN106878084B (zh) * | 2017-02-28 | 2020-03-06 | 新华三技术有限公司 | 一种权限控制方法和装置 |
WO2018165138A1 (en) * | 2017-03-08 | 2018-09-13 | Amazon Technologies, Inc. | Digital certificate issuance and monitoring |
US20200136835A1 (en) * | 2017-06-30 | 2020-04-30 | Nokia Solutions And Networks Oy | Sharing secure connection context via a trusted proxy |
RU2693330C2 (ru) | 2017-12-27 | 2019-07-02 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и система для авторизации пользователя для выполнения действия в электронном сервисе |
US11323274B1 (en) | 2018-04-03 | 2022-05-03 | Amazon Technologies, Inc. | Certificate authority |
US11563590B1 (en) | 2018-04-03 | 2023-01-24 | Amazon Technologies, Inc. | Certificate generation method |
US11888997B1 (en) * | 2018-04-03 | 2024-01-30 | Amazon Technologies, Inc. | Certificate manager |
EP3605253B1 (de) | 2018-08-02 | 2023-05-10 | Siemens Aktiengesellschaft | Automatisierte public key infrastructure initialisierung |
US10880312B1 (en) * | 2018-11-21 | 2020-12-29 | Amazon Technologies, Inc. | Authentication and authorization with remotely managed user directories |
US11223615B2 (en) * | 2019-05-09 | 2022-01-11 | Sap Se | Provisioning initial keystore for multi-tenant, microservice architecture-based integration service in a cloud computing environment setup |
US20210367794A1 (en) * | 2020-05-21 | 2021-11-25 | Cryptotronix, LLC | Device provisioning system |
US11410551B2 (en) | 2020-07-23 | 2022-08-09 | Qualcomm Incorporated | Techniques for utilizing a mobile device as a proxy for a vehicle |
US11511767B2 (en) | 2020-07-23 | 2022-11-29 | Qualcomm Incorporated | Techniques for utilizing CV2X registration data |
US11683684B2 (en) * | 2020-07-23 | 2023-06-20 | Qualcomm Incorporated | Obtaining a credential for V2X transmission on behalf of a vehicle |
CN113079006B (zh) * | 2021-03-29 | 2021-11-30 | 上海纬百科技有限公司 | 针对密钥的信息处理方法、电子设备及存储介质 |
US11843707B2 (en) * | 2021-07-12 | 2023-12-12 | Dell Products, L.P. | Systems and methods for authenticating hardware of an information handling system |
CN113890742B (zh) * | 2021-09-30 | 2024-03-19 | 银联商务股份有限公司 | 一种客户端公钥证书更新方法和装置 |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7099957B2 (en) | 2001-08-23 | 2006-08-29 | The Directtv Group, Inc. | Domain name system resolution |
US7484089B1 (en) * | 2002-09-06 | 2009-01-27 | Citicorp Developmemt Center, Inc. | Method and system for certificate delivery and management |
US20040133520A1 (en) * | 2003-01-07 | 2004-07-08 | Callas Jonathan D. | System and method for secure and transparent electronic communication |
JP2005117183A (ja) * | 2003-10-03 | 2005-04-28 | Canon Inc | 情報処理装置、テレビシステム、制御方法及びプログラム |
US20050138388A1 (en) * | 2003-12-19 | 2005-06-23 | Robert Paganetti | System and method for managing cross-certificates copyright notice |
US20060002556A1 (en) | 2004-06-30 | 2006-01-05 | Microsoft Corporation | Secure certificate enrollment of device over a cellular network |
US7793096B2 (en) | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
US7613915B2 (en) | 2006-11-09 | 2009-11-03 | BroadOn Communications Corp | Method for programming on-chip non-volatile memory in a secure processor, and a device so programmed |
US8473735B1 (en) | 2007-05-17 | 2013-06-25 | Jpmorgan Chase | Systems and methods for managing digital certificates |
KR101146204B1 (ko) | 2007-08-16 | 2012-05-24 | 시에라 와이어리스 인코포레이티드 | 패킷 데이터 네트워크에 응급 서비스 신뢰를 제공하기 위한 시스템 및 방법 |
US8249654B1 (en) | 2007-09-27 | 2012-08-21 | Sprint Communications Company L.P. | Dynamic smart card application loading |
JP4650556B2 (ja) * | 2008-10-31 | 2011-03-16 | ブラザー工業株式会社 | ネットワーク装置 |
CN102118374A (zh) | 2009-12-30 | 2011-07-06 | 鸿富锦精密工业(深圳)有限公司 | 数字证书自动更新系统及方法 |
US20110214124A1 (en) | 2010-02-26 | 2011-09-01 | James Michael Ferris | Systems and methods for generating cross-cloud computing appliances |
US9704165B2 (en) | 2010-05-11 | 2017-07-11 | Oracle International Corporation | Systems and methods for determining value of social media pages |
GB201016084D0 (en) * | 2010-09-24 | 2010-11-10 | Pixelmags Inc | Authorization method |
US9032204B2 (en) | 2011-01-07 | 2015-05-12 | Mastercard International Incorporated | Methods and systems for providing a signed digital certificate in real time |
US9147062B2 (en) * | 2011-06-29 | 2015-09-29 | International Business Machines Corporation | Renewal of user identification information |
JP5733134B2 (ja) * | 2011-09-22 | 2015-06-10 | 富士通株式会社 | アクセス制御プログラム、アクセス制御方法及びアクセス制御装置 |
US8856514B2 (en) | 2012-03-12 | 2014-10-07 | International Business Machines Corporation | Renewal processing of digital certificates in an asynchronous messaging environment |
US9842335B2 (en) * | 2012-03-23 | 2017-12-12 | The Toronto-Dominion Bank | System and method for authenticating a payment terminal |
US9210162B2 (en) * | 2012-05-02 | 2015-12-08 | Microsoft Technology Licensing, Llc | Certificate based connection to cloud virtual machine |
US8850187B2 (en) | 2012-05-17 | 2014-09-30 | Cable Television Laboratories, Inc. | Subscriber certificate provisioning |
US8805971B1 (en) | 2012-06-15 | 2014-08-12 | Amazon Technologies, Inc. | Client-specified schema extensions in cloud computing environments |
-
2014
- 2014-02-25 US US14/189,262 patent/US9306935B2/en not_active Expired - Fee Related
-
2015
- 2015-02-24 JP JP2016553490A patent/JP6403789B2/ja not_active Expired - Fee Related
- 2015-02-24 CA CA2940253A patent/CA2940253A1/en not_active Abandoned
- 2015-02-24 AU AU2015223293A patent/AU2015223293B2/en not_active Ceased
- 2015-02-24 EP EP15754811.6A patent/EP3111620A4/en not_active Withdrawn
- 2015-02-24 SG SG11201606999YA patent/SG11201606999YA/en unknown
- 2015-02-24 WO PCT/US2015/017232 patent/WO2015130648A1/en active Application Filing
- 2015-02-24 CN CN201580010167.9A patent/CN106233690B/zh not_active Expired - Fee Related
- 2015-02-24 KR KR1020167026222A patent/KR101928038B1/ko active IP Right Grant
-
2016
- 2016-03-30 US US15/085,861 patent/US9485101B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP3111620A1 (en) | 2017-01-04 |
SG11201606999YA (en) | 2016-09-29 |
EP3111620A4 (en) | 2017-09-06 |
US20150244707A1 (en) | 2015-08-27 |
KR20160146671A (ko) | 2016-12-21 |
KR101928038B1 (ko) | 2019-02-26 |
US20160211978A1 (en) | 2016-07-21 |
JP6403789B2 (ja) | 2018-10-10 |
JP2017506473A (ja) | 2017-03-02 |
US9485101B2 (en) | 2016-11-01 |
AU2015223293B2 (en) | 2018-02-08 |
US9306935B2 (en) | 2016-04-05 |
CN106233690A (zh) | 2016-12-14 |
AU2015223293A1 (en) | 2016-09-15 |
CA2940253A1 (en) | 2015-09-03 |
WO2015130648A1 (en) | 2015-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106233690B (zh) | 在网络环境中供应数字证书 | |
US10715317B2 (en) | Protection of confidentiality, privacy and financial fairness in a blockchain based decentralized identity management system | |
CN110473094B (zh) | 基于区块链的数据授权方法及装置 | |
US11423498B2 (en) | Multimedia content player with digital rights management while maintaining privacy of users | |
US10769600B2 (en) | Cryptocurrency transactions using debit and credit values | |
CN105659557B (zh) | 用于单点登录的基于网络的接口集成的方法和系统 | |
CN109478149A (zh) | 混合云计算系统中的访问服务 | |
CN108305072A (zh) | 部署区块链网络的方法、设备和计算机存储介质 | |
JP5969048B2 (ja) | グローバルプラットフォーム仕様を使用した発行元セキュリティドメインの鍵管理のためのシステム及び方法 | |
US11244311B2 (en) | Decentralized smart resource sharing between different resource providers | |
US9215231B1 (en) | Using a fraud metric for provisioning of digital certificates | |
CN107683461A (zh) | 在虚拟桌面基础设施中使用多个协议 | |
CN109479062A (zh) | 混合云计算系统中的使用跟踪 | |
CN107408064A (zh) | 在虚拟机实例内执行命令 | |
US20130061306A1 (en) | Hybrid cloud identity mapping infrastructure | |
KR20130084671A (ko) | 애플리케이션 사용 정책 시행 | |
US11477187B2 (en) | API key access authorization | |
CN102082821A (zh) | 基于联邦中心的跨资源池资源安全访问方法与系统 | |
JP2022502882A (ja) | ハイブリッド・クラウドkmsソリューションにおけるhsmの自己破壊方法、システム、プログラム | |
US11586470B2 (en) | Scalable workflow engine with a stateless orchestrator | |
US20180324190A1 (en) | Global attestation procedure | |
US10439954B1 (en) | Virtual-enterprise cloud computing system | |
US20230267457A1 (en) | Privacy preserving asset transfer between networks | |
US12095917B2 (en) | Securely transporting a root key using a privately/public key pair for user-controlled authentication of nodes in a hardware security module cluster | |
GB2603589A (en) | Consensus algorithm for distributed ledger technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20191018 Termination date: 20200224 |
|
CF01 | Termination of patent right due to non-payment of annual fee |