CN111464481B - 用于服务安全保护的方法、设备和计算机可读介质 - Google Patents
用于服务安全保护的方法、设备和计算机可读介质 Download PDFInfo
- Publication number
- CN111464481B CN111464481B CN201910049709.3A CN201910049709A CN111464481B CN 111464481 B CN111464481 B CN 111464481B CN 201910049709 A CN201910049709 A CN 201910049709A CN 111464481 B CN111464481 B CN 111464481B
- Authority
- CN
- China
- Prior art keywords
- service instance
- credential
- service
- initial
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本公开的实施例提供了用于服务安全保护的方法、设备和计算机程序产品。一种服务安全保护方法包括从客户端接收将服务部署到云环境的部署请求,以及响应于部署请求,在云环境中部署与服务对应的服务实例。该方法还包括基于特定于服务实例的信息来设置用于访问服务实例的初始凭证,以及向客户端提供初始凭证的相关信息,以使客户端能够导出初始凭证。以此方式,可以提高服务实例的安全性、且不牺牲服务的使用便利性。
Description
技术领域
本公开的实施例涉及计算机技术,并且更具体地,涉及用于服务安全保护的方法、电子设备和计算机程序产品。
背景技术
云环境已经成为一种流行的新系统部署模式。术语“云”描述实现云计算模式的集成计算平台,其允许方便地以按需和易扩展的方式访问和使用计算资源的共享池,包括网络、虚拟计算环境、服务器、存储、软件等服务。这些计算资源能够被快速供应和释放,而不需要过多的管理消耗或服务提供方参与。当前很多服务提供商在云网络中添加许多可用的云服务,例如对远程存储空间的访问、由云平台托管的应用程序等。用户可以通过付费或其他方式在云环境中按需部署和使用特定服务。
在基于云的服务供应中,安全保护是最具有挑战的任务之一。期望尽可能改善服务供应中可能遭遇安全性威胁的薄弱环节。
发明内容
本公开的实施例提供了一种改进的服务安全保护的方案。
在本公开的第一方面,提供了一种服务安全保护的方法。该方法包括:从客户端接收将服务部署到云环境的部署请求;响应于部署请求,在云环境中部署与服务对应的服务实例;基于特定于服务实例的信息来设置用于访问服务实例的初始凭证;以及向客户端提供初始凭证的相关信息,以使客户端能够导出初始凭证。
在本公开的第二方面,提供了一种服务安全保护的方法。该方法包括:发起将服务部署到云环境的部署请求;以及接收与服务对应的服务实例的初始凭证的相关信息,服务实例已被部署在云环境,初始凭证基于特定于服务实例的信息被设置;以及从相关信息导出初始凭证,以用于访问服务实例。
在本公开的第三方面,提供了一种电子设备。该电子设备包括处理器以及与处理器耦合的存储器,存储器具有存储于其中的指令,指令在被处理器执行时使设备执行动作,动作包括:从客户端接收将服务部署到云环境的部署请求;响应于部署请求,在云环境中部署与服务对应的服务实例;基于特定于服务实例的信息来设置用于访问服务实例的初始凭证;以及向客户端提供初始凭证的相关信息,以使客户端能够导出初始凭证。
在本公开的第四方面,提供了一种电子设备。该电子设备包括处理器以及与处理器耦合的存储器,存储器具有存储于其中的指令,指令在被处理器执行时使设备执行动作,动作包括:发起将服务部署到云环境的部署请求;以及接收与服务对应的服务实例的初始凭证的相关信息,服务实例已被部署在云环境,初始凭证基于特定于服务实例的信息被设置;以及从相关信息导出初始凭证,以用于访问服务实例。
在本公开的第五方面,提供了一种计算机程序产品,计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可执行指令,计算机可执行指令在被执行时使设备执行第一方面的方法。
在本公开的第六方面,提供了一种计算机程序产品,计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可执行指令,计算机可执行指令在被执行时使设备执行第二方面的方法。
提供发明内容部分是为了简化的形式来介绍对概念的选择,它们在下文的具体实施方式中将被进一步描述。发明内容部分无意标识本公开的关键特征或主要特征,也无意限制本公开的范围。
附图说明
通过结合附图对本公开示例性实施例进行更详细的描述,本公开的上述以及其它目的、特征和优势将变得更加明显,其中,在本公开示例性实施例中,相同的参考标号通常代表相同部件。
图1示出了在常规云环境中的服务部署架构的示意框图;
图2示出了根据本公开的一些实施例的服务部署架构的示意框图;
图3示出了根据本公开的一些实施例的在客户端的用户界面上对初始凭证的呈现的示意图;
图4示出了根据本公开的一些实施例的在云环境中实现的服务安全保护的过程的流程图;
图5示出了根据本公开的一些实施例的在客户端处实现的服务安全保护的过程的流程图;以及
图6示出了可以用来实施本公开的实施例的示例设备的框图。
具体实施方式
下面将参考附图中示出的若干示例实施例来描述本公开的原理。虽然附图中显示了本公开的优选实施例,但应当理解,描述这些实施例仅是为了使本领域技术人员能够更好地理解进而实现本公开,而并非以任何方式限制本公开的范围。
在本文中使用的术语“包括”及其变形表示开放性包括,即“包括但不限于”。除非特别申明,术语“或”表示“和/或”。术语“基于”表示“至少部分地基于”。术语“一个示例实施例”和“一个实施例”表示“至少一个示例实施例”。术语“另一实施例”表示“至少一个另外的实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。
在本文中,“云”或“云环境”指的是一种实现云计算模式的集成计算平台,其允许方便地以按需和易扩展的方式访问和使用计算资源的共享池。云环境有时也称为云平台或基于云的系统。云环境涵盖基于私有或局域网络的私有云,基于公共可访问网络的公有云,以及包括分布式虚拟基础设施的其他类型的系统。本文中的实施例不局限于构成云环境的基础设施的任何布置方式。
在本文中,在云环境中的“服务”也称为“云服务”,指的是经由云基础设施可访问的功能、处理、操作或能力等。服务的示例包括虚拟计算环境、虚拟操作系统、虚拟机、网络、服务器、数据存储中心、软件产品或应用程序等。服务在云环境中的实际部署或启动被称为“服务实例”。
如以上提及的,期望尽可能改善服务供应中可能遭遇安全性威胁的薄弱环节。发明人通过对服务供应中可能遭遇的安全性威胁进行分析发现,服务供应中非常严重的安全问题在于,在服务实例部署之后对客户对服务的初始访问不需要凭证或者基于一个默认凭证,这个凭证可能是多方事先已知的。因此,默认凭证的使用可能会带来服务实例的安全隐患。以下将结合图1来具体讨论。
图1示出了常规云环境中的服务部署架构100的示意框图。如图 1所述,云环境110中包括服务管理器112,被配置为管理一个或多个服务在云环境110中的部署、访问、个性化配置等。云环境110中还包括映像库114,用于存储一个或多个服务的映像文件116。服务的映像文件116包括在云环境110中启动或部署服务的实例所需的信息。
在操作中,用户130可以经由客户端120来访问云环境110。例如,用户130可以经由客户端120向服务管理器112发起102针对某个服务的部署请求。用户130可能已经购买或者以其他方式获得该服务。服务管理器112确认用户130或客户端120具有对所请求的服务的使用许可,从映像库114中获得对应的映像文件116,并且基于映像文件116来部署104与所请求的服务对应的服务实例118。
在被部署之后,服务实例118的部分或全部功能都可用。在没有用户进一步安全配置之前,通常服务实例118被设置有一个初始的默认凭证。经由该默认凭证可以访问服务实例118。这样的默认凭证例如可能是由服务供应商设置,例如被预先配置在对应的映像文件中。在一些情况下,服务实例118被启动后,用户130可以修改访问服务实例118的凭证,以实现用户特定的设置以及启用服务实例118的全部功能。例如,用户130可以经由客户端120发起106对服务实例118 的凭证修改请求,以请求将服务实例118的凭证修改为用户配置的某个凭证。随该凭证修改请求一起还发送默认凭证。此时服务实例118 的凭证被修改为用户配置的凭证。
在图1所示的常规架构中,在服务实例部署之后到用户配置特定凭证之前存在一个时间窗口,在该时间窗口内可以通过默认凭证来访问服务实例。在有些服务部署过程中,这个时间窗口可能达到20分钟或者更长时间(取决于用户操作)。默认凭证对于即买即用式服务而言能够带来一定程度的便利性。然而,由于默认凭证是一种预先定义的并且可能被广泛已知的凭证,在以上时间窗口内服务实例遭受不良攻击的风险非常高,属于服务安全的一个非常薄弱的环节。这个问题在公共可访问的公有云环境中特别突出,因为在公有云环境中,任何安全性攻击都能够通过网络接入到已部署的服务实例。基于已知的默认凭证对服务实例访问的时间窗口无疑留给了攻击方可乘之机。
为了提高服务安全性,根据本公开的实施例,提出了一种用于服务安全保护的方案。在该方案中,不同于使用默认凭证,已部署的服务实例的初始凭证基于特定于服务实例的信息来动态设置。由此,初始凭证特定于服务实例并且以实时生成的方式来提供,这提高了服务实例的安全性。此外,初始凭证被自动提供到客户端,使用户方便获得当前初始凭证,从而不会牺牲服务的使用便利性。
下面将结合图2来详细描述本公开的实施例。图2示出了根据本公开的一些实施例的服务部署架构200的示意框图。如图2所示,云环境210中包括服务管理器212,被配置为管理一个或多个服务在云环境210中的部署、启动、访问、个性化配置等。云环境210可以包括基于公共可访问网络的公有云。在一些实施例中,云环境210可以包括基于私有或局域网络的私有云。服务管理器212的功能可以由组成云环境210的单个物理或虚拟计算设备来实现,或者被分布到多个物理或虚拟计算设备中,例如由多个计算设备上分离的组件来共同实现。例如,服务管理器212可以包括分离的组件,分别用于实现服务实例的部署(例如可以被称为实例启动组件)和服务实例的访问(例如可以被称为实例运行管理组件)。
客户端220根据用户230的操作而向服务管理器212发起201针对某个服务的部署请求,以请求将该服务部署到云环境210。客户端 220可以发起任何类型的服务的部署,只要这样的服务能够在云环境 210中被提供即可。服务的示例可以包括应用程序,诸如电子邮件应用、数据存储和管理应用,服务的示例还可以包括服务器、虚拟计算环境等等。用户230可以通过购买或者其他方式获得对该服务的使用许可。
响应于接收到来自客户端220的部署请求,服务管理器212可以确定客户端220和/或用户230是否具有部署所请求的服务的使用许可。如果确定具有使用许可,服务管理器212在云环境210中部署与所请求的服务对应的服务实例。此处的服务实例是针对当前的部署请求而被启动的服务。
服务管理器212可以利用任何适合于在云环境中部署服务的方法来实现服务实例的部署。服务实例的部署也称为服务实例的启动,以使对应服务在云环境中被供应给用户。在一个具体示例中,服务管理器212从映像库214中获得对应的映像文件216,并且基于映像文件 216来部署202与所请求的服务对应的服务实例218。映像库214中存储一个或多个服务的映像文件216。服务的映像文件216包括在云环境210中启动或部署服务的实例所需的信息。映像文件的具体内容例如可以包括服务部署的模板、许可信息、服务实例的存储设备映射等。映像文件可以由服务提供商提供。通常,可以基于与单个服务对应的映像文件来部署多个服务实例,这些服务实例均可以实现对应服务的功能,但可能彼此独立运行。
在服务实例218的部署过程中或者在服务实例218被部署之后,服务管理器212设置服务实例218的凭证。服务实例的凭证指的是用于验证对服务实例218的访问是否被许可的一种信息,也可以被称为服务实例的密码、密钥、证书、许可、权限等等。这些术语在本文中可互换的使用。在服务实例的部署阶段设置的凭证主要用于在部署后对服务实例218的初始访问,因此也称为初始凭证。注意,初始凭证可以仅被允许用于对服务实例218的首次访问,或者也可以被用于对服务实例218进行多次访问。
根据本公开的实施例,不同于设置预定义的默认凭证作为初始凭证,服务管理器212基于特定于服务实例218的信息来设置204初始凭证。基于这样的特定信息,服务管理器212可以在部署时动态决定服务实例218的初始凭证。这样的初始凭证不是预先配置的,而是在服务实例被完全供应时才被获得。
特定于服务实例218的信息可以是任何能够标识服务实例218的信息。在一些实施例中,针对与同一服务对应的不同服务实例和/或与不同服务对应的服务实例,特定于服务实例218的信息可以是不同的。在一些实施例中,特定于服务实例218的信息可以包括服务实例218 的元数据的全部或部分。服务实例218的元数据例如可以由云环境 210中的元数据服务器215生成、配置和管理,等等。服务管理器212 可以从元数据服务器215获取203服务实例218的元数据的全部或者要使用的一部分。应理解,虽然被示出为独立组件,服务管理器212 和元数据服务器215还可以由集成为单个组件实现。在一些实施例中,服务实例218也可以直接从元数据服务器215获得元数据。在这个实施例中,服务管理器212可以配置或修改要使用具体哪个元数据项作为初始凭证。
元数据包括用于描述服务实例218的一个或多个方面的信息,可以用于配置或管理正在运行的服务实例。元数据通常在服务实例的部署过程中被生成并且与服务实例相关联。元数据可以包括一个或多个类型的数据项(或信息),其实例包括但不限于:服务实例的标识(ID),该ID在服务实例被部署时被分配;服务实例的本地主机名;启动服务实例的内核的ID;与服务实例关联的一个或多个互联网协议(IP) 地址,例如IP版本4(IPv4)地址或IPv6地址;服务实例的媒体访问控制(MAC)地址;网络接口的ID;与服务实例的网络接口相关联的设备号,等等。
以上仅给出了一些元数据的类型的示例,本公开的实施例在此方面不受限制。此外,应当理解,虽然详细列举了元数据的示例,但在本公开的实施例中,任何特定于服务实例、但未被包括在其元数据中的信息也可以被用于确定服务实例的初始凭证。例如,服务管理器212 可以动态随机生成附加信息,该附加信息特定于所部署的服务实例 218。
在设置初始凭证时,服务管理器212可以将特定于服务实例218 的信息直接用作初始凭证。例如,初始凭证可以被设置为服务实例218 的ID或者IP地址等。在备选实施例中,服务管理器212可以基于特定于服务实例218的信息来生成另一信息以用作初始凭证。例如,服务管理器212利用预定算法来处理特定于服务实例218的信息。可以利用对信息处理的任何预定算法来生成另一信息以作为初始凭证。例如,预定算法可以包括对特定于服务实例218的信息进行哈希处理或者利用加密算法进行加密,以获得初始凭证。本公开的实施例在此方面不受限制。
在一些实施例中,特定于服务实例218的信息可以包括多个类型的信息,例如元数据中多个类型的数据项。服务管理器212可以利用一个或多个类型的信息,或者利用全部类型的信息来设置初始凭证。在需要从多个类型的信息中进行选择时,服务管理器212可以选择预先配置或定义的预定类型的信息。例如,可以预先定义要使用服务实例的标识来设置初始凭证。在一些实施例中,该预定类型可以是静态不变的,或者可以由服务管理器212以动态地随机选择要使用的预定类型。预定类型的改变可以是按周期。
在一些实施例中,可以由用户230经由客户端220来确定或改变要用于确定初始凭证的信息的类型。例如,客户端220可以向服务管理器212提供多个类型中选定类型的指示。接收到该指示后,服务管理器212可以基于用户230选定类型的信息来设置初始凭证。除了由客户端220触发之外,还可以由其他事件,诸如对应服务的其他服务实例曾遭受黑客攻击、或者响应于服务提供商的请求来改变用于初始凭证设置的信息的类型。
在确定服务实例218的初始凭证或者将初始凭证设置完成后,服务管理器212向客户端220提供205所设置的初始凭证的相关信息,以使客户端220能够导出该初始凭证用于访问服务实例218。在一些实施例中,服务管理器212可以将初始凭证直接提供给客户端220。在备选的实施例中,服务管理器212可以提供特定于服务实例218的信息,以由客户端220基于特定于服务实例的信息来确定初始凭证。例如,如果服务管理器212利用预定算法生成该初始凭证,那么客户端220可以基于同样的算法、基于特定于服务实例218的信息来生成初始凭证。
在一些实施例中,服务管理器212可以响应于来自客户端220的查询请求,将服务实例218的初始凭证或者特定于服务实例218的信息(例如元数据)提供给客户端220。例如,客户端220可以通过管理编程脚本、应用程序接口(API)等发起查询。如果存在多个类型的信息并且服务管理器212动态改变所使用的信息的类型,服务管理器212还可以向客户端220指示当前被用于生成初始凭证的信息的类型,以使得客户端220能够相应确定初始凭证。
被提供给客户端220的初始凭证或特定于初始凭证的信息(例如元数据)可以经由客户端220的用户界面呈现给用户230。图3示出了根据本公开的一些实施例的在客户端的用户界面300上对初始凭证的呈现的示意图。在用户界面300上示出了当前部署的服务实例的相关信息,并且指示了实例ID为初始凭证。
在服务实例218部署完成后,服务实例218可访问。用户230可以经由客户端220,利用初始凭证对服务实例218进行访问。在一些情况中,用户230可以在后续访问中主动要求修改已部署的服务实例 218的凭证,或者为了完全启用服务实例218的功能而在首次访问时被要求修改服务实例218的凭证。
用户230可以经由客户端220发起206针对服务实例218的凭证修改请求。该凭证修改请求中包括初始凭证,并且还包括用户配置的凭证。凭证修改请求可以由服务实例218本身进行响应,或者可以由云环境210中的其他组件(例如服务管理器212)进行响应。
如果凭证修改请求中包含初始凭证,可以确定客户端220或用户 230具有访问服务实例218的权利。相应地,可以将用户配置的凭证设置为服务实例218的后续凭证。客户端220可以从服务实例218或云环境210中的其他组件获得修改确认指示,其指示用户配置的凭证已经被成功设置为服务实例218的凭证。在后续操作中,可以利用用户配置的凭证来访问服务实例218。应理解,虽然被示出为单个请求,在实现中,客户端220可以被要求首先提供初始凭证,以验证对服务实例218的访问权利。在验证通过后,再由客户端220提供用于用户配置的凭证。
根据以上描述的实施例,通过在服务实例部署阶段利用特定于实例的信息来生成初始凭证,可以有利地提高服务的安全性,同时不会牺牲使用的便利性。此外,随着服务实例的部署,通常要生成或分配特定于服务实例的一个或多个方面的信息,包括服务实例的元数据,利用这些特定信息来生成初始凭证也不会显著增加系统复杂度。
图4示出了根据本公开的一些实施例的服务安全保护的过程400 的流程图。过程400可以被实现在图2的云环境210中,例如可以由服务管理器212单独或者与其他组件一起实现。为便于说明,参考图 2来描述过程400。
在框410,云环境210从客户端接收将服务部署到云环境的部署请求。在框420,云环境210响应于部署请求,在云环境中部署与服务对应的服务实例。在框430,云环境210基于特定于服务实例的信息来设置用于访问服务实例的初始凭证。在框440,云环境210向客户端提供初始凭证的相关信息,以使客户端能够导出初始凭证。
在一些实施例中,过程400进一步包括:从客户端接收针对服务实例的凭证修改请求,凭证修改请求包括用户配置的凭证和初始凭证;响应于确定凭证修改请求包括初始凭证,将用户配置的凭证设置为用于访问服务实例的后续凭证;以及向客户端提供凭证修改确认,凭证修改确认指示用户配置的凭证被设置为用于访问服务实例的后续凭证。
在一些实施例中,特定于服务实例的信息包括与服务实例相关联的元数据。
在一些实施例中,特定于服务实例的信息包括多个类型的信息,设置初始凭证包括:从客户端获得多个类型中的选定类型的指示;以及基于选定类型的信息来设置初始凭证。
在一些实施例中,特定于服务实例的信息包括多个类型的信息,设置初始凭证包括:从多个类型的信息中选择预定类型的信息;以及基于所选择的类型的信息来设置初始凭证。
在一些实施例中,提供初始凭证的相关信息包括以下一项:直接提供初始凭证;以及提供特定于服务实例的信息,以由客户端基于特定于服务实例的信息来确定初始凭证。在一些实施例中,云环境包括公有云。
图5示出了根据本公开的一些实施例的服务安全保护的过程500 的流程图。过程500可以由图2的客户端220实现。为便于说明,参考图2来描述过程500。
在框510,客户端220发起将服务部署到云环境的部署请求。在框520,客户端220接收与服务对应的服务实例的初始凭证的相关信息。服务实例已被部署在云环境,初始凭证基于特定于服务实例的信息被设置。在框530,客户端220从相关信息导出初始凭证,以用于访问服务实例。
在一些实施例中,过程500进一步包括:发起针对服务实例的凭证修改请求,凭证修改请求包括用户配置的凭证和初始凭证;以及接收凭证修改确认,凭证修改确认指示用户配置的凭证被设置为用于访问服务实例的后续凭证。
在一些实施例中,特定于服务实例的信息包括多个类型的信息,过程500进一步包括:提供多个类型中的选定类型的指示,以用于基于选定类型的信息来设置初始凭证。
在一些实施例中,接收初始凭证的相关信息包括接收特定于服务的信息,并且导出初始凭证包括基于特定于服务的信息来生成初始凭证。在一些实施例中,接收初始凭证的相关信息包括直接接收初始凭证。
在一些实施例中,特定于示例的信息包括与服务实例相关联的元数据。在一些实施例中,云环境包括公有云。
图6示出了可以用来实施本公开的实施例的示例设备600的示意性框图。设备600可以被实现为图2的云环境210中的设备(以支持云环境210的操作)或者可以被实现为客户端220。备选地,设备600 可以被包括在云环境210或客户端220中。
如图所示,设备600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的计算机程序指令或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序指令,来执行各种适当的动作和处理。在RAM 603中,还可存储设备600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
设备600中的多个部件连接至I/O接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/ 数据。
处理单元601执行上文所描述的各个方法和处理,例如过程400 或过程500。例如,在一些实施例中,过程400或过程500可被实现为计算机软件程序或计算机程序产品,其被有形地包含于机器可读介质,诸如非瞬态计算机可读介质,诸如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM 602和/或通信单元609 而被载入和/或安装到设备600上。当计算机程序加载到RAM 603并由CPU 601执行时,可以执行上文描述的过程400或过程500的一个或多个步骤。备选地,在其他实施例中,CPU 601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行过程400或过程500。
本领域的技术人员应当理解,上述本公开的方法的各个步骤可以通过通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本公开不限制于任何特定的硬件和软件结合。
应当理解,尽管在上文的详细描述中提及了设备的若干装置或子装置,但是这种划分仅仅是示例性而非强制性的。实际上,根据本公开的实施例,上文描述的两个或更多装置的特征和功能可以在一个装置中具体化。反之,上文描述的一个装置的特征和功能可以进一步划分为由多个装置来具体化。
以上所述仅为本公开的可选实施例,并不用于限制本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原则之内,所作的任何修改、等效替换、改进等,均应包含在本公开的保护范围之内。
Claims (28)
1.一种服务安全保护的方法,包括:
从客户端接收将服务部署到云环境的部署请求;
响应于所述部署请求,在所述云环境中部署与所述服务对应的服务实例;
基于特定于所述服务实例的信息来设置用于访问所述服务实例的初始凭证,其中所述特定于所述服务实例的信息包括特定于所述服务实例的动态随机生成的信息;以及
向所述客户端提供所述初始凭证的相关信息,以使所述客户端能够导出所述初始凭证。
2.根据权利要求1所述的方法,进一步包括:
从所述客户端接收针对所述服务实例的凭证修改请求,所述凭证修改请求包括用户配置的凭证和所述初始凭证;
响应于确定所述凭证修改请求包括所述初始凭证,将所述用户配置的凭证设置为用于访问所述服务实例的后续凭证;以及
向所述客户端提供凭证修改确认,所述凭证修改确认指示所述用户配置的凭证被设置为用于访问所述服务实例的后续凭证。
3.根据权利要求1所述的方法,其中特定于所述服务实例的信息还包括与所述服务实例相关联的元数据。
4.根据权利要求1所述的方法,其中所述特定于所述服务实例的信息包括多个类型的信息,设置所述初始凭证包括:
从所述客户端获得所述多个类型中的选定类型的指示;以及
基于所述选定类型的信息来设置所述初始凭证。
5.根据权利要求1所述的方法,其中所述特定于所述服务实例的信息包括多个类型的信息,设置所述初始凭证包括:
从所述多个类型的信息中选择预定类型的信息;以及
基于所选择的类型的信息来设置所述初始凭证。
6.根据权利要求1所述的方法,其中提供所述初始凭证的相关信息包括以下一项:
直接提供所述初始凭证;以及
提供特定于所述服务实例的所述信息,以由所述客户端基于所述特定于所述服务实例的信息来确定所述初始凭证。
7.根据权利要求1所述的方法,其中所述云环境包括公有云。
8.一种用于服务安全保护的方法,包括:
发起将服务部署到云环境的部署请求;以及
接收与所述服务对应的服务实例的初始凭证的相关信息,所述服务实例已被部署在所述云环境,所述初始凭证基于特定于所述服务实例的信息被设置,其中所述特定于所述服务实例的信息包括特定于所述服务实例的动态随机生成的信息;以及
从所述相关信息导出所述初始凭证,以用于访问所述服务实例。
9.根据权利要求8所述的方法,进一步包括:
发起针对所述服务实例的凭证修改请求,所述凭证修改请求包括用户配置的凭证和所述初始凭证;以及
接收凭证修改确认,所述凭证修改确认指示所述用户配置的凭证被设置为用于访问所述服务实例的后续凭证。
10.根据权利要求8所述的方法,其中所述特定于所述服务实例的信息包括多个类型的信息,所述方法进一步包括:
提供所述多个类型中的选定类型的指示,以用于基于所述选定类型的信息来设置所述初始凭证。
11.根据权利要求8所述的方法,其中接收所述初始凭证的相关信息包括接收特定于所述服务的所述信息,并且
其中导出所述初始凭证包括基于特定于所述服务的所述信息来生成所述初始凭证。
12.根据权利要求8所述的方法,其中接收所述初始凭证的相关信息包括直接接收所述初始凭证。
13.根据权利要求8所述的方法,其中特定于所述服务实例的信息还包括与所述服务实例相关联的元数据。
14.一种电子设备,包括:
处理器;以及
与所述处理器耦合的存储器,所述存储器具有存储于其中的指令,所述指令在被处理器执行时使所述设备执行动作,所述动作包括:
从客户端接收将服务部署到云环境的部署请求;
响应于所述部署请求,在所述云环境中部署与所述服务对应的服务实例;
基于特定于所述服务实例的信息来设置用于访问所述服务实例的初始凭证,其中所述特定于所述服务实例的信息包括特定于所述服务实例的动态随机生成的信息;以及
向所述客户端提供所述初始凭证的相关信息,以使所述客户端能够导出所述初始凭证。
15.根据权利要求14所述的设备,进一步包括:
从所述客户端接收针对所述服务实例的凭证修改请求,所述凭证修改请求包括用户配置的凭证和所述初始凭证;
响应于确定所述凭证修改请求包括所述初始凭证,将所述用户配置的凭证设置为用于访问所述服务实例的后续凭证;以及
向所述客户端提供凭证修改确认,所述凭证修改确认指示所述用户配置的凭证被设置为用于访问所述服务实例的后续凭证。
16.根据权利要求14所述的设备,其中特定于所述服务实例的信息还包括与所述服务实例相关联的元数据。
17.根据权利要求14所述的设备,其中所述特定于所述服务实例的信息包括多个类型的信息,设置所述初始凭证包括:
从所述客户端获得所述多个类型中的选定类型的指示;以及
基于所述选定类型的信息来设置所述初始凭证。
18.根据权利要求14所述的设备,其中所述特定于所述服务实例的信息包括多个类型的信息,设置所述初始凭证包括:
从所述多个类型的信息中选择预定类型的信息;以及
基于所选择的类型的信息来设置所述初始凭证。
19.根据权利要求14所述的设备,其中提供所述初始凭证的相关信息包括以下一项:
直接提供所述初始凭证;以及
提供特定于所述服务实例的所述信息,以由所述客户端基于所述特定于所述服务实例的信息来确定所述初始凭证。
20.根据权利要求14所述的设备,其中所述云环境包括公有云。
21.一种电子设备,包括:
处理器;以及
与所述处理器耦合的存储器,所述存储器具有存储于其中的指令,所述指令在被处理器执行时使所述设备执行动作,所述动作包括:
发起将服务部署到云环境的部署请求;以及
接收与所述服务对应的服务实例的初始凭证的相关信息,所述服务实例已被部署在所述云环境,所述初始凭证基于特定于所述服务实例的信息被设置,其中所述特定于所述服务实例的信息包括特定于所述服务实例的动态随机生成的信息;以及
从所述相关信息导出所述初始凭证,以用于访问所述服务实例。
22.根据权利要求21所述的设备,进一步包括:
发起针对所述服务实例的凭证修改请求,所述凭证修改请求包括用户配置的凭证和所述初始凭证;以及
接收凭证修改确认,所述凭证修改确认指示所述用户配置的凭证被设置为用于访问所述服务实例的后续凭证。
23.根据权利要求21所述的设备,其中所述特定于所述服务实例的信息包括多个类型的信息,所述设备进一步包括:
提供所述多个类型中的选定类型的指示,以用于基于所述选定类型的信息来设置所述初始凭证。
24.根据权利要求21所述的设备,其中接收所述初始凭证的相关信息包括接收特定于所述服务的所述信息,并且
其中导出所述初始凭证包括基于特定于所述服务的所述信息来生成所述初始凭证。
25.根据权利要求21所述的设备,其中接收所述初始凭证的相关信息包括直接接收所述初始凭证。
26.根据权利要求21所述的设备,其中特定于所述服务实例的信息还包括与所述服务实例相关联的元数据。
27.一种计算机可读介质,所述计算机可读介质包括计算机可执行指令,所述计算机可执行指令在被执行时使设备执行根据权利要求1至7中任一项所述的方法。
28.一种计算机可读介质,所述计算机可读介质包括计算机可执行指令,所述计算机可执行指令在被执行时使设备执行根据权利要求8至13中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910049709.3A CN111464481B (zh) | 2019-01-18 | 2019-01-18 | 用于服务安全保护的方法、设备和计算机可读介质 |
| US16/399,447 US11165761B2 (en) | 2019-01-18 | 2019-04-30 | Methods, devices, and computer program products for service security protection |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910049709.3A CN111464481B (zh) | 2019-01-18 | 2019-01-18 | 用于服务安全保护的方法、设备和计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111464481A CN111464481A (zh) | 2020-07-28 |
| CN111464481B true CN111464481B (zh) | 2023-01-13 |
Family
ID=71609249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910049709.3A Active CN111464481B (zh) | 2019-01-18 | 2019-01-18 | 用于服务安全保护的方法、设备和计算机可读介质 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11165761B2 (zh) |
| CN (1) | CN111464481B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220210624A1 (en) * | 2019-02-13 | 2022-06-30 | Nokia Technologies Oy | Service based architecture management |
| US11640315B2 (en) * | 2019-11-04 | 2023-05-02 | Vmware, Inc. | Multi-site virtual infrastructure orchestration of network service in hybrid cloud environments |
| US11709698B2 (en) | 2019-11-04 | 2023-07-25 | Vmware, Inc. | Multi-site virtual infrastructure orchestration of network service in hybrid cloud environments |
| CN115344873A (zh) * | 2021-05-12 | 2022-11-15 | 华为云计算技术有限公司 | 访问控制方法、装置和设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377756A (zh) * | 2010-08-23 | 2012-03-14 | 中国移动通信有限公司 | 业务访问、鉴权方法及对应的系统、客户端、鉴权服务器 |
| CN103944881A (zh) * | 2014-03-19 | 2014-07-23 | 华存数据信息技术有限公司 | 一种云计算环境下云资源授权的方法 |
| CN105511872A (zh) * | 2015-11-30 | 2016-04-20 | 国云科技股份有限公司 | 一种基于云计算平台的应用自动化部署方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8392587B2 (en) * | 2006-06-28 | 2013-03-05 | International Business Machines Corporation | Federated management framework for credential data |
| US7975292B2 (en) * | 2007-06-12 | 2011-07-05 | Francisco Corella | Secure password reset for application |
| CN104022875B (zh) * | 2013-03-01 | 2017-09-01 | 中兴通讯股份有限公司 | 一种双向授权系统、客户端及方法 |
| US9407615B2 (en) * | 2013-11-11 | 2016-08-02 | Amazon Technologies, Inc. | Single set of credentials for accessing multiple computing resource services |
| US10171463B1 (en) * | 2015-12-21 | 2019-01-01 | Amazon Technologies, Inc. | Secure transport layer authentication of network traffic |
| CN106911628A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种用户在客户端上注册应用软件的方法及装置 |
| US10225253B2 (en) * | 2016-07-22 | 2019-03-05 | Microsoft Technology Licensing, Llc | Usage tracking in hybrid cloud computing systems |
| US10986479B2 (en) * | 2018-01-17 | 2021-04-20 | Micro Focus Llc | Service management and provisioning for tenant service instances |
-
2019
- 2019-01-18 CN CN201910049709.3A patent/CN111464481B/zh active Active
- 2019-04-30 US US16/399,447 patent/US11165761B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377756A (zh) * | 2010-08-23 | 2012-03-14 | 中国移动通信有限公司 | 业务访问、鉴权方法及对应的系统、客户端、鉴权服务器 |
| CN103944881A (zh) * | 2014-03-19 | 2014-07-23 | 华存数据信息技术有限公司 | 一种云计算环境下云资源授权的方法 |
| CN105511872A (zh) * | 2015-11-30 | 2016-04-20 | 国云科技股份有限公司 | 一种基于云计算平台的应用自动化部署方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111464481A (zh) | 2020-07-28 |
| US20200236096A1 (en) | 2020-07-23 |
| US11165761B2 (en) | 2021-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3675418B1 (en) | Issuance of service configuration file | |
| US11295246B2 (en) | Portable network interfaces for authentication and license enforcement | |
| CN111464481B (zh) | 用于服务安全保护的方法、设备和计算机可读介质 | |
| JP6782307B2 (ja) | ホストされたアプリケーションへの動的アクセス | |
| US10355864B2 (en) | Policy based authentication | |
| US11438421B2 (en) | Accessing resources in a remote access or cloud-based network environment | |
| US20180367528A1 (en) | Seamless Provision of Authentication Credential Data to Cloud-Based Assets on Demand | |
| EP3750095A1 (en) | Fast smart card logon | |
| CN108540433B (zh) | 用户身份校验方法及装置 | |
| CN108092984B (zh) | 一种应用客户端的授权方法、装置及设备 | |
| US11522847B2 (en) | Local mapped accounts in virtual desktops | |
| WO2020024987A1 (zh) | 一种认证方法、内容分发网络cdn和内容服务器 | |
| US20170003938A1 (en) | Virtualization Layer for Mobile Applications | |
| JP2020514863A (ja) | 証明書取得方法、認証方法及びネットワークデバイス | |
| CN113647113A (zh) | 基于网络的媒体处理安全性 | |
| WO2021163259A1 (en) | Optically scannable representation of a hardware secured artifact | |
| US11366883B2 (en) | Reflection based endpoint security test framework | |
| EP3987391B1 (en) | Method and system for service image deployment in a cloud computing system based on distributed ledger technology | |
| JP7027612B2 (ja) | ヘルパを介したクライアントデバイスの匿名セッションへの接続 | |
| US11977620B2 (en) | Attestation of application identity for inter-app communications | |
| US11777922B2 (en) | Autonomous multi-factor authentication | |
| CN117850957A (zh) | 一种虚拟资源创建方法、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |