CN113412601A - 集中式远程迁移客户端凭证管理 - Google Patents
集中式远程迁移客户端凭证管理 Download PDFInfo
- Publication number
- CN113412601A CN113412601A CN201980091501.6A CN201980091501A CN113412601A CN 113412601 A CN113412601 A CN 113412601A CN 201980091501 A CN201980091501 A CN 201980091501A CN 113412601 A CN113412601 A CN 113412601A
- Authority
- CN
- China
- Prior art keywords
- credentials
- commands
- network
- cloud
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005012 migration Effects 0.000 title description 3
- 238000013508 migration Methods 0.000 title description 3
- 238000000034 method Methods 0.000 claims description 29
- 238000012545 processing Methods 0.000 claims description 8
- 230000006855 networking Effects 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 6
- 230000009466 transformation Effects 0.000 description 5
- 238000000844 transformation Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 230000001131 transforming effect Effects 0.000 description 2
- 235000010575 Pueraria lobata Nutrition 0.000 description 1
- 241000219781 Pueraria montana var. lobata Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000153 supplemental effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
基于云的网络接收一公钥/私钥对的公钥和用于访问与用户网络相关联的秘密的凭证。该基于云的网络从被配置成促进该用户网络的远程控制的用户接口接收要在该用户网络处执行的命令。该基于云的网络使用该公钥来加密该凭证和该命令。该基于云的网络将经加密的凭证和命令转发到一个或多个客户端设备。客户端设备被配置成使用该公钥/私钥对的私钥来解密该经加密的凭证和命令并在该用户网络上执行该命令。
Description
背景
近年来,基于云的计算服务的使用大大增加。当企业将其网络扩展到基于云的计算服务时,可能会遇到限制。在给定许多用户通常在其网络中拥有的资产总量的情况下,确保用户能够安全地访问和控制其场所内数据可能具有挑战性。大规模操作(诸如将多个虚拟机迁移到云中)可能需要重复性任务来安全地访问和控制用户的机器。此外,诸如防火墙之类的安全性措施通常会限制云服务提供商对用户资产的可访问性。这可能会导致许多低效率,因为必须将安全性特征应用于用户资产,但此类安全性特征可能会阻碍云服务提供商对用户资产的可访问性和控制。附加的努力和成本可能会成为用户将其资产迁移到虚拟化环境的障碍。
此类限制可能会导致许多低效率和不太理想的用户体验。
发明内容
本公开的各实施例涉及用户凭证的集中式存储和管理。通常希望通过基于云的服务提供商远程访问和控制用户的网络。例如,为了将用户的计算资源大规模迁移到涉及多个客户端机器的云,服务提供商可能需要能够使用授权内容移动所需的正确凭证。所公开的各实施例提供了集中式位置,该集中式位置存储凭证、接收经加密的命令并安全地向下推送凭证和命令以实现对用户资产的远程控制。这减少了单独授权访问每台用户机器的需要,与此同时维护用户资产的安全性并保护凭证的完整性。因此,通过允许一个中心位置安全地维护凭证,手动访问单个机器的多个步骤可被整合。
本文公开的技术提供了对现有系统的许多改进。例如,当凭证被存储在集中式服务(诸如Google Drive、iCloud或OneDrive)中时,可以避免重复访问多个资产并向其提供凭证的需要,也可以避免与多个凭证竞争和同步凭证版本的需要。本文公开的技术进一步改进了用户与计算机的交互,同时提供了关于处理资源、网络资源和存储器资源的改进。
提供本概述以便以简化的形式介绍以下在详细描述中进一步描述的概念的选集。本概述不旨在标识所要求保护的主题的关键或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。例如术语“技术”可指代上述上下文和通篇文档中所准许的(诸)系统、(诸)方法、计算机可读指令、(诸)模块、算法、硬件逻辑和/或(诸)操作。
附图简述
参考附图来描述具体实施方式。在附图中,附图标记最左边的(一个或多个)数位标识该附图标记首次出现的附图。不同附图中的相同参考标记指示相似或相同的项。对多个项目中的单个项目作出引用可使用带有字母序列的字母的附图标记来引用每个单独的项目。对项目的一般引用可使用特定的引用编号而非字母序列。
图1是用于访问用户网络的系统的框图。
图2是示出用于访问用户网络的系统的框图。
图3是示出用于访问用户网络的例程的各方面的流程图。
图4是示出用于访问用户网络的例程的各方面的流程图。
图5是示出用于访问用户网络的例程的各方面的流程图。
图6是示出用于访问用户网络的例程的各方面的流程图。
图7是例示能够实现本文中所呈现的技术和技艺的各方面的计算系统的说明性计算机硬件和软件架构的计算机架构图。
图8是示出能够实现本文呈现的技术和技艺的各方面的分布式计算环境的图示。
详细描述
描述了用于实现用户凭证的集中式存储和管理的各种实施例。各实施例提供了集中式位置,该集中式位置存储凭证、接收经加密的命令并安全地向下推送凭证和命令以实现对用户资产的远程控制。
参考图1,例示了包括多个用户源141、142、143和150的用户网络106的示例。用户网络可包括一个或多个虚拟机130、131。源141、142、143和150可主存各种数据和应用,包括例如允许访问内容161的文件系统150。用户网络106处的源141、142、143和150可经由防火墙161受到保护。在一些情形中,用户可能希望远程访问他们的网络并执行操作。例如,用户可能希望经由网络108将一些用户资产(例如虚拟机130、131)迁移到云环境110。在具有多个虚拟机和多个源的用户环境中,云环境110通过防火墙访问用户资产可能需要广泛的凭证管理和复杂性。系统100还可包括用于使计算设备能够通信的一个或多个网络108。该示例是出于解说的目的而被提供的,并且不被解释为限制。可以理解,系统100可包括任何数量的计算机。云服务可采用个人计算机、服务器场、大规模计算机系统或具有用于处理、协调、收集、存储和/或在一个或多个计算设备之间传递数据的组件的任何其他计算系统的形式。此类服务的各示例包括由OneDrive、Dropbox、Microsoft、Amazon、Apple、Google等提供的存储服务。
在一个实施例中,可以提供控制/查看功能,其使管理员能够经由UI 121远程在用户网络106上发起动作。凭证服务136可被提供以用于用户资产的集中式控制。凭证服务136可在一个位置提供对凭证的存储和管理,从而能够控制防火墙162后面的用户资产。
参考图2,例示了云管理员220和云服务器252。云管理员220可向云服务器252发送任务和命令,并且可从云服务器252接收结果和报告。云服务器252可向客户端231发送任务和命令以用于动作和完成。客户端231可向云服务器252发送结果和报告,云服务器252可例如经由图1的UI 121向云管理员220提供状态。
在一个实施例中,可在每个用户虚拟机上创建和安装安装程序或代理。例如,安装程序/代理可被添加到每个用户虚拟机。在一个实施例中,安装程序/代理对于每个用户可以是唯一的,例如,具有唯一的ID或唯一的握手。在添加安装程序/代理后,可以在每台机器上发起连接。对于每个用户和目的地,注册可能是唯一的。在一个实施例中,可经由HTTPS而非虚拟专用网络(VPN)以用凭证来实现注册。经由HTTPS连接,命令可以以安全的方式从基于云的平台分派到用户环境内的机器中。在一个实现中,凭证可以被传递到每台机器。在一些实施例中,访问可以是集中的或受限的,例如访问特定位置。例如,每个虚拟机只能访问它被授权的内容。所公开的实施例因此使远程服务能够经由远程和集中式凭证管理来访问场所内资源。
凭证可以是各种类型,例如用户名/密码,或任何形式的凭证,诸如多因素认证(MFA)、活动目录等。命令不仅可包括迁移,还可包括可在用户网络处执行的任何类型的命令,诸如获取文件系统信息和部署文件系统命令。
图3例示根据本公开的示例规程。应当理解,本文公开的方法的操作是不按任何特定次序来呈现的,并且用(诸)替换次序来执行部分或全部操作是可能的且可构想的。为了易于描述和说明,按所示次序来呈现各操作。可以添加、省略和/或同时执行操作,而不脱离所附权利要求书的范围。
还应当理解,所解说的方法可在任何时间结束且不必完整地执行。这些方法的部分或全部操作和/或基本等效的操作可通过执行计算机存储介质上所包括的计算机可读指令来执行,如在下文中所定义的。如在说明书和权利要求书中使用的术语“计算机可读指令”及其变型,在本文被用来广泛地包括例程、应用、应用模块、程序模块、程序、组件、数据结构、算法等等。计算机可读指令可以在各种系统配置上被实现,包括单处理器或多处理器系统、小型计算机、大型计算机、个人计算机、手持式计算设备、基于微处理器的可编程消费电子产品、其组合等等。
因此,应当理解,本文所描述的逻辑操作被实现为:(1)一系列计算机实现的动作或运行在计算系统上的程序模块;和/或(2)计算系统内的互连的机器逻辑电路或电路模块。该实现是取决于计算系统的性能及其他要求的选择问题。相应地,本文中所描述的逻辑操作被以不同方式称为状态、操作、结构设备、动作、或模块。这些操作、结构设备、动作和模块可以用软件、固件、专用数字逻辑及其任何组合来实现。
例如,例程400的操作在本文中被描述为至少部分地由运行本文公开的各特征的模块来实现,并且可以是动态链接库(DLL)、静态链接库、由应用编程接口(API)实现的功能性、经编译的程序、经解释的程序、脚本或任何其他可执行指令集。数据可以以一种数据结构被存储在一个或多个存储器组件中。数据可通过对数据结构的链接或引用进行寻址来从数据结构中检索。
尽管以下图示涉及各图的各组件,但是可领会例程400的操作也可以许多其他方式来实现。例如,例程400可至少部分地由另一远程计算机或本地电路的处理器来实现。另外,例程400的一个或多个操作可替换地或附加地至少部分地由单独工作的芯片组或与其他软件模块协同工作的芯片组来实现。在下面描述的示例中,计算系统的一个或多个模块可接收和/或处理本文公开的数据。适合于提供本文公开的技术的任何服务、电路或应用可被用于本文描述的操作中。
在一个实施例中,可生成包括可用于加密凭证的公钥的密钥对。用户可保留和存储私钥。云提供商可使用公钥来加密凭证和/或命令。公钥可被保存在云提供商处的安全存储中。
在一个实施例中,当客户端被注册时,公钥可被发送到云服务提供商,并且密钥对可被存储在安全密钥存储中。当任务由管理员在例如UI处创建时,任务和经加密的密码可被发送到云提供商。云提供商可将任务连同经加密的密码一起发送到客户端(例如,将在用户网络处执行任务的实体)。客户端可使用凭证获取私钥。
通过使用这种布置,云提供商不需要存储用户信息。云提供商加密命令和密码,并将经加密的信息转发给客户端进行解密和执行。在一个实施例中,同一私钥可由多个客户端(多台机器)使用。在一个实施例中,临时密码可被用来保护私钥。经加密的私钥可被转发到另一机器。
任务完成的进度可被提供给可在UI上呈现进度状态的云提供商。
云提供商可实现安全存储来存储公钥、经加密的登录密码(使用公钥加密)和经加密的用户密码(使用公钥加密)。客户端可使用本地密钥存储来存储公钥和私钥。
当对用户网络上的资产请求任何操作时,所描述的授权过程可能会被触发。一旦授权,被访问的机器就可以继续接收和执行来自云服务提供商的命令。
作为示例而非限制,计算机存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。例如,计算机存储介质包括但不限于,RAM、ROM、EPROM、EEPROM、闪存或其他固态存储器技术,CD-ROM、数字多功能盘(“DVD”)、HD-DVD、BLU-RAY或其他光学存储,磁带盒、磁带、磁盘存储或其他磁性存储设备,或能用于储存所需信息且可以由客户端设备226访问的任何其他介质。出于权利要求书的目的,短语“计算机存储介质”、“计算机可读存储介质”及其变体不包括波、信号、和/或其他瞬态和/或无形通信介质本身。
现在转向图4,例示了示例数据流400的各方面,其描绘了用于控制对存储在基于云的存储服务中的数据的访问的所描述技术的示例实现,在下文中示出和描述。在一个实施例中,客户端410可由云服务提供商430注册。对称密钥可被生成450并且公钥可被用于加密该对称密钥。云服务提供商430可将经加密的对称密钥发送给客户端410,客户端410可使用私钥来解密经加密的对称密钥。
客户端410可从安全存储420获得凭证。服务提供商可使用对称密钥来加密任务并将经加密的任务添加到队列440。客户端410可从队列440获得经加密的任务并解密该经加密的任务。客户端410可执行该任务。
客户端410可使用对称密钥来加密已完成任务的报告并将经加密的报告添加到队列440。服务提供商430可从队列440获得经加密的报告。
现在转向图5,例示了示例数据流400的各方面,其描绘了用于控制对存储在基于云的存储服务中的数据的访问的所描述技术的示例实现,在下文中示出和描述。
现在转向图5,下文示出并描述了用于控制对存储在基于云的存储服务中的数据的访问的例程500的各方面。参考图5,例程500开始于操作501,其例示了:在基于云的网络处接收一公钥/私钥对的公钥和用于访问与用户网络相关联的秘密的凭证。
接下来,操作503例示了:在该基于云的网络处从被配置成促进该用户网络的远程控制的用户接口接收要在该用户网络处执行的命令。
操作505例示了:通过该基于云的网络使用该公钥来加密该凭证和该命令。
接下来,操作507例示了:通过该基于云的网络将经加密的凭证和命令转发到一个或多个客户端设备。在一个实施例中,客户端设备被配置成使用该公钥/私钥对的私钥来解密该经加密的凭证和命令并在该用户网络上执行该命令。
在一个实施例中,该客户端设备包括被配置成存储该私钥并使用该私钥来解密该经加密的凭证和命令的代理。
在一个实施例中,该基于云的网络从该客户端设备接收指示该命令的执行进度的状态。
在一个实施例中,该命令是将一个或多个虚拟机从该用户网络迁移到该基于云的网络的命令。
在一个实施例中,该凭证可用于由多个客户端设备访问该用户网络。
在一个实施例中,该经加密的凭证和命令经由HTTPS连接来发送。
在一个实施例中,该用户网络受防火墙保护。
在一个实施例中,该凭证是用户名、密码或MFA凭证中的一者或多者。
在一个实施例中,该基于云的网络不以未经加密的形式持久地存储凭证。
在一个实施例中,该用户接口被配置成使得远程用户能够发送在该用户网络处执行的命令。
现在转向图6,下面示出并描述了用于控制对用户网络的访问的例程600的各方面。参考图6,例程600开始于操作601,其中:基于云的网络接收使用一公钥/私钥对的公钥来加密的经加密的凭证和命令。在一个实施例中,该凭证用于访问与用户网络相关联的秘密且该命令要在该用户网络处执行。
接下来,在操作603处:使用该公钥/私钥对的私钥来解密该经加密的凭证和命令。
操作605例示了:使用经解密的凭证来访问该用户网络。
操作607例示了:在该用户网络上执行该经解密的命令。
图7示出了能够执行本文描述的程序组件的计算机(诸如计算设备107(图1))的示例计算机架构700的附加细节。由此,图7所示的计算机架构700示出服务器计算机、移动电话、PDA、智能电话、台式计算机、上网本计算机、平板计算机、和/或膝上型计算机的架构。计算机架构700可用于执行本文所呈现的软件组件的任何方面。
图7所示的计算机架构700包括中央处理单元702(“CPU”)、包括随机存取存储器707(“RAM”)和只读存储器(“ROM”)708的系统存储器704、以及将存储器704耦合至CPU 702的系统总线710。基本输入/输出系统被存储在ROM 708中,该系统包含帮助诸如在启动期间在计算机架构700中的各元件之间传输信息的基本例程。计算机架构700进一步包括用于存储操作系统707、其他数据和一个或多个应用程序(诸如生产力应用141和同步应用142)的大容量存储设备712。
大容量存储设备712通过连接至总线710的大容量存储控制器(未示出)而连接至CPU 702。大容量存储设备712及其相关联的计算机可读介质为计算机架构700提供非易失性存储。虽然对此处包含的计算机可读介质的描述引用了诸如固态驱动器、硬盘或CD-ROM驱动器之类的大容量存储设备,但是本领域的技术人员应该明白,计算机可读介质可以是可由计算机架构700访问的任何可用计算机存储介质或通信介质。
通信介质包括诸如载波或其他传输机制等已调数据信号中的计算机可读指令、数据结构、程序模块或其他数据并且包含任何传递介质。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被更改或设定的信号。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、RF、红外及其他无线介质之类的无线介质。上述的任意组合也应包括在计算机可读介质的范围之内。
作为示例而非限制,计算机存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。例如,计算机介质包括但不限于,RAM、ROM、EPROM、EEPROM、闪存或其他固态存储器技术、CD-ROM、数字多功能盘(“DVD”)、HD-DVD、蓝光(BLU-RAY)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备、或能用于存储所需信息且可以由计算机架构700访问的任何其他介质。出于权利要求书的目的,短语“计算机存储介质”、“计算机可读存储介质”及其变体不包括波、信号、和/或其他瞬态和/或无形通信介质本身。
根据各种配置,计算机架构700可以使用通过网络757和/或另一网络(未示出)的到远程计算机的逻辑连接来在联网环境中操作。计算机架构700可以通过连接至总线710的网络接口单元714来连接到网络757。应当领会,网络接口单元714还可以被用来连接到其他类型的网络和远程计算机系统。计算机架构700还可包括用于接收和处理来自多个其他设备的输入的输入/输出控制器717,这些设备包括键盘、鼠标、或电子指示笔(在图7中未示出)。类似地,输入/输出控制器717可向显示屏、打印机、或者其他类型的输出设备(在图7中也未示出)提供输出。
应当领会,本文中所描述的软件组件在被加载到CPU 702中并且被执行时,可将CPU 702和整个计算机架构700从通用计算系统转换为被定制为促进本文中所呈现的功能性的专用计算系统。CPU 702可以用任意数量的晶体管或其他分立电路元件(它们可以单独地或共同地采用任意数量的状态)来构建。更具体而言,CPU 702可响应于被包含在本文所公开的软件模块中的可执行指令而作为有限状态机来操作。这些计算机可执行指令可以通过指定CPU 702如何在各状态之间转换来变换CPU 702,由此变换了构成CPU 702的晶体管或其他分立硬件元件。
对本文中所呈现的软件模块进行编码也可变换本文中所呈现的计算机可读介质的物理结构。在本说明书的不同实现中,物理结构的具体变换可取决于各种因素。此类因素的示例可以包括但不仅限于用于实现计算机可读介质的技术、计算机可读介质被表征为主存储还是辅存储,等等。例如,如果计算机可读介质被实现为基于半导体的存储器,则本文所公开的软件可以通过变换半导体存储器的物理状态而在计算机可读介质上编码。例如,软件可以变换构成半导体存储器的晶体管、电容器、或其他分立电路元件的状态。软件还可以变换这些组件的物理状态以便在其上存储数据。
作为另一示例,本文所公开的计算机可读介质可以使用磁或光技术来实现。在这些实现中,本文中所呈现的软件可以当在磁或光介质中编码了软件时变换所述磁或光介质的物理状态。这些变换可以包括改变给定磁介质内的特定位置的磁性。这些变换还可以包括改变给定光学介质内的特定位置的物理特征或特性,以改变这些位置的光学特性。在没有偏离本说明书的范围和精神的情况下,物理介质的其他变换是可能的,前面提供的示例只是为了便于此讨论。
鉴于以上内容,应当理解,在计算机架构700中发生许多类型的物理变换以便存储并执行本文所提出的软件组件。还应领会,计算机架构700可包括其他类型的计算设备,包括手持式计算机、嵌入式计算机系统、个人数字助理以及本领域技术人员已知的其他类型的计算设备。还构想了,计算机架构700可不包括图7中所示的所有组件,可包括未在图7中明确示出的其他组件,或者可利用与图7中所示的完全不同的架构。
图8描绘了能够执行本文所描述的软件组件的说明性分布式计算环境800。这样,图8中所示的分布式计算环境800可用于执行本文所呈现的软件组件的任何方面。例如,分布式计算环境800可被用来执行本文中所描述的软件组件的各方面。
根据各种实现,分布式计算环境800包括在网络804上操作、与该网络通信、或者作为该网络的一部分的计算环境802。网络804可以是或可以包括网络959,如以上参考图9所描述的。网络804还可包括各种接入网络。一个或多个客户端设备806A-806N(在下文中统称和/或通称为“客户端806”且在此也称为计算设备86)可经由网络804和/或其他连接(在图8中未示出)与计算环境802通信。在一个所示的配置中,客户端806包括:诸如膝上型计算机、台式计算机、或其他计算设备之类的计算设备806A;板式或平板计算设备(“平板计算设备”)806B;诸如移动电话、智能电话、或其他移动计算设备之类的移动计算设备806C;服务器计算机806D;和/或其他设备806N。应当理解,任意数量的客户端806可与计算环境802通信。在本文中参考图9和8示出并描述客户端806的两个示例计算架构。应当理解,所解说的客户端806以及本文中所解说和描述的计算架构是说明性的,并且不应被解释为以任何方式受到限制。
在所解说的配置中,计算环境802包括应用服务器808、数据存储88,以及一个或多个网络接口812。根据各种实现,应用服务器808的功能可由作为网络804一部分执行或者与该网络通信的一个或多个服务器计算机提供。应用服务器808可主存各种服务、虚拟机、门户、和/或其他资源。在所示的配置中,应用服务器808主存一个或多个虚拟机814以供主存应用或其他功能。根据各个实现,虚拟机814主存一个或多个应用和/或软件模块,以用于在远程同步期间实现对文件拓扑更改的应用内支持。应当理解,该配置是说明性的,并且不应被解释为以任何方式进行限制。应用服务器808还主控或提供对一个或多个门户、链接页面、Web站点、和/或其他信息(“Web门户”)816的访问。
根据各种实现,应用服务器808还包括一个或多个邮箱服务818以及一个或多个消息收发服务820。邮箱服务818可包括电子邮件(“email”)服务。邮箱服务818还可包括各种个人信息管理(“PIM”)和存在服务,包括但不限于日历服务、联系人管理服务、协作服务、和/或其他服务。消息收发服务820可包括但不限于即时消息收发服务、聊天服务、论坛服务、和/或其他通信服务。
应用服务器808还可包括一个或多个社交联网服务822。社交网络服务822可包括各种社交网络服务,包括但不限于用于共享或张贴状态更新、即时消息、链接、照片、视频、和/或其他信息的服务,用于评论或显示对文章、产品、博客、或其他资源的兴趣的服务,和/或其他服务。在一些配置中,社交网络服务822可包括脸谱(FACEBOOK)社交网络服务、LINKEDIN专业人士网络服务、MYSPACE社交网络服务、FOURSQUARE地理网络服务、YAMMER办公同事网络服务等,或者可由这些服务提供。在其他配置中,社交联网服务822可以由其他服务、站点、和/或可以显式或可以不显式地称为社交联网提供商的提供商提供。例如,一些网站允许用户在各种活动和/或上下文(诸如阅读已发表的文章、评论商品或服务、发表、协作、玩游戏等)期间经由电子邮件、聊天服务、和/或其他手段彼此交互。这些服务的示例包括但不限于来自美国华盛顿州雷蒙德市微软公司的WINDOWS LIVE服务和XBOX LIVE服务。其他服务也是可能的且是可构想的。
社交网络服务822还可以包括评论、博客、和/或微博服务。这种服务的示例包括但不限于YELP评论服务、KUDZU审阅服务、OFFICETALK企业微博服务、TWITTER消息收发服务、GOOGLE BUZZ服务、和/或其他服务。应当领会,以上服务列表并非穷尽性的,并且为了简洁起见在本文中未提及多种附加和/或替换的社交联网服务822。由此,以上配置是说明性的,并且不应被解释为以任何方式进行限制。根据各个实现,社交网络服务822可主存一个或多个应用和/或软件模块以提供本文所描述的功能,诸如在远程同步期间实现对文件拓扑更改的应用内支持。例如,应用服务器808中的任何一个可以传达或促成在此所描述的功能性和特征。例如,在电话或任何其他客户端806上运行的社交网络应用、邮件客户端、消息收发客户端或浏览器可以与网络服务822通信并促成上面参考图8所述的功能(即使是部分地)。本文描绘的任何设备或服务都可用作补充数据的资源,包括电子邮件服务器、存储服务器等。
如图8所示,应用服务器808还可主存其他服务、应用、门户、和/或其他资源(“其他资源”)824。其他资源824可包括但不限于文档共享、呈现或任何其他功能。由此,应当理解,计算环境802可提供本文中所公开的概念和技术与各种邮箱、消息收发、社交网络、和/或其他服务或资源的整合。
如以上所提及的,计算环境802可包括数据存储88。根据各种实现,数据存储88的功能性由在网络804上操作的或者与该网络通信的一个或多个数据库提供。数据存储88的功能也可由被配置成主存用于计算环境802的数据的一个或多个服务器计算机提供。数据存储88可以包括、主存或提供一个或多个实际或虚拟数据存储826A-826N(下文统称和/或一般地称为“数据存储826”)。数据存储826被配置成主存由应用服务器808使用或创建的数据和/或其他数据。尽管在图8中未示出,但数据存储826还可以主存或存储web页面文档、word文档、演示文档、数据结构、供推荐引擎执行的算法和/或由任何应用程序或另一模块利用的其他数据。数据存储826的各方面可以与用于存储文件的服务相关联。
计算环境802可与网络接口812通信或由该网络接口访问。网络接口812可包括各种类型的网络硬件和软件,以支持包括但不限于计算设备和服务器的两个或更多个计算设备之间的通信。应当领会,网络接口812还可用于连接到其他类型的网络和/或计算机系统。
应当理解,本文中所描述的分布式计算环境800可向本文中所描述的软件元件的任何方面提供可被配置成执行本文中所公开的软件组件的任何方面的任意数量的虚拟计算资源和/或其他分布式计算功能。根据本文中所公开的概念和技术的各种实现,分布式计算环境800向计算设备提供本文中所描述的软件功能作为服务。应当理解,计算设备可包括实际或虚拟机,包括但不限于服务器计算机、web服务器、个人计算机、移动计算设备、智能电话、和/或其他设备。由此,本文公开的概念和技术的各个配置使被配置成访问分布式计算环境800的任何设备能够利用本文描述的功能来提供本文公开的技术等。在一个具体示例中,如上文概述的,本文中所描述的技术可以至少部分由web浏览器应用来实现,该web浏览器应用与图8的应用服务器808协同工作。
Claims (20)
1.一种用于访问计算资源的方法,所述方法包括:
在基于云的网络处接收一公钥/私钥对的公钥和用于访问与用户网络相关联的秘密的凭证;
在所述基于云的网络处从被配置成促进所述用户网络的远程控制的用户接口接收要在所述用户网络处执行的命令;
通过所述基于云的网络使用所述公钥来加密所述凭证和所述命令;以及
通过所述基于云的网络向一个或多个客户端设备转发经加密的凭证和命令,其中所述客户端设备被配置成使用所述公钥/私钥对的私钥来解密所述经加密的凭证和命令并在所述用户网络上执行所述命令。
2.如权利要求1所述的方法,其特征在于,所述客户端设备包括被配置成存储所述私钥并使用所述私钥来解密所述经加密的凭证和命令的代理。
3.如权利要求1所述的方法,其特征在于,进一步包括通过所述基于云的网络从所述客户端设备接收指示所述命令的执行进度的状态。
4.如权利要求1所述的方法,其特征在于,所述命令是将一个或多个虚拟机从所述用户网络迁移到所述基于云的网络的命令。
5.如权利要求1所述的方法,其特征在于,所述凭证可用于由多个客户端设备访问所述用户网络。
6.如权利要求1所述的方法,其特征在于,所述经加密的凭证和命令经由HTTPS连接来发送。
7.如权利要求1所述的方法,其特征在于,所述用户网络受防火墙保护。
8.如权利要求1所述的方法,其特征在于,所述凭证是用户名、密码或MFA凭证中的一者或多者。
9.如权利要求1所述的方法,其特征在于,所述基于云的网络不持久地存储所述凭证。
10.如权利要求1所述的方法,其特征在于,所述用户接口被配置成使得远程用户能够发送在所述用户网络处执行的命令。
11.一种用于接入用户网络的系统,所述系统包括:
一个或多个数字处理单元;以及
一种其上编码有计算机可执行指令的计算机可读介质,以使得所述一个或多个数据处理单元执行以下操作,包括:
从基于云的网络接收使用一公钥/私钥对的公钥来加密的经加密的凭证和命令,其中所述凭证用于访问与用户网络相关联的秘密且所述命令要在所述用户网络处执行;
使用所述公钥/私钥对的私钥来解密所述经加密的凭证和命令;
使用经解密的凭证来访问所述用户网络;以及
在所述用户网络上执行所述经解密的命令。
12.如权利要求11所述的系统,其特征在于,所述凭证和命令从配置成促进所述用户网络的远程控制的用户接口被输入。
13.如权利要求11所述的系统,其特征在于,进一步包括安装被配置成存储所述私钥并使用所述私钥来解密所述经加密的凭证和命令的代理。
14.如权利要求11所述的系统,其特征在于,进一步包括发送指示所述命令的执行进度的状态。
15.如权利要求11所述的系统,其特征在于,所述凭证可用于由多个客户端设备访问所述用户网络。
16.如权利要求11所述的系统,其特征在于,所述经加密的凭证和命令经由HTTPS连接来接收。
17.如权利要求11所述的系统,其特征在于,所述凭证是用户名、密码或MFA凭证中的一者或多者。
18.如权利要求11所述的系统,其特征在于,所述私钥被存储在所述系统上的密钥存储中。
19.一种计算设备,包括:
一个或多个数字处理单元;以及
一种其上编码有计算机可执行指令的计算机可读介质,以使得所述一个或多个数据处理单元执行以下操作,包括:
在基于云的网络处接收一公钥/私钥对的公钥和用于访问与用户网络相关联的秘密的凭证;
在所述基于云的网络处从被配置成促进所述用户网络的远程控制的用户接口接收要在所述用户网络处执行的命令;
通过所述基于云的网络使用所述公钥来加密所述凭证和所述命令;以及
通过所述基于云的网络向一个或多个客户端设备转发经加密的凭证和命令,其中所述客户端设备被配置成使用所述公钥/私钥对的私钥来解密所述经加密的凭证和命令并在所述用户网络上执行所述命令。
20.如权利要求19所述的计算设备,其特征在于,所述客户端设备包括被配置成存储所述私钥并使用所述私钥来解密所述经加密的凭证和命令的代理。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2019/106112 WO2021051259A1 (en) | 2019-09-17 | 2019-09-17 | Centralized remote migration client credential management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113412601A true CN113412601A (zh) | 2021-09-17 |
| CN113412601B CN113412601B (zh) | 2024-10-29 |
Family
ID=
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130046982A1 (en) * | 2011-08-18 | 2013-02-21 | Samsung Electronics Co. Ltd. | Apparatus and method for supporting family cloud in cloud computing system |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN106464717A (zh) * | 2014-05-12 | 2017-02-22 | 微软技术许可有限责任公司 | 将公共云与专用网络资源连接 |
| US20170257215A1 (en) * | 2016-03-07 | 2017-09-07 | Citrix Systems, Inc. | Encrypted password transport across untrusted cloud network |
| US20180060101A1 (en) * | 2016-08-30 | 2018-03-01 | Vmware, Inc. | Method for connecting a local virtualization infrastructure with a cloud-based virtualization infrastructure |
| US9935937B1 (en) * | 2014-11-05 | 2018-04-03 | Amazon Technologies, Inc. | Implementing network security policies using TPM-based credentials |
| CN107968783A (zh) * | 2017-11-30 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 流量管理方法、装置、终端及计算机可读存储介质 |
| US20180324159A1 (en) * | 2017-05-04 | 2018-11-08 | Servicenow, Inc. | Efficient centralized credential storage for remotely managed networks |
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130046982A1 (en) * | 2011-08-18 | 2013-02-21 | Samsung Electronics Co. Ltd. | Apparatus and method for supporting family cloud in cloud computing system |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN106464717A (zh) * | 2014-05-12 | 2017-02-22 | 微软技术许可有限责任公司 | 将公共云与专用网络资源连接 |
| US9935937B1 (en) * | 2014-11-05 | 2018-04-03 | Amazon Technologies, Inc. | Implementing network security policies using TPM-based credentials |
| US20170257215A1 (en) * | 2016-03-07 | 2017-09-07 | Citrix Systems, Inc. | Encrypted password transport across untrusted cloud network |
| US20180060101A1 (en) * | 2016-08-30 | 2018-03-01 | Vmware, Inc. | Method for connecting a local virtualization infrastructure with a cloud-based virtualization infrastructure |
| US20180324159A1 (en) * | 2017-05-04 | 2018-11-08 | Servicenow, Inc. | Efficient centralized credential storage for remotely managed networks |
| CN107968783A (zh) * | 2017-11-30 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 流量管理方法、装置、终端及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021051259A1 (en) | 2021-03-25 |
| US20220337402A1 (en) | 2022-10-20 |
| EP4032226A4 (en) | 2023-06-14 |
| US12015698B2 (en) | 2024-06-18 |
| EP4032226A1 (en) | 2022-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9413735B1 (en) | Managing distribution and retrieval of security key fragments among proxy storage devices | |
| US9450921B2 (en) | Systems and methods for controlling email access | |
| US10362007B2 (en) | Systems and methods for user account recovery | |
| US10554630B2 (en) | Systems and methods for secure password transmission and verification | |
| US20180054432A1 (en) | Protection feature for data stored at storage service | |
| US20170371625A1 (en) | Content delivery method | |
| EP3491808B1 (en) | Interchangeable retrieval of content | |
| US11943260B2 (en) | Synthetic request injection to retrieve metadata for cloud policy enforcement | |
| US9298935B1 (en) | Distributed privacy framework system and method of implementation | |
| US20230342480A1 (en) | Peer-to-peer confidential document exchange | |
| US20240106902A1 (en) | Communication protocols for an online content management system | |
| US20230137345A1 (en) | System and method for decentralized user controlled social media | |
| US20170041408A1 (en) | Systems and methods for managing shared content | |
| US9843563B2 (en) | Securing relayed email communication | |
| US9749127B1 (en) | Establishing entropy on a system | |
| US12015698B2 (en) | Centralized remote migration client credential management | |
| CN113412601B (zh) | 集中式远程迁移客户端凭证管理 | |
| US9444798B1 (en) | Transferring data | |
| TW201633172A (zh) | 內容傳遞的方法 | |
| CN107210992B (zh) | 在安全数据系统和外部数据系统之间上传和下载数据 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |