DE112012002741T5 - Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform - Google Patents
Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform Download PDFInfo
- Publication number
- DE112012002741T5 DE112012002741T5 DE112012002741.8T DE112012002741T DE112012002741T5 DE 112012002741 T5 DE112012002741 T5 DE 112012002741T5 DE 112012002741 T DE112012002741 T DE 112012002741T DE 112012002741 T5 DE112012002741 T5 DE 112012002741T5
- Authority
- DE
- Germany
- Prior art keywords
- entity
- resource group
- cloud
- shared pool
- customer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
Description
- HINTERGRUND DER ERFINDUNG
- Technisches Gebiet
- Diese Offenbarung bezieht sich im Allgemeinen auf das Sicherstellen von Unversehrtheit, Vertraulichkeit und Schutz von Geschäftsdaten in einer Umgebung, in der Ressourcen in einem gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen bereitgestellt werden.
- Hintergrund der verwandten Technik
- Eine Benutzeridentitätsprüfung ist eine Funktion, die Dienstanbieter bereitstellen, um sicherzustellen, dass Benutzer, die auf Ressourcen zugreifen (z. B. Anwendungen, Web-Inhalte usw.) über eine entsprechende Berechtigung verfügen. Um sicherzustellen, dass ein Benutzer kein Betrüger ist, fragen Dienstanbieter (z. B. Web-Server) im Allgemeinen nach Benutzernamen und Kennwort eines Benutzers, um die Identität zu überprüfen, bevor sie den Zugriff auf Ressourcen zulassen. Single Sign-On (SSO, Einmalanwendung) ist ein Zugriffskontrollmechanismus, der es einem Benutzer ermöglicht, einmalig seine Identität nachzuweisen (indem er z. B. einen Benutzernamen und ein Kennwort bereitstellt) und dann Zugriff auf Software-Ressourcen zu erhalten, die auf mehrere Systeme verteilt sind. Üblicherweise gestattet ein SSO-System den Benutzerzugriff auf Ressourcen innerhalb eines Unternehmens oder einer Organisation. Federated Single Sign-on (F-SSO) erweitert das Konzept des Single Sign-On auf mehrere Unternehmen und stellt dadurch Partnerschaften zwischen verschiedenen Organisationen und Unternehmen her. F-SSO-Systeme beinhalten üblicherweise auf Anwendungsebene angesiedelte Protokolle, mit denen ein Unternehmen (z. B. ein Identitätsanbieter) einem anderen Unternehmen (z. B. einem Dienstanbieter) die Identität und andere Attribute eines Benutzers bereitstellen kann.
- Ein neu aufkommendes IT-Bereitstellungsmodell ist die Cloud-Datenverarbeitung, bei der gemeinsam genutzte Ressourcen, Software und Daten über das Internet anderen Computern und Einheiten nach Bedarf bereitgestellt werden. Die Cloud-Datenverarbeitung kann Kosten und Komplexität der Informationstechnologie erheblich senken und gleichzeitig die Auslastungsoptimierung und Dienstbereitstellung verbessern. Bei dieser Herangehensweise kann eine Anwendungsinstanz von Ressourcen auf der Grundlage des Internets bereitgestellt und verfügbar gemacht werden, auf die über einen herkömmlichen Web-Browser mittels HTTP zugegriffen werden kann.
- Obwohl die Cloud-Datenverarbeitung zahlreiche Vorteile bereitstellt, ist die Datensicherheit ein erhebliches Problem. Insbesondere Unternehmen, die ihre Unternehmensanwendungen innerhalb einer Cloud-Umgebung bereitstellen wollen, unterhalten und verwalten oft kritische Geschäftsdaten in Zusammenhang mit derartigen Anwendungen. Wenn diese Anwendungen in der Cloud bereitgestellt werden, sind diese kritischen Geschäftsdaten gegenüber dem Cloud-Datenverarbeitungs-Dienstanbieter zwangsläufig offengelegt. Folglich sind diese Geschäftsdaten einem Risiko ausgesetzt, da eine Cloud-Datenverarbeitungsumgebung die Daten ihrem Wesen nach der Verwaltungskontrolle des Cloud-Datenverarbeitungs-Dienstanbieters unterstellt. Obwohl technische und gesetzliche Schutzvorkehrungen vorhanden sein mögen, können die Unversehrtheit, Vertraulichkeit und der Schutz der Geschäftsdaten nicht hundertprozentig sichergestellt werden. Ein beispielhaftes Szenario: Wenn der Cloud-Dienstanbieter aufgekauft wird, können die Unternehmensgeschäftsdaten gegenüber Dritten, ja sogar gegenüber möglichen Wettbewerbern offengelegt werden. Diese Möglichkeit ist nicht akzeptabel.
- Sofern die Kunden von Cloud-Anbietern nicht sicher sein können, dass sie die Sicherheitskontrolle über ihre Geschäftsdaten aufrechterhalten können, werden sie zögern, ihre geschäftsentscheidenden Anwendungen in einer Cloud-Datenverarbeitungsumgebung bereitzustellen. Der Gegenstand dieser Offenbarung behebt dieses Problem.
- KURZDARSTELLUNG
- Diese Offenbarung beschreibt ein Plug-In-Modell zur Identitäts- und Berechtigungsprüfung für eine Cloud-Datenverarbeitungsumgebung, mit der Cloud-Kunden die Kontrolle über ihre Unternehmensdaten behalten können, wenn Anwendungen und diese Daten in der Cloud bereitgestellt werden. Hierfür ermöglicht der Cloud-Dienstanbieter (z. B. über einen Plug-In-Dienst) einem Unternehmenskunden, sich (in die Umgebung) einzuklinken und sein eigenes Sicherheitsmodul zur Identitäts- und Berechtigungsprüfung zu verwenden.
- Der Cloud-Dienstanbieter verfügt über einen Cloud-Umgebungsadministrator, der Kunden, die Anwendungen in der Cloud-Umgebung bereitstellen, Ressourcengruppen zuordnet. Wenn ein Kunde eine Anwendung bereitstellt, ordnet der Cloud-Umgebungsadministrator der Anwendung und den Daten des Kunden eine Ressourcengruppe zu (z. B. Prozessoren, Speicher und Arbeitsspeicher). Der Kunde registriert sein Sicherheitsmodul zur Identitäts- und Berechtigungsprüfung bei dem Cloud-Sicherheitsdienst, und anhand dieses Sicherheitsmoduls wird dann kontrolliert, welche Personen oder Einheiten auf Daten zugreifen können, die der bereitgestellten Anwendung zugehörig sind. Der Cloud-Umgebungsadministrator ist jedoch nicht (als zugelassener Benutzer) bei dem Sicherheitsmodul des Kunden registriert; somit ist der Cloud-Umgebungsadministrator nicht in der Lage, auf die dem Cloud-Kunden zugewiesenen Ressourcen (obwohl er diese Ressourcen selbst zugewiesen hat) oder die zugehörigen Geschäftsdaten zuzugreifen (bzw. sie für andere oder für den allgemeinen Ressourcen-Pool der Cloud freizugeben).
- Das Plug-In-Sicherheitsmodell stellt sicher, dass die Daten des Unternehmenskunden sicher sind. Um diesen Ansatz zu ermöglichen, wird ein Drittanbieter-Notardienst als Mittler zwischen dem Unternehmenskunden und dem Cloud-Anbieter bereitgestellt. Der Drittanbieter-Notardienst kann einem oder mehreren Cloud-Anbietern zugehörig sein, ist dabei jedoch eine getrennte und unabhängige Einheit, die nicht der Kontrolle durch den Cloud-Anbieter untersteht. Der Notar kann eine Regierungsstelle, eine private Einheit, eine öffentliche Einheit oder dergleichen sein. Er fungiert als Zertifizierungsstelle (oder, allgemeiner gesprochen, als maßgebende Drittpartei), die – vorzugsweise auf automatisierte Art und Weise – eine Vereinbarung zwischen dem Kunden, dem Cloud-Anbieter und dem Drittanbieter-Notardienst testieren kann. Neben anderen Vorkehrungen regelt die Vereinbarung, dass die dem Cloud-Kunden zugewiesene(n) Ressourcengruppe(n) (d. h. die Cloud-Ressourcen) nur unter bestimmten Bedingungen zur Verwendung durch einen anderen Kunden freigegeben werden dürfen. Eine solche Bedingung ist z. B. dann gegeben, wenn sowohl der Cloud-Umgebungsadministrator als auch der Cloud-Kundenadministrator sich anmelden, um die Freigabe zu genehmigen, wobei dies weiter daran geknüpft ist, dass die Inhalte (z. B. die Geschäftsdaten des Kunden) vor einer derartigen Freigabe gelöscht werden. Ein weiteres Beispiel für eine solche Bedingung ist der Empfang einer Anmeldung eines zulässigen notariellen Benutzers und des Cloud-Umgebungsadministrators, was z. B. der Fall sein kann, wenn der Kunde einer Verpflichtung, die sich aus der Cloud-Dienstvereinbarung ergibt, nicht nachkommt. Auch bei diesem Szenario ist die Freigabe der Ressourcengruppe jedoch an die Löschung der Daten des (nun ehemaligen) Kunden geknüpft. Diese Herangehensweise stellt sicher, dass der Cloud-Umgebungsadministrator nicht dem Kunden zugeordnete Ressourcen einseitig zurücknehmen und/oder für den Kunden sensible Daten einsehen kann, selbst wenn der Kunde die Dienstvereinbarung verletzt und als Kunde ausscheidet.
- In obigen Ausführungen wurden einige der besonders relevanten Merkmale der Erfindung dargelegt. Diese Merkmale sind rein veranschaulichend zu verstehen. Wie weiter unten beschrieben, lassen sich viele andere vorteilhafte Ergebnisse realisieren, indem die offenbarte Erfindung auf andere Art und Weise angewendet oder indem sie angepasst wird.
- KURZBESCHREIBUNG DER ZEICHNUNGEN
- Für ein umfassenderes Verständnis der vorliegenden Erfindung und der damit einhergehenden Vorteile wird nun auf die folgenden Beschreibungen in Verbindung mit den beigefügten Zeichnungen verwiesen, wobei:
-
1 ein bildhaftes Blockschaubild einer verteilten Datenverarbeitungsumgebung zeigt, in der beispielhafte Aspekte der veranschaulichenden Ausführungsformen realisiert sein können; -
2 ein bildhaftes Blockschaubild eines verteilten Datenverarbeitungssystems zeigt, in dem beispielhafte Aspekte der veranschaulichenden Ausführungsformen realisiert sein können; -
3 ein beispielhaftes Blockschaubild ist, das eine bekannte „Federated Single Sign-On”-(F-SSO)-Methode veranschaulicht; -
4 Abstraktionsmodellschichten einer Cloud-Datenverarbeitungsumgebung zeigt, in der ein Identitätsanbieter-Erkennungsprozess gemäß einer Ausführungsform der Erfindung realisiert sein kann; -
5 ein beispielhaftes Blockschaubild ist, das eine bekannte Cloud-Datenverarbeitungsumgebung und die einer bereitgestellten Kundenanwendung zugeordneten Cloud-Ressourcen veranschaulicht; -
6 ein Identitäts- und Berechtigungsprüfmodel veranschaulicht, das die Sicherheit einer Cloud-Datenverarbeitungsplattform für Kundendaten gemäß dieser Offenbarung sicherstellt; -
7 veranschaulicht, wie ein kundenspezifisches Identitäts- und Berechtigungsprüfungsmodul gemäß dieser Offenbarung in die Cloud-Infrastruktur eingebunden wird; -
8 veranschaulicht, wie ein Notardienst mit dem Cloud-Nutzer und dem Cloud-Anbieter interagiert, um den Abschluss einer sicheren, nicht bestreitbaren elektronischen Nutzungsüberlassung für eine Ressourcengruppe zu ermöglichen; und -
9 ein typisches Anwendungsszenario des Systems veranschaulicht. - AUSFÜHRLICHE BESCHREIBUNG EINER VERANSCHAULICHENDEN AUSFÜHRUNGSFORM
- Bezugnehmend auf die Zeichnungen und insbesondere auf die
1 und2 werden beispielhafte Darstellungen von Datenverarbeitungsumgebungen bereitgestellt, in denen veranschaulichende Ausführungsformen der Offenbarung realisiert sein können. Dabei sollte klar sein, dass die1 und2 lediglich beispielhaft sind und keinerlei Einschränkung mit Blick auf die Umgebungen geltend machen oder implizieren sollen, in denen Aspekte oder Ausführungsformen des offenbarten Erfindungsgegenstands realisiert sein können. An den abgebildeten Umgebungen können viele Verbesserungen vorgenommen werden, ohne vom gedanklichen Wesensgehalt und inhaltlichen Umfang der vorliegenden Erfindung abzuweichen. - Das Client-Server-Modell
- Mit Blick auf die Zeichnungen zeigt
1 eine bildhafte Darstellung eines beispielhaften verteilten Datenverarbeitungssystems, in dem Aspekte der veranschaulichenden Ausführungsformen realisiert sein können. Ein verteiltes Datenverarbeitungssystem100 kann ein Netzwerk von Computern beinhalten, in dem Aspekte der veranschaulichenden Ausführungsformen realisiert sein können. Das verteilte Datenverarbeitungssystem100 enthält mindestens ein Netzwerk102 , welches das Medium ist, mit dem Datenübertragungsverbindungen zwischen verschiedenen Einheiten und Computern hergestellt werden, die innerhalb des verteilten Datenverarbeitungssystems100 miteinander verbunden sind. Das Netzwerk102 kann Verbindungen wie Leitungen, drahtlose Datenübertragungsverbindungen oder Lichtwellenleiter beinhalten. - In dem abgebildeten Beispiel sind ein Server
104 und ein Server106 zusammen mit einer Speichereinheit108 mit dem Netzwerk102 verbunden. Zusätzlich sind auch Clients110 ,112 und114 mit dem Netzwerk102 verbunden. Diese Clients110 ,112 und114 können z. B. Personal Computer, Netzwerkcomputer oder dergleichen sein. In dem abgebildeten Beispiel stellt der Server104 Clients110 ,112 und114 Daten wie z. B. Boot-Dateien, Betriebssystemabbilder und Anwendungen bereit. Die Clients110 ,112 und114 sind in dem abgebildeten Beispiel Clients des Servers104 . Das verteilte Datenverarbeitungssystem100 kann zusätzliche Server, Clients und andere Einheiten beinhalten, die hier nicht abgebildet sind. - In dem abgebildeten Beispiel ist das verteilte Datenverarbeitungssystem
100 das Internet, wobei das Netzwerk102 für eine weltweite Zusammenstellung von Netzwerken und Gateways steht, welche die TCP/IP-Protokollfamilie (Transmission Control Protocol/Internet Protocol) nutzen, um untereinander Daten auszutauschen. Der Kern des Internet ist ein Hauptnetzwerk von Hochgeschwindigkeits-Datenübertragungsleitungen zwischen wichtigen Knoten oder Host-Computern, das aus Tausenden von Computersystemen gewerblicher Unternehmen, Behörden, Bildungseinrichtungen und anderen Computersystemen besteht, die Daten und Nachrichten weiterleiten. Selbstverständlich kann das verteilte Datenverarbeitungssystem100 auch so realisiert sein, dass es eine Anzahl verschiedener Arten von Netzwerken enthält, wie z. B. ein Intranet, ein Nahbereichsnetz (Local Area Network, LAN), ein Weitverkehrsnetz (Wide Area Network, WAN) oder dergleichen. Wie oben erwähnt, ist1 als Beispiel und nicht als architektonische Beschränkung verschiedener Ausführungsformen des offenbarten Erfindungsgegenstands gedacht, so dass die einzelnen Elemente aus1 mit Blick auf die Umgebungen, in denen die veranschaulichenden Ausführungsformen der vorliegenden Erfindung realisiert sein können, nicht als einschränkend zu verstehen sind. - Mit Blick auf
2 wird ein Blockschaubild eines Datenverarbeitungssystems gezeigt, indem veranschaulichende Ausführungsformen realisiert sein können. Ein Datenverarbeitungssystem200 ist beispielsweise ein Computer, z. B. der Server104 oder der Client110 aus1 , in dem sich computernutzbarer Programmcode oder Befehle befinden können, womit die Prozesse für veranschaulichende Ausführungsformen realisiert werden. In diesem veranschaulichenden Beispiel beinhaltet das Datenverarbeitungssystem200 eine Datenübertragungsstruktur202 , welche die Datenübertragung zwischen einer Prozessoreinheit204 , einem Arbeitsspeicher206 , einem permanenten Speicher208 , einer Datenübertragungseinheit210 , einer Ein-/Ausgabe-Schnittstelle (E/A-Schnittstelle)212 und einer Anzeige214 bereitstellt. - Die Prozessoreinheit
204 dient zum Ausführen von Befehlen für Software, die in den Arbeitsspeicher206 geladen werden kann. Die Prozessoreinheit204 kann ein Satz aus einem oder mehreren Prozessoren oder ein Mehrprozessorkern sein, wobei dies abhängig von der jeweiligen Realisierung ist. Des Weiteren kann die Prozessoreinheit204 unter Verwendung eines oder mehrerer heterogener Prozessorsysteme realisiert sein, bei denen auf einem einzigen Chip ein Hauptprozessor mit sekundären Prozessoren vorhanden ist. In einem weiteren veranschaulichenden Beispiel kann die Prozessoreinheit204 ein symmetrisches Mehrprozessorsystem (Symmetric Multi-Processor, SMP) sein, das mehrere Prozessoren desselben Typs beinhaltet. - Der Arbeitsspeicher
206 und der permanente Speicher208 sind Beispiele für Speichereinheiten. Eine Speichereinheit ist eine beliebige Hardware-Einheit, die in der Lage ist, Daten vorübergehend und/oder dauerhaft zu speichern. Der Arbeitsspeicher206 kann in diesen Beispielen ein Direktzugriffsspeicher oder eine beliebige anderweitige geeignete, flüchtige oder nichtflüchtige Speichereinheit sein. Der permanente Speicher208 kann je nach Realisierung verschiedene Formen annehmen. So kann der permanente Speicher208 z. B. eine oder mehrere Komponenten oder Einheiten beinhalten. Der permanente Speicher208 kann beispielsweise eine Festplatte, ein Flash-Speicher, eine wiederbeschreibbare optische Platte, ein wiederbeschreibbares Magnetband oder eine beliebige Kombination der obigen Komponenten sein. Die von dem permanenten Speicher208 verwendeten Medien können auch entfernbar sein. So kann z. B. eine entfernbare Festplatte als permanenter Speicher208 verwendet werden. - Die Datenübertragungseinheit
210 stellt in diesen Beispielen die Datenübertragung mit anderen Datenverarbeitungssystemen oder -einheiten bereit. In diesen Beispielen ist die Datenübertragungseinheit210 eine Netzschnittstellenkarte. Die Datenübertragungseinheit210 kann die Datenübertragung entweder über physische oder drahtlose Datenübertragungsverbindungen oder aber über beides bereitstellen. - Die Ein-/Ausgabe-Einheit
212 ermöglicht die Ein- und Ausgabe von Daten mit Blick auf andere Einheiten, die mit dem Datenverarbeitungssystem200 verbunden sein können. So kann die Ein-/Ausgabe-Einheit212 z. B. eine Verbindung für eine Benutzereingabe über eine Tastatur und Maus bereitstellen. Des Weiteren kann die Ein-/Ausgabe-Einheit212 eine Ausgabe an einen Drucker senden. Die Anzeige214 stellt einen Mechanismus zum Anzeigen von Daten für einen Benutzer bereit. - Befehle für das Betriebssystem und Anwendungen oder Programme befinden sich im permanenten Speicher
208 . Diese Befehle können zur Ausführung durch die Prozessoreinheit204 in den Arbeitsspeicher206 geladen werden. Die Prozesse der verschiedenen Ausführungsformen können durch die Prozessoreinheit204 unter Verwendung computerrealisierter Befehle ausgeführt werden, die sich in einem Arbeitsspeicher wie z. B. dem Arbeitsspeicher206 befinden können. Diese Befehle werden als Programmcode, computernutzbarer Programmcode oder computerlesbarer Programmcode bezeichnet, der durch einen Prozessor in der Prozessoreinheit204 gelesen und ausgeführt werden kann. Der Programmcode in den verschiedenen Ausführungsformen kann auf verschiedenen physischen oder greifbaren computerlesbaren Medien wie z. B. im Arbeitsspeicher206 oder im permanenten Speicher208 enthalten sein. - Ein Programmcode
216 befindet sich in einer funktionalen Form auf einem computerlesbaren Medium218 , das wahlweise entfernbar ist, und kann in das Datenverarbeitungssystem200 geladen bzw. auf dieses übertragen werden, um durch die Prozessoreinheit204 ausgeführt zu werden. Der Programmcode216 und die computerlesbaren Medien218 bilden in diesen Beispielen ein Computerprogrammprodukt220 . In einem Beispiel können die computerlesbaren Medien218 in einer physischen Form vorliegen, z. B. als eine optische oder magnetische Platte, die für die Übertragung an eine Speichereinheit wie z. B. eine Festplatte, die Teil des permanenten Speichers208 ist, in ein Laufwerk oder eine andere Einheit geschoben oder gelegt wird, das/die Teil des permanenten Speichers208 ist. In einer physischen Form können die computerlesbaren Medien218 auch die Form eines permanenten Speichers annehmen, z. B. einer Festplatte, eines USB-Sticks oder eines Flash-Speichers, die/der mit einem Datenverarbeitungssystem200 verbunden ist. Die physische Form von computerlesbaren Medien218 wird auch als ein Computer-aufzeichnungsfähiges Speichermedium bezeichnet. In manchen Fällen kann ein Computer-aufzeichnungsfähiges Medium218 nicht entfernbar sein. - Alternativ kann der Programmcode
216 über eine Datenübertragungsverbindung mit der Datenübertragungseinheit210 und/oder über eine Verbindung mit der Ein-/Ausgabe-Einheit212 von dem computerlesbaren Medium218 an das Datenverarbeitungssystem200 übertragen werden. In den veranschaulichenden Beispielen können die Datenübertragungsverbindung und/oder die Verbindung in physischer Form oder drahtlos vorliegen. Das computerlesbare Medium kann auch die Gestalt eines nichtphysischen Mediums annehmen, z. B. von Datenübertragungsverbindungen oder drahtlosen Übertragungen, die den Programmcode beinhalten. Die verschiedenen für das Datenverarbeitungssystem200 veranschaulichten Komponenten sind nicht als architektonische Beschränkung der Art und Weise zu verstehen, wie verschiedene Ausführungsformen realisiert sein könnten. Die verschiedenen veranschaulichenden Ausführungsformen können in einem Datenverarbeitungssystem realisiert sein, das Komponenten zusätzlich zu den bzw. anstelle der für das Datenverarbeitungssystem200 veranschaulichten Komponenten enthält. Andere in2 gezeigte Komponenten können von den in den veranschaulichten Beispielen gezeigten Komponenten abweichen. In einem Beispiel ist eine Speichereinheit in dem Datenverarbeitungssystem200 eine beliebige Hardware-Vorrichtung, die Daten speichern kann. Der Arbeitsspeicher206 , der permanente Speicher208 und das computerlesbare Medium218 sind Beispiele von Speichereinheiten, die in einer physischen Form vorliegen. - In einem weiteren Beispiel kann ein Bussystem zum Realisieren der Datenübertragungsstruktur
202 verwendet werden und einen oder mehrere Busse aufweisen, wie z. B. einen Systembus oder einen Ein-/Ausgabebus. Selbstverständlich lässt sich das Bussystem mit jeder geeigneten Art von Architektur realisieren, die eine Übertragung von Daten zwischen verschiedenen Komponenten oder Einheiten vorsieht, die mit dem Bussystem verbunden sind. Zusätzlich kann eine Datenübertragungseinheit eine oder mehrere Einheiten aufweisen, die zum Senden und Empfangen von Daten verwendet werden, z. B. einen Modem oder einen Netzwerkadapter. Des Weiteren kann ein Arbeitsspeicher z. B. der Arbeitsspeicher206 oder ein Cachespeicher sein, wie er in einem Interface Controller Hub (ICH) und Memory Controller Hub (MCH) zu finden ist, der in der Datenübertragungsstruktur202 vorhanden sein kann. - Computerprogrammcode zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann in einer beliebigen Kombination von einer oder mehreren Programmiersprachen geschrieben sein, darunter eine objektorientierte Programmiersprache wie Java, Smalltalk, C++ oder ähnliche sowie herkömmliche prozedurale Programmiersprachen wie die Programmiersprache „C” oder ähnliche Programmiersprachen. Der Programmcode kann vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Softwarepaket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder aber vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. Im letztgenannten Szenario kann der entfernt angeordnete Computer über eine beliebige Art von Netzwerk, darunter ein Nahbereichsnetz (LAN) oder ein Weitverkehrsnetz (WAN), mit dem Computer des Benutzers verbunden sein, oder die Verbindung kann mit einem externen Computer (z. B. über das Internet unter Verwendung eines Internet-Dienstanbieters) hergestellt werden.
- Der Fachmann weiß, dass die Hardware aus den
1 und2 je nach Realisierung variieren kann. Zusätzlich oder anstelle der in den1 und2 abgebildeten Hardware können auch andere interne Hardware- oder Peripherie-Einheiten wie z. B. ein Flash-Speicher, ein gleichwertiger nicht flüchtiger Speicher oder optische Plattenlaufwerke und dergleichen verwendet werden. Darüber hinaus können die Prozesse der veranschaulichenden Ausführungsformen auf ein Mehrprozessor-Datenverarbeitungssystem, das nicht mit dem zuvor erwähnten SMP-System gleichzusetzen ist, angewendet werden, ohne vom gedanklichen Wesensgehalt und inhaltlichen Umfang des offenbarten Erfindungsgegenstands abzuweichen. - Bei dem standardmäßigen Client-Server-Paradigma, wie es in
1 veranschaulicht ist, tauschen Client-Maschinen Daten mit einem über das Internet zugänglichen Portal auf der Grundlage des Webs aus, das einen Satz von einer oder mehreren Maschinen ausführt. Insbesondere verwenden die Endbenutzer mit dem Internet verbindbare Einheiten (z. B. Desktop-Computer, Notebook-Computer, Internet-fähige mobile Einheiten oder dergleichen), die in der Lage sind, auf das Portal zuzugreifen und damit zu interagieren. Üblicherweise ist jede Client- oder Server-Maschine ein Datenverarbeitungssystem wie das in2 veranschaulichte, das Hardware und Software aufweist, wobei diese Einheiten über ein Netzwerk wie z. B. das Internet, ein Intranet, ein Extranet, ein privates Netzwerk oder ein(e) beliebige(s) andere(s) Datenübertragungsmedium oder -verbindung untereinander Daten austauschen. Ein Datenverarbeitungssystem enthält üblicherweise einen oder mehrere Prozessoren, ein Betriebssystem, eine oder mehrere Anwendungen und ein oder mehrere Dienstprogramme. Die Anwendungen auf dem Datenverarbeitungssystem stellen eine systemeigene Unterstützung für Web-Dienste bereit, einschließlich, ohne darauf beschränkt zu sein, der Unterstützung für HTTP, SOAP, XML, WSDL, UDDI und WSFL. Informationen zu SOAP, WSDL, UDDI und WSFL sind vom World Wide Web Consortium (W3C) erhältlich, das für die Entwicklung und Pflege dieser Standards zuständig ist; weitere Informationen zu HTTP und XML sind von der Internet Engineering Task Force (IETF) erhältlich. Die Vertrautheit mit diesen Standards wird vorausgesetzt. - Der Begriff „Zusicherung” („Assertion”), wie er hier als zusätzliche Hintergrundinformation verwendet wird, stellt einen indirekten Nachweis für eine bestimmte Aktion bereit. Zusicherungen können indirekte Nachweise für Identität, Identitätsprüfung, Attribute, Berechtigungsprüfungsentscheidungen oder andere Daten und/oder Operationen bereitstellen. Eine Identitätsprüfungszusicherung stellt einen indirekten Identitätsprüfungsnachweis durch eine Einheit bereit, die nicht der Identitätsprüfungsdienst ist, jedoch den Identitätsprüfungsdienst überwacht hat. Nach dem Stand der Technik ist eine SAML-Zusicherung (Security Assertion Markup Language) ein Beispiel für ein mögliches Zusicherungsformat, das mit der vorliegenden Erfindung verwendet werden kann. SAML wurde von der Organization for the Advancement of Structured Information Standards (OASIS) veröffentlicht, einem nicht gewinnorientierten, weltweiten Konsortium. In „Assertions and Protocol for the OASIS Security Assertion Markup Language (SAML)”, Committee Specification 01, 31. Mai 2002, wird SAML wie folgt beschrieben:
Security Assertion Markup Language (SAML) ist ein Schema auf der Grundlage von XML für das Austauschen von Sicherheitsdaten. Diese Sicherheitsdaten werden in Form von Zusicherungen zu Subjekten ausgedrückt, wobei ein Subjekt eine (menschliche oder Computer-)Einheit ist, die über eine Identität in einer Sicherheitsdomäne verfügt. Ein typisches Beispiel für ein Subjekt ist eine Person, die durch ihre eMail-Adresse in einer bestimmten Internet-DNS-Domäne kenntlich gemacht ist. Zusicherungen können Informationen zu Identitätsprüfungsaktionen, die von Subjekten durchgeführt werden, zu Attributen von Subjekten und zu Berechtigungsprüfungsentscheidungen dazu bereitstellen, ob Subjekten der Zugriff auf bestimmte Ressourcen erlaubt wird. Zusicherungen werden als XML-Konstrukte dargestellt und weisen eine verschachtelte Struktur auf, wobei eine einzelne Zusicherung mehrere unterschiedliche interne Aussagen über Identitätsprüfung, Berechtigungsprüfung und Attribute enthalten kann. Dabei ist zu beachten, dass Zusicherungen, die Identitätsprüfungsaussagen enthalten, lediglich zuvor erfolgte Identitätsprüfungsaktionen beschreiben. Zusicherungen werden von SAML-Instanzen (SAML Authorities) ausgegeben, d. h. von Identitätsprüfungsinstanzen, Attributinstanzen und Richtlinienentscheidungspunkten. SAML definiert ein Protokoll, mit dem Clients Zusicherungen von SAML-Instanzen anfordern und eine Antwort von ihnen erhalten können. Dieses aus Anfrage- und Antwortnachrichtenformaten auf der Grundlage von XML bestehende Protokoll kann an viele verschiedene darunterliegende Datenübertragungs- und Transportprotokolle gebunden sein; derzeit definiert SAML eine einzige Bindung (an SOAP über HTTP). Beim Erzeugen ihrer Antworten können SAML-Instanzen verschiedene Informationsquellen nutzen, z. B. externe Richtlinienspeicher und Zusicherungen, die als Eingaben bei Anfragen empfangen wurden. Während Clients Zusicherungen stets verbrauchen, können SAML-Instanzen somit sowohl Erzeuger als auch Verbraucher von Zusicherungen sein. - Die SAML-Spezifikation legt fest, dass eine Zusicherung ein Paket von Daten ist, das eine oder mehrere Aussagen zur Verfügung stellt, die von einer Ausgabestelle getätigt wurden. Dabei können Ausgabestellen drei verschiedene Arten von Zusicherungsaussagen tätigen: eine Identitätsprüfung, bei der die Identität des angegebenen Subjekts durch ein bestimmtes Mittel zu einer bestimmten Zeit geprüft wurde; eine Berechtigungsprüfung, bei der eine Anfrage, dem angegebenen Subjekt den Zugriff auf die angegebene Ressourcen zu erlauben, genehmigt oder abgewiesen wurde; und ein Attribut, bei dem das angegebene Subjekt den bereitgestellten Attributen zugehörig ist.
- Die Identitätsprüfung ist der Prozess des Bestätigens eines Satzes von Identitätsnachweisen, die von einem Benutzer oder für einen Benutzer bereitgestellt werden. Eine Identitätsprüfung erfolgt, indem etwas überprüft wird, was ein Benutzer weiß, was er hat oder was er ist, d. h. ein physisches Merkmal des Benutzers. Etwas, das ein Benutzer weiß, kann ein gemeinsames Geheimnis wie z. B. das Kennwort eines Benutzers beinhalten, oder es wird etwas überprüft, was nur ein bestimmter Benutzer weiß, z. B. der Verschlüsselungsschlüssel eines Benutzers. Etwas, das ein Benutzer hat, kann eine Smartcard oder ein Hardware-Token beinhalten. Ein bestimmtes physisches Merkmal des Benutzers kann eine biometrische Eingabe beinhalten wie beispielsweise einen Fingerabdruck oder eine Netzhautanalyse. Dabei ist zu beachten, dass ein Benutzer zwar üblicherweise, aber nicht notwendigerweise, eine natürliche Person ist; ein Benutzer könnte auch eine Maschine, eine Datenverarbeitungseinheit oder eine andere Art von Datenverarbeitungssystem sein, die eine Datenverarbeitungsressource nutzt. Zu beachten ist auch, dass ein Benutzer üblicher- aber nicht notwendigerweise einen eindeutigen Bezeichner besitzt; bei manchen Szenarien können mehrere eindeutige Bezeichner einem einzigen Benutzer zugehörig sein.
- Ein Identitätsprüfungsnachweis ist ein Satz von Abfrage-/Antwortdaten, der bei verschiedenen Identitätsprüfungsprotokollen verwendet wird. So ist z. B. eine Kombination aus Benutzername und Kennwort die gängigste Form von Identitätsprüfungsnachweis. Andere Formen von Identitätsprüfungsnachweisen können verschiedene Formen von Abfrage-/Antwortdaten, PKI-Zertifikaten (Public Key Infrastructure), Smartcards, biometrischen Daten usw. beinhalten. Ein Identitätsprüfungsnachweis ist von einer Identitätsprüfungszusicherung zu unterscheiden: Ein Identitätsprüfungsnachweis wird von einem Benutzer als Bestandteil einer Identitätsprüfungs-Protokollsequenz für einen Identitätsprüfungs-Server oder -dienst vorgelegt, während eine Identitätsprüfungszusicherung eine Aussage über die erfolgreiche Vorlage und Bestätigung des Identitätsprüfungsnachweises eines Benutzers ist, die anschließend bei Bedarf zwischen Einheiten übertragen wird.
- Federated SSO
- Single Sign-On (SSO, Einmalanmeldung) ist ein Zugriffskontrollmechanismus, der es einem Benutzer ermöglicht, einmalig seine Identität nachzuweisen (indem er z. B. einen Benutzernamen und ein Kennwort bereitstellt) und dann Zugriff auf Software-Ressourcen zu erhalten, die auf mehrere Systeme verteilt sind. Üblicherweise gestattet ein SSO-System den Benutzerzugriff auf Ressourcen innerhalb eines Unternehmens oder einer Organisation. Federated Single Sign-on (F-SSO, föderierte Einmalanmeldung) erweitert das Konzept des Single Sign-On auf mehrere Unternehmen und stellt dadurch Partnerschaften zwischen verschiedenen Organisationen und Unternehmen her. F-SSO-Systeme beinhalten üblicherweise Protokolle wie z. B. SAML, mit denen ein Unternehmen (z. B. ein Identitätsanbieter) einem anderen Unternehmen (z. B. einem Dienstanbieter) die Identität und andere Attribute eines Benutzers bereitstellen kann. Anders ausgedrückt: Ein F-SSO-System hilft bei der vertrauenswürdigen Übertragung des Identitätsprüfungsnachweises des Benutzers vom Identitätsanbieter zum Dienstanbieter unter Verwendung eines geeigneten Protokolls (üblicherweise HTTP).
3 ist ein Blockschaubild, das den typischen Ablauf von Operationen in einem bekannten F-SSO-Prozess veranschaulicht. Wie in3 gezeigt beinhaltet der F-SSO-Prozess300 den Datenaustausch zwischen einem Identitätsanbieter302 , einer Benutzeranwendung304 und einem Dienstanbieter306 . Der Identitätsanbieter302 und der Dienstanbieter306 beinhalten ein F-SSO-System308 , das Logik beinhaltet, um die Identität eines Benutzers zu überprüfen, den Identitätsprüfungsnachweis des Benutzers zu erstellen und ein verschlüsseltes Sicherheits-Token (z. B. ein Cookie) mit Benutzerdaten zu erzeugen. Zusätzlich kann der Dienstanbieter306 auch eine oder mehrere Zielanwendungen310 und312 beinhalten. Die Zielanwendungen können innerhalb derselben Web-Umgebung angesiedelt oder Bestandteil unterschiedlicher Web-Umgebungen314 und316 (z. B. Apache, WebSphere® usw.) innerhalb desselben Dienstanbieters306 sein. Die Benutzeranwendung304 kann Logik (z. B. einen Web-Browser) enthalten, um dem Benutzer Inhalte (z. B. Web-Seiten) darzustellen. - Bei einer Ausführungsform erbringt die Benutzeranwendung zunächst einen Identitätsnachweis gegenüber dem Identitätsanbieter
302 (indem sie z. B. einen Benutzernamen und ein Kennwort bereitstellt), wie in Schritt 1 angegeben. In Schritt 2 gibt das F-SSO-System308 des Identitätsanbieters dem Benutzer ein Sicherheits-Token zurück. Das Sicherheits-Token kann zeitgebunden (z. B. eine Zeitmarke enthalten) und kryptografisch unterzeichnet sein. Das Sicherheits-Token kann die Identität (z. B. den Benutzernamen) und andere Attribute (z. B. die Benutzeridentifizierungsnummer) des Benutzers beinhalten, die der Identitätsanbieter302 dem Dienstanbieter306 bereitstellen möchte. Die Benutzeranwendung304 kann das Sicherheits-Token dem F-SSO-System des Dienstanbieters vorlegen und dabei jede geeignete Methode (z. B. eine HTTP-Anforderung) und Nachrichtenstruktur (z. B. unter Verwendung von HTTP-Abfragezeichenfolgen, HTTP POST-Daten usw.) verwenden, die durch das F-SSO-Protokoll definiert sind (siehe auch Schritt 3). In Schritt 4 prüft das F-SSO-System308 des Dienstanbieters die kryptografische Signatur des Sicherheits-Tokens, um die Identitätsprüfung des Token-Ursprungs nachzuweisen und zu bestätigen, dass der Inhalt des Sicherheits-Tokens vertrauenswürdig ist. Das F-SSO-System des Dienstanbieters kann zudem die Identität und die zugehörigen Attribute des Benutzers aus dem Sicherheits-Token entnehmen und ein F-SSO-Attribut-Cookie mit der Identität und den Attributen des Benutzers erzeugen. - Wenn der Benutzer nach erfolgter Einmalanmeldung (d. h. nach dem Übertragen von Benutzerattributen vom F-SSO-System des Identitätsanbieters an das F-SSO-System des Dienstanbieters) auf eine vom Dienstanbieter
306 bereitgestellte Zielanwendung (z. B.310 ) zugreifen möchte, kann die Benutzeranwendung304 ein F-SSO-Attribut-Cookie, das vom SSO-System308 des Dienstanbieters empfangen wurde, an die Zielanwendung weiterleiten (siehe auch Schritt 5). Alternativ dazu können Attribute in einem Proxy gespeichert und weitergeleitet werden, wenn eine Benutzeranforderung den Proxy passiert, so dass keine Cookies erforderlich sind. In dieser Beispielausführungsform erfolgt die Übertragung von Benutzerattributen (z. B. in einem F-SSO-Cookie) auf vertrauenswürdige und sichere Art und Weise und kann auf der Grundlage der für F-SSO festgelegten Protokolle (üblicherweise HTTP) durchgeführt werden. Wenn die in einem F-SSO-Attribut-Cookie enthaltenen Daten von der Zielanwendung akzeptiert und verstanden werden (z. B. wenn die Zielanwendung den Cookie-Inhalt entschlüsseln und abrufen kann), bestätigt die Zielanwendung (z. B.310 ) ihre Gültigkeit und erzeugt eine Sitzung für den Benutzer. Bei manchen Ausführungsformen verstehen die Zielanwendungen (z. B.310 ) das F-SSO-Attribut-Cookie oder können ein Bestandteil des F-SSO-Prozesses sein (d. h. die Zielanwendung beinhaltet unter Umständen kein F-SSO-System). - Das Cloud-Datenverarbeitungsmodell
- Als zusätzliche Hintergrundinformation ist die Cloud-Datenverarbeitung ein Modell einer Dienstbereitstellung, um einen komfortablen, bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen (z. B. Netzwerke, Netzwerkbandbreite, Server, Verarbeitung, Arbeitsspeicher, Speicher, Anwendungen, virtuelle Maschinen und Dienste) zu ermöglichen, die mit möglichst geringem Verwaltungsaufwand und möglichst wenig Interaktion mit einem Anbieter des Dienstes schnell bereitgestellt und freigegeben werden können. Dieses Cloud-Modell kann mindestens fünf Merkmale, mindestens drei Dienstmodelle und mindestens vier Bereitstellungsmodelle beinhalten, wie sie sämtlich in „Draft NIST Working Definition of Cloud Computing” von Peter Mell und Tim Grance vom 07. Oktober 2009 ausführlicher beschrieben werden.
- Typische Merkmale sind insbesondere:
Bedarfsgesteuerte Selbstbedienung: Ein Cloud-Verbraucher kann einseitig und automatisch nach Bedarf Datenverarbeitungskapazitäten wie z. B. Server-Zeit und Netzwerkspeicher bereitstellen, ohne dass hierfür eine menschliche Interaktion mit dem Anbieter des Dienstes notwendig ist. - Breiter Netzwerkzugriff: Kapazitäten werden über ein Netzwerk zur Verfügung gestellt, wobei der Zugriff über Standardmechanismen erfolgt, die eine Verwendung durch verschiedenartige Thin- oder Thick-Client-Plattformen ermöglichen (z. B. Mobiltelefone, Laptops und PDAs). Ressourcenbündelung: Die Datenverarbeitungsressourcen des Anbieters sind gebündelt, um unter Verwendung eines Multi-Tenant-Modells mehreren Verbrauchern bereitzustehen, wobei verschiedene physische und virtuelle Ressourcen dynamisch und nach Bedarf zugewiesen bzw. neu zugewiesen werden. Standortunabhängigkeit ist insofern gegeben, als der Verbraucher im Allgemeinen den genauen Standort der bereitgestellten Ressourcen weder kontrolliert noch kennt, jedoch unter Umständen in der Lage ist, auf einer höheren Abstraktionsebene (z. B. Land, Bundesland oder Rechenzentrum) einen Standort festzulegen.
- Flexible Anpassungsfähigkeit: Kapazitäten lassen sich schnell und elastisch (in einigen Fällen automatisch) bereitstellen, um eine rasche Skalierung nach oben zu ermöglichen, sowie – für eine rasche Skalierung nach unten – schnell wieder freigegeben zu werden. Für den Verbraucher scheinen die zur Bereitstellung verfügbaren Kapazitäten häufig unbegrenzt zu sein und können jederzeit in jeder beliebigen Menge erworben werden.
- Dienstmessung: Cloud-Systeme kontrollieren und optimieren die Ressourcennutzung automatisch, indem sie in einer bestimmten, der Art des Dienstes angemessenen Abstraktionsschicht eine Messfunktion nutzen (z. B. Speicherung, Verarbeitung, Bandbreite und aktive Benutzerkonten). Die Ressourcennutzung kann überwacht, kontrolliert und protokolliert werden, wodurch sowohl für den Anbieter als auch für den Verbraucher des genutzten Dienstes Transparenz bereitgestellt wird.
- Typische Dienstmodelle sind:
Software as a Service (SaaS): Die dem Verbraucher bereitgestellte Kapazität besteht darin, die in einer Cloud-Infrastruktur ausgeführten Anwendungen des Anbieters zu verwenden. Der Zugriff auf die Anwendungen kann über eine Thin-Client-Schnittstelle wie z. B. einen Web-Browser von verschiedenen Client-Einheiten aus erfolgen (z. B. eine eMail-Nachricht auf der Grundlage des Webs). Mit Ausnahme beschränkter benutzerspezifischer Einstellungen der Anwendungskonfiguration wird die darunterliegende Cloud-Infrastruktur wie Netzwerk, Server, Betriebssysteme, Speicher oder auch einzelne Anwendungsfunktionen vom Verbraucher weder verwaltet noch kontrolliert. - Platform as a Service (PaaS): Die dem Verbraucher bereitgestellte Kapazität besteht darin, dass vom Benutzer erzeugte oder erworbene Anwendungen, die anhand von vom Anbieter bereitgestellten Programmiersprachen und Werkzeugen erstellt wurden, in der Cloud-Infrastruktur bereitzustellen. Die darunterliegende Infrastruktur wie Netzwerke, Server, Betriebssysteme oder Speicher wird vom Verbraucher weder verwaltet noch kontrolliert, er hat jedoch die Kontrolle über die bereitgestellten Anwendungen und möglicherweise über Konfigurationen der Hosting-Umgebung für die Anwendungen.
- Infrastructure as a Service (IaaS): Die dem Verbraucher bereitgestellte Kapazität besteht darin, Verarbeitung, Speicher, Netzwerke und andere grundlegende Datenverarbeitungsressourcen bereitzustellen, wobei der Verbraucher in der Lage ist frei wählbare Software wie z. B. Betriebssysteme und Anwendungen bereitzustellen und auszuführen. Die darunterliegende Cloud-Infrastruktur wird vom Verbraucher weder verwaltet noch kontrolliert, er hat jedoch die Kontrolle über Systeme und Einheiten (z. B. Betriebssysteme, Speicher, bereitgestellte Anwendungen usw.) und möglicherweise eingeschränkte Kontrolle über ausgewählte Netzwerkkomponenten (z. B. Host-Firewalls).
- Typische Bereitstellungsmodelle sind:
Private Cloud: Die Cloud-Infrastruktur wird für lediglich eine Organisation betrieben. Sie kann von der Organisation selbst oder von einem Dritten verwaltet werden und sich an Ort und Stelle oder an einem anderen Ort befinden. - Gemeinschafts-Cloud: Die Cloud-Infrastruktur wird von mehreren Organisationen gemeinsam genutzt und unterstützt eine spezifische Gemeinschaft mit gemeinsamen Anliegen (z. B. Aufgabe, Sicherheitsanforderungen, Richtlinie und Einhaltung von Gesetzen und Richtlinien). Sie kann von den Organisationen selbst oder von einem Dritten verwaltet werden und sich an Ort und Stelle oder an einem anderen Ort befinden.
- Öffentliche Cloud: Die Cloud-Infrastruktur wird der allgemeinen Öffentlichkeit oder einer großen Branchengruppe bereitgestellt und ist Eigentum einer Organisation, die Cloud-Dienste verkauft.
- Hybrid-Cloud: Die Cloud-Infrastruktur ist eine Zusammensetzung aus zwei oder mehreren (privaten, Gemeinschafts- oder öffentlichen) Clouds, die eigenständige Einheiten bleiben, aber durch eine standardisierte oder herstellerspezifische Technologie miteinander verbunden sind, die eine Portierbarkeit von Daten und Anwendungen ermöglicht (z. B. das Cloud Bursting für den Lastausgleich zwischen Clouds).
- Eine Cloud-Datenverarbeitungsumgebung ist dienstorientiert, wobei der Schwerpunkt auf Zustandslosigkeit, geringer Kopplung, Modularität und semantischer Kompatibilität liegt. Im Mittelpunkt einer Cloud-Datenverarbeitung steht eine Infrastruktur, die ein Netzwerk von miteinander verbundenen Knoten aufweist. Ein repräsentativer Cloud-Datenverarbeitungsknoten ist in
2 (oben) veranschaulicht. Insbesondere gibt es in einem Cloud-Datenverarbeitungsknoten ein Computersystem/einen Server, das bzw. der mit zahlreichen anderen Universal- oder Spezialsystemumgebungen oder -konfigurationen betrieben werden kann. Beispiele bekannter Datenverarbeitungssysteme, -umgebungen und/oder -konfigurationen, die für eine Verwendung mit einem Computersystem/Server geeignet sein könnten, sind, ohne darauf beschränkt zu sein, Personal-Computersysteme, Server-Computersysteme, Thin Clients, Thick Clients, Taschen- oder Laptop-Einheiten, Mehrprozessorsysteme, Systeme auf der Grundlage von Mikroprozessoren, Set-Top-Boxen, programmierbare Unterhaltungselektronik, Netzwerk-PCs, Mini-Computersysteme, Großrechner-Computersysteme sowie verteilte Cloud-Datenverarbeitungsumgebungen, die eine(s) der obigen Systeme oder Einheiten beinhalten, und dergleichen. Das Computersystem/der Server lässt sich im allgemeinen Zusammenhang von Befehlen beschreiben, die durch ein Computersystem ausführbar sind, wie z. B. Programmmodule, die von einem Computersystem ausgeführt werden. Allgemein können Programmmodule Routinen, Programme, Objekte, Komponenten, Logik, Datenstrukturen usw. beinhalten, die bestimmte Aufgaben durchführen oder bestimmte abstrakte Datentypen realisieren. Das Computersystem/der Server kann in verteilten Cloud-Datenverarbeitungsumgebungen eingesetzt werden, wo Aufgaben von entfernt angeordneten Verarbeitungseinheiten durchgeführt werden, die über ein Datenübertragungsnetzwerk miteinander verbunden sind. In einer verteilten Cloud-Datenverarbeitungsumgebung können sich Programmmodule sowohl in lokalen als auch in entfernt angeordneten Computersystem-Speichermedien wie beispielsweise Arbeitsspeichereinheiten befinden. - Als zusätzliche Hintergrundinformation wird mit Blick auf
4 ein Satz von funktionsbezogenen Abstraktionsschichten gezeigt, der von einer Cloud-Datenverarbeitungsumgebung bereitgestellt wird. Dabei sollte von Anfang an klar sein, dass die in4 gezeigten Komponenten, Schichten und Funktionen lediglich zur Veranschaulichung gedacht und Ausführungsformen der Erfindung nicht darauf beschränkt sind. Wie abgebildet, werden die folgenden Schichten und zugehörigen Funktionen bereitgestellt:
Eine Hardware- und Software-Schicht400 enthält Hardware- und Software-Komponenten. Beispiele für Hardware-Komponenten beinhalten Großrechner wie z. B. IBM® zSeries® Systeme; Server auf der Grundlage der RISC-Architektur (Reduced Instruction Set Computer) wie z. B. IBM pSeries® Systeme; IBM xSeries® Systeme; IBM BladeCenter® Systeme; Speichereinheiten; Netzwerke und Netzwerkkomponenten. Beispiele für Software-Komponenten beinhalten Software für Netzwerk-Anwendungs-Server wie z. B. IBM WebSphere® Anwendungs-Server-Software; sowie Datenbank-Software wie z. B. IBM DB2® Datenbank-Software. (IBM, zSeries, pSeries, xSeries, BladeCenter, WebSphere und DB2 sind Handelsmarken der International Business Machines Corporation, die in vielen Ländern weltweit eingetragen sind.) - Eine Virtualisierungsschicht
402 stellt eine Abstraktionsschicht bereit, welche die folgenden Beispiele für virtuelle Einheiten zur Verfügung stellen kann: virtuelle Server; virtueller Speicher; virtuelle Netzwerke wie z. B. virtuelle private Netzwerke; virtuelle Anwendungen und Betriebssysteme; sowie virtuelle Clients. - In einem Beispiel kann eine Verwaltungsschicht
404 die im Folgenden beschriebenen Funktionen bereitstellen. Die Ressourcenbereitstellung stellt eine dynamische Beschaffung von Datenverarbeitungs- und anderen Ressourcen bereit, mit denen Aufgaben innerhalb der Cloud-Datenverarbeitungsumgebung durchgeführt werden. Messungs- und Preisermittlungsfunktionen stellen eine Kostenerfassung bei der Nutzung von Ressourcen innerhalb der Cloud-Datenverarbeitungsumgebung sowie eine Fakturierung bzw. Abrechnung für den Verbrauch dieser Ressourcen bereit. In einem Beispiel können diese Ressourcen Lizenzen für Anwendungs-Software aufweisen. Eine Sicherheitsfunktion stellt eine Identitätsprüfung für Cloud-Verbraucher und -Aufgaben sowie einen Schutz für Daten und andere Ressourcen bereit. Eine Benutzerportalfunktion stellt Verbrauchern und Systemadministratoren einen Zugriff auf die Cloud-Datenverarbeitungsumgebung bereit. Eine Dienstgüteverwaltungsfunktion stellt eine Zuordnung und Verwaltung von Cloud-Datenverarbeitungsressourcen bereit, so dass erforderliche Dienstgütestufen erreicht werden. Eine Planungs- und Ausführungsfunktion von Dienstgütevereinbarungen (Service Level Agreement, SLA) stellt eine Vorabfestlegung und Beschaffung von Cloud-Datenverarbeitungsressourcen bereit, für die gemäß einer SLA eine künftige Anforderung erwartet wird. - Eine Auslastungsschicht
406 stellt Beispiele einer Funktionalität bereit, für welche die Cloud-Datenverarbeitungsumgebung genutzt werden kann. Beispiele für Auslastungen und Funktionen, die von dieser Schicht bereitgestellt werden können, lauten: Zuordnung und Navigation; Software-Entwicklung und Lebenszyklusverwaltung; Bereitstellung von virtuellen Schulungen; Datenanalyseverarbeitung; Transaktionsverarbeitung; sowie – gemäß den Lehren dieser Offenbarung – eine Cloud-Anwendung, für die ein Rich Client einen Identitätsprüfungsnachweis erbringen möchte. - Obwohl diese Offenbarung eine ausführliche Beschreibung der Cloud-Datenverarbeitung beinhaltet, sollte vorab klar sein, dass die Realisierung der hier dargelegten Lehren nicht auf eine Cloud-Datenverarbeitungsumgebung beschränkt ist. Vielmehr können Ausführungsformen der vorliegenden Erfindung in Verbindung mit jeder anderen Art von Datenverarbeitungsumgebung nach dem derzeitigen oder künftigen Stand der Technik realisiert werden.
- Somit weist eine repräsentative Cloud-Datenverarbeitungsumgebung einen Satz von übergeordneten Funktionskomponenten auf, die eine Front-End-Identitätsverwaltungseinheit, eine Funktionskomponente für Geschäftsunterstützungsdienste (Business Support Services, BSS), eine Funktionskomponente für Betriebsunterstützungsdienste (Operational Support Services, OSS) und die Cloud-Datenverarbeitungskomponente enthalten. Die Identitätsverwaltungseinheit ist zuständig für das Bereitstellen einer Schnittstelle zu anfordernden Clients, um eine Identitätsverwaltung bereitzustellen, und kann mit einem oder mehreren bekannten Systemen wie z. B. dem Tivoli Federated Identity Manager (TFIM) System realisiert sein, das von der IBM Corporation mit Sitz in Armonk, New York, erhältlich ist. Unter geeigneten Umständen kann TFIM verwendet werden, um anderen Cloud-Komponenten F-SSO bereitzustellen. Die BSS-Komponente stellt bestimmte administrative Funktionen wie z. B. Fakturierungsunterstützung bereit. Die OSS-Komponente übernimmt das Bereitstellen und die Verwaltung der anderen Cloud-Komponenten wie z. B. Instanzen von virtuellen Maschinen (VMs). Die Cloud-Komponente steht für die primären Datenverarbeitungsressourcen, bei denen es sich üblicherweise um eine Vielzahl von VM-Instanzen handelt, die zum Ausführen der Zielanwendung
410 dienen, welche für einen Zugriff über die Cloud zugänglich gemacht wird. Eine oder mehrere Datenbanken dienen zum Speichern von Verzeichnis-, Protokoll- und anderen Arbeitsdaten. All diese Komponenten (einschließlich der Front-End-Identitätsverwaltungseinheit) befinden sich „innerhalb” der Cloud, obwohl dies nicht zwingend der Fall sein muss. Bei einer alternativen Ausführungsform kann die Identitätsverwaltungseinheit auch außerhalb der Cloud betrieben werden. - Lediglich beispielhaft handelt es sich bei einer in der Cloud bereitgestellten repräsentativen Unternehmensanwendung um eine Client-Server-Anwendung wie z. B. IBM® LotusLive, die eine über die Cloud zur Verfügung gestellte Sammlung von Technologien bereitstellt, welche Web-Konferenz-, Nachrichtenübermittlungs- und Kooperationsdienste in einer einfach zu nutzenden Umgebung auf der Grundlage des Webs verbinden. Als Komponente von IBM® LotusLive stellt LotusLive Notes® eine umfassende eMail-, Kalender- und Kontaktverwaltung sowie Instant Messaging bereit. Ein Benutzer kann auf verschiedene Arten direkt über das Internet auf den Dienst zugreifen, z. B. mit einem Web-Browser oder einer Rich-Client-Anwendung (wie z. B. dem Notes Rich Client). Bei diesem Dienst verlagert ein Unternehmen seine eMail-, Kalender- und/oder Kooperationsinfrastruktur an den Cloud-Dienst, und ein Benutzer verwendet den Notes-Client, um auf seine eMail zuzugreifen, eine Kalenderoperation durchzuführen oder eine Online-Zusammenarbeit zu ermöglichen. Bei einer repräsentativen Ausführungsform liegt der Notes Rich Client in der Version 8.5.2 oder höher vor.
- Das obige Beispiel (unter Verwendung von LotusLive) hat lediglich repräsentativen Charakter. Die im Folgenden beschriebenen Methoden sind nicht auf eine Verwendung mit einer bestimmten Unternehmensanwendung beschränkt, die innerhalb der Cloud-Umgebung bereitgestellt wird.
-
5 veranschaulicht eine repräsentative Ausführungsform der Anwendung bei ihrer Bereitstellung. Bei dieser Ausführungsform weist der Cloud-Anbieter500 einen Satz von gemeinsamen Verwaltungsplattformkomponenten auf. Diese Komponenten beinhalten eine oder mehrere Instanzen der Identitätsverwaltungseinheit502 , der Cloud-BSS-Funktion504 und der Cloud-OSS-Funktion506 , die alle weiter oben mit Blick auf4 beschrieben wurden. Die Cloud-Datenverarbeitung508 weist die VM-Instanzen auf, welche die Datenverarbeitungsinfrastruktur einschließlich des von der Anwendung verwendeten Speichers510 bereitstellen. In diesem Beispiel weist ein Satz von gemeinsamen Verwaltungsplattformkomponenten zudem ein Modul pam_Idap507 auf, das ein Mittel für Linux- oder UNIX-Server und Arbeitsplatzrechner bereitstellt, um ihre Identität gegenüber LDAP-Verzeichnissen nachzuweisen, ein Verzeichnisintegrationsmodul (TDI)509 , das Identitätsdaten, die in verschiedenen Verzeichnissen, Datenbanken, Dateien, Kooperationssystemen und Anwendungen vorliegen, umwandelt und synchronisiert, einen LDAP-Verzeichnisdienst512 und einen (nicht abgebildeten) Sicherheits-Token-Dienst. Der Sicherheits-Token-Dienst verwendet sichere Nachrichtenübermittlungsmechanismen von Web Services Trust (WS-Trust), um zusätzliche Erweiterungen für die Ausgabe, den Austausch und die Bestätigung von Sicherheits-Token zu definieren. WS-Trust ist ein OASIS-Standard, der die Kompatibilität von Sicherheits-Token ermöglicht, indem er ein Anfrage-Antwort-Protokoll definiert. Mit dem WS-Trust-Protokoll kann ein Web-Dienst-Client eine vertrauenswürdige Stelle um den Austausch eines bestimmten Sicherheits-Tokens bitten. Hierfür bildet ein WS-Trust-Client511 einen Bestandteil der gemeinsamen Verwaltung und stellt, wie abgebildet, (über einen kundenseitigen WS-Trust-Client) eine Schnittstelle zu einem Kunden-LDAP514 bereit. Die externen Daten des Kunden werden in einer Datenbank520 unterstützt. Die gemeinsame Verwaltungsplattform beinhaltet auch ein Datenarchiv505 , eine Protokolldatenbank517 und ein gemeinsam genutztes LDAP515 . Der Client-Zugriff wird über einen Web-Browser501 oder einen Rich Client bereitgestellt, d. h. eine Maschine, die einen Direktzugriffs-Client wie z. B. CIFS unterstützt. Wie gezeigt, stellt die Identitätsverwaltungskomponente502 in der Regel über HTTPS eine Schnittstelle zu der Cloud-Datenverarbeitungsinfrastruktur bereit, während der Rich Client über CIFS eine Schnittstelle zu dem Speicher510 bereitstellt. - Für Benutzer mit einem vom Cloud-Anbieter
500 verwalteten Benutzernamen und Kennwort kann die F-SSO-SAML-Zusicherung den Benutzernamen und das Kennwort oder lediglich einen Benutzernamen beinhalten; in beiden Fällen stellt der Cloud-Anbieter dem Benutzer eine einfache Interaktion bereit, um ein Cloud-seitiges Kennwort für den Zugriff auf Cloud-Dienste festzulegen. Danach verfügt der Benutzer über ein Konto, das im Cloud-LDAP512 angelegt wurde und als ein Benutzer mit „lokaler Identitätsprüfung” gekennzeichnet ist, wobei auch das Kennwort des Benutzers durch das LDAP verwaltet wird. Wenn der Benutzer versucht, auf den Speicher510 zuzugreifen, fängt das Modul pam_Idap507 den Benutzernamen und das Kennwort ab und versucht, sie zu bestätigen. Hierbei ist ein Proxy (wie z. B. das TDI509 ) der Empfänger dieser Bestätigungsanforderung für den Benutzernamen und das Kennwort. Der Proxy stellt zunächst fest, ob es sich um einen lokalen Benutzer handelt (dessen Identität somit lokal geprüft wird); wenn dies der Fall ist, versucht der Proxy, eine Bestätigung des Benutzernamens und Kennworts durch das lokale LDAP512 zu erhalten. Wenn es sich nicht um einen „lokalen” Benutzer handelt, erzeugt der Proxy dagegen eine WS-Trust-Anforderung und fordert unter Verwendung des WS-Trust-Clients511 vom Identitätsanbieter des Benutzers (Kunden-LDAP514 ) die Bestätigung des Benutzerkennworts an. Bei dieser Herangehensweise muss der Cloud-Anbieter nicht notwendigerweise das Kennwort eines Benutzers verwalten, kann dies jedoch für diejenigen Kunden übernehmen, die keine vollständige Proxy-Lösung implementieren möchten. Die Verwendung von WS-Trust im obigen Beispiel hat lediglich repräsentativen Charakter. - Plug-In-Modell zur Identitäts- und Berechtigungsprüfung
- Vor dem Hintergrund der obigen Informationen wird nun der Erfindungsgegenstand beschrieben. Auch wenn die Cloud-Datenverarbeitung viele Vorteile bietet, haben Cloud-Kunden, die ihre Unternehmensanwendungen innerhalb einer Cloud-Umgebung bereitstellen möchten, – wie oben erwähnt – erhebliche Bedenken bezüglich der Datensicherheit. Wie die Bereitstellung aus
5 veranschaulicht, werden die externen Daten520 des Kunden gegenüber dem Anbieter des Cloud-Datenverarbeitungsdienstes zwangsläufig offengelegt. Unversehrtheit, Vertraulichkeit und Schutz der Geschäftsdaten können daher nicht hundertprozentig sichergestellt werden. - Der hier dargelegte Erfindungsgegenstand befasst sich mit diesem Problem und löst es.
- Wie im Folgenden erläutert und in
6 gezeigt, kann der beschriebene Erfindungsgegenstand mehrere Einheiten umfassen. Eine erste Einheit600 ist der Cloud-Dienstanbieter, der den Cloud-Dienst, welcher mitunter auch als die Cloud-Datenverarbeitungsumgebung bezeichnet wird, herstellt und aufrechterhält. Im Allgemeinen weist diese Umgebung einen gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen auf, wie sie z. B. in4 veranschaulicht sind. Eine zweite Einheit ist der Cloud-Kunde602 , bei dem es sich üblicherweise um ein Unternehmen handelt, das einen Teilsatz der konfigurierbaren Ressourcen vermietet, um die Ausführung einer Kundenanwendung, die ganz oder teilweise von dem Cloud-Dienst bereitgestellt wird, in der Cloud zu ermöglichen. Der Cloud-Kunde wird mitunter auch als „Nutzer” oder „Klient” des von dem Cloud-Anbieter bereitgestellten Cloud-Dienstes bezeichnet. Die zweite Einheit in dem in5 bereitgestellten Beispiel ist ein Unternehmen (z. B. eine Geschäftseinheit), das seine Anwendung (in diesem Beispiel Lotuslive) oder Teile davon in der Cloud ausführen lassen möchte. Eine dritte Einheit604 ist ein Notardienst, bei dem es sich um eine Einheit handelt, die von der Cloud-Diensteinheit600 und den Cloud-Kunden (wie z. B. dem Kunden602 ) getrennt und unabhängig ist. Der Notar kann eine Regierungsstelle sein, die geschaffen wurde, um eine notarielle Funktion bereitzustellen, oder es kann sich um eine öffentliche oder private Einheit handeln. Der Cloud-Dienstanbieter und/oder ein Cloud-Kunde können mit dem Notar zusammenarbeiten, wobei die Kontrolle über den Notar jedoch vorzugsweise außerhalb der anderen Einheiten des Systems angesiedelt ist. Durch diese Trennung der Kontrolle kann der Notar unabhängig vom Cloud-Dienstanbieter600 einerseits und den Cloud-Kunden602 andererseits agieren. Die grundlegende Aufgabe des Notardienstes besteht darin, die Umsetzung der Ressourcengruppe(n), die dem Kunden602 durch den Dienstanbieter600 zugeordnet wurden, zu verwalten und insbesondere sicherzustellen, dass diese Ressourcengruppe(n) mit Ausnahme von bestimmten, vom Notar umgesetzten Bedingungen nicht für andere Einheiten (oder für den gemeinsam genutzten Pool im Allgemeinen) freigegeben werden können. - Wie oben beschrieben, fungiert der Notardienst
604 als Zertifizierungsstelle (oder, allgemeiner gesprochen, als maßgebender Dritter), die – vorzugsweise auf automatisierte Art und Weise – eine Vereinbarung zwischen dem Kunden602 , dem Cloud-Anbieter600 und dem Notar testieren kann. Neben anderen Vorkehrungen regelt die Vereinbarung, dass die dem Cloud-Kunden602 zugewiesene(n) Ressourcengruppe(n) (d. h. die Cloud-Ressourcen) nur unter bestimmten Bedingungen zur Verwendung durch einen anderen Kunden freigegeben werden dürfen. Eine solche Bedingung ist z. B. dann gegeben, wenn sowohl der Cloud-Umgebungsadministrator (eine Person oder ein automatisierter Prozess, der dem Cloud-Dienstanbieter600 zugehörig ist) als auch der Cloud-Kundenadministrator sich anmelden, um die Freigabe derartiger Cloud-Ressourcen zu genehmigen, wobei dies weiter daran geknüpft ist, dass die Inhalte (z. B. die Geschäftsdaten des Kunden) vor einer derartigen Freigabe gelöscht werden. Ein weiteres Beispiel für eine solche Bedingung ist der Empfang einer Anmeldung eines zulässigen notariellen Benutzers (einer Person oder eines automatisierten Prozesses, die/der dem Notar604 zugehörig ist) und des Cloud-Umgebungsadministrators, was z. B. der Fall sein kann, wenn der Kunde einer Verpflichtung, die sich aus der Cloud-Dienstvereinbarung ergibt, nicht nachkommt. Auch bei diesem letztgenannten Szenario ist die Freigabe der Ressourcengruppe jedoch an die Löschung der Daten des (nun ehemaligen) Kunden geknüpft. - Die Herangehensweise unter Einbindung des Notardienstes stellt sicher, dass der Cloud-Umgebungsadministrator nicht einseitig dem Kunden zugeordnete Ressourcen zurücknehmen und/oder für den Kunden sensible Daten einsehen kann, selbst wenn der Kunde die Dienstvereinbarung verletzt und als Kunde ausscheidet.
- Gemäß einem weiteren Aspekt dieser Offenbarung wird ein Plug-In-Modell zur Identitäts- und Berechtigungsprüfung innerhalb der Cloud-Datenverarbeitungsumgebung realisiert. Dies wird in
7 veranschaulicht. Dieses Plug-In-Sicherheitsmodell ersetzt oder ergänzt das derzeitige Sicherheitsparadigma, das, wie oben mit Blick auf5 dargelegt, die Anwendungsdaten des Kunden unter Umständen Sicherheitsrisiken aussetzt. Unter diesem im7 veranschaulichten Aspekt stellt der Cloud-Dienstanbieter700 dem Kunden702 (in dieser Figur als der „Klient” bezeichnet) eine Möglichkeit bereit, sein eigenes Identitäts- und/oder Berechtigungsprüfungsmodul705 einzubringen. Wie oben erwähnt, beinhaltet das System auch den Notar704 , der die Erstellung und Umsetzung von Vereinbarungen (jeweils abgebildet als eine Nutzungsüberlassung708 ) ermöglicht. Eine Nutzungsüberlassung708 ist einem isolierten Ressourcenbereich (Ressourcen-Sandbox)710 zugehörig, bei dem es sich um einen Satz von einem oder mehreren Ressourcen aus einem gemeinsam genutzten Pool handelt. Das Identitäts- und/oder Berechtigungsprüfungsmodul705 erzwingt die betreffenden Identitäts- und/oder Berechtigungsprüfungsfunktionen, die der Kunde realisiert haben möchte, auch wenn die Anwendung selbst in der Cloud bereitgestellt wird. Anders ausgedrückt: Die eigenen Identitäts- und/oder Berechtigungsprüfungsschemata des Kunden werden in der Cloud umgesetzt, ohne dass der Cloud-Dienstanbieter hieran direkt beteiligt ist. Zu diesem Zweck ermöglicht der Plug-In-Dienst703 des Cloud-Anbieters, dass das Modul705 in den Cloud-Dienst eingeklinkt wird, wobei der Zugriff des Cloud-Anbieters auf das Modul705 jedoch beschränkt ist. Insbesondere werden dem Cloud-Dienstanbieter keine Superuser-Rechte (oder andere Rechte für den Zugriff auf das Cloud-System) eingeräumt; vielmehr wird der Zugriff auf die Daten des Kunden über das Modul705 umgesetzt, und der Cloud-Umgebungsadministrator ist nicht bei dem Benutzerregister (oder einer gleichwertigen Einheit) registriert, das sich innerhalb des Moduls705 befindet oder diesem zugehörig ist. Der Cloud-Dienstanbieter ordnet dem Administrator des Cloud-Kunden eine Ressourcengruppe zu (oder eine derartige Ressourcengruppe wird bei der Registrierung des Moduls automatisch zugeordnet), wobei der Dienstanbieter jedoch nicht – aufgrund der Architektur des Plug-In-Moduls im Allgemeinen und durch das Sperren einer Benutzerregistrierung im Besonderen – daran gehindert wird, einen genehmigten Zugriff auf die Daten des Kunden zu erhalten. Somit ist der Cloud-Umgebungsadministrator nicht in der Lage, auf die dem Cloud-Kunden zugeordneten Ressourcen zuzugreifen. - Die Laufzeitsicherheitsfunktion des Cloud-Betriebssystems (Plattform) ruft bei Bedarf das Identitäts- und Berechtigungsprüfungsmodul
705 auf. Um diese Plug-In-Architektur zu unterstützen, stellt der Cloud-Dienst eine Anwendungsprogrammschnittstelle (Application Programming Interface, API)707 bereit. Die API707 realisiert ein PAM-Schema (Pluggable Authentication Modules), bei dem es sich um eine bekannte Methode zum Einbinden mehrerer untergeordneter Identitätsprüfungsschemata (z. B. das Modul705 ) in eine übergeordnete API handelt. Durch PAM können Programme, die eine Identitätsprüfung benötigen, unabhängig von einem darunterliegenden Identitätsprüfungssystem geschrieben werden. Für weitere Einzelheiten zu PAM wird auf das Dokument „Open Software Foundation Request for Comment (RFC) 86.0” vom Oktober 1995 verwiesen. Ein alternativer Ansatz besteht darin, eine in das Betriebssystem einbindbare Sicherheitsfunktion wie z. B. Module, die in den Kern des Linux-Betriebssystems ladbar sind, oder dergleichen zu verwenden. Zudem kann eine beliebige andere Plug-In-Architektur verwendet werden. -
8 ist ein Blockschaubild, das veranschaulicht, wie der Notardienst804 mit dem Cloud-Dienstanbieter800 und dem Cloud-Nutzer802 interagiert. Dabei wird der Notardienst vorzugsweise als ein automatisierter elektronischer Prozess oder ein Satz von Prozessen realisiert, der innerhalb einer Datenverarbeitungsumgebung ausgeführt wird. Er kann eine(n) oder mehrere Maschinen, Server, Anwendungen, Prozesse, Programme und Dienstprogramme aufweisen. Der Notardienst804 ist einer PKI806 zugehörig (oder hat Zugriff darauf), die bekannte Public-Key-Verschlüsselungsprotokolle und Methoden wie digitale Signaturen, Public-Key-Zertifikate, Public-Key-Verschlüsselungssysteme und dergleichen realisiert oder umsetzt. Wie in8 veranschaulicht, ermöglicht (makelt) der Notardienst804 ein sicheres, nicht bestreitbares Protokoll für eine digitale Signatur, durch das eine Vereinbarung810 abgeschlossen wird. Durch die Verwendung der bekannten PKI-Schemata kann die Vereinbarung810 weder vom Cloud-Anbieter800 noch vom Cloud-Nutzer802 bestritten werden. Der Notardienst804 verwaltet die abgeschlossene Vereinbarung in einem Datenspeicher, wobei der Notar vorzugsweise als einzige Einheit (neben dem Cloud-Anbieter800 und dem Nutzer802 ) dazu berechtigt ist, die Bedingungen der Vereinbarung durchzusetzen oder offenzulegen. Um die Vereinbarung auf diese Weise zu erstellen, zu verwalten und durchzusetzen, können verschiedene bekannte Verschlüsselungsprotokolle und -schemata verwendet werden. - Insbesondere wird bei der Bereitstellung ein Nutzer einem eindeutigen PKI-Zertifikat zugeordnet. Die PKI-Infrastruktur
806 interagiert während des Prozesses der Zertifikatbereitstellung für den Nutzer mit dem Notar804 , um eine Zuordnung zwischen dem Nutzer und dem PKI-Zertifikat des Nutzers herzustellen. Diese Zuordnung wird auf sichere Art und Weise hergestellt. Wenn für den Notar804 die Notwendigkeit entsteht, die Vereinbarung oder einen Nachweis darüber (z. B. gegenüber einem Gericht) bereitzustellen, ermöglicht das PKI-System einem Gericht (oder einer anderen berechtigten staatlichen Stelle oder Vollzugsbehörde), die Zuordnung zwischen dem Nutzer und dem PKI-Zertifikat des Nutzers zu überprüfen, um so die nicht bestreitbare Herkunft der Originalsignaturen, mit denen die Vereinbarung abgeschlossen wurde, nachzuweisen. Die PKI-Mechanismen stellen sicher, dass der Nutzer die sichere Zuordnung und insbesondere seine Signatur auf dem Dokument (bei der es sich üblicherweise um eine digitale Signatur handelt) nicht abstreiten kann. - Vor dem Hintergrund der obigen Informationen und bezugnehmend auf
9 werden im Folgenden verschiedene Nutzungsszenarien beschrieben. Diese Szenarien haben lediglich repräsentativen Charakter. - Der Cloud-Dienstanbieter verfügt über einen Cloud-Umgebungsadministrator, der Kunden, die Anwendungen in der Cloud-Umgebung bereitstellen, eine oder mehrere Ressourcengruppen zuordnet. Eine Ressourcengruppe weist einen Satz von einer oder mehreren Cloud-Datenverarbeitungsressourcen auf, wobei derartige Ressourcen von recht unterschiedlicher Art sein können. Typischerweise weisen die Ressourcen Prozessoren (CPUs), Festplattenlaufwerke (DASD) und Arbeitsspeicher auf. Wenn ein Kunde eine Anwendung bereitstellt (Schritt
900 ), ordnet der Cloud-Umgebungsadministrator der Anwendung und den Daten des Kunden eine Ressourcengruppe zu (z. B. Prozessoren, Speicher und Arbeitsspeicher). In Schritt902 registriert der Kunde sein Sicherheitsmodul zur Identitäts- und Berechtigungsprüfung bei dem Cloud-Sicherheitsdienst. Wie oben beschrieben, wird anhand dieses kundenspezifischen Sicherheitsmoduls dann kontrolliert, welche Personen oder Einheiten auf Daten zugreifen können, die der bereitgestellten Anwendung zugehörig sind. Der Cloud-Umgebungsadministrator ist jedoch nicht (als zugelassener Benutzer) bei dem Sicherheitsmodul des Kunden registriert; somit ist der Cloud-Umgebungsadministrator nicht in der Lage, auf die dem Cloud-Kunden zugewiesenen Ressourcen (obwohl er diese Ressourcen selbst zugewiesen hat) oder die zugehörigen Geschäftsdaten zuzugreifen (bzw. sie für andere oder für den allgemeinen Ressourcen-Pool der Cloud freizugeben). In Schritt904 registriert sich der Nutzer bei dem Notar, und in Schritt906 wird die sichere Vereinbarung ausgehandelt (abgeschlossen). Die Reihenfolge der obigen Schritte hat lediglich repräsentativen Charakter, und ein oder mehrere dieser Schritte können gleichzeitig oder in einer anderen Reihenfolge durchgeführt werden. Unter der Voraussetzung, dass ihre Identität und/oder Berechtigung durch das kundenspezifische Sicherheitsmodul überprüft und bestätigt wurde, wird in Schritt908 den Endbenutzern, die dem Cloud-Nutzer zugehörig sind, erlaubt, auf die Anwendung zuzugreifen und sie zu verwenden. - Ein alternatives Szenario beginnt, indem der Nutzer eine Ressourcenanforderung an den Cloud-Dienstanbieter stellt. Als Reaktion darauf bereitet der Cloud-Dienstanbieter einen Vertrag vor, der dann von dem Nutzer, dem Anbieter und dem Notar digital unterzeichnet wird. Sobald der Vertrag unterzeichnet ist, weist der Dienstanbieter dem Klienten die Ressource zu, woraufhin der Klient über die Plug-In-Dienstschnittstelle seinen Identitäts- und Berechtigungsprüfungsmechanismus einrichtet. Da der Klient die Ressourcengenehmigung lediglich für den Zugriff durch den Klienten einrichtet, können nur Endbenutzer, die ihre Identität über das Plug-In-Modul nachweisen können, auf die Ressource zugreifen. Wie erwähnt, ist dem Anbieter ein derartiger Zugriff verwehrt. Wenn zu einem späteren Zeitpunkt der Klient die Vereinbarung verletzt oder der Vertrag ausläuft, bittet der Dienstanbieter den Notar um die Genehmigung, dem Klienten die Ressource zu entziehen. Der Notar erteilt daraufhin dem Dienstanbieter die Genehmigung, die Ressource zurückzunehmen, und der Dienstanbieter löscht die Daten des Kunden und stellt die Ressource wieder in den gemeinsam genutzten Pool zurück (bzw. weist sie einem anderen Klienten zu). Bei einer Alternative zu dem Standardszenario kann der Klient selbst die Ressource aufgeben, indem er eine der Ressource zugewiesene Genehmigung (in seinem Sicherheitsmodul) entfernt. Sobald der Dienstanbieter in einem solchen Fall darüber benachrichtigt wird, dass der Klient selbst die Genehmigung zurückgenommen hat, kann er in eingeschränktem Maße zu berechtigt sein, eine Standardgenehmigung für die Ressource zuzuweisen. Diese Standardbereitstellung kann den Dienstanbieter dann in die Lage versetzen, auf seine eigene Ressource zuzugreifen, z. B. für eine Verwaltungs- oder anderweitige Unterstützungstätigkeit.
- Die Vereinbarung zwischen den beteiligten Einheiten stellt sicher, dass die Geschäftsdaten des Nutzers sicher bleiben. So regelt die zwischen dem Nutzer und dem Dienstanbieter abgeschlossene Vereinbarung neben anderen Vorkehrungen z. B., dass die dem Cloud-Kunden zugewiesene(n) Ressourcengruppe(n) (d. h. die Cloud-Ressourcen) nur unter bestimmten Bedingungen zur Verwendung durch einen anderen Kunden freigegeben werden dürfen. Eine solche Bedingung ist z. B. dann gegeben, wenn sowohl der Cloud-Umgebungsadministrator als auch der Cloud-Kundenadministrator sich anmelden, um die Freigabe zu genehmigen, wobei dies weiter daran geknüpft ist, dass die Inhalte (z. B. die Geschäftsdaten des Kunden) vor einer derartigen Freigabe gelöscht werden. Ein weiteres Beispiel für eine solche Bedingung ist der Empfang einer Anmeldung eines zulässigen notariellen Benutzers und des Cloud-Umgebungsadministrators, was z. B. der Fall sein kann, wenn der Kunde einer Verpflichtung, die sich aus der Cloud-Dienstvereinbarung ergibt, nicht nachkommt. Auch bei diesem Szenario ist die Freigabe der Ressourcengruppe jedoch an die Löschung der Daten des (nun ehemaligen) Kunden geknüpft.
- Wenn sich der Klient also dazu entschließt, die Cloud-Nutzung nicht mehr fortzusetzen, werden seine Kundendaten aus dem Anbieterspeicher des Anbieters gelöscht, bevor die Nutzungseinwilligung für den Dienst zurückgenommen oder beendet wird, wobei diese Erneuerung oder Beendigung nur mit vorheriger Genehmigung des Notars erfolgen kann. Diese Genehmigung wird vorzugsweise sicher und auf eine Art und Weise erhalten, die nicht durch eine der an der Transaktion beteiligten Parteien bestritten werden kann.
- Wenn der Cloud-Dienstanbieter von einem Dritten aufgekauft wird, kann sich der Nutzer entscheiden, ob er die Cloud-Verwendung unter dem neuen Eigentümer fortsetzen möchte, ohne sich dabei Sorgen machen zu müssen, dass seine Daten preisgegeben werden. Der neue Eigentümer hat nur dann Zugriff auf die Daten, wenn der Nutzer eine derartige Genehmigung über das ausschließlich vom Nutzer verwaltete und kontrollierte Sicherheitsmodul erteilt.
- Das Plug-In-Sicherheitsmodell und die Verwendung des unabhängigen Notardienstes stellen sicher, dass die Daten des Unternehmenskunden sicher sind. Das Plug-In-Modell gestattet dem Cloud-Datenverarbeitungskunden, die Kontrolle über seine Unternehmensdaten zu behalten, wenn er seine Unternehmensanwendung und -daten in der Cloud bereitstellt. Das Notarmodell schützt die Vertraulichkeit und das Zugriffsrecht des Kunden, wenn seine Anwendungssoftware und seine Daten in der Cloud bereitgestellt werden.
- Dabei kann die Methode in Zusammenhang mit einer öffentlichen Cloud, einer privaten Cloud oder einer (teils öffentlichen, teils privaten) Hybrid-Cloud verwendet werden.
- Das Plug-In des Klienten (d. h. das Kundensicherheitsmodul) wird auf jeder zur Umsetzung genutzten Maschine installiert. Wie aus den obigen Beispielszenarien hervorgeht, kann das Plug-In vor oder nach dem Aushandeln des Vertrags installiert werden. Wie in
7 gezeigt, kann selbstverständlich eine beliebige Anzahl von Klienten die Methode gleichzeitig verwenden, vorausgesetzt, dass die Klienten daran gehindert werden, auf die Ressource anderer Klienten zuzugreifen. Hierfür stellt der Cloud-Anbieter die Ressourcen, die einem bestimmten Klienten zugeordnet (und einer bestimmten Vereinbarung zugehörig) sind, in einen isolierten Bereich (Sandbox). - Im beschriebenen Beispiel ist das Kundensicherheitsmodul für einen bestimmten Kunden spezifisch, obwohl dies nicht notwendigerweise der Fall sein muss. Bei einem alternativen Szenario stellt der Dienstanbieter selbst ein Sicherheitsmodul zur Verfügung, das er an den Klienten „vermietet”. Unabhängig davon, ob der Klient oder der Anbieter das Sicherheitsmodul bereitstellt, ist es – wie oben beschrieben – der Client, der (durch ein korrektes Zuordnen von berechtigten Benutzern zu Ressourcen) kontrollieren sollte, welche seiner Benutzer in der Lage sind, (über das Sicherheitsmodul) auf die ausgehandelten Cloud-Ressourcen zuzugreifen.
- Bei der obigen Ausführungsform wird die Vereinbarung mittels PKI umgesetzt, wodurch eine Nichtbestreitbarkeit erzielt wird. Allerdings stellt dies keine Beschränkung dar, da auch andere Methoden verwendet werden können, um die Vereinbarung umzusetzen. So kann bei einer alternativen Ausführungsform zu diesem Zweck z. B. eine andere konkrete Einheit verwendet werden. Diese (analog zu einem ordentlichen Gericht) als „Gerichtseinheit” bezeichnete Einheit hat ihr eigenes Paar von öffentlichen/privaten Schlüsseln sowie ein digitales Zertifikat. Die Vereinbarung kann dann wie folgt abgeschlossen werden. Der Nutzer verschlüsselt den Text der Vereinbarung anhand seines geheimen Schlüssels. Der Cloud-Anbieter verschlüsselt dieselbe Vereinbarung anhand seines geheimen Schlüssels. Danach unterzeichnet die Gerichtseinheit eine Vereinigung der beiden verschlüsselten Dokumente. Um die Vereinbarung zu überprüfen, wird der umgekehrte Prozess durchgeführt. Insbesondere verwendet das Gericht seinen öffentlichen Schlüssel, um seine Signatur in dem vereinten Dokument (d. h. den beiden verschlüsselten Vereinbarungen) zu überprüfen. Danach verwendet das Gericht den öffentlichen Schlüssel des Anbieters, um den ersten Teil des vereinten Dokuments zu entschlüsseln, und den öffentlichen Schlüssel des Nutzers, um den zweiten Teil des vereinten Dokuments zu entschlüsseln. Im Anschluss daran legt die Gerichtseinheit dem Notar die beiden Dokumente vor.
- Unterstützungsdienste für die Cloud-Ressourcen können durch den Dienstanbieter oder den Kunden bereitgestellt werden. So kann z. B. während des Zeitraums der Nutzungsüberlassung und wenn der Nutzer die vollständige Kontrolle über die Maschine hat, der Klient etwaige notwendige Wartungsarbeiten (z. B. Software-Korrekturen) durchführen, wobei dies eventuell unter Anleitung durch den Anbieter stattfindet. Wenn der Klient die Maschine oder die darin enthaltenen Ressourcen aufgibt (indem er sein Sicherheitsmodul entfernt oder die Zugriffsrichtlinie ändert), kann der Anbieter mit herkömmlichen Sicherungs-/Wiederherstellungsfunktionen eine Ressource in einem bekannten funktionierenden Zustand wiederherstellen. Falls gewünscht, kann der Klient auch sein eigenes virtuelles Betriebssystemabbild installieren und verwalten; alternativ dazu, kann der Anbieter dem Klienten ein zeitlich begrenztes Betriebssystemabbild bereitstellen, das der Klient während der Dauer der Nutzungsüberlassung aktualisieren kann.
- Wenn die Nutzungsüberlassung endet (z. B. durch Ablauf der Dauer oder bei einem Verstoß des Klienten), nimmt der Anbieter die Ressourcen zurück, indem er das Sicherheits-Plug-In des Kunden entfernt (oder verhindert, dass der Kunde ein beliebiges allgemeines Modul nutzt, das möglicherweise in Verwendung ist). Als Folge hiervon und da der Anbieter im Besitz der Ressource ist, wird ein standardmäßiger Sicherheitsmechanismus bzw. werden standardmäßige Sicherheitsmechanismen aktiviert, wodurch der Anbieter den vollen Zugriff zurückerhält. Während der Dauer der Vereinbarung verhindert das Sicherheits-Plug-In, dass der Anbieter auf eine beliebige, der Vereinbarung unterliegende Ressource zugreift. Obwohl dies nicht erforderlich ist, wird dem Notar und/oder dem Klienten vorzugsweise eine Benachrichtigung bereitgestellt, falls der Anbieter versucht, vereinbarungswidrig auf die Ressourcen zuzugreifen (oder eine andere unangemessene Handlung in diesem Zusammenhang vorzunehmen). Vielmehr muss der Anbieter zunächst eine entsprechende Genehmigung von dem Notar einholen. Sobald eine solche Genehmigung erhalten wurde, kann der Anbieter den Zugriff des Klienten wie beschrieben aufheben.
- Um die Rückgabe der Datenverarbeitungsressourcen zu ermöglichen, kann der Notar über einen „Schlüssel” (oder einen ähnlichen Mechanismus) verfügen, der das Plug-In bei Bedarf deinstalliert. Insbesondere stellt der Notar bei einem Verstoß durch den Klienten dem Dienstanbieter den Schlüssel (oder ein Zertifikat) bereit, um ihm zu ermöglichen, die Ressourcen in den gemeinsam genutzten Pool zurückzustellen. Allerdings ist die Verwendung eines derartigen Schlüssels nicht immer notwendig. Wenn der Klient z. B. lediglich die Hardware- und Betriebssystemressourcen des Anbieters nutzt und erst später den Vertrag verletzt, muss der Anbieter (sobald eine Genehmigung von dem Notar vorliegt) nur die Daten des Klienten sichern und anschließend die betroffene Festplatte neu starten und formatieren. Für den Fall, dass der Klient auch seine eigene virtuelle Maschine installiert und dann zu einem späteren Zeitpunkt den Vertrag verletzt, kann der Anbieter (sobald eine Genehmigung vorliegt) auf den Hypervisor (auf dem die VM ausgeführt wird) zugreifen und die VM entfernen. In diesen Fällen behält der Anbieter ausreichend Zugriff auf die darunter liegenden Ressourcen, um den Entfernungsvorgang zu ermöglichen, obwohl er unter keinen Umständen Zugriff auf Anwendungen innerhalb der virtuellen Maschinen des Klienten hat.
- Im Gegensatz dazu entfernt ein korrekt handelnder Klient das Sicherheits-Plug-In selbsttätig (z. B. wenn die Vereinbarung endet).
- Der beschriebene Erfindungsgegenstand hat zahlreiche Vorteile. Bei der Herangehensweise gibt der Cloud-Kunde die Kontrolle über seine Unternehmensdaten nicht auf, wenn er die Cloud-Umgebung abonniert. Die Herangehensweise stellt sicher, dass der Cloud-Umgebungsadministrator (oder eine andere nicht berechtigte Person oder Einheit) keine dem Kunden zugeordneten Ressourcengruppen (oder – allgemeiner gesprochen – eine oder mehrere Cloud-Ressourcen) zurücknehmen kann, ohne dass eine Genehmigung des Kunden oder eines berechtigten Dritten, der dem Notardienst zugehörig ist, eingeholt wurde. Auf diese Weise hat der Cloud-Kunde die vollständige Kontrolle über seine Daten in der Cloud-Datenverarbeitungsumgebung, und es besteht kein wesentliches Risiko, dass ein Cloud-Administrator oder eine andere Einheit ohne Genehmigung oder Befugnis auf die Daten des Kunden zugreifen kann. Wenn der Cloud-Dienstanbieter von einem neuen Cloud-Unternehmen aufgekauft wird und sogar, wenn Hardware-Ressourcen gestohlen werden, bleiben die Daten des Kunden geschützt, da ein Zugriff auf diese Daten und ihre Anzeige nur über das kundeneigene Sicherheits-Plug-In zur Identitäts- und Berechtigungsprüfung möglich ist (d. h. indem die Identitäts- und Berechtigungsprüfungen des Kunden bestanden werden). Vorzugsweise hat weder der Cloud-Administrator noch eine andere Person oder Einheit eine Superuser-Kennung für das Betriebssystem der Cloud-Umgebung, um auf Kundendaten zuzugreifen oder sie anderweitig zu verwalten.
- Der Notardienst stellt weitere Vorzüge bereit. Wie erwähnt, hilft der Notardienst dabei sicherzustellen, dass die Daten des Kunden sicher bleiben, da er zur Umsetzung einer Vereinbarung (zwischen dem Kunden, dem Cloud-Anbieter und dem Notar) dient, die sicherstellt, dass die Ressourcen, in denen sich die Daten befinden, nur unter bestimmten Bedingungen freigegeben werden können. Wenn die eine Partei gegen die Vereinbarung verstößt, kann die andere Partei den Vertrag über den Notar widerrufen, wobei dieser als unabhängige Zertifizierungsstelle dient, die den Vertrag testieren kann. Diese Herangehensweise stellt sicher, dass der Cloud-Umgebungsadministrator nicht einseitig dem Kunden zugeordnete Ressourcen zurücknehmen und/oder für den Kunden sensible Daten einsehen kann, selbst wenn der Kunde die Dienstvereinbarung verletzt und als Kunde ausscheidet. Andererseits stellt die Verwendung des Notardienstes auch sicher, dass sich der Kunde keine unrechtmäßigen Vorteile von dem Cloud-Anbieter verschafft, indem er beispielsweise die Dienstvereinbarung des Anbieters verletzt und dennoch die Cloud-Dienste in Anspruch nimmt.
- Die Methode stellt ein neues Sicherheitsparadigma für eine Cloud-Datenverarbeitung bereit, die den Schutz von Kundendaten sicherstellt. Kunden eines Cloud-Dienstes verwalten ihre eigenen Identitäts- und Berechtigungsprüfungs-Sicherheitsdienste, indem sie sich in das Plug-In-Modell der Cloud einklinken. Ein staatlicher oder Drittanbieter-Sicherheitsdienst (der Notar) überwacht die Ausführung der Sicherheitsrichtlinie innerhalb der Umgebung auf eine Art und Weise, welche die Interessen aller Beteiligten berücksichtigt.
- Die oben beschriebene Plug-In- und Notardienst-Funktionalität kann als eigenständiger Ansatz realisiert sein, z. B. als eine Funktion auf der Grundlage von Software, die durch einen Prozessor ausgeführt wird, oder sie kann als ein verwalteter Dienst (z. B. als ein Web-Dienst über eine SOAP/XML-Schnittstelle) zur Verfügung gestellt werden. Die hier beschriebenen konkreten Einzelheiten der Hardware- und Software-Realisierung dienen lediglich zur Veranschaulichung und sind nicht als Beschränkung des inhaltlichen Geltungsumfangs des beschriebenen Erfindungsgegenstands zu verstehen.
- Allgemeiner gesprochen, sind Datenverarbeitungseinheiten in Zusammenhang mit der offenbarten Erfindung jeweils ein Datenverarbeitungssystem wie das in
2 veranschaulichte, das Hardware und Software aufweist, wobei diese Einheiten über ein Netzwerk wie z. B. das Internet, ein Intranet, ein Extranet, ein privates Netzwerk oder ein(e) beliebige(s) andere(s) Datenübertragungsmedium oder -verbindung Daten austauschen. Die Anwendungen in dem Datenverarbeitungssystem stellen eine systemeigene Unterstützung für Web- und andere bekannte Dienste und Protokolle bereit, einschließlich, ohne darauf beschränkt zu sein, der Unterstützung für HTTP, FTP, SMTP, SOAP, XML, WSDL, SAML, Liberty, Shibboleth, OpenID, WS-Federation, Cardspace, WS-Trust, UDDI und WSFL. Informationen zu SOAP, WSDL, UDDI und WSFL sind vom World Wide Web Consortium (W3C) erhältlich, das für die Entwicklung und Pflege dieser Standards zuständig ist; weitere Informationen zu HTTP, FTP, SMTP und XML sind von der Internet Engineering Task Force (IETF) erhältlich. Die Vertrautheit mit diesen bekannten Standards und Protokollen wird vorausgesetzt. - Neben Cloud-basierten Infrastrukturen kann das hier beschriebene Schema auch in oder in Verbindung mit verschiedenen Server-seitigen Architekturen realisiert sein. Dazu gehören, ohne darauf beschränkt zu sein, einfache n-tier-Architekturen, Web-Portale, föderierte Systeme und dergleichen.
- Wie in den obigen Beispielen veranschaulicht wird, können eine oder mehrere Plug-In- oder Notardienstfunktionen innerhalb oder außerhalb der Cloud bereitgestellt werden.
- Noch allgemeiner gesprochen, kann der hier beschriebene Erfindungsgegenstand in Gestalt einer vollständig in Hardware realisierten Ausführungsform, einer vollständig in Software realisierten Ausführungsform oder einer Ausführungsform vorliegen, die sowohl Hardware- als auch Software-Elemente enthält. Bei einer bevorzugten Ausführungsform wird die mehrschichtige Abmeldefunktion als Software realisiert, einschließlich, ohne darauf beschränkt zu sein, Firmware, speicherresidente Software, Mikrocode und dergleichen. Die Daten können in einer Datenstruktur (z. B. einer Anordnung, einer verknüpften Liste usw.) konfiguriert und in einem Datenspeicher wie z. B. einem Computerspeicher gespeichert sein. Die hier beschriebene Instanzen-Erkennungsfunktionalität des Identitätsanbieters kann des Weiteren, wie oben erwähnt, in Gestalt eines Computerprogrammprodukts vorliegen, auf das über ein computernutzbares oder computerlesbares Medium zugegriffen werden kann, das Programmcode bereitstellt, der durch oder in Verbindung mit einem Computer oder einem beliebigen anderen System zur Befehlsausführung verwendet werden kann. Zum Zwecke dieser Beschreibung kann ein computernutzbares oder computerlesbares Medium jedwede Vorrichtung sein, die das Programm, welches durch oder in Verbindung mit dem Befehlsausführungssystem, der Befehlsausführungsvorrichtung oder -einheit verwendet wird, enthalten oder speichern kann. Das Medium kann ein elektronisches, magnetisches, optisches, elektromagnetisches, Infrarot- oder Halbleitersystem (oder eine entsprechende Vorrichtung bzw. Einheit) sein. Beispiele für ein computerlesbares Medium beinhalten einen Halbleiter- oder Festkörperspeicher, ein Magnetband, eine wechselbare Computerdiskette, einen Direktzugriffsspeicher (RAM), einen Festwertspeicher (ROM), eine magnetische Festplatte und eine optische Platte. Gegenwärtige Beispiele für optische Festplatten beinhalten Compact Disk Read Only Memory (CD-ROM), Compact Disk Read/Write (CD-R/W) und DVD. Das computerlesbare Medium ist ein physischer Artikel.
- Das Computerprogrammprodukt kann ein Produkt mit Programmbefehlen (oder Programmcode) sein, um eine oder mehrere der beschriebenen Funktionen zu realisieren. Diese Befehle bzw. dieser Code können/kann auf einem computerlesbaren Speichermedium in einem Datenverarbeitungssystem gespeichert sein, nachdem sie/er über ein Netzwerk von einem entfernt angeordneten Datenverarbeitungssystem heruntergeladen wurde(n). Alternativ können diese Befehle bzw. kann dieser Code auf einem computerlesbaren Speichermedium in einem Server-Datenverarbeitungssystem gespeichert und so gestaltet sein, dass sie/er über ein Netzwerk auf ein entfernt angeordnetes Datenverarbeitungssystem heruntergeladen werden können/kann, um auf einem computerlesbaren Speichermedium innerhalb des entfernt angeordneten Systems verwendet zu werden.
- Bei einer repräsentativen Ausführungsform sind die Plug-In- und Notardienstkomponenten in einem Spezialcomputer und hier vorzugsweise in Form von Software realisiert, die durch einen oder mehrere Prozessoren ausgeführt wird. Für eine Verwendung darin vorgesehene zugehörige Daten sind in einem zugehörigen Datenspeicher gespeichert. Die Software wird zudem in einem oder mehreren Datenspeichern oder Speichern verwaltet, die dem einen oder den mehreren Prozessoren zugehörig sind, und ist als ein oder mehrere Computerprogramme realisierbar.
- Die Plug-In-Funktion kann als ein Zusatz oder eine Erweiterung einer bestehenden Zugriffsmanager- oder Richtlinienverwaltungslösung realisiert sein.
- Obwohl die obigen Ausführungen eine bestimmte Reihenfolge von Arbeitsschritten beschreiben, die durch bestimmte Ausführungsformen der Erfindung durchgeführt werden, sollte klar sein, dass eine derartige Reihenfolge lediglich beispielhaften Charakter hat, da alternative Ausführungsformen die Arbeitsschritte in einer anderen Reihenfolge durchführen, bestimmte Arbeitsschritte kombinieren, bestimmte Arbeitsschritte einander überschneiden lassen können usw. Wenn in der Patentschrift auf eine gegebene Ausführungsform Bezug genommen wird, bedeutet dies, dass die beschriebene Ausführungsform ein bestimmtes Merkmal, eine Struktur oder ein kennzeichnendes Element enthält, wobei jedoch nicht notwendigerweise jede Ausführungsform das betreffende Merkmal, die Struktur oder das kennzeichnende Element enthält.
- Auch wenn gegebene Komponenten des Systems getrennt beschrieben wurden, weiß der Fachmann abschließend, dass manche der Funktionen in gegebenen Befehlen, Programmabfolgen, Code-Teilen und dergleichen kombiniert oder gemeinsam genutzt werden können.
- Im vorliegenden Kontext sollte die „Client-seitige” Anwendung im weitesten Sinne so verstanden werden, dass sie sich auf eine Anwendung, eine einer Anwendung zugehörige Seite oder eine anderweitige Ressource oder Funktion bezieht, die von einer Client-seitigen Anforderung an die Anwendung aufgerufen wird. Ein „Browser” ist im vorliegenden Kontext nicht als Bezugnahme auf einen bestimmten Browser (z. B. Internet Explorer, Safari, FireFox und dergleichen) gedacht, sondern sollte im weitesten Sinne so ausgelegt werden, dass er sich auf jede Client-seitige Wiedergabeeinheit bezieht, die auf über das Internet zugängliche Ressourcen zugreifen und diese anzeigen kann. Ein „Rich Client” bezieht sich typischerweise auf eine nicht auf HTTP beruhende Client-seitige Anwendung wie z. B. einen SSH- oder CFIS-Client. Obwohl des Weiteren die Client-Server-Interaktionen typischerweise unter Verwendung von HTTP erfolgen, stellt auch dies keine Beschränkung dar. Die Client-Server-Interaktion kann entsprechend dem Simple Object Access Protocol (SOAP) formatiert sein und unter Verwendung von HTTP (über das öffentliche Internet) oder FTP übertragen werden, oder es kann ein beliebiger anderer zuverlässiger Transportmechanismus (wie z. B. IBM® MQSeries® Technologien und CORBA für den Transport über ein Unternehmens-Intranet) zum Einsatz kommen. Jede hier beschriebene Anwendung oder Funktionalität kann als systemeigener Code realisiert sein, indem Programmeinstiegsmöglichkeiten in eine andere Anwendung bereitgestellt werden, indem die Verwendung des Mechanismus als Plug-In ermöglicht wird oder indem der Mechanismus verknüpft wird, usw.
- Die hier vorkommende Bezeichnung „Plug-In” ist nicht als Beschränkung zu verstehen. Die von dem Plug-In bereitgestellte Grundfunktion besteht im Abfangen von Sicherheitsprüfungen. Somit ist das Plug-In allgemein gesprochen jeder Code, der so funktioniert, dass er Sicherheitsprüfungen abfängt.
Claims (26)
- Verfahren für eine Identitäts- und Berechtigungsprüfung in einer Umgebung, in der Datenverarbeitungsressourcen in einem gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen bereitgestellt werden, aufweisend: Empfangen einer Anforderung von einer ersten Einheit für den Zugriff auf den gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen, der durch eine zweite Einheit verwaltet wird; bei Abschluss einer Vereinbarung zwischen der ersten Einheit, der zweiten Einheit und einer dritten Einheit, die sich von der ersten Einheit und der zweiten Einheit unterscheidet, Zuweisen einer Ressourcengruppe zu der ersten Einheit; Registrieren eines der ersten Einheit zugehörigen Plug-In-Sicherheitsmoduls bei einem Plug-In-Dienst, der von der zweiten Einheit in Zusammenhang mit dem gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen betrieben wird; und Beschränken des Zugriffs auf die Ressourcengruppe, sofern er nicht über das Plug-In-Sicherheitsmodul erfolgt.
- Verfahren nach Anspruch 1, des Weiteren aufweisend ein Empfangen und Speichern von Daten, welche berechtigten Benutzern der ersten Einheit zugehörig sind, in der Ressourcengruppe.
- Verfahren nach Anspruch 2, des Weiteren aufweisend ein Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool bei Auftreten eines Ereignisses.
- Verfahren nach Anspruch 3, wobei der Schritt des Zurückgebens der Ressourcengruppe aufweist: bei Auftreten des Ereignisses Ausgeben einer Anforderung an die Drittpartei, wobei mit der Anforderung die Genehmigung angefordert wird, die Zuordnung der ersten Einheit zu der Ressourcengruppe aufzuheben; und Empfangen einer Antwort von der Drittpartei, wobei die Antwort angibt, dass die zweite Einheit die Erlaubnis hat, die Zuordnung der ersten Einheit zu der Ressourcengruppe aufzuheben.
- Verfahren nach Anspruch 4, des Weiteren aufweisend ein Löschen der Daten, die berechtigten Benutzern der ersten Einheit zugehörig sind, vor dem Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool.
- Verfahren nach Anspruch 3, wobei der Schritt des Zurückgebens der Ressourcengruppe aufweist: Empfangen eines Hinweises darauf, dass eine der Ressourcengruppe zugehörige Genehmigung durch die erste Einheit zurückgenommen wurde; und Löschen der Daten, die einem berechtigten Benutzer der ersten Einheit zugehörig sind, vor dem Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool.
- Verfahren nach Anspruch 1, wobei die Vereinbarung kryptografisch geschützt ist, so dass sie weder durch die erste Einheit noch durch die zweite Einheit zurückgewiesen werden kann.
- Vorrichtung für eine Identitäts- und Berechtigungsprüfung in einer Umgebung, in der Datenverarbeitungsressourcen in einem gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen bereitgestellt werden, aufweisend: einen Prozessor; Computerspeicher mit Computerprogrammbefehlen, die bei Ausführung durch den Prozessor ein Verfahren durchführen, aufweisend: Empfangen einer Anforderung von einer ersten Einheit für den Zugriff auf den gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen, der durch eine zweite Einheit verwaltet wird; bei Abschluss einer Vereinbarung zwischen der ersten Einheit, der zweiten Einheit und einer dritten Einheit, die sich von der ersten Einheit und der zweiten Einheit unterscheidet, Zuweisen einer Ressourcengruppe zu der ersten Einheit; Registrieren eines der ersten Einheit zugehörigen Plug-In-Sicherheitsmoduls bei einem Plug-In-Dienst, der von der zweiten Einheit in Zusammenhang mit dem gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen betrieben wird; und Beschränken des Zugriffs auf die Ressourcengruppe, sofern er nicht über das Plug-In-Sicherheitsmodul erfolgt.
- Vorrichtung nach Anspruch 8, wobei das Verfahren des Weiteren ein Empfangen und Speichern von Daten, welche berechtigten Benutzern der ersten Einheit zugehörig sind, in der Ressourcengruppe aufweist.
- Vorrichtung nach Anspruch 8, wobei das Verfahren des Weiteren ein Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool bei Auftreten eines Ereignisses aufweist.
- Vorrichtung nach Anspruch 10, wobei der Schritt des Zurückgebens der Ressourcengruppe aufweist: bei Auftreten des Ereignisses Ausgeben einer Anforderung an die Drittpartei, wobei mit der Anforderung die Genehmigung angefordert wird, die Zuordnung der ersten Einheit zu der Ressourcengruppe aufzuheben; und Empfangen einer Antwort von der Drittpartei, wobei die Antwort angibt, dass die zweite Einheit die Erlaubnis hat, die Zuordnung der ersten Einheit zu der Ressourcengruppe aufzuheben.
- Vorrichtung nach Anspruch 11, wobei das Verfahren des Weiteren ein Löschen der Daten, die berechtigten Benutzern der ersten Einheit zugehörig sind, vor dem Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool aufweist.
- Vorrichtung nach Anspruch 10, wobei der Schritt des Zurückgebens der Ressourcengruppe aufweist: Empfangen eines Hinweises darauf, dass eine der Ressourcengruppe zugehörige Genehmigung durch die erste Einheit zurückgenommen wurde; und Löschen der Daten, die einem berechtigten Benutzer der ersten Einheit zugehörig sind, vor dem Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool.
- Vorrichtung nach Anspruch 8, wobei die Vereinbarung kryptografisch geschützt ist, so dass sie weder durch die erste Einheit noch durch die zweite Einheit zurückgewiesen werden kann.
- Computerprogrammprodukt auf einem computerlesbaren Medium zur Verwendung in einem Datenverarbeitungssystem für eine Identitäts- und Berechtigungsprüfung in einer Umgebung, in der Datenverarbeitungsressourcen in einem gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen bereitgestellt werden, wobei das Computerprogrammprodukt Computerprogrammbefehle enthält, die bei Ausführung durch das Datenverarbeitungssystem ein Verfahren durchführen, aufweisend: Empfangen einer Anforderung von einer ersten Einheit für den Zugriff auf den gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen, der durch eine zweite Einheit verwaltet wird; bei Abschluss einer Vereinbarung zwischen der ersten Einheit, der zweiten Einheit und einer dritten Einheit, die sich von der ersten Einheit und der zweiten Einheit unterscheidet, Zuweisen einer Ressourcengruppe zu der ersten Einheit; Registrieren eines der ersten Einheit zugehörigen Plug-In-Sicherheitsmoduls bei einem Plug-In-Dienst, der von der zweiten Einheit in Zusammenhang mit dem gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen betrieben wird; und Beschränken des Zugriffs auf die Ressourcengruppe, sofern er nicht über das Plug-In-Sicherheitsmodul erfolgt.
- Computerprogrammprodukt nach Anspruch 15, wobei das Verfahren des Weiteren ein Empfangen und Speichern von Daten, welche berechtigten Benutzern der ersten Einheit zugehörig sind, in der Ressourcengruppe aufweist.
- Computerprogrammprodukt nach Anspruch 16, wobei das Verfahren des Weiteren ein Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool bei Auftreten eines Ereignisses aufweist.
- Computerprogrammprodukt nach Anspruch 17, wobei der Schritt des Zurückgebens der Ressourcengruppe aufweist: bei Auftreten des Ereignisses Ausgeben einer Anforderung an die Drittpartei, wobei mit der Anforderung die Genehmigung angefordert wird, die Zuordnung der ersten Einheit zu der Ressourcengruppe aufzuheben; und Empfangen einer Antwort von der Drittpartei, wobei die Antwort angibt, dass die zweite Einheit die Erlaubnis hat, die Zuordnung der ersten Einheit zu der Ressourcengruppe aufzuheben.
- Computerprogrammprodukt nach Anspruch 18, wobei das Verfahren des Weiteren ein Löschen der Daten, die berechtigten Benutzern der ersten Einheit zugehörig sind, vor dem Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool aufweist.
- Computerprogrammprodukt nach Anspruch 17, wobei der Schritt des Zurückgebens der Ressourcengruppe aufweist: Empfangen eines Hinweises darauf, dass eine der Ressourcengruppe zugehörige Genehmigung durch die erste Einheit zurückgenommen wurde; und Löschen der Daten, die einem berechtigten Benutzer der ersten Einheit zugehörig sind, vor dem Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool.
- Computerprogrammprodukt nach Anspruch 15, wobei die Vereinbarung kryptografisch geschützt ist, so dass sie weder durch die erste Einheit noch durch die zweite Einheit zurückgewiesen werden kann.
- In einem gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen betriebene Vorrichtung, aufweisend: einen Prozessor; Computerspeicher mit Computerprogrammbefehlen, die durch den Prozessor ausgeführt werden, um (i) eine Anwendungsprogrammschnittstelle (Application Programming Interface, API) bereitzustellen, die erste und zweite Sicherheitsmodule als Plug-Ins empfängt, wobei das erste Sicherheitsmodul einem ersten Klienten des gemeinsam genutzten Pools von konfigurierbaren Datenverarbeitungsressourcen zugehörig ist, wobei das zweite Sicherheitsmodul einem zweiten Klienten des gemeinsam genutzten Pools von konfigurierbaren Datenverarbeitungsressourcen zugehörig ist, und um (ii) jedem der ersten und zweiten Klienten erste und zweite Ressourcengruppen zuzuordnen, wobei der Zugriff auf die erste Ressourcengruppe untersagt ist, sofern keine Genehmigung durch das erste Sicherheitsmodul vorliegt, wobei der Zugriff auf die zweite Ressourcengruppe untersagt ist, sofern keine Genehmigung durch das zweite Sicherheitsmodul vorliegt.
- Vorrichtung nach Anspruch 23, wobei die Computerprogrammbefehle durch den Prozessor ausgeführt werden, um (iii) eine Ressourcengruppe bei einem gegebenen Geschehnis an den gemeinsam genutzten Pool zurückzugeben.
- Vorrichtung nach Anspruch 23, wobei das gegebene Geschehnis ein Empfang eines Hinweises von einem Drittanbieter-Notar ist, der für die Rückgabe der Ressourcengruppe bürgt.
- Vorrichtung nach Anspruch 24, wobei die Computerprogrammbefehle durch den Prozessor ausgeführt werden, um (iv) alle klientenspezifischen Daten vor einem Zurückgeben der Ressourcengruppe an den gemeinsam genutzten Pool zu löschen.
- Einem gemeinsam genutzten Pool von konfigurierbaren Datenverarbeitungsressourcen zugehörige Vorrichtung, wobei der gemeinsam genutzte Pool durch einen Dienstanbieter betrieben wird und eine Ressourcengruppe beinhaltet, die gemäß einer Vereinbarung zwischen dem Dienstanbieter, dem Nutzer und einem Dritten, der die Vorrichtung verwaltet, einem Nutzer zur Verwendung zugeordnet wurde, wobei als ein Ergebnis der Vereinbarung dem Nutzer ein Plug-In-Sicherheitsmodul zugehörig ist und dazu verwendet wird, den Zugriff auf die Ressourcengruppe zu beschränken, sofern er nicht über das Plug-In-Sicherheitsmodul erfolgt, wobei die Vorrichtung aufweist: einen Prozessor; Computerspeicher mit Computerprogrammbefehlen, die durch den Prozessor ausgeführt werden, um die Vereinbarung umzusetzen, indem (i) eine Anforderung von dem Dienstanbieter empfangen wird, bei einem gegebenen Ereignis die Zuordnung des Nutzers zu der Ressourcengruppe aufzuheben, und (ii) eine Antwort an den Dienstanbieter auszugeben, die angibt, dass der Dienstanbieter die Erlaubnis hat, die Zuordnung des Nutzers zu der Ressourcengruppe aufzuheben.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/173,563 US8769622B2 (en) | 2011-06-30 | 2011-06-30 | Authentication and authorization methods for cloud computing security |
USUS-13/173,563 | 2011-06-30 | ||
PCT/CA2012/050422 WO2013000080A1 (en) | 2011-06-30 | 2012-06-26 | Authentication and authorization methods for cloud computing platform security |
Publications (1)
Publication Number | Publication Date |
---|---|
DE112012002741T5 true DE112012002741T5 (de) | 2014-03-13 |
Family
ID=47392112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE112012002741.8T Pending DE112012002741T5 (de) | 2011-06-30 | 2012-06-26 | Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform |
Country Status (5)
Country | Link |
---|---|
US (2) | US8769622B2 (de) |
CN (1) | CN103563294B (de) |
DE (1) | DE112012002741T5 (de) |
GB (1) | GB2506564B (de) |
WO (1) | WO2013000080A1 (de) |
Families Citing this family (592)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102010028133A1 (de) * | 2010-04-22 | 2011-10-27 | Bundesdruckerei Gmbh | Verfahren zum Lesen eines Attributs aus einem ID-Token |
US9432373B2 (en) * | 2010-04-23 | 2016-08-30 | Apple Inc. | One step security system in a network storage system |
US9264237B2 (en) * | 2011-06-15 | 2016-02-16 | Microsoft Technology Licensing, Llc | Verifying requests for access to a service provider using an authentication component |
US20120331521A1 (en) * | 2011-06-27 | 2012-12-27 | Samsung Electronics Co., Ltd. | System and method for application centric cloud management |
US9059894B2 (en) | 2011-09-02 | 2015-06-16 | Accenture Global Services Limited | Data exchange technology |
WO2013059368A1 (en) * | 2011-10-17 | 2013-04-25 | Intertrust Technologies Corporation | Systems and methods for protecting and governing genomic and other information |
US9329810B2 (en) * | 2011-12-22 | 2016-05-03 | Xerox Corporation | Secure federation of cloud print services |
CN104040543B (zh) * | 2012-01-11 | 2018-01-19 | 英特尔公司 | 基于文件库和云的文档公正服务 |
US8930542B2 (en) * | 2012-01-23 | 2015-01-06 | International Business Machines Corporation | Dynamically building a set of compute nodes to host the user's workload |
US8990898B2 (en) * | 2012-02-16 | 2015-03-24 | Citrix Systems, Inc. | Connection leasing for hosted services |
US10176335B2 (en) * | 2012-03-20 | 2019-01-08 | Microsoft Technology Licensing, Llc | Identity services for organizations transparently hosted in the cloud |
US8959335B2 (en) * | 2012-04-17 | 2015-02-17 | Gemalto Sa | Secure password-based authentication for cloud computing services |
US8898764B2 (en) * | 2012-04-19 | 2014-11-25 | Microsoft Corporation | Authenticating user through web extension using token based authentication scheme |
US9507748B2 (en) * | 2012-04-26 | 2016-11-29 | Hewlett Packard Enterprise Development Lp | Platform runtime abstraction |
JP5968077B2 (ja) * | 2012-05-22 | 2016-08-10 | キヤノン株式会社 | 情報処理装置、その制御方法、プログラム、及び画像処理装置 |
US9626710B1 (en) | 2012-05-23 | 2017-04-18 | Amazon Technologies, Inc. | Best practice analysis, optimized resource use |
US8769059B1 (en) * | 2012-05-23 | 2014-07-01 | Amazon Technologies, Inc. | Best practice analysis, third-party plug-ins |
US10740765B1 (en) | 2012-05-23 | 2020-08-11 | Amazon Technologies, Inc. | Best practice analysis as a service |
US8954574B1 (en) | 2012-05-23 | 2015-02-10 | Amazon Technologies, Inc. | Best practice analysis, migration advisor |
US9053302B2 (en) | 2012-06-08 | 2015-06-09 | Oracle International Corporation | Obligation system for enterprise environments |
DE102012211639A1 (de) * | 2012-07-04 | 2014-01-09 | Siemens Aktiengesellschaft | Cloud-Computing-Infrastruktur, Verfahren und Anwendung |
US8881244B2 (en) * | 2012-08-13 | 2014-11-04 | International Business Machines Corporation | Authorizing computing resource access based on calendar events in a networked computing environment |
US9203866B2 (en) | 2012-09-07 | 2015-12-01 | Oracle International Corporation | Overage framework for cloud services |
US9253113B2 (en) | 2012-09-07 | 2016-02-02 | Oracle International Corporation | Customizable model for throttling and prioritizing orders in a cloud environment |
US9467355B2 (en) | 2012-09-07 | 2016-10-11 | Oracle International Corporation | Service association model |
US9667470B2 (en) | 2012-09-07 | 2017-05-30 | Oracle International Corporation | Failure handling in the execution flow of provisioning operations in a cloud environment |
US10521746B2 (en) | 2012-09-07 | 2019-12-31 | Oracle International Corporation | Recovery workflow for processing subscription orders in a computing infrastructure system |
US9069979B2 (en) | 2012-09-07 | 2015-06-30 | Oracle International Corporation | LDAP-based multi-tenant in-cloud identity management system |
US9542400B2 (en) | 2012-09-07 | 2017-01-10 | Oracle International Corporation | Service archive support |
US10225164B2 (en) * | 2012-09-07 | 2019-03-05 | Oracle International Corporation | System and method for providing a cloud computing environment |
US10148530B2 (en) | 2012-09-07 | 2018-12-04 | Oracle International Corporation | Rule based subscription cloning |
US9838370B2 (en) | 2012-09-07 | 2017-12-05 | Oracle International Corporation | Business attribute driven sizing algorithms |
US9621435B2 (en) | 2012-09-07 | 2017-04-11 | Oracle International Corporation | Declarative and extensible model for provisioning of cloud based services |
US9003189B2 (en) * | 2012-09-11 | 2015-04-07 | Verizon Patent And Licensing Inc. | Trusted third party client authentication |
US8438654B1 (en) | 2012-09-14 | 2013-05-07 | Rightscale, Inc. | Systems and methods for associating a virtual machine with an access control right |
US10055727B2 (en) * | 2012-11-05 | 2018-08-21 | Mfoundry, Inc. | Cloud-based systems and methods for providing consumer financial data |
US10009065B2 (en) | 2012-12-05 | 2018-06-26 | At&T Intellectual Property I, L.P. | Backhaul link for distributed antenna system |
US9113347B2 (en) | 2012-12-05 | 2015-08-18 | At&T Intellectual Property I, Lp | Backhaul link for distributed antenna system |
US9571462B1 (en) * | 2013-02-04 | 2017-02-14 | Anchorfree, Inc. | Extensible personality-based messaging system in a distributed computerized infrastructure for establishing a social network |
US10339157B2 (en) | 2013-02-13 | 2019-07-02 | Facebook, Inc. | Hive table links |
AU2014225984B2 (en) | 2013-03-04 | 2017-06-22 | Docusign, Inc. | Systems and methods for cloud data security |
US9608958B2 (en) | 2013-03-12 | 2017-03-28 | Oracle International Corporation | Lightweight directory access protocol (LDAP) join search mechanism |
US9071606B2 (en) | 2013-03-13 | 2015-06-30 | Meetrix Communications, Inc. | Managing cloud service with community invitations |
US20140282839A1 (en) * | 2013-03-15 | 2014-09-18 | Microsoft Corporation | Unified enterprise device enrollment |
US8978122B1 (en) * | 2013-03-29 | 2015-03-10 | Emc Corporation | Secure cross-tenancy federation in software-as-a-service system |
US9009806B2 (en) * | 2013-04-12 | 2015-04-14 | Globoforce Limited | System and method for mobile single sign-on integration |
CN104113561B (zh) * | 2013-04-16 | 2018-10-16 | 苏州和积信息科技有限公司 | 基于软营模式的信息发布管理系统及方法 |
US9426155B2 (en) * | 2013-04-18 | 2016-08-23 | International Business Machines Corporation | Extending infrastructure security to services in a cloud computing environment |
CN104113412A (zh) * | 2013-04-22 | 2014-10-22 | 中国银联股份有限公司 | 基于PaaS平台的身份认证方法以及身份认证设备 |
US20140331337A1 (en) * | 2013-05-02 | 2014-11-06 | International Business Machines Corporation | Secure isolation of tenant resources in a multi-tenant storage system using a gatekeeper |
CN103414559B (zh) * | 2013-05-20 | 2016-08-10 | 广州中长康达信息技术有限公司 | 一种云计算环境下的基于类ibe系统的身份认证方法 |
US9999038B2 (en) | 2013-05-31 | 2018-06-12 | At&T Intellectual Property I, L.P. | Remote distributed antenna system |
US9525524B2 (en) | 2013-05-31 | 2016-12-20 | At&T Intellectual Property I, L.P. | Remote distributed antenna system |
JP2015001784A (ja) * | 2013-06-13 | 2015-01-05 | 富士通株式会社 | 情報処理システム、情報処理装置、及び情報処理プログラム |
US20150127770A1 (en) * | 2013-11-06 | 2015-05-07 | Pax8, Inc. | Distributed Cloud Disk Service Provisioning and Management |
US8897697B1 (en) | 2013-11-06 | 2014-11-25 | At&T Intellectual Property I, Lp | Millimeter-wave surface-wave communications |
US11630585B1 (en) | 2016-08-25 | 2023-04-18 | Pure Storage, Inc. | Processing evacuation events in a storage array that includes a plurality of storage devices |
US9397990B1 (en) | 2013-11-08 | 2016-07-19 | Google Inc. | Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud |
US10511566B2 (en) | 2013-11-11 | 2019-12-17 | Amazon Technologies, Inc. | Managed directory service with extension |
US9736159B2 (en) * | 2013-11-11 | 2017-08-15 | Amazon Technologies, Inc. | Identity pool bridging for managed directory services |
US9407615B2 (en) | 2013-11-11 | 2016-08-02 | Amazon Technologies, Inc. | Single set of credentials for accessing multiple computing resource services |
US10908937B2 (en) | 2013-11-11 | 2021-02-02 | Amazon Technologies, Inc. | Automatic directory join for virtual machine instances |
US9209902B2 (en) | 2013-12-10 | 2015-12-08 | At&T Intellectual Property I, L.P. | Quasi-optical coupler |
CN103685291B (zh) * | 2013-12-20 | 2017-01-18 | 代玉松 | 一种基于云服务的企业间数据授权认证系统及方法 |
WO2015092130A1 (en) * | 2013-12-20 | 2015-06-25 | Nokia Technologies Oy | Push-based trust model for public cloud applications |
CN103780607B (zh) * | 2014-01-13 | 2017-07-04 | 西安电子科技大学 | 基于不同权限的重复数据删除的方法 |
CN103873460B (zh) * | 2014-01-27 | 2017-08-25 | 华为技术有限公司 | 业务资源组实现方法及装置 |
CN103905529A (zh) * | 2014-03-10 | 2014-07-02 | 北京交通大学 | 一种云计算资源分配方法 |
CN103810794A (zh) * | 2014-03-18 | 2014-05-21 | 上海汉得信息技术股份有限公司 | 基于云计算的中小企业供应链金融平台 |
CN105099690A (zh) * | 2014-05-19 | 2015-11-25 | 江苏博智软件科技有限公司 | 一种移动云计算环境下基于otp和用户行为的认证授权方法 |
US10516667B1 (en) * | 2014-06-03 | 2019-12-24 | Amazon Technologies, Inc. | Hidden compartments |
US10089476B1 (en) | 2014-06-03 | 2018-10-02 | Amazon Technologies, Inc. | Compartments |
US9509718B1 (en) * | 2014-07-17 | 2016-11-29 | Sprint Communications Company L.P. | Network-attached storage solution for application servers |
US9654507B2 (en) * | 2014-07-31 | 2017-05-16 | Zscaler, Inc. | Cloud application control using man-in-the-middle identity brokerage |
CN104158807B (zh) * | 2014-08-14 | 2017-07-28 | 福州环亚众志计算机有限公司 | 一种基于PaaS的安全云计算方法和系统 |
US9692101B2 (en) | 2014-08-26 | 2017-06-27 | At&T Intellectual Property I, L.P. | Guided wave couplers for coupling electromagnetic waves between a waveguide surface and a surface of a wire |
FR3025340B1 (fr) * | 2014-08-28 | 2017-02-03 | Bull Sas | Nuage de donnees |
WO2016035769A1 (ja) * | 2014-09-01 | 2016-03-10 | パスロジ株式会社 | ユーザ認証方法及びこれを実現するためのシステム |
US9495522B2 (en) | 2014-09-03 | 2016-11-15 | Microsoft Technology Licensing, Llc | Shared session techniques |
US9298899B1 (en) | 2014-09-11 | 2016-03-29 | Bank Of America Corporation | Continuous monitoring of access of computing resources |
EP4270233A3 (de) * | 2014-09-13 | 2024-01-03 | Advanced Elemental Technologies, Inc. | Verfahren und systeme für sichere und zuverlässige identitätsbasierte datenverarbeitung |
US9768833B2 (en) | 2014-09-15 | 2017-09-19 | At&T Intellectual Property I, L.P. | Method and apparatus for sensing a condition in a transmission medium of electromagnetic waves |
US10063280B2 (en) | 2014-09-17 | 2018-08-28 | At&T Intellectual Property I, L.P. | Monitoring and mitigating conditions in a communication network |
US9628854B2 (en) | 2014-09-29 | 2017-04-18 | At&T Intellectual Property I, L.P. | Method and apparatus for distributing content in a communication network |
US10257184B1 (en) | 2014-09-29 | 2019-04-09 | Amazon Technologies, Inc. | Assigning policies for accessing multiple computing resource services |
US9615269B2 (en) | 2014-10-02 | 2017-04-04 | At&T Intellectual Property I, L.P. | Method and apparatus that provides fault tolerance in a communication network |
US9685992B2 (en) | 2014-10-03 | 2017-06-20 | At&T Intellectual Property I, L.P. | Circuit panel network and methods thereof |
US9503189B2 (en) | 2014-10-10 | 2016-11-22 | At&T Intellectual Property I, L.P. | Method and apparatus for arranging communication sessions in a communication system |
US9973299B2 (en) | 2014-10-14 | 2018-05-15 | At&T Intellectual Property I, L.P. | Method and apparatus for adjusting a mode of communication in a communication network |
US9762289B2 (en) | 2014-10-14 | 2017-09-12 | At&T Intellectual Property I, L.P. | Method and apparatus for transmitting or receiving signals in a transportation system |
US9564947B2 (en) | 2014-10-21 | 2017-02-07 | At&T Intellectual Property I, L.P. | Guided-wave transmission device with diversity and methods for use therewith |
US9769020B2 (en) | 2014-10-21 | 2017-09-19 | At&T Intellectual Property I, L.P. | Method and apparatus for responding to events affecting communications in a communication network |
US9780834B2 (en) | 2014-10-21 | 2017-10-03 | At&T Intellectual Property I, L.P. | Method and apparatus for transmitting electromagnetic waves |
US9577306B2 (en) | 2014-10-21 | 2017-02-21 | At&T Intellectual Property I, L.P. | Guided-wave transmission device and methods for use therewith |
US9520945B2 (en) | 2014-10-21 | 2016-12-13 | At&T Intellectual Property I, L.P. | Apparatus for providing communication services and methods thereof |
US9653770B2 (en) | 2014-10-21 | 2017-05-16 | At&T Intellectual Property I, L.P. | Guided wave coupler, coupling module and methods for use therewith |
US9627768B2 (en) | 2014-10-21 | 2017-04-18 | At&T Intellectual Property I, L.P. | Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith |
US9312919B1 (en) | 2014-10-21 | 2016-04-12 | At&T Intellectual Property I, Lp | Transmission device with impairment compensation and methods for use therewith |
US9800327B2 (en) | 2014-11-20 | 2017-10-24 | At&T Intellectual Property I, L.P. | Apparatus for controlling operations of a communication device and methods thereof |
US9954287B2 (en) | 2014-11-20 | 2018-04-24 | At&T Intellectual Property I, L.P. | Apparatus for converting wireless signals and electromagnetic waves and methods thereof |
US9742462B2 (en) | 2014-12-04 | 2017-08-22 | At&T Intellectual Property I, L.P. | Transmission medium and communication interfaces and methods for use therewith |
US10009067B2 (en) | 2014-12-04 | 2018-06-26 | At&T Intellectual Property I, L.P. | Method and apparatus for configuring a communication interface |
US9654173B2 (en) | 2014-11-20 | 2017-05-16 | At&T Intellectual Property I, L.P. | Apparatus for powering a communication device and methods thereof |
US10340573B2 (en) | 2016-10-26 | 2019-07-02 | At&T Intellectual Property I, L.P. | Launcher with cylindrical coupling device and methods for use therewith |
US9544006B2 (en) | 2014-11-20 | 2017-01-10 | At&T Intellectual Property I, L.P. | Transmission device with mode division multiplexing and methods for use therewith |
US9997819B2 (en) | 2015-06-09 | 2018-06-12 | At&T Intellectual Property I, L.P. | Transmission medium and method for facilitating propagation of electromagnetic waves via a core |
US10243784B2 (en) | 2014-11-20 | 2019-03-26 | At&T Intellectual Property I, L.P. | System for generating topology information and methods thereof |
US9680670B2 (en) | 2014-11-20 | 2017-06-13 | At&T Intellectual Property I, L.P. | Transmission device with channel equalization and control and methods for use therewith |
US9461706B1 (en) | 2015-07-31 | 2016-10-04 | At&T Intellectual Property I, Lp | Method and apparatus for exchanging communication signals |
CN105743650B (zh) * | 2014-12-11 | 2019-06-07 | 卓望数码技术(深圳)有限公司 | 移动办公身份认证方法、平台和系统以及移动终端 |
CN104468240B (zh) * | 2014-12-29 | 2018-03-27 | 成都极驰科技有限公司 | 云终端管理方法、装置 |
EP3251324B1 (de) * | 2015-01-26 | 2020-09-23 | Mobile Iron, Inc. | Sicherer zugang zu cloud-basierten diensten |
US10144036B2 (en) | 2015-01-30 | 2018-12-04 | At&T Intellectual Property I, L.P. | Method and apparatus for mitigating interference affecting a propagation of electromagnetic waves guided by a transmission medium |
US10509663B1 (en) | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
CN104618486A (zh) * | 2015-02-06 | 2015-05-13 | 浪潮电子信息产业股份有限公司 | 一种统一管理集群存储系统多平台用户的方法 |
KR102327016B1 (ko) * | 2015-02-09 | 2021-11-16 | 삼성전자주식회사 | 권한 제어 방법 및 이를 운용하는 전자 장치 |
US9876570B2 (en) | 2015-02-20 | 2018-01-23 | At&T Intellectual Property I, Lp | Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith |
US10187388B2 (en) | 2015-03-12 | 2019-01-22 | At&T Intellectual Property I, L.P. | System and method for managing electronic interactions based on defined relationships |
US9749013B2 (en) | 2015-03-17 | 2017-08-29 | At&T Intellectual Property I, L.P. | Method and apparatus for reducing attenuation of electromagnetic waves guided by a transmission medium |
US9762585B2 (en) | 2015-03-19 | 2017-09-12 | Microsoft Technology Licensing, Llc | Tenant lockbox |
US10491685B2 (en) * | 2015-03-31 | 2019-11-26 | Microsoft Technology Licensing, Llc | Session transfer between resources |
US9350556B1 (en) | 2015-04-20 | 2016-05-24 | Google Inc. | Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key |
US10224981B2 (en) | 2015-04-24 | 2019-03-05 | At&T Intellectual Property I, Lp | Passive electrical coupling device and methods for use therewith |
US9705561B2 (en) | 2015-04-24 | 2017-07-11 | At&T Intellectual Property I, L.P. | Directional coupling device and methods for use therewith |
US9793954B2 (en) | 2015-04-28 | 2017-10-17 | At&T Intellectual Property I, L.P. | Magnetic coupling device and methods for use therewith |
US9948354B2 (en) | 2015-04-28 | 2018-04-17 | At&T Intellectual Property I, L.P. | Magnetic coupling device with reflective plate and methods for use therewith |
US9748626B2 (en) | 2015-05-14 | 2017-08-29 | At&T Intellectual Property I, L.P. | Plurality of cables having different cross-sectional shapes which are bundled together to form a transmission medium |
US9490869B1 (en) | 2015-05-14 | 2016-11-08 | At&T Intellectual Property I, L.P. | Transmission medium having multiple cores and methods for use therewith |
US9871282B2 (en) | 2015-05-14 | 2018-01-16 | At&T Intellectual Property I, L.P. | At least one transmission medium having a dielectric surface that is covered at least in part by a second dielectric |
US10679767B2 (en) | 2015-05-15 | 2020-06-09 | At&T Intellectual Property I, L.P. | Transmission medium having a conductive material and methods for use therewith |
US10650940B2 (en) | 2015-05-15 | 2020-05-12 | At&T Intellectual Property I, L.P. | Transmission medium having a conductive material and methods for use therewith |
US9716755B2 (en) | 2015-05-26 | 2017-07-25 | Pure Storage, Inc. | Providing cloud storage array services by a local storage array in a data center |
US11102298B1 (en) | 2015-05-26 | 2021-08-24 | Pure Storage, Inc. | Locally providing cloud storage services for fleet management |
US10044718B2 (en) | 2015-05-27 | 2018-08-07 | Google Llc | Authorization in a distributed system using access control lists and groups |
US9594678B1 (en) | 2015-05-27 | 2017-03-14 | Pure Storage, Inc. | Preventing duplicate entries of identical data in a storage device |
US9917341B2 (en) | 2015-05-27 | 2018-03-13 | At&T Intellectual Property I, L.P. | Apparatus and method for launching electromagnetic waves and for modifying radial dimensions of the propagating electromagnetic waves |
US11503031B1 (en) | 2015-05-29 | 2022-11-15 | Pure Storage, Inc. | Storage array access control from cloud-based user authorization and authentication |
US9300660B1 (en) | 2015-05-29 | 2016-03-29 | Pure Storage, Inc. | Providing authorization and authentication in a cloud for a user of a storage array |
US10021170B2 (en) | 2015-05-29 | 2018-07-10 | Pure Storage, Inc. | Managing a storage array using client-side services |
US9444822B1 (en) * | 2015-05-29 | 2016-09-13 | Pure Storage, Inc. | Storage array access control from cloud-based user authorization and authentication |
US10348391B2 (en) | 2015-06-03 | 2019-07-09 | At&T Intellectual Property I, L.P. | Client node device with frequency conversion and methods for use therewith |
US10812174B2 (en) | 2015-06-03 | 2020-10-20 | At&T Intellectual Property I, L.P. | Client node device and methods for use therewith |
US10103801B2 (en) | 2015-06-03 | 2018-10-16 | At&T Intellectual Property I, L.P. | Host node device and methods for use therewith |
US9912381B2 (en) | 2015-06-03 | 2018-03-06 | At&T Intellectual Property I, Lp | Network termination and methods for use therewith |
US9866309B2 (en) | 2015-06-03 | 2018-01-09 | At&T Intellectual Property I, Lp | Host node device and methods for use therewith |
US10154493B2 (en) | 2015-06-03 | 2018-12-11 | At&T Intellectual Property I, L.P. | Network termination and methods for use therewith |
US9913139B2 (en) | 2015-06-09 | 2018-03-06 | At&T Intellectual Property I, L.P. | Signal fingerprinting for authentication of communicating devices |
US9588691B2 (en) | 2015-06-10 | 2017-03-07 | Pure Storage, Inc. | Dynamically managing control information in a storage device |
US10142086B2 (en) | 2015-06-11 | 2018-11-27 | At&T Intellectual Property I, L.P. | Repeater and methods for use therewith |
US9608692B2 (en) | 2015-06-11 | 2017-03-28 | At&T Intellectual Property I, L.P. | Repeater and methods for use therewith |
US9820146B2 (en) | 2015-06-12 | 2017-11-14 | At&T Intellectual Property I, L.P. | Method and apparatus for authentication and identity management of communicating devices |
US9667317B2 (en) | 2015-06-15 | 2017-05-30 | At&T Intellectual Property I, L.P. | Method and apparatus for providing security using network traffic adjustments |
US9594512B1 (en) | 2015-06-19 | 2017-03-14 | Pure Storage, Inc. | Attributing consumed storage capacity among entities storing data in a storage array |
US10310740B2 (en) | 2015-06-23 | 2019-06-04 | Pure Storage, Inc. | Aligning memory access operations to a geometry of a storage device |
US10341355B1 (en) * | 2015-06-23 | 2019-07-02 | Amazon Technologies, Inc. | Confidential malicious behavior analysis for virtual computing resources |
US9865911B2 (en) | 2015-06-25 | 2018-01-09 | At&T Intellectual Property I, L.P. | Waveguide system for slot radiating first electromagnetic waves that are combined into a non-fundamental wave mode second electromagnetic wave on a transmission medium |
US9509415B1 (en) | 2015-06-25 | 2016-11-29 | At&T Intellectual Property I, L.P. | Methods and apparatus for inducing a fundamental wave mode on a transmission medium |
US9640850B2 (en) | 2015-06-25 | 2017-05-02 | At&T Intellectual Property I, L.P. | Methods and apparatus for inducing a non-fundamental wave mode on a transmission medium |
US10931682B2 (en) | 2015-06-30 | 2021-02-23 | Microsoft Technology Licensing, Llc | Privileged identity management |
US10296236B2 (en) | 2015-07-01 | 2019-05-21 | Pure Storage, Inc. | Offloading device management responsibilities from a storage device in an array of storage devices |
US10033107B2 (en) | 2015-07-14 | 2018-07-24 | At&T Intellectual Property I, L.P. | Method and apparatus for coupling an antenna to a device |
US10170840B2 (en) | 2015-07-14 | 2019-01-01 | At&T Intellectual Property I, L.P. | Apparatus and methods for sending or receiving electromagnetic signals |
US9882257B2 (en) | 2015-07-14 | 2018-01-30 | At&T Intellectual Property I, L.P. | Method and apparatus for launching a wave mode that mitigates interference |
US9847566B2 (en) | 2015-07-14 | 2017-12-19 | At&T Intellectual Property I, L.P. | Method and apparatus for adjusting a field of a signal to mitigate interference |
US10148016B2 (en) | 2015-07-14 | 2018-12-04 | At&T Intellectual Property I, L.P. | Apparatus and methods for communicating utilizing an antenna array |
US9628116B2 (en) | 2015-07-14 | 2017-04-18 | At&T Intellectual Property I, L.P. | Apparatus and methods for transmitting wireless signals |
US10341142B2 (en) | 2015-07-14 | 2019-07-02 | At&T Intellectual Property I, L.P. | Apparatus and methods for generating non-interfering electromagnetic waves on an uninsulated conductor |
US10320586B2 (en) | 2015-07-14 | 2019-06-11 | At&T Intellectual Property I, L.P. | Apparatus and methods for generating non-interfering electromagnetic waves on an insulated transmission medium |
US9853342B2 (en) | 2015-07-14 | 2017-12-26 | At&T Intellectual Property I, L.P. | Dielectric transmission medium connector and methods for use therewith |
US10205655B2 (en) | 2015-07-14 | 2019-02-12 | At&T Intellectual Property I, L.P. | Apparatus and methods for communicating utilizing an antenna array and multiple communication paths |
US9836957B2 (en) | 2015-07-14 | 2017-12-05 | At&T Intellectual Property I, L.P. | Method and apparatus for communicating with premises equipment |
US9722318B2 (en) | 2015-07-14 | 2017-08-01 | At&T Intellectual Property I, L.P. | Method and apparatus for coupling an antenna to a device |
US10033108B2 (en) | 2015-07-14 | 2018-07-24 | At&T Intellectual Property I, L.P. | Apparatus and methods for generating an electromagnetic wave having a wave mode that mitigates interference |
US10044409B2 (en) | 2015-07-14 | 2018-08-07 | At&T Intellectual Property I, L.P. | Transmission medium and methods for use therewith |
US9793951B2 (en) | 2015-07-15 | 2017-10-17 | At&T Intellectual Property I, L.P. | Method and apparatus for launching a wave mode that mitigates interference |
US9608740B2 (en) | 2015-07-15 | 2017-03-28 | At&T Intellectual Property I, L.P. | Method and apparatus for launching a wave mode that mitigates interference |
US10090606B2 (en) | 2015-07-15 | 2018-10-02 | At&T Intellectual Property I, L.P. | Antenna system with dielectric array and methods for use therewith |
US9912027B2 (en) | 2015-07-23 | 2018-03-06 | At&T Intellectual Property I, L.P. | Method and apparatus for exchanging communication signals |
US9948333B2 (en) | 2015-07-23 | 2018-04-17 | At&T Intellectual Property I, L.P. | Method and apparatus for wireless communications to mitigate interference |
US10784670B2 (en) | 2015-07-23 | 2020-09-22 | At&T Intellectual Property I, L.P. | Antenna support for aligning an antenna |
US9749053B2 (en) | 2015-07-23 | 2017-08-29 | At&T Intellectual Property I, L.P. | Node device, repeater and methods for use therewith |
US9871283B2 (en) | 2015-07-23 | 2018-01-16 | At&T Intellectual Property I, Lp | Transmission medium having a dielectric core comprised of plural members connected by a ball and socket configuration |
US10020587B2 (en) | 2015-07-31 | 2018-07-10 | At&T Intellectual Property I, L.P. | Radial antenna and methods for use therewith |
US9735833B2 (en) | 2015-07-31 | 2017-08-15 | At&T Intellectual Property I, L.P. | Method and apparatus for communications management in a neighborhood network |
CN107836007B (zh) * | 2015-07-31 | 2023-04-11 | 难题知识产权有限责任公司 | 发现并发布api信息 |
US9967173B2 (en) | 2015-07-31 | 2018-05-08 | At&T Intellectual Property I, L.P. | Method and apparatus for authentication and identity management of communicating devices |
US9892071B2 (en) | 2015-08-03 | 2018-02-13 | Pure Storage, Inc. | Emulating a remote direct memory access (‘RDMA’) link between controllers in a storage array |
US9851762B1 (en) | 2015-08-06 | 2017-12-26 | Pure Storage, Inc. | Compliant printed circuit board (‘PCB’) within an enclosure |
US9762616B2 (en) * | 2015-08-08 | 2017-09-12 | International Business Machines Corporation | Application-based security rights in cloud environments |
US11625181B1 (en) | 2015-08-24 | 2023-04-11 | Pure Storage, Inc. | Data tiering using snapshots |
US10198194B2 (en) | 2015-08-24 | 2019-02-05 | Pure Storage, Inc. | Placing data within a storage device of a flash array |
US11294588B1 (en) | 2015-08-24 | 2022-04-05 | Pure Storage, Inc. | Placing data within a storage device |
CN105094849B (zh) * | 2015-08-25 | 2019-05-28 | 百度在线网络技术(北京)有限公司 | 一种插件的资源调用方法和装置 |
CN106487770B (zh) | 2015-09-01 | 2019-07-30 | 阿里巴巴集团控股有限公司 | 鉴权方法及鉴权装置 |
US9904535B2 (en) | 2015-09-14 | 2018-02-27 | At&T Intellectual Property I, L.P. | Method and apparatus for distributing software |
US10079661B2 (en) | 2015-09-16 | 2018-09-18 | At&T Intellectual Property I, L.P. | Method and apparatus for use with a radio distributed antenna system having a clock reference |
US10136434B2 (en) | 2015-09-16 | 2018-11-20 | At&T Intellectual Property I, L.P. | Method and apparatus for use with a radio distributed antenna system having an ultra-wideband control channel |
US10051629B2 (en) | 2015-09-16 | 2018-08-14 | At&T Intellectual Property I, L.P. | Method and apparatus for use with a radio distributed antenna system having an in-band reference signal |
US10009063B2 (en) | 2015-09-16 | 2018-06-26 | At&T Intellectual Property I, L.P. | Method and apparatus for use with a radio distributed antenna system having an out-of-band reference signal |
US10009901B2 (en) | 2015-09-16 | 2018-06-26 | At&T Intellectual Property I, L.P. | Method, apparatus, and computer-readable storage medium for managing utilization of wireless resources between base stations |
US9705571B2 (en) | 2015-09-16 | 2017-07-11 | At&T Intellectual Property I, L.P. | Method and apparatus for use with a radio distributed antenna system |
US9769128B2 (en) | 2015-09-28 | 2017-09-19 | At&T Intellectual Property I, L.P. | Method and apparatus for encryption of communications over a network |
US9729197B2 (en) | 2015-10-01 | 2017-08-08 | At&T Intellectual Property I, L.P. | Method and apparatus for communicating network management traffic over a network |
US10074890B2 (en) | 2015-10-02 | 2018-09-11 | At&T Intellectual Property I, L.P. | Communication device and antenna with integrated light assembly |
US9882277B2 (en) | 2015-10-02 | 2018-01-30 | At&T Intellectual Property I, Lp | Communication device and antenna assembly with actuated gimbal mount |
US9876264B2 (en) | 2015-10-02 | 2018-01-23 | At&T Intellectual Property I, Lp | Communication system, guided wave switch and methods for use therewith |
US9923888B2 (en) * | 2015-10-02 | 2018-03-20 | Veritas Technologies Llc | Single sign-on method for appliance secure shell |
US10355367B2 (en) | 2015-10-16 | 2019-07-16 | At&T Intellectual Property I, L.P. | Antenna structure for exchanging wireless signals |
US10665942B2 (en) | 2015-10-16 | 2020-05-26 | At&T Intellectual Property I, L.P. | Method and apparatus for adjusting wireless communications |
US10051483B2 (en) | 2015-10-16 | 2018-08-14 | At&T Intellectual Property I, L.P. | Method and apparatus for directing wireless signals |
US10164971B2 (en) * | 2015-10-22 | 2018-12-25 | Oracle International Corporation | End user initiated access server authenticity check |
CN105610780B (zh) * | 2015-10-22 | 2018-12-11 | 东北师范大学 | 一种用于教育机构的云与云之间的互操作平台及方法 |
US9384082B1 (en) | 2015-10-23 | 2016-07-05 | Pure Storage, Inc. | Proactively providing corrective measures for storage arrays |
US11360844B1 (en) | 2015-10-23 | 2022-06-14 | Pure Storage, Inc. | Recovery of a container storage provider |
US10514978B1 (en) | 2015-10-23 | 2019-12-24 | Pure Storage, Inc. | Automatic deployment of corrective measures for storage arrays |
US10284232B2 (en) | 2015-10-28 | 2019-05-07 | Pure Storage, Inc. | Dynamic error processing in a storage device |
US10374868B2 (en) | 2015-10-29 | 2019-08-06 | Pure Storage, Inc. | Distributed command processing in a flash storage system |
US9740414B2 (en) | 2015-10-29 | 2017-08-22 | Pure Storage, Inc. | Optimizing copy operations |
US10353777B2 (en) | 2015-10-30 | 2019-07-16 | Pure Storage, Inc. | Ensuring crash-safe forward progress of a system configuration update |
CA3003637C (en) | 2015-11-02 | 2023-10-17 | Ecokap Technologies Llc | Microwave irradiation of a chamber with time-varying microwave frequency or multiple microwave frequencies |
US10749854B2 (en) | 2015-11-12 | 2020-08-18 | Microsoft Technology Licensing, Llc | Single sign-on identity management between local and remote systems |
US10200387B2 (en) * | 2015-11-30 | 2019-02-05 | International Business Machines Corporation | User state tracking and anomaly detection in software-as-a-service environments |
TW201721498A (zh) * | 2015-12-01 | 2017-06-16 | Chunghwa Telecom Co Ltd | 具安全與功能擴充性的有線區域網路使用者管理系統及方法 |
US11762764B1 (en) | 2015-12-02 | 2023-09-19 | Pure Storage, Inc. | Writing data in a storage system that includes a first type of storage device and a second type of storage device |
US9760479B2 (en) | 2015-12-02 | 2017-09-12 | Pure Storage, Inc. | Writing data in a storage system that includes a first type of storage device and a second type of storage device |
US11616834B2 (en) | 2015-12-08 | 2023-03-28 | Pure Storage, Inc. | Efficient replication of a dataset to the cloud |
US10326836B2 (en) | 2015-12-08 | 2019-06-18 | Pure Storage, Inc. | Partially replicating a snapshot between storage systems |
US10084785B2 (en) * | 2015-12-13 | 2018-09-25 | Microsoft Technology Licensing, Llc | Connecting and retrieving security tokens based on context |
US9882901B2 (en) | 2015-12-14 | 2018-01-30 | International Business Machines Corporation | End-to-end protection for shrouded virtual servers |
US11347697B1 (en) | 2015-12-15 | 2022-05-31 | Pure Storage, Inc. | Proactively optimizing a storage system |
US10162835B2 (en) | 2015-12-15 | 2018-12-25 | Pure Storage, Inc. | Proactive management of a plurality of storage arrays in a multi-array system |
US10346043B2 (en) | 2015-12-28 | 2019-07-09 | Pure Storage, Inc. | Adaptive computing for data compression |
US9886314B2 (en) | 2016-01-28 | 2018-02-06 | Pure Storage, Inc. | Placing workloads in a multi-array system |
US10572460B2 (en) | 2016-02-11 | 2020-02-25 | Pure Storage, Inc. | Compressing data in dependence upon characteristics of a storage system |
US9760297B2 (en) | 2016-02-12 | 2017-09-12 | Pure Storage, Inc. | Managing input/output (‘I/O’) queues in a data storage system |
US9946897B2 (en) | 2016-02-26 | 2018-04-17 | Microsoft Technology Licensing, Llc | Data privacy management system and method |
US9959043B2 (en) | 2016-03-16 | 2018-05-01 | Pure Storage, Inc. | Performing a non-disruptive upgrade of data in a storage system |
US11995315B2 (en) | 2016-03-16 | 2024-05-28 | Pure Storage, Inc. | Converting data formats in a storage system |
US10225259B2 (en) | 2016-03-30 | 2019-03-05 | Oracle International Corporation | Establishing a cleanroom data processing environment |
US11809727B1 (en) | 2016-04-27 | 2023-11-07 | Pure Storage, Inc. | Predicting failures in a storage system that includes a plurality of storage devices |
US9841921B2 (en) | 2016-04-27 | 2017-12-12 | Pure Storage, Inc. | Migrating data in a storage array that includes a plurality of storage devices |
US11112990B1 (en) | 2016-04-27 | 2021-09-07 | Pure Storage, Inc. | Managing storage device evacuation |
US9811264B1 (en) | 2016-04-28 | 2017-11-07 | Pure Storage, Inc. | Deploying client-specific applications in a storage system utilizing redundant system resources |
US10303390B1 (en) | 2016-05-02 | 2019-05-28 | Pure Storage, Inc. | Resolving fingerprint collisions in flash storage system |
US10341410B2 (en) * | 2016-05-11 | 2019-07-02 | Oracle International Corporation | Security tokens for a multi-tenant identity and data security management cloud service |
US10454940B2 (en) | 2016-05-11 | 2019-10-22 | Oracle International Corporation | Identity cloud service authorization model |
US9838377B1 (en) | 2016-05-11 | 2017-12-05 | Oracle International Corporation | Task segregation in a multi-tenant identity and data security management cloud service |
US10878079B2 (en) | 2016-05-11 | 2020-12-29 | Oracle International Corporation | Identity cloud service authorization model with dynamic roles and scopes |
US10425386B2 (en) | 2016-05-11 | 2019-09-24 | Oracle International Corporation | Policy enforcement point for a multi-tenant identity and data security management cloud service |
US9838376B1 (en) | 2016-05-11 | 2017-12-05 | Oracle International Corporation | Microservices based multi-tenant identity and data security management cloud service |
US9781122B1 (en) | 2016-05-11 | 2017-10-03 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
US10581820B2 (en) | 2016-05-11 | 2020-03-03 | Oracle International Corporation | Key generation and rollover |
US11231858B2 (en) | 2016-05-19 | 2022-01-25 | Pure Storage, Inc. | Dynamically configuring a storage system to facilitate independent scaling of resources |
US9507532B1 (en) | 2016-05-20 | 2016-11-29 | Pure Storage, Inc. | Migrating data in a storage array that includes a plurality of storage devices and a plurality of write buffer devices |
US10291636B2 (en) * | 2016-05-23 | 2019-05-14 | International Business Machines Corporation | Modifying a user session lifecycle in a cloud broker environment |
US10691567B2 (en) | 2016-06-03 | 2020-06-23 | Pure Storage, Inc. | Dynamically forming a failure domain in a storage system that includes a plurality of blades |
US20170357941A1 (en) * | 2016-06-14 | 2017-12-14 | Redline Ready LLC | Systems and Methods For Facilitating Paperless Divorce Proceedings |
US10452310B1 (en) | 2016-07-13 | 2019-10-22 | Pure Storage, Inc. | Validating cabling for storage component admission to a storage array |
US11706895B2 (en) | 2016-07-19 | 2023-07-18 | Pure Storage, Inc. | Independent scaling of compute resources and storage resources in a storage system |
US11605037B2 (en) | 2016-07-20 | 2023-03-14 | Fisher-Rosemount Systems, Inc. | Fleet management system for portable maintenance tools |
US9805528B1 (en) * | 2016-07-20 | 2017-10-31 | Fisher-Rosemount Systems, Inc. | Authentication and authorization to control access to process control devices in a process plant |
US10484460B2 (en) * | 2016-07-22 | 2019-11-19 | Microsoft Technology Licensing, Llc | Access services in hybrid cloud computing systems |
US10459652B2 (en) | 2016-07-27 | 2019-10-29 | Pure Storage, Inc. | Evacuating blades in a storage array that includes a plurality of blades |
US10474363B1 (en) | 2016-07-29 | 2019-11-12 | Pure Storage, Inc. | Space reporting in a storage system |
US10516672B2 (en) | 2016-08-05 | 2019-12-24 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
US10530578B2 (en) | 2016-08-05 | 2020-01-07 | Oracle International Corporation | Key store service |
US10585682B2 (en) | 2016-08-05 | 2020-03-10 | Oracle International Corporation | Tenant self-service troubleshooting for a multi-tenant identity and data security management cloud service |
US10255061B2 (en) | 2016-08-05 | 2019-04-09 | Oracle International Corporation | Zero down time upgrade for a multi-tenant identity and data security management cloud service |
US10721237B2 (en) | 2016-08-05 | 2020-07-21 | Oracle International Corporation | Hierarchical processing for a virtual directory system for LDAP to SCIM proxy service |
US10735394B2 (en) | 2016-08-05 | 2020-08-04 | Oracle International Corporation | Caching framework for a multi-tenant identity and data security management cloud service |
US10263947B2 (en) | 2016-08-05 | 2019-04-16 | Oracle International Corporation | LDAP to SCIM proxy service |
US10248535B2 (en) * | 2016-08-24 | 2019-04-02 | International Business Machines Corporation | On-demand automated locale seed generation and verification |
US9912419B1 (en) | 2016-08-24 | 2018-03-06 | At&T Intellectual Property I, L.P. | Method and apparatus for managing a fault in a distributed antenna system |
US9860075B1 (en) | 2016-08-26 | 2018-01-02 | At&T Intellectual Property I, L.P. | Method and communication node for broadband distribution |
WO2018044282A1 (en) | 2016-08-30 | 2018-03-08 | Visa International Service Association | Biometric identification and verification among iot devices and applications |
US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
US10671439B1 (en) | 2016-09-07 | 2020-06-02 | Pure Storage, Inc. | Workload planning with quality-of-service (‘QOS’) integration |
US11886922B2 (en) | 2016-09-07 | 2024-01-30 | Pure Storage, Inc. | Scheduling input/output operations for a storage system |
US10235229B1 (en) | 2016-09-07 | 2019-03-19 | Pure Storage, Inc. | Rehabilitating storage devices in a storage array that includes a plurality of storage devices |
US11481261B1 (en) | 2016-09-07 | 2022-10-25 | Pure Storage, Inc. | Preventing extended latency in a storage system |
US10908966B1 (en) | 2016-09-07 | 2021-02-02 | Pure Storage, Inc. | Adapting target service times in a storage system |
US10331588B2 (en) | 2016-09-07 | 2019-06-25 | Pure Storage, Inc. | Ensuring the appropriate utilization of system resources using weighted workload based, time-independent scheduling |
US11960348B2 (en) | 2016-09-07 | 2024-04-16 | Pure Storage, Inc. | Cloud-based monitoring of hardware components in a fleet of storage systems |
US10146585B2 (en) | 2016-09-07 | 2018-12-04 | Pure Storage, Inc. | Ensuring the fair utilization of system resources using workload based, time-independent scheduling |
US11531577B1 (en) | 2016-09-07 | 2022-12-20 | Pure Storage, Inc. | Temporarily limiting access to a storage device |
US10291311B2 (en) | 2016-09-09 | 2019-05-14 | At&T Intellectual Property I, L.P. | Method and apparatus for mitigating a fault in a distributed antenna system |
US11973758B2 (en) * | 2016-09-14 | 2024-04-30 | Microsoft Technology Licensing, Llc | Self-serve appliances for cloud services platform |
US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
US10846390B2 (en) | 2016-09-14 | 2020-11-24 | Oracle International Corporation | Single sign-on functionality for a multi-tenant identity and data security management cloud service |
US10511589B2 (en) | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
US11032819B2 (en) | 2016-09-15 | 2021-06-08 | At&T Intellectual Property I, L.P. | Method and apparatus for use with a radio distributed antenna system having a control channel reference signal |
US10445395B2 (en) | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
US10567364B2 (en) | 2016-09-16 | 2020-02-18 | Oracle International Corporation | Preserving LDAP hierarchy in a SCIM directory using special marker groups |
US10791087B2 (en) | 2016-09-16 | 2020-09-29 | Oracle International Corporation | SCIM to LDAP mapping using subtype attributes |
US10484243B2 (en) | 2016-09-16 | 2019-11-19 | Oracle International Corporation | Application management for a multi-tenant identity cloud service |
US10341354B2 (en) | 2016-09-16 | 2019-07-02 | Oracle International Corporation | Distributed high availability agent architecture |
WO2018053258A1 (en) | 2016-09-16 | 2018-03-22 | Oracle International Corporation | Tenant and service management for a multi-tenant identity and data security management cloud service |
US10904074B2 (en) | 2016-09-17 | 2021-01-26 | Oracle International Corporation | Composite event handler for a multi-tenant identity cloud service |
US10476948B2 (en) * | 2016-09-21 | 2019-11-12 | Microsoft Technology Licensing, Llc | Service location management in computing systems |
US10031735B2 (en) | 2016-09-30 | 2018-07-24 | International Business Machines Corporation | Secure deployment of applications in a cloud computing platform |
WO2018067399A1 (en) * | 2016-10-03 | 2018-04-12 | Stratus Digital Systems | Transient transaction server |
US20190114630A1 (en) | 2017-09-29 | 2019-04-18 | Stratus Digital Systems | Transient Transaction Server DNS Strategy |
US10135146B2 (en) | 2016-10-18 | 2018-11-20 | At&T Intellectual Property I, L.P. | Apparatus and methods for launching guided waves via circuits |
US10135147B2 (en) | 2016-10-18 | 2018-11-20 | At&T Intellectual Property I, L.P. | Apparatus and methods for launching guided waves via an antenna |
US10340600B2 (en) | 2016-10-18 | 2019-07-02 | At&T Intellectual Property I, L.P. | Apparatus and methods for launching guided waves via plural waveguide systems |
US10686886B2 (en) | 2016-10-19 | 2020-06-16 | Mirosoft Technology Licensing, LLC | Establishing secure sessions for stateful cloud services |
US10007459B2 (en) | 2016-10-20 | 2018-06-26 | Pure Storage, Inc. | Performance tuning in a storage system that includes one or more storage devices |
US11379132B1 (en) | 2016-10-20 | 2022-07-05 | Pure Storage, Inc. | Correlating medical sensor data |
US9876605B1 (en) | 2016-10-21 | 2018-01-23 | At&T Intellectual Property I, L.P. | Launcher and coupling system to support desired guided wave mode |
US10374316B2 (en) | 2016-10-21 | 2019-08-06 | At&T Intellectual Property I, L.P. | System and dielectric antenna with non-uniform dielectric |
US9991580B2 (en) | 2016-10-21 | 2018-06-05 | At&T Intellectual Property I, L.P. | Launcher and coupling system for guided wave mode cancellation |
US10811767B2 (en) | 2016-10-21 | 2020-10-20 | At&T Intellectual Property I, L.P. | System and dielectric antenna with convex dielectric radome |
US10312567B2 (en) | 2016-10-26 | 2019-06-04 | At&T Intellectual Property I, L.P. | Launcher with planar strip antenna and methods for use therewith |
US10498044B2 (en) | 2016-11-03 | 2019-12-03 | At&T Intellectual Property I, L.P. | Apparatus for configuring a surface of an antenna |
US10225025B2 (en) | 2016-11-03 | 2019-03-05 | At&T Intellectual Property I, L.P. | Method and apparatus for detecting a fault in a communication system |
US10291334B2 (en) | 2016-11-03 | 2019-05-14 | At&T Intellectual Property I, L.P. | System for detecting a fault in a communication system |
US10224634B2 (en) | 2016-11-03 | 2019-03-05 | At&T Intellectual Property I, L.P. | Methods and apparatus for adjusting an operational characteristic of an antenna |
US10637868B2 (en) * | 2016-11-16 | 2020-04-28 | The Boeing Company | Common authorization management service |
US10298605B2 (en) | 2016-11-16 | 2019-05-21 | Red Hat, Inc. | Multi-tenant cloud security threat detection |
US10284557B1 (en) * | 2016-11-17 | 2019-05-07 | EMC IP Holding Company LLC | Secure data proxy for cloud computing environments |
US10162566B2 (en) | 2016-11-22 | 2018-12-25 | Pure Storage, Inc. | Accumulating application-level statistics in a storage system |
US11620075B2 (en) | 2016-11-22 | 2023-04-04 | Pure Storage, Inc. | Providing application aware storage |
US10090594B2 (en) | 2016-11-23 | 2018-10-02 | At&T Intellectual Property I, L.P. | Antenna system having structural configurations for assembly |
US10340603B2 (en) | 2016-11-23 | 2019-07-02 | At&T Intellectual Property I, L.P. | Antenna system having shielded structural configurations for assembly |
US10178445B2 (en) | 2016-11-23 | 2019-01-08 | At&T Intellectual Property I, L.P. | Methods, devices, and systems for load balancing between a plurality of waveguides |
US10340601B2 (en) | 2016-11-23 | 2019-07-02 | At&T Intellectual Property I, L.P. | Multi-antenna system and methods for use therewith |
US10535928B2 (en) | 2016-11-23 | 2020-01-14 | At&T Intellectual Property I, L.P. | Antenna system and methods for use therewith |
US10305190B2 (en) | 2016-12-01 | 2019-05-28 | At&T Intellectual Property I, L.P. | Reflecting dielectric antenna system and methods for use therewith |
US10361489B2 (en) | 2016-12-01 | 2019-07-23 | At&T Intellectual Property I, L.P. | Dielectric dish antenna system and methods for use therewith |
CN110036385B (zh) * | 2016-12-02 | 2023-08-08 | 开利公司 | 混合模式云内部部署(on-premise)安全通信 |
US10020844B2 (en) | 2016-12-06 | 2018-07-10 | T&T Intellectual Property I, L.P. | Method and apparatus for broadcast communication via guided waves |
US10637149B2 (en) | 2016-12-06 | 2020-04-28 | At&T Intellectual Property I, L.P. | Injection molded dielectric antenna and methods for use therewith |
US10135145B2 (en) | 2016-12-06 | 2018-11-20 | At&T Intellectual Property I, L.P. | Apparatus and methods for generating an electromagnetic wave along a transmission medium |
US10326494B2 (en) | 2016-12-06 | 2019-06-18 | At&T Intellectual Property I, L.P. | Apparatus for measurement de-embedding and methods for use therewith |
US10439675B2 (en) | 2016-12-06 | 2019-10-08 | At&T Intellectual Property I, L.P. | Method and apparatus for repeating guided wave communication signals |
US10382976B2 (en) | 2016-12-06 | 2019-08-13 | At&T Intellectual Property I, L.P. | Method and apparatus for managing wireless communications based on communication paths and network device positions |
US10819035B2 (en) | 2016-12-06 | 2020-10-27 | At&T Intellectual Property I, L.P. | Launcher with helical antenna and methods for use therewith |
US10755542B2 (en) | 2016-12-06 | 2020-08-25 | At&T Intellectual Property I, L.P. | Method and apparatus for surveillance via guided wave communication |
US10694379B2 (en) | 2016-12-06 | 2020-06-23 | At&T Intellectual Property I, L.P. | Waveguide system with device-based authentication and methods for use therewith |
US9927517B1 (en) | 2016-12-06 | 2018-03-27 | At&T Intellectual Property I, L.P. | Apparatus and methods for sensing rainfall |
US10727599B2 (en) | 2016-12-06 | 2020-07-28 | At&T Intellectual Property I, L.P. | Launcher with slot antenna and methods for use therewith |
US10168695B2 (en) | 2016-12-07 | 2019-01-01 | At&T Intellectual Property I, L.P. | Method and apparatus for controlling an unmanned aircraft |
US10243270B2 (en) | 2016-12-07 | 2019-03-26 | At&T Intellectual Property I, L.P. | Beam adaptive multi-feed dielectric antenna system and methods for use therewith |
US9893795B1 (en) | 2016-12-07 | 2018-02-13 | At&T Intellectual Property I, Lp | Method and repeater for broadband distribution |
US10359749B2 (en) | 2016-12-07 | 2019-07-23 | At&T Intellectual Property I, L.P. | Method and apparatus for utilities management via guided wave communication |
US10446936B2 (en) | 2016-12-07 | 2019-10-15 | At&T Intellectual Property I, L.P. | Multi-feed dielectric antenna system and methods for use therewith |
US10027397B2 (en) | 2016-12-07 | 2018-07-17 | At&T Intellectual Property I, L.P. | Distributed antenna system and methods for use therewith |
US10547348B2 (en) | 2016-12-07 | 2020-01-28 | At&T Intellectual Property I, L.P. | Method and apparatus for switching transmission mediums in a communication system |
US10139820B2 (en) | 2016-12-07 | 2018-11-27 | At&T Intellectual Property I, L.P. | Method and apparatus for deploying equipment of a communication system |
US10389029B2 (en) | 2016-12-07 | 2019-08-20 | At&T Intellectual Property I, L.P. | Multi-feed dielectric antenna system with core selection and methods for use therewith |
US10326689B2 (en) | 2016-12-08 | 2019-06-18 | At&T Intellectual Property I, L.P. | Method and system for providing alternative communication paths |
US9998870B1 (en) | 2016-12-08 | 2018-06-12 | At&T Intellectual Property I, L.P. | Method and apparatus for proximity sensing |
US10103422B2 (en) | 2016-12-08 | 2018-10-16 | At&T Intellectual Property I, L.P. | Method and apparatus for mounting network devices |
US10601494B2 (en) | 2016-12-08 | 2020-03-24 | At&T Intellectual Property I, L.P. | Dual-band communication device and method for use therewith |
US9911020B1 (en) | 2016-12-08 | 2018-03-06 | At&T Intellectual Property I, L.P. | Method and apparatus for tracking via a radio frequency identification device |
US10530505B2 (en) | 2016-12-08 | 2020-01-07 | At&T Intellectual Property I, L.P. | Apparatus and methods for launching electromagnetic waves along a transmission medium |
US10411356B2 (en) | 2016-12-08 | 2019-09-10 | At&T Intellectual Property I, L.P. | Apparatus and methods for selectively targeting communication devices with an antenna array |
US10916969B2 (en) | 2016-12-08 | 2021-02-09 | At&T Intellectual Property I, L.P. | Method and apparatus for providing power using an inductive coupling |
US10938108B2 (en) | 2016-12-08 | 2021-03-02 | At&T Intellectual Property I, L.P. | Frequency selective multi-feed dielectric antenna system and methods for use therewith |
US10777873B2 (en) | 2016-12-08 | 2020-09-15 | At&T Intellectual Property I, L.P. | Method and apparatus for mounting network devices |
US10389037B2 (en) | 2016-12-08 | 2019-08-20 | At&T Intellectual Property I, L.P. | Apparatus and methods for selecting sections of an antenna array and use therewith |
US10069535B2 (en) | 2016-12-08 | 2018-09-04 | At&T Intellectual Property I, L.P. | Apparatus and methods for launching electromagnetic waves having a certain electric field structure |
US10340983B2 (en) | 2016-12-09 | 2019-07-02 | At&T Intellectual Property I, L.P. | Method and apparatus for surveying remote sites via guided wave communications |
US10264586B2 (en) | 2016-12-09 | 2019-04-16 | At&T Mobility Ii Llc | Cloud-based packet controller and methods for use therewith |
US9838896B1 (en) | 2016-12-09 | 2017-12-05 | At&T Intellectual Property I, L.P. | Method and apparatus for assessing network coverage |
US10198205B1 (en) | 2016-12-19 | 2019-02-05 | Pure Storage, Inc. | Dynamically adjusting a number of storage devices utilized to simultaneously service write operations |
US11461273B1 (en) | 2016-12-20 | 2022-10-04 | Pure Storage, Inc. | Modifying storage distribution in a storage system that includes one or more storage devices |
US10489307B2 (en) | 2017-01-05 | 2019-11-26 | Pure Storage, Inc. | Periodically re-encrypting user data stored on a storage device |
US11307998B2 (en) | 2017-01-09 | 2022-04-19 | Pure Storage, Inc. | Storage efficiency of encrypted host system data |
US10503700B1 (en) | 2017-01-19 | 2019-12-10 | Pure Storage, Inc. | On-demand content filtering of snapshots within a storage system |
US11340800B1 (en) | 2017-01-19 | 2022-05-24 | Pure Storage, Inc. | Content masking in a storage system |
CN106713356B (zh) * | 2017-01-24 | 2020-03-31 | 网宿科技股份有限公司 | 多数据中心管理方法和系统 |
US11163624B2 (en) | 2017-01-27 | 2021-11-02 | Pure Storage, Inc. | Dynamically adjusting an amount of log data generated for a storage system |
US10911564B1 (en) * | 2017-01-30 | 2021-02-02 | Skyhigh Networks, Llc | Cloud service account management method |
EP3577852A4 (de) * | 2017-02-02 | 2020-12-16 | Notarize, Inc. | System und verfahren zur synchronisation von notartermininteraktionen zwischen mehreren software-clients |
US9973940B1 (en) | 2017-02-27 | 2018-05-15 | At&T Intellectual Property I, L.P. | Apparatus and methods for dynamic impedance matching of a guided wave launcher |
US10365931B2 (en) * | 2017-02-27 | 2019-07-30 | Microsoft Technology Licensing, Llc | Remote administration of initial computer operating system setup options |
US10791095B2 (en) * | 2017-03-01 | 2020-09-29 | Xiid Corporation | Secure authentication and data transfer for cloud systems |
US11941279B2 (en) | 2017-03-10 | 2024-03-26 | Pure Storage, Inc. | Data path virtualization |
US11169727B1 (en) | 2017-03-10 | 2021-11-09 | Pure Storage, Inc. | Synchronous replication between storage systems with virtualized storage |
US11803453B1 (en) | 2017-03-10 | 2023-10-31 | Pure Storage, Inc. | Using host connectivity states to avoid queuing I/O requests |
US10454810B1 (en) | 2017-03-10 | 2019-10-22 | Pure Storage, Inc. | Managing host definitions across a plurality of storage systems |
US10521344B1 (en) | 2017-03-10 | 2019-12-31 | Pure Storage, Inc. | Servicing input/output (‘I/O’) operations directed to a dataset that is synchronized across a plurality of storage systems |
US11675520B2 (en) | 2017-03-10 | 2023-06-13 | Pure Storage, Inc. | Application replication among storage systems synchronously replicating a dataset |
US11442825B2 (en) | 2017-03-10 | 2022-09-13 | Pure Storage, Inc. | Establishing a synchronous replication relationship between two or more storage systems |
US10503427B2 (en) | 2017-03-10 | 2019-12-10 | Pure Storage, Inc. | Synchronously replicating datasets and other managed objects to cloud-based storage systems |
US11089105B1 (en) | 2017-12-14 | 2021-08-10 | Pure Storage, Inc. | Synchronously replicating datasets in cloud-based storage systems |
US10298293B2 (en) | 2017-03-13 | 2019-05-21 | At&T Intellectual Property I, L.P. | Apparatus of communication utilizing wireless network devices |
US10261836B2 (en) | 2017-03-21 | 2019-04-16 | Oracle International Corporation | Dynamic dispatching of workloads spanning heterogeneous services |
US10459664B1 (en) | 2017-04-10 | 2019-10-29 | Pure Storage, Inc. | Virtualized copy-by-reference |
US9910618B1 (en) | 2017-04-10 | 2018-03-06 | Pure Storage, Inc. | Migrating applications executing on a storage system |
US11868629B1 (en) | 2017-05-05 | 2024-01-09 | Pure Storage, Inc. | Storage system sizing service |
US10454915B2 (en) | 2017-05-18 | 2019-10-22 | Oracle International Corporation | User authentication using kerberos with identity cloud service |
US11989429B1 (en) | 2017-06-12 | 2024-05-21 | Pure Storage, Inc. | Recommending changes to a storage system |
US10613791B2 (en) | 2017-06-12 | 2020-04-07 | Pure Storage, Inc. | Portable snapshot replication between storage systems |
US10976962B2 (en) | 2018-03-15 | 2021-04-13 | Pure Storage, Inc. | Servicing I/O operations in a cloud-based storage system |
US11210133B1 (en) | 2017-06-12 | 2021-12-28 | Pure Storage, Inc. | Workload mobility between disparate execution environments |
US11442669B1 (en) | 2018-03-15 | 2022-09-13 | Pure Storage, Inc. | Orchestrating a virtual storage system |
US10789020B2 (en) | 2017-06-12 | 2020-09-29 | Pure Storage, Inc. | Recovering data within a unified storage element |
CN116431072A (zh) | 2017-06-12 | 2023-07-14 | 净睿存储股份有限公司 | 集成到大容量存储设备的可访问快速耐久存储 |
US11016824B1 (en) | 2017-06-12 | 2021-05-25 | Pure Storage, Inc. | Event identification with out-of-order reporting in a cloud-based environment |
US10884636B1 (en) | 2017-06-12 | 2021-01-05 | Pure Storage, Inc. | Presenting workload performance in a storage system |
US11609718B1 (en) | 2017-06-12 | 2023-03-21 | Pure Storage, Inc. | Identifying valid data after a storage system recovery |
US11340939B1 (en) | 2017-06-12 | 2022-05-24 | Pure Storage, Inc. | Application-aware analytics for storage systems |
US10417092B2 (en) | 2017-09-07 | 2019-09-17 | Pure Storage, Inc. | Incremental RAID stripe update parity calculation |
US11592991B2 (en) | 2017-09-07 | 2023-02-28 | Pure Storage, Inc. | Converting raid data between persistent storage types |
US10552090B2 (en) | 2017-09-07 | 2020-02-04 | Pure Storage, Inc. | Solid state drives with multiple types of addressable memory |
US10853148B1 (en) | 2017-06-12 | 2020-12-01 | Pure Storage, Inc. | Migrating workloads between a plurality of execution environments |
US11422731B1 (en) | 2017-06-12 | 2022-08-23 | Pure Storage, Inc. | Metadata-based replication of a dataset |
JP6957223B2 (ja) * | 2017-06-16 | 2021-11-02 | キヤノン株式会社 | 情報処理システム、制御方法及びそのプログラム |
US10701094B2 (en) * | 2017-06-22 | 2020-06-30 | Oracle International Corporation | Techniques for monitoring privileged users and detecting anomalous activities in a computing environment |
US11023300B2 (en) | 2017-06-30 | 2021-06-01 | Oracle International Corporation | Governing access to third-party application programming interfaces |
US10902152B2 (en) * | 2017-06-30 | 2021-01-26 | Oracle International Corporation | Restricting plug-in application recipes |
US11561714B1 (en) | 2017-07-05 | 2023-01-24 | Pure Storage, Inc. | Storage efficiency driven migration |
EP3429156A1 (de) * | 2017-07-12 | 2019-01-16 | Gemalto Sa | Verfahren zum gewähren des zugangs auf eine anlage für einen benutzer |
US11477280B1 (en) | 2017-07-26 | 2022-10-18 | Pure Storage, Inc. | Integrating cloud storage services |
US10958659B2 (en) | 2017-08-30 | 2021-03-23 | Red Hat, Inc. | Setting application permissions in a cloud computing environment |
US10831935B2 (en) | 2017-08-31 | 2020-11-10 | Pure Storage, Inc. | Encryption management with host-side data reduction |
US10348858B2 (en) | 2017-09-15 | 2019-07-09 | Oracle International Corporation | Dynamic message queues for a microservice based cloud service |
US11308132B2 (en) | 2017-09-27 | 2022-04-19 | Oracle International Corporation | Reference attributes for related stored objects in a multi-tenant cloud service |
US10834137B2 (en) | 2017-09-28 | 2020-11-10 | Oracle International Corporation | Rest-based declarative policy management |
US11271969B2 (en) | 2017-09-28 | 2022-03-08 | Oracle International Corporation | Rest-based declarative policy management |
US10705823B2 (en) | 2017-09-29 | 2020-07-07 | Oracle International Corporation | Application templates and upgrade framework for a multi-tenant identity cloud service |
US10671435B1 (en) | 2017-10-19 | 2020-06-02 | Pure Storage, Inc. | Data transformation caching in an artificial intelligence infrastructure |
US11861423B1 (en) | 2017-10-19 | 2024-01-02 | Pure Storage, Inc. | Accelerating artificial intelligence (‘AI’) workflows |
US10452444B1 (en) | 2017-10-19 | 2019-10-22 | Pure Storage, Inc. | Storage system with compute resources and shared storage resources |
US11455168B1 (en) | 2017-10-19 | 2022-09-27 | Pure Storage, Inc. | Batch building for deep learning training workloads |
US11494692B1 (en) | 2018-03-26 | 2022-11-08 | Pure Storage, Inc. | Hyperscale artificial intelligence and machine learning infrastructure |
US10360214B2 (en) | 2017-10-19 | 2019-07-23 | Pure Storage, Inc. | Ensuring reproducibility in an artificial intelligence infrastructure |
US10484174B1 (en) | 2017-11-01 | 2019-11-19 | Pure Storage, Inc. | Protecting an encryption key for data stored in a storage system that includes a plurality of storage devices |
US10817392B1 (en) | 2017-11-01 | 2020-10-27 | Pure Storage, Inc. | Ensuring resiliency to storage device failures in a storage system that includes a plurality of storage devices |
US10467107B1 (en) | 2017-11-01 | 2019-11-05 | Pure Storage, Inc. | Maintaining metadata resiliency among storage device failures |
US10671494B1 (en) | 2017-11-01 | 2020-06-02 | Pure Storage, Inc. | Consistent selection of replicated datasets during storage system recovery |
US10509581B1 (en) | 2017-11-01 | 2019-12-17 | Pure Storage, Inc. | Maintaining write consistency in a multi-threaded storage system |
US10887098B2 (en) | 2017-11-15 | 2021-01-05 | Alexander J. M. Van Der Velden | System for digital identity authentication and methods of use |
US11025419B2 (en) | 2017-11-15 | 2021-06-01 | Alexander J. M. Van Der Velden | System for digital identity authentication and methods of use |
US10929226B1 (en) | 2017-11-21 | 2021-02-23 | Pure Storage, Inc. | Providing for increased flexibility for large scale parity |
US10936238B2 (en) | 2017-11-28 | 2021-03-02 | Pure Storage, Inc. | Hybrid data tiering |
US10990282B1 (en) | 2017-11-28 | 2021-04-27 | Pure Storage, Inc. | Hybrid data tiering with cloud storage |
US10795598B1 (en) | 2017-12-07 | 2020-10-06 | Pure Storage, Inc. | Volume migration for storage systems synchronously replicating a dataset |
US11036677B1 (en) | 2017-12-14 | 2021-06-15 | Pure Storage, Inc. | Replicated data integrity |
DE102017130517A1 (de) * | 2017-12-19 | 2019-06-19 | Endress+Hauser Process Solutions Ag | Feldbuskomponente mit Einstellelement zur Konfigurierung der Datenübertragung in eine Cloud |
US10929031B2 (en) | 2017-12-21 | 2021-02-23 | Pure Storage, Inc. | Maximizing data reduction in a partially encrypted volume |
US10620934B2 (en) * | 2018-01-24 | 2020-04-14 | Citrix Systems, Inc. | Systems and methods for versioning a cloud environment for a device |
US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
US10992533B1 (en) | 2018-01-30 | 2021-04-27 | Pure Storage, Inc. | Policy based path management |
US11972134B2 (en) | 2018-03-05 | 2024-04-30 | Pure Storage, Inc. | Resource utilization using normalized input/output (‘I/O’) operations |
US10521151B1 (en) | 2018-03-05 | 2019-12-31 | Pure Storage, Inc. | Determining effective space utilization in a storage system |
US10942650B1 (en) | 2018-03-05 | 2021-03-09 | Pure Storage, Inc. | Reporting capacity utilization in a storage system |
US11150834B1 (en) | 2018-03-05 | 2021-10-19 | Pure Storage, Inc. | Determining storage consumption in a storage system |
US11861170B2 (en) | 2018-03-05 | 2024-01-02 | Pure Storage, Inc. | Sizing resources for a replication target |
US10296258B1 (en) | 2018-03-09 | 2019-05-21 | Pure Storage, Inc. | Offloading data storage to a decentralized storage network |
US10917471B1 (en) | 2018-03-15 | 2021-02-09 | Pure Storage, Inc. | Active membership in a cloud-based storage system |
US11288138B1 (en) | 2018-03-15 | 2022-03-29 | Pure Storage, Inc. | Recovery from a system fault in a cloud-based storage system |
US10924548B1 (en) | 2018-03-15 | 2021-02-16 | Pure Storage, Inc. | Symmetric storage using a cloud-based storage system |
US11210009B1 (en) | 2018-03-15 | 2021-12-28 | Pure Storage, Inc. | Staging data in a cloud-based storage system |
US11048590B1 (en) | 2018-03-15 | 2021-06-29 | Pure Storage, Inc. | Data consistency during recovery in a cloud-based storage system |
US11095706B1 (en) | 2018-03-21 | 2021-08-17 | Pure Storage, Inc. | Secure cloud-based storage system management |
US11171950B1 (en) | 2018-03-21 | 2021-11-09 | Pure Storage, Inc. | Secure cloud-based storage system management |
US10838833B1 (en) | 2018-03-26 | 2020-11-17 | Pure Storage, Inc. | Providing for high availability in a data analytics pipeline without replicas |
US10931656B2 (en) | 2018-03-27 | 2021-02-23 | Oracle International Corporation | Cross-region trust for a multi-tenant identity cloud service |
US10824742B2 (en) * | 2018-03-28 | 2020-11-03 | Mitel Cloud Services, Inc. | Method and system for moving customer data to trusted storage |
US10798165B2 (en) | 2018-04-02 | 2020-10-06 | Oracle International Corporation | Tenant data comparison for a multi-tenant identity cloud service |
US11165634B2 (en) | 2018-04-02 | 2021-11-02 | Oracle International Corporation | Data replication conflict detection and resolution for a multi-tenant identity cloud service |
US11258775B2 (en) | 2018-04-04 | 2022-02-22 | Oracle International Corporation | Local write for a multi-tenant identity cloud service |
CN110390184B (zh) * | 2018-04-20 | 2022-12-20 | 伊姆西Ip控股有限责任公司 | 用于在云中执行应用的方法、装置和计算机程序产品 |
US11436344B1 (en) | 2018-04-24 | 2022-09-06 | Pure Storage, Inc. | Secure encryption in deduplication cluster |
US11392553B1 (en) | 2018-04-24 | 2022-07-19 | Pure Storage, Inc. | Remote data management |
US10929556B1 (en) | 2018-04-25 | 2021-02-23 | Bank Of America Corporation | Discrete data masking security system |
US10824751B1 (en) * | 2018-04-25 | 2020-11-03 | Bank Of America Corporation | Zoned data storage and control security system |
AU2019263471A1 (en) | 2018-05-04 | 2020-11-26 | Digital Age Experts Llc | Emulation of cloud computing service regions |
US11954220B2 (en) | 2018-05-21 | 2024-04-09 | Pure Storage, Inc. | Data protection for container storage |
US11675503B1 (en) | 2018-05-21 | 2023-06-13 | Pure Storage, Inc. | Role-based data access |
US20190354628A1 (en) | 2018-05-21 | 2019-11-21 | Pure Storage, Inc. | Asynchronous replication of synchronously replicated data |
US11455409B2 (en) | 2018-05-21 | 2022-09-27 | Pure Storage, Inc. | Storage layer data obfuscation |
US10871922B2 (en) | 2018-05-22 | 2020-12-22 | Pure Storage, Inc. | Integrated storage management between storage systems and container orchestrators |
EP3582521A1 (de) * | 2018-06-14 | 2019-12-18 | Siemens Aktiengesellschaft | Vorrichtung und verfahren zum einrichtung und/oder bereitstellen einer arbeitsumgebung, insbesondere eingesetzt in einer maschinen economy umgebung |
US11012444B2 (en) | 2018-06-25 | 2021-05-18 | Oracle International Corporation | Declarative third party identity provider integration for a multi-tenant identity cloud service |
US10764273B2 (en) | 2018-06-28 | 2020-09-01 | Oracle International Corporation | Session synchronization across multiple devices in an identity cloud service |
FR3081573A1 (fr) * | 2018-06-29 | 2019-11-29 | Orange | Procedes de verification de la validite d'une ressource ip, serveur de controle d'acces, serveur de validation, nœud client, nœud relais et programme d'ordinateur correspondants. |
US11416298B1 (en) | 2018-07-20 | 2022-08-16 | Pure Storage, Inc. | Providing application-specific storage by a storage system |
US11403000B1 (en) | 2018-07-20 | 2022-08-02 | Pure Storage, Inc. | Resiliency in a cloud-based storage system |
US11146564B1 (en) | 2018-07-24 | 2021-10-12 | Pure Storage, Inc. | Login authentication in a cloud storage platform |
US11954238B1 (en) | 2018-07-24 | 2024-04-09 | Pure Storage, Inc. | Role-based access control for a storage system |
US11632360B1 (en) | 2018-07-24 | 2023-04-18 | Pure Storage, Inc. | Remote access to a storage device |
CN110839005B (zh) * | 2018-08-17 | 2023-08-01 | 恩智浦美国有限公司 | 装置利用云平台的安全登记 |
US11075999B2 (en) * | 2018-08-28 | 2021-07-27 | Citrix Systems, Inc. | Accessing resources in a remote access or cloud-based network environment |
US11860820B1 (en) | 2018-09-11 | 2024-01-02 | Pure Storage, Inc. | Processing data through a storage system in a data pipeline |
CN109450984B (zh) * | 2018-10-16 | 2021-12-21 | 深信服科技股份有限公司 | 一种云架构的管理方法、设备及计算机可读存储介质 |
US11693835B2 (en) | 2018-10-17 | 2023-07-04 | Oracle International Corporation | Dynamic database schema allocation on tenant onboarding for a multi-tenant identity cloud service |
US11321187B2 (en) | 2018-10-19 | 2022-05-03 | Oracle International Corporation | Assured lazy rollback for a multi-tenant identity cloud service |
US12026381B2 (en) | 2018-10-26 | 2024-07-02 | Pure Storage, Inc. | Preserving identities and policies across replication |
US10671302B1 (en) | 2018-10-26 | 2020-06-02 | Pure Storage, Inc. | Applying a rate limit across a plurality of storage systems |
US10936337B2 (en) | 2018-11-09 | 2021-03-02 | Citrix Systems, Inc. | Rendering content of service providers via web page having dynamically-loaded plugins |
US11340837B1 (en) | 2018-11-18 | 2022-05-24 | Pure Storage, Inc. | Storage system management via a remote console |
US11379254B1 (en) | 2018-11-18 | 2022-07-05 | Pure Storage, Inc. | Dynamic configuration of a cloud-based storage system |
US12026061B1 (en) | 2018-11-18 | 2024-07-02 | Pure Storage, Inc. | Restoring a cloud-based storage system to a selected state |
US10963189B1 (en) | 2018-11-18 | 2021-03-30 | Pure Storage, Inc. | Coalescing write operations in a cloud-based storage system |
US12026060B1 (en) | 2018-11-18 | 2024-07-02 | Pure Storage, Inc. | Reverting between codified states in a cloud-based storage system |
US11526405B1 (en) | 2018-11-18 | 2022-12-13 | Pure Storage, Inc. | Cloud-based disaster recovery |
CN109784022A (zh) * | 2018-11-27 | 2019-05-21 | 天津麒麟信息技术有限公司 | 一种Linux下基于生物识别的系统认证方法和装置 |
US11650749B1 (en) | 2018-12-17 | 2023-05-16 | Pure Storage, Inc. | Controlling access to sensitive data in a shared dataset |
US11003369B1 (en) | 2019-01-14 | 2021-05-11 | Pure Storage, Inc. | Performing a tune-up procedure on a storage device during a boot process |
US11122053B2 (en) * | 2019-01-18 | 2021-09-14 | Vmware, Inc. | Flexible rights management for cloud-based access to computing resources |
US11651357B2 (en) * | 2019-02-01 | 2023-05-16 | Oracle International Corporation | Multifactor authentication without a user footprint |
US11061929B2 (en) | 2019-02-08 | 2021-07-13 | Oracle International Corporation | Replication of resource type and schema metadata for a multi-tenant identity cloud service |
US11228597B2 (en) | 2019-02-12 | 2022-01-18 | Nutanix, Inc. | Providing control to tenants over user access of content hosted in cloud infrastructures |
US11321343B2 (en) | 2019-02-19 | 2022-05-03 | Oracle International Corporation | Tenant replication bootstrap for a multi-tenant identity cloud service |
US11669321B2 (en) | 2019-02-20 | 2023-06-06 | Oracle International Corporation | Automated database upgrade for a multi-tenant identity cloud service |
US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
US11443040B2 (en) | 2019-03-08 | 2022-09-13 | International Business Machines Corporation | Secure execution guest owner environmental controls |
US11042452B1 (en) | 2019-03-20 | 2021-06-22 | Pure Storage, Inc. | Storage system data recovery using data recovery as a service |
US11221778B1 (en) | 2019-04-02 | 2022-01-11 | Pure Storage, Inc. | Preparing data for deduplication |
US11068162B1 (en) | 2019-04-09 | 2021-07-20 | Pure Storage, Inc. | Storage management in a cloud data store |
US11297040B2 (en) | 2019-05-01 | 2022-04-05 | Akamai Technologies, Inc. | Intermediary handling of identity services to guard against client side attack vectors |
CN110099063B (zh) * | 2019-05-08 | 2020-05-26 | 杭州健康在线信息技术有限公司 | 一种会议报名凭证的生成方法 |
US11853266B2 (en) | 2019-05-15 | 2023-12-26 | Pure Storage, Inc. | Providing a file system in a cloud environment |
US11392555B2 (en) | 2019-05-15 | 2022-07-19 | Pure Storage, Inc. | Cloud-based file services |
US11327676B1 (en) | 2019-07-18 | 2022-05-10 | Pure Storage, Inc. | Predictive data streaming in a virtual storage system |
US11126364B2 (en) | 2019-07-18 | 2021-09-21 | Pure Storage, Inc. | Virtual storage system architecture |
US12001355B1 (en) | 2019-05-24 | 2024-06-04 | Pure Storage, Inc. | Chunked memory efficient storage data transfers |
US11503026B2 (en) | 2019-05-28 | 2022-11-15 | Alexander J. M. Van Der Velden | Email address with identity string and methods of use |
US11025732B2 (en) | 2019-06-17 | 2021-06-01 | Vmware, Inc. | Method and apparatus to perform user authentication during cloud provider sessions |
US11797197B1 (en) | 2019-07-18 | 2023-10-24 | Pure Storage, Inc. | Dynamic scaling of a virtual storage system |
US11861221B1 (en) | 2019-07-18 | 2024-01-02 | Pure Storage, Inc. | Providing scalable and reliable container-based storage services |
US11093139B1 (en) | 2019-07-18 | 2021-08-17 | Pure Storage, Inc. | Durably storing data within a virtual storage system |
US11487715B1 (en) | 2019-07-18 | 2022-11-01 | Pure Storage, Inc. | Resiliency in a cloud-based storage system |
US11526408B2 (en) | 2019-07-18 | 2022-12-13 | Pure Storage, Inc. | Data recovery in a virtual storage system |
US20210042165A1 (en) * | 2019-08-09 | 2021-02-11 | Oracle International Corporation | System and method for supporting a quota policy language in a cloud infrastructure environment |
US11539678B2 (en) * | 2019-08-16 | 2022-12-27 | Red Hat, Inc. | Asymmetric key management for cloud computing services |
US11086553B1 (en) | 2019-08-28 | 2021-08-10 | Pure Storage, Inc. | Tiering duplicated objects in a cloud-based object store |
US11693713B1 (en) | 2019-09-04 | 2023-07-04 | Pure Storage, Inc. | Self-tuning clusters for resilient microservices |
US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
US11625416B1 (en) | 2019-09-13 | 2023-04-11 | Pure Storage, Inc. | Uniform model for distinct types of data replication |
US11797569B2 (en) | 2019-09-13 | 2023-10-24 | Pure Storage, Inc. | Configurable data replication |
US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
US11573864B1 (en) | 2019-09-16 | 2023-02-07 | Pure Storage, Inc. | Automating database management in a storage system |
US11669386B1 (en) | 2019-10-08 | 2023-06-06 | Pure Storage, Inc. | Managing an application's resource stack |
US11757891B1 (en) * | 2019-10-29 | 2023-09-12 | Meta Platforms, Inc. | Using a host application to authorize a user of a client device to perform an action within a guest application |
US11611548B2 (en) | 2019-11-22 | 2023-03-21 | Oracle International Corporation | Bulk multifactor authentication enrollment |
US11943293B1 (en) | 2019-12-06 | 2024-03-26 | Pure Storage, Inc. | Restoring a storage system from a replication target |
CN110912934A (zh) * | 2019-12-17 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | 一种云安全产品开通控制系统、方法、设备、介质 |
CN111143800B (zh) * | 2019-12-31 | 2022-06-28 | 北京华胜天成科技股份有限公司 | 一种云计算资源的管理方法、装置、设备和存储介质 |
US11709636B1 (en) | 2020-01-13 | 2023-07-25 | Pure Storage, Inc. | Non-sequential readahead for deep learning training |
US11733901B1 (en) | 2020-01-13 | 2023-08-22 | Pure Storage, Inc. | Providing persistent storage to transient cloud computing services |
US11720497B1 (en) | 2020-01-13 | 2023-08-08 | Pure Storage, Inc. | Inferred nonsequential prefetch based on data access patterns |
US11381571B2 (en) | 2020-01-27 | 2022-07-05 | Microsoft Technology Licensing, Llc | Authentication framework for resource access across organizations |
US11475167B2 (en) * | 2020-01-29 | 2022-10-18 | International Business Machines Corporation | Reserving one or more security modules for a secure guest |
US12014065B2 (en) | 2020-02-11 | 2024-06-18 | Pure Storage, Inc. | Multi-cloud orchestration as-a-service |
US11868622B2 (en) | 2020-02-25 | 2024-01-09 | Pure Storage, Inc. | Application recovery across storage systems |
US11637896B1 (en) | 2020-02-25 | 2023-04-25 | Pure Storage, Inc. | Migrating applications to a cloud-computing environment |
US11321006B1 (en) | 2020-03-25 | 2022-05-03 | Pure Storage, Inc. | Data loss prevention during transitions from a replication source |
US11630598B1 (en) | 2020-04-06 | 2023-04-18 | Pure Storage, Inc. | Scheduling data replication operations |
US11301152B1 (en) | 2020-04-06 | 2022-04-12 | Pure Storage, Inc. | Intelligently moving data between storage systems |
CN111585966A (zh) * | 2020-04-08 | 2020-08-25 | 北京科蓝软件系统股份有限公司 | 一种端、管、云一体化互联网可信展业安全系统 |
US11494267B2 (en) | 2020-04-14 | 2022-11-08 | Pure Storage, Inc. | Continuous value data redundancy |
US11921670B1 (en) | 2020-04-20 | 2024-03-05 | Pure Storage, Inc. | Multivariate data backup retention policies |
EP3913479B1 (de) * | 2020-05-21 | 2023-06-28 | Tata Consultancy Services Limited | Cloud-gesteuerter anwendungsstarter zur ausführung und steuerung von anwendungen in computervorrichtungen |
US11431488B1 (en) | 2020-06-08 | 2022-08-30 | Pure Storage, Inc. | Protecting local key generation using a remote key management service |
CN111865931B (zh) * | 2020-06-29 | 2023-04-07 | 北京明略软件系统有限公司 | 数据中台的安全控制方法、装置及计算机可读存储介质 |
WO2022005914A1 (en) * | 2020-06-29 | 2022-01-06 | Illumina, Inc. | Temporary cloud provider credentials via secure discovery framework |
GB2611695A (en) * | 2020-07-14 | 2023-04-12 | Affinio Inc | Method and system for secure distributed software-service |
US11349917B2 (en) | 2020-07-23 | 2022-05-31 | Pure Storage, Inc. | Replication handling among distinct networks |
CA3094539A1 (en) | 2020-07-23 | 2022-01-23 | The Toronto-Dominion Bank | Multidirectional synchronization of confidential data using distributed ledgers |
US11442652B1 (en) | 2020-07-23 | 2022-09-13 | Pure Storage, Inc. | Replication handling during storage system transportation |
US11606347B2 (en) * | 2020-08-27 | 2023-03-14 | Cisco Technology, Inc. | Determining session duration for device authentication |
US20220150241A1 (en) * | 2020-11-11 | 2022-05-12 | Hewlett Packard Enterprise Development Lp | Permissions for backup-related operations |
US11397545B1 (en) | 2021-01-20 | 2022-07-26 | Pure Storage, Inc. | Emulating persistent reservations in a cloud-based storage system |
US11853285B1 (en) | 2021-01-22 | 2023-12-26 | Pure Storage, Inc. | Blockchain logging of volume-level events in a storage system |
US20220247566A1 (en) * | 2021-01-29 | 2022-08-04 | Millennium Info Tech Inc. | System and method for an improved cloud based e-signature platform |
US20220294788A1 (en) * | 2021-03-09 | 2022-09-15 | Oracle International Corporation | Customizing authentication and handling pre and post authentication in identity cloud service |
US11949680B2 (en) | 2021-04-30 | 2024-04-02 | Oracle International Corporation | Framework for customer control and auditing of operator access to infrastructure in a cloud service |
US20220365827A1 (en) | 2021-05-12 | 2022-11-17 | Pure Storage, Inc. | Rebalancing In A Fleet Of Storage Systems Using Data Science |
US11968210B2 (en) | 2021-05-19 | 2024-04-23 | International Business Machines Corporation | Management of access control in multi-cloud environments |
US11816129B2 (en) | 2021-06-22 | 2023-11-14 | Pure Storage, Inc. | Generating datasets using approximate baselines |
CN113329397A (zh) * | 2021-07-06 | 2021-08-31 | 国网上海市电力公司 | 一种5g通信环境下电力终端安全接入认证方法、装置及系统 |
CN116028938A (zh) * | 2021-10-27 | 2023-04-28 | 中移(苏州)软件技术有限公司 | 提供安全服务的方法及装置、电子设备及计算机存储介质 |
US11714723B2 (en) | 2021-10-29 | 2023-08-01 | Pure Storage, Inc. | Coordinated snapshots for data stored across distinct storage environments |
US11914867B2 (en) | 2021-10-29 | 2024-02-27 | Pure Storage, Inc. | Coordinated snapshots among storage systems implementing a promotion/demotion model |
US11893263B2 (en) | 2021-10-29 | 2024-02-06 | Pure Storage, Inc. | Coordinated checkpoints among storage systems implementing checkpoint-based replication |
CN114095464B (zh) * | 2021-11-16 | 2023-08-08 | 成都知道创宇信息技术有限公司 | 即时消息实现方法和系统 |
US11922052B2 (en) | 2021-12-15 | 2024-03-05 | Pure Storage, Inc. | Managing links between storage objects |
CN114389868B (zh) * | 2021-12-30 | 2024-01-30 | 天翼物联科技有限公司 | 一种云资源的分配方法、系统、装置及存储介质 |
US11847071B2 (en) | 2021-12-30 | 2023-12-19 | Pure Storage, Inc. | Enabling communication between a single-port device and multiple storage system controllers |
US12001300B2 (en) | 2022-01-04 | 2024-06-04 | Pure Storage, Inc. | Assessing protection for storage resources |
US20230237181A1 (en) * | 2022-01-26 | 2023-07-27 | Dell Products L.P. | Extending private cloud security model to public cloud |
US11860780B2 (en) | 2022-01-28 | 2024-01-02 | Pure Storage, Inc. | Storage cache management |
US11886295B2 (en) | 2022-01-31 | 2024-01-30 | Pure Storage, Inc. | Intra-block error correction |
CN114640505A (zh) * | 2022-02-28 | 2022-06-17 | 中信百信银行股份有限公司 | Ftp用户认证方法和系统及其构建方法 |
CN115277233B (zh) * | 2022-08-01 | 2024-03-29 | 合肥城市云数据中心股份有限公司 | 一种基于数据可视化插件的混合云服务平台及其访问方法 |
CN115396496B (zh) * | 2022-10-27 | 2023-01-17 | 北京安盟信息技术股份有限公司 | 云环境下租户密码服务会话亲和方法、系统、介质及设备 |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7437310B1 (en) * | 2000-03-27 | 2008-10-14 | International Business Machines Corporation | Third party contract depository for E-commerce transactions |
US7409548B1 (en) * | 2000-03-27 | 2008-08-05 | International Business Machines Corporation | Maintaining confidentiality of personal information during E-commerce transactions |
US20030037258A1 (en) * | 2001-08-17 | 2003-02-20 | Izchak Koren | Information security system and method` |
US7644410B1 (en) * | 2004-11-23 | 2010-01-05 | Hewlett-Packard Development Company, L.P. | Resource management for shared computing environment |
US20110016214A1 (en) * | 2009-07-15 | 2011-01-20 | Cluster Resources, Inc. | System and method of brokering cloud computing resources |
BRPI0718581A2 (pt) * | 2006-11-07 | 2014-03-11 | Security First Corp | Sistemas e métodos para distribuir e proteger dados |
US8806637B2 (en) | 2007-06-11 | 2014-08-12 | Red Hat, Inc. | Authorization framework |
US8458658B2 (en) * | 2008-02-29 | 2013-06-04 | Red Hat, Inc. | Methods and systems for dynamically building a software appliance |
US8196175B2 (en) | 2008-03-05 | 2012-06-05 | Microsoft Corporation | Self-describing authorization policy for accessing cloud-based resources |
US8418222B2 (en) | 2008-03-05 | 2013-04-09 | Microsoft Corporation | Flexible scalable application authorization for cloud computing environments |
US20100076863A1 (en) | 2008-09-22 | 2010-03-25 | Golomb Vitaly M | Hosting platform |
US9210173B2 (en) * | 2008-11-26 | 2015-12-08 | Red Hat, Inc. | Securing appliances for use in a cloud computing environment |
US9614924B2 (en) * | 2008-12-22 | 2017-04-04 | Ctera Networks Ltd. | Storage device and method thereof for integrating network attached storage with cloud storage services |
US8621553B2 (en) * | 2009-03-31 | 2013-12-31 | Microsoft Corporation | Model based security for cloud services |
JP5757536B2 (ja) * | 2009-05-19 | 2015-07-29 | セキュリティー ファースト コープ. | クラウド内にデータを確保するシステムおよび方法 |
US20100319004A1 (en) * | 2009-06-16 | 2010-12-16 | Microsoft Corporation | Policy Management for the Cloud |
US8832459B2 (en) * | 2009-08-28 | 2014-09-09 | Red Hat, Inc. | Securely terminating processes in a cloud computing environment |
US8914469B2 (en) * | 2009-12-11 | 2014-12-16 | International Business Machines Corporation | Negotiating agreements within a cloud computing environment |
US20110231670A1 (en) | 2010-03-16 | 2011-09-22 | Shevchenko Oleksiy Yu | Secure access device for cloud computing |
US9197514B2 (en) * | 2010-03-31 | 2015-11-24 | Paypal, Inc. | Service level agreement based storage access |
US20110258317A1 (en) * | 2010-04-19 | 2011-10-20 | Microsoft Corporation | Application sla based dynamic, elastic, and adaptive provisioning of network capacity |
US20110276490A1 (en) * | 2010-05-07 | 2011-11-10 | Microsoft Corporation | Security service level agreements with publicly verifiable proofs of compliance |
US8856300B2 (en) * | 2010-05-18 | 2014-10-07 | At&T Intellectual Property I, L.P. | End-to-end secure cloud computing |
US8402527B2 (en) | 2010-06-17 | 2013-03-19 | Vmware, Inc. | Identity broker configured to authenticate users to host services |
US20110314532A1 (en) * | 2010-06-17 | 2011-12-22 | Kyle Dean Austin | Identity provider server configured to validate authentication requests from identity broker |
US20120035942A1 (en) * | 2010-08-06 | 2012-02-09 | Sven Graupner | Managing business relationships using a third-party service |
US8769269B2 (en) * | 2010-08-12 | 2014-07-01 | International Business Machines Corporation | Cloud data management |
US8260931B2 (en) * | 2010-10-02 | 2012-09-04 | Synopsys, Inc. | Secure provisioning of resources in cloud infrastructure |
US8607054B2 (en) * | 2010-10-15 | 2013-12-10 | Microsoft Corporation | Remote access to hosted virtual machines by enterprise users |
US8516249B2 (en) * | 2010-10-20 | 2013-08-20 | Verizon Patent And Licensing Inc. | Cloud services layer |
CN102045385B (zh) * | 2010-10-21 | 2013-09-04 | 李斌 | 一种实现个人云计算系统及设备 |
US8544068B2 (en) * | 2010-11-10 | 2013-09-24 | International Business Machines Corporation | Business pre-permissioning in delegated third party authorization |
KR101694421B1 (ko) * | 2010-11-11 | 2017-01-09 | 삼성전자주식회사 | 카메라를 구비한 휴대 단말기의 연속 자동 초점 조절 방법 및 장치 |
US8601265B2 (en) | 2010-11-22 | 2013-12-03 | Netapp, Inc. | Method and system for improving storage security in a cloud computing environment |
US20120221454A1 (en) * | 2011-02-28 | 2012-08-30 | Morgan Christopher Edwin | Systems and methods for generating marketplace brokerage exchange of excess subscribed resources using dynamic subscription periods |
US9141410B2 (en) * | 2011-03-08 | 2015-09-22 | Rackspace Us, Inc. | Pluggable allocation in a cloud computing system |
US20120233315A1 (en) * | 2011-03-11 | 2012-09-13 | Hoffman Jason A | Systems and methods for sizing resources in a cloud-based environment |
US20120254001A1 (en) * | 2011-03-28 | 2012-10-04 | Ran Alexander S | Method and system for providing an agreement witness service |
-
2011
- 2011-06-30 US US13/173,563 patent/US8769622B2/en active Active
-
2012
- 2012-06-26 DE DE112012002741.8T patent/DE112012002741T5/de active Pending
- 2012-06-26 GB GB1401348.6A patent/GB2506564B/en active Active
- 2012-06-26 WO PCT/CA2012/050422 patent/WO2013000080A1/en active Application Filing
- 2012-06-26 CN CN201280026313.3A patent/CN103563294B/zh active Active
-
2014
- 2014-06-30 US US14/319,235 patent/US9288214B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20130007845A1 (en) | 2013-01-03 |
CN103563294A (zh) | 2014-02-05 |
US8769622B2 (en) | 2014-07-01 |
WO2013000080A1 (en) | 2013-01-03 |
GB2506564B (en) | 2015-09-23 |
GB201401348D0 (en) | 2014-03-12 |
GB2506564A (en) | 2014-04-02 |
US9288214B2 (en) | 2016-03-15 |
US20150007274A1 (en) | 2015-01-01 |
CN103563294B (zh) | 2017-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE112012002741T5 (de) | Identitäts- und Berechtigungsprüfungsverfahren für die Sicherheit einer Cloud-Datenverarbeitungsplattform | |
DE112011101729B4 (de) | Verwaltung von Ressourcenzugriff | |
DE602005001613T2 (de) | Einrichten eines sicheren kontexts zur übermittlung von nachrichten zwischen computersystemen | |
DE102012203561A1 (de) | Die Personifikation/Bevollmächtigung eines Benutzers in einem Merkmal-basierenden Authentifizierungssystem | |
DE112018004390B4 (de) | Sichere zugriffsverwaltung für werkzeuge innerhalb einer sicheren umgebung | |
DE112014000357T5 (de) | Schlüsselverwaltung in mandantenfähigen Umgebungen | |
EP3195556A1 (de) | Verteilte datenspeicherung mittels berechtigungstoken | |
DE112017004033T5 (de) | Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen | |
DE102011077218B4 (de) | Zugriff auf in einer Cloud gespeicherte Daten | |
DE10296804T5 (de) | Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server | |
DE112011102224B4 (de) | Identitätsvermittlung zwischen Client- und Server-Anwendungen | |
DE102014206325A1 (de) | Verteiltes Authentifizierungssystem | |
DE102015122518A1 (de) | Authentifizierung von Datenkommunikationen | |
DE112020002343T5 (de) | Verteilung von Sicherheitsberechtigungsnachweisen | |
DE602005003631T2 (de) | Ausschluss der Passwortaufdeckung bei Attributzertifikatausgabe | |
DE102021129514A1 (de) | Binden von post-quanten-zertifikaten | |
DE112021005862T5 (de) | Selbstprüfende blockchain | |
DE112022004486T5 (de) | Schrittweises überprüfen von zugriffs-token | |
DE112021002201T5 (de) | Datenschutzorientierte Datensicherheit in einer Cloud-Umgebung | |
RU2415466C1 (ru) | Способ управления идентификацией пользователей информационных ресурсов неоднородной вычислительной сети | |
DE112021005656T5 (de) | Analyse der rollenerreichbarkeit mit transitiven tags | |
DE112021005837T5 (de) | Dezentrale sendeverschlüsselung und schlüsselerzeugungseinrichtung | |
DE102011080467A1 (de) | Zugangsregelung für Daten oder Applikationen eines Netzwerks | |
DE202020005753U1 (de) | Verwalten von Benutzeridentitäten in einem verwalteten Multi-Tenant-Dienst | |
DE112022000340T5 (de) | Attributgestützte verschlüsselungsschlüssel als schlüsselmaterial zum authentifizieren und berechtigen von benutzern mit schlüssel-hash-nachrichtenauthentifizierungscode |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R082 | Change of representative |
Representative=s name: LIFETECH IP SPIES DANNER & PARTNER PATENTANWAE, DE Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE Representative=s name: DILG HAEUSLER SCHINDELMANN PATENTANWALTSGESELL, DE |
|
R082 | Change of representative |
Representative=s name: LIFETECH IP SPIES DANNER & PARTNER PATENTANWAE, DE Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R082 | Change of representative |
Representative=s name: LIFETECH IP SPIES DANNER & PARTNER PATENTANWAE, DE Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R082 | Change of representative |
Representative=s name: LIFETECH IP SPIES & BEHRNDT PATENTANWAELTE PAR, DE Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R082 | Change of representative |
Representative=s name: SPIES & BEHRNDT PATENTANWAELTE PARTG MBB, DE |
|
R016 | Response to examination communication |