JP2017506473A - ネットワーク環境でのデジタル証明書の提供 - Google Patents

ネットワーク環境でのデジタル証明書の提供 Download PDF

Info

Publication number
JP2017506473A
JP2017506473A JP2016553490A JP2016553490A JP2017506473A JP 2017506473 A JP2017506473 A JP 2017506473A JP 2016553490 A JP2016553490 A JP 2016553490A JP 2016553490 A JP2016553490 A JP 2016553490A JP 2017506473 A JP2017506473 A JP 2017506473A
Authority
JP
Japan
Prior art keywords
customer entity
digital certificate
virtual machine
customer
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016553490A
Other languages
English (en)
Other versions
JP6403789B2 (ja
Inventor
ピーター ザカリー ボウエン
ピーター ザカリー ボウエン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Amazon Technologies Inc
Original Assignee
Amazon Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Amazon Technologies Inc filed Critical Amazon Technologies Inc
Publication of JP2017506473A publication Critical patent/JP2017506473A/ja
Application granted granted Critical
Publication of JP6403789B2 publication Critical patent/JP6403789B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

コンピュータサービス環境におけるデジタル証明書の提供方法では、コンピュータサービス環境でのネットワークリソースの使用及び/または制御についてカスタマエンティティを承認することを含んでもよい。承認が完了すると、デジタル証明書をカスタマエンティティに発行してもよい。デジタル証明書をネットワークリソースと関連させ、期限付きで発行してもよい。カスタマエンティティによるネットワークリソースの使用状況及び/または制御状況を監視してもよい。カスタマエンティティがコンピュータサービス環境でネットワークリソースをまだ使用及び/または制御していることを条件に、デジタル証明書を再発行してもよい。カスタマエンティティがマルチテナント環境でネットワークリソースをまだ使用及び/または制御している場合、デジタル証明書を別の期限つきで自動的に再発行してもよい。カスタマエンティティから証明書再発行要求を受信せずとも、自動再発行を行ってもよい。【選択図】図1

Description

本発明は、ネットワーク環境でのデジタル証明書の提供に関する。
クラウドコンピューティングでは、インターネットなどのネットワークを介したアクセスが可能で遠隔での利用が可能なコンピューティングリソース(ハードウェア及びソフトウェア)を使用する。多数のサーバコンピュータを備える仮想サーバやクラウドコンピューティング環境などの多数のコンピューティングデバイスを有するコンピューティング環境において、コンピューティングリソースを使用することで、コスト的な利点を含む様々な利点、及び/または、変化するコンピューティングリソースのニーズに迅速に対応する能力の提供が可能になる。さらに、クラウドコンピューティング環境では通信が安全であるかが重要な視点であり、通信では、通信自体の完全性及び安全性に加え、通信する両者の認証を確実に実施する。しかし、クラウドコンピューティング環境で通信する両者にとって、安全な通信を設定することは難しいことがある。
例えば、クラウドコンピューティング環境では、エンティティは、複数の対象に発行する必要があってもよいデジタル証明書に基づき認証されてもよい。一般的にデジタル証明書は、料金が支払われ、認証部(CA)が広範囲で時間の掛かる認証プロセスを終了した後に、CAにより発行される。発行されれば、CAとの追加対話を行うこと(CAによる認証)無くデジタル証明書を使用でき、広範囲にわたる確認証明書の場合には長期間になることもある。そのため、デジタル証明書を取得するプロセスに時間がかかるだけでなく、長期間の証明書を発行することでクラウドコンピューティング環境においてセキュリティが破られるような証明書の不正使用を引き起こすかもしれない。
本開示は、1以上のコンピューティングデバイスにコンピュータサービス環境でデジタル証明書の提供方法を実施させるコンピュータ実行可能命令を記憶するコンピュータ読取可能記憶媒体であって、前記方法では、
前記コンピュータサービス環境でネットワークリソースの使用及び/または制御についてカスタマエンティティを承認し、
前記承認の完了を受け、前記カスタマエンティティにデジタル証明書を発行し、前記デジタル証明書は前記ネットワークリソースに関連して期限付きで発行され、
前記カスタマエンティティによる前記ネットワークリソースの前記使用及び/または制御を監視し、
前記カスタマエンティティが前記マルチテナント環境で前記ネットワークリソースをまだ使用及び/または制御しているかを条件に、前記デジタル証明書を再発行することを含む、前記コンピュータ読取可能記憶媒体に関する。
図を参照して、本開示による多様な実施形態を説明する。
本開示の実施形態による、デジタル証明書の提供に対応した例示的なネットワーク環境の図である。 本開示の様々な実施形態による、ネットワーク環境でのカスタマエンティティへのデジタル証明書の提供を表すフロー図である。 本開示の様々な実施形態による、ネットワーク環境でのカスタマエンティティへのデジタル証明書の提供を表すフロー図である。 本開示の様々な実施形態による、ネットワーク環境でのカスタマエンティティへのデジタル証明書の提供を表すフロー図である。 本開示の例示的な実施形態による、デジタル証明サービスを使用した、マルチテナント環境で実行される複数の仮想マシンインスタンスを表す例示的なシステム図である。 制御プレーンと関連する複数の管理コンポーネントを備え、1つの実施形態によるデジタル証明サービスの管理に使用されてもよい、例示的なシステムをさらに詳しく示す。 仮想マシンインスタンスの実行に使用するハードウェアアセットである複数のホストコンピュータ、ルータ及びスイッチの実施例を示しており、ホストコンピュータは、1つの実施形態に従い構成されるデジタル証明書に関連する機能を有する。 本開示の実施形態による、コンピュータサービス環境でのデジタル証明書の例示的な提供方法のフローチャートである。 本開示の実施形態による、コンピュータサービス環境でのデジタル証明書の別の例示的な提供方法のフローチャートである。 本開示の実施形態による、デジタル証明書のまた別の例示的な提供方法のフローチャートである。 説明する革新の実施に好適なコンピューティング環境の一般的な実施例を示す。
仮想マシンイメージには、オペレーティングシステム(例えば、Linux(登録商標))、及び、仮想環境で仮想マシンの起動に必要な他のデータを含む。仮想マシンイメージは、物理コンピュータのディスクボリュームに類似しており、マシンでの起動に必要なファイルシステム、オペレーティングシステム及び他のコンポーネントを含んでもよい。仮想マシンを起動させるため、ハードウェアを選択する必要がある。インスタンスの種類によってハードウェアの選択をしてもよく、メモリ、CPU能力、I/O性能などを様々なサイズにしてもよい。「インスタンス」または仮想マシンは、仮想マシンイメージ及びインスタンスの種類を組み合わせて作成でき、マルチテナントネットワーク環境でのホストサーバコンピュータなどのクラウドコンピューティングリソースで起動させてもよい。
以下の説明は、クラウドコンピューティングマルチテナントネットワーク環境や別のネットワーク環境など(例えば、コンピュータサービスプロバイダを有するコンピュータサービスプロバイダ環境)、ネットワーク環境におけるデジタル証明書の提供に対応する技術及び解決策に関する。カスタマエンティティは、証明書署名要求(CSR)を認証部(CA)に送信して、デジタル証明書を要求してもよい。CAは、要求を出しているカスタマエンティティ、及び、カスタマエンティティがCAによるアサーション及び承認を求めている情報(例えば、カスタマエンティティのドメイン名、証明書を要求しているカスタマエンティティの責任者の身元確認、カスタマエンティティアドレス、カスタマエンティティの非対称公開−秘密鍵ペアの公開鍵の信頼性など)について識別及びその他の検証を実施してもよい。その際、CAは、証明書を要求している企業(または職員)の身元確認だけでなく、ドメインの所有権の証明及びドメイン所有者(例えば、カスタマエンティティ)の身元確認を要求してもよい。CAによる認証プロセスを終了すると、CAは、公開鍵を有し要求を出しているカスタマエンティティに関連するデジタル証明書を発行してもよい。また、デジタル証明書は、発行を行うCAにより暗号で(例えば、CAの秘密鍵を使用して)署名され、既知で信頼できるCAまでCA階層内でデジタル証明書をトレースすることができる。一般的に、デジタル証明書には有効期限があり、カスタマエンティティが期限時点で証明書の再発行を再度申請する(且つ料金を支払う)必要があってもよい。
発行済のデジタル証明書をクラウドコンピューティングマルチテナントネットワーク環境(他のインターネットベースの通信だけでなく)で使用し、カスタマエンティティの身元確認を行い、及び/または、カスタマエンティティに関連する1以上のウェブサイトまたは他のネットワークリソース若しくはサービスの信頼性を確立し得る。例えば、マルチテナントネットワーク環境の一部としてCAを実施するなどして、デジタル証明書の発行及び管理を、より柔軟にかつ信頼度を高めるよう改善してもよい。さらに、カスタマエンティティが使用する1以上のネットワークリソースと関連する期限付きのデジタル証明書として、デジタル証明書を自動的に提供してもよい。その際、カスタマエンティティがクラウドコンピューティングマルチテナントネットワーク環境内の少なくとも1つのネットワークリソース(例えば、仮想マシン、データベース、ネットワーク関連サービスなど)の使用、支払い及び/または制御を継続する限り、期限付きのデジタル証明書をカスタマエンティティに自動的に再発行してもよい。
本明細書で使用するとき、用語「デジタル証明書の提供」は、デジタル証明書に関連するサービスをカスタマに提供し使用可能にすることであり、カスタマによるデジタル証明書の所有の承認、カスタマへのデジタル証明書の発行、及び、発行後のデジタル証明書の管理(例えば、デジタル証明書の更新、再発行及び/または取消)を含んでもよい。
図1は、本開示の実施形態による、デジタル証明書の提供に対応する例示的なネットワーク環境の図である。図1を参照すると、ネットワーク環境100は、カスタマエンティティ102及びコンピュータサービスプロバイダ110を備えてもよい。コンピュータサービスプロバイダ110は、例えば、カスタマエンティティ102など、エンドユーザ群(例えば、テナントまたはカスタマ)にサービスとして計算記憶能力を提供できるクラウドプロバイダであってもよい。コンピュータサービスプロバイダ110は、リソースモニタ112、1以上のネットワークリソース114a、・・・、114n、認証部(CA)118及び証明書記憶部116を備えてもよい。
CA118は、適切な回路素子、ロジック及び/またはコードを備え、コンピュータサービスプロバイダ110内で実施されてデジタル証明書を発行及び管理(例えば、再発行及び/または取消)を処理してもよい。ネットワークリソース114a、・・・、114nは、コンピュータサービスプロバイダ110に関連する1以上のネットワークリソースを含んでもよい。例えば、ネットワークリソース114a、・・・、114nとして、カスタマエンティティ102(例えば、カスタマエンティティに管理されるカスタマエンティティ102)用にコンピュータサービスプロバイダ110により起動された仮想マシンの1以上、データベースを処理しプロバイダ110に管理されるリソースを使用しカスタマエンティティに制御(管理)されるデータベース、及び/または、コンピュータサービスプロバイダ110に提供(及び管理)される別のネットワーク関連サービス(例えば、ロードバランシング)などを含んでもよい。CA118がコンピュータサービスプロバイダ110の一部として実施されていても、他の実施態様において、プロバイダ110は、プロバイダ110とは別に実施されるCAのサービス(図1では点線で表示)を使用してもよい。
リソースモニタ112は、適切な回路素子、ロジック及び/またはコードを備え、カスタマエンティティ102によるネットワークリソース114a、・・・、114nの1以上の使用/制御を、通信パス120を介して監視するよう動作可能であってもよい。例えば、リソースモニタは、カスタマエンティティ102がネットワークリソースについて、支払い、使用及び/または制御をしているかを監視するよう動作可能であってもよい。本明細書で使用されるとき、カスタマエンティティ102に関する用語「ネットワークリソースの制御」とは、カスタマエンティティ102がネットワークリソースの管理者であることを意味する(例えば、カスタマエンティティのアカウントとプロバイダ110を使用してネットワークリソースを起動し、カスタマエンティティはネットワークリソースに関する設定及び他の管理機能を変更する役割を果たす)。カスタマエンティティ102がネットワークリソースを使用または制御しても、支払いをするとは限らない。また、カスタマエンティティ102がネットワークリソースを使用しても、ネットワークリソースを制御するとは限らない。
リソースモニタ112は、「使用リソース」表示、「払済リソース」表示及び/または「制御リソース」表示などを含んでもよい表示122を作成してもよい。表示122は、CA118に送信されてもよい。例示的な実施形態において、CA118は、カスタマエンティティがネットワークリソース114a、・・・、114nの1以上を使用、支払い及び/または制御している旨の表示122をリソースモニタ112から受信すると、デジタル証明書を発行するよう調整してもよい。発行済みのデジタル証明書(例えば、117)は、1以上のネットワークリソース114及び/若しくは証明書記憶部116で保存、ならびに/または、カスタマエンティティ102に送信されてもよい。その後、デジタル証明書117は、第三者109(例えば、ブラウザ)とともにカスタマエンティティを認証するため、第三者109に送信されてもよい。
カスタマエンティティ102は、動作して、認証情報124(例えば、デジタル証明書要求、1以上の公開及び/または秘密鍵、ドメイン情報、カスタマアドレス情報、執行役員情報、及び、その他認証情報)をCA118に送信してもよい。要求されたデジタル証明書は、カスタマエンティティ102が使用、支払い及び/または制御をしている1以上のネットワークリソース(例えば、114a、・・・、114n)に関連してもよい。以下で、クラウドコンピューティングマルチテナントネットワーク環境でのデジタル証明書を発行するいくつかの実施例について論じる。
実施例1
カスタマエンティティは、コンピュータサービスプロバイダ110が提供する仮想マシンに対し支払いし使用し(例えば、賃借)てもよい。この場合、仮想マシンはカスタマエンティティにより実行される(例えば、プロバイダ110とともにカスタマエンティティのアカウントを使用して)。その後、CA118は、カスタマエンティティ102が賃借している特定の仮想マシンにデジタル証明書117を関連付けて、カスタマエンティティ102にデジタル証明書117を発行してもよい(すなわち、特定の仮想マシンについて証明書117を発行し、識別する)。仮想マシン(または、カスタマエンティティ102が支払い、使用及び/または制御する任意のリソース)の名前を、コンピュータサービスプロバイダ110が設定し(且つ、証明書117に反映させ)てもよい。証明書117は期限付き(例えば、日、時間、または分単位)で発行されてもよく、再発行は、カスタマエンティティ102が仮想マシンを継続使用(賃借)するかに依存してもよい。このため、カスタマエンティティとリソースまたはサービスとの関係性、及び、コンピュータサービスプロバイダのリソースまたはサービスを使えば、継続使用についてデジタル証明書を自動的に再発行できる。関係性とは、例えば、カスタマエンティティが別の第三者に代わり使用権を購入するか、カスタマエンティティがリソースまたはサービスの管理者となるかということであってもよい。再発行については、自動で、期限日を追跡し期限前に確実に再発行してもよい。
実施例2
別の事例において、デジタル証明書を発行するための仮想マシン(または、カスタマエンティティ102が支払い、使用及び/または制御をしている任意のリソース)の名前を、カスタマエンティティ102が選択してもよい。例えば、カスタマエンティティ102は、特定の仮想マシンを選択し、選択したマシンについてデジタル証明書が発行されるよう要求してもよい。その際、カスタマが、デジタル証明書を関連させる仮想マシンを選択することに基づき、デジタル証明書を発行するための仮想マシンの名前を選択する。CA118が認証情報124を使用してカスタマエンティティ102を認証した場合、CA118は期限付きでデジタル証明書117を発行してもよく、カスタマエンティティ102が選択した仮想マシンを継続使用(賃借)するか次第で再発行してもよい。
実施例3
カスタマエンティティは、ネットワークリソース114a、・・・、114n以外のリソースについて、CA118からの証明書を要求してもよい。例えば、カスタマエンティティ102は、プロバイダ110が管理するサービス(例えば、ロードバランシング)を使用しているかもしれない。この場合、CA118は、カスタマエンティティが識別するリソースに関連する短期証明書117を発行してもよい。証明書の再発行では、プロバイダ110が管理するサービスをカスタマが継続して支払い使用することを条件にしてもよい。
実施例4
カスタマエンティティは、ネットワークリソース(例えば、114a)を使用し、CA118からのデジタル証明書を要求するかもしれない。この場合、プロバイダ110は、要求されたデジタル証明書を期限付きで発行し、カスタマエンティティ102がネットワークリソース114aについて支払い使用するだけでなく、期限付きの証明書の発行料を別に支払うよう、要求してもよい。証明書はもう必要ないとカスタマエンティティ102が判断すれば(例えば、証明書が発行され、期限付きの証明書の使用に対する認証料を支払った後のある時点で)、プロバイダ110は、証明書を更新/再発行しなくてもよく、証明書は期限の終了時に期限切れとなる。
図2−4は、本開示の多様な実施形態による、ネットワーク環境でのカスタマエンティティへのデジタル証明書の提供を表すフロー図である。図1及び2を参照すると、デジタル証明書の提供に関する、カスタマエンティティ102により実施され得る動作(ページの左側)、及び、コンピュータサービスプロバイダ110により実施され得る動作(ページの右側)が表示されている。
動作202は、ネットワークリソースを要求すること(カスタマエンティティ102による)を含んでもよい。例えば、カスタマエンティティ102は、使用可能なネットワークリソース114a、・・・、114nから選択する1以上のネットワークリソースの使用について要求してもよい(例えば、カスタマエンティティ102は、仮想マシンについて支払いしプロバイダ110から賃借してもよい)。動作204は、プロバイダ110により実施され、要求ネットワークリソースの使用及び/または制御についてカスタマエンティティ102を承認することを含んでもよい。承認プロセスでは、リソースの使用/制御の料金を支払うだけでなく、ネットワークリソースに求める設定を受信することを含んでもよい。
動作203は、カスタマエンティティ102により実施され、プロバイダ110が承認するネットワークリソースの使用及び/または制御を開始することを含んでもよい。204での承認動作後、プロバイダ110は、デジタル証明書の発行についてカスタマエンティティに承認を与える動作206を実施してもよい。例えば、カスタマエンティティ102は、ネットワークリソースを使用するためにデジタル証明書を要求していたかもしれない(例えば、動作202において)。その場合、カスタマエンティティ102は、認証情報(例えば、124)をプロバイダ110に送信してもよい。動作208において、カスタマエンティティがデジタル証明書の承認を受けた後、CA118は、デジタル証明書の生成に使用し得る1以上の公開/秘密鍵を生成してもよい。その他の場合では、CA118は、認証情報124と併せてCA118に送信されたカスタマエンティティ102の公開鍵を使ってもよい(秘密鍵はカスタマエンティティ102が所有している)。
210において、CA118は、認証情報(生成された公開/秘密鍵ペアを含む)を使用して、カスタマエンティティ102が使用、制御及び/または支払いしているネットワークリソースに関し、カスタマエンティティ102による使用についてデジタル証明書(例えば、証明書117)を生成してもよい。デジタル証明書は短期(固定)の期限付きで発行され、カスタマ(または、カスタマが証明書を必要とする別のネットワークリソース)が使用、制御及び/または支払いをしている特定のネットワークリソースを識別してもよい。さらに、CA118が生成された証明書に署名し(例えば、CA118の秘密鍵で)、証明書を認証してもよい。発行された証明書がどのリソースに対するかに関係なく、カスタマエンティティがプロバイダ110の所与のネットワークリソースの使用、制御及び/または支払いを継続するか次第で、証明書を継続使用(及び更新)してもよい。
212において、発行されたデジタル証明書(例えば、117)をカスタマエンティティに再送信し、及び/または、ネットワークリソースで保存してもよい。214において、カスタマエンティティ102は、発行されたデジタル証明書の確認を受信するか(証明書をネットワークリソースで保存する場合)、デジタル証明書を保存してもよい(例えば、証明書をカスタマに送信する場合には、カスタマエンティティ102が管理するローカルの証明書記憶部で)。
216において、カスタマエンティティは、要求ネットワークリソース(例えば、114a)の使用、制御及び/または支払いを停止してもよい。218において、リソースモニタ112は、カスタマエンティティ102による停止を検出し、CA118に停止表示122を提供してもよい。そこで、CA118は期限切れのデジタル証明書を再発行/更新しなくてもよい(動作220)。または、カスタマエンティティは(217において)、発行済の短期デジタル証明書が期限切れになった後であっても、ネットワークリソース114aの使用、制御及び/または支払いを継続してもよい。リソースモニタ112は、CA118にネットワークリソースの継続使用を知らせる表示122を送信してもよく、CA118はデジタル証明書を更新してもよい(221において)。
図1及び3を参照すると、仮想マシンのデジタル証明書の提供に関する、カスタマエンティティ102に実施され得る動作(ページの左側)、及び、コンピュータサービスプロバイダ110により実施され得る動作(ページの右側)が表示されている。302では、カスタマエンティティ102は、プロバイダ110の仮想マシン(例えば、114a)の賃借料を支払ってもよい。304では、カスタマエンティティによる仮想マシン114aの使用承認が完了し、仮想マシンの設定判断(例えば、カスタマ及び/またはプロバイダ110が設定する)が完了し、さらにプロバイダ110でのカスタマからの支払いの受領が完了した後、プロバイダ110は仮想マシン114aを起動してもよい。
仮想マシン114aが起動されれば、プロバイダは(306において)仮想マシン114aに関連するデジタル証明書の発行についてカスタマエンティティ102を承認してもよい。308では、CA118は、仮想マシン114aにデジタル証明書(例えば、117)を関連させた(例えば、証明書に仮想マシン114aを載せるか指定した)期限付きのデジタル証明書を発行し、カスタマエンティティが、仮想マシン114aを使用しデジタル証明書の使用を要する提供サービス(例えば、カスタマに)若しくは他のサービス、または機能に関する証明書117を使用するようにしてもよい。310では、プロバイダ110は、VM(仮想マシン)で発行済デジタル証明書を保存してもよい。312では、カスタマエンティティ102は、発行済デジタル証明書の確認を受信してもよい。311では、CSP(コンピュータサービスプロバイダ)110により、仮想マシン114aで起動されるサービスに関するデジタル証明書をカスタマが使えるようにしてもよい。
図1及び4を参照すると、第一ネットワークリソースについてのデジタル証明書の提供に関する、カスタマエンティティ102により実施され得る動作(ページの左側)、及び、コンピュータサービスプロバイダ110により実施され得る動作(ページの右側)が示されており、証明書の更新は、カスタマエンティティが第二ネットワークリソースを使用、制御及び/または支払いをするか次第である。例えば、402では、カスタマエンティティ102は、プロバイダ110の複数のネットワークリソース(例えば、114a及び114b)の使用及び/または制御に対し支払いをしてもよい。プロバイダは、カスタマエンティティが承認されれば、(404において)使用及び/または制御できるようカスタマエンティティにネットワークリソース114a及び114bを提供してもよい。
403では、カスタマエンティティ102は、ネットワークリソース114aに関する使用に対しデジタル証明書を要求してもよい。認証情報(例えば、124)をCA118に送信してもよく、CA118は、ネットワークリソース114aの使用に関するデジタル証明書の発行についてカスタマエンティティを承認してもよい(405において)。406では、CA118は、カスタマエンティティ102によるネットワークリソース114bの使用及び/または制御に関連づけた短期のデジタル証明書を発行してもよい。408では、生成したデジタル証明書(例えば、117)を第一ネットワークリソース114aに再送信する。410では、カスタマエンティティ102は、ネットワークリソース114aに関する発行済デジタル証明書の確認を受信してもよい。
412では、カスタマエンティティ102は、ネットワークリソース114bの使用、制御及び/または支払いを停止してもよい。414では、リソースモニタ112は、カスタマエンティティ102による停止を検出し、CA118に停止表示122を提供してもよい。その後、CA118は、期限切れのネットワークリソース114aに関するデジタル証明書を再発行/更新しなくてもよい(動作416)。或いは、カスタマエンティティは(413において)、第一リソース114aについての発行済の短期デジタル証明書が期限切れになった後であっても、第二ネットワークリソース114bの使用、制御及び/または支払いを継続してもよい。リソースモニタ112は、CA118にネットワークリソース114bの継続使用/制御を知らせる表示122を送信してもよく、CA118は第一リソース114aに関するデジタル証明書を更新してもよい(417において)。
図5は、本開示の例示的な実施形態による、デジタル証明サービスを使用した、マルチテナント環境で実行される複数の仮想マシンインスタンスを表す例示的なシステム図である。具体的には、図5は、本明細書で説明する実施形態の実施が可能な1つの環境を表示した、ネットワークベースのコンピュータサービスプロバイダ500のコンピューティングシステム図である。バックグラウンドでは、コンピュータサービスプロバイダ500(すなわち、クラウドプロバイダ)は、エンドユーザ群(例えば、テナントまたはカスタマ)へのサービスとして計算記憶能力を提供できる。
例示的な実施形態において、コンピュータサービスプロバイダ500は、組織による構成か、組織に代わり確立することが可能である。つまり、コンピュータサービスプロバイダ500では、「専用クラウド環境」を提供してもよい。別の実施形態では、コンピュータサービスプロバイダ500はマルチテナント環境に対応しており、複数のカスタマが個別に操作する(すなわち、パブリッククラウド環境)。一般的にいえば、コンピュータサービスプロバイダ500は、Infrastructure as a Service(「IaaS」)、Platform as a Service(「PaaS」)、及び/または、Software as a Service(「SaaS」)といったモデルの提供が可能である。他のモデルも提供可能である。IaaSモデルに関し、コンピュータサービスプロバイダ500では、コンピュータを物理または仮想マシンなどのリソースとして提供可能である。以下でさらに説明するが、仮想マシンをハイパーバイザによりゲストとして実行可能である。PaaSモデルは、オペレーティングシステム、プログラム言語実行環境、データベース及びウェブサーバを含み得るコンピューティングプラットフォームを提供する。アプリケーションデベロッパは、基礎とするハードウェア及びソフトウェアを購入管理する費用を支払わずに、コンピュータサービスプロバイダのプラットフォーム上で自身のソフトウェアソリューションを開発実行できる。SaaSモデルでは、コンピュータサービスプロバイダ内でアプリケーションソフトウェアのインストール及び動作が可能である。いくつかの実施形態において、エンドユーザは、ウェブブラウザや他の軽いクライアントアプリケーションを実行するデスクトップコンピュータ、ラップトップ、タブレット、スマートフォンなど、ネットワーク化されたクライアントデバイスを使用して、コンピュータサービスプロバイダ500にアクセスする。当業者であれば、コンピュータサービスプロバイダ500を「クラウド」環境として説明できるとわかるであろう。
具体的に示したコンピュータサービスプロバイダ500では、複数のサーバコンピュータ502A−502Dを備える。サーバコンピュータ4台のみ図示しているが、何台でも可能であり、大型センタであれば数千台のサーバコンピュータでも含み得る。サーバコンピュータ502A‐502Dは、ソフトウェアインスタンス506A−506Dを実行するコンピューティングリソースを提供可能である。一つの実施形態において、インスタンス506A−506Dは仮想マシンである。当技術分野では既知であるように、仮想マシンは、物理マシンのようにアプリケーションを実行するマシン(すなわち、コンピュータ)をソフトウェア的に実施するインスタンスである。実施例において、各サーバコンピュータ502A−502Dは、一台のサーバ上で複数インスタンス506を実行できるよう構成されたハイパーバイザ508、または、別のプログラムタイプを実行するよう構成可能である。例えば、各サーバ502A−502Dは、(例えば、ハイパーバイザ508を介して)仮想マシンインスタンスをそれぞれ実行できる1以上の仮想マシン区分に対応するよう構成可能である(例えば、サーバコンピュータ502Aは、対応する仮想マシンインスタンスをそれぞれ実行する3つの仮想マシン区分に対応するよう構成可能である)。さらに、各インスタンス506は、1以上のアプリケーションを実行するよう構成可能である。
例示的な実施形態において、各サーバコンピュータ502A−502Dは、ネットワーク530に通信可能に接続されたデジタル証明書記憶部(516A−516D)も備えてもよい。デジタル証明書記憶部516は、適切な回路素子、ロジック及び/またはコードを備え、対応するサーバコンピュータ502上で実行される少なくとも1つのインスタンスに関し発行された1以上のデジタル証明書を記憶するよう動作可能であってもよい。
コンピュータサービスプロバイダ500は、デジタル証明サービス550も備えてもよい。デジタル証明サービス550は、適切な回路素子、ロジック及び/またはコードを備え、プロバイダ500のネットワークリソース(例えば、インスタンス506、及び/または、サーバコンピュータ502に関連する他のサービス)の1以上に関するデジタル証明書の発行、更新及び/または取消に加え、プロバイダ500のネットワークリソースの使用状況を監視するよう動作可能であってもよい。この場合、デジタル証明サービスは、本明細書で説明した、リソースモニタ112及び/またはCA118(図1)が実施する機能の1以上を実施してもよい。デジタル証明サービス550が生成し管理していたデジタル証明書を、証明書に関連するネットワークリソース(例えば、インスタンス506)と関連のある対応サーバコンピュータ502に送信してもよい。その後、デジタル証明書は、対応サーバコンピュータ502のデジタル証明書記憶部516によりローカルで保存されてもよい。或いは、生成されたデジタル証明書はまた、管理するサーバコンピュータ504に関連するデジタル証明書記憶部554により保存され、必要に応じて(例えば、インスタンスを使用、制御及び/または支払いをしているクライアントエンティティによる要求に従い)対応するサーバコンピュータに送信されてもよい。
デジタル証明サービス550は、プロバイダ500内でスタンドアロンサービスとし、専用サーバ(サーバ502A−502Dに類似)として実施され、及び/または、管理機能を実施するサーバコンピュータ504の一部として実施されてもよい。例えば、デジタル証明サービス550は、管理コンポーネント510の一部として実施されてもよい(図6に表示)。
本明細書で開示する実施形態を主に仮想マシンに関して説明したが、他のインスタンスタイプも本明細書で開示する概念及び技術と併せて利用可能であることは、理解されるであろう。例えば、本明細書で開示する技術は、記憶リソース、データ通信リソース、及び、他のコンピューティングリソースタイプと併せて利用可能である。本明細書で開示する実施形態は、仮想マシンインスタンスを利用せず、コンピュータシステム上で直接全てのアプリケーションまたはその一部を実行することも可能であろう。
サーバコンピュータ502、インスタンス506、ハイパーバイザ508及び/またはセンサ516の動作を管理するソフトウェアコンポーネントを実行するための、1以上のサーバコンピュータ504の確保が可能である。例えば、サーバコンピュータ504は管理コンポーネント510を実行できる。カスタマは管理コンポーネント510にアクセスし、カスタマが購入するインスタンス506の様々な動作態様を構成できる。例えば、カスタマは、インスタンスを購入、賃借または有期賃借し、インスタンスの構成を変更できる。また、カスタマは、購入インスタンスを要求に応じた調整具合の設定を指定できる。さらに、管理コンポーネント510は方針文書を備え、カスタマ方針(例えば、図1を参考に論じたような構成方針)の実施が可能である。
サーバコンピュータ504は、メモリ552及びデジタル証明書記憶部554をさらに備えてもよい。メモリ552は、配置マネジャ550及び/またはコンポーネント510、・・・、515の1以上により処理メモリとして使用されてもよい。デジタル証明書記憶部554を使用して、デジタル証明書を(上述のように)保存してもよい。また、デジタル証明書記憶部554は、1以上のデータベースを備えて、カスタマアカウント情報(例えば、クライアントエンティティによるネットワークリソースの使用/制御を承認するのに使用する認証情報、及び/または、デジタル証明書の発行についてデジタル証明サービス550がクライアントエンティティを承認するのに使用する認証情報)を保存及び維持してもよい。デジタル証明書記憶部554は、配置マネジャ550、及び/または、サーバコンピュータ504の他のコンポーネントのいずれかの一部(例えば、管理コンポーネント510の一部)として実施されてもよい。
自動調整コンポーネント512は、カスタマが規定する規則に基づきインスタンス506を調整できる。1つの実施形態において、自動調整コンポーネント512では、カスタマは、新規にインスタンスを起動すべきであると判断するのに使用するスケールアップ規則、及び、既存のインスタンスを停止すべきであると判断するのに使用するスケールダウン規則を指定できる。自動調整コンポーネント512は、様々なサーバコンピュータ502や他のコンピューティングデバイス上で実行される多数のサブコンポーネントで構成可能である。自動調整コンポーネント512は、内部管理ネットワークを介して使用可能なコンピューティングリソースを監視し、必要に応じて使用可能なリソースを変更することができる。
配設コンポーネント514を使用して、コンピューティングリソースの新規インスタンス506を配設するカスタマを支援することができる。配設コンポーネントは、アカウントの所有者、クレジットカード情報、所有者の国籍など、インスタンスに関連するアカウント情報を利用できる。配設コンポーネント514は、新規インスタンス506をどのように構成すべきかを示すデータを含む、カスタマからの構成情報を受信可能である。例えば、構成情報は、新規インスタンス506にインストールすべき1以上のアプリケーションの指定、新規インスタンス506を構成するため実行されるスクリプト及び/または他のコードタイプの提供、アプリケーションキャッシュの準備を指定するキャッシュロジック、ならびに、他の情報タイプの提供が可能である。配設コンポーネント514は、カスタマが提供する構成情報及びキャッシュロジックを使って、新規インスタンス506を構成、準備及び起動させることができる。カスタマは、管理コンポーネント510を使用するか、配設コンポーネント514に直接当該情報を提供して、構成情報及びキャッシュロジックなどの情報を指定してもよい。インスタンスマネジャを配設コンポーネントの一部と見なすこともできる。
カスタマアカウント情報515は、マルチテナント環境のカスタマに関連する任意の所望の情報を含むことができる。例えば、カスタマアカウント情報は、固有カスタマ識別子、カスタマアドレス、課金情報、ライセンス情報、インスタンス起動用カスタマイズパラメータ、スケジュール情報、自動調整パラメータ、アカウントアクセスに使用された旧IPアドレスなどを含み得る。
ネットワーク530は、サーバコンピュータ502A−502D及びサーバコンピュータ504の相互接続に利用され得る。ネットワーク530は、ローカルエリアネットワーク(LAN)で広域通信網(WAN)540への接続が可能であってもよく、エンドユーザがコンピュータサービスプロバイダ500にアクセスできるようにする。図5に示すネットワークトポロジは簡略化されているが、多数のネットワーク及びネットワークデバイスを利用して、本開示の様々なコンピューティングシステムの相互接続が可能であることは、理解されるであろう。
図6は、制御プレーンと関連する複数の管理コンポーネントを備えた、1つの実施形態によるデジタル証明サービスの管理に使用されてもよい、例示的なシステムをさらに詳細に示す。具体的には、図6は、コンピュータサービスプロバイダ500のマルチテナント環境でデジタル証明サービス550及びデジタル証明書記憶部554を実施する、管理コンポーネント510をさらに詳細に示している。
インスタンス(図5のインスタンス506など)へのアクセス及び利用に、クライアントデバイスの使用が可能である。クライアントデバイス610は、モバイル式など、多様なコンピューティングデバイスのいずれかでもよく、携帯電話、スマートフォン、ハンドヘルドコンピュータ、パーソナルデジタルアシスタント(PDA)、デスクトップコンピュータなどがある。クライアントデバイス610は、エンドポイント612を介してコンピュータサービスプロバイダ500と通信可能であり、エンドポイント612は、アプリケーションプログラミングインタフェース(API)要求を受信し処理するよう設計されたDNSアドレスであってもよい。具体的には、エンドポイント612は、APIを公開するよう構成されたウェブサーバであってもよい。クライアントデバイス610は、API要求を使用して、本明細書で記述するいずれかの機能を実施するよう要求できる(例えば、ネットワークリソースの制御、使用及び/若しくは支払い、ならびに/または、1以上のネットワークリソースに関連するデジタル証明書の発行についての承認要求)。コンピュータサービスプロバイダ500の内部にあってもよいその他サービス615は、同様にエンドポイント612に対するAPI要求が可能である。例えば、クライアントデバイス610は、API要求を使って、インスタンスの起動、及び、インスタンスに関連するデジタル証明書の要求についてのカスタマ要求を送信してもよい。
コンピュータサービスプロバイダ500(及び/または管理コンポーネント510内)に備えられても備えられなくてもよい他の一般的な管理サービスは、例えば、アドミッション制御ウェブサービスとして連動する1以上のコンピュータなどのアドミッション制御部614を含む。アドミッション制御部614は、コンピュータサービスプロバイダ500内でのサービスまたはデータ保存についてAPI要求を認証、有効化及びアンパックできる。能力トラッカ616は、能力の予測、提供ならびにリアルタイム構成及び配置について、物理インベントリを管理構成して、様々なインスタンスタイプの必要性に応じるためにどのようにサーバを構成する必要があるかを判断する役割を果たす。能力トラッカ616は、能力プールデータベース618で利用可能なインベントリプールを維持する。また、能力トラッカ616は、リソースが容易に入手可能かまたは制限されているかを認識できるよう、能力レベルを監視できる。
インスタンスマネジャ650は、ネットワーク内のインスタンスの起動及び停止を制御する。インスタンスの起動を指示する命令を受信すれば(API要求などで)、インスタンスマネジャ650は能力プール618からリソースを引き出し、所定のホストサーバコンピュータ上でインスタンスを起動する。記憶マネジャ622もネットワークリソースマネジャ624もインスタンスマネジャに類似している。記憶マネジャ622は記憶ボリュームの開始及び停止に関係し、ネットワークリソースマネジャ624はルータ、スイッチ、サブネットなどの開始及び停止に関係する。図7に関連してさらに詳述するが、区分ネットワーク640は、インスタンスが起動される物理層を備える。
デジタル証明サービス550は、能力トラッカ616と通信し、インスタンス(または、クライアントエンティティが要求する他のネットワークリソース)の起動に使用可能な利用可能区分及び/またはホストサーバの情報を受信してもよい。さらに、アドミッション制御部614と通信してインスタンスを起動してもよく、区分ネットワーク640と通信して、本明細書で記載する機能を実施するために、ホストサーバのハードウェア及び/またはソフトウェアリソースに対し、デジタル証明書だけでなく構成変更をプッシュしてもよい(例えば、デジタル証明書を、当該デジタル証明書に関連するインスタンスをホスティングする対応サーバコンピュータにプッシュし、その後対応サーバコンピュータのデジタル証明書記憶部516で保存してもよい)。
図7は、仮想マシンインスタンスの実行に使用するハードウェアアセットである複数のホストコンピュータ、ルータ及びスイッチの実施例を示しており、ホストコンピュータは、1つの実施形態により構成される、デジタル証明書に関連した機能を有する。具体的には、図7は、区分ネットワーク740、及び、区分ネットワークに関連する物理ハードウェアを示す。区分ネットワーク740は、ルータ716などのルータで接続された、データセンタ710a、・・・、710nなどの複数のデータセンタを含み得る。
ルータ716は、受信したパケット内のアドレス情報を読み出し、パケットの宛先を判断する。ホストサーバコンピュータは別のデータセンタに含まれているとルータが判断すれば、パケットを当該データセンタに転送する。パケットがデータセンタ710a内のホストへのものであれば、パケットのパブリックIPアドレスをプライベートIPアドレスに変換するネットワークアドレス変換部(NAT)718にパケットを送る。また、NAT718は、プライベートアドレスをデータセンタ710aの外部向けのパブリックアドレスに変換する。追加のルータ720をNAT718に接続し、ホストサーバコンピュータの1以上のラック730にパケットを送ることもできる。各ラック730は、複数のホストサーバコンピュータに接続されたスイッチ732を備え得る。特定のホストサーバコンピュータを741で拡大図にして示す。
各ホスト741は、ネットワークインタフェースカード(NIC)757、1以上のCPU(例えば、プロセッサ754)、メモリ(例えば、メモリ753)、デジタル証明書記憶部751などを備える基礎のハードウェア750を有する。ハードウェア層750にあるデジタル証明書記憶部751を使用して、区分780の1以上に関連する1以上のデジタル証明書(例えば、755)を保存してもよい。
ハードウェア750の上部層には、ハイパーバイザまたはカーネル層760が実行される。ハイパーバイザまたはカーネル層760をタイプ1またはタイプ2ハイパーバイザとして分類できる。タイプ1ハイパーバイザは、ホストハードウェア750上で直接実行され、ハードウェアを制御し、ゲストオペレーティングシステムを管理する。タイプ2ハイパーバイザは、従来のオペレーティングシステム環境で実行される。このため、タイプ2環境では、ハイパーバイザは、オペレーティングシステムの上部で実行される個別層であってもよく、オペレーティングはシステムハードウェアと対話する。異なるハイパーバイザタイプとして、Xenベース、Hyper−V、ESXi/ESX、Linuxなどがあるが、他のハイパーバイザも使用可能である。
管理層770は、ハイパーバイザの一部であってもハイパーバイザから分離されていてもよく、一般的にはハードウェア750へのアクセスに必要なデバイスドライバを備える。区分780はハイパーバイザで分離されたロジカルユニットである。各区分780に、ハードウェア層のメモリ、CPU割り付け部、記憶部などの部分割り付けが可能である。さらに、各区分は仮想マシン、各自のゲストオペレーティングシステム、及びそのデジタル証明書758(例えば、当該区分で実行される仮想マシンに関連する)を備え得る。したがって、各区分780は、他区分とは無関係な自身の仮想マシンに対応するよう設計された能力の概念部である。
本開示の例示的な実施形態により、デジタル証明サービス(例えば、550)を使って、本明細書で説明するデジタル証明書提供に関連する機能を実施してもよい。
図8は、本開示の実施形態による、コンピュータサービス環境でのデジタル証明書の例示的な提供方法のフローチャートである。図1及び8を参照すると、例示的な方法800は802で開始し、802において、カスタマエンティティは、コンピュータサービス環境(例えば、マルチテナント環境または別のネットワーク環境)でのネットワークリソースの使用及び/または制御について承認されてもよい。例えば、カスタマエンティティ102は、ネットワークリソース114a、・・・、114nの1以上の使用についてコンピュータサービスプロバイダ110により承認されてもよい。承認では、ネットワークリソースに関連するデジタル証明書の発行についてカスタマエンティティを承認することを含んでもよい。804では、承認完了を受け、デジタル証明書をカスタマエンティティに発行してもよい。例えば、承認完了を受け、CA118はデジタル証明書117を発行してもよく、当該デジタル証明書117は、承認されたネットワークリソース(例えば、114a)に関連付けられ、期限付きで発行される。
806では、リソースモニタ112は、カスタマエンティティ102によるネットワークリソース(例えば、114a)の使用状況及び/または制御状況を監視してもよい。本明細書で使用されるとき、用語「監視する」及び「監視」は、コンピュータサービスプロバイダ110がホストサーバ(例えば、741)の管理層(例えば、770)にpingを送りVMがまだアクティブかを判断してもよいことを意味する。管理層からの応答を受信する場合、応答がVMのカスタマアカウントと関連するメタデータを備えていてもよい。その後、リソースモニタ112は、デジタル証明書に関連するカスタマアカウントをVMのカスタマアカウントと照会してもよい。両者が一致すれば、リソースモニタ112は、カスタマがまだVMをアクティブにしていると判断してもよく、その旨の表示122をCA118に送信してもよい(ステップ808を参照して以下で説明する)。リソースモニタ112は、VMを使用するカスタマエンティティに発行されたデジタル証明書が期限切れになるまでの所定期間、そういった監視を実施してもよい。
808において、カスタマエンティティ102がマルチテナント環境でネットワークリソース(例えば、114a)をまだ使用及び/または制御しているかを条件に、デジタル証明書117の再発行を行ってもよい。カスタマエンティティ102がマルチテナント環境でネットワークリソースをまだ使用及び/または制御しているのであれば、リソースモニタ112は、CA118に継続使用している旨の表示122を送信してもよく、CA118は、別の期限付きのデジタル証明書を自動的に再発行してもよい。カスタマエンティティ102からの証明書再発行要求を受信せずとも、自動的に再発行してもよい。
第一ネットワークリソース(例えば、114a)について承認を行い、デジタル証明書117を、カスタマエンティティ102に自動的に発行してもよい。その場合、デジタル証明書117は、第一ネットワークリソース(例えば、114a)を識別し、カスタマエンティティ102による第一ネットワークリソースの使用に関連付けられてもよい。
また別の場合、第一ネットワークリソース(例えば、114a)及び第二ネットワークリソース(例えば、114b)について承認を行ってもよい。プロバイダ110が第二ネットワークリソース(114b)に関連するデジタル証明書の発行要求を受信すると、CA118は、第二ネットワークリソースに関連するデジタル証明書を自動的に発行してもよい。カスタマエンティティ102による第一ネットワークリソース(114a)の使用及び/または制御を条件に、第二ネットワークリソース(114b)についてのデジタル証明書を発行してもよい。カスタマエンティティ102が第一ネットワークリソース(114a)をまだ制御及び/または使用していることを条件に、第二ネットワークリソースに関連するデジタル証明書を再発行してもよい。
図9は、本開示の実施形態による、コンピュータサービス環境でのデジタル証明書の別の例示的な提供方法のフローチャートである。図1及び9を参照すると、例示的な方法900は902で開始し、902において、カスタマエンティティと関連するネットワークリソース(例えば、114a)をコンピュータサービス環境(例えば、マルチテナント環境または別のネットワーク環境)で使用してもよい(例えば、プロバイダ110による)。カスタマエンティティ102は、起動されたネットワークリソース(例えば、114a)に関連して発行されたデジタル証明書を有してもよい。904では、プロバイダ110は、ネットワークリソース(114a)がカスタマエンティティとまだ関連しているかを判断してもよい(例えば、リソースモニタ112は、カスタマエンティティがネットワークリソース114aをまだ使用、制御及び/または支払いしているかを判断してもよい)。906において、ネットワークリソース(114a)がカスタマエンティティとまだ関連している(例えば、カスタマエンティティ102がリソースをまだ使用、制御及び/または支払いをしている)場合、カスタマエンティティによる期限付きの使用について、ネットワークリソース(114a)に関連するデジタル証明書を再発行(例えば、CA118により)してもよい。カスタマエンティティからの再発行要求を受信せずとも、自動的に再発行を行ってもよい。ここでの判断では、ネットワークリソースがカスタマエンティティにより使用され、カスタマエンティティにより支払いがあり、及び/または、カスタマエンティティ102により制御されるかを判断することを含んでもよい。
ネットワークリソース(114a)についてカスタマエンティティに発行されたデジタル証明書(例えば、117)により、秘密暗号鍵に対応する公開暗号鍵をカスタマエンティティ102に関連付けてもよい。CA118が秘密及び公開鍵ペアを生成してもよい。例えば、CA118は、マルチテナント環境でのネットワークリソース(114a)の使用及び/または制御についてカスタマエンティティ102が承認されれば、公開暗号鍵及び秘密暗号鍵を生成してもよい。秘密暗号鍵は、CA118により管理され、カスタマエンティティ102へのアクセスができなくてもよい。ネットワークリソースは、カスタマエンティティ102が使用、制御及び/または支払いをする仮想マシン、データベース及び/またはサービスの1以上を含んでもよい。
図10は、本開示の実施形態による、デジタル証明書のまた別の例示的な提供方法のフローチャートである。図1及び10を参照すると、例示的な方法1000は1002で開始し、1002において、カスタマエンティティ(102)からの仮想マシン(例えば、114a)を求める要求、及び仮想マシンに関連するデジタル証明書を受信してもよい(例えば、プロバイダ110により)。1004では、要求に応答して、プロバイダ110は、マルチテナント環境での仮想マシン(114a)の使用及びデジタル証明書の発行についてカスタマエンティティ102を承認してもよい。1006では、承認完了(デジタル証明書の発行のための承認を含んでもよい)を受け、プロバイダ110は、カスタマエンティティ(102)用の仮想マシン(114a)を起動してもよい。その後、CA118は、カスタマエンティティにデジタル証明書(117)を発行してもよく、当該デジタル証明書(117)は、期限付きでのカスタマエンティティによる仮想マシン(114a)の使用及び/または制御に関連していてもよい。1008では、リソースモニタ112は、カスタマエンティティ(102)による仮想マシンの使用状況及び/または制御状況を監視してもよい。1010では、CA118は、カスタマエンティティが仮想マシン(114a)をまだ使用している場合、デジタル証明書(117)を再発行してもよい。
CA118は、カスタマエンティティが仮想マシンをまだ使用している旨の表示(例えば、122)、及び、カスタマエンティティが仮想マシンについてのデジタル証明書をまだ要求している旨の表示を受信すれば、デジタル証明書を自動的に再発行してもよい。また、デジタル証明書(117)は、仮想マシンの継続使用に対し及びデジタル証明書の再発行に対しカスタマエンティティから支払いがあれば、CA118により自動的に再発行されてもよい。
カスタマエンティティへの承認では、仮想マシンの使用に対し及びデジタル証明書の発行に対し、カスタマエンティティからの支払いを受けてもよい。仮想マシンは、プロバイダ110のマルチテナントネットワーク環境内におけるカスタマエンティティ(102)のカスタマアカウントに関連してもよい。
本開示の実施形態について、以下の条項の点から説明できる。
条項1.
1以上のコンピューティングデバイスにコンピュータサービス環境でデジタル証明書の提供方法を実施させるコンピュータ実行可能命令を記憶するコンピュータ読取可能記憶媒体であって、前記方法では、
前記コンピュータサービス環境でネットワークリソースの使用及び/または制御についてカスタマエンティティを承認し、
前記承認の完了を受け、前記カスタマエンティティにデジタル証明書を発行し、前記デジタル証明書は前記ネットワークリソースに関連して期限付きで発行され、
前記カスタマエンティティによる前記ネットワークリソースの前記使用及び/または制御を監視し、
前記カスタマエンティティが前記マルチテナント環境で前記ネットワークリソースをまだ使用及び/または制御しているかを条件に、前記デジタル証明書を再発行することを含む、前記コンピュータ読取可能記憶媒体。
条項2.
前記カスタマエンティティが前記マルチテナント環境で前記ネットワークリソースをまだ使用及び/または制御している場合、別の期限付きの前記デジタル証明書を自動再発行することをさらに含む、条項1に記載のコンピュータ読取可能記憶媒体。
条項3.
前記カスタマエンティティからの証明書再発行要求を受信せずとも、前記自動再発行を行う、条項2に記載のコンピュータ読取可能記憶媒体。
条項4.
前記承認は、第一ネットワークリソース及び第二ネットワークリソースに関するものであり、前記方法は、
前記第二ネットワークリソースに関連する前記デジタル証明書の発行要求を受信し、
前記第二ネットワークリソースに関連する前記デジタル証明書を自動発行し、前記デジタル証明書の前記発行は、前記カスタマエンティティによる前記第一ネットワークリソースの使用及び/または制御を条件とすることをさらに含む、条項1に記載のコンピュータ読取可能記憶媒体。
条項5.
前記カスタマエンティティが前記第一ネットワークリソースをまだ使用及び/または制御していることを条件に、さらに、前記第二ネットワークリソースに関連する前記デジタル証明書を再発行することをさらに含む、条項4に記載のコンピュータ読取可能記憶媒体。
条項6.
コンピュータサービス環境におけるデジタル証明書の提供方法であって、
前記コンピュータサービス環境で、カスタマエンティティに関連するネットワークリソースを使用し、前記カスタマエンティティは、前記ネットワークリソースについて発行されたデジタル証明書を所有しており、
前記ネットワークリソースが前記カスタマエンティティにまだ関連しているかを判断し、
前記ネットワークリソースが前記カスタマエンティティにまだ関連している場合、前記カスタマエンティティによる使用について期限付きで前記デジタル証明書を再発行することを含む、前記方法。
条項7.
前記カスタマエンティティからの再発行要求を受信せずとも、再発行を自動的に行う、条項6に記載の方法。
条項8.
前記デジタル証明書が公開暗号鍵を前記カスタマエンティティに関連付け、
前記公開暗号鍵が秘密暗号鍵に対応する、条項6に記載の方法。
条項9.
前記マルチテナント環境での前記ネットワークリソースの使用及び/または制御について前記カスタマエンティティが承認されれば、前記公開暗号鍵及び前記秘密暗号鍵を生成することをさらに含む、条項8に記載の方法。
条項10.
前記秘密暗号鍵では前記カスタマエンティティへのアクセスができない、条項9に記載の方法。
条項11.
前記ネットワークリソースは、前記カスタマエンティティが使用及び/または制御する仮想マシン、データベース及び/またはサービスの少なくとも一つである、条項6に記載の方法。
条項12.
前記デジタル証明書の発行要求を前記カスタマエンティティから受信し、
前記デジタル証明書に関連する前記カスタマエンティティを承認し、
前記カスタマエンティティが無事に承認されると、前記デジタル証明書を発行し、前記デジタル証明書が前記ネットワークリソースを識別することを含む、条項6に記載の方法。
条項13.
前記ネットワークリソースは仮想マシンであり、前記承認は、
料金支払いと引き換えに、前記カスタマエンティティを前記仮想マシンに関連付け、
前記カスタマエンティティが使用する前記仮想マシンを起動させることを含む、条項12に記載の方法。
条項14.
前記カスタマエンティティに対し前記ネットワークリソースへのアクセスを認可し、
前記カスタマエンティティによる前記ネットワークリソースの使用に関連して、前記カスタマエンティティに前記デジタル証明書を自動発行することをさらに含む、条項6に記載の方法。
条項15.
前記判断は、前記ネットワークリソースについての
前記カスタマエンティティによる使用、
前記カスタマエンティティによる支払い、または、
前記カスタマエンティティによる制御、の少なくとも一つであるかを判断することを含む、条項6に記載の方法。
条項16.
カスタマエンティティが使用するようコンピューティングリソースを提供するネットワークベースのマルチテナントサービスであって、
1以上のプロセッサ、及び
動作を実施させるよう前記1以上のプロセッサにより実行可能な命令を記憶するコンピュータ読取可能メモリを備え、前記動作は、
カスタマエンティティから仮想マシン及び前記仮想マシンに関連するデジタル証明書を求める要求を受信し、
前記要求に応答して、前記仮想マシンの使用及び前記デジタル証明書の発行について前記カスタマエンティティを承認し、
前記承認が完了すれば、
前記カスタマエンティティ用に前記仮想マシンを起動し、
前記デジタル証明書を前記カスタマエンティティに発行し、前記デジタル証明書は、期限付きの前記カスタマエンティティによる前記仮想マシンの使用に関連し、
前記カスタマエンティティによる前記仮想マシンの使用状況を監視し、
前記カスタマエンティティがまだ前記仮想マシンを使用している場合、前記デジタル証明書を再発行することを含む、前記ネットワークベースのマルチテナントサービス。
条項17.
前記動作は、
前記カスタマエンティティがまだ前記仮想マシンを使用している旨の表示、及び
前記カスタマエンティティが前記仮想マシンに関するデジタル証明書を要求している旨の表示、を受信すれば前記デジタル証明書の自動再発行が実施されることをさらに含む、条項16に記載のネットワークベースのマルチテナントサービス。
条項18.
前記動作は、
前記カスタマエンティティから、前記仮想マシンの継続使用及び前記デジタル証明書の再発行に対する支払いがあれば、前記デジタル証明書を自動再発行することをさらに含む、条項16に記載のネットワークベースのマルチテナントサービス。
条項19.
前記カスタマエンティティの承認は、前記カスタマエンティティから前記仮想マシンの使用及び前記デジタル証明書の前記発行に対する支払いを受けることを含む、条項16に記載のネットワークベースのマルチテナントサービス。
条項20.
前記仮想マシンが前記カスタマエンティティのカスタマアカウントに関連する、条項16に記載のネットワークベースのマルチテナントサービス。
図11は、説明する革新の実施に好適なコンピューティング環境の一般的な実施例を示す。図11を参照すると、革新は様々な汎用または特定用途向けコンピューティングシステムで実施されてもよく、コンピューティング環境1100では、使用または機能性の範囲について限定する意図は無い。例えば、コンピューティング環境1100は、多様なコンピューティングデバイスのいずれであってもよい(例えば、デスクトップコンピュータ、ラップトップコンピュータ、サーバコンピュータ、タブレットコンピュータなど)。
図11を参照して、コンピューティング環境1100は1以上の処理装置1110、1115、及び、メモリ1120、1125を備える。図11では、当該基礎構成1130は点線で囲まれている。処理装置1110、1115はコンピュータ実行可能命令を実行する。処理装置は、汎用中央処理装置(CPU)、特定用途向け集積回路(ASIC)用プロセッサ、または他の任意のプロセッサであってもよい。マルチ処理システムにおいて、複数の処理装置により、コンピュータ実行可能命令を実行し処理能力を強化する。例えば、図11では、グラフィックス処理装置または共処理装置1115と共に、中央処理装置1110も示している。有形のメモリ1120、1125は、処理装置がアクセス可能な揮発性メモリ(例えば、レジスタ、キャッシュ、RAM)、非揮発性メモリ(例えば、ROM、EEPROM、フラッシュメモリなど)、または両者の任意の組合せであってもよい。メモリ1120、1125は、処理装置での実行に適したコンピュータ実行可能命令形式で、本明細書で記載した1以上の革新(例えば、機能性)を実施するソフトウェア1180を記憶する。
コンピューティングシステムはさらなる特徴を有してもよい。例えば、コンピューティング環境1100は、記憶装置1140、1以上の入力デバイス1150、1以上の出力デバイス1160、及び、1以上の通信接続1170を含む。バス、コントローラ、またはネットワークなどの相互接続機構(図示せず)は、コンピューティング環境1100のコンポーネントを相互接続する。一般的にオペレーティングシステムソフトウェア(図示せず)は、コンピューティング環境1100で実行される他のソフトウェアの動作環境を提供し、コンピューティング環境1100のコンポーネントのアクティビティを調整する。
有形の記憶装置1140は、取外し可能または取外し不可であってもよく、磁気ディスク、磁気テープ若しくはカセット、CD−ROM、DVD、または、非一時的な情報保存に使用可能でコンピューティング環境1100内でアクセス可能な他の媒体を含む。記憶装置1140は、本明細書で記述する1以上の革新を実施するソフトウェア1180用の命令を保存する。
入力デバイス1150は、キーボード、マウス、ペン若しくはトラックボールなどのタッチ式入力デバイス、音声入力デバイス、スキャンデバイス、または、コンピューティング環境1100に入力を提供する他のデバイスであってもよい。出力デバイス1160は、ディスプレイ、プリンタ、スピーカ、CDライタ、または、コンピューティング環境1100からの出力を提供する他のデバイスであってもよい。
通信接続1170により、通信媒体を介した別のコンピューティングエンティティへの通信が可能である。通信媒体は、コンピュータ実行可能命令、音声若しくは映像入力若しくは出力、または、変調データ信号の他データなど、情報を伝達する。変調データ信号は、信号内の情報をコード化するよう設定または変更された特性の1以上を有する信号である。限定するものでないが、一例として、通信媒体は、電気キャリア、光キャリアまたはRFキャリアなどのキャリアの使用が可能である。
説明し易いよう本開示方法のいくつかの動作を、具体的に順を追って説明したが、特定の順序を以下で示した特定言語で要求しない限り、説明した本方法には並び替えも包含されると理解すべきである。例えば、順を追って説明した動作は、並び替えられたり、同時に実施されたりするかもしれない。また、添付の図では、簡略化のため、他の方法と併せて開示方法を使用する様々な方法を示していないことがある。
本開示方法のいずれかは、1以上のコンピュータ読取可能記憶媒体(例えば、1以上の光学メディアディスク、揮発性メモリコンポーネント(DRAM若しくはSRAMなど)、または、非揮発性メモリコンポーネント(フラッシュメモリ若しくはハードドライブなど))に保存され、コンピュータ(例えば、スマートフォン、若しくは、コンピューティングハードウェアを含む他の携帯デバイスを含む、任意の市販のコンピュータ)上で実行可能なコンピュータ実行可能命令として実施可能である。用語コンピュータ読取可能記憶媒体には、信号や搬送波などの通信接続を含まない。本開示の実施形態の実施で作成され使用されるデータと同様に、本開示の技術を実施するコンピュータ実行可能命令のうちいずれかは、1以上のコンピュータ読取可能記憶媒体での保存が可能である。コンピュータ実行可能命令は、例えば、ウェブブラウザまたは他のソフトウェアアプリケーション(遠隔コンピューティングアプリケーションなど)を介してアクセスまたはダウンロードされる専用ソフトウェアアプリケーションまたはソフトウェアアプリケーションの一部であってもよい。そのようなソフトウェアは、例えば、1台のローカルコンピュータ(例えば、任意の適切な市販のコンピュータ)、または、1以上のネットワークコンピュータを使用したネットワーク環境(例えば、インターネット、ワイドエリアットワーク、ローカルエリアネットワーク、カスタマ−サーバネットワーク(クラウドコンピューティングネットワークなど)、若しくは、他のそのようなネットワーク)で、実行可能である。
明確にするため、ソフトウェアベースで実施する所定の態様を選択しそれのみを説明する。当技術分野では周知の他の詳細は省略する。例えば、本開示技術は、特定のコンピュータ言語やプログラムに限定されないと理解すべきである。例えば、本開示技術は、C++、Java(登録商標)、Perl(登録商標)、JavaScript(登録商標)、Adobe Flash(登録商標)、またはその他適切なプログラミング言語で書かれたソフトウェアでの実施が可能である。同様に、本開示技術は、特定のコンピュータやハードウェアタイプに限定されるものではない。適したコンピュータ及びハードウェアの詳細は周知であり、本開示で詳述する必要はない。
本明細書で説明するいずれの機能も少なくとも一部は、ソフトウェアではなく、1以上のハードウェアロジックコンポーネントでの実行が可能であることも、十分理解されよう。限定ではなく例として挙げるが、使用可能なハードウェアロジックコンポーネントの例示的な種類には、Field−programmable Gate Arrays(FPGAs)、Program−specific Integrated Circuits(ASICs)、Program−specific Standard Products(ASSPs)、System−on−a−chip systems(SOCs)、Complex Programmable Logic Devices(CPLDs)などがある。
さらに、ソフトウェアベースの実施形態(例えば、コンピュータに本開示の方法のいずれかを実施させるコンピュータ実行可能命令を備えている)のいずれかを、適した通信方法でアップロード、ダウンロード、または、遠隔で入手することが可能である。そのような適した通信方法には、例えば、インターネット、ワールドワイドウェブ、イントラネット、ソフトウェアアプリケーション、ケーブル(光ファイバケーブルを含む)、磁気通信、電磁通信(RF、電磁波及び赤外線通信を含む)、電子通信、または、他のそのような通信手段がある。
本開示の方法、装置及びシステムは、限定的に構成されるものではない。反対に、本開示は、単体であったり、相互に様々に組み合わされ、二次的に組み合わされたりした多様な開示の実施形態において、新規性があり自明ではないあらゆる特徴及び態様を示すものである。本開示の方法、装置及びシステムは、特定の態様、特徴、それらの組合せのいずれにも限定されるものでなく、また、本開示実施形態により、いずれかまたは複数の特定利点を示したり問題を解決したりすることを求めるものではない。
本発明の原理を適用する可能性がある実施形態は多いが、示した実施形態は単に本発明の好適な実施例であると認識すべきであり、本発明の範囲を限定するものではない。本発明の範囲を以下の請求項で定義する。そのため、本発明として請求されることは全て当該請求項の範囲に該当する。

Claims (15)

  1. コンピュータサービス環境におけるデジタル証明書の提供方法であって、
    前記コンピュータサービス環境で、カスタマエンティティに関連するネットワークリソースを使用し、前記カスタマエンティティは、前記ネットワークリソースについて発行されたデジタル証明書を所有しており、
    前記ネットワークリソースが前記カスタマエンティティにまだ関連しているかを判断し、
    前記ネットワークリソースが前記カスタマエンティティにまだ関連している場合、前記カスタマエンティティによる使用について期限付きで前記デジタル証明書を再発行することを含むデジタル証明書の提供方法。
  2. 前記カスタマエンティティからの再発行要求を受信せずとも、再発行を自動的に行う、請求項1に記載の方法。
  3. 前記デジタル証明書が公開暗号鍵を前記カスタマエンティティに関連付け、
    前記公開暗号鍵が秘密暗号鍵に対応する、請求項1に記載の方法。
  4. 前記マルチテナント環境での前記ネットワークリソースの使用及び/または制御について前記カスタマエンティティが承認されれば、前記公開暗号鍵及び前記秘密暗号鍵を生成することをさらに含む、請求項3に記載の方法。
  5. 前記秘密暗号鍵では前記カスタマエンティティへのアクセスができない、請求項4に記載の方法。
  6. 前記ネットワークリソースは、前記カスタマエンティティが使用及び/または制御する仮想マシン、データベース及び/またはサービスの少なくとも一つである、請求項1に記載の方法。
  7. 前記デジタル証明書の発行要求を前記カスタマエンティティから受信し、
    前記デジタル証明書に関連する前記カスタマエンティティを承認し、
    前記カスタマエンティティが無事に承認されると、前記デジタル証明書を発行し、前記デジタル証明書が前記ネットワークリソースを識別することを含む、請求項1に記載の方法。
  8. 前記ネットワークリソースが仮想マシンであり、前記承認は、
    料金支払いと引き換えに、前記カスタマエンティティを前記仮想マシンに関連付け、
    前記カスタマエンティティが使用する前記仮想マシンを起動させることを含む、請求項7に記載の方法。
  9. 前記カスタマエンティティに対し前記ネットワークリソースへのアクセスを認可し、
    前記カスタマエンティティによる前記ネットワークリソースの使用に関連して、前記カスタマエンティティに前記デジタル証明書を自動発行する、請求項1に記載の方法。
  10. 前記判断は、前記ネットワークリソースについての
    前記カスタマエンティティによる使用、
    前記カスタマエンティティによる支払い、または、
    前記カスタマエンティティによる制御、の少なくとも一つがあるかを判断することを含む、請求項1に記載の方法。
  11. カスタマエンティティが使用するようコンピューティングリソースを提供するネットワークベースのマルチテナントサービスは、
    1以上のプロセッサ、及び
    動作を実施させるよう前記1以上のプロセッサにより実行可能な命令を記憶するコンピュータ読取可能メモリを備え、前記動作は、
    カスタマエンティティから仮想マシン及び前記仮想マシンに関連するデジタル証明書を求める要求を受信し、
    前記要求に応答して、前記仮想マシンの使用及び前記デジタル証明書の発行について前記カスタマエンティティを承認し、
    前記承認が完了すれば、
    前記カスタマエンティティ用に前記仮想マシンを起動し、
    前記デジタル証明書を前記カスタマエンティティに発行し、前記デジタル証明書は、期限付きの前記カスタマエンティティによる前記仮想マシンの使用に関連し、
    前記カスタマエンティティによる前記仮想マシンの使用状況を監視し、
    前記カスタマエンティティがまだ前記仮想マシンを使用している場合、前記デジタル証明書を再発行することを含む、前記ネットワークベースのマルチテナントサービス。
  12. 前記動作は、
    前記カスタマエンティティがまだ前記仮想マシンを使用している旨の表示、及び
    前記カスタマエンティティが前記仮想マシンに関するデジタル証明書を要求している旨の表示、を受信すれば前記デジタル証明書の自動再発行が実施されることをさらに含む、請求項11に記載のネットワークベースのマルチテナントサービス。
  13. 前記動作は、
    前記カスタマエンティティから、前記仮想マシンの継続使用及び前記デジタル証明書の再発行に対する支払いがあれば、前記デジタル証明書を自動再発行することをさらに含む、請求項11に記載のネットワークベースのマルチテナントサービス。
  14. 前記カスタマエンティティの承認は、前記カスタマエンティティから前記仮想マシンの使用及び前記デジタル証明書の前記発行に対する支払いを受けることを含む、請求項11に記載のネットワークベースのマルチテナントサービス。
  15. 前記仮想マシンが前記カスタマエンティティのカスタマアカウントに関連する、請求項11に記載のネットワークベースのマルチテナントサービス。
JP2016553490A 2014-02-25 2015-02-24 デジタル証明書の提供方法及びマルチテナントサービス装置 Expired - Fee Related JP6403789B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/189,262 US9306935B2 (en) 2014-02-25 2014-02-25 Provisioning digital certificates in a network environment
US14/189,262 2014-02-25
PCT/US2015/017232 WO2015130648A1 (en) 2014-02-25 2015-02-24 Provisioning digital certificates in a network environment

Publications (2)

Publication Number Publication Date
JP2017506473A true JP2017506473A (ja) 2017-03-02
JP6403789B2 JP6403789B2 (ja) 2018-10-10

Family

ID=53883386

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016553490A Expired - Fee Related JP6403789B2 (ja) 2014-02-25 2015-02-24 デジタル証明書の提供方法及びマルチテナントサービス装置

Country Status (9)

Country Link
US (2) US9306935B2 (ja)
EP (1) EP3111620A4 (ja)
JP (1) JP6403789B2 (ja)
KR (1) KR101928038B1 (ja)
CN (1) CN106233690B (ja)
AU (1) AU2015223293B2 (ja)
CA (1) CA2940253A1 (ja)
SG (1) SG11201606999YA (ja)
WO (1) WO2015130648A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020022165A (ja) * 2018-08-02 2020-02-06 シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft 自動化された公開鍵基盤の初期設定

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9158909B2 (en) * 2014-03-04 2015-10-13 Amazon Technologies, Inc. Authentication of virtual machine images using digital certificates
US9838371B2 (en) 2014-03-14 2017-12-05 Citrix Systems, Inc. Method and system for securely transmitting volumes into cloud
US10038719B2 (en) * 2014-04-29 2018-07-31 Dell Products L.P. Single-step custom configuration of a cloud client device
CN105282122B (zh) * 2014-07-22 2019-07-12 中兴通讯股份有限公司 基于数字证书的信息安全实现方法及系统
US9769153B1 (en) * 2015-08-07 2017-09-19 Amazon Technologies, Inc. Validation for requests
US9767318B1 (en) * 2015-08-28 2017-09-19 Frank Dropps Secure controller systems and associated methods thereof
US9912478B2 (en) 2015-12-14 2018-03-06 International Business Machines Corporation Authenticating features of virtual server system
US10554418B2 (en) * 2016-06-24 2020-02-04 General Electric Company Routing cloud messages using digital certificates
CN106878084B (zh) * 2017-02-28 2020-03-06 新华三技术有限公司 一种权限控制方法和装置
EP3593489B1 (en) * 2017-03-08 2023-06-14 Amazon Technologies, Inc. Digital certificate issuance and monitoring
WO2019005103A1 (en) * 2017-06-30 2019-01-03 Nokia Solutions And Networks Oy SECURE CONNECTION CONTEXT SHARING THROUGH A TRUSTED AUTHORITY
RU2693330C2 (ru) * 2017-12-27 2019-07-02 Общество С Ограниченной Ответственностью "Яндекс" Способ и система для авторизации пользователя для выполнения действия в электронном сервисе
US11563590B1 (en) 2018-04-03 2023-01-24 Amazon Technologies, Inc. Certificate generation method
US11323274B1 (en) 2018-04-03 2022-05-03 Amazon Technologies, Inc. Certificate authority
US11888997B1 (en) * 2018-04-03 2024-01-30 Amazon Technologies, Inc. Certificate manager
US10880312B1 (en) 2018-11-21 2020-12-29 Amazon Technologies, Inc. Authentication and authorization with remotely managed user directories
US11223615B2 (en) * 2019-05-09 2022-01-11 Sap Se Provisioning initial keystore for multi-tenant, microservice architecture-based integration service in a cloud computing environment setup
US20210367794A1 (en) * 2020-05-21 2021-11-25 Cryptotronix, LLC Device provisioning system
US11410551B2 (en) 2020-07-23 2022-08-09 Qualcomm Incorporated Techniques for utilizing a mobile device as a proxy for a vehicle
US11683684B2 (en) * 2020-07-23 2023-06-20 Qualcomm Incorporated Obtaining a credential for V2X transmission on behalf of a vehicle
US11511767B2 (en) 2020-07-23 2022-11-29 Qualcomm Incorporated Techniques for utilizing CV2X registration data
CN113079006B (zh) * 2021-03-29 2021-11-30 上海纬百科技有限公司 针对密钥的信息处理方法、电子设备及存储介质
US11843707B2 (en) * 2021-07-12 2023-12-12 Dell Products, L.P. Systems and methods for authenticating hardware of an information handling system
CN113890742B (zh) * 2021-09-30 2024-03-19 银联商务股份有限公司 一种客户端公钥证书更新方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005117183A (ja) * 2003-10-03 2005-04-28 Canon Inc 情報処理装置、テレビシステム、制御方法及びプログラム
JP2006518949A (ja) * 2003-01-07 2006-08-17 ピージーピー コーポレイション セキュアで透過的な電子的通信のためのシステムおよび方法
JP2010108396A (ja) * 2008-10-31 2010-05-13 Brother Ind Ltd ネットワーク装置
US20110214124A1 (en) * 2010-02-26 2011-09-01 James Michael Ferris Systems and methods for generating cross-cloud computing appliances
JP2013069142A (ja) * 2011-09-22 2013-04-18 Fujitsu Ltd アクセス制御プログラム、アクセス制御方法及びアクセス制御装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7099957B2 (en) 2001-08-23 2006-08-29 The Directtv Group, Inc. Domain name system resolution
US7484089B1 (en) * 2002-09-06 2009-01-27 Citicorp Developmemt Center, Inc. Method and system for certificate delivery and management
US20050138388A1 (en) * 2003-12-19 2005-06-23 Robert Paganetti System and method for managing cross-certificates copyright notice
US20060002556A1 (en) 2004-06-30 2006-01-05 Microsoft Corporation Secure certificate enrollment of device over a cellular network
US7793096B2 (en) 2006-03-31 2010-09-07 Microsoft Corporation Network access protection
US7613915B2 (en) 2006-11-09 2009-11-03 BroadOn Communications Corp Method for programming on-chip non-volatile memory in a secure processor, and a device so programmed
US8473735B1 (en) 2007-05-17 2013-06-25 Jpmorgan Chase Systems and methods for managing digital certificates
WO2009023875A1 (en) 2007-08-16 2009-02-19 Sierra Wireless, Inc. System and methods for providing emergency service trust in packet data networks
US8249654B1 (en) 2007-09-27 2012-08-21 Sprint Communications Company L.P. Dynamic smart card application loading
CN102118374A (zh) 2009-12-30 2011-07-06 鸿富锦精密工业(深圳)有限公司 数字证书自动更新系统及方法
US9704165B2 (en) 2010-05-11 2017-07-11 Oracle International Corporation Systems and methods for determining value of social media pages
GB201016084D0 (en) * 2010-09-24 2010-11-10 Pixelmags Inc Authorization method
US9032204B2 (en) 2011-01-07 2015-05-12 Mastercard International Incorporated Methods and systems for providing a signed digital certificate in real time
US9147062B2 (en) * 2011-06-29 2015-09-29 International Business Machines Corporation Renewal of user identification information
US8856514B2 (en) 2012-03-12 2014-10-07 International Business Machines Corporation Renewal processing of digital certificates in an asynchronous messaging environment
US9842335B2 (en) * 2012-03-23 2017-12-12 The Toronto-Dominion Bank System and method for authenticating a payment terminal
US9210162B2 (en) * 2012-05-02 2015-12-08 Microsoft Technology Licensing, Llc Certificate based connection to cloud virtual machine
US8850187B2 (en) 2012-05-17 2014-09-30 Cable Television Laboratories, Inc. Subscriber certificate provisioning
US8805971B1 (en) 2012-06-15 2014-08-12 Amazon Technologies, Inc. Client-specified schema extensions in cloud computing environments

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006518949A (ja) * 2003-01-07 2006-08-17 ピージーピー コーポレイション セキュアで透過的な電子的通信のためのシステムおよび方法
JP2005117183A (ja) * 2003-10-03 2005-04-28 Canon Inc 情報処理装置、テレビシステム、制御方法及びプログラム
JP2010108396A (ja) * 2008-10-31 2010-05-13 Brother Ind Ltd ネットワーク装置
US20110214124A1 (en) * 2010-02-26 2011-09-01 James Michael Ferris Systems and methods for generating cross-cloud computing appliances
JP2013069142A (ja) * 2011-09-22 2013-04-18 Fujitsu Ltd アクセス制御プログラム、アクセス制御方法及びアクセス制御装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
川田 剛史 ほか: "価値あるサーバーソフトの"簡単"導入法を伝授! 5分間で作れるLinuxサーバー30選", 日経LINUX, vol. 第15巻 第7号, JPN6017026214, 8 June 2013 (2013-06-08), JP, pages 57, ISSN: 0003599777 *
木戸 邦彦 ほか: "コミュニティ通貨による新しい価値交換システムの動向 The Trends of New Value Exchange Systems by Comm", 情報処理, vol. 第45巻 第6号, JPN6017026216, 15 June 2004 (2004-06-15), JP, pages 598 - 602, ISSN: 0003599778 *
赤間 信幸: "マルチテナント・アーキテクチャ −第3章 クラウドとオンプレミスの考え方の違い 3.6−", @IT, JPN6017026213, 10 January 2012 (2012-01-10), ISSN: 0003599776 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020022165A (ja) * 2018-08-02 2020-02-06 シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft 自動化された公開鍵基盤の初期設定
US11558203B2 (en) 2018-08-02 2023-01-17 Siemens Aktiengesellschaft Automated public key infrastructure initialization

Also Published As

Publication number Publication date
KR20160146671A (ko) 2016-12-21
EP3111620A1 (en) 2017-01-04
WO2015130648A1 (en) 2015-09-03
AU2015223293A1 (en) 2016-09-15
AU2015223293B2 (en) 2018-02-08
KR101928038B1 (ko) 2019-02-26
US20160211978A1 (en) 2016-07-21
US9306935B2 (en) 2016-04-05
SG11201606999YA (en) 2016-09-29
JP6403789B2 (ja) 2018-10-10
CN106233690B (zh) 2019-10-18
EP3111620A4 (en) 2017-09-06
CN106233690A (zh) 2016-12-14
US20150244707A1 (en) 2015-08-27
US9485101B2 (en) 2016-11-01
CA2940253A1 (en) 2015-09-03

Similar Documents

Publication Publication Date Title
JP6403789B2 (ja) デジタル証明書の提供方法及びマルチテナントサービス装置
US9215231B1 (en) Using a fraud metric for provisioning of digital certificates
JP6621838B2 (ja) 仮想デスクトップ・インフラストラクチャにおける複数のプロトコルの使用
JP6521337B2 (ja) マルチファセット・コンピュート・インスタンス・アイデンティティ
US10790980B2 (en) Establishing trust in an attribute authentication system
CN108351944B (zh) 链式安全系统
US9648040B1 (en) Authorization check using a web service request
US9935937B1 (en) Implementing network security policies using TPM-based credentials
US9871821B2 (en) Securely operating a process using user-specific and device-specific security constraints
US10833856B2 (en) Automatic re-authentication of links using a key server
JP6518346B2 (ja) 分散型コンピューティング環境における仮想マシンインスタンス上のコマンドの実行
CN110036385B (zh) 混合模式云内部部署(on-premise)安全通信
US20180212930A1 (en) Secure network connections
KR20130101964A (ko) 플랫폼 컴포넌트들의 보안 업그레이드 또는 다운그레이드를 위한 방법 및 시스템
US10326840B2 (en) Secure sharing of storage area networks in a cloud

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170719

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171010

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180312

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180626

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20180703

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180730

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180730

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180820

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180911

R150 Certificate of patent or registration of utility model

Ref document number: 6403789

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees