JP6656157B2 - ネットワーク接続自動化 - Google Patents

ネットワーク接続自動化 Download PDF

Info

Publication number
JP6656157B2
JP6656157B2 JP2016542872A JP2016542872A JP6656157B2 JP 6656157 B2 JP6656157 B2 JP 6656157B2 JP 2016542872 A JP2016542872 A JP 2016542872A JP 2016542872 A JP2016542872 A JP 2016542872A JP 6656157 B2 JP6656157 B2 JP 6656157B2
Authority
JP
Japan
Prior art keywords
customer
service provider
computing resource
resource service
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016542872A
Other languages
English (en)
Other versions
JP2016532984A (ja
Inventor
マーク エドワード スタルザー
マーク エドワード スタルザー
クリスチャン アーサー アーレン
クリスチャン アーサー アーレン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Amazon Technologies Inc
Original Assignee
Amazon Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Amazon Technologies Inc filed Critical Amazon Technologies Inc
Publication of JP2016532984A publication Critical patent/JP2016532984A/ja
Application granted granted Critical
Publication of JP6656157B2 publication Critical patent/JP6656157B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/302Route determination based on requested QoS
    • H04L45/306Route determination based on the nature of the carried application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1432Metric aspects
    • H04L12/1435Metric aspects volume-based
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Description

関連出願の相互参照
本願は、すべての目的のために参照することにより、「INTERFACES TO MANAGE DIRECT NETWORK PEERINGS」という名称の、2011年11月29日に出願された米国特許出願番号第13/306,775号、及び、「NETWORK CONNECTION AUTOMATION」という名称の、2013年9月17日に出願された米国特許出願番号第14/029,496号の全開示を組み込むものである。
コンピューティングリソースサービスプロバイダ及び他のサービスプロバイダは多くの場合、専用のネットワーク接続を使用することによって自らのサービスへのアクセスをユーザに許可する。多くのユーザは、1つ又は複数のサービスにアクセスするために、例えば、コロケーション環境を活用してコンピューティングリソースサービスに直接的に接続する。それらの多くの優位点にも関わらず、コンピューティングリソースサービスプロバイダとカスタマとの間で専用の安全な接続を構成したとしても、それがすべてのリスクを免れているわけではないことがある。例えば、それを回避しようとする彼らの最善の努力にも関わらず、物理的な専用の接続でさえ、通信に対する権限のないアクセス及び/又は無作為のアクセスが可能である(例えば、パッチパネルでの)影響を受けやすい地点を有することがある。
米国特許第2007/0234054号
現在、コンピューティングリソースサービスプロバイダは、接続が安全であることを保証するために従来の認証方法を使用することがある。ただし、従来の認証方法は多くの場合、手動介入に頼り、本質的に柔軟性に乏しい。さらに、接続を安全に行うために使用される暗号技法は、接続への権限のないアクセスを得るために利用できるという脆弱性を有することがある。これらのリスクに適切に対応することは、専用接続に依存する組織にとって、及びコンピューティングリソースサービスプロバイダにとって追加費用となる。
本開示に係る多様な実施形態は、図面を参照して説明される。
多様な実施形態を実践できる環境の実施例を例示した図である。 多様な実施形態を実施できる環境の実施例を例示した図である。 少なくとも一実施形態に従ってコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスの実施例を例示した図である。 多様な実施形態を実践できる環境の実施例を例示した図である。 少なくとも一実施形態に従って物理接続が認証される環境の実施例を例示した図である。 少なくとも一実施形態に従って1つ又は複数のサービスとの接続が初期認証時に管理される環境の実施例を例示した図である。 少なくとも一実施形態に従って顧客とコンピューティングリソースサービスとの間に物理接続を確立するためのプロセスの実施例を例示した図である。 少なくとも一実施形態に従って初めて接続を認証するためのプロセスの実施例を例示した図である。 少なくとも一実施形態に従ってあらかじめ接続が確立された後に接続を認証するためのプロセスの実施例を例示した図である。 少なくとも一実施形態に従って接続を認証するためのプロセスの実施例を例示した図である。 多様な実施形態が実施できる環境を示す図である。
以下の説明では、多様な実施形態が説明される。説明のために、特定の構成及び詳細事項が、実施形態を完全に理解してもらうために示されている。しかしながら、また、実施形態が特定の詳細事項がなくても実践され得ることは当業者に明らかになるだろう。さらに、周知の特徴は説明されている実施形態を不明瞭にしないために省略又は簡略化されることがある。
本明細書に説明され、示唆されている技法はカスタマ(例えば、カスタマによって運用されているネットワーク)とコンピューティングリソースサービスプロバイダとの間の接続の認証に関するものである。実施形態では、コンピューティングリソースサービスプロバイダは、エンティティ(例えば、組織)とコンピューティングリソースサービスプロバイダとの間に直接的な接続を確立するためのエンティティからの要求を受信してよい。エンティティは、データストレージサービス、バーチャルコンピューティングシステムサービス、及び/又はデータベースサービス等の多様なサービスを運用することがあるコンピューティングリソースサービスプロバイダのカスタマであってよい。サービスの内の1つ又は複数のサービスを最適に使用するために、コンピューティングリソースサービスプロバイダは、カスタマが、直接的な接続、つまりコンピューティングリソースサービスプロバイダのコンピューティングリソースにカスタマのコンピューティングリソースを接続する物理的な通信接続を使用してコンピューティングリソースサービスプロバイダのネットワークと通信できるようにしてよい。係る接続を確立するための技法例は、すべての目的のために参照することによりその全体が本明細書に組み込まれる「Interfaces to Manage Direct Network Peerings」という名称の、2011年11月29日に出願された米国特許出願番号第13/306,775号に説明されている。
コンピューティングリソースサービスプロバイダとカスタマとの間の接続を設定する前に、コンピューティングリソースサービスプロバイダは、コンピューティングリソースサービスプロバイダの従業員(例えば、データ技術者)が顧客とコンピューティングリソースサービスプロバイダとに関連付けられた物理的なルータを接続できるようにするために、授権書を作成してよい。この授権書は、コンピューティングリソースサービスプロバイダとの直接的な接続を確立するためにカスタマから受信された要求に応えて作成されてよい。
多様な実施形態では、コンピューティングリソースサービスプロバイダは、カスタマとコンピューティングリソースサービスプロバイダとの間のネットワーク接続性を開始するために、接続時にカスタマルータに1つ又は複数の信号を送信してよい。これらの1つ又は複数の信号は、接続が正しく確立されたこと、及びカスタマがコンピューティングリソースサービスプロバイダに接続する権限を与えられた正しいエンティティであることを検証するために認証要求をさらに含んでよい。カスタマは、カスタマがコンピューティングリソースサービスプロバイダのコンピュータシステムにアクセスする権限を与えられていることを検証するために、コンピューティングリソースサービスプロバイダに応えて1つ又は複数の信号を送信してもよい。これらの1つ又は複数の信号は、1つ又は複数のカスタマコンピュータシステムを起源とする秘密暗号キー等の1つ又は複数の認証用クレデンシャルを使用して生成されるデジタル署名を含んでよい。この署名は、対称暗号アルゴリズム及び/又は非対称暗号アルゴリズムを使用して生成されてよい。コンピューティングリソースサービスプロバイダは、カスタマから受信された署名が本物であり、このカスタマに一致するかどうかを判断するために、カスタマ信号(又はカスタマ信号に少なくとも部分的に基づいた情報)を認証サービスに送信してよい。カスタマ信号が認証されない場合、コンピューティングリソースサービスプロバイダは多様なサービスへのアクセスを拒否してよい。それ以外の場合、カスタマはカスタマが使用することを選択した1つ又は複数のサービスへのアクセスを許可されてよい。
実施形態では、コンピューティングリソースサービスプロバイダは、接続が不正接続されていないことを保証するために、初期接続後に経時的にカスタマに1つ又は複数の認証要求を送信することがある。カスタマは、カスタマが接続を維持する権限を与えられている旨の証拠を提供するために、コンピューティングリソースサービスプロバイダに、ハッシュ関数及び暗号キーを使用して生成されたデジタル署名を含めてもよい、要求に対する応答を送信してよい。したがって、認証サービスを通して等、署名が検証される場合、コンピューティングリソースサービスプロバイダは接続を続行可能にしてよい。ただし、認証サービスが、カスタマがコンピューティングリソースサービスプロバイダによって提供されるサービスにアクセスする権限を有していることを検証できない場合、コンピューティングリソースサービスプロバイダは、カスタマがコンピューティングリソースサービスプロバイダに有効なデジタル署名を提供できるまで、カスタマのサービスへのアクセスを制限してよい。
実施形態では、カスタマは、接続が現在カスタマとコンピューティングリソースサービスプロバイダとの間にあることを検証するために、サービスに対する適切に構成されたAPIコールを通して等、コンピューティングリソースサービスプロバイダに認証要求を送信する。コンピューティングリソースサービスプロバイダから受信された信号が本物ではない(例えば、コンピューティングリソースサービスプロバイダの代わりに有効なデジタル署名を含んでいない)場合、カスタマはコンピューティングリソースサービスプロバイダとの接続を制限する、又は終了さえしてもよい。それ以外の場合、カスタマは、要求時にコンピューティングリソースサービスプロバイダに認証用クレデンシャルを相互に与えてよいのであれば、コンピューティングリソースサービスプロバイダによって提供される多様なサービスへの自らのアクセスを続行してよい。
いくつかの実施形態では、カスタマは、、カスタマの通信が真にカスタマのコンピュータシステムを起源にしていることを認証サービスに検証させるために、サービスに対する適切に構成されたAPIコールを通して等、コンピューティングリソースサービスプロバイダに認証要求を送信してよい。カスタマによって送信されるこの認証要求は、カスタマのアイデンティティを検証するためにコンピューティングリソースサービスプロバイダによって使用されてよいデジタル署名を含んでよい。デジタル署名が本物である場合、コンピューティングリソースサービスプロバイダは、コンピューティングリソースサービスプロバイダ用のデジタル署名を含んだ1つ又は複数の信号をカスタマに送信してよい。それに応じて、カスタマはこのデジタル署名を使用して、コンピュータリソースサービスプロバイダのアイデンティティを検証してよい。
このようにして、コンピューティングリソースサービスプロバイダ及びそのカスタマは、1台又は複数の物理的なルータを通して接続され、カスタマ又はコンピューティングリソースサービスプロバイダの信号を認証することに失敗した場合に接続が制限される、又は終了されることが保証され得る。さらに、本明細書に説明される技法は、更なる技術的な優位を容易にもたらす。例えば、いくつかの実施形態では、認証プロセスが、コンピューティングリソースサービスプロバイダ又はカスタマのどちらかによって管理されるコンピュータシステムによって実行されるため、接続を認証するために手動介入は要求されないことがある。したがって、これらの技法は、コンピューティングリソースサービスプロバイダ及びそのカスタマが安全な接続を保証する上で利用できる柔軟性を高め得る。さらに、代替認証プロセスの使用は、従来のルータ対ルータの認証技法の使用を排除し、従来の技法固有の脆弱性も潜在的に排除又は軽減し得る。更なる追加使用も本明細書に説明される多様な技法によって可能となる。
図1は、多様な実施形態を実践できる環境100の実施例を例示する。環境100で、コンピューティングリソースサービスプロバイダ102は、コンピューティングリソースサービスプロバイダのカスタマに多様なコンピューティングリソースサービスを提供する。コンピューティングリソースサービスプロバイダ102は、1人又は複数のカスタマの代わりに多様なコンピューティングリソースをホストする組織であってよい。例えば、コンピューティングリソースサービスプロバイダは、ハードウェアサーバ、データストレージデバイス、ネットワークデバイス等の多様なコンピューティングハードウェアリソース、及びサーバラック、ネットワーキングケーブル等の他の設備をホストするために使用される1つ又は複数の施設を運用していてもよい。コンピューティングリソースハードウェアは、1つ又は複数のサービスを運用するためにそのコンピューティングハードウェアリソースを活用してよい。係るサービスは、物理的な設備において投資すべきカスタマの必要性を削減又は排除さえしつつ、コンピューティングリソースサービスプロバイダのカスタマがコンピューティングリソースを遠隔で管理して当該カスタマによる運用をサポートできるようにするサービスを含んでもよい。サービス例として、多様なデータストレージサービス(オブジェクト単位のデータストレージサービス、アーカイブデータストレージサービス、データベースサービス等)、プログラム実行サービス、及び他のサービス等が含まれるが、これらに限定されるものではない。これらのサービスは、カスタマによって利用され、ウェブサイトの運営、組織をサポートする企業システムの運営、分散型計算、及び/又は他の活動を等の多種多様な活動をサポートするサービスであってもよい。
したがって、図1に示されるように、環境100はカスタマ104を含む。カスタマ104は、コンピューティングリソースサービスプロバイダ102との直接的な接続を確立することによって少なくとも部分的に多様なサービスのいくらか又はすべてを活用する組織であってよい。コンピューティングリソースサービスプロバイダ102のカスタマ104は、コンピューティングリソースサービスプロバイダ102によって提供される多様なサービスを活用してよい。例えば、カスタマ104は、サービスに対して行われたバッチ要求、又はカスタマによる運用をサポートするためにサービスへのアクセスを要求するカスタマサーバ要求等、自動化されたプロセスを通してコンピューティングリソースサービスプロバイダ102によって提供されるサービスを活用してよい。カスタマ104は、コンピューティングリソースサービスプロバイダへの直接的な接続の設定を要求するためにコンピューティングリソースサービスプロバイダ102に接触してよい。コンピューティングリソースサービスプロバイダは、授権書を作成し、データ技術者を配置してもよく、あるいは、カスタマ102がカスタマ自身のデータ技術者もしくは第三者を利用してカスタマルータとコンピューティングリソースサービスプロバイダルータ106とを接続できるようにしてもよい。ルータは、遠隔場所に同様に設置してもよいデータセンタ又はコロケーションに設置してよい。ルータは例示の目的のために本開示を通して広範囲に使用されるが、本開示に例示される技法は概して他のネットワークデバイス(例えば、ゲートウェイデバイス等)にさらに適用してよい。
いったんカスタマ104とコンピューティングリソースサービスプロバイダルータ106との間の接続が確立されると、コンピューティングリソースサービスプロバイダルータはカスタマルータへの1つ又は複数の信号の送信を開始してよい。係る信号の一つは、カスタマ104がコンピューティングリソースサービスプロバイダ102に接続する権限を与えられていることを検証するために認証要求を含んでよい。この認証要求は、コンピューティングリソースサービスプロバイダ102によって維持され、運用される認証サービス108に起源してよい。認証サービス108は、受信されたカスタマデータをハッシュして、予想カスタマデジタル署名を生成するために必要となることがある暗号キーを入手するために、アカウントサービス(不図示)からカスタマ情報を入手するように構成されてよい。、カスタマのアイデンティティを検証するために、この予想カスタマデジタル署名を受信されたカスタマデジタル署名と比較してもよい。さらに、認証サービス108は、カスタマ104に認証要求を送信するためにコンピューティングリソースサービスプロバイダルータ106に実行可能なコマンドを送信するように構成されていてもよい。
認証要求に応えて、カスタマ104は、コンピューティングリソースサービスプロバイダルータ106に送信される1つ又は複数の信号を通して、追加のデータ(例えば、カスタマ識別番号、ポート番号等)とともにデジタル署名を含んだ1つ又は複数のデータパケットをコンピューティングリソースサービスプロバイダ102に提供してもよい。したがって、ルータ106は検証のために認証サービス108にこれらのデータパケットを送信してよい。認証サービス108は、予想カスタマデジタル署名を作成するために暗号キーとともにカスタマ104から受信された追加のデータをハッシュするように構成されてもよい。デジタル署名が一致する場合、認証サービス108は、カスタマがコンピューティングリソースサービスプロバイダ102によって提供される1つ又は複数の他のサービス110にアクセスできるようにするようにコンピューティングリソースサービスプロバイダルータ106を再構成してよい。これらの他のサービス110は、多様なデータストレージサービス(オブジェクト単位のデータストレージサービス、アーカイブデータストレージサービス、データサービス等)、プログラム実行サービス等を含んでよい。ただし、カスタマ104から受信されたデジタル署名が予想デジタル署名に一致しない場合、認証サービス108は他のサービス110へのアクセスを拒否してよい。
代わりに、カスタマ104は、コンピューティングリソースサービスプロバイダルータ106に1つ又は複数のデータパケットを送信することによって、サービスに対する適切に構成されたAPIコールを通して等、認証プロセスを開始してよい。これらのデータパケットは秘密キーを使用して生成されたデジタル署名を含んでよく、秘密キーは、コンピューティングリソースサービスプロバイダ102によって処理されると、受信されたデジタル署名が本物であるかどうかを判断するために使用されてよい予想カスタマデジタル署名を生成するために、サービスプロバイダに暗号キーとともに受信されたデータをハッシュさせる。さらに、これらのデータパケットは、サービスプロバイダ102に、コンピューティングリソースサービスプロバイダのアイデンティティを検証するためにカスタマ104によって使用されてよい独自のデジタル署名を含んだ1つ又は複数のデータパケットを生成させてよい。このように、カスタマ104及びコンピューティングリソースサービスプロバイダ102の両方とも、直接的な物理接続を通して送信された信号の真正性を検証し得る。
いったんカスタマ104が1つ又は複数の他のサービス110へのアクセスを達成すると、コンピューティングリソースサービスプロバイダ102は認証サービス108を使用して、接続が不正接続されていないことを保証するために1つ又は複数の認証要求をカスタマに送信してよい。接続が不正接続された可能性がある(例えば、カスタマ104から受信された認証用クレデンシャルが予想値に一致しない)旨の表示がある場合、コンピューティングリソースサービスプロバイダ102は、認証サービス108を通して、既存の接続に関して1つ又は複数のアクションを実行してよい。例えば、コンピューティングリソースサービスプロバイダ102は、接続を制限するために1つ又は複数の実行可能命令をルータ106に送信するように認証サービス108を構成してよい。これは、カスタマ104に対して利用可能なネットワーク帯域幅を絞ること、又は他のサービス110へのアクセスを無効にすることを含んでよい。別の例では、認証サービス108は、アカウントサービス(不図示)を参照してカスタマ104の仕様に従って接続に対して1つ又は複数の制限を適用してよい。例えば、カスタマ104は、接続が不正接続される場合に所定のアクションが講じられることを、コンピューティングリソースサービスプロバイダ102への直接的な接続に対する初期の要求の間に指定していてもよい。コンピューティングリソースサービスプロバイダ102は、後の時点でカスタマ104がコンピューティングリソースサービスプロバイダに有効な認証用クレデンシャルを提供する場合、接続を復元してよい。
上述されたように、カスタマルータとコンピューティングリソースサービスプロバイダルータとの間の物理接続は、遠隔場所にしてもよいデータセンタ又はコロケーションで行われてよい。したがって、図2は多様な実施形態を実施できる環境の実施例を例示する。環境200で、直接的な接続は、1人又は複数のカスタマ202とコンピューティングリソースサービスプロバイダ212との間で確立されていてもよい。上述されたように、カスタマ202は、コンピューティングリソースサービスプロバイダへの直接的な接続の設定を要求するためにコンピューティングリソースサービスプロバイダ212に接触してよい。したがって、コンピューティングリソースサービスプロバイダ212は、カスタマルータ206とコンピューティングリソースサービスプロバイダルータ210との間で物理接続を確立するためにデータ技術者を配置してよい。ルータ206、210は、さらには遠隔場所に設置してよいデータセンタ又はコロケーション204に設置してよい。
この例示した実施例で、1人又は複数のカスタマ202とコンピューティングリソースサービスプロバイダ212との間の直接的な接続は、カスタマルータ206とコンピューティングリソースサービスプロバイダルータ210との間にケーブルを設置することによって確立されてよい。図2に示されるルータ206、210は、ユーザが受取人にデータを送信する又はソースからデータを受信することができるように構成されたさまざまなポートを含んでよい。例えば、カスタマ及びプロバイダが光ファイバケーブルを使用して接続する実施形態では、ルータ206、210はいくつかの送信ポート及びいくつかの受信ポートを含んでよい。したがって、カスタマルータ206とコンピューティングリソースサービスプロバイダルータ210との間の接続は、ルータへの接続時に、カスタマ202及びコンピューティングリソースサービスプロバイダ212がデータを送信及び受信できるようにする複数のケーブルを含んでよい。
コロケーション204の構成に応じて、カスタマルータ206とコンピューティングリソースサービスプロバイダルータ210との間の直接的な物理接続(又は単に「物理接続」)は、1つ又は複数のパッチパネル208又は他の介入構造(例えば、非ルーティングデバイス、カプラ等)を含んでよい。例えば、1つ又は複数のパッチパネル208は、コロケーション204の運用者がより短い長さのケーブルを使用して、カスタマルータ206等の2台以上のデバイス及びコンピューティングリソースサービスプロバイダルータ210を接続できるようにしてよい。さらに、入力ポート/出力ポートはパッチパネル208から適宜名前を付けられてよいので、パッチパネル208は、接続を確立するために使用されるポートの識別を簡略化するために使用されてよい。言い換えると、本開示の実施形態は、隣接するケーブルがカスタマ及びプロバイダルータを接続する実施形態に制限されない。いったん物理接続がコロケーション204でカスタマルータ206からコンピューティングリソースサービスプロバイダルータ210へ確立されると、コンピューティングリソースサービスプロバイダ212はコンピューティングリソースサービスプロバイダルータを通してカスタマルータに1つ又は複数の信号を送信し始めてよい。カスタマルータ206は、コンピューティングリソースサービスプロバイダ212から1つ又は複数の信号を受信すると、処理のためにカスタマ202に1つ又は複数の信号を送信してよい。上述されたように、1つ又は複数の信号は、カスタマ202によって運用されるコンピュータシステムに認証証拠を含んだ応答を送信させてよい認証要求を含んでよい。認証証拠は、デジタル署名又はカスタマ202のアイデンティティを確立するために必要な他のアカウント用クレデンシャルを含んでよい。認証のためのデジタル署名の使用は例示を目的とした本開示を通して広範囲に使用されるが、他の認証方法を使用してもよい。例えば、コンピューティングリソースサービスプロバイダ212によって送信される認証要求は、カスタマグラフィックユーザインタフェースをパスワードに対するプロンプトによってカスタマ202のコンピュータシステム上に表示させてもよい、実行可能命令を含んでよい。したがって、カスタマ202は、接続を認証するためにプロンプトでパスワードをタイプ入力するように要求されることがある。
いったん接続が認証されると、コンピューティングリソースサービスプロバイダ212は、認証サービスを通して、カスタマ202と、コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスとの間での通信を可能にするようにコンピューティングリソースサービスプロバイダルータ210を再構成してよい。後に、コンピューティングリソースサービスプロバイダ212は、接続が不正接続されていないことを検証するために、ルータ210を通してカスタマ202に1つ又は複数の信号を送信してよい。カスタマ202がコンピューティングリソースサービスプロバイダ212に適切な認証証拠を提供できない場合(例えば、無効なクレデンシャル、無効なデジタル署名、正しくないインターネットプロトコル(IP)アドレス、チェックサム不一致等)、コンピューティングリソースサービスプロバイダは、1つ又は複数のサービスへのカスタマ202のアクセスを制限するために認証サービスを通して再度コンピューティングリソースサービスプロバイダルータ210を再構成してよい。
同時に、カスタマ202は、接続が不正接続されていないことを検証するために、カスタマルータ206を通してコンピューティングリソースサービスプロバイダ212に1つ又は複数の信号を送信してよい。コンピューティングリソースサービスプロバイダ212が適切な認証証拠を提供できない場合、カスタマ202は、既存の接続を制限または終了さえするためにも、カスタマによって運用されている1つ又は複数のコンピュータシステムを通してカスタマルータ206に実行可能なコマンドを送信してよい。
上述されたように、コンピューティングリソースサービスプロバイダは、カスタマがその営業活動をサポートするために使用するであろういくつかのサービスを提供してよい。したがって、図3は、少なくとも一実施形態に従ってコンピューティングリソースサービスプロバイダ302によって提供される1つ又は複数のサービスの実施例を例示するものである。この実施例では、コンピューティングリソースサービスプロバイダ302は少なくとも5つのタイプのサービスを提供する。コンピューティングリソースサービスプロバイダ302によって提供されるサービスは、この例では、バーチャルコンピュータシステムサービス304、オブジェクト単位のデータストレージサービス306、データベースサービス308、アカウントサービス310、認証サービス312、及び1つ又は複数の他のサービス314を含む。ただし、本開示のすべての実施形態がすべての係るサービスを含むわけではなく、追加サービスは本明細書に明示的に説明されるサービスに加えて、又は該サービスの代替策として提供されてもよい。
バーチャルコンピュータシステムサービス304は、コンピューティングリソースサービスプロバイダ302のカスタマの代わりに、バーチャルコンピューティングシステム上にバーチャルマシンインスタンスをインスタンス化するように構成されたコンピューティングリソースの集合体であってよい。コンピューティングリソースサービスプロバイダ302のカスタマはバーチャルコンピュータシステムのサービスと対話して、コンピューティングリソースサービスプロバイダ302によってホストされ、運用されている物理的なコンピューティングデバイス上でインスタンス化されるバーチャルコンピュータシステムを設定し、運用してよい。バーチャルコンピュータシステムは、ウェブサイトをサポートするサーバとして運用するため等、多様な目的に使用され得る。バーチャルコンピュータシステム用の他のアプリケーションは、データベースアプリケーション、電子商取引アプリケーション、業務アプリケーション、及び/又は他のアプリケーションをサポートするためのものであってよい。
オブジェクト単位のデータストレージサービス306は、カスタマのためにデータを記憶するために集合的に動作するコンピューティングリソースの集合体を含んでよい。オブジェクト単位のデータストレージサービス306に記憶されるデータは、データオブジェクトに編成されてもよい。データオブジェクトは、おそらくサイズに対する特定の制約を除き任意のサイズを有してよい。したがって、オブジェクト単位のデータストレージサービス306は、さまざまなサイズの多数のデータオブジェクトを記憶してよい。オブジェクト単位のデータストレージサービス306は、データストレージサービス306によって記憶されたデータオブジェクトと関連して他の動作を取り出す又は実行するためにカスタマによって使用されてもよい、データオブジェクトの識別子とデータオブジェクトを関連付けるキー値ストアとして運用してよい。データストレージサービスに対するアクセスは、適切に構成されたAPIコールを通してであってもよい。
データベースサービス308は、1人又は複数のカスタマのために1つ又は複数のデータベースを実行するために集合的に運用するコンピューティングリソースの集合体であってもよい。コンピューティングリソースサービスプロバイダ302のカスタマは、適切に構成されたAPIコールを活用することによってデータベースサービス308からデータベースを運用し、管理してよい。これは、さらにはカスタマがデータベースでの運用を維持し、潜在的に拡大縮小できるようにしてよい。
アカウントサービス310は、コンピューティングリソースサービスプロバイダ302のカスタマごとにカスタマアカウント情報を保持するために集合的に運用するコンピューティングリソースの集合体であってもよい。アカウントサービス310は、コンピューティングリソースサービスプロバイダ302のカスタマごとに、例えば、カスタマの名前、住所、電話番号、請求書作成の詳細、及び他の個人識別情報を含んでよい。さらに、アカウントサービス310は、暗号キー、又はカスタマがコンピューティングリソースサービスプロバイダ302によって提供される1つ又は複数のサービスにアクセスするための適正な許可を有していることを検証するために使用されてよい他のクレデンシャルを含んでよい。したがって、アカウントサービス310は、認証サービス312と連動して運用されることで、カスタマ接続を有効にし、カスタマが万一適切な認証証拠(例えば、デジタル署名、パスワード等)を提供できない場合に、コンピューティングリソースサービスプロバイダ302によって提供される1つ又は複数のサービスに対するアクセスを制限するように構成されてよい。カスタマは、必要に応じてアカウント情報を提供し、更新するために、インターネット等の1つ又は複数の通信ネットワークを通してアカウントサービス310と対話できてもよい。したがって、カスタマはアカウントサービス310にアクセスして、カスタマとコンピューティングリソースサービスプロバイダ302の両方ともが物理接続を認証するために必要な暗号キーのコピーを有していることを保証するためにキー交換を実行してよい。
認証サービス312は、上述されたように、コンピューティングリソースサービスプロバイダ302とカスタマとの間の接続を認証し、検証するのに役立ててもよい。例えば、カスタマとコンピューティングリソースサービスプロバイダ302との間に(例えば、図2に示されるようにコロケーションに設置されたルータを使用することで)直接的な接続が確立された後、認証サービス312は、カスタマがコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスする許可を有していることを保証するために、カスタマに認証要求を送信してよい。したがって、認証サービス312は、カスタマから認証証拠を受け取り、提供された認証証拠が本物であるかを判断するために1つ又は複数の動作を実行するように構成されてもよい。例えば、認証サービス312はアカウントサービス310と対話して、提供された認証証拠(例えば、1つ又は複数の暗号キー、パスワード、カスタマ識別番号等)を検証するために必要なカスタマ情報を入手してもよい。認証証拠が適切ではない場合、認証サービス312は、カスタマが適切な認証証拠を提供できるまで1つ又は複数のサービスへのカスタマアクセスを制限するためにコンピューティングリソースサービスプロバイダ302のルータに1つ又は複数の実行可能なコマンドを送信してよい。認証サービス312は、カスタマとコンピューティングリソースサービスプロバイダ302との間の接続が不正接続されないことを保証するために、異なる時間にこの認証プロセスを実行するように構成されてもよい。
認証サービス312は、さらに、コンピューティングリソースサービスプロバイダ302にカスタマによって送信される認証要求に応えるように構成されていてもよい。例えば、カスタマとコンピューティングリソースサービスプロバイダ302との間に直接的な接続が確立された後、カスタマは、接続が本物であり、不正接続されていないことを検証するためにコンピューティングリソースサービスプロバイダに認証要求を送信することがある。認証サービス312は、当該要求を処理し、接続が本物であることを検証するために必要な認証証拠を提供してもよい。例えば、認証サービス312はアカウントサービス310にアクセスして、カスタマに関係するアカウント情報を見つけ、接続を認証するために必要とされる認証証拠のタイプを識別するように構成されてもよい。このようにして、認証サービス312は、カスタマとコンピューティングリソースサービスプロバイダ302との間の接続に追加のセキュリティを提供してよい。
コンピューティングリソースサービスプロバイダ302は、そのカスタマの必要性に基づいて1つ又は複数の他のサービス314をさらに保持してよい。例えば、コンピューティングリソースサービスプロバイダ302は、ブロックレベルのデータストレージボリュームを活用することによって、カスタマのためにデータを記憶するために集合的に運用するコンピューティングリソースの集合体を含むことが可能なブロックレベルのデータストレージサービスを保持してよい。ストレージボリュームは、ブロックレベルカスタマインタフェースとともに、未処理のフォーマットされていないブロックストレージデバイスのように動作するように構成されてもよい。したがって、カスタマは、サービスに対する適正に構成されたAPIコールを通して、ブロックレベルのデータストレージボリュームの上部にファイルシステムを作成するか、又はブロックレベルのストレージデバイス(例えば、ハードドライブ)としてボリュームを活用してよい。他のサービスは、オブジェクトレベルのアーカイブデータストレージサービス、他のサービスを管理するサービス、及び/又は他のサービスを含むが、これらに限定されるものではない。
上述されたように、コンピューティングリソースサービスプロバイダは、カスタマとコンピューティングリソースサービスプロバイダとの間の直接的な物理接続を認証するために認証サービスを活用してよい。ただし、接続を認証するための認証サービスの使用は他のタイプの接続のために使用されてもよい。したがって、図4は、多様な実施形態を実践できる環境400の実施例を例示したものである。環境400で、カスタマはカスタマゲートウェイデバイス402を活用して、インターネット等の1つ又は複数の通信ネットワーク404を通してコンピューティングリソースサービスプロバイダ408と通信してよい。インターネットは例示目的の本開示を通して広範囲に使用されるが、本開示はこのように制限されるものではない。例えば、ゲートウェイデバイス402は、ローカルエリアネットワーク(LAN)、イントラネット、エクストラネット、無線ネットワーク、及びこれらの任意の組合せを通してコンピューティングリソースサービスプロバイダ408と通信するために使用されてもよい。
カスタマゲートウェイデバイス402は、ネットワーク404への入口、つまり「ゲートウェイ」として働くように構成された任意のデバイスであってよい。カスタマゲートウェイ402は、カスタマコンピュータシステムで生じるデータを、意図された受取人(例えば、この場合、ネットワーク404を渡ってコンピューティングリソースサービスプロバイダ408)に送信されてよいデータパケットに変換するように構成されてもよい。さらに、カスタマゲートウェイデバイス402は、ネットワーク404を通して送信されるあらゆるデータパケットを受信し、これらのデータパケットをカスタマコンピュータシステムによって読み取り可能であるデータに変換するように構成されてもよい。例えば、カスタマゲートウェイデバイス402がインターネットを通してコンピューティングリソースサービスプロバイダ408に接続される場合、カスタマゲートウェイデバイス402は、伝送制御プロトコル/インターネットプロトコル(TCP/IP)等の通信プロトコルのセットを使用して、コンピューティングリソースサービスプロバイダ408にデータパケットを送信するように構成されてもよい。IP構成要素は、インターネットを通してカスタマコンピュータシステムからコンピューティングリソースサービスプロバイダ408へのルーティングを提供してもよい。これは、カスタマコンピュータシステム及びコンピューティングリソースサービスプロバイダ408のシステムに対応してよいIPアドレス(例えば、IPv4アドレス又はIPv6アドレス)を使用することで成し遂げられてもよい。TCP構成要素は、カスタマからコンピューティングリソースサービスプロバイダ408へのデータの正しい配信を検証することに対して責任を負うことがある。
カスタマコンピュータシステム及びコンピューティングリソースサービスプロバイダ408のコンピューティングシステムは追加のネットワークプロトコルをさらに使用して、データパケットのルーティングのために最も効率的な経路又は最も都合の良い経路を特定してよい。例えば、多様なコンピュータシステムは、ネットワーク404でルーティング情報を交換するためにボーダーゲートウェイプロトコル(BGP)を活用してよい。カスタマコンピュータシステム及びコンピューティングリソースサービスプロバイダのコンピュータシステムはBGPを使用して、ネットワーク404(例えば、インターネット)を渡って送信されるデータパケットを送受信するために利用できる利用可能なゲートウェイデバイス(例えば、ルータ)を決定してよい。このようにして、BGPを使用するコンピュータシステムは、コンピュータシステムに接続され、ネットワーク404をサポートする多様なルータを通してデータパケットを送信するためにTCP/IP依存することがある。
ネットワーク404を通してカスタマゲートウェイデバイス402をコンピューティングリソースサービスプロバイダ408に接続するために使用されるプロトコルは、カスタマ及びコンピューティングリソースサービスプロバイダが安全な接続406に参加する権限を与えられていることを検証するために必要なセキュリティプロトコルを含んでよい。安全な接続406は、1つ又は複数の安全なトンネル(例えば、1つ又は複数の暗号化方法を使用するインターネットプロトコルセキュリティ(IPsec)トンネルを通して運用される仮想プライベートネットワーク(VPN)であってもよい。このようにして、初期の接続がこのセキュリティプロトコルを使用してネットワーク404を通してカスタマとコンピューティングリソースサービスプロバイダ408との間で行われると、コンピューティングリソースサービスプロバイダは、カスタマがこの安全な接続406に参加する権限を有しているのかどうかを判断するために認証要求をカスタマに送信してよい。したがって、カスタマは、カスタマゲートウェイデバイス402を通して、コンピューティングリソースサービスプロバイダ408によって提供される認証サービスのIPアドレス及びセキュリティプロトコルに従う認証証拠(例えば、パスワード、デジタル署名等)を含んだデータパケットを送信してよい。
コンピューティングリソースサービスプロバイダ408によって提供される認証サービスはいったんカスタマゲートウェイデバイス402からデータパケットを受信すると、受信された認証クレデンシャルは、予想カスタマデジタル署名を生成するために、カスタマと関連付けられた暗号キーとともに、受信されたデータをハッシュするためにハッシュ関数を活用してよい。その結果、コンピューティングリソースサービスプロバイダ408は、これらの署名が一致するかどうかを判断するためにカスタマゲートウェイデバイス402から受信されたデジタル署名とこの予想カスタマデジタル署名を比較してよい。一致する場合、コンピューティングリソースサービスプロバイダ408は、カスタマが、コンピューティングリソースサービスプロバイダによって提供される1つ又は複数の他のサービスにアクセスするのを許可するように独自のゲートウェイデバイスを再構成してよい。しかし、デジタル署名が一致しない場合、1つ又は複数の他のサービスに送信されるいずれのデータパケットも拒否されてよい。さらに、カスタマはコンピューティングリソースサービスプロバイダ408に認証要求を送信するためにカスタマゲートウェイデバイス402を使用してよい。したがって、コンピューティングリソースサービスプロバイダ408は、カスタマコンピューティングシステムのIPアドレス、及びセキュリティプロトコルに従う認証クレデンシャル(例えば、デジタル署名、パスワード等)を含んだデータパケットを送信してよい。受信された認証クレデンシャルが不適切である場合、カスタマはコンピューティングリソースサービスプロバイダ408への安全な接続406を制限または終了するためにカスタマゲートウェイデバイス402に1つ又は複数の実行可能なコマンドを送信してよい。
図5は、少なくとも一実施形態に従って物理接続が認証される環境500の実施例を例示する。環境500で、カスタマはコンピューティングリソースサービスプロバイダとの直接的な接続を確立するためにコンピューティングリソースサービスプロバイダ504に要求を提示してよい。その結果、コンピューティングリソースサービスプロバイダ504はカスタマルータ502をコンピューティングリソースサービスプロバイダルータ506に物理的に接続するために授権書を作成してよい。図2に示されるように、データ技術者を物理接続を確立するために配置させてもよい。
カスタマルータ502とコンピューティングリソースサービスプロバイダ506の間でいったん物理接続が確立されると、コンピューティングリソースサービスプロバイダ504は、認証サービス508を活用して物理接続を通したカスタマ送信が権限を与えられたカスタマを起源とすることを検証してよい。したがって、認証サービス508は、コンピューティングリソースサービスプロバイダルータ506を通して認証要求を送信するように構成されてもよい。コンピューティングリソースサービスプロバイダルータ506は、カスタマからの応答を引き出すために、上述されたようにセキュリティプロトコルを使用してこの認証要求を送信するように構成されてよい。
したがって、カスタマルータ502はこの認証要求を受信し、処理のために1つ又は複数のカスタマコンピュータシステムに要求を送信してよい。1つ又は複数のカスタマコンピュータシステムは、カスタマが利用できる他のサービス512にアクセスするために必要な任意の他の必須情報とともに、カスタマのアイデンティティを検証するために必要な認証証拠(例えば、パスワード、デジタル署名等)を含んだデータパケットを準備するように構成されてもよい。このデータパケットはカスタマルータ506に送信されてもよいが、これは認証証拠を含んだデータパケットを送信するためにセキュリティプロトコルを同様に活用してもよい。
コンピューティングリソースサービスプロバイダ506は、検証のために認証サービス508に受信されたカスタマデータパケットを送信してよい。従って、認証サービス508は、データパケットから認証証拠を抽出するように構成されてもよい。認証証拠は、受信されたデータのハッシュ、及びコンピューティングリソースサービスプロバイダによって保持され、カスタマに特有の暗号キーを使用して検証されることを必要とするであろうデジタル署名を含んでよい。このようにして、認証サービス508は、関連するカスタマ情報を入手するためにコンピューティングリソースサービスプロバイダ504によって管理されるアカウントサービス510と対話するように構成されてもよい。例えば、アカウントサービス510は、上述されたように、コンピューティングリソースサービスプロバイダ504のカスタマごとのカスタマアカウント情報を含んでよい。例えば、カスタマアカウントは、受信されたデジタル署名が本物であることを検証し、ひいては、コンピューティングリソースサービスプロバイダ504に直接的に接続されるカスタマコンピュータシステムのアイデンティティを検証するために予想カスタマデジタル署名を作成するために使用されてもよい1つ又は複数の暗号キーを含んでよい。したがって、アカウントサービス510は認証サービス508にこれらのキーを送信するように構成されてもよい。
認証サービス508は、予想カスタマデジタル署名を作成し、この署名をカスタマ認証証拠と一致させることを試みるために、カスタマから受信されるデータとともにアカウントサービス510からの暗号キーを使用してよい。デジタル署名間で結果的に一致する場合、認証サービス508は、カスタマがコンピューティングリソースサービスプロバイダ504によって提供される他のサービス512にアクセスできるようにするために、コンピューティングリソースサービスプロバイダルータ506に1つ又は複数の実行可能なコマンドを送信してよい。しかし、一致を確立できない場合、認証サービス508は、他のサービス512へのアクセスが拒否された理由を含んだカスタマへの情報メッセージを送信してよい。
別の実施形態では、いったんカスタマルータ502とコンピューティングリソースサービスプロバイダルータ506との間で物理接続が確立されると、カスタマはカスタマ情報及びデジタル署名を含んだ1つ又は複数のデータパケットを、カスタマのアイデンティティを検証するために使用されてもよい、サービスに対する1つ又は複数の適切に構成されたAPIコール等を通して、生成してよい。これらのデータパケットは、認証プロトコルを使用した物理接続上でコンピューティングリソースサービスプロバイダルータ506に送信されてもよい。このルータ506は、さらなる処理のために認証サービス508にこれらのデータパケットを伝送するように構成されてもよい。
認証サービス508は、予想カスタマデジタル署名を作成するために必要な1つ又は複数の暗号キーを入手するためにアカウントサービス510と対話するように構成されてもよい。したがって、認証サービス508は、この予想カスタマデジタル署名を作成するために暗号キー及び受信されたカスタマデータをハッシュするように構成されてもよい。この署名と受信されたカスタマデジタル署名とを比較して、一致しているかどうかを判断してもよい。一致している場合、カスタマ送信は本物と見なされ、カスタマがコンピューティングリソースサービスプロバイダ504によって提供される1つ又は複数の他のサービス512にアクセスできるようにするために、認証サービス508からプロバイダルータ506に1つ又は複数の実行可能命令を送信させてもよい。例えば、カスタマ送信が本物であると見なされる場合、コンピューティングリソースサービスプロバイダ504は、カスタマがこれらの他のサービス512にアクセスするために1つ又は複数のバーチャルインタフェースを設定できるようにしてよい。
さらに、カスタマアイデンティティの検証は、認証サービス508に、カスタマルータ502に送信されるであろうコンピューティングリソースサービスプロバイダ504のためのデジタル署名を含んだ1つ又は複数のデータパケットを生成させてもよい。これによって、カスタマがコンピューティングリソースサービスプロバイダ504のアイデンティティを検証できるようにしてよい。
カスタマの初期認証が行われた後、カスタマは直ちにコンピューティングリソースサービスプロバイダによって提供されるさまざまなサービスにアクセスすることができる。しかし、接続が不正接続されていないことを保証するために、カスタマとコンピューティングリソースサービスプロバイダとの間でさらなる認証要求が送信されてもよい。したがって、図6は、1つ又は複数のサービスを伴う接続が、少なくとも一実施形態に従って初期認証時に管理される環境600の実施例を例示する。環境600で、カスタマはコンピューティングリソースサービスプロバイダ604によって提供される1つ又は複数の他のサービス612にアクセスするためにカスタマルータ602を通して1つ又は複数の信号を送信してよい。したがって、これらの1つ又は複数の信号はコンピューティングリソースサービスプロバイダルータ606によって受信されて、1つ又は複数の他のサービス612に処理のため送信されてもよい。例えば、カスタマは、1つ又は複数のサービス612にアクセスするために必要となるであろうバーチャルインタフェースを設定するためにカスタマルータ602を活用してよい。このようにして、カスタマは自分の目的のために1つ又は複数のサービス612を活用することができる。
カスタマとコンピューティングリソースサービスプロバイダ604とその関連付けられた他のサービス612との間の対話中の任意の時点で、認証サービス608は、接続が不正接続されていないこと(例えば、第三者が接続を妨害している等)を保証するために、コンピューティングリソースサービスプロバイダルータ606及びカスタマルータ602を介してカスタマに認証要求を送信してよい。したがって、カスタマは、受信した認証要求を満たすために必要な認証証拠を送信するためにカスタマによって保持され、運用される1つ又は複数のコンピュータシステムを使用してよい。この認証証拠は、カスタマルータ602を通して送信されてもよい。図5に示される初期の認証プロセスにおけるように、認証証拠は、認証要求で要求されるパスワード、デジタル署名、又は任意の他のクレデンシャルを含んでよい。この認証証拠は、セキュリティプロトコルに従って構成された1つ又は複数のデータパケットで、コンピューティングリソースサービスプロバイダ604に送信されてもよい。
コンピューティングリソースサービスプロバイダルータ606は、この認証証拠を受信し、それに応じて検証のために認証サービス608に証拠を配信してよい。図5に示されるように、認証サービス608は、受信された認証証拠を評価するために必要な関連するカスタマ情報(例えば、暗号キー、カスタマアカウント用クレデンシャル等)を入手するためにアカウントサービス610と対話するように構成されてもよい。カスタマによって提供される認証証拠が本物であると確認されると、認証サービス608はカスタマによる他のサービス612への継続アクセスを可能にしてよい。ただし、提供された認証証拠がアカウントサービス610から入手される関連するカスタマ情報と適合しない場合、認証サービス608は、コンピューティングリソースサービスプロバイダ604によって提供される他のサービス612へのカスタマアクセスを制限するためにコンピューティングリソースサービスプロバイダルータ606に1つ又は複数の実行可能命令を送信してよい。例えば、コンピューティングリソースサービスプロバイダルータ606は、カスタマが利用できる接続帯域幅を削減する、又は接続もしくはバーチャルインタフェースを完全に終了するように構成されてもよい。代わりに、認証サービス608は、認証チャレンジが失敗した場合に講じられてよい1つ又は複数のアクションを識別するためにアカウントサービス610と再び対話するように構成されてもよい。例えば、カスタマは、コンピューティングリソースサービスプロバイダ604が、他のサービス612にアクセスしているカスタマであると主張しているユーザに関係するすべての活動を監視し、記録することを指定してよい。
代わりに、カスタマとコンピューティングリソースサービスプロバイダ604とその関連付けられた他のサービス612との間の対話中の任意の時点で、カスタマによって運用されるコンピュータシステムは、接続が不正接続されていないことを保証するためにコンピューティングリソースサービスプロバイダに1つ又は複数の認証要求を送信してよい。いったん要求がコンピューティングリソースサービスプロバイダルータ606によって受信されると、要求は処理のために認証サーバ608に送信されてもよい。認証サービス608は、カスタマ認証要求を満たす認証証拠を作成するために必要な1つ又は複数の暗号キーを含むが、これに限定されるものではない関連するカスタマ情報を入手するために、アカウントサービス610と対話するように構成されてもよい。例えば、認証サービス608は、デジタル署名を作成するためにデータ及び暗号キーをハッシュするハッシュ関数を使用するように構成されてもよい。したがって、認証サービス608は、コンピューティングリソースサービスプロバイダ606とカスタマルータ602との間の物理接続を介してカスタマコンピュータシステムに送信することのできる他のデータとともに認証証拠(例えば、デジタル署名)を含んでよい1つ又は複数のデータパケットを生成してよい。
コンピューティングリソースサービスプロバイダ604によって提供される認証証拠が不適切である場合、カスタマコンピューティングシステムは、カスタマルータ602に接続を終了させることのできる実行可能なコマンドを送信するように構成されてもよい。これは、データ技術者が物理接続を断つこと、又は物理接続を介した1つ又は複数の信号の送信の完全な停止に対する要求を生成することを含んでよい。しかし、コンピューティングリソースサービスプロバイダ604との接続が本当に本物であるように、認証証拠が適切である場合、、カスタマはそのビジネスをサポートするために必要な1つ又は複数の他のサービス612にアクセスするために物理接続を活用し続けてよい。
別の実施形態では、カスタマは、カスタマのアイデンティティを検証するために使用することのできる、サービスに対する1つ又は複数の適切に構成されたAPIコール等を通して、暗号認証情報を含んだ追加のデータパケットを生成してよい。上述されたように、これらのデータパケットはコンピューティングリソースサービスプロバイダルータ606へ認証プロトコルを使用した物理接続を通して送信されてもよい。このルータ606は、さらなる処理のために認証サービス608にこれらのデータパケットを伝送するように構成されてもよい。
上述されたように、認証サービス608は、予想カスタマデジタル署名を作成するために必要な1つ又は複数の暗号キーを入手するためにアカウントサービス610と対話するように構成されてもよい。したがって、認証サービス608は、この予想カスタマデジタル署名を作成するために暗号キー及び受信されたカスタマデータをハッシュするように構成されてもよい。この署名と、受信されたカスタマデジタル署名とが比較され、一致するかどうかを判定してもよい。一致する場合、カスタマ送信は本物と見なされ、これにより認証サービス608は、コンピューティングリソースサービスプロバイダ604によって提供される1つ又は複数のサービス612への継続的なアクセスを可能とさせてよい。ただし、一致しない場合、認証サービス608は、上記に示されるように、既存の接続を制限するか、または終了さえするために1つ又は複数のアクションを実行してよい。
さらに、デジタル署名が一致する場合、認証サービス608は、カスタマルータ602に送信されてよいコンピューティングリソースサービスプロバイダ604のデジタル署名を含んだ1つ又は複数のデータパケットを生成してよい。これによって、カスタマが、現在の直接的な接続を継続するためにコンピューティングリソースサービスプロバイダ604のアイデンティティを検証できるようにしてよい。
上述されたように、直接的な接続は、カスタマがコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスできるようにするために、カスタマルータとコンピューティングリソースサービスプロバイダとの間に確立されてよい。したがって、図7は、少なくとも一実施形態に従ってカスタマとコンピューティングリソースサービスプロバイダとの間で物理接続を確立するためのプロセス700の実施例を例示するものである。プロセス700は、コンピューティングリソースサービスプロバイダ(例えば、認証サービス及びアカウントサービス)によって保持され、運用される1つ又は複数のサービスだけではなく、コンピューティングリソースサービスプロバイダによって運用されるさまざまなネットワーキング構成要素及びコンピューティング構成要素によって実行されてもよい。
カスタマは、カスタマルータとコンピューティングリソースサービスプロバイダとの間での直接的な物理接続の構築を要求するためにコンピューティングリソースサービスプロバイダに接触することができる。例えば、カスタマは、カスタマコンピューティングシステムとコンピューティングリソースサービスプロバイダのコンピューティングシステムとの間に専用のネットワーク接続を確立することを所望することがある。これによって、カスタマが自分の営業活動をサポートするためにコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスできるようにする。したがって、プロセス700は、この直接的な接続を確立するためにカスタマからの要求をコンピューティングリソースサービスプロバイダが受信する702ことを含んでよい。
コンピューティングリソースサービスプロバイダはいったんカスタマから要求を受信すると、コンピューティングリソースサービスプロバイダは、コンピューティングリソースサービスプロバイダルータにカスタマルータを接続するために授権書を作成してよい704。図2に示されるように、カスタマルータ及びコンピューティングリソースサービスプロバイダルータはデータセンタ又はコロケーションセンタに設置してよい。このようにして、授権書はデータ技術者(例えば、コンピューティングリソースサービスプロバイダの従業員、カスタマ、又は契約第三者)にカスタマルータとコンピューティングリソースサービスプロバイダルータとの間に接続を確立する許可を与えてよい。
データ技術者は物理的なルータを接続する706ために1本又は複数のケーブルを使用してよい。これは、カスタマ及びコロケーションセンタ内のコンピューティングリソースサービスプロバイダルータ、及び、接続を確立するために必要とされる対応するポートを識別することを伴ってもよい。例えば、データ技術者は、カスタマルータの送受信ポートにケーブル(例えば、光ファイバ、銅、又は他の物質)一式の一方の端部を挿入し、コンピューティングリソースサービスプロバイダの送受信ポートに該ケーブルの他方の端部を接続してよい。コロケーションセンタが1つ又は複数のパッチパネルを含む場合、データ技術者はパッチパネルを通してカスタマルータから、及び最終的なパッチパネルポートからコンピューティングリソースサービスプロバイダルータにケーブルを接続してよい。データ技術者は、適正な接続性を保証するために診断ツールを使用するか、又はコンピューティングリソースサービスプロバイダに接触して、接続が確立されたことをコンピューティングリソースサービスプロバイダに知らせてもよい。
認証プロセスはポートと無関係であってよいことが留意されるべきである。例えば、実施形態では、カスタマは、そのカスタマのルータ、及び二次カスタマ又は三次カスタマ(例えば、コンピューティングリソースサービスプロバイダとの既存の関係性を有するカスタマのカスタマ)によって保持され且つ運用されるルータを含むコロケーションセンタ内でケージを運用し、保持する。任意の時点で、カスタマは、カスタマルータとコンピューティングリソースサービスプロバイダとの間で物理接続を切断し、二次カスタマ又は三次カスタマによって維持されるルータとの物理接続を再接続してよい。二次カスタマ又は三次カスタマは、二次カスタマ又は三次カスタマと関連付けられ、コンピューティングリソースサービスプロバイダに認証証拠を提供するために使用されることが可能なクレデンシャルのセットを保持してよい。したがって、コンピューティングリソースサービスプロバイダは、適宜この物理接続を通してこの二次カスタマ又は三次カスタマとの物理接続を認証してよい。二次カスタマ又は三次カスタマは、それに応じて、以下に説明されるように、接続を認証するためにコンピューティングリソースサービスプロバイダに認証証拠を提供してよい。
多様な実施形態で、カスタマ及び/又はプロバイダは直接的な物理接続を確立するために使用されるネットワークデバイスポートを変更してよい。例えば、カスタマは、カスタマルータとコンピューティングリソースサービスプロバイダとの間で異なった接続を生じさせる、既存の物理接続のアップグレード(例えば、コンピューティングリソースサービスプロバイダルータでの1ギガバイトポートから10ギガバイトポートへの遷移)を要求してもよい。この例では、認証プロセスは、プロセスに対するいかなるシステム変更もなしに、いったん接続が確立されると繰り返されてもよい。これによって、認証プロセスがポートに無関係であることを保証することができる。
いったんコロケーションセンタでの物理的なルータが接続され、データ技術者によって接続が確認されると、コンピューティングリソースサービスプロバイダはルータを使用してカスタマルータに1つ又は複数の信号を送信708してよい。図5に関連して上記に示されたように、コンピューティングリソースサービスプロバイダは認証サービスを運用し、保持してもよく、この認証サービスは、カスタマがコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスに接続する権限を与えられていることを検証するためにカスタマに認証要求を送信するように構成されてもよい。したがって、認証サービスはこの認証要求を含んだセキュリティプロトコルに従う1つ又は複数のデータパケットを生成するように構成されてもよい。これらのデータパケットは、コロケーションセンタで確立された物理接続を介してカスタマルータにコンピューティングリソースサービスプロバイダによって送信されてもよい。
カスタマルータがコンピューティングリソースサービスプロバイダからこれらの1つ又は複数のデータパケットを受信すると、カスタマルータは処理のためにカスタマコンピューティングシステムにこれらのデータパケットを送信してよい。認証要求に基づいて、カスタマコンピュータシステムはデジタル署名を生成するためにハッシュ関数及び暗号キーを活用するように構成されてもよい。デジタル署名は認証要求を満たすために必要な認証証拠を含んでよい。したがって、カスタマコンピュータシステムは、他のカスタマデータとともに要求を満たすために必要とされる認証証拠を含んだ1つ又は複数のデータパケットを生成するように構成されてもよい。これらのデータパケットは、認証情報の送信のために確立されたセキュリティプロトコルに従って作成されてよい。
カスタマ認証証拠を含んだデータパケットは、カスタマルータを使用して物理接続を通してコンピューティングリソースサービスプロバイダに送信されてもよい。したがって、コンピューティングリソースサービスプロバイダは、カスタマルータからカスタマデータパケットを含んだ信号を受信してよい710。カスタマルータを起源とする信号は、カスタマからの信号を分解し、1つ又は複数のデータパケットを抽出するように構成してよいコンピューティングリソースサービスプロバイダルータによって受信されてもよい。認証サービスにアドレス指定可能なデータパケットは、処理のために認証サービスに送信されてもよい。
上述されたように、認証サービスはカスタマのアイデンティティを検証するために受信されたデータパケットからカスタマ認証証拠(例えば、デジタル署名)を抽出するように構成されてもよい。したがって、認証サービスは物理接続を通して受信されるデジタル署名を認証する712ことを試みてよい。上述されたように、認証サービスは関連するカスタマ情報を入手するためにアカウントサービスと対話するように構成されてもよい。例えば、認証サービスは、認証証拠を検証するためにアカウントサービスから1つ又は複数のカスタマ暗号キー(例えば、楕円曲線暗号法等の1つ又は複数の暗号方法を使用して生成されるカスタマキー)を入手してよい。例えば、認証サービスは、予想カスタマデジタル署名を作成するために、暗号キーとともに、受信されたカスタマデータをハッシュするように構成されてもよい。この予想カスタマデジタル署名がカスタマからの受信されたデジタル署名に一致する場合、信号は本物であり、カスタマアイデンティティは検証される。
カスタマによって提供される認証証拠が適切である(例えば、デジタル署名の一致が生じる)場合、認証サービスは、コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスへのカスタマのアクセスを可能とする714ようにしてもよい。1つ又は複数のサービスに対するカスタマアクセスを可能にするために、認証サービスは、1つ又は複数の実行可能命令をコンピューティングリソースサービスプロバイダルータに送信して、カスタマが1つ又は複数のサービスにアクセスするために1つ又は複数の信号を送信できるようにルータを再構成するように構成されてもよい。例えば、コンピューティングリソースサービスプロバイダルータは、1つ又は複数のサービスの受取人IPアドレスを含んだいずれのデータパケットも1つ又は複数のサービスに配信できるように構成されてもよい。さらに、認証は、これらのサービスにアクセスするために使用されてよいバーチャルインタフェースをカスタマが設定できるようにするために、コンピューティングリソースサービスプロバイダルータに1つ又は複数の実行可能命令を送信するように構成されてもよい。このようにして、カスタマは、コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスできるようにしてよい。
上述されたように、認証サービスは、カスタマが、カスタマとコンピューティングリソースサービスプロバイダとの間の物理接続が確立された後にコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスする権限を有することを検証するように構成されてもよい。したがって、図8は、少なくとも一実施形態に従って初めて接続を認証するためのプロセス800の実施例を例示する。上述されたように、コンピューティングリソースサービスプロバイダ及びカスタマはコロケーションセンタに設置するルータを使用することによって物理接続を確立してよい。いったん物理接続が確立されると、権限のない第三者が接続に干渉するかもしれいない(例えば、カスタマになりすまし、カスタマ情報にアクセスしようとする)というリスクがある。したがって、コンピューティングリソースサービスプロバイダは、カスタマが要求されたサービスにアクセスする権限を有することを検証するためにカスタマに認証要求を送信する802ように構成されてもよい認証サービスを含んでよい。
上述されたように、認証サービスは、物理接続を通して送信可能な認証要求を含んだ1つ又は複数のデータパケットを生成するように構成されてもよい。これらのデータパケットは、データパケットがカスタマコンピュータシステムによって処理され、送信が安全であるように、他の標準的なプロトコル(例えば、TCP/IP、IPsec等)に加えてセキュリティプロトコルに従ってさらに構成されてよい。したがって、認証サービスはこれらのデータパケットをコンピューティングリソースサービスプロバイダルータに送信し、同様にコンピューティングリソースサービスプロバイダルーがカスタマに当該データパケットを送信するように構成されてもよい。
カスタマは、コロケーションセンタのコンピューティングリソースサービスプロバイダに物理的に接続可能なカスタマルータを通してこれらのデータパケットを受信してよい。したがって、データパケットは処理のために1つ又は複数のカスタマコンピュータシステムに送信されてもよく、これによって1つ又は複数のコンピュータシステムは、カスタマがコンピューティングリソースサービスプロバイダによって提供されるサービスにアクセスする権限を有することを検証するために必要な認証証拠を含んだ要求に応えて1つ又は複数のデータパケットを生成してよい。認証サービスを使用して生成されるデータパケットの場合と同様に、1つ又は複数のカスタマコンピュータシステムは他の標準的なプロトコルに加えてセキュリティプロトコルに従って構成される1つ又は複数のデータパケットを生成するように構成されてもよい。したがって、これらのデータパケットは処理のためにカスタマルータからコンピューティングリソースサービスプロバイダに送信されてもよい。コンピューティングリソースサービスプロバイダは、カスタマから受信された1つ又は複数のデータパケットを認証サービスに送信してよい。
したがって、認証サービスは、カスタマから認証証拠を受信する804ように構成されてもよい。要求された認証証拠のタイプに基づいて、認証サービスは認証証拠を検証するために必要なカスタマアカウント情報を入手するためにアカウントサービスと対話するように構成されてもよい。例えば、認証サービスは、カスタマから受信されたデジタル署名が本物であるかどうかを判断するために使用されてもよい予想カスタマデジタル署名を生成するために、カスタマアカウントと関連付けられた暗号キーを入手してよい。
したがって、認証サービスは、暗号キーを使用して予想カスタマデジタル署名を作成し、これとカスタマから受信されたデジタル署名とを比較することで、これらが一致するかどうかを判断するように構成されてもよい。したがって、認証サービスは、カスタマ認証証拠が本物であるかどうかを判断する806ように構成されてもよい。カスタマから受信された認証証拠が認証サービスによって作成される予想カスタマデジタル署名に一致する場合、認証サービスはコンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスへの接続を確立してよい808。例えば、認証サービスは、コンピューティングリソースサービスプロバイダルータに1つ又は複数の実行可能命令を送信して、コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアドレス指定されるカスタマから受信されたいずれのデータパケットも当該1つ又は複数のサービスに当該ルータにより送信されるように構成されてもよい。したがって、カスタマはそのビジネスをサポートするためにこれらのサービスにアクセスすることができるようになる。
しかしながら、カスタマから受信される認証証拠が認証サービスによって生成される予想カスタマデジタル署名に一致しない場合、認証サービスはコンピューティングリソースサービスプロバイダによって提供されるサービスへのカスタマのアクセスを拒否してよい810。例えば、認証サービスはコンピューティングリソースサービスプロバイダルータに1つ又は複数の実行可能なコマンドを送信して、ルータに、これらの1つ又は複数のサービスにアドレス指定されてよいカスタマからのいずれのデータパケットも当該ルータにより拒絶させるように構成されてもよい。あるいは、初期の物理接続中のコンピューティングリソースサービスプロバイダルータが1つ又は複数のサービスにアドレス指定されたいずれのデータパケットも自動的に拒絶するように構成されている場合、認証サービスは当該ルータにいずれの追加命令も送信しないことがある。したがって、ルータはカスタマからのこれらのデータパケットを拒絶し続けてよい。
いったんカスタマが1つ又は複数のサービスに無事に接続されると、カスタマはそのビジネスをサポートするためにこれらのサービスを活用し続けてよい。ただし、認証サービスは、接続が不正接続されていないことを保証するためにカスタマに認証要求を提示し続けるように構成されてもよい。したがって、図9は、接続が少なくとも一実施形態に従ってあらかじめ確立された後の接続を認証するためのプロセス900の実施例を例示するものである。図8に示されるプロセスにおけるように、認証サービスはカスタマに認証要求を送信する902ように構成されてもよい。この認証要求は、1つ又は複数の通信プロトコル(例えば、TCP/IP)、及び物理接続のセキュリティに必要なセキュリティプロトコルに従って構成された1つ又は複数のデータパケットで送信されてもよい。
上述されたように、カスタマはカスタマのさらなる営業活動に適するように構成された1つ又は複数のコンピュータシステムを運用してよい。したがって、これらの1つ又は複数のコンピュータシステムは認証要求を処理し、要求を満たすために必要な認証証拠を含んだ1つ又は複数のデータパケットを生成するように構成されてもよい。認証証拠は、上述されたように、1つ又は複数のカスタマクレデンシャル(例えば、パスワード、デジタル署名等)を含んでよい。認証要求を含んだデータパケットにおけるように、カスタマコンピューティングシステムを使用して生成されたデータパケットは1つ又は複数の通信プロトコル及びセキュリティプロトコルに適するように構成されてもよい。これらのデータパケットは、(例えば、コロケーションセンタの物理ケーブルを通して)直接的にコンピューティングリソースサービスプロバイダルータに接続されてよいカスタマルータを使用して配信されてもよい。
コンピューティングリソースサービスプロバイダルータは、このようにして認証証拠を含んだデータパケットを受信し904、コンピューティングリソースサービスプロバイダによって運用される認証サービスにこれらのデータパケットを送信するように構成されてもよい。したがって、認証サービスは、認証証拠を検証するために必要な情報を入手するためにコンピューティングリソースサービスプロバイダによって運用されるアカウントサービスと対話するように構成されてもよい。これによって、認証サービスが、カスタマ認証証拠が本物であるかどうかを判断する906ことができるようにしてもよい。例えば、認証サービスはカスタマから受信されたデジタル署名を検証するために使用されてよい予想カスタマデジタル署名を作成するために必要な1つ又は複数の暗号キーを入手してよい。
認証証拠が認証要求を満たす(例えば、提供されたカスタマデジタル署名が認証サービスによって作成された予想カスタマデジタル署名に適合する)場合、認証サービスは、カスタマが現在、コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスしているかどうかをさらに判断してよい908。コンピューティングリソースサービスプロバイダがカスタマとこれらのサービスとの間ですでに接続を確立している場合、認証サービスは、カスタマがこれらのサービスにアクセスできることが継続するように構成されてもよい。したがって、認証サービスは、接続が不正接続されていないことを保証するために別の認証要求をカスタマに送信する902ように構成されてもよい。これらの以後の要求は、認証サービスの構成に少なくとも部分的に基づいて後に行われてよい。
ただし、カスタマが現在コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスしていない場合、認証サービスはカスタマとこれらのサービスとの間に接続を確立してよい910。例えば、認証サービスは、1つ又は複数の実行可能命令をコンピューティングリソースサービスプロバイダルータに送信し、カスタマコンピュータシステムを起源とするいずれのデータパケットも1つ又は複数のサービスに送信することを当該ルータに許可させるように構成されてもよい。これにより、カスタマは直ちに自らのビジネスを促進するためにこれらのサービスにアクセスすることができる。再び、いったん接続が確立されると、認証サービスは、接続が不正接続されていないことを保証するためにカスタマに認証要求を送信し続けてよい902。これらの以後の要求は、認証サービスの構成に応じて日次、週次、月次、又はさまざまな時間間隔で行われてよい。
認証サービスがカスタマからの受信された認証証拠を評価し、証拠が本物ではないと判断する場合、認証サービスは、コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスへのカスタマのアクセスを制限するかどうかをさらに判断してよい912。例えば、コンピューティングリソースサービスプロバイダは、カスタマが、接続が不正接続されている場合にどのような対策が講じられ得るのかを定めることができるようにしてよい。例えば、カスタマは、潜在的な違反に基づいて接続が終了されるべきであることを指定してよい。別の例では、カスタマは、自称カスタマ(例えば、権限のない第三者等)とコンピューティングリソースサービスプロバイダとの間のすべての送信を記録する一方で、接続が中断されることなく続行できるようにすることを好むことがある。
したがって、認証サービスは、違反があった場合にカスタマの命令を参照し、これらの対策を実行するためにアカウントサービスと対話するように構成されてもよい。あるいは、カスタマが、講じられる対策を指定していない場合、認証サービスは1つ又は複数のデフォルト指示を参照して、接続に関して1つ又は複数の対策をサービスに実行させてもよい。カスタマの指示又はデフォルト指示が1つ又は複数のサービスへのアクセス制限を含む場合は、認証サービスはこれらのサービスへのカスタマのアクセスを制限する914方向へ進んでよい。例えば、認証サービスはコンピューティングリソースサービスプロバイダに1つ又は複数の実行可能命令を送信して、カスタマが利用できる利用可能な接続帯域幅を狭め、これによりカスタマがサービスにアクセスする能力を遅くするように構成されてもよい。あるいは、接続を完全に終了してもよい。サービスへのアクセスを制限するための他の方法が、さらに組み込まれてもよく、これらは本開示の範囲内であると見なせる。
カスタマとコンピューティングリソースサービスプロバイダとの間の接続がいったん制限されると、認証サービスはカスタマへ認証要求を送信し続けてよい902。したがって、カスタマが新しい認証要求に応えて適切な認証証拠を提供できる場合、認証サービスは1つ又は複数のサービスへのアクセスを復元するためにコンピューティングリソースサービスプロバイダルータに1つ又は複数の実行可能命令を送信してよい。このようにして、カスタマ及びコンピューティングリソースサービスプロバイダは接続に関わる問題を、それが権限のない第三者であれ、クレデンシャルの期限切れ又は何らかの他の問題であれ、解決し、接続を復元することができる。
例えば、コンピューティングリソースサービスプロバイダが、認証証拠が不適切である場合にいずれのアクションも講じるべきではないとカスタマが指定していた場合、コンピューティングリソースサービスプロバイダは接続が拘束されずに継続できるようにしてよい。したがって、認証サービスは、接続に関して問題が依然として残っているかどうかを判断するために認証要求を送信する902ことを続行するように構成されてもよい。例えば、認証サービスは、多数の認証要求でもなんら適切な認証証拠応答を生じさせなかった後には接続を終了するように構成されてもよい。
上述されたように、いったんカスタマルータとコンピューティングリソースサービスプロバイダルータとの間の物理接続が確立されると、コンピューティングリソースサービスプロバイダは、カスタマのアイデンティティを検証し、接続が不正接続されていないことを保証するためにカスタマに1つ又は複数の認証要求を送信してよい。同様に、カスタマは、自分のビジネスをサポートするために使用可能な1つ又は複数のコンピューティングシステムを活用して、プロバイダのアイデンティティを検証するためにコンピューティングリソースサービスプロバイダに1つ又は複数の認証要求を送信してよい。したがって、図10は、少なくとも一実施形態に従って接続を認証するためのプロセス1000の実施例を例示するものである。
カスタマは、1つ又は複数のサービスに潜在的に影響を受けやすいカスタマデータを送信する前に、接続の他端で関係者のアイデンティティを検証することを所望することがある。したがって、カスタマはコンピューティングリソースサービスプロバイダに認証要求を送信する1002ために1つ又は複数のコンピュータシステムを構成してもよい。上述されたように、カスタマコンピューティングシステムは、1つ又は複数の通信プロトコル、及び安全な接続を通してこれらのデータパケットを送信するために必要なセキュリティプロトコルに従って構成された1つ又は複数のデータパケットを生成するように構成されてもよい。これらのデータパケットは認証要求及びカスタマ識別データを含んでよい。したがって、カスタマコンピュータシステムはこれらのデータパケットを、これらのデータパケットを物理接続の他端のコンピューティングリソースサービスプロバイダに送信するように構成されてよいカスタマルータに伝送してよい。
したがって、認証要求は、処理のためにコンピューティングリソースサービスプロバイダによって運用される認証サービスに配信されてよい。認証サービスは、カスタマアカウントにアクセスし、要求を満たすために必要な情報を見つけ出すためにアカウントサービスと対話するように構成されてもよい。例えば、認証サービスは、認証証拠として使用され得るデジタル署名を作成するためにカスタマアカウントから暗号キーを入手してよい。認証サービスは、要求を満たし、コンピューティングリソースサービスプロバイダルータを通して1つ又は複数のカスタマコンピューティングシステムにこれらのデータパケットを送信するために必要な情報を含んだ1つ又は複数のデータパケットを生成するように構成されてもよい。このようにして、1つ又は複数のカスタマコンピュータシステムは、コンピューティングリソースサービスプロバイダから認証証拠を受信してよい1004。
いったんカスタマコンピューティングシステムがコンピューティングリソースサービスプロバイダから認証証拠を入手すると、カスタマコンピューティングシステムは、証拠が本物であるかどうかを判断する1006ために認証証拠を処理してよい。証拠が本当に本物であるかどうか判断するために、カスタマコンピューティングシステムは暗号キーを使用して予想認証サービスデジタル署名を作成し、このデジタル署名を認証サービスから受信されたデジタル署名と比較するように構成されてもよい。したがって、カスタマコンピュータシステムは予想コンピューティングリソースサービスプロバイダクレデンシャル(例えば、暗号キー、予想デジタル署名等)を設置又は生成し、これらのクレデンシャルを提供された証拠と比較してよい。受信された認証証拠が予想コンピューティングリソースサービスプロバイダクレデンシャルと一致しない場合、カスタマコンピュータシステムは接続を終了する1008ために、再構成情報(例えば、実行可能命令)をカスタマルータに送信してよい。したがって、カスタマが潜在的な問題に対応できるようにする追加の送信は、コンピューティングリソースサービスプロバイダから受信されないことがある。
コンピューティングリソースサービスプロバイダから受信された認証証拠が有効である(例えば、予想認証サービスデジタル署名が受信されたデジタル署名に一致する)場合、カスタマは、さらなる送信を行うことを可能にし、コンピューティングリソースサービスプロバイダによって提供される1つ又は複数のサービスにアクセスし続けてよい。さらに、カスタマコンピュータシステムは、接続が不正接続されていないことを保証するためにコンピューティングリソースサービスプロバイダに1つ又は複数の認証要求を送信1002し続けるように構成されてもよい。
本開示の実施形態は、以下の節を鑑みて説明できる。
1.接続を認証するためのコンピュータ実装方法であって、
実行可能命令で構成された1つ又は複数のシステムの制御下で、
コンピューティングリソースサービスプロバイダネットワークデバイスで、及び安全な接続を通してコンピューティングリソースサービスプロバイダと接続されたカスタマデバイスから、カスタマの秘密キーに少なくとも部分的に基づいて生成される暗号認証情報を受信することと、
コンピューティングリソースサービスプロバイダネットワークデバイスから、暗号認証情報を認証するために運用可能である認証サービスに暗号認証情報を転送することと、
認証サービスが暗号認証情報を無事に認証した結果として、カスタマデバイスから認証サービスとは異なるコンピューティングリソースサービスプロバイダの1つ又は複数のサービスにネットワークトラフィックを送るようにコンピューティングリソースサービスプロバイダネットワークデバイスを構成することと
を含む、コンピュータ実装方法。
2.秘密キーが公開‐秘密暗号キー組からの秘密キーである、節1に記載のコンピュータ実装方法。
3.認証サービスが暗号認証情報を無事に認証した結果として、コンピューティングリソースサービスプロバイダネットワークデバイス上でカスタマのためにネットワークインタフェースを設定することをさらに含む、節1から2までのいずれか1節に記載のコンピュータ実装方法。
4.安全な接続が、コロケーションセンタでの物理接続に少なくとも部分的に基づいて確立され、物理接続が、カスタマポートのセットからコンピューティングリソースサービスプロバイダポートのセットに接続される1本又は複数のケーブルを含む、上記節のいずれか1節に記載のコンピュータ実装方法。
5.ある量の時間にわたって1回又は複数回、カスタマデバイスから追加の暗号認証情報を受信すること
をさらに含み、
カスタマデバイスから1つ又は複数のサービスへのネットワークトラフィックを継続的に送ることが、追加の暗号認証情報を無事に認証することを条件とする、上記節のいずれか1節に記載のコンピュータ実装方法。
6.安全な接続は公衆通信ネットワーク上での安全なトンネルを含む、上記節のいずれか1節に記載のコンピュータ実装方法。
7.該方法が、カスタマデバイス及びコンピューティングリソースサービスプロバイダネットワークデバイスによって使用される認証プロトコルに従って実行される、上記節のいずれか1節に記載のコンピュータ実装方法。
8.コンピューティングリソースサービスプロバイダネットワークデバイスを欠いている通信チャネルを通してカスタマの秘密キーを受信することをさらに含む、上記節のいずれか1節に記載のコンピュータ実装方法。
9.ネットワークデバイスであって、
認証サービスを含む1つ又は複数のサービスを含むプロバイダネットワークに接続される通信ポートを含む、ネットワークデバイスの外部から1つ又は複数の信号を受信するように構成される1つ又は複数の通信ポートと、
1つ又は複数の通信ポートと動作可能に結合される1台又は複数のプロセッサと
1台又は複数のプロセッサによって実行可能な命令を含むメモリであって、該1台又は複数のプロセッサによって実行されるときに、該1台又は複数のプロセッサに、
1つ又は複数の通信ポートに接続されたカスタマデバイスから、暗号認証情報を認証するために運用可能である認証サービスへの接続を通して受信される暗号認証情報を転送させ、
認証サービスが暗号情報を無事に認証した結果として認証サービスから再構成情報を受信して、ネットワークデバイスがカスタマデバイスからコンピューティングリソースサービスプロバイダの1つ又は複数のサービスにデータを転送できるようにさせ、
再構成情報に従ってカスタマデバイスからコンピューティングリソースサービスプロバイダの1つ又は複数のサービスにデータを転送するように再構成させる、
前記メモリと、
を含む、ネットワークデバイス。
10.カスタマデバイスから受信される暗号認証情報が、カスタマの秘密キーに少なくとも部分的に基づいて生成される、節9に記載のネットワークデバイス。
11.秘密キーが公開‐秘密暗号キーの組からの秘密キーである、節9から10までに記載のネットワークデバイス。
12.接続は公衆通信ネットワーク上の安全なトンネルである、節9から11までのネットワークデバイス。
13.命令によって、1台又は複数のプロセッサに、カスタマデバイスによって検証可能である暗号認証情報を認証サービスからカスタマデバイスにさらに送信させる、節9から12のネットワークデバイス。
14.命令によって、1台又は複数のプロセッサに、カスタマデバイスから受信された追加の暗号認証情報を経時的に1回又は複数回、認証サービスにさらに転送させる、節9から13までに記載のネットワークデバイス。
15.信号がカスタマデバイスから1つ又は複数の通信ポートに接続された1本又は複数の光ファイバケーブルを通して受信される、節9から14までに記載のネットワークデバイス。
16.命令によって、1台又は複数のプロセッサに、再構成情報に少なくとも部分的に基づいて、カスタマデバイスからデータを処理するためのネットワークインタフェースをさらに設定させる、節9から15までに記載のネットワークデバイス。
17.認証サービスの1台又は複数のプロセッサによって実行されるときに、認証サービスに、
カスタマの秘密キーに少なくとも部分的に基づいて生成され、コンピューティングリソースサービスプロバイダネットワークデバイスとの安全な接続を通してカスタマから受信された暗号認証情報が本物であるかどうかの判断を下させ、
判断に少なくとも部分的に基づいて1つ又は複数の対策を講じさせる
命令を集合的に記憶させた1つ又は複数の非一時的コンピュータ可読記憶媒体であって、
判断が、暗号認証情報が本物であることを示す場合、1つ又は複数の対策が再構成情報をコンピューティングリソースサービスプロバイダネットワークデバイスに送信し、それによりコンピューティングリソースサービスプロバイダネットワークデバイスに、カスタマデバイスからコンピューティングリソースサービスプロバイダの1つ又は複数の他のサービスにネットワークトラフィックを送らせることを含み、
判断が、暗号認証情報が本物ではないことを示す場合、1つ又は複数の対策がコンピューティングリソースサービスプロバイダネットワークデバイスに、カスタマデバイスからコンピューティングリソースサービスプロバイダの1つ又は複数の他のサービスへのネットワークトラフィックを拒否させることを含む、
1つ又は複数の非一時的コンピュータ可読記憶媒体。
18.コンピューティングリソースサービスプロバイダにネットワークトラフィックを拒否させることは、カスタマデバイスからコンピューティングリソースサービスプロバイダの1つ又は複数の他のサービスへのネットワークトラフィックを拒否するための再構成情報を、コンピューティングリソースサービスプロバイダネットワークデバイスに送信することを含む、節17に記載の1つ又は複数の非一時的コンピュータ可読記憶媒体。
19.秘密キーが公開‐秘密暗号キーの組からの秘密キーである、節17から18までに記載の1つ又は複数の非一時的コンピュータ可読記憶媒体。
20.1つ又は複数の対策が、判断が、暗号認証情報が本物であることを示した結果として、コンピューティングリソースサービスプロバイダネットワークデバイス上でカスタマのためにネットワークインタフェースを設定することをさらに含む、節17から19までの1つ又は複数の非一時的コンピュータ可読記憶媒体。
21.安全な接続がコロケーションセンタでの物理接続に少なくとも部分的に基づいて確立され、物理接続がカスタマポートのセットからコンピューティングリソースサービスプロバイダポートのセットに接続される1本又は複数のケーブルを含む、節1から17までに記載の1つ又は複数の非一時的コンピュータ可読記憶媒体。
22.安全な接続は公衆通信ネットワーク上で安全なトンネルを含む、節17から21までに記載の1つ又は複数の非一時的コンピュータ可読記憶媒体。
23.暗号認証情報が、カスタマ及びコンピューティングリソースサービスプロバイダネットワークデバイスによって使用される認証プロトコルに従って安全な接続を通して送信される、節17から22までに記載の1つ又は複数の非一時的コンピュータ可読記憶媒体。
24.命令によって、認証サービスに、カスタマによって検証可能な第2の暗号情報をさらに生成させ、コンピューティングリソースサービスプロバイダネットワークデバイスを通してカスタマに暗号認証情報を送信させる、節17から23までに記載の1つ又は複数の非一時的コンピュータ可読記憶媒体。
25.命令によって、認証サービスに、継時的に1回又は複数回カスタマから受信される追加の暗号認証情報に少なくとも部分的に基づいて追加の判断をさらに下させる、節17から24までに記載の1つ又は複数の非一時的コンピュータ可読記憶媒体。
図11は、多様な実施形態に従って態様を実装するための環境例1100の態様を示す。理解されるように、ウェブに基づいた環境が説明のために使用されるが、多様な実施形態を実装するためには必要に応じて異なる環境が使用されてよい。環境は、適切なネットワーク1104上で要求、メッセージ、又は情報を送信及び受信し、装置のユーザに情報を伝え返すために運用可能な任意の適切なデバイスを含むことができる電子クライアントデバイス1102を含む。係るクライアントデバイスの例は、パーソナルコンピュータ、携帯電話、ハンドヘルドメッセージングデバイス、ラップトップコンピュータ、タブレットコンピュータ、セットトップボックス、パーソナルデータアシスタント、埋込式コンピュータシステム、電子ブックリーダー等を含む。ネットワークは、イントラネット、インターネット、セルラーネットワーク、ローカルエリアネットワーク、もしくは任意の他のこのようなネットワーク、又はそれらの組合せを含む任意の適切なネットワークを含むことができる。係るシステムに使用される構成要素は、選択されたネットワーク及び/又は環境のタイプに少なくとも部分的に依存することができる。係るネットワークを介して通信するためのプロトコル及び構成要素は周知であり、本明細書に詳細に説明されない。ネットワーク上での通信は有線接続又は無線接続及びそれらの組合せによって行うことができる。この実施例では、要求を受信し、要求に応えてコンテンツを供給するためのウェブサーバ1106を環境が含むので、ネットワークはインターネットを含む。ただし、他のネットワークの場合、当業者に明らかになるように、類似する目的に役立つ代替デバイスが使用できるだろう。
例示的な環境は少なくとも1台のアプリケーションサーバ1108及びデータストア1110を含む。連結されているか、又はそれ以外の場合構成されてもよい、適切なデータストアからデータを入手する等のタスクを実行するために対話は可能な、いくつかのアプリケーションサーバ、層、又は他の要素、プロセスもしくは構成要素がある場合があることは理解されるべきである。サーバは、本明細書に使用されるように、ハードウェアデバイス又はバーチャルコンピュータシステム等の多様な方法で実装されてよい。いくつかの状況では、サーバはコンピュータシステムで実行されているプログラマブルモジュールを指す場合がある。本明細書に使用されるように、用語「データストア」は、データを記憶し、アクセスし、取り出すことができる任意のデバイス又はデバイスの組合せを指すが、これらは、任意の標準的な環境、分散環境又はクラスタ環境でデータサーバ、データベース、データストレージデバイス、及びデータストレージ媒体の任意の組合せ及び数を含んでもよい。アプリケーションサーバは、クライアントデバイスのために1つ又は複数のアプリケーションの態様を実行するために必要に応じてデータストアと統合し、データアクセス及びアプリケーションのためのビジネス論理のいくらか(大多数も)処理するための任意の適切なハードウェア及びソフトウェアを含むことができる。アプリケーションサーバはデータストアと協調してアクセス制御サービスを提供してよく、この例ではハイパーテキストマークアップ言語(「HTML」)、拡張マークアップ言語(「XML」)、又は別の適切な構造化言語の形をとるウェブサーバによってユーザに提供されてよい、ユーザに伝送されるテキスト、グラフィック、音声、及び/又はビデオ等のコンテンツを生成できる。クライアントデバイス1102とアプリケーションサーバ1108との間でのコンテンツの配信だけではなく、すべての要求及び応答の処理もウェブサーバによって対処できる。本明細書で説明される構造化コードは本明細書の他の箇所に説明されるように任意の適切なデバイス又はホストマシン上で実行できるので、ウェブサーバ及びアプリケーションサーバが必須ではなく、単に構成要素例にすぎないことは理解されるべきである。さらに、単一のデバイスによって実行されるとして本明細書に説明される運用は、文脈から明確にならない限り、分散システムを形成してよい複数のデバイスによって集合的に実行されてよい。
データストア1110は、いくつかの別個のデータテーブル、データベース、又は本開示の特定の態様に関係するデータを記憶するための他のデータストレージ機構及びデータストレージ媒体を含むことができる。例えば、示されているデータストアは、生産側のためのコンテンツを供給するために使用できる生産データ1112及びユーザ情報1116を記憶するための機構を含んでよい。また、データストアは、報告、分析、又は他の係る目的のために使用できるログデータ1114を記憶するための機構を含むとして示されている。データストアに記憶されることを要求されるであろう多くの他の態様、例えば、ページ画像情報及びアクセス権情報等があり得ることは理解されるべきである。これらは、必要に応じて上記に挙げられた機構のいずれかに又はデータストア1110の追加機構に記憶できる。データストア1110は、データストアと関連付けられた論理を通して、アプリケーションサーバ1108から命令を受信し、命令に応えてデータを入手、更新、又はそれ以外の場合処理するために運用可能である。一例では、ユーザは、ユーザによって運用されるデバイスを通して、特定のタイプの項目に対する検索要求を提示する場合もある。この場合、データストアはユーザのアイデンティティを検証するためにユーザ情報にアクセスする可能性があり、そのタイプの項目についての情報を入手するためにカタログ詳細情報にアクセスできる。情報は、次いでユーザがユーザデバイス1102上のブラウザを介して閲覧することができるウェブページ上のリスト結果等で、ユーザに返されることがある。関心のある特定の項目のための情報は、ブラウザの専用のページ又はウィンドウで閲覧できる。ただし、本開示の実施形態は必ずしもウェブページの状況に制限されるものではなく、要求が必ずしもコンテンツに対する要求ではない一般的な要求の処理により一般的に適用可能であってよいことは留意されるべきである。
各サーバは、通常、そのサーバの一般的な管理及び運用のための実行可能プログラム命令を提供するオペレーティングシステムを含み、通常、サーバのプロセッサによって実行される時に、サーバがその意図される機能を実行できるようにする命令を記憶するコンピュータ可読記憶媒体(例えば、ハードディスク、ランダムアクセスメモリ、リードオンリーメモリ等)を含む。サーバのオペレーティングシステム及び一般的な機能性のための適した実装は既知であり又は市販されており、特に本明細書の開示を鑑みて当業者によって容易に実装される。
一実施形態における環境は、1つ又は複数のコンピュータネットワーク又は直接的な接続を利用して、通信リンクを介して相互接続されるいくつかのコンピュータシステム及び構成要素を活用する分散型コンピューティング環境である。ただし、係るシステムは、図11に示されるよりも少ない数又は多い数の構成要素を有するシステムで等しくうまく運用できることが当業者によって理解されるであろう。したがって、図11のシステム1100の描写は、本来例示的であり、本開示の範囲を制限しないと解釈されるべきである。
多様な実施形態は、いくつかの場合に、多数のアプリケーションのいずれかを運用するために使用できる1台又は複数のユーザコンピュータ、コンピューティングデバイス、又は処理装置を含むことの可能なる多種多様の運用環境でさらに実装できる。ユーザ又はクライアントデバイスは、携帯電話向けソフトウェアを実行し、多数のネットワーキングプロトコル及びメッセージングプロトコルをサポートできるセルラーデバイス、無線デバイス並びにハンドヘルドデバイスだけではなく、標準的なオペレーティングシステムを実行するデスクトップコンピュータ、ラップトップコンピュータ、又はタブレットコンピュータ等の多数の汎用パーソナルコンピュータの内のいずれかを含むことができる。また、係るシステムは、開発及びデータベース管理等のためにさまざまな市販のオペレーティングシステム及び他の既知のアプリケーションのいずれかを実行する多数のワークステーションを含むことができる。また、これらのデバイスは、ダミー端末、シンクライアント、ゲーム機、及びネットワークを介して通信できる他のデバイス等の他の電子デバイスを含むことができる。
本開示の多様な実施形態は、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、オープンシステムインターコネクション(「OSI」)モデルの多様な層で動作するプロトコル、ファイル転送プロトコル(「FTP」)、ユニバーサルプラグアンドプレイ(「UpnP」)、ネットワークファイルシステム(「NFS」)、共通インターネットファイルシステム(「CIFS」)、及びAppleTalk等のさまざまな市販のプロトコルのいずれかを使用して通信をサポートするための当業者によく知られている少なくとも1つのネットワークを活用する。ネットワークは、例えば、ローカルエリアネットワーク、広域ネットワーク、仮想プライベートネットワーク、インターネット、イントラネット、エクストラネット、公衆交換電話ネットワーク、赤外線ネットワーク、無線ネットワーク、及び任意のそれらの組合せとすることができる。
ウェブサーバを活用する実施形態で、ウェブサーバはハイパーテキスト転送プロトコル(「HTTP」)サーバ、FTPサーバ、共通ゲートウェイインタフェース(「CGI」)サーバ、データサーバ、Java(登録商標)サーバ、及び業務アプリケーションサーバを含んださまざまなサーバ又は中間階層アプリケーションのいずれかを実行できる。また、サーバ(複数の場合がある)は、1つ又は複数のスクリプト、又は、Java(登録商標)、C、C#、若しくはC++等の任意のプログラミング言語又はPerl、Python、若しくはTCL等の任意のスクリプト言語、並びに、それらの組み合わせで書かれるプログラムとしても実装され得る、1つ又は複数のウェブアプリケーションを実行すること等によって、ユーザデバイスからの要求に応えてプログラム又はスクリプトを実行できることがある。サーバ(複数の場合がある)は、Oracle(登録商標)、Microsoft(登録商標)、Sybase(登録商標)、及びIBM(登録商標)から市販されるものを制限なく含む、データベースサーバを含んでもよい。
環境は、上述されたさまざまなデータストア、並びに他のメモリ及び記憶媒体を含むことができる。これらは、コンピュータの内の1台又は複数台に対して局所的に(及び/又は常駐する)又はネットワーク全体のコンピュータのいずれか若しくはすべてから遠隔の記憶媒体上等、さまざまな場所に常駐できる。特定の組の実施形態では、情報は当業者によく知られているストレージエリアネットワーク(「SAN」)に常駐してよい。同様に、コンピュータ、サーバ、又は他のネットワークデバイスに起因する機能を実行するために必要ないずれのファイルも、必要に応じてローカルに及び/又は遠隔に記憶されてよい。システムがコンピュータ化されたデバイスを含む場合、それぞれの係るデバイスはバスを介して電気的に結合されてよいハードウェア要素を含むことができ、該要素は、例えば、少なくとも1台の中央演算処理装置(「CPU」又は「プロセッサ」)、少なくとも1台の入力デバイス(例えば、マウス、キーボード、コントローラ、タッチスクリーン、又はキーボード)、及び少なくとも1台の出力デバイス(例えば、ディスプレイデバイス、プリンタ、又はスピーカ)を含む。また、係るシステムは、リムーバブルメディアデバイス、メモリカード、フラッシュカード等だけではなく、ディスクドライブ、光学式記憶デバイス等の1台又は複数のストレージデバイス、及びランダムアクセスメモリ(「RAM」)又はリードオンリーメモリ(「ROM」)等の固体記憶装置も含んでよい。
また、係るデバイスは、上述されたようにコンピュータ可読記憶媒体読取装置、通信デバイス(例えば、モデム、ネットワークカード(無線又は有線)、赤外線通信デバイス等)、及び作業メモリを含むことができる。コンピュータ可読記憶媒体読取装置は、一時的に及び/又はより恒久的にコンピュータ可読情報を含む、記憶する、送信する、及び取り出すための記憶媒体だけではなく、遠隔ストレージデバイス、ローカルストレージデバイス、固定ストレージデバイス及び/又はリムーバブルストレージデバイスを典型とするコンピュータ可読記憶媒体と接続できる、又は受け入れるように構成できる。また、システム及び多様なデバイスは、通常、クライアントアプリケーション又はウェブブラウザ等のオペレーティングシステム及びアプリケーションプログラムを含む、少なくとも1台の作業メモリデバイスの中に位置する多数のソフトウェアアプリケーション、モジュール、サービス、又は他の要素を含む。代替的実施形態は、上述されたものから多数の変形形態を有することがあることは理解されるべきである。例えば、カスタマイズされたハードウェアが使用される可能性もある、及び/又は特定の要素がハードウェア、(アプレット等の高移植性ソフトウェアを含んだ)ソフトウェア、又は両方で実装される可能性がある。さらに、ネットワーク入出力デバイス等の他のコンピューティングデバイスへの接続が利用されてよい。
コード又はコードの部分を含むための記憶媒体及びコンピュータ可読媒体は、RAM、ROM、電気的消去可能プログラム可能型読取専用メモリ(「EEPROM」)、フラッシュメモリ、もしくは他のメモリ技術、コンパクトディスクリードオンリーメモリ(「CD−ROM」)、デジタル多用途ディスク(DVD)、もしくは他の光学式記憶、磁気カセット、磁気テープ、磁気ディスク記憶装置、もしくは他の磁気記録装置、もしくは所望される情報を記憶するために使用することができ、システムデバイスによってアクセスできる任意の他の媒体を含む、コンピュータ可読命令、データ構造、プログラムモジュール、又は他のデータ等の情報の記憶及び/又は送信のための任意の方法又は技術で実装される揮発性媒体及び不揮発性媒体、リムーバブル媒体及び非リム―バブル媒体等であるが、これらに限定されるものではない記憶媒体及び通信媒体を含んだ、当技術分野で既知の又は使用されている任意の適切な媒体を含むことができる。本明細書に提供される開示及び教示に基づいて、当業者は多様な実施形態を実装するための適切な他のやり方及び/又は方法を理解するであろう。
本明細書及び図面は、したがって制限的な意味ではなく例示的な意味で見なされるべきである。しかしながら、多様な修正及び変更が、特許請求の範囲に明記される本発明のより広い精神及び範囲から逸脱することなくそれらに対して加えられ得ることは明らかである。
他の変形形態は本開示の精神の範囲内である。したがって、開示されている技法は多様な修正及び代替の構成の影響を受けやすいが、そのうちの所定の例示実施形態が図面に示され、詳細に上記に説明されている。ただし、開示されている特定の1つ又は複数の形式に本発明を制限する意図はなく、逆に、添付の特許請求の範囲に定められる本発明の精神及び範囲に入るすべての修正、代替構成、及び同等物を対象として含むことが意図される。
開示される実施形態を説明する文脈での(特に以下の特許請求の範囲の文脈での)用語「a」及び「an」及び「the」並びに類似の指示対象の使用は、本明細書に別段の指示がない限り、又は明確に文脈に矛盾しない限り単数及び複数の両方ともを含むと解釈されるべきである。用語「備える」、「有する」、「含む」、及び「含有する」は特に断りのない限りオープンエンド用語(つまり、「〜を含むが、これに限定されるものではない」を意味する)として解釈されるべきである。用語「接続される」は、修飾されておらず、物理接続を指している時、介在する何かがあったとしても、部分的に又は完全に中に含まれる、取り付けられる、又はともに接合されるとして解釈されるべきである。本明細書での値の範囲の列挙は、本明細書で別段の指示がない限り範囲に入るそれぞれ別々の値を個別に参照する簡単な方法として役立つことを単に意図とし、それぞれの別々の値は、あたかもそれが個々に本明細書で列挙されているかのように本明細書中に組み込まれる。用語「セット」(例えば「項目のセット」)又は「サブセット」の使用は、特に断りのない限り又は文脈に矛盾しない限り、1つ又は複数のメンバを含んだ空ではない集合体として解釈されるべきである。さらに、特に断りのない限り又は文脈に矛盾しない限り、対応するセットの用語「サブセット」は必ずしも対応するセットの適正なサブセットを示すのではなく、サブセット及び対応するセットは等しいことがある。
形式「A、B、及び、Cの内の少なくとも1つ」の句、又は「A、B及びCの内の少なくとも1つ」等の接続言語は、特に明記されない限り又は明確に文脈に矛盾しない限り、それ以外の場合、項目、用語等がAもしくはBもしくはC、又はA及びB及びCのセットの任意の空ではないサブセットのどちらかであってよいことを提示するために一般に使用される文脈で理解される。例えば、上記の接続句で使用される3つのメンバを有するセットの例示的実施例で、「A、B、及び、Cの内の少なくとも1つ」及び「A、B及びCの内の少なくとも1つ」は以下のセットの内のいずれかを指す。{A}、{B}、{C}、{A,B}、{A,C}、{B,C}、{A,B,C}。したがって、係る接続言語は、特定の実施形態が、Aの少なくとも1つ、Bの少なくとも1つ、及びCの少なくとも1つがそれぞれ存在することを必要とすることを暗示することを概して意図していない。
本明細書に説明されるプロセスの運用は、本明細書で別段の指示がない限り又は明確に文脈に矛盾しない限り任意の適した順序で実行できる。本明細書に説明されるプロセス(又はプロセスの変形及び/又は組合せ)は、実行可能命令で構成された1つ又は複数のコンピュータシステムの制御下で実行されてよく、ハードウェア又はハードウェアの組合せによって1台又は複数のプロセッサで集合的に実行するコード(例えば、実行可能命令、1つ又は複数のコンピュータプログラム、又は1つ又は複数のアプリケーション)として実装されてよい。コードは、例えば、1台又は複数のプロセッサによって実行可能な複数の命令を含んだコンピュータプログラムの形でコンピュータ可読記憶媒上に記憶されてよい。コンピュータ可読記憶媒体は非一時的であってよい。
本明細書に提供されるありとあらゆる例、又は例示的な言語(例えば「等」)の使用は単に本発明の実施形態をよりよく明らかにすることだけを意図し、別段に請求されない限り、本発明の範囲に対する制限を示さない。明細書中の言語は、本発明の実践にとって必須であるいかなる非請求要素も示すとして解釈されるべきではない。
本発明を実施するために本発明者に既知の最良の形態を含んだ本開示の好ましい実施形態が本明細書に説明されている。それらの好ましい実施形態の変形形態は上記明細書を読むと当業者に対して明らかにすることができる。本発明者は、当業者が係る変形形態を必要に応じて利用することを予想し、本発明者は、本開示の実施形態が本明細書に具体的に説明されるのとは別のやり方で実践されることを意図する。したがって、本開示の範囲は、適用可能な規則によって許される、本明細書に添付される特許請求の範囲に列挙される主題のすべての修正形態及び同等物を含む。さらに、そのすべての考えられる変形形態における上述された要素のいかなる組み合わせも、本明細書に別段に指示されない限り又は明確に文脈に矛盾しない限り本開示の範囲によって包含される。
本明細書に引用される公報、特許出願、及び特許を含むすべての参考文献は、各参考文献が個々に及び明確に参照することにより組み込まれるために示され、その全体として本明細書に明記されるかのように同程度まで、参照することにより本明細書に組み込まれる。

Claims (14)

  1. 接続を認証するためのコンピュータ実装方法であって、
    実行可能命令で構成された1つ又は複数のシステムの制御下で、コンピューティングリソースサービスプロバイダネットワークに接続されたコンピューティングリソースサービスプロバイダネットワークデバイスと当該コンピューティングリソースサービスプロバイダネットワークデバイスとは別に、カスタマネットワークに接続されたカスタマネットワークデバイスとの間の専用の物理ネットワーク接続を確立することと、
    前記コンピューティングリソースサービスプロバイダによって運用される認証サービスが、前記コンピューティングリソースサービスプロバイダネットワークデバイスから前記物理ネットワーク接続を介して、前記カスタマネットワークデバイスを認証するための、カスタマの秘密キーに少なくとも部分的に基づいて生成された暗号認証情報を提供するよう前記カスタマネットワークデバイスに要求を送信することと、
    前記コンピューティングリソースサービスプロバイダネットワークデバイスで、前記カスタマネットワークデバイスから前記暗号認証情報を受信することと、
    前記コンピューティングリソースサービスプロバイダネットワークデバイスから、前記暗号認証情報を認証するために運用可能である認証サービスに前記暗号認証情報を転送することと、
    前記認証サービスが、カスタマの前記秘密キーを用いて予想カスタマデジタル署名を生成し、当該予想カスタマデジタル署名をもとに、受信した前記暗号認証情報が本物であるかを判断して前記暗号認証情報を認証することと
    前記認証サービスが前記暗号認証情報を無事に認証した結果として、前記カスタマネットワークデバイスから前記コンピューティングリソースサービスプロバイダネットワーク上のコンピューティングリソースサービスプロバイダの前記認証サービスとは異なる1つ又は複数のサービスに、専用の物理ネットワーク接続を経由して受信したネットワークトラフィックを送るように前記コンピューティングリソースサービスプロバイダネットワークデバイスを構成することと
    を含む、コンピュータ実装方法。
  2. 前記秘密キーが公開−秘密暗号キー組からの秘密キーである、請求項1に記載のコンピュータ実装方法。
  3. 前記認証サービスが前記暗号認証情報を無事に認証した結果として、前記コンピューティングリソースサービスプロバイダネットワークデバイス上で前記カスタマのためにネットワークインタフェースを設定することをさらに含む、請求項1または請求項2に記載のコンピュータ実装方法。
  4. 前記専用の物理ネットワーク接続が、前記カスタマから離れたコロケーションセンタでの物理接続に少なくとも部分的に基づいて確立され、前記物理接続が、前記カスタマネットワークデバイスのカスタマポートのセットから前記コンピューティングリソースサービスプロバイダネットワークデバイスのコンピューティングリソースサービスプロバイダポートのセットに接続される1本又は複数のケーブルを備える、請求項1ないし請求項3のいずれか一項に記載のコンピュータ実装方法。
  5. ある量の時間にわたって1回又は複数回、前記カスタマネットワークデバイスから追加の暗号認証情報を受信することをさらに含み、
    前記カスタマネットワークデバイスから前記1つ又は複数のサービスへの前記ネットワークトラフィックを継続的に送ることが、前記追加の暗号認証情報を無事に認証することの条件とする、請求項1ないし請求項4のいずれか一項に記載のコンピュータ実装方法。
  6. 前記暗号認証情報を提供するようにとの要求は、前記カスタマネットワークデバイス及び前記コンピューティングリソースサービスプロバイダネットワークデバイスによって使用される認証プロトコルに従って実行される、請求項1ないし請求項5のいずれか一項に記載のコンピュータ実装方法。
  7. 前記暗号認証情報を提供するようにとの要求を送信する前に、前記コンピューティングリソースサービスプロバイダネットワークデバイスを欠いている通信チャネルを通して前記カスタマの前記秘密キーを受信することをさらに含む、請求項1ないし請求項6のいずれか一項に記載のコンピュータ実装方法。
  8. 1台又は複数のプロセッサ、及び内部に前記1台又は複数のプロセッサによって実行させる命令が集約的に記憶された1つ又は複数の非一時的コンピュータ可読記憶媒体を含むシステムであって、
    コンピューティングリソースサービスプロバイダネットワークに接続されたコンピューティングリソースサービスプロバイダネットワークデバイスと当該コンピューティングリソースサービスプロバイダネットワークデバイスとは別に、カスタマネットワークに接続されたカスタマネットワークデバイスとの間の専用の物理ネットワーク接続を確立させることと、
    前記コンピューティングリソースサービスプロバイダによって運用される認証サービスが、前記コンピューティングリソースサービスプロバイダネットワークデバイスから前記物理ネットワーク接続を介して、前記カスタマネットワークデバイスを認証するための、カスタマの秘密キーに少なくとも部分的に基づいて生成された暗号認証情報を提供するよう前記カスタマネットワークデバイスに要求を送信することと、
    前記コンピューティングリソースサービスプロバイダネットワークデバイスに、前記カスタマネットワークデバイスから前記暗号認証情報を受信させることと、
    前記コンピューティングリソースサービスプロバイダネットワークデバイスから、前記暗号認証情報を認証するために運用可能である認証サービスに前記暗号認証情報を転送することと、
    前記認証サービスが、カスタマの前記秘密キーを用いて予想カスタマデジタル署名を生成し、当該予想カスタマデジタル署名をもとに、受信した前記暗号認証情報が本物であるかを判断して前記暗号認証情報を認証することと
    前記認証サービスが前記暗号認証情報を無事に認証した結果として、前記カスタマネットワークデバイスから前記コンピューティングリソースサービスプロバイダネットワーク上のコンピューティングリソースサービスプロバイダの前記認証サービスとは異なる1つ又は複数のサービスに、専用の物理ネットワーク接続を経由して受信したネットワークトラフィックを送らせることと、を前記命令に含む、システム。
  9. 前記カスタマネットワークデバイスから受信した前記暗号認証情報が本物であることを示す場合、再構成情報を前記コンピューティングリソースサービスプロバイダネットワークデバイスに送信し、それにより前記コンピューティングリソースサービスプロバイダネットワークデバイスに、カスタマネットワークデバイスから前記コンピューティングリソースサービスプロバイダの1つ又は複数の他のサービスにネットワークトラフィックを送らせることを前記命令に含み、
    前記カスタマネットワークデバイスから受信した前記暗号認証情報が本物ではないことを示す場合、前記コンピューティングリソースサービスプロバイダネットワークデバイスに、前記カスタマネットワークデバイスから前記コンピューティングリソースサービスプロバイダの前記1つ又は複数の他のサービスへのネットワークトラフィックを拒否させることを前記命令に含む、請求項8に記載のシステム。
  10. 前記コンピューティングリソースサービスプロバイダに前記ネットワークトラフィックを拒否させることには前記カスタマネットワークデバイスから前記コンピューティングリソースサービスプロバイダの前記1つ又は複数の他のサービスへのネットワークトラフィックを拒否するための再構成情報を、前記コンピューティングリソースサービスプロバイダネットワークデバイスに送信することを含む、請求項9に記載のシステム。
  11. 前記カスタマネットワークデバイスから受信した前記暗号認証情報が本物であることを示す場合は、その結果として、前記コンピューティングリソースサービスプロバイダネットワークデバイス上で前記カスタマのためにネットワークインタフェースを設定することを前記命令にさらに含む、請求項9または請求項10に記載のシステム。
  12. 前記専用の物理ネットワーク接続が前記カスタマから離れたコロケーションセンタでの、前記カスタマネットワークデバイスのカスタマポートのセットから前記コンピューティングリソースサービスプロバイダネットワークデバイスのコンピューティングリソースサービスプロバイダポートのセットに接続される1本又は複数のケーブルを備える物理接続に少なくとも部分的に基づくものである、請求項8ないし請求項11のいずれか一項に記載のシステム。
  13. 前記暗号認証情報が、前記カスタマ及び前記コンピューティングリソースサービスプロバイダネットワークデバイスによって使用される認証プロトコルに従って前記専用の物理ネットワーク接続を通して送信される、請求項8ないし請求項12のいずれか一項に記載のシステム。
  14. 前記カスタマによって検証可能な第2の暗号情報をさらに生成させることと、
    前記コンピューティングリソースサービスプロバイダネットワークデバイスを通して前記カスタマに前記暗号認証情報を送信させることと、を前記命令にさらに含む、請求項8ないし請求項13のいずれか一項に記載のシステム。

JP2016542872A 2013-09-17 2014-09-16 ネットワーク接続自動化 Active JP6656157B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/029,496 US9692732B2 (en) 2011-11-29 2013-09-17 Network connection automation
US14/029,496 2013-09-17
PCT/US2014/055874 WO2015042046A1 (en) 2013-09-17 2014-09-16 Network connection automation

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2018020880A Division JP2018116708A (ja) 2013-09-17 2018-02-08 ネットワーク接続自動化

Publications (2)

Publication Number Publication Date
JP2016532984A JP2016532984A (ja) 2016-10-20
JP6656157B2 true JP6656157B2 (ja) 2020-03-04

Family

ID=52690022

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2016542872A Active JP6656157B2 (ja) 2013-09-17 2014-09-16 ネットワーク接続自動化
JP2018020880A Pending JP2018116708A (ja) 2013-09-17 2018-02-08 ネットワーク接続自動化
JP2020000160A Pending JP2020064668A (ja) 2013-09-17 2020-01-06 ネットワーク接続自動化

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2018020880A Pending JP2018116708A (ja) 2013-09-17 2018-02-08 ネットワーク接続自動化
JP2020000160A Pending JP2020064668A (ja) 2013-09-17 2020-01-06 ネットワーク接続自動化

Country Status (7)

Country Link
US (4) US9692732B2 (ja)
EP (2) EP3654612A1 (ja)
JP (3) JP6656157B2 (ja)
CN (1) CN105556894B (ja)
CA (1) CA2923431C (ja)
SG (1) SG11201601797TA (ja)
WO (1) WO2015042046A1 (ja)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10181953B1 (en) 2013-09-16 2019-01-15 Amazon Technologies, Inc. Trusted data verification
US9237155B1 (en) 2010-12-06 2016-01-12 Amazon Technologies, Inc. Distributed policy enforcement with optimizing policy transformations
US8769642B1 (en) 2011-05-31 2014-07-01 Amazon Technologies, Inc. Techniques for delegation of access privileges
US9203613B2 (en) 2011-09-29 2015-12-01 Amazon Technologies, Inc. Techniques for client constructed sessions
US9197409B2 (en) 2011-09-29 2015-11-24 Amazon Technologies, Inc. Key derivation techniques
US9178701B2 (en) 2011-09-29 2015-11-03 Amazon Technologies, Inc. Parameter based key derivation
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
US8739308B1 (en) 2012-03-27 2014-05-27 Amazon Technologies, Inc. Source identification for unauthorized copies of content
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US9660972B1 (en) 2012-06-25 2017-05-23 Amazon Technologies, Inc. Protection from data security threats
US9258118B1 (en) 2012-06-25 2016-02-09 Amazon Technologies, Inc. Decentralized verification in a distributed system
US9407440B2 (en) 2013-06-20 2016-08-02 Amazon Technologies, Inc. Multiple authority data security and access
US9521000B1 (en) 2013-07-17 2016-12-13 Amazon Technologies, Inc. Complete forward access sessions
US9311500B2 (en) 2013-09-25 2016-04-12 Amazon Technologies, Inc. Data security using request-supplied keys
US9237019B2 (en) 2013-09-25 2016-01-12 Amazon Technologies, Inc. Resource locators with keys
US10243945B1 (en) 2013-10-28 2019-03-26 Amazon Technologies, Inc. Managed identity federation
US9420007B1 (en) 2013-12-04 2016-08-16 Amazon Technologies, Inc. Access control using impersonization
US9374368B1 (en) 2014-01-07 2016-06-21 Amazon Technologies, Inc. Distributed passcode verification system
US9369461B1 (en) 2014-01-07 2016-06-14 Amazon Technologies, Inc. Passcode verification using hardware secrets
US9292711B1 (en) 2014-01-07 2016-03-22 Amazon Technologies, Inc. Hardware secret usage limits
US9262642B1 (en) 2014-01-13 2016-02-16 Amazon Technologies, Inc. Adaptive client-aware session security as a service
US10771255B1 (en) 2014-03-25 2020-09-08 Amazon Technologies, Inc. Authenticated storage operations
US9258117B1 (en) 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
US10326597B1 (en) 2014-06-27 2019-06-18 Amazon Technologies, Inc. Dynamic response signing capability in a distributed system
US10122689B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Load balancing with handshake offload
US10122692B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Handshake offload
US10333962B1 (en) * 2016-03-30 2019-06-25 Amazon Technologies, Inc. Correlating threat information across sources of distributed computing systems
US10148675B1 (en) 2016-03-30 2018-12-04 Amazon Technologies, Inc. Block-level forensics for distributed computing systems
US10178119B1 (en) 2016-03-30 2019-01-08 Amazon Technologies, Inc. Correlating threat information across multiple levels of distributed computing systems
US10303623B2 (en) * 2016-04-08 2019-05-28 Cryptography Research, Inc. Non-volatile memory for secure storage of authentication data
US10116440B1 (en) 2016-08-09 2018-10-30 Amazon Technologies, Inc. Cryptographic key management for imported cryptographic keys
JP7067892B2 (ja) * 2016-10-24 2022-05-16 株式会社アドバンス オーナーチェックを行う端末
US10135899B1 (en) * 2016-12-16 2018-11-20 Amazon Technologies, Inc. Dynamic archiving of streaming content
US11217344B2 (en) * 2017-06-23 2022-01-04 Abiomed, Inc. Systems and methods for capturing data from a medical device
WO2019113012A1 (en) * 2017-12-05 2019-06-13 RELAY WIRELESS NETWORK, LLC d/b/a AERWAVE Adaptive and dynamic network provisioning
US11075906B2 (en) * 2017-12-28 2021-07-27 Shoppertrak Rct Corporation Method and system for securing communications between a lead device and a secondary device
CN109474588A (zh) * 2018-11-02 2019-03-15 杭州迪普科技股份有限公司 一种终端认证方法及装置
WO2021226236A1 (en) * 2020-05-05 2021-11-11 Blate Alex Endpoint and protocol for trusted digital manufacturing
CN111881431B (zh) 2020-06-28 2023-08-22 百度在线网络技术(北京)有限公司 人机验证方法、装置、设备及存储介质
CN113438242B (zh) * 2021-06-25 2023-08-29 广西三方大供应链技术服务有限公司 服务鉴权方法、装置与存储介质

Family Cites Families (97)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5361062A (en) * 1992-11-25 1994-11-01 Security Dynamics Technologies, Inc. Personal security system
US5978359A (en) 1995-07-19 1999-11-02 Fujitsu Network Communications, Inc. Allocated and dynamic switch flow control
US6311218B1 (en) * 1996-10-17 2001-10-30 3Com Corporation Method and apparatus for providing security in a star network connection using public key cryptography
US5923756A (en) 1997-02-12 1999-07-13 Gte Laboratories Incorporated Method for providing secure remote command execution over an insecure computer network
US6496575B1 (en) 1998-06-08 2002-12-17 Gatespace Ab Application and communication platform for connectivity based services
US7039713B1 (en) 1999-11-09 2006-05-02 Microsoft Corporation System and method of user authentication for network communication through a policy agent
EP1132844A3 (en) 2000-03-02 2002-06-05 Telseon IP Services Inc. E-commerce system facilitating service networks including broadband communication service networks
US20030236745A1 (en) 2000-03-03 2003-12-25 Hartsell Neal D Systems and methods for billing in information management environments
US7272643B1 (en) * 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
JP2002108818A (ja) 2000-09-26 2002-04-12 International Network Securitiy Inc データセンター、セキュリティポリシー作成方法及びセキュリティシステム
US8670446B2 (en) * 2001-01-30 2014-03-11 At&T Intellectual Property Ii, L.P. Technique for Ethernet access to packet-based services
US7107312B2 (en) 2001-02-06 2006-09-12 Lucent Technologies Inc. Apparatus and method for use in a data/conference call system for automatically collecting participant information and providing all participants with that information for use in collaboration services
US6639919B2 (en) 2001-05-01 2003-10-28 Adc Dsl Systems, Inc. Bit-level control for dynamic bandwidth allocation
US6842628B1 (en) * 2001-08-31 2005-01-11 Palmone, Inc. Method and system for event notification for wireless PDA devices
US7292577B1 (en) 2001-09-19 2007-11-06 Cisco Technology, Inc. End-to-end preservation of VLAN priority in connection-oriented networks
US20030074443A1 (en) 2001-10-15 2003-04-17 Makonnen Melaku Last mile quality of service broker (LMQB) for multiple access networks
US6831969B2 (en) * 2002-04-04 2004-12-14 Innomedia Pre Ltd. Caller ID display system for telephony over a packet switched network
US7577154B1 (en) 2002-06-03 2009-08-18 Equinix, Inc. System and method for traffic accounting and route customization of network services
US20040003287A1 (en) * 2002-06-28 2004-01-01 Zissimopoulos Vasileios Bill Method for authenticating kerberos users from common web browsers
US7254643B1 (en) * 2002-08-08 2007-08-07 At&T Corp. System and method for providing multi-media services to communication devices over a communications network
US7359322B2 (en) 2002-08-12 2008-04-15 Telcordia Technologies, Inc. Dynamic bandwidth reallocation
US8077681B2 (en) 2002-10-08 2011-12-13 Nokia Corporation Method and system for establishing a connection via an access network
US7233999B2 (en) 2003-01-28 2007-06-19 Altaf Hadi System and method for delivering last mile computing over light from a plurality of network edge locations
US20070256094A1 (en) * 2003-03-11 2007-11-01 Thomson Licensing Apparatus and Method for Distributing Signals by Down-Converting to Vacant Channels
JP2004318582A (ja) 2003-04-17 2004-11-11 Nippon Telegraph & Telephone East Corp ネットワークアクセスシステム及び方法、認証装置、エッジルータ、アクセス制御装置、ならびに、コンピュータプログラム
US7327682B2 (en) 2003-06-27 2008-02-05 Cisco Technology, Inc. Methods and devices for flexible bandwidth allocation
US7523484B2 (en) 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access
JP4009273B2 (ja) 2004-05-19 2007-11-14 松下電器産業株式会社 通信方法
JP2008517514A (ja) 2004-10-14 2008-05-22 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 動的な帯域幅の共有
US7644272B2 (en) * 2004-10-22 2010-01-05 Broadcom Corporation Systems and methods for providing security to different functions
US7453825B1 (en) * 2004-12-13 2008-11-18 Garrettcom, Inc. Apparatus and methods for point-to-point links in robust networks
US7743001B1 (en) 2005-06-21 2010-06-22 Amazon Technologies, Inc. Method and system for dynamic pricing of web services utilization
US8214450B2 (en) 2005-08-01 2012-07-03 Limelight Networks, Inc. Dynamic bandwidth allocation
US8429630B2 (en) 2005-09-15 2013-04-23 Ca, Inc. Globally distributed utility computing cloud
US7734516B2 (en) 2005-09-27 2010-06-08 International Business Machines Corporation Method for providing revisional delta billing and re-billing in a dynamic project environment
US8515387B2 (en) 2005-12-08 2013-08-20 At&T Intellectual Property I, Lp Method for segregating billable transactions in a multimode communication device
US7623548B2 (en) 2005-12-22 2009-11-24 At&T Intellectual Property, I,L.P. Methods, systems, and computer program products for managing access resources in an internet protocol network
US8966263B2 (en) 2006-03-31 2015-02-24 Alcatel Lucent System and method of network equipment remote access authentication in a communications network
WO2007121587A1 (en) * 2006-04-25 2007-11-01 Stephen Laurence Boren Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks
US20080028445A1 (en) * 2006-07-31 2008-01-31 Fortinet, Inc. Use of authentication information to make routing decisions
US20080209039A1 (en) * 2006-12-21 2008-08-28 Simtone Corporation Service chaining methods and apparatus
WO2008117550A1 (ja) * 2007-03-28 2008-10-02 Nec Corporation ソフトウェアicカードシステム、管理サーバ、端末、サービス提供サーバ、サービス提供方法及びプログラム
US8230493B2 (en) 2007-05-02 2012-07-24 Cisco Technology, Inc. Allowing differential processing of encrypted tunnels
CN101682519A (zh) 2007-05-04 2010-03-24 阿尔卡特朗讯 用于对诸如推送邮件之类的服务进行计费的方法
US20080298374A1 (en) 2007-06-04 2008-12-04 At&T Knowledge Ventures, L.P. Apparatus for monitoring network connectivity
US7970903B2 (en) 2007-08-20 2011-06-28 Hitachi, Ltd. Storage and server provisioning for virtualized and geographically dispersed data centers
US8346614B2 (en) 2007-09-06 2013-01-01 Metabyte, Inc. Promoting a web technology through a virtual service marketplace
US20090112735A1 (en) 2007-10-25 2009-04-30 Robert Viehmann Content service marketplace solutions
US20090192945A1 (en) 2008-01-29 2009-07-30 Lionos GmbH Service marketplace system
US10372490B2 (en) 2008-05-30 2019-08-06 Red Hat, Inc. Migration of a virtual machine from a first cloud computing environment to a second cloud computing environment in response to a resource or services in the second cloud computing environment becoming available
WO2009155574A1 (en) 2008-06-19 2009-12-23 Servicemesh, Inc. Cloud computing gateway, cloud computing hypervisor, and methods for implementing same
US7782884B2 (en) 2008-07-07 2010-08-24 Embarq Holdings Company, Llc System and method for adjusting bandwidth based on a time of day profile
US20100046381A1 (en) * 2008-08-22 2010-02-25 Paritosh Bajpay Method and apparatus for processing of an alarm related to a frame relay encapsulation failure
US8121118B2 (en) 2008-10-31 2012-02-21 At&T Intellectual Property I, L.P. Methods and apparatus to dynamically control connectivity within virtual private networks
US8069242B2 (en) 2008-11-14 2011-11-29 Cisco Technology, Inc. System, method, and software for integrating cloud computing systems
US10025627B2 (en) 2008-11-26 2018-07-17 Red Hat, Inc. On-demand cloud computing environments
US8782233B2 (en) 2008-11-26 2014-07-15 Red Hat, Inc. Embedding a cloud-based resource request in a specification language wrapper
US20100177752A1 (en) * 2009-01-12 2010-07-15 Juniper Networks, Inc. Network-based micro mobility in cellular networks using extended virtual private lan service
US8243628B2 (en) 2009-01-30 2012-08-14 Embarq Holdings Company, Llc Free market based pricing for bandwidth and network usage
US20100226280A1 (en) 2009-03-03 2010-09-09 Erf Wireless, Inc. Remote secure router configuration
US9104986B2 (en) 2009-03-09 2015-08-11 Centurylink Intellectual Property Llc Customer premise equipment with access to free market based pricing for bandwidth on a communications network
US9501329B2 (en) 2009-05-08 2016-11-22 Rackspace Us, Inc. Methods and systems for cloud computing management
US8527774B2 (en) * 2009-05-28 2013-09-03 Kaazing Corporation System and methods for providing stateless security management for web applications using non-HTTP communications protocols
US20100319004A1 (en) 2009-06-16 2010-12-16 Microsoft Corporation Policy Management for the Cloud
US8244559B2 (en) 2009-06-26 2012-08-14 Microsoft Corporation Cloud computing resource broker
US8966110B2 (en) 2009-09-14 2015-02-24 International Business Machines Corporation Dynamic bandwidth throttling
JP5278272B2 (ja) * 2009-09-29 2013-09-04 沖電気工業株式会社 ネットワーク通信装置及びその自動再接続方法
US8156546B2 (en) 2009-10-29 2012-04-10 Satyam Computer Services Limited Of Mayfair Centre System and method for flying squad re authentication of enterprise users
US20110131647A1 (en) 2009-11-30 2011-06-02 Scott Sanders Virtual Endpoint Solution
US9875671B2 (en) 2009-12-17 2018-01-23 Google Llc Cloud-based user interface augmentation
JP5660050B2 (ja) 2009-12-28 2015-01-28 日本電気株式会社 ユーザ情報活用システム、装置、方法およびプログラム
US8346935B2 (en) 2010-01-15 2013-01-01 Joyent, Inc. Managing hardware resources by sending messages amongst servers in a data center
WO2011091056A1 (en) 2010-01-19 2011-07-28 Servicemesh, Inc. System and method for a cloud computing abstraction layer
US8537815B2 (en) * 2010-06-17 2013-09-17 Apple Inc. Accelerating data routing
US8402530B2 (en) * 2010-07-30 2013-03-19 Microsoft Corporation Dynamic load redistribution among distributed servers
EP2630630A2 (en) 2010-10-21 2013-08-28 Net Power And Light, Inc. System architecture and method for composing and directing participant experiences
US10192246B2 (en) 2010-11-24 2019-01-29 Red Hat, Inc. Generating multi-cloud incremental billing capture and administration
US8893027B2 (en) * 2011-03-04 2014-11-18 Cisco Technology, Inc. Providing hosted virtual desktop infrastructure services
US8763097B2 (en) * 2011-03-11 2014-06-24 Piyush Bhatnagar System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
WO2012162843A1 (en) * 2011-06-03 2012-12-06 Research In Motion Limted System and method for accessing private networks
US8832039B1 (en) * 2011-06-30 2014-09-09 Amazon Technologies, Inc. Methods and apparatus for data restore and recovery from a remote data store
CN103067416A (zh) 2011-10-18 2013-04-24 华为技术有限公司 一种虚拟私云接入认证方法及相关装置
JP2014534789A (ja) 2011-11-29 2014-12-18 アマゾン・テクノロジーズ・インコーポレーテッド 直接ネットワークピアリングを管理するためのインターフェース
US10015083B2 (en) 2011-12-22 2018-07-03 Amazon Technologies, Inc. Interfaces to manage inter-region connectivity for direct network peerings
US8495199B2 (en) 2011-12-22 2013-07-23 Amazon Technologies, Inc. Interfaces to manage service marketplaces accessible via direct network peerings
US8724642B2 (en) * 2011-11-29 2014-05-13 Amazon Technologies, Inc. Interfaces to manage direct network peerings
US8959203B1 (en) 2011-12-19 2015-02-17 Amazon Technologies, Inc. Dynamic bandwidth management using routing signals in networks with direct peerings
JP2013134530A (ja) * 2011-12-26 2013-07-08 Kddi Corp 認証システム、認証方法及び認証プログラム
EP2831718A4 (en) * 2012-03-30 2015-12-02 Goldman Sachs & Co SAFE MOBILE FRAMEWORK
CA2788573C (en) * 2012-09-06 2013-07-09 Guest Tek Interactive Entertainment Ltd. Allowing guest of hospitality establishment to utilize multiple guest devices to access network service
US8955055B1 (en) * 2012-09-28 2015-02-10 Juniper Networks, Inc. Customer extendable AAA framework for network elements
US9456253B2 (en) * 2012-12-04 2016-09-27 Virtual Marketing Incorporated Internet protocol television streaming methods and apparatus
US9059977B2 (en) * 2013-03-13 2015-06-16 Route1 Inc. Distribution of secure or cryptographic material
US9344949B2 (en) * 2013-03-14 2016-05-17 T-Mobile Usa, Inc. System and method for optimizing a media gateway selection in mobile switching center pool architecture
US9426154B2 (en) * 2013-03-14 2016-08-23 Amazon Technologies, Inc. Providing devices as a service
US20140279259A1 (en) * 2013-03-15 2014-09-18 Emerald Games Marketing Limited Method and apparatus for connecting vendors with customers through a virtual interface
CN103338150B (zh) * 2013-07-19 2016-06-15 中国人民解放军信息工程大学 信息通信网络体系结构建立方法、装置、服务器和路由器

Also Published As

Publication number Publication date
CA2923431C (en) 2020-03-10
EP3047602A4 (en) 2017-05-03
US20170295150A1 (en) 2017-10-12
JP2020064668A (ja) 2020-04-23
CN105556894B (zh) 2019-05-10
US20210392122A1 (en) 2021-12-16
WO2015042046A1 (en) 2015-03-26
JP2018116708A (ja) 2018-07-26
US11122022B2 (en) 2021-09-14
JP2016532984A (ja) 2016-10-20
US20150082039A1 (en) 2015-03-19
EP3047602A1 (en) 2016-07-27
EP3654612A1 (en) 2020-05-20
US11843589B2 (en) 2023-12-12
US20240089241A1 (en) 2024-03-14
US9692732B2 (en) 2017-06-27
SG11201601797TA (en) 2016-04-28
CA2923431A1 (en) 2015-03-26
CN105556894A (zh) 2016-05-04

Similar Documents

Publication Publication Date Title
JP6656157B2 (ja) ネットワーク接続自動化
US11997083B2 (en) Secure authentication of a device through attestation by another device
EP3742369A1 (en) Systems and methods for establishing a channel between multiple devices
EP3138257B1 (en) Enterprise system authentication and authorization via gateway
US10122692B2 (en) Handshake offload
US10776489B2 (en) Methods and systems for providing and controlling cryptographic secure communications terminal operable to provide a plurality of desktop environments
RU2439692C2 (ru) Управляемое политиками делегирование учетных данных для единой регистрации в сети и защищенного доступа к сетевым ресурсам
EP2625643B1 (en) Methods and systems for providing and controlling cryptographically secure communications across unsecured networks between a secure virtual terminal and a remote system
JP2020502616A (ja) フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施
US10122689B2 (en) Load balancing with handshake offload
CA2689847A1 (en) Network transaction verification and authentication
US10848489B2 (en) Timestamp-based authentication with redirection
EP3895043B1 (en) Timestamp-based authentication with redirection
US11290574B2 (en) Systems and methods for aggregating skills provided by a plurality of digital assistants
CN111628960B (zh) 用于连接至专用网络上的网络服务的方法和装置
US11838270B1 (en) Session control management for virtual private networks using artificial data packets
JP4972646B2 (ja) 一貫したアプリケーション対応ファイヤウォールトラバーサルの提供
Huerta et al. Implementation of a open source security software platform in a telemedicine network

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160310

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170321

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171120

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180208

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180723

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181119

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20181130

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20190201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200204

R150 Certificate of patent or registration of utility model

Ref document number: 6656157

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250