TW201351197A - 於雲端運算環境中之伺服器與客戶端的遠端信任證實及地理位置技術 - Google Patents

於雲端運算環境中之伺服器與客戶端的遠端信任證實及地理位置技術 Download PDF

Info

Publication number
TW201351197A
TW201351197A TW102103303A TW102103303A TW201351197A TW 201351197 A TW201351197 A TW 201351197A TW 102103303 A TW102103303 A TW 102103303A TW 102103303 A TW102103303 A TW 102103303A TW 201351197 A TW201351197 A TW 201351197A
Authority
TW
Taiwan
Prior art keywords
trust
cloud
communication
interface
protocol
Prior art date
Application number
TW102103303A
Other languages
English (en)
Other versions
TWI602078B (zh
Inventor
Yeluri Raghuram
Sudhir S Bangalore
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/421,437 external-priority patent/US9256742B2/en
Application filed by Intel Corp filed Critical Intel Corp
Publication of TW201351197A publication Critical patent/TW201351197A/zh
Application granted granted Critical
Publication of TWI602078B publication Critical patent/TWI602078B/zh

Links

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Computer And Data Communications (AREA)

Abstract

根據伴隨於一種遠端信任代理的一種通訊,有一些方法和系統可以提供來從數個超管理器協定中挑選出一種超管理器協定。該挑選出的超管理器協定可以被使用來為在該通訊中一個或多個數位簽章值進行一種信任分析,其中一種雲端證實請求可以根據該信任分析來被處理。處理該雲端證實請求可能涉及為對應到該遠端信任代理的一個雲端運算節點產生一種可信任性驗證輸出、一種地理定位驗證輸出,等等。

Description

於雲端運算環境中之伺服器與客戶端的遠端信任證實及地理位置技術 參考相關申請案
本申請案是在2012年元月30日所申請之第PCT/US2012/23188號PCT申請案的一個部分延續案。
本發明係有關於一種於雲端運算環境中之伺服器與客戶端的遠端信任證實及地理位置技術。
實施方式一般來說係有關於雲端運算。更特別的是,實施方式係有關於在雲端運算環境中致能遠端裝置信任證實及地理位置功能。
討論
雖然雲端運算可以為末端使用者提供一些有關於處理能力及處理靈活性的機會,但從安全性的立場來看,傳統雲端運算解法的某些方面可能會呈現出一些挑戰。舉例來說,要以一種安全且簡單的方式來判定一些雲端運算資源的可信任性和/或位置是困難的,特別是當那些資源採用不同的作業系統(OS)和虛擬機器管理員(VMM)協定時。實際上,若無法提供充分安全的方法,可能會阻礙 各行各業對雲端運算的採用。
依據本發明之一實施例,係特地提出一種方法包含有:經由一個白名單入口接收一個或多個已知值;用該等一個或多個已知值填回一白名單資料庫;從伴有一種遠端信任代理的一個雲端運算節點處取得一種通訊;根據對應於該通訊之一種超管理器協定從數個特定於協定的外掛程式中挑選出一種特定於協定的外掛程式;從該白名單資料庫取得一個或多個已知值;使用該選取之特定於協定的外掛程式來為在該通訊中一個或多個數位簽章的地理定位值進行一種信任分析,其中該信任分析包含把一個或多個數位簽章的地理定位值與一個或多個已知值做比較;以及處理一種基礎於該信任分析的雲端證實請求,其中處理該雲端證實請求包括為該雲端運算節點產生一種位置驗證輸出。
10‧‧‧遠端信任證實架構
12‧‧‧信任授權服務
14‧‧‧雲端運算節點
14a‧‧‧節點1(超管理器協定A)
14b‧‧‧節點i(超管理器協定j)
14c‧‧‧節點N-1(超管理器協定n)
14d‧‧‧節點N(超管理器協定n)
14e‧‧‧節點(超管理器協定n)
16‧‧‧查詢應用程式
16a‧‧‧雲端管理介面
16b‧‧‧虛擬化管理介面
16c‧‧‧政策介面
16d‧‧‧遵循介面
16e‧‧‧安全性介面
18‧‧‧證實處理器
20‧‧‧證實伺服器
21‧‧‧應用程式設計介面
22‧‧‧信任代理
24‧‧‧憑證授權
26‧‧‧信任驗證程序
27‧‧‧網路介面
28‧‧‧應用程式設計介面
32‧‧‧外掛程式
34‧‧‧白名單資料庫
36‧‧‧白名單模組
37‧‧‧應用程式設計介面
38‧‧‧白名單入口
40‧‧‧信任快取
42‧‧‧操作信任授權服務的方法
44,46,48‧‧‧方塊
50‧‧‧雲端運算節點
52‧‧‧CPU和晶片組
54‧‧‧信任的平台模組
56‧‧‧平台組態登記
58‧‧‧不變性隨機存取記憶體
60‧‧‧基本輸出入系統/韌體
62‧‧‧超管理器層
64‧‧‧信任代理
66‧‧‧啟動碼
68‧‧‧虛擬機器
70‧‧‧信任授權服務
72‧‧‧雲端管理應用程式
74‧‧‧證實處理器
76‧‧‧介面
78‧‧‧一組虛擬叢集
78a‧‧‧第一叢集
78b‧‧‧第二叢集
80‧‧‧介面
82‧‧‧警告訊息
藉由閱讀以下的說明和所附的申請專利範圍,並參考以下的圖式,本發明之實施方式其各種優點對於熟於此技者而言將會是明顯的,圖式簡單說明如下:圖1係根據一實施例的一種遠端信任證實架構範例的一個方塊圖;圖2係根據一實施例的一種信任驗證服務操作方法範例的一個流程圖;圖3係根據一實施例的一種雲端運算節點範例的一個 方塊圖;及圖4A和4B係根據一些實施例展示出一些具有位置驗證輸出示範介面的螢幕畫面。
詳細說明
現在請看圖1,它展示了一種雲端運算解法的一種遠端信任證實架構10。在該圖示例中,一種信任授權服務12被配置來驗證各種雲端運算節點14(14a-14e)的可信任性和/或地理位置(舉例來說,地理定位),並為一個或多個查詢應用程式16(16a-16e)證實如此的可信任性(或是缺乏可信任性)和/或地理定位。舉例來說,該信任授權服務12可能使用一種證實處理器18來從一個或多個查詢應用程式16處接收雲端證實請求,相對於一個或多個雲端運算節點14進行一種信任分析,並根據該信任分析傳回一份驗證結果/輸出。該等雲端證實請求,它們可能包含有可信任性和/或地理定位查詢,可能是從各種介面接收而來,如一種雲端管理介面16a、一種虛擬化管理介面16b、一種政策介面16c(舉例來說,HyTrust Appliance)、一種遵循介面16d(舉例來說,組織治理、風險、遵循/GRC)、一種安全性介面16e(舉例來說,從NitroSecurity、ArchSight等處來的安全性資訊和事件管理/SIEM解法)、等等。舉例來說,該遵循介面16d可能被使用來驗證該等雲端運算節點14遵循一個或多個GRC需求,等等。此外,該證實處理器可能使用一個或多個應用程式設計介面(API)28來從該等查詢應用程式16處接收 雲端證實請求並輸出該等驗證結果給該等查詢應用程式16。在一例子中,該等API 28包括了表徵狀態轉移(REST)API。
該等雲端運算節點14,可能包括各種伺服器、網路裝置、客戶端裝置、等等,其中該等節點14可能採用不同的作業系統(OS)和/或超管理器(舉例來說,VMM)協定。在該圖示例中,第一個節點(「節點1」)14a使用第一種超管理器協定(舉例來說,「超管理器協定A」)來管理在第一個節點14a上的一種虛擬機器環境,第二個節點(「節點i」)14b使用第二種超管理器協定(舉例來說,「超管理器協定j」)來管理在第二個節點14b上的一種虛擬機器環境,第三個節點(「節點N-1」)14c使用第三種超管理器協定(舉例來說,「超管理器協定n」)來操作在第三個節點14c上的一種虛擬機器環境,而第四個節點(「節點N」)14d使用該第三種超管理器協定來操作在第四個節點14d上的一種虛擬機器環境。該等第三個和第四個節點14c和14d可能被另外一個也被配置成使用第三種超管理器協定(舉例來說,「超管理器協定n」)的節點14e所管理。正如之後將會被更詳盡地討論的,每一個雲端運算節點14可能伴有一種信任代理22,被配置來提供將被使用在信任分析中的資訊給該信任授權服務12,依據Trusted Computing Group的遠端證實協定。
超管理器協定的例子包括有ESXi(ESXi 5.0,VMware,2011年八月)、KVM(基礎於核心的虛擬機器,舉例來說,Linux 2.6.20之SUSE KVM,2007年二月)、Xen(舉 例來說,Linux v2.6.37之Red Hat Xen,2011年三月)、等等,但並不受限於這幾種。除此之外,每一種超管理器協定使得我們可以把多重虛擬機器佈署在各種不同的作業系統中,包括了Windows、Linux、和Mac作業系統,但並不受限於這幾種。一旦我們有虛擬的TMP(信任的平台模組),該證實機制會無縫地工作來證實該等虛擬機器的信任。
在該圖示例中,該信任授權服務12包括了一個或多個REST API 21證實伺服器邏輯20,它從該等信任代理22處接收數位簽章的通訊(舉例來說,安全插座層/SSL通訊),其中一種憑證授權24可以被使用來驗證數位簽章。除此之外,該圖示的信任授權服務12包括一種信任驗證程序26,它被配置來在一個依據超管理器協定的基礎上進行該信任分析。舉例來說,該信任驗證程序26可以從數個特定於協定的外掛程式32中選擇一種特定於協定的外掛程式,並使用該特定於協定的外掛程式32對從該等信任代理22處通訊來的一個或多個數位簽章值進行一種信任分析。特別的是,該等數位簽章值可能包含平台組態登記(PCR)值,如地理定位值、軟體雜湊(舉例來說,SHA雜湊值)、完整測量記錄(IML)諸如測量順序和啟動記錄資訊、等等,其中該信任分析可能涉及把該等數位簽章值與一個或多個已知值做比較。
在這方面,該圖示例架構10也包含了一種白名單資料庫34和一種白名單模組36,該模組使用一個或多個REST API透過一種白名單入口38來接收該等已知值並使用 該等已知值來填塞白名單資料庫34。該等已知值可被決定的方式有,舉例來說,藉由在一種受控制的IT(資訊技術)環境中執行該雲端運算節點14,和指出該等目前的測量,其中如此的值也可以被儲存至該雲端運算節點14的一個安全的PCR處以供執行時使用。該等「絕佳的」或「良好已知的」模組雜湊也可能從一個VMM/OS賣方透過一種適當的更新管理程序子系統來取得。
因此,該信任驗證程序26可以根據在考慮中之雲端運算節點14從該白名單資料庫34處取回該等已知值,並把在該等通訊中該等數位簽章值與該等已知值做比較。舉例來說,該比較可以針對一個或多個超管理器/OS雜湊值來進行以判定前來通訊的來源實際上是否是伴隨於一個可信任的雲端運算節點14。在另外一個例子中,該比較可以針對一個或多個地理定位值(舉例來說,比較在一種對地圖通訊中之數位簽章地理定位值)以判定前來通訊的來源其位置。
該圖示的證實伺服器邏輯20會把該信任分析的結果傳給該證實處理器18,它可以輸出該結果成為對該雲端證實請求的一個回應。該證實處理器18也可以使用一種信任快取40來處理該雲端證實請求,其中該信任快取40可能包含有可以加速該證實處理之具時間戳記的可信任性和/或地理定位資料。舉例來說,該證實處理器18可以存取該信任快取40並判定某一個可信任性和/或地理定位證實回應近期已經為在考慮中之該雲端運算節點14產生出,並使 用該來自信任快取40的結果,而不是和/或來自該信任授權服務12的結果。
該信任授權服務12可以在各種裝置上執行,舉例來說,一台個人電腦(PC)、伺服器、工作站、筆記型電腦、個人數位助理(PDA)、無線智慧手機、媒體播放器、影像裝置、行動網際網路裝置(MID)、任何智慧裝置諸如一具智慧手機、智慧平板、等等,或是上述任何的組合。因此,該等信任驗證程序26、證實伺服器邏輯20和憑證授權24可以引入特定的硬體元件,舉例來說,諸如一個處理器、控制器和/或晶片組、記憶體架構、匯流排、等等。除此之外,該圖示的信任授權服務12使用一種網路介面27來和該雲端運算節點14和/或查詢應用程式16相互通訊,如果適當的話。舉例來說,該網路介面27可以為種類眾多的用途提供平台外的無線通訊功能,舉例來說,諸如行動電話(舉例來說,寬頻分碼多重存取/W-CDMA、全球行動通訊系統/UMTS、CDMA2000(IS-856/IS-2000),等等。)、Wi-Fi(無線保真度,舉例來說,電機電子工程師協會/IEEE 802.11-2007、無線區域網路/LAN媒體存取控制(MAC)和實體層(PHY)規格)、LR-WPAN(低速率無線個人區域網路,舉例來說,IEEE 802.15.4-2006)、藍芽(舉例來說,IEEE 802.15.1-2005,無線個人區域網路)、WiMax(舉例來說,IEEE 802.16-2004,LAN/MAN寬頻無線LANS)、GPS(全球定位系統)、展頻(舉例來說,900MHz)、和其他的RF(射頻)電話。該網路介面27也可以提供平台外的有線通訊功能(舉例來 說,RS-232(電子工業協會/EIA)、乙太網路(舉例來說,IEEE 802.3-2005)、電力線通訊(舉例來說,X10、IEEE P1675)、USB(通用串列匯流排,舉例來說,USB規格3.0,Rev.1.0,2008年11月12日、USB實施論壇)、DSL(數位用戶迴路),纜線數據機、T1連線、等等。
圖2展示了操作一種信任授權服務的一種方法42。該方法42可能被實作在一種信任授權服務中,像是已經被討論過之該信任授權服務12(圖1),實作成一組可執行的邏輯指令並最起碼內儲在一種機器或計算機可讀取的儲存媒體中,諸如隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可程式化唯讀記憶體(PROM)、快閃記憶體、韌體、微碼、等等,用可配置的邏輯像是可程式邏輯陣列(PLA)、現場可程式閘陣列(FPGA)、複雜可程式邏輯裝置(CPLD),用固定功能的硬體,使用的電路技術像是特定應用積體電路(ASIC)、互補式金氧半導體(CMOS)或電晶體-電晶體邏輯電路(TTL)技術,或是上述任何的組合。舉例來說,欲執行在該方法42中所示的運算,其電腦程式碼可以用一種或多種程式語言之任意組合的方式撰寫而成,像是物件導向程式語言如C++或類似的語言,以及傳統程序性的程式語言如C語言或類似的語言。而且,該方法42的許多方面可以使用任何一種前述的電路技術實現成一種處理器的嵌入式邏輯。
圖示的處理方塊44根據伴隨於一種遠端信任代理的一種通訊,從數個超管理器協定中選擇一種超管理器 協定。該選取的超管理器協定可以被使用在方塊46來為在該通訊中一個或多個數位簽章值進行一種信任分析。在一個例子中,該信任分析包括把該等數位簽章值與一個或多個已知值做比較,如我們已經討論過的。因此,假如有一通訊是從一個假裝是被信任的雲端運算節點裝置接收而來,那麼在方塊46處的該程序可以判定出在該通訊中的該等數位簽章值並沒有對應到/吻合該等已知值。除此之外,方塊48可以處理基礎於該信任分析的一種雲端證實請求。因此,假如已經裁定該等數位簽章值並沒有對應到/吻合該等已知值,方塊48便可以產生一個輸出來指出該考慮中的裝置不值得信任。在另一個例子中,該圖示的方法42可以為該考慮中的遠端裝置證實/輸出一個信任的地理定位值。
現在請看圖3,一種雲端運算節點(「節點i」)50的一個例子被展示出。該圖示的雲端運算節點50,它可能包含有一台伺服器、網路裝置、客戶端裝置、等等,可以很容易地取代先前討論過節點14(圖1)中的一個或多個。在該圖示例中,該節點50的一種硬體層包括一具中央處理單元(CPU)和晶片組52,以及一個具有一個PCR 56和不變性隨機存取記憶體(NVRAM)58之信任的平台模組(TPM)。該節點50的一種軟體堆疊可能包括一個基本輸出入系統(BIOS)/韌體(FW)層60和一個具有一信任代理64和信任的啟動(「tboot」)碼66的超管理器層62。該信任代理64可能和已經討論過的該等信任代理22(圖1)具有類似的功能。該圖示的節點50也包括有數個虛擬機器68,其中的兩台或多台虛 擬機器68可能使用不同的OS。
一旦該圖示的CPU和晶片組52,以及TPM54被正確地配置(舉例來說,用做信任的執行、地理定位、等等),該圖示的tboot碼66會把地理定位值和其它的軟體雜湊填入該PCR 56中,其中該信任代理64可以從該PCR 56處取回資訊,數位簽章之,並把它傳送給一個信任授權服務70。該信任授權服務70,它可能和先前已經討論過之該信任授權服務12(圖1)有類似的功能,然後會使用該等數位簽章值透過一種證實處理器74回應來自一種雲端管理應用程式72之一個或多個雲端證實請求。因此,該圖示的雲端管理應用程式72可能和先前已經討論過之查詢應用程式16中的一個或多個有類似的功能。
圖4A展示出一種介面76,其中在一種雲端運算基礎建設中的一組虛擬叢集78(78a,78b)被標記有地理定位資訊,該等資訊是從伴隨於該等叢集78之信任代理處取得。該介面76因此可以輸出給一位使用者,經由一種應用程式,舉例來說,諸如該等查詢應用程式16(圖1)中的一個或多個或是該雲端管理應用程式72(圖3),以回應給一種以地理定位為基礎的信任分析。在該圖示例中,執行一種特別虛擬機器(VM1)的第一叢集78a已經被判定是位於美國(USA)而第二叢集78b判定是位於印度。圖4B展示出一種介面80,它源自於嘗試要把該虛擬機器從第一叢集78a移至第二叢集78b,而所處的環境有一條政策(舉例來說,組織治理、風險和遵循)就是要求所有的雲端運算資源都必須要位 於美國境內。特別的是,該圖示介面80包括一種警告訊息82指出了該提出的遷移違反了當下該地理定位必須遵循的法規。
實施例因此可能涉及運作一信任授權服務的一種方法,其中根據伴隨於一種遠端信任代理的一種通訊,一種超管理器協定可從數個超管理器協定中被挑選出。該挑選出的超管理器協定可以被使用來進行在該通訊中一個或多個數位簽章值的信任分析。除此之外,該方法可以提供來處理一種基礎於該信任分析的雲端證實請求。在一個例子中,處理該雲端證實請求包括為該雲端運算節點產生一種可信任性驗證輸出。
在一個例子中,從數個超管理器協定中挑選出該超管理器協定包含選出一種特定於協定的外掛程式。
在另一個例子中,該方法更包含從一個白名單資料庫處取回一個或多個已知值,其中該信任分析包含把該等一個或多個數位簽章值與該等一個或多個已知值做比較。該方法也包含經由一個白名單入口接收一個或多個已知值,並用該等一個或多個已知值填回該白名單資料庫。此外,該等一個或多個已知值和該等一個或多個數位簽章值包含了登記值和登入資料之中的一個或多個。
在另一個例子中,該方法更包含從伴有該遠端信任代理的一種雲端運算節點處接收該通訊,其中處理該雲端證實請求包括為該雲端運算節點產生一種可信任性驗證輸出。此外,該通訊可以能是從一台伺服器、一台網路裝 置和一台客戶端裝置之中的一個或多個處取得。
在另一個例子中,該方法更包含經由一種雲端管理介面、一種虛擬化管理介面、一種政策介面、一種遵循介面、和一種安全性介面之中的一個或多個處接收該雲端證實請求。
在另一個例子中,處理該雲端證實請求包括存取一種信任快取。
實施例也可能最少包含有一個機器可讀取的媒體,裡面包含數個指令可在一台計算設備上執行,使得該計算設備可以實現該等前面所述方法之任何例子,可運行一種信任授權服務的一台設備,被配置成可執行該前面所述方法的任何例子,和可運行一種信任授權服務的一套系統,包含一網路介面和一晶片組,被配置成可執行該前述方法其任何例子的方法。
實施例也可能最少包含有一個電腦可存取和/或機器可讀取的儲存媒體,裡面包含一組指令,假如被一處理器來執行的話,會使得一台計算裝置可根據伴隨於一遠端信任代理的一種通訊從數個超管理器協定中挑選出其中一種超管理器協定。該等指令也可以使得一台計算裝置可使用該挑選出的超管理器協定來進行在該通訊中一個或多個數位簽章值的信任分析,並處理基礎於該信任分析的一種雲端證實請求。在一個例子中,處理該雲端證實請求包括為該雲端運算節點產生一種可信任性驗證輸出。
其它的實施例可能涉及運行一種信任授權服務 的一種方法,其中一個或多個已知值可經由一個白名單入口接收,並用該等一個或多個已知值填回一個白名單資料庫。該方法也可以提供來從伴隨於一遠端信任代理的一個雲端運算節點處接收一種通訊,並根據對應於該通訊之一種超管理器協定從數個特定於協定的外掛程式中挑選出一種特定於協定的外掛程式。此外,該等一個或多個已知值可能是由該白名單資料庫取得,其中經選取之該特定於協定的外掛程式可能被使用來為在該通訊中一個或多個數位簽章地理定位值進行一種信任分析。在一個例子中,該信任分析包含把該等一個或多個數位簽章地理定位值與一個或多個已知值做比較,其中該等已知值包含地圖資料。而且,該方法可以提供來處理基礎於該信任分析的一種雲端證實請求,其中處理該雲端證實請求包括為該雲端運算節點產生一種位置驗證輸出。
在一個例子中,該通訊是從一台伺服器、一台網路裝置和一台客戶端裝置之中的一個或多個處接收。
在另一個例子中,該方法更包含經由一種雲端管理介面、一種虛擬化管理介面、一種政策介面、一種遵循介面、和一種安全性介面之中的一個或多個處接收該雲端證實請求。
在另一個例子中,處理該雲端證實請求包括取得一種信任快取。
實施例也可能最少包含有一個機器可讀取的媒體,裡面包含數個指令可在一台計算裝置上執行,使得該 計算裝置可以執行該前面所述方法的任何例子,可運行一種信任授權服務的一台設備,被配置成可以執行該前面所述方法的任何例子,和可運行一種信任授權服務的一套系統,裡面包含一網路介面和一晶片組,被配置成可以執行該前述方法其任何例子的方法。
另外,一些實施例可能包含一種設備,它具有一個白名單資料庫,和一個帶有一白名單入口的白名單模組,其中該白名單模組可經由一個白名單入口接收一個或多個已知值,並用該等一個或多個已知值填回該白名單資料庫。該設備也可以包含一種信任模組,它具有證實伺服器邏輯組件可從伴有一遠端信任代理的一個雲端運算節點處取得一種通訊的,和包含一種信任驗證器可根據對應於該通訊之一種超管理器協定從數個特定於協定的外掛程式中挑選出一種特定於協定的外掛程式。該信任驗證程序也可以從一個白名單資料庫取得一個或多個已知值,並使用該選擇之特定於協定的外掛程式為在該通訊中一個或多個數位簽章地理定位值進行一種信任分析。在一個例子中,該信任分析包含把該等一個或多個數位簽章地理定位值與該等一個或多個已知值做比較,而該證實伺服器邏輯會根據該信任分析為該雲端運算節點產生一種位置驗證輸出。
實施例也可能包含一套系統,它具有一網路介面可辨識出來自伴有一遠端信任代理的一個雲端運算節點的一種通訊。該系統也可能有一晶片組,該晶片組具有一種信任驗證器可根據該通訊從數個超管理器協定挑選出一種 超管理器協定。此外,該信任驗證器可以使用該挑選出的超管理器協定來進行在該通訊中一個或多個數位簽章值的信任分析,其中該晶片組更包含證實伺服器邏輯來處理基礎於該信任分析的一種雲端證實請求。
於此所描述的技術因此提供了一種方法來做遠端證實,其規模可在多重OS/多重超管理器的環境中橫跨數百台/數千台的主機和裝置。在雲端基礎建設中有了如此的技術,讓我們可以在調度應用程式和工作負荷到主機、裝置和其他的資源處之前,就可以完成可信任性判定。而且,地理定位資訊可以用一種具高度彈性之防止篡改的方法被儲存和取得。
本發明其實施例的某些特定方面其實現方式可以使用硬體、軟體、或它們的組合,並可以被實現在一台或多台電腦系統或其他的處理系統中。程式碼可以被套用到用一種輸入裝置所輸入的資料上以執行該等描述功能並產生輸出資訊。該輸出資訊可已被套用到一台或多台輸出裝置上。在本領域中的具有通常技藝者可以明白在實現實施例時可以使用各式各樣的系統配置,包括多處理器系統、迷你電腦、主機電腦、以及類似的系統。實施例也可以被實現在分散式運算環境中,其中工作的執行可以由遠端處理裝置來執行,而那些裝置是透過一種通訊網路鏈結在一起的。
每一個程式可以用高階程序性語言或者物件導向程式語言寫成以便和處理系統溝通。然而,程式也可以 用組合語言或機器語言寫成,如果需要的話。在任何情況中,該語言可以被編譯或者被解譯。
程式指令可以被使用來使得一般用途或是特殊用途的處理系統在用該等指令規劃後可以執行這裡所述的該等方法。或者,該等方法的執行可以藉由特定的硬體組件,其中包含有可執行該等方法之固線式邏輯;或是藉由編程的計算機組件和自訂的硬體組件之任意組合來執行該等方法。在這裡所描述的方法可以以一種計算機程式產品的形式被提供出來,最少包含一種機器可讀取的媒體,其內已經存有指令,可被使用來編程一種處理系統或是其他的電子裝置來執行該等方法。使用在這裡的「機器可讀取的媒體」或「機器可存取的媒體」這兩個術語應該包括任何有能力儲存或編碼將被該機器所執行之指令序列的媒體,並導致該機器可執行在這裡所描述之任何一個方法。「機器可讀取的媒體」或「機器可存取的媒體」這兩個術語據此可包括,但並不限於,固態記憶體、光碟和磁碟、和編碼一種數據信號的一種載波。此外,在本領域中通常提到的軟體,不管是用那種方式描述(舉例來說,程式、程序、過程、應用程式、模組、邏輯、等等),就是指採取行動或是導致結果。這種表達僅是陳述由一種處理系統對該軟體的執行,使得該處理器執行一個動作或產生一種結果的一種簡寫方式。
「耦合」這個術語可以在這裡被使用來參考到任何型態的關係,直接或間接,在該等考慮的組件之間,並 可以套用到電機、機械、流體、光學、電磁、機電或其他的連接上。除此之外,「第一」、「第二」、等等這些術語在這裡只是被使用來方便討論而已,並沒有帶有特別之世俗或時間上的意義,除非特別的指明。
雖然本發明其各式各樣的實施例已經在上面被描述出,但應當要被理解的是,它們僅是以範例的方式被呈現出,但並不受限於那些範例。在本領域中的技術人員將會明白在這裡對形式和細節上所做之各式各樣的變化將不會離開本發明的精神與範疇,如定義在附加的申請專利範圍中所述。因此,本發明的深度與範疇不應被侷限在任何以上所述之範例式的實施例中,而是應該按照下面的請求項及其等同物來被定義。
42‧‧‧操作信任授權服務的方法
44,46,48‧‧‧方塊

Claims (35)

  1. 一種方法,其包含:經由一個白名單入口接收一個或多個已知值;用該一個或多個已知值填回一白名單資料庫;從伴有一種遠端信任代理的一個雲端運算節點處接收一通訊;根據對應於該通訊之一種超管理器協定從數個特定於協定的外掛程式中挑選出一特定於協定的外掛程式;從該白名單資料庫取得該一個或多個已知值;使用該選取之特定於協定的外掛程式來為在該通訊中一個或多個數位簽章的地理定位值進行一信任分析,其中該信任分析包含把該一個或多個數位簽章的地理定位值與該一個或多個已知值做比較;以及基於該信任分析來處理一雲端證實請求,其中處理該雲端證實請求包括為該雲端運算節點產生一位置驗證輸出。
  2. 如申請專利範圍第1項之方法,其中該通訊是從一伺服器、一網路裝置和一客戶端裝置中之一或多者處接收。
  3. 如申請專利範圍第1項之方法,更包含經由一雲端管理介面、一虛擬化管理介面、一政策介面、一遵循介面、和一安全性介面中之一或多者處接收該雲端證實請求。
  4. 如申請專利範圍第1項之方法,其中處理該雲端證實請求包含取出一信任快取。
  5. 一種設備,其包含:一白名單資料庫;一包含一白名單入口的白名單模組,該白名單模組將進行:經由該白名單入口接收一個或多個已知值,及用該一個或多個已知值填回該白名單資料庫;以及一種信任模組,其包含,證實伺服器邏輯組件,其從伴有一種遠端信任代理的一雲端運算節點處接收一通訊,和一信任驗證器,其根據對應於該通訊之一超管理器協定從數個特定於協定的外掛程式中選擇一特定於協定的外掛程式,從該白名單資料庫處取得該一個或多個已知值,並使用該選擇之特定於協定的外掛程式為在該通訊中一個或多個數位簽章的地理定位值進行一信任分析,其中該信任分析包含把該一個或多個數位簽章的地理定位值與該一個或多個已知值做比較,以及其中該證實伺服器邏輯組件會根據該信任分析為該雲端運算節點產生一位置驗證輸出。
  6. 如申請專利範圍第5項之設備,其中該通訊是從一伺服器、一網路裝置和一客戶端裝置之中的一個或多個處接收。
  7. 如申請專利範圍第5項之設備,更包含一種證實處理器以經由一雲端管理介面、一虛擬化管理介面、一政策介面、一遵循介面、和一安全性介面之中的一或多者處接收該雲端證實請求。
  8. 如申請專利範圍第7項之設備,更包含一信任快取,其中該證實處理器將使用該信任快取來處理該雲端證實請求。
  9. 一種方法,其包含:根據伴有一種遠端信任代理的一通訊從數個超管理器協定中選出一超管理器協定;使用選出的該超管理器協定來為在該通訊中一個或多個數位簽章值進行一信任分析;以及基於該信任分析來處理一雲端證實請求。
  10. 如申請專利範圍第9項之方法,其中從數個超管理器協定中選出該超管理器協定包含選擇一特定於協定的外掛程式。
  11. 如申請專利範圍第9項之方法,更包含從一白名單資料庫處取得一個或多個已知值,其中該信任分析包含把該一個或多個數位簽章值與該一個或多個已知值做比較。
  12. 如申請專利範圍第11項之方法,更包含:經由一種白名單入口接收一個或多個已知值;及用該一個或多個已知值填回該白名單資料庫。
  13. 如申請專利範圍第11項之方法,其中該一個或多個已知值和該一個或多個數位簽章值包含登記值和追蹤資料 之中的一個或多個。
  14. 如申請專利範圍第9項之方法,更包含從伴有該遠端信任代理的一個雲端運算節點處接收該通訊,其中處理該雲端證實請求包括為該雲端運算節點產生一可信任性驗證輸出。
  15. 如申請專利範圍第14項之方法,其中該通訊是從一伺服器、一網路裝置和一客戶端裝置之中的一或多者處取得。
  16. 如申請專利範圍第9項之方法,更包含經由一雲端管理介面、一虛擬化管理介面、一政策介面、一遵循介面、和一安全性介面之中的一或多者處接收該雲端證實請求。
  17. 如申請專利範圍第9項之方法,其中處理該雲端證實請求包含存取一信任快取。
  18. 一種機器可存取媒體,其包含一組指令,若由一處理器執行時,使得一運算裝置可進行:根據伴有一遠端信任代理的一通訊從數個超管理器協定中選出一超管理器協定;使用該選出的超管理器協定來為在該通訊中一個或多個數位簽章值進行一信任分析;以及基於該信任分析來處理一雲端證實請求。
  19. 如申請專利範圍第18項之媒體,其中,如果執行的話,該等指令會使得一運算裝置選擇一特定於協定的外掛程式。
  20. 如申請專利範圍第18項之媒體,其中,如果執行的話,該等指令會使得一運算裝置從一種白名單資料庫取回一個或多個已知值,其中該信任分析包含把該一個或多個數位簽章值與該一個或多個已知值做比較。
  21. 如申請專利範圍第20項之媒體,其中,如果執行的話,該等指令會使得一運算裝置:經由一種白名單入口接收該一個或多個已知值;並用該一個或多個已知值填回該白名單資料庫。
  22. 如申請專利範圍第20項之媒體,其中該一個或多個已知值和該一個或多個數位簽章值包含登記值和追蹤資料之中的一個或多個。
  23. 如申請專利範圍第18項之媒體,其中,如果執行的話,該等指令會使得一運算裝置從伴有該遠端信任代理的一雲端運算節點處接收該通訊,其中處理該雲端證實請求將會包括為該雲端運算節點產生一可信任性驗證輸出。
  24. 如申請專利範圍第23項之媒體,其中該通訊是從一伺服器、一網路裝置和一客戶端裝置之中的一或多者處取得。
  25. 如申請專利範圍第18項之媒體,其中該等指令,如果執行的話,會使得一運算裝置經由一雲端管理介面、一種虛擬化管理介面、一政策介面、一遵循介面、和一安全性介面之中的一或多者處接收該雲端證實請求。
  26. 如申請專利範圍第18項之媒體,其中該等指令,如果執 行的話,會使得一運算裝置存取一信任快取來處理該雲端證實請求。
  27. 一種系統,其包含:一網路介面,其可辨識出來自伴有一遠端信任代理的一雲端運算節點的一通訊;以及一包含一信任驗證器之晶片組,其可進行:根據該通訊從數個超管理器協定中選出一超管理器協定,及使用該挑選出的超管理器協定來進行在該通訊中一個或多個數位簽章值的信任分析,其中該晶片組更包含證實伺服器邏輯組件,以基於該信任分析來處理一雲端證實請求。
  28. 如申請專利範圍第27項之系統,其中該信任驗證器將會選擇一特定於協定的外掛程式。
  29. 如申請專利範圍第27項之系統,更包含記憶體以儲存一白名單資料庫,其中該信任驗證器將從該白名單資料庫取得一個或多個已知值,以及其中該信任分析包括把該一個或多個數位簽章值與該一個或多個已知值做比較。
  30. 如申請專利範圍第29項之系統,其中該晶片組更包含一白名單模組,以進行:經由一個白名單入口接收該一個或多個已知值,以及以該一個或多個已知值填回該白名單資料庫。
  31. 如申請專利範圍第29項之系統,其中該一個或多個已知 值和該一個或多個數位簽章值將包含登記值和追蹤資料之中的一個或多個。
  32. 如申請專利範圍第27項之系統,其中該通訊將是從伴有該遠端信任代理的某個雲端運算節點處取得,其中處理該雲端證實請求將會包括為該雲端運算節點產生一可信任性驗證輸出。
  33. 如申請專利範圍第32項之系統,其中該通訊是從一伺服器、一網路裝置和一客戶端裝置之中的一個或多個處接收。
  34. 如申請專利範圍第27項之系統,更包含有一種證實處理器可以經由一雲端管理介面、一虛擬化管理介面、一政策介面、一遵循介面、和一安全性介面之中的一個或多個處接收該雲端證實請求。
  35. 如申請專利範圍第34項之系統,更包含有一信任快取,其中該證實處理器將會存取該信任快取。
TW102103303A 2012-03-15 2013-01-29 於雲端運算環境中供伺服器與客戶端的遠端信任證實及地理位置用之方法、設備、媒體及系統 TWI602078B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/421,437 US9256742B2 (en) 2012-01-30 2012-03-15 Remote trust attestation and geo-location of servers and clients in cloud computing environments

Publications (2)

Publication Number Publication Date
TW201351197A true TW201351197A (zh) 2013-12-16
TWI602078B TWI602078B (zh) 2017-10-11

Family

ID=50158028

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102103303A TWI602078B (zh) 2012-03-15 2013-01-29 於雲端運算環境中供伺服器與客戶端的遠端信任證實及地理位置用之方法、設備、媒體及系統

Country Status (1)

Country Link
TW (1) TWI602078B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941379B1 (en) * 2009-06-25 2011-05-10 Symantec Corporation Systems and methods for using geo-location information in sensitive internet transactions
US8490150B2 (en) * 2009-09-23 2013-07-16 Ca, Inc. System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems
US8505003B2 (en) * 2010-04-28 2013-08-06 Novell, Inc. System and method for upgrading kernels in cloud computing environments
WO2011152910A1 (en) * 2010-06-02 2011-12-08 Vmware, Inc. Securing customer virtual machines in a multi-tenant cloud

Also Published As

Publication number Publication date
TWI602078B (zh) 2017-10-11

Similar Documents

Publication Publication Date Title
EP2810209B1 (en) Remote trust attestation and geo-location of servers and clients in cloud computing environments
TWI525448B (zh) 雲端運算環境中伺服器與客戶端的遠端信賴認證及地理位置
JP7196132B2 (ja) データプロセッシング(dp)アクセラレータのための難読化を用いたデータ伝送
US11757647B2 (en) Key protection for computing platform
CN110659521A (zh) 用于信任域的具有高可用性的低开销完整性保护
US20180285560A1 (en) System, Apparatus And Method For Providing Locality Assertion Between A Security Processor And An Enclave
TWI587172B (zh) 用於建立安全工作空間的所有權之系統
CN107704308B (zh) 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质
US11689365B2 (en) Centralized volume encryption key management for edge devices with trusted platform modules
KR102363080B1 (ko) 우회-불가능한 게이트웨이를 이용한 tpm-기반의 안전한 다자간 컴퓨팅 시스템
US11841951B2 (en) Systems and methods for secure management of components of information handling systems
US20220300582A1 (en) License verification system and method for workspace-based applications
US20150381442A1 (en) Reporting Platform Information Using A Secure Agent
TWI602078B (zh) 於雲端運算環境中供伺服器與客戶端的遠端信任證實及地理位置用之方法、設備、媒體及系統
TW202307712A (zh) 一安全客體之認證
US11245694B2 (en) User terminal apparatus and control method thereof
US12111932B2 (en) Secure boot attestation in a cloud platform
US11915015B2 (en) Systems and methods for use of pre-boot resources by modern workspaces
US20240311515A1 (en) Security auditing and remote attestation via kernel-signed metrics
US20230261867A1 (en) Centralized volume encryption key management for edge devices with trusted platform modules
US20230096183A1 (en) Reducing Sensitive Data Exposure in Hub-and-Spoke Remote Management Architectures
US20240303381A1 (en) Systems and methods to manage security protocol and data model (spdm) secure communication sessions
Guan et al. An approach to ensure the trustworthiness of cloud platform using the trusted chain