用于云計算平臺安全性的認證和授權方法技術

用于云計算環境的認證和授權插件模型使得云客戶能夠在將他們的應用部署在云中時保留對他們的企業信息的控制。云服務提供商提供了用于客戶安全模塊的可插拔接口。當客戶部署應用時，云環境管理員為客戶的應用和數據分配資源組（例如處理器、存儲器和貯存器）?？蛻粝蛟瓢踩兆云渥约旱恼J證和授權安全模塊，并且該安全模塊然后用于控制什么人或實體可訪問與部署的應用相關聯的信息。然而，云環境管理員一般沒有在客戶安全模塊內注冊（作為許可用戶）；因此，云環境管理員無法訪問（或釋放給其它方或云的通用資源池）分配給云客戶的資源（即使管理員自己分配了這些資源）或相關聯的業務信息。為了進一步均衡各方的權限，第三方公證人服務在客戶的應用和信息被部署在云中時保護客戶的隱私和訪問權限。

【技術實現步驟摘要】
【國外來華專利技術】
本公開內容總體上涉及在資源以可配置計算資源的共享池為宿主的環境中確保業務信息的完整性、保密性和隱私性。
技術介紹
用戶認證是服務提供商提供的確保訪問資源(例如應用、網頁內容等)的用戶被授權這樣做的ー種功能。為了確保用戶不是冒充者，服務提供商(例如網絡服務器)通常詢問用戶的用戶名和密碼，以在授權對資源的訪問之前證明身份。單點登錄(SSO)是使得用戶能夠認證一次(例如提供用戶名和密碼)并跨多個系統獲得對軟件資源的訪問的訪問控制機制。一般，SSO系統使得用戶能夠訪問企業或組織內的資源。聯合單點登錄(F-SSO)跨多個企業擴展了單點登錄的概念，因此在不同組織和企業之間建立了合作關系。F-SSO系統ー般包括允許ー個企業(例如身份提供商)向另ー企業(例如服務提供商)提供用戶的身份和其它屬性的應用級協議。新興的信息技術(IT)傳送模型是云計算，利用該云計算，根據需求經由因特網向計算機和其它設備提供共享資源、軟件和信息。云計算可以顯著降低IT成本和復雜度，同時改進工作負載優化和服務傳送。利用該方法，應用實例可以以經由HTTP通過傳統的網絡瀏覽器可訪問的基于因特網的資源為宿主，并可從這些基于因特網的資源可獲得。盡管云計算提供了許多優點，但數據安全性是主要關注。特別地，期望在云環境內部署其企業應用的公司經常保持并管理與這種應用相關聯的重要業務信息。當在云中部署這些應用時，該重要業務信息必然暴露給云計算服務提供商。結果，該業務信息處于風險中，因為云計算環境根據其本質將信息置于云計算服務提供商的管理控制內。盡管可能存在技術和法律保護，但無法絕對確保業務信息的完整性、保密性和隱私性。僅作為一個示例場景，如果云服務提供商被獲取，則企業業務信息會暴露給第三方，甚至是潛在競爭者。這是不合理的。直到云提供商的客戶能確信他們能對他們的業務信息保持安全控制為止，他們將在云計算環境中部署他們的重要業務應用方面猶豫不決。本公開內容的主題解決該問題。
技術實現思路
該公開內容描述了用于云計算環境的認證和授權插件模型，使得當云客戶在云中部署應用和他們的企業信息時能夠保持對該信息的控制。為此，云服務提供商使得企業客戶能夠(例如通過插件服務)插入(到環境)并且使用客戶自己的認證和授權安全模塊。云服務提供商具有云環境管理員，該云環境管理員為向云環境部署應用的客戶分配資源組。當客戶部署應用時，云環境管理員為客戶的應用和數據分配資源組(例如處理器、存儲器和貯存器)?？蛻衾迷瓢踩兆云湔J證和授權安全模塊，并且該安全模塊然后用于控制什么人或實體能訪問與部署的應用相關聯的信息。然而，云環境管理員沒有在客戶的安全模塊內注冊(作為許可用戶)；因此，云環境管理員無法訪問(或釋放給其它方或云的通用資源池)分配給云客戶的資源(即使管理員自己分配了這些資源)或相關聯的業務信息。插件安全模型確保企業客戶的信息是安全的。為了幫助該方法，提供第三方公證服務作為企業客戶與云提供商之間的中介。第三方公證服務可與一個或更多個云提供商相關聯，但是它是不受云提供商控制的不同且獨立的實體。公證人可以是政府實體、私有實體、公共實體等。公證人用作能證明(優選地以自動的方式)客戶、云提供商和第三方公證服務之間的協定的證明人(或更一般的，授權第三方)。除其它規定外，該協定還提供了分配給云客戶的資源組或多個資源組(即云資源)僅可在特定情況下被釋放以由另ー客戶使用。一個示例情況是云環境管理員和云客戶管理員兩者均登錄以核準釋放，進ー步條件是在這種釋放之前擦除內容(例如客戶的業務信息)。另ー示例情況是接收許可公證用戶和云環境管理員的登錄，這可能在客戶違背根據云服務協定的一些義務的情況下出現。然而，即使在此場景中，資源組的釋放的條件是擦除(現在之前的)客戶的信息。該方法確保云環境管理員無法單方面收回分配給客戶的資源和/或查看客戶敏感的信息，即使在客戶違反了服務協定并且要終止客戶的情況下也是如此。上文概述了本專利技術的更相關特征中的ー些。這些特征應被解釋為僅是例示性的。通過如將要描述的以不同方式應用所公開的專利技術或通過修改本專利技術，可獲得許多其它有益效果。【附圖說明】為了更完全地理解本專利技術及其優點，現在結合附圖參照以下描述，其中:圖1描繪可實現說明性實施例的示例性方面的分布式數據處理環境的示例性框圖；圖2是可實現說明性實施例的示例性方面的數據處理系統的示例性框圖；圖3是圖示公知的聯合單點登錄(F-SSO, Federated Single Sign-On)技術的示例性框圖；圖4描繪根據本專利技術的實施例的可實現身份提供者發現處理的云計算環境的抽象模型層；圖5是圖示分配給部署的客戶應用的云資源和公知云計算環境的示例性框圖；圖6圖示根據本公開內容的確?？蛻魯祿脑朴嬎闫脚_安全性的認證和授權模型；圖7圖示根據本公開內容的如何將特定于客戶的認證和授權模型插入到云架構中；圖8圖示公證服務如何與云租戶和云提供商進行交互以幫助形成對資源組的安全的、電子的和不可否認的租約；以及圖9圖示系統的典型使用場景?！揪唧w實施方式】現在參照附圖，特別參照圖1-2，提供了可實現本公開內容的說明性實施例的數據處理環境的示例性圖。應該理解，圖1-2僅是示例性的，并不是g在聲稱或暗示關于可實現所公開的主題的方面或實施例的環境的任何限制。在不脫離本專利技術的精神和范圍的情況下，可對描繪的環境做出許多修改?？蛻舳?服務器模型現在參照附圖，圖1描繪可實現說明性實施例的方面的示例性分布式數據處理系統的圖形表示。分布式數據處理系統100可包括可實現說明性實施例的方面的計算機網絡。分布式數據處理系統100包含至少ー個網絡102，網絡102是用于在分布式數據處理系統100內連接在一起的各種設備與計算機之間提供通信鏈路的介質。網絡102可包括諸如有線、無線通信鏈路或光纖光纜的連接。在描繪的示例中，服務器104和服務器106與存儲單元108 —起連接到網絡102。此外，客戶端110、112和114也連接到網絡102。這些客戶端110、112和114例如可以是個人計算機、網絡計算機等。在描繪的示例中，服務器104向客戶端110、112和114提供數據，例如引導文件、操作系統映像和應用。在描繪的示例中，客戶端110、112和114是服務器104的客戶端。分布式數據處理系統100可包括未示出的附加服務器、客戶端和其它設備。在描繪的示例中，分布式數據處理系統100是具有網絡102的因特網，該網絡102表示使用傳輸控制協議/因特網協議(TCP/IP)的協議套件彼此進行通信的世界范圍的網絡和網關的集合。因特網的中心是主節點或主計算機之間的高速數據通信線路的骨干，由對數據和消息進行路由的成千上萬的商業、政府、教育和其它計算機系統構成。當然，分布式數據處理系統100也可被實現為包括許多不同類型的網絡，例如內聯網、局域網(LAN)、廣域網(WAN)等。如上所述，圖1 g在作為示例，而不是作為所公開的主題的不同實施例的架構限制，因此，圖1中示出的特定部件不應被視為對可實現本專利技術的說明性實施例的環境的限制。現在參照圖2，示出了可實現說明性實施例的數據處理系統的框圖。數據處理系統200是諸如圖1中的服務器104或客戶端110的計算機的示例，在該計算機中針對說明性實施例可存在本文檔來自技高網...

【技術保護點】
一種用于在計算資源以可配置計算資源的共享池為宿主的環境中的驗證和授權的方法，包括：從第一實體接收對由第二實體管理的可配置計算資源的共享池的訪問的請求；在第一實體、第二實體和不同于第一實體和第二實體的第三實體之間執行協定的情況下，向第一實體分配資源組；在由與可配置計算資源的共享池相關聯的第二實體操作的插件服務中注冊與第一實體相關聯的插件安全模塊；以及限制除經由所述插件安全模塊之外對所述資源組的訪問。

【技術特征摘要】
【國外來華專利技術】2011.06.30 US 13/173,5631.一種用于在計算資源以可配置計算資源的共享池為宿主的環境中的驗證和授權的方法，包括: 從第一實體接收對由第二實體管理的可配置計算資源的共享池的訪問的請求； 在第一實體、第二實體和不同于第一實體和第二實體的第三實體之間執行協定的情況下，向第一實體分配資源組； 在由與可配置計算資源的共享池相關聯的第二實體操作的插件服務中注冊與第一實體相關聯的插件安全模塊；以及 限制除經由所述插件安全模塊之外對所述資源組的訪問。2.如權利要求1所述的方法，還包括:接收與第一實體的許可用戶相關聯的信息并存儲在所述資源組中。3.如權利要求2所述的方法，還包括:在發生事件的情況下將所述資源組返回到所述共享池。4.如權利要求3所述的方法，其中將所述資源組返回的步驟包括: 在發生事件的情況下，向第三方發出請求，所述請求尋求將第一實體從所述資源組解除關聯的許可；以及 從第三方接收響應，所述響應指示第二實體具有將第一實體從所述資源組解除關聯的許可。5.如權利要求4所述的方法，還包括:在將所述資源組返回到所述共享池之前，刪除與第一實體的許可用戶相關聯的信息。6.如權利要求3所述的方法，其中將所述資源組返回的步驟包括: 接收與所述資源組相關聯的許可已被第一實體移除的指示；以及 在將所述資源組返回到所述共享池之前，刪除與第一實體的許可用戶相關聯的信息。7.如權利要求1所述的方法，其中通過密碼確保所述協定，使得所述協定無法被第一實體或第二實體否認。8.一種用于在計算資源以可配置計算資源的共享池為宿主的環境中的驗證和授權的裝置，包括: 處理器； 計算機存儲器，保持當被所述處理器運行時執行如下方法的計算機程序指令，所述方法包括: 從第一實體接收對由第二實體管理的可配置計算資源的共享池的訪問的請求； 在第一實體、第二實體和不同于第一實體和第二實體的第三實體之間執行協定的情況下，向第一實體分配資源組； 在由與可配置計算資源的共享池相關聯的第二實體操作的插件服務中注冊與第一實體相關聯的插件安全模塊；以及 限制除經由所述插件安全模塊之外對所述資源組的訪問。9.如權利要求8所述的裝置，其中所述方法還包括:接收與第一實體的許可用戶相關聯的信息并存儲在所述資源組中。10.如權利要求8所述的裝置，其中所述方法還包括:在發生事件的情況下將所述資源組返回到所述共享池。11.如權利要求10所述的裝置，其中將所述資源組返回的步驟包括: 在發生事件的情況下，向第三方發出請求，所述請求尋求將第一實體從所述資源組解除關聯的許可；以及 從第三方接收響應，所述響應指示第二實體具有將第一實體從所述資源組解除關聯的許可。12.如權利要求11所述的裝置，其中所述方法還包括:在將所述資源組返回到所述共享池之前，刪除與第一實體的許可用戶相關聯的信息。13.如權利要求10所述的裝置，其中將所述資源組返回的步驟包括: 接收與所述資源組相關聯的許可已被第一實體移除的指示；以及 在將所述資源組返回到所述共享池之前，刪除與第一實體的許可用戶相關聯的信息。14.如權利要求8所述的裝置，其中通過密碼確保所述協定，使得所述協定無法被第一實體或第二實體否認。15.一種計算機可讀介質中的計算機程序產品，用于在計算資源以可配置計算資源的共享池為宿主的環境中的驗證和授權的數據處理系統中使...

【專利技術屬性】
技術研發人員：D·Y·常，M·本納塔，J·YC·常，V·溫卡塔拉瑪帕，
申請(專利權)人：國際商業機器公司，
類型：
國別省市：