CN104054321B - 针对云服务的安全管理 - Google Patents
针对云服务的安全管理 Download PDFInfo
- Publication number
- CN104054321B CN104054321B CN201380005823.7A CN201380005823A CN104054321B CN 104054321 B CN104054321 B CN 104054321B CN 201380005823 A CN201380005823 A CN 201380005823A CN 104054321 B CN104054321 B CN 104054321B
- Authority
- CN
- China
- Prior art keywords
- service provider
- node
- cloud
- request message
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 63
- 238000004891 communication Methods 0.000 claims description 45
- 238000003860 storage Methods 0.000 claims description 23
- 230000018199 S phase Effects 0.000 claims 1
- 230000001960 triggered effect Effects 0.000 claims 1
- 238000007726 management method Methods 0.000 description 114
- 230000008569 process Effects 0.000 description 17
- 239000003795 chemical substances by application Substances 0.000 description 15
- 230000006870 function Effects 0.000 description 8
- 230000015654 memory Effects 0.000 description 7
- 230000006399 behavior Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5072—Grid computing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
公共云(100)中的云管理节点(102)与私有云(114)中的私有管理系统(116)共同工作,来管理对云服务的供应和从私有云(114)对云服务的访问。公共云中不需要保存或复制私有数据,使得数据安全性得到增强。私有管理系统(116)发放用于授权的令牌,使得可以控制用户对云服务的访问。云管理节点(102)从私有云(114)接收供应请求,并且选择适当的服务提供商节点(112)并向其通知:供应请求正在等待。在示例中,私有云(114)处的管理员能够以简单有效的方式来为多个用户管理云服务访问,并且用户能够从单个账户操作多个云服务。
Description
背景技术
云服务(例如,通过互联网、内联网或其他通信网络提供的软件应用和/或计算资源)日益广泛地分布于许多领域中。例如,在文档管理、图像处理、护照控制系统、数据库访问、信息检索以及其他领域中。
存在许多不同的服务提供商,其中在网络中不同类型的服务提供商节点使用不同的通信协议和设备。终端用户通常向他们想要使用的每一个不同的服务提供商进行注册并且可以开设关于每一个不同的服务提供商的账户。终端用户设备与各种不同类型的服务提供商节点之间的通信根据该服务提供商设备的各种不同的通信协议来进行。通常,使用服务提供商节点处的技术来实现认证和授权过程。
Huang等的“Secure data processing framework for mobile cloudcomputing”2011描述了通过信任管理和私有数据隔离的移动云数据处理框架。
US2011/256157描述了提供对存储在本地云中的内容的访问。一个设备可以指导监督稀有云的操作的图书管理员服务向另一个设备提供对存储在私有云中的内容的访问。
Raekow等的“License management in grid and cloud computing”2010描述了一种许可管理架构,其能够实现按照使用进行支付的许可管理,其可以与按需计算情形部署在一起。
EP1830520描述了一种方法和系统,其用于在系统部支持客户端定向到与当前范围不同的其它范围的情况下,重新定向客户端。
Grimshaw等的“An open grid services architecture printer”2009描述了关于现有标准的一组标准接口、服务交互协议和简档,其提供用于构建鲁棒的网格应用和网格管理系统的基础。
下面描述的实施例不限于解决公知的云服务设备和过程中的任何或所有缺陷的实施方式。
发明内容
下面的内容介绍了本公开的简要的发明内容,以便给读者提供基本的理解。本发明内容不是对本公开的广泛的概述,并且它不标识关键/重要的元素,也不描绘说明书的范围。它唯一的目的是以简单的方式来介绍本文公开的构思的精华,作为后续介绍的更详细的描述的序言。
描述了针对云服务的安全管理。在各种实施例中,公共云中的云管理节点与私有云中的私有管理系统共同工作来管理对云服务的供应和从私有云对云服务的访问。在各种实施例中,公共云中不需要保存或复制私有数据,使得增强安全性。在各种实施例中,私有管理系统发放用于授权的令牌,使得可以控制用户对云服务的访问。在一些实施例中,云管理节点从私有云接收供应请求,并且选择和通知适当的服务提供商节点:供应请求正在等待。在示例中,私有云处的管理员能够以简单有效的方式来管理许多用户的云服务访问,并且用户能够从单个账户操作多个云服务。
随着通过参考结合附图考虑的下面的具体实施方式而更好地理解许多伴随的特征,这些伴随的特征将更容易被认识。
附图说明
根据鉴于附图而阅读下面的具体实施方式,本描述将更容易被理解,其中:
图1是通信网络云的示意图,通过所述通信网络云,服务是可用的并且所述通信网络云具有用于安全管理的各种实体;
图2是云管理节点处的安全地供应或访问通信网络云中的资源的方法的流程图;
图3是服务提供商节点处的方法的流程图;
图4是私有管理系统处的方法的流程图;
图5是安全地访问云服务的方法的流程图;
图6是针对云服务的安全供应过程的消息序列图;
图7是具有更多详细信息的图6的消息序列图;
图8是针对云服务的安全访问控制过程的消息序列图;
图9是另一安全访问控制过程的流程图;
图10是私有域处的操作员/管理员的用于给予终端用户对一个或多个云服务的访问的方法的流程图;
图11是第一云资源处用于安全地访问第二云资源的方法的流程图;
图12示出了示例性的基于计算的设备,被用于针对云服务的安全管理的实体的实施例可以实现于其中。
使用相似的附图标记来指明附图中相似的部分。
具体实施方式
下面结合附图提供的具体实施方式是要作为本示例的说明,而不是要表示可以构成或利用本示例的唯一形式。说明书阐述了示例的功能和用于构成和运行该示例的步骤的序列。然而,可以由不同的示例来完成相同或等价的功能和序列。
图1是通信网络云的示意图,服务可通过所述通信网络云获得,并且所述通信网络云具有用于安全管理的各种实体。通信网络云是具有多个节点(例如,交换机、路由器、服务器或其他计算设备)的任何通信网络,所述多个节点是通过任何类型的通信链路(例如,无线通信链路或有线通信链路,例如以太网(商标)、光纤或其他)来进行互联的。通信网络云包括至少一个私有云114,私有云114包括多个通信网络节点,每一个通信网络节点都具有该云中的实体已知但其他实体不知的私有地址。例如,私有云114可以在防火墙后连接到一个或多个公共云100或其他通信网络节点。尽管在图1的示例中示出了一个私有云114和一个公共云100,但是实际上可以存在额外的公共和私有云和其他通信网络节点。公共云100中的通信网络节点的每一个都具有公共的并且对于公共或私有云中的其他节点而言是可用的地址。在示例中,私有云可以是企业、大学或其他组织的内联网或者国内的家庭计算网络。私有网络可以在地理上遍布多个位置,例如,在企业在超过一个国家中拥有设施的情况下。
在公共云100中提供了多个服务提供商节点113,每一个服务提供商节点113都包括计算机实现的资源112。例如,资源可以是计算资源和/或软件应用。在示例中,服务提供商节点113被布置为提供信息检索系统,由此其他实体(其他实体可以是终端用户122和/或其他服务提供商节点)能够获得信息检索结果。利用服务提供商节点113的其他实体可以在公共云100或私有云114中。
出于安全原因并且为了防止不适当的或恶意的使用,可以控制对服务提供商节点的访问。例如,访问服务提供商节点的实体可以向公共云中的服务提供商节点或相关联的节点进行注册,并且作为注册过程的一部分,网络地址、标识数据和其他私有数据可以存储在公共云的服务提供商节点或其他相关联的节点处。为了访问多个不同的服务提供商节点,终端用户122或其他实体可以注册多次,每一个不同的服务提供商节点一次。一旦成功地完成了注册,则终端用户或其他实体就可以访问服务提供商节点,其中在该服务提供商节点处成功地完成了授权和/或认证过程。此处应当意识到的是,这样的类型的注册和认证/授权过程是复杂的、耗时的,并且还引起安全风险。例如,通过以非常大的容量向服务提供商节点进行重复的请求,所述服务提供商节点对由恶意实体进行的拒绝服务攻击而言是开放的。同样,存在安全风险的原因在于在注册过程期间由终端用户提供的私有数据存于在公共云中(在公共云中潜在地被复制多次),并且因此对于泄露给恶意实体而言也是潜在开放的。同样,对于终端用户或其他实体而言困难的是,管理并且追踪他们具有的所有不同的注册以及公共云中相关联的数据的安全性。此处应当意识到的是,与服务提供商节点的通信随着时间而改变,例如,职员的加入、离开、角色的改变以及在合约人在限定时间的时间段内被给予对服务提供商节点的访问的情况下。这引入了附加的复杂性,尤其是在确保数据的安全性和管理授权和认证过程中。
可以在公共云100中提供云管理节点102,以有助于针对云服务的安全管理。云管理节点102可以使用任何合适的通信协议(例如,安全断言标记语言(SAML)、表述性状态转移(REST)或其他安全通信协议)与一个或多个服务提供商节点113来进行通信。在图1的示例中,云管理节点102被示为单个实体,但是这不是必要的;云管理节点的功能可以分布于超过一个实体中。
云管理节点102是计算机实现的并且至少包括标识引擎104、代理(brokerage)引擎105、门户106和追踪引擎108。追踪存储装置110可以与云管理节点102进行通信或与云管理节点集成。标识引擎被布置为利用私有云114中的一个或多个私有管理系统116来安全地检查标识和授权的详细信息。它存储的任何私有的数据是极其受限的,并且最多包括例如安全令牌形式编写的私有标识数据(稍后将更详细地描述)。使用安全检查过程和安全令牌减轻了对私有数据的破坏。私有数据不需要被存储在公共云中的复制位置。
代理引擎105包括被配置为从要求使用一个或多个服务提供商节点113的实体接收供应请求和其他输入的通信功能单元。代理引擎105包括用于以下的功能单元:选择适当的服务提供商节点113、以适当的通信协议格式创建消息并且对这些消息进行排队、以及在适当时将存在排队的消息通知给服务提供商节点。服务提供商节点随后能够积极地从代理引擎收集安全的排成队列的消息(在其被代理引擎105允许这样做时)。通过使得服务提供商节点能够以这种方式积极地收集安全消息,增强了安全性。例如,在服务提供商上进行的中间人攻击不太可能成功地使得恶意实体能够获得未授权的访问。同样,减轻了服务提供商上的拒绝服务攻击。通常拒绝服务攻击是针对公开监听TCP或UDP端口的。上述关于代理引擎描述的的方法减轻了公开监听,这是因为消息被发送到了私有端口,这触发了服务提供商节点取得请求的动作。
以基于网络的接口或其他接口的形式来提供门户106,用于使管理员118、终端用户122或其他实体能够例如针对云服务的供应、管理和报告中的任何一种来访问云管理节点102。追踪引擎108被布置为追踪各种服务提供商节点113的使用,并且能够访问追踪存储装置110,在追踪存储装置110处存储了关于服务提供商节点的使用的数据。追踪引擎可以被布置为监视代理引擎105处的队列,以便记录各种服务提供商的使用。
私有云包括私有管理系统116,私有管理系统116是计算机实现的,并且使管理员118或其他操作员能够管理公共云100中可用的云服务的供应和使用。例如,私有云可以是企业的内联网,并且私有管理系统116可以是由企业的管理员进行操作的,企业的管理员管理企业的职员(例如私有云中的终端用户122、合约人124或其他实体)对云服务的使用。云服务在一些情况中可以是基于订阅的服务,并且私有管理系统116使管理员118能够管理这些服务处的账户、订阅水平和其他供应和访问因素。私有管理系统有权访问私有标识存储装置120,私有识别存储装置120可以保存关于以下内容的私有数据:终端用户122(例如,职员或合约人)和与这些职员或合约人相关联的针对云服务的使用的任何授权。私有标识存储装置可以在企业场所的物理上安全的位置或其他安全位置。它位于私有云114中,并且因此相对于公共云100在防火墙或其他安全机制之后,这降低了对私有数据破坏的风险。
图2是在图1的云管理服务节点102处的用于供应和/或访问来自一个或多个服务提供商节点113的至少一个云服务的方法的流程图。云管理节点从实体接收200针对由服务提供商节点提供的资源的请求消息。例如,该实体可以是私有管理系统116或服务提供商节点113本身(其中一个服务提供商节点请求另一个服务提供商节点的资源)。在该实体是私有管理系统116时,可以在门户106处接收请求消息。例如,管理员118可以使用基于网络的接口或其他接口经由私有管理系统116来访问门户106。管理员可以在端口处具有账户并且可以在发送请求消息前登录到这个账户上。以这种方式,管理员118可以以安全的、认证的方式向云管理节点102发送用于供应服务提供商节点的资源112中的一个资源的消息。在另一示例中,终端用户可以被重定向到云管理节点,以便访问云服务(这一点稍后将参考图4进行更详细的描述)。
请求消息包括请求的发送方的详细信息。云管理节点102可选地对请求消息的发送方进行验证,以作为发送方登录到门户上的结果。
请求消息包括例如供应请求。在管理员要求给职员中的两个新成员给予对由服务提供商节点A提供的数据库服务的访问的情况下,则请求消息可以包括来自与指定的私有云相关联的企业的对两个额外订阅的请求,但是不包括关于个人的任何私有信息。在另一示例中,供应请求可以包括用于以下的请求:取消一个或多个订阅、创建对服务提供商节点的新订阅、或者改变服务质量水平或要提供的其他功能。管理员更新私有管理系统,使得用户权限和访问等级被记录在私有标识存储装置中。
请求消息包括所需要的资源(例如,软件应用或计算资源)的详细信息。详细信息可以是一个或多个需求而不是由特定的服务提供商节点提供的资源的详述。需求可以与服务质量、功能、价格或其他因素相关。云管理节点被布置为考虑到资源的详细信息和知识而识别204或选择适当的服务提供商节点。云管理节点可以使用规则或其他标准来做出选择。云管理节点可以考虑关于资源的可用性的信息(例如当前和计划的工作负荷),并且可以考虑与所述资源相关联的带宽限制。云管理节点针对由选定的服务提供商节点使用的通信协议来格式化请求消息。(不同的服务提供商节点可以使用不同的通信协议。)
云管理节点识别206选定的服务提供商节点的公钥。例如,每一个服务提供商节点具有使用合适的密码学方法建立的公共-私有密钥对,并且服务提供商节点的公钥对于云管理节点而言是已知的或可访问的。
云管理节点使用选定的服务提供商节点的公钥对格式化的请求消息进行加密。安全的、加密的请求消息然后被放置210到云管理节点的代理引擎处的多个队列中的一个队列中。例如,每一个队列与一个服务提供商节点相关联。消息从云管理节点被发送到选定的服务提供商节点,以通知212该服务提供商节点:排队的消息正在等待。该服务提供商节点然后能够使用SAML、REST或任何其他合适的通信协议来从队列收集214加密的消息。
如果例如由于服务提供商节点和云管理节点之间的通信的丢失,通知消息被丢弃,那么在一延迟之后可以重新发送该通知消息。这是有益的,就像格式化的请求消息被立刻转发到选定的服务提供商节点并且由于分组被丢弃而丢失,则管理员或其他实体将需要重复该供应请求一样。
服务提供商节点能够对消息进行解密,并且获取供应请求和发送方(例如私有云或私有管理系统)的详细信息。服务提供商节点并不获取与供应请求相关联的职员或其他个人的私有数据。
随着消息从代理引擎处的队列中被取走,计数或其他记录被更新216。这可以用于提供私有管理系统对各种服务提供商节点的订阅的记录。该记录可以是针对私有管理系统和服务提供商节点的有用的交叉检查,其中这些实体也保存着它们自己的记录。
服务提供商节点例如通过增加订阅或取消订阅来对供应请求进行操作(action)。服务提供商节点可以向云管理节点发送反馈以指示供应请求是否被成功地拍卖。该反馈在云管理节点处被接收218并且被用于对用户(私有管理系统或其他实体)进行更新,并且也是可选地被用于更新追踪的数据。
图3是在服务提供商节点处用于供应与服务提供商节点相关联的一个或多个资源的方法的流程图。从云管理节点接收通知300加密的消息在云管理节点处等待的消息。服务提供商节点使用SAML、REST或其他协议来获取302加密的消息。它使用它的公钥对消息进行解密304,并且通过供应306与服务提供商节点相关联的一个或多个资源来执行包含在消息中的供应请求。供应操作的结果可以被发送308到云管理系统。
图4是用于供应与服务提供商节点相关联的一个或多个资源的方法的流程图。该方法可以由私有管理系统或由私有管理系统的私有云中的终端用户或其他实体来执行。针对资源的供应请求被发送400到云管理节点。例如,私有管理系统知道该云管理节点的地址,并且直接使用SAML、REST或另一合适的协议来发送请求消息。在另一示例中,通过使用基于网络的接口(例如,图1的云管理节点的门户106)来发送请求,并且发送方登录到该门户上。请求可以是包括发送方详细信息以及对要以指定的方式(例如通过增加订阅)来供应的资源的请求在内的消息。私有管理系统可以从云管理节点接收402供应请求的结果。
图5是访问云服务的方法的流程图。期望访问云服务的实体(例如可以是私有云114中的职员的成员的终端用户(参见图1中的122)或合约者(参见图1中的124))尝试500直接访问云服务。例如,通过使用基于网络的接口来向与云服务相关联的服务提供商节点113发送消息或进行请求。访问云服务的资源的尝试在它不经由云管理节点(参见图1的102)进行传送的意义上而言是直接的。访问尝试包括可以具有标志或记号的消息或请求,该标志或记号向服务提供商节点指示该尝试是与特定的云管理节点102相关联的。然而,这不是必要的。该访问尝试不需要包括进行访问尝试的终端用户或其他实体的任何私有信息。
服务提供商节点113接收访问尝试,并且可以不具有来自访问尝试的用于指示该实体是否被授权访问该资源的信息。服务提供商节点可以拒绝对该资源的访问,并且向该实体发送将该实体重定向到云管理节点102的消息。期望访问该资源的实体接收502到云管理节点102的重定向。例如,服务提供商节点可以使用关于服务提供商节点的地址的预配置的信息来发送该重定向。
期望访问该资源的实体将用于访问该资源的请求发送504给云管理节点。该请求可以包括私有云114的标识和待访问的至少一个资源112的详细信息。所述详细信息可以是特定的服务提供商的标识符或该实体愿意访问的资源的需求。请求包括提出请求的终端用户或其他实体的标识符,但不需要包括任何其他私有数据,例如终端用户的访问等级权限。
云管理节点接收用于访问的请求。它知道提出请求的私有云的标识。它向该私有云的私有管理系统116发送对标识信息的请求。该请求包括提出请求的终端用户或其他实体的标识符。私有管理系统接收506对标识信息的请求。私有管理系统访问私有标识存储装置120来查找与终端用户或其他实体的标识符相关联的私有数据。例如,它查找终端用户被授权使用哪些服务以及该终端用户具有哪些用户权限和访问等级。
私有管理系统生成包括编写的终端用户信息的令牌。使用从私有标识存储装置访问的信息来生成该令牌。例如,令牌包括针对服务提供商节点处的一个或多个资源而定义实体的访问和用户权限的声明。可以使用任何合适的密码学技术来对该令牌进行加密。
私有管理系统将包括编写的终端用户信息的令牌发送508到云管理节点。云管理节点检查该令牌(如果是适当的则在解密后),并且如果检查成功,则云管理节点发放云安全令牌,云管理节点用消息将云安全令牌发送到终端用户或其他实体。消息将该实体定向到资源,并且该资源使用令牌来认证和/或授权对资源的访问。终端用户或其他实体因此从云管理节点接收510到资源的重定向。令牌在使用后不需要被存储在云管理节点,使得任何编写的私有数据都没有被存储在公共云中。
图6是供应与服务提供商节点113相关联的资源112的方法的消息序列图。使用图6中的纵列来表示图1的各种实体中的每一个实体,并且使用箭头来表示这些实体之间的消息,其中箭头的方向示出了消息的方向。箭头垂直地在页面上的相对位置表示消息的时间顺序。
私有云中的用户或管理员设备118向云管理节点102提交用于供应服务提供商节点113的资源112的请求600。云管理节点102选择适当的服务提供商节点,并且对请求消息进行适当的格式化或打包602,如上面所描述的。它将格式化的、加密的请求消息放置到云管理节点102的代理引擎105处的多个队列中的一个队列中。代理引擎通知604服务提供商节点113:项目在队列中。服务提供商节点113从该队列收集606请求消息。服务提供商节点对供应请求进行解密并且操作608,并且供应操作的结果作为应用结果610而从资源112被返回到服务提供商节点113。将操作反馈612从服务提供商节点发送到代理引擎105,并且代理引擎对云管理节点102处的追踪引擎进行报告和许可更新614。云管理节点可以将供应的反馈发送616给该用户。
图7是具有更多详细信息的图6的过程的消息序列图。此处代理引擎105包括代理队列700和代理桥头702。正如图6中,该方法继续,其中代理引擎105识别704适当的服务提供商节点,并且对格式化的供应请求消息进行加密。加密的消息被放置在特定的队列706中,并且代理桥头702通知708服务提供商节点请求在指定的队列中等待。服务提供商节点从指定的队列中收集701该请求。服务提供商节点对该供应请求进行解密和操作712,并且供应操作的结果作为应用结果714从资源112被返回到服务提供商节点113。将操作反馈716从服务提供商节点发送到代理桥头702。对该反馈进行解包718,并且更新云系统。代理队列对代理引擎进行报告和许可更新720,并且在代理引擎和云管理节点之间发生用户反馈方法722。云管理节点可以将供应的反馈发送724给用户。
图8是访问控制方法的消息序列图。使用图8中的纵列来表示图1的各个实体中的每一个。用户设备112尝试800访问服务提供商节点的资源112。在用户没有被认证通过时该尝试失败。例如,服务提供商执行它自己的认证检查,并且在用户设备112之前没有使用服务提供商自己的过程在服务提供商处进行注册时这些检查失败,其中私有数据存储在服务提供商处。服务提供商节点或资源112向用户设备发送让用户设备访问云管理节点的消息802。用户设备112向云管理节点发送请求对应用或资源112的访问的请求804。云管理节点通过发送806请求到标识引擎104来处理该请求。标识引擎104向私有管理系统116发送要求其认证的消息808。认证结果(包括令牌,如上述描述)从私有管理系统116被发送810到标识引擎104。标识引擎将该令牌发送812到云管理节点102处的检查过程。如果该检查失败,则将停止消息发送814到用户设备。如果检查成功,则向用户设备112发送使得它能够访问818资源122的消息816。
图9是使私有云处的用户或其他实体能够访问内部资源(位于私有云内的服务提供商节点)和外部资源(位于公共云中的服务提供商节点)二者的方法的流程图。私有云中的用户设备处的用户访问900一个或多个外部应用(公共云中的服务提供商节点)。用户设备被定向到902代理安全性。例如,正如在图5和/或图8中的方法,这是通过服务提供商节点向用户设备发送将用户设备定向到云管理节点的消息来实现的。云管理节点将用户设备定向到私有管理系统(在图9中被称为“自身的公司安全”)。过程906发生,其使得用户能够登录910到公司内部的安全区域(或私有管理系统)。如果私有管理系统能够认证通过,则允许912、916用户访问外部资源918和内部资源914二者。用户能够访问多个内部应用908以及外部应用。
使用图9的过程,单个用户仅仅具有私有管理系统处的一个账户。不需要在每一个内部或外部资源处具有单独的账户。同样,不需要在公共云中复制或存在账户安全信息。同样,如果用户离开则只有一个账户需要被禁用。
图10是(例如,通过将用户(或订阅)添加到云服务)供应云服务的方法的流程图。可能存在新用户或用于添加1000用户到一个或多个云服务的需要。管理员登录1002到代理门户,例如,图1的云管理节点102的门户106。如果登录成功,则管理员被允许1004,并且添加1006该用户到所有选定的资源或应用1008。管理员还利用供应信息更新私有管理系统。当存在新用户或用于添加用户到一个或多个应用的需要时,管理员登录1012到私有管理系统。如果登录成功,则管理员1014被允许为新用户创建账户1016或更新现有的账户。
以这种方式,企业或其他组织的管理员只需要在一个地方使用代理门户来将用户添加到应用。云管理系统相应地横跨多个云服务来对用户进行供应。
图11是使得资源(由服务提供商节点提供的)能够访问另一资源(由不同的服务提供商节点提供的)的方法的流程图。用户访问1100资源A。资源A可选择地使用它自己的授权过程来检查1102该用户被授权。资源A利用云管理节点来检查关于资源A的用户许可。例如,云管理节点从私有管理系统获取令牌,正如上述描述的。如果检查成功,则资源A准许1106用户访问。用户现在提出请求1108来使用资源B。也就是说,用户在资源A处进行操作,该操作使得资源A处的应用将请求发送1110到资源B。例如为了获取一些数据或出于其他原因。资源B利用云管理系统来检查1112关于用户的许可,并且可选择地检查它自己的记录。如果检查成功,则资源B将访问的结果发送1114给资源A。例如,它发送数据给资源A。用户然后在资源A处接收1116所述结果。
图12示出了示例性的基于计算的设备1200的各种部件,基于计算的设备1200可以被实现为任何形式的计算和/或电子设备,并且用于云服务的安全管理的实体的实施例可以实现在其中。
基于计算的设备1200包括一个或多个输入端1206,所述一个或多个输入端1206是用于接收媒体内容、互联网协议(IP)输入、来自私有云中的实体的输入或其他输入的任何合适的类型。设备还包括能够使设备能够与通信网络中的其他实体进行通信的通信接口1208。例如,服务提供商节点、用户设备、私有管理系统、云管理节点或其他实体。
基于计算的设备1200还包括一个或多个处理器1202,所述一个或多个处理器1202可以是微处理器、控制器或任何其他合适的类型的处理器,用于处理计算机可执行指令来控制设备的操作,以便管理对服务提供商节点的供应和/或访问。在一些示例中,例如,在使用片上系统架构的情况中,处理器1202可以包括一个或多个固定的功能块(也被称为加速器),所述一个或多个固定的功能块用硬件(而不是软件或固件)实现本文描述的任何方法的一部分。可以在基于计算的设备处提供平台软件(包括操作系统1212或任何其他合适的平台软件),用于使应用软件1214能够在设备上被执行。在基于计算的设备是云管理节点的情况中,它可以包括标识引擎1216和代理引擎1218。它可以包括保存追踪的数据、规则和标准或其他信息的数据存储装置1220。
可以使用可由基于计算的设备1200访问的任何计算机可读介质来提供计算机可执行指令。计算机可读介质可以包括例如诸如存储器1210之类的计算机存储介质和通信介质。计算机存储介质(例如,存储器1210)包括以任何方法或技术实现的用于信息(例如计算机可读指令、数据结构、程序模块或其他数据)的存储的易失性和非易失性、可移除和非可移除介质。计算机存储介质包括但不限于:RAM、ROM、EPROM、EEPROM、闪存或其他存储技术、CD-ROM、数字多用途盘(DVD)或其他光存储器、磁带盒、磁带、磁盘存储器或其他磁性存储设备或能够被用于存储由计算设备进行访问的信息的任何其他非传输介质。相反,通信介质可以在调制的数据信号(例如,载波)或其他传输机制中包含计算机可读指令、数据结构、程序模块或其他数据。正如本文所限定的,计算机存储介质不包括通信介质。因此,计算机存储介质本质上不应该被解释为传播信号。尽管计算机存储介质(存储器1210)在基于计算的设备1200中被示出,但是应当意识到的是,存储可以远程地分布或放置,并且经由网络或其他通信链路(例如,使用通信接口1208)来进行访问。
输出接口1204(例如音频和/或视频输出)也被提供给与基于计算的设备集成的或与基于计算的设备进行通信的显示系统。该显示系统可以提供图形用户界面或任何合适的类型的其他用户界面,虽然这不是必要的。
本文使用的术语“计算机”或“基于计算的设备”是指具有处理能力使得它能够执行指令的任何设备。本领域的技术人员将意识到,这样的处理能力被并入到许多不同的设备中,并且因此术语“计算机”和“基于计算的设备”中的每一个包括PC、服务器、移动电话(包括智能电话)、平板电脑、机顶盒、媒体播放器、游戏控制台、个人数字助理和许多其他设备。
本文描述的方法可以由有形存储介质上的机器可读形式的软件来执行,例如以计算机程序的形式,所述计算机程序包括当程序运行于计算机上时适合于执行本文描述的任何方法的所有步骤的计算机程序代码模块,并且其中计算机程序可以体现在计算机可读介质上。有形(或非暂时性的)存储介质的示例包括计算机存储设备(包含计算机可读介质,例如盘、拇指驱动器、存储器等),并且不包括传播信号。软件可以适合于在并行处理器或串行处理器上执行,使得方法的步骤可以以任何合适的顺序或同时来执行。
这申请承认软件可以是有价值的、可单独地交易的商品。旨在包括运行于“哑”或标准硬件上的或对其进行控制的软件,用以执行期望的功能。还旨在包含“描述”或限定硬件的配置的软件(例如HDL(硬件描述语言)软件),被用于设计硅芯片或用于配置通用的可编程芯片,以执行期望的功能。
本领域的技术人员将意识到,被利用来存储程序指令的存储设备可以分布在网络上。例如,远程计算机可以存储被描述为软件的过程的示例。本地或终端计算机可以访问远程计算机,并且下载软件的一部分或全部,以运行程序。作为选择,本地计算机可以按需要下载软件片段,或在本地终端处来执行一些软件指令,而在远程计算机(或计算机网络)处来执行一些软件指令。本领域的技术人员还将意识到,通过利用本领域的技术人员公知的常规技术,软件指令的全部或一部分可以由专用电路(例如,DSP、可编程逻辑阵列等)来执行。
在不失去所寻求的效果的情况下,本文给出的任何范围或设备值可以进行扩展或改变,这对于技术人员将是显而易见的。
尽管以特定于结构特征和/或方法行为的语言描述了主题,但是应当理解的是,所附的权利要求中限定的主题并不一定限于上面描述的具体的特征或行为。相反,上面描述的具体的特征和行为被公开作为实现权利要求的示例性形式。
应当理解的是,上面描述的益处和优势可以与一个实施例相关,或可以与多个实施例相关。所述实施例不限于那些解决了任何或所有所陈述的问题的实施例或那些具有任何或所有所陈述的益处和优势的实施例。应当进一步理解的是,提及“一”项目是指那些项目中的一个或多个。
本文描述的方法的步骤在适当时可以以任何合适的顺序或同时执行。此外,可以从任意方法中删除单个块,而不偏离本文描述的主题的精神和范围。上面描述的任何示例中的各个方面都可以结合描述的任何其他示例中的各个方面来形成进一步的示例,而不失去所寻求的效果。
本文使用的术语“包含”表示包括所标识的方法块或元素,但是这样的块或元素并不包含排他性清单,并且方法或装置可以包含额外的块或元素。
应当理解的是,仅仅是通过示例的方式给出上面的描述,并且本领域的技术人员可以做出各种修改。上述说明书、示例和数据提供了对结构和示例性的实施例的使用的完整描述。虽然上面已经以某种具体程度或参考一个或多个单独实施例描述了各种实施例,但是本领域的技术人员可以对所公开的实施例做出各种改变,而不偏离本说明书的精神和范围。
Claims (14)
1.一种通信网络的公共域中的至少一个管理节点(102)处的计算机实现的方法,包括:
接收与用户相关联的针对一资源的请求消息,所述资源是由所述通信网络的公共域中的至少一个服务提供商节点(113)提供的;
使用所述通信网络的私有云中的私有管理系统处的与所述用户相关联的信息来对所述请求消息进行授权;
如果检查成功,则使能对所述服务提供商节点的访问;
向所述服务提供商节点(113)发送一消息,该消息用于将所述请求消息在所述管理节点(102)处可用通知给所述服务提供商节点(113);以及允许所述服务提供商节点(113)从所述管理节点(102)收集所述请求消息。
2.如权利要求1所述的方法,其中,对所述请求消息进行授权包括:从所述私有管理系统接收令牌,所述令牌指定所述用户对所述资源的访问。
3.如权利要求1或权利要求2所述的方法,其中,所述请求消息是作为从所述服务提供商节点进行重定向的结果而被接收的。
4.如权利要求1或权利要求2中的任意一项所述的方法,其中,所述请求消息是从服务提供商节点(113)接收的。
5.如权利要求1所述的方法,其中,对所述请求消息进行授权是作为所述用户登录到所述管理节点(102)的门户上的结果而被完成的。
6.如权利要求1、5中的任意一项所述的方法,包括:识别与所述服务提供商节点(113)相关联的公钥,并且使用所识别的公钥来对所述请求消息进行加密。
7.如权利要求1以及5中的任意一项所述的方法,包括:接收包括对资源的需求的所述请求消息;以及至少基于所述需求以及关于与所述服务提供商节点(113)相关联的资源的信息,来选择多个服务提供商节点(113)中的一个。
8.如权利要求1以及5中的任意一项所述的方法,包括:根据所述服务提供商节点(113)的通信协议来对所述请求消息进行格式化。
9.如权利要求1以及5中的任意一项所述的方法,包括:将所述请求消息放置于多个队列中的一个中,每一个队列与特定的服务提供商和/或资源相关联。
10.如权利要求1以及5中的任意一项所述的方法,包括:从所述服务提供商节点(113)接收关于所述请求消息所触发的操作的反馈,并向所述用户发送关于所述反馈的信息。
11.如权利要求1所述的方法,包括:存储包括所述服务提供商节点(113)所收集的消息的详细信息的数据。
12.如权利要求9所述的方法,包括:针对每一个队列存储数据,使得数据按照服务提供商和/或资源被获得。
13.如权利要求1所述的方法,包括:从请求使用与另一不同的服务提供商节点(113)相关联的另一资源的服务提供商节点(113)接收所述请求消息。
14.一种通信网络的公共域中的管理节点(102),包括:
输入端,其被布置为接收与用户相关联的针对一资源的请求消息,所述资源是由所述通信网络的公共域中的至少一个服务提供商节点(113)提供的;
处理器,其被布置为使用所述通信网络的私有云中的私有管理系统处的与所述用户相关联的信息来对所述请求消息进行授权;
所述处理器被布置为如果检查成功,则使能对所述服务提供商节点(113)的访问;以及
输出端,其被布置为向所述服务提供商节点(113)发送一消息,该消息用于将所述请求消息在所述管理节点(102)处可用通知给所述服务提供商节点(113);并且所述处理器被配置为允许所述服务提供商节点(113)从所述管理节点(102)收集所述请求消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1200703.5 | 2012-01-17 | ||
| GB1200703.5A GB2498708B (en) | 2012-01-17 | 2012-01-17 | Security management for cloud services |
| PCT/GB2013/050073 WO2013108018A1 (en) | 2012-01-17 | 2013-01-15 | Security management for cloud services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104054321A CN104054321A (zh) | 2014-09-17 |
| CN104054321B true CN104054321B (zh) | 2017-07-14 |
Family
ID=45814086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380005823.7A Expired - Fee Related CN104054321B (zh) | 2012-01-17 | 2013-01-15 | 针对云服务的安全管理 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9319411B2 (zh) |
| EP (1) | EP2805473B1 (zh) |
| CN (1) | CN104054321B (zh) |
| DK (1) | DK2805473T3 (zh) |
| GB (1) | GB2498708B (zh) |
| NO (1) | NO2805473T3 (zh) |
| WO (1) | WO2013108018A1 (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2519966A (en) * | 2013-11-01 | 2015-05-13 | Ibm | Anonymously sharing resources based on social network user data |
| US10395024B2 (en) | 2014-03-04 | 2019-08-27 | Adobe Inc. | Authentication for online content using an access token |
| US9791485B2 (en) | 2014-03-10 | 2017-10-17 | Silver Spring Networks, Inc. | Determining electric grid topology via a zero crossing technique |
| CN104954330B (zh) * | 2014-03-27 | 2018-03-16 | 华为软件技术有限公司 | 一种对数据资源进行访问的方法、装置和系统 |
| US9438580B2 (en) * | 2014-04-08 | 2016-09-06 | Aric Sean Kupper | Authenticating access to confidential information by unregistered requestor |
| CN111031033B (zh) | 2014-06-13 | 2022-08-16 | 柏思科技有限公司 | 用于管理节点的方法和系统 |
| US20160012251A1 (en) * | 2014-07-10 | 2016-01-14 | Anil Singh | Distribution, tracking, management, reporting and deployment of cloud resources within an enterprise |
| US9654507B2 (en) | 2014-07-31 | 2017-05-16 | Zscaler, Inc. | Cloud application control using man-in-the-middle identity brokerage |
| US9654518B2 (en) * | 2014-12-05 | 2017-05-16 | Cisco Technology, Inc. | Stack fusion software communication service |
| US10027637B2 (en) * | 2015-03-12 | 2018-07-17 | Vormetric, Inc. | Secure and control data migrating between enterprise and cloud services |
| US9977415B2 (en) * | 2015-07-03 | 2018-05-22 | Afero, Inc. | System and method for virtual internet of things (IOT) devices and hubs |
| US9667657B2 (en) * | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
| CN116527397A (zh) * | 2016-06-16 | 2023-08-01 | 谷歌有限责任公司 | 云计算节点的安全配置 |
| US10484460B2 (en) * | 2016-07-22 | 2019-11-19 | Microsoft Technology Licensing, Llc | Access services in hybrid cloud computing systems |
| US10404779B2 (en) * | 2016-07-26 | 2019-09-03 | Schneider Electric It Corporation | Cloud assisted management of devices |
| US10387670B2 (en) | 2016-09-21 | 2019-08-20 | International Business Machines Corporation | Handling sensitive data in an application using external processing |
| US10171431B2 (en) | 2016-09-21 | 2019-01-01 | International Business Machines Corporation | Secure message handling of an application across deployment locations |
| US11334604B2 (en) * | 2019-09-12 | 2022-05-17 | Snowflake Inc. | Private data exchange |
| CN111666584B (zh) * | 2020-04-16 | 2022-07-26 | 福建省万物智联科技有限公司 | 一种私有云盘的部署方法及系统 |
| WO2022005914A1 (en) * | 2020-06-29 | 2022-01-06 | Illumina, Inc. | Temporary cloud provider credentials via secure discovery framework |
| WO2022005912A1 (en) | 2020-06-29 | 2022-01-06 | Illumina, Inc. | Policy-based genomic data sharing for software-as-a-service tenants |
| US20230050222A1 (en) * | 2020-10-27 | 2023-02-16 | Google Llc | Cryptographically secure request verification |
| WO2022093199A1 (en) * | 2020-10-27 | 2022-05-05 | Google Llc | Cryptographically secure data protection |
| CN113014847B (zh) * | 2021-01-27 | 2023-06-06 | 广州佰锐网络科技有限公司 | 一种基于混合云架构实现音视频通信的方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255933A (zh) * | 2010-05-20 | 2011-11-23 | 中兴通讯股份有限公司 | 云服务中介、云计算方法及云系统 |
| CN102263825A (zh) * | 2011-08-08 | 2011-11-30 | 浪潮电子信息产业股份有限公司 | 一种基于云位置的混合云存储系统数据传输方法 |
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| WO2003046748A1 (en) * | 2001-11-28 | 2003-06-05 | Visionshare, Inc. | Directory-based secure network communities using bridging services |
| CN1870636A (zh) | 2005-11-10 | 2006-11-29 | 华为技术有限公司 | 一种客户端重定向的方法和系统 |
| US8429716B2 (en) * | 2009-11-05 | 2013-04-23 | Novell, Inc. | System and method for transparent access and management of user accessible cloud assets |
| US20130117337A1 (en) * | 2009-12-23 | 2013-05-09 | Gary M. Dunham | Locally Connected Cloud Storage Device |
| US9432373B2 (en) * | 2010-04-23 | 2016-08-30 | Apple Inc. | One step security system in a network storage system |
| US20120179904A1 (en) * | 2011-01-11 | 2012-07-12 | Safenet, Inc. | Remote Pre-Boot Authentication |
| US8789157B2 (en) * | 2011-09-06 | 2014-07-22 | Ebay Inc. | Hybrid cloud identity mapping infrastructure |
| US9203807B2 (en) * | 2011-09-09 | 2015-12-01 | Kingston Digital, Inc. | Private cloud server and client architecture without utilizing a routing server |
-
2012
- 2012-01-17 GB GB1200703.5A patent/GB2498708B/en not_active Expired - Fee Related
-
2013
- 2013-01-15 NO NO13700945A patent/NO2805473T3/no unknown
- 2013-01-15 WO PCT/GB2013/050073 patent/WO2013108018A1/en active Application Filing
- 2013-01-15 DK DK13700945.2T patent/DK2805473T3/en active
- 2013-01-15 CN CN201380005823.7A patent/CN104054321B/zh not_active Expired - Fee Related
- 2013-01-15 EP EP13700945.2A patent/EP2805473B1/en not_active Not-in-force
- 2013-01-15 US US14/333,405 patent/US9319411B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255933A (zh) * | 2010-05-20 | 2011-11-23 | 中兴通讯股份有限公司 | 云服务中介、云计算方法及云系统 |
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
| CN102263825A (zh) * | 2011-08-08 | 2011-11-30 | 浪潮电子信息产业股份有限公司 | 一种基于云位置的混合云存储系统数据传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104054321A (zh) | 2014-09-17 |
| DK2805473T3 (en) | 2018-05-07 |
| WO2013108018A1 (en) | 2013-07-25 |
| US20150106881A1 (en) | 2015-04-16 |
| US9319411B2 (en) | 2016-04-19 |
| EP2805473A1 (en) | 2014-11-26 |
| NO2805473T3 (zh) | 2018-08-04 |
| GB201200703D0 (en) | 2012-02-29 |
| EP2805473B1 (en) | 2018-03-07 |
| GB2498708B (en) | 2020-02-12 |
| GB2498708A (en) | 2013-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104054321B (zh) | 针对云服务的安全管理 | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| US11470086B2 (en) | Systems and methods for organizing devices in a policy hierarchy | |
| JP6556706B2 (ja) | 暗号化鍵の管理、連携、および、配布のためのシステムと方法 | |
| KR101883146B1 (ko) | 서비스로서 디바이스들을 제공하는 방법 | |
| US10425465B1 (en) | Hybrid cloud API management | |
| KR20190136011A (ko) | 코어 네트워크 액세스 제공자 | |
| CN107005582A (zh) | 使用存储在不同目录中的凭证来访问公共端点 | |
| CN108011862A (zh) | 镜像仓库授权、访问、管理方法及服务器和客户端 | |
| CN104718526A (zh) | 安全移动框架 | |
| CN105556894A (zh) | 网络连接自动化 | |
| EP2354996B1 (en) | Apparatus and method for remote processing while securing classified data | |
| CN108027799A (zh) | 用于在未受管理的并且未受防护的设备上的资源访问和安置的安全容器平台 | |
| CN108123930A (zh) | 访问计算机网络中的主机 | |
| US20190139133A1 (en) | System for periodically updating backings for resource requests | |
| CN112532599A (zh) | 一种动态鉴权方法、装置、电子设备和存储介质 | |
| CN106301791B (zh) | 一种基于大数据平台的统一用户认证授权的实现方法及系统 | |
| Brooks et al. | Conceptualizing a secure wireless cloud | |
| US20160171613A1 (en) | Backing management | |
| CN116569538A (zh) | 经由中央网络网格的服务到服务通信和认证 | |
| Trias et al. | Enterprise level security | |
| CN110233816A (zh) | 一种工业数据资产授权管理方法及设备 | |
| Sandqvist | Tenant Separation on a multi-tenant microservice platform Thesis for the degree of Master of Science in electrical engineering | |
| SANDQVIST | Tenant Separation on a multi-tenant microservice platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: surrey Patentee after: PROXIMITUM LTD. Address before: Buckinghamshire Patentee before: PROXIMITUM LTD. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180105 Address after: Kent County Patentee after: Quanyun connection Co.,Ltd. Address before: surrey Patentee before: PROXIMITUM LTD. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170714 |