專利名稱:多承租人訂閱環(huán)境中的安全機(jī)器登記的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及登記多承租人環(huán)境中的機(jī)器的技術(shù)。
背景技術(shù):
許多因特網(wǎng)服務(wù)嘗試防止未經(jīng)授權(quán)的用戶訪問該服務(wù)所提供的資源。例如,服務(wù)可以向經(jīng)授權(quán)的用戶發(fā)放訪問該服務(wù)處的內(nèi)容的鏈接。服務(wù)還可以要求用戶提供訪問由該服務(wù)提供的資源的認(rèn)證憑證。然而,獲得對該鏈接的訪問權(quán)或獲得對用戶的認(rèn)證憑證的訪問權(quán)的任何人都可以訪問這些資源
發(fā)明內(nèi)容
提供本概述以便以簡化形式介紹將在以下具體實(shí)施方式
中進(jìn)一步描述的一些概念。本發(fā)明內(nèi)容并非旨在標(biāo)識所要求保護(hù)的主題的關(guān)鍵特征或必要特征,也不旨在用于幫助確定所要求保護(hù)的主題的范圍。在多承租人環(huán)境中,對承租人的訂閱安全地登記因特網(wǎng)上屬于特定訂閱的機(jī)器。將對這些機(jī)器的認(rèn)證委托給擁有內(nèi)部部署認(rèn)證機(jī)制(例如,公鑰基礎(chǔ)結(jié)構(gòu)“PKI”、安全令牌服務(wù)“STS'KerbeiOs···)的每一個(gè)承租人。與承租人的認(rèn)證服務(wù)的信任關(guān)系(PKI根證書/發(fā)放者、證書信任)用于確認(rèn)由嘗試被認(rèn)證的機(jī)器所呈現(xiàn)的令牌。一旦被認(rèn)證,機(jī)器就具有訪問該訂閱的授權(quán)(例如,SSL機(jī)器身份證書、令牌……)。多承租人環(huán)境中的每一承租人可以提供其自己的認(rèn)證級別。信任關(guān)系(例如,公鑰基礎(chǔ)結(jié)構(gòu)“PKI”、安全令牌服務(wù)“STS”……)被建立在這些承租人中的每一個(gè)和多承租人環(huán)境之間。機(jī)器為請求資源(例如,服務(wù)/內(nèi)容)將令牌呈現(xiàn)給多承租人環(huán)境。當(dāng)接收到來自機(jī)器的訪問資源的請求時(shí),多承租人環(huán)境根據(jù)所發(fā)放的令牌來確定是否授權(quán)該機(jī)器來訪問所請求的資源。
圖I示出了示例性計(jì)算設(shè)備;圖2示出了用于向多承租人環(huán)境安全地登記各機(jī)器的示例性系統(tǒng);圖3示出了用于認(rèn)證請求來自多承租人環(huán)境的資源的機(jī)器的過程;以及圖4示出了承租人為多承租人環(huán)境認(rèn)證機(jī)器的過程。
具體實(shí)施例方式現(xiàn)在參考其中相同的標(biāo)號代表相同的元素的附圖,描述各實(shí)施例。具體地,圖I和相應(yīng)的討論旨在提供對在其中可實(shí)現(xiàn)各實(shí)施例的合適計(jì)算環(huán)境的簡要、概括描述。一般而言,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程、程序、組件、數(shù)據(jù)結(jié)構(gòu)和其他類型的結(jié)構(gòu)。也可使用其它計(jì)算機(jī)系統(tǒng)配置,包括手持式設(shè)備、多處理器系統(tǒng)、基于微處理器或可編程消費(fèi)電子產(chǎn)品、小型計(jì)算機(jī)、大型計(jì)算機(jī)等等。還可使用在其中任務(wù)由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行的分布式計(jì)算環(huán)境。在分布式計(jì)算環(huán)境中,程序模塊可位于本地和遠(yuǎn)程存儲器存儲設(shè)備兩者中。
現(xiàn)在參考圖1,將描述在各實(shí)施例中利用的計(jì)算機(jī)100的說明性計(jì)算機(jī)架構(gòu)。圖I 所示的計(jì)算機(jī)架構(gòu)可被配置為服務(wù)器計(jì)算設(shè)備、臺式計(jì)算設(shè)備、移動計(jì)算設(shè)備(例如智能電話、筆記本、平板……)并且包括中央處理單元5 (“CPU”)、包括隨機(jī)存取存儲器9 (“RAM”) 和只讀存儲器(“ROM”)10的系統(tǒng)存儲器7、以及將存儲器耦合至中央處理單元(“CPU”)5的系統(tǒng)總線12。
基本輸入/輸出系統(tǒng)存儲在ROM 10中,所述基本輸入/輸出系統(tǒng)包含幫助在諸如啟動期間在計(jì)算機(jī)內(nèi)元件之間傳遞信息的基本例程。計(jì)算機(jī)100還包括用于存儲操作系統(tǒng) 16、應(yīng)用24、以及其它程序模塊的大容量存儲設(shè)備14,其他程序模塊為例如Web瀏覽器應(yīng)用 25、文件27 (例如,文件、圖像、其他內(nèi)容)以及認(rèn)證管理器26,這將在以下更為詳盡地描述。
大容量存儲設(shè)備14通過連接至總線12的大容量存儲控制器(未示出)連接到CPU 5。大容量存儲設(shè)備14及其相關(guān)聯(lián)的計(jì)算機(jī)可讀介質(zhì)為計(jì)算機(jī)100提供非易失性存儲。雖然此處包含的對計(jì)算機(jī)可讀介質(zhì)的描述涉及諸如硬盤或CD-ROM驅(qū)動器等大容量存儲設(shè)備,但是計(jì)算機(jī)可讀介質(zhì)可以是能夠由計(jì)算機(jī)100訪問的任何可用介質(zhì)。
作為示例而非限制,計(jì)算機(jī)可讀介質(zhì)可包括計(jì)算機(jī)存儲介質(zhì)和通信介質(zhì)。計(jì)算機(jī)存儲介質(zhì)包括以存儲如計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其他數(shù)據(jù)等信息的任何方法或技術(shù)來實(shí)現(xiàn)的易失性和非易失性、可移動和不可移動介質(zhì)。計(jì)算機(jī)存儲介質(zhì)還包括,但不限于,RAM、ROM、可擦除可編程只讀存儲器(“EPROM”)、電可擦可編程只讀存儲器 (“EEPR0M”)、閃存或其它固態(tài)存儲器技術(shù)、⑶-ROM、數(shù)字多功能盤(“DVD”)或其它光存儲、磁帶盒、磁帶、磁盤存儲或其它磁性存儲設(shè)備、或能用于存儲所需信息且可以由計(jì)算機(jī)100訪問的任何其它介質(zhì)。
根據(jù)各實(shí)施例,計(jì)算機(jī)100可以使用通過諸如因特網(wǎng)的網(wǎng)絡(luò)18至遠(yuǎn)程計(jì)算機(jī)的邏輯連接在聯(lián)網(wǎng)環(huán)境中操作。計(jì)算機(jī)100可以通過連接至總線12的網(wǎng)絡(luò)接口單元20來連接到網(wǎng)絡(luò)18。網(wǎng)絡(luò)連接可以是無線的和/或有線的。網(wǎng)絡(luò)接口單元20也可用于連接到其它類型的網(wǎng)絡(luò)和遠(yuǎn)程計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)100也可包括輸入/輸出控制器22,用于接收和處理來自諸如觸摸輸入設(shè)備的多個(gè)其他設(shè)備的輸入。觸摸輸入設(shè)備可利用允許識別單次/多次觸摸輸入(觸摸/非觸摸)的任何技術(shù)。例如,技術(shù)可包括但不限于熱量、手指壓力、高俘獲率照相機(jī)、紅外光、光學(xué)捕捉、調(diào)諧的電磁感應(yīng)、超聲波接收器、傳感麥克風(fēng)、激光測距儀、 陰影捕捉等。根據(jù)一個(gè)實(shí)施例,觸摸輸入設(shè)備可以被配置為檢測接近觸摸(即在離觸摸輸入設(shè)備的某個(gè)距離內(nèi),但是與所述觸摸輸入設(shè)備沒有物理上接觸)。觸摸輸入設(shè)備也可以作為顯示器28。輸入/輸出控制器22也向一個(gè)或多個(gè)顯示屏、打印機(jī)或其他類型的輸出設(shè)備提供輸出。
相機(jī)和/或某種其他傳感設(shè)備可操作來記錄一個(gè)或多個(gè)用戶以及捕捉計(jì)算設(shè)備的用戶作出的運(yùn)動和/或姿勢。傳感設(shè)備還可操作來捕捉諸如通過話筒口述的單詞和/或捕捉來自用戶的諸如通過鍵盤和/或鼠標(biāo)(未描繪)的其他輸入。傳感設(shè)備可包括能夠檢測用戶的移動的任何運(yùn)動檢測設(shè)備。例如,相機(jī)可以包括微軟K1NECT 運(yùn)動捕捉設(shè)備,它包括多個(gè)相機(jī)和多個(gè)話筒。
可以通過片上系統(tǒng)(S0C)來實(shí)踐本發(fā)明的各實(shí)施例,其中,可以將附圖中示出的每個(gè)或許多組件/處理集成到單個(gè)集成電路上。這樣的SOC設(shè)備可包括一個(gè)或多個(gè)處理單元、圖形單元、通信單元、系統(tǒng)虛擬化單元以及各種應(yīng)用功能,所有這些都被集成到(或“燒錄到”)芯片基板上作為單個(gè)集成電路。當(dāng)通過SOC操作時(shí),在此所述的關(guān)于統(tǒng)一通信的所有或部分功能可以通過在單個(gè)集成電路(芯片)上集成有計(jì)算設(shè)備/系統(tǒng)100的其它組件的專用邏輯來操作。
如前簡述的一樣,多個(gè)程序模塊和數(shù)據(jù)文件可以存儲在計(jì)算機(jī)100的大容量存儲設(shè)備14和RAM 9內(nèi),包括適于控制聯(lián)網(wǎng)的個(gè)人計(jì)算機(jī)的操作的操作系統(tǒng)16,如來自華盛頓州雷蒙德市的微軟公司的WINDOWS SERVER ,WINDOWS 7 操作系統(tǒng)。
大容量存儲設(shè)備14和RAM 9還可以存儲一個(gè)或多個(gè)程序模塊。具體地,大容量存儲設(shè)備14和RAM 9可以存儲諸如生產(chǎn)性應(yīng)用之類的一個(gè)或多個(gè)應(yīng)用24,并且可以存儲一個(gè)或多個(gè)Web瀏覽器25。Web瀏覽器25用于請求、接收、呈現(xiàn)諸如網(wǎng)頁之類的電子文檔以及提供與這些電子文檔的交互。根據(jù)一實(shí)施例,Web瀏覽器包括來自微軟公司的INTERNET EXPLORER Web瀏覽器應(yīng)用程序。來自其它制造商的其它Web瀏覽器應(yīng)用程序可用于實(shí)現(xiàn)本發(fā)明的各個(gè)方面,例如來自MOZILLA FOUNDATION的FIREF0X Web瀏覽器應(yīng)用。
認(rèn)證管理器26被配置成執(zhí)行用于向多承租人環(huán)境19安全地登記承租人的機(jī)器的認(rèn)證操作。認(rèn)證管理器26是向不同的承租人提供資源(例如,服務(wù)、數(shù)據(jù)……)的多承租人環(huán)境的一部分。將對機(jī)器的認(rèn)證委托給擁有內(nèi)部部署認(rèn)證機(jī)制(例如,公鑰基礎(chǔ)結(jié)構(gòu)“PKI”、 安全令牌服務(wù)“STS'KerbeiOs···)的每一個(gè)承租人。與承租人的認(rèn)證服務(wù)的信任關(guān)系(PKI 根證書/發(fā)放者、證書信任)用于確認(rèn)由嘗試被認(rèn)證的機(jī)器所呈現(xiàn)的安全令牌。一旦被認(rèn)證,機(jī)器即具有訪問訂閱的認(rèn)證(例如,SSL機(jī)器身份證書、令牌……)。多承租人環(huán)境中的每一承租人可以提供其自己的認(rèn)證級別。信任關(guān)系(例如,公鑰基礎(chǔ)結(jié)構(gòu)“PKI”、安全令牌服務(wù)“STS”……)被建立在這些承租人中的每一個(gè)和多承租人環(huán)境之間。該機(jī)器為請求資源 (例如,服務(wù)/內(nèi)容)將安全令牌呈現(xiàn)給多承租人環(huán)境。當(dāng)從機(jī)器處接收到訪問資源的請求時(shí),多承租人環(huán)境根據(jù)所發(fā)放的令牌來確定該機(jī)器是否被授權(quán)訪問所請求的資源。如下將提供關(guān)于認(rèn)證管理器26的操作的額外細(xì)節(jié)。
圖2示出了用于在多承租人環(huán)境中安全地登記各機(jī)器的示例性系統(tǒng)。如圖所示, 系統(tǒng)200包括多承租人環(huán)境210、承租人I (220)、承租人2 (230)、承租人N (240)、網(wǎng)絡(luò) 201以及機(jī)器1-4。
多承租人環(huán)境210向任何數(shù)量的承租人(例如,承租人I — N)提供資源215。根據(jù)一實(shí)施例,多承租人環(huán)境210是基于云的服務(wù),該基于云的服務(wù)向訂閱該服務(wù)的各承租人提供資源并單獨(dú)地維護(hù)每個(gè)承租人的數(shù)據(jù)且保護(hù)其不受其他承租人數(shù)據(jù)的影響。
認(rèn)證管理器26被配置成響應(yīng)于來自機(jī)器的請求,確定何時(shí)提供資源。響應(yīng)于從機(jī)器(例如,機(jī)器1、2、3或4)接收對資源(例如,數(shù)據(jù)和/或服務(wù))的請求,認(rèn)證管理器26確定承租人何時(shí)對該機(jī)器授權(quán)。
從多承租人環(huán)境210將對承租人的機(jī)器的認(rèn)證委托給使用該服務(wù)的每一承租人 (例如,承租人I 一 N)。每一承租人可以選擇其自己的認(rèn)證規(guī)則和協(xié)議。例如,承租人I可使用承租人認(rèn)證222,承租人認(rèn)證222不同于承租人2的承租人認(rèn)證232,承租人認(rèn)證232 不同于承租人N的承租人認(rèn)證242。一些承租人可要求機(jī)器被認(rèn)證一次,而其他承租人可要求對機(jī)器的更為頻繁的認(rèn)證(例如,每天、每星期、每月、每年……)。一些承租人可以使用公鑰基礎(chǔ)結(jié)構(gòu)“PKI ”認(rèn)證,一些承租人可以使用安全令牌服務(wù)“STS”協(xié)議,一些承租人可使用Kerberos認(rèn)證,一些承租人可使用手動批準(zhǔn),一些承租人可使用認(rèn)證協(xié)議的組合等。多承租人環(huán)境210使用承租人認(rèn)證偏好來建立與每一個(gè)承租人的信任關(guān)系。認(rèn)證管理器26可被配置成接受來自多個(gè)不同證書發(fā)放者的證書和/或不同類型的證書/令牌。
響應(yīng)于從機(jī)器接收對資源的請求,認(rèn)證管理器26確定與該請求相關(guān)聯(lián)的承租人, 并基于由該承租人所指定的認(rèn)證規(guī)則來確定何時(shí)認(rèn)證該機(jī)器。當(dāng)該機(jī)器將被認(rèn)證時(shí),向承租人作出嘗試認(rèn)證該機(jī)器的請求。當(dāng)承租人使用其認(rèn)證過程來認(rèn)證該機(jī)器時(shí),承租人使用令牌來訪問訂閱。令牌可以是證書、安全令牌、或標(biāo)識機(jī)器正被客戶機(jī)認(rèn)證的某一其他認(rèn)證憑證。在所示的示例中,機(jī)器I已經(jīng)被發(fā)放了來自承租人I的令牌1,機(jī)器2已經(jīng)被發(fā)放了來自承租人I的令牌2,機(jī)器3已經(jīng)被發(fā)放了來自承租人2的令牌3,且機(jī)器4尚未被發(fā)放令牌。例如,機(jī)器4的用戶可能已經(jīng)訪問了認(rèn)證憑證來訪問多承租人環(huán)境,但他們用來訪問多承租人環(huán)境210的機(jī)器未得到具有對該多承租人環(huán)境210的訂閱的承租人的授權(quán)。
當(dāng)承租人I的機(jī)器I如圖所示聯(lián)系多承租人環(huán)境210時(shí),機(jī)器I向認(rèn)證管理器26 呈現(xiàn)承租人I的STS或PKI所發(fā)放的令牌I。多承租人環(huán)境210使用認(rèn)證管理器26來驗(yàn)證機(jī)器I的身份,因?yàn)檎J(rèn)證管理器26已經(jīng)與承租人I的STS或PKI證書機(jī)構(gòu)(CA)建立了信任關(guān)系,并且認(rèn)證管理器26授權(quán)機(jī)器I訪問承租人I的訂閱中的資源。
圖3-4示出了用于安全地登記或認(rèn)證多承租人環(huán)境中的機(jī)器的說明性過程。當(dāng)閱讀對在此提供的例程的討論時(shí),應(yīng)當(dāng)理解,各實(shí)施例的邏輯操作被實(shí)現(xiàn)為(I)運(yùn)行于計(jì)算系統(tǒng)上的一系列計(jì)算機(jī)實(shí)現(xiàn)的動作或程序模塊,和/或(2)計(jì)算系統(tǒng)內(nèi)互連的機(jī)器邏輯電路或電路模塊。該實(shí)現(xiàn)是取決于實(shí)現(xiàn)本發(fā)明的計(jì)算系統(tǒng)的性能要求來選擇的。因此,所例示的并且構(gòu)成此處所描述的實(shí)施例的邏輯操作被不同地表示為操作、結(jié)構(gòu)設(shè)備、動作或模塊。 這些操作、結(jié)構(gòu)設(shè)備、動作和模塊可用軟件、固件、專用數(shù)字邏輯,及其任何組合來實(shí)現(xiàn)。
圖3示出了用于對向多租戶環(huán)境請求資源的機(jī)器進(jìn)行認(rèn)證的過程。
在開始操作后,該過程前進(jìn)至操作310,在操作310多承租人環(huán)境與每一承租人建立信任關(guān)系。每一承租人建立其自己的認(rèn)證環(huán)境。例如,一個(gè)承租人可使用現(xiàn)有的公鑰基礎(chǔ)結(jié)構(gòu)(PKI)服務(wù)來向經(jīng)認(rèn)證機(jī)器發(fā)放證書,而另一承租人可以使用安全令牌服務(wù)(SST)來向與該承租人相關(guān)聯(lián)的各經(jīng)認(rèn)證機(jī)器發(fā)放經(jīng)簽署的安全令牌。使用承租人的認(rèn)證協(xié)議來在多承租人環(huán)境和每一承租人之間建立信任關(guān)系。例如,管理員可以通過設(shè)定PKI CA或STS 與多承租人環(huán)境之間的信任關(guān)系來設(shè)定與多承租人環(huán)境的信任關(guān)系。
移動至操作320,多承租人環(huán)境從一機(jī)器接收對資源的請求。
流向判定操作330,在提供對資源的訪問之前作出是否認(rèn)證機(jī)器和/或用戶的判斷??梢曰诔凶馊藖韺Τ凶馊俗鞒稣J(rèn)證機(jī)器的判斷。例如,一個(gè)承租人可以要求對機(jī)器的一次認(rèn)證,而另一承租人可以要求對機(jī)器的更頻繁的認(rèn)證。根據(jù)一實(shí)施例,當(dāng)機(jī)器沒有將令牌包括在其請求中時(shí),該機(jī)器的認(rèn)證失敗。當(dāng)該機(jī)器將被認(rèn)證時(shí),過程流向操作335。當(dāng)該機(jī)器不將被認(rèn)證時(shí),過程流向判定操作340。
在操作335,承租人嘗試認(rèn)證該機(jī)器(參見圖4及相關(guān)聯(lián)的描述)。承租人使用其所選的認(rèn)證過程來執(zhí)行對機(jī)器的認(rèn)證。一旦被認(rèn)證后,機(jī)器使用令牌(例如,證書/令牌)來訪問來自訂閱的資源。
在判定操作340,作出機(jī)器是否得到了承租人的認(rèn)證的判斷。根據(jù)一實(shí)施例,請求中的令牌用于驗(yàn)證機(jī)器是否被承租人授權(quán)來訪問服務(wù)的資源。當(dāng)機(jī)器未被認(rèn)證時(shí),過程移7CN 102930199 A書明說5/5頁動至結(jié)束操作,并且不向進(jìn)行請求的機(jī)器提供資源。當(dāng)承租人認(rèn)證了機(jī)器時(shí),過程流向操作 350。
在操作350,向認(rèn)證機(jī)器提供對所請求的資源的訪問。
隨后該過程移至結(jié)束操作并返回以處理其它動作。
圖4示出了承租人為多承租人環(huán)境認(rèn)證機(jī)器的過程。
在開始操作之后,過程流向操作410,在操作410接收認(rèn)證機(jī)器的請求。承租人從多承租人環(huán)境接收執(zhí)行認(rèn)證過程的請求。由承租人和/或承租人所選的一個(gè)或多個(gè)委托第三方服務(wù)來執(zhí)行認(rèn)證機(jī)器的認(rèn)證過程。每一承租人可執(zhí)行不同的認(rèn)證過程。一些承租人可以使用公鑰基礎(chǔ)結(jié)構(gòu)“PKI ”認(rèn)證,一些承租人可以使用安全令牌服務(wù)“STS”協(xié)議,一些承租人可使用Kerberos認(rèn)證,一些承租人可使用手動批準(zhǔn),一些承租人可使用各認(rèn)證協(xié)議的組入坐 I=I 寸 ο
流向操作420,檢索所建立的與機(jī)器的承租人的信任關(guān)系。例如,獲得承租人所使用的根CA證書。根據(jù)一實(shí)施例,通過與請求被認(rèn)證的機(jī)器的傳輸層安全(TLS)連接從客戶機(jī)處獲得證書發(fā)放者標(biāo)識符。
移動至操作430,嘗試使用檢索到的信任關(guān)系來確認(rèn)機(jī)器所指定的令牌,以確保該令牌是由該承租人發(fā)放給該機(jī)器的。
流向判定操作440,作出該令牌是否有效的判斷。當(dāng)該令牌不是有效的時(shí)候,過程移至結(jié)束操作。當(dāng)該令牌有效時(shí),該過程流向操作450。
轉(zhuǎn)至操作450,獲得與該機(jī)器的訂閱相對應(yīng)的證書授權(quán)機(jī)構(gòu)證書。該證書可以被多承租人環(huán)境存儲和/或從承租人處被獲得。移動至判定操作460,作出該證書是否有效的判斷。當(dāng)該證書不是有效的時(shí)候,過程移至結(jié)束該操作并且認(rèn)證失敗。當(dāng)證書有效時(shí),該過程移至操作470。
在操作470,機(jī)器被認(rèn)證,并可訪問與承租人及令牌相關(guān)聯(lián)的訂閱。
隨后該過程移至結(jié)束操作并返回以處理其它動作。
以上說明、示例和數(shù)據(jù)提供了對本發(fā)明的組成部分的制造和使用的全面描述。因?yàn)榭梢栽诓槐畴x本發(fā)明的精神和范圍的情況下做出本發(fā)明的許多實(shí)施例,所以本發(fā)明落在所附權(quán)利要求的范圍內(nèi)。8
權(quán)利要求
1.一種用于安全地登記多承租人環(huán)境中的機(jī)器的方法,包括 從機(jī)器接收訪問多承租人環(huán)境中的承租人的資源的請求,所述請求包括令牌; 檢索所建立的與所述承租人的信任關(guān)系; 確定何時(shí)所述令牌有效; 使用所述令牌和所述信任關(guān)系來確定所述機(jī)器何時(shí)被所述承租人授權(quán)來訪問所述承租人的所述資源;以及 當(dāng)所述機(jī)器被確定要被所述承租人認(rèn)證時(shí),授權(quán)對所述資源的訪問。
2.如權(quán)利要求I所述的方法,其特征在于,確定何時(shí)所述令牌有效包括確定何時(shí)所述令牌被從所述承租人處發(fā)放至所述機(jī)器處。
3.如權(quán)利要求I所述的方法,其特征在于,還包括請求與所述資源相關(guān)聯(lián)的承租人在確定要認(rèn)證所述機(jī)器時(shí)嘗試認(rèn)證所述機(jī)器,并建立所述多承租人環(huán)境與所述多承租人環(huán)境的每一個(gè)承租人之間的信任關(guān)系。
4.如權(quán)利要求I所述的方法,其特征在于,所述信任關(guān)系使用以下各項(xiàng)中的至少一個(gè)公鑰基礎(chǔ)結(jié)構(gòu)(PKI)和安全令牌服務(wù)(STS),并且其中每一個(gè)承租人向所述多承租人環(huán)境提供被授權(quán)對該承租人的機(jī)器進(jìn)行認(rèn)證的至少一個(gè)證書發(fā)放者。
5.如權(quán)利要求I所述的方法,其特征在于,所述多承租人環(huán)境是基于云的服務(wù),所述基于云的服務(wù)向不同網(wǎng)絡(luò)位置處的不同承租人提供資源,其中與所述不同承租人中的每一個(gè)承租人相關(guān)聯(lián)的數(shù)據(jù)被保護(hù)以免被其他承租人訪問,并且其中每一個(gè)承租人指定其認(rèn)證過程,所述認(rèn)證過程采用不同的認(rèn)證協(xié)議。
6.一種具有用于安全地登記多承租人環(huán)境中的機(jī)器的計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì),包括 在基于云的多承租人服務(wù)處從機(jī)器接收訪問多承租人環(huán)境中的承租人的資源的請求; 通過以下方式來確定何時(shí)所述機(jī)器被所述承租人授權(quán)訪問所述承租人的所述資源確定何時(shí)從所述承租人向所述機(jī)器發(fā)放了授權(quán)所述機(jī)器訪問所述資源的令牌,以及驗(yàn)證由證書授權(quán)機(jī)構(gòu)發(fā)放的與所述承租人相關(guān)聯(lián)的根證書;以及 當(dāng)所述機(jī)器被確定要被所述承租人認(rèn)證時(shí),授權(quán)對所述資源的訪問。
7.一種用于安全地登記多承租人環(huán)境中的機(jī)器的系統(tǒng),包括 網(wǎng)絡(luò)連接,所述網(wǎng)絡(luò)連接被耦合到所述多承租人環(huán)境的各承租人; 處理器和計(jì)算機(jī)可讀介質(zhì); 存儲在所述計(jì)算機(jī)可讀介質(zhì)上并在所述處理器上執(zhí)行的操作環(huán)境;以及 認(rèn)證管理器,所述認(rèn)證管理器在所述操作環(huán)境的控制下操作并用于 從所述多承租人環(huán)境外部的機(jī)器接收訪問承租人的資源的請求; 通過以下方式來確定何時(shí)所述機(jī)器被所述承租人授權(quán)訪問所述承租人的資源確定何時(shí)從所述承租人向所述機(jī)器發(fā)放了授權(quán)所述機(jī)器訪問所述資源的令牌;以及當(dāng)所述機(jī)器被確定要被所述承租人認(rèn)證時(shí),授權(quán)對所述資源的訪問。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于,還包括請求與所述資源相關(guān)聯(lián)的所述承租人在確定要認(rèn)證所述機(jī)器時(shí)嘗試認(rèn)證所述機(jī)器。
9.如權(quán)利要求7所述的系統(tǒng),其特征在于,還包括使用所述多承租人環(huán)境的每一個(gè)承租人所定義的認(rèn)證協(xié)議來在所述多承租人環(huán)境和所述每一個(gè)承租人之間建立信任關(guān)系,其中所述信任關(guān)系使用以下各項(xiàng)中的至少一個(gè)公鑰基礎(chǔ)結(jié)構(gòu)(PKI)和安全令牌服務(wù)(STS)。
10.如權(quán)利要求7所述的系統(tǒng),其特征在于,每一個(gè)承租人指定其自己的認(rèn)證過程級另IJ,所述認(rèn)證過程級別定義何時(shí)允許訪問所述資源。
全文摘要
本發(fā)明涉及多承租人訂閱環(huán)境中的安全機(jī)器登記。在多承租人環(huán)境中,向承租人的訂閱安全地登記因特網(wǎng)上屬于特定訂閱的機(jī)器。將對這些機(jī)器的認(rèn)證委托給擁有內(nèi)部部署認(rèn)證機(jī)制的每一個(gè)承租人。與承租人的認(rèn)證服務(wù)的信任關(guān)系被用于確認(rèn)正被認(rèn)證的機(jī)器所呈現(xiàn)的安全令牌。一旦被認(rèn)證,機(jī)器即具有訪問訂閱的授權(quán)(例如,SSL機(jī)器身份證書、安全令牌等)。多承租人環(huán)境中的每一承租人可以提供其自己的認(rèn)證級別。機(jī)器為來自用戶的對資源(例如,服務(wù)/內(nèi)容)的請求將安全令牌呈現(xiàn)給多承租人環(huán)境。當(dāng)從機(jī)器接收訪問資源的請求時(shí),多承租人環(huán)境根據(jù)所發(fā)放的令牌來確定是否授權(quán)該機(jī)器來訪問所請求的資源。
文檔編號H04L9/32GK102930199SQ201210422979
公開日2013年2月13日 申請日期2012年10月30日 優(yōu)先權(quán)日2011年10月31日
發(fā)明者M·K·圣巴特拉, D·蘭吉高達(dá), M·A·布朗, J·陳, A·S·查韋斯 申請人:微軟公司