云計(jì)算環(huán)境中的服務(wù)器和客戶機(jī)的遠(yuǎn)程信任認(rèn)證和地理位置的制作方法
【專利摘要】可提供方法及系統(tǒng),用于基于與遠(yuǎn)程代理相關(guān)聯(lián)的通信從多個管理程序協(xié)議選擇管理程序協(xié)議。所選擇的管理程序協(xié)議可用于對通信中一個或多個數(shù)字簽名的值進(jìn)行信任分析,其中,可基于該信任分析對云認(rèn)證請求進(jìn)行處理。對該云認(rèn)證請求進(jìn)行處理可涉及例如為與該遠(yuǎn)程代理相對應(yīng)的云計(jì)算節(jié)點(diǎn)生成可信度驗(yàn)證輸出、地理位置驗(yàn)證輸出等等。
【專利說明】云計(jì)算環(huán)境中的服務(wù)器和客戶機(jī)的遠(yuǎn)程信任認(rèn)證和地理位
[0001]背景
【技術(shù)領(lǐng)域】
[0002]實(shí)施例總體上涉及云計(jì)算。更具體而言,實(shí)施例涉及在云計(jì)算環(huán)境中啟用遠(yuǎn)程設(shè)備信任認(rèn)證和地理位置功能。
[0003]討論
[0004]盡管云計(jì)算可為終端用戶提供處理功率和靈活方面的機(jī)會,常規(guī)云計(jì)算解決方案的某些方面可從安全立足點(diǎn)提出許多挑戰(zhàn)。例如,以安全且簡單的方式確定云計(jì)算資源的可信度和/或位置是困難的,尤其是當(dāng)那些資源采用不同的操作系統(tǒng)(OS)和虛擬機(jī)管理器(WMM)協(xié)議時。實(shí)際上,不能夠提供足夠的安全措施可妨礙各行各業(yè)采用云計(jì)算。
[0005]附圖簡要說明
[0006]通過閱讀以下說明書和所附權(quán)利要求書并且通過參考以下附圖,本發(fā)明實(shí)施例的各種優(yōu)點(diǎn)將對本領(lǐng)域普通技術(shù)人員變得明顯,在附圖中:
[0007]圖1A是根據(jù)實(shí)施例的遠(yuǎn)程信任認(rèn)證架構(gòu)的示例的框圖;
[0008]圖2是根據(jù)實(shí)施例的操作信任權(quán)威服務(wù)的方法的示例的流程圖;
[0009]圖3是根據(jù)實(shí)施例的云計(jì)算節(jié)點(diǎn)的示例的框圖;以及
[0010]圖4A和4B是根據(jù)實(shí)施例的具有定位驗(yàn)證輸出的示例接口的屏幕截圖。
[0011]詳細(xì)描述
[0012]現(xiàn)在轉(zhuǎn)向圖1,示出用于云計(jì)算解決方案的遠(yuǎn)程信任認(rèn)證架構(gòu)10。在所示出的示例中,信任權(quán)威服務(wù)12被配置成用于對各種云計(jì)算節(jié)點(diǎn)14(14a-14e)的可信度和/或地理位置(例如,地理位置)進(jìn)行驗(yàn)證以及為一個或多個查詢應(yīng)用16(16a_16e)證明這種可信度(或缺少可信度)和/或地理位置。例如,信任權(quán)威服務(wù)12可使用認(rèn)證處理器18來從查詢應(yīng)用16中的一個或多個接收云認(rèn)證請求、針對云計(jì)算節(jié)點(diǎn)14中的一個或多個執(zhí)行信任分析、并且基于信任分析返回驗(yàn)證結(jié)果/輸出??蓮脑乒芾斫涌?16a、虛擬化管理接口 16b、策略接口 16c (例如,HyTrust設(shè)備)、符合接口 16d (例如,管理、風(fēng)險(xiǎn)和符合/GRC)、安全接口 16e (例如,來自NitroSecurity、ArchSight等等的安全信息和事件管理你/SIEM解決方案)等等接收可包括信任度和/或地理位置查詢的云認(rèn)證請求。例如,符合接口 16d可用于驗(yàn)證云計(jì)算節(jié)點(diǎn)14符合一個或多個GRC要求等等。而且,認(rèn)證處理器可使用一個或多個應(yīng)用編程接口(API) 28以便從查詢應(yīng)用16接收云認(rèn)證請求并且將驗(yàn)證結(jié)果輸出到查詢應(yīng)用16。在一個示例中,API28包括表示狀態(tài)傳送(REST)API。
[0013]云計(jì)算節(jié)點(diǎn)14可包括各種服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)設(shè)備等等,其中,節(jié)點(diǎn)14可采用不同的操作系統(tǒng)(OS)和/或管理程序(例如,VMM)協(xié)議。在所示出的示例中,第一節(jié)點(diǎn)(“節(jié)點(diǎn)I”)14a使用第一管理程序協(xié)議(例如,“管理程序協(xié)議A”)來管理第一節(jié)點(diǎn)14a上的虛擬機(jī)環(huán)境,第二節(jié)點(diǎn)(“節(jié)點(diǎn)i”)14b使用第二管理程序協(xié)議(例如,“管理程序協(xié)議j”)來管理第二節(jié)點(diǎn)14b上的虛擬機(jī)環(huán)境,第三節(jié)點(diǎn)(“節(jié)點(diǎn)N-1”)14c使用第三管理程序協(xié)議(例如,“管理程序協(xié)議η”)來操作第三節(jié)點(diǎn)14c上的虛擬機(jī)環(huán)境,并且第四節(jié)點(diǎn)(“節(jié)點(diǎn)N”)14d使用第三管理程序協(xié)議來操作第四節(jié)點(diǎn)14d上的虛擬機(jī)環(huán)境。第三和第四節(jié)點(diǎn)14c、14d可由還被配置成用于使用第三管理程序協(xié)議(例如,“管理程序協(xié)議η”)的另一個節(jié)點(diǎn)14e管理。如將更詳細(xì)地討論的,按照信任計(jì)算組遠(yuǎn)程認(rèn)證協(xié)議,每個云計(jì)算節(jié)點(diǎn)14可與被配置成用于向信任權(quán)威服務(wù)12提供將在信任分析中使用的信息的信任代理22相關(guān)聯(lián)。
[0014]示例管理程序協(xié)議包括但不限于ESXi (ESXi5.0, VMware, 2011年八月)、KVM(基于內(nèi)核的虛擬機(jī),例如,用于Linux2.6.20的SUSE KVM, 2007年二月)、Xen (例如,用于Linuxv2.6.37的Red Hat Xen,2011年三月)等等。附加地,每個管理程序協(xié)議可啟用在包括但不限于Windows、Linux和Mac操作系統(tǒng)的各種不同操作系統(tǒng)中部署多個虛擬機(jī)。認(rèn)證機(jī)制將無縫地工作以在我們具有虛擬TPM(信任平臺模塊)時證明虛擬機(jī)的可信。
[0015]在所示出的示例中,信任權(quán)威服務(wù)12包括從信任代理22接收數(shù)字簽名的通信(例如,安全套接字層/SSL通信)的一個或多個REST API21認(rèn)證服務(wù)器邏輯20,其中,認(rèn)證權(quán)威24可用于驗(yàn)證數(shù)字簽名。附加地,所示出的信任權(quán)威服務(wù)12包括被配置成用于在每管理程序協(xié)議的基礎(chǔ)上執(zhí)行信任分析的信任驗(yàn)證器26。例如,信任驗(yàn)證器26可從多個協(xié)議專用插件32選擇協(xié)議專用插件并且使用所選擇的協(xié)議專用插件32對在來自信任代理22的通信中一個或多個數(shù)字簽名的值執(zhí)行信任分析。具體而言,數(shù)字簽名的值可包括平臺配置寄存器(PCR)值,諸如地理位置值、軟件散列(例如,SHA散列值)、完整性測量日志(ML)值,諸如測量序列和啟動日志信息等等,其中,信任分析可涉及將數(shù)字簽名的值與一個或多個已知值進(jìn)行比較。
[0016]在此方面,所示出的架構(gòu)10還包括白名單存儲庫34和白名單模塊36,該白名單模塊使用一個或多個REST API來經(jīng)由白名單入口 38接收已知值并且用已知值填充白名單存儲庫34。例如,可通過在受控IT (信息技術(shù))環(huán)境中運(yùn)行云計(jì)算節(jié)點(diǎn)14并且標(biāo)識當(dāng)前測量值來確定已知值,其中,這種值還可被存儲到云計(jì)算節(jié)點(diǎn)14的安全PCR中用于在運(yùn)行時使用。還可經(jīng)由合適的更新管理器子系統(tǒng)從VMM/0S供貨商獲得“黃金”或“已知”模塊散列。
[0017]因此,信任驗(yàn)證器26可根據(jù)所涉及的云計(jì)算節(jié)點(diǎn)14從白名單存儲庫34檢索已知值,并且將通信中的數(shù)字簽名的值與已知值進(jìn)行比較。例如,可對一個或多個管理程序/OS散列值進(jìn)行比較,以便確定傳入通信的來源是否實(shí)際上與信任云計(jì)算節(jié)點(diǎn)14相關(guān)聯(lián)。在另一個示例中,可對一個或多個地理位置值進(jìn)行比較(例如,將通信中的數(shù)字簽名的地理位置值與地圖進(jìn)行比較),以便確定傳入通信的來源的位置。
[0018]所示出的認(rèn)證服務(wù)器邏輯20將信任分析的結(jié)果傳遞到認(rèn)證處理器18,其可輸出結(jié)果作為對云認(rèn)證請求的響應(yīng)。認(rèn)證處理器18還可使用信任高速緩存40處理云認(rèn)證請求,其中,信任高速緩存40可包括可加速認(rèn)證過程的已加時間戳的可信度/地理位置數(shù)據(jù)。例如,認(rèn)證處理器18可訪問信任高速緩存40并且確定已經(jīng)為所涉及的云計(jì)算節(jié)點(diǎn)14生成了可信度/地理位置驗(yàn)證響應(yīng)并且使用來自信任高速緩存40的結(jié)果而不是來自信任權(quán)威服務(wù)12的結(jié)果和/或作為其附加。
[0019]可在例如個人計(jì)算機(jī)(PC)、服務(wù)器、工作站、膝上計(jì)算機(jī)、個人數(shù)字助理(PDA)、無線智能電話、媒體播放器、成像設(shè)備、移動互聯(lián)網(wǎng)設(shè)備(MID)、任何智能設(shè)備諸如智能電話、智能平板計(jì)算機(jī)等等、或其任何組合上,實(shí)現(xiàn)信任權(quán)威服務(wù)12。因此,信任驗(yàn)證器26、認(rèn)證服務(wù)器邏輯20和認(rèn)證權(quán)威24可包含某些硬件元件,諸如例如處理器、控制器和/或芯片組、存儲器結(jié)構(gòu)、總線等等。附加地,所示出的信任權(quán)威服務(wù)12使用網(wǎng)絡(luò)接口 27與云計(jì)算節(jié)點(diǎn)14和/或查詢應(yīng)用16 (當(dāng)合適時)交換通信。例如,網(wǎng)絡(luò)接口 27可提供離平臺無線通信功能用于各種各樣的目的,諸如例如蜂窩電話(例如,寬帶碼分多址/W-CDMA(通用移動通信系統(tǒng)/UMTS) ,CDMA2000 (IS-856/IS-2000)等等),W1-Fi (無線保真,例如電氣與電子工程師協(xié)會/IEEE802.11-2007、無線局域網(wǎng)/LAN媒體接入控制(MAC)以及物理層(PHY)規(guī)范)、LR-WPAN(低速率無線個域網(wǎng),例如 IEEE802.15.4-2006)、藍(lán)牙(例如,IEEE802.15.1-2005、無線個域網(wǎng))、WiMax (例如,IEEE802.16-2004、LAN/MAN寬帶無線LAN)、GPS (全球定位系統(tǒng))、擴(kuò)展頻譜(例如,900MHz)、以及其他RF (射頻)電話目的。網(wǎng)絡(luò)接口 27還可提供離平臺有線通信(例如,RS-232(電子工業(yè)聯(lián)盟/E1A)、以太網(wǎng)(例如,IEEE802.3-2005)、電力線通信(例如,X10、IEEE P 11675)、USB (例如,通用串行總線,例如,USB規(guī)范3.0,版本1.0,2008年11月12日,USB實(shí)現(xiàn)論壇)、DSL(數(shù)字用戶線)、纜線調(diào)制解調(diào)器、Tl連接等等功能)。
[0020]圖2示出操作信任權(quán)威服務(wù)的方法42。方法42可在云信任權(quán)威服務(wù)(諸如所討論的云信任權(quán)威服務(wù)12(圖1))中被實(shí)現(xiàn)為可執(zhí)行邏輯指令集,該指令集存儲在至少一個機(jī)器或計(jì)算機(jī)可讀存儲介質(zhì)(諸如隨機(jī)存取存儲器(RAM)、只讀存儲器(ROM)、可編程ROM(PROM)、閃存、固件、微代碼等等)中、可配置邏輯(諸如可編程邏輯陣列(PLA)、現(xiàn)場可編程門陣列(FPGA)、復(fù)雜可編程邏輯設(shè)備(CPLD))中、使用電路技術(shù)(諸如專用集成電路(ASIC)、互補(bǔ)金屬氧化物半導(dǎo)體(CMOS)或晶體管-晶體管邏輯(TTL)技術(shù)或其任何組合)的固定功能硬件中。例如,可用一種或多種編程語言的任何組合編寫用于執(zhí)行方法42中所示的操作的計(jì)算機(jī)程序代碼,包括面向?qū)ο蟮木幊陶Z言,諸如C++等等,以及常規(guī)程序編程語言,諸如“C”編程語言或類似的編程語言。而且,可使用任何上述電路技術(shù)將方法42的各個方面實(shí)現(xiàn)為處理器的嵌入邏輯。
[0021]所示出的處理模塊44基于與遠(yuǎn)程信任代理相關(guān)聯(lián)的通信從多個管理程序協(xié)議選擇管理程序協(xié)議。所選擇的管理程序協(xié)議可用于在框46對通信中的一個或多個數(shù)字簽名的值進(jìn)行信任分析。在一個示例中,信任分析包括將數(shù)字簽名的值與一個或多個已知值進(jìn)行比較,如所討論的。因此,如果從偽裝成信任云計(jì)算節(jié)點(diǎn)的設(shè)備接收到通信,過程可在框46確定通信中的數(shù)字簽名的值不對應(yīng)/匹配已知值。附加地,框48可基于信任分析處理云認(rèn)證請求。因此,如果已經(jīng)確定數(shù)字簽名的值不對應(yīng)/匹配已知值,框48可包括生成表明所涉及的設(shè)備不可信任的輸出。在另一個示例中,所示出的方法可為所涉及的遠(yuǎn)程設(shè)備證明/輸出信任地理位置值。
[0022]現(xiàn)在轉(zhuǎn)向圖3,示出云計(jì)算節(jié)點(diǎn)(“節(jié)點(diǎn)i”)50的示例??砂ǚ?wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)設(shè)備等等的所示出的云計(jì)算節(jié)點(diǎn)50可容易地由節(jié)點(diǎn)14(圖1)中的一個或多個替換,如所討論的。在所示出的示例中,節(jié)點(diǎn)50的硬件層包括中央處理單元(CPU)和芯片組52以及具有PCR 56和非易失性RAM (NVRAM) 58的信任平臺模塊(TPM) 54。節(jié)點(diǎn)50的軟件堆棧可包括基本輸入/輸出系統(tǒng)(B1S) /固件(FW)層60以及具有信任代理64和信任啟動(“tboot”)代碼66的管理程序?qū)?2。信任代理64可具有類似于信任代理22 (圖1)的功能,如所討論的。所示出的節(jié)點(diǎn)50還包括多個虛擬機(jī)68,其中,虛擬機(jī)68中的兩個或多個可使用不同的OS。
[0023]一旦正確地提供所示出的CPU和芯片組52以及TPM54 (例如,針對信任執(zhí)行、地理位置等等),所示出的tboot代碼66可用地理位置值和其他軟件散列填充PCR56,其中,信任代理64可從PCR56檢索信息、對其進(jìn)行數(shù)字簽名、并且將其作為通信傳輸?shù)叫湃螜?quán)威服務(wù)70??砂愃朴谛湃螜?quán)威服務(wù)12 (圖1)的功能的信任權(quán)威服務(wù)70然后可使用數(shù)字簽名的值對通過認(rèn)證處理器74來自云管理應(yīng)用72的一個或多個云認(rèn)證請求進(jìn)行響應(yīng),如所討論的。因此,所示出的云管理應(yīng)用72可具有類似于查詢應(yīng)用16中的一個或多個的功能,如所討論的。
[0024]圖4A示出在其中用從與云計(jì)算基礎(chǔ)設(shè)施中虛擬集群集合78 (78a,78b)相關(guān)聯(lián)的信任代理獲得的地理位置信息對集群78進(jìn)行標(biāo)記的界面76。因此,可經(jīng)由應(yīng)用(諸如例如查詢應(yīng)用16(圖1)或云管理應(yīng)用72(圖3)中的一個或多個)響應(yīng)于基于地理位置的信任分析將界面76輸出給用戶。在所示出的示例中,已經(jīng)確定運(yùn)行具體的虛擬機(jī)(VMl)的第一集群78a位于美國(USA)并且第二集群78b位于印度。圖4B示出界面80,該界面可來自在具有要求所有云計(jì)算資源物理地位于美國的策略(例如,管理風(fēng)險(xiǎn)和符合)的環(huán)境中將虛擬機(jī)從第一集群78a遷移到第二集群78b的嘗試。具體而言,所示出的界面80包括表明所提出的遷移違反了所就位的地理位置符合策略的警告消息82。
[0025]因此,實(shí)施例可涉及操作信任權(quán)威服務(wù)的方法,其中,基于與遠(yuǎn)程信任代理相關(guān)聯(lián)的通信從多個管理程序協(xié)議選擇管理程序協(xié)議。所選擇的管理程序協(xié)議可用于對通信中一個或多個數(shù)字簽名的值進(jìn)行信任分析。附加地,該方法可提供基于信任分析處理云認(rèn)證請求。在一個示例中,處理該云認(rèn)證請求包括為該云計(jì)算節(jié)點(diǎn)生成可信度驗(yàn)證輸出。
[0026]在一個示例中,從多個管理程序協(xié)議選擇該管理程序協(xié)議包括選擇協(xié)議專用插件。
[0027]在另一個示例中,該方法進(jìn)一步包括從白名單存儲庫檢索一個或多個已知值,其中,該信任分析包括將該一個或多個數(shù)字簽名的值與該一個或多個已知值進(jìn)行比較。該方法還可包括:經(jīng)由白名單入口接收該一個或多個已知值;以及用該一個或多個已知值填充該白名單存儲庫。附加地,該一個或多個已知值以及該一個或多個數(shù)字簽名的值包括寄存器值和日志數(shù)據(jù)中的一個或多個。
[0028]在另一個示例中,該方法進(jìn)一步包括從與該遠(yuǎn)程信任代理相關(guān)聯(lián)的云計(jì)算節(jié)點(diǎn)接收該通信,其中,對該云認(rèn)證請求進(jìn)行處理包括為該云計(jì)算節(jié)點(diǎn)生成可信度驗(yàn)證輸出。附加地,可從服務(wù)器、網(wǎng)絡(luò)設(shè)備和客戶機(jī)設(shè)備中的一個或多個接收該通信。
[0029]在另一個示例中,該方法進(jìn)一步包括經(jīng)由云管理接口、虛擬化管理接口、策略接口、符合接口、以及安全接口中的一個或多個接收該云認(rèn)證請求。
[0030]在另一個示例中,對該云認(rèn)證請求進(jìn)行處理包括訪問信任高速緩存。
[0031]實(shí)施例還可包括:至少一種機(jī)器可讀介質(zhì),包括多個指令,響應(yīng)于在計(jì)算設(shè)備上被執(zhí)行,該多個指令致使該計(jì)算設(shè)備執(zhí)行前述方法的任何示例;一種用于操作信任權(quán)威服務(wù)的裝置,被配置成用于執(zhí)行前述方法的任何示例;以及一種用于操作信任權(quán)威服務(wù)的系統(tǒng),包括網(wǎng)絡(luò)接口和芯片組,被配置成用于執(zhí)行前述方法的任何示例的方法。
[0032]實(shí)施例還可包括至少一種計(jì)算機(jī)可訪問和/或機(jī)器可讀存儲介質(zhì),具有指令集,如果被處理器執(zhí)行,該指令集致使計(jì)算設(shè)備基于與遠(yuǎn)程信任代理相關(guān)聯(lián)的通信從多個管理程序協(xié)議選擇管理程序協(xié)議。這些指令還可致使計(jì)算設(shè)備使用所選擇的管理程序協(xié)議對該通信中一個或多個數(shù)字簽名的值進(jìn)行信任分析并且基于該信任分析處理云認(rèn)證請求。在一個示例中,處理該云認(rèn)證請求包括為該云計(jì)算節(jié)點(diǎn)生成可信度驗(yàn)證輸出。
[0033]其他實(shí)施例還涉及操作信任權(quán)威服務(wù)的方法,其中,經(jīng)由白名單入口接收一個或多個已知值,并且用該一個或多個已知值填充白名單存儲庫。該方法還可提供將從與遠(yuǎn)程信任代理相關(guān)聯(lián)的云計(jì)算節(jié)點(diǎn)接收通信,以及基于與該通信相對應(yīng)的管理程序協(xié)議從多個協(xié)議專用插件選擇協(xié)議專用插件。附加地,還可從該白名單存儲庫檢索該一個或多個已知值,其中,所選擇的協(xié)議專用插件可用于對該通信中一個或多個數(shù)字簽名的值進(jìn)行信任分析。在一個示例中,該信任分析包括將該一個或多個數(shù)字簽名的地理位置值與一個或多個已知值進(jìn)行比較,其中,這些已知值包括地圖數(shù)據(jù)。而且,該方法可提供基于該信任分析處理云認(rèn)證請求,其中,處理該云認(rèn)證請求包括為該云計(jì)算節(jié)點(diǎn)生成位置驗(yàn)證輸出。
[0034]在一個示例中,從服務(wù)器、網(wǎng)絡(luò)設(shè)備和客戶機(jī)設(shè)備中的一個或多個接收該通信。
[0035]在另一個示例中,該方法進(jìn)一步包括經(jīng)由云管理接口、虛擬化管理接口、策略接口、符合接口、以及安全接口中的一個或多個接收該云認(rèn)證請求。
[0036]在另一個示例中,對該云認(rèn)證請求進(jìn)行處理包括訪問信任高速緩存。
[0037]實(shí)施例還可包括:至少一種機(jī)器可讀介質(zhì),包括多個指令,響應(yīng)于在計(jì)算設(shè)備上被執(zhí)行,該多個指令致使該計(jì)算設(shè)備執(zhí)行前述方法的任何示例;一種用于操作信任權(quán)威服務(wù)的裝置,被配置成用于執(zhí)行前述方法的任何示例;以及一種用于操作信任權(quán)威服務(wù)的系統(tǒng),包括網(wǎng)絡(luò)接口和芯片組,被配置成用于執(zhí)行前述方法的任何示例的方法。
[0038]附加地,實(shí)施例可包括裝置,該裝置具有白名單存儲庫以及具有白名單入口的白名單模塊,其中,該白名單模塊用于經(jīng)由該白名單入口接收一個或多個已知值,并且用該一個或多個已知值填充該白名單存儲庫。該裝置還可包括:信任模塊,該信任模塊具有用于從與遠(yuǎn)程信任代理相關(guān)聯(lián)的云計(jì)算節(jié)點(diǎn)接收通信的認(rèn)證服務(wù)器邏輯,以及信任驗(yàn)證器,該信任驗(yàn)證器用于基于與該通信相對應(yīng)的管理程序協(xié)議從多個協(xié)議專用插件選擇協(xié)議專用插件。該信任驗(yàn)證器還可從該白名單存儲庫檢索該一個或多個已知值并且使用所選擇的協(xié)議專用插件對該通信中一個或多個數(shù)字簽名的值進(jìn)行信任分析。在一個示例中,該信任分析包括將該一個或多個數(shù)字簽名的地理位置值與該一個或多個已知值進(jìn)行比較,并且該認(rèn)證服務(wù)器邏輯基于該信任分析為該云計(jì)算節(jié)點(diǎn)生成位置驗(yàn)證輸出。
[0039]實(shí)施例還可包括系統(tǒng),該系統(tǒng)具有網(wǎng)絡(luò)接口,該網(wǎng)絡(luò)接口用于標(biāo)識來自與遠(yuǎn)程信任代理相關(guān)聯(lián)的云計(jì)算節(jié)點(diǎn)的通信。該系統(tǒng)還可具有帶有信任驗(yàn)證器的芯片組,該信任驗(yàn)證器用于基于該通信從多個管理程序協(xié)議選擇管理程序協(xié)議。附加地,該信任驗(yàn)證器可使用所選擇的管理程序協(xié)議對該通信中一個或多個數(shù)字簽名的值進(jìn)行信任分析,其中,該芯片組進(jìn)一步包括基于該信任分析處理云認(rèn)證請求的認(rèn)證服務(wù)器邏輯。
[0040]因此,在此描述的技術(shù)提供了用于可跨多OS/多管理程序環(huán)境的成百上千的主機(jī)和設(shè)備進(jìn)行擴(kuò)展的遠(yuǎn)程認(rèn)證的方法。這種技術(shù)使得能夠在向云計(jì)算基礎(chǔ)設(shè)施內(nèi)的主機(jī)、設(shè)備和其他資源分配應(yīng)用和工作負(fù)載之前確定可信度。而且,可以用非常靈活的防篡改方法存儲和檢索地理位置信息。
[0041]可使用硬件、軟件、或其組合實(shí)現(xiàn)并且可在一個或多個計(jì)算機(jī)系統(tǒng)或其他處理系統(tǒng)中實(shí)現(xiàn)本發(fā)明實(shí)施例的某些方面。可將程序代碼應(yīng)用到使用輸入設(shè)備輸入的數(shù)據(jù),以便執(zhí)行所描述的功能并且生成輸出信息。輸出信息可被應(yīng)用到一個或多個輸出設(shè)備。本領(lǐng)域普通技術(shù)人員可認(rèn)識到實(shí)施例可在不同的計(jì)算機(jī)系統(tǒng)配置下實(shí)踐,包括多處理器系統(tǒng)、微型計(jì)算機(jī)、大型計(jì)算機(jī)等等。實(shí)施例還可在分布式計(jì)算環(huán)境中實(shí)踐,其中可由通過通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行任務(wù)。
[0042]每個程序可被實(shí)現(xiàn)在高級程序或面向?qū)ο蟮木幊陶Z言中,以便與處理系統(tǒng)通信。然而,程序可被實(shí)現(xiàn)在匯編或機(jī)器語言中,如果希望的話。在任何情況下,可編譯或解釋語言。
[0043]程序指令可用于致使使用指令編程的通用或?qū)S锰幚硐到y(tǒng)執(zhí)行在此所描述的方法??商娲?,可由包含用于執(zhí)行該方法的特定硬件組件或由編程計(jì)算機(jī)組件和定制硬件組件的任何組合來執(zhí)行該方法。在此所述的方法可被提供為計(jì)算機(jī)程序產(chǎn)品,該計(jì)算機(jī)程序產(chǎn)品可包括其上存儲有指令的至少一個機(jī)器可讀介質(zhì),該指令可用于對處理系統(tǒng)或其他電子設(shè)備進(jìn)行編程,以便執(zhí)行該方法。在此所使用的術(shù)語“機(jī)器可讀介質(zhì)”或“機(jī)器可訪問介質(zhì)”應(yīng)當(dāng)包括能夠存儲或編碼指令序列以便由機(jī)器執(zhí)行的并且致使機(jī)器執(zhí)行在此所述的任何一種方法的任何介質(zhì)。術(shù)語“機(jī)器可讀介質(zhì)”或“機(jī)器可訪問介質(zhì)”可因此包括但不限于對數(shù)據(jù)信號進(jìn)行編碼的固態(tài)存儲器、光盤和磁盤、以及載波。而且,本領(lǐng)域常常見的是當(dāng)采取行動或造成結(jié)果時談及一種或另一種形式的軟件(例如,程序、過程、進(jìn)程、應(yīng)用、模塊、邏輯等等)。這種表達(dá)僅僅是表述通過處理系統(tǒng)執(zhí)行軟件以便致使處理器執(zhí)行動作或產(chǎn)生結(jié)果的簡寫方式。
[0044]術(shù)語“耦合”可在此用于指代有關(guān)組件之間的任何類型的關(guān)系(直接的或間接的)并且可應(yīng)用到電、機(jī)械、流體、光、電磁、機(jī)電或其他連接。附加地,術(shù)語“第一”、“第二”等等可在此僅用于方便討論并且不帶有任何特定的時間或時間順序的意義,除非另外指明。
[0045]盡管已經(jīng)在以上描述本發(fā)明的不同實(shí)施例,應(yīng)當(dāng)理解的是已經(jīng)通過舉例而非限制展現(xiàn)了它們。本領(lǐng)域普通技術(shù)人員將理解的是可在不背離如在所附權(quán)利要求書中所定義的本發(fā)明的精神和范圍的情況下做出各種形式和細(xì)節(jié)的改變。因此,本發(fā)明的幅度和范圍不應(yīng)當(dāng)受限于上述示例性實(shí)施例,而是應(yīng)當(dāng)根據(jù)以下權(quán)利要求書及其等效方案來定義。
【權(quán)利要求】
1.一種操作信任權(quán)威服務(wù)的方法,包括: 基于與遠(yuǎn)程信任代理相關(guān)聯(lián)的通信從多個管理程序協(xié)議選擇管理程序協(xié)議; 使用所選擇的管理程序協(xié)議對所述通信中一個或多個數(shù)字簽名的值進(jìn)行信任分析;以及 基于所述信任分析對云認(rèn)證請求進(jìn)行處理。
2.如權(quán)利要求1所述的方法,其中,從多個管理程序協(xié)議選擇所述管理程序協(xié)議包括選擇協(xié)議專用插件。
3.如權(quán)利要求1所述的方法,進(jìn)一步包括從白名單存儲庫檢索一個或多個已知值,其中,所述信任分析包括將所述一個或多個數(shù)字簽名的值與所述一個或多個已知值進(jìn)行比較。
4.如權(quán)利要求3所述的方法,進(jìn)一步包括: 經(jīng)由白名單入口接收所述一個或多個已知值;以及 用所述一個或多個已知值填充所述白名單存儲庫。
5.如權(quán)利要求3所述的方法,其中,所述一個或多個已知值以及所述一個或多個數(shù)字簽名的值包括寄存器值和日志數(shù)據(jù)中的一個或多個。
6.如權(quán)利要求1所述的方法,進(jìn)一步包括從與所述遠(yuǎn)程信任代理相關(guān)聯(lián)的云計(jì)算節(jié)點(diǎn)接收所述通信,其中,處理所述云認(rèn)證請求包括為所述云計(jì)算節(jié)點(diǎn)生成可信度驗(yàn)證輸出。
7.如權(quán)利要求6所述的方法,其中,所述通信是從服務(wù)器、網(wǎng)絡(luò)設(shè)備和客戶機(jī)設(shè)備中的一個或多個接收的。
8.如權(quán)利要求1所述的方法,進(jìn)一步包括經(jīng)由云管理接口、虛擬化管理接口、策略接口、符合接口、以及安全接口中的一個或多個接收所述云認(rèn)證請求。
9.如權(quán)利要求1所述的方法,其中,處理所述云認(rèn)證請求包括訪問信任高速緩存。
10.至少一種機(jī)器可讀介質(zhì),包括多個指令,響應(yīng)于在計(jì)算設(shè)備上被執(zhí)行,所述指令致使所述計(jì)算設(shè)備執(zhí)行根據(jù)權(quán)利要求1至9中任一項(xiàng)所述的方法。
11.一種用于操作信任權(quán)威服務(wù)的裝置,被配置成用于執(zhí)行如權(quán)利要求1至9中任一項(xiàng)所述的方法。
12.一種用于操作信任權(quán)威服務(wù)的系統(tǒng),包括網(wǎng)絡(luò)接口和芯片組,被配置成用于執(zhí)行如權(quán)利要求1至9中任一項(xiàng)所述的方法。
【文檔編號】H04L9/32GK104081713SQ201280068563
【公開日】2014年10月1日 申請日期:2012年1月30日 優(yōu)先權(quán)日:2012年1月30日
【發(fā)明者】Y·拉戈胡拉姆 申請人:英特爾公司