建立用于有状态云服务的安全会话制造技术

技术编号:21407074 阅读:17 留言:0更新日期:2019-06-19 09:29
本公开的各方面涉及在客户端设备与有状态后端服务器或主机之间建立安全会话。本文中所描述的系统使用身份令牌和授权令牌来生成与客户端设备相关联的全局唯一标识符。然后,使用全局唯一标识符在客户端设备与后端服务器之间创建一对一映射。

Establishing secure sessions for stateful cloud services

Various aspects of the disclosure relate to the establishment of secure sessions between client devices and stateful back-end servers or hosts. The system described in this article uses identity tokens and authorization tokens to generate global unique identifiers associated with client devices. Then, a one-to-one mapping is created between the client device and the back-end server using the global unique identifier.

【技术实现步骤摘要】
【国外来华专利技术】建立用于有状态云服务的安全会话
技术介绍
当创建、编辑或以其他方式访问被存储在云上的内容时,可能期望使后端服务保持关于该内容的所有信息。这通常被称为有状态服务。由于后端服务保持关于内容的信息,因此可能期望用户能够以安全的方式访问内容而不管他们正在使用什么设备。实施例已经关于这些和其他一般考虑而被描述。而且,虽然已经讨论了相对具体的问题,但是应当理解,实施例不应当限于解决
技术介绍
中所标识的具体问题。
技术实现思路
本公开的各方面涉及在客户端设备与有状态后端服务器或主机之间建立安全会话。一旦建立了安全会话,客户端设备就可以创建、编辑或以其他方式访问内容,诸如例如被存储在云、云服务上或由后端服务器托管的文档、应用和其他内容。在一些实例中,可能期望在客户端设备与有状态主机之间创建一对一映射,使得每次客户端设备想要访问内容时,客户端设备被路由发送到相同的有状态主机或有状态主机的新实例化。还可能期望在特定用户与有状态主机之间创建一对一映射,使得用户可以访问被存储在云上的内容,而不管被用来访问内容的客户端设备如何。相应地,描述了一种用于在客户端设备与由云服务托管的有状态主机之间建立通信会话的方法。根据该方法,向授权服务提供与客户端设备或客户端设备的用户相关联的身份令牌。使用身份令牌,确定关于客户端设备是否被授权访问有状态主机。当确定客户端设备被授权访问有状态主机时,生成授权令牌。授权令牌包括与客户端设备相关联的唯一标识符。唯一标识符被用来在虚拟机上生成有状态主机。然后确定与有状态主机相关联的互联网协议地址。互联网协议地址与唯一标识符相关联以创建名称-值对。然后,可以使用名称-值对来在客户端设备与有状态主机之间建立通信会话。还描述了一种系统,其包括处理器和用于存储指令的存储器,这些指令在由处理器执行时执行用于在客户端设备与有状态主机之间建立通信会话的方法。该方法包括从客户端设备接收唯一标识符,该唯一标识符与客户端标识令牌和客户端授权令牌相关联。然后,使用唯一标识符来确定针对与客户端设备相关联的有状态主机的互联网协议地址。一旦针对有状态主机的互联网协议地址已知,就使用唯一标识符、客户端标识令牌和客户端授权令牌在客户端与有状态主机之间建立通信会话。本公开的实施例还描述了一种包括计算机可执行指令的计算机可读存储介质,这些计算机可执行指令在由处理器执行时执行用于在客户端与有状态主机之间建立通信会话的方法。该方法包括生成包括与客户端相关联的唯一标识符的授权令牌。使用唯一标识符在虚拟机上实例化有状态主机。确定与有状态主机相关联的互联网协议地址并且将其与唯一标识符相关联以创建名称-值对。然后,可以使用名称-值对来在客户端与有状态主机之间建立通信会话。提供本
技术实现思路
是为了以简化的形式介绍一些概念,这些概念将在下面的“具体实施方式”中进一步被描述。本
技术实现思路
不旨在标识所要求保护的主题内容的关键特征或必要特征,也不旨在被用来限制所要求保护的主题内容的范围。附图说明参考以下附图描述非限制性和非穷举性示例。图1图示了用于在客户端设备与有状态后端服务器之间建立安全通信会话的示例系统的各种组件。图2图示了用于在客户端设备与有状态后端服务器之间建立安全通信会话的图1所示的示例系统的附加组件。图3图示了用于在客户端设备与有状态后端服务器之间建立安全通信会话的图2所示的示例系统的附加组件。图4图示了客户端设备与有状态后端服务器之间的路由发送路径。图5图示了用于在客户端设备与有状态主机之间建立通信会话的一种方法。图6图示了用于在客户端设备与有状态主机之间建立通信会话的另一种方法。图7图示了可以利用其实践本公开的各方面的电子设备的示例物理组件。图8A图示了可以利用其实践本公开的各方面的示例电子设备。图8B是图示图8A的电子设备的示例组件的框图。图9是可以利用其实践本公开的各方面的分布式计算系统的框图。图10图示了用于执行本公开的一个或多个方面的另一示例电子设备。具体实施方式在以下详细描述中,参考附图,附图形成以下详细描述的一部分并且在附图中通过图示而示出了具体实施例或示例。可以组合这些方面,可以利用其他方面,并且可以在不脱离本公开的情况下做出结构改变。实施例可以被实践为方法、系统或设备。相应地,实施例可以采用硬件实现、完全软件实现或组合软件和硬件方面的实现的形式。因此,以下详细描述不应当被视为具有限制意义,并且本公开的范围由所附权利要求及其等同物限定。本公开的实施例涉及在客户端设备与有状态后端服务器或主机之间建立安全通信会话。在一些实施例中,有状态主机与云服务相关联,该云服务使得客户端设备能够经由在客户端设备上执行的网页或应用来访问服务。例如,客户端设备可以向用户提供网页,该网页使得用户能够访问云并且生成内容。该内容可以包括但不限于文档、应用、视频内容、图片内容等。在一个特定但非限制性的示例中,有状态主机是使得客户端设备能够创建诸如例如华盛顿州雷德蒙德市的MICROSOFT公司的POWERAPPS应用等应用的虚拟服务器。在某些实施例中,后端服务器或主机是有状态的。这样,它保持其自己的状态,并且还保持它所托管的任何内容(例如,应用、文档等)的当前状态(或最后已知状态)。这有助于确保每次客户端设备或与用户相关联的创建、编辑或以其他方式访问内容的任何其他客户端设备访问内容时,内容以统一的方式表现。相应地,本公开的实施例描述了被用来在客户端设备与有状态主机之间创建一对一关系的唯一标识符的创建。如下面将更详细描述的,唯一标识符至少部分基于与客户端设备的用户相关联的标识凭证和授权凭证来生成。一旦被创建,唯一标识符可以被发送到客户端设备并且由客户端设备存储。系统的其他组件还可以使用唯一标识符来在虚拟机上产生或以其他方式创建有状态主机的实例。一旦创建了有状态主机,就确定互联网协议地址以及与有状态主机相关联的端口。互联网协议地址和端口与唯一标识符相关联以创建名称-值对。在一些实例中,名称-值对被存储在由系统的各种组件可访问的系统存储装置中。当客户端设备寻求建立或重新建立与有状态主机的连接时,客户端设备向网关服务器提供唯一标识符。网关服务器使用唯一标识符来查找被存储在系统存储装置中的名称-值对。使用唯一标识符,网关服务器确定客户端设备应当被路由发送到以便访问有状态主机的互联网协议地址和端口。如果有状态主机当前不活动,则网关服务器还可以指导后端服务实例化有状态主机。网关服务器还可以根据客户端的请求来指导后端服务加载内容的最后已知或最近状态。下面将参考图1-10更详细地描述这些和其他实施例。图1-4图示了使得客户端设备105能够与有状态主机建立安全通信会话的示例系统100。出于清楚的目的,图1-4中的每个图图示了系统100的附加组件,因为它们是在客户端与有状态主机之间建立安全通信会话所需要的。如图1所示,系统100可以由客户端设备105访问。客户端设备105可以使得用户能够创建、编辑、存储或以其他方式访问被存储在云上或以其他方式由云服务托管的内容。这在本文中称为创作会话。相应地,客户端设备105可以通过网络或互联网连接向网关115发送访问请求110。例如,客户端设备105的用户可以访问被显示在客户端设备105上的网页并且请求网关115创建创作会话。网关115可以是公开可见的本文档来自技高网
...

【技术保护点】
1.一种用于在客户端设备与有状态主机之间建立通信会话的方法,包括:向授权服务提供身份令牌;使用所述身份令牌确定所述客户端设备是否被授权与由云服务托管的所述有状态主机建立创作会话;当确定所述客户端设备被授权建立所述创作会话时,生成包括与所述客户端设备相关联的唯一标识符的授权令牌;在虚拟机上生成有状态主机;将所述唯一标识符与所述有状态主机相关联;确定与所述有状态主机相关联的互联网协议地址;将所述互联网协议地址与所述唯一标识符相关联以创建名称‑值对;将所述名称‑值对安全地存储在所述云服务中;以及使用所述名称‑值对在所述客户端设备与所述有状态主机之间建立所述通信会话。

【技术特征摘要】
【国外来华专利技术】2016.10.19 US 15/298,0441.一种用于在客户端设备与有状态主机之间建立通信会话的方法,包括:向授权服务提供身份令牌;使用所述身份令牌确定所述客户端设备是否被授权与由云服务托管的所述有状态主机建立创作会话;当确定所述客户端设备被授权建立所述创作会话时,生成包括与所述客户端设备相关联的唯一标识符的授权令牌;在虚拟机上生成有状态主机;将所述唯一标识符与所述有状态主机相关联;确定与所述有状态主机相关联的互联网协议地址;将所述互联网协议地址与所述唯一标识符相关联以创建名称-值对;将所述名称-值对安全地存储在所述云服务中;以及使用所述名称-值对在所述客户端设备与所述有状态主机之间建立所述通信会话。2.根据权利要求1所述的方法,还包括向所述客户端设备提供所述授权令牌和所述唯一标识符。3.根据权利要求2所述的方法,还包括使得所述客户端设备能够向网关提供所述唯一标识符,以与所述有状态主机建立后续安全通信会话。4.根据权利要求3所述的方法,其中所述唯一标识符被用来确定与所述有状态主机相关联的所述名称-值对。5.根据权利要求1所述的方法,其中所述授权令牌是加密的。6.根据权利要求1所述的方法,其中所述唯一标识符被用来在所述客户端设备与所述有状态主机之间创建一对一映射。7.根据权利要求1所述的方法,其中将所述名称-值对安全地存储在所述云服务中还包括:将所述名称-值对...

【专利技术属性】
技术研发人员:M·D·弗兰萨佐弗A·C·弗吕特M·D·欧沃霍特
申请(专利权)人:微软技术许可有限责任公司
类型:发明
国别省市:美国,US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1