用于云计算平台安全性的认证和授权方法技术

用于云计算环境的认证和授权插件模型使得云客户能够在将他们的应用部署在云中时保留对他们的企业信息的控制。云服务提供商提供了用于客户安全模块的可插拔接口。当客户部署应用时，云环境管理员为客户的应用和数据分配资源组（例如处理器、存储器和贮存器）。客户向云安全服务注册其自己的认证和授权安全模块，并且该安全模块然后用于控制什么人或实体可访问与部署的应用相关联的信息。然而，云环境管理员一般没有在客户安全模块内注册（作为许可用户）；因此，云环境管理员无法访问（或释放给其它方或云的通用资源池）分配给云客户的资源（即使管理员自己分配了这些资源）或相关联的业务信息。为了进一步均衡各方的权限，第三方公证人服务在客户的应用和信息被部署在云中时保护客户的隐私和访问权限。

【技术实现步骤摘要】
【国外来华专利技术】
本公开内容总体上涉及在资源以可配置计算资源的共享池为宿主的环境中确保业务信息的完整性、保密性和隐私性。
技术介绍
用户认证是服务提供商提供的确保访问资源(例如应用、网页内容等)的用户被授权这样做的ー种功能。为了确保用户不是冒充者，服务提供商(例如网络服务器)通常询问用户的用户名和密码，以在授权对资源的访问之前证明身份。单点登录(SSO)是使得用户能够认证一次(例如提供用户名和密码)并跨多个系统获得对软件资源的访问的访问控制机制。一般，SSO系统使得用户能够访问企业或组织内的资源。联合单点登录(F-SSO)跨多个企业扩展了单点登录的概念，因此在不同组织和企业之间建立了合作关系。F-SSO系统ー般包括允许ー个企业(例如身份提供商)向另ー企业(例如服务提供商)提供用户的身份和其它属性的应用级协议。新兴的信息技术(IT)传送模型是云计算，利用该云计算，根据需求经由因特网向计算机和其它设备提供共享资源、软件和信息。云计算可以显著降低IT成本和复杂度，同时改进工作负载优化和服务传送。利用该方法，应用实例可以以经由HTTP通过传统的网络浏览器可访问的基于因特网的资源为宿主，并可从这些基于因特网的资源可获得。尽管云计算提供了许多优点，但数据安全性是主要关注。特别地，期望在云环境内部署其企业应用的公司经常保持并管理与这种应用相关联的重要业务信息。当在云中部署这些应用时，该重要业务信息必然暴露给云计算服务提供商。結果，该业务信息处于风险中，因为云计算环境根据其本质将信息置于云计算服务提供商的管理控制内。尽管可能存在技术和法律保护，但无法绝对确保业务信息的完整性、保密性和隐私性。仅作为一个示例场景，如果云服务提供商被获取，则企业业务信息会暴露给第三方，甚至是潜在竞争者。这是不合理的。直到云提供商的客户能确信他们能对他们的业务信息保持安全控制为止，他们将在云计算环境中部署他们的重要业务应用方面犹豫不决。本公开内容的主题解决该问题。
技术实现思路
该公开内容描述了用于云计算环境的认证和授权插件模型，使得当云客户在云中部署应用和他们的企业信息时能够保持对该信息的控制。为此，云服务提供商使得企业客户能够(例如通过插件服务)插入(到环境)并且使用客户自己的认证和授权安全模块。云服务提供商具有云环境管理员，该云环境管理员为向云环境部署应用的客户分配资源组。当客户部署应用时，云环境管理员为客户的应用和数据分配资源组(例如处理器、存储器和贮存器)。客户利用云安全服务注册其认证和授权安全模块，并且该安全模块然后用于控制什么人或实体能访问与部署的应用相关联的信息。然而，云环境管理员没有在客户的安全模块内注册(作为许可用户)；因此，云环境管理员无法访问(或释放给其它方或云的通用资源池)分配给云客户的资源(即使管理员自己分配了这些资源)或相关联的业务信息。插件安全模型确保企业客户的信息是安全的。为了帮助该方法，提供第三方公证服务作为企业客户与云提供商之间的中介。第三方公证服务可与一个或更多个云提供商相关联，但是它是不受云提供商控制的不同且独立的实体。公证人可以是政府实体、私有实体、公共实体等。公证人用作能证明(优选地以自动的方式)客户、云提供商和第三方公证服务之间的协定的证明人(或更一般的，授权第三方)。除其它规定外，该协定还提供了分配给云客户的资源组或多个资源组(即云资源)仅可在特定情况下被释放以由另ー客户使用。一个示例情况是云环境管理员和云客户管理员两者均登录以核准释放，进ー步条件是在这种释放之前擦除内容(例如客户的业务信息)。另ー示例情况是接收许可公证用户和云环境管理员的登录，这可能在客户违背根据云服务协定的一些义务的情况下出现。然而，即使在此场景中，资源组的释放的条件是擦除(现在之前的)客户的信息。该方法确保云环境管理员无法单方面收回分配给客户的资源和/或查看客户敏感的信息，即使在客户违反了服务协定并且要終止客户的情况下也是如此。上文概述了本专利技术的更相关特征中的ー些。这些特征应被解释为仅是例示性的。通过如将要描述的以不同方式应用所公开的专利技术或通过修改本专利技术，可获得许多其它有益效果。【附图说明】为了更完全地理解本专利技术及其优点，现在结合附图參照以下描述，其中:图1描绘可实现说明性实施例的示例性方面的分布式数据处理环境的示例性框图；图2是可实现说明性实施例的示例性方面的数据处理系统的示例性框图；图3是图示公知的联合单点登录(F-SSO, Federated Single Sign-On)技术的示例性框图；图4描绘根据本专利技术的实施例的可实现身份提供者发现处理的云计算环境的抽象模型层；图5是图示分配给部署的客户应用的云资源和公知云计算环境的示例性框图；图6图示根据本公开内容的确保客户数据的云计算平台安全性的认证和授权模型；图7图示根据本公开内容的如何将特定于客户的认证和授权模型插入到云架构中；图8图示公证服务如何与云租户和云提供商进行交互以帮助形成对资源组的安全的、电子的和不可否认的租约；以及图9图示系统的典型使用场景。【具体实施方式】现在參照附图，特别參照图1-2，提供了可实现本公开内容的说明性实施例的数据处理环境的示例性图。应该理解，图1-2仅是示例性的，并不是g在声称或暗示关于可实现所公开的主题的方面或实施例的环境的任何限制。在不脱离本专利技术的精神和范围的情况下，可对描绘的环境做出许多修改。客户端-服务器模型现在參照附图，图1描绘可实现说明性实施例的方面的示例性分布式数据处理系统的图形表示。分布式数据处理系统100可包括可实现说明性实施例的方面的计算机网络。分布式数据处理系统100包含至少ー个网络102，网络102是用于在分布式数据处理系统100内连接在一起的各种设备与计算机之间提供通信链路的介质。网络102可包括诸如有线、无线通信链路或光纤光缆的连接。在描绘的示例中，服务器104和服务器106与存储单元108 —起连接到网络102。此外，客户端110、112和114也连接到网络102。这些客户端110、112和114例如可以是个人计算机、网络计算机等。在描绘的示例中，服务器104向客户端110、112和114提供数据，例如引导文件、操作系统映像和应用。在描绘的示例中，客户端110、112和114是服务器104的客户端。分布式数据处理系统100可包括未示出的附加服务器、客户端和其它设备。在描绘的示例中，分布式数据处理系统100是具有网络102的因特网，该网络102表示使用传输控制协议/因特网协议(TCP/IP)的协议套件彼此进行通信的世界范围的网络和网关的集合。因特网的中心是主节点或主计算机之间的高速数据通信线路的骨干，由对数据和消息进行路由的成千上万的商业、政府、教育和其它计算机系统构成。当然，分布式数据处理系统100也可被实现为包括许多不同类型的网络，例如内联网、局域网(LAN)、广域网(WAN)等。如上所述，图1 g在作为示例，而不是作为所公开的主题的不同实施例的架构限制，因此，图1中示出的特定部件不应被视为对可实现本专利技术的说明性实施例的环境的限制。现在參照图2，示出了可实现说明性实施例的数据处理系统的框图。数据处理系统200是诸如图1中的服务器104或客户端110的计算机的示例，在该计算机中针对说明性实施例可存在本文档来自技高网...

【技术保护点】
一种用于在计算资源以可配置计算资源的共享池为宿主的环境中的验证和授权的方法，包括：从第一实体接收对由第二实体管理的可配置计算资源的共享池的访问的请求；在第一实体、第二实体和不同于第一实体和第二实体的第三实体之间执行协定的情况下，向第一实体分配资源组；在由与可配置计算资源的共享池相关联的第二实体操作的插件服务中注册与第一实体相关联的插件安全模块；以及限制除经由所述插件安全模块之外对所述资源组的访问。

【技术特征摘要】
【国外来华专利技术】2011.06.30 US 13/173,5631.一种用于在计算资源以可配置计算资源的共享池为宿主的环境中的验证和授权的方法，包括: 从第一实体接收对由第二实体管理的可配置计算资源的共享池的访问的请求； 在第一实体、第二实体和不同于第一实体和第二实体的第三实体之间执行协定的情况下，向第一实体分配资源组； 在由与可配置计算资源的共享池相关联的第二实体操作的插件服务中注册与第一实体相关联的插件安全模块；以及 限制除经由所述插件安全模块之外对所述资源组的访问。2.如权利要求1所述的方法，还包括:接收与第一实体的许可用户相关联的信息并存储在所述资源组中。3.如权利要求2所述的方法，还包括:在发生事件的情况下将所述资源组返回到所述共享池。4.如权利要求3所述的方法，其中将所述资源组返回的步骤包括: 在发生事件的情况下，向第三方发出请求，所述请求寻求将第一实体从所述资源组解除关联的许可；以及 从第三方接收响应，所述响应指示第二实体具有将第一实体从所述资源组解除关联的许可。5.如权利要求4所述的方法，还包括:在将所述资源组返回到所述共享池之前，删除与第一实体的许可用户相关联的信息。6.如权利要求3所述的方法，其中将所述资源组返回的步骤包括: 接收与所述资源组相关联的许可已被第一实体移除的指示；以及 在将所述资源组返回到所述共享池之前，删除与第一实体的许可用户相关联的信息。7.如权利要求1所述的方法，其中通过密码确保所述协定，使得所述协定无法被第一实体或第二实体否认。8.一种用于在计算资源以可配置计算资源的共享池为宿主的环境中的验证和授权的装置，包括: 处理器； 计算机存储器，保持当被所述处理器运行时执行如下方法的计算机程序指令，所述方法包括: 从第一实体接收对由第二实体管理的可配置计算资源的共享池的访问的请求； 在第一实体、第二实体和不同于第一实体和第二实体的第三实体之间执行协定的情况下，向第一实体分配资源组； 在由与可配置计算资源的共享池相关联的第二实体操作的插件服务中注册与第一实体相关联的插件安全模块；以及 限制除经由所述插件安全模块之外对所述资源组的访问。9.如权利要求8所述的装置，其中所述方法还包括:接收与第一实体的许可用户相关联的信息并存储在所述资源组中。10.如权利要求8所述的装置，其中所述方法还包括:在发生事件的情况下将所述资源组返回到所述共享池。11.如权利要求10所述的装置，其中将所述资源组返回的步骤包括: 在发生事件的情况下，向第三方发出请求，所述请求寻求将第一实体从所述资源组解除关联的许可；以及 从第三方接收响应，所述响应指示第二实体具有将第一实体从所述资源组解除关联的许可。12.如权利要求11所述的装置，其中所述方法还包括:在将所述资源组返回到所述共享池之前，删除与第一实体的许可用户相关联的信息。13.如权利要求10所述的装置，其中将所述资源组返回的步骤包括: 接收与所述资源组相关联的许可已被第一实体移除的指示；以及 在将所述资源组返回到所述共享池之前，删除与第一实体的许可用户相关联的信息。14.如权利要求8所述的装置，其中通过密码确保所述协定，使得所述协定无法被第一实体或第二实体否认。15.一种计算机可读介质中的计算机程序产品，用于在计算资源以可配置计算资源的共享池为宿主的环境中的验证和授权的数据处理系统中使...

【专利技术属性】
技术研发人员：D·Y·常，M·本纳塔，J·YC·常，V·温卡塔拉玛帕，
申请(专利权)人：国际商业机器公司，
类型：
国别省市：