用于云计算环境中的服务器和客户端的远程信任证明和地理位置功能的方法、装置和系统制造方法及图纸

方法和系统可以规定基于与远程代理相关联的通信从多个管理程序协议选择管理程序协议。选定的管理程序协议可以用于进行通信中的一个或多个数字签名地理位置值的信任分析，其中可以基于信任分析处理云证明请求。处理云证明请求可以涉及生成与远程代理相对应的云计算节点的可信任性验证输出、地理位置验证输出等等。

【技术实现步骤摘要】
【国外来华专利技术】云计算环境中的服务器和客户端的远程信任证明和地理位
实施例通常涉及云计算。更具体地说，实施例涉及实现云计算环境中的远程设备信任证明和地理位置功能。 讨论 尽管云计算可以向终端用户提供关于处理能力和灵活性的机会，但是常规云计算解决方案的某些方面会从安全角度提出挑战。例如，按照安全和极简单的方式确定云计算资源的可信任性和/或位置是困难的，特别是当那些资源采用不同的操作系统(OS)和虚拟机管理器(VMM)协议时。实际上，不能够提供足够的安全措施会阻碍各种各样的产业采取云计算。 【附图说明】 通过阅读下面的说明书和所附权利要求并且通过参照下面的附图，本专利技术实施例的各种优点对于本领域中的技术人员将变得明显，在附图中: 图1是根据实施例的远程信任证明体系结构的示例的方框图； 图2是根据实施例操作信任权威服务的方法的示例的流程图； 图3是根据实施例的云计算节点的示例的方框图；并且 图4A和4B是根据实施例具有位置验证输出的示例接口的屏幕截图。 【具体实施方式】 现在转到图1，示出了用于云计算解决方案的远程信任证明体系结构10。在所说明的示例中，信任权威服务12被配置为验证各种云计算节点14(14a-14c)的可信任性和/或地理学位置(例如，地理位置)并且向一个或多个询问应用16(16a_16e)证明这样的可信任性(或其缺乏)和/或地理位置。例如，信任权威服务12可以使用证明处理机18来从询问应用16中的一个或多个接收云证明请求，进行关于云计算节点14中的一个或多个的信任分析，并且基于信任分析来返回验证结果/输出。可以从云管理接口 16a、虚拟化管理接口 16b、策略接口 16c (例如HyTrust Appliance)、遵从接口 16d (例如支配、风险和遵从/GRC)、安全接口 16e (例如安全信息和事件管理/来自NitroSecurity的SIEM解决方案、ArchSight等等)等等接收可以包括可信任性和/或地理位置询问的云证明请求。例如，遵从接口 16d可以用于验证云计算节点14遵从一个或多个GRC要求等等。而且，证明处理机可以使用一个或多个应用编程接口(API) 28来从询问应用16接收云证明请求并且将验证结果输出到询问应用16。在一个示例中，API 28包括表述性状态转移(REST)API。 云计算节点14可以包括各种服务器、网络设备、客户端设备等等，其中节点14可以采用不同的操作系统(OS)和/或管理程序(例如VMM)协议。在所说明的示例中，第一节点(“节点I”)14a使用第一管理程序协议(例如“管理程序协议A”)来管理第一节点14a上的虚拟机环境，第二节点(“节点i”)14b使用第二管理程序协议(例如“管理程序协议j”)来管理第二节点14b上的虚拟机环境，第三节点(“节点N-1”) 14c使用第三管理程序协议(例如“管理程序协议η”)来操作第三节点14c上的虚拟机环境，并且第四节点(“节点N”)14d使用所述第三管理程序协议来操作第四节点14d上的虚拟机环境。第三和第四节点14c、14d可以由也被配置为使用所述第三管理程序协议(例如，“管理程序协议η”)的另一节点14e管理。如将更详细讨论的，每一个云计算节点14可以按照受信计算组的远程证明协议来与信任代理22相关联，信任代理22被配置为向信任权威服务12提供将在信任分析中使用的信息。 示例管理程序协议包括但不局限于ESXi (ESXI 5.0、VMware, 2011年8月)、KVM (基于内核的虚拟机，例如用于Linux 2.6.20的SUSE KVM, 2007年2月)、Xen (例如用于Linux v2.6.37的红帽Xen，2011年3月)等等。此外，每一个管理程序协议可以实现多个虚拟机在各种不同的操作系统中的部署，该操作系统包括但不局限于Windows、Linux和Mac操作系统。证明机制将无缝地工作以便在我们具有虚拟TPM(受信平台模块)时证明虚拟机的信任。 在所说明的示例中，信任权威服务12包括从信任代理22接收数字签名通信(例如安全套接层/SSL通信)的一个或多个REST API 21证明服务器逻辑20，其中证书权威24可以用于验证数字签名。此外，所说明的信任权威服务12包括被配置为在按照管理程序协议的基础上进行信任分析的信任验证器26。例如，信任验证器26可以从多个协议特定插件32选择协议特定插件，并且使用选定的协议特定插件32来进行在来自信任代理22的通信中的一个或多个数字签名值的信任分析。特别地，数字签名值可以包括平台配置寄存器(PCR)值，例如地理位置值、软件散列(例如SHA散列值)、诸如测量序列和引导日志信息的完整性测量日志(IML)值等等，其中信任分析可以涉及将数字签名值与一个或多个已知值进行比较。 为此，所说明的体系结构10还包括白名单资源库34和白名单模块36，白名单模块36使用一个或多个REST API来经由白名单门户38接收所述已知值并且使用该已知值填充白名单资源库34。该已知值可以例如通过在受控IT(信息技术)环境中运行云计算节点14并且识别当前测量来确定，其中这样的值也可以被存储到云计算节点14的安全PCR用于在运行时间使用。“优良的”或者“正确的”模块散列也可以经由适当的更新管理器子系统从VMM/0S供应商获得。 因而，信任验证器26可以根据讨论中的云计算节点14从白名单资源库34取回已知值，并且将通信中的数字签名值与该已知值进行比较。例如，该比较可以关于一个或多个管理程序/OS散列值来进行。以便确定进入的通信的源是否实际上与受信云计算节点14相关联。在另一示例中，该比较可以关于一个或多个地理位置值来进行(例如，将通信中的数字签名地理位置值与地图进行比较)，以便确定进入的通信的源的位置。 所说明的证明服务器逻辑20将信任分析的结果传送到证明处理机18，该证明处理机18可以输出结果作为对云证明请求的响应。证明处理机18还可以使用信任高速缓存40来处理云证明请求，其中信任高速缓存40可以包括可以使证明过程加速的具有时间戳的可信任性/地理位置数据。例如，证明处理机18可以访问信任高速缓存40，并且确定可信任性和/或地理位置验证响应对于讨论中的云计算节点14在最近已经被生成，并且代替和/或除了来自信任权威服务12的结果以外，还使用来自信任高速缓存40的结果。 信任权威服务12可以在例如个人计算机(PC)、服务器、工作站、膝上型计算机、个人数字助理(PDA)、无线智能电话、媒体播放器、成像设备、移动互联网设备(MID)、诸如智能电话、智能平板计算机等等的任何智能设备或者其任何组合上实现。因而，信任验证器26、证明服务器逻辑20和证书权威24可以合并例如以处理器、控制器和/或芯片组、存储器结构、总线等等为例的某些硬件元件。此外，所说明的信任权威服务12使用网络接口 27来在适当时与云计算节点14和/或询问应用16交换通信。例如，网络接口 27可以提供平台外无线通信功能用于各种各样的目的，例如以蜂窝电话(例如，宽带码分多址/W-CDMA (通用移动电信系统 /UMTS)、CDMA2000(IS-856/IS-2000)等等)、Wi_Fi (无线保真本文档来自技高网...

【技术保护点】
一种方法，包括：经由白名单门户接收一个或多个已知值；使用所述一个或多个已知值填充白名单资源库；从与远程信任代理相关联的云计算节点接收通信；基于与所述通信相对应的管理程序协议从多个协议特定插件中选择协议特定插件；从所述白名单资源库取回所述一个或多个已知值；使用选定的协议特定插件进行所述通信中的一个或多个数字签名地理位置值的信任分析，其中，所述信任分析包括将所述一个或多个数字签名地理位置值与所述一个或多个已知值进行比较；并且基于所述信任分析处理云证明请求，其中，处理所述云证明请求包括生成所述云计算节点的位置证明输出。

【技术特征摘要】
【国外来华专利技术】2012.01.30 US PCT/US2012/023188;2012.03.15 US 13/41.一种方法，包括: 经由白名单门户接收一个或多个已知值； 使用所述一个或多个已知值填充白名单资源库； 从与远程信任代理相关联的云计算节点接收通信； 基于与所述通信相对应的管理程序协议从多个协议特定插件中选择协议特定插件； 从所述白名单资源库取回所述一个或多个已知值； 使用选定的协议特定插件进行所述通信中的一个或多个数字签名地理位置值的信任分析，其中，所述信任分析包括将所述一个或多个数字签名地理位置值与所述一个或多个已知值进行比较；并且 基于所述信任分析处理云证明请求，其中，处理所述云证明请求包括生成所述云计算节点的位置证明输出。2.如权利要求1所述的方法，其中，所述通信是从服务器、网络设备和客户端设备中的一个或多个接收的。3.如权利要求1所述的方法，进一步包括经由云管理接口、虚拟化管理接口、策略接口、遵从接口和安全接口中的一个或多个接收所述云证明请求。4.如权利要求1所述的方法，其中，处理所述云证明请求包括访问信任高速缓存。5.一种装置，包括: 白名单资源库； 白名单模块，包括白名单门户，所述白名单模块用于: 经由所述白名单门户接收一个或多个已知值；并且 使用所述一个或多个已知值填充所述白名单资源库；以及 信任模块，包括: 证明服务器逻辑，用于从与远程信任代理相关联的云计算节点接收通信；以及信任验证器，用于基于与所述通信相对应的管理程序协议从多个协议特定插件中选择协议特定插件，从所述白名单资源库取回所述一个或多个已知值，并且使用选定的协议特定插件进行所述通信中的一个或多个数字签名地理位置值的信任分析，其中，所述信任分析包括将所述一个或多个数字签名地理位置值与所述一个或多个已知值进行比较，并且其中，所述证明服务器逻辑基于所述信任分析生成所述云计算节点的位置证明输出。6.如权利要求5所述的装置，其中，所述通信是从服务器、网络设备和客户端设备中的一个或多个接收的。7.如权利要求5所述的装置，进一步包括用于经由云管理接口、虚拟化管理接口、策略接口、遵从接口和安全接口中的一个或多个接收云证明请求的证明处理机。8.如权利要求7所述的装置，进一步包括信任高速缓存，其中，所述证明处理机使用所述信任高速缓存处理所述云证明请求。9.一种方法，包括: 基于与远程信任代理相关联的通信从多个管理程序协议中选择管理程序协议； 使用选定的管理程序协议进行所述通信中的一个或多个数字签名值的信任分析；并且 基于所述信任分析处理云证明请求。10.如权利要求9所述的方法，其中，从多个管理程序协议中选择所述管理程序协议包括选择协议特定插件。11.如权利要求9所述的方法，进一步包括从白名单资源库取回一个或多个已知值，其中，所述信任分析包括将所述一个或多个数字签名值与所述一个或多个已知值进行比较。12.如权利要求11所述的方法，进一步包括: 经由白名单门户接收所述一个或多个已知值；并且 使用所述一个或多个已知值填充所述白名单资源库。13.如权利要求11所述的方法，其中，所述一个或多个已知值和所述一个或多个数字签名值包括寄存器值和轨迹数据中的一个或多个。14.如权利要求9所述的方法，进一步包括从与所述远程信任代理相关联的云计算节点接收所述通信，其中，处理所述云证明请求包括生成所述云计算节点的可信任性验证输出。15.如权利要求14所述的方法，其中，所述通信是从服务器、网络设备和客户端设备中的一个或多个接收的。16.如...

【专利技术属性】
技术研发人员：Y·拉古拉姆，S·S·班加洛尔，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US