增强特定于数据中心的信息的完整性制造技术

提供了方法，包括：通过数据中心的装置从所述数据中心的服务器计算机接收请求消息，该装置和所述服务器计算机是被彼此通信耦合的物理上分离的实体，所述消息请求被存储到装置的只读存储区域中的、特定于数据中心的信息；响应于接收到请求消息而发起对请求消息的解密；以及作为对成功解密请求消息的响应，向服务器计算机传输响应消息，所述消息包括从所述装置的所述只读存储区域获取的所述特定于数据中心的信息。

Enhance the integrity of data center specific information

A method is provided, which includes: receiving a request message from a server computer of the data center through a device of the data center, the device and the server computer are physically separated entities coupled by communication with each other, the message request is stored in the read-only storage area of the device, and data center specific information; initiating a response to receiving a request message Decryption of the request message; and, in response to the successful decryption of the request message, transmitting the response message to the server computer, the message including the data center specific information obtained from the read-only storage area of the device.

【技术实现步骤摘要】
【国外来华专利技术】增强特定于数据中心的信息的完整性
本专利技术涉及计算。具体地，本专利技术涉及安全云计算。
技术介绍
在现代的基于云的计算系统中，从用户的角度来看，数据的物理位置变得不那么有意义。然而，有时可能有必要以各种形式知道数字信息的实际物理位置。因此，例如，存在改善物理位置关联信息的完整性和受信任赖性的空间。US2016065589公开了涉及云计算环境中的改进的安全性的系统和方法。根据一个说明性实现，提供了用于供应与管理程序主机(hypervisorhost)相关联的物理基础设施设备的物理地理位置的方法。进一步地，该方法可以包括：执行处理以获得设备的初始地理位置数据，通过经由证明服务组件对初始地理位置数据执行验证来确定设备的经验证的地理位置数据，以提供经验证的地理位置数据，以及将经验证的地理位置数据写入到管理程序主机的HSM或TPM中。
技术实现思路
根据一个方面，提供了独立权利要求的主题。在从属权利要求中定义了一些实施例。在下面的附图和说明书中更详细地陈述了实现的一个或多个示例。其他特征将通过说明书和附图以及权利要求而变得明显。附图说明在下文中，将参照附图描述一些实施例，其中图1图示了可以应用实施例的示例系统；图2图示了根据实施例的数据中心；图3图示了根据实施例的流程图；图4A至图4B图示了根据一些实施例的信号图；图5A至图5D图示了一些实施例；图6图示了根据实施例的响应消息；图7图示了实施例；图8A至图8B图示了根据一些实施例的信号图；图9图示了根据实施例的装置的框图；图10和11图示了一些实施例。具体实施方式以下实施例是示例性的。尽管说明书可以在文本的若干位置中引用“一”、“一个”或“一些”(多个)实施例，但是这并不一定意味着对(多个)相同的实施例进行每个引用或者特定特征仅应用于单个实施例。不同实施例的单个特征还可以组合以提供其他实施例。所描述的实施例可以被实现在无线电系统中，诸如，被实现在以下中的至少一个中：全球微波接入互操作性(WiMAX)、全球移动通信系统(GSM、2G)、GSMEDGE无线电接入网络(GERAN)、通用分组无线业务(GRPS)、基于基本带宽码分多址(W-CDMA)的通用移动电信系统(UMTS、3G)、高速分组接入(HSPA)、长期演进(LTE)和/或高级LTE。合适的通信系统的另一示例是5G概念。5G可能使用多输入多输出(MIMO)技术(包括MIMO天线)、比LTE更多的基站或节点(所谓的小小区概念)，包括与较小站协作操作的宏站点，还可能采用各种无线电技术以用于更好的覆盖和更高的数据速率。5G可能包括多于一种无线电接入技术(RAT)，每个技术针对某些用例和/或频谱而被优化。5G移动通信将具有更广泛的用例和相关应用，包括视频流、增强现实、不同的数据共享方式以及各种形式的机器类应用，包括车辆安全、不同的传感器和实时控制。预计5G具有多个无线电接口，即，低于6GHz、cmWave和mmWave，并且还与现有的传统无线电接入技术(诸如，LTE)可集成在一起。至少在早期阶段，可以实现与LTE的集成，作为其中由LTE提供宏覆盖的系统，并且通过聚合到LTE，5G无线电接口来自小小区的接入。换言之，5G计划支持RAT间可操作性(诸如，LTE-5G)和RI间可操作性(无线电接口间可操作性，诸如，低于6GHz-cmWave、低于6GHz-cmWave-mmWave)。被认为在5G网络中使用的概念之一是网络切片，其中可以在同一基础设施内创建多个独立且专用的虚拟子网络(网络实例)以运行对延时、可靠性、吞吐量和移动性具有不同要求的服务。应该了解的是，未来的网络将最有可能利用网络功能虚拟化(NFV)，这是网络架构概念，其提出将网络节点功能虚拟化为可以可操作地连接或链接在一起以提供服务的“构建块”或实体。虚拟化网络功能(VNF)可以包括使用标准或通用类型的服务器而不是自定义硬件来运行计算机程序代码的一个或多个虚拟机。还可以使用云计算或云数据存储。在无线电通信中，这可以意味着节点操作至少部分地在可操作地耦合到远程无线电头的服务器、主机或节点中运行。还可能的是，节点操作将被分布在多个服务器、节点或主机之间。还应该理解的是，核心网操作与基站操作之间的劳动力分配可以不同于LTE，甚或不存在。可能要使用的其他一些技术进步是软件定义网络(SDN)、大数据和全IP，这可能会改变网络的构建和管理方式。然而，实施例不限于作为示例给出的系统，但是本领域技术人员可以将解决方案应用于被提供有必要属性的其他通信系统。例如，所提出的解决方案基本上可以在使用云计算并且知道数据的物理位置可能是重要的任何类型的系统中使用。在图1中示出了可以应用本专利技术的实施例的一般云环境100应用系统的一个示例。参照图1，通过使用也被称为按需计算的云计算越来越多地提供计算服务，其中数据中心或(多个)数据中心200A至200D可以由多个物理计算机(例如，数千个计算机)组成，每个物理计算机运行也被称为虚拟机的一个或多个逻辑计算机。可以将实际服务交付应用部署到虚拟机。从用户设备(例如，应用层软件)的角度来看，每个虚拟机看起来像真实的物理计算机。这种系统的优点包括当多个虚拟机可以在相同物理服务器上运行时以及当虚拟机可以被重新分配给另一物理服务器以平衡它们之间的负载时的资源共享。甚至在位于全球各地的数据中心200A至200D之间也可能发生负载共享。这允许在数据中心之间共享计算负载，并且因此进一步降低成本。这种布置可能需要服务提供商与用户之间的信任。例如，可能需要知道提供服务的服务器计算机的身份。因此，可以利用受信任的计算，其包括受信任的硬件和软件。受信任的计算可以基于使用经验证的硬件和软件并且确保只有经验证的软件正在运行。信任可以基于硬件安全模块(HSM)，其安装至服务器硬件并且从受信任供应商购买设备。每个HSM可以包含唯一的密钥，该密钥可以被用于标识安装HSM的计算机。被称为受信任平台模块(TPM)的HSM实例化也可以被用于在启动他们之前验证软件二进制和配置数据，并且基于其唯一种子或根密钥来提供可靠的计算机标识符。通过计算其字节上的加密散列和扩展到TPM的PCR值的值来测量软件实体。最后，将这些值与已知的良好值进行比较，以检查是否存在未经授权的修改，因此可以信任服务器。如所解释的，数据中心200A至200D和数据中心中的服务器计算机的物理位置可能变得不那么有意义。例如，当包括提供至少一个小区的至少一个网络元件102的蜂窝网络或系统(诸如上述)的终端设备110需要访问互联网服务的数据时，终端设备110可以经由蜂窝网络访问互联网服务。需要注意的是，可以利用本领域中已知的对所述服务的任何类型的访问。例如，局域网(LAN)和/或无线LAN(WLAN)等可以由用户设备所利用，诸如，终端设备110(例如，移动电话、平板计算机、膝上型计算机、便携式电子设备等)。例如，终端设备110可以将数据存储到利用一个或多个数据中心200A至200D的本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n从经验证的供应设备获得特定于数据中心的信息，所述特定于数据中心的信息进入数据中心的经验证的站点锚点的一次写入存储区域中，所述一次写入存储区域在所述特定于数据中心的信息被供应给所述站点锚点之后作为只读存储区域，所述站点锚点被配置为向所述数据中心的多个服务器计算机提供所述特定于数据中心的信息；/n通过所述站点锚点接收来自服务器计算机的请求消息；/n响应于接收到所述请求消息，通过所述站点锚点发起对所述请求消息的解密；/n作为对成功解密所述请求消息的响应，通过所述站点锚点向所述服务器计算机传输响应消息，所述消息包括从所述站点锚点的所述只读存储区域获取的所述特定于数据中心的信息。/n

【技术特征摘要】
【国外来华专利技术】20170208 FI 201751111.一种方法，包括：
从经验证的供应设备获得特定于数据中心的信息，所述特定于数据中心的信息进入数据中心的经验证的站点锚点的一次写入存储区域中，所述一次写入存储区域在所述特定于数据中心的信息被供应给所述站点锚点之后作为只读存储区域，所述站点锚点被配置为向所述数据中心的多个服务器计算机提供所述特定于数据中心的信息；
通过所述站点锚点接收来自服务器计算机的请求消息；
响应于接收到所述请求消息，通过所述站点锚点发起对所述请求消息的解密；
作为对成功解密所述请求消息的响应，通过所述站点锚点向所述服务器计算机传输响应消息，所述消息包括从所述站点锚点的所述只读存储区域获取的所述特定于数据中心的信息。


2.根据权利要求1所述的方法，进一步包括：
作为对未成功解密所述请求消息的响应，向故障管理实体传输报告消息，所述报告消息指示所述请求消息没有被成功地解密。


3.根据权利要求1或2所述的方法，其中在传输所述响应消息之前，所述响应消息利用加密密钥而被加密，并且其中所述请求消息使用相同的所述加密密钥而被解密。


4.根据任一项前述权利要求1至3所述的方法，其中所述站点锚点被封闭在所述数据中心的结构内。


5.根据权利要求4所述的方法，进一步包括：
如果所述站点锚点从所述结构被移除，则防止传输响应于请求消息的响应消息。


6.根据任一项前述权利要求1至3所述的方法，其中所述站点锚点包括智能卡，所述智能卡被配置为被插入到所述数据中心的硬件单元的对应插座中，所述硬件单元包括用于容置智能卡并且被物理地固定到所述数据中心的多个插座。


7.根据权利要求6所述的方法，进一步包括：
在所述智能卡被插入到所述对应插座中之后，接收来自所述硬件单元的消息；
通过使用至少一个解密密钥来发起对所述消息的解密；以及
响应于成功解密所述消息，实现传输对于请求所述特定于数据中心的信息的请求消息的响应消息，或者
响应于未成功解密所述消息，防止传输对于所述请求消息的响应消息。


8.根据任一项前述权利要求所述的方法，进一步包括：
如果所述站点锚点被上电至少预定次数，则防止传输响应于请求消息的响应消息，其中所述预定次数至少是两次。


9.根据任一项前述权利要求所述的方法，其中所述请求消息经由所述服务器计算机从终端设备被接收到，并且其中所述响应消息经由所述服务器计算机被传输到所述终端设备。


10.根据任一项前述权利要求所述的方法，其中所述特定于数据中心的信息包括以下中的至少一项：管辖标识符、唯一标识所述数据中心的数据中心标识符、物理位置相关联信息、预存储的地理位置数据、特定于地理位置的数据、国家标识符、国家名称、数据中心名称、数据中心所有者标识符、数据中心所有者名称。


11.根据任一项前述权利要求所述的方法，其中所述特定于数据中心的信息包括至少一个参数，每个参数可设置仅一次。


12.根据权利要求11所述的方法，进一步包括：
从与所述特定于数据中心的信息的特定参数相关联的所述外部设备接收配置消息；
确定所述特定参数是否已经被设置；以及
如果所述特定参数尚未被设置，则允许根据所述配置消息来设置所述特定参数，或者
如果所述特定参数已经被设置，则防止重置所述特定参数。


13.根据任一项前述权利要求所述的方法，进一步包括：
防止从未验证的供应设备获得所述特定于数据中心的信息；以及
允许从经验证的供应设备获得所述特定于数据中心的信息。


14.根据任一项前述权利要求所述的方法，进一步包括：
从所述供应设备接收包括第一时间戳的第一消息；
向所述供应设备传输包括第二时间戳的第二消息，
其中所述时间戳用于确定参数是否超过阈值，所述参数指示所述供应设备与所述站点锚点之间的距离，并且其中如果所述距离被超过，则所述供应设备是未验证的。


15.一种方法，包括：
通过数据中心的服务器计算机，向所述数据中心的站点锚点发送加密的请求消息，所述消息从所述站点锚点的只读存储区域请求特定于数据中心的信息；
作为对所述发送的响应，发起从所述站点锚点接收响应消息；
响应于接收到包括所述特定于数据中心的信息的所述响应消息，确定指示...

【专利技术属性】
技术研发人员：L·T·希伯莱南，I·J·奥利弗，S·拉尔，
申请(专利权)人：诺基亚通信公司，
类型：发明
国别省市：芬兰;FI