用于软件部署配置的签名的实施制造技术

在一种方法中，进程在将软件部署到节点之前拦截与软件相关联的部署资源，其中部署资源配置软件是如何部署和操作的。处理器验证所述部署资源内存在的数字签名的真实性。响应于验证所述数字签名的真实性，处理器根据所述部署资源将所述软件部署到所述节点。资源将所述软件部署到所述节点。资源将所述软件部署到所述节点。

【技术实现步骤摘要】
【国外来华专利技术】用于软件部署配置的签名的实施

技术介绍

[0001]本专利技术总体上涉及软件部署领域，并且更具体地涉及软件部署配置数据的签名的实施。
[0002]软件部署包括使软件系统可供使用的所有活动。通常，软件部署的两个必要项目是内容和配置。配置是指配置应用被部署的方式以及应用一旦被部署就如何操作的数据。配置文件用于配置应用或容器的参数和初始设置。示例配置文件包括YAML Ain
’
t Markup Language(YAML)和Playbooks。是红帽(RedHat)公司或其子公司在美国和其他国家的商标或注册商标。
[0003]密码签名技术(如数字签名)是用于验证数字消息或文档的真实性的数学方案。有效的数字签名给出了相信文档由签名者创建或编辑并且消息在传送中不被更改的强大原因。数字签名采用非对称密码并且可向通过非安全信道发送的消息或文档提供一层验证和安全性。数字签名处理通常涉及三种算法。密钥生成算法在接收到私钥连同其对应的公钥时生成签名。签名算法在接收到私钥和正被签名的消息或数据时产生签名。验证算法通过验证消息连同签名和公钥来检查消息的真实性。

技术实现思路

[0004]本专利技术的实施例的多个方面公开了一种方法、计算机程序产品和计算机系统。处理器在将软件部署到节点之前拦截与软件相关联的部署资源，其中部署资源配置软件是如何部署和操作的。处理器验证所述部署资源内存在的数字签名的真实性。响应于验证所述数字签名的真实性，处理器根据所述部署资源将所述软件部署到所述节点。
附图说明
[0005]现在将参考附图仅通过举例来描述本专利技术的实施例，在附图中：图1示出了根据本专利技术实施例的云计算节点。图2示出了根据本专利技术的实施例的云计算环境。图3示出了根据本专利技术的实施例的抽象模型层。图4示出了根据本专利技术的实施例的计算环境的框图。图5是示出根据本专利技术实施例的在部署资源中创建数字签名的操作步骤的流程图。图6是示出根据本专利技术实施例的用于在部署资源中验证数字签名的操作步骤的流程图。图7是根据本专利技术的实施例的示例准入策略。图8是根据本专利技术的实施例的示例部署资源。图9是根据本专利技术的实施例的另一示例部署资源。
具体实施方式
[0006]软件部署包括待部署的软件(即，内容)和配置数据。配置数据和相关联的部署元数据(在本文中统称为部署资源)可包括敏感数据，该敏感数据配置应用被部署的方式以及一旦应用被部署时应用如何操作。本专利技术的实施例认识到，在软件部署中，当前没有方法来验证配置数据和相关联的部署元数据的来源和完整性。本专利技术的实施例还认识到，内容和部署资源的验证对于软件平台的安全性是至关重要的。本专利技术的实施例提供了一种用于使用密码签名技术来对软件部署配置和/或元数据部署资源进行签名的方法。系统然后可以依赖于密码签名技术来验证部署资源的来源和完整性，并且确定签名是否符合准入策略。随后，这样的验证可以用于根据所提供的部署资源来确定是否部署软件。
[0007]应当理解的是，虽然本公开包括关于云计算的详细描述，但本文所陈述的传授内容的实现方式不限于云计算环境。相反，本专利技术的实施例能够结合现在已知的或以后开发的任何其他类型的计算环境来实现。
[0008]云计算是一种服务交付模型，用于使得能够方便地、按需地访问可配置计算资源的共享池(例如。网络、网络带宽、服务器、处理、存储器、存储、应用、虚拟机和服务)，其能够以最小的管理努力或与服务的提供商的交互快速地供应和释放。该云模型可以包括至少五个特性、至少三个服务模型和至少四个部署模型。
[0009]特点如下：按需自助服务：云消费者可以单方面地根据需要自动地提供计算能力，诸如服务器时间和网络存储，而不需要与服务的提供者的人类交互。广泛的网络接入：能力可通过网络获得并且通过标准机制接入，该标准机制促进异构瘦客户机平台或厚客户机平台(例如，移动电话、膝上型计算机和PDA)的使用。资源池：提供者的计算资源被池化以使用多租户模型来服务于多个消费者，其中不同的物理和虚拟资源根据需要动态地指派和重新指派。存在位置独立性的感觉，因为消费者通常不具有对所提供的资源的确切位置的控制或了解，但可能能够以较高抽象级别(例如，国家、州或数据中心)指定位置。快速弹性：能够快速和弹性地提供能力，在一些情况下自动地快速缩小和快速释放以快速放大。对于消费者而言，可用于供应的能力通常显得不受限制并且可以在任何时间以任何数量购买。测量的服务：云系统通过在适合于服务类型(例如，存储、处理、带宽和活动用户账户)的某个抽象级别处利用计量能力来自动控制和优化资源使用。可以监视、控制和报告资源使用，为所利用的服务的提供者和消费者提供透明度。
[0010]服务模型如下：软件即服务(SaaS)：提供给消费者的能力是使用在云基础设施上运行的提供者的应用。可通过诸如web浏览器(例如，基于web的电子邮件)之类的瘦客户端接口从不同客户端设备访问应用。消费者不管理或控制包括网络、服务器、操作系统、存储或甚至单独的应用能力的底层云基础设施，可能的例外是有限的用户特定应用配置设置。平台即服务(PaaS)：提供给消费者的能力是将消费者创建的或获取的使用由提供商支持的编程语言和工具创建的应用部署到云基础设施上。消费者不管理或控制包括网络、服务器、操作系统或存储的底层云基础设施，但是对所部署的应用和可能的应用托管环
境配置具有控制。基础设施即服务(IaaS)：提供给消费者的能力是提供处理、存储、网络和消费者能够部署和运行任意软件的其他基本计算资源，所述软件可以包括操作系统和应用。消费者不管理或控制底层云基础设施，而是具有对操作系统、存储、所部署的应用的控制以及对所选联网组件(例如，主机防火墙)的可能受限的控制。
[0011]部署模型如下：私有云：云基础架构仅为组织运作。它可以由组织或第三方管理，并且可以存在于场所内或场所外。社区云：云基础架构被若干组织共享并支持共享了关注(例如，任务、安全要求、策略、和合规性考虑)的特定社区。它可以由组织或第三方管理，并且可以存在于场所内或场所外。公共云：使云基础架构对公众或大型行业组可用，并且由出售云服务的组织拥有。混合云：云基础架构是两个或更多个云(私有、社区或公共)的组合，这些云保持唯一实体但通过使数据和应用能够移植的标准化或专有技术(例如，云突发以用于云之间的负载平衡)绑定在一起。
[0012]云计算环境是面向服务的，集中于无状态、低耦合、模块化和语义互操作性。云计算的核心是包括互连节点网络的基础设施。
[0013]现在参见图1，示出了云计算节点的示例的示意图。云计算节点10仅仅是合适的云计算节点的一个示例，并不旨在对本文所述的本专利技术的实施例的使用或功能的范围提出任何限制。无论如何，云计算节点10能够被实现和/或执行上文阐述的任何功能。
[0014]在云计算节点10中，存在计算机系统/服务器12，该计算机系统/服务器与许多其他通用或专用计算系统环境或配置一起运行。可以适用于计算机系统/服务器12的公知的计算系统、环境和/或配置的示例包括但不限于个人计算机系统、服务器计算机系本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机实现方法，包括：在将软件部署到节点之前，由一个或多个处理器拦截与所述软件相关联的部署资源，其中，所述部署资源配置所述软件是如何部署和操作的；由一个或多个处理器验证所述部署资源内存在的数字签名的真实性；响应于验证所述数字签名的真实性，根据所述部署资源将所述软件部署到所述节点。2.根据权利要求1所述的计算机实现的方法，其中，验证所述数字签名的真实性进一步包括：由一个或多个处理器检索准入策略，其中所述准入策略指定部署所述软件所需的一个或多个签名；以及由一个或多个处理器验证在所述部署资源内存在所需的一个或多个签名。3.根据权利要求1所述的计算机实现的方法，进一步包括：由一个或多个处理器接收所述部署资源内的要签名的区段的选择；由一个或多个处理器使用散列函数和私钥来对所选择的区段进行加密；以及由一个或多个处理器在所述部署资源内附加所述区段的数字签名和标识。4.根据权利要求3所述的计算机实现的方法，其中，验证所述数字签名的真实性包括：由一个或多个处理器解密所述数字签名；以及由一个或多个处理器将得到的散列函数和与所述区段处的数据相关联的散列函数进行比较。5.根据权利要求2所述的计算机实现的方法，其中，所述准入策略进一步指定所述部署资源的多个区段和每个区段所需的对应签名。6.根据权利要求1所述的计算机实现的方法，其中，所述部署资源是Kubernetes YAML文件。7.根据权利要求3所述的计算机实现的方法，其中，所述部署资源内的所述区段的所述数字签名和标识被附加到所述部署资源的顶层元数据中的注释。8.一种计算机程序产品，包括：一个或多个计算机可读存储介质，以及共同存储在所述一个或多个计算机可读存储介质上的程序指令，所述程序指令包括：用于在将软件部署到节点之前拦截与所述软件相关联的部署资源的程序指令，其中，所述部署资源配置所述软件是如何部署和操作的；用于验证所述部署资源内存在的数字签名的真实性的程序指令；用于响应于验证所述数字签名的真实性，根据所述部署资源将所述软件部署到所述节点的程序指令。9.根据权利要求1所述的计算机程序产品，其中，验证所述数字签名的真实性的程序指令进一步包括：共同存储在所述一个或多个计算机可读存储介质上以检索准入策略的程序指令，其中所述准入策略指定部署所述软件所需的一个或多个签名；以及共同存储在所述一个或多个计算机可读存储介质上的用于验证在所述部署资源内存在所需的一个或多个签名的程序指令。10.根据权利要求8所述的计算机程序产品，进一步包括：
共同存储在所述一个或多个计算机可读存储介质上的用于接收所述部署资源内的要签名的区段的选择的程序指令；共同存储在所述一个或多个计算机可读存储介质上的使用散列函数和私钥来对所选择的区段进行加密的程序指令；以及共同存储在所述一个或多个计算机可读存储介质上用于在所述部署资源内附加所述区段的数字签名和标识的程序指令。11.根据权...

【专利技术属性】
技术研发人员：M，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：