描述了在计算节点处为计算节点外部的请求方提供安全服务的方法。以下步骤在计算节点处发生。从请求方接收服务请求,该服务请求包括生成凭证的请求。计算节点生成凭证,并获得服务相关信息。创建包括服务识别信息的明文消息部分。然后从服务识别信息的至少一部分和从服务相关信息和凭证的至少一部分创建校验和。然后对凭证、服务相关信息和校验和进行加密以形成加密的消息部分。然后向请求方发送包括明文消息部分和加密的消息部分的消息。还描述了用于提供安全服务以验证凭证和获得服务相关信息的方法,以及适于执行所有这些方法的计算装置。装置。装置。
【技术实现步骤摘要】
【国外来华专利技术】分布式计算系统中的数据管理和加密
[0001]相关申请的交叉引用
[0002]本申请要求于2021年5月28日提交的英国专利申请号2107661.7的权益,该临时申请的内容出于所有目的通过引用并入本文。
[0003]本公开涉及分布式计算系统中的数据管理和加密,特别地,涉及执行一个或多个安全过程的分布式计算系统。
技术介绍
[0004]存在需要中央化(centralized)系统为非常大量的客户端提供服务的多个技术挑战,尤其是当这些客户端在地理上广泛分布时。考虑分布系统使得相关服务能够由一组地理上分布的服务器提供,代替由一个中央服务器或数据中心提供是合乎逻辑的。
[0005]在实践中,这种去中央化可能会使用云体系架构,该云体系架构将通常使用多个地理上分布的服务器——或数据中心——来向客户端递送服务。云体系架构可以被认为包括多个节点——当使用云体系架构时,节点可以是多个计算机的聚合,并且可以在给定节点内以“实时”连接和数据共享来覆盖多于一个的数据中心。
[0006]去中央化本身可能是有问题的,特别是在有必要以这种方式来提供服务的情况下,服务的供给会产生超出提供服务的服务器和接收服务的客户端的后果。例如,如果其它客户端(或其它系统节点)需要回溯到服务提供节点以检查否已提供服务或如何提供服务,或者中央系统是否有必要知道已经如何提供服务或分布式服务器节点的预期操作,那么新的瓶颈可能会取代以前的瓶颈出现在中央服务器上,系统中的消息传递总量可能增加,并且网络延迟可能成为严重的问题。
[0007]当服务与安全性相关时(因此有必要确信它已在整个系统中安全地执行)以及当与在短时间帧内供给服务相关时,这尤其严重。这两个问题都适用于交易系统——交易需要在短时间段内获得授权,并且有必要确保交易已经被合法执行——但也适用于其它技术情境(context)。
[0008]诸如交易授权之类的服务可能需要在短时间帧内完成,但也可能需要将与服务实例相关的数据安全且可靠地保持到将来。如果存在异常多的服务实例,那么服务实例记录的安全存储将被证明是极其繁重的。解决这个问题所期望的方式是可以识别过去的服务实例,并使用与服务实例相关的数据来支持将来的服务活动,所有这些都是以维护数据安全性而不对系统资源有过多需求的方式。
技术实现思路
[0009]在第一方面,本公开提供了一种在计算节点处为计算节点外部的请求方提供安全服务的方法,所述方法包括在计算节点处:从请求方接收服务请求,其中该服务请求包括生成凭证的请求;生成凭证;获得服务相关信息;创建包括服务识别信息的明文消息部分;从
服务识别信息的至少一部分和从服务相关信息和凭证的至少一部分创建校验和;使用加密过程来加密凭证、服务相关信息和校验和,以形成加密的消息部分;以及向请求方发送包括明文消息部分和加密的消息部分的消息。
[0010]使用这种方法,可以使凭证仅在相对短的时间段内可用于验证,同时使服务相关信息在长得多的时间段内可用,其中校验和提供对于未加密的和加密的消息部分之间的关系的完整性的保证。
[0011]在实施例中,加密过程包括块密码。
[0012]可以使用密码过程来生成凭证。可以使用共享机制用于为加密过程和密码过程提供密钥。在实施例中,用于加密过程的密钥的密钥有效期可以长于用于密码过程的密钥的密钥有效期——以这种方式,当凭证无法被验证时,服务相关信息在延长的时间段内仍然可用——这甚至可能先于凭证的验证。
[0013]在实施例中,密码过程可以特定于执行密码过程的节点,而加密过程可以不特定于执行加密过程的计算节点。如果加密过程没有以这种方式绑定到特定节点,那么可以通过维护允许访问加密密钥的节点列表来管理它,其中列表上的节点被允许执行加密和解密。
[0014]密码过程可以包括密钥散列算法。
[0015]在实施例中,安全服务包括为交易提供凭证以允许交易在验证所述凭证的情况下被授权。未加密的消息部分然后可以包括用以识别如何处理交易的信息,并且加密的消息部分可以包括交易数据以及凭证。该交易数据可以包括账户数据和交易详细信息,其中交易详细信息适于独立于凭证的验证来检查账户数据的有效性。
[0016]在第二方面,本公开提供了一种在计算节点处为计算节点外部的请求方提供安全服务的方法,所述方法包括在计算节点处:从请求方接收服务请求,其中该服务请求包括验证凭证的请求,其中该服务请求包括包含凭证的消息,其中该消息包括包含服务识别信息的明文消息部分以及包含凭证、服务相关信息和校验和的加密部分,该校验和是从服务识别信息的至少一部分以及服务相关信息和凭证的至少一部分生成的;使用服务识别信息执行解密过程以解密消息的加密部分;使用校验和来确定消息中的信息的完整性;以及进一步使用服务识别信息来验证所述凭证。
[0017]解密过程可以包括块密码,并且可以使用诸如密钥散列算法之类的密码过程来生成凭证。
[0018]安全服务可以包括验证交易的凭证以允许交易被授权。在这种情况下,未加密的消息部分可以包括用以识别如何处理交易的信息。
[0019]在第三方面,本公开提供了一种在计算节点处为计算节点外部的请求方提供安全服务的方法,所述方法包括在计算节点处:从请求方接收服务请求,其中该服务请求包括确认服务相关信息的完整性的请求,其中消息包括包含服务识别信息的明文消息部分以及包含服务相关信息和校验和的加密部分,该校验和是从服务识别信息的至少一部分和服务相关信息的至少一部分生成的;使用服务识别信息执行解密过程以解密消息的加密部分以提供服务相关信息;使用校验和来确定消息的完整性;以及进一步使用服务相关信息的第一部分来确认服务相关信息的第二部分的完整性,其中服务相关信息的第一部分是在服务请求中提供的。
[0020]解密过程这里可以包括块密码。
[0021]安全服务可以包括向有权接收交易相关数据的一方提供交易相关数据,在这种情况下,未加密的消息部分可以包括用以识别如何处理交易的信息——然后加密的消息部分可以包括交易数据。该交易数据可以包括账户数据和交易详细信息,其中交易详细信息适于检查账户数据的有效性。
[0022]在该方法中,计算节点可以确定其是否有权获得密钥以执行解密过程,并且如果是的话,则访问所述密钥。
[0023]在第四方面,本公开提供了包括处理器和存储器并且适于发送和接收消息的计算装置,其中所述处理器被编程以在存储器的帮助下执行如上所述的第一方面至第三方面中的任一方面的方法。
附图说明
[0024]现在参考附图以举例的方式描述本公开的具体实施例,其中:
[0025]图1示出了与中央服务器交互的多个客户端;
[0026]图2示出了提供与图1中的中央服务器相同的服务的分布式计算体系架构交互的多个客户端;
[0027]图3示出了诸如图2中所示的分布式系统的操作,其中分布式节点创建和验证证明;
[0028]图4示出了根据本公开的实施例的在图3的布置中提供附加加密层的方法;...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种在计算节点处为计算节点外部的请求方提供安全服务的方法,所述方法包括在计算节点处:从请求方接收服务请求,其中该服务请求包括生成凭证的请求;生成凭证;获得服务相关信息,创建包括服务识别信息的明文消息部分;从服务识别信息的至少一部分和从服务相关信息和凭证的至少一部分创建校验和;使用加密过程来加密凭证、服务相关信息和校验和,以形成加密的消息部分;以及向请求方发送包括明文消息部分和加密的消息部分的消息。2.如权利要求1所述的方法,其中加密过程包括块密码。3.如权利要求1或权利要求2所述的方法,其中使用密码过程来生成凭证。4.如权利要求3所述的方法,其中共享机制用于为加密过程和密码过程提供密钥。5.如权利要求4所述的方法,其中用于加密过程的密钥的密钥有效期长于用于密码过程的密钥的密钥有效期。6.如权利要求4或权利要求5所述的方法,其中密码过程特定于执行密码过程的节点,而加密过程不特定于执行加密过程的计算节点。7.如权利要求3至6中的任一项所述的方法,其中密码过程包括密钥散列算法。8.如前述权利要求中的任一项所述的方法,其中安全服务包括为交易提供凭证以允许交易在验证所述凭证的情况下被授权。9.如权利要求8所述的方法,其中未加密的消息部分包括用以识别如何处理交易的信息。10.如权利要求9所述的方法,其中加密的消息部分包括交易数据以及凭证。11.如权利要求10所述的方法,其中交易数据包括账户数据和交易详细信息,其中交易详细信息适于独立于凭证的验证来检查账户数据的有效性。12.一种在计算节点处为计算节点外部的请求方提供安全服务的方法,所述方法包括在计算节点处:从请求方接收服务请求,其中该服务请求包括验证凭证的请求,其中该服务请求包括包含凭证的消息,其中该消息包括包含服务识别信息的明文消息部分以及包含凭证、服务相关信息和校验和的加密部分,该校验和是从服务识别信息的至少一部分以及服务相关信息和凭证的至少一部分生成的;使用服务识别信息执行解密过程以解密消息的加密部分;使用校验和来确定消息...
【专利技术属性】
技术研发人员:M,
申请(专利权)人:万事达卡国际公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。