描述了用于安全地存储用于全球数据中心的秘密信息的技术。各实施例可为后端数据存储提供前端服务。前端服务可负责数据中心维护的部署、升级以及灾难恢复等各方面。数据中心可通过前端服务访问来自后端数据存储的数据和与数据相关的服务。可代表数据中心存储访问安全数据所需的秘密而无需将秘密提供给数据中心。对其他实施例也予以描述并要求保护。
【技术实现步骤摘要】
本专利技术涉及存储用于全球数据中心的秘密信息的技术,更具体地,涉及用于集中和安全地存储秘密信息的技术。
技术介绍
对于大型的数据中心,可能难以管理与秘密相关的信息,诸如口令和证书。客户机可使用与秘密相关的信息来访问来自数据服务的数据和服务。将用于访问数据和服务的秘密存储在多个位置可能使数据易于遭受非授权的访问。更新或扩展数据中心可能导致需要的秘密数量的指数性增长。本专利技术的改进正是针对这些和其他考虑事项而需要的。
技术实现思路
提供本
技术实现思路
以便以简化形式介绍将在以下具体实施方式中进一步描述的一些概念。本
技术实现思路
并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。各个实施例一般涉及存储用于全球数据中心的秘密信息的技术。一些实施例尤其涉及用于集中和安全地存储秘密信息的技术。例如,在一个实施例中,技术可包括从前端服务生成用于数据中心的秘密。前端服务可从数据中心中的客户机接收访问后端存储的请求。技术还可包括使用数据中心所生成的秘密来从前端服务访问后端存储;以及将访问后端存储的结果返回给客户机。对其他实施例也予以描述并要求保护。通过阅读下面的详细描述并参考相关联的附图,这些及其他特点和优点将变得显而易见。应该理解,前面的概括说明和下面的详细描述只是说明性的,不会对所要求保护的各方面形成限制。附图说明图1示出了用于提供数据服务的第一系统的实施例。图2示出了用于存储数据服务的秘密信息的第二系统的实施例。图3示出了用于存储数据服务的秘密信息的第三系统的实施例。图4示出了前端服务的实施例。图5示出了逻辑流程的实施例。图6示出了用于授权请求的逻辑流程的实施例。图7示出计算体系结构的实施例。图8示出通信体系结构的实施例。具体实施例方式常规的数据中心和数据服务部署可在数据中心的每一台机器处将秘密信息存储为文件。秘密可被硬编码在文件内。文件可以被手动管理。这样的情景会使数据中心运营者限制被提供给数据中心的秘密的数量。如果秘密被任何一台机器盗用或误用,则数据服务处的整个数据集将被损害。此外,这样的实施方式使得扩展数据中心、更新数据中心和/或从数据中心处的灾难中恢复变得冗长、耗时以及易出错,因为每台机器不得不让其秘密信息被处理。各个实施例涉及用于安全地存储用于全球数据中心的数据的技术。各实施例可为后端数据存储提供前端服务。前端服务可负责数据中心维护的部署、升级以及灾难恢复等各方面。数据中心可通过前端服务访问来自后端数据存储的数据和与数据相关的服务。可代表数据中心存储访问安全数据所需的秘密(例如口令和证书)而无需将秘密提供给数据中心。因此,各实施例可改进数据中心系统和网络的可伸缩性、模块性、可扩展性以及安全性。图1示出了用于为数据中心提供数据服务的系统100的框图。例如,在一个实施例中,系统100可包括具有诸如数据服务110和数据中心120之类的多个组件的计算机实现的系统100。如此处所使用的,术语“系统”和“组件”旨在指代与计算机相关的实体,包括硬件、硬件和软件的组合、软件、或执行中的软件。例如,组件可被实现为在处理器上运行的进程、处理器、硬盘驱动器、多个(光和/或磁存储介质的)存储驱动器、对象、可执行代码、执行的线程、程序、和/或计算机。作为说明,在服务器上运行的应用和服务器两者都可以是组件。一个或多个组件可以驻留在进程和/或执行的线程内,且组件可以视给定实现所需而位于一台计算机上和/或分布在两台或更多的计算机之间。各实施例不限于该上下文。在图1中示出的所示实施例中,系统100可用一个或多个电子设备来实现。电子设备的示例可包括但不限于,移动设备、个人数字助理、移动计算设备、智能电话、蜂窝电话、手机、单向寻呼机、双向寻呼机、消息通信设备、计算机、个人计算机(PC)、台式计算机、膝上型计算机、笔记本计算机、手持式计算机、服务器、服务器阵列或服务器场、web服务器、网络服务器、因特网服务器、工作站、小型计算机、大型计算机、超级计算机、网络设备、web设备、分布式计算系统、多处理器系统、基于处理器的系统、消费电子产品、可编程消费电子产品、电视机、数字电视机、机顶盒、无线接入点、基站、订户站、移动订户中心、无线电网络控制器、路由器、集线器、网关、网桥、交换机、机器、或其组合。虽然图1中示出的系统100具有按照某种拓扑结构的有限数量的元素,但可以理解,系统100可以视给定实现的需要而包括按照替代拓扑结构的更多或更少元素。数据服务110和数据中心120可经由各种类型的通信介质通信地耦合。数据服务110和数据中心120可协调彼此间的操作。该协调可以涉及单向或双向信息交换。例如,数据服务110和数据中心120可以传递通过通信介质传递的信号形式的信息。该信息可被实现成分配给各条信号线的信号。在这些分配中,每一消息都是信号。然而,其他实施例可另选地采用数据消息。这些数据消息可以跨各个连接发送。示例性连接包括并行接口、串行接口和总线接口。在各实施例中,系统100可包括数据服务110。数据服务110可通过云计算模型来实现。在云计算模型中,可就像所述应用和数据是在本地设备上一样地提供应用和服务,而不需要在本地计算机上安装应用和/或存储数据。然而,所述应用和/或数据存储可以跨越从本地服务器通过网络接口可访问的许多设备、服务器、和数据存储实现。在云计算模型中,数据服务110可以被物理地实现在一个或多个服务器上,并且实现于一个或多个物理位置。无论物理配置如何,数据服务Iio可对诸如数据中心120之类的外部实体逻辑地显示为一个设备或系统。数据服务HO可将其结构和/或操作的各部分跨多个计算实体分布。数据服务110的示例可包括但不限于,客户机-服务器架构、3层架构、N层架构、紧耦合或群集的架构、对等架构、主-从架构、共享数据库架构以及其他类型的分布式系统。各实施例不限于该上下文。数据服务110可存储数据并在数据中心120的远程为数据中心120提供与数据相关的服务。数据服务的示例可包括例如但不限于微软SHAREPO丨NT ONLINE。数据服务110可由与控制数据中心120的实体不同的实体所控制。可代表数据中心120操作数据服务110以存储数据并提供对数据的安全访问等服务。在一个实施例中,数据服务110可由提供一个或多个功能的一个或多个服务器所组成。例如,数据服务110可包括主存数据服务110提供的任何网页和web服务的一个或多个web服务器130。数据服务110可包括主存数据服务110提供的任何服务应用的一个或多个应用服务器140。数据服务110可包括存储与数据服务110相关联的一些或全部数据的一个或多个数据库服务器150,数据包括例如配置设置、管理信息、与应用相关联的数据以及用户生成的数据。数据服务110可包括查询数据服务110中的数据并返回匹配的结果给例如web服务器130用于呈现的查询服务器160。各实施例不限于这些示例。数据服务110可以诸如数据中心120之类的数据中心所使用的任何格式存储数据。数据可以是例如但不限于文字处理文档、电子表格文档、样式文档、数据库、多媒体文件、因特网浏览器可读的文档、企业管理数据等格式。数据可以根据数据服务110可提供给数据中心120的应用来被格式化。各实施例不限于这些示例。在各实本文档来自技高网...
【技术保护点】
一种计算机实现的方法,包括:在前端服务处生成用于数据中心的秘密(502);在前端服务接收来自数据中心中的客户机的访问后端存储的请求(504);使用为所述数据中心生成的所述秘密来从所述前端服务访问所述后端存储(506);以及将访问所述后端存储的结果返回给所述客户机(508)。
【技术特征摘要】
2011.12.22 US 13/334,3601.一种计算机实现的方法,包括在前端服务处生成用于数据中心的秘密(502);在前端服务接收来自数据中心中的客户机的访问后端存储的请求(504);使用为所述数据中心生成的所述秘密来从所述前端服务访问所述后端存储(506);以及将访问所述后端存储的结果返回给所述客户机(508)。2.如权利要求1所述的方法,其特征在于,访问所述后端存储包括执行所述后端存储上的进程。3.如权利要求1所述的方法,其特征在于,所接收到的请求不包括所述秘密。4.如权利要求1所述的方法,其特征在于,秘密包括以下的至少一个用户名;口令;数字证书;以及私有密钥。5.如权利要求1所述的方法,其特征在于,还包括在身份系统(330)处认证来自所述客户机的对所述数据中心(320)的请求(602);以及验证所述请求(606 )。6.如权利要求1所述的方法,其特征在于,还包括监视从所述前端服务对所述后端存储的访问(610);当所述访问是未授权或非有效中的至少...
【专利技术属性】
技术研发人员:J·伯奇,A·戴特,D·江普,V·马尔霍特拉,B·阿尔布雷克特,A·D·德米尔吉奥卢,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。