云维护和授权方法及其系统技术方案

本发明专利技术提供一种计算系统维护的访问授权方法。所述方法可包括提供用于控制所述计算系统的管理程序，提供与所述计算系统通信连接的位置授权延展。所述位置授权延展可包括GPS的第一接收器。所述方法还可包括为所述位置授权延展限定第一有效范围，提供包括GPS的第二接收器的服务授权模块，和为服务授权模块限定第二有效范围。进一步地，所述方法包括确定所述位置授权延展位于第一有效范围之内和所述服务授权模块位于第二有效范围之内，和在所述管理程序的控制下，准许计算系统的维护的物理访问，其中所述服务授权模块和所述位置授权延展是通信连接的。

【技术实现步骤摘要】
云维护和授权方法及其系统
本专利技术一般地涉及一种访问授权方法，用于维护在云环境中的计算系统。本专利技术进一步涉及一种访问授权系统，位置授权延展，计算系统，数据处理程序，以及一种计算机程序产品。
技术介绍
现在，许多计算装置通过云计算中心提供的云服务交付(具体地，公共云计算或私人云计算中心，或简单云中心)。云服务可包括技术如软件即服务，平台即服务和/或基础架构即服务(IaaS)。公共云系统典型地由云提供者操作，云提供者向被称为云服务客户或客户的私人(企业对客户，B2C)或企业客户(企业对企业，B2B)提供云服务。琐碎的云服务可以是通过安装的任何类型的操作系统对计算系统的访问，所述操作系统可以是由云服务提供者向客户提供的。通过使用像CIFS (通用网络文件系统WPNFS (网络文件系统)的标准协议或专有实施方案，无格式存储服务可以在存储云之外提供。一般，基于特定于应用的协议提供应用服务。经常，云服务中心的操作系统可不直接在实体计算系统上运行，而在管理程序上运行。抵制使用和消费云服务的关键顾虑是安全性的不足。云服务的客户希望保护他们的数据。云客户还想要一个稳定的计算环境，这样系统一旦建立可以不被云计算中心内的服务个人的维护硬件组件所停止。为了在云计算中心提供高标准的安全性，开发一些先进技术。文献W02010/059673A2公开了基于云的安全系统中通道的系统、方法和装置。当通道从一个处理节点向另一个处理节点移动时，安全服务的企业和处理节点之间的通道(例如数据通道)的管理通过虚拟网关节点和移动失效备援的使用而变得容易，降低了数据交换的影响。文献US2011/0072486A1公开了一种系统，包括一个或多个与存储器和执行逻辑块相耦合的处理器。策略生命周期组件被配置成用来维持安全策略库。安全策略库包括管理访问虚拟主机和访问虚拟主机上运行的多个虚拟机器的多个策略。策略生命周期组件还被配置成用来向在虚拟主机上运行的被标识的虚拟操作系统发布混合策略。然而，在云计算环境下管理安全维护的已知系统可能通常依赖于从非虚拟化计算中心获知的方法。因此，需要一种改进的方法用于在云环境中访问计算系统，这样向云服务客户提供高度安全性。
技术实现思路
这种需要可以通过如独立权利要求所述的维护云环境下的计算系统，访问授权系统，位置授权延展，计算系统，和计算机程序产品的方法来解决。依据一个实施例，可提供一种访问授权方法，用于维护云环境下的计算系统。所述方法可以包括提供管理程序，用于控制计算系统，提供位置授权延展，通信耦合到所述计算系统，特别是计算系统的中央处理单元(CPU)，其中所述位置授权延展可包括用于全球定位系统的第一接收器。所述方法可进一步包括为所述位置授权延展限定第一有效范围，也提供包括用于全球定位系统的第二接收器的服务授权模块。此外，所述方法可以包括为所述服务授权模块限定第二有效范围，且基于来自第一接收器的第一位置信号和第二接收器的第二位置信号确定所述位置授权延展可以位于第一有效范围内，和所述服务授权模块可以位于第二有效范围内，其中所述服务授权模块和所述位置授权延展可以通信地耦合。最后，所述方法可包括在管理程序的控制下准许维护所述计算系统的物理访问。 具体地，所述维护可由个人服务人员完成。依据另一个实施例，可以提供一种用于在云环境下用于维护计算系统的访问授权的访问授权系统。所述访问授权系统可包括通信地耦合至计算系统的位置授权延展，其中所述位置授权延展可包括用于全球定位系统的第一接收器，用于控制计算系统的管理程序，用于为位置授权延展限定第一有效范围的第一限定单元，和用于为服务授权模块限定第二有效范围的第二限定单元。所述服务授权模块可包括用于全球定位系统的第二接收器，其中所述服务授权模块和所述位置授权延展可以通信地耦合。所述管理程序可用于根据来自第一接收器的第一位置信号和第二接收器的第二位置信号确定所述位置授权延展可以位于第一有效范围内，和所述服务授权模块可以位于第二有效范围内。进一步，可以存在准许单元。所述准许单元适于在管理程序的控制下准许用于维护计算系统的物理连接。根据上述的实施例，可以提供一种集成在计算系统的中央处理单元中的位置授权延展。所述位置授权延展可包括用于全球定位系统的接收器和用于存储密钥和有效范围的验证存储器。详细说明可以指出，服务授权模块和位置授权延展之间的通信耦合可以基于有线或无线来实现。为了建立有线连接，服务授权模块可以插入到插座中，所述插座可以与位置授权延展电连接。还可以指出，如果第一和第二有效范围相同，服务授权模块可能需要位于第一有效范围内且因此在计算系统的有效范围内。上述用于维护的访问授权方法可以具有数个优点。如果服务人员具有安全授权，位于云计算中心中的计算系统可以仅被访问用于维护，因此为了维护的目的，计算系统可以不会由于意外而停止或关闭。因为云服务客户可典型地远离云计算中心，因此可以被云服务客户实际访问的计算机的关闭或虚拟机的停止可对云服务客户和云服务提供者之间的业务关系造成不可预料的损害。所述方法可以提供一种更安全的方式来保护作为云计算环境一部分的计算系统，这样这些计算系统为了维护任务可以不被非授权地访问。因为在一些云计算服务中心中，建立有数百个计算系统，这些计算系统可能经常需要维护，很容易发生由服务人员造成的用于维护的计算系统的不当选择。这可以通过建议的解决方案而避免。另外，所述云服务客户和云服务管理中心可基于地理位置或范围被授权。在本申请的语境中，具有以下约定:访问授权-术语“访问授权”可表示对计算系统的物理访问。可在云计算中心中建立计算系统。所述计算系统可通过物理的方式得到保护，例如，上锁的机箱，机柜，或其他任何种类的对计算系统的物理保护。对这些系统的授权访问可表示解锁前述装置。另外，对系统的访问可以通过软件层级锁定，这样系统管理访问任务可以被禁用。计算系统-术语“计算系统”可表示任何计算系统，像服务器系统，存储架(storage rack)组件,在架系统中建立的片系统,磁带系统或在计算中心,特别是典型地在云计算中心中建立的其他任何种类的装置。管理程序-术语“管理程序”可表示在计算系统的物理硬件上建立的用于运行一个或多个虚拟机的控制程序。位置授权延展-这个术语可表示至计算系统(特别是以上意义下的计算系统的中央处理单元(CPU))的物理硬件延展。它实质上是硬件层级的CPU的一部分或至CPU的链接。它可以例如被集成在主板上或可替换地作为一种可移动组件被提供。全球定位系统-术语“全球定位系统”可表示一种可以允许用于全球定位系统的接收器来确定它在地球上的物理位置的系统。该位置可与接收器存储在一起的地图有关，这样位置可以在地图上标出。然而，在一些情形中，仅仅给出地理位置坐标。范围-术语“范围”可表示二维或三维物理维度中的物理环境。所述范围可由多边形限定，其中多边形的各边可由例如地理位置坐标限定或给出。服务授权模块-术语“服务授权模块”可表示可由维护人员携带的物理系统。在上述意义下，维护人员可具有执行云计算中心的计算系统的数个服务工作的任务。服务授权模块可以是物理装置，包括全球定位系统接收器和用于控制和通信目的的其他电子组件。它对云计算中心的计算系统的安全授权访问是有帮助的。云环境-术语“云环境”或“云计算本文档来自技高网...

【技术保护点】
在云环境中用于维护计算系统（302）的访问授权的方法（100），所述方法（100）包括：?提供（102）管理程序（402），用于控制所述计算系统（302），?提供（104）与所述计算系统（302）通信耦合的位置授权延展（502），其中所述位置授权延展（502）包括用于全球定位系统的第一接收器（509），?为所述位置授权延展（502）限定（106）第一有效范围（204），?提供（108）服务授权模块（510），其包括用于全球定位系统的第二接收器（512），?为服务授权模块（510）限定（110）第二有效范围（206,210），?根据来自第一接收器（509）的第一位置信号和第二接收器（512）的第二位置信号，由管理程序（402）确定（112）所述位置授权延展（502）位于第一有效范围（204）之内，和所述服务授权模块（510）位于第二有效范围（206,210）之内，其中所述服务授权模块（510）和所述位置授权延展（502）通信耦合，以及?在所述管理程序（402）的控制下，准许（114）对所述计算系统（302）维护的物理访问。

【技术特征摘要】
2011.12.01 EP 11191490.91.在云环境中用于维护计算系统(302)的访问授权的方法(100)，所述方法(100)包括: -提供(102 )管理程序(402 )，用于控制所述计算系统(302 )， -提供(104)与所述计算系统(302)通信耦合的位置授权延展(502)，其中所述位置授权延展(502)包括用于全球定位系统的第一接收器(509)， -为所述位置授权延展(502)限定(106)第一有效范围(204)， -提供(108)服务授权模块(510)，其包括用于全球定位系统的第二接收器(512)， -为服务授权模块(510)限定(I 10)第二有效范围(206，210)， -根据来自第一接收器(509 )的第一位置信号和第二接收器(512)的第二位置信号，由管理程序(402 )确定(112 )所述位置授权延展(502 )位于第一有效范围(204)之内，和所述服务授权模块(510)位于第二有效范围(206，210)之内，其中所述服务授权模块(510)和所述位置授权延展(502)通信耦合，以及 -在所述管理程序(402)的控制下，准许(114)对所述计算系统(302)维护的物理访问。2.根据权利要求1所述的方法(100)，其中所述服务授权模块(510)和所述位置授权延展(502)之间的通信耦合被加密。3.根据权利要求1或2所述的方法(100)，其中所述位置授权延展(502)包括验证存储器(506 )，其用于存储表示在计算系统(302 )上在管理程序(402 )的控制下运行的虚拟机(404)的图像的第一密钥，和用于与所述第一密钥一起存储所述第一有效范围(204)。4.根据前述任一项权利要求所述的方法(100)，其中所述验证存储器(506)用于与所述第一密钥一起存储所述第二有效范围(206，210)。5.根据权利要求3或4所述的方法(100)，其中在管理程序(402)控制下运行的虚拟机(404)的图像以加密的形式存储和/或传送给所述管理程序(402)，其中所述第二密钥用于解密。6.根据前述任一项权利要求所述的方法(100)，其中所述第一有效范围(204)和第二有效范围(206，210)每个都由至少三个不同的物理位置的坐标所限定，所述至少三个不同的物理位置限定了相应的有效范围(204，206,210)的角，其中相应的...

【专利技术属性】
技术研发人员：JP·阿克尔拜恩，W·穆勒弗里特，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：