公共云(100)中的云管理节点(102)与私有云(114)中的私有管理系统(116)共同工作,来管理对云服务的供应和从私有云(114)对云服务的访问。公共云中不需要保存或复制私有数据,使得数据安全性得到增强。私有管理系统(116)发放用于授权的令牌,使得可以控制用户对云服务的访问。云管理节点(102)从私有云(114)接收供应请求,并且选择适当的服务提供商节点(112)并向其通知:供应请求正在等待。在示例中,私有云(114)处的管理员能够以简单有效的方式来为多个用户管理云服务访问,并且用户能够从单个账户操作多个云服务。
【技术实现步骤摘要】
【国外来华专利技术】针对云服务的安全管理
技术介绍
云服务(例如,通过互联网、内联网或其他通信网络提供的软件应用和/或计算资源)日益广泛地分布于许多领域中。例如,在文档管理、图像处理、护照控制系统、数据库访问、信息检索以及其他领域中。存在许多不同的服务提供商,其中在网络中不同类型的服务提供商节点使用不同的通信协议和设备。终端用户通常向他们想要使用的每一个不同的服务提供商进行注册并且可以开设关于每一个不同的服务提供商的账户。终端用户设备与各种不同类型的服务提供商节点之间的通信根据该服务提供商设备的各种不同的通信协议来进行。通常,使用服务提供商节点处的技术来实现认证和授权过程。Huang等的“Securedataprocessingframeworkformobilecloudcomputing”2011描述了通过信任管理和私有数据隔离的移动云数据处理框架。US2011/256157描述了提供对存储在本地云中的内容的访问。一个设备可以指导监督稀有云的操作的图书管理员服务向另一个设备提供对存储在私有云中的内容的访问。Raekow等的“Licensemanagementingridandcloudcomputing”2010描述了一种许可管理架构,其能够实现按照使用进行支付的许可管理,其可以与按需计算情形部署在一起。EP1830520描述了一种方法和系统,其用于在系统部支持客户端定向到与当前范围不同的其它范围的情况下,重新定向客户端。Grimshaw等的“Anopengridservicesarchitectureprinter”2009描述了关于现有标准的一组标准接口、服务交互协议和简档,其提供用于构建鲁棒的网格应用和网格管理系统的基础。下面描述的实施例不限于解决公知的云服务设备和过程中的任何或所有缺陷的实施方式。
技术实现思路
下面的内容介绍了本公开的简要的
技术实现思路
,以便给读者提供基本的理解。本
技术实现思路
不是对本公开的广泛的概述,并且它不标识关键/重要的元素,也不描绘说明书的范围。它唯一的目的是以简单的方式来介绍本文公开的构思的精华,作为后续介绍的更详细的描述的序言。描述了针对云服务的安全管理。在各种实施例中,公共云中的云管理节点与私有云中的私有管理系统共同工作来管理对云服务的供应和从私有云对云服务的访问。在各种实施例中,公共云中不需要保存或复制私有数据,使得增强安全性。在各种实施例中,私有管理系统发放用于授权的令牌,使得可以控制用户对云服务的访问。在一些实施例中,云管理节点从私有云接收供应请求,并且选择和通知适当的服务提供商节点:供应请求正在等待。在示例中,私有云处的管理员能够以简单有效的方式来管理许多用户的云服务访问,并且用户能够从单个账户操作多个云服务。随着通过参考结合附图考虑的下面的具体实施方式而更好地理解许多伴随的特征,这些伴随的特征将更容易被认识。附图说明根据鉴于附图而阅读下面的具体实施方式,本描述将更容易被理解,其中:图1是通信网络云的示意图,通过所述通信网络云,服务是可用的并且所述通信网络云具有用于安全管理的各种实体;图2是云管理节点处的安全地供应或访问通信网络云中的资源的方法的流程图;图3是服务提供商节点处的方法的流程图;图4是私有管理系统处的方法的流程图;图5是安全地访问云服务的方法的流程图;图6是针对云服务的安全供应过程的消息序列图;图7是具有更多详细信息的图6的消息序列图;图8是针对云服务的安全访问控制过程的消息序列图;图9是另一安全访问控制过程的流程图;图10是私有域处的操作员/管理员的用于给予终端用户对一个或多个云服务的访问的方法的流程图;图11是第一云资源处用于安全地访问第二云资源的方法的流程图;图12示出了示例性的基于计算的设备,被用于针对云服务的安全管理的实体的实施例可以实现于其中。使用相似的附图标记来指明附图中相似的部分。具体实施方式下面结合附图提供的具体实施方式是要作为本示例的说明,而不是要表示可以构成或利用本示例的唯一形式。说明书阐述了示例的功能和用于构成和运行该示例的步骤的序列。然而,可以由不同的示例来完成相同或等价的功能和序列。图1是通信网络云的示意图,服务可通过所述通信网络云获得,并且所述通信网络云具有用于安全管理的各种实体。通信网络云是具有多个节点(例如,交换机、路由器、服务器或其他计算设备)的任何通信网络,所述多个节点是通过任何类型的通信链路(例如,无线通信链路或有线通信链路,例如以太网(商标)、光纤或其他)来进行互联的。通信网络云包括至少一个私有云114,私有云114包括多个通信网络节点,每一个通信网络节点都具有该云中的实体已知但其他实体不知的私有地址。例如,私有云114可以在防火墙后连接到一个或多个公共云100或其他通信网络节点。尽管在图1的示例中示出了一个私有云114和一个公共云100,但是实际上可以存在额外的公共和私有云和其他通信网络节点。公共云100中的通信网络节点的每一个都具有公共的并且对于公共或私有云中的其他节点而言是可用的地址。在示例中,私有云可以是企业、大学或其他组织的内联网或者国内的家庭计算网络。私有网络可以在地理上遍布多个位置,例如,在企业在超过一个国家中拥有设施的情况下。在公共云100中提供了多个服务提供商节点113,每一个服务提供商节点113都包括计算机实现的资源112。例如,资源可以是计算资源和/或软件应用。在示例中,服务提供商节点113被布置为提供信息检索系统,由此其他实体(其他实体可以是终端用户122和/或其他服务提供商节点)能够获得信息检索结果。利用服务提供商节点113的其他实体可以在公共云100或私有云114中。出于安全原因并且为了防止不适当的或恶意的使用,可以控制对服务提供商节点的访问。例如,访问服务提供商节点的实体可以向公共云中的服务提供商节点或相关联的节点进行注册,并且作为注册过程的一部分,网络地址、标识数据和其他私有数据可以存储在公共云的服务提供商节点或其他相关联的节点处。为了访问多个不同的服务提供商节点,终端用户122或其他实体可以注册多次,每一个不同的服务提供商节点一次。一旦成功地完成了注册,则终端用户或其他实体就可以访问服务提供商节点,其中在该服务提供商节点处成功地完成了授权和/或认证过程。此处应当意识到的是,这样的类型的注册和认证/授权过程是复杂的、耗时的,并且还引起安全风险。例如,通过以非常大的容量向服务提供商节点进行重复的请求,所述服务提供商节点对由恶意实体进行的拒绝服务攻击而言是开放的。同样,存在安全风险的原因在于在注册过程期间由终端用户提供的私有数据存于在公共云中(在公共云中潜在地被复制多次),并且因此对于泄露给恶意实体而言也是潜在开放的。同样,对于终端用户或其他实体而言困难的是,管理并且追踪他们具有的所有不同的注册以及公共云中相关联的数据的安全性。此处应当意识到的是,与服务提供商节点的通信随着时间而改变,例如,职员的加入、离开、角色的改变以及在合约人在限定时间的时间段内被给予对服务提供商节点的访问的情况下。这引入了附加的复杂性,尤其是在确保数据的安全性和管理授权和认证过程中。可以在公共云100中提供云管理节点102,以有助于针对云服务的安全管理。云管理节点102可以使用任何合适的通信协议(例如,安全断言标记语言(本文档来自技高网...
【技术保护点】
一种通信网络的公共域中的至少一个管理节点处的计算机实现的方法,包括:接收与用户相关联的针对一资源的请求消息,所述资源是由所述通信网络的公共域中的至少一个服务提供商节点提供的;使用所述通信网络的私有云中的私有管理系统处的与所述用户相关联的信息来对所述请求消息进行授权;如果检查成功,则使能对所述服务提供商节点的访问。
【技术特征摘要】
【国外来华专利技术】2012.01.17 GB 1200703.51.一种通信网络的公共域中的至少一个管理节点(102)处的计算机实现的方法,包括:接收与用户相关联的针对一资源的请求消息,所述资源是由所述通信网络的公共域中的至少一个服务提供商节点(113)提供的;使用所述通信网络的私有云中的私有管理系统处的与所述用户相关联的信息来对所述请求消息进行授权;如果检查成功,则使能对所述服务提供商节点的访问;向所述服务提供商节点(113)发送一消息,该消息用于将所述请求消息在所述管理节点(102)处可用通知给所述服务提供商节点(113);以及允许所述服务提供商节点(113)从所述管理节点(102)收集所述请求消息。2.如权利要求1所述的方法,其中,对所述请求消息进行授权包括:从所述私有管理系统接收令牌,所述令牌指定所述用户对所述资源的访问。3.如权利要求1或权利要求2所述的方法,其中,所述请求消息是作为从所述服务提供商节点进行重定向的结果而被接收的。4.如权利要求1或权利要求2中的任意一项所述的方法,其中,所述请求消息是从服务提供商节点(113)接收的。5.如权利要求1所述的方法,其中,对所述请求消息进行授权是作为所述用户登录到所述管理节点(102)的门户上的结果而被完成的。6.如权利要求1、5中的任意一项所述的方法,包括:识别与所述服务提供商节点(113)相关联的公钥,并且使用所识别的公钥来对所述请求消息进行加密。7.如权利要求1以及5中的任意一项所述的方法,包括:接收包括对资源的需求的所述请求消息;以及至少基于所述需求以及关于与所述服务提供商节点(113)相关联的资源的信息,来选择...
【专利技术属性】
技术研发人员:J·沃顿,D·沃勒尔,
申请(专利权)人:普罗克西伊姆有限公司,
类型:发明
国别省市:英国;GB
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。