设备例如硬件安全模块被提供为服务。计算资源提供者的客户能够请求设备到由计算资源提供者托管的客户的网络的添加。计算资源提供者配置一组计算资源,使得客户的设备能够与设备通信,好像设备在客户自己的网络中一样。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】提供设备即服务 相关申请的交叉引用 本申请要求2013年3月14日提交的标题为"PROVIDING DEVICES AS A SERVICE" 美国专利申请号13/830, 114的利益,该专利申请的公开通过引用被全部并入本文。 背景 分布式计算机系统提供了提供多种类型的服务的越来越有效的方式。然而当分布 式计算系统的复杂性和普遍性增加时,维持数据安全变得更有挑战性。存在至少与安全漏 洞被发现一样快地处理安全漏洞的不断的抗争。这个抗争被计算机系统及其使用发展的速 度和奖金增加的速率恶化。同时在很多背景中,数据的安全具有极大的重要性。很多人例 如将被预期保持私密的数据坦率地告诉公司,除了在相对少的情况中以外。安全缺口因此 可能对组织的操作有有害的影响,从信任和商誉的失去到由于安全缺口引起的系统故障而 不能做生意。 这些年来,发展了很多策略来处理对数据安全的不断增加的威胁。数据加密例如 可提供防止对数据的未授权访问的有效方式。作为结果,发展了复杂的设备以安全地存储 加密信息,例如加密密钥。虽然这样的设备常常为了各种目的而很好执行,将设备集成到各 种基础设施内可提出很多挑战。此外,这样的设备常常需要足够的投资,这对很多组织可能 是障碍。 附图简述 现在将参考附图描述根据本公开的各种实施方案,其中: 图1示出环境的例证性例子,其中本公开的各种实施方案可被实施; 图2示出根据至少一个实施方案的环境的例证性例子,其中硬件安全模块可被提 供为服务; 图3示出说明根据至少一个实施方案的提供硬件安全模块即服务的使用的方式 的图的例证性例子; 图4示出说明根据至少一个实施方案的硬件安全模块可被提供为服务的方式的 图的例证性例子; 图5示出说明根据至少一个实施方案的硬件安全模块可冗余地被提供的方式的 例证性例子; 图6示出根据至少一个实施方案的用于处理对硬件安全模块的请求的过程的例 证性例子; 图7示出根据至少一个实施方案的用于利用提供硬件安全模块的使用的服务的 过程的例证性例子;以及 图8示出各种实施方案可被实现的环境。 详细描述 在下面的描述中,将描述各种实施方案。为了解释的目的,阐述了特定的配置和细 节以便提供对实施方案的彻底理解。然而对本领域中的技术人员也明显,实施方案可在没 有特定细节的情况下被实施。此外,公知的特征可被省略或简化,以便不使被描述的实施方 案难理解。 本公开的实施方案涉及提供设备即服务的使用。在一些例子中,设备是硬件安全 模块(HSM),其由远程地托管各种计算资源的计算资源提供者向客户提供为服务,计算资 源由客户远程地管理并操作,计算资源的例子将在下面被描述。计算资源提供者的客户可 利用计算资源的服务来维持专用网络,例如由计算资源提供者托管的虚拟局域网(VLAN)。 VLAN可例如由计算资源提供者所操作的基础设施支持。 安全连接例如在互联网协议安全(IPsec)隧道上的虚拟专用网络连接可将远程 托管的网络连接到在客户的房屋内托管的网络。来往远程托管的网络的流量可由计算资源 提供者管理,使得从在客户的房屋内网络中的设备的观点看,与在远程托管的网络中的设 备的通信出现,好像远程托管的网络的设备位于客户的房屋内网络中的设备中一样。例如, 到远程托管的网络中的设备的通信可由客户设备寻址以在由客户管理的网络地址的空间 中寻址(例如到由客户管理的网络的子网中的网络地址)。计算资源提供者可使用各种技 术例如网络地址转换(NAT)来通过它自己的网络将网络通信路由到它们的正确的目的地。 在本公开的各种实施方案中,客户能够与计算资源提供者(例如通过由计算资源 提供者操作的适当系统)交互,用于管理远程托管的网络的目的。客户可例如将电子请求 提交到计算资源提供者以将一个或多个设备添加到远程托管的网络,从远程托管的网络移 除一个或多个设备,重新配置远程托管的网络的网络拓扑,以及用于其它目的。请求可例如 出现在可利用各种Web服务技术的适当配置的应用编程接口(API)调用上。计算资源提供 者可处理请求,且如果适当,则如所请求的重新配置客户的网络。 在一些实施方案中,客户能够为了将一个或多个HSM添加到远程托管的网络的目 的而与计算资源提供者交互。为了处理对HSM被添加到客户的网络的请求,计算资源提供 者可从一组可用HSM选择适当的HSM,并例如通过在数据暂存器中对客户标记HSM的任务 以防止HSM用于其它客户同时被分配给客户来将HSM分派给客户。计算资源提供者可建立 HSM的网络(服务网络),例如VLAN并将网络接口添加到客户的远程托管的网络中的服务 网络。服务网络的网络接口可具有在客户的IP地址空间中的地址,使得客户可与HSM通信, 好像HSM在客户自己的网络中一样。客户可配置在客户的房屋内网络、房屋外网络或这两 者中的一个或多个HSM客户端。这个过程可重复以给客户提供多个HSM的客户使用,例如 增加可用性或降低时延。 各种技术可用于提供客户增强的数据安全。例如在一些例子中,HSM具有至少两个 管理接口。第一管理接口可由计算资源提供者使用来执行各种管理功能,例如永久地(即 不能取消地)擦除存储在HSM上的任何加密信息。通过第一管理接口可得到的另一管理功 能在一些实施方案中创建访问第二管理接口的账户。能够访问第一管理接口的账户可与能 够访问第二管理接口的一个或多个账户共享一些特权,例如永久地擦除加密信息的能力。 然而,能够访问第一管理接口的账户具有一些不同的访问权利。例如,在一些实施方案中, 第一管理接口不能够访问由HSM存储的加密信息。然而第二管理接口可具有额外的管理能 力,例如创建安全高级职员账户的能力。安全高级职员账户可具有创建和/或删除HSM的 分区、创建客户端并使HSM执行加密操作的能力。 为了向客户确保计算资源提供者不访问客户的存储在HSM中的加密信息,计算资 源提供者可以用给客户对可访问HSM加密信息的人的控制的方式来给客户提供对HSM的访 问。例如,计算资源提供者可使用第一管理接口来创建能够访问第二管理接口的账户。所 创建的账户的证书可被提供给可使用证书来改变证书(例如改变密码)的客户,从而从计 算资源提供者移除对第二管理接口的访问。客户可接着使用第二管理接口来以计算资源提 供者不能够访问由HSM存储的加密信息的置信度进一步配置HSM。下面更详细讨论额外的 细节和特征。 图1示出环境100的例证性例子,其中本公开的各种实施方案可被实施。在这个 例子中,环境100包括计算资源提供者102和计算资源提供者的客户104。计算资源提供 者104可以是代表一个或多个客户托管各种计算资源的组织。例如,计算资源提供者可操 作用于托管各种计算硬件资源例如硬件服务器、数据存储设备、网络设备、在本文讨论的其 它设备和其它装备例如服务器机架、联网电缆等的一个或多个设施。计算资源硬件可利用 它的计算硬件资源来操作一个或多个服务。这样的服务可包括使计算资源提供者的客户能 够远程地管理计算资源以支持客户的操作同时减少或甚至消除客户投资于物理装备上的 需要的服务。示例服务包括但不限于各种数据存储服务(基于对象的数据存储服务、档案 数据存储服务、数据库服务等)、程序执行服务和其它服务。服务可由客户使用来支持各种 本文档来自技高网...
【技术保护点】
一种计算机实现的方法,包括:在配置有可执行指令的一个或多个计算机系统的控制下,从计算资源提供者的客户接收将硬件安全模块添加到客户网络的请求,所述客户网络由所述计算机资源提供者托管并由所述客户远程地管理;作为接收到所述请求的结果,从所述计算资源提供者的多个可用硬件安全模块选择硬件安全模块;在所述客户网络中创建与被分派到所述客户的所述选定硬件安全模块通信的另一网络的网络接口;以及配置所述网络接口和另一网络,使得通过所述客户网络递呈到所述网络接口的请求被提供到所述选定硬件安全模块。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:R·E·菲兹杰拉德,A·J·多恩,A·E·斯格夫,C·S·海马,R·闵,M·A·埃斯蒂斯,A·米希拉,
申请(专利权)人:亚马逊技术股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。