用于保证而不显露基础结构的复合认证的制作方法

用于保证而不显露基础结构的复合认证的制作方法
【专利说明】
【背景技术】
[0001]除非在此处进行说明，否则此处所描述的材料不是本申请权利要求的现有技术并且不因包含在该部分中而承认是现有技术。
[0002]随着基于云的计算变得更加普遍，云服务会变得更加廉价且更加通用。在一些情况下，基于云的服务应用可构建于其他云服务或平台之上。这些基于服务的云体系结构可以提供用于快速构建强大数据中心应用的灵活的工具。连同云服务的认证一起，基于服务的体系结构可允许在保持期望标准的同时实现复杂目标的商业处理服务的自动发现和构建。云服务认证可以利用证书来建立各服务要素对各自规则、标准和惯例的遵守。通常，可以通过将支持上级应用的较低级子服务的证书暴露于应用客户来确认这些证书。例如，如果特定的存储服务是应用的基础，则可以将用于该特定存储服务的特定证书显露给客户。这意味着，使用服务的任何人都可以得知用来构建上级服务的所有子服务。
[0003]发明概述
[0004]本公开一般描述了在基于数据中心的服务环境中采用复合认证来进行保证而不显露基础结构的技术。
[0005]根据一些示例性的实施例，采用复合认证用于保证的方法可以包括:在媒介认证服务处接收来自服务应用的用于认证的重定向请求；从认证权威处请求与服务应用和服务应用的服务要素相关联的证书；接收证书；基于接收到的证书构成复合证书，其中复合证书禁止服务要素的标识；以及响应于重定向请求而提供复合证书。
[0006]根据其他的示例性实施例，采用复合证书用于保证的方法可以包括:从数据中心托管的应用接收服务请求，其中所述请求包括认证请求；将认证请求与服务请求分离；从认证权威处请求与应用和应用的服务要素相关联的证书；接收证书；基于接收到的证书构成复合证书，其中复合证书禁止服务要素的标识；以及响应于服务请求而提供复合证书。
[0007]根据另外的示例性实施例，配置为采用复合认证用于保证的媒介认证服务可以包括:通信模块，其配置为与数据中心和认证权威所托管的服务应用通信；以及服务器。该服务器可配置为:从服务应用接收用于认证的重定向请求；从认证权威处请求与服务应用和服务应用的服务要素相关联的证书；接收证书；基于接收到的证书构成复合证书，其中复合证书禁止服务要素的标识；以及响应于重定向请求而提供复合证书。
[0008]根据另外的示例性实施例，配置为采用复合认证用于保证的基于云的数据中心可以包括:多个虚拟机，其可操作以在一个或多个物理机上执行，其中至少一个虚拟机托管配置为向客户提供组合服务的服务应用。数据中心还可以包括数据中心控制器，其配置为:从数据中心所托管的服务应用接收服务请求，其中该请求包括认证请求；将认证请求与服务请求分离；以及将认证请求转送给媒介认证服务，使得响应于服务请求而通过媒介认证服务来提供禁止服务要素的标识的由用于子服务的各证书构成的复合证书。
[0009]根据一些示例性的实施例，计算机可读存储介质可以存储采用复合证书用于保证的指令。所述指令可以包括:在媒介认证服务处接收来自服务应用的用于认证的重定向请求；从认证权威处请求与服务应用和服务应用的服务要素相关联的证书；接收证书；基于接收到的证书来构成复合证书，其中复合证书禁止服务要素的标识；以及响应于重定向请求而提供复合证书。
[0010]根据其他的示例性实施例，计算机可读存储介质可以存储采用复合认证用于保证的指令。所述指令可以包括:从数据中心托管的应用接收服务请求，其中所述请求包括认证请求；将认证请求与服务请求分离；从认证权威处请求与应用和应用的服务要素相关联的证书；接收证书；基于接收到的证书构成复合证书，其中复合证书禁止服务要素的标识；以及响应于服务请求而提供复合证书。
[0011]前面的概述仅仅是示例性的，而不意在以任何方式进行限制。通过参考附图以及下面的详细说明，除了上文所描述的示例性的方案、实施例和特征之外，另外的方案、实施例和特征将变得清晰可见。
【附图说明】
[0012]通过下面结合附图给出的详细说明和随附的权利要求，本公开的前述特征以及其它特征将变得更加清晰。应理解的是，这些附图仅描绘了依照本公开的多个实施例，因此，不应视为对本发明范围的限制，将通过利用附图结合附加的具体描述和细节对本公开进行说明，在附图中:
[0013]图1示出了复合认证可用于保证而不显露基础结构的示例的基于数据中心的系统；
[0014]图2示出了示例的系统，其中的应用提供组合服务及其子服务各自向该应用的客户提供单独的证书；
[0015]图3示出了示例的系统，其中通过使用复合证书能够使提供组合服务的应用避免暴露其子服务；
[0016]图4A示出了示例的系统，其中独立的媒介服务管理复合证书；
[0017]图4B示出了示例的系统，其中托管该应用的数据中心管理复合证书；
[0018]图5示出了通用计算设备，其可用于管理用于保证的复合认证而不显露基础结构；
[0019]图6是示出可以通过诸如图5中的设备的计算设备执行的示例方法的流程图；以及
[0020]图7不出了不例的计算机程序广品的框图；
[0021]所有都是依照本文所描述的至少一些实施例来布置的。
[0022]发明详述
[0023]在下面的详细说明中，将参考附图，附图构成了详细说明的一部分。在附图中，除非上下文指出，否则相似的符号通常表示相似的部件。在详细说明、附图和权利要求中所描述的示例性实施例不意在限制。可以使用其它实施例，并且可以做出其它改变，而不偏离本文呈现的主题的精神或范围。将易于理解的是，如本文大致描述且如图中所图示的，本公开的方案能够以各种不同配置来布置、替代、组合、分离和设计，所有这些都在本文中明确地构思出。
[0024]本公开一般尤其涉及与采用复合认证用于保证而不显露基础结构有关方法、装置、系统、设备和/或计算机程序产品。
[0025]简言之，提出了经由证书媒介来提供复合证书的技术。在一些示例中，证书媒介可以生成复合证书，复合证书捕获应用的通过认证的行为及其基础子服务，而不显露用于提供给客户的子服务的标识。证书媒介可以从认证权威接收各证书。在其他示例中，认证权威可以生成复合证书，或者证书媒介可以充当至少一部分子服务的认证权威。
[0026]图1示出了依照本文所描述的至少一些实施例布置的复合认证可用于保证而不显露基础结构的示例的基于数据中心的系统。
[0027]如图100所示，物理数据中心102可以包括一个或多个物理服务器110、111和113，多个物理服务器中的每一个可配置为提供一个或多个虚拟机104。例如，物理服务器111和113可以配置为分别提供四个虚拟机和两个虚拟机。在一些实施例中，一个或多个虚拟机可以组合到一个或多个虚拟数据中心中。例如，服务器111提供的四个虚拟机可以组合到虚拟数据中心112中。虚拟机104和/或虚拟数据中心112可配置为经由云106向诸如个体用户或企业客户的一组客户108提供诸如各种应用、数据存储、数据处理或类似服务的云相关数据/计算服务。
[0028]在一些示例中，一个或多个客户108可以经由组合了诸如存储、计算等各种子服务的数据中心向其客户端提供组合服务。客户108的客户端可以对来自客户108的服务请求认证。这种认证可以由第三方认证权威来提供。认证权威是发布数字证书的实体。数字证书可以通过证书的被指明主体来证明公共密钥的所有权。这允许其他人(依赖方)依赖于通过对应于经认证的公共密钥的私有密钥所做出的签名或断言，在这种信任关系的模型中。因此，认证权威是证书的主体(所有者)和依赖于证书的一方两者都信任的可信第三方。认证权威特点在于许多公共密钥基础结构(PKI)方案。VeriSigruComodo和DigiNotar是一些示例的商业基础认证权威。大量的其他公司为例如其自己的软件提供证书。在一些情况下，在客户端信任的情况下数据中心操作者可以是认证权威，并且在被信任的情况下客户108甚至可以是“自签名”认证权威。例如，如果公司X为雇员或子公司提供服务，则该公司还可以充当认证权威。在常规环境下，第三方认证权威可以认证组合服务以及单个的子服务，从而向请求客户端标识子服务。在根据实施例的系统中，对于认证单个的子服务而没有向客户端标识它们的组合服务，可以生成复合证书。
[0029]图2示出了依照本文所描述的至少一些实施例布置的提供组合服务及其子服务的应用各自向应用的客户提供单独的证书的示例的系统。
[0030]如图200所示，应用客户224可以请求并接收来自应用226的服务。应用226可以操作于平台服务228 (例如，提供硬件体系结构和/或软件架构以及其他以便运行应用的基于云的服务)之上。应用226还可以由存储服务230(即，提供数据存储的服务，通常是基于云的服务)、计算服务232 (即，提供处理/计算能力的服务，通常是基于云的服务)、和/或任何其他服务支持。认证权威220可配置为对应用226、平台服务228、存储服务230和/或计算服务232执行测试且获得测试结果222。对应用226或子服务的测试可以包括测试应用处置各种数据量的容量、在繁忙条件下(例如，大量的客户端请求)的响应性、响应速度等。测试结果222可以与应用/服务是否遵守特定的规则、标准和/或惯例有关。
[0031]基于测试结果222、商业处理文档、审查或其他评估，认证权威220可以向应用和/或其子服务发布证书，其中每个证书可以证明关联的实体拥有某些属性或者满足某些条件。条件可以基于行业标准或客户端要求。例如，存储容量、数据传输速度、处理容量、安全级别等可以被定义为客户端请求条件。诸如数据处理容量、安全性等应用和/或子服务特征可视为针对该条件进行认证的特性。在示例的方案中，认证权威220可以发布应用证书234，证明应用226拥有属性“A”。认证权威220还可以发布平台证书236，证明平坦服务228拥有属性“B”。认证权威220可以进一步发布存储证书238，证明存储服务230拥有属性“C”。并且，认证权威220可以发布计算证书240，证明计算服务232拥有属性“D”。在一些实施例中，可以涉及到多于一个的认证权威。例如，应用证书234可以由一个认证权威发布，而平台证书236可以由不同的认证权威发布。在一些实施例中，多个认证权威可以发布用于单个应用或服务的证书。
[0032]当应用客户224接收到来自应用226的通过认证的服务时，应用客户224还可以请求并接收所有的证书234、236、238和240，从而确认认证权威220对接收到的服务的认证。
[0033]向应用客户224提供证书234、236、238和240中的每一证书可以意味着，应用客户224可以接收关于成为应用226的基础/支持应用226的具体服务的标识信息。例如，平台证书236可以标识平台服务228，存储证书238可以标识存储服务230，计算证书240可以标识计算服务232。然而，在一些实施例中，应用226的提供者可能不想公开支持应用226的具体服务。例如，利用其他服务的创造性的组合(有时称为“混聚”)的应用的提供者可能不想显露所组合的具体服务的标识。客户或竞争者能够容易地复制所标识的应用或者可以在应用226不充当媒介的情况下来使用它们。
[0034]一种可能的解决方案可以是允许应用226通过例如利用通过认证的属性的逻辑组合由证书234、236、238和240来构成交叉证书。例如，应用226可以通过利用分别来自证书234、236、238和240的属性的逻辑组合来构造交叉证书，证明应用226所提供的服务具有属性“A”、“B”、“C”和“D”。