云服务安全管理的制作方法

本申请总体上涉及云服务安全管理。

背景技术：

本节说明了有用的背景信息，但不承认本文描述的任何技术代表本领域的状态。

云计算是提供用于运行计算机服务的高性价比平台的技术。专用服务器需要量化(dimension)用于峰值需求的计算能力，使得在绝大部分时间服务器将以低工作负载运行。云计算在池化的计算机之间动态地共享和分发计算工作。云计算还能够在服务使用者附近呈现计算，从而减少由洲际通信而引起的延迟。

云计算是一种高性价比技术，这得益于它对资源的动态或自适应共享，但遗憾的是，它也比专用服务器更难控制。只运行一种服务的专用服务器可以根据需要而容易地在服务级别和安全方面进行定制。完全相反，在云中运行的服务由位于一个或多个位置的许多不同的计算机执行并且这些系统的装备和配置可能差异很大。从使唯一可标识的硬件(该硬件支持敏感数据和代码的简易封装)转向虚拟化和/或可移动软件应用，已经出现了特殊的安全问题。虚拟化软件应用更容易复制/修改/移动，但它们必须依赖底层虚拟化系统(例如，底层管理程序和平台)的安全和隔离能力。再进一步，一些云横跨许多国家和大洲，使得实现不仅因为技术原因，也潜在地因为管理原因而不同，诸如合法拦截或隐私保护法规的强制性要求，这些法规可能强制执行特定的加密措施，这些措施在其它地方可能由于其计算成本而是不期望的。

虽然在云中管理服务实现可能很具有挑战性，但是可以使用复数个云来实现单个服务和/或可以在单个云内的复数个管理域内实现单个服务。另一方面，一个云通常运行许多不同的服务，这些服务中的每个服务都可能因其需求而有很大差异，并且必须与其它服务隔离。这种隔离要求是一个典型的但主要的安全要求。安全管理的特殊挑战性可能由在运行服务的不同云或子云中的安全环境的可变性、以及由经标识的/潜在的安全风险或威胁而引起。

计算机云通常被分成三类：私有云、公有云和包括公有云和私有云的混合云。在这些基本类型中，存在进一步变化，如云可以是虚拟私有云或社区云。

可能需要特定的安全机制来针对安全的虚拟环境和混合环境设置适当的条件，从而确保针对特定的目的或服务的足够的安全级别。平台完整性(信任管理)可以是这种特定安全机制的一个具体示例，用于虚拟设备(virtualappliance)的私钥和pki完整性的安全管理可以是另一具体示例。更普遍的第三示例是针对服务的安全生命周期管理，其范围从安全策略(sp)设计、sp实施和sp验证，到必须被配置、被监管和被监测的安全措施，以便知晓服务的风险情况的变化。安全机制的另一进一步示例可以被呈现为由多个管理域(云/子云，例如，作为用于云租户的服务)的防火墙检查或过滤的业务。

技术实现要素：

本发明的示例的各个方面都列在权利要求书中。

根据本发明的第一示例方面，提供了方法，该方法包括：

在运行云服务的云计算机环境中管理云服务的安全，该云计算机环境包括：第一计算机云实体，该第一计算机云实体具有第一安全能力并且处于由第一安全管理服务点按照预定义的第一安全要求来协调的安全管理之下；第二计算机云实体，该第二计算机云实体具有第二安全能力并且处于由第二安全管理服务点按照预定义的第二安全管理要求来协调的安全管理之下。

在云计算机环境中的云服务的安全的管理包括：

在第一安全管理服务点与第二安全管理服务点之间建立信任关系；

获取针对云服务的总体安全要求；以及

基于针对云服务的总体安全要求、第一安全能力和第一安全要求，针对第一安全管理服务点定义用于由第一计算机云实体来运行云服务的第一安全策略。

该方法可以还包括基于针对云服务的总体安全要求、第二安全能力和第二安全要求，针对第二安全管理服务点定义用于由第二计算机云实体来运行云服务的第二安全策略。

针对第一安全管理服务点的第一安全策略的定义可以包括与第一安全管理服务点协商。与第一安全管理服务点的协商可以包括交换所提议的安全策略参数或所提议的安全策略参数集。该协商可以包括在云服务的安全要求与可用于第一安全管理服务点的不同的备选安全策略之间确定最佳匹配。最佳匹配的确定可以使用优先级驱动算法。备选地或另外地，该协商可以包括减少云服务的一个或多个安全要求。云服务的一个或多个安全要求的减少可以包括平衡冲突的安全和网络管理需要，诸如服务质量(性能、延时、服务质量)。

第一计算机云实体和第二计算机云实体可以是不同的类型。第一计算机云实体和第二计算机云实体中的一个计算机云实体可以是电信云，诸如etsi网络功能虚拟化nfv云。第一计算机云实体和第二计算机云实体中的另一个计算机云实体可以是信息技术云。

云计算环境可包括租户所期望的安全功能性，诸如防火墙和被提供来访问安全功能性的直接基础设施。

针对第二安全管理服务点的第二安全策略的定义可以包括与第二安全管理服务点协商。

该方法可由自动云管理实体执行。该自动云管理实体可包括第二安全管理服务点。

计算机云实体可包括计算机云。计算机云实体可包括计算机子云。计算机云实体可包括计算机云的由不同管理域控制的不同部分。该不同部分可以是虚拟化资源和可共享的资源。

管理域ad可以指代由单个组织或管理权限操作的系统和网络的类集。构成ad的组件可以基于稳定的信任关系在它们之间以相当程度的相互信任进行互操作，虽然可能需要建立暂时的，特定的信任关系以用于互操作其他域。。

ad可以按照分层的方式而被组织。一个ad可指明一个或多个子ad。可以利用有界限的和非重叠性的影响范围和相关资源来定义子ad。

在针对所述云服务定义第一安全策略中，第二安全管理服务点可用作主设备并且第一安全管理服务点可用作从设备。同时，对于使用所述第一云实体和所述第二云实体运行的某个其他服务的安全管理，第一安全管理服务点和第二安全管理服务点的层次关系可以是不同的。

针对云服务的安全要求的获取可以包括从安全策略权限接收安全要求。第二安全策略可以以下而被建立：将总体安全要求传播给第一安全管理服务点并且使得第一安全管理服务点来针对第二安全管理服务点定义第二安全策略。

可以将一个安全管理服务点设置为主安全管理服务点，该主安全管理服务点被配置为控制针对运行云服务的云计算机环境的其它安全管理服务点的安全策略的定义。

可以针对运行云服务的云计算机环境的每个计算机云实体的安全管理服务点而自动定义安全策略。

安全管理服务点可以使用用于域级安全管理的安全管理域级安全策略中介器。安全管理域级安全策略中介器可以维护安全要求和针对安全管理域所分配的能力。安全要求和所分配的能力可由给定的sla来定义。

安全管理服务点可以使用用于服务级安全管理的安全管理服务级安全策略中介器。服务级安全策略中介器可以维护用于在安全管理域中运行的复数个云服务的相应安全策略。

安全管理服务点可被配置为在它们的相应服务级安全策略中介器之间建立信任关系。第一安全策略可以是针对第一安全管理服务点的服务级安全策略中介器而被定义的。第二安全策略可以是针对第二安全管理服务点的服务级安全策略中介器而被定义的。

第一计算机云实体和第二计算机云实体可以是不同的类型。第一计算机云实体和第二计算机云实体可以驻留在不同的区域中。这些区域可包括城镇、县、联邦州、国家或大陆中的任何一种。

该方法可以包括协调动态调整第一安全策略。第一安全策略可以响应于第一安全要求的变化而被动态地调整。第一安全策略可以响应于总体安全要求的变化而被动态地调整。备选地或另外地，第一安全策略可以响应于云服务的变化而被动态地调整。备选地或另外地，第一安全策略可以响应于安全事件或安全事故而被动态地调整。

该方法可包括检测对改变第一安全策略的需要，并且响应地再次与第一安全管理服务点协商。

第一安全策略和第二安全策略可以是在包括第一安全管理服务点和第二安全管理服务点的各方之间的协商中被定义的。

计算机云实体中的安全管理可以由一个或多个安全管理实体来执行。安全管理服务点可以协调计算机云实体的一个或多个安全管理实体的操作。计算机云实体的一个或多个安全管理实体可以控制计算机云实体的操作。

根据本发明的第二示例方面，提供了在第一安全管理服务点中的方法，包括：

协调管理第一计算机云实体的安全，该第一计算机云实体具有第一安全能力并且处于按照预定义的第一安全要求的安全管理之下；

与第二安全管理服务点建立信任关系；

接收针对正在由相应的不同管理域的复数个计算机云实体运行的云服务的总体安全要求的指示；

基于总体安全、第一安全能力和第一安全要求定义第一安全策略；以及

根据第一安全策略控制第一云实体对云服务的运行。

第一安全策略的定义可以包括与第二安全管理服务点协商。该协商可以包括在云服务的安全要求与可用于第一安全管理服务点的不同的备选安全策略之间确定最佳匹配。最佳匹配的确定可以使用优先级驱动算法。备选地或另外地，该协商可包括减少云服务的一些安全要求(例如，针对性能的安全要求)。

该方法可以还包括向第二安全管理服务点通知第一计算机云实体中的安全相关变化。该安全相关变化包括以下中的任一项：安全事故；硬件变化；能力变化；第一能力的变化；或第一安全要求的变化。

该方法可以还包括与第二安全管理服务点协商以定义第一安全策略。与第二安全管理服务点协商可以触发重新定义第二安全策略。第二安全策略可与第二安全管理服务点协商。

根据本发明的第三示例方面，提供了云服务执行方法，包括：

由第一管理域针对第一管理域的第一计算机云实体指派预定的第一安全要求，该第一计算机云实体具有第一安全能力；

由第二管理域针对第二管理域的第二计算机云实体指派预定的第二安全要求，该第二计算机云实体具有第二安全能力；

由第一安全管理服务点按照预定义的第一安全要求来在第一计算机云实体中协调安全管理；

由第二安全管理服务点按照预定义的第二安全要求来在第二计算机云实体中协调安全管理；

在第一安全管理服务点与第二安全管理服务点之间建立信任关系；

获取针对云服务的总体安全要求；以及

基于针对云服务的总体安全要求、第一安全能力和第一安全要求，针对第一安全管理服务点定义用于由第一计算机云实体来运行云服务的第一安全策略。

根据本发明的第四示例方面，提供了云服务执行系统，包括：

实体，该实体用于管理云服务的安全；

第一管理域的第一计算机云实体，该第一管理域的第一计算机云实体具有第一安全能力和由第一管理域指派的预定的第一安全要求；

第二管理域的第二计算机云实体，该第二管理域的第二计算机云实体具有第二安全能力和由第二管理域指派的预定的第二安全要求；

第一安全管理服务点，该第一安全管理服务点被配置为按照预定义的第一安全要求来在第一计算机云实体中协调安全管理；

第二安全管理服务点，该第二安全管理服务点被配置为按照预定的第二安全要求来在第二计算机云实体中协调安全管理；

第一安全管理服务点和第二安全管理服务点进一步被配置为建立信任关系；

云管理实体，该云管理实体包括至少一个处理器，该处理器被配置为控制该云管理实体来执行：

获取针对云服务的总体安全要求；以及

基于针对云服务的总体安全要求、第一安全能力和第一安全要求，针对第一安全管理服务点定义用于由第一计算机云实体来运行云服务的第一安全策略。

根据本发明的第五示例方面，提供了设备，该设备包括至少一个处理器，该至少一个处理器被配置为使得该装置执行第一示例方面、第二示例方面或第四示例方面中的任一示例方面的方法。

根据本发明的第六示例方面，提供了包括计算机可执行程序代码的计算机程序，该计算机程序代码被配置为在被执行时使得装置执行：

在运行云服务的云计算机环境中管理云服务的安全，该云计算机环境包括：第一计算机云实体，该第一计算机云实体具有第一安全能力并且处于由第一安全管理服务点按照预定以的第一安全要求来协调的安全管理之下；第二计算机云实体，该第二计算机云实体具有第二安全能力并且处于由第二安全管理服务点按照预定义的第二安全管理要求来协调的安全管理之下；

云计算机环境中云服务的安全的管理包括：

在第一安全管理服务点与第二安全管理服务点之间建立信任关系；

获取针对云服务的总体安全要求；以及

基于针对云服务的总体安全要求、第一安全能力和第一安全要求，为第一安全管理服务点定义用于由第一计算机云实体来运行云服务的第一安全策略。

根据本发明的第七示例方面，提供了包括计算机可执行程序代码的计算机程序，该计算机程序代码被配置为，在被执行时使得装置在第一安全管理点中执行：

协调管理第一计算机云实体的安全，该第一计算机云实体具有第一安全能力并且处于按照预定义的第一安全要求的安全管理之下；

与第二安全管理服务点建立信任关系；

接收针对正在由相应的不同管理域的复数个计算机云实体运行的云服务的总体安全要求的指示；

基于总体安全、第一安全能力和第一安全要求定义第一安全策略；以及

根据第一安全策略控制第一云实体对云服务的运行。

根据本发明的第八示例方面，提供了非暂时性计算机可读存储器介质，该非暂时性计算机可读存储器介质包括前述示例方面中的任一示例方面的计算机程序。

本发明的不同的非限制性示例方面和实施例已在前面进行了说明。前述实施例仅用于解释所选择的可以在本发明的实现中被利用的方面或步骤。一些实施例可以仅参照本发明的某些示例方面而被提出。应当理解，对应的实施例也可以应用于其它示例方面。

附图说明

为了更全面地理解本发明的示例实施例，现在结合附图参照下面的描述，在其中：

图1示出了示例实施例的系统的架构图；

图2示出了在图1云上的云服务分布的示例；

图3示出了示例实施例的示意图，在该示例实施例中，安全管理服务点的操作在逻辑上被划分成三个级别；

图4示出了信令图，该信令图图示了用于启动云间安全管理来建立或控制跨了复数个云的云服务的示例实施例的过程。

图5示出了信令图，该信令图图示了用于启动云间安全管理来管理云服务设置的示例实施例的过程。

图6示出了适合用于实现smsp的功能性的装置的框图。

具体实施方式

本发明的示例实施例及其潜在的优点可以通过参考附图的图1至图5来理解。在本文中，相同的附图标记表示相同的部分或步骤。

图1示出了示例实施例的系统的架构图。图1示出了信息技术it云110和两个电信云(即，第一电信云120和第二电信云130)。除非另有限定，术语“云”是指代计算机云或计算云。术语“域”指代管理域(即，处于单个组织控制下的功能性的池)。在子云或虚拟化云服务的情况下，管理域指代对服务操作者可见的功能性，尽管一些其它方可以管理底层设备。

云中的每个云包括域间安全管理服务点smsp/c111和域安全管理服务点smsp/d114，分别作为域间和域内安全管理信令的相应参考点。在图1中，安全管理被划分成外部和内部(或暴露的)参考点(smsp/c111和smsp/d114)以及用于各个参考点的相应控制逻辑112、115。针对云内安全管理，域安全管理服务点控制相应的域安全管理块116。域安全管理块116被配置为控制域内安全管理。

控制逻辑与实际安全管理功能性(诸如云c_a110的安全管理块113和电信云120、130的安全管理块123)接口连接。在本示例中，云c_a安全管理块113被表示为主控方，而其它(域间)安全管理块123被表示为从控方。应该了解，主控方/从控方角色不需要是永久的，而是可以从一个云变化到另一云。此外，在一个服务内，一个安全管理块可以在一段时间内充当主控方，而在另一段时间内充当从控方。在本文中，用作主控方的安全管理实体可以被简称为主控方。相应地，用作从控方的安全管理实体可称为从控方。这样，第一电信云和第二电信云120、130可以是相似的，甚至相同的，尽管它们可能扮演相似或不同的角色。例如，作为信息技术云110的替代，第一电信云或第二电信云120、130可以针对相同云服务或一些其它云服务充当主控方角色。为了简单起见，图1可以被理解为针对一个所需云服务(称为“云服务”)的情况的表示。在图1中，虚线矩形表示作为覆盖云a-c140的分布式服务的潜在云服务。

注意，图1旨在说明与在覆盖多个计算机云的云计算环境(此处是由不同类型的计算机云组成的混合云系统)中的安全管理相关的一些细节。计算机云的大部分设备没有被绘制，诸如通信接口、防火墙、虚拟专用网服务器、处理器、存储器、海量存储器和数据库。然而，图1示出了第一电信云120中的可分配物理加密硬件127和第二电信云130中的可虚拟化加密硬件137。这些块表示可用于分布式云服务的不同类型的加密功能性。

图1中绘制的云110至130是按功能组织的。然而，云110至130也具有一些区域范围，即，它们潜在地具来自不同区域(诸如国家或大洲)的用户。此处，我们假设第一电信云和第二电信云120、130都覆盖地理区域x150和y160。

图2示出了在前述协商步骤之后在图1的云上的特定云服务分布的示例。该示例反映了通过安全管理服务点的安全管理任务来达成的情形，其中基于相关云之间的云内协商，分布式服务被重新对准以具有新的覆盖范围140’。安全区域210应该被设置为在第一电信云和第二电信云120、130的部分之间延伸。在初始sp和基于smsp的结果进行的sp协商之后，该安全区域延伸至第一电信云120的可分配物理加密硬件127和第二电信云130的一些基础设施，但不延伸至第二电信云120的虚拟化加密硬件137。在图2中，现在绕过从控方域间安全管理服务点或安全编排器seco，然而其角色根据的是由第一电信云的smsp/d接管的之前的协商，作为被提供访问的基础设施的示例。

图2进一步例示了由不同电信云110、120所覆盖的区域不需要完全重叠。在图2中，第一电信云和第二电信云的地理覆盖范围仅轻微重叠。针对大部分区域x，用户需要第一电信云120来访问云服务，而针对大部分区域y，用户需要第二电信云130来访问云服务。

图3示出了示例实施例的示意图，在该示例实施例中，安全管理服务点的操作在逻辑上被划分成三个级别。每个安全管理服务点可以相应地操作，并且与负责所讨论云的操作的相应网络管理进行交互。

安全管理域安全策略中介器级310负责域级安全能力的动态处理(例如，服务级协议sla)和高级安全策略管理。进行域级查询、以及与服务级安全策略中介器320协商针对个体服务的协议。

在示例实施例中，域级安全策略中介器级可处理以下中的任一项：

·在云/域级处发起针对sm的任何通信以便，例如就云间/域sm的框架条件达成协议，例如，以高级安全策略(技术)和sla(契约)的形式。sp和sla可以涵盖针对所有预期服务(相应地，服务类型)的整个sm范围。

·在需要时(例如，主控方smsp请求了解与sla或sp协商(涉及所有连接的从控方)相关的具体能力)，组织跨smsp层次结构的传播。注意：可能发生的是：sla已经作为准备好的商业提议存在，或者因为它们已经在网络管理nm上下文中被预先协商过。然而，我们考虑其中出于安全原因而需要修改(现有的)sla的情况，动态地并且还结合“新”提供者创建(新的)商业模型，或者，如果出现新的安全需要，则动态地适配sla。该过程可以通过安全管理域安全策略中介器级310而被至少部分地自动化。

·自动化的sp/slp协商(可以通过算法或通过使用“服务相关”模板找到共识，包括将优先级排序考虑在内)，包括：例如，

·冲突解决或缓解(例如，在出现矛盾或不相容的sp/sla的情况下)

·sp/sla的动态(运行时间)重新调整(例如，在服务适配、新安全原因、或安全事故的情况下，这些必须在域/云级进行处理)

服务级安全策略中介器320负责服务级安全能力和安全策略协议的动态处理，诸如准备安全策略设计和修改。安全策略中介器320进一步与安全管理服务请求方交互，即，(多个)主安全管理服务点(例如，针对不同云服务的不同主控方)。这些请求方可以在运行时间期间分别针对服务建立/服务修改表现为静态和/或动态。另一方面，相同的安全策略中介器320进一步与安全管理服务提供者(即，从安全管理服务点)进行交互。这些请求方可以在运行时间期间分别针对服务建立/服务修改表现为静态和/或动态。

在示例实施例中，服务级安全策略中介器320基于sla/(顶级)sp的现有框架协议协商跨相关域提供的和/或共享的个体电信、云、或混合服务的安全策略。这包括在安全事故的情况下的(sp)冲突解决或缓解策略和恢复机制。结果是是服务特定的，并且取决于(将被)提供给特定(电信或混合)服务类型的可用sm机制和服务的能力或容量。只要服务处于活跃状态或sm条件得到重新调整，它们就仍然有效。考虑到基于sp的安全生命周期管理(如在具有安全编排上下文中已知的)，此级的任务与电信或混合服务的sp设计、重新设计和修改密切相关。所指派的任务可以实现在若干域之间执行的sp准备过程。这些任务不需要仅由一个spa(例如，租户的spa)来主导。相反，sp/sla协议可以利用在至少两个管理域之间的公共的达成共识过程而被定义。例如，这种协议可以是双边的(例如，由不同提供商授予的sm能力可能不同)或者它们可能必须是多边的(例如，在应该跨多于两个的基础设施域/数据中心分布安全区sz的情况下，在该两个以上的基础设施域/数据中心中，所应用的sp必须在所有域中都是兼容的)。旨在达成共识的示例(每项服务)包括：

·(sp设计)sz和sd的建立：

ο平台和隔离/分割机制的能力

ο支持sm服务(包括sm&sm安全的规则)

ο在一个电信云内(对基础设施提供者/虚拟化的基础设施管理器vim的干扰)

ο跨电信云(包括(多个)it云)等

·(sp设计)针对云/域交叉服务的虚拟安全功能vsf、基于管理程序hv的安全功能sf、和物理安全功能psf的放置和配置...

·(sp设计)在虚拟网络功能vnf(或其它虚拟机vm)正在运行的每个硬件hw平台前的物理防火墙fw…

·(sp设计)...，与个体服务相关的任何其它sp(诸如由于安全事件而对服务进行监测、加固、修改、在服务的修改时(商业被激活)进行sp的适配等)

·(sla、sm实体的分配)指派的sm服务，这些服务可以被用于个体服务的sm(包括api、协议、和接口)

所指派的任务包括在该级下重新调整sp/sla，甚至是对于正在运行的服务。在一些情况下，可能无法基于当前设置重新调整。在这种情况下，一个示例实施例的sm服务级sp中介器启动迭代反馈回路“由下向上”，在该迭代反馈回路中，在任何缓解策略失败的情况下，上层级的sm域级sp中介器被要求重新协商设置或决定进一步的行动。这种反馈回路不仅由于技术(安全)原因而有用，而且在质量和成本优化方面也有用：

·例如，如果用户设备和实时应用变得更有野心，则可能出现更短的延时需求。服务变化(例如，针对实时游戏设置条件)可能要求伴随特定安全要求的新的网络/云拓扑(如临时边缘云)。

·再举另一示例，让我们假设，用于个体过程的特定sp/sla设置被经济地计算，仅涵盖期望用于普通服务使用和保护的安全资源。如果风险随着时间的推移而增加，或者甚至在事故中，缓解策略可能需要更多的资源(dos防御)，或立即打安全补丁，或将服务迁移至另一平台，或使用额外的资源以用于事故分析。这种“昂贵的”(并且可能是暂时的)调整在技术上可以被授权，但出于成本原因，需要在更高级别上做出决定。

·安全原因包括来自用户设备(恶意软件)的挑战、来自容器技术(允许在租户隔离变得更弱时更经济但更不安全地使用资源)的挑战、新的漏洞等。

安全管理服务级安全服务接口级330控制服务操作的动态处理，诸如，利用例如安全管理服务、防火墙、代理、vpn等来支持安全策略执行和验证。

在三级smsp架构的最低级处，安全管理服务级安全服务接口级330可以被委派任务，例如，基于在更高层上达成的并且且最终被设计用于服务的sla和sp，支持sp部署、执行，并且提供验证。

安全管理服务级安全服务接口级330可以被配置用于在技术级处提供安全以及兼容的相关sm服务的供应和使用，在其中，服务使用的授权可以由sm提供者控制，以确保不会超过约定的使用许可。除了由提供商所提供的固有sm服务外，还可以在此级处使其它安全功能可用，例如，代理/防火墙或vpn网关gw，以将相关方之间的sm业务与任何其它网络业务隔离。

例如，当向sm服务提供接口时，可以利用用于访问控制的公共机制来实现许可控制(授权)，诸如经由基于角色的访问控制rbac或基于可扩展访问控制标记语言xacml的框架的实现。

例如，租户可能希望配置基于管理程序(hv)的防火墙以用于保护多个vnf，是其服务的一部分(即，在租户域中运行)。基础设施提供者不希望授权对hv的直接访问，担心“直接”hv接口的滥用。经由合适的中间服务(诸如由该操作的smsp层表示)，基础设施提供商可以确保只允许以受限(例如，在授权的ip地址范围内或对性能或资源消耗影响有限)的方式进行hv设置。因此，这种功能性可以方便地与不应该(或绝对不能)公开给任何外部方的其它hv配置功能解耦。已经通过针对特定服务或甚至针对整个域的协议协商和确定了访问控制机制的参数。

图4示出了信令图，该信令图图示了用于建立或准备控制跨复数个云的云服务的安全管理的云间安全管理的示例实施例的过程。图4示例了每个云的服务点，或者更具体地说是它们的控制逻辑112，可以如何操作。在这种情况下，it云110(或其smsp)用作主控方，并且分别向第一电信云和第二电信云smsp(此处，这些电信云用作从控方)发送合作请求405、410。至少在主控方和从控方之间执行相互验证(415)，并且通常在主控方和从控方之间建立安全通道。注意，此处，其满足主控方可以安全地与每个从控方通信，即，在从控方之间不需要安全通信。这示例了用于安全管理的树状层次结构。

经过验证后，主控方利用相应的请求420、425来请求每个从控方为利用it云和电信云运行的混合服务提供与安全相关的sla。sla可以要求给定的安全性能、在区域x、y中的区域安全支持和/或支持设置最低隐私和/或加密(所需要的覆盖范围/算法)。从控方可能会以不同的方式做出响应，此处示出了其中两种方式：第一电信云smsp以个体协商的请求来答复，在该个体协商中，将个体协商sla的各种细节(430)。第二电信云smsp以集体协商的请求来答复，在该集体协商中，提供了设置的细节或不同组(诸如sla1和sla2)以用于选择(435)。在这种情况下，sla1和sla2都没有提供所请求的对加密硬件的直接访问(尽管第一电信云有这种硬件，但由于第一电信云或第一电信云托管的一些其它云服务的安全要求，无法使用)。相反，第二电信云可以根据sla1在所有区域中提供高性能加密。

可以由sla或安全策略定义的内容的示例包括：

·可用于电信或混合服务的物理安全设备/安全hw的总体数目、能力以及可用性；；

·(sla)对sm许可的高级协议，诸如基础设施访问所需的权限；

·(sp)隐私和匿名承诺，例如，在异常和攻击分析的上下文中；

·(sla)对于用于监测、加固、和信任管理的可适用方法的高级协议；

·(sla)…用于sm数据交换的接口、协议、格式和语义；(sla)…

·sm服务的能力，因为它们可以被提供和使用(可能依赖于位置/区域)；

·(sp)必须满足所有服务的sp，例如，对于数据的完整性、机密性和用于访问sm服务的验证/授权方法的总体协议；

·(sp)针对租户分离/分割的sp，包括使用共享的/预留的安全hw、或防火墙等。

·(sla)用于sm生命周期管理的能力(和可能的限制)；例如，sm能力截图取决于管辖提供者的国家和法律；sm许可可以取决于提供者与其他客户/租户签订的合同；最后但并不是最不重要的一点，sm能力可以取决于针对支持的sm系统的访问控制的(技术)可能性。

主控方smsp与第一电信云smsp协商关于覆盖区域x和区域y的条件，以便为第一电信云smsp达成相互可接受的安全策略sp。例如，主控方sms可以向第一电信云smsp发送sla要求或云服务安全要求，该第一电信云smsp能以sla提议(445)进行答复，作为第一电信云120的能力/要求与云服务要求的最佳匹配。该最佳匹配提供了对基础设施和可分配加密硬件的直接访问，但是在区域y中的加密服务性能不那么高，而在区域x中的加密服务性能最高。可以使用优先权驱动的选择来确定最佳匹配，其中针对平衡的组合，需要向安全管理以及(也可能的)网络管理的冲突指派不同的权重。此外，可以将一些需要(例如，充分的访问保护或数据库安全)定义为关键需要，使得不会许可不符合。

掌握了最适合云服务的安全要求的可用选项的信息，主控方执行sla评估，在该评估中，其决定使用哪些从控方法以及如何使用。此处，我们假设主控方决定针对区域x、数据保护、和直接访问基础设施使用第一电信云120，并且针对区域y使用第二电信云130，这两种云都具有其最好的加密服务(不需要是相同的)。然后，主控方向第一电信云smsp通知与该方相关的决策或评估部分(455)，并且作为响应，接收针对用于运行第一电信云120的云服务的使用的确认和详情(460)。该详情包括，例如，网络地址(诸如，由第一电信云120提供给基础设施的通用资源定位器(url)和在执行云服务时应用的安全策略或sla。

主控方还向第二电信云130通知针对该方的相关决定(465)。由于第二电信云提供了两个备选sla1和sla2，因此第二电信云130不需要将其安全策略通知主控方，而可以简单地确认指令470。在本示例实施例中，假设至第二电信云130的基础设施的链接是已知的并且可以被进一步使用；本示例的所有安全管理流量将由tc-c中的seco来处理。

图5示出了信令图，该信令图图示了用于管理云服务设置的云间安全管理的示例实施例的过程。在这种情况下，通过其域内安全管理服务点控制逻辑115而引用第一电信云120。现在，当主控方向第一电信云120发送安全管理合作请求时，该请求应该使用访问凭证，诸如硬件安全模块hsm访问代码或签名的/加密的消息。虽然smsp/d参考点可以特别地旨在用于域内使用，但是其可以清除与其他域接口的权利，例如，通过来自smsp/c的适当查询来获得针对提供对第一电信云120的基础设施的访问的许可。还可以从引用通过域间smsp转换到使用域内smsp，使得smsp/d可以容易地授予访问域间smsp相关凭证的许可。例如，在示例中，随后将绕过仅在第一协商步骤中涉及的smsp/c或seco。接下来，主控方(即，it云110的smsp)向第二电信云130发送合作请求(如图4的410)。第二电信云130的smsp/d利用其针对安全管理的条件(安全策略)和操作模式指示(包括授予的许可(诸如针对租户服务的角色指派))做出响应(510)。如有必要，将协商第二电信云130的条件(515)。

然后，主控方与第一电信云120执行相互验证(415’)，如图4所示，除了云内smsp现在被用于引用或访问云以用于安全管理。然后，主控方从第一电信云120接收其针对安全管理的条件(安全策略)和操作模式指示(包括授予的许可(诸如租户服务的角色指派))(520)，并且如有必要，根据该条件，如步骤515中一样与第二电信云130进行协商(525)。

主控方从第一云120接收额外的、自验证令牌，诸如私钥和短期证书、以及用于hsm访问的hsm证书。这些数据可以被配置为对发往/来自第一电信网络120的第一smsp/d的hsm的消息进行签名和/或加密，并且被定期地更新，以便维护实时短期证书。

然后，利用相应的消息540、545，主控方从第二电信网络和第一电信网络130、120接收所请求的能力报告，该能力报告包括例如管理程序、传感器监测、防火墙类型、vpn类型、用于加密的构建块、安全性能(诸如延时、方法等)。然后，主控方利用相应的消息550、555来确定和指导第二电信网络和第一电信网络130、120关于它们应该使用哪些能力进行安全管理(以及还有如何使用)。然后，第二电信网络和第一电信网络130、120分别针对提出请求的租户(安全编排器)创建角色(560、565)并且配置相关联的权限，之后发送就绪信号570、575。主控方现在被支持来585创建和修改云服务的sp以用于由控方进行分布式运行，包括跨电信云120、130的安全区域以及在第一电信云120中的hsm的使用。

在上文中，具体地描述了可以如何协商资源和必要的安全策略来运行跨云服务。除了这种协商之外，应该了解，从控方smsp通过前面协商的控制元件和方法允许并且控制sm执行。例如，它们可以提供可定义的sm服务集合和相关联的、定制的访问控制，这些sm服务集合相关联的、定制的和访问控制特定于实例化的服务(相应地，租户)，但受(云/基础设施)提供者监管。这种属性可最终实现在独立的管理域之间的sm合作，否则很难在两个可能具有业务冲突利益的利益相关者之间接受这种sm合作。

smsp从控方可以进一步实现与sm实体的信任关系(诸如，例如，etsinfv中的vim、或在所涉及的seco之间、以及经由其它smsp与其它sm实体)。此外，安全管理角色可以被分层委托。例如，smit云主控方可连接到seco-tc1(第一电信云的seco)，要求处理所有与电信相关的安全管理。seco-tc1可以连接到两个从属的seco-tc2和seco-tc3…等。

如上文简要提到的，参照图3，通过使用smsp(主控方&从控方)的分层方法，允许从上向下(例如，由于服务变化)以及从下向上处理sp变化的触发(例如，由于与安全相关的事件，如通过监测报告的事故或由性能需要引起的事故，例如，要求按比例缩放防火墙或加密单元)。该能力可在计算上实现高效的动态并且灵活的跨域安全管理。

图6示出了适合于实现例如，smsp的功能性的装置600(例如，服务器计算机)的框图。该设备包括用于数据交换的输入/输出610、处理器620、用于本地控制(例如，用于维护)的用户界面、包括程序代码642的存储器640、和数据库650(例如，用于存储sla和/或sp信息)。处理器620被配置为根据程序代码642来控制设备600的操作。

在不以任何方式限制以下出现的权利要求书的范围、解释、或应用的情况下，本文公开的一个或多个示例实施例的技术效果是可以跨复数个管理域而实现整体和自动化的安全管理。本文公开的示例实施例中的一个或多个示例实施例的另一技术效果是可以跨管理域实现安全管理功能。本文公开的一个或多个示例实施例的另一技术效果是：通过基于总体和第一安全要求和能力并且还基于总体安全要求，针对第一安全管理服务点定义第一安全策略，可以在考虑云服务要求的同时针对局部要求适配安全管理。本文公开的一个或多个示例实施例的另一技术效果是：云服务的安全管理可通过分布式责任来布置，使得安全管理服务点可在不过度向其它域公开自己的状态信息的情况下，适当地考虑云服务需要和本地安全要求来协商它们自己的安全策略。本文公开的一个或多个示例实施例的另一技术效果是：通过使用一个安全管理服务点来定义用以随后的安全管理服务点的安全策略，可以在多个安全管理服务点上传播安全管理。本文公开的一个或多个示例实施例的另一技术效果是：通过动态地改变第一安全策略，第一计算机云实体可以通过其安全管理动态地适配云服务的安全需求的变化、云服务的变化或安全环境的变化(诸如变化的安全威胁和/或安全事故)。对应地，其它云实体可通过其安全策略而被动态地适配。整个云计算机环境可以通过安全重新配置以动态地适配于安全需要。不同的安全管理服务点可以相互适配有助于运行云服务的计算机云实体的安全策略。

本发明的实施例可以在软件、硬件、应用逻辑或软件、硬件和应用逻辑的组合中被实现。在示例实施例中，应用逻辑、软件或指令集被维持在各种传统计算机可读介质中的任一种上。在本文的上下文中，“计算机可读介质”可以是可以包含、存储、通信、传播或传输用于由指令执行系统、设备或装置(诸如，计算机)使用的或与指令执行系统、设备或装置(诸如，计算机)结合使用的指令的任何非暂时性介质或部件。计算机可读介质可以包括计算机可读存储介质，该计算机可读存储介质可以是可以包含或存储可以用于指令执行系统、设备或装置(诸如，计算机)使用或与指令执行系统、设备或装置(诸如，计算机)结合使用的指令的任何介质或部件。

如有需要，本文讨论的不同功能可以按照不同顺序来执行和/或同时执行。此外，如有需要，前面描述的一个或多个功能可以是可选的或可以被组合。

尽管本发明的各个方面在独立权利要求书中进行了说明，但本发明的其它方面包括来自所描述的实施例和/或具有独立权利要求书的特征的从属权利要求书的特征的其它组合，而不仅仅是在权利要求书中明确说明的组合。

本文还要注意，尽管前面描述了本发明的示例实施例，但不应限制意义上看待这些描述。相反，存在可在不偏离本发明的范围的情况下做出的多种变化和修改，本发明的范围如所附权利要求书所定义。