增强特定于数据中心的信息的完整性的制作方法

本发明涉及计算。具体地，本发明涉及安全云计算。

背景技术：

在现代的基于云的计算系统中，从用户的角度来看，数据的物理位置变得不那么有意义。然而，有时可能有必要以各种形式知道数字信息的实际物理位置。因此，例如，存在改善物理位置关联信息的完整性和受信任赖性的空间。

us2016065589公开了涉及云计算环境中的改进的安全性的系统和方法。根据一个说明性实现，提供了用于供应与管理程序主机(hypervisorhost)相关联的物理基础设施设备的物理地理位置的方法。进一步地，该方法可以包括：执行处理以获得设备的初始地理位置数据，通过经由证明服务组件对初始地理位置数据执行验证来确定设备的经验证的地理位置数据，以提供经验证的地理位置数据，以及将经验证的地理位置数据写入到管理程序主机的hsm或tpm中。

技术实现要素：

根据一个方面，提供了独立权利要求的主题。在从属权利要求中定义了一些实施例。

在下面的附图和说明书中更详细地陈述了实现的一个或多个示例。其他特征将通过说明书和附图以及权利要求而变得明显。

附图说明

在下文中，将参照附图描述一些实施例，其中

图1图示了可以应用实施例的示例系统；

图2图示了根据实施例的数据中心；

图3图示了根据实施例的流程图；

图4a至图4b图示了根据一些实施例的信号图；

图5a至图5d图示了一些实施例；

图6图示了根据实施例的响应消息；

图7图示了实施例；

图8a至图8b图示了根据一些实施例的信号图；

图9图示了根据实施例的装置的框图；

图10和11图示了一些实施例。

具体实施方式

以下实施例是示例性的。尽管说明书可以在文本的若干位置中引用“一”、“一个”或“一些”(多个)实施例，但是这并不一定意味着对(多个)相同的实施例进行每个引用或者特定特征仅应用于单个实施例。不同实施例的单个特征还可以组合以提供其他实施例。

所描述的实施例可以被实现在无线电系统中，诸如，被实现在以下中的至少一个中：全球微波接入互操作性(wimax)、全球移动通信系统(gsm、2g)、gsmedge无线电接入网络(geran)、通用分组无线业务(grps)、基于基本带宽码分多址(w-cdma)的通用移动电信系统(umts、3g)、高速分组接入(hspa)、长期演进(lte)和/或高级lte。

合适的通信系统的另一示例是5g概念。5g可能使用多输入多输出(mimo)技术(包括mimo天线)、比lte更多的基站或节点(所谓的小小区概念)，包括与较小站协作操作的宏站点，还可能采用各种无线电技术以用于更好的覆盖和更高的数据速率。5g可能包括多于一种无线电接入技术(rat)，每个技术针对某些用例和/或频谱而被优化。5g移动通信将具有更广泛的用例和相关应用，包括视频流、增强现实、不同的数据共享方式以及各种形式的机器类应用，包括车辆安全、不同的传感器和实时控制。预计5g具有多个无线电接口，即，低于6ghz、cmwave和mmwave，并且还与现有的传统无线电接入技术(诸如，lte)可集成在一起。至少在早期阶段，可以实现与lte的集成，作为其中由lte提供宏覆盖的系统，并且通过聚合到lte，5g无线电接口来自小小区的接入。换言之，5g计划支持rat间可操作性(诸如，lte-5g)和ri间可操作性(无线电接口间可操作性，诸如，低于6ghz-cmwave、低于6ghz-cmwave-mmwave)。被认为在5g网络中使用的概念之一是网络切片，其中可以在同一基础设施内创建多个独立且专用的虚拟子网络(网络实例)以运行对延时、可靠性、吞吐量和移动性具有不同要求的服务。应该了解的是，未来的网络将最有可能利用网络功能虚拟化(nfv)，这是网络架构概念，其提出将网络节点功能虚拟化为可以可操作地连接或链接在一起以提供服务的“构建块”或实体。虚拟化网络功能(vnf)可以包括使用标准或通用类型的服务器而不是自定义硬件来运行计算机程序代码的一个或多个虚拟机。还可以使用云计算或云数据存储。在无线电通信中，这可以意味着节点操作至少部分地在可操作地耦合到远程无线电头的服务器、主机或节点中运行。还可能的是，节点操作将被分布在多个服务器、节点或主机之间。还应该理解的是，核心网操作与基站操作之间的劳动力分配可以不同于lte，甚或不存在。可能要使用的其他一些技术进步是软件定义网络(sdn)、大数据和全ip，这可能会改变网络的构建和管理方式。

然而，实施例不限于作为示例给出的系统，但是本领域技术人员可以将解决方案应用于被提供有必要属性的其他通信系统。例如，所提出的解决方案基本上可以在使用云计算并且知道数据的物理位置可能是重要的任何类型的系统中使用。在图1中示出了可以应用本发明的实施例的一般云环境100应用系统的一个示例。参照图1，通过使用也被称为按需计算的云计算越来越多地提供计算服务，其中数据中心或(多个)数据中心200a至200d可以由多个物理计算机(例如，数千个计算机)组成，每个物理计算机运行也被称为虚拟机的一个或多个逻辑计算机。可以将实际服务交付应用部署到虚拟机。从用户设备(例如，应用层软件)的角度来看，每个虚拟机看起来像真实的物理计算机。这种系统的优点包括当多个虚拟机可以在相同物理服务器上运行时以及当虚拟机可以被重新分配给另一物理服务器以平衡它们之间的负载时的资源共享。甚至在位于全球各地的数据中心200a至200d之间也可能发生负载共享。这允许在数据中心之间共享计算负载，并且因此进一步降低成本。

这种布置可能需要服务提供商与用户之间的信任。例如，可能需要知道提供服务的服务器计算机的身份。因此，可以利用受信任的计算，其包括受信任的硬件和软件。受信任的计算可以基于使用经验证的硬件和软件并且确保只有经验证的软件正在运行。信任可以基于硬件安全模块(hsm)，其安装至服务器硬件并且从受信任供应商购买设备。每个hsm可以包含唯一的密钥，该密钥可以被用于标识安装hsm的计算机。被称为受信任平台模块(tpm)的hsm实例化也可以被用于在启动他们之前验证软件二进制和配置数据，并且基于其唯一种子或根密钥来提供可靠的计算机标识符。通过计算其字节上的加密散列和扩展到tpm的pcr值的值来测量软件实体。最后，将这些值与已知的良好值进行比较，以检查是否存在未经授权的修改，因此可以信任服务器。

如所解释的，数据中心200a至200d和数据中心中的服务器计算机的物理位置可能变得不那么有意义。例如，当包括提供至少一个小区的至少一个网络元件102的蜂窝网络或系统(诸如上述)的终端设备110需要访问互联网服务的数据时，终端设备110可以经由蜂窝网络访问互联网服务。需要注意的是，可以利用本领域中已知的对所述服务的任何类型的访问。例如，局域网(lan)和/或无线lan(wlan)等可以由用户设备所利用，诸如，终端设备110(例如，移动电话、平板计算机、膝上型计算机、便携式电子设备等)。例如，终端设备110可以将数据存储到利用一个或多个数据中心200a至200d的服务的互联网服务。例如，可以将图像存储或下载到数据中心200a至200d的服务器计算机。从此产生的问题是终端设备110(和用户)可能不知道数据被存储到哪个数据中心200a至200d或者从哪个数据中心200a至200d获得。

例如，许多国家的立法禁止在不遵守国内隐私法的管辖区中处理其公民的私人信息。保存诸如数据主权、隐私、合法拦截(li)的方面可能严重依赖于处理和存储服务器的物理位置。根据许多立法，不应该向未授权方泄露li录音，如果数据在驻留在另一国家的云数据中心中被处理，则很可能会发生这种情况。这甚至适用于eu国家之间：例如，如果储存库位于芬兰，则瑞典当局无法检查在芬兰记录的电话信息。然而，如果录音被存储到瑞典的数据中心，则在某些情况下，瑞典当局可以对其进行合法检查。特别是在处理受信任计算机硬件上的位置或管辖区敏感信息的telconfv环境中，以受信任赖的方式知道位置(等)可能成为影响数据中心的运行时管理的关键特征。例如，具有高完整性环境，诸如，由受信任组件(例如：tpm)增强的环境，并且需要处理所述受信任硬件上的位置敏感信息，以受信任赖的方式知道位置可能对于系统是有利的。此外，在某些情况下，可能需要提供有关数据的证据，例如，向诸如警察或政府等官员提供。因此，可能需要信任地知道计算和/或数据存储资源的实际物理位置。

至少有两个利益相关群体对存储数据的物理位置感兴趣：1)需要位置信息以用于根据特定服务水平协议(sla)中的条款分配计算和存储资源的服务提供商(例如，云服务)，以及2)希望得到服务提供商尊重sla条款的保证的服务客户(例如，云服务客户)。有可能代替单个服务提供商的是一系列分包商，其中客户签约软件即服务(saas)提供商实际上将平台即服务(paas)云提供商分包，而后者又是第三方的基础设施即服务(iaas)云提供商的客户。客户应该具有通过软件栈的可见性，并且能够利用在物理服务器中运行的软件实例来查询地理位置标识或其他类似的站点相关数据以用于验证目的。因此，在将敏感软件调度到所有层处的物理服务器时，可能需要考虑该信息。

进一步地，在大型数据中心200a至200d中，可以存在数千个服务器计算机(即，物理服务器计算机)。使用人工检查技术逐个验证它们的位置可能是麻烦的，并且可能需要大量的人工检查员或较长时间段，因此累积了工资成本。为了降低审计成本，应该至少存在一个支持地理站点的可靠证明的部分或全自动的方法，而不会给服务器或站点的生产成本增加太多(如果有的话)。这种方法应该适用于任何计划外或意外的审计时刻。

因此，提供了用于获得关于存储数据的特定于数据中心的信息的方法。具体地，该方法可以提供用以获得处理和/或存储数据的服务器计算机的物理位置或相关参数的可靠方式。例如，可以指示数据中心标识符。在图2中示出了数据中心200的示例(例如，200a、200b、200c或200d)。这种数据中心200可以包括多个服务器计算机210、220、230、240，每个服务器计算机包括一个或多个处理单元212和一个或多个数据存储装置214。每个服务器计算机210、220、230、240进一步被连接到至少一个站点锚点260、270，其被配置为提供特定于数据中心的信息。(多个)站点锚点260、270也可以被包括在数据中心200中。(多个)站点锚点260、270可以是服务器计算机210、220、230、240的单独设备，但是与至少一个服务器计算机210、220、230、240通信地耦合。例如，站点锚点260可以被配置为向服务器计算机210、220和230提供特定于数据中心的信息，而站点锚点270可以被配置为仅向服务器计算机240提供特定于数据中心的信息。可以使用有线或无线连接来实现站点锚与服务器计算机之间的通信。例如，可以使用lan。因此，数据和信息可以在站点锚点与(多个)服务器计算机之间向两个方向传递。

图3图示了根据实施例的流程图。参照图3，数据中心的装置可以：接收来自所述数据中心的服务器计算机的请求消息，该装置和服务器计算机是彼此通信耦合的物理上分离的实体，所述消息请求被存储到装置的只读存储区域中的特定于数据中心的信息(框310)；响应于接收到请求消息而发起对请求消息的解密(框320)；以及作为对成功解密请求消息的响应，向服务器计算机传输响应消息，所述消息包括从装置的只读存储区域获取的特定于数据中心的信息(框330)。

执行步骤310至330中的每个步骤的装置可以是站点锚点260或270或者数据中心200的将特定于数据中心的信息存储在其只读存储区域中的类似设备。这种方法可以提供向数据中心200的(多个)服务器计算机210、220、230、240提供必要信息的可靠且廉价的方式。因此，服务器计算机可以获得特定于数据中心的信息并且以各种方式来利用它。

在实施例中，特定于数据中心的信息特定于所述数据中心，即，所述装置所位于的数据中心。

采取预防措施以防止数据中心站点的服务器从属于另一站点的站点锚点查询特定于站点的数据可能是有利的。这些预防措施可以包括往返时间阈值和/或有限范围通信机制的使用，其可能不利于地理上隔离的站点之间的数据传递，例如，蓝牙或wi-fi。

在实施例中，执行步骤310至330的装置被包括在蜂窝系统中，诸如，上面参照图1更详细地描述的。

需要注意的是，数据中心200中可能存在多个站点锚点260、270。这可能是有利的，因为请求消息(即，请求特定于数据中心的信息)的数目可能非常高。因此，一个服务器计算机也可以由多于一个站点锚点260、270服务。进一步地，具有(多个)特定于服务提供商的站点锚点(即，特定于基于云的服务提供商)可能是有利的，其因此可以是云计算资源提供商的客户。因此，站点锚点260、270可以支持负载共享布置，使得可以更好地保护系统免受可能的设备故障。即，如果例如站点锚点260故障(例如，损坏)，则站点锚点270可以承担其角色。例如，这可以由数据中心200的负载共享布置来支持。由于站点锚点260、270位于相同的数据中心，根据实施例，存储在设备中的特定于数据中心的信息是相同的。然而，在一些实施例中，信息中的一些信息可能不同。例如，可能需要在每个站点锚点260、270中存储不同的服务提供商标识符。例如，附加或备选地，系统可以支持有源备用冗余，这意味着如果使用多个站点锚点260、270，则所述多个站点锚点260、270可以支持在有源单元发生故障的情况下切换设备对的有源备用角色。而且，系统可以以规则间隔来切换服务单元，使得它可以确定每个单元的状态。附加或备选地，可能存在特定于云服务(例如，saas)提供商的站点锚。

让我们再看一些其他实施例。图4a至图4b图示了根据一些实施例的信号图。首先参照图4a，在框402中，服务器计算机210可以将请求消息传输给站点锚点260。这可以与框310中的类似。可以经由lan执行传输。例如，可能存在由站点锚点260与服务器计算机210之间的数据线缆实现的lan连接。

需要注意的是，可能不一定需要图4a的所有框或步骤。因此，如已经关于图3所解释的，站点锚点260可以接收来自服务器计算机210的请求消息。然而，请求消息不一定由服务器计算机210加密，并且因此站点锚点260可能不需要解密所述消息。相应地，站点锚点260可以通过传输响应消息来响应请求消息(框408)。响应消息可以包括从站点锚点260的只读存储区域获取的所请求的特定于数据中心的信息。

当使用加密时，在框404中，站点锚点260可以发起解密接收到的消息。解密可能意味着处理接收到的消息，使得它可以由站点锚点260读取。即，框402的传输消息可以由服务器计算机210使用密钥加密或编码。该密钥可以是加密密钥。因此，当站点锚点260获取请求消息时，它可以尝试通过使用被存储在站点锚点260的存储器中的密钥(例如，解密密钥)来打开它。因此，如果被用于由服务器计算机210对消息进行加密的密钥和被用于由站点锚点260对消息进行解密的密钥是彼此相关联的(即，形成密钥对)，则该请求消息可以由站点锚点260成功打开。在一些实施例中，这还可能意味着请求消息在传递期间没有被破坏或者请求服务器计算机知道公钥(即，密钥对的密钥，其中密钥对的密钥被存储在站点锚点260处)以允许请求位置信息，该位置信息是服务、服务提供商或应用专有的。这可能会增加锚对拒绝服务(dos)攻击的容忍度。如果站点锚点260确定了破坏，则站点锚点260可以请求由服务器计算机210重新传输请求消息。备选地，如果解密不成功，则站点锚点260可以简单地忽略该请求，以便最小化针对锚260的dos攻击的风险。可以根据公钥基础设施(pki)实践来执行这种密钥对系统或使用。

每个站点锚点260、270可以包括或存储唯一的私有密码密钥和/或主要种子，站点锚可以从中计算密钥形式。唯一的私有密码密钥仅可以由站点锚知道。然而，与pki实践一致，第三方认证机构可以保证站点锚点260的公钥。借助这些密钥，可以信任地标识个体站点锚点，例如，通过在加密去往或来自锚的所有消息时使用pki密钥。因此，站点锚点260的公钥可以被用于加密请求消息(例如，通过服务器计算机210)。然后，站点锚点260可以使用被供应给站点锚点260的私钥来解密所述消息。另一方面，站点锚点260可以使用已经被供应给站点锚点260的私钥(即，站点锚点260私钥)来加密响应消息。然后，服务器计算机210可以使用被供应给服务器计算机210的站点锚点260的公钥来解密所述消息。备选地，密钥对可以被用于协商对称加密密钥，其在正常消息传递期间可能比非对称密钥具有更少计算密集。在框406中，站点锚点260可以确定请求消息是否被成功解密。在实施例中，作为对未成功解密请求消息的响应，站点锚点260可以向故障管理实体400传输报告消息，该报告消息指示请求消息未被成功解密(框407)。附加或备选地，站点锚点260可以将故障日志条目存储到大小有限且封装的日志缓冲区，故障管理实体400(例如，故障管理服务)可以从中适当地检查故障，例如，在其常规的锚生计(livelihood)检查中。可以使用生计轮询(livelihoodpolling)来检查锚是否是可达的。轮询频率可以是例如每秒一次，以使未经授权的机械锚操纵实际上是不可能的。

在未成功解密的情况下，站点锚点260可以不响应服务器计算机210，并且因此服务器计算机210可能没有获取所请求的信息。即，如果服务器计算机210没有资格获得该信息，则它可能不从站点锚点260获取该信息。这是通过使用密钥对来加密和解密站点锚点260与服务器计算机210之间的消息来达成的。与站点锚点260一起使用的公钥可以例如仅被指示给有资格获得被存储在站点锚点260中的信息的服务器计算机。因此，可以降低滥用的风险。因此，仅使用站点锚点和服务器计算机已知的密钥对可能是有利的。更进一步地，服务器计算机210可能不知道站点锚点260的私钥。

然而，如上面已经讨论的，在成功解密的情况下，该过程可以继续到框408，其中包括由服务器计算机210请求的特定于数据中心的信息的响应消息被站点锚点260传输给服务器计算机210。

在框410中，服务器计算机210可以进一步发起对接收到的响应消息的解密。如果解密是成功的，则所请求的信息可以由服务器计算机210获得(框412)。如果解密是失败或者不成功的，则服务器计算机210可以向故障管理实体400指示这一点(框411)。还通过对响应消息进行加密，可以进一步增加系统的安全性，因为可能减少对窃听响应消息的改变。

在实施例中，请求消息包括新鲜值(nonce)。可以执行此操作以防止回放攻击。在一些实施例中，可以对两种方式(即，请求消息和响应消息)进行加密并且包括新鲜值。所以，在框402中传输的请求消息和在框408中传输的响应消息都可以包括新鲜值。响应消息的新鲜值可以由站点锚点260从请求消息获取。因此，两个消息可以包括相同的新鲜值。另外，在传输所述消息之前，可以对两个消息进行加密。

在实施例中，请求消息可以包括来自请求服务器(应用编程接口(api)库)的时间戳，以防止将请求路由到位于远程站点处的锚。从请求消息获取的新鲜值和/或时间戳可以被锚复制到响应消息。站点锚api库(其可能是一段受信任代码)可以验证新鲜值与最近的请求中的相同，并且通过从响应接收的时间减去嵌入在响应消息中的时间值而计算得到的往返时间不是太大，以便只接受lan跳，即，防止从远程站点锚点请求信息。

防止消息被路由到与查询服务器不位于相同的数据中心中的站点锚点的其他机制包括但不限于利用通信机制，其不在长于100米左右的距离处工作，比如，蓝牙、rfid、红外链路、wi-fi、li-fi。距离限制协议可以被用于验证距离的上限。仅当受信任数据查询者正在与其自己站点的站点锚点通信时，才可以信任来自锚的特定于站点的数据。

参照图4b，在实施例中，请求特定于数据中心的信息的请求消息由站点锚点260经由服务器计算机210而从终端设备110接收，其中响应消息经由服务器计算机210被传输给终端设备110。这可能需要加密和解密操作是成功的。例如，终端设备110可以请求终端设备110存储或从其获取数据的服务器计算机210的特定于数据中心的信息(框422：传输第一请求消息)。服务器计算机210可以接收这种请求，并且作为响应向可以与服务器位于相同的物理站点处的站点锚点260传输第二请求，并且将特定于数据中心的信息存储在其只读存储区域中(框402：与图4a中相同)。然后，该过程可以如图4a中一样继续到框404和406。

如果解密是成功的，则站点锚点260可以从其存储器获得所请求的信息。然后，站点锚点260可以生成并加密响应消息(框424)。也可以在图4的框406与408之间的过程中执行相同的步骤。可以向服务器计算机410传输响应消息。因此，在实施例中，在传输响应消息之前使用加密密钥来加密响应消息(在框408中)。站点锚点260可以使用与在加密响应消息(在框408中传输)时使用的相同的加密密钥来解密请求消息(在框402中传输)。类似的逻辑可以应用于服务器计算机210，其可以使用相同的加密密钥用于加密和解密在站点锚点260与服务器计算机210之间传输的消息。

在实施例中，服务器计算机210发起对响应消息的解密(框410)。如果成功，则所请求的信息可以被服务器计算机210获得(框412)。可以进一步将它传输给通过在框422中传输第一请求消息来请求数据的终端设备110(框426)。因此，终端设备110可以获取服务器计算机210的特定于数据中心的信息。因此，利用受信任的软件栈，终端设备110或终端设备110的用户可以确定例如哪种立法适用于所存储或获取的用户数据(例如，图像、视频等)。如上面所解释的，针对特定于数据中心的信息可能存在不同的使用情况，其中知道适用立法的用户可能仅一个。

在框402中传输的请求消息可以指示请求了哪个(多个)参数或(多个)值。站点锚点260可以在框408中传输所请求的(多个)参数或(多个)值。

可以经由应用层传输站点锚点260与服务器计算机之间所传输的消息。然而，在一些情况下，附加或备选地，可以利用更低层的消息传递。

客户端可以存在多种可能性来与特定站点锚点联系。例如，可以使用从网络的名称服务查询的地址来访问站点锚点。名称服务器本身不需要完全受信任，因为在与其通信期间确保了锚的真实(例如，密钥对)。客户端还可以发送数据中心站点范围广播消息，只有某个站点锚点可以响应该消息。站点锚点也可以被配置为固定且众所周知的网络地址。在最后一种情况下，服务器应该知道这些地址并且逐个轮询它们，直到它得到响应。强制服务器与对应站点锚点谈话的一种方式是在服务器的硬件安全模块(hsm)中配置站点锚点标识符，诸如，tpm，使得服务器知道它应该与哪个站点锚点谈话。相应地，标识符可以是名称或广播消息地址以及端口或者可以在计算站点处转换为地址以访问锚的其他东西。配置数据中心lan路由和防火墙以仅允许本地服务器访问站点的锚是很好的实践。lan配置和切片是促进锚与其客户端之间通信的又一方式。

在实施例中，使用受信任引导方法来启动系统的所有涉及实体。此处的所有实体可以至少指代服务器计算机210和一个或多个站点锚点260、270。所以，基本上可以使用受信任引导来启动站点锚点260。同样地，服务器计算机210可以使用受信任引导来启动。如果无法信任正在运行的软件栈，则经过它们的位置信息可能会变得不值得信任，无论它起初是多么受信任。也可能以加密模式传输位置数据，即使通过不受信任的中间人也可以保持受信任度。然而，在(多个)服务器计算机和(多个)站点锚点处使用受信任引导可以增加特定于数据中心的信息传递的受信任度。附加或备选地，在站点锚点260中运行的软件和/或在服务器计算机210上运行的软件可以在相应设备的只读存储器(rom)中运行。软件代码可以被认证，并且程序可以将其置于受信任的rom中。rom中的软件可以变成受信任的硬件根。一旦可编程prom应该取得资格，因为它是一次写入的。在实施例中，不使用eprom。

为了实施信任锚的授权，可能需要供应受信任计算技术(诸如，tpm、ptt和/或trustzone)以确保每个站点锚点都是受信任的。站点锚点中的软件也可以被存储到只读存储器中，该只读存储器在离开制造工厂之后无法被修改。可以使用远程证明或类似方式来提供对站点锚点的进一步的完整性检查。

图5a图示了实施例。参照图5a，站点锚点260(或执行所描述的功能性的类似装置/设备)可以被封闭在建筑物500的结构502内。在图5a的示例中，结构502可以是建筑物500的基部502，但是也可以是建筑物的一些其他结构，诸如，墙壁、地板或天花板。在实施例中，站点锚点260位于建筑物500的地下室中。可以执行封闭，使得站点锚点260仍然与(多个)服务器计算机210、220、230、240通信连接。因此，一个或多个站点锚点260可以被供应并且被密封到站点，例如，在第三方独立人工审计员的监督下并且永久地附接至地面或者建筑物结构。数据中心200可以位于建筑物500中。站点锚点在站点处的密封或封闭(即，在结构内或在地面中)可以以这种方式执行，即，在没有检测到该动作的情况，无法重新定位站点锚，导致受信任信息完全丢失或对站点锚点260的致命物理损坏或者不合理的费用。站点锚点260可以包括防止篡改的封装，并且包含附接机制以将站点锚点260永久地锁定到建筑物500的相对方结构。例如，在图5a中，站点锚点260可以在建造时间期间被安装在建筑物500下方(例如，在基部502内)或者在随后填充有混凝土的钻孔中。在站点锚点260物理“锚定”到一个地方的情况下，例如：通过嵌入在建筑材料中，那么可以将一些形式的物理完整性组合到单元的硬件中，使得移除或重新配置系统的任何尝试都将导致完全或部分地破坏站点锚点260。

根据实施例，站点锚点260进一步连接至馈电电缆，该馈电电缆向站点锚点260提供操作电力，形成电源510。在一些实施例中，站点锚点260本身包括电源。然而，电源510可以有利地位于数据中心200中或者建筑物500中(或通常)，使得可以在不需要从结构502移除站点锚点260的情况下对其进行服务。因此，简单的电源电缆可能足以连接到电力输出(例如，电力网络)。

根据实施例，站点锚点260包括以太网电源接口(即，ieee802.3标准)。因此，站点锚点260可以使用以太网电源接口而被连接到服务器计算机210和/或服务器计算机，其可以同时支持电源输入和数据传递。可能存在在多个服务器计算机与(多个)站点锚之间使用的中介设备。

在某些情况下，配置站点锚点260以不传输响应于请求物理位置特定信息的请求消的(多个)响应消息可能是有利的。图7图示了可以防止传输(多个)响应消息的实施例。即，站点锚点260可以在框310(即，图3的框310)中接收请求消息。在框320中解密消息之前或之后，如果满足至少一个预定条件，则站点锚点260可以确定防止传输响应消息。也可以在不从(多个)服务器计算机接收任何请求消息的情况下执行这种确定。

然而，在实施例中，如果站点锚点260从建筑物500的结构502移除(框722)，则站点锚点260防止传输响应于请求消息的响应消息(框720)。例如，站点锚点260的组件可以被铸造成一些材料，该材料防止站点锚点260的机械操纵而不会将其破坏而无法修复。如果锚被损坏，则可能需要部署和调试新的锚设备。因此，如果站点锚点260从其安装移除，则可以将其配置为不提供特定于数据中心的信息。这可能会自动发生。即，如果站点锚点260从其安装被移除，则它可以自动配置其自身不以上述方式响应请求消息。这可能意味着站点锚点260根本不响应或者站点锚点260响应某些其他消息(例如，指示无法提供位置信息)和/或指示接收到请求的一些其他实体(例如，故障管理实体400)，但是它无法回答。例如，这可以防止站点锚点260被安装到不同的位置，并因此提供错误的位置信息。站点锚点260可以通过各种不同的方式来检测移除。一种方式可能是使用检测站点锚点260的加速度的传感器。由于安装的站点锚点260应该相对静止，所以来自站点锚点260的一个或多个加速度传感器的测量结果可以揭示移除，其可以反过来触发例如终止开关(killswitch)(例如，站点锚点260的存储器或一些其他重要部分的破坏)。然而，存在多个不同的选项，这些选项可以被用于检测使用(多个)一个或多个运动传感器(例如，(多个)陀螺仪和/或(多个)加速度传感器)可能只是一个的移除。

在实施例中，如果站点锚点260被上电至少预定次数，则站点锚点260防止传输响应于请求消息的响应消息(框720)，其中预定次数是至少两次(框724)。例如，站点锚点260可以被配置为每次上电时递增计数器。如果计数器值超过特定值，则可以防止传输响应。例如，如果阈值被设置为1，则站点锚点260可以仅上电一次。通常，可以将阈值设置为更高的值，并且可以在响应消息中请求和提供实际的上电计数(框408)。附加或备选地，即使没有特定请求，也可以在每个响应消息中提供上电计数。即，响应消息可以包括用于指示实际上电计数的数据字段。这支持用以将重启计数中继到客户的管理以用于进一步处理的应用。例如，如果重置或上电计数较高，则可能引起对特定于数据中心的信息的可靠性的怀疑。因此，在实施例中，包括特定于数据中心的信息的响应消息进一步包括指示站点锚点260已经被打开和/或关闭多少次的上电计数。

图5b至图5d图示了一些实施例。图5b图示了包括位于和/或被包括在数据中心200中的硬件单元550的系统。图5c至5d图示了一些实施例，其中使用被连接到硬件单元550的智能卡562、564来实现站点锚点(例如，站点锚点260)。需要注意的是，尽管描述了由站点锚点执行的一些示例和实施例，但是应该在广义地理解站点锚包括智能卡(即，智能卡实现站点锚点的功能性)。不同之处可能是智能卡可能需要硬件单元550正常运行。

参照图5b，数据中心200可以进一步包括硬件单元550，该硬件单元550包括一个或多个插座552、554。所述插座可以被理解为插槽或智能卡插槽，其可以包括被配置为容置智能卡或类似设备的物理元件。例如，硬件单元550还可以称为硬件插槽阵列。

硬件单元550可以进一步被通信连接(例如，有线连接，诸如，lan，但是在一些情况下也可以使用无线连接)到数据中心200的服务器计算机210、220、230、240。执行图3的步骤的装置(例如，站点锚点260)因此可以包括智能卡562、564，智能卡被配置为插入到数据中心200的硬件单元550的对应插座552、554中。硬件单元550可以包括多个插座552、554以容置智能卡562、564。因此，可以存在各自实现站点锚点(例如，站点锚点260)的功能性的多个智能卡562、564。

所提出的智能卡系统可以被配置，使得站点锚点260的一些功能性在智能卡562与硬件单元550之间被共享。例如，lan接口可以被包括在硬件单元550中。因此，可能不需要使每个智能卡562、564具有已经存在于硬件单元550处的某些功能性。因此，可以降低系统的复杂度和成本。然而，可能智能卡562包括站点锚点260的所有特征和/或被配置为执行站点锚点260的所有功能。在这种情况下的差异可以是智能卡562可以被改变，而站点锚点260可以永久地被固定到建筑物，使得在不损坏站点锚点260的情况下无法移除它。

当智能卡562、564被插入到对应插座552、554中时，可以实现智能卡562、564与硬件单元550之间的电连接。电连接可以经由接口实现，该接口利用硬件单元550处的第一接口元件和每个智能卡562、564处的第二接口元件实现。该接口可以实现硬件单元550与智能卡562、564之间的数据/信息传送。

为了使智能卡系统能以更高的安全性运行，硬件单元550可以包括其自己的(多个)密钥(例如，密码密钥)。例如，密钥可以是非对称pki密钥。当智能卡562、564被插入到对应插槽552、554中时，智能卡562、564可以从硬件单元550接收(多个)密钥，并且验证(多个)密钥以防止其插入到错误的插槽或错误的硬件单元550。如果智能卡562、564插入到右侧插槽，则智能卡562、564可以进入操作模式(即，用特定于数据中心的信息进行响应)。如果智能卡562、564被插入到错误的插槽中，则智能卡562、564可以防止响应。因此，错误的位置信息可能不会被服务器计算机210、220、230、240接收到。

为了增强系统的安全性，可以将硬件单元550部署且机械地固定至物理站点，使得在受信任的审计员的监督下，无法在不导致单元永久禁用的情况下将其移动到别处。然而，智能卡562、564可以由任何人插入，因为利用了智能卡562、564与硬件单元550之间的验证。硬件单元550可以嵌入软件定义网络(sdn)开关以使布线更容易。然而，可以使用任何lan路由器或交换机。每个插槽552、554可以被连接到交换机中它自己的数据端口。在一些实施例中，硬件单元550还可以提供一些附加功能性，比如，被包括在硬件单元中的加速计和备用电源。

在参照图5c的实施例中，在智能卡562插入到对应插槽552中之后和/或响应于所述插入，智能卡562从所述硬件单元550接收消息(例如，硬件单元550检测到插入并且经由接口将消息传输给正确的插槽和/或正确的智能卡)(框574)。在此之前，可以在两者之间建立连接(框572)。需要进一步注意的是，智能卡可以被插入到硬件单元550的任何空闲插槽中。

在框574中传输和接收的消息可以由硬件单元550使用密钥(例如，非对称密钥)来加密。在框576中，智能卡562可以发起对所述消息的解密。可以使用至少一个密钥来尝试解密该消息。例如，智能卡562可以包括或存储密钥，该密钥与硬件单元550的被用于加密消息的密钥形成一对。在这种情况下，解密应该是成功的。

作为对成功解密所述消息的响应(框578)，智能卡562可以进入操作模式，在该操作模式中，智能卡562被配置为从服务器计算机接收请求消息并且通过传输被存储在其只读存储区域中的特定于数据中心的信息来响应(框580)。

图5d图示了消息未被成功解密的情况。因此，智能卡562可以防止传输对于请求消息的响应消息(框584)。如果消息未被成功解密，则可能发生这种情况(框582)。

图6图示了根据实施例的响应消息(例如，由站点锚点260在框330或框408中传输)。参照图6，响应消息600包括特定于数据中心的信息610。在实施例中，特定于数据中心的信息610包括物理位置关联信息。

根据实施例，特定于数据中心的信息610包括地理位置数据612。在实施例中，地理位置数据被预存到站点锚点260的只读存储区域。例如，地理位置数据可以包括数据中心200的坐标。在一些实施例中，可以更新地理位置(例如，通过使用卫星定位电路系统的站点锚点)。例如，地理位置数据612可以被理解为物理位置关联信息的一部分。

根据实施例，特定于数据中心的信息610包括管辖标识符614。例如，管辖标识符可以指示数据中心200所在的国家。例如，管辖标识符可以指示数据中心200的位置处的适用法律。即，什么法律或哪种法律适用于在数据中心200中存储或处理的数据。需要注意的是，处理数据还可以意味着数据被临时存储(例如，在处理器的工作存储器中)。使用管辖标识符可以直接向位置信息请求方(例如，服务器计算机或终端设备)指示适用的法律。因此，可能不需要使用坐标或类似的标识符来确定适用的法律。这可以使系统更简单。例如，站点锚点260可以仅存储指示国家的位置信息，诸如，‘芬兰’或‘美国’或者使用类似或部分相同的立法的区域，诸如，‘欧盟’。

根据实施例，特定于数据中心的信息610包括数据中心标识符616，其唯一标识与站点锚点相关联的数据中心(例如，站点锚点260可以指示数据中心200的标识符)。例如，服务器计算机210或终端设备然后可以通过将标识符和损害与数据中心标识符相关联的法规信息的一个或多个数据阵列进行比较，来使用该标识符来确定哪个法规适用于所存储的数据。数据中心标识符616可以例如包括站点锚点260所在的数据中心200站点的符号名称。关联的数据中心可以指站点锚点所在的数据中心。

根据实施例，特定于数据中心的信息610包括上电计数器618，其指示站点锚点260已经上电的次数。如上所述，该数目可以是关于位置关联信息的完整性的进一步指示。

根据实施例，特定于数据中心的信息610包括地理位置数据612、管辖标识符614、数据中心标识符616和/或上电计数器618。

让我们再看一下图示了一些实施例的图8a至图8b。参照图8a，可以示出向站点锚点260供应不同参数。根据实施例，站点锚点260从外部设备接收至少一个配置消息，其中根据接收到的至少一个配置消息将特定于数据中心的信息预设或设置到只读存储器中(框808)。例如，外部设备可以是供应设备800。供应设备800和站点锚点260可以经由有线或无线通信彼此连接，诸如lan、通用串行总线(usb)、蓝牙、wlan和/或wifi。站点锚点260可以支持所描述的技术仅是示例的一种或多种有线和/或无线技术。

根据实施例，供应设备800按参数传输配置消息(框808)。因此，可以传输多于一个配置消息。(多个)参数可以包括：地理位置数据612、管辖标识符614、数据中心标识符616和/或与插入到特定硬件单元550相关的密钥(例如，加密密钥)。在实施例中，站点锚点260通过向供应设备800传输确认(ack)或否定确认(nack)消息来回复配置消息(即，参数设置消息)(框810)。即，如果成功设置参数，则可以传输ack，并且如果未成功传输参数，则可以传输nack。可以重复框808和810以设置所有必要的参数(框809)。附加或备选地，如果未成功设置参数，则可以重复框808、810。例如，可以尝试重置两次或三次。

此时，更详细地描述站点锚点260的只读存储区域的含义可能是有利的。图9图示了可以包括站点锚点260的装置900的实施例。装置900可以包括具有只读存储器934的存储器930。只读存储器934可以仅由装置900(例如，站点锚点260)读取。因此，站点锚点260可能不将任何数据重写到只读存储器934。只读存储器934可以被理解为一次写入或存储数据的一次写入存储器936。当将数据存储到一次写入存储器936时，其可以变为只读存储器934。

例如，如果该参数尚未被设置到站点锚点260的只读存储区域中，则可能仅参数设置(框808)是成功的。例如，可以至少部分地在工厂处执行参数(例如，位置关联信息)的供应。可以在站点处设置一些参数。备选地，可以在站点处设置所使用的所有参数。例如，可以在站点处添加附加参数(即，尚未设置)。

参照图8a，当供应设备800被用于向站点锚点260供应至少一个参数时，供应设备800可以向站点锚点260传输供应意图消息(框802)。站点锚点260可以利用验证请求(框804)来回复，其中验证ack/nack可以由供应设备传输(框806)。在框808中，可以使用(多个)密钥或密钥对执行验证以确定供应设备800有权设置(多个)参数。基本上，如果供应设备800具有站点锚点260的公钥并且参数尚未被设置到站点锚点260，则供应设备800可以执行参数设置。所基本上，仅可以添加新参数。

供应设备800可以是特殊设备或在例如用户设备(诸如，膝上型计算机或移动设备)中运行的软件应用。参数值可以逐个地被存储到站点锚点(框808)。一旦设置了所有预期值，就可以将站点锚点260设置为等待部署使用的状态(例如，通过传输框812的供应完成消息)。供应设备800标识符和使用它的审计员的身份可以被存储到站点锚点260的存储器中以用于稍后引用。如所述，例如，可以在数据中心200的站点或工厂处使用供应设备800。

基本上，当制造站点锚点260时，站点锚点260可以被重置为未初始化状态，其中，除了主要种子被设置为给站点锚点260提供其唯一标识之外，清除所有信息。这可以如在受信任平台模块(tpm)2.0规范中所描述的。类似于tpm2.0实践，主要存储密钥证书也可以容易地被存储到站点锚点260的持久存储装置，但是也可以由站点锚点260从主要种子计算密钥。因此，至少将(多个)实际密钥或主要种子存储到站点锚点260的存储器。持久存储装置可能意味着无法重写的存储区域(即，只读存储器)。因此，主要种子或(多个)密钥(例如，公钥和私钥)可以被供应给站点锚点260一次。

在实施例中，站点锚点260是可重置的或不可重置的。这可能取决于当地要求。如果重置站点锚点，则其根密钥或种子可能会获得新值，这可能使所有早期密钥(包括解密密钥)无效。重置可以强制任何用户知道先前设置的历史，使得其重置历史总是明显的。

在不可改变的系统中，一个实施例是使用诸如一次写入存储器等技术来使得重置将需要物理访问和主动移除可能需要加密签名的组件(例如：tpm)。

在实施例中，利用无线电通信(例如，蓝牙、wlan)来接收至少一个配置消息。图8a和8b中的设备之间的所有通信可以无线地发生。然而，如果有几个在范围内，则供应者应该注意与正确的锚设备进行通信。这可以基于例如在供应设备与站点锚点260之间共享标识符或类似的数据元素。

在实施例中，特定于数据中心的信息包括至少一个参数，其中每个参数仅可设置一次。例如，参考612、614、616可以仅被设置到站点锚点260一次。参数因此可以包括以下中的至少一个：地理位置数据612、管辖标识符614、数据中心标识符616、上电计数器618的阈值和物理位置关联信息。上电计数器618本身应该是可重写的，因为每当站点锚点260上电时该值可以改变。

参照图8b的实施例，站点锚点260可以：从与特定于数据中心的信息的特定参数相关联的外部设备(例如，供应设备800)接收配置消息(框808)；确定所述特定参数是否已经被设置(框822)；以及如果所述特定参数尚未被设置，则允许根据配置消息设置所述特定参数(框826)，或者如果所述特定参数已经被设置，则防止重置所述特定参数(框824)。框824、826可以包括相应地向供应设备800传输ack/nack消息。

当满足足够的客户特定安全条件时，简单的站点锚点实施例可以依赖人类审计员来开始供应阶段。更高级的实施例可能需要采用特殊的供应设备。在这种情况下，站点锚点与供应设备连接。这两者可以通过使用pki彼此验证。对方的公钥可以被预先配置给设备。在实施例中，站点锚点260包括供应设备的公钥。然而，在实施例中，站点锚点260包括供应设备类别的公钥。这可能意味着所述公钥由多个供应设备使用。这可以使多个供应设备能与相同的站点锚点260一起使用，从而使系统更加先进。

此外，每个供应设备可以存储站点锚点的公钥列表。当响应来自站点锚点260的加密验证请求时(框804)，供应设备800可以尝试其已知的公钥(即，从列表)，直到找到匹配的公钥(如果有的话)。如果找到了正确的密钥，则供应设备可以传输验证ack，并且可以如所描述的那样开始供应。当找到(多个)密钥时，供应设备800还可以确定站点锚点260可以支持哪种供应功能性。这可以使最新的供应设备模式能够与旧的锚设备一起工作。

在供应期间，特定于客户的位置、管辖区、附加pki密钥、软件许可证和其他受信任数据可以被存储到站点锚点。因此，可以设置除了参照图6所描述的那些参数之外的其他参数。

在相当简单的场景中，可以部署站点锚点，以通过将其连接至其最终电源和通信网络(比如，数据中心lan)来使用。站点锚点可以被部署到其最终位置，并且在受信任的审计员的监督下进行保护，或者在智能卡形式站点锚点的情况下被插入到插槽。

图9图示了根据实施例的装置900的框图。在实施例中，装置900是站点锚点260或包括站点锚点260。在实施例中，装置900是智能卡562或包括智能卡562。例如，可以在智能卡562与硬件单元550之间共享装置900的至少一些功能性。在实施例中，装置900是执行图3的步骤的装置。参照图9，装置900可以包括控制电路系统(ctrl)910(诸如，至少一个处理器)和包括计算机程序代码(软件)932的至少一个存储器930，其中至少一个存储器和计算机程序代码(软件)932被配置为与至少一个处理器一起使相应装置900执行图1至8b的实施例中的任何一个或其操作。

参照图9，可以使用任何合适的数据存储技术来实现存储器930，诸如，基于半导体的存储器设备、闪速存储器、磁性存储器设备和系统、光学存储器设备和系统以及固定存储器。存储器930可以包括软件932。存储器930可以包括用于至少存储特定于数据中心的信息的只读存储区域934。存储器930可以进一步包括用于首先设置(多个)参数的一次写入存储区域936，如上面更详细地描述的。

在实施例中，装置900包括tpm或类似的hsm功能性提供组件。例如，tpm可以提供用于加密密钥的安全存储装置。而且，可以在tpm990上设置非易失性的一次写入存储器。因此，例如，存储器934、936可以被提供在tpm990上。

装置900可以进一步包括通信接口920(也被称为通信电路系统)，其包括硬件和/或软件以用于根据一个或多个通信协议实现通信连接。例如，通信电路系统920可以向装置提供通信能力以与服务器计算机210、220、230、240通信。通信电路系统920可以包括标准的已知组件，诸如，放大器、滤波器、变频器、(解调)调制器以及编码器/解码器电路系统和一个或多个天线。例如，通信电路系统920包括lan电路系统922、wlan电路系统924和/或蓝牙电路系统926。

装置900可以包括用户界面940，其包括例如至少一个键盘、麦克风、触摸显示器、显示器、扬声器等。用户界面940可以被装置900的用户使用来控制相应装置。然而，在一些情况下，用户界面仅经由通信电路系统920而被实现。即，仅外部设备可以被用于控制装置900。在一些情况下，装置900不具有任何种类的用户界面。这可以进一步增强装置900的安全性。

在实施例中，装置900包括与不同种类的存储器和i/o设备连接的中央处理单元。例如，非易失性存储器934(即，只读存储器)和私钥存储装置可以使用tpm组件990被实现，其对于证明预期软件在锚中运行也是有用的。代替特定的tpm组件990(例如，物理tpm组件)，可以使用仅在ctrl910(即，一个或多个处理器)的安全模式下运行的受信任软件来达成类似的功能性。

根据实施例，装置900包括电源单元950。电源单元950可以被配置为从外部电源接收电力并且向装置900提供操作电力。装置900可以进一步包括备用电池960以向外部电源提供备用。附加或备选地，存储器930可以被配置为在外部单元断开的情况下保存装置900的状态。

参照图9，在实施例中，控制电路系统910包括：接收电路系统912，电路系统912被配置为使装置900从数据中心200的服务器计算机210接收请求消息，装置900和服务器计算机210是彼此通信耦合的物理分离的实体，所述消息请求存储到装置900的只读存储区域934中的特定于数据中心的信息；解密电路系统914，解密电路系统914被配置为使装置900响应于接收到请求消息发起对请求消息的解密；以及传输电路系统916，其被配置为作为成功解密请求消息的响应使得向服务器计算机传输响应消息，所述消息包括从装置900的只读存储区域934获取的特定于数据中心的信息。

根据实施例，装置900包括移动检测电路系统980。移动检测电路系统980可以包括(多个)加速计、(多个)陀螺仪和/或(多个)磁力计。如上所述，(多个)这种传感器可以用于检测装置900是否移动。如果检测到移动，例如，则装置900可以停止或防止发送包括特定于数据中心的信息的消息，以便防止滥用。

根据实施例，装置900包括卫星定位电路系统970。这种电路系统可以包括例如伽利略定位系统、全球定位系统(gps)和/或全球导航卫星系统(glonass)电路系统。因此，在一些实施例中，可以更新装置900的位置。在这种情况下，装置900可能需要利用允许重写数据/信息的存储区域。

根据实施例，提供了数据中心系统，该数据中心系统包括：至少一个服务器计算机210、220、230、240和至少一个装置900。

在实施例中，至少一个服务器计算机210、220、230、240被配置为执行操作，该操作包括：向至少一个装置900传输请求消息，所述消息从至少一个装置的只读存储区域请求特定于数据中心的信息；作为对传输的响应，从至少一个装置900接收响应消息，所述消息包括从装置的只读存储区域获取的特定于数据中心的信息；确定传输请求消息与接收响应消息之间的时间；以及如果所述时间超过阈值，则丢弃接收到的特定于数据中心的信息。这种功能性可以进一步增强减少系统的滥用。即，如果使用时间限制，则位于一些其他位置处的服务器计算机可以不使用一些其他数据中心的位置信息。例如，可以应用往返时间(rtt)、网络路由跳数和网络拓扑的适当最大限制，以防止服务器与另一地理分离的站点处的站点锚通信。可以在审计员的监督下配置阈值设置。该参数可以包括在服务器处的受信任引导数据散列测量中。

进一步考虑不同的用例和示例，具有特定于数据中心的信息的一种可能方案可以是每当物理服务器计算机210、220、230、240重启时，其中的受信任软件组件可以作为响应使用云系统的名称服务已知的地址(例如，特定于数据中心的信息)来从站点锚点260查询，并且将其存储到其存储器中。因此，当用户设备请求所述信息时，服务器计算机可以使用特定于数据中心的信息的本地副本来回答。作为额外的预防措施，还可以定期利用站点锚点来验证信息。应用还可以通过调用特殊的api函数来从站点锚点设备直接取回信息。在这种情况下，服务器计算机可能不会利用其自己的存储器的信息进行响应。

另一场景是站点或数据中心具有许多特定于客户的站点锚点，这些站点锚点可以具有不同的专有标识符和用于站点的其他信息。在这种情况下，可以将信息复制到特定于位置的寄存器和虚拟tpm(vtpm)的非易失性随机存取存储器(nvram)，因为虚拟机(vm)图像可以是特定于应用的。如果运行时vm图像利用加密签名等而被完整性检查，则可以信任它。

如果查询量超过单个站点锚点可以处理的量，则可以通过使用常规的网络管理手段来使用负载共享方案。还可以使用lan路由机制来支持用于某些应用或客户的重复站点锚点以提高可靠性。

在上面解释的情况下，可以将新的服务器安装到数据中心站点并且使其自动可用，例如，在其中运行的应用的受信任地理位置信息。只要在站点处存在正在运行且适用的站点锚点，则审计员可能不需要在第一次访问之后进行另一站点访问。因此，可以添加和/或改变服务器计算机，并且仍然保持受信任的特定于数据中心的信息。

如所讨论的，每个数据中心可以存在多个站点锚点。它们可以与云数据中心的特定客户或应用相关联。在这种情况下，客户代表可以对数据中心进行审计，并且留下站点锚点作为该特定数据中心有资格运行该客户的服务的标记。服务应用可以在其启动过程期间以及随后的随机时间检查物理服务器计算机可以访问对应的站点锚点。该检查也可以由平台执行，作为资源分配调度器的一部分。该上下文中的网络功能虚拟化(nfv)块可以是例如云服务的管理和编排(mano)功能性和/或虚拟基础设施管理器。

在使用硬件单元500并且数据中心已经被客户代表审计的情况下，可以将新的站点锚点运送到站点，前提是已知可以是特定于客户的硬件单元550的公钥。站点锚点可以被配置为使得它不在指定的硬件单元550之外的任何其他地方工作。

还可以创建在受信任计算机中启动的特殊应用软件，以远程地向所安装的站点锚点供应附加参数。利用对pki密钥和密码的仔细管理，这可以不损害站点锚点的受信任度。

另一可能的解决方案可以是具有包括蜂窝通信模块的站点锚点或插槽阵列(即，硬件单元550)。蜂窝通信模块可以包括内置且已认证的蜂窝通信系统收发器以及使锚对蜂窝网络可见的天线布置。蜂窝网络然后可以证明锚的位置(例如，通过三角测量)。通过使用蜂窝网络的定制服务，可以具有全自动站点锚点系统，其在委托使用时可能不需要人工评估。这可以应用于移动数据中心，比如，内置于海运集装箱中的数据中心。同样地，卫星定位电路系统970(例如，伽利略的受信任定位模式)可以用于确定站点锚点260的位置。卫星定位和蜂窝定位可以是彼此的替代或互补。即，使用多于一个位置确定源，可以进一步增加位置数据的受信任度。

所提出的解决方案的优点可以是商业服务器硬件(具有tpm)可以原样使用而无需修改，并且仍然获得其运行时地理位置或站点标识的强有力的物理证据。因此，例如，可以知道所存储的数据的适用法律。

根据实施例，装置900(例如，站点锚点260)包括在硬件安全管理器(hsm)设备中。装置900可以被认为是对现有hsm功能性的扩展，或者，作为仅提供站点锚点功能性的hsm类设备而存在。

设置站点锚点可以以多种(非排他性的)方式进行。

·使用审计员(表面上是人)来设置初始参数等。

·使用学习机制来发现环境等：地震属性、网络属性、无线电属性等。

·以上的组合。

此外，可以设置站点锚点，即，所有或部分属性是固定的且不可改变的。

站点锚点的配置将意味着一些设置、配置甚或系统将使用与审计员/证明者绑定的机制进行签名，使得在稍后的时间点审计系统的情况下可以追踪配置该系统的人或系统。此外，系统内置的该认证可以被用于确认该系统的信任级别。这一点的一个实施例可以是使用tpm或类似设备(例如：hsm)或者经由某种形式的远程证明或这些技术的组合等。

图10图示了根据实施例的由服务器计算机执行的方法。服务器计算机可以是例如服务器计算机210。参照图10，该方法包括：通过数据中心的服务器计算机向数据中心的装置发送请求消息，所述消息从所述装置的只读存储区域请求特定于数据中心的信息(框1010)；作为对发送的响应，发起从装置接收响应消息(框1020)；响应于接收到包括特定于数据中心的信息的响应消息，确定指示服务器计算机与装置之间的距离的值(框1030)；以及如果所述值超过阈值，则丢弃接收到的特定于数据中心的信息(框1040)。例如，所述装置可以是站点锚点260。如果所述值未超过阈值，则接收到的信息可以是受信任的，并因此以各种方式被利用。

上面更详细地讨论了确定服务器计算机与站点锚点260之间的距离的不同方式的示例。这些可以包括计算rtt或使用具有有限范围的无线通信方法。根据实施例，所述值是时间，图10的方法进一步包括：确定传输请求消息与接收响应消息之间的时间；以及如果所确定的时间超过阈值，则丢弃接收到的特定于数据中心的信息。因此，测量时间可以提供一个良好选项以确定两个设备之间的距离。有时，所述距离称为通信距离，即，数据分组在首先从一个设备传输给另一设备然后返回时行进的距离。

在另一示例中，所述值包括接收信号质量，该方法进一步包括：基于接收到的响应消息，确定接收信号质量；以及如果所确定的接收信号质量超过阈值，则丢弃接收到的特定于数据中心的信息。因此，可以确定服务器计算机210与站点锚点260之间的信号质量。可以使用一个或多个指示符来测量信号质量。例如，可以测量接收信号强度指示符或接收信号质量指示符并且将其与阈值进行比较。在这种情况下，超过可能意味着信号质量超过某个阈值，使得它低于所述阈值。因此，可以确定发射器与接收器之间的距离太长而不能信任接收到的数据。所以，如果接收信号质量等于或低于某个阈值，则可以丢弃接收到的数据。在一些实施例中，信号质量和时间都可以用于确定数据是否受信任。例如，如果时间低于或等于第一阈值并且信号质量高于或等于第二阈值，则可以信任数据。例如，可以基于来自站点锚点260的响应消息来确定信号质量。信号质量可以包括信号强度。

图11图示了根据实施例的装置1100的框图。在实施例中，装置1100是服务器计算机210、220、230和/或240，或者包括服务器计算机210、220、230和/或240。在实施例中，装置1100被配置为执行图10的步骤。参照图10，装置1100可以包括控制电路系统(ctrl)1110(诸如，至少一个处理器)和包括计算机程序代码(软件)1132的至少一个存储器1130，其中至少一个存储器和计算机程序代码(软件)1132被配置为，与至少一个处理器一起使相应装置1100执行图1至8b和10的(多个)实施例服务器计算机中的任何一个或其操作。

参照图11，可以使用任何合适的数据存储技术来实施存储器1130，诸如，基于半导体的存储器设备、闪速存储器、磁性存储器设备和系统、光学存储器设备和系统以及固定存储器。存储器1130可以包括软件1132。存储器1130可以进一步包括用于存储数据的数据库1134。

装置1100可以进一步包括通信接口1120(也称为通信电路系统)，其包括硬件和/或软件以用于根据一个或多个通信协议实现通信连接。例如，通信电路系统1120可以向装置提供通信能力以与站点锚点260和/或其他站点锚点通信。通信电路系统1120可以包括标准的已知组件，诸如，放大器、滤波器、变频器、(解调)调制器以及编码器/解码器电路系统和一个或多个天线。例如，通信接口1120包括lan电路系统、wlan电路系统和/或蓝牙电路系统。

装置1100可以包括用户界面1140，其包括例如至少一个键盘、麦克风、触摸显示器、显示器、扬声器等。用户界面1140可以被用于由装置1100的用户来控制相应装置。

参照图11，根据实施例，ctrl1100包括：发送电路系统1112，被配置为执行框1010的操作；接收电路系统1114，被配置为执行框1020的操作；确定电路系统1116，被配置为执行框1030的操作；以及丢弃电路系统1118，被配置为执行框1040的操作。

根据实施例，(多个)通信接口920、1120支持基于光保真度(li-fi)的通信。因此，例如，站点锚点260与供应设备之间的通信可以至少部分地基于li-fi。例如，在利用无线通信的本发明的一些实施例中，所述无线通信可以至少部分地基于li-fi或利用li-fi。

根据示例实施例，站点锚点260被配置为在至少两个不同的操作模式下操作：设置模式和服务模式。在设置模式下，站点锚点260可以通过使用例如供应设备800而被配置。在服务模式下，站点锚点260可以从多个服务器计算机接收请求，并且根据本文描述的实施例响应请求。

根据示例实施例，供应设备800包括控制台，该控制台用于在站点锚点260处于设置模式时将值设置到站点锚点260。例如，供应设备800可以经由有线(例如，lan)连接而被连接到数据中心站点或工厂处的站点锚。为此，站点锚点260和供应设备800可以包括有线接口，诸如，lan接口。另外，站点锚点260和供应设备800可以经由无线连接(诸如，wlan)彼此通信。

在将一个或多个参数供应到站点锚点260的一次写入存储器中之前，站点锚点260可以处于设置模式。一旦将一个或多个参数供应给一次写入存储器，则存储器可以变为只读存储器，如上所述。在示例实施例中，站点锚点260被配置为响应于供应一个或多个参数(例如，一旦供应了参数)将操作模式从设置模式改变为服务模式。

在实施例中，站点锚点260被配置为重置。响应于重置，站点锚点260可以被配置为将操作模式从服务模式改变为设置模式。即，在设置模式下，站点锚点260的只读存储器可以再次变为一次写入存储器一次，并且可以使用供应设备800将一个或多个参数供应给站点锚点260。再次，一旦供应了一个或多个新参数，则站点锚点260可以返回到服务模式，其中它可以通过向提出请求的服务器计算机传输位置和/或特定于数据中心的信息来响应请求。根据示例实施例，站点锚点260被配置为验证供应设备800对于向站点锚点260提供一个或多个参数来说是否是有效的。例如，在这种情况下，有效可能意味着供应商和/或供应设备800具有足够的权利来执行一个或多个参数的供应。例如，上述的一个或多个密钥可以被用于这种验证。附加或备选地，供应设备800可以被配置为验证站点锚点260是需要被供应参数的正确的站点锚点。即，验证可以确保将参数提供到正确的(即，需要的)站点锚点260中而不是一些其他的站点锚(例如，错误的数据中心)。即，在一个简单的示例中，验证基于在站点锚点260与供应设备800之间的通信中使用的一个或多个密钥或标识符。在一个示例中，响应于重置(例如，存储器)，站点锚点260生成在验证中使用的唯一标识符。基于该唯一标识符，供应设备800可以确定站点锚点260是否是正确的站点锚。该确定可以基于例如确定站点锚点260不是一些其他的站点锚。

附加或备选地(即，使用一个或多个密钥)，验证过程可以包括确定指示站点锚点260与供应设备800之间的距离的参数。如果该参数指示距离超过阈值，则可以防止供应。这种参数的一个示例可以是rtt(往返时间)。另一示例可以是对信号质量测量的使用。对指示距离的参数的确定可以由站点锚点260和/或供应设备800执行。例如，站点锚点260或供应设备可以向另一个传输消息，其中该消息包括由传输实体生成的时间戳。所述另一个可以通过传输包括由响应实体生成的时间戳的另一消息来响应该消息。传输实体然后可以基于时间戳确定rtt，并因此确定所述实体之间的距离(例如，通信距离或物理距离)是否超过阈值。如果超过阈值，则可以防止供应设备800的供应。例如，站点锚点260可以不接受所供应的值，并且可以向供应设备800指示。

根据示例实施例，被存储和/或供应到站点锚点260的只读存储区域的、特定于数据中心的信息唯一地标识站点锚点260被安装到的数据中心。

根据示例实施例，被存储和/或供应到站点锚点260的只读存储区域的数据中心特性信息包括以下中的至少一项：国家(即，数据中心所在的国家)标识符和/或名称、数据中心标识符和/或名称、关于软件许可证的指示(即，指示在数据中心中运行或执行(多个)特定程序的许可)、数据中心所有者标识符和/或名称、地理位置特定数据。

根据示例实施例，经验证的供应设备和/或经验证的站点锚点是指在供应设备与站点锚点之间应用受信任的计算。上面更详细地解释了受信任计算。

根据示例实施例，一旦将数据供应给所述存储区域，则一次写入存储区域变为或改变为只读存储区域。所述存储区域可以指代被提供在物理存储器资源上的存储区域。这可能意味着实际物理存储器可能不一定必须是一次写入和/或只读存储器，而是经由软件配置为一次写入存储器的可编程存储器。所述软件可以进一步被配置为在和/或响应于将数据提供给所述一次写入存储器时将一次写入存储区域改变为只读存储区域。所以，根据实施例，使用软件将站点锚的存储区域配置为一次写入存储区域，并且一旦供应了数据则使用软件配置为只读存储区域。因此，在一些实现中，实际使用的存储器可以是常规存储器，并且可以使用常规存储器和软件的组合来提供解决方案。

如在本申请中所使用的，术语“电路系统”指代以下中的所有项：(a)仅硬件电路实现，诸如，仅模拟和/或数字电路系统中的实现，以及(b)电路和软件(和/或固件)的组合，诸如(如果适用的话)：(i)(多个)处理器的组合，或者(ii)(多个)处理器/软件的一部分，包括一起工作以使装置执行各种功能的(多个)数字信号处理器、软件和(多个)存储器，以及(c)即使软件或固件不是物理存在的也需要软件或固件进行操作的电路，诸如，(多个)微处理器或(多个)微处理器的一部分。“电路系统”的这种定义适用于本申请中该术语的所有使用。作为又一示例，如在本申请中所使用的，术语“电路系统”也将覆盖仅处理器(或多个处理器)或处理器的一部分及其(或它们的)伴随的软件和/或固件的实现。例如并且如果适用于特定元件的话，则术语“电路系统”还将覆盖用于服务器、蜂窝网络设备或另一网络设备中的移动电话或类似的集成电路的基带集成电路或应用处理器集成电路。

在实施例中，结合图1至8b和10描述的至少一些过程可以由装置执行，该装置包括用于执行所描述的至少一些过程的对应部件。用于执行过程的一些示例部件可以包括以下中的至少一项：检测器、处理器(包括双核和多核处理器)、数字信号处理器、控制器、接收器、发射器、编码器、解码器、存储器、ram、rom、软件、固件、显示器、用户界面、显示电路系统、用户界面电路系统、用户界面软件、显示软件、电路、天线、天线电路系统以及电路系统。在实施例中，至少一个处理器、存储器和计算机程序代码形成处理部件，或者包括用于根据图1至8b和10的实施例中的任何一个或其操作执行一个或多个操作的一个或多个计算机程序代码部分。

根据又一实施例，执行实施例的装置包括电路系统，其包括至少一个处理器和包括计算机程序代码的至少一个存储器。当启动时，电路系统使装置根据图1至8b和10的实施例中的任何一个或其操作执行至少一些功能性。

本文描述的技术和方法可以由各种部件来实现。例如，这些技术可以被实现在硬件(一个或多个设备)、固件(一个或多个设备)、软件(一个或多个模块)或其组合中。针对硬件实现，实施例的(多个)装置可以被实现在一个或多个专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑设备(pld)、现场可编程门阵列(fpga)、处理器、控制器、微控制器、微处理器、被设计为执行本文描述的功能的其他电子单元或其组合内。针对固件或软件，实现可以通过执行本文描述的功能的模块或至少一个芯片集(例如，程序、功能等)来执行。软件代码可以被存储在存储器单元中并且由处理器执行。存储器单元可以被实现在处理器内或者处理器外。在后一种情况下，它可以经由本领域中已知的各种部件而被通信地耦合到处理器。附加地，本文描述的系统的组件可以由附加组件重新布置和/或设想以便促进相对于其描述的各种方面的实现等，并且它们不需要在给定附图中陈述的精确配置，如本领域技术人员将了解的。

所描述的实施例还可以以由计算机程序或其部分限定的计算机过程的形式执行。结合图1至8b和10描述的方法的实施例可以通过执行包括对应指令的计算机程序的至少一个部分来执行。计算机程序可以是源代码形式、目标代码形式或者某种中间形式，并且它可以存储在某种载体(可以是能够携带程序的任何实体或设备)中。例如，计算机程序可以存储在可由计算机或处理器读取的计算机程序分发介质上。例如，计算机程序介质可以是例如但不限于记录介质、计算机存储器、只读存储器、电载波信号、电讯信号和软件发布包。例如，计算机程序介质可以是非瞬态介质。在本领域普通技术人员的范围内很好地示出和描述了用于执行实施例的软件的编码。在实施例中，计算机可读介质包括所述计算机程序。

即使上面已经根据附图参照示例描述了本发明，但是明显的是，本发明并不限于此，而是可以在所附权利要求的范围内以多种方式修改。因此，应该广泛地解释所有单词和表达，并且它们旨在说明而不限制实施例。对于本领域技术人员来说将显而易见的是，随着技术的进步，本发明概念可以以各种方式实施。进一步地，对于本领域技术人员来说显而易见的是，所描述的实施例可以但不要求以各种方式与其他实施例组合。