CN116155528A - 用于***管理的云密钥管理 - Google Patents

用于***管理的云密钥管理 Download PDF

Info

Publication number
CN116155528A
CN116155528A CN202211448594.3A CN202211448594A CN116155528A CN 116155528 A CN116155528 A CN 116155528A CN 202211448594 A CN202211448594 A CN 202211448594A CN 116155528 A CN116155528 A CN 116155528A
Authority
CN
China
Prior art keywords
credential
encrypted
request
manager
landscape
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211448594.3A
Other languages
English (en)
Inventor
R.克雷布斯
J.威廉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SAP SE
Original Assignee
SAP SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SAP SE filed Critical SAP SE
Publication of CN116155528A publication Critical patent/CN116155528A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本公开涉及用于通过监控网站网络上的用户凭证登录尝试来识别潜在攻击的计算机实现的方法、软件和***。一个示例方法包括在景观环境中接收与请求者的认证相关联的请求。响应于接收到该请求,响应于该请求的加密的凭证被加载到在景观环境中运行的凭证管理器。凭证管理器将加密的凭证保持在储存器设备中。加密的凭证包括用公钥加密凭证,并以加密形式提供给凭证管理器。加密的凭证被提供给在景观环境中运行的凭证使用组件,用于用由凭证使用组件在景观环境中保存的私钥来解密加密的凭证。

Description

用于***管理的云密钥管理
技术领域
本公开涉及用于数据处理的计算机实现的方法、软件和***。
背景技术
软件复杂性不断增加,并导致软件应用和平台***的生命周期管理和维护发生变化。软件应用和***可以提供服务和对资源的访问。对向最终用户提供服务以及向客户和最终用户提供资源的软件应用和***的管理可能与请求授权的安全要求相关联。客户的需求正在转变,在流程和景观管理方面对灵活性和效率的要求越来越高。
发明内容
本公开的实现通常针对用于凭证管理的计算机实现的方法。
一个示例方法可以包括诸如以下的操作:在景观环境中接收与请求者的认证相关联的请求;以及响应于接收到请求,在运行于景观环境中的凭证管理器处加载响应于该请求的加密的凭证,其中加密的凭证由凭证管理器保存在储存器处,其中加密的凭证包括用公钥加密凭证,并且以加密的形式提供给所述凭证管理器以供在景观环境中请求认证时使用;以及将加密的凭证提供给在景观环境中运行的凭证使用组件,用于用私钥解密加密的凭证,其中私钥由景观环境中的凭证使用组件保存,并且其中私钥和公钥是用于授权请求的非对称密钥对。
在一些实例中,该示例方法可以包括接收到的请求是与在软件***处执行操作的请求者的认证相关联的请求,其中该请求是在景观环境的第一信任区接收的,并且该软件***正在景观环境的第二信任区运行。
在一些实例中,在示例方法中接收到的请求可以是与在软件***处执行操作的请求者的认证相关联的请求,其中凭证使用组件在景观环境的第一信任区运行,并且其中凭证管理器在景观环境的与第一信任区分离的第二信任区运行。
在一些实例中,软件***在景观环境的第一信任区运行。
在一些实例中,响应于从凭证管理器接收到加密的凭证,加密的凭证可在凭证使用组件处被解密,并且其中解密的凭证由凭证使用组件提供给软件***以认证请求者的身份。
在一些实例中,该示例方法还可包括诸如以下操作:响应于在凭证使用组件处接收到加密的凭证,用私钥解密加密的凭证;以及发送在软件***执行操作的请求,其中发送的请求包括解密的凭证,用于授权与接收到的用于认证的请求相关联的操作的执行。
在一些实例中,请求者可以被授权在软件***处执行操作,并且其中接收到的请求通过引用内部标识符作为用于执行加密的凭证的认证的目标上下文来标识软件***。
在一些实例中,凭证管理器可以作为云平台应用的一部分运行,以提供软件***的景观管理服务,其中软件***在景观环境的第一信任区的云平台基础设施上运行。
在一些实例中,凭证管理器和凭证使用组件可以在分离的孤立云平台上运行。
在一些实例中,该示例方法还可以包括:在与凭证管理器相关联的用户界面处接收指令,以创建包括公钥和私钥的密钥对;以及响应于接收到的指令,配置凭证管理器和凭证使用组件以相应地保存公钥和私钥,其中该配置包括:提供要由凭证管理器保存的公钥;以及提供要在凭证使用组件处保存的私钥。
在一些实例中,密钥对可以与涉及一个或多个管理***的账户相关联,并且其中一个或多个用户与该账户相关联。
在一些实例中,该示例方法可以包括在与凭证管理器相关联的用户界面处接收由用户提供的用于从与凭证管理器相关联的多个***访问软件***的凭证;在用户界面处,通过使用保存在凭证使用组件处的私钥来加密接收到的凭证;以及将加密的凭证提供给云景观管理器以保存加密的凭证,其中云平台管理器包括凭证管理器和用于配置、管理和保存平台景观环境的平台景观配置的域特定逻辑,其中平台景观环境包括软件***并且与一个或多个客户账户相关联,并且其中每个客户账户与授权访问软件***中的至少一个的不同凭证相关联。
本公开还提供了耦合到一个或多个处理器并且其上存储有指令的计算机可读存储介质,该指令在由一个或多个处理器执行时,使一个或多个处理器根据本文提供的方法的实现来执行操作。
本公开还提供了一种用于实现本文提供的方法的***。该***包括一个或多个处理器,以及耦合到一个或多个处理器的计算机可读存储介质,其上存储有指令,该指令当由一个或多个处理器执行时,使一个或多个处理器根据本文提供的方法的实现来执行操作。
应当理解,根据本公开的方法可以包括本文描述的方面和特征的任何组合。即,根据本公开的方法不限于本文具体描述的方面和特征的组合,还包括所提供的方面和特征的任何组合。
在附图和以下描述中阐述了本公开的一个或多个实施方式的细节。根据说明书和附图以及权利要求书,本公开的其他特征和优点将变得显而易见。
附图说明
图1描绘了可以执行本公开的实现的示例***。
图2是根据本公开的实现的包括被配置成以安全方式管理凭证的景观环境的示例***的***图。
图3是根据本公开的实现的用于凭证管理的示例方法的框图。
图4是根据本公开的实现的包括凭证管理器和凭证使用组件的示例景观环境的***图,该凭证管理器和凭证使用组件用于安全保存对在管理***处的请求的认证的凭证。
图5是根据本公开的实现的用于配置、保存和使用对与管理***相关的请求的认证的凭证示例方法的序列图。
图6是可用于执行本公开的实现的示例计算机***的示意图。
具体实施方式
本公开描述了用于凭证管理的各种工具和技术。
在一些实例中,客户管理和操作他们在不同平台环境中托管的软件应用和***。例如,客户***可以托管在云平台上为客户定义的账户区域(或平台空间)中。客户可以使用由被提供为管理其中运行客户的应用和***的景观(或环境)的服务而提供的景观管理服务。云计算与跨越各种环境和信任区(例如,由不同所有者控制的平台空间或环境)的混合应用的网络的开发和管理相关联。不同的应用可以由不同的软件提供商提供,并且可以提供不同的资源和/或服务。
景观管理与向在各种平台环境(例如,互连或孤立)下运行软件应用和***的客户提供支持相关联。在一些实例中,软件应用和***可以托管在公共云平台环境中。在这些实例中的部分实例中,与客户相关联的多个应用和***可以被托管在云平台的公共云区域,并且可以基于由景观管理工具提供的服务来管理。
在一些实例中,客户应用和/或***可以与其他服务和应用耦合,该其他服务和应用与为应用和/或***提供的景观管理服务相关联,以正确运行(例如,符合向最终用户提供请求的要求)。例如,可以启动应用的多个实体来支持给定应用的更高需求,以满足应用的高可用性要求。
在一些实例中,在不同信任区运行并实现由不同提供商和来源提供的不同功能的实体之间的通信与增加的安全问题相关联。服务和应用网络中不同实体之间的通信可能会带来安全漏洞和机密数据失控的风险。对客户景观和***的访问可能与高度安全限制相关联。
在一些实例中,景观管理工具或景观管理解决方案可以作为软件即服务(SaaS)解决方案来实现和托管,该解决方案可以与能够管理软件应用和***的一个或多个平台环境通信耦合。在一些实例中,景观管理工具可以向给定云平台处的客户的托管软件***提供景观管理服务。在一些实例中,景观管理工具可以接收与管理软件***相关联的请求。
在一些实例中,管理***可以在客户的信任区运行,该信任区不同于其中景观管理工具可以运行的信任区。管理应用和/或***可以与认证要求相关联,该认证要求用于认证由其他应用和/或用户请求的操作(或动作)的执行请求。
在一些实例中,景观管理工具可以提供接口,用于接收配置认证规则的请求,以便以安全的方式从管理***访问***。在一些实例中,景观管理工具可以被配置成提供凭证管理以支持在管理***处请求的安全执行。景观管理工具可以在管理***处存储用于认证的凭证的受保护版本,该受保护版本可以在请求用于执行的操作或动作时使用。在一些实例中,凭证的受保护版本可以是凭证的加密的版本,该加密的版本可以由景观管理工具接收以保存。在一些实例中,凭证可以由在管理***上具有账户的用户提供。例如,凭证可以涉及授权给定用户角色的用户在某些时间段内、对用户组、或对通过他们的用户标识符和/或名称等的标识符用户列表的某些操作的访问。
在一些实例中,景观管理工具可以被配置成向管理***发送指令(或请求),以请求通过在定义的目标环境中运行的代理(例如,执行引擎)执行操作。代理可以被托管在非常接近管理***的位置,例如,在管理***的信任区的平台空间内运行。在一些实例中,景观管理工具可以向代理发送指令以请求在第一***执行操作,其中指令可以包括凭证的受保护版本以请求操作执行的授权。凭证的受保护版本可由管理***的信任环境内的代理解密,并且解密的凭证可用于认证对操作执行的请求。
在一些实例中,景观管理工具可以提供凭证管理逻辑来存储与不同的管理***和不同的客户和/或用户相关联的凭证。例如,景观管理工具可以组织基于***标识符、用户标识符和/或用户角色标识符等来识别的凭证的储存器。在一些实例中,一旦在景观管理工具处接收到在第一***处执行操作的请求,就可以评估该请求以确定对应的受保护的凭证(例如,通过基于域逻辑加载凭证、通过查询凭证存储或其他合适的示例)。
在一些实例中,景观管理工具可以仅以加密格式保存加密凭证,而不需要密钥来解密凭证,并且不需要访问以解密的格式的凭证。在一些实例中,所确定的受保护凭证可被提供给代理,以解密该凭证的受保护版本,并根据解密的凭证请求对所请求操作的执行的授权。在一些实例中,代理可以被托管在请求者(例如,用户或应用)的信任网络区。代理可以访问永久储存器,其中可以维护用于解密对应加密的凭证的私钥。
在一些实例中,代理可以被配置为存储相关联的管理***的相关私钥,并且因此能够按需解密接收到的加密的凭证。在一些实例中,当请求包括加密的凭证时,加密的凭证在接收到在管理***上执行操作的请求时被解密。在那些实例中,代理可以存储用于解密凭证的逻辑,而不存储凭证本身或者以加密的格式存储凭证,并且景观管理工具可以存储凭证,但是只以加密的格式存储。在一些实例中,基于用于执行请求的景观管理逻辑在管理***处处理请求和确定授权请求的凭证的配置可以与多个优点相关联。例如,解密密钥和加密的凭证的储存器分离可以提供改进的安全性和灵活性。
在一些实例中,在管理***处认证请求的凭证可以由用户提供,并且可以用公钥加密,其中加密的凭证可以存储在景观管理工具处(或与该工具相关联的储存器处)以保存凭证信息。对应于公钥以形成密钥对(例如,非对称密钥对)的私钥可以存储在代理处。代理可以请求在管理***的信任区执行操作。因此,私钥和公钥可以存储在分离的位置,并且加密的凭证可以与公钥一起存储在由景观管理工具管理的储存器位置。
在一些实例中,景观管理工具和代理的配置可以确保凭证(例如,作为私有受保护数据)可以由解密密钥的所有者或拥有者在用于调用管理***处的给定操作的具体使用场景的上下文中解密。由于私钥的拥有者不具有对凭证的一般访问权,而是在请求时使用由景观管理工具提供的凭证,因此降低了安全攻击和凭证泄露的风险。在那些实例中,景观管理工具不能访问私钥来解密加密的凭证,并且不能使用以解密的形式的凭证,并且因此以加密的形式将它们提供给凭证使用组件。从而,景观管理工具处的安全漏洞可能与在管理***处执行未授权操作的较低风险相关联。
在一些实例中,私钥可以与非机密数据一起保存在语义有用的上下文中,而不会不必要地增加代理实现的复杂性。该组织可以与代理逻辑实现的增加的一致性和降低的复杂性相关联。
图1描绘了根据本公开的实现的示例架构100。在所描绘的示例中,示例架构100包括客户端设备102、客户端设备104、网络110以及云环境106和云环境108。云环境106可以包括一个或多个服务器设备和数据库(例如,处理器、存储器)。在所描绘的示例中,用户114与客户端设备102交互,并且用户116与客户端设备104交互。
在一些示例中,客户端设备102和/或客户端设备104可以通过网络110与云环境106和/或云环境108通信。客户端设备102可以包括任何适当类型的计算设备,例如,台式计算机、膝上型计算机、手持式计算机、平板计算机、个人数字助理(PDA)、蜂窝电话、网络家电、照相机、智能电话、增强型通用分组无线业务(EGPRS)移动电话、媒体播放器、导航设备、电子邮件设备、游戏控制台、或者这些设备中的任何两个或更多个的适当组合或其他数据处理设备。在一些实施方式中,网络110可以包括连接任意数量的通信设备、移动计算设备、固定计算设备和服务器***的大型计算机网络,诸如局域网(LAN)、广域网(WAN)、互联网、蜂窝网络、电话网络(例如,PSTN)或其适当的组合。
在一些实施方式中,云环境106包括至少一个服务器和至少一个数据存储120。在图1的示例中,云环境106旨在表示各种形式的服务器,包括但不限于web服务器、应用服务器、代理服务器、网络服务器和/或服务器池。一般而言,服务器***接受对应用服务的请求,并向任意数量的客户端设备(例如,网络110上的客户端设备102)提供这种服务。
根据本公开的实现,并且如上所述,云环境106可以托管在主机基础设施上运行的应用和数据库。在一些实例中,云环境106可以包括可以代表物理或虚拟机的多个集群节点。托管应用和/或服务可以在云基础架构上托管的VM上运行。在一些实例中,一个应用和/或服务可以作为多个应用实例在多个对应的VM上运行,其中每个实例在对应的VM上运行。
图2是根据本公开的实现的包括被配置成以安全方式管理凭证的景观环境200的示例***的***图。
在一些实例中,景观环境200包括客户网络205、云平台210和公共基础设施即服务(IaaS)云账户220,作为可以由不同实体管理的分离的网段。在一些实例中,客户可以基于由托管在云平台210的云景观管理器240提供的景观管理服务,在公共IaaS云账户220部署、启动和管理软件应用和***。云景观管理器240可以接收通过在连接到客户网络205的计算设备上运行的用户界面(UI)应用和/或浏览器235发起的请求,并且这些请求指向要对在公共IaaS云账户220上运行的一个或多个***执行的动作和/或操作。例如,用户(例如,管理员)230可以通过连接到客户网络205的移动便携式设备,通过发送在云景观管理器240处执行操作的请求来请求启动或停止在客户的公共IaaS云账户220处运行的应用。
在一些实例中,根据为客户定义的客户网络要求来管理客户网络205,并且可以将其视为客户的信任区。例如,客户的应用(诸如UI应用或浏览器235)可以被托管在客户网络205处,作为用于请求与客户的基于云的应用和***(例如,管理***260)相关联的操作的安全环境。在一些实例中,客户网络205和客户的公共IaaS云账户220可以是景观环境200的第一信任区的一部分。
在一些实例中,客户可以具有在公共IaaS云账户220上运行的相关联的管理***260。公共IaaS云账户220提供云平台资源,用于托管和运行由与客户网络205相关联的客户管理的软件应用和***。
在一些实例中,景观环境200的云平台210部分可以被认为是托管云景观管理器240的第二信任区,其中第二信任区不同于由云景观管理器240提供的软件管理的信任区。云景观管理器240可以向包括在公共IaaS云账户220上运行的管理***260的***提供服务。在一些实例中,由云景观管理器240提供的服务可以与在管理***260处执行***管理任务相关联。
在一些实例中,终端用户230可以通过UI应用或浏览器235触发景观环境200中的操作的执行。UI/浏览器235可以与云景观管理器240通信。在一些实例中,云景观管理器240实现后端服务,这些后端服务是将各种原子操作组合成整体更高粒度的操作(诸如工作流)的实际域逻辑和功能。在云景观管理器240处实现的域逻辑可以支持不同管理过程的灵活执行。
在一些实例中,云景观管理器240可以通过诸如执行引擎245的代理请求在管理***260的***处的操作的执行。如前所述,云景观管理器240可以是景观管理工具。云景观管理器240可以存储与包括管理***260的***相关联的加密的凭证。在一些实例中,凭证可以由最终用户230提供给UI/浏览器235,并且可以用公钥加密,并且以加密的形式提供给云景观管理器240。云景观管理器240可与执行引擎245通信以请求执行引擎245基于根据所提供的加密的凭证的授权来请求操作的执行。在一些实例中,可以调用执行引擎245来促进与管理***的通信以执行操作。在一些实例中,执行引擎245在客户的第一信任区运行,并且可以绕过可能存在于不同信任区之间(例如,在管理***的第一信任区和云平台210的第二信任区之间)的防火墙配置,执行与管理***的直接通信。在更多情况下,客户网络205和公共IaaS云账户220可以是单个信任区的一部分,或者可以是分离的信任区。在那些实例中,景观环境200包括对应于客户网络205、云平台210和公共IaaS云账户220的三个信任区。
在一些实例中,执行引擎245可以存储解密密钥来解密所提供的加密的凭证,并使用该解密密钥来授权在管理***处请求的操作的执行。在一些实例中,执行引擎245被实现为光引擎,其包括具有降低的复杂度的有限实现的逻辑,以减少由于维护动作(例如,更新)引起的执行中断。在一些实例中,执行引擎245被部署在客户的公共IaaS云账户处,以支持景观管理操作的安全执行。
在一些实例中,执行引擎245接收指令以基于在云景观管理器240处实现的逻辑来执行请求。云景观管理器240实现用于景观环境200的配置的逻辑。在一些实例中,实施的配置可能包括主机名、IP地址、***结构和密码,以及与景观管理相关的其他潜在机密数据。
在一些实例中,云景观管理器240将域逻辑和相关联的凭证紧密地保存在一起,以保留逻辑和相关凭证之间的关联。在一些实例中,通过保留域逻辑和凭证之间的关联,云景观管理器240可以以降低的复杂性来实现,并且不依赖于对分离的安全储存器的引用。
在一些实例中,管理***260与***特定的认证250相关联,该认证250是按***定义的,并且包括用于执行不同操作的认证要求(例如,认证模型、元数据、规则等)。
图3是根据本公开的实现的用于凭证管理的示例方法300的框图。在一些示例中,示例方法300可以在景观环境200中实现,并且可以由图2的云景观管理器240执行。示例方法300可以在凭证管理器(或如前所述的景观管理工具)处实现,该凭证管理器提供用于凭证的安全管理的服务,该凭证用于授权与管理***(例如,给定账户、组或用户角色等)相关联的用户在管理***处请求的操作。在一些实例中,用户可以通过凭证管理器请求在管理***上执行操作。操作的执行可以与认证要求和凭证认证相关联。
在310,在凭证管理器处接收与软件***处的操作执行相关联的请求。在一些实例中,凭证管理器可以被部署为云环境管理器的一部分,诸如由图2的云环境管理器240所示。
在一些实例中,凭证管理器可以作为包括软件***的云平台应用的一部分运行,以便为软件***提供景观管理服务。软件***可以在景观环境的第一信任区的云平台基础设施上运行。软件***可以类似于例如图2的管理***260。
接收到的请求可以经由web应用、浏览器、桌面应用或本地应用来接收,以及可以用于发送请求操作的执行的应用的其他示例。在一些实例中,可以通过图3的UI/浏览器235接收请求。可以从与软件***相关联的客户管理的第一信任区接收请求。此外,该请求可以由一个用户或一组用户发起,或者可以基于在应用处实现的用于执行请求的调度。可以使用如何以自动或手动方式发起请求的其他合适的示例。
在一些实例中,接收到的请求可以从连接到与在由云景观管理器管理的景观环境中运行的***相关联的客户的客户网络的UI应用或浏览器接收。接收到的请求可以是执行管理操作的请求,该管理操作将在软件***执行之前被认证。
在一些实例中,接收到的请求是从被授权在软件***处执行操作的用户(例如,图2的最终用户230)接收的。接收到的请求通过引用***名称或网络地址中的至少一个来标识软件***。
在320,在运行于景观环境的第二信任区的凭证管理器处加载响应于该请求的加密的凭证。加密的凭证可用于授权操作的执行。在一些实例中,加密的凭证可以与和软件***相关的其他信息(例如,***名称、IP地址或其他合适的信息)一起直接保存。凭证管理器可以保留对公钥的引用作为加密密钥。在一些实例中,公钥可用于进一步加密,例如基于证明指纹。
在一些其他实例中,凭证管理器通过从存储中查询和调用加密的凭证来加载加密的凭证。加密的凭证可被保存在储存器处,并且可以是用与在310接收到的请求相关联的客户的公钥一起加密的凭证的受保护版本。在一些实例中,公钥可以与软件***的用户的凭证相关联。可以基于请求执行操作的***的标识来调用加密的凭证。
在330,由凭证管理器将加密的凭证提供给在景观环境的第一信任区运行的凭证使用组件,用于用私钥解密加密的凭证。凭证使用组件可以是实现逻辑的组件,以处理与一个或多个管理***相关联的接收到的请求,并在一个或多个管理***处调用动作的执行(基于接收到的请求)。私钥由凭证使用组件保存,并且私钥和公钥可以形成为授权请求在软件***处执行而生成的非对称密钥对。可以在第一信任区生成密钥对,作为与软件***相关联的特定凭证的专用密钥对。在一些实例中,密钥对可以与关于一个或多个管理***的账户相关联,并且一个或多个用户可以与该账户相关联。
在一些实例中,凭证管理器和凭证使用组件可以在分离的孤立云平台上运行。
在一些实例中,响应于从凭证管理器接收到加密的凭证,在凭证使用组件处解密加密的凭证。
在一些实例中,解密的凭证由凭证使用组件提供给软件***,以认证与请求相关联的用户的身份。在一些实例中,可以在接收到加密的凭证时执行解密,并且可以基于预存储的私钥来执行解密。在一些实例中,私钥和公钥是为授权在软件***执行的请求而生成的非对称密钥对。私钥和公钥可以存储在分离的实体中,以在通过景观管理解决方案在管理***处执行操作时支持改进的安全性。
在一些实例中,响应于凭证使用组件从凭证管理器接收到加密的凭证,在这些组件处解密加密的凭证。在一些实例中,当私钥与加密的凭证所引用的公钥相匹配时,凭证使用组件成功地解密加密的凭证。解密的凭证可由凭证使用组件提供给软件***,以认证与该请求相关联的用户的身份。
在一些实例中,加密的凭证在凭证使用组件处按需并响应于接收到加密的凭证而被解密。在一些实例中,在解密之后,在软件***上执行操作的请求被发送。发送的请求包括用于授权操作的执行的解密的凭证。凭证使用组件可以或可以不保存凭证的解密的版本。
图4是根据本公开的实现的包括凭证管理器和凭证使用组件的示例景观环境400的***图,该凭证管理器和凭证使用组件用于安全保存对在管理***处的请求的认证的凭证。
在一些实例中,景观环境400包括第一信任区405和第二信任区410。在一些实例中,信任区可被定义为被视为实体间通信的安全区域的景观的网络区域。多个信任区可被视为单个组,其中实体之间的通信可能不通过防火墙监控和过滤。在一些实例中,一个信任区和另一信任区之间的通信,或者一组信任区和另一组信任区之间的通信,可以根据不同网络之间的请求和资源交换的安全要求来执行。
在一些实例中,在第一信任区405和第二信任区410之间可能存在不信任区,其中第一信任区和第二信任区之间的至少一些请求通过不信任区发送。可以根据针对传入和传出网络流量定义的安全规则来处理与在不信任区中运行的实体一起处理的通信。
在一些实例中,第一信任区405包含用于托管和运行UI应用420的平台基础结构和凭证使用组件460,以支持接收对在由客户管理的软件***处执行操作的请求。作为示例,UI应用420可以类似于图2的UI/浏览器235,并且凭证使用组件460可以类似于图2的执行引擎245。在一些实例中,执行引擎245可以被托管在其中托管了一个或多个管理软件***的相同云平台上。
在一些实例中,第二信任区410包括是景观管理工具的景观管理器430,例如景观管理云应用。作为示例,景观管理器430可以类似于图2的云景观管理器240。景观管理器430包括凭证管理器440(例如,在图3中讨论的凭证管理器)和域逻辑435,用于处理对与客户的管理***(例如,在第一信任区405托管的***)的景观管理相关的操作执行请求。
在一些实例中,在第一信任区405处,UI 420是向最终用户415提供对输入一组凭证的访问的组件,该组凭证将被保存在景观管理器430处并被凭证使用组件460用来授权由景观管理器430在管理***处执行所请求的操作。在一些实例中,UI 420包括从最终用户415接收信息的逻辑,该信息包括由景观管理器430管理的特定软件***的凭证。UI 420可以根据加密方案加密凭证,并将其提供给景观管理器430。加密的凭证445可以包括(多个)附加的验证,当稍后对它们进行评估时,这些验证可以用于确定加密的凭证445的真实性。例如,加密可以用校验和、签名和有效日期等来执行。
在一些实例中,景观管理器430可以直接与UI 420通信。景观管理器430包括如何管理在底层基础设施(例如,私有云IaaS)上运行的***的实际域逻辑435和凭证管理器440。凭证管理器440包括与管理***相关联地保存从UI 420接收到的加密的凭证445的逻辑。在一些实例中,加密的凭证445可以与和凭证相关的其他非机密信息一起被直接保存。例如,加密的凭证445可以与包括但不限于***名称、托管***的虚拟机名称、***的IP地址、DNS名称、证书和/或用户账户信息(例如,用户密码、用户标识符、用户角色)以及其他合适的信息的信息一起被保存。
在一些实例中,凭证管理器440可从在第一信任区405处运行的凭证使用组件接收公钥。在一些实例中,单个公钥可以与关联于多个***和一个或多个客户的多个凭证相关联。在其他一些情况下,每个凭证可以用单独的不同公钥加密。在一些实例中,景观管理器430可以维护加密的凭证445对用于该凭证的加密的公钥450的引用。在一些实例中,公钥可以用于由景观管理器430执行的进一步加密。
在一些实例中,私钥425可以用于加密凭证,并且可以解密凭证的公钥450可以形成由非对称密钥生成器422生成的非对称密钥对。在一些实例中,非对称密钥生成器422可以被配置为凭证使用组件460的一部分。在一些其他实例中,非对称密钥生成器422可以是外部组件,其中在数据传输的其他示例当中,分别到凭证使用组件和景观管理器的密钥传送可以通过网络、通过进程间通信以及通过用户手动活动(例如,上传证书)来自动完成。
在一些实例中,凭证管理器440可以从UI 420接收执行与第一管理***相关的操作的请求。在接收到该请求后,凭证管理器440可以为接收到的请求加载响应的一组加密的凭证445,并触发用于请求凭证使用组件460在第一管理***处的操作的执行的(多个)动作。在一些实例中,触发凭证使用组件460请求操作的执行的动作可包括将从凭证管理器440加载的加密的凭证445提供给凭证使用组件460。在一些实例中,执行动作的触发请求可以基于与第一管理***相关联的域逻辑435的域逻辑部分。
在一些实例中,响应于触发用于凭证管理器440在第一管理***处执行操作的动作,凭证使用组件460可以检索接收到的请求,以执行与触发的动作和加密的凭证445一起提供的域逻辑(例如,作为触发请求的有效载荷提供)。凭证使用组件460可包括解密器427,其可使用内部保存的私钥425来解密由凭证管理器提供的加密的凭证445。
图5是根据本公开的实现的用于配置、保存和使用对与管理***相关的请求的认证的凭证的示例方法500的序列图。在一些实例中,方法500可在图2的景观环境200、图4的景观环境400或任何其他合适的***或环境中实现。如图所示,示例方法500可以与UI应用510(例如,类似于或不同于图2的UI 235或图4的UI 420)、凭证管理器515(例如,类似于或不同于贯穿本申请并关于图2、图3和图4讨论的凭证管理器和景观管理器)以及凭证使用组件520(例如,类似于或不同于图2的执行引擎245或图4的凭证使用组件460)相关联地实现。
在一些实例中,示例方法500包括配置提供由用户在景观管理工具处请求的景观管理操作的安全执行的凭证管理器和凭证使用组件用于在管理***处执行的操作。方法500的执行可根据所描述的通过基于由凭证管理器以加密形式提供并由凭证使用组件解密的凭证来认证操作的操作的执行的方法来执行。方法500可结合凭证管理器515和凭证使用组件520来执行,因为它们在景观环境的不同信任区被托管和运行。
在一些实例中,方法500包括与以下操作相关联的操作:设置用于保护与管理***相关联的凭证的加密和解密密钥,配置凭证管理器515和凭证使用组件520用于受保护信息的安全交换以授权在管理***处执行(或多个)动作的请求,以及处理执行操作的请求,其中该请求是在景观管理器处接收的,用于基于在与管理***相同的信任区处运行的凭证使用组件所处理的执行,在管理***处执行该操作。
在一些实例中,凭证管理器515和凭证使用组件520被配置成存储用于加密和解密机密信息的密钥信息。凭证管理器515存储用于加密机密信息的密钥,而凭证使用组件520存储用于解密与用于加密的密钥相关联的机密信息的密钥。在一些实例中,凭证信息包括用于在与凭证管理器515相关联的管理***处认证的凭证。凭证可以类似于图2-图4中讨论的凭证,尽管可以使用任何合适的凭证。
在一些实例中,启动密钥生成触发动作525来触发包括公钥和私钥的密钥对的生成。在一些实例中,触发动作可以由用户(例如,管理员和特定角色的用户等)手动启动,或者自动启动(例如,基于计划事件)。在530,密钥对被提供给凭证使用组件520。密钥对包括私钥(PrK)540和公钥(PuK)535。凭证使用组件520可以保存私钥545。在555,凭证使用组件520将公钥535提供给凭证管理器515以保存。
在570,在凭证管理器515处接收请求,以加载公钥,并使用公钥来加密(在575)由用户通过UI应用510输入的凭证。在557,凭证在UI应用处被加密,并在581被提供给凭证管理器515。在582,凭证管理器515保存加密凭证。
在585,在凭证管理器515处接收触发在管理***处执行操作(或动作)的请求。在一些实例中,接收到的请求可以类似于在图3的310接收到的请求。在一些实例中,请求是从用户接收的,并且是通过UI应用510提供的。在其他一些实例中,可以自动调用操作的触发执行。例如,在585触发的操作可以根据与凭证管理器相关联的管理***相关的操作的执行计划表来执行。
在588,响应于所触发的动作,凭证管理器515向凭证使用组件520发送请求,以响应于请求的用于执行的操作来加载相关私钥。在589,凭证管理器515加载对应于所触发的动作的加密凭证,并且在590,将加密凭证提供给凭证使用组件520。
在592,凭证使用组件基于所加载的相关私钥对加密的凭证进行解密(在588),并在593提供解密的凭证用于请求执行操作。在593,凭证使用组件520向管理***发送执行操作的请求。
现在参考图6,提供了示例计算***600的示意图。***600可以用于结合这里描述的实施方式描述的操作。例如,***600可以包括在这里讨论的任何或所有服务器组件中。***600包括处理器610、存储器620、储存器设备630和输入/输出设备640。组件610、620、630和640使用***总线650互连。处理器610能够处理在***600内执行的指令。在一些实施方式中,处理器610是单线程处理器。在一些实施方式中,处理器610是多线程处理器。处理器610能够处理存储在存储器620或储存器设备630上的指令,以在输入/输出设备640上为用户界面显示图形信息。
存储器620存储***600内的信息。在一些实施方式中,存储器620是计算机可读介质。在一些实施方式中,存储器620是易失性存储单元。在一些实施方式中,存储器620是非易失性存储单元。储存器设备630能够为***600提供大容量存储。在一些实施方式中,储存器设备630是计算机可读介质。在一些实施方式中,储存器设备630可以是软盘设备、硬盘设备、光盘设备或磁带设备。输入/输出设备640为***600提供输入/输出操作。在一些实施方式中,输入/输出设备640包括键盘和/或定点设备。在一些实施方式中,输入/输出设备640包括用于显示图形用户界面的显示单元。
所描述的特征可以在数字电子电路或计算机硬件、固件、软件或它们的组合中实现。该装置可以在计算机程序产品中实现,该计算机程序产品有形地包含在信息载体中(例如,在机器可读储存器设备中,用于由可编程处理器执行),并且方法操作可以由可编程处理器执行,该可编程处理器执行指令程序以通过对输入数据进行操作并生成输出来执行所描述的实现的功能。所描述的特征可以有利地在一个或多个计算机程序中实现,所述计算机程序可在可编程***上执行,所述可编程***包括至少一个可编程处理器,所述可编程处理器被耦合以从数据储存***、至少一个输入设备和至少一个输出设备接收数据和指令,以及向其发送数据和指令。计算机程序是一组指令,可以在计算机中直接或间接使用,以执行特定的活动或产生特定的结果。计算机程序可以以任何形式的编程语言编写,包括编译或解释语言,并且它可以以任何形式部署,包括作为独立程序或作为模块、组件、子例程或适合在计算环境中使用的其他单元。
作为示例,用于执行指令程序的合适的处理器包括通用和专用微处理器,以及任何种类的计算机的单个处理器或多个处理器之一。通常,处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的元件可以包括用于执行指令的处理器和用于存储指令和数据的一个或多个存储器。一般而言,计算机还可以包括一个或多个用于存储数据文件的大容量储存设备,或者可操作地耦合以与其通信;这种设备包括磁盘,诸如内部硬盘和可移动磁盘;磁光盘;和光盘。适于有形地包含计算机程序指令和数据的储存器设备包括所有形式的非易失性存储器,例如包括半导体存储设备,诸如EPROM、EEPROM和闪存设备;磁盘,诸如内部硬盘和可移动磁盘;磁光盘;和DVD-ROM盘。处理器和存储器可以由ASIC(专用集成电路)补充或并入其中。
为了提供与用户的交互,可以在计算机上实现这些特征,该计算机具有用于向用户显示信息的显示设备,例如阴极射线管(CRT)或液晶显示(LCD)监控器,以及用户可以用来向计算机提供输入的键盘和定点设备,例如鼠标或轨迹球。
这些特征可以在计算机***中实现,该计算机***包括后端组件,诸如数据服务器,或者包括中间件组件,诸如应用服务器或因特网服务器,或者包括前端组件,诸如具有图形用户界面或因特网浏览器的客户端计算机,或者它们的任意组合。该***的组件可以通过任何形式或介质的数字数据通信来连接,诸如通信网络。通信网络的示例包括例如LAN、WAN以及形成互联网的计算机和网络。
计算机***可以包括客户端和服务器。客户端和服务器通常彼此远离,并且通常通过诸如所描述的网络进行交互。客户端和服务器的关系是由于在各自的计算机上运行的计算机程序而产生的,并且彼此具有客户端-服务器关系。
此外,图中所示的逻辑流程不需要所示的特定顺序或连续顺序来实现期望的结果。此外,可以提供其他操作,或者可以从所描述的流程中删除操作,并且可以向所描述的***添加其他组件,或者从所描述的***中删除其他组件。因此,其他实施方式也在以下权利要求的范围内。
已经描述了本公开的许多实施方式。然而,应当理解,在不脱离本公开的精神和范围的情况下,可以进行各种修改。因此,其他实施方式也在以下权利要求的范围内。
鉴于主题的上述实施方式,本申请公开了以下示例列表,其中孤立示例的一个特征或者所述示例的一个以上特征的组合,以及可选地与一个或多个其他示例的一个或多个特征的组合,是也落入本申请公开范围内的其他示例。
例1.一种用于凭证管理的计算机实现的方法,该方法由一个或多个处理器执行,其中该方法包括:
在景观环境中接收与请求者的认证相关联的请求;以及
响应于接收到请求:
在运行于景观环境的凭证管理器处,响应于所述请求而加载加密的凭证,其中加密的凭证由凭证管理器保存在储存器处,其中加密的凭证包括用公钥加密凭证,并且以加密的形式提供给凭证管理器,以供在所
述景观环境处请求认证时使用;以及
将加密的凭证提供给在景观环境中运行的凭证使用组件,用于用私钥解密加密的凭证,其中私钥由景观环境中的凭证使用组件保存,并且
其中私钥和公钥是用于授权请求的非对称密钥对。
例2.根据例1所述的方法,其中所述请求与用于在软件***处执行操作的请求者的认证相关联,其中所述请求在景观环境的第一信任区处被接收,并且软件***在景观环境的第二信任区处运行。
例3.根据例1所述的方法,其中所述请求与用于在软件***处执行操作的请求者的认证相关联,其中凭证使用组件在景观环境的第一信任区运行,并且其中凭证管理器在景观环境的与第一信任区分离的第二信任区运行。
例4.根据例3所述的方法,其中所述软件***在景观环境的第一信任区运行。
例5.根据例1至4中任一项所述的方法,其中响应于从凭证管理器接收到加密的凭证,在凭证使用组件处解密加密的凭证,并且其中解密的凭证由凭证使用组件提供给软件***以认证请求者的身份。
例6.根据例1至5中任一项的方法,还包括:
响应于在凭证使用组件处接收到加密的凭证,用私钥解密加密的凭证;以及
发送在软件***执行操作的请求,其中发送的请求包括解密的凭证,用于授权与接收到的认证请求相关联的操作的执行。
例7.根据例1至6中任一项所述的方法,其中请求者被授权在软件***处执行操作,并且其中接收到的请求通过引用内部标识符作为用于执行加密的凭证的认证的目标上下文来标识软件***。
例8.根据例1至7中任一项所述的方法,其中凭证管理器作为云平台应用的一部分运行,以向软件***提供景观管理服务,其中软件***在景观环境的第一信任区的云平台基础设施上运行。
例9.根据例1至8中任一项所述的方法,其中凭证管理器和凭证使用组件运行在单独的孤立云平台上。
例10.根据例1至9中任一项所述的方法,还包括:
在与凭证管理器相关联的用户界面处接收指令,以创建包括公钥和私钥的密钥对;以及
响应于接收到的指令,配置凭证管理器和凭证使用组件以对应地保存公钥和私钥,其中配置包括:
提供将由凭证管理器保存的公钥;以及
提供将在凭证使用组件处保存的私钥。
例11.根据例1至10中任一项所述的方法,其中所述密钥对与关于一个或多个管理***的账户相关联,并且其中一个或多个用户与所述账户相关联。
例12.根据例1至10中任一项所述的方法,还包括:
在与凭证管理器相关联的用户界面处接收由用户提供的用于从与凭证管理器相关联的多个***访问软件***的凭证;
在用户界面处,通过使用保存在凭证使用组件处的私钥来加密接收到的凭证;以及
将加密的凭证提供给云景观管理器用于保存加密的凭证,其中云平台管理器包括凭证管理器和用于配置、管理和保存平台景观环境的平台景观配置的域特定逻辑,其中所述平台景观环境包括软件***并且与一个或多个客户账户相关联,并且其中每个客户账户与授权访问软件***中的至少一个的不同凭证相关联。

Claims (20)

1.一种用于凭证管理的计算机实现的方法,该方法由一个或多个处理器执行,其中该方法包括:
在景观环境中接收与请求者的认证相关联的请求;以及
响应于接收到所述请求:
在运行于景观环境的凭证管理器处,响应于所述请求而加载加密的凭证,其中加密的凭证由凭证管理器保存在储存器处,其中加密的凭证包括用公钥加密的凭证,并且以加密的形式提供给凭证管理器,以供在景观环境处请求认证时使用;以及
将加密的凭证提供给在景观环境中运行的凭证使用组件,用于用私钥解密加密的凭证,其中私钥由景观环境中的凭证使用组件保存,并且其中私钥和公钥是用于授权请求的非对称密钥对。
2.根据权利要求1所述的方法,其中所述请求与用于在软件***处执行操作的请求者的认证相关联,其中所述请求在景观环境的第一信任区处被接收,并且软件***在景观环境的第二信任区处运行。
3.根据权利要求1所述的方法,其中所述请求与用于在软件***处执行操作的请求者的认证相关联,其中凭证使用组件在景观环境的第一信任区处运行,并且其中凭证管理器在景观环境的与第一信任区分离的第二信任区处运行。
4.根据权利要求3所述的方法,其中所述软件***在景观环境的第一信任区处运行。
5.根据权利要求1所述的方法,其中响应于从凭证管理器接收到加密的凭证,在凭证使用组件处解密加密的凭证,并且其中解密的凭证由凭证使用组件提供给软件***以认证请求者的身份。
6.根据权利要求1所述的方法,还包括:
响应于在凭证使用组件处接收到加密的凭证,用私钥解密加密的凭证;以及
发送在软件***处执行操作的请求,其中发送的请求包括解密的凭证,用于授权与接收到的认证请求相关联的操作的执行。
7.根据权利要求1所述的方法,其中请求者被授权在软件***处执行操作,并且其中接收到的请求通过引用内部标识符作为用于执行加密的凭证的认证的目标上下文来标识软件***。
8.根据权利要求1所述的方法,其中凭证管理器作为云平台应用的一部分运行,以对于软件***提供景观管理服务,其中软件***在景观环境的第一信任区处的云平台基础设施上运行。
9.根据权利要求1所述的方法,其中凭证管理器和凭证使用组件在单独的孤立云平台处运行。
10.根据权利要求1所述的方法,还包括:
在与凭证管理器相关联的用户界面处接收指令,以创建包括公钥和私钥的密钥对;以及
响应于接收到的指令,配置凭证管理器和凭证使用组件以对应地保存公钥和私钥,其中配置包括:
提供将由凭证管理器保存的公钥;以及
提供将在凭证使用组件处保存的私钥。
11.根据权利要求1所述的方法,还包括:
在与凭证管理器相关联的用户界面处接收由用户提供的用于从与凭证管理器相关联的多个***访问软件***的凭证;
在用户界面处,通过使用保存在凭证使用组件处的私钥来加密接收到的凭证;以及
将加密的凭证提供给云景观管理器用于保存加密的凭证,其中云平台管理器包括凭证管理器和用于配置、管理和保存平台景观环境的平台景观配置的域特定逻辑,其中所述平台景观环境包括软件***并且与一个或多个客户账户相关联,并且其中每个客户账户与授权访问软件***中的至少一个的不同凭证相关联。
12.一种耦合到一个或多个处理器并且其上存储有指令的非暂时性计算机可读介质,所述指令当由所述一个或多个处理器执行时,使所述一个或多个处理器执行操作,所述操作包括:
在景观环境中接收与请求者的认证相关联的请求;以及
响应于接收到所述请求:
在运行于景观环境的凭证管理器处,响应于所述请求而加载加密的凭证,其中加密的凭证由凭证管理器保持在储存器处,其中加密的凭证包括用公钥加密的凭证,并且以加密的形式提供给凭证管理器,以供在所述景观环境处请求认证时使用;以及
将加密的凭证提供给在景观环境中运行的凭证使用组件,用于用私钥解密加密的凭证,其中私钥由景观环境中的凭证使用组件保存,并且其中私钥和公钥是用于授权请求的非对称密钥对。
13.根据权利要求12所述的计算机可读介质,其中所述请求与用于在软件***处执行操作的请求者的认证相关联,其中所述请求在景观环境的第一信任区处被接收,并且软件***在景观环境的第二信任区处运行。
14.根据权利要求12所述的计算机可读介质,其中所述请求与用于在软件***处执行操作的请求者的认证相关联,其中凭证使用组件在景观环境的第一信任区处运行,并且其中凭证管理器在景观环境的与第一信任区分离的第二信任区处运行。
15.根据权利要求14所述的计算机可读媒体,其中所述软件***在景观环境的第一信任区处运行。
16.根据权利要求12所述的计算机可读介质,其中响应于从凭证管理器接收到加密的凭证,在凭证使用组件处解密加密的凭证,并且其中解密的凭证由凭证使用组件提供给软件***以认证请求者的身份。
17.根据权利要求12所述的计算机可读介质,还包括指令,所述指令当由所述一个或多个处理器执行时,使所述一个或多个处理器执行操作,所述操作包括:
响应于在凭证使用组件处接收到加密的凭证,用私钥解密加密的凭证;以及
发送在软件***处执行操作的请求,其中发送的请求包括解密的凭证,用于授权与接收到的认证请求相关联的操作的执行。
18.一种***,包括:
计算设备;以及
耦合到计算设备的计算机可读存储设备,并且其上存储有指令,所述指令当由计算设备执行时,使计算设备执行操作,所述操作包括:
在景观环境中接收与请求者的认证相关联的请求;以及
响应于接收到所述请求:
在运行于景观环境的凭证管理器处,响应于所述请求而加载加密的凭证,其中加密的凭证由凭证管理器保存在储存器处,其中加密的凭证包括用公钥加密的凭证,并且以加密的形式提供给凭证管理器,以供在所述景观环境处请求认证时使用;以及
将加密的凭证提供给在景观环境中运行的凭证使用组件,用于用私钥解密加密的凭证,其中私钥由景观环境中的凭证使用组件保存,并且其中私钥和公钥是用于授权请求的非对称密钥对。
19.根据权利要求18所述的***,其中所述请求与用于在软件***处执行操作的请求者的认证相关联,其中所述请求在景观环境的第一信任区处被接收,并且软件***在景观环境的第二信任区处运行。
20.根据权利要求18所述的***,其中所述请求与用于在软件***处执行操作的请求者的认证相关联,其中凭证使用组件在景观环境的第一信任区处运行,并且其中凭证管理器在景观环境的与第一信任区分离的第二信任区处运行,并且其中软件***在景观环境的第一信任区处运行。
CN202211448594.3A 2021-11-19 2022-11-18 用于***管理的云密钥管理 Pending CN116155528A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/455,721 2021-11-19
US17/455,721 US20230161864A1 (en) 2021-11-19 2021-11-19 Cloud key management for system management

Publications (1)

Publication Number Publication Date
CN116155528A true CN116155528A (zh) 2023-05-23

Family

ID=84358761

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211448594.3A Pending CN116155528A (zh) 2021-11-19 2022-11-18 用于***管理的云密钥管理

Country Status (3)

Country Link
US (1) US20230161864A1 (zh)
EP (1) EP4184859A1 (zh)
CN (1) CN116155528A (zh)

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8010419B2 (en) * 2006-12-29 2011-08-30 Sap Ag Transparent object identities across and outside of ERP systems
US8510810B2 (en) * 2008-12-23 2013-08-13 Bladelogic, Inc. Secure credential store
CA2713787C (en) * 2009-08-28 2016-06-07 Research In Motion Limited Protocol for protecting content protection data
US8667298B2 (en) * 2010-03-10 2014-03-04 Red Hat, Inc. Module signing for unprivileged users to create and load trustworthy kernel modules
US9374356B2 (en) * 2011-09-29 2016-06-21 Oracle International Corporation Mobile oauth service
US8863255B2 (en) * 2012-09-14 2014-10-14 Netflix, Inc. Security credential deployment in cloud environment
US20140149568A1 (en) * 2012-11-26 2014-05-29 Sap Ag Monitoring alerts in a computer landscape environment
US9386007B2 (en) * 2013-12-27 2016-07-05 Sap Se Multi-domain applications with authorization and authentication in cloud environment
US10389709B2 (en) * 2014-02-24 2019-08-20 Amazon Technologies, Inc. Securing client-specified credentials at cryptographically attested resources
US9674194B1 (en) * 2014-03-12 2017-06-06 Amazon Technologies, Inc. Privilege distribution through signed permissions grants
EP3120493B1 (en) * 2014-03-16 2018-11-07 Haventec PTY LTD Persistent authentication system incorporating one time pass codes
US9910997B1 (en) * 2014-12-23 2018-03-06 Google Llc Secure credential storage
US10713375B2 (en) * 2015-10-09 2020-07-14 Sap Se Database public interface
US10142100B2 (en) * 2016-07-06 2018-11-27 Sap Se Managing user-controlled security keys in cloud-based scenarios
US20190238449A1 (en) * 2017-01-31 2019-08-01 The Mode Group High performance software-defined core network
US20180336571A1 (en) * 2017-05-16 2018-11-22 Sap Se Data custodian portal for public clouds
WO2019067747A1 (en) * 2017-09-29 2019-04-04 Qloudable, Inc. COMMUNICATION AND DEVICE MANAGEMENT IN COMPUTER DATA NETWORKS
US10615976B2 (en) * 2018-02-23 2020-04-07 Sap Se Lightweight key management system for multi-tenant cloud environment
US10810138B2 (en) * 2018-06-14 2020-10-20 Intel Corporation Enhanced storage encryption with total memory encryption (TME) and multi-key total memory encryption (MKTME)
US11303449B2 (en) * 2018-06-22 2022-04-12 Salesforce.Com, Inc. User device validation at an application server
US10805274B2 (en) * 2018-12-06 2020-10-13 Sap Se Central management platform without user management
US20200242231A1 (en) * 2019-01-29 2020-07-30 Sap Se Systems to provide secure credentials between cloud landscapes

Also Published As

Publication number Publication date
US20230161864A1 (en) 2023-05-25
EP4184859A1 (en) 2023-05-24

Similar Documents

Publication Publication Date Title
US10097544B2 (en) Protection and verification of user authentication credentials against server compromise
US9864608B2 (en) Client authentication during network boot
US8943319B2 (en) Managing security for computer services
US9846778B1 (en) Encrypted boot volume access in resource-on-demand environments
EP3283964B1 (en) Method of operating a computing device, computing device and computer program
EP3427178B1 (en) Secure file sharing over multiple security domains and dispersed communication networks
CN102404314A (zh) 远程资源单点登录
US10887085B2 (en) System and method for controlling usage of cryptographic keys
WO2024139273A1 (zh) 联邦学习方法、装置、可读存储介质及电子设备
US9864853B2 (en) Enhanced security mechanism for authentication of users of a system
WO2023072817A1 (en) Control of access to computing resources implemented in isolated environments
US9509503B1 (en) Encrypted boot volume access in resource-on-demand environments
US11032708B2 (en) Securing public WLAN hotspot network access
WO2022144024A1 (en) Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization
EP3886355A2 (en) Decentralized management of data access and verification using data management hub
US11647020B2 (en) Satellite service for machine authentication in hybrid environments
Islam et al. Securing virtual machine images of cloud by encryption through Kerberos
US20230161864A1 (en) Cloud key management for system management
CN117879819B (zh) 密钥管理方法、装置、存储介质、设备及算力服务***
US20230299968A1 (en) Authentication of process execution in virtual environments
US11012245B1 (en) Decentralized management of data access and verification using data management hub
Kumar et al. Cloud security based on IaaS model prospective
EP3793130A1 (en) Secure decentralized cloud computing with privacy controls
Munir Authentication Model for Mobile Cloud Computing Database Service
Nalinipriya et al. Substantial Medical Data Storage with Renowned Symmetric Algorithms on Cloud Services–A Secured Approach

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination