DE112017004033T5 - Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen - Google Patents

Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen Download PDF

Info

Publication number
DE112017004033T5
DE112017004033T5 DE112017004033.7T DE112017004033T DE112017004033T5 DE 112017004033 T5 DE112017004033 T5 DE 112017004033T5 DE 112017004033 T DE112017004033 T DE 112017004033T DE 112017004033 T5 DE112017004033 T5 DE 112017004033T5
Authority
DE
Germany
Prior art keywords
microservice
access token
certificate
csr
receiving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112017004033.7T
Other languages
English (en)
Inventor
Adam C. Lewis
Anthony R. Metke
Shanthi E. Thomas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motorola Solutions Inc
Original Assignee
Motorola Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Solutions Inc filed Critical Motorola Solutions Inc
Publication of DE112017004033T5 publication Critical patent/DE112017004033T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5077Logical partitioning of resources; Management or configuration of virtualized resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Es wird ein Verfahren und ein Mikrodienst zum Erhalten eines geprüften Zertifikats für einen Mikrodienst in einer elastischen Cloud-Umgebung angegeben. Der Mikrodienst empfängt einen Einmal-Authentifizierungsberechtigungsnachweis. Der Mikrodienst verwendet den Einmal-Authentifizierungsberechtigungsnachweis, um ein Client-Geheimnis zu erhalten 5. Der Mikrodienst erhält einen Zugriffs-Token und CSR-Attribute (CSR = Certificate Signing Request/Zertifikatsignieranforderung) unter Verwendung des Client-Geheimnisses, und er erstellt eine CSR unter Verwendung der CSR-Attribute. Der Mikrodienst fordert ein geprüftes Zertifikat von einer CA (CA = Certificate Authority/Zertifikatautorität) an, und fügt den Zugriffs-Token und die CSR in die Anforderung ein. Wenn der Zugriffs-Token und die CSR eine Prüfung bei der CA bestehen, sendet die CA ein geprüftes Zertifikat an den Mikrodienst 10.

Description

  • HINTERGRUND DER ERFINDUNG
  • Containerisierte, cloud-basierte, elastische Architekturen werden populärer. Jeder Container enthält typischerweise eine Anwendung oder einen Mikrodienst. Die Anwendung oder der Mikrodienst erfordert eine sichere Kommunikation mit anderen containerisierten Anwendungen oder Mikrodiensten.
  • Ein Problem mit Containern besteht in der Notwendigkeit im Transit befindliche Daten zu schützen. Die Anwendungen und Mikrodienste müssen auch dazu in der Lage sein, sich gegenseitig zu authentifizieren. Ein Verfahren hierzu ist die Verwendung von SSL (Secure Sockets Layer), wobei es sich um eine Sicherheitstechnologie zum Einrichten einer verschlüsselten Verbindung zwischen zwei Anwendungen handelt. SSL adressiert beide dieser Sicherheitsanforderungen; SSL hängt jedoch von X.509-Zertifikaten ab, wobei in diesem Fall jeder Container ein Öffentlich-Privat-Schlüsselpaar und ein entsprechendes Zertifikat benötigen wird.
  • Ein Problem bei der Verwendung von SSL in containerisierten Umgebungen besteht darin, dass Container in elastischen Umgebungen existieren, wo Container dynamisch erzeugt werden, um die Nachfrage zu befriedigen, zerstört werden, wenn sie nicht länger gebraucht werden, und wieder erzeugt werden, wenn die Nachfrage erneut ansteigt. Dies ist nicht die Umgebung, für die SSL ausgelegt wurde.
  • Ein weiteres Problem besteht darin, dass die Verwendung in Cloud-Umgebungen vollständig automatisiert ist. Weil kein Mensch präsent ist, können sich Cloud-Netzwerke nicht darauf verlassen, eine Berechtigung eines Menschen zu verwenden, um die Identität des Containers, der erzeugt wird, zu verifizieren und zu bestätigen. Weiterhin ist es aus einem Sicherheitsstandpunkt unakzeptabel, zu versuchen, die privaten Schlüssel in die Containerimages einzubacken, weil sie leicht herausleaken, was zu Sicherheitsverletzlichkeiten führt.
  • Es besteht daher ein Bedarf an einem verbesserten Verfahren zur Bereitstellung von sicherer Kommunikation zwischen Mikrodiensten in elastischen Cloud-Umgebungen.
  • Figurenliste
  • Die begleitenden Figuren, in denen sich gleiche Bezugszeichen auf identische oder funktionell ähnliche Elemente durch die getrennten Ansichten hindurch beziehen, werden zusammen mit der nachfolgenden detaillierten Beschreibung in die Spezifizierung aufgenommen, und sie bilden einen Teil davon, und sie dienen zur weiteren Veranschaulichung von Ausführungsformen von Konzepten, die die beanspruchte Erfindung enthalten, und sie erläutern verschiedene Prinzipien und Vorteile dieser Ausführungsformen.
    • 1 ist ein Systemdiagramm, das ein Cloud-Netzwerk gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung veranschaulicht.
    • 2 zeigt ein Flussdiagramm, das einen Prozess zum Registieren eines Mikrodienstes in einer elastischen Cloud-Umgebung veranschaulicht, gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung.
    • 3 zeigt ein Flussdiagramm, das einen Prozess zum Erhalten eines geprüften Zertifikats durch einen Mikrodienst in einer elastischen Cloud-Umgebung veranschaulicht, gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung.
  • Fachleute werden erkennen, dass Elemente in den Figuren zum Zwecke der Einfachheit und Klarheit veranschaulicht sind und nicht notwendigerweise maßstabsgetreu gezeichnet sind. Zum Beispiel können die Abmessungen einiger der Elemente in den Figuren im Vergleich zu anderen Elementen übertrieben sein, um dabei zu helfen, das Verständnis von Ausführungsformen der vorliegenden Erfindung zu verbessern.
  • Die Vorrichtungs- und Verfahrenskomponenten wurden dort, wo es angemessen erscheint, durch konventionelle Symbole in den Zeichnungen dargestellt, wobei nur jene spezifischen Einzelheiten gezeigt werden, die für ein Verständnis der Ausführungsformen der vorliegenden Erfindung wesentlich sind, um so die Offenbarung nicht mit Einzelheiten zu verschleiern, die für jene Durchschnittsfachleute ohne weiteres erkennbar sind, die den Vorteil dieser Beschreibung genießen.
  • AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
  • Offenbart wird ein verbessertes Verfahren und eine verbesserte Vorrichtung zum Erhalten eines geprüften Zertifikats für einen Mikrodienst in einer elastischen Cloud-Umgebung. Der Mikrodienst empfängt einen Einmal-Authentifizierungsberechtigungsnachweis und verwendet den Einmal-Authentifizierungsberechtigungsnachweis, um ein Client-Geheimnis zu erhalten. Der Mikrodienst erhält einen Zugriffs-Token, der CSR-Attribute (CSR = Certificate Signing Request/Zertifikatsignieranforderung) enthält, die das Client-Geheimnis verwenden. Der Mikrodienst erstellt eine CSR unter Verwendung der CSR-Attribute. Der Mikrodienst fordert ein geprüftes Zertifikat von einer CA (CA = Certificate Authority/Zertifikatautorität) an, indem er eine Anforderung, die den Zugriffs-Token und die CSR enthält, an die CA sendet. Die CA prüft die Anforderung, indem sie die in der CSR angeforderten Attribute mit Attributen abgleicht, die in dem Zugriffs-Token eingebettet sind. Wenn es eine Übereinstimmung gibt, betrachtet die CA die CSR als geprüft und die CA sendet ein geprüftes Zertifikat an den Mikrodienst.
  • 1 ist ein Systemdiagramm, das ein Cloud-Netzwerk 100 gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung veranschaulicht. Das Cloud-Netzwerk 100 umfasst vorzugsweise einen Administrator 101, einen zweiten Mikrodienst 103, einen ersten Mikrodienst 105, einen Autorisierungsserver 107, eine Datenbank 109, einen Geheimnisserver 111 und eine Zertifikatautorität 113.
  • Der Administrator 101 ist an den zweiten Mikrodienst 103, den Autorisierungsserver 107 und den Geheimnisserver 111 gekoppelt. Der Administrator 101 kann eine Person, eine Computervorrichtung oder eine Kombination aus beidem sein. Der Administrator 101 ermöglicht eine Anmeldung und ein Management von Benutzern und ihrem Zugriff auf Server oder Dienste.
  • Der Administrator 101 erzeugt einen Geheimnismanagementbehälter in dem Geheimnisserver 111, auf den vorzugsweise über einen Token und andere Berechtigungsnachweise zugegriffen wird, wie beispielsweise eine APP_ID oder eine BENUTZER_ID, einen Benutzernamen oder ein Password oder Zertifikate. Der Administrator 101 leitet diese Informationen an den zweiten Mikrodienst 103 weiter. Der Administrator 101 erzeugt vorzugsweise auch einen Client bei dem Autorisierungsserver 107, unter Verwendung einer Client-ID und eines Client-Geheimnisses. Der Administrator 101 speichert vorzugsweise auch die Client-ID und das Client-Geheimnis in dem Geheimnisserver 111. Der Administrator 101 erzeugt weiterhin eine APP_ID und speichert sie in dem Geheimnisserver 111.
  • Der zweite Mikrodienst 103 ist ein Mikrodienst, der dabei hilft, sichere Container in einem cloud-basierten Netzwerk einzurichten. Der zweite Mikrodienst 103 ist an den Administrator 101 und den Geheimnisserver 111 gekoppelt. Wie hier verwendet, ist ein Mikrodienst ein Prozess, der mit einem anderen Mikrodienst kommuniziert, um ein Ziel innerhalb des Cloud-Netzwerks 100 zu erreichen. Mikrodienste sind typischerweise kleine Softwaremodule, die leichtgewichtige Protokolle verwenden. Der zweite Mikrodienst 103 erzeugt eine neue BENUTZER_ID und bildet die BENUTZER_ID auf der APP_ID in dem Geheimnismanagementbehälter ab. Der zweite Mikrodienst 103 erzeugt auch einen neuen Mikrodienst, den ersten Mikrodienst 105, und er leitet ihm die APP_ID/BENUTZER_ID weiter.
  • Der erste Mikrodienst 105 ist an den Autorisierungsserver 107, den Geheimnisserver 111 und die Zertifikatautorität 113 gekoppelt. Der erste Mikrodienst 105 umfasst vorzugsweise einen Transceiver und einen an den Transceiver gekoppelten Prozessor. Der erste Mikrodienst 105 loggt sich bei dem Geheimnisserver 111 unter Verwendung des APP_ID/BENUTZER_ID-Tupels ein und ruft die Client-ID und das Client-Geheimnis ab. Der erste Mikrodienst 105 verwendet die Client-ID und das Client-Geheimnis, um einen Zugriffs-Token abzurufen, der autorisierte CSR-Attribute von dem Autorisierungsserver 107 umfasst. Bei einer beispielhaften Ausführungsform erzeugt der erste Mikrodienst 105 ein Schlüsselpaar und eine CSR, zumindest teilweise auf den CSR-Attributen und dem Zugriffs-Token basierend. Der erste Mikrodienst 105 sendet den Zugriffs-Token und die CSR an die Zertifikatautorität 113, die die CSR prüft, indem sie die die in der CSR enthaltenen Attribute mit den Attributen abgleicht, die in dem Zugriffs-Token enthalten sind, und sie sendet ein Zertifikat an den ersten Mikrodienst 105 zurück, wenn die Werte zueinander passen und die Überprüfung erfolgreich ist.
  • Der Autorisierungsserver 107 ist eine Anwendung, die dazu verwendet wird, die Berechtigungsnachweise von einem Mikrodienst zu authentifizieren, um den Mikrodienst zu autorisieren, auf einen oder mehrere andere Mikrodienste zuzugreifen. Die Berechtigungsnachweise, können, beispielsweise, Client-Identifizierer und Passwörter sein. Der Autorisierungsserver 107 ist an den Administrator 101, den ersten Mikrodienst 105 und die Datenbank 109 gekoppelt. Der Autorisierungsserver 107 kann sich auf einem zugewiesenen Computer befinden, er kann jedoch alternativ auch in einem Ethernet-Switch, einem Zugriffspunkt oder einem Netzwerkzugriffsserver untergebracht sein. Der Autorisierungsserver 107 gibt beim Verifizieren von Berechtigungsnachweisen vorzugsweise einen Token aus, der dazu verwendet werden kann, auf verschiedene Dienste zuzugreifen.
  • Die Datenbank 109 ist an den Autorisierungsserver 107 gekoppelt, und sie ermöglicht eine Speicherung von Informationen für den Autorisierungsserver 107. Gemäß einer beispielhaften Ausführungsform speichert die Datenbank 109 eine Client-ID und CSR-Attribute.
  • Der Geheimnisserver 111 ist an den Administrator 101, den zweiten Mikrodienst 103 und den ersten Mikrodienst 105 gekoppelt. Der Geheimnisserver 111 ermöglicht ein sicheres Passwortmanagement in dem Netzwerk 100. Der Geheimnisserver 111 ermöglicht vorzugsweise die Fähigkeit, Geheimnisse zu managen und zu organisieren, Benutzerberechtigungen zuzuordnen und auf Steuerrichtlinien für die Geheimnisse zuzugreifen, eine Verschlüsselung und Authentifizierung zu ermöglichen, und er ermöglicht eine Notfallwiederherstellung.
  • Die Zertifikatautorität 113 ist an den ersten Mikrodienst 105 gekoppelt, und sie ist eine Einheit, die digitale Zertifikate ausgibt. Ein digitales Zertifikat zertifiziert den Besitz eines öffentlichen Schlüssels durch den benannten Gegenstand des Zertifikats, was es darauf vertrauenden Parteien ermöglicht, sich auf Signaturen zu verlassen, die über den privaten Schlüssel gemacht wurden, der dem zertifizierten öffentlichen Schlüssel entspricht.
  • 2 zeigt ein Flussdiagramm, das einen Prozess zum Registrieren eines Mikrodienstes in einer elastischen Cloud-Umgebung veranschaulicht, gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung.
  • Der Administrator 101 erzeugt 201 eine Anwendungs-ID, APP_ID. Die APP_ID repräsentiert eine Anwendung, bei einer beispielhaften Ausführungsform einen Mikrodienst, der in einer elastischen Cloud-Umgebung lebt.
  • Der Administrator 101 erzeugt 203 eine Client_ID und ein Client_Geheimnis. Die Client_ID und das Client_Geheimnis werden von dem ersten Mikrodienst 105 dazu verwendet werden, sich bei dem Autorisierungsserver 107 zu authentifizieren und einen Zugriffs-Token zu erhalten.
  • Der Administrator 101 sendet eine Speichere-APP_ID-Nachricht 205 an den Geheimnisserver 111. Die Speichere-APP_ID-Nachricht 205 umfasst die APP_ID, und sie wird an den Geheimnisserver 111 gesendet, so dass der Geheimnisserver 111 die APP_ID speichern wird.
  • Der Administrator 101 sendet eine Neue-OAuth-Client-Nachricht 207 an den Autorisierungsserver 107. Die Neue-OAuth-Client-Nachricht 207 umfasst die Client_ID und das Client_Geheimnis.
  • Der Administrator 101 sendet eine Speichere-Client_ID und Client-Geheimnis und Geheimnisnachricht 209 an den Geheimnisserver 111.
  • Der zweite Mikrodienst 103 sendet eine Fordere-Geheimnis_Server_Client_Token-An-Nachricht 211 an den Administrator 101.
  • Der Administrator 101 antwortet dem zweiten Mikrodienst 103 mit einer Geheimnisserver-Client-Token-Nachricht 213, die den Geheimnis_Server_Client_Token umfasst.
  • Der zweite Mikrodienst 103 sendet eine Login-Nachricht 215 an den Geheimnisserver 111. Die Login-Nachricht 215 umfasst den Geheimnis_Server_Client_Token.
  • Der zweite Mikrodienst 103 sendet eine Fordere-App-ID-An-Nachricht 217 an den Geheimnisserver 111. Die Fordere-App-ID-An-Nachricht 217 umfasst vorzugsweise den Geheimnis_Server_Client_Token.
  • Der Geheimnisserver 111 sendet eine Gib-App-ID-Zurück-Nachricht 219 an den zweiten Mikrodienst 103.
  • Der zweite Mikrodienst 103 erzeugt 221 eine Benutzer_ID.
  • Der zweite Mikrodienst 103 sendet eine Abbildungsnachricht 223 an den Geheimnisserver 111. Die Abbildungsnachricht 223 umfasst Sicherheitsmanagementauthentifizierungsberechtigungsnachweise, bei dieser beispielhaften Ausführungsform die APP_ID und die Benutzer_ID. Die Abbildungsnachricht 223 umfasst vorzugsweise einen Geheimnis_Server_Client_Token.
  • Der zweite Mikrodienst 103 leitet 225 die APP_ID und die BENUTZER_ID zu dem ersten Mikrodienst 105 weiter.
  • 3 zeigt ein Flussdiagramm, das einen Prozess zum Erhalten eines geprüften Zertifikats durch einen Mikrodienst in einer elastischen Cloud-Umgebung veranschaulicht, gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung.
  • Bei einer beispielhaften Ausführungsform loggt sich der erste Mikrodienst 105 in das Mikrodienstsystem ein, indem er eine Login-Nachricht 301 an den Geheimnisserver 111 sendet. Die Login-Nachricht 301 umfasst die APP_ID und die Benutzer_ID des angeforderten Mikrodienstes.
  • Der erste Mikrodienst 105 sendet eine Rufe-Geheimnis-Ab-Nachricht 303 an den Geheimnisserver 111. Die Rufe-Geheimnis-Ab-Nachricht 303 umfasst die Client_ID, das Client_Geheimnis und den Geheimnis_Server_Client_Token des gewünschten Mikrodienstes. Unter Verwendung von Nachrichten 303 und 305 verwendet der erste Mikrodienst 105 die Geheimnismanagement-Authentifizierungsberechtigungsnachweise, um ein Client-Geheimnis von einem Geheimnismanagementdienst zu erhalten.
  • Als Antwort auf die Rufe-Geheimnis-Ab-Nachricht 303 sendet der Geheimnisserver 111 eine Geheimnis-Zurückgegeben-Nachricht 305 an den ersten Mikrodienst 105. Die Geheimnis-Zurückgegeben-Nachricht 305 umfasst die Client-ID und das Client_Geheimnis, die zur Authentifizierung am Autorisierungsserver 107 erforderlich sind.
  • Der erste Mikrodienst 105 sendet eine Fordere-Token-An-Nachricht 307 an den Autorisierungsserver 107. Die Fordere-Token-An-Nachricht 307 umfasst die Client_ID und das Client_Geheimnis. Unter Verwendung von Nachrichten 307, 309, 311 und 313 verwendet der erste Mikrodienst 105 das Client-Geheimnis, um einen Zugriffs-Token zu erhalten, der zumindest ein Attribut enthalten wird, das der Mikrodienst in seiner CSR anfordern wird und das zur Prüfung der CSR-Anforderung verwendet werden wird.
  • Der Autorisierungsserver 107 sendet eine Erhalte-Attribute-Nachricht 309 an die Datenbank 109. Die Erhalte-Attribute-Nachricht 309 umfasst die Client_ID.
  • Die Datenbank 109 sendet eine Erhalte-Attribute-Antwort 311 an den Autorisierungsserver 107. Die Erhalte-Attribute-Antwort 311 umfasst CSR_Attribute.
  • Der Autorisierungsserver 107 sendet eine Erhalte-Token-Antwort-Nachricht 313 an den ersten Mikrodienst 105. Die Erhalte-Token-Antwort-Nachricht 313 umfasst einen OAuth_Zugriffs_Token, der die CSR_Attribute enthält.
  • Der erste Mikrodienst 105 erzeugt (315) ein Schlüssel_Paar und eine CSR. Das Schlüssel_Paar ist vorzugsweise ein Öffentlich-Privat-Schlüsselpaar.
  • Der erste Mikrodienst 105 sendet eine Erhalte-Zertifikat-Nachricht 317 an die CA 113. Die Erhalte-Zertifikat-Nachricht 317 enthält vorzugsweise die CSR und den OAuth_Client-Token.
  • Die CA 113 prüft (319) die CSR, vorzugsweise indem sie Attribute in der CSR mit den Attributen in dem Zugriffs-Token abgleicht.
  • Wenn die CA 113 die Attribute abgleicht, sendet die CA 113 eine Zertifikat-Antwort-Nachricht 321 an den ersten Mikrodienst 105. Die Zertifikat-Antwort-Nachricht 321 enthält ein Zertifikat, das die Anforderung und die geprüften Attribute enthält. Bei einer beispielhaften Ausführungsform ist das Zertifikat ein signiertes X.509-Zertifikat.
  • Aus dem vorstehenden ergibt sich ein verbessertes Verfahren und eine verbesserte Vorrichtung zum Bereitstellen einer Top-Level-Orchestrierungsfunktion zum Koordinieren von Client-Identitäten, Client-Berechtigungsnachweisen und Client-Attributen über eine Mehrzahl von Architekturkomponenten. Ein verbessertes Verfahren und eine verbesserte Vorrichtung werden auch zur Verwendung dieser koordinierten Identitäten, Berechtigungsnachweise und Attribute bereitgestellt, um einen Zugriffs-Token zu erhalten, der verwendet wird, um eine Zertifikat-Signierungs-Anforderung dynamisch zu registrieren und zu prüfen. Das Verfahren und die Vorrichtung ermöglichen es containerisierten Apps und Mikrodiensten geprüfte Zertifikate zu erhalten, wie beispielsweise X.509-Zertifikate, in einer elastischen Cloud-Umgebung, ohne dass private Schlüssel außerhalb des RAM des Containers aufgedeckt werden, so dass nichts auf Platte bestehen bleibt, was dieses Verfahren und diese Vorrichtung extrem sicher macht.
  • In der vorangehenden Spezifikation sind spezifische Ausführungsformen beschrieben worden. Dem Fachmann auf dem Gebiet ist jedoch klar, dass verschiedene Modifizierungen und Änderungen vorgenommen werden können, ohne von dem Geist der Erfindung abzuweichen, wie in den Ansprüchen unten dargelegt. Dementsprechend sind die Spezifikation und die Abbildungen in einem eher illustrativen als einem restriktiven Sinne zu verstehen und alle solche Modifikationen sollen in dem Geist der vorliegenden Lehren enthalten sein. Die Nutzen, Vorteile, Problemlösungen und jedes denkbare Element, das dazu führt, dass irgendein Nutzen, Vorteil oder irgendeine Lösung eintritt oder ausgeprägter wird, sollen nicht als kritische, erforderliche oder essentielle Merkmale oder Elemente eines beliebigen Anspruchs oder aller Ansprüche ausgelegt werden. Die Erfindung wird ausschließlich durch die angehängten Ansprüche definiert, einschließlich jeder beliebigen Änderung, die während der Rechtshängigkeit der vorliegenden Anmeldung vorgenommen wird, und aller Äquivalente solcher Ansprüche, wie veröffentlicht.
  • Darüber hinaus sollen in diesem Dokument relationale Ausdrücke, wie zum Beispiel, erste und zweite, oben und unten, und dergleichen ausschließlich verwendet werden, um eine Entität oder Aktion von einer anderen Entität oder Aktion zu unterscheiden, ohne notwendigerweise irgend eine tatsächliche solche Beziehung oder Reihenfolge zwischen solchen Entitäten oder Aktionen zu erfordern oder zu implizieren. Die Ausdrücke „umfasst“, „umfassend“, „hat“, „habend“, „beinhalten“, „beinhaltend“, „enthalten“, „enthaltend“ oder eine beliebige Variation davon sollen eine nicht-exklusive Einbeziehung abdecken, so dass ein Prozess, Verfahren, Artikel oder eine Vorrichtung, die eine Liste von Elementen umfassen, haben, beinhalten, enthalten, nicht nur solche Elemente beinhalten, sondern andere Elemente beinhalten können, die nicht ausdrücklich aufgeführt werden, oder solchen Prozessen, Verfahren, Artikeln oder Vorrichtungen inhärent sind. Ein Element, das fortfährt mit „umfasst... ein“, „hat... ein“, „beinhaltet... ein“, „enthält... ein“, schließt nicht, ohne weitere Auflagen, die Existenz zusätzlicher identischer Elemente in dem Prozess, Verfahren, Artikel oder der Vorrichtung aus, die das Element umfassen, haben, beinhalten, enthalten. Die Ausdrücke „eine“ und „ein“ werden als eins oder mehr definiert, sofern hierin nichts anderes explizit festgelegt ist. Die Ausdrücke „im Wesentlichen“, „essentiell“, „ungefähr“, „etwa“ oder eine beliebige andere Version davon wurden als „nahe bei sein“ definiert, wie dem Fachmann auf dem Gebiet klar ist, und in einer nicht begrenzenden Ausführungsform wird der Ausdruck definiert, innerhalb von 10 %, in einer anderen Ausführungsform innerhalb von 5 % in einer anderen Ausführungsform innerhalb von 1 % und in einer anderen Ausführungsform innerhalb von 0,5 % zu sein. Der Ausdruck „gekoppelt“, wie er hierin verwendet wird, wird als „verbunden“ definiert, obwohl nicht notwendigerweise direkt und nicht notwendigerweise mechanisch. Eine Vorrichtung oder Struktur, die in einer bestimmten Art und Weise „konfiguriert“ ist, ist mindestens auf diese Art und Weise konfiguriert, kann aber auch auf mindestens eine Art und Weise konfiguriert sein, die nicht aufgeführt ist.
  • Es ist gewünscht, dass einige Ausführungsformen einen oder mehrere generische oder spezialisierte Prozessoren (oder „Verarbeitungsvorrichtungen“) umfassen, wie zum Beispiel, Mikroprozessoren, digitale Signalprozessoren, kundenspezifische Prozessoren und freiprogrammierbare Feld-Gate-Arrays (FPGAs) und eindeutige gespeicherte Programmanweisungen (die sowohl Software als auch Firmware umfassen), die den einen oder mehrere Prozessoren steuern, um in Verbindung mit bestimmten Nicht-Prozessor-Schaltungen, einige, die meisten oder alle der Funktionen des Verfahrens und/oder der Vorrichtung, die hierin beschrieben werden, zu implementieren. Alternativ können einige oder alle Funktionen durch eine Zustandsmaschine implementiert werden, die über keine gespeicherten Programmanweisungen verfügt, oder in einer oder mehreren anwendungsspezifischen integrierten Schaltungen (ASICs), in denen jede Funktion oder einige Kombinationen von bestimmten der Funktionen, als kundenspezifische Logik implementiert sind. Selbstverständlich kann eine Kombination der zwei Ansätze verwendet werden.
  • Darüber hinaus kann eine Ausführungsform als ein computerlesbares Speichermedium implementiert sein, das über einen darauf gespeicherten computerlesbaren Code zum Programmieren eines Computers (der zum Beispiel einen Prozessor umfasst) verfügt, um ein hierin beschriebenes und beanspruchtes Verfahren durchzuführen. Beispiele solcher computerlesbaren Speichermedien umfassen, ohne darauf beschränkt zu sein: eine Festplatte, eine CD-ROM, eine optische Speichervorrichtung, eine magnetische Speichervorrichtung, einen ROM (Nur-Lese-Speicher), einen PROM (Programmierbarer Lesespeicher), einen EPROM (Löschbarer Programmierbarer Lesespeicher), einen EEPROM (Elektrisch Löschbarer Programmierbarer Lesespeicher) und einen Flash-Speicher. Weiterhin ist zu erwarten, dass ein Fachmann auf dem Gebiet, ungeachtet möglicher erheblicher Anstrengungen und einer großen Designauswahl, die zum Beispiel durch eine zur Verfügung stehende Zeit, der aktuellen Technologie und ökonomische Überlegungen begründet ist, geleitet durch die hierin offenbarten Konzepte und Prinzipien, ohne Weiteres in der Lage ist solche Softwareanweisungen und Programme und ICs mit minimalem Versuchsaufwand zu erzeugen.
  • Die Zusammenfassung der Offenbarung wird zur Verfügung gestellt, um dem Leser zu erlauben, die Natur der technischen Offenbarung schnell zu erkennen. Es wird mit dem Verständnis eingereicht, dass es nicht verwendet wird, um den Geist oder die Bedeutung der Ansprüche zu interpretieren oder zu begrenzen. Zusätzlich ist der vorangehenden ausführlichen Beschreibung zu entnehmen, dass verschiedene Merkmale in verschiedenen Ausführungsformen zusammengruppiert werden, um die Offenbarung zu straffen. Dieses Offenbarungsverfahren soll nicht als ein Reflektieren einer Intention interpretiert werden, dass die beanspruchten Ausführungsformen mehr Merkmale erfordern, als ausdrücklich in jedem Anspruch vorgetragen werden. Vielmehr liegt, wie aus den folgenden Ansprüchen hervorgeht, ein erfinderischer Gegenstand in weniger als allen Merkmalen einer einzelnen offenbarten Ausführungsform vor. Somit werden die folgenden Ansprüche hierdurch in die ausführliche Beschreibung integriert, wobei jeder Anspruch für sich alleine als ein getrennt beanspruchter Gegenstand steht.
  • Es wird beansprucht:

Claims (19)

  1. Verfahren zum Erhalten eines geprüften Zertifikats für einen Mikrodienst in einer elastischen Cloud-Umgebung, wobei das Verfahren umfasst: Empfangen eines Einmal-Authentifizierungsberechtigungsnachweises bei dem Mikrodienst; Verwenden des Einmal-Authentifizierungsberechtigungsnachweises, um ein Client-Geheimnis zu erhalten; Erhalten eines Zugriffs-Tokens und Erhalten von CSR-Attributen (CSR = Certificate Signing Request/Zertifikatsignieranforderung) bei dem Mikrodienst unter Verwendung des Client-Geheimnisses; Erstellen einer CSR bei dem Mikrodienst unter Verwendung der CSR-Attribute; Anfordern eines geprüften Zertifikats von einer CA (CA = Certificate Authority/Zertifikatautorität), wobei die Anforderung den Zugriffs-Token und die CSR umfasst; und wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst.
  2. Verfahren nach Anspruch 1, wobei der Einmal-Authentifizierungsberechtigungsnachweis einen Mikrodiensttyp umfasst.
  3. Verfahren nach Anspruch 1, wobei der Einmal-Authentifizierungsberechtigungsnachweis ein erstes Datenstück und ein zweites Datenstück umfasst, wobei das erste Datenstück einen Diensttyp umfasst und das zweite Datenstück eine Dienstinstanz umfasst.
  4. Verfahren nach Anspruch 1, wobei das Client-Geheimnis einen Diensttyp einem Geheimnismanagementdienst zuordnet.
  5. Verfahren nach Anspruch 1, wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt.
  6. Verfahren nach Anspruch 1, wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token einen bei der CA gespeicherten Zugriffs-Token abbildet.
  7. Verfahren nach Anspruch 1, wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token äquivalent zu einem bei der CA gespeicherten Zugriffs-Token ist.
  8. Verfahren nach Anspruch 1, wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token einem bei der CA gespeicherten Zugriffs-Token zugeordnet ist.
  9. Verfahren nach Anspruch 1, wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn die CSR zu einer bei der CA gespeicherten CSR passt.
  10. Verfahren zum Erhalten eines geprüften Zertifikats für einen Mikrodienst in einer elastischen Cloud-Umgebung, wobei das Verfahren umfasst: Erhalten eines Zugriffs-Tokens bei dem Mikrodienst; Anfordern eines geprüften Zertifikats von einer CA (CA = Certificate Authority/Zertifikatautorität), wobei die Anforderung den Zugriffs-Token umfasst; und Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt.
  11. Verfahren nach Anspruch 10, wobei der Schritt „Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token einen bei der CA gespeicherten Zugriffs-Token abbildet.
  12. Verfahren nach Anspruch 10, wobei der Schritt „Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token äquivalent zu einem bei der CA gespeicherten Zugriffs-Token ist.
  13. Verfahren nach Anspruch 10, wobei der Schritt „Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token einem bei der CA gespeicherten Zugriffs-Token zugeordnet ist.
  14. Mikrodienst, der aufweist: einen Transceiver; und einen Prozessor, der zu folgendem konfiguriert ist: Empfange einen Einmal-Authentifizierungsberechtigungsnachweis über den Transceiver; Verwende den Einmal-Authentifizierungsberechtigungsnachweis, um ein Client-Geheimnis über den Transceiver zu erhalten; Erhalte einen Zugriffs-Token und CSR-Attribute (CSR = Certificate Signing Request/Zertifikatsignieranforderung) unter Verwendung des Client-Geheimnisses über den Transceiver; Erstelle eine CSR unter Verwendung der CSR-Attribute; Fordere ein geprüftes Zertifikat von einer CA an (CA = Certificate Authority/Zertifikatautorität), über den Transceiver, wobei die Anforderung den Zugriffs-Token und die CSR umfasst; und Empfange ein geprüftes Zertifikat von der CA über den Transceiver, wenn der Zugriffs-Token und der CSR eine Prüfung bestehen.
  15. Mikrodienst nach Anspruch 14, wobei der Einmal-Authentifizierungsberechtigungsnachweis einen Mikrodiensttyp umfasst.
  16. Mikrodienst nach Anspruch 14, wobei der Einmal-Authentifizierungsberechtigungsnachweis ein erstes Datenstück und ein zweites Datenstück aufweist, wobei das erste Datenstück einen Diensttyp umfasst und das zweite Datenstück eine Dienstinstanz umfasst.
  17. Mikrodienst nach Anspruch 14, wobei das Client-Geheimnis einen Diensttyp einem Geheimnismanagementdienst zuordnet.
  18. Mikrodienst nach Anspruch 14, wobei der Prozessor dazu konfiguriert ist, ein geprüftes Zertifikat von der CA über den Transceiver zu empfangen, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt.
  19. Mikrodienst nach Anspruch 14, wobei der Prozessor dazu konfiguriert ist, ein geprüftes Zertifikat von der CA über den Transceiver zu empfangen, wenn die CSR zu einer bei der CA gespeicherten CSR passt.
DE112017004033.7T 2016-08-11 2017-07-27 Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen Pending DE112017004033T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/234,180 2016-08-11
US15/234,180 US10404680B2 (en) 2016-08-11 2016-08-11 Method for obtaining vetted certificates by microservices in elastic cloud environments
PCT/US2017/044166 WO2018031242A1 (en) 2016-08-11 2017-07-27 Method for obtaining vetted certificates by microservices in elastic cloud environments

Publications (1)

Publication Number Publication Date
DE112017004033T5 true DE112017004033T5 (de) 2019-05-09

Family

ID=59558508

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112017004033.7T Pending DE112017004033T5 (de) 2016-08-11 2017-07-27 Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen

Country Status (4)

Country Link
US (1) US10404680B2 (de)
DE (1) DE112017004033T5 (de)
GB (1) GB2566874B (de)
WO (1) WO2018031242A1 (de)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10735425B2 (en) * 2017-01-31 2020-08-04 Pivotal Software, Inc. Invocation path security in distributed systems
US10819701B2 (en) * 2018-03-14 2020-10-27 Microsoft Technology Licensing, Llc Autonomous secrets management for a managed service identity
US11762980B2 (en) * 2018-03-14 2023-09-19 Microsoft Technology Licensing, Llc Autonomous secrets renewal and distribution
US10965457B2 (en) 2018-03-14 2021-03-30 Microsoft Technology Licensing, Llc Autonomous cross-scope secrets management
EP3544255A1 (de) * 2018-03-23 2019-09-25 ProofShow Inc. Verfahren und system zur ausstellung von nachweisbestückten zertifikaten für eine zertifizierungsstelle
CN108737444A (zh) * 2018-06-20 2018-11-02 北京玄科技有限公司 应用于智能机器人的微服务授权管理方法及装置
JP6465426B1 (ja) * 2018-07-20 2019-02-06 Gmoグローバルサイン株式会社 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
JP6571890B1 (ja) * 2019-01-21 2019-09-04 Gmoグローバルサイン株式会社 電子署名システム、証明書発行システム、証明書発行方法及びプログラム
WO2020017643A1 (ja) * 2018-07-20 2020-01-23 Gmoグローバルサイン株式会社 電子署名システム、証明書発行システム、鍵管理システム、証明書発行方法及びプログラム
GB201813481D0 (en) 2018-08-18 2018-10-03 Genius Ip Ltd Cutting assembly
CN109905389A (zh) * 2019-02-21 2019-06-18 华勤通讯技术有限公司 移动终端控制方法、装置及计算机可读存储介质
US10713664B1 (en) * 2019-03-22 2020-07-14 International Business Machines Corporation Automated evaluation and reporting of microservice regulatory compliance
US10764244B1 (en) * 2019-06-12 2020-09-01 Cisco Technology, Inc. Systems and methods providing a multi-cloud microservices gateway using a sidecar proxy
CN113497707B (zh) * 2020-03-18 2023-03-24 大唐移动通信设备有限公司 一种应用证书申请方法及装置
CN111314380B (zh) * 2020-03-20 2023-01-24 浪潮通用软件有限公司 一种基于微服务的认证***、设备及介质
CN113111390B (zh) * 2021-03-25 2024-07-26 南京飞灵智能科技有限公司 基于微服务架构的鉴权方法及装置
US11922235B2 (en) 2021-11-10 2024-03-05 International Business Corporation Machines Coordinating asynchronous communication among microservices
US20230171241A1 (en) * 2021-11-30 2023-06-01 Bmc Software Israel Ltd Security profile management for multi-cloud agent registration with multi-tenant, multi-cell service

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9110976B2 (en) * 2010-10-15 2015-08-18 International Business Machines Corporation Supporting compliance in a cloud environment
US9032493B2 (en) * 2011-03-31 2015-05-12 Intel Corporation Connecting mobile devices, internet-connected vehicles, and cloud services
EP2587715B1 (de) 2011-09-20 2017-01-04 BlackBerry Limited Unterstützte Zertifikatsregistrierung
US9329810B2 (en) * 2011-12-22 2016-05-03 Xerox Corporation Secure federation of cloud print services
US9613052B2 (en) 2012-06-05 2017-04-04 International Business Machines Corporation Establishing trust within a cloud computing system
US20140101775A1 (en) * 2012-10-09 2014-04-10 Kai Chung CHEUNG Method and system for delivering encrypted data from a gateway server based on a sender preference
US9363241B2 (en) * 2012-10-31 2016-06-07 Intel Corporation Cryptographic enforcement based on mutual attestation for cloud services
US20160127353A1 (en) 2014-10-30 2016-05-05 Motorola Solutions, Inc. Method and apparatus for enabling secured certificate enrollment in a hybrid cloud public key infrastructure
US10277582B2 (en) * 2015-08-27 2019-04-30 Microsoft Technology Licensing, Llc Application service architecture
US10156842B2 (en) * 2015-12-31 2018-12-18 General Electric Company Device enrollment in a cloud service using an authenticated application
US10878079B2 (en) * 2016-05-11 2020-12-29 Oracle International Corporation Identity cloud service authorization model with dynamic roles and scopes
US10454940B2 (en) * 2016-05-11 2019-10-22 Oracle International Corporation Identity cloud service authorization model

Also Published As

Publication number Publication date
GB201900651D0 (en) 2019-03-06
GB2566874B (en) 2020-10-07
GB2566874A (en) 2019-03-27
US20180048638A1 (en) 2018-02-15
US10404680B2 (en) 2019-09-03
WO2018031242A1 (en) 2018-02-15

Similar Documents

Publication Publication Date Title
DE112017004033T5 (de) Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen
DE60314871T2 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
DE102007033615B4 (de) Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen
DE102016123651B4 (de) Authentisierungskooperationssystem
DE112011101729B4 (de) Verwaltung von Ressourcenzugriff
DE112018005203T5 (de) Authentifizierung unter Verwendung von delegierten Identitäten
DE60119834T2 (de) Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel
EP3764614B1 (de) Verteiltes authentifizierungssystem
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE10296804T5 (de) Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server
EP2585963A1 (de) Verfahren zur erzeugung eines zertifikats
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
EP3909221B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
DE102011077218A1 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE112016002392T5 (de) Autorisierung in einem verteilten System unter Verwendung von Zugriffssteuerungslisten und Gruppen
DE102021129514A1 (de) Binden von post-quanten-zertifikaten
DE102014204252A1 (de) Sicherheitssystem mit Zugriffskontrolle
EP3908946B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
DE112021005862T5 (de) Selbstprüfende blockchain
DE112021005026T5 (de) Persistente quellwerte für angenommene alternative identitäten
DE112021005837T5 (de) Dezentrale sendeverschlüsselung und schlüsselerzeugungseinrichtung
DE112020003476T5 (de) Computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz
DE102008042582A1 (de) Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem
EP3117359B1 (de) Id-provider-computersystem, id-token und verfahren zur bestätigung einer digitalen identität
DE202020005751U1 (de) Verwalten von Benutzeridentitäten in einem verwalteten Multi-Tenant-Dienst

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029060000

Ipc: H04L0009320000