DE112017004033T5 - Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen - Google Patents
Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen Download PDFInfo
- Publication number
- DE112017004033T5 DE112017004033T5 DE112017004033.7T DE112017004033T DE112017004033T5 DE 112017004033 T5 DE112017004033 T5 DE 112017004033T5 DE 112017004033 T DE112017004033 T DE 112017004033T DE 112017004033 T5 DE112017004033 T5 DE 112017004033T5
- Authority
- DE
- Germany
- Prior art keywords
- microservice
- access token
- certificate
- csr
- receiving
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Es wird ein Verfahren und ein Mikrodienst zum Erhalten eines geprüften Zertifikats für einen Mikrodienst in einer elastischen Cloud-Umgebung angegeben. Der Mikrodienst empfängt einen Einmal-Authentifizierungsberechtigungsnachweis. Der Mikrodienst verwendet den Einmal-Authentifizierungsberechtigungsnachweis, um ein Client-Geheimnis zu erhalten 5. Der Mikrodienst erhält einen Zugriffs-Token und CSR-Attribute (CSR = Certificate Signing Request/Zertifikatsignieranforderung) unter Verwendung des Client-Geheimnisses, und er erstellt eine CSR unter Verwendung der CSR-Attribute. Der Mikrodienst fordert ein geprüftes Zertifikat von einer CA (CA = Certificate Authority/Zertifikatautorität) an, und fügt den Zugriffs-Token und die CSR in die Anforderung ein. Wenn der Zugriffs-Token und die CSR eine Prüfung bei der CA bestehen, sendet die CA ein geprüftes Zertifikat an den Mikrodienst 10.
Description
- HINTERGRUND DER ERFINDUNG
- Containerisierte, cloud-basierte, elastische Architekturen werden populärer. Jeder Container enthält typischerweise eine Anwendung oder einen Mikrodienst. Die Anwendung oder der Mikrodienst erfordert eine sichere Kommunikation mit anderen containerisierten Anwendungen oder Mikrodiensten.
- Ein Problem mit Containern besteht in der Notwendigkeit im Transit befindliche Daten zu schützen. Die Anwendungen und Mikrodienste müssen auch dazu in der Lage sein, sich gegenseitig zu authentifizieren. Ein Verfahren hierzu ist die Verwendung von SSL (Secure Sockets Layer), wobei es sich um eine Sicherheitstechnologie zum Einrichten einer verschlüsselten Verbindung zwischen zwei Anwendungen handelt. SSL adressiert beide dieser Sicherheitsanforderungen; SSL hängt jedoch von X.509-Zertifikaten ab, wobei in diesem Fall jeder Container ein Öffentlich-Privat-Schlüsselpaar und ein entsprechendes Zertifikat benötigen wird.
- Ein Problem bei der Verwendung von SSL in containerisierten Umgebungen besteht darin, dass Container in elastischen Umgebungen existieren, wo Container dynamisch erzeugt werden, um die Nachfrage zu befriedigen, zerstört werden, wenn sie nicht länger gebraucht werden, und wieder erzeugt werden, wenn die Nachfrage erneut ansteigt. Dies ist nicht die Umgebung, für die SSL ausgelegt wurde.
- Ein weiteres Problem besteht darin, dass die Verwendung in Cloud-Umgebungen vollständig automatisiert ist. Weil kein Mensch präsent ist, können sich Cloud-Netzwerke nicht darauf verlassen, eine Berechtigung eines Menschen zu verwenden, um die Identität des Containers, der erzeugt wird, zu verifizieren und zu bestätigen. Weiterhin ist es aus einem Sicherheitsstandpunkt unakzeptabel, zu versuchen, die privaten Schlüssel in die Containerimages einzubacken, weil sie leicht herausleaken, was zu Sicherheitsverletzlichkeiten führt.
- Es besteht daher ein Bedarf an einem verbesserten Verfahren zur Bereitstellung von sicherer Kommunikation zwischen Mikrodiensten in elastischen Cloud-Umgebungen.
- Figurenliste
- Die begleitenden Figuren, in denen sich gleiche Bezugszeichen auf identische oder funktionell ähnliche Elemente durch die getrennten Ansichten hindurch beziehen, werden zusammen mit der nachfolgenden detaillierten Beschreibung in die Spezifizierung aufgenommen, und sie bilden einen Teil davon, und sie dienen zur weiteren Veranschaulichung von Ausführungsformen von Konzepten, die die beanspruchte Erfindung enthalten, und sie erläutern verschiedene Prinzipien und Vorteile dieser Ausführungsformen.
-
1 ist ein Systemdiagramm, das ein Cloud-Netzwerk gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung veranschaulicht. -
2 zeigt ein Flussdiagramm, das einen Prozess zum Registieren eines Mikrodienstes in einer elastischen Cloud-Umgebung veranschaulicht, gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung. -
3 zeigt ein Flussdiagramm, das einen Prozess zum Erhalten eines geprüften Zertifikats durch einen Mikrodienst in einer elastischen Cloud-Umgebung veranschaulicht, gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung. - Fachleute werden erkennen, dass Elemente in den Figuren zum Zwecke der Einfachheit und Klarheit veranschaulicht sind und nicht notwendigerweise maßstabsgetreu gezeichnet sind. Zum Beispiel können die Abmessungen einiger der Elemente in den Figuren im Vergleich zu anderen Elementen übertrieben sein, um dabei zu helfen, das Verständnis von Ausführungsformen der vorliegenden Erfindung zu verbessern.
- Die Vorrichtungs- und Verfahrenskomponenten wurden dort, wo es angemessen erscheint, durch konventionelle Symbole in den Zeichnungen dargestellt, wobei nur jene spezifischen Einzelheiten gezeigt werden, die für ein Verständnis der Ausführungsformen der vorliegenden Erfindung wesentlich sind, um so die Offenbarung nicht mit Einzelheiten zu verschleiern, die für jene Durchschnittsfachleute ohne weiteres erkennbar sind, die den Vorteil dieser Beschreibung genießen.
- AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
- Offenbart wird ein verbessertes Verfahren und eine verbesserte Vorrichtung zum Erhalten eines geprüften Zertifikats für einen Mikrodienst in einer elastischen Cloud-Umgebung. Der Mikrodienst empfängt einen Einmal-Authentifizierungsberechtigungsnachweis und verwendet den Einmal-Authentifizierungsberechtigungsnachweis, um ein Client-Geheimnis zu erhalten. Der Mikrodienst erhält einen Zugriffs-Token, der CSR-Attribute (CSR = Certificate Signing Request/Zertifikatsignieranforderung) enthält, die das Client-Geheimnis verwenden. Der Mikrodienst erstellt eine CSR unter Verwendung der CSR-Attribute. Der Mikrodienst fordert ein geprüftes Zertifikat von einer CA (CA = Certificate Authority/Zertifikatautorität) an, indem er eine Anforderung, die den Zugriffs-Token und die CSR enthält, an die CA sendet. Die CA prüft die Anforderung, indem sie die in der CSR angeforderten Attribute mit Attributen abgleicht, die in dem Zugriffs-Token eingebettet sind. Wenn es eine Übereinstimmung gibt, betrachtet die CA die CSR als geprüft und die CA sendet ein geprüftes Zertifikat an den Mikrodienst.
-
1 ist ein Systemdiagramm, das ein Cloud-Netzwerk100 gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung veranschaulicht. Das Cloud-Netzwerk100 umfasst vorzugsweise einen Administrator101 , einen zweiten Mikrodienst103 , einen ersten Mikrodienst105 , einen Autorisierungsserver107 , eine Datenbank109 , einen Geheimnisserver111 und eine Zertifikatautorität113 . - Der Administrator
101 ist an den zweiten Mikrodienst103 , den Autorisierungsserver107 und den Geheimnisserver111 gekoppelt. Der Administrator101 kann eine Person, eine Computervorrichtung oder eine Kombination aus beidem sein. Der Administrator101 ermöglicht eine Anmeldung und ein Management von Benutzern und ihrem Zugriff auf Server oder Dienste. - Der Administrator
101 erzeugt einen Geheimnismanagementbehälter in dem Geheimnisserver111 , auf den vorzugsweise über einen Token und andere Berechtigungsnachweise zugegriffen wird, wie beispielsweise eine APP_ID oder eine BENUTZER_ID, einen Benutzernamen oder ein Password oder Zertifikate. Der Administrator101 leitet diese Informationen an den zweiten Mikrodienst103 weiter. Der Administrator101 erzeugt vorzugsweise auch einen Client bei dem Autorisierungsserver107 , unter Verwendung einer Client-ID und eines Client-Geheimnisses. Der Administrator101 speichert vorzugsweise auch die Client-ID und das Client-Geheimnis in dem Geheimnisserver111 . Der Administrator101 erzeugt weiterhin eine APP_ID und speichert sie in dem Geheimnisserver111 . - Der zweite Mikrodienst
103 ist ein Mikrodienst, der dabei hilft, sichere Container in einem cloud-basierten Netzwerk einzurichten. Der zweite Mikrodienst103 ist an den Administrator101 und den Geheimnisserver111 gekoppelt. Wie hier verwendet, ist ein Mikrodienst ein Prozess, der mit einem anderen Mikrodienst kommuniziert, um ein Ziel innerhalb des Cloud-Netzwerks100 zu erreichen. Mikrodienste sind typischerweise kleine Softwaremodule, die leichtgewichtige Protokolle verwenden. Der zweite Mikrodienst103 erzeugt eine neue BENUTZER_ID und bildet die BENUTZER_ID auf der APP_ID in dem Geheimnismanagementbehälter ab. Der zweite Mikrodienst103 erzeugt auch einen neuen Mikrodienst, den ersten Mikrodienst105 , und er leitet ihm die APP_ID/BENUTZER_ID weiter. - Der erste Mikrodienst
105 ist an den Autorisierungsserver107 , den Geheimnisserver111 und die Zertifikatautorität113 gekoppelt. Der erste Mikrodienst105 umfasst vorzugsweise einen Transceiver und einen an den Transceiver gekoppelten Prozessor. Der erste Mikrodienst105 loggt sich bei dem Geheimnisserver111 unter Verwendung des APP_ID/BENUTZER_ID-Tupels ein und ruft die Client-ID und das Client-Geheimnis ab. Der erste Mikrodienst105 verwendet die Client-ID und das Client-Geheimnis, um einen Zugriffs-Token abzurufen, der autorisierte CSR-Attribute von dem Autorisierungsserver107 umfasst. Bei einer beispielhaften Ausführungsform erzeugt der erste Mikrodienst105 ein Schlüsselpaar und eine CSR, zumindest teilweise auf den CSR-Attributen und dem Zugriffs-Token basierend. Der erste Mikrodienst105 sendet den Zugriffs-Token und die CSR an die Zertifikatautorität113 , die die CSR prüft, indem sie die die in der CSR enthaltenen Attribute mit den Attributen abgleicht, die in dem Zugriffs-Token enthalten sind, und sie sendet ein Zertifikat an den ersten Mikrodienst105 zurück, wenn die Werte zueinander passen und die Überprüfung erfolgreich ist. - Der Autorisierungsserver
107 ist eine Anwendung, die dazu verwendet wird, die Berechtigungsnachweise von einem Mikrodienst zu authentifizieren, um den Mikrodienst zu autorisieren, auf einen oder mehrere andere Mikrodienste zuzugreifen. Die Berechtigungsnachweise, können, beispielsweise, Client-Identifizierer und Passwörter sein. Der Autorisierungsserver107 ist an den Administrator101 , den ersten Mikrodienst105 und die Datenbank109 gekoppelt. Der Autorisierungsserver107 kann sich auf einem zugewiesenen Computer befinden, er kann jedoch alternativ auch in einem Ethernet-Switch, einem Zugriffspunkt oder einem Netzwerkzugriffsserver untergebracht sein. Der Autorisierungsserver107 gibt beim Verifizieren von Berechtigungsnachweisen vorzugsweise einen Token aus, der dazu verwendet werden kann, auf verschiedene Dienste zuzugreifen. - Die Datenbank
109 ist an den Autorisierungsserver107 gekoppelt, und sie ermöglicht eine Speicherung von Informationen für den Autorisierungsserver107 . Gemäß einer beispielhaften Ausführungsform speichert die Datenbank109 eine Client-ID und CSR-Attribute. - Der Geheimnisserver
111 ist an den Administrator101 , den zweiten Mikrodienst103 und den ersten Mikrodienst105 gekoppelt. Der Geheimnisserver111 ermöglicht ein sicheres Passwortmanagement in dem Netzwerk100 . Der Geheimnisserver111 ermöglicht vorzugsweise die Fähigkeit, Geheimnisse zu managen und zu organisieren, Benutzerberechtigungen zuzuordnen und auf Steuerrichtlinien für die Geheimnisse zuzugreifen, eine Verschlüsselung und Authentifizierung zu ermöglichen, und er ermöglicht eine Notfallwiederherstellung. - Die Zertifikatautorität
113 ist an den ersten Mikrodienst105 gekoppelt, und sie ist eine Einheit, die digitale Zertifikate ausgibt. Ein digitales Zertifikat zertifiziert den Besitz eines öffentlichen Schlüssels durch den benannten Gegenstand des Zertifikats, was es darauf vertrauenden Parteien ermöglicht, sich auf Signaturen zu verlassen, die über den privaten Schlüssel gemacht wurden, der dem zertifizierten öffentlichen Schlüssel entspricht. -
2 zeigt ein Flussdiagramm, das einen Prozess zum Registrieren eines Mikrodienstes in einer elastischen Cloud-Umgebung veranschaulicht, gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung. - Der Administrator
101 erzeugt201 eine Anwendungs-ID, APP_ID. Die APP_ID repräsentiert eine Anwendung, bei einer beispielhaften Ausführungsform einen Mikrodienst, der in einer elastischen Cloud-Umgebung lebt. - Der Administrator
101 erzeugt203 eine Client_ID und ein Client_Geheimnis. Die Client_ID und das Client_Geheimnis werden von dem ersten Mikrodienst105 dazu verwendet werden, sich bei dem Autorisierungsserver107 zu authentifizieren und einen Zugriffs-Token zu erhalten. - Der Administrator
101 sendet eine Speichere-APP_ID-Nachricht205 an den Geheimnisserver111 . Die Speichere-APP_ID-Nachricht205 umfasst die APP_ID, und sie wird an den Geheimnisserver111 gesendet, so dass der Geheimnisserver111 die APP_ID speichern wird. - Der Administrator
101 sendet eine Neue-OAuth-Client-Nachricht207 an den Autorisierungsserver107 . Die Neue-OAuth-Client-Nachricht207 umfasst die Client_ID und das Client_Geheimnis. - Der Administrator
101 sendet eine Speichere-Client_ID und Client-Geheimnis und Geheimnisnachricht209 an den Geheimnisserver111 . - Der zweite Mikrodienst
103 sendet eine Fordere-Geheimnis_Server_Client_Token-An-Nachricht211 an den Administrator101 . - Der Administrator
101 antwortet dem zweiten Mikrodienst103 mit einer Geheimnisserver-Client-Token-Nachricht213 , die den Geheimnis_Server_Client_Token umfasst. - Der zweite Mikrodienst
103 sendet eine Login-Nachricht215 an den Geheimnisserver111 . Die Login-Nachricht215 umfasst den Geheimnis_Server_Client_Token. - Der zweite Mikrodienst
103 sendet eine Fordere-App-ID-An-Nachricht217 an den Geheimnisserver111 . Die Fordere-App-ID-An-Nachricht217 umfasst vorzugsweise den Geheimnis_Server_Client_Token. - Der Geheimnisserver
111 sendet eine Gib-App-ID-Zurück-Nachricht219 an den zweiten Mikrodienst103 . - Der zweite Mikrodienst
103 erzeugt221 eine Benutzer_ID. - Der zweite Mikrodienst
103 sendet eine Abbildungsnachricht223 an den Geheimnisserver111 . Die Abbildungsnachricht223 umfasst Sicherheitsmanagementauthentifizierungsberechtigungsnachweise, bei dieser beispielhaften Ausführungsform die APP_ID und die Benutzer_ID. Die Abbildungsnachricht223 umfasst vorzugsweise einen Geheimnis_Server_Client_Token. - Der zweite Mikrodienst
103 leitet225 die APP_ID und die BENUTZER_ID zu dem ersten Mikrodienst105 weiter. -
3 zeigt ein Flussdiagramm, das einen Prozess zum Erhalten eines geprüften Zertifikats durch einen Mikrodienst in einer elastischen Cloud-Umgebung veranschaulicht, gemäß einer beispielhaften Ausführungsform der vorliegenden Erfindung. - Bei einer beispielhaften Ausführungsform loggt sich der erste Mikrodienst
105 in das Mikrodienstsystem ein, indem er eine Login-Nachricht301 an den Geheimnisserver111 sendet. Die Login-Nachricht301 umfasst die APP_ID und die Benutzer_ID des angeforderten Mikrodienstes. - Der erste Mikrodienst
105 sendet eine Rufe-Geheimnis-Ab-Nachricht303 an den Geheimnisserver111 . Die Rufe-Geheimnis-Ab-Nachricht303 umfasst die Client_ID, das Client_Geheimnis und den Geheimnis_Server_Client_Token des gewünschten Mikrodienstes. Unter Verwendung von Nachrichten303 und305 verwendet der erste Mikrodienst105 die Geheimnismanagement-Authentifizierungsberechtigungsnachweise, um ein Client-Geheimnis von einem Geheimnismanagementdienst zu erhalten. - Als Antwort auf die Rufe-Geheimnis-Ab-Nachricht
303 sendet der Geheimnisserver111 eine Geheimnis-Zurückgegeben-Nachricht305 an den ersten Mikrodienst105 . Die Geheimnis-Zurückgegeben-Nachricht305 umfasst die Client-ID und das Client_Geheimnis, die zur Authentifizierung am Autorisierungsserver107 erforderlich sind. - Der erste Mikrodienst
105 sendet eine Fordere-Token-An-Nachricht307 an den Autorisierungsserver107 . Die Fordere-Token-An-Nachricht307 umfasst die Client_ID und das Client_Geheimnis. Unter Verwendung von Nachrichten307 ,309 ,311 und313 verwendet der erste Mikrodienst105 das Client-Geheimnis, um einen Zugriffs-Token zu erhalten, der zumindest ein Attribut enthalten wird, das der Mikrodienst in seiner CSR anfordern wird und das zur Prüfung der CSR-Anforderung verwendet werden wird. - Der Autorisierungsserver
107 sendet eine Erhalte-Attribute-Nachricht309 an die Datenbank109 . Die Erhalte-Attribute-Nachricht309 umfasst die Client_ID. - Die Datenbank
109 sendet eine Erhalte-Attribute-Antwort311 an den Autorisierungsserver107 . Die Erhalte-Attribute-Antwort311 umfasst CSR_Attribute. - Der Autorisierungsserver
107 sendet eine Erhalte-Token-Antwort-Nachricht313 an den ersten Mikrodienst105 . Die Erhalte-Token-Antwort-Nachricht313 umfasst einen OAuth_Zugriffs_Token, der die CSR_Attribute enthält. - Der erste Mikrodienst
105 erzeugt (315) ein Schlüssel_Paar und eine CSR. Das Schlüssel_Paar ist vorzugsweise ein Öffentlich-Privat-Schlüsselpaar. - Der erste Mikrodienst
105 sendet eine Erhalte-Zertifikat-Nachricht317 an die CA113 . Die Erhalte-Zertifikat-Nachricht317 enthält vorzugsweise die CSR und den OAuth_Client-Token. - Die CA
113 prüft (319) die CSR, vorzugsweise indem sie Attribute in der CSR mit den Attributen in dem Zugriffs-Token abgleicht. - Wenn die CA
113 die Attribute abgleicht, sendet die CA113 eine Zertifikat-Antwort-Nachricht321 an den ersten Mikrodienst105 . Die Zertifikat-Antwort-Nachricht321 enthält ein Zertifikat, das die Anforderung und die geprüften Attribute enthält. Bei einer beispielhaften Ausführungsform ist das Zertifikat ein signiertes X.509-Zertifikat. - Aus dem vorstehenden ergibt sich ein verbessertes Verfahren und eine verbesserte Vorrichtung zum Bereitstellen einer Top-Level-Orchestrierungsfunktion zum Koordinieren von Client-Identitäten, Client-Berechtigungsnachweisen und Client-Attributen über eine Mehrzahl von Architekturkomponenten. Ein verbessertes Verfahren und eine verbesserte Vorrichtung werden auch zur Verwendung dieser koordinierten Identitäten, Berechtigungsnachweise und Attribute bereitgestellt, um einen Zugriffs-Token zu erhalten, der verwendet wird, um eine Zertifikat-Signierungs-Anforderung dynamisch zu registrieren und zu prüfen. Das Verfahren und die Vorrichtung ermöglichen es containerisierten Apps und Mikrodiensten geprüfte Zertifikate zu erhalten, wie beispielsweise X.509-Zertifikate, in einer elastischen Cloud-Umgebung, ohne dass private Schlüssel außerhalb des RAM des Containers aufgedeckt werden, so dass nichts auf Platte bestehen bleibt, was dieses Verfahren und diese Vorrichtung extrem sicher macht.
- In der vorangehenden Spezifikation sind spezifische Ausführungsformen beschrieben worden. Dem Fachmann auf dem Gebiet ist jedoch klar, dass verschiedene Modifizierungen und Änderungen vorgenommen werden können, ohne von dem Geist der Erfindung abzuweichen, wie in den Ansprüchen unten dargelegt. Dementsprechend sind die Spezifikation und die Abbildungen in einem eher illustrativen als einem restriktiven Sinne zu verstehen und alle solche Modifikationen sollen in dem Geist der vorliegenden Lehren enthalten sein. Die Nutzen, Vorteile, Problemlösungen und jedes denkbare Element, das dazu führt, dass irgendein Nutzen, Vorteil oder irgendeine Lösung eintritt oder ausgeprägter wird, sollen nicht als kritische, erforderliche oder essentielle Merkmale oder Elemente eines beliebigen Anspruchs oder aller Ansprüche ausgelegt werden. Die Erfindung wird ausschließlich durch die angehängten Ansprüche definiert, einschließlich jeder beliebigen Änderung, die während der Rechtshängigkeit der vorliegenden Anmeldung vorgenommen wird, und aller Äquivalente solcher Ansprüche, wie veröffentlicht.
- Darüber hinaus sollen in diesem Dokument relationale Ausdrücke, wie zum Beispiel, erste und zweite, oben und unten, und dergleichen ausschließlich verwendet werden, um eine Entität oder Aktion von einer anderen Entität oder Aktion zu unterscheiden, ohne notwendigerweise irgend eine tatsächliche solche Beziehung oder Reihenfolge zwischen solchen Entitäten oder Aktionen zu erfordern oder zu implizieren. Die Ausdrücke „umfasst“, „umfassend“, „hat“, „habend“, „beinhalten“, „beinhaltend“, „enthalten“, „enthaltend“ oder eine beliebige Variation davon sollen eine nicht-exklusive Einbeziehung abdecken, so dass ein Prozess, Verfahren, Artikel oder eine Vorrichtung, die eine Liste von Elementen umfassen, haben, beinhalten, enthalten, nicht nur solche Elemente beinhalten, sondern andere Elemente beinhalten können, die nicht ausdrücklich aufgeführt werden, oder solchen Prozessen, Verfahren, Artikeln oder Vorrichtungen inhärent sind. Ein Element, das fortfährt mit „umfasst... ein“, „hat... ein“, „beinhaltet... ein“, „enthält... ein“, schließt nicht, ohne weitere Auflagen, die Existenz zusätzlicher identischer Elemente in dem Prozess, Verfahren, Artikel oder der Vorrichtung aus, die das Element umfassen, haben, beinhalten, enthalten. Die Ausdrücke „eine“ und „ein“ werden als eins oder mehr definiert, sofern hierin nichts anderes explizit festgelegt ist. Die Ausdrücke „im Wesentlichen“, „essentiell“, „ungefähr“, „etwa“ oder eine beliebige andere Version davon wurden als „nahe bei sein“ definiert, wie dem Fachmann auf dem Gebiet klar ist, und in einer nicht begrenzenden Ausführungsform wird der Ausdruck definiert, innerhalb von 10 %, in einer anderen Ausführungsform innerhalb von 5 % in einer anderen Ausführungsform innerhalb von 1 % und in einer anderen Ausführungsform innerhalb von 0,5 % zu sein. Der Ausdruck „gekoppelt“, wie er hierin verwendet wird, wird als „verbunden“ definiert, obwohl nicht notwendigerweise direkt und nicht notwendigerweise mechanisch. Eine Vorrichtung oder Struktur, die in einer bestimmten Art und Weise „konfiguriert“ ist, ist mindestens auf diese Art und Weise konfiguriert, kann aber auch auf mindestens eine Art und Weise konfiguriert sein, die nicht aufgeführt ist.
- Es ist gewünscht, dass einige Ausführungsformen einen oder mehrere generische oder spezialisierte Prozessoren (oder „Verarbeitungsvorrichtungen“) umfassen, wie zum Beispiel, Mikroprozessoren, digitale Signalprozessoren, kundenspezifische Prozessoren und freiprogrammierbare Feld-Gate-Arrays (FPGAs) und eindeutige gespeicherte Programmanweisungen (die sowohl Software als auch Firmware umfassen), die den einen oder mehrere Prozessoren steuern, um in Verbindung mit bestimmten Nicht-Prozessor-Schaltungen, einige, die meisten oder alle der Funktionen des Verfahrens und/oder der Vorrichtung, die hierin beschrieben werden, zu implementieren. Alternativ können einige oder alle Funktionen durch eine Zustandsmaschine implementiert werden, die über keine gespeicherten Programmanweisungen verfügt, oder in einer oder mehreren anwendungsspezifischen integrierten Schaltungen (ASICs), in denen jede Funktion oder einige Kombinationen von bestimmten der Funktionen, als kundenspezifische Logik implementiert sind. Selbstverständlich kann eine Kombination der zwei Ansätze verwendet werden.
- Darüber hinaus kann eine Ausführungsform als ein computerlesbares Speichermedium implementiert sein, das über einen darauf gespeicherten computerlesbaren Code zum Programmieren eines Computers (der zum Beispiel einen Prozessor umfasst) verfügt, um ein hierin beschriebenes und beanspruchtes Verfahren durchzuführen. Beispiele solcher computerlesbaren Speichermedien umfassen, ohne darauf beschränkt zu sein: eine Festplatte, eine CD-ROM, eine optische Speichervorrichtung, eine magnetische Speichervorrichtung, einen ROM (Nur-Lese-Speicher), einen PROM (Programmierbarer Lesespeicher), einen EPROM (Löschbarer Programmierbarer Lesespeicher), einen EEPROM (Elektrisch Löschbarer Programmierbarer Lesespeicher) und einen Flash-Speicher. Weiterhin ist zu erwarten, dass ein Fachmann auf dem Gebiet, ungeachtet möglicher erheblicher Anstrengungen und einer großen Designauswahl, die zum Beispiel durch eine zur Verfügung stehende Zeit, der aktuellen Technologie und ökonomische Überlegungen begründet ist, geleitet durch die hierin offenbarten Konzepte und Prinzipien, ohne Weiteres in der Lage ist solche Softwareanweisungen und Programme und ICs mit minimalem Versuchsaufwand zu erzeugen.
- Die Zusammenfassung der Offenbarung wird zur Verfügung gestellt, um dem Leser zu erlauben, die Natur der technischen Offenbarung schnell zu erkennen. Es wird mit dem Verständnis eingereicht, dass es nicht verwendet wird, um den Geist oder die Bedeutung der Ansprüche zu interpretieren oder zu begrenzen. Zusätzlich ist der vorangehenden ausführlichen Beschreibung zu entnehmen, dass verschiedene Merkmale in verschiedenen Ausführungsformen zusammengruppiert werden, um die Offenbarung zu straffen. Dieses Offenbarungsverfahren soll nicht als ein Reflektieren einer Intention interpretiert werden, dass die beanspruchten Ausführungsformen mehr Merkmale erfordern, als ausdrücklich in jedem Anspruch vorgetragen werden. Vielmehr liegt, wie aus den folgenden Ansprüchen hervorgeht, ein erfinderischer Gegenstand in weniger als allen Merkmalen einer einzelnen offenbarten Ausführungsform vor. Somit werden die folgenden Ansprüche hierdurch in die ausführliche Beschreibung integriert, wobei jeder Anspruch für sich alleine als ein getrennt beanspruchter Gegenstand steht.
- Es wird beansprucht:
Claims (19)
- Verfahren zum Erhalten eines geprüften Zertifikats für einen Mikrodienst in einer elastischen Cloud-Umgebung, wobei das Verfahren umfasst: Empfangen eines Einmal-Authentifizierungsberechtigungsnachweises bei dem Mikrodienst; Verwenden des Einmal-Authentifizierungsberechtigungsnachweises, um ein Client-Geheimnis zu erhalten; Erhalten eines Zugriffs-Tokens und Erhalten von CSR-Attributen (CSR = Certificate Signing Request/Zertifikatsignieranforderung) bei dem Mikrodienst unter Verwendung des Client-Geheimnisses; Erstellen einer CSR bei dem Mikrodienst unter Verwendung der CSR-Attribute; Anfordern eines geprüften Zertifikats von einer CA (CA = Certificate Authority/Zertifikatautorität), wobei die Anforderung den Zugriffs-Token und die CSR umfasst; und wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst.
- Verfahren nach
Anspruch 1 , wobei der Einmal-Authentifizierungsberechtigungsnachweis einen Mikrodiensttyp umfasst. - Verfahren nach
Anspruch 1 , wobei der Einmal-Authentifizierungsberechtigungsnachweis ein erstes Datenstück und ein zweites Datenstück umfasst, wobei das erste Datenstück einen Diensttyp umfasst und das zweite Datenstück eine Dienstinstanz umfasst. - Verfahren nach
Anspruch 1 , wobei das Client-Geheimnis einen Diensttyp einem Geheimnismanagementdienst zuordnet. - Verfahren nach
Anspruch 1 , wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt. - Verfahren nach
Anspruch 1 , wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token einen bei der CA gespeicherten Zugriffs-Token abbildet. - Verfahren nach
Anspruch 1 , wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token äquivalent zu einem bei der CA gespeicherten Zugriffs-Token ist. - Verfahren nach
Anspruch 1 , wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token einem bei der CA gespeicherten Zugriffs-Token zugeordnet ist. - Verfahren nach
Anspruch 1 , wobei der Schritt „wenn der Zugriffs-Token und die CSR die Prüfung bestehen, Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn die CSR zu einer bei der CA gespeicherten CSR passt. - Verfahren zum Erhalten eines geprüften Zertifikats für einen Mikrodienst in einer elastischen Cloud-Umgebung, wobei das Verfahren umfasst: Erhalten eines Zugriffs-Tokens bei dem Mikrodienst; Anfordern eines geprüften Zertifikats von einer CA (CA = Certificate Authority/Zertifikatautorität), wobei die Anforderung den Zugriffs-Token umfasst; und Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt.
- Verfahren nach
Anspruch 10 , wobei der Schritt „Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token einen bei der CA gespeicherten Zugriffs-Token abbildet. - Verfahren nach
Anspruch 10 , wobei der Schritt „Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token äquivalent zu einem bei der CA gespeicherten Zugriffs-Token ist. - Verfahren nach
Anspruch 10 , wobei der Schritt „Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt“ ein Empfangen eines geprüften Zertifikats von der CA bei dem Mikrodienst umfasst, wenn der Zugriffs-Token einem bei der CA gespeicherten Zugriffs-Token zugeordnet ist. - Mikrodienst, der aufweist: einen Transceiver; und einen Prozessor, der zu folgendem konfiguriert ist: Empfange einen Einmal-Authentifizierungsberechtigungsnachweis über den Transceiver; Verwende den Einmal-Authentifizierungsberechtigungsnachweis, um ein Client-Geheimnis über den Transceiver zu erhalten; Erhalte einen Zugriffs-Token und CSR-Attribute (CSR = Certificate Signing Request/Zertifikatsignieranforderung) unter Verwendung des Client-Geheimnisses über den Transceiver; Erstelle eine CSR unter Verwendung der CSR-Attribute; Fordere ein geprüftes Zertifikat von einer CA an (CA = Certificate Authority/Zertifikatautorität), über den Transceiver, wobei die Anforderung den Zugriffs-Token und die CSR umfasst; und Empfange ein geprüftes Zertifikat von der CA über den Transceiver, wenn der Zugriffs-Token und der CSR eine Prüfung bestehen.
- Mikrodienst nach
Anspruch 14 , wobei der Einmal-Authentifizierungsberechtigungsnachweis einen Mikrodiensttyp umfasst. - Mikrodienst nach
Anspruch 14 , wobei der Einmal-Authentifizierungsberechtigungsnachweis ein erstes Datenstück und ein zweites Datenstück aufweist, wobei das erste Datenstück einen Diensttyp umfasst und das zweite Datenstück eine Dienstinstanz umfasst. - Mikrodienst nach
Anspruch 14 , wobei das Client-Geheimnis einen Diensttyp einem Geheimnismanagementdienst zuordnet. - Mikrodienst nach
Anspruch 14 , wobei der Prozessor dazu konfiguriert ist, ein geprüftes Zertifikat von der CA über den Transceiver zu empfangen, wenn der Zugriffs-Token zu einem bei der CA gespeicherten Zugriffs-Token passt. - Mikrodienst nach
Anspruch 14 , wobei der Prozessor dazu konfiguriert ist, ein geprüftes Zertifikat von der CA über den Transceiver zu empfangen, wenn die CSR zu einer bei der CA gespeicherten CSR passt.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/234,180 | 2016-08-11 | ||
US15/234,180 US10404680B2 (en) | 2016-08-11 | 2016-08-11 | Method for obtaining vetted certificates by microservices in elastic cloud environments |
PCT/US2017/044166 WO2018031242A1 (en) | 2016-08-11 | 2017-07-27 | Method for obtaining vetted certificates by microservices in elastic cloud environments |
Publications (1)
Publication Number | Publication Date |
---|---|
DE112017004033T5 true DE112017004033T5 (de) | 2019-05-09 |
Family
ID=59558508
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE112017004033.7T Pending DE112017004033T5 (de) | 2016-08-11 | 2017-07-27 | Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen |
Country Status (4)
Country | Link |
---|---|
US (1) | US10404680B2 (de) |
DE (1) | DE112017004033T5 (de) |
GB (1) | GB2566874B (de) |
WO (1) | WO2018031242A1 (de) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10735425B2 (en) * | 2017-01-31 | 2020-08-04 | Pivotal Software, Inc. | Invocation path security in distributed systems |
US10819701B2 (en) * | 2018-03-14 | 2020-10-27 | Microsoft Technology Licensing, Llc | Autonomous secrets management for a managed service identity |
US11762980B2 (en) * | 2018-03-14 | 2023-09-19 | Microsoft Technology Licensing, Llc | Autonomous secrets renewal and distribution |
US10965457B2 (en) | 2018-03-14 | 2021-03-30 | Microsoft Technology Licensing, Llc | Autonomous cross-scope secrets management |
EP3544255A1 (de) * | 2018-03-23 | 2019-09-25 | ProofShow Inc. | Verfahren und system zur ausstellung von nachweisbestückten zertifikaten für eine zertifizierungsstelle |
CN108737444A (zh) * | 2018-06-20 | 2018-11-02 | 北京玄科技有限公司 | 应用于智能机器人的微服务授权管理方法及装置 |
JP6465426B1 (ja) * | 2018-07-20 | 2019-02-06 | Gmoグローバルサイン株式会社 | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 |
JP6571890B1 (ja) * | 2019-01-21 | 2019-09-04 | Gmoグローバルサイン株式会社 | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム |
WO2020017643A1 (ja) * | 2018-07-20 | 2020-01-23 | Gmoグローバルサイン株式会社 | 電子署名システム、証明書発行システム、鍵管理システム、証明書発行方法及びプログラム |
GB201813481D0 (en) | 2018-08-18 | 2018-10-03 | Genius Ip Ltd | Cutting assembly |
CN109905389A (zh) * | 2019-02-21 | 2019-06-18 | 华勤通讯技术有限公司 | 移动终端控制方法、装置及计算机可读存储介质 |
US10713664B1 (en) * | 2019-03-22 | 2020-07-14 | International Business Machines Corporation | Automated evaluation and reporting of microservice regulatory compliance |
US10764244B1 (en) * | 2019-06-12 | 2020-09-01 | Cisco Technology, Inc. | Systems and methods providing a multi-cloud microservices gateway using a sidecar proxy |
CN113497707B (zh) * | 2020-03-18 | 2023-03-24 | 大唐移动通信设备有限公司 | 一种应用证书申请方法及装置 |
CN111314380B (zh) * | 2020-03-20 | 2023-01-24 | 浪潮通用软件有限公司 | 一种基于微服务的认证***、设备及介质 |
CN113111390B (zh) * | 2021-03-25 | 2024-07-26 | 南京飞灵智能科技有限公司 | 基于微服务架构的鉴权方法及装置 |
US11922235B2 (en) | 2021-11-10 | 2024-03-05 | International Business Corporation Machines | Coordinating asynchronous communication among microservices |
US20230171241A1 (en) * | 2021-11-30 | 2023-06-01 | Bmc Software Israel Ltd | Security profile management for multi-cloud agent registration with multi-tenant, multi-cell service |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9110976B2 (en) * | 2010-10-15 | 2015-08-18 | International Business Machines Corporation | Supporting compliance in a cloud environment |
US9032493B2 (en) * | 2011-03-31 | 2015-05-12 | Intel Corporation | Connecting mobile devices, internet-connected vehicles, and cloud services |
EP2587715B1 (de) | 2011-09-20 | 2017-01-04 | BlackBerry Limited | Unterstützte Zertifikatsregistrierung |
US9329810B2 (en) * | 2011-12-22 | 2016-05-03 | Xerox Corporation | Secure federation of cloud print services |
US9613052B2 (en) | 2012-06-05 | 2017-04-04 | International Business Machines Corporation | Establishing trust within a cloud computing system |
US20140101775A1 (en) * | 2012-10-09 | 2014-04-10 | Kai Chung CHEUNG | Method and system for delivering encrypted data from a gateway server based on a sender preference |
US9363241B2 (en) * | 2012-10-31 | 2016-06-07 | Intel Corporation | Cryptographic enforcement based on mutual attestation for cloud services |
US20160127353A1 (en) | 2014-10-30 | 2016-05-05 | Motorola Solutions, Inc. | Method and apparatus for enabling secured certificate enrollment in a hybrid cloud public key infrastructure |
US10277582B2 (en) * | 2015-08-27 | 2019-04-30 | Microsoft Technology Licensing, Llc | Application service architecture |
US10156842B2 (en) * | 2015-12-31 | 2018-12-18 | General Electric Company | Device enrollment in a cloud service using an authenticated application |
US10878079B2 (en) * | 2016-05-11 | 2020-12-29 | Oracle International Corporation | Identity cloud service authorization model with dynamic roles and scopes |
US10454940B2 (en) * | 2016-05-11 | 2019-10-22 | Oracle International Corporation | Identity cloud service authorization model |
-
2016
- 2016-08-11 US US15/234,180 patent/US10404680B2/en active Active
-
2017
- 2017-07-27 GB GB1900651.9A patent/GB2566874B/en active Active
- 2017-07-27 WO PCT/US2017/044166 patent/WO2018031242A1/en active Application Filing
- 2017-07-27 DE DE112017004033.7T patent/DE112017004033T5/de active Pending
Also Published As
Publication number | Publication date |
---|---|
GB201900651D0 (en) | 2019-03-06 |
GB2566874B (en) | 2020-10-07 |
GB2566874A (en) | 2019-03-27 |
US20180048638A1 (en) | 2018-02-15 |
US10404680B2 (en) | 2019-09-03 |
WO2018031242A1 (en) | 2018-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE112017004033T5 (de) | Verfahren zum Erhalten von geprüften Zertifikaten durch Mikrodienste in elastischen Cloud-Umgebungen | |
DE60314871T2 (de) | Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters | |
DE102007033615B4 (de) | Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen | |
DE102016123651B4 (de) | Authentisierungskooperationssystem | |
DE112011101729B4 (de) | Verwaltung von Ressourcenzugriff | |
DE112018005203T5 (de) | Authentifizierung unter Verwendung von delegierten Identitäten | |
DE60119834T2 (de) | Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel | |
EP3764614B1 (de) | Verteiltes authentifizierungssystem | |
DE102011089580B3 (de) | Verfahren zum Lesen von Attributen aus einem ID-Token | |
DE10296804T5 (de) | Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server | |
EP2585963A1 (de) | Verfahren zur erzeugung eines zertifikats | |
DE112011102224B4 (de) | Identitätsvermittlung zwischen Client- und Server-Anwendungen | |
EP3909221B1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät | |
DE102011077218A1 (de) | Zugriff auf in einer Cloud gespeicherte Daten | |
DE112016002392T5 (de) | Autorisierung in einem verteilten System unter Verwendung von Zugriffssteuerungslisten und Gruppen | |
DE102021129514A1 (de) | Binden von post-quanten-zertifikaten | |
DE102014204252A1 (de) | Sicherheitssystem mit Zugriffskontrolle | |
EP3908946B1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät | |
DE112021005862T5 (de) | Selbstprüfende blockchain | |
DE112021005026T5 (de) | Persistente quellwerte für angenommene alternative identitäten | |
DE112021005837T5 (de) | Dezentrale sendeverschlüsselung und schlüsselerzeugungseinrichtung | |
DE112020003476T5 (de) | Computer-implementiertes Verfahren zum Steuern eines Zugriffs in einem Netz | |
DE102008042582A1 (de) | Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem | |
EP3117359B1 (de) | Id-provider-computersystem, id-token und verfahren zur bestätigung einer digitalen identität | |
DE202020005751U1 (de) | Verwalten von Benutzeridentitäten in einem verwalteten Multi-Tenant-Dienst |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0029060000 Ipc: H04L0009320000 |