提供設(shè)備即服務(wù)的制作方法
【專利說明】提供設(shè)備即服務(wù)
[0001] 相關(guān)申請的交叉引用
[0002] 本申請要求2013年3月14日提交的標(biāo)題為"PROVIDING DEVICES AS A SERVICE" 美國專利申請?zhí)?3/830, 114的利益，該專利申請的公開通過引用被全部并入本文。
[0003] 背景
[0004] 分布式計(jì)算機(jī)系統(tǒng)提供了提供多種類型的服務(wù)的越來越有效的方式。然而當(dāng)分布 式計(jì)算系統(tǒng)的復(fù)雜性和普遍性增加時(shí)，維持?jǐn)?shù)據(jù)安全變得更有挑戰(zhàn)性。存在至少與安全漏 洞被發(fā)現(xiàn)一樣快地處理安全漏洞的不斷的抗?fàn)?。這個(gè)抗?fàn)幈挥?jì)算機(jī)系統(tǒng)及其使用發(fā)展的速 度和獎(jiǎng)金增加的速率惡化。同時(shí)在很多背景中，數(shù)據(jù)的安全具有極大的重要性。很多人例 如將被預(yù)期保持私密的數(shù)據(jù)坦率地告訴公司，除了在相對少的情況中以外。安全缺口因此 可能對組織的操作有有害的影響，從信任和商譽(yù)的失去到由于安全缺口引起的系統(tǒng)故障而 不能做生意。
[0005] 這些年來，發(fā)展了很多策略來處理對數(shù)據(jù)安全的不斷增加的威脅。數(shù)據(jù)加密例如 可提供防止對數(shù)據(jù)的未授權(quán)訪問的有效方式。作為結(jié)果，發(fā)展了復(fù)雜的設(shè)備以安全地存儲 加密信息，例如加密密鑰。雖然這樣的設(shè)備常常為了各種目的而很好執(zhí)行，將設(shè)備集成到各 種基礎(chǔ)設(shè)施內(nèi)可提出很多挑戰(zhàn)。此外，這樣的設(shè)備常常需要足夠的投資，這對很多組織可能 是障礙。
[0006] 附圖簡述
[0007] 現(xiàn)在將參考附圖描述根據(jù)本公開的各種實(shí)施方案，其中：
[0008] 圖1示出環(huán)境的例證性例子，其中本公開的各種實(shí)施方案可被實(shí)施；
[0009] 圖2示出根據(jù)至少一個(gè)實(shí)施方案的環(huán)境的例證性例子，其中硬件安全模塊可被提 供為服務(wù)；
[0010] 圖3示出說明根據(jù)至少一個(gè)實(shí)施方案的提供硬件安全模塊即服務(wù)的使用的方式 的圖的例證性例子；
[0011] 圖4示出說明根據(jù)至少一個(gè)實(shí)施方案的硬件安全模塊可被提供為服務(wù)的方式的 圖的例證性例子；
[0012] 圖5示出說明根據(jù)至少一個(gè)實(shí)施方案的硬件安全模塊可冗余地被提供的方式的 例證性例子；
[0013] 圖6示出根據(jù)至少一個(gè)實(shí)施方案的用于處理對硬件安全模塊的請求的過程的例 證性例子；
[0014] 圖7示出根據(jù)至少一個(gè)實(shí)施方案的用于利用提供硬件安全模塊的使用的服務(wù)的 過程的例證性例子；以及
[0015] 圖8示出各種實(shí)施方案可被實(shí)現(xiàn)的環(huán)境。
[0016] 詳細(xì)描述
[0017] 在下面的描述中，將描述各種實(shí)施方案。為了解釋的目的，闡述了特定的配置和細(xì) 節(jié)以便提供對實(shí)施方案的徹底理解。然而對本領(lǐng)域中的技術(shù)人員也明顯，實(shí)施方案可在沒 有特定細(xì)節(jié)的情況下被實(shí)施。此外，公知的特征可被省略或簡化，以便不使被描述的實(shí)施方 案難理解。
[0018] 本公開的實(shí)施方案涉及提供設(shè)備即服務(wù)的使用。在一些例子中，設(shè)備是硬件安全 模塊（HSM)，其由遠(yuǎn)程地托管各種計(jì)算資源的計(jì)算資源提供者向客戶提供為服務(wù)，計(jì)算資 源由客戶遠(yuǎn)程地管理并操作，計(jì)算資源的例子將在下面被描述。計(jì)算資源提供者的客戶可 利用計(jì)算資源的服務(wù)來維持專用網(wǎng)絡(luò)，例如由計(jì)算資源提供者托管的虛擬局域網(wǎng)（VLAN)。 VLAN可例如由計(jì)算資源提供者所操作的基礎(chǔ)設(shè)施支持。
[0019] 安全連接例如在互聯(lián)網(wǎng)協(xié)議安全（IPsec)隧道上的虛擬專用網(wǎng)絡(luò)連接可將遠(yuǎn)程 托管的網(wǎng)絡(luò)連接到在客戶的房屋內(nèi)托管的網(wǎng)絡(luò)。來往遠(yuǎn)程托管的網(wǎng)絡(luò)的流量可由計(jì)算資源 提供者管理，使得從在客戶的房屋內(nèi)網(wǎng)絡(luò)中的設(shè)備的觀點(diǎn)看，與在遠(yuǎn)程托管的網(wǎng)絡(luò)中的設(shè) 備的通信出現(xiàn)，好像遠(yuǎn)程托管的網(wǎng)絡(luò)的設(shè)備位于客戶的房屋內(nèi)網(wǎng)絡(luò)中的設(shè)備中一樣。例如， 到遠(yuǎn)程托管的網(wǎng)絡(luò)中的設(shè)備的通信可由客戶設(shè)備尋址以在由客戶管理的網(wǎng)絡(luò)地址的空間 中尋址（例如到由客戶管理的網(wǎng)絡(luò)的子網(wǎng)中的網(wǎng)絡(luò)地址）。計(jì)算資源提供者可使用各種技 術(shù)例如網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT)來通過它自己的網(wǎng)絡(luò)將網(wǎng)絡(luò)通信路由到它們的正確的目的地。
[0020] 在本公開的各種實(shí)施方案中，客戶能夠與計(jì)算資源提供者（例如通過由計(jì)算資源 提供者操作的適當(dāng)系統(tǒng)）交互，用于管理遠(yuǎn)程托管的網(wǎng)絡(luò)的目的?？蛻艨衫鐚㈦娮诱埱?提交到計(jì)算資源提供者以將一個(gè)或多個(gè)設(shè)備添加到遠(yuǎn)程托管的網(wǎng)絡(luò)，從遠(yuǎn)程托管的網(wǎng)絡(luò)移 除一個(gè)或多個(gè)設(shè)備，重新配置遠(yuǎn)程托管的網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)?，以及用于其它目的。請求可例?出現(xiàn)在可利用各種Web服務(wù)技術(shù)的適當(dāng)配置的應(yīng)用編程接口（API)調(diào)用上。計(jì)算資源提供 者可處理請求，且如果適當(dāng)，則如所請求的重新配置客戶的網(wǎng)絡(luò)。
[0021] 在一些實(shí)施方案中，客戶能夠?yàn)榱藢⒁粋€(gè)或多個(gè)HSM添加到遠(yuǎn)程托管的網(wǎng)絡(luò)的目 的而與計(jì)算資源提供者交互。為了處理對HSM被添加到客戶的網(wǎng)絡(luò)的請求，計(jì)算資源提供 者可從一組可用HSM選擇適當(dāng)?shù)腍SM，并例如通過在數(shù)據(jù)暫存器中對客戶標(biāo)記HSM的任務(wù) 以防止HSM用于其它客戶同時(shí)被分配給客戶來將HSM分派給客戶。計(jì)算資源提供者可建立 HSM的網(wǎng)絡(luò)（服務(wù)網(wǎng)絡(luò)），例如VLAN并將網(wǎng)絡(luò)接口添加到客戶的遠(yuǎn)程托管的網(wǎng)絡(luò)中的服務(wù) 網(wǎng)絡(luò)。服務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)接口可具有在客戶的IP地址空間中的地址，使得客戶可與HSM通信， 好像HSM在客戶自己的網(wǎng)絡(luò)中一樣?？蛻艨膳渲迷诳蛻舻姆课輧?nèi)網(wǎng)絡(luò)、房屋外網(wǎng)絡(luò)或這兩 者中的一個(gè)或多個(gè)HSM客戶端。這個(gè)過程可重復(fù)以給客戶提供多個(gè)HSM的客戶使用，例如 增加可用性或降低時(shí)延。
[0022] 各種技術(shù)可用于提供客戶增強(qiáng)的數(shù)據(jù)安全。例如在一些例子中，HSM具有至少兩個(gè) 管理接口。第一管理接口可由計(jì)算資源提供者使用來執(zhí)行各種管理功能，例如永久地（即 不能取消地）擦除存儲在HSM上的任何加密信息。通過第一管理接口可得到的另一管理功 能在一些實(shí)施方案中創(chuàng)建訪問第二管理接口的賬戶。能夠訪問第一管理接口的賬戶可與能 夠訪問第二管理接口的一個(gè)或多個(gè)賬戶共享一些特權(quán)，例如永久地擦除加密信息的能力。 然而，能夠訪問第一管理接口的賬戶具有一些不同的訪問權(quán)利。例如，在一些實(shí)施方案中， 第一管理接口不能夠訪問由HSM存儲的加密信息。然而第二管理接口可具有額外的管理能 力，例如創(chuàng)建安全高級職員賬戶的能力。安全高級職員賬戶可具有創(chuàng)建和/或刪除HSM的 分區(qū)、創(chuàng)建客戶端并使HSM執(zhí)行加密操作的能力。
[0023] 為了向客戶確保計(jì)算資源提供者不訪問客戶的存儲在HSM中的加密信息，計(jì)算資 源提供者可以用給客戶對可訪問HSM加密信息的人的控制的方式來給客戶提供對HSM的訪 問。例如，計(jì)算資源提供者可使用第一管理接口來創(chuàng)建能夠訪問第二管理接口的賬戶。所 創(chuàng)建的賬戶的證書可被提供給可使用證書來改變證書（例如改變密碼）的客戶，從而從計(jì) 算資源提供者移除對第二管理接口的訪問?？蛻艨山又褂玫诙芾斫涌趤硪杂?jì)算資源提 供者不能夠訪問由HSM存儲的加密信息的置信度進(jìn)一步配置HSM。下面更詳細(xì)討論額外的 細(xì)節(jié)和特征。
[0024] 圖1示出環(huán)境100的例證性例子，其中本公開的各種實(shí)施方案可被實(shí)施。在這個(gè) 例子中，環(huán)境100包括計(jì)算資源提供者102和計(jì)算資源提供者的客戶104。計(jì)算資源提供 者104可以是代表一個(gè)或多個(gè)客戶托管各種計(jì)算資源的組織。例如，計(jì)算資源提供者可操 作用于托管各種計(jì)算硬件資源例如硬件服務(wù)器、數(shù)據(jù)存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、在本文討論的其 它設(shè)備和其它裝備例如服務(wù)器機(jī)架、聯(lián)網(wǎng)電纜等的一個(gè)或多個(gè)設(shè)施。計(jì)算資源硬件可利用 它的計(jì)算硬件資源來操作一個(gè)或多個(gè)服務(wù)。這樣的服務(wù)可包括使計(jì)算資源提供者的客戶能 夠遠(yuǎn)程地管理計(jì)算資源以支持客戶的操作同時(shí)減少或甚至消除客戶投資于物理裝備上的 需要的服務(wù)。示例服務(wù)包括但不限于各種數(shù)據(jù)存儲服務(wù)（基于對象的數(shù)據(jù)存儲服務(wù)、檔案 數(shù)據(jù)存儲服務(wù)、數(shù)據(jù)庫服務(wù)等）、程序執(zhí)行服務(wù)和其它服務(wù)。服務(wù)可由客戶使用來支持各種 各樣的活動(dòng)，例如操作網(wǎng)站、操作支持組織的企業(yè)系統(tǒng)、分布式計(jì)算和/或其它活動(dòng)。
[0025] 如上面提到的，計(jì)算資源提供者可使用它的計(jì)算硬件資源來給客戶提供一個(gè)或多 個(gè)硬件安全模塊（HSM)即服務(wù)的使用。HSM是專用于保護(hù)信息（例如加密密鑰）免受未授 權(quán)的公開并使用被保護(hù)信息來執(zhí)行操作的硬件設(shè)備（例如硬件器具）。可以用各種方式例 如插件卡（配置成插入計(jì)算設(shè)備的電路內(nèi)）或可連接到計(jì)算設(shè)備或可通過網(wǎng)絡(luò)可訪問的外 部TCP/IP安全設(shè)備來實(shí)現(xiàn)HSM。HSM可存儲由HSM使用來執(zhí)行一種或多種類型的加密操作 例如加密、解密或電子簽名產(chǎn)生的加密密鑰。HSM可利用一個(gè)或多個(gè)安全加密處理器芯片來 防止篡改和總線探測。此外，HSM可配置成符合一個(gè)或多個(gè)安全標(biāo)準(zhǔn)。在一些例子中，HSM 配置成符合通過引用被合并到本文中的一個(gè)或多個(gè)國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST)聯(lián)邦信 息處理標(biāo)準(zhǔn)（FIPS)，例如FIPS出版物140-2的安全級別（例如級別1、級別2、級別3或級 別4)。
[0026] 應(yīng)注意，雖然當(dāng)提供例證性例子時(shí)本公開使用HSM，本公開的技術(shù)也通?？蓱?yīng)用于 安全模塊（也被稱為"加密模塊"）。例如，雖然很多安全模塊（例如HSM)利用專用加密處 理器和/或其它硬件，一個(gè)或多個(gè)上述特征可使用軟件來實(shí)現(xiàn)。例如，可使用商品硬件和適 當(dāng)配置的軟件而不是常常在商用HSM中找到的特殊硬件來產(chǎn)生安全模塊以符合FIPS出版 物140-2的一個(gè)或多個(gè)級別。
[0027] 在圖1所示的環(huán)境100中，計(jì)算資源提供者102代表客戶104托管提供者托管的客 戶網(wǎng)絡(luò)106。提供者托管的客戶網(wǎng)絡(luò)106可以是由客戶104管理的計(jì)算設(shè)備的網(wǎng)絡(luò)。提供 者托管的客戶網(wǎng)絡(luò)106可以是由計(jì)算資源提供者104的設(shè)備的物理網(wǎng)絡(luò)實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)， 物理網(wǎng)絡(luò)也可為計(jì)算資源提供者104 (未示出）的其它客戶實(shí)現(xiàn)虛擬設(shè)備和/或虛擬網(wǎng)絡(luò)。 適當(dāng)?shù)奶峁┱咄泄艿目蛻艟W(wǎng)絡(luò)常常被稱為虛擬專用云（VPC)。通常，提供者托管的客戶網(wǎng) 絡(luò)可以是經(jīng)由對計(jì)算資源提供者102的適當(dāng)配置的應(yīng)用編程接口（API)調(diào)用由客戶可定義 的、可配置的和/或否則可管理的。提供者托管的客戶網(wǎng)絡(luò)可以例如由客戶104配置有緊 密地類似于客戶可能在它自己的數(shù)據(jù)中心中操作的傳統(tǒng)網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)拓?fù)洹Ｓ?jì)算資源提 供者102也可實(shí)現(xiàn)提供者托管的客戶網(wǎng)絡(luò)，以便與彼此隔離。例如，客戶的提供者托管的客 戶網(wǎng)絡(luò)可被實(shí)現(xiàn)，使得在網(wǎng)絡(luò)中的設(shè)備不通信或否則是計(jì)算資源提供者的其它客戶可訪問 的，而客戶不配置網(wǎng)絡(luò)來允許這樣的訪問。
[0028] 如所提到的，客戶104可以用各種方式配置提供者托管的客戶網(wǎng)絡(luò)?？蛻艨衫?從客戶自己的IP地址范圍（而不是使用由計(jì)算資源提供者102分配的IP地址）將IP地 址分配到設(shè)備，創(chuàng)建一個(gè)或多個(gè)子網(wǎng)，配置路由表，配置網(wǎng)絡(luò)網(wǎng)關(guān)和/或否則配置網(wǎng)絡(luò)。在 客戶從它自己的IP地址空間分配IP地址的實(shí)例中，計(jì)算資源提供者可利用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)技術(shù)來管理在由計(jì)算資源提供者托管的各種設(shè)備當(dāng)中管理網(wǎng)絡(luò)流量。例如，計(jì)算資源 提供者可將被遞呈到客戶104的IP地址的分組隱蔽在被遞呈到由計(jì)算資源提供者102管 理的IP地址的分組中用于在由計(jì)算資源提供者管理的各種設(shè)備當(dāng)中傳輸。當(dāng)分發(fā)到具有 從客戶IP空間尋址的IP地址的客戶設(shè)備時(shí)，計(jì)算資源提供者可解開分組。
[0029] 關(guān)于子網(wǎng)配置和管理，很多布置可由客戶利用。例如，客戶104可為訪問互聯(lián)網(wǎng)的 web服務(wù)器創(chuàng)建面向公眾的子網(wǎng)?？蛻艨蔀闆]有互聯(lián)網(wǎng)訪問的后端系統(tǒng)創(chuàng)建面向私人的子 網(wǎng)?？蛻艨赏ㄟ^杠桿作用影響多個(gè)安全層，包括防火墻和網(wǎng)絡(luò)訪問控制列表，以幫助控制對 在每個(gè)子網(wǎng)中的設(shè)備的訪問。
[0030] 此外，如圖1所示，客戶可具有其自己托管的客戶網(wǎng)絡(luò)108。自己托管的客戶網(wǎng)絡(luò) 可以使用客戶104自己的硬件托管的網(wǎng)絡(luò)（物理、虛擬或物理和虛擬的組合）。如圖1所 示，自己托管的客戶網(wǎng)絡(luò)108和提供者托管的客戶網(wǎng)絡(luò)106通過安全通道110例如互聯(lián)網(wǎng) 協(xié)議安全（IPsec)隧道或直接連接與彼此通信，雖然可使用用于安全通信的其它機(jī)制。在 一個(gè)例子中，安全通道110是使用適當(dāng)?shù)陌踩珔f(xié)議例如IPsec的虛擬專用網(wǎng)（VPN)連接。以 這種方式，安全通道110以提供者托管的客戶網(wǎng)絡(luò)106有效地?cái)U(kuò)展客戶104的自己托管的 客戶網(wǎng)絡(luò)108,好像這兩個(gè)網(wǎng)絡(luò)的資源都使用單個(gè)設(shè)施的硬件資源位于同一地點(diǎn)一樣。
[0031] 然而應(yīng)注意，圖1所示的環(huán)境100的特定配置是為了說明的目的，以及其它配置也 被考慮為在本公開的范圍內(nèi)。例如，利用本文所述的技術(shù)的環(huán)境不一定需要包括通過安全 通道連接到提供者托管的客戶網(wǎng)