基于租戶的簽名驗證的制作方法
【專利摘要】提供了用于在多租戶環(huán)境中驗證簽名的方法和系統(tǒng)�。作為分布式網(wǎng)絡(luò)的部分的服務(wù)器或其它計算設(shè)備可以請求來自所標(biāo)識的租戶存儲的證書集合。所請求的證書集合可以加載到服務(wù)器或其它計算設(shè)備能訪問的虛擬存儲中��。服務(wù)器或其它計算設(shè)備隨后可以訪問來自虛擬存儲的一個或多個證書以驗證簽名��。
【專利說明】
基于租戶的簽名驗證
【背景技術(shù)】
[0001]分布于在線環(huán)境之中的服務(wù)器和服務(wù)的部署拓?fù)浣Y(jié)構(gòu)正在變得越來越復(fù)雜���。應(yīng)用要求安全訪問這些服務(wù)器和服務(wù)���,而無論它們的部署特點或位置如何��。公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)操作經(jīng)常與使用存儲在數(shù)據(jù)存儲內(nèi)的內(nèi)容關(guān)聯(lián)��。例如�����,受信的根證書可以存儲在公司的服務(wù)器上���,并用于證書驗證?��;谠摻Y(jié)構(gòu),多租戶環(huán)境中的租戶將他們的具體的PKI數(shù)據(jù)存儲在其它租戶能訪問的公共機器存儲中以執(zhí)行證書驗證��。
[0002]正是針對這些以及其它常見的考慮而進行了實施例����。而且,雖然已經(jīng)論述了相對具體的問題�����,應(yīng)當(dāng)理解實施例不應(yīng)限于解決【背景技術(shù)】中所確定的具體問題。
【發(fā)明內(nèi)容】
[0003]概括而言�����,本公開內(nèi)容一般涉及在多租戶環(huán)境中驗證定制簽名��。更特別地�����,本公開內(nèi)容一般涉及用于分布式網(wǎng)絡(luò)上的服務(wù)器訪問以及根據(jù)需要虛擬地(virtually)存儲租戶證書集合的方法和系統(tǒng)����。分布式網(wǎng)絡(luò)上的該服務(wù)器或其它計算設(shè)備被配置有訪問安全且隔離的租戶存儲以根據(jù)需要加載不同的租戶證書集合的能力。此外����,分布式網(wǎng)絡(luò)上的服務(wù)器或其它計算設(shè)備被配置有在使用后刪除虛擬地存儲的租戶證書集合以釋放服務(wù)器上的存儲空間和/或維持所訪問的租戶證書集合的機密性的能力。
[0004]提供該概述以便以下文在詳述部分中進一步描述的簡化形式來引入構(gòu)思的選擇�����。該概述不意在排他地確定權(quán)利要求主題的關(guān)鍵特征或主要特征�����,也不意在該概述用來限定權(quán)利要求主題的范圍。
【附圖說明】
[0005]參考以下附圖來描述非限制性的以及非窮盡的實施例��,在附圖中:
[0006]圖1示出了根據(jù)示例性實施例的在多租戶環(huán)境中驗證定制簽名的分布式網(wǎng)絡(luò)的示例性的系統(tǒng)�;
[0007]圖2示出了根據(jù)又一示例性實施例的用于在多租戶環(huán)境中驗證定制簽名的分布式網(wǎng)絡(luò)的示例性的系統(tǒng);
[0008]圖3示出了根據(jù)示例性實施例的用于在多租戶環(huán)境中驗證定制簽名的分布式網(wǎng)絡(luò)的不例性的系統(tǒng)�����;
[0009]圖4示出了根據(jù)示例性實施例的用于在多租戶環(huán)境中驗證定制簽名的示例性的方法;
[0010]圖5示出了根據(jù)又一示例性實施例的用于在多租戶環(huán)境中驗證定制簽名的示例性的方法��;
[0011]圖6是示出可實踐本公開內(nèi)容的實施例的計算設(shè)備的示例的物理部件的框圖��;
[0012]圖7A和7B是可實踐本公開內(nèi)容的實施例的移動計算設(shè)備的簡化的框圖�����;以及
[0013]圖8是可以實踐本公開內(nèi)容的實施例的分布式計算系統(tǒng)的簡化框圖�。
【具體實施方式】
[0014]在下面的詳述中,參考了附圖�,附圖構(gòu)成說明的部分并且通過示例說明的方式示出了具體的實施例或示例�。這些方面可以組合,可以使用其它方面�,可以進行結(jié)構(gòu)改變��,而不偏離本公開內(nèi)容的精神或保護范圍����。因此����,下面的詳述不應(yīng)從限制的意義上考量,并且本公開內(nèi)容的保護范圍由隨附的權(quán)利要求書及其等同內(nèi)容來限定��。
[0015]在該說明書全篇中�����,術(shù)語“平臺”可以是用于通過網(wǎng)絡(luò)在客戶端與服務(wù)器之間使用協(xié)議提供數(shù)據(jù)交換的軟件部件和硬件部件的組合���。平臺的示例包括但不限于在多個服務(wù)器上實施的托管式服務(wù)����、在單個計算設(shè)備上實施的應(yīng)用以及類似的系統(tǒng)��。術(shù)語“服務(wù)器”一般是指通常在網(wǎng)絡(luò)環(huán)境中實施一個或多個軟件程序的計算設(shè)備��。然而,服務(wù)器還可以實現(xiàn)為在視作網(wǎng)絡(luò)上的服務(wù)器的一個或多個計算設(shè)備上實施的虛擬服務(wù)器(軟件程序)���。關(guān)于這些技術(shù)和示例性的操作的更多細節(jié)可見于下文中�����。
[0016]如上文簡要描述的��,本公開內(nèi)容的實施例涉及到在多租戶環(huán)境中驗證簽名����。在實施例中����,簽名是屬于多租戶環(huán)境中的S/MME電子郵件的。當(dāng)前���,租戶的用戶使用他的私有密鑰(本文也稱為簽署證書)將諸如電子郵件的MME消息發(fā)送給客戶端�����。雖然論述涉及到電子郵件消息��,本領(lǐng)域技術(shù)人員將理解�,可以通過本文公開的實施例來實踐任何消息或其它類型的數(shù)據(jù)�����。本文所使用的“用戶”是指與租戶相關(guān)聯(lián)的任何個體或機器���。本文所使用的“租戶”是指任何公司�、組織或用戶群組����。
[0017]客戶端可能希望校驗從用戶發(fā)送的電子郵件消息的簽名,或者換言之�,校驗電子郵件發(fā)送自所列的發(fā)送者。為了校驗電子郵件的簽名��,客戶端將簽名或簽署證書發(fā)回給與發(fā)送用戶電子郵件的發(fā)送者/租戶相關(guān)聯(lián)的服務(wù)器��。租戶的服務(wù)器存儲了用于驗證用戶的簽名(本文還稱為證書��、簽署證書�����、簽名���、私有密鑰或定制簽名)的每個用戶的證書要求或證書的列表��。租戶的每個用戶的證書要求或證書的列表在本文稱為證書集合���。租戶服務(wù)器使用來自存儲的證書集合的所標(biāo)識的用戶證書要求或證書來嘗試驗證接收到的證書���。
[0018]為了安全的原因,限制證書集合的可用性����。多數(shù)租戶更愿意租戶或租戶服務(wù)器之外的任何人不能訪問證書集合或者訪問在證書集合上列出的任何租戶的證書要求或證書。如果租戶服務(wù)器能夠使用所標(biāo)識的用戶證書要求或證書來驗證自客戶端接收到的簽署證書�����,則服務(wù)器向客戶端發(fā)送通知��,簽名有效�����,或者電子郵件發(fā)送自所標(biāo)識的用戶���。如果租戶服務(wù)器不能使用所標(biāo)識的用戶的證書要求或證書來驗證從客戶端接收到的簽署證書���,則月艮務(wù)器向客戶端發(fā)送通知���,簽名無效或者電子郵件不是發(fā)送自所標(biāo)識的用戶����。如果簽名有效,則消息確實由消息中所標(biāo)識的租戶或發(fā)送者發(fā)送���。租戶服務(wù)器通過訪問和存儲來自每個用戶的證書要求或證書來生成證書集合��。在一些示例中�,如果在通往客戶端的途中消息被修改����,如果用戶的簽署證書被撤銷,或者如果用戶的證書要求或證書不再存在(例如����,當(dāng)雇員離開公司時電子郵件地址被無效化),則會發(fā)現(xiàn)簽名或簽署證書是無效的����。
[0019]在多租戶環(huán)境中����,具有若干證書的多個租戶可由客戶端發(fā)送給分布式網(wǎng)絡(luò)中的服務(wù)器以便進行驗證���。在當(dāng)前使用的驗證過程下���,服務(wù)器被配置為使用存儲的證書集合。然而�����,分布式網(wǎng)絡(luò)中的服務(wù)器來存儲網(wǎng)絡(luò)上每個租戶的證書集合是不可行的����。首先,分布式網(wǎng)絡(luò)中的服務(wù)器是多個租戶可訪問的�。因此,允許每個租戶訪問分布式網(wǎng)絡(luò)上的服務(wù)器有害于分布式網(wǎng)絡(luò)的安全�����。其次���,分布式網(wǎng)絡(luò)中的服務(wù)器具有使用傳統(tǒng)存儲模型的有限的存儲容量�����,并且不能存儲每個租戶的證書集合�����。
[0020]為解決上述限制��,本公開內(nèi)容的實施例一般涉及用于分布式網(wǎng)絡(luò)上的服務(wù)器訪問來自分布式網(wǎng)絡(luò)上的私有租戶存儲的租戶證書集合以及根據(jù)需要虛擬地存儲租戶證書集合的方法和系統(tǒng)��。在實施例中�����,關(guān)于分布式網(wǎng)絡(luò)上的具體的租戶存儲的信息不能由其它租戶訪問或者不能為公共使用��。因此����,租戶能夠?qū)⑺麄兊淖C書集合上傳或?qū)肭冶4娴椒植际骄W(wǎng)絡(luò)上的他們的租戶存儲中��,而不會有害于分布式網(wǎng)絡(luò)的安全性����。相應(yīng)地����,本公開內(nèi)容的實施例一般地涉及針對無須訪問本地租戶機器而具有租戶證書集合的副本的服務(wù)器的方法和系統(tǒng)���。在實施例中��,服務(wù)器可以訪問證書集合且將其加載為虛擬存儲�����。另外地��,分布式網(wǎng)絡(luò)上的服務(wù)器可被配置為在使用后從服務(wù)器中刪除虛擬地存儲的租戶證書集合以釋放服務(wù)器上的存儲空間和/或維持所訪問的租戶證書集合的機密性�。
[0021]圖1-3示出了根據(jù)示例性實施例用于在多租戶環(huán)境中驗證消息的簽名的分布式網(wǎng)絡(luò)104的示例性的系統(tǒng)100�����。在一些實施例中�����,圖1-3所示的簽名驗證可根據(jù)S/MHffi協(xié)議來執(zhí)行;然而���,其它校驗協(xié)議可用于本文公開的實施例����。系統(tǒng)100包括客戶端102、分布式網(wǎng)絡(luò)104和租戶110�����。雖然圖1-3所示的系統(tǒng)100具有三個或四個不同的客戶端102a��、102b�、102c和102d以及四個或五個不同的租戶110a、110b�����、110c��、I 1d和IlOe���,但是圖示的客戶端102的數(shù)量以及租戶110的數(shù)量僅為示例性的。本領(lǐng)域技術(shù)人員可以意識到系統(tǒng)100可包括任意數(shù)量的客戶端102d和/或租戶110e�。
[0022]本文所使用的客戶端102是指從分布式網(wǎng)絡(luò)上的服務(wù)器106接收簽名的消息的任何個體、用戶或機器���。在實施例中��,客戶端102不與租戶110相關(guān)聯(lián)�。在一些實施例中,客戶端102與租戶110相關(guān)聯(lián)�����。如上文論述的租戶110是指任何公司����、組織或用戶群組。如上論述的用戶是指與租戶110相關(guān)聯(lián)的任何個體或機器����。
[0023]分布式網(wǎng)絡(luò)104可以包含通過網(wǎng)絡(luò)(例如,WAN��、LAN�、W1-Fi網(wǎng)絡(luò)、因特網(wǎng)等)連接的兩個或更多個服務(wù)器�。分布式網(wǎng)絡(luò)104在本文還可稱為云或分布式服務(wù)器網(wǎng)絡(luò)。分布式網(wǎng)絡(luò)104包括服務(wù)器106和租戶存儲108�。雖然圖1-3所示的分布式網(wǎng)絡(luò)104具有四個不同的服務(wù)器106a、106b����、106c和106d以及四個或五個不同的存儲108a�����、108b���、108c、108d和108e�����,但是圖示的服務(wù)器106和存儲108的數(shù)量僅為示例性的��。本領(lǐng)域技術(shù)人員可以意識到分布式網(wǎng)絡(luò)104可以包括任意數(shù)量的服務(wù)器106c和/或存儲108e��。
[0024]在客戶端102處執(zhí)行的與分布式網(wǎng)絡(luò)104交互的示例的應(yīng)用是一個或多個生產(chǎn)應(yīng)用(例如�����,文字處理器�����、演示應(yīng)用��、電子表格應(yīng)用等)以及一個或多個通信應(yīng)用(例如��,電子郵件應(yīng)用���、即時消息傳遞應(yīng)用����、視頻流應(yīng)用�、社交媒體應(yīng)用、日歷應(yīng)用�����、游戲等)或者任何需要客戶端設(shè)備和服務(wù)器在分布式網(wǎng)絡(luò)上通信的應(yīng)用(例如�����,銀行業(yè)應(yīng)用����、公司內(nèi)應(yīng)用等等)。示例的客戶端設(shè)備102可以包括臺式計算機��、膝上型計算機�����、平板設(shè)備、智能手表��、可佩戴計算機�、移動電話、智能手機����、電子白板、和/或其它類似的客戶端設(shè)備����。通信服務(wù)和生產(chǎn)服務(wù)還可以相結(jié)合地起作用以取回和交換電子郵件和/或其它數(shù)據(jù)。
[0025]示例的生產(chǎn)應(yīng)用可被配置為提供對圍繞生產(chǎn)平臺構(gòu)建的各種服務(wù)的訪問�����。在實施例中����,服務(wù)執(zhí)行于或寄存于遠程設(shè)備上,諸如分布式網(wǎng)絡(luò)中的服務(wù)器106�����。一些生產(chǎn)服務(wù)可包括但不限于����,協(xié)作應(yīng)用、企業(yè)管理應(yīng)用���、消息傳遞應(yīng)用�、文字處理應(yīng)用��、電子表格應(yīng)用��、數(shù)據(jù)庫應(yīng)用���、演示應(yīng)用�����,等等��。生產(chǎn)服務(wù)可通過例如從分布式網(wǎng)絡(luò)104上的遠程服務(wù)器106取回數(shù)據(jù)來提供對與寄存在遠程設(shè)備上的各種生產(chǎn)應(yīng)用相關(guān)聯(lián)的數(shù)據(jù)的訪問��??梢栽诰W(wǎng)絡(luò)104上訪問服務(wù)器106����,該網(wǎng)絡(luò)可以是有線網(wǎng)或無線網(wǎng)��,或者云網(wǎng)絡(luò)�,并且取回的數(shù)據(jù)可以加載和/或被操縱����。示例性的網(wǎng)絡(luò)可包括但不限于,蜂窩數(shù)據(jù)網(wǎng)���、工作域網(wǎng)(WAN)��、局域網(wǎng)(LAN)�����、因特網(wǎng)等����。
[0026]類似地�,示例的通信應(yīng)用可以是被配置為提供電子郵件、通訊錄管理和/或日歷服務(wù)的應(yīng)用或服務(wù)�。在實施例中,通信應(yīng)用還可以提供一個或多個實時通信平臺��,諸如即時消息傳遞、音頻/視頻會議以及存在檢測�����。例如��,用戶可以使用在客戶端102上執(zhí)行的并且從分布式網(wǎng)絡(luò)104接收的通信應(yīng)用來接收��、查看和回復(fù)電子郵件���。
[0027]如圖1所示,來自分布式網(wǎng)絡(luò)104的服務(wù)器2106b用簽名發(fā)送來自第四租戶IlOd的用戶的第一客戶端102a數(shù)據(jù)�����。在一些實施例中����,發(fā)送的數(shù)據(jù)是電子郵件消息。第一客戶端102a請求驗證從服務(wù)器2 106b接收到的簽署證書����,其中客戶端102a從服務(wù)器2 106b接收數(shù)據(jù)。服務(wù)器2 106b識別與用于驗證的簽署證書有關(guān)或相關(guān)聯(lián)的租戶110��。在圖1所示的實施例中,服務(wù)器2 106b識別簽署證書與第四租戶IlOd相關(guān)聯(lián)���。
[0028]因此���,服務(wù)器2106b訪問分布式網(wǎng)絡(luò)104上的第四租戶存儲1Sd上的證書集合。在一些實施例中���,服務(wù)器2 106b通過請求訪問第四租戶存儲108d和/或訪問第四租戶存儲1Sd上的證書集合來訪問第四租戶存儲1Sd上的證書集合�����。在另外的實施例中�,服務(wù)器2106b通過讀取第四租戶存儲108d和/或通過讀取第四租戶存儲108d上的證書集合來訪問第四租戶存儲1Sd上的證書集合����。
[0029]如上所述,租戶存儲108位于分布式網(wǎng)絡(luò)104上且存儲租戶的組織數(shù)據(jù)和/或配置信息��。租戶存儲108d上的信息與其它租戶存儲108a�、108b和108c隔離且分離。因此����,保存在每個租戶存儲108上的信息既不是公共可訪問�,也不能由分布式網(wǎng)絡(luò)104上的其它租戶訪問���。如上所述�,證書集合是用于驗證由與租戶110相關(guān)聯(lián)的用戶發(fā)送的簽署的消息的簽名的列表證書��。用于租戶110的證書集合由租戶管理員上傳或?qū)肭冶4娴阶鈶舸鎯?08中�。在一些實施例中���,租戶管理員使用用于租戶管理任務(wù)的遠程PoweShell或圖形用戶接口來導(dǎo)入且保存證書集合�����。如圖1-3中所示����,每個租戶110a�、110b、110c����、I 1d和I 1e在分布式網(wǎng)絡(luò)104上具有專用的存儲空間,各個租戶能夠?qū)⑺麄兊拇硇缘淖鈶舸鎯?08a����、108b��、108c�、108d���、108e上的他們的證書集合導(dǎo)入且保存到該專用存儲空間中����。
[0030]一旦服務(wù)器2 106b從第四租戶存儲1Sd訪問第四租戶IlOd的證書集合��,服務(wù)器2106b將證書集合加載到服務(wù)器2 106b中�。在一些實施例中,服務(wù)器2 106b將證書集合加載到服務(wù)器2 106b中��,作為第四租戶虛擬存儲�����。服務(wù)器2 106b隨后利用虛擬存儲來驗證簽署的證書����。在一些實施例中,在驗證期間,服務(wù)器2 106b嘗試將租戶IlOd的指定用戶的簽名針對來自證書集合的指定用戶的虛擬存儲中的證書或證書要求進行驗證����。如果服務(wù)器2106b驗證簽署的證書,則服務(wù)器2 106b將關(guān)于簽署的證書有效的通知發(fā)送給第一客戶端���。如果服務(wù)器2 106b不能驗證簽署的證書�����,則服務(wù)器2 106b向第一客戶端發(fā)送通知,簽署的證書無效�����。
[0031]替代地�����,在一些實施例中�,分布式網(wǎng)絡(luò)上的服務(wù)器106可以將虛擬存儲發(fā)送給發(fā)送請求的客戶端,并且允許客戶端基于虛擬存儲中的發(fā)送的證書集合來判定簽署的證書是否有效�����。在替代的實施例中,服務(wù)器確定來自虛擬存儲的用戶的證書要求并且將用戶的證書要求或證書發(fā)送給發(fā)送請求的客戶端���,且允許客戶端基于所發(fā)送的要求或證書來判定簽署的證書是否有效����。
[0032]在一些實施例中���,服務(wù)器2 106b上的虛擬存儲在使用后由服務(wù)器2106b立即刪除����。在其它實施例中����,虛擬存儲由服務(wù)器2 106b保存預(yù)定量的時間。例如�����,虛擬存儲可在使用后由服務(wù)器2 106b保存50暈秒��、I秒���、5秒���、30秒��、I分鐘�����、2分鐘�、5分鐘����、10分鐘、15分鐘���、30分鐘、I小時���、2小時����、5小時�����、1小時、12小時或一天��。該列表是示例性的�,不是限制性的。本領(lǐng)域技術(shù)人員將意識到�����,在刪除虛擬存儲之前可以使用任何期望的預(yù)定量的時間����。在替代的實施例中,虛擬存儲由服務(wù)器保存直至特定事件發(fā)生�����。例如����,虛擬存儲可在使用后被保存直到服務(wù)器2 106b接收到驗證不同租戶的簽署證書的請求為止。在另一示例中��,虛擬存儲在使用后被保存直至服務(wù)器2 106b達到預(yù)定量的存儲容量為止���。
[0033]雖然圖1的論述涉及到具體的實施例�����,但是由第一客戶端102a執(zhí)行的操作可通過系統(tǒng)100的任何客戶端102來執(zhí)行�����。另外地�����,雖然圖1的論述涉及到具體的實施例�,服務(wù)器2106b所執(zhí)行的步驟可由分布式網(wǎng)絡(luò)104的任何服務(wù)器106響應(yīng)于同時地、在交錯時間和/或在重疊時間來自任何客戶端102的��、用于驗證任何租戶110的任何用戶的簽署證書的請求來執(zhí)行�。
[0034]圖2和圖3所示的示例性的系統(tǒng)顯示出,分布式網(wǎng)絡(luò)104上的各服務(wù)器106能夠接收來自若干客戶端102a����、102b�、102c和/或102d的、用于驗證來自不同租戶110a�����、110b、110c�����、IlOd和/或IlOe的多個用戶的簽署證書的請求��。分布式網(wǎng)絡(luò)104的服務(wù)器106可以同時地��、在交錯的時間或者在重疊的時間接收來自各客戶端102的驗證消息的請求�。此外,分布式網(wǎng)絡(luò)104的一個或多個服務(wù)器106可以同時地�����、在交錯的時間或者在重疊的時間接收來自各客戶端102的對于簽署證書驗證的多個請求�。
[0035]例如,圖2示出了第一客戶端102a請求驗證經(jīng)由服務(wù)器3 106d從第三租戶IlOc的用戶接收到的簽署證書���,同時第二客戶端102b請求驗證經(jīng)由服務(wù)器2 106b從第二租戶IlOb的用戶接收到的簽署證書�,同時第三客戶端102c請求驗證經(jīng)由服務(wù)器2 106b從第一租戶IlOa的用戶接收到的簽署證書�。如圖2所顯示的,接收到請求的每個服務(wù)器識別與簽署證書相關(guān)聯(lián)的租戶110并且訪問適合的租戶存儲108���。例如�����,服務(wù)器3 106d訪問在第三租戶存儲108c上的第三租戶的證書集合��,服務(wù)器2 106b訪問第二租戶存儲108b上的第二租戶的證書集合����,并且服務(wù)器106a訪問第一租戶存儲108a上的第一租戶的證書集合。在訪問適合的租戶的證書集合之后�,每個服務(wù)器106a、106b和106d將來自適合的存儲的證書集合加載作為虛擬存儲����。一旦適合的租戶的證書集合被加載,每個服務(wù)器106a�、106b和106d利用來自虛擬存儲的適合的用戶證書要求或證書來檢查他們接收到的消息或簽署證書的有效性。在確定了簽署證書的有效性之后���,每個服務(wù)器106a����、106b和106d將對所確定的簽署證書的有效性的通知發(fā)送給作出請求的客戶端102a����、102b和102c。每個服務(wù)器106a����、106b和106d可以同時地、在重疊的時間以及在交錯的時間執(zhí)行對簽署證書的驗證�。
[0036]在一些實施例中,客戶端102將用于驗證來自特定租戶110的用戶的簽署證書的請求發(fā)送給分布式網(wǎng)絡(luò)104上的服務(wù)器106��,其中客戶端從服務(wù)器106接收到以該證書簽名的數(shù)據(jù)��。在其它實施例中�����,客戶端可以將用于驗證來自特定租戶110的用戶的簽署證書的請求發(fā)送給分布式網(wǎng)絡(luò)上的不同的服務(wù)器106���,客戶端從該不同的服務(wù)器106接收帶有簽署證書的數(shù)據(jù)��。在一些實施例中�����,選擇將帶有簽署證書的數(shù)據(jù)發(fā)送給客戶端102的服務(wù)器106����,因為服務(wù)器106具有分布式網(wǎng)絡(luò)104上的服務(wù)器106的最大可用的處理能力。在其它實施例中����,將帶有簽署證書的數(shù)據(jù)發(fā)送給客戶端102的服務(wù)器106是基于位置、處理能力�����、負(fù)載平衡和/或可用存儲空間而選擇的�。
[0037]多個服務(wù)器106可以接收來自相同或不同客戶端102的多個請求。例如�,圖3示出了客戶端102a發(fā)送兩個用于驗證經(jīng)由服務(wù)器106b和106c來自第四租戶IlOd的用戶的兩個不同的簽署證書的請求。圖3進一步示出第二客戶端102b從服務(wù)器2 106b接收到來自第二租戶IlOb的用戶的帶有簽署證書的數(shù)據(jù)并且請求驗證來自服務(wù)器I 106a的第二租戶的用戶的簽署證書����。基于該來自第二客戶端102b的請求����,服務(wù)器I 106a訪問第二租戶存儲108b上的證書集合,將證書集合加載到虛擬存儲中���,確定從第二租戶存儲108b的用戶接收到的簽署證書的有效性�����,并且基于有效性確定將有效性通知發(fā)送給第二客戶端102b�����。在服務(wù)器I106a正在處理來自第二客戶端102b的請求的同時�����,服務(wù)器I 106a可以將來自第一租戶IlOa的用戶的帶有簽署證書的數(shù)據(jù)發(fā)送給第三客戶端102c����。在一些實施例中����,由客戶端接收的帶有簽署證書的數(shù)據(jù)是用于電子郵件應(yīng)用、即時消息�����、日歷應(yīng)用���、通訊錄應(yīng)用����、社交媒體應(yīng)用或游戲應(yīng)用的數(shù)據(jù)。該列表僅是示例性的���,不是限制��。另外����,圖2示出了系統(tǒng)100可利用任意數(shù)量的租戶存儲(第η個租戶存儲108e)或租戶(第η個租戶IlOe)�����。
[0038]已經(jīng)通過具體的配置���、應(yīng)用和交互描述了圖1至圖3的實例的系統(tǒng)����。然而�����,可構(gòu)思的實施例不限于根據(jù)這些示例的系統(tǒng)�。用于提供通信連接以在客戶端與服務(wù)器之間建立會話以及通過網(wǎng)絡(luò)交換數(shù)據(jù)的系統(tǒng)可以實現(xiàn)在采用更少或額外的部件且執(zhí)行其它任務(wù)的配置中�����。此外���,雖然本文已經(jīng)描述了具體的協(xié)議,但是本領(lǐng)域技術(shù)人員將意識到本文所公開的實施例可采用其它的協(xié)議和/或接口���。
[0039]現(xiàn)在參考圖4,示出了根據(jù)示例性實施例的用于驗證定制簽名的示范的方法����。方法400可實現(xiàn)在能夠通過處理器來執(zhí)行指令的計算設(shè)備或類似的電子設(shè)備上。在一些實施例中����,計算設(shè)備可以是作為分布式服務(wù)器網(wǎng)絡(luò)的部分的一個或多個服務(wù)器。在方法400由多于一個的服務(wù)器實現(xiàn)的實例中�����,構(gòu)成方法400的不同操作的實施可由作為分布式網(wǎng)絡(luò)的部分的不同服務(wù)器來執(zhí)行��。此外�,執(zhí)行根據(jù)實施例的方法400的分布式網(wǎng)絡(luò)上的服務(wù)器可被配置為響應(yīng)于對于簽名驗證的客戶端請求來訪問分布式網(wǎng)絡(luò)中的租戶存儲上的證書集合��。
[0040 ]方法400開始于接收操作40 2��。作為分布式網(wǎng)絡(luò)的部分的服務(wù)器接收來自客戶端的對于驗證簽署證書(本文還稱為定制簽名����、簽名或證書)的請求�。客戶端可以響應(yīng)于接收到來自用戶的消息或數(shù)據(jù)而將請求發(fā)送給服務(wù)器����。在一些實施例中,由客戶端接收到的數(shù)據(jù)是電子郵件消息�����、即時消息或日歷邀請���。在其它實施例中�,客戶端接收到的數(shù)據(jù)可以是視頻����、文檔、圖像�、電子表格或任何其它類型的數(shù)據(jù)文件�。在實施例中��,客戶端接收到的數(shù)據(jù)包括表明該數(shù)據(jù)是從特定租戶的特定用戶發(fā)送給客戶端的的簽署證書或簽名���。
[0041]在接收到請求后��,流程繼續(xù)到標(biāo)識操作404�。在標(biāo)識操作404中���,租戶從與分布式網(wǎng)絡(luò)相關(guān)聯(lián)的多個租戶中被標(biāo)識�。所標(biāo)識的租戶可以與被表明為消息或數(shù)據(jù)的發(fā)送者的用戶相關(guān)聯(lián)�。在一些實施例中�,多個租戶可以包括每個與分布式網(wǎng)絡(luò)相關(guān)聯(lián)的租戶或者與分布式網(wǎng)絡(luò)相關(guān)聯(lián)的租戶子集。服務(wù)器可以使用租戶標(biāo)識符����、用戶標(biāo)識符或與客戶端發(fā)送的請求或者客戶端接收到的消息/數(shù)據(jù)相關(guān)聯(lián)的任何其它類型的標(biāo)識符來標(biāo)識租戶。
[0042]接著�,流程繼續(xù)到訪問操作406。在訪問操作406中�����,訪問來自分布式網(wǎng)絡(luò)上的標(biāo)識租戶的租戶存儲中的租戶證書集合。在一些實施例中��,訪問操作406包括請求訪問證書集合和/或標(biāo)識的租戶存儲���。在其它實施例中�,訪問操作406可以包括直接從標(biāo)識的租戶存儲讀取證書集合����。在一些實施例中,證書集合是保存在租戶存儲上的文件����。在實施例中,租戶存儲可以是作為分布式網(wǎng)絡(luò)的部分的隔離的數(shù)據(jù)存儲�����。在這樣的實施例中�����,數(shù)據(jù)存儲被隔離���,從而使得僅租戶具有對數(shù)據(jù)存儲的讀和/或?qū)懺L問權(quán)�。在實施例中,證書集合可以通過租戶管理員上傳且保存到租戶存儲中�����。租戶存儲可用于存儲租戶數(shù)據(jù)和租戶配置信息����。如上所述,保存在分布式網(wǎng)絡(luò)上的租戶存儲上的信息是與其它租戶隔離且分開的���。包含證書集合的租戶存儲上的信息不能由分布式網(wǎng)絡(luò)上的其它租戶���、用戶和/或客戶端訪問,從而保持分布式系統(tǒng)的安全性���。在一些實施例中,包括證書集合的租戶存儲上的信息可能不是公共可用的�。
[0043]流程繼續(xù)到加載操作408。在加載操作408中�,證書集合被加載到虛擬存儲中。虛擬存儲可以位于執(zhí)行方法400的設(shè)備能夠訪問的存儲器中�����。在一些實施例中,證書集合被加載為虛擬存儲(本文還稱為文件或虛擬文件)�����。在一些實施例中���,虛擬存儲在虛擬存儲使用后被刪除�����。在其它實施例中����,在虛擬存儲使用后��,預(yù)定量的時間后或者特定事件發(fā)生之后��,刪除虛擬存儲��。
[0044]流程繼續(xù)到驗證決策操作410�����。在驗證決策操作410中,對是使用來自虛擬存儲的證書要求還是證書來驗證簽署證書作出判定����。在一些實施例中,在標(biāo)識出租戶的特定用戶(例如�,使用標(biāo)識符)之后,服務(wù)器從虛擬存儲上的證書集合訪問用戶的對應(yīng)的證書或要求��。在這些實施例中���,通過使用作為虛擬存儲保存在服務(wù)器上的證書集合內(nèi)列出的用戶的證書要求或證書����,作出來自用戶的簽署證書是否有效的判定����。在一些實施例中,簽署證書與證書要求進行比較以判定簽署證書是否有效���。如果簽署證書滿足證書要求���,則簽署證書有效����。如果簽署證書不滿足證書要求�����,則簽署證書無效���。在其它實施例中,簽署證書與來自證書集合的用戶證書進行比較�����。在這些實施例中����,如果簽署證書與來自證書集合的用戶證書相同,則簽署證書有效�。在這些實施例中,如果簽署證書與來自證書集合的用戶證書不同���,則簽署證書無效����。如果在操作410期間作出簽署證書無效的判定�����,則流程進入“否”分支到操作412。如果在操作410期間作出簽署證書有效的判定��,則流程進入“是”分支到操作414��。
[0045]在發(fā)送無效通知操作412時����,向客戶端發(fā)送通知,來自租戶的用戶的簽署證書無效��?���;谠撏ㄖ蛻舳吮桓嬷?���,以簽署證書接收到的數(shù)據(jù)不是從標(biāo)識的發(fā)送者(租戶的用戶)發(fā)送的。如果消息在通往客戶端的途中被修改或者如果針對用戶的證書要求不再存在��,則會發(fā)現(xiàn)簽名或簽署證書是無效的(例如����,當(dāng)雇員離開公司時電子郵件地址被無效)��。在又一實施例中,證書撤銷列表(CRL)可表明證書是無效的�。本領(lǐng)域技術(shù)人員理解,存在若干其它會發(fā)現(xiàn)簽署證書無效的原因��。
[0046]在發(fā)送有效通知操作414時���,向客戶端發(fā)送通知��,來自租戶的用戶的簽署證書是有效的�����。因此�,客戶端被告知�,以簽署證書接收到的數(shù)據(jù)是從標(biāo)識的發(fā)送者(租戶的用戶)發(fā)送的。
[0047]在替代的實施例中�����,執(zhí)行方法400的設(shè)備在方法400期間不執(zhí)行操作410�����、412和414,而是標(biāo)識來自虛擬存儲上的標(biāo)識租戶的證書集合的����、與標(biāo)識租戶的用戶對應(yīng)的證書要求或證書,并且將用戶的要求或證書發(fā)送給請求驗證的客戶端��。在該實施例中��,客戶端使用要求或證書來判定簽署證書是否有效�����。在一些實施例中���,如果用戶的證書要求或證書能夠用于驗證用戶的簽署證書�,則客戶端判定來自標(biāo)識租戶的用戶的簽署證書是有效的�,而如果用戶的證書或證書要求不能驗證用戶的簽署證書,則判定來自標(biāo)識租戶的用戶的簽署證書是無效的�。
[0048]在替代實施例中,執(zhí)行方法400的設(shè)備在方法400期間不執(zhí)行操作410���、412和414�,而是將包含標(biāo)識租戶的證書集合的虛擬存儲發(fā)送給請求驗證的客戶端���。在這些實施例期間�,客戶端使用來自虛擬存儲的證書集合來判定簽署證書是否有效?�?蛻舳丝梢詷?biāo)識來自證書集合中的證書要求列表的用戶證書要求����,并且使用用戶的證書要求來判定用戶的簽署證書是否有效����。在一些實施例中,如果用戶的簽署證書滿足用戶的證書要求���,則客戶端判定來自標(biāo)識租戶的用戶的簽署證書是有效的���,而如果用戶的簽署證書不滿足用戶的證書要求,則判定來自標(biāo)識租戶的用戶的簽署證書是無效的����。
[0049]雖然方法400針對從第一租戶接收單個簽署證書,但是方法400可以用來同時地�、在重疊時間或者在交錯的時間處理針對多個不同租戶(例如,第一租戶���、第二租戶��、第三租戶�、第四租戶、第五租戶���,…以及第η租戶)的多個不同客戶端(例如�����,第一客戶端����、第二客戶端�����、第三客戶端�����、第四客戶端�����、第五客戶端,…以及第η客戶端)的多個不同的簽署簽名���,每個租戶具有他們自己的租戶存儲(第一租戶存儲�����、第二租戶存儲�、第三租戶存儲���、第四租戶存儲、第五租戶存儲�,…以及第η租戶存儲)。此外���,方法400可同時地�、在重疊時間或者在交錯的時間由分布式網(wǎng)絡(luò)內(nèi)的多個設(shè)備(第一服務(wù)器���、第二服務(wù)器�����、第三服務(wù)器��、第四服務(wù)器�、第五服務(wù)器,…以及第η服務(wù)器)針對一個或多個客戶端來執(zhí)行�����。
[0050]現(xiàn)在參考圖5�,示出根據(jù)示例性實施例的用于驗證簽名的示例性的方法。方法500可實現(xiàn)在能夠通過處理器來執(zhí)行指令的計算設(shè)備或類似的電子設(shè)備上��。在一些實施例中����,計算設(shè)備可以是作為分布式服務(wù)器網(wǎng)絡(luò)的部分的一個或多個服務(wù)器。在方法500由多于一個服務(wù)器實現(xiàn)的實例中���,構(gòu)成方法400的不同操作的執(zhí)行可通過作為分布式網(wǎng)絡(luò)的部分的不同服務(wù)器來執(zhí)行���。此外,根據(jù)實施例執(zhí)行方法500的分布式網(wǎng)絡(luò)上的服務(wù)器可被配置為響應(yīng)于驗證數(shù)據(jù)的客戶端請求或者簽名驗證的客戶端請求而訪問分布式網(wǎng)絡(luò)中的租戶存儲上的證書集合�。在另外的實施例中,方法500可根據(jù)S/MHffi協(xié)議來執(zhí)行;然而���,本領(lǐng)域技術(shù)人員將理解�����,方法500可采用其它協(xié)議�����。除了方法500與接收針對兩個不同簽署證書的兩個單獨的驗證請求有關(guān)之外��,方法500類似于方法400��。
[0051 ]方法500開始于接收操作502�。接收操作502類似于方法400的接收操作402。在接收操作502中�,從客戶端接收對驗證第一簽署證書(本文還稱為定制簽名��、簽名�����、或證書)的請求����。客戶端可以響應(yīng)于從用戶接收到消息或數(shù)據(jù)而發(fā)送請求給服務(wù)器。在一些實施例中�����,由客戶端接收到的數(shù)據(jù)是電子郵件消息�����、即時消息或日歷邀請�。在其它實施例中,由客戶端接收到的數(shù)據(jù)可以是視頻���、文檔�、圖像��、電子表格或任何其它類型的數(shù)據(jù)文件����。在實施例中,由客戶端接收到的數(shù)據(jù)包括表明該數(shù)據(jù)是從特定租戶的特定用戶發(fā)送給客戶端的的第一簽署證書或第一簽名���。
[0052]在接收到請求之后�����,流程繼續(xù)到標(biāo)識操作504��。操作502類似于方法400的操作404�。在標(biāo)識操作504中,從與分布式網(wǎng)絡(luò)相關(guān)聯(lián)的多個租戶中標(biāo)識出租戶�����。標(biāo)識的租戶可與表明作為消息或數(shù)據(jù)的發(fā)送者的用戶相關(guān)聯(lián)���。在一些實施例中�,多個租戶可包括每個與分布式網(wǎng)絡(luò)相關(guān)聯(lián)的租戶或者與分布式網(wǎng)絡(luò)相關(guān)聯(lián)的租戶子集�����。服務(wù)器可以使用租戶標(biāo)識符�����、用戶標(biāo)識符或與客戶端發(fā)送的請求或者客戶端接收到的消息/數(shù)據(jù)相關(guān)聯(lián)的任何其它類型的標(biāo)識符來標(biāo)識租戶�����。
[0053]接著���,流程繼續(xù)到訪問操作506ο操作506類似于方法400的操作406����。在訪問操作506中�,訪問來自分布式網(wǎng)絡(luò)上的標(biāo)識租戶的租戶存儲中的租戶證書集合。在一些實施例中�,訪問操作506包括請求訪問證書集合和/或標(biāo)識租戶存儲。在其它實施例中����,訪問操作506可包括直接地從標(biāo)識租戶存儲讀取證書集合。在實施例中�����,租戶存儲可以是作為分布式網(wǎng)絡(luò)的部分的隔離的數(shù)據(jù)存儲����。在這樣的實施例中,數(shù)據(jù)存儲被隔離���,從而使得僅租戶具有對數(shù)據(jù)存儲讀和/或?qū)懺L問權(quán)�����。在實施例中���,證書集合可以通過租戶管理員上傳和保存到租戶存儲中��。租戶存儲可用來存儲租戶組織數(shù)據(jù)和租戶配置信息����。如上所述�,保存在分布式網(wǎng)絡(luò)上的租戶存儲上的信息是與其它租戶隔離和分開的。包括證書集合的租戶存儲上的信息不能被分布式網(wǎng)絡(luò)上的其它租戶�、用戶和/或客戶端訪問,從而維護分布式系統(tǒng)的安全性�。在一些實施例中,包括證書集合的租戶存儲上的信息可能不是公共可用的或者可以是公共可用的���。
[0054]流程繼續(xù)到加載操作508�。操作508類似于方法400的操作408���。在加載操作508中���,證書集合加載到虛擬存儲中�����。虛擬存儲可以位于執(zhí)行方法500的設(shè)備具有訪問權(quán)的存儲器中。在一些實施例中��,虛擬存儲在使用后刪除虛擬存儲����。在其它實施例中,在虛擬存儲使用后����,預(yù)定量的時間后或者特定事件發(fā)生之后,刪除虛擬存儲����。例如,在一些實施例中����,當(dāng)在虛擬存儲使用后,接收到針對第二簽署證書進行驗證的請求時�,刪除虛擬存儲。在另一示例中��,在一些實施例中��,在虛擬存儲使用后30毫秒、2秒���、3秒�、42秒���、1.5分鐘�、4分鐘�����、6分鐘���、12分鐘�����、40分鐘����、45分鐘����、1.5小時�����、3小時、4小時����、6小時、9小時或2天���,刪除虛擬存儲�����。
[0055]流程繼續(xù)到驗證操作510��。操作510類似于方法400的驗證決策操作410���。在驗證操作510中,利用來自標(biāo)識租戶虛擬存儲的證書要求或證書來驗證第一簽署證書����。在一些實施例中,在標(biāo)識租戶的特定用戶(例如�,使用標(biāo)識符)之后�,服務(wù)器訪問來自虛擬存儲上的證書集合的用戶對應(yīng)的證書要求或證書���。在這些實施例中���,通過使用在保存于服務(wù)器上的證書集合內(nèi)列出的用戶的證書要求或證書作為虛擬存儲,作出來自用戶的第一簽署證書是否有效的判定����。在一些實施例中,第一簽署證書與證書要求進行比較以判定第一簽署證書是否有效�。如果第一簽署證書滿足證書要求,則第一簽署證書有效����。如果第一簽署證書不滿足證書要求,則第一簽署證書無效�。在替代的實施例中,第一簽署證書與來自證書集合的用戶證書進行比較����。在這些實施例中,如果第一簽署證書與來自證書集合的用戶證書相同��,則第一簽署證書有效。在這些實施例中�,如果第一簽署證書與來自證書集合的用戶證書不同,則簽署證書無效���。如果在操作510期間作出第一簽署證書無效的判定�,則對無效的第一簽署證書的通知被發(fā)送給客戶端����。如果在操作510期間作出第一簽署證書有效的判定��,則對有效的第一簽署證書的通知被發(fā)送給客戶端��。
[0056]在替代的實施例中�,分布式網(wǎng)絡(luò)上的服務(wù)器不在方法500的操作510期間判定第一簽署證書的有效性,而是在操作510期間標(biāo)識與來自虛擬存儲上的標(biāo)識租戶的證書集合的標(biāo)識租戶的用戶對應(yīng)的證書要求或證書��,并且將來自虛擬存儲的用戶要求或證書發(fā)送給請求驗證的客戶端����。在該實施例中,客戶端使用要求或證書來判定第一簽署證書是否有效��。在一些實施例中�����,如果第一簽署證書滿足證書要求,則客戶端判定來自標(biāo)識租戶的用戶的第一簽署證書是有效的�,而如果用戶的簽署證書不滿足用戶的證書要求,則判定來自標(biāo)識租戶的用戶的第一簽署證書無效�����。
[0057]在另一實施例中�����,分布式網(wǎng)絡(luò)上的服務(wù)器在方法500的操作510中不判定第一簽署證書的有效性���,而是在操作510期間將包含標(biāo)識租戶的證書集合的虛擬存儲發(fā)送給請求驗證的客戶端��。在這些實施例期間��,客戶端使用證書集合來判定第一簽署證書是否有效�??蛻舳丝梢詷?biāo)識來自證書集合中的證書或要求的列表的用戶證書要求或證書,并且使用該用戶的要求或證書來判定用戶的簽署證書是否有效��。在一些實施例中�����,如果用戶的簽署證書滿足用戶的證書要求,則客戶端判定來自標(biāo)識租戶的用戶的第一簽署證書有效��,而如果簽署證書不滿足用戶的證書要求�����,則判定來自標(biāo)識租戶的用戶的第一簽署證書是無效的����。
[°°58]流程繼續(xù)到第二接收操作52����。第二接收操作512類似于接收操作502,因為��,在操作512期間���,接收用于驗證第二簽署證書的第二請求�����。第二請求可由作出第一請求的同一客戶端作出或者可由不同于作出第一請求的客戶端的客戶端來作出��。在一些實施例中��,由客戶端以第二簽署證書接收到的數(shù)據(jù)是電子郵件消息��、即時消息或日歷邀請���。在其它實施例中���,由客戶端接收到的數(shù)據(jù)可以視頻、文檔�、圖像、電子表格或任何類型的數(shù)據(jù)文件��。此列舉僅是示例性的�����,而不是限制性的����。在實施例中,由客戶端接收到的數(shù)據(jù)包括表明數(shù)據(jù)是從特定租戶的特定用戶發(fā)送給客戶端的的第二簽署證書�。
[0059]在接收到請求之后,流程繼續(xù)到標(biāo)識操作514�。操作514類似于操作504���。在標(biāo)識操作5 O 4中,從與分布式網(wǎng)絡(luò)相關(guān)聯(lián)的多個租戶中標(biāo)識出租戶�。標(biāo)識的租戶可以與被表明為消息或數(shù)據(jù)的發(fā)送者的用戶相關(guān)聯(lián)。服務(wù)器可以通過使用租戶標(biāo)識符�����、用戶標(biāo)識符或者與客戶端發(fā)送的請求或者客戶端接收到的消息/數(shù)據(jù)相關(guān)聯(lián)的任何其它類型的標(biāo)識符來標(biāo)識租戶�。
[0060]流程繼續(xù)到比較判定操作516。在比較判定操作516中���,作出針對第二簽署證書的標(biāo)識租戶是否與針對第一簽署證書的標(biāo)識租戶相同的判定��。在比較判定操作516中,通過將兩個租戶相互比較來作出用于第一和第二簽署證書的租戶是否相同的判定���。如果作出租戶相同的判定����,則流程進入“是”分支到操作524���。如果在操作516期間作出針對第一簽署證書的標(biāo)識租戶不同于針對第二簽署證書的標(biāo)識租戶���,且是新的租戶的判定����,則流程進入“否”分支到操作516����。
[0061]在存儲判定操作524中,作出用于標(biāo)識租戶的虛擬存儲是否仍存儲在服務(wù)器上的判定�。在存儲判定操作524中,作出用于標(biāo)識租戶的虛擬存儲在存儲器中是否仍可訪問的判定��。如果作出虛擬存儲仍存儲或以其它方式可訪問的判定���,則流程進入“是”分支到操作510且流程從那繼續(xù)�����。如果在操作524期間作出虛擬存儲仍未存儲或不可訪問的判定����,則流程進入“否”分支到操作506且流程從那繼續(xù)����。
[0062]在新的訪問操作518中�,訪問來自新租戶的租戶存儲的新租戶的證書集合����。新的租戶是不同于在操作506中標(biāo)識的租戶的在操作514中標(biāo)識的租戶。在一些實施例中�,新的訪問操作518包括請求訪問證書集合和/或新的租戶存儲。在其它實施例中����,訪問操作506可以包括直接從新的租戶存儲讀取證書集合。在一些實施例中�,證書集合是存儲在新的租戶存儲上的文件。在實施例中���,新的租戶存儲可以是作為分布式網(wǎng)絡(luò)的部分的隔離數(shù)據(jù)存儲����。在這樣的實施例中�,數(shù)據(jù)存儲被隔離���,從而使得僅租戶對數(shù)據(jù)存儲具有讀和/或?qū)懺L問權(quán)���。在實施例中�����,證書集合可以通過由新租戶管理員上傳且保存到新租戶存儲���。新租戶存儲可用于存儲新租戶數(shù)據(jù)和新租戶配置信息。如上所述��,保存在分布式網(wǎng)絡(luò)上的新租戶存儲上的信息與其它租戶隔離且分開�����。包括證書集合的新租戶存儲上的信息不能被分布式網(wǎng)絡(luò)上的其它租戶���、用戶和/或客戶端訪問�,從而保持分布式系統(tǒng)的安全性��。在一些實施例中����,包括證書集合的新租戶存儲上的信息可不是公共可用的。
[0063]流程繼續(xù)到新的加載操作520����。操作520類似于操作508�����。在新的加載操作520中��,新的證書集合加載到虛擬存儲中�����。在一些實施例中�,服務(wù)器將新證書作為新的虛擬存儲加載�����。虛擬存儲可位于執(zhí)行方法500的設(shè)備能夠訪問的存儲器中��。在一些實施例中�,在服務(wù)器使用虛擬存儲后,服務(wù)器刪除新的虛擬存儲���。在其它實施例中����,在新虛擬存儲使用后預(yù)定量時間后或者在新虛擬存儲使用后特定事件發(fā)生后����,刪除新的虛擬存儲。例如��,在一些實施例中�,當(dāng)在虛擬存儲使用后接收到針對第三簽署證書的驗證請求時,刪除新的虛擬存儲���。在另一示例中����,在一些實施例中��,在虛擬存儲使用后的10毫秒����、8秒、9秒���、12秒����、3分鐘、8分鐘����、9分鐘、35分鐘���、50分鐘����、55分鐘��、7小時�、8小時、11小時�、12小時、16小時或3天刪除第二虛擬存儲����。
[0064]流程繼續(xù)到新的驗證操作522。操作522類似于驗證操作510�。在新的驗證操作522中,利用來自虛擬存儲的證書要求或證書來作出第二簽署證書是否有效的判定�����。在一些實施例中,在標(biāo)識租戶的特定用戶(例如���,使用標(biāo)識符)之后,訪問來自新的虛擬存儲上的證書集合的用戶的對應(yīng)的證書或證書要求���。在這些實施例中��,通過使用在保存在服務(wù)器上作為新的虛擬存儲的新的證書集合內(nèi)列出的用戶的證書要求或證書��,作出來自用戶的第二簽署證書是否有效的判定���。在這些實施例中,服務(wù)器使用來自新的證書集合的用戶的證書要求或證書來驗證第二簽署證書����。如果在操作522期間作出第二簽署證書無效的判定,則對無效的第二簽署證書的通知被發(fā)送給發(fā)送了第二簽名證書驗證請求的客戶端�。如果在操作522期間作出第二簽署證書有效的判定,則對有效的第二簽署證書的通知被發(fā)送給發(fā)送了第二簽名證書驗證請求的客戶端�����。
[0065]在可選實施例中�����,執(zhí)行方法500的設(shè)備不在方法500的操作522期間判定第二簽署證書的有效性,而是在操作522期間標(biāo)識與來自虛擬存儲上的新租戶的證書集合中的的新租戶的用戶對應(yīng)的證書要求或證書�����,并且將用戶的證書要求或證書發(fā)送給請求驗證第二簽署證書的客戶端�。在該實施例中,客戶端使用接收到的證書要求或證書來判定第二簽署證書是否有效�����。在一些實施例中�����,如果用戶的證書與用戶的第二簽署證書相同�����,則客戶端判定來自新租戶的用戶的第二簽署證書是有效的��,而如果用戶的證書與用戶的第二簽署證書不同��,則判定來自新租戶的用戶的簽署證書無效����。
[0066]在替代的實施例中����,執(zhí)行方法500的設(shè)備在方法500的操作522期間不判定第二簽署證書的有效性�����,而是在操作522期間將包含新租戶證書集合的虛擬存儲發(fā)送給請求驗證的客戶端�����。在這些實施例中�,客戶端使用從虛擬存儲接收到的新證書集合來判定第二簽署證書是否有效���?���?蛻舳丝梢詷?biāo)識來自證書集合中的列表的用戶證書要求或證書��,并且使用用戶的證書要求或證書來判定用戶的簽署證書是否有效����。在一些實施例中�,如果用戶的簽署證書滿足用戶的證書要求���,則客戶端判定來自新租戶的用戶的第二簽署證書是有效的���,而如果用戶的簽署證書不滿足用戶的證書要求,則判定來自新租戶的用戶的第二簽署證書無效�����。
[0067]雖然方法500針對接收兩個簽署證書��,但是方法500可用于同時地�����、在重疊的時間和/或在交錯的時間處理多個設(shè)備(例如�����,第一租戶�����、第二租戶����、第三租戶��、第四租戶����、第五租戶�����,…第η租戶)的多個不同的客戶端(例如����,第一客戶端�、第二客戶端、第三客戶端�����、第四客戶端����、第五客戶端,…第η客戶端)的多個不同的簽署的簽名����。此外��,方法500可同時地���、在重疊的時間和/或在交錯的時間由分布式網(wǎng)絡(luò)內(nèi)的多個不同的服務(wù)器(第一服務(wù)器、第二服務(wù)器�、第三服務(wù)器、第四服務(wù)器�、第五服務(wù)器,…第η服務(wù)器)針對一個或多個客戶端的來執(zhí)行�����。
[0068]圖6-9以及相關(guān)的說明提供了可實踐本公開內(nèi)容實施例的各種操作環(huán)境的論述�����。然而��,參考圖6-9所示出和論述的設(shè)備和系統(tǒng)是為了示例和說明的目的�,不是限制可用于實踐本文所述的公開內(nèi)容的實施例的眾多計算設(shè)備配置。
[0069]圖6是示出可實踐本公開實施例的計算設(shè)備600的物理部件(例如�,硬件)的框圖。下文描述的計算設(shè)備部件可以是用于例如客戶端的電子郵件應(yīng)用613的計算機可執(zhí)行指令和/或用于例如服務(wù)器的驗證模塊611的計算機可執(zhí)行指令,這些計算機可執(zhí)行指令能夠被執(zhí)行以采用本文所公開的方法400和500�。在基本配置中,計算設(shè)備600可以包括至少一個處理單元602以及系統(tǒng)存儲器604��。根據(jù)計算設(shè)備的配置和類型�����,系統(tǒng)存儲器604可包括但不限于易失性存儲(例如�,隨機存取存儲器)、非易失性存儲器(例如��,只讀存儲器)�����、閃速存儲器或這些存儲器的任意組合����。系統(tǒng)存儲器604可包括操作系統(tǒng)605以及適合于運行軟件應(yīng)用620的一個或多個程序模塊606��,諸如結(jié)合圖2-3在整個斷開連接時間段維持會話���,以及尤其是電子郵件應(yīng)用613或驗證模塊611��。操作系統(tǒng)605例如可以適合于控制計算設(shè)備600的操作����。此外,公開內(nèi)容的實施例可與圖形庫����、其它操作系統(tǒng)或任何其它應(yīng)用程序相結(jié)合來實現(xiàn),而不限于任何特定的應(yīng)用或系統(tǒng)��。該基本配置由虛線608內(nèi)的那些部件圖示在圖6中�。計算設(shè)備600可具有額外的特征或功能。例如�,計算設(shè)備600還可以包括附加的數(shù)據(jù)存儲設(shè)備(可移除的和/或非可移除的),諸如例如磁盤���、光盤或磁帶��。該額外的存儲通過可移除存儲設(shè)備609和非可移除存儲設(shè)備610圖不在圖6中��。
[0070]如上所述�,多個程序模塊和數(shù)據(jù)文件可存儲在系統(tǒng)存儲器604內(nèi)��。在處理單元602上執(zhí)行的同時�,程序模塊606(例如�����,驗證模塊611或電子郵件應(yīng)用)可以執(zhí)行處理���,包括但不限于如本文所述的實施例。根據(jù)本公開內(nèi)容的實施例可使用的以及尤其是用來生成屏幕內(nèi)容的其它程序模塊可包括電子郵件和通訊錄應(yīng)用����,文字處理應(yīng)用,電子表格應(yīng)用���,數(shù)據(jù)庫應(yīng)用��,幻燈片演示應(yīng)用�,繪圖����,消息傳遞應(yīng)用,和/或計算機輔助應(yīng)用程序��,等等�����。
[0071]此外����,本公開內(nèi)容的實施例可以實現(xiàn)于包括離散電子元件的電路、包含邏輯門的封裝或集成電子芯片��、使用微處理器的電路或包含電子元件或微處理器的單個芯片上�。例如,公開的實施例可以經(jīng)由片上系統(tǒng)(SOC)來實現(xiàn)���,其中圖6所示的每一個或多個部件可以集成到單個集成電路上���。上述SOC設(shè)備可包括一個或多個處理單元、圖形單元�����、通信單元���、系統(tǒng)虛擬化單元和各種應(yīng)用功能����,全部都集成(或者“燒”)到芯片基板上作為單個集成電路�。當(dāng)經(jīng)由SOC操作時��,本文所述的關(guān)于客戶端轉(zhuǎn)換協(xié)議的能力的功能可經(jīng)由與單個集成電路(芯片)上的計算設(shè)備600的其它部件集成的專用邏輯單元來操作�。本公開內(nèi)容的實施例還可以利用其它能夠執(zhí)行諸如例如與(AND)����、或(OR)和非(NOT)的邏輯運算的技術(shù)來實現(xiàn),包括但不限于機械��、光學(xué)�����、流體和量子技術(shù)��。另外����,本公開內(nèi)容的實施例可在通用計算機或任何其它電路或系統(tǒng)內(nèi)實現(xiàn)。
[0072]計算設(shè)備600還可以具有一個或多個輸入設(shè)備612����,諸如鍵盤、鼠標(biāo)��、筆�����、聲音或語音輸入設(shè)備�、觸摸或擺動輸入設(shè)備等?����?砂T如顯示器���、揚聲器�、打印機等的輸出設(shè)備614��。上述設(shè)備是示例�,可以使用其它設(shè)備。計算設(shè)備600可包括允許與其它計算設(shè)備618通信的一個或多個通信連接616����。適合的通信連接616的示例包括但不限于RF發(fā)射器、接收器和/或收發(fā)機電路系統(tǒng)��、通用串行總線(USB)����、并行和/或串行端口���。
[0073]本文所使用的術(shù)語計算機可讀介質(zhì)可以包括計算機存儲介質(zhì)。計算機存儲介質(zhì)可包括易失性和非易失性的��、可移除的和非可移除的介質(zhì)���,它們以用于存儲諸如計算機可讀指令�、數(shù)據(jù)結(jié)構(gòu)或程序模塊的信息的任何方法或技術(shù)來實現(xiàn)��。系統(tǒng)存儲器604�����、可移除存儲設(shè)備609以及非可移除存儲設(shè)備610都是計算機存儲介質(zhì)示例(例如�����,存儲器存儲)�����。計算機存儲介質(zhì)可包括RAM�����、ROM、電可擦除只讀存儲器(EEPROM)�����、閃速存儲器或其它存儲器技術(shù)����、CD-ROM��、數(shù)字多功能盤(DVD)或其它光學(xué)存儲��、磁盒�����、磁帶�����、磁盤存儲或其它磁存儲設(shè)備���、或者任何其它能夠用來存儲信息且能夠由計算設(shè)備600訪問的制品�。任何這樣的計算機存儲介質(zhì)可以是計算設(shè)備600的部分��。計算機存儲介質(zhì)不包括載波或其它傳播或調(diào)制的數(shù)據(jù)信號。
[0074]通信介質(zhì)可通過計算機可讀指令�、數(shù)據(jù)結(jié)構(gòu)、程序模塊或者調(diào)制數(shù)據(jù)信號中的其它數(shù)據(jù)如載波或其它傳輸機制來代表�,并且包括任何信息輸送介質(zhì)。術(shù)語“調(diào)制數(shù)據(jù)信號”可以描述使其一個或多個特點以將信息編碼在信號中的方式進行設(shè)定或改變的信號�。通過示例的方式而不是限制,通信介質(zhì)可包括諸如有線網(wǎng)或直接接線連接的有線介質(zhì)以及諸如聲波���、射頻(RF)��、紅外和其它無線介質(zhì)的無線介質(zhì)�����。
[0075]圖7A和7B示出了可實踐本公開內(nèi)容的實施例的移動計算設(shè)備700���,例如,移動電話��、智能手機���、可佩戴計算機(諸如智能手表)�、平板式個人計算機、膝上型計算機等��。在一些實施例中�����,客戶端可以是移動計算設(shè)備�。參考圖7A,示出了用于實現(xiàn)實施例的移動計算設(shè)備700的一個實施例���。在基本配置中,移動計算設(shè)備700是具有輸入元件和輸出元件的手持式計算機���。移動計算設(shè)備700通常包括顯示器705以及一個或多個輸入按鈕710�����,允許用戶將信息輸入到移動計算設(shè)備700中���。移動計算設(shè)備700的顯示器705還可以用作輸入設(shè)備(例如,觸摸屏顯示器)�����。如果包含,可選的側(cè)面輸入元件715允許進一步的用戶輸入�����。側(cè)面輸入元件715可以是旋轉(zhuǎn)式開關(guān)�、按鈕或任何其它類型的手動輸入元件。在替代的實施例中�����,移動計算設(shè)備700可并入更多或更少的輸入元件�。例如,顯示器705在一些實施例中可以不是觸摸屏�����。在又另外的可選實施例中�����,移動計算設(shè)備700是便攜式電話系統(tǒng)�,諸如蜂窩電話。移動計算設(shè)備700還可以包括可選的鍵區(qū)735���?���?蛇x的鍵區(qū)735可以是物理鍵區(qū)或在觸摸屏顯示器上生成的“軟”鍵區(qū)。在各個實施例中�����,輸出元件包括用于顯示圖形用戶界面(GUI)的顯示器705�����、視覺指示器720(例如��,發(fā)光二極管)�、和/或音頻換能器725(例如���,揚聲器)�����。在一些實施例中����,移動計算設(shè)備700并入振動換能器�����,用于為用戶提供觸覺反饋。在又一實施例中���,移動計算設(shè)備700包含輸入和/或輸出端口���,諸如音頻輸入(例如,麥克風(fēng)插口)�、音頻輸出(例如,耳機插口)以及視頻輸出(例如����,HDMI端口),用于將信號發(fā)送給外部設(shè)備或者從外部設(shè)備接收信號�����。
[0076]圖7B是示出移動計算設(shè)備的一個實施例的架構(gòu)的框圖���。也即����,移動計算設(shè)備700可以包含實現(xiàn)一些實施例的系統(tǒng)(例如����,架構(gòu))702��。在一個實施例中����,系統(tǒng)702被實現(xiàn)為能夠運行一個或多個應(yīng)用(例如�,瀏覽器、電子郵件�、日歷、通訊錄管理器���、消息傳遞客戶端����、游戲和媒體客戶端/播放器)的“智能手機”���。在一些實施例中,系統(tǒng)702集成為計算設(shè)備�,諸如集成個人數(shù)字助理(PDA)和無線手機。
[0077]—個或多個應(yīng)用程序766可以加載到存儲器762中且運行于操作系統(tǒng)764上或者與操作系統(tǒng)764相關(guān)聯(lián)�。應(yīng)用程序的示例包括電話撥號程序、電子郵件程序����、個人信息管理(PM)程序��、文字處理程序��、電子表格程序�����、因特網(wǎng)瀏覽器程序���、消息傳遞程序等。系統(tǒng)702還包括在存儲器762內(nèi)的非易失性存儲區(qū)768�����。非易失性存儲區(qū)768可以用于存儲如果系統(tǒng)702掉電也不應(yīng)丟失的持久信息�����。應(yīng)用程序766可使用非易失性存儲器768中的信息�����,以及將信息存儲在非易失性存儲器768中���,例如電子郵件或由電子郵件應(yīng)用使用的其它消息��,等等�。同步應(yīng)用(未示出)也位于系統(tǒng)702上且被編程為與位于主機計算機上的對應(yīng)的同步應(yīng)用交互以保持存儲在非易失性存儲區(qū)768中的信息與存儲在主機計算機中的對應(yīng)信息同步。應(yīng)當(dāng)理解�,其它應(yīng)用可加載到存儲器762內(nèi)且運行于移動計算設(shè)備700上,包括如本文所述的在多租戶環(huán)境中驗證簽署證書的指令(例如�����,和/或可選驗證模塊611)����。
[0078]系統(tǒng)702具有電源770,其可以實現(xiàn)為一個或多個電池����。電源770可還包括外部電源,諸如AC適配器或為電池補電或再充電的電力對接托架����。
[0079]系統(tǒng)702還可以包括執(zhí)行發(fā)送和接收射頻通信功能的無線單元772。無線單元772利于系統(tǒng)702與“外界”之間經(jīng)由通信運營商或服務(wù)提供商的無線連接���。去往和來自無線單元772的傳輸是在操作系統(tǒng)764的控制下進行的����。換言之�����,由無線單元772接收到的通信可經(jīng)由操作系統(tǒng)764傳播給應(yīng)用程序766����,反之亦然。
[0080]視覺指示器720可用于提供視覺通知���,和/或音頻接口774可用于經(jīng)由音頻換能器725產(chǎn)生可聽的通知�。在圖示的實施例中��,視覺指示器720是發(fā)光二極管(LED)�,音頻換能器725是揚聲器。這些設(shè)備可直接與電源77耦合����,使得當(dāng)被激活時,即使處理器760和其它部件可能被關(guān)閉而節(jié)約電池電量�,這些設(shè)備仍在通知機制所規(guī)定的持續(xù)時間內(nèi)保持加電。LED可被編程以無限地保持接通,直到用戶采取措施來表明設(shè)備的加電狀況�。音頻接口 774用于提供可聽信號給用戶以及從用戶接收可聽信號。例如�����,除了與音頻換能器725耦合之外���,音頻接口 774還可以與麥克風(fēng)耦合以接收可聽輸入��,諸如利于電話對話��。根據(jù)本公開內(nèi)容的實施例��,麥克風(fēng)還可以作為促進對通知的控制的音頻傳感器�����,如下文將要說明的�。系統(tǒng)702可還包括視頻接口 776���,其使得板上照相機730的操作能夠記錄靜像�����、視頻流等�。
[0081]實現(xiàn)系統(tǒng)702的移動計算設(shè)備700可具有額外的特征或功能����。例如,移動計算設(shè)備700還可以包括額外的數(shù)據(jù)存儲設(shè)備(可移除和/或非可移除)��,諸如例如磁盤���、光盤或磁帶���。這樣的額外的存儲由非易失性存儲區(qū)768圖示在圖7B中。
[0082]由移動計算設(shè)備700生成或捕獲以及經(jīng)由系統(tǒng)702存儲的數(shù)據(jù)/信息可本地地存儲在移動計算設(shè)備700上���,如上所述����,或者數(shù)據(jù)可以存儲在可通過設(shè)備經(jīng)由無線單元772訪問或者經(jīng)由移動計算設(shè)備700與關(guān)聯(lián)移動計算設(shè)備700的例如諸如因特網(wǎng)的分布式計算網(wǎng)絡(luò)中的服務(wù)器計算機的單獨的計算設(shè)備之間的有線連接范圍的任意數(shù)量的存儲介質(zhì)上�。應(yīng)當(dāng)理解,這樣的數(shù)據(jù)/信息可經(jīng)由移動計算設(shè)備700通過無線單元772或者經(jīng)由分布式計算網(wǎng)絡(luò)來訪問�����。類似地,這樣的數(shù)據(jù)/信息可根據(jù)公知的數(shù)據(jù)/信息傳遞和存儲手段�����,包括電子郵件和協(xié)作數(shù)據(jù)/信息共享系統(tǒng)����,容易地在計算設(shè)備之間傳遞以用于存儲和使用。
[0083]圖8示出了用于處理在諸如如上所述的計算設(shè)備804�、平板設(shè)備806或移動設(shè)備808的計算系統(tǒng)從遠程源接收到的數(shù)據(jù)的系統(tǒng)的架構(gòu)的一個實施例。顯示在服務(wù)器設(shè)備802上的內(nèi)容可存儲在不同的通信信道或其它存儲類型中���。例如���,各種文檔可以使用目錄服務(wù)822、網(wǎng)絡(luò)門戶824��、郵箱服務(wù)826����、即時消息傳遞存儲828或社交網(wǎng)站830來存儲。電子郵件應(yīng)用613(或生產(chǎn)應(yīng)用等)可由發(fā)送驗證簽署證書的請求到服務(wù)器802的客戶端來采用���。服務(wù)器802可以采用驗證模塊611來執(zhí)行方法400和/或500�,如上所述。在服務(wù)器802執(zhí)行方法400和/或500的過程中�,服務(wù)器可以訪問存儲在存儲816內(nèi)的證書集合832。通過示例的方式��,客戶端計算設(shè)備可以具體實施在個人計算機804�����、平板計算設(shè)備806和/或移動計算設(shè)備808(例如��,智能手機)中��。除了接收能夠用于在圖形源始系統(tǒng)處預(yù)處理的或者在接收計算系統(tǒng)中后處理的圖形數(shù)據(jù)之外���,計算設(shè)備的這些實施例中的任意實施例可以從存儲816獲得內(nèi)容。
[0084]例如本公開內(nèi)容的實施例在上文是參考根據(jù)本公開實施例的方法�、系統(tǒng)和計算機程序產(chǎn)品的框圖和/或操作示例來描述的。在框中剃刀的功能/動作可以不按任何流程圖中所示的順序而發(fā)生�����。例如����,連續(xù)顯示的兩個框?qū)嶋H上可以基本同時執(zhí)行��,或者有時框可以相反的順序來執(zhí)行��,取決于所涉及到的功能/動作�。
[0085]在本申請中提供的一個或多個實施例的說明和圖示不意在以任何方式限制或限定如權(quán)利要求的本公開的范圍����。在本申請中提供的實施例、示例和細節(jié)被認(rèn)為足以傳達占有且使得其它人能夠?qū)崿F(xiàn)和使用權(quán)利要求公開的最佳方式�����。權(quán)利要求的公開內(nèi)容不應(yīng)解釋為局限于本申請中提供的任何實施例�、示例或細節(jié)。無論在組合地還是單獨地顯示和描述�����,各特征(結(jié)構(gòu)以及方法的)意在選擇性地被包含或省略以產(chǎn)生具有特定特征集合的實施例���。已經(jīng)提供了本申請的描述和圖示�,本領(lǐng)域技術(shù)人員可構(gòu)思落入本申請中具體體現(xiàn)的總的發(fā)明構(gòu)思的較寬方面的精神內(nèi)而沒有偏離權(quán)利要求公開內(nèi)容的較寬范圍的變型例���、修改和替代的實施例��。
【主權(quán)項】
1.一種用于驗證定制簽名的方法�����,所述方法包括: 在分布式網(wǎng)絡(luò)中的第一服務(wù)器處��,接收來自第一客戶端的�、對于驗證第一簽署證書的第一請求; 從多個租戶中標(biāo)識與所述第一簽署證書有關(guān)的第一租戶�����; 從所述分布式網(wǎng)絡(luò)上的第一租戶存儲中訪問第一租戶證書集合�; 在所述第一服務(wù)器上��,將所述第一租戶證書集合作為第一租戶虛擬存儲來加載����;以及 使用所述第一租戶虛擬存儲來執(zhí)行對所述第一簽署證書的驗證。2.如權(quán)利要求1所述的方法�,其中,所述使用所述第一租戶虛擬存儲來執(zhí)行對所述第一簽署證書的驗證還包括: 確定所述第一簽署證書是有效的���;以及 將對所述第一簽署證書的驗證發(fā)送給所述第一客戶端�����。3.如權(quán)利要求1所述的方法�,其中,所述使用所述第一租戶虛擬存儲來執(zhí)行對所述第一簽署證書的驗證還包括: 確定所述第一簽署證書是無效的����;以及 向所述第一客戶端發(fā)送所述第一簽署證書無效的通知。4.如權(quán)利要求1所述的方法��,還包括: 在所述分布式網(wǎng)絡(luò)中的所述第一服務(wù)器處�,接收來自第二客戶端的、對于驗證第二簽署證書的第二請求���; 從所述多個租戶中標(biāo)識與所述第二簽署證書有關(guān)的第二租戶�����; 從所述分布式網(wǎng)絡(luò)上的第二租戶存儲中訪問第二租戶證書集合���; 在所述第一服務(wù)器上,將所述第二租戶證書集合作為第二租戶虛擬存儲來加載��;以及 使用所述第二租戶虛擬存儲來執(zhí)行對所述第二簽署證書的驗證��。5.如權(quán)利要求4所述的方法,其中���,所述第一租戶虛擬存儲和所述第二租戶虛擬存儲是同時加載到所述第一服務(wù)器上的����,并且其中��,當(dāng)所述第一服務(wù)器接收到來自所述第二客戶端的��、對于驗證所述第二簽署證書的所述第二請求時�,所述第一租戶虛擬存儲被刪除。6.如權(quán)利要求4所述的方法�����,其中�����,所述第一服務(wù)器同時接收來自所述第一客戶端的�����、對于驗證所述第一簽署證書的所述第一請求以及來自所述第二客戶端的�����、對于驗證所述第二簽署證書的所述第二請求�。7.如權(quán)利要求1所述的方法,其中���,所述第一簽署證書來自所述第一租戶的第一用戶���, 其中,使用所述第一租戶虛擬存儲來執(zhí)行對所述第一簽署證書的驗證還包括: 標(biāo)識所述第一租戶的所述第一用戶��; 標(biāo)識在所述第一租戶虛擬存儲上的所述第一租戶證書集合內(nèi)列出的所標(biāo)識的第一用戶的證書要求����; 確定所述第一簽署證書是否滿足所述第一用戶的所述證書要求。8.如權(quán)利要求1所述的方法���,其中所述第一客戶端包括以下各項中的至少一項: 移動電話��; 智能手機���; 平板設(shè)備; 智能手表; 可穿戴計算機��; 個人計算機���; 臺式計算機�;以及 膝上型計算機����。9.如權(quán)利要求1所述的方法,其中�,所述分布式網(wǎng)絡(luò)與所述第一客戶端通信,以將數(shù)據(jù)提供給以下各項中的至少一項: 電子郵件應(yīng)用���; 社交網(wǎng)絡(luò)應(yīng)用����; 協(xié)作式應(yīng)用����; 企業(yè)管理應(yīng)用����; 消息傳遞應(yīng)用; 文字處理應(yīng)用; 電子表格應(yīng)用����; 數(shù)據(jù)庫應(yīng)用; 演示應(yīng)用�; 通訊錄應(yīng)用;以及 日歷應(yīng)用��。10.—種系統(tǒng)���,包括: 分布式服務(wù)器網(wǎng)絡(luò)�����,用于與至少部分地由計算設(shè)備執(zhí)行的客戶端進行數(shù)據(jù)交換�����,所述計算設(shè)備包括: 至少一個處理器���; 存儲器,其用于包含計算機可執(zhí)行指令�,當(dāng)所述計算機可執(zhí)行指令由所述至少一個處理器執(zhí)行時,使服務(wù)器執(zhí)行一種方法���,所述方法包括: 接收對于驗證第一簽署證書的第一請求����; 從多個租戶中標(biāo)識與所述第一簽署證書有關(guān)的第一租戶; 請求對存儲在第一租戶存儲中的第一租戶證書集合的訪問�; 加載所述第一租戶證書集合;以及 使用所述第一租戶證書集合來執(zhí)行對所述第一簽署證書的驗證��。11.如權(quán)利要求10所述的系統(tǒng)��,其中執(zhí)行對所述第一簽署證書的驗證還包括: 標(biāo)識所述第一租戶的第一用戶����; 標(biāo)識在所述第一租戶證書集合內(nèi)列出的所標(biāo)識的第一用戶的證書; 確定所述第一簽署證書是否與來自所述第一租戶證書集合的所述證書相同��。12.如權(quán)利要求10所述的系統(tǒng)�,其中,所述方法還包括: 接收對于驗證第二簽署證書的第二請求����; 從所述多個租戶中標(biāo)識與所述第二簽署證書有關(guān)的第二租戶; 請求對存儲在第二租戶存儲中的第二租戶證書集合的訪問�; 加載所述第二租戶證書集合; 使用所述第二租戶證書集合來執(zhí)行對所述第二簽署證書的驗證��; 接收對于驗證第三簽署證書的第三請求�; 從所述多個租戶中標(biāo)識與所述第三簽署證書有關(guān)的第三租戶; 請求對存儲在第三租戶存儲中的第三租戶證書集合的訪問����; 加載所述第三租戶證書集合;以及 使用所述第三租戶證書集合來執(zhí)行對所述第三簽署證書的驗證��。13.如權(quán)利要求12所述的系統(tǒng)�,其中,所述第一租戶存儲���、所述第二租戶存儲和所述第三租戶存儲單獨地存儲在所述分布式服務(wù)器網(wǎng)絡(luò)上且彼此隔離����。14.如權(quán)利要求10所述的系統(tǒng)�����,其中��,所述方法是根據(jù)s/mime協(xié)議來執(zhí)行的�。15.如權(quán)利要求10所述的系統(tǒng),其中�����,所述分布式網(wǎng)絡(luò)上的所述第一租戶存儲接收來自第一租戶管理員的一組證書,以形成所述第一租戶證書集合��。
【文檔編號】H04L29/06GK105940657SQ201580006455
【公開日】2016年9月14日
【申請日】2015年1月28日
【發(fā)明人】T·謝里夫, Y·王, J·陳
【申請人】微軟技術(shù)許可有限責(zé)任公司