網絡連接自動化的制作方法
【專利說明】網絡連接自動化
[0001] 相關申請的交叉引用
[0002] 本申請出于各種目的，W引用方式將2011年11月29日提交的、標題為"INTERFACES TO MANAGE DIRECT肥TWO服陽BRINGS"的美國專利申請?zhí)?3/306,775和2013年9月17日提 交的、標題為"NETW0服CONNECT ION AUTOMAT I ON"的美國專利申請?zhí)?4/0 29，496的全部公 開內容包含在此。
[000；3]背景
[0004] 計算資源服務提供商和其他服務提供商經常準許用戶通過使用專用網絡連接來 訪問其服務。例如，許多用戶利用托管環(huán)境來直接與計算資源服務提供商連接，W便訪問一 個或多個服務。盡管它們具有許多優(yōu)點，但是在計算資源服務提供商與客戶之間創(chuàng)建專用 的和安全的連接可能并不是沒有任意風險。例如，盡管它們盡最大努力去避免運種情況，但 是物理專用連接可能(例如，在接插板處)具有易感點，在所述易感點處可能對通信進行未 經授權的和/或無意識的訪問。當前，計算資源服務提供商可使用常規(guī)認證方法來確保連接 是安全的。但是，常規(guī)認證方法經常依賴于人工干預并且固有地不夠靈活。另外地，用來使 連接安全的密碼技術可具有可利用的漏桐W獲得對連接的未經授權的訪問。適當解決運些 風險對依賴于專用連接的組織和對計算資源服務提供商生成額外的成本。
[0005] 附圖簡述
[0006] 將參照附圖描述根據本公開的各個實施方案，在附圖中：
[0007] 圖1示出可實踐各個實施方案的環(huán)境的說明性示例；
[000引圖2示出可實踐各個實施方案的環(huán)境的說明性示例；
[0009] 圖3示出根據至少一個實施方案的由計算資源服務提供商提供的一個或多個服務 的說明性示例；
[0010] 圖4示出可實踐各個實施方案的環(huán)境的說明性示例；
[0011] 圖5示出根據至少一個實施方案的認證物理連接的環(huán)境的說明性示例；
[0012] 圖6示出根據至少一個實施方案的在初始認證之后管理與一個或多個服務的連接 的環(huán)境的說明性示例；
[0013] 圖7示出根據至少一個實施方案的用于在客戶與計算資源服務提供商之間建立物 理連接的過程的說明性示例；
[0014] 圖8示出根據至少一個實施方案的用于第一次認證連接的過程的說明性示例；
[0015] 圖9示出根據至少一個實施方案的用于在先前已建立連接之后認證連接的過程的 說明性示例；
[0016] 圖10示出根據至少一個實施方案的用于認證連接的過程的說明性示例;并且
[0017] 圖11示出可實現各個實施方案的環(huán)境。
[001引詳述
[0019]在W下描述中，將描述各個實施方案。出于解釋的目的，將闡述具體的配置和細 節(jié)，W便提供實施方案的透徹理解。但是，對本領域的技術人員將是明顯的是，沒有具體細 節(jié)的情況下也可W實踐實施方案。此外，為了不使所描述的實施方案變得模糊，可能會省略 或簡化眾所周知的特征。
[0020] 本文所描述和建議的技術設及對在客戶(例如，由客戶操作的網絡)與計算資源服 務提供商之間的連接的認證。在一個實施方案中，計算資源服務提供商可從實體(例如，組 織)接收在實體與計算資源服務提供商之間建立直接連接的請求。所述實體可W是可操作 各種服務(諸如數據存儲服務、虛擬計算系統(tǒng)服務和/或數據庫服務）的計算資源服務提供 商的客戶。對于最佳使用所述服務中的一個或多個來說，計算資源服務提供商可允許客戶 使用直接連接（即，將客戶計算資源與計算資源服務提供商計算資源連接的物理通信連接） 與計算資源服務提供商的網絡進行通信。用于建立此類連接的示例技術在2011年11月29日 提交的、標題為"Interfaces to Manage Direct化twork Peerings"的美國專利申請?zhí)?13/306，775中進行描述，出于各種目的，所述申請W引用的方式整體并入本文中。
[0021] 在安裝計算資源服務提供商與客戶之間的連接之前，計算資源服務提供商可生成 授權書W便允許計算資源服務提供商的雇員（即，數據技術員)連接與客戶和計算資源服務 提供商相關聯的物理路由器。可響應于從客戶所接收的請求生成該授權書W建立與計算資 源服務提供商的直接連接。
[0022] 在各種實施方案中，計算資源服務提供商可在連接之后將一個或多個信號傳輸至 客戶路由器，W發(fā)起在客戶與計算資源服務提供商之間的網絡連通性。運些一個或多個信 號可另外地包括認證請求，W便驗證連接已被正確地建立和客戶是被授權連接到計算資源 服務提供商的正確的實體?？蛻艨身憫谟嬎阗Y源服務提供商來傳輸一個或多個信號，W 便驗證客戶被授權訪問計算資源服務提供商計算機系統(tǒng)。運些一個或多個信號可包括使用 產生自一個或多個客戶計算機系統(tǒng)的一個或多個認證憑證(諸如秘密密鑰)生成的數字簽 名?？墒褂脤ΨQ密碼算法和/或非對稱密碼算法來生成該簽名。計算資源服務提供商可將客 戶信號(或至少部分地基于其的信息)傳輸至認證服務，W便確定從客戶接收的簽名是否可 信并且對應于該客戶。如果客戶信號不可信，那么計算資源服務提供商可拒絕訪問其各種 服務。否則，可準許客戶訪問客戶已選擇使用的一個或多個服務。
[0023] 在一個實施方案中，在發(fā)起連接之后，計算資源服務提供商可隨著時間推移將一 個或多個認證請求傳輸給客戶W確保所述連接未被破解?？蛻艨蓪φ埱?可包括使用散 列函數生成的數字簽名和密鑰）的響應傳輸到計算資源服務提供商W提供客戶被授權維持 所述連接的證據。因此，如果簽名諸如通過認證服務得到驗證，那么計算資源服務提供商可 允許所述連接繼續(xù)。但是，如果所述認證服務不能驗證客戶具有授權訪問由計算資源服務 提供商提供的服務，那么計算資源服務提供商可限制客戶對所述服務的訪問，直到客戶能 夠提供給計算資源服務提供商有效的數字簽名。
[0024] 在一個實施方案中，客戶諸如通過對所述服務的適當地配置的API調用將認證請 求傳輸給計算資源服務提供商，W便驗證所述連接當前在客戶與計算資源服務提供商之 間。如果從計算資源服務提供商接收的信號不可信(例如，不包括代表計算資源服務提供商 的有效的數字簽名），那么客戶可限制或甚至終止與計算資源服務提供商的連接。否則，客 戶可繼續(xù)他/她對由計算資源服務提供商提供的各種服務的訪問，只要被請求時，客戶可相 互地向計算資源服務提供商提供認證憑證。
[0025] 在一些實施方案中，客戶可諸如通過對所述服務的適當地已配置的API調用將認 證請求傳輸給計算資源服務提供商，W便致使所述認證服務驗證客戶通信真正地產生自客 戶計算機系統(tǒng)。由客戶傳輸的該認證請求可包括可由計算資源服務提供商使用的數字簽名 W驗證客戶的身份。如果數字簽名可信，那么計算資源服務提供商可將包括用于計算資源 服務提供商的數字簽名的一個或多個信號傳輸給客戶。因此，客戶可使用該數字簽名來驗 證計算資源服務提供商的身份。
[0026] W此方式，計算資源服務提供商及其客戶可通過一個或多個物理路由器加 W連 接，并且確保所述連接在認證客戶或計算資源服務提供商信號失敗的情況下被限制或終 止。此外，本文所描述的技術有利于另外的技術優(yōu)點。例如，因為在一些實施方案中認證過 程由計算資源服務提供商或客戶管理的計算機系統(tǒng)執(zhí)行，可能不需要人工干預來認證所述 連接。因此，運些技術可在確保安全連接方面增加可用于計算資源服務提供商及其客戶的 靈活性。另外地，替代的認證過程的使用可消除對常規(guī)路由器到路由器認證技術的使用，從 而潛在地消除或減輕在常規(guī)技術中固有的任意漏桐。另外的用途也可由在本文所述的各種 技術實現。
[0027] 圖1示出可實踐各個實施方案的環(huán)境100的說明性示例。在環(huán)境100中，計算資源服 務提供商102向計算資源服務提供商的客戶提供各種計算資源服務。計算資源服務提供商 102可W是代表一個或多個用戶托管各種計算資源的組織。例如，計算資源服務提供商可操 作用來托管各種計算硬件資源(諸如，硬件服務器、數據存儲裝置、網絡裝置及其他設備(諸 如服務器機架、聯網電纜W及類似物））的一個或多個設施。計算資源硬件可利用其計算硬 件資源來操作一個或多個服務。此類服務可包括在減少或甚至消除客戶對物理設備投資的 需要的同時，使計算資源服務提供商的客戶能夠遠程管理計算資源W支持客戶的操作的服 務。示例服務包括但不限于各種數據存儲服務(基于對象的數據存儲服務、檔案庫數據存儲 服務、數據庫服務W及類似物）、程序執(zhí)行服務及其他服務。所述服務可被客戶使用W支持 多種多樣的活動，諸如操作網站、操作支持組織的企業(yè)系統(tǒng)、分布式計算和/或其他活動。 [002引因此，如圖1所示，環(huán)境100包括客戶104?？蛻?04可W是至少部分地通過建立與計 算資源服務提供商102的直接連接來利用各種服務中的一些或全部的組織。計算資源服務 提供商102的客戶104可利用由計算資源服務提供商102提供的各種服務。例如，客戶104可 通過自動化處理(諸如對服務作出的批量請求或需要訪問服務的客戶服務器請求)利用由 計算資源服務提供商102提供的服務來支持客戶操作。客戶104可聯系計算資源服務提供商 102來請求安裝與計算資源服務提供商的直接連接。計算資源服務提供商可生成授權書，并 且部署數據技術員或允許客戶102使用其自己的數據技術員或第=方來連接客戶路由器和 計算資源服務提供商路由器106。所述路由器可位于數據中屯、或托管中，所述數據中屯、或托 管進而可位于遠程位置中。盡管出于說明目的貫穿本公開普遍使用路由器，但是本公開中 示出的技術可通常另外地施加到其他網絡裝置(例如，網關裝置等）。
[0029] 一旦在客戶104與計算資源服務提供商路由器106之間的連接已被建立，計算資源 服務提供商路由器就可發(fā)起將一個或多個信號傳輸給客戶路由器。一種此類信號可包括認 證請求，W便驗證客戶104被授權連接到計算資源服務提供商102。該認證請求可產生自認 證服務108,所述認證服務108由計算資源服務提供商102維持和操作。認證服務108可被配 置來從賬戶服務（未示出）獲得客戶信息，W便獲得對散列所接收的客戶數據是必要的密 鑰，W生成期望的客戶數字簽名。該期望的客戶數字簽名可與所接收的客戶數字簽名進行 比較W便驗證客戶的身份。另外地，認證服務108可被配置來將可執(zhí)行命令傳輸給計算資源 服務提供商路由器106 W便將認證請求傳輸給客戶104。
[0030] 響應于所述認證請求，客戶104可通過傳輸給計算資源服務提供商路由器106的一 個或多個信號向計算資源服務提供商102提供包括數字簽名W及另外的數據(例如，客戶識 別號、端口號等）的一個或多個數據分組。因此，路由器106可將運些數據分組傳輸給認證服 務108W供確認。認證服務108可被配置來散列從客戶104接收的另外的數據W及密鑰，W生 成期望的客戶數字簽名。如果數字簽名匹配，那么認證服務108就可再配置計算資源服務提 供商路由器106W使客戶能夠訪問由計算資源服務提供商102提供的一個或多個其他服務 110。運些其他服務110可包括各種數據存儲服務(基于對象的數據存儲服務、檔案庫數據存 儲服務、數據庫服務W及類似物）、程序執(zhí)行服務等。但是，如果從客戶104接收的數字簽名 與期望的數字簽名不匹配，那么認證服務108就拒絕訪問其他服務110。
[0031] 可替代地，客戶104可通過將一個或多個數據分組傳輸給計算資源服務提供商路 由器106來發(fā)起(諸如通過對服務的適當地已配置的API調用的）認證過程。運些數據分組可 包括使用秘密密鑰生成的數字簽名，所述秘密密鑰在由計算資源服務提供商102處理時，致 使所述服務提供商散列所接收的數據W及密鑰，W生成期望的客戶數字簽名，所述期望的 客戶數字簽名可用來確定所接收的數字簽名是否可信。另外地，運些數據分組可致使服務 提供商102生成包括其自己的數字簽名的一個或多個數據分組，所述其自己的數字簽名可 由客戶104使用W驗證計算資源服務提供商的身份。用運種方法，客戶104和計算資源服務 提供商102兩者均可驗證通過直接物理連接傳輸的信號的可信度。
[0032] 一旦客戶104已獲得對一個或多個其他服務110的訪問，計算資源服務提供商102 就可使用認證服務108來將一個或多個認證請求傳輸給客戶W確保所述連接尚未被破解。 如果存在所述連接已被破解的指示(例如，從客戶104接收的認證憑證與期望值不匹配），那 么計算資源服務提供商102就可通過認證服務108執(zhí)行關于現有連接的一個或多個動作。例 如，計算資源服務提供商102可配置認證服務108來將一個或多個可執(zhí)行指令傳輸給路由器 106W便限制所述連接。運可包括節(jié)流對客戶104可用的網絡帶寬或禁用對其他服務110的 訪問。在其他情況下，認證服務108可指賬戶服務(未示出）根據客戶104規(guī)范來對所述連接 施加一個或多個限制。例如，客戶104在針對與計算資源服務提供商102的直接連接的初始 請求期間已規(guī)定如果連接被破解，那么就采取某些動作。如果在稍后點處客戶104向計算資 源服務提供商提供有效的認證憑證，那么計算資源服務提供商102可恢復所述連接。
[0033] 如W上所指出，在客戶路由器與計算資源服務提供商路由器之間的物理連接可在 可位于遠程位置處的數據中屯、或托管處進行。因此，圖2是可實踐各個實施方案的環(huán)境的說 明性示例。在環(huán)境200中，可在一個或多個客戶202與計算資源服