求,W建立與計算資源服務提供商的直接 連接�。因此,計算資源服務提供商504可生成授權書W將客戶路由器502物理地連接到計算 資源服務提供商路由器506�。可部署數(shù)據(jù)技術員來建立物理連接�,如圖2中所示。
[0052] 一旦在客戶路由器502與計算資源服務提供商路由器506之間已建立物理連接,計 算資源服務提供商504就可利用認證服務508來驗證通過物理連接的客戶傳輸產(chǎn)生自授權 的客戶��。因此��,認證服務508可被配置來通過計算資源服務提供商路由器506傳輸認證請求���。 如上文所述��,計算資源服務提供商路由器506可被配置來使用安全協(xié)議傳輸該認證請求�����,W 引起來自客戶的響應�。
[0053] 因此�,客戶路由器502可接收該認證請求并且將請求傳輸給一個或多個客戶計算 機系統(tǒng)W供處理。一個或多個客戶計算機系統(tǒng)可被配置來準備包括所需認證證明(例如��,密 碼���、數(shù)字簽名等)的數(shù)據(jù)分組����,W驗證客戶的身份W及訪問對客戶可用的其他服務512所需 的任意其他必要的信息��?��?蓪⒃摂?shù)據(jù)分組傳輸給客戶路由器506,所述客戶路由器506進而 可利用安全協(xié)議來傳輸包括認證證明的數(shù)據(jù)分組�����。
[0054] 計算資源服務提供商路由器506可將所接收的客戶數(shù)據(jù)分組傳輸給認證服務508 W供驗證�����。因此�����,認證服務508可被配置來從數(shù)據(jù)分組提取認證證明���。所述認證證明可包括 數(shù)字簽名,所述數(shù)字簽名可能需要使用所接收的數(shù)據(jù)和由計算資源服務提供商保存的密鑰 的散列加 W驗證�,并且特定于客戶。因此��,認證服務508可被配置來與由計算資源服務提供 商504管理的賬戶服務510交互��,W獲得相關的客戶信息��。例如,如上文所述�,賬戶服務510可 包括針對計算資源服務提供商504的每個客戶的客戶賬戶信息。例如�����,客戶賬戶可包括一個 或多個密鑰��,所述一個或多個密鑰可用來生成期望的客戶數(shù)字簽名W便驗證所接收的數(shù)字 簽名可信����,并且因此驗證直接連接到計算資源服務提供商504的客戶計算機系統(tǒng)的身份。因 此��,賬戶服務510可被配置來將運些密鑰傳輸給認證服務508��。
[0055] 認證服務508可使用來自賬戶服務510的密鑰W及從客戶接收的數(shù)據(jù)�����,W生成期望 的客戶數(shù)字簽名并且試圖將該簽名與客戶認證證明進行匹配��。如果在數(shù)字簽名之間存在結 果匹配����,那么認證服務508就可將一個或多個可執(zhí)行命令傳輸給計算資源服務提供商路由 器506, W允許客戶訪問由計算資源服務提供商504提供的其他服務512����。但是�,如果沒有匹 配可被建立��,那么認證服務508可將包括已拒絕訪問其他服務512的理由的信息消息傳輸給 客戶�。
[0056] 在另一個實施方案中,一旦在客戶路由器502與計算資源服務提供商路由器506之 間已建立物理連接�,客戶就可諸如通過一個或多個對所述服務的適當?shù)匾雅渲玫腁PI調(diào)用 來生成包括客戶信息和數(shù)字簽名的一個或多個數(shù)據(jù)分組,所述一個或多個數(shù)據(jù)分組可用來 驗證客戶的身份���?�?墒褂谜J證協(xié)議通過物理連接將運些數(shù)據(jù)分組傳輸給計算資源服務提供 商路由器506����。該路由器506可被配置來將運些數(shù)據(jù)分組傳送給認證服務508W供另外的處 理����。
[0057] 認證服務508可被配置來與賬戶服務510交互,W便獲得生成期望的客戶數(shù)字簽名 所需的一個或多個密鑰��。因此���,認證服務508可被配置來散列密鑰和所接收的客戶數(shù)據(jù)W生 成該期望的客戶數(shù)字簽名��。該簽名可與所接收的客戶數(shù)字簽名進行比較W便確定是否存在 匹配����。如果存在匹配,那么客戶傳輸被認為可信�����,從而致使認證服務508將一個或多個可執(zhí) 行指令傳輸給提供商路由器506, W便使客戶能夠訪問由計算資源服務提供商504提供的一 個或多個其他服務512����。例如,如果客戶傳輸被認為可信����,那么計算資源服務提供商504可允 許客戶提供一個或多個虛擬接口來訪問運些其他服務512。
[005引另外地�����,對客戶身份的驗證可致使認證服務508生成包括可被傳輸給客戶路由器 502的用于計算資源服務提供商504的數(shù)字簽名的一個或多個數(shù)據(jù)分組����。運可使客戶能夠驗 證計算資源服務提供商504的身份��。
[0059] 在已進行了對客戶的初始化認證之后�,客戶現(xiàn)可訪問由計算資源服務提供商提供 的多種服務���。但是,另外的認證請求可在客戶與計算資源服務提供商之間進行傳輸W確保 所述連接尚未被破解���。因此��,圖6是根據(jù)至少一個實施方案的在初始認證之后管理與一個或 多個服務的連接的環(huán)境600的說明性示例�。在環(huán)境600中���,客戶可通過客戶路由器602來傳輸 一個或多個信號����,W便訪問由計算資源服務提供商604提供的一個或多個其他服務612�����。因 此�����,運些一個或多個信號可由計算資源服務提供商路由器606接收并且傳輸給所述一個或 多個其他服務612W供處理。例如����,客戶可利用客戶路由器602來提供虛擬接口,所述虛擬接 口對訪問一個或多個服務612是所需的�。用運種方法,客戶可利用一個或多個服務612W用 于他的/她的目的����。
[0060] 在客戶和計算資源服務提供商604與其相關聯(lián)的其他服務612之間進行交互期間 的任意點處,認證服務608可經(jīng)由計算資源服務提供商路由器606和客戶路由器602將認證 請求傳輸給客戶����,W確保所述連接尚未被破解(例如,第=方已攔截所述連接等)�。因此,客 戶可使用由客戶維持和操作的一個或多個計算機系統(tǒng)來傳輸滿足所接收的認證請求所需 的認證證明��。該認證證明可通過客戶路由器60巧日W傳輸�����。作為圖5中示出的初始認證過程��, 所述認證證明可包括密碼、數(shù)字簽名或在認證請求中請求的任意其他憑證���?����?稍诟鶕?jù)安全 協(xié)議配置的一個或多個數(shù)據(jù)分組中將該認證證明傳輸給計算資源服務提供商604����。
[0061] 計算資源服務提供商路由器606可接收該認證證明并且因此將所述證明遞送給認 證服務608W供驗證��。如圖5所示��,認證服務608可被配置來與賬戶服務610交互W獲得評估 所接收的認證證明所需的相關的客戶信息(例如����,密鑰���、客戶賬戶憑證等)�。如果由客戶提供 的認證證明被確認為可信��,那么認證服務608可允許客戶繼續(xù)訪問所述其他服務612�����。但是, 如果所提供的認證證明與從賬戶服務610獲得的有關的客戶信息不符���,那么認證服務608可 將一個或多個可執(zhí)行指令傳輸給計算資源服務提供商路由器606, W限制客戶訪問由計算 資源服務提供商604提供的其他服務612�����。例如����,計算資源服務提供商路由器606可被配置來 減少對客戶可用的連接帶寬�����,或完全終止所述連接或虛擬接口����。可替代地�����,認證服務608可 被配置來再一次與賬戶服務610交互�,W識別可在認證質(zhì)詢失敗的情況下進行的一個或多 個動作。例如,客戶可指定計算資源服務提供商604監(jiān)視和記錄與聲稱是訪問所述其他服務 612的客戶的用戶有關的全部活動�����。
[0062] 可替代地����,在客戶和計算資源服務提供商604與其相關聯(lián)的其他服務612之間進行 交互的任意點處,由客戶操作的計算機系統(tǒng)可將一個或多個認證請求傳輸給計算資源服務 提供商�,W確保所述連接尚未被破解。一旦所述請求已由計算資源服務提供商路由器606接 收�,所述請求可被傳輸給認證服務608W供處理。認證服務608可被配置來與賬戶服務610交 互���,W獲得相關的客戶信息,包括但不限于生成用W滿足客戶認證請求的認證證明所需的 一個或多個密鑰�����。例如�,認證服務608可被配置來使用散列函數(shù)W散列數(shù)據(jù)和密鑰W生成數(shù) 字簽名。因此���,認證服務608可生成一個或多個數(shù)據(jù)分組����,所述一個或多個數(shù)據(jù)分組可包括 認證證明(例如,數(shù)字簽名)W及可經(jīng)由在計算資源服務提供商路由器606與客戶路由器602 之間的物理連接被傳輸給客戶計算機系統(tǒng)的其他數(shù)據(jù)�����。
[0063] 如果由計算資源服務提供商604提供的認證證明不足夠����,那么客戶計算系統(tǒng)可被 配置來傳輸可執(zhí)行命令,所述可執(zhí)行命令可致使客戶路由器602終止所述連接���。運可包括生 成針對數(shù)據(jù)技術員的請求W切斷物理連接或通過物理連接完全中斷一個或多個信號的傳 輸��。但是���,如果認證證明足夠,W使得所述連接W及計算資源服務提供商604的確可信����,那么 客戶可繼續(xù)利用物理連接來訪問支持其業(yè)務所需的一個或多個其他服務612。
[0064] 在另一個實施方案中����,客戶可(諸如通過一個或多個對所述服務的適當?shù)匾雅渲?的API調(diào)用)生成包括密碼認證信息的另外的數(shù)據(jù)分組����,所述另外的數(shù)據(jù)分組可用來驗證客 戶的身份����。如W上所指出,可使用認證協(xié)議通過物理連接將運些數(shù)據(jù)分組傳輸給計算資源 服務提供商路由器606���。該路由器606可被配置來將運些數(shù)據(jù)分組傳送給認證服務608W供 另外的處理���。
[0065] 如W上所指出,認證服務608可被配置來與賬戶服務610交互�,W便獲得生成期望 的客戶數(shù)字簽名所需的一個或多個密鑰。因此���,認證服務608可被配置來散列密鑰和所接收 的客戶數(shù)據(jù)W生成該期望的客戶數(shù)字簽名��。該簽名可與所接收的客戶數(shù)字簽名進行比較W 便確定是否存在匹配����。如果存在匹配��,那么客戶傳輸被認為可信�����,從而致使認證服務608允 許繼續(xù)訪問由計算資源服務提供商604提供的所述一個或多個服務612���。但是��,如果不存在 匹配���,那么認證服務608可執(zhí)行一個或多個動作W限制或甚至終止現(xiàn)有連接,如上文所述�。
[0066] 此外,如果數(shù)字簽名匹配�,那么認證服務608可生成包括可被傳輸給客戶路由器 602的計算資源服務提供商604的數(shù)字簽名的一個或多個數(shù)據(jù)分組。運可使客戶能夠驗證計 算資源服務提供商604的身份�����,W便繼續(xù)本直接連接��。
[0067] 如W上所指出���,可在客戶路由器與計算資源服務提供商之間建立直接連接W使客 戶能夠訪問由計算資源服務提供商提供的一個或多個服務���。因此��,圖7是根據(jù)至少一個實施 方案的用于在客戶與計算資源服務提供商之間建立物理連接的過程700的說明性示例����。過 程700可由計算資源服務提供商操作的多種聯(lián)網(wǎng)組件和計算組件�����,W及由計算資源服務提 供商維持和操作的一個或多個服務(例如�,認證服務和賬戶服務)執(zhí)行。
[0068] 客戶可聯(lián)系計算資源服務提供商W請求在客戶路由器與計算資源服務提供商路 由器之間創(chuàng)建直接物理連接���。例如��,客戶可能希望在客戶計算系統(tǒng)與計算資源服務提供商 計算系統(tǒng)之間建立專用網(wǎng)絡連接����。運可使客戶能夠訪問由計算資源服務提供商提供的所述 一個或多個服務W支持他的/她的業(yè)務操作���。因此����,過程700可包括計算資源服務提供商從 客戶接收702建立該直接連接的請求����。
[0069] 一旦計算資源服務提供商已從客戶接收到請求,那么計算資源服務提供商就可生 成704授權書W將客戶路由器連接到計算資源服務提供商路由器����。如圖2所示,客戶路由器 和計算資源服務提供商路由器可位于數(shù)據(jù)中屯��、或托管中屯���、中��。因此��,授權書可授予數(shù)據(jù)技 術員(例如�����,計算資源服務提供商的雇員���、客戶或訂立合同的第=方)許可W在客戶路由器 與計算資源服務提供商路由器之間建立連接。
[0070] 數(shù)據(jù)技術員可使用一個或多個電纜W連接706物理路由器��。運可能需要識別在托 管中屯����、內(nèi)的客戶路由器和計算資源服務提供商路由器W及需要建立所述連接的對應的端 口�����。例如�,數(shù)據(jù)技術員可將(例如����,光纖的、銅質(zhì)的或其他材料的)一組電纜的一端插入客戶 路由器的接收端口和傳輸端口中���,并且將電纜的另一端連接到計算資源服務提供商的接收 端口和傳輸端口上���。如果托管中屯、包括一個或多個接插板����,那么數(shù)據(jù)技術員就通過插接板 將來自客戶路由器的電纜從最終插接板端口連接到計算資源服務提供商路由器。數(shù)據(jù)技術 員可使用診斷工具來確保適當連通性或可聯(lián)系計算資源服務提供商來通知計算資源服務 提供商所述連接已被建立����。
[0071] 應注意,認證過程可W是端口獨立的。例如�����,在一個實施方案中��,客戶在托管中屯��、 內(nèi)操作和維持包括客戶路由器和由次級或=次客戶(例如�����,與計算資源服務提供商具有現(xiàn) 有關系的客戶的客戶)維持和操作的路由器的籠(cage)�����。在任意點處����,客戶可斷開在客戶路 由器與計算資源服務提供商之間的物理連接���,并且再連接與由次級或=次客戶維持的路由 器的物理連接���。次級或=次客戶可維持可與該次級或=次客戶相關聯(lián)并且可用來向計算資 源服務提供商提供認證證明的一組憑證。因此,計算資源服務提供商可因此通過該物理連 接來認證與該次級或=次客戶的物理連接���。次級或=次客戶可因此向計算資源服務提供商 提供認證證明���,W認證所述連接,如將在下文所述�。
[0072] 在各種實施方案中,客戶和/或提供商可改變用來建立直接物理連接的網(wǎng)絡裝置 端口����。例如,客戶可請求升級現(xiàn)有物理連接(例如�����,在計算資源服務提供商路由器上從一千 兆字節(jié)端口轉變到十千兆字節(jié)端口)����,從而在客戶路由器與計算資源服務提供商路由器之 間導致不同連接。在運種情況下�,一旦在所述過程沒有任意系統(tǒng)變化的情況下已建立所述 連接,就可重復認證過程����。運可確保所述認證過程是端口獨立的�。
[0073] 一旦在托管中屯�、中的物理路由器已被連接并且數(shù)據(jù)技術員已提供所述連接的確 認,計算資源服務提供商就可使用所述路由器將一個或多個信號傳輸708給客戶路由器�。如 上文結合圖5所述,計算資源服務提供商可操作和維持認證服務��,所述認證服務可被配置來 將認證請求傳輸給客戶�����,W便驗證客戶被授權連接到由計算資源服務提供商提供的一個或 多個服務����。因此�,所述認證服務可被配置來根據(jù)包括該認證請求的安全協(xié)議生成一個或多 個數(shù)據(jù)分組。運些數(shù)據(jù)分組可經(jīng)由在托管中屯���、中建立的物理連接由計算資源服務提供商路 由器傳輸給客戶路由器��。
[0074] 當客戶路由器從計算資源服務提供商接收到運些一個或多個數(shù)據(jù)分組時����,客戶路 由器可將運些數(shù)據(jù)分組傳輸給客戶計算系統(tǒng)W供處理��。基于所述認證請求�,客戶計算機系 統(tǒng)可被配置來利用散列函數(shù)和密鑰來生成數(shù)字簽名。所述數(shù)字簽名可包