技術領域

本發明涉及登記多承租人環境中的機器的技術。

背景技術

許多因特網服務嘗試防止未經授權的用戶訪問該服務所提供的資源。例如，服務可以向經授權的用戶發放訪問該服務處的內容的鏈接。服務還可以要求用戶提供訪問由該服務提供的資源的認證憑證。然而，獲得對該鏈接的訪問權或獲得對用戶的認證憑證的訪問權的任何人都可以訪問這些資源。

發明內容

提供本概述以便以簡化形式介紹將在以下具體實施方式中進一步描述的一些概念。本發明內容并非旨在標識所要求保護的主題的關鍵特征或必要特征，也不旨在用于幫助確定所要求保護的主題的范圍。

在多承租人環境中，對承租人的訂閱安全地登記因特網上屬于特定訂閱的機器。將對這些機器的認證委托給擁有內部部署認證機制（例如，公鑰基礎結構“PKI”、安全令牌服務“STS”、Kerberos…）的每一個承租人。與承租人的認證服務的信任關系（PKI根證書/發放者、證書信任）用于確認由嘗試被認證的機器所呈現的令牌。一旦被認證，機器就具有訪問該訂閱的授權（例如，SSL機器身份證書、令牌……）。多承租人環境中的每一承租人可以提供其自己的認證級別。信任關系（例如，公鑰基礎結構“PKI”、安全令牌服務“STS”……）被建立在這些承租人中的每一個和多承租人環境之間。機器為請求資源（例如，服務/內容）將令牌呈現給多承租人環境。當接收到來自機器的訪問資源的請求時，多承租人環境根據所發放的令牌來確定是否授權該機器來訪問所請求的資源。

附圖說明

圖1示出了示例性計算設備；

圖2示出了用于向多承租人環境安全地登記各機器的示例性系統；

圖3示出了用于認證請求來自多承租人環境的資源的機器的過程；以及

圖4示出了承租人為多承租人環境認證機器的過程。

具體實施方式

現在參考其中相同的標號代表相同的元素的附圖，描述各實施例。具體地，圖1和相應的討論旨在提供對在其中可實現各實施例的合適計算環境的簡要、概括描述。

一般而言，程序模塊包括執行特定任務或實現特定抽象數據類型的例程、程序、組件、數據結構和其他類型的結構。也可使用其它計算機系統配置，包括手持式設備、多處理器系統、基于微處理器或可編程消費電子產品、小型計算機、大型計算機等等。還可使用在其中任務由通過通信網絡鏈接的遠程處理設備執行的分布式計算環境。在分布式計算環境中，程序模塊可位于本地和遠程存儲器存儲設備兩者中。

現在參考圖1，將描述在各實施例中利用的計算機100的說明性計算機架構。圖1所示的計算機架構可被配置為服務器計算設備、臺式計算設備、移動計算設備（例如智能電話、筆記本、平板……）并且包括中央處理單元5（“CPU”）、包括隨機存取存儲器9（“RAM”）和只讀存儲器（“ROM”）10的系統存儲器7、以及將存儲器耦合至中央處理單元（“CPU”）5的系統總線12。

基本輸入/輸出系統存儲在ROM?10中，所述基本輸入/輸出系統包含幫助在諸如啟動期間在計算機內元件之間傳遞信息的基本例程。計算機100還包括用于存儲操作系統16、應用24、以及其它程序模塊的大容量存儲設備14，其他程序模塊為例如Web瀏覽器應用25、文件27（例如，文件、圖像、其他內容）以及認證管理器26，這將在以下更為詳盡地描述。

大容量存儲設備14通過連接至總線12的大容量存儲控制器（未示出）連接到CPU?5。大容量存儲設備14及其相關聯的計算機可讀介質為計算機100提供非易失性存儲。雖然此處包含的對計算機可讀介質的描述涉及諸如硬盤或CD-ROM驅動器等大容量存儲設備，但是計算機可讀介質可以是能夠由計算機100訪問的任何可用介質。

作為示例而非限制，計算機可讀介質可包括計算機存儲介質和通信介質。計算機存儲介質包括以存儲如計算機可讀指令、數據結構、程序模塊或其他數據等信息的任何方法或技術來實現的易失性和非易失性、可移動和不可移動介質。計算機存儲介質還包括，但不限于，RAM、ROM、可擦除可編程只讀存儲器（“EPROM”）、電可擦可編程只讀存儲器（“EEPROM”）、閃存或其它固態存儲器技術、CD-ROM、數字多功能盤（“DVD”）或其它光存儲、磁帶盒、磁帶、磁盤存儲或其它磁性存儲設備、或能用于存儲所需信息且可以由計算機100訪問的任何其它介質。