[发明专利]多租户环境中的安全性上下文管理的方法、系统和介质

权利要求书

1.一种计算机实施的方法，包括：

由多租户计算环境的租户组件接收用于由所述多租户计算环境中的租户的租户应用访问安全性上下文数据的请求；

基于所述租户组件是所述多租户计算环境的受信服务的一部分的确定，解封所述安全性上下文数据的第一保护层，其中所述第一保护层防止由所述多租户计算环境的受信服务外部的设备和服务访问所述安全性上下文数据的能力；

基于所述租户应用被授权访问所述安全性上下文数据的确定，解封所述安全性上下文数据的第二保护层，其中所述第二保护层防止所述受信服务的未授权的租户组件在所述安全性上下文数据的所述上下文中执行所述应用；以及

基于所述租户应用被授权访问所述安全性上下文数据的所述确定，在由所述安全性上下文数据限定的上下文中执行所述租户应用，其中所述租户应用的所述执行被授权访问所述安全性上下文数据，其中所述租户应用的所述执行进一步包括启动所述租户应用的所供应的服务账户以执行与所述安全性上下文数据相关联的操作，并且其中所供应的所述服务账户与所述租户的账户相比具有受限的权限。

2.根据权利要求1所述的方法，进一步包括：实现所述受信服务以评估所述租户应用的所述安全性上下文数据，以及将所供应的所述服务账户限制为仅具有与在所述安全性上下文数据中限定的所述上下文一致的权限。

3.根据权利要求1所述的方法，进一步包括：将所述安全性上下文数据存储到所述受信服务的受信秘密源，其中所述受信秘密源由所述租户应用不可访问。

4.根据权利要求3所述的方法，其中所述受信秘密源是受信平台模块。

5.根据权利要求1所述的方法，进一步包括：

在所述受信服务和所述租户应用之间创建安全通信信道，其中所述安全通信信道使用所述多租户计算环境的所述租户的服务账户而被启动，以使得所述受信组件能够在运行时将所述安全性上下文数据传递至所述租户应用。

6.根据权利要求1所述的方法，进一步包括：

监测入侵尝试以检测对所述安全性上下文数据的未授权的访问。

7.根据权利要求1所述的方法，其中对所述第二保护层的所述解封进一步包括：将所述租户应用的注册标识与所述租户应用的所存储的注册标识相比较，以确定所述租户应用是否被授权访问所述安全性上下文数据。

8.根据权利要求1所述的方法，其中对所述第二保护层的所述解封进一步包括：使用密钥来解封所述安全性上下文数据。

9.根据权利要求1所述的方法，其中所述安全性上下文数据是以下至少一项：令牌、证书、以及凭证。

10.根据权利要求3所述的方法，其中所述租户组件向所述受信秘密源提供所述租户组件是所述受信服务的受信组件的指示。