[发明专利]安全绑定工作流

说明书

在计算机存储介质上编码的用于将服务凭证绑定到应用程序的方法、系统和计算机程序。一个示例系统接收对云应用平台中应用程序的服务绑定请求。该服务绑定请求包括绑定由云应用平台中的服务主机提供的服务的请求。该服务绑定请求指定(i)该服务的标识符和(ii)该应用程序的唯一标识符。该系统从服务主机接收用于应用程序访问该服务的凭证。该系统将凭证提供给安装在云应用平台上的安全凭证中心。该安全凭证中心将凭证与凭证位置标识符关联地存储。该系统向应用程序的唯一标识符授予对凭证位置标识符的读取访问权限。该系统将凭证位置标识符存储为该应用程序的应用程序元数据。

相关申请的交叉引用

本申请要求2018年9月12日提交的美国专利申请No.16/129,517的优先权，其全部内容通过引用合并于本文。

背景技术

本说明书涉及计算平台。

计算平台是为组织提供虚拟空间的服务，可以在虚拟空间中开发、部署、运行和管理其用户提供的进程。计算平台的一个示例是云应用平台，云应用平台促进移动和Web应用程序的开发。通常，云应用平台包括应用程序编程接口(API)，所述API为开发人员提供对平台的访问。通过该API，开发人员可以将其应用程序代码上传到该平台，可以连接到支持其应用程序的服务，并可以编译和运行其应用程序。该API还可以为组织定义空间和用户角色。空间是开发、部署或维护应用程序的共享位置。用户角色定义了开发人员对这些空间的访问。

云应用平台跟踪应用程序代码、应用程序版本和应用程序实例。它们还可以提供对服务的访问，其简化了应用程序的该开发和管理，使开发人员能够专注于其应用程序代码中的逻辑。服务是应用程序实现其预期功能所必需的外部资源。服务提供了诸如中间件、数据库、消息队列、电子邮件等资源。

通常，云应用平台上的应用程序使用由相应服务生成的服务凭证(例如，用户账户的用户名和密码)来访问该相应服务。该服务凭证可以作为该应用程序的元数据存储在该云应用平台上的中心化数据库中。将服务凭证存储为元数据存在一些安全缺陷。例如，该服务凭证可能需要通过该系统的某些组件不透明地传输，从而有可能使服务暴露于比必要范围更广范围的漏洞和攻击。此外，该服务凭证对于托管应用程序实例的计算资源可能是可见的。

发明内容

本说明书描述了用于在云应用平台上安全存储用于服务的服务凭证的技术。在平台控制器的指导下，对于云应用平台上的特定应用程序，特定服务的服务代理向该服务发送供应请求和服务绑定请求。该供应请求导致该服务为该应用程序保留资源。例如，如果该服务是数据库服务，则该供应请求可能导致该服务创建为该应用程序保留的新数据库实例。同时，该服务绑定请求导致该服务提供允许该应用程序访问该服务的凭证。该凭证通常是“属于”该应用程序的用户账户的用户名和密码。

该服务代理从该服务接收凭证，但不将该凭证存储在云应用平台上的中心化数据库中。相反，该服务代理将该凭证提供给安装在云应用平台上的安全凭证中心。安全凭证中心将凭证存储在由凭证位置标识符标识的位置中。安全凭证中心将凭证位置标识符提供给服务代理。凭证存储中心还基于应用程序的唯一标识符，授予发送了对其的绑定请求的应用程序的读取访问权限。

此后，服务代理将凭证位置标识符(而不是实际凭证)提供给云应用平台的中心化数据库。凭证位置标识符作为应用程序的元数据存储在中心化数据库中。

当云应用平台启动应用程序的实例时，托管实例的计算资源生成证书，该证书对应用程序的唯一标识符进行编码。为了访问服务，计算资源将证书和凭证位置标识符提供给安全凭证中心。安全凭证中心查证唯一标识符是否与可以访问由凭证位置标识符定义的位置的应用程序相关联，并将存储在该位置的凭证提供给计算资源。然后，计算资源用该凭证填充应用程序的启动实例的进程环境。应用程序可以通过从进程环境获取凭证来访问服务。