专利名称:基于云计算的PaaS平台系统及其实现方法
技术领域:
本发明涉及云计算领域,尤其是一种基于云计算的I^aS平台系统及其实现方法。
背景技术:
云计算(CloudComputing)是虚拟化(Visualization)、效用计算(UtilityComputing)、IaaS (基础设施即服务)>PaaS (平台即服务)>SaaS (软件即服务)等概念混合演进并跃升的结果。它提供了一个全新的互联网商业服务模型,即用户可以通过网络以按需、易扩展的方式租用所需的服务。云计算技术利用高速互联网的传输能力,将计算、存储、软件、服务等资源从分散的个人计算机或服务器移植到互联网中集中管理的大规模高性能计算机、个人计算机、虚拟计算机中,从而使用户像使用电力一样使用这些资源。云计算表述了一种新的计算模式应用、数据和IT资源以服务的方式通过网络提供给用户使用。云计算有三个显著特点一是按需租用;二是在广大范围的用户广泛协同及资源共享;三是资源有效的调配。目前,传统的软件需要首先向软件商购买软件,然后在自己的电脑或网络服务器上进行安装和部署,在这个过程中,也许还有各种复杂的配置,特别是对于一些稍大一点儿的企业管理软件,还往往需要专业人士参与才能安装和部署。传统软件的全部运行环境、维护都是用户自己来解决,软件升级不平滑的问题。现有云计算服务的运行环境缺乏统一的管理平台同时支持动态迁移、虚拟机容错、负载均衡、故障恢复、全盘快照删除,大规模虚拟计算资源、存储资源、网络资源的统一管理功能。传统软件系统缺乏专业的反病毒支持,即使购买了反病毒软件,也往往不会正确地使用,并且数据容易丢失,无法保证用户数据的完整性。其中的I^aaS平台作为高度开放,多应用的一个云计算平台,上面集成了大量的应用系统,被亿万用户所使用,所以必须具有高度的安全和稳定性来做支撑。目前I^aaS平台面临的主要问题有1、单系统的独立性。由于整个I^aaS平台是作为多应用系统,大量用户访问,怎么保证单个系统由于自身原因宕机而不影响I^aaS平台以及I^aaS平台其他应用程序的使用。这就要求在I^aS平台上的应用程序具有独立性。2、系统的安全性。集成在I^aaS平台上的应用系统来自各自软件提供商,如何控制上层^aS应用系统的访问权限,使系统数据以及其他系统用户数据不会因为上层^aS应用系统的故障或者其他问题而被泄露。如何保证系统或用户数据不会通过网络或者其他途径被别人获取而泄密。3、多系统下高效的资源利用。集成在I^aaS平台上的应用系统所要求的操作系统以及硬件资源都各有不同,而如果为每一台物理服务器只装一个操作系统,只集成一个应用系统,就容易产生巨大的资源浪费,而且维护起来成本较大。
发明内容
5
本发明解决的技术问题之一在于提供一种基于云计算的I^aaS平台系统,可实现安全、高效利用资源,并可确保各系统的独立性。本发明解决的技术问题之二在于提供一种基于云计算的I^aS平台系统实现方法,可实现安全、高效利用资源,并可确保各系统的独立性。本发明解决上述技术问题之一的技术方案是基于云计算的I^aaS平台系统,其特征在于所述的系统包括有服务请求管理模块、SaaS应用系统、服务发布系统、云操作系统、市场销售管理系统、云计算服务和云计算硬件虚拟化框架,所述的服务请求管理模块主要以门户系统的方式向用户提供云计算平台的公共入口,允许用户以自服务的方式登录云计算平台,查询服务目录,提交服务请求,并对请求和服务进行查看和管理;所述的^aS应用系统提供支撑云计算平台进行商业运营的能力,其主要实现的功能包括企业、用户、部门管理,用户角色、权限管理,计费和结算、订单管理,以及产品权限管理等;同时^aS应用系统还提供客服中心等为客户提供技术支持的能力;所述的服务发布系统为软件供应商提供在云计算平台上进行新服务的设计、开发、测试和发布的全生命周期技术支持,以及软件供应商管理系统;所述的云操作系统提供支撑云计算平台的运行能力,包括对云计算平台的资源管理、配置和容量管理,以及实现云计算服务的自动化部署技术;此外,云操作系统还提供系统的安全备份、监控以及灾备管理;所述的市场销售管理系统主要服务于云计算平台的市场营销,其中主要包括市场活动管理,销售管理和渠道管理;所述的云计算服务是云计算平台向终端用户提供的服务方式,通常包括基础架构服务、平台服务和软件服务;所述的云计算硬件虚拟化框架用于将云计算平台中的物理硬件资源以虚拟化的方式提供给终端用户,具体包括服务器虚拟化、网络虚拟化和存储虚拟化;物理设备包含用于构建云计算平台和为用户提供云计算服务所需的信息硬件资源,它通常包含服务器设备,网络设备和存储设备。所述的云操作系统为G-Cloud云操作系统。对MaS应用系统的数据集成接口包括有单点登录接口、产品鉴权接口、企业部门人员信接口,所述的单点登录(SSO)接口对访问者进行统一的Token认证,以便对用户进行统一的SSO鉴权认证;所述的产品鉴权接口对用户所在公司是否对产品具有访问权限进行强制验证,从而保证用户对产品访问的安全检测;所述的企业部门人员信接口接受企业部门员工组合信息更新。本发明解决上述技术问题之二的技术方案是利用云操作系统对服务器集群进行硬件虚拟化,然后根据应用系统不同要求配置不同的操作系统,对硬件资源进行动态、统一地分配管理;同时使不同系统的用户绑定不同的用户认证证书,采用实时加解密的主动加密防泄密,对集成在I^aaS平台上的应用系统权限进行控制。包括如下步骤,第一步,云操作系统部署包括前端代理、Portal、云控制器、云存储控制器、共享存储服务器、集群控制器、主节点控制器、备节点控制器、块设备存储控制器、证书签发中心、监控控制器的安装与配置;第二步,采用实时加解密技术、主动加密技术、大型数据库加密支持技术对国云在线I^aaS平台和平台上的MaS系统的用户数据进行加密,保障用户数据安全。第三步,利用云操作系统提供的虚拟技术建设I^aaS平台,集成MaS系统。I^aaS平台涉密文件按照如下流程处理A、请求解密申请人填写“涉密文件处理记录单”,写明请求解密的文件及内容,并提交审核人员进行审核;B、审核人员对待解密文档进行审核,看是否能解密外发;若否,则结束;若是,则由请求解密申请人找解密操作员进行文档解密;C、解密操作员根据“涉密文件处理记录单”内容对指定文件进行解密处理;D、文档管理人员对“涉密文件处理记录单”进行存档管理。I^aaS平台与MaS系统的交互流程是,用户使用ISV应用系统之前,首先登录I^aaS平台;登录成功后,I^aaS平台为用户生成平台访问身份认证Token;用户在访问平台中各ISV应用系统时,各ISV应用系统对访问者进行统一的Token认证。PaaS平台与&iaS系统的交互流程中,用户先登录I^aaS平台,再从I^aaS平台提供的入口访问ISV应用的流程是A、用户输入帐号和密码登录到I^aaS平台,PaaS平台为用户产生Token ;B、用户通过平台ISV产品链接或直接登录ISV应用系统,访问ISV应用系统;C、ISV应用系统将用户Token发送到平台进行鉴权;D、PaaS平台将鉴权结果结果信息返回ISV应用系统;用户直接访问ISV的应用系统的流程是A、ISV应用系统发现用户没有登录,将页面导向到I^aaS平台的登录页面;B、用户输入帐号和密码登录到I^aaS平台,PaaS平台为用户产生Token ;C、用户通过平台ISV产品链接或直接登录ISV应用系统,访问ISV应用系统;D、ISV应用系统将用户Token发送到平台进行鉴权;E、PaaS平台将鉴权结果结果信息返回ISV应用系统。本发明可以达到如下有益效果1、满足企业的办公需求,通过搭建虚拟数据中心,企业的每个员工使用廉价云终端接入企业数据中心,企业可以按需租借资源,极大地降低了企业IT成本;此外实现云终端+虚拟机应用方式,保证员工工作需要的同时也保证了数据的安全性,同时充分利用了现有的计算资源,降低了 IT行业单位产出能耗,实现了绿色、环保、低碳的目标。2、维护管理的集中性和简洁性,实施过程中为每一个接入企业提供VPN网络,通过统一的虚拟化管理平台,网管人员能够通过后台操作实现对员工的日常办公管理和维护,集中管理企业数据,大大的减少了日常IT维护工作量,同时减少员工工作时间通过电脑娱乐的行为。
3、解决高性能计算问题,通过资源的整合,充分利用国云科技松山湖机房计算资源,同时按需调配远程计算资源,可弹性、按需提供无限量的计算资源给企业商业计算、数据挖掘、制造模拟等高性能应用,将高性能计算时间缩短到用户可以接受的范围内,提高计算分析工作效率;企业所需的资源以租借的形式提供,避免一次性买入需求,节省企业开展高层次商业计算的开支。4、保证用户数据的高度安全性,这样也保证了即使其他人通过网络或者U盘等形式考走用户数据也一样用不了。防止员工使用U盘、MP3、移动硬盘等可移动存储器将机密资料带出企业、防止通过电子邮件、点对点即时聊天工具0!Q、MSN)等hternet应用将机密、防止通过直接拆卸硬盘或者员工将工作笔记本电脑带出企业将全盘机密数据带走、防止通过图纸打印后转变成纸质媒介泄密。5、降低运营成本,因为云终端的功耗大都在10瓦以内,通过云终端的普及,可降低用电成本30 %以上,并且在后期扩展或添加新应用系统时,可将其直接安装到云管理平台上,极大的减少硬件设备采购成本。
下面结合附图对本发明进一步说明图1是本发明I^aaS平台说明示意图;图2是本发明是I^aaS平台接口实现示意图;图3是本发明I^aaS平台与MaS系统交互流程;图4是本发明I^aaS平台架构图;图5是本发明I^aaS平台涉密文件处理流程。
具体实施例方式见附图1、4所示,本发明国云在线平台既集成MaS应用系统又无缝融入了G-Cloud云操作系统,使MaS和IaaS通过国云在线I^aaS平台三者有机的结合在一起。真正实现了一站式的云计算服务平台。本发明涉及到七个实体,分别为服务请求管理、^aS应用系统、服务发布系统、G-Cloud云操作系统、市场销售管理、云计算服务、云计算硬件虚拟化框架。1、服务请求管理服务请求管理模块主要以门户系统的方式向用户提供云计算平台的公共入口,允许用户以自服务的方式登录国云在线云计算平台,查询服务目录,提交服务请求,并对请求和服务进行查看和管理。2、SaaS应用系统JaaS应用系统提供支撑国云在线云计算平台进行商业运营的能力,其主要实现的功能包括企业、用户、部门管理,用户角色、权限管理,计费和结算、订单管理,以及产品权限管理等。同时^aS应用系统还提供客服中心等为客户提供技术支持的能力。3、服务发布系统服务发布系统为软件供应商(ISV)提供在云计算平台上进行新服务的设计、开发、测试和发布的全生命周期技术支持,以及软件供应商(ISV)管理系统。4、G-Cloud3. 0云操作系统=G-Cloud云操作系统提供支撑云计算平台的运行能力,它包括对云计算平台的资源管理,配置和容量管理,以及实现云计算服务的自动化部署技术。此外,G-Cloud云操作系统还提供系统的安全备份、监控以及灾备管理。5、市场销售管理市场销售管理系统主要服务于云计算平台的市场营销,其中主要包括市场活动管理,销售管理和渠道管理。6、云计算服务云计算服务是云计算平台向终端用户提供的服务方式,通常包括基础架构月艮务(Infrastructure as a service),平台月艮务(Platform as a service)禾口软件月艮务(Software as a service)。7、云计算硬件虚拟化框架虚拟化技术用于将云计算平台中的物理硬件资源以虚拟化的方式提供给终端用户,具体包括服务器虚拟化、网络虚拟化和存储虚拟化。物理设备包含用于构建云计算平台和为用户提供云计算服务所需的信息硬件资源,它通常包含服务器设备,网络设备和存储设备。如图2所示,本发明通过以下通用接口实现对MaS应用系统的数据集成。实现统一的接口标准和规范,提供多样化的功能接口,支持不同语言和架构的应用接入,接口规范支持业务系统单点登录接口(SSO)、产品鉴权接口、企业部门人员信接口。1、单点登录(SSO)接口 用户使用MaS应用系统之前,首先需要登录国云在线PaaS云平台。登录成功后,国云在线云平台为用户生成平台访问身份认证Token(令牌)。用户在访问平台中各业务&iaS应用系统时,各业务&iaS应用系统将通过本接口对访问者进行统一的Token认证。以便对用户进行统一的SSO鉴权认证。2、产品鉴权接口 在用户访问某一个MaS产品应用时,供应商可以通过调用本接口,对用户所在公司是否对产品具有访问权限(用户所在公司是否已订购相应产品)进行强制验证,从而保证用户对产品访问的安全检测。由于平台调用企业员工业务受理接口停用动作时,保存用户列表的供应商根据这个信息更新用户状态,所以保存用户信息的供应商可以不实现该接口 ;而不保存用户信息的供应商必须实现,并且配合SSO鉴权接口一起使用。3、企业部门人员信接口 对于需要企业员工信息的MaS应用业务系统,则实现该接口,以接受企业部门员工组合信息更新。本发明的接口规范与具体的实施步骤如下接口规范接口访问地址:http//www, cncloud. com. cn/TokenService. asmx接口功能说明提供鉴权接口。接口函数说明GCS10101/TokenGetCredence 根据令牌获取用户凭证
权利要求
1.基于云计算的I^aaS平台系统,其特征在于所述的系统包括有服务请求管理模块、SaaS应用系统、服务发布系统、云操作系统、市场销售管理系统、云计算服务和云计算硬件虚拟化框架,所述的服务请求管理模块主要以门户系统的方式向用户提供云计算平台的公共入口,允许用户以自服务的方式登录云计算平台,查询服务目录,提交服务请求,并对请求和服务进行查看和管理;所述的^aS应用系统提供支撑云计算平台进行商业运营的能力,其主要实现的功能包括企业、用户、部门管理,用户角色、权限管理,计费和结算、订单管理,以及产品权限管理等;同时^aS应用系统还提供客服中心等为客户提供技术支持的能力;所述的服务发布系统为软件供应商提供在云计算平台上进行新服务的设计、开发、测试和发布的全生命周期技术支持,以及软件供应商管理系统;所述的云操作系统提供支撑云计算平台的运行能力,包括对云计算平台的资源管理、配置和容量管理,以及实现云计算服务的自动化部署技术;此外,云操作系统还提供系统的安全备份、监控以及灾备管理;所述的市场销售管理系统主要服务于云计算平台的市场营销,其中主要包括市场活动管理,销售管理和渠道管理;所述的云计算服务是云计算平台向终端用户提供的服务方式,通常包括基础架构服务、平台服务和软件服务;所述的云计算硬件虚拟化框架用于将云计算平台中的物理硬件资源以虚拟化的方式提供给终端用户,具体包括服务器虚拟化、网络虚拟化和存储虚拟化;物理设备包含用于构建云计算平台和为用户提供云计算服务所需的信息硬件资源,它通常包含服务器设备,网络设备和存储设备。
2.根据权利要求1所述的I^aaS平台系统,其特征在于所述的云操作系统为G-Cloud云操作系统。
3.根据权利要求1或2所述的I^aaS平台系统,其特征在于对MaS应用系统的数据集成接口包括有单点登录接口、产品鉴权接口、企业部门人员信接口,所述的单点登录(SSO)接口对访问者进行统一的Token认证,以便对用户进行统一的SSO鉴权认证;所述的产品鉴权接口对用户所在公司是否对产品具有访问权限进行强制验证,从而保证用户对产品访问的安全检测;所述的企业部门人员信接口接受企业部门员工组合信息更新。
4.权利要求1-3任一项所述的I^aaS平台系统实现方法,其特征在于利用云操作系统对服务器集群进行硬件虚拟化,然后根据应用系统不同要求配置不同的操作系统,对硬件资源进行动态、统一地分配管理;同时使不同系统的用户绑定不同的用户认证证书,采用实时加解密的主动加密防泄密,对集成在I^aaS平台上的应用系统权限进行控制。
5.根据权利要求4所述的实现方法,其特征在于包括如下步骤,第一步,云操作系统部署包括前端代理、Portal、云控制器、云存储控制器、共享存储服务器、集群控制器、主节点控制器、备节点控制器、块设备存储控制器、证书签发中心、监控控制器的安装与配置;第二步,采用实时加解密技术、主动加密技术、大型数据库加密支持技术对国云在线I^aaS平台和平台上的MaS系统的用户数据进行加密,保障用户数据安全。第三步,利用云操作系统提供的虚拟技术建设I^aaS平台,集成^aS系统。
6.权利要求4或5所述的实现方法,其特征在于TaaS平台涉密文件按照如下流程处理A、请求解密申请人填写“涉密文件处理记录单”,写明请求解密的文件及内容,并提交审核人员进行审核;B、审核人员对待解密文档进行审核,看是否能解密外发;若否,则结束;若是,则由请求解密申请人找解密操作员进行文档解密;C、解密操作员根据“涉密文件处理记录单”内容对指定文件进行解密处理;D、文档管理人员对“涉密文件处理记录单”进行存档管理。
7.根据权利要求4或5所述的实现方法,其特征在于JaaS平台与MaS系统的交互流程是,用户使用ISV应用系统之前,首先登录I^aS平台;登录成功后,PaaS平台为用户生成平台访问身份认证Token ;用户在访问平台中各ISV应用系统时,各ISV应用系统对访问者进行统一的iToken认证。
8.根据权利要求6所述的实现方法,其特征在于TaaS平台与MaS系统的交互流程是,用户使用ISV应用系统之前,首先登录I^aaS平台;登录成功后,PaaS平台为用户生成平台访问身份认证Token ;用户在访问平台中各ISV应用系统时,各ISV应用系统对访问者进行统一的iToken认证。
9.根据权利要求7所述的实现方法,其特征在于JaaS平台与MaS系统的交互流程中,用户先登录I^aaS平台,再从I^aaS平台提供的入口访问ISV应用的流程是A、用户输入帐号和密码登录到I^aaS平台,PaaS平台为用户产生Token;B、用户通过平台ISV产品链接或直接登录ISV应用系统,访问ISV应用系统;C、ISV应用系统将用户Token发送到平台进行鉴权;D、I^aaS平台将鉴权结果结果信息返回ISV应用系统;用户直接访问ISV的应用系统的流程是A、ISV应用系统发现用户没有登录,将页面导向到I^aaS平台的登录页面;B、用户输入帐号和密码登录到I^aaS平台,PaaS平台为用户产生Token;C、用户通过平台ISV产品链接或直接登录ISV应用系统,访问ISV应用系统;D、ISV应用系统将用户Token发送到平台进行鉴权;E、PaaS平台将鉴权结果结果信息返回ISV应用系统。
10.根据权利要求8所述的实现方法,其特征在于JaaS平台与MaS系统的交互流程中,用户先登录I^aaS平台,再从I^aaS平台提供的入口访问ISV应用的流程是A、用户输入帐号和密码登录到I^aaS平台,PaaS平台为用户产生Token;B、用户通过平台ISV产品链接或直接登录ISV应用系统,访问ISV应用系统;C、ISV应用系统将用户Token发送到平台进行鉴权;D、I^aaS平台将鉴权结果结果信息返回ISV应用系统;用户直接访问ISV的应用系统的流程是A、ISV应用系统发现用户没有登录,将页面导向到I^aaS平台的登录页面;B、用户输入帐号和密码登录到I^aaS平台,PaaS平台为用户产生Token;C、用户通过平台ISV产品链接或直接登录ISV应用系统,访问ISV应用系统;D、ISV应用系统将用户Token发送到平台进行鉴权;E、PaaS平台将鉴权结果结果信息返回ISV应用系统。
全文摘要
本发明涉及云计算领域,尤其是一种基于云计算的PaaS平台系统及其实现方法。本发明的系统统包括有服务请求管理模块、SaaS应用系统、服务发布系统、云操作系统、市场销售管理系统、云计算服务和云计算硬件虚拟化框架;利用云操作系统对服务器集群进行硬件虚拟化,然后根据应用系统不同要求配置不同的操作系统,对硬件资源进行动态、统一地分配管理;同时使不同系统的用户绑定不同的用户认证证书,采用实时加解密的主动加密防泄密,对集成在PaaS平台上的应用系统权限进行控制。本发明解决个系统独立性、安全性和资源高效利用问题,可以应用于云计算的PaaS平台系统中。
文档编号H04L29/08GK102571948SQ201110453030
公开日2012年7月11日 申请日期2011年12月29日 优先权日2011年12月29日
发明者刘华军, 孙傲冰, 季统凯, 张来卿, 朱甜文 申请人:国云科技股份有限公司