一种IaaS系统中的通信方法及其系统与流程

文档序号:11254090阅读:528来源:国知局
一种IaaS系统中的通信方法及其系统与流程

本发明涉及云计算合法认证技术领域,特别是涉及一种iaas系统中的通信方法及其系统。



背景技术:

iaas系统作为云计算的一种重要服务模式,是当今公有云/私有云的主要形态,实现了计算、存储、网络等基础资源的服务封装,通过提供vm(virtualmachine,虚拟机)完成资源的供给与交付。iaas系统的资源可以分为物理资源(如服务器)和虚拟资源(如vm),通过系统服务(s)完成资源的组织、管理和调度。从资源管理涉及的角色(或者说用户端)来看,可以分为资源的使用者(t,以租户为主,主要使用vm)和资源管理者(m,配置资源分配和授权策略)。在租户业务运行的过程中,iaas系统服务(s)或者vm经常代理租户(t)去完成一些资源的申请和释放工作。

但是,目前系统服务或vm代理租户时,任何系统服务和vm均可作为代理方,即无法保证代理方执行的代理操作的合法性,故代理操作容易被恶意用户利用,安全性低。

因此,如何提供一种安全性高的iaas系统中的通信方法及其系统是本领域技术人员目前需要解决的问题。



技术实现要素:

本发明的目的是提供一种iaas系统中的通信方法及其系统,能够令代理方携带被代理方发送的具体合法效力的代理证书进行代理操作,保证了iaas系统中代理操作的合法性和安全性。

为解决上述技术问题,本发明提供了一种iaas系统中的通信方法,基于公钥基础设施pki;所述方法包括:

所述iaas系统中的代理方生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;

所述被代理方依据自身存储的合法证书对应的私钥签发所述代理方发送的公钥,生成代理证书返回给所述代理方;

在预设生命周期内,所述代理方依据所述代理证书来代理所述被代理方进行相应的操作。

优选地,所述代理方包括虚拟机和系统服务;所述代理证书内还包括所述被代理方签发的虚拟机或系统服务的序列号。

优选地,所述代理方依据所述代理证书来代理所述被代理方进行相应的操作的过程具体包括:

所述代理方验证自身代理证书的合法性;

验证合法后,所述代理方验证所述代理证书内包含的序列号是否与自身序列号相同;

若相同,所述代理方通过验证后的代理证书建立与被通信方的连接;

所述被通信方验证所述代理证书的合法性;

若合法,所述被通信方提取所述代理证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,所述被通信方接收所述代理方的连接请求,否则,通信终止。

优选地,所述iaas系统中的物理资源均携带有唯一的系统身份证书,所述身份证书包括所述物理资源主板的序列号;所述方法还包括:

作为请求方的物理资源验证自身的系统身份证书的合法性;

验证合法后,所述请求方验证自身系统身份证书内的相应字段是否与自身序列号相同;

若相同,所述请求方通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;

所述被通信方验证所述请求方的系统身份证书的合法性;

若合法,所述被通信方提取所述请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,所述被通信方接收所述请求方的连接请求,否则,通信终止。

优选地,所述iaas系统中的用户端携带有唯一的角色身份证书,所述角色身份证书包括所述用户端的身份标识符;所述方法还包括:

接收所述用户端发送的携带有自身角色身份证书的资源授权请求;

将所述角色身份证书内的身份标识符与预设的全局映射表进行比较,确定所述身份标识符对应的资源权限;

依据所述资源权限对所述用户端进行授权。

优选地,所述全局映射表具体包括资源级全局映射表和主机级全局映射表;

所述资源级全局映射表内身份表示被对应的权限内容包括计算资源配额、存储资源配额和网络资源配额;

所述主机级全局映射表内身份表示被对应的权限内容包括用户端使用本机资源的允许权限、用户端在本机映射的账户信息以及用户端在本机的资源配额。

为解决上述技术问题,本发明还提供了一种iaas系统中的通信系统,基于公钥基础设施pki;所述系统包括代理方和被代理方;

所述代理方包括:

公私钥对生成模块,用于生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;

代理模块,用于在预设生命周期内,依据所述代理证书来代理所述被代理方进行相应的操作。

所述被代理方包括:

签发模块,用于依据自身存储的合法证书对应的私钥签发所述代理方发送的公钥,生成代理证书返回给所述代理方。

优选地,所述iaas系统中的物理资源均携带有唯一的系统身份证书,所述身份证书包括所述物理资源主板的序列号;所述系统还包括设置于每个物理资源上的请求方验证模块和被请求方验证模块;

所述请求方验证模块,用于验证自身的系统身份证书的合法性;验证合法后,验证自身系统身份证书内的相应字段是否与自身序列号相同;若相同,通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;

所述被请求方验证模块,用于验证所述请求方的系统身份证书的合法性;若合法,提取所述请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,接收所述请求方的连接请求,否则,通信终止。

优选地,所述iaas系统中的用户端携带有唯一的角色身份证书,所述角色身份证书包括所述用户端的身份标识符;所述系统还包括:

资源管理模块,用于接收所述用户端发送的携带有自身角色身份证书的资源授权请求;将所述角色身份证书内的身份标识符与预设的全局映射表进行比较,确定所述身份标识符对应的资源权限;依据所述资源权限对所述用户端进行授权。

本发明提供了一种iaas系统中的通信方法及其系统,基于公钥基础设施pki,使代理方生成公私钥对,并将公钥发送给被代理方;被代理方(如租户)自身存储有具有合法效力的证书,该证书会包含唯一对应的私钥,被代理方依据该私钥来签发代理方发送的公钥,从而生成代理证书返回代理方,之后代理方可以携带该代理证书进行代理操作。由于被代理方预先存储的证书具有合法效力,该证书对应的私钥也具有合法效力,进而由该私钥签发的公钥也具有合法效力,因此包含该签发的公钥的代理证书相当于被代理方发送给代理方的一个合法的委托书,被代理方使用该代理证书进行代理操作,能够保证自身执行的代理操作的合法性,从而提高了代理操作的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1为本发明提供的一种iaas系统中的通信方法的过程的流程图;

图2为本发明提供的一种iaas系统中的通信方法中物理资源间通信的过程的流程图;

图3为本发明提供的一种iaas系统中的通信方法中资源授权的过程的流程图;

图4为本发明提供的一种iaas系统中的通信系统的结构示意图。

具体实施方式

本发明的核心是提供一种iaas系统中的通信方法及其系统,能够令代理方携带被代理方发送的具体合法效力的代理证书进行代理操作,保证了iaas系统中代理操作的合法性和安全性。

为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

本发明提供了一种iaas(infrastructureasaservice,基础设施即服务)系统中的通信方法,基于公钥基础设施(publickeyinfrastructure,pki);参见图1所示,图1为本发明提供的一种iaas系统中的通信方法的过程的流程图;该方法包括:

步骤s11:iaas系统中的代理方生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;

步骤s12:被代理方依据自身存储的合法证书对应的私钥签发代理方发送的公钥,生成代理证书返回给代理方;

步骤s13:在预设生命周期内,代理方依据代理证书来代理被代理方进行相应的操作。

需要注意的是,为实施本发明,需要在iaas环境内建立必要的pki基础设施,主要包括一个认证机构(ca)、数字证书库、证书撤销系统、备份系统等,用于用户端或者说角色(例如管理员和租户)和身份证书的生成。

其中,代理方包括虚拟机和系统服务;代理证书内还包括被代理方签发的虚拟机或系统服务的序列号。被代理方包括租户或管理员等。

可以理解的是,ca是具有合法效力的认证机构,ca会给每个被代理方发放一个合法证书用来表征被代理方的身份,该合法证件具有合法效力且其包含有一个唯一对应的私钥,被代理方利用该私钥签发代理方发送的公钥,则该公钥也具有合法效力,故包含该公钥的代理证书能够表征代理方代理操作的合法性。

另外,这里的签发操作具体可以为利用合法证书的私钥对代理方发送的公钥进行加密操作,或者也可采用其他操作,具体本发明不作限定。

可以理解的是,在iaas环境中,虚拟资源是按需生成的,其行为代表着租户行为,同时系统服务代表租户发出行动时(例如按需增加vm),也应视为租户行为。通过代理证书进行代理操作,能够实现对代理方的身份鉴定,并且阻止伪造/冒用其他租户身份进行操作。

进一步的,代理方依据代理证书来代理被代理方进行相应的操作的过程具体包括:

代理方验证自身代理证书的合法性;

验证合法后,代理方验证代理证书内包含的序列号是否与自身序列号相同;

若相同,代理方通过验证后的代理证书建立与被通信方的连接;

被通信方验证代理证书的合法性;

若合法,被通信方提取代理证书内的序列号和来源地址并与预设全局地址列表进行比较,判断来源地址是否处于序列号对应的地址范围,若是,被通信方接收代理方的连接请求,否则,通信终止。

其中,代理方与被通信方建立的连接优选为ssl(securesocketslayer安全套接层)连接,ssl协议是为网络通信提供安全及数据完整性的一种安全协议。

在优选实施例中,iaas系统中的物理资源均携带有唯一的系统身份证书,身份证书包括物理资源主板的序列号;参见图2所示,图2为本发明提供的一种iaas系统中的通信方法中物理资源间通信的过程的流程图;该方法还包括:

步骤s21:作为请求方的物理资源验证自身的系统身份证书的合法性;

步骤s22:验证合法后,请求方验证自身系统身份证书内的相应字段是否与自身序列号相同;

步骤s23:若相同,请求方通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;

步骤s24:被通信方验证请求方的系统身份证书的合法性;

步骤s25:若合法,被通信方提取请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断来源地址是否处于序列号对应的地址范围,若是,被通信方接收请求方的连接请求,否则,通信终止。

可以理解的是,通过上述操作,没有经过认证的服务器无法与系统内的其他服务器建立连接,从而将限制了该物理资源所带来的威胁。对于存储设备、网络设备可以采用同样的方式进行处理。上述操作保证了物理资源之间通信的合法性。

其中,上述来源地址可以为物理资源的ip地址。当然,本发明对此不作限定。

在优选实施例中,iaas系统中的用户端携带有唯一的角色身份证书,角色身份证书包括用户端的身份标识符;参见图3所示,图3为本发明提供的一种iaas系统中的通信方法中资源授权的过程的流程图;该方法还包括:

步骤s31:接收用户端发送的携带有自身角色身份证书的资源授权请求;

步骤s32:将角色身份证书内的身份标识符与预设的全局映射表进行比较,确定身份标识符对应的资源权限;

步骤s33:依据资源权限对用户端进行授权。

可以理解的是,通过上述操作,用户端只能使用授权后的部分资源,保证了用户端(如租户)对物理资源(如pm2)的合法使用。

进一步可知,全局映射表具体包括资源级全局映射表和主机级全局映射表;

资源级全局映射表内身份表示被对应的权限内容包括计算资源配额、存储资源配额和网络资源配额;

主机级全局映射表内身份表示被对应的权限内容包括用户端使用本机资源的允许权限、用户端在本机映射的账户信息以及用户端在本机的资源配额。

当然,以上仅为一种具体资源权限设置方式,还可设置其他类型的资源权限,本发明对此不作限定。

另外,本发明中的角色身份证书和系统身份证书均可以采用x509证书,其中,证书内携带的序列号或身份标识符具体在x509证书中的cn字段内。当然,以上仅为一种优选方案,证书的类型和携带的标识的位置本发明不作具体限定。

本发明提供了一种iaas系统中的通信方法,基于公钥基础设施pki,使代理方生成公私钥对,并将公钥发送给被代理方;被代理方(如租户)自身存储有具有合法效力的证书,该证书会包含唯一对应的私钥,被代理方依据该私钥来签发代理方发送的公钥,从而生成代理证书返回代理方,之后代理方可以携带该代理证书进行代理操作。由于被代理方预先存储的证书具有合法效力,该证书对应的私钥也具有合法效力,进而由该私钥签发的公钥也具有合法效力,因此包含该签发的公钥的代理证书相当于被代理方发送给代理方的一个合法的委托书,被代理方使用该代理证书进行代理操作,能够保证自身执行的代理操作的合法性,从而提高了代理操作的安全性。

本发明还提供了一种iaas系统中的通信系统,基于公钥基础设施pki;参见图4所示,图4为本发明提供的一种iaas系统中的通信系统的结构示意图。该系统包括代理方和被代理方;

代理方包括:

公私钥对生成模块11,用于生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;

代理模块12,用于在预设生命周期内,依据代理证书来代理被代理方进行相应的操作。

被代理方包括:

签发模块2,用于依据自身存储的合法证书对应的私钥签发代理方发送的公钥,生成代理证书返回给代理方。

其中,被代理方指的是用户端,即包括租户和管理员等,代理方指的是系统端,包括系统服务和虚拟机等。

在优选实施例中,iaas系统中的物理资源均携带有唯一的系统身份证书,身份证书包括物理资源主板的序列号;系统还包括设置于每个物理资源上的请求方验证模块13和被请求方验证模块14;

请求方验证模块13,用于验证自身的系统身份证书的合法性;验证合法后,验证自身系统身份证书内的相应字段是否与自身序列号相同;若相同,通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;

被请求方验证模块14,用于验证请求方的系统身份证书的合法性;若合法,提取请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断来源地址是否处于序列号对应的地址范围,若是,接收请求方的连接请求,否则,通信终止。

在优选实施例中,iaas系统中的用户端携带有唯一的角色身份证书,角色身份证书包括用户端的身份标识符;系统还包括:

资源管理模块15,用于接收用户端发送的携带有自身角色身份证书的资源授权请求;将角色身份证书内的身份标识符与预设的全局映射表进行比较,确定身份标识符对应的资源权限;依据资源权限对用户端进行授权。

本发明提供了一种iaas系统中的通信系统,基于公钥基础设施pki,使代理方生成公私钥对,并将公钥发送给被代理方;被代理方(如租户)自身存储有具有合法效力的证书,该证书会包含唯一对应的私钥,被代理方依据该私钥来签发代理方发送的公钥,从而生成代理证书返回代理方,之后代理方可以携带该代理证书进行代理操作。由于被代理方预先存储的证书具有合法效力,该证书对应的私钥也具有合法效力,进而由该私钥签发的公钥也具有合法效力,因此包含该签发的公钥的代理证书相当于被代理方发送给代理方的一个合法的委托书,被代理方使用该代理证书进行代理操作,能够保证自身执行的代理操作的合法性,从而提高了代理操作的安全性。

本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。

还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1