基于UKey的云计算资源管理方法与流程

文档序号:11215791阅读:693来源:国知局
本发明属于计算机科学与
技术领域
:,具体涉及基于ukey的云计算资源管理方法。
背景技术
::作为一种崭新的计算模式,云计算技术利用网络将各种不同类型的资源,包括计算资源(例如虚拟机)、存储资源(例如云存储空间)和网络资源(例如带宽)等以服务的方式按需提供给用户。为了使用这些资源,用户首先需要通过云计算平台的身份认证。传统云计算平台中的身认证机制通常采用口令的方式进行,安全性较差,而且不支持用户间资源的相互授权或转移,在资源的管理上欠缺灵活性。在目前几种身份认证方式中,最常见的是使用用户名加口令的方式,但这也是最原始、安全性不高的身份确认方式,比较容易由于外部泄露等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被窃取。第二种是生物特征识别技术,该技术以人体唯一的生物特征为依据(包括指纹、声音、虹膜等),具有很好的安全性和有效性,但实现技术尚不成熟,在应用推广中受限制较多。第三种,也是现在电子政务和电子商务领域最流行的身份认证方式-基于usbkey(简称为ukey)的身份认证。usbkey结合了现代密码学技术、智能卡技术和usb技术,是新一代身份认证产品,具有pin码和硬件双因子认证特点,同时带有安全的存储空间和处理芯片,实现加密算法。如今,云计算技术快速普及,但传统云计算平台上用户不能使用usbkey进行身份认证,同时,对于云计算资源的管理集中在资源分配、资源调度的研究上。资源的合理调度、分配可以确保云平台中未使用资源的合理利用,但对已经分配给用户的云计算资源,则不能达到管理目的。技术实现要素:本发明的目的在于克服上述不足,提供一种基于ukey的云计算资源管理方法,降低云平台上用户名、口令登录方式的安全风险,同时,实现用户间资源的转让和授权,提高资源管理的灵活性。为了达到上述目的,本发明包括以下步骤:步骤一,在ukey中导入客户端用户证书、私钥以及ca根证书;步骤二,用户登录云计算平台服务器监测客户端用户请求,发送服务器端数字证书scert到客户端,客户端接收服务器证书scert,检测ukey硬件,进行硬件pin码验证,客户端对接收到的服务器端证书进行验证,验证失败则结束访问,成功则继续;步骤三,客户端通过相应浏览器控件读取ukey内用户数字证书ccert,用户名以及密码,客户端调用控件加密模块encrypt,使用ukey加密算法对用户名、密码进行加密,浏览器发送客户端用户证书ccert,加密后用户名enuser以及密码enpass到服务器进行验证,服务器调用验证模块对客户端用户身份进行验证,如果验证通过,允许用户使用资源,否则,提示用户验证失败;步骤四,用户进行定向和非定向的转让、授权、撤销授权云计算资源操作。所述步骤二中,客户端对接收到的服务器端证书进行验证的具体方法如下:1)、客户端转化服务器证书scert格式,获取证书未签名部分utext;2),根据摘要算法对utext进行相应运算,获得摘要a;3),获取服务器证书scert签名部分stext,读取ukey内ca根证书rcert,结合rcert对stext进行解密运算,得到摘要a’;4),比较摘要a以及a’,两者一致则服务器端证书合法。所述步骤三中,客户端用户身份验证包括用户名、密码和数字证书验证,数字证书验证的具体方法如下:1),服务器接收客户端数字证书ccert,转化为验证所需结构;2),服务器读取根证书rcert,进行格式转化;3),初始化证书存储区及证书校验上下文;4),结合rcert验证客户端用户证书ccert的有效性和完整性。所述步骤四中,用户进行定向转让和授权云计算资源的具体步骤如下:1)获取用户选择类型action值为d,d代表定向操作;2)对用户云计算资源进行定向转让、授权管理步骤;2a)客户端获取ukey内用户数字证书ccert发送到服务器进行验证;2b)服务器获取根证书rcert对ccert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;2c)获取用户名操作用户auser,对象用户buser,资源id号sour_id;2d)获取用户操作选择chosen,如果chosen值为s,s为授权操作,则跳转到步骤2e)~2g);如果chosen值为t,t为转让操作,则执行步骤2h)~2i);2e)读取auser资源列表sour_table,标记sour_id资源为共享状态;2f)添加sour_id资源信息到auser共享资源列表sour_shared中,记录用户buser信息;2g)读取buser资源列表sour_table,添加sour_id资源项,并标记为被授权状态;2h)读取auser资源列表sour_table,删除sour_id资源项;2i)读取buser资源列表sour_table,添加sour_id资源项。所述步骤四中,用户进行非定向转让和授权云计算资源的具体步骤如下:1)获取用户选择类型action,action值为r,r代表非定向操作;2)对用户云计算资源进行非定向转让、授权管理步骤;2a)客户端获取ukey内用户数字证书ccert发送到服务器进行验证;2b)服务器获取根证书rcert对ccert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;2c)获取用户名user信息,资源id号sour_id;2d)获取用户操作选择chosen,如果chosen值为s,s为授权操作,则执行步骤2e)~2g);如果chosen值为t,t为转让操作,则跳转步骤2h)~2i);2e)读取user资源列表sour_table,标记sour_id资源为共享状态;2f)添加sour_id资源信息到user共享资源列表sour_shared;2g)读取系统授权资源列表sys_sourshared,添加sour_id资源项;2h)读取user资源列表sour_table,删除sour_id资源项;2i)读取系统资源列表sys_sourtable,添加sour_id资源项。所述步骤四中,用户进行定向撤销授权云计算资源的具体方法如下:1)获取用户选择类型action,action值为d,d为定向操作;2)用户云计算资源定向授权撤销管理;2a)客户端获取ukey内用户数字证书ccert发送到服务器进行验证;2b)服务器获取根证书rcert对ccert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;2c)获取用户名auser操作用户,buser对象用户,资源id号sour_id;2d)读取用户auser的相应资源列表sour_shared,获取用户buser信息;2e)获取sour_id状态,如果为空闲则执行步骤2f)~2h),如果为运行则结束操作;2f)删除用户auser资源列表sour_shared中的sour_id项信息;2g)修改用户auser资源列表sour_table中sour_id项标记,标记为可共享状态;2h)获取buser资源列表sour_table,删除sour_id项信息。所述步骤四中,用户进行非定向撤销授权云计算资源的具体方法如下:1)获取用户选择类型action,action值为r,r为非定向操作;2)用户云计算资源非定向授权撤销管理;2a)客户端获取ukey内用户数字证书ccert发送到服务器进行验证;2b)服务器获取根证书rcert对ccert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;2c)获取用户user信息,资源信息sour_id;2d)获取sour_id资源状态,如果为空闲则执行步骤2e)~2g),如果为运行则结束操作;2e)删除用户user资源列表sour_shared中的sour_id项信息;2f)修改用户user资源列表sour_table中sour_id项,标记为可共享;2g)删除系统共享资源列表sys_sourshared中sour_id资源项信息。与现有技术相比,本发明具有以下有益效果:本发明具有更强的安全性;传统云计算平台中采用用户名、口令认证方式,而本发明基于ukey进行用户身份认证,综合采用ukey、pin码、数字证书、口令多重因子的强认证方式。用户在登录云平台系统时,需要完成双向的数字证书认证,双方验证都成功后,客户端才能登录系统,访问云计算资源。同时,选择将用户名、密码以及相关数字证书存储在ukey内部,避免网页输入和下载。本发明对云计算资源管理时采用的认证方式,极大增强了用户访问云计算资源的安全性。进一步的,本发明具有更大的灵活性;现有的云计算资源管理主要集中在对云平台资源的资源分配、资源调度上,本发明提供了对用户已有云计算资源的转让、授权和撤销授权管理方法(支持定向和非定向两种授权/转让方式),提高了云计算资源管理的灵活性,以及资源的使用率。用户间资源相互授权和转让时,需要结合ukey完成对用户数字证书的认证,增强安全性。附图说明图1是本发明的流程图。具体实施方式下面结合附图对本发明做进一步说明。本发明是在用户登录云计算平台系统,访问云计算资源(比如虚拟机、云存储空间等)之前,首先完成基于ukey的双向身份认证,认证通过后,用户才可以使用相应资源。同时,针对用户已有的云计算资源,提供基于ukey认证的转让、授权以及授权撤销操作,用户经过授权后可将云计算资源进行共享使用或是直接转让给其他用户使用。参照图1,本发明基于ukey对云计算资源进行管理,包括用户身份认证和用户间资源的转让和授权管理。其中用户认证部分包括用户登录云平台系统时的双向身份认证和用户对云计算资源访问和操作前的用户数字证书认证。用户完成基于ukey的双向认证登录系统后,对云计算资源进行授权、转让以及授权撤销操作。一,ukey初始化步骤步骤i,验证硬件pin码,登入ukey;用户在使用ukey硬件之前,需完成pin码验证,验证通过后,登入ukey,继续后续操作;步骤ii,导入客户端用户证书、私钥;使用openssl签发客户端证书,并将其导入ukey,用户在登录云平台系统或是进行相关操作时,结合ukey内证书信息完成身份认证;步骤iii,导入ca根证书;使用openssl创建ca根证书,导入ukey内部。客户端对接收到的服务器证书进行验证时结合该根证书进行。二,用户登录云计算平台使用云计算资源步骤参照图1,本部分的具体实现如下:步骤1,用户打开浏览器,发送服务器访问请求;b/s模式云平台系统中,客户端用户通过浏览器发送访问请求,进行登录验证;步骤2,服务器监测客户端用户请求,发送服务器端数字证书scert到客户端;用户在登录云计算平台时,需要对云计算平台服务器身份进行验证;步骤3,客户端接收服务器证书scert,检测ukey硬件,进行硬件pin码验证;每个客户端用户持有一个私人ukey硬件,登录云平台系统前需要插入并完成pin验证,验证成功才能使用ukey;步骤4,客户端通过浏览器控件结合ukey内ca根证书验证服务器证书scert,验证失败则结束访问,成功则继续步骤5;本发明为每个用户ukey中导入ca根证书,同时颁发客户端用户证书。ca根证书用于登录时验证服务器证书,用户证书用于登录和用户相关操作时进行身份认证。(4a)客户端转化服务器证书scert格式,获取证书未签名部分utext;(4b)根据摘要算法对utext进行相应运算,获得摘要a;(4c)获取服务器证书scert签名部分stext,读取ukey内ca根证书rcert,结合rcert对stext进行解密运算,得到摘要a’;(4d)比较摘要a以及a’,两者一致则服务器端证书合法;步骤5,客户端通过相应浏览器控件读取ukey内用户数字证书ccert,用户名以及密码;用户名和密码存储在ukey内,避免网页输入;步骤6,客户端调用控件加密模块encrypt,使用ukey加密算法,对用户名、密码进行加密;ukey硬件内部包含加密芯片,结合ukey提供的加密算法,对保存在ukey内的用户账号信息进行加密后传输,提高信息的安全性;步骤7,浏览器发送客户端用户证书ccert,加密后用户名enuser,密码enpass到服务器进行验证;步骤8,服务器调用验证模块对客户端用户身份进行验证;用户名、密码验证同传统方式相同。服务器端对用户数字证书进行验证,如果为受信任的ca所颁发,则用户身份合法,验证过程如下:(8a)服务器接收客户端数字证书ccert,进行格式转化,客户端发送到服务器的为编码过的字符串形式证书,服务器验证时将其转化为所需格式;(8b)服务器读取根证书rcert,进行格式转化。ca根证书以文件形式保存在服务器端,对客户端证书进行验证时结合给根证书进行;(8c)初始化证书存储区及证书校验上下文,将需要验证的用户证书及ca根证书加入相应的证书存储区以及证书校验上下文中;(8d)结合rcert验证客户端用户证书ccert的有效性和完整性;有效性验证对证书的有效期进行检查,完整性主要对用户证书的ca签名部分进行验证;步骤9,如果验证通过,允许用户使用资源,否则,提示验证失败。三,用户间云计算资源转让和授权管理步骤参照图1,本部分的具体实现如下:步骤一,获取用户选择类型action,如果action值d,则执行步骤二;如果action值为r,则执行步骤三;本发明针对云计算资源管理,提供两种方式的用户间资源转让和授权操作。将用户选择类型定义为d或r值。d代表用户定向选择。转让和授权云计算资源时,可以指定具体对象用户。r代表非定向操作。用户在授权和转让相应资源后,由系统对该云计算资源进行统一管理和分配,可以分配给任意用户使用;步骤二,对用户云计算资源进行定向转让、授权管理;本发明基于ukey进行用户间资源定向转让、授权管理。用户发送ukey内数字证书通过验证后,可以指定对象用户进行云计算资源的转让和授权。详细步骤如下:(2a)基于ukey对用户身份进行认证。用户ukey内存储用户数字证书。通过浏览器控件读取用户证书发送到服务器端后,通过相应模块验证证书合法性,确保用户身份合法,提高资源管理的安全性。过程如下:(2a1)客户端获取ukey内用户数字证书ccert发送到服务器进行验证。通过openssl签发客户端用户证书,并将其导入到用户ukey内。浏览器控件内部实现证书读取功能;(2a2)服务器获取根证书rcert对ccert进行合法性验证。验证成功继续,失败则结束用户操作;服务器验证客户端证书有效期,颁发机构,ca签名等信息,确认用户证书是否为受信任机构所颁发。(2b)获取用户名auser(操作用户),buser(对象用户),资源id号sour_id;(2c)获取用户操作选择chosen。如果chosen值为s(授权操作),则执行步骤(2d);如果chosen值为t(转让操作),则执行步骤(2e);(2d)对用户云计算资源进行定向共享管理。系统为每个用户不同云计算资源维护相应的资源列表sour_table和共享资源列表sour_shared。sour_table中记录用户已有的资源信息,sour_shared中记录用户共享的资源信息,同时记录共享对象用户信息,用于撤销操作。共享步骤如下:(2d1)读取auser资源列表sour_table,标记sour_id资源为共享状态;用户将资源进行授权后标记为共享状态,共享后的资源可以进行撤销管理。(2d2)添加sour_id资源信息到auser共享资源列表sour_shared,记录用户buser信息;用户选择撤销操作时,需要知道共享对象用户;(2d3)读取buser资源列表sour_table,添加sour_id资源项,并标记为被授权状态;用户对共享的资源只具有使用权,不能对其再次进行转让和授权操作。(2e)用户云计算资源进行定向转让管理。定向转让后直接将相应云计算资源信息添加到转让对象用户资源列表中,转让后用户不再拥有该资源,不进行撤销管理。实现如下:(2e1)读取auser资源列表sour_table,删除sour_id资源项;(2e2)读取buser资源列表sour_table,添加sour_id资源项;步骤三,对用户云计算资源进行非定向转让、授权管理步骤;(3a)基于ukey对用户身份进行认证;本步骤实现和步骤二的(2a)部分相同。(3b)获取用户名user信息,资源id号sour_id;(3b)获取用户操作选择chosen。如果chosen值为s,则执行步骤(3c);如果chosen值为t,则执行步骤(3d);本专利方法中将用户操作选择定义为s,t,a三类。s代表授权操作,用户可将云计算资源进行共享;t代表转让,用户可将云计算资源进行转让处理;a代表撤销,用户可对已共享的资源进行撤销操作,结束共享。(3c)对用户云计算资源进行非定向共享管理。非定向授权时,用户对资源进行共享时不指定对象用户,由系统对共享的资源进行统一管理,随机分配。(3c1)读取user资源列表sour_table,标记sour_id资源为共享状态。(3c2)user共享资源列表sour_shared中添加sour_id资源信息。(3c3)读取系统授权资源列表sys_sourshared,添加sour_id资源项。(3d)用户云计算资源非定向转让管理:(3d1)读取user相应资源列表sour_table,删除sour_id资源项。(3d2)读取系统资源列表sys_sourtable,添加sour_id资源项。四,用户撤销授权云计算资源步骤用户对云计算资源进行授权共享后,可以进行相应的撤销操作,此时,获取到的用户操作类型为a(授权撤销)。经过撤销后,该资源不再进行共享。步骤如下:步骤a,获取用户选择类型action,如果action值为d(定向操作),则执行步骤b;如果action值为r(非定向操作),则执行步骤c;步骤b,用户云计算资源定向授权撤销管理;(b1)客户端获取ukey内用户数字证书ccert发送到服务器进行验证;客户端通过相应浏览器控件读取ukey内用户数字证书信息。(b2)服务器获取根证书rcert对ccert进行合法性验证。验证成功继续步骤(b3),失败则结束用户操作;(b3)获取用户名auser(操作用户),buser(对象用户),资源id号sour_id;定向授权操作时,用户指定授权对象,并对相应信息进行保存。(b4)读取用户auser的相应资源列表sour_shared,获取用户buser信息;。(b5)获取sour_id状态,如果为空闲则执行步骤(b6)~(b8);如果为运行则结束操作;(b6)删除用户auser资源列表sour_shared中的sour_id项信息,执行撤销操作后,删除共享资源列表中的记录;(b7)修改用户auser资源列表sour_table中sour_id项标记,标记为可共享。标记为可共享状态的信息用户在后续使用中可以继续转让或授权;(b8)获取buser资源列表sour_table,删除sour_id项信息,buser为用户授权时指定的对象用户;步骤c,用户云计算资源非定向授权撤销管理;(c1)客户端获取ukey内用户数字证书ccert发送到服务器进行验证。客户端通过浏览器控件获取ukey内证书信息;(c2)服务器获取根证书rcert对ccert进行合法性验证。验证成功继续,失败则结束用户操作;(c3)获取用户user信息,资源信息sour_id。用户拥有不同的云计算资源,操作时需读取相应的资源列表信息;(c4)获取sour_id资源状态,如果为空闲则执行步骤(c5)~(c7);如果为运行则结束操作。执行撤销操作时,如果相关资源正在被使用,则不能执行此操作。资源在未使用状态下才能对其进行撤销管理;(c5)删除用户user资源列表sour_shared中的sour_id项信息。删除资源信息后,资源则不再为共享状态,不再提供撤销操作;(c6)修改用户user资源列表sour_table中sour_id项,标记为可共享状态;(c7)删除系统共享资源列表sys_sourshared中sour_id资源项信息。非定向资源操作中,相关云计算资源由系统统一维护管理。撤销时对系统资源列表进行相应修改即可。当前第1页12当前第1页12
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1