专利名称:一种多元化资源标识安全访问方法
技术领域:
本发明属于信息安全中资源身份标识领域,具体涉及一种面向云计算场景下的多元化资源标识安全访问实现方法。
背景技术:
随着云计算、物联网等新兴信息技术在社会生活的各个领域的广泛应用,企业和组织一般使用了不同云计算服务提供商,提供的不同服务模式下多元化资源,而多元化资源缺少统一的身份标识和管理,使其使用者在管理上存在混乱。基于DOI的数字对象标识、基于UUDI的企业资源标识等资源标识储存和查询方案在虚拟资源管理规模、虚拟资源的动态和可扩展性、虚拟资源业务模式演化等方面与现实信息安全的虚拟资源管理需求间产生了明显的差距。通过基于统一资源定位符URL(Universal Resource Locator)的资源定位,已不能很好的解决在虚拟环境对资源多样式、自主性、动态可扩展性带来的访问问题。 近些年来,一些科研机构和组织针对上述云计算信息化的发展趋势,提出了相关的解决方案。Ex Libris公司和比利时Ghent大学提出了一种基于Web的学术信息环境实现开放链接的框架一OpenURL,它通过OpenURL的相关规则对网络数字对象进行唯一标识和管理,其核心思想是提供传输书目元数据的语法和信息服务间的对象识别符,从而实现用户在异质系统之间数字对象的互操作。(可参见OpenURL技术发展及创新应用研究,金玉玲,刘伟玲,2008)联机计算机图书馆中心OCLC提出了一个永久性名称解析系统——PURL (persistentURL),其设计思想是通过名称而不是URL来标识网络资源。它的具体实施方案是利用重定向的功能保持迁移中网络资源的标识,即通过用PURL注册用户维护和修改网络资源的名称与URL的对应关系来实现标识的唯一性(数字对象唯一标示符的现状与发展,毛军,2003. 2)。上述方案虽然体现了以资源为中心的身份管理,但是针对云计算的物理信息网络场景下缺乏技术支持,没有考虑虚拟资源本身的动态性、虚拟化、资源可管理性等特点的多元化虚拟资源身分标识的管理架构,在标识管理涉及标识注册、标识信息存储、标识信息检索和标识信息使用等方面缺乏整体性的解决方案。
发明内容
本发明旨在针对云计算的新一代网络化场景所面临的资源身份管理技术挑战,提供一种多元化资源标识储存和查询的实现方案。由于资源虚拟化需要对资源实行多层次的抽象,从而才能实现对资源的透明和一体化访问。所以本发明依据云计算提供不同层次的服务模式,涉及到的虚拟资源包括IaaS (Infrastructure as a Service)型资源、PaaS(Platform as a Service)型资源和 SaaS (Software as a Service)型资源。简要介绍本方案的基本思想本发明吸取了已有解决方案的优点,具体来说,本发明技术方案包括下列几个方面
方面一给出云计算服务场景下基于统一资源名URN (Uniform Resource Name)的多元化资源身份标识的统一定义,该定义描述了多元化资源身份在各自云计算服务模式中到统一标识映射的实现,也提供了理论依据,同时也为基于轻量目录访问协议LDAP(Lightweight Directory Access Protocol)树形结构(可参考基于LDAP的企业统一资源管理研究)的多元化资源标识的存储索引建立方法的实现奠定了坚实的基础。方面二 针对云计算服务场景下的多元化资源(IaaS型资源、PaaS型资源和SaaS型资源),分别给出其在统一身份标识下注册流程的实施方法。该阶段任务的实现了云计算场景下多元化资源的统一描述及其多元化资源安全访问策略的实现提供了很大的便利。方面三由于云计算服务场景中多元化资源的统一标识信息的海量性以及动态 性,采用了一种快速存储检索的方法——LDAP树形结构,建立多元化资源统一标识信息的存储索引结构,实现多元化资源标识的高效存储查询。归纳起来,本发明与现有技术相比,具有以下显著优点1.通用性强。由于本发明采用了基于统一资源名URN的多元化资源身份标识的统一完整性描述以及多元化资源在云计算服务模式下到基于URN的多元化资源身份统一描述的映射,适用于云计算服务场景中各种资源的身份标识的统一,通用性较强。2.安全性高。由于本发明采用了安全通道机制实现身份标识注册信息和统一标识信息的安全传输,因此显著提高了信息传输的安全性。3.存储方便、查询效率高。由于本发明采用了基于LDAP树形结构的存储索引方法,使其多元化资源的统一身份标识的存储检索依赖于高效简易的轻量目录访问协议LDAP,达到一种理想的存储查询的目的,因此存储更简单、查询效率更高。
下面结合附图对本发明作进一步的说明。图1为本发明实施总体框架;图2为IaaS服务型资源IaaS-R的映射表;图3为IaaS型资源的统一资源名URN与资源访问URL映射表;图4为应用程序类SaaS服务型资源SaaS-R的映射表;图5为应用程序类SaaS型资源的统一资源名URN与资源访问URL映射表;图6为API接口类SaaS服务型资源SaaS-R的映射表;图7为API接口类SaaS型资源的统一资源名URN与资源访问URL映射表;图8为PaaS服务型资源PaaS-R的映射表;图9为PaaS型资源的统一资源名URN与资源访问URL映射表;图10为统一资源名URN的LDAP基础树形结构;图11为IaaS型资源的统一资源名URN的LDAP目录树形结构;图12为SaaS型资源的统一资源名URN的LDAP目录树形结构;图13为PaaS型资源的统一资源名URN的LDAP目录树形结构。
具体实施例方式为使本发明的目的、优点以及技术方案更加清楚明白,以下通过具体实施,并结合附图,对本发明进一步详细说明。对于图1从整体上描述了该方案实施的总体框架,主要包括下面三部分的内容。—、基于URN的多兀化资源标识统一描述基于统一资源名URN的分层结构和标识的唯一性,对云计算场景下的提供服务(基础设施即服务IaaS,平台即服务PaaS和软件即服务SaaS)的多元化资源类型进行编码,对服务项目对应的资源身份进行统一标识,具体编码方案如下。该编码体系的完整结构为URN Service ID Resource ID,其中 Service ID 代表 IaaS、PaaS 和 SaaS, Resource ID 代表云计算服务模式对应的统一资源描述。下面详细介绍该体系的结构组成
①基于URN的IaaS服务型资源描述URN=IaaS =Domain ID-VM,其中IaaS代表提供的是基础设施即服务类资源;Domain ID代表服务提供商;VM代表着云计算中心提供给用户的虚拟机资源,该虚拟机资源的元数据集由四部分组成,分别为ID、计算资源CompRes、存储资源StoRes和网络带宽NetRes。例如 URN IaaS Domain ID-VM.1D StoRes CompRes | NetRes。②基于URN的SaaS服务型资源描述URN :SaaS :Domain ID-Software,其中SaaS代表提供的是软件即服务类资源;Domain ID代表软件服务提供商!Software代表着云计算中心提供给用户的软件类资源,主要包括两类分别为应用程序和API接口。应用程序软件资源的元数据集由四部分组成,分别为ID,应用程序名AppName、应用程序开发商AppDev、运行环境RunEnv (如windows、Linux、Unix等本领域技术人员公知的操作程序)、应用程序语言AppLan (如中文、英文等可设定的语言);API接口软件资源的元数据集由四部分组成,分别为ID,API接口名ApiName、输入值类型ApiInput (如String、Boolean等本领域技术人员公知的类型值)、输出值类型ApiOutput (如String、Boolean等)。例如应用程序URN标识描述为SaaS Domain ID-Software.1D AppName AppDev AppLan ;API 接口 URN 标识描述为SaaS Domain ID-Software.1D ApiName Api Input ApiOutput ;③基于URN的PaaS服务型资源描述URN :PaaS :Domain ID-Platform,其中PaaS代表提供的是平台即服务类资源;Domain ID代表平台服务提供商;Platform代表着云计算中心提供给用户的平台服务类资源,主要是指软件研发平台。该平台服务类资源的元数据集由四部分组成,分别为ID,开发语言 DevLanJlUi^S ComName、组件开发商 ComDev。例如 URN PaaS : Domain ID-PI at form.1D I I DeveLan I ComName |ComDev。二、多元化资源标识的注册流程IaaS型资源、PaaS型资源和SaaS型资源在进行统一资源名URN标识注册前一般都已存在各自管理体系下的标识,因此在多元化资源注册URN标识过程中,本发明设定的URN标识服务提供者(URN-1dP)需要验证资源的有效身份信息。(I)针对IaaS服务型资源,注册流程如下①URN-1dP导入可信任的IaaS服务供应商CA1-Servieer或CA1-Servieer信任链,即IaaS服务供应商颁发证书的认证中心根证书及证书信任链,可以通过技术或者权威社会共识建立自然的信任关系,生成IaaS供应商信任库IaaS-Trust-Store,存放到物理服务器上;
②注册端属于资源端模块,通过可信任的(第三方)代理agent获取IaaS服务型资源IaaS-R的相关信息该信息主要包括IaaS服务供应商的OID和公钥以及提供资源IaaS-R虚拟机VM的计算资源cup、存储资源(如内存容量、外存容量)、网络带宽和IaaS服务供应商用私钥签名过的该资源访问URL等。Agent负责创建与维护修改一张IaaS服务型资源IaaS-R的映射表,映射表存放在可信任代理Agent上,为将被注册的资源IaaS-R登记。该映射表包含六个属性字段,分别是Domain ID、0ID、虚拟机VM的ID、虚拟机VM的计算资源CompRes、虚拟机VM的存储资源StoRes、虚拟机VM的网络带宽NetRes,保证Domain ID、OID和虚拟机VM的ID的三者组合唯一性,同时保证Domain ID与OID的一致性,虚拟机VM的ID与计算资源CompRes、存储资源StoRes和网络带宽NetRes的一致性,形如图2。③agent取出上述映射表中将下一步将要被注册IaaS-R资源的登记记录及对应IaaS服务供应商PK1^rvieeMlaaS服务提供商私钥SKnview签名过的该资源访问URL,通过安全信道传递至URN-1dP ; ④URN-1dP使用IaaS服务提供商PKnview验证资源访问URL的可信任性(即通过添服务提供商私匙签名,实现可信),验证(只有一对公私匙才能信息解密)通过后,URN-1dP依据③上传的映射表记录,确定IaaS服务型资源IaaS-R的URN统一标识,Domain ID取映射表Domain ID属性值,VM标识取映射表ID、CompRes> StoRes和NetRes属性值。同时创建与维护IaaS类资源的统一资源名URN与资源访问URL的映射表,主要包含两个属性字段,分别是URNIaaS、URL。保证URNIaaS、URL的唯一性,同时保证URNlaas和URL的一致性,形如图3。该映射表的存在满足IaaS型虚拟资源动态迁移的要求,资源的动态迁移可以通过修改映射表的URL来实现。⑤将资源IaaS-R的URN标识和对应的IaaS服务供应商的PKnvicra以及资源访问的安全策越Policy和资源访问URL绑定,并根据第三部分介绍的方法进行后台存储。多元化资源端与资源访问端进行交互时建立一种安全通道,一般通过SSL(Https)协议建立。双方通过该安全通道实现多元化资源的安全访问。SSL(Secure Sockets Layer安全套接层),是为网络通信提供安全及数据完整性的一种安全协议,SSL在传输层对网络连接进行加密。(II)针对SaaS服务型资源,主要包括两种注册流程分别如下(I)应用程序类SaaS服务型资源的注册流程①URN-1dP导入可信任的应用程序类SaaS服务供应商CAs_P_ServicCT或CAs_P_Servic;OT信任链,该信任链为应用程序类SaaS服务供应商颁发证书的认证中心CAs_P_SOTvicOT的根证书及证书信任链,生成应用程序类SaaS供应商信任库SaaS-P-Trust-Store ;②注册端通过可信任的代理agent获取应用程序类SaaS服务型资源的相关信息,该信息主要包括应用程序类SaaS服务供应商的OID和公钥PKs_P_SerVicOT以及应用程序类SaaS服务型资源的应用程序名AppName、应用程序开发商AppDev、应用程序语言AppLan和应用程序类SaaS服务提供商用私钥SKs_P_SOTVicOT签名过的该资源访问URL等。Agent创建与维护修改一张应用程序类SaaS服务型资源的映射表,为将被注册的资源SaaS-R登记。该映射表包含六七个属性字段,分别是Domain ID、0ID、应用程序App的ID、应用程序名AppName、应用程序开发商AppDev、运行环境RunEnv (如windows、Linux、Unix等)、应用程序语言AppLan,保证Domain ID、0ID和应用程序App的ID的三者组合唯一'丨生,同时保证Domain ID与OID的一致性,应用程序App的ID与AppName、AppDev和AppLan的一致性,形如图4。③agent取出上述映射表中将被注册SaaS-R资源的登记记录及对应用程序类SaaS服务提供商PKs_P_SOTvieer,应用程序类SaaS服务提供商用·签名过的该资源访问URL,通过安全信道传递至URN-1dP ;④URN-1dP使用SaaS服务提供商PKs_P_s_OTvieer验证资源访问URL的可信任性,验证通过后,URN-1dP依据③上传的映射表记录,确定应用程序类SaaS服务型资源的URN统一标识,Domain ID取映射表Domain ID属性值,Software标识取映射表App ID>AppName>AppDev和AppLan属性值。同时创建与维护应用程序类SaaS型资源的统一资源名URN与资源访问URL的映射表,主要包含两个属性字段,分别是URNSaaS_P、URL。保证URNSaaS_P、URL的唯一性,同时保证URNSaaS_P和URL的一致性,形如图5。该在映射表中通过修改映射表的URL来实现应用程序类SaaS型资源的动态迁移。⑤将应用程序类SaaS服务型资源的URN标识和对应的SaaS服务供应商的PKS-P-Servioer以及资源访问的安全策略Policy和资源访问URL绑定,并根据第三部分介绍的方法进行后台存储。(2) API接口类SaaS服务型资源的注册流程①URN-1dP导入可信任的API接口类SaaS服务供应商
CAg—Α—Servicer CAg—a—Servicer
信任链,生成API接口类SaaS供应商信任库SaaS-A-Trust-Store ;该信任链为接口类SaaS服务供应商颁发证书的认证中心CAs_A_s vicCT的根证书及证书信任链;②注册端通过可信任的代理agent获取API接口类SaaS服务型资源的相关信息,该信息主要包括API接口类SaaS服务供应商的OID和公钥PKs_A_SOTVieer以及API接口类SaaS服务型资源的API接口名ApiName、输入值类型Apilnput、输出值类型ApiOutput和API接口类SaaS服务提供商用私钥SKs_A_s^view签名过的该资源访问URL等。Agent创建与维护修改一张API接口类SaaS服务型资源的映射表,为将被注册的资源SaaS-R登记。该映射表包含六个属性字段,分别是Domain ID、0ID、接口 API的ID、API接口名ApiName、输入值类型Apilnput、输出值类型ApiOutput,保证Domain ID、OID和接口 API的ID的三者组合唯一性,同时保证Domain ID与OID的一致性,接口 API的ID与ApiName、ApiInput和ApiOutput的一致性,形如图6。③agent取出上述映射表中将被注册SaaS-R资源的登记记录及对API接口类SaaS服务型资源PKs_A_SOTvieer,API接口类SaaS服务提供商用签名过的该资源访问URL,通过安全信道传递至URN-1dP ;④URN-1dP使用API接口类SaaS服务提供商PKs_A_SOTvicOT验证资源访问URL的可信任性,验证通过后,URN-1dP依据③上传的映射表记录,确定API接口类SaaS服务型资源的URN统一标识,Domain ID取映射表Domain ID属性值,API标识取映射表API ID,ApiName,Apilnput和ApiOutput属性值。同时创建与维护API接口类SaaS型资源的统一资源名URN与资源访问URL的映射表,主要包含两个属性字段,分别是URNSaaS_A、URL。保证URNSaaS_A、URL的唯一性,同时保证URNSaaS_A和URL的一致性,形如图7。该在映射表中通过修改映射表的URL来实现SaaS型资源的动态迁移。
⑤将应用程序类SaaS服务型资源的URN标识和对应的SaaS服务供应商的PKs-A-Servicer以及资源访问的安全策略Policy和资源访问URL绑定,并根据第三部分介绍的方法进行后台存储。(III)针对PaaS服务型资源,注册流程如下①URN-1dP导入可信任的PaaS服务供应商CAp^viee,或CAP_Se,vic;CT信任链,生成PaaS供应商信任库PaaS-Trust-Store ;该信任链为PaaS服务供应商颁发证书的认证中心CAp-Servicer的根证书及证书 目任链;②注册端通过可信任的代理agent获取PaaS服务型资源PaaS-R的相关信息,该信息主要包括PaaS服务供应商的OID和公钥PKP_SOTvicOT以及PaaS服务型资源PaaS-R的开发语言DevLanjJHi^S ComName、组件语言ComLan、组件开发商ComDev和PaaS服务供应商用私钥SKP_Sereieer签名过的该资源访问URL等。Agent负责创建与维护修改一张PaaS服务型资源PaaS-R的映射表,为将被注册的资源PaaS-R登记。该映射表包含七个属性字段, 分别是 Domain ID、0ID、平台 Platform 的 ID、开发语言 DevLanjJHi^S ComName、组件语言ComLan、组件开发商ComDev,保证Domain ID、OID和平台Platform的ID唯一性的三者组合唯一性,同时保证Domain ID与OID的一致性,平台Platform的ID与DevLan、ComName、ComLan和ComDev的一致性,形如图8。③agent取出上述映射表中将被注册PaaS-R资源的登记记录及对应PaaS服务供应商PKP_Se,vicOT、PaaS服务供应商签名过的该资源访问URL,通过安全信道传递至URN-1dP ;④URN-1dP使用PaaS服务提供商PKP_SerVieCT验证资源访问URL的可信任性,验证通过后,URN-1dP依据③上传的映射表记录,确定PaaS服务型资源PaaS-R的URN统一标识,Domain ID 取映射表 Domain ID 属性值,Platform 标识取映射表 Platform ID、DevLan、ComName、ComLan和ComDev属性值。同时创建与维护PaaS型资源的统一资源名URN与资源访问URL的映射表,主要包含两个属性字段,分别是URNPaaS、URL。保证URNPaaS、URL的唯一性,同时保证URNpaas和URL的一致性,形如图9。该在映射表中通过修改映射表的URL来实现PaaS型资源的动态迁移。⑤将资源SaaS-R的URN标识和对应的PaaS服务供应商的PKP_SerVicOT以及资源访问的安全策越Policy和资源访问URL绑定,并根据第三部分介绍的方法进行后台存储。三、基于LDAP目录服务树形结构的多元化资源标识的存储索引建立方法多元化资源的标识是海量的,也是动态变化的,同时需要配合业务系统满足对资源标识的快速检索,基于上述需求,本发明利用LDAP活动目录的树形结构建立针对资源标识URN的分布式存储的索引结构。具体优化过程如下①分析对多元化资源标识的注册流程中相关数据信息,设定纳入LADP中的数据集,主要包括IaaS服务型资源数据集、SaaS服务型资源数据集和PaaS服务型资源数据集。IaaS服务型资源数据集主要包括服务提供商信息、资源IaaS-R的信息(如计算资源量、存储资源量、网络资源量、资源访问URL和资源访问的安全策越等);SaaS服务型资源数据集主要包括服务提供商信息、资源IaaS-R的信息分为两类,一类信息包含应用程序名、应用程序开发商、应用程序语言、访问安全策略等,另一类信息包含API接口名、输入输出类型、访问安全策略等;SaaS服务型资源数据集主要包括服务提供商信息、资源IaaS-R的信息(如组件名称、组件语言、开发语言、资源访问URL和资源的访问安全策越等)。
②借助①设定的相关数据集,设计统一资源名URN标识多元化资源的属性和属性聚类的语法规范schema,相应的schema设计简单表示如下IaaS型资源信息类定义,类名IaaS_Res,父类top,属性通用名CN、CompRes、StoRes、NetRes、URL、Policy ;应用程序类SaaS型资源信息类定义,类名SaaS-Res-App,父类top,属性通用名 CN、AppName、AppDev、AppLan、URL、Policy ;API接口类SaaS型资源信息类定义,类名SaaS_Res_Api,父类top,属性通用名 CN、ApiName、Apilnput、ApiOutput、URL、Policy ;PaaS型资源信息类定义,类名IaaS_Res,父类top,属性通用名CN,ComName、ComLanλ ComDev、DevLan、URL、Policy ;
以上的schema结构是可以统一表不,如类,类名,父类,属性。③设定统一资源名URN标识多元化资源的数据组织结构DN,数据组织结构DN结构中,常用的属性有DC (组织域名)、0U (组织单元)、CN (通用名)DN的设计按照多元化资源标识URN的分层结构,建立LDAP树形索引结构。包括下面内容I)构造多元化资源统一资源名URN标识的基准DN,该步骤是在系统初始化时进行,通过LDAP服务器按照固定的协议来构造dn DC=URNobjectClass Topob jectClass Dcob jectDC=URN2)构造多元化资源统一资源名URN标识的云平台服务模式组织结构,形如图10dn :0U=IaaS,DC=URNob jectClass Dcob jectob jectClass : Organizat ionOU=IaaSDC=URNdn OU=SaaS, DC=URNob jectClass Dcob jectob jectClass : Organizat ionOU=SaaSDC=URNdn OU=PaaS, DC=URNob jectClass Dcob jectob jectClass : Organizat ionOU=PaaSDC=URN3)构造IaaS服务型资源统一资源名URN标识的云平台服务模式组织结构,形如图11
dn CN=VMa, OU=IaaS, DC=URNob jectClass Dcob jectob jectClass !Organizationob jectClass IaaS-Res
CN=VMaOU=IaaSDC=URNCompRe S=CompRe S1StoRes=StoRes1NetRes=NetRes1URL=URL1Policy=Policy14)构造SaaS服务型资源统一资源名URN标识的云平台服务模式组织结构,形如图12dn CN=SoftwareA, OU=SaaS, DC=URNob jectClass Dcob jectob jectClass !OrganizationobjectClass SaaS-Res-AppCN=Sof twareAOU=SaaSDC=URNAppName=AppName1AppDev=AppDev1
AppLan=AppLan1URL=URL1Policy=Policy1dn CN=Softwaree, OU=SaaS, DC=URNob jectClass Dcob jectob jectClass !OrganizationobjectClass SaaS-Res-ApiCN=SoftwareeOU=SaaSDC=URNAp i Name =Ap i Name2Ap i Input=App Input2Api0utput=Api0utput2URL=URL2Policy=Policy25)构造PaaS型资源统一资源名URN标识的云平台服务模式组织结构,形如图13dn CN=PlatformA, OU=PaaS, DC=URN
ob jectClass Dcob jectob jectClass !Organizationob jectClass :PaaS_Res
CN=Platf ormAOU=PaaSDC=URN
ComName=ComName1ComDev=ComDev1ComLan=ComLan1DevLan=DevLan1URL=URL1Policy=Policy1④依据③设定的统一资源名URN标识多元化资源的目录树形索引结构,釆用LDAP协议,通过LDAP服务器的LDAP协议的查询操作实现实现对多元化资源标识URN的存储和
高效检索。④重复②③操作,直到被审计实体URN所有记录检索完毕。
权利要求
1.一种多元化资源安全访问方法,其步骤包括1)在云计算场景下采用统一资源名URN对其提供的多元化资源进行编码;2)根据该编码结构对所述多元资源进行描述,得到各自资源系统中URN;3)对所述统一资源名进行注册,URN标识服务提供者URN-1dP导入所述多元资源服务供应商的可信任链,通过可信任agent代理获取所述多元化资源的有效身份信息并建立映射表;4)所述agent提取出所述映射表中将要被注册的资源登记记录及对应服务供应商签名后的该资源访问URL,并通过安全信道上传至URN-1dP ;5)所述URN-1dP验证资源访问URL的可信任性,验证通过后,所述URN-1dP根据该上传的映射表记录,确定多元资源URN,同时建立所述资源URN与所述资源访问URL的映射表;6)将所述多元化资源URN和对应服务供应商的相关信息及资源访问的安全策略 Policy和资源访问URL绑定;7)对所述多元化资源进行访问时建立安全通道,实现多元化资源的安全访问。
2.如权利要求1所述的多元化资源安全访问方法,其特征在于,所述步骤I)中的编码结构为=URN :服务ID :服务型资源ID。
3.如权利要求1所述的多元化资源安全访问方法,其特征在于,所述多元化资源类型包括=SaaS服务型资源、IaaS服务型资源和PaaS服务型资源。
4.如权利要求1所述的多元化资源安全访问方法,其特征在于,所述多元化资源类型为SaaS服务型资源时,所述安全访问方法为4-1)建立URN的IaaS服务型资源描述,所述编码结构为URN =IaaS =Domain ID-VM,其中IaaS代表提供的是基础设施即服务类资源,Domain ID代表服务提供商,VM代表着云计算中心提供给用户的虚拟机资源;4-2) URN-1dP导入可信任的IaaS服务供应商或CA1^rviee,信任链;4-3)注册端通过可信任的代理agent获取IaaS服务型资源IaaS-R的相关信息,所述相关信息包括IaaS服务供应商的OID和公钥以及提供资源IaaS-R虚拟机VM的计算资源cup、存储资源、网络带宽和IaaS服务供应商用私钥SIVswvic^签名过的该资源访问 URL ;4-4)所述Agent创建所述IaaS服务型的IaaS-R映射表,并存放在Agent上,为将被注册的资源IaaS-R登记;4-5)所述agent提取出所述映射表中下一步将要被注册IaaS-R的登记记录及对应 IaaS服务供应商PK1^rvieeMlaaS服务提供商私钥SKnview签名过的该资源访问URL,并通过安全信道传递至URN-1dP ;4-6)所述URN-1dP使用IaaS服务提供商验证资源访问URL的可信任性,验证通过后,URN-1dP根据上传映射表记录,确定IaaS服务型IaaS-R的URN统一标识;4-7)将IaaS-R的URN标识和对应的IaaS服务供应商的PK1Irviee,以及资源访问的安全策越Policy和资源访问URL绑定;4-8)对所述SaaS服务型资源进行访问时建立安全通道,实现多元化资源的安全访问。
5.如权利要求1所述的多元化资源安全访问方法,其特征在于,所述多元化资源类型为应用程序类SaaS服务型资源时,所述安全访问方法为5~1)建立 URN 的 IaaS 服务型资源描述,URN SaaS Domain ID-Software,其中, Software为ID,应用程序名AppName、应用程序开发商AppDev、运行环境RunEnv、应用程序语言AppLan5-2) URN-1dP导入可信任应用程序类SaaS服务供应商CAs_P_SOTVieer或CAs_P_SOTVicOT信任链,生成应用程序类SaaS供应商信任库SaaS-P-Trust-Store ;5-3)注册端通过可信任代理agent获取应用程序类SaaS服务型资源的相关信息,该信息包括应用程序类SaaS服务供应商的OID和公钥PKs_P_SerVicCT以及应用程序类SaaS服务型资源的应用程序名AppName、应用程序开发商AppDev、应用程序语言AppLan和应用程序类 SaaS服务提供商用私钥SKs_P_SOTvicOT签名过的该资源访问URL ;5-4)所述Agent创建应用程序类SaaS服务型资源的映射表,并存放在Agent上,为将被注册的资源SaaS-R登记;5-5)所述agent取出上述映射表中将被注册SaaS-R资源的登记记录及对应用程序类 SaaS服务提供商PKs_P_SOTvieer,所述应用程序类SaaS服务提供商用签名过的该资源访问URL, 通过安全信道传递至URN-1dP ;5-6)所述URN-1dP使用SaaS服务提供商PKs_P_Se,vieer验证资源访问URL的可信任性,验证通过后,URN-1dP根据所述映射表记录,确定应用程序类SaaS的URN统一标识;5-7)将应用程序类SaaS服务型资源的URN和对应的SaaS供应商的PKs_P_Se,vieer以及资源访问的安全策略Policy和资源访问URL绑定;5-8)对所述应用程序类SaaS服务型资源进行访问时建立安全通道,实现多元化资源的安全访问。
6.如权利要求1所述的多元化资源安全访问方法,其特征在于,所述多元化资源类型为API接口类SaaS服务型资源时,所述安全访问方法为6-1)URN-1dP导入可信任的API接口类SaaS服务供应商CAg—Α—Servicer CAs—a—Servicer任链,生成API接口类SaaS供应商信任库SaaS-A-Trust-Store ;6-2)注册端通过可信任的代理agent获取API接口类SaaS服务型资源的相关信息,该信息主要包括API接口类SaaS服务供应商的OID和公钥PKs_A_SOTVieer以及API接口类SaaS 服务型资源的API接口名ApiName、输入值类型Apilnput、输出值类型ApiOutput和API接口类SaaS服务提供商用私钥SKs_A_Se,vieer签名过的该资源访问URL等。6-3)所述Agent创建API接口类SaaS服务型资源映射表,为将被注册的资源SaaS-R 登记;6-4) agent取出上述映射表中将被注册SaaS-R资源的登记记录及对API接口类SaaS 服务型资源PKs_A_Se icCT,API接口类SaaS服务提供商用签名过的该资源访问URL,通过安全信道传递至URN-1dP ;6-5)所述URN-1dP使用API接口类SaaS服务提供商PKs_A_SOTVieer验证资源访问URL的可信任性,验证通过后,URN-1dP根据所述映射表记录,确定API接口类SaaS服务型资源的 URN统一标识;6-6 )将API接口类SaaS服务型资源的URN标识和对应的SaaS服务供应商的PKs_A_Se,vicCT 以及资源访问的安全策略Policy和资源访问URL绑定;6-7)所述API接口类SaaS服务型资源进行访问时建立安全通道,实现多元化资源的安全访问。
7.如权利要求1所述的多元化资源安全访问方法,其特征在于,所述多元化资源类型为PaaS服务型资源时,所述安全访问方法为7-l)URN-1dP导入可信任的PaaS服务供应商CAP_SOTVicOT或CAP_SOTVieer信任链,生成PaaS 供应商信任库PaaS-Trust-Store ;7-2)注册端通过可信任的代理agent获取PaaS服务型资源PaaS-R的相关信息,所述信息包括PaaS服务供应商的OID和公钥PKP_SOTvicOT以及PaaS服务型资源PaaS-R的开发语言DevLanjJHi^g ComName、组件语言ComLan、组件开发商ComDev和PaaS服务供应商用私钥SKP_SerVicOT签名过的该资源访问URL ;7-3)所述Agent负责创建与维护修改一张PaaS服务型资源PaaS-R的映射表,为将被注册的资源PaaS-R登记;7-4)所述agent取出上述映射表中将被注册PaaS-R资源的登记记录及对应PaaS 服务供应商PKP_SOTvic;er、PaaS服务供应商签名过的该资源访问URL,通过安全信道传递至 URN-1dP ;7-5)所述URN-1dP使用PaaS服务提供商PKP_Se,vicOT验证资源访问URL的可信任性,验证通过后,URN-1dP依据所述映射表记录,确定PaaS服务型资源PaaS-R的URN统一标识;7-6)将资源SaaS-R的URN标识和对应的PaaS服务供应商的PKP_Se,vieCT以及资源访问的安全策越Policy和资源访问URL绑定;7-7)对所述PaaS服务型资源进行访问时建立安全通道,实现多元化资源的安全访问。
8.如权利要求1-7任意一项所述的多元化资源安全访问方法,其特征在于,基于LDAP 目录服务树形结构的多元化资源标识的存储索引建立方法为8-1)根据所述多元化资源标识相关数据集设定纳入LADP中的数据集,设计统一资源名URN标识多元化资源的属性和属性聚类的语法规范schema,8-2)设定统一资源名URN标识多元化资源的数据组织结构DN ;8-3)根据所述统一资源名URN标识多元化资源的目录树形索引结构DN,采用LDAP协议查询操作对多元化资源标识URN进行存储;8-4)遍历2) -3)直至URN所有记录检索完毕。直到被审计实体URN所有记录检索完毕。
9.如权利要求8所述的存储索引建立方法,其特征在于,所述schema结构是可以统一表示,为:类,类名,父类,属性。
10.如权利要求8所述的存储索引建立方法,其特征在于,所述数据组织结构DN结构中属性包括DC组织域名、OU组织单元、CN通用名。
全文摘要
本发明涉及一种多元化资源安全访问方法,基于统一资源名URN(Uniform Resource Name)的多元化资源身份标识的统一定义,该定义描述了多元化资源身份在各自云计算服务模式中到统一标识映射的实现,同时针对云计算服务场景下的多元化资源(IaaS型资源、PaaS型资源和SaaS型资源),分别给出其在统一身份标识下注册流程的实施方法,实现了云计算场景下多元化资源的统一描述及其多元化资源安全访问策略的实现提供了很大的便利。基于云计算服务场景中多元化资源的统一标识信息的海量性以及动态性,本发明还提供优化的安全访问方法,采用了一种快速存储检索的方法——LDAP树形结构,建立多元化资源统一标识信息的存储索引结构,实现多元化资源标识的高效存储查询。
文档编号H04L29/06GK103001945SQ20121040793
公开日2013年3月27日 申请日期2012年10月23日 优先权日2012年10月23日
发明者王雅哲, 林东岱, 王瑜 申请人:中国科学院信息工程研究所