专利名称:云计算环境下虚拟主机安全连接动态建立方法与系统的制作方法
技术领域:
本发明涉及通信及信息安全领域,尤其涉及一种在云计算环境下,虚拟主机之间安全连接动态建立方法与系统。
背景技术:
云计算环境下的用户虚拟主机节点之间建立安全连接是一项重大研究课题,传统的虚拟主机节点安全连接建立往往是由人工通过配置的文件进行静态设置,在这种模式下,随着虚拟主机规模型的增长,如新业务类型虚拟主机创建、虚拟主机迁移、虚拟主机撤销等,对虚拟主机安全连接的维护与管理将变得十分困难。传统的虚拟主机安全连接建立存在一些问题1.云计算环境下存在大规模的用户虚拟主机,若不进行用户虚拟主机身份认证,会导致恶意的虚拟主机非法访问云计算环境下的敏感数据资源,导致敏感信息被非法访问。2.虚拟主机都是人工进行事先建立并设定好静态IP地址,通过配置文件实现用户虚拟主机之间安全连接的建立,随着用户虚拟主机数量的增长以及安全连接的更改、删除和创建,将使得用户虚拟主机之间难于维护和管理安全连接。因此需要一种简单、高效的云计算环境下用户虚拟主机之间安全连接动态建立和管理体系。
发明内容
针对云计算环境下大规模的用户虚拟主机节点之间安全连接建立与维护的困难和复杂性,本发明提供一种基于公共第三方可信认证服务器的云计算环境下虚拟主机安全连接动态建立的方法与系统。在云计算环境下,用户虚拟主机节点创建完后具备零可信度,任何两个虚拟主机之间的初始通信都是被阻止,当源用户虚拟机节点提交一个连接目标虚拟主机节点的请求时,由第三方可信认证服务器实现对源和目标用户虚拟机节点的身份认证,并通过安全属性数据库匹配源和目标用户虚拟主机节点的安全属性,实现源和目标用户虚拟机节点之间安全连接的建立。本发明的一方面,提供了一种云计算环境下安全连接动态建立的系统,包括源用户虚拟主机(I)、目标用户虚拟主机(2)、云计算环境下的虚拟IP网络(3),与该网络连接的第三方可信认证服务器(4),该可信认证服务器中设置有用于向接入该虚拟IP网络的用户虚拟主机分配和管理虚拟IP地址的DHCP模块(5)、用于向接入虚拟IP网络的用户虚拟主机节点颁发并注册数字证书的数字证书认证与授权模块CA (6)、身份鉴别与认证模块(7)、数据存储与计算模块(8),用于动态虚拟IP地址管理的DHCP模块(5),根据接入云计算环境下虚拟网络的用户虚拟主机节点的业务属性,为其动态分配和注册虚拟IP地址,为用户虚拟主机节点管理虚拟IP地址;数字证书认证与授权模块CA (6),用于为接入云计算环境下虚拟网络的用户虚拟主机节点颁发和注册用于身份认证的数字证书;身份鉴别与认证模块(7),用于对用户虚拟主机节点进行基于证书的身份鉴别过程,生成身份认证结果;数据计算与存储模块(8),用于存储消息分组数据,计算产生数字签名,校验数字签名。本发明同时提供了一种云计算环境下虚拟主机安全连接动态建立的方法,包括以下步骤①在云计算环境下引入第三方可信认证服务器,源用户虚拟主机(I)节点被创建并通过可信认证服务器(4)接入该虚拟IP网络(3),由可信认证服务器(4)中的DHCP模块
(5)为源用户虚拟主机(I)节点分配动·态虚拟IP地址,源用户虚拟主机(I)向可信认证服务器(4)请求申请用于虚拟主机节点身份鉴别的数字证书,由可信认证服务器(4)中的数字证书认证与授权模块CA (6)为源用户虚拟主机(I)节点注册并颁发数字证书;②根据用户业务操作,需要由源用户虚拟主机(I)节点提交一个连接目标用户虚拟主机(2)节点的请求时,源用户虚拟主机(I)节点向第三方可信认证服务器(4)发送安全连接身份鉴别消息分组1:该消息分组I主要元素包括源用户虚拟主机(I)节点标识vHost_IDs、接入媒体类型AccessMedia、源用户虚拟主机(I)节点证书、源用户虚拟主机(I)节点虚拟IP地址、目标虚拟主机(2)节点业务类型、源用户虚拟主机(I)本地生成的随机数Ns以及源用户虚拟主机(I)对消息分组中除本字段外的所有数据字段的数字签名;③可信认证服务器(4)对源虚拟主机(I)节点的消息分组I中数字签名进行身份认证,若认证失败,则向源用户虚拟主机(I)节点返回错误消息代码类型;否则根据欲连接的目标虚拟主机(2)节点业务类型,本地查找其虚拟IP地址;可信认证服务器(4)向目标虚拟主机(2)节点发送安全连接身份鉴别消息分组2,该消息分组2主要元素包括源虚拟主机(I)节点身份认证结果Ress、随机数Ns、可信认证服务器(4)本地生成的随机数Nss以及安全服务器对本消息分组中除本字段外的所有数据字段的数字签名;④目标虚拟主机(2)计算消息分组2中数字签名,认证该消息正确性;检查源用户虚拟主机(I)身份认证结果;目标虚拟主机(2 )向可信认证服务器(4 )发送安全连接身份鉴别消息分组3,该消息分组3主要元素包括目标用户虚拟主机(2)节点标识VHost_IDD、接入媒体类型AccessMedia、目标用户虚拟主机(2)节点证书、目标用户虚拟主机(2)节点IP地址、随机数Ns、随机数Nss和目标虚拟主机(2)对本消息分组中除本字段外的所有数据字段的数字签名;⑤可信认证服务器(4)对目标虚拟主机(2)节点的消息分组3中数字签名进行身份认证,认证该消息正确性;匹配随机数Nss,认证该消息分组的时效性;检查目标用户虚拟主机节点的数字证书,对目标用户虚拟主机进行基于证书的身份认证。;若认证失败,则向目标用户虚拟主机(2)节点返回错误消息代码类型,并通告源用户虚拟主机(I)节点安全连接建立失败错误类型;否则可信认证服务器(4)读取源用户虚拟主机(I)和目标用户虚拟主机(2)节点标识VHost_ID,并查询云平台中虚拟化安全资源管理服务器VSRM上的用户虚拟主机属性数据库VMADB,测量匹配源用户虚拟主机(I)和目标用户虚拟主机(2)的安全等级,以决策源用户虚拟主机(I)节点能否向目标用户虚拟主机(2)节点发起建立安全连接;若源用户虚拟主机(I)节点不能向目标用户虚拟主机(2)节点发起建立安全连接,则通告源用户虚拟主机(I)节点安全连接建立失败错误类型;否则,可信认证服务器(4)指派源虚拟主机(I)向目标虚拟主机(2)建立的安全连接协议栈类型,并向源用户虚拟主机(I)节点发送安全连接身份鉴别消息分组4,该消息分组4主要元素包括目标用户虚拟主机(2)节点身份认证结果ResD、所建立的安全连接协议栈类型、目标用户虚拟主机(2)节点虚拟IP地址、源用户虚拟主机(I)节点的下一跳IP地址、随机数Ns和本消息分组除该字段外的所有数据字段的数字签名;
⑥源用户虚拟主机(I)计算消息分组4中数字签名,认证该消息正确性;匹配随机数Ns,认证该消息分组4的时效性;检查目标用户虚拟(2)主机身份认证结果;源虚拟主机
(I)根据可信认证服务器(4)所指派的安全连接协议栈类型以及目标虚拟主机(2)节点的虚拟IP地址,向目标虚拟主机(2)发起建立安全连接。本发明通过引入云计算环境下公共在线第三方可信认证服务器,实现不同业务属性和跨安全域的用户虚拟主机动态建立安全连接,有效解决了传统的安全连接需人工预先配置、静态建立、升级和维护复杂等问题,与传统技术相比,本发明具有简单高效和成本低廉等优势。
图1根据本发明实施例的系统框图;图2根据本发明实施例的安全服务器内部模块图;图3根据本发明实施例的虚拟主机基于策略的可信验证过程;图4根据本发明实施例的虚拟主机安全连接建立消息交互图;图5根据本发明实施例的虚拟主机安全连接建立流程图。
具体实施例方式下面结合附图对本发明的云计算环境下虚拟主机安全连接动态建立方法与系统进行详细描述说明。描述中给出了许多具体细节,以确保本发明实例的透彻理解。图1是根据本发明实施例的系统框图。图2是根据本发明实施例的安全服务器内部模块图。如图1和图2所示,云计算环境下的可信认证服务器4连接至虚拟IP网络3中,第三方可信认证服务器4包含用于管理接入虚拟IP网络的用户虚拟主机节点动态虚拟IP地址的DHCP模块5、用于向接入虚拟IP网络的用户虚拟主机节点颁发和注册证书的数字证书授权模块CA6、用于对用户虚拟主机节点进行基于证书的身份鉴别过程,生成身份认证结果的身份鉴别与认证模块7,用于存储消息分组数据,计算产生数字签名,校验数字签名等功能的数据计算与存储模块8 ;源虚拟主机I和目标虚拟主机2通过第三方可信认证服务器4中DHCP模块5分配的动态虚拟IP地址接入虚拟IP网络3中,虚拟主机可以是主机或网络设备(如网关、路由器),用户虚拟主机接入虚拟IP网络的虚拟IP地址同时也存储在可信认证服务器4中。可信认证服务器4可以是多个,根据需求进行合理分布。在云计算环境下,具备不同业务属性、系统属性及安全属性的用户虚拟主机之间
权利要求
1.云计算环境下虚拟主机安全连接动态建立的系统,其特征是包括源用户虚拟主机 (I)、目标用户虚拟主机(2)、云计算环境下的虚拟IP网络(3),与该网络连接的第三方可信认证服务器(4),该可信认证服务器中设置有用于向接入该虚拟IP网络的用户虚拟主机分配和管理虚拟IP地址的DHCP模块(5)、用于向接入虚拟IP网络的用户虚拟主机节点颁发并注册数字证书的数字证书认证与授权模块CA (6)、身份鉴别与认证模块(7)、数据存储与计算模块(8),用于动态虚拟IP地址管理的DHCP模块(5),根据接入云计算环境下虚拟网络的用户虚拟主机节点的业务属性,为其动态分配和注册虚拟IP地址,为用户虚拟主机节点管理虚拟 IP地址;数字证书认证与授权模块CA (6),用于为接入云计算环境下虚拟网络的用户虚拟主机节点颁发和注册用于身份认证的数字证书;身份鉴别与认证模块(7),用于对用户虚拟主机节点进行基于证书的身份鉴别过程,生成身份认证结果;数据计算与存储模块(8 ),用于存储消息分组数据,计算产生数字签名,校验数字签名。
2.云计算环境下虚拟主机安全连接动态建立方法,其特征是包括以下步骤①在云计算环境下引入第三方可信认证服务器,源用户虚拟主机(I)节点被创建并通过可信认证服务器(4)接入该虚拟IP网络(3),由可信认证服务器(4)中的DHCP模块(5) 为源用户虚拟主机(I)节点分配动态虚拟IP地址,源用户虚拟主机(I)向可信认证服务器 (4)请求申请用于虚拟主机节点身份鉴别的数字证书,由可信认证服务器(4)中的数字证书认证与授权模块CA (6)为源用户虚拟主机(I)节点注册并颁发数字证书;②根据用户业务操作,需要由源用户虚拟主机(I)节点提交一个连接目标用户虚拟主机(2)节点的请求时,源用户虚拟主机(I)节点向第三方可信认证服务器(4)发送安全连接身份鉴别消息分组1:该消息分组I主要元素包括源用户虚拟主机(I)节点标识VHost_ IDs、接入媒体类型AccessMedia、源用户虚拟主机(I)节点证书、源用户虚拟主机(I)节点虚拟IP地址、目标虚拟主机(2)节点业务类型、源用户虚拟主机(I)本地生成的随机数Ns以及源用户虚拟主机(I)对消息分组中除本字段外的所有数据字段的数字签名;③可信认证服务器(4)对源虚拟主机(I)节点的消息分组I中数字签名进行身份认证, 若认证失败,则向源用户虚拟主机(I)节点返回错误消息代码类型;否则根据欲连接的目标虚拟主机(2)节点业务类型,本地查找其虚拟IP地址;可信认证服务器(4)向目标虚拟主机(2)节点发送安全连接身份鉴别消息分组2,该消息分组2主要元素包括源虚拟主机 (I)节点身份认证结果Ress、随机数Ns、可信认证服务器(4)本地生成的随机数Nss以及安全服务器对本消息分组中除本字段外的所有数据字段的数字签名;④目标虚拟主机(2)计算消息分组2中数字签名,认证该消息正确性;检查源用户虚拟主机(I)身份认证结果;目标虚拟主机(2)向可信认证服务器(4)发送安全连接身份鉴别消息分组3,该消息分组3主要元素包括目标用户虚拟主机(2)节点标识VHost_IDD、接入媒体类型AccessMedia、目标用户虚拟主机(2)节点证书、目标用户虚拟主机(2)节点IP地址、随机数Ns、随机数Nss和目标虚拟主机(2)对本消息分组中除本字段外的所有数据字段的数字签名;⑤可信认证服务器(4)对目标虚拟主机(2)节点的消息分组3中数字签名进行身份认证,认证该消息正确性;匹配随机数Nss,认证该消息分组的时效性;检查目标用户虚拟主机节点的数字证书,对目标用户虚拟主机进行基于证书的身份认证。;若认证失败,则向目标用户虚拟主机(2)节点返回错误消息代码类型,并通告源用户虚拟主机(I)节点安全连接建立失败错误类型;否则可信认证服务器(4)读取源用户虚拟主机(I)和目标用户虚拟主机(2)节点标识VHost_ID,并查询云平台中虚拟化安全资源管理服务器VSRM上的用户虚拟主机属性数据库VMADB,测量匹配源用户虚拟主机(I)和目标用户虚拟主机(2)的安全等级,以决策源用户虚拟主机(I)节点能否向目标用户虚拟主机(2)节点发起建立安全连接; 若源用户虚拟主机(I)节点不能向目标用户虚拟主机(2)节点发起建立安全连接,则通告源用户虚拟主机(I)节点安全连接建立失败错误类型;否则,可信认证服务器(4)指派源虚拟主机(I)向目标虚拟主机(2)建立的安全连接协议栈类型,并向源用户虚拟主机(I)节点发送安全连接身份鉴别消息分组4,该消息分组4主要元素包括目标用户虚拟主机(2)节点身份认证结果ResD、所建立的安全连接协议栈类型、目标用户虚拟主机(2)节点虚拟IP 地址、源用户虚拟主机(I)节点的下一跳IP地址、随机数Ns和本消息分组除该字段外的所有数据字段的数字签名;⑥源用户虚拟主机(I)计算消息分组4中数字签名,认证该消息正确性;匹配随机数 Ns,认证该消息分组4的时效性;检查目标用户虚拟(2)主机身份认证结果;源虚拟主机(I) 根据可信认证服务器(4)所指派的安全连接协议栈类型以及目标虚拟主机(2)节点的虚 拟 IP地址,向目标虚拟主机(2)发起建立安全连接。
全文摘要
本发明提供一种云计算环境下虚拟主机安全连接动态建立的方法与系统。该方法与系统包括云计算环境下零可信度的用户虚拟主机节点接入虚拟网络,通过可信认证服务器获得虚拟IP地址。由可信认证服务器对源虚拟主机和目标虚拟主机节点进行基于策略的可信身份认证,匹配源虚拟主机和目标虚拟主机节点的安全等级,并指派所建立的安全连接协议栈类型,则源用户虚拟主机可向目标用户虚拟主机发起建立安全连接。本发明通过引入云计算环境下公共在线第三方可信认证服务器,实现不同业务属性和跨安全域的用户虚拟主机动态建立安全连接,有效解决了传统的安全连接需人工预先配置、静态建立、升级和维护复杂等问题,本发明具有简单高效和成本低廉等优势。
文档编号H04L29/06GK103051643SQ20131002329
公开日2013年4月17日 申请日期2013年1月22日 优先权日2013年1月22日
发明者朱志祥, 王茜, 任学强, 张磊, 王佩, 史晨昱, 刘盛辉, 赵伟 申请人:西安邮电大学, 西安未来国际信息股份有限公司