CN114697111A - 一种跨云访问公有云的方法、系统及公有云 - Google Patents

一种跨云访问公有云的方法、系统及公有云 Download PDF

Info

Publication number
CN114697111A
CN114697111A CN202210326783.7A CN202210326783A CN114697111A CN 114697111 A CN114697111 A CN 114697111A CN 202210326783 A CN202210326783 A CN 202210326783A CN 114697111 A CN114697111 A CN 114697111A
Authority
CN
China
Prior art keywords
credential
code
user
key
cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210326783.7A
Other languages
English (en)
Other versions
CN114697111B (zh
Inventor
梁圣奇
董玉全
高传集
孙思清
杨继伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Inspur Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Cloud Information Technology Co Ltd filed Critical Inspur Cloud Information Technology Co Ltd
Priority to CN202210326783.7A priority Critical patent/CN114697111B/zh
Priority claimed from CN202210326783.7A external-priority patent/CN114697111B/zh
Publication of CN114697111A publication Critical patent/CN114697111A/zh
Application granted granted Critical
Publication of CN114697111B publication Critical patent/CN114697111B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种跨云访问公有云的方法、系统及公有云,该方案中,接收私有云的第一用户发送的携带凭据编码和第一凭据签名的访问请求;根据凭据编码获取凭据密钥;根据凭据密钥中包含的通讯密钥加密访问请求来获取第二凭据签名;在两个签名相同时,根据凭据编码获取加密的凭据策略并由数据密钥解密,进而更换第一用户的编码为第二用户的编码;基于第二用户的编码登录公有云并执行对应的公有云的功能。通过定义凭据策略将私有云的第一用户的编码切换为公有云的第二用户的编码,从而具有访问公有云的权限,实现登录公有云,建立起不同云之间的连接,过程简单,同时通过数据密钥增加切换用户的编码的安全性,通过通讯密钥增加第一用户的访问安全。

Description

一种跨云访问公有云的方法、系统及公有云
技术领域
本发明涉及跨云访问的技术领域,特别是涉及一种跨云访问公有云的方法、系统及公有云。
背景技术
近几年,随着云计算技术的发展和用户需求的多样化,公有云和私有云的应用正变得越来越广泛。为满足成本、按需、隐私、合规、避免供应商锁定等目的,企业常常会采用多云平台,即平台包含多个公有云和/或私有云,为了实现跨云访问,需要建立不同云之间的连接,但是现有技术中在不同云之间建立连接时过程比较复杂。
发明内容
本申请的目的是提供一种跨云访问公有云的方法、系统及公有云,该方案中,通过定义凭据策略将私有云的第一用户的编码切换为公有云的第二用户的编码,从而具有访问公有云的权限,实现登录公有云,建立起不同云之间的连接,过程简单,同时通过数据密钥增加切换用户的编码的安全性,通过通讯密钥增加第一用户的访问安全。
为解决上述技术问题,本申请提供了一种跨云访问公有云的方法,应用于跨云访问系统中公有云的处理器,包括:
接收私有云的第一用户发送的访问请求,所述访问请求携带基于所述私有云的存储模块中预先存储的凭据密钥获取的凭据编码和所述第一用户的第一凭据签名,其中,所述凭据编码为所述访问请求对应的凭据的编号,所述凭据包含凭据策略和凭据密钥,所述凭据策略包含所述凭据编码、所述第一用户的编码和与所述第一用户的编码对应的所述公有云的第二用户的编码,所述凭据密钥包含所述凭据编码、数据密钥和通讯密钥,所述数据密钥用于加密所述凭据策略,所述通讯密钥用于加密所述访问请求生成凭据签名;
根据所述凭据编码从所述公有云的存储模块中获取预先存储的所述凭据密钥;
根据所述凭据密钥中包含的所述通讯密钥加密所述访问请求来获取第二凭据签名;
在所述第一凭据签名与所述第二凭据签名相同时,根据所述凭据编码从第一公共存储模块中获取预先存储的加密的所述凭据策略并根据所述凭据密钥中包含的所述数据密钥解密得到所述凭据策略;
根据所述第一用户的编码和所述凭据策略,更换所述第一用户的编码为对应的所述第二用户的编码;
基于所述第二用户的编码登录所述公有云并执行所述访问请求对应的所述公有云的功能。
优选的,所述跨云访问系统还包括公共处理器,接收私有云的第一用户发送的访问请求之前,还包括:
接收所述公共处理器发送的所述凭据密钥并存储至所述公有云的存储模块;
所述公共处理器还用于发送所述凭据密钥至所述私有云的处理器和发送由所述凭据密钥中的所述数据密钥加密的所述凭据策略至所述第一公共存储模块,所述凭据密钥中包含的所述凭据编码、所述数据密钥和所述通讯密钥均由所述公共处理器生成,所述凭据策略中包含的所述凭据编码及所述第一用户的编码和所述第二用户的编码的对应关系由所述公共处理器生成,所述第一用户的编码由所述公共处理器从所述私有云的处理器发送的所述私有云的所有用户的编码中确认,所述第二用户的编码由所述公共处理器从所述公有云的处理器发送的所述公有云的所有用户的编码中确认。
优选的,接收所述公共处理器发送的所述凭据密钥并存储至所述公有云的存储模块,包括:
接收所述公共处理器通过https协议发送的所述凭据密钥并存储至所述公有云的存储模块。
优选的,还包括:
每隔预设周期发送所述公有云的所有用户的编码至所述公共处理器。
优选的,根据所述凭据密钥中包含的所述通讯密钥加密所述访问请求来获取第二凭据签名之后,还包括:
在所述第一凭据签名与所述第二凭据签名不相同时,控制告警模块进行告警。
优选的,所述第一公共存储模块为IPFS。
优选的,基于所述第二用户的编码登录所述公有云并执行所述访问请求对应的所述公有云的功能之后,还包括:
将所述凭据编码、所述第一用户的编码、所述第二用户的编码、所述访问请求的访问时间和所述访问请求对应的所述公有云的功能作为凭据访问日志存储至第二公共存储模块。
优选的,所述第二公共存储模块为区块链。
为解决上述技术问题,本申请还提供了一种跨云访问公有云的系统,应用于跨云访问系统中的公有云,包括:
访问请求接收单元,用于接收私有云的第一用户发送的访问请求,所述访问请求携带基于所述私有云的存储模块中预先存储的凭据密钥获取的凭据编码和所述第一用户的第一凭据签名,其中,所述凭据编码为所述访问请求对应的凭据的编号,所述凭据包含凭据策略和凭据密钥,所述凭据策略包含所述凭据编码、所述第一用户的编码和与所述第一用户的编码对应的所述公有云的第二用户的编码,所述凭据密钥包含所述凭据编码、数据密钥和通讯密钥,所述数据密钥用于加密所述凭据策略,所述通讯密钥用于加密所述访问请求生成凭据签名;
凭据密钥获取单元,用于根据所述凭据编码从所述公有云的存储模块中获取预先存储的所述凭据密钥;
第二凭据签名获取单元,用于根据所述凭据密钥中包含的所述通讯密钥加密所述访问请求来获取第二凭据签名;
凭据策略获取单元,用于在所述第一凭据签名与所述第二凭据签名相同时,根据所述凭据编码从第一公共存储模块中获取预先存储的加密的所述凭据策略并根据所述凭据密钥中包含的所述数据密钥解密得到所述凭据策略;
编码切换单元,用于根据所述第一用户的编码和所述凭据策略,更换所述第一用户的编码为对应的所述第二用户的编码;
功能执行单元,用于基于所述第二用户的编码登录所述公有云并执行所述访问请求对应的所述公有云的功能。
为解决上述技术问题,本申请还提供了一种公有云,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现上述所述的跨云访问公有云的方法的步骤。
本申请提供了一种跨云访问公有云的方法、系统及公有云,该方案中,接收私有云的第一用户发送的携带凭据编码和第一凭据签名的访问请求;根据凭据编码获取凭据密钥;根据凭据密钥中包含的通讯密钥加密访问请求来获取第二凭据签名;在两个签名相同时,根据凭据编码获取加密的凭据策略并由数据密钥解密,进而更换第一用户的编码为第二用户的编码;基于第二用户的编码登录公有云并执行对应的公有云的功能。通过定义凭据策略将私有云的第一用户的编码切换为公有云的第二用户的编码,从而具有访问公有云的权限,实现登录公有云,建立起不同云之间的连接,过程简单,同时通过数据密钥增加切换用户的编码的安全性,通过通讯密钥增加第一用户的访问安全。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种跨云访问公有云的方法的流程图;
图2为本申请提供的一种凭据的示意图;
图3为本申请提供的一种跨云访问的访问流程示意图;
图4为本申请提供的一种定义凭据的流程示意图;
图5为本申请提供的一种查看凭据访问日志的流程示意图;
图6为本申请提供的一种跨云访问的整体步骤示意图;
图7为本申请提供的一种跨云访问公有云的系统的结构示意图;
图8为本申请提供的一种公有云的结构示意图。
具体实施方式
本申请的核心是提供一种跨云访问公有云的方法、系统及公有云,该方案中,通过定义凭据策略将私有云的第一用户的编码切换为公有云的第二用户的编码,从而具有访问公有云的权限,实现登录公有云,建立起不同云之间的连接,过程简单,同时通过数据密钥增加切换用户的编码的安全性,通过通讯密钥增加第一用户的访问安全。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请提供的一种跨云访问公有云的方法的流程图,应用于跨云访问系统中公有云的处理器,包括:
S11:接收私有云的第一用户发送的访问请求,访问请求携带基于私有云的存储模块中预先存储的凭据密钥获取的凭据编码和第一用户的第一凭据签名,其中,凭据编码为访问请求对应的凭据的编号,凭据包含凭据策略和凭据密钥,凭据策略包含凭据编码、第一用户的编码和与第一用户的编码对应的公有云的第二用户的编码,凭据密钥包含凭据编码、数据密钥和通讯密钥,数据密钥用于加密凭据策略,通讯密钥用于加密访问请求生成凭据签名;
S12:根据凭据编码从公有云的存储模块中获取预先存储的凭据密钥;
S13:根据凭据密钥中包含的通讯密钥加密访问请求来获取第二凭据签名;
S14:在第一凭据签名与第二凭据签名相同时,根据凭据编码从第一公共存储模块中获取预先存储的加密的凭据策略并根据凭据密钥中包含的数据密钥解密得到凭据策略;
S15:根据第一用户的编码和凭据策略,更换第一用户的编码为对应的第二用户的编码;
S16:基于第二用户的编码登录公有云并执行访问请求对应的公有云的功能。
近几年,随着云计算技术的发展和用户需求的多样化,公有云和私有云应用正变得越来越广泛。为满足成本、按需、隐私、合规、避免供应商锁定等目的,企业常常会采用多云平台,即平台包含多个公有云和/或私有云,为了实现跨云访问,需要建立不同云之间的连接,但是现有技术中在不同云之间建立连接时过程比较复杂,例如需要和多个不同的公有云用户系统做对接,且通过sso单点登录,需要统一用户、角色,相对比较繁琐。这会造成基础设施资源池多样化,还要同时管理物理机、虚拟化等异构资源环境。因此,如何更好地管理多云平台中跨云访问是重要的关键功能之一。
本申请中,在私有云的第一用户访问共有云的功能时,采用将私有云的第一用户的编码切换为需要访问的公有云的第二用户的编码,从而使私有云的第一用户具有需要访问的公有云的登录权限,进而能够去执行访问请求对应的共有云的功能,简单高效安全。
具体的,为了实现私有云的第一用户对公有云的功能的跨云访问,可以由凭据管理员通过私有云和公有云的公共处理器来人为定义凭据,参照图2,一个凭据对应一个明确访问者和被访问者的访问请求,且有唯一的凭据编码来区分众多凭据。凭据由凭据策略和凭据密钥构成,同一个凭据中的凭据策略和凭据密钥具有相同的凭据编码。其中,凭据密钥包含凭据编码、数据密钥和通讯密钥,每个凭据对应一个自己的数据密钥和通讯密钥,安全可靠,并且加密算法可以采用国密的对应算法,可扩展,更加安全;凭据策略包含凭据编码、第一用户的编码和与第一用户的编码对应的公有云的第二用户的编码。公共处理器下发凭据密钥至私有云和公有云,同时将通过数据密钥加密的凭据策略下发至第一公共存储模块。
而凭据策略中的第一用户的编码可以是从私有云的处理器发送的私有云所有的用户的编码中人为确定的,第二用户的编码可以是从公有云的处理器发送的公有云所有的用户的编码中人为确定的,而第一用户的编码与第二用户的编码的对应关系,即映射关系,也可以是人为定义的,以此建立切换用户的编码的依据。
整个访问过程中,在步骤S11中,在私有云的第一用户(私有云管理员)准备访问公有云的功能时,第一用户可以先从私有云的存储模块中查找预先存储的凭据密钥,该凭据密钥即为公共处理器提前下发的凭据密钥,也是第一用户向公有云发送的访问请求对应的凭据中的凭据密钥;然后将访问请求经过该凭据密钥中的通讯密钥进行加密生成第一凭据签名;最后将携带第一凭据签名和该凭据密钥中的凭据编码的访问请求发送至公有云的处理器,公有云的处理器进行接收。
在步骤S12和S13中,站在公有云的处理器的角度,其并不清楚接收到的访问请求是由谁发送的,此时就需要拦截访问请求并验证第一用户的身份(也即凭据检查机制),具体的,公有云的处理器可以根据接收到的凭据编码查询并找到自身的存储模块中预先存储的凭据密钥,该凭据密钥也是公共处理器提前下发的,同一凭据编码对应的凭据密钥是相同的,因此基于相同的凭据密钥加密相同的访问请求得到的凭据签名必然是相同的。
在步骤S14中,在发出访问信息的第一用户的身份真实可信时,基于同一访问请求和同一凭据密钥生成的第一凭据签名和第二凭据签名必然是相同,此时也就验证了第一用户的身份,保护了第一用户的身份的安全,防止被拦截、篡改和假冒。之后就可以由公有云本地再根据凭据编码从第一公共存储模块中获取预先存储的加密的凭据策略,同一凭据编码对应的凭据密钥和凭据策略属于同一凭据,对该凭据策略进行加密的数据密钥即可由隶属同一凭据的凭据密钥中获取(该凭据密钥已在步骤S12中获取),进而实现解密得到凭据策略,数据密钥的加密过程保护了第一用户和第二用户的映射关系,实现了重要数据的不可篡改和机密性。
在步骤S15中,发送访问请求的第一用户的编码和凭据策略中第一用户的编码相同,将该第一用户的编码经过凭据策略中的对应关系,及映射关系,切换为第二用户的编码。
在步骤S16中,已经切换为第二用户的编码后,公有云承认该第二用户的编码,此时具有登录权限,能够以第二用户的编码的身份登录公有云,登录后即可执行访问请求对应的公有云的功能,能够授权管理公有云。
并且在切换第二用户的编码实现登录后,还可以记录访问日志到第二公共存储模块。具体的访问流程可以参照图3。
综上,本申请提供了一种跨云访问公有云的方法,该方案中,接收私有云的第一用户发送的携带凭据编码和第一凭据签名的访问请求;根据凭据编码获取凭据密钥;根据凭据密钥中包含的通讯密钥加密访问请求来获取第二凭据签名;在两个签名相同时,根据凭据编码获取加密的凭据策略并由数据密钥解密,进而更换第一用户的编码为第二用户的编码;基于第二用户的编码登录公有云并执行对应的公有云的功能。通过定义凭据策略将私有云的第一用户的编码切换为公有云的第二用户的编码,从而具有访问公有云的权限,实现登录公有云,建立起不同云之间的连接,过程简单,同时通过数据密钥增加切换用户的编码的安全性,通过通讯密钥增加第一用户的访问安全。
在上述实施例的基础上:
作为一种优选的实施例,跨云访问系统还包括公共处理器,接收私有云的第一用户发送的访问请求之前,还包括:
接收公共处理器发送的凭据密钥并存储至公有云的存储模块;
公共处理器还用于发送凭据密钥至私有云的处理器和发送由凭据密钥中的数据密钥加密的凭据策略至第一公共存储模块,凭据密钥中包含的凭据编码、数据密钥和通讯密钥均由公共处理器生成,凭据策略中包含的凭据编码及第一用户的编码和第二用户的编码的对应关系由公共处理器生成,第一用户的编码由公共处理器从私有云的处理器发送的私有云的所有用户的编码中确认,第二用户的编码由公共处理器从公有云的处理器发送的公有云的所有用户的编码中确认。
本实施例中,考虑到公有云的存储模块中预先存储的凭据密钥,可以是通过公共处理器提前定义好并下发的,以备在私有云的第一用户跨云访问公有云的功能时可以随时调取使用凭据密钥。
此外,公共处理器还可以将定义的凭据密钥下发至私有云的处理器,进而使私有云的处理器将其保存至私有云的存储模块,以备第一用户发送访问请求时使用;公共处理器还可以定义凭据策略并由隶属于同一凭据的凭据密钥中的数据密钥加密后下发至第一公共存储模块,所有的公有云的处理器都可访问该第一公共存储模块并在其中查找对应的凭据策略。
具体的定义凭据策略的过程可以为:凭据管理员通过公共处理器接收私有云的处理器发送的私有云的所有用户的编码,并从中确定第一用户的编码;接收公有云的处理器发送的公有云的所有用户的编码,并从中确定第二用户的编码;建立第一用户的编码和第二用户的编码间的映射关系,也即对应关系;其中,公有云的所有用户的编码可以通过用户列表的形式发送,还可以包含用户的名称。
综上,可以由凭据管理员通过公共处理器(也可以称之为凭据管理控制台)预先定义好所有的凭据,并进行相应的下发,以便保证私有云的第一用户跨云访问公有云的功能的正常进行,实现简单的跨云访问,具体可以参照图4。
作为一种优选的实施例,接收公共处理器发送的凭据密钥并存储至公有云的存储模块,包括:
接收公共处理器通过https协议发送的凭据密钥并存储至公有云的存储模块。
本实施例中,公共处理器可以通过https协议发送凭据密钥至公有云,也可以通过https协议发送凭据密钥至私有云,防止凭据密钥被拦截获取,提高传输凭据密钥的安全性和可靠性。
作为一种优选的实施例,还包括:
每隔预设周期发送公有云的所有用户的编码至公共处理器。
本实施例中,公有云的处理器可以每隔预设周期就将公有云的所有用户的编码发送至公共处理器,以保证公共处理器中的公有云的用户的编码的实时性和有效性,可以更好地建立凭据策略。其中,公有云的所有用户的编码可以通过用户列表的形式发送,还可以包含用户的名称,可以参照图4。同时,公有云的所有用户的编码可以通过https协议传输,防止被拦截获取;预设周期可以依据实际情况而定,此处不做特别限定。
此外,私有云的处理器也可以每隔预设周期就将私有云的所有用户的编码发送至公共处理器,具体的发送过程可以同公有云的处理器。
作为一种优选的实施例,根据凭据密钥中包含的通讯密钥加密访问请求来获取第二凭据签名之后,还包括:
在第一凭据签名与第二凭据签名不相同时,控制告警模块进行告警。
本实施例中,在公有云的处理器检测到第一凭据签名与第二凭据签名不相同时,私有云的第一用户的身份验证未通过,此时可以控制告警模块进行告警并停止后续访问流程,保证进行访问的第一用户的身份安全。该告警模块可以为语音告警模块和/或提示灯告警模块,此处不做特别限定。
作为一种优选的实施例,第一公共存储模块为IPFS(InterPlanetary FileSystem,星际文件系统)。
本实施例中,选择IPFS作为第一公共存储模块,IPFS是一种全新的超媒体文本传输协议,可以理解为一种支持分布式存储的网站,私有云和公有云都可以从IPFS中获取加密的凭据策略,并使用数据密钥解析,IPFS具有较快的下载速度,能提高凭据策略的获取效率。
作为一种优选的实施例,基于第二用户的编码登录公有云并执行访问请求对应的公有云的功能之后,还包括:
将凭据编码、第一用户的编码、第二用户的编码、访问请求的访问时间和访问请求对应的公有云的功能作为凭据访问日志存储至第二公共存储模块。
本实施例中,在基于第二用户的编码登录公有云并执行访问请求对应的公有云的功能之后,可以将此次的相关访问信息作为凭据访问日志存储至第二公共存储模块,之后私有云的管理员和公有云的管理员可以查看凭据访问日志,参照图5,实现对于跨云访问的可追踪监控。私有云的管理员可以查看私有云的第一用户访问公有云的功能的记录,公有云的管理员可以查看公有云的功能被私有云的第一用户访问的记录。其中,可以根据凭据编码进行每个凭据访问日志的记录。此外,综合上述所有的限定,通过凭据进行跨云访问的整体的步骤可以参照图6。
作为一种优选的实施例,第二公共存储模块为区块链。
本实施例中,选择区块链作为第二公共存储模块,私有云管理员和公有云管理员可以访问区块链,查看凭据访问日志,这些日志都是通过分布式账本记录的,是不可篡改的,进行了完整性保护。区块链本身的特性可以防止其存储的凭据访问日志被篡改,保证凭据访问日志的真实性和可靠性,进而方便审计查询和跟踪分析,进一步可扩展实现分析统计、安全审计和计量收费,最终保障功能提供者的合法权益及利益。
请参照图7,图7为本申请提供的一种跨云访问公有云的系统的结构示意图,应用于跨云访问系统中的公有云,包括:
访问请求接收单元21,用于接收私有云的第一用户发送的访问请求,访问请求携带基于私有云的存储模块中预先存储的凭据密钥获取的凭据编码和第一用户的第一凭据签名,其中,凭据编码为访问请求对应的凭据的编号,凭据包含凭据策略和凭据密钥,凭据策略包含凭据编码、第一用户的编码和与第一用户的编码对应的公有云的第二用户的编码,凭据密钥包含凭据编码、数据密钥和通讯密钥,数据密钥用于加密凭据策略,通讯密钥用于加密访问请求生成凭据签名;
凭据密钥获取单元22,用于根据凭据编码从公有云的存储模块中获取预先存储的凭据密钥;
第二凭据签名获取单元23,用于根据凭据密钥中包含的通讯密钥加密访问请求来获取第二凭据签名;
凭据策略获取单元24,用于在第一凭据签名与第二凭据签名相同时,根据凭据编码从第一公共存储模块中获取预先存储的加密的凭据策略并根据凭据密钥中包含的数据密钥解密得到凭据策略;
编码切换单元25,用于根据第一用户的编码和凭据策略,更换第一用户的编码为对应的第二用户的编码;
功能执行单元26,用于基于第二用户的编码登录公有云并执行访问请求对应的公有云的功能。
对于本申请提供的一种跨云访问公有云的系统的介绍,请参照上述实施例,本申请此处不再赘述。
请参照图8,图8为本申请提供的一种公有云的结构示意图,包括:
存储器31,用于存储计算机程序;
处理器32,用于执行计算机程序以实现上述的跨云访问公有云的方法的步骤。
对于本申请提供的一种公有云的介绍,请参照上述实施例,本申请此处不再赘述。
需要说明的是,在本说明书中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其他实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种跨云访问公有云的方法,其特征在于,应用于跨云访问系统中公有云的处理器,包括:
接收私有云的第一用户发送的访问请求,所述访问请求携带基于所述私有云的存储模块中预先存储的凭据密钥获取的凭据编码和所述第一用户的第一凭据签名,其中,所述凭据编码为所述访问请求对应的凭据的编号,所述凭据包含凭据策略和凭据密钥,所述凭据策略包含所述凭据编码、所述第一用户的编码和与所述第一用户的编码对应的所述公有云的第二用户的编码,所述凭据密钥包含所述凭据编码、数据密钥和通讯密钥,所述数据密钥用于加密所述凭据策略,所述通讯密钥用于加密所述访问请求生成凭据签名;
根据所述凭据编码从所述公有云的存储模块中获取预先存储的所述凭据密钥;
根据所述凭据密钥中包含的所述通讯密钥加密所述访问请求来获取第二凭据签名;
在所述第一凭据签名与所述第二凭据签名相同时,根据所述凭据编码从第一公共存储模块中获取预先存储的加密的所述凭据策略并根据所述凭据密钥中包含的所述数据密钥解密得到所述凭据策略;
根据所述第一用户的编码和所述凭据策略,更换所述第一用户的编码为对应的所述第二用户的编码;
基于所述第二用户的编码登录所述公有云并执行所述访问请求对应的所述公有云的功能。
2.如权利要求1所述的跨云访问公有云的方法,其特征在于,所述跨云访问系统还包括公共处理器,接收私有云的第一用户发送的访问请求之前,还包括:
接收所述公共处理器发送的所述凭据密钥并存储至所述公有云的存储模块;
所述公共处理器还用于发送所述凭据密钥至所述私有云的处理器和发送由所述凭据密钥中的所述数据密钥加密的所述凭据策略至所述第一公共存储模块,所述凭据密钥中包含的所述凭据编码、所述数据密钥和所述通讯密钥均由所述公共处理器生成,所述凭据策略中包含的所述凭据编码及所述第一用户的编码和所述第二用户的编码的对应关系由所述公共处理器生成,所述第一用户的编码由所述公共处理器从所述私有云的处理器发送的所述私有云的所有用户的编码中确认,所述第二用户的编码由所述公共处理器从所述公有云的处理器发送的所述公有云的所有用户的编码中确认。
3.如权利要求2所述的跨云访问公有云的方法,其特征在于,接收所述公共处理器发送的所述凭据密钥并存储至所述公有云的存储模块,包括:
接收所述公共处理器通过https协议发送的所述凭据密钥并存储至所述公有云的存储模块。
4.如权利要求2所述的跨云访问公有云的方法,其特征在于,还包括:
每隔预设周期发送所述公有云的所有用户的编码至所述公共处理器。
5.如权利要求1所述的跨云访问公有云的方法,其特征在于,根据所述凭据密钥中包含的所述通讯密钥加密所述访问请求来获取第二凭据签名之后,还包括:
在所述第一凭据签名与所述第二凭据签名不相同时,控制告警模块进行告警。
6.如权利要求1所述的跨云访问公有云的方法,其特征在于,所述第一公共存储模块为IPFS。
7.如权利要求1至6任一项所述的跨云访问公有云的方法,其特征在于,基于所述第二用户的编码登录所述公有云并执行所述访问请求对应的所述公有云的功能之后,还包括:
将所述凭据编码、所述第一用户的编码、所述第二用户的编码、所述访问请求的访问时间和所述访问请求对应的所述公有云的功能作为凭据访问日志存储至第二公共存储模块。
8.如权利要求7所述的跨云访问公有云的方法,其特征在于,所述第二公共存储模块为区块链。
9.一种跨云访问公有云的系统,其特征在于,应用于跨云访问系统中的公有云,包括:
访问请求接收单元,用于接收私有云的第一用户发送的访问请求,所述访问请求携带基于所述私有云的存储模块中预先存储的凭据密钥获取的凭据编码和所述第一用户的第一凭据签名,其中,所述凭据编码为所述访问请求对应的凭据的编号,所述凭据包含凭据策略和凭据密钥,所述凭据策略包含所述凭据编码、所述第一用户的编码和与所述第一用户的编码对应的所述公有云的第二用户的编码,所述凭据密钥包含所述凭据编码、数据密钥和通讯密钥,所述数据密钥用于加密所述凭据策略,所述通讯密钥用于加密所述访问请求生成凭据签名;
凭据密钥获取单元,用于根据所述凭据编码从所述公有云的存储模块中获取预先存储的所述凭据密钥;
第二凭据签名获取单元,用于根据所述凭据密钥中包含的所述通讯密钥加密所述访问请求来获取第二凭据签名;
凭据策略获取单元,用于在所述第一凭据签名与所述第二凭据签名相同时,根据所述凭据编码从第一公共存储模块中获取预先存储的加密的所述凭据策略并根据所述凭据密钥中包含的所述数据密钥解密得到所述凭据策略;
编码切换单元,用于根据所述第一用户的编码和所述凭据策略,更换所述第一用户的编码为对应的所述第二用户的编码;
功能执行单元,用于基于所述第二用户的编码登录所述公有云并执行所述访问请求对应的所述公有云的功能。
10.一种公有云,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现上述1至8任一项所述跨云访问公有云的方法的步骤。
CN202210326783.7A 2022-03-30 一种跨云访问公有云的方法、系统及公有云 Active CN114697111B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210326783.7A CN114697111B (zh) 2022-03-30 一种跨云访问公有云的方法、系统及公有云

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210326783.7A CN114697111B (zh) 2022-03-30 一种跨云访问公有云的方法、系统及公有云

Publications (2)

Publication Number Publication Date
CN114697111A true CN114697111A (zh) 2022-07-01
CN114697111B CN114697111B (zh) 2024-06-07

Family

ID=

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130061306A1 (en) * 2011-09-06 2013-03-07 Richard Sinn Hybrid cloud identity mapping infrastructure
US20140108665A1 (en) * 2012-10-16 2014-04-17 Citrix Systems, Inc. Systems and methods for bridging between public and private clouds through multilevel api integration
US20150106899A1 (en) * 2013-10-10 2015-04-16 Mainsoft R&D Ltd. System and method for cross-cloud identity matching
US20170026355A1 (en) * 2015-07-20 2017-01-26 Cisco Technology, Inc. Secure access to virtual machines in heterogeneous cloud environments
CN107222487A (zh) * 2017-06-13 2017-09-29 杭州亿方云网络科技有限公司 一种混合云环境的账号对接系统
CN108449418A (zh) * 2018-03-29 2018-08-24 新华三云计算技术有限公司 一种混合云平台管理系统及方法
US20200076917A1 (en) * 2018-08-31 2020-03-05 Latticework, Inc. Binding a public cloud user account and a personal cloud user account for a hybrid cloud environment
CN111797414A (zh) * 2020-06-24 2020-10-20 北京青云科技股份有限公司 一种混合云管理方法、系统及云服务平台
CN112491881A (zh) * 2020-11-26 2021-03-12 中国人寿保险股份有限公司 跨平台单点登录方法、系统、电子设备及存储介质
CN112905990A (zh) * 2021-03-25 2021-06-04 中国建设银行股份有限公司 一种访问方法、客户端、服务端及访问系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130061306A1 (en) * 2011-09-06 2013-03-07 Richard Sinn Hybrid cloud identity mapping infrastructure
US20140108665A1 (en) * 2012-10-16 2014-04-17 Citrix Systems, Inc. Systems and methods for bridging between public and private clouds through multilevel api integration
US20150106899A1 (en) * 2013-10-10 2015-04-16 Mainsoft R&D Ltd. System and method for cross-cloud identity matching
US20170026355A1 (en) * 2015-07-20 2017-01-26 Cisco Technology, Inc. Secure access to virtual machines in heterogeneous cloud environments
CN107222487A (zh) * 2017-06-13 2017-09-29 杭州亿方云网络科技有限公司 一种混合云环境的账号对接系统
CN108449418A (zh) * 2018-03-29 2018-08-24 新华三云计算技术有限公司 一种混合云平台管理系统及方法
US20200076917A1 (en) * 2018-08-31 2020-03-05 Latticework, Inc. Binding a public cloud user account and a personal cloud user account for a hybrid cloud environment
CN111797414A (zh) * 2020-06-24 2020-10-20 北京青云科技股份有限公司 一种混合云管理方法、系统及云服务平台
CN112491881A (zh) * 2020-11-26 2021-03-12 中国人寿保险股份有限公司 跨平台单点登录方法、系统、电子设备及存储介质
CN112905990A (zh) * 2021-03-25 2021-06-04 中国建设银行股份有限公司 一种访问方法、客户端、服务端及访问系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
周艺华;蒿金志;赵航;: "混合云服务中的跨云际认证机制", 计算机系统应用, no. 04 *

Similar Documents

Publication Publication Date Title
CN111783075B (zh) 基于密钥的权限管理方法、装置、介质及电子设备
AU2017204853B2 (en) Data security service
EP2957063B1 (en) Policy enforcement with associated data
US20240048560A1 (en) Systems and methods for endpoint management
EP2115654B1 (en) Simplified management of authentication credentials for unattended applications
JP5344716B2 (ja) モバイルデバイスからコンピュータへのセキュアな遠隔での起動、ブート、およびログイン方法、システム及びプログラム
US11372993B2 (en) Automatic key rotation
CN107122674B (zh) 一种应用于运维审计系统的oracle数据库的访问方法
CN109756446B (zh) 一种车载设备的访问方法和系统
US9521032B1 (en) Server for authentication, authorization, and accounting
WO2014126882A1 (en) Data security service
CN109936555A (zh) 一种基于云平台的数据存储方法、装置及系统
CN111614686B (zh) 一种密钥管理方法、控制器及系统
CN113039542A (zh) 云计算网络中的安全计数
CN115412269A (zh) 业务处理方法、装置、服务器及存储介质
WO2012120313A1 (en) A cryptographic system and method
CN116668190A (zh) 一种基于浏览器指纹的跨域单点登录方法及系统
CN114697111B (zh) 一种跨云访问公有云的方法、系统及公有云
CN114697111A (zh) 一种跨云访问公有云的方法、系统及公有云
CN112769784A (zh) 文本的处理方法和装置、计算机可读存储介质及处理器
CN114500031B (zh) 基于单点登录获取bi报表的系统、方法、电子设备及介质
CN116781359B (zh) 一种使用网络隔离和密码编译的门户安全设计方法
CN115189960A (zh) 一种将静态密码与动态口令相结合的认证方法
CN116150729A (zh) 业务处理方法、装置、设备、存储介质及计算机程序产品
CN117914601A (zh) 档案机器人的多级安全认证及访问控制系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant