CN102082821A - 基于联邦中心的跨资源池资源安全访问方法与系统 - Google Patents
基于联邦中心的跨资源池资源安全访问方法与系统 Download PDFInfo
- Publication number
- CN102082821A CN102082821A CN2010105921349A CN201010592134A CN102082821A CN 102082821 A CN102082821 A CN 102082821A CN 2010105921349 A CN2010105921349 A CN 2010105921349A CN 201010592134 A CN201010592134 A CN 201010592134A CN 102082821 A CN102082821 A CN 102082821A
- Authority
- CN
- China
- Prior art keywords
- resource
- federal
- request message
- attorment
- domains
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于联邦中心的跨资源池资源安全访问方法与系统,以及联邦中心设备和跨资源池安全访问装置,其中方法包括:接收第一资源域的本地用户发送的第一资源请求消息;对第一资源请求消息进行解析,并在第一资源请求消息指向第二资源域时,向联邦中心设备发送携带本地用户身份信息的联邦属性代理证书请求消息;接收联邦中心设备在对本地用户身份信息验证通过后,返回的携带联邦属性代理证书的应答消息,联邦属性代理证书为联邦中心为本地用户分配;向第二资源域发送携带联邦属性代理证书的第二资源请求消息;接收第二资源域对第二资源请求消息进行验证并通过后返回的服务提供通知消息。本发明上述技术方案能够实现跨资源域的资源调用。
Description
技术领域
本发明涉及云计算技术,尤其涉及一种基于联邦中心的跨资源池资源安全访问方法与系统,属于计算机技术领域。
背景技术
二十世纪90年代以来,随着Internet的广泛应用,网络计算也得以迅猛发展。网络计算主要是基于Internet来实现分布式资源的集成、共享和协同。近年来,操作系统虚拟化技术已经日益成熟,Xen虚拟机,VMWare系统,虚拟机(Kernel-Based Virtual Machine,以下简称:KVM)等允许在单独物理资源上并发并独立运行多个操作系统实例。这样虚拟化技术以其透明性、封装性、隔离性等特征,能大大增加计算系统的灵活性和伸缩性。因此依托虚拟化技术的新型网络计算模式,如云计算已经逐渐得到广泛的关注。这样以虚拟机资源为主的共享已经成为虚拟计算和云计算平台应用的核心。
虚拟资源有着以下的三个特征,虚拟性、动态性和分布性。虚拟性体现在两个方面,一是CPU、内存、网络、存储等的虚拟化;二是计算、存储服务等资源被封装在一个完整的运行单元(虚拟机)来共享。虚拟机的动态迁移而导致了虚拟资源呈现出一种动态性。同时,虚拟资源的分布性体现在可能分布于多个安全管理域。
虚拟资源的这些特征在维持高效的物理资源使用率的同时,也给虚拟资源共享和使用的带来了新的安全问题。
虚拟性,是指虚拟资源被封装在运行在远端的虚拟机里来共享,虚拟资源的使用体现虚拟机的用户接入,为此要提供一种的安全的虚拟机接入协议。
动态性,是指虚拟资源的可迁移特征提高了虚拟资源的弹性,同时也增加了虚拟资源访问访问控制的复杂度。首先虚拟资源的使用的访问控制点是随着资源的迁移而发生变化;其次,虚拟资源的安全策略需要随着虚拟资源的迁移而发生迁移,从而增加了安全策略的复杂程度。
分布性,是指云计算的扩展性要求虚拟资源有个跨域的可联合机制,跨域的资源协作包含了不同的管理域间的复杂关系和互操作。而跨域协作拥有一下特点,各个域拥有自己的安全策略;参与的域要能随时加入和离开协作;域在其中扮演资源提供和消费者多重角色。这都为跨域的资源访问授权控制带来困难。
发明内容
本发明实施例提供一种基于联邦中心的跨资源池资源安全访问方法与系统,以及联邦中心设备和基于联邦中心的跨资源池资源安全访问装置,用以实现用于对外地资源域的资源的安全使用。
本发明提供一种基于联邦中心的跨资源池资源安全访问方法,包括:
接收第一资源域的本地用户发送的第一资源请求消息;
对所述第一资源请求消息进行解析,并在所述第一资源请求消息指向第二资源域时,向联邦中心设备发送携带所述本地用户身份信息的联邦属性代理证书请求消息;
接收联邦中心设备在对所述本地用户身份信息验证通过后,返回的携带联邦属性代理证书的应答消息,所述联邦属性代理证书为联邦中心为所述本地用户分配;
向第二资源域发送携带所述联邦属性代理证书的第二资源请求消息;
接收第二资源域对所述第二资源请求消息进行验证并通过后返回的服务提供通知消息。
本发明还提供一种基于联邦中心的跨资源池资源安全访问装置,包括:
第一接收模块,用于接收第一资源域的本地用户发送的第一资源请求消息;
消息解析模块,用于对所述第一资源请求消息进行解析,并在所述第一资源请求消息指向第二资源域时,向联邦中心设备发送携带所述本地用户身份信息的联邦属性代理证书请求消息;
第二接收模块,用于接收联邦中心设备在对所述本地用户身份信息验证通过后,返回的携带联邦属性代理证书的应答消息,所述联邦属性代理证书为联邦中心设备为所述本地用户分配;
第一发送模块,用于向第二资源域发送携带所述联邦属性代理证书的第二资源请求消息;
第三接收模块,用于接收第二资源域对所述第二资源请求消息进行验证并通过后返回的服务提供通知消息。
本发明还提供一种联邦中心设备,包括:
第五接收模块,用于接收第一资源域发送的携带第一资源域的本地用户身份信息的联邦属性代理证书请求消息;
证书分配模块,用于在对所述本地用户身份信息验证通过后,为所述本地用户分配联邦属性代理证书,并向所述第一资源域返回携带联邦属性代理证书的应答消息;
证书验证模块,用于接收第二资源域发送的携带联邦属性代理证书的验证请求消息;
验证通过通知模块,用于在确认所述验证请求消息携带的联邦属性代理证书与之前分配的联邦属性代理证书一致后,向第二资源域返回验证通过应答消息。
本发明还提供了一种基于联邦中心的跨资源池资源安全访问系统,包括上述的基于联邦中心的跨资源池资源安全访问装置和上述的联邦中心设备。
本发明提供的基于联邦中心的跨资源池资源安全访问方法与系统,以及联邦中心设备和基于联邦中心的跨资源池资源安全访问装置,通过将多个资源域注册到联邦中心,并由上述的联邦中心设备为用户分配可在注册到联邦中心的资源域中共用的联邦属性代理证书,使得属于同一联邦中心的资源域之间能够相互提供资源和服务。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于联邦中心的跨资源池资源安全访问方法实施例的流程示意图;
图2为本发明基于联邦中心的跨资源池资源安全访问方法一个具体实施例的流程示意图;
图3为本发明基于联邦中心的跨资源池资源安全访问装置实施例的结构示意图;
图4为本发明联邦中心设备实施例的结构示意图;
图5为本发明实施例中一个虚拟资源系统的系统架构图;
图6为本发明实施例中服务器端和客户端的协议交互示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对现有技术中不同的资源域不能够相互访问的缺陷,本发明实施例提供了一种技术方案,该技术方案中,通过设置联邦中心设备,该联邦中心设备能够为请求访问其他资源域的用户分配联邦属性代理证书,使得用户可以根据该证书访问加入到联邦的任意一个资源域。图1为本发明基于联邦中心的跨资源池资源安全访问方法实施例的流程示意图,如图1所示,该方法包括如下步骤:
步骤101、接收第一资源域的本地用户发送的第一资源请求消息;
步骤102、对所述第一资源请求消息进行解析,并在所述第一资源请求消息指向第二资源域时,向联邦中心设备发送携带所述本地用户身份信息的联邦属性代理证书请求消息;
步骤103、接收联邦中心在对所述本地用户身份信息验证通过后,返回的携带联邦属性代理证书的应答消息,所述联邦属性代理证书为联邦中心为所述本地用户分配;
步骤104、向第二资源域发送携带所述联邦属性代理证书的第二资源请求消息;
步骤105、接收第二资源域对所述第二资源请求消息进行验证并通过后返回的服务提供通知消息。
本发明上述实施例中提供的跨资源池资源访问方法,其中的多个资源域都注册到联邦中心,当第一资源域的本地用户发起访问其他资源域(如第二资源域)的第一资源请求消息时,先向联邦中心设备发起请求联邦属性代理证书的请求消息,并由联邦中心设备为其分配联邦属性代理证书,然后第一资源域的管理设备根据该联邦属性代理证书向第二资源域发起资源请求,第二资源域根据该联邦属性代理证书进行验证并通过后为第一资源域的用户提供服务。通过上述的实施方式,将多个资源域注册到联邦中心,并由上述的联邦中心设备为用户分配可在注册到联邦中心的资源域中共用的联邦属性代理证书,使得属于同一联邦中心的资源域之间能够相互提供资源和服务。
本发明上述实施例中,其中第二资源域对第二资源请求消息进行验证可以包括如下的几种情况,一是第二资源域仅对联邦属性代理证书进行验证,在验证该联邦属性代理证书是由联邦中心设备分配的后,即确认可以向外地域用户提供共享资源,还可以是设置针对外地域用户的安全访问策略,此时接收到的第二资源请求消息包括联邦属性代理证书和用户身份信息,除了需要向联邦中心设备发送携带联邦属性代理证书的验证请求消息,以由联邦中心设备对联邦属性代理证书进行验证外,还需要根据访问策略对用户身份信息进行验证,这种验证具体的可以是第二资源域制定本地访问策略,即第二资源域的共享资源包括3台虚拟机,仅能提供2台虚拟机给外地资源域用户,若此时接收到的第二资源请求消息中的用户为外地域用户,却需使用3台虚拟机,则验证不通过,即本地共享资源不可用,进一步的在具体的实施方式中,对访问策略也可以指定的更为细致,例如对用户的划分,可以更进一步的分为普通用户、管理员等身份,甚至可以是设置黑名单等方式,指定更为详细的安全策略以确认其共享资源是否对外地发起资源请求的用户可用。只有联邦中心设备对联邦属性代理证书验证通过,并且确认本地共享资源可用时,才返回的服务提供通知消息。
本发明上述实施例提供的访问处理方法中,其中的第一资源域的管理设备在向联邦中心设备发送的联邦属性代理证书请求消息仅携带本地用户身份信息,进一步的还可以携带本地用户预使用的第二资源域的信息。并且在这种情况下,进一步的在联邦中心设备中存储各个资源域的访问策略,以使得联邦中心设备在分配联邦属性证书时,本仅仅根据联邦中心需要对用户身份进行验证,还需要根据其所要请求资源的第二资源域的访问策略进行验证,该验证的具体方式可以参照上述实施例中关于第二资源域对请求资源的用户的验证方式,联邦中心仅在上述验证都通过后,即联邦中心设备在对所述本地用户身份信息验证通过,并根据第二资源域的访问策略确定所述第二资源域的共享资源可用时,返回的携带联邦属性代理证书的应答消息。
并且进一步的,与上述实施例中第二资源域向联邦中心设备验证联邦属性代理证书不同,还可以是由联邦中心设备在分配联邦属性证书后,直接将该联邦属性代理证书发送给第二资源域。该方法中第二资源域对联邦属性代理证书进行验证包括:
第二资源域获取第二资源请求消息中携带的联邦属性代理证书,并与存储的联邦属性代理证书进行比较,在获得一致的联邦属性代理证书时验证通过,所述存储的联邦属性代理证书为联邦中心设备在分配联邦属性代理证书后,根据联邦属性代理证书请求消息中携带的第二资源域的信息发送给所述第二资源域。
以下是本发明跨资源池资源访问处理方法的一个具体实施例,图2为本发明基于联邦中心的跨资源池资源安全访问方法一个具体实施例的流程示意图,本实施例中,其中的资源域A和资源域B都注册到联邦中心,资源域A的用户设备向资源域B发起资源请求,这种跨域访问的关键是如何实现域外用户的身份验证和授权,在本实施例中是通过由联邦中心设备分配联邦属性代理证书的方式,建立一个跨域访问的通道实现的,具体的可如图2所示,包括如下的步骤:
步骤201、资源域A和资源域B都注册到联邦中心,联邦中心设备保存各个注册域的CA信息;
步骤202、资源域A的用户设备采用口令登录资源域A,获取本地域用户身份凭证,可能为用户名密码或者用户证书;
步骤203、资源域A的用户设备发送第一资源请求消息,该消息中携带请求资源所述域属性(即本地资源域A,或者是外地资源域B),资源域A的管理设备对上述第一请求消息进行解析,如果请求本地域资源,则根据本地安全策略进行授权访问控制;如果是请求访问资源域B的资源,则向联邦中心发送联邦属性代理证书请求消息,该消息中携带用户的身份信息;
步骤204、联邦中心设备验证上述请求消息中携带的用户身份信息,如果验证通过则为用户分配联邦属性代理证书,并返回给资源A的管理设备;
步骤205、资源域A的管理设备重定向资源请求消息,使用上述获得的联邦属性代理证书替换用户的身份信息,并向资源域B发送携带上述联邦属性代理证书的第二资源请求消息;
步骤206、资源域B检查是否缓存有第二资源请求消息携带的联邦属性代理证书(这里的联邦属性代理证书可能是之前用户在访问时使用过);如果没有缓存,则向联邦中心设备请求验证上述的联邦属性代理证书;
步骤207、在接收到联邦中心的验证通过应答消息后,即完成对用户的身份认证和授权,并返回服务提供通知消息。
上述实施例中,用户主体在访问异构域(联邦中心的其他资源域)的共享资源时,本地域分配的用户属性信息在异构域中没有对应的安全策略来解析,即异构域安全策略的异构性导致用户主体属性的用户属性信息在异构域中无法识别,因此通过上述由联邦中心设备分配的代理属性来完成。目前,本地域内的用户身份属性的认证大多是采用X509v3证书,对于联邦中心设备分配的联邦属性代理证书可以是通过扩展X509v3证书的扩展字段来实现,例如在扩展字段添加授权公式序列得到属性元组,具体可以包括属性名extnID、关键标示critical和属性值extnValue三个字段。
另外,在上述实施例中,还可以是在联邦中心设备中保存一个各资源域的共享资源状态一个子集的副本,其中上述的资源状态的子集的选择是由本地域出于隐私和安全考虑来定制的。资源状态由本地更新到联邦中心设备可以采用一种类似于写时拷贝的方式,以减少联邦中心的通信量。具体是在当本地域第一次加入联邦时,将所有的共享资源的状态提交给联邦;当本地域已经加入联邦,共享资源状态变化时,以写时拷贝将状态更新到联邦,否则不提交状态更新。具体可以采用SOAP服务来提供资源状态汇报和查询的操作,而资源状态的描述则采用一下XML格式。
与上述实施例对应的,本发明实施例还进一步提供了一种跨资源池资源访问处理装置,本实施例中的跨资源池资源访问处理装置可以相当于一个资源域的管理设备,对于加入到联邦中心的各个资源域而言,均可包括该装置。
图3为本发明基于联邦中心的跨资源池资源安全访问装置实施例的结构示意图,如图3所示,该装置包括第一接收模块11、消息解析模块12、第二接收模块13、第一发送模块14和第三接收模块15,其中第一接收模块11用于接收第一资源域的本地用户发送的第一资源请求消息;消息解析模块12用于对所述第一资源请求消息进行解析,并在所述第一资源请求消息指向第二资源域时,向联邦中心设备发送携带所述本地用户身份信息的联邦属性代理证书请求消息;第二接收模块13用于接收联邦中心设备在对所述本地用户身份信息验证通过后,返回的携带联邦属性代理证书的应答消息,所述联邦属性代理证书为联邦中心设备为所述本地用户分配;第一发送模块14用于向第二资源域发送携带所述联邦属性代理证书的第二资源请求消息;第三接收模块15用于接收第二资源域对所述第二资源请求消息进行验证并通过后返回的服务提供通知消息。
本发明上述实施例提供的跨资源池资源访问处理装置,将多个资源域注册到联邦中心,并由上述的联邦中心设备为用户分配可在注册到联邦中心的资源域中共用的联邦属性代理证书,使得属于同一联邦中心的资源域之间能够相互提供资源和服务。
上述装置中的各个模块,是在本地域的用户要访问外地域的资源时使用的模块,另外,当接收到外地域的资源请求消息的情况下,该装置可以包括如下的模块,例如第四接收模块16、验证请求发送模块17和第二发送模块18,该第四接收模块16用于接收携带所述联邦属性代理证书和用户身份信息的第二资源请求消息;验证请求发送模块17用于在接收到携带所述联邦属性代理证书的第二资源请求消息后,向联邦中心设备发送携带所述联邦属性代理证书的验证请求消息;第二发送模块18用于在接收到联邦中心设备返回的验证通过应答消息后并根据本地访问策略以及所述用户身份信息确定共享资源可用时,向发送所述第二资源请求消息的资源域发送服务提供通知消息。
另外本实施例中的装置,其还可以进一步的包括资源状态上报模块和资源状态查询模块,该资源状态上报模块用于在注册时向联邦中心设备发送本地资源域的资源状态消息,以及在共享资源状态更新时,向联邦中心设备发送资源状态更新消息;资源状态查询模块用于向联邦中心设备发送资源查询请求。
本发明实施例还提供了一种联邦中心设备,图4为本发明联邦中心设备实施例的结构示意图,如图4所述,该联邦中心设备包括第五接收模块21、证书分配模块22、证书验证模块23和验证通过通知模块24,其中第五接收模块21用于接收第一资源域发送的携带第一资源域的本地用户身份信息的联邦属性代理证书请求消息;证书分配模块22用于在对所述本地用户身份信息验证通过后,为所述本地用户分配联邦属性代理证书,并向所述第一资源域返回携带联邦属性代理证书的应答消息;证书验证模块23用于接收第二资源域发送的携带联邦属性代理证书的验证请求消息;验证通过通知模块24用于在确认所述验证请求消息携带的联邦属性代理证书与之前分配的联邦属性代理证书一致后,向第二资源域返回验证通过应答消息。
本发明上述实施例提供的联邦中心设备,为预接入到外地域的用户分配联邦属性代理证书,使得用户可以凭借上述的联邦属性代理证书访问外地域,并接收对分配的联邦属性代理证书的验证,实现接入到联邦中心的各个资源域的资源共享。
另外,上述的联邦中心设备还可以进一步包括状态存储模块25和状态查询模块26,其中状态存储模块25用于存储各个资源域的共享资源状态;状态查询模块26用于在接收到资源查询请求消息后,查询资源存储模块中存储的相应资源块的共享资源状态。
该实施例中在联邦中心设备上保存各个资源域的状态,使得能够为空闲可用的资源域的共享资源为外地域提供服务。另为保证共享资源状态的实时性,可以进一步设置一个状态更新报告接收模块,该模块用于接收各个资源域发送的资源状态更新消息,并更新所述状态存储模块中存储的各个资源域的共享资源状态。
图5为本发明实施例中一个虚拟资源系统的系统架构图,如图5所示,该系统包括联邦中心设备1以及多个资源域,具体的可以包括资源域A和资源域B,其中每个资源域包括底层的虚拟资源层2和位于上层的管理设备3,该管理设备可以是图3所示实施例中的跨资源池资源访问处理装置,对于联邦中心设备1主要由联邦证书管理4和虚拟资源状态管理5两个模块组成,其中联邦证书管理主要负责为访问外地域的用户分配联邦属性代理证书,并处理对上述证书的验证,而虚拟资源状态管理负责对加入联邦中心的多个资源域的共享资源状态的管理。而上层管理设备是资源域中虚拟计算基础设施的一部分,其需要对底层的虚拟资源进行管理,制定本地虚拟资源安全访问策略,完成虚拟资源访问的授权决策,以及通过本地身份验证和传输层数据加密完成虚拟机接入的安全性,具体的另外还需要设置用户操作的用户界面,实现人机交互。另外该设备还需要将本地的共享资源的状态信息及时向联邦中心设备汇报,以及根据在本地的用户访问外地域时,向联邦中心设备请求联邦属性代理证书,并根据联邦属性代理证书自动向外地域请求资源。
另外,在每个资源域的管理设备内还可以进一步设置安全接入模块,该安全接入模块的主要功能是在对用户进行虚拟机桌面接入时进行用户验证和通信安全保障。对于虚拟机访问的安全性角度考虑,虚拟机访问可以包括虚拟机桌面接入和虚拟网络接入两种情况。网络接入可以采用console接入,对于大部分的个人应用而言,通常使用用户交互界面的形式。虚拟网络计算机(Virtual Network Computing,以下简称:VNC)是一种最常见的虚拟机桌面接入工具,其采用远程架构缓存(Remote Frame Buffer,以下简称:RFB)通信协议。本发明实施例中可以对上述的通信协议进行修改,以提高对用户进行虚拟机桌面接入时的用户验证和通信安全。
该安全接入技术方案中支持用户验证和通信加密,定义VNC的一种新安全类型X509认证策略,其服务器端和客户端的交互协议可如图6所示,整个包括初始化阶段、安全协商阶段、显示协商阶段以及交互阶段,在安全协商阶段,服务器和客户端首先协商协议版本,服务端向客户端发送服务器协议版本,客户端返回客户端选用版本,以及服务器端向客户端发送服务器安全子类型信息,并接收客户端返回的客户端安全子类型,在交互两端在该协议版本和安全类型信息达成一致后开始对端的TLS(Transport Layer Security)握手,TLS握手的成功为对端建立了TLS信道,这为对端的通信提供安全加密。而用户身份的验证是基于用户的X509证书来实现的,服务器请求客户端用户证书并验证。
本发明还提供了一种基于联邦中心的跨资源池资源安全访问系统,包括基于联邦中心的跨资源池资源安全访问装置和联邦中心设备,其中的基于联邦中心的跨资源池资源安全访问装置采用上述实施例的基于联邦中心的跨资源池资源安全访问装置,联邦中心设备也采用上述实施例提供的联邦中心设备。
本发明实施例提供的技术方案,其在多虚拟资源池安全访问控制机制中,其保证了多虚拟资源池共享虚拟资源状态的信息查询,非本地域用户身份的验证以及授权。与传统的访问控制机制相比,首先在传统访问控制机制所有用户身份信息都存在于一个共同的安全管理域,而后者涉及多个管理域用户身份;其次各域间采用不相同的安全策略。通过引入联邦中心这个中间层来作为一个信任的第三方属性权威,来提供身份映射的服务。这样每一个要使用外域资源的用户首先通过揭露自己的身份信息给联邦中心来获得一个联邦颁发的属性证书来作为其代理,然后使用这个代理属性证书去请求所需的资源。只要管理域都实现联邦的代理属性证书的接口,就可以实现和其他域的资源共享而对其他域内安全策略和身份管理透明,用户可以在联邦中心内使用其他外地域的资源。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于联邦中心的跨资源池资源安全访问方法,其特征在于,包括:
接收第一资源域的本地用户发送的第一资源请求消息;
对所述第一资源请求消息进行解析,并在所述第一资源请求消息指向第二资源域时,向联邦中心设备发送携带所述本地用户身份信息的联邦属性代理证书请求消息;
接收联邦中心设备在对所述本地用户身份信息验证通过后,返回的携带联邦属性代理证书的应答消息,所述联邦属性代理证书为联邦中心为所述本地用户分配;
向第二资源域发送携带所述联邦属性代理证书的第二资源请求消息;
接收第二资源域对所述第二资源请求消息进行验证并通过后返回的服务提供通知消息。
2.根据权利要求1所述的基于联邦中心的跨资源池资源安全访问方法,其特征在于,所述第二资源请求信息包括联邦属性代理证书和本地用户身份信息,所述第二资源域对所述第二资源请求消息进行验证包括:
第二资源域向联邦中心设备发送携带所述联邦属性代理证书的验证请求消息,以验证所述联邦属性代理证书是否由所述联邦中心分配;
第二资源域根据本地访问策略以及所述用户身份信息确定本地共享资源是否可用。
3.根据权利要求1所述的基于联邦中心的跨资源池资源安全访问方法,其特征在于,所述向联邦中心设备发送的联邦属性代理证书请求消息中携带有本地用户身份信息和第一资源请求消息指向的第二资源域的信息;
所述接收联邦中心在对所述本地用户身份信息验证通过后,返回的携带联邦属性代理证书的应答消息具体为:
接收联邦中心设备在对所述本地用户身份信息验证通过,并根据第二资源域的访问策略确定所述第二资源域的共享资源可用时,返回的携带联邦属性代理证书的应答消息。
4.根据权利要求3所述的基于联邦中心的跨资源池资源安全访问方法,其特征在于,所述第二资源域对联邦属性代理证书进行验证包括:
第二资源域获取第二资源请求消息中携带的联邦属性代理证书,并与存储的联邦属性代理证书进行比较,在获得一致的联邦属性代理证书时验证通过,所述存储的联邦属性代理证书为联邦中心设备在分配联邦属性代理证书后,根据联邦属性代理证书请求消息中携带的第二资源域的信息发送给所述第二资源域。
5.一种基于联邦中心的跨资源池资源安全访问装置,其特征在于,包括:
第一接收模块,用于接收第一资源域的本地用户发送的第一资源请求消息;
消息解析模块,用于对所述第一资源请求消息进行解析,并在所述第一资源请求消息指向第二资源域时,向联邦中心设备发送携带所述本地用户身份信息的联邦属性代理证书请求消息;
第二接收模块,用于接收联邦中心设备在对所述本地用户身份信息验证通过后,返回的携带联邦属性代理证书的应答消息,所述联邦属性代理证书为联邦中心设备为所述本地用户分配;
第一发送模块,用于向第二资源域发送携带所述联邦属性代理证书的第二资源请求消息;
第三接收模块,用于接收第二资源域对所述第二资源请求消息进行验证并通过后返回的服务提供通知消息。
6.根据权利要求5所述的基于联邦中心的跨资源池资源安全访问装置,其特征在于,还包括:
第四接收模块,用于接收携带所述联邦属性代理证书和用户身份信息的第二资源请求消息;
验证请求发送模块,用于在接收到携带所述联邦属性代理证书的第二资源请求消息后,向联邦中心设备发送携带所述联邦属性代理证书的验证请求消息;
第二发送模块,用于在接收到联邦中心设备返回的验证通过应答消息后并根据本地访问策略以及所述用户身份信息确定共享资源可用时,向发送所述第二资源请求消息的资源域发送服务提供通知消息。
7.根据权利要求5所述的基于联邦中心的跨资源池资源安全访问装置,其特征在于,还包括:
资源状态上报模块,用于在注册时向联邦中心设备发送本地资源域的资源状态消息,以及在共享资源状态更新时,向联邦中心设备发送资源状态更新消息;
资源状态查询模块,用于向联邦中心设备发送资源查询请求。
8.一种联邦中心设备,其特征在于,包括:
第五接收模块,用于接收第一资源域发送的携带第一资源域的本地用户身份信息的联邦属性代理证书请求消息;
证书分配模块,用于在对所述本地用户身份信息验证通过后,为所述本地用户分配联邦属性代理证书,并向所述第一资源域返回携带联邦属性代理证书的应答消息;
证书验证模块,用于接收第二资源域发送的携带联邦属性代理证书的验证请求消息;
验证通过通知模块,用于在确认所述验证请求消息携带的联邦属性代理证书与之前分配的联邦属性代理证书一致后,向第二资源域返回验证通过应答消息。
9.根据权利要求8所示的联邦中心设备,其特征在于,所述第五接收模块接收到的联邦属性代理证书请求消息中还携带有第二资源域的信息,所述设备还包括:
状态存储模块,用于存储各个资源域的共享资源状态;
状态查询模块,用于在接收到资源查询请求消息后,查询资源存储模块中存储的相应资源块的共享资源状态。
10.一种基于联邦中心的跨资源池资源安全访问系统,其特征在于,包括基于联邦中心的跨资源池资源安全访问装置和联邦中心设备,且所述联邦中心的跨资源池安全访问装置采用权利要求5-7任一所述的联邦中心的跨资源池安全访问装置,所述联邦中心设备采用权利要求8或9所述的联邦中心设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010592134 CN102082821B (zh) | 2010-12-08 | 2010-12-08 | 基于联邦中心的跨资源池资源安全访问方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010592134 CN102082821B (zh) | 2010-12-08 | 2010-12-08 | 基于联邦中心的跨资源池资源安全访问方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102082821A true CN102082821A (zh) | 2011-06-01 |
CN102082821B CN102082821B (zh) | 2013-12-25 |
Family
ID=44088571
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010592134 Expired - Fee Related CN102082821B (zh) | 2010-12-08 | 2010-12-08 | 基于联邦中心的跨资源池资源安全访问方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102082821B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102937911A (zh) * | 2011-08-16 | 2013-02-20 | 中兴通讯股份有限公司 | 虚拟机资源的管理方法及系统 |
CN103970581A (zh) * | 2013-01-24 | 2014-08-06 | 国际商业机器公司 | 创建虚拟资源包的方法和设备 |
CN104065651A (zh) * | 2014-06-09 | 2014-09-24 | 上海交通大学 | 一种面向云计算的信息流可信保障机制 |
WO2014173265A1 (en) * | 2013-04-25 | 2014-10-30 | Hangzhou H3C Technologies Co., Ltd. | Network resource monitoring |
CN104936199A (zh) * | 2014-03-20 | 2015-09-23 | 中兴通讯股份有限公司 | 一种资源通告管理的方法及公共业务实体 |
CN105471947A (zh) * | 2014-09-04 | 2016-04-06 | 青岛海尔智能家电科技有限公司 | 一种获取位置信息的方法和装置 |
CN106233803A (zh) * | 2014-02-16 | 2016-12-14 | Lg电子株式会社 | 用于无线通信系统中的装置到装置通信的控制信号的资源分配方法及其装置 |
CN109788037A (zh) * | 2018-12-24 | 2019-05-21 | 北京旷视科技有限公司 | 集群管理方法、装置、系统及计算机存储介质 |
CN109981649A (zh) * | 2019-03-27 | 2019-07-05 | 山东超越数控电子股份有限公司 | 一种基于安全认证网关的云存储安全访问方法,系统,终端及存储介质 |
CN113326007A (zh) * | 2021-06-30 | 2021-08-31 | 广东电网有限责任公司 | 非结构化数据联邦存储方法、装置、终端及存储介质 |
CN114065238A (zh) * | 2021-11-05 | 2022-02-18 | 深圳致星科技有限公司 | 数据管理方法、装置及电子设备 |
WO2023134144A1 (zh) * | 2022-01-11 | 2023-07-20 | 华为云计算技术有限公司 | 一种在云系统中处理云服务的方法及相关装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1437375A (zh) * | 2002-02-08 | 2003-08-20 | 泰康亚洲(北京)科技有限公司 | 一种安全移动电子商务平台数字证书的认证方法 |
CN101136748A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种身份认证方法及系统 |
CN101605030A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的基于Active Directory的统一认证实现方法 |
WO2010028691A1 (en) * | 2008-09-12 | 2010-03-18 | Nokia Siemens Networks Oy | Methods, apparatuses and computer program product for obtaining user credentials for an application from an identity management system |
-
2010
- 2010-12-08 CN CN 201010592134 patent/CN102082821B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1437375A (zh) * | 2002-02-08 | 2003-08-20 | 泰康亚洲(北京)科技有限公司 | 一种安全移动电子商务平台数字证书的认证方法 |
CN101136748A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种身份认证方法及系统 |
CN101605030A (zh) * | 2008-06-13 | 2009-12-16 | 新奥特(北京)视频技术有限公司 | 一种面向电视台应用的基于Active Directory的统一认证实现方法 |
WO2010028691A1 (en) * | 2008-09-12 | 2010-03-18 | Nokia Siemens Networks Oy | Methods, apparatuses and computer program product for obtaining user credentials for an application from an identity management system |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102937911A (zh) * | 2011-08-16 | 2013-02-20 | 中兴通讯股份有限公司 | 虚拟机资源的管理方法及系统 |
CN103970581A (zh) * | 2013-01-24 | 2014-08-06 | 国际商业机器公司 | 创建虚拟资源包的方法和设备 |
US9547486B2 (en) | 2013-01-24 | 2017-01-17 | International Business Machines Corporation | Creating a virtual resource package |
CN103970581B (zh) * | 2013-01-24 | 2017-09-12 | 国际商业机器公司 | 创建虚拟资源包的方法和设备 |
US9825817B2 (en) | 2013-04-25 | 2017-11-21 | Hewlett Packard Enterprise Development Lp | Network configuration auto-deployment |
WO2014173265A1 (en) * | 2013-04-25 | 2014-10-30 | Hangzhou H3C Technologies Co., Ltd. | Network resource monitoring |
US9762451B2 (en) | 2013-04-25 | 2017-09-12 | Hewlett Packard Enterprise Development Lp | Network resource matching |
CN106233803B (zh) * | 2014-02-16 | 2019-09-13 | Lg电子株式会社 | 用于无线通信系统中的装置到装置通信的控制信号的资源分配方法及其装置 |
US10383119B2 (en) | 2014-02-16 | 2019-08-13 | Lg Electronics Inc. | Resource allocation method for control signal of device-to-device communication in wireless communication system and device therefor |
CN106233803A (zh) * | 2014-02-16 | 2016-12-14 | Lg电子株式会社 | 用于无线通信系统中的装置到装置通信的控制信号的资源分配方法及其装置 |
CN104936199A (zh) * | 2014-03-20 | 2015-09-23 | 中兴通讯股份有限公司 | 一种资源通告管理的方法及公共业务实体 |
CN104065651B (zh) * | 2014-06-09 | 2017-10-31 | 上海交通大学 | 一种面向云计算的信息流可信保障方法 |
CN104065651A (zh) * | 2014-06-09 | 2014-09-24 | 上海交通大学 | 一种面向云计算的信息流可信保障机制 |
CN105471947B (zh) * | 2014-09-04 | 2019-05-14 | 青岛海尔智能家电科技有限公司 | 一种获取位置信息的方法和装置 |
CN105471947A (zh) * | 2014-09-04 | 2016-04-06 | 青岛海尔智能家电科技有限公司 | 一种获取位置信息的方法和装置 |
CN109788037A (zh) * | 2018-12-24 | 2019-05-21 | 北京旷视科技有限公司 | 集群管理方法、装置、系统及计算机存储介质 |
CN109788037B (zh) * | 2018-12-24 | 2022-03-11 | 北京旷视科技有限公司 | 集群管理方法、装置、系统及计算机存储介质 |
CN109981649A (zh) * | 2019-03-27 | 2019-07-05 | 山东超越数控电子股份有限公司 | 一种基于安全认证网关的云存储安全访问方法,系统,终端及存储介质 |
CN113326007A (zh) * | 2021-06-30 | 2021-08-31 | 广东电网有限责任公司 | 非结构化数据联邦存储方法、装置、终端及存储介质 |
CN114065238A (zh) * | 2021-11-05 | 2022-02-18 | 深圳致星科技有限公司 | 数据管理方法、装置及电子设备 |
WO2023134144A1 (zh) * | 2022-01-11 | 2023-07-20 | 华为云计算技术有限公司 | 一种在云系统中处理云服务的方法及相关装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102082821B (zh) | 2013-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102082821B (zh) | 基于联邦中心的跨资源池资源安全访问方法与系统 | |
RU2598324C2 (ru) | Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога | |
US11080419B2 (en) | Distributed data rights management for peer data pools | |
US9047462B2 (en) | Computer account management system and realizing method thereof | |
US9152783B2 (en) | Privileged account manager, application account management | |
US8726348B2 (en) | Collaborative rules based security | |
US20080301770A1 (en) | Identity based virtual machine selector | |
US8578452B2 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud computing system | |
US9866547B2 (en) | Controlling a discovery component, within a virtual environment, that sends authenticated data to a discovery engine outside the virtual environment | |
US11888856B2 (en) | Secure resource authorization for external identities using remote principal objects | |
CN102422298A (zh) | 分布式计算资源的访问控制系统和方法 | |
CN104394141A (zh) | 一种基于分布式文件系统的统一认证方法 | |
US11233800B2 (en) | Secure resource authorization for external identities using remote principal objects | |
CN106959854A (zh) | 云终端虚拟化系统 | |
WO2014133917A1 (en) | Discretionary policy management in cloud-based environment | |
US9537893B2 (en) | Abstract evaluation of access control policies for efficient evaluation of constraints | |
US9288264B2 (en) | System and method for implementing a cloud workflow | |
US10218713B2 (en) | Global attestation procedure | |
CN109309686A (zh) | 一种多租户管理方法及装置 | |
CN109802927A (zh) | 一种安全服务提供方法及装置 | |
US20210136079A1 (en) | Technology for computing resource liaison | |
US8875300B1 (en) | Method and apparatus for authenticating a request between tasks in an operating system | |
Babu | A Load Balancing Algorithm For Private Cloud Storage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131225 Termination date: 20181208 |
|
CF01 | Termination of patent right due to non-payment of annual fee |