CN103001945A - 一种多元化资源标识安全访问方法 - Google Patents

Abstract

本发明涉及一种多元化资源安全访问方法，基于统一资源名URN（Uniform Resource Name）的多元化资源身份标识的统一定义，该定义描述了多元化资源身份在各自云计算服务模式中到统一标识映射的实现，同时针对云计算服务场景下的多元化资源（IaaS型资源、PaaS型资源和SaaS型资源），分别给出其在统一身份标识下注册流程的实施方法，实现了云计算场景下多元化资源的统一描述及其多元化资源安全访问策略的实现提供了很大的便利。基于云计算服务场景中多元化资源的统一标识信息的海量性以及动态性，本发明还提供优化的安全访问方法，采用了一种快速存储检索的方法——LDAP树形结构，建立多元化资源统一标识信息的存储索引结构，实现多元化资源标识的高效存储查询。

Description

一种多元化资源标识安全访问方法

技术领域

本发明属于信息安全中资源身份标识领域，具体涉及一种面向云计算场景下的多元化资源标识安全访问实现方法。

背景技术

随着云计算、物联网等新兴信息技术在社会生活的各个领域的广泛应用，企业和组织一般使用了不同云计算服务提供商，提供的不同服务模式下多元化资源，而多元化资源缺少统一的身份标识和管理，使其使用者在管理上存在混乱。基于DOI的数字对象标识、基于UUDI的企业资源标识等资源标识储存和查询方案在虚拟资源管理规模、虚拟资源的动态和可扩展性、虚拟资源业务模式演化等方面与现实信息安全的虚拟资源管理需求间产生了明显的差距。通过基于统一资源定位符URL（Universal Resource Locator）的资源定位，已不能很好的解决在虚拟环境对资源多样式、自主性、动态可扩展性带来的访问问题。近些年来，一些科研机构和组织针对上述云计算信息化的发展趋势，提出了相关的解决方案。Ex Libris公司和比利时Ghent大学提出了一种基于Web的学术信息环境实现开放链接的框架——OpenURL，它通过OpenURL的相关规则对网络数字对象进行唯一标识和管理，其核心思想是提供传输书目元数据的语法和信息服务间的对象识别符，从而实现用户在异质系统之间数字对象的互操作。（可参见OpenURL技术发展及创新应用研究，金玉玲，刘伟玲，2008）联机计算机图书馆中心OCLC提出了一个永久性名称解析系统——PURL(persistent URL)，其设计思想是通过名称而不是URL来标识网络资源。它的具体实施方案是利用重定向的功能保持迁移中网络资源的标识，即通过用PURL注册用户维护和修改网络资源的名称与URL的对应关系来实现标识的唯一性（数字对象唯一标示符的现状与发展，毛军，2003.2）。

上述方案虽然体现了以资源为中心的身份管理，但是针对云计算的物理信息网络场景下缺乏技术支持，没有考虑虚拟资源本身的动态性、虚拟化、资源可管理性等特点的多元化虚拟资源身分标识的管理架构，在标识管理涉及标识注册、标识信息存储、标识信息检索和标识信息使用等方面缺乏整体性的解决方案。

发明内容

本发明旨在针对云计算的新一代网络化场景所面临的资源身份管理技术挑战，提供一种多元化资源标识储存和查询的实现方案。由于资源虚拟化需要对资源实行多层次的抽象，从而才能实现对资源的透明和一体化访问。所以本发明依据云计算提供不同层次的服务模式，涉及到的虚拟资源包括IaaS（Infrastructure as a Service）型资源、PaaS（Platform asa Service）型资源和SaaS（Software as a Service）型资源。

简要介绍本方案的基本思想

本发明吸取了已有解决方案的优点，具体来说，本发明技术方案包括下列几个方面：

方面一：给出云计算服务场景下基于统一资源名URN（Uniform Resource Name）的多元化资源身份标识的统一定义，该定义描述了多元化资源身份在各自云计算服务模式中到统一标识映射的实现，也提供了理论依据，同时也为基于轻量目录访问协议LDAP（LightweightDirectory Access Protocol）树形结构（可参考基于LDAP的企业统一资源管理研究）的多元化资源标识的存储索引建立方法的实现奠定了坚实的基础。

方面二：针对云计算服务场景下的多元化资源（IaaS型资源、PaaS型资源和SaaS型资源），分别给出其在统一身份标识下注册流程的实施方法。该阶段任务的实现了云计算场景下多元化资源的统一描述及其多元化资源安全访问策略的实现提供了很大的便利。

方面三：由于云计算服务场景中多元化资源的统一标识信息的海量性以及动态性，采用了一种快速存储检索的方法——LDAP树形结构，建立多元化资源统一标识信息的存储索引结构，实现多元化资源标识的高效存储查询。

归纳起来，本发明与现有技术相比，具有以下显著优点：

1.通用性强。由于本发明采用了基于统一资源名URN的多元化资源身份标识的统一完整性描述以及多元化资源在云计算服务模式下到基于URN的多元化资源身份统一描述的映射，适用于云计算服务场景中各种资源的身份标识的统一，通用性较强。

2.安全性高。由于本发明采用了安全通道机制实现身份标识注册信息和统一标识信息的安全传输，因此显著提高了信息传输的安全性。

3.存储方便、查询效率高。由于本发明采用了基于LDAP树形结构的存储索引方法，使其多元化资源的统一身份标识的存储检索依赖于高效简易的轻量目录访问协议LDAP，达到一种理想的存储查询的目的，因此存储更简单、查询效率更高。

附图说明

下面结合附图对本发明作进一步的说明。

图1为本发明实施总体框架；

图2为IaaS服务型资源IaaS-R的映射表；

图3为IaaS型资源的统一资源名URN与资源访问URL映射表；

图4为应用程序类SaaS服务型资源SaaS-R的映射表；

图5为应用程序类SaaS型资源的统一资源名URN与资源访问URL映射表；

图6为API接口类SaaS服务型资源SaaS-R的映射表；

图7为API接口类SaaS型资源的统一资源名URN与资源访问URL映射表；

图8为PaaS服务型资源PaaS-R的映射表；

图9为PaaS型资源的统一资源名URN与资源访问URL映射表；

图10为统一资源名URN的LDAP基础树形结构；

图11为IaaS型资源的统一资源名URN的LDAP目录树形结构；

图12为SaaS型资源的统一资源名URN的LDAP目录树形结构；

图13为PaaS型资源的统一资源名URN的LDAP目录树形结构。

具体实施方式

为使本发明的目的、优点以及技术方案更加清楚明白，以下通过具体实施，并结合附图，对本发明进一步详细说明。

对于图1从整体上描述了该方案实施的总体框架，主要包括下面三部分的内容。

一、基于URN的多元化资源标识统一描述

基于统一资源名URN的分层结构和标识的唯一性，对云计算场景下的提供服务（基础设施即服务IaaS，平台即服务PaaS和软件即服务SaaS）的多元化资源类型进行编码，对服务项目对应的资源身份进行统一标识，具体编码方案如下。该编码体系的完整结构为URN：Service ID：Resource ID，其中Service ID代表IaaS、PaaS和SaaS，Resource ID代表云计算服务模式对应的统一资源描述。下面详细介绍该体系的结构组成：

①基于URN的IaaS服务型资源描述

URN：IaaS：Domain ID-VM，其中IaaS代表提供的是基础设施即服务类资源；Domain ID代表服务提供商；VM代表着云计算中心提供给用户的虚拟机资源，该虚拟机资源的元数据集由四部分组成，分别为ID、计算资源CompRes、存储资源StoRes和网络带宽NetRes。例如URN：IaaS：Domain ID-VM.ID||StoRes||CompRes||NetRes。

②基于URN的SaaS服务型资源描述

URN：SaaS：Domain ID-Software，其中SaaS代表提供的是软件即服务类资源；Domain ID代表软件服务提供商；Software代表着云计算中心提供给用户的软件类资源，主要包括两类分别为应用程序和API接口。应用程序软件资源的元数据集由四部分组成，分别为ID，应用程序名AppName、应用程序开发商AppDev、运行环境RunEnv(如windows、Linux、Unix等本领域技术人员公知的操作程序)、应用程序语言AppLan(如中文、英文等可设定的语言)；API接口软件资源的元数据集由四部分组成，分别为ID，API接口名ApiName、输入值类型ApiInput（如String、Boolean等本领域技术人员公知的类型值）、输出值类型ApiOutput(如String、Boolean  等)。例如应用程序URN  标识描述为：SaaS：DomainID-Software.ID||AppName||AppDev||AppLan；API接口URN标识描述为：SaaS：DomainID-Software.ID||ApiName||Api||Input||ApiOutput；

③基于URN的PaaS服务型资源描述

URN：PaaS：Domain ID-Platform，其中PaaS代表提供的是平台即服务类资源；Domain ID代表平台服务提供商；Platform代表着云计算中心提供给用户的平台服务类资源，主要是指软件研发平台。该平台服务类资源的元数据集由四部分组成，分别为ID，开发语言DevLan、组件名ComName、组件开发商ComDev。例如URN：PaaS：DomainID-Platform.ID||DeveLan||ComName||ComDev。

二、多元化资源标识的注册流程

IaaS型资源、PaaS型资源和SaaS型资源在进行统一资源名URN标识注册前一般都已存在各自管理体系下的标识，因此在多元化资源注册URN标识过程中，本发明设定的URN标识服务提供者(URN-IdP)需要验证资源的有效身份信息。

（I）针对IaaS服务型资源，注册流程如下：

①URN-IdP导入可信任的IaaS服务供应商CA_I-Servicer或CA_I-Servicer信任链，即IaaS服务供应商颁发证书的认证中心CA_I-Servicer的根证书及证书信任链，可以通过技术或者权威社会共识建立自然的信任关系，生成IaaS供应商信任库IaaS-Trust-Store，存放到物理服务器上；

②注册端属于资源端模块，通过可信任的（第三方）代理agent获取IaaS服务型资源IaaS-R的相关信息该信息主要包括IaaS服务供应商的OID和公钥PK_I-Servicer以及提供资源IaaS-R虚拟机VM的计算资源cup、存储资源(如内存容量、外存容量)、网络带宽和IaaS服务供应商用私钥SK_I-Servicer签名过的该资源访问URL等。Agent负责创建与维护修改一张IaaS服务型资源IaaS-R的映射表，映射表存放在可信任代理Agent上，为将被注册的资源IaaS-R登记。该映射表包含六个属性字段，分别是Domain ID、OID、虚拟机VM的ID、虚拟机VM的计算资源CompRes、虚拟机VM的存储资源StoRes、虚拟机VM的网络带宽NetRes，保证DomainID、OID和虚拟机VM的ID的三者组合唯一性，同时保证Domain ID与OID的一致性，虚拟机VM的ID与计算资源CompRes、存储资源StoRes和网络带宽NetRes的一致性，形如图2。

③agent取出上述映射表中将下一步将要被注册IaaS-R资源的登记记录及对应IaaS服务供应商PK_I-Servicer、IaaS服务提供商私钥SK_I-Servicer签名过的该资源访问URL，通过安全信道传递至URN-IdP；

④URN-IdP使用IaaS服务提供商PK_I-Servicer验证资源访问URL的可信任性（即通过添服务提供商私匙签名，实现可信），验证（只有一对公私匙才能信息解密）通过后，URN-IdP依据③上传的映射表记录，确定IaaS服务型资源IaaS-R的URN统一标识，Domain ID取映射表Domain ID属性值，VM标识取映射表ID、CompRes、StoRes和NetRes属性值。同时创建与维护IaaS类资源的统一资源名URN与资源访问URL的映射表，主要包含两个属性字段，分别是URN_IaaS、URL。保证URN_IaaS、URL的唯一性，同时保证URN_IaaS和URL的一致性，形如图3。该映射表的存在满足IaaS型虚拟资源动态迁移的要求，资源的动态迁移可以通过修改映射表的URL来实现。

⑤将资源IaaS-R的URN标识和对应的IaaS服务供应商的PK_I-Servicer以及资源访问的安全策越Policy和资源访问URL绑定，并根据第三部分介绍的方法进行后台存储。

多元化资源端与资源访问端进行交互时建立一种安全通道，一般通过SSL（Https）协议建立。双方通过该安全通道实现多元化资源的安全访问。SSL(Secure Sockets Layer安全套接层),是为网络通信提供安全及数据完整性的一种安全协议，SSL在传输层对网络连接进行加密。

（II）针对SaaS服务型资源，主要包括两种注册流程分别如下：

（1）应用程序类SaaS服务型资源的注册流程

①URN-IdP导入可信任的应用程序类SaaS服务供应商CA_S-P-Servicer或CA_S-P-Servicer信任链，该信任链为应用程序类SaaS服务供应商颁发证书的认证中心CA_S-P-Servicer的根证书及证书信任链，生成应用程序类SaaS供应商信任库SaaS-P-Trust-Store；

②注册端通过可信任的代理agent获取应用程序类SaaS服务型资源的相关信息，该信息主要包括应用程序类SaaS服务供应商的OID和公钥PK_S-P-Servicer以及应用程序类SaaS服务型资源的应用程序名AppName、应用程序开发商AppDev、应用程序语言AppLan和应用程序类SaaS服务提供商用私钥SK_S-P-Servicer签名过的该资源访问URL等。Agent创建与维护修改一张应用程序类SaaS服务型资源的映射表，为将被注册的资源SaaS-R登记。该映射表包含六七个属性字段，分别是Domain ID、OID、应用程序App的ID、应用程序名AppName、应用程序开发商AppDev、运行环境RunEnv(如windows、Linux、Unix等)、应用程序语言AppLan，保证DomainID、OID和应用程序App的ID的三者组合唯一性，同时保证Domain ID与OID的一致性，应用程序App的ID与AppName、AppDev和AppLan的一致性，形如图4。

③agent取出上述映射表中将被注册SaaS-R资源的登记记录及对应用程序类SaaS服务提供商PK_S-P-Servicer，应用程序类SaaS服务提供商用签名过的该资源访问URL，通过安全信道传递至URN-IdP；

④URN-IdP使用SaaS服务提供商PK_{S-P-S-ervicer}验证资源访问URL的可信任性，验证通过后，URN-IdP依据③上传的映射表记录，确定应用程序类SaaS服务型资源的URN统一标识，DomainID取映射表Domain ID属性值，Software标识取映射表App ID、AppName、AppDev和AppLan属性值。同时创建与维护应用程序类SaaS型资源的统一资源名URN与资源访问URL的映射表，主要包含两个属性字段，分别是URN_SaaS-P、URL。保证URN_SaaS-P、URL的唯一性，同时保证URN_SaaS-P和URL的一致性，形如图5。该在映射表中通过修改映射表的URL来实现应用程序类SaaS型资源的动态迁移。

⑤将应用程序类SaaS服务型资源的URN标识和对应的SaaS服务供应商的PK_S-P-Servioer以及资源访问的安全策略Policy和资源访问URL绑定，并根据第三部分介绍的方法进行后台存储。

（2）API接口类SaaS服务型资源的注册流程

①URN-IdP导入可信任的API接口类SaaS服务供应商CA_S-A-Servicer或CA_S-A-Servicer信任链，生成API接口类SaaS供应商信任库SaaS-A-Trust-Store；该信任链为接口类SaaS服务供应商颁发证书的认证中心CA_S-A-Servicer的根证书及证书信任链；

②注册端通过可信任的代理agent获取API接口类SaaS服务型资源的相关信息，该信息主要包括API接口类SaaS服务供应商的OID和公钥PK_S-A-Servicer以及API接口类SaaS服务型资源的API接口名ApiName、输入值类型ApiInput、输出值类型ApiOutput和API接口类SaaS服务提供商用私钥SK_S-A-Servicer签名过的该资源访问URL等。Agent创建与维护修改一张API接口类SaaS服务型资源的映射表，为将被注册的资源SaaS-R登记。该映射表包含六个属性字段，分别是Domain ID、OID、接口API的ID、API接口名ApiName、输入值类型ApiInput、输出值类型ApiOutput，保证Domain ID、OID和接口API的ID的三者组合唯一性，同时保证Domain ID与OID的一致性，接口API的ID与ApiName、ApiInput和ApiOutput的一致性，形如图6。

③agent取出上述映射表中将被注册SaaS-R资源的登记记录及对API接口类SaaS服务型资源PK_S-A-Servicer，API接口类SaaS服务提供商用签名过的该资源访问URL，通过安全信道传递至URN-IdP；

④URN-IdP使用API接口类SaaS服务提供商PK_S-A-Servicer验证资源访问URL的可信任性，验证通过后，URN-IdP依据③上传的映射表记录，确定API接口类SaaS服务型资源的URN统一标识，Domain ID取映射表Domain ID属性值，API标识取映射表API ID、ApiName、ApiInput和ApiOutput属性值。同时创建与维护API接口类SaaS型资源的统一资源名URN与资源访问URL的映射表，主要包含两个属性字段，分别是URN_SaaS-A、URL。保证URN_SaaS-A、URL的唯一性，同时保证URN_SaaS-A和URL的一致性，形如图7。该在映射表中通过修改映射表的URL来实现SaaS型资源的动态迁移。

⑤将应用程序类SaaS服务型资源的URN标识和对应的SaaS服务供应商的PK_S-A-Servicer以及资源访问的安全策略Policy和资源访问URL绑定，并根据第三部分介绍的方法进行后台存储。

（III）针对PaaS服务型资源，注册流程如下：

①URN-IdP导入可信任的PaaS服务供应商CA_P-Servicer或CA_P-Servicer信任链，生成PaaS供应商信任库PaaS-Trust-Store；该信任链为PaaS服务供应商颁发证书的认证中心CA_P-Servicer的根证书及证书信任链；

②注册端通过可信任的代理agent获取PaaS服务型资源PaaS-R的相关信息，该信息主要包括PaaS服务供应商的OID和公钥PK_P-Servicer以及PaaS服务型资源PaaS-R的开发语言DevLan、组件名ComName、组件语言ComLan、组件开发商ComDev和PaaS服务供应商用私钥SK_P-Sercicer签名过的该资源访问URL等。Agent负责创建与维护修改一张PaaS服务型资源PaaS-R的映射表，为将被注册的资源PaaS-R登记。该映射表包含七个属性字段，分别是Domain ID、OID、平台Platform的ID、开发语言DevLan、组件名ComName、组件语言ComLan、组件开发商ComDev，保证Domain ID、OID和平台Platform的ID唯一性的三者组合唯一性，同时保证Domain ID与OID的一致性，平台Platform的ID与DevLan、ComName、ComLan和ComDev的一致性，形如图8。

③agent取出上述映射表中将被注册PaaS-R资源的登记记录及对应PaaS服务供应商PK_P-Servicer、PaaS服务供应商签名过的该资源访问URL，通过安全信道传递至URN-IdP；

④URN-IdP使用PaaS服务提供商PK_P-Servicer验证资源访问URL的可信任性，验证通过后，URN-IdP依据③上传的映射表记录，确定PaaS服务型资源PaaS-R的URN统一标识，DomainID取映射表Domain ID属性值，Platform标识取映射表Platform ID、DevLan、ComName、ComLan和ComDev属性值。同时创建与维护PaaS型资源的统一资源名URN与资源访问URL的映射表，主要包含两个属性字段，分别是URN_PaaS、URL。保证URN_PaaS、URL的唯一性，同时保证URN_PaaS和URL的一致性，形如图9。该在映射表中通过修改映射表的URL来实现PaaS型资源的动态迁移。

⑤将资源SaaS-R的URN标识和对应的PaaS服务供应商的PK_P-Servicer以及资源访问的安全策越Policy和资源访问URL绑定，并根据第三部分介绍的方法进行后台存储。

三、基于LDAP目录服务树形结构的多元化资源标识的存储索引建立方法

多元化资源的标识是海量的，也是动态变化的，同时需要配合业务系统满足对资源标识的快速检索，基于上述需求，本发明利用LDAP活动目录的树形结构建立针对资源标识URN的分布式存储的索引结构。具体优化过程如下：

①分析对多元化资源标识的注册流程中相关数据信息，设定纳入LADP中的数据集，主要包括IaaS服务型资源数据集、SaaS服务型资源数据集和PaaS服务型资源数据集。IaaS服务型资源数据集主要包括服务提供商信息、资源IaaS-R的信息（如计算资源量、存储资源量、网络资源量、资源访问URL和资源访问的安全策越等）；SaaS服务型资源数据集主要包括服务提供商信息、资源IaaS-R的信息分为两类，一类信息包含应用程序名、应用程序开发商、应用程序语言、访问安全策略等，另一类信息包含API接口名、输入输出类型、访问安全策略等；SaaS服务型资源数据集主要包括服务提供商信息、资源IaaS-R的信息（如组件名称、组件语言、开发语言、资源访问URL和资源的访问安全策越等）。

②借助①设定的相关数据集，设计统一资源名URN标识多元化资源的属性和属性聚类的语法规范schema，相应的schema设计简单表示如下：

IaaS型资源信息类定义，类名：IaaS-Res，父类：top，属性：通用名CN、CompRes、StoRes、NetRes、URL、Policy；

应用程序类SaaS型资源信息类定义，类名：SaaS-Res-App，父类：top，属性：通用名CN、AppName、AppDev、AppLan、URL、Policy；

API接口类SaaS型资源信息类定义，类名：SaaS-Res-Api，父类：top，属性：通用名CN、ApiName、ApiInput、ApiOutput、URL、Policy；

PaaS型资源信息类定义，类名：IaaS-Res，父类：top，属性：通用名CN，ComName、ComLan、ComDev、DevLan、URL、Policy；

以上的schema结构是可以统一表示，如：类，类名，父类，属性。

③设定统一资源名URN标识多元化资源的数据组织结构DN，数据组织结构DN结构中，常用的属性有DC（组织域名）、OU（组织单元）、CN（通用名）

DN的设计按照多元化资源标识URN的分层结构，建立LDAP树形索引结构。包括下面内容：

1)构造多元化资源统一资源名URN标识的基准DN，该步骤是在系统初始化时进行，通过LDAP服务器按照固定的协议来构造

dn：DC=URN

objectClass：Top

objectClass：Dcobject

DC=URN

2)构造多元化资源统一资源名URN标识的云平台服务模式组织结构，形如图10

dn：OU=IaaS，DC=URN

objectClass：Dcobject

objectClass：Organization

OU=IaaS

DC=URN

dn：OU=SaaS，DC=URN

objectClass：Dcobject

objectClass：Organization

OU=SaaS

DC=URN

dn：OU=PaaS，DC=URN

objectClass：Dcobject

objectClass：Organization

OU=PaaS

DC=URN

3)构造IaaS服务型资源统一资源名URN标识的云平台服务模式组织结构，形如图11

dn：CN=VM_A，OU=IaaS，DC=URN

objectClass：Dcobject

objectClass：Organization

objectClass：IaaS-Res

CN=VM_A

OU=IaaS

DC=URN

CompRes=CompRes₁

StoRes=StoRes₁

NetRes=NetRes₁

URL=URL₁

Policy=Policy₁

4)构造SaaS服务型资源统一资源名URN标识的云平台服务模式组织结构，形如图12

dn：CN=Software_A，OU=SaaS，DC=URN

objectClass：Dcobject

objectClass：Organization

objectClass：SaaS-Res-App

CN=Software_A

OU=SaaS

DC=URN

AppName=AppName₁

AppDev=AppDev₁

AppLan=AppLan₁

URL=URL₁

Policy=Policy₁

dn：CN=Software_B，OU=SaaS，DC=URN

objectClass：Dcobject

objectClass：Organization

objectClass：SaaS-Res-Api

CN=Software_B

OU=SaaS

DC=URN

ApiName=ApiName₂

ApiInput=AppInput₂

ApiOutput=ApiOutput₂

URL=URL₂

Policy=Policy₂

5)构造PaaS型资源统一资源名URN标识的云平台服务模式组织结构，形如图13

dn：CN=Platform_A，OU=PaaS，DC=URN

objectClass：Dcobject

objectClass：Organization

objectClass：PaaS-Res

CN=Platform_A

OU=PaaS

DC=URN

ComName=ComName₁

ComDev=ComDev₁

ComLan=ComLan₁

DevLan=DevLan₁

URL=URL₁

Policy=Policy₁

④依据③设定的统一资源名URN标识多元化资源的目录树形索引结构，采用LDAP协议，通过LDAP服务器的LDAP协议的查询操作实现实现对多元化资源标识URN的存储和高效检索。

④重复②③操作，直到被审计实体URN所有记录检索完毕。

Claims (10)

1.一种多元化资源安全访问方法，其步骤包括：

1）在云计算场景下采用统一资源名URN对其提供的多元化资源进行编码；

2）根据该编码结构对所述多元资源进行描述，得到各自资源系统中URN；

3）对所述统一资源名进行注册，URN标识服务提供者URN-IdP导入所述多元资源服务供应商的可信任链，通过可信任agent代理获取所述多元化资源的有效身份信息并建立映射表；

4）所述agent提取出所述映射表中将要被注册的资源登记记录及对应服务供应商签名后的该资源访问URL，并通过安全信道上传至URN-IdP；

5）所述URN-IdP验证资源访问URL的可信任性，验证通过后，所述URN-IdP根据该上传的映射表记录，确定多元资源URN，同时建立所述资源URN与所述资源访问URL的映射表；

6)将所述多元化资源URN和对应服务供应商的相关信息及资源访问的安全策略Policy和资源访问URL绑定；

7）对所述多元化资源进行访问时建立安全通道，实现多元化资源的安全访问。

2.如权利要求1所述的多元化资源安全访问方法，其特征在于，所述步骤1）中的编码结构为：URN：服务ID：服务型资源ID。

3.如权利要求1所述的多元化资源安全访问方法，其特征在于，所述多元化资源类型包括：SaaS服务型资源、IaaS服务型资源和PaaS服务型资源。

4.如权利要求1所述的多元化资源安全访问方法，其特征在于，所述多元化资源类型为SaaS服务型资源时，所述安全访问方法为：

4-1）建立URN的IaaS服务型资源描述，所述编码结构为：URN：IaaS：Domain ID-VM，其中IaaS代表提供的是基础设施即服务类资源，Domain ID代表服务提供商，VM代表着云计算中心提供给用户的虚拟机资源；

4-2）URN-IdP导入可信任的IaaS服务供应商CA_I-Servicer或CA_I-Servicer信任链；

4-3）注册端通过可信任的代理agent获取IaaS服务型资源IaaS-R的相关信息，所述相关信息包括IaaS服务供应商的OID和公钥PK_I-Servicer以及提供资源IaaS-R虚拟机VM的计算资源cup、存储资源、网络带宽和IaaS服务供应商用私钥SK_I-Servicer签名过的该资源访问URL；

4-4）所述Agent创建所述IaaS服务型的IaaS-R映射表，并存放在Agent上，为将被注册的资源IaaS-R登记；

4-5）所述agent提取出所述映射表中下一步将要被注册IaaS-R的登记记录及对应IaaS服务供应商PK_I-Servicer、IaaS服务提供商私钥SK_I-Servicer签名过的该资源访问URL，并通过安全信道传递至URN-IdP；

4-6）所述URN-IdP使用IaaS服务提供商PK_I-Servicer验证资源访问URL的可信任性，验证通过后，URN-IdP根据上传映射表记录，确定IaaS服务型IaaS-R的URN统一标识；

4-7）将IaaS-R的URN标识和对应的IaaS服务供应商的PK_I-Servicer以及资源访问的安全策越Policy和资源访问URL绑定；

4-8）对所述SaaS服务型资源进行访问时建立安全通道，实现多元化资源的安全访问。

5.如权利要求1所述的多元化资源安全访问方法，其特征在于，所述多元化资源类型为应用程序类SaaS服务型资源时，所述安全访问方法为：

5-1）建立URN的IaaS服务型资源描述，URN：SaaS：Domain ID-Software，其中，Software为ID，应用程序名AppName、应用程序开发商AppDev、运行环境RunEnv、应用程序语言AppLan

5-2）URN-IdP导入可信任应用程序类SaaS服务供应商CA_S-P-Servicer或CA_S-P-Servicer信任链,生成应用程序类SaaS供应商信任库SaaS-P-Trust-Store；

5-3）注册端通过可信任代理agent获取应用程序类SaaS服务型资源的相关信息，该信息包括应用程序类SaaS服务供应商的OID和公钥PK_S-P-Servicer以及应用程序类SaaS服务型资源的应用程序名AppName、应用程序开发商AppDev、应用程序语言AppLan和应用程序类SaaS服务提供商用私钥SK_S-P-Servicer签名过的该资源访问URL；

5-4）所述Agent创建应用程序类SaaS服务型资源的映射表，并存放在Agent上，为将被注册的资源SaaS-R登记；

5-5）所述agent取出上述映射表中将被注册SaaS-R资源的登记记录及对应用程序类SaaS服务提供商PK_S-P-Servicer，所述应用程序类SaaS服务提供商用签名过的该资源访问URL，通过安全信道传递至URN-IdP；

5-6）所述URN-IdP使用SaaS服务提供商PK_S-P-Servicer验证资源访问URL的可信任性，验证通过后，URN-IdP根据所述映射表记录，确定应用程序类SaaS的URN统一标识；

5-7）将应用程序类SaaS服务型资源的URN和对应的SaaS供应商的PK_S-P-Servicer以及资源访问的安全策略Policy和资源访问URL绑定；

5-8）对所述应用程序类SaaS服务型资源进行访问时建立安全通道，实现多元化资源的安全访问。

6.如权利要求1所述的多元化资源安全访问方法，其特征在于，所述多元化资源类型为API接口类SaaS服务型资源时，所述安全访问方法为：

6-1）URN-IdP导入可信任的API接口类SaaS服务供应商CA_S-A-Servicer或CA_S-A-Servicer信任链，生成API接口类SaaS供应商信任库SaaS-A-Trust-Store；

6-2）注册端通过可信任的代理agent获取API接口类SaaS服务型资源的相关信息，该信息主要包括API接口类SaaS服务供应商的OID和公钥PK_S-A-Servicer以及API接口类SaaS服务型资源的API接口名ApiName、输入值类型ApiInput、输出值类型ApiOutput和API接口类SaaS服务提供商用私钥SK_S-A-Servicer签名过的该资源访问URL等。

6-3）所述Agent创建API接口类SaaS服务型资源映射表，为将被注册的资源SaaS-R登记；

6-4）agent取出上述映射表中将被注册SaaS-R资源的登记记录及对API接口类SaaS服务型资源PK_S-A-Servicer，API接口类SaaS服务提供商用签名过的该资源访问URL，通过安全信道传递至URN-IdP；

6-5）所述URN-IdP使用API接口类SaaS服务提供商PK_S-A-Servicer验证资源访问URL的可信任性，验证通过后，URN-IdP根据所述映射表记录，确定API接口类SaaS服务型资源的URN统一标识；

6-6）将API接口类SaaS服务型资源的URN标识和对应的SaaS服务供应商的PK_S-A-Servicer以及资源访问的安全策略Policy和资源访问URL绑定；

6-7）所述API接口类SaaS服务型资源进行访问时建立安全通道，实现多元化资源的安全访问。

7.如权利要求1所述的多元化资源安全访问方法，其特征在于，所述多元化资源类型为PaaS服务型资源时，所述安全访问方法为：

7-1）URN-IdP导入可信任的PaaS服务供应商CA_P-Servicer或CA_P-Servicer信任链，生成PaaS供应商信任库PaaS-Trust-Store；

7-2）注册端通过可信任的代理agent获取PaaS服务型资源PaaS-R的相关信息，所述信息包括PaaS服务供应商的OID和公钥PK_P-Servicer以及PaaS服务型资源PaaS-R的开发语言DevLan、组件名ComName、组件语言ComLan、组件开发商ComDev和PaaS服务供应商用私钥SK_P-Servicer签名过的该资源访问URL；

7-3）所述Agent负责创建与维护修改一张PaaS服务型资源PaaS-R的映射表，为将被注册的资源PaaS-R登记；

7-4）所述agent取出上述映射表中将被注册PaaS-R资源的登记记录及对应PaaS服务供应商PK_P-Servicer、PaaS服务供应商签名过的该资源访问URL，通过安全信道传递至URN-IdP；

7-5）所述URN-IdP使用PaaS服务提供商PK_P-Servicer验证资源访问URL的可信任性，验证通过后，URN-IdP依据所述映射表记录，确定PaaS服务型资源PaaS-R的URN统一标识；

7-6）将资源SaaS-R的URN标识和对应的PaaS服务供应商的PK_P-Servicer以及资源访问的安全策越Policy和资源访问URL绑定；

7-7）对所述PaaS服务型资源进行访问时建立安全通道，实现多元化资源的安全访问。

8.如权利要求1-7任意一项所述的多元化资源安全访问方法，其特征在于，基于LDAP目录服务树形结构的多元化资源标识的存储索引建立方法为：

8-1)根据所述多元化资源标识相关数据集设定纳入LADP中的数据集，设计统一资源名URN标识多元化资源的属性和属性聚类的语法规范schema，

8-2）设定统一资源名URN标识多元化资源的数据组织结构DN；

8-3）根据所述统一资源名URN标识多元化资源的目录树形索引结构DN，采用LDAP协议查询操作对多元化资源标识URN进行存储；

8-4)遍历2）-3）直至URN所有记录检索完毕。直到被审计实体URN所有记录检索完毕。

9.如权利要求8所述的存储索引建立方法，其特征在于，所述schema结构是可以统一表示，为：类，类名，父类，属性。

10.如权利要求8所述的存储索引建立方法，其特征在于，所述数据组织结构DN结构中属性包括：DC组织域名、OU组织单元、CN通用名。

Images