CN103051643B - 云计算环境下虚拟主机安全连接动态建立方法与系统 - Google Patents
云计算环境下虚拟主机安全连接动态建立方法与系统 Download PDFInfo
- Publication number
- CN103051643B CN103051643B CN201310023291.1A CN201310023291A CN103051643B CN 103051643 B CN103051643 B CN 103051643B CN 201310023291 A CN201310023291 A CN 201310023291A CN 103051643 B CN103051643 B CN 103051643B
- Authority
- CN
- China
- Prior art keywords
- host computer
- fictitious host
- node
- secure connection
- source user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供一种云计算环境下虚拟主机安全连接动态建立的方法与系统。该方法与系统包括:云计算环境下零可信度的用户虚拟主机节点接入虚拟网络,通过可信认证服务器获得虚拟IP地址。由可信认证服务器对源虚拟主机和目标虚拟主机节点进行基于策略的可信身份认证,匹配源虚拟主机和目标虚拟主机节点的安全等级,并指派所建立的安全连接协议栈类型,则源用户虚拟主机可向目标用户虚拟主机发起建立安全连接。本发明通过引入云计算环境下公共在线第三方可信认证服务器,实现不同业务属性和跨安全域的用户虚拟主机动态建立安全连接,有效解决了传统的安全连接需人工预先配置、静态建立、升级和维护复杂等问题,本发明具有简单高效和成本低廉等优势。
Description
技术领域
本发明涉及通信及信息安全领域,尤其涉及一种在云计算环境下,虚拟主机之间安全连接动态建立方法与系统。
背景技术
云计算环境下的用户虚拟主机节点之间建立安全连接是一项重大研究课题,传统的虚拟主机节点安全连接建立往往是由人工通过配置的文件进行静态设置,在这种模式下,随着虚拟主机规模型的增长,如新业务类型虚拟主机创建、虚拟主机迁移、虚拟主机撤销等,对虚拟主机安全连接的维护与管理将变得十分困难。传统的虚拟主机安全连接建立存在一些问题:
1.云计算环境下存在大规模的用户虚拟主机,若不进行用户虚拟主机身份认证,会导致恶意的虚拟主机非法访问云计算环境下的敏感数据资源,导致敏感信息被非法访问。
2.虚拟主机都是人工进行事先建立并设定好静态IP地址,通过配置文件实现用户虚拟主机之间安全连接的建立,随着用户虚拟主机数量的增长以及安全连接的更改、删除和创建,将使得用户虚拟主机之间难于维护和管理安全连接。
因此需要一种简单、高效的云计算环境下用户虚拟主机之间安全连接动态建立和管理体系。
发明内容
针对云计算环境下大规模的用户虚拟主机节点之间安全连接建立与维护的困难和复杂性,本发明提供一种基于公共第三方可信认证服务器的云计算环境下虚拟主机安全连接动态建立的方法与系统。
在云计算环境下,用户虚拟主机节点创建完后具备零可信度,任何两个虚拟主机之间的初始通信都是被阻止,当源用户虚拟机节点提交一个连接目标虚拟主机节点的请求时,由第三方可信认证服务器实现对源和目标用户虚拟机节点的身份认证,并通过安全属性数据库匹配源和目标用户虚拟主机节点的安全属性,实现源和目标用户虚拟机节点之间安全连接的建立。
本发明的一方面,提供了一种云计算环境下安全连接动态建立的系统,包括源用户虚拟主机(1)、目标用户虚拟主机(2)、云计算环境下的虚拟IP网络(3),与该网络连接的第三方可信认证服务器(4),该可信认证服务器中设置有用于向接入该虚拟IP网络的用户虚拟主机分配和管理虚拟IP地址的DHCP模块(5)、用于向接入虚拟IP网络的用户虚拟主机节点颁发并注册数字证书的数字证书认证与授权模块CA(6)、身份鉴别与认证模块(7)、数据存储与计算模块(8),
用于动态虚拟IP地址管理的DHCP模块(5),根据接入云计算环境下虚拟网络的用户虚拟主机节点的业务属性,为其动态分配和注册虚拟IP地址,为用户虚拟主机节点管理虚拟IP地址;
数字证书认证与授权模块CA(6),用于为接入云计算环境下虚拟网络的用户虚拟主机节点颁发和注册用于身份认证的数字证书;
身份鉴别与认证模块(7),用于对用户虚拟主机节点进行基于证书的身份鉴别过程,生成身份认证结果;
数据计算与存储模块(8),用于存储消息分组数据,计算产生数字签名,校验数字签名。
本发明同时提供了一种云计算环境下虚拟主机安全连接动态建立的方法,包括以下步骤:
①在云计算环境下引入第三方可信认证服务器,源用户虚拟主机(1)节点被创建并通过可信认证服务器(4)接入该虚拟IP网络(3),由可信认证服务器(4)中的DHCP模块(5)为源用户虚拟主机(1)节点分配动态虚拟IP地址,源用户虚拟主机(1)向可信认证服务器(4)请求申请用于虚拟主机节点身份鉴别的数字证书,由可信认证服务器(4)中的数字证书认证与授权模块CA(6)为源用户虚拟主机(1)节点注册并颁发数字证书;
②根据用户业务操作,需要由源用户虚拟主机(1)节点提交一个连接目标用户虚拟主机(2)节点的请求时,源用户虚拟主机(1)节点向第三方可信认证服务器(4)发送安全连接身份鉴别消息分组1:该消息分组1主要元素包括:源用户虚拟主机(1)节点标识vHost_IDS、接入媒体类型AccessMedia、源用户虚拟主机(1)节点证书、源用户虚拟主机(1)节点虚拟IP地址、目标虚拟主机(2)节点业务类型、源用户虚拟主机(1)本地生成的随机数NS以及源用户虚拟主机(1)对消息分组中除本字段外的所有数据字段的数字签名;
③可信认证服务器(4)对源虚拟主机(1)节点的消息分组1中数字签名进行身份认证,若认证失败,则向源用户虚拟主机(1)节点返回错误消息代码类型;否则根据欲连接的目标虚拟主机(2)节点业务类型,本地查找其虚拟IP地址;可信认证服务器(4)向目标虚拟主机(2)节点发送安全连接身份鉴别消息分组2,该消息分组2主要元素包括:源虚拟主机(1)节点身份认证结果ResS、随机数NS、可信认证服务器(4)本地生成的随机数NSS以及安全服务器对本消息分组中除本字段外的所有数据字段的数字签名;
④目标虚拟主机(2)计算消息分组2中数字签名,认证该消息正确性;检查源用户虚拟主机(1)身份认证结果;目标虚拟主机(2)向可信认证服务器(4)发送安全连接身份鉴别消息分组3,该消息分组3主要元素包括:目标用户虚拟主机(2)节点标识vHost_IDD、接入媒体类型AccessMedia、目标用户虚拟主机(2)节点证书、目标用户虚拟主机(2)节点IP地址、随机数NS、随机数NSS和目标虚拟主机(2)对本消息分组中除本字段外的所有数据字段的数字签名;
⑤可信认证服务器(4)对目标虚拟主机(2)节点的消息分组3中数字签名进行身份认证,认证该消息正确性;匹配随机数NSS,认证该消息分组的时效性;检查目标用户虚拟主机节点的数字证书,对目标用户虚拟主机进行基于证书的身份认证。;若认证失败,则向目标用户虚拟主机(2)节点返回错误消息代码类型,并通告源用户虚拟主机(1)节点安全连接建立失败错误类型;否则可信认证服务器(4)读取源用户虚拟主机(1)和目标用户虚拟主机(2)节点标识vHost_ID,并查询云平台中虚拟化安全资源管理服务器VSRM上的用户虚拟主机属性数据库VMADB,测量匹配源用户虚拟主机(1)和目标用户虚拟主机(2)的安全等级,以决策源用户虚拟主机(1)节点能否向目标用户虚拟主机(2)节点发起建立安全连接;若源用户虚拟主机(1)节点不能向目标用户虚拟主机(2)节点发起建立安全连接,则通告源用户虚拟主机(1)节点安全连接建立失败错误类型;否则,可信认证服务器(4)指派源虚拟主机(1)向目标虚拟主机(2)建立的安全连接协议栈类型,并向源用户虚拟主机(1)节点发送安全连接身份鉴别消息分组4,该消息分组4主要元素包括:目标用户虚拟主机(2)节点身份认证结果ResD、所建立的安全连接协议栈类型、目标用户虚拟主机(2)节点虚拟IP地址、源用户虚拟主机(1)节点的下一跳IP地址、随机数NS和本消息分组除该字段外的所有数据字段的数字签名;
⑥源用户虚拟主机(1)计算消息分组4中数字签名,认证该消息正确性;匹配随机数NS,认证该消息分组4的时效性;检查目标用户虚拟(2)主机身份认证结果;源虚拟主机(1)根据可信认证服务器(4)所指派的安全连接协议栈类型以及目标虚拟主机(2)节点的虚拟IP地址,向目标虚拟主机(2)发起建立安全连接。
本发明通过引入云计算环境下公共在线第三方可信认证服务器,实现不同业务属性和跨安全域的用户虚拟主机动态建立安全连接,有效解决了传统的安全连接需人工预先配置、静态建立、升级和维护复杂等问题,与传统技术相比,本发明具有简单高效和成本低廉等优势。
附图说明
图1根据本发明实施例的系统框图;
图2根据本发明实施例的安全服务器内部模块图;
图3根据本发明实施例的虚拟主机基于策略的可信验证过程;
图4根据本发明实施例的虚拟主机安全连接建立消息交互图;
图5根据本发明实施例的虚拟主机安全连接建立流程图。
具体实施方式
下面结合附图对本发明的云计算环境下虚拟主机安全连接动态建立方法与系统进行详细描述说明。描述中给出了许多具体细节,以确保本发明实例的透彻理解。
图1是根据本发明实施例的系统框图。
图2是根据本发明实施例的安全服务器内部模块图。
如图1和图2所示,云计算环境下的可信认证服务器4连接至虚拟IP网络3中,第三方可信认证服务器4包含用于管理接入虚拟IP网络的用户虚拟主机节点动态虚拟IP地址的DHCP模块5、用于向接入虚拟IP网络的用户虚拟主机节点颁发和注册证书的数字证书授权模块CA6、用于对用户虚拟主机节点进行基于证书的身份鉴别过程,生成身份认证结果的身份鉴别与认证模块7,用于存储消息分组数据,计算产生数字签名,校验数字签名等功能的数据计算与存储模块8;源虚拟主机1和目标虚拟主机2通过第三方可信认证服务器4中DHCP模块5分配的动态虚拟IP地址接入虚拟IP网络3中,虚拟主机可以是主机或网络设备(如网关、路由器),用户虚拟主机接入虚拟IP网络的虚拟IP地址同时也存储在可信认证服务器4中。可信认证服务器4可以是多个,根据需求进行合理分布。
在云计算环境下,具备不同业务属性、系统属性及安全属性的用户虚拟主机之间发起建立的安全连接类型如表1所示。
表1安全连接服务类型
图3是根据本发明实施例的用户虚拟主机的身份认证过程。在云计算环境下,新创建或启动的用户虚拟主机为零可信度,任意两个虚拟主机的通信是被阻止的,虚拟主机需要经过身份认证才可以向对方发起建立安全连接。通过引入第三方可信认证服务器4,完成对零可信度的源用户虚拟主机1和目标用户虚拟主机2进行身份认证,实现源虚拟主机1和目标虚拟主机2之间建立安全连接。如图3所示过程,安全连接的发起端,即源用户虚拟主机1接入该云计算环境下的虚拟IP网络3,并通过可信认证服务器4中的DHCP模块5获取动态虚拟IP地址,当源用户虚拟主机1提交一个连接目标用户虚拟主机2的请求时,源用户虚拟主机1向可信认证服务器4发送安全连接身份鉴别消息分组1,该消息分组包含的有效元素集合如表2所示。
表2安全连接身份鉴别消息分组1有效元素集合
——云计算环境下,源用户虚拟主机1节点的身份标识vHost_ID,每个虚拟主机都有统一的标识,虚拟主机标识符vHost_ID包含其系统属性、安全属性和业务类型等信息。
——源用户虚拟主机1节点接入媒体类型,即源用户虚拟主机1接入云计算环境下虚拟IP网络3时的接入媒体类型,如以太网,FDDI;
——源用户虚拟主机1虚拟IP地址,源用户虚拟主机1节点接入该云计算环境下IP网络3时,由可信认证服务器4的DHCP模块5为其分配的动态虚拟IP地址。
——源用户虚拟主机1节点证书,用于可信认证服务器4对源用户虚拟主机1节点进行身份鉴别与认证授权;
——目标用户虚拟主机1业务类型Servtype,根据用户发起的业务操作可获知目标用户虚拟主机1的业务属性,由第三方可信认证服务器4查询虚拟化安全资源管理服务器VSRM以获取该业务属性用户虚拟主机节点的虚拟IP地址;
——源用户虚拟主机1本地随机数NS,在源用户虚拟主机1本地使用随机数发生器生成,用于控制消息交互的唯一性和时效性;
——源用户虚拟主机1签名SigVMS,源虚拟主机1对该消息分组中除本字段外的所有数据字段产生的消息摘要,用自己持有的长期私钥进行计算得到的数字签名。
可信认证服务器4收到安全连接身份鉴别分组1后,可信认证服务器1的CA模块6对源虚拟主机1进行基于证书的身份认证,若对源用户虚拟主机1节点进行身份认证成功,则为其提供服务;否则拒绝服务。可信认证服务器4根据源用户虚拟主机1欲发起建立安全连接的目标用户虚拟主机2的业务类型查找目标用户虚拟主机2节点虚拟IP地址,向目标用户虚拟主机2发送安全连接身份鉴别消息分组2,有效元素集合如表4所示。
表4安全连接身份鉴别消息分组2有效元素集合
——源用户虚拟主机1节点身份认证结果ResS,若源用户虚拟主机1身份认证结果为合法,才可向目标用户虚拟主机2节点发起建立安全连接;否则第三方可信认证服务器4终止安全连接建立过程;
——源用户虚拟主机1本地随机数NS,与安全连接身份鉴别消息分组1中NS相同;
——可信认证服务器4本地随机数NSS,在安全服务器本地使用随机数发生器生成,用于控制消息交互的唯一性和时效性;
——可信认证服务器4签名SigSS,可信认证服务器4对该消息分组中除本字段外的所有数据字段产生的消息摘要,用自己持有的长期私钥进行计算得到的数字签名。
目标虚拟主机2收到安全连接身份鉴别消息分组2后,检查源用户虚拟主机1的身份认证结果并构建安全连接身份鉴别消息分组3并发往可信认证服务器4,有效元素集合如表5所示。
表5安全连接身份鉴别消息分组3有效元素集合
——目标用户虚拟主机2节点vHOST_IDD,目标虚拟主机2节点的身份标识vHost_ID;
——目标用户虚拟主机2节点接入媒体类型,即目标用户虚拟主机2接入云计算环境下虚拟IP网络3时的接入媒体类型,如以太网,FDDI;
——目标用户虚拟主机2虚拟IP地址,目标用户虚拟主机2节点接入该云计算环境下IP网络3时,由可信认证服务器4的DHCP模块5为其分配的动态虚拟IP地址。
——目标用户虚拟主机2证书,用于可信认证服务器4对目标用户虚拟主机2节点进行身份鉴别与认证授权;
——源虚拟主机1本地随机数NS,与安全连接身份鉴别消息分组1中NS相同;
——可信认证服务器4本地随机数NSS,与安全连接身份鉴别消息分组2中NSS相同;
——目标用户虚拟主机2签名SigVMD,目标用户虚拟主机2对消息分组3中除本字段外的所有数据字段产生的摘要的数字签名。
可信认证服务器4收到安全连接身份鉴别消息分组3后,可信认证服务器4的CA模块6对目标用户虚拟主机2进行基于证书的身份认证,若对目标用户虚拟主机2节点进行身份认证成功,则为其提供服务;否则终止安全连接建立过程。
第三方可信认证服务器4根据源用户虚拟主机1和目标用户虚拟主机2节点身份标识vHOST_ID信息,查询虚拟化安全资源管理服务器VSRM上的用户虚拟主机属性数据库VMADB,获取源虚拟主机1和目标虚拟主机2的安全属性,测量和匹配源用户虚拟主机1和目标用户虚拟主机2的安全等级,若源用户虚拟主机1低于目标用户虚拟主机2的安全等级时,源用户虚拟主机1不能向目标用户虚拟主机2发起建立安全连接,否则源用户虚拟主机1的安全等级不低于目标虚拟主机2的安全等级时,源用户虚拟主机1可向目标虚拟主机2发起建立安全连接,由第三方可信认证服务器4指派源用户虚拟主机1和目标用户虚拟主机2建立的安全连接协议栈类型,确定源虚拟主机1和目标虚拟主机2使用的安全连接组件类型等信息。根据虚拟主机的不同安全属性,以及业务属性,安全连接服务组件有不同类型,包括数据链路层安全连接、网络层安全连接以及传输层安全连接,这里我们举例网络层安全连接IPSec,其包括隧道协议、密钥管理方法、安全机制、身份认证和访问控制等,如表6,7,8,9所示。
表6安全连接服务组件类型主要参数
本发明中,举例采用第三层安全连接IPSec作为安全连接服务的隧道协议,在某些应用场景下可采用SSL作为安全连接服务的隧道协议。
针对主机——主机型安全连接,采用IPSec隧道协议的安全连接服务组件类型,包括参数如下表7所示。
表7主机——主机型安全连接服务组件参数
针对主机——网关型安全连接,采用IPSec隧道协议的安全连接服务组件类型,包括参数如下表8所示。
表8主机——网关型安全连接服务组件参数
针对网关——网关型安全连接,采用IPSec隧道协议的安全连接服务组件类型,包括参数如下表9所示。
表9网关——网关型安全连接服务组件参数
安全连接组件可采用代理部署或者本地部署,本发明中此处假设采用本地化部署方式,则第三方可信认证服务器4以安全连接身份鉴别消息分组4通告源用户虚拟主机1所建立安全连接的协议栈类型。
可信认证服务器4构建安全连接身份鉴别消息分组4,发送给源虚拟主机1,包含的有效元素集合如表10所示。
表10安全连接消息鉴别消息分组4有效元素集合
——目标用户虚拟主机2节点身份认证结果ResD,若目标用户虚拟主机2身份认证结果为合法,源用户虚拟主机1才可与目标用户虚拟主机2节点建立安全连接;
——可信认证服务器4指派源用户虚拟主机1和目标用户虚拟主机2节点建立的安全连接协议栈类型,如二层安全连接服务、三层安全连接服务、四层安全连接服务等。
——目标用户虚拟主机IP地址,目标用户虚拟主机2接入云平台中虚拟IP网络3时所分配的动态IP地址;
——源用户虚拟主机1的下一跳IP地址,即数据被转发到的下一节点IP地址
——随机数NS,与安全连接身份鉴别消息分组1中的NS相同;
——签名SigSS,本消息分组中除该字段外的所有字段的数字签名;
图4是根据本发明实施例的用户虚拟主机建立安全连接时的消息交互图。
步骤一:源用户虚拟主机1节点接入云计算环境下的虚拟IP网络3,并由可信认证服务器4的DHCP模块5为其分配动态的虚拟IP地址,同时向可信认证服务器4请求并获取用于身份鉴别的数字证书;
步骤二:根据用户发起的业务操作,源用户虚拟主机1需要提交一个连接到目标用户虚拟主机2的安全连接,则源用户虚拟主机1需向可信认证服务器4发送安全连接身份鉴别消息分组1;
步骤三:可信认证服务器4对源用户虚拟主机1完成身份认证并为其提供服务;
步骤四:可信认证服务器4根据用户发起的业务操作,查找该业务类型的目标用户虚拟主机2虚拟IP地址,并向目标虚拟主机2发送安全连接身份鉴别消息分组2;
步骤五:目标虚拟主机2检查源用户虚拟主机1身份认证结果合法,并向可信认证服务器4发送安全连接身份鉴别消息分组3;
步骤六:可信认证服务器4对目标用户虚拟主机2完成身份认证并为其提供服务;
步骤六:可信认证服务器4查找虚拟化安全资源管理服务器VSRM上的用户虚拟主机属性数据库VMADB,以匹配并测量源用户虚拟主机1和目标用户虚拟主机2的安全等级,只有当源用户虚拟主机1的安全等级不低于目标用户虚拟主机2的安全等级时,源用户虚拟主机1可向目标用户虚拟主机2发起建立安全连接,第三方可信服务器4指派源虚拟主机1和目标虚拟主机2建立的安全连接协议栈类型;
步骤七:可信认证服务器4向源用户虚拟主机1发送安全连接身份鉴别消息分组4,包括:目标用户虚拟主机2身份认证结果、建立安全连接协议栈类型、目标用户虚拟主机IP地址等信息。
步骤八:源用户虚拟主机1向目标用户虚拟主机2发起建立安全连接服务。
图5是图4的辅助说明图。
云计算环境下,每个用户虚拟主机都承载不同的业务属性、安全属性和系统属性等信息,用户发起的操作,如登录云平台时的身份认证、数据的存储、数据的查询等业务,使得不同业务类型、不同安全域的虚拟主机之间需动态建立安全连接,在虚拟主机创建时为零可信度,这种情况下任何两个虚拟主机之前的初始通信都是被阻止的。本发明通过引入可信的公共第三方可信认证服务器4,为需要建立安全连接的虚拟主机进行身份认证,测量匹配源用户虚拟主机1和目标用户虚拟主机2的安全等级,并指派源用户虚拟主机1和目标用户虚拟主机2所建立安全连接的协议栈类型,实现虚拟主机之间动态建立安全连接。
Claims (1)
1.云计算环境下虚拟主机安全连接动态建立方法,该方法应用于云计算环境下虚拟主机安全连接动态建立的系统,该系统包括源用户虚拟主机(1)、目标用户虚拟主机(2)、云计算环境下的虚拟IP网络(3),与该网络连接的第三方可信认证服务器(4),该可信认证服务器中设置有用于向接入该虚拟IP网络的用户虚拟主机分配和管理虚拟IP地址的DHCP模块(5)、用于向接入虚拟IP网络的用户虚拟主机节点颁发并注册数字证书的数字证书认证与授权模块CA(6)、身份鉴别与认证模块(7)、数据存储与计算模块(8),其特征是:包括以下步骤:
①在云计算环境下引入第三方可信认证服务器,源用户虚拟主机(1)节点被创建并通过可信认证服务器(4)接入该虚拟IP网络(3),由可信认证服务器(4)中的DHCP模块(5)为源用户虚拟主机(1)节点分配动态虚拟IP地址,源用户虚拟主机(1)向可信认证服务器(4)请求申请用于虚拟主机节点身份鉴别的数字证书,由可信认证服务器(4)中的数字证书认证与授权模块CA(6)为源用户虚拟主机(1)节点注册并颁发数字证书;
②根据用户业务操作,需要由源用户虚拟主机(1)节点提交一个连接目标用户虚拟主机(2)节点的请求时,源用户虚拟主机(1)节点向第三方可信认证服务器(4)发送安全连接身份鉴别消息分组1,该消息分组1主要元素包括:源用户虚拟主机(1)节点标识vHost_IDS、接入媒体类型AccessMedia、源用户虚拟主机(1)节点证书、源用户虚拟主机(1)节点虚拟IP地址、目标虚拟主机(2)节点业务类型、源用户虚拟主机(1)本地生成的随机数NS以及源用户虚拟主机(1)对消息分组中除本字段外的所有数据字段的数字签名;
③可信认证服务器(4)对源虚拟主机(1)节点的消息分组1中数字签名进行身份认证,若认证失败,则向源用户虚拟主机(1)节点返回错误消息代码类型;否则根据欲连接的目标虚拟主机(2)节点业务类型,本地查找其虚拟IP地址;可信认证服务器(4)向目标虚拟主机(2)节点发送安全连接身份鉴别消息分组2,该消息分组2主要元素包括:源虚拟主机(1)节点身份认证结果ResS、随机数NS、可信认证服务器(4)本地生成的随机数NSS以及安全服务器对本消息分组中除本字段外的所有数据字段的数字签名;
④目标虚拟主机(2)计算消息分组2中数字签名,认证该消息正确性;检查源用户虚拟主机(1)身份认证结果;目标虚拟主机(2)向可信认证服务器(4)发送安全连接身份鉴别消息分组3,该消息分组3主要元素包括:目标用户虚拟主机(2)节点标识vHost_IDD、接入媒体类型AccessMedia、目标用户虚拟主机(2)节点证书、目标用户虚拟主机(2)节点IP地址、随机数NS、随机数NSS和目标虚拟主机(2)对本消息分组中除本字段外的所有数据字段的数字签名;
⑤可信认证服务器(4)对目标虚拟主机(2)节点的消息分组3中数字签名进行身份认证,认证该消息正确性;匹配随机数NSS,认证该消息分组的时效性;检查目标用户虚拟主机节点的数字证书,对目标用户虚拟主机进行基于证书的身份认证;若认证失败,则向目标用户虚拟主机(2)节点返回错误消息代码类型,并通告源用户虚拟主机(1)节点安全连接建立失败错误类型;否则可信认证服务器(4)读取源用户虚拟主机(1)和目标用户虚拟主机(2)节点标识vHost_ID,并查询云平台中虚拟化安全资源管理服务器VSRM上的用户虚拟主机属性数据库VMADB,测量匹配源用户虚拟主机(1)和目标用户虚拟主机(2)的安全等级,以决策源用户虚拟主机(1)节点能否向目标用户虚拟主机(2)节点发起建立安全连接;若源用户虚拟主机(1)节点不能向目标用户虚拟主机(2)节点发起建立安全连接,则通告源用户虚拟主机(1)节点安全连接建立失败错误类型;否则,可信认证服务器(4)指派源虚拟主机(1)向目标虚拟主机(2)建立的安全连接协议栈类型,并向源用户虚拟主机(1)节点发送安全连接身份鉴别消息分组4,该消息分组4主要元素包括:目标用户虚拟主机(2)节点身份认证结果ResD、所建立的安全连接协议栈类型、目标用户虚拟主机(2)节点虚拟IP地址、源用户虚拟主机(1)节点的下一跳IP地址、随机数NS和本消息分组除该字段外的所有数据字段的数字签名;
⑥源用户虚拟主机(1)计算消息分组4中数字签名,认证该消息正确性;匹配随机数NS,认证该消息分组4的时效性;检查目标用户虚拟(2)主机身份认证结果;源虚拟主机(1)根据可信认证服务器(4)所指派的安全连接协议栈类型以及目标虚拟主机(2)节点的虚拟IP地址,向目标虚拟主机(2)发起建立安全连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310023291.1A CN103051643B (zh) | 2013-01-22 | 2013-01-22 | 云计算环境下虚拟主机安全连接动态建立方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310023291.1A CN103051643B (zh) | 2013-01-22 | 2013-01-22 | 云计算环境下虚拟主机安全连接动态建立方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103051643A CN103051643A (zh) | 2013-04-17 |
CN103051643B true CN103051643B (zh) | 2016-03-23 |
Family
ID=48064142
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310023291.1A Active CN103051643B (zh) | 2013-01-22 | 2013-01-22 | 云计算环境下虚拟主机安全连接动态建立方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103051643B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104954137A (zh) * | 2015-06-18 | 2015-09-30 | 浪潮集团有限公司 | 一种基于国产密码技术的虚拟机安全认证的方法 |
CN106454836B (zh) * | 2015-08-06 | 2021-12-31 | 中兴通讯股份有限公司 | 一种增强设备证书使用安全的方法及装置 |
TWI661379B (zh) * | 2017-04-13 | 2019-06-01 | 天鏡科技股份有限公司 | Financial automatic transaction management system and control method thereof |
CN108900595B (zh) * | 2018-06-25 | 2021-08-31 | 郑州云海信息技术有限公司 | 访问云存储服务器数据的方法、装置、设备及计算介质 |
WO2020052751A1 (en) | 2018-09-12 | 2020-03-19 | Huawei Technologies Co., Ltd. | Device and method for attesting distributed services |
US11456987B1 (en) | 2021-05-07 | 2022-09-27 | State Farm Mutual Automobile Insurance Company | Systems and methods for automatic internet protocol address management |
CN114640555B (zh) * | 2022-02-24 | 2023-06-23 | 联想(北京)有限公司 | 一种信息处理方法、虚机集群及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102143230A (zh) * | 2011-04-01 | 2011-08-03 | 广州杰赛科技股份有限公司 | 云终端认证及登录云计算系统中虚拟机的方法及登录系统 |
CN102394894A (zh) * | 2011-11-28 | 2012-03-28 | 武汉大学 | 一种基于云计算的网络虚拟磁盘文件安全管理方法 |
CN102710814A (zh) * | 2012-06-21 | 2012-10-03 | 奇智软件(北京)有限公司 | 虚拟机ip地址的控制方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7209479B2 (en) * | 2001-01-18 | 2007-04-24 | Science Application International Corp. | Third party VPN certification |
-
2013
- 2013-01-22 CN CN201310023291.1A patent/CN103051643B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102143230A (zh) * | 2011-04-01 | 2011-08-03 | 广州杰赛科技股份有限公司 | 云终端认证及登录云计算系统中虚拟机的方法及登录系统 |
CN102394894A (zh) * | 2011-11-28 | 2012-03-28 | 武汉大学 | 一种基于云计算的网络虚拟磁盘文件安全管理方法 |
CN102710814A (zh) * | 2012-06-21 | 2012-10-03 | 奇智软件(北京)有限公司 | 虚拟机ip地址的控制方法及装置 |
Non-Patent Citations (2)
Title |
---|
基于虚拟组织的桌面云安全访问与共享机制研究;陈伟等;《集成技术》;20121130;第1卷(第1期);第25-29页 * |
混合云服务安全若干理论与关键技术研究;朱智强;《中国博士学位论文全文数据库 信息科技辑 (月刊 )第2012年》;20120415(第04期);论文第1.4.2节、第3.1-3.4节 * |
Also Published As
Publication number | Publication date |
---|---|
CN103051643A (zh) | 2013-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103051643B (zh) | 云计算环境下虚拟主机安全连接动态建立方法与系统 | |
CN103001999B (zh) | 用于公用云网络的私有云服务器、智能装置客户端及方法 | |
WO2018176406A1 (zh) | 一种基于联盟链的顶级域名管理方法及系统 | |
CN100456739C (zh) | 远程访问虚拟专用网络中介方法和中介装置 | |
CN102045413B (zh) | 经过dht扩展的dns映射系统及其实现dns安全的方法 | |
CN101626369B (zh) | 一种单点登录方法、设备及系统 | |
CN102571591B (zh) | 实现标识网络通信的方法、边缘路由器及系统 | |
US10855758B1 (en) | Decentralized computing resource management using distributed ledger | |
US20210160067A1 (en) | Method for bidirectional authorization of blockchain-based resource public key infrastructure | |
CN105577665A (zh) | 一种云环境下的身份和访问控制管理系统及方法 | |
US20210158346A1 (en) | Method for certificate transaction validation of blockchain-based resource public key infrastructure | |
CN101374159B (zh) | 一种p2p网络可信控制方法及系统 | |
CN112132581B (zh) | 基于iota的pki身份认证系统及方法 | |
BR112016000122B1 (pt) | Método e sistema relacionados à autenticação de usuário para acessar redes de dados | |
CN102255983A (zh) | 实体标识符分配系统、溯源、认证方法及服务器 | |
US9800567B2 (en) | Authentication of network nodes | |
CN104468619A (zh) | 一种实现双栈web认证的方法和认证网关 | |
US20210135877A1 (en) | Methods, systems, and devices for managing digital assets | |
US20240195790A1 (en) | Centralized management of private networks | |
CN109981637B (zh) | 一种基于区块链的物联网多源交叉复合认证方法 | |
US8087066B2 (en) | Method and system for securing a commercial grid network | |
CN110071966B (zh) | 基于云平台的区块链组网及数据处理方法 | |
US11757827B2 (en) | Network security from host and network impersonation | |
CN104468605A (zh) | 一种分布式安全认证方法 | |
CN101997875A (zh) | 一种安全的多方网络通信平台及其构建方法、通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |