CN107172172B - 一种IaaS系统中的通信方法及其系统 - Google Patents
一种IaaS系统中的通信方法及其系统 Download PDFInfo
- Publication number
- CN107172172B CN107172172B CN201710400820.3A CN201710400820A CN107172172B CN 107172172 B CN107172172 B CN 107172172B CN 201710400820 A CN201710400820 A CN 201710400820A CN 107172172 B CN107172172 B CN 107172172B
- Authority
- CN
- China
- Prior art keywords
- certificate
- agent
- party
- identity
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004891 communication Methods 0.000 title claims abstract description 44
- 238000013507 mapping Methods 0.000 claims description 22
- 238000012795 verification Methods 0.000 claims description 16
- 238000013475 authorization Methods 0.000 claims description 9
- 239000000284 extract Substances 0.000 claims description 7
- 230000008569 process Effects 0.000 description 11
- 238000007726 management method Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种IaaS系统中的通信方法及其系统,基于公钥基础设施PKI;该方法包括:IaaS系统中的代理方生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;被代理方依据自身存储的合法证书对应的私钥签发代理方发送的公钥,生成代理证书返回给代理方;在预设生命周期内,代理方依据代理证书来代理被代理方进行相应的操作。本发明能够令代理方携带被代理方发送的具体合法效力的代理证书进行代理操作,保证了IaaS系统中代理操作的合法性和安全性。
Description
技术领域
本发明涉及云计算合法认证技术领域,特别是涉及一种IaaS系统中的通信方法及其系统。
背景技术
IaaS系统作为云计算的一种重要服务模式,是当今公有云/私有云的主要形态,实现了计算、存储、网络等基础资源的服务封装,通过提供VM(Virtual Machine,虚拟机)完成资源的供给与交付。IaaS系统的资源可以分为物理资源(如服务器)和虚拟资源(如VM),通过系统服务(S)完成资源的组织、管理和调度。从资源管理涉及的角色(或者说用户端)来看,可以分为资源的使用者(T,以租户为主,主要使用VM)和资源管理者(M,配置资源分配和授权策略)。在租户业务运行的过程中,IaaS系统服务(S)或者VM经常代理租户(T)去完成一些资源的申请和释放工作。
但是,目前系统服务或VM代理租户时,任何系统服务和VM均可作为代理方,即无法保证代理方执行的代理操作的合法性,故代理操作容易被恶意用户利用,安全性低。
因此,如何提供一种安全性高的IaaS系统中的通信方法及其系统是本领域技术人员目前需要解决的问题。
发明内容
本发明的目的是提供一种IaaS系统中的通信方法及其系统,能够令代理方携带被代理方发送的具体合法效力的代理证书进行代理操作,保证了IaaS系统中代理操作的合法性和安全性。
为解决上述技术问题,本发明提供了一种IaaS系统中的通信方法,基于公钥基础设施PKI;所述方法包括:
所述IaaS系统中的代理方生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;
所述被代理方依据自身存储的合法证书对应的私钥签发所述代理方发送的公钥,生成代理证书返回给所述代理方;
在预设生命周期内,所述代理方依据所述代理证书来代理所述被代理方进行相应的操作。
优选地,所述代理方包括虚拟机和系统服务;所述代理证书内还包括所述被代理方签发的虚拟机或系统服务的序列号。
优选地,所述代理方依据所述代理证书来代理所述被代理方进行相应的操作的过程具体包括:
所述代理方验证自身代理证书的合法性;
验证合法后,所述代理方验证所述代理证书内包含的序列号是否与自身序列号相同;
若相同,所述代理方通过验证后的代理证书建立与被通信方的连接;
所述被通信方验证所述代理证书的合法性;
若合法,所述被通信方提取所述代理证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,所述被通信方接收所述代理方的连接请求,否则,通信终止。
优选地,所述IaaS系统中的物理资源均携带有唯一的系统身份证书,所述身份证书包括所述物理资源主板的序列号;所述方法还包括:
作为请求方的物理资源验证自身的系统身份证书的合法性;
验证合法后,所述请求方验证自身系统身份证书内的相应字段是否与自身序列号相同;
若相同,所述请求方通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;
所述被通信方验证所述请求方的系统身份证书的合法性;
若合法,所述被通信方提取所述请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,所述被通信方接收所述请求方的连接请求,否则,通信终止。
优选地,所述IaaS系统中的用户端携带有唯一的角色身份证书,所述角色身份证书包括所述用户端的身份标识符;所述方法还包括:
接收所述用户端发送的携带有自身角色身份证书的资源授权请求;
将所述角色身份证书内的身份标识符与预设的全局映射表进行比较,确定所述身份标识符对应的资源权限;
依据所述资源权限对所述用户端进行授权。
优选地,所述全局映射表具体包括资源级全局映射表和主机级全局映射表;
所述资源级全局映射表内身份表示被对应的权限内容包括计算资源配额、存储资源配额和网络资源配额;
所述主机级全局映射表内身份表示被对应的权限内容包括用户端使用本机资源的允许权限、用户端在本机映射的账户信息以及用户端在本机的资源配额。
为解决上述技术问题,本发明还提供了一种IaaS系统中的通信系统,基于公钥基础设施PKI;所述系统包括代理方和被代理方;
所述代理方包括:
公私钥对生成模块,用于生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;
代理模块,用于在预设生命周期内,依据所述代理证书来代理所述被代理方进行相应的操作。
所述被代理方包括:
签发模块,用于依据自身存储的合法证书对应的私钥签发所述代理方发送的公钥,生成代理证书返回给所述代理方。
优选地,所述IaaS系统中的物理资源均携带有唯一的系统身份证书,所述身份证书包括所述物理资源主板的序列号;所述系统还包括设置于每个物理资源上的请求方验证模块和被请求方验证模块;
所述请求方验证模块,用于验证自身的系统身份证书的合法性;验证合法后,验证自身系统身份证书内的相应字段是否与自身序列号相同;若相同,通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;
所述被请求方验证模块,用于验证所述请求方的系统身份证书的合法性;若合法,提取所述请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,接收所述请求方的连接请求,否则,通信终止。
优选地,所述IaaS系统中的用户端携带有唯一的角色身份证书,所述角色身份证书包括所述用户端的身份标识符;所述系统还包括:
资源管理模块,用于接收所述用户端发送的携带有自身角色身份证书的资源授权请求;将所述角色身份证书内的身份标识符与预设的全局映射表进行比较,确定所述身份标识符对应的资源权限;依据所述资源权限对所述用户端进行授权。
本发明提供了一种IaaS系统中的通信方法及其系统,基于公钥基础设施PKI,使代理方生成公私钥对,并将公钥发送给被代理方;被代理方(如租户)自身存储有具有合法效力的证书,该证书会包含唯一对应的私钥,被代理方依据该私钥来签发代理方发送的公钥,从而生成代理证书返回代理方,之后代理方可以携带该代理证书进行代理操作。由于被代理方预先存储的证书具有合法效力,该证书对应的私钥也具有合法效力,进而由该私钥签发的公钥也具有合法效力,因此包含该签发的公钥的代理证书相当于被代理方发送给代理方的一个合法的委托书,被代理方使用该代理证书进行代理操作,能够保证自身执行的代理操作的合法性,从而提高了代理操作的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种IaaS系统中的通信方法的过程的流程图;
图2为本发明提供的一种IaaS系统中的通信方法中物理资源间通信的过程的流程图;
图3为本发明提供的一种IaaS系统中的通信方法中资源授权的过程的流程图;
图4为本发明提供的一种IaaS系统中的通信系统的结构示意图。
具体实施方式
本发明的核心是提供一种IaaS系统中的通信方法及其系统,能够令代理方携带被代理方发送的具体合法效力的代理证书进行代理操作,保证了IaaS系统中代理操作的合法性和安全性。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了一种IaaS(Infrastructure as a Service,基础设施即服务)系统中的通信方法,基于公钥基础设施(Public Key Infrastructure,PKI);参见图1所示,图1为本发明提供的一种IaaS系统中的通信方法的过程的流程图;该方法包括:
步骤s11:IaaS系统中的代理方生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;
步骤s12:被代理方依据自身存储的合法证书对应的私钥签发代理方发送的公钥,生成代理证书返回给代理方;
步骤s13:在预设生命周期内,代理方依据代理证书来代理被代理方进行相应的操作。
需要注意的是,为实施本发明,需要在IaaS环境内建立必要的PKI基础设施,主要包括一个认证机构(CA)、数字证书库、证书撤销系统、备份系统等,用于用户端或者说角色(例如管理员和租户)和身份证书的生成。
其中,代理方包括虚拟机和系统服务;代理证书内还包括被代理方签发的虚拟机或系统服务的序列号。被代理方包括租户或管理员等。
可以理解的是,CA是具有合法效力的认证机构,CA会给每个被代理方发放一个合法证书用来表征被代理方的身份,该合法证件具有合法效力且其包含有一个唯一对应的私钥,被代理方利用该私钥签发代理方发送的公钥,则该公钥也具有合法效力,故包含该公钥的代理证书能够表征代理方代理操作的合法性。
另外,这里的签发操作具体可以为利用合法证书的私钥对代理方发送的公钥进行加密操作,或者也可采用其他操作,具体本发明不作限定。
可以理解的是,在IaaS环境中,虚拟资源是按需生成的,其行为代表着租户行为,同时系统服务代表租户发出行动时(例如按需增加VM),也应视为租户行为。通过代理证书进行代理操作,能够实现对代理方的身份鉴定,并且阻止伪造/冒用其他租户身份进行操作。
进一步的,代理方依据代理证书来代理被代理方进行相应的操作的过程具体包括:
代理方验证自身代理证书的合法性;
验证合法后,代理方验证代理证书内包含的序列号是否与自身序列号相同;
若相同,代理方通过验证后的代理证书建立与被通信方的连接;
被通信方验证代理证书的合法性;
若合法,被通信方提取代理证书内的序列号和来源地址并与预设全局地址列表进行比较,判断来源地址是否处于序列号对应的地址范围,若是,被通信方接收代理方的连接请求,否则,通信终止。
其中,代理方与被通信方建立的连接优选为SSL(Secure Sockets Layer安全套接层)连接,SSL协议是为网络通信提供安全及数据完整性的一种安全协议。
在优选实施例中,IaaS系统中的物理资源均携带有唯一的系统身份证书,身份证书包括物理资源主板的序列号;参见图2所示,图2为本发明提供的一种IaaS系统中的通信方法中物理资源间通信的过程的流程图;该方法还包括:
步骤s21:作为请求方的物理资源验证自身的系统身份证书的合法性;
步骤s22:验证合法后,请求方验证自身系统身份证书内的相应字段是否与自身序列号相同;
步骤s23:若相同,请求方通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;
步骤s24:被通信方验证请求方的系统身份证书的合法性;
步骤s25:若合法,被通信方提取请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断来源地址是否处于序列号对应的地址范围,若是,被通信方接收请求方的连接请求,否则,通信终止。
可以理解的是,通过上述操作,没有经过认证的服务器无法与系统内的其他服务器建立连接,从而将限制了该物理资源所带来的威胁。对于存储设备、网络设备可以采用同样的方式进行处理。上述操作保证了物理资源之间通信的合法性。
其中,上述来源地址可以为物理资源的IP地址。当然,本发明对此不作限定。
在优选实施例中,IaaS系统中的用户端携带有唯一的角色身份证书,角色身份证书包括用户端的身份标识符;参见图3所示,图3为本发明提供的一种IaaS系统中的通信方法中资源授权的过程的流程图;该方法还包括:
步骤s31:接收用户端发送的携带有自身角色身份证书的资源授权请求;
步骤s32:将角色身份证书内的身份标识符与预设的全局映射表进行比较,确定身份标识符对应的资源权限;
步骤s33:依据资源权限对用户端进行授权。
可以理解的是,通过上述操作,用户端只能使用授权后的部分资源,保证了用户端(如租户)对物理资源(如PM2)的合法使用。
进一步可知,全局映射表具体包括资源级全局映射表和主机级全局映射表;
资源级全局映射表内身份表示被对应的权限内容包括计算资源配额、存储资源配额和网络资源配额;
主机级全局映射表内身份表示被对应的权限内容包括用户端使用本机资源的允许权限、用户端在本机映射的账户信息以及用户端在本机的资源配额。
当然,以上仅为一种具体资源权限设置方式,还可设置其他类型的资源权限,本发明对此不作限定。
另外,本发明中的角色身份证书和系统身份证书均可以采用X509证书,其中,证书内携带的序列号或身份标识符具体在X509证书中的CN字段内。当然,以上仅为一种优选方案,证书的类型和携带的标识的位置本发明不作具体限定。
本发明提供了一种IaaS系统中的通信方法,基于公钥基础设施PKI,使代理方生成公私钥对,并将公钥发送给被代理方;被代理方(如租户)自身存储有具有合法效力的证书,该证书会包含唯一对应的私钥,被代理方依据该私钥来签发代理方发送的公钥,从而生成代理证书返回代理方,之后代理方可以携带该代理证书进行代理操作。由于被代理方预先存储的证书具有合法效力,该证书对应的私钥也具有合法效力,进而由该私钥签发的公钥也具有合法效力,因此包含该签发的公钥的代理证书相当于被代理方发送给代理方的一个合法的委托书,被代理方使用该代理证书进行代理操作,能够保证自身执行的代理操作的合法性,从而提高了代理操作的安全性。
本发明还提供了一种IaaS系统中的通信系统,基于公钥基础设施PKI;参见图4所示,图4为本发明提供的一种IaaS系统中的通信系统的结构示意图。该系统包括代理方和被代理方;
代理方包括:
公私钥对生成模块11,用于生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;
代理模块12,用于在预设生命周期内,依据代理证书来代理被代理方进行相应的操作。
被代理方包括:
签发模块2,用于依据自身存储的合法证书对应的私钥签发代理方发送的公钥,生成代理证书返回给代理方。
其中,被代理方指的是用户端,即包括租户和管理员等,代理方指的是系统端,包括系统服务和虚拟机等。
在优选实施例中,IaaS系统中的物理资源均携带有唯一的系统身份证书,身份证书包括物理资源主板的序列号;系统还包括设置于每个物理资源上的请求方验证模块13和被请求方验证模块14;
请求方验证模块13,用于验证自身的系统身份证书的合法性;验证合法后,验证自身系统身份证书内的相应字段是否与自身序列号相同;若相同,通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;
被请求方验证模块14,用于验证请求方的系统身份证书的合法性;若合法,提取请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断来源地址是否处于序列号对应的地址范围,若是,接收请求方的连接请求,否则,通信终止。
在优选实施例中,IaaS系统中的用户端携带有唯一的角色身份证书,角色身份证书包括用户端的身份标识符;系统还包括:
资源管理模块15,用于接收用户端发送的携带有自身角色身份证书的资源授权请求;将角色身份证书内的身份标识符与预设的全局映射表进行比较,确定身份标识符对应的资源权限;依据资源权限对用户端进行授权。
本发明提供了一种IaaS系统中的通信系统,基于公钥基础设施PKI,使代理方生成公私钥对,并将公钥发送给被代理方;被代理方(如租户)自身存储有具有合法效力的证书,该证书会包含唯一对应的私钥,被代理方依据该私钥来签发代理方发送的公钥,从而生成代理证书返回代理方,之后代理方可以携带该代理证书进行代理操作。由于被代理方预先存储的证书具有合法效力,该证书对应的私钥也具有合法效力,进而由该私钥签发的公钥也具有合法效力,因此包含该签发的公钥的代理证书相当于被代理方发送给代理方的一个合法的委托书,被代理方使用该代理证书进行代理操作,能够保证自身执行的代理操作的合法性,从而提高了代理操作的安全性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种IaaS系统中的通信方法,其特征在于,基于公钥基础设施PKI;所述方法包括:
所述IaaS系统中的代理方生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;
所述被代理方依据自身存储的合法证书对应的私钥签发所述代理方发送的公钥,生成代理证书返回给所述代理方;
在预设生命周期内,所述代理方依据所述代理证书来代理所述被代理方进行相应的操作;
其中,所述代理方依据代理证书来代理所述被代理方进行相应的操作,包括:
所述代理方验证自身代理证书的合法性;
验证合法后,所述代理方验证所述代理证书内包含的序列号是否与自身序列号相同;
若相同,所述代理方通过验证后的代理证书建立与被通信方的连接;
所述被通信方验证代理证书的合法性;
若合法,所述被通信方提取所述代理证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,所述被通信方接收代理方的连接请求,否则,通信终止。
2.根据权利要求1所述的方法,其特征在于,所述代理方包括虚拟机和系统服务;所述代理证书内还包括所述被代理方签发的虚拟机或系统服务的序列号。
3.根据权利要求1所述的方法,其特征在于,所述IaaS系统中的物理资源均携带有唯一的系统身份证书,所述身份证书包括所述物理资源主板的序列号;所述方法还包括:
作为请求方的物理资源验证自身的系统身份证书的合法性;
验证合法后,所述请求方验证自身系统身份证书内的相应字段是否与自身序列号相同;
若相同,所述请求方通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;
所述被通信方验证所述请求方的系统身份证书的合法性;
若合法,所述被通信方提取所述请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,所述被通信方接收所述请求方的连接请求,否则,通信终止。
4.根据权利要求1所述的方法,其特征在于,所述IaaS系统中的用户端携带有唯一的角色身份证书,所述角色身份证书包括所述用户端的身份标识符;所述方法还包括:
接收所述用户端发送的携带有自身角色身份证书的资源授权请求;
将所述角色身份证书内的身份标识符与预设的全局映射表进行比较,确定所述身份标识符对应的资源权限;
依据所述资源权限对所述用户端进行授权。
5.根据权利要求4所述的方法,其特征在于,所述全局映射表具体包括资源级全局映射表和主机级全局映射表;
所述资源级全局映射表内身份表示被对应的权限内容包括计算资源配额、存储资源配额和网络资源配额;
所述主机级全局映射表内身份表示被对应的权限内容包括用户端使用本机资源的允许权限、用户端在本机映射的账户信息以及用户端在本机的资源配额。
6.一种IaaS系统中的通信系统,其特征在于,基于公钥基础设施PKI;所述系统包括代理方和被代理方;
所述代理方包括:
公私钥对生成模块,用于生成公私钥对,并将私钥保存在本地,将公钥发送至被代理方;
代理模块,用于在预设生命周期内,依据代理证书来代理所述被代理方进行相应的操作;
其中,所述依据所述代理证书来代理所述被代理方进行相应的操作,包括:
所述代理方验证自身代理证书的合法性;
验证合法后,所述代理方验证所述代理证书内包含的序列号是否与自身序列号相同;
若相同,所述代理方通过验证后的代理证书建立与被通信方的连接;
所述被通信方验证代理证书的合法性;
若合法,所述被通信方提取所述代理证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,所述被通信方接收代理方的连接请求,否则,通信终止
所述被代理方包括:
签发模块,用于依据自身存储的合法证书对应的私钥签发所述代理方发送的公钥,生成代理证书返回给所述代理方。
7.根据权利要求6所述的系统,其特征在于,所述IaaS系统中的物理资源均携带有唯一的系统身份证书,所述身份证书包括所述物理资源主板的序列号;所述系统还包括设置于每个物理资源上的请求方验证模块和被请求方验证模块;
所述请求方验证模块,用于验证自身的系统身份证书的合法性;验证合法后,验证自身系统身份证书内的相应字段是否与自身序列号相同;若相同,通过验证后的系统身份证书建立与作为被通信方的物理资源的连接;
所述被请求方验证模块,用于验证所述请求方的系统身份证书的合法性;若合法,提取所述请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较,判断所述来源地址是否处于所述序列号对应的地址范围,若是,接收所述请求方的连接请求,否则,通信终止。
8.根据权利要求6所述的系统,其特征在于,所述IaaS系统中的用户端携带有唯一的角色身份证书,所述角色身份证书包括所述用户端的身份标识符;所述系统还包括:
资源管理模块,用于接收所述用户端发送的携带有自身角色身份证书的资源授权请求;将所述角色身份证书内的身份标识符与预设的全局映射表进行比较,确定所述身份标识符对应的资源权限;依据所述资源权限对所述用户端进行授权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710400820.3A CN107172172B (zh) | 2017-05-31 | 2017-05-31 | 一种IaaS系统中的通信方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710400820.3A CN107172172B (zh) | 2017-05-31 | 2017-05-31 | 一种IaaS系统中的通信方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107172172A CN107172172A (zh) | 2017-09-15 |
| CN107172172B true CN107172172B (zh) | 2020-03-06 |
Family
ID=59822339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710400820.3A Active CN107172172B (zh) | 2017-05-31 | 2017-05-31 | 一种IaaS系统中的通信方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107172172B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109802822A (zh) * | 2017-11-16 | 2019-05-24 | 航天信息股份有限公司 | 一种基于pki技术的密码服务系统及方法 |
| CN111212075B (zh) * | 2020-01-02 | 2022-06-03 | 腾讯云计算(北京)有限责任公司 | 业务请求的处理方法、装置、电子设备及计算机存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051902A (zh) * | 2006-06-16 | 2007-10-10 | 上海交通大学 | 一种代理签密方法及系统 |
| JP2008005090A (ja) * | 2006-06-21 | 2008-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法 |
| CN101145906A (zh) * | 2006-09-13 | 2008-03-19 | 北京邦天科技有限公司 | 对单向网络中的接收终端进行合法性认证的方法及系统 |
| CN101378316A (zh) * | 2007-08-29 | 2009-03-04 | 索尼(中国)有限公司 | 基于身份的代理盲签名系统及方法 |
| CN103179129A (zh) * | 2013-03-29 | 2013-06-26 | 华南理工大学 | 一种基于云计算IaaS环境的远程证明方法 |
-
2017
- 2017-05-31 CN CN201710400820.3A patent/CN107172172B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051902A (zh) * | 2006-06-16 | 2007-10-10 | 上海交通大学 | 一种代理签密方法及系统 |
| JP2008005090A (ja) * | 2006-06-21 | 2008-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 複数公開鍵の証明書を発行及び検証するシステム、並びに、複数公開鍵の証明書を発行及び検証する方法 |
| CN101145906A (zh) * | 2006-09-13 | 2008-03-19 | 北京邦天科技有限公司 | 对单向网络中的接收终端进行合法性认证的方法及系统 |
| CN101378316A (zh) * | 2007-08-29 | 2009-03-04 | 索尼(中国)有限公司 | 基于身份的代理盲签名系统及方法 |
| CN103179129A (zh) * | 2013-03-29 | 2013-06-26 | 华南理工大学 | 一种基于云计算IaaS环境的远程证明方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107172172A (zh) | 2017-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9419806B2 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
| CN105577665B (zh) | 一种云环境下的身份和访问控制管理系统及方法 | |
| US9736146B2 (en) | Embedded extrinsic source for digital certificate validation | |
| WO2020052271A1 (zh) | 一种在云系统中处理云服务的方法、装置和设备 | |
| WO2018024061A1 (zh) | 一种共享数字内容的许可证的方法、装置及系统 | |
| CN112671720B (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
| CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
| EP2608477B1 (en) | Trusted certificate authority to create certificates based on capabilities of processes | |
| RU2676896C2 (ru) | Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных | |
| CN110020869B (zh) | 用于生成区块链授权信息的方法、装置及系统 | |
| CN113472790A (zh) | 基于https协议的信息传输方法、客户端及服务器 | |
| CN114157432A (zh) | 数字证书获取方法、装置、电子设备、系统和存储介质 | |
| CN111651745B (zh) | 基于密码设备的应用授权签名方法 | |
| CN115345617A (zh) | 一种非同质化通证的生成方法及装置 | |
| CN107172172B (zh) | 一种IaaS系统中的通信方法及其系统 | |
| CN102857497B (zh) | 基于cdn和p2p的混合型内容网络的用户接入系统及认证方法 | |
| CN107547570B (zh) | 一种数据安全服务平台和数据安全传输方法 | |
| KR20090054774A (ko) | 분산 네트워크 환경에서의 통합 보안 관리 방법 | |
| CN112039857A (zh) | 一种公用基础模块的调用方法和装置 | |
| CN115459929B (zh) | 安全验证方法、装置、电子设备、系统、介质和产品 | |
| CN110891067A (zh) | 一种可撤销的多服务器隐私保护认证方法及系统 | |
| CN115883105A (zh) | 认证连接方法、系统、电子设备及计算机存储介质 | |
| CN112994882B (zh) | 基于区块链的鉴权方法、装置、介质及设备 | |
| CN114143010A (zh) | 数字证书获取方法、装置、终端、系统和存储介质 | |
| Fugkeaw et al. | Multi-Application Authentication based on Multi-Agent System. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |