CN107733766B - 云平台专有网络间安全互联方法、装置、设备及存储介质 - Google Patents
云平台专有网络间安全互联方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN107733766B CN107733766B CN201711063980.XA CN201711063980A CN107733766B CN 107733766 B CN107733766 B CN 107733766B CN 201711063980 A CN201711063980 A CN 201711063980A CN 107733766 B CN107733766 B CN 107733766B
- Authority
- CN
- China
- Prior art keywords
- public key
- network
- private
- private network
- interconnection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供云平台专有网络间安全互联方法、装置、设备及存储介质,方法包括:第一专有网络接收第二专有网络发起的建立隧道的请求,所述请求包括公钥;第一专有网络利用私钥验证所述公钥;若公钥通过所述私钥的验证,第一专有网络响应所述请求,与第二专有网络建立隧道;安全互联系统检测到第一专有网络与第二专有网络建立隧道,检测第二专有网络是否具有使用该公钥的权限;若第二专有网络不具有使用公钥的权限,安全互联系统向第一专有网络发送第一提示消息,提示第一专有网络的公钥被非法使用。本发明中,一方只有拥有对方正确的公钥才有资格与对方建立隧道进行互联,并且其使用的正确的公钥若非通过对方授权使用,安全互联系统会向对方提示。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种云平台专有网络间安全互联方法、装置、设备及存储介质。
背景技术
VPC,Virtual Private Cloud,也称为公有云平台上的专有网络,此项技术应用在公有云的IaaS(Infrastructure as a Service,基础设施即服务)层的云平台上,主要作用是帮助客户创建其专有的网络,同一个云平台的客户可以创建多个VPC。每个VPC可以单独规划自己的网络,并与其他的VPC隔离。简单的理解,一个VPC中,存在着这个VPC单独的网络元素,包括路由器、交换机、防火墙等一系列的网络元素,并且部署了若干计算节点,如虚拟服务器,物理服务器,HPC服务器,容器等。而不同VPC中的网络元素是完全隔离的,且所有的资源并不能放置在同一个VPC内,如果两个VPC之间存在一定的业务联系,就需要VPC安全互联系统将不同的VPC进行连接。
目前公有云的VPC之间的安全互联都是基于隧道或者NAT技术,这两项技术本身可以解决在公有云内部网络中将各个VPC进行互联,相互打通路由。例如,VPC1(被联系方)与VPC2(联系请求方)的通信依赖于“VPC间的网络交换层”,这个网络可以理解为所有VPC的底层网络,所有的VPC互通都需要经过这个VPC的底层网络。NAT技术,即地址转换,将所有从VPC内部发出的报文的源IP地址转换为一个固定公共IP地址来实现与外部网络的通信,但是所有在同一个云平台的用户以及云平台运行者都能进到“VPC间的网络交换层”来获取这个公共IP地址,且NAT技术不具有加密技术,因此VPC1和VPC2的数据很容易被第三方窃取。而对于隧道方案,互访的VPC的IP地址为真实的VPC内部的隧道终点的IP地址,没有经过地址转换,通过IP地址建立隧道来实现数据传输,而建立隧道依赖于两个VPC的Endpoint(即隧道终点),这两个隧道终点位于VPC的底层网络,即VPC间的网络交换层,隧道本身也不具有加密作用,因此数据也容易被第三方窃取;另外,VPC1与VPC2之间的通信没有经过身份验证,VPC2作为主动发起互联的请求方,一旦VPC2存在恶意盗取数据的意图,VPC1防不胜防。
发明内容
本发明实施例提供了一种云平台专有网络间安全互联方法、装置、设备及存储介质,能够保护互联双方数据的安全性和及时预警安全隐患。
第一方面,本发明实施例提供了一种云平台专有网络间安全互联方法,该方法包括:
第一专有网络接收第二专有网络发起的建立隧道的请求,所述请求包括公钥;
所述第一专有网络利用私钥验证所述公钥;
若所述公钥通过所述私钥的验证,所述第一专有网络响应所述请求,与所述第二专有网络建立隧道;
安全互联系统检测到所述第一专有网络与第二专有网络建立隧道,检测所述第二专有网络是否具有使用所述公钥的权限;
若所述第二专有网络不具有使用所述公钥的权限,所述安全互联系统向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用。
第二方面,本发明实施例还提供了一种云平台专有网络间安全互联装置,该装置包括用于执行上述的云平台专有网络间安全互联方法的单元。
第三方面,本发明实施例还提供了一种云平台专有网络间安全互联设备,所述设备包括存储器,以及与所述存储器相连的处理器;
所述存储器,用于存储实现云平台专有网络间安全互联方法的程序数据;
所述处理器,用于运行所述存储器中存储的程序数据,以执行如上述第一方面所述的方法。
第四方面,本发明实施例提供了一种存储介质,所述存储介质存储有一个或者一个以上程序数据,所述一个或者一个以上程序数据可被一个或者一个以上的处理器执行,以实现上述第一方面所述的方法。
本发明实施例提供了云平台专有网络间安全互联方法、装置、设备及存储介质,所述方法包括:第一专有网络接收第二专有网络发起的建立隧道的请求,所述请求包括公钥;所述第一专有网络利用私钥验证所述公钥;若所述公钥通过所述私钥的验证,第一专有网络响应所述请求,与所述第二专有网络建立隧道;安全互联系统检测到所述第一专有网络与第二专有网络建立隧道,检测所述第二专有网络是否具有使用所述公钥的权限;若第二专有网络不具有使用所述公钥的权限,安全互联系统向第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用。在本发明实施例中,一方专有网络需要与另一方专有网络通信时,只有拥有对方正确的公钥才有资格与对方建立隧道进行互联,保证双方之间的数据安全,并且其使用的正确的公钥若非通过对方授权使用,安全互联系统会向对方发送安全提示,对方可及时中断通信,因此只有被授权的一方才能合法使用公钥与对方互联,被联系方可选择性地过滤掉很多不必要互联的专有网络或其他恶意的用户。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种云平台专有网络间安全互联交互图;
图2是本发明实施例提供的一种云平台专有网络间安全互联方法的流程示意图;
图3是本发明实施例提供的一种云平台专有网络间安全互联方法的另一流程示意图;
图4是本发明实施例提供的一种云平台专有网络间安全互联方法的另一流程示意图;
图5是本发明实施例提供的一种云平台专有网络间安全互联装置的结构示意性框图;
图6a是本发明实施例提供的第一专有网络的结构示意性框图;
图6b是本发明实施例提供的第二专有网络的结构示意性框图;
图6c是本发明实施例提供的安全互联系统的结构示意性框图;
图6d是本发明实施例提供的一种云平台专有网络间安全互联装置的单元连接结构示意性框图;
图7a是本发明实施例提供的第一专有网络的另一结构示意性框图;
图7b是本发明实施例提供的第二专有网络的另一结构示意性框图;
图7c是本发明实施例提供的安全互联系统的另一结构示意性框图;
图7d是本发明实施例提供的一种云平台专有网络间安全互联装置的另一单元连接结构示意性框图;
图8a是本发明实施例提供的第一专有网络的另一结构示意性框图;
图8b是本发明实施例提供的安全互联系统的另一结构示意性框图;
图8c是本发明实施例提供的一种云平台专有网络间安全互联装置的另一单元连接结构示意性框图;
图9a是本发明实施例提供的安全互联系统的另一结构示意性框图;
图9b是本发明实施例提供的一种云平台专有网络间安全互联装置的另一单元连接结构示意性框图;
图10是本发明实施例提供的一种云平台专有网络间安全互联设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
也应当理解,尽管术语第一、第二等可以在此用来描述各种元素,但这些元素不应该受限于这些术语,这些术语仅用来将这些元素彼此区分开。
图1是本发明实施例的云平台专有网络间安全互联的交互图,图2为本发明实施例提供的一种云平台专有网络间安全互联方法的流程示意图。如图1-图2所示,该方法包括:
S101,第一专有网络接收第二专有网络发起的建立隧道的请求,所述请求包括公钥。
云平台上各个专有网络之间的通信可以通过建立隧道进行,在本发明实施例中,需要依赖密钥对来建立双方赖以通信的隧道,因此,发起建立隧道的请求的一方(第二专有网络),需要通过公钥来与被联系方(第一专有网络)建立隧道以进行通信互联,被联系方拥有私钥,用来验证该公钥,验证通过后双发可以建立隧道进行数据交换。
密钥对加密技术采用一对匹配公钥和私钥进行加密、解密。公钥是由其主人加以公开被他方获取使用,而私钥保密存放。发送者使用接收者的公钥对数据进行加密,数据一旦加密,只有接收方用匹配的密钥才能加以解密。
所述第二专有网络获取公钥的途径包括:
第二专有网络通过所述安全互联系统接收第一专有网络授予的下载该公钥的权限,从所述安全互联系统下载所述公钥;或第二专有网络从第三专有网络获得公钥。
第二专有网络向第一专有网络发起建立隧道的请求,第一专有网络接收该请求,请求所包含的公钥可以是经第一专有网络授权后从安全互联系统下载,也可以是从另外合法拥有第一专有网络的公钥的第三专有网络出获取的,甚至可以是第二专有网络自行开发的公钥,或者其他任意的公钥。
在第二专有网络通过所述安全互联系统得到第一专有网络授予的下载该公钥的权限,从所述安全互联系统下载所述公钥之前,第一专有网络需要具有密钥对,并将公钥发布至安全互联系统。
第一专有网络获取公钥,发布公钥的过程包括以下:
第一专有网络向安全互联系统请求生成该第一专有网络的密钥对;所述安全互联系统为所述第一专有网络生成密钥对并将所述密钥对发送给所述第一专有网络,所述密钥对包括私钥和公钥;所述第一专有网络在所述安全互联系统发布所述公钥。安全互联系统可以为每个专有网络生成密钥对,管理每个专有网络发布的公钥。一个专有网络获取到密钥对之后可根据自己的意愿选择将其公钥发布或不发布到安全互联系统,若将其公钥发布到安全互联系统,说明该专有网络愿意与其他的专有网络发生互联。
S102,所述第一专有网络利用私钥验证所述公钥。
第一专有网络接收到请求后会利用私钥验证该公钥是否匹配来验证第二专有网络是否正在利用假公钥进行攻击,意图盗取数据,如果公钥无法通过私钥的验证,则不与第二专有网络互联,并将第二专有网络的行为上报安全互联系统进行备案。
S103,若所述公钥通过所述私钥的验证,所述第一专有网络响应所述请求,与所述第二专有网络建立隧道。
不拥有匹配的公钥的专有网络没有资格与被联系方建立隧道连接,只有公钥通过私钥的验证后双方才能建立隧道进行通信,隧道是依赖于公钥和私钥(即密钥对)而创建的,受到密钥对的保护,且隧道建立后,第三方不拥有匹配的公钥则无法破解第一专有网络的私钥,也无法通过假公钥强行进入隧道窃取数据,因此能够保护双方数据的安全性。
S104,安全互联系统检测到所述第一专有网络与第二专有网络建立隧道,检测所述第二专有网络是否具有使用所述公钥的权限。
在本发明实施例中,第一专有网络可以通过是否授予另一专有网络使用其公钥的权限来自觉选择通信对象,而不是盲目被动地与他方进行互联。
S105,若所述第二专有网络不具有使用所述公钥的权限,所述安全互联系统向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用。
为了专有网络之间的互联安全性,防止任意专有网络随意使用其他专有网络的公钥,需要对公钥的使用进行限制。一个专有网络想要与另一个专有网络发起互联,必须获取该另一个专有网络的公钥,安全互联系统规定,若需要下载某一个专有网络的公钥,下载方必须要得到对方的授权,即得到下载对方公钥的权限,如果安全互联系统检测不到授权信息,则不予下载,下载方无法获取对方的公钥。专有网络通过授权他方获取其公钥,可以选择性地与其他专有网络进行互联,而不是被动地与任意的专有网络建立连接,如此,专有网络在与他方互联之前可以有效的过滤掉很多不必要互联的专有网络或其他恶意的用户。
安全互联系统通过检测第二专有网络是否具有使用该第一专有网络的公钥的权限来判断第二专有网络使用的公钥是否为通过正常途径得到的公钥,如果第二专有网络没有得到使用权限,则第二专有网络是在第一专有网络不知情的情况下通过异常途径得到的公钥,在未得到使用权限的情况下与第一专有网络互联对第一专有网络造成安全风险,目的可能恶意窃取对方的数据,于是安全互联系统提示第一专有网络的公钥被异常使用,以使第一专有网络提提高警惕或中断隧道连接以保证数据安全。
本发明实施例的云平台专有网络间安全互联方法,一方专有网络需要与另一方专有网络通信,只有拥有对方正确的公钥才有资格与对方建立隧道进行互联,保证双方之间的数据安全,并且其使用的正确的公钥若非通过对方授权使用,安全互联系统会向对方发送安全提示,对方可及时中断通信,因此只有被授权的一方才能合法使用公钥与对方互联,被联系方可选择性地过滤掉很多不必要互联的专有网络或其他恶意的用户。
图3是本发明实施例提供的云平台专有网络间安全互联方法的另一流程示意图,该方法包括步骤S201-S212。
S201,第一专有网络接收第二专有网络发起的建立隧道的请求,所述请求包括公钥。
S202,所述第一专有网络利用私钥验证所述公钥,所述公钥是否通过所述私钥的验证,若是,执行步骤S203,否则,执行步骤S208。
S203,所述第一专有网络响应所述请求,与所述第二专有网络建立隧道。
S204,安全互联系统检测到所述第一专有网络与第二专有网络建立隧道,检测所述第二专有网络是否具有使用所述公钥的权限,若否,执行步骤S205,若是,执行步骤S206。
S205,所述安全互联系统向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用,且降低所述第二专有网络的安全互联信用评分。
安全互联系统通过检测第二专有网络是否具有使用该第一专有网络的公钥的权限来判断第二专有网络使用的公钥是否通过正常途径得到,如果第二专有网络没有使用的权限,则第二专有网络是在第一专有网络未授权的情况下通过异常途径得到的公钥,在未被授权的情况下与第一专有网络互联对第一专有网络造成安全风险,目的可能在于恶意窃取对方的数据,第二专有网络此次的互联行为安全信用低下,安全互联系统降低第二专有网络的安全互联信用评分,并且第一专有网络的公钥存在泄露,因此向第一专有网络发送第二提示信息,提示第一专有网络及时更换所述密钥对,以免数据泄露。
S206,安全互联系统监测所述第一专有网络与第二专有网络建立隧道进行互联的时长。
S207,若所述时长达到预置时长,所述安全互联系统将所述第一专有网络的安全互联信用评分增加第一预设分数,将所述第二专有网络的安全互联信用评分增加第二预设分数,所述第一预设分数大于所述第二预设分数。
第一专有网络发布公钥,说明是主动授权本次连接的,第一专有网络愿意建立专有网络之间的动态连接,对整个云平台的专有网络之间的互联生态起积极作用,因此设置第一预设分数大于所述第二预设分数。
例如,第一预设分数为10,第二预设分数为5。
S208,所述安全互联系统降低所述第二专有网络的安全互联信用评分,并向所述第一专有网络发送第二提示信息,提示所述第一专有网络更换所述密钥对。
S209,所述第一专有网络向所述安全互联系统请求生成新的密钥对。
S210,所述安全互联系统生成新的密钥对并将所述新的密钥对发送给所述第一专有网络。
S211,所述第一专有网络将所述新的密钥对中的公钥发布至所述安全互联系统。
S212,所述安全互联系统通知具有权限使用所述第一专有网络的原公钥的用户该第一专有网络已重新发布公钥。
第一专有网络发布新的公钥,安全互联系统通知曾经具有权限使用第一专有网络的原公钥的用户该第一专有网络已重新发布公钥,以使这些用户可以及时知晓情况,需要与第一专有网络通信时重新获得公钥,以免因使用假公钥而导致安全互联信用评分降低。
本发明实施例的云平台专有网络间安全互联方法,只有联系请求方被授权才能与被联系方通信,被联系方可以选择性地过滤掉很多不必要互联的用户,不被授权的联系请求方无法合法地获取对方的公钥,当非法使用对方公钥后对方能及时了解做出应对措施,同时联系请求方的信用评分会降低,能够保证互联环境的良好;对进行互联的双方进行信用评分,能够促进专有网络之间的互联生态往良好方向发展。
图4是本发明实施例提供的云平台专有网络间安全互联方法的另一流程示意图,该方法包括步骤S301-S305。
S301,第一专有网络接收第二专有网络发起的建立隧道的请求,所述请求包括公钥。
S302,所述第一专有网络利用私钥验证所述公钥。
S303,若所述公钥通过所述私钥的验证,所述第一专有网络响应所述请求,与所述第二专有网络建立隧道。
S304,安全互联系统检测到所述第一专有网络与第二专有网络建立隧道,检测所述第二专有网络是否具有使用所述公钥的权限,所述第二专有网络的安全互联信用评分是否低于预设评分。
在本发明实施例中,预设评分为80,安全互联信用评分低于80的专有网络存在安全互联信用问题,与其通信存在安全风险。
S305,若所述第二专有网络不具有使用所述公钥的权限,所述安全互联系统向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用,若所述第二专有网络的安全互联信用评分低于预设评分,向所述第一专有网络发送第三提示消息,提示所述第二专有网络的安全互联信用评分低。
第二专有网络的安全互联信用评分低低于预设评分,说明第二专有网络的互联行为安全信用低下,提示第一专有网络小心谨慎,以免发生数据泄露。
图5是本发明实施例提供的一种云平台专有网络间安全互联装置10的结构示意图,该装置10包括第一专有网络100,第二专有网络200和安全互联系统300。
参考图6a-6c,第一专有网络100包括验证单元101和连接单元102;第二专有网络200包括第一请求单元201;安全互联系统300包括检测单元301和第一发送单元302。
各个单元的连接关系请参考图6d。
第一请求单元201用于:向第一专有网络发起建立隧道的请求,所述请求包括公钥。
验证单元101用于:利用私钥验证所述公钥。
连接单元102用于:若所述公钥通过所述私钥的验证,响应所述请求,与所述第二专有网络建立隧道。
检测单元301用于:测所述第二专有网络是否具有使用所述公钥的权限。
第一发送单元302用于:若所述第二专有网络不具有使用所述公钥的权限,向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用。
参考图7a-7d,除上述各个单元外,第一专有网络100还包括第二请求单元103、发布单元104、第一接收单元105和授权单元106,第二专有网络200还包括第三请求单元202、第二接收单元203和下载单元204,安全互联系统300还包括生成单元303和第二发送单元304。
第二请求单元103用于:向安全互联系统请求生成该第一专有网络的密钥对。
生成单元303用于:为所述第一专有网络生成密钥对,所述密钥对包括私钥和公钥。
第二发送单元304用于:将所述密钥对发送给所述第一专有网络。
发布单元104用于:在所述安全互联系统发布所述公钥。
第三请求单元202用于:通过所述安全互联系统向第一专有网络发起使用该第一专有网络的公钥的授权请求。
第一接收单元105用于:接收所述授权请求。
授权单元106,用于通过所述安全互联系统授予所述第二专有网络使用所述第一专有网络的公钥的权限。
第二接收单元203用于:接收所述第一专有网络授予的下载该第一专有网络的公钥的权限。
下载单元204用于:从所述安全互联系统下载所述公钥。
第二专有网络200下载公钥后可利用公钥向第二专有网络100发起建立隧道的请求。
上述单元具体的功能可参考第一实施例和第二实施例的云平台专有网络间安全互联方法。
上述云平台专有网络间安全互联装置可以实现为一种计算机程序的形式,计算机程序可以在如图10所示的计算机设备上运行。
在另一发明实施例中,如图8a所示,第一专有网络100包括验证单元101、连接单元102、第二请求单元103和发布单元104;如图6b所示,第二专有网络200包括第一请求单元201;如图8b所示,安全互联系统300包括检测单元301和第一发送单元302、生成单元303、第二发送单元304、降低单元305、监测单元306、增加单元307、第三发送单元308和通知单元309。
各个单元之间的连接关系请参考图8c。
第一请求单元201用于:向第一专有网络发起建立隧道的请求,所述请求包括公钥。
验证单元101用于:利用私钥验证所述公钥。
连接单元102用于:若所述公钥通过所述私钥的验证,响应所述请求,与所述第二专有网络建立隧道。
检测单元301用于:检测所述第二专有网络是否具有使用所述公钥的权限。
第一发送单元302用于:若所述第二专有网络不具有使用所述公钥的权限,向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用。
降低单元305用于:若所述第二专有网络不具有使用所述公钥的权限,降低所述第二专有网络的安全互联信用评分。
监测单元306用于:若所述第二专有网络具有使用所述公钥的权限,监测所述第一专有网络与第二专有网络建立隧道进行互联的时长。
增加单元307用于:若所述时长达到预置时长,将所述第一专有网络的安全互联信用评分增加第一预设分数,将所述第二专有网络的安全互联信用评分增加第二预设分数,所述第一预设分数大于所述第二预设分数。
降低单元305还用于:若所述公钥未通过所述私钥的验证,降低所述第二专有网络的安全互联信用评分。
第三发送单元308用于:若所述公钥未通过所述私钥的验证,向所述第一专有网络发送第二提示信息,提示所述第一专有网络更换所述密钥对。
第二请求单元103用于:向所述安全互联系统请求生成新的密钥对。
生成单元303用于:为第一专有网络生成新的密钥对。
第二发送单元304用于:将所述新的密钥发送给所述第一专有网络。
发布单元104用于:将所述新的密钥对中的公钥发布至所述安全互联系统。
通知单元309用于:通知具有权限使用所述第一专有网络的原公钥的用户该第一专有网络已重新发布公钥。
上述单元具体的功能可参考第三实施例的云平台专有网络间安全互联方法。
上述云平台专有网络间安全互联装置可以实现为一种计算机程序的形式,计算机程序可以在如图10所示的计算机设备上运行。
在另一发明实施例中,如图6a所示,第一专有网络100包括验证单元101和连接单元102;如图6b所示,第二专有网络200包括第一请求单元201;如图9a所示,安全互联系统300包括检测单元301、第一发送单元302、判断单元310和第四发送单元311。
各个单元之间的连接关系请参考图9b。
第一请求单元201用于:向第一专有网络发起建立隧道的请求,所述请求包括公钥。
验证单元101用于:利用私钥验证所述公钥。
连接单元102用于:若所述公钥通过所述私钥的验证,所述第一专有网络响应所述请求,与所述第二专有网络建立隧道。
检测单元301用于:测所述第二专有网络是否具有使用所述公钥的权限。
判断单元310用于,判断第二专有网络的安全互联信用评分是否低于预设评分。
第一发送单元302用于:若所述第二专有网络不具有使用所述公钥的权限,向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用。
第四发送单元311用于:若所述第二专有网络的安全互联信用评分低于预设评分,向所述第一专有网络发送第三提示消息,提示所述第二专有网络的安全互联信用评分低。
上述单元具体的功能可参考第三实施例的云平台专有网络间安全互联方法。
上述云平台专有网络间安全互联装置可以实现为一种计算机程序的形式,计算机程序可以在如图10所示的计算机设备上运行。
图10为本发明实施例提供的一种云平台专有网络间安全互联设备的示意性框图。该设备为一种计算机设备20,可以是终端,也可以是服务器,其中,终端可以是智能手机、平板电脑、笔记本电脑、台式电脑、个人数字助理和穿戴式设备等具有通信功能的电子设备。服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
该计算机设备20包括通过系统总线21连接的处理器22、非易失性存储介质23、内存储器24和网络接口25。其中,该计算机设备20的非易失性存储介质23可存储操作系统231和计算机程序232。该计算机设备20的处理器22用于提供计算和控制能力,支撑整个计算机设备20的运行。该内存储器24为处理器22提供运行环境,该计算机程序232被处理器22执行时,可使得处理器22执行一种云平台专有网络间安全互联方法。计算机设备20的网络接口25用于进行网络通信,如发送分配的任务等。本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
处理器22运行非易失性存储介质23中的计算机程序232,以执行如下操作:
第一专有网络接收第二专有网络发起的建立隧道的请求,所述请求包括公钥;所述第一专有网络利用私钥验证所述公钥;若所述公钥通过所述私钥的验证,所述第一专有网络响应所述请求,与所述第二专有网络建立隧道;安全互联系统检测到所述第一专有网络与第二专有网络建立隧道,检测所述第二专有网络是否具有使用所述公钥的权限;若所述第二专有网络不具有使用所述公钥的权限,所述安全互联系统向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用。
处理器22还执行如下操作:
第二专有网络通过所述安全互联系统接收第一专有网络授予的下载该公钥的权限,从所述安全互联系统下载所述公钥;或第二专有网络从第三专有网络获得公钥。。
处理器22还执行如下操作:
第一专有网络向安全互联系统请求生成该第一专有网络的密钥对;所述安全互联系统为所述第一专有网络生成密钥对并将所述密钥对发送给所述第一专有网络,所述密钥对包括私钥和公钥;所述第一专有网络在所述安全互联系统发布所述公钥。
处理器22还执行如下操作:
若所述公钥未通过所述私钥的验证,所述安全互联系统降低所述第二专有网络的安全互联信用评分,并向所述第一专有网络发送第二提示信息,提示所述第一专有网络更换所述密钥对;所述第一专有网络向所述安全互联系统请求生成新的密钥对;所述安全互联系统生成新的密钥对并将所述新的密钥对发送给所述第一专有网络;所述第一专有网络将所述新的密钥对中的公钥发布至所述安全互联系统;所述安全互联系统通知具有权限使用所述第一专有网络的原公钥的用户该第一专有网络已重新发布公钥。
处理器22还执行如下操作:
若所述第二专有网络不具有使用所述公钥的权限,所述安全互联系统降低所述第二专有网络的安全互联信用评分。
处理器22还执行如下操作:
若所述第二专有网络具有使用所述公钥的权限,监测所述第一专有网络与第二专有网络建立隧道进行互联的时长;若所述时长达到预置时长,所述安全互联系统将所述第一专有网络的安全互联信用评分增加第一预设分数,将所述第二专有网络的安全互联信用评分增加第二预设分数,所述第一预设分数大于所述第二预设分数。
处理器22还执行如下操作:
所述安全互联系统若检测到所述第二专有网络的安全互联信用评分低于预设评分,向所述第一专有网络发送第三提示消息,提示所述第二专有网络的安全互联信用评分低。
本领域技术人员可以理解,图10中示出的云平台专有网络间安全互联设备的实施例并不构成对云平台专有网络间安全互联设备具体构成的限定,在其他实施例中,云平台专有网络间安全互联设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。例如,在一些实施例中,云平台专有网络间安全互联设备可以仅包括存储器及处理器,在这样的实施例中,存储器及处理器的结构及功能与图10所示实施例一致,在此不再赘述。
本发明还提供一种存储介质,所述存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序可被一个或者一个以上的处理器执行,以实现以下步骤:
第一专有网络接收第二专有网络发起的建立隧道的请求,所述请求包括公钥;所述第一专有网络利用私钥验证所述公钥;若所述公钥通过所述私钥的验证,所述第一专有网络响应所述请求,与所述第二专有网络建立隧道;安全互联系统检测到所述第一专有网络与第二专有网络建立隧道,检测所述第二专有网络是否具有使用所述公钥的权限;若所述第二专有网络不具有使用所述公钥的权限,所述安全互联系统向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用。
还可以实现以下步骤:
第二专有网络通过所述安全互联系统接收第一专有网络授予的下载该公钥的权限,从所述安全互联系统下载所述公钥;或第二专有网络从第三专有网络获得公钥。。
还可以实现以下步骤:
第一专有网络向安全互联系统请求生成该第一专有网络的密钥对;所述安全互联系统为所述第一专有网络生成密钥对并将所述密钥对发送给所述第一专有网络,所述密钥对包括私钥和公钥;所述第一专有网络在所述安全互联系统发布所述公钥。
还可以实现以下步骤:
若所述公钥未通过所述私钥的验证,所述安全互联系统降低所述第二专有网络的安全互联信用评分,并向所述第一专有网络发送第二提示信息,提示所述第一专有网络更换所述密钥对;所述第一专有网络向所述安全互联系统请求生成新的密钥对;所述安全互联系统生成新的密钥对并将所述新的密钥对发送给所述第一专有网络;所述第一专有网络将所述新的密钥对中的公钥发布至所述安全互联系统;所述安全互联系统通知具有权限使用所述第一专有网络的原公钥的用户该第一专有网络已重新发布公钥。
还可以实现以下步骤:
若所述第二专有网络不具有使用所述公钥的权限,所述安全互联系统降低所述第二专有网络的安全互联信用评分。
还可以实现以下步骤:
若所述第二专有网络具有使用所述公钥的权限,监测所述第一专有网络与第二专有网络建立隧道进行互联的时长;若所述时长达到预置时长,所述安全互联系统将所述第一专有网络的安全互联信用评分增加第一预设分数,将所述第二专有网络的安全互联信用评分增加第二预设分数,所述第一预设分数大于所述第二预设分数。
还可以实现以下步骤:
所述安全互联系统若检测到所述第二专有网络的安全互联信用评分低于预设评分,向所述第一专有网络发送第三提示消息,提示所述第二专有网络的安全互联信用评分低。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种云平台专有网络间安全互联方法,其特征在于,包括:
第一专有网络接收第二专有网络发起的建立隧道的请求,所述请求包括公钥;
所述第一专有网络利用私钥验证所述公钥;
若所述公钥通过所述私钥的验证,则所述第一专有网络响应所述请求,与所述第二专有网络建立隧道;
安全互联系统检测到所述第一专有网络与第二专有网络建立隧道,检测所述第二专有网络是否具有使用所述公钥的权限;
若所述第二专有网络不具有使用所述公钥的权限,所述安全互联系统向所述第一专有网络发送第一提示消息,提示所述第一专有网络的公钥被非法使用;
若所述公钥未通过所述私钥的验证,所述安全互联系统降低所述第二专有网络的安全互联信用评分,并向所述第一专有网络发送第二提示信息,提示所述第一专有网络更换密钥对;
所述第一专有网络向所述安全互联系统请求生成新的密钥对;
所述安全互联系统生成新的密钥对并将所述新的密钥对发送给所述第一专有网络;
所述第一专有网络将所述新的密钥对中的公钥发布至所述安全互联系统;
所述安全互联系统通知具有权限使用所述第一专有网络的原公钥的用户该第一专有网络已重新发布公钥。
2.根据权利要求1所述的方法,其特征在于,所述第二专有网络获取公钥的途径包括:
第二专有网络通过所述安全互联系统接收第一专有网络授予的下载该公钥的权限,从所述安全互联系统下载所述公钥;或
第二专有网络从第三专有网络获得公钥。
3.根据权利要求2所述的方法,其特征在于,所述第二专有网络通过所述安全互联系统接收第一专有网络授予的下载该公钥的权限,从所述安全互联系统下载所述公钥之前,还包括:
第一专有网络向安全互联系统请求生成该第一专有网络的密钥对;
所述安全互联系统为所述第一专有网络生成密钥对并将所述密钥对发送给所述第一专有网络,所述密钥对包括私钥和公钥;
所述第一专有网络在所述安全互联系统发布所述公钥。
4.根据权利要求1所述的方法,其特征在于,所述检测所述第二专有网络是否具有使用所述公钥的权限之后,还包括:
若所述第二专有网络不具有使用所述公钥的权限,所述安全互联系统降低所述第二专有网络的安全互联信用评分。
5.根据权利要求1所述的方法,其特征在于,所述检测所述第二专有网络是否具有使用所述公钥的权限之后,还包括:
若所述第二专有网络具有使用所述公钥的权限,监测所述第一专有网络与第二专有网络建立隧道进行互联的时长;
若所述时长达到预置时长,所述安全互联系统将所述第一专有网络的安全互联信用评分增加第一预设分数,将所述第二专有网络的安全互联信用评分增加第二预设分数,所述第一预设分数大于所述第二预设分数。
6.根据权利要求1所述的方法,其特征在于,所述第一专有网络响应所述请求,与所述第二专有网络建立隧道之后,还包括:
所述安全互联系统若检测到所述第二专有网络的安全互联信用评分低于预设评分,向所述第一专有网络发送第三提示消息,提示所述第二专有网络的安全互联信用评分低。
7.一种云平台专有网络间安全互联装置,其特征在于,包括用于执行如权利要求1-6任一项所述的云平台专有网络间安全互联方法的单元。
8.一种云平台专有网络间安全互联设备,其特征在于,所述设备包括存储器,以及与所述存储器相连的处理器;
所述存储器,用于存储云平台专有网络间安全互联的程序数据;
所述处理器,用于运行所述存储器中存储的程序数据,以执行如权利要求1-6任一项所述的方法。
9.一种存储介质,其特征在于,所述存储介质存储有一个或者一个以上程序数据,所述一个或者一个以上程序数据可被一个或者一个以上的处理器执行,以实现如权利要求1至6任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711063980.XA CN107733766B (zh) | 2017-11-02 | 2017-11-02 | 云平台专有网络间安全互联方法、装置、设备及存储介质 |
PCT/CN2018/075074 WO2019085311A1 (zh) | 2017-11-02 | 2018-02-02 | 云平台专有网络间安全互联方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711063980.XA CN107733766B (zh) | 2017-11-02 | 2017-11-02 | 云平台专有网络间安全互联方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107733766A CN107733766A (zh) | 2018-02-23 |
CN107733766B true CN107733766B (zh) | 2020-03-17 |
Family
ID=61222270
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711063980.XA Active CN107733766B (zh) | 2017-11-02 | 2017-11-02 | 云平台专有网络间安全互联方法、装置、设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107733766B (zh) |
WO (1) | WO2019085311A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108462752B (zh) * | 2018-03-26 | 2022-02-22 | 深信服科技股份有限公司 | 一种访问共享网络的方法、系统及vpc管理设备以及可读存储介质 |
US20230144202A1 (en) * | 2019-11-01 | 2023-05-11 | Google Llc | VPC Auto-Peering |
CN112100606B (zh) * | 2020-09-28 | 2021-12-17 | 武汉厚溥数字科技有限公司 | 基于云端大数据计算的在线教育处理方法及在线教育平台 |
CN113783705A (zh) * | 2021-11-12 | 2021-12-10 | 北京华云安信息技术有限公司 | 密钥的零知识证明方法、验证端、设备以及存储介质 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102882758B (zh) * | 2011-07-12 | 2018-12-07 | 华为技术有限公司 | 虚拟私云接入网络的方法、网络侧设备和数据中心设备 |
CN102510387B (zh) * | 2011-12-29 | 2014-06-04 | 西安西电捷通无线网络通信股份有限公司 | 一种安全传输层协议tls握手方法和装置及ttp |
CN104320258B (zh) * | 2014-10-24 | 2018-02-02 | 西安未来国际信息股份有限公司 | 一种云计算服务接入网关的方法 |
CN105376303B (zh) * | 2015-10-23 | 2018-11-06 | 深圳前海达闼云端智能科技有限公司 | 一种Docker实现系统及其通信方法 |
CN105429938B (zh) * | 2015-10-23 | 2018-11-06 | 深圳前海达闼云端智能科技有限公司 | 一种资源配置方法及装置 |
CN105591955B (zh) * | 2015-10-30 | 2019-07-09 | 新华三技术有限公司 | 一种报文传输的方法和装置 |
CN105721306B (zh) * | 2016-02-04 | 2019-03-15 | 杭州数梦工场科技有限公司 | 一种配置信息的传输方法和装置 |
CN106027503A (zh) * | 2016-05-09 | 2016-10-12 | 浪潮集团有限公司 | 一种基于tpm的云存储数据加密方法 |
CN106911709A (zh) * | 2017-03-24 | 2017-06-30 | 华东师范大学 | 基于云服务的信息传输方法及系统 |
-
2017
- 2017-11-02 CN CN201711063980.XA patent/CN107733766B/zh active Active
-
2018
- 2018-02-02 WO PCT/CN2018/075074 patent/WO2019085311A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
CN107733766A (zh) | 2018-02-23 |
WO2019085311A1 (zh) | 2019-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3704613B1 (en) | Provisioning trusted execution environment(s) based on chain of trust including platform | |
JP6701364B2 (ja) | パスワードなしのコンピュータログインのサービス支援モバイルペアリングのためのシステム及び方法 | |
CN110336774B (zh) | 混合加密解密方法、设备及系统 | |
CN109309565B (zh) | 一种安全认证的方法及装置 | |
US9838423B2 (en) | Perfect forward secrecy distributed denial of service attack defense | |
US9807610B2 (en) | Method and apparatus for seamless out-of-band authentication | |
CN107733766B (zh) | 云平台专有网络间安全互联方法、装置、设备及存储介质 | |
US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
CN105260663A (zh) | 一种基于TrustZone技术的安全存储服务系统及方法 | |
CN112989426B (zh) | 授权认证方法及装置、资源访问令牌的获取方法 | |
US9529733B1 (en) | Systems and methods for securely accessing encrypted data stores | |
US20160182221A1 (en) | Method and system for controlling the exchange of privacy-sensitive information | |
CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
CN111130799B (zh) | 一种基于tee进行https协议传输的方法及系统 | |
US9864853B2 (en) | Enhanced security mechanism for authentication of users of a system | |
CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
JP4874007B2 (ja) | 認証システム、サーバコンピュータ、プログラム、及び、記録媒体 | |
CN112153038B (zh) | 一种安全登录的方法、装置、验证终端及可读存储介质 | |
CN106992978B (zh) | 网络安全管理方法及服务器 | |
CN106576050B (zh) | 三层安全和计算架构 | |
JP2019057827A (ja) | 分散認証システムおよびプログラム | |
Darwish et al. | Privacy and security of cloud computing: a comprehensive review of techniques and challenges | |
CN115146284A (zh) | 数据处理方法、装置、电子设备和存储介质 | |
KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 | |
EP3051770A1 (en) | User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |