CN110830351A - 基于SaaS服务模式的租户管理及服务提供方法、装置 - Google Patents
基于SaaS服务模式的租户管理及服务提供方法、装置 Download PDFInfo
- Publication number
- CN110830351A CN110830351A CN201810892901.4A CN201810892901A CN110830351A CN 110830351 A CN110830351 A CN 110830351A CN 201810892901 A CN201810892901 A CN 201810892901A CN 110830351 A CN110830351 A CN 110830351A
- Authority
- CN
- China
- Prior art keywords
- tenant
- ipsec vpn
- service
- isolation
- tenants
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种基于SaaS服务模式的租户管理及服务提供方法、装置,为租户配置IPsec VPN镜像实例,并利用IPsec VPN镜像实例为租户提供服务。其中,IPsec VPN镜像实例用于配置给唯一租户或者多个租户。在IPsec VPN镜像实例用于配置给多个租户的情况下,IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务。综上所述,将IPsec VPN镜像实例配置给唯一租户或将租户镜像配置给唯一租户,以实现不同租户之间的隔离。因此,在为租户提供服务时,具有更高的安全性。
Description
技术领域
本申请涉及云计算领域,尤其涉及一种基于SaaS服务模式的租户管理及服务提供方法、装置。
背景技术
软件即服务(Software-as-a-service,SaaS)是云计算领域常用的服务模式。通常,使用IP安全协议虚拟专用网络(简称IPsec VPN)构建用于提供SaaS的云平台。
随着SaaS服务模式的应用的推广,租用SaaS服务模式的租户也越来越多。多个租户共用SaaS服务模式成为必然趋势。因此如何保证租户的安全,成为一种需求。
发明内容
本申请提供了一种基于SaaS服务模式的租户管理及服务提供方法、装置,目的在于解决如何提高SaaS服务模式下租户的安全性的问题。
为了实现上述目的,本申请提供了以下技术方案:
一种基于SaaS服务模式的租户管理方法,包括:
控制云主机为租户配置IPsec VPN镜像实例;
其中,所述IPsec VPN镜像实例用于配置给唯一租户或者多个租户;所述IPsecVPN镜像实例用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务。
可选的,所述租户镜像包括:设置在同一个IPsec VPN镜像实例上的控制面中的租户镜像。
可选的,所述租户镜像,包括:docker租户镜像。
可选的,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsecVPN镜像实例和所述服务信息用于为所述租户提供服务,包括:
所述多个租户共用所述IPsec VPN镜像实例的数据面。
可选的,所述控制云主机还为所述租户配置服务信息;所述服务信息包括:显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。
可选的,还包括:所述IPsec VPN镜像实例根据所述路由配置信息生成路由信息;
所述IPsec VPN镜像实例根据所述路由配置信息生成路由信息的过程包括:
所述IPsec VPN镜像实例的数据面依据所述IPsec VPN镜像实例的控制面下发的路由配置信息,生成所述路由信息,所述路由配置信息包括所述租户的标签。
可选的,还包括:
所述控制云主机为所述租户配置日志存储规则,所述日志存储规则包括:任意一个租户的日志存储于为该租户配置的IPsec VPN镜像实例中。
可选的,为任意一个租户配置的所述服务信息存储在为该租户配置的IPsec VPN镜像实例中。
可选的,还包括:
所述控制云主机释放为所述租户配置的IPsec VPN镜像实例。
可选的,所述控制云主机为SaaS模式下的IPsec VPN;
所述IPsec VPN在所述SaaS服务模式下具有两种用户模式,所述两种用户模式包括:数据面隔离模式和数据面共享模式;
在所述数据面共享模式下,所述控制云主机为租户配置IPsec VPN镜像实例和服务信息;其中,所述IPsec VPN镜像实例用于配置给多个租户;所述IPsec VPN镜像实例和所述服务信息用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务,包括:
在所述SaaS服务模式下,所述IPsec VPN可通过镜像模板,让多个租户共同使用同一IPsec VPN镜像实例,每个IPsec VPN镜像实例对应多个租户镜像,从而实现控制面隔离,数据面共享的功能;
所述数据面隔离模式下,所述控制云主机为租户配置IPsec VPN镜像实例和服务信息;其中,所述IPsec VPN镜像实例用于配置给唯一租户;所述IPsec VPN镜像实例和所述服务信息用于为所述租户提供服务,包括:
在所述SaaS服务模式下,所述IPsec VPN通过镜像模板,使得每个租户配置单独IPsec VPN镜像实例,实现控制面的隔离功能与数据面的隔离功能。
可选的,所述在所述SaaS服务模式下,所述IPsec VPN可通过镜像模板,让多个租户共同使用同一IPsec VPN镜像实例,每个IPsec VPN镜像实例对应多个租户镜像,从而实现控制面隔离,数据面共享的功能,包括:
在所述SaaS服务模式下,所述IPsec VPN应具备在数据面共享模式中实现多租户隔离功能,利用单一IPsec VPN镜像实例同时为多个租户提供服务,功能不仅限于包括:租户之间控制面隔离、权限隔离、安全策略隔离和日志隔离。
可选的,所述租户之间控制面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现不同租户使用不同的控制面,所有IPsec VPN的配置在不同的控制面中配置及保存,不同租户的控制面下发配置到数据面时生成不同的路由表,租户分支接入后,根据租户不同的路由表进行转发。
可选的,所述权限隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间权限隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,实现所有租户的权限隔离,通过使用不同的路由表,实现租户的路由隔离。
可选的,所述安全策略隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间安全策略隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自配置运维自身安全策略,策略之间相互隔离,互不影响。
可选的,所述日志隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间日志隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自维护自身日志系统,日志信息存储在租户镜像独立的磁盘空间内,也可配置发送到独立的第三方服务器,并在日志生成、日志查询功能上实现各租户隔离。
可选的,所述利用单一租户镜像同时为多个租户提供服务的功能还包括:数据面共享,其中:
所述数据面共享,包括:在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,在控制面隔离的前提下,通过数据面共享,实现在同一IPsec VPN镜像实例中多租户隔离功能。
可选的,所述在所述SaaS服务模式下,所述IPsec VPN通过镜像模板,使得每个租户配置单独IPsec VPN镜像实例,实现控制面的隔离功能与数据面的隔离功能,包括:
在所述SaaS服务模式下,所述IPsec VPN应具备在数据面隔离模式中实现多租户隔离功能,即每个租户都拥有独立的IPsec VPN镜像实例,通过不同IPsec VPN镜像实例实现控制面隔离、数据面隔离、权限隔离、安全策略隔离和日志隔离。
可选的,所述控制面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,不同租户的配置保存在不同的IPsec VPN镜像实例中,实现控制面隔离功能。
可选的,所述数据面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现数据面隔离功能。
可选的,所述权限隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现权限隔离功能。
可选的,所述安全策略隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现安全策略隔离功能。
可选的,所述日志隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现日志隔离功能。
可选的,所述IPsec VPN镜像实例和所述IPsec VPN镜像实例对应的租户分支建立有VPN隧道;
其中,所述VPN隧道通过密钥加密,所述密钥的密钥交换协议定义了协商、建立、修改、删除安全联盟的过程和报文格式。
可选的,所述密钥交换协议定义的协议报文使用UDP协议500端口进行传输。
可选的,所述密钥包括:工作密钥和会话密钥;所述密钥的更新功能包括:
IPsec VPN在所述SaaS服务模式下应具有根据时间周期和报文流量两种条件进行工作密钥和会话密钥的更新功能,其中,所述根据时间周期条件进行密钥更新为必备功能,所述根据报文流量条件进行密钥更新为可选功能。
可选的,所述工作密钥的最大更新周期不大于24小时;所述会话密钥的最大更新周期不大于1小时。
可选的,所述密钥交换协议包括的第一阶段中,利用所述密钥交换协议进行通信的通信双方建立了一个ISAKMP SA;其中:
所述ISAKMP SA阶段中涉及到报文中的载荷,每个载荷中具有不同的字段协议;所述ISAKMP SA可支持扩展载荷,并在所述扩展载荷中标记租户信息。
可选的,一个ISAKMP SA可以用于建立多个IPSec SA。
一种基于SaaS的多租户服务提供方法,包括:
业务云主机依据为租户预先配置的服务信息,为所述租户提供服务,其中,所述业务云主机是为所述租户预先配置的IPsec VPN镜像实例。
可选的,一个业务云主机是为多个租户预先配置的业务云主机;所述多个租户共用所述一个业务云主机的数据面。
可选的,任意一个业务云主机用于为一个租户提供服务。
可选的,所述业务云主机上设置有多个租户镜像,任意一个租户镜像用于为一个租户提供服务。
可选的,所述多个租户镜像设置在所述业务云主机的控制面上。
可选的,所述租户镜像,包括:docker租户镜像。
可选的,所述服务信息包括:
显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。
可选的,所述业务云主机依据为租户预先配置的服务信息,为所述租户提供服务,包括:
所述业务云主机依据预先为该租户设置的路由信息,转发数据;该租户的路由信息由所述业务云主机的数据面依据所述业务云主机的控制面下发的该租户的路由配置信息生成,所述路由配置信息包括所述租户的标签。
可选的,所述为所述租户提供服务包括:
依据预设的链路使用策略,使用多条链路为所述租户提供服务。
一种控制云主机,包括:
第一配置单元,用于为租户配置IPsec VPN镜像实例;
其中,所述IPsec VPN镜像实例用于配置给唯一租户或者多个租户;所述IPsecVPN镜像实例用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务。
可选的,所述租户镜像包括:设置在同一个IPsec VPN镜像实例上的控制面中的租户镜像。
可选的,所述租户镜像,包括:docker租户镜像。
可选的,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsecVPN镜像实例用于为所述租户提供服务,包括:
所述多个租户共用所述IPsec VPN镜像实例的数据面。
可选的,所述第一配置单元还用于为所述租户配置服务信息,所述服务信息包括:显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。
可选的,还包括:
控制单元,用于控制所述IPsec VPN镜像实例的数据面依据所述IPsec VPN镜像实例的控制面下发的路由配置信息,生成所述路由信息,所述路由配置信息包括所述租户的标签,以实现控制所述IPsec VPN镜像实例根据所述路由配置信息生成路由信息。
可选的,还包括:
第二配置单元,用于为所述租户配置日志存储规则,所述日志存储规则包括:任意一个租户的日志存储于为该租户配置的IPsec VPN镜像实例中。
可选的,为任意一个租户配置的所述服务信息存储在为该租户配置的IPsec VPN镜像实例中。
可选的,还包括:
释放单元,用于释放为所述租户配置的IPsec VPN镜像实例。
一种IPsec VPN,包括:虚拟化的处理器和虚拟化的存储器;其中;
所述虚拟化的存储器用于存储计算机程序代码;
所述虚拟化的处理器用于执行所述存储器存储的代码时,用于:为租户配置IPsecVPN镜像实例;
其中,所述IPsec VPN镜像实例用于配置给唯一租户或者多个租户;所述IPsecVPN镜像实例用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务。
可选的,所述租户镜像包括:设置在同一个IPsec VPN镜像实例上的控制面中的租户镜像。
可选的,所述租户镜像,包括:docker租户镜像。
可选的,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsecVPN镜像实例和所述服务信息用于为所述租户提供服务,包括:
所述多个租户共用所述IPsec VPN镜像实例的数据面。
可选的,所述虚拟化的处理器还用于为所述租户配置服务信息;所述服务信息包括:显示界面信息、租户权限信息、安全策略信息和路由路由信息中的至少一个。
可选的,所述虚拟化的处理器还用于控制所述IPsec VPN镜像实例根据所述路由配置信息生成路由信息,其中,所述处理器生成制所述IPsec VPN镜像实例根据所述路由配置信息生成路由信息时,用于控制所述IPsec VPN镜像实例的数据面依据所述IPsec VPN镜像实例的控制面下发的路由配置信息,生成所述路由信息,所述路由配置信息包括所述租户的标签。
可选的,所述虚拟化的处理器,还用于:
为所述租户配置日志存储规则,所述日志存储规则包括:任意一个租户的日志存储于为该租户配置的IPsec VPN镜像实例中。
可选的,为任意一个租户配置的所述服务信息存储在为该租户配置的IPsec VPN镜像实例中。
可选的,所述虚拟化的处理器还用于:释放为所述租户配置的IPsec VPN镜像实例。
可选的,所述IPsec VPN在所述SaaS服务模式下具有两种用户模式,所述两种用户模式包括:数据面隔离模式和数据面共享模式;
所述虚拟化的处理器在所述数据面共享模式下,执行为租户配置IPsec VPN镜像实例和服务信息;其中,所述IPsec VPN镜像实例用于配置给多个租户;所述IPsec VPN镜像实例和所述服务信息用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务时,用于:
在所述SaaS服务模式下,所述IPsec VPN可通过镜像模板,让多个租户共同使用同一IPsec VPN镜像实例,每个IPsec VPN镜像实例对应多个租户镜像,从而实现控制面隔离,数据面共享的功能;
所述虚拟化的处理器在所述数据面隔离模式下,执行为租户配置IPsec VPN镜像实例和服务信息;其中,所述IPsec VPN镜像实例用于配置给唯一租户;所述IPsec VPN镜像实例和所述服务信息用于为所述租户提供服务时,用于:
在所述SaaS服务模式下,所述IPsec VPN通过镜像模板,使得每个租户配置单独IPsec VPN镜像实例,实现控制面的隔离功能与数据面的隔离功能。
可选的,所述虚拟化的处理器执行在所述SaaS服务模式下,所述IPsec VPN可通过镜像模板,让多个租户共同使用同一IPsec VPN镜像实例,每个IPsec VPN镜像实例对应多个租户镜像,从而实现控制面隔离,数据面共享的功能时,用于:
在所述SaaS服务模式下,所述IPsec VPN应具备在数据面共享模式中实现多租户隔离功能,利用单一IPsec VPN镜像实例同时为多个租户提供服务,功能不仅限于包括:租户之间控制面隔离、权限隔离、安全策略隔离和日志隔离。
可选的,所述租户之间控制面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现不同租户使用不同的控制面,所有IPsec VPN的配置在不同的控制面中配置及保存,不同租户的控制面下发配置到数据面时生成不同的路由表,租户分支接入后,根据租户不同的路由表进行转发。
可选的,所述权限隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间权限隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,实现所有租户的权限隔离,通过使用不同的路由表,实现租户的路由隔离。
可选的,所述安全策略隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间安全策略隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自配置运维自身安全策略,策略之间相互隔离,互不影响。
可选的,所述日志隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间日志隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自维护自身日志系统,日志信息存储在租户镜像独立的磁盘空间内,也可配置发送到独立的第三方服务器,并在日志生成、日志查询功能上实现各租户隔离。
可选的,所述利用单一租户镜像同时为多个租户提供服务的功能还包括:数据面共享,其中:
所述数据面共享,包括:在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,在控制面隔离的前提下,通过数据面共享,实现在同一IPsec VPN镜像实例中多租户隔离功能。
可选的,所述虚拟化的处理器执行在所述SaaS服务模式下,所述IPsec VPN通过镜像模板,使得每个租户配置单独IPsec VPN镜像实例,实现控制面的隔离功能与数据面的隔离功能,用于:
在所述SaaS服务模式下,所述IPsec VPN应具备在数据面隔离模式中实现多租户隔离功能,即每个租户都拥有独立的IPsec VPN镜像实例,通过不同IPsec VPN镜像实例实现控制面隔离、数据面隔离、权限隔离、安全策略隔离和日志隔离。
可选的,所述控制面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,不同租户的配置保存在不同的IPsec VPN镜像实例中,实现控制面隔离功能。
可选的,所述数据面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现数据面隔离功能。
可选的,所述权限隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现权限隔离功能。
可选的,所述安全策略隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现安全策略隔离功能。
可选的,所述日志隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现日志隔离功能。
可选的,所述IPsec VPN镜像实例和所述IPsec VPN镜像实例对应的租户分支建立有VPN隧道;其中,所述VPN隧道通过密钥加密,所述密钥的密钥交换协议定义了协商、建立、修改、删除安全联盟的过程和报文格式。
可选的,所述密钥交换协议定义的协议报文使用UDP协议500端口进行传输。
可选的,所述密钥包括:工作密钥和会话密钥;所述密钥的更新功能包括:
IPsec VPN在所述SaaS服务模式下应具有根据时间周期和报文流量两种条件进行工作密钥和会话密钥的更新功能,其中,所述根据时间周期条件进行密钥更新为必备功能,所述根据报文流量条件进行密钥更新为可选功能。
可选的,所述工作密钥的最大更新周期不大于24小时;所述会话密钥的最大更新周期不大于1小时。
可选的,所述密钥交换协议包括的第一阶段中,利用所述密钥交换协议进行通信的通信双方建立了一个ISAKMP SA;其中:
所述ISAKMP SA阶段中涉及到报文中的载荷,每个载荷中具有不同的字段协议;所述ISAKMP SA可支持扩展载荷,并在所述扩展载荷中标记租户信息。
可选的,一个ISAKMP SA可以用于建立多个IPSec SA。
一种业务云主机,包括:
服务单元,用于依据为租户预先配置的服务信息,为所述租户提供服务,其中,所述业务云主机是为所述租户预先配置的IPsec VPN镜像实例。
可选的,一个业务云主机是为多个租户预先配置的业务云主机;所述多个租户共用所述一个业务云主机的数据面。
可选的,任意一个业务云主机用于为一个租户提供服务。
可选的,所述业务云主机上设置有多个租户镜像,任意一个租户镜像用于为一个租户提供服务。
可选的,所述多个租户镜像设置在所述业务云主机的控制面上。
可选的,所述租户镜像,包括:docker租户镜像。
可选的,所述服务信息包括:
显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。
可选的,所述服务单元,包括:
服务子单元,用于依据预先为该租户设置的路由信息,转发数据;该租户的路由信息由所述业务云主机的数据面依据所述业务云主机的控制面下发的该租户的路由配置信息生成,所述路由配置信息包括所述租户的标签。
可选的,所述为所述租户提供服务包括:
依据预设的链路使用策略,使用多条链路为所述租户提供服务。
一种SaaS模式下的IPsec VPN,所述IPsec VPN包括业务云主机,所述业务云主机包括:虚拟化的处理器和虚拟化的存储器;其中;
所述虚拟化的存储器用于存储计算机程序代码;
所述虚拟化的处理器用于执行所述存储器存储的代码时,用于控制所述业务云主机执行上述的基于SaaS的多租户服务提供方法。
一种SaaS模式下的IPsec VPN,包括:控制云主机和业务云主机;
其中,所述控制云主机用于执行上述的基于SaaS服务模式的租户管理方法;
所述业务云主机用于执行上述的基于SaaS的多租户服务提供方法。
一种云管平台,包括:控制云主机和业务云主机;
其中,所述控制云主机用于执行上述的基于SaaS服务模式的租户管理方法;
所述业务云主机用于执行上述的基于SaaS的多租户服务提供方法。
一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,所述指令用于执行上述所介绍的基于SaaS服务模式的租户管理或服务提供方法。
一种计算机程序产品,当所述该计算机产品被执行时,用于执行上述所介绍的基于SaaS服务模式的租户管理或服务提供方法。
本申请所述的基于SaaS服务模式的租户管理及服务提供方法、装置,为租户配置IPsec VPN镜像实例,并利用IPsec VPN镜像实例和服务信息为租户提供服务。其中,IPsecVPN镜像实例用于配置给唯一租户或者多个租户。在IPsec VPN镜像实例用于配置给多个租户的情况下,IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务。综上所述,将IPsec VPN镜像实例配置给唯一租户或将租户镜像配置给唯一租户,以实现不同租户之间的隔离。因此,在为租户提供服务时,具有更高的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为IPsec VPN技术构建的用于提供SaaS服务模式的系统的架构示意图;
图2为本申请实施例公开的为本申请实施例公开的一种设置在公有云中的云管平台的结构示意图;
图3为本申请实施例公开的为控制云主机为多个租户配置同一个IPsec VPN镜像实例的示意图;
图4为本申请实施例公开的云管平台为租户提供服务的一种流程图;
图5为控制云主机101为多个租户配置不同的IPsec VPN镜像实例的示意图;
图6为本申请实施例公开的云管平台为租户提供服务的又一种流程图;
图7为图1所示的云管平台中的控制云主机的结构示意图;
图8为图1所示的云管平台中的业务云主机的结构示意图。
具体实施方式
图1为IPsec VPN技术构建的用于提供SaaS服务模式的系统的架构,图1中包括租户和端,云端可以为公有云或私有云,例如电子政务云,本申请实施例的附图中,以公有云为例。
租户为使用云计算服务而同云服务商建立业务关系的参与方,参与方可以为一个客户端,也可以为由部署在总部和分支机构的多个客户端组成。其中,该分支机构称作租户分支。单个IPsec VPN镜像实例可以为单个租户提供服务,也可以为多个租户提供服务。SaaS服务模式是云计算服务模式IaaS、PaaS、SaaS的最上层服务模式。
任意一个IPsec VPN镜像实例上可以包括控制面和数据面。
本实施例中所述的技术方案,以多租户从公有云获取SaaS服务模式的场景为例进行说明。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图2为本申请实施例公开的一种设置在公有云中的云管平台,包括控制云主机101和业务云主机102。
控制云主机101用于为租户配置IPsec VPN镜像实例。IPsec VPN镜像实例用于为租户提供服务。可选的,控制云主机101还可以用于为租户配置服务信息。业务云主机102用于依据为租户预先配置的服务信息,为租户提供服务。
控制云主机101也为公有云中的IPsec VPN镜像实例。为了便于区分,将为各个租户配置的IPsec VPN镜像实例称为业务云主机。
控制云主机101可以设置在一个IPsec VPN镜像实例中,也可以设置在不同的IPsec VPN镜像实例中,还可以是设置在用于控制IPsec VPN镜像实例的虚拟机实例中,还可以设置在IPsec VPN中。控制云主机101的功能也可以由多个IPsec VPN镜像实例实现,即控制云主机101分布于多个IPsec VPN镜像实例中。
控制云主机可以为IPsec VPN镜像实例,可以被配置给租户,在此情况下,控制云主机与业务云主机集成在一个IPsec VPN镜像实例。控制云主机也可以为除IPsec VPN镜像实例之外的其它装置。
控制云主机101在为租户配置IPsec VPN镜像实例时,可以为多个租户配置同一个IPsec VPN镜像实例,也可以为每一个租户分别单独配置一个IPsec VPN镜像实例。
下面将针对以上两种不同情况进行详细的说明。
图3为控制云主机101为多个租户配置同一个IPsec VPN镜像实例(即业务云主机102)的示意图。
如图3所示,控制云主机101为多个租户配置同一个IPsec VPN镜像实例(即业务云主机102)。为了实现多租户之间的隔离,在业务云主机102的控制面上设置多个租户镜像,一个租户镜像唯一配置给一个租户,用于为该租户提供服务。可选的,租户镜像可以为docker租户镜像。
如前所述,业务云主机102包括控制面和数据面。不同租户使用控制面中不同的租户镜像,但共用业务云主机102的数据面。
本实施例中,服务信息包括但不限于显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。对于任意一个租户而言,为该租户配置的服务信息产生并存储于为该租户配置的租户镜像中,并作用于为该租户配置的租户镜像和业务云主机102的数据面。
路由配置信息用于生成路由信息,IPsec VPN镜像实例根据所述路由配置信息生成路由信息。具体的,租户镜像依据租户的信息,向数据面下发路由配置信息,路由配置信息至少包括租户的标签,数据面依据路由配置信息,生成并存储路由信息,例如路由表。对于任意一个租户,均可使用上述过程生成该租户的路由表。控制面使用不同租户的路由表,为各个租户转发数据包。
可选的,控制云主机101还可以为多个租户配置日志存储规则,日志存储规则包括:任意一个租户的日志存储于为该租户配置的租户镜像中。
可选的,控制云主机101还可以释放为租户配置的IPsec VPN镜像实例。
可选的,业务云主机102依据预设的链路使用策略,使用多条链路为租户提供服务。链路可以为VPN隧道。多条链路可以为不同的运营商提供的专用链路。链路使用策略包括但不限于隧道平均分配、优先带宽分配、按比例分配、按隧道SLA分配等。进一步的,链路可以通过密钥加密,密钥的密钥交换协议定义了协商、建立、修改、删除安全联盟的过程和报文格式。密钥交换协议定义的协议报文使用UDP协议500端口进行传输。密钥可以包括工作密钥和会话密钥。
可选的,密钥的更新过程包括:根据时间周期和报文流量两种条件进行工作密钥和会话密钥的更新功能,其中,根据时间周期条件进行密钥更新为必备功能,所述根据报文流量条件进行密钥更新为可选功能。工作密钥的最大更新周期不大于24小时;所述会话密钥的最大更新周期不大于1小时。
以图3为例,镜像实例与租户分支之间设置两条VPN隧道,图3中业务云主机102依据链路使用策略,从两条VPN隧道中择一,为租户分支提供服务。
在图3所示的多个租户共用一个业务云主机的情况下,云管平台为租户提供服务的流程如图4所示,包括以下步骤:
S401:基于预设的第一触发规则,云管平台的控制云主机为多个租户配置服务信息和同一个IPsec VPN镜像实例(即业务云主机),并将IPsec VPN镜像实例的控制面上的多个租户镜像配置给多个租户,其中,一个租户镜像唯一配置给一个租户。
具体的,第一触发规则可以为租户主动发起的触发规则,例如租户向云管平台发送包括租户的标签的注册请求。第一触发规则也可以为云管平台发起的触发规则,例如,云管平台的控制云主机在计时器计时结束后,为租户配置IPsec VPN镜像实例。
服务信息的配置如前所示,这里不再赘述。
S402:云管平台中为租户配置的业务云主机依据为租户预先配置的服务信息,为租户提供服务。
如前所述,在为租户提供服务的过程中,不同租户使用不同的租户镜像,且共用数据面获取服务。
为租户提供的服务的具体内容,以及具体的服务提供方式,可以参见现有技术,这里不再赘述。
S403:基于预设的第二触发规则,云管平台的控制云主机释放为租户配置的租户镜像。
S403体现的是注销租户的场景,其中,第二触发规则可以为租户主动发起的触发规则,例如租户向云管平台发送包括租户的标签的注销请求。第二触发规则也可以为云管平台发起的触发规则,例如,云管平台的控制云主机在租户不满足条件(例如租户未缴费)后,注销租户的IPsec VPN镜像实例。在服务信息存储在租户镜像的情况下,删除租户镜像后,服务信息也被删除。可选的,除了上述情况,还可以单独执行注销服务信息的步骤。
可见,图3所示的云管平台,为不同租户配置不同的租户镜像,使得不同的租户使用各自的不同的租户镜像、且使用相同的IPsec VPN镜像实例的数据面从公有云获取服务。因为使用同一个IPsec VPN镜像实例,所以对资源的使用率更高,且数据面共用,做到真正意义上的多租户共享,同时,使用不同的租户镜像又可以实现不同租户之间的隔离,所以具有较高的安全性。
图4体现的是租户在云管平台注册(租户管理的一种形式)、云管平台为租户提供服务、云管平台注销租户(租户管理的一种形式)的过程,但需要说明的是,为租户提供服务并不依赖于前述注册过程,也就是说,租户可以使用其它注册方式注册成功后,从云管平台获得服务。类似的,注销过程、注册过程和提供服务的过程之间,并不存在必然的依赖关系。即,在其中一个过程使用其它方式代替后,并不影响其它过程的实施。
需要说明的是,在云管平台为一些租户提供服务的过程中,可以有新租户加入并获取服务,新租户加入获取服务的步骤如S401-S402。
图5为控制云主机101为多个租户配置不同的IPsec VPN镜像实例(即业务云主机102)的示意图。
如图5所示,控制云主机101为多个租户配置不同的IPsec VPN镜像实例(即业务云主机102),即一个IPsec VPN镜像实例被配置给唯一的租户。因为IPsec VPN镜像实例中包括控制面和数据面,所以,为不同的租户提供服务时,不同的租户使用的控制面和数据面均为隔离的。可见,图5中,使用IPsec VPN镜像实例实现多租户之间的隔离。
本实施例中,服务信息包括但不限于显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。对于任意一个租户而言,为该租户配置的服务信息产生并存储于为该租户配置的IPsec VPN镜像实例中的控制面,并作用于为该租户配置的IPsecVPN镜像实例中的数据面。
路由配置信息用于生成路由信息,IPsec VPN镜像实例根据所述路由配置信息生成路由信息,具体的,任意一个IPsec VPN镜像实例的控制面依据租户的信息,向该IPsecVPN镜像实例的数据面下发路由配置信息,路由配置信息至少包括租户的标签,该IPsecVPN镜像实例的数据面依据路由配置信息,生成并存储路由信息,例如路由表。对于任意一个租户,均可使用上述过程生成该租户的路由表。该IPsec VPN镜像实例的控制面使用不同租户的路由表,为各个租户转发数据包。
可选的,控制云主机101还可以为多个租户配置日志存储规则,日志存储规则包括:任意一个租户的日志存储于为该租户配置的租户镜像中。
可选的,控制云主机101还可以释放为租户配置的IPsec VPN镜像实例。
可选的,业务云主机102依据预设的链路使用策略,使用多条链路为租户提供服务。链路可以为VPN隧道。多条链路可以为不同的运营商提供的专用链路。链路使用策略包括但不限于隧道平均分配、优先带宽分配、按比例分配、按隧道SLA分配等。进一步的,链路可以通过密钥加密,密钥的密钥交换协议定义了协商、建立、修改、删除安全联盟的过程和报文格式。密钥交换协议定义的协议报文使用UDP协议500端口进行传输。密钥可以包括工作密钥和会话密钥。
可选的,密钥的更新过程包括:根据时间周期和报文流量两种条件进行工作密钥和会话密钥的更新功能,其中,根据时间周期条件进行密钥更新为必备功能,所述根据报文流量条件进行密钥更新为可选功能。工作密钥的最大更新周期不大于24小时;所述会话密钥的最大更新周期不大于1小时。
以图5为例,镜像实例与租户分支之间设置两条VPN隧道,图5中,业务云主机102依据链路使用策略,从两条VPN隧道中择一,为租户分支提供服务。
在图5所示的每个租户不与其它租户共用业务云主机的情况下,云管平台为租户提供服务的流程如图6所示,包括以下步骤:
S601:基于预设的第一触发规则,云管平台的控制云主机为多个租户配置服务信息和IPsec VPN镜像实例(即业务云主机),为每个租户配置的IPsec VPN镜像实例不同。
具体的,第一触发规则可以为租户主动发起的触发规则,例如租户向云管平台发送包括租户的标签的注册请求。第一触发规则也可以为云管平台发起的触发规则,例如,云管平台的控制云主机在计时器计时结束后,为租户配置IPsec VPN镜像实例和服务信息。
服务信息的配置如前所示,这里不再赘述。
S602:云管平台中为任意一个租户配置的业务云主机依据为该租户预先配置的服务信息,为租户提供服务。
在为租户提供服务的过程中,不同租户使用不同的业务云主机(即IPsec VPN镜像实例,包括控制面和数据面)获得服务。
为租户提供的服务的具体内容,以及具体的服务提供方式,可以参见现有技术,这里不再赘述。
S603:基于预设的第二触发规则,云管平台的控制云主机释放为租户配置的镜像示例。
S603体现的是注销租户的场景,其中,第二触发规则可以为租户主动发起的触发规则,例如租户向云管平台发送包括租户的标签的注销请求。第二触发规则也可以为云管平台发起的触发规则,例如,云管平台的控制云主机在租户不满足条件(例如租户未缴费)后,注销租户的IPsec VPN镜像实例。在服务信息存储在租户镜像的情况下,删除租户镜像后,服务信息也被删除。可选的,除了上述情况,还可以单独执行注销服务信息的步骤。
可见,图5所示的云管平台,为不同租户配置不同的IPsec VPN镜像实例,使得不同的租户使用各自的IPsec VPN镜像实例从公有云获取服务。因为为不同租户配置的IPsecVPN镜像实例不同,所以能够实现不同租户之间的隔离,并且,只需对云主机进行虚拟化就可得到IPsec VPN镜像实例,所以实现复杂度较低、更易实现。
图6体现的是租户在云管平台注册(租户管理的一种形式)、云管平台为租户提供服务、云管平台注销租户(租户管理的一种形式)的过程,但需要说明的是,为租户提供服务并不依赖于前述注册过程,也就是说,租户可以使用其它注册方式注册成功后,从云管平台获得服务。类似的,注销过程、注册过程和提供服务的过程之间,并不存在必然的依赖关系。即,在其中一个过程使用其它方式代替后,并不影响其它过程的实施。
需要说明的是,在云管平台为一些租户提供服务的过程中,可以有新租户加入并获取服务,新租户加入获取服务的步骤如S601-S602。
综上所述,图2所示的云管平台中的控制云主机,为一种SaaS模式下的IPsec VPN,IPsec VPN在SaaS服务模式下具有两种用户模式,所述两种用户模式包括:数据面隔离模式和数据面共享模式。
在如图3所示的数据面共享模式下,IPsec VPN为租户配置IPsec VPN镜像实例和服务信息,其中,IPsec VPN镜像实例用于配置给多个租户。IPsec VPN镜像实例和服务信息用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务,以上功能的具体实现方式为:在SaaS服务模式下,IPsec VPN可通过IPsec VPN镜像实例镜像模板,让多个租户共同使用同一IPsec VPN镜像实例,并实现控制面隔离,数据面共享的功能。
具体的,在SaaS服务模式下,IPsec VPN应具备在数据面共享模式中实现多租户隔离功能,利用单一租户镜像同时为多个租户提供服务,功能不仅限于包括:租户之间控制面隔离、权限隔离、安全策略隔离、日志隔离。
进一步的,租户之间控制面隔离的具体方式为:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面共享模式,实现不同租户使用不同的控制面,所有IPsec VPN的配置在不同的控制面中配置及保存,不同租户的控制面下发配置到数据面时生成不同的路由表,租户分支接入后,根据租户不同的路由表进行转发。
权限隔离的具体方式为:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间权限隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,实现所有租户的权限隔离,通过使用不同的路由表,实现租户的路由隔离。
安全策略隔离的具体方式为:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间安全策略隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自配置运维自身安全策略,策略之间相互隔离,互不影响。
日志隔离的具体实现方式为:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间日志隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自维护自身日志系统,日志信息存储在租户镜像独立的磁盘空间内,也可配置发送到独立的第三方服务器,并在日志生成、日志查询功能上实现各租户隔离。
进一步的,利用单一租户镜像同时为多个租户提供服务的功能的过程还包括:数据面共享,其中:数据面共享包括:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面共享模式,在控制面隔离的前提下,通过数据面共享,实现在同一租户镜像中多租户隔离功能。
在如图4所示的数据面隔离模式下,IPsec VPN为租户配置IPsec VPN镜像实例和服务信息。其中,IPsec VPN镜像实例用于配置给唯一租户。IPsec VPN镜像实例和服务信息用于为租户提供服务,以上功能的具体实现方式为:在SaaS服务模式下,IPsec VPN通过IPsec VPN镜像实例镜像模板,使得每个租户配置单独IPsec VPN镜像实例,实现控制面的隔离功能与数据面的隔离功能。
具体的,在SaaS服务模式下,IPsec VPN通过IPsec VPN镜像实例镜像模板,使得每个租户配置单独IPsec VPN镜像实例,实现控制面的隔离功能与数据面的隔离功能的具体实现方式为:在SaaS服务模式下,IPsec VPN应具备在数据面隔离模式中实现多租户隔离功能,即每个租户都拥有独立的租户镜像,通过不同租户镜像实现控制面隔离、数据面隔离、权限隔离、安全策略隔离和日志隔离。
进一步的,控制面隔离的具体实现方式为:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的租户镜像,不同租户的配置保存在不同的IPsec VPN镜像实例中,实现控制面隔离功能。
数据面隔离的具体实现方式为:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的租户镜像,实现数据面隔离功能。
权限隔离的具体实现方式为:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的租户镜像,实现权限隔离功能。
安全策略隔离的具体实现方式为:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现安全策略隔离功能。
日志隔离的具体实现方式为:在SaaS服务模式下,IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现日志隔离功能。
进一步的,对于上述两种隔离方式,在IPsec VPN镜像实例用于配置给唯一租户的情况下,IPsec VPN镜像实例和IPsec VPN镜像实例对应的租户分支建立有VPN隧道。在IPsec VPN镜像实例用于配置给多个租户的情况下,IPsec VPN镜像实例中的租户镜像与租户镜像对应的租户分支建立有VPN隧道。其中,VPN隧道通过密钥加密,密钥的密钥交换协议定义了协商、建立、修改、删除安全联盟的过程和报文格式。密钥交换协议定义的协议报文使用UDP协议500端口进行传输。
密钥包括工作密钥和会话密钥。密钥的更新功能包括:IPsec VPN在SaaS服务模式下应具有根据时间周期和报文流量两种条件进行工作密钥和会话密钥的更新功能,其中,所述根据时间周期条件进行密钥更新为必备功能,所述根据报文流量条件进行密钥更新为可选功能。工作密钥的最大更新周期不大于24小时;会话密钥的最大更新周期不大于1小时。
进一步的,IPsec VPN的密码算法包括:IPSec VPN使用非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法。算法及使用方法如下:
a)非对称密码算法使用SM2椭圆曲线密码算法,也可支持2048位及以上的RSA算法,用于实体验证、数字签名和数字信封等。
b)对称密码算法使用SM1或SM4分组密码算法,用于密钥协商数据的加密保护和报文数据的加密保护。算法的工作模式使用CBC模式。
c)密码杂凑算法使用SM3或SHA-1密码杂凑算法,用于对称密钥生成和完整性校验。
d)随机数生成算法生成的随机数应能通过GM/T 0005规定的检测。
IPsec VPN的密钥种类包括:IPSec VPN使用下列密钥:
a)设备密钥:非对称算法使用的公私钥对,包括签名密钥对和加密密钥对,用于实体验证、数字签名和数字信封等。
b)工作密钥:在密钥协商第一阶段得到的密钥,用于会话密钥协商过程的保护。
c)会话密钥:在密钥协商第二阶段得到的密钥,用于数据报文的加密和完整性保护。
IPsec VPN的密钥交换协议包括以下内容:
交换阶段:密钥交换协议包括第一阶段和第二阶段。
在第一阶段交换中,通信双方建立了一个ISAKMP SA。该SA是协商双方为保护它们之间的通信而使用的共享策略和密钥。用这个SA来保护IPSec SA的协商过程。ISAKMP SA阶段中涉及到报文中的载荷,每个载荷中具有不同的字段协议,可支持扩展载荷,并在载荷中标记客户(租户)信息。一个ISAKMP SA可以用于建立多个IPSec SA。
在第二阶段交换中,通信双方使用第一阶段ISAKMP SA协商建立IPSec SA,IPSecSA是为保护它们之间的数据通信而使用的共享策略和密钥。
交换模式:本规范规定了两种交换模式,分别为主模式和快速模式。
a)主模式:用于第一阶段交换,是一个身份保护的交换,实现通信双方的身份认证和密钥协商,得到工作密钥,该工作密钥用于保护第二阶段的协商过程。
b)快速模式:用于第二阶段交换,快速模式交换依赖于第一阶段主模式交换,作为IPSec SA协商过程的一部分协商IPSec SA的安全策略并衍生会话密钥。快速模式交换的信息由ISAKMP SA来保护,即除了ISAKMP头外所有的载荷都要加密。在快速模式中,一个HASH载荷应紧跟在ISAKMP头之后,这个HASH用于消息的完整性校验以及数据源身份验证。快速模式最终实现通信双方IPSec SA的协商,确定通信双方的IPSec安全策略及会话密钥。
IPsec VPN的NAT穿越包括以下内容:IPSec穿越NAT特性让IPSec数据流能够穿越网络中的NAT设备。NAT穿越由3个部分组成:首先判断通信的双方是否支持NAT穿越,其次检测双方之间的路径上是否存在NAT,最后决定如何使用UDP封装来处理NAT穿越。
IPsec VPN的安全报文协议包括:
1、认证头协议AH
认证头协议AH用于为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。AH为IP头提供尽可能多的认证,同时为上层协议数据提供认证。对于抗重放攻击服务,AH依靠一个单调递增的抗重放攻击序列号来完成。AH不能提供机密性服务,因此本规范规定AH不能单独使用,而应和封装安全载荷协议ESP嵌套使用。
2、封装安全载荷ESP
封装安全载荷ESP提供了机密性、数据源鉴别、无连接的完整性、抗重放攻击服务和有限信息流量的保护。当ESP单独使用时、必须同时选择机密性和数据源鉴别服务,当ESP和AH结合使用时不应选择数据源鉴别服务。
3、NAT穿越
为了穿越NAT,在UDP报文中封装和解封装ESP报文的方法按RFC3948的要求实现
IPsec VPN多路复用包括:在SaaS服务模式下,为满足租户大流量传输需求,IPsecVPN作为安全即服务应支持多路复用技术,在需要线路复用的节点间建立多条VPN隧道,在多条VPN隧道建立后,将需要送到对端节点的数据包,按照一定的调度算法,送入到对端节点对应的所有VPN隧道。
算法包括但不限于:
a)对称线路的平均分配法,即将发送的包平均分配到每条到对端节点的VPN隧道内。
b)带宽优先分配法,即总是优先发送IP包到带宽大的线路对应的VPN隧道中,如果该隧道没有剩余的缓冲区,就找下一条隧道,依此类推。
c)剩余比例分配法,即根据线路的带宽不同,设置对应VPN隧道的发送缓冲区的大小;带宽小的线路发送缓冲区就小,避免发送数据时间过长;发送IP包时检查每条VPN隧道缓冲区剩余比例,大则优先。
IPsec VPN的密钥协商包括:IPsec VPN在SaaS服务模式下应具有密钥协商功能,通过协商产生工作密钥和会话密钥。
IPsec VPN的安全报文封装包括:安全报文封装协议分为AH协议和ESP协议。AH协议应与ESP协议嵌套使用,这种情况下不启用ESP协议中的验证操作。ESP协议可单独使用,这种情况下应启用ESP协议中的验证操作。
IPsec VPN的认证方式包括:IPsec VPN在SaaS服务模式下应具有实体认证的功能,身份认证数据应支持数字证书方式。
IPsec VPN的IP协议版本支持包括:IPsec VPN在SaaS服务模式下应支持IPv4协议或IPv6协议。
IPsec VPN的管理员管理包括:IPsec VPN在SaaS服务模式下应设置管理员,进行设备参数配置、策略配置、设备密钥的生成、导入、备份和恢复等操作。管理员应持有表征用户身份信息的硬件装置,与登录口令相结合登录系统,进行管理操作前应通过身份认证。登录口令长度应不小于8个字符。使用错误口令或非法身份登录的次数限制应小于或等于8。
图7为图1所示的云管平台中的控制云主机的结构示意图,包括第一配置单元、控制单元、第二配置单元和释放单元。
其中,第一配置单元用于为租户配置IPsec VPN镜像实例,可选的,还可以为租户配置服务信息,其中,IPsec VPN镜像实例用于配置给唯一租户或者多个租户。IPsec VPN镜像实例和服务信息用于为租户提供服务,在IPsec VPN镜像实例用于配置给多个租户的情况下,IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务,其中IPsec VPN镜像实例和服务信息的具体实现形式可参见上述方法实施例,这里不再赘述。
控制单元用于控制IPsec VPN镜像实例的数据面依据IPsec VPN镜像实例的控制面下发的路由配置信息,生成路由信息,路由配置信息包括租户的标签。第二配置单元用于为租户配置日志存储规则,日志存储规则包括:任意一个租户的日志存储于为该租户配置的IPsec VPN镜像实例中。释放单元用于释放为所述租户配置的IPsec VPN镜像实例。
以上各个模块的功能的具体实现方式可以参见上述方法实施例,这里不再赘述。
控制云主机可以为SaaS模式下的IPsec VPN,具体的,IPsec VPN包括处理器和存储器。所述存储器用于存储计算机程序代码。所述处理器用于执行所述存储器存储的代码时,用于:为租户配置IPsec VPN镜像实例和服务信息(可选项)。作为控制云主机的IPsecVPN为租户配置IPsec VPN镜像实例和服务信息的具体实现方式,可以参见上述实施例,这里不再赘述。
图8为图1所示的云管平台中的业务云主机的结构示意图,包括服务单元,用于依据为租户预先配置的服务信息,为所述租户提供服务,其中,所述业务云主机是为所述租户预先配置的业务云主机。
服务单元进一步可包括:服务子单元,用于依据预先为该租户设置的路由信息,转发数据;该租户的路由信息由所述业务云主机的数据面依据所述业务云主机的控制面下发的该租户的路由配置信息生成,所述路由配置信息包括所述租户的标签。
以上各个模块的功能的具体实现方式可以参见上述方法实施例,这里不再赘述。
业务云主机可以为SaaS模式下的IPsec VPN,IPsec VPN包括处理器和存储器。其中,所述存储器用于存储计算机程序代码。所述处理器用于执行所述存储器存储的代码时,用于控制所述业务云主机执行基于SaaS的多租户服务提供方法。基于SaaS的多租户服务提供方法的具体实现过程,可以参见前述实施例,这里不再赘述。
SaaS模式下的IPsec VPN还可以既实现业务云主机又实现控制云主机的功能。IPsec VPN包括处理器和存储器,其中存储器用于存储计算机程序代码,处理器用于执行所述存储器存储的代码时,用于为租户配置IPsec VPN镜像实例和服务信息并依据为租户配置IPsec VPN镜像实例和服务信息,为租户提供服务。上述功能的具体实现方式可以参见前述实施例,这里不再赘述。
需要说明的是,以上所述SaaS模式下的IPsec VPN中的处理器和存储器均为虚拟的,可使用现有的虚拟化技术得到。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (86)
1.一种基于SaaS服务模式的租户管理方法,其特征在于,包括:
控制云主机为租户配置IPsec VPN镜像实例;
其中,所述IPsec VPN镜像实例用于配置给唯一租户或者多个租户;所述IPsec VPN镜像实例用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务。
2.根据权利要求1所述的方法,其特征在于,所述租户镜像包括:设置在同一个IPsecVPN镜像实例上的控制面中的租户镜像。
3.根据权利要求1或2所述的方法,其特征在于,所述租户镜像,包括:docker租户镜像。
4.根据权利要求1所述的方法,其特征在于,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例用于为所述租户提供服务,包括:
所述多个租户共用所述IPsec VPN镜像实例的数据面。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述控制云主机还为所述租户配置服务信息;所述服务信息包括:显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。
6.根据权利要求5所述的方法,其特征在于,还包括:所述IPsec VPN镜像实例根据所述路由配置信息生成路由信息;
所述IPsec VPN镜像实例根据所述路由配置信息生成路由信息的过程包括:
所述IPsec VPN镜像实例的数据面依据所述IPsec VPN镜像实例的控制面下发的路由配置信息,生成所述路由信息,所述路由配置信息包括所述租户的标签。
7.根据权利要求1或5所述的方法,其特征在于,还包括:
所述控制云主机为所述租户配置日志存储规则,所述日志存储规则包括:任意一个租户的日志存储于为该租户配置的IPsec VPN镜像实例中。
8.根据权利要求1或5所述的方法,其特征在于,为任意一个租户配置的所述服务信息存储在为该租户配置的IPsec VPN镜像实例中。
9.根据权利要求1所述的方法,其特征在于,还包括:
所述控制云主机释放为所述租户配置的IPsec VPN镜像实例。
10.根据权利要求1所述的方法,其特征在于,所述控制云主机为SaaS模式下的IPsecVPN;
所述IPsec VPN在所述SaaS服务模式下具有两种用户模式,所述两种用户模式包括:数据面隔离模式和数据面共享模式;
在所述数据面共享模式下,所述控制云主机为租户配置IPsec VPN镜像实例和服务信息;其中,所述IPsec VPN镜像实例用于配置给多个租户;所述IPsec VPN镜像实例和所述服务信息用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务,包括:
在所述SaaS服务模式下,所述IPsec VPN可通过镜像模板,让多个租户共同使用同一IPsec VPN镜像实例,每个IPsec VPN镜像实例对应多个租户镜像,从而实现控制面隔离,数据面共享的功能;
所述数据面隔离模式下,所述控制云主机为租户配置IPsec VPN镜像实例和服务信息;其中,所述IPsec VPN镜像实例用于配置给唯一租户;所述IPsec VPN镜像实例和所述服务信息用于为所述租户提供服务,包括:
在所述SaaS服务模式下,所述IPsec VPN通过镜像模板,使得每个租户配置单独IPsecVPN镜像实例,实现控制面的隔离功能与数据面的隔离功能。
11.根据权利要求10所述的方法,其特征在于,所述在所述SaaS服务模式下,所述IPsecVPN可通过镜像模板,让多个租户共同使用同一IPsec VPN镜像实例,每个IPsec VPN镜像实例对应多个租户镜像,从而实现控制面隔离,数据面共享的功能,包括:
在所述SaaS服务模式下,所述IPsec VPN应具备在数据面共享模式中实现多租户隔离功能,利用单一IPsec VPN镜像实例同时为多个租户提供服务,功能不仅限于包括:租户之间控制面隔离、权限隔离、安全策略隔离和日志隔离。
12.根据权利要求11所述的方法,其特征在于,所述租户之间控制面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现不同租户使用不同的控制面,所有IPsec VPN的配置在不同的控制面中配置及保存,不同租户的控制面下发配置到数据面时生成不同的路由表,租户分支接入后,根据租户不同的路由表进行转发。
13.根据权利要求11所述的方法,其特征在于,所述权限隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间权限隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,实现所有租户的权限隔离,通过使用不同的路由表,实现租户的路由隔离。
14.根据权利要求11所述的方法,其特征在于,所述安全策略隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间安全策略隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自配置运维自身安全策略,策略之间相互隔离,互不影响。
15.根据权利要求11所述的方法,其特征在于,所述日志隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间日志隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自维护自身日志系统,日志信息存储在租户镜像独立的磁盘空间内,也可配置发送到独立的第三方服务器,并在日志生成、日志查询功能上实现各租户隔离。
16.根据权利要求11所述的方法,其特征在于,所述利用单一租户镜像同时为多个租户提供服务的功能还包括:数据面共享,其中:
所述数据面共享,包括:在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,在控制面隔离的前提下,通过数据面共享,实现在同一IPsec VPN镜像实例中多租户隔离功能。
17.根据权利要求10所述的方法,其特征在于,所述在所述SaaS服务模式下,所述IPsecVPN通过镜像模板,使得每个租户配置单独IPsec VPN镜像实例,实现控制面的隔离功能与数据面的隔离功能,包括:
在所述SaaS服务模式下,所述IPsec VPN应具备在数据面隔离模式中实现多租户隔离功能,即每个租户都拥有独立的IPsec VPN镜像实例,通过不同IPsec VPN镜像实例实现控制面隔离、数据面隔离、权限隔离、安全策略隔离和日志隔离。
18.根据权利要求17所述的方法,其特征在于,所述控制面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,不同租户的配置保存在不同的IPsec VPN镜像实例中,实现控制面隔离功能。
19.根据权利要求17所述的方法,其特征在于,所述数据面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现数据面隔离功能。
20.根据权利要求17所述的方法,其特征在于,所述权限隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现权限隔离功能。
21.根据权利要求17所述的方法,其特征在于,所述安全策略隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现安全策略隔离功能。
22.根据权利要求17所述的方法,其特征在于,所述日志隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现日志隔离功能。
23.根据权利要求1或10所述的方法,其特征在于,所述IPsec VPN镜像实例和所述IPsec VPN镜像实例对应的租户分支建立有VPN隧道;
其中,所述VPN隧道通过密钥加密,所述密钥的密钥交换协议定义了协商、建立、修改、删除安全联盟的过程和报文格式。
24.根据权利要求23所述的方法,其特征在于,所述密钥交换协议定义的协议报文使用UDP协议500端口进行传输。
25.根据权利要求23或24所述的方法,其特征在于,所述密钥包括:工作密钥和会话密钥;所述密钥的更新功能包括:
IPsec VPN在所述SaaS服务模式下应具有根据时间周期和报文流量两种条件进行工作密钥和会话密钥的更新功能,其中,所述根据时间周期条件进行密钥更新为必备功能,所述根据报文流量条件进行密钥更新为可选功能。
26.根据权利要求25所述的方法,其特征在于,所述工作密钥的最大更新周期不大于24小时;所述会话密钥的最大更新周期不大于1小时。
27.根据权利要求23所述的方法,其特征在于,所述密钥交换协议包括的第一阶段中,利用所述密钥交换协议进行通信的通信双方建立了一个ISAKMP SA;其中:
所述ISAKMP SA阶段中涉及到报文中的载荷,每个载荷中具有不同的字段协议;所述ISAKMP SA可支持扩展载荷,并在所述扩展载荷中标记租户信息。
28.根据权利要求27所述的方法,其特征在于,一个ISAKMP SA可以用于建立多个IPSecSA。
29.一种基于SaaS的多租户服务提供方法,其特征在于,包括:
业务云主机依据为租户预先配置的服务信息,为所述租户提供服务,其中,所述业务云主机是为所述租户预先配置的IPsec VPN镜像实例。
30.根据权利要求29所述的方法,其特征在于,一个业务云主机是为多个租户预先配置的业务云主机;所述多个租户共用所述一个业务云主机的数据面。
31.根据权利要求29所述的方法,其特征在于,任意一个业务云主机用于为一个租户提供服务。
32.根据权利要求30所述的方法,其特征在于,所述业务云主机上设置有多个租户镜像,任意一个租户镜像用于为一个租户提供服务。
33.根据权利要求32所述的方法,其特征在于,所述多个租户镜像设置在所述业务云主机的控制面上。
34.根据权利要求32或33所述的方法,其特征在于,所述租户镜像,包括:docker租户镜像。
35.根据权利要求29-34任一项所述的方法,其特征在于,所述服务信息包括:
显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。
36.根据权利要求35所述的方法,其特征在于,所述业务云主机依据为租户预先配置的服务信息,为所述租户提供服务,包括:
所述业务云主机依据预先为该租户设置的路由信息,转发数据;该租户的路由信息由所述业务云主机的数据面依据所述业务云主机的控制面下发的该租户的路由配置信息生成,所述路由配置信息包括所述租户的标签。
37.根据权利要求29所述的方法,其特征在于,所述为所述租户提供服务包括:
依据预设的链路使用策略,使用多条链路为所述租户提供服务。
38.一种控制云主机,其特征在于,包括:
第一配置单元,用于为租户配置IPsec VPN镜像实例;
其中,所述IPsec VPN镜像实例用于配置给唯一租户或者多个租户;所述IPsec VPN镜像实例用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务。
39.根据权利要求38所述的控制云主机,其特征在于,所述租户镜像包括:设置在同一个IPsec VPN镜像实例上的控制面中的租户镜像。
40.根据权利要求38或39所述的控制云主机,其特征在于,所述租户镜像,包括:docker租户镜像。
41.根据权利要求38所述的控制云主机,其特征在于,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例用于为所述租户提供服务,包括:
所述多个租户共用所述IPsec VPN镜像实例的数据面。
42.根据权利要求38至41中任意一项所述的控制云主机,其特征在于,所述第一配置单元还用于为所述租户配置服务信息,所述服务信息包括:显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。
43.根据权利要求42所述的控制云主机,其特征在于,还包括:
控制单元,用于控制所述IPsec VPN镜像实例的数据面依据所述IPsec VPN镜像实例的控制面下发的路由配置信息,生成所述路由信息,所述路由配置信息包括所述租户的标签,以实现控制所述IPsec VPN镜像实例根据所述路由配置信息生成路由信息。
44.根据权利要求38或42所述的控制云主机,其特征在于,还包括:
第二配置单元,用于为所述租户配置日志存储规则,所述日志存储规则包括:任意一个租户的日志存储于为该租户配置的IPsec VPN镜像实例中。
45.根据权利要求38或42所述的控制云主机,其特征在于,为任意一个租户配置的所述服务信息存储在为该租户配置的IPsec VPN镜像实例中。
46.根据权利要求38所述的控制云主机,其特征在于,还包括:
释放单元,用于释放为所述租户配置的IPsec VPN镜像实例。
47.一种SaaS模式下的IPsec VPN,其特征在于,包括:处理器和存储器;其中;
所述存储器用于存储计算机程序代码;
所述处理器用于执行所述存储器存储的代码时,用于:为租户配置IPsec VPN镜像实例;
其中,所述IPsec VPN镜像实例用于配置给唯一租户或者多个租户;所述IPsec VPN镜像实例用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务。
48.根据权利要求47所述的IPsec VPN,其特征在于,所述租户镜像包括:设置在同一个IPsec VPN镜像实例上的控制面中的租户镜像。
49.根据权利要求47或48所述的IPsec VPN,其特征在于,所述租户镜像,包括:docker租户镜像。
50.根据权利要求47所述的IPsec VPN,其特征在于,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例用于为所述租户提供服务,包括:
所述多个租户共用所述IPsec VPN镜像实例的数据面。
51.根据权利要求47至50任一项所述的IPsec VPN,其特征在于,所述处理器还用于为所述租户配置服务信息;所述服务信息包括:显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。
52.根据权利要求51所述的IPsec VPN,其特征在于,所述处理器还用于控制所述IPsecVPN镜像实例根据所述路由配置信息生成路由信息,其中,所述处理器生成制所述IPsecVPN镜像实例根据所述路由配置信息生成路由信息时,用于控制所述IPsec VPN镜像实例的数据面依据所述IPsec VPN镜像实例的控制面下发的路由配置信息,生成所述路由信息,所述路由配置信息包括所述租户的标签。
53.根据权利要求47或51所述的IPsec VPN,其特征在于,所述处理器,还用于:
为所述租户配置日志存储规则,所述日志存储规则包括:任意一个租户的日志存储于为该租户配置的IPsec VPN镜像实例中。
54.根据权利要求47或51述的IPsec VPN,其特征在于,为任意一个租户配置的所述服务信息存储在为该租户配置的IPsec VPN镜像实例中。
55.根据权利要求47所述的IPsec VPN,其特征在于,所述处理器还用于:释放为所述租户配置的IPsec VPN镜像实例。
56.根据权利要求47所述的IPsec VPN,其特征在于,所述IPsec VPN在所述SaaS服务模式下具有两种用户模式,所述两种用户模式包括:数据面隔离模式和数据面共享模式;
所述处理器在所述数据面共享模式下,执行为租户配置IPsec VPN镜像实例和服务信息;其中,所述IPsec VPN镜像实例用于配置给多个租户;所述IPsec VPN镜像实例和所述服务信息用于为所述租户提供服务,在所述IPsec VPN镜像实例用于配置给多个租户的情况下,所述IPsec VPN镜像实例包括租户镜像,任意一个租户镜像用于为任意一个租户提供服务时,用于:
在所述SaaS服务模式下,所述IPsec VPN可通过镜像模板,让多个租户共同使用同一IPsec VPN镜像实例,每个IPsec VPN镜像实例对应多个租户镜像,从而实现控制面隔离,数据面共享的功能;
所述处理器在所述数据面隔离模式下,执行为租户配置IPsec VPN镜像实例和服务信息;其中,所述IPsec VPN镜像实例用于配置给唯一租户;所述IPsec VPN镜像实例和所述服务信息用于为所述租户提供服务时,用于:
在所述SaaS服务模式下,所述IPsec VPN通过镜像模板,使得每个租户配置单独IPsecVPN镜像实例,实现控制面的隔离功能与数据面的隔离功能。
57.根据权利要求56所述的IPsec VPN,其特征在于,所述处理器执行在所述SaaS服务模式下,所述IPsec VPN可通过镜像模板,让多个租户共同使用同一IPsec VPN镜像实例,每个IPsec VPN镜像实例对应多个租户镜像,从而实现控制面隔离,数据面共享的功能时,用于:
在所述SaaS服务模式下,所述IPsec VPN应具备在数据面共享模式中实现多租户隔离功能,利用单一IPsec VPN镜像实例同时为多个租户提供服务,功能不仅限于包括:租户之间控制面隔离、权限隔离、安全策略隔离和日志隔离。
58.根据权利要求57所述的IPsec VPN,其特征在于,所述租户之间控制面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现不同租户使用不同的控制面,所有IPsec VPN的配置在不同的控制面中配置及保存,不同租户的控制面下发配置到数据面时生成不同的路由表,租户分支接入后,根据租户不同的路由表进行转发。
59.根据权利要求57所述的IPsec VPN,其特征在于,所述权限隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间权限隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,实现所有租户的权限隔离,通过使用不同的路由表,实现租户的路由隔离。
60.根据权利要求57所述的IPsec VPN,其特征在于,所述安全策略隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间安全策略隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自配置运维自身安全策略,策略之间相互隔离,互不影响。
61.根据权利要求57所述的IPsec VPN,其特征在于,所述日志隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,实现租户之间日志隔离,旨在不同租户同时使用IPsec VPN服务时,通过使用不同的控制面,各自维护自身日志系统,日志信息存储在租户镜像独立的磁盘空间内,也可配置发送到独立的第三方服务器,并在日志生成、日志查询功能上实现各租户隔离。
62.根据权利要求57所述的IPsec VPN,其特征在于,所述利用单一租户镜像同时为多个租户提供服务的功能还包括:数据面共享,其中:
所述数据面共享,包括:在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面共享模式,在控制面隔离的前提下,通过数据面共享,实现在同一IPsec VPN镜像实例中多租户隔离功能。
63.根据权利要求56所述的IPsec VPN,其特征在于,所述处理器执行在所述SaaS服务模式下,所述IPsec VPN通过镜像模板,使得每个租户配置单独IPsec VPN镜像实例,实现控制面的隔离功能与数据面的隔离功能,用于:
在所述SaaS服务模式下,所述IPsec VPN应具备在数据面隔离模式中实现多租户隔离功能,即每个租户都拥有独立的IPsec VPN镜像实例,通过不同IPsec VPN镜像实例实现控制面隔离、数据面隔离、权限隔离、安全策略隔离和日志隔离。
64.根据权利要求63所述的IPsec VPN,其特征在于,所述控制面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,不同租户的配置保存在不同的IPsec VPN镜像实例中,实现控制面隔离功能。
65.根据权利要求63所述的IPsec VPN,其特征在于,所述数据面隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现数据面隔离功能。
66.根据权利要求63所述的IPsec VPN,其特征在于,所述权限隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现权限隔离功能。
67.根据权利要求63所述的IPsec VPN,其特征在于,所述安全策略隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现安全策略隔离功能。
68.根据权利要求63所述的IPsec VPN,其特征在于,所述日志隔离,包括:
在所述SaaS服务模式下,所述IPsec VPN作为安全即服务运行数据面隔离模式,通过为每个租户配置单独的IPsec VPN镜像实例,实现日志隔离功能。
69.根据权利要求47或56所述的IPsec VPN,其特征在于,所述IPsec VPN镜像实例和所述IPsec VPN镜像实例对应的租户分支建立有VPN隧道;其中,所述VPN隧道通过密钥加密,所述密钥的密钥交换协议定义了协商、建立、修改、删除安全联盟的过程和报文格式。
70.根据权利要求69所述的IPsec VPN,其特征在于,所述密钥交换协议定义的协议报文使用UDP协议500端口进行传输。
71.根据权利要求69或70所述的IPsec VPN,其特征在于,所述密钥包括:工作密钥和会话密钥;所述密钥的更新功能包括:
IPsec VPN在所述SaaS服务模式下应具有根据时间周期和报文流量两种条件进行工作密钥和会话密钥的更新功能,其中,所述根据时间周期条件进行密钥更新为必备功能,所述根据报文流量条件进行密钥更新为可选功能。
72.根据权利要求71所述的IPsec VPN,其特征在于,所述工作密钥的最大更新周期不大于24小时;所述会话密钥的最大更新周期不大于1小时。
73.根据权利要求69所述的IPsec VPN,其特征在于,所述密钥交换协议包括的第一阶段中,利用所述密钥交换协议进行通信的通信双方建立了一个ISAKMP SA;其中:
所述ISAKMP SA阶段中涉及到报文中的载荷,每个载荷中具有不同的字段协议;所述ISAKMP SA可支持扩展载荷,并在所述扩展载荷中标记租户信息。
74.根据权利要求73所述的IPsec VPN,其特征在于,一个ISAKMP SA可以用于建立多个IPSec SA。
75.一种业务云主机,其特征在于,包括:
服务单元,用于依据为租户预先配置的服务信息,为所述租户提供服务,其中,所述业务云主机是为所述租户预先配置的IPsec VPN镜像实例。
76.根据权利要求75所述的业务云主机,其特征在于,一个业务云主机是为多个租户预先配置的业务云主机;所述多个租户共用所述一个业务云主机的数据面。
77.根据权利要求75所述的业务云主机,其特征在于,任意一个业务云主机用于为一个租户提供服务。
78.根据权利要求76所述的业务云主机,其特征在于,所述业务云主机上设置有多个租户镜像,任意一个租户镜像用于为一个租户提供服务。
79.根据权利要求78所述的业务云主机,其特征在于,所述多个租户镜像设置在所述业务云主机的控制面上。
80.根据权利要求78或79所述的业务云主机,其特征在于,所述租户镜像,包括:docker租户镜像。
81.根据权利要求75至80任一项所述的业务云主机,其特征在于,所述服务信息包括:
显示界面信息、租户权限信息、安全策略信息和路由配置信息中的至少一个。
82.根据权利要求75所述的业务云主机,其特征在于,所述服务单元,包括:
服务子单元,用于依据预先为该租户设置的路由信息,转发数据;该租户的路由信息由所述业务云主机的数据面依据所述业务云主机的控制面下发的该租户的路由配置信息生成,所述路由配置信息包括所述租户的标签。
83.根据权利要求75所述的业务云主机,其特征在于,所述为所述租户提供服务包括:
依据预设的链路使用策略,使用多条链路为所述租户提供服务。
84.一种SaaS模式下的IPsec VPN,其特征在于,所述IPsec VPN包括业务云主机,所述业务云主机包括:处理器和存储器;其中;
所述存储器用于存储计算机程序代码;
所述处理器用于执行所述存储器存储的代码时,用于控制所述业务云主机执行如权29-37任意一项所述的基于SaaS的多租户服务提供方法。
85.一种SaaS模式下的IPsec VPN,其特征在于,包括:控制云主机和业务云主机;
其中,所述控制云主机用于执行如权利要求1-28中任意一项所述的基于SaaS服务模式的租户管理方法;
所述业务云主机用于执行如权29-37任意一项所述的基于SaaS的多租户服务提供方法。
86.一种云管平台,其特征在于,包括:控制云主机和业务云主机;
其中,所述控制云主机用于执行如权利要求1-28中任意一项所述的基于SaaS服务模式的租户管理方法;
所述业务云主机用于执行如权29-37任意一项所述的基于SaaS的多租户服务提供方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810892901.4A CN110830351B (zh) | 2018-08-07 | 2018-08-07 | 基于SaaS服务模式的租户管理及服务提供方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810892901.4A CN110830351B (zh) | 2018-08-07 | 2018-08-07 | 基于SaaS服务模式的租户管理及服务提供方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110830351A true CN110830351A (zh) | 2020-02-21 |
| CN110830351B CN110830351B (zh) | 2023-07-21 |
Family
ID=69533900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810892901.4A Active CN110830351B (zh) | 2018-08-07 | 2018-08-07 | 基于SaaS服务模式的租户管理及服务提供方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830351B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111352737A (zh) * | 2020-02-28 | 2020-06-30 | 网思科技股份有限公司 | 一种基于资源池的容器云计算服务平台 |
| CN112800033A (zh) * | 2021-03-18 | 2021-05-14 | 太平金融科技服务(上海)有限公司 | 数据操作请求处理方法、装置、计算机设备和存储介质 |
| CN115118765A (zh) * | 2022-06-20 | 2022-09-27 | 北京京东乾石科技有限公司 | 服务处理的方法、装置、电子设备和存储介质 |
| CN115480914A (zh) * | 2022-09-02 | 2022-12-16 | 江苏安超云软件有限公司 | 一种多租户服务的实现方法及系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101510888A (zh) * | 2009-03-19 | 2009-08-19 | 阿里巴巴集团控股有限公司 | 一种SaaS应用下提高数据安全性的方法、装置及系统 |
| CN101777047A (zh) * | 2009-01-08 | 2010-07-14 | 国际商业机器公司 | 多租户环境下访问数据库的系统、设备和方法 |
| WO2013138979A1 (en) * | 2012-03-19 | 2013-09-26 | Empire Technology Development Llc | Hybrid multi-tenancy cloud platform |
| CN103455512A (zh) * | 2012-05-31 | 2013-12-18 | 上海博腾信息科技有限公司 | Saas平台多租户数据管理模型 |
| CN104142864A (zh) * | 2014-08-07 | 2014-11-12 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化技术的多租户性能隔离框架 |
| US20150381576A1 (en) * | 2014-06-30 | 2015-12-31 | International Business Machines Corporation | Multi-tenant secure separation of data in a cloud-based application |
| CN106663034A (zh) * | 2014-05-09 | 2017-05-10 | 亚马逊技术股份有限公司 | 基于企业的网络与多租户网络之间的应用程序迁移 |
| CN107147649A (zh) * | 2017-05-11 | 2017-09-08 | 成都四象联创科技有限公司 | 基于云存储的数据优化调度方法 |
| US20180026877A1 (en) * | 2016-02-04 | 2018-01-25 | Twilio, Inc. | Systems and methods for providing secure network exchanged for a multitenant virtual private cloud |
| CN108366085A (zh) * | 2017-12-01 | 2018-08-03 | 孔朝晖 | 支持桌面文件同步协同共享的云系统 |
-
2018
- 2018-08-07 CN CN201810892901.4A patent/CN110830351B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101777047A (zh) * | 2009-01-08 | 2010-07-14 | 国际商业机器公司 | 多租户环境下访问数据库的系统、设备和方法 |
| CN101510888A (zh) * | 2009-03-19 | 2009-08-19 | 阿里巴巴集团控股有限公司 | 一种SaaS应用下提高数据安全性的方法、装置及系统 |
| WO2013138979A1 (en) * | 2012-03-19 | 2013-09-26 | Empire Technology Development Llc | Hybrid multi-tenancy cloud platform |
| CN103455512A (zh) * | 2012-05-31 | 2013-12-18 | 上海博腾信息科技有限公司 | Saas平台多租户数据管理模型 |
| CN106663034A (zh) * | 2014-05-09 | 2017-05-10 | 亚马逊技术股份有限公司 | 基于企业的网络与多租户网络之间的应用程序迁移 |
| US20150381576A1 (en) * | 2014-06-30 | 2015-12-31 | International Business Machines Corporation | Multi-tenant secure separation of data in a cloud-based application |
| CN104142864A (zh) * | 2014-08-07 | 2014-11-12 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化技术的多租户性能隔离框架 |
| US20180026877A1 (en) * | 2016-02-04 | 2018-01-25 | Twilio, Inc. | Systems and methods for providing secure network exchanged for a multitenant virtual private cloud |
| CN107147649A (zh) * | 2017-05-11 | 2017-09-08 | 成都四象联创科技有限公司 | 基于云存储的数据优化调度方法 |
| CN108366085A (zh) * | 2017-12-01 | 2018-08-03 | 孔朝晖 | 支持桌面文件同步协同共享的云系统 |
Non-Patent Citations (2)
| Title |
|---|
| HEIHACHIRO YAMAGUCHI: "SaaS virtualization method and its application", 《2016 INTERNATIONAL CONFERENCE ON INFORMATION NETWORKING (ICOIN)》 * |
| 程;: "基于SaaS模式协同办公OA类应用集成平台的设计与开发", 电脑知识与技术 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111352737A (zh) * | 2020-02-28 | 2020-06-30 | 网思科技股份有限公司 | 一种基于资源池的容器云计算服务平台 |
| CN112800033A (zh) * | 2021-03-18 | 2021-05-14 | 太平金融科技服务(上海)有限公司 | 数据操作请求处理方法、装置、计算机设备和存储介质 |
| CN112800033B (zh) * | 2021-03-18 | 2021-06-25 | 太平金融科技服务(上海)有限公司 | 数据操作请求处理方法、装置、计算机设备和存储介质 |
| CN115118765A (zh) * | 2022-06-20 | 2022-09-27 | 北京京东乾石科技有限公司 | 服务处理的方法、装置、电子设备和存储介质 |
| CN115118765B (zh) * | 2022-06-20 | 2024-04-05 | 北京京东乾石科技有限公司 | 服务处理的方法、装置、电子设备和存储介质 |
| CN115480914A (zh) * | 2022-09-02 | 2022-12-16 | 江苏安超云软件有限公司 | 一种多租户服务的实现方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110830351B (zh) | 2023-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082304B2 (en) | Methods, systems, and computer readable media for providing a multi-tenant software-defined wide area network (SD-WAN) node | |
| US11411995B2 (en) | Infrastructure level LAN security | |
| US8607301B2 (en) | Deploying group VPNS and security groups over an end-to-end enterprise network | |
| US7086086B2 (en) | System and method for maintaining N number of simultaneous cryptographic sessions using a distributed computing environment | |
| US11621945B2 (en) | Method and system for secure communications | |
| US9871766B2 (en) | Secure path determination between devices | |
| US9185097B2 (en) | Method and system for traffic engineering in secured networks | |
| US6484257B1 (en) | System and method for maintaining N number of simultaneous cryptographic sessions using a distributed computing environment | |
| US8650618B2 (en) | Integrating service insertion architecture and virtual private network | |
| CN110830351B (zh) | 基于SaaS服务模式的租户管理及服务提供方法、装置 | |
| US9516061B2 (en) | Smart virtual private network | |
| US10205706B2 (en) | System and method for programmable network based encryption in software defined networks | |
| US8418244B2 (en) | Instant communication with TLS VPN tunnel management | |
| US8104082B2 (en) | Virtual security interface | |
| JP2019525669A (ja) | ネットワーク制御システムのパブリッククラウドへの拡張 | |
| US20110113236A1 (en) | Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism | |
| US10476850B2 (en) | Supporting unknown unicast traffic using policy-based encryption virtualized networks | |
| WO2008039506A2 (en) | Deploying group vpns and security groups over an end-to-end enterprise network and ip encryption for vpns | |
| US11936613B2 (en) | Port and loopback IP addresses allocation scheme for full-mesh communications with transparent TLS tunnels | |
| EP3288235B1 (en) | System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures | |
| CA2680599A1 (en) | A method and system for automatically configuring an ipsec-based virtual private network | |
| CN107135226B (zh) | 基于socks5的传输层代理通信方法 | |
| US20240195795A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity | |
| CN116546075A (zh) | 网络设备、用于计算机网络的方法和客户端设备 | |
| WO2020011332A1 (en) | System and method for creating a secure connection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |