一種云計(jì)算環(huán)境下云資源授權(quán)的方法
【專利摘要】一種云計(jì)算環(huán)境下云資源授權(quán)的方法,在需要添加新的云資源時(shí)���,進(jìn)行授權(quán)步驟�����,授權(quán)許可證生成模塊根據(jù)輸入的云資源的唯一標(biāo)識(shí)信息�����,使用加密算法生成密鑰對(duì)和序列號(hào)�,在需要使用新的云資源時(shí)���,進(jìn)行驗(yàn)證步驟�,云資源授權(quán)驗(yàn)證模塊對(duì)認(rèn)證文件進(jìn)行自動(dòng)檢測(cè)�����,如果驗(yàn)證結(jié)果正確�����,則云資源授權(quán)驗(yàn)證模塊對(duì)云資源的序列號(hào)進(jìn)行解密,將解密后的信息與云資源實(shí)時(shí)真實(shí)信息進(jìn)行比較驗(yàn)證��。通過本發(fā)明�,云平臺(tái)運(yùn)營(yíng)商可以通過授權(quán)機(jī)制對(duì)其平臺(tái)中,不同租戶使用的云資源進(jìn)行合法性驗(yàn)證����,確保彼此之間的隔離,而云平臺(tái)軟硬件廠商可對(duì)其出售的產(chǎn)品進(jìn)行使用合法性驗(yàn)證���,從而防止云計(jì)算服務(wù)提供商隨意變更產(chǎn)品的適用范圍����,保護(hù)自己的合法利益不受損失�。
【專利說明】一種云計(jì)算環(huán)境下云資源授權(quán)的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計(jì)算安全【技術(shù)領(lǐng)域】,尤其涉及一種云計(jì)算環(huán)境下云資源授權(quán)的方法���。
【背景技術(shù)】
[0002]云計(jì)算是一種動(dòng)態(tài)的、易擴(kuò)展的���、基于虛擬化的資源計(jì)算方式����,通常是通過互聯(lián)網(wǎng)提供,用戶不需要了解云內(nèi)部的細(xì)節(jié)��。云計(jì)算服務(wù)包括3層����,基礎(chǔ)設(shè)施即服務(wù)(IaaS)、基礎(chǔ)平臺(tái)即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)�����?����;A(chǔ)設(shè)施即服務(wù)是針對(duì)網(wǎng)絡(luò)�����、主機(jī)����、存儲(chǔ)等基礎(chǔ)資源進(jìn)行管理,是云計(jì)算體系的基石��,是實(shí)現(xiàn)云計(jì)算的第一步�����;基礎(chǔ)平臺(tái)即服務(wù)是針對(duì)中間件、數(shù)據(jù)庫(kù)等進(jìn)行管理�����;軟件即服務(wù)針對(duì)用戶應(yīng)用進(jìn)行管理�。
[0003]在云計(jì)算環(huán)境下,云計(jì)算資源管理平臺(tái)主要是IaaS層面的管理��,即將服務(wù)器����、存儲(chǔ)和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施進(jìn)行虛擬PC,建立一個(gè)靈活的資源池����,實(shí)現(xiàn)資源的自動(dòng)調(diào)配。一般來說����,云計(jì)算資源管理平臺(tái)由云計(jì)算平臺(tái)軟硬件廠商負(fù)責(zé)建設(shè),交由云計(jì)算服務(wù)提供商進(jìn)行運(yùn)營(yíng)�����。
[0004]目前����,常見的云資源主要包括物理設(shè)備資源(主要包括服務(wù)器、存儲(chǔ)���、網(wǎng)絡(luò))和邏輯資源(計(jì)算�����、存儲(chǔ)�、網(wǎng)絡(luò)�����、應(yīng)用)�,其中主機(jī)服務(wù)器資源,包括微軟的Hyper-V�、VMware (虛擬機(jī)軟件)的ESX1、Citrix (思杰系統(tǒng)有限公司)的Xen����、IBM的PowerVM、OpenStack (由美國(guó)航空航天局NASA和Rackspace公司等發(fā)起,超過200家廠商參與的一個(gè)云計(jì)算開源項(xiàng)目����,遵循Apache許可證授權(quán))的Nova-Computer以及開源服務(wù)器虛擬化軟件KVM等��。
[0005]現(xiàn)階段云資源管理平臺(tái)存在的普遍缺點(diǎn)在于:缺少一種合法性授權(quán)機(jī)制來判定哪些資源����,包括物理的和邏輯的資源�,是可以合法地接入云計(jì)算平臺(tái)并對(duì)外提供服務(wù)的。對(duì)這種授權(quán)機(jī)制的普遍需求存在于云平臺(tái)運(yùn)營(yíng)商和建設(shè)云平臺(tái)的軟硬件廠商中�����。對(duì)于云平臺(tái)運(yùn)營(yíng)商來說�,他們需要這種授權(quán)機(jī)制來向其租戶(即云平臺(tái)資源的使用方)保證“該租戶使用的邏輯資源或物理資源僅被其獨(dú)占,而不會(huì)給其他租戶使用”;對(duì)于建設(shè)云平臺(tái)的軟硬件廠商來說���,他們需要這種授權(quán)機(jī)制來防止自己的軟硬件產(chǎn)品被隨意濫用����,從而保障自己的合法權(quán)益���。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提供一種云計(jì)算環(huán)境下云資源授權(quán)的方法�,將云資源抽象成唯一的標(biāo)識(shí)信息,并通過序列號(hào)授權(quán)機(jī)制�,對(duì)云資源進(jìn)行授權(quán)�����,所有在云平臺(tái)中對(duì)云資源的使用都基于這一唯一標(biāo)識(shí)進(jìn)行��,沒有標(biāo)識(shí)或錯(cuò)誤標(biāo)識(shí)的云資源無法接入云平臺(tái)或者無法被用戶使用��,從而保證了云資源的唯一性和合法性�。
[0007]為了達(dá)到上述目的,本發(fā)明提供一種云計(jì)算環(huán)境下云資源授權(quán)的方法����,該云資源授權(quán)的方法包含授權(quán)步驟和驗(yàn)證步驟,所述的授權(quán)步驟通過設(shè)置在云資源平臺(tái)上的授權(quán)許可證生成模塊完成�,所述的驗(yàn)證步驟通過設(shè)置在云資源平臺(tái)上的云資源授權(quán)驗(yàn)證模塊完成; 在需要添加新的云資源時(shí)�,進(jìn)行授權(quán)步驟,所述的授權(quán)步驟包含以下步驟:
步驟1.1�����、資源添加方將需要添加到云資源平臺(tái)的云資源的唯一標(biāo)識(shí)信息輸入到授權(quán)許可證生成模塊��;
步驟1.2、授權(quán)許可證生成模塊根據(jù)輸入的云資源的唯一標(biāo)識(shí)信息����,使用加密算法生成密鑰對(duì)和序列號(hào);
在需要使用新的云資源時(shí)��,進(jìn)行驗(yàn)證步驟���,所述的驗(yàn)證步驟包含以下步驟:
步驟2.1�����、將云資源的序列號(hào)輸入云資源平臺(tái)上的授權(quán)驗(yàn)證模塊�;
步驟2.2����、云資源授權(quán)驗(yàn)證模塊對(duì)輸入的這個(gè)序列號(hào)進(jìn)行有效性檢驗(yàn),如果輸入有效則進(jìn)入步驟3���,否則返回“輸入無效”狀態(tài)����,要求重新輸入�;
步驟2.3、云資源授權(quán)驗(yàn)證模塊對(duì)云資源的序列號(hào)進(jìn)行解密,將解密后的信息與之前申請(qǐng)序列號(hào)時(shí)所提交的云資源信息進(jìn)行比較��,如果信息一致�,則通過驗(yàn)證,云資源授權(quán)驗(yàn)證模塊向平臺(tái)返回驗(yàn)證結(jié)果��,并將該云資源授權(quán)給云資源平臺(tái)的用戶�,如果信息不一致��,則未通過驗(yàn)證����,云資源授權(quán)驗(yàn)證模塊向平臺(tái)返回驗(yàn)證結(jié)果,用戶不能獲得授權(quán)也無法進(jìn)行進(jìn)一步操作����,即無法訪問或使用該資源。
[0008]所述的步驟1.1中�����,在云平臺(tái)運(yùn)營(yíng)商和云平臺(tái)軟硬件廠商交互的場(chǎng)景中����,所述的資源添加方是云平臺(tái)運(yùn)營(yíng)商,在云平臺(tái)租戶和云平臺(tái)運(yùn)營(yíng)商交互的場(chǎng)景中,所述的資源添加方是云平臺(tái)租戶��。
[0009]硬件云資源的唯一標(biāo)識(shí)信息為硬件ID信息��,軟件運(yùn)資源的唯一標(biāo)識(shí)信息為軟件
唯一標(biāo)示信息�。
[0010]所述的步驟1.2包含以下步驟:
步驟1.2.1、授權(quán)許可證生成模塊根據(jù)輸入的云資源的唯一標(biāo)識(shí)信息�,生成密鑰對(duì),該密鑰對(duì)包含唯一對(duì)應(yīng)所述云資源的公開密鑰和私有密鑰���;
步驟1.2.2����、將所述的私有密鑰保存在授權(quán)許可證生成模塊內(nèi)�,利用公開密鑰生成認(rèn)證文件,并將公開密鑰和認(rèn)證文件保存在云資源授權(quán)驗(yàn)證模塊內(nèi)�����;
步驟1.2.3�����、授權(quán)許可證生成模塊利用私有密鑰和輸入的云資源的唯一標(biāo)識(shí)信息��,生成序列號(hào)。
[0011]所述的步驟1.2.3中��,
在云平臺(tái)運(yùn)營(yíng)商和云平臺(tái)軟硬件廠商交互的場(chǎng)景中���,將序列號(hào)發(fā)送給云平臺(tái)運(yùn)營(yíng)商�,云平臺(tái)軟硬件廠商同時(shí)也對(duì)新添加的云資源進(jìn)行注冊(cè)��,記錄云資源的序列號(hào)�;
在云平臺(tái)租戶和云平臺(tái)運(yùn)營(yíng)商交互的場(chǎng)景中,將序列號(hào)發(fā)送給云平臺(tái)租戶���,云平臺(tái)運(yùn)營(yíng)商同時(shí)也對(duì)新添加的云資源進(jìn)行注冊(cè),記錄云資源的序列號(hào)�。
[0012]所述的步驟1.2.3中,云平臺(tái)軟硬件廠商對(duì)新添加的云資源進(jìn)行注冊(cè)時(shí)����,還記錄用戶的標(biāo)識(shí),虛擬機(jī)標(biāo)識(shí)���,不易被改變的資源路徑�����。
[0013]所述的步驟2.2中���,有效性驗(yàn)證是根據(jù)授權(quán)時(shí)所使用的加密算法���,驗(yàn)證序列號(hào)的長(zhǎng)度、字符串組成�����,是否為一個(gè)有效的輸入�����。
[0014]在云平臺(tái)運(yùn)營(yíng)商和云平臺(tái)軟硬件廠商的場(chǎng)景中��,授權(quán)許可證生成模塊部署在第三方或者云平臺(tái)軟硬件廠商處��,云資源授權(quán)驗(yàn)證模塊部署在第三方�、云平臺(tái)軟硬件廠商或者云平臺(tái)運(yùn)營(yíng)商處;在云平臺(tái)租戶和云平臺(tái)運(yùn)營(yíng)商的場(chǎng)景中�����,授權(quán)許可證生成模塊和云資源授權(quán)驗(yàn)證模塊都部署在云平臺(tái)運(yùn)營(yíng)商或者第三方處�����。[0015]本發(fā)明還提供一種實(shí)現(xiàn)云計(jì)算環(huán)境下云資源授權(quán)方法的設(shè)備,該設(shè)備包含設(shè)置在云資源平臺(tái)上的授權(quán)許可證生成模塊和云資源授權(quán)驗(yàn)證模塊����;
所述的授權(quán)許可證生成模塊包含:
輸入模塊,用于輸入云資源的唯一標(biāo)識(shí)信息����;
密鑰生成模塊,用于生成密鑰對(duì)��;
密鑰管理模塊��,其連接輸入模塊和密鑰生成模塊��,用于保存私有密鑰�;
認(rèn)證文件生成模塊�,其連接密鑰管理模塊,用于利用公開密鑰生成認(rèn)證文件��;
授權(quán)許可證輸出模塊��,其連接密鑰管理模塊���,用于利用私有密鑰和輸入的云資源的唯一標(biāo)識(shí)信息�,生成序列號(hào);
所述的云資源授權(quán)驗(yàn)證模塊包含:
認(rèn)證文件管理模塊�,用于保存公開密鑰和認(rèn)證文件;
自檢模塊�,其連接認(rèn)證文件管理模塊,用于驗(yàn)證認(rèn)證文件�;
驗(yàn)證模塊,其連接自檢模塊����,用于解密云資源的序列號(hào),并將解密后的信息與云資源的真實(shí)信息進(jìn)行比較判斷���;
資源管理模塊���,其連接驗(yàn)證模塊,用于保存通過驗(yàn)證的云資源的具體信息����;
控制模塊,其連接資源管理模塊��,用于統(tǒng)一調(diào)度管理通過驗(yàn)證的云資源����。
[0016]本發(fā)明提供了云平臺(tái)中云資源合法性授權(quán)機(jī)制����,通過本發(fā)明�,云平臺(tái)運(yùn)營(yíng)商可以通過授權(quán)機(jī)制對(duì)其平臺(tái)中,不同租戶使用的云資源進(jìn)行合法性驗(yàn)證�����,確保彼此之間的隔離�����,而云平臺(tái)軟硬件廠商可對(duì)其出售的產(chǎn)品進(jìn)行使用合法性驗(yàn)證��,從而防止云計(jì)算服務(wù)提供商隨意變更產(chǎn)品的適用范圍�,保護(hù)自己的合法利益不受損失。
【專利附圖】
【附圖說明】
[0017]圖1是本發(fā)明的授權(quán)步驟的流程圖��;
圖2是本發(fā)明的驗(yàn)證步驟的流程圖���;
圖3是本發(fā)明的授權(quán)許可證生成模塊的示意圖;
圖4是本發(fā)明的云資源授權(quán)驗(yàn)證模塊的示意圖���。
【具體實(shí)施方式】
[0018]以下根據(jù)圖1?圖4�,具體說明本發(fā)明的較佳實(shí)施例。
[0019]本發(fā)明提供一種云計(jì)算環(huán)境下云資源授權(quán)的方法�,該云資源授權(quán)的方法包含授權(quán)步驟和驗(yàn)證步驟。所述的授權(quán)步驟通過設(shè)置在云資源平臺(tái)上的授權(quán)許可證生成模塊完成���,所述的驗(yàn)證步驟通過設(shè)置在云資源平臺(tái)上的云資源授權(quán)驗(yàn)證模塊完成����。
[0020]實(shí)施例1�,在云平臺(tái)運(yùn)營(yíng)商和云平臺(tái)軟硬件廠商交互的場(chǎng)景中。
[0021]授權(quán)許可證生成模塊部署在云平臺(tái)軟硬件廠商處��,云資源授權(quán)驗(yàn)證模塊部署在云平臺(tái)軟硬件廠商或者云平臺(tái)運(yùn)營(yíng)商處�����;
如圖1所示�����,在需要添加新的云資源時(shí)���,進(jìn)行授權(quán)步驟�����,該授權(quán)步驟通過設(shè)置在云資源平臺(tái)上的授權(quán)許可證生成模塊完成�����,所述的授權(quán)步驟包含以下步驟:
步驟1�����、資源添加方將需要添加到云資源平臺(tái)的云資源的唯一標(biāo)識(shí)信息輸入到授權(quán)許可證生成模塊�����; 所述的資源添加方是云平臺(tái)運(yùn)營(yíng)商�;
添加的是硬件云資源,云資源的唯一標(biāo)識(shí)信息為硬件ID信息(通常正規(guī)廠商的硬件產(chǎn)品都有一個(gè)唯一的產(chǎn)品標(biāo)識(shí)���,稱為硬件ID,不易被人為修改)���;
例如:當(dāng)云平臺(tái)運(yùn)營(yíng)商需要添加硬件新資源時(shí),例如一臺(tái)x86服務(wù)器���,可以將硬件ID信息提交給云平臺(tái)軟硬件廠商����;
在實(shí)際使用中�,由于一些廠商的產(chǎn)品并不一定具有唯一標(biāo)識(shí),所以也可以采用其他人工標(biāo)識(shí)信息����,如用戶的標(biāo)識(shí),虛擬機(jī)標(biāo)識(shí)��,不易被改變的資源路徑(URL)等來用做密鑰生成的輸入�����;
步驟2�、授權(quán)許可證生成模塊根據(jù)輸入的云資源的唯一標(biāo)識(shí)信息,使用加密算法生成密鑰對(duì)和序列號(hào)��;
所述的步驟2包含以下步驟:
步驟2.1��、授權(quán)許可證生成模塊根據(jù)輸入的云資源的唯一標(biāo)識(shí)信息��,生成密鑰對(duì)��,該密鑰對(duì)包含唯一對(duì)應(yīng)所述云資源的公開密鑰和私有密鑰;
步驟2.2���、將所述的私有密鑰保存在授權(quán)許可證生成模塊內(nèi)����,利用公開密鑰生成認(rèn)證文件�,并將公開密鑰和認(rèn)證文件保存在云資源授權(quán)驗(yàn)證模塊內(nèi);
步驟2.3��、授權(quán)許可證生成模塊利用私有密鑰和輸入的云資源的唯一標(biāo)識(shí)信息��,生成序列號(hào)����,將序列號(hào)發(fā)送給云平臺(tái)運(yùn)營(yíng)商,云平臺(tái)軟硬件廠商同時(shí)也對(duì)新添加的云資源進(jìn)行注冊(cè)���,記錄云資源的序列號(hào)和其他資源信息����,如用戶的標(biāo)識(shí)�����,虛擬機(jī)標(biāo)識(shí),不易被改變的資源路徑(URL)等�。
[0022]序列號(hào)生成算法,可使用現(xiàn)有的各種公開加密算法或自行實(shí)現(xiàn)的算法加以實(shí)現(xiàn)�。
[0023]如圖2所示���,在需要使用新的云資源時(shí)�����,進(jìn)行驗(yàn)證步驟����,該驗(yàn)證步驟通過設(shè)置在云資源平臺(tái)上的云資源授權(quán)驗(yàn)證模塊完成�����,所述的驗(yàn)證步驟包含以下步驟:
步驟1�、將云資源的序列號(hào)輸入云資源平臺(tái)上的授權(quán)驗(yàn)證模塊;
這個(gè)輸入過程可以是自動(dòng)的通過程序方式提交給授權(quán)驗(yàn)證模塊����,也可以是手工輸入;步驟2�����、云資源授權(quán)驗(yàn)證模塊對(duì)輸入的序列號(hào)進(jìn)行有效性檢驗(yàn),根據(jù)授權(quán)時(shí)所使用的加密算法��,驗(yàn)證這個(gè)序列號(hào)的長(zhǎng)度��、字符串組成等���,是否為一個(gè)有效的輸入����,如果輸入有效則進(jìn)入步驟3��,否則返回“輸入無效”狀態(tài)�,要求重新輸入;
步驟3���、云資源授權(quán)驗(yàn)證模塊使用密鑰對(duì)云資源的序列號(hào)進(jìn)行解密�,如采用非對(duì)稱加密算法����,則此處的密鑰為私鑰,將解密后的信息與之前申請(qǐng)序列號(hào)時(shí)所提交的云資源信息進(jìn)行比較���,這些信息在獲取序列號(hào)時(shí)需要保存在文件或數(shù)據(jù)庫(kù)中(這個(gè)文件或數(shù)據(jù)庫(kù)即可以使用授權(quán)驗(yàn)證模塊的一部分�����,也可以獨(dú)立部署于服務(wù)器中����,或由第三方提供網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn))���,如果信息一致�,則通過驗(yàn)證���,云資源授權(quán)驗(yàn)證模塊向平臺(tái)返回驗(yàn)證結(jié)果����,并將該云資源授權(quán)給云資源平臺(tái)的用戶��,如果信息不一致��,則未通過驗(yàn)證�����,云資源授權(quán)驗(yàn)證模塊向平臺(tái)返回驗(yàn)證結(jié)果,用戶不能獲得授權(quán)也無法進(jìn)行進(jìn)一步操作�,即無法訪問或使用該資源。
[0024]實(shí)施例2�����,在云平臺(tái)租戶和云平臺(tái)運(yùn)營(yíng)商交互的場(chǎng)景中����。
[0025]授權(quán)許可證生成模塊和云資源授權(quán)驗(yàn)證模塊都部署在云平臺(tái)運(yùn)營(yíng)商處。
[0026]如圖1所示�,在需要添加新的云資源時(shí),進(jìn)行授權(quán)步驟�����,該授權(quán)步驟通過設(shè)置在云資源平臺(tái)上的授權(quán)許可證生成模塊完成�,所述的授權(quán)步驟包含以下步驟:
步驟1、資源添加方將需要添加到云資源平臺(tái)的云資源的唯一標(biāo)識(shí)信息輸入到授權(quán)許可證生成模塊��;
所述的資源添加方是云平臺(tái)租戶����;
添加的是軟件云資源,通常是對(duì)軟件或軟件實(shí)例��,云資源的唯一標(biāo)識(shí)信息為軟件唯一標(biāo)示信息;
例如:當(dāng)云平臺(tái)租戶需要添加新軟件資源����,比如一個(gè)虛擬機(jī)實(shí)例,此時(shí)的授權(quán)可以基于該租戶的唯一標(biāo)識(shí)信息加上該虛擬機(jī)實(shí)例的唯一標(biāo)識(shí)信息共同組成唯一標(biāo)示信息���;
步驟2���、授權(quán)許可證生成模塊根據(jù)輸入的云資源的唯一標(biāo)識(shí)信息,使用加密算法生成密鑰對(duì)和序列號(hào)��;
所述的步驟2包含以下步驟:
步驟2.1�、授權(quán)許可證生成模塊根據(jù)輸入的云資源的唯一標(biāo)識(shí)信息�����,生成密鑰對(duì)���,該密鑰對(duì)包含唯一對(duì)應(yīng)所述云資源的公開密鑰和私有密鑰�����;
步驟2.2��、將所述的私有密鑰保存在授權(quán)許可證生成模塊內(nèi)�����,利用公開密鑰生成認(rèn)證文件����,并將公開密鑰和認(rèn)證文件保存在云資源授權(quán)驗(yàn)證模塊內(nèi);
步驟2.3���、授權(quán)許可證生成模塊利用私有密鑰和輸入的云資源的唯一標(biāo)識(shí)信息�����,生成序列號(hào)�,將序列號(hào)發(fā)送給云平臺(tái)租戶�����,云平臺(tái)運(yùn)營(yíng)商同時(shí)也對(duì)新添加的云資源進(jìn)行注冊(cè)�����,記錄云資源的序列號(hào)和其他資源信息,如用戶的標(biāo)識(shí)�,虛擬機(jī)標(biāo)識(shí),不易被改變的資源路徑(URL)等�。
[0027]序列號(hào)生成算法,可使用現(xiàn)有的各種公開加密算法或自行實(shí)現(xiàn)的算法加以實(shí)現(xiàn)���。
[0028]如圖2所示��,在需要使用新的云資源時(shí)�����,進(jìn)行驗(yàn)證步驟�,該驗(yàn)證步驟通過設(shè)置在云資源平臺(tái)上的云資源授權(quán)驗(yàn)證模塊完成��,所述的驗(yàn)證步驟包含以下步驟:
步驟1�����、將云資源的序列號(hào)輸入云資源平臺(tái)上的授權(quán)驗(yàn)證模塊�����;
這個(gè)輸入過程可以是自動(dòng)的通過程序方式提交給授權(quán)驗(yàn)證模塊���,也可以是手工輸入�;步驟2�、云資源授權(quán)驗(yàn)證模塊對(duì)輸入的序列號(hào)進(jìn)行有效性檢驗(yàn),根據(jù)授權(quán)時(shí)所使用的加密算法���,驗(yàn)證這個(gè)序列號(hào)的長(zhǎng)度����、字符串組成等�,是否為一個(gè)有效的輸入,如果輸入有效則進(jìn)入步驟3�����,否則返回“輸入無效”狀態(tài)�����,要求重新輸入��;
步驟3�、云資源授權(quán)驗(yàn)證模塊使用密鑰對(duì)云資源的序列號(hào)進(jìn)行解密,如采用非對(duì)稱加密算法�����,則此處的密鑰為私鑰,將解密后的信息與之前申請(qǐng)序列號(hào)時(shí)所提交的云資源信息進(jìn)行比較��,這些信息在獲取序列號(hào)時(shí)需要保存在文件或數(shù)據(jù)庫(kù)中(這個(gè)文件或數(shù)據(jù)庫(kù)即可以使用授權(quán)驗(yàn)證模塊的一部分����,也可以獨(dú)立部署于服務(wù)器中,或由第三方提供網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn))�����,如果信息一致���,則通過驗(yàn)證��,云資源授權(quán)驗(yàn)證模塊向平臺(tái)返回驗(yàn)證結(jié)果����,并將該云資源授權(quán)給云資源平臺(tái)的用戶�����,如果信息不一致��,則未通過驗(yàn)證��,云資源授權(quán)驗(yàn)證模塊向平臺(tái)返回驗(yàn)證結(jié)果��,用戶不能獲得授權(quán)也無法進(jìn)行進(jìn)一步操作����,即無法訪問或使用該資源。
[0029]本發(fā)明所描述的場(chǎng)景中��,交互的實(shí)體并不僅限于云平臺(tái)運(yùn)營(yíng)商和云平臺(tái)軟硬件廠商之間��,也適用于云平臺(tái)使用方(租戶)與云平臺(tái)運(yùn)營(yíng)商之間����,對(duì)于沒有條件或難以實(shí)現(xiàn)本發(fā)明所描述的機(jī)制的情況,也可以將授權(quán)許可證生成模塊和云資源授權(quán)驗(yàn)證模塊托管給第三方機(jī)構(gòu)�����。
[0030]如圖3所示����,所述的授權(quán)許可證生成模塊包含:
輸入模塊101,用于輸入云資源的唯一標(biāo)識(shí)信息;
密鑰生成模塊102�����,用于生成密鑰對(duì); 密鑰管理模塊103�����,其連接輸入模塊101和密鑰生成模塊102����,用于保存私有密鑰;認(rèn)證文件生成模塊104���,其連接密鑰管理模塊103����,用于利用公開密鑰生成認(rèn)證文件�����;授權(quán)許可證輸出模塊105�����,其連接密鑰管理模塊103�����,用于利用私有密鑰和輸入的云資源的唯一標(biāo)識(shí)信息�,生成序列號(hào);
如圖4所示�,所述的云資源授權(quán)驗(yàn)證模塊包含:
認(rèn)證文件管理模塊201,用于保存公開密鑰和認(rèn)證文件��;
自檢模塊202��,其連接認(rèn)證文件管理模塊201����,用于驗(yàn)證認(rèn)證文件;
驗(yàn)證模塊203���,其連接自檢模塊202�,用于解密云資源的序列號(hào)�����,并將解密后的信息與云資源的真實(shí)信息進(jìn)行比較判斷��;
資源管理模塊204����,其連接驗(yàn)證模塊203�,用于保存通過驗(yàn)證的云資源的具體信息����;
控制模塊205,其連接資源管理模塊204����,用于統(tǒng)一調(diào)度管理通過驗(yàn)證的云資源。
[0031]本發(fā)明的基本原理是:將傳統(tǒng)序列號(hào)授權(quán)機(jī)制基于公開密鑰算法����,在本發(fā)明中采用本領(lǐng)域技術(shù)人員所公知的非對(duì)稱加密算法(asymmetric cryptographic algorithm)為基礎(chǔ),因?yàn)榉菍?duì)稱加密算法包含的兩個(gè)密鑰���,即:公開密鑰(publickey)和私有密鑰(privatekey)�。典型的非對(duì)稱加密算法實(shí)現(xiàn)基本過程是:甲方生成一對(duì)密鑰并將其中的一把作為公用密鑰向其它方公開��;得到該公用密鑰的乙方使用該密鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給甲方���;甲方再用自己保存的另一把專用密鑰對(duì)加密后的信息進(jìn)行解密�。另一方面,甲方可以使用乙方的公鑰對(duì)機(jī)密信息進(jìn)行簽名后再發(fā)送給乙方�;乙方再用自己的私匙對(duì)數(shù)據(jù)進(jìn)行驗(yàn)簽。甲方只能用其專用密鑰解密由其公用密鑰加密后的任何信息�����。非對(duì)稱加密算法的保密性比較好����,它消除了最終用戶交換密鑰的需要��。常用的非對(duì)稱加密算法如RSA���、ECC等����,都可用作本發(fā)明的具體實(shí)現(xiàn)�。
[0032]上述特性中,云資源的唯一標(biāo)識(shí)(在實(shí)際使用中�,由于一些廠商的產(chǎn)品并不一定具有唯一標(biāo)識(shí),所以也可以采用其他人工標(biāo)識(shí)信息來用做密鑰生成的輸入)用作密鑰生成的輸入����,生成一對(duì)唯一對(duì)應(yīng)該云資源的公開密鑰和私有密鑰;其中,公有密鑰返還給甲方����,比如甲方是云平臺(tái)運(yùn)營(yíng)商,那么公共密鑰就對(duì)應(yīng)于具體的一臺(tái)物理設(shè)備或者一個(gè)軟件(或軟件的運(yùn)行實(shí)例)�����,在它第一次被授權(quán)時(shí)記錄下來��,每次當(dāng)這個(gè)物理設(shè)備或者軟件被使用時(shí)�����,均會(huì)進(jìn)行一個(gè)逆向驗(yàn)證�。由于非對(duì)稱加密算法的自有特性,可以讓使得計(jì)算與反計(jì)算序列號(hào)所使用的兩個(gè)參數(shù)相互分離��,難于破解�����。使得序列號(hào)生成與逆向驗(yàn)證兩個(gè)算法完全獨(dú)立���。能有效防止攻擊者通過破解逆向驗(yàn)證算法對(duì)該授權(quán)機(jī)制進(jìn)行攻擊���,從而保證了該授權(quán)機(jī)制的可靠性和安全性��。通常��,這種逆向驗(yàn)證由第三方或者乙方提供遠(yuǎn)程服務(wù)是比較可靠的實(shí)現(xiàn)方式�,在軟件中實(shí)現(xiàn)離線驗(yàn)證也是有效的�����。
[0033]本發(fā)明將硬件標(biāo)識(shí)與軟件標(biāo)識(shí)相結(jié)合�,這一特性特別適用于“軟件定義一切”的云計(jì)算環(huán)境�,使得一個(gè)云資源,無論是物理的或是邏輯的�����,均可唯一標(biāo)識(shí)某一特定云資源�����,能夠防止云資源的重名與資源偽造���,保障了該授權(quán)機(jī)制的合理可靠��。
[0034]本發(fā)明與現(xiàn)有技術(shù)相比�����,優(yōu)勢(shì)主要體現(xiàn)在以下方面:
基于唯一資源標(biāo)識(shí):使用硬件特有的資源ID標(biāo)識(shí)或軟件標(biāo)識(shí)��,通過非對(duì)稱加密算法計(jì)算形成一對(duì)唯一與之對(duì)應(yīng)的公共密鑰和私有密鑰��,并以此為基礎(chǔ)對(duì)資源或軟件的使用進(jìn)行授權(quán)和驗(yàn)證��,由于這種標(biāo)識(shí)和硬件設(shè)備綁定能夠防止被篡改��,從而提高資源授權(quán)機(jī)制的有效性����。[0035]硬件設(shè)備的ID標(biāo)識(shí),通常是由廠家在出廠時(shí)一次性注入的��,難以被人為篡改(t匕如:服務(wù)器主板的標(biāo)識(shí)信息)���;軟件標(biāo)識(shí)信息由廠家提供或系統(tǒng)生成�。將這些具有唯一標(biāo)識(shí)作用的信息輸入并生成的一對(duì)密鑰�,才具有如本發(fā)明的授權(quán)機(jī)制所描述的作用。
[0036]多種云資源支持:本發(fā)明支持多種云資源����,包括計(jì)算���、存儲(chǔ)、網(wǎng)絡(luò)���,應(yīng)用�。
[0037]資源授權(quán)保護(hù):本發(fā)明對(duì)云資源進(jìn)行授權(quán)����,可以對(duì)云資源管理平臺(tái)進(jìn)行資源驗(yàn)證,屏蔽運(yùn)營(yíng)商非法的云資源�,從而幫助云資源管理平臺(tái)提供商對(duì)管理平臺(tái)服務(wù)范圍進(jìn)行合理分級(jí)�����,保護(hù)平臺(tái)提供商的合法權(quán)益���。
[0038]模塊獨(dú)立:本發(fā)明的授權(quán)許可證生成模塊和云資源授權(quán)驗(yàn)證模塊作為獨(dú)立的模塊���,可以部署在不同的地方,以方便在各種不同場(chǎng)景下的云資源平臺(tái)中進(jìn)行集成���。例如�,在云平臺(tái)運(yùn)營(yíng)商和云平臺(tái)軟硬件廠商的場(chǎng)景中,授權(quán)許可證生成模塊部署在第三方或者云平臺(tái)軟硬件廠商處����,云資源授權(quán)驗(yàn)證模塊部署在第三方、云平臺(tái)軟硬件廠商或者云平臺(tái)運(yùn)營(yíng)商處�;而在云平臺(tái)租戶和云平臺(tái)運(yùn)營(yíng)商的場(chǎng)景中,授權(quán)許可證生成模塊和云資源授權(quán)驗(yàn)證模塊都部署在云平臺(tái)運(yùn)營(yíng)商或者第三方處����,它們不必存在于同一臺(tái)物理設(shè)備,但在遠(yuǎn)程進(jìn)行驗(yàn)證時(shí)需要必要的網(wǎng)絡(luò)連通��。采用相對(duì)獨(dú)立的模塊可實(shí)現(xiàn)模塊的分散部署并掌握在不同方手中��,從而提高本發(fā)明所設(shè)計(jì)的授權(quán)機(jī)制的可靠性��、安全性和靈活性。
[0039]操作簡(jiǎn)便:本發(fā)明操作簡(jiǎn)便,上手即會(huì)�,無需特意培訓(xùn)。
[0040]安全可靠:本發(fā)明基于國(guó)際通用的公鑰密碼算法,該密碼的強(qiáng)壯度經(jīng)過多年國(guó)際考驗(yàn),安全可靠。
[0041]盡管本發(fā)明的內(nèi)容已經(jīng)通過上述優(yōu)選實(shí)施例作了詳細(xì)介紹��,但應(yīng)當(dāng)認(rèn)識(shí)到上述的描述不應(yīng)被認(rèn)為是對(duì)本發(fā)明的限制�。在本領(lǐng)域技術(shù)人員閱讀了上述內(nèi)容后,對(duì)于本發(fā)明的多種修改和替代都將是顯而易見的�����。因此���,本發(fā)明的保護(hù)范圍應(yīng)由所附的權(quán)利要求來限定����。
【權(quán)利要求】
1.一種云計(jì)算環(huán)境下云資源授權(quán)的方法����,其特征在于,該云資源授權(quán)的方法包含授權(quán)步驟和驗(yàn)證步驟���,所述的授權(quán)步驟通過設(shè)置在云資源平臺(tái)上的授權(quán)許可證生成模塊完成����,所述的驗(yàn)證步驟通過設(shè)置在云資源平臺(tái)上的云資源授權(quán)驗(yàn)證模塊完成����; 在需要添加新的云資源時(shí)����,進(jìn)行授權(quán)步驟�����,所述的授權(quán)步驟包含以下步驟: 步驟1.1���、資源添加方將需要添加到云資源 平臺(tái)的云資源的唯一標(biāo)識(shí)信息輸入到授權(quán)許可證生成模塊; 步驟1.2�、授權(quán)許可證生成模塊根據(jù)輸入的云資源的唯一標(biāo)識(shí)信息,使用加密算法生成密鑰對(duì)和序列號(hào)���; 在需要使用新的云資源時(shí)���,進(jìn)行驗(yàn)證步驟,所述的驗(yàn)證步驟包含以下步驟: 步驟2.1����、將云資源的序列號(hào)輸入云資源平臺(tái)上的授權(quán)驗(yàn)證模塊; 步驟2.2��、云資源授權(quán)驗(yàn)證模塊對(duì)輸入的這個(gè)序列號(hào)進(jìn)行有效性檢驗(yàn)���,如果輸入有效則進(jìn)入步驟3�,否則返回“輸入無效”狀態(tài),要求重新輸入����; 步驟2.3、云資源授權(quán)驗(yàn)證模塊對(duì)云資源的序列號(hào)進(jìn)行解密�����,將解密后的信息與之前申請(qǐng)序列號(hào)時(shí)所提交的云資源信息進(jìn)行比較�����,如果信息一致�����,則通過驗(yàn)證�����,云資源授權(quán)驗(yàn)證模塊向平臺(tái)返回驗(yàn)證結(jié)果�,并將該云資源授權(quán)給云資源平臺(tái)的用戶,如果信息不一致���,則未通過驗(yàn)證���,云資源授權(quán)驗(yàn)證模塊向平臺(tái)返回驗(yàn)證結(jié)果,用戶不能獲得授權(quán)也無法進(jìn)行進(jìn)一步操作���,即無法訪問或使用該資源��。
2.如權(quán)利要求1所述的云計(jì)算環(huán)境下云資源授權(quán)的方法�����,其特征在于����,所述的步驟1.1中���,在云平臺(tái)運(yùn)營(yíng)商和云平臺(tái)軟硬件廠商交互的場(chǎng)景中�����,所述的資源添加方是云平臺(tái)運(yùn)營(yíng)商�����,在云平臺(tái)租戶和云平臺(tái)運(yùn)營(yíng)商交互的場(chǎng)景中�����,所述的資源添加方是云平臺(tái)租戶�。
3.如權(quán)利要求1所述的云計(jì)算環(huán)境下云資源授權(quán)的方法,其特征在于��,硬件云資源的唯一標(biāo)識(shí)信息為硬件ID信息,軟件運(yùn)資源的唯一標(biāo)識(shí)信息為軟件唯一標(biāo)示信息����。
4.如權(quán)利要求1所述的云計(jì)算環(huán)境下云資源授權(quán)的方法,其特征在于��,所述的步驟1.2包含以下步驟: 步驟1.2.1�、授權(quán)許可證生成模塊根據(jù)輸入的云資源的唯一標(biāo)識(shí)信息,生成密鑰對(duì)�,該密鑰對(duì)包含唯一對(duì)應(yīng)所述云資源的公開密鑰和私有密鑰; 步驟1.2.2�����、將所述的私有密鑰保存在授權(quán)許可證生成模塊內(nèi)���,利用公開密鑰生成認(rèn)證文件����,并將公開密鑰和認(rèn)證文件保存在云資源授權(quán)驗(yàn)證模塊內(nèi)���; 步驟1.2.3�����、授權(quán)許可證生成模塊利用私有密鑰和輸入的云資源的唯一標(biāo)識(shí)信息�����,生成序列號(hào)���。
5.如權(quán)利要求4所述的云計(jì)算環(huán)境下云資源授權(quán)的方法,其特征在于��,所述的步驟.1.2.3 中��, 在云平臺(tái)運(yùn)營(yíng)商和云平臺(tái)軟硬件廠商交互的場(chǎng)景中��,將序列號(hào)發(fā)送給云平臺(tái)運(yùn)營(yíng)商����,云平臺(tái)軟硬件廠商同時(shí)也對(duì)新添加的云資源進(jìn)行注冊(cè),記錄云資源的序列號(hào); 在云平臺(tái)租戶和云平臺(tái)運(yùn)營(yíng)商交互的場(chǎng)景中����,將序列號(hào)發(fā)送給云平臺(tái)租戶,云平臺(tái)運(yùn)營(yíng)商同時(shí)也對(duì)新添加的云資源進(jìn)行注冊(cè)�,記錄云資源的序列號(hào)。
6.如權(quán)利要求5所述的云計(jì)算環(huán)境下云資源授權(quán)的方法��,其特征在于��,所述的步驟.1.2.3中��,云平臺(tái)軟硬件廠商對(duì)新添加的云資源進(jìn)行注冊(cè)時(shí)��,還記錄用戶的標(biāo)識(shí)�����,虛擬機(jī)標(biāo)識(shí)��,不易被改變的資源路徑��。
7.如權(quán)利要求6所述的云計(jì)算環(huán)境下云資源授權(quán)的方法��,其特征在于�����,所述的步驟2.2中,有效性驗(yàn)證是根據(jù)授權(quán)時(shí)所使用的加密算法��,驗(yàn)證序列號(hào)的長(zhǎng)度�、字符串組成�,是否為一個(gè)有效的輸入。
8.如權(quán)利要求1-7中任意一個(gè)所述的云計(jì)算環(huán)境下云資源授權(quán)的方法��,其特征在于����,在云平臺(tái)運(yùn)營(yíng)商和云平臺(tái)軟硬件廠商的場(chǎng)景中,授權(quán)許可證生成模塊部署在第三方或者云平臺(tái)軟硬件廠商處�����,云資源授權(quán)驗(yàn)證模塊部署在第三方����、云平臺(tái)軟硬件廠商或者云平臺(tái)運(yùn)營(yíng)商處;在云平臺(tái)租戶和云平臺(tái)運(yùn)營(yíng)商的場(chǎng)景中�����,授權(quán)許可證生成模塊和云資源授權(quán)驗(yàn)證模塊都部署在云平臺(tái)運(yùn)營(yíng)商或者第三方處。
9.一種實(shí)現(xiàn)如權(quán)利要求8所述的云計(jì)算環(huán)境下云資源授權(quán)方法的設(shè)備�����,其特征在于����,該設(shè)備包含設(shè)置在云資源平臺(tái)上的授權(quán)許可證生成模塊和云資源授權(quán)驗(yàn)證模塊; 所述的授權(quán)許可證生成模塊包含: 輸入模塊(101),用于輸入云資源的唯一標(biāo)識(shí)信息����; 密鑰生成模塊(102),用于生成密鑰對(duì)�����; 密鑰管理模塊(103)����,其連接輸入模塊(101)和密鑰生成模塊(102),用于保存私有密鑰��;
認(rèn)證文件生成模塊(104)�,其連接密鑰管理模塊(103),用于利用公開密鑰生成認(rèn)證文件��; 授權(quán)許可證輸出模塊(105),其連接密鑰管理模塊(103)��,用于利用私有密鑰和輸入的云資源的唯一標(biāo)識(shí)信息����,生成序列號(hào); 所述的云資源授權(quán)驗(yàn)證模塊包含: 認(rèn)證文件管理模塊(201 )����,用于保存公開密鑰和認(rèn)證文件; 自檢模塊(202)��,其連接認(rèn)證文件管理模塊(201 )�����,用于驗(yàn)證認(rèn)證文件����; 驗(yàn)證模塊(203)����,其連接自檢模塊(202),用于解密云資源的序列號(hào)�,并將解密后的信息與云資源的真實(shí)信息進(jìn)行比較判斷����; 資源管理模塊(204)��,其連接驗(yàn)證模塊(203)����,用于保存通過驗(yàn)證的云資源的具體信息; 控制模塊(205)�,其連接資源管理模塊(204),用于統(tǒng)一調(diào)度管理通過驗(yàn)證的云資源��。
【文檔編號(hào)】H04L29/06GK103944881SQ201410100954
【公開日】2014年7月23日 申請(qǐng)日期:2014年3月19日 優(yōu)先權(quán)日:2014年3月19日
【發(fā)明者】倪巍, 尹雪蓉 申請(qǐng)人:華存數(shù)據(jù)信息技術(shù)有限公司