專(zhuān)利名稱(chēng):一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)和方法
技術(shù)領(lǐng)域:
本申請(qǐng)涉及云計(jì)算領(lǐng)域,特別涉及云環(huán)境下用戶(hù)加密認(rèn)證和資源單點(diǎn)登錄的一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)和方法。
背景技術(shù):
云計(jì)算涉及到多種計(jì)算機(jī)資源的交互和整合,如硬件基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)系統(tǒng)以及各種應(yīng)用服務(wù)系統(tǒng)等。這些資源在物理上異地分布、邏輯上單一呈現(xiàn),不同資源之間存在不同的用戶(hù)管理策略和調(diào)用接口,它們可以通過(guò)單獨(dú)或聯(lián)合的形式,為用戶(hù)提供根據(jù)其業(yè)務(wù)需求變化的可選擇服務(wù)。隨著云環(huán)境下用戶(hù)數(shù)量的增多,以及用戶(hù)對(duì)異種云服務(wù)利用的增多,不僅需要在多臺(tái)服務(wù)器上進(jìn)行登錄認(rèn)證,還需要在多個(gè)云服務(wù)之間進(jìn)行頻繁的登錄和登出操作。用戶(hù)信息受到非法截獲和破壞的可能性會(huì)增大,安全性得不到保障,還會(huì)導(dǎo)致系統(tǒng)訪問(wèn)的延遲。而針對(duì)多用戶(hù)多目標(biāo)服務(wù)的管理也因?yàn)橛脩?hù)ID的不統(tǒng)一變得越來(lái)越復(fù)雜,例如,同一用戶(hù)以不同身份登錄不同服務(wù)會(huì)為云資源計(jì)費(fèi)造成困難。現(xiàn)有技術(shù)中,有通過(guò)加密認(rèn)證來(lái)提高系統(tǒng)安全性的方法,也有通過(guò)單點(diǎn)登錄來(lái)提高用戶(hù)管理便利性的方法。2012年,日本專(zhuān)利“特開(kāi)JP 2012-247858號(hào)公報(bào)”,公開(kāi)了云計(jì)算環(huán)境下基于密鑰確認(rèn)用戶(hù)身份的認(rèn)證方法和系統(tǒng)。該系統(tǒng)的客戶(hù)端不需要保存密鑰對(duì)中的私鑰,而是根據(jù)用戶(hù)密碼在認(rèn)證過(guò)程中即時(shí)生成,因此即使客戶(hù)端設(shè)備丟失,也不會(huì)導(dǎo)致用于認(rèn)證的私鑰信息泄露。但是該方法必須一臺(tái)密碼管理服務(wù)器來(lái)生成密鑰對(duì),并將其中的公鑰發(fā)送至另一臺(tái)公鑰管理服務(wù)器,如果公鑰在發(fā)送過(guò)程中被破壞或惡意截獲,將會(huì)導(dǎo)致整個(gè)認(rèn)證系統(tǒng)無(wú)效,安全性也無(wú)從保證。特別是當(dāng)用戶(hù)由于業(yè)務(wù)需求要進(jìn)行云服務(wù)遷移時(shí),上述密鑰生成、認(rèn)證數(shù)據(jù)加密、認(rèn)證數(shù)據(jù)解密的步驟必須要重復(fù)執(zhí)行,會(huì)降低系統(tǒng)的響應(yīng)速度,也為跨服務(wù)管理帶來(lái)不便。隨著云計(jì)算 資源整合深度的提高和云服務(wù)種類(lèi)的增多,用戶(hù)的這種需求也會(huì)增強(qiáng),因此迫切需要一種安全、通用、簡(jiǎn)潔的認(rèn)證方法和認(rèn)證系統(tǒng)。2013年,日本專(zhuān)利“特開(kāi)JP 2013-8140號(hào)公報(bào)”針對(duì)特開(kāi)JP 2012-247858號(hào)公報(bào)情況,提出了一種只進(jìn)行一次登陸就可以訪問(wèn)多個(gè)云服務(wù)的單點(diǎn)登陸認(rèn)證系統(tǒng)。該系統(tǒng)和云服務(wù)所依托數(shù)據(jù)中心的認(rèn)證系統(tǒng)協(xié)同工作,用戶(hù)只需在終端進(jìn)行一次認(rèn)證登錄,就可以實(shí)現(xiàn)業(yè)務(wù)需要時(shí)的服務(wù)遷移。但是該系統(tǒng)的主要缺點(diǎn)是,用戶(hù)的首次登錄是基于明文傳輸?shù)拿艽a認(rèn)證,而非基于密文傳輸?shù)拿荑€認(rèn)證,因此安全性不高,為云服務(wù)的訪問(wèn)和遷移中帶來(lái)安全隱患。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的是:提供一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng),該系統(tǒng)綜合采用用戶(hù)交互層、安全認(rèn)證層、單點(diǎn)登錄層和云服務(wù)訪問(wèn)技術(shù),該三個(gè)功能層能夠同時(shí)提高系統(tǒng)安全性、降低系統(tǒng)處理延遲、加強(qiáng)對(duì)用戶(hù)的一元化管理,便于實(shí)現(xiàn)云服務(wù)間遷移。本發(fā)明的技術(shù)方案是:
一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng),包括客戶(hù)端、云服務(wù)訪問(wèn)網(wǎng)關(guān)、云資源服務(wù)器,其中:所述客戶(hù)端,通過(guò)因特網(wǎng)與各個(gè)云資源服務(wù)器、云服務(wù)訪問(wèn)網(wǎng)關(guān)建立連接,進(jìn)行數(shù)據(jù)和事件交互,該客戶(hù)端包括硬件和軟件,其中硬件為計(jì)算機(jī),或?yàn)橹悄苁謾C(jī),或?yàn)橛|摸式電腦,硬件之間通過(guò)網(wǎng)絡(luò)有線或無(wú)線連接;所述云服務(wù)訪問(wèn)網(wǎng)關(guān),包括至少一個(gè)網(wǎng)關(guān)服務(wù)器,用來(lái)接收和處理來(lái)自用戶(hù)的請(qǐng)求和來(lái)自云計(jì)算中心的事件響應(yīng),并為二者建立數(shù)據(jù)和事件交互的通道;所述云資源服務(wù)器,包括云服務(wù)和云服務(wù)管理數(shù)據(jù)庫(kù),是部署在云計(jì)算中心的服務(wù)器,為云服務(wù)提供物理和邏輯依托,該云服務(wù)包括至少一個(gè)用戶(hù)最終訪問(wèn)的基礎(chǔ)設(shè)施服務(wù),或應(yīng)用系統(tǒng)服務(wù),如:郵件系統(tǒng)服務(wù)、數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)。特別是:所述云服務(wù)訪問(wèn)網(wǎng)關(guān),包括用戶(hù)交互層、安全認(rèn)證層和單點(diǎn)登錄層;所述用戶(hù)交互層,包括用戶(hù)請(qǐng)求交互單元,用戶(hù)請(qǐng)求解析單元,用戶(hù)事件響應(yīng)單元,用戶(hù)登陸控制單元,用于和客戶(hù)端進(jìn)行信息交互,進(jìn)行用戶(hù)注冊(cè)、用戶(hù)登錄、賬戶(hù)修改、云服務(wù)定制、云服務(wù)訪問(wèn)、云服務(wù)前移;所述安全認(rèn)證層,包括用戶(hù)信息審查單元,用戶(hù)賬戶(hù)設(shè)定單元,加密認(rèn)證單元,認(rèn)證信息數(shù)據(jù)庫(kù),用于對(duì)用戶(hù)登錄信息進(jìn)行合法性驗(yàn)證,安全認(rèn)證層在賬戶(hù)生成后和單點(diǎn)登錄層的登錄信息數(shù)據(jù)庫(kù)進(jìn)行賬戶(hù)信息同步;所述單點(diǎn)登錄層,包括資源授權(quán)管理單元,云服務(wù)生命周期管理單元,會(huì)話初始化單元,會(huì)話遷移單元,登錄信息數(shù)據(jù)庫(kù),用于實(shí)現(xiàn)利用單一用戶(hù)ID進(jìn)行跨應(yīng)用服務(wù)訪問(wèn),單點(diǎn)登錄層將登陸狀態(tài)的信息和賬戶(hù)修改信息同步到云資源服務(wù)器,同時(shí)將信息同步完成的結(jié)果通知安全認(rèn)證層,單點(diǎn)登錄層處理服務(wù)定制請(qǐng)求、服務(wù)創(chuàng)建請(qǐng)求、服務(wù)遷移請(qǐng)求后,反饋通知用戶(hù)交互層;·云服務(wù)訪問(wèn)網(wǎng)關(guān)中的用戶(hù)交互層、安全認(rèn)證層和單點(diǎn)登錄層三個(gè)功能層,根據(jù)云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)安全和管理的需要,與客戶(hù)端和云資源服務(wù)器進(jìn)行頻繁的數(shù)據(jù)傳輸和同步信息處理,實(shí)現(xiàn)加密認(rèn)證和單點(diǎn)登錄的協(xié)同動(dòng)作。一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的方法,特別是:云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的執(zhí)行流程包括如下步驟:用戶(hù)請(qǐng)求交互單元,接收來(lái)自客戶(hù)端的請(qǐng)求,并將云服務(wù)訪問(wèn)網(wǎng)關(guān)的請(qǐng)求處理結(jié)果向客戶(hù)端回復(fù);用戶(hù)請(qǐng)求解析單元,根據(jù)用戶(hù)請(qǐng)求內(nèi)容將請(qǐng)求分為賬戶(hù)注冊(cè)請(qǐng)求、用戶(hù)登錄請(qǐng)求、賬戶(hù)修改請(qǐng)求、云服務(wù)定制請(qǐng)求、云服務(wù)訪問(wèn)請(qǐng)求和云服務(wù)遷移請(qǐng)求;用戶(hù)事件響應(yīng)單元,將具體請(qǐng)求發(fā)送到安全認(rèn)證層或單點(diǎn)登錄層將請(qǐng)求回復(fù)通知給用戶(hù),請(qǐng)求交互單元;用戶(hù)信息審查單元,接受并對(duì)具體請(qǐng)求信息或資源需求信息進(jìn)行驗(yàn)證,確認(rèn)這些信息是否合法且符合云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)規(guī)范,加密認(rèn)證單元將加密的隨機(jī)數(shù)作為加密認(rèn)證請(qǐng)求,返回給用戶(hù)交互層;用戶(hù)賬戶(hù)設(shè)定單元,創(chuàng)建和修改用戶(hù)賬戶(hù)及用戶(hù)公鑰,并將用戶(hù)信息設(shè)置到認(rèn)證信息數(shù)據(jù)庫(kù),資源授權(quán)管理單元,為用戶(hù)所請(qǐng)求資源進(jìn)行授權(quán),并將用戶(hù)注冊(cè)、登錄、資源利用狀況,設(shè)置到登錄信息數(shù)據(jù)庫(kù);云服務(wù)生命周期管理單元,記錄用戶(hù)登陸系統(tǒng)的時(shí)刻及用戶(hù)狀態(tài);會(huì)話初始化單元,建立用戶(hù)與應(yīng)用服務(wù)的通信連接,會(huì)話遷移單元針對(duì)用戶(hù)對(duì)資源的利用變更,請(qǐng)求為用戶(hù)重建通信連接,并保證用戶(hù)無(wú)需登出云服務(wù)平臺(tái)即進(jìn)行會(huì)話遷移;所述云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的方法還包括:用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān),登錄認(rèn)證、用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān),請(qǐng)求云服務(wù)、用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān),進(jìn)行云服務(wù)遷移;用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān),登錄認(rèn)證的流程步驟為:用戶(hù)通過(guò)客戶(hù)端以用戶(hù)ID向云服務(wù)訪問(wèn)網(wǎng)關(guān)提交登錄請(qǐng)求;云服務(wù)訪問(wèn)網(wǎng)關(guān)針對(duì)登錄請(qǐng)求對(duì)用戶(hù)身份合法性進(jìn)行驗(yàn)證,首先云服務(wù)訪問(wèn)網(wǎng)關(guān)生成隨機(jī)數(shù),并通過(guò)用戶(hù)事先登錄的公鑰對(duì)該隨機(jī)數(shù)加密,將加密結(jié)果作為加密認(rèn)證請(qǐng)求發(fā)送給客戶(hù)端;客戶(hù)端使用與事先登陸在網(wǎng)關(guān)上公鑰相對(duì)應(yīng)的私鑰,將所述加密結(jié)果進(jìn)行解密,并將解密結(jié)果作為加密認(rèn)證回復(fù)返回到云服務(wù)訪問(wèn)網(wǎng)關(guān);如果所述解密結(jié)果與所述隨機(jī)數(shù)相同,云服務(wù)訪問(wèn)網(wǎng)關(guān)認(rèn)為登陸成功,向客戶(hù)端返回,登錄認(rèn)證成功;用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān),請(qǐng)求云服務(wù)的流程步驟為:登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)后,用戶(hù)通過(guò)客戶(hù)端發(fā)出云服務(wù)訪問(wèn)請(qǐng)求;云服務(wù)訪問(wèn)網(wǎng)關(guān)嘗試與目標(biāo)服務(wù)建立通信通道,向云服務(wù)發(fā)出會(huì)話創(chuàng)建請(qǐng)求;云服務(wù)根據(jù)當(dāng)前資源使用情況和服務(wù)定制情況,創(chuàng)建會(huì)話ID、啟動(dòng)云服務(wù)并向云服務(wù)訪問(wèn)網(wǎng)關(guān)回復(fù)會(huì)話創(chuàng)建成功;云服務(wù)訪問(wèn)網(wǎng)關(guān)將會(huì)話信息錄入云服務(wù)管理數(shù)據(jù)庫(kù)后,向客戶(hù)端回復(fù)云服務(wù)訪問(wèn)成功;客戶(hù)端的用戶(hù)與云服務(wù)交互;用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān),進(jìn)行云服務(wù)遷移的流程步驟為:當(dāng)業(yè)務(wù)需求發(fā)生改變時(shí),用戶(hù)向云服務(wù)訪問(wèn)網(wǎng)關(guān)發(fā)送云服務(wù)遷移請(qǐng)求;云服務(wù)訪問(wèn)網(wǎng)關(guān)負(fù)責(zé)注銷(xiāo)當(dāng)前云服務(wù)的會(huì)話連接,并向新的目標(biāo)云服務(wù)發(fā)送會(huì)話遷移請(qǐng)求;云服務(wù)根據(jù)當(dāng)前資源使用情況和服務(wù)定制情況,創(chuàng)建會(huì)話ID、啟動(dòng)云服務(wù)并向云服務(wù)訪問(wèn)網(wǎng)關(guān)回復(fù)會(huì)話遷移成功;云服務(wù)訪問(wèn)網(wǎng)關(guān)將會(huì)話信息錄入云服務(wù)管理數(shù)據(jù)庫(kù)后,向客戶(hù)端回復(fù)云服務(wù)遷移成功;客戶(hù)端由此實(shí)現(xiàn)用戶(hù)與云服務(wù)交互。有益效果目前現(xiàn)有技術(shù)中,云計(jì)算解決了分布式計(jì)算環(huán)境中軟硬件資源的整合和利用模式,將物理上異地分布的資源以云服務(wù)的形式提供給用戶(hù),并能按照用戶(hù)需求重新配置和組合這些資源。用戶(hù)訪問(wèn)云服務(wù)時(shí)雖然無(wú)須考慮資源的物理依托,但用戶(hù)的每一個(gè)操作都會(huì)導(dǎo)致數(shù)據(jù)在不同地 理位置的多個(gè)物理服務(wù)器之間進(jìn)行傳輸,這不僅增加了系統(tǒng)處理的延遲,也增加了用戶(hù)信息被截獲和盜取的可能。另一方面,業(yè)務(wù)需求發(fā)生變化時(shí),用戶(hù)會(huì)登出當(dāng)前云服務(wù)系統(tǒng)轉(zhuǎn)而登錄下一個(gè)目標(biāo)服務(wù),頻繁的登錄認(rèn)證不僅降低系統(tǒng)的安全性,也為用戶(hù)管理和云資源管理帶來(lái)不便。本申請(qǐng)綜合考慮這幾方面的問(wèn)題,提出云服務(wù)訪問(wèn)網(wǎng)關(guān)的系統(tǒng)和方法,以加密認(rèn)證確保用戶(hù)登錄云服務(wù)的安全性,以單點(diǎn)登錄確保用戶(hù)利用云服務(wù)的便利性,避免認(rèn)證信息和云服務(wù)管理信息在不同服務(wù)器之間的傳輸,防止系統(tǒng)處理延遲。從云服務(wù)提供方的角度來(lái)看,一次登陸認(rèn)證和多次服務(wù)遷移的實(shí)現(xiàn),用于解決分布式計(jì)算環(huán)境中跨服務(wù)器訪問(wèn)的安全問(wèn)題和跨資源訪問(wèn)的一元化管理問(wèn)題。對(duì)于本發(fā)明的有益效果分析如下:其一,相對(duì)于現(xiàn)有技術(shù),本發(fā)明提供的云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng),包括客戶(hù)端、云服務(wù)訪問(wèn)網(wǎng)關(guān)、云資源服務(wù)器 ,用來(lái)接收和處理來(lái)自客戶(hù)端用戶(hù)的請(qǐng)求和來(lái)自云計(jì)算中心云資源服務(wù)器的事件響應(yīng)。作為建立數(shù)據(jù)和事件響應(yīng)的交互通道,云服務(wù)訪問(wèn)網(wǎng)關(guān)上集成有安全認(rèn)證層、單點(diǎn)登陸層和用戶(hù)交互層;用戶(hù)通過(guò)用戶(hù)交互層進(jìn)行用戶(hù)注冊(cè)、用戶(hù)登錄、賬戶(hù)修改、云服務(wù)定制、云服務(wù)訪問(wèn)、云服務(wù)前移;云服務(wù)訪問(wèn)網(wǎng)關(guān)接收到客戶(hù)端登錄請(qǐng)求后,客戶(hù)端和安全認(rèn)證層中的加密認(rèn)證單元對(duì)用戶(hù)身份合法性進(jìn)行加密驗(yàn)證,安全認(rèn)證層賬戶(hù)生成后和單點(diǎn)登錄層的登錄信息數(shù)據(jù)庫(kù)進(jìn)行賬戶(hù)信息同步;用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)后,提出云服務(wù)利用請(qǐng)求,單點(diǎn)登陸層根據(jù)用戶(hù)預(yù)先定制的云服務(wù)內(nèi)容,為用戶(hù)進(jìn)行服務(wù)連接;當(dāng)用戶(hù)業(yè)務(wù)需求發(fā)生改變而提出新的服務(wù)申請(qǐng)后,單點(diǎn)登錄層將登陸狀態(tài)的信息和賬戶(hù)修改信息同步到云資源服務(wù)器,同時(shí)將信息同步完成的結(jié)果通知安全認(rèn)證層,單點(diǎn)登錄層處理服務(wù)定制請(qǐng)求、服務(wù)創(chuàng)建請(qǐng)求、服務(wù)遷移請(qǐng)求后,反饋通知用戶(hù)交互層;本發(fā)明具體實(shí)施方式
中,在云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)圖4到圖6中,三個(gè)功能層因?yàn)榘踩凸芾淼男枰c客戶(hù)端和云資源服務(wù)器進(jìn)行頻繁的數(shù)據(jù)傳輸和信息處理,實(shí)現(xiàn)加密認(rèn)證和單點(diǎn)登錄的協(xié)同動(dòng)作,通過(guò)一次加密認(rèn)證的登錄,實(shí)現(xiàn)跨云服務(wù)的訪問(wèn);云服務(wù)訪問(wèn)網(wǎng)關(guān)采用各層交互傳輸?shù)募夹g(shù)手段,解決云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的執(zhí)行效率和安全性。其二,在一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的方法中,通過(guò)密鑰認(rèn)證的方式對(duì)用戶(hù)進(jìn)行一次性身份驗(yàn)證,允許對(duì)所有被授權(quán)的云服務(wù)進(jìn)行訪問(wèn),同時(shí)允許用戶(hù)根據(jù)自身業(yè)務(wù)需求的轉(zhuǎn)變來(lái)重定向目標(biāo)云服務(wù)。云服務(wù)訪問(wèn)網(wǎng)關(guān)能夠保護(hù)用戶(hù)與云計(jì)算中心云資源服務(wù)器之間數(shù)據(jù)傳輸?shù)陌踩院褪录憫?yīng)的簡(jiǎn)潔性。用戶(hù)進(jìn)行一次性身份驗(yàn)證過(guò)程中傳輸?shù)臄?shù)據(jù),都是經(jīng)過(guò)密鑰加密的密文信息,而不是基于明文的用戶(hù)密碼信息,因此可以防止第三方對(duì)密碼的惡意推斷和盜取。而且,云服務(wù)訪問(wèn)網(wǎng)關(guān)對(duì)用戶(hù)身份進(jìn)行驗(yàn)證是基于用戶(hù)密鑰對(duì),即經(jīng)過(guò)密鑰對(duì)中的公鑰和私鑰協(xié)同工作才能實(shí)現(xiàn)驗(yàn)證目的,即使網(wǎng)關(guān)服務(wù)器和客戶(hù)端被惡意攻擊,也不會(huì)由于公鑰或私鑰的泄漏而造成安全漏洞。云服務(wù)發(fā)生遷移的過(guò)程中,用戶(hù)不需要對(duì)當(dāng)前服務(wù)進(jìn)行登出操作和對(duì)新的目標(biāo)服務(wù)進(jìn)行登入操作,只需根據(jù)初次加密認(rèn)證登陸在網(wǎng)關(guān)數(shù)據(jù)庫(kù)中的用戶(hù)信息實(shí)現(xiàn)目標(biāo)的轉(zhuǎn)移。這樣,通過(guò)采取統(tǒng)一的用戶(hù)身份和密鑰管理方法,既能實(shí)現(xiàn)單一用戶(hù)ID跨不同應(yīng)用系統(tǒng)的云服務(wù)訪問(wèn)和云服務(wù)切換,又能減少多個(gè)用戶(hù)ID和多套密碼系統(tǒng)造成的管理成本和安全漏洞?,F(xiàn)有技術(shù)是安全了就繁瑣,簡(jiǎn)單了就不安全,而本發(fā)明是既簡(jiǎn)單又安全。
云服務(wù)有別于其他應(yīng)用服務(wù)系統(tǒng)的本質(zhì)區(qū)別是,云服務(wù)是一種可度量的服務(wù)模式。云服務(wù)提供方通過(guò)量化用戶(hù)使用的云資源進(jìn)行計(jì)費(fèi),從而達(dá)到阻止用戶(hù)濫用資源和優(yōu)化整體資源配置的目的。面向海量云用戶(hù),如何對(duì)云計(jì)算中心成千上萬(wàn)種異構(gòu)異質(zhì)的云服務(wù)進(jìn)行量化在技術(shù)上和管理上都有難度,就連單一用戶(hù)以多種身份訪問(wèn)云服務(wù)的度量也會(huì)為管理帶來(lái)很大的系統(tǒng)消耗。而本發(fā)明提供的云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng),通過(guò)一次注冊(cè)、一次登陸和多次訪問(wèn)的形式,不僅簡(jiǎn)化了用戶(hù)利用云服務(wù)的手續(xù),也便于系統(tǒng)進(jìn)行多種云服務(wù)的疊加計(jì)費(fèi),為云資源管理提供極大的先決便利條件。
圖1是云服務(wù)訪問(wèn)網(wǎng)關(guān)的系統(tǒng)結(jié)構(gòu)示意圖;圖2是z 服務(wù)訪問(wèn)網(wǎng)關(guān)的系統(tǒng)功能不意圖;圖3是云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的流程示意圖;圖4是云服務(wù)訪問(wèn)網(wǎng)關(guān)中用戶(hù)交互層的處理流程示意圖;圖5是云服務(wù)訪問(wèn)網(wǎng)關(guān)中安全認(rèn)證層的處理流程示意圖;圖6是云服務(wù)訪問(wèn)網(wǎng)關(guān)中單點(diǎn)登錄層的處理流程示意圖。
具體實(shí)施例方式下文將結(jié)合附圖和實(shí)施例作進(jìn)一步解釋。圖1為云服務(wù)訪問(wèn)網(wǎng)關(guān)的系統(tǒng)結(jié)構(gòu)示意圖,在圖1中:客戶(hù)端為1、云服務(wù)訪問(wèn)網(wǎng)關(guān)為2、云資源服務(wù)器為3。
客戶(hù)端I提供云服務(wù)訪問(wèn)網(wǎng)關(guān)2的用戶(hù)交互接口,包括基于瀏覽器的圖形用戶(hù)界面和基于命令行的字符用戶(hù)界面,用于客戶(hù)端I的用戶(hù)向云服務(wù)訪問(wèn)網(wǎng)關(guān)2發(fā)送請(qǐng)求并接受響應(yīng);因特網(wǎng)提供客戶(hù)端I和云服務(wù)訪問(wèn)網(wǎng)關(guān)2的連接,是客戶(hù)端I所在的局域網(wǎng),可以是有線網(wǎng)或無(wú)線網(wǎng);云服務(wù)訪問(wèn)網(wǎng)關(guān)2接收并處理來(lái)自客戶(hù)端I的請(qǐng)求和來(lái)自云資源服務(wù)器3的響應(yīng),為用戶(hù)和云服務(wù)建立事件處理通道;因特網(wǎng)還連接云服務(wù)訪問(wèn)網(wǎng)關(guān)2和云資源服務(wù)器3,位于云服務(wù)訪問(wèn)網(wǎng)關(guān)2和云資源服務(wù)器3所在的廣域網(wǎng),可以是有線網(wǎng)或無(wú)線網(wǎng);云資源服務(wù)器3是部署在云計(jì)算中心的服務(wù)器,為云服務(wù)提供物理和邏輯依托;云資源服務(wù)器3包括云服務(wù),云服務(wù)是用戶(hù)最終訪問(wèn)的應(yīng)用系統(tǒng),如:CPU、硬盤(pán)、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施服務(wù)、郵件系統(tǒng)服務(wù)、數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)等??蛻?hù)端I與各個(gè)云服務(wù)通過(guò)云服務(wù)訪問(wèn)網(wǎng)關(guān)2建立連接,進(jìn)行數(shù)據(jù)和事件響應(yīng)交互。圖2是云服務(wù)訪問(wèn)網(wǎng)關(guān)的系統(tǒng)功能示意圖;在圖2中:云服務(wù)訪問(wèn)網(wǎng)關(guān)的系統(tǒng)的主體是云服務(wù)訪問(wèn)網(wǎng)關(guān)2,同時(shí)需要客戶(hù)端I和云資源服務(wù)器3協(xié)同完成云服務(wù)訪問(wèn)過(guò)程。客戶(hù)端I中,用戶(hù)請(qǐng)求單元101,用于構(gòu)造基于瀏覽器圖形用戶(hù)界面或基于命令行的字符用戶(hù)界面,向云服務(wù)網(wǎng)關(guān)提交用戶(hù)登錄和利用云服務(wù)的請(qǐng)求;請(qǐng)求響應(yīng)單元102,基于瀏覽器或命令行接收來(lái)自云服務(wù)網(wǎng)關(guān)的請(qǐng)求處理結(jié)果和下一步操作的通知;密鑰生成單元103,用于生成用戶(hù)加密認(rèn)證過(guò)程中的密鑰對(duì);加密認(rèn)證單元104用于在加密認(rèn)證過(guò)程中對(duì)網(wǎng)關(guān)返回的加密信息進(jìn)行解密操作,密鑰對(duì)生成和信息加密和解密都采用公開(kāi)的算法。
云服務(wù)訪問(wèn)網(wǎng)關(guān)2包括三個(gè)功能層,即用戶(hù)交互層21、安全認(rèn)證層22和單點(diǎn)登錄層23。用戶(hù)交互層21,用于和客戶(hù)端I進(jìn)行信息交互。其中,用戶(hù)請(qǐng)求交互單元211,用于接收來(lái)自客戶(hù)端I的請(qǐng)求,并將云服務(wù)網(wǎng)關(guān)請(qǐng)求處理結(jié)果向客戶(hù)端I回復(fù);用戶(hù)請(qǐng)求解析單元212根據(jù)用戶(hù)請(qǐng)求內(nèi)容將請(qǐng)求分為賬戶(hù)注冊(cè)請(qǐng)求、用戶(hù)登錄請(qǐng)求、賬戶(hù)修改請(qǐng)求、云服務(wù)定制請(qǐng)求、云服務(wù)訪問(wèn)請(qǐng)求和云服務(wù)遷移請(qǐng)求;用戶(hù)事件響應(yīng)單元213,用于將具體請(qǐng)求發(fā)送到安全認(rèn)證層22或單點(diǎn)登錄層23等待處理,然后將請(qǐng)求回復(fù)通知給用戶(hù)交互層中的用戶(hù)請(qǐng)求交互單元211 ;用戶(hù)登陸控制單元214在用戶(hù)登陸、賬戶(hù)修改以及云服務(wù)訪問(wèn)過(guò)程中,對(duì)系統(tǒng)無(wú)操作時(shí)間、密碼錯(cuò)誤次數(shù)、登陸IP等內(nèi)容進(jìn)行限制。安全認(rèn)證層22,用于對(duì)用戶(hù)登錄信息進(jìn)行合法性驗(yàn)證。其中,用戶(hù)信息審查單元221,用于對(duì)具體請(qǐng)求信息,如賬戶(hù)名、 用戶(hù)密鑰、用戶(hù)身份、住址、聯(lián)系方式以及資源需求等進(jìn)行驗(yàn)證,確認(rèn)這些信息是否合法且符合系統(tǒng)規(guī)范;用戶(hù)賬戶(hù)設(shè)定單元222,用于創(chuàng)建和修改用戶(hù)賬戶(hù)及用戶(hù)公鑰,并將用戶(hù)信息設(shè)置到認(rèn)證信息數(shù)據(jù)庫(kù)224,以利于統(tǒng)一用戶(hù)ID和公鑰的管理;加密認(rèn)證單元223,用于將加密的隨機(jī)數(shù)作為加密認(rèn)證請(qǐng)求返回給用戶(hù)交互層。單點(diǎn)登錄層23,用于實(shí)現(xiàn)利用單一用戶(hù)ID進(jìn)行跨應(yīng)用服務(wù)訪問(wèn)。其中,資源授權(quán)管理單元231,為用戶(hù)所請(qǐng)求資源進(jìn)行授權(quán),并將用戶(hù)注冊(cè)、登錄、資源利用狀況設(shè)置到登錄信息數(shù)據(jù)庫(kù)235 ;云服務(wù)生命周期管理單元232,用來(lái)記錄用戶(hù)登陸系統(tǒng)的時(shí)刻及用戶(hù)狀態(tài);會(huì)話初始化單元233,用于建立用戶(hù)與應(yīng)用服務(wù)的通信連接;會(huì)話遷移單元234,針對(duì)用戶(hù)對(duì)資源的利用變更,請(qǐng)求為用戶(hù)重建通信連接,并保證用戶(hù)無(wú)需登出云平臺(tái)就可進(jìn)行會(huì)話遷移,為平臺(tái)管理提供便利。所述云資源服務(wù)器3,用于提供云服務(wù)301和云服務(wù)管理數(shù)據(jù)庫(kù)302。云資源服務(wù)器3在圖2中只有一個(gè)圖例,但實(shí)際上有很多這樣的服務(wù)器部署在云計(jì)算中心,通過(guò)網(wǎng)絡(luò)和網(wǎng)關(guān)連接對(duì)外提供服務(wù)。云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)中,云服務(wù)訪問(wèn)網(wǎng)關(guān)2和云資源服務(wù)器3的軟件環(huán)境及功能層都適用于計(jì)算機(jī)及其外設(shè)配件,客戶(hù)端I可以是計(jì)算機(jī)、智能手機(jī)和觸摸式電腦等設(shè)備,這些硬件通過(guò)網(wǎng)絡(luò)相互連接。云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)是由計(jì)算機(jī)及外設(shè)配件等硬件和控制這些硬件的軟件所構(gòu)成。所述硬件中,包括:信息輸入裝置、信息存儲(chǔ)裝置、信息處理裝置、信息傳輸裝置和信息表示裝置。信息輸入裝置由計(jì)算機(jī)、鼠標(biāo)、鍵盤(pán)組成,也可以是觸摸式的智能手機(jī)或平板電腦,其中客戶(hù)端I用于為用戶(hù)提供輸入終端;信息存儲(chǔ)裝置可以是內(nèi)存、硬盤(pán)、光盤(pán)等設(shè)備,用來(lái)存放所述云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的通信數(shù)據(jù);信息處理裝置是具有計(jì)算功能的CPU ;信息傳輸裝置是各種有線網(wǎng)和無(wú)線網(wǎng),及其對(duì)應(yīng)的信息傳輸接口 ;信息表示裝置是液晶顯示器或觸摸是液晶平板。所述軟件是由控制這些硬件的計(jì)算機(jī)程序和數(shù)據(jù)組成。軟件可以通過(guò)信息存儲(chǔ)裝置來(lái)保存,通過(guò)信息處理裝置來(lái)激活執(zhí)行,也可以通過(guò)信息傳輸裝置對(duì)外進(jìn)行發(fā)布。圖3是云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的流程示意圖;在圖3中:客戶(hù)端I在訪問(wèn)云服務(wù)時(shí),通過(guò)云服務(wù)訪問(wèn)網(wǎng)關(guān)2進(jìn)行數(shù)據(jù)傳輸和信號(hào)處理,最終與云服務(wù)建立信息通信通道。該云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的方法流程如下:步驟AOl到步驟A04為用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)2的過(guò)程;步驟A05到步驟A09為用戶(hù)通過(guò)云服務(wù)訪問(wèn)網(wǎng)關(guān)2登錄所請(qǐng)求云服務(wù)的過(guò)程;步驟AlO到步驟A14為用戶(hù)進(jìn)行云服務(wù)遷移的過(guò)程。具體而言,用戶(hù)通過(guò)客戶(hù)端I以用戶(hù)ID向云服務(wù)訪問(wèn)網(wǎng)關(guān)2提交登錄請(qǐng)求AOl ;云服務(wù)訪問(wèn)網(wǎng)關(guān)針對(duì)登錄請(qǐng)求AOl對(duì)用戶(hù)身份合法性進(jìn)行驗(yàn)證,首先云服務(wù)訪問(wèn)網(wǎng)關(guān)2生成隨機(jī)數(shù),并通過(guò)用戶(hù)事先登錄的公鑰對(duì)該隨機(jī)數(shù)加密,然后將加密結(jié)果作為加密認(rèn)證請(qǐng)求A02發(fā)送給客戶(hù)端I ;客戶(hù)端I使用與事先登陸在云服務(wù)訪問(wèn)網(wǎng)關(guān)2上公鑰相對(duì)應(yīng)的私鑰將所述加密結(jié)果進(jìn)行解密,并將解密結(jié)果作為加密認(rèn)證回復(fù)A03返回到云服務(wù)訪問(wèn)網(wǎng)關(guān)2 ;如果解密結(jié)果與隨機(jī)數(shù)相同,云服務(wù)訪問(wèn)網(wǎng)關(guān)2認(rèn)為登陸成功,向客戶(hù)端I返回登錄認(rèn)證成功A04。登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)2后,用戶(hù)通過(guò)客戶(hù)端I發(fā)出云服務(wù)訪問(wèn)請(qǐng)求A05 ;云服務(wù)訪問(wèn)網(wǎng)關(guān)2嘗試與目標(biāo)服務(wù)建立通信通道,向云服務(wù)301發(fā)出會(huì)話創(chuàng)建請(qǐng)求A06 ;云服務(wù)301根據(jù)當(dāng)前資源使用情況和服務(wù)定制情況,創(chuàng)建會(huì)話ID、啟動(dòng)云服務(wù)301并向云服務(wù)訪問(wèn)網(wǎng)關(guān)2回復(fù)會(huì)話創(chuàng)建成功A07 ;云服務(wù)訪問(wèn)網(wǎng)關(guān)2將會(huì)話信息錄入數(shù)據(jù)庫(kù)后,向客戶(hù)端I回復(fù)云服務(wù)訪問(wèn)成功A08 ;客戶(hù)端I由此可以實(shí)現(xiàn)用戶(hù)與云服務(wù)交互A09。當(dāng)業(yè)務(wù)需求發(fā)生改變時(shí),用戶(hù)向云服務(wù)訪問(wèn)網(wǎng)關(guān)2發(fā)送云服務(wù)遷移請(qǐng)求AlO ;云服務(wù)訪問(wèn)網(wǎng)關(guān)2負(fù)責(zé)注銷(xiāo)當(dāng)前云服務(wù)的會(huì)話連接,并向新的目標(biāo)云服務(wù)發(fā)送會(huì)話遷移請(qǐng)求All ;云服務(wù)301根據(jù)當(dāng)前資源使用情況和服務(wù)定制情況,創(chuàng)建會(huì)話ID、啟動(dòng)云服務(wù)301并向云服務(wù)訪問(wèn)網(wǎng)關(guān)2回復(fù)會(huì)話遷移成功A12 ;云服務(wù)訪問(wèn)網(wǎng)關(guān)2將會(huì)話信息錄入數(shù)據(jù)庫(kù)后,向客戶(hù)端I回復(fù)云服務(wù)遷移成功A13 ;客戶(hù)端I由此可以實(shí)現(xiàn)用戶(hù)與云服務(wù)交互A14。圖4是云服 務(wù)訪問(wèn)網(wǎng)關(guān)中用戶(hù)交互層的處理流程示意圖;在圖4中:用戶(hù)交互層21把用戶(hù)請(qǐng)求分為賬戶(hù)注冊(cè)、用戶(hù)登錄、賬戶(hù)修改、云服務(wù)定制、云服務(wù)訪問(wèn)、云服務(wù)前移等具體用戶(hù)事件。以下分別對(duì)各個(gè)用戶(hù)事件的實(shí)施方式加以說(shuō)明。步驟BOl到步驟B13,是賬戶(hù)注冊(cè)事件的處理流程。用戶(hù)請(qǐng)求交互單元211收到來(lái)自客戶(hù)端I的用戶(hù)請(qǐng)求BOl后,通過(guò)用戶(hù)請(qǐng)求解析單元212進(jìn)行解析,判斷用戶(hù)事件為賬戶(hù)注冊(cè),然后由用戶(hù)事件響應(yīng)單元213提取注冊(cè)信息并將其以賬戶(hù)注冊(cè)請(qǐng)求B04發(fā)送給安全認(rèn)證層22。安全認(rèn)證層22進(jìn)行注冊(cè)信息審查B05,然后以認(rèn)證密鑰請(qǐng)求B06的形式通過(guò)用戶(hù)請(qǐng)求交互單元211向用戶(hù)發(fā)出密鑰請(qǐng)求B07??蛻?hù)端I通過(guò)密鑰生成B08產(chǎn)生密鑰對(duì),并將其中的公鑰進(jìn)行公鑰發(fā)送B09。用戶(hù)請(qǐng)求交互單元211收到公鑰后,向安全認(rèn)證層22發(fā)出公鑰注冊(cè)請(qǐng)求,當(dāng)用戶(hù)ID、用戶(hù)公鑰以及用戶(hù)其他信息錄入數(shù)據(jù)庫(kù)完成后,收到注冊(cè)成功應(yīng)答B(yǎng)12,然后向客戶(hù)端I返回請(qǐng)求成功應(yīng)答B(yǎng)13的通知。至此,用戶(hù)注冊(cè)完成。步驟B14到步驟B32,是用戶(hù)登錄事件的處理流程。步驟B14到步驟B16是用戶(hù)交互層21接收并解析用戶(hù)請(qǐng)求;步驟B17到步驟B19是向用戶(hù)登錄控制單元214進(jìn)行登錄目標(biāo)確認(rèn);步驟B20是向安全認(rèn)證層22發(fā)出用戶(hù)登錄請(qǐng)求B20 ;步驟B21到步驟B25是進(jìn)行加密認(rèn)證;步驟B26到步驟B28是進(jìn)行登錄次數(shù)確認(rèn);步驟B29到步驟B31是安全認(rèn)證層22進(jìn)行登錄認(rèn)證并做出回復(fù)。步驟B32通過(guò)客戶(hù)端通知用戶(hù)登錄請(qǐng)求成功應(yīng)答。步驟B33到步驟B42,是賬戶(hù)信息修改事件的處理流程。這個(gè)過(guò)程是建立在步驟B14到步驟B32的用戶(hù)登錄基礎(chǔ)之上的,即用戶(hù)登錄云服務(wù)網(wǎng)關(guān)之后才能進(jìn)行以下操作。步驟B33到步驟B35是用戶(hù)交互層21接收并解析用戶(hù)請(qǐng)求;步驟B36到步驟B38是向用戶(hù)登錄控制單元214進(jìn)行登錄時(shí)間確認(rèn),以防止登錄后長(zhǎng)時(shí)間無(wú)操作;步驟B39到步驟B41是安全認(rèn)證層22進(jìn)行賬戶(hù)信息修改并做出回復(fù)。步驟B42通過(guò)客戶(hù)端I通知用戶(hù)賬戶(hù)修改成功應(yīng)答。步驟B43到步驟B52,是云服務(wù)定制事件的處理流程。這個(gè)過(guò)程是建立在步驟B14到步驟B32的用戶(hù)登錄基礎(chǔ)之上的,即用戶(hù)登錄云服務(wù)網(wǎng)關(guān)之后才能進(jìn)行以下操作。步驟B43到步驟B45是用戶(hù)交互層21接收并解析用戶(hù)請(qǐng)求;步驟B46到步驟B48是向用戶(hù)登錄控制單元214進(jìn)行登錄時(shí)間確認(rèn),以防止登錄后長(zhǎng)時(shí)間無(wú)操作;步驟B49是用戶(hù)事件響應(yīng)單元213向單點(diǎn)登錄層23發(fā)出服務(wù)定制請(qǐng)求,以確定將來(lái)要使用的目標(biāo)資源;步驟B50是單點(diǎn)登錄層23進(jìn)行云服務(wù)信息授權(quán)并做出定制成功應(yīng)答B(yǎng)51。步驟B52通過(guò)客戶(hù)端I通知用戶(hù)云服務(wù)定制請(qǐng)求成功應(yīng)答。步驟B53到步驟B61,是云服務(wù)訪問(wèn)事件的處理流程。這個(gè)過(guò)程是建立在步驟B14到步驟B32的用戶(hù)登錄基礎(chǔ)之上的,即用戶(hù)登錄云服務(wù)網(wǎng)關(guān)之后才能進(jìn)行以下操作。步驟B53到步驟B55是用戶(hù)交互層21接收并解析用戶(hù)請(qǐng)求;步驟B56到步驟B58是向用戶(hù)登錄控制單元214進(jìn)行登錄時(shí)間確認(rèn),以防止登錄后長(zhǎng)時(shí)間無(wú)操作;步驟B59到步驟B60是向單點(diǎn)登錄層23發(fā)出服務(wù)訪問(wèn)請(qǐng)求并得到訪問(wèn)成功應(yīng)答。步驟B61通過(guò)客戶(hù)端I通知用戶(hù)云服務(wù)訪問(wèn)請(qǐng)求成功應(yīng)答。步驟B62到步驟B70,是云服務(wù)遷移事件的處理流程。這個(gè)過(guò)程是建立在步驟B53到步驟B61的云服務(wù)訪問(wèn)基礎(chǔ)之上的,即用戶(hù)已經(jīng)登錄某個(gè)云服務(wù)之后才能進(jìn)行以下操作。步驟B62到步驟B64是用戶(hù)交互層21接收并解析用戶(hù)請(qǐng)求;步驟B65到步驟B67是向用戶(hù)登錄控制單元214進(jìn)行登錄時(shí)間確認(rèn),以防止登錄后長(zhǎng)時(shí)間無(wú)操作;步驟B68到步驟B69是向單點(diǎn)登錄層23發(fā)出服務(wù)遷移請(qǐng)求并得到遷移成功應(yīng)答。步驟B70通過(guò)客戶(hù)端I通知用戶(hù)云服務(wù)遷移請(qǐng)求成功應(yīng)答。圖5是云服務(wù)訪問(wèn)網(wǎng)關(guān)中安全認(rèn)證層的處理流程示意圖;在圖5中:安全認(rèn)證層22對(duì)用戶(hù)交互層21傳遞來(lái)的用戶(hù)事件進(jìn)行處理。以下分別對(duì)各個(gè)用戶(hù)請(qǐng)求的實(shí)現(xiàn)方式加以說(shuō)明。步驟COl到步驟C10,是賬戶(hù)注冊(cè)請(qǐng)求的處理流程。用戶(hù)信息審查單元221收到賬戶(hù)注冊(cè)請(qǐng)求COl后,執(zhí)行步驟C02,進(jìn)行注冊(cè)信息審查,對(duì)用戶(hù)的賬戶(hù)名、用戶(hù)ID、用戶(hù)身份、住址、聯(lián)系方式進(jìn)行驗(yàn)證,確認(rèn)這些信息是否合法且符合系統(tǒng)規(guī)范,如果合格則要求用戶(hù)提供用于加密認(rèn)證的公鑰,于是向用戶(hù)交互層21發(fā)出認(rèn)證密鑰請(qǐng)求C03 ;用戶(hù)信息審查單元221收到是用戶(hù)交互層21回復(fù)的公鑰注冊(cè)請(qǐng)求C04,向用戶(hù)賬戶(hù)設(shè)定單元222發(fā)出賬戶(hù)創(chuàng)建請(qǐng)求C05 ;步驟C06是用戶(hù)賬戶(hù)設(shè)定單元222進(jìn)行賬戶(hù)創(chuàng)建并將公鑰設(shè)置到認(rèn)證信息數(shù)據(jù)庫(kù);步驟C07到步驟C09,在賬戶(hù)生成后和單點(diǎn)登錄層23的登錄信息數(shù)據(jù)庫(kù)進(jìn)行賬戶(hù)信息同步,由此實(shí)現(xiàn)加密認(rèn)證和單點(diǎn)登錄的協(xié)同動(dòng)作;至此,賬戶(hù)創(chuàng)建和賬戶(hù)信息同已完成,用戶(hù)賬戶(hù)設(shè)定單元222向用戶(hù)交互層21回復(fù)注冊(cè)成功應(yīng)答C10。步驟Cll到步驟C23,是用戶(hù)登錄請(qǐng)求的處理流程。步驟Cll到步驟C23是用戶(hù)信息審查單元221對(duì)用戶(hù)登錄請(qǐng)求進(jìn)行登錄信息審查,并向加密認(rèn)證單元223發(fā)出登錄認(rèn)證請(qǐng)求;步驟C14到步驟C19是加密認(rèn)證單元223對(duì)用戶(hù)身份合法性的最終驗(yàn)證,如果失敗,再次發(fā)出密鑰認(rèn)證請(qǐng)求。 在登錄控制許可的范圍內(nèi),直到該操作成功。然后,步驟C20到步驟C22向單點(diǎn)登錄層23發(fā)布登陸成功信息,云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)由此獲得跨云服務(wù)訪問(wèn)的信息聯(lián)動(dòng);之后,步驟C23向用戶(hù)交互層21回復(fù)登錄成功應(yīng)答。步驟C24到步驟C30,是賬戶(hù)修改請(qǐng)求的處理流程。這個(gè)過(guò)程是建立在步驟Cll到步驟C23的用戶(hù)登錄成功的基礎(chǔ)之上,即用戶(hù)登錄云服務(wù)網(wǎng)關(guān)之后才能進(jìn)行以下操作。步驟C24到步驟C26是對(duì)待修改賬戶(hù)信息進(jìn)行審查并發(fā)出修改請(qǐng)求;步驟C27是用戶(hù)賬戶(hù)設(shè)定單元222對(duì)賬戶(hù)信息修改或?qū)€重新設(shè)置;步驟C28到步驟C30向單點(diǎn)登錄層23發(fā)布賬戶(hù)修改信息;最后,步驟C31向用戶(hù)交互層21回復(fù)修改成功應(yīng)答。圖6是云服務(wù)訪問(wèn)網(wǎng)關(guān)中單點(diǎn)登錄層的處理流程示意圖。在圖6中:單點(diǎn)登錄層23對(duì)用戶(hù)交互層21和安全認(rèn)證層22傳遞來(lái)的信息進(jìn)行處理。以下分別對(duì)各個(gè)請(qǐng)求的實(shí)施方式加以說(shuō)明。步驟DOl到步驟D06,是注冊(cè)信息發(fā)布的處理流程。單點(diǎn)登錄層23收到注冊(cè)信息發(fā)布DOl的通知后,資源授權(quán)管理單元231執(zhí)行步驟D02,將注冊(cè)信息登記到登錄信息數(shù)據(jù)庫(kù),同時(shí)向云資源服務(wù)器3發(fā)出注冊(cè)信息同步D03;云資源服務(wù)器3執(zhí)行步驟D04,將賬號(hào)注冊(cè)信息登記到云服務(wù)管理數(shù)據(jù)庫(kù),由此獲得有資格進(jìn)行云服務(wù)訪問(wèn)的賬戶(hù)信息;資源授權(quán)管理單元231收到云資源管理服務(wù)器3回復(fù)的信息同步應(yīng)答D05,然后通知安全認(rèn)證層22同步完成,發(fā)出信息同 步應(yīng)答D06。步驟D07到步驟D12,是登錄狀態(tài)發(fā)布的處理流程。步驟D07到步驟D08將登錄狀態(tài)登記到由單點(diǎn)登錄層23管理的登錄信息數(shù)據(jù)庫(kù);步驟D09到步驟Dll將登陸狀態(tài)的信息同步到云資源服務(wù)器3 ;步驟D12將信息同步完成的結(jié)果通知安全認(rèn)證層22。步驟D13到步驟D18,是修改信息發(fā)布的處理流程。這個(gè)過(guò)程是建立在用戶(hù)事先登錄的基礎(chǔ)上。步驟D13到步驟D14將賬戶(hù)修改信息登記到由單點(diǎn)登錄層23管理的登錄信息數(shù)據(jù)庫(kù);步驟D15到步驟D17將賬戶(hù)修改信息同步到云資源服務(wù)器3 ;步驟D18將信息同步完成的結(jié)果通知安全認(rèn)證層22。步驟D19到步驟D26,是服務(wù)定制請(qǐng)求的處理流程。這個(gè)過(guò)程建立在用戶(hù)事先登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)的基礎(chǔ)上。資源授權(quán)管理單元231收到服務(wù)定制請(qǐng)求D19之后,向云資源服務(wù)器3發(fā)出資源狀態(tài)查詢(xún)D20,確認(rèn)當(dāng)前資源使用情況;當(dāng)收到狀態(tài)查詢(xún)應(yīng)答D21,獲得所請(qǐng)求資源的可用通知后,執(zhí)行授權(quán)信息登錄D22,將資源信息和用戶(hù)信息登記到由單點(diǎn)登錄層23管理的登錄信息數(shù)據(jù)庫(kù);然后向云資源服務(wù)器3發(fā)出授權(quán)信息同步D23 ;云資源服務(wù)器3執(zhí)行授權(quán)信息同步D24,由此獲得有資格進(jìn)行云服務(wù)訪問(wèn)的賬戶(hù)信息;資源授權(quán)管理單元231收到信息同步應(yīng)答D25,確定同步完成,然后回復(fù)用戶(hù)交互層21定制成功應(yīng)答D26,通知其云服務(wù)定制完成。步驟D27到步驟D36,是服務(wù)訪問(wèn)請(qǐng)求的處理流程。這個(gè)過(guò)程建立在用戶(hù)事先登錄的基礎(chǔ)上。步驟D27到步驟D29對(duì)所請(qǐng)求的服務(wù)進(jìn)行授權(quán)檢查,如果在授權(quán)范圍內(nèi),則向服務(wù)生命周期管理單元232發(fā)出服務(wù)創(chuàng)建請(qǐng)求;步驟D30到步驟D35是會(huì)話初始化單元233向云資源服務(wù)器3請(qǐng)求會(huì)話創(chuàng)建,如果創(chuàng)建成,將會(huì)話信息回復(fù)給服務(wù)生命周期管理單元232,便于它對(duì)該會(huì)話進(jìn)行管理;最后,步驟D36通知用戶(hù)交互層21云服務(wù)訪問(wèn)成功應(yīng)答。步驟D37到步驟D53,是服務(wù)遷移請(qǐng)求的處理流程。這個(gè)過(guò)程建立步驟D19到步驟D36的云服務(wù)訪問(wèn)基礎(chǔ)之上的,即用戶(hù)已經(jīng)登錄某個(gè)云服務(wù)之后才能進(jìn)行以下操作。步驟D37到步驟D39對(duì)所打算遷移的云服務(wù)進(jìn)行授權(quán)檢查,如果在授權(quán)范圍內(nèi),則向服務(wù)生命周期管理單元232發(fā)出服務(wù)遷移請(qǐng)求;步驟D40到步驟D46將進(jìn)行中的會(huì)話注銷(xiāo);步驟D47到步驟D51執(zhí)行新的會(huì)話創(chuàng)建;步驟D52到步驟D53通知用戶(hù)交互層21云服務(wù)遷移成功應(yīng)答。圖4到圖6所述的云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)中,三個(gè)功能層因?yàn)榘踩凸芾淼男枰M(jìn)行頻繁的數(shù)據(jù)傳輸和信息處理。將三個(gè)層都集成到云服務(wù)訪問(wèn)網(wǎng)關(guān)中,可以有效降低系統(tǒng)處理延遲。因此,本系統(tǒng)可以 通過(guò)一次加密認(rèn)證的登錄,實(shí)現(xiàn)跨云服務(wù)的訪問(wèn)。
權(quán)利要求
1.一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng),包括客戶(hù)端(I)、云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)、云資源服務(wù)器(3),其中: 所述客戶(hù)端(1),通過(guò)因特網(wǎng)與各個(gè)云資源服務(wù)器(3)、云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)建立連接,進(jìn)行數(shù)據(jù)和事件交互; 所述云服務(wù)訪問(wèn)網(wǎng)關(guān)(2),包括至少一個(gè)網(wǎng)關(guān)服務(wù)器,用來(lái)接收和處理來(lái)自用戶(hù)的請(qǐng)求和來(lái)自云計(jì)算中心的事件響應(yīng),并為二者建立數(shù)據(jù)和事件交互的通道; 所述云資源服務(wù)器(3),包括云服務(wù)(302)和云服務(wù)管理數(shù)據(jù)庫(kù)(301),是部署在云計(jì)算中心的服務(wù)器,為云服務(wù)提供物理和邏輯依托; 其特征在于: 所述云服務(wù)訪問(wèn)網(wǎng)關(guān)(2),包括用戶(hù)交互層(21)、安全認(rèn)證層(22)和單點(diǎn)登錄層(23);所述用戶(hù)交互層(21),包括用戶(hù)請(qǐng)求交互單元(211),用戶(hù)請(qǐng)求解析單元(212),用戶(hù)事件響應(yīng)單元(213),用戶(hù)登陸控制單元(214),用于和客戶(hù)端(I)進(jìn)行信息交互,進(jìn)行用戶(hù)注冊(cè)、用戶(hù)登錄、賬戶(hù)修改、云服務(wù)定制、云服務(wù)訪問(wèn)、云服務(wù)前移; 所述安全認(rèn)證層(22),包括用戶(hù)信息審查單元(221),用戶(hù)賬戶(hù)設(shè)定單元(222),加密認(rèn)證單元(223),認(rèn) 證信息數(shù)據(jù)庫(kù)(224),用于對(duì)用戶(hù)登錄信息進(jìn)行合法性驗(yàn)證,安全認(rèn)證層(22 )賬戶(hù)生成后和單點(diǎn)登錄層(23)的登錄信息數(shù)據(jù)庫(kù)進(jìn)行賬戶(hù)信息同步; 所述單點(diǎn)登錄層(23),包括資源授權(quán)管理單元(231),云服務(wù)生命周期管理單元(232),會(huì)話初始化單元(233),會(huì)話遷移單元(234),登錄信息數(shù)據(jù)庫(kù)(235),用于實(shí)現(xiàn)利用單一用戶(hù)ID進(jìn)行跨應(yīng)用服務(wù)訪問(wèn),單點(diǎn)登錄層(23)將登陸狀態(tài)的信息和賬戶(hù)修改信息同步到云資源服務(wù)器(3),同時(shí)將信息同步完成的結(jié)果通知安全認(rèn)證層(22),單點(diǎn)登錄層(23)處理服務(wù)定制請(qǐng)求、服務(wù)創(chuàng)建請(qǐng)求、服務(wù)遷移請(qǐng)求后,反饋通知到用戶(hù)交互層(21); 云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)中的用戶(hù)交互層(21)、安全認(rèn)證層(22)和單點(diǎn)登錄層(23)三個(gè)功能層,根據(jù)云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)安全和管理的需要,與客戶(hù)端(I)和云資源服務(wù)器(3)進(jìn)行頻繁的數(shù)據(jù)傳輸和同步信息處理,實(shí)現(xiàn)加密認(rèn)證和單點(diǎn)登錄的協(xié)同動(dòng)作。
2.根據(jù)權(quán)利要求1所述一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng),其特征在于:所述客戶(hù)端(I)包括硬件和軟件,其中硬件為計(jì)算機(jī),或?yàn)橹悄苁謾C(jī),或?yàn)橛|摸式電腦,硬件之間通過(guò)網(wǎng)絡(luò)有線或無(wú)線連接。
3.根據(jù)權(quán)利要求1所述一種用于云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng),其特征在于:所述云服務(wù)(302)包括至少一個(gè)用戶(hù),最終訪問(wèn)的是基礎(chǔ)設(shè)施服務(wù),或應(yīng)用系統(tǒng)服務(wù)中的郵件系統(tǒng)服務(wù)、數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)。
4.一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的方法,其特征在于云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的執(zhí)行流程包括如下步驟: 用戶(hù)請(qǐng)求交互單元(211 ),接收來(lái)自客戶(hù)端(I)的請(qǐng)求,并將云服務(wù)訪問(wèn)網(wǎng)關(guān)的請(qǐng)求處理結(jié)果向客戶(hù)端(I)回復(fù); 用戶(hù)請(qǐng)求解析單元(212),根據(jù)用戶(hù)請(qǐng)求內(nèi)容將請(qǐng)求分為賬戶(hù)注冊(cè)請(qǐng)求、用戶(hù)登錄請(qǐng)求、賬戶(hù)修改請(qǐng)求、云服務(wù)定制請(qǐng)求、云服務(wù)訪問(wèn)請(qǐng)求和云服務(wù)遷移請(qǐng)求; 用戶(hù)事件響應(yīng)單元(213),將具體請(qǐng)求發(fā)送到安全認(rèn)證層(22)或單點(diǎn)登錄層(23)將請(qǐng)求回復(fù)通知給用戶(hù),請(qǐng)求交互單元(211); 用戶(hù)信息審查單元(221 ),接受并對(duì)具體請(qǐng)求信息或資源需求信息進(jìn)行驗(yàn)證,確認(rèn)這些信息是否合法且符合云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)規(guī)范,加密認(rèn)證單元(223)將加密的隨機(jī)數(shù)作為加密認(rèn)證請(qǐng)求,返回給用戶(hù)交互層(21); 用戶(hù)賬戶(hù)設(shè)定單元(222),創(chuàng)建和修改用戶(hù)賬戶(hù)及用戶(hù)公鑰,并將用戶(hù)信息設(shè)置到認(rèn)證信息數(shù)據(jù)庫(kù)(224), 資源授權(quán)管理單元(231),為用戶(hù)所請(qǐng)求資源進(jìn)行授權(quán),并將用戶(hù)注冊(cè)、登錄、資源利用狀況,設(shè)置到登錄信息數(shù)據(jù)庫(kù)(235); 云服務(wù)生命周期管理單元(232),記錄用戶(hù)登陸系統(tǒng)的時(shí)刻及用戶(hù)狀態(tài); 會(huì)話初始化單元(233),建立用戶(hù)與應(yīng)用服務(wù)的通信連接,會(huì)話遷移單元(234)針對(duì)用戶(hù)對(duì)資源的利用變更,請(qǐng)求為用戶(hù)重建通信連接,并保證用戶(hù)無(wú)需登出云平臺(tái)即進(jìn)行會(huì)話遷移。
5.根據(jù)權(quán)利要求4所述一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的方法,其特征在于所述云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)的方法還包括:用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)(2),登錄認(rèn)證、用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)(2),請(qǐng)求云服務(wù)、用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)(2),進(jìn)行云服務(wù)遷移; 用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)(2),登錄認(rèn)證的流程步驟為: 用戶(hù)通過(guò)客戶(hù)端(I)以用戶(hù)ID向云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)提交登錄請(qǐng)求(AOl); 云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)針對(duì)登錄請(qǐng)求(AOl)對(duì)用戶(hù)身份合法性進(jìn)行驗(yàn)證,首先云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)生成隨機(jī)數(shù),并通過(guò)用戶(hù)事先登錄的公鑰對(duì)該隨機(jī)數(shù)加密,將加密結(jié)果作為加密認(rèn)證請(qǐng)求(A02)發(fā)送給客戶(hù)端(I); 客戶(hù)端(I)使用與 事先登陸在網(wǎng)關(guān)上公鑰相對(duì)應(yīng)的私鑰,將所述加密結(jié)果進(jìn)行解密,并將解密結(jié)果作為加密認(rèn)證回復(fù)(A03)返回到云服務(wù)訪問(wèn)網(wǎng)關(guān)(2); 如果所述解密結(jié)果與所述隨機(jī)數(shù)相同,云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)認(rèn)為登陸成功,向客戶(hù)端(I)返回,登錄認(rèn)證成功(A04); 用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)(2),請(qǐng)求云服務(wù)的流程步驟為: 登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)后,用戶(hù)通過(guò)客戶(hù)端(I)發(fā)出云服務(wù)訪問(wèn)請(qǐng)求(A05); 云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)嘗試與目標(biāo)服務(wù)建立通信通道,向云服務(wù)發(fā)出會(huì)話創(chuàng)建請(qǐng)求(A06); 云服務(wù)根據(jù)當(dāng)前資源使用情況和服務(wù)定制情況,創(chuàng)建會(huì)話ID、啟動(dòng)云服務(wù)并向云服務(wù)訪問(wèn)網(wǎng)關(guān)(2 )回復(fù)會(huì)話創(chuàng)建成功(A07 ); 云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)將會(huì)話信息錄入數(shù)據(jù)庫(kù)后,向客戶(hù)端(I)回復(fù)云服務(wù)訪問(wèn)成功(A08); 客戶(hù)端(I)的用戶(hù)與云服務(wù)交互(A09); 用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)(2),進(jìn)行云服務(wù)遷移的流程步驟為: 當(dāng)業(yè)務(wù)需求發(fā)生改變時(shí),用戶(hù)向云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)發(fā)送云服務(wù)遷移請(qǐng)求(AlO); 云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)負(fù)責(zé)注銷(xiāo)當(dāng)前云服務(wù)的會(huì)話連接,并向新的目標(biāo)云服務(wù)發(fā)送會(huì)話遷移請(qǐng)求(AlI); 云服務(wù)根據(jù)當(dāng)前資源使用情況和服務(wù)定制情況,創(chuàng)建會(huì)話ID、啟動(dòng)云服務(wù)并向云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)回復(fù)會(huì)話遷移成功(A12); 云服務(wù)訪問(wèn)網(wǎng)關(guān)(2)將會(huì)話信息錄入數(shù)據(jù)庫(kù)后,向客戶(hù)端(I)回復(fù)云服務(wù)遷移成功(A13);客戶(hù)端(I )由此實(shí)現(xiàn)用戶(hù)與云服務(wù)交互(A14)。
全文摘要
本發(fā)明涉及一種云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)和方法,系統(tǒng)包括客戶(hù)端、云服務(wù)訪問(wèn)網(wǎng)關(guān)、云資源服務(wù)器。所述云服務(wù)訪問(wèn)網(wǎng)關(guān),包括用戶(hù)交互層、安全認(rèn)證層和單點(diǎn)登錄層三個(gè)功能層,根據(jù)云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng)安全和管理的需要,與客戶(hù)端和云資源服務(wù)器進(jìn)行頻繁的數(shù)據(jù)傳輸和同步信息處理,實(shí)現(xiàn)加密認(rèn)證和單點(diǎn)登錄的協(xié)同動(dòng)作。方法是客戶(hù)端的用戶(hù)通過(guò)請(qǐng)求交互、解析、信息審查、資源授權(quán)等會(huì)話初始化單元,實(shí)現(xiàn)用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān)系統(tǒng),登錄認(rèn)證;用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān),請(qǐng)求云服務(wù);用戶(hù)登錄云服務(wù)訪問(wèn)網(wǎng)關(guān),進(jìn)行云服務(wù)遷移。本發(fā)明通過(guò)一次注冊(cè)、一次登陸和多次訪問(wèn)的形式,簡(jiǎn)化了用戶(hù)利用云服務(wù)的手續(xù),也為云資源管理提供了較大的便利條件。
文檔編號(hào)H04L29/06GK103237019SQ20131011600
公開(kāi)日2013年8月7日 申請(qǐng)日期2013年4月3日 優(yōu)先權(quán)日2013年4月3日
發(fā)明者崔超遠(yuǎn), 王儒敬, 烏云 申請(qǐng)人:中國(guó)科學(xué)院合肥物質(zhì)科學(xué)研究院