技術(shù)領(lǐng)域
本發(fā)明屬于云計(jì)算及其安全驗(yàn)證的技術(shù)領(lǐng)域�����,由其涉及一種基于云計(jì)算平臺的虛擬機(jī)安全驗(yàn)證系統(tǒng)及方法���。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)的快速發(fā)展���,云計(jì)算和虛擬機(jī)的應(yīng)用也日益廣泛,云計(jì)算描述了“資源池”化的計(jì)算���、網(wǎng)絡(luò)����、信息和存儲(chǔ)等組成的服務(wù)、應(yīng)用����、信息和基礎(chǔ)設(shè)施的使用。這些組件可以迅速策劃����、置備、部署和退役���,并且可以迅速擴(kuò)展或縮減�,提供按需的���、效用計(jì)算類似的分配和消費(fèi)模式�����。一般來說,云計(jì)算的服務(wù)模式可以分為IaaS(云基礎(chǔ)設(shè)施作為服務(wù))��、PaaS(云平臺作為服務(wù))、SaaS(云軟件作為服務(wù))���。
虛擬化是云計(jì)算的關(guān)鍵技術(shù)之一����,它也是IaaS云服務(wù)的重要元素之一�����。虛擬化技術(shù)帶來的益處很多�,包括可以實(shí)現(xiàn)多租戶,更高的系統(tǒng)效率等��。然而����,虛擬化也帶來了很多的安全問題。例如���,Hypervisor層的安全漏洞����,CPU和內(nèi)存的安全使用�����,虛擬機(jī)系統(tǒng)安全管理,虛擬機(jī)系統(tǒng)鏡像安全等����。隨著云計(jì)算的發(fā)展,虛擬機(jī)系統(tǒng)的安全問題越來越受到關(guān)注���。
然而����,現(xiàn)有技術(shù)中并未給出具體有效的安全解決方案����,使得在虛擬機(jī)通信過程中存在大量的不安全隱患,因此��,傳統(tǒng)的虛擬機(jī)安全驗(yàn)證方法的安全性有待提高��。
技術(shù)實(shí)現(xiàn)要素:
針對現(xiàn)有技術(shù)中存在的虛擬機(jī)安全驗(yàn)證方法的安全性的問題而提出本發(fā)明�����,為此�����,本發(fā)明的主要目的在于提供一種基于云計(jì)算平臺的虛擬機(jī)安全驗(yàn)證系統(tǒng)及方法�����,以解決上述問題���。
為了實(shí)現(xiàn)上述目的�,根據(jù)本發(fā)明的一個(gè)方面�����,提供一種基于云計(jì)算平臺的虛擬機(jī)安全驗(yàn)證系統(tǒng)����,包括如下模塊:
客戶端,服務(wù)器���,秘鑰分配器����,認(rèn)證服務(wù)器�����,授權(quán)服務(wù)器;
所述客戶端分別與所述服務(wù)器�����、所述認(rèn)證服務(wù)器和所述授權(quán)服務(wù)器連接���;所述秘鑰分配器與所述認(rèn)證服務(wù)器和所述授權(quán)服務(wù)器連接�。
為了實(shí)現(xiàn)上述目的���,根據(jù)本發(fā)明的另一方面���,提供了一種采用上述系統(tǒng)的虛擬機(jī)安全驗(yàn)證方法,包括如下步驟:
S1����,客戶端向認(rèn)證服務(wù)器發(fā)送請求;
S2�,認(rèn)證服務(wù)器回復(fù)客戶端;
S3��,客戶端向授權(quán)服務(wù)器請求秘鑰分配器對服務(wù)器的訪問;
S4���,當(dāng)授權(quán)服務(wù)器驗(yàn)證結(jié)束后�����,將授權(quán)客戶端訪問服務(wù)器;
S5���,客戶訪問服務(wù)器����,服務(wù)器回復(fù)客戶端��。
優(yōu)選的����,步驟S1中的請求內(nèi)容包括:客戶端代碼、請求的時(shí)間戳��、客戶端的IP地址和授權(quán)服務(wù)器代碼���。
優(yōu)選的���,步驟S2中回復(fù)客戶端的內(nèi)容包括:客戶的加密密鑰�、授權(quán)票據(jù)的時(shí)間戳���。
優(yōu)選的�����,步驟S3中客戶端請求的內(nèi)容包括:請求訪問的服務(wù)的類型��、授權(quán)票據(jù)和經(jīng)加密的認(rèn)證符�����。
優(yōu)選的�,步驟S5具體包括:
S51����,客戶向服務(wù)器發(fā)送包括客戶會(huì)話的秘鑰加密信息;
S52���,服務(wù)器經(jīng)過解密后�,得到用戶信息�;
S53�,客戶端驗(yàn)證時(shí)間戳�����,確認(rèn)服務(wù)器為目標(biāo)服務(wù)器���。
在本發(fā)明的各個(gè)優(yōu)選實(shí)施方式中�����,根據(jù)云計(jì)算系統(tǒng)中虛擬機(jī)的配置環(huán)境進(jìn)行雙向的安全驗(yàn)證機(jī)制,保障了虛擬機(jī)客戶端的訪問安全�����。在數(shù)據(jù)傳輸?shù)母鱾€(gè)環(huán)節(jié)對加載的用戶進(jìn)行身份認(rèn)證���,防止數(shù)據(jù)信息的非法加載����,防止因系統(tǒng)漏洞而造成的惡意攻擊�����,從而防止了用戶信息泄露。
本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述���,并且�����,部分地從說明書中變得顯而易見����,或者通過實(shí)施本發(fā)明而了解���。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明書���、權(quán)利 要求書、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得����。
附圖說明
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解,構(gòu)成本申請的一部分��,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明��,并不構(gòu)成對本發(fā)明的不當(dāng)限定�����。
圖1是本發(fā)明的基于云計(jì)算平臺的虛擬機(jī)安全驗(yàn)證系統(tǒng)的結(jié)構(gòu)框圖。
具體實(shí)施方式
下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明��。需要說明的是�����,在不沖突的情況下�,本申請中的實(shí)施例及實(shí)施例中的特征可以相互組合。
根據(jù)本發(fā)明的一個(gè)方面���,提供一種基于云計(jì)算平臺的虛擬機(jī)安全驗(yàn)證系統(tǒng)����,如附圖1所示�����,包括如下模塊:
客戶端��,服務(wù)器����,秘鑰分配器,認(rèn)證服務(wù)器����,授權(quán)服務(wù)器;
所述客戶端分別與所述服務(wù)器���、所述認(rèn)證服務(wù)器和所述授權(quán)服務(wù)器連接���;所述秘鑰分配器與所述認(rèn)證服務(wù)器和所述授權(quán)服務(wù)器連接。
為了實(shí)現(xiàn)上述目的�����,根據(jù)本發(fā)明的另一方面����,提供了一種采用上述系統(tǒng)的虛擬機(jī)安全驗(yàn)證方法,包括如下步驟:
S1���,客戶端向認(rèn)證服務(wù)器發(fā)送請求�;
S2�����,認(rèn)證服務(wù)器回復(fù)客戶端;
S3�����,客戶端向授權(quán)服務(wù)器請求秘鑰分配器對服務(wù)器的訪問�;
S4,當(dāng)授權(quán)服務(wù)器驗(yàn)證結(jié)束后�,將授權(quán)客戶端訪問服務(wù)器;
S5����,客戶訪問服務(wù)器,服務(wù)器回復(fù)客戶端��。
優(yōu)選的�����,步驟S1中的請求內(nèi)容包括:客戶端代碼���、請求的時(shí)間戳、客戶端的IP地址和授權(quán)服務(wù)器代碼��。
客戶端向認(rèn)證服務(wù)器發(fā)送請求的請求內(nèi)容包括:C: Client���,我是誰�����。TGS: 訪問哪個(gè)票據(jù)授權(quán)服務(wù)器�,可以是本域的,也可以是其他域的�����。Timestamp: 時(shí)間戳。此外����,還包括IP Address���。其中����,請求以明文發(fā)送�。這個(gè)過程沒有任何密碼以明文形式發(fā)送。
優(yōu)選的���,步驟S2中回復(fù)客戶端的內(nèi)容包括:客戶的加密密鑰�����、授權(quán)票據(jù)的時(shí)間戳�。
內(nèi)容由Kc加密,它是客戶的加密密鑰��,多由客戶的密碼通過哈希算法得到����,認(rèn)證服務(wù)器的數(shù)據(jù)庫里面有客戶的密鑰,客戶自己也有這個(gè)密鑰����,解開這個(gè)回復(fù)。該回復(fù)包含兩部分���,第一部分Kc����,是客戶端和票據(jù)授權(quán)服務(wù)器之間的共享的會(huì)話密鑰����,第二部分是訪問的票據(jù)���。
優(yōu)選的���,步驟S3中客戶端請求的內(nèi)容包括:請求訪問的服務(wù)的類型��、授權(quán)票據(jù)和經(jīng)加密的認(rèn)證符��。
用自己的密鑰解開�����,得到客戶的信息����,和與客戶交互使用的密鑰Kc����,拿到認(rèn)證符,用密鑰解密����,也得到客戶的信息。通過比較��,發(fā)現(xiàn)用戶自己提供的信息,和認(rèn)證服務(wù)器提供的信息一致���,則可以訪問服務(wù)器�����。
優(yōu)選的�,步驟S5具體包括:
S51���,客戶向服務(wù)器發(fā)送包括客戶會(huì)話的秘鑰加密信息����;
S52����,服務(wù)器經(jīng)過解密后,得到用戶信息��;
S53�����,客戶端驗(yàn)證時(shí)間戳��,確認(rèn)服務(wù)器為目標(biāo)服務(wù)器。
當(dāng)服務(wù)器拿到授權(quán)服務(wù)器給客戶的票據(jù)后�,用自己的密鑰解開,得到客戶的信息�����,以及將來和客戶交互使用的會(huì)話密鑰����,服務(wù)器拿到客戶的認(rèn)證符���,用秘鑰解密后����,得到客戶的信息��,信息比較一致���,則客戶可以訪問服務(wù)器��。
在本發(fā)明的各個(gè)優(yōu)選實(shí)施方式中�����,根據(jù)云計(jì)算系統(tǒng)中虛擬機(jī)的配置環(huán)境進(jìn)行雙向的安全驗(yàn)證機(jī)制��,保障了虛擬機(jī)客戶端的訪問安全���。在數(shù)據(jù)傳輸?shù)母鱾€(gè)環(huán)節(jié)對加載的用戶進(jìn)行身份認(rèn)證��,防止數(shù)據(jù)信息的非法加載和因系統(tǒng)漏洞而造成的惡意攻擊�,從而防止了用戶信息泄露��。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已���,并不用于限制本發(fā)明��,對于本領(lǐng)域的技術(shù)人員來說�����,本發(fā)明可以有各種更改和變化�。凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修改、等同替換�����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。