| 发明名称 | 云计算环境下虚拟主机安全连接动态建立方法与系统 | ||
| 摘要 | 本发明提供一种云计算环境下虚拟主机安全连接动态建立的方法与系统。该方法与系统包括:云计算环境下零可信度的用户虚拟主机节点接入虚拟网络,通过可信认证服务器获得虚拟IP地址。由可信认证服务器对源虚拟主机和目标虚拟主机节点进行基于策略的可信身份认证,匹配源虚拟主机和目标虚拟主机节点的安全等级,并指派所建立的安全连接协议栈类型,则源用户虚拟主机可向目标用户虚拟主机发起建立安全连接。本发明通过引入云计算环境下公共在线第三方可信认证服务器,实现不同业务属性和跨安全域的用户虚拟主机动态建立安全连接,有效解决了传统的安全连接需人工预先配置、静态建立、升级和维护复杂等问题,本发明具有简单高效和成本低廉等优势。 | ||
| 申请公布号 | CN103051643B | 申请公布日期 | 2016.03.23 |
| 申请号 | CN201310023291.1 | 申请日期 | 2013.01.22 |
| 申请人 | 西安邮电大学;西安未来国际信息股份有限公司 | 发明人 | 朱志祥;王茜;任学强;张磊;王佩;史晨昱;刘盛辉;赵伟 |
| 分类号 | H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 西安文盛专利代理有限公司 61100 | 代理人 | 彭冬英 |
| 主权项 | 云计算环境下虚拟主机安全连接动态建立方法,该方法应用于云计算环境下虚拟主机安全连接动态建立的系统,该系统包括源用户虚拟主机(1)、目标用户虚拟主机(2)、云计算环境下的虚拟IP网络(3),与该网络连接的第三方可信认证服务器(4),该可信认证服务器中设置有用于向接入该虚拟IP网络的用户虚拟主机分配和管理虚拟IP地址的DHCP模块(5)、用于向接入虚拟IP网络的用户虚拟主机节点颁发并注册数字证书的数字证书认证与授权模块CA(6)、身份鉴别与认证模块(7)、数据存储与计算模块(8),其特征是:包括以下步骤:①在云计算环境下引入第三方可信认证服务器,源用户虚拟主机(1)节点被创建并通过可信认证服务器(4)接入该虚拟IP网络(3),由可信认证服务器(4)中的DHCP模块(5)为源用户虚拟主机(1)节点分配动态虚拟IP地址,源用户虚拟主机(1)向可信认证服务器(4)请求申请用于虚拟主机节点身份鉴别的数字证书,由可信认证服务器(4)中的数字证书认证与授权模块CA(6)为源用户虚拟主机(1)节点注册并颁发数字证书;②根据用户业务操作,需要由源用户虚拟主机(1)节点提交一个连接目标用户虚拟主机(2)节点的请求时,源用户虚拟主机(1)节点向第三方可信认证服务器(4)发送安全连接身份鉴别消息分组1,该消息分组1主要元素包括:源用户虚拟主机(1)节点标识vHost_ID<sub>S</sub>、接入媒体类型AccessMedia、源用户虚拟主机(1)节点证书、源用户虚拟主机(1)节点虚拟IP地址、目标虚拟主机(2)节点业务类型、源用户虚拟主机(1)本地生成的随机数N<sub>S</sub>以及源用户虚拟主机(1)对消息分组中除本字段外的所有数据字段的数字签名;③可信认证服务器(4)对源虚拟主机(1)节点的消息分组1中数字签名进行身份认证,若认证失败,则向源用户虚拟主机(1)节点返回错误消息代码类型;否则根据欲连接的目标虚拟主机(2)节点业务类型,本地查找其虚拟IP地址;可信认证服务器(4)向目标虚拟主机(2)节点发送安全连接身份鉴别消息分组2,该消息分组2主要元素包括:源虚拟主机(1)节点身份认证结果Res<sub>S</sub>、随机数N<sub>S</sub>、可信认证服务器(4)本地生成的随机数N<sub>SS</sub>以及安全服务器对本消息分组中除本字段外的所有数据字段的数字签名;④目标虚拟主机(2)计算消息分组2中数字签名,认证该消息正确性;检查源用户虚拟主机(1)身份认证结果;目标虚拟主机(2)向可信认证服务器(4)发送安全连接身份鉴别消息分组3,该消息分组3主要元素包括:目标用户虚拟主机(2)节点标识vHost_ID<sub>D</sub>、接入媒体类型AccessMedia、目标用户虚拟主机(2)节点证书、目标用户虚拟主机(2)节点IP地址、随机数N<sub>S</sub>、随机数N<sub>SS</sub>和目标虚拟主机(2)对本消息分组中除本字段外的所有数据字段的数字签名;⑤可信认证服务器(4)对目标虚拟主机(2)节点的消息分组3中数字签名进行身份认证,认证该消息正确性;匹配随机数N<sub>SS</sub>,认证该消息分组的时效性;检查目标用户虚拟主机节点的数字证书,对目标用户虚拟主机进行基于证书的身份认证;若认证失败,则向目标用户虚拟主机(2)节点返回错误消息代码类型,并通告源用户虚拟主机(1)节点安全连接建立失败错误类型;否则可信认证服务器(4)读取源用户虚拟主机(1)和目标用户虚拟主机(2)节点标识vHost_ID,并查询云平台中虚拟化安全资源管理服务器VSRM上的用户虚拟主机属性数据库VMADB,测量匹配源用户虚拟主机(1)和目标用户虚拟主机(2)的安全等级,以决策源用户虚拟主机(1)节点能否向目标用户虚拟主机(2)节点发起建立安全连接;若源用户虚拟主机(1)节点不能向目标用户虚拟主机(2)节点发起建立安全连接,则通告源用户虚拟主机(1)节点安全连接建立失败错误类型;否则,可信认证服务器(4)指派源虚拟主机(1)向目标虚拟主机(2)建立的安全连接协议栈类型,并向源用户虚拟主机(1)节点发送安全连接身份鉴别消息分组4,该消息分组4主要元素包括:目标用户虚拟主机(2)节点身份认证结果Res<sub>D</sub>、所建立的安全连接协议栈类型、目标用户虚拟主机(2)节点虚拟IP地址、源用户虚拟主机(1)节点的下一跳IP地址、随机数N<sub>S</sub>和本消息分组除该字段外的所有数据字段的数字签名;⑥源用户虚拟主机(1)计算消息分组4中数字签名,认证该消息正确性;匹配随机数N<sub>S</sub>,认证该消息分组4的时效性;检查目标用户虚拟(2)主机身份认证结果;源虚拟主机(1)根据可信认证服务器(4)所指派的安全连接协议栈类型以及目标虚拟主机(2)节点的虚拟IP地址,向目标虚拟主机(2)发起建立安全连接。 | ||
| 地址 | 710061 陕西省西安市长安南路563号 | ||