本發(fā)明涉及信息安全認(rèn)證技術(shù)和云計算技術(shù)領(lǐng)域,特別涉及一種云環(huán)境下安全認(rèn)證資源分配和管理方法。
背景技術(shù):
隨著云計算和虛擬技術(shù)的推廣普及,已經(jīng)涌現(xiàn)出很多優(yōu)秀的云計算應(yīng)用服務(wù)平臺,其聚合了大量的物理硬件資源,并采用虛擬化技術(shù)將物理硬件設(shè)備的硬件資源進(jìn)行抽象,實現(xiàn)異構(gòu)網(wǎng)絡(luò)計算資源的統(tǒng)一的分配、調(diào)度和管理,,從而達(dá)到充分利用軟硬件資源、提高利用率的目的。
近年來,IaaS(Infrastructure as a Service基礎(chǔ)架構(gòu)即服務(wù))、PaaS(Platform as a Service平臺即服務(wù))和SaaS(Software as a Service軟件即服務(wù))服務(wù)模式已經(jīng)被廣泛認(rèn)可。其中,PaaS平臺的發(fā)展更為開發(fā)運維人員部署維護(hù)應(yīng)用系統(tǒng)帶來了便利,諸如JavaEE應(yīng)用中間件、數(shù)據(jù)庫系統(tǒng)、大數(shù)據(jù)分布式計算系統(tǒng)、消息中間件等必要的基礎(chǔ)支撐系統(tǒng)都將以服務(wù)的形式提供給用戶。通過服務(wù)的方式將現(xiàn)有IT資源和基礎(chǔ)設(shè)施分配給用戶,極大的縮短了開發(fā)人員和運維人員在軟件基礎(chǔ)設(shè)施上的部署時間,降低了部署維護(hù)成本,并且PaaS平臺提供的服務(wù)具有高可用性和高擴(kuò)展性,能保證用戶應(yīng)用系統(tǒng)的高效靈活運行。
在云環(huán)境下,安全認(rèn)證問題也是各個用戶應(yīng)用系統(tǒng)必須考慮的,傳統(tǒng)的安全認(rèn)證方式在云環(huán)境下成為瓶頸。在這種情況下,如何能將權(quán)限管理基礎(chǔ)設(shè)施服務(wù)、加解密服務(wù)、簽名驗簽服務(wù)、時間戳服務(wù)等安全認(rèn)證資源在云環(huán)境下統(tǒng)一分配和管理,并能滿足個性化的安全認(rèn)證服務(wù)需求,成為亟須解決的問題。
基于上述問題,本發(fā)明提出了一種云環(huán)境下安全認(rèn)證資源分配和管理方法。
技術(shù)實現(xiàn)要素:
本發(fā)明為了彌補現(xiàn)有技術(shù)的缺陷,提供了一種簡單高效的云環(huán)境下安全認(rèn)證資源分配和管理方法。
本發(fā)明是通過如下技術(shù)方案實現(xiàn)的:
一種云環(huán)境下安全認(rèn)證資源分配和管理方法,其特征在于:基于數(shù)字證書實現(xiàn)云安全認(rèn)證PaaS平臺對用戶的身份認(rèn)證,并通過將硬件安全設(shè)備資源池化實現(xiàn)統(tǒng)一分配和管理安全認(rèn)證資源,為用戶應(yīng)用系統(tǒng)提供高效、靈活的安全認(rèn)證服務(wù);
其中,云安全認(rèn)證PaaS平臺負(fù)責(zé)數(shù)字證書的發(fā)放,安全認(rèn)證資源的分配和管理,以及安全認(rèn)證資源的運行實時調(diào)度;用戶包括開發(fā)人員或運維人員,通過云安全認(rèn)證PaaS平臺為其頒發(fā)數(shù)字證書,并利用數(shù)字證書實現(xiàn)安全認(rèn)證資源的訪問控制以及與應(yīng)用系統(tǒng)的集成。
所述云安全認(rèn)證PaaS平臺為用戶應(yīng)用分配獨享的安全認(rèn)證資源,即分配的硬件安全設(shè)備只為此用戶獨享,為其應(yīng)用提供安全認(rèn)證服務(wù),其具體分配過程包括以下步驟:
(1)云安全認(rèn)證PaaS平臺為用戶頒發(fā)數(shù)字證書,并存儲在外部硬件Key介質(zhì)中;
(2)用戶向云安全認(rèn)證PaaS平臺提出申請獨享的安全認(rèn)證資源,并指定所需安全服務(wù)的規(guī)格;
(3)云安全認(rèn)證PaaS平臺根據(jù)提出的申請內(nèi)容,分配硬件安全設(shè)備并進(jìn)行初始化;
(4)云安全認(rèn)證PaaS平臺將用戶數(shù)字證書與硬件安全設(shè)備綁定并返回管理端口自服務(wù)地址;
(5)用戶通過管理訪問自服務(wù)地址來訪問硬件安全設(shè)備,生成安全服務(wù)訪問憑證并與應(yīng)用系統(tǒng)集成;
(6)用戶應(yīng)用系統(tǒng)通過憑證來訪問服務(wù)實現(xiàn)相關(guān)安全認(rèn)證操作。
所述云安全認(rèn)證PaaS平臺為用戶應(yīng)用分配共享的安全認(rèn)證資源,即分配的硬件安全設(shè)備為多個用戶提供服務(wù),其具體分配過程包括以下步驟:
(1)云安全認(rèn)證PaaS平臺為用戶頒發(fā)數(shù)字證書,并存儲在外部硬件Key介質(zhì)中;
(2)用戶向云安全認(rèn)證PaaS平臺提出申請共享的安全認(rèn)證資源,并指定所需安全服務(wù)的規(guī)格;
(3)云安全認(rèn)證PaaS平臺根據(jù)提出的申請內(nèi)容,在安全認(rèn)證資源池中分配資源,并保證雙機熱備,即申請的服務(wù)必須是來自不同的硬件安全設(shè)備中;
(4)云安全認(rèn)證PaaS平臺將用戶數(shù)字證書與安全認(rèn)證資源綁定并返回管理端口自服務(wù)地址;
(5)用戶通過管理訪問自服務(wù)地址來訪問安全認(rèn)證資源,生成安全服務(wù)訪問憑證并與應(yīng)用系統(tǒng)集成;
(6)用戶應(yīng)用系統(tǒng)通過憑證來訪問服務(wù)實現(xiàn)相關(guān)安全認(rèn)證操作。
云計算環(huán)境下硬件安全設(shè)備宕機的服務(wù)遷移,具體過程包括以下步驟:
(1)云安全認(rèn)證PaaS平臺檢測到硬件安全設(shè)備宕機;
(2)云安全認(rèn)證PaaS平臺將宕機設(shè)備的安全認(rèn)證資源的訪問轉(zhuǎn)向熱備的硬件安全設(shè)備;
(3)云安全認(rèn)證PaaS平臺獲取宕機設(shè)備所對應(yīng)資源的密鑰進(jìn)行備份,并恢復(fù)到另一空閑安全密碼設(shè)備中;
(4)云安全認(rèn)證PaaS平臺修改用戶與安全認(rèn)證資源對應(yīng)列表,保證用戶可以通過管理端口訪問恢復(fù)的安全認(rèn)證資源。
云計算環(huán)境下數(shù)字簽名驗證操作的優(yōu)化處理,具體過程包括以下步驟:
(1)用戶應(yīng)用系統(tǒng)通過憑證來訪問數(shù)字簽名驗證服務(wù);
(2)云安全認(rèn)證PaaS平臺根據(jù)當(dāng)前的資源池運行狀況,將操作動態(tài)分配給其他未分配空閑安全認(rèn)證資源中;
(3)所分配的安全認(rèn)證資源上實現(xiàn)數(shù)字簽名驗證操作,并將結(jié)果返回給用戶應(yīng)用系統(tǒng);
(4)云安全認(rèn)證PaaS平臺回收安全認(rèn)證資源到資源池。
該云環(huán)境下安全認(rèn)證資源分配和管理方法,相對現(xiàn)有技術(shù)取得的有益效果如下:
(1)將權(quán)限管理基礎(chǔ)設(shè)施服務(wù)、加解密服務(wù)、簽名驗簽服務(wù)、時間戳服務(wù)等安全認(rèn)證資源在云環(huán)境下統(tǒng)一分配和管理,有效的解決了云計算環(huán)境中各類安全認(rèn)證資源的分配和管理問題;
(2)通過提供PaaS服務(wù)實現(xiàn)安全認(rèn)證資源池中動態(tài)分配資源,同時提供硬件安全設(shè)備獨享模式,具有更高的安全性;
(3)根據(jù)云端用戶的個性化需求,按需分配云安全認(rèn)證資源,提供云環(huán)境下各類應(yīng)用系統(tǒng)用戶身份認(rèn)證,明確認(rèn)定系統(tǒng)中產(chǎn)生的各方責(zé)任,解決了云服務(wù)中出現(xiàn)的安全認(rèn)證問題,保證了云數(shù)據(jù)機密性、完整性,提供了更加高效、靈活的個性化安全認(rèn)證服務(wù),并且保證了認(rèn)證資源自身的安全性;
(4)采用雙機熱備模式,并且可以在運行中自動切換,保證了安全認(rèn)證資源的高可用性;
(5)對于頻繁的數(shù)字簽名驗簽操作提供了動態(tài)分配回收策略,極大的提高了用戶應(yīng)用系統(tǒng)安全認(rèn)證操作的效率。
附圖說明
附圖1為本發(fā)明云安全認(rèn)證PaaS平臺結(jié)構(gòu)示意圖。
附圖2為本發(fā)明分配獨享的安全認(rèn)證資源流程示意圖。
附圖3為本發(fā)明分配共享的安全認(rèn)證資源流程示意圖。
附圖4為本發(fā)明硬件安全設(shè)備宕機的服務(wù)遷移流程示意圖。
附圖5為本發(fā)明數(shù)字簽名驗證操作的優(yōu)化處理流程示意圖。
具體實施方式
為了使本發(fā)明所要解決的技術(shù)問題、技術(shù)方案及有益效果更加清楚明白,以下結(jié)合附圖和實施例,對本發(fā)明進(jìn)行詳細(xì)的說明。應(yīng)當(dāng)說明的是,此處所描述的具體實施例僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
該云環(huán)境下安全認(rèn)證資源分配和管理方法,基于數(shù)字證書實現(xiàn)云安全認(rèn)證PaaS平臺對用戶的身份認(rèn)證,并通過將硬件安全設(shè)備資源池化實現(xiàn)統(tǒng)一分配和管理安全認(rèn)證資源,為用戶應(yīng)用系統(tǒng)提供高效、靈活的安全認(rèn)證服務(wù);
其中,云安全認(rèn)證PaaS平臺負(fù)責(zé)數(shù)字證書的發(fā)放,安全認(rèn)證資源的分配和管理,以及安全認(rèn)證資源的運行實時調(diào)度;用戶包括開發(fā)人員或運維人員,通過云安全認(rèn)證PaaS平臺為其頒發(fā)數(shù)字證書,并利用數(shù)字證書實現(xiàn)安全認(rèn)證資源的訪問控制以及與應(yīng)用系統(tǒng)的集成。
下面分別對分配獨享的安全認(rèn)證資源,分配共享的安全認(rèn)證資源,硬件安全設(shè)備宕機的服務(wù)遷移和數(shù)字簽名驗證操作的優(yōu)化處理的過程分別進(jìn)行說明。
所述云安全認(rèn)證PaaS平臺為用戶應(yīng)用分配獨享的安全認(rèn)證資源,即分配的硬件安全設(shè)備只為此用戶獨享,為其應(yīng)用提供安全認(rèn)證服務(wù),其具體分配過程包括以下步驟:
(1)云安全認(rèn)證PaaS平臺為用戶頒發(fā)數(shù)字證書,并存儲在外部硬件Key介質(zhì)中;
例如采用USBKey存儲國密算法SM2數(shù)字證書,密鑰強度為256位,與同等安全強度的RSA算法相比,可以加快速度、節(jié)省存儲和減少傳輸數(shù)據(jù)大?。?/p>
(2)用戶向云安全認(rèn)證PaaS平臺提出申請獨享的安全認(rèn)證資源,并指定所需安全服務(wù)的規(guī)格;
例如需要簽名驗簽服務(wù)器2臺,驗簽速度為1000次/秒;
(3)云安全認(rèn)證PaaS平臺根據(jù)提出的申請內(nèi)容,分配硬件安全設(shè)備并進(jìn)行初始化;由于安全設(shè)備的重要性,這里都需要雙機熱備;
(4)云安全認(rèn)證PaaS平臺將用戶數(shù)字證書與硬件安全設(shè)備綁定并返回管理端口自服務(wù)地址;這里的自服務(wù)是指用戶可以通過數(shù)字證書來訪問指定的管理端口,自助進(jìn)行對安全硬件設(shè)備的管理;
(5)用戶通過管理訪問自服務(wù)地址來訪問硬件安全設(shè)備,生成安全服務(wù)訪問憑證并與應(yīng)用系統(tǒng)集成;
(6)用戶應(yīng)用系統(tǒng)通過憑證來訪問服務(wù)實現(xiàn)相關(guān)安全認(rèn)證操作。
所述云安全認(rèn)證PaaS平臺為用戶應(yīng)用分配共享的安全認(rèn)證資源,即分配的硬件安全設(shè)備為多個用戶提供服務(wù),其具體分配過程包括以下步驟:
(1)云安全認(rèn)證PaaS平臺為用戶頒發(fā)數(shù)字證書,并存儲在外部硬件Key介質(zhì)中;
例如采用USBKey存儲國密算法SM2數(shù)字證書,密鑰強度為256位,與同等安全強度的RSA算法相比,可以加快速度、節(jié)省存儲和減少傳輸數(shù)據(jù)大??;
(2)用戶向云安全認(rèn)證PaaS平臺提出申請共享的安全認(rèn)證資源,并指定所需安全服務(wù)的規(guī)格;例如指定需要驗簽服務(wù),驗證速度為1000次/秒;
(3)云安全認(rèn)證PaaS平臺根據(jù)提出的申請內(nèi)容,在安全認(rèn)證資源池中分配資源,并保證雙機熱備,即申請的服務(wù)必須是來自不同的硬件安全設(shè)備中;
(4)云安全認(rèn)證PaaS平臺將用戶數(shù)字證書與安全認(rèn)證資源綁定并返回管理端口自服務(wù)地址;這里的自服務(wù)是指用戶可以通過數(shù)字證書來訪問指定的管理端口,自助進(jìn)行對安全硬件設(shè)備的管理;
(5)用戶通過管理訪問自服務(wù)地址來訪問安全認(rèn)證資源,生成安全服務(wù)訪問憑證并與應(yīng)用系統(tǒng)集成;
(6)用戶應(yīng)用系統(tǒng)通過憑證來訪問服務(wù)實現(xiàn)相關(guān)安全認(rèn)證操作。
云計算環(huán)境下硬件安全設(shè)備宕機的服務(wù)遷移,具體過程包括以下步驟:
(1)云安全認(rèn)證PaaS平臺檢測到硬件安全設(shè)備宕機;例如驗簽服務(wù)器出現(xiàn)宕機;
(2)云安全認(rèn)證PaaS平臺將宕機設(shè)備的安全認(rèn)證資源的訪問轉(zhuǎn)向熱備的硬件安全設(shè)備;由于系統(tǒng)都采用了雙機熱備的方式,故可以設(shè)置內(nèi)部訪問地址,指向熱備的硬件安全設(shè)備;
(3)云安全認(rèn)證PaaS平臺獲取宕機設(shè)備所對應(yīng)資源的密鑰進(jìn)行備份,并恢復(fù)到另一空閑安全密碼設(shè)備中;
(4)云安全認(rèn)證PaaS平臺修改用戶與安全認(rèn)證資源對應(yīng)列表,保證用戶可以通過管理端口訪問恢復(fù)的安全認(rèn)證資源。
云計算環(huán)境下數(shù)字簽名驗證操作的優(yōu)化處理,具體過程包括以下步驟:
(1)用戶應(yīng)用系統(tǒng)通過憑證來訪問數(shù)字簽名驗證服務(wù);
(2)云安全認(rèn)證PaaS平臺根據(jù)當(dāng)前的資源池運行狀況,將操作動態(tài)分配給其他未分配空閑安全認(rèn)證資源中;
(3)所分配的安全認(rèn)證資源上實現(xiàn)數(shù)字簽名驗證操作,并將結(jié)果返回給用戶應(yīng)用系統(tǒng);
(4)云安全認(rèn)證PaaS平臺回收安全認(rèn)證資源到資源池。