一种IaaS系统中的通信方法及其系统技术方案

本发明专利技术公开了一种IaaS系统中的通信方法及其系统，基于公钥基础设施PKI；该方法包括：IaaS系统中的代理方生成公私钥对，并将私钥保存在本地，将公钥发送至被代理方；被代理方依据自身存储的合法证书对应的私钥签发代理方发送的公钥，生成代理证书返回给代理方；在预设生命周期内，代理方依据代理证书来代理被代理方进行相应的操作。本发明专利技术能够令代理方携带被代理方发送的具体合法效力的代理证书进行代理操作，保证了IaaS系统中代理操作的合法性和安全性。

Communication method and system in IaaS system

The invention discloses a communication method for IaaS system and its system, public key infrastructure based on PKI; the method comprises the following steps: IaaS system in the private key to agent Fang Shengcheng, and the private key is stored in the local, the public key is sent to the agent; agent counterpart according to their legal certificates issued by the private key storage agent sending the public key, return to generate a proxy certificate to the agent; in the default life cycle, the agent according to the agent is the agent proxy certificate corresponding to the operation. The invention enables the agent to carry out the proxy operation of the specific legally valid proxy certificate sent by the agent, thereby ensuring the legality and the security of the agent operation in the IaaS system.

【技术实现步骤摘要】
一种IaaS系统中的通信方法及其系统
本专利技术涉及云计算合法认证
，特别是涉及一种IaaS系统中的通信方法及其系统。
技术介绍
IaaS系统作为云计算的一种重要服务模式，是当今公有云/私有云的主要形态，实现了计算、存储、网络等基础资源的服务封装，通过提供VM(VirtualMachine，虚拟机)完成资源的供给与交付。IaaS系统的资源可以分为物理资源(如服务器)和虚拟资源(如VM)，通过系统服务(S)完成资源的组织、管理和调度。从资源管理涉及的角色(或者说用户端)来看，可以分为资源的使用者(T，以租户为主，主要使用VM)和资源管理者(M，配置资源分配和授权策略)。在租户业务运行的过程中，IaaS系统服务(S)或者VM经常代理租户(T)去完成一些资源的申请和释放工作。但是，目前系统服务或VM代理租户时，任何系统服务和VM均可作为代理方，即无法保证代理方执行的代理操作的合法性，故代理操作容易被恶意用户利用，安全性低。因此，如何提供一种安全性高的IaaS系统中的通信方法及其系统是本领域技术人员目前需要解决的问题。
技术实现思路
本专利技术的目的是提供一种IaaS系统中的通信方法及其系本文档来自技高网...

【技术保护点】
一种IaaS系统中的通信方法，其特征在于，基于公钥基础设施PKI；所述方法包括：所述IaaS系统中的代理方生成公私钥对，并将私钥保存在本地，将公钥发送至被代理方；所述被代理方依据自身存储的合法证书对应的私钥签发所述代理方发送的公钥，生成代理证书返回给所述代理方；在预设生命周期内，所述代理方依据所述代理证书来代理所述被代理方进行相应的操作。

【技术特征摘要】
1.一种IaaS系统中的通信方法，其特征在于，基于公钥基础设施PKI；所述方法包括：所述IaaS系统中的代理方生成公私钥对，并将私钥保存在本地，将公钥发送至被代理方；所述被代理方依据自身存储的合法证书对应的私钥签发所述代理方发送的公钥，生成代理证书返回给所述代理方；在预设生命周期内，所述代理方依据所述代理证书来代理所述被代理方进行相应的操作。2.根据权利要求1所述的方法，其特征在于，所述代理方包括虚拟机和系统服务；所述代理证书内还包括所述被代理方签发的虚拟机或系统服务的序列号。3.根据权利要求2所述的方法，其特征在于，所述代理方依据所述代理证书来代理所述被代理方进行相应的操作的过程具体包括：所述代理方验证自身代理证书的合法性；验证合法后，所述代理方验证所述代理证书内包含的序列号是否与自身序列号相同；若相同，所述代理方通过验证后的代理证书建立与被通信方的连接；所述被通信方验证所述代理证书的合法性；若合法，所述被通信方提取所述代理证书内的序列号和来源地址并与预设全局地址列表进行比较，判断所述来源地址是否处于所述序列号对应的地址范围，若是，所述被通信方接收所述代理方的连接请求，否则，通信终止。4.根据权利要求1所述的方法，其特征在于，所述IaaS系统中的物理资源均携带有唯一的系统身份证书，所述身份证书包括所述物理资源主板的序列号；所述方法还包括：作为请求方的物理资源验证自身的系统身份证书的合法性；验证合法后，所述请求方验证自身系统身份证书内的相应字段是否与自身序列号相同；若相同，所述请求方通过验证后的系统身份证书建立与作为被通信方的物理资源的连接；所述被通信方验证所述请求方的系统身份证书的合法性；若合法，所述被通信方提取所述请求方的系统身份证书内的序列号和来源地址并与预设全局地址列表进行比较，判断所述来源地址是否处于所述序列号对应的地址范围，若是，所述被通信方接收所述请求方的连接请求，否则，通信终止。5.根据权利要求1所述的方法，其特征在于，所述IaaS系统中的用户端携带有唯一的角色身份证书，所述角色身份证书包括所述用户端的身份标识符；所述方法还包括：接收所述用户端发送的携带有自身角色身份证书的资源授权请求；将所述角色身份...

【专利技术属性】
技术研发人员：颜秉珩，冯振，赵祯龙，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41