一种认证方法包括:接收终端发送的用户标识和私钥;向元数据服务器发送包括用户标识的第一请求;接收元数据服务器根据第一请求发送的密文密码,密文密码是使用公钥对用户密码加密得到的;根据私钥对密文密码进行解密;根据解密结果进行实例登录认证。该方法的不同实例具有不同的密文密码,这样可以降低用户密码泄露带来的安全风险。本申请还提供能够实现上述认证方法的计算装置和实例管理装置。认证方法的计算装置和实例管理装置。认证方法的计算装置和实例管理装置。
【技术实现步骤摘要】
一种认证方法,计算装置和实例管理装置
[0001]本申请涉及通信领域,尤其涉及一种认证方法,计算装置和实例管理装置。
技术介绍
[0002]弹性云服务器(elastic cloud server,ECS)用于提供自助获取、可弹性伸缩的云计算服务。
[0003]目前常用镜像模板来创建弹性云服务器。这样为不同租户创建的弹性云服务器具有相同的管理员用户名和密码。租户通过该管理员用户名和密码可以登录弹性云服务器。
[0004]如果该管理员用户名和密码被破解或泄露,很多弹性云服务器就面临大规模攻击的安全风险。
技术实现思路
[0005]有鉴于此,本申请提供一种认证方法,能够为每个弹性云服务器绑定不同的密码,从而克服相同密码导致的安全风险。本申请还提供能够实现上述认证方法的相关设备。
[0006]第一方面提供一种认证方法,该方法包括:接收终端发送的用户标识和私钥后,向元数据服务器发送包括所述用户标识的第一请求;在所述元数据服务器根据所述第一请求获取所述用户标识对应的密文密码后,接收元数据服务器发送的密文密码,根据私钥对密文密码进行解密;当解密成功时,根据解密得到的密码建立计算装置与终端的通信链路;当解密失败时,确定终端登录失败。其中,实例可以是但不限于弹性云服务器。由于密文密码是使用公钥对用户密码加密得到的,因此不同实例有不同的密文密码和用户密码,由此可降低实例的登录密码泄露导致的安全风险,提高登录实例的安全性。
[0007]在一种可能的实现方式中,根据解密结果进行实例登录认证包括:当解密结果为用户标识对应的用户密码时,确定终端通过实例登录认证;当解密结果不是用户标识对应的用户密码时,确定终端登录实例失败。当解密结果为用户标识对应的用户密码时,表明加密所采用的公钥和终端发送的私钥是一个密钥对,而且用户密码与用户标识存在对应关系。当解密结果不是用户标识对应的用户密码时,表明加密所采用的公钥和终端发送的私钥不是一个密钥对,或者用户密码与用户标识没有对应关系,因此不允许该终端登录实例。
[0008]在另一种可能的实现方式中,在接收终端发送的用户标识和私钥之前,上述方法还包括:接收元数据服务器发送的用户标识;使用伪随机函数生成用户密码;向元数据服务器发送包括用户标识的第二请求;接收元数据服务器发送的公钥,公钥是元数据服务器根据第二请求携带的用户标识获取的;使用公钥将用户密码加密为密文密码;将用户标识和密文密码发送给元数据服务器。使用伪随机函数生成的用户密码通常是唯一的,为每个用户配置唯一密码后,将用户密码保存在元数据服务器,这样不需要用户输入该密码,也不需要终端保存密码,可以降低密码泄露的风险。
[0009]第二方面提供一种认证方法,该方法包括:获取与用户标识对应的密钥对;向计算装置发送创建实例请求;接收计算装置发送的实例信息;将密钥对和用户标识对应的实例
进行绑定;将用户标识与密钥对发送给元数据服务器。依此可以将用户的密钥对,用户标识和实例进行绑定,而且可以将用户的密钥对发送给元数据服务器进行保存。这样提供了一种保存密钥对的方法,该密钥对可以用于登录实例。
[0010]在一种可能的实现方式中,获取与用户标识对应的密钥对包括:接收终端发送的创建密钥对请求;根据创建密钥对请求生成与用户标识对应的密钥对。其中,创建密钥对请求包括用户标识。依此实施,云端可以生成用户标识对应的密钥对。
[0011]在另一种可能的实现方式中,方法还包括:将密钥对中的私钥发送给终端。云端生成用户标识对应的密钥对后,将私钥发送给终端,便于终端使用私钥登录实例。
[0012]在另一种可能的实现方式中,获取与用户标识对应的密钥对包括:接收终端发送的用户标识和密钥对。终端可以获取密钥对,然后发送给云端,这样提供了另一种保存密钥对的方法。
[0013]第三方面提供一种计算装置,该计算装置包括接收单元,处理单元和发送单元;接收单元用于接收终端发送的用户标识和私钥;发送单元用于向元数据服务器发送包括用户标识的第一请求,第一请求用于获取与用户标识对应的密文密码;接收单元还用于接收元数据服务器根据第一请求发送的密文密码,密文密码是使用公钥对用户密码加密得到的;处理单元用于根据私钥对密文密码进行解密,根据解密结果进行实例登录认证。
[0014]在一种可能的实现方式中,处理单元具体用于当解密结果为用户标识对应的用户密码时,确定终端通过实例登录认证;当解密结果不是用户标识对应的用户密码时,确定终端登录实例失败。
[0015]在另一种可能的实现方式中,接收单元还用于接收元数据服务器发送的用户标识;处理单元还用于使用伪随机函数生成用户标识对应的用户密码;发送单元还用于向元数据服务器发送包括用户标识的第二请求;接收单元还用于接收元数据服务器发送的公钥,公钥是元数据服务器根据第二请求携带的用户标识获取的;处理单元还用于使用公钥将用户密码加密为密文密码;发送单元还用于将用户标识和密文密码发送给元数据服务器。
[0016]第四方面提供一种实例管理装置,该实例管理装置包括获取单元,处理单元,接收单元和发送单元;获取单元用于获取与用户标识对应的密钥对;发送单元用于向计算装置发送创建实例请求;接收单元用于接收计算装置发送的实例信息;处理单元用于将密钥对和用户标识对应的实例进行绑定;发送单元还用于将用户标识与密钥对发送给元数据服务器。
[0017]在一种可能的实现方式中,获取单元具体用于接收终端发送的创建密钥对请求,创建密钥对请求包括用户标识;根据创建密钥对请求生成与用户标识对应的密钥对。
[0018]在另一种可能的实现方式中,发送单元还用于将密钥对中的私钥发送给终端。
[0019]在另一种可能的实现方式中,获取单元具体用于接收终端发送的用户标识和密钥对。
[0020]第五方面提供一种计算设备,其包括处理器和存储器,所述存储器用于存储程序;所述处理器通过执行程序用于实现第一方面的方法。
[0021]第六方面提供一种服务器,其包括处理器和存储器,所述存储器用于存储程序;所述处理器通过执行程序用于实现第二方面的方法。
[0022]第七方面提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的方法。
[0023]第八方面提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面的方法。
[0024]第九方面提供了一种芯片系统,包括至少一个处理器,所述处理器和存储器耦合,所述存储器用于存储计算机程序或指令,所述处理器用于执行所述计算机程序或指令,以实现上述各方面的方法。
附图说明
[0025]图1为本申请实施例中通信场景的一个示意图;
[0026]图2为本申请实施例中计算装置的一个结构图;
[0027]图3为本申请实施例中认证方法的一个信令交互图;
[0028]图4为本申请实施例中认证方法的另一个信令交互图;
[0029]图5为本申请本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种认证方法,其特征在于,包括:接收终端发送的用户标识和私钥;向元数据服务器发送包括所述用户标识的第一请求,所述第一请求用于获取与所述用户标识对应的密文密码;接收所述元数据服务器根据所述第一请求发送的密文密码,所述密文密码是使用公钥对用户密码加密得到的;根据所述私钥对所述密文密码进行解密;根据解密结果进行实例登录认证。2.根据权利要求1所述的方法,其特征在于,所述根据解密结果进行实例登录认证包括:当解密结果为所述用户标识对应的用户密码时,确定所述终端通过实例登录认证;当解密结果不是所述用户标识对应的用户密码时,确定所述终端登录实例失败。3.根据权利要求1或2所述的方法,其特征在于,在所述接收终端发送的用户标识和私钥之前,所述方法还包括:接收元数据服务器发送的所述用户标识;使用伪随机函数生成所述用户密码;向所述元数据服务器发送包括所述用户标识的第二请求;接收所述元数据服务器发送的公钥,所述公钥是所述元数据服务器根据所述第二请求携带的用户标识获取的;使用所述公钥将所述用户密码加密为所述密文密码;将所述用户标识和所述密文密码发送给所述元数据服务器。4.一种认证方法,其特征在于,包括:获取与用户标识对应的密钥对;向计算装置发送创建实例请求;接收所述计算装置发送的实例信息;将所述密钥对和所述用户标识对应的实例进行绑定;将所述用户标识与所述密钥对发送给元数据服务器。5.根据权利要求4所述的方法,其特征在于,所述获取与用户标识对应的密钥对包括:接收所述终端发送的创建密钥对请求,所述创建密钥对请求包括用户标识;根据所述创建密钥对请求生成与所述用户标识对应的密钥对。6.根据权利要求5所述的方法,其特征在于,所述方法还包括:将所述密钥对中的私钥发送给所述终端。7.根据权利要求4所述的方法,其特征在于,所述获取与用户标识对应的密钥对包括:接收所述终端发送的用户标识和密钥对。8.一种计算装置,其特征在于,包括:接收单元,用于接收终端发送的用户标识和私钥;发送单元,用于向元数据服务器发送包括所述用户标识的第一请求,所述第一请求用于获取与所述用户标识...
【专利技术属性】
技术研发人员:罗思标,董亚雷,张博,姜鹏,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。