基于信任協(xié)商的私有云成員間資源安全訪問方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于信任協(xié)商的私有云成員間資源安全訪問方法�����。
【背景技術(shù)】
[0002]云計算和云安全是IT領(lǐng)域的研究熱點之一��。NIST將云計算主要優(yōu)勢歸納為按需服務(wù)��、無所不在的網(wǎng)絡(luò)服務(wù)����、資源池的提供、彈性配置和可計量服務(wù)�����,最近的調(diào)查顯示�����,50%以上的公司與企業(yè)都計劃將本公司的IT服務(wù)移植到云平臺上�����。從云的部署看,云可以分成四類模型即私有云����、公共云�����、社區(qū)云和混合云����。其中私有云是在企業(yè)內(nèi)部搭建的云計算平臺,向內(nèi)部用戶提供云計算和云存儲服務(wù)��。目前的云計算安全技術(shù)主要包括訪問控制與管理����、數(shù)據(jù)存儲、數(shù)據(jù)審計與監(jiān)控�、信息恢復、數(shù)據(jù)加密等��。
[0003]目前����,上述安全技術(shù)中未針對私有云提出一種有效的架構(gòu)方案����。另外��,這些方法主要關(guān)注如何解決外部人員訪問私有云使用時產(chǎn)生的安全問題�����,而對于私有云內(nèi)部成員之間的資源互訪的安全問題沒有提出有效的方法�����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種基于信任協(xié)商的私有云成員間資源安全訪問方法��,能夠克服上述方法的不足��,提出一種基于私有云的成員樹架構(gòu)��,并針對私有云成員之間的資源互訪提出一種基于信任協(xié)商的私有云內(nèi)部成員資源安全訪問方法�。
[0005]為解決上述問題,本發(fā)明提供一種基于信任協(xié)商的私有云成員間資源安全訪問方法��,包括:
[0006]設(shè)私有云成員之間具有層次關(guān)系的樹狀架構(gòu)���,且每個成員都看成成員樹中的一個結(jié)點����,因此一個私有云的成員樹H定義如下:
[0007]H= {r} UHiUH2U...UHn,
[0008]這里r是根結(jié)點,H1J2��,...���,Hn為H的子樹;
[0009]利用信任協(xié)商的私有云中成員之間的資源互訪策略����,實現(xiàn)私有云成員之間的安全資源訪問,其中����,信任協(xié)商為協(xié)商雙方在建立信任關(guān)系中所采取的披露證書和訪問控制策略的方式,資源訪問的雙方分別為資源請求方和資源控制方���。
[0010]進一步的���,在上述方法中,信任協(xié)商的私有云中成員之間的資源互訪策略�,包括:
[0011]當直接上級成員向直接下級成員提出第一次資源請求時�,采用信任票技術(shù)���,即首次信任協(xié)商成功后���,上級結(jié)點會取得下級結(jié)點的信任票,以后再向下級結(jié)點進行資源請求則不需信任協(xié)商�,直接通過信任票獲取它的資源,但是��,每當上級成員訪問下級成員中新的資源時����,都需要經(jīng)歷一次這樣的信任票獲取過程。
[0012]進一步的���,在上述方法中��,信任協(xié)商的私有云中成員之間的資源互訪策略�����,包括:
[0013]直接下級結(jié)點向直接上級結(jié)點每次進行資源請求時�,采用信任票(技術(shù)���,即首次信任協(xié)商成功后��,下級結(jié)點會取得上級結(jié)點的信任票�����,以后再向上級結(jié)點進行資源請求則不需信任協(xié)商�����,直接通過信任票獲取它的資源�,但是���,每當下級成員訪問上級成員中新的資源時�����,都需要經(jīng)歷一次這樣的信任票獲取過程����。
[0014]進一步的��,在上述方法中����,信任協(xié)商的私有云中成員之間的資源互訪策略�����,包括:
[0015]間接上級成員向間接下級成員進行第一次或新的資源請求時�����,應(yīng)首先和間接下級成員以及間接下級成員的直接上級成員進行信任協(xié)商��,成功后取得兩者的信任票�����,在以后的請求中�����,憑借2張信任票直接獲取間接下級成員的資源���,而不需要每次都信任協(xié)商。
[0016]進一步的��,在上述方法中,信任協(xié)商的私有云中成員之間的資源互訪策略���,包括:
[0017]間接下級結(jié)點向間接上級成員結(jié)點進行第一次資源請求或新的資源請求時�,應(yīng)首先取得它自己直接上級成員結(jié)點進行信任協(xié)商并取得信任票��,在以后的每次請求中�����,與間接上層結(jié)點通過信任協(xié)商獲取資源時都需要出示這張信任票�����。
[0018]進一步的�,在上述方法中,信任協(xié)商的私有云中成員之間的資源互訪策略����,包括:
[0019]平級結(jié)點間進行第一次資源請求或新的資源請求時����,需進行信任協(xié)商取得對方的信任票,以后再向?qū)Ψ竭M行資源訪問則不需信任協(xié)商��,直接通過信任票獲取資源。
[0020]與現(xiàn)有技術(shù)相比�,本發(fā)明提出一種基于私有云的成員樹架構(gòu),在此基礎(chǔ)上�����,利用信任協(xié)商機制針對私有云成員之間的資源互訪提出一種安全有效的云資源訪問方法�����,其應(yīng)用面較廣�����,可廣泛應(yīng)用于企業(yè)或公司中的私有云的架設(shè)����。
【附圖說明】
[0021]圖1是本發(fā)明一實施例的基于信任協(xié)商的私有云成員間資源安全訪問方法的一個私有云的成員樹示例圖;
[0022]圖2是本發(fā)明一實施例的資源請求中信任協(xié)商建立的四個步驟示意圖�����;
[0023]圖3是本發(fā)明一實施例的一個簡單的私有云成員樹不意圖���。
【具體實施方式】
[0024]為使本發(fā)明的上述目的����、特征和優(yōu)點能夠更加明顯易懂,下面結(jié)合附圖和【具體實施方式】對本發(fā)明作進一步詳細的說明��。
[0025]本發(fā)明提供一種基于信任協(xié)商的私有云成員間資源安全訪問方法��,包括:
[0026]步驟SI����,設(shè)私有云成員之間具有層次關(guān)系的樹狀架構(gòu),且每個成員都看成成員樹中的一個結(jié)點��,因此一個私有云的成員樹H定義如下:
[0027]H= {r} UHiUH2U …UHn�,
[0028]這里r是根結(jié)點,H1J2,...����,Hn為H的子樹;具體的,私有云是指企業(yè)內(nèi)部創(chuàng)建的本企業(yè)使用的和企業(yè)可以完全控制的云計算方式�,是在企業(yè)內(nèi)部搭建的云計算平臺,向內(nèi)部用戶提供云計算和云存儲服務(wù)�。私有云的云存儲和計算可以完全由企業(yè)擁有和控制��,而不屬于任何云計算服務(wù)提供商�����。根據(jù)私有云和企業(yè)的層次架構(gòu)的特點,可設(shè)私有云成員(即參與私有云構(gòu)建的各個部門)之間具有層次關(guān)系的樹狀架構(gòu)�����,且每個成員都可以看成成員樹中的一個結(jié)點��,因此一個私有云的成員樹H可定義如下:
[0029]H= {r} UHiUH2U …UHn��,
[0030]這里r是根結(jié)點���,H^H2,...,Hn等為H的子樹�,如圖1所示為一個私有云的成員樹示例�;
[0031]步驟S2,利用信任協(xié)商的私有云中成員之間的資源互訪策略���,實現(xiàn)私有云成員之間的安全資源訪問��,其中���,信任協(xié)商為協(xié)商雙方在建立信任關(guān)系中所采取的披露證書和訪問控制策略的方式,資源訪問的雙方分別為資源請求方和資源控制方���,二者之間的信任協(xié)商過程步驟見圖2����。具體的,私有云的安全性����,除了外部訪問者不當訪問構(gòu)成的安全問題外,更多的是內(nèi)部成員間資源互訪構(gòu)成的安全問題�����,可以通過信任協(xié)商技術(shù)解決內(nèi)部成員之間的資源互訪����,
[0032]優(yōu)選的,步驟S2中��,信任協(xié)商的私有云中成員之間的資源互訪策略����,包括:
[0033]當直接上級成員向直接下級成員提出第一次資源請求時,采用信任票(trustticket)技術(shù)���,即首次信任協(xié)商成功后�����,上級結(jié)點會取得下級結(jié)點的信任票�,以后再向下級結(jié)點進行資源請求則不需信任協(xié)商�����,直接通過信任票獲取它的資源��,但是���,每當上級成員訪問下級成員中新的資源時���,都需要經(jīng)歷一次這樣的信任票獲取過程。
[0034]優(yōu)選的�����,步驟S2中�,信任協(xié)商的私有云中成員之間的資源互訪策略,還包括:
[0035]直接下級結(jié)點向直接上級結(jié)點每次進行資源請求時�,采用信任票(trustticket)技術(shù),即首次信任協(xié)商成功后�����,下級結(jié)點會取得上級結(jié)點的信任票,以后再向上級結(jié)點進行資源請求則不需信任協(xié)商���,直接通過信任票獲取它的資源��,但是��,每當下級成員訪問上級成員中新的資源時����,都需要經(jīng)歷一次這樣的信任票獲取過程�����。
[0036]詳細的��,直連結(jié)點是表示成員樹層次關(guān)系中具有直接上下級關(guān)系的成員��,如圖3中結(jié)點A和B之間具有直連關(guān)系且A為直接上級結(jié)點���,B為直接下級結(jié)點�����,在私有云中��,這種直連結(jié)點間的資源請求分為兩種情況:
[0037](I)直接上級成員向直接下級成員的資源請求:當直接上級成員向直接下級成員提出第一次資源請求時����,應(yīng)按照圖2所示步驟進行信任協(xié)商���。這里我們采用信任票(trustticket)技術(shù)����,即首次信任協(xié)商成功后�����,上級結(jié)點會取得下級結(jié)點的信任票�����,以后再向下級結(jié)點進行資源請求則不需信任協(xié)商�,可以直接通過信任票獲取它的資源。但是�����,每當上級成員訪問下級成員中新的資源時,都需要經(jīng)歷一