技術領域

本發明涉及通信及信息安全領域，尤其涉及一種在云計算環境下，虛擬主機之間安全連接動態建立方法與系統。

背景技術

云計算環境下的用戶虛擬主機節點之間建立安全連接是一項重大研究課題，傳統的虛擬主機節點安全連接建立往往是由人工通過配置的文件進行靜態設置，在這種模式下，隨著虛擬主機規模型的增長，如新業務類型虛擬主機創建、虛擬主機遷移、虛擬主機撤銷等，對虛擬主機安全連接的維護與管理將變得十分困難。傳統的虛擬主機安全連接建立存在一些問題：

1.云計算環境下存在大規模的用戶虛擬主機，若不進行用戶虛擬主機身份認證，會導致惡意的虛擬主機非法訪問云計算環境下的敏感數據資源，導致敏感信息被非法訪問。

2.虛擬主機都是人工進行事先建立并設定好靜態IP地址，通過配置文件實現用戶虛擬主機之間安全連接的建立，隨著用戶虛擬主機數量的增長以及安全連接的更改、刪除和創建，將使得用戶虛擬主機之間難于維護和管理安全連接。

因此需要一種簡單、高效的云計算環境下用戶虛擬主機之間安全連接動態建立和管理體系。

發明內容

針對云計算環境下大規模的用戶虛擬主機節點之間安全連接建立與維護的困難和復雜性，本發明提供一種基于公共第三方可信認證服務器的云計算環境下虛擬主機安全連接動態建立的方法與系統。

在云計算環境下，用戶虛擬主機節點創建完后具備零可信度，任何兩個虛擬主機之間的初始通信都是被阻止，當源用戶虛擬機節點提交一個連接目標虛擬主機節點的請求時，由第三方可信認證服務器實現對源和目標用戶虛擬機節點的身份認證，并通過安全屬性數據庫匹配源和目標用戶虛擬主機節點的安全屬性，實現源和目標用戶虛擬機節點之間安全連接的建立。

本發明的一方面，提供了一種云計算環境下安全連接動態建立的系統，包括源用戶虛擬主機（1）、目標用戶虛擬主機（2）、云計算環境下的虛擬IP網絡（3），與該網絡連接的第三方可信認證服務器（4），該可信認證服務器中設置有用于向接入該虛擬IP網絡的用戶虛擬主機分配和管理虛擬IP地址的DHCP模塊（5）、用于向接入虛擬IP網絡的用戶虛擬主機節點頒發并注冊數字證書的數字證書認證與授權模塊CA（6）、身份鑒別與認證模塊（7）、數據存儲與計算模塊（8），

用于動態虛擬IP地址管理的DHCP模塊（5），根據接入云計算環境下虛擬網絡的用戶虛擬主機節點的業務屬性，為其動態分配和注冊虛擬IP地址，為用戶虛擬主機節點管理虛擬IP地址；

數字證書認證與授權模塊CA（6），用于為接入云計算環境下虛擬網絡的用戶虛擬主機節點頒發和注冊用于身份認證的數字證書；

身份鑒別與認證模塊（7），用于對用戶虛擬主機節點進行基于證書的身份鑒別過程，生成身份認證結果；

數據計算與存儲模塊（8），用于存儲消息分組數據，計算產生數字簽名，校驗數字簽名。

本發明同時提供了一種云計算環境下虛擬主機安全連接動態建立的方法，包括以下步驟：

①在云計算環境下引入第三方可信認證服務器，源用戶虛擬主機（1）節點被創建并通過可信認證服務器（4）接入該虛擬IP網絡（3），由可信認證服務器（4）中的DHCP模塊（5）為源用戶虛擬主機（1）節點分配動態虛擬IP地址，源用戶虛擬主機（1）向可信認證服務器（4）請求申請用于虛擬主機節點身份鑒別的數字證書，由可信認證服務器（4）中的數字證書認證與授權模塊CA（6）為源用戶虛擬主機（1）節點注冊并頒發數字證書；

②根據用戶業務操作，需要由源用戶虛擬主機（1）節點提交一個連接目標用戶虛擬主機（2）節點的請求時，源用戶虛擬主機（1）節點向第三方可信認證服務器（4）發送安全連接身份鑒別消息分組1：該消息分組1主要元素包括：源用戶虛擬主機（1）節點標識vHost_ID_S、接入媒體類型AccessMedia、源用戶虛擬主機（1）節點證書、源用戶虛擬主機（1）節點虛擬IP地址、目標虛擬主機（2）節點業務類型、源用戶虛擬主機（1）本地生成的隨機數N_S以及源用戶虛擬主機（1）對消息分組中除本字段外的所有數據字段的數字簽名；