技術領域

本申請涉及云計算領域，特別涉及云環境下用戶加密認證和資源單點登錄的一種云服務訪問網關系統和方法。

背景技術

云計算涉及到多種計算機資源的交互和整合，如硬件基礎設施、數據庫系統以及各種應用服務系統等。這些資源在物理上異地分布、邏輯上單一呈現，不同資源之間存在不同的用戶管理策略和調用接口，它們可以通過單獨或聯合的形式，為用戶提供根據其業務需求變化的可選擇服務。隨著云環境下用戶數量的增多，以及用戶對異種云服務利用的增多，不僅需要在多臺服務器上進行登錄認證，還需要在多個云服務之間進行頻繁的登錄和登出操作。用戶信息受到非法截獲和破壞的可能性會增大，安全性得不到保障，還會導致系統訪問的延遲。而針對多用戶多目標服務的管理也因為用戶ID的不統一變得越來越復雜，例如，同一用戶以不同身份登錄不同服務會為云資源計費造成困難。

現有技術中，有通過加密認證來提高系統安全性的方法，也有通過單點登錄來提高用戶管理便利性的方法。

2012年，日本專利“特開JP?2012-247858?號公報”，公開了云計算環境下基于密鑰確認用戶身份的認證方法和系統。該系統的客戶端不需要保存密鑰對中的私鑰，而是根據用戶密碼在認證過程中即時生成，因此即使客戶端設備丟失，也不會導致用于認證的私鑰信息泄露。但是該方法必須一臺密碼管理服務器來生成密鑰對，并將其中的公鑰發送至另一臺公鑰管理服務器，如果公鑰在發送過程中被破壞或惡意截獲，將會導致整個認證系統無效，安全性也無從保證。特別是當用戶由于業務需求要進行云服務遷移時，上述密鑰生成、認證數據加密、認證數據解密的步驟必須要重復執行，會降低系統的響應速度，也為跨服務管理帶來不便。隨著云計算資源整合深度的提高和云服務種類的增多，用戶的這種需求也會增強，因此迫切需要一種安全、通用、簡潔的認證方法和認證系統。

2013年，日本專利“特開JP?2013-8140號公報”針對特開JP?2012-247858?號公報情況，提出了一種只進行一次登陸就可以訪問多個云服務的單點登陸認證系統。該系統和云服務所依托數據中心的認證系統協同工作，用戶只需在終端進行一次認證登錄，就可以實現業務需要時的服務遷移。但是該系統的主要缺點是，用戶的首次登錄是基于明文傳輸的密碼認證，而非基于密文傳輸的密鑰認證，因此安全性不高，為云服務的訪問和遷移中帶來安全隱患。

發明內容

有鑒于此，本發明的目的是：提供一種云服務訪問網關系統，該系統綜合采用用戶交互層、安全認證層、單點登錄層和云服務訪問技術，該三個功能層能夠同時提高系統安全性、降低系統處理延遲、加強對用戶的一元化管理，便于實現云服務間遷移。

本發明的技術方案是：

一種云服務訪問網關系統，包括客戶端、云服務訪問網關、云資源服務器，其中：

所述客戶端，通過因特網與各個云資源服務器、云服務訪問網關建立連接，進行數據和事件交互，該客戶端包括硬件和軟件，其中硬件為計算機，或為智能手機，或為觸摸式電腦，硬件之間通過網絡有線或無線連接；?

所述云服務訪問網關，包括至少一個網關服務器，用來接收和處理來自用戶的請求和來自云計算中心的事件響應，并為二者建立數據和事件交互的通道；

所述云資源服務器，包括云服務和云服務管理數據庫，是部署在云計算中心的服務器，為云服務提供物理和邏輯依托，該云服務包括至少一個用戶最終訪問的基礎設施服務，或應用系統服務，如：郵件系統服務、數據庫系統服務。

特別是：所述云服務訪問網關，包括用戶交互層、安全認證層和單點登錄層；

?所述用戶交互層，包括用戶請求交互單元，用戶請求解析單元，用戶事件響應單元，用戶登陸控制單元，用于和客戶端進行信息交互，進行用戶注冊、用戶登錄、賬戶修改、云服務定制、云服務訪問、云服務前移；

所述安全認證層，包括用戶信息審查單元，用戶賬戶設定單元，加密認證單元，認證信

息數據庫，用于對用戶登錄信息進行合法性驗證，安全認證層在賬戶生成后和單點登錄層的登錄信息數據庫進行賬戶信息同步；

所述單點登錄層，包括資源授權管理單元，云服務生命周期管理單元，會話初始化單元，會話遷移單元，登錄信息數據庫，用于實現利用單一用戶ID進行跨應用服務訪問，單點登錄層將登陸狀態的信息和賬戶修改信息同步到云資源服務器，同時將信息同步完成的結果通知安全認證層，單點登錄層處理服務定制請求、服務創建請求、服務遷移請求后，反饋通知用戶交互層；