本發(fā)明公開(kāi)了一種IaaS系統(tǒng)中的通信方法及其系統(tǒng)，基于公鑰基礎(chǔ)設(shè)施PKI；該方法包括：IaaS系統(tǒng)中的代理方生成公私鑰對(duì)，并將私鑰保存在本地，將公鑰發(fā)送至被代理方；被代理方依據(jù)自身存儲(chǔ)的合法證書(shū)對(duì)應(yīng)的私鑰簽發(fā)代理方發(fā)送的公鑰，生成代理證書(shū)返回給代理方；在預(yù)設(shè)生命周期內(nèi)，代理方依據(jù)代理證書(shū)來(lái)代理被代理方進(jìn)行相應(yīng)的操作。本發(fā)明能夠令代理方攜帶被代理方發(fā)送的具體合法效力的代理證書(shū)進(jìn)行代理操作，保證了IaaS系統(tǒng)中代理操作的合法性和安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及云計(jì)算合法認(rèn)證技術(shù)領(lǐng)域，特別是涉及一種IaaS系統(tǒng)中的通信方法及其系統(tǒng)。

背景技術(shù)

IaaS系統(tǒng)作為云計(jì)算的一種重要服務(wù)模式，是當(dāng)今公有云/私有云的主要形態(tài)，實(shí)現(xiàn)了計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等基礎(chǔ)資源的服務(wù)封裝，通過(guò)提供VM(Virtual Machine，虛擬機(jī))完成資源的供給與交付。IaaS系統(tǒng)的資源可以分為物理資源(如服務(wù)器)和虛擬資源(如VM)，通過(guò)系統(tǒng)服務(wù)(S)完成資源的組織、管理和調(diào)度。從資源管理涉及的角色(或者說(shuō)用戶端)來(lái)看，可以分為資源的使用者(T，以租戶為主，主要使用VM)和資源管理者(M，配置資源分配和授權(quán)策略)。在租戶業(yè)務(wù)運(yùn)行的過(guò)程中，IaaS系統(tǒng)服務(wù)(S)或者VM經(jīng)常代理租戶(T)去完成一些資源的申請(qǐng)和釋放工作。

但是，目前系統(tǒng)服務(wù)或VM代理租戶時(shí)，任何系統(tǒng)服務(wù)和VM均可作為代理方，即無(wú)法保證代理方執(zhí)行的代理操作的合法性，故代理操作容易被惡意用戶利用，安全性低。

因此，如何提供一種安全性高的IaaS系統(tǒng)中的通信方法及其系統(tǒng)是本領(lǐng)域技術(shù)人員目前需要解決的問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種IaaS系統(tǒng)中的通信方法及其系統(tǒng)，能夠令代理方攜帶被代理方發(fā)送的具體合法效力的代理證書(shū)進(jìn)行代理操作，保證了IaaS系統(tǒng)中代理操作的合法性和安全性。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種IaaS系統(tǒng)中的通信方法，基于公鑰基礎(chǔ)設(shè)施PKI；所述方法包括：

所述IaaS系統(tǒng)中的代理方生成公私鑰對(duì)，并將私鑰保存在本地，將公鑰發(fā)送至被代理方；

所述被代理方依據(jù)自身存儲(chǔ)的合法證書(shū)對(duì)應(yīng)的私鑰簽發(fā)所述代理方發(fā)送的公鑰，生成代理證書(shū)返回給所述代理方；

在預(yù)設(shè)生命周期內(nèi)，所述代理方依據(jù)所述代理證書(shū)來(lái)代理所述被代理方進(jìn)行相應(yīng)的操作。

優(yōu)選地，所述代理方包括虛擬機(jī)和系統(tǒng)服務(wù)；所述代理證書(shū)內(nèi)還包括所述被代理方簽發(fā)的虛擬機(jī)或系統(tǒng)服務(wù)的序列號(hào)。

優(yōu)選地，所述代理方依據(jù)所述代理證書(shū)來(lái)代理所述被代理方進(jìn)行相應(yīng)的操作的過(guò)程具體包括：

所述代理方驗(yàn)證自身代理證書(shū)的合法性；

驗(yàn)證合法后，所述代理方驗(yàn)證所述代理證書(shū)內(nèi)包含的序列號(hào)是否與自身序列號(hào)相同；

若相同，所述代理方通過(guò)驗(yàn)證后的代理證書(shū)建立與被通信方的連接；

所述被通信方驗(yàn)證所述代理證書(shū)的合法性；

若合法，所述被通信方提取所述代理證書(shū)內(nèi)的序列號(hào)和來(lái)源地址并與預(yù)設(shè)全局地址列表進(jìn)行比較，判斷所述來(lái)源地址是否處于所述序列號(hào)對(duì)應(yīng)的地址范圍，若是，所述被通信方接收所述代理方的連接請(qǐng)求，否則，通信終止。

優(yōu)選地，所述IaaS系統(tǒng)中的物理資源均攜帶有唯一的系統(tǒng)身份證書(shū)，所述身份證書(shū)包括所述物理資源主板的序列號(hào)；所述方法還包括：

作為請(qǐng)求方的物理資源驗(yàn)證自身的系統(tǒng)身份證書(shū)的合法性；

驗(yàn)證合法后，所述請(qǐng)求方驗(yàn)證自身系統(tǒng)身份證書(shū)內(nèi)的相應(yīng)字段是否與自身序列號(hào)相同；

若相同，所述請(qǐng)求方通過(guò)驗(yàn)證后的系統(tǒng)身份證書(shū)建立與作為被通信方的物理資源的連接；