本申請實施例公開了一種數據通訊方法、設備及系統，涉及通信技術領域，以提高數據通訊的安全性。該方法由Agent管理設備執行，該方法包括：Agent管理設備為不同客戶端下載的Agent軟件生成不同的Agent軟件標識，當Agent管理設備接收到來自客戶端的包括用戶標識和Agent軟件標識的同步密鑰請求時，若確定Agent軟件標識與Agent管理設備為客戶端生成的Agent軟件標識相同，則向客戶端發送工作密鑰，并接收客戶端上報的簽名數據，根據工作密鑰驗證簽名數據的合法性；若驗證簽名數據為合法數據，則向數據處理設備發送用于指示數據處理設備對客戶端的請求數據進行數據處理的校驗通過指示。

技術領域

本申請實施例涉及通信技術領域，尤其涉及一種數據通訊方法、設備及系統。

背景技術

在公有云場景中，用戶可以在虛擬機(virtual machine，VM)中部署云服務提供的代理(Agent)軟件，通過該Agent軟件將用戶日志(或者監控數據)上報至云服務，云服務根據上報的用戶日志實現對VM的精細化監控、以及對上報的用戶日志進行永久存儲和檢索分析。在Agent軟件上報用戶日志的過程中，云服務需要對上報的用戶日志進行校驗和認證，以確保上報的合法性。

目前，在公有云的場景中，云服務端(Server)通常采用接入密鑰/安全密鑰(Access Key，AK/Secret Access Key，SK)的方式來認證客戶端(Client)的請求。如：用戶通過身份認證和訪問管理(Identity and Access Management，IAM)服務，生成AK/SK，并將生成的AK/SK配置在Agent軟件中，Agent軟件在發送請求時，根據AK/SK生成請求數據的簽名信息，發送至云服務，云服務根據簽名信息進行認證。

由上可知，現有的校驗和認證方案需要在Client端配置認證信息，此時，若認證信息明文存儲，不符合數據通訊的安全要求；若認證信息加密存儲，而與認證信息對應的密鑰明文存儲或者硬編碼在Client的程序中，則加密的認證信息依然存在著泄露的風險，影響數據通訊的安全性。

發明內容

本申請實施例提供一種數據通訊方法、設備及系統，以解決現有配置在客戶端的認證信息泄露導致的數據通訊安全性降低的問題。

為達到上述目的，本申請實施例采用如下技術方案。

第一方面，本申請實施例提供了一種數據通訊方法，該方法由Agent管理設備執行，Agent管理設備可以為不同客戶端下載的Agent軟件生成不同的Agent軟件標識；當Agent管理設備接收來自客戶端的包括用戶標識和Agent軟件標識的同步密鑰請求后，若確定Agent軟件標識與Agent管理設備為用戶標識所標識的客戶端生成的Agent軟件標識相同，則表示該同步密鑰請求為合法用戶發送的請求，向該客戶端發送工作密鑰；隨后，接收客戶端上報的簽名數據，根據工作密鑰驗證簽名數據的合法性，若驗證簽名數據為合法數據，則向數據處理設備發送用于指示數據處理設備對客戶端上報的請求數據進行數據處理的校驗通過指示，以此實現數據通訊。基于該技術方案，通過為不同客戶端下載的Agent軟件分配不同的Agent軟件標識，將客戶端與該客戶端上部署的Agent軟件唯一綁定，使得具有綁定關系的客戶端才為合法用戶，并為合法用戶才發送工作密鑰，實現安全通訊，無需將認證信息配置在客戶端，避免了現有配置在客戶端的認證信息泄露導致的數據通訊安全性降低的問題。

在第一種可能的設計中，結合第一方面，Agent軟件標識為一定長度的字符串，Agent管理設備包括但不限于根據用戶標識和通用唯一識別碼生成Agent軟件標識；或者采用隨機字符串作為Agent軟件標識。如此，可以采用不同的方式生成Agent軟件標識，提高了生成Agent軟件標識的靈活性。