本發(fā)明公開了一種跨公網實現(xiàn)多云管控的安全認證方法，具體為：通過一組反向代理服務器在管控集群和云計算集群之間搭建一個雙向認證網絡通道；在管控集群內，管控服務直接使用HTTP協(xié)議訪問反向代理服務；管控集群反向代理服務器在收到請求后，使用自簽名的SSL客戶端證書通過HTTPS訪問云計算集群的反向代理服務器完成對管控集群的認證；同時云計算集群返回自簽名的服務端證書，管控集群也使用相同的自簽名CA證書，完成對云計算集群的認證；雙向認證完成后，云計算集群反向代理服務將HTTPS協(xié)議卸載，使用HTTP協(xié)議訪問目標服務，實現(xiàn)安全管控。本發(fā)明可以節(jié)省人力財力，更加安全，同時管控服務直接使用HTTP協(xié)議訪問反向代理服務即可實現(xiàn)管控，管控靈活方便。

技術領域

本發(fā)明屬于PAAS平臺技術領域，具體涉及一種跨公網實現(xiàn)多云管控的安全認證方法。

背景技術

隨著時代的進步和技術的發(fā)展，網絡和通信技術的應用越來越廣泛，網絡安全問題也越來越突出。PAAS云平臺的管控集群在對云計算集群進行管控時，常見的三種場景：創(chuàng)建服務，獲取數(shù)據(jù)，設定任務。這三種場景，都對安全性有著極高的要求。以獲取數(shù)據(jù)為例，如果數(shù)據(jù)在傳輸過程中被竊聽，可能造成商業(yè)機密的泄漏；而如果數(shù)據(jù)獲取接口可以被第三方隨意讀取，更是帶來不可估量的損失。管控集群在對云計算集群進行管控時，在安全認證機制上，面臨著挑戰(zhàn)：傳輸使用的密碼信息不能泄漏到客戶云計算集群；需要同時管理多個云計算集群的安全認證信息，管控集群的管控服務需要在管控不同集群時選擇加載對應的證書；管控場景多種多樣，需要滿足各類執(zhí)行管控操作服務的需求。

現(xiàn)有技術一般通過申請權威CA認證的SSL證書，通過HTTPS雙向認證實現(xiàn)跨公網對云計算集群進行管控。當要管理的云計算集群規(guī)模較大時，申請權威證書，除了會帶來較大的財務開支，也會帶來需要更換過期證書的大量運維成本。

發(fā)明內容

為了解決上述問題，本發(fā)明提供了一種跨公網實現(xiàn)多云管控的安全認證方法，可以接使用HTTP協(xié)議對云計算集群進行管控，可以更加節(jié)省人力財力，也更加安全。

本發(fā)明的技術方案為：

一種跨公網實現(xiàn)多云管控的安全認證方法，包括管控集群和云計算集群，其特征在于，還包括管控集群反向代理服務和云計算集群反向代理服務，反向服務器可以是Nginx；具體步驟包括：

S1、通過一組反向代理服務器在管控集群的網絡邊緣和被管控的云計算集群的網絡邊緣之間搭建一個雙向認證網絡通道；

S2、在管控集群內，管控服務在內網直接使用HTTP協(xié)議訪問反向代理服務；

S3、管控集群內的反向代理服務器在收到請求后，使用自簽名的SSL客戶端證書通過HTTPS協(xié)議公網訪問云計算集群的反向代理服務器完成對管控集群的認證；

S4、同時云計算集群返回自簽名的服務端證書，管控集群也使用相同的自簽名CA證書，完成對云計算集群的認證；

S5、雙向認證完成后，云計算集群的反向代理服務將HTTPS協(xié)議卸載，使用HTTP協(xié)議訪問目標服務，實現(xiàn)安全管控。

作為優(yōu)選，管控服務在內網通過HTTP請求中攜帶X-Portal-Host表明要訪問的云計算集群，通過攜帶X-Portal-Dest表明要訪問的云計算集群內具體的服務。

管控集群的認證方法有很多，作為優(yōu)選，本發(fā)明中管控集群的認證通過云計算集群內的反向代理服務器識別管控集群SSL客戶端證書的自簽名CA證書來完成。SSL證書的校驗發(fā)生在兩個反向代理服務器之間，和其他外部服務之間的調用都是無需加密的，所以SSL證書不需要向權威CA申請來保障公信力，只需要兩個反向代理服務器之間互相信任即可。

本發(fā)明不需要做證書域名的安全校驗，管控集群的反向代理服務只需要同一本SSL客戶端證書，即可以實現(xiàn)對所有云計算集群的管控。