本發(fā)明公開(kāi)了一種跨公網(wǎng)實(shí)現(xiàn)多云管控的安全認(rèn)證方法，具體為：通過(guò)一組反向代理服務(wù)器在管控集群和云計(jì)算集群之間搭建一個(gè)雙向認(rèn)證網(wǎng)絡(luò)通道；在管控集群內(nèi)，管控服務(wù)直接使用HTTP協(xié)議訪問(wèn)反向代理服務(wù)；管控集群反向代理服務(wù)器在收到請(qǐng)求后，使用自簽名的SSL客戶端證書(shū)通過(guò)HTTPS訪問(wèn)云計(jì)算集群的反向代理服務(wù)器完成對(duì)管控集群的認(rèn)證；同時(shí)云計(jì)算集群返回自簽名的服務(wù)端證書(shū)，管控集群也使用相同的自簽名CA證書(shū)，完成對(duì)云計(jì)算集群的認(rèn)證；雙向認(rèn)證完成后，云計(jì)算集群反向代理服務(wù)將HTTPS協(xié)議卸載，使用HTTP協(xié)議訪問(wèn)目標(biāo)服務(wù)，實(shí)現(xiàn)安全管控。本發(fā)明可以節(jié)省人力財(cái)力，更加安全，同時(shí)管控服務(wù)直接使用HTTP協(xié)議訪問(wèn)反向代理服務(wù)即可實(shí)現(xiàn)管控，管控靈活方便。

技術(shù)領(lǐng)域

本發(fā)明屬于PAAS平臺(tái)技術(shù)領(lǐng)域，具體涉及一種跨公網(wǎng)實(shí)現(xiàn)多云管控的安全認(rèn)證方法。

背景技術(shù)

隨著時(shí)代的進(jìn)步和技術(shù)的發(fā)展，網(wǎng)絡(luò)和通信技術(shù)的應(yīng)用越來(lái)越廣泛，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出。PAAS云平臺(tái)的管控集群在對(duì)云計(jì)算集群進(jìn)行管控時(shí)，常見(jiàn)的三種場(chǎng)景：創(chuàng)建服務(wù)，獲取數(shù)據(jù)，設(shè)定任務(wù)。這三種場(chǎng)景，都對(duì)安全性有著極高的要求。以獲取數(shù)據(jù)為例，如果數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)，可能造成商業(yè)機(jī)密的泄漏；而如果數(shù)據(jù)獲取接口可以被第三方隨意讀取，更是帶來(lái)不可估量的損失。管控集群在對(duì)云計(jì)算集群進(jìn)行管控時(shí)，在安全認(rèn)證機(jī)制上，面臨著挑戰(zhàn)：傳輸使用的密碼信息不能泄漏到客戶云計(jì)算集群；需要同時(shí)管理多個(gè)云計(jì)算集群的安全認(rèn)證信息，管控集群的管控服務(wù)需要在管控不同集群時(shí)選擇加載對(duì)應(yīng)的證書(shū)；管控場(chǎng)景多種多樣，需要滿足各類(lèi)執(zhí)行管控操作服務(wù)的需求。

現(xiàn)有技術(shù)一般通過(guò)申請(qǐng)權(quán)威CA認(rèn)證的SSL證書(shū)，通過(guò)HTTPS雙向認(rèn)證實(shí)現(xiàn)跨公網(wǎng)對(duì)云計(jì)算集群進(jìn)行管控。當(dāng)要管理的云計(jì)算集群規(guī)模較大時(shí)，申請(qǐng)權(quán)威證書(shū)，除了會(huì)帶來(lái)較大的財(cái)務(wù)開(kāi)支，也會(huì)帶來(lái)需要更換過(guò)期證書(shū)的大量運(yùn)維成本。

發(fā)明內(nèi)容

為了解決上述問(wèn)題，本發(fā)明提供了一種跨公網(wǎng)實(shí)現(xiàn)多云管控的安全認(rèn)證方法，可以接使用HTTP協(xié)議對(duì)云計(jì)算集群進(jìn)行管控，可以更加節(jié)省人力財(cái)力，也更加安全。

本發(fā)明的技術(shù)方案為：

一種跨公網(wǎng)實(shí)現(xiàn)多云管控的安全認(rèn)證方法，包括管控集群和云計(jì)算集群，其特征在于，還包括管控集群反向代理服務(wù)和云計(jì)算集群反向代理服務(wù)，反向服務(wù)器可以是Nginx；具體步驟包括：

S1、通過(guò)一組反向代理服務(wù)器在管控集群的網(wǎng)絡(luò)邊緣和被管控的云計(jì)算集群的網(wǎng)絡(luò)邊緣之間搭建一個(gè)雙向認(rèn)證網(wǎng)絡(luò)通道；

S2、在管控集群內(nèi)，管控服務(wù)在內(nèi)網(wǎng)直接使用HTTP協(xié)議訪問(wèn)反向代理服務(wù)；

S3、管控集群內(nèi)的反向代理服務(wù)器在收到請(qǐng)求后，使用自簽名的SSL客戶端證書(shū)通過(guò)HTTPS協(xié)議公網(wǎng)訪問(wèn)云計(jì)算集群的反向代理服務(wù)器完成對(duì)管控集群的認(rèn)證；

S4、同時(shí)云計(jì)算集群返回自簽名的服務(wù)端證書(shū)，管控集群也使用相同的自簽名CA證書(shū)，完成對(duì)云計(jì)算集群的認(rèn)證；

S5、雙向認(rèn)證完成后，云計(jì)算集群的反向代理服務(wù)將HTTPS協(xié)議卸載，使用HTTP協(xié)議訪問(wèn)目標(biāo)服務(wù)，實(shí)現(xiàn)安全管控。

作為優(yōu)選，管控服務(wù)在內(nèi)網(wǎng)通過(guò)HTTP請(qǐng)求中攜帶X-Portal-Host表明要訪問(wèn)的云計(jì)算集群，通過(guò)攜帶X-Portal-Dest表明要訪問(wèn)的云計(jì)算集群內(nèi)具體的服務(wù)。

管控集群的認(rèn)證方法有很多，作為優(yōu)選，本發(fā)明中管控集群的認(rèn)證通過(guò)云計(jì)算集群內(nèi)的反向代理服務(wù)器識(shí)別管控集群SSL客戶端證書(shū)的自簽名CA證書(shū)來(lái)完成。SSL證書(shū)的校驗(yàn)發(fā)生在兩個(gè)反向代理服務(wù)器之間，和其他外部服務(wù)之間的調(diào)用都是無(wú)需加密的，所以SSL證書(shū)不需要向權(quán)威CA申請(qǐng)來(lái)保障公信力，只需要兩個(gè)反向代理服務(wù)器之間互相信任即可。

本發(fā)明不需要做證書(shū)域名的安全校驗(yàn)，管控集群的反向代理服務(wù)只需要同一本SSL客戶端證書(shū)，即可以實(shí)現(xiàn)對(duì)所有云計(jì)算集群的管控。