[发明专利]用于云计算环境下的分布式多租户节点数字认证体系

说明书

（一）        技术领域

    本发明涉及网络认证技术领域，特别涉及一种用于云计算环境下的分布式多租户节点数字认证体系。

（二）        背景技术

在现代数据通信系统中，安全是主要问题之一。随着越来越多信息在数据通信系统传输以及越来越多的具有安全性关键信息的用户应用程序运行在与此类通信系统连接的装置上，对通信系统入侵或安全相关机制的破坏可具有灾难性后果。为了防止恶意使用者的供给或如今，在许多通信网络中要求用户在经由通信网络的接入节点开始数据通信之前进行验证。

随着云计算技术的日益成熟，未来云计算环境将会越来越多地基于分布式的多租户环境；在多租户环境下，各节点之间不存在基本的信任关系，安全问题面临巨大挑战。

多租户环境下的安全问题集中在节点间互相认证，以及信息传递的加密和签名。

（三）        发明内容

    本发明为了弥补现有技术的不足，提供了一种开放的、无平台相关性的用于云计算环境下的分布式多租户节点数字认证体系。

本发明是通过如下技术方案实现的：

一种用于云计算环境下的分布式多租户节点数字认证体系，包括密钥和证书的中心管理服务器，其特征在于：所述中心管理服务器由多租户环境的最高级管理员建立和配置，使用严格保护的2048位根证书签发适用物理节点的主证书C_H，虚拟节点和物理节点之间的所有信息传递都使用适用虚拟节点的客证书C_G进行加密和签名。

本发明中云计算节点认证不仅对用户，而且会节点本身做数字认证；其具备很大的开放性，无平台相关性，支持Windows、Linux和其他操作系统；它通过唯一的中心根证书，对云计算系统内的所有资源进行认证。

本发明中客证书签发时一个自动过程，这也是本数字认证系统的关键。

所述客证书签发时，在物理节点上创建虚拟节点，物理节点生成具备时效的临时密钥，并采用文件植入技术把临时密钥植入虚拟节点，虚拟节点在发送信息前，先用临时密钥加密签名客证书请求，并把请求发给物理节点，物理节点使用临时密钥对客证书请求进行解密，并验证签名，通过后，正式颁发客证书并传回给虚拟节点。

所述虚拟节点之间的信息传递的加密和签名为可选，信息接收节点可以根据安全配置决定是否接收未加密和签名的信息。

所述临时密钥的时效不超过120秒。

本发明具有良好的开放性，无平台相关性，对数字认证具有多重保护，不仅对用户，而且对节点本身做数字认证，保密性好，安全性高。

（四）        附图说明

下面结合附图对本发明作进一步的说明。

图1为本发明的主流程示意图；

图2为本发明客证书签发流程示意图；

图3为本发明用户登录虚拟节点流程示意图；

图4为本发明用户登录虚拟节点失败流程示意图。

图中，C 中心管理服务器，H 物理节点，C_H 主证书，G 虚拟节点，C_G 客证书。 

（五）        具体实施方式

附图为本发明的一种具体实施例。该实施例包括密钥和证书的中心管理服务器C，所述中心管理服务器C由多租户环境的最高级管理员建立和配置，使用严格保护的2048位根证书签发适用物理节点H的主证书C_H，虚拟节点G和物理节点H之间的所有信息传递都使用适用虚拟节点G的客证书C_G进行加密和签名；所述客证书C_G签发时，在物理节点H上创建虚拟节点G，物理节点H生成具备时效的临时密钥，并采用文件植入技术把临时密钥植入虚拟节点G，虚拟节点G在发送信息前，先用临时密钥加密签名客证书C_G请求，并把请求发给物理节点H，物理节点H使用临时密钥对客证书C_G请求进行解密，并验证签名，通过后，正式颁发客证书C_G并传回给虚拟节点G；所述虚拟节点G之间的信息传递的加密和签名为可选；所述临时密钥的时效不超过120秒。

如附图3所示，虚拟节点G获得客证书C_G后，用户请求登录。虚拟节点G返回客证书C_G。用户从中心证书服务器取得根证书（根证书也可以预装在客户端），用根证书验证客证书C_G。验证通过后，用户视虚拟节点G为可信任，提供登录信息并成功登录。

如附图4所示，虚拟节点G获得客证书C_G后，用户请求登录。与此同时，同一环境下另一虚拟节点G’遭受攻击后沦陷。G’采用ARP欺骗等手段骗取G的网络地址。当用户请求登录G时，用户实际被导向G’。因为G’只有客证书C_G’，所以只能递交C_G’给用户。用户从中心证书服务器取得根证书，用根证书验证客证书C_G’。该验证失败，用户拒绝提供登录信息。