[发明专利]云平台专有网络间安全互联方法、装置、设备及存储介质

说明书

本发明提供云平台专有网络间安全互联方法、装置、设备及存储介质，方法包括：第一专有网络接收第二专有网络发起的建立隧道的请求，所述请求包括公钥；第一专有网络利用私钥验证所述公钥；若公钥通过所述私钥的验证，第一专有网络响应所述请求，与第二专有网络建立隧道；安全互联系统检测到第一专有网络与第二专有网络建立隧道，检测第二专有网络是否具有使用该公钥的权限；若第二专有网络不具有使用公钥的权限，安全互联系统向第一专有网络发送第一提示消息，提示第一专有网络的公钥被非法使用。本发明中，一方只有拥有对方正确的公钥才有资格与对方建立隧道进行互联，并且其使用的正确的公钥若非通过对方授权使用，安全互联系统会向对方提示。

技术领域

本发明涉及通信技术领域，尤其涉及一种云平台专有网络间安全互联方法、装置、设备及存储介质。

背景技术

VPC，Virtual Private Cloud，也称为公有云平台上的专有网络，此项技术应用在公有云的IaaS(Infrastructure as a Service，基础设施即服务)层的云平台上，主要作用是帮助客户创建其专有的网络，同一个云平台的客户可以创建多个VPC。每个VPC可以单独规划自己的网络，并与其他的VPC隔离。简单的理解，一个VPC中，存在着这个VPC单独的网络元素，包括路由器、交换机、防火墙等一系列的网络元素，并且部署了若干计算节点，如虚拟服务器，物理服务器，HPC服务器，容器等。而不同VPC中的网络元素是完全隔离的，且所有的资源并不能放置在同一个VPC内，如果两个VPC之间存在一定的业务联系，就需要VPC安全互联系统将不同的VPC进行连接。

目前公有云的VPC之间的安全互联都是基于隧道或者NAT技术，这两项技术本身可以解决在公有云内部网络中将各个VPC进行互联，相互打通路由。例如，VPC1(被联系方)与VPC2(联系请求方)的通信依赖于“VPC间的网络交换层”，这个网络可以理解为所有VPC的底层网络，所有的VPC互通都需要经过这个VPC的底层网络。NAT技术，即地址转换，将所有从VPC内部发出的报文的源IP地址转换为一个固定公共IP地址来实现与外部网络的通信，但是所有在同一个云平台的用户以及云平台运行者都能进到“VPC间的网络交换层”来获取这个公共IP地址，且NAT技术不具有加密技术，因此VPC1和VPC2的数据很容易被第三方窃取。而对于隧道方案，互访的VPC的IP地址为真实的VPC内部的隧道终点的IP地址，没有经过地址转换，通过IP地址建立隧道来实现数据传输，而建立隧道依赖于两个VPC的Endpoint(即隧道终点)，这两个隧道终点位于VPC的底层网络，即VPC间的网络交换层，隧道本身也不具有加密作用，因此数据也容易被第三方窃取；另外，VPC1与VPC2之间的通信没有经过身份验证，VPC2作为主动发起互联的请求方，一旦VPC2存在恶意盗取数据的意图，VPC1防不胜防。

发明内容

本发明实施例提供了一种云平台专有网络间安全互联方法、装置、设备及存储介质，能够保护互联双方数据的安全性和及时预警安全隐患。

第一方面，本发明实施例提供了一种云平台专有网络间安全互联方法，该方法包括：

第一专有网络接收第二专有网络发起的建立隧道的请求，所述请求包括公钥；

所述第一专有网络利用私钥验证所述公钥；

若所述公钥通过所述私钥的验证，所述第一专有网络响应所述请求，与所述第二专有网络建立隧道；

安全互联系统检测到所述第一专有网络与第二专有网络建立隧道，检测所述第二专有网络是否具有使用所述公钥的权限；

若所述第二专有网络不具有使用所述公钥的权限，所述安全互联系统向所述第一专有网络发送第一提示消息，提示所述第一专有网络的公钥被非法使用。

第二方面，本发明实施例还提供了一种云平台专有网络间安全互联装置，该装置包括用于执行上述的云平台专有网络间安全互联方法的单元。