一种针对虚拟化设备的跨域安全访问与资源控制方法与流程

文档序号：20837959发布日期：2020-05-22 17:07阅读：431来源：国知局

本发明涉及虚拟化技术领域，具体是一种针对虚拟化设备的跨域安全访问与资源控制方法。

背景技术：

虚拟化，是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率。虚拟化使用软件的方法重新定义划分it资源，可以实现it资源的动态分配、灵活调度、跨域。

目前传统的虚拟化系统，往往在跨域访问安全方面存在隐患，并且资源分配调度规则不完善。

技术实现要素：

为了克服上述现有技术的缺点，本发明提供一种针对虚拟化设备的跨域安全访问与资源控制方法，有效提高了虚拟化设备跨域访问的安全性，同时提高虚拟设备资源的利用率。

本发明是以如下技术方案实现的:一种针对虚拟化设备的跨域安全访问与资源控制方法，其特征在于：包括多个虚拟化设备平台、一个访问控制中心以及一个资源池三个部分；

首先，每个虚拟化设备平台需要在访问控制中心进行认证；

其次，平台认证通过后需要将每个虚拟化设备在访问控制中心进行认证；

再次，平台每次启动虚拟化设备，需要向访问控制中心进行认证确认；

从次，虚拟化设备认证确认后，利用非对称加密技术，将虚拟化设备启动命令行加密，发送给访问控制中心；

最后，访问控制中心利用非对称加密技术将虚拟化设备运行命令行解密，符合资源分配规则后，发送给资源池启动设备。

优选的，每个虚拟化设备平台都需要在访问控制中心中进行平台认证，认证成功则将虚拟化设备平台记录在平台认证表中，认证失败则让虚拟化设备平台重新进行认证；虚拟化设备平台认证流程如下：

(1)虚拟化设备平台向访问控制中心发送认证请求；

(2)访问控制中心接收到认证请求后生成一个随机字符串与自身公钥返回给虚拟化设备平台；

(3)虚拟化设备平台接收到随机字符串与公钥后，管理员在平台跟目录下建立认证文件，文件名为随机字符串，使用公钥加密认证密码，将加密后的认证密码存入认证文件中；

(4)建立完成后向访问控制中心发送认证确认请求；

(5)访问控制中心接收到认证确认请求后，访问平台上对应认证文件，将认证文件内容使用自身私钥解密，将解密后认证密码与原始认证密码进行比对；

(6)若无法访问认证文件或认证密码对比不一致，则发送认证失败信息返回给平台，让其重新认证；

(7)若认证文件可以访问并且认证密码比对一致，则发送认证成功信息，并将该平台域名、认证文件名记录到平台认证表中。

优选的，虚拟化设备平台认证后，每个虚拟化设备都需要在访问控制中心中进行设备认证，认证成功则将虚拟化设备记录在设备认证表中，认证失败则返回失败信息给虚拟化设备平台；虚拟化设备认证流程如下：

(1)虚拟化平台新建虚拟化设备时利用非对称加密技术，为其分配一对公钥私钥与唯一标识符；

(2)虚拟化平台向访问控制中心发送虚拟化设备认证请求；

(3)访问控制中心接收到设备认证请求后，查询认证平台表是否存在此虚拟化平台，若不存在，返回错误信息，若存在，则将自身公钥发送给平台进行虚拟化设备认证信息确认请求；

(4)虚拟化平台接收到设备信息确认请求后，使用接收公钥将认证密码进行加密；

(5)虚拟化平台平台将设备唯一标识符、设备公钥、加密认证密码、虚拟设备资源占用最大值与最小值以json格式发送给访问控制中心；

(6)访问控制中心接收到设备信息后，使用自身私钥解密认证密码，将解密后认证密码与原始认证密码进行比对；

(7)若不一致，则返回错误信息；若一致，则将设备唯一标识、设备公钥、虚拟设备资源信息、平台域名记录到设备认证表中并返回平台认证成功信息。

优选的，每次启动虚拟化设备，需要向访问控制中心进行认证确认，认证确认成功并符合符合资源分配规则后，将启动命令行加密发送给资源池，资源池剩余资源满足设备所需资源后，分配资源，使用命令行启动虚拟化设备；虚拟化设备安全调用与资源控制流程如下：

(1)虚拟化平台使用需要调用的设备唯一标识发送给访问控制中心请求启动；

(2)访问控制中心接收到启动请求后，查询平台认证表是否存在此平台，若不存在，返回错误信息给虚拟化平台；

(3)平台认证表中若存在此平台，查询设备认证表是否存在此设备，若不存在，返回错误信息给虚拟化平台，若存在，则发送调用信息确认请求给平台；

(4)平台接收到调用信息确认请求后，使用设备对应私钥将启动设备命令行进行加密，之后将加密命令行、设备占用资源、设备唯一标识返回给访问控制中心；

(5)访问控制中心接收到信息后，查询设备对应资源占用是否符合设备认证表中对应的虚拟设备资源信息；

(6)若不符合，则返回错误信息给虚拟化平台，若符合，则使用唯一标识对应的公钥将命令行进行解密，将解密后命令行与资源信息发送给资源池，请求虚拟设备启动；

(7)资源池接收到虚拟设备启动请求后，查询剩余资源；

(8)若不满足设备所需资源，则返回错误给访问控制中心，访问控制中心将错误返回给虚拟化平台，若满足，则分配对应资源，使用命令行启动虚拟化设备。

优选的，资源分配规则为：在设备认证表中，每个设备都会有资源占用最大值、资源占用最小值，每次平台申请启动虚拟化设备时，都会向访问控制中心发送该设备的设备占用资源，设备占用资源需要大于等于资源占用最小值，小于等于资源占用最大值。

本发明的有益效果：(1)本方法在传统虚拟设备访问过程中，增加了虚拟化平台、设备的认证机制，有效提高了每个虚拟化平台、虚拟设备的安全性；

(2)在虚拟设备启动前对设备资源进行控制，提高了虚拟设备资源的利用率；

(3)利用非对称加密技术将启动命令行进行加密，降低命令行在传输过程中被抓取破解的风险，大大提高网络数据传输安全性。

附图说明

下面结合附图对本发明作进一步说明。

图1为本发明的整体架构图；

图2为本发明的整体流程示意图；

图3为本发明中虚拟化设备平台认证流程意图；

图4为本发明中虚拟化设备认证流程示意图；

图5为本发明中虚拟化设备安全调用与资源控制流程示意图；

图6为本发明中平台认证表格式示意图；

图7为本发明中设备认证表格式示意图。

具体实施方式

如图1和图2所示，一种针对虚拟化设备的跨域安全访问与资源控制方法，包括多个虚拟化设备平台、一个访问控制中心、一个资源池三个部分。具体实现方法如下：首先，新增路由设备通过邻居表建立与每台参与路由的设备建立邻居关系；其次，新增路由通过集中认证中心进行设备认证；再次，报文发送前，向集中认证中心对邻居路由设备进行认证确认；从次，邻居路由设备认证确认完成后，利用非对称加密技术，将报文加密并发送给邻居路由设备，最后，邻居路由设备接收到加密报文后，利用非对称加密技术解密报文，获得原始报文供业务需求。

如图3所示，虚拟化设备平台认证流程如下：(1)虚拟化设备平台向访问控制中心发送认证请求；