[发明专利]一种云服务访问网关系统和方法

说明书

技术领域

本申请涉及云计算领域，特别涉及云环境下用户加密认证和资源单点登录的一种云服务访问网关系统和方法。

背景技术

云计算涉及到多种计算机资源的交互和整合，如硬件基础设施、数据库系统以及各种应用服务系统等。这些资源在物理上异地分布、逻辑上单一呈现，不同资源之间存在不同的用户管理策略和调用接口，它们可以通过单独或联合的形式，为用户提供根据其业务需求变化的可选择服务。随着云环境下用户数量的增多，以及用户对异种云服务利用的增多，不仅需要在多台服务器上进行登录认证，还需要在多个云服务之间进行频繁的登录和登出操作。用户信息受到非法截获和破坏的可能性会增大，安全性得不到保障，还会导致系统访问的延迟。而针对多用户多目标服务的管理也因为用户ID的不统一变得越来越复杂，例如，同一用户以不同身份登录不同服务会为云资源计费造成困难。

现有技术中，有通过加密认证来提高系统安全性的方法，也有通过单点登录来提高用户管理便利性的方法。

2012年，日本专利“特开JP 2012-247858 号公报”，公开了云计算环境下基于密钥确认用户身份的认证方法和系统。该系统的客户端不需要保存密钥对中的私钥，而是根据用户密码在认证过程中即时生成，因此即使客户端设备丢失，也不会导致用于认证的私钥信息泄露。但是该方法必须一台密码管理服务器来生成密钥对，并将其中的公钥发送至另一台公钥管理服务器，如果公钥在发送过程中被破坏或恶意截获，将会导致整个认证系统无效，安全性也无从保证。特别是当用户由于业务需求要进行云服务迁移时，上述密钥生成、认证数据加密、认证数据解密的步骤必须要重复执行，会降低系统的响应速度，也为跨服务管理带来不便。随着云计算资源整合深度的提高和云服务种类的增多，用户的这种需求也会增强，因此迫切需要一种安全、通用、简洁的认证方法和认证系统。

2013年，日本专利“特开JP 2013-8140号公报”针对特开JP 2012-247858 号公报情况，提出了一种只进行一次登陆就可以访问多个云服务的单点登陆认证系统。该系统和云服务所依托数据中心的认证系统协同工作，用户只需在终端进行一次认证登录，就可以实现业务需要时的服务迁移。但是该系统的主要缺点是，用户的首次登录是基于明文传输的密码认证，而非基于密文传输的密钥认证，因此安全性不高，为云服务的访问和迁移中带来安全隐患。

发明内容

有鉴于此，本发明的目的是：提供一种云服务访问网关系统，该系统综合采用用户交互层、安全认证层、单点登录层和云服务访问技术，该三个功能层能够同时提高系统安全性、降低系统处理延迟、加强对用户的一元化管理，便于实现云服务间迁移。

本发明的技术方案是：

一种云服务访问网关系统，包括客户端、云服务访问网关、云资源服务器，其中：

所述客户端，通过因特网与各个云资源服务器、云服务访问网关建立连接，进行数据和事件交互，该客户端包括硬件和软件，其中硬件为计算机，或为智能手机，或为触摸式电脑，硬件之间通过网络有线或无线连接； 

所述云服务访问网关，包括至少一个网关服务器，用来接收和处理来自用户的请求和来自云计算中心的事件响应，并为二者建立数据和事件交互的通道；

所述云资源服务器，包括云服务和云服务管理数据库，是部署在云计算中心的服务器，为云服务提供物理和逻辑依托，该云服务包括至少一个用户最终访问的基础设施服务，或应用系统服务，如：邮件系统服务、数据库系统服务。

特别是：所述云服务访问网关，包括用户交互层、安全认证层和单点登录层；

 所述用户交互层，包括用户请求交互单元，用户请求解析单元，用户事件响应单元，用户登陆控制单元，用于和客户端进行信息交互，进行用户注册、用户登录、账户修改、云服务定制、云服务访问、云服务前移；

所述安全认证层，包括用户信息审查单元，用户账户设定单元，加密认证单元，认证信

息数据库，用于对用户登录信息进行合法性验证，安全认证层在账户生成后和单点登录层的登录信息数据库进行账户信息同步；

所述单点登录层，包括资源授权管理单元，云服务生命周期管理单元，会话初始化单元，会话迁移单元，登录信息数据库，用于实现利用单一用户ID进行跨应用服务访问，单点登录层将登陆状态的信息和账户修改信息同步到云资源服务器，同时将信息同步完成的结果通知安全认证层，单点登录层处理服务定制请求、服务创建请求、服务迁移请求后，反馈通知用户交互层；