[发明专利]一种跨云访问公有云的方法、系统及公有云

说明书

本申请公开了一种跨云访问公有云的方法、系统及公有云，该方案中，接收私有云的第一用户发送的携带凭据编码和第一凭据签名的访问请求；根据凭据编码获取凭据密钥；根据凭据密钥中包含的通讯密钥加密访问请求来获取第二凭据签名；在两个签名相同时，根据凭据编码获取加密的凭据策略并由数据密钥解密，进而更换第一用户的编码为第二用户的编码；基于第二用户的编码登录公有云并执行对应的公有云的功能。通过定义凭据策略将私有云的第一用户的编码切换为公有云的第二用户的编码，从而具有访问公有云的权限，实现登录公有云，建立起不同云之间的连接，过程简单，同时通过数据密钥增加切换用户的编码的安全性，通过通讯密钥增加第一用户的访问安全。

技术领域

本发明涉及跨云访问的技术领域，特别是涉及一种跨云访问公有云的方法、系统及公有云。

背景技术

近几年，随着云计算技术的发展和用户需求的多样化，公有云和私有云的应用正变得越来越广泛。为满足成本、按需、隐私、合规、避免供应商锁定等目的，企业常常会采用多云平台，即平台包含多个公有云和/或私有云，为了实现跨云访问，需要建立不同云之间的连接，但是现有技术中在不同云之间建立连接时过程比较复杂。

发明内容

本申请的目的是提供一种跨云访问公有云的方法、系统及公有云，该方案中，通过定义凭据策略将私有云的第一用户的编码切换为公有云的第二用户的编码，从而具有访问公有云的权限，实现登录公有云，建立起不同云之间的连接，过程简单，同时通过数据密钥增加切换用户的编码的安全性，通过通讯密钥增加第一用户的访问安全。

为解决上述技术问题，本申请提供了一种跨云访问公有云的方法，应用于跨云访问系统中公有云的处理器，包括：

接收私有云的第一用户发送的访问请求，所述访问请求携带基于所述私有云的存储模块中预先存储的凭据密钥获取的凭据编码和所述第一用户的第一凭据签名，其中，所述凭据编码为所述访问请求对应的凭据的编号，所述凭据包含凭据策略和凭据密钥，所述凭据策略包含所述凭据编码、所述第一用户的编码和与所述第一用户的编码对应的所述公有云的第二用户的编码，所述凭据密钥包含所述凭据编码、数据密钥和通讯密钥，所述数据密钥用于加密所述凭据策略，所述通讯密钥用于加密所述访问请求生成凭据签名；

根据所述凭据编码从所述公有云的存储模块中获取预先存储的所述凭据密钥；

根据所述凭据密钥中包含的所述通讯密钥加密所述访问请求来获取第二凭据签名；

在所述第一凭据签名与所述第二凭据签名相同时，根据所述凭据编码从第一公共存储模块中获取预先存储的加密的所述凭据策略并根据所述凭据密钥中包含的所述数据密钥解密得到所述凭据策略；

根据所述第一用户的编码和所述凭据策略，更换所述第一用户的编码为对应的所述第二用户的编码；

基于所述第二用户的编码登录所述公有云并执行所述访问请求对应的所述公有云的功能。

优选的，所述跨云访问系统还包括公共处理器，接收私有云的第一用户发送的访问请求之前，还包括：

接收所述公共处理器发送的所述凭据密钥并存储至所述公有云的存储模块；

所述公共处理器还用于发送所述凭据密钥至所述私有云的处理器和发送由所述凭据密钥中的所述数据密钥加密的所述凭据策略至所述第一公共存储模块，所述凭据密钥中包含的所述凭据编码、所述数据密钥和所述通讯密钥均由所述公共处理器生成，所述凭据策略中包含的所述凭据编码及所述第一用户的编码和所述第二用户的编码的对应关系由所述公共处理器生成，所述第一用户的编码由所述公共处理器从所述私有云的处理器发送的所述私有云的所有用户的编码中确认，所述第二用户的编码由所述公共处理器从所述公有云的处理器发送的所述公有云的所有用户的编码中确认。

优选的，接收所述公共处理器发送的所述凭据密钥并存储至所述公有云的存储模块，包括：