本發(fā)明涉及虛擬化節(jié)點(diǎn)通信技術(shù)領(lǐng)域,特別是涉及一種虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法。本發(fā)明還涉及一種虛擬化系統(tǒng)。
背景技術(shù):
隨著云計(jì)算技術(shù)以及虛擬化技術(shù)的飛速發(fā)展,虛擬化系統(tǒng)節(jié)點(diǎn)間的通信安全越來越成為社會發(fā)展的需要。
目前的虛擬化系統(tǒng)中,虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令均存儲于虛擬化管理節(jié)點(diǎn)內(nèi),且存儲的登錄口令一般通過算法得到,即可被人破解,故一旦虛擬化管理節(jié)點(diǎn)被攻擊出現(xiàn)信息泄露,攻擊者可以通過對泄露信息進(jìn)行分析來獲得虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令,進(jìn)而控制虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器,導(dǎo)致通信數(shù)據(jù)泄露,可見,目前的虛擬化節(jié)點(diǎn)間的通信方式安全性低,各個虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令被破解的風(fēng)險(xiǎn)高。
因此,如何提供一種安全性高的虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法及其虛擬化系統(tǒng)是本領(lǐng)域技術(shù)人員目前需要解決的問題。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的是提供一種虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法,降低了各個虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令被破解的風(fēng)險(xiǎn),安全性高。本發(fā)明的另一目的是提供一種虛擬化系統(tǒng)。
為解決上述技術(shù)問題,本發(fā)明提供了一種虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法,包括:
虛擬化管理節(jié)點(diǎn)接收客戶端發(fā)送的登錄請求后,發(fā)送登錄驗(yàn)證請求至LDAP服務(wù)器進(jìn)行身份權(quán)限認(rèn)證;其中,所述登錄驗(yàn)證請求內(nèi)包括所述客戶端的登錄信息;
若認(rèn)證通過,所述LDAP服務(wù)器返回第一認(rèn)證通過響應(yīng)至所述虛擬化管理節(jié)點(diǎn);所述第一認(rèn)證通過響應(yīng)包括所述客戶端的身份認(rèn)證通過信息、所述虛擬化管理節(jié)點(diǎn)的登錄口令以及訪問權(quán)限信息;
所述虛擬化管理節(jié)點(diǎn)接收所述第一認(rèn)證通過響應(yīng)后,存儲所述登錄口令以及所述訪問權(quán)限信息,并返回所述身份認(rèn)證通過信息至所述客戶端;
虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器首次接收到所述客戶端通過所述虛擬化管理節(jié)點(diǎn)發(fā)送的操作指令后,發(fā)送操作認(rèn)證請求至所述LDAP服務(wù)器進(jìn)行權(quán)限認(rèn)證;
若認(rèn)證通過,所述LDAP服務(wù)器返回第二認(rèn)證通過響應(yīng)至發(fā)送所述操作認(rèn)證請求的節(jié)點(diǎn);其中,所述第二認(rèn)證通過響應(yīng)內(nèi)包括發(fā)送所述操作認(rèn)證請求的節(jié)點(diǎn)對應(yīng)的登錄口令以及訪問權(quán)限信息;
所述虛擬化計(jì)算節(jié)點(diǎn)或所述存儲服務(wù)器接收到所述第二認(rèn)證通過響應(yīng)后存儲所述第二認(rèn)證通過響應(yīng)內(nèi)的登錄口令以及訪問權(quán)限信息,并通過自身的登錄口令登錄自身系統(tǒng)后查詢自身的訪問權(quán)限信息以及按照接收到的所述操作指令進(jìn)行相應(yīng)操作。
優(yōu)選地,所述虛擬化管理節(jié)點(diǎn)發(fā)送登錄驗(yàn)證請求至LDAP服務(wù)器進(jìn)行身份權(quán)限認(rèn)證的過程具體為:
所述虛擬化管理節(jié)點(diǎn)發(fā)送所述登錄驗(yàn)證請求至密鑰分配中心;
所述密鑰分配中心建立與所述虛擬化管理節(jié)點(diǎn)之間的安全通信通道以及開放與所述虛擬化管理節(jié)點(diǎn)之間的會話權(quán)限,并將所述登錄驗(yàn)證請求發(fā)送至所述LDAP服務(wù)器進(jìn)行身份權(quán)限認(rèn)證。
優(yōu)選地,所述虛擬化計(jì)算節(jié)點(diǎn)或所述存儲服務(wù)器首次接收到所述操作指令后發(fā)送操作認(rèn)證請求至所述LDAP服務(wù)器進(jìn)行權(quán)限認(rèn)證的過程具體為:
所述虛擬化計(jì)算節(jié)點(diǎn)或所述存儲服務(wù)器首次接收到所述操作指令后發(fā)送所述操作認(rèn)證請求至所述密鑰分配中心;
所述密鑰分配中心建立與所述虛擬化計(jì)算節(jié)點(diǎn)或所述存儲服務(wù)器之間的安全通信通道以及開放與所述虛擬化計(jì)算節(jié)點(diǎn)或所述存儲服務(wù)器之間的會話權(quán)限,并將所述登錄驗(yàn)證請求發(fā)送至所述LDAP服務(wù)器進(jìn)行權(quán)限認(rèn)證。
優(yōu)選地,所述密鑰分配中心建立與相應(yīng)節(jié)點(diǎn)之間的安全通信通道的過程具體為:
所述密鑰分配中心分配一對公鑰和私鑰至所述相應(yīng)節(jié)點(diǎn),供所述相應(yīng)節(jié)點(diǎn)接收數(shù)據(jù)信息時使用所述私鑰解密,發(fā)送數(shù)據(jù)信息時使用所述公鑰加密。
優(yōu)選地,當(dāng)所述虛擬化管理節(jié)點(diǎn)、所述虛擬化計(jì)算節(jié)點(diǎn)以及所述存儲服務(wù)器均接收到所述密鑰分配中心分配的一對公鑰和私鑰且均接收到所述LDAP服務(wù)器發(fā)送的登錄口令后,還包括:
建立所述虛擬化管理節(jié)點(diǎn)與所述客戶端之間、所述虛擬化管理節(jié)點(diǎn)與所述虛擬化計(jì)算節(jié)點(diǎn)之間、所述虛擬化管理節(jié)點(diǎn)與所述存儲服務(wù)器之間以及所述虛擬化計(jì)算節(jié)點(diǎn)與所述存儲服務(wù)器之間的安全通信通道。
為解決上述技術(shù)問題,本發(fā)明還提供了一種虛擬化系統(tǒng),包括虛擬化管理節(jié)點(diǎn)、虛擬化計(jì)算節(jié)點(diǎn)、存儲服務(wù)器以及LDAP服務(wù)器;其中:
所述虛擬化管理節(jié)點(diǎn),用于接收客戶端發(fā)送的登錄請求后,發(fā)送登錄驗(yàn)證請求至LDAP服務(wù)器進(jìn)行身份權(quán)限認(rèn)證;其中,所述登錄驗(yàn)證請求內(nèi)包括所述客戶端的登錄信息;接收所述第一認(rèn)證通過響應(yīng)后,存儲所述登錄口令以及所述訪問權(quán)限信息,并返回所述身份認(rèn)證通過信息至所述客戶端;
所述LDAP服務(wù)器,用于接收所述登錄驗(yàn)證請求后進(jìn)行認(rèn)證,若認(rèn)證通過,返回第一認(rèn)證通過響應(yīng)至所述虛擬化管理節(jié)點(diǎn);所述第一認(rèn)證通過響應(yīng)包括所述客戶端的身份認(rèn)證通過信息、所述虛擬化管理節(jié)點(diǎn)的登錄口令以及訪問權(quán)限信息;接收到的操作認(rèn)證請求后進(jìn)行認(rèn)證,若認(rèn)證通過,返回第二認(rèn)證通過響應(yīng)至發(fā)送所述操作認(rèn)證請求的節(jié)點(diǎn);其中,所述第二認(rèn)證通過響應(yīng)內(nèi)包括發(fā)送所述操作認(rèn)證請求的節(jié)點(diǎn)對應(yīng)的登錄口令以及訪問權(quán)限信息;
所述虛擬化計(jì)算節(jié)點(diǎn)以及所述存儲服務(wù)器,用于當(dāng)首次接收到所述客戶端通過所述虛擬化管理節(jié)點(diǎn)發(fā)送的操作指令后,發(fā)送操作認(rèn)證請求至所述LDAP服務(wù)器進(jìn)行權(quán)限認(rèn)證;接收到所述第二認(rèn)證通過響應(yīng)后存儲所述第二認(rèn)證通過響應(yīng)內(nèi)的登錄口令以及訪問權(quán)限信息,并通過自身的登錄口令登錄自身系統(tǒng)后查詢自身的訪問權(quán)限信息以及按照接收到的所述操作指令進(jìn)行相應(yīng)操作。
優(yōu)選地,還包括:
密鑰分配中心,用于接收所述虛擬化管理節(jié)點(diǎn)發(fā)送的所述登錄驗(yàn)證請求,并建立與所述虛擬化管理節(jié)點(diǎn)之間的安全通信通道以及開放與所述虛擬化管理節(jié)點(diǎn)之間的會話權(quán)限,并將所述登錄驗(yàn)證請求發(fā)送至所述LDAP服務(wù)器進(jìn)行身份權(quán)限認(rèn)證。
優(yōu)選地,所述密鑰分配中心還用于:
接收所述虛擬化計(jì)算節(jié)點(diǎn)或所述存儲服務(wù)器首次接收到所述操作指令后發(fā)送的所述操作認(rèn)證請求,并建立與所述虛擬化計(jì)算節(jié)點(diǎn)或所述存儲服務(wù)器之間的安全通信通道以及開放與所述虛擬化計(jì)算節(jié)點(diǎn)或所述存儲服務(wù)器之間的會話權(quán)限,并將所述登錄驗(yàn)證請求發(fā)送至所述LDAP服務(wù)器進(jìn)行權(quán)限認(rèn)證。
本發(fā)明提供了一種虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法,虛擬化管理節(jié)點(diǎn)、虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令以及訪問權(quán)限均由LDAP服務(wù)器進(jìn)行認(rèn)證后分配,即本發(fā)明對登錄口令進(jìn)行了分散,各個節(jié)點(diǎn)分別存儲自身的登錄口令,而不是由虛擬化管理節(jié)點(diǎn)統(tǒng)一存儲,故即使虛擬化管理節(jié)點(diǎn)被攻擊出現(xiàn)信息泄露,攻擊者也無法獲取虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令;并且,以上各個節(jié)點(diǎn)的登錄口令均由LDAP服務(wù)器進(jìn)行分配,該種登錄口令不可逆推,即無法通過算法計(jì)算破解登錄口令,可見,本發(fā)明安全性高,各個虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令被破解的風(fēng)險(xiǎn)低。本發(fā)明還提供了一種虛擬化系統(tǒng),也具有上述優(yōu)點(diǎn),在此不再贅述。
附圖說明
為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對現(xiàn)有技術(shù)和實(shí)施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明提供的一種虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法的過程的流程圖;
圖2為本發(fā)明提供的一種虛擬化系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施方式
本發(fā)明的核心是提供一種虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法,降低了各個虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令被破解的風(fēng)險(xiǎn),安全性高。本發(fā)明的另一核心是提供一種虛擬化系統(tǒng)。
為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
本發(fā)明提供了一種虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法,參見圖1所示,圖1為本發(fā)明提供的一種虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法的過程的流程圖;包括:
虛擬化管理節(jié)點(diǎn)接收客戶端發(fā)送的登錄請求后,發(fā)送登錄驗(yàn)證請求至LDAP服務(wù)器進(jìn)行身份權(quán)限認(rèn)證;其中,登錄驗(yàn)證請求內(nèi)包括客戶端的登錄信息;
若認(rèn)證通過,LDAP服務(wù)器返回第一認(rèn)證通過響應(yīng)至虛擬化管理節(jié)點(diǎn);第一認(rèn)證通過響應(yīng)包括客戶端的身份認(rèn)證通過信息、虛擬化管理節(jié)點(diǎn)的登錄口令以及訪問權(quán)限信息;
虛擬化管理節(jié)點(diǎn)接收第一認(rèn)證通過響應(yīng)后,存儲登錄口令以及訪問權(quán)限信息,并返回身份認(rèn)證通過信息至客戶端;
虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器首次接收到客戶端通過虛擬化管理節(jié)點(diǎn)發(fā)送的操作指令后,發(fā)送操作認(rèn)證請求至LDAP服務(wù)器進(jìn)行權(quán)限認(rèn)證;
需要注意的是,虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器接收的操作指令可能不是由虛擬化管理節(jié)點(diǎn)直接發(fā)送的,而是由虛擬化管理節(jié)點(diǎn)發(fā)送至其他虛擬化計(jì)算節(jié)點(diǎn),再由其他虛擬化計(jì)算節(jié)點(diǎn)轉(zhuǎn)發(fā)至虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器。上述操作表明的是,只要虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器首次接收到操作指令,則要通過LDAP服務(wù)器進(jìn)行權(quán)限認(rèn)證。
若認(rèn)證通過,LDAP服務(wù)器返回第二認(rèn)證通過響應(yīng)至發(fā)送操作認(rèn)證請求的節(jié)點(diǎn);其中,第二認(rèn)證通過響應(yīng)內(nèi)包括發(fā)送操作認(rèn)證請求的節(jié)點(diǎn)對應(yīng)的登錄口令以及訪問權(quán)限信息;
虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器接收到第二認(rèn)證通過響應(yīng)后存儲第二認(rèn)證通過響應(yīng)內(nèi)的登錄口令以及訪問權(quán)限信息,并通過自身的登錄口令登錄自身系統(tǒng)后查詢自身的訪問權(quán)限信息以及按照接收到的操作指令進(jìn)行相應(yīng)操作。
其中,這里的登錄口令具體為身份識別令牌(Token)。
另外,虛擬化計(jì)算節(jié)點(diǎn)與存儲服務(wù)器之間也有連接,虛擬化計(jì)算節(jié)點(diǎn)可以調(diào)用存儲服務(wù)器內(nèi)的數(shù)據(jù)或者將自身得到的數(shù)據(jù)存儲至存儲服務(wù)器內(nèi)。
可以理解的是,LDAP(Lightweight Directory Access Protoco,輕量目錄訪問協(xié)議)服務(wù)器具有對域內(nèi)物理節(jié)點(diǎn)充分授權(quán)和資源管理的特點(diǎn),LDAP服務(wù)器指的是采用LDAP協(xié)議通信的服務(wù)器,作為優(yōu)選地,本發(fā)明中的LDAP服務(wù)器采用Kerberos認(rèn)證技術(shù)進(jìn)行認(rèn)證操作。
另外,本發(fā)明中對用戶登錄時的身份驗(yàn)證操作由LDAP服務(wù)器進(jìn)行,而不再由虛擬化管理節(jié)點(diǎn)進(jìn)行,故虛擬化管理節(jié)點(diǎn)內(nèi)不再需要存儲與用戶登錄信息相關(guān)的敏感數(shù)據(jù),提高了用戶登錄信息數(shù)據(jù)的安全性。
作為優(yōu)選地,虛擬化管理節(jié)點(diǎn)發(fā)送登錄驗(yàn)證請求至LDAP服務(wù)器進(jìn)行身份權(quán)限認(rèn)證的過程具體為:
虛擬化管理節(jié)點(diǎn)發(fā)送登錄驗(yàn)證請求至密鑰分配中心;
密鑰分配中心建立與虛擬化管理節(jié)點(diǎn)之間的安全通信通道以及開放與虛擬化管理節(jié)點(diǎn)之間的會話權(quán)限,并將登錄驗(yàn)證請求發(fā)送至LDAP服務(wù)器進(jìn)行身份權(quán)限認(rèn)證。
進(jìn)一步的,虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器首次接收到操作指令后發(fā)送操作認(rèn)證請求至LDAP服務(wù)器進(jìn)行權(quán)限認(rèn)證的過程具體為:
虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器首次接收到操作指令后發(fā)送操作認(rèn)證請求至密鑰分配中心;
密鑰分配中心建立與虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器之間的安全通信通道以及開放與虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器之間的會話權(quán)限,并將登錄驗(yàn)證請求發(fā)送至LDAP服務(wù)器進(jìn)行權(quán)限認(rèn)證。
可以理解的是,在尚未建立安全通信通道時,各個節(jié)點(diǎn)通過初始通道進(jìn)行通信。
其中,密鑰分配中心建立與相應(yīng)節(jié)點(diǎn)之間的安全通信通道的過程具體為:
密鑰分配中心分配一對公鑰和私鑰至相應(yīng)節(jié)點(diǎn),供相應(yīng)節(jié)點(diǎn)接收數(shù)據(jù)信息時使用私鑰解密,發(fā)送數(shù)據(jù)信息時使用公鑰加密。
可以理解的是,通過采用上述加密解密方式,可以盡可能保證通信通道的可靠性及安全性,即可理解為建立了安全的通信通道。
進(jìn)一步的,當(dāng)虛擬化管理節(jié)點(diǎn)、虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器均接收到密鑰分配中心分配的一對公鑰和私鑰且均接收到LDAP服務(wù)器發(fā)送的登錄口令后,還包括:
建立虛擬化管理節(jié)點(diǎn)與客戶端之間、虛擬化管理節(jié)點(diǎn)與虛擬化計(jì)算節(jié)點(diǎn)之間、虛擬化管理節(jié)點(diǎn)與存儲服務(wù)器之間以及虛擬化計(jì)算節(jié)點(diǎn)與存儲服務(wù)器之間的安全通信通道。
另外,當(dāng)各個節(jié)點(diǎn)均通過LDAP服務(wù)器的權(quán)限認(rèn)證后,當(dāng)虛擬化管理節(jié)點(diǎn)或虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器再次接收到客戶端發(fā)送的操作指令后,則首先通過自身的登錄口令登錄自身系統(tǒng),查詢訪問權(quán)限信息,若操作屬于自身權(quán)限范圍內(nèi),則執(zhí)行該操作內(nèi)容,否則,經(jīng)該操作指令轉(zhuǎn)發(fā)至相應(yīng)的虛擬化計(jì)算節(jié)點(diǎn)或存儲服務(wù)器。
本發(fā)明提供了一種虛擬化系統(tǒng)節(jié)點(diǎn)間通信方法,虛擬化管理節(jié)點(diǎn)、虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令以及訪問權(quán)限均由LDAP服務(wù)器進(jìn)行認(rèn)證后分配,即本發(fā)明對登錄口令進(jìn)行了分散,各個節(jié)點(diǎn)分別存儲自身的登錄口令,而不是由虛擬化管理節(jié)點(diǎn)統(tǒng)一存儲,故即使虛擬化管理節(jié)點(diǎn)被攻擊出現(xiàn)信息泄露,攻擊者也無法獲取虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令;并且,以上各個節(jié)點(diǎn)的登錄口令均由LDAP服務(wù)器進(jìn)行分配,該種登錄口令不可逆推,即無法通過算法計(jì)算破解登錄口令,可見,本發(fā)明安全性高,各個虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令被破解的風(fēng)險(xiǎn)低。
本發(fā)明還提供了一種虛擬化系統(tǒng),參見圖2所示,圖2為本發(fā)明提供的一種虛擬化系統(tǒng)的結(jié)構(gòu)示意圖。該系統(tǒng)包括虛擬化管理節(jié)點(diǎn)11、虛擬化計(jì)算節(jié)點(diǎn)12、存儲服務(wù)器13以及LDAP服務(wù)器14;其中:
虛擬化管理節(jié)點(diǎn)11,用于接收客戶端發(fā)送的登錄請求后,發(fā)送登錄驗(yàn)證請求至LDAP服務(wù)器14進(jìn)行身份權(quán)限認(rèn)證;其中,登錄驗(yàn)證請求內(nèi)包括客戶端的登錄信息;接收第一認(rèn)證通過響應(yīng)后,存儲登錄口令以及訪問權(quán)限信息,并返回身份認(rèn)證通過信息至客戶端;
LDAP服務(wù)器14,用于接收登錄驗(yàn)證請求后進(jìn)行認(rèn)證,若認(rèn)證通過,返回第一認(rèn)證通過響應(yīng)至虛擬化管理節(jié)點(diǎn)11;第一認(rèn)證通過響應(yīng)包括客戶端的身份認(rèn)證通過信息、虛擬化管理節(jié)點(diǎn)11的登錄口令以及訪問權(quán)限信息;接收到的操作認(rèn)證請求后進(jìn)行認(rèn)證,若認(rèn)證通過,返回第二認(rèn)證通過響應(yīng)至發(fā)送操作認(rèn)證請求的節(jié)點(diǎn);其中,第二認(rèn)證通過響應(yīng)內(nèi)包括發(fā)送操作認(rèn)證請求的節(jié)點(diǎn)對應(yīng)的登錄口令以及訪問權(quán)限信息;
虛擬化計(jì)算節(jié)點(diǎn)12以及存儲服務(wù)器13,用于當(dāng)首次接收到客戶端通過虛擬化管理節(jié)點(diǎn)11發(fā)送的操作指令后,發(fā)送操作認(rèn)證請求至LDAP服務(wù)器14進(jìn)行權(quán)限認(rèn)證;接收到第二認(rèn)證通過響應(yīng)后存儲第二認(rèn)證通過響應(yīng)內(nèi)的登錄口令以及訪問權(quán)限信息,并通過自身的登錄口令登錄自身系統(tǒng)后查詢自身的訪問權(quán)限信息以及按照接收到的操作指令進(jìn)行相應(yīng)操作。
作為優(yōu)選地,還包括:
密鑰分配中心15,用于接收虛擬化管理節(jié)點(diǎn)11發(fā)送的登錄驗(yàn)證請求,并建立與虛擬化管理節(jié)點(diǎn)11之間的安全通信通道以及開放與虛擬化管理節(jié)點(diǎn)11之間的會話權(quán)限,并將登錄驗(yàn)證請求發(fā)送至LDAP服務(wù)器14進(jìn)行身份權(quán)限認(rèn)證。
進(jìn)一步的,密鑰分配中心15還用于:
接收虛擬化計(jì)算節(jié)點(diǎn)12或存儲服務(wù)器13首次接收到操作指令后發(fā)送的操作認(rèn)證請求,并建立與虛擬化計(jì)算節(jié)點(diǎn)12或存儲服務(wù)器13之間的安全通信通道以及開放與虛擬化計(jì)算節(jié)點(diǎn)12或存儲服務(wù)器13之間的會話權(quán)限,并將登錄驗(yàn)證請求發(fā)送至LDAP服務(wù)器14進(jìn)行權(quán)限認(rèn)證。
另外,該系統(tǒng)中還包括交換機(jī),該交換機(jī)分別與客戶端、虛擬化管理節(jié)點(diǎn)11、虛擬化計(jì)算節(jié)點(diǎn)12以及存儲服務(wù)器13相連,用于控制以上各個系統(tǒng)節(jié)點(diǎn)之間的數(shù)據(jù)交換,由于各個系統(tǒng)節(jié)點(diǎn)之間可能會不方便直接連接,故通過交換機(jī)能夠方便的實(shí)現(xiàn)節(jié)點(diǎn)間通信。
同時,本發(fā)明不限定虛擬化計(jì)算節(jié)點(diǎn)12以及存儲服務(wù)器13的個數(shù)。
本發(fā)明提供了一種虛擬化系統(tǒng),虛擬化管理節(jié)點(diǎn)、虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令以及訪問權(quán)限均由LDAP服務(wù)器進(jìn)行認(rèn)證后分配,即本發(fā)明對登錄口令進(jìn)行了分散,各個節(jié)點(diǎn)分別存儲自身的登錄口令,而不是由虛擬化管理節(jié)點(diǎn)統(tǒng)一存儲,故即使虛擬化管理節(jié)點(diǎn)被攻擊出現(xiàn)信息泄露,攻擊者也無法獲取虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令;并且,以上各個節(jié)點(diǎn)的登錄口令均由LDAP服務(wù)器進(jìn)行分配,該種登錄口令不可逆推,即無法通過算法計(jì)算破解登錄口令,可見,本發(fā)明安全性高,各個虛擬化計(jì)算節(jié)點(diǎn)以及存儲服務(wù)器的登錄口令被破解的風(fēng)險(xiǎn)低。
需要說明的是,在本說明書中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實(shí)體或者操作與另一個實(shí)體或操作區(qū)分開來,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且,術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。
對所公開的實(shí)施例的上述說明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實(shí)施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其他實(shí)施例中實(shí)現(xiàn)。因此,本發(fā)明將不會被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開的原理和新穎特點(diǎn)相一致的最寬的范圍。