[发明专利]针对虚拟化设备的跨域安全访问与资源控制方法

权利要求书

1.一种针对虚拟化设备的跨域安全访问与资源控制方法，其特征在于：包括多个虚拟化设备平台、一个访问控制中心以及一个资源池三个部分；

首先，每个虚拟化设备平台需要在访问控制中心进行认证；

其次，平台认证通过后需要将每个虚拟化设备在访问控制中心进行认证；

再次，平台每次启动虚拟化设备，需要向访问控制中心进行认证确认；

从次，虚拟化设备认证确认后，利用非对称加密技术，将虚拟化设备启动命令行加密，发送给访问控制中心；

最后，访问控制中心利用非对称加密技术将虚拟化设备运行命令行解密，符合资源分配规则后，发送给资源池启动设备；

每个虚拟化设备平台都需要在访问控制中心中进行平台认证，认证成功则将虚拟化设备平台记录在平台认证表中，认证失败则让虚拟化设备平台重新进行认证；虚拟化设备平台认证流程如下：

(1)虚拟化设备平台向访问控制中心发送认证请求；

(2)访问控制中心接收到认证请求后生成一个随机字符串与自身公钥返回给虚拟化设备平台；

(3)虚拟化设备平台接收到随机字符串与公钥后，管理员在平台跟目录下建立认证文件，文件名为随机字符串，使用公钥加密认证密码，将加密后的认证密码存入认证文件中；

(4)建立完成后向访问控制中心发送认证确认请求；

(5)访问控制中心接收到认证确认请求后，访问平台上对应认证文件，将认证文件内容使用自身私钥解密，将解密后认证密码与原始认证密码进行比对；

(6)若无法访问认证文件或认证密码对比不一致，则发送认证失败信息返回给平台，让其重新认证；

(7)若认证文件可以访问并且认证密码比对一致，则发送认证成功信息，并将该平台域名、认证文件名记录到平台认证表中；

虚拟化设备平台认证后，每个虚拟化设备都需要在访问控制中心中进行设备认证，认证成功则将虚拟化设备记录在设备认证表中，认证失败则返回失败信息给虚拟化设备平台；虚拟化设备认证流程如下：

(1)虚拟化平台新建虚拟化设备时利用非对称加密技术，为其分配一对公钥私钥与唯一标识符；

(2)虚拟化平台向访问控制中心发送虚拟化设备认证请求；

(3)访问控制中心接收到设备认证请求后，查询认证平台表是否存在此虚拟化平台，若不存在，返回错误信息，若存在，则将自身公钥发送给平台进行虚拟化设备认证信息确认请求；

(4)虚拟化平台接收到设备信息确认请求后，使用接收公钥将认证密码进行加密；

(5)虚拟化平台将设备唯一标识符、设备公钥、加密认证密码、虚拟设备资源占用最大值与最小值以JSON格式发送给访问控制中心；

(6)访问控制中心接收到设备信息后，使用自身私钥解密认证密码，将解密后认证密码与原始认证密码进行比对；

(7)若不一致，则返回错误信息；若一致，则将设备唯一标识、设备公钥、虚拟设备资源信息、平台域名记录到设备认证表中并返回平台认证成功信息；

每次启动虚拟化设备，需要向访问控制中心进行认证确认，认证确认成功并符合资源分配规则后，将启动命令行加密发送给资源池，资源池剩余资源满足设备所需资源后，分配资源，使用命令行启动虚拟化设备；虚拟化设备安全调用与资源控制流程如下：

(1)虚拟化平台使用需要调用的设备唯一标识发送给访问控制中心请求启动；

(2)访问控制中心接收到启动请求后，查询平台认证表是否存在此平台，若不存在，返回错误信息给虚拟化平台；

(3)平台认证表中若存在此平台，查询设备认证表是否存在此设备，若不存在，返回错误信息给虚拟化平台，若存在，则发送调用信息确认请求给平台；

(4)平台接收到调用信息确认请求后，使用设备对应私钥将启动设备命令行进行加密，之后将加密命令行、设备占用资源、设备唯一标识返回给访问控制中心；

(5)访问控制中心接收到信息后，查询设备对应资源占用是否符合设备认证表中对应的虚拟设备资源信息；

(6)若不符合，则返回错误信息给虚拟化平台，若符合，则使用唯一标识对应的公钥将命令行进行解密，将解密后命令行与资源信息发送给资源池，请求虚拟设备启动；

(7)资源池接收到虚拟设备启动请求后，查询剩余资源；

(8)若不满足设备所需资源，则返回错误给访问控制中心，访问控制中心将错误返回给虚拟化平台，若满足，则分配对应资源，使用命令行启动虚拟化设备。

2.根据权利要求1所述的针对虚拟化设备的跨域安全访问与资源控制方法，其特征在于：资源分配规则为：在设备认证表中，每个设备都会有资源占用最大值、资源占用最小值，每次平台申请启动虚拟化设备时，都会向访问控制中心发送该设备的设备占用资源，设备占用资源需要大于等于资源占用最小值，小于等于资源占用最大值。