(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210326783.7 (22)申请日 2022.03.30 (71)申请人 浪潮云信息技 术股份公司 地址 250101 山东省济南市高新区浪潮路 1036号浪潮科技园S01号楼 (72)发明人 梁圣奇　董玉全　高传集　孙思清　 杨继伟　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 柳虹 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/1097(2022.01) (54)发明名称 一种跨云访问公有云的方法、 系统及公有云 (57)摘要 本申请公开了一种跨云访问公有云的方法、 系统及公有云， 该方案中， 接收私有云的第一用 户发送的携带凭据编码和第一凭据签名的访问 请求； 根据凭据编码获取凭据密钥； 根据凭据密 钥中包含的通讯密钥加密访问请求来获取第二 凭据签名； 在两个签名相同时， 根据凭据编码获 取加密的凭据策略并由数据密钥解密， 进而更换 第一用户的编码为第二用户的编码； 基于第二用 户的编码登录公有云并执行对应的公有云的功 能。 通过定义凭据策略将私有云的第一用户的编 码切换为公有云的第二用户的编码， 从而具有访 问公有云的权 限， 实现登录公有云， 建立起不同 云之间的连接， 过程简单， 同时通过数据密钥增 加切换用户的编码的安全性， 通过通讯密钥增加 第一用户的访问安全。 权利要求书2页 说明书8页 附图4页 CN 114697111 A 2022.07.01 CN 114697111 A 1.一种跨云访问公有云的方法， 其特征在于， 应用于跨云访问系统中公有云的处理器， 包括： 接收私有云的第 一用户发送的访问请求， 所述访问请求携带基于所述私有云的存储模 块中预先存储的凭据密钥获取 的凭据编码和所述第一用户的第一凭据签名， 其中， 所述凭 据编码为所述访问请求对应的凭据的编号， 所述凭据包含凭据策略和凭据密钥， 所述凭据 策略包含所述凭据编码、 所述第一用户的编码和与所述第一用户的编 码对应的所述 公有云 的第二用户的编 码， 所述凭据密钥包含 所述凭据编码、 数据密钥和通讯密钥， 所述数据密钥 用于加密所述凭据策略， 所述 通讯密钥用于加密所述访问请求 生成凭据签名； 根据所述凭据编码从所述公有云的存 储模块中获取 预先存储的所述凭据密钥； 根据所述凭据密钥中包 含的所述 通讯密钥加密所述访问请求 来获取第二凭据签名； 在所述第一凭据签名与所述第 二凭据签名相同时， 根据 所述凭据编码从第 一公共存储 模块中获取预先存储的加密的所述凭据策略并根据所述凭据密钥中包含的所述数据密钥 解密得到所述凭据策略； 根据所述第 一用户的编码和所述凭据 策略， 更换所述第 一用户的编码为对应的所述第 二用户的编码； 基于所述第二用户的编码登录所述公有云并执行所述访问请求对应的所述公有云的 功能。 2.如权利要求1所述的跨云访问公有云的方法， 其特征在于， 所述跨云访问系统还包括 公共处理器， 接收私有云的第一用户发送的访问请求之前， 还 包括： 接收所述公共处 理器发送的所述凭据密钥并存 储至所述公有云的存 储模块； 所述公共处理器还用于发送所述凭据密钥至所述私有云的处理器和发送由所述凭据 密钥中的所述数据密钥加密的所述凭据策略至所述第一 公共存储模块， 所述 凭据密钥中包 含的所述凭据编码、 所述数据密钥和所述通讯密钥均由所述公共处理器生成， 所述凭据策 略中包含的所述凭据编码及所述第一用户的编码和所述第二用户的编码的对应关系由所 述公共处理器生成， 所述第一用户的编 码由所述 公共处理器从所述私有云的处理器发送的 所述私有云的所有用户的编 码中确认， 所述第二用户的编 码由所述 公共处理器从所述公有 云的处理器发送的所述公有云的所有用户的编码中确认。 3.如权利要求2所述的跨云访问公有云的方法， 其特征在于， 接收所述公共处理器发送 的所述凭据密钥并存 储至所述公有云的存 储模块， 包括： 接收所述公共处理器通过http s协议发送的所述凭据密钥并存储至所述公有云的存储 模块。 4.如权利要求2所述的跨云访问公有云的方法， 其特 征在于， 还 包括： 每隔预设周期发送所述公有云的所有用户的编码至所述公共处 理器。 5.如权利要求1所述的跨云访问公有云的方法， 其特征在于， 根据 所述凭据密钥中包含 的所述通讯密钥加密所述访问请求 来获取第二凭据签名之后， 还 包括： 在所述第一凭据签名与所述第二凭据签名不相同时， 控制告警模块进行告警。 6.如权利要求1所述的跨云访问公有云的方法， 其特征在于， 所述第 一公共存储模块为 IPFS。 7.如权利要求1至6任一项所述的跨云访 问公有云的方法， 其特征在于， 基于所述第二权　利　要　求　书 1/2 页 2 CN 114697111 A 2用户的编码登录所述公有云并执 行所述访问请求对应的所述公有云的功能之后， 还 包括： 将所述凭据编码、 所述第 一用户的编码、 所述第 二用户的编码、 所述访问请求的访问时 间和所述访问请求对应的所述公有云的功能作为凭据访问日志存 储至第二公共 存储模块。 8.如权利要求7所述的跨云访问公有云的方法， 其特征在于， 所述第 二公共存储模块为 区块链。 9.一种跨云访问公有云的系统， 其特 征在于， 应用于跨云访问系统中的公有云， 包括： 访问请求接收单元， 用于接收私有云的第一用户发送的访 问请求， 所述访 问请求携带 基于所述私有云的存储模块中预先存储的凭据密钥获取的凭据编码和所述第一用户的第 一凭据签名， 其中， 所述 凭据编码为所述访问请求对应的凭据的编号， 所述 凭据包含凭据策 略和凭据密钥， 所述凭据策略包含所述凭据编码、 所述第一用户的编码和与所述第一用户 的编码对应的所述公有云的第二用户的编码， 所述凭据密钥包含所述凭据编码、 数据密钥 和通讯密钥， 所述数据密钥用于加密所述凭据策略， 所述通讯密钥用于加密所述访问请求 生成凭据签名； 凭据密钥获取单元， 用于根据 所述凭据编码从所述公有云的存储模块中获取预先存储 的所述凭据密钥； 第二凭据签名获取单元， 用于根据 所述凭据密钥中包含的所述通讯密钥加密所述访问 请求来获取第二凭据签名； 凭据策略获取单元， 用于在所述第一凭据签名与所述第二凭据签名相同时， 根据所述 凭据编码从第一公共存储模块中获取预先存储的加密的所述凭据策略并根据所述凭据密 钥中包含的所述数据密钥解密得到所述凭据策略； 编码切换单元， 用于根据所述第一用户的编码和所述凭据策略， 更换所述第一用户的 编码为对应的所述第二用户的编码； 功能执行单元， 用于基于所述第 二用户的编码登录所述公有云并执行所述访问请求对 应的所述公有云的功能。 10.一种公有云， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序以实现上述1至8任一项所述跨云访问公有云的方法 的步骤。权　利　要　求　书 2/2 页 3 CN 114697111 A 3