一种数据通讯方法、设备及系统技术方案

本申请实施例公开了一种数据通讯方法、设备及系统，涉及通信技术领域，以提高数据通讯的安全性。该方法由Agent管理设备执行，该方法包括：Agent管理设备为不同客户端下载的Agent软件生成不同的Agent软件标识，当Agent管理设备接收到来自客户端的包括用户标识和Agent软件标识的同步密钥请求时，若确定Agent软件标识与Agent管理设备为客户端生成的Agent软件标识相同，则向客户端发送工作密钥，并接收客户端上报的签名数据，根据工作密钥验证签名数据的合法性；若验证签名数据为合法数据，则向数据处理设备发送用于指示数据处理设备对客户端的请求数据进行数据处理的校验通过指示。

【技术实现步骤摘要】
一种数据通讯方法、设备及系统
本申请实施例涉及通信
，尤其涉及一种数据通讯方法、设备及系统。
技术介绍
在公有云场景中，用户可以在虚拟机(virtualmachine，VM)中部署云服务提供的代理(Agent)软件，通过该Agent软件将用户日志(或者监控数据)上报至云服务，云服务根据上报的用户日志实现对VM的精细化监控、以及对上报的用户日志进行永久存储和检索分析。在Agent软件上报用户日志的过程中，云服务需要对上报的用户日志进行校验和认证，以确保上报的合法性。目前，在公有云的场景中，云服务端(Server)通常采用接入密钥/安全密钥(AccessKey，AK/SecretAccessKey，SK)的方式来认证客户端(Client)的请求。如：用户通过身份认证和访问管理(IdentityandAccessManagement，IAM)服务，生成AK/SK，并将生成的AK/SK配置在Agent软件中，Agent软件在发送请求时，根据AK/SK生成请求数据的签名信息，发送至云服务，云服务根据签名信息进行认证。由上可知，现有的校验和认证方案需要在Client端配置认证信息，此时，若认证信息明文存储，不符合数据通讯的安全要求；若认证信息加密存储，而与认证信息对应的密钥明文存储或者硬编码在Client的程序中，则加密的认证信息依然存在着泄露的风险，影响数据通讯的安全性。
技术实现思路
本申请实施例提供一种数据通讯方法、设备及系统，以解决现有配置在客户端的认证信息泄露导致的数据通讯安全性降低的问题。为达到上述目的，本申请实施例采用如下技术方案。第一方面，本申请实施例提供了一种数据通讯方法，该方法由Agent管理设备执行，Agent管理设备可以为不同客户端下载的Agent软件生成不同的Agent软件标识；当Agent管理设备接收来自客户端的包括用户标识和Agent软件标识的同步密钥请求后，若确定Agent软件标识与Agent管理设备为用户标识所标识的客户端生成的Agent软件标识相同，则表示该同步密钥请求为合法用户发送的请求，向该客户端发送工作密钥；随后，接收客户端上报的签名数据，根据工作密钥验证签名数据的合法性，若验证签名数据为合法数据，则向数据处理设备发送用于指示数据处理设备对客户端上报的请求数据进行数据处理的校验通过指示，以此实现数据通讯。基于该技术方案，通过为不同客户端下载的Agent软件分配不同的Agent软件标识，将客户端与该客户端上部署的Agent软件唯一绑定，使得具有绑定关系的客户端才为合法用户，并为合法用户才发送工作密钥，实现安全通讯，无需将认证信息配置在客户端，避免了现有配置在客户端的认证信息泄露导致的数据通讯安全性降低的问题。在第一种可能的设计中，结合第一方面，Agent软件标识为一定长度的字符串，Agent管理设备包括但不限于根据用户标识和通用唯一识别码生成Agent软件标识；或者采用随机字符串作为Agent软件标识。如此，可以采用不同的方式生成Agent软件标识，提高了生成Agent软件标识的灵活性。在第二种可能的设计中，结合第一方面或者第一种可能的设计，在Agent管理设备接收来自客户端的同步密钥请求之前，Agent管理设备还接收客户端发送的包括用户标识、Agent软件标识、以及第一VM的信息的第一激活请求，若Agent管理设备确定Agent软件标识为Agent管理设备生成的与客户端对应的Agent软件标识，且Agent软件未被激活，则向客户端发送用于指示客户端激活第一VM上的Agent软件的激活成功指示，并存储Agent软件标识和第一VM的信息间的对应关系；其中，第一VM的信息用于标识第一VM，第一VM为安装Agent软件的VM。如此，可以在利用Agent软件上报数据之前，先激活Agent软件，即开启Agent软件的上报数据的功能，同时，Agent管理设备将VM的信息和Agent软件标识对应存储，以实现VM和已激活的Agent软件的绑定，对于Agent管理设备而言，与Agent绑定的VM的为合法用户的VM，避免了后续非法用户将Agent软件安装在其他VM上，并利用其他VM上的Agent软件上报数据造成的安全问题。在第三种可能的设计中，结合第二种可能的设计，当Agent管理设备接收到客户端发送的包括用户标识、Agent软件标识和第二VM的信息的第二激活请求时，Agent管理设备在根据用户标识和Agent软件标识，确定Agent软件标识为Agent管理设备生成的与客户端对应的Agent软件标识后，根据Agent软件标识和第一VM的对应关系确定Agent软件已被激活，向客户端发送用于指示客户端不去激活第二VM上的Agent软件的激活失败指示，使客户端不再激活第二VM上的Agent软件，其中，第二VM可以用于安装Agent软件。如此，解决了非法用户将Agent软件安装在其他VM上，并利用其他VM上的Agent软件上报数据造成的安全问题，利用合法用户的合法VM上的Agent软件上报数据，大大提高了数据通讯的安全性。在第四种可能的设计中，结合第一方面或上述任一可能的设计，客户端向Agent管理设备发送用于请求下载Agent软件的下载请求，Agent管理设备接收该下载请求，验证客户端为合法用户后，为客户端下载的Agent软件生成Agent软件标识，并将Agent软件标识和Agent软件同时下发给客户端。如此，可以在客户端下载Agent软件的同时将Agent软件标识对应分配给客户端，提高了通讯效率。第二方面，本申请实施例提供一种Agent管理设备，该Agent管理设备可以实现上述各方面或者各可能的设计中Agent管理设备所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该Agent管理设备可以包括：生成单元、接收单元、确定单元、发送单元、验证单元、存储单元。生成单元，用于为不同客户端下载的Agent软件生成不同的Agent软件标识。接收单元，用于接收来自客户端的包括用户标识、Agent软件标识的同步密钥请求。确定单元，若根据生成单元生成的不同Agent软件标识与不同客户端间的对应关系，确定所述Agent软件标识与生成单元为客户端生成的Agent软件标识相同，则通过发送单元向客户端发送工作密钥。接收单元，还用于接收客户端上报的签名数据。其中，签名数据根据工作密钥生成。验证单元，用于根据工作密钥验证签名数据的合法性，若验证签名数据为合法数据，则通过发送单元向数据处理设备发送用于指示数据处理设备对客户端的请求数据进行数据处理的校验通过指示。其中，Agent管理设备的具体实现方式可以参考第一方面或第一方面的任一种可能的设计提供的数据通讯方法中Agent管理设备的行为功能，在此不再重复赘述。因此，该提供的Agent管理设备可以达到与第一方面或第一方面的任一种可能的设计相同的有益效果。第三方面，提供了一种Agent管理设备，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该Agent管理设备运行时，该处理器执行该存储器存储的该计算机执行指令，以使该Agent管理设备执行如上述第一方面或第一方面的任一种可能的设计所本文档来自技高网...

【技术保护点】
1.一种数据通讯方法，其特征在于，所述方法由代理Agent管理设备执行，所述方法包括：为不同客户端下载的Agent软件生成不同的Agent软件标识；接收来自客户端的同步密钥请求，所述同步密钥请求包括用户标识、Agent软件标识；若确定所述Agent软件标识与所述Agent管理设备为所述客户端生成的Agent软件标识相同，则向所述客户端发送工作密钥；接收所述客户端上报的签名数据，并根据所述工作密钥验证所述签名数据的合法性；其中，所述签名数据根据所述工作密钥生成；若验证所述签名数据为合法数据，则向数据处理设备发送校验通过指示，其中，所述校验通过指示用于指示所述数据处理设备对所述客户端的请求数据进行数据处理。

【技术特征摘要】
1.一种数据通讯方法，其特征在于，所述方法由代理Agent管理设备执行，所述方法包括：为不同客户端下载的Agent软件生成不同的Agent软件标识；接收来自客户端的同步密钥请求，所述同步密钥请求包括用户标识、Agent软件标识；若确定所述Agent软件标识与所述Agent管理设备为所述客户端生成的Agent软件标识相同，则向所述客户端发送工作密钥；接收所述客户端上报的签名数据，并根据所述工作密钥验证所述签名数据的合法性；其中，所述签名数据根据所述工作密钥生成；若验证所述签名数据为合法数据，则向数据处理设备发送校验通过指示，其中，所述校验通过指示用于指示所述数据处理设备对所述客户端的请求数据进行数据处理。2.根据权利要求1所述的方法，其特征在于，对于任一客户端，所述Agent管理设备为所述客户端下载的Agent软件生成Agent软件标识，包括：所述Agent管理设备根据所述用户标识和通用唯一识别码UUID生成所述Agent软件标识；或者，所述Agent管理设备采用随机字符串作为所述Agent软件标识。3.根据权利要求1或2所述的方法，其特征在于，在所述Agent管理设备接收来自客户端的同步密钥请求之前，所述方法还包括：接收所述客户端发送的第一激活请求，其中，所述第一激活请求包括所述用户标识、所述Agent软件标识、以及安装有Agent软件的第一虚拟机VM的信息；若确定所述Agent软件标识为所述Agent管理设备生成的与所述客户端对应的Agent软件标识，且所述Agent软件未激活，则向所述客户端发送激活成功指示，并存储所述Agent软件标识和所述第一VM的信息间的对应关系；其中，所述激活成功指示用于指示所述客户端激活所述第一VM上的Agent软件。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：接收所述客户端发送的第二激活请求，其中，所述第二激活请求包括所述用户标识、所述Agent软件标识、以及安装有所述Agent软件的第二VM的信息；在确定所述Agent软件标识为所述Agent管理设备生成的与所述客户端对应的Agent软件标识后，根据所述Agent软件标识和所述第一VM的对应关系确定所述Agent软件已被激活，向所述客户端发送激活失败指示；其中，所述激活失败指示用于指示所述客户端不去激活所述第二VM上的Agent软件。5.一种Agent管理设备，其特征在于，所述Agent管理设备包括：生成单元，用于为不同客户端下载的Agent软件生成不同的Agent软件标识；接收单元，用于接收来自客户端的同步密钥请求，所述同步密钥请求包括用户...

【专利技术属性】
技术研发人员：郝伟，李克然，刘英杰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44