CN103546479B - 一种基于云计算的安全访问方法 - Google Patents
一种基于云计算的安全访问方法 Download PDFInfo
- Publication number
- CN103546479B CN103546479B CN201310529703.9A CN201310529703A CN103546479B CN 103546479 B CN103546479 B CN 103546479B CN 201310529703 A CN201310529703 A CN 201310529703A CN 103546479 B CN103546479 B CN 103546479B
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- resource
- resources
- owner
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000007726 management method Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
提供一种基于云计算的安全访问方法,包括用户向云服务器发送资源申请请求,若云服务器不能够确定所述用户是否拥有申请所述资源的权限,则将资源申请请求发送给资源拥有者,资源拥有者对用户进行授权,用户获得相应资源申请权限,用户释放资源后,将用户申请相应资源的所述权限收回。本发明提供的方法在用户申请资源时为用户分配相应的资源申请权限,在用户释放资源后,将用户申请相应资源的权限收回,可以有效防止安全泄漏。
Description
技术领域
本发明涉及安全访问技术领域,特别是涉及基于云计算的客体安全访问方法。
背景技术
伴随着云计算兴起,云计算给用户提供了大型计算、存储等服务,解决了资源共享、硬件资源池异构等问题给用户带来了便利,但同时也给用户带来安全上的隐患。存储的介质被第三方控制,用户自己对数据的安全性的可控程度明显减弱。从而最终的用户担心非授权用户读取等问题,另外目前云服务提供者都不具备服务水平协议。用户的访问控制策略是实现用户数据私密性和进行保护的一个重要手段。
目前传统运用于云计算的访问控制策略一般为基于角色的访问控制策略。这种策略是云管理平台系统将系统的访问权限分配给角色,然后新申请的用户从拥有的角色中获取相应的权限。这种策略的弊端是只适用于角色结构严谨的企业内部访问控制。随着分布式计算的发展,组织任务的进一步自动化,使得安全问题从独立的计算机系统静态的主体和客体保护转移到动态的授权保护中。一个合适的访问控制机制应该保证授权只有在任务开始执行时才能授权且任务结束授权就要被回收,否则导致安全的泄漏。为此,需要提出一种改进的应用于云计算系统访问控制策略。
发明内容
为了解决上述技术问题,本发明提出一种基于云计算的安全访问方法,包括如下步骤:
S1:用户向云服务器发送资源申请请求;
S2:若云服务器不能够确定所述用户是否拥有申请所述资源的权限,则将资源申请请求发送给资源拥有者;
S3:资源拥有者对用户进行授权,用户获得相应资源申请权限;
S4:用户释放资源后,将用户申请相应资源的所述权限收回。
特别地,在所述步骤S2中,若云服务器在其自身保存的权限列表中搜索不到所述用户,则所述云服务器不能够确定所述用户是否拥有申请所述资源的权限。
特别地,所述资源申请请求为申请访问资源拥有者的客体的请求,所述申请权限为申请访问所述客体的权限,所述步骤S3具体为:
S31:资源拥有者验证用户信息后确定为用户授权;
S32:资源拥有者向R-T组件申请授权证书;
S33:R-T组件向资源拥有者返回授权证书;
S34:资源拥有者将所述授权证书发放给用户,所述用户获得申请访问所述客体的权限。
特别地,所述资源申请请求为虚拟机资源申请请求,所述步骤S2中发送给资源拥有者的资源申请请求中携带云服务器生成的用于用户申请虚拟机资源的授权证书,所述资源申请权限为虚拟机资源申请权限,所述步骤S3具体为:
S31:虚拟机资源拥有者接收资源申请请求,从中获得所述授权证书;
S32:虚拟机资源拥有者验证所述证书的合法性,若所述证书合法,则所述虚拟机资源拥有者为用户分配虚拟机资源申请权限。
特别地,所述步骤S4具体为:
所述步骤S4具体为:用户释放资源后,云服务器将其保存的权限列表中对应所述用户的权限信息复位,所述拥有者清除所述用户对应的授权证书。
本发明具有如下效果:
A)使用角色的概念来进行用户管理,具有清晰的角色层次管理,以及高扩展性和适应性。
B)由于云计算中主体对客体的权限需求有明显的角色属性区别,根据主体对客体访问的操作需求,把云计算中的访问主体分成所有者、云服务器、共享访问者3类,进行角色分类授权管理,应对共享访问者的频繁变动。
C)通过授权管理转换云服务器在访问控制中的角色,云服务器通过客体拥有者授权获得权限,并在授权过程管理中充当传递访问请求的可信中间人,使得访问控制安全不需要完全依赖于云服务器的可信度,同时利用云服务器分担部分授权工作,减轻用户负担。
D)在用户申请资源时为用户分配相应的资源申请权限,在用户释放资源后,将用户申请相应资源的权限收回,可以有效防止安全泄漏。
附图说明
图1为本发明实施方式一提出的方法流程图。
图2为本发明实施方式二提出的方法流程图。
具体实施方式
本发明通过实施方式一和二来具体描述基于云计算的安全访问方法。
正如发明内容中所描述的,在云计算环境下,访问控制的安全策略主要通过以下4个角度的管理实现:
(1)用户管理(2)任务管理(3)数据管理(4)授权过程管理
实施方式一:
参照图1,定义云服务器为Sever,根据本发明实施方式一,用户User访问拥有者Owner拥有的客体AO的步骤流程如下:
(1)用户User向云服务器Server发送访问拥有者Owner的客体AO的请求AccessReq;
(2)云服务器Server检查其保存的客体权限列表,若用户User在所述客体权限列表中并确定用户User拥有该客体的访问授权,则验证用户User,并向用户User返回授权证书,转第(6)步;否则向用户User发送拒绝信息,流程结束。若用户User不在所述客体权限列表中,则把所述AccessReq转发给拥有者Owner,转第(3)步;
(3)通过用户User与拥有者Owner相互验证对方信息,拥有者Owner判断是否给用户User授权,若不授权,则向用户User发送访问拒绝信息,流程结束;若授权,转第(4)步;
(4)拥有者Owner向R-T组件申请创建任务,R-T组件向拥有者Owner返回授权证书;
(5)拥有者Owner向用户User发送证书;
(6)用户User向客体AO发起访问请求。
(7)用户User结束访问,云服务器Server更新客体权限列表,将用户User权限状态复位,例如将用户信息从所述权限列表中清除;同时,拥有者Owner回收用户User所使用资源,清除该User在Owner处保存的授权证书。
实施方式二:
参照图2描述本发明提出的实施方式二公开的基于云计算的安全访问方法。
(1)用户User申请虚拟机资源,生成虚拟机申请请求;
(2)云服务器Server端保存用户的权限信息,其收到用户User申请请求,若云服务器Server端保存有用户User的权限信息并且确定该用户User具有申请虚拟机资源的权限,则分配给该用户User所申请的虚拟机资源,转步骤(6);如果确定用户User没有申请虚拟机资源的权限,则向用户User发送拒绝信息,流程结束;
(3)如果云服务器Server没有保存该用户User的权限信息,则云服务器Server端为用户生成一个授权证书,添加到申请虚拟机的请求中,并将该请求转发给虚拟机资源拥有者Owner;
(4)拥有者Owner提取请求中的证书信息,验证证书合法性。如果证书合法,则为用户User分配虚拟机申请权限,同时记录在云服务器server端权限列表中;如果不合法,则经由云服务器Server向用户发送拒绝信息,流程结束。
(5)云服务器Server端根据请求的验证情况,为用户User分配所需虚拟机资源;
(6)用户User使用完虚拟机,将虚拟机资源释放。云服务器server端收到释放请求后,将用户User权限状态复位,例如云服务器Server端删除保存的用户的权限信息,同时回收资源。
与实施方式一的不同之处在于,实施方式二由服务器Server为用户User生成证书,由拥有者Owner验证证书的合法性,这样就省略了使用R-T组件。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。
Claims (4)
1.一种基于云计算的安全访问方法,其特征在于包括如下步骤:
S1:用户向云服务器发送资源申请请求;
S2:若云服务器不能够确定所述用户是否拥有申请所述资源的权限,则将资源申请请求发送给资源拥有者;
S3:资源拥有者对用户进行授权,用户获得相应资源申请权限;
S4:用户释放资源后,将用户申请相应资源的所述权限收回;
所述资源申请请求为虚拟机资源申请请求,所述步骤S2中发送给资源拥有者的资源申请请求中携带云服务器生成的用于用户申请虚拟机资源的授权证书,所述资源申请权限为虚拟机资源申请权限,所述步骤S3具体为:
S31:虚拟机资源拥有者接收资源申请请求,从中获得所述授权证书;
S32:虚拟机资源拥有者验证所述证书的合法性,若所述证书合法,则所述虚拟机资源拥有者为用户分配虚拟机资源申请权限。
2.如权利要求1所述方法,其特征在于:
在所述步骤S2中,若云服务器在其自身保存的权限列表中搜索不到所述用户,则所述云服务器不能够确定所述用户是否拥有申请所述资源的权限。
3.如权利要求1所述的方法,其特征在于:
所述步骤S2还包括若所述云服务器确定所述用户没有申请所述资源的权限,则向用户发送拒绝信息并流程结束的步骤。
4.如前述任一项权利要求所述的方法,其特征在于:
所述步骤S4具体为:用户释放资源后,云服务器将其保存的权限列表中对应所述用户的权限信息复位,所述拥有者清除所述用户对应的授权证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310529703.9A CN103546479B (zh) | 2013-10-31 | 2013-10-31 | 一种基于云计算的安全访问方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310529703.9A CN103546479B (zh) | 2013-10-31 | 2013-10-31 | 一种基于云计算的安全访问方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103546479A CN103546479A (zh) | 2014-01-29 |
CN103546479B true CN103546479B (zh) | 2017-02-22 |
Family
ID=49969526
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310529703.9A Active CN103546479B (zh) | 2013-10-31 | 2013-10-31 | 一种基于云计算的安全访问方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103546479B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107317826A (zh) * | 2017-08-05 | 2017-11-03 | 中山大学 | 一种基于拦截器实现java网络系统权限管理的方法 |
CN111488594B (zh) * | 2020-03-03 | 2023-11-03 | 杭州未名信科科技有限公司 | 一种基于云服务器的权限检查方法、装置、存储介质及终端 |
CN112532632B (zh) * | 2020-11-30 | 2022-10-28 | 数字广东网络建设有限公司 | 多层级云平台的资源分配方法、装置和计算机设备 |
CN112966256B (zh) * | 2021-02-01 | 2022-11-18 | 万翼科技有限公司 | 基于建筑信息模型的设备管理方法及相关装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1979511A (zh) * | 2005-12-09 | 2007-06-13 | 北京书生国际信息技术有限公司 | 一种文档数据安全管理系统和方法 |
CN102571821A (zh) * | 2012-02-22 | 2012-07-11 | 浪潮电子信息产业股份有限公司 | 一种云安全访问控制模型 |
-
2013
- 2013-10-31 CN CN201310529703.9A patent/CN103546479B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1979511A (zh) * | 2005-12-09 | 2007-06-13 | 北京书生国际信息技术有限公司 | 一种文档数据安全管理系统和方法 |
CN102571821A (zh) * | 2012-02-22 | 2012-07-11 | 浪潮电子信息产业股份有限公司 | 一种云安全访问控制模型 |
Non-Patent Citations (1)
Title |
---|
一种基于任务角色的云计算访问控制模型;王小威;《计算机工程》;20121220;第38卷(第24期);第12页右栏第10-21行 * |
Also Published As
Publication number | Publication date |
---|---|
CN103546479A (zh) | 2014-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI515601B (zh) | 電子器件、用於建立及強制實行與一存取控制元件相關聯之一安全性原則之方法及安全元件 | |
US8544070B2 (en) | Techniques for non repudiation of storage in cloud or shared storage environments | |
CN108777699B (zh) | 一种基于物联网多域协同架构下的应用跨域访问方法 | |
CN103546479B (zh) | 一种基于云计算的安全访问方法 | |
CN105429752B (zh) | 一种云环境下用户密钥的处理方法及系统 | |
US9749130B2 (en) | Distributing keys for decrypting client data | |
US20120324552A1 (en) | System and Method for Securing Embedded Media | |
US10027658B1 (en) | Seamless provision of secret token to cloud-based assets on demand | |
CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
CN105554004A (zh) | 一种混合云计算环境中容器服务的认证系统和方法 | |
CN103618752A (zh) | 一种虚拟机远程桌面安全访问系统及方法 | |
CN109040134B (zh) | 一种信息加密的设计方法及相关装置 | |
EP3920056B1 (en) | Digital artwork display device, management method, and electronic device | |
CN102546672A (zh) | 一种云计算平台带外授权安全加固方法 | |
CN104506480B (zh) | 基于标记与审计结合的跨域访问控制方法及系统 | |
CN107040520A (zh) | 一种云计算数据共享系统及方法 | |
CN106992978B (zh) | 网络安全管理方法及服务器 | |
CN103841097B (zh) | 一种基于数字证书的安全nas认证方法 | |
CN101702724A (zh) | 网络访问的安全控制方法及装置 | |
CN103051963A (zh) | 一种数字电视终端设备的安全控制方法 | |
CN103324868B (zh) | 版权保护音视频云应用系统 | |
CN106230769B (zh) | 基于移动终端信任度的移动云数据分级接入控制方法 | |
CN103442020A (zh) | 终端设备间分享数字许可权利证书的方法 | |
CN111163069A (zh) | 一种基于区块链的物联网用户隐私保护方法 | |
CN103473485B (zh) | 数字许可权利证书在终端设备间的转移方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |