CN103747076B - 云平台的访问方法和装置 - Google Patents
云平台的访问方法和装置 Download PDFInfo
- Publication number
- CN103747076B CN103747076B CN201310752215.4A CN201310752215A CN103747076B CN 103747076 B CN103747076 B CN 103747076B CN 201310752215 A CN201310752215 A CN 201310752215A CN 103747076 B CN103747076 B CN 103747076B
- Authority
- CN
- China
- Prior art keywords
- user
- access identities
- required parameter
- cloud platform
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000007246 mechanism Effects 0.000 claims abstract description 11
- 230000008520 organization Effects 0.000 claims description 30
- 230000004048 modification Effects 0.000 description 4
- 239000002699 waste material Substances 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000000344 soap Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000003466 welding Methods 0.000 description 1
Abstract
本发明公开了一种云平台的访问方法和装置,其中,该云平台的访问方法包括:在请求访问云平台的情况下,根据用户的请求参数生成访问标识;向云平台发送访问标识,根据预先存储的对应每个用户的用户信息验证访问标识;在访问标识通过验证的情况下,允许该用户访问云平台。本发明通过根据用户的请求参数生成访问标识,并通过预先存储的用户信息对该访问标识进行验证,确保只有该访问标识通过验证的情况下,才能允许用户访问云平台,从而有效的提高了云平台的安全机制,避免了非法用户对云平台进行恶意访问,降低了云平台的资源浪费。
Description
技术领域
本发明涉及计算机领域,并且特别地,涉及一种云平台的访问方法和装置。
背景技术
云计算操作系统是针对云计算中心的各类物理、虚拟资源进行统一地部署、监控和管理的信息管理系统。在云计算环境中,云平台需要与许多的第三方系统进行对接和交互。目前各大主流的云平台都提供了基于HTTP的WebService接口,以供其他系统调用和接入云平台。云平台的开放性要求其对外要提供多种多样功能的接口供其他系统使用。目前HTTP协议是最普遍,应用最广泛的协议之一,同时由于WebService接口的平台无关性,可以支持和兼容更多的第三方系统,因此,主流的云平台都提供基于HTTP协议的WebService接口。
然而,由于HTTP协议在安全方面的薄弱性,以及WebService接口的开放性(需要公开接口的服务地址、接口名称、返回结果,以及各个参数的意义,以便于大家了解接口的功能和意义),因此,在实际应用时,就导致了WebService接口在访问控制上面临着问题和威胁。如果不暴露接口,那么就无法和其他系统进行通信和交互;如果不合理的控制对接口的安全访问,那么就会导致大量的非法访问,轻则造成系统数据不一致、系统运行异常,重则导致系统资源浪费、系统数据的泄露,严重威胁系统的运行安全。
因此,为了避免云平台成为信息孤岛,同时达到云平台对于提高资源利用率、实现资源共享、弹性可伸缩的目标,所以既要保留系统对外提供的WebService接口,同时还要保证这些接口合理、安全的使用。
然而,目前大部分云平台对所提供的WebService接口并没有设置安全机制,对于接口的调用没有进行安全控制。只要知道了WebService的发布地址和接口名称,即可以连接系统,使用接口。这种使用方法必然会对系统带来严重的安全问题,同时造成云平台的资源浪费。
而少部分的云平台对于WebService的调用只是进行了简单的安全验证,比如,在基于SOAP协议的WebService中,一般采用在SOAP Header部分发送用户名和密码,云平台接收到请求后,首先会验证头部的用户名和密码是否正确,如果正确,则允许这次请求调用后台接口,否则返回验证错误。这种方式虽然在一定程度上可以避免和拒绝一些恶意的访问,但是依然有以下缺陷:
1)由于用户名和密码是在请求前就商量好的,不易于动态修改。如果需要修改的话,则需要修改程序或配置文件;
2)用户名和密码在传输时使用明文传输,容易被截获;
3)由于无法验证请求是否来自于云平台的用户,因此无法避免系统外用户的恶意访问,造成云平台资源的浪费.
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的上述技术问题,本发明提出一种云平台的访问方法和装置,能够提高云平台的安全性,避免云平台遭受非法用户的恶意访问,降低云平台的资源浪费。
本发明的技术方案是这样实现的:
根据本发明的一个方面,提供了一种云平台的访问方法。
该云平台的访问方法包括:
在请求访问云平台的情况下,根据用户的请求参数生成访问标识;
向云平台发送访问标识,根据预先存储的对应每个用户的用户信息验证访问标识;
在访问标识通过验证的情况下,允许该用户访问云平台。
其中,请求参数包括组织ID和/或用户ID。
其中,在根据用户的请求参数生成访问标识时,可判断用户的请求参数是否包含原始访问标识。
并且,在根据用户的请求参数生成访问标识时,还可在用户的请求参数包含原始访问标识的情况下,判断该原始访问标识是否有效;并在原始访问标识有效的情况下,验证原始访问标识与用户的请求参数中包括的组织ID和/或用户ID是否匹配;同时在原始访问标识与用户的请求参数中包括的组织ID和/或用户ID匹配的情况下,返回用户的原始访问标识作为访问标识。
此外,在根据用户的请求参数生成访问标识时,也可在用户的请求参数不包括原始访问标识的情况下,根据用户的请求参数中的组织ID和/或用户ID生成新访问标识。
根据本发明的另一个方面,提供了一种云平台的访问装置。
该云平台的访问装置包括:
生成模块,用于在请求访问云平台的情况下,根据用户的请求参数生成访问标识;
验证模块,用于向云平台发送访问标识,根据预先存储的对应每个用户的用户信息验证访问标识;
访问模块,用于在访问标识通过验证的情况下,允许该用户访问云平台。
其中,请求参数包括组织ID和/或用户ID。
其中,生成模块包括:第一判断模块,用于判断用户的请求参数是否包含原始访问标识。
并且,生成模块还包括:第二判断模块,用于在用户的请求参数包含原始访问标识的情况下,判断原始访问标识是否有效;验证子模块,用于在原始访问标识有效的情况下,验证原始访问标识与用户的请求参数中包含的组织ID和/或用户ID是否匹配;第一生成子模块,用于在原始访问标识与用户的请求参数中包括的组织ID和/或用户ID匹配的情况下,返回用户的原始访问标识作为访问标识。
此外,生成模块也可以包括:第二生成子模块,用于在用户的请求参数不包括原始访问标识的情况下,根据用户的请求参数中的组织ID和/或用户ID生成新访问标识。
本发明通过根据用户的请求参数生成访问标识,并通过预先存储的用户信息对该访问标识进行验证,确保只有该访问标识通过验证的情况下,才能允许用户访问云平台,从而有效的提高了云平台的安全机制,避免了非法用户对云平台进行恶意访问,降低了云平台的资源浪费。
此外,本发明由于是通过根据用户的请求参数生成的访问标识来进行验证的,从而避免了验证用户的用户名和密码所带来的麻烦,也避免了用户的用户名和密码被非法获取的现象发生,进而进一步的提高了云平台的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的云平台的访问方法的流程图;
图2是根据本发明实施例的云平台访问时的原理示意图;
图3是根据本发明实施例的访问标识生成时的流程示意图;
图4是根据本发明实施例的访问标识验证时的流程示意图;
图5是根据本发明实施例的云平台的访问装置的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种云平台的访问方法。
如图1所示,根据本发明实施例的云平台的访问方法包括:
步骤S101,在请求访问云平台的情况下,根据用户的请求参数生成访问标识;
步骤S103,向云平台发送访问标识,根据预先存储的对应每个用户的用户信息验证访问标识;
步骤S105,在访问标识通过验证的情况下,允许该用户访问云平台。
其中,请求参数包括组织ID和/或用户ID。
其中,在根据用户的请求参数生成访问标识时,可判断用户的请求参数是否包含原始访问标识。
并且,在根据用户的请求参数生成访问标识时,还可在用户的请求参数包含原始访问标识的情况下,判断该原始访问标识是否有效;并在原始访问标识有效的情况下,验证原始访问标识与用户的请求参数中包括的组织ID和/或用户ID是否匹配;同时在原始访问标识与用户的请求参数中包括的组织ID和/或用户ID匹配的情况下,返回用户的原始访问标识作为访问标识。
此外,在根据用户的请求参数生成访问标识时,也可在用户的请求参数不包括原始访问标识的情况下,根据用户的请求参数中的组织ID和/或用户ID生成新访问标识。
下面结合具体实例对本发明的上述技术方案进行详细说明。
图2是云平台访问时的原理示意图,从图2中可以看出,在实际应用时,本发明的上述技术方案的具体流程如下:
客户端在发起WebService调用时,首先从验证服务器获取请求Token(即访问标识,包含了用户信息和验证码);验证服务器收到客户端请求后,根据客户请求中携带的用户信息和参数,为用户生成请求Token,并返回给客户端;客户端收到验证服务器发来的Token后,再向云平台发送WebService调用请求,这个请求中会包含用户信息、Token等请求参数;云平台的WebService接收模块在收到WebService请求后,不是直接调用后台的功能模块,而是先去验证服务器,验证用户请求中的用户信息和Token是否是合法的;如果是合法的,WebService接收模块允许请求继续访问,调用后台功能模块,返回方法处理结果;否则拒绝用户请求,返回错误提示。
在本发明中,验证服务器是控制中心,负责对WebService接口的访问控制。在验证服务器中,会记录云平台中的所有组织和用户信息。对于接入云平台的第三方应用,云平台也会将其作为系统的一类特殊用户,验证服务器中登记注册。
在验证服务器上,生成请求Token的过程图3所示,从图3中可以看出,首先客户端发起获取Token的请求,然后判断客户端是否已有Token,如果有,则将Token加入到请求参数中,并将组织ID、用户ID加入到请求参数中,如果没有,则直接将组织ID、用户ID加入到请求参数中,在在相关信息加入到请求参数后,发送Token请求到验证服务器,由验证服务器判断该组织和用户是否合法,而如果合法,则判断参数中是否有有效的Token,而如果不合法,则直接返回客户端错误提示,在此情况下,如果参数中有有效的Token,则将有效的Token返回给客户端,而如果没有,则调用Token生成器,根据组织ID、用户ID生成新的Token,并将生成的新Token返回给客户端。
而云平台在接收到WebService请求后,则需要对Token进行验证,验证的过程如图4所示,从图4中可以看出,云平台首先会发送验证请求至验证服务器,验证服务器解析请求,获取组织ID、用户ID,并判断组织ID、用户ID是否合法,如果不合法,则说明验证失败,访问认证失败信息,拒绝WebService请请求,并提示用户;如果合法,则再次解析请求,获取请求中的Req-Token,并在获取后,调用Token生成器,根据组织ID、用户ID生成Resp-Token,并判断Req-Token是否等于Resp-Token,如果不相同,则同样说明验证失败,返回认证失败信息,拒绝WebService请请求,并提示用户;而如果相同,则说明验证通过,返回认证成功信息,允许WebService请请求,并调用相关后台执行后续操作。
由此可见,通过本发明的上述方案,能够增强和提高WebService接口的安全性。取包只有云平台内部(合法)的用户进行调用,避免对云平台的恶意访问和资源的浪费,同时也统一了对WebService请求的授权和验证方法。
根据本发明的实施例,提供了一种云平台的访问装置。
如图5所示,根据本发明实施例的云平台的访问装置包括:
生成模块51,用于在请求访问云平台的情况下,根据用户的请求参数生成访问标识;
验证模块52,用于向云平台发送访问标识,根据预先存储的对应每个用户的用户信息验证访问标识;
访问模块53,用于在访问标识通过验证的情况下,允许该用户访问云平台。
其中,请求参数包括组织ID和/或用户ID。
其中,生成模块包括:第一判断模块(未示出),用于判断用户的请求参数是否包含原始访问标识。
并且,生成模块还包括:第二判断模块(未示出),用于在用户的请求参数包含原始访问标识的情况下,判断原始访问标识是否有效;验证子模块(未示出),用于在原始访问标识有效的情况下,验证原始访问标识与用户的请求参数中包含的组织ID和/或用户ID是否匹配;第一生成子模块(未示出),用于在原始访问标识与用户的请求参数中包括的组织ID和/或用户ID匹配的情况下,返回用户的原始访问标识作为访问标识。
此外,生成模块也可以包括:第二生成子模块(未示出),用于在用户的请求参数不包括原始访问标识的情况下,根据用户的请求参数中的组织ID和/或用户ID生成新访问标识。
综上所述,借助于本发明的上述技术方案,本发明通过根据用户的请求参数生成访问标识,并通过预先存储的用户信息对该访问标识进行验证,确保只有该访问标识通过验证的情况下,才能允许用户访问云平台,从而有效的提高了云平台的安全机制,避免了非法用户对云平台进行恶意访问,降低了云平台的资源浪费。
此外,本发明由于是通过根据用户的请求参数生成的访问标识来进行验证的,从而避免了验证用户的用户名和密码所带来的麻烦,也避免了用户的用户名和密码被非法获取的现象发生,进而进一步的提高了云平台的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种云平台的访问方法,其特征在于,包括:
在请求访问所述云平台的情况下,根据用户的请求参数生成访问标识;
向所述云平台发送所述访问标识,根据预先存储的对应每个用户的用户信息验证所述访问标识;
在所述访问标识通过验证的情况下,允许该用户访问所述云平台;
其中,所述请求参数包括组织ID和/或用户ID;
根据用户的请求参数生成所述访问标识包括:
判断所述用户的请求参数是否包含原始访问标识;
根据用户的请求参数生成所述访问标识进一步包括:
在所述用户的请求参数包含所述原始访问标识的情况下,判断该原始访问标识是否有效;
在所述原始访问标识有效的情况下,验证所述原始访问标识与所述用户的请求参数中包括的组织ID和/或用户ID是否匹配;
在所述原始访问标识与所述用户的请求参数中包括的组织ID和/或用户ID匹配的情况下,返回所述用户的所述原始访问标识作为所述访问标识。
2.根据权利要求1所述的访问方法,其特征在于,根据用户的请求参数生成所述访问标识进一步包括:
在所述用户的请求参数不包括所述原始访问标识的情况下,根据所述用户的请求参数中的组织ID和/或用户ID生成新访问标识。
3.一种云平台的访问装置,其特征在于,包括:
生成模块,用于在请求访问所述云平台的情况下,根据用户的请求参数生成访问标识;
验证模块,用于向所述云平台发送所述访问标识,根据预先存储的对应每个用户的用户信息验证所述访问标识;
访问模块,用于在所述访问标识通过验证的情况下,允许该用户访问所述云平台;
其中,所述请求参数包括组织ID和/或用户ID;
所述生成模块包括:
第一判断模块,用于判断所述用户的请求参数是否包含原始访问标识;
所述生成模块进一步包括:
第二判断模块,用于在所述用户的请求参数包含所述原始访问标识的情况下,判断所述原始访问标识是否有效;
验证子模块,用于在所述原始访问标识有效的情况下,验证所述原始访问标识与所述用户的请求参数中包含的组织ID和/或用户ID是否匹配;
第一生成子模块,用于在所述原始访问标识与所述用户的请求参数中包括的组织ID和/或用户ID匹配的情况下,返回所述用户的所述原始访问标识作为所述访问标识。
4.根据权利要求3所述的访问装置,其特征在于,所述生成模块进一步包括:
第二生成子模块,用于在所述用户的请求参数不包括所述原始访问标识的情况下,根据所述用户的请求参数中的组织ID和/或用户ID生成新访问标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752215.4A CN103747076B (zh) | 2013-12-31 | 2013-12-31 | 云平台的访问方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752215.4A CN103747076B (zh) | 2013-12-31 | 2013-12-31 | 云平台的访问方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103747076A CN103747076A (zh) | 2014-04-23 |
| CN103747076B true CN103747076B (zh) | 2017-07-07 |
Family
ID=50504062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310752215.4A Active CN103747076B (zh) | 2013-12-31 | 2013-12-31 | 云平台的访问方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103747076B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506527B (zh) * | 2014-12-23 | 2021-12-17 | 苏州海博智能系统有限公司 | 多维信息指针平台及其数据访问方法 |
| CN103973712A (zh) * | 2014-05-29 | 2014-08-06 | 段超 | 网络数据的访问控制方法和装置 |
| CN104484236B (zh) * | 2014-11-28 | 2017-11-03 | 曙光云计算集团有限公司 | 一种ha访问自适应的方法 |
| US10320844B2 (en) | 2016-01-13 | 2019-06-11 | Microsoft Technology Licensing, Llc | Restricting access to public cloud SaaS applications to a single organization |
| CN107911344A (zh) * | 2017-10-28 | 2018-04-13 | 杭州安恒信息技术有限公司 | 一种云平台的安全对接方法 |
| CN110401672B (zh) * | 2019-08-06 | 2021-07-13 | 郑州信大捷安信息技术股份有限公司 | 一种基于虚拟网卡的网络访问控制系统及方法 |
| CN111683053B (zh) * | 2020-05-13 | 2022-08-23 | 北京国家新能源汽车技术创新中心有限公司 | 云平台安全网络架构 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103259663A (zh) * | 2013-05-07 | 2013-08-21 | 南京邮电大学 | 一种云计算环境下的用户统一认证方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8407366B2 (en) * | 2010-05-14 | 2013-03-26 | Microsoft Corporation | Interconnecting members of a virtual network |
| US20130074064A1 (en) * | 2011-09-15 | 2013-03-21 | Microsoft Corporation | Automated infrastructure provisioning |
-
2013
- 2013-12-31 CN CN201310752215.4A patent/CN103747076B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103259663A (zh) * | 2013-05-07 | 2013-08-21 | 南京邮电大学 | 一种云计算环境下的用户统一认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103747076A (zh) | 2014-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103747076B (zh) | 云平台的访问方法和装置 | |
| JP5248621B2 (ja) | 3値同等識別に基づく、信頼されているネットワークアクセス制御システム | |
| CN103927489B (zh) | 一种数据可信存储的系统及其方法 | |
| CN104954391B (zh) | 用于验证实体的第一标识和第二标识的设备和方法 | |
| CN107294916B (zh) | 单点登录方法、单点登录终端及单点登录系统 | |
| CN101873331B (zh) | 一种安全认证方法和系统 | |
| CN100566252C (zh) | 一种基于三元对等鉴别的可信网络连接系统 | |
| CN107682331A (zh) | 基于区块链的物联网身份认证方法 | |
| CN110417776A (zh) | 一种身份认证方法及装置 | |
| CN104954330B (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
| CN107070880A (zh) | 一种单点登录的方法及系统、一种认证中心服务器 | |
| CN108432180A (zh) | 用于基于pki的认证的方法和系统 | |
| CN109309666A (zh) | 一种网络安全中的接口安全控制方法及终端设备 | |
| CN102739664B (zh) | 提高网络身份认证安全性的方法和装置 | |
| JP2000003348A (ja) | 遠隔的にコマンドを実行する装置 | |
| WO2018205997A1 (zh) | 一种用于连接无线接入点的方法与设备 | |
| US10257171B2 (en) | Server public key pinning by URL | |
| CN106341428A (zh) | 一种跨域访问控制方法和系统 | |
| US9332432B2 (en) | Methods and system for device authentication | |
| CN103581203A (zh) | 基于可信计算的可信网络连接方法 | |
| US9443067B1 (en) | System for the distribution and deployment of applications, with provisions for security and policy conformance | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN102271136A (zh) | Nat网络环境下的访问控制方法和设备 | |
| CN111314381A (zh) | 安全隔离网关 | |
| CN109167780A (zh) | 一种控制资源访问的方法、设备、系统和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Patentee after: Shuguang Cloud Computing Group Co.,Ltd. Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Patentee before: DAWNING CLOUD COMPUTING TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP03 | Change of name, title or address |
Address after: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing. Patentee after: Shuguang Cloud Computing Group Co.,Ltd. Country or region after: China Address before: 100193 5 floor, 36 building, No. 8 Northeast Road, Haidian District, Beijing. Patentee before: Shuguang Cloud Computing Group Co.,Ltd. Country or region before: China |
|
| CP03 | Change of name, title or address |