CN103795690B - 一种云访问控制的方法、代理服务器和系统 - Google Patents
一种云访问控制的方法、代理服务器和系统 Download PDFInfo
- Publication number
- CN103795690B CN103795690B CN201210426138.9A CN201210426138A CN103795690B CN 103795690 B CN103795690 B CN 103795690B CN 201210426138 A CN201210426138 A CN 201210426138A CN 103795690 B CN103795690 B CN 103795690B
- Authority
- CN
- China
- Prior art keywords
- cloud
- signature
- access request
- user
- proxy server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种对云访问控制的方法,包括接收客户端发送的包括用户身份信息和云操作信息的第一访问请求;若验证所述用户身份信息为合法时,根据预置的策略信息验证所述云操作信息;若验证所述云操作信息为合法时,当代理服务器中没有所述第一访问请求指示的内容时,生成第二访问请求,并发送至云服务器;接收所述云服务器响应所述第二访问请求的结果,并转发至所述客户端。采用本发明,能有效地在企业内部对云访问者进行管理和统计,避免在云服务器端进行设置,提高了管理的效率。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种云访问控制方法、装置和系统。
背景技术
“云”就是计算机群,每一群包括了几十万台、甚至上百万台计算机。“云”的好处在于,其中的计算机可以随时更新。这也就代表着“云”中的资源可以随时获取,按需使用,随时扩展,按使用付费。与以往的计算方式相比,它可以将计算资源集中起来,由软件实现自主管理,如此使得运算操作和数据存储的使用可以脱离用户机,从而摆脱一直以来“硬件决定性能”的局面。
在传统的企业应用中,用户的账号是由内部系统分配的,并且这些账号只能在企业内部网络上使用。而用户在使用云服务时,账号是由云提供商提供的,只要拥有了账号,可以在互联网上任何地方使用云服务。如果员工都使用企业申请的同一个公共账号访问云,则无法区分使用者,不能对各个使用者实施包括权限管理的策略控制。如果企业为每一个员工分别申请一个账号,又会带来一些管理上的负担,一方面是因为数量众多,总帐号数等于员工数乘以云服务数;另一方面需要在每一个云服务器端创建或修改账号,且策略控制依赖于云提供商的实现,由于策略控制在云端导致企业不能对策略实施的结果进行统计、分析和审计,管理不便;更重要的是如果员工离职后没有及时删除,存在账号泄露风险,且为每一个员工创建账号暴露了企业的组织信息,对于某些企业来说无法接受。
发明内容
有鉴于此,本发明提供了一种云访问控制的方法、装置和系统。企业能够对云访问者进行身份验证和策略控制,有效地对使用者进行管理和统计,避免在服务器端进行设置,提高了管理的效率。
第一方面,本发明实施例提供了一种对云访问控制的方法,包括:
接收客户端发送的包括用户身份信息和云操作信息的第一访问请求;
若验证所述用户身份信息为合法时,根据预置的策略信息验证所述云操作信息;
若验证所述云操作信息为合法时,当代理服务器中没有所述第一访问请求指示的内容时,生成第二访问请求,并发送至云服务器;
接收所述云服务器响应所述第二访问请求的结果,并转发至所述客户端。
在第一方面的第一种可能的实现方式中,所述用户身份信息包括:第一用户标识和第一签名,所述第一签名是根据代理服务器分配的所述第一用户标识和第一密钥标识,通过预置的签名算法生成;
所述方法还包括:
从所述身份信息中获取第一用户标识,并根据所述第一用户标识在代理服务器上查询对应的密钥标识;
根据所述第一用户标识和所述密钥标识通过所述预置的签名算法计算出第二签名;
比较所述第二签名是否与所述第一签名相同,若相同,则确定用户身份合法,若不同,则向所述客户端返回用户身份验证未通过的提示信息。
结合第一方面或第一方面的第一可能的实现方式,在第二种可能的实现方式中,所述生成第二访问请求包括:
获取所述云服务器发行的云账号,所述云账号包括第二用户标识和第二密钥标识;
根据所述第二用户标识和第二密钥标识通过所述预置的签名算法计算出第三签名;
将所述第一访问请求中的所述第一用户标识替换为第二用户标识、所述第一签名替换为所述第三签名,以生成第二访问请求。
结合第一方面或第一方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,还包括:
当所述代理服务器中保存有所述第一访问请求指示的内容时,则直接将所述代理服务器中保存的所述第一访问请求指示的内容返回至所述客户端。
结合第一方面或第一方面的任一种可能的实现方式,在第四种可能的实现方式中,还包括:
若所述云操作信息验证结果为不合法,则向所述客户端返回提示信息以提示所述第一访问请求不满足所述预置的策略信息。
第二方面,本发明提供一种代理服务器,包括:
请求接收模块,用于接收客户端发送的包括用户身份信息和云操作信息的第一访问请求;
策略验证模块,用于若验证所述用户身份信息为合法时,根据预置的策略信息验证所述云操作信息;
请求发送模块,用于若验证所述云操作信息为合法时,当代理服务器中没有所述第一访问请求指示的内容时,生成第二访问请求,并发送至云服务器;
内容转发模块,用于接收所述云服务器响应所述第二访问请求的结果,并转发至所述客户端。
在第二方面的第一种可能的实现方式中,还包括:
身份验证模块,用于从所述身份信息中获取第一用户标识,并根据所述第一用户标识在代理服务器上查询对应的密钥标识;根据所述第一用户标识和所述密钥标识通过预置的签名算法计算出第二签名;比较所述第二签名是否与所述第一签名相同,若所述第二签名与所述第一签名相同,则确定用户身份合法;若所述第二签名与所述第一签名不相同,则确定用户身份不合法;其中,所述用户身份信息包括:第一用户标识和第一签名,所述第一签名是根据代理服务器分配的所述第一用户标识和第一密钥标识,通过所述预置的签名算法生成。
结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述请求发送模块包括:
获取单元,用于获取所述云服务器发行的云账号,所述云账号包括第二用户标识和第二密钥标识;
计算单元,用于根据所述第二用户标识和第二密钥标识通过所述预置的签名算法计算出第三签名;
生成单元,用于将所述第一访问请求中的所述第一用户标识替换为第二用户标识、将所述第一签名替换为所述第三签名,以生成第二访问请求;
发送单元,用于将所述第二访问请求发送至所述云服务器。
结合第二方面或第二方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,还包括:
响应模块,用于当所述代理服务器中保存有所述第一访问请求指示的内容时,则直接将所述代理服务器中的所述第一访问请求指示的内容返回至所述客户端。
结合第二方面或第二方面任一种可能的实现方式,在第四种可能的实现方式中,还包括:
提示信息发送模块,用于若验证所述用户身份信息为不合法时,向所述客户端返回用户身份验证未通过的提示信息;还用于若所述云操作信息验证结果为不合法,则向所述客户端返回提示信息以提示所述第一访问请求不满足所述预置的策略信息。
第三方面,本发明提供一种云访问系统,包括客户端,如第二方面至第二方面第四种可能的实现方式中的任一种代理服务器和云服务器。
实施本发明实施例,具有如下有益效果:
可在企业内部对云访问者进行身份验证和策略控制,能有效地对使用者进行管理和统计,避免在服务器端进行设置,提高了管理的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一种对云访问控制的方法的流程示意图;
图2是本发明实施例的一种对云访问控制的方法的另一流程示意图;
图3是本发明实施例一种云访问系统的组成示意图;
图4是本发明实施例的一种代理服务器的结构示意图;
图5是本发明实施例的一种代理服务器的另一结构示意图;
图6是图5中请求发送模块的结构示意图;
图7是本发明实施例的另一种代理服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,为本发明实施例的一种云访问控制的方法的流程示意图,所述方法包括:
101、接收客户端发送的包括用户身份信息和云操作信息的第一访问请求。
102、若验证所述用户身份为合法时,根据预置的策略信息验证所述云操作信息。
103、若验证所述云操作信息为合法时,当代理服务器中没有所述第一访问请求指示的内容时,生成第二访问请求,并发送至所述云服务器。
104、接收所述云服务器响应所述第二访问请求的结果,并转发至所述客户端。
实施本发明的实施例,通过在企业内部对使用者身份验证和策略验证,能更有效地的对使用者进行策略控制服务和对策略控制的结果进行统计,避免现有技术中策略控制在云服务器侧设置,且需要在各个云服务器侧分别进行设置,管理不便,同时无法对策略控制的结果进行跟踪的问题。
参见图2,为本发明实施例的一种对云访问控制的方法的另一流程示意图,该方法包括:
201、接收客户端发送的包括用户身份信息和云操作信息的第一访问请求,所述用户身份信息包括第一用户标识和第一签名。
通常对云系统访问的方式一般有两种,一是使用者在客户端浏览器输入云系统的网页地址,也称统一资源定位符(Uniform/Universal Resource Locator,简称URL),通过访问网页,访问云系统;二是用户通过客户端中预装软件的应用程序接口(ApplicationProgramming Interface,简称API),向云服务器发起访问请求,访问云系统。这两种访问方式都是通过最通用的超文本传输协议(Hypertext Transfer Protocol,简称HTTP)来承载的。
本发明实施例中,第一访问请求可以是HTTP请求(Request),所述第一访问请求中的云操作信息是指对云系统中的资源的操作方法,HTTP中一共规定了八种方法,分别为OPTIONS选项、HEAD头、GET上传、POST开机自检加载、PUT下载、DELETE删除、TRACE跟踪和CONNECT连接,云系统中的资 源包括计算资源、存储资源等。
代理服务器会预先给内部用户分配一个内部账号,即分配一对第一用户标识和第一密钥标识,第一用户标识和第一密钥标识成一一对应关系,并存储在代理服务器上,其中企业的每个内部用户都会分配到一个内部账号;云服务器会预先为云用户,例如企业,分配一个云账号,即分配一对第二用户标识和第二密钥标识,并保存在所述代理服务器上;同时云服务器也存储有为云用户分配的所述第二用户标识和第二密钥标识。客户端根据内部账号生成第一访问请求,代理服务器解析所述第一访问请求中云操作信息中的云身份来确定所述内部账号对应的云账号,通过上述方法将云服务器发行的云账号和代理服务器发行的内部账号关联,可现实内部用户使用一个内部账号访问不同的云系统。云服务器预先在发行的第二用户标识和第二密钥标识中指定了签名算法,相应地,在发行第一用户标识和第一密钥标识也使用相同的签名算法、并存储在代理服务器,从而保证处在同一个云系统中的客户端、代理服务器和云服务器采用的签名算法相同。不同的云系统可以采用不同的签名算法,本发明对签名算法不作限定。
具体的,客户端首先要根据第一用户标识和第一密钥标识,通过签名算法计算出第一签名,然后将所述第一用户标识和第一签名作为用户身份信息,携带在所述第一访问请求中,用于身份合法性验证。
202、从所述用户身份信息中获取第一用户标识,并根据所述第一用户标识在代理服务器上查询对应的密钥标识。
具体的,代理服务器在分配一对第一用户标识和第一密钥标识给用户的同时,也保存有所述第一用户标识和所述第一密钥用户。代理服务器从所述用户身份信息中获取到第一用户标识,并根据所述第一用户标识查询存储在所述代理服务器上的对应的密钥标识。可以理解的是,代理服务器可包括一个子服务器,例如AD(Active Directory,活动目录)服务器,LDAP(Lightweight DirectoryAccess Protocol,轻量目录访问协议)服务器,存储内部账号和云账号,用于提高查询的效率。
203、根据所述密钥标识采用预置的签名算法计算出第二签名。
具体的,代理服务器根据查询到的所述密钥标识和所述第一用户标识采用该预置的签名算法计算出第二签名。
204、比较所述第二签名是否与所述第一签名相同。
具体的,代理服务器判断所述第二签名与所述第一签名是否相同;如果所述第二签名与所述第一签名相同,则确定用户身份合法,执行206,如果所述第二签名与所述第一签名不同,则确定用户身份不合法,执行205。
由于处在同一个云系统中的客户端、代理服务器和云服务器都采用相同的签名算法,即所述预置的签名算法,如果客户端采用代理服务器分配给用户的第一用户标识和第一密钥标识,并使用该预置的签名算法计算得到第一签名,那么代理服务器计算得到的第二签名应该与第一签名相同;如果客户端采用的签名算法不对,或者第一用户标识或第一密钥标识不正确,即与代理服务器分配的不一致,都将导致第一签名和第二签名不同,用户身份验证不通过。
205、当所述第二签名与所述第一签名不同时,向所述客户端返回错误信息以提示用户身份验证未通过。
当所述第二签名与所述第一签名不同时,表明用户身份不合法,可能是用户在客户端使用的第一用户标识和第一密钥标识与代理服务器分配的不一致,或者采用了错误的签名算法,此时代理服务器向用户返回错误信息以提示用户身份验证未通过;客户端可以显示该错误信息,以提示用户重新输入。
203、204和205为一个验证用户身份合法性的过程。可以理解的是,除了上述的用户身份合法性验证过程,也可以采用现有技术中代理服务器预先分配账号和密码给用户,同时代理服务器也保存有该账户和密码,通过验证用户输入的账号和密码是否正确来判断用户是否合法。其中,所述账户和密码可保存在代理服务器的子服务器,例如AD(ActiveDirectory,活动目录)服务器,LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)服务器中,通过在子服务器中查询并验证用户输入的账号和密码是否正确来判断用户是否合法,提高查询和用户身份验证的效率。本发明对用户身份合法性验证的方法不作限制。
206、当所述第二签名与所述第一签名相同时,根据预置的策略信息验证所述云操作信息是否合法。
具体的,当所述第二签名与所述第一签名相同时,则确定用户身份合法,代理服务器根据预置的策略信息验证所述云操作信息是否合法。所述代理服务器中有预置的策略信息,所述预置的策略信息指用户对云服务器上指定的资源 的访问权限或其他的策略。所述代理服务器根据所述预置的策略信息验证所述云操作信息是否合法。所述预置的策略信息可以根据资源设置,例如资源A只允许读,不允许下载;所述预置的策略信息也可以根据用户进行设置,例如VIP(Very Important Person,贵宾)用户可以访问所有资源,普通用户只能浏览公共资源;所述预置的策略信息也可以同时根据用户和资源设置,例如用户A对云服务器中的某个资源可以进行写操作,而其他用户只能进行读操作,当通过身份验证的用户B申请对该资源进行写操作时,代理服务器就判断所述云操作不合法。此外,也可以是其他权限,如不允许用户上传大于100兆字节的文件,本发明对预置的策略信息不作限制。
在代理服务器上进行策略控制,能更有效的对策略控制的效果进行统计和分析,不需要在各云服务器上分别进行设置,提高了管理的效率。
207、当验证所述云操作信息不合法时,向所述客户端返回提示信息以提示所述第一访问请求不满足策略信息。
具体的,如果206的验证结果为否,表示所述云操作信息不合法,则所述代理服务器向所述客户端返回提示信息以提示所述第一访问请求不满足策略信息。
208、当验证所述云操作信息合法时,判断所述代理服务器的缓存中是否保存有所述第一访问请求指示的内容。
具体的,如果206的验证结果为是,表示所述云操作信息合法,则所述代理服务器判断所述代理服务器的缓存中是否保存有所述第一访问请求指示的内容。
具体的,所述代理服务器提供缓存功能,将访问过的内容保存至本地,当再次接收到相同的访问请求时,直接响应客户端,可以提高访问的效率。
209、当所述代理服务器的缓存中保存有所述第一访问请求指示的内容时,即208的判断结果为是时,直接将所述第一访问请求指示的内容返回至所述客户端。
210、当所述代理服务器的缓存中没有所述第一访问请求指示的内容时,即208的判断结果为否时,获取云服务器发行的云账号,所述云账号包括第二用户标识和第二密钥标识。
具体的,当所述代理服务器的缓存中没有所述第一访问请求指示的内容时, 需要云服务器来响应客户端的访问请求,由于第一访问请求中携带的是代理服务器发行的第一用户标识和第一签名,是内部账户,而非云服务器发行的云账号,因此需要获取预先保存在代理服务器中的云服务器发行的云账号,即第二用户标识和第二密钥标识。
211、根据所述第二用户标识采用所述预置的签名算法计算出第三签名。
具体的,所述代理服务器采用所述预置的签名算法,根据所述第二用户标识和第二密钥标识计算出第三签名。
212、将所述第一访问请求中的所述第一用户标识替换成所述第二用户标识、所述第一签名替换成所述第三签名,以生成第二访问请求,并发送至云服务器。
所述代理服务器将所述第一访问请求中的所述第一用户标识替换成所述第二用户标识,并将所述第一签名替换成所述第三签名,生成第二访问请求,并向云服务器发送所述第二访问请求。
213、接收所述云服务器响应所述第二访问请求的结果,并转发至所述客户端。
实施本发明的实施例,通过在企业内部对使用者身份验证和策略验证,能更有效地的对使用者进行策略控制服务和对策略控制的结果进行统计,避免现有技术中需要在各个云服务器侧分别设置策略控制,管理不便,同时无法对策略控制的结果进行跟踪的问题。
参见图3,分别为本发明实施例的一种云访问控制的信息交互示意图,以客户端2、代理服务器1和云服务器3之间的信息交互过程来详细说明本发明实施例提供的云访问控制的方法。具体过程如下:
301、客户端1向代理服务器2发送第一访问请求,所述第一访问请求包括用户身份信息和云操作信息;
用户身份信息可以包括用户标识和签名,也可以包括用户名和密码,供代理服务器进行用户身份验证。例如所述用户身份信息包括第一用户标识和第一签名,其中第一签名是采用预置的签名算法,根据代理服务器预先为用户发行的第一用户标识和第一密钥标识计算生成,具体可以参见本发明图2中201所述,在此不再赘述。云操作信息包括云服务器中指定资源的指定操作。
302、代理服务器接收到第一访问请求后,根据用户身份信息验证用户的身 份是否合法,具体可以参见本发明图2中202-204所述,在此不再赘述。。
303、如果验证用户身份信息为合法,代理服务器1根据用户发送的第一访问请求中携带的云操作信息对比预置的策略信息来验证云操作是否合法。
304、若验证云操作不合法,向客户端2返回错误信息,提示用户不满足策略。
304、若验证云操作合法,获取云服务器3发行的云账号,所述云账号包括第二用户标识和第二密钥标识,根据所述第二用户标识采用所述预置的签名算法计算出第三签名,将第一访问请求中的第一用户标识替换为第二用户标识、第一签名替换为第三签名,生成第二访问请求。由于第一访问请求中携带的是代理服务器1发行的第一用户标识和第一签名,是内部账户,没有对云服务器3访问的权限,因此代理服务器1需要利用云服务器3发行的云账户生成第二访问请求。
306、将第二访问请求发送至云服务器3。
307、云服务器3收到第二访问请求后,响应第二访问请求的操作并把结果发送至代理服务器1。
308、代理服务器1转发该响应结果至客户端。
可选地,代理服务器3还具有缓存功能,则还有另一种可能的实现方式,在304代理服务器1验证云操作合法后,首先判断缓存中是否存在第一访问请求指示的资源,当缓存中存在第一访问请求指示的资源时,直接响应客户端2的请求,向客户端2返回第一访问请求指示的资源,提高访问的速度,而无须执行304~306。
实施本发明的实施例,通过在企业内部对使用者身份验证和策略验证,能更有效地的对使用者进行策略控制服务和对策略控制的结果进行统计,避免现有技术中策略控制在云服务器侧设置,且需要在各个云服务器侧分别进行设置,管理不便,同时无法对策略控制的结果进行跟踪的问题。
参见图4,为本发明实施例的一种代理服务器的结构示意图,所述代理服务器包括:
请求接收模块11,用于接收客户端发送的包括用户身份信息和云操作信息的第一访问请求;
策略验证模块12,用于若验证所述用户身份信息为合法时,根据预置的策 略信息验证所述云操作信息;
请求发送模块13,用于若所述策略验证模块12验证所述云操作信息为合法,当所述代理服务器中没有所述第一访问请求指示的内容时,生成第二访问请求,并发送至所述云服务器;
内容转发模块14,用于接收所述云服务器响应所述第二访问请求返回的结果,并转发至所述客户端。
实施本发明的实施例,通过在企业内部对使用者身份验证和策略验证,能更有效地的对使用者进行策略控制服务和对策略控制的结果进行统计,避免现有技术中策略控制在云服务器侧设置,且需要在各个云服务器侧分别进行设置,管理不便,同时无法对策略控制的结果进行跟踪的问题。
进一步的,参见图5和图6,所述代理服务器还包括:
身份验证模块15,用于从所述用户身份信息中获取第一用户标识,并根据所述第一用户标识在代理服务器上查询对应的密钥标识;根据所述密钥标识采用与预置的签名算法计算出第二签名;比较所述第二签名是否与所述第一签名相同,若所述第二签名与所述第一签名相同,则确定用户身份合法,若所述第二签名与所述第一签名不同,则确定用户身份不合法。其中,所述用户身份信息包括:第一用户标识和第一签名,所述第一用户标识为所述代理服务器为用户分配的,所述第一签名是根据所述代理服务器为用户分配的所述第一用户标识和第一密钥标识计算得到的。
提示信息发送模块16,用于当所述身份验证模块15确定用户身份不合法时,向所述客户端返回错误信息以提示用户身份验证未通过。
所述代理服务器还包括响应模块17,用于当所述代理服务器中保存有所述第一访问请求指示的内容时,则直接将所述代理服务器中的所述第一访问请求指示的内容返回至所述客户端。
本发明实施例中,第一访问请求可以是HTTP请求(Request),所述第一访问请求中的云操作信息是指对云系统中的资源的操作方法,HTTP中一共规定了八种方法,分别为OPTIONS选项、HEAD头、GET上传、POST开机自检加载、PUT下载、DELETE删除、TRACE跟踪和CONNECT连接,云系统中的资源包括计算资源、存储资源等。
具体来说,会预先给内部用户分配一个内部账号,即分配一对第一用户标 识和第一密钥标识,第一用户标识和第一密钥标识成一一对应关系,并存储在所述代理服务器上,其中企业的每个内部用户都会分配到一个内部账号;云服务器会预先为云用户,例如企业,分配一个云账号,即分配一对第二用户标识和第二密钥标识,并保存在所述代理服务器上;同时云服务器也存储有为云用户分配的所述第二用户标识和第二密钥标识。客户端根据内部账号生成第一访问请求,代理服务器解析所述第一访问请求中云操作信息中的云身份来确定所述内部账号对应的云账号通过上述方法将云服务器发行的云账号和代理服务器发行的内部账号关联,可现实内部用户使用一个内部账号访问不同的云系统。云服务器预先在发行的第二用户标识和第二密钥标识中指定了签名算法,相应地,在发行第一用户标识和第一密钥标识也使用相同的签名算法,并存储在所述代理服务器上,从而保证处在同一个云系统中的客户端、代理服务器和云服务器采用的签名算法相同。不同的云系统可以采用不同的签名算法,本发明对签名算法不做限定。
第一用户标识和第一密钥标识为代理服务器发行,用户不直接接触云服务器发行的第二用户标识和第二密钥标识,通过验证第一用户标识和第一密钥标识来验证用户的身份,提高了访问的安全性,并有效的控制了云账户的使用。
所述提示信息发送模块16,还用于当所述策略验证模块12所述云操作信息验证结果为不合法时,向所述客户端返回提示信息以提示所述第一访问请求不满足所述预设的策略信息。
具体的,所述代理服务器有预置的策略信息,所述预置的策略信息指用户对云服务器上指定的资源的访问权限或其他的策略。所述预置的策略信息可以根据资源设置,例如资源A只允许读,不允许下载;所述预置的策略信息也可以根据用户进行设置,例如VIP(very important person,贵宾)用户可以访问所有资源,普通用户只能浏览公共资源;所述预置的策略信息也可以同时根据用户和资源设置,例如用户A对云服务器中的某个资源可以进行写操作,而其他用户只能进行读操作,当通过身份验证的用户B申请对该资源进行写操作时,代理服务器就判断所述云操作不合法。此外,也可以是其他权限,如不允许用户上传大于100兆字节的文件,本发明对预置的策略信息不作限制。
进一步的,如图6所示,所述请求发送模块13包括:
获取单元131,用于获取所述云服务器发行的云账号,所述云账号包括第二 用户标识和第二密钥标识;
计算单元132,用于根据所述第二用户标识采用所述预置的签名算法计算出第三签名;
生成单元133,用于将所述第一访问请求中的所述第一用户标识替换为第二用户标识、所述第一签名替换为所述第三签名,以生成第二访问请求;
发送单元134,用于将所述第二访问请求发送至所述云服务器。
实施本发明的实施例,通过在企业内部对使用者身份验证和策略验证,能更有效地的对使用者进行策略控制服务和对策略控制的结果进行统计,避免现有技术中策略控制在云服务器侧设置,且需要在各个云服务器侧分别进行设置,管理不便,同时无法对策略控制的结果进行跟踪的问题。
参见图7,为本发明实施例的另一种代理服务器的结构示意图,所述代理服务器包括处理器18和存储器19,所述代理服务器中的处理器18的数量可以是一个或多个,图7以一个处理器为例。本发明的一些实施例中,处理器18和存储器19可通过总线或其他方式连接,图7中以总线连接为例。存储器19内存储有程序代码,所述程序代码包括计算机操作指令。处理器18执行所述程序代码用于:
接收客户端发送的包括用户身份信息和云操作信息的第一访问请求;
在验证所述用户身份信息合法后,根据预置的策略信息验证所述云操作信息;
若所述云操作信息验证为合法时,当代理服务器中没有所述第一访问请求指示的内容时,生成第二访问请求,并发送至云服务器;
接收云服务器响应所述第二访问请求返回的结果,并转发至客户端。
所述存储器19还用于存储所述预置的策略信息。
在本发明的一些实施例中,会预先给内部用户分配一个内部账号,即分配一对第一用户标识和第一密钥标识,第一用户标识和第一密钥标识成一一对应关系,并保存在所述代理服务器上,其中企业的每个内部用户都会分配到一个内部账号;云服务器会预先为云用户,例如企业,分配一个云账号,即分配一对第二用户标识和第二密钥标识,并保存在所述代理服务器上;同时云服务器也存储有为云用户分配的所述第二用户标识和第二密钥标识。客户端根据内部账号生成第一访问请求,代理服务器解析所述第一访问请求中云操作信息中的 云身份来确定所述内部账号对应的云账号通过上述方法将云服务器发行的云账号和代理服务器发行的内部账号关联,可现实内部用户使用一个内部账号访问不同的云系统。云服务器预先在发行的第二用户标识和第二密钥标识中指定了签名算法,相应地,在发行第一用户标识和第一密钥标识也使用相同的签名算法,并保存在所述代理服务器上,从而保证处在同一个云系统中的客户端、代理服务器和云服务器采用的签名算法相同。
所述存储器19还用于存储内部账号,即所述第一用户标识和所述第一密钥标识,以及云账号,即所述第二用户标识和所述第二密钥标识。
所述处理器18还用于:
从所述用户身份信息中获取第一用户标识,并根据所述第一用户标识在存储器19上查询对应的密钥标识;
根据所述第一用户标识和所述密钥标识通过预置的签名算法计算出第二签名;
比较所述第二签名是否与所述第一签名相同,若相同,则确定用户身份合法,若不同,则向所述客户端返回用户身份验证未通过的提示信息。
所述存储器19还用于保存所述预置的签名算法。在本发明的一些实施例中,处理器18具体用于:
获取所述云服务器发行的云账号,所述云账号包括第二用户标识和第二密钥标识;
根据所述第二用户标识和第二密钥标识通过所述预置的签名算法计算出第三签名;
将所述第一访问请求中的所述第一用户标识替换为第二用户标识、所述第一签名替换为所述第三签名,以生成第二访问请求。
在本发明的一些实施例中,所述处理器18还用于:
若所述云操作信息验证为合法时,判断代理服务器中是否保存有所述第一访问请求指示的内容;当保存有所述第一访问请求指示的内容时,则直接将保存的所述第一访问请求指示的内容返回至所述客户端。处理器18还用于:
将云服务器响应所述第二访问请求返回的结果保存至存储器19中。
实施本发明的实施例,通过在企业内部对使用者身份验证和策略验证,能更有效地的对使用者进行策略控制服务和对策略控制的结果进行统计,避免现 有技术中策略控制在云服务器侧设置,且需要在各个云服务器侧分别进行设置,管理不便,同时无法对策略控制的结果进行跟踪的问题。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (6)
1.一种云访问控制的方法,其特征在于,包括:
接收客户端发送的包括用户身份信息和云操作信息的第一访问请求;其中,所述用户身份信息包括第一用户标识和第一签名,所述第一签名是根据代理服务器分配的所述第一用户标识和第一密钥标识,通过预置的签名算法生成;
从所述用户身份信息中获取所述第一用户标识,并根据所述第一用户标识在代理服务器上查询对应的密钥标识;
根据所述第一用户标识和所述密钥标识通过所述预置的签名算法计算出第二签名;
比较所述第二签名是否与所述第一签名相同;
若相同,则确定所述用户身份信息合法,根据预置的策略信息验证所述云操作信息;
若验证所述云操作信息为合法时,当代理服务器中没有所述第一访问请求指示的内容时,获取云服务器发行的云账号,所述云账号包括第二用户标识和第二密钥标识;根据所述第二用户标识和第二密钥标识通过预置的签名算法计算出第三签名;将所述第一访问请求中的所述第一用户标识替换为第二用户标识、所述第一签名替换为所述第三签名,以生成第二访问请求,并发送所述第二访问请求至所述云服务器;
接收所述云服务器响应所述第二访问请求的结果,并将所述结果转发至所述客户端。
2.如权利要求1所述的方法,其特征在于,还包括:
当所述代理服务器中保存有所述第一访问请求指示的内容时,则直接将所述代理服务器中保存的所述第一访问请求指示的内容返回至所述客户端。
3.如权利要求1所述的方法,其特征在于,还包括:
若所述云操作信息验证结果为不合法,则向所述客户端返回提示信息以提示所述第一访问请求不满足所述预置的策略信息。
4.一种代理服务器,其特征在于,包括:
请求接收模块,用于接收客户端发送的包括用户身份信息和云操作信息的第一访问请求;其中,所述用户身份信息包括第一用户标识和第一签名,所述第一签名是根据代理服务器分配的所述第一用户标识和第一密钥标识,通过预置的签名算法生成;
身份验证模块,用于从所述用户身份信息中获取所述第一用户标识,并根据所述第一用户标识在代理服务器上查询对应的密钥标识;根据所述第一用户标识和所述密钥标识通过所述预置的签名算法计算出第二签名;比较所述第二签名是否与所述第一签名相同;
策略验证模块,用于若所述身份验证模块的比较结果为是,确定所述所述用户身份信息合法,根据预置的策略信息验证所述云操作信息;
请求发送模块,用于若验证所述云操作信息为合法时,当代理服务器中没有所述第一访问请求指示的内容时,获取云服务器发行的云账号,所述云账号包括第二用户标识和第二密钥标识;根据所述第二用户标识和第二密钥标识通过预置的签名算法计算出第三签名;将所述第一访问请求中的所述第一用户标识替换为第二用户标识、所述第一签名替换为所述第三签名,以生成第二访问请求,并发送所述第二访问请求至所述云服务器;
内容转发模块,用于接收所述云服务器响应所述第二访问请求的结果,并将所述结果转发至所述客户端。
5.如权利要求4所述的代理服务器,其特征在于,还包括:
响应模块,用于当所述代理服务器中保存有所述第一访问请求指示的内容时,则直接将所述代理服务器中保存的所述第一访问请求指示的内容返回至所述客户端。
6.一种云访问系统,其特征在于,包括客户端,如权利要求4或5所述的代理服务器和云服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210426138.9A CN103795690B (zh) | 2012-10-31 | 2012-10-31 | 一种云访问控制的方法、代理服务器和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210426138.9A CN103795690B (zh) | 2012-10-31 | 2012-10-31 | 一种云访问控制的方法、代理服务器和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103795690A CN103795690A (zh) | 2014-05-14 |
| CN103795690B true CN103795690B (zh) | 2017-08-11 |
Family
ID=50670982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210426138.9A Active CN103795690B (zh) | 2012-10-31 | 2012-10-31 | 一种云访问控制的方法、代理服务器和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103795690B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973712A (zh) * | 2014-05-29 | 2014-08-06 | 段超 | 网络数据的访问控制方法和装置 |
| CN105227613A (zh) * | 2014-06-30 | 2016-01-06 | 北京金山安全软件有限公司 | 一种文件上传方法及装置 |
| CN104144161B (zh) * | 2014-07-08 | 2017-03-22 | 北京彩云动力教育科技有限公司 | 一种客户端与web服务端的交互方法及系统 |
| CN104468531B (zh) * | 2014-11-18 | 2017-11-21 | 邱彼特 | 敏感数据的授权方法、装置和系统 |
| CN106161566A (zh) * | 2015-04-24 | 2016-11-23 | 中兴通讯股份有限公司 | 一种云计算数据中心访问管理方法和云计算数据中心 |
| CN104980920B (zh) * | 2015-05-20 | 2018-10-02 | 小米科技有限责任公司 | 智能终端建立通信连接的方法及装置 |
| CN105610909B (zh) * | 2015-12-21 | 2019-01-18 | 北京大学 | 一种基于云-端协同的移动浏览器资源加载优化方法 |
| CN106909309B (zh) | 2015-12-22 | 2019-12-24 | 阿里巴巴集团控股有限公司 | 一种数据信息处理方法以及数据存储系统 |
| CN106850795B (zh) * | 2017-01-24 | 2020-07-10 | 上海东方传媒技术有限公司 | 多源文稿汇聚和调用系统及方法 |
| CN106790272A (zh) * | 2017-02-16 | 2017-05-31 | 济南浪潮高新科技投资发展有限公司 | 一种单点登录的系统及方法、一种应用服务器 |
| CN106790305B (zh) * | 2017-03-24 | 2019-07-23 | 千寻位置网络有限公司 | 差分服务认证鉴权计费的系统和方法 |
| CN107707522A (zh) * | 2017-08-14 | 2018-02-16 | 北京奇安信科技有限公司 | 一种基于云代理的权限控制方法及装置 |
| CN109491789A (zh) * | 2018-11-02 | 2019-03-19 | 浪潮电子信息产业股份有限公司 | 一种分布式存储系统业务均衡处理方法、装置及设备 |
| CN114268506A (zh) * | 2021-12-28 | 2022-04-01 | 优刻得科技股份有限公司 | 接入服务方设备的方法、接入方设备和服务方设备 |
| CN114640533B (zh) * | 2022-03-29 | 2023-11-24 | 北京有竹居网络技术有限公司 | 传输消息的方法、装置、存储介质及电子设备 |
| CN114666159B (zh) * | 2022-04-20 | 2024-04-30 | 青岛聚好联科技有限公司 | 一种云服务系统、方法、装置、设备和介质 |
| CN117453816B (zh) * | 2023-10-24 | 2024-05-07 | 上海宁盾信息科技有限公司 | 一种用户数据统一方法、系统、计算机及存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6151676A (en) * | 1997-12-24 | 2000-11-21 | Philips Electronics North America Corporation | Administration and utilization of secret fresh random numbers in a networked environment |
| US8108939B2 (en) * | 2003-05-29 | 2012-01-31 | Oracle International Corporation | Method and apparatus to facilitate security-enabled content caching |
| US8024785B2 (en) * | 2006-01-16 | 2011-09-20 | International Business Machines Corporation | Method and data processing system for intercepting communication between a client and a service |
| CN101729541B (zh) * | 2009-11-26 | 2014-08-13 | 广东宇天科技有限公司 | 多业务平台的资源访问方法及系统 |
| CN102457507B (zh) * | 2010-10-29 | 2016-06-08 | 中兴通讯股份有限公司 | 云计算资源安全共享方法、装置及系统 |
| CN102457509B (zh) * | 2010-11-02 | 2015-09-16 | 中兴通讯股份有限公司 | 云计算资源安全访问方法、装置及系统 |
| US9100188B2 (en) * | 2011-04-18 | 2015-08-04 | Bank Of America Corporation | Hardware-based root of trust for cloud environments |
| CN102214224A (zh) * | 2011-06-15 | 2011-10-12 | 中兴通讯股份有限公司 | 一种访问网络资源的优化方法、网页浏览器和终端 |
| CN102307234A (zh) * | 2011-08-24 | 2012-01-04 | 北京邮电大学 | 基于移动终端的资源检索方法 |
-
2012
- 2012-10-31 CN CN201210426138.9A patent/CN103795690B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN103795690A (zh) | 2014-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103795690B (zh) | 一种云访问控制的方法、代理服务器和系统 | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| CN104348777B (zh) | 一种移动终端对第三方服务器的访问控制方法及系统 | |
| US10333716B2 (en) | Script verification using a digital signature | |
| CN104025503B (zh) | 使用客户端平台信任根的网页认证 | |
| CN101873331B (zh) | 一种安全认证方法和系统 | |
| CN103475726B (zh) | 一种虚拟桌面管理方法、服务器和客户端 | |
| CN101635714B (zh) | 提高网络应用安全性的方法和系统 | |
| CN201878190U (zh) | 基于账号代填的单点登录平台 | |
| CN101360102A (zh) | 通过远程验证并使用凭证管理器和已记录的证书属性来检测网址转接/钓鱼方案中对ssl站点的dns重定向或欺骗性本地证书的方法 | |
| CN109639723A (zh) | 一种基于erp系统的微服务访问方法及服务器 | |
| CN101355527A (zh) | 一种跨域名单点登录的实现方法 | |
| WO2017079523A1 (en) | Systems and methods for controlling sign-on to web applications | |
| CN106416125A (zh) | 用于虚拟机实例的自动目录加入 | |
| JP2011100489A (ja) | ユーザ確認装置、方法及びプログラム | |
| CN104954330A (zh) | 一种对数据资源进行访问的方法、装置和系统 | |
| CN104052616A (zh) | 一种对互联网数据中心中的业务进行管理的方法及系统 | |
| CN102710621B (zh) | 一种用户认证方法和系统 | |
| CN105162774A (zh) | 虚拟机登陆方法、用于终端的虚拟机登陆方法及装置 | |
| CN103634111B (zh) | 单点登录方法和系统及单点登录客户端 | |
| CN108737338A (zh) | 一种认证方法及系统 | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| US20230306103A1 (en) | Pre-registration of authentication devices | |
| CN106529216B (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| JP5456842B2 (ja) | ユーザ確認装置、方法及びユーザ認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |