CN103945330B - 虚拟私有云平台、虚拟私有云安全接入方法和系统 - Google Patents
虚拟私有云平台、虚拟私有云安全接入方法和系统 Download PDFInfo
- Publication number
- CN103945330B CN103945330B CN201410198376.8A CN201410198376A CN103945330B CN 103945330 B CN103945330 B CN 103945330B CN 201410198376 A CN201410198376 A CN 201410198376A CN 103945330 B CN103945330 B CN 103945330B
- Authority
- CN
- China
- Prior art keywords
- virtual private
- wireless
- cloud terminal
- private cloud
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明涉及一种虚拟私有云平台、虚拟私有云安全接入方法和系统,虚拟私有云平台接收到用户的接入请求时,使用定位服务器和无线信号源设备对无线云终端进行位置定位并做位置权限判断,位置允许通过则继续验证用户账户的信息,如果无线云终端同时具有位置权限和账户权限,虚拟私有云将允许无线云终端访问所请求的资源,接入成功后,虚拟私有云平台仍对接入的无线云终端进行定位追踪,防止其移动到非法的位置进行攻击。本发明将可攻击区域缩小到指定的范围内,以强化虚拟私有云的安全管控。
Description
技术领域
本发明涉及网络通信技术,具体涉及一种虚拟私有云平台、虚拟私有云安全接入方法和系统。
背景技术
近几年,虚拟私有云逐渐为广大企业所接受和采用,它可以让企业享受到云计算的益处的同时,又不需要将工作负载和数据部署在企业防火墙之外,避免了一些潜在的安全隐患。通过将虚拟私有云部署在企业防火墙后,企业的IT部门可以有效掌控云资源的控制权,满足企业对云计算安全性的需求。
但是,虚拟私有云却无法摆脱来自企业内部的攻击。现有的私有云接入安全方案一般都是通过用户账户验证和网络设备绑定等方式来解决企业内部不同部门对安全性的需求,无法达到既灵活又安全的办公需求。随着无线设备的普及,用户对办公方式的灵活性又有了新的要求,现有的这些接入安全的解决方案又面临着新的挑战。另外,由于无线网络的数据传输是利用微波在空气中辐射传播,在某种程度上可以看作是一个开放式的公共网络,因此,一些重要的账户信息很容易通过无线传输泄露,攻击者可以在未知的区域接入网络进行攻击,安全性无法得到有效保障。
又如CN 102571703 A公开了一种“云数据安全管控系统及方法”,应用于私有云服务器,企业内部用户端设备通过内部网络访问该私有云服务器,该私有云服务器存储有私有云数据,各企业内部用户端设备安装有全球定位系统。该云数据安全管控系统结合用户端当前的经纬度坐标信息及其它权限管控资料对该用户端进行多重验证。若该用户端设备有任意一项验证失败,则该云数据安全管控系统拒绝该用户端设备的访问请求。若用户端设备当前的经纬度坐标信息及其它权限管控资料均通过验证,则云数据安全管控系统允许该用户端设备访问私有云数据。该专利结合请求访问私有云数据的用户端设备当前的经纬度坐标信息以及其它权限管理控资料对该用户端设备进行多重验证,强化了私有云的安全管理,有效地防范了入侵者的攻击。但仍存在一定的安全问题,比如:当云数据安全管控系统允许用户端设备访问私有云数据后,用户端设备可移动到非法的位置进行攻击;另,用户端设备采用GPS进行定位,如果用户端设备在室内则因为无法接收GPS信号,造成用户端设备不可用。
发明内容
本发明的目的是提供一种虚拟私有云平台、虚拟私有云安全接入方法和系统,能将可攻击区域缩小到指定的范围内,以强化虚拟私有云的安全管控。
本发明所述的虚拟私有云平台,包括:
接收模块,用于接收无线云终端发送的接入请求消息;
位置权限模块,用于向定位服务器发送定位操作指令,并获取定位服务器对指定无线云终端的定位策略匹配结果;
账户权限模块,用于根据虚拟私有云预先配置的用户账户信息,获取账户权限的对应关系;
处理模块,用于调用位置权限模块和账户权限模块,检验无线云终端是否同时具有位置权限和账户权限,若是,则允许无线云终端接入,否则,拒绝无线云终端接入;
发送模块,用于向无线云终端发送接入请求处理结果;
当允许无线云终端接入后,所述位置权限模块保持接收定位服务器反馈的实时定位策略匹配结果,并通过处理模块检验所述无线云终端是否具有位置权限,以防止无线云终端离开所设定的定位策略区域。
本发明所述的一种虚拟私有云安全接入方法,包括权利要求1所述的虚拟私有云平台、定位装置和无线云终端;
包括步骤:
虚拟私有云平台接收无线云终端发送的接入请求信息,该接入请求信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户账号信息;
所述定位装置接收虚拟私有云平台发送的定位操作指令,该定位操作指令包括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号,定位装置对所述无线云终端进行位置定位,将所述无线云终端定位所在的区域与所请求虚拟私有云资源号的定位策略信息进行匹配,并将该定位策略匹配结果反馈给虚拟私有云平台,虚拟私有云平台基于该定位策略匹配结果检验该无线云终端是否具有位置权限;
虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否具有账户权限;
如果无线云终端同时具有位置权限和账户权限,则允许无线云终端访问所请求的虚拟私有云资源;否则拒绝无线云终端访问所请求的虚拟私有云资源;
虚拟私有云平台向无线云终端发送接入请求处理结果;
当无线云终端成功接入虚拟私有云资源之后,所述定位装置对无线云终端的位置权限进行追踪维持,防止无线云终端离开所设定的定位策略区域。
验证无线云终端是否具有账户权限包括:
虚拟私有云平台根据虚拟私有云资源预先配置的用户账户信息,验证所述用户输入的用户账号信息在所请求的虚拟私有云资源中对应的用户身份权限,若验证通过,则向使用该账户登录的无线云终端授予账户权限。
所述定位装置包括定位服务器和无线信号源设备;
验证无线云终端是否具有位置权限包括:
虚拟私有云平台向定位服务器发送定位操作指令,定位服务器通过控制相应的无线信号源设备,对无线云终端进行信号强度的采集,并基于所述信号强度计算出无线云终端所处的位置,根据定位服务器中预先配置的虚拟私有云资源对应的位置策略信息,匹配无线云终端在所处区域的位置权限,若定位策略匹配结果为允许,则表示无线云终端具有访问所请求的虚拟私有云资源的位置权限;
所述位置策略信息为管理员在定位服务器上保存的位置区域和接入权限的对应关系;
所述定位策略匹配结果至少包含无线云终端设备信息和对应的允许或拒绝的标识。
对无线云终端的位置权限的维持包括:
定位服务器结合无线信号源设备对无线云终端进行实时定位,并向虚拟私有云平台发送实时的定位策略匹配结果。
对无线云终端的位置权限的维持包括:
定位服务器对无线云终端进行定位并做定位策略匹配:
定位服务器在无线云终端接入虚拟私有云资源之后,实时采集追踪无线云终端的位置,直到接收到虚拟私有云平台下达的停止定位命令,则停止对其指定的无线云终端进行信号采集和定位,所述停止定位命令至少包含停止标识、无线云终端信息及相应的虚拟私有云资源号,所述虚拟私有云平台下达的停止定位命令发生的唯一条件是用户主动通过无线云终端向虚拟私有云平台发送退出申请;
若定位服务器在定位过程中发现异常,则发送定位异常消息到虚拟私有云平台;
所述异常是指一切非用户主动通过无线云终端向虚拟私有云平台发送退出申请的情况,所述情况包括无线云终端与无线信号源设备断开连接、无线云终端移动到定位策略信息拒绝的区域;所述定位异常消息至少包含异常类型、无线云终端信息和请求虚拟私有云资源号;
虚拟私有云平台接收到异常消息后,根据不同的异常类型,采取相应的安全措施。
所述虚拟私有云资源号为虚拟私有云平台分配的资源对应的识别号;
所述用户输入的用户账户信息是代表用户身份的信息,包括用户名、密码、私钥或生物特征;
所述无线云终端设备信息为无线云终端设备的网卡MAC地址,或设备生产序列号。
所述定位服务器根据所述信号强度通过室内定位的方法计算出无线云终端所处的位置;
所述室内定位的方法为三角定位法,或为指纹识别法,或为基于机械学习的室内定位方法。
本发明所述的虚拟私有云安全接入系统,包括:
无线云终端,用于发送接入请求信息和访问虚拟私有云资源;
定位装置,所述定位装置包括无线信号源设备和定位服务器,所述无线信号源设备用于承载无线通信及采集无线云终端的信号强度;所述定位服务器用于对无线云终端进行定位,并对所定位的结果进行放行或阻止的定位策略信息匹配;
还包括权利要求1所述的虚拟私有云平台,用于接收所述无线云终端发送的接入请求信息,并根据无线云终端设备定位策略匹配结果和用户身份验证结果允许或阻止无线云终端接入虚拟私有云资源。
本发明的有益效果:本发明通过对无线云终端定位,判断其是否处于所请求的虚拟私有云资源的允许接入的区域内,若处于允许的区域内时,则允许其接入该虚拟私有云资源。这样可以避免其他用户在不属于自身访问权限的区域外,通过无线的方式,非法访问虚拟私有云的资源,实现基于区域的云终端访问方式。本发明从物理角度上将可攻击区域缩小到指定的范围内,强化了虚拟私有云的安全管控。
附图说明
图1为本发明所述虚拟私有云安全接入方法的主要流程图;
图2为无线云终端接入虚拟私有云资源的具体流程图;
图3为本发明中位置权限维护及异常退出处理的主要流程图;
图4为本发明所述虚拟私有云平台的结构框图;
图5为本发明所述虚拟私有云安全接入系统的结构框图。
具体实施方式
现结合附图对本发明作进一步详细说明:
如图1所示的一种虚拟私有云安全接入方法,包括虚拟私有云平台、无线云终端和定位装置。
包括以下步骤:
S11、虚拟私有云平台接收无线云终端发送的接入请求信息,所述接入请求信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户账号信息;所述虚拟私有云资源号为虚拟私有云平台分配的资源对应的识别号,所述用户输入的用户账户信息是代表用户身份的信息,例如:用户名、密码、私钥或生物特征等;所述无线云终端设备信息是无线云终端设备的网卡MAC地址、设备生产序列号等能够唯一识别该设备的识别号。
S12、所述定位装置接收虚拟私有云平台发送的定位操作指令,该定位操作指令包括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号,定位装置对所述无线云终端进行位置定位,将所述无线云终端定位所在的区域与所请求虚拟私有云资源号的定位策略信息进行匹配,并将该定位策略匹配结果反馈给虚拟私有云平台,虚拟私有云平台基于该定位策略匹配结果检验该无线云终端是否具有位置权限。
验证无线云终端是否具有位置权限的过程如下:
虚拟私有云平台向定位服务器发送定位操作指令,定位服务器通过控制相应的无线信号源设备,对无线云终端进行信号强度的采集,并基于所述信号强度通过室内定位的方法计算出无线云终端所处的位置,根据定位服务器中预先配置的虚拟私有云资源对应的位置策略信息,匹配无线云终端在所处区域的位置权限,若定位策略匹配结果为允许,则表示无线云终端具有访问所请求的虚拟私有云资源的位置权限。
所述位置策略信息为管理员在定位服务器上保存的位置区域和接入权限的对应关系。所述室内定位的方法包括:三角定位法、指纹识别法、基于机械学习的室内定位方法。所述无线信号源设备根据实际需求可以是一个或两个以上。
S13、虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否具有账户权限。
验证无线云终端是否具有账户权限的过程如下:
虚拟私有云平台根据虚拟私有云资源预先配置的用户账户信息,验证所述用户输入的用户账号信息在所请求的虚拟私有云资源中对应的用户身份权限,若验证通过,则向使用该账户登录的无线云终端授予账户权限。
其中,S12和S13之间无时序限制关系。
S14、如果无线云终端同时具有位置权限和账户权限,则允许无线云终端访问所请求的虚拟私有云资源;否则拒绝无线云终端访问所请求的虚拟私有云资源。
S15、虚拟私有云平台向无线云终端发送接入请求处理结果。
S16、当无线云终端成功接入虚拟私有云资源之后,所述定位装置对无线云终端的位置权限进行追踪维持,防止无线云终端离开所设定的定位策略区域。
对无线云终端的位置权限的维持包括:定位服务器结合无线信号源设备对无线云终端进行实时定位,并向虚拟私有云平台发送实时的定位策略匹配结果;所述定位策略匹配结果至少包含无线云终端设备信息和对应的允许或拒绝的标识。
本发明在通过定义位置的策略信息,对无线云终端的接入位置进行接入行为决策,在无线云终端访问虚拟私有云时考虑无线云终端所处的位置,避免用户在不属于自身的区域内访问虚拟私有云的资源,实现基于位置区域的无线云终端安全访问的方式。
以下结合图2对本发明进行具体的说明:
S21:用户通过无线云终端上的输入设备输入用户账户信息和请求接入的虚拟私有云资源号。
S22:无线云终端向虚拟私有云平台发送接入请求消息,所述接入请求消息包括请求接入的虚拟私有云资源号、用户输入的用户账户信息和无线云终端设备信息。
其中,无线云终端设备信息是虚拟私有云平台用来确定为谁提供虚拟私有云服务的唯一标识。
S23:虚拟私有云平台会暂时保存收到的接入请求信息,生成本次接入请求的会话信息,同时,将定位操作指令下发到定位服务器上,所述定位操作指令包括开始定位标识、会话信息、无线云终端设备信息和所请求的虚拟私有云资源号等。
因为虚拟私有云平台经常会同时接收到多个接入请求的信息,为方便区分和更好管理定位服务,所以虚拟私有云平台需要在每次收到接入请求时,生成并开始维护的会话信息,直至用户退出虚拟私有云平台。
S24:定位服务器根据无线信号源标识符信息,开始该定位工作的初始化,并将信号采集命令发送至无线信号源设备,所述信号采集命令至少包括开始标识和无线云终端设备信息。
所述的定位初始化工作包括:初始化信号强度采集的网络通信建立、定位算法的配置、无线信号采集参数的设置等一切定位的必要操作以及所申请的虚拟私有云资源对应的定位策略信息读取。
其中,定位服务器保存的定位策略信息为:位置区域与每个独立的虚拟私有云资源接入权限信息的对应关系,通过该对应关系,定位服务器可以查询并判定无线云终端是否可以接入所对应的虚拟私有云。
例如,位置区域和对应虚拟私有云资源权限对应关系可以如表1所示:
| 虚拟私有云资源号 | 位置区域 | 权限 |
| 资源号1 | 区域1 | 允许 |
| 资源号1 | 区域2 | 拒绝 |
| 资源号2 | 区域1 | 拒绝 |
| 资源号2 | 区域2 | 允许 |
| 资源号2 | 区域3 | 允许 |
| … | … | … |
表1
同样,几个独立的虚拟私有云资源之间的定位策略信息也可以通过分组的形式进行管理。
例如,表2为虚拟私有云资源分组信息,表3为分组位置区域和对应分组权限关系。
表2
| 分组号 | 位置区域 | 权限 |
| 分组1 | 区域1 | 拒绝 |
| 分组1 | 区域2 | 拒绝 |
| 分组1 | 区域3 | 允许 |
| 分组2 | 区域1 | 允许 |
| 分组2 | 区域2 | 拒绝 |
| … | … | … |
表3
S25:无线信号源设备启动信号强度采集程序,根据无线云终端设备信息对该无线云终端设备进行信号强度采集,并将采集的实时信号强度信息发送回定位服务器。
由于无线信号源设备可以同时采集多个无线云终端的信号强度信息,所以所述信号强度信息至少包含无线云终端设备信息及其对应的实时信号强度值。
S26:定位服务器根据无线信号源设备采集的无线云终端设备的信号强度进行定位计算,并将定位结果与对应的定位策略信息进行权限匹配。如果该定位结果为允许,则发送会话信息及位置允许的定位策略匹配结果消息给虚拟私有云平台,如果为拒绝,则发送会话信息及位置拒绝的定位策略匹配结果消息给虚拟私有云平台。
所述定位策略匹配结果消息至少应包含无线云终端设备信息和对应的允许或拒绝的标识。
S27:虚拟私有云平台根据定位服务器传回的消息,采取相应的措施
本实施例中,如果接收到的定位策略匹配结果消息为允许,则继续根据用户账户信息进行身份验证过程。如果验证成功,发送允许接入消息和对应虚拟私有云资源信息给无线云终端设备,并继续接收定位服务器发回的定位策略匹配结果,以确保开始正常接入访问后,无线云终端移动到拒绝的位置区域进行攻击。所述虚拟私有云资源信息包括此接入请求的会话信息、虚拟私有云资源号等必要信息。
如果身份验证失败或定位策略匹配结果为拒绝,则直接发送失败消息给无线云终端设备。所述失败消息的内容可包括:无线云终端设备信息、拒绝消息、拒绝原因等。
S28:如果收到成功消息,则无线云终端开始访问请求的虚拟私有云资源。
如图3所示,对无线云终端的位置权限的维持包括:
S31、定位服务器对无线云终端进行定位并做定位策略匹配:
定位服务器在无线云终端接入虚拟私有云资源之后,实时采集追踪无线云终端的位置。直到接收到虚拟私有云平台下达的停止定位命令,则停止对其指定的无线云终端进行信号采集和定位。所述停止定位命令至少需要包含停止标识、无线云终端信息及相应的虚拟私有云资源号。所述虚拟私有云平台下达的停止定位命令发生的唯一条件是用户主动通过无线云终端向虚拟私有云平台发送退出申请。
S32、如果定位服务器在定位过程中发现异常,则发送定位异常消息到虚拟私有云平台。
所述异常是指一切非用户主动通过无线云终端向虚拟私有云平台发送退出申请的情况,所述情况包括:无线云终端与无线信号源设备断开连接、无线云终端移动到定位策略信息拒绝的区域。所述定位异常消息至少需包含异常类型、无线云终端信息和请求虚拟私有云资源号。虚拟私有云平台接收到异常消息后,根据不同的异常类型,采取相应的安全措施。例如:用户移动到定位策略信息拒绝的区域后,虚拟私有云平台收到异常类型为定位策略拒绝的异常消息,则立即断开无线云终端与虚拟私有云,必要时可以回收虚拟私有云资源,并做日志记录等安全响应措施。
如图4所示,本发明所述的虚拟私有云平台,包括接收模块41、位置权限模块42、账户权限模块43、处理模块44和发送模块45。所述接收模块41用于接收无线云终端发送的接入请求消息。所述位置权限模块42用于向定位服务器发送定位操作指令,并获取定位服务器对指定无线云终端的定位策略匹配结果。所述账户权限模块43用于根据虚拟私有云预先配置的用户账户信息,获取账户权限的对应关系。所述处理模块44用于调用位置权限模块和账户权限模块,检验无线云终端是否同时具有位置权限和账户权限,若是,则允许无线云终端接入,否则,拒绝无线云终端接入。所述发送模块45用于向无线云终端发送接入请求处理结果。当允许无线云终端接入后,所述位置权限模块保持接收定位服务器反馈的实时定位策略匹配结果,并通过处理模块检验所述无线云终端是否具有位置权限,以防止无线云终端离开所设定的定位策略区域。
如图5所示,本发明所述的虚拟私有云安全接入系统,包括无线云终端51、虚拟私有云平台52、定位服务器53和无线信号源设备54;无线云终端51用于发送虚拟私有云接入请求和对虚拟私有云资源的访问;虚拟私有云平台52用于接收接入请求信息,根据无线云终端设备定位策略匹配结果和用户身份验证结果允许或阻止用户接入虚拟私有云资源;定位服务器53用于对无线云终端进行定位,并对所定位的结果进行定位策略信息匹配;无线信号源设备54用于承载无线通信及采集无线云终端的信号强度。
虚拟私有云平台52用于接收无线云终端发送的接入请求信息(即:虚拟私有云平台52通过接收模块41接收无线云终端发送的接入请求信息),该接入请求信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户账号信息。
所述定位装置接收虚拟私有云平台发送的定位操作指令(即:虚拟私有云平台通过位置权限模块42向定位装置发送定位操作指令),该定位操作指令包括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号,定位装置对所述无线云终端进行位置定位,将所述无线云终端定位所在的区域与所请求虚拟私有云资源号的定位策略信息进行匹配,并将该定位策略匹配结果反馈给虚拟私有云平台(即:虚拟私有云平台通过位置权限模块42获取定位服务器对指定无线云终端的定位策略匹配结果),虚拟私有云平台基于该定位策略匹配结果检验该无线云终端是否具有位置权限(即:虚拟私有云平台通过处理模块44检验无线云终端是否具有位置权限)。
虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否具有账户权限(即:虚拟私有云平台通过账户权限模块4根据虚拟私有云预先配置的用户账户信息,获取账户权限的对应关系;并通过处理模块44检验无线云终端是否具有账户权限)。
如果无线云终端同时具有位置权限和账户权限,则允许无线云终端访问所请求的虚拟私有云资源,否则拒绝无线云终端访问所请求的虚拟私有云资源(即:只要当虚拟私有云平台通过处理模块44检验出无线云终端同时具有位置权限和账户权限时,才允许无线云终端接入,否则,拒绝无线云终端接入)。
虚拟私有云平台向无线云终端发送接入请求处理结果(即:虚拟私有云平台通过发送模块45向无线云终端发送接入请求处理结果)。
当无线云终端成功接入虚拟私有云资源之后,所述定位装置对无线云终端的位置权限进行追踪维持,防止无线云终端离开所设定的定位策略区域(即:当允许无线云终端接入后,所述位置权限模块保持接收定位服务器反馈的实时定位策略匹配结果,并通过处理模块检验所述无线云终端是否具有位置权限,以防止无线云终端离开所设定的定位策略区域)。
另外,本实施例也可将定位服务器53放置虚拟私有云平台52中,成为其中一个功能模块,实现同样的功能。
Claims (6)
1.一种虚拟私有云安全接入方法,采用虚拟私有云安全接入系统,该虚拟私有云安全接入系统包括虚拟私有云平台、定位装置和无线云终端;其特征在于:
其方法包括步骤:
虚拟私有云平台接收无线云终端发送的接入请求信息,该接入请求信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户账号信息;
所述定位装置接收虚拟私有云平台发送的定位操作指令,该定位操作指令包括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号,定位装置对所述无线云终端进行位置定位,将所述无线云终端定位所在的区域与所请求虚拟私有云资源号的定位策略信息进行匹配,并将该定位策略匹配结果反馈给虚拟私有云平台,虚拟私有云平台基于该定位策略匹配结果检验该无线云终端是否具有位置权限;
虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否具有账户权限;
如果无线云终端同时具有位置权限和账户权限,则允许无线云终端访问所请求的虚拟私有云资源;否则拒绝无线云终端访问所请求的虚拟私有云资源;
虚拟私有云平台向无线云终端发送接入请求处理结果;
当无线云终端成功接入虚拟私有云资源之后,所述定位装置对无线云终端的位置权限进行追踪维持,防止无线云终端离开所设定的定位策略区域;
对无线云终端的位置权限的维持包括:
定位服务器对无线云终端进行定位并做定位策略匹配:
定位服务器在无线云终端接入虚拟私有云资源之后,实时采集追踪无线云终端的位置,直到接收到虚拟私有云平台下达的停止定位命令,则停止对其指定的无线云终端进行信号采集和定位,所述停止定位命令至少包含停止标识、无线云终端信息及相应的虚拟私有云资源号,所述虚拟私有云平台下达的停止定位命令发生的唯一条件是用户主动通过无线云终端向虚拟私有云平台发送退出申请;
若定位服务器在定位过程中发现异常,则发送定位异常消息到虚拟私有云平台;
所述异常是指一切非用户主动通过无线云终端向虚拟私有云平台发送退出申请的情况,所述情况包括无线云终端与无线信号源设备断开连接、无线云终端移动到定位策略信息拒绝的区域;所述定位异常消息至少包含异常类型、无线云终端信息和请求虚拟私有云资源号;
虚拟私有云平台接收到异常消息后,根据不同的异常类型,采取相应的安全措施。
2.根据权利要求1所述的虚拟私有云安全接入方法,其特征在于:验证无线云终端是否具有账户权限包括:
虚拟私有云平台根据虚拟私有云资源预先配置的用户账户信息,验证所述用户输入的用户账号信息在所请求的虚拟私有云资源中对应的用户身份权限,若验证通过,则向使用该账户登录的无线云终端授予账户权限。
3.根据权利要求1所述的虚拟私有云安全接入方法,其特征在于:所述定位装置包括定位服务器和无线信号源设备;
验证无线云终端是否具有位置权限包括:
虚拟私有云平台向定位服务器发送定位操作指令,定位服务器通过控制相应的无线信号源设备,对无线云终端进行信号强度的采集,并基于所述信号强度计算出无线云终端所处的位置,根据定位服务器中预先配置的虚拟私有云资源对应的位置策略信息,匹配无线云终端在所处区域的位置权限,若定位策略匹配结果为允许,则表示无线云终端具有访问所请求的虚拟私有云资源的位置权限;
所述位置策略信息为管理员在定位服务器上保存的位置区域和接入权限的对应关系;
所述定位策略匹配结果至少包含无线云终端设备信息和对应的允许或拒绝的标识。
4.根据权利要求1至3任一所述的虚拟私有云安全接入方法,其特征在于:
所述虚拟私有云资源号为虚拟私有云平台分配的资源对应的识别号;
所述用户输入的用户账户信息是代表用户身份的信息,包括用户名、密码、私钥或生物特征;
所述无线云终端设备信息为无线云终端设备的网卡MAC地址,或设备生产序列号。
5.根据权利要求1至3任一所述的虚拟私有云安全接入方法,其特征在于:所述定位服务器根据所述信号强度通过室内定位的方法计算出无线云终端所处的位置;
所述室内定位的方法为三角定位法,或为指纹识别法,或为基于机械学习的室内定位方法。
6.根据权利要求1至3任一所述的虚拟私有云安全接入方法,其特征在于:所述虚拟私有云平台包括:
接收模块,用于接收无线云终端发送的接入请求消息;
位置权限模块,用于向定位服务器发送定位操作指令,并获取定位服务器对指定无线云终端的定位策略匹配结果;
账户权限模块,用于根据虚拟私有云预先配置的用户账户信息,获取账户权限的对应关系;
处理模块,用于调用位置权限模块和账户权限模块,检验无线云终端是否同时具有位置权限和账户权限,若是,则允许无线云终端接入,否则,拒绝无线云终端接入;
发送模块,用于向无线云终端发送接入请求处理结果;
当允许无线云终端接入后,所述位置权限模块保持接收定位服务器反馈的实时定位策略匹配结果,并通过处理模块检验所述无线云终端是否具有位置权限,以防止无线云终端离开所设定的定位策略区域。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410198376.8A CN103945330B (zh) | 2014-05-12 | 2014-05-12 | 虚拟私有云平台、虚拟私有云安全接入方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410198376.8A CN103945330B (zh) | 2014-05-12 | 2014-05-12 | 虚拟私有云平台、虚拟私有云安全接入方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103945330A CN103945330A (zh) | 2014-07-23 |
| CN103945330B true CN103945330B (zh) | 2017-10-27 |
Family
ID=51192768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410198376.8A Active CN103945330B (zh) | 2014-05-12 | 2014-05-12 | 虚拟私有云平台、虚拟私有云安全接入方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103945330B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301437A (zh) * | 2014-11-05 | 2015-01-21 | 成都逸动无限网络科技有限公司 | 一种基于多点传输的私有云平台 |
| CN104636645B (zh) * | 2015-01-27 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 数据访问的控制方法及装置 |
| CN104765990B (zh) | 2015-03-11 | 2018-09-04 | 小米科技有限责任公司 | 智能设备管理账户的设置方法及装置 |
| CN105163382A (zh) * | 2015-05-07 | 2015-12-16 | 中国科学院信息工程研究所 | 一种室内区域定位优化方法及系统 |
| CN104852979B (zh) * | 2015-05-08 | 2018-07-17 | 邹骁 | 一种云存储服务接入系统、方法及相关设备 |
| CN105491072B (zh) * | 2016-01-19 | 2018-12-04 | 舟山大舟网络科技股份有限公司 | 一种基于位置的本地论坛网站用户权限管理方法与系统 |
| CN111262865B (zh) * | 2016-09-23 | 2021-03-30 | 华为技术有限公司 | 访问控制策略的制定方法、装置及系统 |
| CN107634958A (zh) * | 2017-09-30 | 2018-01-26 | 河南职业技术学院 | 计算机安全登录方法及计算机安全登录装置 |
| CN111756680A (zh) * | 2019-03-29 | 2020-10-09 | 华为技术有限公司 | 数据鉴权方法及装置 |
| CN112866232B (zh) * | 2021-01-13 | 2022-03-29 | 新华三信息安全技术有限公司 | 一种访问控制系统、访问控制方法及相关装置 |
| US11909720B2 (en) | 2021-09-17 | 2024-02-20 | Kyndryl, Inc. | Secure remote support of systems deployed in a private network |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101668293A (zh) * | 2009-10-21 | 2010-03-10 | 杭州华三通信技术有限公司 | Wlan中访问网络权限的控制方法和系统 |
| CN101843146A (zh) * | 2007-09-26 | 2010-09-22 | 符号技术有限公司 | 根据移动单元位置控制其对网络服务访问的系统和方法 |
| CN102143149A (zh) * | 2010-12-10 | 2011-08-03 | 华为技术有限公司 | 云终端访问云的方法、系统及云接入管理设备 |
| CN102571703A (zh) * | 2010-12-23 | 2012-07-11 | 鸿富锦精密工业(深圳)有限公司 | 云数据安全管控系统及方法 |
| CN102769631A (zh) * | 2012-07-31 | 2012-11-07 | 华为技术有限公司 | 访问云服务器的方法、系统和接入设备 |
| WO2013091196A1 (zh) * | 2011-12-21 | 2013-06-27 | 华为技术有限公司 | 设定用户访问虚拟机权限的方法、设备和系统 |
-
2014
- 2014-05-12 CN CN201410198376.8A patent/CN103945330B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101843146A (zh) * | 2007-09-26 | 2010-09-22 | 符号技术有限公司 | 根据移动单元位置控制其对网络服务访问的系统和方法 |
| CN101668293A (zh) * | 2009-10-21 | 2010-03-10 | 杭州华三通信技术有限公司 | Wlan中访问网络权限的控制方法和系统 |
| CN102143149A (zh) * | 2010-12-10 | 2011-08-03 | 华为技术有限公司 | 云终端访问云的方法、系统及云接入管理设备 |
| CN102571703A (zh) * | 2010-12-23 | 2012-07-11 | 鸿富锦精密工业(深圳)有限公司 | 云数据安全管控系统及方法 |
| WO2013091196A1 (zh) * | 2011-12-21 | 2013-06-27 | 华为技术有限公司 | 设定用户访问虚拟机权限的方法、设备和系统 |
| CN102769631A (zh) * | 2012-07-31 | 2012-11-07 | 华为技术有限公司 | 访问云服务器的方法、系统和接入设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103945330A (zh) | 2014-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103945330B (zh) | 虚拟私有云平台、虚拟私有云安全接入方法和系统 | |
| CN104519020B (zh) | 管理无线网络登录密码分享功能的方法、服务器及系统 | |
| US8701199B1 (en) | Establishing a trusted session from a non-web client using adaptive authentication | |
| CN104917727B (zh) | 一种帐户鉴权的方法、系统及装置 | |
| CN104753887B (zh) | 安全管控实现方法、系统及云桌面系统 | |
| CN107071776A (zh) | 一种自动配网方法及其系统、一种服务器 | |
| US9936390B2 (en) | Method and apparatus of triggering applications in a wireless environment | |
| CN104767715B (zh) | 网络接入控制方法和设备 | |
| CN107493280A (zh) | 用户认证的方法、智能网关及认证服务器 | |
| CN104202338B (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| CN109510849A (zh) | 云存储的帐号鉴权方法和装置 | |
| CN107210916A (zh) | 条件登录推广 | |
| CN104253810B (zh) | 安全登录方法和系统 | |
| CN108880822A (zh) | 一种身份认证方法、装置、系统及一种智能无线设备 | |
| KR20150124868A (ko) | 개인정보 유출과 스미싱을 방지할 수 있는 사용자 이중 인증 방법 | |
| CN103916366A (zh) | 登录方法、维护终端、数据管理服务设备及登录系统 | |
| CN112055344B (zh) | 一种工程机械蓝牙设备身份认证系统及方法 | |
| CN106506295A (zh) | 一种虚拟机接入网络的方法及装置 | |
| CN106304264A (zh) | 一种无线网络接入方法及装置 | |
| CN105050086A (zh) | 一种终端登录Wifi热点的方法 | |
| CN104301437A (zh) | 一种基于多点传输的私有云平台 | |
| CN109302397A (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
| CN108449364A (zh) | 一种分布式身份认证方法及云认证节点 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN104322031A (zh) | 使用通过本地策略框架执行的策略指令实施针对企业网络的策略 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190212 Address after: 401120 No. B2-2-6 and B2-2-7, No. 5, Huangshan Avenue, High-tech Park, North New District, Chongqing Patentee after: Chongqing Zhizai Technology Co., Ltd. Address before: 400065 No. 2 Chongwen Road, Huang Jue ya, Nan'an District, Chongqing Patentee before: Chongqing University of Posts and Telecommunications |
|
| TR01 | Transfer of patent right |