CN107241357A - 云计算系统中用户访问控制方法和装置 - Google Patents

云计算系统中用户访问控制方法和装置 Download PDF

Info

Publication number
CN107241357A
CN107241357A CN201710623815.9A CN201710623815A CN107241357A CN 107241357 A CN107241357 A CN 107241357A CN 201710623815 A CN201710623815 A CN 201710623815A CN 107241357 A CN107241357 A CN 107241357A
Authority
CN
China
Prior art keywords
user
access request
access
request
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710623815.9A
Other languages
English (en)
Inventor
张培训
刘正伟
高飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Yunhai Information Technology Co Ltd
Original Assignee
Zhengzhou Yunhai Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Yunhai Information Technology Co Ltd filed Critical Zhengzhou Yunhai Information Technology Co Ltd
Priority to CN201710623815.9A priority Critical patent/CN107241357A/zh
Publication of CN107241357A publication Critical patent/CN107241357A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种云计算系统中用户访问控制方法和装置。所述方法包括:接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;对所述访问请求进行签名验证;如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。

Description

云计算系统中用户访问控制方法和装置
技术领域
本发明涉及信息处理领域,尤指一种云计算系统中用户访问控制方法和装置。
背景技术
在云计算时代,云计算系统面临着严重的安全威胁:2016年2月,美国第二大医疗保险公司遭黑客攻击,8000万用户资料受影响;2016年9月,雅虎曝史上最大规模信息泄露,5亿用户资料被窃;2016年10月,美国遭史上最大规模DDoS攻击、东海岸网站集体瘫痪颈。因此,云计算信息安全成为用户系统上云的主要阻碍。
云计算系统在用户方面面临的安全风险是如何对用户的操作和命令进行管理,达到抵御非授权用户的攻击的目的。因此,如何对云计算系统中对用户访问进行控制提高访问安全是亟待解决的问题。
发明内容
为了解决上述技术问题,本发明提供了一种云计算系统中用户访问控制方法和装置,能够提高云计算系统的访问安全。
为了达到本发明目的,本发明提供了一种云计算系统中用户访问控制方法,包括:
接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
对所述访问请求进行签名验证;
如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
其中,所述根据访问请求中的信息,对访问请求进行管理,包括:
获取所述访问请求中的用户标识;
将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
其中,所述在确定所述用户有访问所述服务器的权限后,处理所述访问请求,还包括:
获取所述访问请求对应的请求内容;
根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
如果所述访问行为合法,则处理所述访问请求。
其中,所述处理所述访问请求,还包括:
在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;
根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;
使用所述目标存储位置的数据响应所述用户的访问请求。
其中,所述根据访问请求中的信息,对访问请求进行管理之后,所述方法还包括:
对用户访问后的数据进行完整性校验;
如果数据完整性校验失败,则输出告警信息。
一种云计算系统中用户访问控制装置,包括:
接收模块,用于接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
验证模块,用于对所述访问请求进行签名验证;
管理模块,用于如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
其中,所述管理模块包括:
获取子模块,用于获取所述访问请求中的用户标识;
确定子模块,用于将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
处理子模块,用于在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
其中,所述处理子模块还包括:
第一获取单元,用于获取所述访问请求对应的请求内容;
确定单元,用于根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
处理单元,用于如果所述访问行为合法,则处理所述访问请求。
其中,所述处理子模块还包括:
第二获取单元,用于获取在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;
选择单元,用于根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;
响应单元,用于使用所述目标存储位置的数据响应所述用户的访问请求。
其中,所述装置还包括:
校验模块,用于在对访问请求进行管理之后,对用户访问后的数据进行完整性校验;
输出模块,用于如果数据完整性校验失败,则输出告警信息。
本发明提供的实施例,通过对云计算系统中用户的访问请求进行签名认证,实现对用户身份的识别,降低黑客攻击的可能,提高云计算系统的安全。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明提供的云计算系统中用户访问控制方法的流程图;
图2为本发明提供的云计算系统中用户访问控制装置的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1为本发明提供的云计算系统中用户访问控制方法的流程图。图1所示方法包括:
步骤101、接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
步骤102、对所述访问请求进行签名验证;
步骤103、如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
本发明提供的方法实施例,通过对云计算系统中用户的访问请求进行签名认证,实现对用户身份的识别,降低黑客攻击的可能,提高云计算系统的安全。
下面对本发明提供的方法实施例作进一步说明:
在用户发起进行签名的访问请求后,可以表明该访问请求是该用户本人发起的,不是其他人非法操作的;因此,只需要对该签名过的访问请求进行验证,如果验证通过,则表示该访问请求是本人利用本人的签名处理的。
在确定该签名是由本人发起后,接下来需要对该用户是否有权限访问进行确认,包括:
获取所述访问请求中的用户标识;
将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
在实际应用中,用户标识可以为用户的手机号、用户名或其他唯一标识,访问控制列表是以用户标识为索引来记录每个用户的访问权限,利用该访问控制列表可以确定该用户是否有权限访问所述服务器。
在确定该用户有权限访问所述服务器后,需要进一步确认该用户的访问行为是否合法,在本发明中采用如下方式来获取:
获取所述访问请求对应的请求内容;
根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
如果所述访问行为合法,则处理所述访问请求。
例如,该访问请求的内容为安全级别为高的数据,但根据用户的标识可知,该用户访问安全级别为低的数据,则该用户的访问行为是非法的,相反,如果该访问请求的内容为安全级别为低的数据,则该用户的访问是合法的。
通过判断该访问行为是否合法,可以对用户访问进行控制,减少非法访问带来的安全风险。
另外,由于云计算系统的存储空间较大,为保证存储数据的安全,物理存储空间是隔离开的,达到安全存储的目的。
因此,在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;使用所述目标存储位置的数据响应所述用户的访问请求。
仍以上例进行说明,如果该用户访问安全级别为低,则该用户只能在存储安全级别的存储位置进行访问,不能在存储安全级别为高的地方进行访问。比如,在该访问行为不当时,只会对低安全级别的存储空间内的数据有破坏,不会影响高优先级的数据的访问。
在对访问请求进行管理之后,对用户访问后的数据进行完整性校验;如果数据完整性校验失败,则输出告警信息。
通过对访问后的数据进行校验,可以实现对数据进行实时维护,及时发现潜在风险,减少安全漏洞的发生。
图2为本发明提供的云计算系统中用户访问控制装置的结构图。图2所示装置,包括:
接收模块201,用于接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
验证模块202,用于对所述访问请求进行签名验证;
管理模块203,用于如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
其中,所述管理模块203包括:
获取子模块,用于获取所述访问请求中的用户标识;
确定子模块,用于将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
处理子模块,用于在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
其中,所述处理子模块还包括:
第一获取单元,用于获取所述访问请求对应的请求内容;
确定单元,用于根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
处理单元,用于如果所述访问行为合法,则处理所述访问请求。
其中,所述处理子模块还包括:
第二获取单元,用于获取在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;
选择单元,用于根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;
响应单元,用于使用所述目标存储位置的数据响应所述用户的访问请求。
其中,所述装置还包括:
校验模块,用于在对访问请求进行管理之后,对用户访问后的数据进行完整性校验;
输出模块,用于如果数据完整性校验失败,则输出告警信息。
本发明提供的装置实施例,通过对云计算系统中用户的访问请求进行签名认证,实现对用户身份的识别,降低黑客攻击的可能,提高云计算系统的安全。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。

Claims (10)

1.一种云计算系统中用户访问控制方法,其特征在于,包括:
接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
对所述访问请求进行签名验证;
如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
2.根据权利要求1所述的方法,其特征在于,所述根据访问请求中的信息,对访问请求进行管理,包括:
获取所述访问请求中的用户标识;
将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
3.根据权利要求2所述的方法,其特征在于,所述在确定所述用户有访问所述服务器的权限后,处理所述访问请求,还包括:
获取所述访问请求对应的请求内容;
根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
如果所述访问行为合法,则处理所述访问请求。
4.根据权利要求2或3所述的方法,其特征在于,所述处理所述访问请求,还包括:
在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;
根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;
使用所述目标存储位置的数据响应所述用户的访问请求。
5.根据权利要求1所述的方法,其特征在于,所述根据访问请求中的信息,对访问请求进行管理之后,所述方法还包括:
对用户访问后的数据进行完整性校验;
如果数据完整性校验失败,则输出告警信息。
6.一种云计算系统中用户访问控制装置,其特征在于,包括:
接收模块,用于接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
验证模块,用于对所述访问请求进行签名验证;
管理模块,用于如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
7.根据权利要求6所述的装置,其特征在于,所述管理模块包括:
获取子模块,用于获取所述访问请求中的用户标识;
确定子模块,用于将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
处理子模块,用于在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
8.根据权利要求7所述的装置,其特征在于,所述处理子模块还包括:
第一获取单元,用于获取所述访问请求对应的请求内容;
确定单元,用于根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
处理单元,用于如果所述访问行为合法,则处理所述访问请求。
9.根据权利要求7或8所述的装置,其特征在于,所述处理子模块还包括:
第二获取单元,用于获取在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;
选择单元,用于根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;
响应单元,用于使用所述目标存储位置的数据响应所述用户的访问请求。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
校验模块,用于在对访问请求进行管理之后,对用户访问后的数据进行完整性校验;
输出模块,用于如果数据完整性校验失败,则输出告警信息。
CN201710623815.9A 2017-07-27 2017-07-27 云计算系统中用户访问控制方法和装置 Pending CN107241357A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710623815.9A CN107241357A (zh) 2017-07-27 2017-07-27 云计算系统中用户访问控制方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710623815.9A CN107241357A (zh) 2017-07-27 2017-07-27 云计算系统中用户访问控制方法和装置

Publications (1)

Publication Number Publication Date
CN107241357A true CN107241357A (zh) 2017-10-10

Family

ID=59988848

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710623815.9A Pending CN107241357A (zh) 2017-07-27 2017-07-27 云计算系统中用户访问控制方法和装置

Country Status (1)

Country Link
CN (1) CN107241357A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109584089A (zh) * 2018-11-26 2019-04-05 泰康保险集团股份有限公司 投保接入方法、装置、设备及存储介质
CN116738509A (zh) * 2023-08-14 2023-09-12 深圳市龙勤信息技术有限公司 一种基于区块链的电子盘加密存储系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130117564A1 (en) * 2011-11-04 2013-05-09 International Business Machines Corporation Managing security for computer services
US20130311772A1 (en) * 2012-05-17 2013-11-21 Zenerji Llc Non-pki digital signatures and information notary public in the cloud
CN104216907A (zh) * 2013-06-02 2014-12-17 上海贝尔股份有限公司 一种用于提供数据库访问控制的方法、装置与系统
CN104333548A (zh) * 2014-10-27 2015-02-04 百度在线网络技术(北京)有限公司 在https网页中访问本地服务的方法及系统
CN106657152A (zh) * 2017-02-07 2017-05-10 腾讯科技(深圳)有限公司 一种鉴权方法及服务器、访问控制装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130117564A1 (en) * 2011-11-04 2013-05-09 International Business Machines Corporation Managing security for computer services
US20130311772A1 (en) * 2012-05-17 2013-11-21 Zenerji Llc Non-pki digital signatures and information notary public in the cloud
CN104216907A (zh) * 2013-06-02 2014-12-17 上海贝尔股份有限公司 一种用于提供数据库访问控制的方法、装置与系统
CN104333548A (zh) * 2014-10-27 2015-02-04 百度在线网络技术(北京)有限公司 在https网页中访问本地服务的方法及系统
CN106657152A (zh) * 2017-02-07 2017-05-10 腾讯科技(深圳)有限公司 一种鉴权方法及服务器、访问控制装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109584089A (zh) * 2018-11-26 2019-04-05 泰康保险集团股份有限公司 投保接入方法、装置、设备及存储介质
CN109584089B (zh) * 2018-11-26 2021-02-09 泰康保险集团股份有限公司 投保接入方法、装置、设备及存储介质
CN116738509A (zh) * 2023-08-14 2023-09-12 深圳市龙勤信息技术有限公司 一种基于区块链的电子盘加密存储系统及方法
CN116738509B (zh) * 2023-08-14 2023-12-22 深圳市龙勤信息技术有限公司 一种基于区块链的电子盘加密存储系统及方法

Similar Documents

Publication Publication Date Title
Mulligan et al. Doctrine for cybersecurity
Johnson Security controls evaluation, testing, and assessment handbook
CN102077208B (zh) 向应用程序集发放受保护内容的许可证的方法和系统
CN102567454A (zh) 实现云计算环境中数据的粒度自主访问控制的方法和系统
CN102143168B (zh) 基于linux平台服务器安全性能实时监控方法及系统
CN107016293A (zh) 有范围的资源授权策略
Zharova The protect mobile user data in Russia
CN107241357A (zh) 云计算系统中用户访问控制方法和装置
Neumann Risks to the Public
WO2003021908A2 (en) Server with file verification
Sloan The reasonable information security program
CN101939748A (zh) 通过信任委托的激活
Butarbutar Personal data protection in P2P lending: What Indonesia should learn from Malaysia?
CN116595502A (zh) 基于智能合约的用户管理方法及相关装置
Banton et al. On the benefits and security risks of a user-centric data sharing platform for healthcare provision
CN105912945A (zh) 一种操作系统安全加固装置及运行方法
CN110457913A (zh) 数据存储和访问方法及系统
Sandeepkumar et al. Blockchain Assisted Cloud Storage For Electronic Health Records
Saxena et al. Security and privacy issues in UK healthcare
Amankona et al. Integrating Privacy-By-Design in e-Health
Diego The Analysis of Cyber Security the Extended Cartesian Method Approach With Innovative Study Models
Seng Cybersecurity Regulation—Types, Principles, and Country Deep Dives in Asia
US11989316B1 (en) Systems and methods for blockchain wallet owner verification and access management
Sidhu Information security in the healthcare system
Cilliers Exploring information assurance to support electronic health record systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20171010

RJ01 Rejection of invention patent application after publication