CN109040065A - 一种云安全管理平台与云平台的对接方法及装置 - Google Patents
一种云安全管理平台与云平台的对接方法及装置 Download PDFInfo
- Publication number
- CN109040065A CN109040065A CN201810867641.5A CN201810867641A CN109040065A CN 109040065 A CN109040065 A CN 109040065A CN 201810867641 A CN201810867641 A CN 201810867641A CN 109040065 A CN109040065 A CN 109040065A
- Authority
- CN
- China
- Prior art keywords
- cloud
- platform
- cloud security
- user
- management platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种云安全管理平台与云平台的对接方法及装置,该方法包括:采用认证对接机制与云安全管理平台进行认证对接;在满足用户信息同步的触发时机时,将云平台的用户信息同步至云安全管理平台,以实现用户对接;将被分配的管理权角色通过预设的角色映射关系建立与云安全管理平台的角色映射,以实现授权对接;采用部署对接机制与云安全管理平台进行部署对接,以通过云安全管理平台对云安全产品进行自动化部署和激活。该方法通过对接实现云平台对云安全产品的统一认证、授权,能实现云平台对云安全产品的自动化部署和激活,管理过程简单,更加智能,缓解了现有的云平台在对云安全产品进行管理时,过程复杂,智能化程度低的技术问题。
Description
技术领域
本发明涉及数据通讯的技术领域,尤其是涉及一种云安全管理平台与云平台的对接方法及装置。
背景技术
在云计算场景下,传统的硬件安全已经无法满足用户的云安全需求,而云安全产品普遍通过单品部署的方式分散部署在云平台的虚拟机上,云安全产品的管理给用户运维管理带来了很大困扰。如果该问题不解决,会带来如下问题:
第一,用户使用云安全产品时需要逐一手动部署,用户无法自动化按需开通云安全产品;
第二,云平台不能统一管理云安全产品,运维云安全产品需要逐一输入不同云安全产品所对应的用户名密码才能登录,运维复杂;
第三,激活云安全产品需要手工导入产品许可,无法实现自动化部署;
第四,云平台无法统一管理用户的云计算资源和云安全资源。
综上,现有的云平台在对云安全产品进行管理时,过程复杂,智能化程度低。
发明内容
有鉴于此,本发明的目的在于提供一种云安全管理平台与云平台的对接方法及装置,以缓解现有的云平台在对云安全产品进行管理时,过程复杂,智能化程度低的技术问题。
第一方面,本发明实施例提供了一种云安全管理平台与云平台的对接方法,应用于云平台,所述方法包括:
采用认证对接机制与云安全管理平台进行认证对接,以使用户能够通过所述云平台访问受限资源,其中,所述受限资源包括:所述云安全管理平台,云安全产品,所述云安全产品属于所述云安全管理平台管理的资源;
在满足用户信息同步的触发时机时,将所述云平台的用户信息同步至所述云安全管理平台,以实现用户对接;
将被分配的管理权角色通过预设的角色映射关系建立与所述云安全管理平台的角色映射,以实现授权对接;
在完成所述认证对接,所述用户对接和所述授权对接后,采用部署对接机制与所述云安全管理平台进行部署对接,以通过所述云安全管理平台对云安全产品进行自动化部署和激活。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,采用认证对接机制与云安全管理平台进行认证对接,以使用户能够通过所述云平台访问受限资源包括:
获取所述受限资源的地址,并向所述受限资源的地址发送访问请求;
接收所述受限资源返回的认证中心列表,其中,所述认证中心列表中包括多个认证中心性地址;
获取所述用户根据所述认证中心列表选择的目标认证中心地址,并向目标认证中心发送访问受限资源的认证请求;
接收所述目标认证中心根据所述认证请求返回的云平台认证中心地址,并显示登录页面;
获取所述用户输入的登录信息进行登录,并将所述登录信息在云管理平台认证中心进行认证,以使所述用户通过所述云平台访问所述受限资源,其中,所述登录信息包括:账号,密码。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,在将所述登录信息在云管理平台认证中心进行认证之后,所述方法还包括:
接收所述云管理平台认证中心返回的访问凭证;
基于所述访问凭证进行登录认证,以使所述用户通过所述云平台对所述受限资源进行访问。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,在满足用户信息同步的触发时机时,将所述云平台的用户信息同步至所述云安全管理平台包括:
当所述用户通过所述云平台登录所述云安全管理平台时,将所述云平台的用户信息同步至所述云安全管理平台。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,将被分配的管理权角色通过预设的角色映射关系建立与所述云安全管理平台的角色映射包括:
将被分配的管理权角色通过权限标识发送至所述云安全管理平台,以使所述云安全管理平台根据所述预设的角色映射关系与所述云平台进行角色映射。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,采用部署对接机制与所述云安全管理平台进行部署对接包括:
在所述云安全管理平台中获取待部署云安全产品的模板信息,其中,所述模板信息包括:所述待部署云安全产品的名称,所述待部署云安全产品的模板名称,模板的规格;
基于所述模板信息在所述云平台的镜像库中获取对应的待部署云安全产品模板,其中,所述镜像库中包含云安全产品的模板;
基于所述待部署云安全产品模板发起创建云安全产品虚拟机的操作,并将所述云安全产品虚拟机同步至所述云安全管理平台;
在创建完成所述云安全产品虚拟机后,通知所述云安全管理平台对所述云安全产品虚拟机进行激活,以完成所述待部署云安全产品的激活。
第二方面,本发明实施例还提供了一种云安全管理平台与云平台的对接装置,应用于云平台,所述装置包括:
认证对接模块,用于采用认证对接机制与云安全管理平台进行认证对接,以使用户能够通过所述云平台访问受限资源,其中,所述受限资源包括:所述云安全管理平台,云安全产品,所述云安全产品属于所述云安全管理平台管理的资源;
用户对接模块,用于在满足用户信息同步的触发时机时,将所述云平台的用户信息同步至所述云安全管理平台,以实现用户对接;
授权对接模块,用于将被分配的管理权角色通过预设的角色映射关系建立与所述云安全管理平台的角色映射,以实现授权对接;
部署对接模块,用于在完成所述认证对接,所述用户对接和所述授权对接后,采用部署对接机制与所述云安全管理平台进行部署对接,以通过所述云安全管理平台对云安全产品进行自动化部署和激活。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,所述认证对接模块包括:
第一获取单元,用于获取所述受限资源的地址,并向所述受限资源的地址发送访问请求;
第一接收单元,用于接收所述受限资源返回的认证中心列表,其中,所述认证中心列表中包括多个认证中心性地址;
第二获取单元,用于获取所述用户根据所述认证中心列表选择的目标认证中心地址,并向目标认证中心发送访问受限资源的认证请求;
第二接收单元,用于接收所述目标认证中心根据所述认证请求返回的云平台认证中心地址,并显示登录页面;
认证单元,用于获取所述用户输入的登录信息进行登录,并将所述登录信息在云管理平台认证中心进行认证,以使所述用户通过所述云平台访问所述受限资源,其中,所述登录信息包括:账号,密码。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,所述认证对接模块还包括:
第三接收单元,用于接收所述云管理平台认证中心返回的访问凭证;
访问单元,用于基于所述访问凭证进行登录认证,以使所述用户通过所述云平台对所述受限资源进行访问。
结合第二方面,本发明实施例提供了第二方面的第三种可能的实施方式,其中,所述用户对接模块包括:
用户信息同步单元,用于当所述用户通过所述云平台登录所述云安全管理平台时,将所述云平台的用户信息同步至所述云安全管理平台。
本发明实施例带来了以下有益效果:
现有的云平台在对云安全产品进行管理时,过程复杂,智能化程度低。与现有技术相比,本发明的云安全管理平台与云平台的对接方法中,云平台能够采用认证对接机制与云安全管理平台进行认证对接,能够将云平台的用户信息同步至云安全管理平台,实现用户对接,能建立与云安全管理平台的角色映射,实现授权对接,还能采用部署对接机制与云安全管理平台进行部署对接,以通过云安全管理平台对云安全产品进行自动化部署和激活。该方法通过对接实现云平台对云安全产品的统一认证、授权,能实现云平台对云安全产品的自动化部署和激活,用户通过云平台就可以统一管理云安全产品,管理过程简单,更加智能,缓解了现有的云平台在对云安全产品进行管理时,过程复杂,智能化程度低的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种云安全管理平台与云平台的对接方法的流程图;
图2为本发明实施例提供的采用认证对接机制与云安全管理平台进行认证对接的方法流程图;
图3为本发明实施例提供的云管理平台认证中心的功能模块图;
图4为本发明实施例提供的采用部署对接机制与云安全管理平台进行部署对接的方法流程图;
图5为本发明实施例提供的一种云安全管理平台与云平台的对接装置的功能模块图。
图标:
11-认证对接模块;12-用户对接模块;13-授权对接模块;14-部署对接模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种云安全管理平台与云平台的对接方法进行详细介绍。
实施例一:
一种云安全管理平台与云平台的对接方法,应用于云平台,参考图1,该方法包括:
S102、采用认证对接机制与云安全管理平台进行认证对接,以使用户能够通过云平台访问受限资源,其中,受限资源包括:云安全管理平台,云安全产品,云安全产品属于云安全管理平台管理的资源;
在本发明实施例中,云安全管理平台为用于管理云安全产品的统一平台;云平台为云计算、网络、存储等云资源的同一管理调度平台。
一般地,云平台为第三方的平台,而作为安全厂商,在得到云安全产品后,如果第三方平台访问云安全产品时,需要与云安全产品进行对接,而第三方平台与每一个安全产品都进行对接时,工作量大,所以安全厂商提供了云安全管理平台,该云安全管理平台已经实现了与所有安全产品的的对接,因此,当云平台与云安全管理平台完成对接后,就能通过云平台访问云安全产品,简单方便。在这里,云安全管理平台就作为中间适配器,需要能够无缝衔接各个云平台。
二者对接需要实现的目标包括:
打通账户认证体系:打通云平台和云安全管理平台的用户体系,实现云平台的统一认证管理云安全产品;
打通虚拟机创建体系:实现通过接口(虚拟接口)在云平台创建云安全产品虚拟机,实现云安全产品的自动化部署;
打通订单体系:实现在云平台下单创建云安全产品,订单(即云安全产品虚拟机)同步到云安全管理平台。
要实现上述的目标,需要进行如下四方面的对接,包括:认证对接,用户对接,授权对接和部署对接。
具体的,采用认证对接机制与云安全管理平台进行认证对接,在认证对接完成后,用户就能通过云平台访问受限资源(包括:云安全管理平台,云安全产品)。具体内容将在下文中进行介绍,在此不再赘述。
S104、在满足用户信息同步的触发时机时,将云平台的用户信息同步至云安全管理平台,以实现用户对接;
另外,要实现对接,还要能够将云平台的用户信息同步至云安全管理平台,这样,用户在云平台进行登录后,就不需要再在云安全管理平台进行登录,但是用户信息同步需要满足触发时机,下文中再进行具体介绍,在此不再赘述。
S106、将被分配的管理权角色通过预设的角色映射关系建立与云安全管理平台的角色映射,以实现授权对接;
在整个系统中,云平台,云安全管理平台和云安全产品都有自已的管理权角色,在实现时,需要进行角色映射。
具体的,云平台会将被分配的管理权角色通过预设的角色映射关系建立与云安全管理平台的角色映射,这样就实现了授权对接。下文中再对该过程进行详细描述。
另外,需要说明的是,上述的认证对接,用户对接和授权对接之间并没有严格的先后逻辑关系。
S108、在完成认证对接,用户对接和授权对接后,采用部署对接机制与云安全管理平台进行部署对接,以通过云安全管理平台对云安全产品进行自动化部署和激活。
在完成上述的对接后,云平台采用部署对接机制与云安全管理平台进行部署对接,这样就能通过云安全管理平台对云安全产品进行自动化部署和激活。该过程将在下文中进行详细描述。
现有的云平台在对云安全产品进行管理时,过程复杂,智能化程度低。与现有技术相比,本发明的云安全管理平台与云平台的对接方法中,云平台能够采用认证对接机制与云安全管理平台进行认证对接,能够将云平台的用户信息同步至云安全管理平台,实现用户对接,能建立与云安全管理平台的角色映射,实现授权对接,还能采用部署对接机制与云安全管理平台进行部署对接,以通过云安全管理平台对云安全产品进行自动化部署和激活。该方法通过对接实现云平台对云安全产品的统一认证、授权,能实现云平台对云安全产品的自动化部署和激活,用户通过云平台就可以统一管理云安全产品,管理过程简单,更加智能,缓解了现有的云平台在对云安全产品进行管理时,过程复杂,智能化程度低的技术问题。
上述内容对本发明的云安全管理平台与云平台的对接方法进行了简要描述,下面对其中涉及到的具体内容进行详细介绍。
在一个可选地实施方式中,参考图2,采用认证对接机制与云安全管理平台进行认证对接,以使用户能够通过云平台访问受限资源包括:
S201、获取受限资源的地址,并向受限资源的地址发送访问请求;
具体的,用户通过客户端(其中的浏览器)访问受限资源,进而就会向受限资源的地址发送访问请求。
S202、接收受限资源返回的认证中心列表,其中,认证中心列表中包括多个认证中心性地址;
受限资源接收到访问请求后,会根据访问请求返回认证中心列表,该认证中心列表中包含有多个认证中心地址,具体的,这些认证中心地址为云安全管理平台的认证中心的地址。
S203、获取用户根据认证中心列表选择的目标认证中心地址,并向目标认证中心发送访问受限资源的认证请求;
用户就会根据认证中心列表选择一个目标认证中心地址,就会向该目标认证中心发送访问受限资源的认证请求。
S204、接收目标认证中心根据认证请求返回的云平台认证中心地址,并显示登录页面;
目标认证中心接收到认证请求后,会返回云平台认证中心地址,并显示登录界面。
S205、获取用户输入的登录信息进行登录,并将登录信息在云管理平台认证中心进行认证,以使用户通过云平台访问受限资源,其中,登录信息包括:账号,密码。
用户根据登录界面输入登录信息,将登录信息在云管理平台认证中心进行认证,以使用户通过云平台访问受限资源。
具体的,云管理平台认证中心对登录信息进行认证,具体是由云管理平台认证中心的认证模块进行的认证,进而,
(1)接收云管理平台认证中心返回的访问凭证;
(2)基于访问凭证进行登录认证,以使用户通过云平台对受限资源进行访问。
云平台接收云管理平台认证中心返回的访问凭证,基于访问凭证进行登录认证,以使用户通过云平台对受限资源进行访问。
如果认证失败,会通过回调管理模块回调至认证模块,重新认证,直至认证成功。
在本发明实施例中,对云管理平台认证中心有如下需求:用户环境通常有上层认证中心,且支持多种认证协议;支持替换客户端证书,支持证书下发配置;支持通过不同网络访问认证中心等,因此对云管理平台认证中心设计如图3所示。云管理平台认证中心包含以下几个模块:
(1)网络映射管理模块:负责持久化用户网络与认证中心访问地址映射关系,并提供查询、修改以及同步服务;
(2)认证代理模块:代理云安全管理平台认证中心与外部认证中心进行认证交互,维护云安全管理平台以及云安全产品内部认证协议稳定;
(3)认证模块:各个认证协议执行者;
(4)票据管理模块:管理认证中心票据以及票据与用户会话的关系;
(5)回调管理模块:负责管理和执行认证成功或失败后的交互逻辑。
上述内容对认证对接的过程进行了详细描述,下面再对用户对接的过程进行介绍。
在一个可选地实施方式中,在满足用户信息同步的触发时机时,将云平台的用户信息同步至云安全管理平台包括:
当用户通过云平台登录云安全管理平台时,将云平台的用户信息同步至云安全管理平台。
云安全管理平台的业务开通入口在订单,用户信息为订单的必选信息。只有成功生成了订单,才能继续后续的开通、激活、使用流程。
由于登录页由云平台portal(即管理操作页)接管,因此在生成订单前,云安全管理平台与云平台之间需要进行“当前登录用户信息同步”。类似于:在不对接云平台时,云安全管理平台的租户是由admin手动创建的。对接了云平台之后,云安全管理平台的portal被隐藏,因此云安全管理平台租户的创建由云平台替admin来创建。
云平台portal登录成功后,不会进行已登录用户信息的同步,而是在开通“安全即服务”虚拟机时进行同步。“已登录用户信息”主要包括:当前登录用户名、所属租户名、用户角色,用户同步,需要一个触发时机,该时机可以定为用户通过云平台登录云安全管理平台时触发。
通俗地说,用户对接实现了当在云平台中进行用户信息授权后,这个用户信息就会同步到云安全管理平台。即在云平台中创建用户,用户信息就会同步至云安全管理平台,如果用户认证登录到云平台,因为做过认证对接,就不需要再输入账号密码,可直接认证到云安全管理平台。
上述内容对用户认证的过程进行了详细介绍,下面对授权对接的过程进行详细描述。
在一个可选地实施方式中,将被分配的管理权角色通过预设的角色映射关系建立与云安全管理平台的角色映射包括:
将被分配的管理权角色通过权限标识发送至云安全管理平台,以使云安全管理平台根据预设的角色映射关系与云平台进行角色映射。
云安全管理平台内部引入“角色映射”中间层用于兼容外部权限体系(即云平台)的差异,实现云安全管理平台授权体系和外部权限体系(即云平台)解耦。
云安全管理平台不约束外部权限体系(即云平台)的结构设计和概念定义,角色映射中间层中与云安全管理平台角色映射的目标可以是角色、权限、用户等任意定义,外部权限体系(即云平台)匹配映射时只需把权限标识传递给云安全管理平台即可。
云平台,云安全管理平台和云安全产品都有自身的管理权角色,它们的角色就需要云安全管理平台的角色映射中间层进行映射,一方面需要将云平台的管理权角色映射到云安全管理平台,另一方面,需要将云安全管理平台的管理权角色映射到云安全产品。它们之间的映射关系是预设的,实现时,云平台只需把权限标识传递给云安全管理平台进行匹配即可。
在完成上述的对接后,就能进行部署对接的过程,具体的:
在一个可选地实施方式中,参考图4,采用部署对接机制与云安全管理平台进行部署对接包括:
S401、在云安全管理平台中获取待部署云安全产品的模板信息,其中,模板信息包括:待部署云安全产品的名称,待部署云安全产品的模板名称,模板的规格;
在本发明实施例中,通过和云安全管理平台的对接,实现通过云平台开通云安全产品,完成云安全产品的自动化部署和激活。云安全产品软件通过镜像的方式存储在云平台镜像库,云安全管理平台通过和云平台的计算资源接口调用,实现通过镜像,自动生成云安全产品虚拟机。
云平台接管开通页,需要从云安全管理平台获取待部署云安全产品的模板信息,模板信息中包含虚拟硬件配置。
S402、基于模板信息在云平台的镜像库中获取对应的待部署云安全产品模板,其中,镜像库中包含云安全产品的模板;
S403、基于待部署云安全产品模板发起创建云安全产品虚拟机的操作,并将云安全产品虚拟机同步至云安全管理平台;
基于待部署云安全产品模板云平台主动发起创建订单(即云安全产品虚拟机)动作,云平台审核通过后,将订单(即云安全产品虚拟机)同步到云安全管理平台。云安全管理平台便创建订单并自动审核,云安全管理平台创建订单是为了计量计费,实现与云平台的信息同步。订单同步成功后,云平台开始创建云安全产品虚拟机。
S404、在创建完成云安全产品虚拟机后,通知云安全管理平台对云安全产品虚拟机进行激活,以完成待部署云安全产品的激活。
云平台完成云安全产品虚拟机的创建后通知云安全管理平台,云安全管理平台需要据此事件完成实例状态的迁移,并调用云安全管理平提供的激活接口来完成“安全即服务”虚拟机的激活,激活时,自动导入产品许可,简单方便。
本发明的方法实现云平台对云安全管理平台以及云安全管理平台下面的云安全产品的统一认证、授权;通过云平台实现云安全产品的自动化部署和激活;通过云平台开通云安全产品,可以自动同步订单到云安全管理平台做计量对接;通过云平台可以实现云安全产品的开通、资源按需分配、自动化部署、自动下发许可并激活、统一用户、统一认证等功能。
总之,本发明实现了云平台对云计算资源和云安全产品资源的统一管理、安全资源按需分配,并解决了云计算环境下的网络问题,云安全产品部署在用户业务(部署在云平台)的统一个网络区域,保护用户的业务安全。降低云安全产品的运维压力,用户通过云平台就可以统一管理计算资源和安全资源,无须注意登录产品下发安全策略。解决了云安全产品的部署难题,用户可以通过云平台实现云安全产品的自动化部署,自动激活等流程。
实施例二:
一种云安全管理平台与云平台的对接装置,应用于云平台,参考图5,该装置包括:
认证对接模块11,用于采用认证对接机制与云安全管理平台进行认证对接,以使用户能够通过云平台访问受限资源,其中,受限资源包括:云安全管理平台,云安全产品,云安全产品属于云安全管理平台管理的资源;
用户对接模块12,用于在满足用户信息同步的触发时机时,将云平台的用户信息同步至云安全管理平台,以实现用户对接;
授权对接模块13,用于将被分配的管理权角色通过预设的角色映射关系建立与云安全管理平台的角色映射,以实现授权对接;
部署对接模块14,用于在完成认证对接,用户对接和授权对接后,采用部署对接机制与云安全管理平台进行部署对接,以通过云安全管理平台对云安全产品进行自动化部署和激活。
本发明的云安全管理平台与云平台的对接装置中,云平台能够采用认证对接机制与云安全管理平台进行认证对接,能够将云平台的用户信息同步至云安全管理平台,实现用户对接,能建立与云安全管理平台的角色映射,实现授权对接,还能采用部署对接机制与云安全管理平台进行部署对接,以通过云安全管理平台对云安全产品进行自动化部署和激活。该装置通过对接实现云平台对云安全产品的统一认证、授权,能实现云平台对云安全产品的自动化部署和激活,用户通过云平台就可以统一管理云安全产品,管理过程简单,更加智能,缓解了现有的云平台在对云安全产品进行管理时,过程复杂,智能化程度低的技术问题。
可选地,认证对接模块包括:
第一获取单元,用于获取受限资源的地址,并向受限资源的地址发送访问请求;
第一接收单元,用于接收受限资源返回的认证中心列表,其中,认证中心列表中包括多个认证中心性地址;
第二获取单元,用于获取用户根据认证中心列表选择的目标认证中心地址,并向目标认证中心发送访问受限资源的认证请求;
第二接收单元,用于接收目标认证中心根据认证请求返回的云平台认证中心地址,并显示登录页面;
认证单元,用于获取用户输入的登录信息进行登录,并将登录信息在云管理平台认证中心进行认证,以使用户通过云平台访问受限资源,其中,登录信息包括:账号,密码。
可选地,认证对接模块还包括:
第三接收单元,用于接收云管理平台认证中心返回的访问凭证;
访问单元,用于基于访问凭证进行登录认证,以使用户通过云平台对受限资源进行访问。
可选地,用户对接模块包括:
用户信息同步单元,用于当用户通过云平台登录云安全管理平台时,将云平台的用户信息同步至云安全管理平台。
可选地,授权对接模块包括:
发送单元,用于将被分配的管理权角色通过权限标识发送至云安全管理平台,以使云安全管理平台根据预设的角色映射关系与云平台进行角色映射。
可选地,部署对接模块包括:
第三获取单元,用于在云安全管理平台中获取待部署云安全产品的模板信息,其中,模板信息包括:待部署云安全产品的名称,待部署云安全产品的模板名称,模板的规格;
第四获取单元,用于基于模板信息在云平台的镜像库中获取对应的待部署云安全产品模板,其中,镜像库中包含云安全产品的模板;
创建单元,用于基于待部署云安全产品模板发起创建云安全产品虚拟机的操作,并将云安全产品虚拟机同步至云安全管理平台;
通知激活单元,用于在创建完成云安全产品虚拟机后,通知云安全管理平台对云安全产品虚拟机进行激活,以完成待部署云安全产品的激活。
该实施例二中的具体内容可以参考上述实施例一中的描述,在此不再赘述。
本发明实施例所提供的云安全管理平台与云平台的对接方法及装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种云安全管理平台与云平台的对接方法,其特征在于,应用于云平台,所述方法包括:
采用认证对接机制与云安全管理平台进行认证对接,以使用户能够通过所述云平台访问受限资源,其中,所述受限资源包括:所述云安全管理平台,云安全产品,所述云安全产品属于所述云安全管理平台管理的资源;
在满足用户信息同步的触发时机时,将所述云平台的用户信息同步至所述云安全管理平台,以实现用户对接;
将被分配的管理权角色通过预设的角色映射关系建立与所述云安全管理平台的角色映射,以实现授权对接;
在完成所述认证对接,所述用户对接和所述授权对接后,采用部署对接机制与所述云安全管理平台进行部署对接,以通过所述云安全管理平台对云安全产品进行自动化部署和激活。
2.根据权利要求1所述的方法,其特征在于,采用认证对接机制与云安全管理平台进行认证对接,以使用户能够通过所述云平台访问受限资源包括:
获取所述受限资源的地址,并向所述受限资源的地址发送访问请求;
接收所述受限资源返回的认证中心列表,其中,所述认证中心列表中包括多个认证中心性地址;
获取所述用户根据所述认证中心列表选择的目标认证中心地址,并向目标认证中心发送访问受限资源的认证请求;
接收所述目标认证中心根据所述认证请求返回的云平台认证中心地址,并显示登录页面;
获取所述用户输入的登录信息进行登录,并将所述登录信息在云管理平台认证中心进行认证,以使所述用户通过所述云平台访问所述受限资源,其中,所述登录信息包括:账号,密码。
3.根据权利要求2所述的方法,其特征在于,在将所述登录信息在云管理平台认证中心进行认证之后,所述方法还包括:
接收所述云管理平台认证中心返回的访问凭证;
基于所述访问凭证进行登录认证,以使所述用户通过所述云平台对所述受限资源进行访问。
4.根据权利要求1所述的方法,其特征在于,在满足用户信息同步的触发时机时,将所述云平台的用户信息同步至所述云安全管理平台包括:
当所述用户通过所述云平台登录所述云安全管理平台时,将所述云平台的用户信息同步至所述云安全管理平台。
5.根据权利要求1所述的方法,其特征在于,将被分配的管理权角色通过预设的角色映射关系建立与所述云安全管理平台的角色映射包括:
将被分配的管理权角色通过权限标识发送至所述云安全管理平台,以使所述云安全管理平台根据所述预设的角色映射关系与所述云平台进行角色映射。
6.根据权利要求1所述的方法,其特征在于,采用部署对接机制与所述云安全管理平台进行部署对接包括:
在所述云安全管理平台中获取待部署云安全产品的模板信息,其中,所述模板信息包括:所述待部署云安全产品的名称,所述待部署云安全产品的模板名称,模板的规格;
基于所述模板信息在所述云平台的镜像库中获取对应的待部署云安全产品模板,其中,所述镜像库中包含云安全产品的模板;
基于所述待部署云安全产品模板发起创建云安全产品虚拟机的操作,并将所述云安全产品虚拟机同步至所述云安全管理平台;
在创建完成所述云安全产品虚拟机后,通知所述云安全管理平台对所述云安全产品虚拟机进行激活,以完成所述待部署云安全产品的激活。
7.一种云安全管理平台与云平台的对接装置,其特征在于,应用于云平台,所述装置包括:
认证对接模块,用于采用认证对接机制与云安全管理平台进行认证对接,以使用户能够通过所述云平台访问受限资源,其中,所述受限资源包括:所述云安全管理平台,云安全产品,所述云安全产品属于所述云安全管理平台管理的资源;
用户对接模块,用于在满足用户信息同步的触发时机时,将所述云平台的用户信息同步至所述云安全管理平台,以实现用户对接;
授权对接模块,用于将被分配的管理权角色通过预设的角色映射关系建立与所述云安全管理平台的角色映射,以实现授权对接;
部署对接模块,用于在完成所述认证对接,所述用户对接和所述授权对接后,采用部署对接机制与所述云安全管理平台进行部署对接,以通过所述云安全管理平台对云安全产品进行自动化部署和激活。
8.根据权利要求7所述的装置,其特征在于,所述认证对接模块包括:
第一获取单元,用于获取所述受限资源的地址,并向所述受限资源的地址发送访问请求;
第一接收单元,用于接收所述受限资源返回的认证中心列表,其中,所述认证中心列表中包括多个认证中心性地址;
第二获取单元,用于获取所述用户根据所述认证中心列表选择的目标认证中心地址,并向目标认证中心发送访问受限资源的认证请求;
第二接收单元,用于接收所述目标认证中心根据所述认证请求返回的云平台认证中心地址,并显示登录页面;
认证单元,用于获取所述用户输入的登录信息进行登录,并将所述登录信息在云管理平台认证中心进行认证,以使所述用户通过所述云平台访问所述受限资源,其中,所述登录信息包括:账号,密码。
9.根据权利要求8所述的装置,其特征在于,所述认证对接模块还包括:
第三接收单元,用于接收所述云管理平台认证中心返回的访问凭证;
访问单元,用于基于所述访问凭证进行登录认证,以使所述用户通过所述云平台对所述受限资源进行访问。
10.根据权利要求7所述的装置,其特征在于,所述用户对接模块包括:
用户信息同步单元,用于当所述用户通过所述云平台登录所述云安全管理平台时,将所述云平台的用户信息同步至所述云安全管理平台。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810867641.5A CN109040065B (zh) | 2018-08-01 | 2018-08-01 | 一种云安全管理平台与云平台的对接方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810867641.5A CN109040065B (zh) | 2018-08-01 | 2018-08-01 | 一种云安全管理平台与云平台的对接方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109040065A true CN109040065A (zh) | 2018-12-18 |
| CN109040065B CN109040065B (zh) | 2021-04-23 |
Family
ID=64648794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810867641.5A Active CN109040065B (zh) | 2018-08-01 | 2018-08-01 | 一种云安全管理平台与云平台的对接方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040065B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110134406A (zh) * | 2019-04-03 | 2019-08-16 | 平安科技(深圳)有限公司 | 一种智能云网络产品的部署方法及系统 |
| CN110932900A (zh) * | 2019-11-29 | 2020-03-27 | 杭州安恒信息技术股份有限公司 | 云管理平台与云安全管理平台业务对接的方法和系统 |
| CN111147285A (zh) * | 2019-12-07 | 2020-05-12 | 杭州安恒信息技术股份有限公司 | 一种云安全产品统一管理方法 |
| CN111556047A (zh) * | 2020-04-24 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 一种私有云环境下安全服务的部署方法 |
| CN112311804A (zh) * | 2020-11-06 | 2021-02-02 | 东北大学 | 一种多租户服务资源动态访问授权与认证系统及方法 |
| CN112733118A (zh) * | 2021-01-15 | 2021-04-30 | 杭州安恒信息技术股份有限公司 | 云安全产品用户管理方法、装置、系统及可读存储介质 |
| CN112887129A (zh) * | 2021-01-15 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 一种云安全产品的规格配置方法、系统及相关装置 |
| CN113849196A (zh) * | 2021-09-22 | 2021-12-28 | 杭州安恒信息安全技术有限公司 | 一种基于多云管理平台的产品管理方法及相关组件 |
| CN113918331A (zh) * | 2021-10-11 | 2022-01-11 | 中盈优创资讯科技有限公司 | 一种云安全运营平台的实现方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330575A (zh) * | 2016-11-08 | 2017-01-11 | 上海有云信息技术有限公司 | 一种安全服务平台及安全服务部署方法 |
| CN106790455A (zh) * | 2016-12-08 | 2017-05-31 | 中国科学院软件研究所 | 一种基于混合模式的分布式云管理系统及方法 |
| CN106797312A (zh) * | 2014-07-10 | 2017-05-31 | 瑞尔创新国际公司 | 用于安全实时的云服务的系统和方法 |
| US9680833B2 (en) * | 2015-06-25 | 2017-06-13 | Imperva, Inc. | Detection of compromised unmanaged client end stations using synchronized tokens from enterprise-managed client end stations |
| CN107046577A (zh) * | 2017-04-28 | 2017-08-15 | 深信服科技股份有限公司 | 一种云混合方法以及系统 |
| CN108200022A (zh) * | 2017-12-22 | 2018-06-22 | 新华三云计算技术有限公司 | 一种云平台接入方法、装置及多云平台管理系统 |
-
2018
- 2018-08-01 CN CN201810867641.5A patent/CN109040065B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106797312A (zh) * | 2014-07-10 | 2017-05-31 | 瑞尔创新国际公司 | 用于安全实时的云服务的系统和方法 |
| US9680833B2 (en) * | 2015-06-25 | 2017-06-13 | Imperva, Inc. | Detection of compromised unmanaged client end stations using synchronized tokens from enterprise-managed client end stations |
| CN106330575A (zh) * | 2016-11-08 | 2017-01-11 | 上海有云信息技术有限公司 | 一种安全服务平台及安全服务部署方法 |
| CN106790455A (zh) * | 2016-12-08 | 2017-05-31 | 中国科学院软件研究所 | 一种基于混合模式的分布式云管理系统及方法 |
| CN107046577A (zh) * | 2017-04-28 | 2017-08-15 | 深信服科技股份有限公司 | 一种云混合方法以及系统 |
| CN108200022A (zh) * | 2017-12-22 | 2018-06-22 | 新华三云计算技术有限公司 | 一种云平台接入方法、装置及多云平台管理系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110134406A (zh) * | 2019-04-03 | 2019-08-16 | 平安科技(深圳)有限公司 | 一种智能云网络产品的部署方法及系统 |
| CN110134406B (zh) * | 2019-04-03 | 2023-12-22 | 平安科技(深圳)有限公司 | 一种智能云网络产品的部署方法及系统 |
| CN110932900B (zh) * | 2019-11-29 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 云管理平台与云安全管理平台业务对接的方法和系统 |
| CN110932900A (zh) * | 2019-11-29 | 2020-03-27 | 杭州安恒信息技术股份有限公司 | 云管理平台与云安全管理平台业务对接的方法和系统 |
| CN111147285A (zh) * | 2019-12-07 | 2020-05-12 | 杭州安恒信息技术股份有限公司 | 一种云安全产品统一管理方法 |
| CN111556047A (zh) * | 2020-04-24 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 一种私有云环境下安全服务的部署方法 |
| CN111556047B (zh) * | 2020-04-24 | 2022-07-12 | 杭州安恒信息技术股份有限公司 | 一种私有云环境下安全服务的部署方法 |
| CN112311804A (zh) * | 2020-11-06 | 2021-02-02 | 东北大学 | 一种多租户服务资源动态访问授权与认证系统及方法 |
| CN112887129A (zh) * | 2021-01-15 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 一种云安全产品的规格配置方法、系统及相关装置 |
| CN112733118A (zh) * | 2021-01-15 | 2021-04-30 | 杭州安恒信息技术股份有限公司 | 云安全产品用户管理方法、装置、系统及可读存储介质 |
| CN112733118B (zh) * | 2021-01-15 | 2024-02-13 | 杭州安恒信息技术股份有限公司 | 云安全产品用户管理方法、装置、系统及可读存储介质 |
| CN113849196A (zh) * | 2021-09-22 | 2021-12-28 | 杭州安恒信息安全技术有限公司 | 一种基于多云管理平台的产品管理方法及相关组件 |
| CN113918331A (zh) * | 2021-10-11 | 2022-01-11 | 中盈优创资讯科技有限公司 | 一种云安全运营平台的实现方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109040065B (zh) | 2021-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040065A (zh) | 一种云安全管理平台与云平台的对接方法及装置 | |
| US12095752B2 (en) | System for managing remote software applications | |
| US11290337B2 (en) | Hybrid cloud identity mapping infrastructure | |
| US10169564B2 (en) | Variable image presentation for authenticating a user | |
| CN102724647B (zh) | 一种能力访问授权方法及系统 | |
| CN108710528B (zh) | 桌面云虚拟机的访问、控制方法、装置、设备及存储介质 | |
| CN102611705B (zh) | 一种通用计算账户管理系统及其实现方法 | |
| CN109600306B (zh) | 创建会话的方法、装置和存储介质 | |
| US10467597B2 (en) | System and method of mobile check-in and cloud system thereof | |
| CN104717261B (zh) | 一种登录方法和桌面管理设备 | |
| CN105450581B (zh) | 权限控制的方法和装置 | |
| US20160307165A1 (en) | Authorizing Participant Access To A Meeting Resource | |
| EP3479611A1 (en) | Multi-factor authentication to access services | |
| CN104468550B (zh) | 一种Windows桌面的用户登录方法、设备及系统 | |
| CN110049048B (zh) | 一种政务公共服务的数据访问方法、设备及可读介质 | |
| CN107003886A (zh) | 托管目录服务对目录的应用访问的管理 | |
| CN103516514A (zh) | 账号访问权限的设定方法以及操控器 | |
| CN107067576A (zh) | 智能柜租户远程授权他人使用的方法、装置及系统 | |
| CN106357799A (zh) | 服务总线中间件系统及其调用方法 | |
| KR20150137518A (ko) | 하이브리드 클라우드기반 ict서비스시스템 및 그 방법 | |
| CN108377200A (zh) | 基于ldap与slurm的云用户管理方法及系统 | |
| CN106161361B (zh) | 一种跨域资源的访问方法及装置 | |
| CN108944794A (zh) | 智能型车用电子钥匙系统 | |
| CN106559389A (zh) | 一种服务资源发布、调用方法、装置、系统及云服务平台 | |
| CN116170234B (zh) | 一种基于虚拟账号认证的单点登录方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: No. 188, Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang Province, 310000 Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: 310000 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou Anheng Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |