CN111488594B

CN111488594B - 一种基于云服务器的权限检查方法、装置、存储介质及终端

Info

Publication number: CN111488594B
Application number: CN202010140849.4A
Authority: CN
Inventors: 王婷; 黄宇晴; 李克勤
Original assignee: Advanced Institute of Information Technology AIIT of Peking University; Hangzhou Weiming Information Technology Co Ltd
Current assignee: Advanced Institute of Information Technology AIIT of Peking University; Hangzhou Weiming Information Technology Co Ltd
Priority date: 2020-03-03
Filing date: 2020-03-03
Publication date: 2023-11-03
Anticipated expiration: 2040-03-03
Also published as: CN111488594A

Abstract

本发明公开了一种基于云服务器的权限检查方法、装置、存储介质及终端，所述方法包括：获取待检测云服务器所配置的委托权限集合；获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合；通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息；基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合；根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图；将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果。因此，采用本申请实施例，可以降低委托权限被误用的安全风险。

Description

一种基于云服务器的权限检查方法、装置、存储介质及终端

技术领域

本发明涉及计算机技术领域，特别涉及一种基于云服务器的权限检查方法、装置、存储介质及终端。

背景技术

云服务委托权限是指云服务通过委托授权的方式所获得访问其他云服务的权限。公有云上的各个云服务之间存在业务的交互关系，有些云服务需要调用其他云服务来进行协同工作，因此，公有云提供基于临时凭证的云服务委托功能，用户使用云服务委托可以将操作权限授权给云服务，实现对其他云服务的访问操作，如华为云的委托授权、阿里云的RAM(Resource Access Management)。通过委托授权，云服务会自动获取用户的临时访问密钥，以避免把密钥(AK/SK) 暴露在配置文件中所产生的安全风险。云服务通过委托授权的方式获得的权限，就是委托权限。

目前，对于云环境下的访问控制权限的研究主要是针对权限策略本身的语法、结构化语言的优化等方面，云上用户可通过配置委托权限的方式给云服务授权，使其拥有访问其他云服务的权限，但是，由于权限配置项繁多，用户若对系统的权限策略语法和规则不熟悉，很容易为云服务配置了过高的委托权限，导致云服务拥有了多于业务需求的不必要访问权限，从而提高了委托权限被误用的安全风险。

发明内容

本申请实施例提供了一种基于云服务器的权限检查方法、装置、存储介质及终端。为了对披露的实施例的一些方面有一个基本的理解，下面给出了简单的概括。该概括部分不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念，以此作为后面的详细说明的序言。

第一方面，本申请实施例提供了一种基于云服务器的权限检查方法，所述方法包括：

获取待检测云服务器所配置的委托权限集合；

获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合；

通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息；

基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合；

根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图；

将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果。

可选的，所述获取待检测云服务器的委托权限集合之前，还包括：

通过预设应用程序接口获取委托权限配置信息；

根据所述委托权限配置信息获取待检测云服务器的授权项名称；

基于所述授权项名称检索所述授权项的权限策略名称，生成权限策略列表；

将所述权限策略列表进行遍历，获取所述权限策略列表中各权限策略的资源类型，生成资源类型集合；

将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应的可访问资源类型集合。

可选的，所述将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果之后，还包括：

将所述检查结果发送至客户端进行显示。

第二方面，本申请实施例提供了一种基于云服务器的权限检查装置，其特征在于，所述装置包括：

第一集合获取模块，用于获取待检测云服务器所配置的委托权限集合；

第二集合获取模块，用于获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合；

信息产生模块，用于通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息；

第一集合生成模块，用于基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合；

策略图生成模块，用于根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图；

结果输出模块，用于将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果。

可选的，所述装置还包括：

信息获取模块，用于通过预设应用程序接口获取委托权限配置信息；

名称获取模块，用于根据所述委托权限配置信息获取待检测云服务器的授权项名称；

列表生成模块，用于基于所述授权项名称检索所述授权项的权限策略名称，生成权限策略列表；

第二集合生成模块，用于将所述权限策略列表进行遍历，获取所述权限策略列表中各权限策略的资源类型，生成资源类型集合；

第三集合生成模块，用于将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应的可访问资源类型集合。

可选的，所述装置还包括：

结果发送模块，用于将所述检查结果发送至客户端进行显示。

第三方面，本申请实施例提供一种计算机存储介质，所述计算机存储介质存储有多条指令，所述指令适于由处理器加载并执行上述的方法步骤。

第四方面，本申请实施例提供一种终端，可包括：处理器和存储器；其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行上述的方法步骤。

本申请实施例提供的技术方案可以包括以下有益效果：

在本申请实施例中，用户终端首先获取待检测云服务器所配置的委托权限集合，再获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合，通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息，然后基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合，根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图，最后将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果。由于本申请基于日志分析、云API接口调用、权限分析等技术手段和方法，分析云服务器访问其他云服务的委托权限配置情况，以帮助用户检查云服务器所分配的委托权限是否合理，从而降低委托权限被误用的安全风险。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1是本申请实施例提供的一种基于云服务器的权限检查方法的流程示意图；

图2是本申请实施例提供的一种策略检查模块处理流程图；

图3是本申请实施例提供的某云服务器的授权项名称示意图；

图4是本申请实施例提供的权限策略列表示意图；

图5是本申请实施例提供的权限策略Pt2资源类型示意图；

图6是本申请实施例提供的对象存储服务实例日志记录示例图；

图7A和图7B是本申请实施例提供的云审计服务日志记录示例图；

图8是本申请实施例提供的云服务器委托访问云资源的权限策略示意图；

图9是本申请实施例提供的委托权限策略获取示意图；

图10是本申请实施例提供的一种基于云服务器的权限检查的系统逻辑示意图；

图11是本申请实施例提供的另一种基于云服务器的权限检查方法的流程示意图；

图12是本申请实施例提供的一种基于云服务器的权限检查装置的结构示意图；

图13是本申请实施例提供的另一种基于云服务器的权限检查装置的结构示意图；

图14是本申请实施例提供的一种终端的结构示意图。

具体实施方式

以下描述和附图充分地示出本发明的具体实施方案，以使本领域的技术人员能够实践它们。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。此外，在本发明的描述中，除非另有说明，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

到目前为止，对于云环境下的访问控制权限的研究主要是针对权限策略本身的语法、结构化语言的优化等方面，云上用户可通过配置委托权限的方式给云服务授权，使其拥有访问其他云服务的权限，但是，由于权限配置项繁多，用户若对系统的权限策略语法和规则不熟悉，很容易为云服务配置了过高的委托权限，导致云服务拥有了多于业务需求的不必要访问权限，从而提高了委托权限被误用的安全风险。为此，本申请提供了一种基于云服务器的权限检查方法、装置、存储介质及终端，以解决上述相关技术问题中存在的问题。本申请提供的技术方案中，由于本申请基于日志分析、云API接口调用、权限分析等技术手段和方法，分析云服务器访问其他云服务的委托权限配置情况，以帮助用户检查云服务器所分配的委托权限是否合理，从而降低委托权限被误用的安全风险，下面采用示例性的实施例进行详细说明。

下面将结合附图1-附图11，对本申请实施例提供的基于云服务器的权限检查方法进行详细介绍。该方法可依赖于计算机程序实现，可运行于基于冯诺依曼体系的基于云服务器的权限检查装置上。该计算机程序可集成在应用中，也可作为独立的工具类应用运行。其中，本申请实施例中的基于云服务器的权限检查装置可以为用户终端，包括但不限于：个人电脑、平板电脑、手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备等。在不同的网络中用户终端可以叫做不同的名称，例如：用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置、蜂窝电话、无绳电话、个人数字处理(personaldigital assistant，PDA)、5G网络或未来演进网络中的终端设备等。

请参见图1，为本申请实施例提供了一种基于云服务器的权限检查方法的流程示意图。如图1所示，本申请实施例的所述方法可以包括以下步骤：

S101，获取待检测云服务器所配置的委托权限集合；

其中，云服务器是由CPU、内存、操作系统、云硬盘组成的最基础的计算组件。云服务器创建成功后，用户可以像使用自己的本地PC或物理服务器一样，在云上使用服务器。

在本申请实施例中，用户终端首先通过预设API接口(应用程序接口)获取委托权限配置信息，然后根据委托权限配置信息获取待检测云服务器的授权项名称，再基于授权项名称检索授权项的权限策略名称，生成权限策略列表，然后将权限策略列表进行遍历，获取权限策略列表中各权限策略的资源类型，生成资源类型集合，最后将资源类型集合进行合并生成待检测云服务器所委托权限对应的可访问资源类型集合。

S102，获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合；

在一种可能的实现方式中，例如图2所示，用户终端首先读取委托权限配置信息，再获取待测云服务器授权项名称，然后检索权限策略名称，获取权限策略列表P，再遍历权限策略列表，获取每个权限策略列表对应的资源类型集合Pti，最后合并资源类型集合，得到待测云服务器被委托权限的可访问资源类型集合T。

具体的，用户终端首先调用云平台提供的API接口读取委托权限配置信息，查询待测云服务器的授权项名称，再根据授权项名称，检索授权项的权限策略名称，形成权限策略列表P＝[P1,P2,…,Pn](n>＝1,n为整数)，然后依次遍历权限策略列表，读取每个权限策略的内容，以Pi(1＝<i<＝n,i为整数)为例，提取权限策略Pi中的资源类型，形成权限策略Pi的资源类型集合 Pti＝{Pti1,Pti2,...,Ptim}(1＝<i<＝n,i为整数；m>＝1,m为整数)，最后依次获取并计算所有资源类型集合的并集，剔除重复项，即为待测云服务器被委托授权的可访问资源类型集合T＝(Pt1∪Pt2∪...∪Ptn)。

例如，以华为云为例，例如图3所示，某云服务器的授权项名称为test_ecs，查询该委托授权项的权限策略名称，例如图4所示，得到权限策略列表的项包括”obs_read_for_custom”,”OBS_Operator”，即权限策略列表为 P＝[”obs_read_for_custom”,”OBS_Operator”]。依次遍历权限策略列表P，提取每个权限策略中的资源类型，以权限策略Pt2为例，提取其资源类型集合为Pt2，剔除Pt2中的重复项，得到Pt2＝{“obs:bucket”,”obs:object”}，例如图5所示。获取并计算所有资源类型集合的并集，剔除重复项，即为待测云服务器被委托授权的可访问资源类型集合T＝Pt1∪Pt2。

S103，通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息；

在本申请实施例中，日志采集主要功能是配置日志采集引擎，获取云服务器实际业务产生的日志信息，并从中提取与委托权限相关的日志记录。该功能的具体流程如下：

①读取待测云服务器的可访问资源类型集合T的子项值，比如读取T的子项值为”obs:bucket”；查询并匹配“云服务类型与关键字对应列表”的“云服务类型关键字”项，如果匹配成功，则获取云服务类型。通过字符串匹配云服务类型的关键字“obs”，确定对象存储服务是可访问的云服务类型。依次遍历可访问资源集合T，执行该步骤，直至获取所有的可访问云服务类型，形成可访问云服务列表。

云服务类型与关键字对应列表的示例如下。

表1云服务与关键字对应列表示例

②根据可访问服务类型列表，依次调用每个云服务类型对应的API接口，获取每个云服务类型对应的云服务实例名称列表。比如，可访问服务类型列表包括对象存储服务、文件服务，则分别调用对象存储服务、文件服务的API接口，获取对象存储服务、文件服务对应的所有云服务实例名称列表。

表2云服务实例名称列表示例

③遍历云服务实例名称列表，为对应的云服务实例配置相应的日志采集引擎，包括设置日志采集的配置文件、配置日志采集规则、启动采集引擎，以采集云服务实例的日志信息。若配置成功，则设置日志采集引擎状态为Ture，若配置失败，则设置日志采集引擎状态为False。其中，云审计日志采集引擎是通过配置追踪器的方式，采集多个云服务实例的日志信息。对象存储日志采集引擎是通过配置对象存储服务的日志采集代理，收集单个对象存储服务实例的日志信息。

④依次获取每一类云服务实例的日志文件，检索云服务器委托的日志记录，即为云服务器委托相关的日志记录。比如，华为云的云服务委托的关键字符串是“op_svc_ecs”，检索“op_svc_ecs”，若匹配成功，则该条日志记录即为云服务器委托相关的日志记录。

⑤进一步地，以云服务器的“委托名称”值作为关键字设置日志信息过滤规则，若日志记录中检索到“委托名称”值，则提取该条日志记录。比如，“委托名称”值为“test_ecs”，则检索包含“test_ecs”的日志记录。

⑥对上一步获取到的日志记录内容进行预处理，提取的关键字段内容，至少包括源地址、访问时间、操作名称、访问资源名称。

比如，通过对象存储服务日志采集引擎，获取对象存储服务实例test---zm 的日志信息，通过检索“委托名称”的值“test_ecs”，获取到相应的日志记录，并提取关键字段内容，包括源地址、访问时间、操作名称、访问资源名称。例如图6所示，图6是对象存储服务实例日志记录示例。

比如，通过云审计服务日志采集引擎，调用API接口获取资产的日志信息，获取test---zm的日志信息。例如图7A和7B所示的云审计服务日志记录示例。

⑦根据云服务类型进行日志归类，将提取的内容存储到委托访问日志数据库中。源地址是指访问云服务实例的云服务器实例的地址信息，源地址是用于识别发起访问的云服务器的身份信息；访问时间是指云服务器访问操作发起的时间；操作名称是指发起的访问操作的类型，比如GET.OBJECT是指获取一个对象；访问资源名称是指访问的云服务资源的名称，以对象存储服务为例，日志信息中解析出的test---zm是桶名称，123.jpeg是对象名称，则访问资源名称为test---zm:123.jpeg。

表3委托访问日志数据库表示例

S104，基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合；

在本申请实施例中，基于步骤S103可得到采集的日志信息，在得到日志信息后，通过分析日志信息得到的实际业务所需权限。

S105，根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图；

在本申请实施例中，多个云服务器允许共用一个委托权限，云服务器被授予委托权限后，具备了访问其他云服务的权限，在实际的业务中会访问对象存储服务、文件服务等资源。云服务器通过委托权限访问其他云服务资源的权限策略图的逻辑结构例如图8所示。

在一种可行的实现方式中，构建生成权限策略图实施步骤如下：

①读取委托访问日志数据库，按照源地址进行分类，并将源地址对应的云服务器作为[1]级节点构建权限策略图。

②依次遍历并取出[1]级节点对应的数据库表项。比如提取源地址ECS1对应的数据库表项为Table1，则Table1中记录的是与ECS1对应的委托访问相关的数据信息。

③将取出的数据库表项按照云服务类型进行分类，并将每一类云服务作为权限策略图的[2]级节点。

④依次遍历并取出[2]级节点对应的数据库表项。

⑤将取出的数据库表项按照云服务实例进行分类，并将每一个实例作为权限策略图的[3]级节点。

⑥依次遍历并取出[3]级节点对应的数据库表项。

⑦从数据库表项中提取出<资源名称，权限>二元组作为[4]级节点，连接到对应的[3]级父节点之下，其中，这里的资源名称为“访问资源名称”，权限为 “操作名称”。

⑧检查[3]级节点数据库表项是否遍历完成，若未遍历全部云服务器类型，则跳转到第⑥步。

⑨检查[2]级节点数据库表项是否遍历完成，若未遍历全部云服务器类型，则跳转到第④步。

⑩检查委托访问日志数据库[1]级节点云服务器是否遍历完成，若未遍历全部的[1]级节点，则跳转到第②步。

执行完上述步骤后，待测委托权限相关的云服务器的权限策略图构建完成，该权限策略图即为云服务器实际维持正常业务所需的权限策略。

S106，将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果。

在一种可行的实现方式中，申请过多的委托权限有可能被恶意程序使用，存在安全风险，结合权限策略树的结果，与委托权限分配的权限策略进行对比分析，用户可对申请的不合理权限进行修改和调整。

进一步地，具体对比检查分析流程如下，①读取[1]级节点的元素，若[1]级节点数量大于1，则说明多个云服务器与待测云服务器采用了同一个委托权限，若在后续分析过程中出检查出权限分配不合理情况，应重新为云服务器分配新的委托策略，不可在原有委托权限上直接修改，以免影响其他云服务器的正常业务；若[1]级节点数量为1，则说明只有待测云服务器采用了该委托权限，则可以在原有委托权限上直接修改和调整权限策略。②获取委托权限策略，依次取出权限策略中所有的云服务类型，构成云服务类型集合，假设云服务类型集合为B。查询委托访问日志数据库中的日志采集引擎项的取值，将取值为False的云服务类型从集合B中移出，即B＝(B-日志采集引擎取值为False的云服务类型)，例如图9所示。③取出权限策略图的[2]级节点云服务的集合，假设[2]级节点云服务集合为C，则集合(B-C)的结果即为云服务器过量申请却未使用的云服务，若(B-C)为空，则未申请过量的云服务。④依次遍历权限策略图的[3]级节点，结合用户实际业务需求配置权限粒度，检查委托权限配置是否合理。比如，若[3]级节点中仅包含部分云服务实例，则表明维持正常业务仅需访问该部分的云服务实例，对比分析委托权限，若委托权限所配置可访问云服务的范畴大于[3]级节点，则可予以修改和调整，仅配置[3]级节点出现的云服务实例即可，若配置的可访问服务过多容易引入安全风险。⑤依次遍历权限策略图的[3]级节点、[4]级节点。读取[4]级节点中的权限信息，形成对应的 [3]级节点的权限信息集合D，检查委托权限中为对应的云服务所配置的权限集合E，若所配置的委托权限集合E大于权限集合D，则集合(E-D)的结果即为对应的云服务过量分配的委托权限。用户可结合业务需求，对委托权限策略进行修改和调整。⑥结合[4]级节点的<资源名称，权限>的二元组的分析结果，用户可配置更加细粒度的委托权限，比如，若在实际业务中仅需要对某几个资源进行访问，则仅针对维持业务所必需的云服务资源配置访问权限。

例如图10所示，图10为一种基于云服务器的权限检查的系统逻辑流程图，当对待检测云上资产进行分析时，日志采集模块中的基本配置单元进行配置、在通过日志采集引擎采集日志输入分析对比模块。策略检查模块通过配置信息采集进行委托权限策略分析，将分析结果输入日志采集模块和分析对比模块。最后日志分析对比模块进行日志信息关联分析生成权限策略图，然后生成维持正常业务所需权限集合，最后进行对比分析，分析后将分析结果输出。

请参见图11，为本申请实施例提供的一种基于云服务器的权限检查的流程示意图。本实施例以基于云服务器的权限检查应用于用户终端中来举例说明。该基于云服务器的权限检查可以包括以下步骤：

S201，通过预设应用程序接口获取委托权限配置信息；

S202，根据所述委托权限配置信息获取待检测云服务器的授权项名称；

S203，基于所述授权项名称检索所述授权项的权限策略名称，生成权限策略列表；

S204，将所述权限策略列表进行遍历，获取所述权限策略列表中各权限策略的资源类型，生成资源类型集合；

S205，将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应的可访问资源类型集合。

S206，获取待检测云服务器所配置的委托权限集合；

S207，获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合；

S208，通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息；

S209，基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合；

S210，根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图；

S211，将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果。

下述为本发明系统实施例，可以用于执行本发明方法实施例。对于本发明系统实施例中未披露的细节，请参照本发明方法实施例。

请参见图10，其示出了本发明一个示例性实施例提供的基于云服务器的权限检查系统的逻辑示意图。该基于云服务器的权限检查系统可以通过软件、硬件或者两者的结合实现成为终端的全部或一部分。该系统包括策略检查模块、日志采集模块和分析对比模块。

策略检查模块，用于通过预设应用程序接口读取委托权限配置信息，根据所述委托权限配置信息获取待检测云服务器的授权项名称，基于所述授权项名称检索所述授权项的权限策略名称，生成权限策略列表；将所述权限策略列表进行遍历，获取所述权限策略列表中各权限策略的资源类型，生成资源类型集合；将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应的可访问资源类型集合。

日志采集模块，用于通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息，在所述日志信息中收集云服务器实际业务产生的日志信息，并从中提取与委托权限相关的日志记录。

分析对比模块，用于根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图，将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果。

下述为本发明装置实施例，可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节，请参照本发明方法实施例。

请参见图12，其示出了本发明一个示例性实施例提供的基于云服务器的权限检查装置的结构示意图。该基于云服务器的权限检查装置可以通过软件、硬件或者两者的结合实现成为终端的全部或一部分。该装置1包括第一集合获取模块10、第二集合获取模块20、信息产生模块30、第一集合生成模块40、策略图生成模块50、结果输出模块60。

第一集合获取模块10，用于获取待检测云服务器所配置的委托权限集合；

第二集合获取模块20，用于获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合；

信息产生模块30，用于通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息；

第一集合生成模块40，用于基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合；

策略图生成模块50，用于根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图；

结果输出模块60，用于将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果。

可选的，如图13所示，所述装置1还包括：

信息获取模块70，用于通过预设应用程序接口获取委托权限配置信息；

名称获取模块80，用于根据所述委托权限配置信息获取待检测云服务器的授权项名称；

列表生成模块90，用于基于所述授权项名称检索所述授权项的权限策略名称，生成权限策略列表；

第二集合生成模块100，用于将所述权限策略列表进行遍历，获取所述权限策略列表中各权限策略的资源类型，生成资源类型集合；

第三集合生成模块110，用于将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应的可访问资源类型集合；

结果发送模块120，用于将所述检查结果发送至客户端进行显示。

需要说明的是，上述实施例提供的基于云服务器的权限检查装置在执行基于云服务器的权限检查方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的基于云服务器的权限检查装置与基于云服务器的权限检查方法实施例属于同一构思，其体现实现过程详见方法实施例，这里不再赘述。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

本发明还提供一种计算机可读介质，其上存储有程序指令，该程序指令被处理器执行时实现上述各个方法实施例提供的基于云服务器的权限检查方法。本发明还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各个方法实施例所述的基于云服务器的权限检查方法。

请参见图14，为本申请实施例提供了一种终端的结构示意图。如图14所示，所述终端1000可以包括：至少一个处理器1001，至少一个网络接口1004，用户接口1003，存储器1005，至少一个通信总线1002。

其中，通信总线1002用于实现这些组件之间的连接通信。

其中，用户接口1003可以包括显示屏(Display)、摄像头(Camera)，可选用户接口1003还可以包括标准的有线接口、无线接口。

其中，网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI 接口)。

其中，处理器1001可以包括一个或者多个处理核心。处理器1001利用各种借口和线路连接整个电子设备1000内的各个部分，通过运行或执行存储在存储器1005内的指令、程序、代码集或指令集，以及调用存储在存储器1005内的数据，执行电子设备1000的各种功能和处理数据。可选的，处理器1001可以采用数字信号处理(Digital SignalProcessing，DSP)、现场可编程门阵列 (Field-Programmable Gate Array，FPGA)、可编程逻辑阵列(Programmable Logic Array，PLA)中的至少一种硬件形式来实现。处理器1001可集成中央处理器(Central Processing Unit，CPU)、图像处理器(Graphics ProcessingUnit， GPU)和调制解调器等中的一种或几种的组合。其中，CPU主要处理操作系统、用户界面和应用程序等；GPU用于负责显示屏所需要显示的内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器1001中，单独通过一块芯片进行实现。

其中，存储器1005可以包括随机存储器(Random Access Memory，RAM)，也可以包括只读存储器(Read-Only Memory)。可选的，该存储器1005包括非瞬时性计算机可读介质(non-transitory computer-readable storage medium)。存储器1005可用于存储指令、程序、代码、代码集或指令集。存储器1005可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等；存储数据区可存储上面各个方法实施例中涉及到的数据等。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图14所示，作为一种计算机存储介质的存储器 1005中可以包括操作系统、网络通信模块、用户接口模块以及基于云服务器的权限检查应用程序。

在图14所示的终端1000中，用户接口1003主要用于为用户提供输入的接口，获取用户输入的数据；而处理器1001可以用于调用存储器1005中存储的基于云服务器的权限检查应用程序，并具体执行以下操作：

获取待检测云服务器所配置的委托权限集合；

在一个实施例中，所述处理器1001在执行所述获取待检测云服务器的委托权限集合之前时，还执行以下操作：

通过预设应用程序接口获取委托权限配置信息；

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体或随机存储记忆体等。

以上所揭露的仅为本申请较佳实施例而已，当然不能以此来限定本申请之权利范围，因此依本申请权利要求所作的等同变化，仍属本申请所涵盖的范围。

Claims

1.一种基于云服务器的权限检查方法，其特征在于，所述方法包括：

获取待检测云服务器所配置的委托权限集合；

获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合；其中，

所述获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合，包括：

通过调用云服务器提供的API接口读取委托权限配置信息，查询待检测云服务器的授权项名称，根据授权项名称，检索授权项的权限策略名称，形成权限策略列表P=[P1,P2,…,Pn]，n>=1,n为整数，依次遍历权限策略列表，读取每个权限策略的内容，以提取权限策略Pi中的资源类型，形成权限策略Pi的资源类型集合Pti={Pti1,Pti2,...,Ptim}（1=<i<=n,i为整数；m>=1,m为整数），依次获取并计算所有资源类型集合的并集，剔除重复项，得到待测云服务器被委托授权的可访问资源类型集合T=(Pt1∪Pt2∪... ∪Ptn)；

通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息；其中，

按照以下步骤生成日志采集引擎，包括：

读取待检测云服务器的可访问资源类型集合T的子项值，子项值为”obs:bucket”；通过字符串匹配云服务类型的关键字obs，确定对象存储服务是可访问的云服务类型；依次遍历可访问资源类型集合T，直至获取所有的可访问云服务类型，形成可访问云服务列表；

根据可访问服务类型列表，依次调用每个云服务类型对应的API接口，获取每个云服务类型对应的云服务实例名称列表；

遍历云服务实例名称列表，为对应的云服务实例配置相应的日志采集引擎，包括设置日志采集的配置文件、配置日志采集规则、启动采集引擎，以采集云服务实例的日志信息；

其中，根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图，包括：

读取委托访问日志数据库，按照源地址进行分类，并将源地址对应的云服务器作为1级节点构建权限策略图；

依次遍历并取出1级节点对应的数据库表项；

将取出的数据库表项按照云服务类型进行分类，并将每一类云服务作为权限策略图的2级节点；

依次遍历并取出2级节点对应的数据库表项；

将取出的数据库表项按照云服务实例进行分类，并将每一个实例作为权限策略图的3级节点；

依次遍历并取出3级节点对应的数据库表项；

从数据库表项中提取出<资源名称，权限>二元组作为4级节点，连接到对应的3级父节点之下；资源名称为资源名称为访问资源名称，权限为操作名称；

在3级节点对应的数据库表项、2级节点对应的数据库表项以及1级节点对应的数据库表项全部遍历结束时，待测委托权限相关的云服务器的权限策略图构建完成；

2.根据权利要求1所述的方法，其特征在于，所述获取待检测云服务器的委托权限集合之前，还包括：

通过预设应用程序接口获取委托权限配置信息；

3.根据权利要求1所述的方法，其特征在于，所述将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果之后，还包括：

将所述检查结果发送至客户端进行显示。

4.一种基于云服务器的权限检查系统，其特征在于，所述系统包括策略检查模块、日志采集模块和分析对比模块；

策略检查模块，用于通过预设应用程序接口读取委托权限配置信息，根据所述委托权限配置信息获取待检测云服务器的授权项名称，基于所述授权项名称检索所述授权项的权限策略名称，生成权限策略列表；将所述权限策略列表进行遍历，获取所述权限策略列表中各权限策略的资源类型，生成资源类型集合；将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应的可访问资源类型集合；

日志采集模块，用于通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息，在所述日志信息中收集云服务器实际业务产生的日志信息，并从中提取与委托权限相关的日志记录；

其中，按照以下步骤生成日志采集引擎，包括：

分析对比模块，用于根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图，将所述权限策略图和所述委托权限集合进行对比检查，输出检查结果；其中，

依次遍历并取出1级节点对应的数据库表项；

依次遍历并取出2级节点对应的数据库表项；

依次遍历并取出3级节点对应的数据库表项；

在3级节点对应的数据库表项、2级节点对应的数据库表项以及1级节点对应的数据库表项全部遍历结束时，待测委托权限相关的云服务器的权限策略图构建完成。

5.一种基于云服务器的权限检查装置，其特征在于，所述装置包括：

第二集合获取模块，用于获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合；其中，

通过调用云服务器提供的API接口读取委托权限配置信息，查询待检测云服务器的授权项名称，根据授权项名称，检索授权项的权限策略名称，形成权限策略列表P=[P1,P2,…,Pn]，n>=1,n为整数，依次遍历权限策略列表，读取每个权限策略的内容，以提取权限策略Pi中的资源类型，形成权限策略Pi的资源类型集合Pti={Pti1,Pti2,...,Ptim}，1=<i<=n,i为整数，m>=1,m为整数，依次获取并计算所有资源类型集合的并集，剔除重复项，得到待测云服务器被委托授权的可访问资源类型集合T=(Pt1∪Pt2∪... ∪Ptn)；

信息产生模块，用于通过配置日志采集引擎，获取所述待检测云服务器的实际业务产生的日志信息；其中，

按照以下步骤生成日志采集引擎，包括：

策略图生成模块，用于根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图；其中，根据所述可访问资源类型集合对应的逻辑结构，将所述实际业务对应的权限集合生成权限策略图，包括：

依次遍历并取出1级节点对应的数据库表项；

依次遍历并取出2级节点对应的数据库表项；

依次遍历并取出3级节点对应的数据库表项；

6.根据权利要求5所述的装置，其特征在于，所述装置还包括：

7.根据权利要求5所述的装置，其特征在于，所述装置还包括：

8.一种计算机存储介质，其特征在于，所述计算机存储介质存储有多条指令，所述指令适于由处理器加载并执行如权利要求1~3任意一项的方法步骤。

9.一种终端，其特征在于，包括：处理器和存储器；其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行如权利要求1~3任意一项的方法步骤。