CN112699411A - 操作审计信息的存储方法、装置和计算机可读存储介质 - Google Patents
操作审计信息的存储方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN112699411A CN112699411A CN202110002664.1A CN202110002664A CN112699411A CN 112699411 A CN112699411 A CN 112699411A CN 202110002664 A CN202110002664 A CN 202110002664A CN 112699411 A CN112699411 A CN 112699411A
- Authority
- CN
- China
- Prior art keywords
- file
- api
- information
- temporary
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012550 audit Methods 0.000 title claims abstract description 108
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000004590 computer program Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及一种操作审计信息的存储方法、装置和计算机可读存储介质,操作审计服务向目标租户的对象存储发送上传文件API的访问请求,在上传文件API访问请求中包含请求参数和文件内容,请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,文件内容中包含操作审计信息,第一角色对应的权限策略包括:允许操作审计服务访问上传文件API。对象存储根据请求参数进行认证,并执行上传文件API,将文件内容存储至目录信息对应的存储空间。即操作审计服务以第一角色的临时身份请求访问对象存储的上传文件API,由于第一角色对应的临时AK和临时SK的有效期较短,因此,可以提高操作审计服务对对象存储访问的安全性。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种操作审计信息的存储方法、装置和计算机可读存储介质。
背景技术
操作审计服务将所有租户的操作审计信息写入存储媒介中。然而,由于租户的数量较多,相应的产生的操作审计信息也是海量的,而存储媒介的存储空间有限,因此,现有技术中,存储媒介中针对每个租户只存储相对较短一段时间的操作审计信息,例如,存储一周或者存储一个月的操作审计信息。
如果租户需要获取较长一段时间的操作审计信息,则需要租户定期的从存储媒介中获取操作审计信息并存储至租户的对象存储中,租户从租户的对象存储中获取较长时间的操作审计信息。
然而,采用现有技术的方法,租户如果某次或者某几次没有及时的将存储媒介中的操作审计信息存储至租户的对象存储中,则导致操作审计信息存储不完整,从而,影响用户体验。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种操作审计信息的存储方法、装置和计算机可读存储介质。
本公开第一方面提供一种操作审计信息的存储方法,包括:
操作审计服务以预设周期从存储媒介中获取目标租户的操作审计信息;
所述操作审计服务向所述目标租户的对象存储发送上传文件应用程序接口(Application Programming Interface,API)访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识(AccessKey ID,AK)和临时秘密访问密钥(Secret Access Key,SK),所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API,以使所述对象存储根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
可选的,所述操作审计服务向所述目标租户的对象存储发送上传文件API访问请求之前,还包括:
所述操作审计服务以所述目标租户授权的第一角色的身份,从安全令牌服务获取所述第一角色对应的临时AK和临时SK。
可选的,所述操作审计服务以预设周期从存储媒介中获取目标租户的操作审计信息之前,还包括:
所述操作审计服务获取所述目标租户通过控制台或者软件开发工具包(SoftwareDevelopment Kit,SDK)输入的配置信息,所述配置信息中包含所述预设周期和所述目录信息。
可选的,所述配置信息中还包括:加密参数,所述加密参数中包含是否加密和加密算法标识;
所述操作审计服务向所述目标租户的对象存储发送上传文件API访问请求之前,还包括:
所述操作审计服务对所述操作审计信息采用所述加密算法标识对应的加密算法进行加密处理。
本公开第二方面提供一种操作审计信息的存储方法,包括:
对象存储接收操作审计服务发送的上传文件API访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API;
所述对象存储根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
可选的,所述对象存储根据所述请求参数进行认证,包括:
所述对象存储向网关发送认证API访问请求,所述认证API访问请求中包含所述请求参数;
所述对象存储获取所述认证API的认证结果,所述认证结果用于指示是否认证通过。
本公开第三方面提供一种操作审计信息的存储装置,包括:
获取模块,用于以预设周期从存储媒介中获取目标租户的操作审计信息;
发送模块,用于向所述目标租户的对象存储发送上传文件应用程序接口API访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API,以使所述对象存储根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
可选的,所述获取模块还用于以所述目标租户授权的第一角色的身份,从安全令牌服务获取所述第一角色对应的临时AK和临时SK。
可选的,所述获取模块还用于获取所述目标租户通过控制台或者软件开发工具包SDK输入的配置信息,所述配置信息中包含所述预设周期和所述目录信息。
可选的,所述配置信息中还包括:加密参数,所述加密参数中包含是否加密和加密算法标识;
还包括:
加密模块,用于对所述操作审计信息采用所述加密算法标识对应的加密算法进行加密处理。
本公开第四方面提供一种操作审计信息的存储装置,包括:
接收模块,用于接收操作审计服务发送的上传文件应用程序接口API访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API;
处理模块,用于根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
可选的,所述处理模块具体用于向网关发送认证API访问请求,所述认证API访问请求中包含所述请求参数;获取所述认证API的认证结果,所述认证结果用于指示是否认证通过。
本公开第五方面提供一种操作审计服务,包括:第一处理器,所述第一处理器用于执行存储于第一存储器的计算机程序,所述计算机程序被第一处理器执行时实现第一方面任一项所述的方法的步骤。
本公开第六方面提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被第一处理器执行时实现第一方面任一项所述的方法的步骤。
本公开第七方面提供一种对象存储,包括:第一处理器,所述第一处理器用于执行存储于第一存储器的计算机程序,所述计算机程序被第一处理器执行时实现第二方面所述的方法的步骤。
本公开第八方面提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被第一处理器执行时实现第二方面的方法的步骤。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
通过操作审计服务以预设周期从存储媒介中获取目标租户的操作审计信息,无需租户手动请求操作审计服务获取目标租户的操作审计信息,从而,避免因租户未及时操作导致操作审计信息存储不完整。操作审计服务向目标租户的对象存储发送上传文件API的访问请求,在上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API。对象存储根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。即操作审计服务以第一角色的临时身份请求访问对象存储的上传文件API,由于第一角色对应的临时AK和临时SK的有效期较短,因此,可以提高操作审计服务对对象存储访问的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本公开提供的一种系统架构示意图;
图2为本公开提供的一种操作审计信息的存储方法的流程示意图;
图3为本公开提供的另一种操作审计信息的存储方法的流程示意图;
图4为本公开提供的再一种操作审计信息的存储方法的流程示意图;
图5为本公开提供的控制台显示的一个配置信息输入界面示例;
图6为本公开提供的又一种操作审计信息的存储方法的流程示意图;
图7为本公开提供一种操作审计信息的存储装置的结构示意图;
图8为本公开提供一种操作审计信息的存储装置的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1为本公开提供的一种系统架构示意图,如图1所示,本实施例的系统架构包括:控制台101、网关102、操作审计服务103、存储媒介104、对象存储105和安全令牌服务106,其中,控制台101通过网关102与操作审计服务103和对象存储105分别通信连接,所述操作审计服务103和所述存储媒介104、对象存储105和安全令牌服务106分别通信连接。
下面以几个具体的实施例对本公开的技术方案进行详细描述。
图2为本公开提供的一种操作审计信息的存储方法的流程示意图,如图2所示,本实施例的方法如下:
S201:操作审计服务以预设周期从存储媒介中获取目标租户的操作审计信息。
其中,预设周期小于等于存储媒介的存储周期,例如,存储媒介中的存储周期为一个月,即存储媒介中最多存储一个月的操作审计信息,则预设周期小于等于一个月,例如,预设周期可以为一天、一周或者一个月,从而,可以保证存储媒介中的操作审计信息被清除前,操作审计服务已获取到该操作审计信息。
目标租户是指配置了操作审计信息自动投递功能的租户,也就是目标租户允许操作审计服务以预设周期从存储媒介中获取其对应的操作审计信息,并存储至其对应的对象存储中。
203:操作审计服务向目标租户的对象存储发送上传文件API访问请求。
其中,上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时AK和临时SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API。其中,临时AK和临时SK的有效期比较短暂,例如:有效期为15分钟到1小时。
可选的,API访问请求包括请求头部和请求体,其中,请求参数可以携带在上传文件API访问请求的请求头部,也可以携带在上传文件API访问请求的请求体,也可以部分携带在API访问请求的请求头部,部分携带在API访问请求的请求体,例如,临时AK和临时SK携带在请求头部,目录信息携带在请求体,对此,本公开不做限制。
第一角色为目标租户配置的一个临时身份,操作审计服务以第一角色的身份请求访问目标租户的对象存储的上传文件API。
S205:对象存储根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
可选的,对象存储可以通过如下方式根据请求参数进行认证,对象存储发现上传文件API访问请求中携带的是临时身份,所述对象存储向网关发送认证API访问请求,所述认证API访问请求中包含所述请求参数;所述网关执行所述认证API,根据临时AK和临时SK进行签名验证,根据第一角色的权限策略进行鉴权,签名验证和鉴权均通过,则认证结果为认证通过,签名验证或者鉴权未通过,则认证结果为认证未通过。对象存储获取认证结果,认证结果通过则将文件内容存储至目录信息对应的存储空间。若认证未通过,则拒绝所述上传文件API访问请求。
上传文件API将文件内容存储至目录信息对应的存储空间,其中,文件内容可以是以天为单位的文件,即,一天的操作审计信息对应一个文件,文件名可以包括:年、月、日,目录信息例如可以为:日志文件前缀-固定字段1-固定字段2-年-月,将操作审计信息的文件按照目录信息存储至月文件夹下。
本实施例,通过操作审计服务以预设周期从存储媒介中获取目标租户的操作审计信息,无需租户手动请求操作审计服务获取目标租户的操作审计信息,从而,避免因租户未及时操作导致操作审计信息存储不完整。操作审计服务向目标租户的对象存储发送上传文件API的访问请求,在上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API。对象存储根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。即操作审计服务以第一角色的临时身份请求访问对象存储的上传文件API,由于第一角色对应的临时AK和临时SK的有效期较短,因此,可以提高操作审计服务对对象存储访问的安全性。
图3为本公开提供的另一种操作审计信息的存储方法的流程示意图,图3是在图2所示实施例的基础上,进一步地,在S203之前还可以包括:
S2021:操作审计服务以所述目标租户授权的第一角色的身份,从安全令牌服务获取所述第一角色对应的临时AK和临时SK。
可选的,操作审计服务可以以目标租户授权的第一角色的身份,从安全令牌服务获取所述第一角色对应的临时AK和临时SK,例如:可以通过调用“STS API Assume Role”扮演第一角色的身份,从安全令牌服务获取所述第一角色对应的临时AK和临时SK。
其中,第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API。
可选的,安全令牌服务可以将第一角色对应的权限策略放在安全令牌中发送给操作审计服务。
本实施例,通过操作审计服务以所述目标租户授权的第一角色的身份,从安全令牌服务获取所述第一角色对应的临时AK和临时SK,从而,可以实现以第一角色的临时身份访问对象存储的上传文件API,由于第一角色对应的临时AK和临时SK的有效期较短,因此,可以提高操作审计服务对对象存储访问的安全性。
图4为本公开提供的再一种操作审计信息的存储方法的流程示意图,图4是在图1或图2所示实施例的基础上,进一步地,在S201之前还可以包括:
S200:操作审计服务获取所述目标租户通过控制台或者SDK输入的配置信息,所述配置信息中包含所述预设周期和所述目录信息。
其中,以目标租户通过控制台输入配置信息为例,如图5所示,图5为本公开提供的控制台显示的一个配置信息输入界面示例,其中,跟踪基本信息部分需要目标租户配置跟踪名称以及选择事件类型,每个租户可以配置一个或者多个跟踪,通过跟踪名称可以区分不同的存储空间,事件类型可以包括全部类型、写类型和读类型,选择了事件类型则意味着将已选的事件类型的事件投递到跟踪名称对应的存储空间。审计事件投递部分需要目标租户配置对象存储的域名以及日志文件前缀,其中,系统可以根据域名确定对象存储的合法性,通过日志文件前缀可以生成目录信息。例如:目录信息可以为:日志文件前缀-固定字段1-固定字段2-年-月,其中,固定字段1和固定字段2可以根据实际应用场景设置。目标租户还可以设置投递的预设周期(图5未示出)。
操作审计服务获取目标租户输入的配置信息,以根据配置信息执行图2或图3所示的方法实施例的技术方案。
本实施例,通过操作审计服务获取所述目标租户通过控制台或者软件开发工具包SDK输入的配置信息,所述配置信息中包含所述预设周期和所述目录信息。由于配置信息为目标租户输入的配置信息,因此,该配置过程是目标租户感知的,目标租户可以根据实际需求对配置信息进行配置或者修改,从而,提高配置的灵活性。
图6为本公开提供的又一种操作审计信息的存储方法的流程示意图,图6是在图4所示实施例的基础上,所述配置信息中还包括:加密参数,所述加密参数中包含是否加密和加密算法标识,进一步地,在S203之前还可以包括:S2022:
S2022:操作审计服务对所述操作审计信息采用所述加密算法标识对应的加密算法进行加密处理。
操作审计服务以预设周期从存储媒介获取到操作审计信息之后,可选的,可以对操作审计信息进行压缩,形成压缩文件。
可选的,如果目标租户配置了加密参数,则根据加密参数进行加密对获取到的操作审计信息采用加密算法标识对应的加密算法进行加密处理。
相应地,可以在上传文件API访问请求中携带加密算法标识,以使得上传文件API根据所述加密算法标识对所述操作审计信息进行解密。
其中,S2021和S2022的执行顺序不做限制。
本实施例,通过对所述操作审计信息采用所述加密算法标识对应的加密算法进行加密处理,提高了操作审计信息传递的安全性。
在上述实施例中,目标租户还可以通过控制台或者SDK输入的停止投递指令或者关闭投递指令,如果目标用户输入了停止投递指令或者关闭投递指令,操作审计服务则不再执行上述各方法实施例的技术方案。
图7为本公开提供一种操作审计信息的存储装置的结构示意图,如图7所示,本实施例的装置包括:获取模块701、发送模块702,其中,获取模块701,用于以预设周期从存储媒介中获取目标租户的操作审计信息;
发送模块702,用于向所述目标租户的对象存储发送上传文件应用程序接口API访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API,以使所述对象存储根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
可选的,所述获取模块701还用于以所述目标租户授权的第一角色的身份,从安全令牌服务获取所述第一角色对应的临时AK和临时SK。
可选的,所述获取模块701还用于获取所述目标租户通过控制台或者软件开发工具包SDK输入的配置信息,所述配置信息中包含所述预设周期和所述目录信息。
可选的,所述配置信息中还包括:加密参数,所述加密参数中包含是否加密和加密算法标识;
还包括:
加密模块703,用于对所述操作审计信息采用所述加密算法标识对应的加密算法进行加密处理。
本实施例的装置,对应的可用于执行图2-图6任一所述方法实施例中操作审计服务执行的步骤,其实现原理和技术效果类似,此处不再赘述。
图8为本公开提供一种操作审计信息的存储装置的结构示意图,如图8所示,本实施例的装置包括:接收模块801和处理模块802,其中,接收模块801,用于接收操作审计服务发送的上传文件应用程序接口API访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API;
处理模块802,用于根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
可选的,所述处理模块802具体用于向网关发送认证API访问请求,所述认证API访问请求中包含所述请求参数;获取所述认证API的认证结果,所述认证结果用于指示是否认证通过。
本实施例的装置,对应的可用于执行图2-图6任一所述方法实施例中对象存储执行的步骤,其实现原理和技术效果类似,此处不再赘述。
本公开还提供一种操作审计服务,包括:第一处理器,所述第一处理器用于执行存储于第一存储器的计算机程序,所述计算机程序被第一处理器执行时实现图2-图6任一项所述的方法的步骤。
本公开还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被第一处理器执行时实现图2-图6任一项所述的方法的步骤。
本公开还提供一种对象存储,包括:第一处理器,所述第一处理器用于执行存储于第一存储器的计算机程序,所述计算机程序被第一处理器执行时实现图2-图6所述的方法的步骤。
本公开还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被第一处理器执行时实现图2-图6的方法的步骤。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种操作审计信息的存储方法,其特征在于,包括:
操作审计服务以预设周期从存储媒介中获取目标租户的操作审计信息;
所述操作审计服务向所述目标租户的对象存储发送上传文件应用程序接口API访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API,以使所述对象存储根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
2.根据权利要求1所述的方法,其特征在于,所述操作审计服务向所述目标租户的对象存储发送上传文件API访问请求之前,还包括:
所述操作审计服务以所述目标租户授权的第一角色的身份,从安全令牌服务获取所述第一角色对应的临时AK和临时SK。
3.根据权利要求1或2所述的方法,其特征在于,所述操作审计服务以预设周期从存储媒介中获取目标租户的操作审计信息之前,还包括:
所述操作审计服务获取所述目标租户通过控制台或者软件开发工具包SDK输入的配置信息,所述配置信息中包含所述预设周期和所述目录信息。
4.根据权利要求3所述的方法,其特征在于,所述配置信息中还包括:加密参数,所述加密参数中包含是否加密和加密算法标识;
所述操作审计服务向所述目标租户的对象存储发送上传文件API访问请求之前,还包括:
所述操作审计服务对所述操作审计信息采用所述加密算法标识对应的加密算法进行加密处理。
5.一种操作审计信息的存储方法,其特征在于,包括:
对象存储接收操作审计服务发送的上传文件应用程序接口API访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API;
所述对象存储根据所述请求参数进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
6.根据权利要求5所述的方法,其特征在于,所述对象存储根据所述请求参数进行认证,包括:
所述对象存储向网关发送认证API访问请求,所述认证API访问请求中包含所述请求参数;
所述对象存储获取所述认证API的认证结果,所述认证结果用于指示是否认证通过。
7.一种操作审计信息的存储装置,其特征在于,包括:
获取模块,用于以预设周期从存储媒介中获取目标租户的操作审计信息;
发送模块,用于向所述目标租户的对象存储发送上传文件应用程序接口API访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API,以使所述对象存储根据所述临时AK和临时SK进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
8.一种操作审计信息的存储装置,其特征在于,包括:
接收模块,用于接收操作审计服务发送的上传文件应用程序接口API访问请求,所述上传文件API访问请求中包含请求参数和文件内容,所述请求参数中包含目录信息、第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK,所述文件内容中包含所述操作审计信息,所述第一角色对应的权限策略包括:允许所述操作审计服务访问所述上传文件API;
处理模块,用于根据所述临时AK和临时SK进行认证,并执行所述上传文件API,将所述文件内容存储至所述目录信息对应的存储空间。
9.一种操作审计服务,其特征在于,包括:第一处理器,所述第一处理器用于执行存储于第一存储器的计算机程序,所述计算机程序被第一处理器执行时实现权利要求1-4任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被第一处理器执行时实现权利要求1-4任一项所述的方法的步骤。
11.一种对象存储,其特征在于,包括:第一处理器,所述第一处理器用于执行存储于第一存储器的计算机程序,所述计算机程序被第一处理器执行时实现权利要求5或6所述的方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被第一处理器执行时实现权利要求5或6所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110002664.1A CN112699411B (zh) | 2021-01-04 | 2021-01-04 | 操作审计信息的存储方法、装置和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110002664.1A CN112699411B (zh) | 2021-01-04 | 2021-01-04 | 操作审计信息的存储方法、装置和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112699411A true CN112699411A (zh) | 2021-04-23 |
| CN112699411B CN112699411B (zh) | 2024-04-09 |
Family
ID=75514486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110002664.1A Active CN112699411B (zh) | 2021-01-04 | 2021-01-04 | 操作审计信息的存储方法、装置和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112699411B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117371030A (zh) * | 2023-09-27 | 2024-01-09 | 上海嗨普智能信息科技股份有限公司 | 一种多租户被受限地访问对象存储方法以及管理系统 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428177A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 云环境审计日志和/或安全事件的配置、生成方法及装置 |
| US20140068732A1 (en) * | 2012-09-05 | 2014-03-06 | International Business Machines Corporation | Single tenant audit view in a multi-tenant environment |
| CN105357201A (zh) * | 2015-11-12 | 2016-02-24 | 中国科学院信息工程研究所 | 一种对象云存储访问控制方法和系统 |
| CN106571951A (zh) * | 2016-10-19 | 2017-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 审计日志获取、生成、验证方法、系统及装置 |
| US9684712B1 (en) * | 2010-09-28 | 2017-06-20 | EMC IP Holding Company LLC | Analyzing tenant-specific data |
| WO2017196774A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
| CN107465694A (zh) * | 2017-09-19 | 2017-12-12 | 北京哈工大计算机网络与信息安全技术研究中心 | 基于消息队列的openstack租户操作行为审计方法及系统 |
| CN108021458A (zh) * | 2017-12-01 | 2018-05-11 | 天津麒麟信息技术有限公司 | 一种基于消息触发的多租户审计索引方法 |
| CN108337260A (zh) * | 2016-05-11 | 2018-07-27 | 甲骨文国际公司 | 多租户身份和数据安全性管理云服务 |
| US20190075115A1 (en) * | 2017-09-01 | 2019-03-07 | Atlassian Pty Ltd | Systems and methods for accessing cloud resources from a local development environment |
| CN109729147A (zh) * | 2018-11-28 | 2019-05-07 | 国云科技股份有限公司 | 一种云环境下支持多租户的审计系统及实现方法 |
| CN110737639A (zh) * | 2019-10-24 | 2020-01-31 | 深圳前海环融联易信息科技服务有限公司 | 审计日志方法、装置、计算机设备及存储介质 |
| CN111488594A (zh) * | 2020-03-03 | 2020-08-04 | 浙江省北大信息技术高等研究院 | 一种基于云服务器的权限检查方法、装置、存储介质及终端 |
-
2021
- 2021-01-04 CN CN202110002664.1A patent/CN112699411B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9684712B1 (en) * | 2010-09-28 | 2017-06-20 | EMC IP Holding Company LLC | Analyzing tenant-specific data |
| CN103428177A (zh) * | 2012-05-18 | 2013-12-04 | 中兴通讯股份有限公司 | 云环境审计日志和/或安全事件的配置、生成方法及装置 |
| US20140068732A1 (en) * | 2012-09-05 | 2014-03-06 | International Business Machines Corporation | Single tenant audit view in a multi-tenant environment |
| CN105357201A (zh) * | 2015-11-12 | 2016-02-24 | 中国科学院信息工程研究所 | 一种对象云存储访问控制方法和系统 |
| CN108337260A (zh) * | 2016-05-11 | 2018-07-27 | 甲骨文国际公司 | 多租户身份和数据安全性管理云服务 |
| WO2017196774A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
| CN106571951A (zh) * | 2016-10-19 | 2017-04-19 | 北京神州绿盟信息安全科技股份有限公司 | 审计日志获取、生成、验证方法、系统及装置 |
| US20190075115A1 (en) * | 2017-09-01 | 2019-03-07 | Atlassian Pty Ltd | Systems and methods for accessing cloud resources from a local development environment |
| CN107465694A (zh) * | 2017-09-19 | 2017-12-12 | 北京哈工大计算机网络与信息安全技术研究中心 | 基于消息队列的openstack租户操作行为审计方法及系统 |
| CN108021458A (zh) * | 2017-12-01 | 2018-05-11 | 天津麒麟信息技术有限公司 | 一种基于消息触发的多租户审计索引方法 |
| CN109729147A (zh) * | 2018-11-28 | 2019-05-07 | 国云科技股份有限公司 | 一种云环境下支持多租户的审计系统及实现方法 |
| CN110737639A (zh) * | 2019-10-24 | 2020-01-31 | 深圳前海环融联易信息科技服务有限公司 | 审计日志方法、装置、计算机设备及存储介质 |
| CN111488594A (zh) * | 2020-03-03 | 2020-08-04 | 浙江省北大信息技术高等研究院 | 一种基于云服务器的权限检查方法、装置、存储介质及终端 |
Non-Patent Citations (5)
| Title |
|---|
| 刘华楠;: "云存储中数据完整性的可信第三方审计研究及进展", 河南科技, no. 20, 25 October 2017 (2017-10-25) * |
| 张剑;陈剑锋;王强;: "云计算安全审计服务研究", 信息安全与通信保密, no. 06, 10 June 2013 (2013-06-10) * |
| 王文娟;杜学绘;王娜;单棣斌;: "云计算安全审计技术研究综述", 计算机科学, no. 07, 15 July 2017 (2017-07-15) * |
| 胡彦婷;杜江;: "云服务中的租户数据安全策略研究", 信息与电脑(理论版), no. 21, 8 November 2016 (2016-11-08) * |
| 陈鄂湘;裴俊豪;项晖;: "云计算环境下信息安全体系架构研究", 电信工程技术与标准化, no. 12, 15 December 2016 (2016-12-15) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117371030A (zh) * | 2023-09-27 | 2024-01-09 | 上海嗨普智能信息科技股份有限公司 | 一种多租户被受限地访问对象存储方法以及管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112699411B (zh) | 2024-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6725679B2 (ja) | アプリの偽変造が探知可能な2チャンネル認証代行システム及びその方法 | |
| US8938625B2 (en) | Systems and methods for securing cryptographic data using timestamps | |
| CN101364984B (zh) | 一种保证电子文件安全的方法 | |
| US9721071B2 (en) | Binding of cryptographic content using unique device characteristics with server heuristics | |
| US20130004142A1 (en) | Systems and methods for device authentication including timestamp validation | |
| CN103839011B (zh) | 涉密文件的保护方法及装置 | |
| EP1423771A1 (en) | Method to protect software against unauthorized use | |
| KR101724401B1 (ko) | 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체 | |
| MX2012000077A (es) | Metodo para controlar y monitorear de forma remota los datos producidos sobre un software de escritorio. | |
| US9734346B2 (en) | Device and method for providing security in remote digital forensic environment | |
| CN104333545A (zh) | 对云存储文件数据进行加密的方法 | |
| CN111460400A (zh) | 一种数据处理方法、装置及计算机可读存储介质 | |
| JPWO2006075355A1 (ja) | プログラマブルロジックコントローラの周辺装置 | |
| CN114925141B (zh) | 一种基于区块链的云原生自动化部署管理系统及方法 | |
| US10754979B2 (en) | Information management terminal device | |
| CN111399980A (zh) | 容器编排器的安全认证方法、装置及系统 | |
| JP2023548415A (ja) | 保護装置によって達成される対象物の保護を停止する方法 | |
| CN112699411B (zh) | 操作审计信息的存储方法、装置和计算机可读存储介质 | |
| JP5781678B1 (ja) | 電子データ利用システム、携帯端末装置、及び電子データ利用システムにおける方法 | |
| WO2015154469A1 (zh) | 数据库的操作方法及装置 | |
| JP2008217300A (ja) | 生体情報付きファイル暗号化システム及び復号化システム、並びにその方法 | |
| CN102915416A (zh) | 一种实现应用程序间虚拟物品安全共享的系统 | |
| CN107682147B (zh) | 用于智能卡芯片操作系统文件的安全管理方法及系统 | |
| US20160092886A1 (en) | Methods of authorizing a computer license | |
| CN113051532A (zh) | 软件授权方法与装置和计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |