CN117729036A - 一种云资源访问方法、系统、设备及介质 - Google Patents

一种云资源访问方法、系统、设备及介质 Download PDF

Info

Publication number
CN117729036A
CN117729036A CN202311781165.2A CN202311781165A CN117729036A CN 117729036 A CN117729036 A CN 117729036A CN 202311781165 A CN202311781165 A CN 202311781165A CN 117729036 A CN117729036 A CN 117729036A
Authority
CN
China
Prior art keywords
security level
access
cloud resource
login
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311781165.2A
Other languages
English (en)
Inventor
连振明
张开心
江志威
林财龙
邹国栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Eshore Technology Co Ltd
Original Assignee
Guangdong Eshore Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Eshore Technology Co Ltd filed Critical Guangdong Eshore Technology Co Ltd
Priority to CN202311781165.2A priority Critical patent/CN117729036A/zh
Publication of CN117729036A publication Critical patent/CN117729036A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明提出一种云资源访问方法、系统、设备及介质,方法包括:获取访问请求,确定访问请求中的IP地址,并识别IP地址对应的当前网络环境,确定当前网络环境的目标安全级别;获取各类安全级别的服务器的负载均衡系数,根据服务器的安全级别以及负载均衡系数,确定与目标安全级别相对应的目标服务器;其中,不同安全级别的服务器对应的登录条件以及访问权限不相同;获取目标服务器反馈的登录信息,对登录信息进行身份校验,并判断登录信息是否满足目标服务器对应的登录条件;在登录信息满足登录条件且身份校验成功的情况下,允许执行与访问权限相匹配的云资源访问操作,提高云资源访问的安全性和灵活性。

Description

一种云资源访问方法、系统、设备及介质
技术领域
本发明涉及云平台管理领域,尤其涉及一种云资源访问方法、系统、设备及介质。
背景技术
用户在互联网场景下输入帐号、密码后安全登录到云管理平台,能使用平台赋予的所有操作权限、访问所有功能页面、管理所有的云资源池对象,这是一般云管理平台的正常业务场景。
当前面向互联网的应用平台比较常见的验证登录方式包括:账号密码登录、账号密码+短信验证码登录、账号密码+Google身份验证码登录等,每一种验证登录方式都面向特定的应用场景,也有其优缺点。帐号密码登录方式是互联网初期最常用的验证方式,不过由于黑客的存在(他们可以用特定程序恶意破解截获用户帐号和密码),这种单纯依靠帐号密码的登录方式在复杂的互联网环境下安全性较低。
不过在授信的网络环境,比如通过VPN登录的环境下,帐号密码的登录方式仍有其一席之地;为了增加安全性,后来又发展出增加动态验证码的安全手段,比如在帐号密码基础上增加短信验证码,又或者在帐号密码基础上增加Google身份验证码,无论是短信验证码还是Google身份验证码都属于一次性密码,黑客很难获取,这就大大增强了互联网环境下用户登录应用平台的安全性,但这样一来用户登录应用平台就变得繁琐了。
可见,基于网络环境登录安全级别是不同的,登录方式也不同。但是现有的云管理平台通常只提供一种登录方法,无法按照网络环境登录安全级别的不同提供不同的登录方式。
发明内容
本发明实施例提供一种云资源访问方法,以解决相关技术存在的问题,技术方案如下:
第一方面,本发明实施例提供了一种云资源访问方法,包括:
获取访问请求,确定访问请求中的IP地址,并识别得到IP地址对应的当前网络环境,根据当前网络环境确定当前网络环境的目标安全级别;
获取各类安全级别的服务器的负载均衡系数,根据服务器的安全级别以及各负载均衡系数,确定与目标安全级别相对应的目标服务器;其中,不同安全级别的服务器对应的登录条件以及访问权限不相同;
获取目标服务器反馈的登录信息,对登录信息进行身份校验,并判断登录信息是否满足目标服务器对应的登录条件;在登录信息满足登录条件且身份校验成功的情况下,生成操作权限,操作权限用于允许执行与访问权限相匹配的云资源访问操作。
在一种实施方式中,IP地址的确定方法为:
解析访问请求,得到访问请求中的HTTP请求头;
解析HTTP请求头,得到头部字段;
读取存储在头部字段中的IP地址信息,得到IP地址。
在一种实施方式中,当前网络环境为公网环境、授信环境或办公环境;当前网络环境的目标安全级别的确定方法为:
在IP地址对应的当前网络环境为公网环境的情况下,对应的目标安全级别为一级安全级别;
在IP地址对应的当前网络环境为授信环境的情况下,对应的目标安全级别为二级安全级别;
在IP地址对应的当前网络环境为办公环境的情况下,对应的目标安全级别为三级安全级别。
在一种实施方式中,判断登录信息是否满足目标服务器对应的登录条件的方法为:
在目标服务器对应的目标安全级别为一级安全级别或三级安全级别的情况下,判断登录信息中是否包含账号信息、固定密码以及一次性密码,若是,则满足登录条件;
在目标服务器对应的目标安全级别为二级安全级别的情况下,判断登录信息中是否存在账号信息以及固定密码,若是,则满足登录条件。
在一种实施方式中,访问权限包括菜单页面访问权限、功能操作访问权限以及云资源访问权限。
在一种实施方式中,目标服务器的确定方法为:
获取每类安全级别的服务端的访问频次,根据访问频次计算获得负载均衡系数;
获取各服务器对应的安全级别,根据安全级别获得各服务器对应的安全级别系数;
通过散列算法对负载均衡系数以及安全级别系数进行计算,获得散列值;
根据散列值,确定与目标安全级别相对应的目标服务器。
在一种实施方式中,还包括:
根据目标安全级别生成配置请求并将配置请求下发至目标服务器,配置请求用于控制目标服务器根据配置请求展示目标安全级别对应的访问视图,并通过访问视图录入登录信息以及访问权限;访问视图包括登录视图、页面访问视图、功能操作权限访问视图以及云资源访问视图。
第二方面,本发明实施例提供了一种云资源访问系统,执行如上述的云资源访问方法。
第三方面,本发明实施例提供了一种电子设备,该装置包括:存储器和处理器。其中,该该存储器和该处理器通过内部连接通路互相通信,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,并且当该处理器执行该存储器存储的指令时,使得该处理器执行上述各方面任一种实施方式中的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,计算机可读存储介质存储计算机程序,当计算机程序在计算机上运行时,上述各方面任一种实施方式中的方法被执行。
上述技术方案中的优点或有益效果至少包括:
本发明通过用户IP地址自动匹配其登录方式、功能权限与云资源的访问范围,在输入的登录信息满足登录条件且身份校验成功的情况下,才允许执行与访问权限相匹配的云资源访问操作,达到网络信息安全的二次分级处理。
上述概述仅仅是为了说明书的目的,并不意图以任何方式进行限制。除上述描述的示意性的方面、实施方式和特征之外,通过参考附图和以下的详细描述,本发明进一步的方面、实施方式和特征将会是容易明白的。
附图说明
在附图中,除非另外规定,否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解,这些附图仅描绘了根据本发明公开的一些实施方式,而不应将其视为是对本发明范围的限制。
图1为本发明基于安全级别视图的管理矩阵示意图;
图2为本发明云资源访问方法的流程示意图;
图3为本发明电子设备的结构框图。
具体实施方式
在下文中,仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样,在不脱离本发明的精神或范围的情况下,可通过各种不同方式修改所描述的实施例。因此,附图和描述被认为本质上是示例性的而非限制性的。
实施例一
目前,用户登录云管理平台一般是基于最高安全级别原则,即无论当前的网络环境是否安全,都应按最高级别的安全要求进行访问;但是,用户登录后用户能使用的操作权限和访问功能页面是一定的,访问到的云资源对象都是一定的,即都是赋予该用户的权限范围内所能访问到的资源。而传统的设计在某些业务场景下与用户的期望有距离。
一般情况下,用户可以在任何地方登录到云管理平台,管理他们自己的云资源服务。用户可以在公网环境进行登录,也可以通过VPN的方式在授信安全环境下进行登录,又或者是在办公室环境下进行登录。为了避免发生安全风险,在不同的网络环境下登录,所要求的登录安全级别理应是不同的,能够使用的操作权限、访问页面,和可访问的云资源对象也因网络环境的安全级别也会有所不同。例如,在公网环境下访问,用户需要输入帐号、密码以及一次性密码(一次性密码可以是短信验证码,又或者是Google身份验证码等),期望通过这个登录组合方式加强网络安全性,避免黑客的非法入侵;在授信环境等已授信的网络环境,用户仅需输入帐号、密码即可登录到云管理平台,而无需输入一次性密码。也就是说,同一个用户在不同的网络环境访问云管理平台门户,用户所期望的(或者说设计所应设定的)登录安全级别是不同的。但是,传统的云管理平台只有固定的登录方式,无法实现该效果。
同一个用户,在不同的网络环境登录平台,用户所能操作的功能、访问的页面、访问的云资源对象也应不同。在授信环境(VPN)、办公场所,用户登录后应该能够访问赋予该用户的所有权限、访问赋予他的所有页面、管理他的所有云资源,而在公共网络场所登录,周围环境被认为是不可信的,因此某些功能、某些页面的访问权限就应受限,云资源对象访问也应受限,这样能进一步避免可能发生的安全风险。
基于以上原因,需要对传统的云管理平台进行优化,提供基于安全级别视图的管理矩阵,如图1所示,该管理矩阵由反向代理服务器、安全级别视图配置服务器以及基于不同安全级别的WEB服务器资源池构成。
为了使用户在不同的网络环境下登录到特定安全级别的WEB服务器,通过该管理矩阵,自动适配相应的安全登录方式;其次,用户登录的WEB服务器根据它启动时设置了与其安全级别适配的页面访问、操作权限、云资源对象访问等受限范围(是否屏蔽某些权限、页面、云资源对象等访问),用户进行相应的访问;另外,对应WEB服务器资源池中每个WEB服务器的登录方式、能访问的页面、操作权限、云资源等安全级别设定都统一通过安全级别视图配置服务器进行配置,WEB服务器启动时获取并完成配置处理,从而简化了WEB服务器安全级别设置。
其中,反向代理服务器与WEB服务器相连,用于从WEB服务器中获取访问请求,并将访问请求传递到安全级别视图配置服务器,然后将安全级别视图配置服务器的处理结果转发回WEB服务器,实现消息传输。
可以通过Nginx、HAProxy等软件搭建反向代理服务器,由于反向代理服务器是不支持直接将用户的IP地址发送给安全级别视图配置服务器的,因此需要通过HTTP请求头来传递额外的IP地址。
具体地,在反向代理服务器的配置中,设置一个自定义的HTTP请求头字段来存储用户的IP地址,将该字段命名为"X-Forwarded-For";反向代理服务器在接收到用户通过WEB服务器发出的访问请求后,将用户的IP地址保存在自定义的HTTP请求头字段中。使用反向代理服务器的配置文件,对访问请求进行修改并添加相应的请求头字段,待反向代理服务器与安全级别视图配置服务器进程之间建立通信后,反向代理服务器即可将访问请求传递给该安全级别视图配置服务器进程,访问请求中应包含自定义HTTP请求头字段,其中包含了用户的IP地址信息。
安全级别视图配置服务进程接收到访问请求后,从自定义HTTP请求头字段中提取用户的IP地址信息,根据该IP地址判断请求来自于哪个网络区域,属于哪个安全级别;根据每类安全级别的WEB服务端访问频次,计算每类安全级别的WEB服务器的负载均衡系数,根据负载均衡系数以及IP地址对应的安全级别系数进行散列值计算以获取散列值。
安全级别视图配置服务进程计算完散列值后,将散列值结果作为响应发送给反向代理服务器;反向服务器接收到散列值响应后,根据散列值结果,依照负载均衡原则从WEB服务器资源池中选择符合IP地址对应的安全级别的WEB服务器作为目标服务器,并把访问请求发送到目标服务器中。用户在不同网络环境下访问不同的目标服务器,并在目标服务器所提供的访问视图中进行登录操作以及访问权限设置。根据用户IP地址自动匹配其登录方式、功能权限与云资源的访问范围,达到网络信息安全的二次分级处理。
安全级别视图配置服务器中设定了每个安全级别的访问视图,包括登录设定(登录方式)、页面访问视图、功能操作权限访问视图、云资源访问视图等,能够实时设定每个安全级别中用户的登录方式、菜单访问权限、操作功能权限以及云资源访问是否受到限制。同时,安全级别视图配置服务器为每个WEB服务器设定安全级别。WEB服务器资源池中的每个WEB服务器在启动时自动从安全级别视图配置服务器中同步相应的安全级别设置信息,从而使每个WEB服务器有不同的安全级别。这样大大增加了云管理矩阵中WEB服务器资源池的维护工作的灵活性,以及简化了对二次安全级别配置的统一调度。
若用户在A地区的公网环境中访问供公网环境访问专用的WEB服务器,将该WEB服务器标记为目标服务器,目标服务器启动时从安全级别视图配置服务器中同步所有安全设置信息,设定为最高安全级别;用户登录时需要输入账号、密码、一次性密码(短信校验)进行登录;同时还设定相应页面访问权限、功能操作权限部分受限(即有些功能不能使用,如不能重启机器或操作其他功能、不能进入某些功能页面等),并设定只可访问部分云资源,有些云资源访问由于敏感而受到限制。
用户在B地区的公网环境下访问供B地区公网环境访问的WEB服务器,其中,B地区的公网环境与A地区的公网环境不相同;将该WEB服务器标记为目标服务器,目标服务器启动时从安全级别视图配置服务器中同步所有安全设置信息,设定为登录时按最高安全级别,用户登录时需要输入账号、密码、一次性密码(google身份验证码)进行登录。同时还设定相应页面访问权限、功能操作权限部分受限(即有些功能不能使用,如不能重启机器或操作其他功能、不能进入某些功能页面等),并设定只可访问部分云资源,有些云资源访问由于敏感而受到限制。
用户登录到授信环境,即在VPN环境下访问供VPN环境访问的WEB服务器,将该WEB服务器标记为目标服务器,目标服务器启动时从安全级别视图配置服务器中同步所有安全设置信息,设定在授信环境下按较低安全级别;用户输入账号、密码即可登录。同时还设定相应页面访问权限、功能操作权限为不受限,即所有功能都不受限制,并设定可访问全地区所有的云资源。
用户在B地区的办公地方访问目标服务器,目标服务器启动时从安全级别视图配置服务器中同步所有安全设置信息,设定按最高安全级别(账号、密码、google身份验证码)进行登录。同时还设定相应页面访问权限、功能操作权限为不受限,即所有功能都不受限制,并设定可访问全地区所有的云资源。
实施例二
上述实施例描述了云管理平台中反向代理服务器、安全级别视图配置服务器以及基于不同安全级别的WEB服务器资源池之间的信息传输过程。在云管理平台的基础上,本实施例以安全级别视图配置服务器作为应用主体,描述一种云资源访问方法,如图2所示,具体步骤如下:
步骤S1:获取访问请求,确定访问请求中的IP地址,并识别IP地址对应的当前网络环境,确定当前网络环境的目标安全级别;
步骤S2:获取各类安全级别的WEB服务器的负载均衡系数,根据WEB服务器的安全级别以及负载均衡系数,确定与目标安全级别相对应的目标服务器;其中,不同安全级别的WEB服务器对应的登录条件以及访问权限不相同;
步骤S3:获取目标服务器反馈的登录信息,对登录信息进行身份校验,并判断登录信息是否满足目标服务器对应的登录条件;在登录信息满足登录条件且身份校验成功的情况下,允许执行与访问权限相匹配的云资源访问操作。
步骤S1中,IP地址存储在访问请求的自定义HTTP请求头字段中,在获得访问请求后,解析访问请求,获得访问请求中的HTTP请求头;再解析HTTP请求头,获得头部字段;读取存储在头部字段中的IP地址信息,得到IP地址。
而不同的IP地址,可以对应不同的网络环境,一般情况下,网络环境包括了公网环境、授信环境以及办公环境,其中,公网环境也包括了实施例一的A地区的公网环境以及实施例一的B地区的公网环境;
在确定IP地址所在当前网络环境后,判断IP地址对应的当前网络环境为公网环境、授信环境还是办公环境;若当前网络环境为公网环境,对应的目标安全级别为一级安全级别;若当前网络环境为授信环境,对应的目标安全级别为二级安全级别;若当前网络环境为办公环境,对应的目标安全级别为三级安全级别。其中,可预先设定每个WEB服务器的安全级别配置,且不同安全级别的WEB服务器对应的登录条件以及访问条件不相同;其中,访问权限包括菜单页面访问权限、功能操作访问权限以及云资源访问权限。
在A地区的公网环境下,登录条件为输入账号、密码和一次性密码都验证成功才可登录,若是B地区的公网环境,其一次性密码可以是google身份验证码;同时,在公网环境下访问条件中相应页面访问权限、功能操作权限为部分受限(即有些功能不能使用,如不能重启机器或操作其他功能、不能进入某些功能页面等),并设定只可访问部分云资源,有些云资源访问由于敏感而受到限制。
在授信环境下,登录条件只需满足输入账号和密码验证成功即可;在授信环境下访问条件中相应页面访问权限、功能操作权限为不受限,即所有功能都不受限制,并设定可访问全地区所有的云资源。
在办公环境下,登录条件为输入账号、密码和一次性密码都验证成功才可登录;且办公环境下访问条件中相应页面访问权限、功能操作权限为不受限,即所有功能都不受限制,并设定可访问全地区所有的云资源。
而目标服务器是根据WEB服务器的安全级别以及负载均衡分配规则确定,具体地:
获取每类安全级别的服务端的访问频次,根据访问频次计算获得负载均衡系数;
获取各WEB服务器对应的安全级别,根据安全级别获得各WEB服务器对应的安全级别系数;
根据负载均衡系数以及安全级别系数进行散列算法计算,获得散列值;
根据散列值确定与目标安全级别相对应的目标服务器。
其中,负载均衡系数与访问频次之间呈正比关系,访问频次越多,对应的负载均衡系数则越高,代表CPU使用率高;而在确定目标服务器过程中,依照负载均衡原则,优先分配负载均衡系数低且安全级别系数与目标安全级别相对应的WEB服务器执行后续的访问任务,在安全与方便之间取一个最佳平衡。
不同安全级别对应的安全级别级数不同,而安全级别与安全级别系数之间可预先建立对应关系,在了解服务器的安全级别后即可直接通过对应关系得到相应的安全级别系数。
确定目标服务器后,根据目标安全级别生成配置请求并下发至目标服务器,控制目标服务器根据配置请求展示目标安全级别对应的访问视图,通过访问视图录入登录信息以及访问权限;访问视图包括登录视图、页面访问视图、功能操作权限访问视图以及云资源访问视图。
实施例三
本实施例提供一种云资源访问系统,执行如实施例一的云资源访问方法。
具体地,该系统主要包括:
网络分析模块,用于获取访问请求,确定访问请求中的IP地址,并识别IP地址对应的当前网络环境,确定当前网络环境的目标安全级别;
负载分析模块,用于获取各类安全级别的WEB服务器的负载均衡系数,根据WEB服务器的安全级别以及负载均衡系数,确定与目标安全级别相对应的目标服务器;其中,不同安全级别的WEB服务器对应的登录条件以及访问权限不相同;
登录访问模块,用于获取目标服务器反馈的登录信息,对登录信息进行身份校验,并判断登录信息是否满足目标服务器对应的登录条件;在登录信息满足登录条件且身份校验成功的情况下,允许执行与访问权限相匹配的云资源访问操作。
本实施例系统中的各模块的功能可以参见上述方法中的对应描述,在此不再赘述。
实施例四
图3示出根据本发明一实施例的电子设备的结构框图。如图3所示,该电子设备包括:存储器100和处理器200,存储器100内存储有可在处理器200上运行的计算机程序。处理器200执行该计算机程序时实现上述实施例中的云资源访问方法。存储器100和处理器200的数量可以为一个或多个。
该电子设备还包括:
通信接口300,用于与外界设备进行通信,进行数据交互传输。
如果存储器100、处理器200和通信接口300独立实现,则存储器100、处理器200和通信接口300可以通过总线相互连接并完成相互间的通信。该总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选的,在具体实现上,如果存储器100、处理器200及通信接口300集成在一块芯片上,则存储器100、处理器200及通信接口300可以通过内部接口完成相互间的通信。
本发明实施例提供了一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现本发明实施例中提供的方法。
本发明实施例还提供了一种芯片,该芯片包括,包括处理器,用于从存储器中调用并运行存储器中存储的指令,使得安装有芯片的通信设备执行本发明实施例提供的方法。
本发明实施例还提供了一种芯片,包括:输入接口、输出接口、处理器和存储器,输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连,处理器用于执行存储器中的代码,当代码被执行时,处理器用于执行发明实施例提供的方法。
应理解的是,上述处理器可以是中央处理器(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(fieldprogrammablegate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器可以是支持进阶精简指令集机器(advanced RISC machines,ARM)架构的处理器。
进一步地,可选的,上述存储器可以包括只读存储器和随机存取存储器,还可以包括非易失性随机存取存储器。该存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以包括只读存储器(read-onlymemory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以包括随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用。例如,静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic random access memory,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(doubledata date SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhancedSDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本发明的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包括于本发明的至少一个实施例或示例中。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分。并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。
应理解的是,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。上述实施例方法的全部或部分步骤是可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中。该存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到其各种变化或替换,这些都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种云资源访问方法,其特征在于,包括:
获取访问请求,确定所述访问请求中的IP地址,并识别得到所述IP地址对应的当前网络环境,根据所述当前网络环境,确定所述当前网络环境的目标安全级别;
获取各类安全级别的服务器的负载均衡系数,根据所述服务器的安全级别以及各所述负载均衡系数,确定与所述目标安全级别相对应的目标服务器;其中,不同安全级别的所述服务器对应的登录条件以及访问权限不相同;
获取所述目标服务器反馈的登录信息,对所述登录信息进行身份校验,并判断所述登录信息是否满足所述目标服务器对应的所述登录条件;在所述登录信息满足所述登录条件且身份校验成功的情况下,生成操作权限,所述操作权限用于允许执行与所述访问权限相匹配的云资源访问操作。
2.根据权利要求1所述的云资源访问方法,其特征在于,所述IP地址的确定方法为:
解析所述访问请求,得到所述访问请求中的HTTP请求头;
解析所述HTTP请求头,得到头部字段;
读取存储在所述头部字段中的IP地址信息,得到所述IP地址。
3.根据权利要求1所述的云资源访问方法,其特征在于,所述当前网络环境为公网环境、授信环境或办公环境;所述当前网络环境的目标安全级别的确定方法为:
在所述IP地址对应的所述当前网络环境为所述公网环境的情况下,对应的所述目标安全级别为一级安全级别;
在所述IP地址对应的所述当前网络环境为所述授信环境的情况下,对应的所述目标安全级别为二级安全级别;
在所述IP地址对应的所述当前网络环境为办公环境的情况下,对应的所述目标安全级别为三级安全级别。
4.根据权利要求1所述的云资源访问方法,其特征在于,所述判断所述登录信息是否满足所述目标服务器对应的所述登录条件的方法为:
在所述目标服务器对应的所述目标安全级别为一级安全级别或三级安全级别的情况下,判断所述登录信息中是否包含账号信息、固定密码以及一次性密码,若是,则满足所述登录条件;
在所述目标服务器对应的所述目标安全级别为二级安全级别情况下,判断所述登录信息中是否存在账号信息以及固定密码,若是,则满足所述登录条件。
5.根据权利要求1所述的云资源访问方法,其特征在于,所述访问权限包括菜单页面访问权限、功能操作访问权限以及云资源访问权限。
6.根据权利要求1所述的云资源访问方法,其特征在于,所述目标服务器的确定方法为:
获取每类安全级别的服务端的访问频次,根据所述访问频次计算获得所述负载均衡系数;
获取各服务器对应的安全级别,根据所述安全级别获得各服务器对应的安全级别系数;
通过散列算法对所述负载均衡系数以及所述安全级别系数进行计算,获得散列值;
根据所述散列值,确定与所述目标安全级别相对应的所述目标服务器。
7.根据权利要求1所述的云资源访问方法,其特征在于,还包括:
根据所述目标安全级别生成配置请求并将所述配置请求下发至所述目标服务器,所述配置请求用于控制所述目标服务器根据所述配置请求展示所述目标安全级别对应的访问视图,并通过所述访问视图录入所述登录信息以及所述访问权限;所述访问视图包括登录视图、页面访问视图、功能操作权限访问视图以及云资源访问视图。
8.一种云资源访问系统,其特征在于,执行如权利要求1~7任一所述的云资源访问方法。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器中存储指令,所述指令由处理器加载并执行,以实现如权利要求1~7任一所述的云资源访问方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1~7任一所述的云资源访问方法。
CN202311781165.2A 2023-12-21 2023-12-21 一种云资源访问方法、系统、设备及介质 Pending CN117729036A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311781165.2A CN117729036A (zh) 2023-12-21 2023-12-21 一种云资源访问方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311781165.2A CN117729036A (zh) 2023-12-21 2023-12-21 一种云资源访问方法、系统、设备及介质

Publications (1)

Publication Number Publication Date
CN117729036A true CN117729036A (zh) 2024-03-19

Family

ID=90201407

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311781165.2A Pending CN117729036A (zh) 2023-12-21 2023-12-21 一种云资源访问方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN117729036A (zh)

Similar Documents

Publication Publication Date Title
CN111416822B (zh) 访问控制的方法、电子设备和存储介质
CN112597472B (zh) 单点登录方法、装置及存储介质
JP6349579B2 (ja) 条件付きログインプロモーション
JP5530562B2 (ja) ドメインネームシステムレコードのアップデートの検証
US20170286653A1 (en) Identity risk score generation and implementation
US9787655B2 (en) Controlling access to resources on a network
US8869258B2 (en) Facilitating token request troubleshooting
US20120144501A1 (en) Regulating access to protected data resources using upgraded access tokens
US20140215575A1 (en) Establishment of a trust index to enable connections from unknown devices
US10250605B2 (en) Combining a set of risk factors to produce a total risk score within a risk engine
CN111737687B (zh) 网页应用系统的访问控制方法、系统、电子设备和介质
US20210083881A1 (en) Dynamically analyzing third-party application website certificates across users to detect malicious activity
EP3488589B1 (en) Login proxy for third-party applications
CN110798446A (zh) 邮件批量授权方法、装置、计算机设备及存储介质
CN112887284A (zh) 一种访问认证方法和装置
US20200110868A1 (en) Augmented push authentication
CN114417303A (zh) 登录认证管理方法、装置、处理器及机器可读存储介质
CN113901429A (zh) 多租户系统的访问方法及装置
CN117251837A (zh) 一种系统接入方法、装置、电子设备及存储介质
CN114866247B (zh) 一种通信方法、装置、系统、终端及服务器
US9594911B1 (en) Methods and apparatus for multi-factor authentication risk detection using beacon images
CN117729036A (zh) 一种云资源访问方法、系统、设备及介质
US10313349B2 (en) Service request modification
CN113901428A (zh) 多租户系统的登录方法及装置
CN113114635A (zh) 权限管理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination