云端认证方法及系统的制作方法

云端认证方法及系统的制作方法
【专利摘要】本发明公开了一种云端认证方法及系统，该方法包括：终端向云端发送用户身份信息的认证请求；所述云端接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证；所述云端在所述用户身份信息的认证通过后，将所述认证结果发送至所述终端，以使所述用户访问所述云端中存储的数据。该方法通过认证、授权、安全访问等功能，提高了用户数据访问的安全性，云端与数据终端通过加密通道建立连接，实现了数据的访问与控制。
【专利说明】云端认证方法及系统

【技术领域】
[0001]本发明涉及计算机安全领域，具体涉及一种云端认证方法及系统。

【背景技术】
[0002]随着云计算的应用与普及，云计算系统的安全成了影响其发展的重点要素之一。现有的云端认证系统中，云端认证系统通过虚拟化技术帮助用户整合现有IT硬件资源，构建企业的物理资源池，使企业的各项应用都能够动态的、高效的、自适应的分布于物理资源池内，便于更为方便简洁的管理和企业IT资源的充分利用。
[0003]所述现有的云端认证系统尽管为整个IT产业带来巨大的变革，
[0004]但是云具有离散、无序的特性，存在极高的安全隐患风险，云应用的发展还是受到了安全与隐私的阻碍。目前，大多数IT企业或企业的IT部门的各个IT资源呈离散状态，相互间壁垒森严，整体资源无法统一优化管理。个人用户担心自己的数据被恶意攻击而公开，企业用户担心商业机密泄漏或数据被破坏。同时，在现有的数据中心中，大量的应用运行在各种互不兼容的环境中，兼容性问题非常突出。开发应用需要考虑硬件平台、操作系统、中间件等各个级别，各种互不兼容的应用也大大增加了管理、维护和整合的难度。


【发明内容】

[0005]针对现有身份认证技术的缺陷，本发明提供了一种云端认证方法及系统，通过身份信息认证及数据加密，保障了云端数据的安全。
[0006]第一方面,本发明提供一种云端认证方法,包括:
[0007]终端向云端发送用户身份信息的认证请求；
[0008]所述云端接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证；
[0009]所述云端在所述用户身份信息的认证通过后，将所述认证结果发送至所述终端，以使所述用户访问所述云端中存储的数据。
[0010]可选的，所述终端与所述云端通过加密通道建立通信连接，实现所述用户数据的访问与存储。
[0011]可选的，所述云端接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证，包括:
[0012]云端服务器集群接收所述终端发送的用户身份信息的认证请求，并对所述终端发送的用户身份信息的认证请求的合法性和所述用户身份信息的认证请求与所述云端认证服务器的适配性进行验证；
[0013]所述云端认证服务器接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证，并将认证结果发送至所述云端服务器集群；
[0014]所述云端服务器集群接收所述云端认证服务器发送的认证结果，将认证后的用户身份信息与所述云端服务器集群中的已备份的用户身份信息进行匹配，对已认证的用户身份信息进行二次认证，认证通过后将认证结果发送至终端。
[0015]可选的，对所述终端发送的用户身份信息的认证请求的合法性进行验证，包括:
[0016]验证所述终端是否有权发送所述用户身份信息的认证请求和验证接收所述用户身份信息的认证请求的云端认证服务器是否能够进行所述用户身份信息的认证。
[0017]可选的，对所述用户身份信息的认证请求与所述云端认证服务器的适配性进行验证，包括:
[0018]验证所述用户身份信息的认证请求是否属于所述云端认证服务器的认证服务范畴和验证所述终端发起所述用户身份信息的认证请求的认证请求方式是否为所述云端认证服务器的认证服务范畴。
[0019]可选的，对所述用户身份信息进行验证，包括:
[0020]在所述云端对所述终端发送的用户身份信息的认证请求的合法性、所述用户身份信息的认证请求与所述云端认证服务器的适配性验证通过后，所述云端认证服务器对所述用户身份信息进行验证。
[0021]可选的，对所述用户身份信息进行验证，包括:
[0022]若所述用户身份信息未认证通过，则将为认证通过的消息发送至所述云端认证服务器，以使所述云端认证服务器对所述用户身份信息进行重新认证，并将重新认证的结果发送至所述云端服务器集群，所述云端服务器集群对重新认证的用户身份信息进行二次认证，直到所述用户身份信息通过所述云端服务器集群的认证为止。
[0023]第二方面，本发明还提供了一种云端认证系统，包括:云端服务器集群和云端认证服务器；
[0024]所述云端服务器集群，用于接收终端发送的用户身份信息的认证请求，并对所述终端发送的用户身份信息的认证请求的合法性以及所述用户身份信息的认证请求与所述云端服务器集群的适配性进行验证；
[0025]所述云端认证服务器，用于接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证，并将认证结果发送至所述云端服务器集群；
[0026]所述云端服务器集群，用于接收所述云端认证服务器发送的认证结果，将认证后的用户身份信息与所述云端服务器集群中的已备份的用户身份信息进行匹配，对已认证的用户身份信息进行二次认证，认证通过后将认证结果发送至终端，以使所述用户访问所述云端中存储的数据。
[0027]可选的，所述终端与所述云端服务器集群和所述云端认证服务器通过加密通道建立通信连接，实现所述用户数据的访问与存储。
[0028]可选的，所述云端服务器集群，还用于:
[0029]在所述用户身份信息未认证通过时，则将为认证通过的消息发送至所述云端认证服务器，以使所述云端认证服务器对所述用户身份信息进行重新认证；
[0030]接收所述云端认证服务器发送的重新认证的结果，对重新认证的用户身份信息进行二次认证，直到所述用户身份信息通过认证为止。
[0031]由上述技术方案可知，本发明提供的一种云端认证方法及系统，该方法通过认证、授权、安全访问等功能，提高了用户数据访问的安全性，云端与数据终端通过加密通道建立连接，实现了数据的访问与控制。

【专利附图】

【附图说明】
[0032]图1为本发明一实施例提供的云端认证方法的流程示意图；
[0033]图2为本发明一实施例提供的云端安全操作系统的结构示意图；
[0034]图3为本发明一实施例提供的云端认证系统的结构示意图；
[0035]图4为本发明一实施例提供的云端安全操作平台的结构示意图。

【具体实施方式】
[0036]下面结合附图，对发明的【具体实施方式】作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。
[0037]本发明实施例的云端认证系统可支持虚拟化认证、授权、安全访问等功能。云端认证系统是一个虚拟化的云端系统，所有的数据及应用都存储运行于云端。云端与用户终端之间通过加密通道建立通信连接，实现数据访问与控制。一方面提高了数据存储的安全性，不会因为用户终端的故障而导致数据丢失，另一方面提高了数据访问的安全性，不易遭受不明恶意攻击。该云端认证系统还采用了虚拟化技术，可以将原有的多台服务器整合到一个物理服务器上，提高物理服务器的使用率，使每台服务器的工作负载达到平均60% -80%的资源利用率。提供了灵活的容灾恢复功能。数据是存放在云端的，应用也运行在云端，一切计算机操作都只呈现于用户终端。
[0038]图1示出了本发明实施例提供的云端认证方法的流程示意图，如图1所示，该云端认证方法包括如下步骤:
[0039]101、终端向云端发送用户身份信息的认证请求；
[0040]举例来说，所述终端与所述云端通过加密通道建立通信连接，实现所述用户数据的访问与存储。
[0041]具体的，如图2所示，用户在终端通过统一的人机界面以及软件接口自主选择认证方式，包括生物指纹认证，数字证书认证等。终端将用户的及时认证请求信息自动加密，并通过安全传输通道将身份信息数据传递至虚拟化云端服务器集群。
[0042]终端包含用户ID、生物信息、密钥在内的三因子高强度身份认证。
[0043]102、所述云端接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证；
[0044]举例来说，上述步骤102具体包括图1中未示出的如下步骤:
[0045]1021、云端服务器集群接收所述终端发送的用户身份信息的认证请求，并对所述终端发送的用户身份信息的认证请求的合法性和所述用户身份信息的认证请求与所述云端认证服务器的适配性进行验证；
[0046]具体的，如果有终端未通过合法性验证，则虚拟化云端服务器集群中的数据存储服务器记录未通过鉴权的终端号码和错误原因，并直接向该终端发送验证失败消息。
[0047]1022、所述云端认证服务器接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证，并将认证结果发送至所述云端服务器集群；
[0048]具体的，云端认证服务器根据接收到的用户身份信息的认证请求，依据终端侧用户选择的认证方式标识适配相应的认证机制进行身份信息的认证操作，并将身份信息的认证结果传送到云端服务器集群。
[0049]1023、所述云端服务器集群接收所述云端认证服务器发送的认证结果，将认证后的用户身份信息与所述云端服务器集群中的已备份的用户身份信息进行匹配，对已认证的用户身份信息进行二次认证，认证通过后将认证结果发送至终端。
[0050]103、所述云端在所述用户身份信息的认证通过后，将所述认证结果发送至所述终端，以使所述用户访问所述云端中存储的数据。
[0051]上述云端认证方法提供了身份虚拟化认证及数据保护的作用，用户通过云终端的生物识别安全模块登陆到云端，可以对属于自己的内容进行相关数据的访问和操作，即存放在云端的数据只识别来自云终端通过安全模块登陆的用户身份，用户可以通过自己或其他的云终端获得自己的数据，其他人无法通过该用户的云终端获得该用户的数据。
[0052]云终端与云端通过加密通道的安全访问控制来获取数据并进行相应运算处理，云端的数据实时自动更新，当云终端发生意外断开了与云端的连接并不会造成任何数据的丢失，用户可以再次建立连接，在云端找回仍旧属于自己的数据。
[0053]上述方法提高了用户数据访问的安全性，云端与数据终端通过加密通道建立连接，实现了数据的访问与控制，防止用户数据盗窃，实现可追溯、可监控。
[0054]在实际应用中，上述步骤1021中云端服务器集群接收所述终端发送的用户身份信息的认证请求，并对所述终端发送的用户身份信息的认证请求的合法性，主要是验证所述终端是否有权发送所述用户身份信息的认证请求和验证接收所述用户身份信息的认证请求的云端认证服务器是否能够进行所述用户身份信息的认证。
[0055]对所述用户身份信息的认证请求与所述云端认证服务器的适配性进行验证，主要是验证所述用户身份信息的认证请求是否属于所述云端认证服务器的认证服务范畴和验证所述终端发起所述用户身份信息的认证请求的认证请求方式是否为所述云端认证服务器的认证服务范畴。
[0056]对所述用户身份信息进行验证，主要是在所述云端对所述终端发送的用户身份信息的认证请求的合法性、所述用户身份信息的认证请求与所述云端认证服务器的适配性验证通过后，所述云端认证服务器对所述用户身份信息进行验证。
[0057]具体的，若所述用户身份信息认证通过，则将认证通过的结果发送至终端，若所述用户身份信息未认证通过，则将为认证通过的消息发送至所述云端认证服务器，以使所述云端认证服务器对所述用户身份信息进行重新认证，并将重新认证的结果发送至所述云端服务器集群，所述云端服务器集群对重新认证的用户身份信息进行二次认证，直到所述用户身份信息通过所述云端服务器集群的认证为止。
[0058]图3为本发明实施例提供的云端认证系统的结构示意图，如图3所示，该云端认证系统，包括:云端服务器集群31和云端认证服务器32 ；
[0059]所述云端服务器集群31，用于接收终端发送的用户身份信息的认证请求，并对所述终端发送的用户身份信息的认证请求的合法性以及所述用户身份信息的认证请求与所述云端服务器集群的适配性进行验证；
[0060]具体的，所述终端与所述云端服务器集群和所述云端认证服务器通过加密通道建立通信连接，实现所述用户数据的访问与存储。
[0061]所述云端认证服务器32，用于接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证，并将认证结果发送至所述云端服务器集群；
[0062]所述云端服务器集群31，用于接收所述云端认证服务器发送的认证结果，将认证后的用户身份信息与所述云端服务器集群中的已备份的用户身份信息进行匹配，对已认证的用户身份信息进行二次认证，认证通过后将认证结果发送至终端，以使所述用户访问所述云端中存储的数据。
[0063]所述云端服务器集群，还用于:
[0064]在所述用户身份信息未认证通过时，则将为认证通过的消息发送至所述云端认证服务器，以使所述云端认证服务器对所述用户身份信息进行重新认证；
[0065]接收所述云端认证服务器发送的重新认证的结果，对重新认证的用户身份信息进行二次认证，直到所述用户身份信息通过认证为止。
[0066]上述云端认证系统提供了灵活的容灾恢复功能。数据是存放在云端的，应用也运行在云端，一切计算机操作都只呈现于用户界面，云终端与云端通过加密通道的安全访问控制来获取数据并进行相应运算处理，云端的数据实时自动更新，当云终端发生意外断开了与云端的连接并不会造成任何数据的丢失，用户可以再次建立连接，在云端找回仍旧属于自己的数据。
[0067]云端认证系统提供的封装和隔离特性使得应用所在的平台与底层服务器环境隔离，管理员不需要根据底层环境的变化频繁地调整应用，仅需构建一个应用版本，并将其发布到虚拟化封装后的不同类型的平台上。云端认证系统通过虚拟化技术解除了应用与物理服务器的绑定，通过关闭空闲的物理服务器，减少运行的物理服务器数量，减少CPU以外各单元的耗电量，从而达到绿色节能的目的。
[0068]此外本发明中还采用了云终端作为配套安全加固产品，提供了身份虚拟化认证及数据保护的作用。云终端与云端通过加密通道的安全访问控制来获取数据并进行相应运算处理，云端的数据实时自动更新，当云终端发生意外断开了与云端的连接并不会造成任何数据的丢失，用户可以再次建立连接，在云端找回仍旧属于自己的数据。
[0069]在提供安全的解决方案背景下，云端认证系统能将这些分散的、孤立的各类IT资源变成网络化的有效IT资源加以充分利用，消除信息孤岛，实现IT资源的共享，减少服务器数量，提高服务器使用率。
[0070]终端是云端认证系统配套的安全加固套件，可提供安全身份认证的功能，防止数据盗窃，实现可追溯、可监控；云端认证服务器可实现对用户身份的认证；云端管理服务器是资源管理系统，可实现管理资源池系统及资源池系统中的各种资源的调度、分配和调整；虚拟化云端服务器集群可实现对物理层的硬件设施进行虚拟化处理；数据存储服务器可实现云安全系统中大量、多类型数据的存储。
[0071]本发明实施例的云端认证系统采用开源的Linux操作系统作为基础平台，通过将安全功能特性与虚拟机、虚拟化服务器、云端管理服务器、云端认证服务器、安全数据存储以及加密数据传输相结合，解决了用户在云计算环境下对体系安全的担忧，保障云计算桌面环境以及基础环境的安全可靠。
[0072]基于虚拟化技术的云端认证系统的平台结构如图4所示云端认证系统平台由管理层、监控层和安全层组成。
[0073]物理硬件设备主要包括x86服务器、网络设备、存储设备，为IaaS服务提供了最底层的物理资源；
[0074]虚拟化和基础软件层是通过虚拟化软件(如VCloud、VMware ESX1、CitrixXenServer或KVM)对物理层的硬件设施进行虚拟化处理,形成的Hypervisor虚拟层面的资源池系统。采用虚拟化软件将物理设备资源形成一个或多个虚拟出来的资源池，提供了计算能力、网络功能和存储能力；
[0075]管理层是通过安全云管理系统来实现资源统一管理和业务统一管控的自动化系统。云端管理服务器作为资源管理系统，主要是管理资源池系统及资源池系统中的各种资源的调度、分配和调整；
[0076]监控层通过云安全监控系统，统一监控各种虚拟机、虚拟网、虚拟防火墙、虚拟
VPN、虚拟IPS、虚拟IDS等系统的运行状态。并且进行精确定位，并且进行故障分析和告m.S O ,
[0077]安全层通过云安全管理系统为云计算体系提供完整的安全解决方案，其中包括云计算构架内整理的安全事件的监控、告警、分析，安全审计、数据防护、虚拟防火墙、虚拟VPN，虚拟IDS、虚拟IPS、虚拟防病毒等，全方位的安全解决方案。
[0078]本发明的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0079]最后应说明的是:以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。
【权利要求】
1.一种云端认证方法,其特征在于,包括: 终端向云端发送用户身份信息的认证请求； 所述云端接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证； 所述云端在所述用户身份信息的认证通过后，将所述认证结果发送至所述终端，以使所述用户访问所述云端中存储的数据。
2.根据权利要求1所述的方法，其特征在于，所述终端与所述云端通过加密通道建立通信连接，实现所述用户数据的访问与存储。
3.根据权利要求1所述的方法，其特征在于，所述云端接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证，包括: 云端服务器集群接收所述终端发送的用户身份信息的认证请求，并对所述终端发送的用户身份信息的认证请求的合法性和所述用户身份信息的认证请求与所述云端认证服务器的适配性进行验证； 所述云端认证服务器接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证，并将认证结果发送至所述云端服务器集群； 所述云端服务器集群接收所述云端认证服务器发送的认证结果，将认证后的用户身份信息与所述云端服务器集群中的已备份的用户身份信息进行匹配，对已认证的用户身份信息进行二次认证，认证通过后将认证结果发送至终端。
4.根据权利要求3所述的方法，其特征在于，对所述终端发送的用户身份信息的认证请求的合法性进行验证，包括: 验证所述终端是否有权发送所述用户身份信息的认证请求和验证接收所述用户身份信息的认证请求的云端认证服务器是否能够进行所述用户身份信息的认证。
5.根据权利要求3所述的方法，其特征在于，对所述用户身份信息的认证请求与所述云端认证服务器的适配性进行验证，包括: 验证所述用户身份信息的认证请求是否属于所述云端认证服务器的认证服务范畴和验证所述终端发起所述用户身份信息的认证请求的认证请求方式是否为所述云端认证服务器的认证服务范畴。
6.根据权利要求3所述的方法，其特征在于，对所述用户身份信息进行验证，包括: 在所述云端对所述终端发送的用户身份信息的认证请求的合法性、所述用户身份信息的认证请求与所述云端认证服务器的适配性验证通过后，所述云端认证服务器对所述用户身份信息进行验证。
7.根据权利要求1所述的方法，其特征在于，对所述用户身份信息进行验证，包括: 若所述用户身份信息未认证通过，则将为认证通过的消息发送至所述云端认证服务器，以使所述云端认证服务器对所述用户身份信息进行重新认证，并将重新认证的结果发送至所述云端服务器集群，所述云端服务器集群对重新认证的用户身份信息进行二次认证，直到所述用户身份信息通过所述云端服务器集群的认证为止。
8.—种云端认证系统，其特征在于，包括:云端服务器集群和云端认证服务器； 所述云端服务器集群，用于接收终端发送的用户身份信息的认证请求，并对所述终端发送的用户身份信息的认证请求的合法性和所述用户身份信息的认证请求与所述云端服务器集群的适配性进行验证； 所述云端认证服务器，用于接收所述终端发送的用户身份信息的认证请求，对所述用户身份信息进行认证，并将认证结果发送至所述云端服务器集群； 所述云端服务器集群，用于接收所述云端认证服务器发送的认证结果，将认证后的用户身份信息与所述云端服务器集群中的已备份的用户身份信息进行匹配，对已认证的用户身份信息进行二次认证，认证通过后将认证结果发送至终端，以使所述用户访问所述云端中存储的数据。
9.根据权利要求8所述的系统，其特征在于，所述终端与所述云端服务器集群和所述云端认证服务器通过加密通道建立通信连接，实现所述用户数据的访问与存储。
10.根据权利要求8所述的系统，其特征在于，所述云端服务器集群，还用于: 在所述用户身份信息未认证通过时，则将为认证通过的消息发送至所述云端认证服务器，以使所述云端认证服务器对所述用户身份信息进行重新认证； 接收所述云端认证服务器发送的重新认证的结果，对重新认证的用户身份信息进行二次认证，直到所述用户身份信息通过认证为止。
【文档编号】H04L29/06GK104320391SQ201410567739
【公开日】2015年1月28日 申请日期:2014年10月22日 优先权日:2014年10月22日
【发明者】何利文 申请人:南京绿云信息技术有限公司