云计算系统中用户访问控制方法和装置与流程
本发明涉及信息处理领域,尤指一种云计算系统中用户访问控制方法和装置。
背景技术:
在云计算时代,云计算系统面临着严重的安全威胁:2016年2月,美国第二大医疗保险公司遭黑客攻击,8000万用户资料受影响;2016年9月,雅虎曝史上最大规模信息泄露,5亿用户资料被窃;2016年10月,美国遭史上最大规模ddos攻击、东海岸网站集体瘫痪颈。因此,云计算信息安全成为用户系统上云的主要阻碍。
云计算系统在用户方面面临的安全风险是如何对用户的操作和命令进行管理,达到抵御非授权用户的攻击的目的。因此,如何对云计算系统中对用户访问进行控制提高访问安全是亟待解决的问题。
技术实现要素:
为了解决上述技术问题,本发明提供了一种云计算系统中用户访问控制方法和装置,能够提高云计算系统的访问安全。
为了达到本发明目的,本发明提供了一种云计算系统中用户访问控制方法,包括:
接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
对所述访问请求进行签名验证;
如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
其中,所述根据访问请求中的信息,对访问请求进行管理,包括:
获取所述访问请求中的用户标识;
将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
其中,所述在确定所述用户有访问所述服务器的权限后,处理所述访问请求,还包括:
获取所述访问请求对应的请求内容;
根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
如果所述访问行为合法,则处理所述访问请求。
其中,所述处理所述访问请求,还包括:
在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;
根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;
使用所述目标存储位置的数据响应所述用户的访问请求。
其中,所述根据访问请求中的信息,对访问请求进行管理之后,所述方法还包括:
对用户访问后的数据进行完整性校验;
如果数据完整性校验失败,则输出告警信息。
一种云计算系统中用户访问控制装置,包括:
接收模块,用于接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
验证模块,用于对所述访问请求进行签名验证;
管理模块,用于如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
其中,所述管理模块包括:
获取子模块,用于获取所述访问请求中的用户标识;
确定子模块,用于将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
处理子模块,用于在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
其中,所述处理子模块还包括:
第一获取单元,用于获取所述访问请求对应的请求内容;
确定单元,用于根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
处理单元,用于如果所述访问行为合法,则处理所述访问请求。
其中,所述处理子模块还包括:
第二获取单元,用于获取在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;
选择单元,用于根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;
响应单元,用于使用所述目标存储位置的数据响应所述用户的访问请求。
其中,所述装置还包括:
校验模块,用于在对访问请求进行管理之后,对用户访问后的数据进行完整性校验;
输出模块,用于如果数据完整性校验失败,则输出告警信息。
本发明提供的实施例,通过对云计算系统中用户的访问请求进行签名认证,实现对用户身份的识别,降低黑客攻击的可能,提高云计算系统的安全。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明提供的云计算系统中用户访问控制方法的流程图;
图2为本发明提供的云计算系统中用户访问控制装置的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1为本发明提供的云计算系统中用户访问控制方法的流程图。图1所示方法包括:
步骤101、接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
步骤102、对所述访问请求进行签名验证;
步骤103、如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
本发明提供的方法实施例,通过对云计算系统中用户的访问请求进行签名认证,实现对用户身份的识别,降低黑客攻击的可能,提高云计算系统的安全。
下面对本发明提供的方法实施例作进一步说明:
在用户发起进行签名的访问请求后,可以表明该访问请求是该用户本人发起的,不是其他人非法操作的;因此,只需要对该签名过的访问请求进行验证,如果验证通过,则表示该访问请求是本人利用本人的签名处理的。
在确定该签名是由本人发起后,接下来需要对该用户是否有权限访问进行确认,包括:
获取所述访问请求中的用户标识;
将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
在实际应用中,用户标识可以为用户的手机号、用户名或其他唯一标识,访问控制列表是以用户标识为索引来记录每个用户的访问权限,利用该访问控制列表可以确定该用户是否有权限访问所述服务器。
在确定该用户有权限访问所述服务器后,需要进一步确认该用户的访问行为是否合法,在本发明中采用如下方式来获取:
获取所述访问请求对应的请求内容;
根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
如果所述访问行为合法,则处理所述访问请求。
例如,该访问请求的内容为安全级别为高的数据,但根据用户的标识可知,该用户访问安全级别为低的数据,则该用户的访问行为是非法的,相反,如果该访问请求的内容为安全级别为低的数据,则该用户的访问是合法的。
通过判断该访问行为是否合法,可以对用户访问进行控制,减少非法访问带来的安全风险。
另外,由于云计算系统的存储空间较大,为保证存储数据的安全,物理存储空间是隔离开的,达到安全存储的目的。
因此,在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;使用所述目标存储位置的数据响应所述用户的访问请求。
仍以上例进行说明,如果该用户访问安全级别为低,则该用户只能在存储安全级别的存储位置进行访问,不能在存储安全级别为高的地方进行访问。比如,在该访问行为不当时,只会对低安全级别的存储空间内的数据有破坏,不会影响高优先级的数据的访问。
在对访问请求进行管理之后,对用户访问后的数据进行完整性校验;如果数据完整性校验失败,则输出告警信息。
通过对访问后的数据进行校验,可以实现对数据进行实时维护,及时发现潜在风险,减少安全漏洞的发生。
图2为本发明提供的云计算系统中用户访问控制装置的结构图。图2所示装置,包括:
接收模块201,用于接收用户发送的访问请求,其中所述访问请求是所述用户进行签名处理的信息;
验证模块202,用于对所述访问请求进行签名验证;
管理模块203,用于如果签名验证通过,则根据访问请求中的信息,对访问请求进行管理。
其中,所述管理模块203包括:
获取子模块,用于获取所述访问请求中的用户标识;
确定子模块,用于将所述访问请求中的用户标识与预先设置的访问控制列表,确定所述用户是否有访问所述服务器的权限;
处理子模块,用于在确定所述用户有访问所述服务器的权限后,处理所述访问请求。
其中,所述处理子模块还包括:
第一获取单元,用于获取所述访问请求对应的请求内容;
确定单元,用于根据所述用户标识和所述请求内容,确定所述用户访问获取所述请求内容对应的数据的访问行为是否合法;
处理单元,用于如果所述访问行为合法,则处理所述访问请求。
其中,所述处理子模块还包括:
第二获取单元,用于获取在得到访问请求对应的请求内容后,获取所述请求内容对应数据的存储位置;
选择单元,用于根据所述用户的标识,从存储位置中选择所述用户允许访问的目标存储位置;
响应单元,用于使用所述目标存储位置的数据响应所述用户的访问请求。
其中,所述装置还包括:
校验模块,用于在对访问请求进行管理之后,对用户访问后的数据进行完整性校验;
输出模块,用于如果数据完整性校验失败,则输出告警信息。
本发明提供的装置实施例,通过对云计算系统中用户的访问请求进行签名认证,实现对用户身份的识别,降低黑客攻击的可能,提高云计算系统的安全。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
- 还没有人留言评论。精彩留言会获得点赞!