技术领域
本发明涉及云计算、国产密码算法和安全访问控制技术领域,具体的说是一种基于国产密码算法的云计算安全访问控制方法。
背景技术:
用户对计算资源的控制程度大大降低。因此,云计算的发展带来了海量的访问认证请求和复杂的用户权限管理,推动了身份认证技术的不断发展。云计算中出现了基于多种安全凭证的身份认证技术。随着云计算的普及,云端存储了大量的用户敏感数据,一旦用户身份被仿冒,就很容易造成隐私和敏感数据的泄露。
基于国产密码算法的身份认证和访问控制方式应用,可为云计算提供一种更为可靠的身份认证和访问控制的管理措施,可以通过不同的访问控制权限对业务系统进行访问需求,实现了在数据访问过程中的加密传输安全等内容。
技术实现要素:
本发明针对目前技术发展的需求和不足之处,提供一种基于国产密码算法的云计算安全访问控制方法。
本发明所述一种基于国产密码算法的云计算安全访问控制方法,解决上述技术问题采用的技术方案如下:一种基于国产密码算法的云计算安全访问控制方法,在云计算应用服务系统中嵌入一个安全访问控制模块,所述安全访问控制模块与应用服务系统融合在一起,通过安全访问控制模块进行安全访问的属性控制,包括初始化,用户身份确认,访问控制权限的确认和变更;并采用国产密码算法进行数据加密。
优选的,所述安全访问控制模块负责在不改变业务操作固有流程的情况下,进行数据加密存储、访问者身份认证和访问控制权限认证。
优选的,所述数据加密,主要包括:
(1)采用国产密码算法进行加密存储重要数据,采用明文存储用于检索、查询的关键字、词、句内容;
(2)在接到数据访问请求后,临时生产一个加密密钥,对数据进行重新加密;同时,采用数字信封的方式将加密密钥发送给访问请求者。
优选的,所述用户身份确认,主要是指对访问用户和云计算中的应用服务,分别由安全访问控制模块为其签发数字证书,以证明其身份。
优选的,所述访问控制权限的确认,主要包括:
(1)对访问用户的权限信息,通过使用安全访问控制模块的秘钥对其进行签名;
(2)若访问用户权限变更,则向安全访问控制模块提交变更请求;审批通过后,为其新的权限数据重新签名。
本发明所述一种基于国产密码算法的云计算安全访问控制方法与现有技术相比具有的有益效果是:本发明由云计算应用服务系统中的安全访问控制模块进行安全访问的属性控制,包括初始化,访问控制权限的确认和变更;使用国产密码算法进行数据的安全保护和访问的安全控制;实现了对用户的安全认证访问控制,满足了云计算环境中数据的安全访问和访问控制权限的控制需求,增强云计算应用服务系统的信息安全防护能力,能够有效防止身份仿冒和数据信息的非法访问。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,对本发明所述一种基于国产密码算法的云计算安全访问控制方法进一步详细说明。
为了满足云计算环境中数据的安全访问和访问控制权限的控制需求,本发明公开了一种基于国产密码算法的云计算安全访问控制方法,使用国产密码算法进行数据的安全保护和访问的安全控制;通过云计算应用服务系统中的安全访问控制模块进行安全访问的属性控制;采用国产密码算法来实现数据加密、身份确认和访问控制权限的确认。本发明实现了对用户的安全认证访问控制,增强云计算应用服务系统的信息安全防护能力,能够有效防止身份仿冒和数据信息的非法访问。
实施例:
本实施例所述一种基于国产密码算法的云计算安全访问控制方法, 在云计算应用服务系统中嵌入一个安全访问控制模块,所述安全访问控制模块与应用服务系统融合在一起,通过安全访问控制模块进行安全访问的属性控制,包括初始化,用户身份确认,访问控制权限的确认和变更;并采用国产密码算法进行数据加密。
在云计算应用服务系统中嵌入一个安全访问控制模块,所述安全访问控制模块与应用服务系统融合在一起,在进行各项业务操作的同时,能够自动调用、签名和访问控制信息。所述安全访问控制模块负责在不改变业务操作固有流程的情况下,增加数据加密存储、访问者身份认证和访问控制权限认证等措施;并且,所述安全访问控制模块负责业务操作数据完整和防篡改,以提高系统安全问题,便于对访问行为进行审计查证。
所述数据加密,主要包括如下内容:
(1)对于云计算环境中的存储的重要数据,采用国产密码算法进行加密存储;其提供检索、查询的关键字、词、句等内容采用明文存储,便于查询;
(2)在接到数据访问请求后,临时生产一个加密密钥,对数据进行重新加密;同时,采用数字信封的方式将加密密钥发送给访问请求者。
所述用户身份确认和访问控制权限的确认,主要包括如下内容:
(1)对访问用户和云计算中的应用服务,分别由安全访问控制模块为其签发数字证书,以证明其身份;
(2)对访问用户的权限信息,通过使用安全访问控制模块的秘钥对其进行签名,防止用户对权限数据进行自行修改;
(3)若访问用户权限需要变更,则需向安全访问控制模块提交变更请求,审批通过后,为其新的权限数据重新签名。
下面以云计算档案管理系统为例对本发明作进一步具体说明,但不作为对本发明的限定。所述云计算档案管理系统,对用户提供档案管理应用服务。在应用服务系统中,已经嵌入了安全访问控制模块。
访问控制权限的确定:云计算档案管理系统通过安全访问控制模块,对所有用户签发身份证书,并对其权限数据进行签名后,与身份证书进行一一绑定。
档案数据的存储过程:
(1)档案管理者再上传档案数据时,系统自动对档案数据的关键字、词、句、日期等信息进行明文保存,以方便检索使用;
(2)对于档案数据的原文,则通过国产密码算法进行加密处理,得出的密文存储于云计算档案管理系统中。
档案数据的借阅过程:
(1)借阅者向档案管理系统提出借阅请求,并提交权限数据;
(2)档案管理系统通过借阅者的权限数据判别请求是否合法,如果合法,则提供数据,不合法则驳回请求;
(3)访问请求合法,档案管理系统通过关键字等信息查询到档案数据,并临时生成一个对称秘钥,对需访问的档案数据进行重新加密;同时,采用数字信封技术将临时生成的加密密钥安全传送给借阅者;
(4)借阅者在接到数字信封和密文档案数据后,解开数字信封获得加密密钥,对密文档案数据进行解密,获得档案原始文件。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。