一种用于安全接入数据中心的访问系统的制作方法

本发明涉及信息安全，具体涉及一种用于安全接入数据中心的访问系统。

背景技术：

1、随着“核心-边缘”结构特性的构建，各逻辑区域连接核心区域的接口成为该区域的网络安全边界。从业务和安全控制需求来看，需要在各逻辑区域的边界采用安全控制的技术手段，如部署防火墙硬件设备、vpn设备，从而构建独立的安全区域。不同安全区域之间的网络如果需要相互访问获取数据，应该根据权限设置约束规则，结合不同逻辑区域之间安全信任级别，在安全边界上采用不同的访问控制策略。一般情况下，在没有采取任何安全控制措施的前提下, 不同区域之间的网络直接互通是不允许的。

2、由于数据集中存储，数据的访问控制显得尤为重要。传统的方法是以系统为中心的安全，而随着攻击的无处不在，内部环境和人员也可以作为攻击的发起端。以数据为中心的安全，需要把安全聚焦在数据本身，围绕数据的生命周期来建设安全能力。以数据为中心的安全，需要解决的是内部人员滥用、业务误用和防止外部窃取的风险控制问题。

技术实现思路

1、本发明的一个目的为提供在数据中心内数据的受控安全访问方式，来解决前述的一个安全性问题。

2、根据本发明的一个方面，本发明首先提供了一种用于安全接入数据中心的访问系统，其根据用户的接入请求创建代理服务器；

3、获取代理服务器的资源请求，对用户请求的资源进行鉴权并提供令牌；

4、基于应用服务器的资源信息和数据保护算法，获得对应于用户发起的资源请求的混淆器；

5、基于用户权限和资源调用图，判断用户对于资源访问是否越权；

6、根据用户对于资源访问是否越权的判断结果生成操作代理服务器的命令，控制用户对于目标资源的访问。

7、优选的，所述代理服务器的创建过程包括：

8、根据用户接入的类型确定代理服务器的类型，根据代理服务器的类型和用户接入地址选择代理服务器的部署位置，在部署和启动代理服务器后，将用户请求和代理服务器关联，向用户发送配置的代理服务器地址。

9、优选的，所述获取代理服务器的资源请求，对用户请求的资源进行鉴权并提供令牌具体包括：

10、获取代理服务器的资源请求包括的路径，根据资源路径判断用户对于资源的请求是否属于越权访问；

11、在用户对于资源的请求属于授权范围内访问时，或者用户对于资源的请求包含未授权范围或者授权不明的，创建令牌，并分发至资源对应的应用服务器和代理服务器；所述应用服务器在获取资源时验证令牌是否有效，并在获取资源后使令牌失能。

12、优选的，所述基于应用服务器的资源和数据保护算法，获得对应于用户发起的资源请求的混淆器包括：

13、接收应用服务器已获取的资源，获得其包含的资源列表；根据该资源请求对应的发起用户的权限，判断资源列表是否包含越权访问的内容，在包含时，产生空白的混淆器；否则基于数据保护算法产生混淆器。

14、优选的，所述基于用户权限和资源调用图，判断用户对于资源访问是否越权包括：

15、基于用户权限对应预设的访问路径构建用户可用资源图，基于代理服务器实际已访问路径获得用户调用资源图，其中，用户可用资源图和用户调用资源图均包括点和边，点为资源路径，边为调用依赖关系；

16、比较用户可用资源图和用户调用资源图，获得仅包含用户调用资源图的点和边的差异图；

17、基于差异图属于其他用户或者高权限组用户判断用户对于资源访问是否越权。

18、优选的，所述根据用户对于资源访问是否越权的判断结果生成操作代理服务器的命令，控制用户对于目标资源的访问包括：

19、在用户越权时，生成代理服务器终止用户连接的命令并发送至代理服务器；

20、在用户未越权时，向代理服务器发送混淆器，代理服务器基于混淆器生成的盐对目标资源进行解码。

21、本发明可以实现数据中心内对于数据的安全访问，通过代理服务器降低风险，并根据用户接入上下文和资源关系进行数据的获取。

技术特征：

1.一种用于安全接入数据中心的访问系统，其特征在于，

2.如权利要求1所述的用于安全接入数据中心的访问系统，其特征在于，所述代理服务器的创建过程包括：

3.如权利要求1所述的用于安全接入数据中心的访问系统，其特征在于，所述获取代理服务器的资源请求，对用户请求的资源进行鉴权并提供令牌具体包括：

4.如权利要求1所述的用于安全接入数据中心的访问系统，其特征在于，所述基于应用服务器的资源和数据保护算法，获得对应于用户发起的资源请求的混淆器包括：

5.如权利要求1所述的用于安全接入数据中心的访问系统，其特征在于，所述基于用户权限和资源调用图，判断用户对于资源访问是否越权包括：

6.如权利要求1所述的用于安全接入数据中心的访问系统，其特征在于，所述根据用户对于资源访问是否越权的判断结果生成操作代理服务器的命令，控制用户对于目标资源的访问包括：

技术总结
本发明涉及信息安全技术领域，具体涉及一种用于安全接入数据中心的访问系统。本发明提供的访问系统根据用户的接入请求创建代理服务器；获取代理服务器的资源请求，对用户请求的资源进行鉴权并提供令牌；基于应用服务器的资源信息和数据保护算法，获得对应于用户发起的资源请求的混淆器；基于用户权限和资源调用图，判断用户对于资源访问是否越权；根据用户对于资源访问是否越权的判断结果生成操作代理服务器的命令，控制用户对于目标资源的访问。本发明可以提高数据中心接入的安全系数。

技术研发人员：江连丰,张明,刘恒,刘斌
受保护的技术使用者：北京空宇数联信息技术有限公司
技术研发日：
技术公布日：2024/1/14