CN112565189A - 一种基于云计算数据安全的访问控制*** - Google Patents
一种基于云计算数据安全的访问控制*** Download PDFInfo
- Publication number
- CN112565189A CN112565189A CN202011218117.9A CN202011218117A CN112565189A CN 112565189 A CN112565189 A CN 112565189A CN 202011218117 A CN202011218117 A CN 202011218117A CN 112565189 A CN112565189 A CN 112565189A
- Authority
- CN
- China
- Prior art keywords
- cloud computing
- access
- domain user
- computing platform
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 claims abstract description 63
- 238000000605 extraction Methods 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000000034 method Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于云计算数据安全的访问控制***,属于云计算技术领域,包括访问策略单元、可信授权单元和用户单元,所述用户单元包括内域用户和外域用户,其中所述访问策略单元用于连接所述内域用户和云计算平台,所述可信授权单元用于连接所述外域用户和所述云计算平台;所述访问策略单元接收所述内域用户的访问请求,验证所述内域用户的身份信息,使所述内域用户与所述云计算平台之间数据互传;所述可信授权单元加密所述云计算平台的授权指令,使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。通过访问策略单元和可信授权单元将访问云计算平台的用户分为内域用户和外域用户,分别控制访问流程更加的安全可靠。
Description
技术领域
本发明涉及云计算技术领域,特别涉及一种基于云计算数据安全的访问控制***。
背景技术
随着云计算的发展,云安全成为越来越关键的问题.在云计算环境中,用户对放置在云服务器中的数据和计算失去控制,对于数据是否受到保护、计算任务是否被正确执行都不能确定,因此需要设计相应的安全机制和体系结构来保护用户数据的机密性、完整性、可用性。如何实现对云存储中大量具有分类分级特点资源的细粒度访问控制机制,保障云存储中数据不被非法访问,是云计算技术中急需解决的问题。
传统的云计算访问控制一般通过验证访问用户的身份信息来确定是否具备访问权限,为了保证身份正常验证需要通过身份信息存储来完成,但是云计算平台在内域网络中使用时容易对网络进行安全防护,在外域网络使用时,无法保证网络的安全性,因此容易受到攻击,导致身份信息存储模块受损,更严重还会泄露用户的信息,导致访问控制存在安全隐患。
发明内容
本发明的目的就在于为了解决上述云计算在访问控制时无法保证外域用户的安全访问,存在安全隐患的问题而提供一种基于云计算数据安全的访问控制***,具有通过访问策略单元和可信授权单元对内域和外域用户双重保护,数据访问更加安全可靠,不易受到恶意攻击的优点。
本发明通过以下技术方案来实现上述目的,一种基于云计算数据安全的访问控制***,包括访问策略单元、可信授权单元和用户单元,所述用户单元包括内域用户和外域用户,其中所述访问策略单元用于连接所述内域用户和云计算平台,所述可信授权单元用于连接所述外域用户和所述云计算平台;
所述访问策略单元接收所述内域用户的访问请求,验证所述内域用户的身份信息,使所述内域用户与所述云计算平台之间数据互传;
所述可信授权单元加密所述云计算平台的授权指令,使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。
优选的,所述访问策略单元还连接身份存储模块,通过调用所述身份存储模块内部的身份信息识别所述内域用户的身份。
优选的,所述访问策略单元包括身份认证组件、特征提取模块、策略控制模块、权限分配模块和数据转发模块,身份认证组件用于认证内域用户的身份信息,特征提取模块用于提取访问需求,策略控制模块用于匹配访问需求,所述权限分配用于分配访问权限,所述数据转发模块用于收发数据。
优选的,所述权限分配模块还连接有权限管理模块。
优选的,所述数据转发模块内部设置标准协议转换模块,将内域用户上传的数据转换为供云计算平台识别的标准协议格式的数据。
优选的,所述外域用户连接云计算平台和可信授权单元,通过可信授权单元获取云计算平台的授权指令,并向云计算平台发出访问请求和收发访问数据。
优选的,所述可信授权单元包括数据接收模块和加密模块,通过数据接收模块接收云计算平台的授权指令,通过加密模块对授权指令进行加密。
优选的,所述授权指令由云计算平台接收到外域用户发出的访问需求时随机生成。
与现有技术相比,本发明的有益效果是:
1、通过访问策略单元和可信授权单元将访问云计算平台的用户分为内域用户和外域用户,内域用户采用身份验证的方式获得访问权限,外域用户采用解密的方式获得访问权限,通过分别控制访问权限,使云计算平台与用户的数据交互更加的安全可靠,也降低了跨域访问的难度,满足云计算的使用需求。
2、可信授权单元通过对授权指令进行加密,再由外域用户解密获得授权指令,才可实现对云计算平台的访问,这样不易受到外域的网络攻击,而且每次访问的授权指令随机生成,使用完毕后失效,也避免了二次使用带来的安全隐患。
附图说明
图1为本发明的整体***框架结构示意图。
图2为本发明的访问策略单元内部模块连接示意图。
图3为本发明的可信授权单元运行流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1所示,一种基于云计算数据安全的访问控制***,包括访问策略单元、可信授权单元和用户单元,所述用户单元包括内域用户和外域用户,其中所述访问策略单元用于连接所述内域用户和云计算平台,所述可信授权单元用于连接所述外域用户和所述云计算平台;所述访问策略单元接收所述内域用户的访问请求,验证所述内域用户的身份信息,使所述内域用户与所述云计算平台之间数据互传;所述可信授权单元加密所述云计算平台的授权指令,使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。通过访问策略单元实现内域用户的访问控制,通过可信授权单元实现外域用户的访问控制,内域用户采用身份验证的方式来获取访问权限,更加容易管理,外域用户通过可信授权单元提供解密授权指令的方式来获取访问权限,更加的安全,不易受到外域网络漏洞的攻击,不易造成用户身份泄露,因两种访问控制方式,保证用户正常访问的同时提高了访问的安全性。
如图2所示,所述访问策略单元还连接身份存储模块,通过调用所述身份存储模块内部的身份信息识别所述内域用户的身份,身份存储模块存储所有内域用户的身份信息,当内域用户向访问策略单元发送访问请求时,访问策略单元通过调用身份存储模块的身份信息与发出请求的内域用户身份信息进行对比,从而识别该内域用户是否具备访问资格,所述访问策略单元包括身份认证组件、特征提取模块、策略控制模块、权限分配模块和数据转发模块,身份认证组件用于认证内域用户的身份信息,特征提取模块用于提取访问需求,策略控制模块用于匹配访问需求,所述权限分配用于分配访问权限,所述数据转发模块用于收发数据,所述权限分配模块还连接有权限管理模块,权限管理模块用于云计算平台管理员指定权限标准,设定权限等级,所述数据转发模块内部设置标准协议转换模块,将内域用户上传的数据转换为供云计算平台识别的标准协议格式的数据,内域用户可向云计算平台发送不同协议格式的数据,通过数据转发模块内部的标准协议转换模块转化成标准协议格式,存储在云计算平台中。
所述外域用户连接云计算平台和可信授权单元,通过可信授权单元获取云计算平台的授权指令,并向云计算平台发出访问请求和收发访问数据,所述可信授权单元包括数据接收模块和加密模块,通过数据接收模块接收云计算平台的授权指令,通过加密模块对授权指令进行加密,所述授权指令由云计算平台接收到外域用户发出的访问需求时随机生成,当云计算平台接收到外域用户发送的访问请求时,随机生成一个授权指令,该授权指令每次使用不完毕后便失效,这样即使授权指令被网络病毒获取,也无法二次使用,提高了数据保护的安全性,可信授权单元的使用原理如图3所示,可信授权单元通过内部的数据接收模块接收来自云计算平台发送的授权指令,通过加密模块的私钥对授权指令进行加密,并广播到全域,外域用户想要破解授权指令必须先获得可信授权单元的授权,用户通过公钥解密获取授权指令,访问云计算平台。可信授权单元的解密私钥是定期更换的,在每次更换私钥之后,公钥得到更新,并及时发送给老外域用户,使其可以继续使用,保证了私钥和公钥的安全。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
Claims (8)
1.一种基于云计算数据安全的访问控制***,其特征在于,包括访问策略单元、可信授权单元和用户单元,所述用户单元包括内域用户和外域用户,其中所述访问策略单元用于连接所述内域用户和云计算平台,所述可信授权单元用于连接所述外域用户和所述云计算平台;
所述访问策略单元接收所述内域用户的访问请求,验证所述内域用户的身份信息,使所述内域用户与所述云计算平台之间数据互传;
所述可信授权单元加密所述云计算平台的授权指令,使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。
2.根据权利要求1所述的一种基于云计算数据安全的访问控制***,其特征在于,所述访问策略单元还连接身份存储模块,通过调用所述身份存储模块内部的身份信息识别所述内域用户的身份。
3.根据权利要求1所述的一种基于云计算数据安全的访问控制***,其特征在于,所述访问策略单元包括身份认证组件、特征提取模块、策略控制模块、权限分配模块和数据转发模块,身份认证组件用于认证内域用户的身份信息,特征提取模块用于提取访问需求,策略控制模块用于匹配访问需求,所述权限分配用于分配访问权限,所述数据转发模块用于收发数据。
4.根据权利要求3所述的一种基于云计算数据安全的访问控制***,其特征在于,所述权限分配模块还连接有权限管理模块。
5.根据权利要求3所述的一种基于云计算数据安全的访问控制***,其特征在于,所述数据转发模块内部设置标准协议转换模块,将内域用户上传的数据转换为供云计算平台识别的标准协议格式的数据。
6.根据权利要求1所述的一种基于云计算数据安全的访问控制***,其特征在于,所述外域用户连接云计算平台和可信授权单元,通过可信授权单元获取云计算平台的授权指令,并向云计算平台发出访问请求和收发访问数据。
7.根据权利要求6所述的一种基于云计算数据安全的访问控制***,其特征在于,所述可信授权单元包括数据接收模块和加密模块,通过数据接收模块接收云计算平台的授权指令,通过加密模块对授权指令进行加密。
8.根据权利要求6所述的一种基于云计算数据安全的访问控制***,其特征在于,所述授权指令由云计算平台接收到外域用户发出的访问需求时随机生成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011218117.9A CN112565189A (zh) | 2020-11-04 | 2020-11-04 | 一种基于云计算数据安全的访问控制*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011218117.9A CN112565189A (zh) | 2020-11-04 | 2020-11-04 | 一种基于云计算数据安全的访问控制*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112565189A true CN112565189A (zh) | 2021-03-26 |
Family
ID=75041905
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011218117.9A Pending CN112565189A (zh) | 2020-11-04 | 2020-11-04 | 一种基于云计算数据安全的访问控制*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565189A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113395271A (zh) * | 2021-06-07 | 2021-09-14 | 武汉卓尔信息科技有限公司 | 一种云计算平台中数据安全访问方法及云计算平台 |
| CN115664800A (zh) * | 2022-10-25 | 2023-01-31 | 白城师范学院 | 一种基于云计算的大数据安全防护*** |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262474A (zh) * | 2008-04-22 | 2008-09-10 | 武汉理工大学 | 一种基于跨域授权中介实现角色和组映射的跨域访问控制*** |
| US8276190B1 (en) * | 2008-08-19 | 2012-09-25 | Google Inc. | Cross-domain authentication |
| CN102984252A (zh) * | 2012-11-26 | 2013-03-20 | 中国科学院信息工程研究所 | 一种基于动态跨域安全令牌的云资源访问控制方法 |
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
| CN104301418A (zh) * | 2014-10-23 | 2015-01-21 | 西安未来国际信息股份有限公司 | 一种基于saml的跨域单点登录***及登录方法 |
| CN105791359A (zh) * | 2014-12-24 | 2016-07-20 | 慧贤网智有限公司 | 物联网***和数据交互方法 |
| CN106161566A (zh) * | 2015-04-24 | 2016-11-23 | 中兴通讯股份有限公司 | 一种云计算数据中心访问管理方法和云计算数据中心 |
| CN106506500A (zh) * | 2016-11-10 | 2017-03-15 | 济南浪潮高新科技投资发展有限公司 | 一种基于saml和xacml的云计算统一身份认证的方法 |
| CN109194484A (zh) * | 2018-08-14 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于共享密钥的令牌跨域传输方法 |
| CN110933033A (zh) * | 2019-10-27 | 2020-03-27 | 西安电子科技大学 | 智慧城市环境下多物联网域的跨域访问控制方法 |
| CN111431920A (zh) * | 2020-03-31 | 2020-07-17 | 中国建设银行股份有限公司 | 一种基于动态令牌的安全控制方法及*** |
-
2020
- 2020-11-04 CN CN202011218117.9A patent/CN112565189A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262474A (zh) * | 2008-04-22 | 2008-09-10 | 武汉理工大学 | 一种基于跨域授权中介实现角色和组映射的跨域访问控制*** |
| US8276190B1 (en) * | 2008-08-19 | 2012-09-25 | Google Inc. | Cross-domain authentication |
| CN102984252A (zh) * | 2012-11-26 | 2013-03-20 | 中国科学院信息工程研究所 | 一种基于动态跨域安全令牌的云资源访问控制方法 |
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
| CN104301418A (zh) * | 2014-10-23 | 2015-01-21 | 西安未来国际信息股份有限公司 | 一种基于saml的跨域单点登录***及登录方法 |
| CN105791359A (zh) * | 2014-12-24 | 2016-07-20 | 慧贤网智有限公司 | 物联网***和数据交互方法 |
| CN106161566A (zh) * | 2015-04-24 | 2016-11-23 | 中兴通讯股份有限公司 | 一种云计算数据中心访问管理方法和云计算数据中心 |
| CN106506500A (zh) * | 2016-11-10 | 2017-03-15 | 济南浪潮高新科技投资发展有限公司 | 一种基于saml和xacml的云计算统一身份认证的方法 |
| CN109194484A (zh) * | 2018-08-14 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于共享密钥的令牌跨域传输方法 |
| CN110933033A (zh) * | 2019-10-27 | 2020-03-27 | 西安电子科技大学 | 智慧城市环境下多物联网域的跨域访问控制方法 |
| CN111431920A (zh) * | 2020-03-31 | 2020-07-17 | 中国建设银行股份有限公司 | 一种基于动态令牌的安全控制方法及*** |
Non-Patent Citations (2)
| Title |
|---|
| 王于丁等: "云计算访问控制技术研究综述", 《软件学报》 * |
| 王小威等: "一种基于任务角色的云计算访问控制模型", 《计算机工程》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113395271A (zh) * | 2021-06-07 | 2021-09-14 | 武汉卓尔信息科技有限公司 | 一种云计算平台中数据安全访问方法及云计算平台 |
| CN115664800A (zh) * | 2022-10-25 | 2023-01-31 | 白城师范学院 | 一种基于云计算的大数据安全防护*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361668B (zh) | 一种数据可信传输方法 | |
| JP6965921B2 (ja) | ネットワーク機能仮想化システム及び検証方法 | |
| US5802178A (en) | Stand alone device for providing security within computer networks | |
| CN101401387B (zh) | 用于嵌入式设备的访问控制方法 | |
| CN101170409B (zh) | 实现设备访问控制的方法、***、业务设备和认证服务器 | |
| CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
| EP2887576A1 (en) | Software key updating method and device | |
| CN101741860B (zh) | 一种计算机远程安全控制方法 | |
| CN103685323A (zh) | 一种基于智能云电视网关的智能家居安全组网实现方法 | |
| CN113596009B (zh) | 零信任访问方法、***、零信任安全代理、终端及介质 | |
| CN101605137A (zh) | 安全分布式文件*** | |
| CN111954211B (zh) | 一种移动终端新型认证密钥协商*** | |
| CN106027473B (zh) | 身份证读卡终端与云认证平台数据传输方法和*** | |
| CN103701792A (zh) | 可信授权方法、***、可信安全管理中心和服务器 | |
| JP2017152880A (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
| CN112565189A (zh) | 一种基于云计算数据安全的访问控制*** | |
| KR100842276B1 (ko) | 무선 lan 보안 표준 기술을 확장한 무선 rfid의료기기 접근제어방법 | |
| CN110519238B (zh) | 一种基于密码技术的物联网安全***和通信方法 | |
| CN115865320A (zh) | 一种基于区块链的安全服务管理方法及*** | |
| CN113794563A (zh) | 一种通信网络安全控制方法及*** | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN108989302B (zh) | 一种基于密钥的opc代理连接***和连接方法 | |
| KR102055888B1 (ko) | 정보 보호를 위한 파일 암복호화 방법 | |
| CN113783846A (zh) | 一种可信数据传输***及方法 | |
| CN205029678U (zh) | 一种基于usb协议的安全通信*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210326 |
|
| RJ01 | Rejection of invention patent application after publication |