[发明专利]一种云访问控制的方法、代理服务器和系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种云访问控制方法、装置和系统。

背景技术

“云”就是计算机群，每一群包括了几十万台、甚至上百万台计算机。“云”的好处在于，其中的计算机可以随时更新。这也就代表着“云”中的资源可以随时获取，按需使用，随时扩展，按使用付费。与以往的计算方式相比，它可以将计算资源集中起来，由软件实现自主管理，如此使得运算操作和数据存储的使用可以脱离用户机，从而摆脱一直以来“硬件决定性能”的局面。

在传统的企业应用中，用户的账号是由内部系统分配的，并且这些账号只能在企业内部网络上使用。而用户在使用云服务时，账号是由云提供商提供的，只要拥有了账号，可以在互联网上任何地方使用云服务。如果员工都使用企业申请的同一个公共账号访问云，则无法区分使用者，不能对各个使用者实施包括权限管理的策略控制。如果企业为每一个员工分别申请一个账号，又会带来一些管理上的负担，一方面是因为数量众多，总帐号数等于员工数乘以云服务数；另一方面需要在每一个云服务器端创建或修改账号，且策略控制依赖于云提供商的实现，由于策略控制在云端导致企业不能对策略实施的结果进行统计、分析和审计，管理不便；更重要的是如果员工离职后没有及时删除，存在账号泄露风险，且为每一个员工创建账号暴露了企业的组织信息，对于某些企业来说无法接受。

发明内容

有鉴于此，本发明提供了一种云访问控制的方法、装置和系统。企业能够对云访问者进行身份验证和策略控制，有效地对使用者进行管理和统计，避免在服务器端进行设置，提高了管理的效率。

第一方面，本发明实施例提供了一种对云访问控制的方法，包括：

接收客户端发送的包括用户身份信息和云操作信息的第一访问请求；

若验证所述用户身份信息为合法时，根据预置的策略信息验证所述云操作信息；

若验证所述云操作信息为合法时，当代理服务器中没有所述第一访问请求指示的内容时，生成第二访问请求，并发送至云服务器；

接收所述云服务器响应所述第二访问请求的结果，并转发至所述客户端。

在第一方面的第一种可能的实现方式中，所述用户身份信息包括：第一用户标识和第一签名，所述第一签名是根据代理服务器分配的所述第一用户标识和第一密钥标识，通过预置的签名算法生成；

所述方法还包括：

从所述身份信息中获取第一用户标识，并根据所述第一用户标识在代理服务器上查询对应的密钥标识；

根据所述第一用户标识和所述密钥标识通过所述预置的签名算法计算出第二签名；

比较所述第二签名是否与所述第一签名相同，若相同，则确定用户身份合法，若不同，则向所述客户端返回用户身份验证未通过的提示信息。

结合第一方面或第一方面的第一可能的实现方式，在第二种可能的实现方式中，所述生成第二访问请求包括：

获取所述云服务器发行的云账号，所述云账号包括第二用户标识和第二密钥标识；

根据所述第二用户标识和第二密钥标识通过所述预置的签名算法计算出第三签名；

将所述第一访问请求中的所述第一用户标识替换为第二用户标识、所述第一签名替换为所述第三签名，以生成第二访问请求。

结合第一方面或第一方面的第一种或第二种可能的实现方式，在第三种可能的实现方式中，还包括：

当所述代理服务器中保存有所述第一访问请求指示的内容时，则直接将所述代理服务器中保存的所述第一访问请求指示的内容返回至所述客户端。

结合第一方面或第一方面的任一种可能的实现方式，在第四种可能的实现方式中，还包括：

若所述云操作信息验证结果为不合法，则向所述客户端返回提示信息以提示所述第一访问请求不满足所述预置的策略信息。

第二方面，本发明提供一种代理服务器，包括：

请求接收模块，用于接收客户端发送的包括用户身份信息和云操作信息的第一访问请求；

策略验证模块，用于若验证所述用户身份信息为合法时，根据预置的策略信息验证所述云操作信息；

请求发送模块，用于若验证所述云操作信息为合法时，当代理服务器中没有所述第一访问请求指示的内容时，生成第二访问请求，并发送至云服务器；

内容转发模块，用于接收所述云服务器响应所述第二访问请求的结果，并转发至所述客户端。

在第二方面的第一种可能的实现方式中，还包括：