[发明专利]云平台的访问方法和装置

说明书

技术领域

本发明涉及计算机领域，并且特别地，涉及一种云平台的访问方法和装置。

背景技术

云计算操作系统是针对云计算中心的各类物理、虚拟资源进行统一地部署、监控和管理的信息管理系统。在云计算环境中，云平台需要与许多的第三方系统进行对接和交互。目前各大主流的云平台都提供了基于HTTP的WebService接口，以供其他系统调用和接入云平台。云平台的开放性要求其对外要提供多种多样功能的接口供其他系统使用。目前HTTP协议是最普遍，应用最广泛的协议之一，同时由于WebService接口的平台无关性，可以支持和兼容更多的第三方系统，因此，主流的云平台都提供基于HTTP协议的WebService接口。

然而，由于HTTP协议在安全方面的薄弱性，以及WebService接口的开放性（需要公开接口的服务地址、接口名称、返回结果，以及各个参数的意义，以便于大家了解接口的功能和意义），因此，在实际应用时，就导致了WebService接口在访问控制上面临着问题和威胁。如果不暴露接口，那么就无法和其他系统进行通信和交互；如果不合理的控制对接口的安全访问，那么就会导致大量的非法访问，轻则造成系统数据不一致、系统运行异常，重则导致系统资源浪费、系统数据的泄露，严重威胁系统的运行安全。

因此，为了避免云平台成为信息孤岛，同时达到云平台对于提高资源利用率、实现资源共享、弹性可伸缩的目标，所以既要保留系统对外提供的WebService接口，同时还要保证这些接口合理、安全的使用。

然而，目前大部分云平台对所提供的WebService接口并没有设置安全机制，对于接口的调用没有进行安全控制。只要知道了WebService的发布地址和接口名称，即可以连接系统，使用接口。这种使用方法必然会对系统带来严重的安全问题，同时造成云平台的资源浪费。

而少部分的云平台对于WebService的调用只是进行了简单的安全验证，比如，在基于SOAP协议的WebService中，一般采用在SOAP Header部分发送用户名和密码，云平台接收到请求后，首先会验证头部的用户名和密码是否正确，如果正确，则允许这次请求调用后台接口，否则返回验证错误。这种方式虽然在一定程度上可以避免和拒绝一些恶意的访问，但是依然有以下缺陷：

1）由于用户名和密码是在请求前就商量好的，不易于动态修改。如果需要修改的话，则需要修改程序或配置文件；

2)用户名和密码在传输时使用明文传输，容易被截获；

3)由于无法验证请求是否来自于云平台的用户，因此无法避免系统外用户的恶意访问，造成云平台资源的浪费.

针对相关技术中的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中的上述技术问题，本发明提出一种云平台的访问方法和装置，能够提高云平台的安全性，避免云平台遭受非法用户的恶意访问，降低云平台的资源浪费。

本发明的技术方案是这样实现的：

根据本发明的一个方面，提供了一种云平台的访问方法。

该云平台的访问方法包括：

在请求访问云平台的情况下，根据用户的请求参数生成访问标识；

向云平台发送访问标识，根据预先存储的对应每个用户的用户信息验证访问标识；

在访问标识通过验证的情况下，允许该用户访问云平台。

其中，请求参数包括组织ID和/或用户ID。

其中，在根据用户的请求参数生成访问标识时，可判断用户的请求参数是否包含原始访问标识。

并且，在根据用户的请求参数生成访问标识时，还可在用户的请求参数包含原始访问标识的情况下，判断该原始访问标识是否有效；并在原始访问标识有效的情况下，验证原始访问标识与用户的请求参数中包括的组织ID和/或用户ID是否匹配；同时在原始访问标识与用户的请求参数中包括的组织ID和/或用户ID匹配的情况下，返回用户的原始访问标识作为访问标识。

此外，在根据用户的请求参数生成访问标识时，也可在用户的请求参数不包括原始访问标识的情况下，根据用户的请求参数中的组织ID和/或用户ID生成新访问标识。

根据本发明的另一个方面，提供了一种云平台的访问装置。

该云平台的访问装置包括：

生成模块，用于在请求访问云平台的情况下，根据用户的请求参数生成访问标识；

验证模块，用于向云平台发送访问标识，根据预先存储的对应每个用户的用户信息验证访问标识；