[发明专利]一种自动构建云访问控制的方法及系统

权利要求书

1.一种自动构建云访问控制的方法，其特征在于，包括以下步骤：

S1、云访问控制系统初始化，通过云服务统一控制系统与证书颁发机构CA交互，为用户颁发证书，从而实现用户私钥的安全下发；

S2、安全管理员对于安全下发的用户私钥进行安全管理，发起服务配置，自动发现云数据中心不同类型的服务，依据服务列表，为每个服务设置安全访问信息，并依据服务的安全策略属性构建服务的访问结构，经过安全处理后进行存储；

S3、客户端发起服务访问，经过云服务统一控制系统的决策，访问其权限范围内的服务。

2.根据权利要求1所述的方法，其特征在于，所述S1步骤包括：

1a.构建云访问控制系统密码体系，CA选取云服务统一控制系统公共参数、消息空间和主密钥；

1b.安全管理员为用户确定属性集合S；CA随机获取秘密参数t，并计算用户公钥UPK；

1c.用户把用户身份信息、属性集合S和公钥UPK使用CA的公钥SPK加密后，发送给CA；

1d.CA解密并验证用户身份信息，验证后，计算用户证书，并把证书发送给用户；

1e.用户接收证书后，解密证书，并计算出其私钥USK。

3.根据权利要求1所述的方法，其特征在于，所述S2步骤中的所述自动发现云数据中心不同类型的服务包括云数据中心新增服务部署于云计算集群中虚拟机之上，监听自动发现所述新增服务，并上报服务发现模块。

4.根据权利要求3所述的方法，其特征在于，所述S2步骤中的所述依据服务的安全策略属性构建服务的访问结构包括采用所述服务发现模块进行服务的去重处理，确定云数据中心上线了新增服务，发送新增服务上线消息给所述安全管理员，安全管理员接收到新增服务上线消息后，梳理所述新增服务的访问权限，基于安全策略属性构建访问结构。

5.根据权利要求4所述的方法，其特征在于，所述S2步骤中的所述经过安全处理后进行存储包括确定服务关键信息，调用安全处理模块，使用构建的所述服务的访问结构，加密权限校验数据以及服务访问地址，把财务管理门户、权限校验数据的密文以及服务访问地址的密文进行存储。

6.根据权利要求1所述的方法，其特征在于，所述S3步骤包括：

3a.客户端发起服务访问请求，把客户端的IP地址、财务管理门户和用户身份发送给访问代理；

3b.访问代理接收请求后，查询存储的访问信息，返回财务管理门户、权限校验数据的密文以及服务访问地址的密文给客户端；

3c.客户端首先获取权限校验数据的密文和服务访问地址的密文的访问结构，如果客户端具备访问财务管理门户的权限，解密得到权限校验数据和服务访问地址；如果客户端不具备访问财务管理门户的权限，解密后无法得到正确的权限校验数据和服务访问地址；

3d.客户端根据云服务统一控制系统的属性，确定一个访问结构，加密3c步骤解密出来的权限校验数据和服务访问地址，把财务管理门户、权限校验数据的密文以及服务访问地址的密文发送给访问代理；

3e.访问代理利用安全处理模块解密客户端发来的权限校验数据的密文和服务访问地址的密文，并从存储的访问信息检索财务管理门户条目并解密，比较两个权限校验数据是否一致，如果一致，表示客户端正确解密财务管理门户条目，有权访问该业务系统，且已经正确解密该服务访问地址；如果不一致，表示客户端未正确解密财务管理门户条目，无权访问该业务系统，且未正确解密服务访问地址，也保障了该服务的安全性，访问代理把服务名称、服务访问地址、客户端IP地址以及服务访问地址和客户端IP地址一致与否发送给规则管理；

3f.规则管理接收访问代理的数据，如果一致，则下发客户端IP地址与服务访问地址允许访问的策略到交换机；如果不一致，则下发客户端IP地址与服务访问地址拒绝访问的策略到交换机；规则配置成功后，返回给访问代理，并进一步返回给客户端；

3g.客户端使用服务访问地址访问财务管理门户，访问代理直接转发相关访问请求到交换机，交换机根据自身IP配置策略，实现流量转发控制，从而实现客户端对云服务的访问控制。

7.一种自动构建云访问控制的系统，使用如权利要求1-6任一项所述的方法，其特征在于，包括：

密码模块：用于构建云访问控制系统密码体系，CA选取云访问控制系统公共参数、消息空间和主密钥，通过安全管理员确定用户属性集合S，CA随机获取秘密参数t，并计算用户公钥UPK；通过用户把用户身份信息、属性集合S和公钥UPK使用CA的公钥SPK加密后，发送给CA，CA解密并验证用户身份信息，计算用户证书，把证书发送给用户，通过用户解密证书，计算出其私钥USK；

服务发现模块：接收新增服务，进行服务的去重处理，确定云数据中心上线了新增服务，发送新增服务上线消息给安全处理模块；

服务发现代理：用于监听自动发现新增服务，并上报服务发现模块；

安全处理模块：用于接收到新增服务上线消息后，梳理所述新增服务的访问权限，基于安全策略属性构建访问结构；确定服务关键信息，使用构建的访问结构，加密权限校验数据和服务访问地址，把财务管理门户、权限校验数据的密文以及服务访问地址的密文进行存储；

访问代理：用于接收客户端发起的请求，查询访问信息数据库，返回财务管理门户、权限校验数据的密文和服务访问地址的密文给客户端；接收解密出来的权限校验数据和服务访问地址，把财务管理门户、权限校验数据的密文以及服务访问地址的密文，利用安全处理模块解密客户端发来的权限校验数据的密文和服务访问地址的密文，从访问信息数据库检索财务管理门户条目并解密，比较两个权限校验数据是否一致；

访问信息数据库：用于存储财务管理门户、权限校验数据的密文以及服务访问地址的密文；存储经过安全处理后的安全访问信息；

规则管理：用于接收访问代理的数据，如果一致，则下发客户端IP地址与服务访问地址允许访问的策略到交换机，如果不一致，则下发客户端IP地址与服务访问地址拒绝访问的策略到交换机；规则配置成功后，返回给所述访问代理，并进一步返回给客户端。