一种基于云计算的安全访问方法技术

提供一种基于云计算的安全访问方法，包括用户向云服务器发送资源申请请求，若云服务器不能够确定所述用户是否拥有申请所述资源的权限，则将资源申请请求发送给资源拥有者，资源拥有者对用户进行授权，用户获得相应资源申请权限，用户释放资源后，将用户申请相应资源的所述权限收回。本发明专利技术提供的方法在用户申请资源时为用户分配相应的资源申请权限，在用户释放资源后，将用户申请相应资源的权限收回，可以有效防止安全泄漏。

A secure access method based on Cloud Computing

Provide a safe access method based on cloud computing resources, including sending user Xiang Yun server application request, if the cloud server can not determine whether the user has permission to apply for the resources, the resource application request to the resource owner, the owner of the resource to the user authorization, the corresponding resource application users. The user releases the resources, the authority will apply for the corresponding user resource recovery. The method provided by the invention allocates corresponding resource application rights for users when the user applies for resources, and after the user releases the resources, the user applies for the permission of the corresponding resources to recover the security, thereby effectively preventing the security leakage.

【技术实现步骤摘要】
一种基于云计算的安全访问方法
本专利技术涉及安全访问
，特别是涉及基于云计算的客体安全访问方法。
技术介绍
伴随着云计算兴起，云计算给用户提供了大型计算、存储等服务，解决了资源共享、硬件资源池异构等问题给用户带来了便利，但同时也给用户带来安全上的隐患。存储的介质被第三方控制，用户自己对数据的安全性的可控程度明显减弱。从而最终的用户担心非授权用户读取等问题，另外目前云服务提供者都不具备服务水平协议。用户的访问控制策略是实现用户数据私密性和进行保护的一个重要手段。目前传统运用于云计算的访问控制策略一般为基于角色的访问控制策略。这种策略是云管理平台系统将系统的访问权限分配给角色，然后新申请的用户从拥有的角色中获取相应的权限。这种策略的弊端是只适用于角色结构严谨的企业内部访问控制。随着分布式计算的发展，组织任务的进一步自动化，使得安全问题从独立的计算机系统静态的主体和客体保护转移到动态的授权保护中。一个合适的访问控制机制应该保证授权只有在任务开始执行时才能授权且任务结束授权就要被回收，否则导致安全的泄漏。为此，需要提出一种改进的应用于云计算系统访问控制策略。
技术实现思路
为了解决上述技术问题，本专利技术提出一种基于云计算的安全访问方法，包括如下步骤：S1：用户向云服务器发送资源申请请求；S2:若云服务器不能够确定所述用户是否拥有申请所述资源的权限，则将资源申请请求发送给资源拥有者；S3：资源拥有者对用户进行授权，用户获得相应资源申请权限；S4：用户释放资源后，将用户申请相应资源的所述权限收回。特别地，在所述步骤S2中，若云服务器在其自身保存的权限列表中搜索不到所述用户，则所述云服务器不能够确定所述用户是否拥有申请所述资源的权限。特别地，所述资源申请请求为申请访问资源拥有者的客体的请求，所述申请权限为申请访问所述客体的权限，所述步骤S3具体为：S31：资源拥有者验证用户信息后确定为用户授权；S32：资源拥有者向R-T组件申请授权证书；S33：R-T组件向资源拥有者返回授权证书；S34：资源拥有者将所述授权证书发放给用户，所述用户获得申请访问所述客体的权限。特别地，所述资源申请请求为虚拟机资源申请请求，所述步骤S2中发送给资源拥有者的资源申请请求中携带云服务器生成的用于用户申请虚拟机资源的授权证书，所述资源申请权限为虚拟机资源申请权限，所述步骤S3具体为：S31：虚拟机资源拥有者接收资源申请请求，从中获得所述授权证书；S32：虚拟机资源拥有者验证所述证书的合法性，若所述证书合法，则所述虚拟机资源拥有者为用户分配虚拟机资源申请权限。特别地，所述步骤S4具体为：所述步骤S4具体为：用户释放资源后，云服务器将其保存的权限列表中对应所述用户的权限信息复位，所述拥有者清除所述用户对应的授权证书。本专利技术具有如下效果：A)使用角色的概念来进行用户管理，具有清晰的角色层次管理，以及高扩展性和适应性。B)由于云计算中主体对客体的权限需求有明显的角色属性区别，根据主体对客体访问的操作需求，把云计算中的访问主体分成所有者、云服务器、共享访问者3类，进行角色分类授权管理，应对共享访问者的频繁变动。C)通过授权管理转换云服务器在访问控制中的角色，云服务器通过客体拥有者授权获得权限，并在授权过程管理中充当传递访问请求的可信中间人，使得访问控制安全不需要完全依赖于云服务器的可信度，同时利用云服务器分担部分授权工作，减轻用户负担。D)在用户申请资源时为用户分配相应的资源申请权限，在用户释放资源后，将用户申请相应资源的权限收回，可以有效防止安全泄漏。附图说明图1为本专利技术实施方式一提出的方法流程图。图2为本专利技术实施方式二提出的方法流程图。具体实施方式本专利技术通过实施方式一和二来具体描述基于云计算的安全访问方法。正如
技术实现思路
中所描述的，在云计算环境下，访问控制的安全策略主要通过以下4个角度的管理实现:(1)用户管理(2)任务管理(3)数据管理(4)授权过程管理实施方式一：参照图1，定义云服务器为Sever，根据本专利技术实施方式一，用户User访问拥有者Owner拥有的客体AO的步骤流程如下：(1)用户User向云服务器Server发送访问拥有者Owner的客体AO的请求AccessReq；(2)云服务器Server检查其保存的客体权限列表，若用户User在所述客体权限列表中并确定用户User拥有该客体的访问授权，则验证用户User，并向用户User返回授权证书，转第(6)步；否则向用户User发送拒绝信息，流程结束。若用户User不在所述客体权限列表中，则把所述AccessReq转发给拥有者Owner，转第(3)步；(3)通过用户User与拥有者Owner相互验证对方信息，拥有者Owner判断是否给用户User授权，若不授权，则向用户User发送访问拒绝信息，流程结束；若授权，转第(4)步；(4)拥有者Owner向R-T组件申请创建任务，R-T组件向拥有者Owner返回授权证书；(5)拥有者Owner向用户User发送证书；(6)用户User向客体AO发起访问请求。(7)用户User结束访问，云服务器Server更新客体权限列表，将用户User权限状态复位，例如将用户信息从所述权限列表中清除；同时，拥有者Owner回收用户User所使用资源，清除该User在Owner处保存的授权证书。实施方式二：参照图2描述本专利技术提出的实施方式二公开的基于云计算的安全访问方法。（1）用户User申请虚拟机资源，生成虚拟机申请请求；（2）云服务器Server端保存用户的权限信息，其收到用户User申请请求，若云服务器Server端保存有用户User的权限信息并且确定该用户User具有申请虚拟机资源的权限，则分配给该用户User所申请的虚拟机资源，转步骤（6）；如果确定用户User没有申请虚拟机资源的权限，则向用户User发送拒绝信息，流程结束；（3）如果云服务器Server没有保存该用户User的权限信息，则云服务器Server端为用户生成一个授权证书，添加到申请虚拟机的请求中，并将该请求转发给虚拟机资源拥有者Owner；（4）拥有者Owner提取请求中的证书信息，验证证书合法性。如果证书合法，则为用户User分配虚拟机申请权限，同时记录在云服务器server端权限列表中；如果不合法，则经由云服务器Server向用户发送拒绝信息，流程结束。（5）云服务器Server端根据请求的验证情况，为用户User分配所需虚拟机资源；（6）用户User使用完虚拟机，将虚拟机资源释放。云服务器server端收到释放请求后，将用户User权限状态复位，例如云服务器Server端删除保存的用户的权限信息，同时回收资源。与实施方式一的不同之处在于，实施方式二由服务器Server为用户User生成证书，由拥有者Owner验证证书的合法性，这样就省略了使用R-T组件。当然，本专利技术还可有其他多种实施例，在不背离本专利技术精神及其实质的情况下，熟悉本领域的技术人员当可根据本专利技术作出各种相应的改变和变形，但这些相应的改变和变形都应属于本专利技术的权利要求的保护范围。本文档来自技高网...

【技术保护点】
一种基于云计算的安全访问方法，其特征在于包括如下步骤：S1：用户向云服务器发送资源申请请求；S2：若云服务器不能够确定所述用户是否拥有申请所述资源的权限，则将资源申请请求发送给资源拥有者；S3：资源拥有者对用户进行授权，用户获得相应资源申请权限；S4：用户释放资源后，将用户申请相应资源的所述权限收回。

【技术特征摘要】
1.一种基于云计算的安全访问方法，其特征在于包括如下步骤：S1：用户向云服务器发送资源申请请求；S2：若云服务器不能够确定所述用户是否拥有申请所述资源的权限，则将资源申请请求发送给资源拥有者；S3：资源拥有者对用户进行授权，用户获得相应资源申请权限；S4：用户释放资源后，将用户申请相应资源的所述权限收回；所述资源申请请求为虚拟机资源申请请求，所述步骤S2中发送给资源拥有者的资源申请请求中携带云服务器生成的用于用户申请虚拟机资源的授权证书，所述资源申请权限为虚拟机资源申请权限，所述步骤S3具体为：S31：虚拟机资源拥有者接收资源申请请求，从中获得所述授权证书；S32：虚拟机资源拥...

【专利技术属性】
技术研发人员：张新玲，支连意，马旭军，
申请(专利权)人：浪潮北京电子信息产业有限公司，
类型：发明
国别省市：