本发明专利技术提供一种云计算环境下云应用访问控制的系统及方法,网关代理与客户端交互,接收用户对云应用的链接请求或向用户反馈授权的云应用;通过与网关代理交互的用户应用权限服务模块,对用户权限的有效性进行验证;通过与网关代理交互的应用路由服务模块在路由表中寻找有效的应用路由地址;通过与网关代理交互的云应用服务模块,提供与权限信息相匹配的云应用的运行环境。本发明专利技术通过网关代理将路由及认证在内部服务间完成,实现对应用权限统一管理,灵活控制,屏蔽了信息泄露的可能。
【技术实现步骤摘要】
本专利技术属于云计算领域,具体涉及云应用的使用和访问授权控制技术。
技术介绍
云计算是一种动态的、易扩展的、基于虚拟化的资源计算方式,通常是通过互联网提供,用户不需要了解云内部的细节。云计算服务包括3层,即基础设施即服务(IaaS)、基础平台即服务(PaaS)和软件即服务(SaaS)。基础设施即服务是针对网络、主机、存储等基础资源进行管理,是云计算体系的基石,是实现云计算的第一步;基础平台即服务是针对中间件、数据库等进行管理;软件即服务针对用户应用进行管理。云应用在云计算环境下主要有两种实现形式:一、应用服务托管的方式,应用在客户端有本地的运行界面,但是应用内部所涉及到的数据和计算部分都在后台云数据中心汇总。二、远程应用的方式,使您可以通过远程桌面服务远程访问程序,就好像它们在最终用户的本地计算机上运行一样。这些程序称为云应用程序,一般情况时在同一应用服务器之上会运行多个应用实例。然而,对于第二种方式,由于应用是实际运行在远端计算机中,所以当多个应用被多个用户使用时,不同应用或者不同用户同种应用之间存在相互之间信息泄露的风险。信息泄露风险主要体现在,1.应用访问记录的残留,暴露访问足迹;2.存储缓存容易被后续登录者获取;3.应用运行中可以对本级其他进程进行监控;4.无法做到有效的隔离。
技术实现思路
本专利技术提供一种云计算环境下云应用访问控制的系统及方法,对云应用权限进行控制,支持灵活方便的应用隔离,对于高安全级别应用作物理隔离,以解决信息泄露的问题。为了达到上述目的,本专利技术的一个技术方案是提供一种云计算环境下云应用访问控制的系统,其包含:网关代理,作为与客户端的接口,接收用户对云应用的链接请求,或向用户发送授权的云应用或拒绝链接请求的信息;用户应用权限服务模块,对用户权限信息进行管理维护,还根据与网关代理的交互接收用户认证信息,并对用户权限的有效性进行验证后反馈授权认证结果至网关代理;应用路由服务模块,对于记录有云应用服务分配信息的路由表进行维护及更新,还根据与网关代理的交互而在路由表中寻找有效的应用路由地址并反馈至网关代理;云应用服务模块,通过与网关代理交互,提供与权限信息相匹配的云应用的运行环境。可选地,所述应用路由服务模块进一步包含:状态更新模块,在路由表中更新应用服务器的信息、应用的使用情况;检查校验模块,对于路由表中是否有与链接请求相匹配的应用路由地址可供选择进行检查。本专利技术的另一个技术方案是提供一种云计算环境下云应用访问控制的方法,其包含以下步骤:A. 用户通过客户端发起对于云应用的链接请求,将该链接请求与用户认证信息一起发送至网关代理;B. 网关代理解析相关信息,并通过用户应用权限服务模块来验证用户权限;C.当收到用户权限验证为有效的信息后,网关代理通过应用路由服务模块在路由表中搜寻符合条件的应用路由地址;D. 依照搜寻到的应用路由地址,网关代理通过云应用服务模块向匹配该应用路由地址的云应用服务器进行链接;由云应用服务模块提供与用户权限相匹配的云应用的运行环境,由网关代理反馈至用户的客户端。可选地,步骤A之前,还通过应用路由服务模块对路由表进行初始化,来更新所有应用服务器的信息、所有应用的使用情况。可选地,步骤D中,应用路由服务模块还将根据本次链接请求而分配的应用服务器的信息在路由表中进行更新。可选地,步骤D之后,还包含在云应用使用退出后或者链接无效时,通过应用路由服务模块更新路由表状态,让下一次应用链接可用。可选地,步骤C中在搜寻应用路由地址时,根据用户权限之间是否互斥来确定可供部署的应用服务器。可选地,步骤D中,网关代理通过云应用服务模块向云应用服务器进行链接时,还同时发送与用户权限相匹配的应用的使用控制信息。与现有技术相比,本专利技术提供的云计算环境下云应用访问控制的系统及方法,其优点在于:通过网关代理的方式将路由及认证在内部服务间完成:维护及更新路由表供云应用选择查询,由应用权限服务模块和路由服务模块共同来确定提供服务的云应用地址,以便提供与权限相匹配的云应用,从而完成应用的访问控制。本专利技术支持远程应用的云应用方式,同时也适用于本地客户端方式创建的云应用。本专利技术可以根据路由策略,将不同的应用运行在同一机器上,或运行在同一个会话中,或运行在不同主机中,或运行在不同子网中,等等。本专利技术对应用权限统一管理,灵活控制,屏蔽了信息泄露的可能。附图说明图1是本专利技术中路由表生成的示意图。图2是本专利技术云应用访问控制系统的示意图。图3是本专利技术客户使用云应用过程的示意图。图4是本专利技术云应用链接访问控制的时序图。具体实施方式本专利技术的应用场景包含用户和云应用提供商。用户主要是应用链接的发起者,在客户端可能还有第三方的桌面程序辅助,用于获取用户的基本登陆信息,这些信息也是创建云应用链接的必要参数。云应用提供商,会提供用户权限信息的管理和维护功能,这些用户权限信息被保存在用户应用权限服务模块中。云应用会运行在云应用服务器中,在实际部署中云应用服务器一般是具有多会话(session)登陆功能的服务器,可以是虚拟机也可以是物理机。云应用提供商基于本专利技术在图2中所示的以下服务角色来实现对云应用的访问控制,包括:网关代理,路由服务模块,用户应用权限服务模块,云应用服务模块。网关代理:作为与用户的接口,接收用户的链接请求或向用户发送授权的云应用或拒绝请求的信息;并且,该网关代理在不同服务阶段中通过与其他各服务模块交互来获取有关的信息:例如,对用户权限的授权认证信息、有效的路由地址、授权的云应用或拒绝请求的信息,等等。用户应用权限服务模块:对用户权限信息进行管理和维护,记录用户拥有哪些应用,及拥有的应用可以有哪些外设的使用权限和其它相关权限;并且,根据网关代理指示来对用户权限的有效性进行验证后,反馈相应的授权认证信息至网关代理。应用路由服务模块:维护及更新路由表,记录与云应用服务相关的分配信息;并且,根据网关代理指示来寻找可用的路由地址后反馈至网关代理。云应用服务模块:根据网关代理指示来提供云应用的运行环境,并根据权限设置信息对云应用的使用进行限制。如图1所示是路由表生成的示意图。应用路由服务模块进一步设置有状态更新模块和检查校验模块:状态更新模块,能够将所有应用服务器的信息、所有应用的使用情况都更新到路由表中。例如,在用户发起链接请求后,或者根据权限及安全的原则向用户分配了可用的应用服务器后,或者在应用断开或链接无效后,该状态更新模块都会对路由表信息进行相应的更新。检查校验模块,在用户申请创建新应用的路由信息时,用来对路由表是否有合法有效的路由地址可供选择进行检查。配合参见图3、图4所示,本专利技术的上述服务角色完整部署后,用户通过客户端创建云应用链接时,对于云应用访问控制的方法包括以下过程:1. 路由表初始化。应用路由服务模块将所有应用服务器的信息更新本文档来自技高网...
【技术保护点】
一种云计算环境下云应用访问控制的系统,其特征在于,包含:网关代理,作为与客户端的接口,接收用户对云应用的链接请求,或向用户发送授权的云应用或拒绝链接请求的信息;用户应用权限服务模块,对用户权限信息进行管理维护,还根据与网关代理的交互接收用户认证信息,并对用户权限的有效性进行验证后反馈授权认证结果至网关代理;应用路由服务模块,对于记录有云应用服务分配信息的路由表进行维护及更新,还根据与网关代理的交互而在路由表中寻找有效的应用路由地址并反馈至网关代理;云应用服务模块,通过与网关代理交互,提供与权限信息相匹配的云应用的运行环境。
【技术特征摘要】
1.一种云计算环境下云应用访问控制的系统,其特征在于,包含:
网关代理,作为与客户端的接口,接收用户对云应用的链接请求,或向用户发送授权的云应用或拒绝链接请求的信息;
用户应用权限服务模块,对用户权限信息进行管理维护,还根据与网关代理的交互接收用户认证信息,并对用户权限的有效性进行验证后反馈授权认证结果至网关代理;
应用路由服务模块,对于记录有云应用服务分配信息的路由表进行维护及更新,还根据与网关代理的交互而在路由表中寻找有效的应用路由地址并反馈至网关代理;
云应用服务模块,通过与网关代理交互,提供与权限信息相匹配的云应用的运行环境。
2.如权利要求1所述的系统,其特征在于,
所述应用路由服务模块进一步包含:
状态更新模块,在路由表中更新应用服务器的信息、应用的使用情况;
检查校验模块,对于路由表中是否有与链接请求相匹配的应用路由地址可供选择进行检查。
3.一种云计算环境下云应用访问控制的方法,其特征在于,包含以下步骤:
A. 用户通过客户端发起对于云应用的链接请求,将该链接请求与用户认证信息一起发送至网关代理;
B. 网关代理解析相关信息,并通过用户应用权限服务模块来验证用户权限;
C.当收...
【专利技术属性】
技术研发人员:徐广庆,
申请(专利权)人:华存数据信息技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。