一种云主机服务权限控制方法、装置和系统制造方法及图纸
Method, device and system for controlling service authority of cloud host
The invention discloses a method, a device and a system for controlling the service authority of a cloud host. The method for the authentication server, wherein the method comprises: receiving an authentication request sent by the client first, first authentication request carry software supplier first account information; a certification of the first account information, in a successful authentication, the authentication password is generated and sent to the client; sending and receiving proxy client access the cloud host agent the second server authentication request authentication request carrying second client sends to the proxy server and the authentication password; two authentication of authentication password, and in two after successful authentication and notify the proxy server, cloud hosting request from the proxy server to the client second account information for the three certification, and three service resources a successful authentication by the client through the proxy server to access the cloud host deployment. This application can greatly enhance the security of cloud hosting services and the cloud account system itself.
【技术实现步骤摘要】
一种云主机服务权限控制方法、装置和系统
本申请涉及云安全
,具体涉及一种云主机服务权限控制方法,以及一种云主机服务权限控制装置和系统。
技术介绍
电子交易网站上千差万别的需求吸引了大量的ISV(IndependentSoftwareVendors,软件开发商),使得电子商务相关的产品开发和应用变得越来越丰富。在电商云环境下,ISV购买云主机并使用交易网站的业务账户从交易网站开放平台(例如TOP,TaobaoOpenPlatform,淘宝开放平台)获取高价值的商业数据,然而在云主机上基于这些高价值商业数据部署服务,并对公网提供访问时,使用的却是服务自身的账户体系,相比于交易网站的业务账户,这些服务账户安全防护能力薄弱。例如,对于远程管理服务(Windows远程桌面或LinuxSSH),黑客通过主机账户暴力破解或弱密码尝试等手段,可直接入侵至云主机内部进行非法操作、盗取数据;对于网站后台管理服务,网站账户体系同样存在被破解的风险,并且存在SQL(StructuredQueryLanguage,结构化查询语言)注入,XSS(CrossSiteScripting,跨...
【技术保护点】
一种云主机服务的访问控制方法,用于认证服务器,其特征在于,包括:接收客户端发送的第一认证请求,所述第一认证请求携带软件供应方的第一账户信息;对所述第一账户信息进行一次认证,在所述一次认证成功后,生成认证口令并发送到所述客户端;接收代理所述客户端访问所述云主机的代理服务器发送的第二认证请求,所述第二认证请求携带所述客户端发送给所述代理服务器的所述认证口令;对所述认证口令进行二次认证,并在所述二次认证成功后,通知所述代理服务器,以由所述代理服务器请求所述云主机对所述客户端的第二账户信息进行三次认证,并所述三次认证成功后由所述客户端通过所述代理服务器访问所述云主机上部署的服务资源。
【技术特征摘要】
1.一种云主机服务的访问控制方法,用于认证服务器,其特征在于,包括:接收客户端发送的第一认证请求,所述第一认证请求携带软件供应方的第一账户信息;对所述第一账户信息进行一次认证,在所述一次认证成功后,生成认证口令并发送到所述客户端;接收代理所述客户端访问所述云主机的代理服务器发送的第二认证请求,所述第二认证请求携带所述客户端发送给所述代理服务器的所述认证口令;对所述认证口令进行二次认证,并在所述二次认证成功后,通知所述代理服务器,以由所述代理服务器请求所述云主机对所述客户端的第二账户信息进行三次认证,并所述三次认证成功后由所述客户端通过所述代理服务器访问所述云主机上部署的服务资源。2.如权利要求1所述的方法,其特征在于:所述第一账户信息为软件供应方在提供所述云主机的电子交易平台中使用的业务账户信息;所述第二账户信息为所述客户端在访问所述软件供应方在所述云主机上部署的服务时使用的服务账户信息。3.如权利要求1所述的方法,其特征在于,所述第一认证请求还携带所述服务账户信息以及请求访问的云主机服务地址;在所述生成认证口令并发送到所述客户端之前,所述方法还包括:从所述第一认证请求中提取权限信息,所述权限信息包括所述第一账户信息、第二账户信息和所述云主机服务地址;将提取的权限信息与预置的权限记录进行比对,并确定比对结果为一致,所述权限记录包括多组对应保存的第一账户信息、第二账户信息和云主机服务地址。4.如权利要求1所述的方法,其特征在于,所述客户端与所述代理服务器之间基于代理协议在会话层进行通信。5.如权利要求1所述的方法,其特征在于,所述对所述认证口令进行二次认证包括:判断接收到所述认证口令的时间处于预设时间段内,若是,则对所述认账口令认证成功。6.如权利要求1所述的方法,其特征在于,在所述二次认证成功后,所述方法还包括:设置所述认证口令失效。7.一种云主机服务的访问控制方法,用于代理服务器,其特征在于,包括:接收客户端发送的第二账户信息和认证口令,所述认证口令由认证服务器对软件供应方的第一业务信息进行一次认证成功后发送给所述客户端;请求认证服务器对所述认证口令进行二次认证;在接收到所述认证服务器二次认证成功的通知后,请求所述云主机对所述第二账户信息进行三次认证;在所述三次认证成功后,代理所述客户端对所述云主机上部署的服务资源的访问。8.如权利要求7所述的方法,其特征在于,还包括:生成记录所述客户端对所述云主机本次访问的访问日志;所述代理所述客户端对所述云主机上部署的服务资源的访问包括:向所述云主机发送服务资源访问请求,所述服务资源访问请求携带云主机服务地址以及所述代理服务器的IP地址;接收所述云主机识别所述代理服务器的IP地址后针对所述服务资源访问请求反馈的数据。9.一种云主机服务的访问控制方法,用于客户端,其特征在于,包括:向认证服务器发送第一认证请求,所述第一认证请求携带软件供应方的第一账户信息;接收所述认证服务器在对所述第一账户信息进行一次认证成功后反馈的认证口令;将所述客户端的第二账户信息和所述认证口令发送到代理服务器,以由所述代理服务器请求所述认证服务器对所述认证口令进行二次认证;在接收到所述二次认证成功的通知后,请求所述云主机对所述第二账户信息进行三次认证;在接收到所述三次认证成功的通知后,通过所述代理服务器访问所述云主机上部署的服务资源。10.一种云主机服务的访问控制装置,部署于认证服务器,其特征在于,包括:第一认证请求接收模块,用于接收客户端发送的第一认证请求,所述第一认证请求携带软件供应方的第一账户信息;一次认证模块,用于对所述第一账户信息进行一次认证;认证口令生成模块,用于在所述一次认证成功后,生成认证口令并发送到所述客户端;第二认证请求接收模块,用于接收代理所述客户端访问所述云主机的代理服务器发送的第二认证请求,所述第二认证请求携带所述客户端发送给所述代理服务器的所述认证口令;二次认证模块,用于对所述认证口令进行二次认证;二次认证通知模块,用于在所述二次认证成功后,通知所述代理服务器,以由所述代理服务器请求所述云主机对所述客户端的第二账户信息进行三次认证,并所述三次认证成功后由所述客户端通过所述代理服务器访问所述云主机上部署的服务资...
【专利技术属性】
技术研发人员:崔捷,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。