本发明专利技术公开了一种基于云计算数据安全的访问控制系统,属于云计算技术领域,包括访问策略单元、可信授权单元和用户单元,所述用户单元包括内域用户和外域用户,其中所述访问策略单元用于连接所述内域用户和云计算平台,所述可信授权单元用于连接所述外域用户和所述云计算平台;所述访问策略单元接收所述内域用户的访问请求,验证所述内域用户的身份信息,使所述内域用户与所述云计算平台之间数据互传;所述可信授权单元加密所述云计算平台的授权指令,使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。通过访问策略单元和可信授权单元将访问云计算平台的用户分为内域用户和外域用户,分别控制访问流程更加的安全可靠。安全可靠。安全可靠。
【技术实现步骤摘要】
一种基于云计算数据安全的访问控制系统
[0001]本专利技术涉及云计算
,特别涉及一种基于云计算数据安全的访问控制系统。
技术介绍
[0002]随着云计算的发展,云安全成为越来越关键的问题.在云计算环境中,用户对放置在云服务器中的数据和计算失去控制,对于数据是否受到保护、计算任务是否被正确执行都不能确定,因此需要设计相应的安全机制和体系结构来保护用户数据的机密性、完整性、可用性。如何实现对云存储中大量具有分类分级特点资源的细粒度访问控制机制,保障云存储中数据不被非法访问,是云计算技术中急需解决的问题。
[0003]传统的云计算访问控制一般通过验证访问用户的身份信息来确定是否具备访问权限,为了保证身份正常验证需要通过身份信息存储来完成,但是云计算平台在内域网络中使用时容易对网络进行安全防护,在外域网络使用时,无法保证网络的安全性,因此容易受到攻击,导致身份信息存储模块受损,更严重还会泄露用户的信息,导致访问控制存在安全隐患。
技术实现思路
[0004]本专利技术的目的就在于为了解决上述云计算在访问控制时无法保证外域用户的安全访问,存在安全隐患的问题而提供一种基于云计算数据安全的访问控制系统,具有通过访问策略单元和可信授权单元对内域和外域用户双重保护,数据访问更加安全可靠,不易受到恶意攻击的优点。
[0005]本专利技术通过以下技术方案来实现上述目的,一种基于云计算数据安全的访问控制系统,包括访问策略单元、可信授权单元和用户单元,所述用户单元包括内域用户和外域用户,其中所述访问策略单元用于连接所述内域用户和云计算平台,所述可信授权单元用于连接所述外域用户和所述云计算平台;
[0006]所述访问策略单元接收所述内域用户的访问请求,验证所述内域用户的身份信息,使所述内域用户与所述云计算平台之间数据互传;
[0007]所述可信授权单元加密所述云计算平台的授权指令,使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。
[0008]优选的,所述访问策略单元还连接身份存储模块,通过调用所述身份存储模块内部的身份信息识别所述内域用户的身份。
[0009]优选的,所述访问策略单元包括身份认证组件、特征提取模块、策略控制模块、权限分配模块和数据转发模块,身份认证组件用于认证内域用户的身份信息,特征提取模块用于提取访问需求,策略控制模块用于匹配访问需求,所述权限分配用于分配访问权限,所述数据转发模块用于收发数据。
[0010]优选的,所述权限分配模块还连接有权限管理模块。
[0011]优选的,所述数据转发模块内部设置标准协议转换模块,将内域用户上传的数据转换为供云计算平台识别的标准协议格式的数据。
[0012]优选的,所述外域用户连接云计算平台和可信授权单元,通过可信授权单元获取云计算平台的授权指令,并向云计算平台发出访问请求和收发访问数据。
[0013]优选的,所述可信授权单元包括数据接收模块和加密模块,通过数据接收模块接收云计算平台的授权指令,通过加密模块对授权指令进行加密。
[0014]优选的,所述授权指令由云计算平台接收到外域用户发出的访问需求时随机生成。
[0015]与现有技术相比,本专利技术的有益效果是:
[0016]1、通过访问策略单元和可信授权单元将访问云计算平台的用户分为内域用户和外域用户,内域用户采用身份验证的方式获得访问权限,外域用户采用解密的方式获得访问权限,通过分别控制访问权限,使云计算平台与用户的数据交互更加的安全可靠,也降低了跨域访问的难度,满足云计算的使用需求。
[0017]2、可信授权单元通过对授权指令进行加密,再由外域用户解密获得授权指令,才可实现对云计算平台的访问,这样不易受到外域的网络攻击,而且每次访问的授权指令随机生成,使用完毕后失效,也避免了二次使用带来的安全隐患。
附图说明
[0018]图1为本专利技术的整体系统框架结构示意图。
[0019]图2为本专利技术的访问策略单元内部模块连接示意图。
[0020]图3为本专利技术的可信授权单元运行流程示意图。
具体实施方式
[0021]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0022]请参阅图1所示,一种基于云计算数据安全的访问控制系统,包括访问策略单元、可信授权单元和用户单元,所述用户单元包括内域用户和外域用户,其中所述访问策略单元用于连接所述内域用户和云计算平台,所述可信授权单元用于连接所述外域用户和所述云计算平台;所述访问策略单元接收所述内域用户的访问请求,验证所述内域用户的身份信息,使所述内域用户与所述云计算平台之间数据互传;所述可信授权单元加密所述云计算平台的授权指令,使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。通过访问策略单元实现内域用户的访问控制,通过可信授权单元实现外域用户的访问控制,内域用户采用身份验证的方式来获取访问权限,更加容易管理,外域用户通过可信授权单元提供解密授权指令的方式来获取访问权限,更加的安全,不易受到外域网络漏洞的攻击,不易造成用户身份泄露,因两种访问控制方式,保证用户正常访问的同时提高了访问的安全性。
[0023]如图2所示,所述访问策略单元还连接身份存储模块,通过调用所述身份存储模块
内部的身份信息识别所述内域用户的身份,身份存储模块存储所有内域用户的身份信息,当内域用户向访问策略单元发送访问请求时,访问策略单元通过调用身份存储模块的身份信息与发出请求的内域用户身份信息进行对比,从而识别该内域用户是否具备访问资格,所述访问策略单元包括身份认证组件、特征提取模块、策略控制模块、权限分配模块和数据转发模块,身份认证组件用于认证内域用户的身份信息,特征提取模块用于提取访问需求,策略控制模块用于匹配访问需求,所述权限分配用于分配访问权限,所述数据转发模块用于收发数据,所述权限分配模块还连接有权限管理模块,权限管理模块用于云计算平台管理员指定权限标准,设定权限等级,所述数据转发模块内部设置标准协议转换模块,将内域用户上传的数据转换为供云计算平台识别的标准协议格式的数据,内域用户可向云计算平台发送不同协议格式的数据,通过数据转发模块内部的标准协议转换模块转化成标准协议格式,存储在云计算平台中。
[0024]所述外域用户连接云计算平台和可信授权单元,通过可信授权单元获取云计算平台的授权指令,并向云计算平台发出访问请求和收发访问数据,所述可信授权单元包括数据接收模块和加密模块,通过数据接收模块接收云计算平台的授权指令,通过加密模块对授权指令进行加密,所述授权指令由云计算平台接收到外域用户发出的访问需求时随机生成,当云计算平台接收到外域用户发送的访问请求时,随机生成一个授权指令,该授权指令每次使用不完毕后便失效,这样即使授权指令被网络病毒本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于云计算数据安全的访问控制系统,其特征在于,包括访问策略单元、可信授权单元和用户单元,所述用户单元包括内域用户和外域用户,其中所述访问策略单元用于连接所述内域用户和云计算平台,所述可信授权单元用于连接所述外域用户和所述云计算平台;所述访问策略单元接收所述内域用户的访问请求,验证所述内域用户的身份信息,使所述内域用户与所述云计算平台之间数据互传;所述可信授权单元加密所述云计算平台的授权指令,使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。2.根据权利要求1所述的一种基于云计算数据安全的访问控制系统,其特征在于,所述访问策略单元还连接身份存储模块,通过调用所述身份存储模块内部的身份信息识别所述内域用户的身份。3.根据权利要求1所述的一种基于云计算数据安全的访问控制系统,其特征在于,所述访问策略单元包括身份认证组件、特征提取模块、策略控制模块、权限分配模块和数据转发模块,身份认证组件用于认证内域用户的身份信息,特征提取模块用于提取访问需求,策略控制模块用于匹配访问需求...
【专利技术属性】
技术研发人员:周明,赵永红,王伟,由媛媛,周永刚,巩舒,王筠,吴极,项旭,王丽,张旭,程少华,蒋志刚,徐军,
申请(专利权)人:国网安徽省电力有限公司安徽明生恒卓科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。