一种云安全管理平台与云安全产品的对接方法及装置与流程

本发明涉及数据通讯的技术领域，尤其是涉及一种云安全管理平台与云安全产品的对接方法及装置。

背景技术

在云计算场景下，传统的硬件安全已经无法满足用户的云安全需求，而云安全产品普遍通过单品部署的方式分散部署在云平台的虚拟机上，云安全产品的管理给用户运维管理带来了很大压力。如果该问题不解决，会带来如下问题：

第一，用户使用云安全产品时需要逐一手动部署，用户无法自动化按需开通云安全产品；

第二，登录云安全产品需要逐一输入不同的用户名密码才能够登录，运维复杂；

第三，激活云安全产品需要手工导入产品许可，无法实现自动化。

综上，现有的在对云安全产品进行管理时，过程复杂，智能化程度低。

技术实现要素：

有鉴于此，本发明的目的在于提供一种云安全管理平台与云安全产品的对接方法及装置，以缓解现有技术在对云安全产品进行管理时，过程复杂，智能化程度低的技术问题。

第一方面，本发明实施例提供了一种云安全管理平台与云安全产品的对接方法，应用于云安全管理平台，所述方法包括：

采用认证对接机制与云安全产品进行认证对接，以使用户能够通过所述云安全管理平台访问云安全产品；

当所述用户通过所述云安全管理平台访问云安全产品时，将被分配的授权角色和用户信息同步至被访问云安全产品，以实现授权对接；

通过访问控制机制为每一个所述云安全产品下发使用凭证，并在通过所述云安全管理平台与所述云安全产品进行通信时携带待验证凭证，以实现授信对接，其中，当所述待验证凭证与所述使用凭证匹配时，能够进行通信；

当所述用户首次访问所述云安全产品时，初始化用户角色和建立关联组织，以完成初始化数据对接；

在完成所述认证对接，所述授权对接，所述授信对接和所述初始化数据对接后，采用部署激活机制与所述云安全产品进行部署对接，以对所述云安全产品进行自动化部署和激活。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，采用认证对接机制与云安全产品进行认证对接，以使用户能够通过所述云安全管理平台访问云安全产品包括：

获取所述用户发送的对所述云安全产品进行访问的访问请求；

判断所述访问请求是否已认证；

如果所述访问请求未认证，则通过认证中心对所述访问请求进行认证，得到访问凭证；

基于所述访问凭证对所述云安全产品进行访问。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述方法还包括：

如果所述访问请求已认证，则向所述用户返回所述云安全产品，以使所述用户对所述云安全产品进行访问。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述初始化用户角色为超级管理员。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，采用部署激活机制与所述云安全产品进行部署对接包括：

通过镜像的方式导入所述云安全产品；

在所述云安全产品中选择目标云安全产品，并发布所述目标云安全产品；

将所述目标云安全产品发布至云安全市场，并自动激活所述目标云安全产品。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，在所述云安全产品中选择目标云安全产品，并发布所述目标云安全产品包括：

获取所述云安全产品的基本信息和销售信息；

基于所述基本信息和所述销售信息在所述云安全产品中确定对应的目标云安全产品；

发布所述目标云安全产品。

第二方面，本发明实施例还提供了一种云安全管理平台与云安全产品的对接装置，应用于云安全管理平台，所述装置包括：

认证对接模块，用于采用认证对接机制与云安全产品进行认证对接，以使用户能够通过所述云安全管理平台访问云安全产品；

授权对接模块，用于当所述用户通过所述云安全管理平台访问云安全产品时，将被分配的授权角色和用户信息同步至被访问云安全产品，以实现授权对接；

授信对接模块，用于通过访问控制机制为每一个所述云安全产品下发使用凭证，并在通过所述云安全管理平台与所述云安全产品进行通信时携带待验证凭证，以实现授信对接，其中，当所述待验证凭证与所述使用凭证匹配时，能够进行通信；

初始化数据对接模块，用于当所述用户首次访问所述云安全产品时，初始化用户角色和建立关联组织，以完成初始化数据对接；

部署对接模块，用于在完成所述认证对接，所述授权对接，所述授信对接和所述初始化数据对接后，采用部署激活机制与所述云安全产品进行部署对接，以对所述云安全产品进行自动化部署和激活。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述认证对接模块包括：

获取单元，用于获取所述用户发送的对所述云安全产品进行访问的访问请求；

判断单元，用于判断所述访问请求是否已认证；

认证单元，如果所述访问请求未认证，则通过认证中心对所述访问请求进行认证，得到访问凭证；

访问单元，用于基于所述访问凭证对所述云安全产品进行访问。

结合第二方面，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述认证对接模块还包括：

返回单元，如果所述访问请求已认证，则向所述用户返回所述云安全产品，以使所述用户对所述云安全产品进行访问。

结合第二方面，本发明实施例提供了第二方面的第三种可能的实施方式，其中，所述初始化用户角色为超级管理员。

本发明实施例带来了以下有益效果：

现有的通过云平台对云安全产品进行管理时，过程复杂，智能化程度低。与现有技术相比，本发明的云安全管理平台与云安全产品的对接方法中，云安全管理平台能够采用认证对接机制与云安全产品进行认证对接，能够将被分配的授权角色和用户信息同步至被访问云安全产品，实现授权对接，能实现授信对接和初始化数据对接，还能采用部署对接机制与云安全产品进行自动化部署和激活。该方法通过对接实现云安全管理平台对云安全产品的同一认证、授权，能实现云安全管理平台对云安全产品的自动化部署和激活，用户通过云安全管理平台就可以统一管理云安全产品，管理过程简单，更加智能，缓解了现有技术在对云安全产品进行管理时，过程复杂，智能化程度低的技术问题。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种云安全管理平台与云安全产品的对接方法的流程图；

图2为本发明实施例提供的采用认证对接机制与云安全产品进行认证对接的方法流程图；

图3为本发明实施例提供的采用部署激活机制与云安全产品进行部署对接的方法流程图；

图4为本发明实施例提供的一种云安全管理平台与云安全产品的对接装置的功能模块图。

图标：

11-认证对接模块；12-授权对接模块；13-授信对接模块；14-初始化数据对接模块；15-部署对接模块。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种云安全管理平台与云安全产品的对接方法进行详细介绍。

实施例一：

一种云安全管理平台与云安全产品的对接方法，应用于云安全管理平台，参考图1，该方法包括：

s102、采用认证对接机制与云安全产品进行认证对接，以使用户能够通过云安全管理平台访问云安全产品；

在本发明实施例中，云安全产品是指解决云环境下安全问题的产品；云安全管理平台为用于管理云安全产品的统一平台。云安全管理平台作为集成管理平台，需要接入各种不同的云安全产品，并且能无缝衔接各个安全产品以及数据流转。

二者对接需要实现的目标包括：

打通账户体系：云安全管理平台作为服务端为管理的所有云安全产品提供统一认证服务，云安全管理平台作为代理向外部认证中心(比如云平台的认证中心)认证，即认证对接；

授权：用户的授权信息(角色或其他)针对具体的产品或者系统做映射并反馈，即授权对接；

云安全管理平台和云安全产品之间的授信：云安全产品在云安全管理平台的管理下需要提供基本的安全保障，避免云安全管理平台以外的行为访问与安全产品受限的资源(openapi等)，即授信对接；

openapi：云安全管理平台需要的一些标准化的信息，云安全产品按接口要求以接口的方式提供给云安全管理平台调用，即初始化数据对接；

许可自动下发：能够调用许可服务器实现云安全产品许可的统一下发，自动激活云安全产品，即部署对接；

对接工作包含：整合认证客户端；已认证用户信息映射云安全产品内部对象；已认证用户信息转为云安全产品本地会话；合并认证客户端登出和云安全产品登出逻辑；屏蔽登陆和登出，两个操作均定向到云安全管理平台指定地址由云安全管理平台处理；屏蔽云安全产品用户的增删改操作；云安全产品提供的api对访问端做身份校验；实现产品的接口；定制产品初始化数据。

具体的，采用认证对接机制与云安全产品进行认证对接，在认证对接完成后，用户就能通过云安全管理平台访问云安全产品。具体内容将在下文中进行描述，在此不再赘述。

s104、当用户通过云安全管理平台访问云安全产品时，将被分配的授权角色和用户信息同步至被访问云安全产品，以实现授权对接；

另外，要实现对接，还要能够将被分配的授权角色和用户信息同步至被访问云安全产品，这样，云安全产品才能获知各用户的授权角色。

在云安全管理平台创建用户以后，给用户授权，云安全管理平台可以通过要求云安全产品实现的获取授权信息的接口拿到各个云安全产品的授权标识，另外，用户认证通过访问云安全产品时会将用户信息和被分配的授权角色返回给云安全产品，后续访问遵循云安全产品自身的权限体系。

当已认证用户首次进入安全产品，该用户在云安全管理平台属于超级管理员，云安全产品为其建立本地账户时自动按“初始化数据”中的约定赋予超级管理员指定的本地权限。该用户属于子用户则从用户信息中获取授权信息并授予本地权限内容。

存在多租户(如saas类)且是按组织隔离数据权限的云安全产品需要为不同的租户建立对应的组织(用户认证信息中包括租户id和租户名称)，同一组织下的租管可以查看和管理所有子用户的业务。

s106、通过访问控制机制为每一个云安全产品下发使用凭证，并在通过云安全管理平台与云安全产品进行通信时携带待验证凭证，以实现授信对接，其中，当待验证凭证与使用凭证匹配时，能够进行通信；

授信是指云安全管理平台和云安全产品的接口交互可信的基本保障，云安全管理平台的openapi实现常规开放平台(为每个云安全产品实例签发appkey+appsecret)的访问控制机制，实现对云安全产品的可信认证。另外还需要云安全产品提供平台级别交互的安全机制，保证自身接口的访问者是可信的。

授信的使用凭证与整个账户体系是相互独立的，账户的密码是不流转的，所以不能使用账户的用户标识和密码作为授信的使用凭证。

云安全管理平台会为每一个云安全产品下发使用凭证(api)，当云安全管理平台向云安全产品进行授权角色和用户信息的同步(这为一种通信的形式)时，需要携带待验证凭证，只有当待验证凭证与使用凭证匹配时，云安全产品才会进行授权角色和用户信息的同步。

s108、当用户首次访问云安全产品时，初始化用户角色和建立关联组织，以完成初始化数据对接；

云安全产品提交给云安全管理平台的版本需要针对云安全管理平台的需求初始化一些业务数据，具体内容会根据不同的云安全产品做不同要求，下面是各个云安全产品的初始化数据要求：

默认角色：租管第一次访问云安全产品时默认赋予对应的角色；在本发明实施例中，该对应的角色为超级管理员的角色，当然，本发明实施例对其不进行具体限制。

默认组织：单租户且按组织隔离数据权限的云安全产品需要有默认的组织，用户首次进入云安全产品并建立本地映射对象时直接关联该组织。

s110、在完成认证对接，授权对接，授信对接和初始化数据对接后，采用部署激活机制与云安全产品进行部署对接，以对云安全产品进行自动化部署和激活。

在完成上述的对接后，云安全管理平台采用部署对接机制与云安全产品进行部署对接，这样就能通过云安全管理平台对云安全产品进行自动化部署和激活。该过程将在下文中进行详细描述。

现有的通过云平台对云安全产品进行管理时，过程复杂，智能化程度低。与现有技术相比，本发明的云安全管理平台与云安全产品的对接方法中，云安全管理平台能够采用认证对接机制与云安全产品进行认证对接，能够将被分配的授权角色和用户信息同步至被访问云安全产品，实现授权对接，能实现授信对接和初始化数据对接，还能采用部署对接机制与云安全产品进行自动化部署和激活。该方法通过对接实现云安全管理平台对云安全产品的同一认证、授权，能实现云安全管理平台对云安全产品的自动化部署和激活，用户通过云安全管理平台就可以统一管理云安全产品，管理过程简单，更加智能，缓解了现有技术在对云安全产品进行管理时，过程复杂，智能化程度低的技术问题。

上述内容对本发明的云安全管理平台与云安全产品的对接方法进行了简要描述，下面对其中涉及到的具体内容进行详细介绍。

在一个可选地实施方式中，参考图2，采用认证对接机制与云安全产品进行认证对接，以使用户能够通过云安全管理平台访问云安全产品包括：

s201、获取用户发送的对云安全产品进行访问的访问请求；

s202、判断访问请求是否已认证；

s203、如果访问请求未认证，则通过认证中心对访问请求进行认证，得到访问凭证；

s204、基于访问凭证对云安全产品进行访问。

s205、如果访问请求已认证，则向用户返回云安全产品，以使用户对云安全产品进行访问。

另外，云安全管理平台认证代理接管下属所有云安全产品的认证工作，云安全产品只需要实现某一种认证协议即可，当接入第三方认证中心(比如云平台的认证中心)时，云安全管理平台会对该认证中心的协议做适配，下属云安全产品不需要再重复做适配，确保云安全管理平台和云安全产品内部认证协议稳定。

用户访问云安全管理平台，当账户属于外部来源时，账户通过来源系统认证通过后访问云安全管理平台，如果云安全管理平台没有该账户信息则会在本系统内用外部系统的账户标识(用户名、手机号、邮箱)建立一个同名账户。

云安全管理平台将作为统一认证的服务端为管理的安全产品提供认证服务，所有云安全产品作为认证客户端将认证请求定向到云安全管理平台统一的认证地址，并且云安全产品支持认证通过后用户可以直接访问其页面。

云安全产品获取到认证通过的用户信息后，可根据自身系统的设计决定是否创建账户信息，原则上的要求云安全产品的决定必须要保证后续产生的数据的最小依赖性。例如：数据权限通过用户区分的云安全产品必须要在内部建立一个关联的用户区分数据；只需角色区分的系统建立角色即可。

上述内容对认证对接的过程进行了详细描述，下面再对部署对接的过程进行介绍。

在一个可选地实施方式中，参考图3，采用部署激活机制与云安全产品进行部署对接包括：

s301、通过镜像的方式导入云安全产品；

在本发明实施例中，所有云安全产品以镜像的方式存储在底层云安全资源池，云安全管理平台通过开放的接口调用镜像自动创建安全实例，实现云安全产品的自动化部署，同时，云安全管理平台可以通过接口自动对云安全产品进行扩容、升级、激活等。

云安全产品通过镜像的方式在云安全管理平台导入。具体的，点击“导入镜像”，填写镜像名称，上传镜像文件成功，导入结束。

s302、在云安全产品中选择目标云安全产品，并发布目标云安全产品；

具体的，(1)获取云安全产品的基本信息和销售信息；

(2)基于基本信息和销售信息在云安全产品中确定对应的目标云安全产品；

(3)发布目标云安全产品。

实际操作中，选择导入的云安全产品镜像，点击发布，进入云安全产品发布环节，填写云安全产品的基本信息：产品名称、简介、说明、上传附件等；并填写云安全产品的销售信息：规格名称、推荐配置、产品定价等，基于这些信息确定目标云安全产品，并进行发布。

s303、将目标云安全产品发布至云安全市场，并自动激活目标云安全产品。

将目标云安全产品发布至云安全市场，开通云安全产品；拉起云安全虚拟机，自动激活目标云安全产品，并通过云安全管理平台登录进入目标云安全产品，运维目标云安全产品。

本发明的方法通过云安全管理平台实现对云安全产品的统一认证登录；通过云安全管理平台实现对云安全产品的统一授权；通过云安全管理平台实现对云安全产品的统一升级；通过云安全管理平台实现对云安全产品的统一扩容；通过云安全管理平台实现对云安全产品的自动化部署；通过云安全管理平台实现对云安全产品自动下发许可激活产品。

本发明的方法实现云安全管理平台对云安全产品的统一管理、安全资源按需分配，降低云安全产品的运维压力，用户通过登录云安全管理平台就可以统一运维安全资源，无须逐一登录不同的云安全产品下发安全策略。解决了云安全产品的部署难题，用户可以通过云安全管理平台实现云安全产品的自动化部署，自动激活等流程。

实施例二：

一种云安全管理平台与云安全产品的对接装置，应用于云安全管理平台，参考图4，该装置包括：

认证对接模块11，用于采用认证对接机制与云安全产品进行认证对接，以使用户能够通过云安全管理平台访问云安全产品；

授权对接模块12，用于当用户通过云安全管理平台访问云安全产品时，将被分配的授权角色和用户信息同步至被访问云安全产品，以实现授权对接；

授信对接模块13，用于通过访问控制机制为每一个云安全产品下发使用凭证，并在通过云安全管理平台与云安全产品进行通信时携带待验证凭证，以实现授信对接，其中，当待验证凭证与使用凭证匹配时，能够进行通信；

初始化数据对接模块14，用于当用户首次访问云安全产品时，初始化用户角色和建立关联组织，以完成初始化数据对接；

部署对接模块15，用于在完成认证对接，授权对接，授信对接和初始化数据对接后，采用部署激活机制与云安全产品进行部署对接，以对云安全产品进行自动化部署和激活。

本发明的云安全管理平台与云安全产品的对接装置中，云安全管理平台能够采用认证对接机制与云安全产品进行认证对接，能够将被分配的授权角色和用户信息同步至被访问云安全产品，实现授权对接，能实现授信对接和初始化数据对接，还能采用部署对接机制与云安全产品进行自动化部署和激活。该装置通过对接实现云安全管理平台对云安全产品的同一认证、授权，能实现云安全管理平台对云安全产品的自动化部署和激活，用户通过云安全管理平台就可以统一管理云安全产品，管理过程简单，更加智能，缓解了现有技术在对云安全产品进行管理时，过程复杂，智能化程度低的技术问题。

可选地，认证对接模块包括：

获取单元，用于获取用户发送的对云安全产品进行访问的访问请求；

判断单元，用于判断访问请求是否已认证；

认证单元，如果访问请求未认证，则通过认证中心对访问请求进行认证，得到访问凭证；

访问单元，用于基于访问凭证对云安全产品进行访问。

可选地，认证对接模块还包括：

返回单元，如果访问请求已认证，则向用户返回云安全产品，以使用户对云安全产品进行访问。

可选地，初始化用户角色为超级管理员。

可选地，部署对接模块包括：

导入单元，用于通过镜像的方式导入云安全产品；

发布单元，用于在云安全产品中选择目标云安全产品，并发布目标云安全产品；

激活单元，用于将目标云安全产品发布至云安全市场，并自动激活目标云安全产品。

可选地，发布单元包括：

获取子单元，用于获取云安全产品的基本信息和销售信息；

确定子单元，用于基于基本信息和销售信息在云安全产品中确定对应的目标云安全产品；

发布子单元，用于发布目标云安全产品。

该实施例二中的具体内容可以参考上述实施例一中的描述，在此不再赘述。

本发明实施例所提供的云安全管理平台与云安全产品的对接方法及装置的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。