一种基于云计算数据安全的访问控制系统的制作方法

1.本发明涉及云计算技术领域，特别涉及一种基于云计算数据安全的访问控制系统。


背景技术：

2.随着云计算的发展,云安全成为越来越关键的问题.在云计算环境中,用户对放置在云服务器中的数据和计算失去控制,对于数据是否受到保护、计算任务是否被正确执行都不能确定,因此需要设计相应的安全机制和体系结构来保护用户数据的机密性、完整性、可用性。如何实现对云存储中大量具有分类分级特点资源的细粒度访问控制机制,保障云存储中数据不被非法访问,是云计算技术中急需解决的问题。
3.传统的云计算访问控制一般通过验证访问用户的身份信息来确定是否具备访问权限，为了保证身份正常验证需要通过身份信息存储来完成，但是云计算平台在内域网络中使用时容易对网络进行安全防护，在外域网络使用时，无法保证网络的安全性，因此容易受到攻击，导致身份信息存储模块受损，更严重还会泄露用户的信息，导致访问控制存在安全隐患。


技术实现要素：

4.本发明的目的就在于为了解决上述云计算在访问控制时无法保证外域用户的安全访问，存在安全隐患的问题而提供一种基于云计算数据安全的访问控制系统，具有通过访问策略单元和可信授权单元对内域和外域用户双重保护，数据访问更加安全可靠，不易受到恶意攻击的优点。
5.本发明通过以下技术方案来实现上述目的，一种基于云计算数据安全的访问控制系统，包括访问策略单元、可信授权单元和用户单元，所述用户单元包括内域用户和外域用户，其中所述访问策略单元用于连接所述内域用户和云计算平台，所述可信授权单元用于连接所述外域用户和所述云计算平台；
6.所述访问策略单元接收所述内域用户的访问请求，验证所述内域用户的身份信息，使所述内域用户与所述云计算平台之间数据互传；
7.所述可信授权单元加密所述云计算平台的授权指令，使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。
8.优选的，所述访问策略单元还连接身份存储模块，通过调用所述身份存储模块内部的身份信息识别所述内域用户的身份。
9.优选的，所述访问策略单元包括身份认证组件、特征提取模块、策略控制模块、权限分配模块和数据转发模块，身份认证组件用于认证内域用户的身份信息，特征提取模块用于提取访问需求，策略控制模块用于匹配访问需求，所述权限分配用于分配访问权限，所述数据转发模块用于收发数据。
10.优选的，所述权限分配模块还连接有权限管理模块。
11.优选的，所述数据转发模块内部设置标准协议转换模块，将内域用户上传的数据转换为供云计算平台识别的标准协议格式的数据。
12.优选的，所述外域用户连接云计算平台和可信授权单元，通过可信授权单元获取云计算平台的授权指令，并向云计算平台发出访问请求和收发访问数据。
13.优选的，所述可信授权单元包括数据接收模块和加密模块，通过数据接收模块接收云计算平台的授权指令，通过加密模块对授权指令进行加密。
14.优选的，所述授权指令由云计算平台接收到外域用户发出的访问需求时随机生成。
15.与现有技术相比，本发明的有益效果是：
16.1、通过访问策略单元和可信授权单元将访问云计算平台的用户分为内域用户和外域用户，内域用户采用身份验证的方式获得访问权限，外域用户采用解密的方式获得访问权限，通过分别控制访问权限，使云计算平台与用户的数据交互更加的安全可靠，也降低了跨域访问的难度，满足云计算的使用需求。
17.2、可信授权单元通过对授权指令进行加密，再由外域用户解密获得授权指令，才可实现对云计算平台的访问，这样不易受到外域的网络攻击，而且每次访问的授权指令随机生成，使用完毕后失效，也避免了二次使用带来的安全隐患。
附图说明
18.图1为本发明的整体系统框架结构示意图。
19.图2为本发明的访问策略单元内部模块连接示意图。
20.图3为本发明的可信授权单元运行流程示意图。
具体实施方式
21.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
22.请参阅图1所示，一种基于云计算数据安全的访问控制系统，包括访问策略单元、可信授权单元和用户单元，所述用户单元包括内域用户和外域用户，其中所述访问策略单元用于连接所述内域用户和云计算平台，所述可信授权单元用于连接所述外域用户和所述云计算平台；所述访问策略单元接收所述内域用户的访问请求，验证所述内域用户的身份信息，使所述内域用户与所述云计算平台之间数据互传；所述可信授权单元加密所述云计算平台的授权指令，使所述外域用户通过解密获取授权指令获得云计算平台的访问权限。通过访问策略单元实现内域用户的访问控制，通过可信授权单元实现外域用户的访问控制，内域用户采用身份验证的方式来获取访问权限，更加容易管理，外域用户通过可信授权单元提供解密授权指令的方式来获取访问权限，更加的安全，不易受到外域网络漏洞的攻击，不易造成用户身份泄露，因两种访问控制方式，保证用户正常访问的同时提高了访问的安全性。
23.如图2所示，所述访问策略单元还连接身份存储模块，通过调用所述身份存储模块
内部的身份信息识别所述内域用户的身份，身份存储模块存储所有内域用户的身份信息，当内域用户向访问策略单元发送访问请求时，访问策略单元通过调用身份存储模块的身份信息与发出请求的内域用户身份信息进行对比，从而识别该内域用户是否具备访问资格，所述访问策略单元包括身份认证组件、特征提取模块、策略控制模块、权限分配模块和数据转发模块，身份认证组件用于认证内域用户的身份信息，特征提取模块用于提取访问需求，策略控制模块用于匹配访问需求，所述权限分配用于分配访问权限，所述数据转发模块用于收发数据，所述权限分配模块还连接有权限管理模块，权限管理模块用于云计算平台管理员指定权限标准，设定权限等级，所述数据转发模块内部设置标准协议转换模块，将内域用户上传的数据转换为供云计算平台识别的标准协议格式的数据，内域用户可向云计算平台发送不同协议格式的数据，通过数据转发模块内部的标准协议转换模块转化成标准协议格式，存储在云计算平台中。
24.所述外域用户连接云计算平台和可信授权单元，通过可信授权单元获取云计算平台的授权指令，并向云计算平台发出访问请求和收发访问数据，所述可信授权单元包括数据接收模块和加密模块，通过数据接收模块接收云计算平台的授权指令，通过加密模块对授权指令进行加密，所述授权指令由云计算平台接收到外域用户发出的访问需求时随机生成，当云计算平台接收到外域用户发送的访问请求时，随机生成一个授权指令，该授权指令每次使用不完毕后便失效，这样即使授权指令被网络病毒获取，也无法二次使用，提高了数据保护的安全性，可信授权单元的使用原理如图3所示，可信授权单元通过内部的数据接收模块接收来自云计算平台发送的授权指令，通过加密模块的私钥对授权指令进行加密，并广播到全域，外域用户想要破解授权指令必须先获得可信授权单元的授权，用户通过公钥解密获取授权指令，访问云计算平台。可信授权单元的解密私钥是定期更换的，在每次更换私钥之后，公钥得到更新，并及时发送给老外域用户，使其可以继续使用，保证了私钥和公钥的安全。
25.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
26.此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。