技術領域

本發明涉及通信技術領域，尤其涉及一種云訪問控制方法、裝置和系統。

背景技術

“云”就是計算機群，每一群包括了幾十萬臺、甚至上百萬臺計算機。“云”的好處在于，其中的計算機可以隨時更新。這也就代表著“云”中的資源可以隨時獲取，按需使用，隨時擴展，按使用付費。與以往的計算方式相比，它可以將計算資源集中起來，由軟件實現自主管理，如此使得運算操作和數據存儲的使用可以脫離用戶機，從而擺脫一直以來“硬件決定性能”的局面。

在傳統的企業應用中，用戶的賬號是由內部系統分配的，并且這些賬號只能在企業內部網絡上使用。而用戶在使用云服務時，賬號是由云提供商提供的，只要擁有了賬號，可以在互聯網上任何地方使用云服務。如果員工都使用企業申請的同一個公共賬號訪問云，則無法區分使用者，不能對各個使用者實施包括權限管理的策略控制。如果企業為每一個員工分別申請一個賬號，又會帶來一些管理上的負擔，一方面是因為數量眾多，總帳號數等于員工數乘以云服務數；另一方面需要在每一個云服務器端創建或修改賬號，且策略控制依賴于云提供商的實現，由于策略控制在云端導致企業不能對策略實施的結果進行統計、分析和審計，管理不便；更重要的是如果員工離職后沒有及時刪除，存在賬號泄露風險，且為每一個員工創建賬號暴露了企業的組織信息，對于某些企業來說無法接受。

發明內容

有鑒于此，本發明提供了一種云訪問控制的方法、裝置和系統。企業能夠對云訪問者進行身份驗證和策略控制，有效地對使用者進行管理和統計，避免在服務器端進行設置，提高了管理的效率。

第一方面，本發明實施例提供了一種對云訪問控制的方法，包括：

接收客戶端發送的包括用戶身份信息和云操作信息的第一訪問請求；

若驗證所述用戶身份信息為合法時，根據預置的策略信息驗證所述云操作信息；

若驗證所述云操作信息為合法時，當代理服務器中沒有所述第一訪問請求指示的內容時，生成第二訪問請求，并發送至云服務器；

接收所述云服務器響應所述第二訪問請求的結果，并轉發至所述客戶端。

在第一方面的第一種可能的實現方式中，所述用戶身份信息包括：第一用戶標識和第一簽名，所述第一簽名是根據代理服務器分配的所述第一用戶標識和第一密鑰標識，通過預置的簽名算法生成；

所述方法還包括：

從所述身份信息中獲取第一用戶標識，并根據所述第一用戶標識在代理服務器上查詢對應的密鑰標識；

根據所述第一用戶標識和所述密鑰標識通過所述預置的簽名算法計算出第二簽名；

比較所述第二簽名是否與所述第一簽名相同，若相同，則確定用戶身份合法，若不同，則向所述客戶端返回用戶身份驗證未通過的提示信息。

結合第一方面或第一方面的第一可能的實現方式，在第二種可能的實現方式中，所述生成第二訪問請求包括：

獲取所述云服務器發行的云賬號，所述云賬號包括第二用戶標識和第二密鑰標識；

根據所述第二用戶標識和第二密鑰標識通過所述預置的簽名算法計算出第三簽名；

將所述第一訪問請求中的所述第一用戶標識替換為第二用戶標識、所述第一簽名替換為所述第三簽名，以生成第二訪問請求。

結合第一方面或第一方面的第一種或第二種可能的實現方式，在第三種可能的實現方式中，還包括：

當所述代理服務器中保存有所述第一訪問請求指示的內容時，則直接將所述代理服務器中保存的所述第一訪問請求指示的內容返回至所述客戶端。

結合第一方面或第一方面的任一種可能的實現方式，在第四種可能的實現方式中，還包括：

若所述云操作信息驗證結果為不合法，則向所述客戶端返回提示信息以提示所述第一訪問請求不滿足所述預置的策略信息。

第二方面，本發明提供一種代理服務器，包括：

請求接收模塊，用于接收客戶端發送的包括用戶身份信息和云操作信息的第一訪問請求；

策略驗證模塊，用于若驗證所述用戶身份信息為合法時，根據預置的策略信息驗證所述云操作信息；

請求發送模塊，用于若驗證所述云操作信息為合法時，當代理服務器中沒有所述第一訪問請求指示的內容時，生成第二訪問請求，并發送至云服務器；

內容轉發模塊，用于接收所述云服務器響應所述第二訪問請求的結果，并轉發至所述客戶端。

在第二方面的第一種可能的實現方式中，還包括：