本發(fā)明公開了一種基于云計算數(shù)據(jù)安全的訪問控制系統(tǒng)，屬于云計算技術(shù)領(lǐng)域，包括訪問策略單元、可信授權(quán)單元和用戶單元，所述用戶單元包括內(nèi)域用戶和外域用戶，其中所述訪問策略單元用于連接所述內(nèi)域用戶和云計算平臺，所述可信授權(quán)單元用于連接所述外域用戶和所述云計算平臺；所述訪問策略單元接收所述內(nèi)域用戶的訪問請求，驗證所述內(nèi)域用戶的身份信息，使所述內(nèi)域用戶與所述云計算平臺之間數(shù)據(jù)互傳；所述可信授權(quán)單元加密所述云計算平臺的授權(quán)指令，使所述外域用戶通過解密獲取授權(quán)指令獲得云計算平臺的訪問權(quán)限。通過訪問策略單元和可信授權(quán)單元將訪問云計算平臺的用戶分為內(nèi)域用戶和外域用戶，分別控制訪問流程更加的安全可靠。

技術(shù)領(lǐng)域

本發(fā)明涉及云計算技術(shù)領(lǐng)域，特別涉及一種基于云計算數(shù)據(jù)安全的訪問控制系統(tǒng)。

背景技術(shù)

隨著云計算的發(fā)展,云安全成為越來越關(guān)鍵的問題.在云計算環(huán)境中,用戶對放置在云服務(wù)器中的數(shù)據(jù)和計算失去控制,對于數(shù)據(jù)是否受到保護、計算任務(wù)是否被正確執(zhí)行都不能確定,因此需要設(shè)計相應(yīng)的安全機制和體系結(jié)構(gòu)來保護用戶數(shù)據(jù)的機密性、完整性、可用性。如何實現(xiàn)對云存儲中大量具有分類分級特點資源的細粒度訪問控制機制,保障云存儲中數(shù)據(jù)不被非法訪問,是云計算技術(shù)中急需解決的問題。

傳統(tǒng)的云計算訪問控制一般通過驗證訪問用戶的身份信息來確定是否具備訪問權(quán)限，為了保證身份正常驗證需要通過身份信息存儲來完成，但是云計算平臺在內(nèi)域網(wǎng)絡(luò)中使用時容易對網(wǎng)絡(luò)進行安全防護，在外域網(wǎng)絡(luò)使用時，無法保證網(wǎng)絡(luò)的安全性，因此容易受到攻擊，導致身份信息存儲模塊受損，更嚴重還會泄露用戶的信息，導致訪問控制存在安全隱患。

發(fā)明內(nèi)容

本發(fā)明的目的就在于為了解決上述云計算在訪問控制時無法保證外域用戶的安全訪問，存在安全隱患的問題而提供一種基于云計算數(shù)據(jù)安全的訪問控制系統(tǒng)，具有通過訪問策略單元和可信授權(quán)單元對內(nèi)域和外域用戶雙重保護，數(shù)據(jù)訪問更加安全可靠，不易受到惡意攻擊的優(yōu)點。

本發(fā)明通過以下技術(shù)方案來實現(xiàn)上述目的，一種基于云計算數(shù)據(jù)安全的訪問控制系統(tǒng)，包括訪問策略單元、可信授權(quán)單元和用戶單元，所述用戶單元包括內(nèi)域用戶和外域用戶，其中所述訪問策略單元用于連接所述內(nèi)域用戶和云計算平臺，所述可信授權(quán)單元用于連接所述外域用戶和所述云計算平臺；

所述訪問策略單元接收所述內(nèi)域用戶的訪問請求，驗證所述內(nèi)域用戶的身份信息，使所述內(nèi)域用戶與所述云計算平臺之間數(shù)據(jù)互傳；

所述可信授權(quán)單元加密所述云計算平臺的授權(quán)指令，使所述外域用戶通過解密獲取授權(quán)指令獲得云計算平臺的訪問權(quán)限。

優(yōu)選的，所述訪問策略單元還連接身份存儲模塊，通過調(diào)用所述身份存儲模塊內(nèi)部的身份信息識別所述內(nèi)域用戶的身份。

優(yōu)選的，所述訪問策略單元包括身份認證組件、特征提取模塊、策略控制模塊、權(quán)限分配模塊和數(shù)據(jù)轉(zhuǎn)發(fā)模塊，身份認證組件用于認證內(nèi)域用戶的身份信息，特征提取模塊用于提取訪問需求，策略控制模塊用于匹配訪問需求，所述權(quán)限分配用于分配訪問權(quán)限，所述數(shù)據(jù)轉(zhuǎn)發(fā)模塊用于收發(fā)數(shù)據(jù)。

優(yōu)選的，所述權(quán)限分配模塊還連接有權(quán)限管理模塊。

優(yōu)選的，所述數(shù)據(jù)轉(zhuǎn)發(fā)模塊內(nèi)部設(shè)置標準協(xié)議轉(zhuǎn)換模塊，將內(nèi)域用戶上傳的數(shù)據(jù)轉(zhuǎn)換為供云計算平臺識別的標準協(xié)議格式的數(shù)據(jù)。

優(yōu)選的，所述外域用戶連接云計算平臺和可信授權(quán)單元，通過可信授權(quán)單元獲取云計算平臺的授權(quán)指令，并向云計算平臺發(fā)出訪問請求和收發(fā)訪問數(shù)據(jù)。

優(yōu)選的，所述可信授權(quán)單元包括數(shù)據(jù)接收模塊和加密模塊，通過數(shù)據(jù)接收模塊接收云計算平臺的授權(quán)指令，通過加密模塊對授權(quán)指令進行加密。

優(yōu)選的，所述授權(quán)指令由云計算平臺接收到外域用戶發(fā)出的訪問需求時隨機生成。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：