[发明专利]一种云计算环境下云应用访问控制的系统及方法

说明书

技术领域

本发明属于云计算领域，具体涉及云应用的使用和访问授权控制技术。

背景技术

云计算是一种动态的、易扩展的、基于虚拟化的资源计算方式，通常是通过互联网提供，用户不需要了解云内部的细节。云计算服务包括3层，即基础设施即服务(IaaS)、基础平台即服务(PaaS)和软件即服务(SaaS)。基础设施即服务是针对网络、主机、存储等基础资源进行管理，是云计算体系的基石，是实现云计算的第一步；基础平台即服务是针对中间件、数据库等进行管理；软件即服务针对用户应用进行管理。

云应用在云计算环境下主要有两种实现形式：一、应用服务托管的方式，应用在客户端有本地的运行界面，但是应用内部所涉及到的数据和计算部分都在后台云数据中心汇总。二、远程应用的方式，使您可以通过远程桌面服务远程访问程序，就好像它们在最终用户的本地计算机上运行一样。这些程序称为云应用程序，一般情况时在同一应用服务器之上会运行多个应用实例。然而，对于第二种方式，由于应用是实际运行在远端计算机中，所以当多个应用被多个用户使用时，不同应用或者不同用户同种应用之间存在相互之间信息泄露的风险。

信息泄露风险主要体现在，1.应用访问记录的残留，暴露访问足迹；2.存储缓存容易被后续登录者获取；3.应用运行中可以对本级其他进程进行监控；4.无法做到有效的隔离。

发明内容

本发明提供一种云计算环境下云应用访问控制的系统及方法，对云应用权限进行控制，支持灵活方便的应用隔离，对于高安全级别应用作物理隔离，以解决信息泄露的问题。

为了达到上述目的，本发明的一个技术方案是提供一种云计算环境下云应用访问控制的系统，其包含：

网关代理，作为与客户端的接口，接收用户对云应用的链接请求，或向用户发送授权的云应用或拒绝链接请求的信息；

用户应用权限服务模块，对用户权限信息进行管理维护，还根据与网关代理的交互接收用户认证信息，并对用户权限的有效性进行验证后反馈授权认证结果至网关代理；

应用路由服务模块，对于记录有云应用服务分配信息的路由表进行维护及更新，还根据与网关代理的交互而在路由表中寻找有效的应用路由地址并反馈至网关代理；

云应用服务模块，通过与网关代理交互，提供与权限信息相匹配的云应用的运行环境。

可选地，所述应用路由服务模块进一步包含：

状态更新模块，在路由表中更新应用服务器的信息、应用的使用情况；

检查校验模块，对于路由表中是否有与链接请求相匹配的应用路由地址可供选择进行检查。

本发明的另一个技术方案是提供一种云计算环境下云应用访问控制的方法，其包含以下步骤：

A. 用户通过客户端发起对于云应用的链接请求，将该链接请求与用户认证信息一起发送至网关代理；

B.网关代理解析相关信息，并通过用户应用权限服务模块来验证用户权限；

C.当收到用户权限验证为有效的信息后，网关代理通过应用路由服务模块在路由表中搜寻符合条件的应用路由地址；

D. 依照搜寻到的应用路由地址，网关代理通过云应用服务模块向匹配该应用路由地址的云应用服务器进行链接；

由云应用服务模块提供与用户权限相匹配的云应用的运行环境，由网关代理反馈至用户的客户端。

可选地，步骤A之前，还通过应用路由服务模块对路由表进行初始化，来更新所有应用服务器的信息、所有应用的使用情况。

可选地，步骤D中，应用路由服务模块还将根据本次链接请求而分配的应用服务器的信息在路由表中进行更新。

可选地，步骤D之后，还包含在云应用使用退出后或者链接无效时，通过应用路由服务模块更新路由表状态，让下一次应用链接可用。

可选地，步骤C中在搜寻应用路由地址时，根据用户权限之间是否互斥来确定可供部署的应用服务器。

可选地，步骤D中，网关代理通过云应用服务模块向云应用服务器进行链接时，还同时发送与用户权限相匹配的应用的使用控制信息。

与现有技术相比，本发明提供的云计算环境下云应用访问控制的系统及方法，其优点在于：通过网关代理的方式将路由及认证在内部服务间完成：维护及更新路由表供云应用选择查询，由应用权限服务模块和路由服务模块共同来确定提供服务的云应用地址，以便提供与权限相匹配的云应用，从而完成应用的访问控制。