云端認證方法及系統的制作方法

云端認證方法及系統的制作方法
【專利摘要】本發明公開了一種云端認證方法及系統，該方法包括：終端向云端發送用戶身份信息的認證請求；所述云端接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證；所述云端在所述用戶身份信息的認證通過后，將所述認證結果發送至所述終端，以使所述用戶訪問所述云端中存儲的數據。該方法通過認證、授權、安全訪問等功能，提高了用戶數據訪問的安全性，云端與數據終端通過加密通道建立連接，實現了數據的訪問與控制。
【專利說明】云端認證方法及系統

【技術領域】
[0001]本發明涉及計算機安全領域，具體涉及一種云端認證方法及系統。

【背景技術】
[0002]隨著云計算的應用與普及，云計算系統的安全成了影響其發展的重點要素之一。現有的云端認證系統中，云端認證系統通過虛擬化技術幫助用戶整合現有IT硬件資源，構建企業的物理資源池，使企業的各項應用都能夠動態的、高效的、自適應的分布于物理資源池內，便于更為方便簡潔的管理和企業IT資源的充分利用。
[0003]所述現有的云端認證系統盡管為整個IT產業帶來巨大的變革，
[0004]但是云具有離散、無序的特性，存在極高的安全隱患風險，云應用的發展還是受到了安全與隱私的阻礙。目前，大多數IT企業或企業的IT部門的各個IT資源呈離散狀態，相互間壁壘森嚴，整體資源無法統一優化管理。個人用戶擔心自己的數據被惡意攻擊而公開，企業用戶擔心商業機密泄漏或數據被破壞。同時，在現有的數據中心中，大量的應用運行在各種互不兼容的環境中，兼容性問題非常突出。開發應用需要考慮硬件平臺、操作系統、中間件等各個級別，各種互不兼容的應用也大大增加了管理、維護和整合的難度。


【發明內容】

[0005]針對現有身份認證技術的缺陷，本發明提供了一種云端認證方法及系統，通過身份信息認證及數據加密，保障了云端數據的安全。
[0006]第一方面,本發明提供一種云端認證方法,包括:
[0007]終端向云端發送用戶身份信息的認證請求；
[0008]所述云端接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證；
[0009]所述云端在所述用戶身份信息的認證通過后，將所述認證結果發送至所述終端，以使所述用戶訪問所述云端中存儲的數據。
[0010]可選的，所述終端與所述云端通過加密通道建立通信連接，實現所述用戶數據的訪問與存儲。
[0011]可選的，所述云端接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證，包括:
[0012]云端服務器集群接收所述終端發送的用戶身份信息的認證請求，并對所述終端發送的用戶身份信息的認證請求的合法性和所述用戶身份信息的認證請求與所述云端認證服務器的適配性進行驗證；
[0013]所述云端認證服務器接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證，并將認證結果發送至所述云端服務器集群；
[0014]所述云端服務器集群接收所述云端認證服務器發送的認證結果，將認證后的用戶身份信息與所述云端服務器集群中的已備份的用戶身份信息進行匹配，對已認證的用戶身份信息進行二次認證，認證通過后將認證結果發送至終端。
[0015]可選的，對所述終端發送的用戶身份信息的認證請求的合法性進行驗證，包括:
[0016]驗證所述終端是否有權發送所述用戶身份信息的認證請求和驗證接收所述用戶身份信息的認證請求的云端認證服務器是否能夠進行所述用戶身份信息的認證。
[0017]可選的，對所述用戶身份信息的認證請求與所述云端認證服務器的適配性進行驗證，包括:
[0018]驗證所述用戶身份信息的認證請求是否屬于所述云端認證服務器的認證服務范疇和驗證所述終端發起所述用戶身份信息的認證請求的認證請求方式是否為所述云端認證服務器的認證服務范疇。
[0019]可選的，對所述用戶身份信息進行驗證，包括:
[0020]在所述云端對所述終端發送的用戶身份信息的認證請求的合法性、所述用戶身份信息的認證請求與所述云端認證服務器的適配性驗證通過后，所述云端認證服務器對所述用戶身份信息進行驗證。
[0021]可選的，對所述用戶身份信息進行驗證，包括:
[0022]若所述用戶身份信息未認證通過，則將為認證通過的消息發送至所述云端認證服務器，以使所述云端認證服務器對所述用戶身份信息進行重新認證，并將重新認證的結果發送至所述云端服務器集群，所述云端服務器集群對重新認證的用戶身份信息進行二次認證，直到所述用戶身份信息通過所述云端服務器集群的認證為止。
[0023]第二方面，本發明還提供了一種云端認證系統，包括:云端服務器集群和云端認證服務器；
[0024]所述云端服務器集群，用于接收終端發送的用戶身份信息的認證請求，并對所述終端發送的用戶身份信息的認證請求的合法性以及所述用戶身份信息的認證請求與所述云端服務器集群的適配性進行驗證；
[0025]所述云端認證服務器，用于接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證，并將認證結果發送至所述云端服務器集群；
[0026]所述云端服務器集群，用于接收所述云端認證服務器發送的認證結果，將認證后的用戶身份信息與所述云端服務器集群中的已備份的用戶身份信息進行匹配，對已認證的用戶身份信息進行二次認證，認證通過后將認證結果發送至終端，以使所述用戶訪問所述云端中存儲的數據。
[0027]可選的，所述終端與所述云端服務器集群和所述云端認證服務器通過加密通道建立通信連接，實現所述用戶數據的訪問與存儲。
[0028]可選的，所述云端服務器集群，還用于:
[0029]在所述用戶身份信息未認證通過時，則將為認證通過的消息發送至所述云端認證服務器，以使所述云端認證服務器對所述用戶身份信息進行重新認證；
[0030]接收所述云端認證服務器發送的重新認證的結果，對重新認證的用戶身份信息進行二次認證，直到所述用戶身份信息通過認證為止。
[0031]由上述技術方案可知，本發明提供的一種云端認證方法及系統，該方法通過認證、授權、安全訪問等功能，提高了用戶數據訪問的安全性，云端與數據終端通過加密通道建立連接，實現了數據的訪問與控制。

【專利附圖】

【附圖說明】
[0032]圖1為本發明一實施例提供的云端認證方法的流程示意圖；
[0033]圖2為本發明一實施例提供的云端安全操作系統的結構示意圖；
[0034]圖3為本發明一實施例提供的云端認證系統的結構示意圖；
[0035]圖4為本發明一實施例提供的云端安全操作平臺的結構示意圖。

【具體實施方式】
[0036]下面結合附圖，對發明的【具體實施方式】作進一步描述。以下實施例僅用于更加清楚地說明本發明的技術方案，而不能以此來限制本發明的保護范圍。
[0037]本發明實施例的云端認證系統可支持虛擬化認證、授權、安全訪問等功能。云端認證系統是一個虛擬化的云端系統，所有的數據及應用都存儲運行于云端。云端與用戶終端之間通過加密通道建立通信連接，實現數據訪問與控制。一方面提高了數據存儲的安全性，不會因為用戶終端的故障而導致數據丟失，另一方面提高了數據訪問的安全性，不易遭受不明惡意攻擊。該云端認證系統還采用了虛擬化技術，可以將原有的多臺服務器整合到一個物理服務器上，提高物理服務器的使用率，使每臺服務器的工作負載達到平均60% -80%的資源利用率。提供了靈活的容災恢復功能。數據是存放在云端的，應用也運行在云端，一切計算機操作都只呈現于用戶終端。
[0038]圖1示出了本發明實施例提供的云端認證方法的流程示意圖，如圖1所示，該云端認證方法包括如下步驟:
[0039]101、終端向云端發送用戶身份信息的認證請求；
[0040]舉例來說，所述終端與所述云端通過加密通道建立通信連接，實現所述用戶數據的訪問與存儲。
[0041]具體的，如圖2所示，用戶在終端通過統一的人機界面以及軟件接口自主選擇認證方式，包括生物指紋認證，數字證書認證等。終端將用戶的及時認證請求信息自動加密，并通過安全傳輸通道將身份信息數據傳遞至虛擬化云端服務器集群。
[0042]終端包含用戶ID、生物信息、密鑰在內的三因子高強度身份認證。
[0043]102、所述云端接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證；
[0044]舉例來說，上述步驟102具體包括圖1中未示出的如下步驟:
[0045]1021、云端服務器集群接收所述終端發送的用戶身份信息的認證請求，并對所述終端發送的用戶身份信息的認證請求的合法性和所述用戶身份信息的認證請求與所述云端認證服務器的適配性進行驗證；
[0046]具體的，如果有終端未通過合法性驗證，則虛擬化云端服務器集群中的數據存儲服務器記錄未通過鑒權的終端號碼和錯誤原因，并直接向該終端發送驗證失敗消息。
[0047]1022、所述云端認證服務器接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證，并將認證結果發送至所述云端服務器集群；
[0048]具體的，云端認證服務器根據接收到的用戶身份信息的認證請求，依據終端側用戶選擇的認證方式標識適配相應的認證機制進行身份信息的認證操作，并將身份信息的認證結果傳送到云端服務器集群。
[0049]1023、所述云端服務器集群接收所述云端認證服務器發送的認證結果，將認證后的用戶身份信息與所述云端服務器集群中的已備份的用戶身份信息進行匹配，對已認證的用戶身份信息進行二次認證，認證通過后將認證結果發送至終端。
[0050]103、所述云端在所述用戶身份信息的認證通過后，將所述認證結果發送至所述終端，以使所述用戶訪問所述云端中存儲的數據。
[0051]上述云端認證方法提供了身份虛擬化認證及數據保護的作用，用戶通過云終端的生物識別安全模塊登陸到云端，可以對屬于自己的內容進行相關數據的訪問和操作，即存放在云端的數據只識別來自云終端通過安全模塊登陸的用戶身份，用戶可以通過自己或其他的云終端獲得自己的數據，其他人無法通過該用戶的云終端獲得該用戶的數據。
[0052]云終端與云端通過加密通道的安全訪問控制來獲取數據并進行相應運算處理，云端的數據實時自動更新，當云終端發生意外斷開了與云端的連接并不會造成任何數據的丟失，用戶可以再次建立連接，在云端找回仍舊屬于自己的數據。
[0053]上述方法提高了用戶數據訪問的安全性，云端與數據終端通過加密通道建立連接，實現了數據的訪問與控制，防止用戶數據盜竊，實現可追溯、可監控。
[0054]在實際應用中，上述步驟1021中云端服務器集群接收所述終端發送的用戶身份信息的認證請求，并對所述終端發送的用戶身份信息的認證請求的合法性，主要是驗證所述終端是否有權發送所述用戶身份信息的認證請求和驗證接收所述用戶身份信息的認證請求的云端認證服務器是否能夠進行所述用戶身份信息的認證。
[0055]對所述用戶身份信息的認證請求與所述云端認證服務器的適配性進行驗證，主要是驗證所述用戶身份信息的認證請求是否屬于所述云端認證服務器的認證服務范疇和驗證所述終端發起所述用戶身份信息的認證請求的認證請求方式是否為所述云端認證服務器的認證服務范疇。
[0056]對所述用戶身份信息進行驗證，主要是在所述云端對所述終端發送的用戶身份信息的認證請求的合法性、所述用戶身份信息的認證請求與所述云端認證服務器的適配性驗證通過后，所述云端認證服務器對所述用戶身份信息進行驗證。
[0057]具體的，若所述用戶身份信息認證通過，則將認證通過的結果發送至終端，若所述用戶身份信息未認證通過，則將為認證通過的消息發送至所述云端認證服務器，以使所述云端認證服務器對所述用戶身份信息進行重新認證，并將重新認證的結果發送至所述云端服務器集群，所述云端服務器集群對重新認證的用戶身份信息進行二次認證，直到所述用戶身份信息通過所述云端服務器集群的認證為止。
[0058]圖3為本發明實施例提供的云端認證系統的結構示意圖，如圖3所示，該云端認證系統，包括:云端服務器集群31和云端認證服務器32 ；
[0059]所述云端服務器集群31，用于接收終端發送的用戶身份信息的認證請求，并對所述終端發送的用戶身份信息的認證請求的合法性以及所述用戶身份信息的認證請求與所述云端服務器集群的適配性進行驗證；
[0060]具體的，所述終端與所述云端服務器集群和所述云端認證服務器通過加密通道建立通信連接，實現所述用戶數據的訪問與存儲。
[0061]所述云端認證服務器32，用于接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證，并將認證結果發送至所述云端服務器集群；
[0062]所述云端服務器集群31，用于接收所述云端認證服務器發送的認證結果，將認證后的用戶身份信息與所述云端服務器集群中的已備份的用戶身份信息進行匹配，對已認證的用戶身份信息進行二次認證，認證通過后將認證結果發送至終端，以使所述用戶訪問所述云端中存儲的數據。
[0063]所述云端服務器集群，還用于:
[0064]在所述用戶身份信息未認證通過時，則將為認證通過的消息發送至所述云端認證服務器，以使所述云端認證服務器對所述用戶身份信息進行重新認證；
[0065]接收所述云端認證服務器發送的重新認證的結果，對重新認證的用戶身份信息進行二次認證，直到所述用戶身份信息通過認證為止。
[0066]上述云端認證系統提供了靈活的容災恢復功能。數據是存放在云端的，應用也運行在云端，一切計算機操作都只呈現于用戶界面，云終端與云端通過加密通道的安全訪問控制來獲取數據并進行相應運算處理，云端的數據實時自動更新，當云終端發生意外斷開了與云端的連接并不會造成任何數據的丟失，用戶可以再次建立連接，在云端找回仍舊屬于自己的數據。
[0067]云端認證系統提供的封裝和隔離特性使得應用所在的平臺與底層服務器環境隔離，管理員不需要根據底層環境的變化頻繁地調整應用，僅需構建一個應用版本，并將其發布到虛擬化封裝后的不同類型的平臺上。云端認證系統通過虛擬化技術解除了應用與物理服務器的綁定，通過關閉空閑的物理服務器，減少運行的物理服務器數量，減少CPU以外各單元的耗電量，從而達到綠色節能的目的。
[0068]此外本發明中還采用了云終端作為配套安全加固產品，提供了身份虛擬化認證及數據保護的作用。云終端與云端通過加密通道的安全訪問控制來獲取數據并進行相應運算處理，云端的數據實時自動更新，當云終端發生意外斷開了與云端的連接并不會造成任何數據的丟失，用戶可以再次建立連接，在云端找回仍舊屬于自己的數據。
[0069]在提供安全的解決方案背景下，云端認證系統能將這些分散的、孤立的各類IT資源變成網絡化的有效IT資源加以充分利用，消除信息孤島，實現IT資源的共享，減少服務器數量，提高服務器使用率。
[0070]終端是云端認證系統配套的安全加固套件，可提供安全身份認證的功能，防止數據盜竊，實現可追溯、可監控；云端認證服務器可實現對用戶身份的認證；云端管理服務器是資源管理系統，可實現管理資源池系統及資源池系統中的各種資源的調度、分配和調整；虛擬化云端服務器集群可實現對物理層的硬件設施進行虛擬化處理；數據存儲服務器可實現云安全系統中大量、多類型數據的存儲。
[0071]本發明實施例的云端認證系統采用開源的Linux操作系統作為基礎平臺，通過將安全功能特性與虛擬機、虛擬化服務器、云端管理服務器、云端認證服務器、安全數據存儲以及加密數據傳輸相結合，解決了用戶在云計算環境下對體系安全的擔憂，保障云計算桌面環境以及基礎環境的安全可靠。
[0072]基于虛擬化技術的云端認證系統的平臺結構如圖4所示云端認證系統平臺由管理層、監控層和安全層組成。
[0073]物理硬件設備主要包括x86服務器、網絡設備、存儲設備，為IaaS服務提供了最底層的物理資源；
[0074]虛擬化和基礎軟件層是通過虛擬化軟件(如VCloud、VMware ESX1、CitrixXenServer或KVM)對物理層的硬件設施進行虛擬化處理,形成的Hypervisor虛擬層面的資源池系統。采用虛擬化軟件將物理設備資源形成一個或多個虛擬出來的資源池，提供了計算能力、網絡功能和存儲能力；
[0075]管理層是通過安全云管理系統來實現資源統一管理和業務統一管控的自動化系統。云端管理服務器作為資源管理系統，主要是管理資源池系統及資源池系統中的各種資源的調度、分配和調整；
[0076]監控層通過云安全監控系統，統一監控各種虛擬機、虛擬網、虛擬防火墻、虛擬
VPN、虛擬IPS、虛擬IDS等系統的運行狀態。并且進行精確定位，并且進行故障分析和告m.S O ,
[0077]安全層通過云安全管理系統為云計算體系提供完整的安全解決方案，其中包括云計算構架內整理的安全事件的監控、告警、分析，安全審計、數據防護、虛擬防火墻、虛擬VPN，虛擬IDS、虛擬IPS、虛擬防病毒等，全方位的安全解決方案。
[0078]本發明的說明書中，說明了大量具體細節。然而，能夠理解，本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中，并未詳細示出公知的方法、結構和技術，以便不模糊對本說明書的理解。
[0079]最后應說明的是:以上各實施例僅用以說明本發明的技術方案，而非對其限制；盡管參照前述各實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分或者全部技術特征進行等同替換；而這些修改或者替換，并不使相應技術方案的本質脫離本發明各實施例技術方案的范圍，其均應涵蓋在本發明的權利要求和說明書的范圍當中。
【權利要求】
1.一種云端認證方法,其特征在于,包括: 終端向云端發送用戶身份信息的認證請求； 所述云端接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證； 所述云端在所述用戶身份信息的認證通過后，將所述認證結果發送至所述終端，以使所述用戶訪問所述云端中存儲的數據。
2.根據權利要求1所述的方法，其特征在于，所述終端與所述云端通過加密通道建立通信連接，實現所述用戶數據的訪問與存儲。
3.根據權利要求1所述的方法，其特征在于，所述云端接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證，包括: 云端服務器集群接收所述終端發送的用戶身份信息的認證請求，并對所述終端發送的用戶身份信息的認證請求的合法性和所述用戶身份信息的認證請求與所述云端認證服務器的適配性進行驗證； 所述云端認證服務器接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證，并將認證結果發送至所述云端服務器集群； 所述云端服務器集群接收所述云端認證服務器發送的認證結果，將認證后的用戶身份信息與所述云端服務器集群中的已備份的用戶身份信息進行匹配，對已認證的用戶身份信息進行二次認證，認證通過后將認證結果發送至終端。
4.根據權利要求3所述的方法，其特征在于，對所述終端發送的用戶身份信息的認證請求的合法性進行驗證，包括: 驗證所述終端是否有權發送所述用戶身份信息的認證請求和驗證接收所述用戶身份信息的認證請求的云端認證服務器是否能夠進行所述用戶身份信息的認證。
5.根據權利要求3所述的方法，其特征在于，對所述用戶身份信息的認證請求與所述云端認證服務器的適配性進行驗證，包括: 驗證所述用戶身份信息的認證請求是否屬于所述云端認證服務器的認證服務范疇和驗證所述終端發起所述用戶身份信息的認證請求的認證請求方式是否為所述云端認證服務器的認證服務范疇。
6.根據權利要求3所述的方法，其特征在于，對所述用戶身份信息進行驗證，包括: 在所述云端對所述終端發送的用戶身份信息的認證請求的合法性、所述用戶身份信息的認證請求與所述云端認證服務器的適配性驗證通過后，所述云端認證服務器對所述用戶身份信息進行驗證。
7.根據權利要求1所述的方法，其特征在于，對所述用戶身份信息進行驗證，包括: 若所述用戶身份信息未認證通過，則將為認證通過的消息發送至所述云端認證服務器，以使所述云端認證服務器對所述用戶身份信息進行重新認證，并將重新認證的結果發送至所述云端服務器集群，所述云端服務器集群對重新認證的用戶身份信息進行二次認證，直到所述用戶身份信息通過所述云端服務器集群的認證為止。
8.—種云端認證系統，其特征在于，包括:云端服務器集群和云端認證服務器； 所述云端服務器集群，用于接收終端發送的用戶身份信息的認證請求，并對所述終端發送的用戶身份信息的認證請求的合法性和所述用戶身份信息的認證請求與所述云端服務器集群的適配性進行驗證； 所述云端認證服務器，用于接收所述終端發送的用戶身份信息的認證請求，對所述用戶身份信息進行認證，并將認證結果發送至所述云端服務器集群； 所述云端服務器集群，用于接收所述云端認證服務器發送的認證結果，將認證后的用戶身份信息與所述云端服務器集群中的已備份的用戶身份信息進行匹配，對已認證的用戶身份信息進行二次認證，認證通過后將認證結果發送至終端，以使所述用戶訪問所述云端中存儲的數據。
9.根據權利要求8所述的系統，其特征在于，所述終端與所述云端服務器集群和所述云端認證服務器通過加密通道建立通信連接，實現所述用戶數據的訪問與存儲。
10.根據權利要求8所述的系統，其特征在于，所述云端服務器集群，還用于: 在所述用戶身份信息未認證通過時，則將為認證通過的消息發送至所述云端認證服務器，以使所述云端認證服務器對所述用戶身份信息進行重新認證； 接收所述云端認證服務器發送的重新認證的結果，對重新認證的用戶身份信息進行二次認證，直到所述用戶身份信息通過認證為止。
【文檔編號】H04L29/06GK104320391SQ201410567739
【公開日】2015年1月28日 申請日期:2014年10月22日 優先權日:2014年10月22日
【發明者】何利文 申請人:南京綠云信息技術有限公司