一種基於國產密碼算法的雲計算安全訪問控制方法與流程
2023-10-09 15:42:04
技術領域
本發明涉及雲計算、國產密碼算法和安全訪問控制技術領域,具體的說是一種基於國產密碼算法的雲計算安全訪問控制方法。
背景技術:
用戶對計算資源的控制程度大大降低。因此,雲計算的發展帶來了海量的訪問認證請求和複雜的用戶權限管理,推動了身份認證技術的不斷發展。雲計算中出現了基於多種安全憑證的身份認證技術。隨著雲計算的普及,雲端存儲了大量的用戶敏感數據,一旦用戶身份被仿冒,就很容易造成隱私和敏感數據的洩露。
基於國產密碼算法的身份認證和訪問控制方式應用,可為雲計算提供一種更為可靠的身份認證和訪問控制的管理措施,可以通過不同的訪問控制權限對業務系統進行訪問需求,實現了在數據訪問過程中的加密傳輸安全等內容。
技術實現要素:
本發明針對目前技術發展的需求和不足之處,提供一種基於國產密碼算法的雲計算安全訪問控制方法。
本發明所述一種基於國產密碼算法的雲計算安全訪問控制方法,解決上述技術問題採用的技術方案如下:一種基於國產密碼算法的雲計算安全訪問控制方法,在雲計算應用服務系統中嵌入一個安全訪問控制模塊,所述安全訪問控制模塊與應用服務系統融合在一起,通過安全訪問控制模塊進行安全訪問的屬性控制,包括初始化,用戶身份確認,訪問控制權限的確認和變更;並採用國產密碼算法進行數據加密。
優選的,所述安全訪問控制模塊負責在不改變業務操作固有流程的情況下,進行數據加密存儲、訪問者身份認證和訪問控制權限認證。
優選的,所述數據加密,主要包括:
(1)採用國產密碼算法進行加密存儲重要數據,採用明文存儲用於檢索、查詢的關鍵字、詞、句內容;
(2)在接到數據訪問請求後,臨時生產一個加密密鑰,對數據進行重新加密;同時,採用數字信封的方式將加密密鑰發送給訪問請求者。
優選的,所述用戶身份確認,主要是指對訪問用戶和雲計算中的應用服務,分別由安全訪問控制模塊為其籤發數字證書,以證明其身份。
優選的,所述訪問控制權限的確認,主要包括:
(1)對訪問用戶的權限信息,通過使用安全訪問控制模塊的秘鑰對其進行籤名;
(2)若訪問用戶權限變更,則向安全訪問控制模塊提交變更請求;審批通過後,為其新的權限數據重新籤名。
本發明所述一種基於國產密碼算法的雲計算安全訪問控制方法與現有技術相比具有的有益效果是:本發明由雲計算應用服務系統中的安全訪問控制模塊進行安全訪問的屬性控制,包括初始化,訪問控制權限的確認和變更;使用國產密碼算法進行數據的安全保護和訪問的安全控制;實現了對用戶的安全認證訪問控制,滿足了雲計算環境中數據的安全訪問和訪問控制權限的控制需求,增強雲計算應用服務系統的信息安全防護能力,能夠有效防止身份仿冒和數據信息的非法訪問。
具體實施方式
為使本發明的目的、技術方案和優點更加清楚明白,以下結合具體實施例,對本發明所述一種基於國產密碼算法的雲計算安全訪問控制方法進一步詳細說明。
為了滿足雲計算環境中數據的安全訪問和訪問控制權限的控制需求,本發明公開了一種基於國產密碼算法的雲計算安全訪問控制方法,使用國產密碼算法進行數據的安全保護和訪問的安全控制;通過雲計算應用服務系統中的安全訪問控制模塊進行安全訪問的屬性控制;採用國產密碼算法來實現數據加密、身份確認和訪問控制權限的確認。本發明實現了對用戶的安全認證訪問控制,增強雲計算應用服務系統的信息安全防護能力,能夠有效防止身份仿冒和數據信息的非法訪問。
實施例:
本實施例所述一種基於國產密碼算法的雲計算安全訪問控制方法, 在雲計算應用服務系統中嵌入一個安全訪問控制模塊,所述安全訪問控制模塊與應用服務系統融合在一起,通過安全訪問控制模塊進行安全訪問的屬性控制,包括初始化,用戶身份確認,訪問控制權限的確認和變更;並採用國產密碼算法進行數據加密。
在雲計算應用服務系統中嵌入一個安全訪問控制模塊,所述安全訪問控制模塊與應用服務系統融合在一起,在進行各項業務操作的同時,能夠自動調用、籤名和訪問控制信息。所述安全訪問控制模塊負責在不改變業務操作固有流程的情況下,增加數據加密存儲、訪問者身份認證和訪問控制權限認證等措施;並且,所述安全訪問控制模塊負責業務操作數據完整和防篡改,以提高系統安全問題,便於對訪問行為進行審計查證。
所述數據加密,主要包括如下內容:
(1)對於雲計算環境中的存儲的重要數據,採用國產密碼算法進行加密存儲;其提供檢索、查詢的關鍵字、詞、句等內容採用明文存儲,便於查詢;
(2)在接到數據訪問請求後,臨時生產一個加密密鑰,對數據進行重新加密;同時,採用數字信封的方式將加密密鑰發送給訪問請求者。
所述用戶身份確認和訪問控制權限的確認,主要包括如下內容:
(1)對訪問用戶和雲計算中的應用服務,分別由安全訪問控制模塊為其籤發數字證書,以證明其身份;
(2)對訪問用戶的權限信息,通過使用安全訪問控制模塊的秘鑰對其進行籤名,防止用戶對權限數據進行自行修改;
(3)若訪問用戶權限需要變更,則需向安全訪問控制模塊提交變更請求,審批通過後,為其新的權限數據重新籤名。
下面以雲計算檔案管理系統為例對本發明作進一步具體說明,但不作為對本發明的限定。所述雲計算檔案管理系統,對用戶提供檔案管理應用服務。在應用服務系統中,已經嵌入了安全訪問控制模塊。
訪問控制權限的確定:雲計算檔案管理系統通過安全訪問控制模塊,對所有用戶籤發身份證書,並對其權限數據進行籤名後,與身份證書進行一一綁定。
檔案數據的存儲過程:
(1)檔案管理者再上傳檔案數據時,系統自動對檔案數據的關鍵字、詞、句、日期等信息進行明文保存,以方便檢索使用;
(2)對於檔案數據的原文,則通過國產密碼算法進行加密處理,得出的密文存儲於雲計算檔案管理系統中。
檔案數據的借閱過程:
(1)借閱者向檔案管理系統提出借閱請求,並提交權限數據;
(2)檔案管理系統通過借閱者的權限數據判別請求是否合法,如果合法,則提供數據,不合法則駁回請求;
(3)訪問請求合法,檔案管理系統通過關鍵字等信息查詢到檔案數據,並臨時生成一個對稱秘鑰,對需訪問的檔案數據進行重新加密;同時,採用數字信封技術將臨時生成的加密密鑰安全傳送給借閱者;
(4)借閱者在接到數字信封和密文檔案數據後,解開數字信封獲得加密密鑰,對密文檔案數據進行解密,獲得檔案原始文件。
上述具體實施方式僅是本發明的具體個案,本發明的專利保護範圍包括但不限於上述具體實施方式,任何符合本發明的權利要求書的且任何所屬技術領域的普通技術人員對其所做的適當變化或替換,皆應落入本發明的專利保護範圍。