專利名稱:訪問云服務器的方法���、系統(tǒng)和接入設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域���,尤其涉及一種訪問云服務器的方法、系統(tǒng)和接入設備�。
背景技術:
云計算服務(Cloud Computing,以下簡稱云服務)是ー種新興的商業(yè)計算模型。它將計算任務分布在大量稱為云服務器的計算機構成的資源池上���,使各種應用系統(tǒng)能夠根據(jù)需要獲取計算能力�、存儲空間和各種軟件服務����。云服務器將所有的計算資源集中起來,并由軟件實現(xiàn)自動管理,無需人為參與��。這使得應用提供者無需為繁瑣的細節(jié)而煩惱�����,能夠更加專注于自己的業(yè)務��,有利于創(chuàng)新和降低成本��。即云服務是指云服務器可以提供的各種服務資源�����。
云服務一般包含三種主要的服務模式基礎設施即服務(IaaS, Infrastructureas a Service)�����、平臺即服務(PaaS, Platform as a Service)和軟件即服務(SaaS,Software as a Service)��。IaaS指的是云服務提供商可以把白己的基礎設施作為服務提供給用戶���,用戶根據(jù)需要使用的處理能力、存儲����、網(wǎng)絡以及其他計算資源等�����,按需付費�����,這種服務可以大大減少用戶在基礎設施上的重復投資和浪費����。PaaS指的是云服務提供商向用戶提供開發(fā)應用程序的語言或工具平臺�,如面向?qū)ο蟆⒅弊g式計算機程序設計語言java���、Python,以及.Net等,也就是說云服務提供商以提供平臺服務為自己的主業(yè)����,用戶可以基于PaaS開發(fā)自己的應用程序����。SaaS指的是云服務提供商即網(wǎng)絡側把應用程序作為ー種服務提供給用戶,用戶可以通過客戶端接ロ如網(wǎng)頁(web)瀏覽器����,隨時隨地使用這些應用程序����,而不需要在本地主機進行安裝��。隨著云服務的普及��,越來越多的企業(yè)開始通過互聯(lián)網(wǎng)租用云服務器提供的服務���,例如���,基于SaaS模式的web應用�,將企業(yè)的應用遷移到云服務器中。企業(yè)用戶可以通過互聯(lián)網(wǎng)使用用戶名��、密碼或數(shù)字證書直接訪問云服務器中各個應用�。隨著智能終端的普及,越來越多的企業(yè)員エ要求企業(yè)能夠支持遠程辦公����,但是,現(xiàn)有技術中��,云服務器與企業(yè)內(nèi)網(wǎng)通過互聯(lián)網(wǎng)連接,云服務器無法確認用戶登錄環(huán)境是否安全�����,是在企業(yè)內(nèi)網(wǎng)還是在企業(yè)外部�����。如果用戶處于企業(yè)外部��,比如處于公共場所���,則企業(yè)的信息更容易被泄露����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術問題是����,針對上述缺陷,如何提供一種訪問云服務的方法����、系統(tǒng)和接入設備,其能夠?qū)崿F(xiàn)云服務器的訪問控制�����,增強企業(yè)網(wǎng)的安全性。為解決上述技術問題�,本發(fā)明提供了一種訪問云服務器的方法,該方法包括接入設備接收終端發(fā)送的第一訪問請求��,所述第一訪問請求用于請求提供允許所述終端訪問的云服務器列表����,判斷所述終端的位置信息,根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表�;所述接入設備接收所述終端發(fā)送的第二訪問請求,所述第二訪問請求用于請求訪問所述終端選擇的云服務器����;所述接入設備與所述終端選擇的云服務器建立安全連接;當所述接入設備通過所述終端選擇的云服務器對所述接入設備的認證后����,所述接入設備將所述第二訪問請求發(fā)送給所述終端選擇的云服務器��;所述接入設備接收所述終端選擇的云服務器發(fā)送來的訪問響應�,并將所述訪問響應發(fā)送給所述終端,所述訪問響應是對所述第二訪問請求的響應�。在本發(fā)明的一個優(yōu)選的實施方案中�,在所述接入設備接收所述終端發(fā)送的第一訪問請求之后�����,進ー步包括所述接入設備對所述終端進行認證���,如果認證通過�����,則根據(jù)所述終端的位置信息 向所述終端返回允許所述終端訪問的云服務器列表���;否則,結束流程�����。在本發(fā)明的一個優(yōu)選的實施方案中����,在所述接入設備接收所述終端發(fā)送的第二訪問請求之后,進ー步包括所述接入設備判斷所述終端是否有權限訪問所述終端選擇的云服務器���,如果是�����,所述接入設備與所述終端選擇的云服務器建立安全連接��;否則��,結束流程�。在本發(fā)明的一個優(yōu)選的實施方案中,在所述將所述第二訪問請求發(fā)送給所述終端選擇的云服務器之后���,進ー步包括當所述終端選擇的云服務器通過對所述終端的認證后��,所述接入設備接收所述終端選擇的云服務器發(fā)送來的訪問響應�����;否則����,結束流程�����。在本發(fā)明的一個優(yōu)選的實施方案中����,當所述接入設備通過所述終端選擇的云服務器的認證后,所述方法還包括所述接入設備將所述終端的位置信息發(fā)送到所述終端選擇的云服務器����,所述終端的位置信息用于所述云服務器設置所述終端的云服務訪問權限,如果所述終端具有所述云服務訪問權限��,所述云服務器向所述接入設備發(fā)送訪問響應�;否則,結束流程��。在本發(fā)明的一個優(yōu)選的實施方案中����,所述終端的位置信息添加在所述第二訪問請求中。在本發(fā)明的一個優(yōu)選的實施方案中��,所述接入設備判斷所述終端的位置信息具體包括所述接入設備根據(jù)所述終端的IP地址����、所述終端的域名或所述終端的IP地址段判斷所述終端的位置信息。在本發(fā)明的一個優(yōu)選的實施方案中��,所述位置信息為標識所述終端在企業(yè)內(nèi)網(wǎng)或企業(yè)外部的信息���。在本發(fā)明的一個優(yōu)選的實施方案中�,所述接入設備通過所述終端選擇的云服務器的認證具體包括所述接入設備通過所述云服務器對所述接入設備的數(shù)字證書的認證。在本發(fā)明的一個優(yōu)選的實施方案中����,所述接入設備通過所述終端選擇的云服務器的認證具體包括
所述接入設備通過所述云服務器對所述接入設備的IP地址的認證。在本發(fā)明的一個優(yōu)選的實施方案中�����,所述安全連接為安全套接層SSL連接���。本發(fā)明還提供了一種訪問云服務器的系統(tǒng)�����,該系統(tǒng)包括終端�,用于向接入設備發(fā)送第一訪問請求��,所述第一訪問請求用于請求提供允許所述終端訪問的云服務器列表�,接收所述接入設備返回的允許所述終端訪問的云服務器列表,向所述接入設備發(fā)送第二訪問請求�����,所述第二訪問請求用于請求訪問所述終端選擇的云服務器�����,接收所述接入設備發(fā)送來的訪問響應�,所述訪問響應是對所述第二訪問請求的響應;接入設備��,用于接收終端發(fā)送的 第一訪問請求�����,判斷所述終端的位置信息���,根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表�����,接收所述終端發(fā)送的第二訪問請求�,與所述終端選擇的云服務器建立安全連接�;當通過所述終端選擇的云服務器對所述接入設備的認證后,將所述第二訪問請求發(fā)送給所述終端選擇的云服務器����;接收所述終端選擇的云服務器發(fā)送來的訪問響應�����,并將所述訪問響應發(fā)送給所述終端��;云服務器��,用于對接入設備進行認證���,認證通過后,接收所述接入設備發(fā)送來的第二訪問請求���,向所述接入設備發(fā)送訪問響應�。在本發(fā)明的一個優(yōu)選的實施方案中����,所述接入設備,進一步用于對所述終端進行認證�。在本發(fā)明的一個優(yōu)選的實施方案中,所述接入設備���,進一步用于判斷所述終端是否有權限訪問所述終端選擇的云服務器����。在本發(fā)明的一個優(yōu)選的實施方案中,所述云服務器�����,進一步用于對所述終端進行認證���。在本發(fā)明的一個優(yōu)選的實施方案中,所述接入設備�����,進一步用于將所述終端的位置信息發(fā)送到所述終端選擇的云服務器��;所述云服務器����,進一步用于根據(jù)所述終端的位置信息設置所述終端的云服務訪問權限。在本發(fā)明的一個優(yōu)選的實施方案中����,所述接入設備包括終端位置判斷單元,用于判斷所述終端的位置信息�,并根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表;代理單元,用于接收所述終端發(fā)送的第一訪問請求和第二訪問請求�����,與所述終端選擇的云服務器建立安全連接����;當通過所述終端選擇的云服務器對所述接入設備的認證后,將所述第二訪問請求發(fā)送給所述終端選擇的云服務器�����;接收所述終端選擇的云服務器發(fā)送來的訪問響應��,并將所述訪問響應發(fā)送給所述終端����。在本發(fā)明的一個優(yōu)選的實施方案中,所述接入設備進一步包括鑒權認證單元�,用于對所述終端進行認證;所述終端位置判斷單元�,進一步用于在所述鑒權認證單元對所述終端認證通過后,判斷所述終端的位置信息����,并根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表��。在本發(fā)明的一個優(yōu)選的實施方案中����,所述接入設備進一步包括
鑒權認證單元�����,用于判斷所述終端是否有權限訪問所述終端選擇的云服務器����;所述代理單元�,進一步用于在所述鑒權認證單元確定所述終端有權限訪問所述終端選擇的云服務器后,與所述終端選擇的云服務器建立安全連接��。在本發(fā)明的一個優(yōu)選的實施方案中����,所述接入設備,進一步用于根據(jù)所述終端的IP地址�、所述終端的域名或所述終端的IP地址段判斷所述終端的位置信息。在本發(fā)明的一個優(yōu)選的實施方案中����,所述位置信息為標識所述終端在企業(yè)內(nèi)網(wǎng)或企業(yè)外部的信息����。在本發(fā)明的一個優(yōu)選的實施方案中����,所述接入設備,進一步用于向所述終端選擇的云服務器提供數(shù)字證書��;所述云服務器��,進一步用于對所述接入設備的數(shù)字證書進行認證�����。 在本發(fā)明的一個優(yōu)選的實施方案中�,所述云服務器,進一步用于對所述接入設備的IP地址進行認證�。在本發(fā)明的一個優(yōu)選的實施方案中,所述安全連接為安全套接層SSL連接����。本發(fā)明還提供了一種接入設備,包括終端位置判斷單元��,用于判斷所述終端的位置信息��,并根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表;代理單元��,用于接收所述終端發(fā)送的第一訪問請求和第二訪問請求�,所述第一訪問請求用于請求提供允許所述終端訪問的云服務器列表,所述第二訪問請求用于請求訪問所述終端選擇的云服務器�����,與所述終端選擇的云服務器建立安全連接�;當通過所述終端選擇的云服務器對所述接入設備的認證后,將所述第二訪問請求發(fā)送給所述終端選擇的云服務器��;接收所述終端選擇的云服務器發(fā)送來的訪問響應�,并將所述訪問響應發(fā)送給所述終端,所述訪問響應是對所述第二訪問請求的響應�����。在本發(fā)明的一個優(yōu)選的實施方案中�,進一步包括鑒權認證單元�����,用于對所述終端進行認證�;所述終端位置判斷單元���,進一步用于在所述鑒權認證單元對所述終端認證通過后,判斷所述終端的位置信息����,并根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表。在本發(fā)明的一個優(yōu)選的實施方案中���,進一步包括鑒權認證單元�����,用于判斷所述終端是否有權限訪問所述終端選擇的云服務器����;所述代理單元�����,進一步用于在所述鑒權認證單元確定所述終端有權限訪問所述終端選擇的云服務器后����,與所述終端選擇的云服務器建立安全連接。在本發(fā)明的一個優(yōu)選的實施方案中�����,所述終端位置判斷單元,進一步用于根據(jù)所述終端的IP地址�����、所述終端的域名或所述終端的IP地址段判斷所述終端的位置信息���。在本發(fā)明的一個優(yōu)選的實施方案中�,所述位置信息為標識所述終端在企業(yè)內(nèi)網(wǎng)或企業(yè)外部的信息�。在本發(fā)明的一個優(yōu)選的實施方案中,所述安全連接為安全套接層SSL連接���。本發(fā)明公開了一種訪問云服務的方法����、系統(tǒng)和接入設備���,利用本發(fā)明所述的訪問云服務的方法、系統(tǒng)和接入設備�,通過接入設備訪問云服務器,提高企業(yè)資源的安全性����;根據(jù)用戶所在的位置��,即企業(yè)內(nèi)網(wǎng)和企業(yè)外部�,區(qū)分用戶的訪問權限�����,降低企業(yè)信息安全的風險�����。本發(fā)明的終端�、接入設備和云服務器的種類沒有特別限制,能實現(xiàn)本發(fā)明所述功能的各種終端���、接入設備和云服務器的都在本發(fā)明的范圍內(nèi)�����。本發(fā)明不局限于以上所述方式���,不論在其形狀或結構上作任何變化,凡是利用接入設備訪問云服務器的技術方案均落在本發(fā)明保護范圍之內(nèi)。此外��,不直接通過接入設備而是經(jīng)接入設備授權訪問云服務器的技術方案是本發(fā)明的一種變型�����,均應認為在本發(fā)明保護范圍之內(nèi)�����。
圖I是本發(fā)明實施例所述的訪問云服務的方法的流程
圖2是本發(fā)明實施例所述的訪問云服務的系統(tǒng)和接入設備的結構示意圖����。
具體實施例方式下面結合附圖和實施例,對本發(fā)明的具體實施方式
作進一步詳細說明����。以下實施例用于說明本發(fā)明,但不用來限制本發(fā)明的范圍�����。參見圖1�����,本發(fā)明提供了一種云服務的訪問控制方法���,包括步驟A���、接入設備接收終端發(fā)送的第一訪問請求,所述第一訪問請求用于請求提供允許所述終端訪問的云服務器列表�����,根據(jù)所述終端的IP地址�����、所述終端的域名或所述終端的IP地址段等信息判斷所述終端的位置信息����,所述位置信息為標識所述終端在企業(yè)內(nèi)網(wǎng)或企業(yè)外部的信息,根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表���,位于企業(yè)內(nèi)網(wǎng)和企業(yè)外部的終端可訪問的云服務器列表不同����;優(yōu)選地����,在所述接入設備接收所述終端發(fā)送的第一訪問請求之后�����,進一步包括所述接入設備根據(jù)接收自終端的第一用戶信息���,例如SSL (Secure SocketsLayer,安全套接層)VPN(Virtual Private Network,虛擬專用網(wǎng)絡)的用戶名和密碼等,對所述終端進行認證,如果認證通過��,則根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表���;否則�,結束流程����。優(yōu)選的,所述第一用戶信息添加在所述第一訪問請求中�����。由于VPN普遍應用于企業(yè)內(nèi)網(wǎng)���,所述接入設備可以為VPN網(wǎng)關���,針對SaaS云服務器����,所述接入設備可以為SSL VPN網(wǎng)關�����。所述終端可以包括企業(yè)外部或企業(yè)內(nèi)網(wǎng)中的終端�,例如筆記本電腦����、平板電腦、智能手機�、臺式電腦、PDA等��;B�����、所述接入設備接收所述終端發(fā)送的第二訪問請求�,所述第二訪問請求用于請求訪問所述終端選擇的云服務器;所述接入設備與所述終端選擇的云服務器建立安全連接����;優(yōu)選地,所述安全連接包括SSL連接或TLS (Transport Layer Security,傳輸層安全)連接等���。優(yōu)選地,在所述接入設備接收所述終端發(fā)送的第二訪問請求之后����,進一步包括所述接入設備判斷所述終端是否有權限訪問所述終端選擇的云服務器,如果是�,所述接入設備與所述終端選擇的云服務器建立安全連接,例如SSL連接���;否則�����,結束流程����;����。C、當所述接入設備通過所述終端選擇的云服務器對所述接入設備的認證后�����,所述接入設備將所述第二訪問請求發(fā)送給所述終端選擇的云服務器;所述接入設備接收所述終端選擇的云服務器發(fā)送來的訪問響應��,并將所述訪問響應發(fā)送給所述終端�����,所述訪問響應是對所述第二訪問請求的響應��。優(yōu)選地��,所述接入設備通過所述終端選擇的云服務器的認證具體包括所述接入設備通過所述云服務器對所述接入設備的數(shù)字證書的認證�。優(yōu)選地���,所述接入設備通過所述終端選擇的云服務器的認證具體包括所述接入設備通過所述云服務器對所述接入設備的IP地址的認證��,云服務器只允許具有指定IP地址的接入設備發(fā)起的安全連接�����,例如SSL連接�����。只允許來自所述接入設備的云服務訪問請求訪問所述云服務或只允許具有所述接入設備提供的數(shù)字證書的云服務訪問請求訪問所述云服務器��,進而保證只有來自所述接 入設備的云服務訪問請求才能訪問企業(yè)在云服務器����,例如SaaS云服務器中的關鍵應用。優(yōu)選地��,在所述將所述第二訪問請求發(fā)送給所述終端選擇的云服務器之后��,進一步包括當所述終端選擇的云服務器根據(jù)第二用戶信息��,例如SaaS服務器的用戶名和密碼等對所述終端的認證通過后���,所述接入設備接收所述終端選擇的云服務器發(fā)送來的訪問響應��;否則�,結束流程����。優(yōu)選地,所述第二用戶信息添加在所述第二訪問請求中����。優(yōu)選地����,當所述接入設備通過所述終端選擇的云服務器的認證后����,所述方法還包括所述接入設備將所述終端的位置信息發(fā)送到所述終端選擇的云服務器,所述終端的位置信息用于所述云服務器設置所述終端的云服務訪問權限�,如果所述終端具有所述云服務訪問權限,所述云服務器向所述接入設備發(fā)送訪問響應��;否則���,結束流程。優(yōu)選地���,所述終端的位置信息添加在所述第二訪問請求中���。利用本發(fā)明所述的訪問云服務的方法,通過所述接入設備訪問云服務器��,提高企業(yè)資源的安全性�;根據(jù)用戶所在的位置,即企業(yè)內(nèi)網(wǎng)和企業(yè)外部�����,區(qū)分用戶的訪問權限,降低企業(yè)信息安全的風險�。參見圖2,本發(fā)明提供了一種訪問云服務的系統(tǒng)�,包括終端100,用于向接入設備200發(fā)送第一訪問請求����,所述第一訪問請求用于請求提供允許所述終端訪問的云服務器列表,接收所述接入設備200返回的允許所述終端100訪問的云服務器列表���,向所述接入設備200發(fā)送第二訪問請求���,所述第二訪問請求用于請求訪問所述終端選擇的云服務器300,接收所述接入設備200發(fā)送來的訪問響應�,所述訪問響應是對所述第二訪問請求的響應;接入設備200����,用于接收終端100發(fā)送的第一訪問請求,根據(jù)所述終端的IP地址���、所述終端的域名或所述終端的IP地址段等信息判斷所述終端100的位置信息����,所述位置信息為標識所述終端在企業(yè)內(nèi)網(wǎng)或企業(yè)外部的信息,根據(jù)所述終端100的位置信息向所述終端100返回允許所述終端100訪問的云服務器列表�����,接收所述終端100發(fā)送的第二訪問請求�����,與所述終端100選擇的云服務器300建立安全連接����;當通過所述終端100選擇的云服務器300對所述接入設備200的認證后,將所述第二訪問請求發(fā)送給所述終端100選擇的云服務器300 ;接收所述終端100選擇的云服務器300發(fā)送來的訪問響應��,并將所述訪問響應發(fā)送給所述終端100 �;云服務器300���,用于對接入設備200進行認證����,認證通過后,接收所述接入設備200發(fā)送來的第二訪問請求���,向所述接入設備200發(fā)送訪問響應�。優(yōu)選地���,所述接入設備200�,進一步用于根據(jù)第一用戶信息�����,例如所述接入設備200的用戶名和密碼等�����,對所述終端進行認證����。優(yōu)選的,所述第一用戶信息添加在所述第一訪問請求中����。由于VPN普遍應用于企業(yè)內(nèi)網(wǎng),所述接入設備可以為VPN網(wǎng)關��,針對SaaS云服務器,所述接入設備可以為SSL VPN網(wǎng)關�����。所述終端100可以包括企業(yè)外部或企業(yè)內(nèi)網(wǎng)中的終端�����,例如筆記本電腦��、平板電 腦��、智能手機��、臺式電腦��、PDA等�����;位于企業(yè)內(nèi)網(wǎng)和企業(yè)外部的終端100可訪問的云服務器列表不同��,由于企業(yè)的云中包括多個云服務器����,則只有企業(yè)內(nèi)網(wǎng)的終端可以訪問一些核心云服務器,降低了企業(yè)信息安全的風險�;優(yōu)選地,所述安全連接包括SSL連接或TLS (Transport Layer Security,傳輸層安全)連接等。優(yōu)選地����,所述接入設備200,進一步用于判斷所述終端是否有權限訪問所述終端選擇的云服務器�����。優(yōu)選地�����,所述云服務器300進一步用于根據(jù)第二用戶信息�����,例如所述云服務器300的用戶名和密碼等�����,對所述終端進行認證�����;由于VPN (普遍應用于企業(yè)內(nèi)網(wǎng),所述接入設備200可以為VPN網(wǎng)關����,針對SaaS的云服務器,所述接入設備200可以為SSL VPN網(wǎng)關�����。優(yōu)選地�����,所述第二用戶信息添加在所述第二訪問請求中�。優(yōu)選地,所述接入設備200���,進一步用于將所述終端100的位置信息發(fā)送到所述終端100選擇的云服務器300;所述云服務器300�����,進一步用于根據(jù)所述終端100的位置信息設置所述終端100的云服務訪問權限�,包括訪問范圍�����、訪問時間�����、訪問次數(shù)等���,例如企業(yè)內(nèi)網(wǎng)的所述終端100可以訪問所述云服務器300的全部應用�、企業(yè)外部的所述終端100不能訪問一些企業(yè)核心的應用�、企業(yè)內(nèi)網(wǎng)和企業(yè)外部的所述終端100的訪問時間和訪問次數(shù)不同等。由于企業(yè)的云服務器包括多個云服務應用��,則只有企業(yè)內(nèi)網(wǎng)的終端可以訪問一些核心云服務應用��,降低了企業(yè)信息安全的風險����。優(yōu)選地,所述接入設備200包括終端位置判斷單元201和代理單元202����,例如Web
代理單元;所述終端位置判斷單元201�����,用于根據(jù)判斷所述終端100的位置信息,并根據(jù)所述終端100的位置信息向所述終端100返回允許所述終端100訪問的云服務器列表����,位于企業(yè)內(nèi)網(wǎng)和企業(yè)外部的終端100可訪問的云服務器列表不同;由于企業(yè)的云中包括多個云服務器�����,則只有企業(yè)內(nèi)網(wǎng)的終端可以訪問一些核心云服務器��,降低了企業(yè)信息安全的風險�;
所述代理單元202,用于接收所述終端201發(fā)送的第一訪問請求和第二訪問請求��,與所述終端100選擇的云服務器300建立安全連接���;當通過所述終端100選擇的云服務器300對所述接入設備200的認證后���,將所述第二訪問請求發(fā)送給所述終端100選擇的云服務器300 ;接收所述終端100選擇的云服務器300發(fā)送來的訪問響應,并將所述訪問響應發(fā)送給所述終端100�。優(yōu)選地,所述接入設備200進一步包括鑒權認證單元203���,用于對所述終端100進行認證��,提高了企業(yè)內(nèi)網(wǎng)的安全性����;相應地��,所述終端位置判斷單元201�,進一步用于在所述鑒權認證單元203對所述終端100認證通過后,判斷所述終端100的位置信息�����,并根據(jù)所述終端100的位置信息向所述終端100返回允許所述終端100訪問的云服務器列表����。優(yōu)選地,所述接入設備200進一步包括鑒權認證單元203�,用于判斷所述終端100是否有權限訪問所述終端100選擇的云服務器300 ;相應地�����,所述代理單元202����,進一步用于在所述鑒權認證單元203確定所述終端 100有權限訪問所述終端100選擇的云服務器300后�,與所述終端100選擇的云服務器300
建立安全連接�����。優(yōu)選地����,所述接入設備200,進一步用于向所述終端100選擇的云服務器300提供數(shù)字證書�����;所述云服務器300�,進一步用于對所述接入設備200的數(shù)字證書進行認證。優(yōu)選地�����,所述云服務器300���,進一步用于對所述接入設備200的IP地址進行認證�����,云服務器只允許具有指定IP地址的接入設備發(fā)起的安全連接��,例如SSL連接�����。只允許來自所述接入設備200的云服務訪問請求訪問所述云服務器300或只允許具有所述接入設備200提供的數(shù)字證書的云服務訪問請求訪問所述云服務器300����,進而保證只有來自所述接入設備200的云服務訪問請求才能訪問企業(yè)在云服務器����,例如SaaS云服務器中的關鍵應用。優(yōu)選地����,所述云服務器300可以包括SaaS云服務器、PaaS云服務器或IaaS云服務器�。利用本發(fā)明所述的訪問云服務的系統(tǒng),通過接入設備訪問云服務器�,提高企業(yè)資源的安全性;根據(jù)用戶所在的位置�����,即企業(yè)內(nèi)網(wǎng)和企業(yè)外部,區(qū)分用戶的訪問權限����,降低企業(yè)信息安全的風險;所述云服務器根據(jù)用戶信息和用戶位置信息對用戶進行認證�����,大大增強了企業(yè)網(wǎng)的安全性����。如圖2所示,本發(fā)明還提供了一種接入設備200��,包括終端位置判斷單元201和代理單元202���,例如Web代理單元���;所述終端位置判斷單元201,用于根據(jù)所述終端100的IP地址��、所述終端100的域名或所述終端100的IP地址段等信息判斷所述終端100的位置信息����,所述位置信息為標識所述終端在企業(yè)內(nèi)網(wǎng)或企業(yè)外部的信息����,并根據(jù)所述終端100的位置信息向所述終端100返回允許所述終端100訪問的云服務器列表���,位于企業(yè)內(nèi)網(wǎng)和企業(yè)外部的終端100可訪問的云服務器列表不同��;所述代理單元202���,用于接收所述終端100發(fā)送的第一訪問請求和第二訪問請求,所述第一訪問請求用于請求提供允許所述終端100訪問的云服務器列表����,所述第二訪問請求用于請求訪問所述終端100選擇的云服務器300����,與所述終端100選擇的云服務器300建立安全連接;當通過所述終端100選擇的云服務器300對所述接入設備200的認證后�,將所述第二訪問請求發(fā)送給所述終端100選擇的云服務器300 ;接收所述終端100選擇的云服務器300發(fā)送來的訪問響應,并將所述訪問響應發(fā)送給所述終端100���,所述訪問響應是對所述第二訪問請求的響應���。由于企業(yè)的云中包括多個云服務器��,則只有企業(yè)內(nèi)網(wǎng)的終端可以訪問一些核心云服務器�����,降低了企業(yè)信息安全的風險���;優(yōu)選地,進一步包括鑒權認證單元203���,用于根據(jù)第一用戶信息�����,例如所述接入設備200的用戶名和密碼等對所述終端100進行認證�����,提高了企業(yè)內(nèi)網(wǎng)的安全性���;相應地,所述終端位置判斷單元201��,進一步用于在所述鑒權認證單元203對所述終端100認證通過后���,判斷所述終端100的位置信息�����,并根據(jù)所述終端100的位置信息向所述終端100返回允許所述終端100訪問的云服務器列表����。優(yōu)選地,所述第一用戶信息添加在所述第一訪問請求中��。
優(yōu)選地�,進一步包括鑒權認證單元203,用于判斷所述終端100是否有權限訪問所述終端100選擇的云服務器300 �����;相應地��,所述代理單元202�����,進一步用于在所述鑒權認證單元203確定所述終端100有權限訪問所述終端100選擇的云服務器300后���,與所述終端100選擇的云服務器300
建立安全連接�。利用本發(fā)明所述的接入設備�,通過所述接入設備訪問云服務器,提高企業(yè)資源的安全性���;根據(jù)用戶所在的位置����,即企業(yè)內(nèi)網(wǎng)和企業(yè)外部�����,區(qū)分用戶的訪問權限����,降低企業(yè)信息安全的風險。綜上所述��,本發(fā)明公開了一種訪問云服務的方法�����、系統(tǒng)和接入設備��,利用本發(fā)明所述的訪問云服務的方法�、系統(tǒng)和接入設備���,通過接入設備訪問云服務器,提高企業(yè)資源的安全性��;根據(jù)用戶所在的位置��,即企業(yè)內(nèi)網(wǎng)和企業(yè)外部�����,區(qū)分用戶的訪問權限�����,降低企業(yè)信息安全的風險��。以上實施方式僅用于說明本發(fā)明����,而并非對本發(fā)明的限制,有關技術領域的普通技術人員����,在不脫離本發(fā)明的精神和范圍的情況下���,還可以做出各種變化和變型��,因此所有等同的技術方案也屬于本發(fā)明的范疇���,本發(fā)明的專利保護范圍應由權利要求限定��。
權利要求
1.一種訪問云服務器的方法,其特征在于,該方法包括 接入設備接收終端發(fā)送的第一訪問請求�����,所述第一訪問請求用于請求提供允許所述終端訪問的云服務器列表�,判斷所述終端的位置信息����,根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表; 所述接入設備接收所述終端發(fā)送的第二訪問請求�����,所述第二訪問請求用于請求訪問所述終端選擇的云服務器���; 所述接入設備與所述終端選擇的云服務器建立安全連接����; 當所述接入設備通過所述終端選擇的云服務器對所述接入設備的認證后,所述接入設備將所述第二訪問請求發(fā)送給所述終端選擇的云服務器��; 所述接入設備接收所述終端選擇的云服務器發(fā)送來的訪問響應�����,并將所述訪問響應發(fā)送給所述終端���,所述訪問響應是對所述第二訪問請求的響應�����。
2.根據(jù)權利要求I所述的方法�,其特征在于��,在所述接入設備接收所述終端發(fā)送的第一訪問請求之后���,進一步包括 所述接入設備對所述終端進行認證���,如果認證通過����,則根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表;否則�,結束流程�。
3.根據(jù)權利要求I所述的方法,其特征在于�����,在所述接入設備接收所述終端發(fā)送的第二訪問請求之后�����,進一步包括 所述接入設備判斷所述終端是否有權限訪問所述終端選擇的云服務器���,如果是��,所述接入設備與所述終端選擇的云服務器建立安全連接�;否則���,結束流程�。
4.根據(jù)權利要求I所述的方法��,其特征在于�,在所述將所述第二訪問請求發(fā)送給所述終端選擇的云服務器之后�����,進一步包括 當所述終端選擇的云服務器通過對所述終端的認證后��,所述接入設備接收所述終端選擇的云服務器發(fā)送來的訪問響應���;否則,結束流程�����。
5.根據(jù)權利要求I所述的方法�,其特征在于,當所述接入設備通過所述終端選擇的云服務器的認證后��,所述方法還包括 所述接入設備將所述終端的位置信息發(fā)送到所述終端選擇的云服務器����,所述終端的位置信息用于所述云服務器設置所述終端的云服務訪問權限,如果所述終端具有所述云服務訪問權限�,所述云服務器向所述接入設備發(fā)送訪問響應;否則����,結束流程�。
6.根據(jù)權利要求5所述的方法���,其特征在于����,所述終端的位置信息添加在所述第二訪問請求中��。
7.根據(jù)權利要求1-6中任一項所述的方法���,其特征在于,所述接入設備判斷所述終端的位置信息具體包括 所述接入設備根據(jù)所述終端的IP地址���、所述終端的域名或所述終端的IP地址段判斷所述終端的位置信息�。
8.根據(jù)權利要求1-6中任一項所述的方法�����,其特征在于�����,所述位置信息為標識所述終端在企業(yè)內(nèi)網(wǎng)或企業(yè)外部的信息�����。
9.根據(jù)權利要求1-6中任一項所述的方法,其特征在于����,所述接入設備通過所述終端選擇的云服務器的認證具體包括 所述接入設備通過所述云服務器對所述接入設備的數(shù)字證書的認證。
10.根據(jù)權利要求1-6中任一項所述的方法�,其特征在于,所述接入設備通過所述終端選擇的云服務器的認證具體包括 所述接入設備通過所述云服務器對所述接入設備的IP地址的認證�。
11.根據(jù)權利要求1-6中任一項所述的方法,其特征在于�,所述安全連接為安全套接層SSL連接。
12.—種訪問云服務器的系統(tǒng),其特征在于,該系統(tǒng)包括 終端����,用于向接入設備發(fā)送第一訪問請求,所述第一訪問請求用于請求提供允許所述終端訪問的云服務器列表��,接收所述接入設備返回的允許所述終端訪問的云服務器列表��,向所述接入設備發(fā)送第二訪問請求��,所述第二訪問請求用于請求訪問所述終端選擇的云服務器�,接收所述接入設備發(fā)送來的訪問響應,所述訪問響應是對所述第二訪問請求的響應�; 接入設備�,用于接收終端發(fā)送的第一訪問請求��,判斷所述終端的位置信息���,根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表�����,接收所述終端發(fā)送的第二訪問請求�����,與所述終端選擇的云服務器建立安全連接;當通過所述終端選擇的云服務器對所述接入設備的認證后�����,將所述第二訪問請求發(fā)送給所述終端選擇的云服務器����;接收所述終端選擇的云服務器發(fā)送來的訪問響應,并將所述訪問響應發(fā)送給所述終端�����; 云服務器,用于對接入設備進行認證�,認證通過后,接收所述接入設備發(fā)送來的第二訪問請求�,向所述接入設備發(fā)送訪問響應。
13.根據(jù)權利要求12所述的系統(tǒng)�����,其特征在于���, 所述接入設備����,進一步用于對所述終端進行認證����。
14.根據(jù)權利要求12所述的系統(tǒng),其特征在于�, 所述接入設備,進一步用于判斷所述終端是否有權限訪問所述終端選擇的云服務器����。
15.根據(jù)權利要求12所述的系統(tǒng),其特征在于, 所述云服務器�����,進一步用于對所述終端進行認證�����。
16.根據(jù)權利要求12所述的系統(tǒng)���,其特征在于�, 所述接入設備����,進一步用于將所述終端的位置信息發(fā)送到所述終端選擇的云服務器; 所述云服務器�����,進一步用于根據(jù)所述終端的位置信息設置所述終端的云服務訪問權限��。
17.根據(jù)權利要求12所述的系統(tǒng)����,其特征在于�����,所述接入設備包括 終端位置判斷單元,用于判斷所述終端的位置信息�,并根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表; 代理單元�,用于接收所述終端發(fā)送的第一訪問請求和第二訪問請求,與所述終端選擇的云服務器建立安全連接��;當通過所述終端選擇的云服務器對所述接入設備的認證后��,將所述第二訪問請求發(fā)送給所述終端選擇的云服務器����;接收所述終端選擇的云服務器發(fā)送來的訪問響應,并將所述訪問響應發(fā)送給所述終端�����。
18.根據(jù)權利要求17所述的系統(tǒng)�,其特征在于,所述接入設備進一步包括 鑒權認證單元���,用于對所述終端進行認證�; 所述終端位置判斷單元,進一步用于在所述鑒權認證單元對所述終端認證通過后�,判斷所述終端的位置信息,并根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表�����。
19.根據(jù)權利要求17所述的系統(tǒng)�,其特征在于,所述接入設備進一步包括 鑒權認證單元�����,用于判斷所述終端是否有權限訪問所述終端選擇的云服務器����; 所述代理單元,進一步用于在所述鑒權認證單元確定所述終端有權限訪問所述終端選擇的云服務器后���,與所述終端選擇的云服務器建立安全連接�����。
20.根據(jù)權利要求12-19中任一項所述的系統(tǒng),其特征在于����, 所述接入設備�����,進一步用于根據(jù)所述終端的IP地址�����、所述終端的域名或所述終端的IP地址段判斷所述終端的位置信息����。
21.根據(jù)權利要求12-19中任一項所述的系統(tǒng)����,其特征在于,所述位置信息為標識所述終端在企業(yè)內(nèi)網(wǎng)或企業(yè)外部的信息���。
22.根據(jù)權利要求12-19中任一項所述的系統(tǒng)�,其特征在于�����, 所述接入設備�����,進一步用于向所述終端選擇的云服務器提供數(shù)字證書; 所述云服務器�,進一步用于對所述接入設備的數(shù)字證書進行認證。
23.根據(jù)權利要求12-19中任一項所述的系統(tǒng)��,其特征在于�����, 所述云服務器����,進一步用于對所述接入設備的IP地址進行認證。
24.根據(jù)權利要求12-19中任一項所述的系統(tǒng)��,其特征在于��,所述安全連接為安全套接層SSL連接�。
25.一種接入設備,其特征在于�,包括 終端位置判斷單元,用于判斷所述終端的位置信息�����,并根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表�; 代理單元,用于接收所述終端發(fā)送的第一訪問請求和第二訪問請求���,所述第一訪問請求用于請求提供允許所述終端訪問的云服務器列表����,所述第二訪問請求用于請求訪問所述終端選擇的云服務器�,與所述終端選擇的云服務器建立安全連接;當通過所述終端選擇的云服務器對所述接入設備的認證后��,將所述第二訪問請求發(fā)送給所述終端選擇的云服務器�;接收所述終端選擇的云服務器發(fā)送來的訪問響應,并將所述訪問響應發(fā)送給所述終端����,所述訪問響應是對所述第二訪問請求的響應。
26.根據(jù)權利要求25所述的接入設備����,其特征在于,進一步包括 鑒權認證單元���,用于對所述終端進行認證�����; 所述終端位置判斷單元��,進一步用于在所述鑒權認證單元對所述終端認證通過后��,判斷所述終端的位置信息��,并根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表�。
27.根據(jù)權利要求25所述的接入設備,其特征在于��,進一步包括 鑒權認證單元����,用于判斷所述終端是否有權限訪問所述終端選擇的云服務器; 所述代理單元��,進一步用于在所述鑒權認證單元確定所述終端有權限訪問所述終端選擇的云服務器后�,與所述終端選擇的云服務器建立安全連接。
28.根據(jù)權利要求25-27中任一項所述的接入設備��,其特征在于�, 所述終端位置判斷單元,進一步用于根據(jù)所述終端的IP地址���、所述終端的域名或所述終端的IP地址段判斷所述終端的位置信息���。
29.根據(jù)權利要求25-27中任一項所述的接入設備,其特征在于����,所述位置信息為標識所述終端在企業(yè)內(nèi)網(wǎng)或企業(yè)外部的信息。
30.根據(jù)權利要求25-27中任一項所述的接入設備�����,其特征在于�����,所述安全連接為安全套接層SSL連接�。
全文摘要
本發(fā)明提供了一種訪問云服務的方法、系統(tǒng)和接入設備����,所述方法包括接入設備接收終端發(fā)送的第一訪問請求,判斷所述終端的位置信息���,根據(jù)所述終端的位置信息向所述終端返回允許所述終端訪問的云服務器列表��;所述接入設備接收所述終端發(fā)送的第二訪問請求�,所述接入設備與所述終端選擇的云服務器建立安全連接;當所述接入設備通過所述終端選擇的云服務器對所述接入設備的認證后���,所述接入設備將所述第二訪問請求發(fā)送給所述終端選擇的云服務器��;所述接入設備接收所述終端選擇的云服務器發(fā)送來的訪問響應����,并將所述訪問響應發(fā)送給所述終端����。應用本發(fā)明,通過接入設備訪問云服務器�,能夠?qū)崿F(xiàn)云服務的訪問控制,增強企業(yè)網(wǎng)的安全性����。
文檔編號H04L29/08GK102769631SQ201210268850
公開日2012年11月7日 申請日期2012年7月31日 優(yōu)先權日2012年7月31日
發(fā)明者胡士輝 申請人:華為技術有限公司