本發(fā)明涉及計算機技術(shù)領(lǐng)域，特別涉及云計算平臺的安全管理方法、裝置、介質(zhì)及存儲控制器。

背景技術(shù)：

隨著計算機技術(shù)的不斷發(fā)展，云計算平臺的應(yīng)用也已得到廣泛的普及。云計算平臺提供大量的共享計算資源，用戶可結(jié)合實際業(yè)務(wù)需求申請訪問云計算平臺所提供的共享計算資源，比如更新云計算平臺中的應(yīng)用程序或在云計算平臺的存儲資源中讀寫數(shù)據(jù)。

目前，為了提高云計算平臺中共享計算資源的安全性，通常需要對云平臺的正常用戶分配相應(yīng)的賬號及密碼，當且僅當用戶通過分配的賬號及密碼登錄云計算平臺之后，才能發(fā)出資源訪問請求，以便相應(yīng)的裝置根據(jù)用戶發(fā)出的資源訪問請求對云計算平臺提供的共享計算資源進行管理。

上述技術(shù)方案中，由于云計算平臺中共享計算資源的共享程度極高，當存在入侵者獲取到正常用戶的賬號及密碼時，則可通過獲取的賬號及密碼登錄云平臺，然后發(fā)出相應(yīng)的資源訪問請求以針對云平臺所提供的大量共享計算資源進行惡意讀寫、惡意修改等操作，嚴重威脅云計算平臺的安全性。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供了一種云計算平臺的安全管理方法、裝置、可讀介質(zhì)及存儲控制器，可提高云計算平臺的安全性。

第一方面，本發(fā)明提供了一種云計算平臺的安全管理裝置，包括：

訪問攔截模塊、解析模塊、用戶信任模塊和資源管理模塊；其中，

所述訪問攔截模塊，用于獲取已經(jīng)登錄所述云計算平臺的登錄用戶發(fā)出的資源訪問請求；

所述解析模塊，用于解析所述訪問攔截模塊獲取的所述資源訪問請求，以確定所述登錄用戶需要訪問的目標共享計算資源；

所述用戶信任模塊，用于存儲至少一個用戶與所述云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系；根據(jù)存儲的所述對應(yīng)關(guān)系確定所述登錄用戶是否為可信用戶，在確定出所述登錄用戶為可信用戶時，觸發(fā)所述資源管理模塊；

所述資源管理模塊，用于在所述用戶信任模塊的觸發(fā)下根據(jù)所述訪問攔截模塊獲取的所述資源訪問請求管理所述目標共享計算資源。

優(yōu)選地，

在所述目標共享計算資源包括目標應(yīng)用程序，且所述資源訪問請求攜帶對應(yīng)所述目標應(yīng)用程序的更新程序時，

所述資源管理模塊，包括：更新處理單元；其中，

所述更新處理單元，用于預(yù)先存儲至少一個樣本病毒程序，檢測所述更新程序中是否攜帶至少一個所述樣本病毒程序，在所述更新程序中未攜帶至少一個所述樣本病毒程序時，根據(jù)所述更新程序更新所述云計算平臺中的所述目標應(yīng)用程序。

優(yōu)選地，

在所述目標共享計算資源包括目標存儲資源時，

所述資源管理模塊，包括：讀寫處理單元；其中，

所述讀寫處理單元，用于確定對應(yīng)所述目標存儲資源的數(shù)據(jù)讀取數(shù)量，在所述數(shù)據(jù)讀取數(shù)量不大于第一預(yù)設(shè)數(shù)量時，讀取所述目標存儲資源下存儲的各個存儲數(shù)據(jù)，并提供給所述登錄用戶；用于確定所述目標存儲資源的數(shù)據(jù)寫入數(shù)量，在所述數(shù)據(jù)寫入數(shù)量不大于第二預(yù)設(shè)數(shù)量時，將所述數(shù)據(jù)訪問請求攜帶的各個待存儲數(shù)據(jù)寫入所述目標存儲資源。

優(yōu)選地，

還包括：告警處理模塊；其中，

所述用戶信任模塊，進一步同于在確定出所述登錄用戶不為可信用戶時，觸發(fā)所述告警處理模塊；

所述告警處理模塊，用于在所述用戶信任模塊的觸發(fā)下，生成對應(yīng)所述登錄用戶的告警信息，并提供。

第二方面，本發(fā)明實施例提供了一種云計算平臺的安全管理方法，包括：

預(yù)先存儲至少一個用戶與所述云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系；

獲取已經(jīng)登錄所述云計算平臺的登錄用戶發(fā)出的資源訪問請求；

解析所述資源訪問請求以確定所述登錄用戶需要訪問的目標共享計算資源；

根據(jù)存儲的所述對應(yīng)關(guān)系確定所述登錄用戶是否為可信用戶；

在確定出所述登錄用戶為可信用戶時，根據(jù)所述資源訪問請求管理所述目標共享計算資源。

優(yōu)選地，

所述預(yù)先存儲至少一個用戶與所述云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系，進一步包括：預(yù)先存儲至少一個樣本病毒程序；

則，在確定的所述目標共享計算資源包括目標應(yīng)用程序，且所述資源訪問請求攜帶對應(yīng)所述目標應(yīng)用程序的更新程序時，

所述根據(jù)所述資源訪問請求管理所述目標共享計算資源，包括：

檢測所述更新程序中是否攜帶至少一個所述樣本病毒程序，在所述更新程序中未攜帶至少一個所述樣本病毒程序時，根據(jù)所述更新程序更新所述云計算平臺中的所述目標應(yīng)用程序。

優(yōu)選地，

在所述目標共享計算資源包括目標存儲資源時，

所述根據(jù)所述資源訪問請求管理所述目標共享計算資源，包括：確定對應(yīng)所述目標存儲資源的數(shù)據(jù)讀取數(shù)量，在所述數(shù)據(jù)讀取數(shù)量不大于第一預(yù)設(shè)數(shù)量時，讀取所述目標存儲資源下存儲的各個存儲數(shù)據(jù)，并提供給所述登錄用戶；

或，

所述根據(jù)所述資源訪問請求管理所述目標共享計算資源，包括：確定對應(yīng)所述目標存儲資源的數(shù)據(jù)寫入數(shù)量，在所述數(shù)據(jù)寫入數(shù)量不大于第二預(yù)設(shè)數(shù)量時，將所述數(shù)據(jù)訪問請求攜帶的各個待存儲數(shù)據(jù)寫入所述目標存儲資源。

優(yōu)選地，

還包括：在確定出所述登錄用戶不為可信用戶時，生成對應(yīng)所述登錄用戶的告警信息，并提供。

第三方面，本發(fā)明實施例提供了一種可讀介質(zhì)，包括執(zhí)行指令，當存儲控制器的處理器執(zhí)行所述執(zhí)行指令時，所述存儲控制器執(zhí)行第二方面中任一項所述的方法。

第四方面，本發(fā)明實施例提供了一種存儲控制器，包括：處理器、存儲器和總線；

所述處理器和所述存儲器通過所述總線連接；

所述存儲器，當所述存儲控制器運行時，所述處理器執(zhí)行所述存儲器存儲的所述執(zhí)行指令，以使所述存儲控制器執(zhí)行第二方面中任一項所述的方法。

本發(fā)明實施例提供了一種云計算平臺的安全管理方法、裝置、可讀介質(zhì)及存儲控制器，該裝置包括有訪問攔截模塊、解析模塊、用戶信任模塊和資源管理模塊，訪問攔截模塊可獲取到已經(jīng)登錄云計算平臺的用戶所發(fā)出的資源訪問請求，通過解析模塊對獲取的資源訪問請求進行解析則可確定出登錄用戶需要訪問的目標共享計算資源，用戶信任模塊則可根據(jù)預(yù)先存儲的至少一個用戶與云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系確定出登錄用戶是否為可信用戶，即通過該對應(yīng)關(guān)系確定出登錄用戶是否具備訪問該目標共享計算資源的權(quán)限，當且僅當在確定出登錄用戶為可信用戶，即確定出登錄用戶具備訪問該目標共享計算資源的權(quán)限時，才通過源管理模塊根據(jù)訪問攔截模塊獲取的資源訪問請求管理目標共享計算資源。綜上可見，本發(fā)明實施例提供的技術(shù)方案通過對用戶的權(quán)限進行限定，即使入侵者在獲取到用戶的賬號及密碼時，也受限于用戶權(quán)限而無法通過登錄云計算平臺的用戶對云計算平臺中大量的計算資源進行惡意操作，可提高云計算平臺的安全性。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明一實施例提供的一種云計算平臺的安全管理裝置的結(jié)構(gòu)示意圖；

圖2是本發(fā)明一實施例提供的另一種云計算平臺的安全管理裝置的結(jié)構(gòu)示意圖；

圖3是本發(fā)明一實施例提供的又一種云計算平臺的安全管理裝置的結(jié)構(gòu)示意圖；

圖4是本發(fā)明一實施例提供的一種云計算平臺的安全管理方法的流程圖；

圖5是本發(fā)明一實施例提供的一種利用云計算平臺的安全管理裝置對云計算平臺進行安全管理的方法的流程圖。

具體實施方式

為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例，基于本發(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

如圖1所示，本發(fā)明實施例提供了一種云計算平臺的安全管理裝置，包括：

訪問攔截模塊101、解析模塊102、用戶信任模塊103和資源管理模塊104；其中，

所述訪問攔截模塊101，用于獲取已經(jīng)登錄所述云計算平臺的登錄用戶發(fā)出的資源訪問請求；

所述解析模塊102，用于解析所述訪問攔截模塊101獲取的所述資源訪問請求，以確定所述登錄用戶需要訪問的目標共享計算資源；

所述用戶信任模塊103，用于存儲至少一個用戶與所述云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系；根據(jù)存儲的所述對應(yīng)關(guān)系確定所述登錄用戶是否為可信用戶，在確定出所述登錄用戶為可信用戶時，觸發(fā)所述資源管理模塊104；

所述資源管理模塊104，用于在所述用戶信任模塊103的觸發(fā)下根據(jù)所述訪問攔截模塊101獲取的所述資源訪問請求管理所述目標共享計算資源。

本發(fā)明上述實施例中，訪問攔截模塊可獲取到已經(jīng)登錄云計算平臺的用戶所發(fā)出的資源訪問請求，通過解析模塊對獲取的資源訪問請求進行解析則可確定出登錄用戶需要訪問的目標共享計算資源，用戶信任模塊則可根據(jù)預(yù)先存儲的至少一個用戶與云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系確定出登錄用戶是否為可信用戶，即通過該對應(yīng)關(guān)系確定出登錄用戶是否具備訪問該目標共享計算資源的權(quán)限，當且僅當在確定出登錄用戶為可信用戶，即確定出登錄用戶具備訪問該目標共享計算資源的權(quán)限時，才通過源管理模塊根據(jù)訪問攔截模塊獲取的資源訪問請求管理目標共享計算資源。綜上可見，本發(fā)明實施例提供的技術(shù)方案通過對用戶的權(quán)限進行限定，即使入侵者在獲取到用戶的賬號及密碼時，也受限于用戶權(quán)限而無法通過登錄云計算平臺的用戶對云計算平臺中大量的計算資源進行惡意操作，可提高云計算平臺的安全性。

本發(fā)明實施例提供的裝置可通過多隊列多服務(wù)器來部署，使得本發(fā)明實施例提供的裝置可并發(fā)接收并處理多個登錄用戶所發(fā)出的資源訪問請求。

云計算平臺提供的共享計算資源通常包括大量的存儲資源、大量的應(yīng)用程序以及網(wǎng)絡(luò)資源等，入侵者入侵云計算平臺后，通常是針對云計算平臺中的大量存儲資源及應(yīng)用程序進行惡意操作，比如惡意更新應(yīng)用程序、大量竊取存儲資源中存儲的存儲數(shù)據(jù)以及惡意向存儲資源中寫入大量的待存儲數(shù)據(jù)。

相應(yīng)的，為了進一步提高云計算平臺的安全性，當入侵者通過正常用戶的賬號及密碼登錄云計算平臺之后，惡意針對該正常用戶所具有管理權(quán)限的共享計算資源進行惡意操作時，本發(fā)明實施例提供的資源管理模塊104具體可以通過如下兩種方式來確保云計算平臺的安全性：

方式1：如圖2所示，在目標共享計算資源包括目標應(yīng)用程序，且所述資源訪問請求攜帶對應(yīng)所述目標應(yīng)用程序的更新程序時，

所述資源管理模塊104，包括：更新處理單元1041；其中，

所述更新處理單元1041，用于預(yù)先存儲至少一個樣本病毒程序，檢測所述更新程序中是否攜帶至少一個所述樣本病毒程序，在所述更新程序中未攜帶至少一個所述樣本病毒程序時，根據(jù)所述更新程序更新所述云計算平臺中的所述目標應(yīng)用程序。

方式2：如圖2所示，在所述目標共享計算資源包括目標存儲資源時，

所述資源管理模塊104，包括：讀寫處理單元1042；其中，

所述讀寫處理單元1042，用于確定對應(yīng)所述目標存儲資源的數(shù)據(jù)讀取數(shù)量，在所述數(shù)據(jù)讀取數(shù)量不大于第一預(yù)設(shè)數(shù)量時，讀取所述目標存儲資源下存儲的各個存儲數(shù)據(jù)，并提供給所述登錄用戶；用于確定所述目標存儲資源的數(shù)據(jù)寫入數(shù)量，在所述數(shù)據(jù)寫入數(shù)量不大于第二預(yù)設(shè)數(shù)量時，將所述數(shù)據(jù)訪問請求攜帶的各個待存儲數(shù)據(jù)寫入所述目標存儲資源。

針對于上述方式1，在目標共享計算資源包括目標應(yīng)用程序，且資源訪問請求攜帶對應(yīng)目標應(yīng)用程序的更新程序時，表征用戶需要通過該資源訪問請求對云計算平臺中的目標應(yīng)用程序進行更新。通過更新處理單元預(yù)先存儲一個或多個可能對云計算平臺造成安全性威脅的樣本病毒程序，后續(xù)則可通過更新處理單元對訪問請求中攜帶的更新程序與各個樣本病毒程序進行比較，以實現(xiàn)檢測出更新程序中是否存在可能威脅云計算平臺安全性的病毒程序，當且僅當確定出更新程序中未攜帶至少一個預(yù)先存儲的樣本病毒程序時，即確定出更新程序中未攜帶可能威脅云計算平臺安全性的病毒程序時，才根據(jù)更新程序更新云計算平臺中的目標應(yīng)用程序，避免入侵者通過病毒程序?qū)ο鄳?yīng)的目標應(yīng)用程序進行惡意修改而威脅云計算平臺的安全性。

針對于上述方式2，在所述目標共享計算資源包括目標存儲資源時，表征用戶需要通過該資源訪問請求向云計算平臺的目標存儲資源中寫入待存儲數(shù)據(jù)，或從云計算平臺的目標存儲資源中讀取存儲數(shù)據(jù)。

具體地，一方面，通過讀寫處理單元預(yù)先存儲第二預(yù)設(shè)數(shù)量，當用戶需要通過資源訪問請求向目標存儲資源寫入待存儲數(shù)據(jù)時，讀寫處理單元則可確定出用戶需要通過資源訪問請求向目標存儲資源寫入待存儲數(shù)據(jù)的數(shù)據(jù)寫入數(shù)量，當數(shù)據(jù)寫入數(shù)量大于第二預(yù)設(shè)數(shù)量時，則說明登陸用戶需要向目標存儲資源內(nèi)大量寫入惡意數(shù)據(jù)，登陸用戶的賬號及密碼可能被入侵者惡意竊取。因此，讀寫處理單元當且僅當在數(shù)據(jù)寫入數(shù)量不大于第二預(yù)設(shè)數(shù)量時，才將數(shù)據(jù)訪問請求攜帶的各個待存儲數(shù)據(jù)寫入目標存儲資源，從而防止入侵者向云計算平臺的目標存儲資源內(nèi)大量寫入惡意數(shù)據(jù)。

另一方面，通過讀寫處理單元預(yù)先存儲第一預(yù)設(shè)數(shù)量，當用戶需要通過資源訪問請求從目標存儲資源讀取存儲數(shù)據(jù)時，讀寫處理單元則可確定出用戶需要通過資源訪問請求從目標存儲資源讀取的存儲數(shù)據(jù)的數(shù)據(jù)讀取數(shù)量，當數(shù)據(jù)讀取數(shù)量大于第一預(yù)設(shè)數(shù)量時，則說明登陸用戶需要從目標存儲資源內(nèi)大量讀取存儲數(shù)據(jù)，登陸用戶的賬號及密碼可能被入侵者惡意竊取。因此，讀寫處理單元當且僅當在數(shù)據(jù)讀取數(shù)量不大于第一預(yù)設(shè)數(shù)量時，才讀取目標存儲資源下存儲的各個存儲數(shù)據(jù)，并提供給登錄用戶，從而防止入侵者從云計算平臺的目標存儲資源大量竊取存儲數(shù)據(jù)。

如圖3所示，本發(fā)明一個實施例中，還包括：告警處理模塊301；其中，所述用戶信任模塊103，進一步同于在確定出所述登錄用戶不為可信用戶時，觸發(fā)所述告警處理模塊301；所述告警處理模塊301，用于在所述用戶信任模塊103的觸發(fā)下，生成對應(yīng)所述登錄用戶的告警信息，并提供。在確定出登錄用戶為不可信用戶時，即登錄用戶在嘗試訪問其不具備訪問權(quán)限的目標共享計算資源時，說明登錄用戶的賬號及密碼可能被入侵者所獲取，通過告警處理模塊生成對應(yīng)登錄用戶的告警信息，可方便工作人員針對登錄用戶及時進行相應(yīng)的處理，比如拒絕登錄用戶再次訪問云計算平臺以及及時恢復云計算平臺中被登錄用戶所修改的共享計算資源。

應(yīng)當理解的是，更新處理單元在檢測出更新程序中攜帶至少一個樣本病毒程序時，更新處理單元也可觸發(fā)告警處理模塊，使得告警處理模塊生成對應(yīng)登錄用戶的告警信息，并提供。

應(yīng)當理解的是，讀寫處理單元在確定出數(shù)據(jù)讀取數(shù)量大于第一預(yù)設(shè)數(shù)量是，讀寫處理單元也可觸發(fā)告警處理模塊，使得告警處理模塊生成對應(yīng)登錄用戶的告警信息，并提供。

應(yīng)當理解的是，讀寫處理單元在確定出數(shù)據(jù)寫入數(shù)量大于第二預(yù)設(shè)數(shù)量是，讀寫處理單元也可觸發(fā)告警處理模塊，使得告警處理模塊生成對應(yīng)登錄用戶的告警信息，并提供。

如圖4所示，本發(fā)明實施例提供了一種云計算平臺的安全管理方法，包括：

步驟401，預(yù)先存儲至少一個用戶與所述云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系；

步驟402，獲取已經(jīng)登錄所述云計算平臺的登錄用戶發(fā)出的資源訪問請求；

步驟403，解析所述資源訪問請求以確定所述登錄用戶需要訪問的目標共享計算資源；

步驟404，根據(jù)存儲的所述對應(yīng)關(guān)系確定所述登錄用戶是否為可信用戶；

步驟405，在確定出所述登錄用戶為可信用戶時，根據(jù)所述資源訪問請求管理所述目標共享計算資源。

本發(fā)明一個實施例中，所述預(yù)先存儲至少一個用戶與所述云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系，進一步包括：預(yù)先存儲至少一個樣本病毒程序；

則，在確定的所述目標共享計算資源包括目標應(yīng)用程序，且所述資源訪問請求攜帶對應(yīng)所述目標應(yīng)用程序的更新程序時，

所述根據(jù)所述資源訪問請求管理所述目標共享計算資源，包括：

檢測所述更新程序中是否攜帶至少一個所述樣本病毒程序，在所述更新程序中未攜帶至少一個所述樣本病毒程序時，根據(jù)所述更新程序更新所述云計算平臺中的所述目標應(yīng)用程序。

本發(fā)明上述實施例中，通過預(yù)先存儲一個或多個可能對云計算平臺造成安全性威脅的樣本病毒程序，后續(xù)則可對訪問請求中攜帶的更新程序與各個樣本病毒程序進行比較，以實現(xiàn)檢測出更新程序中是否存在可能威脅云計算平臺安全性的病毒程序，當且僅當確定出更新程序中未攜帶至少一個預(yù)先存儲的樣本病毒程序時，即確定出更新程序中未攜帶可能威脅云計算平臺安全性的病毒程序時，才根據(jù)更新程序更新云計算平臺中的目標應(yīng)用程序，避免入侵者通過病毒程序?qū)ο鄳?yīng)的目標應(yīng)用程序進行惡意修改而威脅云計算平臺的安全性

本發(fā)明一個實施例中，在所述目標共享計算資源包括目標存儲資源時，

所述根據(jù)所述資源訪問請求管理所述目標共享計算資源，包括：確定對應(yīng)所述目標存儲資源的數(shù)據(jù)讀取數(shù)量，在所述數(shù)據(jù)讀取數(shù)量不大于第一預(yù)設(shè)數(shù)量時，讀取所述目標存儲資源下存儲的各個存儲數(shù)據(jù)，并提供給所述登錄用戶；

或，

所述根據(jù)所述資源訪問請求管理所述目標共享計算資源，包括：確定對應(yīng)所述目標存儲資源的數(shù)據(jù)寫入數(shù)量，在所述數(shù)據(jù)寫入數(shù)量不大于第二預(yù)設(shè)數(shù)量時，將所述數(shù)據(jù)訪問請求攜帶的各個待存儲數(shù)據(jù)寫入所述目標存儲資源。

本發(fā)明上述實施例中，當且僅當在數(shù)據(jù)寫入數(shù)量不大于第二預(yù)設(shè)數(shù)量時，才將數(shù)據(jù)訪問請求攜帶的各個待存儲數(shù)據(jù)寫入目標存儲資源，從而防止入侵者向云計算平臺的目標存儲資源內(nèi)大量寫入惡意數(shù)據(jù)；當且僅當在數(shù)據(jù)讀取數(shù)量不大于第一預(yù)設(shè)數(shù)量時，才讀取目標存儲資源下存儲的各個存儲數(shù)據(jù)，并提供給登錄用戶，從而防止入侵者從云計算平臺的目標存儲資源大量竊取存儲數(shù)據(jù)。

本發(fā)明一個事實中，還包括：在確定出所述登錄用戶不為可信用戶時，生成對應(yīng)所述登錄用戶的告警信息，并提供。在確定出登錄用戶為不可信用戶時，即登錄用戶在嘗試訪問其不具備訪問權(quán)限的目標共享計算資源時，說明登錄用戶的賬號及密碼可能被入侵者所獲取，通過生成對應(yīng)登錄用戶的告警信息，可方便工作人員針對登錄用戶及時進行相應(yīng)的處理，比如拒絕登錄用戶再次訪問云計算平臺以及及時恢復云計算平臺中被登錄用戶所修改的共享計算資源。

為了更加清楚的說明本發(fā)明的技術(shù)方案及優(yōu)點，下面結(jié)合本發(fā)明實施例提供的裝置，請參考圖1、圖2和圖3，以利用圖3所示的裝置實現(xiàn)對云計算管理平臺進行安全管理為例，如圖5所示，可以包括如下各個步驟：

步驟501，通過多隊列多服務(wù)器部署云計算平臺的安全管理裝置。

這里，可通過多隊列多服務(wù)器部署如圖3所示的云計算平臺的安全管理裝置，使得部署的云計算平臺的安全管理裝置可并發(fā)處理多個登錄用戶所發(fā)出的資源訪問請求。本發(fā)明實施例的下述各個步驟僅以一個已經(jīng)登錄云計算平臺的登錄用戶a發(fā)出資源訪問請求為例。

步驟502，通過資源管理模塊104的更新處理單元1041預(yù)先存儲至少一個樣本病毒程序。

這里，更新處理單元104預(yù)先存儲的各個樣本病毒程序是可能對云計算平臺造成威脅的病毒程序。

步驟503，通過用戶信任模塊103預(yù)先存儲至少一個用戶與云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系。

這里，對應(yīng)關(guān)系可用于對各個用戶相對于云計算平臺的資源訪問權(quán)限進行限定。

舉例來說，云計算平臺的共享計算資源包括：應(yīng)用程序a1和應(yīng)用程序a2，存儲資源b1和存儲資源b2?？稍O(shè)置并存儲對應(yīng)關(guān)系為：用戶a與應(yīng)用程序a1、存儲資源b1相對應(yīng)，用戶b與應(yīng)用程序a2、存儲資源b2相對應(yīng)。

步驟504，訪問攔截模塊101獲取已經(jīng)登錄云計算平臺的登錄用戶a所發(fā)出的資源訪問請求。

步驟505，解析模塊102解析訪問攔截模塊101獲取的資源訪問請求，以確定登錄用戶a所需要訪問的目標共享計算資源。

云計算平臺提供的共享計算資源通常包括大量的存儲資源、大量的應(yīng)用程序以及網(wǎng)絡(luò)資源等，入侵者入侵云計算平臺后，通常是針對云計算平臺中的大量存儲資源及應(yīng)用程序進行惡意操作，比如惡意更新應(yīng)用程序、大量竊取存儲資源中存儲的存儲數(shù)據(jù)以及惡意向存儲資源中寫入大量的待存儲數(shù)據(jù)。

這里，僅以解析模塊確定出目標共享計算資源是云計算平臺中的一個目標應(yīng)用程序a1為例。

步驟506，用戶信任模塊103根據(jù)存儲的對應(yīng)關(guān)系確定登錄用戶a是否為可信用戶，如果是，則執(zhí)行步驟507；否則，執(zhí)行步驟509。

這里，存儲的對應(yīng)關(guān)系為：用戶a與應(yīng)用程序a1、存儲資源b1相對應(yīng)，用戶b與應(yīng)用程序a2、存儲資源b2相對應(yīng)。登錄用戶a與目標應(yīng)用程序a1存在對應(yīng)關(guān)系，表征登錄用戶a具備訪問云計算平臺中目標應(yīng)用程序a1的權(quán)限，因此，可確定出登錄用戶a為可信用戶。相反地，如果確定出目標共享計算資源為存儲資源b2，由對應(yīng)關(guān)系可得到登錄用戶a并不具備訪問存儲資源b2的權(quán)限，如果登錄用戶a嘗試方式存儲資源b2，則說明登錄用戶a的賬號及密碼可能已經(jīng)發(fā)生泄漏，即此次訪問請求可能由入侵者通過用戶a的賬號及密碼登錄云計算管理平臺后發(fā)出。

步驟507，資源管理模塊104的更新處理單元1041檢測訪問攔截模塊101獲取的訪問請求攜帶的更新程序中是否攜帶至少一個樣本病毒程序，如果是，則執(zhí)行步驟509；否則，執(zhí)行步驟508。

步驟508，更新處理單元1041根據(jù)訪問請求中攜帶的更新程序更新云計算平臺中的目標應(yīng)用程序a1。

本發(fā)明實施例中，通過更新處理單元預(yù)先存儲一個或多個可能對云計算平臺造成安全性威脅的樣本病毒程序，后續(xù)通過更新處理單元對訪問請求中攜帶的更新程序與各個樣本病毒程序進行比較，以實現(xiàn)檢測出更新程序中是否存在可能威脅云計算平臺安全性的病毒程序，當更新程序中攜帶至少一個樣本病毒程序時，則說明登錄用戶a的賬號及密碼可能已經(jīng)發(fā)生泄漏，即此次訪問請求可能由入侵者通過用戶a的賬號及密碼登錄云計算管理平臺后發(fā)出。

步驟509，告警處理模塊生成對應(yīng)登錄用戶a的告警信息，并提供。

登錄用戶的賬號及密碼可能被入侵者所獲取時，通過告警處理模塊生成對應(yīng)登錄用戶的告警信息，可方便工作人員針對登錄用戶及時進行相應(yīng)的處理，比如拒絕登錄用戶再次訪問云計算平臺以及及時恢復云計算平臺中被登錄用戶所修改的共享計算資源。

本發(fā)明實施例提供了一種可讀介質(zhì)，包括執(zhí)行指令，當存儲控制器的處理器執(zhí)行所述執(zhí)行指令時，所述存儲控制器執(zhí)行本發(fā)明任意一個實施例中提供的方法。

本發(fā)明實施例提供了一種存儲控制器，包括：處理器、存儲器和總線；

所述處理器和所述存儲器通過所述總線連接；

所述存儲器，當所述存儲控制器運行時，所述處理器執(zhí)行所述存儲器存儲的所述執(zhí)行指令，以使所述存儲控制器執(zhí)行本發(fā)明任意一個實施例中提供的方法。

綜上所述，本發(fā)明各個實施例至少具有如下有益效果：

1、本發(fā)明一實施例中，訪問攔截模塊可獲取到已經(jīng)登錄云計算平臺的用戶所發(fā)出的資源訪問請求，通過解析模塊對獲取的資源訪問請求進行解析則可確定出登錄用戶需要訪問的目標共享計算資源，用戶信任模塊則可根據(jù)預(yù)先存儲的至少一個用戶與云計算平臺中至少一個共享計算資源之間的對應(yīng)關(guān)系確定出登錄用戶是否為可信用戶，即通過該對應(yīng)關(guān)系確定出登錄用戶是否具備訪問該目標共享計算資源的權(quán)限，當且僅當在確定出登錄用戶為可信用戶，即確定出登錄用戶具備訪問該目標共享計算資源的權(quán)限時，才通過源管理模塊根據(jù)訪問攔截模塊獲取的資源訪問請求管理目標共享計算資源。綜上可見，本發(fā)明實施例提供的技術(shù)方案通過對用戶的權(quán)限進行限定，即使入侵者在獲取到用戶的賬號及密碼時，也受限于用戶權(quán)限而無法通過登錄云計算平臺的用戶對云計算平臺中大量的計算資源進行惡意操作，可提高云計算平臺的安全性。

2、本發(fā)明一實施例中，在目標共享計算資源包括目標應(yīng)用程序，且資源訪問請求攜帶對應(yīng)目標應(yīng)用程序的更新程序時，表征用戶需要通過該資源訪問請求對云計算平臺中的目標應(yīng)用程序進行更新。通過預(yù)先存儲一個或多個可能對云計算平臺造成安全性威脅的樣本病毒程序，后續(xù)則可對訪問請求中攜帶的更新程序與各個樣本病毒程序進行比較，以實現(xiàn)檢測出更新程序中是否存在可能威脅云計算平臺安全性的病毒程序，當且僅當確定出更新程序中未攜帶至少一個預(yù)先存儲的樣本病毒程序時，即確定出更新程序中未攜帶可能威脅云計算平臺安全性的病毒程序時，才根據(jù)更新程序更新云計算平臺中的目標應(yīng)用程序，避免入侵者通過病毒程序?qū)ο鄳?yīng)的目標應(yīng)用程序進行惡意修改而威脅云計算平臺的安全性。

3、本發(fā)明一實施例中，通過預(yù)先存儲第二預(yù)設(shè)數(shù)量，當用戶需要通過資源訪問請求向目標存儲資源寫入待存儲數(shù)據(jù)時，則可確定出用戶需要通過資源訪問請求向目標存儲資源寫入待存儲數(shù)據(jù)的數(shù)據(jù)寫入數(shù)量，當數(shù)據(jù)寫入數(shù)量大于第二預(yù)設(shè)數(shù)量時，則說明登陸用戶需要向目標存儲資源內(nèi)大量寫入惡意數(shù)據(jù)，登陸用戶的賬號及密碼可能被入侵者惡意竊取。當且僅當在數(shù)據(jù)寫入數(shù)量不大于第二預(yù)設(shè)數(shù)量時，才將數(shù)據(jù)訪問請求攜帶的各個待存儲數(shù)據(jù)寫入目標存儲資源，從而防止入侵者向云計算平臺的目標存儲資源內(nèi)大量寫入惡意數(shù)據(jù)。

4、本發(fā)明一實施例中，通過預(yù)先存儲第一預(yù)設(shè)數(shù)量，當用戶需要通過資源訪問請求從目標存儲資源讀取存儲數(shù)據(jù)時，則可確定出用戶需要通過資源訪問請求從目標存儲資源讀取的存儲數(shù)據(jù)的數(shù)據(jù)讀取數(shù)量，當數(shù)據(jù)讀取數(shù)量大于第一預(yù)設(shè)數(shù)量時，則說明登陸用戶需要從目標存儲資源內(nèi)大量讀取存儲數(shù)據(jù)，登陸用戶的賬號及密碼可能被入侵者惡意竊取。當且僅當在數(shù)據(jù)讀取數(shù)量不大于第一預(yù)設(shè)數(shù)量時，才讀取目標存儲資源下存儲的各個存儲數(shù)據(jù)，并提供給登錄用戶，從而防止入侵者從云計算平臺的目標存儲資源大量竊取存儲數(shù)據(jù)。

5、本發(fā)明一實施例中，在確定出登錄用戶為不可信用戶時，即登錄用戶在嘗試訪問其不具備訪問權(quán)限的目標共享計算資源時，說明登錄用戶的賬號及密碼可能被入侵者所獲取，通過告警處理模塊生成對應(yīng)登錄用戶的告警信息，可方便工作人員針對登錄用戶及時進行相應(yīng)的處理，比如拒絕登錄用戶再次訪問云計算平臺以及及時恢復云計算平臺中被登錄用戶所修改的共享計算資源。

需要說明的是，在本文中，諸如第一和第二之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個〃····〃”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同因素。

最后需要說明的是：以上所述僅為本發(fā)明的較佳實施例，僅用于說明本發(fā)明的技術(shù)方案，并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進等，均包含在本發(fā)明的保護范圍內(nèi)。