著录项信息
专利名称 | 访问云服务器的方法、系统和接入设备 |
申请号 | CN201210268850.0 | 申请日期 | 2012-07-31 |
法律状态 | 授权 | 申报国家 | 中国 |
公开/公告日 | 2012-11-07 | 公开/公告号 | CN102769631A |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | 暂无 | IPC分类号 | 暂无查看分类表>
|
申请人 | 华为技术有限公司 | 申请人地址 | 广东省深圳市龙岗区坂田华为总部办公楼
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 华为技术有限公司 | 当前权利人 | 华为技术有限公司 |
发明人 | 胡士辉 |
代理机构 | 北京弘权知识产权代理事务所(普通合伙) | 代理人 | 逯长明;许伟群 |
摘要
本发明提供了一种访问云服务的方法、系统和接入设备,所述方法包括:接入设备接收终端发送的第一访问请求,判断所述终端的位置信息,根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;所述接入设备接收所述终端发送的第二访问请求,所述接入设备与所述终端选择的云服务器建立安全连接;当所述接入设备通过所述终端选择的云服务器对所述接入设备的认证后,所述接入设备将所述第二访问请求发送给所述终端选择的云服务器;所述接入设备接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端。应用本发明,通过接入设备访问云服务器,能够实现云服务的访问控制,增强企业网的安全性。
1.一种访问云服务器的方法,其特征在于,该方法包括:
接入设备接收终端发送的第一访问请求,所述第一访问请求用于请求提供允许所述终端访问的云服务器列表,判断所述终端的位置信息,根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;
所述接入设备接收所述终端发送的第二访问请求,所述第二访问请求用于请求访问所述终端选择的云服务器;
所述接入设备与所述终端选择的云服务器建立安全连接;
当所述接入设备通过所述终端选择的云服务器对所述接入设备的认证后,所述接入设备将所述第二访问请求发送给所述终端选择的云服务器;
所述接入设备接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端,所述访问响应是对所述第二访问请求的响应;
其中,在所述接入设备接收所述终端发送的第一访问请求之后,进一步包括:
所述接入设备对所述终端进行认证,如果认证通过,则根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;否则,结束流程。
2.根据权利要求1所述的方法,其特征在于,在所述接入设备接收所述终端发送的第二访问请求之后,进一步包括:
所述接入设备判断所述终端是否有权限访问所述终端选择的云服务器,如果是,所述接入设备与所述终端选择的云服务器建立安全连接;否则,结束流程。
3.根据权利要求1所述的方法,其特征在于,在所述将所述第二访问请求发送给所述终端选择的云服务器之后,进一步包括:
当所述终端选择的云服务器通过对所述终端的认证后,所述接入设备接收所述终端选择的云服务器发送来的访问响应;否则,结束流程。
4.根据权利要求1所述的方法,其特征在于,当所述接入设备通过所述终端选择的云服务器的认证后,所述方法还包括:
所述接入设备将所述终端的位置信息发送到所述终端选择的云服务器,所述终端的位置信息用于所述云服务器设置所述终端的云服务访问权限,如果所述终端具有所述云服务访问权限,所述云服务器向所述接入设备发送访问响应;否则,结束流程。
5.根据权利要求4所述的方法,其特征在于,所述终端的位置信息添加在所述第二访问请求中。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述接入设备判断所述终端的位置信息具体包括:
所述接入设备根据所述终端的IP地址、所述终端的域名或所述终端的IP地址段判断所述终端的位置信息。
7.根据权利要求1-5中任一项所述的方法,其特征在于,所述位置信息为标识所述终端在企业内网或企业外部的信息。
8.根据权利要求1-5中任一项所述的方法,其特征在于,所述接入设备通过所述终端选择的云服务器的认证具体包括:
所述接入设备通过所述云服务器对所述接入设备的数字证书的认证。
9.根据权利要求1-5中任一项所述的方法,其特征在于,所述接入设备通过所述终端选择的云服务器的认证具体包括:
所述接入设备通过所述云服务器对所述接入设备的IP地址的认证。
10.根据权利要求1-5中任一项所述的方法,其特征在于,所述安全连接为安全套接层SSL连接。
11.一种访问云服务器的系统,其特征在于,该系统包括:
终端,用于向接入设备发送第一访问请求,所述第一访问请求用于请求提供允许所述终端访问的云服务器列表,接收所述接入设备返回的允许所述终端访问的云服务器列表,向所述接入设备发送第二访问请求,所述第二访问请求用于请求访问所述终端选择的云服务器,接收所述接入设备发送来的访问响应,所述访问响应是对所述第二访问请求的响应;
接入设备,用于接收终端发送的第一访问请求,判断所述终端的位置信息,根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表,接收所述终端发送的第二访问请求,与所述终端选择的云服务器建立安全连接;当通过所述终端选择的云服务器对所述接入设备的认证后,将所述第二访问请求发送给所述终端选择的云服务器;接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端;
云服务器,用于对接入设备进行认证,认证通过后,接收所述接入设备发送来的第二访问请求,向所述接入设备发送访问响应;
其中,所述接入设备包括:
终端位置判断单元,用于判断所述终端的位置信息,并根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;
所述接入设备进一步包括:
鉴权认证单元,用于对所述终端进行认证;
所述终端位置判断单元,进一步用于在所述鉴权认证单元对所述终端认证通过后,判断所述终端的位置信息,并根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表。
12.根据权利要求11所述的系统,其特征在于,
所述接入设备,进一步用于判断所述终端是否有权限访问所述终端选择的云服务器。
13.根据权利要求11所述的系统,其特征在于,
所述云服务器,进一步用于对所述终端进行认证。
14.根据权利要求11所述的系统,其特征在于,
所述接入设备,进一步用于将所述终端的位置信息发送到所述终端选择的云服务器;
所述云服务器,进一步用于根据所述终端的位置信息设置所述终端的云服务访问权限。
15.根据权利要求11所述的系统,其特征在于,所述接入设备包括:
代理单元,用于接收所述终端发送的第一访问请求和第二访问请求,与所述终端选择的云服务器建立安全连接;当通过所述终端选择的云服务器对所述接入设备的认证后,将所述第二访问请求发送给所述终端选择的云服务器;接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端。
16.根据权利要求15所述的系统,其特征在于,所述接入设备进一步包括:
鉴权认证单元,用于判断所述终端是否有权限访问所述终端选择的云服务器;
所述代理单元,进一步用于在所述鉴权认证单元确定所述终端有权限访问所述终端选择的云服务器后,与所述终端选择的云服务器建立安全连接。
17.根据权利要求11-16中任一项所述的系统,其特征在于,
所述接入设备,进一步用于根据所述终端的IP地址、所述终端的域名或所述终端的IP地址段判断所述终端的位置信息。
18.根据权利要求11-16中任一项所述的系统,其特征在于,所述位置信息为标识所述终端在企业内网或企业外部的信息。
19.根据权利要求11-16中任一项所述的系统,其特征在于,
所述接入设备,进一步用于向所述终端选择的云服务器提供数字证书;
所述云服务器,进一步用于对所述接入设备的数字证书进行认证。
20.根据权利要求11-16中任一项所述的系统,其特征在于,
所述云服务器,进一步用于对所述接入设备的IP地址进行认证。
21.根据权利要求11-16中任一项所述的系统,其特征在于,所述安全连接为安全套接层SSL连接。
22.一种接入设备,其特征在于,包括:
终端位置判断单元,用于判断所述终端的位置信息,并根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;
代理单元,用于接收所述终端发送的第一访问请求和第二访问请求,所述第一访问请求用于请求提供允许所述终端访问的云服务器列表,所述第二访问请求用于请求访问所述终端选择的云服务器,与所述终端选择的云服务器建立安全连接;当通过所述终端选择的云服务器对所述接入设备的认证后,将所述第二访问请求发送给所述终端选择的云服务器;接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端,所述访问响应是对所述第二访问请求的响应;
所述接入设备进一步包括:
鉴权认证单元,用于对所述终端进行认证;
所述终端位置判断单元,进一步用于在所述鉴权认证单元对所述终端认证通过后,判断所述终端的位置信息,并根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表。
23.根据权利要求22所述的接入设备,其特征在于,进一步包括:
鉴权认证单元,用于判断所述终端是否有权限访问所述终端选择的云服务器;
所述代理单元,进一步用于在所述鉴权认证单元确定所述终端有权限访问所述终端选择的云服务器后,与所述终端选择的云服务器建立安全连接。
24.根据权利要求22-23中任一项所述的接入设备,其特征在于,
所述终端位置判断单元,进一步用于根据所述终端的IP地址、所述终端的域名或所述终端的IP地址段判断所述终端的位置信息。
25.根据权利要求22-23中任一项所述的接入设备,其特征在于,所述位置信息为标识所述终端在企业内网或企业外部的信息。
26.根据权利要求22-23中任一项所述的接入设备,其特征在于,所述安全连接为安全套接层SSL连接。
访问云服务器的方法、系统和接入设备\n技术领域\n[0001] 本发明涉及通信技术领域,尤其涉及一种访问云服务器的方法、系统和接入设备。\n背景技术\n[0002] 云计算服务(Cloud Computing,以下简称云服务)是一种新兴的商业计算模型。\n它将计算任务分布在大量称为云服务器的计算机构成的资源池上,使各种应用系统能够根据需要获取计算能力、存储空间和各种软件服务。\n[0003] 云服务器将所有的计算资源集中起来,并由软件实现自动管理,无需人为参与。这使得应用提供者无需为繁琐的细节而烦恼,能够更加专注于自己的业务,有利于创新和降低成本。\n[0004] 即云服务是指云服务器可以提供的各种服务资源。\n[0005] 云服务一般包含三种主要的服务模式:基础设施即服务(IaaS,Infrastructure as a Service)、平台即服务(PaaS,Platform as a Service)和软件即服务(SaaS,Software as a Service)。\n[0006] IaaS指的是云服务提供商可以把白己的基础设施作为服务提供给用户,用户根据需要使用的处理能力、存储、网络以及其他计算资源等,按需付费,这种服务可以大大减少用户在基础设施上的重复投资和浪费。\n[0007] PaaS指的是云服务提供商向用户提供开发应用程序的语言或工具平台,如面向对象、直译式计算机程序设计语言java、Python,以及.Net等,也就是说云服务提供商以提供平台服务为自己的主业,用户可以基于PaaS开发自己的应用程序。\n[0008] SaaS指的是云服务提供商即网络侧把应用程序作为一种服务提供给用户,用户可以通过客户端接口如网页(web)浏览器,随时随地使用这些应用程序,而不需要在本地主机进行安装。\n[0009] 随着云服务的普及,越来越多的企业开始通过互联网租用云服务器提供的服务,例如,基于SaaS模式的web应用,将企业的应用迁移到云服务器中。企业用户可以通过互联网使用用户名、密码或数字证书直接访问云服务器中各个应用。\n[0010] 随着智能终端的普及,越来越多的企业员工要求企业能够支持远程办公,但是,现有技术中,云服务器与企业内网通过互联网连接,云服务器无法确认用户登录环境是否安全,是在企业内网还是在企业外部。如果用户处于企业外部,比如处于公共场所,则企业的信息更容易被泄露。\n发明内容\n[0011] 本发明要解决的技术问题是,针对上述缺陷,如何提供一种访问云服务的方法、系统和接入设备,其能够实现云服务器的访问控制,增强企业网的安全性。\n[0012] 为解决上述技术问题,本发明提供了一种访问云服务器的方法,该方法包括:\n[0013] 接入设备接收终端发送的第一访问请求,所述第一访问请求用于请求提供允许所述终端访问的云服务器列表,判断所述终端的位置信息,根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;\n[0014] 所述接入设备接收所述终端发送的第二访问请求,所述第二访问请求用于请求访问所述终端选择的云服务器;\n[0015] 所述接入设备与所述终端选择的云服务器建立安全连接;\n[0016] 当所述接入设备通过所述终端选择的云服务器对所述接入设备的认证后,所述接入设备将所述第二访问请求发送给所述终端选择的云服务器;\n[0017] 所述接入设备接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端,所述访问响应是对所述第二访问请求的响应。\n[0018] 在本发明的一个优选的实施方案中,在所述接入设备接收所述终端发送的第一访问请求之后,进一步包括:\n[0019] 所述接入设备对所述终端进行认证,如果认证通过,则根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;否则,结束流程。\n[0020] 在本发明的一个优选的实施方案中,在所述接入设备接收所述终端发送的第二访问请求之后,进一步包括:\n[0021] 所述接入设备判断所述终端是否有权限访问所述终端选择的云服务器,如果是,所述接入设备与所述终端选择的云服务器建立安全连接;否则,结束流程。\n[0022] 在本发明的一个优选的实施方案中,在所述将所述第二访问请求发送给所述终端选择的云服务器之后,进一步包括:\n[0023] 当所述终端选择的云服务器通过对所述终端的认证后,所述接入设备接收所述终端选择的云服务器发送来的访问响应;否则,结束流程。\n[0024] 在本发明的一个优选的实施方案中,当所述接入设备通过所述终端选择的云服务器的认证后,所述方法还包括:\n[0025] 所述接入设备将所述终端的位置信息发送到所述终端选择的云服务器,所述终端的位置信息用于所述云服务器设置所述终端的云服务访问权限,如果所述终端具有所述云服务访问权限,所述云服务器向所述接入设备发送访问响应;否则,结束流程。\n[0026] 在本发明的一个优选的实施方案中,所述终端的位置信息添加在所述第二访问请求中。\n[0027] 在本发明的一个优选的实施方案中,所述接入设备判断所述终端的位置信息具体包括:\n[0028] 所述接入设备根据所述终端的IP地址、所述终端的域名或所述终端的IP地址段判断所述终端的位置信息。\n[0029] 在本发明的一个优选的实施方案中,所述位置信息为标识所述终端在企业内网或企业外部的信息。\n[0030] 在本发明的一个优选的实施方案中,所述接入设备通过所述终端选择的云服务器的认证具体包括:\n[0031] 所述接入设备通过所述云服务器对所述接入设备的数字证书的认证。\n[0032] 在本发明的一个优选的实施方案中,所述接入设备通过所述终端选择的云服务器的认证具体包括:\n[0033] 所述接入设备通过所述云服务器对所述接入设备的IP地址的认证。\n[0034] 在本发明的一个优选的实施方案中,所述安全连接为安全套接层SSL连接。\n[0035] 本发明还提供了一种访问云服务器的系统,该系统包括:\n[0036] 终端,用于向接入设备发送第一访问请求,所述第一访问请求用于请求提供允许所述终端访问的云服务器列表,接收所述接入设备返回的允许所述终端访问的云服务器列表,向所述接入设备发送第二访问请求,所述第二访问请求用于请求访问所述终端选择的云服务器,接收所述接入设备发送来的访问响应,所述访问响应是对所述第二访问请求的响应;\n[0037] 接入设备,用于接收终端发送的第一访问请求,判断所述终端的位置信息,根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表,接收所述终端发送的第二访问请求,与所述终端选择的云服务器建立安全连接;当通过所述终端选择的云服务器对所述接入设备的认证后,将所述第二访问请求发送给所述终端选择的云服务器;接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端;\n[0038] 云服务器,用于对接入设备进行认证,认证通过后,接收所述接入设备发送来的第二访问请求,向所述接入设备发送访问响应。\n[0039] 在本发明的一个优选的实施方案中,所述接入设备,进一步用于对所述终端进行认证。\n[0040] 在本发明的一个优选的实施方案中,所述接入设备,进一步用于判断所述终端是否有权限访问所述终端选择的云服务器。\n[0041] 在本发明的一个优选的实施方案中,所述云服务器,进一步用于对所述终端进行认证。\n[0042] 在本发明的一个优选的实施方案中,\n[0043] 所述接入设备,进一步用于将所述终端的位置信息发送到所述终端选择的云服务器;\n[0044] 所述云服务器,进一步用于根据所述终端的位置信息设置所述终端的云服务访问权限。\n[0045] 在本发明的一个优选的实施方案中,所述接入设备包括:\n[0046] 终端位置判断单元,用于判断所述终端的位置信息,并根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;\n[0047] 代理单元,用于接收所述终端发送的第一访问请求和第二访问请求,与所述终端选择的云服务器建立安全连接;当通过所述终端选择的云服务器对所述接入设备的认证后,将所述第二访问请求发送给所述终端选择的云服务器;接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端。\n[0048] 在本发明的一个优选的实施方案中,所述接入设备进一步包括:\n[0049] 鉴权认证单元,用于对所述终端进行认证;\n[0050] 所述终端位置判断单元,进一步用于在所述鉴权认证单元对所述终端认证通过后,判断所述终端的位置信息,并根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表。\n[0051] 在本发明的一个优选的实施方案中,所述接入设备进一步包括:\n[0052] 鉴权认证单元,用于判断所述终端是否有权限访问所述终端选择的云服务器;\n[0053] 所述代理单元,进一步用于在所述鉴权认证单元确定所述终端有权限访问所述终端选择的云服务器后,与所述终端选择的云服务器建立安全连接。\n[0054] 在本发明的一个优选的实施方案中,\n[0055] 所述接入设备,进一步用于根据所述终端的IP地址、所述终端的域名或所述终端的IP地址段判断所述终端的位置信息。\n[0056] 在本发明的一个优选的实施方案中,所述位置信息为标识所述终端在企业内网或企业外部的信息。\n[0057] 在本发明的一个优选的实施方案中,\n[0058] 所述接入设备,进一步用于向所述终端选择的云服务器提供数字证书;\n[0059] 所述云服务器,进一步用于对所述接入设备的数字证书进行认证。\n[0060] 在本发明的一个优选的实施方案中,所述云服务器,进一步用于对所述接入设备的IP地址进行认证。\n[0061] 在本发明的一个优选的实施方案中,所述安全连接为安全套接层SSL连接。\n[0062] 本发明还提供了一种接入设备,包括:\n[0063] 终端位置判断单元,用于判断所述终端的位置信息,并根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;\n[0064] 代理单元,用于接收所述终端发送的第一访问请求和第二访问请求,所述第一访问请求用于请求提供允许所述终端访问的云服务器列表,所述第二访问请求用于请求访问所述终端选择的云服务器,与所述终端选择的云服务器建立安全连接;当通过所述终端选择的云服务器对所述接入设备的认证后,将所述第二访问请求发送给所述终端选择的云服务器;接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端,所述访问响应是对所述第二访问请求的响应。\n[0065] 在本发明的一个优选的实施方案中,进一步包括:鉴权认证单元,用于对所述终端进行认证;\n[0066] 所述终端位置判断单元,进一步用于在所述鉴权认证单元对所述终端认证通过后,判断所述终端的位置信息,并根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表。\n[0067] 在本发明的一个优选的实施方案中,进一步包括:鉴权认证单元,用于判断所述终端是否有权限访问所述终端选择的云服务器;\n[0068] 所述代理单元,进一步用于在所述鉴权认证单元确定所述终端有权限访问所述终端选择的云服务器后,与所述终端选择的云服务器建立安全连接。\n[0069] 在本发明的一个优选的实施方案中,\n[0070] 所述终端位置判断单元,进一步用于根据所述终端的IP地址、所述终端的域名或所述终端的IP地址段判断所述终端的位置信息。\n[0071] 在本发明的一个优选的实施方案中,所述位置信息为标识所述终端在企业内网或企业外部的信息。\n[0072] 在本发明的一个优选的实施方案中,所述安全连接为安全套接层SSL连接。\n[0073] 本发明公开了一种访问云服务的方法、系统和接入设备,利用本发明所述的访问云服务的方法、系统和接入设备,通过接入设备访问云服务器,提高企业资源的安全性;根据用户所在的位置,即企业内网和企业外部,区分用户的访问权限,降低企业信息安全的风险。\n[0074] 本发明的终端、接入设备和云服务器的种类没有特别限制,能实现本发明所述功能的各种终端、接入设备和云服务器的都在本发明的范围内。\n[0075] 本发明不局限于以上所述方式,不论在其形状或结构上作任何变化,凡是利用接入设备访问云服务器的技术方案均落在本发明保护范围之内。此外,不直接通过接入设备而是经接入设备授权访问云服务器的技术方案是本发明的一种变型,均应认为在本发明保护范围之内。\n附图说明\n[0076] 图1是本发明实施例所述的访问云服务的方法的流程图;\n[0077] 图2是本发明实施例所述的访问云服务的系统和接入设备的结构示意图。\n具体实施方式\n[0078] 下面结合附图和实施例,对本发明的具体实施方式作进一步详细说明。以下实施例用于说明本发明,但不用来限制本发明的范围。\n[0079] 参见图1,本发明提供了一种云服务的访问控制方法,包括步骤:\n[0080] A、接入设备接收终端发送的第一访问请求,所述第一访问请求用于请求提供允许所述终端访问的云服务器列表,根据所述终端的IP地址、所述终端的域名或所述终端的IP地址段等信息判断所述终端的位置信息,所述位置信息为标识所述终端在企业内网或企业外部的信息,根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表,位于企业内网和企业外部的终端可访问的云服务器列表不同;\n[0081] 优选地,在所述接入设备接收所述终端发送的第一访问请求之后,进一步包括:\n[0082] 所述接入设备根据接收自终端的第一用户信息,例如SSL(Secure Sockets Layer,安全套接层)VPN(Virtual Private Network,虚拟专用网络)的用户名和密码等,对所述终端进行认证,如果认证通过,则根据所述终端的位置信息向所述终端返回允许所述终端访问的云服务器列表;否则,结束流程。\n[0083] 优选的,所述第一用户信息添加在所述第一访问请求中。\n[0084] 由于VPN普遍应用于企业内网,所述接入设备可以为VPN网关,针对SaaS云服务器,所述接入设备可以为SSL VPN网关。\n[0085] 所述终端可以包括:企业外部或企业内网中的终端,例如笔记本电脑、平板电脑、智能手机、台式电脑、PDA等;\n[0086] B、所述接入设备接收所述终端发送的第二访问请求,所述第二访问请求用于请求访问所述终端选择的云服务器;所述接入设备与所述终端选择的云服务器建立安全连接;\n[0087] 优选地,所述安全连接包括SSL连接或TLS(Transport Layer Security,传输层安全)连接等。\n[0088] 优选地,在所述接入设备接收所述终端发送的第二访问请求之后,进一步包括:\n[0089] 所述接入设备判断所述终端是否有权限访问所述终端选择的云服务器,如果是,所述接入设备与所述终端选择的云服务器建立安全连接,例如SSL连接;否则,结束流程;。\n[0090] C、当所述接入设备通过所述终端选择的云服务器对所述接入设备的认证后,所述接入设备将所述第二访问请求发送给所述终端选择的云服务器;所述接入设备接收所述终端选择的云服务器发送来的访问响应,并将所述访问响应发送给所述终端,所述访问响应是对所述第二访问请求的响应。\n[0091] 优选地,所述接入设备通过所述终端选择的云服务器的认证具体包括:\n[0092] 所述接入设备通过所述云服务器对所述接入设备的数字证书的认证。\n[0093] 优选地,所述接入设备通过所述终端选择的云服务器的认证具体包括:\n[0094] 所述接入设备通过所述云服务器对所述接入设备的IP地址的认证,云服务器只允许具有指定IP地址的接入设备发起的安全连接,例如SSL连接。\n[0095] 只允许来自所述接入设备的云服务访问请求访问所述云服务或只允许具有所述接入设备提供的数字证书的云服务访问请求访问所述云服务器,进而保证只有来自所述接入设备的云服务访问请求才能访问企业在云服务器,例如SaaS云服务器中的关键应用。\n[0096] 优选地,在所述将所述第二访问请求发送给所述终端选择的云服务器之后,进一步包括:\n[0097] 当所述终端选择的云服务器根据第二用户信息,例如SaaS服务器的用户名和密码等对所述终端的认证通过后,所述接入设备接收所述终端选择的云服务器发送来的访问响应;否则,结束流程。\n[0098] 优选地,所述第二用户信息添加在所述第二访问请求中。\n[0099] 优选地,当所述接入设备通过所述终端选择的云服务器的认证后,所述方法还包括:\n[0100] 所述接入设备将所述终端的位置信息发送到所述终端选择的云服务器,所述终端的位置信息用于所述云服务器设置所述终端的云服务访问权限,如果所述终端具有所述云服务访问权限,所述云服务器向所述接入设备发送访问响应;否则,结束流程。\n[0101] 优选地,所述终端的位置信息添加在所述第二访问请求中。\n[0102] 利用本发明所述的访问云服务的方法,通过所述接入设备访问云服务器,提高企业资源的安全性;根据用户所在的位置,即企业内网和企业外部,区分用户的访问权限,降低企业信息安全的风险。\n[0103] 参见图2,本发明提供了一种访问云服务的系统,包括:\n[0104] 终端100,用于向接入设备200发送第一访问请求,所述第一访问请求用于请求提供允许所述终端访问的云服务器列表,接收所述接入设备200返回的允许所述终端100访问的云服务器列表,向所述接入设备200发送第二访问请求,所述第二访问请求用于请求访问所述终端选择的云服务器300,接收所述接入设备200发送来的访问响应,所述访问响应是对所述第二访问请求的响应;\n[0105] 接入设备200,用于接收终端100发送的第一访问请求,根据所述终端的IP地址、所述终端的域名或所述终端的IP地址段等信息判断所述终端100的位置信息,所述位置信息为标识所述终端在企业内网或企业外部的信息,根据所述终端100的位置信息向所述终端100返回允许所述终端100访问的云服务器列表,接收所述终端100发送的第二访问请求,与所述终端100选择的云服务器300建立安全连接;当通过所述终端100选择的云服务器300对所述接入设备200的认证后,将所述第二访问请求发送给所述终端100选择的云服务器300;接收所述终端100选择的云服务器300发送来的访问响应,并将所述访问响应发送给所述终端100;\n[0106] 云服务器300,用于对接入设备200进行认证,认证通过后,接收所述接入设备200发送来的第二访问请求,向所述接入设备200发送访问响应。\n[0107] 优选地,所述接入设备200,进一步用于根据第一用户信息,例如所述接入设备\n200的用户名和密码等,对所述终端进行认证。\n[0108] 优选的,所述第一用户信息添加在所述第一访问请求中。\n[0109] 由于VPN普遍应用于企业内网,所述接入设备可以为VPN网关,针对SaaS云服务器,所述接入设备可以为SSL VPN网关。\n[0110] 所述终端100可以包括:企业外部或企业内网中的终端,例如笔记本电脑、平板电脑、智能手机、台式电脑、PDA等;\n[0111] 位于企业内网和企业外部的终端100可访问的云服务器列表不同,由于企业的云中包括多个云服务器,则只有企业内网的终端可以访问一些核心云服务器,降低了企业信息安全的风险;\n[0112] 优选地,所述安全连接包括SSL连接或TLS(Transport Layer Security,传输层安全)连接等。\n[0113] 优选地,所述接入设备200,进一步用于判断所述终端是否有权限访问所述终端选择的云服务器。\n[0114] 优选地,所述云服务器300进一步用于根据第二用户信息,例如所述云服务器300的用户名和密码等,对所述终端进行认证;\n[0115] 由于VPN(普遍应用于企业内网,所述接入设备200可以为VPN网关,针对SaaS的云服务器,所述接入设备200可以为SSL VPN网关。\n[0116] 优选地,所述第二用户信息添加在所述第二访问请求中。\n[0117] 优选地,所述接入设备200,进一步用于将所述终端100的位置信息发送到所述终端100选择的云服务器300;\n[0118] 所述云服务器300,进一步用于根据所述终端100的位置信息设置所述终端100的云服务访问权限,包括访问范围、访问时间、访问次数等,例如企业内网的所述终端100可以访问所述云服务器300的全部应用、企业外部的所述终端100不能访问一些企业核心的应用、企业内网和企业外部的所述终端100的访问时间和访问次数不同等。\n[0119] 由于企业的云服务器包括多个云服务应用,则只有企业内网的终端可以访问一些核心云服务应用,降低了企业信息安全的风险。\n[0120] 优选地,所述接入设备200包括:终端位置判断单元201和代理单元202,例如Web代理单元;\n[0121] 所述终端位置判断单元201,用于根据判断所述终端100的位置信息,并根据所述终端100的位置信息向所述终端100返回允许所述终端100访问的云服务器列表,位于企业内网和企业外部的终端100可访问的云服务器列表不同;\n[0122] 由于企业的云中包括多个云服务器,则只有企业内网的终端可以访问一些核心云服务器,降低了企业信息安全的风险;\n[0123] 所述代理单元202,用于接收所述终端201发送的第一访问请求和第二访问请求,与所述终端100选择的云服务器300建立安全连接;当通过所述终端100选择的云服务器\n300对所述接入设备200的认证后,将所述第二访问请求发送给所述终端100选择的云服务器300;接收所述终端100选择的云服务器300发送来的访问响应,并将所述访问响应发送给所述终端100。\n[0124] 优选地,所述接入设备200进一步包括:鉴权认证单元203,用于对所述终端100进行认证,提高了企业内网的安全性;\n[0125] 相应地,所述终端位置判断单元201,进一步用于在所述鉴权认证单元203对所述终端100认证通过后,判断所述终端100的位置信息,并根据所述终端100的位置信息向所述终端100返回允许所述终端100访问的云服务器列表。\n[0126] 优选地,所述接入设备200进一步包括:鉴权认证单元203,用于判断所述终端100是否有权限访问所述终端100选择的云服务器300;\n[0127] 相应地,所述代理单元202,进一步用于在所述鉴权认证单元203确定所述终端\n100有权限访问所述终端100选择的云服务器300后,与所述终端100选择的云服务器300建立安全连接。\n[0128] 优选地,所述接入设备200,进一步用于向所述终端100选择的云服务器300提供数字证书;\n[0129] 所述云服务器300,进一步用于对所述接入设备200的数字证书进行认证。\n[0130] 优选地,所述云服务器300,进一步用于对所述接入设备200的IP地址进行认证,云服务器只允许具有指定IP地址的接入设备发起的安全连接,例如SSL连接。\n[0131] 只允许来自所述接入设备200的云服务访问请求访问所述云服务器300或只允许具有所述接入设备200提供的数字证书的云服务访问请求访问所述云服务器300,进而保证只有来自所述接入设备200的云服务访问请求才能访问企业在云服务器,例如SaaS云服务器中的关键应用。\n[0132] 优选地,所述云服务器300可以包括SaaS云服务器、PaaS云服务器或IaaS云服务器。\n[0133] 利用本发明所述的访问云服务的系统,通过接入设备访问云服务器,提高企业资源的安全性;根据用户所在的位置,即企业内网和企业外部,区分用户的访问权限,降低企业信息安全的风险;所述云服务器根据用户信息和用户位置信息对用户进行认证,大大增强了企业网的安全性。\n[0134] 如图2所示,本发明还提供了一种接入设备200,包括:\n[0135] 终端位置判断单元201和代理单元202,例如Web代理单元;\n[0136] 所述终端位置判断单元201,用于根据所述终端100的IP地址、所述终端100的域名或所述终端100的IP地址段等信息判断所述终端100的位置信息,所述位置信息为标识所述终端在企业内网或企业外部的信息,并根据所述终端100的位置信息向所述终端100返回允许所述终端100访问的云服务器列表,位于企业内网和企业外部的终端100可访问的云服务器列表不同;\n[0137] 所述代理单元202,用于接收所述终端100发送的第一访问请求和第二访问请求,所述第一访问请求用于请求提供允许所述终端100访问的云服务器列表,所述第二访问请求用于请求访问所述终端100选择的云服务器300,与所述终端100选择的云服务器300建立安全连接;当通过所述终端100选择的云服务器300对所述接入设备200的认证后,将所述第二访问请求发送给所述终端100选择的云服务器300;接收所述终端100选择的云服务器300发送来的访问响应,并将所述访问响应发送给所述终端100,所述访问响应是对所述第二访问请求的响应。\n[0138] 由于企业的云中包括多个云服务器,则只有企业内网的终端可以访问一些核心云服务器,降低了企业信息安全的风险;\n[0139] 优选地,进一步包括:鉴权认证单元203,用于根据第一用户信息,例如所述接入设备200的用户名和密码等对所述终端100进行认证,提高了企业内网的安全性;\n[0140] 相应地,所述终端位置判断单元201,进一步用于在所述鉴权认证单元203对所述终端100认证通过后,判断所述终端100的位置信息,并根据所述终端100的位置信息向所述终端100返回允许所述终端100访问的云服务器列表。\n[0141] 优选地,所述第一用户信息添加在所述第一访问请求中。\n[0142] 优选地,进一步包括:鉴权认证单元203,用于判断所述终端100是否有权限访问所述终端100选择的云服务器300;\n[0143] 相应地,所述代理单元202,进一步用于在所述鉴权认证单元203确定所述终端\n100有权限访问所述终端100选择的云服务器300后,与所述终端100选择的云服务器300建立安全连接。\n[0144] 利用本发明所述的接入设备,通过所述接入设备访问云服务器,提高企业资源的安全性;根据用户所在的位置,即企业内网和企业外部,区分用户的访问权限,降低企业信息安全的风险。\n[0145] 综上所述,本发明公开了一种访问云服务的方法、系统和接入设备,利用本发明所述的访问云服务的方法、系统和接入设备,通过接入设备访问云服务器,提高企业资源的安全性;根据用户所在的位置,即企业内网和企业外部,区分用户的访问权限,降低企业信息安全的风险。\n[0146] 以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
法律信息
- 2015-09-09
- 2012-12-26
实质审查的生效
IPC(主分类): H04L 29/06
专利申请号: 201210268850.0
申请日: 2012.07.31
- 2012-11-07
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2011-08-03
|
2010-12-10
| | |
2
| |
2010-10-27
|
2010-06-03
| | |
3
| |
2012-07-11
|
2011-12-21
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |