[发明专利]端到端云服务系统及对其敏感数据的访问方法

说明书

本发明提供一种端到端云服务系统及对其敏感数据的访问方法。该端到端云服务系统包括分布式设置的多个云服务端以及一个中央云服务端，多个云服务端设置或嵌入的访问控制代理程序负责对与其所在的云服务端存储的非敏感数据进行访问，还负责向中央云服务端转发用户的用以访问敏感数据的访问请求，中央云服务端设置或嵌入的中央访问控制程序负责根据预先设定的授权规则对访问请求进行验证，从而直接或协调访问控制代理程序对中央云服务端存储的多个云服务端的敏感数据的访问活动。本发明能够提高端到端云服务数据库的敏感数据和非敏感数据访问的安全性。

技术领域

本发明涉及云计算、服务、应用程序及移动互联网领域，具体而言，涉及虚拟化数据库的安全方面。

背景技术

现有技术被限制于数据库的虚拟化以最佳地使用及共享物理资源以及提高数据库访问性能。数据库虚拟化难以解决安全性问题，而在数据移动到云并被虚拟化以使共享及弹性最大化时，安全性问题的解决变得很有挑战性和非常必要。

201310557723.7专利文献公开了一种页面访问控制方法和相关装置及系统，该方法包括：用户终端从站点服务器获取页面源代码；获取路径信息对应的脚本，页面源代码中嵌入的脚本标签包含路径信息；调用脚本向第一安全云服务器发送页面源代码包含的N个链接；调用脚本接收来自第一安全云服务器的N个链接对应的安全等级信息，并调用脚本基于N个链接所对应的安全等级信息所描述安全等级对N个链接进行访问控制。该技术方案仅仅是对URL的web网页访问的安全访问，其涉及数据与数据库是完全不同的两种类型对象，因此其与数据库的安全访问的技术方案不可能具有实质上的共通处，另外用户访问页面时必须经由第一安全云服务器转发相关的访问请求信息，而不能抛开第一安全云服务器单独由站点服务器完成访问页面。

201210326130.5专利文献公开了一种基于存储元数据的云敏感数据安全保护系统及方法，将云环境下的元数据分为系统元数据、内容元数据和关于数据文件存储位置信息的存储元数据三类，并按重要程度将云环境下的数据文件分为普通数据文件和敏感数据文件，通过对云环境下的敏感数据文件的存储元数据进行加密和访问控制，使非授权用户不能访问和破坏敏感数据文件。该技术方案虽然揭示了将敏感数据存储于敏感元数据服务器、非敏感数据存储于普通元数据服务器，即公开了将敏感数据与非敏感数据分开存储，但两者仍均存储于各云服务端构成的元数据服务器集群，并未将所有云服务端对应的敏感数据集中存储于数据中心，当然也就无法由数据中心根据预先设定的授权规则以及用户的访问请求协调各云服务端对敏感和/或非敏感数据的访问活动。

基于上述，可知现有技术无法协调多个相互独立的云服务端的数据访问活动，对相关联的数据库访问的安全性较低。

发明内容

鉴于此，本发明实施例提供一种端到端云服务系统及对其敏感数据的安全访问方法，能够提高对数据库访问的安全性。

本发明一实施例提供一种端到端云服务系统，包括：分布式设置的多个云服务端以及一个中央云服务端，多个云服务端分别设置或嵌入有访问控制代理程序，访问控制代理程序负责对与其所在的云服务端存储的非敏感数据进行访问，访问控制代理程序还负责向中央云服务端转发用户的用以访问敏感数据的访问请求，中央云服务端设置或嵌入有中央访问控制程序，中央访问控制程序负责根据预先设定的授权规则对用户的访问请求进行验证，从而直接或协调访问控制代理程序对与中央云服务端存储的多个云服务端的敏感数据的访问活动。

本发明另一实施例提供一种对敏感数据的访问方法，包括：将端到端云服务系统虚拟成包括分布式设置的多个云服务端以及一个中央云服务端，多个云服务端分别设置或嵌入有访问控制代理程序，中央云服务端设置或嵌入有中央访问控制程序；由各云服务端的访问控制代理程序负责对与其所在的云服务端存储的非敏感数据进行访问，各云服务端的访问控制代理程序还负责向中央云服务端转发用户的用以访问敏感数据的访问请求；由中央云服务端的中央访问控制程序负责根据预先设定的授权规则对访问请求进行验证，从而直接或协调各访问控制代理程序对中央云服务端存储的多个云服务端的敏感数据的访问活动。