[发明专利]云环境下的动态微分段方法、系统、云服务器及存储介质

说明书

本发明公开了一种云环境下的动态微分段方法、系统、云服务器及存储介质。本发明中云服务器查找当前用户设备对应的访问权限范围；根据当前用户设备运行环境信息及当前网络环境信息确定当前用户设备的当前访问权限信息；根据访问权限范围及当前访问权限信息，部署当前用户设备的安全策略及安全策略对应的超时时间，记录部署安全策略的部署时刻；当前时刻与部署时刻之间的时间差大于等于超时时间，检测安全策略是否被使用，根据检测结果调整安全策略，实现用户的动态微分段部署。本发明通过根据访问权限信息动态设置安全策略及超时时间，根据超时时间动态调整安全策略，以实现用户的动态微分段部署，从而避免用户设备频繁上下线时的设置风暴问题。

技术领域

本发明涉及网络安全技术领域，尤其涉及云环境下的动态微分段方法、系统、云服务器及存储介质。

背景技术

云环境下的用户资源访问控制一直是个问题，识别用户并给其分配正确的资源访问权限，存在两个技术难点：用户识别和访问权限的设置。对于用户识别，需要做到能唯一识别一个用户，而且用户身份验证方法是安全可靠的，需要尽量避免用户冒认的情况出现。对于访问权限设置，需要通过静态预置或动态生成的方式，来实现用户级别的访问控制。静态预置容易造成资源浪费或力度不细，动态生成则存在用户频繁上下线时的设置风暴问题。目前业界的解决方案如下：

(1)基于IP地址池和静态的预置策略。云平台会管理一个IP地址池，并预先构建每个IP地址段的访问策略。用户通过账号、密码登录后，系统根据用户权限，为其分配IP地址，从而限定用户只有访问对应资源的权限。问题在于：第一，只通过账号及密码的方式来认证用户并不安全，其他人可以通过窃取账号密码等方式，来获得对应的访问权限。第二，静态的预置策略一直存留在设备中，无论用户是否上线访问资源，静态策略都占用着云平台资源，造成一定的资源浪费；第三，为了减缓资源浪费现象，静态的预置策略的控制粒度可以不用太细，基于IP地址段就行，但会存在无法对用户的访问权限进行个性化定制的问题。因为统一地址段内的用户，也会有不同的资源访问权限。静态的预置策略在资源浪费和个性化定制上是存在矛盾的，一般只能在两者间做取舍，无法两者兼顾。

(2)对于唯一认证用户的问题，有通过引入额外机制或设备的方法来解决的，如通过用户认证端与登录者手机的联动(比如短信验证码)，上网行为控制设备等，但引入额外机制或设备的代价一般较高。

因此，目前如何合理部署云环境下的用户资源访问控制是亟待解决的技术问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种云环境下的动态微分段方法、系统、云服务器及存储介质，旨在解决如何合理部署云环境下的用户资源访问控制的技术问题。

为实现上述目的，本发明提供一种云环境下的动态微分段方法，所述云环境下的动态微分段方法包括以下步骤：

云服务器响应于当前用户设备发送的当前登录信息，获取当前用户设备运行环境信息及当前网络环境信息；

查找所述当前用户设备对应的访问权限范围；

根据所述当前用户设备运行环境信息及所述当前网络环境信息确定当前用户设备的当前访问权限信息；

根据所述访问权限范围及所述当前访问权限信息，部署当前用户设备的安全策略及所述安全策略对应的超时时间，并记录部署所述安全策略的部署时刻；

若当前时刻与所述部署时刻之间的时间差大于等于所述超时时间，则检测所述安全策略是否被使用，获得检测结果；

根据所述检测结果调整所述安全策略，以实现用户的动态微分段部署。

优选地，所述根据所述访问权限范围及所述当前访问权限信息，部署当前用户设备的安全策略及所述安全策略对应的超时时间，具体包括：