[发明专利]一种云应用访问控制方法及系统

说明书

本发明公开了一种云应用访问控制方法及系统，该方法包括：当认证服务器接收到携带有云应用地址的SAML请求时，判断预先加载的云应用映射表中是否存在云应用地址，其中，云应用映射表包含至少一个预设云应用地址及其对应的预设云应用标识；当认证服务器判定云应用映射表中存在云应用地址时，从云应用映射表中获取云应用地址对应的云应用标识，生成携带有云应用标识的SAML响应，并将SAML响应发送至云应用地址对应的代理服务器；代理服务器从预先加载的云应用映射表中获取云应用标识对应的云应用地址，并将SAML响应发送至云应用地址，以实现访问云应用地址对应的云应用。基于本发明公开的方法，实现了代理服务器对至少一个云应用的全流量监控。

技术领域

本发明涉及通信安全技术领域，更具体地说，涉及一种云应用访问控制方法及系统。

背景技术

云计算是一种动态的、易扩展的、基于虚拟化的资源计算方式，通常是由互联网提供，因此用户也就不需要了解云内部的细节。

云应用在云计算环境下主要采用应用服务托管的方式。而用户在访问云上的应用过程中，可能存在敏感信息泄露的问题或者访问异常、越权访问的情况。

有鉴于此，如何对多个云应用进行全流量控制，是本领域技术人员亟需解决的问题。

发明内容

有鉴于此，本发明提供云应用访问控制方法及系统，以解决用户在访问云上的应用过程中，可能存在敏感信息泄露的问题或者访问异常、越权访问的问题。技术方案如下：

一种云应用访问控制方法，包括：

当认证服务器接收到携带有云应用地址的SAML请求时，判断预先加载的云应用映射表中是否存在所述云应用地址，其中，所述云应用映射表包含至少一个预设云应用地址及其对应的预设云应用标识；

当所述认证服务器判定所述云应用映射表中存在所述云应用地址时，从所述云应用映射表中获取所述云应用地址对应的云应用标识，生成携带有所述云应用标识的SAML响应，并将所述SAML响应发送至所述云应用地址对应的代理服务器；

所述代理服务器从预先加载的所述云应用映射表中获取所述云应用标识对应的所述云应用地址，并将所述SAML响应发送至所述云应用地址，以实现访问所述云应用地址对应的云应用。

优选的，还包括：

管理服务器预先构建所述云应用映射表，并向所述认证服务器和所述代理服务器分别发送加载通知，使得所述认证服务器和所述代理服务器分别根据所述加载通知对所述云应用映射表进行加载。

优选的，所述管理服务器预先构建所述云应用映射表的过程，包括：

所述管理服务器判断当前网络环境中是否存在域名解析服务器；

当不存在所述域名解析服务器时，为接收到的各个所述预设云应用地址随机生成端口形式的云应用标识，所述端口为代理服务器端口；

当存在所述域名解析服务器时，判断是否有添加泛域名解析规则的权限；

当有添加所述泛域名解析规则的权限时，为接收到的各个所述预设云应用地址随机生成字符串形式的云应用标识，所述字符串的长度为预先设定的；

当没有添加所述泛域名解析规则的权限时，为接收到的各个所述预设云应用地址随机生成端口形式的云应用标识，所述端口为代理服务器端口。

优选的，当所述认证服务器判定所述云应用映射表中不存在所述云应用地址时，生成用于表征云应用不存在的提示信息。

一种云应用访问控制系统，包括：认证服务器和代理服务器；