一种安全控制方法、服务器、终端、系统和存储介质与流程

1.本发明涉及云计算领域的安全技术，尤其涉及一种安全控制方法、服务器、终端、系统和存储介质。


背景技术：

2.云计算时代，越来越多的企业将自身的计算应用和数据进行上云迁移，而随着云平台中的计算应用和数据的增多，云安全问题日益凸显，比如，数据泄露等，因此，云安全问题成了各行业共同关注的话题。
3.一般来说，针对云安全问题，通常在用户登录云网络时，对用户身份进行认证。然而，在对用户身份进行认证时，通常采用输入用户名和密码的方法进行认证，而用户名和密码容易被暴力破解，因此，云平台的安全性低。


技术实现要素：

4.为解决上述技术问题，本发明提供了一种安全控制方法、服务器、终端、系统和存储介质，能够提升云平台的安全性。
5.本发明的技术方案是这样实现的：
6.第一方面，本发明实施例提供了一种安全控制方法，应用云服务器，所述方法包括：
7.接收登录终端针对目标云设备的登录请求；从所述登录请求中获取登录信息，得到账户信息和密码信息；所述登录请求用于请求登录至所述目标云设备；
8.在所述账户信息和所述密码信息验证通过时，确定目标账户，并根据所述目标账户向所述登录终端发送验证码；
9.接收验证终端针对所述验证码发送的预设同步信息，并根据所述预设同步信息和所述验证码生成验证基准信息；所述验证终端用于扫描所述登录终端中显示的验证码；
10.接收所述登录终端针对所述验证码返回的验证信息，并在所述验证信息与所述验证基准信息匹配时，确定所述目标账户登录成功。
11.在上述方案中，所述接收登录终端针对目标云设备的登录请求之前，所述方法还包括：
12.当接收到云设备创建请求时，响应所述云设备创建请求，获取待创建操作信息和目标安全控制信息；
13.其中，所述云设备创建请求用于请求创建云设备，所述待创建操作信息为用于创建云设备的信息，所述目标安全控制信息为用于对创建的云设备进行安全控制的信息；
14.将所述目标安全控制信息集成至所述待创建操作信息中，得到目标创建操作信息；
15.执行所述目标创建操作信息，从而实现对所述待创建操作信息和所述目标安全控制信息的执行，得到初始云设备；
16.建立与所述初始云设备的网络连接，得到所述目标云设备。
17.在上述方案中，所述目标安全控制信息包括基础安全控制信息，所述基础安全控制信息为在创建云设备时对云设备进行安全控制的信息；所述响应所述云设备创建请求，获取待创建操作信息和目标安全控制信息，包括：
18.响应所述云设备创建请求，从预设操作信息库中获取所述待创建操作信息；所述预设操作信息库为用于创建云设备的信息所构成的集合；
19.获取所述待创建操作信息的属性信息，得到操作属性信息；
20.根据所述操作属性信息，从预设安全控制信息与属性信息对应关系中确定所对应的安全控制信息，得到所述基础安全控制信息，从而得到所述目标安全控制信息；
21.其中，所述预设安全控制信息与属性信息对应关系为预先设置的用于创建云设备的信息所对应的属性信息所构成的集合。
22.在上述方案中，所述执行所述目标创建操作信息，从而实现对所述待创建操作信息和所述目标安全控制信息的执行，得到初始云设备，包括：
23.执行所述目标创建操作信息，从而实现对所述待创建操作信息和所述目标安全控制信息的执行，得到创建结果；
24.从所述创建结果中获取待加固信息和加固信息；所述待加固信息为所述待创建操作信息中存在的安全弱项和漏洞信息，所述加固信息为对所述待加固信息进行处理的解决信息；
25.依据所述加固信息对所述待加固信息进行加固处理，得到加固后的云设备，并对所述加固后的云设备进行功能检测，得到功能检测结果；
26.当所述功能检测结果表征所述加固后的云设备无法实现预设功能时，执行预设还原信息，得到所述初始云设备；所述预设还原信息用于将云设备还原至加固处理之前的云设备；
27.当所述功能检测结果表征所述加固后的云设备对应的功能与所述预设功能匹配时，将所述加固后的云设备作为所述初始云设备。
28.在上述方案中，所述基础安全控制信息为身份认证信息、密码复杂度信息、预设服务启动信息、安全配置信息、对象管理信息、登录管理信息、口令管理信息和转发管理信息中的至少一种。
29.在上述方案中，所述目标安全控制信息中还包括修复安全控制信息，所述修复安全控制信息用于对所述目标云设备进行安全控制；所述建立与所述初始云设备的网络连接，得到所述目标云设备之后，所述方法还包括：
30.在预设安全控制周期到达时，利用所述修复安全控制信息，对所述目标云设备进行检测，得到检测结果；
31.当所述检测结果表征检测未通过时，从所述检测结果中获取待修复信息与修复信息；所述待修复信息为所述目标云设备中存在的安全弱项和漏洞信息，所述修复信息为对所述待修复信息进行修复的信息；
32.执行所述修复信息，对所述待修复信息进行修复，完成对所述目标云设备的检测。
33.在上述方案中，所述执行所述修复信息，对所述待修复信息进行修复，完成对所述目标云设备的检测之前，所述方法还包括：
34.获取所述目标云设备的备份信息，得到目标备份云设备；
35.在所述目标备份云设备上执行所述修复安全控制信息，得到优化后的目标备份云设备；
36.对所述优化后的目标备份云设备进行测试，得到测试结果；
37.相应地，所述执行所述修复信息，对所述待修复信息进行修复，完成对所述目标云设备的检测，包括：
38.在所述测试结果表征测试通过时，执行所述修复信息，对所述待修复信息进行修复，完成对所述目标云设备的检测。
39.在上述方案中，所述在所述验证信息与所述验证基准信息匹配时，确定所述目标账户登录成功之后，所述方法还包括：
40.从预设账户与权限信息对应关系中，确定与所述目标账户对应的目标权限信息；所述预设账户与权限信息对应关系为各账户与各账户对应的权限信息所构成的集合；
41.根据所述目标权限信息，控制所述目标账户对预设云数据的访问。
42.在上述方案中，所述预设账户与权限信息对应关系中的账户包括服务管理账户、项目管理账户和普通账户中的至少一种，所述预设账户与权限信息对应关系中的权限信息包括操作对象、操作时效和操作策略中的至少一种。
43.在上述方案中，所述接收登录终端针对目标云设备的登录请求之后，所述方法还包括:
44.获取预设账户的操作记录，得到操作日志信息；所述目标账户属于所述预设账户；
45.从所述操作日志信息中提取错误日志，得到目标错误日志信息；
46.对所述目标错误日志信息依据级别进行分类，得到错误日志分类结果；
47.依据级别的预设优先级对所述错误日志分类结果中的错误日志进行处理，以对所述目标云设备进行优化。
48.第二方面，本发明实施例提供了一种安全控制方法，应用于登录终端，所述方法包括：
49.通过预设登录界面，获取账户信息和密码信息；
50.向云服务器发送携带所述账户信息和所述密码信息的登录请求；所述登录请求用于请求登录至目标云设备；
51.接收所述云服务器针对所述登录请求返回的验证码；
52.在预设验证码显示界面上显示所述验证码，以使验证终端通过显示的验证码生成验证信息；
53.通过所述预设验证码显示界面获取针对所述显示的验证码所对应的所述验证信息，并将所述验证信息发送至所述云服务器，以使所述云服务器根据所述验证信息完成目标账户的登录。
54.第三方面，本发明实施例提供了一种安全控制方法，应用于验证终端，所述方法包括：
55.扫描登录终端中显示的验证码，得到目标账户信息；
56.获取与云服务器对应的预设同步信息，并向所述云服务器发送所述预设同步信息；
57.根据所述预设同步信息和所述目标账户信息生成验证信息；
58.在预设验证信息显示界面上显示所述验证信息，以使所述云服务器通过所述登录终端获得所述验证信息来完成目标账户的登录。
59.第四方面，本发明实施例提供了一种安全控制系统，所述系统包括：
60.登录终端，用于通过预设登录界面，获取账户信息和密码信息；向云服务器发送携带所述账户信息和所述密码信息的登录请求；所述登录请求用于请求登录至目标云设备；
61.所述云服务器，用于接收所述登录终端针对所述目标云设备的所述登录请求；从所述登录请求中获取登录信息，得到所述账户信息和所述密码信息；在所述账户信息和所述密码信息验证通过时，确定目标账户，并根据所述目标账户向所述登录终端发送验证码；
62.所述登录终端，还用于接收所述云服务器针对所述登录请求返回的所述验证码；在预设验证码显示界面上显示所述验证码，以使验证终端通过显示的验证码完成所述目标账户的登录；
63.所述验证终端，用于扫描所述登录终端中显示的所述验证码，得到目标账户信息；获取与云服务器对应的预设同步信息，并向所述云服务器发送所述预设同步信息；根据所述预设同步信息和所述目标账户信息生成验证信息；在预设验证信息显示界面上显示所述验证信息，以使所述云服务器通过所述登录终端获得所述验证信息来完成所述目标账户的登录；
64.所述登录终端，还用于通过所述预设验证码显示界面获取针对所述显示的验证码所对应的所述验证信息，并将所述验证信息发送至所述云服务器，以使所述云服务器根据所述验证信息完成所述目标账户的登录；
65.所述云服务器，还用于接收所述验证终端针对所述验证码返回的所述预设同步信息，并根据所述预设同步信息和所述验证码生成验证基准信息；接收所述验证终端针对所述验证码返回的所述验证信息，并在所述验证信息与所述验证基准信息匹配时，确定所述目标账户登录成功。
66.第五方面，本发明实施例提供了一种云服务器，所述云服务器包括：
67.登录信息获取模块，用于接收登录终端针对目标云设备的登录请求；从所述登录请求中获取登录信息，得到账户信息和密码信息；所述登录请求用于请求登录至所述目标云设备；
68.信息验证模块，用于在所述账户信息和所述密码信息验证通过时，确定目标账户，并根据所述目标账户向所述登录终端发送验证码；
69.基准信息获取模块，用于接收验证终端针对所述验证码发送的预设同步信息，并根据所述预设同步信息和所述验证码生成验证基准信息；所述验证终端用于扫描所述登录终端中显示的验证码；
70.登录模块，用于接收所述登录终端针对所述验证码返回的验证信息，并在所述验证信息与所述验证基准信息匹配时，确定所述目标账户登录成功。
71.第六方面，本发明实施例还提供了一种云服务器，所述云服务器包括：
72.第一处理器、第一存储器和第一通信总线，所述第一存储器通过所述第一通信总线与所述第一处理器进行通信，所述第一存储器存储所述第一处理器可执行的程序，当所述程序被执行时，通过所述第一处理器执行如上述所述的安全控制方法。
73.第七方面，本发明实施例提供了一种计算机可读存储介质，其上存储有程序，所述程序被第一处理器执行时实现如上述所述的安全控制方法。
74.第八方面，本发明实施例提供了一种登录终端，所述登录终端包括：
75.第二处理器、第一显示器、第二存储器和第二通信总线，所述第一显示器和所述第二存储器通过所述第二通信总线与所述第二处理器进行通信，所述第二存储器存储所述第二处理器可执行的程序，当所述程序被执行时，通过所述第二处理器执行如上述所述的安全控制方法。
76.第九方面，本发明实施例提供了一种验证终端，所述验证终端包括：
77.第三处理器、第二显示器、第三存储器和第三通信总线，所述第二显示器和所述第三存储器通过所述第三通信总线与所述第三处理器进行通信，所述第三存储器存储所述第三处理器可执行的程序，当所述程序被执行时，通过所述第三处理器执行如上述所述的安全控制方法。
78.本发明提供了一种安全控制方法、服务器、终端、系统和存储介质，云服务器接收登录终端针对目标云设备的登录请求；从登录请求中获取登录信息，得到账户信息和密码信息；登录请求用于请求登录至目标云设备；在账户信息和密码信息验证通过时，确定目标账户，并根据目标账户向登录终端发送验证码；接收验证终端针对所述验证码发送的预设同步信息，并根据预设同步信息和验证码生成验证基准信息；验证终端用于扫描登录终端中显示的验证码；接收登录终端针对验证码返回的验证信息，并在验证信息与验证基准信息匹配时，确定目标账户登录成功。采用上述技术实现方案，由于目标账户在登录云平台中的目标云设备时，是结合登录信息和实时生成的验证信息完成的登录，是一种通过动态双因子进行身份认证的方式，安全性高，从而提升了云平台的安全性。
附图说明
79.图1是本发明实施例提供的安全控制系统100的一个可选的架构示意图；
80.图2是本发明实施例提供的一种安全控制方法实现流程图；
81.图3是本发明实施例提供的另一种安全控制方法实现流程图；
82.图4是本发明实施例提供的再一种安全控制方法实现流程图；
83.图5是本发明实施例提供的又一种安全控制方法实现流程图；
84.图6是本发明实施例提供的一种安全控制方法交互流程图；
85.图7为本发明实施例提供的一种云服务器的结构示意图一；
86.图8为本发明实施例提供的一种云服务器的结构示意图二；
87.图9为本发明实施例提供的一种登录终端的结构示意图一；
88.图10为本发明实施例提供的一种登录终端的结构示意图二；
89.图11为本发明实施例提供的一种验证终端的结构示意图一；
90.图12为本发明实施例提供的一种验证终端的结构示意图二。
具体实施方式
91.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。
92.一般来说，在对云平台的安全进行控制时，通常采用单一身份认证体系、弱口令和简单的密钥或证书系统，如此，易被暴力破解，因而云平台面临计算应用和数据泄露的威胁。另外，针对单一身份认证体系的安全性低的问题，可以采用多因素进行身份认证，比如，将usb-key令牌作为用户身份的唯一标识，当用户登录云平台时，输入usb-key令牌，云平台就能够基于该usb-key令牌，以及用户名和密码完成登录；然而，该采用usb-key令牌和用户名密码对云平台的安全进行控制时，需要随时携带usb-key令牌对应的硬件设备，并且usb-key令牌与一个用户身份对应，仅能实现对单用户身份的认证，无法实现对多个用户身份的认证。
93.此外，在云平台中，或者是多租户结构，又或者是混合使用，如此，租户和服务器用户能以管理员身份登入云平台，能够访问云平台中的信息，也就可能对云平台的虚拟机和主机进行恶意攻击，导致敏感数据的泄漏。并且，对云平台进行漏洞扫描时，通常借助其他第三方漏洞工具实现。
94.基于此，本发明实施例提供了一种安全控制方法、服务器、终端、系统和存储介质，能够提升云平台的安全性。
95.参见图1，图1是本发明实施例提供的安全控制系统100的一个可选的架构示意图；如图1所示，为支撑一个安全控制应用，在安全控制系统100中，云服务器200中包含多个目标云设备300(示例性示出了目标云设备300-1)，登录终端500通过网络400连接云服务器200，网络400可以是广域网或者局域网，又或者是二者的组合；另外，验证终端600通过网络400与云服务器200连接。
96.下面，基于本发明实施例提供的安全控制系统，对本发明实施例提供的安全控制方法进行说明。
97.实施例一
98.本发明实施例提供了一种安全控制方法，应用于云服务器；图2是本发明实施例提供的一种安全控制方法实现流程图，如图2所示，该安全控制方法包括：
99.s101、接收登录终端针对目标云设备的登录请求；从登录请求中获取登录信息，得到账户信息和密码信息；登录请求用于请求登录至目标云设备。
100.在本发明实施例中，云服务器中存在多个云设备，当账户登录云服务器中的云设备时，会通过登录终端向云服务器发送登录请求，此时，云服务器也就接收到了登录终端针对目标云设备的登录请求。这里，由于登录请求用于请求登录至目标云设备，从而，登录请求中携带着登录至目标云设备的登录信息，所以，云服务器能够从登录请求中获取到该登录信息，也就获得了账户信息和密码信息。
101.需要说明的是，云服务器指云平台，登录终端为用于登录云服务器中目标云设备的设备；云设备指云服务器中用于实现不同功能应用或提供不同服务的设备，比如，云主机、云虚拟机和vps(virtual private serve，虚拟专用服务器)，而目标云设备指云设备中登录请求所请求登录的目标设备；一般来说，账户通过账户密码进行云设备的登录，这里的账户信息和密码信息即为当前登录账户的账户密码。
102.s102、在账户信息和密码信息验证通过时，确定目标账户，并根据目标账户向登录终端发送验证码。
103.在本发明实施例中，云服务器中预先存储有账户密码库，从而在获得了账户信息
和密码信息之后，将该账户信息和密码信息，与账户密码库进行匹配；这里，将账户信息与账户密码库中的各账户一一匹配，在账户密码库中匹配到的账户所对应的密码，与密码信息匹配时，则确定账户信息和密码信息验证通过；此时，在账户密码库中匹配到的账户即目标账户。接下来，云服务器根据该目标账户所对应的信息生成验证码，并将验证码发送至登录终端，以使登录终端显示该验证码。
104.示例性地，云服务器在账户信息和密码信息验证通过时，运行预设配置命令，生成包含密钥信息的二维码(验证码)，通过二维码能够获知目标账户的信息(比如，密钥信息和云服务器的地址信息)。
105.s103、接收验证终端针对验证码发送的预设同步信息，并根据预设同步信息和验证码生成验证基准信息；验证终端用于扫描登录终端中显示的验证码。
106.在本发明实施例中，云服务器与验证终端预先协商过同步的信息，即预设同步信息，从而，云服务器在将验证码发送至登录终端进行显示时，验证终端扫描了登录终端中显示的验证码，获知了云服务器的地址信息后，向云服务器发送预设同步信息；从而，云服务器能够接收验证终端通过扫描验证码返回的预设同步信息；以使云服务器自身根据验证码和预设同步信息生成验证基准信息，以根据该验证基准信息确定从登录终端获得的验证信息的正确性。
107.需要说明的是，验证终端用于扫描登录终端中显示的验证码，比如，安装有app(application，应用程序)验证应用的手机。预设同步信息用于实时生成动态验证口令，比如，时间戳。
108.s104、接收登录终端针对验证码返回的验证信息，并在验证信息与验证基准信息匹配时，确定目标账户登录成功。
109.在本发明实施例中，云服务器将验证码发送至登录终端进行显示之后，验证终端通过扫描登录终端中显示的验证码能够获得验证信息并进行显示，从而，登录终端也就能够根据显示的验证信息将验证信息返回至云服务器；此时，云服务器也就接收到了登录终端针对验证码返回的验证信息；云服务器将验证基准信息与接收到的验证信息进行匹配，若验证基准信息与接收到的验证信息匹配，则表明登录密钥正确。
110.另外，若验证基准信息与接收到的验证信息不匹配，则表明登录密钥不正确，可能是密钥被篡改了，拒绝目标账户向目标云设备登录，并向登录终端返回登录失败提示信息。
111.可以理解的是，本发明实施例结合验证终端，实现登录终端向云服务器中的目标云设备的登录，完成了登录时的双因子认证的身份登录认证，符合csa(云安全联盟)所提出建议，有效防止了密码或密钥被篡改的问题。
112.进一步地，参见图3，图3是本发明实施例提供的另一种安全控制方法实现流程图；如图3所示，在本发明实施例中，s101之前还包括s105-s108；也就是说，云服务器接收登录终端针对目标云设备的登录请求之前，该安全控制方法还包括s105-s108，下面将结合图3示出的步骤进行说明。
113.s105、当接收到云设备创建请求时，响应云设备创建请求，获取待创建操作信息和目标安全控制信息；其中，云设备创建请求用于请求创建云设备，待创建操作信息为用于创建云设备的信息，目标安全控制信息为用于对创建的云设备进行安全控制的信息。
114.在本发明实施例中，当云平台中有新的业务、新的服务或新的应用需求时，会生成
云设备创建请求；此时，云服务器也就接收到了云设备创建请求。这里，云设备请求用于请求创建云设备，从而，云服务器响应该云设备创建请求，就能够开始创建新的云设备了。云服务器进行新的云设备的创建时，获取用于创建云设备的信息即待创建操作信息；另外，云服务器为了实现云设备创建过程中的安全控制，还会获取用于对创建的云设备进行安全控制的信息，即目标安全控制信息。
115.需要说明的是，待创建操作信息即云设备的虚拟运行环境或操作系统；另外，要创建的云设备的数量不局限于一个，比如，一个云平台上可以一次创建成本上千个云虚拟机，因此，可以通过镜像的方式生成多个虚拟运行环境，以此来提升云设备的创建效率。
116.更进一步地，目标安全控制信息包括基础安全控制信息，基础安全控制信息为在创建云设备时对云设备进行安全控制的信息；从而，在本发明实施例中，s105可通过s1051-s1053实现；也就是说，云服务器响应云设备创建请求，获取待创建操作信息和目标安全控制信息，包括s1051-s1053，下面将结合各步骤进行说明。
117.s1051、响应云设备创建请求，从预设操作信息库中获取待创建操作信息；预设操作信息库为用于创建云设备的信息所构成的集合。
118.需要说明的是，云服务器中预先存储着预设操作信息库，该预设操作信息库中包括各种用于创建云设备的信息，能够适用于不同的操作系统下的云平台环境，比如“centos6”，“centos7”，“ubuntu”等；也就是说，预设操作信息库为用于创建云设备的信息所构成的集合。因此，当云服务器响应该云设备创建请求进行云设备的创建时，能够从预设操作信息库中获取到与云设备创建请求所对应的用于创建云设备的待创建操作信息。
119.s1052、获取待创建操作信息的属性信息，得到操作属性信息。
120.在本发明实施例中，由于每种用于创建云设备的信息的属性信息不同，比如系统名称和版本号不同，而不同的属性信息的待创建操作信息对应着不同的安全控制信息；因此，云服务器需要确定待创建操作信息的属性信息，也就得到了操作属性信息，进而根据该操作属性信息获取对应的安全控制信息。
121.s1053、根据操作属性信息，从预设安全控制信息与属性信息对应关系中确定所对应的安全控制信息，得到基础安全控制信息，从而得到目标安全控制信息；其中，预设安全控制信息与属性信息对应关系为预先设置的用于创建云设备的信息所对应的属性信息所构成的集合。
122.在本发明实施例中，云服务器中预先存储着安全控制信息与属性信息的对应关系；因此，云服务器获得了表征待创建操作信息的属性信息的操作属性信息之后，就能够将该操作属性信息，与预设安全控制信息与属性信息对应关系中的属性信息一一对比，从预设安全控制信息与属性信息对应关系中，确定与操作属性信息匹配的属性信息，进而将匹配的属性信息所对应的安全控制信息作为基础安全控制信息；此时，也就得到了包括基础安全控制信息的目标安全控制信息。其中，预设安全控制信息与属性信息对应关系为预先设置的用于创建云设备的信息所对应的属性信息所构成的集合。
123.需要说明的是，基础安全控制信息为身份认证信息、密码复杂度信息、预设服务启动信息、安全配置信息、对象管理信息、登录管理信息、口令管理信息和转发管理信息中的至少一种。
124.其中，身份认证信息指用于进行身份认证的信息；密码复杂度信息指设置的密码
复杂度的信息；预设服务启动信息指敏感服务启动，比如，ssh(secure shell，安全外壳协议)；安全配置信息，比如，防火墙配置信息；对象管理信息，比如，账号、重要文件和目录权限管理；登录管理信息，比如，禁止root远程登录，又比如，登录失败此时限制信息；口令管理信息，比如，口令生存周期和锁定；转发管理信息，比如，禁止ip(internet protocol，网际互连协议)路由转发。
125.另外，基础安全控制信息还可以为主机基础安全控制信息和虚拟机安全控制信息；基础安全控制信息又可以为配置文件、具体配置项、配置参数值、实现的功能说明和恢复方法等；其中，配置文件预设标准可以根据不同的需求进行更改，选择开启或关闭；基础安全控制信息也可以为普通配置和高级配置，可选地，普通配置默认开启，高级配置默认关闭；本发明实施例对此不作具体限定。
126.s106、将目标安全控制信息集成至待创建操作信息中，得到目标创建操作信息。
127.需要说明的是，云服务器在云设备的创建过程中就进行了安全控制，具体地，云服务器将目标安全控制信息集成至待创建操作信息中，使得实现了根据目标创建操作信息实现云设备创建的同时还实现了安全控制，在云设备创建的过程中将安全风险降低。这里，目标创建操作信息即集成了目标安全控制信息后的待创建操作信息。
128.s107、执行目标创建操作信息，从而实现对待创建操作信息和目标安全控制信息的执行，得到初始云设备。
129.在本发明实施例中，云服务器获得了目标创建操作信息之后，就能够依据该目标创建操作信息进行云设备的创建和创建过程中的安全控制了。这里，目标创建操作信息为可执行的信息，执行该目标创建操作信息，也就是实现了对待创建操作信息和目标安全控制信息的共同执行，当执行完成时，也就完成了云设备的创建，也就得到了初始云设备。
130.更进一步地，在本发明实施例中，s107可通过s1071-s1075实现；也就是说，云服务器执行目标创建操作信息，从而实现对待创建操作信息和目标安全控制信息的执行，得到初始云设备，包括s1071-s1075，下面将结合各步骤进行说明。
131.s1071、执行目标创建操作信息，从而实现对待创建操作信息和目标安全控制信息的执行，得到创建结果。
132.在本发明实施例中，执行目标创建操作信息时，也就完成了待创建操作信息的执行，完成了云设备的创建；同时执行了目标安全控制信息，也就实现了对创建的云设备的安全控制，也就得到了创建结果。
133.这里，创建结果指对云设备的创建过程中进行安全控制的结果信息，即安全控制报告。
134.s1072、从创建结果中获取待加固信息和加固信息；待加固信息为待创建操作信息中存在的安全弱项和漏洞信息，加固信息为对待加固信息进行处理的解决信息。
135.需要说明的是，创建结果中包括待创建操作信息中存在的安全弱项和漏洞信息即待加固信息(比如，待更新的软件包)，以及对待加固信息进行处理的解决信息即加固信息(比如，新版本的软件包)；从而，云服务器获得了创建结果后，能够从创建结果中获取到该待加固信息和加固信息。
136.s1073、依据加固信息对待加固信息进行加固处理，得到加固后的云设备，并对加固后的云设备进行功能检测，得到功能检测结果。
137.需要说明的是，由于加固信息用于对待加固信息进行加固处理，从而，云服务器能够依据加固信息对待加固信息进行加固处理，完成后，也就得到了加固后的云设备。接着，云服务器判断加固后的云设备的可用性，即对加固后的云设备进行功能检测，也就得到了功能检测结果。
138.s1074、当功能检测结果表征加固后的云设备无法实现预设功能时，执行预设还原信息，得到初始云设备；预设还原信息用于将云设备还原至加固处理之前的云设备。
139.需要说明的是，功能检测结果是以创建的云设备的预设功能为基准检测出的检测报告信息，从而，功能检测结果中包含两种情况，一种是加固后的云设备无法实现预设功能，表明，加固处理的过程中出现了问题；此时，本发明实施例提供了一键还原功能，即通过执行预设还原信息，也就将加固后的云设备还原至了加固前的状态，此时的云设备称为初始云设备。这里，预设还原信息用于将云设备还原至加固处理之前的云设备。
140.在本发明实施例中，无法实现预设功能时，还包括对其他业务功能造成影响的情况。
141.s1075、当功能检测结果表征加固后的云设备对应的功能与预设功能匹配时，将加固后的云设备作为初始云设备。
142.在本发明实施例中，功能检测结果的另一种情况为加固后的云设备对应的功能与预设功能匹配，表明加固处理已成功完成，此时，加固后的云设备即初始云设备。
143.s108、建立与初始云设备的网络连接，得到目标云设备。
144.在本发明实施例中，当完成了初始设备的创建之后，需要对初始云设备的网络连接进行配置，使初始云设备与云服务器建立网络连接；此时，与云服务器建立了网络连接的云设备即目标云设备。
145.进一步地，目标安全控制信息中还包括修复安全控制信息，修复安全控制信息用于对目标云设备进行安全控制；从而，s108之后还包括s109-s111；也就是说，云服务器建立与初始云设备的网络连接，得到目标云设备之后，该安全控制方法还包括s109-s111，下面将结合各步骤进行说明。
146.s109、在预设安全控制周期到达时，利用修复安全控制信息，对目标云设备进行检测，得到检测结果。
147.在本发明实施例中，云服务器还可以对目标云设备进行定时检测和修复，而用于检测和修复的信息即修复安全控制信息。这里，云服务器中预先设置有预设安全控制周期，用于控制目标云设备的检测和修复时间，从而，在预设安全控制周期到达时，就开始目标云设备的检测和修复；具体地，云服务器利用修复安全控制信息，对目标云设备进行检测，所获得的结果即检测结果。
148.s110、当检测结果表征检测未通过时，从检测结果中获取待修复信息与修复信息；待修复信息为目标云设备中存在的安全弱项和漏洞信息，修复信息为对待修复信息进行修复的信息。
149.在本发明实施例中，检测结果中包含两种情况，一种是检测通过，即目标云设备中不存在待修复的问题，此时，结束修复流程。另一种是检测未通过，即目标云设备中存在待修复的问题，此时，检测结果中包含着目标云设备中存在的安全弱项和漏洞信息(待修复的问题)即待修复信息，以及用于对待修复信息进行修复的信息即修复信息；从而，云服务器
能够从检测结果中获取到待修复信息和修复信息。
150.s111、执行修复信息，对待修复信息进行修复，完成对目标云设备的检测。
151.在本发明实施例中，云服务器获得了待修复信息与修复信息之后，就能够利用修复信息对目标云设备中的待修复信息进行修复了；具体地，云服务器执行该修复信息，也就能够对待修复信息进行修复了，当修复完成时，也就完了对目标云设备的检测和修复。
152.需要说明的是，云服务器对目标云设备的检测和修复还可以是不定时的，同样地，也是利用安全控制信息执行上述步骤实现的，本发明实施例在此不再赘述。
153.可以理解的是，本发明实施例中的目标云设备在创建时还集成了用于进行检测和修复的信息即修复安全控制信息，从而使得目标云设备在应用的过程中能够定时或不定时地进行检测、更新和修复等，保证了目标云设备在应用过程中的安全性；同时，由于不必通过安装检测和修复工具，因此，还提升了批量修复的效率。
154.需要说明的是，目标安全控制信息中集成了入侵检测功能应用，并且该入侵检测功能应用是从上游定时更新的安全弱项和漏洞信息和解决方案，从而，目标安全控制信息具备最强检测能力；另外，目标安全控制信息中还集成了木马检测功能应用。如此，检测结果中包含cve(common vulnerabilities&exposures，公共漏洞和暴露)漏洞的类型，影响的软件包、等级、修复版本或补丁，可能入侵的文件或命令等信息，可定期将检测结果发送给云平台管理员，以进行对应处理；检测结果可以是html(hyper text markup language，超文本标记语言)文件。
155.进一步地，在本发明实施例中，s111之前还包括s112-s114；也就是说，云服务器执行修复信息，对待修复信息进行修复，完成对目标云设备的检测之前，该安全控制方法还包括s112-s114，下面将结合各步骤进行说明。
156.s112、获取目标云设备的备份信息，得到目标备份云设备。
157.需要说明的是，云服务器中还存在目标云设备的备份信息，从而，云服务器能够获取到目标云设备的备份信息，此时，也就获得了目标备份云设备。
158.s113、在目标备份云设备上执行修复信息，得到修复后的目标备份云设备。
159.在本发明实施例中，云服务器在目标备份云设备上执行该修复信息进行修复，也就得到了修复后的目标备份云设备。
160.s114、对优化后的目标备份云设备进行测试，得到测试结果。
161.需要说明的是，云服务器获得了修复后的目标备份云设备之后，对优化后的目标备份云设备进行测试，根据所获得的测试结果就能够确定修复的成功性。
162.相应地，本发明实施例s111中云服务器执行修复信息，对待修复信息进行修复，完成对目标云设备的检测，包括：在测试结果表征测试通过时，云服务器执行修复信息，对待修复信息进行修复，完成对目标云设备的检测。另外，当测试结果表征测试未通过时，表征修复信息不能成功对待修复信息进行修复，此时，将不再执行s111。如此，能够保证对目标云设备的修复的有效性。
163.进一步地，在本发明实施例中，s104之后还包括s115-s116；也就是说，云服务器在验证信息与验证基准信息匹配时，确定目标账户登录成功之后，该安全控制方法还包括s115-s116，下面将结合各步骤进行说明。
164.s115、从预设账户与权限信息对应关系中，确定与目标账户对应的目标权限信息；
预设账户与权限信息对应关系为各账户与各账户对应的权限信息所构成的集合。
165.需要说明的是，云服务器中预先存储中各账户与各账户对应的权限信息所构成的集合，即预设账户与权限信息对应关系；从而，云服务器在确定目标账户成功登录之后，就能够根据预设账户与权限信息对应关系，确定与目标账户对应的权限信息；具体地，云服务器将目标账户与，预设账户与权限信息对应关系中的账户一一匹配，所确定匹配的账户在预设账户与权限信息对应关系中对应的权限信息即目标权限信息。
166.s116、根据目标权限信息，控制目标账户对预设云数据的访问。
167.在本发明实施例中，云服务器获得了目标账户的目标权限信息，也就清楚了目标账户对云平台的访问权限；从而，云服务器也就能够根据该目标权限信息，实现对目标账户在云平台上对资源信息(预设云数据)的访问控制。
168.需要说明的是，预设账户与权限信息对应关系中的账户包括服务管理账户、项目管理账户和普通账户中的至少一种，预设账户与权限信息对应关系中的权限信息包括操作对象、操作时效和操作策略中的至少一种。
169.其中，服务管理账户，比如，云服务器管理员，主要负责云平台主机的开机、关机、重启、网络连接配置、磁盘的卸载删除、创建账户、创建虚拟机、数据存储管理、日志管理等操作；项目管理账户，比如，项目管理员，主要负责项目概况、项目实例的分配、项目的访问与安全策略等操作；普通账户，比如，虚拟机用户，主要进行云平台中访问和资源的使用。而操作策略，比如，策略动作，即账户对操作的可执行性，比如，允许执行、拒绝执行和动态授权。
170.可以理解的是，本发明实施例通过为不同的账户设置不同的权限信息，实现了采用最小权限原则，将管理与业务权限分离，给不同的用户提供不同的使用权限，防止云环境资源被恶意使用，另外，也阻止了非授权用户的登录。
171.进一步地，在本发明实施例中，在s101之后，还包括s117-s120；也就是说，云服务器接收登录终端针对目标云设备的登录请求之后，该安全控制方法还包括s117-s120，其中:
172.s117、获取预设账户的操作记录，得到操作日志信息；目标账户属于预设账户。
173.在本发明实施例中，云服务器具备记录云平台中所有用户即预设账户的操作记录的功能，从而，云服务器能够从本地获取到预设账户的操作记录，也就得到了操作日志信息。
174.需要说明的是，操作记录指针对预设账户对云服务器的操作而生成的记录，比如登录日志，操作日志等；另外，操作日志信息可以是由时间日期、事件类型、具体操作描述和结果等构成的数据记录。
175.s118、从操作日志信息中提取错误日志，得到目标错误日志信息。
176.需要说明的是，操作日志信息中包括多种事件类型的日志信息，比如，错误类型、系统登录类型、定时任务类型、邮件类型和系统启动类型等，从而云服务器从操作日志信息中将错误类型对应的日志提取出来，也就完成了错误日志的提取，进而也就得到了目标错误日志信息。
177.s119、对目标错误日志信息依据级别进行分类，得到错误日志分类结果。
178.在本发明实施例中，云服务器所获得的目标错误日志信息中是分级别的，比如：一
般信息、警告级别、错误级别和严重级别等，从而，云服务器对目标错误日志信息依据该级别进行分类，所获得的分类结果也就是错误日志分类结果。
179.s120、依据级别的预设优先级对错误日志分类结果中的错误日志进行处理，以对目标云设备进行优化。
180.需要说明的是，云服务器在对目标错误日志信息分类时所依据的级别，是具备优先级的，即级别的预设优先级，比如，依据严重程度确定的级别的预设优先级：一般信息《警告级别《错误级别《严重级别；从而，云服务器根据级别的预设优先级，对错误日志分类结果中优先级高的错误日志进行分析，以快速查找错误源，从而及时解决云服务器中存在的问题，来确保云平台的安全性。
181.可以理解的是，本发明实施例通过验证码扫描，实现与验证终端(手机app)结合进行实时双因子认证，提高了云服务器的登录安全性；且能够适用于多账户身份验证，解决了usb-key令牌的单账户身份验证的局限性。另外，本发明实施例中云服务器所进行的安全控制是多维度的，即能够在云设备创建过程中实现检查与加固的自动化，还能在使用过程中进行检查与加固配置，有效提升了云服务器的安全性。以及，通过对预设账户的权限进行划分，对不同的用户进行细粒度划分，形成权限数据库，授权用户只能访问授权数据，非授权用户没有权限访问数据，达到了保护云服务器资产的目的。
182.实施例二
183.本发明实施例还提供了一种安全控制方法，应用于登录终端；图4是本发明实施例提供的再一种安全控制方法实现流程图，如图4所示，该安全控制方法包括：
184.s201、通过预设登录界面，获取账户信息和密码信息。
185.在本发明实施例中，登录终端为用于登录云服务器中目标云设备的设备，在登录终端上，显示有预设登录界面，用于输入账户信息和密码信息；从而登录终端能够通过该预设登录界面，获取到账户信息和密码信息。
186.需要说明的是，云服务器指云平台，登录终端为用于登录云服务器中目标云设备的设备；云设备指云服务器中用于实现不同功能应用或提供不同服务的设备，比如，云主机、云虚拟机和vps，而目标云设备指云设备中登录请求所请求登录的目标设备；一般来说，账户通过账户密码进行云设备的登录，这里的账户信息和密码信息即为当前登录账户的账户密码。
187.s202、向云服务器发送携带账户信息和密码信息的登录请求；登录请求用于请求登录至目标云设备。
188.在本发明实施例中，当登录终端获得了账户信息和密码信息之后，将账户信息和密码信息携带在登录请求中向云服务器发送，以请求登录至目标云设备；也就是说，登录请求用于请求登录至目标云设备。
189.s203、接收云服务器针对登录请求返回的验证码。
190.需要说明的是，云服务器接收到携带账户信息和密码信息的登录请求之后，对该登录请求中的账户信息和密码信息进行验证，并在账户信息和密码信息验证通过时，确定目标账户，并根据目标账户向登录终端发送验证码；此时，登录终端也就接收到了云服务器针对登录请求返回的验证码。以根据该验证码对目标账户的登录进行二次验证，来提高登录认证的安全性。
191.s204、在预设验证码显示界面上显示验证码，以使验证终端通过显示的验证码生成验证信息。
192.在本发明实施例中，当在登录终端完成了账户信息和密码信息的获取之后，会在云服务器对账户信息和密码信息验证通过时，由预设登录界面跳转至预设验证码显示界面，并将接收到的验证码在该预设验证码显示界面上进行显示，以使验证终端通过显示的验证码生成验证信息。
193.需要说明的是，验证终端用于扫描登录终端中显示的验证码，比如，安装有app验证应用的手机。
194.s205、通过预设验证码显示界面获取针对显示的验证码所对应的验证信息，并将验证信息发送至云服务器，以使云服务器根据验证信息完成目标账户的登录。
195.在本发明实施例中，登录终端中的预设验证码显示界面上，还显示有用于输入验证信息的区域，从而，登录终端能够通过预设验证码显示界面获取针对显示的验证码所对应的验证信息，并将获取到的验证信息发送至云服务器，以使云服务器根据验证信息完成目标账户的登录。
196.可以理解的是，登录终端通过与验证终端结合实现目标账户登录云服务器中目标云设备的双因子身份认证，是一种动态进行身份认证登录的多因素认证机制，提升了云服务器的登录安全性。
197.实施例三
198.本发明实施例又提供了一种安全控制方法，应用于验证终端；图5是本发明实施例提供的又一种安全控制方法实现流程图，如图5所示，该安全控制方法包括：
199.s301、扫描登录终端中显示的验证码，得到目标账户信息。
200.在本发明实施例中，当登录终端和云服务器结合完成了账户信息和密码信息的验证时，登录终端中的预设验证码显示界面上显示有验证码；从而，验证终端打开扫描装置，对登录终端中显示的验证码进行扫描，也就得到了目标账户信息，比如，账户的密钥信息和云服务器的ip地址信息等。
201.s302、获取与云服务器对应的预设同步信息，并向云服务器发送预设同步信息。
202.需要说明的是，验证终端与云服务器预先协商过同步的信息，即预设同步信息；从而，验证终端能够获取到与云服务器对应的预设同步信息。以及，验证终端还会根据通过扫描验证码获得的云服务器的地址信息，周期性地将预设同步信息发送至云服务器，实现验证终端获取与云服务器对应的预设同步信息的过程，并根据目标账户信息中的云服务器的地址信息向云服务器发送预设同步信息。
203.需要说明的是，验证终端用于扫描登录终端中显示的验证码，比如，安装有app验证应用的手机；预设同步信息用于实时动态生成验证口令，比如，时间信息。
204.s303、根据预设同步信息和目标账户信息生成验证信息。
205.在本发明实施例中，验证终端获得了预设同步信息和目标账户信息之后，将预设同步信息和目标账户信息进行结合，比如，对预设同步信息和目标账户信息进行哈希计算，也就得到了验证信息。
206.需要说明的是，由于预设同步信息是验证终端与云服务器实时更新的，不同的时间段对应的预设同步信息的具体信息不同，因此，所生成的验证信息也具备实时性。
207.s304、在预设验证信息显示界面上显示验证信息，以使云服务器通过登录终端获得验证信息来完成目标账户的登录。
208.在本发明实施例中，验证终端获得了验证信息之后，通过该预设验证信息显示界面进行验证信息的显示，以使登录终端能够将该显示的验证信息输入至预设验证码显示界面，进而使云服务器通过登录终端获得验证信息来完成目标账户的登录。
209.需要说明的是，验证终端对目标账户对应的验证码进行一次扫描之后，就能够获取该账户的账户信息，从而周期性地(比如，30秒)与云服务器进行预设同步信息的同步，进而根据实时同步的预设同步信息与账户信息结合生成验证信息；也就是说，通过一次扫描就能够实现目标账户的多次登录。另外，借助验证终端所实现的多因子身份认证的安全控制方法，能够实现多个账户的登录，即验证终端可以记录和管理多个账户的双因子认证管理，方便用户的统一管理。
210.可以理解的是，验证终端通过与云服务器同步，根据实时同步的预设验证信息生成实时的验证信息，从而目标账户在登录云平台中的目标云设备时，是结合登录信息和实时生成的验证信息完成的登录，是一种通过动态双因子进行身份认证的方式，安全性高，从而提升了云平台的安全性。
211.实施例四
212.本发明实施例又提供了另一种安全控制方法，图6是本发明实施例提供的一种安全控制方法交互流程图，如图6所示，该安全控制方法包括：
213.s401、登录终端通过预设登录界面，获取账户信息和密码信息。
214.需要说明的是，s401实现过程的描述与实施例二中s201实现过程的描述一致，本发明实施例在此不再赘述。
215.s402、登录终端向云服务器发送携带账户信息和密码信息的登录请求；登录请求用于请求登录至目标云设备。
216.需要说明的是，s402实现过程的描述与实施例二中s202实现过程的描述一致，本发明实施例在此不再赘述。
217.s403、云服务器接收登录终端针对目标云设备的登录请求；从登录请求中获取登录信息，得到账户信息和密码信息。
218.需要说明的是，s403实现过程的描述与实施例一中s101实现过程的描述一致，本发明实施例在此不再赘述。
219.s404、云服务器在账户信息和密码信息验证通过时，确定目标账户，并根据目标账户向登录终端发送验证码。
220.需要说明的是，s404实现过程的描述与实施例一中s102实现过程的描述一致，本发明实施例在此不再赘述。
221.相应地，登录终端也就接收到了云服务器针对登录请求返回的验证码。
222.s405、登录终端在预设验证码显示界面上显示验证码。
223.需要说明的是，登录终端在预设验证码显示界面上显示验证码，以使验证终端通过显示的验证码生成验证信息；s405实现过程的描述与实施例二中s204实现过程的描述一致，本发明实施例在此不再赘述。
224.s406、验证终端扫描登录终端中显示的验证码，得到目标账户信息。
225.需要说明的是，s406实现过程的描述与实施例三中s301实现过程的描述一致，本发明实施例在此不再赘述。
226.s407、验证终端获取与云服务器对应的预设同步信息，并向云服务器发送预设同步信息。
227.需要说明的是，s407实现过程的描述与实施例三中s302实现过程的描述一致，本发明实施例在此不再赘述。
228.s408、验证终端根据预设同步信息和目标账户信息生成验证信息。
229.需要说明的是，s408实现过程的描述与实施例三中s303实现过程的描述一致，本发明实施例在此不再赘述。
230.s409、验证终端在预设验证信息显示界面上显示验证信息。
231.需要说明的是，验证终端在预设验证信息显示界面上显示验证信息，以使云服务器通过登录终端获得验证信息来完成目标账户的登录；s409实现过程的描述与实施例三中s304实现过程的描述一致，本发明实施例在此不再赘述。
232.s410、登录终端通过预设验证码显示界面获取针对显示的验证码所对应的验证信息，并将验证信息发送至云服务器。
233.需要说明的是，登录终端将验证信息发送至云服务器，以使云服务器根据验证信息完成目标账户的登录；s410实现过程的描述与实施例二中s205实现过程的描述一致，本发明实施例在此不再赘述。
234.s411、云服务器接收验证终端针对所述验证码发送的预设同步信息，并根据预设同步信息和验证码生成验证基准信息。
235.需要说明的是，验证终端用于扫描登录终端中显示的验证码；s411实现过程的描述与实施例一中s103实现过程的描述一致，本发明实施例在此不再赘述。
236.s412、云服务器接收登录终端针对验证码返回的验证信息，并在验证信息与验证基准信息匹配时，确定目标账户登录成功。
237.需要说明的是，s412实现过程的描述与实施例一中s104实现过程的描述一致，本发明实施例在此不再赘述。
238.可以理解的是，本发明实施例通过验证码扫描，实现与验证终端(手机app)结合进行实时双因子认证，提高了云服务器的登录安全性；且能够适用于多账户身份验证，解决了usb-key令牌的单账户身份验证的局限性。另外，本发明实施例中云服务器所进行的安全控制是多维度的，即能在云设备穿件过程中实现自动化进行检查与加固，还能在使用过程中进行检查与加固配置，有效提升了云服务器的安全性。以及，通过对预设账户的权限进行划分，对不同的用户进行细粒度划分，形成权限数据库，授权用户只能访问授权数据，非授权用户没有权限访问数据，达到的保护云服务器资产的目的。
239.实施例五
240.基于实施例一同一发明构思，本发明实施例提供了一种云服务器200，图7为本发明实施例提供的一种云服务器的结构示意图一，如图7所示，该云服务器200包括：
241.登录信息获取模块201，用于接收登录终端针对目标云设备的登录请求；从所述登录请求中获取登录信息，得到账户信息和密码信息；所述登录请求用于请求登录至所述目标云设备；
242.信息验证模块202，用于在所述账户信息和所述密码信息验证通过时，确定目标账户，并根据所述目标账户向所述登录终端发送验证码；
243.基准信息获取模块203，用于接收验证终端针对所述验证码发送的预设同步信息，并根据所述预设同步信息和所述验证码生成验证基准信息；所述验证终端用于扫描所述登录终端中显示的验证码；
244.登录模块204，用于接收所述登录终端针对所述验证码返回的验证信息，并在所述验证信息与所述验证基准信息匹配时，确定所述目标账户登录成功。
245.进一步地，所述云服务器200还包括创建模块205，用于当接收到云设备创建请求时，响应所述云设备创建请求，获取待创建操作信息和目标安全控制信息；其中，所述云设备创建请求用于请求创建云设备，所述待创建操作信息为用于创建云设备的信息，所述目标安全控制信息为用于对创建的云设备进行安全控制的信息；将所述目标安全控制信息集成至所述待创建操作信息中，得到目标创建操作信息；执行所述目标创建操作信息，从而实现对所述待创建操作信息和所述目标安全控制信息的执行，得到初始云设备；建立与所述初始云设备的网络连接，得到所述目标云设备。
246.进一步地，所述创建模块205，还用于响应所述云设备创建请求，从预设操作信息库中获取所述待创建操作信息；所述预设操作信息库为用于创建云设备的信息所构成的集合；获取所述待创建操作信息的属性信息，得到操作属性信息；根据所述操作属性信息，从预设安全控制信息与属性信息对应关系中确定所对应的安全控制信息，得到所述基础安全控制信息，从而得到所述目标安全控制信息；其中，所述预设安全控制信息与属性信息对应关系为预先设置的用于创建云设备的信息所对应的属性信息所构成的集合。
247.进一步地，所述创建模块205，还用于执行所述目标创建操作信息，从而实现对所述待创建操作信息和所述目标安全控制信息的执行，得到创建结果；从所述创建结果中获取待加固信息和加固信息；所述待加固信息为所述待创建操作信息中存在的安全弱项和漏洞信息，所述加固信息为对所述待加固信息进行处理的解决信息；依据所述加固信息对所述待加固信息进行加固处理，得到加固后的云设备，并对所述加固后的云设备进行功能检测，得到功能检测结果；当所述功能检测结果表征所述加固后的云设备无法实现预设功能时，执行预设还原信息，得到所述初始云设备；所述预设还原信息用于将云设备还原至加固处理之前的云设备；当所述功能检测结果表征所述加固后的云设备对应的功能与所述预设功能匹配时，将所述加固后的云设备作为所述初始云设备。
248.进一步地，所述基础安全控制信息为身份认证信息、密码复杂度信息、预设服务启动信息、安全配置信息、对象管理信息、登录管理信息、口令管理信息和转发管理信息中的至少一种。
249.进一步地，所述目标安全控制信息中还包括修复安全控制信息，所述修复安全控制信息用于对所述目标云设备进行安全控制；所述云服务器200还包括修复模块206，用于在预设安全控制周期到达时，利用所述修复安全控制信息，对所述目标云设备进行检测，得到检测结果；当所述检测结果表征检测未通过时，从所述检测结果中获取待修复信息与修复信息；所述待修复信息为所述目标云设备中存在的安全弱项和漏洞信息，所述修复信息为对所述待修复信息进行修复的信息；执行所述修复信息，对所述待修复信息进行修复，完成对所述目标云设备的检测。
250.进一步地，所述修复模块206，还用于获取所述目标云设备的备份信息，得到目标备份云设备；在所述目标备份云设备上执行所述修复安全控制信息，得到优化后的目标备份云设备；对所述优化后的目标备份云设备进行测试，得到测试结果；
251.相应地，所述修复模块206，还用于在所述测试结果表征测试通过时，执行所述修复信息，对所述待修复信息进行修复，完成对所述目标云设备的检测。
252.进一步地，所述云服务器200还包括权限模块207，用于从预设账户与权限信息对应关系中，确定与所述目标账户对应的目标权限信息；所述预设账户与权限信息对应关系为各账户与各账户对应的权限信息所构成的集合；根据所述目标权限信息，控制所述目标账户对预设云数据的访问。
253.进一步地，所述预设账户与权限信息对应关系中的账户包括服务管理账户、项目管理账户和普通账户中的至少一种，所述预设账户与权限信息对应关系中的权限信息包括操作对象、操作时效和操作策略中的至少一种。
254.进一步地，所述云服务器200还包括日志模块208，用于获取预设账户的操作记录，得到操作日志信息；所述目标账户属于所述预设账户；从所述操作日志信息中提取错误日志，得到目标错误日志信息；对所述目标错误日志信息依据级别进行分类，得到错误日志分类结果；依据级别的预设优先级对所述错误日志分类结果中的错误日志进行处理，以对所述目标云设备进行优化。
255.需要说明的是，在实际应用中，上述登录信息获取模块201、信息验证模块202、基准信息获取模块203、登录模块204、创建模块205、修复模块206、权限模块207和日志模块208可由位于云服务器200上的第一处理器209实现，具体为cpu(central processing unit，中央处理器)、mpu(microprocessor unit，微处理器)、dsp(digital signal processing，数字信号处理器)或现场可编程门阵列(fpga，field programmable gate array)等实现。
256.本发明实施例还提供了一种云服务器200，如图8所示，所述云服务器200包括：第一处理器209、第一存储器210和第一通信总线211，所述第一存储器210通过所述第一通信总线211与所述第一处理器209进行通信，所述第一存储器210存储所述第一处理器209可执行的程序，当所述程序被执行时，通过所述第一处理器209执行如实施例一所述的安全控制方法。
257.在实际应用中，上述第一存储器210可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，ram)；或者非易失性存储器(non-volatile memory)，例如只读存储器(read-only memory，rom)，快闪存储器(flash memory)，硬盘(hard disk drive，hdd)或固态硬盘(solid-state drive，ssd)；或者上述种类的存储器的组合，并向第一处理器209提供指令和数据。
258.本发明实施例提供了一种计算机可读存储介质，其上存储有程序，所述程序被第一处理器209执行时实现如实施例一所述的安全控制方法。
259.可以理解的是，本发明实施例通过验证码扫描，实现与验证终端(手机app)结合进行实时双因子认证，提高了云服务器的登录安全性；且能够适用于多账户身份验证，解决了usb-key令牌的单账户身份验证的局限性。另外，本发明实施例中云服务器所进行的安全控制是多维度的，即能够在云设备创建过程中实现检查与加固的自动化，还能在使用过程中
进行检查与加固配置，有效提升了云服务器的安全性。以及，通过对预设账户的权限进行划分，对不同的用户进行细粒度划分，形成权限数据库，授权用户只能访问授权数据，非授权用户没有权限访问数据，达到了保护云服务器资产的目的。
260.实施例六
261.基于实施例二同一发明构思，本发明实施例提供了一种登录终端500，图9为本发明实施例提供的一种登录终端的结构示意图一，如图9所示，该登录终端500包括：
262.账户密码模块501，用于通过预设登录界面，获取账户信息和密码信息；
263.登录请求模块502，用于向云服务器发送携带所述账户信息和所述密码信息的登录请求；所述登录请求用于请求登录至目标云设备；
264.接收验证模块503，用于接收所述云服务器针对所述登录请求返回的验证码；
265.验证码显示模块504，用于在预设验证码显示界面上显示所述验证码，以使验证终端通过显示的验证码生成验证信息；
266.验证信息模块505，用于通过所述预设验证码显示界面获取针对所述显示的验证码所对应的所述验证信息，并将所述验证信息发送至所述云服务器，以使所述云服务器根据所述验证信息完成目标账户的登录。
267.需要说明的是，在实际应用中，上述账户密码模块501、登录请求模块502、接收验证模块503和验证信息模块505可由位于登录终端500上的第二处理器506实现，具体为cpu、mpu、dsp或现场可编程门阵列等实现；上述验证码显示模块504可以第一显示器507实现。
268.本发明实施例还提供了一种登录终端500，如图10所示，所述登录终端500包括：第二处理器506、第一显示器507、第二存储器508和第二通信总线509，所述第二存储器508通过所述第二通信总线509与所述第二处理器506进行通信，所述第二存储器508存储所述第二处理器506可执行的程序，当所述程序被执行时，通过所述第二处理器506执行如实施例二所述的安全控制方法。
269.在实际应用中，上述第二存储器508可以是易失性存储器，例如随机存取存储器；或者非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘；或者上述种类的存储器的组合，并向第二处理器506提供指令和数据。
270.本发明实施例提供了一种计算机可读存储介质，其上存储有程序，所述程序被第二处理器506执行时实现如实施例二所述的安全控制方法。
271.可以理解的是，登录终端通过与验证终端结合实现目标账户登录云服务器中目标云设备的双因子身份认证，是一种动态进行身份认证登录的多因素认证机制，提升了云服务器的登录安全性。
272.实施例七
273.基于实施例三同一发明构思，本发明实施例提供了一种验证终端600，图11为本发明实施例提供的一种验证终端的结构示意图一，如图11所示，该验证终端600包括：
274.扫描模块601，用于扫描登录终端中显示的验证码，得到目标账户信息；
275.获取模块602，用于获取与云服务器对应的预设同步信息，并向所述云服务器发送所述预设同步信息；
276.验证生成模块603，用于根据所述预设同步信息和所述目标账户信息生成验证信息；
277.验证显示模块604，用于在预设验证信息显示界面上显示所述验证信息，以使所述云服务器通过所述登录终端获得所述验证信息来完成目标账户的登录。
278.需要说明的是，在实际应用中，上述扫描模块601、获取模块602和验证生成模块603可由位于验证终端600上的第三处理器605实现，具体为cpu、mpu、dsp或现场可编程门阵列等实现；上述验证显示模块604可由验证终端600上的第二显示器606实现。
279.本发明实施例还提供了一种验证终端600，如图12所示，所述验证终端600包括：第三处理器605、第二显示器606、第三存储器607和第三通信总线608，所述第二显示器606和所述第三存储器607通过所述第三通信总线608与第三处理器605进行通信，第三存储器607存储第三处理器605可执行的程序，当所述程序被执行时，通过第三处理器605执行如实施例三所述的安全控制方法。
280.在实际应用中，上述第三存储器607可以是易失性存储器，例如随机存取存储器；或者非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘；或者上述种类的存储器的组合，并向第三处理器605提供指令和数据。
281.本发明实施例提供了一种计算机可读存储介质，其上存储有程序，所述程序被第三处理器605执行时实现如实施例三所述的安全控制方法。
282.可以理解的是，验证终端通过与云服务器同步，根据实时同步的预设验证信息生成实时的验证信息，从而目标账户在登录云平台中的目标云设备时，是结合登录信息和实时生成的验证信息完成的登录，是一种通过动态双因子进行身份认证的方式，安全性高，从而提升了云平台的安全性。
283.在本发明所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
284.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
285.另外，在本发明各实施例中的各功能单元可以全部集成在一个处理模块中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
286.本发明所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。
287.本发明所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以
任意组合，得到新的方法实施例或设备实施例。
288.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。