一种云环境下安全认证资源分配和管理系统的制作方法

1.本发明涉及云计算信息安全认证技术领域，具体地，涉及一种云环境下安全认证资源分配和管理系统。


背景技术：

2.paas平台即(platform-as-a-service：平台即服务)，把应用服务的运行和开发环境作为一种服务提供的商业模式。paas是介于iaas和saas模型之间的一种云服务，它提供了应用程序的开发和运行环境。paas为开发人员提供了构建应用程序的环境。借助于paas服务，用户无须过多的考虑底层硬件，并可以方便的使用很多在构建应用时的必要服务。由于使用paas产品需要将数据放在云计算服务器上，因而存在关键数据泄露的安全风险，企业数据有可能成为网络攻击的受害者。因而在云环境下，安全认证问题是各个用户应用系统必须考虑的。如何能将安全认证资源在云环境下统一分配和管理，并能满足个性化的安全认证服务需求，成为亟须解决的问题。


技术实现要素：

3.本发明的目的在于提供一种云环境下安全认证资源分配和管理系统，以解决上述背景技术中提出的问题。
4.为实现上述目的，本发明提供如下技术方案：
5.一种云环境下安全认证资源分配和管理系统，包括安全认证设备资源池，云安全认证paas平台；所述云安全认证paas平台基于可信用户设备的物理地址实现对用户的身份认证；其实现过程具体包括如下步骤：
6.s1.将安全认证设备资源池化，并通过云安全认证paas平台实现安全认证资源的统一分配和管理，为用户应用系统提供高效、灵活的安全认证服务；
7.s2.通过云安全认证paas平台记录可信用户设备的物理地址，设置资源调用权限及优先级，并根据用户申请生成用户密码；
8.s3.用户通过可信用户设备上搭载的用户应用系统，并输入用户密码，通过网络生成包括可信用户设备物理地址、用户认证信息在内的报文，向所述云安全认证paas平台申请调用安全认证资源；
9.s4.云安全认证paas平台根据用户可信设备资源调用参数、权限及优先级，结合当前的资源池运行状况，将安全认证资源在所有需要调用的用户中弹性分配；
10.s5.用户应用系统根据用户操作向云安全认证paas平台调取安全认证资源，由安全认证资源服务实现安全认证，并将结果向用户系统反馈；
11.s6.云安全认证paas平台回收安全认证资源。
12.与现有技术相比，本发明的有益效果是：本发明所述的云环境下安全认证资源分配和管理系统，通过云安全认证paas平台对用户硬件进行物理地址的可信备案，并通过对用户权限、访问密码、优先级的设置，实现企业对用户应用系统调用安全认证资源的弹性调
配、访问控制以及与应用系统的集成，达到最优化安全认证资源的分配和管理，建立企业安全资源认证的秩序，确保对关键数据用户安全认证资源的优先保障。
附图说明
13.图1为本发明实施例的结构示意图。
具体实施方式
14.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
15.参照图1所示，一种云环境下安全认证资源分配和管理系统，包括安全认证设备资源池，云安全认证paas平台；所述云安全认证paas平台基于可信用户设备的物理地址实现对用户的身份认证；其实现过程具体包括如下步骤：
16.s1.将安全认证设备资源池化，并通过云安全认证paas平台实现安全认证资源的统一分配和管理，为用户应用系统提供高效、灵活的安全认证服务；
17.s2.通过云安全认证paas平台记录可信用户设备的物理地址，设置资源调用权限及优先级，并根据用户申请生成用户密码；
18.s3.用户通过可信用户设备上搭载的用户应用系统，并输入用户密码，通过网络生成包括可信用户设备物理地址、用户认证信息在内的报文，向所述云安全认证paas平台申请调用安全认证资源；
19.s4.云安全认证paas平台根据用户可信设备资源调用参数、权限及优先级，结合当前的资源池运行状况，将安全认证资源在所有需要调用的用户中弹性分配；
20.s5.用户应用系统根据用户操作向云安全认证paas平台调取安全认证资源，由安全认证资源服务实现安全认证，并将结果向用户系统反馈；
21.s6.云安全认证paas平台回收安全认证资源。
22.这里，可信用户设备采用配置有专门安全芯片的智能手机、电脑，其上安装有用户应用系统。
23.云安全认证paas平台通过采集可信用户设备的物理地址、分配用户资源调用权限及优先级，一个用户可信平台可设置多个不同权限及优先级的账号，每个账号配置对应的密码，以实现不同工作人员对安全认证资源的调用权限。
24.为更好地实现对安全认证资源的弹性分配，进一步的，云安全认证paas平台将各安全认证设备设为若干个单元格，一个用户应用系统根据安全认证服务所需要的算力的大小，从若干个安全认证设备调用单元格，一个安全认证设备最多调用一个单元格。这里，以三级权限及优先级为例。对权限及优先级高的安全认证服务，分配多的单元格，如，一级权限及优先级的算力组分配2个单元格，二级权限及优先级的算力组分配4个单元格，三级权限及优先级的算力组分配6个单元格，以确保在某个安全认证设备故障时，仍有足够算力保障权限及优先级较高的安全认证服务优先完成。
25.针对若干安全认证设备故障的情况，进一步的，云安全认证paas平台在检测到安
全认证设备故障时，将故障安全认证设备的安全认证资源的访问转向算力组内其余的安全认证设备单元格，获取故障安全认证设备所对应资源的密钥进行备份，并恢复到另一空闲安全认证设备的单元格中，使算力组的算力得以恢复；云安全认证paas平台修改用户与安全认证资源对应列表，保证用户可以通过管理端口访问恢复的安全认证资源。
26.进一步的，云安全认证paas平台在检测到安全认证资源不足以满足需求时，对较低权限及优先级的安全认证服务请求进行等待操作，待安全认证资源释放后再调配给较低权限及优先级的用户应用系统。
27.这样，本实施例将权限管理基础设施服务、加解密服务、签名验签服务、时间戳服务等安全认证资源在云环境下统一实施权限及优先级的弹性分配和管理，有效的解决了云计算环境中各类安全认证资源的分配和管理问题；通过提供paas服务实现安全认证资源池中动态弹性分配资源，具有更高的安全性和可靠性；根据云端用户的个性化需求，按需分配云安全认证资源，提供云环境下各类应用系统用户身份认证，明确认定系统中产生的各方责任，解决了云服务中出现的安全认证问题，保证了云数据机密性、完整性，提供了更加高效、灵活的个性化安全认证服务，并且保证了认证资源自身的安全性；采用不同权限及优先权多设备保障模式，并且可以在运行中自动切换，保证了安全认证资源的高可用性；极大地提高了用户应用系统安全认证操作的效率。
28.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。