本發(fā)明涉及云平臺(tái)技術(shù)領(lǐng)域，特別涉及一種云平臺(tái)身份識(shí)別的方法。

背景技術(shù)：

近些年來，隨著網(wǎng)絡(luò)的發(fā)展，社交網(wǎng)絡(luò)、電子商務(wù)、數(shù)字城市和在線視頻等躍然興起。這些新興的技術(shù)需要有大存儲(chǔ)和高性能服務(wù)器的支持，但是對(duì)這種服務(wù)器的維護(hù)需要大量的人力和昂貴的物力。未來解決這一問題，2006年google、amazon等計(jì)算機(jī)網(wǎng)絡(luò)巨頭，提出來云計(jì)算的構(gòu)想。云計(jì)算作為信息產(chǎn)業(yè)的一個(gè)重大創(chuàng)新，已經(jīng)越來越多的收到社會(huì)和學(xué)術(shù)各界的認(rèn)同和廣泛關(guān)注。但是隨之而來的信息安全隱患的問題和對(duì)服務(wù)器的高運(yùn)行負(fù)荷能力的要求也不容忽視。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的旨在至少解決所述技術(shù)缺陷之一。

為此，本發(fā)明的目的在于提供了一種云平臺(tái)身份識(shí)別的方法，對(duì)用戶的每次請(qǐng)求，都會(huì)進(jìn)行訪問頻次統(tǒng)計(jì)，對(duì)惡意的超高頻訪問進(jìn)行攔截，防止負(fù)載攻擊。

為了實(shí)現(xiàn)上述目的，本發(fā)明提供一種云平臺(tái)身份識(shí)別的方法，包括以下步驟：

步驟s1，訪問系統(tǒng)前，必須進(jìn)行身份認(rèn)證；

步驟s2，用戶的登錄采用單點(diǎn)登錄方式，用戶輸入用戶名和密碼后，傳輸過程中采用rsa公鑰對(duì)用戶名、密碼進(jìn)行加密，向服務(wù)器端發(fā)送請(qǐng)求；

步驟s3，服務(wù)端接受到登錄請(qǐng)求，采用rsa私鑰對(duì)用戶名、密碼進(jìn)行解密，再采用sha256算法，同時(shí)采用隨機(jī)數(shù)加“鹽”策略存放于數(shù)據(jù)庫中；

步驟s4，驗(yàn)證用戶名、密碼；

如果用戶名和密碼正確，則記錄登錄日志；

如果用戶名和密碼不正確，則記錄登錄失敗日志，如果當(dāng)前用戶連續(xù)錯(cuò)誤超過一定次數(shù)，則鎖定當(dāng)前用戶，并提示當(dāng)前用戶已鎖定，需要管理員解鎖，如果當(dāng)前用戶連續(xù)錯(cuò)誤沒有超過一定次數(shù)，則判斷當(dāng)前ip連續(xù)錯(cuò)誤是否超過一定次數(shù)，如果當(dāng)前ip連續(xù)錯(cuò)誤超過一定次數(shù)，則鎖定當(dāng)前ip，提示當(dāng)前用戶已鎖定，需要管理員解鎖，如果當(dāng)前ip連續(xù)錯(cuò)誤沒有超過一定次數(shù)，則提示用戶、密碼錯(cuò)誤，返回步驟s2中重新輸入用戶名和密碼；

步驟s5，身份驗(yàn)證結(jié)束；

步驟s6，用戶訪問系統(tǒng)，其中，系統(tǒng)基于角色的訪問控制，通過給角色授權(quán)，用戶綁定角色的機(jī)制確定用戶是否具有訪問權(quán)，系統(tǒng)管理員對(duì)用戶設(shè)定功能權(quán)限與數(shù)據(jù)權(quán)限，功能權(quán)限可管控用戶請(qǐng)求本系統(tǒng)的所有請(qǐng)求，數(shù)據(jù)權(quán)限可限制用戶能訪問到的數(shù)據(jù)。

進(jìn)一步的，系統(tǒng)采用摘要機(jī)制對(duì)提交數(shù)據(jù)的進(jìn)行摘要認(rèn)證，防止的數(shù)據(jù)的篡改與丟失；采用加密、數(shù)字簽名與電子證書的保證系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程與存儲(chǔ)過程中完整性不受到破壞，檢測(cè)到完整性錯(cuò)誤時(shí)，根據(jù)采用的完整性防護(hù)措施對(duì)信息進(jìn)行恢復(fù)；統(tǒng)可通過級(jí)聯(lián)刪除的配置，避免臟數(shù)據(jù)的產(chǎn)生。

進(jìn)一步的，用戶對(duì)系統(tǒng)敏感資源的訪問，可配置審計(jì)日志記錄，審計(jì)日志記錄至少包括ip、時(shí)間、操作、數(shù)據(jù)，記錄用戶執(zhí)行的sql語句，便于審計(jì)分析和對(duì)審計(jì)日志定期進(jìn)行歸檔處理，保證一定時(shí)間范圍內(nèi)的審計(jì)記錄不被刪除、修改或覆蓋對(duì)于需要追溯的數(shù)據(jù)，可采用邏輯刪除，保留存檔。

進(jìn)一步的，用戶對(duì)系統(tǒng)敏感資源的訪問中，用戶對(duì)敏感數(shù)據(jù)的操作請(qǐng)求，采用了token驗(yàn)證機(jī)制。

進(jìn)一步的，系統(tǒng)管理員可以鎖定或解鎖用戶，被鎖定的用戶禁止訪問系統(tǒng)。

進(jìn)一步的，在步驟s4中，對(duì)當(dāng)前ip連續(xù)錯(cuò)誤是否超過一定次數(shù)進(jìn)行判斷時(shí)，首先在系統(tǒng)內(nèi)設(shè)置ip白名單、黑名單過濾，然后對(duì)首先當(dāng)前ip進(jìn)行判斷，如果當(dāng)前ip是ip白名單、黑名單過濾內(nèi)中的ip，則對(duì)當(dāng)前ip連續(xù)錯(cuò)誤是否超過一定次數(shù)進(jìn)行判斷，如果當(dāng)前ip不是ip白名單、黑名單過濾內(nèi)的ip，則鎖定當(dāng)前ip。

本發(fā)明采用對(duì)用戶輸入的用戶名和密碼采用rsa非對(duì)稱加密(公私鑰)，進(jìn)行數(shù)據(jù)加密，保證每次請(qǐng)求的密文不會(huì)重復(fù)，避免了明文傳輸密碼與暴力破解，然后采用sha256算法，同時(shí)采用隨機(jī)數(shù)加“鹽”策略存放于數(shù)據(jù)庫中，保證了即使相同數(shù)據(jù)，加密后也不重復(fù)，也不可逆向運(yùn)算，大大提高用戶身份鑒別的安全性。

本發(fā)明對(duì)用戶的每次請(qǐng)求，都會(huì)對(duì)該用戶進(jìn)行訪問頻次統(tǒng)計(jì)，對(duì)惡意的超高頻訪問進(jìn)行攔截，防止負(fù)載攻擊，還會(huì)根據(jù)登錄失敗的次數(shù)判斷是否出現(xiàn)驗(yàn)證碼，增加惡意用戶暴力破解登錄的難度，對(duì)用戶對(duì)敏感數(shù)據(jù)的操作請(qǐng)求，采用了token驗(yàn)證機(jī)制，防止跨域腳本攻擊。

附圖說明

本發(fā)明的上述和/或附加的方面和優(yōu)點(diǎn)從結(jié)合下面附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解，其中：

圖1為本發(fā)明的主體流程圖；

圖2為本發(fā)明的身份認(rèn)證流程圖。

具體實(shí)施方式

下面詳細(xì)描述本發(fā)明的實(shí)施例，所述實(shí)施例的示例在附圖中示出，其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實(shí)施例是示例性的，旨在用于解釋本發(fā)明，而不能理解為對(duì)本發(fā)明的限制。

下面結(jié)合具體實(shí)施方式對(duì)本發(fā)明作詳細(xì)說明。

如圖1-2所示，本發(fā)明提供的云平臺(tái)身份識(shí)別的方法，包括以下步驟：

步驟s1，訪問系統(tǒng)前，必須進(jìn)行身份認(rèn)證；

步驟s2，用戶的登錄采用單點(diǎn)登錄方式，用戶輸入用戶名和密碼后，傳輸過程中采用rsa(非對(duì)稱加密)公鑰對(duì)用戶名、密碼進(jìn)行加密，向服務(wù)器端發(fā)送請(qǐng)求；

步驟s3，服務(wù)端接受到登錄請(qǐng)求，采用rsa私鑰對(duì)用戶名、密碼進(jìn)行解密，再采用sha256算法，同時(shí)采用隨機(jī)數(shù)加“鹽”策略存放于數(shù)據(jù)庫中，保證了即使相同數(shù)據(jù)，加密后也不重復(fù)，也不可逆向運(yùn)算。

此外，用戶的密碼只有管理員與本人可以修改；登錄時(shí)，先對(duì)報(bào)文進(jìn)行sha256加密，再通過獲取的公鑰加密傳輸?shù)胶蠖藨?yīng)用系統(tǒng)，保證每次請(qǐng)求的密文不會(huì)重復(fù)，避免了明文傳輸密碼與暴力破解；

步驟s4，驗(yàn)證用戶名、密碼。

如果用戶名和密碼正確，則記錄登錄日志；用戶每次登錄都會(huì)記錄到登錄日志中，連續(xù)失敗多次，該用戶會(huì)被鎖定，直到管理員解鎖或到達(dá)系統(tǒng)自動(dòng)解鎖時(shí)間后才能訪問系統(tǒng)。

如果用戶名和密碼不正確，則記錄登錄失敗日志，如果當(dāng)前用戶連續(xù)錯(cuò)誤超過一定次數(shù)，則鎖定當(dāng)前用戶，并提示當(dāng)前用戶已鎖定，需要管理員解鎖，如果當(dāng)前用戶連續(xù)錯(cuò)誤沒有超過一定次數(shù)，則判斷當(dāng)前ip連續(xù)錯(cuò)誤是否超過一定次數(shù)，如果當(dāng)前ip連續(xù)錯(cuò)誤超過一定次數(shù)，則鎖定當(dāng)前ip，提示當(dāng)前用戶已鎖定，需要管理員解鎖，如果當(dāng)前ip連續(xù)錯(cuò)誤沒有超過一定次數(shù)，則提示用戶、密碼錯(cuò)誤，返回步驟s2中重新輸入用戶名和密碼。

對(duì)當(dāng)前ip連續(xù)錯(cuò)誤是否超過一定次數(shù)進(jìn)行判斷時(shí)，首先在系統(tǒng)內(nèi)設(shè)置ip白名單、黑名單過濾，然后對(duì)首先當(dāng)前ip進(jìn)行判斷，如果當(dāng)前ip是ip白名單、黑名單過濾內(nèi)中的ip，則對(duì)當(dāng)前ip連續(xù)錯(cuò)誤是否超過一定次數(shù)進(jìn)行判斷，如果當(dāng)前ip不是ip白名單、黑名單過濾內(nèi)的ip，則鎖定當(dāng)前ip。用戶提交數(shù)據(jù)檢測(cè)，過濾特殊標(biāo)記字符，防止xss攻擊

移動(dòng)端訪問時(shí)，需要預(yù)先注冊(cè)移動(dòng)設(shè)備信息到系統(tǒng)中，管理員可方便的對(duì)訪問系統(tǒng)的設(shè)備進(jìn)行監(jiān)控和限制。

步驟s5，身份驗(yàn)證結(jié)束；

步驟s6，用戶訪問系統(tǒng)，其中，系統(tǒng)基于角色的訪問控制(rbac)，通過給角色授權(quán)，角色基于最小權(quán)限原則分配，分級(jí)管理權(quán)限，用戶綁定角色的機(jī)制確定用戶是否具有訪問權(quán)，系統(tǒng)管理員對(duì)用戶設(shè)定功能權(quán)限與數(shù)據(jù)權(quán)限，功能權(quán)限可管控用戶請(qǐng)求本系統(tǒng)的所有請(qǐng)求，數(shù)據(jù)權(quán)限可限制用戶能訪問到的數(shù)據(jù)，系統(tǒng)提供了靈活的功能權(quán)限、數(shù)據(jù)權(quán)限以及部門權(quán)限的配置界面。只有系統(tǒng)管理員能分配權(quán)限，防止了普通用戶進(jìn)行提權(quán)訪問，管理權(quán)限與業(yè)務(wù)權(quán)限分離。不同機(jī)構(gòu)與用戶分配不同的角色。如用戶在瀏覽器中訪問無權(quán)模塊，系統(tǒng)提示無權(quán)限訪問，該用戶無法訪問該模塊。

系統(tǒng)采用摘要機(jī)制對(duì)提交數(shù)據(jù)的進(jìn)行摘要認(rèn)證，防止的數(shù)據(jù)的篡改與丟失；采用加密、數(shù)字簽名與電子證書的保證系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程與存儲(chǔ)過程中完整性不受到破壞，檢測(cè)到完整性錯(cuò)誤時(shí)，根據(jù)采用的完整性防護(hù)措施對(duì)信息進(jìn)行恢復(fù)；統(tǒng)可通過級(jí)聯(lián)刪除的配置，避免臟數(shù)據(jù)的產(chǎn)生。

用戶對(duì)系統(tǒng)敏感資源的訪問，可配置審計(jì)日志記錄，審計(jì)日志記錄至少包括ip、時(shí)間、操作、數(shù)據(jù)，記錄用戶執(zhí)行的sql語句，便于審計(jì)分析和對(duì)審計(jì)日志定期進(jìn)行歸檔處理，保證一定時(shí)間范圍內(nèi)的審計(jì)記錄不被刪除、修改或覆蓋對(duì)于需要追溯的數(shù)據(jù)，可采用邏輯刪除，保留存檔。在數(shù)據(jù)持久化層，進(jìn)行sql注入攻擊的識(shí)別，更有效的防止sql注入。

用戶對(duì)系統(tǒng)敏感資源的訪問中，用戶對(duì)敏感數(shù)據(jù)的操作請(qǐng)求，采用了token驗(yàn)證機(jī)制。

系統(tǒng)管理員可以鎖定或解鎖用戶，被鎖定的用戶禁止訪問系統(tǒng)。

此外，系統(tǒng)在cookie中不存放敏感數(shù)據(jù)，且開啟cookie的httponly＝true，防止用戶端通過腳本讀取到cookie數(shù)據(jù)，還加長(zhǎng)sessionid長(zhǎng)度，防止對(duì)session的暴力猜測(cè)攻擊。

本發(fā)明采用對(duì)用戶輸入的用戶名和密碼采用rsa非對(duì)稱加密(公私鑰)，進(jìn)行數(shù)據(jù)加密，保證每次請(qǐng)求的密文不會(huì)重復(fù)，避免了明文傳輸密碼與暴力破解，然后采用sha256算法，同時(shí)采用隨機(jī)數(shù)加“鹽”策略存放于數(shù)據(jù)庫中，保證了即使相同數(shù)據(jù)，加密后也不重復(fù)，也不可逆向運(yùn)算，大大提高用戶身份鑒別的安全性。

本發(fā)明對(duì)用戶的每次請(qǐng)求，都會(huì)對(duì)該用戶進(jìn)行訪問頻次統(tǒng)計(jì)，對(duì)惡意的超高頻訪問進(jìn)行攔截，防止負(fù)載攻擊，還會(huì)根據(jù)登錄失敗的次數(shù)判斷是否出現(xiàn)驗(yàn)證碼，增加惡意用戶暴力破解登錄的難度，對(duì)用戶對(duì)敏感數(shù)據(jù)的操作請(qǐng)求，采用了token驗(yàn)證機(jī)制，防止跨域腳本攻擊。

盡管上面已經(jīng)示出和描述了本發(fā)明的實(shí)施例，可以理解的是，上述實(shí)施例是示例性的，不能理解為對(duì)本發(fā)明的限制，本領(lǐng)域的普通技術(shù)人員在不脫離本發(fā)明的原理和宗旨的情況下在本發(fā)明的范圍內(nèi)可以對(duì)上述實(shí)施例進(jìn)行變化、修改、替換和變型。本發(fā)明的范圍由所附權(quán)利要求極其等同限定。