本申請涉及云安全技術(shù)領(lǐng)域，具體涉及一種云主機服務(wù)權(quán)限控制方法，以及一種云主機服務(wù)權(quán)限控制裝置和系統(tǒng)。

背景技術(shù)：

電子交易網(wǎng)站上千差萬別的需求吸引了大量的ISV(Independent Software Vendors，軟件開發(fā)商)，使得電子商務(wù)相關(guān)的產(chǎn)品開發(fā)和應(yīng)用變得越來越豐富。

在電商云環(huán)境下，ISV購買云主機并使用交易網(wǎng)站的業(yè)務(wù)賬戶從交易網(wǎng)站開放平臺(例如TOP，Taobao Open Platform，淘寶開放平臺)獲取高價值的商業(yè)數(shù)據(jù)，然而在云主機上基于這些高價值商業(yè)數(shù)據(jù)部署服務(wù)，并對公網(wǎng)提供訪問時，使用的卻是服務(wù)自身的賬戶體系，相比于交易網(wǎng)站的業(yè)務(wù)賬戶，這些服務(wù)賬戶安全防護能力薄弱。

例如，對于遠程管理服務(wù)(Windows遠程桌面或Linux SSH)，黑客通過主機賬戶暴力破解或弱密碼嘗試等手段，可直接入侵至云主機內(nèi)部進行非法操作、盜取數(shù)據(jù)；對于網(wǎng)站后臺管理服務(wù)，網(wǎng)站賬戶體系同樣存在被破解的風(fēng)險，并且存在SQL(Structured Query Language，結(jié)構(gòu)化查詢語言)注入，XSS(Cross Site Scripting，跨站腳本攻擊)攻擊和文件上傳漏洞等各種Web攻擊威脅。

一旦云主機服務(wù)被黑客成功侵入，就存在數(shù)據(jù)泄漏的風(fēng)險，甚至?xí)h除遠程登陸日志，在進行破壞后無法追蹤痕跡；并且，由于服務(wù)賬戶與業(yè)務(wù)賬戶并無關(guān)聯(lián)，也會給案件排查造成困難。

目前，一般通過配置系統(tǒng)防火墻規(guī)則來解決主機安全問題，設(shè)置指定端口的服務(wù)只能被指定的IP地址訪問，客戶端使用已授權(quán)的IP地址向云主機發(fā)起請求，然后進行服務(wù)自身的賬戶體系認證，通過后可以正常使用服務(wù)。

該方案雖然縮小了受攻擊的范圍，但是并沒有增強云主機服務(wù)自身的賬戶體系安全性。并且，由于客戶端IP地址經(jīng)常會發(fā)生變化，多個客戶端也 可以共享同一個IP等原因，導(dǎo)致服務(wù)權(quán)限的控制靈活性不強，控制粒度也不夠細致。

技術(shù)實現(xiàn)要素：

鑒于上述問題，提出了本申請以便提供一種克服上述問題或者至少部分地解決上述問題的云主機服務(wù)的訪問控制方法以及相應(yīng)的云主機服務(wù)的訪問控制裝置和系統(tǒng)。

為了解決上述問題，本申請公開了一種云主機服務(wù)的訪問控制方法，用于認證服務(wù)器，包括：

接收客戶端發(fā)送的第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息；

對所述第一賬戶信息進行一次認證，在所述一次認證成功后，生成認證口令并發(fā)送到所述客戶端；

接收代理所述客戶端訪問所述云主機的代理服務(wù)器發(fā)送的第二認證請求，所述第二認證請求攜帶所述客戶端發(fā)送給所述代理服務(wù)器的所述認證口令；

對所述認證口令進行二次認證，并在所述二次認證成功后，通知所述代理服務(wù)器，以由所述代理服務(wù)器請求所述云主機對所述客戶端的第二賬戶信息進行三次認證，并所述三次認證成功后由所述客戶端通過所述代理服務(wù)器訪問所述云主機上部署的服務(wù)資源。

優(yōu)選地，所述第一賬戶信息為軟件供應(yīng)方在提供所述云主機的電子交易平臺中使用的業(yè)務(wù)賬戶信息；

所述第二賬戶信息為所述客戶端在訪問所述軟件供應(yīng)方在所述云主機上部署的服務(wù)時使用的服務(wù)賬戶信息。

優(yōu)選地，所述第一認證請求還攜帶所述服務(wù)賬戶信息以及請求訪問的云主機服務(wù)地址；

在所述生成認證口令并發(fā)送到所述客戶端之前，所述方法還包括：

從所述第一認證請求中提取權(quán)限信息，所述權(quán)限信息包括所述第一賬戶信息、第二賬戶信息和所述云主機服務(wù)地址；

將提取的權(quán)限信息與預(yù)置的權(quán)限記錄進行比對，并確定比對結(jié)果為一致，所述權(quán)限記錄包括多組對應(yīng)保存的第一賬戶信息、第二賬戶信息和云主機服務(wù)地址。

優(yōu)選地，所述客戶端與所述代理服務(wù)器之間基于代理協(xié)議在會話層進行通信。

優(yōu)選地，所述對所述認證口令進行二次認證包括：

判斷接收到所述認證口令的時間處于預(yù)設(shè)時間段內(nèi)，若是，則對所述認賬口令認證成功。

優(yōu)選地，在所述二次認證成功后，所述方法還包括：

設(shè)置所述認證口令失效。

本申請還提供了一種云主機服務(wù)的訪問控制方法，用于代理服務(wù)器，包括：

接收客戶端發(fā)送的第二賬戶信息和認證口令，所述認證口令由認證服務(wù)器對軟件供應(yīng)方的第一業(yè)務(wù)信息進行一次認證成功后發(fā)送給所述客戶端；

請求認證服務(wù)器對所述認證口令進行二次認證；

在接收到所述認證服務(wù)器二次認證成功的通知后，請求所述云主機對所述第二賬戶信息進行三次認證；

在所述三次認證成功后，代理所述客戶端對所述云主機上部署的服務(wù)資源的訪問。

優(yōu)選地，所述方法還包括：

生成記錄所述客戶端對所述云主機本次訪問的訪問日志；

所述代理所述客戶端對所述云主機上部署的服務(wù)資源的訪問包括：

向所述云主機發(fā)送服務(wù)資源訪問請求，所述服務(wù)資源訪問請求攜帶云主機服務(wù)地址以及所述代理服務(wù)器的IP地址；

接收所述云主機識別所述代理服務(wù)器的IP地址后針對所述服務(wù)資源訪問請求反饋的數(shù)據(jù)。

本申請還提供了一種云主機服務(wù)的訪問控制方法，用于客戶端，所述方法包括：

向認證服務(wù)器發(fā)送第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息；

接收所述認證服務(wù)器在對所述第一賬戶信息進行一次認證成功后反饋的認證口令；

將所述客戶端的第二賬戶信息和所述認證口令發(fā)送到代理服務(wù)器，以由所述代理服務(wù)器請求所述認證服務(wù)器對所述認證口令進行二次認證；

在接收到所述二次認證成功的通知后，請求所述云主機對所述第二賬戶信息進行三次認證；

在接收到所述三次認證成功的通知后，通過所述代理服務(wù)器訪問所述云主機上部署的服務(wù)資源。

本申請還提供了一種云主機服務(wù)的訪問控制裝置，部署于認證服務(wù)器，包括：

第一認證請求接收模塊，用于接收客戶端發(fā)送的第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息；

一次認證模塊，用于對所述第一賬戶信息進行一次認證；

認證口令生成模塊，用于在所述一次認證成功后，生成認證口令并發(fā)送到所述客戶端；

第二認證請求接收模塊，用于接收代理所述客戶端訪問所述云主機的代理服務(wù)器發(fā)送的第二認證請求，所述第二認證請求攜帶所述客戶端發(fā)送給所述代理服務(wù)器的所述認證口令；

二次認證模塊，用于對所述認證口令進行二次認證；

二次認證通知模塊，用于在所述二次認證成功后，通知所述代理服務(wù)器，以由所述代理服務(wù)器請求所述云主機對所述客戶端的第二賬戶信息進行三次認證，并所述三次認證成功后由所述客戶端通過所述代理服務(wù)器訪問所述云主機上部署的服務(wù)資源。

優(yōu)選地，所述第一賬戶信息為軟件供應(yīng)方在提供所述云主機的電子交易平臺中使用的業(yè)務(wù)賬戶信息；

所述第二賬戶信息為所述客戶端在訪問所述軟件供應(yīng)方在所述云主機 上部署的服務(wù)時使用的服務(wù)賬戶信息。

優(yōu)選地，所述第一認證請求還攜帶所述服務(wù)賬戶信息以及請求訪問的云主機服務(wù)地址；

所述裝置還包括：

權(quán)限信息提取模塊，用于在所述生成認證口令并發(fā)送到所述客戶端之前，從所述第一認證請求中提取權(quán)限信息，所述權(quán)限信息包括所述第一賬戶信息、第二賬戶信息和所述云主機服務(wù)地址；

權(quán)限比對模塊，用于將提取的權(quán)限信息與預(yù)置的權(quán)限記錄進行比對，并確定比對結(jié)果為一致，所述權(quán)限記錄包括多組對應(yīng)保存的第一賬戶信息、第二賬戶信息和云主機服務(wù)地址。

優(yōu)選地，所述客戶端與所述代理服務(wù)器之間基于代理協(xié)議在會話層進行通信。

優(yōu)選地，所述二次認證模塊，具體用于判斷接收到所述認證口令的時間處于預(yù)設(shè)時間段內(nèi)，若是，則對所述認賬口令認證成功。

優(yōu)選地，所述裝置還包括：

口令設(shè)置模塊，用于在所述二次認證成功后，設(shè)置所述認證口令失效。

本申請還提供了一種云主機服務(wù)的訪問控制裝置，部署于代理服務(wù)器，包括：

信息接收模塊，用于接收客戶端發(fā)送的第二賬戶信息和認證口令，所述認證口令由認證服務(wù)器對軟件供應(yīng)方的第一業(yè)務(wù)信息進行一次認證成功后發(fā)送給所述客戶端；

二次認證請求模塊，用于請求認證服務(wù)器對所述認證口令進行二次認證；

三次認證請求模塊，用于在接收到所述認證服務(wù)器二次認證成功的通知后，請求所述云主機對所述第二賬戶信息進行三次認證；

訪問代理模塊，用于在所述三次認證成功后，代理所述客戶端對所述云主機上部署的服務(wù)資源的訪問。

優(yōu)選地，所述裝置還包括：

日志生成模塊，用于生成記錄所述客戶端對所述云主機本次訪問的訪問日志；

所述訪問代理模塊包括：

請求發(fā)送子模塊，用于向所述云主機發(fā)送服務(wù)資源訪問請求，所述服務(wù)資源訪問請求攜帶云主機服務(wù)地址以及所述代理服務(wù)器的IP地址；

反饋數(shù)據(jù)接收子模塊，用于接收所述云主機識別所述代理服務(wù)器的IP地址后針對所述服務(wù)資源訪問請求反饋的數(shù)據(jù)。

本申請還提供了一種云主機服務(wù)的訪問控制裝置，部署于客戶端，包括：

第一請求發(fā)送模塊，用于向認證服務(wù)器發(fā)送第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息；

口令接收模塊，用于接收所述認證服務(wù)器在對所述第一賬戶信息進行一次認證成功后反饋的認證口令；

信息發(fā)送模塊，用于將所述客戶端的第二賬戶信息和所述認證口令發(fā)送到代理服務(wù)器，以由所述代理服務(wù)器請求所述認證服務(wù)器對所述認證口令進行二次認證；

三次認證請求模塊，用于在接收到所述二次認證成功的通知后，請求所述云主機對所述第二賬戶信息進行三次認證；

資源訪問模塊，用于在接收到所述三次認證成功的通知后，通過所述代理服務(wù)器訪問所述云主機上部署的服務(wù)資源。

本申請還提供了一種云主機服務(wù)的訪問控制系統(tǒng)，包括認證服務(wù)器、代理服務(wù)器、客戶端和云主機；

所述客戶端包括：

第一請求發(fā)送模塊，用于向認證服務(wù)器發(fā)送第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息；

信息發(fā)送模塊，用于將所述客戶端的第二賬戶信息和所述認證口令發(fā)送到代理服務(wù)器；

三次認證請求模塊，用于在接收到所述二次認證成功的通知后，通過所 述代理服務(wù)器請求所述云主機對所述第二賬戶信息進行三次認證；

資源訪問模塊，用于在接收到所述三次認證成功的通知后，請求訪問所述云主機上部署的服務(wù)資源；

所述代理服務(wù)器包括：

二次認證請求模塊，用于請求認證服務(wù)器對客戶端發(fā)送的認證口令進行二次認證；

訪問代理模塊，用于代理所述客戶端對所述云主機上部署的服務(wù)資源的訪問；

所述認證服務(wù)器包括：

一次認證模塊，用于根據(jù)所述客戶端發(fā)送的第一認證請求對所述第一賬戶信息進行一次認證；

認證口令生成模塊，用于在所述一次認證成功后，生成認證口令并發(fā)送到所述客戶端；

二次認證模塊，用于根據(jù)上述代理服務(wù)器發(fā)送的第二認證請求對所述認證口令進行二次認證；

所述云主機，用于對所述第二賬戶信息進行三次認證以及向所述客戶端提供服務(wù)資源的訪問。

與現(xiàn)有技術(shù)相比，本申請實施例包括以下優(yōu)點：

本申請的實施例中，由客戶端請求認證服務(wù)器對軟件供應(yīng)方的第一賬戶信息進行一次認證，客戶端將認證服務(wù)器一次認證成功后反饋的認證口令發(fā)送至代理服務(wù)器，由代理服務(wù)器請求認證服務(wù)器對認證口令進行二次認證，客戶端在二次認證成功后通過代理服務(wù)器請求云主機對其第二賬戶信息進行三次認證成功后，可通過代理服務(wù)器訪問云主機上部署的服務(wù)資源。依據(jù)本申請實施例，通過在云主機進行配置，由代理服務(wù)器訪問云主機，并且在代理服務(wù)器訪問云主機之前，經(jīng)過軟件供應(yīng)方的賬戶認證、口令認證以及客戶端的賬戶認證的三次認證，從而可以大大增強云主機服務(wù)以及云主機自身賬戶體系的安全性。

本申請實施例中，在認證服務(wù)器中配置多組對應(yīng)保存的第一賬戶信息、 第二賬戶信息和云主機服務(wù)地址，即針對一組第一賬戶信息和第二賬戶信息配置一個可訪問的云主機服務(wù)地址的訪問權(quán)限，并據(jù)此對第一認證請求中包括的權(quán)限信息進行認證，能夠?qū)崿F(xiàn)更加靈活和細粒度的權(quán)限控制。

本申請實施例中，由代理服務(wù)器在訪問云主機后記錄本次訪問對應(yīng)的訪問日志，可以能夠保證訪問日志的可靠性，防止數(shù)據(jù)泄漏的發(fā)生。

上述說明僅是本申請技術(shù)方案的概述，為了能夠更清楚了解本申請的技術(shù)手段，而可依照說明書的內(nèi)容予以實施，并且為了讓本申請的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本申請的具體實施方式。

附圖說明

通過閱讀下文優(yōu)選實施方式的詳細描述，各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的，而并不認為是對本申請的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中：

圖1示出了根據(jù)本申請實施例1的云主機服務(wù)的訪問控制方法的步驟流程圖；

圖2示出了根據(jù)本申請實施例的一個示例的云主機服務(wù)的訪問控制方法的示意圖；

圖3示出了根據(jù)本申請實施例2的云主機服務(wù)的訪問控制方法的步驟流程圖；

圖4示出了根據(jù)本申請實施例3的云主機服務(wù)的訪問控制方法的步驟流程圖；

圖5示出了根據(jù)本申請實施例1的云主機服務(wù)的訪問控制裝置的結(jié)構(gòu)框圖；

圖6示出了根據(jù)本申請實施例2的云主機服務(wù)的訪問控制裝置的結(jié)構(gòu)框圖；

圖7示出了根據(jù)本申請實施例3的云主機服務(wù)的訪問控制裝置的結(jié)構(gòu)框圖；

圖8示出了根據(jù)本申請實施例的云主機服務(wù)的訪問控制系統(tǒng)的結(jié)構(gòu)框圖。

具體實施方式

為使本申請的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖和具體實施方式對本申請作進一步詳細的說明。

實施例1從認證服務(wù)器的角度描述本申請實施例的云主機服務(wù)的訪問控制方案。

參考圖1，示出了根據(jù)本申請實施例1的云主機服務(wù)的訪問控制方法的步驟流程圖，該方法用于認證服務(wù)器，具體可以包括以下步驟：

步驟101，接收客戶端發(fā)送的第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息。

本申請在客戶端對云主機的訪問過程中部署有代理服務(wù)器和認證服務(wù)器。其中，代理服務(wù)器用于代理客戶端對云主機的訪問，認證服務(wù)器用于客戶端對云主機的訪問權(quán)限進行認證。參考圖2，示出了本申請實施例的一個示例的云主機服務(wù)的訪問控制方法的示意圖。由圖2可見，對應(yīng)實施本申請方案的系統(tǒng)架構(gòu)中包括客戶端、代理服務(wù)器、認證服務(wù)器和云主機?？蛻舳丝梢耘c代理服務(wù)器、認證服務(wù)器和云主機分別通信，可以請求認證服務(wù)器進行認證，并通過代理服務(wù)器訪問云主機；代理服務(wù)器可以與客戶端和認證服務(wù)器分別通信，可以請求認證服務(wù)器進行認證，并代理客戶端對云主機的訪問；認證服務(wù)器與客戶端和代理服務(wù)器分別通信，受理客戶端和代理服務(wù)器的認證請求。

客戶端通過向認證服務(wù)器發(fā)送第一認證請求發(fā)起認證，第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息，軟件供應(yīng)方可以是軟件開發(fā)商或是其他供應(yīng)方，軟件供應(yīng)方的第一賬戶信息可以是其在電子交易網(wǎng)站上使用電子交易的相關(guān)業(yè)務(wù)時注冊有相應(yīng)的業(yè)務(wù)賬戶信息或是其他賬戶信息，例如，ISV的業(yè)務(wù)賬戶為在淘寶網(wǎng)站上開展和淘寶、天貓相關(guān)的業(yè)務(wù)時使用的淘寶賬戶。

認證服務(wù)器可以是預(yù)先部署的任意適用的服務(wù)器或是多個服務(wù)器構(gòu)成的服務(wù)器集群，通過在認證服務(wù)器配置相應(yīng)的權(quán)限記錄，其中包括可訪問云 主機服務(wù)的業(yè)務(wù)賬戶，通過權(quán)限記錄對業(yè)務(wù)賬戶進行認證，認證成功則允許該業(yè)務(wù)賬戶訪問云主機上部署的服務(wù)。

本申請實施例所述客戶端可以為軟件客戶端，部署在與服務(wù)器對應(yīng)的終端，通過與服務(wù)器通信為終端提供本地服務(wù)；也可以為定制使用于具體環(huán)境的單應(yīng)用客戶端，通過客戶端本身的硬件功能提供服務(wù)，例如POS機、嵌入式工控機、無線尋呼系統(tǒng)中的被叫用戶接收機等，還可以是任意適用的客戶端，本申請對此并不做限制。

步驟102，對所述第一賬戶信息進行一次認證，在所述一次認證成功后，生成認證口令并發(fā)送到所述客戶端。

認證服務(wù)器在對第一賬戶信息進行認證后，生成認證口令作為一次認證成功的依據(jù)，用于下一步認證。該認證口令發(fā)送至客戶端，由客戶端依據(jù)認證口令發(fā)起二次認證。

步驟103，接收代理所述客戶端訪問所述云主機的代理服務(wù)器發(fā)送的第二認證請求，所述第二認證請求攜帶所述客戶端發(fā)送給所述代理服務(wù)器的所述認證口令。

客戶端通過第二認證請求將認證口令發(fā)送至代理服務(wù)器由代理服務(wù)器向認證服務(wù)器進行二次認證，代理服務(wù)器依據(jù)二次認證是否通過來確定該客戶端是否已經(jīng)通過一次認證，作為后續(xù)訪問云主機的依據(jù)。

步驟104，對所述認證口令進行二次認證，并在所述二次認證成功后，通知所述代理服務(wù)器，以由所述代理服務(wù)器請求所述云主機對所述客戶端的第二賬戶信息進行三次認證，并所述三次認證成功后由所述客戶端通過所述代理服務(wù)器訪問所述云主機上部署的服務(wù)資源。

代理服務(wù)器通過請求認證服務(wù)器對認證口令進行認證，并在認證成功后接收到認證服務(wù)器的通知，根據(jù)該通知，則可以進行下一步的三次認證，三次認證由云主機進行，對客戶端的第二賬戶信息進行認證，第二賬戶信息為客戶端訪問云主機內(nèi)部的服務(wù)使用的賬戶，例如遠程登陸服務(wù)的機器賬戶、網(wǎng)站后臺管理的賬戶等。

云主機上預(yù)先配置允許訪問的第二賬戶信息，并以此為依據(jù)對代理服務(wù) 器發(fā)送的第二賬戶信息進行三次認證，若認證成功，則該客戶端可以訪問云主機的服務(wù)，本申請由代理服務(wù)器代理訪問云主機，具體由客戶端將訪問請求發(fā)送至代理服務(wù)器，代理服務(wù)器進一步轉(zhuǎn)發(fā)至云主機，并將云主機反饋的數(shù)據(jù)轉(zhuǎn)發(fā)給客戶端。

通過上述論述可知，本申請的實施例中，由客戶端請求認證服務(wù)器對軟件供應(yīng)方的第一賬戶信息進行一次認證，客戶端將認證服務(wù)器一次認證成功后反饋的認證口令發(fā)送至代理服務(wù)器，由代理服務(wù)器請求認證服務(wù)器對認證口令進行二次認證，客戶端在二次認證成功后通過代理服務(wù)器請求云主機對其第二賬戶信息進行三次認證成功后，可通過代理服務(wù)器訪問云主機上部署的服務(wù)資源。依據(jù)本申請實施例，通過在云主機進行配置，由允許代理服務(wù)器訪問云主機，并且在代理服務(wù)器訪問云主機之前，經(jīng)過軟件供應(yīng)方的賬戶認證、口令認證以及客戶端的賬戶認證的三次認證，從而可以大大增強云主機服務(wù)以及云主機自身賬戶體系的安全性。

本申請的一種優(yōu)選實施例中，所述第一賬戶信息為軟件供應(yīng)方在提供所述云主機的電子交易平臺中使用的業(yè)務(wù)賬戶信息。

本申請的一種優(yōu)選實施例中，所述第二賬戶信息為所述客戶端在訪問所述軟件供應(yīng)方在所述云主機上部署的服務(wù)時使用的服務(wù)賬戶信息。

本申請的一種優(yōu)選實施例中，所述第一認證請求還攜帶所述服務(wù)賬戶信息以及請求訪問的云主機服務(wù)地址；

在所述生成認證口令并發(fā)送到所述客戶端之前，所述方法還可以包括：

步驟S1、從所述第一認證請求中提取權(quán)限信息，所述權(quán)限信息包括所述第一賬戶信息、第二賬戶信息和所述云主機服務(wù)地址。

步驟S2、將提取的權(quán)限信息與預(yù)置的權(quán)限記錄進行比對，并確定比對結(jié)果為一致，所述權(quán)限記錄包括多組對應(yīng)保存的第一賬戶信息、第二賬戶信息和云主機服務(wù)地址。

在部署認證服務(wù)器時，可以根據(jù)實際需求配置若干條權(quán)限記錄，每條權(quán)限記錄的結(jié)構(gòu)為(業(yè)務(wù)賬戶，云主機服務(wù)地址，服務(wù)賬戶)的三元組，表示一個業(yè)務(wù)賬戶擁有一個云主機服務(wù)地址(例如IP地址加端口號)的一個服 務(wù)賬戶的訪問權(quán)限，即針對一組第一賬戶信息和第二賬戶信息配置一個可訪問的云主機服務(wù)地址的訪問權(quán)限，并據(jù)此對第一認證請求中包括的權(quán)限信息進行認證，能夠?qū)崿F(xiàn)更加靈活和細粒度的權(quán)限控制。

本申請的一種優(yōu)選實施例中，代理服務(wù)器和客戶端可以采用SOCKS5協(xié)議進行通信。SOCKS5是一種網(wǎng)絡(luò)傳輸協(xié)議，位于OSI(Open System Interconnection，開放式系統(tǒng)互聯(lián))模型的會話層，可以實現(xiàn)對應(yīng)用層協(xié)議(HTTP、FTP、RDP、SSH等)的安全驗證和透明傳輸。相應(yīng)的，所述客戶端與所述代理服務(wù)器之間基于代理協(xié)議在會話層進行通信。

本申請的一種優(yōu)選實施例中，所述對所述認證口令進行二次認證包括：

判斷接收到所述認證口令的時間處于預(yù)設(shè)時間段內(nèi)，若是，則對所述認賬口令認證成功。

認證服務(wù)器生成認證口令后可以進行保存并記錄認證口令生成的時間，針對待認證的認證口令，記錄接收認證口令的時間，在認證服務(wù)器查找是否存在該認證口令，若不存在認證口令，或是，預(yù)先設(shè)置該認證口令的有效時間為T，存在該認證口令但接收到該認證口令的時間與生成時間的差值大于某個閾值，則認為該認證口令失效，也即是若認證服務(wù)器在生成該認證口令后的T時間內(nèi)沒有接收到對該認證口令的認證請求，則認為該口令失效。

本申請的一種優(yōu)選實施例中，在所述二次認證成功后，該認證口令不應(yīng)繼續(xù)使用，所述方法還可以包括：設(shè)置所述認證口令失效，避免對存儲資源的浪費。

本申請實施例中，使用JAVA語言實現(xiàn)認證服務(wù)器，使用C++語言實現(xiàn)了SOCKS5客戶端，使用C語言實現(xiàn)了SOCKS5代理服務(wù)器，可以達到更佳的實施效果。

實施例3從代理服務(wù)器的角度描述本申請實施例的云主機服務(wù)的訪問控制方案。

參考圖2，示出了根據(jù)本申請實施例2的云主機服務(wù)的訪問控制方法的步驟流程圖，該方法用于代理服務(wù)器，具體可以包括以下步驟：

步驟201，接收客戶端發(fā)送的第二賬戶信息和認證口令，所述認證口令由認證服務(wù)器對軟件供應(yīng)方的第一業(yè)務(wù)信息進行一次認證成功后發(fā)送給所述客戶端。

步驟202，請求認證服務(wù)器對所述認證口令進行二次認證。

步驟203，在接收到所述認證服務(wù)器二次認證成功的通知后，請求所述云主機對所述第二賬戶信息進行三次認證。

步驟204，在所述三次認證成功后，代理所述客戶端對所述云主機上部署的服務(wù)資源的訪問。

上述認證過程同實施例1中描述，此處不再贅述。

本申請的實施例中，由客戶端請求認證服務(wù)器對軟件供應(yīng)方的第一賬戶信息進行一次認證，客戶端將認證服務(wù)器一次認證成功后反饋的認證口令發(fā)送至代理服務(wù)器，由代理服務(wù)器請求認證服務(wù)器對認證口令進行二次認證，客戶端在二次認證成功后通過代理服務(wù)器請求云主機對其第二賬戶信息進行三次認證成功后，可通過代理服務(wù)器訪問云主機上部署的服務(wù)資源。依據(jù)本申請實施例，通過在云主機進行配置，由代理服務(wù)器訪問云主機，并且在代理服務(wù)器訪問云主機之前，經(jīng)過軟件供應(yīng)方的賬戶認證、口令認證以及客戶端的賬戶認證的三次認證，從而可以大大增強云主機服務(wù)以及云主機自身賬戶體系的安全性。

本申請的一種優(yōu)選實施例中，上述方法還可以包括：生成記錄所述客戶端對所述云主機本次訪問的訪問日志。由代理服務(wù)器在訪問云主機后記錄本次訪問對應(yīng)的訪問日志，可以能夠保證訪問日志的可靠性，防止數(shù)據(jù)泄漏的發(fā)生。

本申請的一種優(yōu)選實施例中，所述代理所述客戶端對所述云主機上部署的服務(wù)資源的訪問可以包括：

向所述云主機發(fā)送服務(wù)資源訪問請求，所述服務(wù)資源訪問請求攜帶云主機服務(wù)地址以及所述代理服務(wù)器的IP地址；

接收所述云主機識別所述代理服務(wù)器的IP地址后針對所述服務(wù)資源訪問請求反饋的數(shù)據(jù)。

代理服務(wù)器可以向需要訪問的云主機服務(wù)地址發(fā)送服務(wù)資源訪問請求，該請求攜帶代理服務(wù)器的IP地址以便于云主機按照該地址反饋數(shù)據(jù)，云主機根據(jù)請求反饋的數(shù)據(jù)按照代理服務(wù)器的IP地址反饋給代理服務(wù)器。

實施例3從客戶端的角度描述本申請實施例的云主機服務(wù)的訪問控制方案。

參考圖4，示出了根據(jù)本申請實施例3的云主機服務(wù)的訪問控制方法的步驟流程圖，該方法用于客戶端，具體可以包括以下步驟：

步驟301，向認證服務(wù)器發(fā)送第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息。

步驟302，接收所述認證服務(wù)器在對所述第一賬戶信息進行一次認證成功后反饋的認證口令。

步驟303，將所述客戶端的第二賬戶信息和所述認證口令發(fā)送到代理服務(wù)器，以由所述代理服務(wù)器請求所述認證服務(wù)器對所述認證口令進行二次認證。

步驟304，在接收到所述二次認證成功的通知后，請求所述云主機對所述第二賬戶信息進行三次認證。

步驟305，在接收到所述三次認證成功的通知后，通過所述代理服務(wù)器訪問所述云主機上部署的服務(wù)資源。

本申請的實施例中，由客戶端請求認證服務(wù)器對軟件供應(yīng)方的第一賬戶信息進行一次認證，客戶端將認證服務(wù)器一次認證成功后反饋的認證口令發(fā)送至代理服務(wù)器，由代理服務(wù)器請求認證服務(wù)器對認證口令進行二次認證，客戶端在二次認證成功后通過代理服務(wù)器請求云主機對其第二賬戶信息進行三次認證成功后，可通過代理服務(wù)器訪問云主機上部署的服務(wù)資源。依據(jù)本申請實施例，通過在云主機進行配置，由代理服務(wù)器訪問云主機，并且在代理服務(wù)器訪問云主機之前，經(jīng)過軟件供應(yīng)方的賬戶認證、口令認證以及客戶端的賬戶認證的三次認證，從而可以大大增強云主機服務(wù)以及云主機自身賬戶體系的安全性。

為使本領(lǐng)域技術(shù)人員更好地理解本申請，以下通過一個具體的示例對本申請的方案進行說明，如圖2示出的根據(jù)本申請實施例的一個示例的云主機服務(wù)的訪問控制方法的示意圖，客戶端訪問云主機的過程包括：

1、部署具有公網(wǎng)IP的SOCKS5代理服務(wù)器，系統(tǒng)管理員配置云主機安全組，由SOCKS5代理服務(wù)器的公網(wǎng)IP訪問云主機。

2、部署認證服務(wù)器，系統(tǒng)管理員根據(jù)實際需求配置若干條權(quán)限記錄，每條權(quán)限記錄的結(jié)構(gòu)為(業(yè)務(wù)賬戶，云主機服務(wù)地址，服務(wù)賬戶)的三元組，表示一個業(yè)務(wù)賬戶擁有一個云主機服務(wù)地址(IP地址加端口號)的一個服務(wù)賬戶的訪問權(quán)限。

3、使用SOCKS5客戶端向認證服務(wù)器發(fā)起請求，請求的結(jié)構(gòu)為(業(yè)務(wù)賬戶名，密碼，云主機服務(wù)地址，服務(wù)賬號)。認證服務(wù)器驗證賬戶名和密碼是否匹配，并根據(jù)步驟2配置的權(quán)限記錄驗證是否擁有訪問權(quán)限。

4、步驟3認證通過后，認證服務(wù)器生成令牌，設(shè)置該令牌的有效期為T秒，并返回給SOCKS5客戶端

5、SOCKS5客戶端向SOCKS5代理服務(wù)器發(fā)起請求，請求的結(jié)構(gòu)為(云主機服務(wù)地址，服務(wù)賬號，步驟4接收到的令牌)。

6、SOCKS5代理服務(wù)器向認證服務(wù)器發(fā)起請求，請求的結(jié)構(gòu)為(步驟5接收到令牌)，然后認證服務(wù)器驗證令牌，當(dāng)令牌處于有效期T秒之內(nèi)時，認證令牌有效，否則認證令牌失效。

7、步驟6驗證通過后，認證服務(wù)器使令牌立即失效。然后SOCKS5代理服務(wù)器記錄服務(wù)訪問日志，向步驟5接收到的云主機服務(wù)地址發(fā)起請求，請求結(jié)構(gòu)為(步驟5接收到的服務(wù)賬號)，云主機服務(wù)驗證服務(wù)賬號是否有效。

8、SOCKS5代理服務(wù)器記錄訪問日志，日志結(jié)構(gòu)為(業(yè)務(wù)賬戶，云主機服務(wù)地址，服務(wù)賬戶)。

本申請的實施例中，由客戶端請求認證服務(wù)器對軟件供應(yīng)方的第一賬戶信息進行一次認證，客戶端將認證服務(wù)器一次認證成功后反饋的認證口令發(fā) 送至代理服務(wù)器，由代理服務(wù)器請求認證服務(wù)器對認證口令進行二次認證，客戶端在二次認證成功后通過代理服務(wù)器請求云主機對其第二賬戶信息進行三次認證成功后，可通過代理服務(wù)器訪問云主機上部署的服務(wù)資源。依據(jù)本申請實施例，通過在云主機進行配置，由代理服務(wù)器訪問云主機，并且在代理服務(wù)器訪問云主機之前，經(jīng)過軟件供應(yīng)方的賬戶認證、口令認證以及客戶端的賬戶認證的三次認證，從而可以大大增強云主機服務(wù)以及云主機自身賬戶體系的安全性。

本申請實施例中，在認證服務(wù)器中配置多組對應(yīng)保存的第一賬戶信息、第二賬戶信息和云主機服務(wù)地址，即針對一組第一賬戶信息和第二賬戶信息配置一個可訪問的云主機服務(wù)地址的訪問權(quán)限，并據(jù)此對第一認證請求中包括的權(quán)限信息進行認證，能夠?qū)崿F(xiàn)更加靈活和細粒度的權(quán)限控制。

本申請實施例中，由代理服務(wù)器在訪問云主機后記錄本次訪問對應(yīng)的訪問日志，可以能夠保證訪問日志的可靠性，防止數(shù)據(jù)泄漏的發(fā)生。

需要說明的是，對于方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本申請實施例并不受所描述的動作順序的限制，因為依據(jù)本申請實施例，某些步驟可以采用其他順序或者同時進行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實施例均屬于優(yōu)選實施例，所涉及的動作并不一定是本申請實施例所必須的。

參考圖5，其示出了根據(jù)本申請實施例1的云主機服務(wù)的訪問控制裝置的結(jié)構(gòu)框圖，部署于認證服務(wù)器，具體可以包括：

第一認證請求接收模塊401，用于接收客戶端發(fā)送的第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息；

一次認證模塊402，用于對所述第一賬戶信息進行一次認證；

認證口令生成模塊403，用于在所述一次認證成功后，生成認證口令并發(fā)送到所述客戶端；

第二認證請求接收模塊404，用于接收代理所述客戶端訪問所述云主機 的代理服務(wù)器發(fā)送的第二認證請求，所述第二認證請求攜帶所述客戶端發(fā)送給所述代理服務(wù)器的所述認證口令；

二次認證模塊405，用于對所述認證口令進行二次認證；

二次認證通知模塊406，用于在所述二次認證成功后，通知所述代理服務(wù)器，以由所述代理服務(wù)器請求所述云主機對所述客戶端的第二賬戶信息進行三次認證，并所述三次認證成功后由所述客戶端通過所述代理服務(wù)器訪問所述云主機上部署的服務(wù)資源。

本申請實施例中，優(yōu)選地，所述第一賬戶信息為軟件供應(yīng)方在提供所述云主機的電子交易平臺中使用的業(yè)務(wù)賬戶信息；

所述第二賬戶信息為所述客戶端在訪問所述軟件供應(yīng)方在所述云主機上部署的服務(wù)時使用的服務(wù)賬戶信息。

本申請實施例中，優(yōu)選地，所述第一認證請求還攜帶所述服務(wù)賬戶信息以及請求訪問的云主機服務(wù)地址；

所述裝置還包括：

權(quán)限信息提取模塊，用于在所述生成認證口令并發(fā)送到所述客戶端之前，從所述第一認證請求中提取權(quán)限信息，所述權(quán)限信息包括所述第一賬戶信息、第二賬戶信息和所述云主機服務(wù)地址；

權(quán)限比對模塊，用于將提取的權(quán)限信息與預(yù)置的權(quán)限記錄進行比對，并確定比對結(jié)果為一致，所述權(quán)限記錄包括多組對應(yīng)保存的第一賬戶信息、第二賬戶信息和云主機服務(wù)地址。

本申請實施例中，優(yōu)選地，所述客戶端與所述代理服務(wù)器之間基于代理協(xié)議在會話層進行通信。

本申請實施例中，優(yōu)選地，所述二次認證模塊，具體用于判斷接收到所述認證口令的時間處于預(yù)設(shè)時間段內(nèi)，若是，則對所述認賬口令認證成功。

本申請實施例中，優(yōu)選地，所述裝置還包括：

口令設(shè)置模塊，用于在所述二次認證成功后，設(shè)置所述認證口令失效。

本申請的實施例中，由客戶端請求認證服務(wù)器對軟件供應(yīng)方的第一賬戶信息進行一次認證，客戶端將認證服務(wù)器一次認證成功后反饋的認證口令發(fā) 送至代理服務(wù)器，由代理服務(wù)器請求認證服務(wù)器對認證口令進行二次認證，客戶端在二次認證成功后通過代理服務(wù)器請求云主機對其第二賬戶信息進行三次認證成功后，可通過代理服務(wù)器訪問云主機上部署的服務(wù)資源。依據(jù)本申請實施例，通過在云主機進行配置，由代理服務(wù)器訪問云主機，并且在代理服務(wù)器訪問云主機之前，經(jīng)過軟件供應(yīng)方的賬戶認證、口令認證以及客戶端的賬戶認證的三次認證，從而可以大大增強云主機服務(wù)以及云主機自身賬戶體系的安全性。

本申請實施例中，在認證服務(wù)器中配置多組對應(yīng)保存的第一賬戶信息、第二賬戶信息和云主機服務(wù)地址，即針對一組第一賬戶信息和第二賬戶信息配置一個可訪問的云主機服務(wù)地址的訪問權(quán)限，并據(jù)此對第一認證請求中包括的權(quán)限信息進行認證，能夠?qū)崿F(xiàn)更加靈活和細粒度的權(quán)限控制。

參考圖6，其示出了根據(jù)本申請實施例2的云主機服務(wù)的訪問控制裝置的結(jié)構(gòu)框圖，部署于代理服務(wù)器，具體可以包括：

信息接收模塊501，用于接收客戶端發(fā)送的第二賬戶信息和認證口令，所述認證口令由認證服務(wù)器對軟件供應(yīng)方的第一業(yè)務(wù)信息進行一次認證成功后發(fā)送給所述客戶端；

二次認證請求模塊502，用于請求認證服務(wù)器對所述認證口令進行二次認證；

三次認證請求模塊503，用于在接收到所述認證服務(wù)器二次認證成功的通知后，請求所述云主機對所述第二賬戶信息進行三次認證；

訪問代理模塊504，用于在所述三次認證成功后，代理所述客戶端對所述云主機上部署的服務(wù)資源的訪問。

本申請實施例中，優(yōu)選地，所述裝置還包括：

日志生成模塊，用于生成記錄所述客戶端對所述云主機本次訪問的訪問日志。

所述訪問代理模塊包括：

請求發(fā)送子模塊，用于向所述云主機發(fā)送服務(wù)資源訪問請求，所述服務(wù) 資源訪問請求攜帶云主機服務(wù)地址以及所述代理服務(wù)器的IP地址；

反饋數(shù)據(jù)接收子模塊，用于接收所述云主機識別所述代理服務(wù)器的IP地址后針對所述服務(wù)資源訪問請求反饋的數(shù)據(jù)。

本申請的實施例中，由客戶端請求認證服務(wù)器對軟件供應(yīng)方的第一賬戶信息進行一次認證，客戶端將認證服務(wù)器一次認證成功后反饋的認證口令發(fā)送至代理服務(wù)器，由代理服務(wù)器請求認證服務(wù)器對認證口令進行二次認證，客戶端在二次認證成功后通過代理服務(wù)器請求云主機對其第二賬戶信息進行三次認證成功后，可通過代理服務(wù)器訪問云主機上部署的服務(wù)資源。依據(jù)本申請實施例，通過在云主機進行配置，由代理服務(wù)器訪問云主機，并且在代理服務(wù)器訪問云主機之前，經(jīng)過軟件供應(yīng)方的賬戶認證、口令認證以及客戶端的賬戶認證的三次認證，從而可以大大增強云主機服務(wù)以及云主機自身賬戶體系的安全性。

本申請實施例中，由代理服務(wù)器在訪問云主機后記錄本次訪問對應(yīng)的訪問日志，可以能夠保證訪問日志的可靠性，防止數(shù)據(jù)泄漏的發(fā)生。

參考圖7，其示出了根據(jù)本申請實施例3的云主機服務(wù)的訪問控制裝置的結(jié)構(gòu)框圖，部署于客戶端，具體可以包括：

第一請求發(fā)送模塊601，用于向認證服務(wù)器發(fā)送第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息；

口令接收模塊602，用于接收所述認證服務(wù)器在對所述第一賬戶信息進行一次認證成功后反饋的認證口令；

信息發(fā)送模塊603，用于將所述客戶端的第二賬戶信息和所述認證口令發(fā)送到代理服務(wù)器，以由所述代理服務(wù)器請求所述認證服務(wù)器對所述認證口令進行二次認證；

三次認證請求模塊604，用于在接收到所述二次認證成功的通知后，請求所述云主機對所述第二賬戶信息進行三次認證；

資源訪問模塊605，用于在接收到所述三次認證成功的通知后，通過所述代理服務(wù)器訪問所述云主機上部署的服務(wù)資源。

本申請的實施例中，由客戶端請求認證服務(wù)器對軟件供應(yīng)方的第一賬戶信息進行一次認證，客戶端將認證服務(wù)器一次認證成功后反饋的認證口令發(fā)送至代理服務(wù)器，由代理服務(wù)器請求認證服務(wù)器對認證口令進行二次認證，客戶端在二次認證成功后通過代理服務(wù)器請求云主機對其第二賬戶信息進行三次認證成功后，可通過代理服務(wù)器訪問云主機上部署的服務(wù)資源。依據(jù)本申請實施例，通過在云主機進行配置，由代理服務(wù)器訪問云主機，并且在代理服務(wù)器訪問云主機之前，經(jīng)過軟件供應(yīng)方的賬戶認證、口令認證以及客戶端的賬戶認證的三次認證，從而可以大大增強云主機服務(wù)以及云主機自身賬戶體系的安全性。

參考圖8，其示出了根據(jù)本申請實施例的云主機服務(wù)的訪問控制系統(tǒng)的結(jié)構(gòu)框圖，具體可以包括：認證服務(wù)器701、代理服務(wù)器702、客戶端703和云主機704；

所述客戶端703包括：

第一請求發(fā)送模塊7031，用于向認證服務(wù)器發(fā)送第一認證請求，所述第一認證請求攜帶軟件供應(yīng)方的第一賬戶信息；

信息發(fā)送模塊7032，用于將所述客戶端的第二賬戶信息和所述認證口令發(fā)送到代理服務(wù)器；

三次認證請求模塊7033，用于在接收到所述二次認證成功的通知后，通過所述代理服務(wù)器請求所述云主機對所述第二賬戶信息進行三次認證；

資源訪問模塊7034，用于在接收到所述三次認證成功的通知后，請求訪問所述云主機上部署的服務(wù)資源；

所述代理服務(wù)器702包括：

二次認證請求模塊7021，用于請求認證服務(wù)器對客戶端發(fā)送的認證口令進行二次認證；

訪問代理模塊7022，用于代理所述客戶端對所述云主機上部署的服務(wù)資源的訪問；

所述認證服務(wù)器701包括：

一次認證模塊7011，用于根據(jù)所述客戶端發(fā)送的第一認證請求對所述第一賬戶信息進行一次認證；

認證口令生成模塊7012，用于在所述一次認證成功后，生成認證口令并發(fā)送到所述客戶端；

二次認證模塊7013，用于根據(jù)上述代理服務(wù)器發(fā)送的第二認證請求對所述認證口令進行二次認證；

所述云主機704，用于對所述第二賬戶信息進行三次認證以及向所述客戶端提供服務(wù)資源的訪問。

本申請的實施例中，由客戶端請求認證服務(wù)器對軟件供應(yīng)方的第一賬戶信息進行一次認證，客戶端將認證服務(wù)器一次認證成功后反饋的認證口令發(fā)送至代理服務(wù)器，由代理服務(wù)器請求認證服務(wù)器對認證口令進行二次認證，客戶端在二次認證成功后通過代理服務(wù)器請求云主機對其第二賬戶信息進行三次認證成功后，可通過代理服務(wù)器訪問云主機上部署的服務(wù)資源。依據(jù)本申請實施例，通過在云主機進行配置，由代理服務(wù)器訪問云主機，并且在代理服務(wù)器訪問云主機之前，經(jīng)過軟件供應(yīng)方的賬戶認證、口令認證以及客戶端的賬戶認證的三次認證，從而可以大大增強云主機服務(wù)以及云主機自身賬戶體系的安全性。

本申請實施例中，在認證服務(wù)器中配置多組對應(yīng)保存的第一賬戶信息、第二賬戶信息和云主機服務(wù)地址，即針對一組第一賬戶信息和第二賬戶信息配置一個可訪問的云主機服務(wù)地址的訪問權(quán)限，并據(jù)此對第一認證請求中包括的權(quán)限信息進行認證，能夠?qū)崿F(xiàn)更加靈活和細粒度的權(quán)限控制。

本申請實施例中，由代理服務(wù)器在訪問云主機后記錄本次訪問對應(yīng)的訪問日志，可以能夠保證訪問日志的可靠性，防止數(shù)據(jù)泄漏的發(fā)生。

對于裝置實施例而言，由于其與方法實施例基本相似，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

本說明書中的各個實施例均采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似的部分互相參見 即可。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請實施例的實施例可提供為方法、裝置、或計算機程序產(chǎn)品。因此，本申請實施例可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請實施例可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。

在一個典型的配置中，所述計算機設(shè)備包括一個或多個處理器(CPU)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。內(nèi)存可能包括計算機可讀介質(zhì)中的非永久性存儲器，隨機存取存儲器(RAM)和/或非易失性內(nèi)存等形式，如只讀存儲器(ROM)或閃存(flash RAM)。內(nèi)存是計算機可讀介質(zhì)的示例。計算機可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術(shù)來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括，但不限于相變內(nèi)存(PRAM)、靜態(tài)隨機存取存儲器(SRAM)、動態(tài)隨機存取存儲器(DRAM)、其他類型的隨機存取存儲器(RAM)、只讀存儲器(ROM)、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學(xué)存儲、磁盒式磁帶，磁帶磁磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì)，可用于存儲可以被計算設(shè)備訪問的信息。按照本文中的界定，計算機可讀介質(zhì)不包括非持續(xù)性的電腦可讀媒體(transitory media)，如調(diào)制的數(shù)據(jù)信號和載波。

本申請實施例是參照根據(jù)本申請實施例的方法、終端設(shè)備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器執(zhí)行的 指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導(dǎo)計算機或其他可編程數(shù)據(jù)處理終端設(shè)備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理終端設(shè)備上，使得在計算機或其他可編程終端設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程終端設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本申請實施例的優(yōu)選實施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實施例做出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本申請實施例范圍的所有變更和修改。

最后，還需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者終端設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者終端設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者終端設(shè)備中還存在另外的相同要素。

以上對本申請所提供的一種云主機服務(wù)的訪問控制方法、裝置和系統(tǒng)，進行了詳細介紹，本文中應(yīng)用了具體個例對本申請的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本申請的方法及其核心思想；同時，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本申請的思想，在具體實施 方式及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本申請的限制。