本發(fā)明涉及數(shù)據(jù)存儲(chǔ),特別涉及一種用于企業(yè)資源管理系統(tǒng)的數(shù)據(jù)存儲(chǔ)方法。
背景技術(shù):
云計(jì)算在架構(gòu)實(shí)現(xiàn)方面可采用服務(wù)計(jì)算的技術(shù),將業(yè)務(wù)功能分解為松耦合、統(tǒng)一標(biāo)準(zhǔn)和接口的服務(wù),滿(mǎn)足企業(yè)快速構(gòu)建和響應(yīng)業(yè)務(wù)變化、重用原有IT資源、數(shù)據(jù)共享和供應(yīng)鏈業(yè)務(wù)協(xié)同的需求。利用云計(jì)算技術(shù)和SOA模式構(gòu)建的企業(yè)資源管理系統(tǒng)可以實(shí)現(xiàn)企業(yè)獲取共享資源,降低企業(yè)信息化成本,提高其在市場(chǎng)競(jìng)爭(zhēng)中的核心競(jìng)爭(zhēng)力。隨著互聯(lián)網(wǎng)的快速發(fā)展以及企業(yè)信息化程度地不斷提高,企業(yè)內(nèi)部在業(yè)務(wù)快速增長(zhǎng)和多樣化的同時(shí),數(shù)據(jù)也在持續(xù)不斷地在增長(zhǎng)。與此同時(shí),針對(duì)企業(yè)客戶(hù)的云存儲(chǔ)也在蓬勃的發(fā)展,選擇適合企業(yè)內(nèi)部的數(shù)據(jù)存儲(chǔ)方案,保證數(shù)據(jù)的安全穩(wěn)定存儲(chǔ)是企業(yè)發(fā)展的重要保障。然而現(xiàn)有的云存儲(chǔ)技術(shù)為不同企業(yè)所構(gòu)建的存儲(chǔ)系統(tǒng)的可用性,穩(wěn)定性和可靠性也是參差不齊,并且無(wú)法兼顧安全和低成本。例如私有云中,用戶(hù)可以定義數(shù)據(jù)的安全等級(jí);但需要企業(yè)投入相當(dāng)?shù)某杀静拍芙⑵饋?lái)并保持穩(wěn)定運(yùn)行,存儲(chǔ)成本高。
技術(shù)實(shí)現(xiàn)要素:
為解決上述現(xiàn)有技術(shù)所存在的問(wèn)題,本發(fā)明提出了一種用于企業(yè)資源管理系統(tǒng)的數(shù)據(jù)存儲(chǔ)方法,包括:
接收客戶(hù)端訪(fǎng)問(wèn)企業(yè)資源云存儲(chǔ)平臺(tái)的請(qǐng)求,通過(guò)統(tǒng)計(jì)用戶(hù)行為來(lái)查詢(xún)客戶(hù)端相應(yīng)的用戶(hù)權(quán)限。
優(yōu)選地,所述企業(yè)資源云存儲(chǔ)平臺(tái)的數(shù)據(jù)存儲(chǔ)模塊維護(hù)數(shù)據(jù)目錄信息表,其存儲(chǔ)了數(shù)據(jù)目錄的基本信息,包括存儲(chǔ)在云存儲(chǔ)的哪個(gè)位置,對(duì)應(yīng)的ID名稱(chēng)和容器名稱(chēng),是否為共享數(shù)據(jù)目錄,上級(jí)數(shù)據(jù)目錄的ID;根據(jù)組織數(shù)據(jù)目錄的層次嵌套關(guān)系,在對(duì)數(shù)據(jù)目錄進(jìn)行轉(zhuǎn)移操作時(shí)只更新該層次關(guān)系;數(shù)據(jù)存儲(chǔ)模塊還維護(hù)共享信息表,記錄了數(shù)據(jù)目錄的擁有者和共享者信息;當(dāng)用戶(hù)共享一個(gè)數(shù)據(jù)目錄給其它用戶(hù)的時(shí)候,同時(shí)創(chuàng)建一個(gè)令牌來(lái)授權(quán)其共享的用戶(hù)通過(guò)此令牌來(lái)訪(fǎng)問(wèn)和修改共享目錄中的文件內(nèi)容;
所述企業(yè)資源云存儲(chǔ)平臺(tái)的身份與權(quán)限認(rèn)證中心在入口設(shè)置代理,根據(jù)請(qǐng)求的目標(biāo)判斷是使用公共云存儲(chǔ)還是企業(yè)云存儲(chǔ)進(jìn)行認(rèn)證;對(duì)于公共云存儲(chǔ),對(duì)于一個(gè)容器的數(shù)據(jù)的訪(fǎng)問(wèn)包含兩部分,一個(gè)是容器擁有者對(duì)該容器數(shù)據(jù)的訪(fǎng)問(wèn),一個(gè)是非容器擁有者對(duì)容器的訪(fǎng)問(wèn);對(duì)于非容器擁有者對(duì)容器數(shù)據(jù)的訪(fǎng)問(wèn),采用唯一URI,其包含要訪(fǎng)問(wèn)的存儲(chǔ)資源信息,開(kāi)始時(shí)間,過(guò)期時(shí)間,權(quán)限控制信息以及簽名;預(yù)先存儲(chǔ)容器的讀取策略,該容器下的所有的數(shù)據(jù)都繼承了該讀取策略;對(duì)于私有云存儲(chǔ),采用租戶(hù),用戶(hù),角色三個(gè)層次對(duì)資源的訪(fǎng)問(wèn)權(quán)限進(jìn)行鑒權(quán);
所述通過(guò)統(tǒng)計(jì)用戶(hù)行為來(lái)查詢(xún)客戶(hù)端相應(yīng)的用戶(hù)權(quán)限,具體為:
(1)用戶(hù)發(fā)出資源訪(fǎng)問(wèn)申請(qǐng),認(rèn)證中心首先對(duì)其進(jìn)行身份驗(yàn)證,若驗(yàn)證失敗則直接拒絕其訪(fǎng)問(wèn)請(qǐng)求,身份驗(yàn)證成功的用戶(hù)交由統(tǒng)計(jì)模塊進(jìn)行用戶(hù)行為認(rèn)證;(2)統(tǒng)計(jì)模塊查詢(xún)安全性數(shù)據(jù)庫(kù)所存儲(chǔ)的用戶(hù)當(dāng)前信任值,判定其行為安全等級(jí),并依據(jù)安全等級(jí)授予其相應(yīng)的服務(wù)等級(jí)和訪(fǎng)問(wèn)權(quán)限,如果用戶(hù)低于最低服務(wù)等級(jí)則拒絕其訪(fǎng)問(wèn)請(qǐng)求;(3)在用戶(hù)的訪(fǎng)問(wèn)過(guò)程中,認(rèn)證中心的行為獲取模塊實(shí)時(shí)監(jiān)控用戶(hù)的操作行為,獲取用戶(hù)行為;(4)將獲取的用戶(hù)行為進(jìn)行標(biāo)準(zhǔn)量化處理;(5)將標(biāo)準(zhǔn)化后的行為向量,保存在行為數(shù)據(jù)庫(kù)中;(6)利用行為數(shù)據(jù)庫(kù)中的行為向量綜合評(píng)估用戶(hù)行為安全性;(7)將用戶(hù)不同時(shí)間段的行為可信度量存入安全性數(shù)據(jù)庫(kù);(8)統(tǒng)計(jì)模塊讀取信任數(shù)據(jù)庫(kù)中的用戶(hù)行為可信度量,實(shí)時(shí)確定用戶(hù)當(dāng)前的安全等級(jí),并為其動(dòng)態(tài)分配相應(yīng)的服務(wù)等級(jí)和操作權(quán)限;(9)將用戶(hù)的信任狀態(tài)實(shí)時(shí)反饋給用戶(hù),提示其被授權(quán)的訪(fǎng)問(wèn)行為。
本發(fā)明相比現(xiàn)有技術(shù),具有以下優(yōu)點(diǎn):
本發(fā)明提出了一種用于企業(yè)資源管理系統(tǒng)的數(shù)據(jù)存儲(chǔ)方法,通過(guò)云存儲(chǔ)系統(tǒng)的數(shù)據(jù)同步安全機(jī)制,企業(yè)用戶(hù)可以方便而安全地同步和共享文件,企業(yè)管理員也可以直觀了解系統(tǒng)的運(yùn)行狀態(tài)。
附圖說(shuō)明
圖1是根據(jù)本發(fā)明實(shí)施例的用于企業(yè)資源管理系統(tǒng)的數(shù)據(jù)存儲(chǔ)方法的流程圖。
具體實(shí)施方式
下文與圖示本發(fā)明原理的附圖一起提供對(duì)本發(fā)明一個(gè)或者多個(gè)實(shí)施例的詳細(xì)描述。結(jié)合這樣的實(shí)施例描述本發(fā)明,但是本發(fā)明不限于任何實(shí)施例。本發(fā)明的范圍僅由權(quán)利要求書(shū)限定,并且本發(fā)明涵蓋諸多替代、修改和等同物。在下文描述中闡述諸多具體細(xì)節(jié)以便提供對(duì)本發(fā)明的透徹理解。出于示例的目的而提供這些細(xì)節(jié),并且無(wú)這些具體細(xì)節(jié)中的一些或者所有細(xì)節(jié)也可以根據(jù)權(quán)利要求書(shū)實(shí)現(xiàn)本發(fā)明。
本發(fā)明的一方面提供了一種用于企業(yè)資源管理系統(tǒng)的數(shù)據(jù)存儲(chǔ)方法。圖1是根據(jù)本發(fā)明實(shí)施例的用于企業(yè)資源管理系統(tǒng)的數(shù)據(jù)存儲(chǔ)方法流程圖。
本發(fā)明依據(jù)企業(yè)資源云存儲(chǔ)平臺(tái)允許企業(yè)自定義數(shù)據(jù)存儲(chǔ)的位置,將關(guān)鍵數(shù)據(jù)存儲(chǔ)在企業(yè)云存儲(chǔ)中,根據(jù)業(yè)務(wù)需求的變化將數(shù)據(jù)在公共云存儲(chǔ)和企業(yè)云存儲(chǔ)之間調(diào)度。企業(yè)內(nèi)部的用戶(hù)方便地同步和共享文件,企業(yè)管理員也可以直觀了解系統(tǒng)的運(yùn)行狀態(tài)。
對(duì)于云平臺(tái)服務(wù)器端,包括數(shù)據(jù)同步模塊,Web服務(wù)器,數(shù)據(jù)存儲(chǔ)模塊,數(shù)據(jù)調(diào)度引擎,身份與權(quán)限認(rèn)證中心和系統(tǒng)監(jiān)控模塊;對(duì)于用戶(hù)客戶(hù)端,包括PC客戶(hù)端應(yīng)用和Web應(yīng)用。PC客戶(hù)端應(yīng)用為用戶(hù)創(chuàng)建虛擬磁盤(pán),掛載在用戶(hù)選定的位置。該虛擬磁盤(pán)用于同步用戶(hù)的文件,所有用戶(hù)放在該目錄下的文件都同步到服務(wù)器上的云端存儲(chǔ),并和服務(wù)器的存儲(chǔ)內(nèi)容保持同步更新。Web應(yīng)用通過(guò)網(wǎng)頁(yè)來(lái)訪(fǎng)問(wèn)服務(wù)器上的文件。
服務(wù)器端的Web服務(wù)器是為用戶(hù)通過(guò)瀏覽器訪(fǎng)問(wèn)文件提供支持。數(shù)據(jù)同步模塊負(fù)責(zé)文件的同步,包括處理上傳的新文件,下載更新后的文件,將客戶(hù)端的更新同步到服務(wù)器。將同步請(qǐng)求發(fā)送到請(qǐng)求隊(duì)列中,在分布式的環(huán)境中,空閑的處理服務(wù)器從請(qǐng)求隊(duì)列中取回請(qǐng)求消息處理結(jié)果并將結(jié)果返回。數(shù)據(jù)存儲(chǔ)模塊存儲(chǔ)系統(tǒng)中要處理的結(jié)構(gòu)化信息,包括用戶(hù)的信息,共享文件的共享信息,數(shù)據(jù)目錄的存儲(chǔ)位置信息,訪(fǎng)問(wèn)認(rèn)證信息。負(fù)載平衡模塊提供于多同步服務(wù)請(qǐng)求的應(yīng)用場(chǎng)景。在用戶(hù)并發(fā)數(shù)大于同步目錄中的修改和上傳操作可接受請(qǐng)求數(shù)的情況下,把請(qǐng)求分發(fā)到不同的處理器進(jìn)行處理。采用請(qǐng)求隊(duì)列的機(jī)制集中處理事務(wù)分發(fā)的需求。數(shù)據(jù)調(diào)度引擎用于根據(jù)企業(yè)需求將數(shù)據(jù)文件在公共云和企業(yè)云存儲(chǔ)中進(jìn)行存儲(chǔ)位置的調(diào)度。身份與權(quán)限認(rèn)證中心將用戶(hù)對(duì)公共云和企業(yè)云文件的訪(fǎng)問(wèn)進(jìn)行權(quán)限認(rèn)證。系統(tǒng)監(jiān)控模塊針對(duì)系統(tǒng)服務(wù)中涉及的網(wǎng)絡(luò)端口服務(wù)數(shù)據(jù),數(shù)據(jù)流量,服務(wù)器系統(tǒng)運(yùn)行狀態(tài),應(yīng)用系統(tǒng)日志進(jìn)行實(shí)時(shí)的監(jiān)控和索引。
在數(shù)據(jù)同步過(guò)程中,客戶(hù)端運(yùn)行同步進(jìn)程,該同步進(jìn)程通過(guò)監(jiān)控線(xiàn)程檢測(cè)客戶(hù)端同步目錄下的變化,一旦用戶(hù)存儲(chǔ)企業(yè)資源文件,則觸發(fā)同步進(jìn)程和服務(wù)器進(jìn)行文件的同步。同步進(jìn)程將用戶(hù)對(duì)文件的更改提交到本地緩存中;同步進(jìn)程從服務(wù)器中下載此數(shù)據(jù)目錄的云端緩存到本地,如果有其它用戶(hù)或者同一用戶(hù)使用其它客戶(hù)端更新了服務(wù)器的內(nèi)容,此云端緩存包含了這一部分的更新;同步進(jìn)程將下載的云端緩存合并到本地的本地緩存中,這樣本地分支也包含服務(wù)器上更新的內(nèi)容;同步進(jìn)程將本地緩存上傳并合并到服務(wù)器的云端緩存,這樣服務(wù)器上云端緩存上就有該用戶(hù)的更新內(nèi)容。采用索引文件來(lái)緩存在工作流中的每個(gè)文件最后一次提交的時(shí)間戳,通過(guò)時(shí)間戳的比較來(lái)判斷哪些更新是在最近的一次提交之上進(jìn)行的。然后采用互斥鎖機(jī)制確保只有一個(gè)客戶(hù)端更新請(qǐng)求能被成功執(zhí)行,對(duì)其它客戶(hù)端則提示更新失敗,未成功更新的客戶(hù)端重新進(jìn)行上述更新操作流程。在重新進(jìn)行的過(guò)程中,未成功更新的客戶(hù)端將最新的更新合并都自己的分支中然后在更新到服務(wù)器中。
對(duì)于云平臺(tái)服務(wù)器,其運(yùn)行同步管理進(jìn)程來(lái)接受數(shù)據(jù)同步相關(guān)的請(qǐng)求,然后將請(qǐng)求發(fā)送到請(qǐng)求隊(duì)列中,空閑的同步處理進(jìn)程從請(qǐng)求隊(duì)列中取出請(qǐng)求并處理請(qǐng)求,更新事務(wù)的狀態(tài),并最后將處理的結(jié)果返回給請(qǐng)求用戶(hù)。客戶(hù)端發(fā)送的請(qǐng)求中包含了用戶(hù)的認(rèn)證相關(guān)信息,請(qǐng)求的資源存儲(chǔ)位置,請(qǐng)求的操作。首先通過(guò)身份與權(quán)限認(rèn)證中心來(lái)監(jiān)測(cè)請(qǐng)求的合法性,如果是一個(gè)新的請(qǐng)求并且請(qǐng)求信息合法,服務(wù)器將用戶(hù)的信息記錄在會(huì)話(huà)中;驗(yàn)證請(qǐng)求的合法性之后,更新請(qǐng)求的狀態(tài),如果不合法,將認(rèn)證失敗的信息返回給請(qǐng)求客戶(hù)端。如果認(rèn)證通過(guò),則新建一個(gè)處理事務(wù),在事務(wù)中加入請(qǐng)求的資源信息,資源的存儲(chǔ)位置,請(qǐng)求ID的名稱(chēng),請(qǐng)求數(shù)據(jù)目錄的相關(guān)信息。包括名稱(chēng),上級(jí)對(duì)象,請(qǐng)求的操作信息。事務(wù)的初始化工作完成之后,事務(wù)管理器就將事務(wù)加入到請(qǐng)求請(qǐng)求隊(duì)列中,等待事務(wù)處理器處理。
數(shù)據(jù)存儲(chǔ)模塊維護(hù)數(shù)據(jù)目錄信息表,其存儲(chǔ)了數(shù)據(jù)目錄的基本信息,包括存儲(chǔ)在云存儲(chǔ)的哪個(gè)位置,對(duì)應(yīng)的ID名稱(chēng)和容器名稱(chēng),是否為共享數(shù)據(jù)目錄,上級(jí)數(shù)據(jù)目錄的ID。根據(jù)組織數(shù)據(jù)目錄的層次嵌套關(guān)系,在對(duì)數(shù)據(jù)目錄進(jìn)行轉(zhuǎn)移操作時(shí)只更新該層次關(guān)系。數(shù)據(jù)存儲(chǔ)模塊還維護(hù)共享信息表,記錄了數(shù)據(jù)目錄的擁有者和共享者信息。當(dāng)用戶(hù)共享一個(gè)數(shù)據(jù)目錄給其它用戶(hù)的時(shí)候,同時(shí)創(chuàng)建一個(gè)令牌來(lái)授權(quán)其共享的用戶(hù)通過(guò)此令牌來(lái)訪(fǎng)問(wèn)和修改共享目錄中的文件內(nèi)容。
數(shù)據(jù)調(diào)度包括公共云和企業(yè)云存儲(chǔ)之間,以及云端與用戶(hù)端的數(shù)據(jù)轉(zhuǎn)移。在初始化事務(wù)的時(shí)候?qū)⑹聞?wù)格式化后放入調(diào)度隊(duì)列中,調(diào)度隊(duì)列是序列化數(shù)據(jù)調(diào)度事務(wù)的隊(duì)列。事務(wù)觸發(fā)器預(yù)定義順序初始化事務(wù),事務(wù)按照容器的粒度來(lái)進(jìn)行。從數(shù)據(jù)庫(kù)中取出令牌的訪(fǎng)問(wèn)權(quán)限信息,然后將JSON格式的事務(wù)信息放入調(diào)度隊(duì)列中。從調(diào)度隊(duì)列中取出數(shù)據(jù)調(diào)度的事務(wù),根據(jù)事務(wù)詳細(xì)信息,從對(duì)應(yīng)的容器中下載要調(diào)度的數(shù)據(jù),并將該臨時(shí)數(shù)據(jù)存放在一個(gè)同名的臨時(shí)目錄下,在對(duì)應(yīng)的企業(yè)云存儲(chǔ)中或者公共云存儲(chǔ)中創(chuàng)建同名容器,然后將下載的文件數(shù)據(jù)全部上傳到該容器中,并在數(shù)據(jù)庫(kù)中記錄調(diào)度數(shù)據(jù)的狀態(tài)。如果所有數(shù)據(jù)的都上傳成功則新增一條記錄并將成功標(biāo)記設(shè)置為true,如果有失敗的上傳則終止上傳事務(wù)并且將該容器的數(shù)據(jù)調(diào)度事務(wù)記錄的成功標(biāo)記設(shè)置為false。在調(diào)度數(shù)據(jù)隊(duì)列為空并且事務(wù)處理器都空閑的情況下,掃描臨時(shí)數(shù)據(jù)庫(kù)的事務(wù)記錄表,將失敗的調(diào)度記錄取出并按照和事務(wù)觸發(fā)器同樣的邏輯初始化事務(wù),初始化成功之后將事務(wù)格式化成JSON格式放入調(diào)度數(shù)據(jù)隊(duì)列中,重新執(zhí)行這些失敗的調(diào)度事務(wù),直到數(shù)據(jù)的調(diào)度成功完成,將數(shù)據(jù)庫(kù)中對(duì)應(yīng)的記錄更新為成功。調(diào)度數(shù)據(jù)信息記錄的記錄粒度是取決于容器,如果容器的數(shù)據(jù)調(diào)度事務(wù)失敗,則重新執(zhí)行該容器所有的數(shù)據(jù)調(diào)度。
身份與權(quán)限認(rèn)證中心在入口設(shè)置代理,根據(jù)請(qǐng)求的目標(biāo)判斷是使用公共云存儲(chǔ)還是企業(yè)云存儲(chǔ)進(jìn)行認(rèn)證。對(duì)于公共云存儲(chǔ),對(duì)于一個(gè)容器的數(shù)據(jù)的訪(fǎng)問(wèn)包含兩部分,一個(gè)是容器擁有者對(duì)該容器數(shù)據(jù)的訪(fǎng)問(wèn),一個(gè)是非容器擁有者對(duì)容器的訪(fǎng)問(wèn)。容器擁有者對(duì)容器數(shù)據(jù)的訪(fǎng)問(wèn)只需要提供該ID的名稱(chēng)和存取密鑰。對(duì)于非容器擁有者對(duì)容器數(shù)據(jù)的訪(fǎng)問(wèn),則采用唯一URI,其包含要訪(fǎng)問(wèn)的存儲(chǔ)資源信息,開(kāi)始時(shí)間,過(guò)期時(shí)間,權(quán)限控制信息以及簽名。預(yù)先存儲(chǔ)容器的讀取策略,該容器下的所有的數(shù)據(jù)都繼承了該讀取策略。對(duì)于私有云存儲(chǔ),采用租戶(hù),用戶(hù),角色三個(gè)層次對(duì)資源的訪(fǎng)問(wèn)權(quán)限進(jìn)行鑒權(quán)。
為了云環(huán)境下的客戶(hù)端的安全性,身份與權(quán)限認(rèn)證中心通過(guò)行為及加密機(jī)制來(lái)提供多層認(rèn)證、行為分析以及形成數(shù)據(jù)密文。首先通過(guò)認(rèn)證模塊提供用戶(hù)驗(yàn)證,然后統(tǒng)計(jì)模塊統(tǒng)計(jì)用戶(hù)行為,確認(rèn)用戶(hù)歷史安全性。最后基于加密封裝過(guò)程,將客戶(hù)數(shù)據(jù)轉(zhuǎn)換為加密數(shù)據(jù),并發(fā)送到云端存儲(chǔ)。
對(duì)終端用戶(hù)的認(rèn)證過(guò)程如下:客戶(hù)端生成一個(gè)隨機(jī)數(shù),然后對(duì)其進(jìn)行簽名,在進(jìn)行哈希摘要后,用認(rèn)證中心的公鑰對(duì)摘要進(jìn)行簽名,發(fā)送給認(rèn)證中心。當(dāng)認(rèn)證中心收到客戶(hù)端發(fā)來(lái)的加密信息后,首先進(jìn)行解密,然后再用客戶(hù)端的公鑰對(duì)簽名進(jìn)行驗(yàn)證。如果解密出來(lái)的隨機(jī)數(shù)哈希值和接收到的哈希值相同,則客戶(hù)端認(rèn)證通過(guò)。認(rèn)證中心解密出隨機(jī)數(shù)并用客戶(hù)端公鑰加密后,將加密后的信息發(fā)送給客戶(hù)端??蛻?hù)端用自己的私鑰進(jìn)行解密后,與自己生成的隨機(jī)數(shù)進(jìn)行比較,如果相等就認(rèn)為認(rèn)證中心合法。
具體地,身份與權(quán)限認(rèn)證中心包括密鑰管理單元、許可證管理單元、許可證驗(yàn)證單元。密鑰管理單元為許可證管理單元提供密鑰托管和加密密鑰提供服務(wù),在服務(wù)器上部署密鑰數(shù)據(jù)庫(kù),作為集中的數(shù)據(jù)庫(kù)系統(tǒng),為密鑰管理單元、許可證管理單元、許可證驗(yàn)證單元提供統(tǒng)一的數(shù)據(jù)庫(kù)模塊,定期進(jìn)行數(shù)據(jù)備份。許可證管理單元負(fù)責(zé)分發(fā)管理許可證。許可證驗(yàn)證單元負(fù)責(zé)實(shí)現(xiàn)許可證申請(qǐng)、審核業(yè)務(wù)。所述許可證驗(yàn)證單元還基于目錄服務(wù),對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的用戶(hù)提供統(tǒng)一身份鑒別和統(tǒng)一用戶(hù)授權(quán)。目錄服務(wù)包括ID目錄、認(rèn)證目錄和資源目錄,ID目錄存儲(chǔ)身份與管理策略信息,存儲(chǔ)有來(lái)自企業(yè)數(shù)據(jù)源的全部用戶(hù)數(shù)據(jù)和各應(yīng)用系統(tǒng)ID數(shù)據(jù)。認(rèn)證目錄提供用戶(hù)身份認(rèn)證,存儲(chǔ)用戶(hù)認(rèn)證所需的信息,是ID目錄的子集。資源目錄用于存儲(chǔ)全面的用戶(hù)組織架構(gòu)、授權(quán)與角色等信息。資源目錄中信息根據(jù)類(lèi)型分類(lèi)存放,存儲(chǔ)企業(yè)用戶(hù),部門(mén),用戶(hù)組數(shù)據(jù)。
其中,統(tǒng)計(jì)用戶(hù)行為,確認(rèn)用戶(hù)歷史安全性,具體為:(1)用戶(hù)發(fā)出資源訪(fǎng)問(wèn)申請(qǐng),認(rèn)證中心首先對(duì)其進(jìn)行身份驗(yàn)證,若驗(yàn)證失敗則直接拒絕其訪(fǎng)問(wèn)請(qǐng)求,身份驗(yàn)證成功的用戶(hù)交由統(tǒng)計(jì)模塊進(jìn)行用戶(hù)行為認(rèn)證;(2)統(tǒng)計(jì)模塊查詢(xún)安全性數(shù)據(jù)庫(kù)所存儲(chǔ)的用戶(hù)當(dāng)前信任值,判定其行為安全等級(jí),并依據(jù)安全等級(jí)授予其相應(yīng)的服務(wù)等級(jí)和訪(fǎng)問(wèn)權(quán)限,如果用戶(hù)低于最低服務(wù)等級(jí)則拒絕其訪(fǎng)問(wèn)請(qǐng)求;(3)在用戶(hù)的訪(fǎng)問(wèn)過(guò)程中,認(rèn)證中心的行為獲取模塊實(shí)時(shí)監(jiān)控用戶(hù)的操作行為,獲取用戶(hù)行為;(4)行為處理模塊將獲取的用戶(hù)行為進(jìn)行標(biāo)準(zhǔn)量化處理;(5)將標(biāo)準(zhǔn)化后的行為向量,保存在行為數(shù)據(jù)庫(kù)中;(6)利用行為數(shù)據(jù)庫(kù)中的行為向量綜合評(píng)估用戶(hù)行為安全性;(7)將用戶(hù)不同時(shí)間段的行為可信度量存入安全性數(shù)據(jù)庫(kù);(8)統(tǒng)計(jì)模塊讀取信任數(shù)據(jù)庫(kù)中的用戶(hù)行為可信度量,實(shí)時(shí)確定用戶(hù)當(dāng)前的安全等級(jí),并為其動(dòng)態(tài)分配相應(yīng)的服務(wù)等級(jí)和操作權(quán)限;(9)將用戶(hù)的信任狀態(tài)實(shí)時(shí)反饋給用戶(hù),提示其被授權(quán)的訪(fǎng)問(wèn)行為。
所述基于加密封裝過(guò)程,將客戶(hù)數(shù)據(jù)轉(zhuǎn)換為加密數(shù)據(jù),進(jìn)一步包括,將用戶(hù)私鑰對(duì)應(yīng)于屬性集合,解密后,僅當(dāng)用戶(hù)擁有的屬性集合滿(mǎn)足此密文對(duì)應(yīng)的訪(fǎng)問(wèn)結(jié)構(gòu)時(shí)才可獲得明文:
數(shù)據(jù)擁有者產(chǎn)生主密鑰及公鑰,之后用戶(hù)對(duì)公鑰進(jìn)行簽名,然后將公鑰與簽名發(fā)送給服務(wù)器,自己存儲(chǔ)主密鑰。當(dāng)新用戶(hù)加入系統(tǒng)時(shí),系統(tǒng)為每個(gè)用戶(hù)的屬性設(shè)置一個(gè)屬性集,并且為其生成私鑰。然后客戶(hù)端在上傳文件時(shí)制定文件存取策略,系統(tǒng)根據(jù)當(dāng)前的存取策略對(duì)文件進(jìn)行加密,加密之后得到密文數(shù)據(jù)。當(dāng)用戶(hù)加密的屬性滿(mǎn)足了存取策略,系統(tǒng)就可以根據(jù)解密算法對(duì)加密之后的文件進(jìn)行解密成明文數(shù)據(jù)。
綜上所述,本發(fā)明提出了一種用于企業(yè)資源管理系統(tǒng)的數(shù)據(jù)存儲(chǔ)方法,通過(guò)云存儲(chǔ)系統(tǒng)的數(shù)據(jù)同步安全機(jī)制,企業(yè)用戶(hù)可以方便而安全地同步和共享文件,企業(yè)管理員也可以直觀了解系統(tǒng)的運(yùn)行狀態(tài)。
顯然,本領(lǐng)域的技術(shù)人員應(yīng)該理解,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算系統(tǒng)來(lái)實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算系統(tǒng)上,或者分布在多個(gè)計(jì)算系統(tǒng)所組成的網(wǎng)絡(luò)上,可選地,它們可以用計(jì)算系統(tǒng)可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn),從而,可以將它們存儲(chǔ)在存儲(chǔ)系統(tǒng)中由計(jì)算系統(tǒng)來(lái)執(zhí)行。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。
應(yīng)當(dāng)理解的是,本發(fā)明的上述具體實(shí)施方式僅僅用于示例性說(shuō)明或解釋本發(fā)明的原理,而不構(gòu)成對(duì)本發(fā)明的限制。因此,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。此外,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例。