專利名稱:云平臺中用戶訪問權(quán)限的控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及云計算技術(shù)領(lǐng)域���,特別涉及一種云平臺中用戶訪問權(quán)限的控制方法����。
背景技術(shù):
云計算是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加��、使用和交付模式���,通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴展且經(jīng)常是虛擬化的資源�。云計算借助于虛擬化技術(shù)����,能夠?qū)⒎植荚诓煌貐^(qū)的計算資源進行整合,實現(xiàn)基礎(chǔ)設(shè)施資源的共享�����。同時,用戶可借助不同的終端設(shè)備�����,通過標準的應(yīng)用實現(xiàn)對網(wǎng)絡(luò)資源的訪問����,使對網(wǎng)絡(luò)資源的訪問無處不在。在云計算及云平臺為用戶提供極大便利的同時�����,與之伴隨的信息安全與隱私保護問題也一直是業(yè)界關(guān)注和解決的重點��。其中����,用戶訪問權(quán)限的控制與管理尤為重要。所有的云服務(wù)及每個云服務(wù)的管理界面都需要身份管理�����、認證��、授權(quán)和審計的機制�����。目前��,用戶授權(quán)的流程一般是:系統(tǒng)管理員新建一個組織機構(gòu)或組��,在組下創(chuàng)建用戶��,如果用戶參與多個組工作就做用戶參與組管理���;由系統(tǒng)管理員統(tǒng)一創(chuàng)建用戶���,并為用戶分配權(quán)限,系統(tǒng)管理員將相應(yīng)的用戶分配給對應(yīng)的組����,并依次向下分配給用戶權(quán)限;組和系統(tǒng)管理員只需做用戶隸屬組管理��,這樣用戶就擁有了該組擁有的權(quán)限����。上述用戶授權(quán)方式存在以下不足:1、粗粒度的授權(quán)控制:云服務(wù)的管理界面特別傾向于提供過粗粒度的授權(quán)控制模型,因此���,像職責分離這樣的標準安全措施得不到實施�,因為該方式?jīng)]辦法只提供給用戶那些僅夠他們展開工作的權(quán)限����;2、系統(tǒng)管理員是所有用戶權(quán)限的授權(quán)者�,其同時擁有了所有權(quán)限,因此可以訪問普通用戶的對象資源���,使普通用戶的特定對象資源得不到對應(yīng)的有效保護����。VPN (Virtual Private Network,虛擬專用網(wǎng))指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)�����,其實質(zhì)上就是利用加密技術(shù)在公用網(wǎng)絡(luò)上封裝出一個數(shù)據(jù)通訊隧道�����,從而有效保護用戶信息���。VPN的主要功能包括:加密數(shù)據(jù)�����,以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露����;信息認證和身份認證���,保證信息的完整性���、合法性,并能鑒別用戶的身份����;提供訪問控制,不同的用戶有不同的訪問權(quán)限�。VPN技術(shù)為解決云平臺中用戶訪問權(quán)限的控制問題提供了有效的方法和思路。
發(fā)明內(nèi)容
(一)所要解決的技術(shù)問題本發(fā)明的目的在于提供一種云平臺中用戶訪問權(quán)限的控制方法�����,以實現(xiàn)不同用戶對對象訪問控制的分離�,從而提高云平臺中用戶信息的安全性���。(二)技術(shù)方案為了解決上述技術(shù)問題,本發(fā)明提出了一種云平臺中用戶訪問權(quán)限的控制方法��,所述方法包括以下步驟:
S1�����、系統(tǒng)管理員或超級用戶為每個用戶分配其對對象i的用戶權(quán)限����,對象i的擁有者為每個用戶分配其對對象i的對象訪問權(quán)限;S2��、當用戶j向云平臺服務(wù)器請求對對象i進行某項操作時��,所述服務(wù)器判斷用戶j是否具有對對象i進行該項操作的用戶權(quán)限�����,若是��,則進入步驟S3����,否則拒絕用戶j的操作請求���;S3、所述服務(wù)器判斷用戶j是否具有對對象i的對象訪問權(quán)限���,若是���,則接受用戶j的操作請求�,否則拒絕用戶j的操作請求?����?蛇x的���,步驟S3具體包括:S3-1�、所述服務(wù)器判斷用戶j是否是對象i的擁有者��,若是���,則接受用戶j的操作請求���,否則進入步驟S3-2 ����;S3-2�����、所述服務(wù)器判斷用戶j是否具有對對象i的對象訪問權(quán)限��,若是��,則接受用戶j的操作請求���,否則拒絕用戶j的操作請求�����?�?蛇x的�����,步驟SI中�,為每個用戶分配其對對象i的用戶權(quán)限時采用授權(quán)樹的形式�,從頂層開始依次往下進行權(quán)限授權(quán)���。可選的����,步驟S2中,判斷用戶j是否具有對對象i進行該項操作的用戶權(quán)限具體包括:從用戶j或用戶j所在組對應(yīng)的節(jié)點開始廣度向上遍歷授權(quán)樹的所有路徑�,若存在POLICY,則判定為用戶j具有對對象i進行該項操作的用戶權(quán)限�。可選的��,所述方法應(yīng)用于VPN中��?�?蛇x的��,所述服務(wù)器為VPN服務(wù)器�����。(三)有益效果本發(fā)明提出的技術(shù)方案能夠在云計算平臺下�����,實現(xiàn)對多用戶權(quán)限的管理與控制��,從而實現(xiàn)不同用戶對對象的訪問控制分離��;同時����,采用虛擬專用網(wǎng)(VPN),能夠進一步實現(xiàn)對普通用戶的保密信息的雙重保護���。
圖1是本發(fā)明提出的云平臺中用戶訪問權(quán)限的控制方法的基本流程圖���。
具體實施例方式下面結(jié)合附圖和實施例,對本發(fā)明的具體實施方式
作進一步詳細描述����。本發(fā)明的技術(shù)方案采用了用戶權(quán)限與對象訪問權(quán)限相分離的策略。用戶權(quán)限是系統(tǒng)管理員或超級用戶給每個用戶分配的各種操作權(quán)限�����,而對象訪問權(quán)限是對象的擁有者給其他用戶分配的對象的操作權(quán)限����。如圖1所示�,本發(fā)明提出的云平臺中用戶訪問權(quán)限的控制方法包括以下步驟:S1�����、系統(tǒng)管理員或超級用戶為每個用戶分配其對對象i的用戶權(quán)限�����,對象i的擁有者為每個用戶分配其對對象i的對象訪問權(quán)限����;S2、當用戶j向云平臺服務(wù)器請求對對象i進行某項操作時�,所述服務(wù)器判斷用戶j是否具有對對象i進行該項操作的用戶權(quán)限,若是��,則進入步驟S3���,否則拒絕用戶j的操作請求;
S3�、所述服務(wù)器判斷用戶j是否具有對對象i的對象訪問權(quán)限,若是��,則接受用戶j的操作請求�,否則拒絕用戶j的操作請求�����。其中����,步驟S3具體包括:S3-1���、所述服務(wù)器判斷用戶j是否是對象i的擁有者�,若是�����,則接受用戶j的操作請求��,否則進入步驟S3-2 ��;S3-2�����、所述服務(wù)器判斷用戶j是否具有對對象i的對象訪問權(quán)限��,若是,則接受用戶j的操作請求�����,否則拒絕用戶j的操作請求�����。步驟SI涉及用戶訪問權(quán)限的授權(quán)�,其中,為每個用戶分配用戶權(quán)限時可采用授權(quán)樹的形式��,從頂層開始依次往下進行相關(guān)權(quán)限授權(quán)��。授權(quán)樹最頂層的系統(tǒng)管理員或超級用戶可看做根節(jié)點����,用戶j或用戶j所在組為葉子節(jié)點,從系統(tǒng)管理員或超級用戶發(fā)出的授權(quán)關(guān)系為POLICY���。步驟S2涉及用戶權(quán)限的判定�,其中����,判斷用戶j是否具有對對象i進行該項操作的用戶權(quán)限具體包括:從用戶j或用戶j所在組對應(yīng)的節(jié)點開始廣度向上遍歷授權(quán)樹的所有路徑,若存在POLICY�,則認為用戶j具有對對象i進行該項操作的用戶權(quán)限。步驟S3涉及對象訪問權(quán)限的判定��,對象訪問權(quán)限的授權(quán)檢查不使用POLICY策略����,只需用戶是對象的擁有者或具有對象訪問權(quán)限就可以了。所有用戶對對象進行操作時���,需要同時具有用戶權(quán)限和對象訪問權(quán)限才可以實現(xiàn)操作�����,兩者缺一不可����。這樣可以有效保護用戶的對象資源���;尤其是對于普通用戶所擁有的特定對象資源����,即使是系統(tǒng)管理員或超級用戶�,只要不具備對象訪問權(quán)限�,就無法對這些特定對象進行操作�����,從而有效保護了普通用戶的信息和隱私�。除通過上述的對象細粒度分離控制保護不同用戶的信息外,對于有特殊要求的用戶信息�����,還可以采用建立一個專門的虛擬專用網(wǎng)(VPN)的方式��,建立專用的數(shù)據(jù)通信隧道����,從而實現(xiàn)對用戶信息的雙重保護。具體來說即���,在對用戶進行授權(quán)�、用戶權(quán)限判定以及用戶對對象訪問操作時���,使用VPN對用戶信息進行保護���。在這種情況下����,上述方法中的云平臺服務(wù)器是指VPN服務(wù)器��。以上所述僅是本發(fā)明的優(yōu)選實施方式���,應(yīng)當指出,對于本領(lǐng)域的普通技術(shù)人員來說���,在不脫離本發(fā)明技術(shù)原理的前提下��,還可以做出若干改進和替換�����,這些改進和替換也應(yīng)視為本發(fā)明的保護范圍���。
權(quán)利要求
1.一種云平臺中用戶訪問權(quán)限的控制方法,其特征在于����,所述方法包括以下步驟: 51、系統(tǒng)管理員或超級用戶為每個用戶分配其對對象i的用戶權(quán)限�����, 對象i的擁有者為每個用戶分配其對對象i的對象訪問權(quán)限; 52���、當用戶j向云平臺服務(wù)器請求對對象i進行某項操作時����,所述服務(wù)器判斷用戶j是否具有對對象i進行該項操作的用戶權(quán)限�,若是,則進入步驟S3�����,否則拒絕用戶j的操作請求���; 53�、所述服務(wù)器判斷用戶j是否具有對對象i的對象訪問權(quán)限����,若是,則接受用戶j的操作請求���,否則拒絕用戶j的操作請求��。
2.根據(jù)權(quán)利要求1所述的云平臺中用戶訪問權(quán)限的控制方法�,其特征在于,步驟S3具體包括: S3-1����、所述服務(wù)器判斷用戶j是否是對象i的擁有者����,若是,則接受用戶j的操作請求��,否則進入步驟S3-2 ���; S3-2�、所述服務(wù)器判斷用戶j是否具有對對象i的對象訪問權(quán)限�����,若是��,則接受用戶j的操作請求�,否則拒絕用戶j的操作請求。
3.根據(jù)權(quán)利要求1所述的云平臺中用戶訪問權(quán)限的控制方法����,其特征在于���,步驟SI中,為每個用戶分配其對對象i的用戶權(quán)限時采用授權(quán)樹的形式�����,從頂層開始依次往下進行權(quán)限授權(quán)��。
4.根據(jù)權(quán)利要求3所述的云平臺中用戶訪問權(quán)限的控制方法��,其特征在于��,步驟S2中���,判斷用戶j是否具有對對象i進行該項操作的用戶權(quán)限具體包括: 從用戶j或用戶j所在組對應(yīng)的節(jié)點開始廣度向上遍歷授權(quán)樹的所有路徑�,若存在POLICY���,則判定為用戶j具有對對象i進行該項操作的用戶權(quán)限���。
5.根據(jù)權(quán)利要求1所述的云平臺中用戶訪問權(quán)限的控制方法,其特征在于,所述方法應(yīng)用于VPN中����。
6.根據(jù)權(quán)利要求1-5中任一項所述的云平臺中用戶訪問權(quán)限的控制方法,其特征在于�����,所述服務(wù)器為VPN服務(wù)器��。
全文摘要
本發(fā)明公開了一種云平臺中用戶訪問權(quán)限的控制方法�����。所述方法包括S1�、系統(tǒng)管理員或超級用戶為每個用戶分配其對對象i的用戶權(quán)限����,對象i的擁有者為每個用戶分配其對對象i的對象訪問權(quán)限;S2�、當用戶j向云平臺服務(wù)器請求對對象i進行某項操作時,服務(wù)器判斷用戶j是否具有對對象i進行該項操作的用戶權(quán)限��,若是��,則進入步驟S3,否則拒絕用戶j的操作請求����;S3、服務(wù)器判斷用戶j是否具有對對象i的對象訪問權(quán)限�����,若是�,則接受用戶j的操作請求,否則拒絕用戶j的操作請求���。本發(fā)明提出的技術(shù)方案能夠在云平臺中實現(xiàn)不同用戶對對象的訪問控制分離��;同時能夠利用VPN進一步實現(xiàn)對普通用戶的保密信息的雙重保護�。
文檔編號H04L29/06GK103188269SQ20131011943
公開日2013年7月3日 申請日期2013年4月8日 優(yōu)先權(quán)日2013年4月8日
發(fā)明者周瑜 申請人:漢柏科技有限公司