一種云計(jì)算訪問控制系統(tǒng)及方法
【專利摘要】本發(fā)明涉及一種云計(jì)算訪問控制系統(tǒng)及方法，包括：用戶接入模塊：用于實(shí)現(xiàn)用戶向云計(jì)算提供商的服務(wù)器發(fā)送登錄請(qǐng)求，服務(wù)器響應(yīng)該用戶的登錄請(qǐng)求，包括身份認(rèn)證模塊和用戶管理模塊；訪問控制模塊：用于將所述用戶的登錄請(qǐng)求轉(zhuǎn)化為XACML格式請(qǐng)求，并控制和管理訪問權(quán)限；資源服務(wù)管理模塊：用于對(duì)不同用戶訪問資源進(jìn)行管理，監(jiān)控記錄用戶使用過程的信息日志管理；應(yīng)用服務(wù)管理模塊：用于通過一個(gè)公開接口實(shí)現(xiàn)向資源服務(wù)管理模塊發(fā)起調(diào)用請(qǐng)求，包括資源服務(wù)注冊(cè)模塊、刪除模塊和調(diào)用模塊。應(yīng)用監(jiān)控機(jī)制和XACML有機(jī)融合來增強(qiáng)授權(quán)的靈活性，該云計(jì)算訪問控制系統(tǒng)具有細(xì)粒度性、動(dòng)態(tài)性、可擴(kuò)展性和更具安全性。
【專利說明】一種云計(jì)算訪問控制系統(tǒng)及方法

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計(jì)算，特別是一種云計(jì)算訪問控制系統(tǒng)及方法。

【背景技術(shù)】
[0002]隨著云計(jì)算的不斷發(fā)展，云安全問題變得越來越重要，云計(jì)算環(huán)境中對(duì)用戶數(shù)據(jù)的保密性、完整性、隔離性等安全保護(hù)十分關(guān)鍵，云端要實(shí)現(xiàn)用戶端大量數(shù)據(jù)的安全防護(hù)，其中訪問控制技術(shù)是關(guān)鍵，現(xiàn)有的訪問控制系統(tǒng)的授權(quán)靈活形及可擴(kuò)展性不強(qiáng)，限制了云計(jì)算的廣泛應(yīng)用。


【發(fā)明內(nèi)容】

[0003]本發(fā)明提供一種云計(jì)算訪問控制系統(tǒng)及方法，以提高訪問控制系統(tǒng)的授權(quán)靈活形及可擴(kuò)展性。
[0004]為了解決上述技術(shù)問題，一種云計(jì)算訪問控制系統(tǒng)，包括:
[0005]用戶接入模塊:用于實(shí)現(xiàn)用戶向云計(jì)算提供商的服務(wù)器發(fā)送登錄請(qǐng)求，服務(wù)器響應(yīng)該用戶的登錄請(qǐng)求；
[0006]訪問控制模塊:用于將所述用戶的登錄請(qǐng)求轉(zhuǎn)化為XACML格式請(qǐng)求，并控制和管理訪問權(quán)限；
[0007]資源服務(wù)管理模塊:用于對(duì)不同用戶訪問資源進(jìn)行管理，監(jiān)控記錄用戶使用過程的信息日志管理；
[0008]應(yīng)用服務(wù)管理模塊:通過一個(gè)公開接口實(shí)現(xiàn)向資源服務(wù)管理模塊發(fā)起調(diào)用請(qǐng)求。
[0009]本發(fā)明的有益效果是:應(yīng)用監(jiān)控機(jī)制和XACML有機(jī)融合來增強(qiáng)授權(quán)的靈活性，該云計(jì)算訪問控制系統(tǒng)具有細(xì)粒度性、動(dòng)態(tài)性、可擴(kuò)展性和更具安全性。
[0010]進(jìn)一步，所述用戶接入模塊包括:
[0011]身份認(rèn)證模塊:用于驗(yàn)證登陸請(qǐng)求用戶的身份；
[0012]用戶管理模塊:用于對(duì)用戶的信息的管理與控制。
[0013]進(jìn)一步，所述訪問控制模塊包括:
[0014]訪問控制策略實(shí)施模塊:用于將XACML格式請(qǐng)求發(fā)送到訪問控制決策模塊；
[0015]訪問控制決策模塊:用于根據(jù)XACML格式請(qǐng)求向策略管理點(diǎn)模塊查詢所述用戶的屬性；
[0016]策略管理點(diǎn)模塊:用于向訪問控制決策模塊提供策略支持，通過訪問控制決策模塊對(duì)策略的評(píng)估，返回評(píng)估結(jié)果給訪問控制策略實(shí)施模塊處理；
[0017]訪問控制信息管理點(diǎn)模塊:用于向訪問控制決策模塊提供用戶的屬性查詢結(jié)果。
[0018]進(jìn)一步,所述訪問控制策略實(shí)施模塊包括:
[0019]監(jiān)聽模塊:用于實(shí)施處理用戶的請(qǐng)求，檢查系統(tǒng)的環(huán)境信息、用戶的授權(quán)值與授權(quán)條件是否相符合，如發(fā)現(xiàn)變化，向訪問控制決策模塊重新發(fā)出請(qǐng)求，要求訪問控制決策模塊對(duì)決策重新評(píng)估；
[0020]更新模塊:用于實(shí)時(shí)監(jiān)控用戶屬性的變化，如果用戶的權(quán)限不滿足權(quán)限執(zhí)行的要求時(shí)，通知服務(wù)器暫停對(duì)用戶授權(quán)，并將相應(yīng)的信息發(fā)給用戶。
[0021]進(jìn)一步,所述訪問控制決策模塊包括:
[0022]授權(quán)規(guī)則模塊:用于根據(jù)用戶的屬性和使用規(guī)則檢查訪問是否合法；
[0023]條件模塊:利用使用規(guī)則和上下文信息決定授權(quán)請(qǐng)求的條件是否滿足；
[0024]評(píng)估模塊:結(jié)合授權(quán)規(guī)則模塊和條件模塊一起對(duì)主體的訪問請(qǐng)求進(jìn)行策略評(píng)估。
[0025]進(jìn)一步，所述應(yīng)用服務(wù)管理模塊包括:
[0026]應(yīng)用服務(wù)注冊(cè)模塊:用于用戶注冊(cè)資源管理服務(wù)的訪問地址、功能描述、訪問方式的應(yīng)用服務(wù)信息；
[0027]應(yīng)用服務(wù)刪除模塊:用于刪除用戶的應(yīng)用服務(wù)信息；
[0028]應(yīng)用服務(wù)調(diào)用模塊:用于通過應(yīng)用服務(wù)信息向資源服務(wù)管理模塊發(fā)起調(diào)用請(qǐng)求。
[0029]采用上述進(jìn)一步方案的有益效果是:通過監(jiān)聽模塊更靈活地控制訪問權(quán)限，提醒并引導(dǎo)用戶提供必要的條件來滿足訪問權(quán)限；通過授權(quán)規(guī)則模塊、條件模塊和義務(wù)模塊一起對(duì)主體的訪問請(qǐng)求進(jìn)行策略評(píng)估，是訪問控制更加安全可靠。
[0030]本發(fā)明還提供一種云計(jì)算訪問控制方法，包括用戶接入控制步驟和用戶訪問控制步驟:
[0031]用戶接入控制步驟包括:
[0032]步驟S1:用戶聲明一個(gè)證明身份的密鑰，將所述密鑰KEY存儲(chǔ)在用戶端的USB Key中和云計(jì)算提供商的服務(wù)器中；
[0033]步驟S2:用戶向云計(jì)算提供商的服務(wù)器發(fā)送登錄請(qǐng)求，服務(wù)器響應(yīng)該用戶的請(qǐng)求，所述服務(wù)器返回給所述用戶一個(gè)隨機(jī)數(shù)X，X和KEY經(jīng)MD5算法得到信息摘要f ；
[0034]步驟S3:將信息摘要f返回給所述服務(wù)器，所述服務(wù)器將存儲(chǔ)在本地的隨機(jī)數(shù)X與存儲(chǔ)在服務(wù)器中的秘鑰KEY進(jìn)行MD5運(yùn)算；
[0035]步驟S4:如果所述服務(wù)器端的運(yùn)算結(jié)果與所述用戶端的信息摘要f相同時(shí)，則認(rèn)為用戶端是一個(gè)合法的用戶，否則為非法用戶；
[0036]訪問控制步驟包括:
[0037]進(jìn)行訪問控制策略的實(shí)施，將用戶登錄請(qǐng)求轉(zhuǎn)化為XACML格式請(qǐng)求，將所述XACML格式請(qǐng)求發(fā)送到訪問決策控制點(diǎn)，根據(jù)多策略評(píng)估后返回的結(jié)果實(shí)施相應(yīng)的允許或拒絕。
[0038]進(jìn)一步,所述進(jìn)行訪問控制策略的實(shí)施還包括訪問監(jiān)聽:
[0039]實(shí)時(shí)處理用戶的請(qǐng)求，檢查系統(tǒng)的環(huán)境信息、用戶的授權(quán)值與授權(quán)條件是否相符合，如發(fā)現(xiàn)變化，向訪問決策控制點(diǎn)重新發(fā)出請(qǐng)求，要求問決策控制點(diǎn)對(duì)決策重新評(píng)估。
[0040]本發(fā)明的有益效果是:通過用戶身份的雙重驗(yàn)證，增強(qiáng)了訪問控制系統(tǒng)的安全性，應(yīng)用監(jiān)控機(jī)制和XACML有機(jī)融合來增強(qiáng)授權(quán)的靈活性，該云計(jì)算訪問控制系統(tǒng)具有細(xì)粒度性、動(dòng)態(tài)性、可擴(kuò)展性；通過監(jiān)聽模塊更靈活地控制訪問權(quán)限，提醒并引導(dǎo)用戶提供必要的條件來滿足訪問權(quán)限。

【專利附圖】

【附圖說明】
[0041]圖1是本發(fā)明云計(jì)算訪問控制系統(tǒng)總體框圖，
[0042]圖2是本發(fā)明用戶接入控制的流程圖。

【具體實(shí)施方式】
[0043]下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的說明。
[0044]圖1是本發(fā)明云計(jì)算訪問控制系統(tǒng)總體框圖，包括:
[0045]用戶接入模塊:用于實(shí)現(xiàn)用戶向云計(jì)算提供商的服務(wù)器發(fā)送登錄請(qǐng)求，服務(wù)器響應(yīng)該用戶的登錄請(qǐng)求；
[0046]訪問控制模塊:用于將所述用戶的登錄請(qǐng)求轉(zhuǎn)化為XACML格式請(qǐng)求，并控制和管理訪問權(quán)限；
[0047]資源服務(wù)管理模塊:用于對(duì)不同用戶訪問資源進(jìn)行管理，監(jiān)控記錄用戶使用過程的信息日志管理；
[0048]應(yīng)用服務(wù)管理模塊:通過一個(gè)公開接口實(shí)現(xiàn)向資源服務(wù)管理模塊發(fā)起調(diào)用請(qǐng)求。
[0049]用戶接入模塊包括:
[0050]身份認(rèn)證模塊:用于驗(yàn)證登陸請(qǐng)求用戶的身份；
[0051]用戶管理模塊:用于對(duì)用戶的信息的管理與控制。
[0052]訪問控制模塊包括:
[0053]訪問控制策略實(shí)施模塊:用于將XACML格式請(qǐng)求發(fā)送到訪問控制決策模塊；
[0054]訪問控制決策模塊:用于根據(jù)XACML格式請(qǐng)求向策略管理點(diǎn)模塊查詢所述用戶的屬性；
[0055]策略管理點(diǎn)模塊:用于向訪問控制決策模塊提供策略支持,通過訪問控制決策模塊對(duì)策略的評(píng)估，返回評(píng)估結(jié)果給訪問控制策略實(shí)施模塊處理；
[0056]訪問控制信息管理點(diǎn)模塊:用于向訪問控制決策模塊提供用戶的屬性查詢結(jié)果。
[0057]訪問控制策略實(shí)施模塊包括:
[0058]監(jiān)聽模塊:用于實(shí)施處理用戶的請(qǐng)求，檢查系統(tǒng)的環(huán)境信息、用戶的授權(quán)值與授權(quán)條件是否相符合，如發(fā)現(xiàn)變化，向訪問控制決策模塊重新發(fā)出請(qǐng)求，要求訪問控制決策模塊對(duì)決策重新評(píng)估；
[0059]更新模塊:用于實(shí)時(shí)監(jiān)控用戶屬性的變化，如果用戶的權(quán)限不滿足權(quán)限執(zhí)行的要求時(shí)，通知服務(wù)器暫停對(duì)用戶授權(quán)，并將相應(yīng)的信息發(fā)給用戶。
[0060]訪問控制決策模塊包括:
[0061]授權(quán)規(guī)則模塊:用于根據(jù)用戶的屬性和使用規(guī)則檢查訪問是否合法；
[0062]條件模塊:利用使用規(guī)則和上下文信息決定授權(quán)請(qǐng)求的條件是否滿足；
[0063]評(píng)估模塊:結(jié)合授權(quán)規(guī)則模塊和條件模塊一起對(duì)主體的訪問請(qǐng)求進(jìn)行策略評(píng)估。
[0064]應(yīng)用服務(wù)管理模塊包括:
[0065]資源服務(wù)注冊(cè)模塊:用于用戶注冊(cè)資源管理服務(wù)的訪問地址、功能描述、訪問方式的應(yīng)用服務(wù)信息；
[0066]資源服務(wù)刪除模塊:用于刪除用戶的應(yīng)用服務(wù)信息；
[0067]資源服務(wù)調(diào)用模塊:用于通過應(yīng)用服務(wù)信息向資源服務(wù)管理模塊發(fā)起調(diào)用請(qǐng)求。
[0068]本發(fā)明的有益效果是:應(yīng)用監(jiān)控機(jī)制和XACML有機(jī)融合來增強(qiáng)授權(quán)的靈活性，該云計(jì)算訪問控制系統(tǒng)具有細(xì)粒度性、動(dòng)態(tài)性、可擴(kuò)展性和更具安全性；通過監(jiān)聽模塊更靈活地控制訪問權(quán)限，提醒并引導(dǎo)用戶提供必要的條件來滿足訪問權(quán)限；通過授權(quán)規(guī)則模塊、條件模塊和義務(wù)模塊一起對(duì)主體的訪問請(qǐng)求進(jìn)行策略評(píng)估，是訪問控制更加安全可靠。
[0069]本發(fā)明還提供一種云計(jì)算訪問控制方法，包括用戶接入控制步驟和用戶訪問控制步驟:
[0070]圖2是本發(fā)明用戶接入控制的流程圖，
[0071]用戶接入控制步驟包括:
[0072]步驟S1:用戶聲明一個(gè)證明身份的密鑰，將所述秘鑰KEY存儲(chǔ)在用戶端的USB Key中和云計(jì)算提供商的服務(wù)器中；
[0073]步驟S2:用戶向云計(jì)算提供商的服務(wù)器發(fā)送登錄請(qǐng)求，服務(wù)器響應(yīng)該用戶的請(qǐng)求，所述服務(wù)器返回給所述用戶一個(gè)隨機(jī)數(shù)X，X和KEY經(jīng)MD5算法得到信息摘要f ；
[0074]步驟S3:將信息摘要f返回給所述服務(wù)器，所述服務(wù)器將存儲(chǔ)在本地的隨機(jī)數(shù)X與存儲(chǔ)在服務(wù)器中的秘鑰KEY進(jìn)行MD5運(yùn)算；
[0075]步驟S4:如果所述服務(wù)器端的運(yùn)算結(jié)果與所述用戶端的信息摘要f相同時(shí)，則認(rèn)為用戶端是一個(gè)合法的用戶，否則為非法用戶；
[0076]訪問控制步驟包括:
[0077]進(jìn)行訪問控制策略的實(shí)施，將用戶登錄請(qǐng)求轉(zhuǎn)化為XACML格式請(qǐng)求，將所述XACML格式請(qǐng)求發(fā)送到訪問決策控制點(diǎn)，根據(jù)多策略評(píng)估后返回的結(jié)果實(shí)施相應(yīng)的允許或拒絕。
[0078]進(jìn)一步,所述進(jìn)行訪問控制策略的實(shí)施還包括訪問監(jiān)聽:
[0079]實(shí)時(shí)處理用戶的請(qǐng)求，檢查系統(tǒng)的環(huán)境信息、用戶的授權(quán)值與授權(quán)條件是否相符合，如發(fā)現(xiàn)變化，向訪問決策控制點(diǎn)重新發(fā)出請(qǐng)求，要求問決策控制點(diǎn)對(duì)決策重新評(píng)估。
[0080]本發(fā)明的有益效果是:通過用戶身份的雙重驗(yàn)證，增強(qiáng)了訪問控制系統(tǒng)的安全性，應(yīng)用監(jiān)控機(jī)制和XACML有機(jī)融合來增強(qiáng)授權(quán)的靈活性，該云計(jì)算訪問控制系統(tǒng)具有細(xì)粒度性、動(dòng)態(tài)性、可擴(kuò)展性；通過監(jiān)聽模塊更靈活地控制訪問權(quán)限，提醒并引導(dǎo)用戶提供必要的條件來滿足訪問權(quán)限。
[0081]以上對(duì)本發(fā)明云計(jì)算訪問控制系統(tǒng)及方法進(jìn)行了詳細(xì)介紹，本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說明只是用于幫助理解本發(fā)明的核心思想；同時(shí)，對(duì)于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在【具體實(shí)施方式】及應(yīng)用范圍上均會(huì)有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
【權(quán)利要求】
1.一種云計(jì)算訪問控制系統(tǒng)，其特征在于，包括: 用戶接入模塊:用于實(shí)現(xiàn)用戶向云計(jì)算提供商的服務(wù)器發(fā)送登錄請(qǐng)求，服務(wù)器響應(yīng)該用戶的登錄請(qǐng)求； 訪問控制模塊:用于將所述用戶的登錄請(qǐng)求轉(zhuǎn)化為XACML格式請(qǐng)求，并控制和管理訪問權(quán)限； 資源服務(wù)管理模塊:用于對(duì)不同用戶訪問資源進(jìn)行管理，監(jiān)控記錄用戶使用過程的信息日志管理； 應(yīng)用服務(wù)管理模塊:用于通過一個(gè)公開接口實(shí)現(xiàn)向資源服務(wù)管理模塊發(fā)起調(diào)用請(qǐng)求。
2.根據(jù)權(quán)利要求1所述的云計(jì)算訪問控制系統(tǒng)，其特征在于，所述用戶接入模塊包括: 身份認(rèn)證模塊:用于驗(yàn)證登陸請(qǐng)求用戶的身份； 用戶管理模塊:用于對(duì)用戶的信息的管理與控制。
3.根據(jù)權(quán)利要求1所述的云計(jì)算訪問控制系統(tǒng)，其特征在于，所述訪問控制模塊包括: 訪問控制策略實(shí)施模塊:用于將XACML格式請(qǐng)求發(fā)送到訪問控制決策模塊； 訪問控制決策模塊:用于根據(jù)XACML格式請(qǐng)求向策略管理點(diǎn)模塊查詢所述用戶的屬性； 策略管理點(diǎn)模塊:用于向訪問控制決策模塊提供策略支持，通過訪問控制決策模塊對(duì)策略的評(píng)估，返回評(píng)估結(jié)果給訪問控制策略實(shí)施模塊處理； 訪問控制信息管理點(diǎn)模塊:用于向訪問控制決策模塊提供用戶的屬性查詢結(jié)果。
4.根據(jù)權(quán)利要求3所述的云計(jì)算訪問控制系統(tǒng)，其特征在于，所述訪問控制策略實(shí)施模塊包括: 監(jiān)聽模塊:用于實(shí)施處理用戶的請(qǐng)求，檢查系統(tǒng)的環(huán)境信息、用戶的授權(quán)值與授權(quán)條件是否相符合，如發(fā)現(xiàn)變化，向訪問控制決策模塊重新發(fā)出請(qǐng)求，要求訪問控制決策模塊對(duì)決策重新評(píng)估； 更新模塊:用于實(shí)時(shí)監(jiān)控用戶屬性的變化，如果用戶的權(quán)限不滿足權(quán)限執(zhí)行的要求時(shí)，通知服務(wù)器暫停對(duì)用戶授權(quán)，并將相應(yīng)的信息發(fā)給用戶。
5.根據(jù)權(quán)利要求1所述的云計(jì)算訪問控制系統(tǒng)，其特征在于，所述訪問控制決策模塊包括: 授權(quán)規(guī)則模塊:用于根據(jù)用戶的屬性和使用規(guī)則檢查訪問是否合法； 條件模塊:利用使用規(guī)則和上下文信息決定授權(quán)請(qǐng)求的條件是否滿足； 評(píng)估模塊:結(jié)合授權(quán)規(guī)則模塊和條件模塊一起對(duì)主體的訪問請(qǐng)求進(jìn)行策略評(píng)估。
6.根據(jù)權(quán)利要求1所述的云計(jì)算訪問控制系統(tǒng)，其特征在于，所述應(yīng)用服務(wù)管理模塊包括: 應(yīng)用服務(wù)注冊(cè)模塊:用于用戶注冊(cè)資源管理服務(wù)的訪問地址、功能描述、訪問方式的應(yīng)用服務(wù)信息； 應(yīng)用服務(wù)刪除模塊:用于刪除用戶的應(yīng)用服務(wù)信息； 應(yīng)用服務(wù)調(diào)用模塊:用于通過應(yīng)用服務(wù)信息向資源服務(wù)管理模塊發(fā)起調(diào)用請(qǐng)求。
7.—種云計(jì)算訪問控制方法，其特征在于，包括用戶接入控制步驟和用戶訪問控制步驟: 用戶接入控制步驟包括: 步驟S1:用戶聲明一個(gè)證明身份的密鑰，將所述密鑰KEY存儲(chǔ)在用戶端的USB Key中和云計(jì)算提供商的服務(wù)器中； 步驟S2:用戶向云計(jì)算提供商的服務(wù)器發(fā)送登錄請(qǐng)求，服務(wù)器響應(yīng)該用戶的請(qǐng)求，所述服務(wù)器返回給所述用戶一個(gè)隨機(jī)數(shù)X，X和KEY經(jīng)MD5算法得到信息摘要f ； 步驟S3:將信息摘要f返回給所述服務(wù)器，所述服務(wù)器將存儲(chǔ)在本地的隨機(jī)數(shù)X與存儲(chǔ)在服務(wù)器中的秘鑰KEY進(jìn)行MD5運(yùn)算； 步驟S4:如果所述服務(wù)器端的運(yùn)算結(jié)果與所述用戶端的信息摘要f相同時(shí)，則認(rèn)為用戶端是一個(gè)合法的用戶，否則為非法用戶； 訪問控制步驟包括:進(jìn)行訪問控制策略的實(shí)施，將用戶登錄請(qǐng)求轉(zhuǎn)化為XACML格式請(qǐng)求，將所述XACML格式請(qǐng)求發(fā)送到訪問決策控制點(diǎn)，根據(jù)多策略評(píng)估后返回的結(jié)果實(shí)施相應(yīng)的允許或拒絕。
8.根據(jù)權(quán)利要求7所述的云計(jì)算訪問控制方法，其特征在于，所述進(jìn)行訪問控制策略的實(shí)施還包括訪問監(jiān)聽: 實(shí)時(shí)處理用戶的請(qǐng)求，檢查系統(tǒng)的環(huán)境信息、用戶的授權(quán)值與授權(quán)條件是否相符合，如發(fā)現(xiàn)變化，向訪問決策控制點(diǎn)重新發(fā)出請(qǐng)求，要求問決策控制點(diǎn)對(duì)決策重新評(píng)估。
【文檔編號(hào)】H04L29/08GK104333542SQ201410570687
【公開日】2015年2月4日 申請(qǐng)日期:2014年10月23日 優(yōu)先權(quán)日:2014年10月23日
【發(fā)明者】張勇平 申請(qǐng)人:張勇平