專利名稱:一種云操作系統(tǒng)中訪問(wèn)控制的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)領(lǐng)域��,尤其涉及一種云操作系統(tǒng)中訪問(wèn)控制的方法和系統(tǒng)�。
背景技術(shù):
當(dāng)前,云計(jì)算逐漸被行業(yè)認(rèn)可�,云操作系統(tǒng)(云OS)逐漸實(shí)現(xiàn)并付諸于實(shí)踐。在云 OS中���,為用戶提供計(jì)算�����、存儲(chǔ)�、網(wǎng)絡(luò)���、虛擬資源等服務(wù)�,由于用戶數(shù)量將非常多�����,這就對(duì)系統(tǒng)安全方面提出了更高的要求��,系統(tǒng)管理的工作也講非常繁重�����,如何對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行安全����、合理、高效的管理及面對(duì)復(fù)雜的權(quán)限變更��,是云OS面臨的一個(gè)重要課題。
發(fā)明內(nèi)容
本發(fā)明提供一種一種云操作系統(tǒng)中訪問(wèn)控制的方法和系統(tǒng)�,要解決的技術(shù)問(wèn)題是如何對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行安全、合理�、高效的管理。為解決上述技術(shù)問(wèn)題��,本發(fā)明提供了如下技術(shù)方案一種云操作系統(tǒng)中訪問(wèn)控制的方法�,所述云操作系統(tǒng)中的功能模塊相互獨(dú)立,其中所述方法包括為訪問(wèn)所述云操作系統(tǒng)的每個(gè)用戶分別分配該用戶對(duì)應(yīng)的角色信息��;為每個(gè)角色信息配置該角色所對(duì)應(yīng)的操作集��,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對(duì)功能模塊的訪問(wèn)權(quán)限信息�;當(dāng)接收到某一用戶的訪問(wèn)請(qǐng)求時(shí),獲取所述用戶的角色信息��;根據(jù)所述用戶的角色信息所對(duì)應(yīng)的操作集���,對(duì)所述用戶發(fā)起的訪問(wèn)進(jìn)行控制�����。優(yōu)選的�,所述方法還具有如下特點(diǎn)所述為訪問(wèn)所述云操作系統(tǒng)的每個(gè)用戶分別分配該用戶對(duì)應(yīng)的角色信息,包括 獲取用戶的身份識(shí)別信息����;根據(jù)所述身份識(shí)別信息為所述用戶分配對(duì)應(yīng)的角色信息。優(yōu)選的��,所述方法還具有如下特點(diǎn)所述根據(jù)所述用戶的角色信息所對(duì)應(yīng)的操作集��,對(duì)所述用戶發(fā)起的訪問(wèn)進(jìn)行控制�,包括獲取用戶的訪問(wèn)信息,其中所述訪問(wèn)信息包括用戶要訪問(wèn)的功能模塊以及對(duì)該功能模塊的操作方式��;判斷所述訪問(wèn)信息是否記錄在操作集中�;如果所述訪問(wèn)信息記錄在操作集中�,則允許所述用戶發(fā)起訪問(wèn);否則�,拒絕所述用戶發(fā)起訪問(wèn)。優(yōu)選的��,所述方法還具有如下特點(diǎn)所述方法還包括接收到用戶的角色更改請(qǐng)求后����,根據(jù)所述角色更改請(qǐng)求,對(duì)所述用戶的角色信息�。一種云操作系統(tǒng)中訪問(wèn)控制的系統(tǒng),所述云操作系統(tǒng)中的功能模塊相互獨(dú)立,其中所述系統(tǒng)包括分配裝置�����,用于為訪問(wèn)所述云操作系統(tǒng)的每個(gè)用戶分別分配該用戶對(duì)應(yīng)的角色信
配置裝置���,與所述分配裝置相連��,用于為每個(gè)角色信息配置該角色所對(duì)應(yīng)的操作集��,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對(duì)功能模塊的訪問(wèn)權(quán)限信息�;獲取裝置�,與所述配置裝置相連,當(dāng)接收到某一用戶的訪問(wèn)請(qǐng)求時(shí)��,獲取所述用戶的角色信息�;控制裝置,與所述獲取裝置相連�,用于根據(jù)所述用戶的角色信息所對(duì)應(yīng)的操作集, 對(duì)所述用戶發(fā)起的訪問(wèn)進(jìn)行控制�。優(yōu)選的,所述系統(tǒng)還具有如下特點(diǎn)所述分配裝置包括第一獲取模塊�����,用于獲取用戶的身份識(shí)別信息;分配模塊�,用于根據(jù)所述身份識(shí)別信息為所述用戶分配對(duì)應(yīng)的角色信息。優(yōu)選的�����,所述系統(tǒng)還具有如下特點(diǎn)控制裝置包括第二獲取模塊���,用于獲取用戶的訪問(wèn)信息�,其中所述訪問(wèn)信息包括用戶要訪問(wèn)的功能模塊以及對(duì)該功能模塊的操作方式���;判斷模塊�,與所述第二獲取模塊相連�����,用于判斷所述訪問(wèn)信息是否記錄在操作集中�����;控制模塊��,與所述判斷模塊相連���,用于如果所述訪問(wèn)信息記錄在操作集中����,則允許所述用戶發(fā)起訪問(wèn)��;否則����,拒絕所述用戶發(fā)起訪問(wèn)。優(yōu)選的��,所述系統(tǒng)還具有如下特點(diǎn)所述系統(tǒng)還包括更新裝置��,與所述分配裝置和獲取裝置相連�����,用于在接收到用戶的角色更改請(qǐng)求后���,根據(jù)所述角色更改請(qǐng)求����,對(duì)所述用戶的角色信息���。本發(fā)明提供的實(shí)施例�,通過(guò)給用戶分配合適的角色,讓用戶與訪問(wèn)權(quán)限相聯(lián)系���,從而使得在訪問(wèn)控制時(shí)��,借助該角色所對(duì)應(yīng)的操作集來(lái)有效控制用戶的訪問(wèn)�,能夠減少授權(quán)管理的復(fù)雜性��,降低管理開(kāi)銷��,而且還能為管理員提供一個(gè)比較好的實(shí)現(xiàn)復(fù)雜安全政策的環(huán)境���。
圖I為本發(fā)明提供的云操作系統(tǒng)中訪問(wèn)控制的方法實(shí)施例的流程示意圖�����;圖2為本發(fā)明提供的云操作系統(tǒng)中訪問(wèn)控制的系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖;圖3為圖2所示系統(tǒng)中分配裝置201的結(jié)構(gòu)示意圖�;圖4為圖2所示系統(tǒng)中控制裝置204的結(jié)構(gòu)示意圖;圖5為圖2所示系統(tǒng)的另一結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述。需要說(shuō)明的是�,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合���。為解決云OS系統(tǒng)訪問(wèn)控制問(wèn)題�,根據(jù)云OS特性�,提出了一種改進(jìn)型的基于角色的訪問(wèn)控制方案,不同的用戶根據(jù)擔(dān)當(dāng)?shù)慕巧L問(wèn)不同的功能模塊及訪問(wèn)不同的服務(wù)器組�。 具體來(lái)說(shuō)
云操作系統(tǒng)為用戶提供物理基礎(chǔ)設(shè)施服務(wù)計(jì)算、存儲(chǔ)����、網(wǎng)絡(luò)、虛擬資源�,面對(duì)各種不同的用戶,要保證云海OS訪問(wèn)控制的安全與效率�,將沒(méi)有權(quán)限的非法用戶拒之門外,必須提供一種合理的訪問(wèn)控制機(jī)制�。不同的用戶訪問(wèn)權(quán)限不同,訪問(wèn)權(quán)限決定了一個(gè)用戶或程序員是否有權(quán)對(duì)某一特定資源執(zhí)行某種操作���,基于角色的訪問(wèn)控制能很好的解決這一問(wèn)題�。需要說(shuō)明的是,本文所指的云操作系統(tǒng)中功能模塊相互獨(dú)立的�����,即不相互耦合��,可以理解為單個(gè)模塊所實(shí)現(xiàn)的功能無(wú)需調(diào)用其他模塊的代碼信息�����。圖I為本發(fā)明提供的云操作系統(tǒng)中訪問(wèn)控制的方法實(shí)施例的流程示意圖��。圖I所示方法實(shí)施例中��,所述云操作系統(tǒng)中的功能模塊相互獨(dú)立����,其中所述方法實(shí)施例包括步驟101、為訪問(wèn)所述云操作系統(tǒng)的每個(gè)用戶分別分配該用戶對(duì)應(yīng)的角色信息���;具體來(lái)說(shuō),獲取用戶的身份識(shí)別信息���,根據(jù)所述身份識(shí)別信息為所述用戶分配對(duì)應(yīng)的角色信息��;例如��,可以根據(jù)身份識(shí)別信息確定該用戶在企業(yè)內(nèi)為完成的任務(wù)�����,或者�,在企業(yè)中的職權(quán)和責(zé)任,從而根據(jù)上述信息為用戶設(shè)置角色��。當(dāng)然����,同一個(gè)用戶可以是多個(gè)角色的成員,即同一個(gè)用戶可以扮演多個(gè)角色��;同樣���,一個(gè)角色可以擁有多個(gè)用戶成員進(jìn)一步的���,用戶可以在角色中進(jìn)行轉(zhuǎn)換,系統(tǒng)可以添加����、刪除角色��。具體來(lái)說(shuō)�����,通過(guò)接收用戶的角色更改請(qǐng)求��,并根據(jù)所述角色更改請(qǐng)求�,更新所述用戶的角色信息��。步驟102���、為每個(gè)角色信息配置該角色所對(duì)應(yīng)的操作集�,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對(duì)功能模塊的訪問(wèn)權(quán)限信息��;其中�,角色可以看做是一組操作的集合,不同的角色具有不同的操作集�,這些操作集可以由安全管理員來(lái)分配。其中操作集記錄該云操作系統(tǒng)允許該角色對(duì)每個(gè)功能模塊的操作方式����,可以為不允許訪問(wèn)���、只讀���、讀寫(xiě)均可等����。當(dāng)然�����,也可以進(jìn)一步限定對(duì)單個(gè)模塊中的子功能的操作權(quán)限����。步驟103、當(dāng)接收到某一用戶的訪問(wèn)請(qǐng)求時(shí)���,獲取所述用戶的角色信息���;步驟104、根據(jù)所述用戶的角色信息所對(duì)應(yīng)的操作集����,對(duì)所述用戶發(fā)起的訪問(wèn)進(jìn)行控制��。具體來(lái)說(shuō)���,獲取用戶的訪問(wèn)信息,其中所述訪問(wèn)信息包括用戶要訪問(wèn)的功能模塊以及對(duì)該功能模塊的操作方式�;判斷所述訪問(wèn)信息是否記錄在操作集中;如果所述訪問(wèn)信息記錄在操作集中����,則允許所述用戶發(fā)起訪問(wèn);否則�,拒絕所述用戶發(fā)起訪問(wèn)。當(dāng)一個(gè)用戶要求訪問(wèn)系統(tǒng)中某種資源時(shí)�����,系統(tǒng)先獲取用戶所擔(dān)當(dāng)?shù)慕巧?���,再判斷該用戶的角色是否有?quán)限訪問(wèn)該系統(tǒng)資源,進(jìn)而控制用戶訪問(wèn)的功能模塊及服務(wù)器組�����,并將沒(méi)有授權(quán)的用戶拒之門外。本發(fā)明提供的方法實(shí)施例�,通過(guò)給用戶分配合適的角色,讓用戶與訪問(wèn)權(quán)限相聯(lián)系�����,從而使得在訪問(wèn)控制時(shí)�,借助該角色所對(duì)應(yīng)的操作集來(lái)有效控制用戶的訪問(wèn)�,能夠減少授權(quán)管理的復(fù)雜性,降低管理開(kāi)銷�,而且還能為管理員提供一個(gè)比較好的實(shí)現(xiàn)復(fù)雜安全政策的環(huán)境。需要說(shuō)明的是��,由于浪潮云海OS用戶數(shù)量將非常多�,系統(tǒng)管理的工作也將非常繁重。為了緩解系統(tǒng)管理的壓力��,就需要實(shí)現(xiàn)系統(tǒng)的分級(jí)管理����,將管理系統(tǒng)的工作分散,根據(jù)這樣的需求��,浪潮云海OS提出了用戶分級(jí)���、服務(wù)器分組及劃分功能模塊的管理方案���。其中
用戶分級(jí)�;將系統(tǒng)所有用戶分為兩類安全管理員�����、普通管理員��。安全管理員只可管理普通管理員����,可以管理任何用戶和角色,對(duì)用戶和角色進(jìn)行授權(quán)�����,設(shè)置各種約束條件�����。 普通管理員擁有具體功能模塊�、具體服務(wù)器組的操作權(quán)限,操作權(quán)限通過(guò)角色來(lái)賦予����。服務(wù)器的服務(wù)器分組���;根據(jù)服務(wù)器提供的功能不同,將服務(wù)器分為三組存儲(chǔ)節(jié)點(diǎn)組�����、網(wǎng)絡(luò)節(jié)點(diǎn)組���、計(jì)算節(jié)點(diǎn)組。劃分功能模塊基于角色的訪問(wèn)控制的特點(diǎn)���,云海OS中的功能模塊是根據(jù)用戶的角色來(lái)劃分的�,即每個(gè)功能模塊具有相對(duì)獨(dú)立的功能�����。將系統(tǒng)所有的權(quán)限在各個(gè)子功能模塊的基礎(chǔ)上進(jìn)行劃分����,每個(gè)權(quán)限都隸屬于某一個(gè)功能模塊。圖2為本發(fā)明提供的云操作系統(tǒng)中訪問(wèn)控制的系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖�����。結(jié)合圖I所示的方法實(shí)施例,圖2所示系統(tǒng)實(shí)施例中所述云操作系統(tǒng)中的功能模塊相互獨(dú)立�����,其中分配裝置201�,用于為訪問(wèn)所述云操作系統(tǒng)的每個(gè)用戶分別分配該用戶對(duì)應(yīng)的角色信息;配置裝置202���,與所述分配裝置201相連�����,用于為每個(gè)角色信息配置該角色所對(duì)應(yīng)的操作集�����,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對(duì)功能模塊的訪問(wèn)權(quán)限信息��;獲取裝置203����,與所述配置裝置202相連���,當(dāng)接收到某一用戶的訪問(wèn)請(qǐng)求時(shí)���,獲取所述用戶的角色信息��;控制裝置204����,與所述獲取裝置203相連��,用于根據(jù)所述用戶的角色信息所對(duì)應(yīng)的操作集�����,對(duì)所述用戶發(fā)起的訪問(wèn)進(jìn)行控制����。圖3為圖2所示系統(tǒng)中分配裝置201的結(jié)構(gòu)示意圖����。圖3所示分配裝置201包括第一獲取模塊301,用于獲取用戶的身份識(shí)別信息;分配模塊302��,用于根據(jù)所述身份識(shí)別信息為所述用戶分配對(duì)應(yīng)的角色信息����。圖4為圖2所示系統(tǒng)中控制裝置204的結(jié)構(gòu)示意圖��。圖4所示控制裝置204包括第二獲取模塊401����,用于獲取用戶的訪問(wèn)信息���,其中所述訪問(wèn)信息包括用戶要訪問(wèn)的功能模塊以及對(duì)該功能模塊的操作方式�����;判斷模塊402����,與所述第二獲取模塊401相連����,用于判斷所述訪問(wèn)信息是否記錄在操作集中;控制模塊403����,與所述判斷模塊402相連,用于如果所述訪問(wèn)信息記錄在操作集中,則允許所述用戶發(fā)起訪問(wèn)���;否則���,拒絕所述用戶發(fā)起訪問(wèn)。圖5為圖2所示系統(tǒng)的另一結(jié)構(gòu)示意圖����。圖5所示系統(tǒng)還包括接收裝置501,與所述分配裝置201相連�,用于接收用戶的角色更改請(qǐng)求;更新裝置502��,與所述接收裝置501和所述獲取裝置203相連����,用于根據(jù)所述角色更改請(qǐng)求,更新所述用戶的角色信息�。本發(fā)明提供的系統(tǒng)實(shí)施例,通過(guò)給用戶分配合適的角色��,讓用戶與訪問(wèn)權(quán)限相聯(lián)系��,從而使得在訪問(wèn)控制時(shí)��,借助該角色所對(duì)應(yīng)的操作集來(lái)有效控制用戶的訪問(wèn)�,能夠減少授權(quán)管理的復(fù)雜性,降低管理開(kāi)銷�,而且還能為管理員提供一個(gè)比較好的實(shí)現(xiàn)復(fù)雜安全政策的環(huán)境。以上所述�����,僅為本發(fā)明的具體實(shí)施方式
�,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易想到變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)��。因此�����,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求所述的保護(hù)范圍為準(zhǔn)���。
權(quán)利要求
1.一種云操作系統(tǒng)中訪問(wèn)控制的方法��,其特征在于��,所述云操作系統(tǒng)中的功能模塊相互獨(dú)立�,其中所述方法包括為訪問(wèn)所述云操作系統(tǒng)的每個(gè)用戶分別分配該用戶對(duì)應(yīng)的角色信息;為每個(gè)角色信息配置該角色所對(duì)應(yīng)的操作集�����,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對(duì)功能模塊的訪問(wèn)權(quán)限信息��;當(dāng)接收到某一用戶的訪問(wèn)請(qǐng)求時(shí)��,獲取所述用戶的角色信息��;根據(jù)所述用戶的角色信息所對(duì)應(yīng)的操作集���,對(duì)所述用戶發(fā)起的訪問(wèn)進(jìn)行控制��。
2.根據(jù)權(quán)利要求I所述的方法���,其特征在于,所述為訪問(wèn)所述云操作系統(tǒng)的每個(gè)用戶分別分配該用戶對(duì)應(yīng)的角色信息�,包括獲取用戶的身份識(shí)別信息;根據(jù)所述身份識(shí)別信息為所述用戶分配對(duì)應(yīng)的角色信息��。
3.根據(jù)權(quán)利要求I所述的方法����,其特征在于,所述根據(jù)所述用戶的角色信息所對(duì)應(yīng)的操作集��,對(duì)所述用戶發(fā)起的訪問(wèn)進(jìn)行控制�����,包括獲取用戶的訪問(wèn)信息����,其中所述訪問(wèn)信息包括用戶要訪問(wèn)的功能模塊以及對(duì)該功能模塊的操作方式;判斷所述訪問(wèn)信息是否記錄在操作集中�;如果所述訪問(wèn)信息記錄在操作集中,則允許所述用戶發(fā)起訪問(wèn)����;否則,拒絕所述用戶發(fā)起訪問(wèn)��。
4.根據(jù)權(quán)利要求I所述的方法����,其特征在于,所述方法還包括接收到用戶的角色更改請(qǐng)求后�,根據(jù)所述角色更改請(qǐng)求,對(duì)所述用戶的角色信息��。
5.一種云操作系統(tǒng)中訪問(wèn)控制的系統(tǒng),其特征在于��,所述云操作系統(tǒng)中的功能模塊相互獨(dú)立�����,其中所述系統(tǒng)包括分配裝置���,用于為訪問(wèn)所述云操作系統(tǒng)的每個(gè)用戶分別分配該用戶對(duì)應(yīng)的角色信息����; 配置裝置�����,與所述分配裝置相連�����,用于為每個(gè)角色信息配置該角色所對(duì)應(yīng)的操作集�,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對(duì)功能模塊的訪問(wèn)權(quán)限信息;獲取裝置����,與所述配置裝置相連��,當(dāng)接收到某一用戶的訪問(wèn)請(qǐng)求時(shí)�,獲取所述用戶的角色信息����;控制裝置����,與所述獲取裝置相連,用于根據(jù)所述用戶的角色信息所對(duì)應(yīng)的操作集�����,對(duì)所述用戶發(fā)起的訪問(wèn)進(jìn)行控制���。
6.根據(jù)權(quán)利要求5所述的系統(tǒng)��,其特征在于��,所述分配裝置包括第一獲取模塊��,用于獲取用戶的身份識(shí)別信息��;分配模塊����,用于根據(jù)所述身份識(shí)別信息為所述用戶分配對(duì)應(yīng)的角色信息。
7.根據(jù)權(quán)利要求5所述的系統(tǒng)�����,其特征在于���,控制裝置包括第二獲取模塊�����,用于獲取用戶的訪問(wèn)信息����,其中所述訪問(wèn)信息包括用戶要訪問(wèn)的功能模塊以及對(duì)該功能模塊的操作方式���;判斷模塊���,與所述第二獲取模塊相連,用于判斷所述訪問(wèn)信息是否記錄在操作集中�; 控制模塊,與所述判斷模塊相連���,用于如果所述訪問(wèn)信息記錄在操作集中��,則允許所述用戶發(fā)起訪問(wèn)���;否則�����,拒絕所述用戶發(fā)起訪問(wèn)。
8.根據(jù)權(quán)利要求5所述的系統(tǒng)����,其特征在于,所述系統(tǒng)還包括更新裝置�����,與所述分配裝置和獲取裝置相連����,用于在接收到用戶的角色更改請(qǐng)求后,根據(jù)所述角色更改請(qǐng)求����,對(duì)所述用戶的角色信息��。
全文摘要
本發(fā)明提供一種云操作系統(tǒng)中訪問(wèn)控制的方法和系統(tǒng)���。所述方法,包括為訪問(wèn)所述云操作系統(tǒng)的每個(gè)用戶分別分配該用戶對(duì)應(yīng)的角色信息��;為每個(gè)角色信息配置該角色所對(duì)應(yīng)的操作集�,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對(duì)功能模塊的訪問(wèn)權(quán)限信息;當(dāng)接收到某一用戶的訪問(wèn)請(qǐng)求時(shí)����,獲取所述用戶的角色信息;根據(jù)所述用戶的角色信息所對(duì)應(yīng)的操作集����,對(duì)所述用戶發(fā)起的訪問(wèn)進(jìn)行控制。
文檔編號(hào)H04L29/06GK102611699SQ20121004299
公開(kāi)日2012年7月25日 申請(qǐng)日期2012年2月22日 優(yōu)先權(quán)日2012年2月22日
發(fā)明者房體盈, 朱波, 朱錦雷 申請(qǐng)人:浪潮(北京)電子信息產(chǎn)業(yè)有限公司