本發(fā)明涉及通信領(lǐng)域，特別涉及一種云計(jì)算數(shù)據(jù)中心訪問管理方法和云計(jì)算數(shù)據(jù)中心。

背景技術(shù)：

訪問控制技術(shù)通過定義系統(tǒng)的主體對客體的訪問權(quán)限，實(shí)現(xiàn)了系統(tǒng)的共享數(shù)據(jù)管理的需求，較好的防止了對信息特別是機(jī)密信息的竊取和破壞。針對不同的安全應(yīng)用環(huán)境要求，研究人員提出了許多不同的訪問控制技術(shù)，如DAC、MAC、RBAC、TRBAC、TBAC等等。但是，現(xiàn)有訪問控制技術(shù)要應(yīng)用于數(shù)據(jù)中心還存在許多有待進(jìn)一步改進(jìn)和完善的地方。首先是靈活性有待進(jìn)一步提高?，F(xiàn)有訪問控制技術(shù)都是通過對主體配置約束條件實(shí)現(xiàn)會話控制。由于訪問控制應(yīng)用系統(tǒng)配置的約束條件類型在設(shè)計(jì)和編碼時(shí)就已固定；同時(shí)，為簡化配置管理，在實(shí)際運(yùn)行時(shí)系統(tǒng)配置的訪問控制約束條件數(shù)量也不可能很多，如果多了，就會限制了訪問控制的靈活性?，F(xiàn)有訪問控制技術(shù)的應(yīng)用環(huán)境是由其會話實(shí)體配置的約束條件及相應(yīng)的策略描述的，不會考慮系統(tǒng)的應(yīng)用環(huán)境等因素，導(dǎo)致適應(yīng)性比較差。

目前對于云計(jì)算數(shù)據(jù)中心的部署，是以區(qū)域?yàn)閱挝贿M(jìn)行部署，同一級別的區(qū)域建立同一級別的數(shù)據(jù)中心。訪問控制機(jī)制的邏輯復(fù)雜程度將影響到系統(tǒng)的安全性能，但對于平均訪問量高于普通系統(tǒng)數(shù)倍的云計(jì)算數(shù)據(jù)中心而言，過于復(fù)雜的訪問控制會影響訪問速率，削弱云計(jì)算數(shù)據(jù)中心的運(yùn)算處理能力。如何在不影響云計(jì)算數(shù)據(jù)中心的處理能力時(shí)保證云計(jì)算數(shù)據(jù)中心訪問的安全成為急需解決的問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明要解決的主要技術(shù)問題是，提供一種云計(jì)算數(shù)據(jù)中心訪問管理方法和云計(jì)算數(shù)據(jù)中心，解決現(xiàn)有云計(jì)算數(shù)據(jù)中心訪問的安全問題。

為解決上述問題，本發(fā)明提供一種云計(jì)算數(shù)據(jù)中心訪問管理方法，包括：

數(shù)據(jù)中心接收終端的訪問請求，對所述終端進(jìn)行身份驗(yàn)證；

通過身份驗(yàn)證后，判定所述數(shù)據(jù)中心本地是否存在所述訪問請求對應(yīng)的目標(biāo)資源；

如果存在所述目標(biāo)資源，根據(jù)所述數(shù)據(jù)中心的預(yù)先設(shè)置的訪問策略對所述終端進(jìn)行授權(quán)訪問。

在本發(fā)明的一種實(shí)施例中，所述數(shù)據(jù)中心對所述終端進(jìn)行身份驗(yàn)證包括：調(diào)用所述數(shù)據(jù)中心屬性庫中的屬性信息，所述屬性信息包括允許訪問的身份識別信息；通過屬性信息與所述終端的身份識別信息比對，如果相同則通過身份驗(yàn)證。

在本發(fā)明的一種實(shí)施例中，所述訪問策略包括當(dāng)前運(yùn)行環(huán)境滿足預(yù)設(shè)條件時(shí)進(jìn)行授權(quán)訪問和/或當(dāng)前訪問數(shù)滿足預(yù)設(shè)個(gè)數(shù)條件時(shí)進(jìn)行授權(quán)訪問。

在本發(fā)明的一種實(shí)施例中，還包括：當(dāng)所述數(shù)據(jù)中心本地不存在所述訪問請求對應(yīng)的目標(biāo)資源時(shí)，通過中央數(shù)據(jù)中心與所述目標(biāo)資源所在的目標(biāo)數(shù)據(jù)中心建立會話進(jìn)行授權(quán)訪問。

在本發(fā)明的一種實(shí)施例中，所述通過中央數(shù)據(jù)中心與所述目標(biāo)資源所在的目標(biāo)數(shù)據(jù)中心建立會話進(jìn)行授權(quán)訪問包括：通過所述中央數(shù)據(jù)中心查找所述目標(biāo)資源所在的目標(biāo)數(shù)據(jù)中心，與所述目標(biāo)數(shù)據(jù)中心建立會話，所述目標(biāo)數(shù)據(jù)中心的預(yù)先設(shè)置的訪問策略對所述終端進(jìn)行授權(quán)訪問。

在本發(fā)明的一種實(shí)施例中，在對所述終端授權(quán)訪問后，還包括：對所述訪問進(jìn)行安全審計(jì)。

在本發(fā)明的一種實(shí)施例中，所述對所述訪問進(jìn)行安全審計(jì)包括：在目標(biāo)資源所在的數(shù)據(jù)中心生成訪問日志，根據(jù)所述訪問日志記錄的訪問信息進(jìn)行跟蹤，判斷所述訪問信息是否符合預(yù)設(shè)設(shè)置的安全審計(jì)策略，對不符合的訪問進(jìn)行處理。

為解決上述問題，本發(fā)明還提供一種云計(jì)算數(shù)據(jù)中心，其特征在于，包括身份驗(yàn)證模塊、資源查找模塊和策略驗(yàn)證模塊：

所述身份驗(yàn)證模塊用于接收終端的訪問請求，對所述終端進(jìn)行身份驗(yàn)證；

所述資源查找模塊用于通過身份驗(yàn)證后，判定所述數(shù)據(jù)中心本地是否存在所述訪問請求對應(yīng)的目標(biāo)資源；

所述策略驗(yàn)證模塊用于如果存在所述目標(biāo)資源，根據(jù)所述數(shù)據(jù)中心的預(yù)先設(shè)置的訪問策略對所述終端進(jìn)行授權(quán)訪問。

在本發(fā)明的一種實(shí)施例中，還包括對外訪問模塊：所述對外訪問模塊用于當(dāng)所述數(shù)據(jù)中心本地不存在所述訪問請求對應(yīng)的目標(biāo)資源時(shí)，通過中央數(shù)據(jù)中心與所述目標(biāo)資源所在的目標(biāo)數(shù)據(jù)中心建立會話進(jìn)行授權(quán)訪問。

在本發(fā)明的一種實(shí)施例中，還包括安全審計(jì)模塊，所述安全審計(jì)模塊用于在對所述終端授權(quán)訪問后，對所述訪問進(jìn)行安全審計(jì)。

本發(fā)明的有益效果是：

本發(fā)明提供的云計(jì)算數(shù)據(jù)中心訪問管理方法和云計(jì)算數(shù)據(jù)中心，數(shù)據(jù)中心接收終端的訪問請求，對終端進(jìn)行身份驗(yàn)證；通過身份驗(yàn)證后，判定數(shù)據(jù)中心本地是否存在訪問請求對應(yīng)的目標(biāo)資源；如果存在目標(biāo)資源，根據(jù)數(shù)據(jù)中心的預(yù)先設(shè)置的訪問策略對終端進(jìn)行授權(quán)訪問。與現(xiàn)有技術(shù)相比，不是通過對訪問 設(shè)置復(fù)雜的訪問控制條件進(jìn)行限制，只要對訪問控制進(jìn)行身份識別，在身份識別后通過云計(jì)算數(shù)據(jù)中心預(yù)先設(shè)置的訪問策略判斷是否進(jìn)行授權(quán)訪問，這樣可以通過簡單的身份識別接合云計(jì)算數(shù)據(jù)中心預(yù)先設(shè)置的訪問策略在不影響云計(jì)算數(shù)據(jù)中心的處理能力時(shí)保證云計(jì)算數(shù)據(jù)中心訪問，提高產(chǎn)品的核心競爭力。

附圖說明

圖1為本發(fā)明實(shí)施例一提供的云計(jì)算數(shù)據(jù)中心訪問管理方法流程示意圖；

圖2為本發(fā)明實(shí)施例二提供的云計(jì)算數(shù)據(jù)中心訪問管理方法流程示意圖；

圖3為本發(fā)明實(shí)施例三提供的分組數(shù)據(jù)網(wǎng)關(guān)結(jié)構(gòu)示意圖一；

圖4為本發(fā)明實(shí)施例三提供的分組數(shù)據(jù)網(wǎng)關(guān)結(jié)構(gòu)示意圖二；

圖5為本發(fā)明實(shí)施例三提供的分組數(shù)據(jù)網(wǎng)關(guān)結(jié)構(gòu)示意圖三；

圖6為本發(fā)明實(shí)施例三提供的分組數(shù)據(jù)網(wǎng)關(guān)結(jié)構(gòu)示意圖四。

具體實(shí)施方式

為使本領(lǐng)域技術(shù)人員更好地理解本發(fā)明的技術(shù)方案，下面結(jié)合附圖和具體實(shí)施方式對本發(fā)明作進(jìn)一步詳細(xì)描述。

實(shí)施例一

本實(shí)施例的云計(jì)算數(shù)據(jù)中心訪問管理方法，如圖1所示，包括以下步驟：

步驟S101：數(shù)據(jù)中心接收終端的訪問請求，對終端進(jìn)行身份驗(yàn)證；

在該步驟中，這里的數(shù)據(jù)中心是指云計(jì)算系統(tǒng)中，以區(qū)域?yàn)閱挝贿M(jìn)行部署，同一級別的區(qū)域建立同一級別的數(shù)據(jù)中心。為了便于管理，在同一級別的區(qū)域建立同一級別的數(shù)據(jù)中心，同樣會建立中央數(shù)據(jù)中心來對下面級別的數(shù)據(jù)中心進(jìn)行管理。這里的對終端的身份驗(yàn)證應(yīng)該理解為要判斷該終端的訪問請求的主體和/或資源是否具有權(quán)限，這里的身份驗(yàn)證應(yīng)該理解為是對整個(gè)云計(jì)算系統(tǒng)的 整體的身邊驗(yàn)證，即只要進(jìn)行一次身份驗(yàn)證后，就可以在整個(gè)云計(jì)算系統(tǒng)不同級別即不同域中進(jìn)行訪問，而不用進(jìn)行多次的身份識別，避免系統(tǒng)發(fā)繁瑣操作。也就是說該身份驗(yàn)證是整個(gè)云計(jì)算系統(tǒng)中各個(gè)域(數(shù)據(jù)中心)之間建立的信任聯(lián)邦。具體的，據(jù)中心對終端進(jìn)行身份驗(yàn)證可以為調(diào)用數(shù)據(jù)中心屬性庫中的屬性信息，屬性信息包括允許訪問的身份識別信息；通過屬性信息與終端的身份識別信息比對，如果相同則通過身份驗(yàn)證。即數(shù)據(jù)中心通過在建立的屬性庫去查詢在身份信息是否在屬性庫中，如果在則驗(yàn)證通過，這里的屬性庫應(yīng)該理解為存儲了大量的允許訪問的身份信息和允許訪問身份信息對應(yīng)訪問的數(shù)據(jù)的屬性信息，會對不同身份信息的人設(shè)置不同訪問的數(shù)據(jù)。當(dāng)然屬性庫中的屬性信息可以更加具體情況進(jìn)行具體設(shè)置。這樣可以通過簡單的身份信息對比就能確定是否驗(yàn)證通過，加快驗(yàn)證處理速度。當(dāng)然，不限已該種方法進(jìn)行身份識別，其他能夠進(jìn)行身份識別的方式都可以實(shí)現(xiàn)。

步驟S102：通過身份驗(yàn)證后，判定數(shù)據(jù)中心本地是否存在訪問請求對應(yīng)的目標(biāo)資源；

在該步驟中，這里的目標(biāo)資源是指該訪問請求想要訪問的主體或/和資源，這里的主體是指具體在那個(gè)位置，這里的資源是指具體訪問的數(shù)據(jù)。這里的數(shù)據(jù)包括數(shù)據(jù)中心以外部或內(nèi)部的應(yīng)用數(shù)據(jù)庫作為數(shù)據(jù)源，應(yīng)用數(shù)據(jù)庫中的業(yè)務(wù)數(shù)據(jù)經(jīng)過標(biāo)準(zhǔn)化、數(shù)據(jù)清洗等處理后經(jīng)過采集、更新進(jìn)入數(shù)據(jù)中心存儲的數(shù)據(jù)。

步驟S103：如果存在目標(biāo)資源，根據(jù)數(shù)據(jù)中心的預(yù)先設(shè)置的訪問策略對終端進(jìn)行授權(quán)訪問。

在該步驟中，訪問策略是指數(shù)據(jù)中心根據(jù)自身設(shè)置的一些訪問控制條件，應(yīng)該理解為這里的訪問策略是數(shù)據(jù)中心根據(jù)自身具體的情況進(jìn)行靈活設(shè)置的一些訪問限制條件，這樣在對終端訪問進(jìn)行簡單身份驗(yàn)證后，不是讓其直接進(jìn)行 訪問，根據(jù)數(shù)據(jù)中心預(yù)先建立的訪問策略進(jìn)行授權(quán)訪問，這樣能夠保證數(shù)據(jù)中心的訪問安全性。具體的，這里的訪問策略包括當(dāng)前運(yùn)行環(huán)境滿足預(yù)設(shè)條件時(shí)進(jìn)行授權(quán)訪問和/或當(dāng)前訪問數(shù)滿足預(yù)設(shè)個(gè)數(shù)條件時(shí)進(jìn)行授權(quán)訪問。這里的運(yùn)行環(huán)境包括數(shù)據(jù)中心自身的物理環(huán)境，比如數(shù)據(jù)中心的溫度等，例如當(dāng)溫度超過一定閾值是就不允許訪問，或者根據(jù)不同的溫度設(shè)置對應(yīng)允許訪問的數(shù)量。這的運(yùn)行環(huán)境還包括數(shù)據(jù)中心自身屬性，比如數(shù)據(jù)中心CPU的使用率，當(dāng)使用率高是就可以拒絕訪問，或者根據(jù)CPU的使用率設(shè)置對應(yīng)允許訪問的數(shù)量。當(dāng)然這里的訪問策略可以是管理員根據(jù)具體管理需要設(shè)置的相應(yīng)的限制條件，比如對某些特定數(shù)據(jù)不允許外界訪問或者需要特定授權(quán)才能訪問等。應(yīng)該理解為，不僅僅限于上述訪問策略的設(shè)置，其他可以保證數(shù)據(jù)中心的訪問安全的設(shè)置都應(yīng)包含在內(nèi)。

具體的，在上述步驟S102中當(dāng)數(shù)據(jù)中心本地不存在訪問請求對應(yīng)的目標(biāo)資源時(shí)，通過中央數(shù)據(jù)中心與目標(biāo)資源所在的目標(biāo)數(shù)據(jù)中心建立會話進(jìn)行授權(quán)訪問。具體的，通過中央數(shù)據(jù)中心與目標(biāo)資源所在的目標(biāo)數(shù)據(jù)中心建立會話進(jìn)行授權(quán)訪問可以通過中央數(shù)據(jù)中心查找目標(biāo)資源所在的目標(biāo)數(shù)據(jù)中心，與目標(biāo)數(shù)據(jù)中心建立會話，目標(biāo)數(shù)據(jù)中心的預(yù)先設(shè)置的訪問策略對終端進(jìn)行授權(quán)訪問。值得注意的是，這里的目標(biāo)數(shù)據(jù)中心是指存儲訪問請求對應(yīng)的目標(biāo)資源所在的數(shù)據(jù)中心。這里的中央數(shù)據(jù)中心應(yīng)用理解為存儲云計(jì)算系統(tǒng)中所有資源存在哪個(gè)數(shù)據(jù)中心中的信息。

進(jìn)一步，考慮到訪問控制機(jī)制的邏輯復(fù)雜程度將影響到云計(jì)算系統(tǒng)的安全性能，但對于平均訪問量高于普通系統(tǒng)數(shù)倍的數(shù)據(jù)中心而言，過于復(fù)雜的訪問控制會影響訪問速率，削弱數(shù)據(jù)中心的運(yùn)算處理能力。在保證據(jù)中心的運(yùn)算處理能力同時(shí)加強(qiáng)對數(shù)據(jù)中心的安全控制，在在對終端授權(quán)訪問后，還包括：對 訪問進(jìn)行安全審計(jì)。具體的對訪問進(jìn)行安全審計(jì)可以在目標(biāo)資源所在的數(shù)據(jù)中心生成訪問日志，根據(jù)訪問日志記錄的訪問信息進(jìn)行跟蹤，判斷訪問信息是否符合預(yù)設(shè)設(shè)置的安全審計(jì)策略，對不符合的訪問進(jìn)行處理。應(yīng)該理解我，這里訪問請求對應(yīng)的資源在哪個(gè)數(shù)據(jù)中心，該在該數(shù)據(jù)中心進(jìn)行生成日志，并且進(jìn)行安全審計(jì)。

實(shí)施例二

本實(shí)施例的云計(jì)算數(shù)據(jù)中心訪問管理方法，本實(shí)例中為了便于對具體的訪問進(jìn)行管理，預(yù)先建立針對分級部署、多級共享的數(shù)據(jù)中心架構(gòu)。通過在層次式組織機(jī)構(gòu)統(tǒng)一認(rèn)證框架中部署數(shù)據(jù)中心節(jié)點(diǎn)，在分析數(shù)據(jù)中心不同粒度、類型操作的基礎(chǔ)上建立了跨平臺的訪問控制和審計(jì)策略模型，具有較高的安全防御和入侵鑒別能力。具體的通過建立相應(yīng)的多級訪問控制模型(PBAC)由域、主體、資源、環(huán)境、操作、屬性和策略七種基本元素以及策略評估機(jī)制組成。PBAC的形式化定義如下：基于策略的多級訪問控制模型PBAC是一個(gè)七元組M＝{D，S，R，E，O，A，P}，其中D為域的集合，S為主體的集合，R為資源的集合，E為環(huán)境的集合，O為操作的集合，A為屬性的集合，P為策略的集合。在對PBAC進(jìn)行形式化模型描述的基礎(chǔ)上，構(gòu)建了以接入訪問控制和資源訪問控制為主要內(nèi)容的統(tǒng)一認(rèn)證框架即云計(jì)算系統(tǒng)，本實(shí)例中的方法具體如圖2所示，包括以下步驟：

步驟S201：分級建立各數(shù)據(jù)中心的屬性庫；

在該步驟中，具體的可以將LDAP(Lightweight Directory Access Protocol，輕量目錄訪問協(xié)議)用于PBAC模型中屬性信息的存儲，采用由一個(gè)中央數(shù)據(jù)中心屬和若干本地?cái)?shù)據(jù)中心的層次式云計(jì)算數(shù)據(jù)中心，其中本地?cái)?shù)據(jù)中心存儲有 本地的屬性信息，而中央數(shù)據(jù)中心存儲有所有本地書屬性信息，存儲的實(shí)現(xiàn)屬性信息的動態(tài)更新；

步驟S202：建立統(tǒng)一的身份識別信任；

在該步驟中，具體的可以以域結(jié)構(gòu)樹為基礎(chǔ)構(gòu)建身份信任聯(lián)邦，形成跨域的統(tǒng)一認(rèn)證系統(tǒng)，并為域以及域中的主體、資源、環(huán)境、操作定義屬性，使得終端可以根據(jù)任意一個(gè)域制定的策略訪問該域中的資源；即只要通過一次身份驗(yàn)證便可以對整個(gè)系統(tǒng)中能夠訪問的資源進(jìn)行訪問；

步驟S203：進(jìn)行訪問授權(quán)；

在該步驟中，具體可以通過建立跨域的信任聯(lián)邦以及以屬性庫和策略庫為中心的分布式屬性權(quán)威機(jī)構(gòu)包括對身份驗(yàn)證和訪問策略驗(yàn)證，采用基于屬性證書CA的方式交換身份信息，使得用戶以域內(nèi)身份認(rèn)證的方式完成域間的單點(diǎn)登錄，從而實(shí)現(xiàn)接入訪問控制；通過建立基于SAML標(biāo)準(zhǔn)和XACML模型的授權(quán)框架，使用一定的域內(nèi)和域間的訪問策略評估機(jī)制實(shí)現(xiàn)對資源的訪問控制；即在通過身份驗(yàn)證后，還得通過訪問資源所在的數(shù)據(jù)中心的訪問策略驗(yàn)證后才能進(jìn)行授權(quán)訪問，提高數(shù)據(jù)中心的安全性；具體的為，在層次式的認(rèn)證授權(quán)體系下，終端利用本地屬性權(quán)威完成身份認(rèn)證，如果目標(biāo)資源也在本地，則利用本地訪問策略完成訪問授權(quán)，如果目標(biāo)資源不在本地，則可以通過查詢中央數(shù)據(jù)中心得到資源所在的域，與其建立會話連接，由當(dāng)?shù)氐膶傩栽L問策略實(shí)現(xiàn)訪問授權(quán)；

步驟S204：對授權(quán)訪問的進(jìn)行安全審計(jì)。

在該步驟中，安全審計(jì)跟蹤不但有助于幫助管理員確保數(shù)據(jù)資源免遭非法授權(quán)操作的損害，還能對數(shù)據(jù)恢復(fù)提供幫助，有些審計(jì)系統(tǒng)可以借助系統(tǒng)的保護(hù)性響應(yīng)，達(dá)到更為及時(shí)的安全應(yīng)對效果。具體的，安全審計(jì)可分為審計(jì)跟蹤、審計(jì)分析和響應(yīng)處理等幾個(gè)階段，在審計(jì)跟蹤階段，審計(jì)系統(tǒng)對訪問行為進(jìn)行 跟蹤記錄；違規(guī)事件在審計(jì)分析階段辨別，綜合使用人工分析和自動分析方式可以達(dá)到最佳效果，而自動分析需預(yù)先定義安全審計(jì)策略；響應(yīng)處理是系統(tǒng)的保護(hù)性措施，包括使用權(quán)限失效、使賬戶失效、中斷網(wǎng)絡(luò)連接、中斷進(jìn)程等。即安全審計(jì)是按照一定的規(guī)則決定日志中記載的訪問信息是否符合訪問策略的過程，因此，訪問日志中必須記錄足夠的訪問信息。審計(jì)策略需要對訪問信息項(xiàng)以及審計(jì)方式進(jìn)行描述。具體的，為例便于執(zhí)行，可以先建立相應(yīng)的安全審計(jì)模型，例如設(shè)置審計(jì)策略項(xiàng)是一個(gè)三元組r＝(I,p,C)，其中，I是訪問信息項(xiàng)的集合，p是所記載的操作所對應(yīng)的訪問策略，C是審計(jì)方式的集合。安全審計(jì)策略模型是一個(gè)九元組，M＝{D，S，R，E，O，A，P，L，R}，其中D為域的集合，S為主體的集合，R為資源的集合，E為環(huán)境的集合，O為操作的集合，A為屬性的集合，P為訪問策略的集合，L為待審計(jì)事件的集合，R為審計(jì)策略項(xiàng)的集合。安全審計(jì)是一個(gè)三元組，N＝(l,R,Res)，其中，l表示一條待審計(jì)事件，R是審計(jì)規(guī)則的集合，Res是審計(jì)判決，是對操作是否符合訪問策略的判定結(jié)果，Res∈{Conform,Violate,NotApplication}，其中，Conform表示審計(jì)通過，Violate表示不符合策略的訪問，NotApplication表示不確定。安全審計(jì)的過程和結(jié)果以審計(jì)記錄的形式生成并存儲于審計(jì)庫中，對于審計(jì)結(jié)果為Violate的事件，可以進(jìn)一步還原該違例訪問的詳細(xì)信息，判定其性質(zhì)并及時(shí)做出處理；對于審計(jì)結(jié)果為NotApplication的事件，可以通過其他手段進(jìn)行綜合分析，以獲得最終的判定結(jié)果。

以訪問請求的目標(biāo)資源沒在本地進(jìn)行舉例說明，終端在終端訪問請求的域中完成身份認(rèn)證；通過中央數(shù)據(jù)中心節(jié)點(diǎn)構(gòu)建主體所在域與目標(biāo)資源所在域的策略決策點(diǎn)之間的會話，根據(jù)信任聯(lián)邦對主體身份憑證的信任在資源所在地域的屬性權(quán)威機(jī)構(gòu)進(jìn)行訪問授權(quán)；主體對資源進(jìn)行訪問并在目標(biāo)資源所在域生成 訪問日志；由目標(biāo)資源所在域的審計(jì)權(quán)威機(jī)構(gòu)進(jìn)行安全審計(jì)。通過應(yīng)用本系統(tǒng)提供的訪問控制和安全審計(jì)功能，整個(gè)系統(tǒng)的安全性和保密性大大加強(qiáng)，創(chuàng)造了良好的經(jīng)濟(jì)效益。

實(shí)施例三

本實(shí)施例提供一種云計(jì)算數(shù)據(jù)中心，如圖3所示，該云計(jì)算數(shù)據(jù)中心包括身份驗(yàn)證模塊、資源查找模塊和策略驗(yàn)證模塊：身份驗(yàn)證模塊用于接收終端的訪問請求，對終端進(jìn)行身份驗(yàn)證；資源查找模塊用于通過身份驗(yàn)證后，判定數(shù)據(jù)中心本地是否存在訪問請求對應(yīng)的目標(biāo)資源；策略驗(yàn)證模塊用于如果存在目標(biāo)資源，根據(jù)數(shù)據(jù)中心的預(yù)先設(shè)置的訪問策略對終端進(jìn)行授權(quán)訪問。

本實(shí)施例提供一種云計(jì)算數(shù)據(jù)中心，如圖4所示，該云計(jì)算數(shù)據(jù)中心還包括對外訪問模塊：對外訪問模塊用于當(dāng)數(shù)據(jù)中心本地不存在訪問請求對應(yīng)的目標(biāo)資源時(shí)，通過中央數(shù)據(jù)中心與目標(biāo)資源所在的目標(biāo)數(shù)據(jù)中心建立會話進(jìn)行授權(quán)訪問。

本實(shí)施例提供一種云計(jì)算數(shù)據(jù)中心，如圖5所示，該云計(jì)算數(shù)據(jù)中心還包括安全審計(jì)模塊，安全審計(jì)模塊用于在對終端授權(quán)訪問后，對訪問進(jìn)行安全審計(jì)。

為例便于管理，本實(shí)例中的數(shù)據(jù)中心具體可以建立相應(yīng)的模型，具體如圖6所示，包括資源目錄體系、元數(shù)據(jù)庫、共享信息庫、交換信息庫、統(tǒng)計(jì)分析數(shù)據(jù)庫以及應(yīng)用服務(wù)器、數(shù)據(jù)共享交換平臺。數(shù)據(jù)量特別大的需要建立數(shù)據(jù)倉庫，具備審計(jì)功能的建立安全審計(jì)庫。數(shù)據(jù)中心以外部或內(nèi)部的應(yīng)用數(shù)據(jù)庫作為數(shù)據(jù)源，應(yīng)用數(shù)據(jù)庫中的業(yè)務(wù)數(shù)據(jù)經(jīng)過標(biāo)準(zhǔn)化、數(shù)據(jù)清洗等處理后經(jīng)過采集、更新進(jìn)入數(shù)據(jù)中心存儲。資源目錄體系：對數(shù)據(jù)中心采集的數(shù)據(jù)資源按專題、類 型等特征進(jìn)行分類。根據(jù)存儲形式的不同，數(shù)據(jù)資源可以分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，結(jié)構(gòu)化數(shù)據(jù)可以由數(shù)據(jù)中心從各業(yè)務(wù)數(shù)據(jù)庫中抽取，而半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)一般存儲于本地，存儲信息記載于數(shù)據(jù)中心的資源目錄庫。元數(shù)據(jù)庫:由元數(shù)據(jù)和數(shù)據(jù)字典組成。元數(shù)據(jù)是描述數(shù)據(jù)本身特征以及轉(zhuǎn)換規(guī)則的數(shù)據(jù)，包括數(shù)據(jù)結(jié)構(gòu)定義、維度定義、數(shù)據(jù)抽取和映射規(guī)則定義等若干種，可以支持?jǐn)?shù)據(jù)中心系統(tǒng)對數(shù)據(jù)的管理和維護(hù)。數(shù)據(jù)字典中包括對數(shù)據(jù)的數(shù)據(jù)項(xiàng)、數(shù)據(jù)流、處理邏輯、外部實(shí)體、分類代碼、指標(biāo)體系等的定義和描述。共享信息庫：存放由本級業(yè)務(wù)應(yīng)用數(shù)據(jù)庫、下級共享信息庫實(shí)時(shí)匯總后經(jīng)采集、抽取、清洗、轉(zhuǎn)換后的標(biāo)準(zhǔn)化數(shù)據(jù)，作為數(shù)據(jù)中心對外提供數(shù)據(jù)交換與共享的數(shù)據(jù)源。共享數(shù)據(jù)庫的數(shù)據(jù)需要定期進(jìn)行維護(hù)以保證數(shù)據(jù)的一致性。交換信息庫：用戶暫存數(shù)據(jù)中心之間異構(gòu)數(shù)據(jù)庫的交換數(shù)據(jù)以及處于業(yè)務(wù)數(shù)據(jù)庫的安全性考慮進(jìn)行內(nèi)外數(shù)據(jù)庫共享和交換的數(shù)據(jù)。統(tǒng)計(jì)分析數(shù)據(jù)庫：按一定的維度對數(shù)據(jù)進(jìn)行分析統(tǒng)計(jì)，為數(shù)據(jù)統(tǒng)計(jì)分析、報(bào)表生產(chǎn)提供支持。統(tǒng)計(jì)分析庫一般定期進(jìn)行采集和更新。數(shù)據(jù)倉庫：與操作性數(shù)據(jù)庫相比，數(shù)據(jù)倉庫提供對加工后數(shù)據(jù)的線上分析處理、數(shù)據(jù)挖掘，決策支持系統(tǒng)和聯(lián)機(jī)分析、智能查詢等功能，為應(yīng)用決策分析提供支持。數(shù)據(jù)倉庫按照一定的主題進(jìn)行組織，一般存儲容量較大。安全審計(jì)庫：用戶存儲數(shù)據(jù)庫系統(tǒng)的審計(jì)數(shù)據(jù)。數(shù)據(jù)共享交換平臺：用于為不同數(shù)據(jù)庫、不同數(shù)據(jù)格式之間提供數(shù)據(jù)交換服務(wù)。它將分離的數(shù)據(jù)資源整合到共享數(shù)據(jù)庫中。主要包括數(shù)據(jù)交換共享功能和ETL(Extraction Transformation Loading，數(shù)據(jù)提取、轉(zhuǎn)換和加載)功能。ETL系統(tǒng)進(jìn)行采集清洗、轉(zhuǎn)換、對比，解決不同信息庫間信息數(shù)據(jù)無法自由轉(zhuǎn)換的問題。數(shù)據(jù)交換是數(shù)據(jù)中心進(jìn)行數(shù)據(jù)集成的核心，數(shù)據(jù)共享是在數(shù)據(jù)交換的基礎(chǔ)上實(shí)現(xiàn)的數(shù)據(jù)訪問和分發(fā)。共享信息庫與業(yè)務(wù)集成系統(tǒng)的數(shù)據(jù)傳輸由共享交 換平臺協(xié)助完成。

本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成，上述程序可以存儲于計(jì)算機(jī)可讀存儲介質(zhì)中，如只讀存儲器、磁盤或光盤等?？蛇x地，上述實(shí)施例的全部或部分步驟也可以使用一個(gè)或多個(gè)集成電路來實(shí)現(xiàn)。相應(yīng)地，上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能模塊的形式實(shí)現(xiàn)。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合。

以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制，僅僅參照較佳實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)說明。本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，而不脫離本發(fā)明技術(shù)方案的精神和范圍，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。