本發(fā)明涉及訪問控制領(lǐng)域，具體而言，涉及一種訪問角色獲取方法、裝置及系統(tǒng)。

背景技術(shù)：

訪問控制是指限制不合法用戶對關(guān)鍵資源的訪問，防止非法用戶的侵入或合法用戶的不慎操作所造成的破壞。訪問控制技術(shù)都是建立在對主體-客體訪問控制思想上的。只要主體擁有對某客體的特定訪問權(quán)限，就可以對客體進行訪問。

訪問控制技術(shù)中一般包括三個要素：主體：發(fā)出訪問操作的主動方，通常指用戶或用戶的某個進程。包括用戶、用戶組、終端、主機或一個應(yīng)用。主體可以訪問客體?？腕w：被訪問的對象。它可以是一個字節(jié)、字段、記錄、程序、文件?；蛘呤且粋€處理器、存儲器、網(wǎng)絡(luò)接點等。安全訪問政策：一套規(guī)則，用以確定一個主體是否對客體擁有訪問能力。

目前使用最多的是基于角色的訪問控制，它的基本思想是授權(quán)給用戶的訪問權(quán)限，通常由用戶在一個組織中擔(dān)當?shù)慕巧珌泶_定，根據(jù)用戶在組織內(nèi)所處的角色作出訪問授權(quán)與控制，但用戶不能自主地將訪問權(quán)限傳給他人?；诮巧脑L問控制最大的特點就是將訪問權(quán)限與角色相關(guān)聯(lián)，不同的角色有不同權(quán)限，用戶所擁有的權(quán)力不能超過他執(zhí)行工作時所需的權(quán)限，當用戶的職責(zé)變化時，改變授權(quán)給他們的角色，也就改變了用戶的權(quán)限，這樣就降低了管理的復(fù)雜度，同時也可以描述更復(fù)雜的安全策略。

目前，云計算數(shù)據(jù)中心的部署，是以區(qū)域為單位進行部署，同一級別的區(qū)域建立同一級別的數(shù)據(jù)中心，同級數(shù)據(jù)中心之前不需要互相通信，它們僅與上級數(shù)據(jù)中心以及它所下屬的下級數(shù)據(jù)中心進行通信，同時可以對下一級數(shù)據(jù)中心進行一定的管理。然而，由于相關(guān)技術(shù)中的基于角色的訪問控制并不能夠自主地將訪問權(quán)限傳給他人，因此，如何在云計算多級數(shù)據(jù)中心系統(tǒng)中實現(xiàn)基于角色的訪問控制方法，目前并沒有提出有效的解決方案。

針對相關(guān)技術(shù)中沒有提供在云計算多級數(shù)據(jù)中心系統(tǒng)中應(yīng)用基于角色的訪問控制方法的問題，目前尚未提出有效的解決方案。

技術(shù)實現(xiàn)要素：

為了解決上述技術(shù)問題，本發(fā)明提供了一種訪問角色獲取方法、裝置及系統(tǒng)。

根據(jù)本發(fā)明的一個方面，提供了一種訪問角色獲取方法，包括：第二數(shù)據(jù)中心獲取 角色獲取請求，其中，所述角色獲取請求中攜帶有客戶端的訪問權(quán)限；所述第二數(shù)據(jù)中心根據(jù)所述訪問權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書，生成臨時用戶證書，其中，所述臨時用戶證書中攜帶有所述客戶端對所述第一數(shù)據(jù)中心的訪問角色；所述第二數(shù)據(jù)中心發(fā)送所述臨時用戶證書至所述客戶端。

優(yōu)選地，在所述第二數(shù)據(jù)中心發(fā)送所述臨時用戶證書至所述客戶端之后，所述方法還包括：所述第一數(shù)據(jù)中心接收所述客戶端發(fā)送的所述臨時用戶證書和服務(wù)請求；所述第一數(shù)據(jù)中心根據(jù)所述臨時用戶證書，確定所述客戶端對所述第一數(shù)據(jù)中心的訪問角色；所述第一數(shù)據(jù)中心根據(jù)所述訪問角色，處理所述服務(wù)請求。

優(yōu)選地，所述第二數(shù)據(jù)中心獲取所述角色獲取請求包括：所述第三數(shù)據(jù)中心接收所述客戶端發(fā)送的分派角色請求；所述第三數(shù)據(jù)中心確定所述客戶端的所述訪問權(quán)限；所述第三數(shù)據(jù)中心發(fā)送所述角色獲取請求至所述第二數(shù)據(jù)中心。

優(yōu)選地，所述第三數(shù)據(jù)中心確定所述客戶端的所述訪問權(quán)限包括：第三數(shù)據(jù)中心通過訪問控制服務(wù)在基于角色的訪問控制數(shù)據(jù)庫中查詢所述客戶端的所述訪問權(quán)限。

優(yōu)選地，所述第二數(shù)據(jù)中心根據(jù)所述訪問權(quán)限和所述第一數(shù)據(jù)中心頒發(fā)的所述證書，生成所述臨時用戶證書包括：所述第二數(shù)據(jù)中心根據(jù)所述訪問權(quán)限和所述第一數(shù)據(jù)中心頒發(fā)的所述證書，確定所述客戶端對所述第一數(shù)據(jù)中心的所述訪問角色；所述第二數(shù)據(jù)中心將所述訪問角色記錄至未簽名臨時用戶證書；所述第二數(shù)據(jù)中心使用所述第二數(shù)據(jù)中心的私鑰對所述未簽名臨時用戶證書進行簽名，生成所述臨時用戶證書。

優(yōu)選地，所述第二數(shù)據(jù)中心發(fā)送所述臨時用戶證書至所述客戶端包括：所述第二數(shù)據(jù)中心發(fā)送已簽名的所述臨時用戶證書和所述第二數(shù)據(jù)中心的公鑰至所述客戶端。

優(yōu)選地，在所述第二數(shù)據(jù)中心發(fā)送已簽名的所述臨時用戶證書和所述第二數(shù)據(jù)中心的公鑰至所述客戶端的情況下，所述方法還包括：所述第一數(shù)據(jù)中心接收所述客戶端發(fā)送的已簽名的所述臨時用戶證書、所述第二數(shù)據(jù)中心的公鑰和服務(wù)請求；所述第一數(shù)據(jù)中心采用所述公鑰解密所述臨時用戶證書，并驗證所述臨時用戶證書的簽名信息是否為所述第二數(shù)據(jù)中心的簽名；在驗證結(jié)果為是的情況下，所述第一數(shù)據(jù)中心根據(jù)解密的所述臨時用戶證書，確定所述客戶端對所述第一數(shù)據(jù)中心的訪問角色；所述第一數(shù)據(jù)中心根據(jù)所述訪問角色，處理所述服務(wù)請求。

根據(jù)本發(fā)明的另一個方面，還提供了一種訪問角色獲取裝置，應(yīng)用于第二數(shù)據(jù)中心，包括：獲取模塊，用于獲取角色獲取請求，其中，所述角色獲取請求中攜帶有客戶端的訪問權(quán)限；生成模塊，用于根據(jù)所述訪問權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書，生成臨時用戶證書，其中，所述臨時用戶證書中攜帶有所述客戶端對所述第一數(shù)據(jù)中心的訪問角色；發(fā)送模塊，用于發(fā)送所述臨時用戶證書至所述客戶端。

優(yōu)選地，所述生成模塊包括：確定單元，用于根據(jù)所述訪問權(quán)限和所述證書，確定 所述客戶端對所述第一數(shù)據(jù)中心的所述訪問角色；記錄單元，用于將所述訪問角色記錄至未簽名臨時用戶證書；簽名單元，用于使用所述第二數(shù)據(jù)中心的私鑰對所述未簽名臨時用戶證書進行簽名，生成所述臨時用戶證書。

優(yōu)選地，所述發(fā)送模塊用于：發(fā)送已簽名的所述臨時用戶證書和所述第二數(shù)據(jù)中心的公鑰至所述客戶端。

根據(jù)本發(fā)明的另一個方面，還提供了一種訪問角色獲取系統(tǒng)，包括：第一數(shù)據(jù)中心、第二數(shù)據(jù)中心、第三數(shù)據(jù)中心和客戶端，其中，所述第二數(shù)據(jù)中心包括：如上所述的訪問角色獲取裝置。

優(yōu)選地，所述第一數(shù)據(jù)中心包括：第一接收模塊，用于接收所述客戶端發(fā)送的所述臨時用戶證書和服務(wù)請求；第一確定模塊，用于根據(jù)所述臨時用戶證書，確定所述客戶端對所述第一數(shù)據(jù)中心的訪問角色；處理模塊，用于根據(jù)所述訪問角色，處理所述服務(wù)請求。

優(yōu)選地，在所述第一數(shù)據(jù)中心中：所述第一接收模塊，用于接收所述客戶端發(fā)送的已簽名的所述臨時用戶證書、所述第二數(shù)據(jù)中心的公鑰和服務(wù)請求；所述第一確定模塊，用于采用所述公鑰解密所述臨時用戶證書，并驗證所述臨時用戶證書的簽名信息是否為所述第二數(shù)據(jù)中心的簽名；并在驗證結(jié)果為是的情況下，所述第一數(shù)據(jù)中心根據(jù)解密的所述臨時用戶證書，確定所述客戶端對所述第一數(shù)據(jù)中心的訪問角色。

優(yōu)選地，所述第三數(shù)據(jù)中心包括：第二接收模塊，用于接收所述客戶端發(fā)送的分派角色請求；第二確定模塊，用于確定所述客戶端的所述訪問權(quán)限；輸送模塊，用于發(fā)送所述角色獲取請求至所述第二數(shù)據(jù)中心。

優(yōu)選地，所述第二確定模塊用于：通過訪問控制服務(wù)在基于角色的訪問控制數(shù)據(jù)庫中查詢所述客戶端的所述訪問權(quán)限。

通過本發(fā)明，采用第二數(shù)據(jù)中心獲取角色獲取請求，其中，角色獲取請求中攜帶有客戶端的訪問權(quán)限；第二數(shù)據(jù)中心根據(jù)訪問權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書，生成臨時用戶證書，其中，臨時用戶證書中攜帶有客戶端對第一數(shù)據(jù)中心的訪問角色；第二數(shù)據(jù)中心發(fā)送臨時用戶證書至客戶端的方式，解決了在相關(guān)技術(shù)中沒有提供在云計算多級數(shù)據(jù)中心系統(tǒng)中應(yīng)用基于角色的訪問控制方法的問題，實現(xiàn)了云計算多級數(shù)據(jù)中心系統(tǒng)中基于角色的訪問控制。

附圖說明

此處所說明的附圖用來提供對本發(fā)明的進一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當限定。在附圖中：

圖1是根據(jù)本發(fā)明實施例的訪問角色獲取方法的流程示意圖；

圖2是根據(jù)本發(fā)明實施例的訪問角色獲取裝置的結(jié)構(gòu)示意圖；

圖3是根據(jù)本發(fā)明實施例的訪問角色獲取裝置的優(yōu)選結(jié)構(gòu)示意圖一；

圖4是根據(jù)本發(fā)明實施例的訪問角色獲取裝置的優(yōu)選結(jié)構(gòu)示意圖二；

圖5是根據(jù)本發(fā)明實施例的訪問角色獲取系統(tǒng)的結(jié)構(gòu)示意圖；

圖6是根據(jù)本發(fā)明優(yōu)選實施例的事件處理方法的流程圖；

圖7是根據(jù)本發(fā)明優(yōu)選實施例的優(yōu)選實施方式一的系統(tǒng)結(jié)構(gòu)示意圖；

圖8是根據(jù)本發(fā)明優(yōu)選實施例的優(yōu)選實施方式一的訪問控制示意圖；

圖9是應(yīng)用本發(fā)明的實施方式二的系統(tǒng)結(jié)構(gòu)示意圖；

圖10是應(yīng)用本發(fā)明的實施方式三的系統(tǒng)結(jié)構(gòu)示意圖。

具體實施方式

下文中將參考附圖并結(jié)合實施例來詳細說明本發(fā)明。需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互組合。

本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分的實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應(yīng)當屬于本發(fā)明保護的范圍。

本發(fā)明實施例提供了一種訪問角色獲取方法，圖1是根據(jù)本發(fā)明實施例的訪問角色獲取方法的流程圖，如圖1所示，該流程包括如下步驟：

步驟S102，第二數(shù)據(jù)中心獲取角色獲取請求，其中，角色獲取請求中攜帶有客戶端的訪問權(quán)限；

步驟S104，第二數(shù)據(jù)中心根據(jù)訪問權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書，生成臨時用戶證書，其中，臨時用戶證書中攜帶有客戶端對第一數(shù)據(jù)中心的訪問角色；

步驟S106，第二數(shù)據(jù)中心發(fā)送臨時用戶證書至客戶端。

通過上述步驟，通過第二數(shù)據(jù)中心根據(jù)客戶端的訪問權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書，將攜帶有客戶端對第一數(shù)據(jù)中心的訪問角色信息發(fā)送給客戶端，從而實現(xiàn)了客戶端 訪問角色的獲取。解決了相關(guān)技術(shù)中沒有提供在云計算多級數(shù)據(jù)中心系統(tǒng)中應(yīng)用基于角色的訪問控制方法的問題，實現(xiàn)了云計算多級數(shù)據(jù)中心系統(tǒng)中基于角色的訪問控制。

相應(yīng)地，為了實現(xiàn)訪問控制，在客戶端將要訪問第一數(shù)據(jù)中心的情況下，客戶端可以將收到的臨時用戶證書以及服務(wù)請求發(fā)送給第一數(shù)據(jù)中心。第一數(shù)據(jù)中心接收客戶端發(fā)送的臨時用戶證書和服務(wù)請求；根據(jù)臨時用戶證書，確定客戶端對第一數(shù)據(jù)中心的訪問角色；以及根據(jù)訪問角色，處理服務(wù)請求。通過上述方式，實現(xiàn)了客戶端對第一數(shù)據(jù)中心基于角色的訪問控制。

優(yōu)選地，在兩級數(shù)據(jù)中心設(shè)置的云計算中心中，第二數(shù)據(jù)中心可以直接與客戶端進行交互，例如，在獲取客戶端的分配角色請求后，根據(jù)查詢客戶端的訪問權(quán)限，從而得到客戶端的角色獲取請求，其中，角色獲取請求中攜帶有客戶端的訪問權(quán)限的相關(guān)信息。而在采用兩級以上的數(shù)據(jù)中心設(shè)置的云計算中心中，優(yōu)選地，角色獲取請求可以是由第三數(shù)據(jù)中心根據(jù)客戶端的訪問權(quán)限生成的，例如，第三數(shù)據(jù)中心接收客戶端發(fā)送的分派角色請求；第三數(shù)據(jù)中心確定客戶端的訪問權(quán)限；第三數(shù)據(jù)中心發(fā)送角色獲取請求至第二數(shù)據(jù)中心。通過上述方式，實現(xiàn)了客戶端訪問權(quán)限的確定。

優(yōu)選地，訪問權(quán)限是由第三數(shù)據(jù)中心通過訪問控制服務(wù)在基于角色的訪問控制數(shù)據(jù)庫中查詢的，例如，第三數(shù)據(jù)中心通過訪問控制服務(wù)在基于角色的訪問控制數(shù)據(jù)庫中查詢客戶端的訪問權(quán)限。

優(yōu)選地，在步驟S104中，第二數(shù)據(jù)中心根據(jù)訪問權(quán)限和證書，確定客戶端對第一數(shù)據(jù)中心的訪問角色；將訪問角色記錄至未簽名臨時用戶證書；以及使用第二數(shù)據(jù)中心的私鑰對未簽名臨時用戶證書進行簽名，生成臨時用戶證書。通過上述方式，采用不對稱加密提升了安全性。

優(yōu)選地，在采用不對稱加密的情況下，在步驟S106中，第二數(shù)據(jù)中心發(fā)送已簽名的臨時用戶證書和第二數(shù)據(jù)中心的公鑰至客戶端。

需要說明的是，在本發(fā)明實施例中并不限于證書的加密方式為不對稱加密算法，例如，對稱加密算法也是可以被采用的。

優(yōu)選地，在第二數(shù)據(jù)中心發(fā)送已簽名的臨時用戶證書和第二數(shù)據(jù)中心的公鑰至客戶端的情況下，上述方法還包括：第一數(shù)據(jù)中心接收客戶端發(fā)送的已簽名的臨時用戶證書、第二數(shù)據(jù)中心的公鑰和服務(wù)請求；第一數(shù)據(jù)中心采用公鑰解密臨時用戶證書，并驗證臨時用戶證書的簽名信息是否為第二數(shù)據(jù)中心的簽名；在驗證結(jié)果為是的情況下，第一數(shù)據(jù)中心根據(jù)解密的臨時用戶證書，確定客戶端對第一數(shù)據(jù)中心的訪問角色；第一數(shù)據(jù)中心根據(jù)訪問角色，處理服務(wù)請求。通過上述方式，在基于角色的訪問控制中，融合了基于證書的訪問控制，不僅提升了安全性，也提升了在云計算多級數(shù)據(jù)中心系統(tǒng)中訪問控制的靈活性。

優(yōu)選地，為了進一步的提升安全性，在第二數(shù)據(jù)中心獲取角色獲取請求之后，第二數(shù)據(jù)中心可以驗證第三數(shù)據(jù)中心的身份有效性；其中，生成臨時用戶證書包括：在第三數(shù)據(jù)中心的身份為有效的情況下，生成臨時用戶證書。

在本實施例中還提供了一種訪問角色獲取裝置，應(yīng)用于第二數(shù)據(jù)中心，用于實現(xiàn)上述實施例及優(yōu)選實施方式，已經(jīng)進行過說明的不再贅述，下面對該裝置中涉及到的模塊進行說明。如以下所使用的，術(shù)語“模塊”可以實現(xiàn)預(yù)定功能的軟件和/或硬件的組合。盡管以下實施例所描述的裝置較佳地以軟件來實現(xiàn)，但是硬件，或者軟件和硬件的組合的實現(xiàn)也是可能并被構(gòu)想的。

圖2是根據(jù)本發(fā)明實施例的訪問角色獲取裝置的結(jié)構(gòu)示意圖，如圖2所示，該裝置包括：獲取模塊22、生成模塊24和發(fā)送模塊26，其中，獲取模塊22，用于獲取角色獲取請求，其中，角色獲取請求中攜帶有客戶端的訪問權(quán)限；生成模塊24，耦合至獲取模塊22，用于根據(jù)訪問權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書，生成臨時用戶證書，其中，臨時用戶證書中攜帶有客戶端對第一數(shù)據(jù)中心的訪問角色；發(fā)送模塊26，耦合至生成模塊24，用于發(fā)送臨時用戶證書至客戶端。

通過上述模塊的綜合作用，通過第二數(shù)據(jù)中心根據(jù)客戶端的訪問權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書，將攜帶有客戶端對第一數(shù)據(jù)中心的訪問角色信息發(fā)送給客戶端，從而實現(xiàn)了客戶端訪問角色的獲取。解決了相關(guān)技術(shù)中沒有提供在云計算多級數(shù)據(jù)中心系統(tǒng)中應(yīng)用基于角色的訪問控制方法的問題，實現(xiàn)了云計算多級數(shù)據(jù)中心系統(tǒng)中基于角色的訪問控制。

圖3是根據(jù)本發(fā)明實施例的訪問角色獲取裝置的優(yōu)選結(jié)構(gòu)示意圖一，如圖3所示，優(yōu)選地，生成模塊24包括：確定單元242，用于根據(jù)訪問權(quán)限和證書，確定客戶端對第一數(shù)據(jù)中心的訪問角色；記錄單元244，耦合至確定單元242，用于將訪問角色記錄至未簽名臨時用戶證書；簽名單元246，耦合至記錄單元244，用于使用第二數(shù)據(jù)中心的私鑰對未簽名臨時用戶證書進行簽名，生成臨時用戶證書。

優(yōu)選地，發(fā)送模塊26用于：發(fā)送已簽名的臨時用戶證書和第二數(shù)據(jù)中心的公鑰至客戶端。

圖4是根據(jù)本發(fā)明實施例的訪問角色獲取裝置的優(yōu)選結(jié)構(gòu)示意圖二，如圖4所示，優(yōu)選地，裝置還包括：驗證模塊42，分別耦合至獲取模塊22和生成模塊24用于驗證第三數(shù)據(jù)中心的身份有效性；其中，生成模塊24用于：在第三數(shù)據(jù)中心的身份為有效的情況下，生成臨時用戶證書。

本發(fā)明實施例還提供了一種訪問角色獲取系統(tǒng)，圖5是根據(jù)本發(fā)明實施例的訪問角色獲取系統(tǒng)的結(jié)構(gòu)示意圖，如圖5所示，該系統(tǒng)包括：第一數(shù)據(jù)中心52、第二數(shù)據(jù)中心54、第三數(shù)據(jù)中心56和客戶端58，其中，第二數(shù)據(jù)中心54包括：如上的訪問角色獲取裝置542。

其中，第一數(shù)據(jù)中心耦52合至第二數(shù)據(jù)中心54，第二數(shù)據(jù)中心54耦合至第三數(shù)據(jù)中心56，第三數(shù)據(jù)中心56耦合至客戶端58，客戶端58耦合至第一數(shù)據(jù)中心52。

優(yōu)選地，第一數(shù)據(jù)中心52包括：第一接收模塊，用于接收客戶端發(fā)送的臨時用戶證書和服務(wù)請求；第一確定模塊，耦合至第一接收模塊，用于根據(jù)臨時用戶證書，確定客戶端對第一數(shù)據(jù)中心的訪問角色；處理模塊，耦合至第一確定模塊，用于根據(jù)訪問角色，處理服務(wù)請求。

優(yōu)選地，在第一數(shù)據(jù)中心52中：第一接收模塊，用于接收客戶端發(fā)送的已簽名的臨時用戶證書、第二數(shù)據(jù)中心的公鑰和服務(wù)請求；第一確定模塊，用于采用公鑰解密臨時用戶證書，并驗證臨時用戶證書的簽名信息是否為第二數(shù)據(jù)中心的簽名；并在驗證結(jié)果為是的情況下，第一數(shù)據(jù)中心根據(jù)解密的臨時用戶證書，確定客戶端對第一數(shù)據(jù)中心的訪問角色。

優(yōu)選地，第三數(shù)據(jù)中心56包括：第二接收模塊，用于接收客戶端發(fā)送的分派角色請求；第二確定模塊，耦合至第二接收模塊，用于確定客戶端的訪問權(quán)限；輸送模塊，耦合至第二確定模塊，用于發(fā)送角色獲取請求至第二數(shù)據(jù)中心。

優(yōu)選地，第二確定模塊用于：通過訪問控制服務(wù)在基于角色的訪問控制數(shù)據(jù)庫中查詢客戶端的訪問權(quán)限。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

為了使本發(fā)明實施例的描述更加清楚，下面結(jié)合優(yōu)選實施例進行描述和說明。

本發(fā)明優(yōu)選實施例提供了一種云計算數(shù)據(jù)中心的訪問控制方法。在本發(fā)明優(yōu)選實施例中，基于云計算技術(shù)和虛擬化技術(shù)，可以提供安全的數(shù)據(jù)中心訪問控制機制，幫助企業(yè)進行安全的數(shù)據(jù)中心建設(shè)，提升運維效率。

針對云計算的數(shù)據(jù)中心的拓撲結(jié)構(gòu)特點，本發(fā)明優(yōu)選實施例將訪問控制技術(shù)和對數(shù)據(jù)中心的訪問原則相結(jié)合，提出了一種基于證書的區(qū)域授權(quán)訪問控制方法，從而可以有效地解決了數(shù)據(jù)中心訪問安全性的問題。

本發(fā)明優(yōu)選實施例提供的一種云計算數(shù)據(jù)中心的訪問控制方法，考慮到在跨地域數(shù)據(jù)中心的網(wǎng)絡(luò)環(huán)境中，各級數(shù)據(jù)中心內(nèi)部又存在不同的基于角色的訪問控制權(quán)限，本發(fā)明提出一種將身份認證和訪問控制權(quán)限通過證書結(jié)合在一起的區(qū)域授權(quán)訪問控制機制。

(1)授權(quán)域

授權(quán)域是在一個中心服務(wù)器的管理下，將不同地域的數(shù)據(jù)中心，按照其隸屬關(guān)系，列入到不同的域中，同時，中心服務(wù)器根據(jù)實際情況，對不同的域授予不同的訪問操作 權(quán)限。一級數(shù)據(jù)中心是一個獨立個體，它是所有授權(quán)域的授權(quán)權(quán)威，所有的授權(quán)域都將通過它進行劃分建立，每個授權(quán)域的相關(guān)信息都將保存在一級數(shù)據(jù)中心數(shù)據(jù)庫中。

(2)一級數(shù)據(jù)中心與授權(quán)域之間的身份認證和權(quán)限控制

每個授權(quán)域與一級數(shù)據(jù)中心建立信任關(guān)系主要由3個動作組成：注冊、更新和撤銷。

首先，當一個新的授權(quán)域在網(wǎng)絡(luò)中出現(xiàn)時，它必須向一級數(shù)據(jù)中心服務(wù)器進行注冊，接收到經(jīng)過認證中心認證的證書的授權(quán)域才是有效的授權(quán)域。其次，在動態(tài)的環(huán)境中，授權(quán)域可能會因為某些原因變更自身的狀態(tài)、條件等注冊內(nèi)容，因此在系統(tǒng)運行的過程中，注冊信息能夠被更新或撤銷。授權(quán)域?qū)⒆约旱母聽顟B(tài)以更新原語的方式發(fā)送給一級數(shù)據(jù)中心，使得數(shù)據(jù)中心的注冊信息與授權(quán)域中的注冊信息保持一致。最后，執(zhí)行撤銷原語后，授權(quán)域脫離一級數(shù)據(jù)中心的管轄，無法再對一級數(shù)據(jù)中心進行訪問。

(3)授權(quán)域內(nèi)的角色認證及用戶證書的頒發(fā)

當授權(quán)中的任一客戶端欲訪問一級數(shù)據(jù)中心數(shù)據(jù)時，客戶端需經(jīng)過下面幾個步驟才能完成，如圖6所示，具體過程描述如下：

步驟一，客戶端首先向三級數(shù)據(jù)中心(相當于上述第三數(shù)據(jù)中心)請求分派角色，三級數(shù)據(jù)中心接收到請求后，可以經(jīng)過中間服務(wù)代理發(fā)送給訪問控制服務(wù)，該服務(wù)通過查找基于角色的訪問控制(Role-Based Access Control，簡稱為RBAC)數(shù)據(jù)庫來進行驗證客戶端是否具有相應(yīng)的權(quán)限訪問一級數(shù)據(jù)中心(相當于上述第一數(shù)據(jù)中心)的數(shù)據(jù)，完畢后將結(jié)果發(fā)給中間服務(wù)代理。

需要說明的是，通過中間服務(wù)代理處理相關(guān)過程并不是本發(fā)明優(yōu)選實施例實施的必需過程，但在實施過程中，采用中間服務(wù)代理的方式，一方面可以提升安全性，另一方面有利于相關(guān)功能實體的模塊化封裝，有利于對各種協(xié)議的兼容性。

步驟二，如果客戶端具有相應(yīng)的權(quán)限，則中間服務(wù)代理將該客戶端具有的訪問權(quán)限一起發(fā)給角色分派服務(wù)，由角色分派服務(wù)進行處理，封裝成一個獲取角色請求服務(wù)，并將該服務(wù)發(fā)給二級數(shù)據(jù)中心(相當于上述第二數(shù)據(jù)中心)；二級數(shù)據(jù)中心接收到服務(wù)請求后，也可以經(jīng)過中間服務(wù)代理處理，將處理結(jié)果發(fā)給授權(quán)訪問控制服務(wù)進行驗證。

步驟三，授權(quán)訪問控制服務(wù)接收到請求后，首先由服務(wù)器根據(jù)數(shù)據(jù)庫中數(shù)據(jù)驗證服務(wù)請求發(fā)送方(三級數(shù)據(jù)中心)身份的有效性；通過后，證書服務(wù)器將根據(jù)一級數(shù)據(jù)中心頒給該授權(quán)域的證書內(nèi)容，獲取客戶端對一級數(shù)據(jù)中心的相應(yīng)訪問角色，并將該信息記錄到一張新的臨時用戶證書上；獲取了分派角色后，證書服務(wù)器將用自己的私鑰為其簽名，同時附上自己的公鑰，組成一份完整的臨時用戶證書發(fā)送給客戶端。

步驟四，客戶端獲取到臨時用戶證書后，在向一級數(shù)據(jù)中心提交服務(wù)請求時，必須附帶上該臨時用戶證書。當一級數(shù)據(jù)中心收到服務(wù)請求后，它首先使用公鑰為證書解密，如果發(fā)現(xiàn)中心服務(wù)器的簽名，則認為這份證書是合法的，客戶端身份認證通過，并從中 獲取客戶端所具有的的角色；一級數(shù)據(jù)中心通過角色所具有的權(quán)限來完成客戶端提交的服務(wù)請求，完成后，將結(jié)果返回給客戶端。

下面通過在不同場景應(yīng)用的優(yōu)選實施方式來對本發(fā)明優(yōu)選實施例進行說明。

優(yōu)選實施方式一

采用本發(fā)明優(yōu)選實施例的數(shù)據(jù)中心總體架構(gòu)如圖7所示，包括：用戶門戶模塊、管理門戶模塊、運營管理模塊、IT服務(wù)管理模塊、資源管理模塊、IT運維管理模塊和基礎(chǔ)設(shè)施管理模塊。

優(yōu)選地，用戶門戶模塊包括：自服務(wù)門戶和服務(wù)目錄。

優(yōu)選地，管理門戶模塊包括：告警管理、報表呈現(xiàn)、權(quán)限管理和訪問控制。

優(yōu)選地，運營管理模塊包括：服務(wù)目錄管理、產(chǎn)品管理、計費/報表管理、訂單管理、用戶管理、資源調(diào)度。

優(yōu)選地，信息技術(shù)(IT)服務(wù)管理模塊包括：服務(wù)臺、服務(wù)等級協(xié)議(SLA)管理、問題管理、事件管理、配置管理、變更管理。

優(yōu)選地，資源管理模塊包括：應(yīng)用部署、資源/模板管理、資源調(diào)度、資源監(jiān)控。

優(yōu)選地，IT運維管理模塊包括：業(yè)務(wù)影響分析、告警、拓撲、性能、報表、服務(wù)器監(jiān)控、網(wǎng)絡(luò)監(jiān)控、存儲監(jiān)控、中間件監(jiān)控、應(yīng)用監(jiān)控、數(shù)據(jù)庫監(jiān)控。

優(yōu)選地，基礎(chǔ)設(shè)施管理模塊包括：告警管理、三維(3D)機房可視化、能耗管理、容量管理、環(huán)境監(jiān)控、動力監(jiān)控。

本發(fā)明優(yōu)選實施例的工作流程如圖8所示，包括如下步驟：

步驟S802，客戶端先向最近的三級數(shù)據(jù)中心發(fā)送訪問請求，通過三級數(shù)據(jù)中心的訪問控制服務(wù)進行初步驗證是否具有相應(yīng)的權(quán)限訪問一級數(shù)據(jù)中心的數(shù)據(jù)，通過后通知三級數(shù)據(jù)中心權(quán)限管理模塊。

步驟S804，三級數(shù)據(jù)中心權(quán)限管理模塊將客戶端請求進行再次封裝，發(fā)給二級數(shù)據(jù)中心。

步驟S806，二級數(shù)據(jù)中心的授權(quán)訪問控制服務(wù)先對消息進行驗證，驗證請求發(fā)送方(即三級數(shù)據(jù)中心)身份的有效性。通過后，由證書管理模塊生成臨時用戶證書發(fā)送給客戶端。

步驟S808，客戶端獲取到臨時用戶證書后，在向一級數(shù)據(jù)中心提交服務(wù)請求時，必須附帶上該臨時用戶證書。當一級數(shù)據(jù)中心收到服務(wù)請求后，它首先使用公鑰為證書解密，如果發(fā)現(xiàn)中心服務(wù)器的簽名，則認為這份證書是合法的，客戶端身份認證通過， 并從中獲取客戶端所具有的的角色；一級數(shù)據(jù)中心通過角色所具有的權(quán)限來完成客戶端提交的服務(wù)請求，完成后，將結(jié)果返回給客戶端。

通過上述優(yōu)選實施方式，可以將傳統(tǒng)的分散、分層、異構(gòu)的數(shù)據(jù)中心架構(gòu)，升級為物理分散、邏輯集中的統(tǒng)一資源管理的分布式云數(shù)據(jù)中心?？梢詫⒉煌赜?、不同階段、不同規(guī)模的數(shù)據(jù)中心，混合為一個跨數(shù)據(jù)中心的邏輯資源池，全局容量管理?？梢钥绲赜蚨鄶?shù)據(jù)中心的資源統(tǒng)一管理及調(diào)度，策略化的訪問控制管理?？梢姡ㄟ^應(yīng)用本系統(tǒng)提供的訪問控制功能，整個系統(tǒng)的安全性和保密性加強了。

優(yōu)選實施方式二

在本發(fā)明優(yōu)選實施例中，采用的數(shù)據(jù)中心系統(tǒng)如圖9所示，該系統(tǒng)也采用三級架構(gòu)，在集團總部建設(shè)一套數(shù)據(jù)中心作為一級數(shù)據(jù)中心，將全國分為兩個區(qū)域，南方基地和北方基地，分別建設(shè)南方基地數(shù)據(jù)中心和北方基地數(shù)據(jù)中心作為二級數(shù)據(jù)中心(南方基地數(shù)據(jù)中心和北方基地數(shù)據(jù)中心各自管轄多個省的數(shù)據(jù)中心)，各個省會城市分別建設(shè)數(shù)據(jù)中心作為三級數(shù)據(jù)中心。

基于上述數(shù)據(jù)中心系統(tǒng)的訪問控制方法流程描述如下：

步驟S902，客戶端先向?qū)俚厮谑〉腦X市數(shù)據(jù)中心發(fā)送訪問請求，通過XX市數(shù)據(jù)中心的訪問控制服務(wù)進行初步驗證是否具有相應(yīng)的權(quán)限訪問一級數(shù)據(jù)中心的數(shù)據(jù)，通過后通知北方基地數(shù)據(jù)中心權(quán)限管理模塊。

步驟S904，XX市數(shù)據(jù)中心權(quán)限管理模塊將客戶端請求進行再次封裝，發(fā)給北方基地數(shù)據(jù)中心。

步驟S906，北方基地數(shù)據(jù)中心的授權(quán)訪問控制服務(wù)先對消息進行驗證，驗證請求發(fā)送方(即XX市數(shù)據(jù)中心)身份的有效性。通過后，由證書管理模塊生成臨時用戶證書發(fā)送給客戶端。

步驟S908，客戶端獲取到臨時用戶證書后，在向總部數(shù)據(jù)中心提交服務(wù)請求時，必須附帶上該臨時用戶證書。當總部數(shù)據(jù)中心收到服務(wù)請求后，它首先使用公鑰為證書解密，如果發(fā)現(xiàn)中心服務(wù)器的簽名，則認為這份證書是合法的，客戶端身份認證通過，并從中獲取客戶端所具有的的角色；總部數(shù)據(jù)中心通過角色所具有的權(quán)限來完成客戶端提交的服務(wù)請求，完成后，將結(jié)果返回給客戶端。

本系統(tǒng)通過采用本發(fā)明的授權(quán)域和訪問控制機制，有效降低了數(shù)據(jù)中心的建設(shè)和管理成本，并實現(xiàn)了數(shù)據(jù)中心內(nèi)部以及數(shù)據(jù)中心之間的數(shù)據(jù)隔離。

優(yōu)選實施方式三

本發(fā)明優(yōu)選實施例采用的數(shù)據(jù)中心及其運維系統(tǒng)如圖10所示，該系統(tǒng)也采用三級架構(gòu)，每一級數(shù)據(jù)中心由業(yè)務(wù)服務(wù)平臺、云管理平臺、數(shù)據(jù)中心管理平臺三大部分組成。

其中，業(yè)務(wù)服務(wù)平臺負責(zé)管理各種業(yè)務(wù)，包括：監(jiān)控、數(shù)據(jù)分析、辦公業(yè)務(wù)等。

其中，云管理平臺管理負載虛擬化管理、資源運營管理，包括：虛擬化環(huán)境管理軟件、資源運營管理軟件、訪問控制管理軟件、證書管理軟件。

其中，數(shù)據(jù)中心管理平臺負責(zé)對數(shù)據(jù)中心基礎(chǔ)設(shè)施進行監(jiān)控，包括：視頻監(jiān)控、環(huán)境監(jiān)控、配電監(jiān)控、能耗監(jiān)控、制冷監(jiān)控、安防監(jiān)控和容量監(jiān)控。

下面以運維人員接入數(shù)據(jù)中心進行故障定位的場景為例，流程描述如下：

步驟S1002，運維工程師通過專用客戶端向三級數(shù)據(jù)中心發(fā)送訪問請求，通過三級數(shù)據(jù)中心的訪問控制管理軟件進行初步驗證是否具有相應(yīng)的權(quán)限接入一級數(shù)據(jù)中心，通過后通知二級數(shù)據(jù)中心訪問控制管理軟件。

步驟S1004，三級數(shù)據(jù)中心的訪問控制管理軟件將客戶端請求進行再次封裝，發(fā)給二級數(shù)據(jù)中心。

步驟S1006，二級數(shù)據(jù)中心的訪問控制管理軟件先對消息進行驗證，驗證請求發(fā)送方(即三級數(shù)據(jù)中心)身份的有效性。通過后，由證書管理軟件生成臨時用戶證書發(fā)送給客戶端。

步驟S1008，客戶端獲取到臨時用戶證書后，在向一級數(shù)據(jù)中心提交服務(wù)請求時，必須附帶上該臨時用戶證書。當一級數(shù)據(jù)中心收到服務(wù)請求后，它首先使用公鑰為證書解密，如果發(fā)現(xiàn)中心服務(wù)器的簽名，則認為這份證書是合法的，客戶端身份認證通過，并從中獲取客戶端所具有的的角色；一級數(shù)據(jù)中心通過角色所具有的權(quán)限來完成客戶端提交的服務(wù)請求，完成后，將結(jié)果返回給客戶端。

本系統(tǒng)通過訪問控制管理軟件實現(xiàn)對數(shù)據(jù)中心間的訪問控制，以及運維人員接入數(shù)據(jù)中心的訪問控制，有效實現(xiàn)了數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)隔離。

綜上所述，本發(fā)明實施例提出了一種基于證書的區(qū)域授權(quán)訪問控制機制，這種訪問控制機制結(jié)合了現(xiàn)有訪問控制技術(shù)的優(yōu)勢，實現(xiàn)各個系統(tǒng)之間安全、可靠地訪問，它們可應(yīng)用于各種分布式數(shù)據(jù)中心建設(shè)中，確保了數(shù)據(jù)中心數(shù)據(jù)的保密性、完整性和可用性。

在另外一個實施例中，還提供了一種軟件，該軟件用于執(zhí)行上述實施例及優(yōu)選實施方式中描述的技術(shù)方案。

在另外一個實施例中，還提供了一種存儲介質(zhì)，該存儲介質(zhì)中存儲有上述軟件，該存儲介質(zhì)包括但不限于：光盤、軟盤、硬盤、可擦寫存儲器等。

需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的對象在適當情況下可以互換，以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤４送?，術(shù)語“包括”和“具有”以及他們的任何變形，意圖 在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

顯然，本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)，從而，可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行，并且在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟，或者將它們分別制作成各個集成電路模塊，或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。

以上所述僅為本發(fā)明的優(yōu)選實施例而已，并不用于限制本發(fā)明，對于本領(lǐng)域的技術(shù)人員來說，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。