專利名稱:一種云操作系統(tǒng)中訪問控制的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機領(lǐng)域,尤其涉及一種云操作系統(tǒng)中訪問控制的方法和系統(tǒng)。
背景技術(shù):
當前,云計算逐漸被行業(yè)認可,云操作系統(tǒng)(云OS)逐漸實現(xiàn)并付諸于實踐。在云 OS中,為用戶提供計算、存儲、網(wǎng)絡、虛擬資源等服務,由于用戶數(shù)量將非常多,這就對系統(tǒng)安全方面提出了更高的要求,系統(tǒng)管理的工作也講非常繁重,如何對用戶的訪問權(quán)限進行安全、合理、高效的管理及面對復雜的權(quán)限變更,是云OS面臨的一個重要課題。
發(fā)明內(nèi)容
本發(fā)明提供一種一種云操作系統(tǒng)中訪問控制的方法和系統(tǒng),要解決的技術(shù)問題是如何對用戶的訪問權(quán)限進行安全、合理、高效的管理。為解決上述技術(shù)問題,本發(fā)明提供了如下技術(shù)方案一種云操作系統(tǒng)中訪問控制的方法,所述云操作系統(tǒng)中的功能模塊相互獨立,其中所述方法包括為訪問所述云操作系統(tǒng)的每個用戶分別分配該用戶對應的角色信息;為每個角色信息配置該角色所對應的操作集,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對功能模塊的訪問權(quán)限信息;當接收到某一用戶的訪問請求時,獲取所述用戶的角色信息;根據(jù)所述用戶的角色信息所對應的操作集,對所述用戶發(fā)起的訪問進行控制。優(yōu)選的,所述方法還具有如下特點所述為訪問所述云操作系統(tǒng)的每個用戶分別分配該用戶對應的角色信息,包括 獲取用戶的身份識別信息;根據(jù)所述身份識別信息為所述用戶分配對應的角色信息。優(yōu)選的,所述方法還具有如下特點所述根據(jù)所述用戶的角色信息所對應的操作集,對所述用戶發(fā)起的訪問進行控制,包括獲取用戶的訪問信息,其中所述訪問信息包括用戶要訪問的功能模塊以及對該功能模塊的操作方式;判斷所述訪問信息是否記錄在操作集中;如果所述訪問信息記錄在操作集中,則允許所述用戶發(fā)起訪問;否則,拒絕所述用戶發(fā)起訪問。優(yōu)選的,所述方法還具有如下特點所述方法還包括接收到用戶的角色更改請求后,根據(jù)所述角色更改請求,對所述用戶的角色信息。一種云操作系統(tǒng)中訪問控制的系統(tǒng),所述云操作系統(tǒng)中的功能模塊相互獨立,其中所述系統(tǒng)包括分配裝置,用于為訪問所述云操作系統(tǒng)的每個用戶分別分配該用戶對應的角色信
配置裝置,與所述分配裝置相連,用于為每個角色信息配置該角色所對應的操作集,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對功能模塊的訪問權(quán)限信息;獲取裝置,與所述配置裝置相連,當接收到某一用戶的訪問請求時,獲取所述用戶的角色信息;控制裝置,與所述獲取裝置相連,用于根據(jù)所述用戶的角色信息所對應的操作集, 對所述用戶發(fā)起的訪問進行控制。優(yōu)選的,所述系統(tǒng)還具有如下特點所述分配裝置包括第一獲取模塊,用于獲取用戶的身份識別信息;分配模塊,用于根據(jù)所述身份識別信息為所述用戶分配對應的角色信息。優(yōu)選的,所述系統(tǒng)還具有如下特點控制裝置包括第二獲取模塊,用于獲取用戶的訪問信息,其中所述訪問信息包括用戶要訪問的功能模塊以及對該功能模塊的操作方式;判斷模塊,與所述第二獲取模塊相連,用于判斷所述訪問信息是否記錄在操作集中;控制模塊,與所述判斷模塊相連,用于如果所述訪問信息記錄在操作集中,則允許所述用戶發(fā)起訪問;否則,拒絕所述用戶發(fā)起訪問。優(yōu)選的,所述系統(tǒng)還具有如下特點所述系統(tǒng)還包括更新裝置,與所述分配裝置和獲取裝置相連,用于在接收到用戶的角色更改請求后,根據(jù)所述角色更改請求,對所述用戶的角色信息。本發(fā)明提供的實施例,通過給用戶分配合適的角色,讓用戶與訪問權(quán)限相聯(lián)系,從而使得在訪問控制時,借助該角色所對應的操作集來有效控制用戶的訪問,能夠減少授權(quán)管理的復雜性,降低管理開銷,而且還能為管理員提供一個比較好的實現(xiàn)復雜安全政策的環(huán)境。
圖I為本發(fā)明提供的云操作系統(tǒng)中訪問控制的方法實施例的流程示意圖;圖2為本發(fā)明提供的云操作系統(tǒng)中訪問控制的系統(tǒng)實施例的結(jié)構(gòu)示意圖;圖3為圖2所示系統(tǒng)中分配裝置201的結(jié)構(gòu)示意圖;圖4為圖2所示系統(tǒng)中控制裝置204的結(jié)構(gòu)示意圖;圖5為圖2所示系統(tǒng)的另一結(jié)構(gòu)示意圖。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖及具體實施例對本發(fā)明作進一步的詳細描述。需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互任意組合。為解決云OS系統(tǒng)訪問控制問題,根據(jù)云OS特性,提出了一種改進型的基于角色的訪問控制方案,不同的用戶根據(jù)擔當?shù)慕巧L問不同的功能模塊及訪問不同的服務器組。 具體來說
云操作系統(tǒng)為用戶提供物理基礎設施服務計算、存儲、網(wǎng)絡、虛擬資源,面對各種不同的用戶,要保證云海OS訪問控制的安全與效率,將沒有權(quán)限的非法用戶拒之門外,必須提供一種合理的訪問控制機制。不同的用戶訪問權(quán)限不同,訪問權(quán)限決定了一個用戶或程序員是否有權(quán)對某一特定資源執(zhí)行某種操作,基于角色的訪問控制能很好的解決這一問題。需要說明的是,本文所指的云操作系統(tǒng)中功能模塊相互獨立的,即不相互耦合,可以理解為單個模塊所實現(xiàn)的功能無需調(diào)用其他模塊的代碼信息。圖I為本發(fā)明提供的云操作系統(tǒng)中訪問控制的方法實施例的流程示意圖。圖I所示方法實施例中,所述云操作系統(tǒng)中的功能模塊相互獨立,其中所述方法實施例包括步驟101、為訪問所述云操作系統(tǒng)的每個用戶分別分配該用戶對應的角色信息;具體來說,獲取用戶的身份識別信息,根據(jù)所述身份識別信息為所述用戶分配對應的角色信息;例如,可以根據(jù)身份識別信息確定該用戶在企業(yè)內(nèi)為完成的任務,或者,在企業(yè)中的職權(quán)和責任,從而根據(jù)上述信息為用戶設置角色。當然,同一個用戶可以是多個角色的成員,即同一個用戶可以扮演多個角色;同樣,一個角色可以擁有多個用戶成員進一步的,用戶可以在角色中進行轉(zhuǎn)換,系統(tǒng)可以添加、刪除角色。具體來說,通過接收用戶的角色更改請求,并根據(jù)所述角色更改請求,更新所述用戶的角色信息。步驟102、為每個角色信息配置該角色所對應的操作集,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對功能模塊的訪問權(quán)限信息;其中,角色可以看做是一組操作的集合,不同的角色具有不同的操作集,這些操作集可以由安全管理員來分配。其中操作集記錄該云操作系統(tǒng)允許該角色對每個功能模塊的操作方式,可以為不允許訪問、只讀、讀寫均可等。當然,也可以進一步限定對單個模塊中的子功能的操作權(quán)限。步驟103、當接收到某一用戶的訪問請求時,獲取所述用戶的角色信息;步驟104、根據(jù)所述用戶的角色信息所對應的操作集,對所述用戶發(fā)起的訪問進行控制。具體來說,獲取用戶的訪問信息,其中所述訪問信息包括用戶要訪問的功能模塊以及對該功能模塊的操作方式;判斷所述訪問信息是否記錄在操作集中;如果所述訪問信息記錄在操作集中,則允許所述用戶發(fā)起訪問;否則,拒絕所述用戶發(fā)起訪問。當一個用戶要求訪問系統(tǒng)中某種資源時,系統(tǒng)先獲取用戶所擔當?shù)慕巧?,再判斷該用戶的角色是否有?quán)限訪問該系統(tǒng)資源,進而控制用戶訪問的功能模塊及服務器組,并將沒有授權(quán)的用戶拒之門外。本發(fā)明提供的方法實施例,通過給用戶分配合適的角色,讓用戶與訪問權(quán)限相聯(lián)系,從而使得在訪問控制時,借助該角色所對應的操作集來有效控制用戶的訪問,能夠減少授權(quán)管理的復雜性,降低管理開銷,而且還能為管理員提供一個比較好的實現(xiàn)復雜安全政策的環(huán)境。需要說明的是,由于浪潮云海OS用戶數(shù)量將非常多,系統(tǒng)管理的工作也將非常繁重。為了緩解系統(tǒng)管理的壓力,就需要實現(xiàn)系統(tǒng)的分級管理,將管理系統(tǒng)的工作分散,根據(jù)這樣的需求,浪潮云海OS提出了用戶分級、服務器分組及劃分功能模塊的管理方案。其中
用戶分級;將系統(tǒng)所有用戶分為兩類安全管理員、普通管理員。安全管理員只可管理普通管理員,可以管理任何用戶和角色,對用戶和角色進行授權(quán),設置各種約束條件。 普通管理員擁有具體功能模塊、具體服務器組的操作權(quán)限,操作權(quán)限通過角色來賦予。服務器的服務器分組;根據(jù)服務器提供的功能不同,將服務器分為三組存儲節(jié)點組、網(wǎng)絡節(jié)點組、計算節(jié)點組。劃分功能模塊基于角色的訪問控制的特點,云海OS中的功能模塊是根據(jù)用戶的角色來劃分的,即每個功能模塊具有相對獨立的功能。將系統(tǒng)所有的權(quán)限在各個子功能模塊的基礎上進行劃分,每個權(quán)限都隸屬于某一個功能模塊。圖2為本發(fā)明提供的云操作系統(tǒng)中訪問控制的系統(tǒng)實施例的結(jié)構(gòu)示意圖。結(jié)合圖I所示的方法實施例,圖2所示系統(tǒng)實施例中所述云操作系統(tǒng)中的功能模塊相互獨立,其中分配裝置201,用于為訪問所述云操作系統(tǒng)的每個用戶分別分配該用戶對應的角色信息;配置裝置202,與所述分配裝置201相連,用于為每個角色信息配置該角色所對應的操作集,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對功能模塊的訪問權(quán)限信息;獲取裝置203,與所述配置裝置202相連,當接收到某一用戶的訪問請求時,獲取所述用戶的角色信息;控制裝置204,與所述獲取裝置203相連,用于根據(jù)所述用戶的角色信息所對應的操作集,對所述用戶發(fā)起的訪問進行控制。圖3為圖2所示系統(tǒng)中分配裝置201的結(jié)構(gòu)示意圖。圖3所示分配裝置201包括第一獲取模塊301,用于獲取用戶的身份識別信息;分配模塊302,用于根據(jù)所述身份識別信息為所述用戶分配對應的角色信息。圖4為圖2所示系統(tǒng)中控制裝置204的結(jié)構(gòu)示意圖。圖4所示控制裝置204包括第二獲取模塊401,用于獲取用戶的訪問信息,其中所述訪問信息包括用戶要訪問的功能模塊以及對該功能模塊的操作方式;判斷模塊402,與所述第二獲取模塊401相連,用于判斷所述訪問信息是否記錄在操作集中;控制模塊403,與所述判斷模塊402相連,用于如果所述訪問信息記錄在操作集中,則允許所述用戶發(fā)起訪問;否則,拒絕所述用戶發(fā)起訪問。圖5為圖2所示系統(tǒng)的另一結(jié)構(gòu)示意圖。圖5所示系統(tǒng)還包括接收裝置501,與所述分配裝置201相連,用于接收用戶的角色更改請求;更新裝置502,與所述接收裝置501和所述獲取裝置203相連,用于根據(jù)所述角色更改請求,更新所述用戶的角色信息。本發(fā)明提供的系統(tǒng)實施例,通過給用戶分配合適的角色,讓用戶與訪問權(quán)限相聯(lián)系,從而使得在訪問控制時,借助該角色所對應的操作集來有效控制用戶的訪問,能夠減少授權(quán)管理的復雜性,降低管理開銷,而且還能為管理員提供一個比較好的實現(xiàn)復雜安全政策的環(huán)境。以上所述,僅為本發(fā)明的具體實施方式
,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應以權(quán)利要求所述的保護范圍為準。
權(quán)利要求
1.一種云操作系統(tǒng)中訪問控制的方法,其特征在于,所述云操作系統(tǒng)中的功能模塊相互獨立,其中所述方法包括為訪問所述云操作系統(tǒng)的每個用戶分別分配該用戶對應的角色信息;為每個角色信息配置該角色所對應的操作集,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對功能模塊的訪問權(quán)限信息;當接收到某一用戶的訪問請求時,獲取所述用戶的角色信息;根據(jù)所述用戶的角色信息所對應的操作集,對所述用戶發(fā)起的訪問進行控制。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述為訪問所述云操作系統(tǒng)的每個用戶分別分配該用戶對應的角色信息,包括獲取用戶的身份識別信息;根據(jù)所述身份識別信息為所述用戶分配對應的角色信息。
3.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述根據(jù)所述用戶的角色信息所對應的操作集,對所述用戶發(fā)起的訪問進行控制,包括獲取用戶的訪問信息,其中所述訪問信息包括用戶要訪問的功能模塊以及對該功能模塊的操作方式;判斷所述訪問信息是否記錄在操作集中;如果所述訪問信息記錄在操作集中,則允許所述用戶發(fā)起訪問;否則,拒絕所述用戶發(fā)起訪問。
4.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述方法還包括接收到用戶的角色更改請求后,根據(jù)所述角色更改請求,對所述用戶的角色信息。
5.一種云操作系統(tǒng)中訪問控制的系統(tǒng),其特征在于,所述云操作系統(tǒng)中的功能模塊相互獨立,其中所述系統(tǒng)包括分配裝置,用于為訪問所述云操作系統(tǒng)的每個用戶分別分配該用戶對應的角色信息; 配置裝置,與所述分配裝置相連,用于為每個角色信息配置該角色所對應的操作集,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對功能模塊的訪問權(quán)限信息;獲取裝置,與所述配置裝置相連,當接收到某一用戶的訪問請求時,獲取所述用戶的角色信息;控制裝置,與所述獲取裝置相連,用于根據(jù)所述用戶的角色信息所對應的操作集,對所述用戶發(fā)起的訪問進行控制。
6.根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于,所述分配裝置包括第一獲取模塊,用于獲取用戶的身份識別信息;分配模塊,用于根據(jù)所述身份識別信息為所述用戶分配對應的角色信息。
7.根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于,控制裝置包括第二獲取模塊,用于獲取用戶的訪問信息,其中所述訪問信息包括用戶要訪問的功能模塊以及對該功能模塊的操作方式;判斷模塊,與所述第二獲取模塊相連,用于判斷所述訪問信息是否記錄在操作集中; 控制模塊,與所述判斷模塊相連,用于如果所述訪問信息記錄在操作集中,則允許所述用戶發(fā)起訪問;否則,拒絕所述用戶發(fā)起訪問。
8.根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括更新裝置,與所述分配裝置和獲取裝置相連,用于在接收到用戶的角色更改請求后,根據(jù)所述角色更改請求,對所述用戶的角色信息。
全文摘要
本發(fā)明提供一種云操作系統(tǒng)中訪問控制的方法和系統(tǒng)。所述方法,包括為訪問所述云操作系統(tǒng)的每個用戶分別分配該用戶對應的角色信息;為每個角色信息配置該角色所對應的操作集,其中所述操作集記錄有所述云操作系統(tǒng)允許該角色對功能模塊的訪問權(quán)限信息;當接收到某一用戶的訪問請求時,獲取所述用戶的角色信息;根據(jù)所述用戶的角色信息所對應的操作集,對所述用戶發(fā)起的訪問進行控制。
文檔編號H04L29/06GK102611699SQ20121004299
公開日2012年7月25日 申請日期2012年2月22日 優(yōu)先權(quán)日2012年2月22日
發(fā)明者房體盈, 朱波, 朱錦雷 申請人:浪潮(北京)電子信息產(chǎn)業(yè)有限公司