CN103188269B - 云平台中用户访问权限的控制方法 - Google Patents
云平台中用户访问权限的控制方法 Download PDFInfo
- Publication number
- CN103188269B CN103188269B CN201310119436.8A CN201310119436A CN103188269B CN 103188269 B CN103188269 B CN 103188269B CN 201310119436 A CN201310119436 A CN 201310119436A CN 103188269 B CN103188269 B CN 103188269B
- Authority
- CN
- China
- Prior art keywords
- user
- cloud platform
- operation requests
- access privilege
- control method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种云平台中用户访问权限的控制方法。所述方法包括:S1、系统管理员或超级用户为每个用户分配其对对象i的用户权限,对象i的拥有者为每个用户分配其对对象i的对象访问权限;S2、当用户j向云平台服务器请求对对象i进行某项操作时,服务器判断用户j是否具有对对象i进行该项操作的用户权限,若是,则进入步骤S3,否则拒绝用户j的操作请求;S3、服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。本发明提出的技术方案能够在云平台中实现不同用户对对象的访问控制分离;同时能够利用VPN进一步实现对普通用户的保密信息的双重保护。
Description
技术领域
本发明涉及云计算技术领域,特别涉及一种云平台中用户访问权限的控制方法。
背景技术
云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算借助于虚拟化技术,能够将分布在不同地区的计算资源进行整合,实现基础设施资源的共享。同时,用户可借助不同的终端设备,通过标准的应用实现对网络资源的访问,使对网络资源的访问无处不在。
在云计算及云平台为用户提供极大便利的同时,与之伴随的信息安全与隐私保护问题也一直是业界关注和解决的重点。其中,用户访问权限的控制与管理尤为重要。
所有的云服务及每个云服务的管理界面都需要身份管理、认证、授权和审计的机制。
目前,用户授权的流程一般是:系统管理员新建一个组织机构或组,在组下创建用户,如果用户参与多个组工作就做用户参与组管理;由系统管理员统一创建用户,并为用户分配权限,系统管理员将相应的用户分配给对应的组,并依次向下分配给用户权限;组和系统管理员只需做用户隶属组管理,这样用户就拥有了该组拥有的权限。
上述用户授权方式存在以下不足:
1、粗粒度的授权控制:云服务的管理界面特别倾向于提供过粗粒度的授权控制模型,因此,像职责分离这样的标准安全措施得不到实施,因为该方式没办法只提供给用户那些仅够他们展开工作的权限;
2、系统管理员是所有用户权限的授权者,其同时拥有了所有权限,因此可以访问普通用户的对象资源,使普通用户的特定对象资源得不到对应的有效保护。
VPN(Virtual Private Network,虚拟专用网)指的是在公用网络上建立专用网络的技术,其实质上就是利用加密技术在公用网络上封装出一个数据通讯隧道,从而有效保护用户信息。VPN的主要功能包括:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。
VPN技术为解决云平台中用户访问权限的控制问题提供了有效的方法和思路。
发明内容
(一)所要解决的技术问题
本发明的目的在于提供一种云平台中用户访问权限的控制方法,以实现不同用户对对象访问控制的分离,从而提高云平台中用户信息的安全性。
(二)技术方案
为了解决上述技术问题,本发明提出了一种云平台中用户访问权限的控制方法,所述方法包括以下步骤:
S1、系统管理员或超级用户为每个用户分配其对对象i的用户权限,
对象i的拥有者为每个用户分配其对对象i的对象访问权限;
S2、当用户j向云平台服务器请求对对象i进行某项操作时,所述服务器判断用户j是否具有对对象i进行该项操作的用户权限,若是,则进入步骤S3,否则拒绝用户j的操作请求;
S3、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。
可选的,步骤S3具体包括:
S3-1、所述服务器判断用户j是否是对象i的拥有者,若是,则接受用户j的操作请求,否则进入步骤S3-2;
S3-2、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。
可选的,步骤S1中,为每个用户分配其对对象i的用户权限时采用授权树的形式,从顶层开始依次往下进行权限授权。
可选的,步骤S2中,判断用户j是否具有对对象i进行该项操作的用户权限具体包括:
从用户j或用户j所在组对应的节点开始广度向上遍历授权树的所有路径,若存在POLICY,则判定为用户j具有对对象i进行该项操作的用户权限。
可选的,所述方法应用于VPN中。
可选的,所述服务器为VPN服务器。
(三)有益效果
本发明提出的技术方案能够在云计算平台下,实现对多用户权限的管理与控制,从而实现不同用户对对象的访问控制分离;同时,采用虚拟专用网(VPN),能够进一步实现对普通用户的保密信息的双重保护。
附图说明
图1是本发明提出的云平台中用户访问权限的控制方法的基本流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
本发明的技术方案采用了用户权限与对象访问权限相分离的策略。用户权限是系统管理员或超级用户给每个用户分配的各种操作权限,而对象访问权限是对象的拥有者给其他用户分配的对象的操作权限。
如图1所示,本发明提出的云平台中用户访问权限的控制方法包括以下步骤:
S1、系统管理员或超级用户为每个用户分配其对对象i的用户权限,
对象i的拥有者为每个用户分配其对对象i的对象访问权限;
S2、当用户j向云平台服务器请求对对象i进行某项操作时,所述服务器判断用户j是否具有对对象i进行该项操作的用户权限,若是,则进入步骤S3,否则拒绝用户j的操作请求;
S3、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。
其中,步骤S3具体包括:
S3-1、所述服务器判断用户j是否是对象i的拥有者,若是,则接受用户j的操作请求,否则进入步骤S3-2;
S3-2、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。
步骤S1涉及用户访问权限的授权,其中,为每个用户分配用户权限时可采用授权树的形式,从顶层开始依次往下进行相关权限授权。
授权树最顶层的系统管理员或超级用户可看做根节点,用户j或用户j所在组为叶子节点,从系统管理员或超级用户发出的授权关系为POLICY。
步骤S2涉及用户权限的判定,其中,判断用户j是否具有对对象i进行该项操作的用户权限具体包括:
从用户j或用户j所在组对应的节点开始广度向上遍历授权树的所有路径,若存在POLICY,则认为用户j具有对对象i进行该项操作的用户权限。
步骤S3涉及对象访问权限的判定,对象访问权限的授权检查不使用POLICY策略,只需用户是对象的拥有者或具有对象访问权限就可以了。
所有用户对对象进行操作时,需要同时具有用户权限和对象访问权限才可以实现操作,两者缺一不可。这样可以有效保护用户的对象资源;尤其是对于普通用户所拥有的特定对象资源,即使是系统管理员或超级用户,只要不具备对象访问权限,就无法对这些特定对象进行操作,从而有效保护了普通用户的信息和隐私。
除通过上述的对象细粒度分离控制保护不同用户的信息外,对于有特殊要求的用户信息,还可以采用建立一个专门的虚拟专用网(VPN)的方式,建立专用的数据通信隧道,从而实现对用户信息的双重保护。具体来说即,在对用户进行授权、用户权限判定以及用户对对象访问操作时,使用VPN对用户信息进行保护。在这种情况下,上述方法中的云平台服务器是指VPN服务器。
以上所述仅是本发明的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (5)
1.一种云平台中用户访问权限的控制方法,其特征在于,所述方法包括以下步骤:
S1、系统管理员或超级用户为云平台服务器中每个用户分配其对对象i的用户权限,
对象i的拥有者为所述云平台服务器中每个用户分配其对对象i的对象访问权限;
S2、当用户j向云平台服务器请求对对象i进行某项操作时,所述服务器判断用户j是否具有对对象i进行该项操作的用户权限,若是,则进入步骤S3,否则拒绝用户j的操作请求;其中,判断用户j是否具有对对象i进行该项操作的用户权限具体包括:从用户j或用户j所在组对应的节点开始广度向上遍历授权树的所有路径,若存在POLICY,则判定为用户j具有对对象i进行该项操作的用户权限;
S3、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。
2.根据权利要求1所述的云平台中用户访问权限的控制方法,其特征在于,步骤S3具体包括:
S3-1、所述服务器判断用户j是否是对象i的拥有者,若是,则接受用户j的操作请求,否则进入步骤S3-2;
S3-2、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。
3.根据权利要求1所述的云平台中用户访问权限的控制方法,其特征在于,步骤S1中,为每个用户分配其对对象i的用户权限时采用授权树的形式,从顶层开始依次往下进行权限授权。
4.根据权利要求1所述的云平台中用户访问权限的控制方法,其特征在于,所述方法应用于VPN中。
5.根据权利要求1-4中任一项所述的云平台中用户访问权限的控制方法,其特征在于,所述服务器为VPN服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310119436.8A CN103188269B (zh) | 2013-04-08 | 2013-04-08 | 云平台中用户访问权限的控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310119436.8A CN103188269B (zh) | 2013-04-08 | 2013-04-08 | 云平台中用户访问权限的控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103188269A CN103188269A (zh) | 2013-07-03 |
| CN103188269B true CN103188269B (zh) | 2016-12-28 |
Family
ID=48679234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310119436.8A Expired - Fee Related CN103188269B (zh) | 2013-04-08 | 2013-04-08 | 云平台中用户访问权限的控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103188269B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106462443B (zh) * | 2014-06-13 | 2020-01-07 | 柏思科技有限公司 | 用于管理节点的方法和系统 |
| CN104751077A (zh) * | 2015-04-21 | 2015-07-01 | 沈文策 | 权限控制方法及装置 |
| CN107992767A (zh) * | 2017-11-29 | 2018-05-04 | 国云科技股份有限公司 | 一种基于多云平台的权限控制方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773413A (zh) * | 2004-11-10 | 2006-05-17 | 中国人民解放军国防科学技术大学 | 角色定权方法 |
| CN101572630A (zh) * | 2009-05-22 | 2009-11-04 | 中兴通讯股份有限公司 | 一种基于对象的权限管理系统与方法 |
| CN102073817A (zh) * | 2010-12-29 | 2011-05-25 | 北京理工大学 | 一种基于rbac模型的动态访问控制改进方法 |
| CN102456103A (zh) * | 2010-10-26 | 2012-05-16 | 王芳 | 一种改进的rbac访问控制模型 |
| CN102571821A (zh) * | 2012-02-22 | 2012-07-11 | 浪潮电子信息产业股份有限公司 | 一种云安全访问控制模型 |
| CN102903029A (zh) * | 2012-09-27 | 2013-01-30 | 广东亿迅科技有限公司 | 云计算资源分域授权方法 |
| CN202856786U (zh) * | 2012-10-25 | 2013-04-03 | 浙江星汉信息技术有限公司 | 一种用于权限管理的系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4703932B2 (ja) * | 2000-04-06 | 2011-06-15 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | オブジェクト条件付きアクセスシステム |
| EP1637957A1 (en) * | 2004-09-21 | 2006-03-22 | Deutsche Thomson-Brandt Gmbh | Method and apparatus for accessing protected data |
-
2013
- 2013-04-08 CN CN201310119436.8A patent/CN103188269B/zh not_active Expired - Fee Related
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1773413A (zh) * | 2004-11-10 | 2006-05-17 | 中国人民解放军国防科学技术大学 | 角色定权方法 |
| CN101572630A (zh) * | 2009-05-22 | 2009-11-04 | 中兴通讯股份有限公司 | 一种基于对象的权限管理系统与方法 |
| CN102456103A (zh) * | 2010-10-26 | 2012-05-16 | 王芳 | 一种改进的rbac访问控制模型 |
| CN102073817A (zh) * | 2010-12-29 | 2011-05-25 | 北京理工大学 | 一种基于rbac模型的动态访问控制改进方法 |
| CN102571821A (zh) * | 2012-02-22 | 2012-07-11 | 浪潮电子信息产业股份有限公司 | 一种云安全访问控制模型 |
| CN102903029A (zh) * | 2012-09-27 | 2013-01-30 | 广东亿迅科技有限公司 | 云计算资源分域授权方法 |
| CN202856786U (zh) * | 2012-10-25 | 2013-04-03 | 浙江星汉信息技术有限公司 | 一种用于权限管理的系统 |
Non-Patent Citations (2)
| Title |
|---|
| 《一种改进的基于角色的分级授权访问控制模型》;刘利军等;《昆明理工大学学报》;20090228;第34卷(第1期);第39-42页、附图1-3 * |
| 《基于角色的访问控制在SSL VPN中的应用》;周本东等;《计算机与数字工程》;20110831;第39卷(第8期);第105-108页、附图1-3 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103188269A (zh) | 2013-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
| CN103327084B (zh) | 一种公私混合分布式的云存储系统及云存储方法 | |
| CN104125219B (zh) | 针对电力信息系统的身份集中授权管理方法 | |
| US9444803B2 (en) | Authentication method and system oriented to heterogeneous network | |
| KR101575080B1 (ko) | 소프트웨어 라이선스 제어 | |
| CN104539598B (zh) | 一种改进Tor的安全匿名网络通信系统及方法 | |
| CN103442354B (zh) | 一种移动警务终端安全管控系统 | |
| CN103379089B (zh) | 基于安全域隔离的访问控制方法及其系统 | |
| CN104850787B (zh) | 基于高保证内核模块的移动终端操作系统及其实现方法 | |
| CN103617485A (zh) | 统一权限管理部署系统 | |
| US10021141B2 (en) | Managing network resource access using session context | |
| CN102073817B (zh) | 一种基于rbac模型的动态访问控制改进方法 | |
| CN111797374B (zh) | 一种基于公链智能合约的供应链访问控制系统和方法 | |
| CN106230818A (zh) | 一种信息管理系统的资源授权方法 | |
| CN103188269B (zh) | 云平台中用户访问权限的控制方法 | |
| CN108092945A (zh) | 访问权限的确定方法和装置、终端 | |
| CN101159630A (zh) | 流量监管方法、系统和宽带接入服务器 | |
| CN105871880A (zh) | 一种云环境下基于信任模型的跨租户访问控制方法 | |
| CN106487770B (zh) | 鉴权方法及鉴权装置 | |
| CN107147665A (zh) | 基于属性的访问控制模型在工业4.0系统中的应用方法 | |
| CN108809930B (zh) | 用户权限管理方法及装置 | |
| CN102972005B (zh) | 交付认证方法 | |
| CN106302425A (zh) | 一种虚拟化系统节点间通信方法及其虚拟化系统 | |
| CN103069767B (zh) | 交付认证方法 | |
| CN110135146B (zh) | 一种数据库权限管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161228 Termination date: 20180408 |