CN105357201B - 一种对象云存储访问控制方法和系统 - Google Patents
一种对象云存储访问控制方法和系统 Download PDFInfo
- Publication number
- CN105357201B CN105357201B CN201510771547.6A CN201510771547A CN105357201B CN 105357201 B CN105357201 B CN 105357201B CN 201510771547 A CN201510771547 A CN 201510771547A CN 105357201 B CN105357201 B CN 105357201B
- Authority
- CN
- China
- Prior art keywords
- access control
- user
- data
- management
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种对象云存储访问控制方法和系统。该方法在云端以对象存储结构来存储数据,在客户端实现文件对象的上传和下载,服务端接收到请求,对请求用户的安全级别和安全范畴进行提取,通过强制访问控制方法对用户和对象文件的安全级别和安全范畴进行判。本发明可以方便的为各种客户端和移动端提供服务,由于访问控制策略考虑了安全级别和安全范畴两个属性,所以大大提高了对象数据的安全性。本发明可以支持大数据量的存储,同时可以有效保护数据隐私。
Description
技术领域
本发明属于信息安全领域,具体的来说,涉及一种云存储环境下实现对媒体资源文件进行访问控制的方法和系统。
背景技术
云计算的迅速发展使人们对传统的基础设施服务、数据存储等理解发生了改变。由于云计算能够降低存储和计算的代价,云存储服务日益受到企业和个人的信赖。但是,使用云存储会给重要数据带来严重的安全威胁,当非授权的访问接触到数据时,将会影响数据的机密性和完整性。
以下两个专利均涉及云存储控制技术:
中国发明专利申请CN201310071664.2中公开了一种基于属性的云存储访问控制系统,实现了利用对用户的身份进行解密加密,和访问控制策略加密后的对称密钥功能来进行验证,同时利用用户的属性信息和访问的资源信息进行访问控制策略的判断。在用户访问时,对用户进行密钥的验证,保证了用户的真实性,同时也有效的保护了资源文件。
中国发明专利申请CN201410786428.3中公开了一种基于HDFS的云存储访问控制方法,实现了在大数据下进行数据存储并进行访问控制。此项发明是对传统的RBAC访问控制模型的改造,将RBAC构建在基于HDFS的云存储访问控制系统中。可以有效地利用大数据平台进行分析,同时能够有效地实现多用户的数据隔离与共享。
企业云存储基于云计算理念推出了企业数据网络存储和管理方案,利用互联网后台数据中心的海量计算和存储能力为企业提供数据汇总分发、存储备份和管理等服务。企业云存储必须保证企业数据的安全,包括保密性、完整性和可用性。但是目前他们的访问控制方案都是采用DAC(Discretionary Access Control,自主访问控制)和RBAC(Role BasedAccess Control,基于角色访问控制)模型,但这两种模型无法满足企业云存储的应用需求,也存在一些缺陷,主要表现为:
1)随着用户和资源的数量增长,DAC中ACL(Access Control List,访问控制列表)的规模急剧增加,难以管理和维护;
2)若要进行细粒度的访问控制,必须对用户进行精确区分,从而RBAC需要定义大量的用户角色,这给角色的分配和管理带来困难;
3)它们都是静态的授权机制,没有考虑上下文环境对授权的影响。
4)同时对于媒体资源文件而言,类型多,来源多,对各个具体分类的权限要求也各不相同,对这种媒体资源的权限分配和管理较为复杂。
广播新媒体拥有海量的媒体资源数据,且类型多样、来源不一、敏感程度各不相同,媒体资源数据的组成十分复杂,需要根据数据的机密性对敏感程度不同、类型不同的数据进行隔离。云计算的发展为广播云发展带来了机遇,也带来了新的挑战:在数据存储阶段,用户的大量数据存储在云端,需要解决数据隔离及数据防丢失篡改的安全问题;在数据使用阶段,用户操作存储在云端的数据,需要解决访问控制、数据传输、云服务器性能等安全问题。
为了保障媒体资源数据的安全性,需要严格限制对高敏度媒体资源文件的访问,将访问主体限制为一个用户,将访问客体限制为一条媒体资源文件,也就是实现细粒度的访问控制。利用基于标记的细粒度访问控制系统,可以实现对用户权限的管理及媒体资源文件的强制访问控制,保障广播云平台媒体资源安全性。
发明内容
本发明的目的在于克服现有技术中存在的问题,提供一种细粒度的对象数据访问控制方法和使用该方法的对象云存储访问控制系统。
本发明所述的云存储访问控制方法,其步骤如图1所示,包括:
a)应用系统通过文件操作接口产生文件操作请求;
b)操作函数将文件操作请求解析为单个的原子操作(存在批量文件、目录的文件操作接口),控制单元产生解析请求,由解析单元解释来访者命令,解析单元通过解析查询得出访问目标、主体标识、客体标识、访问操作等信息,并向控制单元返回访问请求信息;
c)控制单元将格式化的主客体标记发往决策单元,决策单元根据强制访问策略进行决策判断,并将决策结果返回(即进行决策响应),产生决策的同时要对决策结果进行审计,由审计模块的数据采集子模块获取数据;查询审计策略配置,决定是否记录,根据查询结果,生成审计记录;
d)控制单元获取决策响应,若为授权,则访问资源文件;
优选的,步骤a)所述的文件操作请求都是通过开放的API接口来产生。
优选的,步骤b)所述的操作函数会对用户发送的文件操作请求进行解析,同时解析单元对来访者的属性进行查询,获取请求操作的对象数据、主体标识、客体标识、访问的方法等信息;
优选的,步骤c)所述的决策单元采用强制访问控制的策略模式。当用户请求对象数据时,通过下述方法实现对用户的权限做决策管理:
i.读操作时,仅当用户安全范畴包含对象数据的安全范畴,并且用户的安全级别大于或等于对象数据的安全级别,用户才能对对象数据进行读操作。
ii.写操作时,仅当用户安全范畴包含对象数据的安全范畴,并且用户的安全级别小于或等于对象数据的安全级别,用户才能对对象数据进行写操作。
iii.当访问控制模块做出决策之后,如果通过强制访问控制,则若是写操作,则会直接上传到云存储服务器。若是读操作,则会将对象数据下载到本地磁盘。
此外,本发明还提供了使用上述方法的对象云存储访问控制系统,其系统拓扑如图2所示,该系统包括访问控制中心、一台或多台数据库服务器、一台或多台云存储服务器、防火墙、认证服务器、云应用服务器和各种客户端;其中所述访问控制中心、数据库服务器、云存储服务器用以实现细粒度的对象数据访问控制方法,为本发明创新之处;所述客户端、防火墙、认证服务器、云应用服务器为现有技术,用以共同构成一套完善的对象云存储访问控制系统。
1.所述访问控制中心实现了细粒度的对象数据访问控制方法,其组成包括管理模块、访问控制模块、服务接口模块和审计模块,如图3所示。
1)管理模块:
所述管理模块包括标记管理,用户管理,文件管理和数据同步功能:
a)标记管理:所述的标记管理包括主体标记管理和客体标记管理:主体标记管理提供对主体标记信息的增删改查,接收用户管理中接口对标记的操作,将命令转化封装为对数据表的操作;客体标记管理提供对客体标记信息的增删改查,接收上层接口对标记的操作,将命令转化封装为对文件目录树中标记的操作。
所述的标记管理还包括策略管理,主要完成访问控制策略定义,安全范畴定义,将安全范畴与用户主体关联的功能。
b)用户管理:所述的用户管理主要完成传统操作中对用户的增,删,改,查操作,并且在用户信息发生改变时与标记管理中主体标记管理交互,相应操作主体标记。
c)文件管理:所述的文件管理主要完成传统操作中对文件的增,删,改,查操作,并且在文件信息发生改变时与标记管理中客体标记管理交互,相应操作客体标记。另外需要提供父目录的操作接口和实现。
d)数据同步:所述的数据同步主要负责将统一认证中的用户信息数据同步到访问控制中心。
2)访问控制模块:
所述的访问控制模块包括操作函数、决策单元、解析单元和控制单元;该访问控制模块接受用户的请求,通过其中的操作函数对这些请求操作进行分解,分解为对单个文件读写的逻辑实现,转交给决策单元;所述的解析单元负责解析客户的请求,把用户请求中的主客体标识等信息进行提取,然后交给决策单元处理,方便进行决策控制;所述的决策单元是负责接受主客体标记信息,根据强制访问控制规则,做出决策,并返回;所述的控制单元是访问控制系统的核心模块,负责各个模块之间的联系,通过决策响应,返回用户的请求结果。
所述的强制访问控制规则根据用户的属性信息和请求的对象数据信息,按照如下步骤进行:
a)接受并解析用户的请求信息,包括对象数据的信息;用户的安全级别为sub_seclevel,安全范畴为sub_secfield,客体的安全级别为obj_seclevel,客体的安全范畴为obj_secfield;请求方法为method;用户的范畴获取还需要通过用户的安全分类来获取所有的安全范畴。
b)当请求方法为读操作时,首先比对主客体安全级别;只有主体安全级别大于或等于客体的安全级别,才会安全范畴的比较;主体安全范畴包含客体安全范畴。这两个条件同时满足,才会通过访问控制策略。
c)当请求方法为写操作时,同样如所述(2),主体安全级别小于或等于客体安全级别,且主体安全范畴包含客体安全范畴,才能通过写操作请求。
3)服务接口模块:
所述服务接口模块提供各种接口,包括:策略定义类API,标记管理类API,文件操作类API,审计操作类API和数据同步接口;
a)所述的策略定义类API:主要负责与访问控制模块中标记定义,类别定义,级别定义交互;主要有:定义安全级别的范畴;负责定义安全类别的意义;输出标记种类信息;
b)所述的标记管理类API:主要通过图形化界面显示操作,负责与管理模块交互;主要有输出当前采用的标记;给主体/客体打上标记;给主体/客体消除标记;主客体修改标记;主客体范畴修改。
c)所述的文件操作类API,主要负责向上层应用提供文件操作的HTTP RestfulAPI。
所述的标记定义,主要是完成初始化阶段的主体标记数据表结构的定义,客体标记目录树的结构定义。同时保存主体标记和客体标记的视图。
d)所述的审计操作类API,主要负责对审计日志操作的API,提供审计查询,审计分析,审计管理,审计策略定义等操作。
e)所述的数据同步接口,主要负责将统一认证中用户信息数据同步到访问控制系统。
4)审计模块:
所述审计模块用于对访问控制的授权信息进行记录分析,包括:审计策略指定,审计管理,审计数据采集;
a)所述的审计策略指定,对审计模块进行配置,配置对哪些主客体的行为进行审计。审计记录配置应包括主客体属性信息,主客体标记信息,行为类型(读、写、修改),操作响应(允许,失败)等。
b)所述的审计管理,对审计日志数据库进行管理,包括查询,删除等。主要功能为查询,依据关键字段进行审计记录索引,从而快速查询,方便审计日志分析和追踪。
c)所述的审计数据采集,从访问控制模块获取决策信息,进行审计策略判断后,生成规范的审计记录条目,并通过标准的接口写入记录到审计日志数据库中。
2.所述的数据库服务器包含存储模块,如图3所示:
存储模块主要通过两个数据结构实现。主体(用户)标记存储采用数据表结构,每个主体的标记是数据库中表的一项。客体标记采用树结构,每个标记中的Pd指向父目录的标记;可以达到优化查询速度,方便存取管理的目的。
3.所述的云存储服务器用于对象存储
所述的云存储服务器的对象储存采用开源框架openstack中的对象存储模块swift,所述的对象存储模块swift在使用过程中,会有很多中间件进行对用户的请求进行甄别,判断。在此基础上,添加访问控制中间件,来对用户以及对象数据的安全级别和安全范畴进行判断。
4.所述客户端、认证服务器、防火墙、云应用服务器:
1)所述客户端为产生文件访问请求的终端设备,包括台式机、便携机、PDA、其他终端
2)所述认证服务器用以对用户身份进行鉴别,所述访问控制中心访问控制模块根据用户身份信息获取主体标记,利用所述云存储访问控制方法进行访问控制决策。
3)所述防火墙是对象云存储系统的组成部分,用以对网络访问进行控制。
4)所述云应用服务器用以向用户提供云计算的各种服务。
本发明的对象云存储访问控制方法和系统,在云端以对象存储结构来存储数据。在客户端实现文件对象的上传和下载,服务端接收到请求,对请求用户的安全级别和安全范畴进行提取,通过强制访问控制方法对用户和对象文件的安全级别和安全范畴进行判定,由于访问控制策略考虑了安全级别和安全范畴两个属性,所以大大提高了对象数据的安全性。本系统可以支持大数据量的存储,同时可以有效保护数据隐私。具体来说,和现有技术相比,本发明具有如下优势:
1.基于本发明的数据库结构,采用树形结构和左右值编码方案,针对媒体资源数据的分类的复杂性和多层次性,可以有效地满足存储冗余度小,直观性强,以及对各个节点进行增删改查的高效操作。
2.基于本发明的访问控制系统可以单独的对用户的安全级别、安全范畴、安全分类进行统一管理,同时存储在云端的数据具有很好的可靠性,云端采用冗余备份策略。
3.基于本发明的对象云访问控制系统提供RestFull API接口,可以方便的为各种客户端,移动端提供服务。
附图说明
图1是本发明的标记细粒度访问控制系统处理流程图。
图2是本发明系统网络拓扑结构图;
图3是本发明对象云存储访问控制系统结构图;
图4是本发明数据库系统结构图;
图5是图3中访问控制模块的工作流程图;
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附图,对本发明做进一步说明。
本实施案例采用如图4所示的数据库系统结构,并详细描述图4中的数据库系统表结构,图中PK表示该项为该数据表的主键,FK表示该项为该数据表的外键。
设定数据库系统两个用户表,分为管理员表和普通用户表,而对象数据文件为单独的一个表。数据表的数据结构和数据内容如下表1,2所示。
表1:数据表TAdmin的数据结构
| 字段名 | 类型 | 说明 |
| Id | Integer | 用户标识 |
| Name | Char | 用户姓名 |
| Passwd | Char | 用户密码 |
| Seclevel | Int | 安全级别 |
| Parent_secl_id | Int | 安全分类 |
表2:数据表TAdmin的数据内容
| Id | Name | Passwd | Seclevel | Parent_secl_id |
| 1 | Admin | Admin | 0 | 0 |
| 2 | Sandy | Sandy | 0 | 0 |
表3:普通用户数据表TUser的数据结构
| 字段名 | 类型 | 说明 |
| tu_id | bigint | 用户标识 |
| login_name | char | 登录名 |
| password | char | 用户密码 |
| seclevel | int | 安全级别 |
| mobile | int | 手机号码 |
表4:普通用户数据表TUser的数据内容
| tu_id | login_name | password | seclevel | mobile |
| 1 | hanmeimei | hanmeimei | 4 | 152******** |
| 2 | Lucy | lucy | 5 | 150******** |
| 3 | lilei | lilei | 2 | 139******** |
| 4 | Sun | Sunhong | 2 | 189******** |
表5:媒体资源表TMeta的数据结构(主要属性)
| 字段名 | 类型 | 说明 |
| object_id | int | 媒体资源标识 |
| object_name | varchar | 媒体资源名称 |
| parent_secl_id | int | 媒体资源安全分类 |
| obj_seclevel | int | 媒体资源安全级别 |
| path | varchar | 存放路径 |
表6:媒体资源表Tmeta的数据内容
| object_id | object_name | parent_secl_id | obj_seclevel | path |
| 1 | 双节棍 | 3 | 5 | 双节棍.mp3 |
| 2 | 天堂 | 3 | 3 | Tiantang.mp3 |
| 3 | 小酒窝 | 9 | 3 | Xiaojiuwo.mp3 |
本实施例展示如何使用本发明对当用户Lucy访问Tmeta中的object_id=1字段时,进行访问控制。通过图3,当用户Lucy通过接口访问媒体资源数据时,可以正常的读取到用户的安全级别和用户ID。根据用户的ID,通过表7,8获取用户的安全范畴。同时,根据用户所带的访问文件路径可以获取到媒体数据的安全级别和安全分类。
表7:普通用户与范畴关系表的数据结构
| 字段名 | 类型 | 说明 |
| idTUserSecfieldRelation | int | 关系标识 |
| tu_id | int | 用户id |
| secfield_id | varchar | 范畴id |
表8:普通用户与范畴关系表的数据内容
| IdTUserSecfieldRelation | tu_id | secfield_id |
| 1 | 2 | 2 |
| 2 | 3 | 2,3,4,7 |
表9:安全分类表TSeclass的数据结构
| 字段名 | 类型 | 说明 |
| seclass_id | int | 分类标识 |
| parent_secl_id | int | 父分类标识 |
| seclass_name | varchar | 分类名称 |
表10:安全分类表Tseclass的数据内容
| seclass_id | parent_secl_id | seclass_name |
| 1 | 0 | 音乐 |
| 2 | 1 | 周杰伦 |
| 3 | 2 | 叶惠美 |
表11:安全范畴表TSecfield的数据结构
| 字段名 | 类型 | 说明 |
| secfield_id | int | 范畴标识 |
| parent_secfd_id | int | 父范畴标识 |
| secfield_name | varchar | 范畴名称 |
表12:安全范畴表Tsecfield的数据内容
| seclass_id | parent_secl_id | seclass_name |
| 1 | 0 | VIP1音乐 |
| 2 | 1 | VIP2周杰伦 |
| 3 | 2 | VIP3叶惠美 |
本实施例将根据用户的安全类别和可以访问的安全范畴,媒体数据的安全类别和归属类别进行判断。判断的约束条件是用户的安全级别和安全分类必须同时满足要求。当我们获取到用户的范畴ID之后,并不能直接得到用户可访问类别,每个范畴可能对应多个分类,所以当获取到用户的安全范畴之后,还需要查找不同的范畴对应所述的分类ID。如表13,14可查看范畴与分类的对应关系。可以得出用户最终的可访问类别的集合。
表13:策略表TPolicy的数据结构
| 字段名 | 类型 | 说明 |
| idTuserSecfieldRelation | Int | 策略标识 |
| Secfield_id | Int | 范畴ID标识 |
| Seclass_id | Varchar | 分类集合标识 |
表14:策略表TPolicy的数据内容
| IdTuserSecfieldRelation | Secfield_id | Seclass_id |
| 1 | 2 | 3,4 |
| 2 | 3 | 3 |
| 3 | 7 | 9,10,13 |
这样我们就可以得到用户的可访问分类权限了。用户对媒体资源数据进行操作时,具体的,本发明的访问控制系统将按照如图5所示的流程步骤进行:
(1)根据用户的请求,可以得到用户的tu_id和安全级别sub_seclevel;
(2)通过查找用户范畴关系表,查找出用户所对应的可访问范畴集合{field1,field2,…};
(3)在本发明的对象云存储系统中,对于每一类范畴都会对应一个分类集合。用户的范畴集合转化为可访问的分类集合。
(4)得到用户的主要信息,安全级别和安全范畴。
(5)当用户要进行读操作时,对于指定路径的媒体资源文件,可以通过查找数据库表来
获取媒体资源属性,包括安全级别和安全分类。
(6)当用户要进行写操作时,会指定对象数据文件的安全级别和安全分类。
(7)进行访问控制时,需要对安全级别和安全分类进行逐一判定。在对安全分类进行比较时,每个分类都会有一个父分类。若用户拥有该媒体文件的父类权限。则对此文件也拥有相应的权限。
步骤1,用户主体的安全分类是{class1,class2,class3,…},客体的安全分类是class4,class4的父分类是class3,class3的父分类…
步骤2,首先根据客体的分类进行判断是否在用户所拥有的分类里,若不在,则查看class4的父分类,依次进行查找,直到遍历完所有的父分类。
(8)根据匹配的结果,通过访问控制,系统会产生不同的操作。
从本实施例可以看出,本方法实现了对媒体对象数据的细粒度的强制访问控制,其中有效了解决了媒体资源数据的分类存储的特点。对媒体资源数据和用户身份添加安全标记用于信息分类分级,实现访问控制和是数据分析。在云存储平台中,所有用户共享使用平台数据,实现多用户平台中数据间的有效隔离及安全访问是非常重要的。依据强制访问控制的概念设计了基于主体、客体的安全标记,同时依据媒体资源分类特点,一次写多次读等特点,实现媒体资源数据隔离,并定义实施一套安全访问控制策略保障数据安全,又保护了对象数据的安全性。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (8)
1.一种对象云存储访问控制方法,通过客户端对云存储服务器上的对象数据读取操作,在客户端和云存储服务器之间设有访问控制中心,用于实现细粒度的对象数据访问控制,所述访问控制中心包括访问控制模块,所述访问控制模块包括操作函数、决策单元、解析单元和控制单元;所述操作函数负责提供文件操作类函数接口,同时实现将这些操作分解为原子操作;所述决策单元负责接收主客体标记,并根据强制访问控制规则做出决策,并返回;所述解析单元负责解析查询,得出访问目标、访问操作,查询得到主体标识,客体标识信息;所述控制单元是访问控制的调度核心,负责各个模块的连接根据决策响应,请求资源文件并返回;该方法的步骤包括:
1)应用系统通过文件操作接口产生文件操作请求;
2)通过操作函数将文件操作请求解析为单个的原子操作;
3)控制单元产生解析请求,由解析单元解释来访者命令;
4)解析单元通过解析查询得出访问目标、主体标识、客体标识以及访问操作信息;
5)解析单元向控制单元返回访问请求信息;
6)控制单元将格式化的主客体标记发往决策单元;
7)决策单元根据强制访问控制规则进行决策判断,并将决策结果返回;并在产生决策的同时由审计模块对决策结果进行审计,生成审计记录;所述决策单元根据强制访问控制规则进行决策判断,包括:
a)读操作时,仅当用户安全范畴包含对象数据的安全范畴,并且用户的安全级别大于或等于对象数据的安全级别,用户才能对对象数据进行读操作;
b)写操作时,仅当用户安全范畴包含对象数据的安全范畴,并且用户的安全级别小于或等于对象数据的安全级别,用户才能对对象数据进行写操作;
c)当访问控制模块做出决策之后,如果通过强制访问控制,则若是写操作,则会直接上传到云存储服务器;若是读操作,则会将对象数据下载到本地磁盘;
8)控制单元从决策单元获取决策结果,若为授权,则访问资源文件。
2.如权利要求1所述的对象云存储访问控制方法,其特征在于,步骤1)中应用系统通过开放的API接口进行文件操作请求;步骤4)中解析单元对来访者的属性进行查询,以获取请求操作的访问目标、主体标识、客体标识以及访问操作信息。
3.一种采用权利要求1所述方法的对象云存储访问控制系统,其特征在于,包括访问控制中心以及与其连接的数据库服务器、云存储服务器、云应用服务器、认证服务器、防火墙和客户端;所述访问控制中心用于实现细粒度的对象数据访问控制,包括管理模块、访问控制模块、服务接口模块和审计模块;所述数据库服务器包含存储模块,用于存储用户标记、文件标记和审计日志;所述云存储服务器采用开源框架中的对象存储模块进行对象存储;所述客户端为产生文件访问请求的终端设备;所述认证服务器用以对用户身份进行鉴别;所述防火墙用以对网络访问进行控制;所述云应用服务器用以向用户提供云计算的各种服务;所述访问控制模块包括操作函数、决策单元、解析单元和控制单元;所述操作函数负责提供文件操作类函数接口,同时实现将这些操作分解为原子操作;所述决策单元负责接收主客体标记,并根据强制访问控制规则做出决策,并返回;所述解析单元负责解析查询,得出访问目标、访问操作,查询得到主体标识,客体标识信息;所述控制单元是访问控制的调度核心,负责各个模块的连接根据决策响应,请求资源文件并返回。
4.如权利要求3所述的对象云储存访问控制系统,其特征在于,所述管理模块包括标记管理、用户管理、文件管理和数据同步功能;所述的标记管理包括主体标记管理和客体标记管理以及策略管理,所述策略管理完成访问控制策略定义、安全范畴定义、将安全范畴与用户主体关联的功能;所述用户管理完成对用户的增,删,改,查操作,并且在用户信息发生改变时与标记管理中主体标记管理交互,相应操作主体标记;所述文件管理完成对文件的增,删,改,查操作,并且在文件信息发生改变时与标记管理中客体标记管理交互,相应操作客体标记;所述数据同步负责将统一认证中的用户信息数据同步到访问控制中心。
5.如权利要求4所述的对象云储存访问控制系统,其特征在于,所述强制访问控制规则根据用户的属性信息和请求的对象数据信息,按照如下步骤进行:
(1)接受并解析用户的请求信息,包括对象数据的信息;用户的安全级别为sub_seclevel,安全范畴为sub_secfield,客体的安全级别为obj_seclevel,客体的安全范畴为obj_secfield;请求方法为method;用户的范畴获取还需要通过用户的安全分类来获取所有的安全范畴;
(2)当请求方法为读操作时,首先比对主客体安全级别;主体安全级别大于或等于客体的安全级别,且主体安全范畴包含客体安全范畴,才能通过访问控制策略;
(3)当请求方法为写操作时,主体安全级别小于或等于客体安全级别,且主体安全范畴包含客体安全范畴,才能通过写操作请求。
6.如权利要求3所述的对象云储存访问控制系统,其特征在于,所述服务接口模块提供各种接口,包括:策略定义类API、标记管理类API、文件操作类API、审计操作类API和数据同步接口;所述策略定义类API负责与访问控制模块中标记定义、类别定义、级别定义交互;所述标记管理类API通过图形化界面显示操作与管理模块交互;所述文件操作类API负责向上层应用提供文件操作的HTTP Restful API;所述审计操作类API负责对审计日志操作的API提供审计查询、审计分析、审计管理和审计策略定义操作;所述数据同步接口负责将统一认证中用户信息数据同步到访问控制系统。
7.如权利要求3所述的对象云储存访问控制系统,其特征在于,所述存储模块通过两个数据结构实现:主体标记存储采用数据表结构,每个主体的标记是数据库中表的一项;客体标记采用树结构;所述审计模块用于对访问控制的授权信息进行记录分析,包括审计策略指定,审计管理,审计数据采集。
8.如权利要求3所述的对象云储存访问控制系统,其特征在于,所述云存储服务器采用开源框架openstack中的对象存储模块swift,所述的对象存储模块swift在使用过程中采用中间件对用户的请求进行甄别和判断,并在此基础上添加访问控制中间件,来对用户以及对象数据的安全级别和安全范畴进行判断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510771547.6A CN105357201B (zh) | 2015-11-12 | 2015-11-12 | 一种对象云存储访问控制方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510771547.6A CN105357201B (zh) | 2015-11-12 | 2015-11-12 | 一种对象云存储访问控制方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105357201A CN105357201A (zh) | 2016-02-24 |
| CN105357201B true CN105357201B (zh) | 2019-04-16 |
Family
ID=55333065
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510771547.6A Expired - Fee Related CN105357201B (zh) | 2015-11-12 | 2015-11-12 | 一种对象云存储访问控制方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105357201B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324326A (zh) * | 2019-06-20 | 2019-10-11 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络数据传输控制方法及装置 |
| CN111460495B (zh) * | 2020-03-27 | 2023-06-23 | 北京锐安科技有限公司 | 一种数据分级管理系统和方法 |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105957148B (zh) * | 2016-05-20 | 2018-07-20 | 江苏得得空间信息科技有限公司 | 一种复杂三维建筑物模型的粒度均衡数据组织方法 |
| CN106648920B (zh) * | 2016-09-29 | 2019-07-02 | 浪潮云信息技术有限公司 | 一种基于接口的数据通信方法 |
| CN106503133B (zh) * | 2016-10-19 | 2020-06-19 | 北京小米移动软件有限公司 | 云盘数据处理方法及装置 |
| CN107085584B (zh) * | 2016-11-09 | 2021-05-28 | 中国长城科技集团股份有限公司 | 一种基于内容的云文档管理方法、系统及服务端 |
| CN108243175B (zh) * | 2016-12-27 | 2021-03-12 | 北京金山云网络技术有限公司 | 一种基于桶策略的访问控制方法及装置 |
| CN106534223B (zh) * | 2017-01-22 | 2019-10-25 | 上海新炬网络信息技术股份有限公司 | 基于密钥算法和日志审计的Openstack访问控制方法 |
| CN106990923B (zh) * | 2017-03-30 | 2020-05-12 | 武汉大学 | 一种基于个人存储设备的网盘构造装置及方法 |
| CN107172014A (zh) * | 2017-04-21 | 2017-09-15 | 齐鲁工业大学 | 一种信息管理云端共享系统 |
| CN107566469B (zh) * | 2017-08-24 | 2020-06-05 | 平安科技(深圳)有限公司 | 用户信息上载方法、装置及计算机可读存储介质 |
| CN107679099B (zh) * | 2017-09-12 | 2021-07-30 | 中国科学院软件研究所 | 访问控制要素图构建方法、策略描述方法、访问控制判定方法及框架 |
| CN107944296A (zh) * | 2017-11-30 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种云存储系统及其用户权限控制方法、设备、存储介质 |
| CN108197444A (zh) | 2018-01-23 | 2018-06-22 | 北京百度网讯科技有限公司 | 一种分布式环境下的权限管理方法、装置及服务器 |
| TWI698754B (zh) * | 2018-05-29 | 2020-07-11 | 普安科技股份有限公司 | 雲端服務之權限管理方法及其系統 |
| CN109753814A (zh) * | 2018-11-13 | 2019-05-14 | 苏州网信信息科技股份有限公司 | 云盘层级管理系统及方法 |
| CN109766439A (zh) * | 2018-12-15 | 2019-05-17 | 内蒙航天动力机械测试所 | 统计查询软件的无限树状分类定义与指派方法 |
| CN111723068A (zh) * | 2019-03-18 | 2020-09-29 | 云南至圣教育科技有限公司 | 一种考试资源云端储存自动化处理系统 |
| CN110069501A (zh) * | 2019-04-23 | 2019-07-30 | 北京恒冠网络数据处理有限公司 | 一种大数据储存系统 |
| CN110427744B (zh) * | 2019-06-20 | 2021-07-13 | 中国科学院信息工程研究所 | 一种支持业务安全标记的身份管理方法及系统 |
| CN110427747B (zh) * | 2019-06-20 | 2021-12-14 | 中国科学院信息工程研究所 | 一种支持业务安全标记的身份鉴别方法及装置 |
| CN110427759B (zh) * | 2019-06-20 | 2021-04-20 | 中国科学院信息工程研究所 | 一种支持业务安全标记的网络资源浏览控制方法及系统 |
| CN111181955B (zh) * | 2019-12-26 | 2022-02-08 | 北京卓讯科信技术有限公司 | 一种基于标记的会话控制方法、设备和存储介质 |
| CN111245933A (zh) * | 2020-01-10 | 2020-06-05 | 上海德拓信息技术股份有限公司 | 一种基于日志的对象存储追加写实现方法 |
| CN112270011B (zh) * | 2020-11-19 | 2022-04-01 | 北京炼石网络技术有限公司 | 对现存应用系统的业务及数据安全防护方法、装置及系统 |
| CN112580028A (zh) * | 2020-12-26 | 2021-03-30 | 重庆扬成大数据科技有限公司 | 通过分布式计算进行农业信息化数据安全优化方法 |
| CN112699411B (zh) * | 2021-01-04 | 2024-04-09 | 北京金山云网络技术有限公司 | 操作审计信息的存储方法、装置和计算机可读存储介质 |
| CN112733165B (zh) * | 2021-01-07 | 2022-09-20 | 苏州浪潮智能科技有限公司 | 一种文件访问控制方法、装置及介质 |
| TWI766757B (zh) * | 2021-07-14 | 2022-06-01 | 中華電信股份有限公司 | 一種提升常用資料存取效能之系統、方法及其電腦可讀媒介 |
| CN116089661A (zh) | 2021-11-05 | 2023-05-09 | 北京字节跳动网络技术有限公司 | 数据访问控制的方法和装置 |
| CN114615040A (zh) * | 2022-03-02 | 2022-06-10 | 中国人民解放军国防科技大学 | 一种知识图谱本体数据分级分类安全访问控制方法及应用 |
| CN117009353A (zh) * | 2023-07-28 | 2023-11-07 | 达州领投信息技术有限公司 | 一种基于云平台的金融大数据信息存储方法及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521385A (zh) * | 2011-12-21 | 2012-06-27 | 北京人大金仓信息技术股份有限公司 | 一种对数据库系统表设置强制访问控制的方法 |
| CN102904889A (zh) * | 2012-10-12 | 2013-01-30 | 北京可信华泰信息技术有限公司 | 支持跨平台统一管理的强制访问控制系统及方法 |
| CN103327002A (zh) * | 2013-03-06 | 2013-09-25 | 西安电子科技大学 | 基于属性的云存储访问控制系统 |
| CN104506514A (zh) * | 2014-12-18 | 2015-04-08 | 华东师范大学 | 一种基于hdfs的云存储访问控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150052253A1 (en) * | 2014-09-22 | 2015-02-19 | Weaved, Inc. | Multi-server fractional subdomain dns protocol |
-
2015
- 2015-11-12 CN CN201510771547.6A patent/CN105357201B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521385A (zh) * | 2011-12-21 | 2012-06-27 | 北京人大金仓信息技术股份有限公司 | 一种对数据库系统表设置强制访问控制的方法 |
| CN102904889A (zh) * | 2012-10-12 | 2013-01-30 | 北京可信华泰信息技术有限公司 | 支持跨平台统一管理的强制访问控制系统及方法 |
| CN103327002A (zh) * | 2013-03-06 | 2013-09-25 | 西安电子科技大学 | 基于属性的云存储访问控制系统 |
| CN104506514A (zh) * | 2014-12-18 | 2015-04-08 | 华东师范大学 | 一种基于hdfs的云存储访问控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《云存储中的访问控制技术研究》;王平建;《第26次全国计算机安全学术交流会论文集》;20110930;全文 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324326A (zh) * | 2019-06-20 | 2019-10-11 | 中国科学院信息工程研究所 | 一种基于业务安全标记的网络数据传输控制方法及装置 |
| CN111460495B (zh) * | 2020-03-27 | 2023-06-23 | 北京锐安科技有限公司 | 一种数据分级管理系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105357201A (zh) | 2016-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105357201B (zh) | 一种对象云存储访问控制方法和系统 | |
| US8392969B1 (en) | Method and apparatus for hosting multiple tenants in the same database securely and with a variety of access modes | |
| US9047462B2 (en) | Computer account management system and realizing method thereof | |
| CN111400676A (zh) | 基于共享权限的业务数据处理方法、装置、设备和介质 | |
| US9805209B2 (en) | Systems and methodologies for managing document access permissions | |
| US20070220004A1 (en) | Security view-based, external enforcement of business application security rules | |
| US8090853B2 (en) | Data access control | |
| CN107315776A (zh) | 一种基于云计算的数据管理系统 | |
| CN107003906A (zh) | 云计算技术部件的类型到类型分析 | |
| CN112527873B (zh) | 一种基于链数立方体的大数据管理应用系统 | |
| US20190050435A1 (en) | Object data association index system and methods for the construction and applications thereof | |
| CN103023921A (zh) | 一种认证接入方法和认证系统 | |
| CN107146154A (zh) | 一种数据管理的方法及装置 | |
| CN102227116A (zh) | 一种安全的局域网管理方法和一种局域网 | |
| US8788533B2 (en) | Read access logging | |
| Kumar et al. | Modern Big Data processing with Hadoop: Expert techniques for architecting end-to-end Big Data solutions to get valuable insights | |
| CN104010019A (zh) | 一种信息分类管理系统 | |
| Chen et al. | BSPPF: Blockchain‐Based Security and Privacy Preventing Framework for Data Middle Platform in the Era of IR 4.0 | |
| Shahin et al. | Big data platform privacy and security, a review | |
| CN109299598A (zh) | 数据管理方法及装置 | |
| Salini et al. | A novel method: Ontology-based security requirements engineering framework | |
| Zhuoyi et al. | Research and development of the long distance coach management system based on ASP. net technology | |
| CN114936224A (zh) | 基于Hadoop的轨检数据服务系统 | |
| CN114611861A (zh) | 一种企业资源信息化管理系统 | |
| Cao | Design of digital library service platform based on cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190416 Termination date: 20191112 |