CN112182524A - 一种基于云平台的资源权限管理方法及其系统 - Google Patents
一种基于云平台的资源权限管理方法及其系统 Download PDFInfo
- Publication number
- CN112182524A CN112182524A CN202010889122.6A CN202010889122A CN112182524A CN 112182524 A CN112182524 A CN 112182524A CN 202010889122 A CN202010889122 A CN 202010889122A CN 112182524 A CN112182524 A CN 112182524A
- Authority
- CN
- China
- Prior art keywords
- user
- resource
- target
- sub
- granularity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000007726 management method Methods 0.000 title claims abstract description 30
- 230000004913 activation Effects 0.000 claims abstract description 16
- 238000000034 method Methods 0.000 claims description 38
- 238000004590 computer program Methods 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 235000019580 granularity Nutrition 0.000 abstract description 29
- 238000011161 development Methods 0.000 abstract description 2
- 238000012795 verification Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000011217 control strategy Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002618 waking effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于云平台的资源权限管理方法及其系统,属于云平台管理的技术领域,解决了云平台资源的不同粒度权限和不同身份验证策略切换的问题。包括接收用户输入的激活码,并切换至细粒度权限设置模式;在切换至所述细粒度权限设置模式之后,接收用户ID、目标操作指令和子资源ID;其中,所述用户ID为目标用户的ID,所述目标操作指令为与目标操作对应的操作指令;确定是否满足预设访问策略;若是,则执行所述目标用户对所述待操作的子资源的目标操作。本发明不仅可以进行资源不同粒度的访问控制,还增强了资源安全性,系统的稳定性,从而适用于更多应用场景,有效减少多次开发的成本。
Description
技术领域
本发明涉及云平台管理技术领域,尤其是涉及一种基于云平台的资源权限管理方法及其系统。
背景技术
云计算平台也称为云平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力。云计算平台可以划分为3类:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台,云平台的硬件管理对使用者/购买者高度抽象,用户根本不知道数据是在位于哪里的哪几台机器处理的,也不知道是怎样处理的,当用户需要某种应用时,用户向“云”发出指示,很短时间内,结果就呈现在他的屏幕上。云计算分布式的资源向用户隐藏了实现细节,并最终以整体的形式呈现给用户。
在云平台中,各类资源的访问控制是影响云平台资源安全性及系统稳定性的重要因素,一般云平台会提供给用户一种访问控制策略,但提供的访问控制策略并不一定能符合所有应用场景或者用户的需求,有的应用场景只需要粗粒度的访问控制,而比较重要的应用场景需要具体至每一个资源的细粒度访问控制甚至需要加强身份验证。现有技术不能解决云平台资源的不同粒度权限和不同身份验证策略切换的问题。
发明内容
本发明的目的在于提供一种基于云平台的资源权限管理方法及其系统,主要应用于云平台的资源权限管理,通过本方法和装置进行资源权限管理可以根据应用场景的不同以及用户需求,灵活切换各类资源权限管理的粒度,灵活选择资源访问的二次身份验证配置,实现更安全更灵活的访问控制。
第一方面,本发明提供的一种基于云平台的资源权限管理方法,在将粗粒度权限设置模式确定为目标资源的默认粒度权限设置模式之后,接收用户输入的激活码,并基于所述激活码唤醒粒度切换装置进行粒度权限设置模式切换,切换至细粒度权限设置模式;
在切换至所述细粒度权限设置模式之后,接收用户ID、目标操作指令和子资源ID;其中,所述用户ID为目标用户的ID,所述目标操作指令为与目标操作对应的操作指令,所述子资源ID为目标资源中待操作的子资源的ID;
基于所述用户ID、所述目标操作指令和所述子资源ID,确定是否满足预设访问策略;
若是,则执行所述目标用户对所述待操作的子资源的目标操作。
进一步的,还包括:
创建至少一个角色,并为所述角色配置权限表,所述权限表中包含至少一个目标资源的操作权限;
将所述角色分配给用户,并在所述用户与所述操作权限之间建立对应关系。
进一步的,还包括:
将所述目标资源划分为多个子资源;
建立所述子资源与所述用户之间的所属关系。
进一步的,预设访问策略包括:所述对应关系、所述所属关系和身份验证;基于所述用户ID、所述目标操作指令和所述子资源ID,确定是否满足预设访问策略,包括:
基于所述用户ID和所述子资源ID,判断所述目标用户与所述待操作的子资源之间是否具有所述所属关系;
若是,则基于所述用户ID和所述目标操作指令,判断所述目标用户与所述目标操作之间是否具有所述对应关系;
若是,则对所述目标用户进行身份验证;
若身份验证通过,则确定满足预设访问策略。
进一步的,基于所述用户ID、所述目标操作指令和所述子资源ID,确定是否满足预设访问策略,还包括:
若所述目标用户与所述待操作的子资源之间不具有所述所属关系,或所述目标用户与所述目标操作之间不具有所述对应关系,或身份验证未通过,则确定不满足预设访问策略。
进一步的,还包括:
在确定不满足预设访问策略之后,确定访问异常并提示错误信息。
第二方面,本发明还提供一种基于云平台的资源权限管理系统,包括:依次连接的粗粒度权限设置装置、粒度切换装置、细粒度权限设置装置和访问控制装置;
所述粗粒度权限设置装置,用于将粗粒度权限设置模式确定为目标资源的默认粒度权限设置模式;
所述粒度切换装置,用于接收用户输入的激活码,并基于所述激活码唤醒所述粒度切换装置进行粒度权限设置模式切换,开启所述细粒度权限设置装置切换至细粒度权限设置模式;
所述访问控制装置,在切换至所述细粒度权限设置模式之后,接收用户ID、目标操作指令和子资源ID,所述用户ID为目标用户的ID,所述目标操作指令为与目标操作对应的操作指令,所述子资源ID为目标资源中待操作的子资源的ID;
所述访问控制装置,还用于基于所述用户ID、所述目标操作指令和所述子资源ID,确定是否满足预设访问策略;若是,则执行所述目标用户对所述待操作的子资源的目标操作。
进一步的,所述粗粒度权限设置装置,还用于创建至少一个角色,并为所述角色配置权限表,所述权限表中包含至少一个目标资源的操作权限;将所述角色分配给用户,并在所述用户与所述操作权限之间建立对应关系。
第三方面,本发明还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述所述基于云平台资源权限管理方法的步骤。
第四方面,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如所述基于云平台资源权限管理方法的步骤。
本发明提供的一种基于云平台的资源权限管理方法及其系统,在云平台在提供默认的粗粒度访问控制的基础上,通过切换装置进行细粒度的切换,配置具体资源与具体用户的所属关系以及具体资源的操作是否进行二次身份验证,不仅可以进行资源不同粒度的访问控制,还增强了资源安全性,系统的稳定性,从而适用于更多应用场景,有效减少多次开发的成本,同时通过设计合理的细粒度权限设置装置及粒度转换装置,访问权限由粗粒度灵活切换为细粒度,增加二次身份验证策略,且根据实际需要配置具体资源的具体访问是否二次身份验证,并可根据自定义的访问策略执行访问控制。
相应地,本发明实施例提供的一种电子设备及计算机可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于云平台的资源权限管理方法及装置的工作原理图。
图2为本发明实施例提供的基于云平台的资源权限管理方法流程图。
图3为本发明实施例提供的基于云平台的资源权限管理装置示意图。
图4为本发明实施例提供的电子设备原理图。
图中:电子设备800、存储器801、处理器802、总线803、通信接口804。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
请参阅附图1-3,本发明实施例提供的一种基于云平台的资源权限管理方法,在将粗粒度权限设置模式确定为目标资源的默认粒度权限设置模式之后,接收用户输入的激活码,并基于激活码唤醒粒度切换装置进行粒度权限设置模式切换,切换至细粒度权限设置模式;
在切换至细粒度权限设置模式之后,接收用户ID、目标操作指令和子资源ID;其中,用户ID为目标用户的ID,目标操作指令为与目标操作对应的操作指令,子资源ID为目标资源中待操作的子资源的ID;
基于用户ID、目标操作指令和子资源ID,确定是否满足预设访问策略;
若是,则执行目标用户对待操作的子资源的目标操作。
本发明解决云平台资源的不同粒度权限和不同身份验证策略切换的一种权限管理方法和装置,通过本方法,使得可以根据应用场景,在提供粗粒度访问控制的基础上,通过切换装置进行细粒度的切换,并且切换后配置系统重要资源细粒度权限时,可选择增加二次身份验证,这样在灵活切换权限粒度的同时,增加身份验证增强系统内资源安全性。本方法和装置,可以保证云平台中资源的访问控制的粒度由粗粒度切换为细粒度,增强安全性,从而适用于更多应用场景,有效减少重新开发的成本。
本发明实施例中,还包括:
创建至少一个角色,并为角色配置权限表,权限表中包含至少一个目标资源的操作权限;
将角色分配给用户,并在用户与操作权限之间建立对应关系。
本发明实施例中,还包括:
将目标资源划分为多个子资源;
建立子资源与用户之间的所属关系。
本发明实施例中,预设访问策略包括:对应关系、所属关系和身份验证;基于用户ID、目标操作指令和子资源ID,确定是否满足预设访问策略,包括:
基于用户ID和子资源ID,判断目标用户与待操作的子资源之间是否具有所属关系;
若是,则基于用户ID和目标操作指令,判断目标用户与目标操作之间是否具有对应关系;
若是,则对目标用户进行身份验证;
若身份验证通过,则确定满足预设访问策略。
本发明实施例中,基于用户ID、目标操作指令和子资源ID,确定是否满足预设访问策略,还包括:
若目标用户与待操作的子资源之间不具有所属关系,或目标用户与目标操作之间不具有对应关系,或身份验证未通过,则确定不满足预设访问策略。
本发明实施例中,还包括:
在确定不满足预设访问策略之后,确定访问异常并提示错误信息。
本发明实施例还提供了一种基于云平台的资源权限管理系统,包括:依次连接的粗粒度权限设置装置、粒度切换装置、细粒度权限设置装置和访问控制装置;
粗粒度权限设置装置,用于将粗粒度权限设置模式确定为目标资源的默认粒度权限设置模式;
粒度切换装置,用于接收用户输入的激活码,并基于激活码唤醒粒度切换装置进行粒度权限设置模式切换,开启细粒度权限设置装置切换至细粒度权限设置模式;
访问控制装置,在切换至细粒度权限设置模式之后,接收用户ID、目标操作指令和子资源ID,用户ID为目标用户的ID,目标操作指令为与目标操作对应的操作指令,子资源ID为目标资源中待操作的子资源的ID;
访问控制装置,还用于基于用户ID、目标操作指令和子资源ID,确定是否满足预设访问策略;若是,则执行目标用户对待操作的子资源的目标操作。
本发明实施例中,粗粒度权限设置装置,还用于创建至少一个角色,并为角色配置权限表,权限表中包含至少一个目标资源的操作权限;将角色分配给用户,并在用户与操作权限之间建立对应关系。
本发明实施例还提供了一种电子设备,包括存储器、处理器,存储器中存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述基于云平台资源权限管理方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现基于云平台资源权限管理方法的步骤。
本发明实施例包括粗粒度权限设置装置、细粒度权限设置装置、切换装置和访问控制装置。云平台默认开启粗粒度粒度权限设置,资源粒度粗至资源类型,比如本地存储,NFS存储等;细粒度权限设置装置默认关闭,资源粒度可以细化至具体资源,比如本地存储类型中的某一个。配置细粒度权限时,可设置具体资源与用户的对应所属关系,只有拥有该资源的用户才具有操作该资源的权限,同时可选择配置具体某一个资源某一个操作是否需要二次身份验证。若配置了二次身份验证,需利用生物信息识别装置进行验证,增强重要资源的安全性。切换装置,需要用户输入激活码唤醒切换装置,开启细粒度权限设置装置由粗粒度切换为细粒度。访问控制装置根据权限设置装置设置的资源权限进行访问控制。
基本思想如下:
1)粗粒度权限设置装置采用基于角色的访问控制策略,设置资源的权限粒度为资源类型,根据用户的角色不同赋予用户对某类资源的不同操作权限。
2)细粒度权限设置装置,设置资源与用户一对一,一对多或者多对多所属关系,切换后,细粒度权限缺省为所属,即切换前已存在的资源默认属于切换前已存在的用户。新建资源必须通过细粒度权限设置装置分配给用户,用户才拥有操作权限;设置某一具体资源的某一具体操作是否需要二次身份校验,若配置了该选项,用户操作时,不仅要查询权限还需要用户通过生物信息采集装置进行身份信息验证。
3)切换装置,需要用户输入激活码,开启细粒度权限设置功能,系统的管理用户增加一个安全管理员用户,可以对资源分配用户,设置资源操作是否需要二次身份验证。
4)访问控制装置,根据权限设置装置的策略实行访问控制。某用户操作某一个资源时访问控制策略装置根据用户ID和资源ID,查询用户对应角色的权限及用户与操作资源的所属关系,用户只能操作与其有所属关系的资源。根据细粒度权限装置,查询用户对资源的所属关系,若该用户对操作资源无对应关系,及不符合细粒度访问权限,结束流程并抛出异常提示错误信息,若用户与操作资源有所属关系,继续查询粗粒度权限设置装置,查询用户对访问资源对应的资源类型的操作权限,若符合范围策略再检查该资源的该操作是否需要二次身份验证,若不需要执行操作,若需要二次身份认证,用户用生物信息采集装置进行生物信息验证,如指纹或人脸;若不符合访问策略,直接结束操作流程并抛出异常。
本发明实施例实现包括粒度权限设置装置、细粒度权限设置装置、切换装置和访问控制装置,灵活的进行粗粒度访问权限控制切换为细粒度权限控制,灵活配置具体资源与具体用户的所属关系,灵活配置资源访问是否需要二次身份验证,增强重要资源的安全性,示意图如附图3所示。具体实施过程如下:
S1、粗粒度权限设置装置,可以设置某个角色对某一类资源的增删改查等操作,用户拥有其对应角色拥有的权限;
S2、细粒度权限设置装置,可以设置资源与用户的所属关系,资源与用户的关系为一对一,一对多,或者多对多;同时可以设置资源的具体操作是否需要二次身份验证的选项,对于系统重要资源建议设置该选项。
S3、需要由粗粒度切换为细粒度权限管理时,用户对切换装置输入激活码,系统增加一个安全管理员用户,启用细粒度权限设置装置。只有安全管理员可以设置资源与用户的所属关系,配置二次身份验证,即细粒度权限管理。切换后,细粒度权限缺省为所属,即切换前已存在的资源默认属于切换前已存在的用户。新建资源必须通过细粒度权限设置装置,进行用户分配。默认不需要二次身份验证,对于重要资源建议单独配置。
S4、访问控制策略装置查询用户对应角色的权限及用户与操作资源的所属关系,用户只能操作与其有所属关系的资源,若符合访问策略,下一步增加查询是否需要二次身份验证,若不要二次身份验证执行操作,若需要则操作用户通过生物信息采集装置进行二次身份验证,验证通过执行操作,验证不通过,结束操作流程并抛出异常;若不符合访问策略,结束操作流程并抛出异常。
本发明实施例提供的一种电子设备,如图4所示,电子设备800包括存储器801、处理器802,存储器中存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例提供的方法的步骤。
如图4所示,电子设备还包括:总线803和通信接口804,处理器802、通信接口804和存储器801通过总线803连接;处理器802用于执行存储器801中存储的可执行模块,例如计算机程序。
其中,存储器801可能包含高速随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口804(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线803可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器801用于存储程序,处理器802在接收到执行指令后,执行程序,前述本发明任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器802中,或者由处理器802实现。
处理器802可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器802中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器802可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processing,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器801,处理器802读取存储器801中的信息,结合其硬件完成上述方法的步骤。
对应于上述方法,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有机器可运行指令,计算机可运行指令在被处理器调用和运行时,计算机可运行指令促使处理器运行上述方法的步骤。
本发明实施例所提供的装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的系统、装置和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
又例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,再例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的范围。都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于云平台的资源权限管理方法,其特征在于,
在将粗粒度权限设置模式确定为目标资源的默认粒度权限设置模式之后,接收用户输入的激活码,并基于所述激活码唤醒粒度切换装置进行粒度权限设置模式切换,切换至细粒度权限设置模式;
在切换至所述细粒度权限设置模式之后,接收用户ID、目标操作指令和子资源ID;其中,所述用户ID为目标用户的ID,所述目标操作指令为与目标操作对应的操作指令,所述子资源ID为目标资源中待操作的子资源的ID;
基于所述用户ID、所述目标操作指令和所述子资源ID,确定是否满足预设访问策略;
若是,则执行所述目标用户对所述待操作的子资源的目标操作。
2.根据权利要求1所述的方法,其特征在于,还包括:
创建至少一个角色,并为所述角色配置权限表,所述权限表中包含至少一个目标资源的操作权限;
将所述角色分配给用户,并在所述用户与所述操作权限之间建立对应关系。
3.根据权利要求2所述的方法,其特征在于,还包括:
将所述目标资源划分为多个子资源;
建立所述子资源与所述用户之间的所属关系。
4.根据权利要求3所述的方法,其特征在于,预设访问策略包括:所述对应关系、所述所属关系和身份验证;基于所述用户ID、所述目标操作指令和所述子资源ID,确定是否满足预设访问策略,包括:
基于所述用户ID和所述子资源ID,判断所述目标用户与所述待操作的子资源之间是否具有所述所属关系;
若是,则基于所述用户ID和所述目标操作指令,判断所述目标用户与所述目标操作之间是否具有所述对应关系;
若是,则对所述目标用户进行身份验证;
若身份验证通过,则确定满足预设访问策略。
5.根据权利要求4所述的方法,其特征在于,基于所述用户ID、所述目标操作指令和所述子资源ID,确定是否满足预设访问策略,还包括:
若所述目标用户与所述待操作的子资源之间不具有所述所属关系,或所述目标用户与所述目标操作之间不具有所述对应关系,或身份验证未通过,则确定不满足预设访问策略。
6.根据权利要求5所述的方法,其特征在于,还包括:
在确定不满足预设访问策略之后,确定访问异常并提示错误信息。
7.一种基于云平台的资源权限管理系统,其特征在于,包括:依次连接的粗粒度权限设置装置、粒度切换装置、细粒度权限设置装置和访问控制装置;
所述粗粒度权限设置装置,用于将粗粒度权限设置模式确定为目标资源的默认粒度权限设置模式;
所述粒度切换装置,用于接收用户输入的激活码,并基于所述激活码唤醒所述粒度切换装置进行粒度权限设置模式切换,开启所述细粒度权限设置装置切换至细粒度权限设置模式;
所述访问控制装置,在切换至所述细粒度权限设置模式之后,接收用户ID、目标操作指令和子资源ID,所述用户ID为目标用户的ID,所述目标操作指令为与目标操作对应的操作指令,所述子资源ID为目标资源中待操作的子资源的ID;
所述访问控制装置,还用于基于所述用户ID、所述目标操作指令和所述子资源ID,确定是否满足预设访问策略;若是,则执行所述目标用户对所述待操作的子资源的目标操作。
8.根据权利要求7所述的系统,其特征在于,所述粗粒度权限设置装置,还用于创建至少一个角色,并为所述角色配置权限表,所述权限表中包含至少一个目标资源的操作权限;将所述角色分配给用户,并在所述用户与所述操作权限之间建立对应关系。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至6任一项所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6任意一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010889122.6A CN112182524A (zh) | 2020-08-28 | 2020-08-28 | 一种基于云平台的资源权限管理方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010889122.6A CN112182524A (zh) | 2020-08-28 | 2020-08-28 | 一种基于云平台的资源权限管理方法及其系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112182524A true CN112182524A (zh) | 2021-01-05 |
Family
ID=73924592
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010889122.6A Withdrawn CN112182524A (zh) | 2020-08-28 | 2020-08-28 | 一种基于云平台的资源权限管理方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112182524A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112995163A (zh) * | 2021-02-10 | 2021-06-18 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
CN113300852A (zh) * | 2021-05-19 | 2021-08-24 | 建信金融科技有限责任公司 | 服务管理方法及平台、计算机设备及计算机可读存储介质 |
CN114020330A (zh) * | 2021-11-04 | 2022-02-08 | 苏州睿芯集成电路科技有限公司 | Risc-v处理器验证中模式切换的方法、电子设备以及存储介质 |
CN115514506A (zh) * | 2021-06-07 | 2022-12-23 | 中移物联网有限公司 | 云平台资源管理方法、装置及可读存储介质 |
-
2020
- 2020-08-28 CN CN202010889122.6A patent/CN112182524A/zh not_active Withdrawn
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112995163A (zh) * | 2021-02-10 | 2021-06-18 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
CN112995163B (zh) * | 2021-02-10 | 2023-05-05 | 北京金山云网络技术有限公司 | 资源访问的鉴权方法及装置、存储介质、电子设备 |
CN113300852A (zh) * | 2021-05-19 | 2021-08-24 | 建信金融科技有限责任公司 | 服务管理方法及平台、计算机设备及计算机可读存储介质 |
CN113300852B (zh) * | 2021-05-19 | 2023-04-18 | 中国建设银行股份有限公司 | 服务管理方法及平台、计算机设备及计算机可读存储介质 |
CN115514506A (zh) * | 2021-06-07 | 2022-12-23 | 中移物联网有限公司 | 云平台资源管理方法、装置及可读存储介质 |
CN114020330A (zh) * | 2021-11-04 | 2022-02-08 | 苏州睿芯集成电路科技有限公司 | Risc-v处理器验证中模式切换的方法、电子设备以及存储介质 |
CN114020330B (zh) * | 2021-11-04 | 2023-11-03 | 苏州睿芯集成电路科技有限公司 | Risc-v处理器验证中模式切换的方法、电子设备以及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112182524A (zh) | 一种基于云平台的资源权限管理方法及其系统 | |
CN109766696B (zh) | 软件权限的设置方法及装置、存储介质、电子装置 | |
CN109716805B (zh) | 一种签约数据集的安装方法、终端及服务器 | |
US20190199530A1 (en) | Device attestation server and method for attesting to the integrity of a mobile device | |
CN108848113B (zh) | 客户端设备登录控制方法、装置、存储介质及服务器 | |
CN107133520B (zh) | 云计算平台的可信度量方法和装置 | |
CN106776067B (zh) | 多容器系统中系统资源的管理方法及管理装置 | |
CN110597531B (zh) | 分布式的模块升级方法、装置及存储介质 | |
CN110875819B (zh) | 密码运算处理方法、装置及系统 | |
CN112055017B (zh) | 单一账号多应用统一登录方法、装置及计算机设备 | |
CN107844306B (zh) | 应用程序的修复方法、装置、存储介质及终端 | |
CN103544013A (zh) | 一种插件系统及插件管理方法 | |
CN111177703B (zh) | 操作系统数据完整性的确定方法及装置 | |
CN110806939A (zh) | 一种定时任务处理方法、装置及系统 | |
CN114327763A (zh) | 基于Hypervisor的动态调频方法及电子设备 | |
CN112887199B (zh) | 网关和云平台及其配置方法、装置、计算机可读存储介质 | |
CN110968413A (zh) | 一种数据管理方法、装置和服务器 | |
JP2020009144A (ja) | 情報処理装置、移動体、情報処理方法、およびプログラム | |
CN110532742B (zh) | 身份认证方法、装置、密钥设备及存储介质 | |
CN110580172B (zh) | 配置规则的验证方法及装置、存储介质、电子装置 | |
CN114154128A (zh) | 用户信息云共享方法、系统、计算机及可读存储介质 | |
CN114356400A (zh) | 云组态应用开发方法、装置及电子设备 | |
CN110324333B (zh) | 一种数据处理方法、装置、终端及存储介质 | |
US11050621B2 (en) | Client, server and differential upgrade method | |
CN109219035B (zh) | 嵌入式芯片卡的配置平台以及数据变更系统、方法、装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210105 |
|
WW01 | Invention patent application withdrawn after publication |