CN115514506A - 云平台资源管理方法、装置及可读存储介质 - Google Patents
云平台资源管理方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN115514506A CN115514506A CN202110631706.8A CN202110631706A CN115514506A CN 115514506 A CN115514506 A CN 115514506A CN 202110631706 A CN202110631706 A CN 202110631706A CN 115514506 A CN115514506 A CN 115514506A
- Authority
- CN
- China
- Prior art keywords
- user
- cloud platform
- target data
- target
- processing request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 62
- 238000012545 processing Methods 0.000 claims abstract description 150
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000012217 deletion Methods 0.000 claims description 10
- 230000037430 deletion Effects 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 5
- 238000012986 modification Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 abstract description 2
- 238000001514 detection method Methods 0.000 description 13
- 230000009471 action Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007717 exclusion Effects 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种云平台资源管理方法、装置及可读存储介质,涉及通信技术领域。该方法包括:获取至少一个用户对目标数据的处理请求;根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求,其中,不同用户具有各自对目标数据的处理权限。本发明的方案,解决了多主体管理资源时产生的冲突问题。
Description
技术领域
本发明涉及通信技术领域,特别是指一种云平台资源管理方法、装置及可读存储介质。
背景技术
现有技术中,大多数企业都会采用云计算的方式进行资源的保存,使用这种方式保存的安全性虽然有所提升,但是如果存在不科学的使用也会让一些攻击者找到漏洞进行攻击,所以,一些企业引入了访问控制机制,并利用安全策略进行资源的管理。随着如今民众安全意识的提高,攻击强度和技巧也在逐步提高,同时在企业中,由于一些特殊情况的发生,当资源和信息的共享不够全面时,容易产生冲突的情况,在现实环境中,经常会出现多个主体的情况,多个主体进行要求时,就可能会产生冲突。因此,拥有一个完整的资源管理系统,并且制定有效的冲突消解办法,使得安全策略形成更完善的体系是目前需要解决的问题。
发明内容
本发明的目的是提供一种云平台资源管理方法、装置及可读存储介质,能够解决多主体管理资源时产生的冲突问题。
为达到上述目的,本发明的实施例提供一种云平台资源管理方法,包括:
获取至少一个用户对目标数据的处理请求;
根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求;
其中,不同用户具有各自对目标数据的处理权限。
可选地,所述根据所述至少一个用户各自的处理权限以及所述处理请求,响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤,包括:
判断所述至少一个用户是否具有对所述目标数据执行第一操作的处理权限,所述第一操作为所述处理请求所请求的操作;
将所述至少一个用户中具有对所述目标数据执行第一操作的处理权限的用户确定为目标用户;
响应所述目标用户的处理请求,对所述目标数据执行第一操作。
可选地,所述响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤之前,还包括:
确定所述目标用户所属的用户类型;其中,所述用户类型包括:管理员和普通用户。
可选地,所述处理权限包括:管理权限或用户权限;
其中,所述管理员具有所述管理权限,所述管理权限对应的操作包括以下至少一项:在云平台中进行创建操作、在云平台中进行删除操作、在云平台中进行修改操作、在云平台中进行更新操作和在云平台中进行查看操作;
所述普通用户具有所述用户权限,所述用户权限对应的操作包括:在云平台中进行查看操作。
可选地,所述响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤,包括:
若所述目标用户所属的用户类型为普通用户,则判断所述普通用户是否具有对目标数据的访问权限;
若所述普通用户具有对目标数据的访问权限,则响应所述普通用户的处理请求,对目标数据进行查看;
若所述普通用户不具有对目标数据的访问权限,则拒绝所述普通用户的处理请求。
可选地,所述至少一个用户的处理权限存储在策略库中;
所述响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤,包括:
若所述目标用户所属的用户类型为管理员,则响应所述管理员的处理请求,对所述策略库中的策略进行目标操作;
其中,所述策略库中的策略用于指示用户的处理权限,所述目标操作为创建操作、删除操作、修改操作、更新操作或查看操作。
可选地,所述对所述策略库中的策略进行目标操作的步骤之后,还包括:
判断所述策略库中的策略是否存在冲突;
若所述策略库中的策略存在冲突,则根据冲突消解策略进行冲突消解;
若所述策略库中的策略不存在冲突,则更新所述策略库。
可选地,根据冲突消解策略进行冲突消解的步骤,包括:
若所述策略库中存在冲突的策略的条数小于第一预设值,则采用第一冲突消解策略进行冲突消解;
若所述策略库中存在冲突的策略的条数大于第二预设值,则采用第二冲突消解策略进行冲突消解。
为达到上述目的,本发明的实施例提供一种云平台资源管理装置,包括获取模块,用于获取至少一个用户对目标数据的处理请求;
处理模块,用于根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求;
其中,不同用户具有各自对目标数据的处理权限。
可选地,所述处理模块包括:
判断单元,用于判断所述至少一个用户是否具有对所述目标数据执行第一操作的处理权限,所述第一操作为所述处理请求所请求的操作;
确定单元,用于将所述至少一个用户中具有对所述目标数据执行第一操作的处理权限的用户确定为目标用户;
响应单元,用于响应所述目标用户的处理请求,对所述目标数据执行第一操作。
可选地,所述云平台资源管理装置还包括:
确定模块,用于在响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤之前,确定所述目标用户所属的用户类型;
其中,所述用户类型包括:管理员和普通用户。
可选地,所述处理权限包括:管理权限或用户权限;
其中,所述管理员具有所述管理权限,所述管理权限对应的操作包括以下至少一项:在云平台中进行创建操作、在云平台中进行删除操作、在云平台中进行修改操作、在云平台中进行更新操作和在云平台中进行查看操作;
所述普通用户具有所述用户权限,所述用户权限对应的操作包括:在云平台中进行查看操作。
可选地,所述处理模块包括:
第一处理单元,用于若所述目标用户所属的用户类型为普通用户,则判断所述普通用户是否具有对目标数据的访问权限;
第二处理单元,用于若所述普通用户具有对目标数据的访问权限,则响应所述普通用户的处理请求,对目标数据进行查看;
第三处理单元,用于若所述普通用户不具有对目标数据的访问权限,则拒绝所述普通用户的处理请求。
可选地,所述至少一个用户的处理权限存储在策略库中;
所述处理模块包括:
第四处理单元,用于若所述目标用户所属的用户类型为管理员,则响应所述管理员的处理请求,对所述策略库中的策略进行目标操作;
其中,所述策略库中的策略用于指示用户的处理权限,所述目标操作为创建操作、删除操作、修改操作、更新操作或查看操作。
可选地,所述云平台资源管理装置还包括:
判断模块,用于对所述策略库中的策略进行目标操作之后,判断所述策略库中的策略是否存在冲突;
冲突消解模块,用于若所述策略库中的策略存在冲突,则根据冲突消解策略进行冲突消解;
更新模块,用于若所述策略库中的策略不存在冲突,则更新所述策略库。
可选地,所述冲突消解模块包括:
第一冲突消解单元,用于若所述策略库中存在冲突的策略的条数小于第一预设值,则采用第一冲突消解策略进行冲突消解;
第二冲突消解单元,用于若所述策略库中存在冲突的策略的条数大于第二预设值,则采用第二冲突消解策略进行冲突消解。
为达到上述目的,本发明的实施例提供一种云平台资源管理装置,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;所述处理器执行所述程序或指令时实现如上所述的云平台资源管理方法中的步骤。
为达到上述目的,本发明的实施例提供一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如上所述的云平台资源管理方法中的步骤。
本发明的上述技术方案的有益效果如下:
本发明实施例的云平台资源管理方法、装置及系统,通过获取至少一个用户对目标数据的处理请求;根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求,不同用户具有各自对目标数据的处理权限的方式,通过权限的赋予作为策略进行用户的访问控制和冲突消解。具体地,系统分为管理员和普通用户的角色,管理员可以进行项目、用户和角色的管理,并且可以向角色赋予权限,权限包括了云硬盘的创建、删除、查看,云主机的创建和镜像的获取。当管理员向普通用户赋予具有查看云磁盘权限的角色时,普通用户就可以查看需要的硬盘文件了,而其他不具备权限的普通用户自然就无法得到云硬盘的访问权。管理员还可以通过更改权限的正负向从而改变权限的优先级,本申请提案可以根据优先级的排序自动选择赋予的权限,从而实现冲突消解。
附图说明
图1为本发明实施例的云平台资源管理方法的流程图;
图2为本发明实施例的云平台资源管理方法的整体流程图;
图3为本发明实施例的冲突检测示意图;
图4为本发明实施例的冲突消解示意图;
图5为本发明实施例的云平台资源管理装置的结构示意图之一;
图6为本发明实施例的云平台资源管理系统的模块示意图;
图7为本发明实施例的资源管理系统的总体组成图;
图8为本发明实施例的访问控制模块的模型示意图。
图9为本发明实施例的云平台资源管理装置的结构示意图之二。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常可互换使用。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
访问控制策略描述语言有很多种,如由结构化信息标准促进组织正式批准可拓展的访问控制语言(XACML)可以进行安全策略语言的表示,XACML语言作为可扩展标记语言(XML)的变形,不仅具有XML语言独立于程序的描述方式,同时具有更强的策略表达能力,可以描述更加复杂的安全策略。在访问控制模型中,基于属性的访问控制模型(ABAC)与XACML最为契合。
此外还有一种基于角色的访问控制模型(RBAC),其相当于自主访问控制(DAC)和强制访问控制(MAC)的结合,当RBAC中引入ABAC后,可以实现对细粒度要求更高的访问控制模型,随着两个访问模型引入的属性增加,区别也在逐渐减小。两者结合的RBAC-A模型,综合了两种模型的优点,可以符合复杂的环境简单化的访问控制形式。
安全策略的冲突消解一般分为冲突检测和冲突消解两个部分,如运用贝利叶算法和概率公式等方式进行安全策略的优先级排序,从而实现冲突消解。1)将决策树引入了冲突检测的领域,通过二叉树等方式可以更加直观的看出安全策略之间存在的冲突关系。2)利用聚类的方式对安全策略进行冲突检测,并且提出不同的两种消解模式,适合不同的场景。3)通过建模形式的组合,实现允许和拒绝的操作;或授权、拒绝、冲突和不期望四种操作。
XACML和ABAC进行合并之后,基于上下文的方式创建了不同的冲突消解模式,有效的提高了XACML和ABAC结合后的进行冲突检测和冲突消解的灵活性。静态检测在效率和准确率上都会比其他的方式更好,机器学习的方法进行自动的冲突检测和消解,使得访问控制更加简单自动化。
安全策略的部署有多种体系结构,如ISO/OSI网络管理体系结构、TMF网络体系结构和IETF网络体系结构。ISO/OSI网络管理体系结构是应用在OSI环境下。TMF网络体系结构是比较抽象的策略之间的联系,总共有五个层次,分别是商务观点、系统观点、网络观点、设备观点和实力观点,TMF网络体系结构是两个层次之间的映射。IETF网络体系结构比较适合迁移于各个场景,分为策略管理工具、策略仓库、策略决策点和策略执行点四个部分,策略管理部分就是通过管理员对安全策略进行监控和管理,策略仓库就是存放安全策略的地方,策略决策点是整个自动部署模块的决策中心,需要决策策略的可用性,包括冲突的消解部分都是包含在策略的决策点的。策略执行点是在确定了策略之后的执行部分,并且可以反馈给策略决策点具体信息。这个IETF网络体系结构各部分之间配合紧密,便于迁移。
如图1所示,本发明实施例的一种云平台资源管理方法,其特征在于,包括:
步骤11:获取至少一个用户对目标数据的处理请求。
其中,目标数据还可成为目标资源,包括但不限于:云平台的数据或文件。用户可以是企业或企业的不同部门。处理请求包括但不限于:资源的信息、请求人员的信息以及需要执行的动作(或称为操作)。
步骤12:根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求。
其中,不同用户具有各自对目标数据的处理权限,同一用户具有不同数据各自的处理权限。例如,用户1对于目标数据1具有处理权限1,对于目标数据2具有处理权限2,用户2对于目标数据1具有处理权限3,对于目标数据2具有处理权限4。
其中,步骤11和步骤12为云平台资源管理过程中的访问控制流程。本实施例中访问控制模型是XACML和ABAC结合在openstack原有的访问控制模型上实现的,访问控制就是通过将所有的资源统一管理,同时提供接口与权限相连接,权限可以达到是否允许此操作的目的,几乎所有的系统中都会包含访问控制。XACML实现的访问控制模型可以通过用户的身份和属性来对用户可访问的资源进行限制。
表1访问控制的组成
本实施例支持两种用户身份(即用户类型),分别是管理员和普通用户,不同的用户拥有着不同的属性。当策略进行分析的时候,需要分析两个部分,首先是用户的属性,包括主题、资源、动作、环境,同时也需要访问文件的属性,也就是数据类型是怎样的,然后根据openstack已经具备的访问控制模型,进行角色和资源之间的关联,从而分析是否可以访问。
可选地,所述响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤之前,还包括:确定所述目标用户所属的用户类型;其中,所述用户类型包括:管理员和普通用户。
其中,处理权限包括:管理权限或用户权限,具有管理权限的用户为管理员,具有用户权限的用户为普通用户,即所述管理员具有所述管理权限,所述普通用户具有所述用户权限。可选地,管理权限对应的操作包括以下至少一项:创建、删除、修改、更新和查看(如在云平台中进行创建操作、在云平台中进行删除操作、在云平台中进行修改操作、在云平台中进行更新操作和在云平台中进行查看操作),用户权限对应的操作包括:查看(如在云平台中进行查看操作)。
可选地,根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求的步骤,包括:
判断至少一个用户是否具有对目标数据执行第一操作的处理权限,第一操作为处理请求所请求的操作;
将至少一个用户中具有对目标数据执行第一操作的处理权限的用户确定为目标用户;
响应目标用户的处理请求,对目标数据执行第一操作。
可选地,响应至少一个用户中的目标用户对目标数据的处理请求的步骤,包括:
若目标用户所属的用户类型为普通用户,则判断普通用户是否具有对目标数据的访问权限;
若普通用户具有对目标数据的访问权限,则响应普通用户的处理请求,对目标数据进行查看;
若普通用户不具有对目标数据的访问权限,则拒绝普通用户的处理请求。
可选地,至少一个用户的处理权限存储在策略库中;
响应至少一个用户中的目标用户对目标数据的处理请求的步骤,包括:
若目标用户所属的用户类型为管理员,则响应管理员的处理请求,对策略库中的策略进行目标操作;
其中,策略库中的策略用于指示用户的处理权限,目标操作为创建操作、删除操作、修改操作、更新操作或查看操作。
可选地,对策略库中的策略进行目标操作的步骤之后,还包括:
判断策略库中的策略是否存在冲突;
若策略库中的策略存在冲突,则根据冲突消解策略进行冲突消解;
若策略库中的策略不存在冲突,则更新策略库。
其中,冲突包括权限冲突、用户冲突或静态状态冲突。冲突消解策略包括以下至少一项:拒绝覆盖、允许覆盖、就近覆盖、特征覆盖、多数覆盖、第一个匹配覆盖和高权威覆盖。
可选地,根据冲突消解策略进行冲突消解的步骤,包括:
若存在冲突的策略条数小于第一预设值,则采用第一冲突消解策略进行冲突消解;
若存在冲突的策略条数大于第二预设值,则采用第二冲突消解策略进行冲突消解。
可选地,第一冲突消解策略为特征覆盖,第二冲突消解策略为多数覆盖。其中,采用多数覆盖进行冲突消解的步骤包括:若第三冲突消解策略的数量大于第四冲突消解策略的数量,则采用第三冲突消解策略进行冲突消解;若第三冲突消解策略的数量小于第四冲突消解策略的数量,则采用第四冲突消解策略进行冲突消解;若第三冲突消解策略的数量等于第四冲突消解策略的数量,则手动选择冲突消解策略或联合多种冲突消解策略进行冲突消解。
下面将结合附图对本实施例进行详细说明,如图2所示,该方法包括:
判断操作者的身份,即判断目标用户是否为管理员。也就是说,在实行本方案的时候,会根据他的身份进行操作。
如果操作者是管理员身份,那么可以对策略进行增加(即创建)、删除、修改、更新操作。
系统判断是否存在冲突。具体地,当增加或者修改了一条策略时,系统会对新改变的策略进行冲突检测,通过遍历的方式,如进行三次遍历,查看是否存在权限冲突、用户冲突或者静态状态冲突的问题。
如果存在冲突,则进行冲突消解。
如果不存在冲突,则将新的这条策略存入到策略库中。
如果操作者是非管理员的身份,即操作者是普通用户。那么需要进一步输入想要访问的文件信息(即上述的目标数据或目标资源)。
策略执行点会根据提供的文件信息生成访问请求,访问请求包括了资源的信息、请求人员的信息以及需要执行的动作,然后将这个请求发送到策略决策点。
策略决策点会根据来自策略信息点和策略管理点中的资源的具体属性和请求者的属性进行判断是否可以访问这个文件,即系统判断是否获得访问权限。
如果判断可以访问这个文件,那么访问者将得到访问权限,得到相应的文件。
如果判断不可以访问这个文件,那么访问者将被拒绝访问请求。
其中值得指出的是,在多个操作同时发生时,需要部署模块将文件部署到相应的节点。
本申请方案主要应用在中小型企业,进行资源的管理,可以利用云平台方便管理企业中的信息,使得每一个部门之间相协调。企业可以将信息存储到云硬盘中,分为不同的部门存储不同的硬盘信息,也就是我们的资源。不同的部门可以包含不同的人员分配,而管理员可以授予不同的权限给不同的人员,系统中的项目就是部门的集合,可以通过创建项目管理用户进行部门人员的管理,用户就是公司的具体人员,也就是整个系统的非管理员,而角色是权限的集合,通过权限之间的组合实现不同的角色。属性是存储在数据库中的,不同的权限策略之间存在不同的属性。这里设置的权限只有云硬盘的创建、删除和查看,云主机的创建和镜像的获取,拥有查看云硬盘的权限就可以查看需要的信息,通过改变这几个权限实现最后的访问控制。冲突消解是依靠权限之间的关系,比如创建云硬盘和删除云硬盘就是两个互斥的操作,不能同时发生,所以需要进行权限的选择,通过优先级确定相应的权限。
上述冲突消解包括两个方面,分别是冲突检测和冲突消解。冲突检测主要依靠的是遍历的方式进行检测,根据同一个文件的权限判定两个策略是否发生冲突,如果两条策略不能同时部署在一个文件上的话,那么就说这两条策略之间是存在冲突的。如果一条策略的部署的结果与另一条策略做出的结果相同,则称这条策略是冗余的。在策略中只有所有的属性条件都得到满足的时候,策略才可以被应用,冲突的检测可以分辨出冲突,通过遍历的方式查找每一个对象,如果发生了权限冲突,就会把冲突加到冲突的集合中,再进行二次遍历,从而发现其他的冲突类型。如图3所示,冲突检测包括但不限于如下步骤:
采用遍历规则对策略库中的策略进行遍历。
判断是否有权限冲突。
如果是,则加入冲突集。如果不是,则遍历用户,并进一步判断是否有用户冲突。
如果是,则加入冲突集。如果不是,则遍历静态状态,并进一步判断是否有状态冲突。
如果是,则加入冲突集,否则,冲突检测结束。
冲突消解是指在发生两个策略对的冲突的时候,规则之间会产生一定的重叠部分,而消解就是将这些重叠部分进行覆盖,通过一条策略的重叠处覆盖另一条策略的方式,使得两条策略之间不再发生冲突。
表2冲突消解策略
覆盖的方式有很多种,包括允许覆盖、拒绝覆盖、就近覆盖、特征覆盖、多数覆盖、第一个匹配覆盖和高权威覆盖。允许覆盖就是将允许的规则覆盖到拒绝的规则上,拒绝覆盖就是将拒绝的规则优先于允许的规则。就近覆盖就是随着时间的变化,最近的一条规则优先级更高。特征覆盖就是选择更具有特征性的规则可以覆盖一般性的规则,多数覆盖是指在规则中,规则的数量决定优先覆盖的等级,第一个匹配覆盖就是指第一个与数据包相匹配的规则优先于其他规则,高权威覆盖是指不同的管理员之间拥有不同的等级,等级高的管理员的规则具有更高的优先级。
如图4所示,冲突消解的解决方式可以主要是通过特征覆盖和多数覆盖两种方式,首先需要设置两个阈值,通过阈值的大小比较来决定最后的覆盖方式,如果规则数是两个的话,就使用特征覆盖的方式进行覆盖。如果规则数目大于二,那么就通过多数覆盖的方式,允许的规则数大于拒绝的规则数量,那么这个动作就是允许,如果拒绝的规则数量大于允许的规则数量,那么这个动作就是拒绝,如果允许的规则数量等于拒绝的规则数量,则手动策略选择或多策略结合,如解决策略选择,之后判断是否决定,若决定,则约束动作形成,否则重新选择解决策略。
冲突消解的最基本方法还是优先级的定义,只有借助优先级的方式才可以实现规则的选择,通过策略的调整来达到不同的策略冲突解决方法,本申请方案的这种方法也可以认为是一种基于优先级的冲突消解方法,通过重新排序的方式将策略进行优先级的排列,从而达到冲突消解的结果。
该实施例的云平台资源管理方法,通过获取至少一个用户对目标数据的处理请求;根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求,不同用户具有各自对目标数据的处理权限的方式,通过权限的赋予作为策略进行用户的访问控制和冲突消解。具体地,系统分为管理员和普通用户的角色,管理员可以进行项目、用户和角色的管理,并且可以向角色赋予权限,权限包括了云硬盘的创建、删除、查看,云主机的创建和镜像的获取。当管理员向普通用户赋予具有查看云磁盘权限的角色时,普通用户就可以查看需要的硬盘文件了,而其他不具备权限的普通用户自然就无法得到云硬盘的访问权。管理员还可以通过更改权限的正负向从而改变权限的优先级,本申请提案可以根据优先级的排序自动选择赋予的权限,从而实现冲突消解。
如图5所示,本发明实施例的一种云平台资源管理装置,包括
获取模块510,用于获取至少一个用户对目标数据的处理请求;
处理模块520,用于根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求;
其中,不同用户具有各自对目标数据的处理权限。
可选地,所述处理模块520包括:
判断单元,用于判断所述至少一个用户是否具有对所述目标数据执行第一操作的处理权限,所述第一操作为所述处理请求所请求的操作;
确定单元,用于将所述至少一个用户中具有对所述目标数据执行第一操作的处理权限的用户确定为目标用户;
响应单元,用于响应所述目标用户的处理请求,对所述目标数据执行第一操作。
可选地,所述云平台资源管理装置500还包括:
确定模块,用于在响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤之前,确定所述目标用户所属的用户类型;
其中,所述用户类型包括:管理员和普通用户。
可选地,所述处理权限包括:管理权限或用户权限;
其中,所述管理员具有所述管理权限,所述管理权限对应的操作包括以下至少一项:在云平台中进行创建操作、在云平台中进行删除操作、在云平台中进行修改操作、在云平台中进行更新操作和在云平台中进行查看操作;
所述普通用户具有所述用户权限,所述用户权限对应的操作包括:在云平台中进行查看操作。
可选地,所述处理模块520包括:
第一处理单元,用于若所述目标用户所属的用户类型为普通用户,则判断所述普通用户是否具有对目标数据的访问权限;
第二处理单元,用于若所述普通用户具有对目标数据的访问权限,则响应所述普通用户的处理请求,对目标数据进行查看;
第三处理单元,用于若所述普通用户不具有对目标数据的访问权限,则拒绝所述普通用户的处理请求。
可选地,所述至少一个用户的处理权限存储在策略库中;
所述处理模块520包括:
第四处理单元,用于若所述目标用户所属的用户类型为管理员,则响应所述管理员的处理请求,对所述策略库中的策略进行目标操作;
其中,所述策略库中的策略用于指示用户的处理权限,所述目标操作为创建操作、删除操作、修改操作、更新操作或查看操作。
可选地,所述云平台资源管理装置500还包括:
判断模块,用于对所述策略库中的策略进行目标操作之后,判断所述策略库中的策略是否存在冲突;
冲突消解模块,用于若所述策略库中的策略存在冲突,则根据冲突消解策略进行冲突消解;
更新模块,用于若所述策略库中的策略不存在冲突,则更新所述策略库。
可选地,所述冲突消解模块包括:
第一冲突消解单元,用于若所述策略库中存在冲突的策略的条数小于第一预设值,则采用第一冲突消解策略进行冲突消解;
第二冲突消解单元,用于若所述策略库中存在冲突的策略的条数大于第二预设值,则采用第二冲突消解策略进行冲突消解。
该实施例的云平台资源管理装置,通过获取至少一个用户对目标数据的处理请求;根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求,不同用户具有各自对目标数据的处理权限的方式,通过权限的赋予作为策略进行用户的访问控制和冲突消解。具体地,系统分为管理员和普通用户的角色,管理员可以进行项目、用户和角色的管理,并且可以向角色赋予权限,权限包括了云硬盘的创建、删除、查看,云主机的创建和镜像的获取。当管理员向普通用户赋予具有查看云磁盘权限的角色时,普通用户就可以查看需要的硬盘文件了,而其他不具备权限的普通用户自然就无法得到云硬盘的访问权。管理员还可以通过更改权限的正负向从而改变权限的优先级,本申请提案可以根据优先级的排序自动选择赋予的权限,从而实现冲突消解。
本发明另一实施例的一种云平台资源管理系统,如图6所示,该系统包括:用户界面、访问控制模块、冲突消解模块和部署模块,其中,访问控制模块主要负责将企业内部和外部进行隔绝,由管理员设置好访问权限并下发给每一个用户。部署模块主要是将管理者得到的策略集合部署到整个系统中,并且将消解后的重新部署下去,保证一致性。冲突消解模块则是用来进行冲突消解的,防止不同的管理者部署的策略发生冲突从而影响到系统的运行。本实施例基于openstack云平台进行中小型企业的用户和资源管理,openstack作为开源的云平台,自身存在一定的用户管理,但是并不能完全满足企业的需求,企业在应对云平台方面需要更加复杂的资源管理,特别是针对不同的项目或者部门,本申请方案正是根据这一问题,将云平台的云硬盘中存储的文件作为资源,通过权限的赋予作为策略进行用户的访问控制和冲突消解。系统分为管理员和普通用户的角色,管理员可以进行项目、用户和角色的管理,并且可以向角色赋予权限,权限包括了云硬盘的创建、删除、查看,云主机的创建和镜像的获取。当管理员向普通用户赋予具有查看云磁盘权限的角色时,普通用户就可以查看需要的硬盘文件了,而其他不具备权限的普通用户自然就无法得到云硬盘的访问权。管理员还可以通过更改权限的正负向从而改变权限的优先级,本申请提案可以根据优先级的排序自动选择赋予的权限,从而实现冲突消解。
用户界面模块主要是便于用户和系统之间的交互,可以对项目、用户和角色进行创建、删除和查询等操作。用户界面的实现是基于openstack原本的界面,在原有的界面的基础上增加了管理员的权限设置以及权限的互斥,管理员可以通过用户界面直接管理用户和用户对应的角色,也可以直接添加角色对应的权限。管理员可以通过用户界面观察到存在的权限和权限之间的冲突关系,并且可以人工进行权限的控制。
访问控制模块用于获取至少一个用户对目标数据的处理请求;根据至少一个用户各自的处理权限以及处理请求,响应至少一个用户中的目标用户对目标数据的处理请求,其中,不同用户具有各自对目标数据的处理权限,同一用户对不同数据有各自的处理权限。也就是说,访问控制模块主要用于资源的访问控制,资源的访问可以通过定义的不同权限的方式实现。本申请方案中设计了对云硬盘的创建、删除、查看,对实例的创建,对镜像的获取一些操作,这些权限可以实现对不同的资源的访问控制,特别是对云硬盘的访问权限,可以管理企业在云硬盘中存储的资源信息。在本实施例中管理员可以授权给角色不同的权限,再将角色分配给用户,拥有了不同权限的用户就可以进行资源的访问了。
冲突消解模块主要是对安全策略进行冲突消解,当策略发生冲突时,通过改变策略的优先级,从而对冲突的策略之间进行选择,采取优先级较高的安全策略,达到不同的效果。在本实施例中,只有管理员界面可以看到权限的互斥,管理员可以通过用户界面查看系统存在的不同权限,并且可以设置权限的正负向,通过正负向影响权限的优先级,根据优先级确定最后采取的权限,从而在发生冲突的时候系统可以自动选择不同的权限进行不同的操作。
快速部署模块主要是可以在不同的环境之中进行快速的部署,增加了系统的可迁移性。在本实施例中,分为环境的快速部署和策略的部署,环境的快速部署主要是利用openstack的镜像存储模块和docker应用结合,实现环境的快速部署。同时,策略的部署是访问控制中的一环,结合IETF结构可以将安全策略分发到相应的位置,从而提高策略的一致性。
可选地,快速部署包括了策略上的部署和环境上的快速部署两部分。
其中,环境上的快速部署是通过Docker实现的,Docker是2013年发布的一款轻量级的容器引擎,它主要是由虚拟模板Image,运行实例Container以及存放文件的仓库repositories三部分组成。Docker不仅可以用于软件平台的构建,云服务器的扩容,还可以通过多个容器的方式组建服务架构,这样在一台机器上就可以实现多台机器的效果,通过Docker进行快速部署可以大大提高部署的效率,我们通过openstack和Docker结合开发来实现快速部署的目的。
本实施例应用了docker,利用网络接口进行封装,可以将openstack形成一个镜像文件,从而实现openstack的快速部署。由于Docker的核心Image是类似于一个虚拟的模板,而其他组件都是与Image相连接,支持Image进行操作的,所以Docker与虚拟机还是有许多相似之处的,所以很多人会将它与虚拟机相比。虽然Docker方式上与虚拟机类似,但是实际上与虚拟机依然存在着一些区别,具有一些非常直观的优势。不仅在实现的可迁移度有极大的优势,还包括了性能方面。
表3
策略的部署模块其实是包含在访问控制中,访问控制中的部署模块实际上可以接收访问请求,并且进行验证、执行,这是每一个系统中都一定会存在的,通常不需要重复开发。当访问发起者发出身份验证之后,通过携带自己身份信息的令牌进行访问请求,部署模块收到请求之后,形成一个访问判决,这个访问判决请求中有许多信息,包含了用户的身份、目标、访问类型等。部署模块向下派送访问请求之后,等待返回的结果并且执行。同时访问部署模块还负责下发策略,也就是在不同的节点处下发不同的策略,这些策略到达不同的策略执行点之后,可以保证策略之间的一致性和执行的稳定性。
如图7所示,本实施例主要是在openstack的环境下,实现一个针对资源、环境和用户的管理系统,这个管理系统分为三个主要模块,分别是访问控制模块、冲突消解模块和快速部署模块。其中,
访问控制模块主要用于资源的访问控制,通过安全策略的方式进行授权,从而使得不同的用户在不同的情况下可以进行对资源的操作,同时保证不同等级的用户可以相互隔离,无法访问到不属于权限的文件,从而防止了信息的泄露。
冲突消解模块是针对安全策略产生的,当策略产生的时候就会伴随冲突的产生,当两条策略发生冲突时,这个模块就可以进行检测和消解,选择最佳的安全策略进行执行,从而达到冲突消解的目的。
安全策略的部署主要是指安全策略分发给每一个组件,从而实现策略的一致性,快速部署则是指整个环境的部署流程,可以采用docker这种工具,将这个环境进行封装,所以便于快速的安装与部署,这种方式可以比普通的部署缩短几倍的时间。同时,整个系统是部署在云环境下的,这样的方式可以更加便携的管理整个云平台,openstack对大数据的动态迁移、数据安全都非常有利,同时云平台的管理还可以比较明确的观测出数据的监控。
如图8所示,本实施例的访问控制模型包括了策略库、资源库、访问的决策点实施点以及各种接口,策略库是用来存储访问控制策略的,资源库是用来存储需要访问的资源,访问控制的决策点和实施点是整个访问控制的中心,这些相结合构成了整个访问控制模型。访问控制的具体步骤为当用户想要访问资源时,将发送原始请求,请求包括主体的身份以及他们属于的组,想要访问的资源,正在采取的动作以及主体被授予的角色。此时请求将被发送到策略实施点,也就是PEP,策略实施点将会构建一个请求,请求中包含了上述的信息,PEP将这个请求发送到策略决策点,即PDP。策略决策点根据请求,将会查找策略管理点中的安全策略,角色和主体之间的映射关系。在本实施例中,策略文件和所需要的属性,即资源、动作和环境等信息,都会存储在数据库中,而角色和主体之间的映射关系存储在openstack自带的存储模块中,通过最后得到的策略,返回给策略决策点,策略决策点进行判断,策略决策点再将决策结果返回给策略实施点。
可选地,冲突消解模块用于判断所述策略库中的策略是否存在冲突;若存在,则根据冲突消解策略进行冲突消解;否则,更新所述策略库。
本发明实施例的云平台资源管理系统,在传统的openstack云平台中添加了访问控制的策略冲突消解模式,有效解决了在发生权限冲突的情况下产生的攻击漏洞,可以减少因为访问控制的错误产生的问题。
本发明另一实施例的云平台资源管理装置,如图9所示,包括收发器910、处理器900、存储器920及存储在所述存储器920上并可在所述处理器900上运行的程序或指令;所述处理器900执行所述程序或指令时实现上述云平台资源管理方法中的步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
所述收发器910,用于在处理器900的控制下接收和发送数据。
其中,在图9中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器900代表的一个或多个处理器和存储器920代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器910可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器900负责管理总线架构和通常的处理,存储器920可以存储处理器900在执行操作时所使用的数据。
本发明实施例的一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如上所述的云平台资源管理方法中的步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的云平台资源管理系统中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
进一步需要说明的是,此说明书中所描述的终端包括但不限于智能手机、平板电脑等,且所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同位里上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
上述范例性实施例是参考该些附图来描述的,许多不同的形式和实施例是可行而不偏离本发明精神及教示,因此,本发明不应被建构成为在此所提出范例性实施例的限制。更确切地说,这些范例性实施例被提供以使得本发明会是完善又完整,且会将本发明范围传达给那些熟知此项技术的人士。在该些图式中,组件尺寸及相对尺寸也许基于清晰起见而被夸大。在此所使用的术语只是基于描述特定范例性实施例目的,并无意成为限制用。如在此所使用地,除非该内文清楚地另有所指,否则该单数形式“一”、“一个”和“该”是意欲将该些多个形式也纳入。会进一步了解到该些术语“包含”及/或“包括”在使用于本说明书时,表示所述特征、整数、步骤、操作、构件及/或组件的存在,但不排除一或更多其它特征、整数、步骤、操作、构件、组件及/或其族群的存在或增加。除非另有所示,陈述时,一值范围包含该范围的上下限及其间的任何子范围。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种云平台资源管理方法,其特征在于,包括:
获取至少一个用户对目标数据的处理请求;
根据所述至少一个用户各自的处理权限以及所述处理请求,响应所述至少一个用户中的目标用户对所述目标数据的处理请求;
其中,不同用户具有各自对所述目标数据的处理权限。
2.根据权利要求1所述的云平台资源管理方法,其特征在于,所述根据所述至少一个用户各自的处理权限以及所述处理请求,响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤,包括:
判断所述至少一个用户是否具有对所述目标数据执行第一操作的处理权限,所述第一操作为所述处理请求所请求的操作;
将所述至少一个用户中具有对所述目标数据执行第一操作的处理权限的用户确定为目标用户;
响应所述目标用户的处理请求,对所述目标数据执行第一操作。
3.根据权利要求1或2所述的云平台资源管理方法,其特征在于,所述响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤之前,还包括:
确定所述目标用户所属的用户类型;其中,所述用户类型包括:管理员和普通用户。
4.根据权利要求3所述的云平台资源管理方法,其特征在于,所述处理权限包括:管理权限或用户权限;
其中,所述管理员具有所述管理权限,所述管理权限对应的操作包括以下至少一项:在云平台中进行创建操作、在云平台中进行删除操作、在云平台中进行修改操作、在云平台中进行更新操作和在云平台中进行查看操作;
所述普通用户具有所述用户权限,所述用户权限对应的操作包括:在云平台中进行查看操作。
5.根据权利要求3所述的云平台资源管理方法,其特征在于,所述响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤,包括:
若所述目标用户所属的用户类型为普通用户,则判断所述普通用户是否具有对目标数据的访问权限;
若所述普通用户具有对目标数据的访问权限,则响应所述普通用户的处理请求,对目标数据进行查看;
若所述普通用户不具有对目标数据的访问权限,则拒绝所述普通用户的处理请求。
6.根据权利要求3所述的云平台资源管理方法,其特征在于,所述至少一个用户的处理权限存储在策略库中;
所述响应所述至少一个用户中的目标用户对所述目标数据的处理请求的步骤,包括:
若所述目标用户所属的用户类型为管理员,则响应所述管理员的处理请求,对所述策略库中的策略进行目标操作;
其中,所述策略库中的策略用于指示用户的处理权限,所述目标操作为创建操作、删除操作、修改操作、更新操作或查看操作。
7.根据权利要求6所述的云平台资源管理方法,其特征在于,所述对所述策略库中的策略进行目标操作的步骤之后,还包括:
判断所述策略库中的策略是否存在冲突;
若所述策略库中的策略存在冲突,则根据冲突消解策略进行冲突消解;
若所述策略库中的策略不存在冲突,则更新所述策略库。
8.根据权利要求7所述的云平台资源管理方法,其特征在于,根据冲突消解策略进行冲突消解的步骤,包括:
若所述策略库中存在冲突的策略的条数小于第一预设值,则采用第一冲突消解策略进行冲突消解;
若所述策略库中存在冲突的策略的条数大于第二预设值,则采用第二冲突消解策略进行冲突消解。
9.一种云平台资源管理装置,其特征在于,包括:
获取模块,用于获取至少一个用户对目标数据的处理请求;
处理模块,用于根据所述至少一个用户各自的处理权限以及所述处理请求,响应所述至少一个用户中的目标用户对所述目标数据的处理请求;
其中,不同用户具有各自对所述目标数据的处理权限。
10.一种云平台资源管理装置,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如权利要求1-9中任一项所述的云平台资源管理方法中的步骤。
11.一种可读存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如权利要求1-9中任一项所述的云平台资源管理方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110631706.8A CN115514506A (zh) | 2021-06-07 | 2021-06-07 | 云平台资源管理方法、装置及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110631706.8A CN115514506A (zh) | 2021-06-07 | 2021-06-07 | 云平台资源管理方法、装置及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115514506A true CN115514506A (zh) | 2022-12-23 |
Family
ID=84499397
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110631706.8A Pending CN115514506A (zh) | 2021-06-07 | 2021-06-07 | 云平台资源管理方法、装置及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115514506A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109829314A (zh) * | 2019-03-06 | 2019-05-31 | 南京航空航天大学 | 一种危机事件驱动的自适应访问控制方法 |
CN112182524A (zh) * | 2020-08-28 | 2021-01-05 | 苏州浪潮智能科技有限公司 | 一种基于云平台的资源权限管理方法及其系统 |
CN112866251A (zh) * | 2021-01-20 | 2021-05-28 | 哈尔滨工业大学 | 一种多域云防护墙安全策略冲突消解方法及装置 |
-
2021
- 2021-06-07 CN CN202110631706.8A patent/CN115514506A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109829314A (zh) * | 2019-03-06 | 2019-05-31 | 南京航空航天大学 | 一种危机事件驱动的自适应访问控制方法 |
CN112182524A (zh) * | 2020-08-28 | 2021-01-05 | 苏州浪潮智能科技有限公司 | 一种基于云平台的资源权限管理方法及其系统 |
CN112866251A (zh) * | 2021-01-20 | 2021-05-28 | 哈尔滨工业大学 | 一种多域云防护墙安全策略冲突消解方法及装置 |
Non-Patent Citations (1)
Title |
---|
肖淇: "" 云环境下防火墙策略冲突检测及消解方法研究"", 《中国优秀硕士学位论文全文数据库(电子期刊) 信息科技辑》, no. 07, 15 July 2014 (2014-07-15), pages 14 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101432317B1 (ko) | 자원 인가 정책으로의 역할 기반 접근 제어 정책의 변환 | |
CN114514507B (zh) | 在云基础设施环境中支持配额策略语言的系统和方法 | |
US8850549B2 (en) | Methods and systems for controlling access to resources and privileges per process | |
US6233576B1 (en) | Enhanced security for computer system resources with a resource access authorization control facility that creates files and provides increased granularity of resource permission | |
US8990900B2 (en) | Authorization control | |
US6678682B1 (en) | Method, system, and software for enterprise access management control | |
CN110113369A (zh) | 一种基于角色权限控制的鉴权方法 | |
US10601839B1 (en) | Security management application providing proxy for administrative privileges | |
CN107315950B (zh) | 一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法 | |
US8892878B2 (en) | Fine-grained privileges in operating system partitions | |
US20230195877A1 (en) | Project-based permission system | |
US8180894B2 (en) | System and method for policy-based registration of client devices | |
CA2830880C (en) | Managing permission settings applied to applications | |
CN107566375B (zh) | 访问控制方法和装置 | |
US8819231B2 (en) | Domain based management of partitions and resource groups | |
CN112134848A (zh) | 融合媒体云自适应访问控制方法、装置、终端及介质 | |
CN111970162B (zh) | 一种超融合架构下的异构gis平台服务中控系统 | |
CN112231733A (zh) | 对象代理特征数据库的mac防护增强系统 | |
KR102206847B1 (ko) | 하이브리드 보안 시스템 및 통합보안방법 | |
CN116881933A (zh) | 一种基于属性访问控制的文件访问控制方法及访问控制系统 | |
CN115514506A (zh) | 云平台资源管理方法、装置及可读存储介质 | |
CN115174177A (zh) | 权限管理方法、装置、电子设备、存储介质和程序产品 | |
US20220255970A1 (en) | Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices | |
CN113691539A (zh) | 企业内部统一功能权限管理方法及系统 | |
CN114462016A (zh) | 资源请求方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |