WO2016188153A1

WO2016188153A1 - 访问角色获取方法、装置及系统

Info

Publication number: WO2016188153A1
Application number: PCT/CN2016/073949
Authority: WO
Inventors: 童遥; 彭亦辉
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-05-22
Filing date: 2016-02-17
Publication date: 2016-12-01
Also published as: CN106302334A; CN106302334B

Abstract

本发明提供了访问角色获取方法、装置及系统，其中，该方法包括：采用第二数据中心获取角色获取请求，其中，角色获取请求中携带有客户端的访问权限；第二数据中心根据访问权限和第一数据中心颁发的证书，生成临时用户证书，其中，临时用户证书中携带有客户端对第一数据中心的访问角色；第二数据中心发送临时用户证书至客户端。通过本发明，解决了在相关技术中没有提供在云计算多级数据中心系统中应用基于角色的访问控制方法的问题，实现了云计算多级数据中心系统中基于角色的访问控制。

Description

访问角色获取方法、装置及系统

技术领域

本发明涉及访问控制领域，具体而言，涉及一种访问角色获取方法、装置及系统。

背景技术

访问控制是指限制不合法用户对关键资源的访问，防止非法用户的侵入或合法用户的不慎操作所造成的破坏。访问控制技术都是建立在对主体-客体访问控制思想上的。只要主体拥有对某客体的特定访问权限，就可以对客体进行访问。

访问控制技术中一般包括三个要素：主体：发出访问操作的主动方，通常指用户或用户的某个进程。包括用户、用户组、终端、主机或一个应用。主体可以访问客体。客体：被访问的对象。它可以是一个字节、字段、记录、程序、文件。或者是一个处理器、存储器、网络接点等。安全访问政策：一套规则，用以确定一个主体是否对客体拥有访问能力。

目前使用最多的是基于角色的访问控制，它的基本思想是授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定，根据用户在组织内所处的角色作出访问授权与控制，但用户不能自主地将访问权限传给他人。基于角色的访问控制最大的特点就是将访问权限与角色相关联，不同的角色有不同权限，用户所拥有的权力不能超过他执行工作时所需的权限，当用户的职责变化时，改变授权给他们的角色，也就改变了用户的权限，这样就降低了管理的复杂度，同时也可以描述更复杂的安全策略。

目前，云计算数据中心的部署，是以区域为单位进行部署，同一级别的区域建立同一级别的数据中心，同级数据中心之前不需要互相通信，它们仅与上级数据中心以及它所下属的下级数据中心进行通信，同时可以对下一级数据中心进行一定的管理。然而，由于相关技术中的基于角色的访问控制并不能够自主地将访问权限传给他人，因此，如何在云计算多级数据中心系统中实现基于角色的访问控制方法，目前并没有提出有效的解决方案。

针对相关技术中没有提供在云计算多级数据中心系统中应用基于角色的访问控制方法的问题，目前尚未提出有效的解决方案。

发明内容

为了解决上述技术问题，本发明实施例提供了一种访问角色获取方法、装置及系统。

根据本发明实施例的一个方面，提供了一种访问角色获取方法，包括：第二数据中心获取角色获取请求，其中，所述角色获取请求中携带有客户端的访问权限；所述第二数据中心根据所述访问权限和第一数据中心颁发的证书，生成临时用户证书，其中，所述临时用户证书中携带有所述客户端对所述第一数据中心的访问角色；所述第二数据中心发送所述临时用户证书至所述客户端。

优选地，在所述第二数据中心发送所述临时用户证书至所述客户端之后，所述方法还包括：所述第一数据中心接收所述客户端发送的所述临时用户证书和服务请求；所述第一数据中心根据所述临时用户证书，确定所述客户端对所述第一数据中心的访问角色；所述第一数据中心根据所述访问角色，处理所述服务请求。

优选地，所述第二数据中心获取所述角色获取请求包括：所述第三数据中心接收所述客户端发送的分派角色请求；所述第三数据中心确定所述客户端的所述访问权限；所述第三数据中心发送所述角色获取请求至所述第二数据中心。

优选地，所述第三数据中心确定所述客户端的所述访问权限包括：第三数据中心通过访问控制服务在基于角色的访问控制数据库中查询所述客户端的所述访问权限。

优选地，所述第二数据中心根据所述访问权限和所述第一数据中心颁发的所述证书，生成所述临时用户证书包括：所述第二数据中心根据所述访问权限和所述第一数据中心颁发的所述证书，确定所述客户端对所述第一数据中心的所述访问角色；所述第二数据中心将所述访问角色记录至未签名临时用户证书；所述第二数据中心使用所述第二数据中心的私钥对所述未签名临时用户证书进行签名，生成所述临时用户证书。

优选地，所述第二数据中心发送所述临时用户证书至所述客户端包括：所述第二数据中心发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端。

优选地，在所述第二数据中心发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端的情况下，所述方法还包括：所述第一数据中心接收所述客户端发送的已签名的所述临时用户证书、所述第二数据中心的公钥和服务请求；所述第一数据中心采用所述公钥解密所述临时用户证书，并验证所述临时用户证书的签名信息是否为所述第二数据中心的签名；在验证结果为是的情况下，所述第一数据中心根据解密的所述临时用户证书，确定所述客户端对所述第一数据中心的访问角色；所述第一数据中心根据所述访问角色，处理所述服务请求。

根据本发明的另一个方面，还提供了一种访问角色获取装置，应用于第二数据中心，包括：获取模块，设置为获取角色获取请求，其中，所述角色获取请求中携带有客户端的访问权限；生成模块，设置为根据所述访问权限和第一数据中心颁发的证书，生成临时用户证书，其中，所述临时用户证书中携带有所述客户端对所述第一数据中心的访问角色；发送模块，设置为发送所述临时用户证书至所述客户端。

优选地，所述生成模块包括：确定单元，设置为根据所述访问权限和所述证书，确定所述客户端对所述第一数据中心的所述访问角色；记录单元，设置为将所述访问角色记录至未签名临时用户证书；签名单元，设置为使用所述第二数据中心的私钥对所述未签名临时用户证书进行签名，生成所述临时用户证书。

优选地，所述发送模块设置为：发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端。

根据本发明的另一个方面，还提供了一种访问角色获取系统，包括：第一数据中心、第二数据中心、第三数据中心和客户端，其中，所述第二数据中心包括：如上所述的访问角色获取装置。

优选地，所述第一数据中心包括：第一接收模块，设置为接收所述客户端发送的所述临时用户证书和服务请求；第一确定模块，设置为根据所述临时用户证书，确定所述客户端对所述第一数据中心的访问角色；处理模块，设置为根据所述访问角色，处理所述服务请求。

优选地，在所述第一数据中心中：所述第一接收模块，设置为接收所述客户端发送的已签名的所述临时用户证书、所述第二数据中心的公钥和服务请求；所述第一确定模块，设置为采用所述公钥解密所述临时用户证书，并验证所述临时用户证书的签名信息是否为所述第二数据中心的签名；并在验证结果为是的情况下，所述第一数据中心根据解密的所述临时用户证书，确定所述客户端对所述第一数据中心的访问角色。

优选地，所述第三数据中心包括：第二接收模块，设置为接收所述客户端发送的分派角色请求；第二确定模块，设置为确定所述客户端的所述访问权限；输送模块，设置为发送所述角色获取请求至所述第二数据中心。

优选地，所述第二确定模块设置为：通过访问控制服务在基于角色的访问控制数据库中查询所述客户端的所述访问权限。

通过本发明实施例，采用第二数据中心获取角色获取请求，其中，角色获取请求中携带有客户端的访问权限；第二数据中心根据访问权限和第一数据中心颁发的证书，生成临时用户证书，其中，临时用户证书中携带有客户端对第一数据中心的访问角色；第二数据中心发送临时用户证书至客户端的方式，解决了在相关技术中没有提供在云计算多级数据中心系统中应用基于角色的访问控制方法的问题，实现了云计算多级数据中心系统中基于角色的访问控制。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的访问角色获取方法的流程示意图；

图2是根据本发明实施例的访问角色获取装置的结构示意图；

图3是根据本发明实施例的访问角色获取装置的优选结构示意图一；

图4是根据本发明实施例的访问角色获取装置的优选结构示意图二；

图5是根据本发明实施例的访问角色获取系统的结构示意图；

图6是根据本发明优选实施例的事件处理方法的流程图；

图7是根据本发明优选实施例的优选实施方式一的系统结构示意图；

图8是根据本发明优选实施例的优选实施方式一的访问控制示意图；

图9是应用本发明的实施方式二的系统结构示意图；

图10是应用本发明的实施方式三的系统结构示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明实施例提供了一种访问角色获取方法，图1是根据本发明实施例的访问角色获取方法的流程图，如图1所示，该流程包括如下步骤：

步骤S102，第二数据中心获取角色获取请求，其中，角色获取请求中携带有客户端的访问权限；

步骤S104，第二数据中心根据访问权限和第一数据中心颁发的证书，生成临时用户证书，其中，临时用户证书中携带有客户端对第一数据中心的访问角色；

步骤S106，第二数据中心发送临时用户证书至客户端。

通过上述步骤，通过第二数据中心根据客户端的访问权限和第一数据中心颁发的证书，将携带有客户端对第一数据中心的访问角色信息发送给客户端，从而实现了客户端访问角色的获取。解决了相关技术中没有提供在云计算多级数据中心系统中应用基于角色的访问控制方法的问题，实现了云计算多级数据中心系统中基于角色的访问控制。

相应地，为了实现访问控制，在客户端将要访问第一数据中心的情况下，客户端可以将收到的临时用户证书以及服务请求发送给第一数据中心。第一数据中心接收客户端发送的临时用户证书和服务请求；根据临时用户证书，确定客户端对第一数据中心的访问角色；以及根据访问角色，处理服务请求。通过上述方式，实现了客户端对第一数据中心基于角色的访问控制。

优选地，在两级数据中心设置的云计算中心中，第二数据中心可以直接与客户端进行交互，例如，在获取客户端的分配角色请求后，根据查询客户端的访问权限，从而得到客户端的角色获取请求，其中，角色获取请求中携带有客户端的访问权限的相关信息。而在采用两级以上的数据中心设置的云计算中心中，优选地，角色获取请求可以是由第三数据中心根据客户端的访问权限生成的，例如，第三数据中心接收客户端发送的分派角色请求；第三数据中心确定客户端的访问权限；第三数据中心发送角色获取请求至第二数据中心。通过上述方式，实现了客户端访问权限的确定。

优选地，访问权限是由第三数据中心通过访问控制服务在基于角色的访问控制数据库中查询的，例如，第三数据中心通过访问控制服务在基于角色的访问控制数据库中查询客户端的访问权限。

优选地，在步骤S104中，第二数据中心根据访问权限和证书，确定客户端对第一数据中心的访问角色；将访问角色记录至未签名临时用户证书；以及使用第二数据中心的私钥对未签名临时用户证书进行签名，生成临时用户证书。通过上述方式，采用不对称加密提升了安全性。

优选地，在采用不对称加密的情况下，在步骤S106中，第二数据中心发送已签名的临时用户证书和第二数据中心的公钥至客户端。

需要说明的是，在本发明实施例中并不限于证书的加密方式为不对称加密算法，例如，对称加密算法也是可以被采用的。

优选地，在第二数据中心发送已签名的临时用户证书和第二数据中心的公钥至客户端的情况下，上述方法还包括：第一数据中心接收客户端发送的已签名的临时用户证书、第二数据中心的公钥和服务请求；第一数据中心采用公钥解密临时用户证书，并验证临时用户证书的签名信息是否为第二数据中心的签名；在验证结果为是的情况下，第一数据中心根据解密的临时用户证书，确定客户端对第一数据中心的访问角色；第一数据中心根据访问角色，处理服务请求。通过上述方式，在基于角色的访问控制中，融合了基于证书的访问控制，不仅提升了安全性，也提升了在云计算多级数据中心系统中访问控制的灵活性。

优选地，为了进一步的提升安全性，在第二数据中心获取角色获取请求之后，第二数据中心可以验证第三数据中心的身份有效性；其中，生成临时用户证书包括：在第三数据中心的身份为有效的情况下，生成临时用户证书。

在本实施例中还提供了一种访问角色获取装置，应用于第二数据中心，用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述，下面对该装置中涉及到的模块进行说明。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图2是根据本发明实施例的访问角色获取装置的结构示意图，如图2所示，该装置包括：获取模块22、生成模块24和发送模块26，其中，获取模块22，设置为获取角色获取请求，其中，角色获取请求中携带有客户端的访问权限；生成模块24，耦合至获取模块22，设置为根据访问权限和第一数据中心颁发的证书，生成临时用户证书，其中，临时用户证书中携带有客户端对第一数据中心的访问角色；发送模块26，耦合至生成模块24，设置为发送临时用户证书至客户端。

通过上述模块的综合作用，通过第二数据中心根据客户端的访问权限和第一数据中心颁发的证书，将携带有客户端对第一数据中心的访问角色信息发送给客户端，从而实现了客户端访问角色的获取。解决了相关技术中没有提供在云计算多级数据中心系统中应用基于角色的访问控制方法的问题，实现了云计算多级数据中心系统中基于角色的访问控制。

图3是根据本发明实施例的访问角色获取装置的优选结构示意图一，如图3所示，优选地，生成模块24包括：确定单元242，设置为根据访问权限和证书，确定客户端对第一数据中心的访问角色；记录单元244，耦合至确定单元242，设置为将访问角色记录至未签名临时用户证书；签名单元246，耦合至记录单元244，设置为使用第二数据中心的私钥对未签名临时用户证书进行签名，生成临时用户证书。

优选地，发送模块26设置为：发送已签名的临时用户证书和第二数据中心的公钥至客户端。

图4是根据本发明实施例的访问角色获取装置的优选结构示意图二，如图4所示，优选地，装置还包括：验证模块42，分别耦合至获取模块22和生成模块24设置为验证第三数据中心的身份有效性；其中，生成模块24设置为：在第三数据中心的身份为有效的情况下，生成临时用户证书。

本发明实施例还提供了一种访问角色获取系统，图5是根据本发明实施例的访问角色获取系统的结构示意图，如图5所示，该系统包括：第一数据中心52、第二数据中心54、第三数据中心56和客户端58，其中，第二数据中心54包括：如上的访问角色获取装置542。

其中，第一数据中心耦52合至第二数据中心54，第二数据中心54耦合至第三数据中心56，第三数据中心56耦合至客户端58，客户端58耦合至第一数据中心52。

优选地，第一数据中心52包括：第一接收模块，设置为接收客户端发送的临时用户证书和服务请求；第一确定模块，耦合至第一接收模块，设置为根据临时用户证书，确定客户端对第一数据中心的访问角色；处理模块，耦合至第一确定模块，设置为根据访问角色，处理服务请求。

优选地，在第一数据中心52中：第一接收模块，设置为接收客户端发送的已签名的临时用户证书、第二数据中心的公钥和服务请求；第一确定模块，设置为采用公钥解密临时用户证书，并验证临时用户证书的签名信息是否为第二数据中心的签名；并在验证结果为是的情况下，第一数据中心根据解密的临时用户证书，确定客户端对第一数据中心的访问角色。

优选地，第三数据中心56包括：第二接收模块，设置为接收客户端发送的分派角色请求；第二确定模块，耦合至第二接收模块，设置为确定客户端的访问权限；输送模块，耦合至第二确定模块，设置为发送角色获取请求至第二数据中心。

优选地，第二确定模块设置为：通过访问控制服务在基于角色的访问控制数据库中查询客户端的访问权限。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

为了使本发明实施例的描述更加清楚，下面结合优选实施例进行描述和说明。

本发明优选实施例提供了一种云计算数据中心的访问控制方法。在本发明优选实施例中，基于云计算技术和虚拟化技术，可以提供安全的数据中心访问控制机制，帮助企业进行安全的数据中心建设，提升运维效率。

针对云计算的数据中心的拓扑结构特点，本发明优选实施例将访问控制技术和对数据中心的访问原则相结合，提出了一种基于证书的区域授权访问控制方法，从而可以有效地解决了数据中心访问安全性的问题。

本发明优选实施例提供的一种云计算数据中心的访问控制方法，考虑到在跨地域数据中心的网络环境中，各级数据中心内部又存在不同的基于角色的访问控制权限，本发明提出一种将身份认证和访问控制权限通过证书结合在一起的区域授权访问控制机制。

(1)授权域

授权域是在一个中心服务器的管理下，将不同地域的数据中心，按照其隶属关系，列入到不同的域中，同时，中心服务器根据实际情况，对不同的域授予不同的访问操作权限。一级数据中心是一个独立个体，它是所有授权域的授权权威，所有的授权域都将通过它进行划分建立，每个授权域的相关信息都将保存在一级数据中心数据库中。

(2)一级数据中心与授权域之间的身份认证和权限控制

每个授权域与一级数据中心建立信任关系主要由3个动作组成：注册、更新和撤销。

首先，当一个新的授权域在网络中出现时，它必须向一级数据中心服务器进行注册，接收到经过认证中心认证的证书的授权域才是有效的授权域。其次，在动态的环境中，授权域可能会因为某些原因变更自身的状态、条件等注册内容，因此在系统运行的过程中，注册信息能够被更新或撤销。授权域将自己的更新状态以更新原语的方式发送给一级数据中心，使得数据中心的注册信息与授权域中的注册信息保持一致。最后，执行撤销原语后，授权域脱离一级数据中心的管辖，无法再对一级数据中心进行访问。

(3)授权域内的角色认证及用户证书的颁发

当授权中的任一客户端欲访问一级数据中心数据时，客户端需经过下面几个步骤才能完成，如图6所示，具体过程描述如下：

步骤一，客户端首先向三级数据中心(相当于上述第三数据中心)请求分派角色，三级数据中心接收到请求后，可以经过中间服务代理发送给访问控制服务，该服务通过查找基于角色的访问控制(Role-Based Access Control，简称为RBAC)数据库来进行验证客户端是否具有相应的权限访问一级数据中心(相当于上述第一数据中心)的数据，完毕后将结果发给中间服务代理。

需要说明的是，通过中间服务代理处理相关过程并不是本发明优选实施例实施的必需过程，但在实施过程中，采用中间服务代理的方式，一方面可以提升安全性，另一方面有利于相关功能实体的模块化封装，有利于对各种协议的兼容性。

步骤二，如果客户端具有相应的权限，则中间服务代理将该客户端具有的访问权限一起发给角色分派服务，由角色分派服务进行处理，封装成一个获取角色请求服务，并将该服务发给二级数据中心(相当于上述第二数据中心)；二级数据中心接收到服务请求后，也可以经过中间服务代理处理，将处理结果发给授权访问控制服务进行验证。

步骤三，授权访问控制服务接收到请求后，首先由服务器根据数据库中数据验证服务请求发送方(三级数据中心)身份的有效性；通过后，证书服务器将根据一级数据中心颁给该授权域的证书内容，获取客户端对一级数据中心的相应访问角色，并将该信息记录到一张新的临时用户证书上；获取了分派角色后，证书服务器将用自己的私钥为其签名，同时附上自己的公钥，组成一份完整的临时用户证书发送给客户端。

步骤四，客户端获取到临时用户证书后，在向一级数据中心提交服务请求时，必须附带上该临时用户证书。当一级数据中心收到服务请求后，它首先使用公钥为证书解密，如果发现中心服务器的签名，则认为这份证书是合法的，客户端身份认证通过，并从中获取客户端所具有的的角色；一级数据中心通过角色所具有的权限来完成客户端提交的服务请求，完成后，将结果返回给客户端。

下面通过在不同场景应用的优选实施方式来对本发明优选实施例进行说明。

优选实施方式一

采用本发明优选实施例的数据中心总体架构如图7所示，包括：用户门户模块、管理门户模块、运营管理模块、IT服务管理模块、资源管理模块、IT运维管理模块和基础设施管理模块。

优选地，用户门户模块包括：自服务门户和服务目录。

优选地，管理门户模块包括：告警管理、报表呈现、权限管理和访问控制。

优选地，运营管理模块包括：服务目录管理、产品管理、计费/报表管理、订单管理、用户管理、资源调度。

优选地，信息技术(IT)服务管理模块包括：服务台、服务等级协议(SLA)管理、问题管理、事件管理、配置管理、变更管理。

优选地，资源管理模块包括：应用部署、资源/模板管理、资源调度、资源监控。

优选地，IT运维管理模块包括：业务影响分析、告警、拓扑、性能、报表、服务器监控、网络监控、存储监控、中间件监控、应用监控、数据库监控。

优选地，基础设施管理模块包括：告警管理、三维(3D)机房可视化、能耗管理、容量管理、环境监控、动力监控。

本发明优选实施例的工作流程如图8所示，包括如下步骤：

步骤S802，客户端先向最近的三级数据中心发送访问请求，通过三级数据中心的访问控制服务进行初步验证是否具有相应的权限访问一级数据中心的数据，通过后通知三级数据中心权限管理模块。

步骤S804，三级数据中心权限管理模块将客户端请求进行再次封装，发给二级数据中心。

步骤S806，二级数据中心的授权访问控制服务先对消息进行验证，验证请求发送方(即三级数据中心)身份的有效性。通过后，由证书管理模块生成临时用户证书发送给客户端。

步骤S808，客户端获取到临时用户证书后，在向一级数据中心提交服务请求时，必须附带上该临时用户证书。当一级数据中心收到服务请求后，它首先使用公钥为证书解密，如果发现中心服务器的签名，则认为这份证书是合法的，客户端身份认证通过，并从中获取客户端所具有的的角色；一级数据中心通过角色所具有的权限来完成客户端提交的服务请求，完成后，将结果返回给客户端。

通过上述优选实施方式，可以将传统的分散、分层、异构的数据中心架构，升级为物理分散、逻辑集中的统一资源管理的分布式云数据中心。可以将不同地域、不同阶段、不同规模的数据中心，混合为一个跨数据中心的逻辑资源池，全局容量管理。可以跨地域多数据中心的资源统一管理及调度，策略化的访问控制管理。可见，通过应用本系统提供的访问控制功能，整个系统的安全性和保密性加强了。

优选实施方式二

在本发明优选实施例中，采用的数据中心系统如图9所示，该系统也采用三级架构，在集团总部建设一套数据中心作为一级数据中心，将全国分为两个区域，南方基地和北方基地，分别建设南方基地数据中心和北方基地数据中心作为二级数据中心(南方基地数据中心和北方基地数据中心各自管辖多个省的数据中心)，各个省会城市分别建设数据中心作为三级数据中心。

基于上述数据中心系统的访问控制方法流程描述如下：

步骤S902，客户端先向属地所在省的XX市数据中心发送访问请求，通过XX市数据中心的访问控制服务进行初步验证是否具有相应的权限访问一级数据中心的数据，通过后通知北方基地数据中心权限管理模块。

步骤S904，XX市数据中心权限管理模块将客户端请求进行再次封装，发给北方基地数据中心。

步骤S906，北方基地数据中心的授权访问控制服务先对消息进行验证，验证请求发送方(即XX市数据中心)身份的有效性。通过后，由证书管理模块生成临时用户证书发送给客户端。

步骤S908，客户端获取到临时用户证书后，在向总部数据中心提交服务请求时，必须附带上该临时用户证书。当总部数据中心收到服务请求后，它首先使用公钥为证书解密，如果发现中心服务器的签名，则认为这份证书是合法的，客户端身份认证通过，并从中获取客户端所具有的的角色；总部数据中心通过角色所具有的权限来完成客户端提交的服务请求，完成后，将结果返回给客户端。

本系统通过采用本发明的授权域和访问控制机制，有效降低了数据中心的建设和管理成本，并实现了数据中心内部以及数据中心之间的数据隔离。

优选实施方式三

本发明优选实施例采用的数据中心及其运维系统如图10所示，该系统也采用三级架构，每一级数据中心由业务服务平台、云管理平台、数据中心管理平台三大部分组成。

其中，业务服务平台负责管理各种业务，包括：监控、数据分析、办公业务等。

其中，云管理平台管理负载虚拟化管理、资源运营管理，包括：虚拟化环境管理软件、资源运营管理软件、访问控制管理软件、证书管理软件。

其中，数据中心管理平台负责对数据中心基础设施进行监控，包括：视频监控、环境监控、配电监控、能耗监控、制冷监控、安防监控和容量监控。

下面以运维人员接入数据中心进行故障定位的场景为例，流程描述如下：

步骤S1002，运维工程师通过专用客户端向三级数据中心发送访问请求，通过三级数据中心的访问控制管理软件进行初步验证是否具有相应的权限接入一级数据中心，通过后通知二级数据中心访问控制管理软件。

步骤S1004，三级数据中心的访问控制管理软件将客户端请求进行再次封装，发给二级数据中心。

步骤S1006，二级数据中心的访问控制管理软件先对消息进行验证，验证请求发送方(即三级数据中心)身份的有效性。通过后，由证书管理软件生成临时用户证书发送给客户端。

步骤S1008，客户端获取到临时用户证书后，在向一级数据中心提交服务请求时，必须附带上该临时用户证书。当一级数据中心收到服务请求后，它首先使用公钥为证书解密，如果发现中心服务器的签名，则认为这份证书是合法的，客户端身份认证通过，并从中获取客户端所具有的的角色；一级数据中心通过角色所具有的权限来完成客户端提交的服务请求，完成后，将结果返回给客户端。

本系统通过访问控制管理软件实现对数据中心间的访问控制，以及运维人员接入数据中心的访问控制，有效实现了数据中心内部的数据隔离。

综上所述，本发明实施例提出了一种基于证书的区域授权访问控制机制，这种访问控制机制结合了现有访问控制技术的优势，实现各个系统之间安全、可靠地访问，它们可应用于各种分布式数据中心建设中，确保了数据中心数据的保密性、完整性和可用性。

在另外一个实施例中，还提供了一种软件，该软件用于执行上述实施例及优选实施方式中描述的技术方案。

在另外一个实施例中，还提供了一种存储介质，该存储介质中存储有上述软件，该存储介质包括但不限于：光盘、软盘、硬盘、可擦写存储器等。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的对象在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

Claims

一种访问角色获取方法，包括：

第二数据中心获取角色获取请求，其中，所述角色获取请求中携带有客户端的访问权限；

所述第二数据中心根据所述访问权限和第一数据中心颁发的证书，生成临时用户证书，其中，所述临时用户证书中携带有所述客户端对所述第一数据中心的访问角色；

所述第二数据中心发送所述临时用户证书至所述客户端。
根据权利要求1所述的方法，其中，在所述第二数据中心发送所述临时用户证书至所述客户端之后，所述方法还包括：

所述第一数据中心接收所述客户端发送的所述临时用户证书和服务请求；

所述第一数据中心根据所述临时用户证书，确定所述客户端对所述第一数据中心的访问角色；

所述第一数据中心根据所述访问角色，处理所述服务请求。
根据权利要求1所述的方法，其中，所述第二数据中心获取所述角色获取请求包括：

第三数据中心接收所述客户端发送的分派角色请求；

所述第三数据中心确定所述客户端的所述访问权限；

所述第三数据中心发送所述角色获取请求至所述第二数据中心。
根据权利要求3所述的方法，其中，所述第三数据中心确定所述客户端的所述访问权限包括：

所述第三数据中心通过访问控制服务在基于角色的访问控制数据库中查询所述客户端的所述访问权限。
根据权利要求1所述的方法，其中，所述第二数据中心根据所述访问权限和所述第一数据中心颁发的所述证书，生成所述临时用户证书包括：

所述第二数据中心根据所述访问权限和所述第一数据中心颁发的所述证书，确定所述客户端对所述第一数据中心的所述访问角色；

所述第二数据中心将所述访问角色记录至未签名临时用户证书；

所述第二数据中心使用所述第二数据中心的私钥对所述未签名临时用户证书进行签名，生成所述临时用户证书。
根据权利要求5所述的方法，其中，所述第二数据中心发送所述临时用户证书至所述客户端包括：

所述第二数据中心发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端。
根据权利要求6所述的方法，其中，在所述第二数据中心发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端的情况下，所述方法还包括：

所述第一数据中心接收所述客户端发送的已签名的所述临时用户证书、所述第二数据中心的公钥和服务请求；

所述第一数据中心采用所述公钥解密所述临时用户证书，并验证所述临时用户证书的签名信息是否为所述第二数据中心的签名；

在验证结果为是的情况下，所述第一数据中心根据解密的所述临时用户证书，确定所述客户端对所述第一数据中心的访问角色；

所述第一数据中心根据所述访问角色，处理所述服务请求。
一种访问角色获取装置，应用于第二数据中心，包括：

获取模块，设置为获取角色获取请求，其中，所述角色获取请求中携带有客户端的访问权限；

生成模块，设置为根据所述访问权限和第一数据中心颁发的证书，生成临时用户证书，其中，所述临时用户证书中携带有所述客户端对所述第一数据中心的访问角色；

发送模块，设置为发送所述临时用户证书至所述客户端。
根据权利要求8所述的装置，其中，所述生成模块包括：

确定单元，设置为根据所述访问权限和所述证书，确定所述客户端对所述第一数据中心的所述访问角色；

记录单元，设置为将所述访问角色记录至未签名临时用户证书；

签名单元，设置为使用所述第二数据中心的私钥对所述未签名临时用户证书进行签名，生成所述临时用户证书。
根据权利要求9所述的装置，其中，

所述发送模块设置为：发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端。
一种访问角色获取系统，包括：第一数据中心、第二数据中心、第三数据中心和客户端，其中，

所述第二数据中心包括：如权利要求8至10中任一项所述的访问角色获取装置。
根据权利要求11所述的系统，其中，所述第一数据中心包括：

第一接收模块，设置为接收所述客户端发送的所述临时用户证书和服务请求；

第一确定模块，设置为根据所述临时用户证书，确定所述客户端对所述第一数据中心的访问角色；

处理模块，设置为根据所述访问角色，处理所述服务请求。
根据权利要求12所述的系统，其中，在所述第一数据中心中：

所述第一接收模块，设置为接收所述客户端发送的已签名的所述临时用户证书、所述第二数据中心的公钥和服务请求；

所述第一确定模块，设置为采用所述公钥解密所述临时用户证书，并验证所述临时用户证书的签名信息是否为所述第二数据中心的签名；并在验证结果为是的情况下，所述第一数据中心根据解密的所述临时用户证书，确定所述客户端对所述第一数据中心的访问角色。
根据权利要求11所述的系统，其中，所述第三数据中心包括：

第二接收模块，设置为接收所述客户端发送的分派角色请求；

第二确定模块，设置为确定所述客户端的所述访问权限；

输送模块，设置为发送所述角色获取请求至所述第二数据中心。
根据权利要求14所述的系统，其中，

所述第二确定模块设置为：通过访问控制服务在基于角色的访问控制数据库中查询所述客户端的所述访问权限。