本发明专利技术提供了访问角色获取方法、装置及系统,其中,该方法包括:采用第二数据中心获取角色获取请求,其中,角色获取请求中携带有客户端的访问权限;第二数据中心根据访问权限和第一数据中心颁发的证书,生成临时用户证书,其中,临时用户证书中携带有客户端对第一数据中心的访问角色;第二数据中心发送临时用户证书至客户端。通过本发明专利技术,解决了在相关技术中没有提供在云计算多级数据中心系统中应用基于角色的访问控制方法的问题,实现了云计算多级数据中心系统中基于角色的访问控制。
【技术实现步骤摘要】
本专利技术涉及访问控制领域,具体而言,涉及一种访问角色获取方法、装置及系统。
技术介绍
访问控制是指限制不合法用户对关键资源的访问,防止非法用户的侵入或合法用户的不慎操作所造成的破坏。访问控制技术都是建立在对主体-客体访问控制思想上的。只要主体拥有对某客体的特定访问权限,就可以对客体进行访问。访问控制技术中一般包括三个要素:主体:发出访问操作的主动方,通常指用户或用户的某个进程。包括用户、用户组、终端、主机或一个应用。主体可以访问客体。客体:被访问的对象。它可以是一个字节、字段、记录、程序、文件。或者是一个处理器、存储器、网络接点等。安全访问政策:一套规则,用以确定一个主体是否对客体拥有访问能力。目前使用最多的是基于角色的访问控制,它的基本思想是授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定,根据用户在组织内所处的角色作出访问授权与控制,但用户不能自主地将访问权限传给他人。基于角色的访问控制最大的特点就是将访问权限与角色相关联,不同的角色有不同权限,用户所拥有的权力不能超过他执行工作时所需的权限,当用户的职责变化时,改变授权给他们的角色,也就改变了用户的权限,这样就降低了管理的复杂度,同时也可以描述更复杂的安全策略。目前,云计算数据中心的部署,是以区域为单位进行部署,同一级别的区域建立同一级别的数据中心,同级数据中心之前不需要互相通信,它们仅与上级数据中心以及它所下属的下级数据中心进行通信,同时可以对下一级数据中心进行一定的管理。然而,由于相关技术中的基于角色的访问控制并不能够自主地将访问权限传给他人,因此,如何在云计算多级数据中心系统中实现基于角色的访问控制方法,目前并没有提出有效的解决方案。针对相关技术中没有提供在云计算多级数据中心系统中应用基于角色的访问控制方法的问题,目前尚未提出有效的解决方案。
技术实现思路
为了解决上述技术问题,本专利技术提供了一种访问角色获取方法、装置及系统。根据本专利技术的一个方面,提供了一种访问角色获取方法,包括:第二数据中心获取角色获取请求,其中,所述角色获取请求中携带有客户端的访问权限;所述第二数据中心根据所述访问权限和第一数据中心颁发的证书,生成临时用户证书,其中,所述临时用户证书中携带有所述客户端对所述第一数据中心的访问角色;所述第二数据中心发送所述临时用户证书至所述客户端。优选地,在所述第二数据中心发送所述临时用户证书至所述客户端之后,所述方法还包括:所述第一数据中心接收所述客户端发送的所述临时用户证书和服务请求;所述第一数据中心根据所述临时用户证书,确定所述客户端对所述第一数据中心的访问角色;所述第一数据中心根据所述访问角色,处理所述服务请求。优选地,所述第二数据中心获取所述角色获取请求包括:所述第三数据中心接收所述客户端发送的分派角色请求;所述第三数据中心确定所述客户端的所述访问权限;所述第三数据中心发送所述角色获取请求至所述第二数据中心。优选地,所述第三数据中心确定所述客户端的所述访问权限包括:第三数据中心通过访问控制服务在基于角色的访问控制数据库中查询所述客户端的所述访问权限。优选地,所述第二数据中心根据所述访问权限和所述第一数据中心颁发的所述证书,生成所述临时用户证书包括:所述第二数据中心根据所述访问权限和所述第一数据中心颁发的所述证书,确定所述客户端对所述第一数据中心的所述访问角色;所述第二数据中心将所述访问角色记录至未签名临时用户证书;所述第二数据中心使用所述第二数据中心的私钥对所述未签名临时用户证书进行签名,生成所述临时用户证书。优选地,所述第二数据中心发送所述临时用户证书至所述客户端包括:所述第二数据中心发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端。优选地,在所述第二数据中心发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端的情况下,所述方法还包括:所述第一数据中心接收所述客户端发送的已签名的所述临时用户证书、所述第二数据中心的公钥和服务请求;所述第一数据中心采用所述公钥解密所述临时用户证书,并验证所述临时用户证书的签名信息是否为所述第二数据中心的签名;在验证结果为是的情况下,所述第一数据中心根据解密的所述临时用户证书,确定所述客户端对所述第一数据中心的访问角色;所述第一数据中心根据所述访问角色,处理所述服务请求。根据本专利技术的另一个方面,还提供了一种访问角色获取装置,应用于第二数据中心,包括:获取模块,用于获取角色获取请求,其中,所述角色获取请求中携带有客户端的访问权限;生成模块,用于根据所述访问权限和第一数据中心颁发的证书,生成临时用户证书,其中,所述临时用户证书中携带有所述客户端对所述第一数据中心的访问角色;发送模块,用于发送所述临时用户证书至所述客户端。优选地,所述生成模块包括:确定单元,用于根据所述访问权限和所述证书,确定所述客户端对所述第一数据中心的所述访问角色;记录单元,用于将所述访问角色记录至未签名临时用户证书;签名单元,用于使用所述第二数据中心的私钥对所述未签名临时用户证书进行签名,生成所述临时用户证书。优选地,所述发送模块用于:发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端。根据本专利技术的另一个方面,还提供了一种访问角色获取系统,包括:第一数据中心、第二数据中心、第三数据中心和客户端,其中,所述第二数据中心包括:如上所述的访问角色获取装置。优选地,所述第一数据中心包括:第一接收模块,用于接收所述客户端发送的所述临时用户证书和服务请求;第一确定模块,用于根据所述临时用户证书,确定所述客户端对所述第一数据中心的访问角色;处理模块,用于根据所述访问角色,处理所述服务请求。优选地,在所述第一数据中心中:所述第一接收模块,用于接收所述客户端发送的已签名的所述临时用户证书、所述第二数据中心的公钥和服务请求;所述第一确定模块,用于采用所述公钥解密所述临时用户证书,并验证所述临时用户证书的签名信息是否为所述第二数据中心的签名;并在验证结果为是的情况下,所述第一数据中心根据解密的所述临时用户证书,确定所述客户端对所述第一数据中心的访问角色。优选地,所述第三数据中心包括:第二接收模块,用于接收所述客户端发送的分派角色请求;第二确定模块,用于确定所述客户端的所述访问权限;输送模块,用于发送所述角色获取请求至所述第二数据中心。优选地,所述第二确定模块用于:通过访问控制服务在基于角色的访问控制数据库中查询所述客户端的所述访问权限。通过本专利技术,采用第二数据中心获取角色获取请求,其中,角色获取请求中携带有客户端的访问权限;第二数据中心根据访问权限和第一数据中心颁发的证书,生成临时用户证书,其中,临时用户证书中携带有客户端对第一数据中心的访问角色;第二数据中心发送临时用户证书至客户端的方式,解决了在相关技术中没有提供在云计算多级数据中心系统中应用基于角色的访问控制方法的问题,实现了云计算多级数据中心系统中基于角色的访问控制。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的访问角色获取方法的流程示意图;图2是根据本专利技术实施例的访问角本文档来自技高网...
【技术保护点】
一种访问角色获取方法,其特征在于,包括:第二数据中心获取角色获取请求,其中,所述角色获取请求中携带有客户端的访问权限;所述第二数据中心根据所述访问权限和第一数据中心颁发的证书,生成临时用户证书,其中,所述临时用户证书中携带有所述客户端对所述第一数据中心的访问角色;所述第二数据中心发送所述临时用户证书至所述客户端。
【技术特征摘要】
1.一种访问角色获取方法,其特征在于,包括:第二数据中心获取角色获取请求,其中,所述角色获取请求中携带有客户端的访问权限;所述第二数据中心根据所述访问权限和第一数据中心颁发的证书,生成临时用户证书,其中,所述临时用户证书中携带有所述客户端对所述第一数据中心的访问角色;所述第二数据中心发送所述临时用户证书至所述客户端。2.根据权利要求1所述的方法,其特征在于,在所述第二数据中心发送所述临时用户证书至所述客户端之后,所述方法还包括:所述第一数据中心接收所述客户端发送的所述临时用户证书和服务请求;所述第一数据中心根据所述临时用户证书,确定所述客户端对所述第一数据中心的访问角色;所述第一数据中心根据所述访问角色,处理所述服务请求。3.根据权利要求1所述的方法,其特征在于,所述第二数据中心获取所述角色获取请求包括:第三数据中心接收所述客户端发送的分派角色请求;所述第三数据中心确定所述客户端的所述访问权限;所述第三数据中心发送所述角色获取请求至所述第二数据中心。4.根据权利要求3所述的方法,其特征在于,所述第三数据中心确定所述客户端的所述访问权限包括:所述第三数据中心通过访问控制服务在基于角色的访问控制数据库中查询所述客户端的所述访问权限。5.根据权利要求1所述的方法,其特征在于,所述第二数据中心根据所述访问权限和所述第一数据中心颁发的所述证书,生成所述临时用户证书包括:所述第二数据中心根据所述访问权限和所述第一数据中心颁发的所述证书,确定所述客户端对所述第一数据中心的所述访问角色;所述第二数据中心将所述访问角色记录至未签名临时用户证书;所述第二数据中心使用所述第二数据中心的私钥对所述未签名临时用户证书进行签名,生成所述临时用户证书。6.根据权利要求5所述的方法,其特征在于,所述第二数据中心发送所述临时用户证书至所述客户端包括:所述第二数据中心发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端。7.根据权利要求6所述的方法,其特征在于,在所述第二数据中心发送已签名的所述临时用户证书和所述第二数据中心的公钥至所述客户端的情况下,所述方法还包括:所述第一数据中心接收所述客户端发送的已签名的所述临时用户证书、所述第二数据中心的公钥和服务请求;所述第一数据中心采用所述公钥解密所述临时用户证书,并验证所述临时用户证书的签名信息是否为所述第二数据中心的签名;在验证结果为是的情况下,所述第一数据中心根据解密的所述临时用户证书,确定所述客户端...
【专利技术属性】
技术研发人员:童遥,彭亦辉,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。