本发明专利技术的实施例提供一种多级数据中心的访问方法及多级数据中心,涉及通信领域,解决了现有的由于安全域划分不合理与角色映射规则不科学而导致的访问控制不安全不合理问题。具体方案为:接入数据中心节点获取用于请求访问目标数据中心节点的访问请求,根据该访问请求确定接入数据中心节点与目标数据中心节点间互联关系,根据该互联关系构建接入数据中心节点到目标数据中心节点的信任链路,目标数据中心节点从信任链路中选择最优信任链路,并获取最优信任链路中接入数据中心节点对目标数据中心节点的信任度wij,最后根据该wij以及用户对接入数据中心节点的初始信任度wi,确定出用户对目标数据中心节点的信任度wj,并根据信任度wj确定用户的访问权限。
【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及一种多级数据中心的访问方法及多级数据中心。
技术介绍
近年来,在SDN(SoftwareDefinedNetwork,软件定义网络)/NFV(NetworkFunctionVirtualization,网络功能虚拟化)技术的推动下,两级甚至多级数据中心架构已成为未来数据中心发展的技术趋势。所谓多级数据中心,即通过IDC(InternetDataCenter,互联网数据中心)网络互联将数据中心按规模和功能进行多层次、分布式建设部署,自上而下对数据中心的负载进行分流。其中,传统的数据中心访问控制需要对用户接入请求进行逐级认证,包括用户身份认证、资源设备认证以及接入网络认证,待认证成功后按照权限访问资源和网络。但是,在现有的多级数据中心架构下,数据中心之间以及不同层次的数据中心之间的交互越发频繁。为了减少繁琐的层层认证流程,多级数据中心通常采用基于角色的访问控制方法:即将分散的数据中心按照安全域进行划分,每个安全域内的所有数据中心要么在物理上有紧密的联系(物理上位置相对较近的数据中心,例如,北京、天津、廊坊的数据中心在一个安全域内,而成都、贵州、西安的数据在一个安全域内),要么具有类似的业务性质。而用户身份在每个安全域内对应一个角色,每个角色又对应不同的权限,不同安全域间的角色通过预定映射规则进行映射,从而保证每个用户在每个域内都有唯一对应的角色,用户只用完成一次登录认证即可按照其所属角色进行资源和网络的访问。但是,上述的这种基于角色的访问控制方法虽然在理论上做到了单点接入,但是在实际使用中却面临诸多问题,可行性不高,具体的:1)由于现有的实际中的数据中心的地理位置是分散的并且业务都是多元性的,从而使得安全域无法做到合理公平的划分。2)由于现有技术中两个安全域间的映射规则是双方协商制定的,例如,安全域A中的数据中心a和b和安全域B中的数据中心c和d,用户在a,b中属于同一个角色,在c,d中也属于同一个角色,当a中的用户访问b时则直接按照对应的角色权限进行访问,若a中的用户访问c或者d时,则需要按照域A到域B约定的映射规则进行角色转换来获取权限分配。但是,安全域A中包含的若干数据中心彼此间存在差异,访问请求也是点对点的,因此,若按照安全域间的映射规则进行角色映射的,这种共性代替个性的做法对映射的准确性提出了挑战。
技术实现思路
本专利技术的实施例提供一种多级数据中心的访问方法及多级数据中心,解决了现有技术安全域划分不合理与角色映射规则不科学从而导致的访问控制不安全不合理的问题。达到上述目的,本专利技术的实施例采用如下技术方案:第一方面,提供一种多级数据中心,包括:接入数据中心节点,用于获取用于请求访问目标数据中心节点的访问请求,根据所述访问请求确定所述接入数据中心节点与所述目标数据中心节点间的互联关系,根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路;所述目标数据中心节点,用于从所述信任链路中选择最优信任链路,并获取所述最优信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wij,根据所述信任度wij以及用户对所述接入数据中心节点的初始信任度wi,确定出用户对所述目标数据中心节点的信任度wj,并根据所述信任度wj确定用户的访问权限。可选的,所述接入数据中心节点在根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路时具体用于:当所述接入数据中心节点与所述目标数据中心间存在互联关系时,将所述用户对所述接入数据中心节点的初始信任度wi转发给所述目标数据中心节点。可选的所述接入数据中心节点根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路的过程具体包括如下内容:所述接入数据中心节点,用于在所述接入数据中心节点与所述目标数据中心间不存在互联关系时,将所述用户对所述接入数据中心节点的初始信任度wi以及所述访问请求广播给与所述接入数据中心节点互联的互联数据中心节点;所述互联数据中心节点,用于向下一级数据中心节点广播链路信息,直到所述链路信息到达所述目标数据中心节点,所述链路信息包括:所述wi、所述访问请求以及所述互联数据中心节点与上一级数据中心节点间的直接信任度wa。可选的,所述目标数据中心节点在从所述信任链路中选择最优信任链路,并获取所述最优信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wij时具体用于:计算每条信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wij,并将信任度wij最高的信任链路作为最优信任链路。可选的,当所述接入数据中心节点为用户需要访问的目标数据中心节点时,所述接入数据中心节点,还用于根据用户对所述接入数据中心节点的初始信任度wi确定用户的访问权限。第二方面,提供一种多级数据中心的访问方法,应用于多级数据中心,所述多级数据中心包括至少两个数据中心节点,所述方法包括:接入数据中心节点获取用于请求访问目标数据中心节点的访问请求,根据所述访问请求确定所述接入数据中心节点与所述目标数据中心节点间的互联关系,根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路;所述目标数据中心节点从所述信任链路中选择最优信任链路,并获取所述最优信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wij,根据所述信任度wij以及用户对所述接入数据中心节点的初始信任度wi,确定出用户对所述目标数据中心节点的信任度wj,并根据所述信任度wj确定用户的访问权限。可选的,所述接入数据中心节点根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路具体包括:当所述接入数据中心节点与所述目标数据中心间存在互联关系时,将所述用户对所述接入数据中心节点的初始信任度wi转发给所述目标数据中心节点。进一步可选的,所述接入数据中心节点根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路的过程具体包括如下步骤:所述接入数据中心节点在所述接入数据中心节点与所述目标数据中心间不存在互联关系时,将所述用户对所述接入数据中心节点的初始信任度wi以及所述访问请求广播给与所述接入数据中心节点互联的互联数据中心节点;所述互联数据中心节点向下一级数据中心节点广播链路信息,直到所述链路信息到达所述目标数据中心节点,所述链路信息包括:所述wi、所述访问请求以及所述互联数据中心节点与上一级数据中心节点间的直接信任度wa。可选的,所述目标数据中心节点从所述信任链路中选择最优信任链路,并获取所述最优信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wij时具体包括:计算每条信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wij,并将信任度wij最高的信任链路作为最优信任链路。可选的,当所述接入数据中心节点为用户需要访问的目标数据中心节点时,所述方法还包括:所述接入数据中心节点根据用户对所述接入数据中心节点的初始信任度wi确定用户的访问权限。本专利技术实施例提供的多级数据中心的访问方法及多级数据中心,通过接入数据中心节点获取用于请求访问目标数据中心节点的访问请求,并根据该访问请求确定接入数据中心节点与目标数据中心节点间的互联关系,根据该互联关系构建接入本文档来自技高网...
【技术保护点】
一种多级数据中心,其特征在于,包括:接入数据中心节点,用于获取用于请求访问目标数据中心节点的访问请求,根据所述访问请求确定所述接入数据中心节点与所述目标数据中心节点间的互联关系,根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路;所述目标数据中心节点,用于从所述信任链路中选择最优信任链路,并获取所述最优信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wii,根据所述信任度wij以及用户对所述接入数据中心节点的初始信任度wi,确定出用户对所述目标数据中心节点的信任度wi,并根据所述信任度wi确定用户的访问权限。
【技术特征摘要】
1.一种多级数据中心,其特征在于,包括:接入数据中心节点,用于获取用于请求访问目标数据中心节点的访问请求,根据所述访问请求确定所述接入数据中心节点与所述目标数据中心节点间的互联关系,根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路;所述目标数据中心节点,用于从所述信任链路中选择最优信任链路,并获取所述最优信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wii,根据所述信任度wij以及用户对所述接入数据中心节点的初始信任度wi,确定出用户对所述目标数据中心节点的信任度wi,并根据所述信任度wi确定用户的访问权限。2.根据权利要求1所述的多级数据中心,其特征在于,所述接入数据中心节点在根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路时具体用于:当所述接入数据中心节点与所述目标数据中心间存在互联关系时,将所述用户对所述接入数据中心节点的初始信任度wi转发给所述目标数据中心节点。3.根据权利要求1所述的多级数据中心,其特征在于,所述接入数据中心节点根据所述互联关系构建所述接入数据中心节点与所述目标数据中心节点间的信任链路的过程具体包括如下内容:所述接入数据中心节点,用于在所述接入数据中心节点与所述目标数据中心间不存在互联关系时,将所述用户对所述接入数据中心节点的初始信任度wi以及所述访问请求广播给与所述接入数据中心节点互联的互联数据中心节点;所述互联数据中心节点,用于向下一级数据中心节点广播链路信息,直到所述链路信息到达所述目标数据中心节点,所述链路信息包括:所述wi、所述访问请求以及所述互联数据中心节点与上一级数据中心节点间的直接信任度wa。4.根据权利要求1所述的多级数据中心,其特征在于,所述目标数据中心节点在从所述信任链路中选择最优信任链路,并获取所述最优信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wij时具体用于:计算每条信任链路中所述接入数据中心节点对所述目标数据中心节点的信任度wij,并将信任度wij最高的信任链路作为最优信任链路。5.根据权利要求1所述的多级数据中心,其特征在于,当所述接入数据中心节点为用户需要访问的目标数据中心节点时,所述接入数据中心节点,还用于根据用户对所述接入数据中心节点的初始信任度wij确定用户的访问权限。6.一种多级...
【专利技术属性】
技术研发人员:汤雅妃,王志军,张尼,刘镝,王笑帝,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。