一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法技术

本发明专利技术公开了一种开源云计算平台的管理员最小特权划分方法及访问控制方法。本方法为：1)对云计算平台进行集成测试，获取每个测试用例的RESTful API调用信息；2)根据最小特权原则对调用信息中的RESTful API进行依赖度分析；3)根据RESTful API之间的依赖值对RESTful API进行分组；4)根据RESTful API分组情况，生成访问控制策略；5)当管理员登录后进行RESTful API调用时，云计算平台根据该访问控制策略对该管理员的操作请求进行判定，确定是否允许该RESTful API调用。本发明专利技术对云计算平台管理员的权限细分和授权管理，增强了云计算平台的安全性。

An automated partitioning method and access control method for minimizing the administrator privileges of cloud computing platform

The invention discloses an administrator minimum privilege division method and access control method for an open source cloud computing platform. The method is as follows: 1) to the cloud computing platform for integration testing, RESTful API calls to obtain information for each test case; 2) of dependence analysis based on RESTful API the principle of least privilege of calling information; 3) according to the dependency between RESTful API values for RESTful in API group; 4) according to the RESTful API grouping, generation of access control strategy; 5) when the administrator login RESTful API call, cloud computing platform based on the access control strategy to the administrator of the operation request for the judge, to determine whether to allow the RESTful by API. The invention enhances the security of the cloud computing platform through the authority subdivision and authorization management of the cloud computing platform administrator.

【技术实现步骤摘要】
一种云计算平台管理员权限最小化的自动化划分方法及访问控制方法
本专利技术属于云计算安全领域，涉及一种权限划分方法，尤其涉及一种面向开源云计算平台的最小特权自动划分方法及访问控制方法。
技术介绍
近年来云计算作为一种新兴的计算资源服务，因其可靠性、易用性、按需付费、最大化资源利用等特点被企业和独立用户追捧，其安全问题已经延伸到各个领域，主要包括用户的数据安全、隐私泄露、黑客攻击以及内部攻击等方面。由于云计算平台的管理员具有庞大的权力，一个恶意的内部攻击者往往能够轻易地获取用户隐私数据，甚至破坏整个云平台的安全。而通过应用最小特权原则，可以有效地限制管理员的权限，将内部攻击带来的危害降到最低限度。目前，主流的开源云计算平台OpenStack，在使用的时候，对于如何进行合理、安全的内部管理没有考虑。当OpenStack云平台初始化时，平台仅有一个系统管理员，拥有平台的全部权限，云平台设计者期望使用者根据自身的需求进行权限策略配置。然而，云平台架构庞大复杂，API数量众多，对于小型的企业用户和独立用户而言，配置系统管理权限策略的工作面临很大的困难。因此，在云计算平台中进行管理员权限自动化划分本文档来自技高网...

【技术保护点】
一种云计算平台管理员权限最小化的自动化划分方法，其步骤为：1)对云计算平台进行集成测试，获取集成测试中每个测试用例的RESTful API调用信息；2)根据最小特权原则对各RESTful API调用信息中的RESTful API进行依赖程度分析，得到任意两RESTful API之间的依赖程度值；3)根据RESTful API之间的依赖程度值构造一依赖矩阵；4)遍历该依赖矩阵，根据设定的依赖程度阈值对RESTful API进行分组；5)根据RESTful API分组情况制定管理员权限划分策略，即每一组RESTful API对应一管理员，管理员对所分配的一组RESTful API具有操作权限。

【技术特征摘要】
1.一种云计算平台管理员权限最小化的自动化划分方法，其步骤为：1)对云计算平台进行集成测试，获取集成测试中每个测试用例的RESTfulAPI调用信息；2)根据最小特权原则对各RESTfulAPI调用信息中的RESTfulAPI进行依赖程度分析，得到任意两RESTfulAPI之间的依赖程度值；3)根据RESTfulAPI之间的依赖程度值构造一依赖矩阵；4)遍历该依赖矩阵，根据设定的依赖程度阈值对RESTfulAPI进行分组；5)根据RESTfulAPI分组情况制定管理员权限划分策略，即每一组RESTfulAPI对应一管理员，管理员对所分配的一组RESTfulAPI具有操作权限。2.如权利要求1所述的方法，其特征在于，步骤2)中，先对获取的RESTfulAPI调用信息进行去重，然后对各RESTfulAPI调用信息中的RESTfulAPI进行依赖程度分析。3.如权利要求2所述的方法，其特征在于，对获取的RESTfulAPI调用信息进行去重的方法为：将获取的各RESTfulAPI调用信息中的RESTfulAPI地址统一替换为同一字符串，得到各RESTfulAPI调用信息对应的抽象的RESTfulAPI调用信息；然后如果两RESTfulAPI调用信息具有相同的抽象的RESTfulAPI调用信息，则去除其中一个RESTfulAPI调用信息。4.如权利要求1所述的方法，其特征在于，所述最小特权原则包括三点原则：1)对于每一对RESTfulAPI，若是在同一个测试用例中被调用，该对RESTfulAPI之间的依赖程度高于不在同一测试用例中调用的RESTfulAPI；2)对于每一对RESTfulAPI，若其属于云计算的同一服务组件，则该对RESTfulAPI之间的依赖程度高于属于不同组件的RESTfulAPI；3)对于每一对RESTfulAPI，若操作的资源对象相同，则其依赖程度高于操作资源不同的RESTfulAPI。5.如权利要求1所述的方法，其特征在于，利用公式dij＝fij+gij+hij计算任意两RESTfulAPI之间的依赖程度值；其中，dij代表RESTfulAPIi和RESTfulAPIj之间的依赖程度值，fij是RESTfulAPIi和RESTfulAPIj在n个测试用例中同时被调用的次数，...

【专利技术属性】
技术研发人员：濮阳天，沈晴霓，罗杨，罗武，吴中海，
申请(专利权)人：北京大学，
类型：发明
国别省市：北京,11