一种数据中心综合管理系统的安全管理方法技术方案

本发明专利技术提供一种数据中心综合管理系统的安全管理方法，属于数据中心安全管理技术领域，该方法通过定义基于组的用户层状管理，定义基于组角色和子角色的权限管理，定义基于组的资源管理，以及定义全局标识与认证机制实现方法，定义配置信息的备份和恢复实现方法，定义日志记录和审计实现方法，定义密码管理方法，构建了数据中心综合管理系统的安全架构，加强了管理的安全防护以及上层用户访问、用户数据和业务逻辑的安全性和可靠性，尤其是在涉及物理资源与虚拟资源同时需要监控的场景，将数据中心综合管理系统搭建在这种架构上，很好地解决了原来安全管理模块单一和管理不统一的问题。

【技术实现步骤摘要】
一种数据中心综合管理系统的安全管理方法
本专利技术涉及数据中心安全管理
，具体地说是一种数据中心综合管理系统的安全管理方法。
技术介绍
模块化数据中心(ModuleDataCenter，MDC)是基于云计算的新一代数据中心部署形式，为了应对云计算、虚拟化、集中化、高密化等服务器发展的趋势，其采用模块化设计理念，最大程度的降低基础设施对机房环境的耦合，集成了供配电、制冷、机柜、气流遏制、综合布线、动环监控等子系统，提高数据中心的整体运营效率，实现快速部署、弹性扩展和绿色节能。随着大数据信息行业的飞速发展，数据中心的发展也进入到一个新的阶段。管理系统是数据中心内部配置的重要组成部分。传统的管理系统主要已动环监控为主，具备多种数据接口，可接入UPS、配电柜、精密空调、门禁、温湿度传感器、烟雾探测器、温感探测器、漏水传感器、翻转天窗及网络摄像机等多种监控对象。当前，随着云计算、大数据和互联网的快速发展，信息化的基础设施发生了根本转变，监控管理的需求从一些单独的系统要求转化为整体平台化、统一平台、统一管理的系统要求。各项应用服务器不再是单独的计算模块，而是通过云计算、大数据等平台将计算、存储资源统一起来，跨越数据中心范围形成规模庞大、统一监控与管理的资源池，因此需要能够监控大规模、分布式、跨地域的虚拟资源与物理资源的统一监控系统。在云计算环境下，数据中心综合管理系统中的资源管理负责对物理设备和虚拟化设备资源进行统一的管理和调度，形成统一的资源池，实现服务的可管、可控，其核心是对每个基础资源单位的生命周期管理和对资源的管理调度。资源的生命周期管理就是对资源的生成、分配、扩展、迁移、回收的全流程管理，其关键技术包括虚拟机的自动化部署、虚拟机弹性能力提供、资源状态监控、度量和资源回收等。资源的管理调度能力则指实现对资源的全局性管理，包括模板管理、接口管理、调度管理、资源使用量的度量等。虚拟化技术主要实现了对底层物理资源的抽象，使其成为一个可以被灵活生成、调度、管理的基础资源单位。而要将这些资源进行有效的整合，形成一个可统一管理、灵活分配、调度、动态迁移、计费度量的基础服务设施资源池，并按需向用户提供自动化的基础设施服务，需要构建一个层的数据中心综合管理系统。作为云计算环境下的数据中心综合管理系统的核心组件，数据中心综合管理系统的安全可靠至关重要，因为数据中心综合管理系统是配置和管理物理主机资源以及虚拟机资源的首要途径，可称为用户的虚拟化资源管理门户。为此，数据中心综合管理系统提供用户、组、角色、权限相结合的访问控制机制，多因子身份认证机制，配置信息备份恢复机制，审计等安全功能模块。目前，通常通过web页面登录、用户名及密码加密等安全管理措施实现数据中心综合管理系统的安全管理，这些管理措施主要注重登录时的安全管理，在业务层面并没有过多的涉及。另，这些管理措施一般不涉及安全管理的备份与恢复，而是关注了用户业务数据的备份与恢复。
技术实现思路
本专利技术的技术任务是解决现有技术的不足，针对数据中心综合管理系统安全上缺乏整体安全架构、服务上缺乏管理的安全防护、上层用户访问、用户数据和业务逻辑的安全性和可靠性也无从谈起的问题，提供一种数据中心综合管理系统的安全管理方法。本专利技术的技术方案是按以下方式实现的：一种数据中心综合管理系统的安全管理方法，该方法通过定义基于组的用户层状管理，定义基于组角色和子角色的权限管理，定义基于组的资源管理，以及定义全局标识与认证机制实现方法，定义配置信息的备份和恢复实现方法，定义日志记录和审计实现方法，定义密码管理方法，构建了数据中心综合管理系统的安全架构，加强了管理的安全防护以及上层用户访问、用户数据和业务逻辑的安全性和可靠性。所涉及安全管理方法定义基于组的用户层状管理的具体操作为：定义层状用户，其作为数据中心综合管理系统的真实用户，工作人员通常是按照部门来管理的，并且具备上下级关系，将这种用户层级关系在数据中心综合管理系统中体现；定义组角色用户，即组管理员，能够在本组及其子孙组中添加或删除新用户，编辑用户相关配置信息；定义子角色用户，即组角色的辅助角色，在用户组内部使用，体现用户权限在用户组内部的细化与隔离；定义内置用户组，使数据中心综合管理系统拥有五个内置用户组，分别为超级用户组、系统管理组、安全管理组、审计管理组和普通用户组，其中超级用户组是其余四个用户组的父组，超级用户组没有父组；内置用户组不能够被删除，其相关信息和配置也不能被修改；用户管理的主要操作对象是User类实例对象，User类用成员变量来对一个用户进行描述和限定，通过不同的成员变量就可以唯一标识该用户。所涉及安全管理方法定义基于组角色和子角色的权限管理时，采用基于角色的访问控制机制，通过引入角色权限映射、用户角色映射机制，将用户与权限的直接绑定分离，在细化权限管理粒度的同时，最大限度保持权限管理的灵活性。所涉及安全管理方法定义基于组角色和子角色的权限管理的具体内容包括：1)每个用户组有且仅有一个组角色；2)组角色在用户组被创建时同步创建，其拥有的权限继承自父组组角色的权限，且最大不超过父组组角色的权限，组角色在用户组被删除时同步删除；3)除admin_u外，每个组角色有且仅有一个父角色，即所属用户组父组的组角色，与用户组类似，已创建的组角色的父角色不能被更改；4)数据中心综合管理系统拥有五个内置组角色，分别为admin_u、sysadmin_u、auditadmin_u、guest_u，对应数据中心综合管理系统的五个内置用户组的组角色，其中admin_u是另外四个内置组角色的父角色，内置组角色的相关信息和权限不能被更改。所涉及子角色是组角色的辅助角色，在用户组内部使用，用于用户权限在用户组内部的细化与隔离，子角色、组角色、用户组三者的关系为：：1)具备组角色的用户能够在本组及其子孙组中添加或删除新子角色，每个子角色有且仅有一个父角色，即其所属组的组角色；2)子角色的权限继承自父角色，且最大不超过父角色的权限，组角色能够调整本组及其子孙组内的子角色的权限；3)如果空用户组被删除，则属于该用户组内的全部子角色被同步删除；4)如果非空用户组内子角色被删除，那么拥有该子角色的用户的角色将被提升该用户组的组角色；5)子角色只能在用户组内使用，其权限不能被继承，也不能成为任何角色组角色或者子角色的父角色。在定义基于组的资源管理时，通过资源分组来实现对资源的共享和隔离，并结合角色权限来控制资源的受限访问，具体内容包括如下：1)拥有“主机池管理”或者“映像池管理”权限的用户，在添加新主机或者新映像时，可以将主机或映像分配到特定用户组，并能够更改已添加主机或者映像的用户组；2)拥有“主机池管理”或者“映像池管理”权限的用户可以管理系统内的全部主机或者映像，而与该用户所属用户组无关；3)主机或者映像资源可以被分配到两类属组，一类是“公共资源”组，一类是系统内的特定用户组，“公共资源”组的资源可被系统内的全体用户使用，而属于特定用户组的资源只能被该用户组及其子孙组内的用户使用；4)主机资源可以属于“公共资源”组，也可以被同时分配到多个用户组，映像资源可以属于“公共资源”组，也可以被分配到某特定用户组；5)在创建虚拟机时，虚拟机只能使用该所属用本文档来自技高网...

【技术保护点】
一种数据中心综合管理系统的安全管理方法，其特征在于，该方法通过定义基于组的用户层状管理，定义基于组角色和子角色的权限管理，定义基于组的资源管理，以及定义全局标识与认证机制实现方法，定义配置信息的备份和恢复实现方法，定义日志记录和审计实现方法，定义密码管理方法，构建了数据中心综合管理系统的安全架构，加强了管理的安全防护以及上层用户访问、用户数据和业务逻辑的安全性和可靠性。

【技术特征摘要】
1.一种数据中心综合管理系统的安全管理方法，其特征在于，该方法通过定义基于组的用户层状管理，定义基于组角色和子角色的权限管理，定义基于组的资源管理，以及定义全局标识与认证机制实现方法，定义配置信息的备份和恢复实现方法，定义日志记录和审计实现方法，定义密码管理方法，构建了数据中心综合管理系统的安全架构，加强了管理的安全防护以及上层用户访问、用户数据和业务逻辑的安全性和可靠性。2.根据权利要求1所述的一种数据中心综合管理系统的安全管理方法，其特征在于，所述安全管理方法定义基于组的用户层状管理的具体操作为：定义层状用户，其作为数据中心综合管理系统的真实用户，工作人员通常是按照部门来管理的，并且具备上下级关系，将这种用户层级关系在数据中心综合管理系统中体现；定义组角色用户，即组管理员，能够在本组及其子孙组中添加或删除新用户，编辑用户相关配置信息；定义子角色用户，即组角色的辅助角色，在用户组内部使用，体现用户权限在用户组内部的细化与隔离；定义内置用户组，使数据中心综合管理系统拥有五个内置用户组，分别为超级用户组、系统管理组、安全管理组、审计管理组和普通用户组，其中超级用户组是其余四个用户组的父组，超级用户组没有父组；内置用户组不能够被删除，其相关信息和配置也不能被修改；用户管理的主要操作对象是User类实例对象，User类用成员变量来对一个用户进行描述和限定，通过不同的成员变量就可以唯一标识该用户。3.根据权利要求1或2所述的一种数据中心综合管理系统的安全管理方法，其特征在于，所述安全管理方法定义基于组角色和子角色的权限管理时，采用基于角色的访问控制机制，通过引入角色权限映射、用户角色映射机制，将用户与权限的直接绑定分离，在细化权限管理粒度的同时，最大限度保持权限管理的灵活性。4.根据权利要求2所述的一种数据中心综合管理系统的安全管理方法，其特征在于，所述安全管理方法定义基于组角色和子角色的权限管理的具体内容包括：1）每个用户组有且仅有一个组角色；2）组角色在用户组被创建时同步创建，其拥有的权限继承自父组组角色的权限，且最大不超过父组组角色的权限，组角色在用户组被删除时同步删除；3）除admin_u外，每个组角色有且仅有一个父角色，即所属用户组父组的组角色，与用户组类似，已创建的组角色的父角色不能被更改；4）数据中心综合管理系统拥有五个内置组角色，分别为admin_u、sysadmin_u、auditadmin_u、guest_u，对应数据中心综合管理系统的五个内置用户组的组角色，其中admin_u是另外四个内置组角色的父角色，内置组角色的相关信息和权限不能被更改。5.根据权利要求4所述的一种数据中心综合管理系统的安全管理方法，其特征在于，子角色是组角色的辅助角色，在用户组内部使用，用于用户权限在用户组内部的细化与隔离，子角色、组角色、用户组三者的关系为：：1）具备组角色的用户能够在本组及其子孙组中添加或删除新子角色，每个子角色有且仅有一个父角色，即其所属组的组角色；2）子角色的权限继承自父角色，且最大不超过父角色的权限，组角色能够调整本组及其子孙组内的子角色的权限；3）如果空用户组被删除，则属于该用户组内的全部子角色被同步删除；4）如果非空用户组内子角色被删除，那么拥有该子角色的用户的角色将被提升该用户组的组角色；5）子角色只能在用户组内使用，其权限不能被继承，也不能成为任何角色组角色或者子角色的父角色。6.根据权利要求1或2或4或5所述的一种数据中心综合管...

【专利技术属性】
技术研发人员：李俊山，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41