本发明专利技术公开了一种基于属性和图的云资源访问控制方法,涉及计算机技术领域。该基于属性和图的云资源访问控制方法,包括如下步骤:S1、创建用户属性:管理员向用户的属性配置表添加新的用户属性记录。该基于属性和图的云资源访问控制方法,把用户请求,计算资源,数据资源的权限均采用属性组合的形式进行描述,大大提高了访问控制的灵活性和可扩展性,同时通过图的遍历进行权限验证,避免了逻辑运算,能够减少计算量,另外通过控制图的一次生成多次利用的方法,在多次同一云应用请求时,实际上只进行了一次控制图生成和组合,大大减少了重复计算,可以很好的适应云计算环境下海量用户和海量资源的访问控制需求,从而增加了系统的安全性。
【技术实现步骤摘要】
一种基于属性和图的云资源访问控制方法
本专利技术涉及计算机
,具体为一种基于属性和图的云资源访问控制方法。
技术介绍
云计算是一种全新的服务模态,可以提供对可配置共享计算资源的按需网络访问。其本质是将云资源提供商所拥有的软硬件资源虚拟化为资源云,然后由云基础服务提供者布置在云端,为云资源请求者提供弹性可伸缩、按需付费使用的一种新型服务模态。大量的事故使得云环境的安全受到质疑。因此,全面的分析并解决当前云计算环境所面临的各种安全问题已经成了云计算大规模推广和普及的前提。保障用户数据的机密性、完整性和可用性是云计算安全问题的核心。因此对数据资源的访问控制也成为了云安全中的核心。访问控制通过将适当的权限授予适当的主体,使主体对资源进行合法的访问。目前大部分云平台服务提供商都以基于角色的访问控制方法对云中资源进行访问控制。虽然能够实现对数据的基本访问控制,但角色是静态的,用户一旦获取角色便拥有了对资源的操作权限,难以适应云计算环境的动态性;而基于属性的访问控制,虽然具有一定的动态性,但是由于基于控制树匹配搜索的权限验证,需要处理多棵控制树,具有计算量大和重复计算问题,访问控制效率低,不适合云计算环境下海量用户和海量资源的安全控制需求。
技术实现思路
(一)解决的技术问题针对现有技术的不足,本专利技术提供了一种基于属性和图的云资源访问控制方法,解决了基于角色的访问控制方法对数据的基本访问控制中,由于角色是静态的,难以适应云计算环境的动态性;以及基于控制树匹配搜索的计算量大和重复计算,访问控制效率低的问题。(二)技术方案为实现以上目的,本专利技术通过以下技术方案予以实现:一种基于属性和图的云资源访问控制方法,其特征在于:包括如下步骤:S1、创建用户属性:管理员向用户的属性配置表添加新的用户属性记录。S2、创建云资源访问控制树:管理员为各种云资源,包括云服务和数据资源,根据需求对属性进行AND和OR组合,创建相应的云资源访问控制树。S3、根据云资源访问控制树,生成云资源访问控制图;根据云应用的运行资源配置文件,生成云应用访问控制图;对生成的各种控制图进行管理。S31、根据云资源访问控制树构造云资源访问控制图,其具体操作如下:首先,根据编号对云资源访问控制树中的属性进行排序,例如A0<A1<A2<A3<…,约定编号小的属性在控制图中的位置位于编号大的属性之上,所以A0属性是控制图的根节点。然后,根据云资源访问控制树,自底向上一步步构造云资源访问控制图。S32、根据云应用的运行资源配置文件,生成云应用访问控制图,其具体操作如下:首先,分析云应用的运行资源配置文件,根据该文件获得云服务清单和数据资源清单。所述的云服务清单是云平台为了完成云应用请求,需要按照一定的顺序调用的一个或多个云服务;所述的数据资源清单是云平台为了完成云应用请求,需要访问的数据资源。然后,为了验证用户的云应用请求的权限,需要确认用户对所有的云服务和数据资源都有访问权限;所以,需要将每个云服务和数据资源对应的控制图进行AND组合,用来验证用户对该云应用运行所需的所有云服务和数据资源都有权限。S33、对生成的各种控制图进行管理,其具体操作如下:生成的各种控制图,需要保存起来,这样后面对相同的云资源再进行访问控制时,不需要重新生成控制图。由于控制图是图数据,所以需要采用图数据库管理系统进行保存,如Neo4j图数据库软件。每次用户进行云应用请求时,需要验证用户的云应用请求的权限,此时并不直接生成控制图和AND组合,而是先从图数据库中进行查询,如果该云应用请求所涉及到的某些云服务和数据资源对应的控制图已经生成了就直接获取控制图,只有当对应的控制图查询不到,才进行生成和AND组合。S4、基于访问控制图进行访问控制:从用户提交的云应用请求中提取云资源信息和属性信息,然后通过遍历云应用访问控制图的方法进行权限验证。优选的,在步骤S2中,云服务是组成云应用的计算单位,即完成一个云应用请求,云平台会根据该云应用,按照一定的顺序执行一个或多个云服务;数据资源为:云服务在执行过程中会访问的数据资源,数据资源组织方式的具体情况如下:数据仓库:存储云计算平台的所有数据资源;通常数据仓库里面包含多个数据库。数据库:一个数据库存储某个云应用的所有数据;通常数据库里面包含多个数据表。数据表:一个数据表存储某个云应用中某个实体的所有属性数据;通常数据表里面包含多个数据字段。数据字段:每个数据字段存储某个实体的某个属性数据。优选的,在步骤S2中,创建云资源访问控制树的过程中,管理员根据需求对属性进行AND和OR组合,为每个云服务、数据仓库、数据库、数据表以及数据字段创建相应的云资源访问控制树。(三)有益效果本专利技术提供了一种基于属性和图的云资源访问控制方法。具备以下有益效果:该基于属性和图的云资源访问控制方法,把用户请求,计算资源,数据资源的权限均采用属性组合的形式进行描述,大大提高了访问控制的灵活性和可扩展性,同时利用控制图提升权限验证的效率。传统的方法是直接采用访问控制树进行权限验证,由于访问控制树中包含AND和OR的逻辑操作,在验证过程中需要进行逻辑计算,并且每棵访问控制树的验证过程是独立的,计算量大,通过生成控制图,并把控制图进行AND组合,由于控制图是采用图的方式存储,也就是图中存在节点共享的,能够减少计算量;同时通过图的遍历进行权限验证,避免了逻辑运算,能够减少计算量,另外通过控制图的一次生成多次利用的方法,在多次同一云应用请求时,实际上只进行了一次控制图生成和组合,大大减少了重复计算,可以很好的适应云计算环境下海量用户和海量资源的访问控制需求,从而增加了系统的安全性。附图说明图1为本专利技术具体实施方式中例举的访问控制树的示意图;图2为本专利技术具体实施方式中例举的控制图的示意图;图3为本专利技术图1中控制树最底层的结构示意图;图4为本专利技术图3中控制树所生成的控制图的结构示意图;图5为本专利技术图3中控制树上层的控制树的结构示意图;图6为本专利技术图5中控制树所生成的控制图的结构示意图;图7为本专利技术图1中控制树所生成的控制图的结构示意图;图8为本专利技术多个控制图进行与AND组合的操作示意图;图9为图8中L控制图和R控制图与AND组合后得到的控制图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。请参阅图1-9,本专利技术提供一种技术方案:一种基于属性和图的云资源访问控制方法,包括如下步骤:S1、创建用户属性:管理员向用户的属性配置表添加新的用户属性记录,例如对于本文档来自技高网...
【技术保护点】
1.一种基于属性和图的云资源访问控制方法,其特征在于:包括如下步骤:/nS1、创建用户属性:管理员向用户的属性配置表添加新的用户属性记录。/nS2、创建云资源访问控制树:管理员为各种云资源,包括云服务和数据资源,根据需求对属性进行AND和OR组合,创建相应的云资源访问控制树。/nS3、根据云资源访问控制树,生成云资源访问控制图;根据云应用的运行资源配置文件,生成云应用访问控制图;对生成的各种控制图进行管理。/nS31、根据云资源访问控制树构造云资源访问控制图,其具体操作如下:/n首先,根据编号对云资源访问控制树中的属性进行排序,例如A0<A1<A2<A3<…,约定编号小的属性在控制图中的位置位于编号大的属性之上,所以A0属性是控制图的根节点;/n然后,根据云资源访问控制树,自底向上一步步构造云资源访问控制图。/nS32、根据云应用的运行资源配置文件,生成云应用访问控制图,其具体操作如下:/n首先,分析云应用的运行资源配置文件,根据该文件获得云服务清单和数据资源清单。所述的云服务清单是云平台为了完成云应用请求,需要按照一定的顺序调用的一个或多个云服务;所述的数据资源清单是云平台为了完成云应用请求,需要访问的数据资源。/n然后,为了验证用户的云应用请求的权限,需要确认用户对所有的云服务和数据资源都有访问权限;所以,需要将每个云服务和数据资源对应的控制图进行AND组合,用来验证用户对该云应用运行所需的所有云服务和数据资源都有权限。/nS33、对生成的各种控制图进行管理,其具体操作如下:/n生成的各种控制图,需要保存起来,这样后面对相同的云资源再进行访问控制时,不需要重新生成控制图。由于控制图是图数据,所以需要采用图数据库管理系统进行保存,如Neo4j图数据库软件。/n每次用户进行云应用请求时,需要验证用户的云应用请求的权限,此时并不直接生成控制图和AND组合,而是先从图数据库中进行查询,如果该云应用请求所涉及到的某些云服务和数据资源对应的控制图已经生成了就直接获取控制图,只有当对应的控制图查询不到,才进行生成和AND组合。/nS4、基于访问控制图进行访问控制:从用户提交的云应用请求中提取云资源信息和属性信息,然后通过遍历云应用访问控制图的方法进行权限验证。/n...
【技术特征摘要】
1.一种基于属性和图的云资源访问控制方法,其特征在于:包括如下步骤:
S1、创建用户属性:管理员向用户的属性配置表添加新的用户属性记录。
S2、创建云资源访问控制树:管理员为各种云资源,包括云服务和数据资源,根据需求对属性进行AND和OR组合,创建相应的云资源访问控制树。
S3、根据云资源访问控制树,生成云资源访问控制图;根据云应用的运行资源配置文件,生成云应用访问控制图;对生成的各种控制图进行管理。
S31、根据云资源访问控制树构造云资源访问控制图,其具体操作如下:
首先,根据编号对云资源访问控制树中的属性进行排序,例如A0<A1<A2<A3<…,约定编号小的属性在控制图中的位置位于编号大的属性之上,所以A0属性是控制图的根节点;
然后,根据云资源访问控制树,自底向上一步步构造云资源访问控制图。
S32、根据云应用的运行资源配置文件,生成云应用访问控制图,其具体操作如下:
首先,分析云应用的运行资源配置文件,根据该文件获得云服务清单和数据资源清单。所述的云服务清单是云平台为了完成云应用请求,需要按照一定的顺序调用的一个或多个云服务;所述的数据资源清单是云平台为了完成云应用请求,需要访问的数据资源。
然后,为了验证用户的云应用请求的权限,需要确认用户对所有的云服务和数据资源都有访问权限;所以,需要将每个云服务和数据资源对应的控制图进行AND组合,用来验证用户对该云应用运行所需的所有云服务和数据资源都有权限。
S33、对生成的各种控制图进行管理,其具体操作如下:
生成的各种控制图,需要保存起来,这样后面对相同的...
【专利技术属性】
技术研发人员:莫毓昌,
申请(专利权)人:莫毓昌,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。