云服务系统及其中管理用户权限的方法。云服务系统包括:用户登录服务器,响应于用户登录确定用户的一或多个角色;权限管理服务器,包括一或多个判断逻辑,其每个对应于一个指定角色、应用、操作和判断逻辑的应用访问规则,对于每个应用访问规则,所指定的判断逻辑能够根据预定条件确定充当所指定的角色的用户是否被允许在所指定的应用中执行所指定的操作;应用访问控制服务器,响应于角色的确定而确定指定有角色的一或多个应用访问规则,并且请求权限管理服务器执行应用访问规则所指定的判断逻辑;应用管理服务器,响应于判断逻辑的确定结果生成有关允许用户使用的应用及操作的信息;及应用前端服务器,根据信息向用户呈现相应应用及操作。
【技术实现步骤摘要】
本专利技术涉及用户权限管理,尤其涉及。
技术介绍
随着计算机以及网络技术的发展,云计算逐渐成为信息技术(IT)业界革命性的新技术。云计算改变的不仅仅是计算模式,同时也是商业模式上的改变。云计算技术通过网络以按需、易扩展的方式提供IT服务。这种服务的内容不仅仅包括软件即服务(SaaS), 也包括平台即服务(PaaS)与更底层的基础设施即服务(IaaS)。云计算通过服务的方式来提供计算与存储资源。提供这样的服务的系统也称为云服务系统。在云服务系统当中,针对不同的用户和不同的资源(具体表现为云应用),需要进行有效的权限控制,以保证各项资源能够限制在特定级别的用户那里。在云服务系统中,对云应用的访问控制决定了谁能够以何种方式访问某个应用,以及在对应用进行某项具体的操作时,决定了用户是否被授权进行该操作。已有的访问控制的方法主要有使用访问控制列表(ACL)和基于角色的访问控制 (RBAC)两种。
技术实现思路
在使用访问控制列表的方法中,针对需要限制权限的资源设置一个权限列表。这个权限列表称为ACL。图5a示出了访问控制列表的例子。如图5a所示,访问控制列表501 包含资源ID、用户ID和访问方式(即权限)三个字段,以指定那个用户被授权访问哪个资源,以及可以以何种方式访问该资源。比如,如果一条记录定义了对应于文件abc的资源 ID、对应于用户Tom的用户ID和对应于“删除”的访问方式,则表示用户Tom可以删除文件 abc。当需要判断某个用户是否有权限在某项资源上执行某项操作时,需要先查询该资源的ACL的相关项,然后再决定该用户是否可以继续操作。虽然ACL的方法表述直观,易于理解,并且被广泛应用在文件系统和路由系统中,但是将其应用在云服务的权限控制时,却有下面的明显缺点1)数据存储量过大,因为云服务系统中一般用户数量巨大,而且需要管理的数据也巨大,这会导致ACL过于庞大;2)因为需要针对每个数据资源和用户的组合来维护ACL,所以当云服务系统中用户和职能发生变化时,就需要对所有数据资源进行ACL的更新,而云服务系统中的数据资源通常数量庞大且复杂,这往往会导致权限管理系统维护困难;3)缺少对同一类型资源的统一权限管理。基于角色的权限管理中定义了各种角色。图5b示出了定义用户角色的表的例子。 如图5b所示,表502包含用户ID和角色两个字段。每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予了相应的角色。一旦某个用户成为某角色的成员,则此用户可以行使角色所具有的权利。角色和权限之间的关系,是可以预先定义的。图5b示出了定义角色的权限的表的例子。如图5b所示,表503包含角色和访问方式两个字段。具体到权限的定义,一般是对同样类型的一组数据资源的操作权限,比如创建、删除、更新某一类型数据资源的操作权限。显然,基于角色的访问控制更便于实施整个组织或单位的网络信息系统的安全策略。但是因为基于角色的权限管理的粒度在于对同一类型的数据资源统一进行权限访问限制,从而缺少足够的灵活性。例如,缺少对某个具体的数据的编辑的权限。本专利技术的目的在于提供一种,以至少部分地克服现有技术的上述缺陷。本专利技术的一个实施例是一种云服务系统,包括用户登录服务器,其响应于用户登录确定用户的一或多个角色;权限管理服务器,包括一或多个判断逻辑,每个所述判断逻辑对应于一个应用访问规则,所述应用访问规则中指定角色、应用、操作和所述判断逻辑,其中对于每个应用访问规则,所指定的判断逻辑能够根据预定条件确定充当所指定的角色的用户是否被允许在所指定的应用中执行所指定的操作;应用访问控制服务器,其响应于所述角色的确定而确定指定有所述角色的一或多个应用访问规则,并且请求所述权限管理服务器执行所述应用访问规则所指定的判断逻辑;应用管理服务器,其响应于所述判断逻辑的确定结果生成有关允许所述用户使用的应用及操作的信息;以及应用前端服务器,其根据所述信息向用户呈现相应应用及操作。在一个进一步的实施例中,可以基于表形化状态转变(REST)架构来实现应用访问控制服务器对权限管理服务器的判断逻辑的执行的请求。在一个进一步的实施例中,应用访问控制服务器可以包括应用访问规则的库。在一个进一步的实施例中,应用前端服务器可以通过控制按钮的呈现来表示相应操作的允许。在一个进一步的实施例中,应用前端服务器可以通过应用的呈现来表示查看操作的允许。本专利技术的一个实施例是一种云服务系统中管理用户权限的方法,包括响应于用户登录确定用户的一或多个角色;响应于所述角色的确定而确定指定有所述角色的一或多个应用访问规则,并且请求执行每个所述应用访问规则所指定的判断逻辑,其中所述应用访问规则中指定有所述角色、应用、操作和所述判断逻辑,并且对于每个应用访问规则,所指定的判断逻辑能够根据预定条件确定充当所指定的角色的用户是否被允许在所指定的应用中执行所指定的操作;响应于所述判断逻辑的确定结果生成有关允许所述用户使用的应用及操作的信息;以及根据所述信息向用户呈现相应应用及操作。在一个进一步的实施例中,可以基于REST架构来实现对判断逻辑的执行的请求。在一个进一步的实施例中,可以从包括应用访问规则的库中确定指定有所述角色的一或多个应用访问规则。在一个进一步的实施例中,呈现可以包括通过控制按钮的呈现来表示相应操作的允许。在一个进一步的实施例中,呈现可以包括通过应用的呈现来表示查看操作的允许。根据本专利技术的实施例,能够实现适用于云服务应用的基于灵活判断逻辑的权限控制。附图说明参照下面结合附图对本专利技术实施例的说明,会更加容易地理解本专利技术的以上和其它目的、特点和优点。在附图中,相同的或对应的技术特征或部件将采用相同或对应的附图标记来表示。在附图中不必依照比例绘制出单元的尺寸和相对位置。图1是示出根据本专利技术实施例的云服务系统的结构的框图。图2是示出根据本专利技术实施例的云服务系统中的权限管理信息的示例的示意图。图3a、3b和3c分别示出判断逻辑的示例的伪码。图4是示出根据本专利技术实施例的云服务系统中管理用户权限的方法的流程图。图5a示出了访问控制列表的例子,图5b示出了定义用户角色的表和定义角色的权限的表的例子。图6是示出其中实现本专利技术的计算机的示例性结构的框图。 具体实施例方式下面参照附图来说明本专利技术的实施例。应当注意,为了清楚的目的,附图和说明中省略了与本专利技术无关的、本领域普通技术人员已知的部件和处理的表示和描述。图1是示出根据本专利技术实施例的云服务系统100的结构的框图。如图1所示,云服务系统100包括用户登录服务器101、权限管理服务器103、应用访问控制服务器102、应用管理服务器104和应用前端服务器105。用户登录服务器101响应于用户登录确定用户的一或多个角色。图2是示出根据本专利技术实施例的云服务系统中的权限管理信息的示例的示意图。 图2中的表201包含用户ID字段和相应的认证信息字段,用于在用户登录时验证其是否合法用户。在用户登录成功后,用户登录服务器101根据表202的内容确定用户的角色。表 202包含用户ID字段和相应的角色字段,用于定义允许用户承担的角色。应用访问控制服务器102响应于角色的确定而确定指定有该角色的一或多个应用访问规则,并且请求权限管理服务器执行应用访问规则所指定的判断逻辑。每个判断逻辑对应于本文档来自技高网...
【技术保护点】
1.一种云服务系统,包括:用户登录服务器,其响应于用户登录确定用户的一或多个角色;权限管理服务器,包括一或多个判断逻辑,每个所述判断逻辑对应于一个应用访问规则,所述应用访问规则中指定角色、应用、操作和所述判断逻辑,其中对于每个应用访问规则,所指定的判断逻辑能够根据预定条件确定充当所指定的角色的用户是否被允许在所指定的应用中执行所指定的操作;应用访问控制服务器,其响应于所述角色的确定而确定指定有所述角色的一或多个应用访问规则,并且请求所述权限管理服务器执行所述应用访问规则所指定的判断逻辑;应用管理服务器,其响应于所述判断逻辑的确定结果生成有关允许所述用户使用的应用及操作的信息;以及应用前端服务器,其根据所述信息向用户呈现相应应用及操作。
【技术特征摘要】
1.一种云服务系统,包括用户登录服务器,其响应于用户登录确定用户的一或多个角色;权限管理服务器,包括一或多个判断逻辑,每个所述判断逻辑对应于一个应用访问规贝1J,所述应用访问规则中指定角色、应用、操作和所述判断逻辑,其中对于每个应用访问规贝U,所指定的判断逻辑能够根据预定条件确定充当所指定的角色的用户是否被允许在所指定的应用中执行所指定的操作;应用访问控制服务器,其响应于所述角色的确定而确定指定有所述角色的一或多个应用访问规则,并且请求所述权限管理服务器执行所述应用访问规则所指定的判断逻辑;应用管理服务器,其响应于所述判断逻辑的确定结果生成有关允许所述用户使用的应用及操作的信息;以及应用前端服务器,其根据所述信息向用户呈现相应应用及操作。2.如权利要求1所述的云服务系统,其中基于REST架构来实现应用访问控制服务器对权限管理服务器的判 断逻辑的执行的请求。3.如权利要求1或2所述的云服务系统,其中所述应用访问控制服务器包括应用访问规则的库。4.如权利要求1或2所述的云服务系统,其中所述应用前端服务器通过控制按钮的呈现来表示相应操作的允许。...
【专利技术属性】
技术研发人员:张军,苏亮,李邵明,孟遥,于浩,
申请(专利权)人:富士通株式会社,
类型:发明
国别省市:JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。