本发明专利技术公开了一种云平台中用户访问权限的控制方法。所述方法包括:S1、系统管理员或超级用户为每个用户分配其对对象i的用户权限,对象i的拥有者为每个用户分配其对对象i的对象访问权限;S2、当用户j向云平台服务器请求对对象i进行某项操作时,服务器判断用户j是否具有对对象i进行该项操作的用户权限,若是,则进入步骤S3,否则拒绝用户j的操作请求;S3、服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。本发明专利技术提出的技术方案能够在云平台中实现不同用户对对象的访问控制分离;同时能够利用VPN进一步实现对普通用户的保密信息的双重保护。
【技术实现步骤摘要】
云平台中用户访问权限的控制方法
本专利技术涉及云计算
,特别涉及一种云平台中用户访问权限的控制方法。
技术介绍
云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算借助于虚拟化技术,能够将分布在不同地区的计算资源进行整合,实现基础设施资源的共享。同时,用户可借助不同的终端设备,通过标准的应用实现对网络资源的访问,使对网络资源的访问无处不在。在云计算及云平台为用户提供极大便利的同时,与之伴随的信息安全与隐私保护问题也一直是业界关注和解决的重点。其中,用户访问权限的控制与管理尤为重要。所有的云服务及每个云服务的管理界面都需要身份管理、认证、授权和审计的机制。目前,用户授权的流程一般是:系统管理员新建一个组织机构或组,在组下创建用户,如果用户参与多个组工作就做用户参与组管理;由系统管理员统一创建用户,并为用户分配权限,系统管理员将相应的用户分配给对应的组,并依次向下分配给用户权限;组和系统管理员只需做用户隶属组管理,这样用户就拥有了该组拥有的权限。上述用户授权方式存在以下不足:1、粗粒度的授权控制:云服务的管理界面特别倾向于提供过粗粒度的授权控制模型,因此,像职责分离这样的标准安全措施得不到实施,因为该方式没办法只提供给用户那些仅够他们展开工作的权限;2、系统管理员是所有用户权限的授权者,其同时拥有了所有权限,因此可以访问普通用户的对象资源,使普通用户的特定对象资源得不到对应的有效保护。VPN(VirtualPrivateNetwork,虚拟专用网)指的是在公用网络上建立专用网络的技术,其实质上就是利用加密技术在公用网络上封装出一个数据通讯隧道,从而有效保护用户信息。VPN的主要功能包括:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。VPN技术为解决云平台中用户访问权限的控制问题提供了有效的方法和思路。
技术实现思路
(一)所要解决的技术问题本专利技术的目的在于提供一种云平台中用户访问权限的控制方法,以实现不同用户对对象访问控制的分离,从而提高云平台中用户信息的安全性。(二)技术方案为了解决上述技术问题,本专利技术提出了一种云平台中用户访问权限的控制方法,所述方法包括以下步骤:S1、系统管理员或超级用户为每个用户分配其对对象i的用户权限,对象i的拥有者为每个用户分配其对对象i的对象访问权限;S2、当用户j向云平台服务器请求对对象i进行某项操作时,所述服务器判断用户j是否具有对对象i进行该项操作的用户权限,若是,则进入步骤S3,否则拒绝用户j的操作请求;S3、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。可选的,步骤S3具体包括:S3-1、所述服务器判断用户j是否是对象i的拥有者,若是,则接受用户j的操作请求,否则进入步骤S3-2;S3-2、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。可选的,步骤S1中,为每个用户分配其对对象i的用户权限时采用授权树的形式,从顶层开始依次往下进行权限授权。可选的,步骤S2中,判断用户j是否具有对对象i进行该项操作的用户权限具体包括:从用户j或用户j所在组对应的节点开始广度向上遍历授权树的所有路径,若存在POLICY,则判定为用户j具有对对象i进行该项操作的用户权限。可选的,所述方法应用于VPN中。可选的,所述服务器为VPN服务器。(三)有益效果本专利技术提出的技术方案能够在云计算平台下,实现对多用户权限的管理与控制,从而实现不同用户对对象的访问控制分离;同时,采用虚拟专用网(VPN),能够进一步实现对普通用户的保密信息的双重保护。附图说明图1是本专利技术提出的云平台中用户访问权限的控制方法的基本流程图。具体实施方式下面结合附图和实施例,对本专利技术的具体实施方式作进一步详细描述。本专利技术的技术方案采用了用户权限与对象访问权限相分离的策略。用户权限是系统管理员或超级用户给每个用户分配的各种操作权限,而对象访问权限是对象的拥有者给其他用户分配的对象的操作权限。如图1所示,本专利技术提出的云平台中用户访问权限的控制方法包括以下步骤:S1、系统管理员或超级用户为每个用户分配其对对象i的用户权限,对象i的拥有者为每个用户分配其对对象i的对象访问权限;S2、当用户j向云平台服务器请求对对象i进行某项操作时,所述服务器判断用户j是否具有对对象i进行该项操作的用户权限,若是,则进入步骤S3,否则拒绝用户j的操作请求;S3、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。其中,步骤S3具体包括:S3-1、所述服务器判断用户j是否是对象i的拥有者,若是,则接受用户j的操作请求,否则进入步骤S3-2;S3-2、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。步骤S1涉及用户访问权限的授权,其中,为每个用户分配用户权限时可采用授权树的形式,从顶层开始依次往下进行相关权限授权。授权树最顶层的系统管理员或超级用户可看做根节点,用户j或用户j所在组为叶子节点,从系统管理员或超级用户发出的授权关系为POLICY。步骤S2涉及用户权限的判定,其中,判断用户j是否具有对对象i进行该项操作的用户权限具体包括:从用户j或用户j所在组对应的节点开始广度向上遍历授权树的所有路径,若存在POLICY,则认为用户j具有对对象i进行该项操作的用户权限。步骤S3涉及对象访问权限的判定,对象访问权限的授权检查不使用POLICY策略,只需用户是对象的拥有者或具有对象访问权限就可以了。所有用户对对象进行操作时,需要同时具有用户权限和对象访问权限才可以实现操作,两者缺一不可。这样可以有效保护用户的对象资源;尤其是对于普通用户所拥有的特定对象资源,即使是系统管理员或超级用户,只要不具备对象访问权限,就无法对这些特定对象进行操作,从而有效保护了普通用户的信息和隐私。除通过上述的对象细粒度分离控制保护不同用户的信息外,对于有特殊要求的用户信息,还可以采用建立一个专门的虚拟专用网(VPN)的方式,建立专用的数据通信隧道,从而实现对用户信息的双重保护。具体来说即,在对用户进行授权、用户权限判定以及用户对对象访问操作时,使用VPN对用户信息进行保护。在这种情况下,上述方法中的云平台服务器是指VPN服务器。以上所述仅是本专利技术的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本专利技术技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本专利技术的保护范围。本文档来自技高网...
【技术保护点】
一种云平台中用户访问权限的控制方法,其特征在于,所述方法包括以下步骤:S1、系统管理员或超级用户为每个用户分配其对对象i的用户权限,对象i的拥有者为每个用户分配其对对象i的对象访问权限;S2、当用户j向云平台服务器请求对对象i进行某项操作时,所述服务器判断用户j是否具有对对象i进行该项操作的用户权限,若是,则进入步骤S3,否则拒绝用户j的操作请求;S3、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的操作请求。
【技术特征摘要】
1.一种云平台中用户访问权限的控制方法,其特征在于,所述方法包括以下步骤:S1、系统管理员或超级用户为云平台服务器中每个用户分配其对对象i的用户权限,对象i的拥有者为所述云平台服务器中每个用户分配其对对象i的对象访问权限;S2、当用户j向云平台服务器请求对对象i进行某项操作时,所述服务器判断用户j是否具有对对象i进行该项操作的用户权限,若是,则进入步骤S3,否则拒绝用户j的操作请求;其中,判断用户j是否具有对对象i进行该项操作的用户权限具体包括:从用户j或用户j所在组对应的节点开始广度向上遍历授权树的所有路径,若存在POLICY,则判定为用户j具有对对象i进行该项操作的用户权限;S3、所述服务器判断用户j是否具有对对象i的对象访问权限,若是,则接受用户j的操作请求,否则拒绝用户j的...
【专利技术属性】
技术研发人员:周瑜,
申请(专利权)人:汉柏科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。