专利名称:一种云操作系统中访问控制的方法和系统的制作方法
技术领域:
本发明涉及计算机领域,尤其涉及一种云操作系统中访问控制的方法和系统。
背景技术:
当前,云计算逐渐被行业认可,云操作系统(云OS)逐渐实现并付诸于实践。在云 OS中,为用户提供计算、存储、网络、虚拟资源等服务,由于用户数量将非常多,这就对系统安全方面提出了更高的要求,系统管理的工作也讲非常繁重,如何对用户的访问权限进行安全、合理、高效的管理及面对复杂的权限变更,是云OS面临的一个重要课题。
发明内容
本发明提供一种一种云操作系统中访问控制的方法和系统,要解决的技术问题是如何对用户的访问权限进行安全、合理、高效的管理。为解决上述技术问题,本发明提供了如下技术方案一种云操作系统中访问控制的方法,所述云操作系统中的功能模块相互独立,其中所述方法包括为访问所述云操作系统的每个用户分别分配该用户对应的角色信息;为每个角色信息配置该角色所对应的操作集,其中所述操作集记录有所述云操作系统允许该角色对功能模块的访问权限信息;当接收到某一用户的访问请求时,获取所述用户的角色信息;根据所述用户的角色信息所对应的操作集,对所述用户发起的访问进行控制。优选的,所述方法还具有如下特点所述为访问所述云操作系统的每个用户分别分配该用户对应的角色信息,包括 获取用户的身份识别信息;根据所述身份识别信息为所述用户分配对应的角色信息。优选的,所述方法还具有如下特点所述根据所述用户的角色信息所对应的操作集,对所述用户发起的访问进行控制,包括获取用户的访问信息,其中所述访问信息包括用户要访问的功能模块以及对该功能模块的操作方式;判断所述访问信息是否记录在操作集中;如果所述访问信息记录在操作集中,则允许所述用户发起访问;否则,拒绝所述用户发起访问。优选的,所述方法还具有如下特点所述方法还包括接收到用户的角色更改请求后,根据所述角色更改请求,对所述用户的角色信息。一种云操作系统中访问控制的系统,所述云操作系统中的功能模块相互独立,其中所述系统包括分配装置,用于为访问所述云操作系统的每个用户分别分配该用户对应的角色信
配置装置,与所述分配装置相连,用于为每个角色信息配置该角色所对应的操作集,其中所述操作集记录有所述云操作系统允许该角色对功能模块的访问权限信息;获取装置,与所述配置装置相连,当接收到某一用户的访问请求时,获取所述用户的角色信息;控制装置,与所述获取装置相连,用于根据所述用户的角色信息所对应的操作集, 对所述用户发起的访问进行控制。优选的,所述系统还具有如下特点所述分配装置包括第一获取模块,用于获取用户的身份识别信息;分配模块,用于根据所述身份识别信息为所述用户分配对应的角色信息。优选的,所述系统还具有如下特点控制装置包括第二获取模块,用于获取用户的访问信息,其中所述访问信息包括用户要访问的功能模块以及对该功能模块的操作方式;判断模块,与所述第二获取模块相连,用于判断所述访问信息是否记录在操作集中;控制模块,与所述判断模块相连,用于如果所述访问信息记录在操作集中,则允许所述用户发起访问;否则,拒绝所述用户发起访问。优选的,所述系统还具有如下特点所述系统还包括更新装置,与所述分配装置和获取装置相连,用于在接收到用户的角色更改请求后,根据所述角色更改请求,对所述用户的角色信息。本发明提供的实施例,通过给用户分配合适的角色,让用户与访问权限相联系,从而使得在访问控制时,借助该角色所对应的操作集来有效控制用户的访问,能够减少授权管理的复杂性,降低管理开销,而且还能为管理员提供一个比较好的实现复杂安全政策的环境。
图I为本发明提供的云操作系统中访问控制的方法实施例的流程示意图;图2为本发明提供的云操作系统中访问控制的系统实施例的结构示意图;图3为图2所示系统中分配装置201的结构示意图;图4为图2所示系统中控制装置204的结构示意图;图5为图2所示系统的另一结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步的详细描述。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。为解决云OS系统访问控制问题,根据云OS特性,提出了一种改进型的基于角色的访问控制方案,不同的用户根据担当的角色访问不同的功能模块及访问不同的服务器组。 具体来说
云操作系统为用户提供物理基础设施服务计算、存储、网络、虚拟资源,面对各种不同的用户,要保证云海OS访问控制的安全与效率,将没有权限的非法用户拒之门外,必须提供一种合理的访问控制机制。不同的用户访问权限不同,访问权限决定了一个用户或程序员是否有权对某一特定资源执行某种操作,基于角色的访问控制能很好的解决这一问题。需要说明的是,本文所指的云操作系统中功能模块相互独立的,即不相互耦合,可以理解为单个模块所实现的功能无需调用其他模块的代码信息。图I为本发明提供的云操作系统中访问控制的方法实施例的流程示意图。图I所示方法实施例中,所述云操作系统中的功能模块相互独立,其中所述方法实施例包括步骤101、为访问所述云操作系统的每个用户分别分配该用户对应的角色信息;具体来说,获取用户的身份识别信息,根据所述身份识别信息为所述用户分配对应的角色信息;例如,可以根据身份识别信息确定该用户在企业内为完成的任务,或者,在企业中的职权和责任,从而根据上述信息为用户设置角色。当然,同一个用户可以是多个角色的成员,即同一个用户可以扮演多个角色;同样,一个角色可以拥有多个用户成员进一步的,用户可以在角色中进行转换,系统可以添加、删除角色。具体来说,通过接收用户的角色更改请求,并根据所述角色更改请求,更新所述用户的角色信息。步骤102、为每个角色信息配置该角色所对应的操作集,其中所述操作集记录有所述云操作系统允许该角色对功能模块的访问权限信息;其中,角色可以看做是一组操作的集合,不同的角色具有不同的操作集,这些操作集可以由安全管理员来分配。其中操作集记录该云操作系统允许该角色对每个功能模块的操作方式,可以为不允许访问、只读、读写均可等。当然,也可以进一步限定对单个模块中的子功能的操作权限。步骤103、当接收到某一用户的访问请求时,获取所述用户的角色信息;步骤104、根据所述用户的角色信息所对应的操作集,对所述用户发起的访问进行控制。具体来说,获取用户的访问信息,其中所述访问信息包括用户要访问的功能模块以及对该功能模块的操作方式;判断所述访问信息是否记录在操作集中;如果所述访问信息记录在操作集中,则允许所述用户发起访问;否则,拒绝所述用户发起访问。当一个用户要求访问系统中某种资源时,系统先获取用户所担当的角色,再判断该用户的角色是否有权限访问该系统资源,进而控制用户访问的功能模块及服务器组,并将没有授权的用户拒之门外。本发明提供的方法实施例,通过给用户分配合适的角色,让用户与访问权限相联系,从而使得在访问控制时,借助该角色所对应的操作集来有效控制用户的访问,能够减少授权管理的复杂性,降低管理开销,而且还能为管理员提供一个比较好的实现复杂安全政策的环境。需要说明的是,由于浪潮云海OS用户数量将非常多,系统管理的工作也将非常繁重。为了缓解系统管理的压力,就需要实现系统的分级管理,将管理系统的工作分散,根据这样的需求,浪潮云海OS提出了用户分级、服务器分组及划分功能模块的管理方案。其中
用户分级;将系统所有用户分为两类安全管理员、普通管理员。安全管理员只可管理普通管理员,可以管理任何用户和角色,对用户和角色进行授权,设置各种约束条件。 普通管理员拥有具体功能模块、具体服务器组的操作权限,操作权限通过角色来赋予。服务器的服务器分组;根据服务器提供的功能不同,将服务器分为三组存储节点组、网络节点组、计算节点组。划分功能模块基于角色的访问控制的特点,云海OS中的功能模块是根据用户的角色来划分的,即每个功能模块具有相对独立的功能。将系统所有的权限在各个子功能模块的基础上进行划分,每个权限都隶属于某一个功能模块。图2为本发明提供的云操作系统中访问控制的系统实施例的结构示意图。结合图I所示的方法实施例,图2所示系统实施例中所述云操作系统中的功能模块相互独立,其中分配装置201,用于为访问所述云操作系统的每个用户分别分配该用户对应的角色信息;配置装置202,与所述分配装置201相连,用于为每个角色信息配置该角色所对应的操作集,其中所述操作集记录有所述云操作系统允许该角色对功能模块的访问权限信息;获取装置203,与所述配置装置202相连,当接收到某一用户的访问请求时,获取所述用户的角色信息;控制装置204,与所述获取装置203相连,用于根据所述用户的角色信息所对应的操作集,对所述用户发起的访问进行控制。图3为图2所示系统中分配装置201的结构示意图。图3所示分配装置201包括第一获取模块301,用于获取用户的身份识别信息;分配模块302,用于根据所述身份识别信息为所述用户分配对应的角色信息。图4为图2所示系统中控制装置204的结构示意图。图4所示控制装置204包括第二获取模块401,用于获取用户的访问信息,其中所述访问信息包括用户要访问的功能模块以及对该功能模块的操作方式;判断模块402,与所述第二获取模块401相连,用于判断所述访问信息是否记录在操作集中;控制模块403,与所述判断模块402相连,用于如果所述访问信息记录在操作集中,则允许所述用户发起访问;否则,拒绝所述用户发起访问。图5为图2所示系统的另一结构示意图。图5所示系统还包括接收装置501,与所述分配装置201相连,用于接收用户的角色更改请求;更新装置502,与所述接收装置501和所述获取装置203相连,用于根据所述角色更改请求,更新所述用户的角色信息。本发明提供的系统实施例,通过给用户分配合适的角色,让用户与访问权限相联系,从而使得在访问控制时,借助该角色所对应的操作集来有效控制用户的访问,能够减少授权管理的复杂性,降低管理开销,而且还能为管理员提供一个比较好的实现复杂安全政策的环境。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
权利要求
1.一种云操作系统中访问控制的方法,其特征在于,所述云操作系统中的功能模块相互独立,其中所述方法包括为访问所述云操作系统的每个用户分别分配该用户对应的角色信息;为每个角色信息配置该角色所对应的操作集,其中所述操作集记录有所述云操作系统允许该角色对功能模块的访问权限信息;当接收到某一用户的访问请求时,获取所述用户的角色信息;根据所述用户的角色信息所对应的操作集,对所述用户发起的访问进行控制。
2.根据权利要求I所述的方法,其特征在于,所述为访问所述云操作系统的每个用户分别分配该用户对应的角色信息,包括获取用户的身份识别信息;根据所述身份识别信息为所述用户分配对应的角色信息。
3.根据权利要求I所述的方法,其特征在于,所述根据所述用户的角色信息所对应的操作集,对所述用户发起的访问进行控制,包括获取用户的访问信息,其中所述访问信息包括用户要访问的功能模块以及对该功能模块的操作方式;判断所述访问信息是否记录在操作集中;如果所述访问信息记录在操作集中,则允许所述用户发起访问;否则,拒绝所述用户发起访问。
4.根据权利要求I所述的方法,其特征在于,所述方法还包括接收到用户的角色更改请求后,根据所述角色更改请求,对所述用户的角色信息。
5.一种云操作系统中访问控制的系统,其特征在于,所述云操作系统中的功能模块相互独立,其中所述系统包括分配装置,用于为访问所述云操作系统的每个用户分别分配该用户对应的角色信息; 配置装置,与所述分配装置相连,用于为每个角色信息配置该角色所对应的操作集,其中所述操作集记录有所述云操作系统允许该角色对功能模块的访问权限信息;获取装置,与所述配置装置相连,当接收到某一用户的访问请求时,获取所述用户的角色信息;控制装置,与所述获取装置相连,用于根据所述用户的角色信息所对应的操作集,对所述用户发起的访问进行控制。
6.根据权利要求5所述的系统,其特征在于,所述分配装置包括第一获取模块,用于获取用户的身份识别信息;分配模块,用于根据所述身份识别信息为所述用户分配对应的角色信息。
7.根据权利要求5所述的系统,其特征在于,控制装置包括第二获取模块,用于获取用户的访问信息,其中所述访问信息包括用户要访问的功能模块以及对该功能模块的操作方式;判断模块,与所述第二获取模块相连,用于判断所述访问信息是否记录在操作集中; 控制模块,与所述判断模块相连,用于如果所述访问信息记录在操作集中,则允许所述用户发起访问;否则,拒绝所述用户发起访问。
8.根据权利要求5所述的系统,其特征在于,所述系统还包括更新装置,与所述分配装置和获取装置相连,用于在接收到用户的角色更改请求后,根据所述角色更改请求,对所述用户的角色信息。
全文摘要
本发明提供一种云操作系统中访问控制的方法和系统。所述方法,包括为访问所述云操作系统的每个用户分别分配该用户对应的角色信息;为每个角色信息配置该角色所对应的操作集,其中所述操作集记录有所述云操作系统允许该角色对功能模块的访问权限信息;当接收到某一用户的访问请求时,获取所述用户的角色信息;根据所述用户的角色信息所对应的操作集,对所述用户发起的访问进行控制。
文档编号H04L29/06GK102611699SQ20121004299
公开日2012年7月25日 申请日期2012年2月22日 优先权日2012年2月22日
发明者房体盈, 朱波, 朱锦雷 申请人:浪潮(北京)电子信息产业有限公司