一种云计算访问控制系统及方法

一种云计算访问控制系统及方法

【专利摘要】本发明涉及一种云计算访问控制系统及方法，包括：用户接入模块：用于实现用户向云计算提供商的服务器发送登录请求，服务器响应该用户的登录请求，包括身份认证模块和用户管理模块；访问控制模块：用于将所述用户的登录请求转化为XACML格式请求，并控制和管理访问权限；资源服务管理模块：用于对不同用户访问资源进行管理，监控记录用户使用过程的信息日志管理；应用服务管理模块：用于通过一个公开接口实现向资源服务管理模块发起调用请求，包括资源服务注册模块、删除模块和调用模块。应用监控机制和XACML有机融合来增强授权的灵活性，该云计算访问控制系统具有细粒度性、动态性、可扩展性和更具安全性。

【专利说明】一种云计算访问控制系统及方法

【技术领域】

[0001]本发明涉及云计算，特别是一种云计算访问控制系统及方法。

【背景技术】

[0002]随着云计算的不断发展，云安全问题变得越来越重要，云计算环境中对用户数据的保密性、完整性、隔离性等安全保护十分关键，云端要实现用户端大量数据的安全防护，其中访问控制技术是关键，现有的访问控制系统的授权灵活形及可扩展性不强，限制了云计算的广泛应用。

【发明内容】

[0003]本发明提供一种云计算访问控制系统及方法，以提高访问控制系统的授权灵活形及可扩展性。

[0004]为了解决上述技术问题，一种云计算访问控制系统，包括:

[0005]用户接入模块:用于实现用户向云计算提供商的服务器发送登录请求，服务器响应该用户的登录请求；

[0006]访问控制模块:用于将所述用户的登录请求转化为XACML格式请求，并控制和管理访问权限；

[0007]资源服务管理模块:用于对不同用户访问资源进行管理，监控记录用户使用过程的信息日志管理；

[0008]应用服务管理模块:通过一个公开接口实现向资源服务管理模块发起调用请求。

[0009]本发明的有益效果是:应用监控机制和XACML有机融合来增强授权的灵活性，该云计算访问控制系统具有细粒度性、动态性、可扩展性和更具安全性。

[0010]进一步，所述用户接入模块包括:

[0011]身份认证模块:用于验证登陆请求用户的身份；

[0012]用户管理模块:用于对用户的信息的管理与控制。

[0013]进一步，所述访问控制模块包括:

[0014]访问控制策略实施模块:用于将XACML格式请求发送到访问控制决策模块；

[0015]访问控制决策模块:用于根据XACML格式请求向策略管理点模块查询所述用户的属性；

[0016]策略管理点模块:用于向访问控制决策模块提供策略支持，通过访问控制决策模块对策略的评估，返回评估结果给访问控制策略实施模块处理；

[0017]访问控制信息管理点模块:用于向访问控制决策模块提供用户的属性查询结果。

[0018]进一步,所述访问控制策略实施模块包括:

[0019]监听模块:用于实施处理用户的请求，检查系统的环境信息、用户的授权值与授权条件是否相符合，如发现变化，向访问控制决策模块重新发出请求，要求访问控制决策模块对决策重新评估；

[0020]更新模块:用于实时监控用户属性的变化，如果用户的权限不满足权限执行的要求时，通知服务器暂停对用户授权，并将相应的信息发给用户。

[0021]进一步,所述访问控制决策模块包括:

[0022]授权规则模块:用于根据用户的属性和使用规则检查访问是否合法；

[0023]条件模块:利用使用规则和上下文信息决定授权请求的条件是否满足；

[0024]评估模块:结合授权规则模块和条件模块一起对主体的访问请求进行策略评估。

[0025]进一步，所述应用服务管理模块包括:

[0026]应用服务注册模块:用于用户注册资源管理服务的访问地址、功能描述、访问方式的应用服务信息；

[0027]应用服务删除模块:用于删除用户的应用服务信息；

[0028]应用服务调用模块:用于通过应用服务信息向资源服务管理模块发起调用请求。

[0029]采用上述进一步方案的有益效果是:通过监听模块更灵活地控制访问权限，提醒并引导用户提供必要的条件来满足访问权限；通过授权规则模块、条件模块和义务模块一起对主体的访问请求进行策略评估，是访问控制更加安全可靠。

[0030]本发明还提供一种云计算访问控制方法，包括用户接入控制步骤和用户访问控制步骤:

[0031]用户接入控制步骤包括:

[0032]步骤S1:用户声明一个证明身份的密钥，将所述密钥KEY存储在用户端的USB Key中和云计算提供商的服务器中；

[0033]步骤S2:用户向云计算提供商的服务器发送登录请求，服务器响应该用户的请求，所述服务器返回给所述用户一个随机数X，X和KEY经MD5算法得到信息摘要f ；

[0034]步骤S3:将信息摘要f返回给所述服务器，所述服务器将存储在本地的随机数X与存储在服务器中的秘钥KEY进行MD5运算；

[0035]步骤S4:如果所述服务器端的运算结果与所述用户端的信息摘要f相同时，则认为用户端是一个合法的用户，否则为非法用户；

[0036]访问控制步骤包括:

[0037]进行访问控制策略的实施，将用户登录请求转化为XACML格式请求，将所述XACML格式请求发送到访问决策控制点，根据多策略评估后返回的结果实施相应的允许或拒绝。

[0038]进一步,所述进行访问控制策略的实施还包括访问监听:

[0039]实时处理用户的请求，检查系统的环境信息、用户的授权值与授权条件是否相符合，如发现变化，向访问决策控制点重新发出请求，要求问决策控制点对决策重新评估。

[0040]本发明的有益效果是:通过用户身份的双重验证，增强了访问控制系统的安全性，应用监控机制和XACML有机融合来增强授权的灵活性，该云计算访问控制系统具有细粒度性、动态性、可扩展性；通过监听模块更灵活地控制访问权限，提醒并引导用户提供必要的条件来满足访问权限。

【专利附图】

【附图说明】

[0041]图1是本发明云计算访问控制系统总体框图，

[0042]图2是本发明用户接入控制的流程图。

【具体实施方式】

[0043]下面结合附图和实施例对本发明作进一步的说明。

[0044]图1是本发明云计算访问控制系统总体框图，包括:

[0045]用户接入模块:用于实现用户向云计算提供商的服务器发送登录请求，服务器响应该用户的登录请求；

[0046]访问控制模块:用于将所述用户的登录请求转化为XACML格式请求，并控制和管理访问权限；

[0047]资源服务管理模块:用于对不同用户访问资源进行管理，监控记录用户使用过程的信息日志管理；

[0048]应用服务管理模块:通过一个公开接口实现向资源服务管理模块发起调用请求。

[0049]用户接入模块包括:

[0050]身份认证模块:用于验证登陆请求用户的身份；

[0051]用户管理模块:用于对用户的信息的管理与控制。

[0052]访问控制模块包括:

[0053]访问控制策略实施模块:用于将XACML格式请求发送到访问控制决策模块；

[0054]访问控制决策模块:用于根据XACML格式请求向策略管理点模块查询所述用户的属性；

[0055]策略管理点模块:用于向访问控制决策模块提供策略支持,通过访问控制决策模块对策略的评估，返回评估结果给访问控制策略实施模块处理；

[0056]访问控制信息管理点模块:用于向访问控制决策模块提供用户的属性查询结果。

[0057]访问控制策略实施模块包括:

[0058]监听模块:用于实施处理用户的请求，检查系统的环境信息、用户的授权值与授权条件是否相符合，如发现变化，向访问控制决策模块重新发出请求，要求访问控制决策模块对决策重新评估；

[0059]更新模块:用于实时监控用户属性的变化，如果用户的权限不满足权限执行的要求时，通知服务器暂停对用户授权，并将相应的信息发给用户。

[0060]访问控制决策模块包括:

[0061]授权规则模块:用于根据用户的属性和使用规则检查访问是否合法；

[0062]条件模块:利用使用规则和上下文信息决定授权请求的条件是否满足；

[0063]评估模块:结合授权规则模块和条件模块一起对主体的访问请求进行策略评估。

[0064]应用服务管理模块包括:

[0065]资源服务注册模块:用于用户注册资源管理服务的访问地址、功能描述、访问方式的应用服务信息；

[0066]资源服务删除模块:用于删除用户的应用服务信息；

[0067]资源服务调用模块:用于通过应用服务信息向资源服务管理模块发起调用请求。

[0068]本发明的有益效果是:应用监控机制和XACML有机融合来增强授权的灵活性，该云计算访问控制系统具有细粒度性、动态性、可扩展性和更具安全性；通过监听模块更灵活地控制访问权限，提醒并引导用户提供必要的条件来满足访问权限；通过授权规则模块、条件模块和义务模块一起对主体的访问请求进行策略评估，是访问控制更加安全可靠。

[0069]本发明还提供一种云计算访问控制方法，包括用户接入控制步骤和用户访问控制步骤:

[0070]图2是本发明用户接入控制的流程图，

[0071]用户接入控制步骤包括:

[0072]步骤S1:用户声明一个证明身份的密钥，将所述秘钥KEY存储在用户端的USB Key中和云计算提供商的服务器中；

[0073]步骤S2:用户向云计算提供商的服务器发送登录请求，服务器响应该用户的请求，所述服务器返回给所述用户一个随机数X，X和KEY经MD5算法得到信息摘要f ；

[0074]步骤S3:将信息摘要f返回给所述服务器，所述服务器将存储在本地的随机数X与存储在服务器中的秘钥KEY进行MD5运算；

[0075]步骤S4:如果所述服务器端的运算结果与所述用户端的信息摘要f相同时，则认为用户端是一个合法的用户，否则为非法用户；

[0076]访问控制步骤包括:

[0077]进行访问控制策略的实施，将用户登录请求转化为XACML格式请求，将所述XACML格式请求发送到访问决策控制点，根据多策略评估后返回的结果实施相应的允许或拒绝。

[0078]进一步,所述进行访问控制策略的实施还包括访问监听:

[0079]实时处理用户的请求，检查系统的环境信息、用户的授权值与授权条件是否相符合，如发现变化，向访问决策控制点重新发出请求，要求问决策控制点对决策重新评估。

[0080]本发明的有益效果是:通过用户身份的双重验证，增强了访问控制系统的安全性，应用监控机制和XACML有机融合来增强授权的灵活性，该云计算访问控制系统具有细粒度性、动态性、可扩展性；通过监听模块更灵活地控制访问权限，提醒并引导用户提供必要的条件来满足访问权限。

[0081]以上对本发明云计算访问控制系统及方法进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

【权利要求】

1.一种云计算访问控制系统，其特征在于，包括: 用户接入模块:用于实现用户向云计算提供商的服务器发送登录请求，服务器响应该用户的登录请求； 访问控制模块:用于将所述用户的登录请求转化为XACML格式请求，并控制和管理访问权限； 资源服务管理模块:用于对不同用户访问资源进行管理，监控记录用户使用过程的信息日志管理； 应用服务管理模块:用于通过一个公开接口实现向资源服务管理模块发起调用请求。

2.根据权利要求1所述的云计算访问控制系统，其特征在于，所述用户接入模块包括: 身份认证模块:用于验证登陆请求用户的身份； 用户管理模块:用于对用户的信息的管理与控制。

3.根据权利要求1所述的云计算访问控制系统，其特征在于，所述访问控制模块包括: 访问控制策略实施模块:用于将XACML格式请求发送到访问控制决策模块； 访问控制决策模块:用于根据XACML格式请求向策略管理点模块查询所述用户的属性； 策略管理点模块:用于向访问控制决策模块提供策略支持，通过访问控制决策模块对策略的评估，返回评估结果给访问控制策略实施模块处理； 访问控制信息管理点模块:用于向访问控制决策模块提供用户的属性查询结果。

4.根据权利要求3所述的云计算访问控制系统，其特征在于，所述访问控制策略实施模块包括: 监听模块:用于实施处理用户的请求，检查系统的环境信息、用户的授权值与授权条件是否相符合，如发现变化，向访问控制决策模块重新发出请求，要求访问控制决策模块对决策重新评估； 更新模块:用于实时监控用户属性的变化，如果用户的权限不满足权限执行的要求时，通知服务器暂停对用户授权，并将相应的信息发给用户。

5.根据权利要求1所述的云计算访问控制系统，其特征在于，所述访问控制决策模块包括: 授权规则模块:用于根据用户的属性和使用规则检查访问是否合法； 条件模块:利用使用规则和上下文信息决定授权请求的条件是否满足； 评估模块:结合授权规则模块和条件模块一起对主体的访问请求进行策略评估。

6.根据权利要求1所述的云计算访问控制系统，其特征在于，所述应用服务管理模块包括: 应用服务注册模块:用于用户注册资源管理服务的访问地址、功能描述、访问方式的应用服务信息； 应用服务删除模块:用于删除用户的应用服务信息； 应用服务调用模块:用于通过应用服务信息向资源服务管理模块发起调用请求。

7.—种云计算访问控制方法，其特征在于，包括用户接入控制步骤和用户访问控制步骤: 用户接入控制步骤包括: 步骤S1:用户声明一个证明身份的密钥，将所述密钥KEY存储在用户端的USB Key中和云计算提供商的服务器中； 步骤S2:用户向云计算提供商的服务器发送登录请求，服务器响应该用户的请求，所述服务器返回给所述用户一个随机数X，X和KEY经MD5算法得到信息摘要f ； 步骤S3:将信息摘要f返回给所述服务器云计算信息系统，所述服务器将存储在本地的随机数X与存储在服务器中的秘钥KEY进行MD5运算； 步骤S4:如果所述服务器端的运算结果与所述用户端的信息摘要f相同时，则认为用户端是一个合法的用户，否则为非法用户； 访问控制步骤包括:进行访问控制策略的实施，将用户登录请求转化为XACML格式请求，将所述XACML格式请求发送到访问决策控制点，根据多策略评估后返回的结果实施相应的允许或拒绝。

8.根据权利要求7所述的云计算访问控制方法，其特征在于，所述进行访问控制策略的实施还包括访问监听: 实时处理用户的请求，检查系统的环境信息、用户的授权值与授权条件是否相符合，如发现变化，向访问决策控制点重新发出请求，要求问决策控制点对决策重新评估。

【文档编号】H04L29/08GK104333542SQ201410570687

【公开日】2015年2月4日 申请日期:2014年10月23日 优先权日:2014年10月23日

【发明者】张勇平 申请人:张勇平

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!