本發(fā)明涉及訪問(wèn)控制領(lǐng)域，具體而言，涉及一種訪問(wèn)角色獲取方法、裝置及系統(tǒng)。

背景技術(shù)：

訪問(wèn)控制是指限制不合法用戶對(duì)關(guān)鍵資源的訪問(wèn)，防止非法用戶的侵入或合法用戶的不慎操作所造成的破壞。訪問(wèn)控制技術(shù)都是建立在對(duì)主體-客體訪問(wèn)控制思想上的。只要主體擁有對(duì)某客體的特定訪問(wèn)權(quán)限，就可以對(duì)客體進(jìn)行訪問(wèn)。

訪問(wèn)控制技術(shù)中一般包括三個(gè)要素：主體：發(fā)出訪問(wèn)操作的主動(dòng)方，通常指用戶或用戶的某個(gè)進(jìn)程。包括用戶、用戶組、終端、主機(jī)或一個(gè)應(yīng)用。主體可以訪問(wèn)客體?？腕w：被訪問(wèn)的對(duì)象。它可以是一個(gè)字節(jié)、字段、記錄、程序、文件?；蛘呤且粋€(gè)處理器、存儲(chǔ)器、網(wǎng)絡(luò)接點(diǎn)等。安全訪問(wèn)政策：一套規(guī)則，用以確定一個(gè)主體是否對(duì)客體擁有訪問(wèn)能力。

目前使用最多的是基于角色的訪問(wèn)控制，它的基本思想是授權(quán)給用戶的訪問(wèn)權(quán)限，通常由用戶在一個(gè)組織中擔(dān)當(dāng)?shù)慕巧珌?lái)確定，根據(jù)用戶在組織內(nèi)所處的角色作出訪問(wèn)授權(quán)與控制，但用戶不能自主地將訪問(wèn)權(quán)限傳給他人。基于角色的訪問(wèn)控制最大的特點(diǎn)就是將訪問(wèn)權(quán)限與角色相關(guān)聯(lián)，不同的角色有不同權(quán)限，用戶所擁有的權(quán)力不能超過(guò)他執(zhí)行工作時(shí)所需的權(quán)限，當(dāng)用戶的職責(zé)變化時(shí)，改變授權(quán)給他們的角色，也就改變了用戶的權(quán)限，這樣就降低了管理的復(fù)雜度，同時(shí)也可以描述更復(fù)雜的安全策略。

目前，云計(jì)算數(shù)據(jù)中心的部署，是以區(qū)域?yàn)閱挝贿M(jìn)行部署，同一級(jí)別的區(qū)域建立同一級(jí)別的數(shù)據(jù)中心，同級(jí)數(shù)據(jù)中心之前不需要互相通信，它們僅與上級(jí)數(shù)據(jù)中心以及它所下屬的下級(jí)數(shù)據(jù)中心進(jìn)行通信，同時(shí)可以對(duì)下一級(jí)數(shù)據(jù)中心進(jìn)行一定的管理。然而，由于相關(guān)技術(shù)中的基于角色的訪問(wèn)控制并不能夠自主地將訪問(wèn)權(quán)限傳給他人，因此，如何在云計(jì)算多級(jí)數(shù)據(jù)中心系統(tǒng)中實(shí)現(xiàn)基于角色的訪問(wèn)控制方法，目前并沒(méi)有提出有效的解決方案。

針對(duì)相關(guān)技術(shù)中沒(méi)有提供在云計(jì)算多級(jí)數(shù)據(jù)中心系統(tǒng)中應(yīng)用基于角色的訪問(wèn)控制方法的問(wèn)題，目前尚未提出有效的解決方案。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種訪問(wèn)角色獲取方法、裝置及系統(tǒng)。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種訪問(wèn)角色獲取方法，包括：第二數(shù)據(jù)中心獲取 角色獲取請(qǐng)求，其中，所述角色獲取請(qǐng)求中攜帶有客戶端的訪問(wèn)權(quán)限；所述第二數(shù)據(jù)中心根據(jù)所述訪問(wèn)權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書(shū)，生成臨時(shí)用戶證書(shū)，其中，所述臨時(shí)用戶證書(shū)中攜帶有所述客戶端對(duì)所述第一數(shù)據(jù)中心的訪問(wèn)角色；所述第二數(shù)據(jù)中心發(fā)送所述臨時(shí)用戶證書(shū)至所述客戶端。

優(yōu)選地，在所述第二數(shù)據(jù)中心發(fā)送所述臨時(shí)用戶證書(shū)至所述客戶端之后，所述方法還包括：所述第一數(shù)據(jù)中心接收所述客戶端發(fā)送的所述臨時(shí)用戶證書(shū)和服務(wù)請(qǐng)求；所述第一數(shù)據(jù)中心根據(jù)所述臨時(shí)用戶證書(shū)，確定所述客戶端對(duì)所述第一數(shù)據(jù)中心的訪問(wèn)角色；所述第一數(shù)據(jù)中心根據(jù)所述訪問(wèn)角色，處理所述服務(wù)請(qǐng)求。

優(yōu)選地，所述第二數(shù)據(jù)中心獲取所述角色獲取請(qǐng)求包括：所述第三數(shù)據(jù)中心接收所述客戶端發(fā)送的分派角色請(qǐng)求；所述第三數(shù)據(jù)中心確定所述客戶端的所述訪問(wèn)權(quán)限；所述第三數(shù)據(jù)中心發(fā)送所述角色獲取請(qǐng)求至所述第二數(shù)據(jù)中心。

優(yōu)選地，所述第三數(shù)據(jù)中心確定所述客戶端的所述訪問(wèn)權(quán)限包括：第三數(shù)據(jù)中心通過(guò)訪問(wèn)控制服務(wù)在基于角色的訪問(wèn)控制數(shù)據(jù)庫(kù)中查詢所述客戶端的所述訪問(wèn)權(quán)限。

優(yōu)選地，所述第二數(shù)據(jù)中心根據(jù)所述訪問(wèn)權(quán)限和所述第一數(shù)據(jù)中心頒發(fā)的所述證書(shū)，生成所述臨時(shí)用戶證書(shū)包括：所述第二數(shù)據(jù)中心根據(jù)所述訪問(wèn)權(quán)限和所述第一數(shù)據(jù)中心頒發(fā)的所述證書(shū)，確定所述客戶端對(duì)所述第一數(shù)據(jù)中心的所述訪問(wèn)角色；所述第二數(shù)據(jù)中心將所述訪問(wèn)角色記錄至未簽名臨時(shí)用戶證書(shū)；所述第二數(shù)據(jù)中心使用所述第二數(shù)據(jù)中心的私鑰對(duì)所述未簽名臨時(shí)用戶證書(shū)進(jìn)行簽名，生成所述臨時(shí)用戶證書(shū)。

優(yōu)選地，所述第二數(shù)據(jù)中心發(fā)送所述臨時(shí)用戶證書(shū)至所述客戶端包括：所述第二數(shù)據(jù)中心發(fā)送已簽名的所述臨時(shí)用戶證書(shū)和所述第二數(shù)據(jù)中心的公鑰至所述客戶端。

優(yōu)選地，在所述第二數(shù)據(jù)中心發(fā)送已簽名的所述臨時(shí)用戶證書(shū)和所述第二數(shù)據(jù)中心的公鑰至所述客戶端的情況下，所述方法還包括：所述第一數(shù)據(jù)中心接收所述客戶端發(fā)送的已簽名的所述臨時(shí)用戶證書(shū)、所述第二數(shù)據(jù)中心的公鑰和服務(wù)請(qǐng)求；所述第一數(shù)據(jù)中心采用所述公鑰解密所述臨時(shí)用戶證書(shū)，并驗(yàn)證所述臨時(shí)用戶證書(shū)的簽名信息是否為所述第二數(shù)據(jù)中心的簽名；在驗(yàn)證結(jié)果為是的情況下，所述第一數(shù)據(jù)中心根據(jù)解密的所述臨時(shí)用戶證書(shū)，確定所述客戶端對(duì)所述第一數(shù)據(jù)中心的訪問(wèn)角色；所述第一數(shù)據(jù)中心根據(jù)所述訪問(wèn)角色，處理所述服務(wù)請(qǐng)求。

根據(jù)本發(fā)明的另一個(gè)方面，還提供了一種訪問(wèn)角色獲取裝置，應(yīng)用于第二數(shù)據(jù)中心，包括：獲取模塊，用于獲取角色獲取請(qǐng)求，其中，所述角色獲取請(qǐng)求中攜帶有客戶端的訪問(wèn)權(quán)限；生成模塊，用于根據(jù)所述訪問(wèn)權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書(shū)，生成臨時(shí)用戶證書(shū)，其中，所述臨時(shí)用戶證書(shū)中攜帶有所述客戶端對(duì)所述第一數(shù)據(jù)中心的訪問(wèn)角色；發(fā)送模塊，用于發(fā)送所述臨時(shí)用戶證書(shū)至所述客戶端。

優(yōu)選地，所述生成模塊包括：確定單元，用于根據(jù)所述訪問(wèn)權(quán)限和所述證書(shū)，確定 所述客戶端對(duì)所述第一數(shù)據(jù)中心的所述訪問(wèn)角色；記錄單元，用于將所述訪問(wèn)角色記錄至未簽名臨時(shí)用戶證書(shū)；簽名單元，用于使用所述第二數(shù)據(jù)中心的私鑰對(duì)所述未簽名臨時(shí)用戶證書(shū)進(jìn)行簽名，生成所述臨時(shí)用戶證書(shū)。

優(yōu)選地，所述發(fā)送模塊用于：發(fā)送已簽名的所述臨時(shí)用戶證書(shū)和所述第二數(shù)據(jù)中心的公鑰至所述客戶端。

根據(jù)本發(fā)明的另一個(gè)方面，還提供了一種訪問(wèn)角色獲取系統(tǒng)，包括：第一數(shù)據(jù)中心、第二數(shù)據(jù)中心、第三數(shù)據(jù)中心和客戶端，其中，所述第二數(shù)據(jù)中心包括：如上所述的訪問(wèn)角色獲取裝置。

優(yōu)選地，所述第一數(shù)據(jù)中心包括：第一接收模塊，用于接收所述客戶端發(fā)送的所述臨時(shí)用戶證書(shū)和服務(wù)請(qǐng)求；第一確定模塊，用于根據(jù)所述臨時(shí)用戶證書(shū)，確定所述客戶端對(duì)所述第一數(shù)據(jù)中心的訪問(wèn)角色；處理模塊，用于根據(jù)所述訪問(wèn)角色，處理所述服務(wù)請(qǐng)求。

優(yōu)選地，在所述第一數(shù)據(jù)中心中：所述第一接收模塊，用于接收所述客戶端發(fā)送的已簽名的所述臨時(shí)用戶證書(shū)、所述第二數(shù)據(jù)中心的公鑰和服務(wù)請(qǐng)求；所述第一確定模塊，用于采用所述公鑰解密所述臨時(shí)用戶證書(shū)，并驗(yàn)證所述臨時(shí)用戶證書(shū)的簽名信息是否為所述第二數(shù)據(jù)中心的簽名；并在驗(yàn)證結(jié)果為是的情況下，所述第一數(shù)據(jù)中心根據(jù)解密的所述臨時(shí)用戶證書(shū)，確定所述客戶端對(duì)所述第一數(shù)據(jù)中心的訪問(wèn)角色。

優(yōu)選地，所述第三數(shù)據(jù)中心包括：第二接收模塊，用于接收所述客戶端發(fā)送的分派角色請(qǐng)求；第二確定模塊，用于確定所述客戶端的所述訪問(wèn)權(quán)限；輸送模塊，用于發(fā)送所述角色獲取請(qǐng)求至所述第二數(shù)據(jù)中心。

優(yōu)選地，所述第二確定模塊用于：通過(guò)訪問(wèn)控制服務(wù)在基于角色的訪問(wèn)控制數(shù)據(jù)庫(kù)中查詢所述客戶端的所述訪問(wèn)權(quán)限。

通過(guò)本發(fā)明，采用第二數(shù)據(jù)中心獲取角色獲取請(qǐng)求，其中，角色獲取請(qǐng)求中攜帶有客戶端的訪問(wèn)權(quán)限；第二數(shù)據(jù)中心根據(jù)訪問(wèn)權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書(shū)，生成臨時(shí)用戶證書(shū)，其中，臨時(shí)用戶證書(shū)中攜帶有客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色；第二數(shù)據(jù)中心發(fā)送臨時(shí)用戶證書(shū)至客戶端的方式，解決了在相關(guān)技術(shù)中沒(méi)有提供在云計(jì)算多級(jí)數(shù)據(jù)中心系統(tǒng)中應(yīng)用基于角色的訪問(wèn)控制方法的問(wèn)題，實(shí)現(xiàn)了云計(jì)算多級(jí)數(shù)據(jù)中心系統(tǒng)中基于角色的訪問(wèn)控制。

附圖說(shuō)明

此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中：

圖1是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取方法的流程示意圖；

圖2是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取裝置的結(jié)構(gòu)示意圖；

圖3是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取裝置的優(yōu)選結(jié)構(gòu)示意圖一；

圖4是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取裝置的優(yōu)選結(jié)構(gòu)示意圖二；

圖5是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取系統(tǒng)的結(jié)構(gòu)示意圖；

圖6是根據(jù)本發(fā)明優(yōu)選實(shí)施例的事件處理方法的流程圖；

圖7是根據(jù)本發(fā)明優(yōu)選實(shí)施例的優(yōu)選實(shí)施方式一的系統(tǒng)結(jié)構(gòu)示意圖；

圖8是根據(jù)本發(fā)明優(yōu)選實(shí)施例的優(yōu)選實(shí)施方式一的訪問(wèn)控制示意圖；

圖9是應(yīng)用本發(fā)明的實(shí)施方式二的系統(tǒng)結(jié)構(gòu)示意圖；

圖10是應(yīng)用本發(fā)明的實(shí)施方式三的系統(tǒng)結(jié)構(gòu)示意圖。

具體實(shí)施方式

下文中將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明。需要說(shuō)明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。

本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書(shū)中闡述，并且，部分地從說(shuō)明書(shū)中變得顯而易見(jiàn)，或者通過(guò)實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過(guò)在所寫(xiě)的說(shuō)明書(shū)、權(quán)利要求書(shū)、以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。

本發(fā)明實(shí)施例提供了一種訪問(wèn)角色獲取方法，圖1是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取方法的流程圖，如圖1所示，該流程包括如下步驟：

步驟S102，第二數(shù)據(jù)中心獲取角色獲取請(qǐng)求，其中，角色獲取請(qǐng)求中攜帶有客戶端的訪問(wèn)權(quán)限；

步驟S104，第二數(shù)據(jù)中心根據(jù)訪問(wèn)權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書(shū)，生成臨時(shí)用戶證書(shū)，其中，臨時(shí)用戶證書(shū)中攜帶有客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色；

步驟S106，第二數(shù)據(jù)中心發(fā)送臨時(shí)用戶證書(shū)至客戶端。

通過(guò)上述步驟，通過(guò)第二數(shù)據(jù)中心根據(jù)客戶端的訪問(wèn)權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書(shū)，將攜帶有客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色信息發(fā)送給客戶端，從而實(shí)現(xiàn)了客戶端 訪問(wèn)角色的獲取。解決了相關(guān)技術(shù)中沒(méi)有提供在云計(jì)算多級(jí)數(shù)據(jù)中心系統(tǒng)中應(yīng)用基于角色的訪問(wèn)控制方法的問(wèn)題，實(shí)現(xiàn)了云計(jì)算多級(jí)數(shù)據(jù)中心系統(tǒng)中基于角色的訪問(wèn)控制。

相應(yīng)地，為了實(shí)現(xiàn)訪問(wèn)控制，在客戶端將要訪問(wèn)第一數(shù)據(jù)中心的情況下，客戶端可以將收到的臨時(shí)用戶證書(shū)以及服務(wù)請(qǐng)求發(fā)送給第一數(shù)據(jù)中心。第一數(shù)據(jù)中心接收客戶端發(fā)送的臨時(shí)用戶證書(shū)和服務(wù)請(qǐng)求；根據(jù)臨時(shí)用戶證書(shū)，確定客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色；以及根據(jù)訪問(wèn)角色，處理服務(wù)請(qǐng)求。通過(guò)上述方式，實(shí)現(xiàn)了客戶端對(duì)第一數(shù)據(jù)中心基于角色的訪問(wèn)控制。

優(yōu)選地，在兩級(jí)數(shù)據(jù)中心設(shè)置的云計(jì)算中心中，第二數(shù)據(jù)中心可以直接與客戶端進(jìn)行交互，例如，在獲取客戶端的分配角色請(qǐng)求后，根據(jù)查詢客戶端的訪問(wèn)權(quán)限，從而得到客戶端的角色獲取請(qǐng)求，其中，角色獲取請(qǐng)求中攜帶有客戶端的訪問(wèn)權(quán)限的相關(guān)信息。而在采用兩級(jí)以上的數(shù)據(jù)中心設(shè)置的云計(jì)算中心中，優(yōu)選地，角色獲取請(qǐng)求可以是由第三數(shù)據(jù)中心根據(jù)客戶端的訪問(wèn)權(quán)限生成的，例如，第三數(shù)據(jù)中心接收客戶端發(fā)送的分派角色請(qǐng)求；第三數(shù)據(jù)中心確定客戶端的訪問(wèn)權(quán)限；第三數(shù)據(jù)中心發(fā)送角色獲取請(qǐng)求至第二數(shù)據(jù)中心。通過(guò)上述方式，實(shí)現(xiàn)了客戶端訪問(wèn)權(quán)限的確定。

優(yōu)選地，訪問(wèn)權(quán)限是由第三數(shù)據(jù)中心通過(guò)訪問(wèn)控制服務(wù)在基于角色的訪問(wèn)控制數(shù)據(jù)庫(kù)中查詢的，例如，第三數(shù)據(jù)中心通過(guò)訪問(wèn)控制服務(wù)在基于角色的訪問(wèn)控制數(shù)據(jù)庫(kù)中查詢客戶端的訪問(wèn)權(quán)限。

優(yōu)選地，在步驟S104中，第二數(shù)據(jù)中心根據(jù)訪問(wèn)權(quán)限和證書(shū)，確定客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色；將訪問(wèn)角色記錄至未簽名臨時(shí)用戶證書(shū)；以及使用第二數(shù)據(jù)中心的私鑰對(duì)未簽名臨時(shí)用戶證書(shū)進(jìn)行簽名，生成臨時(shí)用戶證書(shū)。通過(guò)上述方式，采用不對(duì)稱(chēng)加密提升了安全性。

優(yōu)選地，在采用不對(duì)稱(chēng)加密的情況下，在步驟S106中，第二數(shù)據(jù)中心發(fā)送已簽名的臨時(shí)用戶證書(shū)和第二數(shù)據(jù)中心的公鑰至客戶端。

需要說(shuō)明的是，在本發(fā)明實(shí)施例中并不限于證書(shū)的加密方式為不對(duì)稱(chēng)加密算法，例如，對(duì)稱(chēng)加密算法也是可以被采用的。

優(yōu)選地，在第二數(shù)據(jù)中心發(fā)送已簽名的臨時(shí)用戶證書(shū)和第二數(shù)據(jù)中心的公鑰至客戶端的情況下，上述方法還包括：第一數(shù)據(jù)中心接收客戶端發(fā)送的已簽名的臨時(shí)用戶證書(shū)、第二數(shù)據(jù)中心的公鑰和服務(wù)請(qǐng)求；第一數(shù)據(jù)中心采用公鑰解密臨時(shí)用戶證書(shū)，并驗(yàn)證臨時(shí)用戶證書(shū)的簽名信息是否為第二數(shù)據(jù)中心的簽名；在驗(yàn)證結(jié)果為是的情況下，第一數(shù)據(jù)中心根據(jù)解密的臨時(shí)用戶證書(shū)，確定客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色；第一數(shù)據(jù)中心根據(jù)訪問(wèn)角色，處理服務(wù)請(qǐng)求。通過(guò)上述方式，在基于角色的訪問(wèn)控制中，融合了基于證書(shū)的訪問(wèn)控制，不僅提升了安全性，也提升了在云計(jì)算多級(jí)數(shù)據(jù)中心系統(tǒng)中訪問(wèn)控制的靈活性。

優(yōu)選地，為了進(jìn)一步的提升安全性，在第二數(shù)據(jù)中心獲取角色獲取請(qǐng)求之后，第二數(shù)據(jù)中心可以驗(yàn)證第三數(shù)據(jù)中心的身份有效性；其中，生成臨時(shí)用戶證書(shū)包括：在第三數(shù)據(jù)中心的身份為有效的情況下，生成臨時(shí)用戶證書(shū)。

在本實(shí)施例中還提供了一種訪問(wèn)角色獲取裝置，應(yīng)用于第二數(shù)據(jù)中心，用于實(shí)現(xiàn)上述實(shí)施例及優(yōu)選實(shí)施方式，已經(jīng)進(jìn)行過(guò)說(shuō)明的不再贅述，下面對(duì)該裝置中涉及到的模塊進(jìn)行說(shuō)明。如以下所使用的，術(shù)語(yǔ)“模塊”可以實(shí)現(xiàn)預(yù)定功能的軟件和/或硬件的組合。盡管以下實(shí)施例所描述的裝置較佳地以軟件來(lái)實(shí)現(xiàn)，但是硬件，或者軟件和硬件的組合的實(shí)現(xiàn)也是可能并被構(gòu)想的。

圖2是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取裝置的結(jié)構(gòu)示意圖，如圖2所示，該裝置包括：獲取模塊22、生成模塊24和發(fā)送模塊26，其中，獲取模塊22，用于獲取角色獲取請(qǐng)求，其中，角色獲取請(qǐng)求中攜帶有客戶端的訪問(wèn)權(quán)限；生成模塊24，耦合至獲取模塊22，用于根據(jù)訪問(wèn)權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書(shū)，生成臨時(shí)用戶證書(shū)，其中，臨時(shí)用戶證書(shū)中攜帶有客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色；發(fā)送模塊26，耦合至生成模塊24，用于發(fā)送臨時(shí)用戶證書(shū)至客戶端。

通過(guò)上述模塊的綜合作用，通過(guò)第二數(shù)據(jù)中心根據(jù)客戶端的訪問(wèn)權(quán)限和第一數(shù)據(jù)中心頒發(fā)的證書(shū)，將攜帶有客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色信息發(fā)送給客戶端，從而實(shí)現(xiàn)了客戶端訪問(wèn)角色的獲取。解決了相關(guān)技術(shù)中沒(méi)有提供在云計(jì)算多級(jí)數(shù)據(jù)中心系統(tǒng)中應(yīng)用基于角色的訪問(wèn)控制方法的問(wèn)題，實(shí)現(xiàn)了云計(jì)算多級(jí)數(shù)據(jù)中心系統(tǒng)中基于角色的訪問(wèn)控制。

圖3是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取裝置的優(yōu)選結(jié)構(gòu)示意圖一，如圖3所示，優(yōu)選地，生成模塊24包括：確定單元242，用于根據(jù)訪問(wèn)權(quán)限和證書(shū)，確定客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色；記錄單元244，耦合至確定單元242，用于將訪問(wèn)角色記錄至未簽名臨時(shí)用戶證書(shū)；簽名單元246，耦合至記錄單元244，用于使用第二數(shù)據(jù)中心的私鑰對(duì)未簽名臨時(shí)用戶證書(shū)進(jìn)行簽名，生成臨時(shí)用戶證書(shū)。

優(yōu)選地，發(fā)送模塊26用于：發(fā)送已簽名的臨時(shí)用戶證書(shū)和第二數(shù)據(jù)中心的公鑰至客戶端。

圖4是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取裝置的優(yōu)選結(jié)構(gòu)示意圖二，如圖4所示，優(yōu)選地，裝置還包括：驗(yàn)證模塊42，分別耦合至獲取模塊22和生成模塊24用于驗(yàn)證第三數(shù)據(jù)中心的身份有效性；其中，生成模塊24用于：在第三數(shù)據(jù)中心的身份為有效的情況下，生成臨時(shí)用戶證書(shū)。

本發(fā)明實(shí)施例還提供了一種訪問(wèn)角色獲取系統(tǒng)，圖5是根據(jù)本發(fā)明實(shí)施例的訪問(wèn)角色獲取系統(tǒng)的結(jié)構(gòu)示意圖，如圖5所示，該系統(tǒng)包括：第一數(shù)據(jù)中心52、第二數(shù)據(jù)中心54、第三數(shù)據(jù)中心56和客戶端58，其中，第二數(shù)據(jù)中心54包括：如上的訪問(wèn)角色獲取裝置542。

其中，第一數(shù)據(jù)中心耦52合至第二數(shù)據(jù)中心54，第二數(shù)據(jù)中心54耦合至第三數(shù)據(jù)中心56，第三數(shù)據(jù)中心56耦合至客戶端58，客戶端58耦合至第一數(shù)據(jù)中心52。

優(yōu)選地，第一數(shù)據(jù)中心52包括：第一接收模塊，用于接收客戶端發(fā)送的臨時(shí)用戶證書(shū)和服務(wù)請(qǐng)求；第一確定模塊，耦合至第一接收模塊，用于根據(jù)臨時(shí)用戶證書(shū)，確定客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色；處理模塊，耦合至第一確定模塊，用于根據(jù)訪問(wèn)角色，處理服務(wù)請(qǐng)求。

優(yōu)選地，在第一數(shù)據(jù)中心52中：第一接收模塊，用于接收客戶端發(fā)送的已簽名的臨時(shí)用戶證書(shū)、第二數(shù)據(jù)中心的公鑰和服務(wù)請(qǐng)求；第一確定模塊，用于采用公鑰解密臨時(shí)用戶證書(shū)，并驗(yàn)證臨時(shí)用戶證書(shū)的簽名信息是否為第二數(shù)據(jù)中心的簽名；并在驗(yàn)證結(jié)果為是的情況下，第一數(shù)據(jù)中心根據(jù)解密的臨時(shí)用戶證書(shū)，確定客戶端對(duì)第一數(shù)據(jù)中心的訪問(wèn)角色。

優(yōu)選地，第三數(shù)據(jù)中心56包括：第二接收模塊，用于接收客戶端發(fā)送的分派角色請(qǐng)求；第二確定模塊，耦合至第二接收模塊，用于確定客戶端的訪問(wèn)權(quán)限；輸送模塊，耦合至第二確定模塊，用于發(fā)送角色獲取請(qǐng)求至第二數(shù)據(jù)中心。

優(yōu)選地，第二確定模塊用于：通過(guò)訪問(wèn)控制服務(wù)在基于角色的訪問(wèn)控制數(shù)據(jù)庫(kù)中查詢客戶端的訪問(wèn)權(quán)限。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。

為了使本發(fā)明實(shí)施例的描述更加清楚，下面結(jié)合優(yōu)選實(shí)施例進(jìn)行描述和說(shuō)明。

本發(fā)明優(yōu)選實(shí)施例提供了一種云計(jì)算數(shù)據(jù)中心的訪問(wèn)控制方法。在本發(fā)明優(yōu)選實(shí)施例中，基于云計(jì)算技術(shù)和虛擬化技術(shù)，可以提供安全的數(shù)據(jù)中心訪問(wèn)控制機(jī)制，幫助企業(yè)進(jìn)行安全的數(shù)據(jù)中心建設(shè)，提升運(yùn)維效率。

針對(duì)云計(jì)算的數(shù)據(jù)中心的拓?fù)浣Y(jié)構(gòu)特點(diǎn)，本發(fā)明優(yōu)選實(shí)施例將訪問(wèn)控制技術(shù)和對(duì)數(shù)據(jù)中心的訪問(wèn)原則相結(jié)合，提出了一種基于證書(shū)的區(qū)域授權(quán)訪問(wèn)控制方法，從而可以有效地解決了數(shù)據(jù)中心訪問(wèn)安全性的問(wèn)題。

本發(fā)明優(yōu)選實(shí)施例提供的一種云計(jì)算數(shù)據(jù)中心的訪問(wèn)控制方法，考慮到在跨地域數(shù)據(jù)中心的網(wǎng)絡(luò)環(huán)境中，各級(jí)數(shù)據(jù)中心內(nèi)部又存在不同的基于角色的訪問(wèn)控制權(quán)限，本發(fā)明提出一種將身份認(rèn)證和訪問(wèn)控制權(quán)限通過(guò)證書(shū)結(jié)合在一起的區(qū)域授權(quán)訪問(wèn)控制機(jī)制。

(1)授權(quán)域

授權(quán)域是在一個(gè)中心服務(wù)器的管理下，將不同地域的數(shù)據(jù)中心，按照其隸屬關(guān)系，列入到不同的域中，同時(shí)，中心服務(wù)器根據(jù)實(shí)際情況，對(duì)不同的域授予不同的訪問(wèn)操作 權(quán)限。一級(jí)數(shù)據(jù)中心是一個(gè)獨(dú)立個(gè)體，它是所有授權(quán)域的授權(quán)權(quán)威，所有的授權(quán)域都將通過(guò)它進(jìn)行劃分建立，每個(gè)授權(quán)域的相關(guān)信息都將保存在一級(jí)數(shù)據(jù)中心數(shù)據(jù)庫(kù)中。

(2)一級(jí)數(shù)據(jù)中心與授權(quán)域之間的身份認(rèn)證和權(quán)限控制

每個(gè)授權(quán)域與一級(jí)數(shù)據(jù)中心建立信任關(guān)系主要由3個(gè)動(dòng)作組成：注冊(cè)、更新和撤銷(xiāo)。

首先，當(dāng)一個(gè)新的授權(quán)域在網(wǎng)絡(luò)中出現(xiàn)時(shí)，它必須向一級(jí)數(shù)據(jù)中心服務(wù)器進(jìn)行注冊(cè)，接收到經(jīng)過(guò)認(rèn)證中心認(rèn)證的證書(shū)的授權(quán)域才是有效的授權(quán)域。其次，在動(dòng)態(tài)的環(huán)境中，授權(quán)域可能會(huì)因?yàn)槟承┰蜃兏陨淼臓顟B(tài)、條件等注冊(cè)內(nèi)容，因此在系統(tǒng)運(yùn)行的過(guò)程中，注冊(cè)信息能夠被更新或撤銷(xiāo)。授權(quán)域?qū)⒆约旱母聽(tīng)顟B(tài)以更新原語(yǔ)的方式發(fā)送給一級(jí)數(shù)據(jù)中心，使得數(shù)據(jù)中心的注冊(cè)信息與授權(quán)域中的注冊(cè)信息保持一致。最后，執(zhí)行撤銷(xiāo)原語(yǔ)后，授權(quán)域脫離一級(jí)數(shù)據(jù)中心的管轄，無(wú)法再對(duì)一級(jí)數(shù)據(jù)中心進(jìn)行訪問(wèn)。

(3)授權(quán)域內(nèi)的角色認(rèn)證及用戶證書(shū)的頒發(fā)

當(dāng)授權(quán)中的任一客戶端欲訪問(wèn)一級(jí)數(shù)據(jù)中心數(shù)據(jù)時(shí)，客戶端需經(jīng)過(guò)下面幾個(gè)步驟才能完成，如圖6所示，具體過(guò)程描述如下：

步驟一，客戶端首先向三級(jí)數(shù)據(jù)中心(相當(dāng)于上述第三數(shù)據(jù)中心)請(qǐng)求分派角色，三級(jí)數(shù)據(jù)中心接收到請(qǐng)求后，可以經(jīng)過(guò)中間服務(wù)代理發(fā)送給訪問(wèn)控制服務(wù)，該服務(wù)通過(guò)查找基于角色的訪問(wèn)控制(Role-Based Access Control，簡(jiǎn)稱(chēng)為RBAC)數(shù)據(jù)庫(kù)來(lái)進(jìn)行驗(yàn)證客戶端是否具有相應(yīng)的權(quán)限訪問(wèn)一級(jí)數(shù)據(jù)中心(相當(dāng)于上述第一數(shù)據(jù)中心)的數(shù)據(jù)，完畢后將結(jié)果發(fā)給中間服務(wù)代理。

需要說(shuō)明的是，通過(guò)中間服務(wù)代理處理相關(guān)過(guò)程并不是本發(fā)明優(yōu)選實(shí)施例實(shí)施的必需過(guò)程，但在實(shí)施過(guò)程中，采用中間服務(wù)代理的方式，一方面可以提升安全性，另一方面有利于相關(guān)功能實(shí)體的模塊化封裝，有利于對(duì)各種協(xié)議的兼容性。

步驟二，如果客戶端具有相應(yīng)的權(quán)限，則中間服務(wù)代理將該客戶端具有的訪問(wèn)權(quán)限一起發(fā)給角色分派服務(wù)，由角色分派服務(wù)進(jìn)行處理，封裝成一個(gè)獲取角色請(qǐng)求服務(wù)，并將該服務(wù)發(fā)給二級(jí)數(shù)據(jù)中心(相當(dāng)于上述第二數(shù)據(jù)中心)；二級(jí)數(shù)據(jù)中心接收到服務(wù)請(qǐng)求后，也可以經(jīng)過(guò)中間服務(wù)代理處理，將處理結(jié)果發(fā)給授權(quán)訪問(wèn)控制服務(wù)進(jìn)行驗(yàn)證。

步驟三，授權(quán)訪問(wèn)控制服務(wù)接收到請(qǐng)求后，首先由服務(wù)器根據(jù)數(shù)據(jù)庫(kù)中數(shù)據(jù)驗(yàn)證服務(wù)請(qǐng)求發(fā)送方(三級(jí)數(shù)據(jù)中心)身份的有效性；通過(guò)后，證書(shū)服務(wù)器將根據(jù)一級(jí)數(shù)據(jù)中心頒給該授權(quán)域的證書(shū)內(nèi)容，獲取客戶端對(duì)一級(jí)數(shù)據(jù)中心的相應(yīng)訪問(wèn)角色，并將該信息記錄到一張新的臨時(shí)用戶證書(shū)上；獲取了分派角色后，證書(shū)服務(wù)器將用自己的私鑰為其簽名，同時(shí)附上自己的公鑰，組成一份完整的臨時(shí)用戶證書(shū)發(fā)送給客戶端。

步驟四，客戶端獲取到臨時(shí)用戶證書(shū)后，在向一級(jí)數(shù)據(jù)中心提交服務(wù)請(qǐng)求時(shí)，必須附帶上該臨時(shí)用戶證書(shū)。當(dāng)一級(jí)數(shù)據(jù)中心收到服務(wù)請(qǐng)求后，它首先使用公鑰為證書(shū)解密，如果發(fā)現(xiàn)中心服務(wù)器的簽名，則認(rèn)為這份證書(shū)是合法的，客戶端身份認(rèn)證通過(guò)，并從中 獲取客戶端所具有的的角色；一級(jí)數(shù)據(jù)中心通過(guò)角色所具有的權(quán)限來(lái)完成客戶端提交的服務(wù)請(qǐng)求，完成后，將結(jié)果返回給客戶端。

下面通過(guò)在不同場(chǎng)景應(yīng)用的優(yōu)選實(shí)施方式來(lái)對(duì)本發(fā)明優(yōu)選實(shí)施例進(jìn)行說(shuō)明。

優(yōu)選實(shí)施方式一

采用本發(fā)明優(yōu)選實(shí)施例的數(shù)據(jù)中心總體架構(gòu)如圖7所示，包括：用戶門(mén)戶模塊、管理門(mén)戶模塊、運(yùn)營(yíng)管理模塊、IT服務(wù)管理模塊、資源管理模塊、IT運(yùn)維管理模塊和基礎(chǔ)設(shè)施管理模塊。

優(yōu)選地，用戶門(mén)戶模塊包括：自服務(wù)門(mén)戶和服務(wù)目錄。

優(yōu)選地，管理門(mén)戶模塊包括：告警管理、報(bào)表呈現(xiàn)、權(quán)限管理和訪問(wèn)控制。

優(yōu)選地，運(yùn)營(yíng)管理模塊包括：服務(wù)目錄管理、產(chǎn)品管理、計(jì)費(fèi)/報(bào)表管理、訂單管理、用戶管理、資源調(diào)度。

優(yōu)選地，信息技術(shù)(IT)服務(wù)管理模塊包括：服務(wù)臺(tái)、服務(wù)等級(jí)協(xié)議(SLA)管理、問(wèn)題管理、事件管理、配置管理、變更管理。

優(yōu)選地，資源管理模塊包括：應(yīng)用部署、資源/模板管理、資源調(diào)度、資源監(jiān)控。

優(yōu)選地，IT運(yùn)維管理模塊包括：業(yè)務(wù)影響分析、告警、拓?fù)?、性能、?bào)表、服務(wù)器監(jiān)控、網(wǎng)絡(luò)監(jiān)控、存儲(chǔ)監(jiān)控、中間件監(jiān)控、應(yīng)用監(jiān)控、數(shù)據(jù)庫(kù)監(jiān)控。

優(yōu)選地，基礎(chǔ)設(shè)施管理模塊包括：告警管理、三維(3D)機(jī)房可視化、能耗管理、容量管理、環(huán)境監(jiān)控、動(dòng)力監(jiān)控。

本發(fā)明優(yōu)選實(shí)施例的工作流程如圖8所示，包括如下步驟：

步驟S802，客戶端先向最近的三級(jí)數(shù)據(jù)中心發(fā)送訪問(wèn)請(qǐng)求，通過(guò)三級(jí)數(shù)據(jù)中心的訪問(wèn)控制服務(wù)進(jìn)行初步驗(yàn)證是否具有相應(yīng)的權(quán)限訪問(wèn)一級(jí)數(shù)據(jù)中心的數(shù)據(jù)，通過(guò)后通知三級(jí)數(shù)據(jù)中心權(quán)限管理模塊。

步驟S804，三級(jí)數(shù)據(jù)中心權(quán)限管理模塊將客戶端請(qǐng)求進(jìn)行再次封裝，發(fā)給二級(jí)數(shù)據(jù)中心。

步驟S806，二級(jí)數(shù)據(jù)中心的授權(quán)訪問(wèn)控制服務(wù)先對(duì)消息進(jìn)行驗(yàn)證，驗(yàn)證請(qǐng)求發(fā)送方(即三級(jí)數(shù)據(jù)中心)身份的有效性。通過(guò)后，由證書(shū)管理模塊生成臨時(shí)用戶證書(shū)發(fā)送給客戶端。

步驟S808，客戶端獲取到臨時(shí)用戶證書(shū)后，在向一級(jí)數(shù)據(jù)中心提交服務(wù)請(qǐng)求時(shí)，必須附帶上該臨時(shí)用戶證書(shū)。當(dāng)一級(jí)數(shù)據(jù)中心收到服務(wù)請(qǐng)求后，它首先使用公鑰為證書(shū)解密，如果發(fā)現(xiàn)中心服務(wù)器的簽名，則認(rèn)為這份證書(shū)是合法的，客戶端身份認(rèn)證通過(guò)， 并從中獲取客戶端所具有的的角色；一級(jí)數(shù)據(jù)中心通過(guò)角色所具有的權(quán)限來(lái)完成客戶端提交的服務(wù)請(qǐng)求，完成后，將結(jié)果返回給客戶端。

通過(guò)上述優(yōu)選實(shí)施方式，可以將傳統(tǒng)的分散、分層、異構(gòu)的數(shù)據(jù)中心架構(gòu)，升級(jí)為物理分散、邏輯集中的統(tǒng)一資源管理的分布式云數(shù)據(jù)中心?？梢詫⒉煌赜颉⒉煌A段、不同規(guī)模的數(shù)據(jù)中心，混合為一個(gè)跨數(shù)據(jù)中心的邏輯資源池，全局容量管理。可以跨地域多數(shù)據(jù)中心的資源統(tǒng)一管理及調(diào)度，策略化的訪問(wèn)控制管理?？梢?jiàn)，通過(guò)應(yīng)用本系統(tǒng)提供的訪問(wèn)控制功能，整個(gè)系統(tǒng)的安全性和保密性加強(qiáng)了。

優(yōu)選實(shí)施方式二

在本發(fā)明優(yōu)選實(shí)施例中，采用的數(shù)據(jù)中心系統(tǒng)如圖9所示，該系統(tǒng)也采用三級(jí)架構(gòu)，在集團(tuán)總部建設(shè)一套數(shù)據(jù)中心作為一級(jí)數(shù)據(jù)中心，將全國(guó)分為兩個(gè)區(qū)域，南方基地和北方基地，分別建設(shè)南方基地?cái)?shù)據(jù)中心和北方基地?cái)?shù)據(jù)中心作為二級(jí)數(shù)據(jù)中心(南方基地?cái)?shù)據(jù)中心和北方基地?cái)?shù)據(jù)中心各自管轄多個(gè)省的數(shù)據(jù)中心)，各個(gè)省會(huì)城市分別建設(shè)數(shù)據(jù)中心作為三級(jí)數(shù)據(jù)中心。

基于上述數(shù)據(jù)中心系統(tǒng)的訪問(wèn)控制方法流程描述如下：

步驟S902，客戶端先向?qū)俚厮谑〉腦X市數(shù)據(jù)中心發(fā)送訪問(wèn)請(qǐng)求，通過(guò)XX市數(shù)據(jù)中心的訪問(wèn)控制服務(wù)進(jìn)行初步驗(yàn)證是否具有相應(yīng)的權(quán)限訪問(wèn)一級(jí)數(shù)據(jù)中心的數(shù)據(jù)，通過(guò)后通知北方基地?cái)?shù)據(jù)中心權(quán)限管理模塊。

步驟S904，XX市數(shù)據(jù)中心權(quán)限管理模塊將客戶端請(qǐng)求進(jìn)行再次封裝，發(fā)給北方基地?cái)?shù)據(jù)中心。

步驟S906，北方基地?cái)?shù)據(jù)中心的授權(quán)訪問(wèn)控制服務(wù)先對(duì)消息進(jìn)行驗(yàn)證，驗(yàn)證請(qǐng)求發(fā)送方(即XX市數(shù)據(jù)中心)身份的有效性。通過(guò)后，由證書(shū)管理模塊生成臨時(shí)用戶證書(shū)發(fā)送給客戶端。

步驟S908，客戶端獲取到臨時(shí)用戶證書(shū)后，在向總部數(shù)據(jù)中心提交服務(wù)請(qǐng)求時(shí)，必須附帶上該臨時(shí)用戶證書(shū)。當(dāng)總部數(shù)據(jù)中心收到服務(wù)請(qǐng)求后，它首先使用公鑰為證書(shū)解密，如果發(fā)現(xiàn)中心服務(wù)器的簽名，則認(rèn)為這份證書(shū)是合法的，客戶端身份認(rèn)證通過(guò)，并從中獲取客戶端所具有的的角色；總部數(shù)據(jù)中心通過(guò)角色所具有的權(quán)限來(lái)完成客戶端提交的服務(wù)請(qǐng)求，完成后，將結(jié)果返回給客戶端。

本系統(tǒng)通過(guò)采用本發(fā)明的授權(quán)域和訪問(wèn)控制機(jī)制，有效降低了數(shù)據(jù)中心的建設(shè)和管理成本，并實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)部以及數(shù)據(jù)中心之間的數(shù)據(jù)隔離。

優(yōu)選實(shí)施方式三

本發(fā)明優(yōu)選實(shí)施例采用的數(shù)據(jù)中心及其運(yùn)維系統(tǒng)如圖10所示，該系統(tǒng)也采用三級(jí)架構(gòu)，每一級(jí)數(shù)據(jù)中心由業(yè)務(wù)服務(wù)平臺(tái)、云管理平臺(tái)、數(shù)據(jù)中心管理平臺(tái)三大部分組成。

其中，業(yè)務(wù)服務(wù)平臺(tái)負(fù)責(zé)管理各種業(yè)務(wù)，包括：監(jiān)控、數(shù)據(jù)分析、辦公業(yè)務(wù)等。

其中，云管理平臺(tái)管理負(fù)載虛擬化管理、資源運(yùn)營(yíng)管理，包括：虛擬化環(huán)境管理軟件、資源運(yùn)營(yíng)管理軟件、訪問(wèn)控制管理軟件、證書(shū)管理軟件。

其中，數(shù)據(jù)中心管理平臺(tái)負(fù)責(zé)對(duì)數(shù)據(jù)中心基礎(chǔ)設(shè)施進(jìn)行監(jiān)控，包括：視頻監(jiān)控、環(huán)境監(jiān)控、配電監(jiān)控、能耗監(jiān)控、制冷監(jiān)控、安防監(jiān)控和容量監(jiān)控。

下面以運(yùn)維人員接入數(shù)據(jù)中心進(jìn)行故障定位的場(chǎng)景為例，流程描述如下：

步驟S1002，運(yùn)維工程師通過(guò)專(zhuān)用客戶端向三級(jí)數(shù)據(jù)中心發(fā)送訪問(wèn)請(qǐng)求，通過(guò)三級(jí)數(shù)據(jù)中心的訪問(wèn)控制管理軟件進(jìn)行初步驗(yàn)證是否具有相應(yīng)的權(quán)限接入一級(jí)數(shù)據(jù)中心，通過(guò)后通知二級(jí)數(shù)據(jù)中心訪問(wèn)控制管理軟件。

步驟S1004，三級(jí)數(shù)據(jù)中心的訪問(wèn)控制管理軟件將客戶端請(qǐng)求進(jìn)行再次封裝，發(fā)給二級(jí)數(shù)據(jù)中心。

步驟S1006，二級(jí)數(shù)據(jù)中心的訪問(wèn)控制管理軟件先對(duì)消息進(jìn)行驗(yàn)證，驗(yàn)證請(qǐng)求發(fā)送方(即三級(jí)數(shù)據(jù)中心)身份的有效性。通過(guò)后，由證書(shū)管理軟件生成臨時(shí)用戶證書(shū)發(fā)送給客戶端。

步驟S1008，客戶端獲取到臨時(shí)用戶證書(shū)后，在向一級(jí)數(shù)據(jù)中心提交服務(wù)請(qǐng)求時(shí)，必須附帶上該臨時(shí)用戶證書(shū)。當(dāng)一級(jí)數(shù)據(jù)中心收到服務(wù)請(qǐng)求后，它首先使用公鑰為證書(shū)解密，如果發(fā)現(xiàn)中心服務(wù)器的簽名，則認(rèn)為這份證書(shū)是合法的，客戶端身份認(rèn)證通過(guò)，并從中獲取客戶端所具有的的角色；一級(jí)數(shù)據(jù)中心通過(guò)角色所具有的權(quán)限來(lái)完成客戶端提交的服務(wù)請(qǐng)求，完成后，將結(jié)果返回給客戶端。

本系統(tǒng)通過(guò)訪問(wèn)控制管理軟件實(shí)現(xiàn)對(duì)數(shù)據(jù)中心間的訪問(wèn)控制，以及運(yùn)維人員接入數(shù)據(jù)中心的訪問(wèn)控制，有效實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)隔離。

綜上所述，本發(fā)明實(shí)施例提出了一種基于證書(shū)的區(qū)域授權(quán)訪問(wèn)控制機(jī)制，這種訪問(wèn)控制機(jī)制結(jié)合了現(xiàn)有訪問(wèn)控制技術(shù)的優(yōu)勢(shì)，實(shí)現(xiàn)各個(gè)系統(tǒng)之間安全、可靠地訪問(wèn)，它們可應(yīng)用于各種分布式數(shù)據(jù)中心建設(shè)中，確保了數(shù)據(jù)中心數(shù)據(jù)的保密性、完整性和可用性。

在另外一個(gè)實(shí)施例中，還提供了一種軟件，該軟件用于執(zhí)行上述實(shí)施例及優(yōu)選實(shí)施方式中描述的技術(shù)方案。

在另外一個(gè)實(shí)施例中，還提供了一種存儲(chǔ)介質(zhì)，該存儲(chǔ)介質(zhì)中存儲(chǔ)有上述軟件，該存儲(chǔ)介質(zhì)包括但不限于：光盤(pán)、軟盤(pán)、硬盤(pán)、可擦寫(xiě)存儲(chǔ)器等。

需要說(shuō)明的是，本發(fā)明的說(shuō)明書(shū)和權(quán)利要求書(shū)及上述附圖中的術(shù)語(yǔ)“第一”、“第二”等是用于區(qū)別類(lèi)似的對(duì)象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的對(duì)象在適當(dāng)情況下可以互換，以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形，意圖 在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過(guò)程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

顯然，本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn)，它們可以集中在單個(gè)的計(jì)算裝置上，或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn)，從而，可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行，并且在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟，或者將它們分別制作成各個(gè)集成電路模塊，或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。

以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。