一種面向云計(jì)算的任務(wù)角色訪問控制模型的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域���,具體地說是一種面向云計(jì)算的任務(wù)角色訪問控制模型���。
【背景技術(shù)】
[0002]傳統(tǒng)的訪問控制模型有自主訪問控制和強(qiáng)制訪問控制兩種�,但這兩種訪問控制模型都存在管理困難的問題。隨著計(jì)算機(jī)系統(tǒng)的不斷發(fā)展��,在云計(jì)算環(huán)境下�,用戶需要訪問的資源越來越多,出現(xiàn)了對(duì)靈活性好����、適應(yīng)性強(qiáng)的訪問控制模型的需求。
[0003]基于角色的訪問控制模型(RBAC)��,它在用戶和訪問權(quán)限之間引入角色的概念,這樣保證將用戶和權(quán)限之間進(jìn)行了分離��,從而進(jìn)一步的可以保證用戶和訪問權(quán)限的安全��,提高了用戶訪問的靈活性�����。但此模型不適合在分布式的系統(tǒng)中應(yīng)用����。
[0004]基于任務(wù)的訪問控制模型(TBAC)是一種新的安全模型,它采用工作流的特性��,從任務(wù)角度出發(fā)���,將任務(wù)分為建立任務(wù)���,執(zhí)行任務(wù),完成任務(wù)三個(gè)部分���。但此模型不支持被動(dòng)訪問控制����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是克服現(xiàn)有技術(shù)中存在的不足,提供一種面向云計(jì)算的任務(wù)角色訪問控制模型��。在T-RBAC模型中���,使用角色的概念來進(jìn)行用戶管理���,具有明晰的角色層次管理,以及高擴(kuò)展性和適應(yīng)性����。
[0006]本發(fā)明的技術(shù)方案是按以下方式實(shí)現(xiàn)的,其任務(wù)角色訪問控制模型中���,任務(wù)節(jié)點(diǎn)的實(shí)例分配給角色從而來獲得權(quán)限����,用戶獲得對(duì)客體的訪問權(quán)限通過角色來獲得���,結(jié)合云計(jì)算模式下的用戶訪問的特點(diǎn),基于云計(jì)算模式下的任務(wù)角色訪問控制模型�����,具體描述如下:
定義1用戶:網(wǎng)絡(luò)中的企業(yè)客戶或者個(gè)人客戶,他們是由云計(jì)算服務(wù)商提供的客戶��,可以獨(dú)立訪問系統(tǒng)中的數(shù)據(jù)或者資源�;
定義2角色:在云計(jì)算中,訪問任務(wù)的一組集合�����;
定義3權(quán)限:在云計(jì)算中訪問資源的許可范圍�;
定義4會(huì)話:用戶在激活云計(jì)算服務(wù)商的授權(quán)角色之后,通過分配的角色建立映射���,取得了會(huì)話過程�����;
定義5任務(wù):在云計(jì)算中���,根據(jù)云計(jì)算服務(wù)商中提供的不同服務(wù),對(duì)任務(wù)進(jìn)行不同的分類��;有些任務(wù)是可以根據(jù)功能進(jìn)行分類��,也可以根據(jù)服務(wù)類型進(jìn)行分類;
定義6角色繼承:在云計(jì)算中��,很多任務(wù)的執(zhí)行者可能會(huì)具有相同的權(quán)限����,比如在同一個(gè)用戶中的不同客戶訪問同一個(gè)數(shù)據(jù)庫,為避免相同權(quán)限的重復(fù)設(shè)置����,角色可以繼承其他的角色,從而可以具有屬性和權(quán)限�����,避免了角色的重復(fù)設(shè)置��;
定義7約束集:只對(duì)于訪問控制中各種指派所作的規(guī)則限制�����;
定義8 URA:用戶角色分配����; 定義9 TPA:任務(wù)權(quán)限分配��;
定義10 IPA:任務(wù)實(shí)例權(quán)限分配;
定義11 TRA:任務(wù)角色分配��;
定義12 IRA:任務(wù)實(shí)例角色分配����。
[0007]本發(fā)明的優(yōu)點(diǎn)是:
1、T-RBAC能夠利用云端服務(wù)器���,與客體所有者一起通過任務(wù)分配權(quán)限的方式���,既滿足了分布式訪問控制需求,同時(shí)也具有清晰的角色層次管理�;
2、T-RBAC構(gòu)建了一個(gè)面型共享安全的訪問控制機(jī)制���,從數(shù)據(jù)管理�、任務(wù)管理����、用戶管理和授權(quán)管理四個(gè)方面來解決云計(jì)算訪問控制中的安全要求。
【附圖說明】
[0008]圖1為T-RBAC模型的結(jié)構(gòu)示意圖�����。
[0009]實(shí)施方式
下面結(jié)合附圖對(duì)本發(fā)明的一種面向云計(jì)算的任務(wù)角色訪問控制模型作以下詳細(xì)說明。
[0010]如圖1所示����,本發(fā)明的一種面向云計(jì)算的任務(wù)角色訪問控制模型,其任務(wù)角色訪問控制模型中�,任務(wù)節(jié)點(diǎn)的實(shí)例分配給角色從而來獲得權(quán)限,用戶獲得對(duì)客體的訪問權(quán)限通過角色來獲得���,結(jié)合云計(jì)算模式下的用戶訪問的特點(diǎn)�����,基于云計(jì)算模式下的任務(wù)角色訪問控制模型��,具體描述如下:
定義1用戶:網(wǎng)絡(luò)中的企業(yè)客戶或者個(gè)人客戶���,他們是由云計(jì)算服務(wù)商提供的客戶,可以獨(dú)立訪問系統(tǒng)中的數(shù)據(jù)或者資源�;
定義2角色:在云計(jì)算中,訪問任務(wù)的一組集合��;
定義3權(quán)限:在云計(jì)算中訪問資源的許可范圍�;
定義4會(huì)話:用戶在激活云計(jì)算服務(wù)商的授權(quán)角色之后,通過分配的角色建立映射�����,取得了會(huì)話過程�����;
定義5任務(wù):在云計(jì)算中��,根據(jù)云計(jì)算服務(wù)商中提供的不同服務(wù)�,對(duì)任務(wù)進(jìn)行不同的分類;有些任務(wù)是可以根據(jù)功能進(jìn)行分類��,也可以根據(jù)服務(wù)類型進(jìn)行分類�;
定義6角色繼承:在云計(jì)算中,很多任務(wù)的執(zhí)行者可能會(huì)具有相同的權(quán)限���,比如在同一個(gè)用戶中的不同客戶訪問同一個(gè)數(shù)據(jù)庫���,為避免相同權(quán)限的重復(fù)設(shè)置,角色可以繼承其他的角色����,從而可以具有屬性和權(quán)限,避免了角色的重復(fù)設(shè)置��;
定義7約束集:只對(duì)于訪問控制中各種指派所作的規(guī)則限制;
定義8 URA:用戶角色分配��;
定義9 TPA:任務(wù)權(quán)限分配���;
定義10 IPA:任務(wù)實(shí)例權(quán)限分配����;
定義11 TRA:任務(wù)角色分配�����;
定義12 IRA:任務(wù)實(shí)例角色分配���。
[0011]此專利結(jié)合了 RBAC和TBAC的優(yōu)點(diǎn)��,提出一種新的訪問控制模型-任務(wù)角色訪問控制模型(T-RBAC)��。在T-RBAC模型中���,使用角色的概念來進(jìn)行用戶管理,具有明晰的角色層次管理�����,以及高擴(kuò)展性和適應(yīng)性。由于云計(jì)算中主體對(duì)客體的權(quán)限需求有明顯的角色屬性區(qū)別����,本文根據(jù)主體對(duì)客體的訪問的操作需求,把云計(jì)算中的訪問主體分為所有者��、云服務(wù)器���、共享訪問者三類。進(jìn)行角色分類授權(quán)管理����,應(yīng)對(duì)共享訪問者的頻繁變動(dòng)。
[0012]在目前一般的云計(jì)算訪問控制中����,云服務(wù)器都是訪問控制權(quán)限分配主要角色,并且對(duì)客體持有最高權(quán)限�����,云計(jì)算服務(wù)商提供和監(jiān)管享有特權(quán)的管理員方面的具體信息以及控制訪問方面的具體信息���。而本設(shè)計(jì)中通過授權(quán)管理轉(zhuǎn)換云服務(wù)器在訪問控制中的角色�,云服務(wù)器通過客體擁有者授權(quán)獲得權(quán)限,并在授權(quán)過程中充當(dāng)傳遞訪問請(qǐng)求的可信中間人�����,使得訪問控制安全不需要完全依賴于云服務(wù)器的可信度���,同時(shí)利用云服務(wù)器分擔(dān)部分授權(quán)工作��,減輕用戶負(fù)擔(dān)���。
[0013]本發(fā)明的一種面向云計(jì)算的任務(wù)角色訪問控制模型其加工制作非常簡(jiǎn)單方便,按照說明書附圖所示即可加工��。
[0014]除說明書所述的技術(shù)特征外�����,均為本專業(yè)技術(shù)人員的已知技術(shù)��。
【主權(quán)項(xiàng)】
1.一種面向云計(jì)算的任務(wù)角色訪問控制模型���,其特征在于任務(wù)角色訪問控制模型中�����,任務(wù)節(jié)點(diǎn)的實(shí)例分配給角色從而來獲得權(quán)限���,用戶獲得對(duì)客體的訪問權(quán)限通過角色來獲得�,結(jié)合云計(jì)算模式下的用戶訪問的特點(diǎn)�����,基于云計(jì)算模式下的任務(wù)角色訪問控制模型���,具體描述如下: 定義1用戶:網(wǎng)絡(luò)中的企業(yè)客戶或者個(gè)人客戶,他們是由云計(jì)算服務(wù)商提供的客戶�����,可以獨(dú)立訪問系統(tǒng)中的數(shù)據(jù)或者資源�; 定義2角色:在云計(jì)算中,訪問任務(wù)的一組集合����; 定義3權(quán)限:在云計(jì)算中訪問資源的許可范圍; 定義4會(huì)話:用戶在激活云計(jì)算服務(wù)商的授權(quán)角色之后���,通過分配的角色建立映射����,取得了會(huì)話過程; 定義5任務(wù):在云計(jì)算中���,根據(jù)云計(jì)算服務(wù)商中提供的不同服務(wù)���,對(duì)任務(wù)進(jìn)行不同的分類;有些任務(wù)是可以根據(jù)功能進(jìn)行分類�,也可以根據(jù)服務(wù)類型進(jìn)行分類; 定義6角色繼承:在云計(jì)算中���,很多任務(wù)的執(zhí)行者可能會(huì)具有相同的權(quán)限����,比如在同一個(gè)用戶中的不同客戶訪問同一個(gè)數(shù)據(jù)庫����,為避免相同權(quán)限的重復(fù)設(shè)置,角色可以繼承其他的角色�����,從而可以具有屬性和權(quán)限,避免了角色的重復(fù)設(shè)置��; 定義7約束集:只對(duì)于訪問控制中各種指派所作的規(guī)則限制���; 定義8 URA:用戶角色分配���; 定義9 TPA:任務(wù)權(quán)限分配; 定義10 IPA:任務(wù)實(shí)例權(quán)限分配�; 定義11 TRA:任務(wù)角色分配; 定義12 IRA:任務(wù)實(shí)例角色分配�。
【專利摘要】本發(fā)明提供一種面向云計(jì)算的任務(wù)角色訪問控制模型,任務(wù)角色訪問控制模型中�����,任務(wù)節(jié)點(diǎn)的實(shí)例分配給角色從而來獲得權(quán)限��,用戶獲得對(duì)客體的訪問權(quán)限通過角色來獲得�,結(jié)合云計(jì)算模式下的用戶訪問的特點(diǎn)���,基于云計(jì)算模式下的任務(wù)角色訪問控制模型��。T-RBAC能夠利用云端服務(wù)器����,與客體所有者一起通過任務(wù)分配權(quán)限的方式,既滿足了分布式訪問控制需求���,同時(shí)也具有清晰的角色層次管理�;T-RBAC構(gòu)建了一個(gè)面型共享安全的訪問控制機(jī)制�����,從數(shù)據(jù)管理��、任務(wù)管理��、用戶管理和授權(quán)管理四個(gè)方面來解決云計(jì)算訪問控制中的安全要求��。
【IPC分類】H04L29/08, H04L29/06
【公開號(hào)】CN105430087
【申請(qǐng)?zhí)枴緾N201510892491
【發(fā)明人】方雪靜
【申請(qǐng)人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2016年3月23日
【申請(qǐng)日】2015年12月8日