專利名稱:一種基于云計(jì)算的數(shù)據(jù)安全訪問模型的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種本發(fā)明涉及云計(jì)算領(lǐng)域��,具體地說是一種基于云計(jì)算的數(shù)據(jù)安 全訪問模型�����。
背景技術(shù):
云計(jì)算是一種新興的商業(yè)計(jì)算模型,他將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源 池上�,使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算能力,存儲(chǔ)空間和各種軟件服務(wù)����。在云計(jì)算時(shí) 代,傳統(tǒng)的數(shù)據(jù)深埋在各種應(yīng)用中無法獲取和利用��,而現(xiàn)在云計(jì)算的用戶可以通過瀏覽器 直接調(diào)用供應(yīng)商提供的API (應(yīng)用程序編程接口)隨時(shí)隨地的獲取所需要的數(shù)據(jù)和服務(wù)����,這 種訪問模式和服務(wù)模式額改變帶來了許多的云計(jì)算系統(tǒng)的安全問題,不同的用戶由起初的 在各自使用自己獨(dú)立的軟件系統(tǒng)�����,轉(zhuǎn)變向使用同一個(gè)軟件系統(tǒng)�����,使數(shù)據(jù)的隱私性受到質(zhì)疑����。為此,大多數(shù)計(jì)算機(jī)廠商����,在各自的云計(jì)算產(chǎn)品上提供了自己的私有云解決方案���, 即在企業(yè)內(nèi)部搭建自己的云平臺,只有自己賦權(quán)的人才能訪問云平臺的數(shù)據(jù)�����。私有云的安 全性要大大強(qiáng)于公有云的安全性�����,但是搭建私有云對于中小企業(yè)來說并不能有效的降低實(shí) 施成本����,因此如何在價(jià)格低廉公有云上加強(qiáng)安全防護(hù)尤為重要�����。為了能更安全的使用公有云���,我們提出一種簡單安全的數(shù)據(jù)訪問模型�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于云計(jì)算的數(shù)據(jù)安全訪問模型���。本發(fā)明的目的是按以下方式實(shí)現(xiàn)的��,安全訪問模型只允許云用戶訪問與其所擁有 的信息沒有關(guān)聯(lián)的云內(nèi)信息��,云用戶第一次自由選擇任何一個(gè)云中的數(shù)據(jù)�,此時(shí)云用戶中 沒有任何有關(guān)云端服務(wù)器數(shù)據(jù)集中的數(shù)據(jù)����,不存在任何關(guān)聯(lián),但是����,云用戶一旦做出選擇 并且訪問了某個(gè)云中的數(shù)據(jù),它的訪問權(quán)限就會(huì)被限定�,不能再對這個(gè)對立云中的其他云 中的數(shù)據(jù)進(jìn)行訪問,只能對這個(gè)限定的云中的信息數(shù)據(jù)進(jìn)行訪問����,在這個(gè)模型中,包括以下 六部分組成
1)角色集合R {Rolel, Role2, Role3}
2)用戶集合C: {Customer 1, Customer〗}
3)云端數(shù)據(jù)集合A,B,云端數(shù)據(jù)總集合D �;
4)角色集合和用戶集合的對應(yīng)關(guān)系CR;
5)劃分云端數(shù)據(jù)集的方法FunctionDS;
6)角色集合和云端數(shù)據(jù)集的計(jì)算方法FunctionRD���。訪問步驟如下
(1)假設(shè)我們已有了上述的6個(gè)部分的條件���;
(2)根據(jù)FunctionDS,云端數(shù)據(jù)集合D會(huì)被劃分為兩個(gè)交集為空的集合A,B ;此時(shí)我 們使用Customerl登錄云平臺,Customerl申請?jiān)L問數(shù)據(jù)集A,此時(shí)模型會(huì)根據(jù)CR分配給 Customer 1 一個(gè)訪問A的權(quán)限Rolel ��;(3)Rolel通過FunctionRD的解析�,得到Customerl能夠訪問哪些集合,此處判定為A�����;
(4)Customerl注銷后再次登錄云平臺�����,此時(shí)平臺判定Customerl具有權(quán)限Rolel,就 不再給用戶重新附加權(quán)限�,Customerl可以使用Rolel訪問集合A ;
(5)假設(shè)此時(shí)Customerl訪問B,平臺會(huì)提示權(quán)限不足���,此時(shí)Customerl可以申請?zhí)砑?權(quán)限,但是�����,因?yàn)锽集合和A集合交集為空且A,B對應(yīng)的Role為取反關(guān)系����,這時(shí)Customerl 申請的B集合權(quán)限不能被審批通過,假設(shè)此時(shí)Customerl仍要訪問B,平臺可以先刪除 Customerl的權(quán)限Rolel,然后Customerl重新登錄即可�。在模型中,云用戶初始時(shí)沒有任何限制可以任意訪問數(shù)據(jù)�����,當(dāng)用戶訪問過一次云 數(shù)據(jù)集之后,系統(tǒng)會(huì)根據(jù)云數(shù)據(jù)集的內(nèi)容將云數(shù)據(jù)總集合劃分為幾個(gè)子集,其中至少包含 兩個(gè)子集A����、B,A和B兩個(gè)集合不允許同時(shí)被一個(gè)用戶訪問����,且A、B兩個(gè)集合中的一個(gè)一定 要包含用戶訪問的云數(shù)據(jù)集�����。本發(fā)明的有益效果是可以使云用戶在訪問云的過程中更加安全��,同時(shí)也能更好 的保護(hù)用戶放在云中的數(shù)據(jù)。此模型的靈活性體現(xiàn)在打破了用戶固定權(quán)限訪問固定數(shù)據(jù)的 緊耦合���,同時(shí)用戶在訪問一些數(shù)據(jù)集合的同時(shí)不能訪問和這些集合有沖突的集合��,具有非 常廣闊的應(yīng)用前景�����。
圖1是角色集合和用戶集合的對應(yīng)關(guān)系拓?fù)鋱D2是劃分云端數(shù)據(jù)集的方法拓?fù)鋱D3是角色集合和云端數(shù)據(jù)集的計(jì)算方法拓?fù)鋱D�。
具體實(shí)施例方式
參照說明書附圖對本發(fā)明的模型作以下詳細(xì)地說明�。本發(fā)明的一種基于云計(jì)算的數(shù)據(jù)安全訪問模型,本發(fā)明區(qū)別于傳統(tǒng)的數(shù)據(jù)庫的 訪問模式�����,以動(dòng)態(tài)賦權(quán)為核心�,通過動(dòng)態(tài)編輯用戶權(quán)限的方式,打破固定權(quán)限訪問固定數(shù)據(jù) 的模式����,達(dá)到靈活安全的目的。本發(fā)明的基本思想是只允許云用戶訪問與其所擁有的信息沒有關(guān)聯(lián)的云內(nèi)信息���。 云用戶第一次選擇可以自由選擇任何一個(gè)云中的數(shù)據(jù),因?yàn)榇藭r(shí)云用戶中沒有任何有關(guān)云 端服務(wù)器數(shù)據(jù)集中的數(shù)據(jù),所以不存在任何關(guān)聯(lián)����。但是,云用戶一旦做出選擇并且訪問了 某個(gè)云中的數(shù)據(jù)��,它的訪問權(quán)限就會(huì)被限定���,不能再對這個(gè)對立云中的其他云中的數(shù)據(jù)進(jìn) 行訪問�����,只能對這個(gè)限定的云中的信息數(shù)據(jù)進(jìn)行訪問����。模型由以下六部分組成
(1)角色集合R: {Rolel, Role2, Role3}
(2)用戶集合C: {Customerl, Customer〗}
(3)云端數(shù)據(jù)集合A����,B,云端數(shù)據(jù)總集合D;
(4)角色集合和用戶集合的對應(yīng)關(guān)系CR����,見附圖1
(5)劃分云端數(shù)據(jù)集的方法FunctionDS,見附圖2
(6)角色集合和云端數(shù)據(jù)集的計(jì)算方法FunctionRD,見附圖3。實(shí)施例下面參照附圖2����,對本發(fā)明的內(nèi)容以一個(gè)具體實(shí)例來描述實(shí)現(xiàn)這一方法的過程����;
(1)假設(shè)我們已有了上述的6個(gè)條件��;
(2)根據(jù)FunctionDS,云端數(shù)據(jù)集合D會(huì)被劃分為兩個(gè)交集為空的集合A,B 此時(shí)我們使用Customerl登錄云平臺���,Customerl申請?jiān)L問數(shù)據(jù)集A,此時(shí)模型會(huì)根據(jù)
CR分配給Customerl —個(gè)訪問A的權(quán)限Rolel ��;
(3)Rolel通過FunctionRD的解析���,得到Customerl能夠訪問哪些集合,此處判定為A��;
(4)Customerl注銷后再次登錄云平臺����,此時(shí)平臺判定Customerl具有權(quán)限Rolel,就 不再給用戶重新附加權(quán)限,Customerl可以使用Rolel訪問集合A �;
(5)假設(shè)此時(shí)Customerl訪問B,平臺會(huì)提示權(quán)限不足,此時(shí)Customerl可以申請?zhí)砑?權(quán)限��,但是��,因?yàn)锽集合和A集合交集為空且A,B對應(yīng)的Role為取反關(guān)系��,這時(shí)Customerl 申請的B集合權(quán)限不能被審批通過�����。假設(shè)此時(shí)Customerl仍要訪問B,平臺可以先刪除 Customerl的權(quán)限Rolel,然后Customerl重新登錄即可��。 除說明書所述的技術(shù)特征外��,均為本專業(yè)技術(shù)人員的已知技術(shù)��。
權(quán)利要求
1.一種基于云計(jì)算的數(shù)據(jù)安全訪問模型�����,其特征在于安全訪問模型只允許云用戶訪 問與其所擁有的信息沒有關(guān)聯(lián)的云內(nèi)信息����,云用戶第一次自由選擇任何一個(gè)云中的數(shù)據(jù)�, 此時(shí)云用戶中沒有任何有關(guān)云端服務(wù)器數(shù)據(jù)集中的數(shù)據(jù),不存在任何關(guān)聯(lián)��,但是����,云用戶 一旦做出選擇并且訪問了某個(gè)云中的數(shù)據(jù)�����,它的訪問權(quán)限就會(huì)被限定�����,不能再對這個(gè)對立 云中的其他云中的數(shù)據(jù)進(jìn)行訪問����,只能對這個(gè)限定的云中的信息數(shù)據(jù)進(jìn)行訪問����,在這個(gè)模 型中,包括以下六部分組成1)角色集合R: {Rolel, Role2, Role3}2)用戶集合C: {Customer 1, Customer〗}3)云端數(shù)據(jù)集合A,B,云端數(shù)據(jù)總集合D �;4)角色集合和用戶集合的對應(yīng)關(guān)系CR;5)劃分云端數(shù)據(jù)集的方法FunctionDS�����;6)角色集合和云端數(shù)據(jù)集的計(jì)算方法FunctionRD��;訪問步驟如下(1)假設(shè)我們已有了上述的6個(gè)部分的條件����;(2)根據(jù)FunctionDS,云端數(shù)據(jù)集合D會(huì)被劃分為兩個(gè)交集為空的集合A,B ;此時(shí)我 們使用Customer 1登錄云平臺�,Customer 1申請?jiān)L問數(shù)據(jù)集A,此時(shí)模型會(huì)根據(jù)CR分配給 Customer 1 一個(gè)訪問A的權(quán)限Rolel ��;(3)Rolel通過FunctionRD的解析����,得到Customerl能夠訪問哪些集合�,此處判定為A;(4)Customerl注銷后再次登錄云平臺�����,此時(shí)平臺判定Customerl具有權(quán)限Rolel,就 不再給用戶重新附加權(quán)限�����,Customerl可以使用Rolel訪問集合A ��;(5)假設(shè)此時(shí)Customerl訪問B,平臺會(huì)提示權(quán)限不足��,此時(shí)Customerl可以申請?zhí)砑?權(quán)限�,但是,因?yàn)锽集合和A集合交集為空且A�����,B對應(yīng)的Role為取反關(guān)系,這時(shí)Customerl 申請的B集合權(quán)限不能被審批通過,假設(shè)此時(shí)Customerl仍要訪問B,平臺可以先刪除 Customerl的權(quán)限Rolel,然后Customerl重新登錄即可�����。
2.根據(jù)權(quán)利要求1所述的基于云計(jì)算的數(shù)據(jù)安全訪問模型���,其特征在于在模型中�,云 用戶初始時(shí)沒有任何限制可以任意訪問數(shù)據(jù)����,當(dāng)用戶訪問過一次云數(shù)據(jù)集之后,系統(tǒng)會(huì)根 據(jù)云數(shù)據(jù)集的內(nèi)容將云數(shù)據(jù)總集合劃分為幾個(gè)子集�,其中至少包含兩個(gè)子集A、B��,A和B兩 個(gè)集合不允許同時(shí)被一個(gè)用戶訪問����,且A、B兩個(gè)集合中的一個(gè)一定要包含用戶訪問的云數(shù) 據(jù)集�。
全文摘要
本發(fā)明提供一種基于云計(jì)算的數(shù)據(jù)安全訪問模型,該模型只允許云用戶訪問與其所擁有的信息沒有關(guān)聯(lián)的云內(nèi)信息,云用戶第一次自由選擇任何一個(gè)云中的數(shù)據(jù),此時(shí)云用戶中沒有任何有關(guān)云端服務(wù)器數(shù)據(jù)集中的數(shù)據(jù)����,不存在任何關(guān)聯(lián),但是,云用戶一旦做出選擇并且訪問了某個(gè)云中的數(shù)據(jù)���,它的訪問權(quán)限就會(huì)被限定���,不能再對這個(gè)對立云中的其他云中的數(shù)據(jù)進(jìn)行訪問,只能對這個(gè)限定的云中的信息數(shù)據(jù)進(jìn)行訪問��,可以使云用戶在訪問云的過程中更加安全�����,同時(shí)也能更好的保護(hù)用戶放在云中的數(shù)據(jù)��。此模型的靈活性體現(xiàn)在打破了用戶固定權(quán)限訪問固定數(shù)據(jù)的緊耦合���,同時(shí)用戶在訪問一些數(shù)據(jù)集合的同時(shí)不能訪問和這些集合有沖突的集合,具有非常廣闊的應(yīng)用前景��。
文檔編號H04L29/08GK102664908SQ20111038017
公開日2012年9月12日 申請日期2011年11月25日 優(yōu)先權(quán)日2011年11月25日
發(fā)明者王帥 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司