專利名稱:一種基于云計算的數(shù)據(jù)安全訪問模型的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種本發(fā)明涉及云計算領(lǐng)域����,具體地說是一種基于云計算的數(shù)據(jù)安 全訪問模型。
背景技術(shù):
云計算是一種新興的商業(yè)計算模型��,他將計算任務(wù)分布在大量計算機構(gòu)成的資源 池上��,使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計算能力�,存儲空間和各種軟件服務(wù)。在云計算時 代�����,傳統(tǒng)的數(shù)據(jù)深埋在各種應(yīng)用中無法獲取和利用�,而現(xiàn)在云計算的用戶可以通過瀏覽器 直接調(diào)用供應(yīng)商提供的API (應(yīng)用程序編程接口)隨時隨地的獲取所需要的數(shù)據(jù)和服務(wù),這 種訪問模式和服務(wù)模式額改變帶來了許多的云計算系統(tǒng)的安全問題��,不同的用戶由起初的 在各自使用自己獨立的軟件系統(tǒng)�,轉(zhuǎn)變向使用同一個軟件系統(tǒng),使數(shù)據(jù)的隱私性受到質(zhì)疑��。為此�,大多數(shù)計算機廠商,在各自的云計算產(chǎn)品上提供了自己的私有云解決方案, 即在企業(yè)內(nèi)部搭建自己的云平臺����,只有自己賦權(quán)的人才能訪問云平臺的數(shù)據(jù)。私有云的安 全性要大大強于公有云的安全性�����,但是搭建私有云對于中小企業(yè)來說并不能有效的降低實 施成本�����,因此如何在價格低廉公有云上加強安全防護尤為重要��。為了能更安全的使用公有云�,我們提出一種簡單安全的數(shù)據(jù)訪問模型。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于云計算的數(shù)據(jù)安全訪問模型�。本發(fā)明的目的是按以下方式實現(xiàn)的,安全訪問模型只允許云用戶訪問與其所擁有 的信息沒有關(guān)聯(lián)的云內(nèi)信息�,云用戶第一次自由選擇任何一個云中的數(shù)據(jù),此時云用戶中 沒有任何有關(guān)云端服務(wù)器數(shù)據(jù)集中的數(shù)據(jù)�,不存在任何關(guān)聯(lián),但是�����,云用戶一旦做出選擇 并且訪問了某個云中的數(shù)據(jù)����,它的訪問權(quán)限就會被限定,不能再對這個對立云中的其他云 中的數(shù)據(jù)進行訪問����,只能對這個限定的云中的信息數(shù)據(jù)進行訪問,在這個模型中�,包括以下 六部分組成
1)角色集合R {Rolel, Role2, Role3}
2)用戶集合C: {Customer 1, Customer〗}
3)云端數(shù)據(jù)集合A,B,云端數(shù)據(jù)總集合D ;
4)角色集合和用戶集合的對應(yīng)關(guān)系CR��;
5)劃分云端數(shù)據(jù)集的方法FunctionDS����;
6)角色集合和云端數(shù)據(jù)集的計算方法FunctionRD。訪問步驟如下
(1)假設(shè)我們已有了上述的6個部分的條件��;
(2)根據(jù)FunctionDS,云端數(shù)據(jù)集合D會被劃分為兩個交集為空的集合A,B ;此時我 們使用Customerl登錄云平臺����,Customerl申請訪問數(shù)據(jù)集A,此時模型會根據(jù)CR分配給 Customer 1 一個訪問A的權(quán)限Rolel ;(3)Rolel通過FunctionRD的解析��,得到Customerl能夠訪問哪些集合��,此處判定為A;
(4)Customerl注銷后再次登錄云平臺��,此時平臺判定Customerl具有權(quán)限Rolel,就 不再給用戶重新附加權(quán)限�,Customerl可以使用Rolel訪問集合A ;
(5)假設(shè)此時Customerl訪問B,平臺會提示權(quán)限不足�,此時Customerl可以申請?zhí)砑?權(quán)限,但是�,因為B集合和A集合交集為空且A,B對應(yīng)的Role為取反關(guān)系��,這時Customerl 申請的B集合權(quán)限不能被審批通過��,假設(shè)此時Customerl仍要訪問B,平臺可以先刪除 Customerl的權(quán)限Rolel,然后Customerl重新登錄即可�����。在模型中���,云用戶初始時沒有任何限制可以任意訪問數(shù)據(jù)���,當用戶訪問過一次云 數(shù)據(jù)集之后,系統(tǒng)會根據(jù)云數(shù)據(jù)集的內(nèi)容將云數(shù)據(jù)總集合劃分為幾個子集,其中至少包含 兩個子集A、B��,A和B兩個集合不允許同時被一個用戶訪問���,且A���、B兩個集合中的一個一定 要包含用戶訪問的云數(shù)據(jù)集。本發(fā)明的有益效果是可以使云用戶在訪問云的過程中更加安全�,同時也能更好 的保護用戶放在云中的數(shù)據(jù)。此模型的靈活性體現(xiàn)在打破了用戶固定權(quán)限訪問固定數(shù)據(jù)的 緊耦合�����,同時用戶在訪問一些數(shù)據(jù)集合的同時不能訪問和這些集合有沖突的集合�����,具有非 常廣闊的應(yīng)用前景���。
圖1是角色集合和用戶集合的對應(yīng)關(guān)系拓撲圖2是劃分云端數(shù)據(jù)集的方法拓撲圖3是角色集合和云端數(shù)據(jù)集的計算方法拓撲圖��。
具體實施例方式
參照說明書附圖對本發(fā)明的模型作以下詳細地說明����。本發(fā)明的一種基于云計算的數(shù)據(jù)安全訪問模型�����,本發(fā)明區(qū)別于傳統(tǒng)的數(shù)據(jù)庫的 訪問模式,以動態(tài)賦權(quán)為核心����,通過動態(tài)編輯用戶權(quán)限的方式,打破固定權(quán)限訪問固定數(shù)據(jù) 的模式��,達到靈活安全的目的����。本發(fā)明的基本思想是只允許云用戶訪問與其所擁有的信息沒有關(guān)聯(lián)的云內(nèi)信息。 云用戶第一次選擇可以自由選擇任何一個云中的數(shù)據(jù)�����,因為此時云用戶中沒有任何有關(guān)云 端服務(wù)器數(shù)據(jù)集中的數(shù)據(jù)���,所以不存在任何關(guān)聯(lián)��。但是���,云用戶一旦做出選擇并且訪問了 某個云中的數(shù)據(jù),它的訪問權(quán)限就會被限定����,不能再對這個對立云中的其他云中的數(shù)據(jù)進 行訪問��,只能對這個限定的云中的信息數(shù)據(jù)進行訪問�。模型由以下六部分組成
(1)角色集合R: {Rolel, Role2, Role3}
(2)用戶集合C: {Customerl, Customer〗}
(3)云端數(shù)據(jù)集合A�,B,云端數(shù)據(jù)總集合D;
(4)角色集合和用戶集合的對應(yīng)關(guān)系CR�,見附圖1
(5)劃分云端數(shù)據(jù)集的方法FunctionDS,見附圖2
(6)角色集合和云端數(shù)據(jù)集的計算方法FunctionRD,見附圖3。實施例下面參照附圖2�����,對本發(fā)明的內(nèi)容以一個具體實例來描述實現(xiàn)這一方法的過程�;
(1)假設(shè)我們已有了上述的6個條件��;
(2)根據(jù)FunctionDS,云端數(shù)據(jù)集合D會被劃分為兩個交集為空的集合A,B 此時我們使用Customerl登錄云平臺�����,Customerl申請訪問數(shù)據(jù)集A,此時模型會根據(jù)
CR分配給Customerl —個訪問A的權(quán)限Rolel �����;
(3)Rolel通過FunctionRD的解析���,得到Customerl能夠訪問哪些集合��,此處判定為A����;
(4)Customerl注銷后再次登錄云平臺,此時平臺判定Customerl具有權(quán)限Rolel,就 不再給用戶重新附加權(quán)限���,Customerl可以使用Rolel訪問集合A �;
(5)假設(shè)此時Customerl訪問B,平臺會提示權(quán)限不足�����,此時Customerl可以申請?zhí)砑?權(quán)限����,但是,因為B集合和A集合交集為空且A����,B對應(yīng)的Role為取反關(guān)系,這時Customerl 申請的B集合權(quán)限不能被審批通過�。假設(shè)此時Customerl仍要訪問B,平臺可以先刪除 Customerl的權(quán)限Rolel,然后Customerl重新登錄即可。 除說明書所述的技術(shù)特征外��,均為本專業(yè)技術(shù)人員的已知技術(shù)����。
權(quán)利要求
1.一種基于云計算的數(shù)據(jù)安全訪問模型����,其特征在于安全訪問模型只允許云用戶訪 問與其所擁有的信息沒有關(guān)聯(lián)的云內(nèi)信息�����,云用戶第一次自由選擇任何一個云中的數(shù)據(jù)���, 此時云用戶中沒有任何有關(guān)云端服務(wù)器數(shù)據(jù)集中的數(shù)據(jù),不存在任何關(guān)聯(lián)�,但是,云用戶 一旦做出選擇并且訪問了某個云中的數(shù)據(jù)�,它的訪問權(quán)限就會被限定,不能再對這個對立 云中的其他云中的數(shù)據(jù)進行訪問�,只能對這個限定的云中的信息數(shù)據(jù)進行訪問,在這個模 型中�����,包括以下六部分組成1)角色集合R: {Rolel, Role2, Role3}2)用戶集合C: {Customer 1, Customer〗}3)云端數(shù)據(jù)集合A,B,云端數(shù)據(jù)總集合D ��;4)角色集合和用戶集合的對應(yīng)關(guān)系CR�����;5)劃分云端數(shù)據(jù)集的方法FunctionDS;6)角色集合和云端數(shù)據(jù)集的計算方法FunctionRD���;訪問步驟如下(1)假設(shè)我們已有了上述的6個部分的條件�����;(2)根據(jù)FunctionDS,云端數(shù)據(jù)集合D會被劃分為兩個交集為空的集合A,B ;此時我 們使用Customer 1登錄云平臺��,Customer 1申請訪問數(shù)據(jù)集A,此時模型會根據(jù)CR分配給 Customer 1 一個訪問A的權(quán)限Rolel ��;(3)Rolel通過FunctionRD的解析�,得到Customerl能夠訪問哪些集合�,此處判定為A;(4)Customerl注銷后再次登錄云平臺�,此時平臺判定Customerl具有權(quán)限Rolel,就 不再給用戶重新附加權(quán)限,Customerl可以使用Rolel訪問集合A �����;(5)假設(shè)此時Customerl訪問B,平臺會提示權(quán)限不足����,此時Customerl可以申請?zhí)砑?權(quán)限����,但是��,因為B集合和A集合交集為空且A����,B對應(yīng)的Role為取反關(guān)系�����,這時Customerl 申請的B集合權(quán)限不能被審批通過,假設(shè)此時Customerl仍要訪問B,平臺可以先刪除 Customerl的權(quán)限Rolel,然后Customerl重新登錄即可����。
2.根據(jù)權(quán)利要求1所述的基于云計算的數(shù)據(jù)安全訪問模型��,其特征在于在模型中��,云 用戶初始時沒有任何限制可以任意訪問數(shù)據(jù)�,當用戶訪問過一次云數(shù)據(jù)集之后,系統(tǒng)會根 據(jù)云數(shù)據(jù)集的內(nèi)容將云數(shù)據(jù)總集合劃分為幾個子集�,其中至少包含兩個子集A、B,A和B兩 個集合不允許同時被一個用戶訪問�����,且A����、B兩個集合中的一個一定要包含用戶訪問的云數(shù) 據(jù)集。
全文摘要
本發(fā)明提供一種基于云計算的數(shù)據(jù)安全訪問模型�����,該模型只允許云用戶訪問與其所擁有的信息沒有關(guān)聯(lián)的云內(nèi)信息,云用戶第一次自由選擇任何一個云中的數(shù)據(jù)�,此時云用戶中沒有任何有關(guān)云端服務(wù)器數(shù)據(jù)集中的數(shù)據(jù),不存在任何關(guān)聯(lián),但是�����,云用戶一旦做出選擇并且訪問了某個云中的數(shù)據(jù)����,它的訪問權(quán)限就會被限定,不能再對這個對立云中的其他云中的數(shù)據(jù)進行訪問����,只能對這個限定的云中的信息數(shù)據(jù)進行訪問,可以使云用戶在訪問云的過程中更加安全�,同時也能更好的保護用戶放在云中的數(shù)據(jù)。此模型的靈活性體現(xiàn)在打破了用戶固定權(quán)限訪問固定數(shù)據(jù)的緊耦合����,同時用戶在訪問一些數(shù)據(jù)集合的同時不能訪問和這些集合有沖突的集合,具有非常廣闊的應(yīng)用前景��。
文檔編號H04L29/08GK102664908SQ20111038017
公開日2012年9月12日 申請日期2011年11月25日 優(yōu)先權(quán)日2011年11月25日
發(fā)明者王帥 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司