專利名稱:一種云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的安全模型及策略的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及云計(jì)算技術(shù)領(lǐng)域���,尤其涉及一種云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的安全模型及策略。
背景技術(shù):
目前的云計(jì)算數(shù)據(jù)中心操作系統(tǒng)主要包括六大組件資源管理、日志管理��、節(jié)能控制���、虛擬化���、存儲(chǔ)系統(tǒng)和資源調(diào)度。以當(dāng)前廣泛應(yīng)用的云計(jì)算數(shù)據(jù)中心操作系統(tǒng)云海OS為例�,云海OS對(duì)內(nèi)部管理員主要提供計(jì)算資源、存儲(chǔ)資源����、網(wǎng)絡(luò)資源的管理;通過資源管理��,監(jiān)控管理所有硬件資源�,通過節(jié)能控制,實(shí)現(xiàn)能耗計(jì)量�����、能耗控制�����、能耗分析和能耗報(bào)表功能;通過資源調(diào)度��,實(shí)現(xiàn)計(jì)算節(jié)點(diǎn)的負(fù)載均衡�����,虛擬機(jī)的HA(High Availability,高可用性)功能��、資源的計(jì)量和統(tǒng)計(jì)分析�����;通過虛擬化技術(shù)�,提供虛擬機(jī)生命周期管理、資源的虛擬分拆和遷移����;通過分布式存儲(chǔ)系統(tǒng),提供高可用的存儲(chǔ)功能�,實(shí)現(xiàn)數(shù)據(jù)恢復(fù)、數(shù)據(jù)檢索���、數(shù) 據(jù)傳輸�����、幾余控制���。其中,云海OS是對(duì)管理人員提供硬件資源管理服務(wù)�,對(duì)用戶提供云服務(wù),即對(duì)用戶來講���,用戶所能訪問的����,是電力云虛擬化管理系統(tǒng)提供的虛擬化服務(wù)���,為用戶提供滿足客戶需求的虛擬機(jī)及存儲(chǔ)�。綜上所述��,為了滿足不同人員對(duì)云海OS的使用��,有必要在現(xiàn)有機(jī)制的基礎(chǔ)上����,提出一種適用于云海OS體系結(jié)構(gòu)的安全模型。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題是提供一種云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的安全模型及策略��,在云計(jì)算系統(tǒng)中提供角色權(quán)限的劃分機(jī)制和管理方式,使云計(jì)算系統(tǒng)可以被更安全的使用�。為解決上述技術(shù)問題,本發(fā)明提供了一種云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的安全策略����,所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)包括多個(gè)資源功能模塊;將所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的用戶劃分為管理員和租戶���,為所述用戶制定不同的角色��,并為各角色賦予相應(yīng)的資源操作權(quán)限�����。進(jìn)一步地���,所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)包括如下資源功能模塊資源管理模塊、日志管理模塊����、節(jié)能控制模塊、告警管理模塊�����、資源調(diào)度模塊,和安全管理模塊����。進(jìn)一步地,為各角色賦予相應(yīng)的資源操作權(quán)限�����,具體是指將各角色分別與不同的功能模塊相關(guān)聯(lián)���。進(jìn)一步地,按照以下方式為所述管理員制定如下角色并賦予相應(yīng)的資源操作權(quán)限安全管理員��,具有創(chuàng)建����、刪除修改普通管理員權(quán)限;審計(jì)管理員�,具有查看、備份�����、刪除系統(tǒng)日志的權(quán)限
普通管理員�,具有業(yè)務(wù)功能操作權(quán)限�����。進(jìn)一步地����,按照以下方式為所述租戶制定如下角色并賦予相應(yīng)的資源操作權(quán)限集團(tuán)用戶�,僅具有申請(qǐng)?zhí)摂M機(jī)及虛擬存儲(chǔ)權(quán)限;集團(tuán)子用戶�,僅具有虛擬機(jī)使用權(quán)限;普通用戶���,具有申請(qǐng)?zhí)摂M機(jī)及虛擬存儲(chǔ)權(quán)限���,且具有使用權(quán)限。本發(fā)明還提供了一種云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的安全模型�����,所述安全模型中����,所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的用戶劃分為管理員和租戶,且為用戶制定不同的角色并賦予相應(yīng)的資源操作權(quán)限。其中�,所述管理員劃分為如下角色并被賦予相應(yīng)的資源操作權(quán)限安全管理員、審計(jì)管 理員�����,普通管理員��;所述租戶劃分為如下角色并被賦予相應(yīng)的資源操作權(quán)限集團(tuán)用戶��、集團(tuán)子用戶��、普通用戶����。進(jìn)一步地���,所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)包括多個(gè)資源功能模塊��;由所述安全管理員為管理員制定角色���,并通過將各角色分別與不同的功能模塊相關(guān)聯(lián),為各角色賦予相應(yīng)的資源操作權(quán)限����;且所述安全管理員維護(hù)各角色與普通管理員之間的關(guān)系�����。進(jìn)一步地�����,按照以下方式為所述用戶制定角色并賦予相應(yīng)的資源操作權(quán)限安全管理員��,具有創(chuàng)建��、刪除修改普通管理員權(quán)限�;審計(jì)管理員���,具有查看�、備份�、刪除系統(tǒng)日志的權(quán)限普通管理員,具有業(yè)務(wù)功能操作權(quán)限�����;集團(tuán)用戶�,僅具有申請(qǐng)?zhí)摂M機(jī)及虛擬存儲(chǔ)權(quán)限;集團(tuán)子用戶,僅具有虛擬機(jī)使用權(quán)限�����;普通用戶��,具有申請(qǐng)?zhí)摂M機(jī)及虛擬存儲(chǔ)權(quán)限��,且具有使用權(quán)限���。進(jìn)一步地�,所述普通管理員訪問所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的資源功能模塊��,并維護(hù)集團(tuán)用戶及普通租戶的信息���。進(jìn)一步地,所述集團(tuán)用戶����,用于申請(qǐng)?zhí)摂M機(jī)、虛擬存儲(chǔ)�����,以及管理集團(tuán)子用戶的信息,控制集團(tuán)子用戶的資源����。本發(fā)明提供的安全模型區(qū)別于傳統(tǒng)的管理員用戶的模型,是以傳統(tǒng)權(quán)限機(jī)制為基礎(chǔ)��,將功能模塊化�����,將功能賦給角色而不是直接用戶����,從而可以很大程度上減少因用戶太多造成的管理復(fù)雜度,易于后期的運(yùn)維和擴(kuò)展���。相較于現(xiàn)有技術(shù)��,本發(fā)明至少具有如下有益效果在云計(jì)算系統(tǒng)中�����,安全模型提供了角色權(quán)限的劃分機(jī)制和管理方式���,使系統(tǒng)可以被更安全的使用�����,同時(shí)按功能模塊劃分角色��,在未來的改動(dòng)時(shí)只需修改角色就可以實(shí)現(xiàn)功能的擴(kuò)展����,因而具有非常廣闊的應(yīng)用前景�。
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分����,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定���。在附圖中圖I為傳統(tǒng)的權(quán)限體系結(jié)構(gòu)示意圖���;圖2為本發(fā)明實(shí)施例中基于云海OS的安全模型示意圖3為本發(fā)明另一實(shí)施例中基于云海OS的安全模型示意圖。
具體實(shí)施例方式本實(shí)施方式提供一種云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的安全模型及策略�����,其基本思想是將云海OS系統(tǒng)劃分為管理端與租戶端,管理端劃分為多個(gè)功能模塊�����,由安全管理員制定角色�����,每個(gè)角色包含若干功能模塊�,并維護(hù)角色與普通管理員之間的關(guān)系。普通管理員訪問云海OS不同的功能模塊如資源管理�����、日志管理��、節(jié)能控制���、虛擬化�、存儲(chǔ)系統(tǒng)����,資源調(diào)度等模塊,同時(shí)維護(hù)集團(tuán)用戶及普通租戶的信息�����。集團(tuán)用戶相比普通租戶除了申請(qǐng)操作虛擬機(jī)等資源外還可以管理集團(tuán)子用戶的信息,控制集團(tuán)子用戶的資源��。本實(shí)施方式的安全模型中用戶角色及相應(yīng)的權(quán)限劃分���,具體可如下表I所示表I安全模型的用戶角色及相應(yīng)的權(quán)限劃分
出廣炻色___·
WJlM安令管只介創(chuàng)建�、《I除修改齊通
__管理員權(quán)限_
審汁管理員只有迕看�����、備份�����、_除系
__統(tǒng)曰忐的權(quán)·_
普通管理員除安個(gè)管理員外所+fi或部
___分教務(wù)功能操作權(quán)限_
租廠1 β NIIIli'1nj-屮請(qǐng)大. 虛擬機(jī)及慮擬
__#儲(chǔ)����,+01沒有使川權(quán)限
__集團(tuán)子用戶沒:fi申詰虛擬機(jī)及虛擬存
__儲(chǔ)權(quán)限,只有使州權(quán)限
普通) /1 ·> 屮請(qǐng)?zhí)摂M機(jī)及虛擬存__I儲(chǔ)�����,并擁有使州權(quán)限_為了便于闡述本發(fā)明�����,以下將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明技術(shù)方案的實(shí)施作進(jìn)一步詳細(xì)描述�����。需要說明的是��,在不沖突的情況下��,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合�。圖I為傳統(tǒng)的權(quán)限體系結(jié)構(gòu)示意圖。如圖I所示���,傳統(tǒng)權(quán)限結(jié)構(gòu)中����,用戶直接被賦予權(quán)限��,用戶和權(quán)限之間是多對(duì)多的關(guān)系��。圖2為本發(fā)明實(shí)施例中基于云海OS的安全模型示意圖��。參考圖2所示�,本發(fā)明的云海OS中用戶和角色的關(guān)系可以是一對(duì)一或者多對(duì)一,角色和權(quán)限的關(guān)系是多對(duì)多�����。圖3為本發(fā)明另一實(shí)施例中基于云海OS的安全模型示意圖。圖3中描述了云海OS里管理員和用戶的組織結(jié)構(gòu)和層級(jí)關(guān)系���,其中��,安全管理員管理普通管理員��,普通管理員管理租戶����,每一層只和與其相關(guān)的層有關(guān)系���,不直接相關(guān)的層沒有聯(lián)系�,例如安全管理員不能管理租戶的信息���,等����。以下將以一個(gè)具體實(shí)例對(duì)本發(fā)明安全模型的實(shí)現(xiàn)過程進(jìn)行詳細(xì)說明����。
本實(shí)例中�,將系統(tǒng)管理端的功能劃分為資源管理�、日志管理、節(jié)能控制���、告警管理、資源調(diào)度����,和安全管理6個(gè)模塊。I.模塊集合{Modular_安全管理模塊��,Modular_資源管理�,Modular_日志管理,Modular_節(jié)能控制����,Modular_告警管理,Modular_資源調(diào)度}��;此外�����,新建若干角色2.角色集合{Role_安全管理員,RoIe_普通管理員1�,RoIe_普通管理員2};并在創(chuàng)建角色的過程中將功能模塊與角色相關(guān)聯(lián)�����,為簡(jiǎn)便起見�,此處只指定兩個(gè)簡(jiǎn)單的關(guān)聯(lián),如下表2所示表2功能模塊與角色的關(guān)聯(lián)關(guān)系
權(quán)利要求
1.一種云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的安全策略����,其特征在于,所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)包括多個(gè)資源功能模塊��; 將所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的用戶劃分為管理員和租戶���,為所述用戶制定不同的角色�����,并為各角色賦予相應(yīng)的資源操作權(quán)限���。
2.如權(quán)利要求I所述的安全策略,其特征在于��,所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)包括如下資源功能模塊 資源管理模塊、日志管理模塊��、節(jié)能控制模塊�、告警管理模塊、資源調(diào)度模塊����,和安全管理模塊。
3.如權(quán)利要求I所述的安全策略�,其特征在于���, 為各角色賦予相應(yīng)的資源操作權(quán)限����,具體是指將各角色分別與不同的功能模塊相關(guān)聯(lián)�����。
4.如權(quán)利要求1�����、2或3所述的安全策略����,其特征在于���, 按照以下方式為所述管理員制定如下角色并賦予相應(yīng)的資源操作權(quán)限 安全管理員,具有創(chuàng)建��、刪除修改普通管理員權(quán)限��; 審計(jì)管理員�����,具有查看�、備份、刪除系統(tǒng)日志的權(quán)限 普通管理員����,具有業(yè)務(wù)功能操作權(quán)限。
5.如權(quán)利要求1���、2或3所述的安全策略�,其特征在于��, 按照以下方式為所述租戶制定如下角色并賦予相應(yīng)的資源操作權(quán)限 集團(tuán)用戶����,僅具有申請(qǐng)?zhí)摂M機(jī)及虛擬存儲(chǔ)權(quán)限��; 集團(tuán)子用戶�,僅具有虛擬機(jī)使用權(quán)限���; 普通用戶����,具有申請(qǐng)?zhí)摂M機(jī)及虛擬存儲(chǔ)權(quán)限�����,且具有使用權(quán)限�����。
6.一種云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的安全模型��,其特征在于����,所述安全模型中��,所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的用戶劃分為管理員和租戶,且為用戶制定不同的角色并賦予相應(yīng)的資源操作權(quán)限��,其中����, 所述管理員劃分為如下角色并被賦予相應(yīng)的資源操作權(quán)限安全管理員、審計(jì)管理員����,普通管理員; 所述租戶劃分為如下角色并被賦予相應(yīng)的資源操作權(quán)限集團(tuán)用戶��、集團(tuán)子用戶�、普通用戶。
7.如權(quán)利要求6所述的安全模型�����,其特征在于�����, 所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)包括多個(gè)資源功能模塊��; 由所述安全管理員為管理員制定角色��,并通過將各角色分別與不同的功能模塊相關(guān)聯(lián),為各角色賦予相應(yīng)的資源操作權(quán)限�����;且所述安全管理員維護(hù)各角色與普通管理員之間的關(guān)系��。
8.如權(quán)利要求7所述的安全模型����,其特征在于, 按照以下方式為所述用戶制定角色并賦予相應(yīng)的資源操作權(quán)限 安全管理員�����,具有創(chuàng)建�����、刪除修改普通管理員權(quán)限����; 審計(jì)管理員�����,具有查看、備份�����、刪除系統(tǒng)日志的權(quán)限 普通管理員�,具有業(yè)務(wù)功能操作權(quán)限; 集團(tuán)用戶�����,僅具有申請(qǐng)?zhí)摂M機(jī)及虛擬存儲(chǔ)權(quán)限�;集團(tuán)子用戶,僅具有虛擬機(jī)使用權(quán)限����; 普通用戶,具有申請(qǐng)?zhí)摂M機(jī)及虛擬存儲(chǔ)權(quán)限��,且具有使用權(quán)限���。
9.如權(quán)利要求8所述的安全模型���,其特征在于, 所述普通管理員訪問所述云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的資源功能模塊�����,并維護(hù)集團(tuán)用戶及普通租戶的信息。
10.如權(quán)利要求8所述的安全模型��,其特征在于���, 所述集團(tuán)用戶�,用于申請(qǐng)?zhí)摂M機(jī)���、虛擬存儲(chǔ)�,以及管理集團(tuán)子用戶的信息�,控制集團(tuán)子用戶的資源。
全文摘要
本發(fā)明公開了一種云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的安全模型及策略����,該云計(jì)算數(shù)據(jù)中心操作系統(tǒng)包括多個(gè)資源功能模塊;將該云計(jì)算數(shù)據(jù)中心操作系統(tǒng)的用戶劃分為管理員和租戶�����,為用戶制定不同的角色����,并為各角色賦予相應(yīng)的資源操作權(quán)限。本發(fā)明在云計(jì)算系統(tǒng)中提供角色權(quán)限的劃分機(jī)制和管理方式����,使云計(jì)算系統(tǒng)可以被更安全的使用。
文檔編號(hào)H04L29/08GK102904892SQ20121039540
公開日2013年1月30日 申請(qǐng)日期2012年10月17日 優(yōu)先權(quán)日2012年10月17日
發(fā)明者王帥, 高飛, 張培訓(xùn), 趙霞, 劉正偉 申請(qǐng)人:浪潮(北京)電子信息產(chǎn)業(yè)有限公司