专利名称:应用型云计算的委托方法和装置的制作方法
技术领域:
本发明涉及云计算技术领域,特别涉及一种应用型云计算的委托方法和装置。
背景技术:
应用型云计算是指将大量用网络连接的计算资源统一管理和调度,从而构成一个 计算资源池向用户按需服务。委托服务,是应用型云计算环境中一种重要的安全策略,是解 决跨域安全问题的重要途径。它的基本思想是在一个系统中,某些活动实体将自己全部或 部分权限授予其他活动实体,使得后者可以代替前者执行一定的功能,前者称为委托者,后 者称为被委托者。其中,活动实体,指角色(role)、用户(user)或应用进程(process)等; 权限,是对计算机系统中的数据或者用数据表示的其他资源进行访问的许可,它可以是全 部权限,也可以是部分权限。由于应用型云计算环境的开放性特性,如何实现委托方对被委 托方双方的安全授权,从而建立安全有效的委托关系,已成为委托服务的重要研究方向。现有的委托服务中,最具有代表性的委托模型是feedin Barka和Ravi Sanhu在 2000年开发的RBDM[2],通过设置委托约束条件完成委托关系的建立,委托约束条件包括 考虑到实体的属性,如实体所属的角色、归属域、信任证等;被委托者需承担的义务,如只能 拥有委托角色或权限的使用权,而不能有再委托权,或者能行使再委托权,但是需要限制委 托步数;委托角色关联,如必须由委托者的角色被激活或者不被激活,被委托者才能行使被 委托的权限。根据上述约束条件完成委托关系的建立后,通过建立自治域间的角色映射关 系来实现应用型云域间的资源访问。在实现本发明的过程中,发明人发现现有技术至少存在以下问题现有的委托服务通过建立自治域间的角色映射关系来实现应用型云域间的资源 访问,但是这种方式不能实现细粒度的跨域访问控制,因为有时,实体只是需要其他自治域 角色的部分权限,若通过角色映射则该实体会得到映射角色的全部权限,这就不符合最小 权限原则,从而影响委托服务的效果。
发明内容
为了实现细粒度的跨域访问控制,本发明实施例提供了一种应用型云计算的委托 方法,所述方法包括获取应用型云中委托角色和权限的委托策略;获取所述委托策略中包括获取委托 策略集P和委托者与被委托者间的信任度;获取所述应用型云中各实体的雾隶属关系策略,并根据所述委托策略集合P和所 述信任度,生成委托策略图;接收被委托者发送的以所述被委托者为后继节点的委托策略集Np ;根据所述委托策略图对所述委托策略集Np进行合成,根据所述合成结果建立应 用型云中所述委托者与所述被委托者之间的委托关系。本发明实施例提供了一种应用型云计算的委托装置,所述装置包括
委托策略获取模块,用于获取应用型云中委托角色和权限的委托策略,获取所述 委托策略中包括获取委托策略集P和委托者与被委托者间的信任度;委托策略图生成模块,用于获取所述应用型云中各实体的雾隶属关系策略,并根 据所述委托策略集合P和所述信任度,生成委托策略图;委托策略集接收模块,用于接收被委托者发送的以所述被委托者为后继节点的委 托策略集Np ;委托关系建立模块,用于根据所述委托策略图对所述委托策略集Np进行合成,根 据所述合成结果建立应用型云中所述委托者与所述被委托者之间的委托关系。本发明实施例提供的技术方案带来的有益效果是通过根据所述委托策略集合P 和所述信任度,生成委托策略图;实现了为其他自治域角色按需求分配部分权限,从而实现 了对应用型云域间细粒度的跨域访问控制,优化了委托机制,增加了用户的体验。
图1是本发明实施例1中提供的应用型云计算的委托方法的流程图;图2是本发明实施例2中提供的应用型云计算的委托方法的流程图;图3是本发明实施例2中提供的应用型云虚拟组织组成结构图;图4是本发明实施例2中提供的委托角色和权限的委托策略图;图5是本发明实施例2中提供的U1 · P1委托策略分析图;图6是本发明实施例2中提供的U1 · P1的委托图;图7是本发明实施例2中提供的委托信任链路图;图8是本发明实施例2中提供的委托节点A、B、C的信任度变化情况示意图;图9是本发明实施例3中提供的应用型云计算的委托装置结构示意图;图10是本发明实施例4中提供的应用型云计算的委托装置结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方 式作进一步地详细描述。实施例1如图1所示,本发明实施例提供了一种应用型云计算的委托方法,所述方法包括SlOl 获取应用型云中委托角色和权限的委托策略,获取所述委托策略中包括获 取委托策略集P和委托者与被委托者间的信任度;S102 获取所述应用型云中各实体的雾隶属关系策略,并根据所述委托策略集合 P和所述信任度,生成委托策略图;S103 接收被委托者发送的以所述被委托者为后继节点的委托策略集Np ;S104 根据所述委托策略图对所述委托策略集Np进行合成,根据所述合成结果建 立应用型云中所述委托者与所述被委托者之间的委托关系。本发明实施例,通过根据所述委托策略集合P和所述信任度,生成委托策略图;实 现了为其他自治域角色按需求分配部分权限,从而实现了对应用型云域间细粒度的跨域访 问控制,优化了委托机制,增加了用户的体验。
实施例2如图2所示,本发明实施例提供了一种应用型云计算的委托方法,所述方法包括S201 获取应用型云中委托角色和权限的委托策略,所述委托策略中包括获取委 托策略集P和委托者与被委托者间的信任度;具体的,加入信任机制后,应用型云计算的资源拥有者对资源使用的实体在访问 资源后进行信任评判,同时将该评判结果交给对应的委托者,形成委托关系的信任评判。 (M,,r)^(M2,r’)表示委托者U1将角色r委托给分配了角色r'的实体u2,U2在行使该委托角 色r的权限后,U1和U2之间建立直接的信任关系。其中Tb2为U2对U1委托角色r对应的 资源属性的信任评价,即该资源的可用性等。同理,Κ,0&( 3,0 ,表示委托者 将!·'委 托给分配角色r"的实体U3,实体U3在行使该委托角色r'的权限后,U2和U3之间建立直 接的信任关系。倘若U3需要请求U1委托其角色r,则可通过U2判断信任关系。通过推荐信 任,能够合成U1和u2、u2和U3之间的信任关系。倘若合成这2个信任值得到的新信任值能 够满足委托者规定的信任阈值L,则信任等级判断成功。合成的方式有多种,在此采用最简 单的合成方式,即信任链路上的信任值相乘作为合成结果,因而有(Wl,r)i(M3,广)T卜 3 = H当合成后的信任值不满足委托双方所限定的信任阈值T时,如T^ < L,则U1对 U3不能进行委托。通过信任度的评判,能够动态地限制委托深度,而不需要定义委托深度参数。委托实体间的信任关系 ^,《) ^_ ,,%表示被委托实体entity2在第η次使用委托 实体entityl的委托权限时所建立的信任关系,该信任关系可表示为T{t, n)MII), 吻=aT(t, η - —咖奶 + βΕ{ , )其中α和β为权重因子,并且满足α+β = 1,α,β e
。E(t,n)是交互 结束后委托双方相互给对方的信任评价。S202 获取所述应用型云中各实体的雾隶属关系策略,并根据所述委托策略集合 P和所述信任度,生成委托策略图;具体的,在RT[8,9]基础上加上信任度约束规则对RT进行扩展。RT定义一个信任 证有向图[10],表示信任证集合角色项构成图中的节点,信任证A. r — e e C构成图中的边 e —A.r。将该有向图应用到委托策略协商过程。对于协商策略集合P,相应的协商策略图定义为 =(Np,,其中 =,A. r为前驱节点,而e为后继节点。委托策略集中的每种策略表达都能够以如下4种方式被逐个处理,直到集合为 空,这样就从委托策略图转化为委托图。1)如果节点为A. r,查找所有包含A. r的委托策略集合,对于每一个委托策略 A.r - e:T e P,创建节点e,增加边e — A.r e Ep ;2)如果为连接节点Α. IV r2,首先创建节点A. r1 然后增加一个监视器e,观察 A. ri;当监视器e发现Α. Γι已经获得了解值B时,倘若B. r2 — TRUE,即实体B具有属性r2, 则创建节点B. r2,增加边B. r2 — A. r” r2:T e Ep ;
3)如果节点为交集Ar — A^1 Π A2r2 Π ... Π Akrk:T(k > 1),创建交集监视器e和 k个Ajrj节点,监视器观察每个Ajrj节点,监视器纪录某个实体D能够符合Ajrj(j e [l,k]) 的次数,如果计数器增加到值k,则增加边D —A. r:T e Ep;4)另外,在此基础上增加并操作,如果节点为并集Ar — U A2r2 U… U Akrk:T(k> 1),创建并集监视器e和k个Ajrj节点,监视器观察每个Ajrj节点,监视器纪 录某个能够符合A」rj(j e [1,k])的实体S」,同时增加边。一A. r e &。S203 接收被委托者发送的以所述被委托者为后继节点的委托策略集Np ;S204 根据所述委托策略图对所述委托策略集Np进行合成,根据所述合成结果建 立所述委托者与所述被委托者之间的委托关系。具体的,根据所述委托策略图对所述委托策略集Np进行合成,若所述委托策略集 Np中存在前驱节点为监测器所监测对象的委托策略,则将该委托策略的后继节点作为该监 测器节点的子节点,并对所述后继节点产生一个监测器。S205:根据委托者与被委托者间的信任度建立所述委托者与所述被委托者之间的 授权委托约束,其约束关系满足
权利要求
1.一种应用型云计算的委托方法,其特征在于,所述方法包括获取应用型云中委托角色和权限的委托策略;获取所述委托策略中包括获取委托策略 集P和委托者与被委托者间的信任度;获取所述应用型云中各实体的雾隶属关系策略,并根据所述委托策略集合P和所述信 任度,生成委托策略图;接收被委托者发送的以所述被委托者为后继节点的委托策略集Np ; 根据所述委托策略图对所述委托策略集Np进行合成,根据所述合成结果建立应用型 云中所述委托者与所述被委托者之间的委托关系。
2.根据权利要求1所述委托方法,其特征在于,所述获取委托者与被委托者间的信任 具体包括根据W,")-,,-, =ocT{t,η-\)enlilyi^2 +卵Μ)获取托者与被委托者间的信任度;其中,^2表示被委托者entity2在第η次使用委托者entityl的委托权限时 所建立的信任关系,α和β为权重因子,并且满足α+β = 1, α , β e
,E(t,η)是 交互结束后委托双方相互给对方的信任评价。
3.根据权利要求2所述委托方法,其特征在于,所述根据所述委托策略集合P和所述信 任度,生成委托策略图具体包括定义一信任证有向图,各个节点为所述有向图的顶点A. r,所述各个节点的信任证A.r — e e C构成所述有向图的边e — A. r ;获取协商策略集合P,所述协商策略集合P相应的协商策略图定义为& = (Np, ,其中 "’,A. r为前驱节点,而e为后继节点;如果当前节点为A. r时,查找所述委托策略集合中包含A. r的委托策略,对于每一个包 含A. r的委托策略,创建节点e,增加边e — A. r e & ;如果当前节点为连接节点Α. Γι. r2时,创建节点A. ri;并为所述节点Α. Γι增加一个监 视器e,所述监视器e用于观察A. ri;当所述监视器e发现Α. Γι已经获得了解值B时,若B.r2 — TRUE,则判定实体B具有属性r2,创建节点B. r2,增加边B. r2 — A. r” r2:T e Ep ;如果当前节点为交集Ar— Π A2r2 Π…η Akrk:T(k> 1)节点,则创建交集监视器 e和k个Α』。节点,所述交集监视器e用于观察每个Α』。节点,纪录某个实体D能够符合 Ajrj (j e [l,k])的次数,如果计数器增加到值k,则增加边D —A.r:T e Ep ;如果当前节点为并集Ar —ΑιΓι U A2r2 U…U Akrk:T(k> 1)节点,则创建并集监视器 e和k个Ajrj节点,所述并集监视器观察每个Ajrj节点,纪录某个能够符合Ajrj(j e [l,k]) 的实体Sj,同时增加边h — A. r e 4。
4.根据权利要求3所述委托方法,其特征在于,所述根据所述委托策略图对所述委托 策略集Np进行合成,根据所述合成结果建立所述委托者与所述被委托者之间的委托关系 具体包括,根据所述委托策略图对所述委托策略集Np进行合成,若所述委托策略集Np中存在前 驱节点为监测器所监测对象的委托策略,则将该委托策略的后继节点作为该监测器节点的 子节点,并对所述后继节点产生一个监测器。
5.根据权利要求1所述委托方法,其特征在于,所述方法还包括根据委托者与被委托者间的信任度建立所述委托者与所述被委托者之间的授权委托 约束,其约束关系满足
6.根据权利要求5所述委托方法,其特征在于,所述方法还包括在被委托者行使委托权时,满足再委托授权约束规则,所述再委托授权约束规则具体 包括委托权限约束,委托角色约束、委托时限约束和委托宽度约束。
7.一种应用型云计算的委托装置,其特征在于,所述装置包括委托策略获取模块,用于获取应用型云中委托角色和权限的委托策略,获取所述委托 策略中包括获取委托策略集P和委托者与被委托者间的信任度;委托策略图生成模块,用于获取所述应用型云中各实体的雾隶属关系策略,并根据所 述委托策略集合P和所述信任度,生成委托策略图;委托策略集接收模块,用于接收被委托者发送的以所述被委托者为后继节点的委托策 略集Np ;委托关系建立模块,用于根据所述委托策略图对所述委托策略集Np进行合成,根据所 述合成结果建立应用型云中所述委托者与所述被委托者之间的委托关系。
8.根据权利要求7所述委托装置,其特征在于,所述委托策略获取模块具体包括 信任度获取单元,用于根据获取托者与被委托者间的信任度;其中,Π ,《)_Λ~_2表示被委托者entity2在第η次使用委托者entityl的 委托权限时所建立的信任关系,α和β为权重因子,并且满足α+β = 1,α,β e
, E(t,η)是交互结束后委托双方相互给对方的信任评价。
9.根据权利要求8所述委托装置,其特征在于,所述委托策略图生成模块具体包括 信任证有向图定义单元,用于定义一信任证有向图,各个节点为所述有向图的顶点A. r,所述各个节点的信任证A. r — e e C构成所述有向图的边e — A. r ;协商策略集合获取单元,用于获取协商策略集合P,所述协商策略集合P相应的协商策略图定义为 =(NP,EP),其中Λ= JrLM〃} A. r为前驱节点,而e为后继节点;如果当前节点为A. r时,查找所述委托策略集合中包含A. r的委托策略,对于每一个包含A. r的委 托策略,创建节点e,增加边e — A. r e & ;如果当前节点为连接节点Α. Γι. r2时,创建节点 A. ri;并为所述节点Α. Γι增加一个监视器e,所述监视器e用于观察A. r1 当所述监视器e发 现Α. Γι已经获得了解值B时,若B. r2 — TRUE,则判定实体B具有属性r2,创建节点B. r2,增 加边 B.r2 —A.ivivT e Ep ;如果当前节点为交集 Ar — ΑΛ Π A2r2 Π …Π Akrk:T(k > 1) 节点,则创建交集监视器e和k个Ajrj节点,所述交集监视器e用于观察每个Ajrj节点,纪 录某个实体D能够符合e [l,k])的次数,如果计数器增加到值k,则增加边D —Α. r:T e 如果当前节点为并集Ar—ΑΛ U A2r2 U…U Akrk:T(k > 1)节点,则创建并集监 视器e和kfA^^节点,所述并集监视器观察每个^节点,纪录某个能够符合e [1, k])的实体S」,同时增加边h — A. r e 4。
10.根据权利要求9所述委托装置,其特征在于,所述委托关系建立模块具体包括委托策略集合成单元,用于根据所述委托策略图对所述委托策略集Np进行合成,若所述委托策略集Np中存在前驱节点为监测器所监测对象的委托策略,则将该委托策略的后 继节点作为该监测器节点的子节点,并对所述后继节点产生一个监测器。
11.根据权利要求7所述委托装置,其特征在于,所述装置还包括授权委托约束建立模块,用于根据委托者与被委托者间的信任度建立所述委托者与所 述被委托者之间的授权委托约束,其约束关系满足
12.根据权利要求11所述委托装置,其特征在于,所述装置还包括在被委托者行使委托权时,满足再委托授权约束规则,所述再委托授权约束规则具体 包括委托权限约束,委托角色约束、委托时限约束和委托宽度约束。
全文摘要
本发明公开一种应用型云计算的委托方法,包括获取委托策略集P和委托者与被委托者间的信任度;根据所述委托策略集合P和所述信任度,生成委托策略图;接收被委托者发送的以所述被委托者为后继节点的委托策略集Np;根据所述委托策略图对所述委托策略集Np进行合成,根据所述合成结果建立所述委托者与所述被委托者之间的委托关系。本发明实施例,通过根据所述委托策略集合P和所述信任度,生成委托策略图;实现了为其他自治域角色按需求分配部分权限,从而实现了对应用型云域间细粒度的跨域访问控制,优化了委托机制,增加了用户的体验。
文档编号H04L29/08GK102082827SQ20101061515
公开日2011年6月1日 申请日期2010年12月21日 优先权日2010年12月21日
发明者金晨 申请人:北京高森明晨信息科技有限公司