一种云计算数据中心访问管理方法和云计算数据中心与流程

本发明涉及通信领域，特别涉及一种云计算数据中心访问管理方法和云计算数据中心。

背景技术：

访问控制技术通过定义系统的主体对客体的访问权限，实现了系统的共享数据管理的需求，较好的防止了对信息特别是机密信息的窃取和破坏。针对不同的安全应用环境要求，研究人员提出了许多不同的访问控制技术，如DAC、MAC、RBAC、TRBAC、TBAC等等。但是，现有访问控制技术要应用于数据中心还存在许多有待进一步改进和完善的地方。首先是灵活性有待进一步提高。现有访问控制技术都是通过对主体配置约束条件实现会话控制。由于访问控制应用系统配置的约束条件类型在设计和编码时就已固定；同时，为简化配置管理，在实际运行时系统配置的访问控制约束条件数量也不可能很多，如果多了，就会限制了访问控制的灵活性。现有访问控制技术的应用环境是由其会话实体配置的约束条件及相应的策略描述的，不会考虑系统的应用环境等因素，导致适应性比较差。

目前对于云计算数据中心的部署，是以区域为单位进行部署，同一级别的区域建立同一级别的数据中心。访问控制机制的逻辑复杂程度将影响到系统的安全性能，但对于平均访问量高于普通系统数倍的云计算数据中心而言，过于复杂的访问控制会影响访问速率，削弱云计算数据中心的运算处理能力。如何在不影响云计算数据中心的处理能力时保证云计算数据中心访问的安全成为急需解决的问题。

技术实现要素：

本发明要解决的主要技术问题是，提供一种云计算数据中心访问管理方法和云计算数据中心，解决现有云计算数据中心访问的安全问题。

为解决上述问题，本发明提供一种云计算数据中心访问管理方法，包括：

数据中心接收终端的访问请求，对所述终端进行身份验证；

通过身份验证后，判定所述数据中心本地是否存在所述访问请求对应的目标资源；

如果存在所述目标资源，根据所述数据中心的预先设置的访问策略对所述终端进行授权访问。

在本发明的一种实施例中，所述数据中心对所述终端进行身份验证包括：调用所述数据中心属性库中的属性信息，所述属性信息包括允许访问的身份识别信息；通过属性信息与所述终端的身份识别信息比对，如果相同则通过身份验证。

在本发明的一种实施例中，所述访问策略包括当前运行环境满足预设条件时进行授权访问和/或当前访问数满足预设个数条件时进行授权访问。

在本发明的一种实施例中，还包括：当所述数据中心本地不存在所述访问请求对应的目标资源时，通过中央数据中心与所述目标资源所在的目标数据中心建立会话进行授权访问。

在本发明的一种实施例中，所述通过中央数据中心与所述目标资源所在的目标数据中心建立会话进行授权访问包括：通过所述中央数据中心查找所述目标资源所在的目标数据中心，与所述目标数据中心建立会话，所述目标数据中心的预先设置的访问策略对所述终端进行授权访问。

在本发明的一种实施例中，在对所述终端授权访问后，还包括：对所述访问进行安全审计。

在本发明的一种实施例中，所述对所述访问进行安全审计包括：在目标资源所在的数据中心生成访问日志，根据所述访问日志记录的访问信息进行跟踪，判断所述访问信息是否符合预设设置的安全审计策略，对不符合的访问进行处理。

为解决上述问题，本发明还提供一种云计算数据中心，其特征在于，包括身份验证模块、资源查找模块和策略验证模块：

所述身份验证模块用于接收终端的访问请求，对所述终端进行身份验证；

所述资源查找模块用于通过身份验证后，判定所述数据中心本地是否存在所述访问请求对应的目标资源；

所述策略验证模块用于如果存在所述目标资源，根据所述数据中心的预先设置的访问策略对所述终端进行授权访问。

在本发明的一种实施例中，还包括对外访问模块：所述对外访问模块用于当所述数据中心本地不存在所述访问请求对应的目标资源时，通过中央数据中心与所述目标资源所在的目标数据中心建立会话进行授权访问。

在本发明的一种实施例中，还包括安全审计模块，所述安全审计模块用于在对所述终端授权访问后，对所述访问进行安全审计。

本发明的有益效果是：

本发明提供的云计算数据中心访问管理方法和云计算数据中心，数据中心接收终端的访问请求，对终端进行身份验证；通过身份验证后，判定数据中心本地是否存在访问请求对应的目标资源；如果存在目标资源，根据数据中心的预先设置的访问策略对终端进行授权访问。与现有技术相比，不是通过对访问 设置复杂的访问控制条件进行限制，只要对访问控制进行身份识别，在身份识别后通过云计算数据中心预先设置的访问策略判断是否进行授权访问，这样可以通过简单的身份识别接合云计算数据中心预先设置的访问策略在不影响云计算数据中心的处理能力时保证云计算数据中心访问，提高产品的核心竞争力。

附图说明

图1为本发明实施例一提供的云计算数据中心访问管理方法流程示意图；

图2为本发明实施例二提供的云计算数据中心访问管理方法流程示意图；

图3为本发明实施例三提供的分组数据网关结构示意图一；

图4为本发明实施例三提供的分组数据网关结构示意图二；

图5为本发明实施例三提供的分组数据网关结构示意图三；

图6为本发明实施例三提供的分组数据网关结构示意图四。

具体实施方式

为使本领域技术人员更好地理解本发明的技术方案，下面结合附图和具体实施方式对本发明作进一步详细描述。

实施例一

本实施例的云计算数据中心访问管理方法，如图1所示，包括以下步骤：

步骤S101：数据中心接收终端的访问请求，对终端进行身份验证；

在该步骤中，这里的数据中心是指云计算系统中，以区域为单位进行部署，同一级别的区域建立同一级别的数据中心。为了便于管理，在同一级别的区域建立同一级别的数据中心，同样会建立中央数据中心来对下面级别的数据中心进行管理。这里的对终端的身份验证应该理解为要判断该终端的访问请求的主体和/或资源是否具有权限，这里的身份验证应该理解为是对整个云计算系统的 整体的身边验证，即只要进行一次身份验证后，就可以在整个云计算系统不同级别即不同域中进行访问，而不用进行多次的身份识别，避免系统发繁琐操作。也就是说该身份验证是整个云计算系统中各个域(数据中心)之间建立的信任联邦。具体的，据中心对终端进行身份验证可以为调用数据中心属性库中的属性信息，属性信息包括允许访问的身份识别信息；通过属性信息与终端的身份识别信息比对，如果相同则通过身份验证。即数据中心通过在建立的属性库去查询在身份信息是否在属性库中，如果在则验证通过，这里的属性库应该理解为存储了大量的允许访问的身份信息和允许访问身份信息对应访问的数据的属性信息，会对不同身份信息的人设置不同访问的数据。当然属性库中的属性信息可以更加具体情况进行具体设置。这样可以通过简单的身份信息对比就能确定是否验证通过，加快验证处理速度。当然，不限已该种方法进行身份识别，其他能够进行身份识别的方式都可以实现。

步骤S102：通过身份验证后，判定数据中心本地是否存在访问请求对应的目标资源；

在该步骤中，这里的目标资源是指该访问请求想要访问的主体或/和资源，这里的主体是指具体在那个位置，这里的资源是指具体访问的数据。这里的数据包括数据中心以外部或内部的应用数据库作为数据源，应用数据库中的业务数据经过标准化、数据清洗等处理后经过采集、更新进入数据中心存储的数据。

步骤S103：如果存在目标资源，根据数据中心的预先设置的访问策略对终端进行授权访问。

在该步骤中，访问策略是指数据中心根据自身设置的一些访问控制条件，应该理解为这里的访问策略是数据中心根据自身具体的情况进行灵活设置的一些访问限制条件，这样在对终端访问进行简单身份验证后，不是让其直接进行 访问，根据数据中心预先建立的访问策略进行授权访问，这样能够保证数据中心的访问安全性。具体的，这里的访问策略包括当前运行环境满足预设条件时进行授权访问和/或当前访问数满足预设个数条件时进行授权访问。这里的运行环境包括数据中心自身的物理环境，比如数据中心的温度等，例如当温度超过一定阈值是就不允许访问，或者根据不同的温度设置对应允许访问的数量。这的运行环境还包括数据中心自身属性，比如数据中心CPU的使用率，当使用率高是就可以拒绝访问，或者根据CPU的使用率设置对应允许访问的数量。当然这里的访问策略可以是管理员根据具体管理需要设置的相应的限制条件，比如对某些特定数据不允许外界访问或者需要特定授权才能访问等。应该理解为，不仅仅限于上述访问策略的设置，其他可以保证数据中心的访问安全的设置都应包含在内。

具体的，在上述步骤S102中当数据中心本地不存在访问请求对应的目标资源时，通过中央数据中心与目标资源所在的目标数据中心建立会话进行授权访问。具体的，通过中央数据中心与目标资源所在的目标数据中心建立会话进行授权访问可以通过中央数据中心查找目标资源所在的目标数据中心，与目标数据中心建立会话，目标数据中心的预先设置的访问策略对终端进行授权访问。值得注意的是，这里的目标数据中心是指存储访问请求对应的目标资源所在的数据中心。这里的中央数据中心应用理解为存储云计算系统中所有资源存在哪个数据中心中的信息。

进一步，考虑到访问控制机制的逻辑复杂程度将影响到云计算系统的安全性能，但对于平均访问量高于普通系统数倍的数据中心而言，过于复杂的访问控制会影响访问速率，削弱数据中心的运算处理能力。在保证据中心的运算处理能力同时加强对数据中心的安全控制，在在对终端授权访问后，还包括：对 访问进行安全审计。具体的对访问进行安全审计可以在目标资源所在的数据中心生成访问日志，根据访问日志记录的访问信息进行跟踪，判断访问信息是否符合预设设置的安全审计策略，对不符合的访问进行处理。应该理解我，这里访问请求对应的资源在哪个数据中心，该在该数据中心进行生成日志，并且进行安全审计。

实施例二

本实施例的云计算数据中心访问管理方法，本实例中为了便于对具体的访问进行管理，预先建立针对分级部署、多级共享的数据中心架构。通过在层次式组织机构统一认证框架中部署数据中心节点，在分析数据中心不同粒度、类型操作的基础上建立了跨平台的访问控制和审计策略模型，具有较高的安全防御和入侵鉴别能力。具体的通过建立相应的多级访问控制模型(PBAC)由域、主体、资源、环境、操作、属性和策略七种基本元素以及策略评估机制组成。PBAC的形式化定义如下：基于策略的多级访问控制模型PBAC是一个七元组M＝{D，S，R，E，O，A，P}，其中D为域的集合，S为主体的集合，R为资源的集合，E为环境的集合，O为操作的集合，A为属性的集合，P为策略的集合。在对PBAC进行形式化模型描述的基础上，构建了以接入访问控制和资源访问控制为主要内容的统一认证框架即云计算系统，本实例中的方法具体如图2所示，包括以下步骤：

步骤S201：分级建立各数据中心的属性库；

在该步骤中，具体的可以将LDAP(Lightweight Directory Access Protocol，轻量目录访问协议)用于PBAC模型中属性信息的存储，采用由一个中央数据中心属和若干本地数据中心的层次式云计算数据中心，其中本地数据中心存储有 本地的属性信息，而中央数据中心存储有所有本地书属性信息，存储的实现属性信息的动态更新；

步骤S202：建立统一的身份识别信任；

在该步骤中，具体的可以以域结构树为基础构建身份信任联邦，形成跨域的统一认证系统，并为域以及域中的主体、资源、环境、操作定义属性，使得终端可以根据任意一个域制定的策略访问该域中的资源；即只要通过一次身份验证便可以对整个系统中能够访问的资源进行访问；

步骤S203：进行访问授权；

在该步骤中，具体可以通过建立跨域的信任联邦以及以属性库和策略库为中心的分布式属性权威机构包括对身份验证和访问策略验证，采用基于属性证书CA的方式交换身份信息，使得用户以域内身份认证的方式完成域间的单点登录，从而实现接入访问控制；通过建立基于SAML标准和XACML模型的授权框架，使用一定的域内和域间的访问策略评估机制实现对资源的访问控制；即在通过身份验证后，还得通过访问资源所在的数据中心的访问策略验证后才能进行授权访问，提高数据中心的安全性；具体的为，在层次式的认证授权体系下，终端利用本地属性权威完成身份认证，如果目标资源也在本地，则利用本地访问策略完成访问授权，如果目标资源不在本地，则可以通过查询中央数据中心得到资源所在的域，与其建立会话连接，由当地的属性访问策略实现访问授权；

步骤S204：对授权访问的进行安全审计。

在该步骤中，安全审计跟踪不但有助于帮助管理员确保数据资源免遭非法授权操作的损害，还能对数据恢复提供帮助，有些审计系统可以借助系统的保护性响应，达到更为及时的安全应对效果。具体的，安全审计可分为审计跟踪、审计分析和响应处理等几个阶段，在审计跟踪阶段，审计系统对访问行为进行 跟踪记录；违规事件在审计分析阶段辨别，综合使用人工分析和自动分析方式可以达到最佳效果，而自动分析需预先定义安全审计策略；响应处理是系统的保护性措施，包括使用权限失效、使账户失效、中断网络连接、中断进程等。即安全审计是按照一定的规则决定日志中记载的访问信息是否符合访问策略的过程，因此，访问日志中必须记录足够的访问信息。审计策略需要对访问信息项以及审计方式进行描述。具体的，为例便于执行，可以先建立相应的安全审计模型，例如设置审计策略项是一个三元组r＝(I,p,C)，其中，I是访问信息项的集合，p是所记载的操作所对应的访问策略，C是审计方式的集合。安全审计策略模型是一个九元组，M＝{D，S，R，E，O，A，P，L，R}，其中D为域的集合，S为主体的集合，R为资源的集合，E为环境的集合，O为操作的集合，A为属性的集合，P为访问策略的集合，L为待审计事件的集合，R为审计策略项的集合。安全审计是一个三元组，N＝(l,R,Res)，其中，l表示一条待审计事件，R是审计规则的集合，Res是审计判决，是对操作是否符合访问策略的判定结果，Res∈{Conform,Violate,NotApplication}，其中，Conform表示审计通过，Violate表示不符合策略的访问，NotApplication表示不确定。安全审计的过程和结果以审计记录的形式生成并存储于审计库中，对于审计结果为Violate的事件，可以进一步还原该违例访问的详细信息，判定其性质并及时做出处理；对于审计结果为NotApplication的事件，可以通过其他手段进行综合分析，以获得最终的判定结果。

以访问请求的目标资源没在本地进行举例说明，终端在终端访问请求的域中完成身份认证；通过中央数据中心节点构建主体所在域与目标资源所在域的策略决策点之间的会话，根据信任联邦对主体身份凭证的信任在资源所在地域的属性权威机构进行访问授权；主体对资源进行访问并在目标资源所在域生成 访问日志；由目标资源所在域的审计权威机构进行安全审计。通过应用本系统提供的访问控制和安全审计功能，整个系统的安全性和保密性大大加强，创造了良好的经济效益。

实施例三

本实施例提供一种云计算数据中心，如图3所示，该云计算数据中心包括身份验证模块、资源查找模块和策略验证模块：身份验证模块用于接收终端的访问请求，对终端进行身份验证；资源查找模块用于通过身份验证后，判定数据中心本地是否存在访问请求对应的目标资源；策略验证模块用于如果存在目标资源，根据数据中心的预先设置的访问策略对终端进行授权访问。

本实施例提供一种云计算数据中心，如图4所示，该云计算数据中心还包括对外访问模块：对外访问模块用于当数据中心本地不存在访问请求对应的目标资源时，通过中央数据中心与目标资源所在的目标数据中心建立会话进行授权访问。

本实施例提供一种云计算数据中心，如图5所示，该云计算数据中心还包括安全审计模块，安全审计模块用于在对终端授权访问后，对访问进行安全审计。

为例便于管理，本实例中的数据中心具体可以建立相应的模型，具体如图6所示，包括资源目录体系、元数据库、共享信息库、交换信息库、统计分析数据库以及应用服务器、数据共享交换平台。数据量特别大的需要建立数据仓库，具备审计功能的建立安全审计库。数据中心以外部或内部的应用数据库作为数据源，应用数据库中的业务数据经过标准化、数据清洗等处理后经过采集、更新进入数据中心存储。资源目录体系：对数据中心采集的数据资源按专题、类 型等特征进行分类。根据存储形式的不同，数据资源可以分为结构化数据、半结构化数据和非结构化数据，结构化数据可以由数据中心从各业务数据库中抽取，而半结构化数据和非结构化数据一般存储于本地，存储信息记载于数据中心的资源目录库。元数据库:由元数据和数据字典组成。元数据是描述数据本身特征以及转换规则的数据，包括数据结构定义、维度定义、数据抽取和映射规则定义等若干种，可以支持数据中心系统对数据的管理和维护。数据字典中包括对数据的数据项、数据流、处理逻辑、外部实体、分类代码、指标体系等的定义和描述。共享信息库：存放由本级业务应用数据库、下级共享信息库实时汇总后经采集、抽取、清洗、转换后的标准化数据，作为数据中心对外提供数据交换与共享的数据源。共享数据库的数据需要定期进行维护以保证数据的一致性。交换信息库：用户暂存数据中心之间异构数据库的交换数据以及处于业务数据库的安全性考虑进行内外数据库共享和交换的数据。统计分析数据库：按一定的维度对数据进行分析统计，为数据统计分析、报表生产提供支持。统计分析库一般定期进行采集和更新。数据仓库：与操作性数据库相比，数据仓库提供对加工后数据的线上分析处理、数据挖掘，决策支持系统和联机分析、智能查询等功能，为应用决策分析提供支持。数据仓库按照一定的主题进行组织，一般存储容量较大。安全审计库：用户存储数据库系统的审计数据。数据共享交换平台：用于为不同数据库、不同数据格式之间提供数据交换服务。它将分离的数据资源整合到共享数据库中。主要包括数据交换共享功能和ETL(Extraction Transformation Loading，数据提取、转换和加载)功能。ETL系统进行采集清洗、转换、对比，解决不同信息库间信息数据无法自由转换的问题。数据交换是数据中心进行数据集成的核心，数据共享是在数据交换的基础上实现的数据访问和分发。共享信息库与业务集成系统的数据传输由共享交 换平台协助完成。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，上述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上实施例仅用以说明本发明的技术方案而非限制，仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，均应涵盖在本发明的权利要求范围当中。