专利名称:一种云计算数据中心操作系统的安全模型及策略的制作方法
技术领域:
本发明涉及云计算技术领域,尤其涉及一种云计算数据中心操作系统的安全模型及策略。
背景技术:
目前的云计算数据中心操作系统主要包括六大组件资源管理、日志管理、节能控制、虚拟化、存储系统和资源调度。以当前广泛应用的云计算数据中心操作系统云海OS为例,云海OS对内部管理员主要提供计算资源、存储资源、网络资源的管理;通过资源管理,监控管理所有硬件资源,通过节能控制,实现能耗计量、能耗控制、能耗分析和能耗报表功能;通过资源调度,实现计算节点的负载均衡,虚拟机的HA(High Availability,高可用性)功能、资源的计量和统计分析;通过虚拟化技术,提供虚拟机生命周期管理、资源的虚拟分拆和迁移;通过分布式存储系统,提供高可用的存储功能,实现数据恢复、数据检索、数 据传输、几余控制。其中,云海OS是对管理人员提供硬件资源管理服务,对用户提供云服务,即对用户来讲,用户所能访问的,是电力云虚拟化管理系统提供的虚拟化服务,为用户提供满足客户需求的虚拟机及存储。综上所述,为了满足不同人员对云海OS的使用,有必要在现有机制的基础上,提出一种适用于云海OS体系结构的安全模型。
发明内容
本发明解决的技术问题是提供一种云计算数据中心操作系统的安全模型及策略,在云计算系统中提供角色权限的划分机制和管理方式,使云计算系统可以被更安全的使用。为解决上述技术问题,本发明提供了一种云计算数据中心操作系统的安全策略,所述云计算数据中心操作系统包括多个资源功能模块;将所述云计算数据中心操作系统的用户划分为管理员和租户,为所述用户制定不同的角色,并为各角色赋予相应的资源操作权限。进一步地,所述云计算数据中心操作系统包括如下资源功能模块资源管理模块、日志管理模块、节能控制模块、告警管理模块、资源调度模块,和安全管理模块。进一步地,为各角色赋予相应的资源操作权限,具体是指将各角色分别与不同的功能模块相关联。进一步地,按照以下方式为所述管理员制定如下角色并赋予相应的资源操作权限安全管理员,具有创建、删除修改普通管理员权限;审计管理员,具有查看、备份、删除系统日志的权限
普通管理员,具有业务功能操作权限。进一步地,按照以下方式为所述租户制定如下角色并赋予相应的资源操作权限集团用户,仅具有申请虚拟机及虚拟存储权限;集团子用户,仅具有虚拟机使用权限;普通用户,具有申请虚拟机及虚拟存储权限,且具有使用权限。本发明还提供了一种云计算数据中心操作系统的安全模型,所述安全模型中,所述云计算数据中心操作系统的用户划分为管理员和租户,且为用户制定不同的角色并赋予相应的资源操作权限。其中,所述管理员划分为如下角色并被赋予相应的资源操作权限安全管理员、审计管 理员,普通管理员;所述租户划分为如下角色并被赋予相应的资源操作权限集团用户、集团子用户、普通用户。进一步地,所述云计算数据中心操作系统包括多个资源功能模块;由所述安全管理员为管理员制定角色,并通过将各角色分别与不同的功能模块相关联,为各角色赋予相应的资源操作权限;且所述安全管理员维护各角色与普通管理员之间的关系。进一步地,按照以下方式为所述用户制定角色并赋予相应的资源操作权限安全管理员,具有创建、删除修改普通管理员权限;审计管理员,具有查看、备份、删除系统日志的权限普通管理员,具有业务功能操作权限;集团用户,仅具有申请虚拟机及虚拟存储权限;集团子用户,仅具有虚拟机使用权限;普通用户,具有申请虚拟机及虚拟存储权限,且具有使用权限。进一步地,所述普通管理员访问所述云计算数据中心操作系统的资源功能模块,并维护集团用户及普通租户的信息。进一步地,所述集团用户,用于申请虚拟机、虚拟存储,以及管理集团子用户的信息,控制集团子用户的资源。本发明提供的安全模型区别于传统的管理员用户的模型,是以传统权限机制为基础,将功能模块化,将功能赋给角色而不是直接用户,从而可以很大程度上减少因用户太多造成的管理复杂度,易于后期的运维和扩展。相较于现有技术,本发明至少具有如下有益效果在云计算系统中,安全模型提供了角色权限的划分机制和管理方式,使系统可以被更安全的使用,同时按功能模块划分角色,在未来的改动时只需修改角色就可以实现功能的扩展,因而具有非常广阔的应用前景。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图I为传统的权限体系结构示意图;图2为本发明实施例中基于云海OS的安全模型示意图3为本发明另一实施例中基于云海OS的安全模型示意图。
具体实施例方式本实施方式提供一种云计算数据中心操作系统的安全模型及策略,其基本思想是将云海OS系统划分为管理端与租户端,管理端划分为多个功能模块,由安全管理员制定角色,每个角色包含若干功能模块,并维护角色与普通管理员之间的关系。普通管理员访问云海OS不同的功能模块如资源管理、日志管理、节能控制、虚拟化、存储系统,资源调度等模块,同时维护集团用户及普通租户的信息。集团用户相比普通租户除了申请操作虚拟机等资源外还可以管理集团子用户的信息,控制集团子用户的资源。本实施方式的安全模型中用户角色及相应的权限划分,具体可如下表I所示表I安全模型的用户角色及相应的权限划分
出广炻色___·
WJlM安令管只介创建、《I除修改齊通
__管理员权限_
审汁管理员只有迕看、备份、_除系
__统曰忐的权·_
普通管理员除安个管理员外所+fi或部
___分教务功能操作权限_
租厂1 β NIIIli'1nj-屮请大. 虚拟机及慮拟
__#储,+01没有使川权限
__集团子用户没:fi申诘虚拟机及虚拟存
__储权限,只有使州权限
普通) /1 ·> 屮请虚拟机及虚拟存__I储,并拥有使州权限_为了便于阐述本发明,以下将结合附图及具体实施例对本发明技术方案的实施作进一步详细描述。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。图I为传统的权限体系结构示意图。如图I所示,传统权限结构中,用户直接被赋予权限,用户和权限之间是多对多的关系。图2为本发明实施例中基于云海OS的安全模型示意图。参考图2所示,本发明的云海OS中用户和角色的关系可以是一对一或者多对一,角色和权限的关系是多对多。图3为本发明另一实施例中基于云海OS的安全模型示意图。图3中描述了云海OS里管理员和用户的组织结构和层级关系,其中,安全管理员管理普通管理员,普通管理员管理租户,每一层只和与其相关的层有关系,不直接相关的层没有联系,例如安全管理员不能管理租户的信息,等。以下将以一个具体实例对本发明安全模型的实现过程进行详细说明。
本实例中,将系统管理端的功能划分为资源管理、日志管理、节能控制、告警管理、资源调度,和安全管理6个模块。I.模块集合{Modular_安全管理模块,Modular_资源管理,Modular_日志管理,Modular_节能控制,Modular_告警管理,Modular_资源调度};此外,新建若干角色2.角色集合{Role_安全管理员,RoIe_普通管理员1,RoIe_普通管理员2};并在创建角色的过程中将功能模块与角色相关联,为简便起见,此处只指定两个简单的关联,如下表2所示表2功能模块与角色的关联关系
权利要求
1.一种云计算数据中心操作系统的安全策略,其特征在于,所述云计算数据中心操作系统包括多个资源功能模块; 将所述云计算数据中心操作系统的用户划分为管理员和租户,为所述用户制定不同的角色,并为各角色赋予相应的资源操作权限。
2.如权利要求I所述的安全策略,其特征在于,所述云计算数据中心操作系统包括如下资源功能模块 资源管理模块、日志管理模块、节能控制模块、告警管理模块、资源调度模块,和安全管理模块。
3.如权利要求I所述的安全策略,其特征在于, 为各角色赋予相应的资源操作权限,具体是指将各角色分别与不同的功能模块相关联。
4.如权利要求1、2或3所述的安全策略,其特征在于, 按照以下方式为所述管理员制定如下角色并赋予相应的资源操作权限 安全管理员,具有创建、删除修改普通管理员权限; 审计管理员,具有查看、备份、删除系统日志的权限 普通管理员,具有业务功能操作权限。
5.如权利要求1、2或3所述的安全策略,其特征在于, 按照以下方式为所述租户制定如下角色并赋予相应的资源操作权限 集团用户,仅具有申请虚拟机及虚拟存储权限; 集团子用户,仅具有虚拟机使用权限; 普通用户,具有申请虚拟机及虚拟存储权限,且具有使用权限。
6.一种云计算数据中心操作系统的安全模型,其特征在于,所述安全模型中,所述云计算数据中心操作系统的用户划分为管理员和租户,且为用户制定不同的角色并赋予相应的资源操作权限,其中, 所述管理员划分为如下角色并被赋予相应的资源操作权限安全管理员、审计管理员,普通管理员; 所述租户划分为如下角色并被赋予相应的资源操作权限集团用户、集团子用户、普通用户。
7.如权利要求6所述的安全模型,其特征在于, 所述云计算数据中心操作系统包括多个资源功能模块; 由所述安全管理员为管理员制定角色,并通过将各角色分别与不同的功能模块相关联,为各角色赋予相应的资源操作权限;且所述安全管理员维护各角色与普通管理员之间的关系。
8.如权利要求7所述的安全模型,其特征在于, 按照以下方式为所述用户制定角色并赋予相应的资源操作权限 安全管理员,具有创建、删除修改普通管理员权限; 审计管理员,具有查看、备份、删除系统日志的权限 普通管理员,具有业务功能操作权限; 集团用户,仅具有申请虚拟机及虚拟存储权限;集团子用户,仅具有虚拟机使用权限; 普通用户,具有申请虚拟机及虚拟存储权限,且具有使用权限。
9.如权利要求8所述的安全模型,其特征在于, 所述普通管理员访问所述云计算数据中心操作系统的资源功能模块,并维护集团用户及普通租户的信息。
10.如权利要求8所述的安全模型,其特征在于, 所述集团用户,用于申请虚拟机、虚拟存储,以及管理集团子用户的信息,控制集团子用户的资源。
全文摘要
本发明公开了一种云计算数据中心操作系统的安全模型及策略,该云计算数据中心操作系统包括多个资源功能模块;将该云计算数据中心操作系统的用户划分为管理员和租户,为用户制定不同的角色,并为各角色赋予相应的资源操作权限。本发明在云计算系统中提供角色权限的划分机制和管理方式,使云计算系统可以被更安全的使用。
文档编号H04L29/08GK102904892SQ20121039540
公开日2013年1月30日 申请日期2012年10月17日 优先权日2012年10月17日
发明者王帅, 高飞, 张培训, 赵霞, 刘正伟 申请人:浪潮(北京)电子信息产业有限公司