一种基于云平台的多核网状式多级跨域访问控制方法与流程
本发明涉及跨域访问的控制方法领域,具体为一种基于云平台的多核网状式多级跨域访问控制方法。
背景技术:
转向云计算,是业界将要面临的一个重大改变。各种云平台(的出现是该转变的最重要环节之一。顾名思义,这种平台允许开发者们或是将写好的程序放在“云”里运行,或是使用“云”里提供的服务,或二者皆是。至于这种平台的名称,现在我们可以听到不止一种称呼,比如按需平台、平台即服务等等。但无论称呼它什么,这种新的支持应用的方式有着巨大的潜力。
当一个资源请求一个其它域名的资源时会发起一个跨域http请求。比如说,域名a的某web应用通过<img>标签引入了域名b的某图片资源,域名a的web应用就会导致浏览器发起一个跨域http请求。在当今的web开发中,使用跨域http请求加载各类资源(包括css、图片、javascript脚本以及其它类资源),已经成为了一种普遍且流行的方式。
出于安全考虑,浏览器会限制脚本中发起的跨域请求。为了改进/提升web应用程序,开发人员要求浏览器供应商允许跨域请求。跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。
访问控制是支撑信息系统安全的一项重要机制,访问控制策略集中体现了信息系统的安全需求,其有效实施为系统资源的机密性和完整性提供了重要保证。但是,如果缺乏安全可靠的访问控制管理技术作为支撑,即使已经指定和实施访问控制策略,也难以真正实现信息的“安全共享”。且随着访问策略数目剧增、策略管理对象复杂多变、多种访问控制模型并存的新特征,在很大程度上增加了控制管理的难度。目前的控制方法难以实现对访问控制策略实施统一、全局的管理,更加难以保证等级化信息系统间的安全互操作,且跨域访问的任务处理速度慢,只能一步步处理任务,处理器负担大,导致访问效率低。
技术实现要素:
为了克服现有技术方案的不足,本发明提供一种基于云平台的多核网状式多级跨域访问控制方法,云平台访问控制模型的建立为多级跨域访问提供了一定的可能和途径,云平台的可改动性和可提升高度大,业务具有无限的扩展可能,提升了云平台访问体系的管理效率,多级跨域访问控制模型具有良好的可扩展性,灵活性高,采用多核网状式地处理方式对跨域访问请求进行处理,提高了对多级跨域访问请求的处理效率,能有效的解决背景技术提出的问题。
本发明解决其技术问题所采用的技术方案是:
一种基于云平台的多核网状式多级跨域访问控制方法,包括如下步骤:
s100、构建云平台控制模型,解决多级跨域访问和权限管理中存在的复杂性问题;
s200、建立多级跨域访问控制模型,对访问控制模型进行抽象化操作;
s300、建立多个领域之间的属性映射机制,为域间互操作提供基础;
s400、设计访问控制模型的具体实施方法。
进一步地,所述云平台控制模型将企业在云平台业务协作与信息交互的访问控制具体转化云平台、企业联盟、业务协作类型、业务协作角色和业务操作权限五类控制体系。
进一步地,所述云平台控制模型将多个不同的整机成品制造联盟整合起来,每个联盟将业务协作类型整合为采购、销售、售后服务和物流四类模式,将同一个整合模式下的不同协作企业模拟成四类不同的角色,不同的角色在不同的业务中具有不同的业务交互和信息访问权限。
进一步地,所述采购、销售、售后服务和物流模拟的角色分别对应为供应商、经销商、服务商和物流商,四类角色与云平台合作形成一定的交互,角色与云平台合作而构成了购货区、售卖区、售后区和物流区四类不同的协作区。
进一步地,所述云平台控制模型的构建步骤如下:
s101、构建模型,先确定制造联盟与多个协作区之间的关联关系,设立联盟层为u,协作区层为c,计算u元素集和c元素集构成的笛卡尔积,计算出的结果即表示联盟集合到协作区之间的协作控制关系;
s102、用“1”表示两层的两个元素间存在关联,用“0”表示两层两个元素间未存在关联,再将u与c的元素集关联关系转化为布尔关系矩阵m;
s103、利用算法将布尔关系矩阵m转化为五个网络节点环;
s104、利用matlab工具对五个网络节点进行仿真,作出仿真节点图;
s105、根据以上步骤的结果分析出模型的优点。
进一步地,所述算法步骤如下:
s1031、定义
s1032、循环检阅m矩阵,选出元素值为“1”的五元组,依次保存为hash表的键值,构成hash数据集s,hash表的每个值对应为一个包含五个元素值的数组;
s1033、按五元组序列标识j顺序循环检阅数据集s,找出s中第k个五元数组的第j个元素值,记为x(j)k,将x(j)k保存到y(j)中;
s1034、继续检阅第k+1个五元数组的第j个元素,记为x(j)k+1,判断y(j)中是否包含x(j)k+1,若y(j)中不包含x(j)k+1,则将x(j)k+1添加至y(j)中;
s1035、循环上述步骤,直至单次五元组序列标识j所嵌套的循环执行完毕,转入执行下一个五元组序列标识j+1次嵌套循环,执行过程同前述步骤,直至执行完毕,得到y(1)、y(2)、y(3)、y(4)、y(5)五个数据集。
进一步地,所述抽象化操作包括如下步骤:
s201、将传统访问控制模型中的身份、角色、主体安全级和客体安全级抽象为实体属性;
s202、利用xacml语言为工具抽去策略主体、客体、操作和环境上下文四类策略条件属性元素对访问控制策略进行抽象描述。
进一步地,多级跨域访问控制模型包括跨域安全管理中心和若干个安全域,安全域包括跨级安全管理中心和若干个安全级区,且多级跨域模型的跨域访问规则如下:
s203、设立管理多级跨域安全管理中心的管理者为一级管理者,一级管理者为安全域区分配二级管理者并赋予相应权限,二级管理者为安全级区指定三级管理者并赋予相应权限;
s204、二级管理者管理安全域,三级管理者管理安全级区;
s205、一级管理者只能通过修改二级安全级区的管理者权限达到对安全域间接管理的目的,而不能直接跨级管理安全级区;
s206、一级管理者具有管理多个安全域之间的策略属性映射和约束集合的权限,二级管理者具有管理同一个安全域内部的策略属性映射和约束集合的权限,三级管理者具有管理安全级区内部的主体、资源、访问控制策略和约束集合的权限。
进一步地,所述云平台内设置有任务分配系统和多核任务处理系统,任务分配系统将任务分为一级任务、二级任务和三级任务,多核任务处理系统包括外核处理中心、中核处理中心和内核处理中心,三个处理中心均设有若干处理器,任务分配系统将一级任务、二级任务和三级任务分别分配发布给外核处理中心、中核处理中心和内核处理中心,内核处理中心连接有最终结果显示器。
进一步地,三个处理中心的处理方式如下:
s601、外核处理中心处理了一级任务后将结果输入中核处理中心,中核处理中心判断任务是否需要继续处理,若不需要继续处理,则直接将结果输入到内核处理中心,再由内核处理中心判断,内核处理中心不需再处理直接将结果输送到最终结果显示器内;
s602、若外核处理中心输送到中核处理中心的数据还需要第二步处理,则中核处理中心处理此任务,同时中核处理中心还处理任务分配系统发布的二级任务,处理完毕后,将所有处理结果均发到内核处理中心内;
s603、内核处理中心处理三级任务的同时还分析判断中核处理中心传递的数据是否需要处理,若需要处理,则进行第三步处理后,处理结果发往最终结果显示器中。
与现有技术相比,本发明的有益效果是:
(1)本发明先通过建模、模拟、算法、计算出若干个数据集,然后根据数据集作图得到云平台控制模型的仿真图,云平台访问控制模型的建立不仅建立任意两个区域间和两个级别间的控制服务,为多级跨域访问提供了一定的可能和途径,避免了跨域或跨级直接控制,从而保证了跨域或跨级访问的严格性和合法性,云平台内的各个服务之间关联密切,增添或减少某个服务对整个云平台的访问控制影响不大,因此云平台的可改动性和可提升高度大;
(2)本发明将复杂的云平台访问控制体系转化为多种层次分明的网络控制模型,网络模型与业务功能分离,业务具有无限的扩展可能,且简化了访问控制体系,提升了云平台访问体系的管理效率;
(3)多级跨域访问控制模型的建立将主体、资源、领域间映射关系、访问控制策略和约束条件都进行了分类详细的描述,主体权限关系直接通过属性关联关系体现,解决了传统访问控制管理存在的冗余、复杂的问题,具有良好的可扩展性,对各种对象进行抽象描述,解决了访问不同类型需采用不同的复杂的访问控制策略的问题,灵活性高,克服了传统管理模型配对专一客户或企业的单一性问题,更加适用于广大企业或客户使用;
(4)本发明采用多核网状式地处理方式对跨域访问请求进行处理,三个处理中心的处理器既可独立完成各自的任务,也可完成其他位置传递来的任务,三个处理器由外而内地分批次处理不同级别和不同区域的访问请求,处理器既相互独立也相互关联,在同一级的任务中,多个处理器的设计使多个同级任务能得到同步处理,大大加快了级间任务的处理速度,且分工合作,相互之间互不影响,大大提高了信息处理速度,提高了对多级跨域访问请求的处理效率,从而使客户访问查询时间更少,客户体验更佳。
附图说明
图1为本发明的多级跨域访问控制方法的整体流程图;
图2为本发明的云平台控制模型的建立方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1和图2所示,本发明提供了一种基于云平台的多核网状式多级跨域访问控制方法,包括如下步骤:
s100、构建云平台控制模型,解决多级跨域访问和权限管理中存在的复杂性问题,云平台控制模型将企业在云平台业务协作与信息交互的访问控制具体转化云平台、企业联盟、业务协作类型、业务协作角色和业务操作权限五类控制体系。
云平台控制模型将多个不同的整机成品制造联盟整合起来,每个联盟将业务协作类型整合为采购、销售、售后服务和物流四类模式,将同一个整合模式下的不同协作企业模拟成四类不同的角色,不同的角色在不同的业务中具有不同的业务交互和信息访问权限。采购负责制作购买清单和购买商品的任务,销售负责出售产品,物流则负责产品的运输和送达到客户手上以及对退换货的往返运输等任务,售后服务则负责对购买客户产品的售后检修和维护任务。四个角色保证了产品出售的一条龙服务,且四个角色也是销售必不可少的,保证了产品销售的稳定性。
采购的角色具有访问采购数量、价格和预定采购物品订单信息的权限,销售的角色则具有访问销售产品数量、价格波动和营业额等信息的权限,而物流的角色则具有访问产品的运输路线、快递类别、产品运输费用等信息的权限,售后服务的角色具有访问客服人员名单、维修人员名单、售后电话名单、售后反馈、各种售后的费用和员工工资等信息的权限,各个角色各司其职,保证了产品信息的完整性,也保证了信息传递的高效性,对产品的各项数据信息进行严格把关,保证产品的安全性和盈利性。
采购、销售、售后服务和物流模拟的角色分别对应为供应商、经销商、服务商和物流商,四类角色与云平台合作形成一定的交互,角色与云平台合作而构成了购货区、售卖区、售后区和物流区四类不同的协作区。从而将采购、销售、售后服务和物流模拟实体化为各类商人,然后再虚化到云平台内,在云平台内占据一定的具有一定功能和权限的位置,从而使云平台对企业和销售信息的计算和操作更加方便,从而能更轻松地对跨域的访问请求进行监视和控制。
云平台控制模型的构建步骤如下:
s101、构建模型,先确定制造联盟与多个协作区之间的关联关系,设立联盟层为u,协作区层为c,计算u元素集和c元素集构成的笛卡尔积,计算出的结果即表示联盟集合到协作区之间的协作控制关系,笛卡尔积为:u×c={r|r=(u,c)∧u∈u∧c∈c}={(u1,c1),(u1,c2),…,(u1,cn),…(um,cn)},u1,u2,…,um均为制造联盟u的子集,c1,c2,…,cn均为协作区层c的子集。
将云平台访问体系划分为云平台、生产企业、业务协作类型、角色和业务操作功能权限五层不同的体系,这种划分方法有利于将制造产业链内的每一个企业在云平台的业务协作与信息交互的访问控制问题,转化为企业在云平台属于哪个联盟、将要进行哪类业务协作、扮演哪种角色和具有哪些操作权限等问题,从而将信息交互和访问控制问题转化为五类清晰明了的问题,更有利于企业间的信息交流,也不会让企业的相关技术机密泄露,保证了企业的利益的同时也保证了企业的信息安全性。五类控制体系层次分明,便于云平台对产业链企业群进行统一的管理,从而使访问控制更加严格可靠。
s102、用“1”表示两层的两个元素间存在关联,用“0”表示两层两个元素间未存在关联,再将u与c的元素集关联关系转化为布尔关系矩阵m;
s103、利用算法将布尔关系矩阵m转化为五个网络节点环,算法步骤如下:
s1031、定义
s1032、循环检阅m矩阵,选出元素值为“1”的五元组,依次保存为hash表的键值,构成hash数据集s,hash表的每个值对应为一个包含五个元素值的数组;
s1033、按五元组序列标识j顺序循环检阅数据集s,找出s中第k个五元数组的第j个元素值,记为x(j)k,将x(j)k保存到y(j)中;
s1034、继续检阅第k+1个五元数组的第j个元素,记为x(j)k+1,判断y(j)中是否包含x(j)k+1,若y(j)中不包含x(j)k+1,则将x(j)k+1添加至y(j)中;
s1035、循环上述算法,直至单次五元组序列标识j所嵌套的循环执行完毕,转入执行下一个五元组序列标识j+1次嵌套循环,执行过程同前述步骤,直至执行完毕,得到y(1)、y(2)、y(3)、y(4)、y(5)五个数据集。
s104、利用matlab工具对五个网络节点进行仿真,作出仿真节点图,将上述的y(1)、y(2)、y(3)、y(4)、y(5)数据集座位网络模型的仿真数据源,利用matlab工具作出产业链协同云平台的网络控制体系模型图。
s105、根据以上步骤的结果分析出模型的优点。综合分析云平台控制模型,可得出以下优点和结论:
(1)云平台支撑整个产业链中的各级角色和权限控制。
(2)各网络节点与其相邻的环之间均跨级存在关联关系,避免了跨域或跨级直接控制,更有利于云平台控制体系的严格管理。
(3)节点关联性较高,云平台中解除某一个服务后,对气体控制服务不产生影响,对整个云平台控制体系的影响更是可以忽略不计。
(4)建立任意两个区域间或两个级别间的控制服务,相当于在整个产业链协同云平台控制体系中建立多个完整的控制关系,从而为多级跨域访问提供了可能和途径。
(5)实现了将复杂的云平台访问控制体系转化为多种层次分明的网络控制模型。
(6)网络模型与业务功能分离,业务具有无限的扩展可能,只需将功能赋予相应的权限即可扩展一个新的业务,简化了访问控制体系,提升了云平台访问体系的管理效率。
上文描述的是如何建立云平台控制模型及其优点,下面开始具体介绍基于云平台的多级跨域访问控制的方法和步骤。
s200、建立多级跨域访问控制模型,对访问控制模型进行抽象化操作,
抽象化操作包括如下步骤:
s201、将传统访问控制模型中的身份、角色、主体安全级和客体安全级抽象为实体属性;
s202、利用xacml语言为工具抽去策略主体、客体、操作和环境上下文四类策略条件属性元素对访问控制策略进行抽象描述。
多级跨域访问控制模型包括跨域安全管理中心和若干个安全域,安全域的定义:将相似的安全需求(如防止企业核心领域信息外泄),并遵循一个相同访问控制原则的定级系统按照一定的原理而画风的等级保护区域,即同一个安全域内具有相似的访问请求的控制原则,而不同级别的安全域内的访问控制原则也不相同,从而使各级访问控制更加有序,多级访问也有序可循,使用指定的访问方法即可对应相应的安全域,便于安全域的定位和访问记录的查询。
安全域包括跨级安全管理中心和若干个安全级区,上级的安全域包含多个安全级区,一个安全域管理中心能管理多个安全级区,而一个安全级区只受一个安全域的管理,即二级管理者能管理多个三级管理者,而一个三级管理者只接受或执行一个二级管理者的任务或指令。三级管理者不能逆向管理二级管理者。同理,一级管理者能控制二级管理者,但不能控制三级管理者,即不能跨越两个等级对下级的区域进行发布命令或控制。
多级跨域模型的跨域访问规则如下:
s203、设立管理多级跨域安全管理中心的管理者为一级管理者,一级管理者为安全域区分配二级管理者并赋予二级管理者相应权限,二级管理者为安全级区指定三级管理者并赋予三级管理者相应权限;
s204、二级管理者管理安全域,三级管理者管理安全级区;
s205、一级管理者只能通过修改二级安全级区的管理者权限达到对安全域间接管理的目的,而不能直接跨级管理安全级区;
s206、一级管理者具有管理多个安全域之间的策略属性映射和约束集合的权限,二级管理者具有管理同一个安全域内部的策略属性映射和约束集合的权限,三级管理者具有管理安全级区内部的主体、资源、访问控制策略和约束集合的权限。
制定了严格的等级跨域和跨级的访问规则,有利于对跨域的请求进行合理的分类,从而使访问的请求更快地被定位到合适位置,使访问请求的处理更加快速合理,也使多级跨域访问变得更加井然有序,访问请求的答复更加准确,避免了访问出错、违背访问原则的情况出现,提高跨域访问控制的质量和效率。
s300、建立多个领域之间的属性映射机制,为域间互操作提供基础,领域间的映射指在同一个领域内实体属性间和外域属性间建立单向映射关系,将外域属性映射为本领域内的实体属性,从而使外来的跨域请求能被云平台接受并处理。
映射包括变量名映射和属性值区间映射,变量名映射是指本领域与外域的实体属性名表达相同的语义,如本领域的实体属性变量名为“安全性”,外域实体属性变量名为“可靠性”,两者之间可建立映射关系。属性值区间映射指本领域实体的属性值区间与外域实体的属性变量值相同。如对控制方法的严格等级分为“一级、二级、三级、四级”,访问控制的指令分为“允许、考察、部分通过、全部拒绝”,两者之间可建立队友映射关系。
映射的建立为外域访问本领域内的信息提供了可能性和渠道,从而使外界访问企业信息更加简单快捷。
s400、设计多级跨域访问控制模型的具体实施方法,实施方法如下:
(1)多级跨域安全管理中心为系统中的最高管理机构,其对各种管理对象进行配置,包括用户主体集合、资源集合、权限操作集合、属性映射关系、约束条件集合。
(2)上级管理者创建下级安全域,如二级管理者创建安全级区,然后为安全级区指定主体、资源集合,为安全级区分派管理者并指定其管理权限和管理范围。
(3)一级管理者约束二级管理者的管理行为,二级管理者约束三级管理者的管理行为,一级管理者相当于二级管理者的上级,二级管理者相当于三级管理者的上级,上级管理者在有需要时可更改下级管理者的权限,从而改变个别安全域或安全级区的管理范围和权限规则。
(4)安全域或安全级区内的部分用户或资源删除的时候,会引起部分访问控制系统失效,此时为避免访问失败而耽误客户时间,将安全域内的失效的访问控制策略删除,以保证访问的高效性。
根据上述可知,多级跨域访问控制模型的建立将主体、资源、领域间映射关系、访问控制策略和约束条件都进行了分类详细的描述,主体权限关系直接通过属性关联关系体现,解决了传统访问控制管理存在的冗余、复杂的问题。且多级跨域访问控制模型具有良好的可扩展性,对各种对象进行抽象描述,解决了访问不同类型需采用不同的复杂的访问控制策略的问题,灵活性高,克服了传统管理模型配对专一客户或企业的单一性问题,更加适用于广大企业或客户使用。
云平台内设置有任务分配系统和多核任务处理系统,任务分配系统将任务分为一级任务、二级任务和三级任务,一级任务包括对多级跨域安全区域的访问控制,二级任务包括对安全域内的信息访问和安全域到安全级区的跨级信息访问控制,三级任务包括对安全级区内信息访问的控制。各级任务分工明确,既相互独立,也相互联系,如跨域和跨级请求访问安全级区内的信息时,需要一级任务、二级任务和三级任务都执行才能完成访问控制的任务。
多核任务处理系统包括外核处理中心、中核处理中心和内核处理中心,三个处理中心均设有若干处理器,任务分配系统将一级任务、二级任务和三级任务分别分配发布给外核处理中心、中核处理中心和内核处理中心,内核处理中心连接有最终结果显示器。
三个处理中心的处理方式如下:
s601、外核处理中心处理了一级任务后将结果输入中核处理中心,中核处理中心判断任务是否需要继续处理,若不需要继续处理,则直接将结果输入到内核处理中心,再由内核处理中心判断,内核处理中心不需再处理直接将结果输送到最终结果显示器内;
s602、若外核处理中心输送到中核处理中心的数据还需要第二步处理,则中核处理中心处理此任务,同时中核处理中心还处理任务分配系统发布的二级任务,处理完毕后,将所有处理结果均发到内核处理中心内;
s603、内核处理中心处理三级任务的同时还分析判断中核处理中心传递的数据是否需要处理,若需要处理,则进行第三步处理后,处理结果发往最终结果显示器中。
本发明采用多核网状式地处理方式对跨域访问请求进行处理,三个处理中心的处理器既可独立完成各自的任务,也可完成其他位置传递来的任务,三个处理器由外而内地分批次处理不同级别和不同区域的访问请求,处理器既相互独立也相互关联,在同一级的任务中,多个处理器的设计使多个同级任务能得到同步处理,大大加快了级间任务的处理速度,且分工合作,相互之间互不影响,大大提高了信息处理速度,提高了对多级跨域访问请求的处理效率,从而使客户访问查询时间更少,客户体验更佳。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
- 还没有人留言评论。精彩留言会获得点赞!