一种面向云计算的任务角色访问控制模型的制作方法
【技术领域】
[0001]本发明涉及信息安全技术领域,具体地说是一种面向云计算的任务角色访问控制模型。
【背景技术】
[0002]传统的访问控制模型有自主访问控制和强制访问控制两种,但这两种访问控制模型都存在管理困难的问题。随着计算机系统的不断发展,在云计算环境下,用户需要访问的资源越来越多,出现了对灵活性好、适应性强的访问控制模型的需求。
[0003]基于角色的访问控制模型(RBAC),它在用户和访问权限之间引入角色的概念,这样保证将用户和权限之间进行了分离,从而进一步的可以保证用户和访问权限的安全,提高了用户访问的灵活性。但此模型不适合在分布式的系统中应用。
[0004]基于任务的访问控制模型(TBAC)是一种新的安全模型,它采用工作流的特性,从任务角度出发,将任务分为建立任务,执行任务,完成任务三个部分。但此模型不支持被动访问控制。
【发明内容】
[0005]本发明的目的是克服现有技术中存在的不足,提供一种面向云计算的任务角色访问控制模型。在T-RBAC模型中,使用角色的概念来进行用户管理,具有明晰的角色层次管理,以及高扩展性和适应性。
[0006]本发明的技术方案是按以下方式实现的,其任务角色访问控制模型中,任务节点的实例分配给角色从而来获得权限,用户获得对客体的访问权限通过角色来获得,结合云计算模式下的用户访问的特点,基于云计算模式下的任务角色访问控制模型,具体描述如下:
定义1用户:网络中的企业客户或者个人客户,他们是由云计算服务商提供的客户,可以独立访问系统中的数据或者资源;
定义2角色:在云计算中,访问任务的一组集合;
定义3权限:在云计算中访问资源的许可范围;
定义4会话:用户在激活云计算服务商的授权角色之后,通过分配的角色建立映射,取得了会话过程;
定义5任务:在云计算中,根据云计算服务商中提供的不同服务,对任务进行不同的分类;有些任务是可以根据功能进行分类,也可以根据服务类型进行分类;
定义6角色继承:在云计算中,很多任务的执行者可能会具有相同的权限,比如在同一个用户中的不同客户访问同一个数据库,为避免相同权限的重复设置,角色可以继承其他的角色,从而可以具有属性和权限,避免了角色的重复设置;
定义7约束集:只对于访问控制中各种指派所作的规则限制;
定义8 URA:用户角色分配; 定义9 TPA:任务权限分配;
定义10 IPA:任务实例权限分配;
定义11 TRA:任务角色分配;
定义12 IRA:任务实例角色分配。
[0007]本发明的优点是:
1、T-RBAC能够利用云端服务器,与客体所有者一起通过任务分配权限的方式,既满足了分布式访问控制需求,同时也具有清晰的角色层次管理;
2、T-RBAC构建了一个面型共享安全的访问控制机制,从数据管理、任务管理、用户管理和授权管理四个方面来解决云计算访问控制中的安全要求。
【附图说明】
[0008]图1为T-RBAC模型的结构示意图。
[0009]实施方式
下面结合附图对本发明的一种面向云计算的任务角色访问控制模型作以下详细说明。
[0010]如图1所示,本发明的一种面向云计算的任务角色访问控制模型,其任务角色访问控制模型中,任务节点的实例分配给角色从而来获得权限,用户获得对客体的访问权限通过角色来获得,结合云计算模式下的用户访问的特点,基于云计算模式下的任务角色访问控制模型,具体描述如下:
定义1用户:网络中的企业客户或者个人客户,他们是由云计算服务商提供的客户,可以独立访问系统中的数据或者资源;
定义2角色:在云计算中,访问任务的一组集合;
定义3权限:在云计算中访问资源的许可范围;
定义4会话:用户在激活云计算服务商的授权角色之后,通过分配的角色建立映射,取得了会话过程;
定义5任务:在云计算中,根据云计算服务商中提供的不同服务,对任务进行不同的分类;有些任务是可以根据功能进行分类,也可以根据服务类型进行分类;
定义6角色继承:在云计算中,很多任务的执行者可能会具有相同的权限,比如在同一个用户中的不同客户访问同一个数据库,为避免相同权限的重复设置,角色可以继承其他的角色,从而可以具有属性和权限,避免了角色的重复设置;
定义7约束集:只对于访问控制中各种指派所作的规则限制;
定义8 URA:用户角色分配;
定义9 TPA:任务权限分配;
定义10 IPA:任务实例权限分配;
定义11 TRA:任务角色分配;
定义12 IRA:任务实例角色分配。
[0011]此专利结合了 RBAC和TBAC的优点,提出一种新的访问控制模型-任务角色访问控制模型(T-RBAC)。在T-RBAC模型中,使用角色的概念来进行用户管理,具有明晰的角色层次管理,以及高扩展性和适应性。由于云计算中主体对客体的权限需求有明显的角色属性区别,本文根据主体对客体的访问的操作需求,把云计算中的访问主体分为所有者、云服务器、共享访问者三类。进行角色分类授权管理,应对共享访问者的频繁变动。
[0012]在目前一般的云计算访问控制中,云服务器都是访问控制权限分配主要角色,并且对客体持有最高权限,云计算服务商提供和监管享有特权的管理员方面的具体信息以及控制访问方面的具体信息。而本设计中通过授权管理转换云服务器在访问控制中的角色,云服务器通过客体拥有者授权获得权限,并在授权过程中充当传递访问请求的可信中间人,使得访问控制安全不需要完全依赖于云服务器的可信度,同时利用云服务器分担部分授权工作,减轻用户负担。
[0013]本发明的一种面向云计算的任务角色访问控制模型其加工制作非常简单方便,按照说明书附图所示即可加工。
[0014]除说明书所述的技术特征外,均为本专业技术人员的已知技术。
【主权项】
1.一种面向云计算的任务角色访问控制模型,其特征在于任务角色访问控制模型中,任务节点的实例分配给角色从而来获得权限,用户获得对客体的访问权限通过角色来获得,结合云计算模式下的用户访问的特点,基于云计算模式下的任务角色访问控制模型,具体描述如下: 定义1用户:网络中的企业客户或者个人客户,他们是由云计算服务商提供的客户,可以独立访问系统中的数据或者资源; 定义2角色:在云计算中,访问任务的一组集合; 定义3权限:在云计算中访问资源的许可范围; 定义4会话:用户在激活云计算服务商的授权角色之后,通过分配的角色建立映射,取得了会话过程; 定义5任务:在云计算中,根据云计算服务商中提供的不同服务,对任务进行不同的分类;有些任务是可以根据功能进行分类,也可以根据服务类型进行分类; 定义6角色继承:在云计算中,很多任务的执行者可能会具有相同的权限,比如在同一个用户中的不同客户访问同一个数据库,为避免相同权限的重复设置,角色可以继承其他的角色,从而可以具有属性和权限,避免了角色的重复设置; 定义7约束集:只对于访问控制中各种指派所作的规则限制; 定义8 URA:用户角色分配; 定义9 TPA:任务权限分配; 定义10 IPA:任务实例权限分配; 定义11 TRA:任务角色分配; 定义12 IRA:任务实例角色分配。
【专利摘要】本发明提供一种面向云计算的任务角色访问控制模型,任务角色访问控制模型中,任务节点的实例分配给角色从而来获得权限,用户获得对客体的访问权限通过角色来获得,结合云计算模式下的用户访问的特点,基于云计算模式下的任务角色访问控制模型。T-RBAC能够利用云端服务器,与客体所有者一起通过任务分配权限的方式,既满足了分布式访问控制需求,同时也具有清晰的角色层次管理;T-RBAC构建了一个面型共享安全的访问控制机制,从数据管理、任务管理、用户管理和授权管理四个方面来解决云计算访问控制中的安全要求。
【IPC分类】H04L29/08, H04L29/06
【公开号】CN105430087
【申请号】CN201510892491
【发明人】方雪静
【申请人】浪潮电子信息产业股份有限公司
【公开日】2016年3月23日
【申请日】2015年12月8日