[发明专利]一种云计算数据中心操作系统的安全模型及策略

说明书

技术领域

本发明涉及云计算技术领域，尤其涉及一种云计算数据中心操作系统的安全模型及策略。

背景技术

目前的云计算数据中心操作系统主要包括六大组件：资源管理、日志管理、节能控制、虚拟化、存储系统和资源调度。以当前广泛应用的云计算数据中心操作系统云海OS为例，云海OS对内部管理员主要提供计算资源、存储资源、网络资源的管理；通过资源管理，监控管理所有硬件资源，通过节能控制，实现能耗计量、能耗控制、能耗分析和能耗报表功能；通过资源调度，实现计算节点的负载均衡，虚拟机的HA(High Availability，高可用性)功能、资源的计量和统计分析；通过虚拟化技术，提供虚拟机生命周期管理、资源的虚拟分拆和迁移；通过分布式存储系统，提供高可用的存储功能，实现数据恢复、数据检索、数据传输、冗余控制。

其中，云海OS是对管理人员提供硬件资源管理服务，对用户提供云服务，即对用户来讲，用户所能访问的，是电力云虚拟化管理系统提供的虚拟化服务，为用户提供满足客户需求的虚拟机及存储。

综上所述，为了满足不同人员对云海OS的使用，有必要在现有机制的基础上，提出一种适用于云海OS体系结构的安全模型。

发明内容

本发明解决的技术问题是提供一种云计算数据中心操作系统的安全模型及策略，在云计算系统中提供角色权限的划分机制和管理方式，使云计算系统可以被更安全的使用。

为解决上述技术问题，本发明提供了一种云计算数据中心操作系统的安全策略，所述云计算数据中心操作系统包括多个资源功能模块；

将所述云计算数据中心操作系统的用户划分为管理员和租户，为所述用户制定不同的角色，并为各角色赋予相应的资源操作权限。

进一步地，所述云计算数据中心操作系统包括如下资源功能模块：

资源管理模块、日志管理模块、节能控制模块、告警管理模块、资源调度模块，和安全管理模块。

进一步地，为各角色赋予相应的资源操作权限，具体是指：将各角色分别与不同的功能模块相关联。

进一步地，按照以下方式为所述管理员制定如下角色并赋予相应的资源操作权限：

安全管理员，具有创建、删除修改普通管理员权限；

审计管理员，具有查看、备份、删除系统日志的权限

普通管理员，具有业务功能操作权限。

进一步地，按照以下方式为所述租户制定如下角色并赋予相应的资源操作权限：

集团用户，仅具有申请虚拟机及虚拟存储权限；

集团子用户，仅具有虚拟机使用权限；

普通用户，具有申请虚拟机及虚拟存储权限，且具有使用权限。

本发明还提供了一种云计算数据中心操作系统的安全模型，所述安全模型中，所述云计算数据中心操作系统的用户划分为管理员和租户，且为用户制定不同的角色并赋予相应的资源操作权限。其中，

所述管理员划分为如下角色并被赋予相应的资源操作权限：安全管理员、审计管理员，普通管理员；

所述租户划分为如下角色并被赋予相应的资源操作权限：集团用户、集团子用户、普通用户。

进一步地，所述云计算数据中心操作系统包括多个资源功能模块；

由所述安全管理员为管理员制定角色，并通过将各角色分别与不同的功能模块相关联，为各角色赋予相应的资源操作权限；且所述安全管理员维护各角色与普通管理员之间的关系。

进一步地，按照以下方式为所述用户制定角色并赋予相应的资源操作权限：

安全管理员，具有创建、删除修改普通管理员权限；

审计管理员，具有查看、备份、删除系统日志的权限

普通管理员，具有业务功能操作权限；

集团用户，仅具有申请虚拟机及虚拟存储权限；

集团子用户，仅具有虚拟机使用权限；

普通用户，具有申请虚拟机及虚拟存储权限，且具有使用权限。

进一步地，所述普通管理员访问所述云计算数据中心操作系统的资源功能模块，并维护集团用户及普通租户的信息。

进一步地，所述集团用户，用于申请虚拟机、虚拟存储，以及管理集团子用户的信息，控制集团子用户的资源。

本发明提供的安全模型区别于传统的管理员用户的模型，是以传统权限机制为基础，将功能模块化，将功能赋给角色而不是直接用户，从而可以很大程度上减少因用户太多造成的管理复杂度，易于后期的运维和扩展。