[发明专利]云平台中用户访问权限的控制方法

说明书

技术领域

本发明涉及云计算技术领域，特别涉及一种云平台中用户访问权限的控制方法。

背景技术

云计算是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算借助于虚拟化技术，能够将分布在不同地区的计算资源进行整合，实现基础设施资源的共享。同时，用户可借助不同的终端设备，通过标准的应用实现对网络资源的访问，使对网络资源的访问无处不在。

在云计算及云平台为用户提供极大便利的同时，与之伴随的信息安全与隐私保护问题也一直是业界关注和解决的重点。其中，用户访问权限的控制与管理尤为重要。

所有的云服务及每个云服务的管理界面都需要身份管理、认证、授权和审计的机制。

目前，用户授权的流程一般是：系统管理员新建一个组织机构或组，在组下创建用户，如果用户参与多个组工作就做用户参与组管理；由系统管理员统一创建用户，并为用户分配权限，系统管理员将相应的用户分配给对应的组，并依次向下分配给用户权限；组和系统管理员只需做用户隶属组管理，这样用户就拥有了该组拥有的权限。

上述用户授权方式存在以下不足：

1、粗粒度的授权控制：云服务的管理界面特别倾向于提供过粗粒度的授权控制模型，因此，像职责分离这样的标准安全措施得不到实施，因为该方式没办法只提供给用户那些仅够他们展开工作的权限；

2、系统管理员是所有用户权限的授权者，其同时拥有了所有权限，因此可以访问普通用户的对象资源，使普通用户的特定对象资源得不到对应的有效保护。

VPN（Virtual Private Network，虚拟专用网）指的是在公用网络上建立专用网络的技术，其实质上就是利用加密技术在公用网络上封装出一个数据通讯隧道，从而有效保护用户信息。VPN的主要功能包括：加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露；信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份；提供访问控制，不同的用户有不同的访问权限。

VPN技术为解决云平台中用户访问权限的控制问题提供了有效的方法和思路。

发明内容

（一）所要解决的技术问题

本发明的目的在于提供一种云平台中用户访问权限的控制方法，以实现不同用户对对象访问控制的分离，从而提高云平台中用户信息的安全性。

（二）技术方案

为了解决上述技术问题，本发明提出了一种云平台中用户访问权限的控制方法，所述方法包括以下步骤：

S1、系统管理员或超级用户为每个用户分配其对对象i的用户权限，

对象i的拥有者为每个用户分配其对对象i的对象访问权限；

S2、当用户j向云平台服务器请求对对象i进行某项操作时，所述服务器判断用户j是否具有对对象i进行该项操作的用户权限，若是，则进入步骤S3，否则拒绝用户j的操作请求；

S3、所述服务器判断用户j是否具有对对象i的对象访问权限，若是，则接受用户j的操作请求，否则拒绝用户j的操作请求。

可选的，步骤S3具体包括：

S3-1、所述服务器判断用户j是否是对象i的拥有者，若是，则接受用户j的操作请求，否则进入步骤S3-2；

S3-2、所述服务器判断用户j是否具有对对象i的对象访问权限，若是，则接受用户j的操作请求，否则拒绝用户j的操作请求。

可选的，步骤S1中，为每个用户分配其对对象i的用户权限时采用授权树的形式，从顶层开始依次往下进行权限授权。

可选的，步骤S2中，判断用户j是否具有对对象i进行该项操作的用户权限具体包括：

从用户j或用户j所在组对应的节点开始广度向上遍历授权树的所有路径，若存在POLICY，则判定为用户j具有对对象i进行该项操作的用户权限。

可选的，所述方法应用于VPN中。

可选的，所述服务器为VPN服务器。

（三）有益效果

本发明提出的技术方案能够在云计算平台下，实现对多用户权限的管理与控制，从而实现不同用户对对象的访问控制分离；同时，采用虚拟专用网（VPN），能够进一步实现对普通用户的保密信息的双重保护。

附图说明

图1是本发明提出的云平台中用户访问权限的控制方法的基本流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。