[发明专利]云平台数据访问安全隔离方法

说明书

技术领域

本发明涉及数据访问方法，更具体地说，涉及一种云平台数据访问安全隔离方法。

背景技术

云架构体系下支撑平台最为关键的问题是计算资源、存储资源的虚拟化，以及虚拟资源分布调用和分布计算平衡。随着现代信息技术的发展，目前许多厂商研究开发大量的云计算、虚拟化系统产品，有网络设备、服务器、存储设备、软件产品等等，但这些产品并不一定能满足各种应用需求的实现，尤其是目前市场上厂商将“云计算”产品搞得天花乱坠。

此外，对于多级别、多用户的使用场景，现有的云计算在数据访问安全隔离方面具有各种手段，但考虑到一些特殊的场合，例如应用于等级化的行政部门中，需要针对不同的等级分别定制具有不同权限的数据隔离方案，而现有技术在权限隔离方面并不完善。

发明内容

本发明的目的旨在提供一种云平台数据访问安全隔离方法，来解决现有技术中数据访问平台的权限与访问安全隔离不完善的问题。

根据本发明，提供一种云平台数据访问安全隔离方法，包括以下步骤：步骤1，根据不同的用户等级，建立所有用户的权限树；其中，权限树为单向指针多层树状结构，权限较大的用户位于较底层的根节点上，权限较小的用户位于较上层的叶节点上；步骤2，对不同层的节点建立不同的查询语句，根节点的查询语句能同时向下查询叶节点的数据，但叶节点的查询语句不能向上查询根节点的数据，也不能查询同一层节点的数据。

根据本发明的一实施例，还包括：步骤3，每一个根节点存储其所属叶节点的指针。

根据本发明的一实施例，云端数据包括权限模型，权限模型包括任意根节点到叶节点的最短路径。

根据本发明的一实施例，每一个最底层的叶节点对应一个带有具体实际地点的数据库。

根据本发明的一实施例，根节点包括直接指向其所属叶节点的指针，指针指向读写数据。

根据本发明的一实施例，根节点的用户具有读写叶节点数据的权限，叶节点用户不具有读写根节点数据的权限。

采用了本发明的技术方案，能够针对具有级别化的行政部门定制权限管理，从而更好地实现不同权限下的访问数据时的安全隔离。

附图说明

在本发明中，相同的附图标记始终表示相同的特征，其中：

图1是本发明云平台数据访问安全隔离方法的权限树结构示意图。

具体实施方式

下面结合附图和实施例进一步说明本发明的技术方案。

针对具有级别化的行政部门的需求，在信息资源管理云应用平台上有大量的用户同时在一个平台上进行不同的业务操作，云应用平台需要运行各种应用程序。而由于行政管理业务的特殊性，要求用户各自独立运行而不能出现数据和计算的交叉。

因此，针对上述应用及终端用户隔离安全的需求，本发明提出一种目录映射的单向指针分层用户隔离的技术。这种目录映射方法采用单向指针树状结构组织，对系统的访问权限与该用户所处的权限树的位置有关，目录节点的上层节点能获得下层节点的指针，而下层节点是不允许反向访问其上层节点的，同层节点也是不能进行相互访问的，只有文件系统的根目录具有最高的文件访问权限，拥有根目录权限的应用具备访问系统所有文件的权限，但为了系统数据的安全一般系统根目录权限不会分配给任何应用使用的。

根据上述原理，本发明的云平台数据访问安全隔离方法包括以下步骤：

步骤1，根据不同的用户等级，建立所有用户的权限树。其中，权限树为单向指针多层树状结构，权限较大的用户位于较底层的根节点上，权限较小的用户位于较上层的叶节点上。

步骤2，对不同层的节点建立不同的查询语句，根节点的查询语句能同时向下查询叶节点的数据，但叶节点的查询语句不能向上查询根节点的数据，也不能查询同一层节点的数据。

设定不同的语句是配合本发明权限树结构的重要特征。以图1为例，假设2号节点的查询语句为(2#)+(具体查询语句)，而4号节点的查询语句为(4#)+(具体查询语句)。换句话说，本发明在通常的查询语句之前加上了一个前缀，这个前缀与权限树节点的位置相关，因此同样的语句由不同权限的用户使用时，可以具有不同的查询结果。

步骤3，每一个根节点存储其所属叶节点的指针，即根节点包括直接指向其所属叶节点的指针，指针指向读写数据，并且根节点的用户具有读写叶节点数据的权限，叶节点用户不具有读写根节点数据的权限。