[发明专利]一种云环境下的动态属性访问控制方法

说明书

技术领域

本发明涉及计算机存储安全技术领域，具体涉及一种云环境下的动态属性访问控制方法。

背景技术

近年来，云存储的广泛应用使用户随时随地存取数据成为了可能。基于静态属性的访问控制方法，其身份、角色、静态属性都需要预先制定好，不能根据云环境中用户的访问行为及其一些实时变化的属性来动态调整其访问权限，因此无法体现云用户多元化需求的变化，无法很好的适应用户的动态性。

发明内容

本发明所要解决的技术问题是针对现有技术中存在上述缺陷，提供一种云环境下的动态属性访问控制方法，其目的在于通过分析用户的历史访问行为获取用户的动态属性，实现云环境下数据的动态安全访问控制，从而解决现有方法中因用户的历史访问行为的变化而引起用户权限的变更这一技术问题。

根据本发明，提供了一种云环境下的动态属性访问控制方法，包括：

客户端向代理服务器发起用户请求；

若代理服务器判断用户请求是登录请求，则代理服务器将该请求转发到认证服务器，认证服务器在判断用户请求中包含的用户登录信息正确的情况下生成用户的身份标识，而且认证服务器将身份标识返回给用户，并且将身份标识缓存到缓存服务器；

若代理服务器判断用户请求是对象操作请求，则在缓存服务器中判断用户的身份标识是否合法；而且若判断用户的身份标识合法，则定位所请求对象的位置，然后将相应的对象操作请求转发到相应的存储节点以便在存储节点执行用户的权限判断。

优选地，在存储节点执行用户的权限判断时，首先从用户的操作请求中提取出用户的属性；随后在存储节点获取所请求对象的访问控制策略，与用户的属性进行匹配，如果用户的属性满足访问控制策略要求，则响应用户的对象操作请求。

优选地，所述的云环境下的动态属性访问控制方法还包括：认证服务器通过分析用户的历史访问行为，赋予用户动态属性，并且将赋予的用户动态属性反馈到存储节点进行保存以更新用户的属性。

优选地，用户的身份标识是全局唯一的。

优选地，用户的身份标识具有预定时限。

优选地，判断用户的身份标识是否合法包括判断用户的身份标识是否存在并具有时效。

附图说明

结合附图，并通过参考下面的详细描述，将会更容易地对本发明有更完整的理解并且更容易地理解其伴随的优点和特征，其中：

图1示意性地示出了根据本发明优选实施例的系统访问控制流程示意图。

图2示意性地示出了传统访问控制树结构。

图3示意性地示出了根据本发明优选实施例的动态属性访问控制树结构。

需要说明的是，附图用于说明本发明，而非限制本发明。注意，表示结构的附图可能并非按比例绘制。并且，附图中，相同或者类似的元件标有相同或者类似的标号。

具体实施方式

为了使本发明的内容更加清楚和易懂，下面结合具体实施例和附图对本发明的内容进行详细描述。

针对云环境中用户属性并非一成不变，有些属性会随时间动态变化的现象，本发明引入动态属性的概念以更好地适应云环境中因用户特征的动态变化引起的权限变更，并对动态属性进行了描述和相应访问控制策略的制定，以及用户权限的判断方法。在访问控制策略制定中，对传统的访问控制树结构进行了一定的改造与优化，以期能提高其访问控制效率及灵活性。

按照本发明，设计了一种云环境下的动态属性访问控制方法，该方法主要包括用户登录认证和权限判断两个步骤。

(1)用户登录认证处理：例如，所设计的用户登录口令为“用户名+密码”(用户登录信息)的形式。客户端向代理服务器发起用户请求，代理服务器首先对用户请求进行处理，若用户请求是登录请求，则将该请求转发到认证服务器，在认证服务器中判断用户登录信息是否正确，若正确则生成用户的身份标识Authtoken(例如，如图1所示)，该标识是全局唯一的，但具有一定的时限(即在预定时限内有效)，一方面通过认证服务器将身份标识返回给用户，另一方面将身份标识缓存到缓存服务器，提高用户合法性判断的效率；若代理服务器判断用户请求是对象操作请求，则在缓存服务器中判断用户的身份标识Authtoken是否合法(具体地，可以判断用户的身份标识Authtoken是否存在并具有时效)，若判断合法，则定位所请求对象的位置，然后将相应的对象操作请求转发到相应的存储节点，若用户的身份标识Authtoken不合法，则拒绝用户的操作请求，返回对应的错误码(例如，如图1所示的错误码“401Error”)。