[发明专利]一种公有云与私有云之间的访问控制系统及方法

权利要求书

1.一种公有云与私有云之间的访问控制系统，其特征在于，包括私有云端的私有云控制模块和公有云端的公有云控制模块，所述私有云控制模块包括云间数据交换模块和用户访问控制模块；所述云间数据交换模块通过网络分别与所述用户访问控制模块和公有云控制模块连接；

云间数据交换模块：用于处理具有访问权限用户的访问请求，根据其权限绑定到相应的权限账号，再通过该权限账号使私有云的用户能够得到公有云相应的服务和资源；

公有云控制模块：用于判断请求访问的私有云租户信息，审核所属私有云租户的权限账号信息，获取公有云中用户账号所属的角色信息，根据角色带有的权限提供相关资源和服务；

用户访问控制模块：用于处理私有云中用户对公有云的访问请求，进行用户属性匹配，判定用户对公有云的访问权限。

2.一种基于权利要求1所述访问控制系统的公有云与私有云之间的访问控制方法，其特征在于，包括以下步骤：

（1）私有云向公有云申请租户，登记租户信息，根据私有云中的权限账号在公有云中创建与私有云中权限账号具有相同账号名和密码的用户账号，然后根据与用户账号具有相同账号名和密码的权限账号所具备的权限，对各个用户账号赋予相应的角色；所述用户账号为从属于该私有云租户下的用户账号；

（2）私有云中的用户向私有云提出访问请求，若私有云中的资源或服务不能满足用户的需求，则首先由用户访问控制模块对该用户的信息进行审核，判断该用户是否为私有云的合法用户；

若是，则执行步骤（3）；

若否，则拒绝访问；

（3）若用户访问控制模块检测到用户为合法用户，则将该用户的属性与用户访问控制策略进行匹配，

若匹配不成功，则拒绝用户的访问；

若匹配成功，即该用户具有访问公有云的权限，由用户访问控制模块将用户信息和用户的访问权限提交到云间数据交换模块，同时记录提交日志；

（4）云间数据交换模块将接收到的用户信息进行暂存，并对用户的访问权限进行判断，然后选择相应的权限账号与用户信息进行绑定，使用绑定后的权限账号访问公有云；

（5）公有云控制模块接收到来自私有云权限账号的访问请求后，先核实该私有云的租户信息，确定其是否为合法租户，

若该租户为不合法的，则拒绝访问，并将拒绝访问提示发送给云间数据交换模块；

若该租户为合法的，确定该租户为合法租户后，执行步骤（6）；

（6）公有云控制模块审核请求访问的权限账号的账号信息是否属于该租户，

若否，则拒绝访问请求，并将拒绝访问提示发送给云间数据交换模块；

若是，则请求访问的权限账号信息审核通过，云间数据交换模块向用户信息绑定在该权限账号的用户返回访问请求成功的信息；公有云控制模块获取与该权限账号具有相同账号名和密码的用户账号所属的角色信息，根据该用户账号所属角色带有的访问权限，提供资源和服务。

3.根据权利要求2所述的公有云与私有云之间的访问控制方法，其特征在于，所述私有云的用户对公有云具有资源读取、增加、修改、删除以及运行的权限。

4.根据权利要求2所述的公有云与私有云之间的访问控制方法，其特征在于，所述步骤（1）中的租户信息为企业基本信息，包括企业的名称、地址和联系方式。

5.根据权利要求2所述的公有云与私有云之间的访问控制方法，其特征在于，所述步骤（1）中由租户管理员在公有云中创建用户账号。

6.根据权利要求2所述的公有云与私有云之间的访问控制方法，其特征在于，所述步骤（1）中由公有云服务提供商保存租户信息和公有云上用户账号信息。

7.根据权利要求6所述的公有云与私有云之间的访问控制方法，其特征在于，所述用户账号信息包括账号名、密码、从属私有云租户及角色信息。

8.根据权利要求2所述的公有云与私有云之间的访问控制方法，其特征在于，所述步骤（1）中每一种角色对应一组相应的权限。

9.根据权利要求2所述的公有云与私有云之间的访问控制方法，其特征在于，所述权限账号的账号信息包括账号名、密码、所属私有云租户及权限信息。