[发明专利]一种公有云与私有云之间的访问控制系统及方法

说明书

技术领域

本发明属于计算机安全访问领域，特别涉及一种公有云与私有云之间的访问控制系统及方法。

背景技术

对于现今IT时代来说，云计算代表着未来信息技术领域的核心竞争力，无论是云计算的研究者，还是各种IT企业，甚至是世界各国的政府都对此十分的关注。云计算以其便利、经济、高可拓展性等优势吸引了越来越多的企业的目光，将其从IT基础设施管理与维护的沉重压力中解放出来，更专注于自身的核心业务发展。现已存在多种云的部署形式，比如公有云、私有云、混合云等。公有云是由公有云服务提供商提供者提供的计算资源，这些计算资源可供所有的网络用户使用，是指由若干企业和用户共享使用的云环境。但出于安全性的考虑，有能力的大企业偏向于搭建自身的私有云，私有云可由企业自身的IT机构，也可由云提供商进行构建，其中的资源仅供企业内部的用户或者与该企业相关的特定外部用户使用。在此“托管式专用”模式中，像Sun，IBM这样的云计算提供商可以安装、配置和运营基础设施，以支持一个企业数据中心内的私有云，此模式赋予公司对于云资源使用情况极高水平的控制能力，同时带来建立并运作该环境所需的专门知识。

虽然私有云比公有云具有更高的安全性和稳定性，但企业仍然是需要使用到公有云上的资源与服务的，比如说邮件服务，因此企业的私有云必定要与公有云进行数据交换，也就是说它们之间需要进行相互的访问，基于这种潜在的需要，公有云与私有云之间的数据交换安全问题显得非常重要。而目前针对公有云与私有云之间访问方式的技术方案仍然非常的少。较多的是用户与云端的数据访问方案，其中比较有代表性的就是基于角色的访问控制。一般IT企业处理数据交换问题都是站在数据格式转换的角度，出现了较多的云端数据库与本地数据库进行数据交换时的数据类型透明转换。

在公开号为CN102571821A的中国专利申请公开了一种云安全访问控制模型，该专利结合基于角色的访问控制模型RBAC（Role-Based Access Control，基于角色的访问控制模型），针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和用户访问控制模型。但是该模型只是针对云内部的访问控制模型，并没有涉及到公有云与私有云之间的访问控制，而且，该模型仅是针对租户内部用户访问云服务提供商提供的客户关系管理CRM（Customer Relationship Management，客户关系管理）服务而设计的。

发明内容

本发明的一个目的在于克服现有技术的缺点与不足，提供一种公有云与私有云之间的访问控制系统，该访问控制系统使得云间的访问更加安全。

本发明的另一个目的在于利用上述系统实现一种公有云与私有云之间的访问控制方法。

为了达到上述第一个目的，本发明采用以下技术方案：一种公有云与私有云之间的访问控制系统，包括私有云端的私有云控制模块和公有云端的公有云控制模块，所述私有云控制模块包括云间数据交换模块和用户访问控制模块；所述云间数据交换模块通过网络分别与所述用户访问控制模块和公有云控制模块连接；

云间数据交换模块：用于处理具有访问权限用户的访问请求，根据其权限绑定到相应的权限账号，再通过该权限账号使私有云的用户能够得到公有云相应的服务和资源；

公有云控制模块：用于判断请求访问的私有云租户信息，审核所属私有云租户的权限账号信息，获取公有云中用户账号所属的角色信息，根据角色带有的权限提供相关资源和服务；

用户访问控制模块：用于处理私有云中用户对公有云的访问请求，进行用户属性匹配，判定用户对公有云的访问权限。

为了达到上述第二个目的，本发明采用以下技术方案：一种公有云与私有云之间的访问控制方法，包括以下步骤：

（1）私有云向公有云申请租户，登记租户信息，根据私有云中的权限账号在公有云中创建与私有云中权限账号具有相同账号名和密码的用户账号，然后根据与用户账号具有相同账号名和密码的权限账号所具备的权限，对各个用户账号赋予相应的角色；所述用户账号为从属于该私有云租户下的用户账号；

（2）私有云中的用户向私有云提出访问请求，若私有云中的资源或服务不能满足用户的需求，则首先由用户访问控制模块对该用户的信息进行审核，判断该用户是否为私有云的合法用户；

若是，则执行步骤（3）；

若否，则拒绝访问；

（3）若用户访问控制模块检测到用户为合法用户，则将该用户的属性与用户访问控制策略进行匹配，

若匹配不成功，则拒绝用户的访问；