[发明专利]一种基于属性和图的云资源访问控制方法

权利要求书

1.一种基于属性和图的云资源访问控制方法，其特征在于：包括如下步骤：

S1、创建用户属性：管理员向用户的属性配置表添加新的用户属性记录。

S2、创建云资源访问控制树：管理员为各种云资源，包括云服务和数据资源，根据需求对属性进行AND和OR组合，创建相应的云资源访问控制树。

S3、根据云资源访问控制树，生成云资源访问控制图；根据云应用的运行资源配置文件，生成云应用访问控制图；对生成的各种控制图进行管理。

S31、根据云资源访问控制树构造云资源访问控制图，其具体操作如下：

首先，根据编号对云资源访问控制树中的属性进行排序，例如A0A1A2A3…，约定编号小的属性在控制图中的位置位于编号大的属性之上，所以A0属性是控制图的根节点；

然后，根据云资源访问控制树，自底向上一步步构造云资源访问控制图。

S32、根据云应用的运行资源配置文件，生成云应用访问控制图，其具体操作如下：

首先，分析云应用的运行资源配置文件，根据该文件获得云服务清单和数据资源清单。所述的云服务清单是云平台为了完成云应用请求，需要按照一定的顺序调用的一个或多个云服务；所述的数据资源清单是云平台为了完成云应用请求，需要访问的数据资源。

然后，为了验证用户的云应用请求的权限，需要确认用户对所有的云服务和数据资源都有访问权限；所以，需要将每个云服务和数据资源对应的控制图进行AND组合，用来验证用户对该云应用运行所需的所有云服务和数据资源都有权限。

S33、对生成的各种控制图进行管理，其具体操作如下：

生成的各种控制图，需要保存起来，这样后面对相同的云资源再进行访问控制时，不需要重新生成控制图。由于控制图是图数据，所以需要采用图数据库管理系统进行保存，如Neo4j图数据库软件。

每次用户进行云应用请求时，需要验证用户的云应用请求的权限，此时并不直接生成控制图和AND组合，而是先从图数据库中进行查询，如果该云应用请求所涉及到的某些云服务和数据资源对应的控制图已经生成了就直接获取控制图，只有当对应的控制图查询不到，才进行生成和AND组合。

S4、基于访问控制图进行访问控制：从用户提交的云应用请求中提取云资源信息和属性信息，然后通过遍历云应用访问控制图的方法进行权限验证。

2.根据权利要求1所述的一种基于属性和图的云资源访问控制方法，其特征在于：在步骤S2中，云服务是组成云应用的计算单位，即完成一个云应用请求，云平台会根据该云应用，按照一定的顺序执行一个或多个云服务；数据资源为：云服务在执行过程中会访问的数据资源，数据资源组织方式的具体情况如下：

数据仓库：存储云计算平台的所有数据资源；通常数据仓库里面包含多个数据库。

数据库：一个数据库存储某个云应用的所有数据；通常数据库里面包含多个数据表。

数据表：一个数据表存储某个云应用中某个实体的所有属性数据；通常数据表里面包含多个数据字段。

数据字段：每个数据字段存储某个实体的某个属性数据。

3.根据权利要求1所述的一种基于属性和图的云资源访问控制方法，其特征在于：在步骤S2中，创建云资源访问控制树的过程中，管理员根据需求对属性进行AND和OR组合，为每个云服务、数据仓库、数据库、数据表以及数据字段创建相应的云资源访问控制树。