[发明专利]一种基于属性和图的云资源访问控制方法

说明书

本发明公开了一种基于属性和图的云资源访问控制方法，涉及计算机技术领域。该基于属性和图的云资源访问控制方法，包括如下步骤：S1、创建用户属性：管理员向用户的属性配置表添加新的用户属性记录。该基于属性和图的云资源访问控制方法，把用户请求，计算资源，数据资源的权限均采用属性组合的形式进行描述，大大提高了访问控制的灵活性和可扩展性，同时通过图的遍历进行权限验证，避免了逻辑运算，能够减少计算量，另外通过控制图的一次生成多次利用的方法，在多次同一云应用请求时，实际上只进行了一次控制图生成和组合，大大减少了重复计算，可以很好的适应云计算环境下海量用户和海量资源的访问控制需求，从而增加了系统的安全性。

技术领域

本发明涉及计算机技术领域，具体为一种基于属性和图的云资源访问控制方法。

背景技术

云计算是一种全新的服务模态，可以提供对可配置共享计算资源的按需网络访问。其本质是将云资源提供商所拥有的软硬件资源虚拟化为资源云，然后由云基础服务提供者布置在云端，为云资源请求者提供弹性可伸缩、按需付费使用的一种新型服务模态。

大量的事故使得云环境的安全受到质疑。因此，全面的分析并解决当前云计算环境所面临的各种安全问题已经成了云计算大规模推广和普及的前提。保障用户数据的机密性、完整性和可用性是云计算安全问题的核心。因此对数据资源的访问控制也成为了云安全中的核心。

访问控制通过将适当的权限授予适当的主体，使主体对资源进行合法的访问。目前大部分云平台服务提供商都以基于角色的访问控制方法对云中资源进行访问控制。虽然能够实现对数据的基本访问控制，但角色是静态的，用户一旦获取角色便拥有了对资源的操作权限，难以适应云计算环境的动态性；而基于属性的访问控制，虽然具有一定的动态性，但是由于基于控制树匹配搜索的权限验证，需要处理多棵控制树，具有计算量大和重复计算问题，访问控制效率低，不适合云计算环境下海量用户和海量资源的安全控制需求。

发明内容

（一）解决的技术问题

针对现有技术的不足，本发明提供了一种基于属性和图的云资源访问控制方法，解决了基于角色的访问控制方法对数据的基本访问控制中，由于角色是静态的，难以适应云计算环境的动态性；以及基于控制树匹配搜索的计算量大和重复计算，访问控制效率低的问题。

（二）技术方案

为实现以上目的，本发明通过以下技术方案予以实现：一种基于属性和图的云资源访问控制方法，其特征在于：包括如下步骤：

S1、创建用户属性：管理员向用户的属性配置表添加新的用户属性记录。

S2、创建云资源访问控制树：管理员为各种云资源，包括云服务和数据资源，根据需求对属性进行AND和OR组合，创建相应的云资源访问控制树。

S3、根据云资源访问控制树，生成云资源访问控制图；根据云应用的运行资源配置文件，生成云应用访问控制图；对生成的各种控制图进行管理。

S31、根据云资源访问控制树构造云资源访问控制图，其具体操作如下：

首先，根据编号对云资源访问控制树中的属性进行排序，例如A0A1A2A3…，约定编号小的属性在控制图中的位置位于编号大的属性之上，所以A0属性是控制图的根节点。

然后，根据云资源访问控制树，自底向上一步步构造云资源访问控制图。

S32、根据云应用的运行资源配置文件，生成云应用访问控制图，其具体操作如下：

首先，分析云应用的运行资源配置文件，根据该文件获得云服务清单和数据资源清单。所述的云服务清单是云平台为了完成云应用请求，需要按照一定的顺序调用的一个或多个云服务；所述的数据资源清单是云平台为了完成云应用请求，需要访问的数据资源。