[发明专利]适用于存储云内的数据隔离方法

摘要

本发明涉及一种适用于存储云内的数据隔离方法，属于分布式存储领域。本方法为：1)根据组织的安全需求，在存储云系统主节点中建立该租户安全策略配置；2)创建属于该组织的主体用户，并为主体打上该组织角色模型中的角色标签；3)组织管理员为某组织用户创建的客体资源客体打上该组织Tag模型中的Tag标签；4)根据访问资源的角色权限，设置角色主体对访问资源客体的安全访问策略并将其存储到存储云系统的主节点中；5)主节点根据所述安全访问策略，判断角色主体对访问资源客体的访问是否通过，如果通过则进行访问，否则拒绝访问。本方法保证云存储企业内部数据的适度隔离，策略遵循通用性原则，适用于公有云，私有云以及混合云。

主权项

一种适用于存储云内的数据隔离方法，其步骤为：1)根据租户的安全需求，在存储云系统主节点中建立该租户安全策略配置，其包括主体层次化的角色模型和客体层次化的Tag模型，角色模型中的角色权限包括：读权限、写权限、执行权限；2)在存储云系统主节点中创建属于该租户的主体用户，并为主体用户打上该租户角色模型中的角色标签；3)在存储云系统主节点中将某租户的主体用户创建的客体资源上，打上该租户Tag模型中的Tag标签；4)根据访问客体资源的角色权限，设置角色主体对访问资源客体的安全访问策略并将其存储到存储云系统的主节点中；所述安全访问策略为：a)对于主体对客体的读访问，要求主客体所属租户一致，并且存在赋予主体的角色k，使得角色k的读权限表达式在客体标签为真的情况下计算结果也为真；b)对于主体对客体的写访问，要求主客体所属租户一致，并且存在赋予主体的角色k，使得角色k的写权限表达式在客体标签为真的情况下计算结果也为真；c)对于主体对客体的执行访问，要求主客体所属租户一致，并且存在赋予主体的角色k，使得角色k的执行权限表达式在客体标签为真的情况下计算结果也为真；5)主节点根据所述安全访问策略，判断角色主体对访问资源客体的访问是否通过，如果通过则允许访问，否则拒绝访问。