技術領域

本發明涉及云計算，特別是一種云計算訪問控制系統及方法。

背景技術

隨著云計算的不斷發展，云安全問題變得越來越重要，云計算環境中對用戶數據的保密性、完整性、隔離性等安全保護十分關鍵，云端要實現用戶端大量數據的安全防護，其中訪問控制技術是關鍵，現有的訪問控制系統的授權靈活形及可擴展性不強，限制了云計算的廣泛應用。

發明內容

本發明提供一種云計算訪問控制系統及方法，以提高訪問控制系統的授權靈活形及可擴展性。

為了解決上述技術問題，一種云計算訪問控制系統，包括：

用戶接入模塊：用于實現用戶向云計算提供商的服務器發送登錄請求，服務器響應該用戶的登錄請求；

訪問控制模塊：用于將所述用戶的登錄請求轉化為XACML格式請求，并控制和管理訪問權限；

資源服務管理模塊：用于對不同用戶訪問資源進行管理，監控記錄用戶使用過程的信息日志管理；

應用服務管理模塊：通過一個公開接口實現向資源服務管理模塊發起調用請求。

本發明的有益效果是：應用監控機制和XACML有機融合來增強授權的靈活性，該云計算訪問控制系統具有細粒度性、動態性、可擴展性和更具安全性。

進一步，所述用戶接入模塊包括：

身份認證模塊：用于驗證登陸請求用戶的身份；

用戶管理模塊：用于對用戶的信息的管理與控制。

進一步，所述訪問控制模塊包括：

訪問控制策略實施模塊：用于將XACML格式請求發送到訪問控制決策模塊；

訪問控制決策模塊：用于根據XACML格式請求向策略管理點模塊查詢所述用戶的屬性；

策略管理點模塊：用于向訪問控制決策模塊提供策略支持，通過訪問控制決策模塊對策略的評估，返回評估結果給訪問控制策略實施模塊處理；

訪問控制信息管理點模塊：用于向訪問控制決策模塊提供用戶的屬性查詢結果。

進一步，所述訪問控制策略實施模塊包括：

監聽模塊：用于實施處理用戶的請求，檢查系統的環境信息、用戶的授權值與授權條件是否相符合，如發現變化，向訪問控制決策模塊重新發出請求，要求訪問控制決策模塊對決策重新評估；

更新模塊：用于實時監控用戶屬性的變化，如果用戶的權限不滿足權限執行的要求時，通知服務器暫停對用戶授權，并將相應的信息發給用戶。

進一步，所述訪問控制決策模塊包括：

授權規則模塊：用于根據用戶的屬性和使用規則檢查訪問是否合法；

條件模塊：利用使用規則和上下文信息決定授權請求的條件是否滿足；

評估模塊：結合授權規則模塊和條件模塊一起對主體的訪問請求進行策略評估。

進一步，所述應用服務管理模塊包括：

應用服務注冊模塊：用于用戶注冊資源管理服務的訪問地址、功能描述、訪問方式的應用服務信息；

應用服務刪除模塊：用于刪除用戶的應用服務信息；

應用服務調用模塊：用于通過應用服務信息向資源服務管理模塊發起調用請求。

采用上述進一步方案的有益效果是：通過監聽模塊更靈活地控制訪問權限，提醒并引導用戶提供必要的條件來滿足訪問權限；通過授權規則模塊、條件模塊和義務模塊一起對主體的訪問請求進行策略評估，是訪問控制更加安全可靠。

本發明還提供一種云計算訪問控制方法，包括用戶接入控制步驟和用戶訪問控制步驟：

用戶接入控制步驟包括：

步驟S1：用戶聲明一個證明身份的密鑰，將所述密鑰KEY存儲在用戶端的USB?Key中和云計算提供商的服務器中；

步驟S2：用戶向云計算提供商的服務器發送登錄請求，服務器響應該用戶的請求，所述服務器返回給所述用戶一個隨機數X，X和KEY經MD5算法得到信息摘要f；

步驟S3：將信息摘要f返回給所述服務器，所述服務器將存儲在本地的隨機數X與存儲在服務器中的秘鑰KEY進行MD5運算；

步驟S4：如果所述服務器端的運算結果與所述用戶端的信息摘要f相同時，則認為用戶端是一個合法的用戶，否則為非法用戶；

訪問控制步驟包括：

進行訪問控制策略的實施，將用戶登錄請求轉化為XACML格式請求，將所述XACML格式請求發送到訪問決策控制點，根據多策略評估后返回的結果實施相應的允許或拒絕。

進一步，所述進行訪問控制策略的實施還包括訪問監聽：