本發明公開了一種開源云計算平臺的管理員最小特權劃分方法及訪問控制方法。本方法為：1)對云計算平臺進行集成測試，獲取每個測試用例的RESTful API調用信息；2)根據最小特權原則對調用信息中的RESTful API進行依賴度分析；3)根據RESTful API之間的依賴值對RESTful API進行分組；4)根據RESTful API分組情況，生成訪問控制策略；5)當管理員登錄后進行RESTful API調用時，云計算平臺根據該訪問控制策略對該管理員的操作請求進行判定，確定是否允許該RESTful API調用。本發明對云計算平臺管理員的權限細分和授權管理，增強了云計算平臺的安全性。

技術領域

本發明屬于云計算安全領域，涉及一種權限劃分方法，尤其涉及一種面向開源云計算平臺的最小特權自動劃分方法及訪問控制方法。

背景技術

近年來云計算作為一種新興的計算資源服務，因其可靠性、易用性、按需付費、最大化資源利用等特點被企業和獨立用戶追捧，其安全問題已經延伸到各個領域，主要包括用戶的數據安全、隱私泄露、黑客攻擊以及內部攻擊等方面。由于云計算平臺的管理員具有龐大的權力，一個惡意的內部攻擊者往往能夠輕易地獲取用戶隱私數據，甚至破壞整個云平臺的安全。而通過應用最小特權原則，可以有效地限制管理員的權限，將內部攻擊帶來的危害降到最低限度。

目前，主流的開源云計算平臺OpenStack，在使用的時候，對于如何進行合理、安全的內部管理沒有考慮。當OpenStack云平臺初始化時，平臺僅有一個系統管理員，擁有平臺的全部權限，云平臺設計者期望使用者根據自身的需求進行權限策略配置。然而，云平臺架構龐大復雜，API數量眾多，對于小型的企業用戶和獨立用戶而言，配置系統管理權限策略的工作面臨很大的困難。因此，在云計算平臺中進行管理員權限自動化劃分的問題亟待解決。

目前安全研究人員已經從系統層面提出了安全策略，系統安全機制由認證和授權兩大部分構成。認證就是簡單地對一個實體的身份進行判斷；而授權則是向實體授予對數據資源和信息訪問權限的決策過程。其中，認證機制采用Token方案實現，授權機制則是通過引入基于角色的訪問控制(Role Based Access Control，RBAC)和基于屬性的訪問控制(Attribute Based Access Control，ABAC)實現的。

認證機制

OpenStack采用Token方案實現認證機制。Token指的是一串比特值或者字符串，用來作為訪問資源的記號，Token中含有用戶可訪問資源的范圍和有效時間。首先用戶向OpenStack的認證組件Keystone提供自己的身份驗證信息，如用戶名和密碼。Keystone會從數據庫中讀取數據對其驗證，如驗證通過，會向用戶返回一個Token，此后用戶所有的請求都會使用該Token進行身份驗證。如用戶向OpenStack的計算組件Nova申請虛擬機服務，Nova會將用戶提供的Token發給Keystone進行驗證，Keystone會根據Token判斷用戶是否擁有進行此項操作的權限，若驗證通過那么Nova會向其提供相對應的服務。其它組件和Keystone的交互也是如此。

授權機制

在OpenStack中，授權機制是通過基于角色的訪問控制(Role Based AccessControl，RBAC)和基于屬性的訪問控制(Attribute Based Access Control，ABAC)實現的。

1)基于角色的訪問控制：為了方便管理集群中的用戶，OpenStack中定義了用戶、租戶和角色等概念，管理員可以為用戶分配角色，也可以為角色分配權限，被賦予特定角色的用戶僅擁有該角色的權限。

2)基于屬性的訪問控制：為了提供更加細粒度的訪問控制，OpenStack提供了基于屬性的訪問控制，管理員可以通過修改配置文件對擁有不同屬性的用戶進行授權，不僅提高了平臺授權的安全性，也增加了平臺授權的靈活性和適用性。

現有安全機制的缺點和局限性