本發明公開了一種基于屬性和圖的云資源訪問控制方法，涉及計算機技術領域。該基于屬性和圖的云資源訪問控制方法，包括如下步驟：S1、創建用戶屬性：管理員向用戶的屬性配置表添加新的用戶屬性記錄。該基于屬性和圖的云資源訪問控制方法，把用戶請求，計算資源，數據資源的權限均采用屬性組合的形式進行描述，大大提高了訪問控制的靈活性和可擴展性，同時通過圖的遍歷進行權限驗證，避免了邏輯運算，能夠減少計算量，另外通過控制圖的一次生成多次利用的方法，在多次同一云應用請求時，實際上只進行了一次控制圖生成和組合，大大減少了重復計算，可以很好的適應云計算環境下海量用戶和海量資源的訪問控制需求，從而增加了系統的安全性。

技術領域

本發明涉及計算機技術領域，具體為一種基于屬性和圖的云資源訪問控制方法。

背景技術

云計算是一種全新的服務模態，可以提供對可配置共享計算資源的按需網絡訪問。其本質是將云資源提供商所擁有的軟硬件資源虛擬化為資源云，然后由云基礎服務提供者布置在云端，為云資源請求者提供彈性可伸縮、按需付費使用的一種新型服務模態。

大量的事故使得云環境的安全受到質疑。因此，全面的分析并解決當前云計算環境所面臨的各種安全問題已經成了云計算大規模推廣和普及的前提。保障用戶數據的機密性、完整性和可用性是云計算安全問題的核心。因此對數據資源的訪問控制也成為了云安全中的核心。

訪問控制通過將適當的權限授予適當的主體，使主體對資源進行合法的訪問。目前大部分云平臺服務提供商都以基于角色的訪問控制方法對云中資源進行訪問控制。雖然能夠實現對數據的基本訪問控制，但角色是靜態的，用戶一旦獲取角色便擁有了對資源的操作權限，難以適應云計算環境的動態性；而基于屬性的訪問控制，雖然具有一定的動態性，但是由于基于控制樹匹配搜索的權限驗證，需要處理多棵控制樹，具有計算量大和重復計算問題，訪問控制效率低，不適合云計算環境下海量用戶和海量資源的安全控制需求。

發明內容

（一）解決的技術問題

針對現有技術的不足，本發明提供了一種基于屬性和圖的云資源訪問控制方法，解決了基于角色的訪問控制方法對數據的基本訪問控制中，由于角色是靜態的，難以適應云計算環境的動態性；以及基于控制樹匹配搜索的計算量大和重復計算，訪問控制效率低的問題。

（二）技術方案

為實現以上目的，本發明通過以下技術方案予以實現：一種基于屬性和圖的云資源訪問控制方法，其特征在于：包括如下步驟：

S1、創建用戶屬性：管理員向用戶的屬性配置表添加新的用戶屬性記錄。

S2、創建云資源訪問控制樹：管理員為各種云資源，包括云服務和數據資源，根據需求對屬性進行AND和OR組合，創建相應的云資源訪問控制樹。

S3、根據云資源訪問控制樹，生成云資源訪問控制圖；根據云應用的運行資源配置文件，生成云應用訪問控制圖；對生成的各種控制圖進行管理。

S31、根據云資源訪問控制樹構造云資源訪問控制圖，其具體操作如下：

首先，根據編號對云資源訪問控制樹中的屬性進行排序，例如A0A1A2A3…，約定編號小的屬性在控制圖中的位置位于編號大的屬性之上，所以A0屬性是控制圖的根節點。

然后，根據云資源訪問控制樹，自底向上一步步構造云資源訪問控制圖。

S32、根據云應用的運行資源配置文件，生成云應用訪問控制圖，其具體操作如下：

首先，分析云應用的運行資源配置文件，根據該文件獲得云服務清單和數據資源清單。所述的云服務清單是云平臺為了完成云應用請求，需要按照一定的順序調用的一個或多個云服務；所述的數據資源清單是云平臺為了完成云應用請求，需要訪問的數據資源。