本發明公開了一個云計算環境下基于邏輯單元和信任評估的訪問控制授權方法；本方法的授權步驟為：首先，對給定的待分配的用戶、角色驗證是否屬于對應邏輯單元，并確認云服務是否滿足信任閾值。其次，根據該角色中所屬邏輯單元的字段，找到其對應邏輯單元，激活該管理員；管理員再次驗證用戶默認邏輯單元字段中是否包含此邏輯單元；最后，授權用戶，修改用戶角色關系集，更新云服務的信任值。本發明在機遇角色的訪問控制模型的基礎上，將用戶角色的授權管理交由各邏輯單元管理員負責，引入信任評估模塊，對提供服務的云服務節點進行評估。因而新的授權系統適合云計算的動態特性，有較高的授權效率和較好的安全性。

技術領域

本發明屬于計算機軟件開發領域，特別涉及了一種云計算環境下的高效安全的用戶授權方法。

背景技術

基于邏輯單元和信任評估的授權方法是基于角色訪問控制模型和信任計算而產生的一種新型訪問控制模型，用于實現云環境下高效安全的用戶授權與管理。它可以使用邏輯單元將系統的全局授權轉為邏輯單元內的局部授權，從而簡化授權流程。同時使用信任計算技術評估選取可靠的云服務節點，提高系統的安全性。

當前，針對訪問控制系統的授權管理主要有兩種：一是通過管理員管理系統的方式進行授權；二是增設用戶池與權限池，常用于減少冗余授權。但目前這兩種方法在遇到系統用戶角色規模較大時，權限的授予和撤銷依舊繁瑣。此外目前大多使用的基于角色的訪問控制模型是一種靜態的訪問控制，無法滿足云環境下動態訪問控制的需求。

綜上所述，如何簡化管理，提高授權效率，實現云計算環境下的動態訪問控制，已經成為本領域亟待解決的問題。

發明內容

為了解決上述背景技術中提到的技術問題，本發明提出了基于邏輯單元和信任評估的訪問控制授權方法。

為了實現上述技術目的，本發明的技術方案為：為了簡化大規模系統中用戶角色的管理，使用邏輯單元將系統的全局授權轉為邏輯單元內的局部授權。由邏輯單元的管理員授權并管理，從而實現云計算環境下的動態訪問控制。

基于邏輯單元和信任評估的訪問控制授權方法，包括以下步驟：

(1)首先，對給定的待分配的用戶、角色、云服務節點進行合法性驗證，確認該用戶與該角色是否在系統用戶集、角色集中，云服務是否滿足信任閾值。若不在說明是非法用戶或非法角色，云服務無法提供安全的服務，拒絕此次用戶角色分配，否則進入步驟(2)。

(2)根據該角色中所屬邏輯單元的字段，找到其對應邏輯單元，激活該邏輯單元管理員角色。

(3)邏輯單元管理員角色驗證該用戶默認邏輯單元字段是否包含本邏輯單元，若不包含，拒絕此次用戶角色分配，若包含，進入步驟(4)。

(4)進行用戶角色分配。

(5)分配成功，修改用戶角色關系集。

根據權利要求1所述，基于邏輯單元和信任評估的訪問控制授權方法，步驟(1)的具體過程如下：

(101)查詢系統的用戶集與角色集；

(102)如果用戶集中包含待授權用戶，角色集中包含待分配給用戶的角色則進入下一步，否則授權失敗；

(103)查詢提供服務的云節點信任值，判斷交互的歷史記錄是否大于系統設置的最大歷史交互次數限制，大于則通過計算直接信任值得出云服務節點的信任值，小于則通過計算云服務節點的直接信任與間接信任的加權和來計算云服務節點的信任值；

(104)判斷云服務節點的信任值是否大于系統設置的信任閾值，大于則加入候選節點隊列，最后從候選節點隊列中選擇信任值最高的節點作為提供服務的云服務節點，如果隊列為空則授權失敗。

采用上述技術方案帶來的有益效果：