專利名稱：基于Policy語(yǔ)言的云資源的權(quán)限管理方法以及裝置的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及云計(jì)算技術(shù)領(lǐng)域，特別涉及一種基于Policy語(yǔ)言的云資源的權(quán)限管理方法以及裝置。
背景技術(shù)：
目前，大部分互聯(lián)網(wǎng)對(duì)外服務(wù)都需要權(quán)限系統(tǒng)支持。權(quán)限系統(tǒng)可以為服務(wù)提供服務(wù)請(qǐng)求者、請(qǐng)求服務(wù)內(nèi)容、以及該請(qǐng)求者能否有權(quán)限使用該服務(wù)等信息。目前權(quán)限系統(tǒng)的實(shí)現(xiàn)方式非常多，基本思想都是針對(duì)自身業(yè)務(wù)，定制相關(guān)的權(quán)限系統(tǒng)，這種權(quán)限系統(tǒng)對(duì)于需要針對(duì)資源抽象的云計(jì)算環(huán)境并不適用。
因此，亞馬遜AWS針對(duì)云計(jì)算環(huán)境提出了基于Policy語(yǔ)言的權(quán)限系統(tǒng)。其中， Policy語(yǔ)言是對(duì)服務(wù)資源進(jìn)行抽象和描述權(quán)限的語(yǔ)言。基于Policy語(yǔ)言的權(quán)限系統(tǒng)能夠提供權(quán)限管理機(jī)制，但是基于Policy語(yǔ)言的權(quán)限系統(tǒng)在管理員管理、操作組、封禁資源擁有者、授權(quán)使用門檻高、系統(tǒng)效率五個(gè)方面存在明顯缺陷，但是這五個(gè)方面在云計(jì)算機(jī)環(huán)境中非常重要，因此已經(jīng)不能滿足日益增長(zhǎng)的云計(jì)算服務(wù)需求。發(fā)明內(nèi)容
本發(fā)明旨在至少解決現(xiàn)有技術(shù)中存在的技術(shù)問題之一。
為此，本發(fā)明的第一個(gè)目的在于提出一種基于Policy語(yǔ)言的云資源的權(quán)限管理方法。本方法對(duì)Policy語(yǔ)言進(jìn)行了擴(kuò)展，對(duì)管理員管理、操作組、封禁資源擁有者提供了更好的支持，降低了授權(quán)使用門檻，提升了系統(tǒng)效率。
本發(fā)明的第二個(gè)目的在于提出一種基于Policy語(yǔ)言的云資源的權(quán)限管理裝置。
為達(dá)到上述目的，本發(fā)明第一方面的實(shí)施例公開了一種基于Policy語(yǔ)言的云資源的權(quán)限管理方法，包括以下步驟獲得云資源和所述云資源對(duì)應(yīng)的元數(shù)據(jù)，其中，所述元數(shù)據(jù)包括所述云資源的所有者信息和所述云資源的創(chuàng)建信息；為每個(gè)云資源建立獨(dú)立的 Policy權(quán)限信息，其中，所述Policy權(quán)限信息包括管理員聲明信息和至少一個(gè)普通聲明信息，且每個(gè)所述普通聲明信息根據(jù)所述云資源的所有者授權(quán)產(chǎn)生；接收對(duì)所述云資源的資源請(qǐng)求消息；根據(jù)所述資源請(qǐng)求消息查詢所述Policy權(quán)限信息；如果所述資源請(qǐng)求消息與所述Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，則根據(jù)匹配的管理員聲明信息或普通聲明信息對(duì)所述資源請(qǐng)求消息進(jìn)行處理。
根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理方法通過管理員生命信息和普通生命信息的區(qū)分，增強(qiáng)了管理員管理能力，通過限制訪問主體對(duì)訪問客體的訪問權(quán)限，對(duì)資源進(jìn)行抽象，更加適合在云計(jì)算環(huán)境中應(yīng)用。
在本發(fā)明的一個(gè)實(shí)施例中，所述管理員聲明信息和普通聲明信息均包括標(biāo)識(shí)信息、權(quán)限主體信息和權(quán)限信息。通過標(biāo)識(shí)信息的引入降低了授權(quán)使用門榲，通過判斷資源權(quán)限和資源擁有者權(quán)限提高了封禁資源擁有者的功能。
在本發(fā)明的一個(gè)實(shí)施例中，其中，如果所述資源請(qǐng)求消息的請(qǐng)求者與所述管理員聲明信息或普通聲明信息中的權(quán)限主體信息一致，則判斷所述資源請(qǐng)求消息與所述Policy 權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，并根據(jù)所述匹配的管理員聲明信息或普通聲明信息中的權(quán)限信息對(duì)所述資源請(qǐng)求消息進(jìn)行處理。
在本發(fā)明的一個(gè)實(shí)施例中，所述管理員聲明信息和普通聲明信息均還包括操作信息。操作信息中通過操作組的劃分提供了以組為單位更方便的管理方式。
在本發(fā)明的一個(gè)實(shí)施例中，還包括進(jìn)一步判斷所述資源請(qǐng)求消息中的操作是否與所述操作信息匹配；如果判斷不匹配，則拒絕所述資源請(qǐng)求消息。
在本發(fā)明的一個(gè)實(shí)施例中，所述管理員聲明信息和普通聲明信息均還包括資源級(jí)信息，其中，所述資源級(jí)信息表示所述管理員聲明信息和普通聲明信息所對(duì)應(yīng)的資源。通過資源級(jí)信息提升了系統(tǒng)效率。
在本發(fā)明的一個(gè)實(shí)施例中，所述管理員聲明信息和普通聲明信息均還包括限制條件信息。
在本發(fā)明的一個(gè)實(shí)施例中，還包括進(jìn)一步判斷所述資源請(qǐng)求消息中的條件是否與所述限制條件信息匹配；如果判斷不匹配，則拒絕所述資源請(qǐng)求消息。
本發(fā)明第二方面的實(shí)施例公開了一種基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，包括建立模塊，用于獲得云資源和所述云資源對(duì)應(yīng)的元數(shù)據(jù)，其中，所述元數(shù)據(jù)包括所述云資源的所有者信息和所述云資源的創(chuàng)建信息，并為每個(gè)云資源建立獨(dú)立的Policy權(quán)限信息，其中，所述Policy權(quán)限信息包括管理員聲明信息和至少一個(gè)普通聲明信息，且每個(gè)所述普通聲明信息根據(jù)所述云資源的所有者授權(quán)產(chǎn)生；接收模塊，用于接收對(duì)所述云資源的資源請(qǐng)求消息；查詢模塊，用于根據(jù)所述資源請(qǐng)求消息查詢所述Policy權(quán)限信息；控制模塊，用于在所述資源請(qǐng)求消息與所述Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配時(shí)，根據(jù)匹配的管理員聲明信息或普通聲明信息對(duì)所述資源請(qǐng)求消息進(jìn)行處理。
根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置通過管理員生命信息和普通生命信息的區(qū)分，增強(qiáng)了管理員管理能力，通過限制訪問主體對(duì)訪問客體的訪問權(quán)限，對(duì)資源進(jìn)行抽象，更加適合在云計(jì)算環(huán)境中使用。
在本發(fā)明的一個(gè)實(shí)施例中，所述管理員聲明信息和普通聲明信息均包括標(biāo)識(shí)信息、權(quán)限主體信息和權(quán)限信息。通過標(biāo)識(shí)信息的引入降低了授權(quán)使用門榲，通過判斷資源權(quán)限和資源擁有者權(quán)限提高了封禁資源擁有者的功能。
在本發(fā)明的一個(gè)實(shí)施例中，其中，如果所述資源請(qǐng)求消息的請(qǐng)求者與所述管理員聲明信息或普通聲明信息中的權(quán)限主體信息一致，則判斷所述資源請(qǐng)求消息與所述Policy 權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，并根據(jù)所述匹配的管理員聲明信息或普通聲明信息中的權(quán)限信息對(duì)所述資源請(qǐng)求消息進(jìn)行處理。
在本發(fā)明的一個(gè)實(shí)施例中，所述管理員聲明信息和普通聲明信息均還包括操作信息。操作信息中的操作組的劃分提供了以組為單位更方便的管理方式。
在本發(fā)明的一個(gè)實(shí)施例中，所述控制模塊還用于在判斷所述資源請(qǐng)求消息中的操作與所述操作信息不匹配時(shí)，拒絕所述資源請(qǐng)求消息。
在本發(fā)明的一個(gè)實(shí)施例中，所述管理員聲明信息和普通聲明信息均還包括資源級(jí)信息，其中，所述資源級(jí)信息表示所述管理員聲明信息和普通聲明信息所對(duì)應(yīng)的資源。通過資源級(jí)信息提升了系統(tǒng)效率。
在本發(fā)明的一個(gè)實(shí)施例中，所述管理員聲明信息和普通聲明信息均還包括限制條件信息。
在本發(fā)明的一個(gè)實(shí)施例中，所述控制模塊還用于在判斷所述資源請(qǐng)求消息中的條件與所述限制條件信息不匹配時(shí)，拒絕所述資源請(qǐng)求消息。
本發(fā)明的附加方面和優(yōu)點(diǎn)將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過本發(fā)明的實(shí)踐了解到。


本發(fā)明的上述和/或附加的方面和優(yōu)點(diǎn)從結(jié)合下面附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解，其中
圖I為根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理方法的流程圖2為根據(jù)本發(fā)明實(shí)施例的判斷資源請(qǐng)求消息的流程圖；和
圖3為根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置的結(jié)構(gòu)示意圖。
具體實(shí)施方式
下面詳細(xì)描述本發(fā)明的實(shí)施例，所述實(shí)施例的示例在附圖中示出，其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實(shí)施例是示例性的，僅用于解釋本發(fā)明，而不能理解為對(duì)本發(fā)明的限制。
下面參考圖I描述根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理方法，包括以下步驟
步驟SllO :獲得云資源和云資源對(duì)應(yīng)的元數(shù)據(jù)，其中，元數(shù)據(jù)包括云資源的所有者信息和云資源的創(chuàng)建信息。
步驟S120 :為每個(gè)云資源建立獨(dú)立的Policy權(quán)限信息，其中，Policy權(quán)限信息包括管理員聲明信息和至少一個(gè)普通聲明信息，且每個(gè)普通聲明信息根據(jù)云資源的所有者授權(quán)產(chǎn)生。
在本發(fā)明的一個(gè)實(shí)施例中，管理員聲明信息和普通聲明信息均包括標(biāo)識(shí)信息、權(quán)限主體信息和權(quán)限信息、均還包括操作信息、均還包括資源級(jí)信息，其中，資源級(jí)信息表示管理員聲明信息和普通聲明信息所對(duì)應(yīng)的資源、均還包括限制條件信息的一種或多種。
云資源有獨(dú)立的policy權(quán)限信息，其中，每條policy權(quán)限信息由一條或者多條聲明信息組成，并且每條聲明信息相互獨(dú)立。
聲明信息包括如下信息
(一)、標(biāo)識(shí)信息
標(biāo)識(shí)信息，用LabeI字段記錄，為必需字段。標(biāo)識(shí)信息用來標(biāo)識(shí)該聲明，在poI icy 權(quán)限信息中標(biāo)識(shí)信息是唯一的，這種唯一性便于對(duì)policy權(quán)限信息實(shí)施刪除操作，從而降低了授權(quán)門檻。
(二)、權(quán)限主體信息
權(quán)限主體信息，用User字段記錄，為必需字段。權(quán)限主體信息用來表示該聲明是針對(duì)權(quán)限主體的。User前可以加命名空間來區(qū)分不同域的用戶，并且User字段可以同時(shí)包含多個(gè)權(quán)限主體信息。
(三)、權(quán)限信息
權(quán)限信息，用Effect字段記錄，為必需字段。權(quán)限信息用表示該聲明是否允許訪問。Effect字段的值為Allow或者Deny,分別表示該聲明允許或者不允許訪問。
(四)、操作信息
操作信息，用Action字段記錄。操作信息用來表示權(quán)限的具體操作，由各服務(wù)進(jìn)行自定義。因此，每個(gè)服務(wù)所對(duì)應(yīng)的Action都不一樣，其中，用代表系統(tǒng)所有的權(quán)限。 Action字段可以包含多個(gè)操作。Action字段還可以記錄操作組，操作組是一些操作的組八口 ο
(五)、資源級(jí)信息
資源級(jí)信息，用Resource字段記錄。資源級(jí)信息表示管理員聲明信息和普通聲明信息所對(duì)應(yīng)的資源。資源級(jí)信息主要為了解決多級(jí)資源的效率問題。其中，不同的級(jí)別對(duì)應(yīng)不同的數(shù)據(jù)權(quán)限，例如，只有第一級(jí)和最后一級(jí)資源才能擁有權(quán)限數(shù)據(jù)。
(六)、限制條件信息
限制條件信息，用Condition字段記錄。限制條件信息表示權(quán)限的條件，如 Condition字段可以包括時(shí)間段Time和IP，用來限制在某個(gè)時(shí)間段和/或IP段，該聲明有效。
步驟S130 :接收對(duì)云資源的資源請(qǐng)求消息。
步驟S140 :根據(jù)資源請(qǐng)求消息查詢Policy權(quán)限信息。
步驟S150 :如果資源請(qǐng)求消息與Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，則根據(jù)匹配的管理員聲明信息或普通聲明信息對(duì)資源請(qǐng)求消息進(jìn)行處理。
在本發(fā)明的一個(gè)實(shí)施例中，如果資源請(qǐng)求消息的請(qǐng)求者與管理員聲明信息或普通聲明信息中的權(quán)限主體信息一致，則判斷資源請(qǐng)求消息與Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，并根據(jù)匹配的管理員聲明信息或普通聲明信息中的權(quán)限信息對(duì)資源請(qǐng)求消息進(jìn)行處理。
在本發(fā)明的一個(gè)實(shí)施例中，進(jìn)一步判斷資源請(qǐng)求消息中的操作是否與操作信息匹配；如果判斷不匹配，則拒絕資源請(qǐng)求消息。
在本發(fā)明的一個(gè)實(shí)施例中，進(jìn)一步判斷資源請(qǐng)求消息中的條件是否與限制條件信息匹配；如果判斷不匹配，則拒絕資源請(qǐng)求消息。
下面根據(jù)圖2對(duì)判斷資源請(qǐng)求消息的過程進(jìn)行進(jìn)一步舉例說明。
接收對(duì)云資源的資源請(qǐng)求消息，并根據(jù)資源請(qǐng)求消息查詢Policy權(quán)限信息，并與聲明信息進(jìn)行匹配，匹配結(jié)果有三種，分別記為Explicit deny、Allow和Default Deny,分別表示明確拒絕訪問、允許訪問和默認(rèn)拒絕訪問。三者的關(guān)系原則如下
Explicit Deny > Allow > Default Deny
具體的匹配流程如下
步驟S210 :將匹配結(jié)果設(shè)為初始值Default Deny。
步驟S220 :資源請(qǐng)求消息與Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配。其中，Policy權(quán)限信息可能會(huì)有多條聲明信息組成，無(wú)需對(duì)聲明信息進(jìn)行排序可以直接執(zhí)行比較。
步驟S230 :檢查云資源對(duì)應(yīng)的policy權(quán)限信息是否有明確拒絕請(qǐng)求者的聲明信肩、O
步驟S240 :如果有，貝U返回 Explicit Deny。
步驟S250 :如果沒有，則檢查云資源對(duì)應(yīng)的policy權(quán)限信息是否有允許請(qǐng)求者的 statement。
步驟S260 :如果有，則返回Allow。
步驟S270 :如果沒有，則返回Default Deny。
其中，檢查云資源對(duì)應(yīng)的Policy權(quán)限信息包括檢查權(quán)限主體是否與User字段中的匹配，操作是否與Action字段中的匹配，權(quán)限的具體操作是否與Condition字段中的匹配等。
可以理解的是，上述判斷資源請(qǐng)求消息的過程僅出于示例目的，本發(fā)明實(shí)施例不限于此。
根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理方法對(duì)亞馬遜的 Policy語(yǔ)言進(jìn)行了擴(kuò)展，主要對(duì)以下五個(gè)問題進(jìn)行了改進(jìn)
(一)、管理員管理增加了管理員聲明信息，先校驗(yàn)管理員聲明信息再校驗(yàn)普通聲明信息，這樣，管理員可以對(duì)資源進(jìn)行權(quán)限控制，比如封禁某個(gè)資源。
( 二)、操作組對(duì)操作信息字段增加了操作組的概念。這樣可以以操作組的方式進(jìn)行權(quán)限管理，更加方便、高效。
(三)、封禁資源擁有者增加了判斷資源擁有者是否被封禁的邏輯。這樣，在校驗(yàn)了資源的權(quán)限信息后，還會(huì)判斷資源的擁有者是否給封禁，雙重判斷更增強(qiáng)了安全性。
(四)、降低了授權(quán)使用門檻對(duì)Policy語(yǔ)言擴(kuò)展增加了標(biāo)識(shí)信息字段。標(biāo)識(shí)信息唯一標(biāo)識(shí)一條聲明信息。用戶授權(quán)或者取消授權(quán)的時(shí)候，通過標(biāo)識(shí)信息可以方便地進(jìn)行授權(quán)管理。
(五)、提升系統(tǒng)效率對(duì)Policy語(yǔ)言擴(kuò)展增加了資源級(jí)信息，多級(jí)資源的場(chǎng)景能夠提升效率。擴(kuò)展前的Policy語(yǔ)言的每級(jí)資源都有一條policy權(quán)限信息，需要校驗(yàn)每級(jí)的policy權(quán)限信息。擴(kuò)展后增加了資源級(jí)信息，只有第一級(jí)和最后一級(jí)資源才有policy 權(quán)限信息，即只需校驗(yàn)第一級(jí)和最后一級(jí)的policy權(quán)限信息。
根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理方法，通過限制訪問主體對(duì)訪問客體的訪問權(quán)限，對(duì)云資源進(jìn)行抽象。支持了管理員管理、操作組、封禁資源擁有者，降低了授權(quán)使用門檻，提升系統(tǒng)效率，更加適合在云計(jì)算環(huán)境應(yīng)用。
下面參考圖2描述根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置100，包括建立模塊110、接收模塊120、查詢模塊130和控制模塊140。建立模塊110 用于獲得云資源和云資源對(duì)應(yīng)的元數(shù)據(jù)，其中，元數(shù)據(jù)包括云資源的所有者信息和云資源的創(chuàng)建信息，并為每個(gè)云資源建立獨(dú)立的Policy權(quán)限信息，其中，Policy權(quán)限信息包括管理員聲明信息和至少一個(gè)普通聲明信息，且每個(gè)普通聲明信息根據(jù)云資源的所有者授權(quán)產(chǎn)生；接收模塊120用于接收對(duì)云資源的資源請(qǐng)求消息；查詢模塊130130用于根據(jù)資源請(qǐng)求消息查詢Policy權(quán)限信息；控制模塊140用于在資源請(qǐng)求消息與Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配時(shí)，根據(jù)匹配的管理員聲明信息或普通聲明信息對(duì)資源請(qǐng)求消息進(jìn)行處理。
管理員聲明信息和普通聲明信息均包括標(biāo)識(shí)信息、權(quán)限主體信息和權(quán)限信息，均還包括操作信息，均還包括資源級(jí)信息，其中，資源級(jí)信息表示管理員聲明信息和普通聲明信息所對(duì)應(yīng)的資源，均還包括限制條件信息的一種或多種。
例如，云資源有獨(dú)立的policy權(quán)限信息，其中，每條policy權(quán)限信息由一條或者多條聲明信息組成，并且每條聲明信息相互獨(dú)立。
聲明信息包括如下信息
(一)、標(biāo)識(shí)信息
標(biāo)識(shí)信息，用Labe I字段記錄，為必需字段。標(biāo)識(shí)信息用來標(biāo)識(shí)該聲明，在po I i cy 權(quán)限信息中標(biāo)識(shí)信息是唯一的，這種唯一性便于對(duì)policy權(quán)限信息實(shí)施刪除操作，從而降低了授權(quán)門檻。
(二)、權(quán)限主體信息
權(quán)限主體信息，用User字段記錄，為必需字段。權(quán)限主體信息用來表示該聲明是針對(duì)權(quán)限主體的。User前可以加命名空間來區(qū)分不同域的用戶，并且User字段可以同時(shí)包含多個(gè)權(quán)限主體信息。
(三)、權(quán)限信息
權(quán)限信息，用Effect字段記錄，為必需字段。權(quán)限信息用表示該聲明是否允許訪問。Effect字段的值為Allow或者Deny,分別表示該聲明允許或者不允許訪問。
(四)、操作信息
操作信息，用Action字段記錄。操作信息用來表示權(quán)限的具體操作，由各服務(wù)進(jìn)行自定義。因此，每個(gè)服務(wù)所對(duì)應(yīng)的Action都不一樣，其中，用代表系統(tǒng)所有的權(quán)限。 Action字段可以包含多個(gè)操作。Action字段還可以記錄操作組，操作組是一些操作的組八口 ο
(五)、資源級(jí)信息
資源級(jí)信息，用Resource字段記錄。資源級(jí)信息表示管理員聲明信息和普通聲明信息所對(duì)應(yīng)的資源。資源級(jí)信息主要為了解決多級(jí)資源的效率問題。其中，不同的級(jí)別對(duì)應(yīng)不同的數(shù)據(jù)權(quán)限，例如，只有第一級(jí)和最后一級(jí)資源才能擁有權(quán)限數(shù)據(jù)。
(六)、限制條件信息
限制條件信息，用Condition字段記錄。限制條件信息表示權(quán)限的條件，如 Condition字段可以包括時(shí)間段Time和IP，用來限制在某個(gè)時(shí)間段和/或IP段，該聲明有效。
在本發(fā)明的一個(gè)實(shí)施例中，如果資源請(qǐng)求消息的請(qǐng)求者與管理員聲明信息或普通聲明信息中的權(quán)限主體信息一致，則判斷資源請(qǐng)求消息與Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，并根據(jù)匹配的管理員聲明信息或普通聲明信息中的權(quán)限信息對(duì)資源請(qǐng)求消息進(jìn)行處理。
控制模塊140還用于在判斷資源請(qǐng)求消息中的操作與操作信息不匹配時(shí)，拒絕資源請(qǐng)求消息。控制模塊140還用于在判斷資源請(qǐng)求消息中的條件與限制條件信息不匹配時(shí)，拒絕資源請(qǐng)求消息。
下面根據(jù)圖2對(duì)基于Policy語(yǔ)言的云資源的權(quán)限管理裝置判斷資源請(qǐng)求消息的過程進(jìn)行進(jìn)一步舉例說明。
接收模塊120接收對(duì)云資源的資源請(qǐng)求消息，查詢模塊130根據(jù)資源請(qǐng)求消息查詢Policy權(quán)限信息，控制模塊140將其與聲明信息進(jìn)行匹配。控制模塊140匹配結(jié)果有三種，分別記為Explicit、deny、Allow和Default Deny,分別表示明確拒絕訪問、允許訪問和默認(rèn)拒絕訪問。三者的關(guān)系原則如下
Explicit Deny > Allow > Default Deny
控制模塊140具體的匹配流程如下
步驟S210 :將匹配結(jié)果設(shè)為初始值Default Deny。
步驟S220 :資源請(qǐng)求消息與Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配。其中，Policy權(quán)限信息可能會(huì)有多條聲明信息組成，無(wú)需對(duì)聲明信息進(jìn)行排序可以直接執(zhí)行比較。
步驟S230 :檢查云資源對(duì)應(yīng)的policy權(quán)限信息是否有明確拒絕請(qǐng)求者的聲明信肩、O
步驟S240 :如果有,則返回 Explicit Deny。
步驟S250 :如果沒有，則檢查云資源對(duì)應(yīng)的policy權(quán)限信息是否有允許請(qǐng)求者的 statement ο
步驟S260 :如果有，則返回Allow。
步驟S270 :如果沒有，則返回Default Deny。
其中，檢查云資源對(duì)應(yīng)的Policy權(quán)限信息包括檢查權(quán)限主體是否與User字段中的匹配，操作是否與Action字段中的匹配，權(quán)限的具體操作是否與Condition字段中的匹配等。
可以理解的是，上述控制模塊140判斷資源請(qǐng)求消息的過程僅出于示例目的，本發(fā)明實(shí)施例不限于此。
根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置對(duì)亞馬遜的 Policy語(yǔ)言進(jìn)行了擴(kuò)展，主要對(duì)以下五個(gè)問題進(jìn)行了改進(jìn)
(一)、管理員管理增加了管理員聲明信息，先校驗(yàn)管理員聲明信息再校驗(yàn)普通聲明信息，這樣，管理員可以對(duì)資源進(jìn)行權(quán)限控制，比如封禁某個(gè)資源。
( 二)、操作組對(duì)操作信息字段增加了操作組的概念。這樣可以以操作組的方式進(jìn)行權(quán)限管理，更加方便、高效。
(三)、封禁資源擁有者增加了判斷資源擁有者是否被封禁的邏輯。這樣，在校驗(yàn)了資源的權(quán)限信息后，還會(huì)判斷資源的擁有者是否給封禁，雙重判斷更增強(qiáng)了安全性。
(四)、降低了授權(quán)使用門檻對(duì)Policy語(yǔ)言擴(kuò)展增加了標(biāo)識(shí)信息字段。標(biāo)識(shí)信息唯一標(biāo)識(shí)一條聲明信息。用戶授權(quán)或者取消授權(quán)的時(shí)候，通過標(biāo)識(shí)信息可以方便地進(jìn)行授權(quán)管理。
(五)、提升系統(tǒng)效率對(duì)Policy語(yǔ)言擴(kuò)展增加了資源級(jí)信息，多級(jí)資源的場(chǎng)景能夠提升效率。擴(kuò)展前的Policy語(yǔ)言的每級(jí)資源都有一條policy權(quán)限信息，需要校驗(yàn)每級(jí)的policy權(quán)限信息。擴(kuò)展后增加了資源級(jí)信息，只有第一級(jí)和最后一級(jí)資源才有policy 權(quán)限信息，即只需校驗(yàn)第一級(jí)和最后一級(jí)的policy權(quán)限信息。
根據(jù)本發(fā)明實(shí)施例的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，通過限制訪問主體對(duì)訪問客體的訪問權(quán)限，對(duì)云資源進(jìn)行抽象。支持了管理員管理、操作組、封禁資源擁有者，降低了授權(quán)使用門檻，提升系統(tǒng)效率，更加適合在云計(jì)算環(huán)境應(yīng)用。
參照下面的描述和附圖，將清楚本發(fā)明的實(shí)施例的這些和其他方面。在這些描述和附圖中，具體公開了本發(fā)明的實(shí)施例中的一些特定實(shí)施方式，來表示實(shí)施本發(fā)明的實(shí)施例的原理的一些方式，但是應(yīng)當(dāng)理解，本發(fā)明的實(shí)施例的范圍不受此限制。相反，本發(fā)明的實(shí)施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物。
在本說明書的描述中，參考術(shù)語(yǔ)“一個(gè)實(shí)施例”、“一些實(shí)施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中。在本說明書中，對(duì)上述術(shù)語(yǔ)的示意性表述不一定指的是相同的實(shí)施例或示例。而且，描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)可以在任何的一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合。
盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例，對(duì)于本領(lǐng)域的普通技術(shù)人員而言，可以理解在不脫離本發(fā)明的原理和精神的情況下可以對(duì)這些實(shí)施例進(jìn)行多種變化、修改、替換和變型，本發(fā)明的范圍由所附權(quán)利要求及其等同限定。
權(quán)利要求
1.一種基于Policy語(yǔ)言的云資源的權(quán)限管理方法，其特征在于，包括以下步驟 獲得云資源和所述云資源對(duì)應(yīng)的元數(shù)據(jù)，其中，所述元數(shù)據(jù)包括所述云資源的所有者信息和所述云資源的創(chuàng)建信息； 為每個(gè)云資源建立獨(dú)立的Policy權(quán)限信息，其中，所述Policy權(quán)限信息包括管理員聲明信息和至少一個(gè)普通聲明信息，且每個(gè)所述普通聲明信息根據(jù)所述云資源的所有者授權(quán)產(chǎn)生； 接收對(duì)所述云資源的資源請(qǐng)求消息； 根據(jù)所述資源請(qǐng)求消息查詢所述Policy權(quán)限信息； 如果所述資源請(qǐng)求消息與所述Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，則根據(jù)匹配的管理員聲明信息或普通聲明信息對(duì)所述資源請(qǐng)求消息進(jìn)行處理。
2.如權(quán)利要求I所述的基于Policy語(yǔ)言的云資源的權(quán)限管理方法，其特征在于，所述管理員聲明信息和普通聲明信息均包括標(biāo)識(shí)信息、權(quán)限主體信息和權(quán)限信息。
3.如權(quán)利要求I或2所述的基于Policy語(yǔ)言的云資源的權(quán)限管理方法，其特征在于，其中，如果所述資源請(qǐng)求消息的請(qǐng)求者與所述管理員聲明信息或普通聲明信息中的權(quán)限主體信息一致，則判斷所述資源請(qǐng)求消息與所述Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，并根據(jù)所述匹配的管理員聲明信息或普通聲明信息中的權(quán)限信息對(duì)所述資源請(qǐng)求消息進(jìn)行處理。
4.如權(quán)利要求2或3所述的基于Policy語(yǔ)言的云資源的權(quán)限管理方法，其特征在于，所述管理員聲明信息和普通聲明信息均還包括操作信息。
5.如權(quán)利要求4所述的基于Policy語(yǔ)言的云資源的權(quán)限管理方法，其特征在于，還包括 進(jìn)一步判斷所述資源請(qǐng)求消息中的操作是否與所述操作信息匹配； 如果判斷不匹配，則拒絕所述資源請(qǐng)求消息。
6.如權(quán)利要求4或5所述的基于Policy語(yǔ)言的云資源的權(quán)限管理方法，其特征在于，所述管理員聲明信息和普通聲明信息均還包括資源級(jí)信息，其中，所述資源級(jí)信息表示所述管理員聲明信息和普通聲明信息所對(duì)應(yīng)的資源。
7.如權(quán)利要求4或5所述的基于Policy語(yǔ)言的云資源的權(quán)限管理方法，其特征在于，所述管理員聲明信息和普通聲明信息均還包括限制條件信息。
8.如權(quán)利要求7所述的基于Policy語(yǔ)言的云資源的權(quán)限管理方法，其特征在于，還包括 進(jìn)一步判斷所述資源請(qǐng)求消息中的條件是否與所述限制條件信息匹配； 如果判斷不匹配，則拒絕所述資源請(qǐng)求消息。
9.一種基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，其特征在于，包括 建立模塊，用于獲得云資源和所述云資源對(duì)應(yīng)的元數(shù)據(jù)，其中，所述元數(shù)據(jù)包括所述云資源的所有者信息和所述云資源的創(chuàng)建信息，并為每個(gè)云資源建立獨(dú)立的Policy權(quán)限信息，其中，所述Policy權(quán)限信息包括管理員聲明信息和至少一個(gè)普通聲明信息，且每個(gè)所述普通聲明信息根據(jù)所述云資源的所有者授權(quán)產(chǎn)生； 接收模塊，用于接收對(duì)所述云資源的資源請(qǐng)求消息； 查詢模塊，用于根據(jù)所述資源請(qǐng)求消息查詢所述Policy權(quán)限信息；控制模塊，用于在所述資源請(qǐng)求消息與所述Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配時(shí)，根據(jù)匹配的管理員聲明信息或普通聲明信息對(duì)所述資源請(qǐng)求消息進(jìn)行處理。
10.如權(quán)利要求9所述的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，其特征在于，所述管理員聲明信息和普通聲明信息均包括標(biāo)識(shí)信息、權(quán)限主體信息和權(quán)限信息。
11.如權(quán)利要求10所述的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，其特征在于，其中，如果所述資源請(qǐng)求消息的請(qǐng)求者與所述管理員聲明信息或普通聲明信息中的權(quán)限主體信息一致，則判斷所述資源請(qǐng)求消息與所述Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，并根據(jù)所述匹配的管理員聲明信息或普通聲明信息中的權(quán)限信息對(duì)所述資源請(qǐng)求消息進(jìn)行處理。
12.如權(quán)利要求10或11所述的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，其特征在于，所述管理員聲明信息和普通聲明信息均還包括操作信息。
13.如權(quán)利要求12所述的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，其特征在于，所述控制模塊還用于在判斷所述資源請(qǐng)求消息中的操作與所述操作信息不匹配時(shí)，拒絕所述資源請(qǐng)求消息。
14.如權(quán)利要求10或11所述的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，其特征在于，所述管理員聲明信息和普通聲明信息均還包括資源級(jí)信息，其中，所述資源級(jí)信息表示所述管理員聲明信息和普通聲明信息所對(duì)應(yīng)的資源。
15.如權(quán)利要求10或11所述的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，其特征在于，所述管理員聲明信息和普通聲明信息均還包括限制條件信息。
16.如權(quán)利要求15所述的基于Policy語(yǔ)言的云資源的權(quán)限管理裝置，其特征在于，所述控制模塊還用于在判斷所述資源請(qǐng)求消息中的條件與所述限制條件信息不匹配時(shí)，拒絕所述資源請(qǐng)求消息。
全文摘要
本發(fā)明提出一種基于Policy語(yǔ)言的云資源的權(quán)限管理方法，包括以下步驟獲得云資源和云資源對(duì)應(yīng)的元數(shù)據(jù)，其中，元數(shù)據(jù)包括云資源的所有者信息和云資源的創(chuàng)建信息；為每個(gè)云資源建立獨(dú)立的Policy權(quán)限信息；接收對(duì)云資源的資源請(qǐng)求消息；根據(jù)資源請(qǐng)求消息查詢Policy權(quán)限信息；如果資源請(qǐng)求消息與Policy權(quán)限信息中的管理員聲明信息或普通聲明信息匹配，則根據(jù)匹配的管理員聲明信息或普通聲明信息對(duì)資源請(qǐng)求消息進(jìn)行處理。本發(fā)明對(duì)Policy語(yǔ)言進(jìn)行了擴(kuò)展，對(duì)管理員管理、操作組、封禁資源擁有者提供了更好的支持，降低了授權(quán)使用門檻，提升了系統(tǒng)效率。本發(fā)明還公開了一種基于Policy語(yǔ)言的云資源的權(quán)限管理裝置。
文檔編號(hào)H04L29/06GK102984000SQ20121047994
公開日2013年3月20日 申請(qǐng)日期2012年11月22日 優(yōu)先權(quán)日2012年11月22日
發(fā)明者唐海浩, 杜傳贏, 鄭侃 申請(qǐng)人:百度在線網(wǎng)絡(luò)技術(shù)(北京)有限公司