[发明专利]一种云安全访问控制模型

说明书

技术领域

本发明涉及一种计算机信息安全领域，具体地说是一种结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和用户访问控制模型。

背景技术

云计算是当前信息技术领域的热门话题之一，是产业界、学术界、政府等各界均十分关注的焦点。云计算以其便利、经济、高可扩展性等优势吸引了越来越多的企业的目光，将其从IT基础设施管理与维护的沉重压力中解放出来，更专注于自身的核心业务发展。但当前，云计算发展面临着许多关键性问题，而安全问题首当其中。并且随着云计算的不断普及，安全问题的重要性呈现逐步上升趋势，已成为制约其发展的重要因素。Gartner 2009年的调查结果显示，70%以上受访企业的CTO认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的忧虑。而近来，亚马逊，谷歌等云计算提供商不断爆出各种安全事故更加剧了人们的担忧。例如，2009年3月，谷歌发生大批用户文件外泄事件；2009年2月和7月，亚马逊的简单存储服务S3两次中断导致依赖于网络单一存储服务的网站被迫瘫痪等等。因此，为了确保云计算环境中用户数据的安全性、一致性、完整性，要让企业和组织大规模应用云计算技术与平台，放心地将其具有重要性、机密性的商业数据交给云服务提供商进行管理和控制，就必须全面地分析并着手解决云计算面临的各种安全问题。其中，作为云计算安全的重要组成部分－访问控制就显得尤为重要。

访问控制技术，是通过特定的方法允许或者限制主体对客体的访问能力及其范围的一种安全机制。它是系统资源的防御越权使用的措施，限制对关键资源访问，以防止未经授权用户的入侵，以及合法用户因操作不当所造成的损害，从而有效地控制和管理系统资源，并确保系统资源被合法使用。20世纪90年代初期，访问控制领域中传统的自主访问控制DAC和强制访问控制MAC受到挑战，研究者提出了若干策略中立型的访问控制策略和模型。其中最具有影响力的是基于角色的访问控制模型RBAC。

基于角色的访问控制模型RBAC是目前公认的解决大型企业的统一资源访问控制的有效方法。其基本原理是通过权限组合的方式在功能权限基础上定义角色，通过角色将主体和客体在逻辑上加以分离，用户只有通过激活角色才能获得访问权限，即用户与角色的关联、角色与访问权限的关联，使访问控制更加灵活，提高了安全防护的力度。同时，通过角色对权限分组，大大简化了用户权限分配，间接地实现了对用户分组，提高了权限分配的效率。

云计算中用户访问云服务获取相应资源和数据的过程，实际上就是主体（云用户）访问客体（云服务、资源、数据）的过程，而云计算中大量数据存储在云端服务器中，用户在不同数据上都有不同的安全级别要求，严格的访问控制体系为云计算提供高安全的前端保障。在云计算中，应用基于角色的访问控制可以提供多策略控制途径，可以对前端云用户进行有效过滤、安全认证；对后端云数据实时保护、高效管理；保证用户的数据在云端服务器中依然清晰可控。

然而，云计算所具有的按需自服务、宽带接入、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点直接影响到了云计算环境的安全和相关的安全保护策略。必须对基于角色的访问控制模型RBAC进行改良和调整，以在云计算环境中能充分发挥其优势，并满足云计算环境的安全需求。

发明内容

本发明的目的是提供一种云安全访问控制模型。

本发明的目的是按以下方式实现的，本发明的目的在于提供一种云安全访问控制模型，结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和用户访问控制模型。

  本发明的具体内容如下：结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和云安全用户访问控制模型，其中：

所述的云安全访问控制模型包括两部分：

 (1) 租户访问控制：云服务提供商CSP对使用云服务的企业或机构租户进行访问控制，管理和控制租户所要求的服务功能，审核并签发租户的云服务许可证、制定租户管理策略、并通过服务计费向租户收取相应的服务费用；