[发明专利]一种面向云计算的任务角色访问控制模型

说明书

技术领域

本发明涉及信息安全技术领域,具体地说是一种面向云计算的任务角色访问控制模型。

背景技术

传统的访问控制模型有自主访问控制和强制访问控制两种，但这两种访问控制模型都存在管理困难的问题。随着计算机系统的不断发展，在云计算环境下，用户需要访问的资源越来越多，出现了对灵活性好、适应性强的访问控制模型的需求。

基于角色的访问控制模型（RBAC），它在用户和访问权限之间引入角色的概念，这样保证将用户和权限之间进行了分离，从而进一步的可以保证用户和访问权限的安全，提高了用户访问的灵活性。但此模型不适合在分布式的系统中应用。

基于任务的访问控制模型（TBAC）是一种新的安全模型，它采用工作流的特性，从任务角度出发，将任务分为建立任务，执行任务，完成任务三个部分。但此模型不支持被动访问控制。

发明内容

本发明的目的是克服现有技术中存在的不足，提供一种面向云计算的任务角色访问控制模型。在T-RBAC模型中，使用角色的概念来进行用户管理，具有明晰的角色层次管理，以及高扩展性和适应性。

本发明的技术方案是按以下方式实现的，其任务角色访问控制模型中，任务节点的实例分配给角色从而来获得权限，用户获得对客体的访问权限通过角色来获得，结合云计算模式下的用户访问的特点，基于云计算模式下的任务角色访问控制模型，具体描述如下：

定义1用户：网络中的企业客户或者个人客户，他们是由云计算服务商提供的客户，可以独立访问系统中的数据或者资源；

定义2角色：在云计算中，访问任务的一组集合；

定义3权限：在云计算中访问资源的许可范围；

定义4会话：用户在激活云计算服务商的授权角色之后，通过分配的角色建立映射，取得了会话过程；

定义5任务：在云计算中，根据云计算服务商中提供的不同服务，对任务进行不同的分类；有些任务是可以根据功能进行分类，也可以根据服务类型进行分类；

定义6角色继承：在云计算中，很多任务的执行者可能会具有相同的权限，比如在同一个用户中的不同客户访问同一个数据库，为避免相同权限的重复设置，角色可以继承其他的角色，从而可以具有属性和权限，避免了角色的重复设置；

定义7约束集：只对于访问控制中各种指派所作的规则限制；

定义8URA：用户角色分配；

定义9TPA：任务权限分配；

定义10IPA：任务实例权限分配；

定义11TRA：任务角色分配；

定义12IRA：任务实例角色分配。

本发明的优点是：

1、T-RBAC能够利用云端服务器，与客体所有者一起通过任务分配权限的方式，既满足了分布式访问控制需求，同时也具有清晰的角色层次管理；

2、T-RBAC构建了一个面型共享安全的访问控制机制，从数据管理、任务管理、用户管理和授权管理四个方面来解决云计算访问控制中的安全要求。

附图说明

图１为T-RBAC模型的结构示意图。

实施方式

下面结合附图对本发明的一种面向云计算的任务角色访问控制模型作以下详细说明。

如图1所示，本发明的一种面向云计算的任务角色访问控制模型，其任务角色访问控制模型中，任务节点的实例分配给角色从而来获得权限，用户获得对客体的访问权限通过角色来获得，结合云计算模式下的用户访问的特点，基于云计算模式下的任务角色访问控制模型，具体描述如下：

定义1用户：网络中的企业客户或者个人客户，他们是由云计算服务商提供的客户，可以独立访问系统中的数据或者资源；

定义2角色：在云计算中，访问任务的一组集合；

定义3权限：在云计算中访问资源的许可范围；

定义4会话：用户在激活云计算服务商的授权角色之后，通过分配的角色建立映射，取得了会话过程；

定义5任务：在云计算中，根据云计算服务商中提供的不同服务，对任务进行不同的分类；有些任务是可以根据功能进行分类，也可以根据服务类型进行分类；

定义6角色继承：在云计算中，很多任务的执行者可能会具有相同的权限，比如在同一个用户中的不同客户访问同一个数据库，为避免相同权限的重复设置，角色可以继承其他的角色，从而可以具有属性和权限，避免了角色的重复设置；

定义7约束集：只对于访问控制中各种指派所作的规则限制；

定义8URA：用户角色分配；

定义9TPA：任务权限分配；