[发明专利]一种云安全访问控制模型

摘要

一种云安全访问控制模型，结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和用户访问控制模型。该云安全访问控制模型适应云计算多租户的特点，提高了云计算环境中用户权限管理的灵活性，能减少授权管理的复杂性，降低管理开销，并能有效保障云计算环境中的用户数据的安全性和完整性。

主权项

一种云安全访问控制模型，其特征在于：结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和云安全用户访问控制模型，其中：所述的云安全访问控制模型包括两部分：    (1) 租户访问控制：云服务提供商CSP对使用云服务的企业或机构租户进行访问控制，管理和控制租户所要求的服务功能，审核并签发租户的云服务许可证、制定租户管理策略、并通过服务计费向租户收取相应的服务费用；    (2) 用户访问控制：企业租户管理人员对使用云服务的企业内用户进行访问控制，管理和控制租户用户所要求的服务功能，制定业务角色、分派权限并管理用户、用户角色分配、角色权限分配；所述的云安全用户访问控制模型定义如下模型元素：    (1) 云服务提供商CSP：云服务提供商CSP负责云服务的日常维护和管理，包括审核并签发租户的云服务许可证，管理租户状态、租户日志、租户费用、租户权限等，记作CSPs={csp1，csp2，...，cspn}，云服务提供商CSP不能对租户的具体业务进行管理，如果租户数量过大，还要对云服务提供商CSP的云服务管理人员划分角色，或按地域划分，或根据业务进行划分；    (2) 租户：云服务的使用企业，各租户用户只能在租户许可的范围内使用云服务，记作Tenants={t1，t2，...，tn}，表示所有租户的集合，在云平台中，各租户之间信息是独立的，租户信息包括租户名称、地址及租户企业的相关信息，主要用来区别各租户，并由云服务提供商CSP对租户帐号状态进行管理，各租户根据需要自行选择云平台服务功能并以此付费；    (3) 用户：独立访问云平台所提供服务的主体，记作Users={u1，u2，...，un}，表示所有用户的集合，用户根据租户管理员分配的权限以及自己的角色访问云服务，进行相关的业务处理，各租户用户只能访问该租户选择的云平台的服务功能；    (4) 角色：指一个组织或任务中的工作或岗位，记作Roles={r1，r2，...，rn}，表示所有角色的集合，用户拥有自己所属角色的权限的并集，在云安全访问控制模型中，角色包括平台管理类角色和租户自定义角色，根据业务功能，由租户管理员进行租户自定义角色的划分，并对相应的角色进行权限分配；    (5) 服务：云服务提供商CSP所提供的服务，记作Services={s1，s2，...，sn}，表示所有服务的集合；    (6) 操作：对服务所能执行的操作，包括：虚拟机启动、迁移、终止、删除，具体的业务操作，业务操作包括：查看、增加、打印业务数据、统计报表，记作Operations={Op1，Op2，...，Opn}，表示所有操作的集合；(7) 访问权限：表示允许对服务进行的各项操作，记作Auths={a1，a2，...，an}，表示所有访问权限的集合；具体实施步骤如下：    (1) 租户访问控制建模    云服务提供商Cloud对外提供客户关系管理CRM服务，根据其业务需求，根据业务功能，定义云服务管理人员的角色，包括职能、岗位、权限，并根据其安全要求，给每个云服务管理人员分派对应的角色，负责对一定数量的租户进行管理和维护，从而完成与服务提供商Cloud内部访问控制建模；    (2) 注册    企业租户计划使用云服务提供商Cloud所提供的客户关系管理CRM服务；首先企业租户通过注册流程，向云服务提供商Cloud提出申请，登记租户信息，包括企业名称、地址、联系电话、所在省市的企业基本信息；接着提供租户管理员信息，选择客户关系管理CRM服务的具体服务功能模块，包括：客户管理、联系人管理、时间管理、潜在客户管理、销售管理、电话销售、营销管理、电话营销、客户服务、呼叫中心、合作伙伴关系管理、商业智能、知识管理、电子商务；    (3) 审核签发    在租户访问控制模型控制下，云服务提供商Cloud的云服务管理人员审核企业租户的信息，通过后签发租户的云服务许可证，指定租户所申请的客户关系管理CRM服务的服务功能模块，并授予租户管理员相应的权限；    (4) 用户访问控制建模    租户通过创建的租户管理员登录客户关系管理CRM服务，根据企业的业务需求，定义客户关系管理CRM服务的角色，包括：系统管理、安全管理、一般操作、网络管理、安全审计等，同时定义有关的权限和操作包括：增加客户、删除客户、浏览客户信息、查询，指派用户角色、角色权限，完成用户访问控制建模；    (5) 访问控制    当租户内部用户访问云服务提供商Cloud所提供的客户关系管理CRM服务时，登录服务界面，输入用户帐号和密码，如果用户通过云平台身份验证，则用户访问控制模型首先获取该用户所属租户信息，然后获取该用户所属角色信息，最后通过该用户角色获取其对应的权限，这时，用户就可以正常使用客户关系管理CRM服务功能。