[发明专利]基于Policy语言的云资源的权限管理方法以及装置

说明书

技术领域

本发明涉及云计算技术领域，特别涉及一种基于Policy语言的云资源的权限管理方法以及装置。

背景技术

目前，大部分互联网对外服务都需要权限系统支持。权限系统可以为服务提供服务请求者、请求服务内容、以及该请求者能否有权限使用该服务等信息。目前权限系统的实现方式非常多，基本思想都是针对自身业务，定制相关的权限系统，这种权限系统对于需要针对资源抽象的云计算环境并不适用。

因此，亚马逊AWS针对云计算环境提出了基于Policy语言的权限系统。其中，Policy语言是对服务资源进行抽象和描述权限的语言。基于Policy语言的权限系统能够提供权限管理机制，但是基于Policy语言的权限系统在管理员管理、操作组、封禁资源拥有者、授权使用门槛高、系统效率五个方面存在明显缺陷，但是这五个方面在云计算机环境中非常重要，因此已经不能满足日益增长的云计算服务需求。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。

为此，本发明的第一个目的在于提出一种基于Policy语言的云资源的权限管理方法。本方法对Policy语言进行了扩展，对管理员管理、操作组、封禁资源拥有者提供了更好的支持，降低了授权使用门槛，提升了系统效率。

本发明的第二个目的在于提出一种基于Policy语言的云资源的权限管理装置。

为达到上述目的，本发明第一方面的实施例公开了一种基于Policy语言的云资源的权限管理方法，包括以下步骤：获得云资源和所述云资源对应的元数据，其中，所述元数据包括所述云资源的所有者信息和所述云资源的创建信息；为每个云资源建立独立的Policy权限信息，其中，所述Policy权限信息包括管理员声明信息和至少一个普通声明信息，且每个所述普通声明信息根据所述云资源的所有者授权产生；接收对所述云资源的资源请求消息；根据所述资源请求消息查询所述Policy权限信息；如果所述资源请求消息与所述Policy权限信息中的管理员声明信息或普通声明信息匹配，则根据匹配的管理员声明信息或普通声明信息对所述资源请求消息进行处理。

根据本发明实施例的基于Policy语言的云资源的权限管理方法通过管理员生命信息和普通生命信息的区分，增强了管理员管理能力，通过限制访问主体对访问客体的访问权限，对资源进行抽象，更加适合在云计算环境中应用。

在本发明的一个实施例中，所述管理员声明信息和普通声明信息均包括标识信息、权限主体信息和权限信息。通过标识信息的引入降低了授权使用门槛，通过判断资源权限和资源拥有者权限提高了封禁资源拥有者的功能。

在本发明的一个实施例中，其中，如果所述资源请求消息的请求者与所述管理员声明信息或普通声明信息中的权限主体信息一致，则判断所述资源请求消息与所述Policy权限信息中的管理员声明信息或普通声明信息匹配，并根据所述匹配的管理员声明信息或普通声明信息中的权限信息对所述资源请求消息进行处理。

在本发明的一个实施例中，所述管理员声明信息和普通声明信息均还包括操作信息。操作信息中通过操作组的划分提供了以组为单位更方便的管理方式。

在本发明的一个实施例中，还包括：进一步判断所述资源请求消息中的操作是否与所述操作信息匹配；如果判断不匹配，则拒绝所述资源请求消息。

在本发明的一个实施例中，所述管理员声明信息和普通声明信息均还包括资源级信息，其中，所述资源级信息表示所述管理员声明信息和普通声明信息所对应的资源。通过资源级信息提升了系统效率。

在本发明的一个实施例中，所述管理员声明信息和普通声明信息均还包括限制条件信息。

在本发明的一个实施例中，还包括：进一步判断所述资源请求消息中的条件是否与所述限制条件信息匹配；如果判断不匹配，则拒绝所述资源请求消息。

本发明第二方面的实施例公开了一种基于Policy语言的云资源的权限管理装置，包括：建立模块，用于获得云资源和所述云资源对应的元数据，其中，所述元数据包括所述云资源的所有者信息和所述云资源的创建信息，并为每个云资源建立独立的Policy权限信息，其中，所述Policy权限信息包括管理员声明信息和至少一个普通声明信息，且每个所述普通声明信息根据所述云资源的所有者授权产生；接收模块，用于接收对所述云资源的资源请求消息；查询模块，用于根据所述资源请求消息查询所述Policy权限信息；控制模块，用于在所述资源请求消息与所述Policy权限信息中的管理员声明信息或普通声明信息匹配时，根据匹配的管理员声明信息或普通声明信息对所述资源请求消息进行处理。