一种云安全访问控制模型
专利汇可以提供一种云安全访问控制模型专利检索,专利查询,专利分析的服务。并且一种 云 安全 访问 控 制模 型,结合基于 角 色的访问控制模型RBAC,针对云计算的多租户架构特点,将租户和云服务提供商概念引入访问控制模型中,通过模型元素的定义和模型函数的形式化描述,构成统一的租户访问控制模型和用户访问控制模型。该云安全访问控制模型适应云计算多租户的特点,提高了云计算环境中用户权限管理的灵活性,能减少授权管理的复杂性,降低管理开销,并能有效保障云计算环境中的用户数据的安全性和完整性。,下面是一种云安全访问控制模型专利的具体信息内容。
1.一种云安全访问控制模型,其特征在于:结合基于角色的访问控制模型RBAC,针对云计算的多租户架构特点,将租户和云服务提供商概念引入访问控制模型中,通过模型元素的定义和模型函数的形式化描述,构成统一的租户访问控制模型和云安全用户访问控制模型,其中:
所述的云安全访问控制模型包括两部分:
(1) 租户访问控制:云服务提供商CSP对使用云服务的企业或机构租户进行访问控制,管理和控制租户所要求的服务功能,审核并签发租户的云服务许可证、制定租户管理策略、并通过服务计费向租户收取相应的服务费用;
(2) 用户访问控制:企业租户管理人员对使用云服务的企业内用户进行访问控制,管理和控制租户用户所要求的服务功能,制定业务角色、分派权限并管理用户、用户角色分配、角色权限分配;
所述的云安全用户访问控制模型定义如下模型元素:
(1) 云服务提供商CSP:云服务提供商CSP负责云服务的日常维护和管理,包括审核并签发租户的云服务许可证,管理租户状态、租户日志、租户费用、租户权限等,记作CSPs={csp1,csp2,...,cspn},云服务提供商CSP不能对租户的具体业务进行管理,如果租户数量过大,还要对云服务提供商CSP的云服务管理人员划分角色,或按地域划分,或根据业务进行划分;
(2) 租户:云服务的使用企业,各租户用户只能在租户许可的范围内使用云服务,记作Tenants={t1,t2,...,tn},表示所有租户的集合,在云平台中,各租户之间信息是独立的,租户信息包括租户名称、地址及租户企业的相关信息,主要用来区别各租户,并由云服务提供商CSP对租户帐号状态进行管理,各租户根据需要自行选择云平台服务功能并以此付费;
(3) 用户:独立访问云平台所提供服务的主体,记作Users={u1,u2,...,un},表示所有用户的集合,用户根据租户管理员分配的权限以及自己的角色访问云服务,进行相关的业务处理,各租户用户只能访问该租户选择的云平台的服务功能;
(4) 角色:指一个组织或任务中的工作或岗位,记作Roles={r1,r2,...,rn},表示所有角色的集合,用户拥有自己所属角色的权限的并集,在云安全访问控制模型中,角色包括平台管理类角色和租户自定义角色,根据业务功能,由租户管理员进行租户自定义角色的划分,并对相应的角色进行权限分配;
(5) 服务:云服务提供商CSP所提供的服务,记作Services={s1,s2,...,sn},表示所有服务的集合;
(6) 操作:对服务所能执行的操作,包括:虚拟机启动、迁移、终止、删除,具体的业务操作,业务操作包括:查看、增加、打印业务数据、统计报表,记作Operations={Op1,Op2,...,Opn},表示所有操作的集合;
(7) 访问权限:表示允许对服务进行的各项操作,记作Auths={a1,a2,...,an},表示所有访问权限的集合;
具体实施步骤如下:
(1) 租户访问控制建模
云服务提供商Cloud对外提供客户关系管理CRM服务,根据其业务需求,根据业务功能,定义云服务管理人员的角色,包括职能、岗位、权限,并根据其安全要求,给每个云服务管理人员分派对应的角色,负责对一定数量的租户进行管理和维护,从而完成与服务提供商Cloud内部访问控制建模;
(2) 注册
企业租户计划使用云服务提供商Cloud所提供的客户关系管理CRM服务;首先企业租户通过注册流程,向云服务提供商Cloud提出申请,登记租户信息,包括企业名称、地址、联系电话、所在省市的企业基本信息;接着提供租户管理员信息,选择客户关系管理CRM服务的具体服务功能模块,包括:客户管理、联系人管理、时间管理、潜在客户管理、销售管理、电话销售、营销管理、电话营销、客户服务、呼叫中心、合作伙伴关系管理、商业智能、知识管理、电子商务;
(3) 审核签发
在租户访问控制模型控制下,云服务提供商Cloud的云服务管理人员审核企业租户的信息,通过后签发租户的云服务许可证,指定租户所申请的客户关系管理CRM服务的服务功能模块,并授予租户管理员相应的权限;
(4) 用户访问控制建模
租户通过创建的租户管理员登录客户关系管理CRM服务,根据企业的业务需求,定义客户关系管理CRM服务的角色,包括:系统管理、安全管理、一般操作、网络管理、安全审计等,同时定义有关的权限和操作包括:增加客户、删除客户、浏览客户信息、查询,指派用户角色、角色权限,完成用户访问控制建模;
(5) 访问控制
当租户内部用户访问云服务提供商Cloud所提供的客户关系管理CRM服务时,登录服务界面,输入用户帐号和密码,如果用户通过云平台身份验证,则用户访问控制模型首先获取该用户所属租户信息,然后获取该用户所属角色信息,最后通过该用户角色获取其对应的权限,这时,用户就可以正常使用客户关系管理CRM服务功能。
2.根据权利要求1所述的一种云安全访问控制模型,其特征在于:所述的云安全访问控制模型定义如下模型函数,表示模型元素之间的关系:
(1) 租户用户创建:租户集Tenants和用户集Users之间的一个二元关系,TU ∈ Tenants * Users,租户和用户之间是一对多关系,一个租户可以有多个用户,一个用户只能属于某一个租户,用户只能访问所属租户下的相应权限,不能超越跨租户访问云服务;
(2) 租户角色创建:租户集Tenants 和角色集Roles 之间的一个二元关系,TR ∈ Tenants * Roles,在此云安全访问控制模型中,为保证各租户自定义的角色不发生冲突,租户和角色之间是一对多关系,即一个租户可以设置多个角色,一个角色只能属于一个租户,在云平台中,允许每个租户自己定义角色以方便权限管理,为避免各租户角色定义混乱,租户角色只在所属租户范围内有效;
(3) 用户角色分配:角色集Roles 和用户集Users 之间的二元关系,UR ∈ Users * Roles,在云平台中,用户和角色之间是多对多关系,用户只能拥有所属租户的权限,该租户的权限也只能分配给此租户所有的用户;
(4) 角色权限配置:角色集Roles 和访问权限集Auths 之间的二元关系,RA ∈ Roles * Auths ∈ TA,角色和权限之间是多对多关系,一个角色可以有多种权限,每种权限可以属于多个角色,在云平台中角色只能拥有所属租户权限内的相关权限;
(5) 服务权限配置:服务集合Services和权限集合Auths之间的二元关系,SA ∈ Services * Auths,在云平台中,服务和权限之间是多对一的关系,一个服务只能有一种权限,而每种权限可以分配给多个服务;
(6) 操作权限配置:操作集合Operations和权限集合Auths之间的二元关系,OA ∈ Operations * Auths,在云平台中,操作和权限之间是多对一的关系,一个操作只能有一种权限,而每种权限可以分配给多个操作;
(7) 云服务提供商角色创建:云服务提供商集CSP和角色集Roles 之间的一个二元关系,CSP-R ∈ CSP * Roles,定义云服务提供商CSP的云服务管理人员与角色之间的关系,在此云安全访问控制模型中,只考虑某个具体云服务提供商CSP,则CSP-R是一个多对多的关系;
(8) 租户权限指派:租户集Tenants 和权限集Auths 之间的一个二元关系,TA ∈ Tenants * Auths,租户和权限之间是多对多关系,即一个租户可以拥有多个权限,一个权限也可以分配给多个租户,在云平台中,租户可以根据自己的业务选择权限并依此付费;
(9) 返回指定角色的用户集:return_users(r:Roles) = {u ∈ Users | (u,r) ∈ UR};
(10) 返回指定角色的权限集:return_auths(r:Roles) = {a ∈ Auths | (r,a) ∈ RA}。
一种云安全访问控制模型
技术领域
背景技术
发明内容
(1) 租户访问控制:云服务提供商CSP对使用云服务的企业或机构租户进行访问控制,管理和控制租户所要求的服务功能,审核并签发租户的云服务许可证、制定租户管理策略、并通过服务计费向租户收取相应的服务费用;
(2) 用户访问控制:企业租户管理人员对使用云服务的企业内用户进行访问控制,管理和控制租户用户所要求的服务功能,制定业务角色、分派权限并管理用户、用户角色分配、角色权限分配;
所述的云安全用户访问控制模型定义如下模型元素:
(1) 云服务提供商CSP:云服务提供商CSP负责云服务的日常维护和管理,包括审核并签发租户的云服务许可证,管理租户状态、租户日志、租户费用、租户权限等,记作CSPs={csp1,csp2,...,cspn},云服务提供商CSP不能对租户的具体业务进行管理,如果租户数量过大,还要对云服务提供商CSP的云服务管理人员划分角色,或按地域划分,或根据业务进行划分;
(2)租户:云服务的使用企业,各租户用户只能在租户许可的范围内使用云服务,记作Tenants={t1,t2,...,tn},表示所有租户的集合,在云平台中,各租户之间信息是独立的,租户信息包括租户名称、地址及租户企业的相关信息,主要用来区别各租户,并由云服务提供商CSP对租户帐号状态进行管理,各租户根据需要自行选择云平台服务功能并以此付费;
(3) 用户:独立访问云平台所提供服务的主体,记作Users={u1,u2,...,un},表示所有用户的集合,用户根据租户管理员分配的权限以及自己的角色访问云服务,进行相关的业务处理,各租户用户只能访问该租户选择的云平台的服务功能;
(4) 角色:指一个组织或任务中的工作或岗位,记作Roles={r1,r2,...,rn},表示所有角色的集合,用户拥有自己所属角色的权限的并集,在云安全访问控制模型中,角色包括平台管理类角色和租户自定义角色,根据业务功能,由租户管理员进行租户自定义角色的划分,并对相应的角色进行权限分配;
(5) 服务:云服务提供商CSP所提供的服务,记作Services={s1,s2,...,sn},表示所有服务的集合;
(6) 操作:对服务所能执行的操作,包括:虚拟机启动、迁移、终止、删除,具体的业务操作,业务操作包括:查看、增加、打印业务数据、统计报表,记作Operations={Op1,Op2,...,Opn},表示所有操作的集合;
(7) 访问权限:表示允许对服务进行的各项操作,记作Auths={a1,a2,...,an},表示所有访问权限的集合;
具体实施步骤如下:
(1) 租户访问控制建模
云服务提供商Cloud对外提供客户关系管理CRM服务,根据其业务需求,根据业务功能,定义云服务管理人员的角色,包括职能、岗位、权限,并根据其安全要求,给每个云服务管理人员分派对应的角色,负责对一定数量的租户进行管理和维护,从而完成与服务提供商Cloud内部访问控制建模;
(2) 注册
企业租户A计划使用云服务提供商Cloud所提供的客户关系管理CRM服务;首先企业租户A通过注册流程,向云服务提供商Cloud提出申请,登记租户信息,包括企业名称、地址、联系电话、所在省市的企业基本信息;接着提供租户管理员信息,选择客户关系管理CRM服务的具体服务功能模块,包括:客户管理、联系人管理、时间管理、潜在客户管理、销售管理、电话销售、营销管理、电话营销、客户服务、呼叫中心、合作伙伴关系管理、商业智能、知识管理、电子商务;
(3) 审核签发
在租户访问控制模型控制下,云服务提供商Cloud的云服务管理人员审核企业租户A的信息,通过后签发租户A的云服务许可证,指定租户A所申请的客户关系管理CRM服务的服务功能模块,并授予租户A管理员相应的权限;
(4) 用户访问控制建模
租户A通过创建的租户管理员登录客户关系管理CRM服务,根据企业的业务需求,定义客户关系管理CRM服务的角色,包括:系统管理、安全管理、一般操作、网络管理、安全审计等,同时定义有关的权限和操作包括:增加客户、删除客户、浏览客户信息、查询,指派用户角色、角色权限,完成用户访问控制建模;
(5) 访问控制
当租户A内部用户访问云服务提供商Cloud所提供的客户关系管理CRM服务时,登录服务界面,输入用户帐号和密码,如果用户通过云平台身份验证,则用户访问控制模型首先获取该用户所属租户信息,然后获取该用户所属角色信息,最后通过该用户角色获取其对应的权限,这时,用户就可以正常使用客户关系管理CRM服务功能。
(2) 租户角色创建:租户集Tenants 和角色集Roles 之间的一个二元关系,TR ∈ Tenants * Roles,在此云安全访问控制模型中,为保证各租户自定义的角色不发生冲突,租户和角色之间是一对多关系,即一个租户可以设置多个角色,一个角色只能属于一个租户,在云平台中,允许每个租户自己定义角色以方便权限管理,为避免各租户角色定义混乱,租户角色只在所属租户范围内有效;
(3) 用户角色分配:角色集Roles 和用户集Users 之间的二元关系,UR ∈ Users * Roles,在云平台中,用户和角色之间是多对多关系,用户只能拥有所属租户的权限,该租户的权限也只能分配给此租户所有的用户;
(4) 角色权限配置:角色集Roles 和访问权限集Auths 之间的二元关系,RA ∈ Roles * Auths ∈ TA,角色和权限之间是多对多关系,一个角色可以有多种权限,每种权限可以属于多个角色,在云平台中角色只能拥有所属租户权限内的相关权限;
(5) 服务权限配置:服务集合Services和权限集合Auths之间的二元关系,SA ∈ Services * Auths,在云平台中,服务和权限之间是多对一的关系,一个服务只能有一种权限,而每种权限可以分配给多个服务;
(6) 操作权限配置:操作集合Operations和权限集合Auths之间的二元关系,OA ∈ Operations * Auths,在云平台中,操作和权限之间是多对一的关系,一个操作只能有一种权限,而每种权限可以分配给多个操作;
(7) 云服务提供商角色创建:云服务提供商集CSP和角色集Roles 之间的一个二元关系,CSP-R ∈ CSP * Roles,定义云服务提供商CSP的云服务管理人员与角色之间的关系,在此云安全访问控制模型中,只考虑某个具体云服务提供商CSP,则CSP-R是一个多对多的关系;
(8) 租户权限指派:租户集Tenants 和权限集Auths 之间的一个二元关系,TA ∈ Tenants * Auths,租户和权限之间是多对多关系,即一个租户可以拥有多个权限,一个权限也可以分配给多个租户,在云平台中,租户可以根据自己的业务选择权限并依此付费;
(9) 返回指定角色的用户集:return_users(r:Roles) = {u ∈ Users | (u,r) ∈ UR};
(10) 返回指定角色的权限集:return_auths(r:Roles) = {a ∈ Auths | (r,a) ∈ RA}。
具体实施方式
(2) 用户访问控制(说明书附图左下方框):企业租户管理人员对使用云服务的企业内用户进行访问控制,管理和控制租户用户所要求的服务功能,制定业务角色、分派权限并管理用户、用户角色分配、角色权限分配等。
(2) 租户:云服务的使用企业,各租户用户只能在租户许可的范围内使用云服务,记作Tenants={t1,t2,...,tn},表示所有租户的集合。在云平台中,各租户之间信息是独立的。
租户信息包括租户名称、地址等租户企业的相关信息,主要用来区别各租户,并由云服务提供商CSP对租户帐号状态进行管理。各租户可根据需要自行选择云平台服务功能并以此付费;
(3) 用户:可以独立访问云平台所提供服务的主体,记作Users={u1,u2,...,un},表示所有用户的集合。用户根据租户管理员分配的权限以及自己的角色访问云服务,进行相关的业务处理。各租户用户只能访问该租户选择的云平台的服务功能;
(4) 角色:指一个组织或任务中的工作或岗位,记作Roles={r1,r2,...,rn},表示所有角色的集合。用户拥有自己所属角色的权限的并集。在云安全访问控制模型中,角色包括平台管理类角色和租户自定义角色。根据业务功能,由租户管理员进行租户自定义角色的划分,并对相应的角色进行权限分配;
(5) 服务:云服务提供商CSP所提供的服务,记作Services={s1,s2,...,sn},表示所有服务的集合;
(6) 操作:对服务所能执行的操作,例如虚拟机启动、迁移、终止、删除,具体的业务操作(查看、增加、打印业务数据、统计报表)等,记作Operations={Op1,Op2,...,Opn},表示所有操作的集合;
(7) 访问权限:表示允许对服务进行的各项操作,记作Auths={a1,a2,...,an},表示所有访问权限的集合。
(2) 租户角色创建:租户集Tenants 和角色集Roles 之间的一个二元关系,TR ∈ Tenants * Roles。在此云安全访问控制模型中,为保证各租户自定义的角色不发生冲突,租户和角色之间是一对多关系,即一个租户可以设置多个角色,一个角色只能属于一个租户。在云平台中,允许每个租户自己定义角色以方便权限管理,为避免各租户角色定义混乱,租户角色只在所属租户范围内有效;
(3) 用户角色分配:角色集Roles 和用户集Users 之间的二元关系,UR ∈ Users * Roles。在云平台中,用户和角色之间是多对多关系,用户只能拥有所属租户的权限,该租户的权限也只能分配给此租户所有的用户;
(4) 角色权限配置:角色集Roles 和访问权限集Auths 之间的二元关系,RA ∈ Roles * Auths ∈ TA。角色和权限之间是多对多关系,一个角色可以有多种权限,每种权限可以属于多个角色。在云平台中角色只能拥有所属租户权限内的相关权限;
(5) 服务权限配置:服务集合Services和权限集合Auths之间的二元关系,SA ∈ Services * Auths。在云平台中,服务和权限之间是多对一的关系,一个服务只能有一种权限,而每种权限可以分配给多个服务;
(6) 操作权限配置:操作集合Operations和权限集合Auths之间的二元关系,OA ∈ Operations * Auths。在云平台中,操作和权限之间是多对一的关系,一个操作只能有一种权限,而每种权限可以分配给多个操作;
(7) 云服务提供商角色创建:云服务提供商集CSP和角色集Roles 之间的一个二元关系,CSP-R ∈ CSP * Roles,定义云服务提供商CSP的云管理人员与角色之间的关系。在此云安全访问控制模型中,只考虑某个具体云服务提供商CSP,则CSP-R是一个多对多的关系;
(8) 租户权限指派:租户集Tenants 和权限集Auths 之间的一个二元关系,TA ∈ Tenants * Auths。租户和权限之间是多对多关系,即一个租户可以拥有多个权限,一个权限也可以分配给多个租户。在云平台中,租户可以根据自己的业务选择权限并依此付费;
(9) 返回指定角色的用户集:return_users(r:Roles) = {u ∈ Users | (u,r) ∈ UR};
(10) 返回指定角色的权限集:return_auths(r:Roles) = {a ∈ Auths | (r,a) ∈ RA}。
实施例
(2) 注册
企业租户A计划使用云服务提供商Cloud所提供的客户关系管理CRM服务。首先企业租户A通过注册流程,向云服务提供商Cloud提出申请,登记租户信息,包括企业名称、地址、联系电话、所在省市等企业基本信息;接着提供租户管理员信息(以后就可以使用此管理员创建租户内部用户及分配权限),选择客户关系管理CRM服务的具体服务功能模块,如客户管理、联系人管理、时间管理、潜在客户管理、销售管理、电话销售、营销管理、电话营销、客户服务、呼叫中心、合作伙伴关系管理、商业智能、知识管理、电子商务;
(3) 审核签发
在租户访问控制模型控制下,云服务提供商Cloud的云服务管理人员审核企业租户A的信息,通过后签发租户A的云服务许可证,指定租户A所申请的客户关系管理CRM服务的服务功能模块,并授予租户A管理员相应的权限;
(4) 用户访问控制建模
租户A通过创建的租户管理员登录客户关系管理CRM服务,根据企业的业务需求,定义客户关系管理CRM服务的角色,如系统管理、安全管理、一般操作(销售、客户管理)、网络管理、安全审计等,同时定义有关的权限(如执行客户关系管理的一般业务模块、添加系统用户等)和操作(增加客户、删除客户、浏览客户信息、查询等),指派用户角色、角色权限,完成用户访问控制建模;
(5) 访问控制
当租户A内部用户访问云服务提供商Cloud所提供的客户关系管理CRM服务时,登录服务界面,输入用户帐号和密码。如果用户通过云平台身份验证,则用户访问控制模型首先获取该用户所属租户信息,然后获取该用户所属角色信息,最后通过该用户角色获取其对应的权限。这时,用户就可以正常使用客户关系管理CRM服务功能。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种商业智能ETL的封装方法及系统 | 2020-05-17 | 835 |
| 一种双向多种角度调节一体支架 | 2020-05-17 | 234 |
| 一种基于蔬菜价格预测推荐的大数据系统 | 2020-05-16 | 173 |
| 一种物流区块链应用系统 | 2020-05-13 | 180 |
| 一种面向能源互联网的交直流混联配电网 | 2020-05-13 | 381 |
| 一种智能采砂监控装置及其监控方法 | 2020-05-11 | 641 |
| 一种智能钻井平台维护保养系统及方法 | 2020-05-19 | 808 |
| LED工业照明有线远程智能多通道调光控制方法 | 2020-05-18 | 534 |
| 一种项目管理系统及其工作方法 | 2020-05-14 | 655 |
| 一种口腔健康的智能化管理系统 | 2020-05-15 | 724 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
