專(zhuān)利名稱(chēng):強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格SaaS訪(fǎng)問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)軟件服務(wù)平臺(tái)SaaS (軟件即服務(wù))領(lǐng)域,具體涉及一種強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格&iaS訪(fǎng)問(wèn)控制方法����。
背景技術(shù):
隨著互聯(lián)網(wǎng)不斷的發(fā)展,網(wǎng)絡(luò)帶寬逐漸能夠滿(mǎn)足用戶(hù)的需要����,多媒體,大量文件傳送����,分布式數(shù)據(jù)庫(kù)技術(shù)的建立,特別是最近云計(jì)算技術(shù)的日趨成熟�����,給傳統(tǒng)的軟件生產(chǎn)商提出了新的挑戰(zhàn)和理念���。傳統(tǒng)的軟件生產(chǎn)商,大致分為開(kāi)發(fā)�,出售���,部署,且一般都將自己的軟件部署在特定的服務(wù)器上���。而現(xiàn)在提出的新軟件理念MaS (software as service)�,讓軟件生產(chǎn)商只租售自己的產(chǎn)品即可�,租用其軟件的客戶(hù)將軟件應(yīng)用部署到^aS云計(jì)算平臺(tái)上,這樣�����,軟件的使用者通過(guò)登錄平臺(tái)����,點(diǎn)擊需要的軟件應(yīng)用來(lái)得到服務(wù)。既然軟件不再部署在特定地方的服務(wù)器上����,并且^aS平臺(tái)最大的用戶(hù)體驗(yàn)就是個(gè)性化定制,那么����,數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)自然和傳統(tǒng)的軟件數(shù)據(jù)庫(kù)產(chǎn)生了很大差異。信息存儲(chǔ)主要分為元數(shù)據(jù)存儲(chǔ)(MetaData DB)和租戶(hù)(tenant)數(shù)據(jù)庫(kù)存儲(chǔ)�����。元數(shù)據(jù)存儲(chǔ)完成了特定的tenant到其使用的數(shù)據(jù)庫(kù)的映射,便于登錄用戶(hù)的快速訪(fǎng)問(wèn)����。Tenant 數(shù)據(jù)庫(kù)存儲(chǔ)的就是對(duì)應(yīng)的業(yè)務(wù)對(duì)象,如產(chǎn)品信息����、客戶(hù)信息等。由以上簡(jiǎn)介可知�,MaS平臺(tái)下尋找一個(gè)合適的安全訪(fǎng)問(wèn)控制機(jī)制是必須的,主要是防止不同tenant的用戶(hù)在尋找對(duì)應(yīng)的數(shù)據(jù)庫(kù)時(shí)不互相干擾����,防止非法用戶(hù)隨意進(jìn)入未被授權(quán)的tenant服務(wù)中,同時(shí)還包括對(duì)每個(gè)tenant數(shù)據(jù)庫(kù)的安全訪(fǎng)問(wèn)控制機(jī)制����。從計(jì)算機(jī)和互聯(lián)網(wǎng)產(chǎn)生以來(lái),訪(fǎng)問(wèn)控制技術(shù)就是數(shù)據(jù)庫(kù)安全所依賴(lài)的策略�。目前, 隨著云計(jì)算的發(fā)展�,軟件市場(chǎng)將發(fā)生很大的變化��,傳統(tǒng)的固定部署軟件將轉(zhuǎn)變成出租軟件, 發(fā)布于支持MaS的平臺(tái)上����,如此以來(lái),“軟件超市”這一模式隨機(jī)產(chǎn)生�����。于是�,以往傳統(tǒng)的數(shù)據(jù)庫(kù)安全訪(fǎng)問(wèn)策略必須作出相應(yīng)的調(diào)整,用于應(yīng)付“軟件超市”所具有的復(fù)雜特點(diǎn)�����。
發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)的上述缺點(diǎn)���,本發(fā)明提供了一種強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格^aS訪(fǎng)問(wèn)控制方法���,利用部署在LDARP目錄服務(wù)器上的元數(shù)據(jù)網(wǎng)絡(luò)柵格來(lái)實(shí)現(xiàn)特定用戶(hù)到特定 tenant的入口認(rèn)證,然后單個(gè)tenant利用個(gè)性化定制服務(wù)來(lái)完成本數(shù)據(jù)庫(kù)的安全訪(fǎng)問(wèn)策略�����;并且,當(dāng)多個(gè)tenant產(chǎn)生共享資源時(shí)����,將信息反饋于元數(shù)據(jù)網(wǎng)絡(luò)柵格,元數(shù)據(jù)網(wǎng)絡(luò)柵格完成共享資源柵格的新拼裝����。然后,對(duì)于非法用戶(hù)采用柵格屏蔽的方法阻斷其訪(fǎng)問(wèn)��,對(duì)于tenant的有效期運(yùn)行采用柵格撤銷(xiāo)和柵格標(biāo)示的方式完成維護(hù)�����。本發(fā)明主要用于基于 SaaS互聯(lián)軟件服務(wù)平臺(tái)的安全訪(fǎng)問(wèn)控制�����,具有高效率�����,低耦合的特點(diǎn)���,為整個(gè)^aS平臺(tái)提供安全保障�����。本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是一種強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格Mas訪(fǎng)問(wèn)控制方法����,包括如下步驟第一步����、元數(shù)據(jù)庫(kù)維護(hù)一張?zhí)摂M網(wǎng)絡(luò)柵格,用于標(biāo)識(shí)租戶(hù)和用戶(hù)的信息���;第二步�����、當(dāng)一個(gè)租戶(hù)完成了在MaS平臺(tái)的許可的時(shí)候��,元數(shù)據(jù)庫(kù)對(duì)此租戶(hù)的虛擬網(wǎng)絡(luò)柵格進(jìn)行初始化�;第三步���、當(dāng)用戶(hù)訪(fǎng)問(wèn)^aS平臺(tái)��,尋找對(duì)應(yīng)的服務(wù)的時(shí)候��,網(wǎng)絡(luò)柵格對(duì)用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制����;第四步、用戶(hù)通過(guò)元數(shù)據(jù)庫(kù)的許可之后��,對(duì)每個(gè)租戶(hù)的數(shù)據(jù)庫(kù)進(jìn)行訪(fǎng)問(wèn)的時(shí)候����,采用主流的訪(fǎng)問(wèn)控制策略進(jìn)行監(jiān)管;第五步�����、當(dāng)用戶(hù)訪(fǎng)問(wèn)共享數(shù)據(jù)資源的時(shí)候�����,直接啟動(dòng)網(wǎng)絡(luò)柵格上標(biāo)識(shí)共享數(shù)據(jù)資源的入口進(jìn)入共享資源數(shù)據(jù)庫(kù)�。所述虛擬網(wǎng)絡(luò)柵格采用二維平面網(wǎng)格的形式,用四個(gè)象限的數(shù)字做記錄���,具體過(guò)程為第一租戶(hù)tenmrtA對(duì)應(yīng)的標(biāo)識(shí)GridT. A在二維平面的第一象限上�����,其中一個(gè)頂點(diǎn)為原點(diǎn)�����,邊長(zhǎng)為單位1����,標(biāo)識(shí)數(shù)字為(0. 5,0. 5)����;第二租戶(hù)tenantB對(duì)應(yīng)的標(biāo)識(shí)GridT. B向X軸正方向擴(kuò)展,邊長(zhǎng)亦為單位1����,標(biāo)識(shí)數(shù)字為(1. 5,0.幻,依次類(lèi)推��。第二步所述的初始化包括兩個(gè)階段��,第一階段是對(duì)租戶(hù)的一級(jí)柵格初始化���,用 GridT標(biāo)識(shí)租戶(hù)數(shù)據(jù)庫(kù)所對(duì)應(yīng)的網(wǎng)絡(luò)柵格��,且租戶(hù)頒發(fā)第一標(biāo)識(shí)符和第二標(biāo)識(shí)符給用戶(hù)�����; 第二階段是對(duì)用戶(hù)的次級(jí)柵格初始化�����。第三步所述訪(fǎng)問(wèn)控制過(guò)程為首先���,元數(shù)據(jù)庫(kù)從用戶(hù)登錄信息里取得第一標(biāo)識(shí)符�����, 如果信息正確�,那么相應(yīng)的租戶(hù)數(shù)據(jù)庫(kù)所對(duì)應(yīng)的網(wǎng)絡(luò)柵格狀態(tài)轉(zhuǎn)化為開(kāi)啟���,允許用戶(hù)訪(fǎng)問(wèn)該租戶(hù)數(shù)據(jù)庫(kù)入口 ����;然后��,網(wǎng)絡(luò)柵格利用次級(jí)柵格進(jìn)行下一步的比對(duì)����,如果第二標(biāo)識(shí)符正確�����,那么次級(jí)柵格為用戶(hù)開(kāi)啟�����,用戶(hù)開(kāi)始訪(fǎng)問(wèn)該租戶(hù)的數(shù)據(jù)庫(kù)����。所述主流的訪(fǎng)問(wèn)控制策略包括自主訪(fǎng)問(wèn)控制���、強(qiáng)制訪(fǎng)問(wèn)控制和基于角色訪(fǎng)問(wèn)控制。元數(shù)據(jù)庫(kù)采用GridT. sign, (a, b)來(lái)標(biāo)識(shí)共享數(shù)據(jù)資源的入口���,如果用戶(hù)信息中同時(shí)帶有MarkUser. A和MarkUser. B�����,那么GridT. sign, (a, b)為用戶(hù)打開(kāi)�����,用戶(hù)可以直接訪(fǎng)問(wèn)共享數(shù)據(jù)庫(kù)DataSpace (A�,B)。與現(xiàn)有技術(shù)相比�����,本發(fā)明的積極效果是通過(guò)元數(shù)據(jù)服務(wù)器+Tenant數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)結(jié)構(gòu)��,讓每個(gè)termat的用戶(hù)可以很快找到自己對(duì)應(yīng)的數(shù)據(jù)資源��,由此����,在元數(shù)據(jù)服務(wù)器上設(shè)定虛擬網(wǎng)絡(luò)柵格,便于控制眾多用戶(hù)對(duì)tenant數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)�����;具有強(qiáng)擴(kuò)展性的同時(shí)也滿(mǎn)足對(duì)共享資源的控制���,并且使用時(shí)限長(zhǎng)����,維護(hù)簡(jiǎn)單��。本發(fā)明在低占用網(wǎng)絡(luò)及硬件資源、低維護(hù)量的情況下完成了針對(duì)MaS平臺(tái)下元數(shù)據(jù)以及tenant數(shù)據(jù)庫(kù)的安全訪(fǎng)問(wèn)控制���,可部署于目前網(wǎng)絡(luò)上的MaS平臺(tái)上�,成為新軟件商業(yè)趨勢(shì)下的安全訪(fǎng)問(wèn)控制模式����。
本發(fā)明將通過(guò)例子并參照附圖的方式說(shuō)明,其中圖1為元數(shù)據(jù)網(wǎng)絡(luò)柵格結(jié)構(gòu)示意圖���;圖2為tenant級(jí)柵格和次級(jí)柵格結(jié)構(gòu)示意圖���;圖3為共享數(shù)據(jù)擴(kuò)展柵格結(jié)構(gòu)示意圖。
具體實(shí)施例方式一種強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格MaS訪(fǎng)問(wèn)控制方法�,包括如下步驟第一步、元數(shù)據(jù)庫(kù)維護(hù)一張?zhí)摂M網(wǎng)絡(luò)柵格�,用于標(biāo)識(shí)tenant的信息���,以及用戶(hù) (user)的信息在存儲(chǔ)元數(shù)據(jù)的LDARP服務(wù)器中�,維持一張?zhí)摂M的網(wǎng)絡(luò)柵格圖形陣列�����,用數(shù)字矩陣來(lái)表示����。每一個(gè)柵格代表一個(gè)租戶(hù)(tenant)數(shù)據(jù)庫(kù)的唯一信息����,可以看做是tenant的一個(gè)虛擬入口���,表示為GridT�,對(duì)于每一個(gè)GridT中�,又可以用柵格的形式標(biāo)識(shí)出屬于此 tenant的用戶(hù)(user)的次級(jí)柵格,表示為=GridUser���,具體結(jié)構(gòu)如圖1所示���。元數(shù)據(jù)庫(kù)里維護(hù)的虛擬網(wǎng)絡(luò)柵格,采用二維平面網(wǎng)格的形式�����,用四個(gè)象限的數(shù)字做記錄����。具體過(guò)程為第一個(gè)termatA對(duì)應(yīng)的GridT. A在二維平面的第一象限上,其中一個(gè)頂點(diǎn)為原點(diǎn),邊長(zhǎng)為單位1����,標(biāo)識(shí)數(shù)字為(0.5,0.5)�,即正方形中心點(diǎn)坐標(biāo)。第二個(gè)tenantB 對(duì)應(yīng)的GridT. B向X軸正方向擴(kuò)展��,邊長(zhǎng)仍然為單位1��,標(biāo)識(shí)數(shù)字為(1.5�����,0. 5)�����,依次類(lèi)推�。 如此的設(shè)計(jì),可以讓網(wǎng)絡(luò)柵格在計(jì)算機(jī)內(nèi)存中得到存儲(chǔ)�����,并且可以定位����。另外,如此的設(shè)計(jì)具有擴(kuò)展性強(qiáng)�����,用以滿(mǎn)足^aS軟件超市的發(fā)展��。第二步�、當(dāng)一個(gè)tenant完成了在&iaS平臺(tái)的許可的時(shí)候,元數(shù)據(jù)庫(kù)對(duì)此tenant 的虛擬網(wǎng)絡(luò)柵格進(jìn)行初始化網(wǎng)絡(luò)柵格初始化包括兩個(gè)階段���,第一階段是對(duì)tenant的一級(jí)柵格初始化���,第二階段是對(duì)user的柵格初始化。其中在第一階段���,對(duì)于租戶(hù)tenantA�,當(dāng)他在MaS平臺(tái)上獲得使用權(quán)限的時(shí)候����,元數(shù)據(jù)服務(wù)器上,虛擬網(wǎng)絡(luò)柵格中����,就用一塊空閑柵格�����,給予標(biāo)識(shí)GridT. A�����。當(dāng)用戶(hù)User, no. a已經(jīng)取得了登錄MaS平臺(tái)的權(quán)力����,并且隸屬于tenantA之后�����,會(huì)去選擇自己希望得到的軟件服務(wù)����,這個(gè)時(shí)候,用戶(hù)User. no. a會(huì)得到tenantA頒發(fā)的兩個(gè)標(biāo)識(shí)符第一標(biāo)識(shí)符 MarkUser. A 和第二標(biāo)識(shí)符 NoteUser. a��。在第二階段�,GridT. A為用戶(hù)建立次級(jí)柵格,標(biāo)識(shí)為SubGrid. User, a�����,在GridT. A 的次級(jí)柵格中�����,用一空閑柵格標(biāo)識(shí)用戶(hù)User. no. a���。此標(biāo)識(shí)符的作用就是保證此user是隸屬于tenantA的����。按照如此步驟�,對(duì)虛擬網(wǎng)絡(luò)柵格的每一個(gè)租戶(hù)Tenant建立一塊柵格,每一個(gè)柵格再建立次級(jí)柵格����,一張很大的蜂窩狀柵格將建立在元數(shù)據(jù)服務(wù)器里,如圖2所示�����。第三步����、用戶(hù)user訪(fǎng)問(wèn)MaS平臺(tái)�����,尋找對(duì)應(yīng)的tenant提供的服務(wù)的時(shí)候����,網(wǎng)絡(luò)柵格對(duì)用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制當(dāng)用戶(hù)登錄MaS平臺(tái)之后����,訪(fǎng)問(wèn)元數(shù)據(jù)服務(wù)器,元數(shù)據(jù)服務(wù)器調(diào)出網(wǎng)絡(luò)柵格數(shù)據(jù)����,用來(lái)和用戶(hù)信息進(jìn)行比對(duì)。元數(shù)據(jù)服務(wù)器維護(hù)網(wǎng)絡(luò)柵格的時(shí)候�,將網(wǎng)絡(luò)柵格定位三種狀態(tài)未打開(kāi) (unopened),已開(kāi)啟(open),禁止通過(guò)(ban)。元數(shù)據(jù)庫(kù)用已經(jīng)建立的虛擬網(wǎng)絡(luò)柵格對(duì)用戶(hù)的訪(fǎng)問(wèn)進(jìn)行控制���。首先����,元數(shù)據(jù)庫(kù)從用戶(hù)登錄信息里取得第一標(biāo)識(shí)符MarkUser. A���,如果信息正確���,那么GridT. A狀態(tài)從 unopened轉(zhuǎn)化為open轉(zhuǎn)化為開(kāi)啟���,允許用戶(hù)訪(fǎng)問(wèn)TenantA的數(shù)據(jù)庫(kù)入口 �;如果用戶(hù)的登錄信息中為=MarkUser. B,那么將為其開(kāi)啟的將為GridT. B�����。如此的策略就防止了諸多tenant 之間用戶(hù)的交叉非法訪(fǎng)問(wèn)�����。然后���,網(wǎng)絡(luò)柵格利用次級(jí)柵格進(jìn)行下一步的比對(duì)����,如果第二標(biāo)識(shí)符Noteher. a (用戶(hù)信息)正確�����,那么次級(jí)柵格SubGrid. User, a為用戶(hù)開(kāi)啟�,用戶(hù)開(kāi)始訪(fǎng)問(wèn)TenantA的數(shù)據(jù)庫(kù)�����。其次����,無(wú)論是元數(shù)據(jù)級(jí)的安全控制���,還是tenant級(jí)的安全控制����,當(dāng)出現(xiàn)非法用戶(hù)時(shí)���,柵格就會(huì)標(biāo)識(shí)成禁止(ban)狀態(tài)����,這樣�,相關(guān)程序檢查到柵格的狀態(tài)后,會(huì)調(diào)動(dòng)數(shù)據(jù)庫(kù)入口的關(guān)閉�,防止非法用戶(hù)的訪(fǎng)問(wèn)。當(dāng)某個(gè)tenant不在此^aS平臺(tái)上駐留時(shí)���,其對(duì)應(yīng)的柵格GridT也將撤銷(xiāo)�����,回到未初始化狀態(tài)�,以便用于其他新增的tenant。第四步�、用戶(hù)通過(guò)元數(shù)據(jù)庫(kù)的許可之后,對(duì)每個(gè)tenant的數(shù)據(jù)庫(kù)進(jìn)行訪(fǎng)問(wèn)的時(shí)候�,采用主流的訪(fǎng)問(wèn)控制策略進(jìn)行監(jiān)管首先�����,我們從MaS的特點(diǎn)����,可以將這個(gè)平臺(tái)理解為軟件超市。那么����,軟件的類(lèi)別, 應(yīng)用范圍都會(huì)存在極大差異���。我們關(guān)注的是不同的應(yīng)用軟件對(duì)于數(shù)據(jù)安全的要求級(jí)別��。比如��,娛樂(lè)用的軟件需要的數(shù)據(jù)庫(kù)安全等級(jí)相較財(cái)務(wù)處理類(lèi)軟件的要求�,就低得多。如果我們對(duì)每一個(gè)tenant都采用同樣的數(shù)據(jù)安全等級(jí)�,那么整個(gè)系統(tǒng)的開(kāi)銷(xiāo)將會(huì)非常龐大。因此����,在管理每一個(gè)tenant的數(shù)據(jù)庫(kù)的時(shí)候,我們可以采用以下三種靈活的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)機(jī)制來(lái)實(shí)現(xiàn)訪(fǎng)問(wèn)控制自主訪(fǎng)問(wèn)控制(Discretionnary Access Control)此種訪(fǎng)問(wèn)控制是基于用戶(hù)身份——工作組的對(duì)應(yīng)關(guān)系來(lái)完成的手段�,安全級(jí)別較低。強(qiáng)制訪(fǎng)問(wèn)控制(Mandatory Access Control)此種訪(fǎng)問(wèn)控制對(duì)每一個(gè)訪(fǎng)問(wèn)主體和客體都要分級(jí)�����,指定信任級(jí)別��,然后采用“向上寫(xiě)入規(guī)則”�,“向下讀取規(guī)則”來(lái)完成。安全級(jí)別較高��,但是不夠靈活�。基于角色訪(fǎng)問(wèn)控制(Role-Based Access Control)此種訪(fǎng)問(wèn)控制對(duì)每一個(gè)用戶(hù)給予用戶(hù)ID���,系統(tǒng)設(shè)置幾種“角色”�,對(duì)數(shù)據(jù)的操作權(quán)限是根據(jù)角色來(lái)劃分的。用戶(hù)被分配的�,就是“角色”,這樣����,用戶(hù)的訪(fǎng)問(wèn)控制權(quán)限就被設(shè)定了。第五步��、當(dāng)用戶(hù)訪(fǎng)問(wèn)共享數(shù)據(jù)資源的時(shí)候����,直接啟動(dòng)網(wǎng)絡(luò)柵格上標(biāo)識(shí)共享數(shù)據(jù)資源的入口進(jìn)入共享資源數(shù)據(jù)庫(kù)元數(shù)據(jù)庫(kù)為T(mén)enant之間的共享數(shù)據(jù)資源建立特殊的標(biāo)識(shí)柵格GridT. sign, (a, b)���,如果用戶(hù)信息中同時(shí)帶有MarkUser. A����,MarkUser. B�,那么GridT. sign. (a,b)為用戶(hù)打開(kāi),用戶(hù)可以直接訪(fǎng)問(wèn)共享數(shù)據(jù)庫(kù)DataSpaCe(A�����,B) 了。從網(wǎng)絡(luò)柵格的描述中�����,我們可以知道�,元數(shù)據(jù)服務(wù)器中虛擬柵格圖表完成了對(duì)于每一個(gè)tenant的嚴(yán)格入口控制。但是��,我們從MaS的技術(shù)背景中可以看出���,完全可能存在一種情況tenantA和tenantB共享某些資源��,那么為了數(shù)據(jù)庫(kù)設(shè)計(jì)的節(jié)儉性�����,維持一些共享數(shù)據(jù)庫(kù)是必須的�。那么為了便于用戶(hù)操作���,不必讓用戶(hù)進(jìn)入termatA的數(shù)據(jù)庫(kù)之后�,發(fā)現(xiàn)了共享資源�����,然后再退出tenantA的數(shù)據(jù)庫(kù),進(jìn)入共享數(shù)據(jù)庫(kù)����。這個(gè)流程太過(guò)于繁瑣,不便于管理�,也浪費(fèi)資源。于是�����,我們就需要用到擴(kuò)展網(wǎng)絡(luò)柵格的設(shè)計(jì)模式�����。具體結(jié)構(gòu)如圖3所示GridT.A 具有標(biāo)示符sign, a, GridT. B具有標(biāo)示符sign, b����,當(dāng)tenantA和tenantB擁有共享資源時(shí)����, 共享資源當(dāng)然存儲(chǔ)在共享數(shù)據(jù)庫(kù)tenant (A,B)里���,而共享數(shù)據(jù)庫(kù)里給這一塊共享資源開(kāi)辟的空間為=DataSpace (A��,B)����,然后在虛擬網(wǎng)絡(luò)柵格上利用未標(biāo)識(shí)柵格來(lái)標(biāo)識(shí)DataSpace (A, B)的入口�����,標(biāo)識(shí)為:sign. (a�,b)。在&iaS平臺(tái)上����,用戶(hù)登錄之后,若將要使用的服務(wù)涉及到tenantA和tenantB 的共享數(shù)據(jù)資源�����,元數(shù)據(jù)服務(wù)器上維護(hù)的虛擬網(wǎng)絡(luò)柵格上�,就會(huì)將用戶(hù)信息和tenantA和tenantB的柵格標(biāo)識(shí)進(jìn)行比較,如果符合�,那么用戶(hù)直接跳轉(zhuǎn)到柵格sign, (a, b),然后訪(fǎng)問(wèn) DataSpace (A�����,B)。
權(quán)利要求
1.一種強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格MaS訪(fǎng)問(wèn)控制方法����,其特征在于包括如下步驟第一步、元數(shù)據(jù)庫(kù)維護(hù)一張?zhí)摂M網(wǎng)絡(luò)柵格����,用于標(biāo)識(shí)租戶(hù)和用戶(hù)的信息;第二步��、當(dāng)一個(gè)租戶(hù)完成了在^aS平臺(tái)的許可的時(shí)候����,元數(shù)據(jù)庫(kù)對(duì)此租戶(hù)的虛擬網(wǎng)絡(luò)柵格進(jìn)行初始化;第三步�����、當(dāng)用戶(hù)訪(fǎng)問(wèn)^aS平臺(tái)�,尋找對(duì)應(yīng)的租戶(hù)提供的服務(wù)的時(shí)候,網(wǎng)絡(luò)柵格對(duì)用戶(hù)進(jìn)行訪(fǎng)問(wèn)控制����;第四步�����、用戶(hù)通過(guò)元數(shù)據(jù)庫(kù)的許可之后,對(duì)每個(gè)租戶(hù)的數(shù)據(jù)庫(kù)進(jìn)行訪(fǎng)問(wèn)的時(shí)候�,采用主流的訪(fǎng)問(wèn)控制策略進(jìn)行監(jiān)管;第五步�����、當(dāng)用戶(hù)訪(fǎng)問(wèn)共享數(shù)據(jù)資源的時(shí)候��,直接啟動(dòng)網(wǎng)絡(luò)柵格上標(biāo)識(shí)共享數(shù)據(jù)資源的入口進(jìn)入共享資源數(shù)據(jù)庫(kù)����。
2.根據(jù)權(quán)利要求1所述的強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格^aS訪(fǎng)問(wèn)控制方法,其特征在于所述虛擬網(wǎng)絡(luò)柵格采用二維平面網(wǎng)格的形式�����,用四個(gè)象限的數(shù)字做記錄���,具體過(guò)程為第一租戶(hù) termatA對(duì)應(yīng)的標(biāo)識(shí)GridT. A在二維平面的第一象限上�,其中一個(gè)頂點(diǎn)為原點(diǎn)�,邊長(zhǎng)為單位 1,標(biāo)識(shí)數(shù)字為(0. 5,0. 5)����;第二租戶(hù)tenantB對(duì)應(yīng)的標(biāo)識(shí)GridT. B向X軸正方向擴(kuò)展����,邊長(zhǎng)亦為單位1���,標(biāo)識(shí)數(shù)字為(1.5�,0.5)�,依次類(lèi)推。
3.根據(jù)權(quán)利要求1所述的強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格^aS訪(fǎng)問(wèn)控制方法��,其特征在于第二步所述的初始化包括兩個(gè)階段�����,第一階段是對(duì)租戶(hù)的一級(jí)柵格初始化�����,用GridT標(biāo)識(shí)租戶(hù)數(shù)據(jù)庫(kù)所對(duì)應(yīng)的網(wǎng)絡(luò)柵格�����,且租戶(hù)頒發(fā)第一標(biāo)識(shí)符和第二標(biāo)識(shí)符給用戶(hù);第二階段是對(duì)用戶(hù)的次級(jí)柵格初始化��。
4.根據(jù)權(quán)利要求1所述的強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格^aS訪(fǎng)問(wèn)控制方法�,其特征在于第三步所述訪(fǎng)問(wèn)控制過(guò)程為首先�����,元數(shù)據(jù)庫(kù)從用戶(hù)登錄信息里取得第一標(biāo)識(shí)符�,如果信息正確, 那么相應(yīng)的租戶(hù)數(shù)據(jù)庫(kù)所對(duì)應(yīng)的網(wǎng)絡(luò)柵格狀態(tài)轉(zhuǎn)化為開(kāi)啟�,允許用戶(hù)訪(fǎng)問(wèn)該租戶(hù)數(shù)據(jù)庫(kù)入口 ;然后�,網(wǎng)絡(luò)柵格利用次級(jí)柵格進(jìn)行下一步的比對(duì),如果第二標(biāo)識(shí)符正確����,那么次級(jí)柵格為用戶(hù)開(kāi)啟,用戶(hù)開(kāi)始訪(fǎng)問(wèn)該租戶(hù)的數(shù)據(jù)庫(kù)���;其次�����,無(wú)論是元數(shù)據(jù)級(jí)的安全控制��,還是且戶(hù)級(jí)的安全控制����,當(dāng)出現(xiàn)非法用戶(hù)時(shí),柵格就會(huì)標(biāo)識(shí)成禁止?fàn)顟B(tài)�����,這樣�,相關(guān)程序檢查到柵格的狀態(tài)后,會(huì)調(diào)動(dòng)數(shù)據(jù)庫(kù)入口的關(guān)閉�����,防止非法用戶(hù)的訪(fǎng)問(wèn)����;當(dāng)某個(gè)租戶(hù)不在此^aS平臺(tái)上駐留時(shí),其對(duì)應(yīng)的柵格也將撤銷(xiāo)��,回到未初始化狀態(tài)���,以便用于其他新增的租戶(hù)��。
5.根據(jù)權(quán)利要求1所述的強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格^aS訪(fǎng)問(wèn)控制方法����,其特征在于所述主流的訪(fǎng)問(wèn)控制策略包括自主訪(fǎng)問(wèn)控制、強(qiáng)制訪(fǎng)問(wèn)控制和基于角色訪(fǎng)問(wèn)控制�。
6.根據(jù)權(quán)利要求1所述的強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格^aS訪(fǎng)問(wèn)控制方法,其特征在于元數(shù)據(jù)庫(kù)采用GridT. sign, (a, b)來(lái)標(biāo)識(shí)共享數(shù)據(jù)資源的入口�,如果用戶(hù)信息中同時(shí)帶有 MarkUser. A和MarkUser. B����,那么GridT. sign. (a,b)為用戶(hù)打開(kāi)�����,用戶(hù)可以直接訪(fǎng)問(wèn)共享數(shù)據(jù)庫(kù) DataSpace (A, B)�����。
全文摘要
本發(fā)明公開(kāi)了一種強(qiáng)擴(kuò)展式網(wǎng)絡(luò)柵格SaaS訪(fǎng)問(wèn)控制方法�����,利用部署在LDARP目錄服務(wù)器上的元數(shù)據(jù)網(wǎng)絡(luò)柵格來(lái)實(shí)現(xiàn)特定用戶(hù)到特定tenant的入口認(rèn)證�,然后單個(gè)tenant利用個(gè)性化定制服務(wù)來(lái)完成本數(shù)據(jù)庫(kù)的安全訪(fǎng)問(wèn)策略;并且�,當(dāng)多個(gè)tenant產(chǎn)生共享資源時(shí),將信息反饋于元數(shù)據(jù)網(wǎng)絡(luò)柵格,元數(shù)據(jù)網(wǎng)絡(luò)柵格完成共享資源柵格的新拼裝�����。然后��,對(duì)于非法用戶(hù)采用柵格屏蔽的方法阻斷其訪(fǎng)問(wèn)���,對(duì)于tenant的有效期運(yùn)行采用柵格撤銷(xiāo)和柵格標(biāo)示的方式完成維護(hù)�。本發(fā)明主要用于基于SaaS互聯(lián)軟件服務(wù)平臺(tái)的安全訪(fǎng)問(wèn)控制����,具有高效率,低耦合的特點(diǎn)�����,為整個(gè)SaaS平臺(tái)提供安全保障��。
文檔編號(hào)H04L29/06GK102413135SQ20111036628
公開(kāi)日2012年4月11日 申請(qǐng)日期2011年11月17日 優(yōu)先權(quán)日2011年11月17日
發(fā)明者唐雪飛, 郭一錡, 陳科 申請(qǐng)人:成都康賽電子科大信息技術(shù)有限責(zé)任公司