專利名稱:云計算中實現(xiàn)資源管理的方法、設備及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網絡通信技術,尤其涉及一種云計算中實現(xiàn)資源管理的方法����、設備及 系統(tǒng)���。
背景技術:
云計算網絡中包括具有強大計算能力的“云”和用戶終端���,云計算的核心理念就是 通過不斷提高“云”的處理能力,進而減少用戶終端的處理負擔,最終使用戶終端簡化成一 個單純的輸入輸出設備�����,并能按需享受“云”的強大計算處理能力����。
現(xiàn)有云計算網絡中�����,云網絡可以為用戶分配安全認證證書���,用戶采用該安全認證 證書訪問云網絡����。但是���,現(xiàn)有的安全認證證書只是能夠對用戶進行安全認證���,不能實現(xiàn)分權 分域管理�����。發(fā)明內容
本發(fā)明實施例是提供一種云計算中實現(xiàn)資源管理的方法��、設備及系統(tǒng),用以實現(xiàn) 云計算中對資源的分權分域管理�。
本發(fā)明實施例提供了一種云計算中實現(xiàn)資源管理的方法��,包括
接收用戶設備發(fā)送的用于對資源進行操作的第一消息�����,所述第一消息中攜帶數字 證書及請求的操作;
根據預先記錄的數字證書與角色的對應關系以及角色與操作的對應關系����,獲取與 所述數字證書對應的操作列表;
如果所述請求的操作屬于所述操作列表�����,則允許對所述請求的操作���。
本發(fā)明實施例提供了一種云計算中實現(xiàn)資源管理的設備,包括
接收模塊��,用于接收用戶設備發(fā)送的用于對資源進行操作的第一消息�,所述第一 消息中攜帶數字證書及請求的操作;
獲取模塊�,用于根據預先記錄的數字證書與角色的對應關系以及角色與操作的對 應關系���,獲取與所述數字證書對應的操作列表�����;
執(zhí)行模塊����,用于如果所述請求的操作屬于所述操作列表,則允許對所述請求的操作����。
本發(fā)明實施例提供了一種云計算中實現(xiàn)資源管理的系統(tǒng),包括
UPF,用于接收用戶設備發(fā)送的用于注冊的第二消息�����,所述第二消息中攜帶請求的 角色��;根據預先配置的角色與數字證書的對應關系��,為所述用戶設備分配數字證書���,并記錄 數字證書與角色的對應關系;將分配的數字證書發(fā)送給所述用戶設備,以便所述用戶設備 采用所述數字證書請求操作��;
云管理設備��,用于接收用戶設備發(fā)送的用于對資源進行操作的第一消息�,所述第 一消息中攜帶數字證書及請求的操作��;根據UPF中記錄的數字證書與角色的對應關系以及 角色與操作的對應關系,獲取與所述數字證書對應的操作列表����;如果所述請求的操作屬于所述操作列表�����,則允許對所述請求的操作����。
由上述技術方案可知�����,本發(fā)明實施例通過在訪問云資源中采用數字證書,該數字 證書對應不同的角色�,不同的角色對應不同的操作���,因此��,通過該數字證書可以使得具有不 同權限或者不同區(qū)域的用戶能夠執(zhí)行的操作不同�,實現(xiàn)對用戶的分權分域管理。
為了更清楚地說明本發(fā)明實施例中的技術方案�,下面將對實施例描述中所需要使 用的附圖作一簡單地介紹�����,顯而易見地�,下面描述中的附圖是本發(fā)明的一些實施例��,對于本 領域普通技術人員來講����,在不付出創(chuàng)造性勞動性的前提下�����,還可以根據這些附圖獲得其他的附圖�����。
圖1為本發(fā)明第一實施例的方法流程示意圖2為本發(fā)明第二實施例對應的系統(tǒng)結構示意圖
圖3為本發(fā)明第二實施例對應的方法流程示意圖
圖4為本發(fā)明實施例中證書系統(tǒng)的示意圖5為本發(fā)明第三實施例的方法流程示意圖6為本發(fā)明第四實施例的方法流程示意圖7為本發(fā)明第五實施例的方法流程示意圖8為本發(fā)明實施例中應用場景的示意圖9為本發(fā)明實施例中資源共享前后的示意圖10為本發(fā)明第六實施例的設備結構示意圖11為本發(fā)明第七實施例的系統(tǒng)結構示意圖����。
具體實施方式
為使本發(fā)明實施例的目的��、技術方案和優(yōu)點更加清楚����,下面將結合本發(fā)明實施例 中的附圖���,對本發(fā)明實施例中的技術方案進行清楚�、完整地描述�����,顯然����,所描述的實施例是 本發(fā)明一部分實施例,而不是全部的實施例��?��;诒景l(fā)明中的實施例,本領域普通技術人員 在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍�����。
圖1為本發(fā)明第一實施例的方法流程示意圖�����,包括
步驟11 云計算中實現(xiàn)資源管理的系統(tǒng)接收用戶設備發(fā)送的用于對資源進行操 作的第一消息�����,所述第一消息中攜帶數字證書及請求的操作���;
步驟12 云計算中實現(xiàn)資源管理的系統(tǒng)根據預先記錄的數字證書與角色的對應 關系以及角色與操作的對應關系�,獲取與所述數字證書對應的操作列表�����;
步驟13 如果所述請求的操作屬于所述操作列表,則允許對所述請求的操作�����。
本實施例通過在訪問云資源中采用數字證書��,該數字證書對應不同的角色����,不同 的角色對應不同的操作��,因此,通過該數字證書可以使得具有不同權限或者不同區(qū)域的用 戶能夠執(zhí)行的操作不同,實現(xiàn)對用戶的分權分域管理����。
圖2為本發(fā)明第二實施例對應的系統(tǒng)結構示意圖���,包括用戶設備(USER) 21、發(fā)放 工作流引擎(Provisioning Orchestration Engine��,P0E) 22�、用戶數據功能(User Profile Function,UPF)實體23���、虛擬機桌面(VDESKT0P) M和云資源管理設備25。其中����,用戶設備21可以對應企業(yè)�����、家庭���、個人,例如���,將一個企業(yè)所使用的終端設備作為一個用戶設備�����。POE 22是用戶的開戶入口���,例如,用戶在注冊時����,用戶設備可以通過該POE向UPF發(fā)送用于注冊 的消息����,在UPF完成用戶注冊�。UPF 23用于為申請注冊的用戶分配數字證書和資源,并保存 相互的對應關系。虛擬機桌面M是用戶的訪問接口��,例如,用戶設備通過該虛擬機桌面向 云資源管理設備請求對指定資源的指定操作����。云資源管理設備25用于接收用戶設備通過 虛擬機桌面發(fā)送的用于對資源操作的消息�,之后����,根據該消息中攜帶的相關信息從UPF進 行認證��,如果通過認證,則允許用戶設備執(zhí)行相應的操作�。
對于上述的各設備之間的具體交互內容可以參見下述的方法實施例。
圖3為本發(fā)明第二實施例對應的方法流程示意圖�����,包括
步驟31 用戶設備向POE發(fā)送用于注冊的第二消息��,該第二消息中攜帶請求的角 色���。
本實施例中��,為了實現(xiàn)分權分域管理,可以為不同的數字證書分配不同的角色,不 同的角色具有不同的權限,不同的權限可以執(zhí)行不同的操作��,例如��,角色可以包括admin�����、 operation����、guest��,其中,admin可以進行所有操作��,operation可以進行查看和修改操作, guest僅可以查看。則采用admin對應的數字證書的用戶可以創(chuàng)建���、刪除、修改和查看��,采 用operation對應的數字證書的用戶可以修改和查看,采用guest對應的數字證書的用戶 僅可以查看���。
步驟32 =POE將該第二消息轉發(fā)給UPF����。
步驟33 :UPF接收到該第二消息后,為該用戶設備分配數字證書,并記錄用戶設備 與數字證書及角色的對應關系。
其中,UPF可以采用隨機的方式�,為不同的角色分配不同的數字證書,需要保證不 同的角色對應不同的數字證書。
例如�����,圖4為本發(fā)明實施例中證書系統(tǒng)的示意圖,參見圖4�,在UPF中可以保存證書 系統(tǒng)�,該證書系統(tǒng)包括操作列表(PrHnfo)、角色列表(Rolehfo)和用戶列表⑴seHnfo)��。 操作列表中包括η個操作(Pri)�����,角色列表中包括η個角色(Role)�����,用戶列表中包括η個用 戶(User)��??梢岳斫獾氖牵僮鳌⒔巧⒂脩舻膫€數可以是不一樣的���。
其中�,每個操作的組成可以參見表1����,每個角色的組成可以參見表2,每個用戶的 組成可以參見表3���。
表 權利要求
1.一種云計算中實現(xiàn)資源管理的方法��,其特征在于���,包括接收用戶設備發(fā)送的用于對資源進行操作的第一消息���,所述第一消息中攜帶數字證書 及請求的操作�����;根據預先記錄的數字證書與角色的對應關系以及角色與操作的對應關系,獲取與所述 數字證書對應的操作列表����;如果所述請求的操作屬于所述操作列表,則允許對所述請求的操作�����。
2.根據權利要求1所述的方法��,其特征在于����,還包括接收用戶設備發(fā)送的用于注冊的第二消息,所述第二消息中攜帶請求的角色����;根據預先配置的角色與數字證書的對應關系���,為所述用戶設備分配數字證書����,并記錄 數字證書與角色的對應關系����;將分配的數字證書發(fā)送給所述用戶設備���,以便所述用戶設備采用所述數字證書請求操作。
3.根據權利要求1或2所述的方法,其特征在于,當所述數字證書為具有創(chuàng)建虛擬機權 限的數字證書�,所述請求的操作為創(chuàng)建虛擬機時����,所述允許對所述請求的操作�,包括創(chuàng)建與所述具有創(chuàng)建權限的數字證書對應的虛擬機,并記錄數字證書與虛擬機的對應 關系�����。
4.根據權利要求1或2所述的方法����,其特征在于��,當所述數字證書為具有分配權限的數 字證書���,所述請求的操作為將所述具有分配權限的數字證書對應的虛擬機分配給被授權的 數字證書時����,所述允許對所述請求的操作,包括將所述具有分配權限的數字證書對應的虛擬機分配給所述被授權的數字證書�;更新已記錄的數字證書與資源的對應關系,使得與所述有授權權限的數字證書對應的 資源,與所述被授權的數字證書關聯(lián)��,以便用戶設備采用所述被授權的數字證書能夠對與 所述有授權權限的數字證書對應的資源進行操作。
5.根據權利要求1或2所述的方法�,其特征在于��,在具有授權權限的數字證書將對應的 資源授權給被授權的數字證書后��,所述允許對所述請求的操作��,包括根據所述被授權的數字證書的權限���,對與所述具有授權權限的數字證書對應的資源進 行操作�����。
6.一種云計算中實現(xiàn)資源管理的設備,其特征在于,包括接收模塊����,用于接收用戶設備發(fā)送的用于對資源進行操作的第一消息����,所述第一消息 中攜帶數字證書及請求的操作;獲取模塊,用于根據預先記錄的數字證書與角色的對應關系以及角色與操作的對應關 系�,獲取與所述數字證書對應的操作列表����;執(zhí)行模塊,用于如果所述請求的操作屬于所述操作列表�,則允許對所述請求的操作。
7.根據權利要求6所述的設備,其特征在于��,當所述數字證書為具有創(chuàng)建虛擬機權限 的數字證書�����,所述請求的操作為創(chuàng)建虛擬機時,所述執(zhí)行模塊具體用于創(chuàng)建與所述具有創(chuàng) 建權限的數字證書對應的虛擬機,并記錄數字證書與虛擬機的對應關系。
8.根據權利要求6所述的設備�����,其特征在于,當所述數字證書為具有分配權限的數字 證書,所述請求的操作為將所述具有分配權限的數字證書對應的虛擬機分配給被授權的數 字證書時�,所述執(zhí)行模塊具體用于將所述具有分配權限的數字證書對應的虛擬機分配給所述被授權的數字證書�����;更新已記錄的數字證書與資源的對應關系,使得與所述有授權權限 的數字證書對應的資源��,與所述被授權的數字證書關聯(lián)�����,以便用戶設備采用所述被授權的 數字證書能夠對與所述有授權權限的數字證書對應的資源進行操作�����。
9.根據權利要求6所述的設備,其特征在于�����,在具有授權權限的數字證書將對應的資 源授權給被授權的數字證書后,所述執(zhí)行模塊具體用于根據所述被授權的數字證書的權 限�,對與所述具有授權權限的數字證書對應的資源進行操作。
10.一種云計算中實現(xiàn)資源管理的系統(tǒng),其特征在于���,包括UPF,用于接收用戶設備發(fā)送的用于注冊的第二消息���,所述第二消息中攜帶請求的角 色�����;根據預先配置的角色與數字證書的對應關系�,為所述用戶設備分配數字證書,并記錄數 字證書與角色的對應關系���;將分配的數字證書發(fā)送給所述用戶設備,以便所述用戶設備采 用所述數字證書請求操作;云管理設備,用于接收用戶設備發(fā)送的用于對資源進行操作的第一消息�����,所述第一消 息中攜帶數字證書及請求的操作�;根據UPF中記錄的數字證書與角色的對應關系以及角色 與操作的對應關系,獲取與所述數字證書對應的操作列表����;如果所述請求的操作屬于所述 操作列表����,則允許對所述請求的操作�。
全文摘要
本發(fā)明提供一種云計算中實現(xiàn)資源管理的方法�����、設備及系統(tǒng)�����。該方法包括接收用戶設備發(fā)送的用于對資源進行操作的第一消息,所述第一消息中攜帶數字證書及請求的操作���;根據預先記錄的數字證書與角色的對應關系以及角色與操作的對應關系����,獲取與所述數字證書對應的操作列表;如果所述請求的操作屬于所述操作列表,則允許對所述請求的操作����。本發(fā)明實施例可以實現(xiàn)分權分域管理。
文檔編號H04L29/06GK102035849SQ201010604779
公開日2011年4月27日 申請日期2010年12月23日 優(yōu)先權日2010年12月23日
發(fā)明者祁小波 申請人:華為技術有限公司