CN106411857A - 一种基于虚拟隔离机制的私有云gis服务访问控制方法 - Google Patents

一种基于虚拟隔离机制的私有云gis服务访问控制方法 Download PDF

Info

Publication number
CN106411857A
CN106411857A CN201610807010.5A CN201610807010A CN106411857A CN 106411857 A CN106411857 A CN 106411857A CN 201610807010 A CN201610807010 A CN 201610807010A CN 106411857 A CN106411857 A CN 106411857A
Authority
CN
China
Prior art keywords
service
gis
tenant
data
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610807010.5A
Other languages
English (en)
Other versions
CN106411857B (zh
Inventor
葛莹
艾斯卡尔·阿不力米提
陈刚锐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Pintu Surveying and Mapping Technology Co.,Ltd.
Original Assignee
Hohai University HHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hohai University HHU filed Critical Hohai University HHU
Priority to CN201610807010.5A priority Critical patent/CN106411857B/zh
Publication of CN106411857A publication Critical patent/CN106411857A/zh
Application granted granted Critical
Publication of CN106411857B publication Critical patent/CN106411857B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种基于虚拟隔离机制的私有云GIS服务访问控制方法,依次包括以下步骤:(1)网络控制:(2)数据隔离与访问控制:(3)云GIS服务接口策略。本发明在私有云平台环境中为多租户GIS服务的使用设计一套安全隔离、访问控制和通信机制,使得私有云平台能具有多租户处理地理空间数据的能力,能提高GIS服务处理的安全性,达到变地理空间数据为资产的目的。

Description

一种基于虚拟隔离机制的私有云GIS服务访问控制方法
技术领域
本发明涉及GIS私有云计算技术,具体涉及一种基于虚拟隔离机制的私有云GIS服务访问控制方法。
背景技术
近年来,随着云计算技术的快速发展,云计算的应用已经渗透到各行各业。亚马逊、微软等科技公司不断推出企业级云计算服务,以满足广大用户的业务需求。GIS行业也不例外。ESRI、超图等国内外知名GIS公司相继推出了云GIS产品和服务。
目前,传统的文件***、独占式紧耦合的Web应用服务器集群方式已无法满足私有云GIS服务弹性负载均衡的要求,必须提供一种新的云GIS计算访问控制方法和通信机制。云存储技术是云计算应用的基础,它可以将网络中异构存储设备通过软件***集成,共同对外提供数据存储和业务访问功能(鲍爱华等,2014)。对于GIS数据服务来讲,主要是为公众提供空间分析和地理信息共享服务,所以要求数据定位、查询或修改的延迟较小。再者,考虑到地理信息数据涉密,国内许多企业只能采用私有云计算方案。
发明内容
发明目的:本发明的目的在于解决现有技术中存在的不足,提供一种基于虚拟隔离机制的私有云GIS服务访问控制方法,是一种私有云GIS平台多租户资源虚拟隔离方案以及面向服务的角色访问(Workflow-based and Service-oriented Role Based AccessControl,WSRBAC)作为访问控制模块的GIS数据以面向服务(Service OrientedArchitecture,SOA)的方式分享的方法,其中GIS资源隔离包括网络隔离和软件隔离,通过上述两种方法的结合,首先保证GIS数据在异构私有云GIS平台下的数据安全,其次用户以角色作为权限访问公共GIS数据,并且管理和分享私有GIS数据。
技术方案:本发明的一种基于虚拟隔离机制的私有云GIS服务访问控制方法,依次包括以下步骤:
(1)网络控制:在私有云平台环境中部署硬件虚拟化环境时建立三个相互独立的虚拟网段,分别是数据存储网段VLANIF16、服务资源网段VLANIF18、以及用户使用网段VLANIF20;
(2)数据隔离与访问控制:
(21)强制隔离不同单位之间的数据;
(22)相同单位内不同组织之间的数据适度隔离并共享数据;
(23)严格隔离组织间以及租户间的私有数据;
(24)租户必须通过预先定义的接口来请求使用GIS服务,VLANIF18的服务访问控制***验证权限,验证通过后,该***将GIS服务使用授权给该租户,该租户根据授权信息使用相应的GIS服务,GIS服务处理完成后,***将处理结果通过VLANIF18返回给租户,租户无法直接访问私有云平台的IasS层;
(25)租户按自身的角色申请获得GIS数据服务,并申请获得GIS应用服务的使用权,每次处理GIS应用服务时,***自动为该服务分配临时权限;服务处理结束后,***自动回收临时权限;
(3)云GIS服务接口策略:将硬件资源、网络资源、GIS数据资源以及GIS应用资源全部以面向服务的方式提供给用户使用。
进一步地,所述步骤(1)中,VLANIF16、VLANIF18和VLANIF20三个工作网段的构建通过三层物理交换机或虚拟交换机实现,其中,VLANIF16分配给一组分布式文件服务器集群使用,这组集群只能通过VLANIF18来访问,如果要使用VLANIF16上的GIS数据服务,必须通过部署在VLANIF18上的服务访问控制***获取文件访问权限后方能读写GIS数据,文件访问权限由VLANIF16中分布式文件服务器主控配置文件core-site.xml预先定义的IP地址和访问权限字段access-key两者结合方能获得分布式文件服务器控制权。
进一步地,所述步骤(2)中,以基于角色的访问控制策略为基础;
步骤(21)中,结合主客体组织Organization标签,以私有数据、多租户间共享数据、平台内共享数据以及其他用户共享数据四类访问控制权限的方式,为不同租户逻辑分配资源池空间,强制隔离私有云平台中不同租户之间的数据,以达到某一组织的租户无法越权访问其他组织未被允许访问的数据的目的;
步骤(22)中,以多种安全属性的逻辑组合作为资源访问的条件,通过资源访问条件的筛选,适度隔离私有云平台内存储的数据,租户可以根据自身安全的需求定制资源访问控制策略,以隔离来自不同租户的私有数据;
步骤(23)中,共享数据分为全共享数据和部分共享数据两类,引入虚拟组织的概念,结合共享策略的制定,实现租户间数据全共享以及部分共享;通过利益冲突类的定义,严格限制冲突租户间和组织间的数据共享;
步骤(24)中,引入服务Service的概念,提出面向服务的角色访问控制模型,将角色访问控制从资源静态授权保护提升为服务动态授权保护,当租户请求使用GIS服务时,VLANIF18的验证***按照租户信息验证其合法性,并授予相应角色的GIS服务使用权;
步骤(25)中,***可以动态管理角色以及自动分配角色等级,每个等级的角色赋予一组GIS服务的访问权限,租户可申请从低等级角色升级到高等级角色,除角色访问控制策略之外,***还可采用动态授权策略控制GIS应用服务访问,这种GIS应用服务使用权限策略独立于租户角色权限策略,前者控制GIS应用服务访问,后者控制硬件资源以及GIS数据服务的访问。
进一步地,所述步骤(3)的具体方法是:
(31)VLANIF18部署自主开发的服务访问控制***,该***为各GIS服务使用定义REST风格的接口规则,供租户访问GIS服务,租户通过接口规则发送GIS服务的使用请求,请求必须通过服务访问控制***验证,***验证通过后,租户方能使用相应的GIS服务;
(32)VLANIF18部署自主开发的硬件资源服务控制***,该***可以将物理内存、虚拟CPU以及存储等硬件资源以服务的方式提供给租户使用。租户通过控制***的Web客户端申请硬件资源服务;***管理员在控制***的管理端响应并验证该申请服务,验证通过后在硬件资源池中为其分配所需的硬件资源,再将其硬件资源的描述信息返回到Web客户端,提供给租户使用;
(33)VLANIF18部署自主开发的GIS应用服务***,该***可以将GIS业务以服务的方式提供给租户使用。租户可以按两种方式使用GIS应用服务:一种是直接使用单一GIS应用服务,另一种是将若干单一GIS应用服务组合为一个业务,提供给租户使用。
进一步地,所述步骤(25)中动态授权策略控制GIS应用服务访问的具体过程是:租户按自己所属角色的权限申请相应的GIS数据服务,然后申请GIS应用服务的使用权,***将GIS数据服务和GIS应用服务合并为工作流,并为该工作流自动分配处理权限,当处理完毕后,***将自动收回该工作流的权限。
有益效果:本发明在私有云平台环境中为多租户GIS服务的使用设计一套安全隔离、访问控制和通信机制,使得私有云平台能具有多租户处理地理空间数据的能力,能提高GIS服务处理的安全性,达到变地理空间数据为资产的目的。
附图说明
图1为实施例中文件服务器中的数据组织方式示意图。
图2为实施例中REST服务接口信息的示意图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
实施例1:
网络控制部分的实现:
本实施例中的网络配置以华为S5700交换机为例,交换机通电后默认开启一个工作网段。在本实例中要建立三个工作网段,所以重新配置交换机。具体步骤如下:
第一,交换机通过串口线跟计算机连接,计算机开启相应com串口,并配置交换机com串口参数,配置信息如下:频率:9600;数据位:8;奇偶校验:无;终止位:1;数据流控制:无。
第二,在计算机中打开串口通信程序按键盘任意键激活串口通信,收到交换机响应信息后再输入交换机密码。当密码验证通过后,计算机显示器上出现”<Quidway>”,说明交换机已准备就绪。此时,在计算机上输入以下命令在交换机上新建所需的三个工作网段:
<Quidway>
<Quidway>system-view
[Quidway]interface vlanif 1016
[Quidway-Vlanif1016]ip address 192.168.16.254 255.255.255.0
[Quidway-Vlanif1016]quit
<Quidway>
<Quidway>system-view
[Quidway]interface vlanif 1018
[Quidway-Vlanif1018]ip address 192.168.18.254 255.255.255.0
[Quidway-Vlanif1018]quit
<Quidway>
<Quidway>system-view
[Quidway]interface vlanif 1020
[Quidway-Vlanif1020]ip address 192.168.20.254 255.255.255.0
[Quidway-Vlanif1020]quit
通过以上一组命令建立了1016、1018、1020三个工作网段。
第三,将交换机的物理网口分配给新创建的三个工作网段上,配置方式如下:
(1)执行命令system-view,进入***视图;
(2)执行命令interface vlanif vlan-id,进入VLANIF接口视图;
(3)执行命令ip address ip-address{mask|mask-length},配置主ip地址。
下面举例说明具体操作。设编号0/0/1是第一个网口的ip地址,配置操作是:
<Quidway>system-view
[Quidway]vlan 1016
[Quidway-Vlan1016]quit
[Quidway]interface gigabitethernet 0/0/1
[Quidway-Gigabitethernet0/0/1]port hybrid pvid vlan 1016
[Quidway-Gigabitethernet0/0/1]port htbrid untagged vlan 1016
[Quidway-Gigabitethernet0/0/1]quit
通过以上命令给交换机每一个物理网口分配对应的工作网段。
数据隔离部分的实现:
数据隔离分为两部分:第一,原始数据的隔离。原始数据托管到私有云平台上的分布式文件服务器,通过分布式文件服务器和硬件资源服务控制***中的文件访问控制模块实现原始数据的操作;第二,GIS服务的访问控制。私有云平台上的GIS服务被托管到GISServer服务器,服务的访问控制由GIS Server服务器和硬件资源服务控制***中的服务访问控制模块结合实现。
分布式文件服务器隔离:分布式文件服务器部署在1016网段中,按照网络控制隔离设计,1016网段只能被1018网段的硬件资源服务控制***的文件访问控制模块访问,1020网段的用户客户端无法直接访问1016网段的分布式文件服务器。分布式文件服务器中的数据组织方式如图1所示。
文件访问控制模块隔离:文件访问控制模块是1018网段硬件资源服务控制***的组件之一,负责用户文件请求以及其他程序文件请求的响应。用户文件请求是指当1020网段的用户请求对私有云平台上的原始数据读写操作时,用户请求首先被1018网段服务访问控制***中的用户验证模块拦截并验证,若用户请求同时满足身份合法性和操作合法性两种验证,则用户请求才会分发至服务访问控制***,于是服务访问控制***发出指令让1016网段分布式文件***响应用户请求。在上述步骤执行过程中,用户是不能直接读写1016网段的分布式文件服务器,更无法获取文件存放的物理地址,所以1020网段的客户端无法直接访问所需GIS资源,客户端必须向1018网段的用户验证模块的REST服务接口发送用户验证请求,如图2所示,REST服务接口信息如下:
URL:http://{host}/user/generatetoken
Method:POST
Data:{username:user0606,password:ab123456}
具体实例如下:
(1)用户通过用户名和密码登录。登录后用户所在客户端获得一个从1018网段服务访问控制***发送的token,token信息按JSON格式传递,如下所示:
这是登录成功后用户收到的token信息。其中,Status表示登录状态,若登录成功则返回success,否则返回error;Tokenstring是一串加密信息,采用用户名、两个随机字符串、以及token生成时间组合在异地加密而成。在用户获得token后,再发送其他请求时就不用输入用户名和密码,***自动将用户token解密来验证用户身份的合法性;Exparetime是指token生成时间;Timelong是服务有效时间,过期时间以秒为单位。1200000表示这次token有效时间为20分钟。
(2)登录后,用户若上传一个私有数据,则发送如下请求:
URL:http://{host}/user/{username}/zone/{filefolder}?token={tokenstring}
Method:POST
Data:{file:filedata,type:[number,default 0]
其中,URL是上传服务的API接口;host是服务访问控制***的ip地址;username是用户名;filefolder是用户私有目录地址;tokenstring是用户的token;data是用户要发送的post参数;file是用户要上传的文件;type是文件的访问权限,0表示文件是私有的,1表示文件在组织部门内共享,2表示文件对全平台共享,无论是1还是2,其他用户只能获得文件的使用权,其删除和更改的权限始终由文件发布者所有。
若获取私有云平台中的GIS资源,同样对相应的REST服务接口发送http get请求,提供的信息如下:
Uri:http://{host}/user/{username}/getfile/{fileoid}?token={tokenstring}
Method:GET
其中,fileoid是私有云平台中GIS资源的唯一标识符,文件上传时由***自动生成,并保存在数据库中。用户发送以上请求后,***验证用户token信息,验证通过后,***再验证该用户是否具有fileoid文件的读取权限,具体操作如下:
(1)如果该文件是当前用户上传的,则有读取权限;
(2)如果该文件由其他用户上传的,若访问权限设置为组织部门内共享,而当前用户与上传用户在同一个组织部门,则有读取权限;
(3)如果该文件由其他用户上传的,若访问权限设置为全平台共享,则当前用户有读取权限。
GIS Server隔离:GIS Server提供地图、影像、地理处理等服务具有GIS功能的服务器。用户在私有云平台上通过自己的用户名和密码、以及所分配的角色来获取GISServer的使用权。若角色等级低,只具有使用自己所属组织的GIS Server和公共GISServer的权限;若角色等级高,除此之外,还可以有申请创建私有GIS Server的权限。
(1)使用公共GIS Server:登录后,用户通过以下API获取自己所能使用的GISServer列表:
URL:http://{host}/user/{username}/gisserver?token={tokenstring}
Method:GET
如果请求成功,用户收到***返回的可用GIS Server列表:
其中,type 1表示该服务器为私有GIS Server,type 2表示该服务器为公共GISServer。用户对私有GIS Server具有绝对控制权,对公共GIS Server只有使用权限,没有更改权限。
服务访问控制模块隔离:服务访问控制模块是1018网段控制***的组件之一,用户每次对GIS服务的访问请求都由该组件进行验证,用户还可以通过该组件获取服务列表、以及服务的参数。用户使用的GIS服务范围包括私有云平台公共GIS站点提供的公共GIS服务,用户所属部门提供的部门内共享GIS服务,以及用户自己创建的私有GIS站点中的GIS服务。
用户调用私有云平台REST接口服务的过程如下:
(1)用户按照REST接口格式发送特定服务的调用请求:
(2)用户请求被1018网段拦截,验证token信息。若token信息不符合,则返回JSON信息,说明拒绝该次用户服务调用请求;
若token信息符合,则验证通过,用户请求转到GIS服务业务模块,从用户请求中取出特定服务oid,然后查询数据库获得oid对应的服务,再从该服务所在的GIS Server,让用户连接查询到的服务中。

Claims (5)

1.一种基于虚拟隔离机制的私有云GIS服务访问控制方法,其特征在于:依次包括以下步骤:
(1)网络控制:在私有云平台环境中部署硬件虚拟化环境时建立三个相互独立的虚拟网段,分别是数据存储网段VLANIF16、服务资源网段VLANIF18、以及用户使用网段VLANIF20;
(2)数据隔离与访问控制:
(21)强制隔离不同单位之间的数据;
(22)相同单位内不同组织之间的数据适度隔离并共享数据;
(23)严格隔离组织间以及租户间的私有数据;
(24)租户必须通过预先定义的接口来请求使用GIS服务,VLANIF18的服务访问控制***验证权限,验证通过后,该***将GIS服务使用授权给该租户,该租户根据授权信息使用相应的GIS服务,GIS服务处理完成后,***将处理结果通过VLANIF18返回给租户,租户无法直接访问私有云平台的IasS层;
(25)租户按自身的角色申请获得GIS数据服务,并申请获得GIS应用服务的使用权,每次处理GIS应用服务时,***自动为该服务分配临时权限;服务处理结束后,***自动回收临时权限;
(3)云GIS服务接口策略:将硬件资源、网络资源、GIS数据资源以及GIS应用资源全部以面向服务的方式提供给用户使用。
2.根据权利要求1所述的基于虚拟隔离机制的私有云GIS服务访问控制方法,其特征在于:所述步骤(1)中,VLANIF16、VLANIF18和VLANIF20三个工作网段的构建通过三层物理交换机或者虚拟交换机实现,其中,VLANIF16分配给一组分布式文件服务器的集群使用,这组集群只能通过VLANIF18来访问,如果要使用VLANIF16上的GIS数据服务,必须通过部署在VLANIF18上的服务访问控制***获取文件访问权限后方能读写GIS数据,文件访问权限由VLANIF16中分布式文件服务器主控配置文件core-site.xml预先定义的IP地址和访问权限字段access-key两者结合方能获得分布式文件服务器控制权。
3.根据权利要求1所述的基于虚拟隔离机制的私有云GIS服务访问控制方法,其特征在于:所述步骤(2)中,以基于角色的访问控制策略为基础;
步骤(21)中,结合主客体组织Organization标签,以私有数据、多租户间共享数据、平台内共享数据以及其他用户共享数据四类访问控制权限的方式,为不同租户逻辑分配资源池空间,强制隔离私有云平台中不同租户之间的数据,以达到某一组织的租户无法越权访问其他组织未被允许访问的数据的目的;
步骤(22)中,以多种安全属性的逻辑组合作为资源访问的条件,通过资源访问条件的筛选,适度隔离私有云平台内存储的数据,租户可以根据自身安全的需求定制资源访问控制策略,以隔离来自不同租户的私有数据;
步骤(23)中,共享数据分为全共享数据和部分共享数据两类,引入虚拟组织的概念,结合共享策略的制定,实现租户间数据全共享以及部分共享;通过利益冲突类的定义,严格限制冲突租户间和组织间的数据共享;
步骤(24)中,引入服务Service的概念,提出面向服务的角色访问控制模型,将角色访问控制从资源静态授权保护提升为服务动态授权保护,当租户请求使用GIS服务时,VLANIF18的验证***按照租户信息验证其合法性,并授予相应角色的GIS服务使用权;
步骤(25)中,***可以动态管理角色以及自动分配角色等级,每个等级的角色赋予一组GIS服务的访问权限,租户可申请从低等级角色升级到高等级角色,除角色访问控制策略之外,***还可采用动态授权策略控制GIS应用服务访问,这种GIS应用服务使用权限策略独立于租户角色权限策略,前者控制GIS应用服务访问,后者控制硬件资源以及GIS数据服务的访问。
4.根据权利要求1所述的基于虚拟隔离机制的私有云GIS服务访问控制方法,其特征在于:所述步骤(3)的具体方法是:
(31)VLANIF18部署自主开发的服务访问控制***,该***为各GIS服务使用定义REST风格的接口规则,供租户访问GIS服务,租户通过接口规则发送GIS服务的使用请求,请求必须通过服务访问控制***验证,***验证通过后,租户方能使用相应的GIS服务;
(32)VLANIF18部署自主开发的硬件资源服务控制***,该***可以将物理内存、虚拟CPU以及存储等硬件资源以服务的方式提供给租户使用。租户通过控制***的Web客户端申请硬件资源服务;***管理员在控制***的管理端响应并验证该申请服务,验证通过后在硬件资源池中为其分配所需的硬件资源,再将其硬件资源的描述信息返回到Web客户端,提供给租户使用;
(33)VLANIF18部署自主开发的GIS应用服务***,该***可以将GIS业务以服务的方式提供给租户使用。租户可以按两种方式使用GIS应用服务:一种是直接使用单一GIS应用服务,另一种是将若干单一GIS应用服务组合为一个业务,提供给租户使用。
5.根据权利要求3所述的基于虚拟隔离机制的私有云GIS服务访问控制方法,其特征在于:所述步骤(25)中动态授权策略控制GIS应用服务访问的具体过程是:租户按自己所属角色的权限申请相应的GIS数据服务,然后申请GIS应用服务的使用权,***将GIS数据服务和GIS应用服务合并为工作流,并为该工作流自动分配处理权限,当处理完毕后,***将自动收回该工作流的权限。
CN201610807010.5A 2016-09-07 2016-09-07 一种基于虚拟隔离机制的私有云gis服务访问控制方法 Active CN106411857B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610807010.5A CN106411857B (zh) 2016-09-07 2016-09-07 一种基于虚拟隔离机制的私有云gis服务访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610807010.5A CN106411857B (zh) 2016-09-07 2016-09-07 一种基于虚拟隔离机制的私有云gis服务访问控制方法

Publications (2)

Publication Number Publication Date
CN106411857A true CN106411857A (zh) 2017-02-15
CN106411857B CN106411857B (zh) 2019-03-29

Family

ID=57999565

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610807010.5A Active CN106411857B (zh) 2016-09-07 2016-09-07 一种基于虚拟隔离机制的私有云gis服务访问控制方法

Country Status (1)

Country Link
CN (1) CN106411857B (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106685994A (zh) * 2017-02-22 2017-05-17 河海大学 一种基于gis角色等级权限的云gis资源访问控制方法
CN107819875A (zh) * 2017-11-27 2018-03-20 深信服科技股份有限公司 一种云平台下用户专享服务方法及装置
CN108270858A (zh) * 2018-01-15 2018-07-10 郑州云海信息技术有限公司 一种基于api网关的私有云架构及其数据处理方法
CN108810024A (zh) * 2018-07-19 2018-11-13 广东浪潮大数据研究有限公司 一种隔离网络数据传输方法、装置、介质、管理平台
CN108846634A (zh) * 2018-05-30 2018-11-20 北京尚易德科技有限公司 一种案件自动授权方法及***
CN109787938A (zh) * 2017-11-14 2019-05-21 中国电信股份有限公司 实现访问虚拟私有云的方法、装置及计算机可读存储介质
CN110109731A (zh) * 2019-04-19 2019-08-09 苏州浪潮智能科技有限公司 一种云环境下虚拟可信根的管理方法与***
CN110417863A (zh) * 2019-06-27 2019-11-05 华为技术有限公司 生成身份识别码的方法和装置、身份认证的方法和装置
CN110827167A (zh) * 2019-09-29 2020-02-21 武汉开目信息技术股份有限公司 面向协同制造的产品设计工艺性知识共享方法及装置
CN110826101A (zh) * 2019-11-05 2020-02-21 安徽数据堂科技有限公司 用于企业的私有化部署数据处理方法
CN111432024A (zh) * 2020-04-09 2020-07-17 兰州聚源信息科技有限公司 基于scorm技术的复合云培训平台的搭建方法
CN112532474A (zh) * 2020-11-19 2021-03-19 用友网络科技股份有限公司 数据管理***的控制方法、装置和可读存储介质
CN112637232A (zh) * 2020-12-29 2021-04-09 国云科技股份有限公司 支持多种策略的云平台资源隔离框架实现方法及装置
CN115604028A (zh) * 2022-11-28 2023-01-13 北京鸿迪鑫业科技有限公司(Cn) 一种云服务器数据安全保护***
CN116910015A (zh) * 2023-09-12 2023-10-20 苏州浪潮智能科技有限公司 一种存储平台服务方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102708316A (zh) * 2012-04-19 2012-10-03 北京华胜天成科技股份有限公司 一种用于多租户架构中数据隔离的方法
CN102307185B (zh) * 2011-06-27 2015-02-25 北京大学 适用于存储云内的数据隔离方法
CN103067406B (zh) * 2013-01-14 2015-07-22 暨南大学 一种公有云与私有云之间的访问控制***及方法
CN105591863A (zh) * 2014-10-20 2016-05-18 中兴通讯股份有限公司 一种实现虚拟私有云网络与外部网络互通的方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102307185B (zh) * 2011-06-27 2015-02-25 北京大学 适用于存储云内的数据隔离方法
CN102708316A (zh) * 2012-04-19 2012-10-03 北京华胜天成科技股份有限公司 一种用于多租户架构中数据隔离的方法
CN103067406B (zh) * 2013-01-14 2015-07-22 暨南大学 一种公有云与私有云之间的访问控制***及方法
CN105591863A (zh) * 2014-10-20 2016-05-18 中兴通讯股份有限公司 一种实现虚拟私有云网络与外部网络互通的方法和装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
唐权等: "云GIS平台构建的关键技术研究", 《测绘与空间地理信息》 *
曹全龙等: "基于ArcGIS的云GIS平台设计方案研究", 《测绘与空间地理信息》 *
鲍爱华等: "一种基于虚拟隔离机制的安全私有云存储***", 《计算机科学》 *

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106685994A (zh) * 2017-02-22 2017-05-17 河海大学 一种基于gis角色等级权限的云gis资源访问控制方法
CN109787938B (zh) * 2017-11-14 2021-04-30 中国电信股份有限公司 实现访问虚拟私有云的方法、装置及计算机可读存储介质
CN109787938A (zh) * 2017-11-14 2019-05-21 中国电信股份有限公司 实现访问虚拟私有云的方法、装置及计算机可读存储介质
CN107819875A (zh) * 2017-11-27 2018-03-20 深信服科技股份有限公司 一种云平台下用户专享服务方法及装置
CN108270858A (zh) * 2018-01-15 2018-07-10 郑州云海信息技术有限公司 一种基于api网关的私有云架构及其数据处理方法
CN108846634A (zh) * 2018-05-30 2018-11-20 北京尚易德科技有限公司 一种案件自动授权方法及***
CN108810024A (zh) * 2018-07-19 2018-11-13 广东浪潮大数据研究有限公司 一种隔离网络数据传输方法、装置、介质、管理平台
CN110109731A (zh) * 2019-04-19 2019-08-09 苏州浪潮智能科技有限公司 一种云环境下虚拟可信根的管理方法与***
CN110417863B (zh) * 2019-06-27 2021-01-29 华为技术有限公司 生成身份识别码的方法和装置、身份认证的方法和装置
CN110417863A (zh) * 2019-06-27 2019-11-05 华为技术有限公司 生成身份识别码的方法和装置、身份认证的方法和装置
CN110827167A (zh) * 2019-09-29 2020-02-21 武汉开目信息技术股份有限公司 面向协同制造的产品设计工艺性知识共享方法及装置
CN110826101B (zh) * 2019-11-05 2021-01-05 安徽数据堂科技有限公司 用于企业的私有化部署数据处理方法
CN110826101A (zh) * 2019-11-05 2020-02-21 安徽数据堂科技有限公司 用于企业的私有化部署数据处理方法
CN111432024A (zh) * 2020-04-09 2020-07-17 兰州聚源信息科技有限公司 基于scorm技术的复合云培训平台的搭建方法
CN112532474A (zh) * 2020-11-19 2021-03-19 用友网络科技股份有限公司 数据管理***的控制方法、装置和可读存储介质
CN112637232A (zh) * 2020-12-29 2021-04-09 国云科技股份有限公司 支持多种策略的云平台资源隔离框架实现方法及装置
WO2022141915A1 (zh) * 2020-12-29 2022-07-07 国云科技股份有限公司 支持多种策略的云平台资源隔离框架实现方法及装置
CN115604028A (zh) * 2022-11-28 2023-01-13 北京鸿迪鑫业科技有限公司(Cn) 一种云服务器数据安全保护***
CN116910015A (zh) * 2023-09-12 2023-10-20 苏州浪潮智能科技有限公司 一种存储平台服务方法、装置、设备及存储介质
CN116910015B (zh) * 2023-09-12 2024-01-19 苏州浪潮智能科技有限公司 一种存储平台服务方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN106411857B (zh) 2019-03-29

Similar Documents

Publication Publication Date Title
CN106411857B (zh) 一种基于虚拟隔离机制的私有云gis服务访问控制方法
US9047462B2 (en) Computer account management system and realizing method thereof
CN108322472B (zh) 用于提供基于云的身份和访问管理的方法、***和介质
US20180026984A1 (en) Access authentication for cloud-based shared content
CN102984159B (zh) 基于终端访问行为的安全接入逻辑控制方法及平台服务器
US9787659B2 (en) Techniques for secure access management in virtual environments
CN105308923B (zh) 对具有多操作模式的应用的数据管理
CN103312721B (zh) 一种云平台访问控制架构及其实现方法
CN108293045A (zh) 本地和远程***之间的单点登录身份管理
CN110472388B (zh) 一种设备管控***及其用户权限控制方法
CN109565511A (zh) 用于多租户身份和数据安全管理云服务的租户和服务管理
US10397213B2 (en) Systems, methods, and software to provide access control in cloud computing environments
US8856881B2 (en) Method and system for access control by using an advanced command interface server
CN103441986A (zh) 一种瘦客户端模式的数据资源安全管控方法
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
CN107426152B (zh) 云平台虚实互联环境下多任务安全隔离***及方法
CN112541190B (zh) 基于统一用户信息的地图分权控制方法及控制***
WO2009045607A1 (en) Methods and systems for user authorization
JP2013008229A (ja) 認証システムおよび認証方法およびプログラム
CN101729541B (zh) 多业务平台的资源访问方法及***
CN110417820A (zh) 单点登录***的处理方法、装置及可读存储介质
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
CN111274569A (zh) 统一登录认证的研发运维集成***及其登录认证方法
CN104580081A (zh) 一种集成式单点登录***
RU2415466C1 (ru) Способ управления идентификацией пользователей информационных ресурсов неоднородной вычислительной сети

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB03 Change of inventor or designer information

Inventor after: Ge Ying

Inventor before: Ge Ying

Inventor before: AISIKAER.ABULIMITI

Inventor before: Chen Gangrui

CB03 Change of inventor or designer information
TR01 Transfer of patent right

Effective date of registration: 20211227

Address after: 200241 330, floor 3, building 2, No. 588, Zixing Road, Minhang District, Shanghai

Patentee after: Shanghai Nongsheng Intelligent Technology Co.,Ltd.

Address before: No.8, Fucheng West Road, Jiangning Development Zone, Nanjing, Jiangsu Province

Patentee before: HOHAI University

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240329

Address after: Room 05, 12th Floor, Building D2, No. 32 Dazhou Road, Yuhuatai District, Nanjing City, Jiangsu Province, 210000

Patentee after: Nanjing Pintu Surveying and Mapping Technology Co.,Ltd.

Country or region after: China

Address before: 200241 330, floor 3, building 2, No. 588, Zixing Road, Minhang District, Shanghai

Patentee before: Shanghai Nongsheng Intelligent Technology Co.,Ltd.

Country or region before: China

TR01 Transfer of patent right