TWI626555B - Service self-administration control system and method thereof - Google Patents
Service self-administration control system and method thereof Download PDFInfo
- Publication number
- TWI626555B TWI626555B TW105137355A TW105137355A TWI626555B TW I626555 B TWI626555 B TW I626555B TW 105137355 A TW105137355 A TW 105137355A TW 105137355 A TW105137355 A TW 105137355A TW I626555 B TWI626555 B TW I626555B
- Authority
- TW
- Taiwan
- Prior art keywords
- project
- token
- service
- user
- module
- Prior art date
Links
Landscapes
- Safety Devices In Control Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
一種服務自主管控系統及其方法,係一種基於OpenStack之用戶服務自主權限管控的方法與系統,架構在OpenStack雲端運算系統上可讓用戶自主申請與管理雲端運算資源的方法與系統,其中服務自主管控系統包含一代理配發模組及一代理生命週期監控器。Keystone是OpenStack(OpenStack為公私雲的開放原始碼軟體專案,Keystone為OpenSack中的核心專案主要負責使用者身份管理與授權)的身份認證授權模組,其概念為由系統管理者(admin)權限統一建立管理用戶帳號、專案與專案成員權限,而雲端運算資源的申請及操作只能由該專案所屬的成員有權限操作。本發明開放了上述OpenStack的Keystone模組限制,提供自主管控的營維運商業模式概念。
Description
本發明係關於一種服務自主管控系統及其方法,特別是關於一種使原本不具備權限的用戶可自主管控其OpenStack下的專案、成員及其下雲端運算資源的操作之服務自主管控系統及其方法。
目前,OpenStack原生簡易的權限管控操作行為,由原本交給系統管理者(admin)權限控管,不符合IaaS(基礎設施即服務)基礎架構雲平台營維運商業模式現況,且只能透過OpenStack由管理者用戶建立新用戶帳號後,新用戶認證通過使用本身令牌操作所屬專案下的資源,專案也只能由管理者用戶產生及指派專案成員。
有鑑於上述習知技藝之問題,本發明之目的就是在提供一種服務自主管控系統及其方法,以解決上述習知技術之不便之處。
本發明之服務自主管控系統包含一權限模組、一授權模組、一代理配發模組以及一代理生命週期監控器。權限模組接收帳號密碼組,並判斷帳號密碼組是否正確;授權模組判斷於帳號密碼組正確時所取得之
授權是否合法,若合法則允許帳號密碼組之操作請求;代理配發模組當該操作請求所操作之目標判斷操作請求不具有權限時,代理配發模組提供系統管理員令牌及系統專案成員用戶令牌;以及代理生命週期監控器監控系統管理員令牌及系統專案成員用戶令牌之生命週期。
本發明之服務自主管控方法包含下列步驟:以權限模組接收帳號密碼組,並判斷帳號密碼組是否正確;以授權模組判斷於帳號密碼組正確時所取得之授權是否合法,若合法則允許帳號密碼組之操作請求;以代理配發模組當操作請求所操作之目標判斷操作請求不具有權限時,提供系統管理員令牌及系統專案成員用戶令牌;以及以代理生命週期監控器監控系統管理員令牌及系統專案成員用戶令牌之生命週期。。
承上所述,依本發明之服務自主管控系統及其方法,其可具有一或多個下述優點:
1.本發明為基於OpenStack之用戶服務自主權限管控的方法與系統,係基於OpenStack的自主管控能力提供用戶建立專案、管理成員操作資源權限及操作其下雲端運算資源等。
2.本發明為基於OpenStack之用戶服務自主權限管控的方法與系統,係基於OpenStack的自主管控能力提供維運者可建立用戶帳號、代理用戶操作建立專案、管理其下成員及申請或操作雲端運算資源等。
3.本發明係將OpenStack原生簡易的權限管控操作行為,由原本交給系統管理者(admin)權限控管,不符合IaaS基礎架構雲平台營維運商業模式現況,提供此類型用戶自主管控的操作行為,乃利用了背後令牌的操作,使原本不具備權限的用戶可自主管控其OpenStack下的專案、成員及其下雲端
運算資源的操作。且將原OpenStack僅簡單區分管理者與用戶的模式,彼此權限切開沒有交集,改為一般用戶由維運者產生帳號後,用戶可自主管理其專案及其下雲端運算資源的自主管控商業模式,而維運者也由本發明所產生的系統專案成員帳號的令牌權限,可代理用戶管控專案及操作專案下的雲端運算資源。
1‧‧‧使用者
2‧‧‧服務自主管控系統
3‧‧‧權限模組
4‧‧‧授權模組
5‧‧‧代理配發模組
6‧‧‧代理生命週期監控器
7‧‧‧OpenStack
17‧‧‧專案
18‧‧‧虛擬機
19‧‧‧虛擬機
71‧‧‧專案
72‧‧‧專案
711‧‧‧虛擬機
712‧‧‧虛擬機
10‧‧‧一般用戶
11‧‧‧雲端系統維運者
12‧‧‧認證服務
13‧‧‧代理狀態監控服務
14‧‧‧檢查授權服務
15‧‧‧代理配發服務
16‧‧‧資源管理服務
30‧‧‧使用者建立專案
31‧‧‧系統監控OpenStack專案被建立
32‧‧‧系統管理者代理
33‧‧‧系統專案成員代理
34‧‧‧雲端系統維運者操作資源
35‧‧‧調度系統專案成員代理令牌
36‧‧‧監控代理生命週期令牌狀態
37‧‧‧回收與重建代理令牌
38‧‧‧管控專案操作
39‧‧‧調度系統專案成員代理令牌
40‧‧‧監控代理生命週期令牌狀態
41‧‧‧回收與重建代理令牌
S21~S29‧‧‧步驟流程
圖1係為本發明之服務自主管控系統之系統架構示意圖。
圖2係為本發明之服務自主管控系統之服務自主權限管控方塊圖。
圖3係為本發明之服務自主管控方法之服務自主權限管流程圖。
圖4係為本發明之服務自主管控系統及其方法之專案服務自主管控方塊圖。
圖5係為本發明之服務自主管控系統及其方法之資源服務自主管控方塊圖。
圖6係為本發明之服務自主管控系統及其方法之服務自主權限令牌管控方塊圖。
請參閱本發明基於OpenStack之用戶服務自主權限管控的方法與系統,主要係以OpenStack的Keystone身份認證授權模組認證管理的特性,加以本發明自主管控的系統方法,提供用戶能自主管控與維運者能建立與協助用戶管控其IaaS基礎架構雲平台下的運算資源。
Keystone認證機制中,是以專案作為區隔其資源之間的存取範圍。系統管理者建立專案後,再將用戶帳號加入到專案下的成員權限後,此用戶帳號方可對此專案內的雲端運算資源進行操作。建立專案與管理成員等操作,在Keystone中均為系統管理者admin權限方可存取其API。此種模式,在用戶需自主管控的商業模式下,將造成用戶無法自行管理其雲平台的運算資源。參考圖一所示,(一)透過代理配發模組,將系統保存的系統管理者令牌,提供給經過認證後的用戶操作特定功能,達到用戶可自主管控的功能。(二)維運者則經由每次建立專案時由代理生命週期監控器所產生的系統專案成員令牌,代理用戶操作其專案下的雲端運算資源,且使用系統管理者的令牌,達到建立新的用戶帳號或管理專案等操作。(三)在使用代理配發的令牌時,代理生命週期監控器回收將逾期令牌或另重建令牌,以保持令牌的可用性。
依上述說明,本發明使用並管理OpenStack之Keystone令牌與其權限,且監控其生命週期保持可用性,以提供用戶可自主管控或交由維運者代理管控其IaaS基礎架構雲平台下的運算資源。
請參考圖1服務自主權限管控系統模組圖所示,係為本發明基於OpenStack之用戶服務自主權限管控的方法與系統之系統圖,其中有習之技術用以處理認證功能的權限模組3及授權模組4,及開源的OpenStack 7雲端運算系統提供IaaS的基礎服務控制;本發明包含了所提出的服務自主管控系統2、代理配發模組5、代理生命週期監控器6。如圖中所示,一個使用者1,經由系統操作介面填寫資訊,送出認證或OpenStack 7雲端運算資源操作請求到服務自主管控系統2。
權限模組3,主要提供帳號密碼確認認證無誤核可後,提供使用者1,OpenStack 7的用戶令牌,使其可以通過雲端運算資源操作授權。
授權模組4,檢查使用者1通過認證取得令牌後的授權是否合法。如合法方可通過並繼續其雲端運算資源操作請求,不合法則回絕請求。請求的操作目標將會判斷是否用戶本身令牌即具備該權限,或要請求配發其他系統管理者令牌以代理操作請求之。
代理配發模組5,配發非使用者1本身的系統管理員令牌及系統專案成員用戶令牌。因OpenStack 7無用戶自主管控的營維運商業模式概念,建立專案和用戶帳號定義為具有系統管理員權限才可執行操作,將用戶加入專案內成員使其有權限可建立或控制該專案下的雲端運算資源亦同。使用配發系統管理員令牌的代理方式,一般用戶可透過系統管理者代理身份通過OpenStack 7權限驗證並進行操作建立專案72。雲端系統維運人員因負責雲端系統整體服務,因此有代理操作各用戶專案下雲端運算資源的需求,雲端系統維運人員以非自身具有專案成員身份的專案71內系統專案成員用戶令牌,可代理操作一般用戶專案71的虛擬機711、虛擬機712等資源,以系統管理員用戶令牌則可建立新OpenStack 7用戶帳號。
代理生命週期監控器6,提供服務自主管控需求中系統管理員及系統專案成員令牌的生命週期監控管理,及於專案建立時以系統管理員令牌監控建立該專案下的系統專案成員用戶帳號和權限。
請參考圖2服務自主權限管控方塊圖所示,係為本發明基於OpenStack之用戶服務自主權限管控的方法與系統之一實施例,主要係說明使用者一般用戶與雲端系統維運者11如何透過圖一之代理配發模組5及代
理生命週期監控器6對雲端運算資源提出請求。如圖所示:一般用戶10通過認證服務12的帳號密碼確認後,向系統提出操作雲端運算資源請求。透過檢查授權服務14檢查其認證合法後,判斷此請求是否用戶本身令牌即可操作,如可直接操作,則向資源管理服務16提出資源操作請求,例如對此用戶所擁有之專案17成員權限內的虛擬機18開機操作或虛擬機19更新資料等;如請求為建立OpenStack專案,或是對此用戶所具專案成員權限新增其他使用者為成員具操作權限時,則會向代理配發服務15請求配發系統管理者令牌,提供代理向資源管理服務16要求該專案的操作。
雲端系統維運者11通過認證服務12的帳號密碼確認後,因為雲端系統維運者11的維運目標為一般用戶10所具有權限的專案,但雲端系統維運11者本身並沒有這些專案的權限。在檢查授權服務14時如果此行為操作者為雲端系統維運者11,則將向代理配發服務15請求配發系統專案成員令牌提供代理向資源管理服務16要求該專案下雲端運算資源的操作;如果為代用戶建立專案,或調整用戶專案下的成員權限等管理操作,則會向代理配發服務15請求配發系統管理者令牌,提供代理向資源管理服務16要求該專案的操作。
代理狀態監控服務13,代理配發服務15在每次配發令牌時,代理狀態監控服務13會對令牌內的逾期時間做計算監控,如系統管理員及系統專案成員令牌即將逾期時則更新令牌。
請參考圖3服務自主權限管控流程圖所示,係為本發明基於OpenStack之用戶服務自主權限管控的方法與系統之流程圖。流程步驟如圖所示:使用者輸入帳號密碼後提出認證請求S21,驗證通過後取得認證S22,
使用者可運用此認證向系統發送雲端運算資源請求S23,系統會檢查此使用者的認證內的令牌是否合法S24,避免非法的欺騙系統操作,如檢查不合法則退至步驟S21。通過認證檢查後將確認此請求是否為管控專案的操作S25,例如建立專案、建立使用者、將使用者加入到擁有成員權限的指定專案中等。如果是管控專案方面的操作,則將使用系統管理者進行代理操作S26,非管控專案方面的操作則判斷使用者為一般用戶或雲端系統維運者S27;如果是一般用戶,因一般用戶原本即具專案所屬成員權限管控下雲端運算資源的操作權,所以將以使用者本身令牌操作資源S28;雲端系統維運者29則因不具有一般用戶專案下的權限,則須使用系統專案成員代理令牌操作資源S29。
請參考圖4專案服務自主管控方塊圖所示,係為本發明基於OpenStack之用戶服務自主權限管控的方法與系統之內部方塊圖。如圖所示:當使用者建立專案30時,系統監控OpenStack專案被建立31,且因OpenStack建立新的用戶帳號和專案下的成員權限,需使用系統管理者的admin權限;所以系統會以系統管理者代理32令牌產生一個系統專案成員代理33用戶帳號,且在此新專案內建立系統專案成員的用戶專案成員權限,使得這個系統專案成員於此專案下具代理操作權限。每個專案都有獨立的系統專案成員用戶帳號,使系統遭遇駭客攻擊時各個專案為獨立性,不致讓駭客全面破解。
請參考圖5資源服務自主管控方塊圖所示,係為本發明基於OpenStack之用戶服務自主權限管控的方法與系統之內部方塊圖。如圖所示:雲端系統維運者操作資源34時,因本身不具有一般用戶的專案成員權
限,因此需取得調度系統專案成員代理令牌35;而雲端系統維運者不需要一般用戶專案成員權限在於,其雲端系統維運者僅為用戶的一個身份參數註記,可彈性移除此註記成為其他種類角色,例如一般成員,且雲端系統維運者需維運多個一般用戶的專案。而調度系統專案成員代理令牌35時,監控代理生命週期令牌狀態36,當計算令牌的逾期時間即將逾期時,舊的令牌將會被回收處理,在令牌佇列中會重新建立系統專案成員代理令牌提供調度使用的回收與重建代理令牌37。
請參考圖6服務自主權限令牌管控方塊圖所示,係為本發明基於OpenStack之用戶服務自主權限管控的方法與系統之內部方塊圖。如圖所示:如雲端運算資源操作的請求為管控專案操作38,因管控專案方面的操作在OpenStack須以管理者的權限方可操作,而一般用戶或雲端系統維運者不具有管理者的權限,因此要取得調度系統專案成員代理令牌39供用戶進行操作。而調度系統專案成員代理令牌39時,令牌的生命週期則為監控代理生命週期令牌狀態40,當計算令牌的逾期時間即將逾期時,舊的令牌將會被回收處理,在令牌佇列中會重新建立調度系統專案成員代理令牌39提供調度使用的回收與重建代理令牌41。
綜上所述,本發明之服務自主管控系統及其方法提供配發並管控系統管理者和系統專案成員的令牌機制,讓透過此機制的用戶可以自主管控其OpenStack內的雲端運算資源,包含維運者建立新用戶帳號、一般用戶建立安全隔離資源的專案環境、管理成員和運算資源。
以上所述僅為舉例性,而非為限制性者。任何未脫離本發明之精神與範疇,而對其進行之等效修改或變更,均應包含於後附之申請專利
範圍中。
Claims (10)
- 一種服務自主管控系統,係用於向一雲端運算作業系統提出操作雲端運算資源之一操作請求,該服務自主管控系統包含:一權限模組,接收一帳號密碼組,並判斷該帳號密碼組是否正確;一授權模組,判斷於該帳號密碼組正確時所取得之授權是否合法,若合法則允許該帳號密碼組之該操作請求;一代理配發模組,當判斷該操作請求無法以該操作請求之請求者的本身令牌執行操作時,該代理配發模組提供一系統管理員令牌,或判斷該操作請求之請求者不具有專案權限時,該代理配發模組提供一系統專案成員用戶令牌;以及一代理生命週期監控器,監控該系統管理員令牌及該系統專案成員用戶令牌之一生命週期。
- 如申請專利範圍第1項所述之服務自主管控系統,其中若該授權模組判斷於該帳號密碼組正確時所取得之授權不合法,則該授權模組回絕該操作請求。
- 如申請專利範圍第1項所述之服務自主管控系統,其中該代理生命週期監控器於一專案建立時根據該系統管理員令牌監控該專案下之至少一系統專案成員用戶帳號和權限。
- 如申請專利範圍第1項所述之服務自主管控系統,其更包含一操作介面,該權限模組由該操作介面接收該帳號密碼組。
- 如申請專利範圍第4項所述之服務自主管控系統,其中該操作介面更發送該操作該目標之請求。
- 一種服務自主管控方法,係用於向一雲端運算作業系統提出操作雲端運 算資源之一操作請求,該務自主管控方法包含:以一權限模組接收一帳號密碼組,並判斷該帳號密碼組是否正確;以一授權模組判斷於該帳號密碼組正確時所取得之授權是否合法,若合法則允許該帳號密碼組之該操作請求;當判斷該操作請求無法以該操作請求之請求者的本身令牌執行操作時,以一代理配發模組提供一系統管理員令牌,或判斷該操作請求之請求者不具有專案權限時,以一代理配發模組提供一系統專案成員用戶令牌;以及以一代理生命週期監控器監控該系統管理員令牌及該系統專案成員用戶令牌之一生命週期。
- 如申請專利範圍第6項所述之服務自主管控方法,其更包含:若該授權模組判斷於該帳號密碼組正確時所取得之授權不合法,則以該授權模組回絕該操作請求。
- 如申請專利範圍第6項所述之服務自主管控方法,其更包含:以該代理生命週期監控器於一專案建立時根據該系統管理員令牌監控該專案下之至少一系統專案成員用戶帳號和權限。
- 如申請專利範圍第6項所述之服務自主管控方法,其更包含:以一操作介面提供該帳號密碼組。
- 如申請專利範圍第9項所述之服務自主管控方法,其更包含:以該操作介面更發送該操作該目標之請求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW105137355A TWI626555B (zh) | 2016-11-16 | 2016-11-16 | Service self-administration control system and method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW105137355A TWI626555B (zh) | 2016-11-16 | 2016-11-16 | Service self-administration control system and method thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201820193A TW201820193A (zh) | 2018-06-01 |
| TWI626555B true TWI626555B (zh) | 2018-06-11 |
Family
ID=63255802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105137355A TWI626555B (zh) | 2016-11-16 | 2016-11-16 | Service self-administration control system and method thereof |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI626555B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI707572B (zh) * | 2019-11-06 | 2020-10-11 | 中華電信股份有限公司 | 智能網路行動終端認證管控系統 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWM440467U (en) * | 2012-05-04 | 2012-11-01 | Infinitiessoft Solutions Inc | Cloud platform integration system |
| CN103049383A (zh) * | 2012-12-31 | 2013-04-17 | 博彦科技(上海)有限公司 | 一种开发测试云*** |
| US20150106504A1 (en) * | 2013-10-16 | 2015-04-16 | International Business Machines Corporation | Secure cloud management agent |
| CN105491058A (zh) * | 2015-12-29 | 2016-04-13 | Tcl集团股份有限公司 | 一种api访问分布式授权方法及其*** |
| CN105554004A (zh) * | 2015-12-24 | 2016-05-04 | 北京轻元科技有限公司 | 一种混合云计算环境中容器服务的认证***和方法 |
-
2016
- 2016-11-16 TW TW105137355A patent/TWI626555B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWM440467U (en) * | 2012-05-04 | 2012-11-01 | Infinitiessoft Solutions Inc | Cloud platform integration system |
| CN103049383A (zh) * | 2012-12-31 | 2013-04-17 | 博彦科技(上海)有限公司 | 一种开发测试云*** |
| US20150106504A1 (en) * | 2013-10-16 | 2015-04-16 | International Business Machines Corporation | Secure cloud management agent |
| CN105554004A (zh) * | 2015-12-24 | 2016-05-04 | 北京轻元科技有限公司 | 一种混合云计算环境中容器服务的认证***和方法 |
| CN105491058A (zh) * | 2015-12-29 | 2016-04-13 | Tcl集团股份有限公司 | 一种api访问分布式授权方法及其*** |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI707572B (zh) * | 2019-11-06 | 2020-10-11 | 中華電信股份有限公司 | 智能網路行動終端認證管控系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201820193A (zh) | 2018-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9125050B2 (en) | Secure near field communication server information handling system lock | |
| EP2790370B1 (en) | Authentication method and system oriented to heterogeneous network | |
| CN112583802B (zh) | 基于区块链的数据共享平台***、设备以及数据共享方法 | |
| CN103460216B (zh) | 软件许可控制 | |
| CN107070863A (zh) | 本地设备认证 | |
| CN110326252A (zh) | 设备的安全供应和管理 | |
| CN109660340B (zh) | 一种基于量子密钥的应用***及其使用方法 | |
| TW202001590A (zh) | 分散式運算方法與管理系統 | |
| CN102769602A (zh) | 一种临时权限控制方法、***及装置 | |
| CN104735087A (zh) | 一种基于公钥算法和SSL协议的多集群Hadoop***安全优化方法 | |
| CN104301328A (zh) | 一种云计算环境下的资源操作安全认证方法及*** | |
| CN105262780B (zh) | 一种权限控制方法及*** | |
| KR101219662B1 (ko) | 클라우드 서비스 보안 시스템 및 그 방법 | |
| CN108037978A (zh) | 一种基于虚拟化技术的计算资源管理方法 | |
| TW202011712A (zh) | 密碼運算、創建工作密鑰的方法、密碼服務平台及設備 | |
| CN111526111A (zh) | 登录轻应用的控制方法、装置和设备及计算机存储介质 | |
| US20210278823A1 (en) | Device and Method for Setting Up and/or Providing a Working Environment | |
| CN106911744B (zh) | 一种镜像文件的管理方法和管理装置 | |
| TWI626555B (zh) | Service self-administration control system and method thereof | |
| KR101689848B1 (ko) | 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법 | |
| CN106302425A (zh) | 一种虚拟化***节点间通信方法及其虚拟化*** | |
| CN103065104A (zh) | 移动存储设备及其所构成的监控*** | |
| CN102752308A (zh) | 通过网络提供数字证书综合业务***及其实现方法 | |
| CN105554127B (zh) | 多层数据安全加密手段的私有云备份机制 | |
| CN103188269B (zh) | 云平台中用户访问权限的控制方法 |