[发明专利]一种基于多租户云环境的访问控制方法及装置

说明书

本发明实施例提供了一种多租户环境访问控制方法及装置，方法包括：接收目标用户针对目标角色的访问请求；根据访问请求获取目标用户的主体属性；确定主体属性和当前环境属性是否符合目标角色的设定要求；若符合目标角色设定要求，获得是否对目标用户进行角色设定的判断结果，判断结果是根据目标角色对目标用户的信任值判断得到的；在判断结果表明进行角色设定时，设定目标用户的角色为目标角色；判断目标角色是否符合第一数据拥有者的权限设定要求；若符合第一数据拥有者的权限设定要求，允许目标用户以目标角色对第一数据拥有者服务器进行资源访问。本发明实施例提供的方案，适应多租户云环境下不同租户对权限细粒度划分的需求。

技术领域

本发明涉及数据隐私保护技术领域，特别是涉及一种多租户环境的访问控制方法及装置。

背景技术

云计算是继个人计算机、互联网之后的第三次信息化革命。随着云计算技术应用的进一步深入，云计算隐私保护也成为业界关注的焦点，更是广大用户选择云计算服务的首要考虑因素。访问控制是对用户的访问进行控制，防止不合法用户对数据拥有者的资源进行访问所造成的数据泄露，因而是保证云计算安全的一个重要环节。

随着公有云业务的不断发展，大量应用在云环境中部署，并伴随着用户海量数据在云环境中的处理与存储。原来部署在私有云或企业内部网络的应用迁移到公有云环境中后，不仅要考虑企业内部(租户内部)的数据访问控制，还要考虑企业与企业之间(多租户之间)的数据访问控制。与普通访问控制相比，在多租户云环境中，不同企业需要不同的功能模块和不同的访问控制要求，因而所构建的访问控制方案必须具有灵活性。此外，为了保证租户数据的安全性，要使得租户数据隔离，并且要满足用户跨租户访问的需求。

目前，多租户云环境中的访问控制方案多采用基于角色的访问控制方案，即首先将权限分配给角色，其次，判断用户是否符合拥有分配后的角色的要求，若符合要求，授予该用户访问权限，也就是说，角色被用于将用户和权限联系起来，只有被授予角色的用户才有与角色相关联的访问权限，从而可以访问资源，但是，若要对权限进行细粒度划分，必须对用户进行精确区分，需要定义大量的角色，由于角色数量庞大从而易导致的角色管理和分配困难的问题，因而上述访问控制方法难以适应多租户云环境下不同租户对权限细粒度划分的需求。

发明内容

本发明实施例的目的在于提供一种多租户环境的访问控制方法及装置，以适应多租户云环境下不同租户对权限细粒度划分的需求。

具体技术方案如下：

接收目标用户针对目标角色的访问请求；

根据所述访问请求获取所述目标用户的主体属性；

确定所述主体属性和当前环境属性是否符合所述目标角色的设定要求；

若符合所述目标角色设定要求，获得是否对所述目标用户进行角色设定的判断结果，其中，所述判断结果是根据所述目标角色对所述目标用户的信任值判断得到的；

在所述判断结果表明进行角色设定时，设定所述目标用户的角色为所述目标角色；

判断所述目标角色是否符合所述第一数据拥有者的权限设定要求；

若符合所述第一数据拥有者的权限设定要求，允许所述目标用户以所述目标角色对所述第一数据拥有者服务器进行资源访问。

进一步地，所述确定所述目标角色是否符合所述第一数据拥有者的权限设定要求，包括：

根据所述访问请求携带的权限属性和当前环境属性，确定所述目标角色是否符合所述第一数据拥有者的权限设定要求。

进一步地，所述获得是否对所述目标用户进行角色设定的判断结果，包括：

获得所述目标用户的用户行为的信任值T₂和用户信誉的信任值T₃；