[发明专利]一种云平台访问控制架构及其实现方法有效
申请号: | 201310279342.7 | 申请日: | 2013-07-04 |
公开(公告)号: | CN103312721A | 公开(公告)日: | 2013-09-18 |
发明(设计)人: | 肖志辉 | 申请(专利权)人: | 北京迈普华兴信息技术有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
代理公司: | 暂无信息 | 代理人: | 暂无信息 |
地址: | 100080 北京*** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 平台 访问 控制 架构 及其 实现 方法 | ||
技术领域
本发明属于信息技术领域,尤其涉及在云平台环境下,通过对云平台采用分层架构进行设计,实现访问控制。
背景技术
在云平台环境下,存在SaaS(Software as a service,软件即服务)这种应用软件组件模式,该模式通过将应用软件组件统一部署在服务器上,租户根据自己的需求,向服务商订购所需的应用软件组件,并按照租赁时间或具体订购的应用软件组件支付相应费用。这种应用模式是一种多租户的系统架构,平台的每一款应用软件组件都支持多个租户同时使用,租户之间在使用过程中互不影响,感觉像是自己独享该应用软件组件一样。这种模式下需要严格的访问控制,从而保证租户之间以及租户下的用户之间的数据隔离和应用、配置隔离,提高数据的安全性、一致性和完整性。
传统的访问控制RBAC(Role-Based Access Control,基于角色的访问控制)普遍用于解决大型企业内部的统一组件访问,基本原理是定义角色,并制定该角色具有访问一组或多组应用软件组件的权限,再将用户指派为该角色,通过权限-角色-用户的方式实现访问控制。然而,RBAC上没有租户的概念,不能适应云平台应用场景,缺乏角色自我管理能力,在大型云平台系统中,采用RBAC需要建立大量角色,降低了系统易用性和可维护性。
现有技术针对云平台的特点,对传统RBAC上进行了改进,增加了租户的概念,以适应云平台要求,但在这种架构下,当租户过多或应用软件组件过多时,对访问控制的管理仍然是一个庞大的工作,并且,这种架构下,由于租户只能定义自身的用户,租户之间完全隔离,导致无法实现租户组件或应用的转租,另一方面,不同的用户使用云平台时,需要首先访问云平台的公用登录界面,再通过登录时将租户与用户关联,进而转入租户的私有界面,不能从本质上支持多租户下多用户品牌的特点。
因此,有必要提出一种新的应用平台访问控制架构,解决现有技术中不能在同一个平台上同时兼容多级租户多品牌服务,以及应用软件组件的访问控制权限不能转租的问题。
发明内容
有鉴于此,本发明提供了一种云平台访问控制架构及其实现方法,以解决现有技术中存解决现有技术中不能在同一个平台上同时兼容多级租户,以及应用软件组件的访问控制权限不能转租的问题。
为解决上述技术问题,本发明的技术方案是这样实现的:
第一发明,本发明提供一种云平台访问控制架构,包括:
基础平台层,位于访问控制架构的顶层,用于为顶层租户层中的顶层租户提供可使用的应用软件组件,并直接管理每一个顶层租户的访问控制权限;
顶层租户层,位于基础平台层之下,用于为每一个顶层租户创建子租户,实现对顶层租户所使用的应用软件组件的转租;并直接管理每个顶层租户的下一层子租户的访问控制权限。
进一步的,所述云平台访问控制架构还包括:下层租户层,所述下层租户层由所述顶层租户的子租户构成或由每一层子租户的更下一层子租户构成。
进一步的,所述基础平台层包括平台层管理员,用于对所述顶层租户所请求使用的应用软件组件进行审核和管理;并为每个审核通过的顶层租户创建租户管理员。
具体的,所述租户管理员,用于创建本租户的用户角色,并在创建用户时分配用户角色,根据用户角色对用户请求使用的应用软件组件进行访问控制。以及所述租户管理员,还用于对下层子租户所请求转租的应用软件组件进行审核和管理,并为每个审核通过的子租户创建租户管理员。
具体的,顶层租户和各子租户在云平台内通过唯一的租户ID进行识别,且每个租户对用户提供唯一的域名访问地址,所述域名访问地址的IP地址都映射到云平台的实际IP地址上。
第二发明,提供一种云平台访问控制架构的实现方法,包括:
步骤1,创建提供应用软件组件的基础平台层;
步骤2,顶层租户向基础平台层发起使用应用软件组件的注册申请;基础平台层接收所述注册申请并审核通过后,直接管理顶层租户的访问控制权限;
步骤3,顶层租户接收下层子租户的注册申请并审核通过后,实现对本顶层租户所使用的应用软件组件的转租;并直接管理下层子租户的访问控制权限。
进一步的,在步骤2中,平台层管理员审核顶层租户发起的注册申请,在审核通过后对顶层租户所申请的应用软件组件进行授权,并为顶层租户创建租户层管理员,直接管理顶层租户的访问控制权限;
在步骤3中,顶层租户接收下层子租户的注册申请并审核通过后,对发出注册申请的下层子租户所申请的应用软件组件进行授权,并为所述下层租户创建租户层管理员,直接管理顶层租户的访问控制权限。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京迈普华兴信息技术有限公司,未经北京迈普华兴信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310279342.7/2.html,转载请声明来源钻瓜专利网。