[发明专利]访问权限的确定方法和装置、终端

说明书

本发明提供了一种访问权限的确定方法和装置、终端。其中，该方法包括：在目标用户使用第一账号访问目标数据时，获取第一账号的安全标识和目标数据的安全标识；在第一账号的安全标识与目标数据的安全标识匹配的情况下，确定目标用户具有访问目标数据的权限。本发明解决了相关技术中数据的安全性较差的技术问题。

技术领域

本发明涉及数据安全领域，具体而言，涉及一种访问权限的确定方法和装置、终端。

背景技术

在云计算数据中心领域，SaaS(Software as a Service)是一种新的软件应用模式,它极大地减少了企业在信息基础设施上的投入。目前，SaaS系统的数据模型有三种：独立数据库模型、共享数据库单独模型和共享数据库共享模型。其中，在第一种模型中，每个客户物理上有自己的一整套数据，单独存放，但这种数据模型的最大问题是对应的部署和维护成本非常高，硬件资源的消耗将明显高于其它两种方案，一台服务器将只能支持有限数量的客户；在第二种数据模型下，客户使用独立模式的方式在数据共享和隔离之间获得了一定的平衡，但这种解决方案的不利之处就是当系统出现异常情况需要将历史备份的数据重新恢复的话，流程将变得相对复杂；第三种数据模型具有最低的硬件成本和维护成本，而且每台服务器可以支持最大数量的客户，但由于所有客户使用同一套数据表，因此可能需要在保证数据安全性上花费更多额外的开发成本，以确保一个客户永远不会因系统异常而访问到其它客户的数据。

在传统多租户访问控制的研究中，为了实现不同组织、租户间的资源共享和信息交互的安全性，保证合法性的访问，通常通过把各个租户的控制策略整合在全局访问控制策略下，实现租户间的安全性互操作，其安全问题一般包括网络安全访问、系统权限模型等问题。在网络安全访问方面，一般采用对交互信息进行加密来达到防止用户信息被窃取的危险，而对于系统权限模型，大多是通过租户间角色转换来达到安全访问控制的目的。

但是在使用第三种数据模型时，租户数据的共享数据库特性使得租户间的数据隔离性很差，影响数据的安全性。因此，需要一种针对数据中心多租户场景下的安全访问控制模型或方法，使得这种模型或方法既具有最低的硬件成本和维护成本，又能保证数据中心租户数据的安全性。

针对相关技术中数据的安全性较差的技术问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种访问权限的确定方法和装置、终端，以至少解决相关技术中数据的安全性较差的技术问题。

根据本发明实施例的一个方面，提供了一种访问权限的确定方法，该方法包括：在目标用户使用第一账号访问目标数据时，获取第一账号的安全标识和目标数据的安全标识；在第一账号的安全标识与目标数据的安全标识匹配的情况下，确定目标用户具有访问目标数据的权限。

进一步地，获取第一账号的安全标识包括：从角色森林中获取第一账号所具有的目标角色，其中，角色森林包括账号与角色的对应关系；获取与目标角色对应的安全标识为第一账号的安全标识。

进一步地，在从角色森林中获取第一账号所具有的角色之前，该方法还包括：获取第一对象为多个账号设置的角色森林，其中，多个账号中的每个账号具有一个或多个角色；将多个账号分配给对应的用户使用。

进一步地，获取与目标角色对应的安全标识为第一账号的安全标识包括：获取第一对象为目标角色分配的第一安全标识；获取第二对象授权给第一对象的且允许目标角色使用的第二安全标识，其中，第一账号的安全标识包括第一安全标识和第二安全标识。

进一步地，获取第二对象授权给第一对象的且允许目标角色使用的第二安全标识包括：获取第二对象授权给第一对象的目标角色使用的第三安全标识；获取角色森林中目标角色所在节点的父节点的第四安全标识，其中，第四安全标识为第二对象授权给第一对象的节点使用且允许传递给该节点的子节点使用的安全标识。