[发明专利]一种多租户访问控制方法及装置、计算机可读存储介质有效
| 申请号: | 201810950695.8 | 申请日: | 2018-08-20 |
| 公开(公告)号: | CN110855599B | 公开(公告)日: | 2022-10-21 |
| 发明(设计)人: | 童遥;李华;申光 | 申请(专利权)人: | 中兴通讯股份有限公司 |
| 主分类号: | H04L41/28 | 分类号: | H04L41/28 |
| 代理公司: | 深圳市力道知识产权代理事务所(普通合伙) 44507 | 代理人: | 张传义 |
| 地址: | 518057 广东省深圳市南山*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 租户 访问 控制 方法 装置 计算机 可读 存储 介质 | ||
1.一种多租户访问控制方法,其特征在于,所述方法包括:
从访问请求消息中获取访问者的用户信息,并基于所述访问者的用户信息确定所述访问者所属的租户和任务组;其中,所述租户用于指示用户集合;所述任务组用于指示租户集合;
若所述访问者所属的租户与访问资源的预置租户匹配,和/或所述访问者所属的任务组与访问资源的预置任务组匹配,获取与所述访问者相关的访问控制策略,所述访问控制策略包括所述访问者对应的访问控制策略、所述访问者所属的租户对应的访问控制策略、以及所述访问者所属的任务组对应的访问控制策略;
基于所述访问控制策略判断是否允许所述访问者进行访问,包括:判断所述访问请求消息是否符合所述访问者所属的任务组对应的访问控制策略;若所述访问请求消息符合所述访问者所属的任务组对应的访问控制策略,则继续判断所述访问请求消息是否符合所述访问者所属的租户对应的访问控制策略;若所述访问请求消息符合所述访问者所属的租户对应的访问控制策略,则继续判断所述访问请求消息是否符合所述访问者对应的访问控制策略;若所述访问请求消息符合所述访问者对应的访问控制策略,则授权访问。
2.根据权利要求1所述的方法,其特征在于,所述获取与所述访问者相关的访问控制策略之前,还包括:
从所述访问请求消息中提取访问者的主体属性信息,权限属性信息,环境属性信息以及访问资源的客体属性信息;
若所述主体属性信息、权限属性信息和环境属性信息与所述客体属性信息匹配,获取与所述访问者相关的访问控制策略;
若所述主体属性信息、权限属性信息和环境属性信息与所述客体属性信息不匹配,拒绝授权访问。
3.根据权利要求2所述的方法,其特征在于,所述获取与所述访问者相关的访问控制策略,包括:
获取所述访问者对应的第一子访问控制策略;
获取所述访问者所属租户对应的第二子访问控制策略;
获取所述访问者所属任务组对应的第三子访问控制策略。
4.根据权利要求3所述的方法,其特征在于,所述基于所述访问控制策略信息判断是否允许所述访问请求,包括:
若所述主体属性信息、权限属性信息和环境属性信息符合所述第三子访问控制策略,判断所述主体属性信息、权限属性信息和环境属性信息是否符合所述第二子访问控制策略;
若所述主体属性信息、权限属性信息和环境属性信息符合所述第二子访问控制策略,判断所述主体属性信息、权限属性信息和环境属性信息是否符合第一子访问控制策略;
若所述主体属性信息、权限属性信息和环境属性信息是否符合第一子访问控制策略,授权访问。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若所述主体属性信息、权限属性信息和环境属性信息不符合所述第三子访问控制策略,拒绝授权访问。
6.根据权要求4所述的方法,其特征在于,所述方法还包括:
若所述主体属性信息、权限属性信息和环境属性信息不符合所述第二子访问控制策略,拒绝授权访问。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中兴通讯股份有限公司,未经中兴通讯股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810950695.8/1.html,转载请声明来源钻瓜专利网。
