[发明专利]一种多租户访问控制方法及装置、计算机可读存储介质

说明书

本发明实施例公开了一种多租户访问控制方法，所述方法包括：从访问请求消息中获取访问者的用户信息，并基于所述访问者的用户信息确定所述访问者所属的租户和任务组；其中，所述租户用于指示用户集合；所述任务组用于指示租户集合；若所述访问者所属的租户与访问资源的预置租户匹配，和/或所述访问者所属的任务组与访问资源的预置任务组匹配，获取与所述访问者相关的访问控制策略；基于所述访问控制策略判断是否允许所述访问者进行访问。本发明实施例同时还公开了一种多租户访问控制装置以及计算机存储介质。

技术领域

本发明实施例涉及但不限于数据安全技术领域，尤其涉及一种多租户访问控制方法及装置、计算机可读存储介质。

背景技术

云计算服务可以将实例租赁给不同的租户，使得多个租户共享数据资源，实现降低企业成本、提高企业效率的效果。但是，租户通过访问共享数据平台使用其服务，但并不希望自己的数据被其他租户访问，因而如何实现多租户安全的访问控制是亟待解决的问题。

目前，访问控制模型大多是基于角色的访问控制(Role-Based Access Control，RBAC)模型，但是传统的RBAC模型中系统资源的分配、角色等级都是全局性的，因此相关技术中无法将不同租户的资源进行有效的隔离；另外，在实际应用中，租户的角色是根据实际情况动态变化的，而传统的RBAC模型由于角色是固定分配好的，并不能满足系统中角色类型增加的需求；最后，云计算服务中存在各种各样的租户，每个租户的需求不同，而相关技术无法进行资源分类分给不同的用户，不能满足租户的个性化需求。

发明内容

为解决上述技术问题，本发明实施例期望提供一种多租户访问控制方法及装置、计算机可读存储介质。

本发明的技术方案是这样实现的：

第一方面，提供一种多租户访问控制方法，所述方法包括：

从访问请求消息中获取访问者的用户信息，并基于所述访问者的用户信息确定所述访问者所属的租户和任务组；其中，所述租户用于指示用户集合；所述任务组用于指示租户集合；

若所述访问者所属的租户与访问资源的预置租户匹配，和/或所述访问者所属的任务组与访问资源的预置任务组匹配，获取与所述访问者相关的访问控制策略；

基于所述访问控制策略判断是否允许所述访问者进行访问。

第二方面，提供一种多租户访问控制装置，所述装置包括：

获取单元，用于从访问请求消息中获取访问者的用户信息；

确定单元，用于基于所述访问者的用户信息确定所述访问者所属的租户和任务组；其中，所述租户用于指示用户集合；所述任务组用于指示租户集合；

所述获取单元，还用于判断当所述访问者所属的租户与访问资源的预置租户匹配，和/或所述访问者所属的任务组与访问资源的预置任务组匹配，获取与所述访问者相关的访问控制策略；

处理单元，用于基于所述访问控制策略判断是否允许所述访问者进行访问。

第三方面，提供一种多租户访问控制装置，所述装置包括：处理器和配置为存储能够在处理器上运行的计算机程序的存储器，

其中，所述处理器配置为运行所述计算机程序时，执行第一方面所述方法的步骤。

第四方面，提供一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，该计算机可执行指令配置为执行上述第一方面或第二方面提供的业务规则的更新方法的步骤。