[发明专利]一种云环境下基于信任模型的跨租户访问控制方法

摘要

本发明公开了一种云环境下基于信任模型的跨租户访问控制方法，针对云计算多租户架构特点，实现一个租户的用户经过相应授权可以访问其他租户的资源，解决租户之间协作带来的资源安全性和隐私性问题。通过定义两种类型的租户信任关系，将租户信任关系概念引入访问控制模型中，反映在两个租户之间的访问控制需求。通过模型元素的定义和模型函数的形式化描述，构造了租户信任模型，以适应云计算多租户的特点，实现跨租户访问控制。

主权项

1.一种云环境下基于信任模型的跨租户访问控制方法，其特征在于，包括以下步骤：(1)用户发送访问请求，接收该访问请求的租户判断用户是否属于本租户，如果是，则调用租户信任模型中的租户内权限分配函数，然后转入步骤(6)，否则进入步骤(2)；其中，租户信任模型具有如下模型元素：租户，其为使用云服务的企业、部门或组织；用户，其为访问云平台中租户资源的主体，每个用户都有一个唯一的所有者租户，而租户有多个用户，用户根据授予的权限访问租户资源，进行相关的业务处理；权限，其为存在于租户内的一种规范的特权，每个权限只有一个所有者租户，租户有多个权限；租户信任模型具有如下函数，用以表示模型元素之间的关系：建立信任关系：租户集Tenants与租户集Tenants之间的一个二元关系，T表示租户集，TT表示两个租户集T相乘得到集合的子集；租户用户创建：租户集Tenants和用户集Users之间的一个二元关系，租户和用户之间是一对多关系，一个租户可以有多个用户，一个用户只能属于某一个租户，U表示用户集，TU表示租户集T与用户集U相乘得到集合的子集；租户权限创建：租户集Tenants和权限集Permissions之间的一个二元关系，租户和权限之间是一对多关系，一个租户可以有多种权限，一种权限只能属于某一个租户，P表示权限集，TP表示租户集T与权限集P相乘得到集合的子集；租户内权限分配：租户内的权限集Permissions和用户集Users之间的一个二元关系，用户和权限之间是多对多关系，一个用户可以有多种权限，一种权限可以分配给多个用户，用户‑权限分配由租户管理员指定，PU表示租户内权限集P与用户集U相乘得到集合的子集；跨租户权限分配：一个租户的用户集和另一租户的权限集之间的二元关系，用户和权限之间是多对多关系，一个用户可以有多种权限，一种权限可以分配给多个用户，AA表示一个租户的用户集U与另一租户的权限集P与相乘得到集合的子集；(2)判断用户所属的租户是否与接收该访问请求的租户建立了信任关系，如果是，则进入步骤(3)，否则过程结束；(3)判断用户所属的租户和接收该访问请求的租户之间的信任关系类型，如果是第一种类型，则转入步骤(4)，如果是第二种类型，则转入步骤(5)，其中，租户信任关系分为两类：第一种类型为委托人向受托人公开其用户信息，受托人基于用户信息分配其权限给委托人的用户；第二种类型为委托人将跨租户授权分配的控制权委托给受托人，受托人从委托人处取得访问权限；(4)接收该访问请求的租户调用租户信任模型中的跨租户权限分配函数，对发送访问请求的用户授予权限，然后转入步骤(6)；(5)发送访问请求的用户所属的租户调用租户信任模型中的跨租户权限分配函数，从接收访问请求的租户处取得权限并授予给用户，然后转入步骤(6)；(6)用户使用被授予的权限执行访问操作。