CN102571821A - 一种云安全访问控制模型 - Google Patents

Abstract

一种云安全访问控制模型，结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和用户访问控制模型。该云安全访问控制模型适应云计算多租户的特点，提高了云计算环境中用户权限管理的灵活性，能减少授权管理的复杂性，降低管理开销，并能有效保障云计算环境中的用户数据的安全性和完整性。

Description

一种云安全访问控制模型

技术领域

本发明涉及一种计算机信息安全领域，具体地说是一种结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和用户访问控制模型。

背景技术

云计算是当前信息技术领域的热门话题之一，是产业界、学术界、政府等各界均十分关注的焦点。云计算以其便利、经济、高可扩展性等优势吸引了越来越多的企业的目光，将其从IT基础设施管理与维护的沉重压力中解放出来，更专注于自身的核心业务发展。但当前，云计算发展面临着许多关键性问题，而安全问题首当其中。并且随着云计算的不断普及，安全问题的重要性呈现逐步上升趋势，已成为制约其发展的重要因素。Gartner 2009年的调查结果显示，70%以上受访企业的CTO认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的忧虑。而近来，亚马逊，谷歌等云计算提供商不断爆出各种安全事故更加剧了人们的担忧。例如，2009年3月，谷歌发生大批用户文件外泄事件；2009年2月和7月，亚马逊的简单存储服务S3两次中断导致依赖于网络单一存储服务的网站被迫瘫痪等等。因此，为了确保云计算环境中用户数据的安全性、一致性、完整性，要让企业和组织大规模应用云计算技术与平台，放心地将其具有重要性、机密性的商业数据交给云服务提供商进行管理和控制，就必须全面地分析并着手解决云计算面临的各种安全问题。其中，作为云计算安全的重要组成部分－访问控制就显得尤为重要。

访问控制技术，是通过特定的方法允许或者限制主体对客体的访问能力及其范围的一种安全机制。它是系统资源的防御越权使用的措施，限制对关键资源访问，以防止未经授权用户的入侵，以及合法用户因操作不当所造成的损害，从而有效地控制和管理系统资源，并确保系统资源被合法使用。20世纪90年代初期，访问控制领域中传统的自主访问控制DAC和强制访问控制MAC受到挑战，研究者提出了若干策略中立型的访问控制策略和模型。其中最具有影响力的是基于角色的访问控制模型RBAC。

基于角色的访问控制模型RBAC是目前公认的解决大型企业的统一资源访问控制的有效方法。其基本原理是通过权限组合的方式在功能权限基础上定义角色，通过角色将主体和客体在逻辑上加以分离，用户只有通过激活角色才能获得访问权限，即用户与角色的关联、角色与访问权限的关联，使访问控制更加灵活，提高了安全防护的力度。同时，通过角色对权限分组，大大简化了用户权限分配，间接地实现了对用户分组，提高了权限分配的效率。

云计算中用户访问云服务获取相应资源和数据的过程，实际上就是主体（云用户）访问客体（云服务、资源、数据）的过程，而云计算中大量数据存储在云端服务器中，用户在不同数据上都有不同的安全级别要求，严格的访问控制体系为云计算提供高安全的前端保障。在云计算中，应用基于角色的访问控制可以提供多策略控制途径，可以对前端云用户进行有效过滤、安全认证；对后端云数据实时保护、高效管理；保证用户的数据在云端服务器中依然清晰可控。

然而，云计算所具有的按需自服务、宽带接入、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点直接影响到了云计算环境的安全和相关的安全保护策略。必须对基于角色的访问控制模型RBAC进行改良和调整，以在云计算环境中能充分发挥其优势，并满足云计算环境的安全需求。

发明内容

本发明的目的是提供一种云安全访问控制模型。

本发明的目的是按以下方式实现的，本发明的目的在于提供一种云安全访问控制模型，结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和用户访问控制模型。

  本发明的具体内容如下：结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和云安全用户访问控制模型，其中：

所述的云安全访问控制模型包括两部分：

 (1) 租户访问控制：云服务提供商CSP对使用云服务的企业或机构租户进行访问控制，管理和控制租户所要求的服务功能，审核并签发租户的云服务许可证、制定租户管理策略、并通过服务计费向租户收取相应的服务费用；

 (2) 用户访问控制：企业租户管理人员对使用云服务的企业内用户进行访问控制，管理和控制租户用户所要求的服务功能，制定业务角色、分派权限并管理用户、用户角色分配、角色权限分配；

所述的云安全用户访问控制模型定义如下模型元素：

 (1) 云服务提供商CSP：云服务提供商CSP负责云服务的日常维护和管理，包括审核并签发租户的云服务许可证，管理租户状态、租户日志、租户费用、租户权限等，记作CSPs={csp₁，csp₂，...，csp_n}，云服务提供商CSP不能对租户的具体业务进行管理，如果租户数量过大，还要对云服务提供商CSP的云服务管理人员划分角色，或按地域划分，或根据业务进行划分；

 (2) 租户：云服务的使用企业，各租户用户只能在租户许可的范围内使用云服务，记作Tenants={t₁，t₂，...，t_n}，表示所有租户的集合，在云平台中，各租户之间信息是独立的，租户信息包括租户名称、地址及租户企业的相关信息，主要用来区别各租户，并由云服务提供商CSP对租户帐号状态进行管理，各租户根据需要自行选择云平台服务功能并以此付费；

 (3) 用户：独立访问云平台所提供服务的主体，记作Users={u₁，u₂，...，u_n}，表示所有用户的集合，用户根据租户管理员分配的权限以及自己的角色访问云服务，进行相关的业务处理，各租户用户只能访问该租户选择的云平台的服务功能；

 (4) 角色：指一个组织或任务中的工作或岗位，记作Roles={r₁，r₂，...，r_n}，表示所有角色的集合，用户拥有自己所属角色的权限的并集，在云安全访问控制模型中，角色包括平台管理类角色和租户自定义角色，根据业务功能，由租户管理员进行租户自定义角色的划分，并对相应的角色进行权限分配；

 (5) 服务：云服务提供商CSP所提供的服务，记作Services={s₁，s₂，...，s_n}，表示所有服务的集合；

 (6) 操作：对服务所能执行的操作，包括：虚拟机启动、迁移、终止、删除，具体的业务操作，业务操作包括：查看、增加、打印业务数据、统计报表，记作Operations={Op₁，Op₂，...，Op_n}，表示所有操作的集合；

(7) 访问权限：表示允许对服务进行的各项操作，记作Auths={a₁，a₂，...，a_n}，表示所有访问权限的集合；

具体实施步骤如下：

    (1) 租户访问控制建模

    云服务提供商Cloud对外提供客户关系管理CRM服务，根据其业务需求，根据业务功能，定义云服务管理人员的角色，包括职能、岗位、权限，并根据其安全要求，给每个云服务管理人员分派对应的角色，负责对一定数量的租户进行管理和维护，从而完成与服务提供商Cloud内部访问控制建模；

    (2) 注册

    企业租户A计划使用云服务提供商Cloud所提供的客户关系管理CRM服务；首先企业租户A通过注册流程，向云服务提供商Cloud提出申请，登记租户信息，包括企业名称、地址、联系电话、所在省市的企业基本信息；接着提供租户管理员信息，选择客户关系管理CRM服务的具体服务功能模块，包括：客户管理、联系人管理、时间管理、潜在客户管理、销售管理、电话销售、营销管理、电话营销、客户服务、呼叫中心、合作伙伴关系管理、商业智能、知识管理、电子商务；

    (3) 审核签发

    在租户访问控制模型控制下，云服务提供商Cloud的云服务管理人员审核企业租户A的信息，通过后签发租户A的云服务许可证，指定租户A所申请的客户关系管理CRM服务的服务功能模块，并授予租户A管理员相应的权限；

    (4) 用户访问控制建模

    租户A通过创建的租户管理员登录客户关系管理CRM服务，根据企业的业务需求，定义客户关系管理CRM服务的角色，包括：系统管理、安全管理、一般操作、网络管理、安全审计等，同时定义有关的权限和操作包括：增加客户、删除客户、浏览客户信息、查询，指派用户角色、角色权限，完成用户访问控制建模；

    (5) 访问控制

    当租户A内部用户访问云服务提供商Cloud所提供的客户关系管理CRM服务时，登录服务界面，输入用户帐号和密码，如果用户通过云平台身份验证，则用户访问控制模型首先获取该用户所属租户信息，然后获取该用户所属角色信息，最后通过该用户角色获取其对应的权限，这时，用户就可以正常使用客户关系管理CRM服务功能。

所述的云安全访问控制模型定义如下模型函数，表示模型元素之间的关系：

 (1) 租户用户创建：租户集Tenants和用户集Users之间的一个二元关系，TU ∈ Tenants * Users，租户和用户之间是一对多关系，一个租户可以有多个用户，一个用户只能属于某一个租户，用户只能访问所属租户下的相应权限，不能超越跨租户访问云服务；

(2) 租户角色创建：租户集Tenants 和角色集Roles 之间的一个二元关系，TR ∈ Tenants * Roles，在此云安全访问控制模型中，为保证各租户自定义的角色不发生冲突，租户和角色之间是一对多关系，即一个租户可以设置多个角色，一个角色只能属于一个租户，在云平台中，允许每个租户自己定义角色以方便权限管理，为避免各租户角色定义混乱，租户角色只在所属租户范围内有效；

 (3) 用户角色分配：角色集Roles 和用户集Users 之间的二元关系，UR ∈ Users * Roles，在云平台中，用户和角色之间是多对多关系，用户只能拥有所属租户的权限，该租户的权限也只能分配给此租户所有的用户；

 (4) 角色权限配置：角色集Roles 和访问权限集Auths 之间的二元关系，RA ∈ Roles * Auths ∈ TA，角色和权限之间是多对多关系，一个角色可以有多种权限，每种权限可以属于多个角色，在云平台中角色只能拥有所属租户权限内的相关权限；

(5) 服务权限配置：服务集合Services和权限集合Auths之间的二元关系，SA ∈ Services * Auths，在云平台中，服务和权限之间是多对一的关系，一个服务只能有一种权限，而每种权限可以分配给多个服务；

(6) 操作权限配置：操作集合Operations和权限集合Auths之间的二元关系，OA ∈ Operations * Auths，在云平台中，操作和权限之间是多对一的关系，一个操作只能有一种权限，而每种权限可以分配给多个操作；

 (7) 云服务提供商角色创建：云服务提供商集CSP和角色集Roles 之间的一个二元关系，CSP-R ∈ CSP * Roles，定义云服务提供商CSP的云服务管理人员与角色之间的关系，在此云安全访问控制模型中，只考虑某个具体云服务提供商CSP，则CSP-R是一个多对多的关系；

 (8) 租户权限指派：租户集Tenants 和权限集Auths 之间的一个二元关系，TA ∈ Tenants * Auths，租户和权限之间是多对多关系，即一个租户可以拥有多个权限，一个权限也可以分配给多个租户，在云平台中，租户可以根据自己的业务选择权限并依此付费；

 (9) 返回指定角色的用户集：return_users(r：Roles) = {u ∈ Users | (u，r) ∈ UR}；

 (10) 返回指定角色的权限集：return_auths(r：Roles) = {a ∈ Auths | (r，a) ∈ RA}。

本发明的有益效果是：具有设计合理、结构简单、 易于加工、体积小、使用方便、一物多用等特点，因而，具有很好的推广使用价值。

附图说明

图1是云安全访问控制模型的原理图。

具体实施方式

参照说明书附图对本发明的云安全访问控制模型作以下详细地说明。

云安全访问控制模型包括如下内容：

    (1) 租户访问控制（说明书附图右上方框）：云服务提供商CSP对使用云服务的企业或机构租户进行访问控制，管理和控制租户所要求的服务功能，审核并签发租户的云服务许可证、制定租户管理策略、并通过服务计费向租户收取相应的服务费用；

    (2) 用户访问控制（说明书附图左下方框）：企业租户管理人员对使用云服务的企业内用户进行访问控制，管理和控制租户用户所要求的服务功能，制定业务角色、分派权限并管理用户、用户角色分配、角色权限分配等。

云安全访问控制模型定义如下模型元素：

 (1) 云服务提供商CSP：云服务提供商CSP负责云服务的日常维护和管理，包括审核并签发租户的云服务许可证，管理租户状态、租户日志、租户费用、租户权限等，记作CSPs={csp₁，csp₂，...，csp_n}。云服务提供商CSP不能对租户的具体业务进行管理。如果租户数量过大，还可以对云服务提供商CSP的云服务管理人员划分角色，可以按地域划分，也可以根据业务进行划分；

(2) 租户：云服务的使用企业，各租户用户只能在租户许可的范围内使用云服务，记作Tenants={t₁，t₂，...，t_n}，表示所有租户的集合。在云平台中，各租户之间信息是独立的。租户信息包括租户名称、地址等租户企业的相关信息，主要用来区别各租户，并由云服务提供商CSP对租户帐号状态进行管理。各租户可根据需要自行选择云平台服务功能并以此付费；

 (3) 用户：可以独立访问云平台所提供服务的主体，记作Users={u₁，u₂，...，u_n}，表示所有用户的集合。用户根据租户管理员分配的权限以及自己的角色访问云服务，进行相关的业务处理。各租户用户只能访问该租户选择的云平台的服务功能；

(4) 角色：指一个组织或任务中的工作或岗位，记作Roles={r₁，r₂，...，r_n}，表示所有角色的集合。用户拥有自己所属角色的权限的并集。在云安全访问控制模型中，角色包括平台管理类角色和租户自定义角色。根据业务功能，由租户管理员进行租户自定义角色的划分，并对相应的角色进行权限分配；

 (5) 服务：云服务提供商CSP所提供的服务，记作Services={s₁，s₂，...，s_n}，表示所有服务的集合；

 (6) 操作：对服务所能执行的操作，例如虚拟机启动、迁移、终止、删除，具体的业务操作（查看、增加、打印业务数据、统计报表）等，记作Operations={Op₁，Op₂，...，Op_n}，表示所有操作的集合；

 (7) 访问权限：表示允许对服务进行的各项操作，记作Auths={a₁，a₂，...，a_n}，表示所有访问权限的集合。

云安全访问控制模型定义如下模型函数，表示模型元素之间的关系：

 (1) 租户用户创建：租户集Tenants和用户集Users之间的一个二元关系，TU ∈ Tenants * Users。租户和用户之间是一对多关系，一个租户可以有多个用户，一个用户只能属于某一个租户。用户只能访问所属租户下的相应权限，不能超越跨租户访问云服务；

(2) 租户角色创建：租户集Tenants 和角色集Roles 之间的一个二元关系，TR ∈ Tenants * Roles。在此云安全访问控制模型中，为保证各租户自定义的角色不发生冲突，租户和角色之间是一对多关系，即一个租户可以设置多个角色，一个角色只能属于一个租户。在云平台中，允许每个租户自己定义角色以方便权限管理，为避免各租户角色定义混乱，租户角色只在所属租户范围内有效；

 (3) 用户角色分配：角色集Roles 和用户集Users 之间的二元关系，UR ∈ Users * Roles。在云平台中，用户和角色之间是多对多关系，用户只能拥有所属租户的权限，该租户的权限也只能分配给此租户所有的用户；

 (4) 角色权限配置：角色集Roles 和访问权限集Auths 之间的二元关系，RA ∈ Roles * Auths ∈ TA。角色和权限之间是多对多关系，一个角色可以有多种权限，每种权限可以属于多个角色。在云平台中角色只能拥有所属租户权限内的相关权限；

(5) 服务权限配置：服务集合Services和权限集合Auths之间的二元关系，SA ∈ Services * Auths。在云平台中，服务和权限之间是多对一的关系，一个服务只能有一种权限，而每种权限可以分配给多个服务；

(6) 操作权限配置：操作集合Operations和权限集合Auths之间的二元关系，OA ∈ Operations * Auths。在云平台中，操作和权限之间是多对一的关系，一个操作只能有一种权限，而每种权限可以分配给多个操作；

 (7) 云服务提供商角色创建：云服务提供商集CSP和角色集Roles 之间的一个二元关系，CSP-R ∈ CSP * Roles，定义云服务提供商CSP的云管理人员与角色之间的关系。在此云安全访问控制模型中，只考虑某个具体云服务提供商CSP，则CSP-R是一个多对多的关系；

(8) 租户权限指派：租户集Tenants 和权限集Auths 之间的一个二元关系，TA ∈ Tenants * Auths。租户和权限之间是多对多关系，即一个租户可以拥有多个权限，一个权限也可以分配给多个租户。在云平台中，租户可以根据自己的业务选择权限并依此付费；

(9) 返回指定角色的用户集：return_users(r：Roles) = {u ∈ Users | (u，r) ∈ UR}；

 (10) 返回指定角色的权限集：return_auths(r：Roles) = {a ∈ Auths | (r，a) ∈ RA}。

实施例

(1) 租户访问控制建模

    云服务提供商Cloud对外提供客户关系管理CRM服务，根据其业务需求，根据业务功能，定义云服务管理人员的角色（包括职能、岗位）、权限，并根据其安全要求，给每个云服务管理人员分派对应的角色，负责对一定数量的租户进行管理和维护，从而完成与服务提供商Cloud内部访问控制建模；

    (2) 注册

    企业租户A计划使用云服务提供商Cloud所提供的客户关系管理CRM服务。首先企业租户A通过注册流程，向云服务提供商Cloud提出申请，登记租户信息，包括企业名称、地址、联系电话、所在省市等企业基本信息；接着提供租户管理员信息（以后就可以使用此管理员创建租户内部用户及分配权限），选择客户关系管理CRM服务的具体服务功能模块，如客户管理、联系人管理、时间管理、潜在客户管理、销售管理、电话销售、营销管理、电话营销、客户服务、呼叫中心、合作伙伴关系管理、商业智能、知识管理、电子商务；

    (3) 审核签发

    在租户访问控制模型控制下，云服务提供商Cloud的云服务管理人员审核企业租户A的信息，通过后签发租户A的云服务许可证，指定租户A所申请的客户关系管理CRM服务的服务功能模块，并授予租户A管理员相应的权限；

    (4) 用户访问控制建模

    租户A通过创建的租户管理员登录客户关系管理CRM服务，根据企业的业务需求，定义客户关系管理CRM服务的角色，如系统管理、安全管理、一般操作（销售、客户管理）、网络管理、安全审计等，同时定义有关的权限（如执行客户关系管理的一般业务模块、添加系统用户等）和操作（增加客户、删除客户、浏览客户信息、查询等），指派用户角色、角色权限，完成用户访问控制建模；

    (5) 访问控制

    当租户A内部用户访问云服务提供商Cloud所提供的客户关系管理CRM服务时，登录服务界面，输入用户帐号和密码。如果用户通过云平台身份验证，则用户访问控制模型首先获取该用户所属租户信息，然后获取该用户所属角色信息，最后通过该用户角色获取其对应的权限。这时，用户就可以正常使用客户关系管理CRM服务功能。

除说明书所述的技术特征外，均为本专业技术人员的已知技术。

Claims (2)

1.一种云安全访问控制模型，其特征在于：结合基于角色的访问控制模型RBAC，针对云计算的多租户架构特点，将租户和云服务提供商概念引入访问控制模型中，通过模型元素的定义和模型函数的形式化描述，构成统一的租户访问控制模型和云安全用户访问控制模型，其中：

所述的云安全访问控制模型包括两部分：

    (1) 租户访问控制：云服务提供商CSP对使用云服务的企业或机构租户进行访问控制，管理和控制租户所要求的服务功能，审核并签发租户的云服务许可证、制定租户管理策略、并通过服务计费向租户收取相应的服务费用；

    (2) 用户访问控制：企业租户管理人员对使用云服务的企业内用户进行访问控制，管理和控制租户用户所要求的服务功能，制定业务角色、分派权限并管理用户、用户角色分配、角色权限分配；

所述的云安全用户访问控制模型定义如下模型元素：

    (1) 云服务提供商CSP：云服务提供商CSP负责云服务的日常维护和管理，包括审核并签发租户的云服务许可证，管理租户状态、租户日志、租户费用、租户权限等，记作CSPs={csp₁，csp₂，...，csp_n}，云服务提供商CSP不能对租户的具体业务进行管理，如果租户数量过大，还要对云服务提供商CSP的云服务管理人员划分角色，或按地域划分，或根据业务进行划分；

    (2) 租户：云服务的使用企业，各租户用户只能在租户许可的范围内使用云服务，记作Tenants={t₁，t₂，...，t_n}，表示所有租户的集合，在云平台中，各租户之间信息是独立的，租户信息包括租户名称、地址及租户企业的相关信息，主要用来区别各租户，并由云服务提供商CSP对租户帐号状态进行管理，各租户根据需要自行选择云平台服务功能并以此付费；

    (3) 用户：独立访问云平台所提供服务的主体，记作Users={u₁，u₂，...，u_n}，表示所有用户的集合，用户根据租户管理员分配的权限以及自己的角色访问云服务，进行相关的业务处理，各租户用户只能访问该租户选择的云平台的服务功能；

    (4) 角色：指一个组织或任务中的工作或岗位，记作Roles={r₁，r₂，...，r_n}，表示所有角色的集合，用户拥有自己所属角色的权限的并集，在云安全访问控制模型中，角色包括平台管理类角色和租户自定义角色，根据业务功能，由租户管理员进行租户自定义角色的划分，并对相应的角色进行权限分配；

    (5) 服务：云服务提供商CSP所提供的服务，记作Services={s₁，s₂，...，s_n}，表示所有服务的集合；

    (6) 操作：对服务所能执行的操作，包括：虚拟机启动、迁移、终止、删除，具体的业务操作，业务操作包括：查看、增加、打印业务数据、统计报表，记作Operations={Op₁，Op₂，...，Op_n}，表示所有操作的集合；

(7) 访问权限：表示允许对服务进行的各项操作，记作Auths={a₁，a₂，...，a_n}，表示所有访问权限的集合；

具体实施步骤如下：

    (1) 租户访问控制建模

    云服务提供商Cloud对外提供客户关系管理CRM服务，根据其业务需求，根据业务功能，定义云服务管理人员的角色，包括职能、岗位、权限，并根据其安全要求，给每个云服务管理人员分派对应的角色，负责对一定数量的租户进行管理和维护，从而完成与服务提供商Cloud内部访问控制建模；

    (2) 注册

    企业租户计划使用云服务提供商Cloud所提供的客户关系管理CRM服务；首先企业租户通过注册流程，向云服务提供商Cloud提出申请，登记租户信息，包括企业名称、地址、联系电话、所在省市的企业基本信息；接着提供租户管理员信息，选择客户关系管理CRM服务的具体服务功能模块，包括：客户管理、联系人管理、时间管理、潜在客户管理、销售管理、电话销售、营销管理、电话营销、客户服务、呼叫中心、合作伙伴关系管理、商业智能、知识管理、电子商务；

    (3) 审核签发

    在租户访问控制模型控制下，云服务提供商Cloud的云服务管理人员审核企业租户的信息，通过后签发租户的云服务许可证，指定租户所申请的客户关系管理CRM服务的服务功能模块，并授予租户管理员相应的权限；

    (4) 用户访问控制建模

    租户通过创建的租户管理员登录客户关系管理CRM服务，根据企业的业务需求，定义客户关系管理CRM服务的角色，包括：系统管理、安全管理、一般操作、网络管理、安全审计等，同时定义有关的权限和操作包括：增加客户、删除客户、浏览客户信息、查询，指派用户角色、角色权限，完成用户访问控制建模；

    (5) 访问控制

    当租户内部用户访问云服务提供商Cloud所提供的客户关系管理CRM服务时，登录服务界面，输入用户帐号和密码，如果用户通过云平台身份验证，则用户访问控制模型首先获取该用户所属租户信息，然后获取该用户所属角色信息，最后通过该用户角色获取其对应的权限，这时，用户就可以正常使用客户关系管理CRM服务功能。

2.根据权利要求1所述的一种云安全访问控制模型，其特征在于：所述的云安全访问控制模型定义如下模型函数，表示模型元素之间的关系：

    (1) 租户用户创建：租户集Tenants和用户集Users之间的一个二元关系，TU ∈ Tenants * Users，租户和用户之间是一对多关系，一个租户可以有多个用户，一个用户只能属于某一个租户，用户只能访问所属租户下的相应权限，不能超越跨租户访问云服务；

    (2) 租户角色创建：租户集Tenants 和角色集Roles 之间的一个二元关系，TR ∈ Tenants * Roles，在此云安全访问控制模型中，为保证各租户自定义的角色不发生冲突，租户和角色之间是一对多关系，即一个租户可以设置多个角色，一个角色只能属于一个租户，在云平台中，允许每个租户自己定义角色以方便权限管理，为避免各租户角色定义混乱，租户角色只在所属租户范围内有效；

    (3) 用户角色分配：角色集Roles 和用户集Users 之间的二元关系，UR ∈ Users * Roles，在云平台中，用户和角色之间是多对多关系，用户只能拥有所属租户的权限，该租户的权限也只能分配给此租户所有的用户；

    (4) 角色权限配置：角色集Roles 和访问权限集Auths 之间的二元关系，RA ∈ Roles * Auths ∈ TA，角色和权限之间是多对多关系，一个角色可以有多种权限，每种权限可以属于多个角色，在云平台中角色只能拥有所属租户权限内的相关权限；

    (5) 服务权限配置：服务集合Services和权限集合Auths之间的二元关系，SA ∈ Services * Auths，在云平台中，服务和权限之间是多对一的关系，一个服务只能有一种权限，而每种权限可以分配给多个服务；

    (6) 操作权限配置：操作集合Operations和权限集合Auths之间的二元关系，OA ∈ Operations * Auths，在云平台中，操作和权限之间是多对一的关系，一个操作只能有一种权限，而每种权限可以分配给多个操作；

    (7) 云服务提供商角色创建：云服务提供商集CSP和角色集Roles 之间的一个二元关系，CSP-R ∈ CSP * Roles，定义云服务提供商CSP的云服务管理人员与角色之间的关系，在此云安全访问控制模型中，只考虑某个具体云服务提供商CSP，则CSP-R是一个多对多的关系；

    (8) 租户权限指派：租户集Tenants 和权限集Auths 之间的一个二元关系，TA ∈ Tenants * Auths，租户和权限之间是多对多关系，即一个租户可以拥有多个权限，一个权限也可以分配给多个租户，在云平台中，租户可以根据自己的业务选择权限并依此付费；

    (9) 返回指定角色的用户集：return_users(r：Roles) = {u ∈ Users | (u，r) ∈ UR}；

    (10) 返回指定角色的权限集：return_auths(r：Roles) = {a ∈ Auths | (r，a) ∈ RA}。

Images