CN108259422B - 一种多租户访问控制方法和装置 - Google Patents

一种多租户访问控制方法和装置 Download PDF

Info

Publication number
CN108259422B
CN108259422B CN201611241553.1A CN201611241553A CN108259422B CN 108259422 B CN108259422 B CN 108259422B CN 201611241553 A CN201611241553 A CN 201611241553A CN 108259422 B CN108259422 B CN 108259422B
Authority
CN
China
Prior art keywords
task group
role
access information
attribute
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611241553.1A
Other languages
English (en)
Other versions
CN108259422A (zh
Inventor
童遥
申光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201611241553.1A priority Critical patent/CN108259422B/zh
Priority to PCT/CN2017/118070 priority patent/WO2018121445A1/zh
Publication of CN108259422A publication Critical patent/CN108259422A/zh
Application granted granted Critical
Publication of CN108259422B publication Critical patent/CN108259422B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Multimedia (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种多租户访问控制方法和装置。该方法包括:获取每个角色对应的属性;将对应相同属性的角色聚类为一个任务组;根据每个所述任务组中的角色对应的属性,为每个所述任务组生成对应的访问信息,以便使用所述任务组对应的访问信息获得资源的操作权限。本发明通过任务组分组管理各个角色,并为任务组生成访问信息,通过访问信息来获取资源的操作权限,提升了授权的安全性。进一步地,本发明可以将细粒度的权限分配给角色,在将角色分配给用户之后,可以统一管理用户的访问请求,提高了云服务的安全性和系统访问的有效性。

Description

一种多租户访问控制方法和装置
技术领域
本发明涉及数据安全技术领域,特别是涉及一种多租户访问控制方法和装置。
背景技术
云计算是以互联网为基础将规模化资源池的处理、存储、基础设施和软件服务提供给用户,进而实现低成本、自动化、快速提供和灵活伸缩的IT服务。企业可以通过租赁云计算提供的软硬件服务,即云服务,从而减少运营成本。云服务提供商将同一个实例租赁给不同租户,即多租户应用,租户通过非完全可信的云服务提供商来存储和处理数据,租户的信息存在被泄露的风险。
因此,云服务面临的主要问题是访问控制问题,需要通过有效控制租户的操作权限来保护租户的信息安全。
现有的基于角色的访问控制方法(Role-Based Access Control,简称RBAC) 通过引入中间元素角色,为租户分配对应的角色,根据租户角色的不同授予租户不同的操作权限,进而通过角色在租户和权限之间搭建一座桥梁。
但是,在多租户环境下,要求云服务器的计算环境、存储资源及其网络资源的设计和部署必须满足自动化、快速性、动态性、移动性、安全性和面向商业服务等需求,对于不同的租户相互独立和隔离。而现有RBAC的使用会使得整个系统资源的分配、角色的划分都是全局性的,不能满足租户的个性化需求,同时对租户操作权限的授予也存在一定的安全性风险。
发明内容
本发明提供了一种多租户访问控制方法和装置,用以解决现有RBAC对租户权限的授予存在一定的安全性风险的问题。
为了解决上述技术问题,本发明是通过以下技术方案来解决的:
本发明提供了一种访问控制方法,包括:获取每个角色对应的属性;将对应相同属性的角色聚类为一个任务组;根据每个所述任务组中的角色对应的属性,为每个所述任务组生成对应的访问信息,以便使用所述任务组对应的访问信息获得资源的操作权限。
其中,所述根据每个所述任务组中的角色对应的属性,为每个所述任务组生成对应的访问信息,包括:将预设的加密参数输入预设的第一加密模型,生成公钥和主密钥;针对每个所述任务组,将所述任务组中的角色对应的属性和所述主密钥输入预设的第二加密模型,生成所述任务组对应的私钥和匹配因子;将所述公钥以及所述任务组对应的私钥和匹配因子,作为所述任务组对应的访问信息。
其中,所述使用所述任务组对应的访问信息获得资源的操作权限,包括:在用户访问资源时,确定所述用户的角色;为所述用户分配所述角色所属任务组对应的访问信息;根据所述访问信息,确定所述任务组中的角色对应的属性;如果所述任务组中的角色对应的属性与所述资源对应的属性相同,或者所述任务组中的角色对应的属性包含在所述资源对应的属性中,则允许访问所述资源。
其中,所述根据所述访问信息,确定所述用户的属性,包括:将所述访问信息中的私钥和匹配因子输入预设的第二解密模型,得到主密钥和属性;将所述主密钥和所述访问信息中的公钥输入预设的第一解密模型,得到加密参数;如果得到的所述加密参数和预设的加密参数相同,则判定得到的所述属性为所述任务组中的角色对应的属性。
其中,所述方法还包括:通过访问控制树存储资源以及所述资源对应的属性。
本发明还提供了一种访问控制装置,包括:获取模块,用于获取每个角色对应的属性;聚类模块,用于将对应相同属性的角色聚类为一个任务组;生成模块,用于根据每个所述任务组中的角色对应的属性,为每个所述任务组生成对应的访问信息;访问模块,用于使用所述任务组对应的访问信息获得资源的操作权限。
其中,所述生成模块,用于:将预设的加密参数输入预设的第一加密模型,生成公钥和主密钥;针对每个所述任务组,将所述任务组中的角色对应的属性和所述主密钥输入预设的第二加密模型,生成所述任务组对应的私钥和匹配因子;将所述公钥以及所述任务组对应的私钥和匹配因子,作为所述任务组对应的访问信息。
其中,所述访问模块,用于:在用户访问资源时,确定所述用户的角色;为所述用户分配所述角色所属任务组对应的访问信息;根据所述访问信息,确定所述任务组中的角色对应的属性;如果所述任务组中的角色对应的属性与所述资源对应的属性相同,或者所述任务组中的角色对应的属性包含在所述资源对应的属性中,则允许访问所述资源。
其中,所述访问模块进一步用于:将所述访问信息中的私钥和匹配因子输入预设的第二解密模型,得到主密钥和属性;将所述主密钥和所述访问信息中的公钥输入预设的第一解密模型,得到加密参数;如果得到的所述加密参数和预设的加密参数相同,则判定得到的所述属性为所述任务组中的角色对应的属性。
其中,所述装置还包括:存储模块;所述存储模块,用于通过访问控制树存储资源以及所述资源对应的属性。
本发明有益效果如下:
本发明通过任务组分组管理各个角色,并为任务组生成访问信息,通过访问信息来获取资源的操作权限,提升了授权的安全性。进一步地,本发明可以将细粒度的权限分配给角色,在将角色分配给用户之后,可以统一管理用户的访问请求,提高了云服务的安全性和系统访问的有效性。
附图说明
图1是根据本发明一实施例的访问控制方法的流程图;
图2是根据本发明一实施例的生成访问信息的步骤流程图;
图3是根据本发明一实施例的资源访问的步骤流程图;
图4是根据本发明一实施例的确定任务组中角色对应的属性的步骤流程图;
图5是根据本发明一实施例的访问控制装置的结构图。
具体实施方式
以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
本发明实施例提供一种访问控制方法。图1是根据本发明一实施例的访问控制方法的流程图。
步骤S110,获取每个角色对应的属性。
在本实施例中,属性为操作权限的信息。例如:属性为操作权限的具有唯一性的编码。
角色对应的属性是指角色对应的操作权限。
预先设置角色池和属性池。角色池为角色的集合。属性池为属性的集合。
可以根据属性池中的属性,为角色池中的每个角色设置对应的一个或多个属性,获取每个角色对应的属性。
可以根据角色池中的角色,为每个租户分配一个或多个角色;根据属性池中的属性,为租户的每个角色设置对应的一个或多个属性;获取各个租户的角色对应的属性。
步骤S120,将对应相同属性的角色聚类为一个任务组。
不同的角色可能对应的属性是相同的。如果多个角色分别对应的所有属性都相同,则将这多个角色聚类为一个任务组。
可以将任务组中角色对应的属性作为该任务组对应的属性。
步骤S130,根据每个任务组中的角色对应的属性,为每个任务组生成对应的访问信息,以便使用任务组对应的访问信息获得资源的操作权限。
各租户下的用户在访问资源时,可以根据该用户被分配的角色,使用该角色所属任务组对应的访问信息获得该资源的操作权限。
在本实施例中,通过任务组分组管理各个角色,并为任务组生成访问信息,通过访问信息来获取操作权限,提升了授权的安全性。
在本实施例中,可以根据属性聚类任务组,即通过聚类实现租户中角色的划分,并在多个租户中将相同属性的角色聚类在同一任务组。任务组可以用来管理角色,是租户和角色的桥梁,通过聚类后的任务组进行访问控制。
在本实施例中,可以采用基于属性的加密算法,基于任务组对应的属性,为该任务组生成对应的访问信息。
具体的,可以参考如图2所示的生成访问信息的步骤流程图。
步骤S210,将预设的加密参数输入预设的第一加密模型,生成公钥和主密钥。
第一加密模型例如是RSA加密算法。
加密参数为RSA加密算法中的输入参数。例如:预设的加密参数包括:安全参数、素数、生成元、循环群和随机数。
生成的公钥和主密钥为各个任务组共用的公钥和主密钥。
步骤S220,针对每个任务组,将任务组中的角色对应的属性和主密钥输入预设的第二加密模型,生成该任务组对应的私钥和匹配因子。
第二加密模型例如是SHA1(Secure Hash Algorithm,安全哈希算法)加密算法。将任务组对应的属性和主密钥作为第二加密模型的输入参数,可以生成该任务组对应的私钥和匹配因子。
步骤S230,将公钥以及该任务组对应的私钥和匹配因子,作为该任务组对应的访问信息。
本实施例可以在用户建立会话时执行,或者在用户访问资源时执行,当然,也可以在为角色设置或更新属性时执行。
下面对资源访问的过程进行进一步地描述。图3是根据本发明一实施例的资源访问的步骤流程图。
步骤S310,在用户访问资源时,确定所述用户的角色。
在接收到用户发出的对资源的访问请求时,或者在建立会话时,根据用户的信息确定用户的角色。
用户的信息例如是:用户的用户名和密码,用户标识。
例如:预先建立角色用户表,在添加用户时,在角色用户表中记录用户的角色。同一用户可以有多个角色。
步骤S320,为所述用户分配所述角色所属任务组对应的访问信息。
根据用户的角色,确定该角色所属的任务组,将该任务组对应的访问信息分配给该用户。在本实施例中,为了增加资源的安全性,不直接将角色对应的属性提供给用户。
可以将该用户的信息以及为该用户分配的访问信息对应记录在预先设置的用户访问信息对照表中。
如果用户具有多个角色,则为用户分配每个角色所属任务组对应的访问信息,这样用户被分配了多个访问信息。
步骤S330,根据所述访问信息,确定所述任务组中的角色对应的属性。
如果用户被分配了多个访问信息,则分别确定每个访问信息对应的任务组中角色对应的属性。
步骤S340,如果所述任务组中的角色对应的属性与所述资源对应的属性相同,或者所述任务组中的角色对应的属性包含在所述资源对应的属性中,则允许访问所述资源。
如果确定出多个任务组中角色对应的属性,则分别将每个任务组中的角色对应的属性和用户希望访问的资源的属性进行比较。
由于角色对应的属性可以是一个或多个,资源对应的属性也可以是一个或多个,所以,在角色对应多个属性的情况下,如果角色对应的多个属性为资源对应的多个属性中的部分属性,则认为用户具有访问该资源的操作权限,运行访问该资源。
图4是根据本发明一实施例的确定任务组中角色对应的属性的步骤流程图。
步骤S410,将访问信息中的私钥和匹配因子输入预设的第二解密模型,得到主密钥和属性。
在访问信息中包括公钥以及任务组对应的私钥和匹配因子。
将任务组对应的私钥和匹配因子作为第二解密模型的输入,可以获得主密钥和属性。
第二解密模型和第二加密模型相对应。第二解密模型可以是第二加密模型的对称算法。第二解密模型例如是SHA1解密算法。
步骤S420,将主密钥和访问信息中的公钥输入预设的第一解密模型,得到加密参数。
将主密钥和该访问信息中的公钥作为第一解密模型的输入,通过得到的加密参数,验证得到的属性是否为访问信息对应的任务组中角色对应的属性。
步骤S430,判断得到的所述加密参数和预设的加密参数是否相同;如果是,则执行步骤S440;如果否,则执行步骤S450。
步骤S440,判定得到的所述属性为所述任务组中的角色对应的属性。
步骤S450,通知所述用户不具备访问所述资源的操作权限。
在本实施例中,为了提升访问控制的安全性,采用两次加密的形式为每个任务组生成对应的访问信息,采用两次解密的形式获取资源的操作权限。
在本实施例中,通过访问控制树存储资源以及所述资源对应的属性。进一步地,由于各种资源之间存在依赖关系,一般用树形结构可以描述该依赖关系,所以在本实施例中根据存储的各个资源以及每个资源对应的操作权限,生成访问控制树,通过访问控制树对资源进行管理,只有访问者具备操作权限才允许访问相应的资源。
在本实施例中,对资源的访问是基于属性(权限)的,而是不是基于整个系统,根据任务聚类的方式管理角色,利用基于角色访问控制和密文的属性相结合的方式进行访问控制,通过任务组分组管理各个角色对应的属性,将细粒度的权限分配给角色,从而可以统一管理用户的访问请求,提高了云服务的安全性和系统访问的有效性。
为了使本发明更加容易理解,下面提供一个较为具体的实例:
在学校内包括多个学院,每个学院通过订购资源服务成为一个租户。根据角色池,为每个租户分配多个角色,每个租户可以将不同的角色分配给租户下的不同用户,例如为教师和学生分配不同的角色,并将用户的ID和对应的角色记录在角色用户表中。
根据角色池和属性池,为每个角色分配多个属性。根据属性对角色进行聚类,形成多个任务组,并为每个任务组生成对应的访问信息。
用户利用ID登录资源浏览界面,建立用户访问资源的会话,这时可以根据用户的ID来判断用户是否为合法租户下的用户,例如:如果ID存在与角色用户表中,则用户为合法租户。在用户属于合法租户的前提下,根据角色用户表,确定用户的角色,并且查询该角色所在的任务组,并将该任务组对应的访问信息分配给该用户,用户在资源浏览界面中点击下载一个资源(如文件),根据用户的访问信息确定任务组对应的属性,如果任务组对应的属性和该资源的属性相同,则认为该用户为授权角色,可以为用户下载该资源,反之,认为该用户为非授权用户,禁止为用户下载该资源,并提示用户不具备下载权限。
本发明实施例还提供了一种访问控制装置。图5是根据本发明一实施例的访问控制装置的结构图。
获取模块510,用于获取每个角色对应的属性。
聚类模块520,用于将对应相同属性的角色聚类为一个任务组。
生成模块530,用于根据每个所述任务组中的角色对应的属性,为每个所述任务组生成对应的访问信息。
访问模块540,用于使用所述任务组对应的访问信息获得资源的操作权限。
在一个实施例中,所述生成模块530,用于将预设的加密参数输入预设的第一加密模型,生成公钥和主密钥;针对每个所述任务组,将所述任务组中的角色对应的属性和所述主密钥输入预设的第二加密模型,生成所述任务组对应的私钥和匹配因子;将所述公钥以及所述任务组对应的私钥和匹配因子,作为所述任务组对应的访问信息。
在另一实施例中,所述访问模块540,用于在用户访问资源时,确定所述用户的角色;为所述用户分配所述角色所属任务组对应的访问信息;根据所述访问信息,确定所述任务组中的角色对应的属性;如果所述任务组中的角色对应的属性与所述资源对应的属性相同,或者所述任务组中的角色对应的属性包含在所述资源对应的属性中,则允许访问所述资源。
在又一实施例中,所述访问模块540进一步用于:将所述访问信息中的私钥和匹配因子输入预设的第二解密模型,得到主密钥和属性;将所述主密钥和所述访问信息中的公钥输入预设的第一解密模型,得到加密参数;如果得到的所述加密参数和预设的加密参数相同,则判定得到的所述属性为所述任务组中的角色对应的属性。
在再一实施例中,所述装置还包括:存储模块(图中未示出);所述存储模块,用于通过访问控制树存储资源以及所述资源对应的属性。
本实施例所述的装置的功能已经在图1~图4所示的方法实施例中进行了描述,故本实施例的描述中未详尽之处,可以参见前述实施例中的相关说明,在此不做赘述。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。

Claims (8)

1.一种访问控制方法,其特征在于,包括:
获取每个角色对应的属性;
将对应相同属性的角色聚类为一个任务组;
根据每个所述任务组中的角色对应的属性,为每个所述任务组生成对应的访问信息,以便使用所述任务组对应的访问信息获得资源的操作权限;所述根据每个所述任务组中的角色对应的属性,为每个所述任务组生成对应的访问信息,包括:
将预设的加密参数输入预设的第一加密模型,生成公钥和主密钥;
针对每个所述任务组,将所述任务组中的角色对应的属性和所述主密钥输入预设的第二加密模型,生成所述任务组对应的私钥和匹配因子;
将所述公钥以及所述任务组对应的私钥和匹配因子,作为所述任务组对应的访问信息。
2.根据权利要求1所述的方法,其特征在于,所述使用所述任务组对应的访问信息获得资源的操作权限,包括:
在用户访问资源时,确定所述用户的角色;
为所述用户分配所述角色所属任务组对应的访问信息;
根据所述访问信息,确定所述任务组中的角色对应的属性;
如果所述任务组中的角色对应的属性与所述资源对应的属性相同,或者所述任务组中的角色对应的属性包含在所述资源对应的属性中,则允许访问所述资源。
3.根据权利要求2所述的方法,其特征在于,所述根据所述访问信息,确定所述任务组中的角色对应 的属性,包括:
将所述访问信息中的私钥和匹配因子输入预设的第二解密模型,得到主密钥和属性;
将所述主密钥和所述访问信息中的公钥输入预设的第一解密模型,得到加密参数;
如果得到的所述加密参数和预设的加密参数相同,则判定得到的所述属性为所述任务组中的角色对应的属性。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述方法还包括:通过访问控制树存储资源以及所述资源对应的属性。
5.一种访问控制装置,其特征在于,包括:
获取模块,用于获取每个角色对应的属性;
聚类模块,用于将对应相同属性的角色聚类为一个任务组;
生成模块,用于根据每个所述任务组中的角色对应的属性,为每个所述任务组生成对应的访问信息,包括:
将预设的加密参数输入预设的第一加密模型,生成公钥和主密钥;
针对每个所述任务组,将所述任务组中的角色对应的属性和所述主密钥输入预设的第二加密模型,生成所述任务组对应的私钥和匹配因子;
将所述公钥以及所述任务组对应的私钥和匹配因子,作为所述任务组对应的访问信息;
访问模块,用于使用所述任务组对应的访问信息获得资源的操作权限。
6.根据权利要求5所述的装置,其特征在于,所述访问模块,用于:
在用户访问资源时,确定所述用户的角色;
为所述用户分配所述角色所属任务组对应的访问信息;
根据所述访问信息,确定所述任务组中的角色对应的属性;
如果所述任务组中的角色对应的属性与所述资源对应的属性相同,或者所述任务组中的角色对应的属性包含在所述资源对应的属性中,则允许访问所述资源。
7.根据权利要求6所述的装置,其特征在于,所述访问模块进一步用于:
将所述访问信息中的私钥和匹配因子输入预设的第二解密模型,得到主密钥和属性;
将所述主密钥和所述访问信息中的公钥输入预设的第一解密模型,得到加密参数;
如果得到的所述加密参数和预设的加密参数相同,则判定得到的所述属性为所述任务组中的角色对应的属性。
8.根据权利要求5-7中任一项所述的装置,其特征在于,所述装置还包括:存储模块;
所述存储模块,用于通过访问控制树存储资源以及所述资源对应的属性。
CN201611241553.1A 2016-12-29 2016-12-29 一种多租户访问控制方法和装置 Active CN108259422B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201611241553.1A CN108259422B (zh) 2016-12-29 2016-12-29 一种多租户访问控制方法和装置
PCT/CN2017/118070 WO2018121445A1 (zh) 2016-12-29 2017-12-22 一种多租户访问控制方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611241553.1A CN108259422B (zh) 2016-12-29 2016-12-29 一种多租户访问控制方法和装置

Publications (2)

Publication Number Publication Date
CN108259422A CN108259422A (zh) 2018-07-06
CN108259422B true CN108259422B (zh) 2021-07-16

Family

ID=62710182

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611241553.1A Active CN108259422B (zh) 2016-12-29 2016-12-29 一种多租户访问控制方法和装置

Country Status (2)

Country Link
CN (1) CN108259422B (zh)
WO (1) WO2018121445A1 (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110784433B (zh) * 2018-07-31 2022-08-23 阿里巴巴集团控股有限公司 一种用户访问处理方法、装置及设备
CN110855599B (zh) * 2018-08-20 2022-10-21 中兴通讯股份有限公司 一种多租户访问控制方法及装置、计算机可读存储介质
CN110875934B (zh) * 2018-08-29 2023-01-31 阿里巴巴集团控股有限公司 一种基于多租户服务的业务分组方法和装置
CN109951452B (zh) * 2019-02-26 2021-03-23 北京深思数盾科技股份有限公司 一种处理密码学任务的方法及装置
CN110365715A (zh) * 2019-08-26 2019-10-22 北京思特奇信息技术股份有限公司 一种多租户操作权限确定方法及装置
CN112583877B (zh) * 2019-09-30 2022-11-22 北京国双科技有限公司 资源信息的处理方法、装置、存储介质和电子设备
CN111680306B (zh) * 2020-03-31 2023-04-25 贵州大学 基于属性的协同访问控制撤销方法
CN111737081B (zh) * 2020-06-16 2022-05-17 平安科技(深圳)有限公司 云服务器监控方法、装置、设备及存储介质
CN111935131A (zh) * 2020-08-06 2020-11-13 中国工程物理研究院计算机应用研究所 一种基于资源权限树的SaaS资源访问控制方法
CN112966292A (zh) * 2021-05-19 2021-06-15 北京仁科互动网络技术有限公司 元数据访问权限控制方法、系统、电子设备及存储介质
CN114650184B (zh) * 2022-04-15 2023-05-26 四川中电启明星信息技术有限公司 一种基于信任度的Docker进程安全访问控制方法
CN114528601B (zh) * 2022-04-25 2022-09-30 中国工商银行股份有限公司 基于区块链数据的访问方法和装置、处理器及电子设备
CN115695017B (zh) * 2022-11-02 2024-04-23 南方电网数字平台科技(广东)有限公司 适用于云平台运营的多租户访问控制方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070076342A (ko) * 2006-01-18 2007-07-24 학교법인 대전기독학원 한남대학교 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법
CN102868525A (zh) * 2011-07-04 2013-01-09 航天信息股份有限公司 基于数字证书的授权管理方法
CN102916954A (zh) * 2012-10-15 2013-02-06 南京邮电大学 一种基于属性加密的云计算安全访问控制方法
CN105959111A (zh) * 2016-07-01 2016-09-21 何钟柱 基于云计算和可信计算的信息安全大数据资源访问控制系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101398771B (zh) * 2008-11-18 2010-08-18 中国科学院软件研究所 一种基于构件的分布式系统访问控制方法及访问控制系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070076342A (ko) * 2006-01-18 2007-07-24 학교법인 대전기독학원 한남대학교 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법
CN102868525A (zh) * 2011-07-04 2013-01-09 航天信息股份有限公司 基于数字证书的授权管理方法
CN102916954A (zh) * 2012-10-15 2013-02-06 南京邮电大学 一种基于属性加密的云计算安全访问控制方法
CN105959111A (zh) * 2016-07-01 2016-09-21 何钟柱 基于云计算和可信计算的信息安全大数据资源访问控制系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
面向智能电网云存储的基于属性角色的访问控制研究;甘玉芳;《中国优秀硕士学位论文全文数据库 信息科技辑 (月刊)》;20160515;第1-64页 *

Also Published As

Publication number Publication date
CN108259422A (zh) 2018-07-06
WO2018121445A1 (zh) 2018-07-05

Similar Documents

Publication Publication Date Title
CN108259422B (zh) 一种多租户访问控制方法和装置
US10652235B1 (en) Assigning policies for accessing multiple computing resource services
US11616783B2 (en) Security design and architecture for a multi-tenant Hadoop cluster
CN107579958B (zh) 数据管理方法、装置及系统
US10218703B2 (en) Determining a permission of a first tenant with respect to a second tenant
US9836308B2 (en) Hardware security module access management in a cloud computing environment
US10372483B2 (en) Mapping tenat groups to identity management classes
US9372964B2 (en) Software license control
US8977857B1 (en) System and method for granting access to protected information on a remote server
US8578452B2 (en) Method for securely creating a new user identity within an existing cloud account in a cloud computing system
JPH1083310A (ja) プログラム・コードの配布方法及びシステム
US11089028B1 (en) Tokenization federation service
CN109995791B (zh) 一种数据授权方法及系统
US11943345B2 (en) Key management method and related device
US11146552B1 (en) Decentralized application authentication
US20160335338A1 (en) Controlling replication of identity information
CN111917711B (zh) 数据访问方法、装置、计算机设备和存储介质
CN112311830B (zh) 基于云存储的Hadoop集群的多租户认证系统及方法
TW201710944A (zh) 鑒權方法及鑒權裝置
KR20070076342A (ko) 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법
EP3975015B9 (en) Applet package sending method and device and computer readable medium
CN116707849A (zh) 针对飞地实例的云服务访问权限设置方法和云管理平台
CN112422475B (zh) 一种服务鉴权方法、装置、系统及存储介质
CN114692126A (zh) 大数据统一授权访问方法、装置、电子设备及介质
Kuppusamy et al. Design and development of multi-tenant web framework

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant