CN111159134A - 面向多租户的分布式文件系统安全访问控制方法及系统 - Google Patents
面向多租户的分布式文件系统安全访问控制方法及系统 Download PDFInfo
- Publication number
- CN111159134A CN111159134A CN201911303027.7A CN201911303027A CN111159134A CN 111159134 A CN111159134 A CN 111159134A CN 201911303027 A CN201911303027 A CN 201911303027A CN 111159134 A CN111159134 A CN 111159134A
- Authority
- CN
- China
- Prior art keywords
- tenant
- user
- file system
- distributed file
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/182—Distributed file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/176—Support for shared access to files; File sharing support
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种面向多租户的分布式文件系统安全访问控制方法,包括以下步骤:1)租户命名空间映射:对租户在分布式文件系统中有权限访问的资源进行约束,并为多租户分配互相隔离的命名空间,使得每个租户只能访问指定资源的空间地址;2)用户唯一身份凭证映射:对租户下的每个用户分配在整个分布式文件系统中唯一的身份标识,防止出现用户身份凭证冲突;3)用户权限映射:将租户下的每个用户所拥有的权限映射到分布式文件系统中以确保访问正确。与现有技术相比,本发明实现了分布式文件系统安全地为云提供存储服务时完善的租户访问控制,具有同时兼具隔离性和共享性、安全性高等优点。
Description
技术领域
本发明涉及计算机安全存储技术领域,尤其是涉及一种面向多租户的分布式文件系统安全访问控制方法及系统。
背景技术
近年来,随着企业和个人不断地产生、汇集越来越多的诸如图片、视频音频等非规则的数据,非结构化的数据占据了全部数据量的80%。典型的几种存储类型中,分布式文件系统作为适用于存储非结构化数据的存储类型,在分布式计算、高性能集群等领域应用已非常成熟。而随着云计算的发展,互联网数据中心IDC预测到2025年,将有49%的数据上云,因此为云提供数据存储的存储类型的选择变得越来越重要。如若使用分布式文件系统为云提供存储服务,则分布式文件系统可以提供海量便宜的存储能力以及良好的共享能力,然而分布式文件系统的特性与云环境相兼容会产生一些安全上的问题。主要表现于:分布式文件系统是通过提供统一标准的接口使得多客户端对底层的统一命名空间(资源池)进行访问存储的,而云环境的特殊性在于其包含多个租户,每个租户是相互独立、资源隔离的。因此如果多租户使用分布式文件系统作为统一的存储资源池,一方面,每个租户都可以访问分布式文件系统中的所有资源,其中自然包含其他租户保存在文件系统中的资源,那么这就违背了租户资源的隔离性;另一方面,由于每个租户都有自己的用户域,那么多个租户的用户域与分布式文件系统的用户域进行对应时,会出现多对一的对应问题,同样会产生租户访问资源混乱的问题,因此以上两方面都体现出了缺乏合理的租户访问控制方法。
由于云的基础设施依赖于虚拟化技术,传统的访问控制方法不再适用于云平台的需求,云环境下的访问控制技术已经从传统的用户授权延展到虚拟资源的访问上了。目前,对多租户访问控制的相关研究包括通过虚拟机管理程序Hypervisor实现客户机层的访问控制,即集中式的在Hypervisor虚拟机管理层部署来提供兼容的、可伸缩的在其上的所有客户机对资源的访问控制。VirtFS是通过虚拟机管理程序提供访问控制的一种实现,它提供了一种系统层的虚拟化技术,直接将宿主机上的系统服务-文件系统给客户机使用,实现了一种文件系统的半虚拟化。VirtFS提供了两种安全模式:mapped和passthrough,但是两种安全模式存在访问控制粒度较粗以及不适用于多租户场景的问题,因此不适用于分布式文件系统为多租户的云环境提供安全的存储能力。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种面向多租户的分布式文件系统安全访问控制方法及系统。
本发明的目的可以通过以下技术方案来实现:
一种面向多租户的分布式文件系统安全访问控制方法,包括以下步骤:
1)租户命名空间映射:对租户在分布式文件系统中有权限访问的资源进行约束,并为多租户分配互相隔离的命名空间,使得每个租户只能访问指定资源的空间地址;
2)用户唯一身份凭证映射:对租户下的每个用户分配在整个分布式文件系统中唯一的身份标识,防止出现用户身份凭证冲突;
3)用户权限映射:将租户下的每个用户所拥有的权限映射到分布式文件系统中以确保访问正确。
所述的步骤1)中,通过分段映射的方式,将每个租户的虚拟空间映射到实际分布式文件系统中的一块特定可访问的命名空间,根据不同的目录划分以实现每个租户实际可访问空间的隔离性。
对于包含多租户的集合,将集合内的每个租户映射到分布式文件系统划分出来的同一块共享区域,实现多租户的共享。
所述的步骤2)中,在整个分布式文件系统中唯一的身份标识为由租户身份、子用户身份、客户机唯一身份UID和客户机内用户身份和随机位组成的多位数。
所述的步骤3)中,权限映射具体包括:
文件在映射并存储到分布式文件系统后确保文件的拥有者、其所属组内用户和其他用户均可使用其对该文件拥有的权限;
对于拥有超级权限的用户,应具有对所有文件和目录操作的权限,即当客户机在根用户下运行时,对所有文件目录拥有最高的访问控制权限。
一种面向多租户的分布式文件系统安全访问控制系统,该系统由带有虚拟机管理程序的宿主机集群以及采用KVM+QEMU的虚拟机管理技术提供云租户使用的客户机构成,通过采用9P文件访问协议实现宿主机和客户机之间的目录共享,该系统构架由客户端和服务器端两部分组成,客户端以内核模块的形式挂载在客户机中,服务器端位于宿主机QEMU进程中通过提供文件系统的接口来支持远程客户端的文件访问。
对于租户命名空间映射,租户的可访问命名空间的分配通过在QEMU中客户机创建模块中修改实现,并通过数据中心保存租户元数据,包括租户的挂载路径和租户内子用户标识,QEMU在创建客户机时,通过数据中心中获得租户指定的挂载路径,完成客户机的创建,使得该客户机只能使用所属租户的命名空间作为存储资源。
对于用户唯一身份凭证映射,通过对分配给租户的客户机内的所有用户提供一个在整个分布式文件系统中唯一的身份标识保证租户以及租户内子用户访问分布式文件系统资源时与分布式文件系统用户域一一对应,避免发生多对一的映射混乱,在确定映射后,通过在客户机创建文件或目录的请求到达服务器端时对该文件或目录的用户UID和租户GID进行映射更改,存储到分布式文件系统中。
对于用户权限映射,首先客户端对发起请求的用户进行权限检查,并授予访问权,服务器端对接收到的请求进行数据读写,在读写函数的调用中,需对上下文信息中的用户UID进行映射和复原。
对于超级用户,捕捉到来自超级用户的操作均赋予其可执行的权限。
与现有技术相比,本发明具有以下优点:
本发明实现了分布式文件系统安全地为云提供存储服务时完善的租户访问控制方法,本发明的安全访问控制方法拥有以下优点:
隔离性:本发明采用多层次的隔离方法,每个云租户都有自己独立的命名空间,云租户之间互相独立,资源隔离,每个云租户都有自己的安全组,组内子用户也有各自隔离的命名空间,且组内每个子用户在整个分布式文件系统中是全局唯一的。
共享性:本发明提供了不同等级的资源的共享能力,包括面向所有租户的开放的共享层,比如所有租户共享的云配置共享区域,面向特定租户集合的共享层,面向租户安全组内特定子用户集合的共享层。
附图说明
图1为本发明多租户访问控制映射方法的总图。
图2为本发明的命名空间分配模块映射方法图。
图3为本发明的用户及权限模块映射图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
针对当前缺乏完善的多租户对分布式文件系统的访问控制方法的问题,本发明构造了一个面向云环境使用分布式文件系统的访问控制方法,通过为多租户分配互相隔离的命名空间以及为租户内每个用户分配在整个分布式文件系统中唯一的用户凭证映射和对应地权限映射来实现多租户对分布式文件系统资源的安全访问控制。
为实现对多租户对分布式文件系统的访问控制,本发明设计了一套映射方法,该映射方法包括三方面的映射:资源映射、用户映射和权限映射。
首先,通过一个将资源进行映射划分的功能模块对租户在分布式文件系统中有权限访问的资源进行约束,租户只能访问指定资源的空间地址;
其次,针对租户下进行资源使用的用户存在身份凭证冲突的问题,设计了一个为每个用户重新映射分配唯一身份标识的功能模块;
最后,对于每个用户,在分布式文件系统中不仅需要唯一身份标识,还需要用户权限控制映射功能模块将该用户所拥有的权限映射到分布式文件系统中来确保访问正确。
下面对本发明用到的一些名词进行释义:
分布式文件系统的资源称为统一命名空间(Namespace),分布式文件系统所提供的资源是以虚拟机的形式存在的,而这些虚拟机是由虚拟机管理程序Hypervisor所管理的,Hypervisor是用来建立与执行虚拟机的软件、固件或硬件,被Hypervisor用来执行一个或多个虚拟机的机器称为宿主机(host machine),虚拟机则称为客户机(guest machine)。而资源的使用者统称为用户,具体包括几层:租户,可以理解为购买云服务的客户,如一个企业;租户下的子用户,即企业内的所有职员;客户机内的用户,例如每个客户机都有一个root用户。
本发明方法针对租户的命名空间、用户凭证和用户权限分别设计了租户命名空间映射方法、用户唯一性映射方法和用户权限映射方法,具体介绍如下:
1、租户命名空间映射方法
分布式文件系统提供的资源是一个统一的命名空间,本发明对多租户对资源的访问控制是通过对多租户可访问的资源进行映射实现隔离和共享的,对于租户的隔离性,假设每个租户都可以访问整个分布式文件系统的命名空间,即每个租户拥有整个分布式文件系统的假想的虚拟空间,事实上是通过分段映射的方法,将每个租户的虚拟空间映射到实际分布式文件系统中某块特定的可访问的命名空间,根据不同的目录划分,实现每个租户实际可访问空间的隔离性;
而对于包含多租户的集合而言,将集合内的每个租户映射到同一块分布式文件系统划分出来的共享区域,可以实现多租户的共享能力。进一步来讲,每个租户内包含多个子用户,每个子用户在该租户空间内可访问的资源也具有隔离性和共享性,即使用同样原理的映射方法来实现,由此保证了使用云的每个租户和其下子用户都有自己的安全隔离空间和共享空间。
2、用户唯一性映射方法
通过第一步对租户可访问空间的约束,达到了租户间的资源隔离,而每个租户下客户机用户域中的每个用户需要确保分配了在整个分布式文件系统中都全局唯一的用户标识UID,来确保每个用户访问正确的资源空间。本发明中用户身份凭证映射由以下部分组成:租户身份、子用户身份、客户机唯一身份UID和客户机内用户身份和随机位,通过对每个客户机用户重新分配一个在整个分布式文件系统中全局唯一的ID来进行标识,来避免出现多用户ID相同导致多租户访问混乱的情况。
3、用户权限映射方法
通常对于文件或目录而言,用户身份包括所有者、所属组和其他人,而对文件的可操作权限包括读、写和可执行三种,每个文件或目录都有对三种用户身份可操作权限的控制。因此本发明在为每个客户机的每个用户在分布式文件系统中映射唯一的身份凭证之后,还需要将每个客户机用户对文件及目录所拥有的权限控制同样映射到分布式文件系统中,否则会造成从分布式文件系统资源中反馈给客户机用户的资源与该用户实际拥有的资源不符的问题发生。具体的映射从两方面展开,文件在映射并存储到底层分布式文件系统后要确保文件的拥有者、其所属组内用户和其他用户都可以使用其对该文件拥有的权限,且对于拥有超级权限的用户,如根用户应该具有对所有文件和目录操作的权限,即客户机在root用户下运行,应该对所有文件目录拥有最高的访问控制权限。
实施例
如图1所示,本发明在虚拟机管理程序层Hypervisor实现访问控制的多个功能模块,首先虚拟机管理程序位于租户访问不到的宿主机集群上,保证了一定程度的安全性;另外Linux的各个主要发行版本都会集成一些主流的开源虚拟技术中,兼容性强,因此本发明使用KVM+QEMU的虚拟机管理技术来提供云租户使用的资源单位-客户机,KVM(Kernel-Based Virtual Machine)是Linux内核中的一个可加载模块,通过调用Linux本身内核功能,实现对CPU的底层虚拟化和内存的虚拟化;而QEMU运行在用户空间,实际模拟创建,管理各种虚拟硬件,并负责模拟IO设备,由于KVM模块位于内核中,如在KVM模块上实现需要实现多种内核版本的修改,工作量巨大且兼容性差,因此本发明决定在位于用户空间的QEMU上进行实现,基于以上硬件系统结构,分别实现资源映射、用户映射和权限映射的具体方法如下:
1、租户命名空间映射的实现
如图2所示,本发明基于KVM\QEMU的虚拟化管理技术,使用9P文件访问协议实现宿主机和客户机(虚拟机)之间的目录共享能力,因此租户可访问使用的命名空间的分配基于V9FS,V9FS是9P文件访问协议下远程文件系统的Unix实现,即提供Linux下分布式资源的共享协议。因此本发明的系统架构由两部分组成:客户端和服务器端,客户端以内核模块的形式挂载在客户机中,服务器端位于宿主机QEMU进程中提供文件系统的接口来支持远程客户端的文件访问,这样客户端就可以像访问本地文件系统一般使用服务器端的文件系统。
租户特定的可访问命名空间的分配通过在QEMU中客户机创建模块中修改实现,如何分配需要数据中心的支持,数据中心中保存租户元数据如租户挂载路径、租户内子用户标识等,QEMU创建客户机时,通过数据中心中获得租户指定的挂载路径,完成客户机的创建,最终该客户机只能使用所属租户的命名空间作为存储资源。
2、用户唯一性映射的实现
本发明通过对分配给租户的客户机内的所有用户(包括root用户等)提供一个在整个分布式文件系统中唯一的标识来保证租户及其下子用户访问分布式文件系统资源时与分布式文件系统用户域一一对应,从而避免多对一等映射混乱的问题发生。ID映射机制即租户ID、租户下子用户ID、客户机ID和客户机内UID的组合并加上随机数组成的多位数ID,以确保其唯一性。确定了映射机制后,通过在客户机创建文件或目录的请求到达RFS服务器端时对该文件或目录的用户UID和租户GID进行映射更改,最终存储到底层分布式文件系统中。
3、用户权限映射的实现
如图3所示,对于客户机用户对文件或目录权限的映射实现体现在了用户对文件目录的读写等操作上,首先,客户端对发起请求的用户进行权限检查,并授予访问权;服务器端对接收到的请求进行数据读写,读写函数的调用中,需要对上下文信息中的UID等进行映射和复原。特别地,对于超级用户,捕捉到来自超级用户的操作均赋予其可执行的权限。
本发明的测试验证过程如下:
测试环境主要包括两部分,宿主机和在宿主机上创建的客户机,对宿主机而言,CPU支持虚拟化技术Intel VT-x,重新编译并安装经修改的QEMU源码,编译时添加参数--enable-virtfs;对于客户机而言,需要提供Linux操作系统内核对9P文件访问协议的支持,Linux内核2.6.36.rc4及以上版本支持9P文件访问协议,在此环境下,成功实现了多用户模式在文件系统中使用指定的互相隔离的命名空间,且每个用户在文件系统中都有全局唯一的身份凭证。
Claims (10)
1.一种面向多租户的分布式文件系统安全访问控制方法,其特征在于,包括以下步骤:
1)租户命名空间映射:对租户在分布式文件系统中有权限访问的资源进行约束,并为多租户分配互相隔离的命名空间,使得每个租户只能访问指定资源的空间地址;
2)用户唯一身份凭证映射:对租户下的每个用户分配在整个分布式文件系统中唯一的身份标识,防止出现用户身份凭证冲突;
3)用户权限映射:将租户下的每个用户所拥有的权限映射到分布式文件系统中以确保访问正确。
2.根据权利要求1所述的一种面向多租户的分布式文件系统安全访问控制方法,其特征在于,所述的步骤1)中,通过分段映射的方式,将每个租户的虚拟空间映射到实际分布式文件系统中的一块特定可访问的命名空间,根据不同的目录划分以实现每个租户实际可访问空间的隔离性。
3.根据权利要求2所述的一种面向多租户的分布式文件系统安全访问控制方法,其特征在于,对于包含多租户的集合,将集合内的每个租户映射到分布式文件系统划分出来的同一块共享区域,实现多租户的共享。
4.根据权利要求1所述的一种面向多租户的分布式文件系统安全访问控制方法,其特征在于,所述的步骤2)中,在整个分布式文件系统中唯一的身份标识为由租户身份、子用户身份、客户机唯一身份UID和客户机内用户身份和随机位组成的多位数。
5.根据权利要求1所述的一种面向多租户的分布式文件系统安全访问控制方法,其特征在于,所述的步骤3)中,权限映射具体包括:
文件在映射并存储到分布式文件系统后确保文件的拥有者、其所属组内用户和其他用户均可使用其对该文件拥有的权限;
对于拥有超级权限的用户,应具有对所有文件和目录操作的权限,即当客户机在根用户下运行时,对所有文件目录拥有最高的访问控制权限。
6.一种实现如权利要求1-5任一项所述的面向多租户的分布式文件系统安全访问控制方法的控制系统,其特征在于,该系统由带有虚拟机管理程序的宿主机集群以及采用KVM+QEMU的虚拟机管理技术提供云租户使用的客户机构成,通过采用9P文件访问协议实现宿主机和客户机之间的目录共享,该系统构架由客户端和服务器端两部分组成,客户端以内核模块的形式挂载在客户机中,服务器端位于宿主机QEMU进程中通过提供文件系统的接口来支持远程客户端的文件访问。
7.根据权利要求6所述的一种控制系统,其特征在于,对于租户命名空间映射,租户的可访问命名空间的分配通过在QEMU中客户机创建模块中修改实现,并通过数据中心保存租户元数据,包括租户的挂载路径和租户内子用户标识,QEMU在创建客户机时,通过数据中心中获得租户指定的挂载路径,完成客户机的创建,使得该客户机只能使用所属租户的命名空间作为存储资源。
8.根据权利要求6所述的一种控制系统,其特征在于,对于用户唯一身份凭证映射,通过对分配给租户的客户机内的所有用户提供一个在整个分布式文件系统中唯一的身份标识保证租户以及租户内子用户访问分布式文件系统资源时与分布式文件系统用户域一一对应,避免发生多对一的映射混乱,在确定映射后,通过在客户机创建文件或目录的请求到达服务器端时对该文件或目录的用户UID和租户GID进行映射更改,存储到分布式文件系统中。
9.根据权利要求6所述的一种控制系统,其特征在于,对于用户权限映射,首先客户端对发起请求的用户进行权限检查,并授予访问权,服务器端对接收到的请求进行数据读写,在读写函数的调用中,需对上下文信息中的用户UID进行映射和复原。
10.根据权利要求9所述的一种控制系统,其特征在于,对于超级用户,捕捉到来自超级用户的操作均赋予其可执行的权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911303027.7A CN111159134B (zh) | 2019-12-17 | 2019-12-17 | 面向多租户的分布式文件系统安全访问控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911303027.7A CN111159134B (zh) | 2019-12-17 | 2019-12-17 | 面向多租户的分布式文件系统安全访问控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111159134A true CN111159134A (zh) | 2020-05-15 |
| CN111159134B CN111159134B (zh) | 2023-09-26 |
Family
ID=70557638
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911303027.7A Active CN111159134B (zh) | 2019-12-17 | 2019-12-17 | 面向多租户的分布式文件系统安全访问控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111159134B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112434041A (zh) * | 2020-11-30 | 2021-03-02 | 中国人寿保险股份有限公司 | 基于索引别名的跨租户跨桶检索方法、装置、介质和设备 |
| CN112434321A (zh) * | 2020-12-01 | 2021-03-02 | 武汉绿色网络信息服务有限责任公司 | 一种数据存储方法、装置、计算机设备及存储介质 |
| CN113190529A (zh) * | 2021-04-29 | 2021-07-30 | 电子科技大学 | 一种适用MongoDB数据库的多租户数据共享存储系统 |
| CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
| CN114422456A (zh) * | 2022-03-31 | 2022-04-29 | 阿里云计算有限公司 | 任务处理方法以及装置 |
| WO2022135167A1 (zh) * | 2020-12-21 | 2022-06-30 | 上海商汤智能科技有限公司 | 云服务方法、装置、设备及存储介质 |
| WO2022183713A1 (zh) * | 2021-03-02 | 2022-09-09 | 中国银联股份有限公司 | 数据存储方法、装置、设备及存储介质 |
| WO2022206242A1 (zh) * | 2021-03-30 | 2022-10-06 | 华为技术有限公司 | 多租户运维管理方法、装置及系统 |
| CN116155890A (zh) * | 2023-04-20 | 2023-05-23 | 杭州优云科技有限公司 | 分布式文件系统的实现方法及装置 |
| CN116910015A (zh) * | 2023-09-12 | 2023-10-20 | 苏州浪潮智能科技有限公司 | 一种存储平台服务方法、装置、设备及存储介质 |
| CN116955275A (zh) * | 2023-07-06 | 2023-10-27 | 三峡高科信息技术有限责任公司 | 一种基于多租户的企业级文档中心实现方法及系统 |
| CN117371030A (zh) * | 2023-09-27 | 2024-01-09 | 上海嗨普智能信息科技股份有限公司 | 一种多租户被受限地访问对象存储方法以及管理系统 |
| CN117806836A (zh) * | 2024-02-29 | 2024-04-02 | 济南浪潮数据技术有限公司 | 分布式文件系统命名空间管理方法、装置和设备 |
| CN117806836B (zh) * | 2024-02-29 | 2024-06-07 | 济南浪潮数据技术有限公司 | 分布式文件系统命名空间管理方法、装置和设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110213870A1 (en) * | 2010-02-26 | 2011-09-01 | International Business Machines Corporation | Providing services to multiple tenants of an application |
| CN110163002A (zh) * | 2019-05-29 | 2019-08-23 | 上海有谱网络科技有限公司 | 一种SaaS软件租户数据隔离的方法 |
-
2019
- 2019-12-17 CN CN201911303027.7A patent/CN111159134B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110213870A1 (en) * | 2010-02-26 | 2011-09-01 | International Business Machines Corporation | Providing services to multiple tenants of an application |
| CN110163002A (zh) * | 2019-05-29 | 2019-08-23 | 上海有谱网络科技有限公司 | 一种SaaS软件租户数据隔离的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刑静宇, 电子科技大学出版社 * |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112434041A (zh) * | 2020-11-30 | 2021-03-02 | 中国人寿保险股份有限公司 | 基于索引别名的跨租户跨桶检索方法、装置、介质和设备 |
| WO2022116847A1 (zh) * | 2020-12-01 | 2022-06-09 | 武汉绿色网络信息服务有限责任公司 | 一种数据存储方法、装置、计算机设备及存储介质 |
| CN112434321A (zh) * | 2020-12-01 | 2021-03-02 | 武汉绿色网络信息服务有限责任公司 | 一种数据存储方法、装置、计算机设备及存储介质 |
| WO2022135167A1 (zh) * | 2020-12-21 | 2022-06-30 | 上海商汤智能科技有限公司 | 云服务方法、装置、设备及存储介质 |
| TWI800985B (zh) * | 2021-03-02 | 2023-05-01 | 大陸商中國銀聯股份有限公司 | 資料存儲方法、裝置、設備及存儲介質 |
| WO2022183713A1 (zh) * | 2021-03-02 | 2022-09-09 | 中国银联股份有限公司 | 数据存储方法、装置、设备及存储介质 |
| WO2022206242A1 (zh) * | 2021-03-30 | 2022-10-06 | 华为技术有限公司 | 多租户运维管理方法、装置及系统 |
| CN113190529A (zh) * | 2021-04-29 | 2021-07-30 | 电子科技大学 | 一种适用MongoDB数据库的多租户数据共享存储系统 |
| CN113190529B (zh) * | 2021-04-29 | 2023-09-19 | 电子科技大学 | 一种适用MongoDB数据库的多租户数据共享存储系统 |
| CN113239344A (zh) * | 2021-05-12 | 2021-08-10 | 建信金融科技有限责任公司 | 一种访问权限控制方法和装置 |
| CN113239344B (zh) * | 2021-05-12 | 2023-05-05 | 中国建设银行股份有限公司 | 一种访问权限控制方法和装置 |
| CN114422456A (zh) * | 2022-03-31 | 2022-04-29 | 阿里云计算有限公司 | 任务处理方法以及装置 |
| CN114422456B (zh) * | 2022-03-31 | 2022-08-16 | 阿里云计算有限公司 | 任务处理方法以及装置 |
| CN116155890B (zh) * | 2023-04-20 | 2023-08-15 | 杭州优云科技有限公司 | 分布式文件系统的实现方法及装置 |
| CN116155890A (zh) * | 2023-04-20 | 2023-05-23 | 杭州优云科技有限公司 | 分布式文件系统的实现方法及装置 |
| CN116955275A (zh) * | 2023-07-06 | 2023-10-27 | 三峡高科信息技术有限责任公司 | 一种基于多租户的企业级文档中心实现方法及系统 |
| CN116955275B (zh) * | 2023-07-06 | 2024-03-12 | 三峡高科信息技术有限责任公司 | 一种基于多租户的企业级文档中心实现方法及系统 |
| CN116910015A (zh) * | 2023-09-12 | 2023-10-20 | 苏州浪潮智能科技有限公司 | 一种存储平台服务方法、装置、设备及存储介质 |
| CN116910015B (zh) * | 2023-09-12 | 2024-01-19 | 苏州浪潮智能科技有限公司 | 一种存储平台服务方法、装置、设备及存储介质 |
| CN117371030A (zh) * | 2023-09-27 | 2024-01-09 | 上海嗨普智能信息科技股份有限公司 | 一种多租户被受限地访问对象存储方法以及管理系统 |
| CN117806836A (zh) * | 2024-02-29 | 2024-04-02 | 济南浪潮数据技术有限公司 | 分布式文件系统命名空间管理方法、装置和设备 |
| CN117806836B (zh) * | 2024-02-29 | 2024-06-07 | 济南浪潮数据技术有限公司 | 分布式文件系统命名空间管理方法、装置和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111159134B (zh) | 2023-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111159134B (zh) | 面向多租户的分布式文件系统安全访问控制方法及系统 | |
| CN109643242B (zh) | 用于多租户hadoop集群的安全设计和架构 | |
| US11290336B1 (en) | Controlling permissions for remote management of computing resources | |
| RU2598324C2 (ru) | Средства управления доступом к онлайновой службе с использованием внемасштабных признаков каталога | |
| US8544070B2 (en) | Techniques for non repudiation of storage in cloud or shared storage environments | |
| US10372483B2 (en) | Mapping tenat groups to identity management classes | |
| US9270703B1 (en) | Enhanced control-plane security for network-accessible services | |
| US20200067933A1 (en) | Directory access sharing across web services accounts | |
| US11888856B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| US9740870B1 (en) | Access control | |
| US11233800B2 (en) | Secure resource authorization for external identities using remote principal objects | |
| CN111695108B (zh) | 一种异构计算环境中多源账号的用户统一账号标识系统 | |
| CN112019543A (zh) | 一种基于brac模型的多租户权限系统 | |
| CN115865502B (zh) | 权限管控方法、装置、设备及存储介质 | |
| US10104163B1 (en) | Secure transfer of virtualized resources between entities | |
| US20230077424A1 (en) | Controlling access to resources during transition to a secure storage system | |
| CN112019495A (zh) | 广域虚拟数据空间账户动态映射机制与数据安全管控方法 | |
| KR100673329B1 (ko) | 그리드 환경에서 인증서를 이용한 사용자 역할/권한 설정 시스템 및 그 방법 | |
| US11356438B2 (en) | Access management system with a secret isolation manager | |
| WO2022250878A1 (en) | Centralized access control for cloud relational database management system resources | |
| WO2024006624A1 (en) | Isolated runtime environments for securing secrets used to access remote resources from compute instances | |
| CN114185946A (zh) | 多租户应用系统控制方法及系统 | |
| CN117610058A (zh) | 基于rbac的支持多租户的数据权限管理装置及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |