一种多租户服务资源动态访问授权与认证系统及方法技术方案

本发明专利技术提供一种多租户服务资源动态访问授权与认证系统及方法，涉及计算机技术领域。该系统及方法监测云平台可用服务资源总量，完成系统配置，生成服务资源角色森林和服务资源安全访问标签森林；系统运行过程中实现租户服务需求实时接入控制以及隔离式共享控制，租户服务需求资源安全访问控制，同时监测租户服务需要变化以及系统进行情况，并作出相应调整；系统运行过程中还实时记录云平台运行状态到日志文件；当不可拒外力引起云平台崩溃时，根据日志文件重启并回滚崩溃前的云平台配置与服务运行状态。本发明专利技术的系统及方法，满足租户实时服务需求的同时，实现云平台服务资源的安全访问控制，提升云平台服务性能与安全性能。提升云平台服务性能与安全性能。提升云平台服务性能与安全性能。

【技术实现步骤摘要】
一种多租户服务资源动态访问授权与认证系统及方法


[0001]本专利技术涉及计算机
，尤其涉及一种多租户服务资源动态访问授权与认证系统及方法。

技术介绍

[0002]随着互联网技术的发展、应用软件开发技术的成熟，以及企业对提高办公效率诉求的增长，软件即服务(SaaS)技术逐渐发展成熟。软件即服务模式下，用户只需向服务提供商购买各种应用服务，无需向软件开发商购买软件实体，也不用关注软件版本的维护与更新，即可满足各自的服务需求。除此之外，该技术多基于云平台实现服务资源部署与调度，用户无需关注服务器架构及配置。不过，享受服务的用户均理所应当为服务提供者支付相关费用。因此，云平台用户又称为“租户”。相对于租户数量来说，云平台服务资源总量仍然有限，并且随着规模增长，资源扩展需要耗费更大的人力、物力、财力。另一方面，租户多通过互联网访问服务资源，所以隐私与安全访问成为必须解决的关键问题。安全访问控制策略，需要确保通过授权的租户可安全地访问服务资源，又能有效阻止非法租户对数据或资源潜在破坏的可能性。目前，基于角色的访问控制(Role Based Access Control，即RBAC)通过角色的桥梁作用，解耦用户与权限间关联关系，简化授权操作过程和权限系统安全管理模式，易于扩展，是安全访问控制策略的典型代表。但是，现有技术只是简单地实现租户间的隔离访问控制，并未将SaaS服务视为一个有机整体，使得租户完全隔离，忽视了租户间的联系。

技术实现思路

[0003]本专利技术要解决的技术问题是针对上述现有技术的不足，提供一种多租户服务资源动态访问授权与认证系统及方法，实现租户服务资源安全访问控制，为租户提供个性化服务，提升云平台服务性能。
[0004]为解决上述技术问题，本专利技术所采取的技术方案是：一方面，本专利技术提供一种多租户服务资源动态访问授权与认证系统，包括系统管理模块、服务控制数据库和安全访问控制核心处理模块；
[0005]所述系统管理模块包括容量管理子模块、故障管理子模块、性能管理子模块、配置管理子模块、综合监控子模块、用户管理子模块和授权服务子模块；
[0006]所述容量管理子模块，用于实时监测系统运行状态，根据租户服务需求，完成服务资源实时调度；
[0007]所述故障管理子模块，用于实时记录系统运行状态，在系统出现故障时给出提示信息，并通过日志记录实现系统重启后的状态回滚；
[0008]所述性能管理子模块，用于实时评测系统运行性能，若系统资源余量低于设定的资源量阈值，租户需求排队长度大于设定的长度阈值，则实时部分回收优先级低于设定的优先级阈值的租户当前占用的服务资源；
[0009]所述配置管理子模块，用于辅助系统用户完成系统配置工作；
[0010]所述综合监控子模块，用于实时监测租户需求变化情况，并记录租户历史需求数据，更新基于配置管理子模块设置的规则构造的租户角色层次树、服务需求资源访问标签树；
[0011]所述用户管理子模块，用于实现系统用户信息的登记、注册；
[0012]所述授权服务子模块，通过用户提供的信息对用户的身份进行认证；
[0013]所述服务控制数据库，用于记录系统正常运行所需求数据，并记录租户登记信息；所述租户登记信息包括租户标识、服务优先级和服务需求值；
[0014]所述安全访问控制核心处理模块，根据租户实时服务需求，实现多租户服务资源安全访问控制，具体由应用服务层、服务访问过滤层、访问控制管理层和数据访问代理层构成；
[0015]所述应用服务层与租户服务需求直接对应，负责租户实时需求的接入控制；
[0016]所述服务访问过滤层对经过授权用户的访问请求进行相应处理，对未经授权用户的访问请求直接禁止；同时，将租户用户的访问请求直接交于访问控制管理层的租户访问控制与权限管理模块处理，平台用户的访问请求则交由访问控制管理层的服务访问控制与权限管理模块处理；
[0017]所述数据访问代理层根据访问者身份及其所具有的安全信息从服务控制数据库中取出相应数据，防止合法的用户访问非法的数据；
[0018]优选地，所述系统配置包括系统初始服务资源的设定、最低保障资源的设定、服务需求队列的长度设定、构造服务资源角色森林、制定安全访问控制标签、构造角色与服务资源安全访问标签对应关系表。
[0019]优选地，所述服务控制数据库包括租户角色描述数据结构表以及角色层次树，服务标签描述数据结构表以及标签层次树，根据服务需求历史记录进化聚类得到的多租户共同任务描述表，以及任务与角色的对应关系表。
[0020]另一方面，本专利技术还提供一种多租户服务资源动态访问授权与认证方法，包括以下步骤：
[0021]步骤1：多租户服务资源动态访问授权与认证系统启动时，完成云平台初始化；
[0022]步骤1.1监测云平台可用服务资源总量，并与初始日志文件进行匹配验证；
[0023]步骤1.2辅助系统用户完成系统配置工作，包括系统初始服务资源的设定、最低保障资源的设定、服务需求队列长度的设定；
[0024]步骤1.3根据系统初始配置文件，实现系统用户信息的登记、注册；
[0025]步骤1.4通过用户提供的信息对用户的身份进行认证；
[0026]步骤1.5制定服务资源与角色对应关系，对系统服务资源按角色进行划分，生成服务资源角色森林；
[0027]步骤1.6对服务资源进入细分，并制定安全访问控制标签，生成服务资源安全访问标签森林；
[0028]步骤2：多租户服务资源动态访问授权与认证系统运行过程中，实现租户服务需求实时接入控制以及隔离式共享控制；
[0029]步骤2.1实时监测租户接入请求，并核实租户身份，对未经授权用户的访问请求直
接禁止；
[0030]步骤2.2.根据通过身份认证租户服务需求进行进化聚类分析，由聚类结果生成租户角色层次树；
[0031]步骤2.3匹配租户角色层次树中结点属性与服务资源角色属性，实现云平台服务资源访问控制；
[0032]步骤3：多租户服务资源动态访问授权与认证系统运行过程中，实现租户服务需求资源安全访问控制；
[0033]步骤3.1由租户服务资源需求角色层次树以及角色与安全访问标签对应关系表，构造租户服务需求资源访问标签树；
[0034]步骤3.2将租户服务需求资源访问标签树与服务资源安全访问标签森林进行匹配，确保租户对服务资源的访问权限；
[0035]步骤4：多租户服务资源动态访问授权与认证系统运行过程中，实时监测租户服务需要变化以及系统进行情况，并作出相应调整；
[0036]步骤4.1实时监测系统运行状态，根据租户服务需求，完成服务资源实时调度；
[0037]步骤4.2实时评测系统运行性能，若系统资源余量低于设定资源阈值，租户需求排队长度大于设定的长度阈值，则实时部分回收优先级低于设定优先级阈值的租户当前占用的服务资源；
[0038]步骤4.3实时监测租户需求变本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多租户服务资源动态访问授权与认证系统，其特征在于：包括系统管理模块、服务控制数据库和安全访问控制核心处理模块；所述系统管理模块包括容量管理子模块、故障管理子模块、性能管理子模块、配置管理子模块、综合监控子模块、用户管理子模块和授权服务子模块；所述容量管理子模块，用于实时监测系统运行状态，根据租户服务需求，完成服务资源实时调度；所述故障管理子模块，用于实时记录系统运行状态，在系统出现故障时给出提示信息，并通过日志记录实现系统重启后的状态回滚；所述性能管理子模块，用于实时评测系统运行性能，若系统资源余量低于设定的资源量阈值，租户需求排队长度大于设定的长度阈值，则实时部分回收优先级低于设定的优先级阈值的租户当前占用的服务资源；所述配置管理子模块，用于辅助系统用户完成系统配置工作；所述综合监控子模块，用于实时监测租户需求变化情况，并记录租户历史需求数据，更新基于配置管理子模块设置的规则构造的租户角色层次树、服务需求资源访问标签树；所述用户管理子模块，用于实现系统用户信息的登记、注册；所述授权服务子模块，通过用户提供的信息对用户的身份进行认证；所述服务控制数据库，用于记录系统正常运行所需求数据，并记录租户登记信息；所述租户登记信息包括租户标识、服务优先级和服务需求值；所述安全访问控制核心处理模块，根据租户实时服务需求，实现多租户服务资源安全访问控制，具体由应用服务层、服务访问过滤层、访问控制管理层和数据访问代理层构成；所述应用服务层与租户服务需求直接对应，负责租户实时需求的接入控制；所述服务访问过滤层对经过授权用户的访问请求进行相应处理，对未经授权用户的访问请求直接禁止；同时，将租户用户的访问请求直接交于访问控制管理层的租户访问控制与权限管理模块处理，平台用户的访问请求则交由访问控制管理层的平台访问控制与权限管理模块处理；所述数据访问代理层根据访问者身份及其所具有的安全信息从服务控制数据库中取出相应数据，防止合法的用户访问非法的数据。2.根据权利要求1所述的一种多租户服务资源动态访问授权与认证系统，其特征在于：所述系统配置包括系统初始服务资源的设定、最低保障资源的设定、服务需求队列的长度设定、构造服务资源角色森林、制定安全访问控制标签、构造角色与服务资源安全访问标签对应关系表。3.根据权利要求1所述的一种多租户服务资源动态访问授权与认证系统，其特征在于：所述服务控制数据库包括租户角色描述数据结构表以及角色层次树，服务标签描述数据结构表以及标签层...

【专利技术属性】
技术研发人员：冯朝路，李东修，陈帅征，黄明旭，栗伟，赵大哲，
申请(专利权)人：东北大学，
类型：发明
国别省市：