访问对象的鉴权方法、装置及系统制造方法及图纸

一种访问对象的鉴权技术，属于数据安全技术领域。在该访问对象的鉴权技术中，由计算设备中的可信组件来完成访问对象的鉴权过程，在客户端请求访问目标对象的情况下，可信组件从客户端接收该目标对象的对象ID和鉴权ID，从而根据该鉴权ID对该客户端所属租户进行租户鉴权，当该客户端所属租户鉴权通过，基于该目标对象的对象ID访问存储设备，在确保多租户数据的隔离性和安全性的同时，提高了对象访问效率。率。率。

【技术实现步骤摘要】
访问对象的鉴权方法、装置及系统
[0001]本申请要求于2021年12月27日提交的申请号为202111607112.X、专利技术名称为“认证方法”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。


[0002]本申请涉及数据安全
，特别涉及一种访问对象的鉴权方法、装置及系统。

技术介绍

[0003]多租户(multi
‑
tenant)技术或称多重租赁技术，其主要目的是在多用户环境下共用相同的系统或程序组件，并且确保各用户间数据的隔离性和安全性。在云计算中，租户(tenant)通常是指系统或者平台的客户，以及客户在创建并使用的一系列数据，例如，账户、统计信息、用户数据、定制化的应用程序环境以及使用的计算资源、网络资源和存储资源等。由于系统或者平台会同时服务于多个租户，因此服务提供商需要保证多个租户不会互相影响，并确保各个租户的数据安全，不被其他租户获取甚至篡改。
[0004]相关技术中，为了支持多租户数据隔离，通常由服务提供商根据客户端发送的针对某一对象(数据封装的一种形式)的访问指令进行租户鉴权，以判断该客户端所属租户是否具有访问该对象的权限。例如，服务提供商存储有系统中租户和该租户可访问对象之间的映射关系表，当服务提供商接收到该租户的客户端发送的访问指令时，根据该访问指令中携带的租户信息和对象信息，通过查询映射关系表的方式，对该客户端所属租户进行租户鉴权，以判断该客户端所属租户是否具有访问该对象的权限。
[0005]然而，在上述方法中，由于租户众多，每个租户可访问的对象也有很多，因此，为了记录每个租户可访问的对象，服务提供商需要动态维护一张巨大的映射关系表，导致服务提供商的资源消耗较大，影响服务提供商的运行效率。

技术实现思路

[0006]本申请提供了一种访问对象的鉴权方法、装置及系统，能够在确保多租户数据的隔离性和安全性的同时，提高对象访问效率。该技术方案如下：
[0007]第一方面，提供了一种访问对象的鉴权方法，该方法包括：
[0008]计算设备中的可信组件从该计算设备中的客户端接收目标对象的对象ID和鉴权ID；
[0009]该可信组件基于该鉴权ID进行租户鉴权，当该客户端所属租户鉴权通过，则该可信组件向存储设备发送访问该目标对象的访问指令，该访问指令包括该目标对象的对象ID。
[0010]其中，该目标对象是指存储设备上存储的任一对象，对于存储设备上存储的任一对象，将该对象的标识(identification，ID)称为对象ID(object ID)。在本申请一种实现方式中，对象也称为一种数据对象，是指业务运行的应用程序中引用的任何数据结构的元素，如文件、数据、变量等。本申请对于对象的数据类型不作限定，示意性地，对象为文本类
型的数据，如出行记录、消费记录、发送的消息等等；或者，对象为图像类型、音频类型；又或者，对象为网页类型的数据等等。
[0011]需要说明的是，在本申请中，该目标对象的对象ID可以是被加密的对象ID，也可以是未被加密的对象ID，其中，在该目标对象的对象ID是未被加密的对象ID的情况下，该目标对象的对象ID可以理解为该目标对象的原始对象ID，对于存储设备上存储的任一对象，该对象对应唯一的原始对象ID。
[0012]另外，在上述过程中，可信组件向存储设备发送访问指令的过程包括直接发送(不经过中间组件转发)和间接发送(经过中间组件转发)。例如，在可信组件为数据处理器(data processing unit，DPU)的情况下，可信组件向存储设备直接发送访问指令。又例如，在可信组件通过软件来实现的情况下，可信组件借助中央处理器(central processing unit，CPU)或其他芯片，向存储设备间接发送访问指令，对此不作限定。关于可信组件的可选形式会在后续进行介绍，在此不再赘述。
[0013]通过上述方式，由计算设备中的可信组件来完成访问对象的鉴权过程，在客户端请求访问目标对象的情况下，该可信组件从客户端接收该目标对象的对象ID和鉴权ID，从而根据该鉴权ID对该客户端所属租户进行租户鉴权，当该客户端所属租户鉴权通过，则基于该目标对象的对象ID访问存储设备，从而无需由存储设备进行租户鉴权，减少了存储设备的资源开销和计算量，在确保多租户数据的隔离性和安全性的同时，提高了对象访问效率。
[0014]在一种实现方式中，该可信组件从该客户端接收到的对象ID是被加密的对象ID，该访问指令所包括的对象ID是解密后的对象ID，该方法还包括：
[0015]该可信组件对从该客户端接收到的被加密的对象ID进行解密，得到用于生成该访问指令的解密后的对象ID。
[0016]其中，由于可信组件接收到的对象ID是被加密的对象ID，在解密后才能得到用于访问存储设备的对象ID，确保了对象ID的安全性。
[0017]在一种实现方式中，被加密的对象ID是由存储设备提供给客户端的，客户端不拥有解密所使用的密钥，因此客户端无法获得原始对象ID，因此也就无法篡改对象ID，从而增加了安全性。
[0018]在一种实现方式中，该鉴权ID具有客户端不可更改性。
[0019]其中，该鉴权ID用于唯一标识客户端，通过计算设备中的硬件下发，因此客户端无法篡改该鉴权ID，使得可信组件能够基于该鉴权ID对客户端所属租户进行租户鉴权，从而确保了多租户数据的隔离性和安全性。
[0020]在一种实现方式中，该客户端运行于该计算设备中的虚拟机(virtual machine，VM)或者该计算设备中的容器(container)。
[0021]其中，计算设备基于虚拟机技术或容器技术来运行客户端，为多租户数据的隔离性和安全性提供了技术支撑。
[0022]在一种实现方式中，该可信组件为下述任意一种：
[0023]数据处理器DPU、至少一个中央处理器CPU中所运行的虚拟机监视器Hypervisor以及至少一个CPU中所运行的可信执行环境(trusted execution environment，TEE)。
[0024]其中，可信组件能够采用以上任一种形式来实现，从而确保客户端无法更改可信
组件的操作，保证多租户数据的隔离性和安全性。
[0025]在一种实现方式中，该可信组件为DPU，该鉴权ID是该DPU提供给该客户端所属租户的虚拟功能(virtual function，VF)的VF ID。
[0026]在一种实现方式中，该客户端运行于VM中，该鉴权ID是该VM的VM ID，该可信组件从该客户端接收到的该鉴权ID由该VM添加；或者
[0027]该客户端运行于容器中，该鉴权ID是该容器的容器ID，该可信组件从该客户端接收到的该鉴权ID由该容器添加。
[0028]在一种实现方式中，该可信组件从该客户端还接收到租户ID，其中，该可信组件基于该鉴权ID进行租户鉴权的步骤，具体包括：
[0029]该可信组件查询与该鉴权ID对应的租户ID，当查询本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问对象的鉴权方法，其特征在于，所述方法包括：计算设备中的可信组件从所述计算设备中的客户端接收目标对象的对象标识ID和鉴权ID；所述可信组件基于所述鉴权ID进行租户鉴权，当所述客户端所属租户鉴权通过，则所述可信组件向存储设备发送访问所述目标对象的访问指令，所述访问指令包括所述目标对象的对象ID。2.根据权利要求1所述的方法，其特征在于，所述可信组件从所述客户端接收到的对象ID是被加密的对象ID，所述访问指令包括的对象ID是解密后的对象ID，所述方法还包括：所述可信组件对从所述客户端接收到的被加密的对象ID进行解密，得到用于生成所述访问指令的解密后的对象ID。3.根据权利要求1所述的方法，其特征在于，所述鉴权ID具有客户端不可更改性。4.根据权利要求1所述的方法，其特征在于：所述客户端运行于所述计算设备中的虚拟机VM或者所述计算设备中的容器。5.根据权利要求1
‑
4任一项所述的方法，其特征在于，所述可信组件为下述任意一种：数据处理器DPU、至少一个中央处理器CPU中所运行的虚拟机监视器Hypervisor以及至少一个CPU中所运行的可信执行环境TEE。6.根据权利要求1
‑
4任一项所述的方法，其特征在于：所述可信组件为DPU，所述鉴权ID是所述DPU提供给所述客户端所属租户的虚拟功能VF的VF ID。7.根据权利要求1
‑
4任一项所述的方法，其特征在于：所述客户端运行于VM中，所述鉴权ID是所述VM的VM ID，所述可信组件从所述客户端接收到的所述鉴权ID由所述VM添加；或者所述客户端运行于容器中，所述鉴权ID是所述容器的容器ID，所述可信组件从所述客户端接收到的所述鉴权ID由所述容器添加。8.根据权利要求1
‑
4任一项所述的方法，其特征在于，所述可信组件从所述客户端还接收到租户ID，其中，所述可信组件基于所述鉴权ID进行租户鉴权的步骤，具体包括：所述可信组件查询与所述鉴权ID对应的租户ID，当查询到的租户ID与所述可信组件从所述客户端接收到的租户ID匹配，则鉴权通过。9.根据权利要求1
‑
4任一项所述的方法，其特征在于，所述可信组件从所述客户端还接收到第一消息认证码MAC，其中，所述可信组件基于所述鉴权ID进行租户鉴权的步骤，具体包括：所述可信组件查询与所述鉴权ID对应的密钥；所述可信组件生成第二MAC，所述第二MAC与查询到的所述密钥和从所述客户端接收到的对象ID相关；当所述第一MAC与所述第二MAC匹配，则鉴权通过。10.根据权利要求9所述的方法，其特征在于，所述方法还包括：所述存储设备生成所述第一MAC，所述第一MAC与所述存储设备记录的所述密钥和所述存储设备记录的所述目标对象的对象ID相关；所述存储设备发送所述第一MAC给所述客户端。
11.根据权利要求1所述的方法，其特征在于，所述可信组件从所述客户端接收到的对象ID是未被加密的对象ID，所述方法还包括：所述存储设备创建所述目标对象的对象ID；所述存储设备发送所述目标对象的对象ID给所述客户端。12.根据权利要求2所述的方法，其特征在于，所述可信组件对从所述客户端接收到的被加密的对象ID进行解密的步骤，具体包括：所述可信组件查询与所述鉴权ID对应的密钥；所述可信组件使用所述密钥对从所述客户端接收到的被加密的对象ID解密。13.根据权利要求1
‑
4以及12中任一项所述的方法，其特征在于，所述可信组件从所述客户端接收到的对象ID是被加密的对象ID，所述方法还包括：所述存储设备创建所述目标对象的对象ID，对所述目标对象的对象ID加密，生成被加密的对象ID；所述存储设备发送被加密的对象ID给所述客户端。14.一种访问对象的鉴权装置，其特征在于，所述装置包括：接收模块，用于从计算设备中的客户端接收目标对象的对象ID和鉴权ID；鉴权模块，用于基于所述鉴权ID进行租户鉴权，当所述客户端所属租户鉴权通过，则所述可信组件向存储设备发送访问所述目标对象的访问指令，所述访问指令包括所述目标对象的对象ID。15.根据权利要求14所述的装置，其特征在于，...

【专利技术属性】
技术研发人员：维克多，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：