一种多租户服务资源动态访问授权与认证系统及方法

技术领域

本发明涉及计算机技术领域，尤其涉及一种多租户服务资源动态访问授权与认证系统及方法。

背景技术

随着互联网技术的发展、应用软件开发技术的成熟，以及企业对提高办公效率诉求的增长，软件即服务(SaaS)技术逐渐发展成熟。软件即服务模式下，用户只需向服务提供商购买各种应用服务，无需向软件开发商购买软件实体，也不用关注软件版本的维护与更新，即可满足各自的服务需求。除此之外，该技术多基于云平台实现服务资源部署与调度，用户无需关注服务器架构及配置。不过，享受服务的用户均理所应当为服务提供者支付相关费用。因此，云平台用户又称为“租户”。相对于租户数量来说，云平台服务资源总量仍然有限，并且随着规模增长，资源扩展需要耗费更大的人力、物力、财力。另一方面，租户多通过互联网访问服务资源，所以隐私与安全访问成为必须解决的关键问题。安全访问控制策略，需要确保通过授权的租户可安全地访问服务资源，又能有效阻止非法租户对数据或资源潜在破坏的可能性。目前，基于角色的访问控制(Role Based Access Control，即RBAC)通过角色的桥梁作用，解耦用户与权限间关联关系，简化授权操作过程和权限系统安全管理模式，易于扩展，是安全访问控制策略的典型代表。但是，现有技术只是简单地实现租户间的隔离访问控制，并未将SaaS服务视为一个有机整体，使得租户完全隔离，忽视了租户间的联系。

发明内容

本发明要解决的技术问题是针对上述现有技术的不足，提供一种多租户服务资源动态访问授权与认证系统及方法，实现租户服务资源安全访问控制，为租户提供个性化服务，提升云平台服务性能。

为解决上述技术问题，本发明所采取的技术方案是：一方面，本发明提供一种多租户服务资源动态访问授权与认证系统，包括系统管理模块、服务控制数据库和安全访问控制核心处理模块；

所述系统管理模块包括容量管理子模块、故障管理子模块、性能管理子模块、配置管理子模块、综合监控子模块、用户管理子模块和授权服务子模块；

所述容量管理子模块，用于实时监测系统运行状态，根据租户服务需求，完成服务资源实时调度；

所述故障管理子模块，用于实时记录系统运行状态，在系统出现故障时给出提示信息，并通过日志记录实现系统重启后的状态回滚；

所述性能管理子模块，用于实时评测系统运行性能，若系统资源余量低于设定的资源量阈值，租户需求排队长度大于设定的长度阈值，则实时部分回收优先级低于设定的优先级阈值的租户当前占用的服务资源；

所述配置管理子模块，用于辅助系统用户完成系统配置工作；

所述综合监控子模块，用于实时监测租户需求变化情况，并记录租户历史需求数据，更新基于配置管理子模块设置的规则构造的租户角色层次树、服务需求资源访问标签树；

所述用户管理子模块，用于实现系统用户信息的登记、注册；

所述授权服务子模块，通过用户提供的信息对用户的身份进行认证；

所述服务控制数据库，用于记录系统正常运行所需求数据，并记录租户登记信息；所述租户登记信息包括租户标识、服务优先级和服务需求值；

所述安全访问控制核心处理模块，根据租户实时服务需求，实现多租户服务资源安全访问控制，具体由应用服务层、服务访问过滤层、访问控制管理层和数据访问代理层构成；

所述应用服务层与租户服务需求直接对应，负责租户实时需求的接入控制；

所述服务访问过滤层对经过授权用户的访问请求进行相应处理，对未经授权用户的访问请求直接禁止；同时，将租户用户的访问请求直接交于访问控制管理层的租户访问控制与权限管理模块处理，平台用户的访问请求则交由访问控制管理层的服务访问控制与权限管理模块处理；

所述数据访问代理层根据访问者身份及其所具有的安全信息从服务控制数据库中取出相应数据，防止合法的用户访问非法的数据；

优选地，所述系统配置包括系统初始服务资源的设定、最低保障资源的设定、服务需求队列的长度设定、构造服务资源角色森林、制定安全访问控制标签、构造角色与服务资源安全访问标签对应关系表。

优选地，所述服务控制数据库包括租户角色描述数据结构表以及角色层次树，服务标签描述数据结构表以及标签层次树，根据服务需求历史记录进化聚类得到的多租户共同任务描述表，以及任务与角色的对应关系表。

另一方面，本发明还提供一种多租户服务资源动态访问授权与认证方法，包括以下步骤：

步骤1：多租户服务资源动态访问授权与认证系统启动时，完成云平台初始化；

步骤1.1监测云平台可用服务资源总量，并与初始日志文件进行匹配验证；

步骤1.2辅助系统用户完成系统配置工作，包括系统初始服务资源的设定、最低保障资源的设定、服务需求队列长度的设定；

步骤1.3根据系统初始配置文件，实现系统用户信息的登记、注册；

步骤1.4通过用户提供的信息对用户的身份进行认证；

步骤1.5制定服务资源与角色对应关系，对系统服务资源按角色进行划分，生成服务资源角色森林；

步骤1.6对服务资源进入细分，并制定安全访问控制标签，生成服务资源安全访问标签森林；

步骤2：多租户服务资源动态访问授权与认证系统运行过程中，实现租户服务需求实时接入控制以及隔离式共享控制；

步骤2.1实时监测租户接入请求，并核实租户身份，对未经授权用户的访问请求直接禁止；

步骤2.2.根据通过身份认证租户服务需求进行进化聚类分析，由聚类结果生成租户角色层次树；

步骤2.3匹配租户角色层次树中结点属性与服务资源角色属性，实现云平台服务资源访问控制；

步骤3：多租户服务资源动态访问授权与认证系统运行过程中，实现租户服务需求资源安全访问控制；

步骤3.1由租户服务资源需求角色层次树以及角色与安全访问标签对应关系表，构造租户服务需求资源访问标签树；

步骤3.2将租户服务需求资源访问标签树与服务资源安全访问标签森林进行匹配，确保租户对服务资源的访问权限；

步骤4：多租户服务资源动态访问授权与认证系统运行过程中，实时监测租户服务需要变化以及系统进行情况，并作出相应调整；

步骤4.1实时监测系统运行状态，根据租户服务需求，完成服务资源实时调度；

步骤4.2实时评测系统运行性能，若系统资源余量低于设定资源阈值，租户需求排队长度大于设定的长度阈值，则实时部分回收优先级低于设定优先级阈值的租户当前占用的服务资源；

步骤4.3实时监测租户需求变化情况，并记录租户历史需求数据，实时现预测租户服务需求；

步骤5：多租户服务资源动态访问授权与认证系统运行过程中，由故障管理子模块实时记录运行状态到日志文件；当不可拒外力引起云服务平台崩溃时，故障管理子模块根据日志文件重启并回滚崩溃前的云平台配置与服务运行状态。

采用上述技术方案所产生的有益效果在于：本发明提供的一种多租户服务资源动态访问授权与认证系统及方法，满足租户实时服务需求的同时，实现云平台服务资源的安全访问控制，提升云平台服务性能与安全性能。

附图说明

图1为本发明实施例提供的一种多租户服务资源动态访问授权与认证系统的框架示意图；

图2为本发明实施例提供的一种多租户服务资源动态访问授权与认证方法中角色层次树示意图；

图3为本发明实施例提供的多租户服务资源动态访问授权与认证方法中标签层次树示意图；

图4为本发明实施例提供的一种多租户服务资源动态访问授权与认证方法的示意图；

图5为本发明实施例提供的一种多租户服务资源动态访问授权与认证方法的流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

本实施例中，一种多租户服务资源动态访问授权与认证系统，如图1所示，包括系统管理模块、服务控制数据库和安全访问控制核心处理模块；

所述系统管理模块包括容量管理子模块、故障管理子模块、性能管理子模块、配置管理子模块、综合监控子模块、用户管理子模块和授权服务子模块；

所述容量管理子模块，用于实时监测系统运行状态，根据租户服务需求，完成服务资源实时调度；

所述故障管理子模块，用于实时记录系统运行状态，在系统出现故障时给出提示信息，并通过日志记录实现系统重启后的状态回滚；

所述性能管理子模块，用于实时评测系统运行性能，若系统资源余量低于设定资源量阈值，租户需求排队长度大于设定的长度阈值，则实时部分回收优先级低于设定优先级阈值的租户当前占用的服务资源；

本实施例中，云平台服务资源分为物理性与非物理性两类，前者包括存储空间、内存、处理器核心，其预设规模分别为S、M、C。非物理性资源包括云平台中软件平台和软件工具；云平台中软件平台使用权由二元组

所述配置管理子模块，用于辅助系统用户完成系统配置工作，包括系统初始服务资源的设定、最低保障资源的设定、服务需求队列的长度设定、构造服务资源角色森林、制定安全访问控制标签、构造角色与服务资源安全访问标签对应关系表。

本实施例中，云平台配置参数由初始服务资源IS、最低保障资源MS、服务需求队列的长度QL、服务资源角色森林SA、服务资源安全访问控制标签ST、角色与服务资源安全访问标签对应关系表SAT的六元组构成，即。具体地，IS与MS是两个独立列表，由云平台服务物理性与非物理性资源构成。SA与ST是多个树型结构构成的集合，每个树型结构对应云平台中的一个物理性与非物理性服务资源。

所述综合监控子模块，用于实时监测租户需求变化情况，并记录租户历史需求数据，更新基于配置管理子模块设置的规则构造的租户角色层次树、服务需求资源访问标签树；

基于专利[CN201911354225]提供的“一种多租户服务资源的智能管理系统及方法”，本实施例中，云平台系统已有数据库根据租户服务需求及付费情况将其划分为试用租户l1、普通租户l2、VIP租户l3、超级租户l4、管理租户l5五个等级，其对同一资源的优先使用权依次增高。租户服务需求是一个由租户全局唯一标识U

所述用户管理子模块，用于实现系统用户信息的登记、注册；

本实施例中，系统用户指的是云平台管理用户，而非服务资源需求租户。系统用户注册登记所需信息包括用户名、密码、单位、部门、联系方式、密码找回途径等。

所述授权服务子模块，通过用户提供的信息(用户名、密码等)对用户的身份进行认证，以确保只有合法用户才能对该系统进行访问。

本实施例中，对系统用户身份进行认证的方式即是将输入的用户名与登录密码与数据库中的信息进行匹配。

所述服务控制数据库，用于记录系统正常运行所需求数据，并记录租户登记信息；所述租户登记信息包括租户标识、服务优先级和服务需求值；所述服务控制数据库包括租户角色描述数据结构表以及角色层次树，服务标签描述数据结构表以及标签层次树，根据服务需求历史记录进化聚类得到的多租户共同任务描述表，以及任务与角色的对应关系表。

所述租户角色层次树，如图2所示，包括角色标识、角色父结点列表、角色子结点列表。

本实施例中，角色层次树由进化聚类算法根据服务需求历史记录数据构造完成。其中，每一结点均由角色标识Aid、角色父结点标识Apid、角色子结点标识Asid的三元组构成。

所述服务资源标签层次树，如图3所示，包括服务资源标识、服务资源父结点列表、服务资源子结点列表。

本实施例中，服务资源层次树由中每一结点均由服务资源标识Sid、服务资源父结点标识Spid、服务资源子结点标识Ssid的三元组构成。

所述服务需求历史数据，包括租户标识、服务等级，以及物理性非物理性服务资源。

所述多租户共同任务描述表，以及任务与角色的对应关系表，由进化聚类算法根据租户资源服务历史数据及其实时需求构成而成。

本实施列中，进化聚类算法采用Kmeans方法，租户服务资源实时需求更新时，基于当前的聚类中心，估计租户所属类别，并更新聚类中心。聚类中心数、任务与角色对应关系表，由系统用户设定完成。本实施例中，任务与聚类中心一一对应。

所述安全访问控制核心处理模块，根据租户实时服务需求，实现多租户服务资源安全访问控制，具体由应用服务层、服务访问过滤层、访问控制管理层和数据访问代理层构成；

所述应用服务层与租户服务需求直接对应，负责租户实时需求的接入控制；

所述服务访问过滤层对经过授权用户的访问请求进行相应处理，对未经授权用户的访问请求直接禁止；同时，将租户用户的访问请求直接交于访问控制管理层的租户访问控制与权限管理模块处理，平台用户的访问请求则交由平台访问控制与权限管理模块处理；

本实施例中，用户访问授权通过用户名与密码匹配策略实现访问控制。具体地，若匹配成功，则平台访问合法，否则则拒绝该非法访问请求。

所述访问控制管理层包括租户访问控制与权限管理、平台访问控制与权限管理两个功能模块；

本实施例中，所述租户访问控制与权限管理由系统用户分配并管理其对平台的访问权限，由角色及标签控制策略，实现其对云平台服务资源的安全访问控制。

所述数据访问代理层根据访问者身份及其所具有的安全信息从服务控制数据库中取出相应数据，防止合法的用户访问非法的数据；

本实施例中，租户需求标签层次树与服务资源标签层次匹配成功后，租户方可访问所需服务资源。

一种多租户服务资源动态访问授权与认证方法，如图4、5所示，包括以下步骤：

步骤1：多租户服务资源动态访问授权与认证系统启动时，完成云平台初始化；

步骤1.1：监测云平台可用服务资源总量，并与初始日志文件进行匹配验证；

本实施例中，云平台服务资源分为物理性与非物理性两类，前者包括存储空间、内存、处理器核心，其预设规模分别为S、M、C。非物理性资源包括云平台中软件平台和软件工具；云平台中软件平台使用权由二元组

步骤1.2:辅助系统用户完成系统配置工作，包括系统初始服务资源的设定、最低保障资源的设定、服务需求队列长度的设定等；

本实施例中，云平台配置参数由初始服务资源IS、最低保障资源MS、服务需求队列的长度QL、服务资源角色森林SA、服务资源安全访问控制标签ST、角色与服务资源安全访问标签对应关系表SAT的六元组构成，即。具体地，IS与MS是两个独立列表，由云平台服务物理性与非物理性资源构成。SA与ST是多个树型结构构成的集合，每个树型结构对应云平台中的一个物理性与非物理性服务资源。

步骤1.3：根据系统初始配置文件，实现系统用户信息的登记、注册；

本实施例中，系统用户指的是云平台管理用户，而非服务资源需求租户。系统用户注册登记所需信息包括用户名、密码、单位、部门、联系方式、密码找回途径等。

步骤1.4：通过用户提供的信息(用户名、密码等)对用户的身份进行认证，以确保只有合法用户才能对该系统进行访问；

本实施例中，系统用户指的是云平台管理用户，而非服务资源需求租户。对系统用户身份进行认证的方式即是将输入的用户名与登录密码与数据库中的信息进行匹配。

步骤1.5：制定服务资源与角色对应关系，对系统服务资源按角色进行划分，生成服务资源角色森林；

所述租户角色层次森林由多个角色层次树构成，每个角色层次树包括多个角色标识、角色父结点列表、角色子结点列表。

本实施例中，角色层次树由进化聚类算法根据服务需求历史记录数据构造完成。其中，每一结点均由角色标识Aid、角色父结点标识Apid、角色子结点标识Asid的三元组构成。

步骤1.6：对服务资源进入细分，并制定安全访问控制标签，生成服务资源安全访问标签森林；

所述服务资源标签森林由多个服务资源标签层次树构成，每个服务资源标签层次树包括多个服务资源标识、服务资源父结点列表、服务资源子结点列表。

本实施例中，服务资源层次树由中每一结点均由服务资源标识Sid、服务资源父结点标识Spid、服务资源子结点标识Ssid的三元组构成。

步骤2：多租户服务资源动态访问授权与认证系统运行过程中，实现租户服务需求实时接入控制以及隔离式共享控制；

步骤2.1：实时监测租户接入请求，并核实租户身份，对未经授权用户的访问请求直接禁止；

本实施例中，用户访问授权通过用户名与密码匹配策略实现访问控制。具体地，若匹配成功，则平台访问合法，否则则拒绝该非法访问请求。

本实施例中，由系统用户分配并管理其对平台的访问权限，由角色及标签控制策略，实现其对云平台服务资源的安全访问控制。

步骤2.2：根据通过身份认证租户服务需求进行进化聚类分析，由聚类结果生成租户角色层次树；

本实施例中，租户服务需求是一个由租户全局唯一标识U

本实施列中，进化聚类算法采用Kmeans方法，租户服务资源实时需求更新时，基于当前的聚类中心，估计租户所属类别，并更新聚类中心。聚类中心数、任务与角色对应关系表，由系统用户设定完成。本实施例中，任务与聚类中心一一对应。

步骤2.3：匹配租户角色层次树中结点属性与服务资源角色属性，实现云平台服务资源访问控制；

本实施例中，角色层次树由进化聚类算法根据服务需求历史记录数据构造完成。其中，每一结点均由角色标识Aid、角色父结点标识Apid、角色子结点标识Asid的三元组构成。

步骤3：多租户服务资源动态访问授权与认证系统运行过程中，实现租户服务需求资源安全访问控制；

步骤3.1由租户服务资源需求角色层次树以及角色与安全访问标签对应关系表，构造租户服务需求资源访问标签树；

所述服务资源标签层次树包括多个服务资源标识、服务资源父结点列表、服务资源子结点列表。本实施例中，服务资源层次树由中每一结点均由服务资源标识Sid、服务资源父结点标识Spid、服务资源子结点标识Ssid的三元组构成。

步骤3.2将租户服务需求资源访问标签树与服务资源安全访问标签森林进行匹配，确保租户对服务资源的访问权限，以达到安全访问效果；

步骤4：多租户服务资源动态访问授权与认证系统运行过程中，实时监测租户服务需要变化以及系统进行情况，并作出相应调整；

步骤4.1实时监测系统运行状态，根据租户服务需求，完成服务资源实时调度；

本实施例中，云平台运行状态数据结构由存储空间使用情况、内存空间使用情况、处理器核心计算资源使用情况、软件平台资源使用情况、软件工具资源使用情况、租户排队情况及租户占用资源情况所构成的七元组。

步骤4.2实时评测系统运行性能，若系统资源余量低于设定资源量阈值，租户需求排队长度大于设定的长度阈值，则实时部分回收优先级低于设定的优先级阈值的租户当前占用的服务资源；

本实施例中，当有租户退出或维持云平台运行保障性资源触发临界值时，服务资源回收模块依租户优先级逆序回收部分或全部租户的独占且当前空间部分服务资源。租户服务资源回收后，应保证其基本服务需求。租户服务资源的回收量，以维持云服务平台基本运行保障为判别依据。更新租户服务需求U

步骤4.3实时监测租户需求变化情况，并记录租户历史需求数据，实时现预测租户服务需求；

基于专利[202010862881.3]提供的“一种多租户服务资源需求智能预测系统及及方法”，本实施例中，将历史服务需求中任意时刻的记录值U

步骤5：多租户服务资源动态访问授权与认证系统运行过程中，由故障管理子模块实时记录运行状态到日志文件；当不可拒外力引起云服务平台崩溃时，故障管理子模块根据日志文件重启并回滚崩溃前的云平台配置与服务运行状态。

本实施例中，云平台运行过程中，故障管理子模块每隔10分钟实时记录云平台各租户服务需求U

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明权利要求所限定的范围。