技術領域

本發明屬于信息技術領域，尤其涉及在云平臺環境下，通過對云平臺采用分層架構進行設計，實現訪問控制。

背景技術

在云平臺環境下，存在SaaS（Software?as?a?service，軟件即服務）這種應用軟件組件模式，該模式通過將應用軟件組件統一部署在服務器上，租戶根據自己的需求，向服務商訂購所需的應用軟件組件，并按照租賃時間或具體訂購的應用軟件組件支付相應費用。這種應用模式是一種多租戶的系統架構，平臺的每一款應用軟件組件都支持多個租戶同時使用，租戶之間在使用過程中互不影響，感覺像是自己獨享該應用軟件組件一樣。這種模式下需要嚴格的訪問控制，從而保證租戶之間以及租戶下的用戶之間的數據隔離和應用、配置隔離，提高數據的安全性、一致性和完整性。

傳統的訪問控制RBAC（Role-Based?Access?Control，基于角色的訪問控制）普遍用于解決大型企業內部的統一組件訪問，基本原理是定義角色，并制定該角色具有訪問一組或多組應用軟件組件的權限，再將用戶指派為該角色，通過權限-角色-用戶的方式實現訪問控制。然而，RBAC上沒有租戶的概念，不能適應云平臺應用場景，缺乏角色自我管理能力，在大型云平臺系統中，采用RBAC需要建立大量角色，降低了系統易用性和可維護性。

現有技術針對云平臺的特點，對傳統RBAC上進行了改進，增加了租戶的概念，以適應云平臺要求，但在這種架構下，當租戶過多或應用軟件組件過多時，對訪問控制的管理仍然是一個龐大的工作，并且，這種架構下，由于租戶只能定義自身的用戶，租戶之間完全隔離，導致無法實現租戶組件或應用的轉租，另一方面，不同的用戶使用云平臺時，需要首先訪問云平臺的公用登錄界面，再通過登錄時將租戶與用戶關聯，進而轉入租戶的私有界面，不能從本質上支持多租戶下多用戶品牌的特點。

因此，有必要提出一種新的應用平臺訪問控制架構，解決現有技術中不能在同一個平臺上同時兼容多級租戶多品牌服務，以及應用軟件組件的訪問控制權限不能轉租的問題。

發明內容

有鑒于此，本發明提供了一種云平臺訪問控制架構及其實現方法，以解決現有技術中存解決現有技術中不能在同一個平臺上同時兼容多級租戶，以及應用軟件組件的訪問控制權限不能轉租的問題。

為解決上述技術問題，本發明的技術方案是這樣實現的：

第一發明，本發明提供一種云平臺訪問控制架構，包括：

基礎平臺層，位于訪問控制架構的頂層，用于為頂層租戶層中的頂層租戶提供可使用的應用軟件組件，并直接管理每一個頂層租戶的訪問控制權限；

頂層租戶層，位于基礎平臺層之下，用于為每一個頂層租戶創建子租戶，實現對頂層租戶所使用的應用軟件組件的轉租；并直接管理每個頂層租戶的下一層子租戶的訪問控制權限。

進一步的，所述云平臺訪問控制架構還包括：下層租戶層，所述下層租戶層由所述頂層租戶的子租戶構成或由每一層子租戶的更下一層子租戶構成。

進一步的，所述基礎平臺層包括平臺層管理員，用于對所述頂層租戶所請求使用的應用軟件組件進行審核和管理；并為每個審核通過的頂層租戶創建租戶管理員。

具體的，所述租戶管理員，用于創建本租戶的用戶角色，并在創建用戶時分配用戶角色，根據用戶角色對用戶請求使用的應用軟件組件進行訪問控制。以及所述租戶管理員，還用于對下層子租戶所請求轉租的應用軟件組件進行審核和管理，并為每個審核通過的子租戶創建租戶管理員。

具體的，頂層租戶和各子租戶在云平臺內通過唯一的租戶ID進行識別，且每個租戶對用戶提供唯一的域名訪問地址，所述域名訪問地址的IP地址都映射到云平臺的實際IP地址上。

第二發明，提供一種云平臺訪問控制架構的實現方法，包括：

步驟1，創建提供應用軟件組件的基礎平臺層；

步驟2，頂層租戶向基礎平臺層發起使用應用軟件組件的注冊申請；基礎平臺層接收所述注冊申請并審核通過后，直接管理頂層租戶的訪問控制權限；

步驟3，頂層租戶接收下層子租戶的注冊申請并審核通過后，實現對本頂層租戶所使用的應用軟件組件的轉租；并直接管理下層子租戶的訪問控制權限。

進一步的，在步驟2中，平臺層管理員審核頂層租戶發起的注冊申請，在審核通過后對頂層租戶所申請的應用軟件組件進行授權，并為頂層租戶創建租戶層管理員，直接管理頂層租戶的訪問控制權限；

在步驟3中，頂層租戶接收下層子租戶的注冊申請并審核通過后，對發出注冊申請的下層子租戶所申請的應用軟件組件進行授權，并為所述下層租戶創建租戶層管理員，直接管理頂層租戶的訪問控制權限。