本發(fā)明提供了一種訪問權(quán)限的確定方法和裝置、終端。其中，該方法包括：在目標(biāo)用戶使用第一賬號訪問目標(biāo)數(shù)據(jù)時(shí)，獲取第一賬號的安全標(biāo)識和目標(biāo)數(shù)據(jù)的安全標(biāo)識；在第一賬號的安全標(biāo)識與目標(biāo)數(shù)據(jù)的安全標(biāo)識匹配的情況下，確定目標(biāo)用戶具有訪問目標(biāo)數(shù)據(jù)的權(quán)限。本發(fā)明解決了相關(guān)技術(shù)中數(shù)據(jù)的安全性較差的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，具體而言，涉及一種訪問權(quán)限的確定方法和裝置、終端。

背景技術(shù)

在云計(jì)算數(shù)據(jù)中心領(lǐng)域，SaaS(Software as a Service)是一種新的軟件應(yīng)用模式,它極大地減少了企業(yè)在信息基礎(chǔ)設(shè)施上的投入。目前，SaaS系統(tǒng)的數(shù)據(jù)模型有三種：獨(dú)立數(shù)據(jù)庫模型、共享數(shù)據(jù)庫單獨(dú)模型和共享數(shù)據(jù)庫共享模型。其中，在第一種模型中，每個客戶物理上有自己的一整套數(shù)據(jù)，單獨(dú)存放，但這種數(shù)據(jù)模型的最大問題是對應(yīng)的部署和維護(hù)成本非常高，硬件資源的消耗將明顯高于其它兩種方案，一臺服務(wù)器將只能支持有限數(shù)量的客戶；在第二種數(shù)據(jù)模型下，客戶使用獨(dú)立模式的方式在數(shù)據(jù)共享和隔離之間獲得了一定的平衡，但這種解決方案的不利之處就是當(dāng)系統(tǒng)出現(xiàn)異常情況需要將歷史備份的數(shù)據(jù)重新恢復(fù)的話，流程將變得相對復(fù)雜；第三種數(shù)據(jù)模型具有最低的硬件成本和維護(hù)成本，而且每臺服務(wù)器可以支持最大數(shù)量的客戶，但由于所有客戶使用同一套數(shù)據(jù)表，因此可能需要在保證數(shù)據(jù)安全性上花費(fèi)更多額外的開發(fā)成本，以確保一個客戶永遠(yuǎn)不會因系統(tǒng)異常而訪問到其它客戶的數(shù)據(jù)。

在傳統(tǒng)多租戶訪問控制的研究中，為了實(shí)現(xiàn)不同組織、租戶間的資源共享和信息交互的安全性，保證合法性的訪問，通常通過把各個租戶的控制策略整合在全局訪問控制策略下，實(shí)現(xiàn)租戶間的安全性互操作，其安全問題一般包括網(wǎng)絡(luò)安全訪問、系統(tǒng)權(quán)限模型等問題。在網(wǎng)絡(luò)安全訪問方面，一般采用對交互信息進(jìn)行加密來達(dá)到防止用戶信息被竊取的危險(xiǎn)，而對于系統(tǒng)權(quán)限模型，大多是通過租戶間角色轉(zhuǎn)換來達(dá)到安全訪問控制的目的。

但是在使用第三種數(shù)據(jù)模型時(shí)，租戶數(shù)據(jù)的共享數(shù)據(jù)庫特性使得租戶間的數(shù)據(jù)隔離性很差，影響數(shù)據(jù)的安全性。因此，需要一種針對數(shù)據(jù)中心多租戶場景下的安全訪問控制模型或方法，使得這種模型或方法既具有最低的硬件成本和維護(hù)成本，又能保證數(shù)據(jù)中心租戶數(shù)據(jù)的安全性。

針對相關(guān)技術(shù)中數(shù)據(jù)的安全性較差的技術(shù)問題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種訪問權(quán)限的確定方法和裝置、終端，以至少解決相關(guān)技術(shù)中數(shù)據(jù)的安全性較差的技術(shù)問題。

根據(jù)本發(fā)明實(shí)施例的一個方面，提供了一種訪問權(quán)限的確定方法，該方法包括：在目標(biāo)用戶使用第一賬號訪問目標(biāo)數(shù)據(jù)時(shí)，獲取第一賬號的安全標(biāo)識和目標(biāo)數(shù)據(jù)的安全標(biāo)識；在第一賬號的安全標(biāo)識與目標(biāo)數(shù)據(jù)的安全標(biāo)識匹配的情況下，確定目標(biāo)用戶具有訪問目標(biāo)數(shù)據(jù)的權(quán)限。

進(jìn)一步地，獲取第一賬號的安全標(biāo)識包括：從角色森林中獲取第一賬號所具有的目標(biāo)角色，其中，角色森林包括賬號與角色的對應(yīng)關(guān)系；獲取與目標(biāo)角色對應(yīng)的安全標(biāo)識為第一賬號的安全標(biāo)識。

進(jìn)一步地，在從角色森林中獲取第一賬號所具有的角色之前，該方法還包括：獲取第一對象為多個賬號設(shè)置的角色森林，其中，多個賬號中的每個賬號具有一個或多個角色；將多個賬號分配給對應(yīng)的用戶使用。

進(jìn)一步地，獲取與目標(biāo)角色對應(yīng)的安全標(biāo)識為第一賬號的安全標(biāo)識包括：獲取第一對象為目標(biāo)角色分配的第一安全標(biāo)識；獲取第二對象授權(quán)給第一對象的且允許目標(biāo)角色使用的第二安全標(biāo)識，其中，第一賬號的安全標(biāo)識包括第一安全標(biāo)識和第二安全標(biāo)識。

進(jìn)一步地，獲取第二對象授權(quán)給第一對象的且允許目標(biāo)角色使用的第二安全標(biāo)識包括：獲取第二對象授權(quán)給第一對象的目標(biāo)角色使用的第三安全標(biāo)識；獲取角色森林中目標(biāo)角色所在節(jié)點(diǎn)的父節(jié)點(diǎn)的第四安全標(biāo)識，其中，第四安全標(biāo)識為第二對象授權(quán)給第一對象的節(jié)點(diǎn)使用且允許傳遞給該節(jié)點(diǎn)的子節(jié)點(diǎn)使用的安全標(biāo)識。