一種面向多租戶的云計算系統技術方案

本發明專利技術公開了一種面向多租戶的云計算系統。本發明專利技術云計算系統，根據租戶對數據隔離性要求的不同采用不同的方式存儲租戶數據：對隔離性要求高的租戶采用獨立數據庫的方式存儲租戶數據，而對于普通用戶則采用共享數據庫、共享數據架構的方式存儲租戶數據。本發明專利技術云計算系統進一步在傳統的基于角色的訪問控制模型中引入層級管理。相比現有技術，本發明專利技術能夠更好的滿足不同質量要求的用戶需求，增強了SaaS應用平臺的安全性，提高了權限控制管理效率。

【技術實現步驟摘要】
【專利摘要】本專利技術公開了一種面向多租戶的云計算系統。本專利技術云計算系統，根據租戶對數據隔離性要求的不同采用不同的方式存儲租戶數據：對隔離性要求高的租戶采用獨立數據庫的方式存儲租戶數據，而對于普通用戶則采用共享數據庫、共享數據架構的方式存儲租戶數據。本專利技術云計算系統進一步在傳統的基于角色的訪問控制模型中引入層級管理。相比現有技術，本專利技術能夠更好的滿足不同質量要求的用戶需求，增強了SaaS應用平臺的安全性，提高了權限控制管理效率。【專利說明】-種面向多租戶的云計算系統
本專利技術涉及一種面向多租戶的云計算系統，主要用于滿足多租戶云計算系統中數 據的安全性的要求，屬于云計算
。
技術介紹
隨著Internet網絡技術的發展和計算機技術的不斷提高，網絡中傳輸和處理的 數據的能力直線增長。人們希望獲得一種直接、便捷的計算處理方式，不需要安裝應用軟 件，只要連接互聯網，就可以利用連接在網絡中的空閑的計算機資源進行任務處理。 在此背景之下，云計算應運而生，所謂云計算，就是通過計算機網絡去連接由大量 服務器、存儲設備集群而構成的云計算平臺，以此來獲取所需要的服務。而云計算服務商則 是將一項復雜的運算任務分成若干個部分，通過分布在計算機網絡中的計算機協同合作， 最后再將運算結果傳輸回客戶端，從而實現個人數據在遠程的計算資源集群的運算。 云計算可以認為包括以下幾個層次的服務：基礎設施級服務（IaaS)，平臺級服務 (PaaS)和軟件級服務（SaaS)。其中SaaS作為云計算中的一種服務交付方式，具有單實例 多租賃的特點。它的出現改變了傳統企業級系統交付以及用戶的使用方式。SaaS軟件服務 供應商將應用軟件統一部署在服務器上，所以用戶無需在本地客戶端安裝該應用程序，省 去了軟件維護和支持的成本。用戶只需根據自己的需求向服務商定購所需要使用的軟件服 務，并按照定購服務的功能和使用時間支付給服務商費用即可，此外，SaaS也降低了購買和 維護硬件所花費的成本。SaaS服務提供商與租戶之間的關系如圖1所示。 但是SaaS的訪問控制與傳統軟件的訪問控制有所不同，傳統軟件的信息資源都 在用戶自己硬件設備上，用戶擁有對自己所有資源的完全管理權限，而SaaS服務中用戶的 數據信息都存儲在服務商的服務器上，由SaaS服務提供商進行維護管理。并且SaaS服務 是會租賃給多個租戶使用的，多個用戶都將可能會使用同一個數據庫甚至同一張表，所以 如何保證SaaS應用服務中租戶數據的隱私和安全就顯得尤為重要。 傳統的多租戶架構中，多租戶在數據存儲上存在三種主要的方案：獨立數據庫，共 享數據庫、隔離數據架構，共享數據庫、共享數據架構。三種方案都存在相應的不足，獨立數 據庫成本較高，一般用戶承受不起；共享數據庫，隔離數據架構數據恢復困難，跨租戶統計 數據困難；共享數據庫，共享數據架構隔離級別低，安全性低，數據恢復困難。此外，傳統的 多租戶架構中，通常使用基于角色（RBAC)的訪問控制模型來保證系統資源的安全性。但是 傳統的基于角色（RBAC)的訪問控制模型沒有考慮租戶的層級性特點來對用戶進行層級劃 分管理，因此，難以確保數據訪問的安全性、一致性、完整性，且權限控制管理效率較低。
技術實現思路
本專利技術所要解決的技術問題在于克服現有技術不足，提供一種面向多租戶的云計 算系統，可有效增強SaaS應用平臺的安全性，提高權限控制管理效率。 本專利技術的面向多租戶的云計算系統，根據租戶對數據隔離性要求的不同采用不同 的方式存儲租戶數據：對隔離性要求高的租戶采用獨立數據庫的方式存儲租戶數據，而對 于普通用戶則采用共享數據庫、共享數據架構的方式存儲租戶數據。 進一步地，本專利技術的面向多租戶的云計算系統，使用基于角色的訪問控制模型，所 述基于角色的訪問控制模型按照以下步驟構建： 步驟1 :各租戶結合自身的特點構建租戶自己的組織結構和角色體系模型，所述組織 結構和角色體系模型具有以下定義： 租戶：租用軟件級服務的企業，在軟件級服務平臺下存在多個租戶，并且各租戶之間的 信息是相互獨立的； 租戶管理員：每個租戶擁有一個管理員，租戶管理員可以對租戶中的所有角色進行權 限分配，同時對其具有新增、修改、刪除的權限； 角色：企業中的某一特定的職能或職責崗位，根據企業的業務功能劃分具有層次關系 的角色，上層角色與其下層角色的不同不僅是職能的不同，而且還要對其負責的領域具有 管理職能； 用戶：軟件級服務真正的使用者，用戶屬于某一角色從而擁有相應的權限，并能進行相 關的業務管理； 步驟2、為各角色配置相應的訪問控制權限； 步驟3、租戶管理員為用戶指定不同的角色。 相比現有技術，本專利技術具有以下有益效果： 不同的租戶首先構建自身的組織結構和角色體系模型，然后根據其自身的組織結構和 角色體系模型對購買的服務進行自定義的配置，符合租戶的要求，靈活性更高；對隔離性 要求比較高的租戶采用獨立數據庫的方式存儲租戶數據，而對于普通用戶則采用共享數據 庫，共享數據架構的方式，在結合獨立數據庫和共享數據庫，共享數據架構優點的同時，也 滿足了用戶的不同服務質量的需求；在傳統的基于角色（RBAC)的訪問控制模型中引入層 級管理，使得角色管理井然有序，減輕權限管理的負擔。 【專利附圖】【附圖說明】 圖1為SaaS服務提供商與租戶之間的關系圖； 圖2為財務部門的角色層次關系圖； 圖3為SaaS隔離模型圖； 圖4為用戶的訪問控制流程圖。 【具體實施方式】 下面結合附圖對本專利技術的技術方案進行詳細說明： 本專利技術針對現有技術不足，首先對傳統多租戶架構中多租戶數據存儲方式進行了改 進，對隔離性要求比較高的租戶采用獨立數據庫的方式存儲租戶數據，而對于普通用戶則 采用共享數據庫，共享數據架構的方式，在結合獨立數據庫和共享數據庫，共享數據架構優 點的同時，也滿足了用戶的不同服務質量的需求；本專利技術進一步在傳統的基于角色的訪問 控制模型中引入層級管理，使得角色管理井然有序，減輕權限管理的負擔。 首先，確立企業的組織結構和角色體系模型，對企業中的組織結構和角色體系模 型有如下定義： 租戶：租用SaaS應用的企業，在SaaS平臺下存在多個租戶，并且各租戶之間的信息是 相互獨立的。記作Tenants={t 1 ,t 2，"·，? " }，是所有租戶的集合。 租戶管理員：每個租戶擁有一個管理員，租戶管理員可以對租戶中的所有角色進 行權限分配，同時對其具有新增、修改、刪除的權限。 角色：企業中的某一特定的職能或職責崗位。根據企業的業務功能劃分具有層次 關系的角色，上層角色與其下層角色的不同不僅是職能的不同，而且還要對其負責的領域 具有管理職能。圖2顯示了某租戶的財務部門的角色層次關系。各部門的管理角色則使用 集合R= R，R 2，…，Rn }表示，而對應于每個管理角色的下層角色使用集合{R1(l，R n ，…，Rln }表示。R(t)表示租戶t的所有角色，每個租戶擁有不同于其他租戶的獨立的角 色集合。 用戶：SaaS業務系統真正的使用者，用戶屬于某一角色從而擁有相應的權限，并 能進行相關的業務管理。隸屬于某個角色的用戶不能訪問屬于其他角色的用戶的本文檔來自技高網...

【技術保護點】
一種面向多租戶的云計算系統，其特征在于，根據租戶對數據隔離性要求的不同采用不同的方式存儲租戶數據：對隔離性要求高的租戶采用獨立數據庫的方式存儲租戶數據，而對于普通用戶則采用共享數據庫、共享數據架構的方式存儲租戶數據。

【技術特征摘要】

【專利技術屬性】
技術研發人員：付雄，徐松，鄧松，程春玲，
申請(專利權)人：南京郵電大學，
類型：發明
國別省市：江蘇;32