[发明专利]一种面向多租户的云计算系统

说明书

技术领域

本发明涉及一种面向多租户的云计算系统，主要用于满足多租户云计算系统中数据的安全性的要求，属于云计算技术领域。

背景技术

随着Internet网络技术的发展和计算机技术的不断提高，网络中传输和处理的数据的能力直线增长。人们希望获得一种直接、便捷的计算处理方式，不需要安装应用软件，只要连接互联网，就可以利用连接在网络中的空闲的计算机资源进行任务处理。

在此背景之下，云计算应运而生，所谓云计算，就是通过计算机网络去连接由大量服务器、存储设备集群而构成的云计算平台，以此来获取所需要的服务。而云计算服务商则是将一项复杂的运算任务分成若干个部分，通过分布在计算机网络中的计算机协同合作，最后再将运算结果传输回客户端，从而实现个人数据在远程的计算资源集群的运算。

云计算可以认为包括以下几个层次的服务：基础设施级服务（IaaS），平台级服务（PaaS）和软件级服务（SaaS）。其中SaaS作为云计算中的一种服务交付方式，具有单实例多租赁的特点。它的出现改变了传统企业级系统交付以及用户的使用方式。SaaS软件服务供应商将应用软件统一部署在服务器上，所以用户无需在本地客户端安装该应用程序，省去了软件维护和支持的成本。用户只需根据自己的需求向服务商定购所需要使用的软件服务，并按照定购服务的功能和使用时间支付给服务商费用即可，此外，SaaS也降低了购买和维护硬件所花费的成本。SaaS服务提供商与租户之间的关系如图1所示。

但是SaaS的访问控制与传统软件的访问控制有所不同，传统软件的信息资源都在用户自己硬件设备上，用户拥有对自己所有资源的完全管理权限，而SaaS服务中用户的数据信息都存储在服务商的服务器上，由SaaS服务提供商进行维护管理。并且SaaS服务是会租赁给多个租户使用的，多个用户都将可能会使用同一个数据库甚至同一张表，所以如何保证SaaS应用服务中租户数据的隐私和安全就显得尤为重要。

传统的多租户架构中，多租户在数据存储上存在三种主要的方案：独立数据库，共享数据库、隔离数据架构，共享数据库、共享数据架构。三种方案都存在相应的不足，独立数据库成本较高，一般用户承受不起；共享数据库，隔离数据架构数据恢复困难，跨租户统计数据困难；共享数据库，共享数据架构隔离级别低，安全性低，数据恢复困难。此外，传统的多租户架构中，通常使用基于角色（RBAC）的访问控制模型来保证系统资源的安全性。但是传统的基于角色（RBAC）的访问控制模型没有考虑租户的层级性特点来对用户进行层级划分管理，因此，难以确保数据访问的安全性、一致性、完整性，且权限控制管理效率较低。

发明内容

本发明所要解决的技术问题在于克服现有技术不足，提供一种面向多租户的云计算系统，可有效增强 SaaS 应用平台的安全性，提高权限控制管理效率。

本发明的面向多租户的云计算系统，根据租户对数据隔离性要求的不同采用不同的方式存储租户数据：对隔离性要求高的租户采用独立数据库的方式存储租户数据，而对于普通用户则采用共享数据库、共享数据架构的方式存储租户数据。

进一步地，本发明的面向多租户的云计算系统，使用基于角色的访问控制模型，所述基于角色的访问控制模型按照以下步骤构建：

步骤1：各租户结合自身的特点构建租户自己的组织结构和角色体系模型，所述组织结构和角色体系模型具有以下定义：

租户：租用软件级服务的企业，在软件级服务平台下存在多个租户，并且各租户之间的信息是相互独立的；

租户管理员：每个租户拥有一个管理员，租户管理员可以对租户中的所有角色进行权限分配，同时对其具有新增、修改、删除的权限；

角色：企业中的某一特定的职能或职责岗位，根据企业的业务功能划分具有层次关系的角色，上层角色与其下层角色的不同不仅是职能的不同，而且还要对其负责的领域具有管理职能；

用户：软件级服务真正的使用者，用户属于某一角色从而拥有相应的权限，并能进行相关的业务管理；

步骤2、为各角色配置相应的访问控制权限；

步骤3、租户管理员为用户指定不同的角色。

相比现有技术，本发明具有以下有益效果：