[发明专利]一种基于资源权限树的SaaS资源访问控制方法

说明书

本发明公开了一种基于资源权限树的SaaS资源访问控制方法，包括以下步骤：首先结合H‑RBAC模型与ABAC模型，设计基于资源权限树的SaaS访问控制理论模型，简称H‑RRBAC模型；接着基于H‑RRBAC模型进行资源权限分配与访问控制，具体包括：SaaS平台资源注册，并自动生成资源有向原子树；生成资源有向树；构建角色的资源权限树；生成用户的资源权限树；用户访问业务时，基于用户的资源权限树进行用户对资源的访问控制。本发明所述方法可适应SaaS模式下不同租户的不同权限管理场景，实现高效、低复杂度的权限分配，同时满足不同租户对资源不同粒度、属性动态变化的权限访问控制需求。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种基于资源权限树的SaaS资源访问控制方法。

背景技术

SaaS是Software-as-a-Service的缩写名称，意思为软件即服务，即通过网络提供软件服务。SaaS作为云计算的一种软件应用模式，明确地将软件定义为服务，为客户提供可复制的“标准化”服务方案，解决客户信息化建设中的软件构建、运维成本、管理成本等问题，尤其受到中小企业的欢迎。尽管SaaS具备很多优点，但仍然存在很多问题，其中SaaS安全问题已成为制约SaaS模式发展的首要问题。为降低服务使用成本，服务提供商多采用单实例多租户模式、共享数据库表的数据存储模型的思路设计SaaS，但需同时解决该设计模式下的数据安全问题，访问控制是解决这一问题的关键技术之一，主要包括权限分配与访问控制两部分。

RBAC是Role-Based Access Control的缩写，即基于角色的权限访问控制，RBAC模型提供强大而灵活的访问控制能力，同时降低了用户权限分配的复杂度与管理人员的工作量，在实际应用中仍以RBAC模型作为SaaS访问控制的主要模型，以基于RBAC改进后的H-RBAC模型为代表，H-RBAC是Hierarchical Role-Based Access Control的缩写，H-RBAC模型是按等级划分的基于角色的权限访问控制模型，核心是将SaaS中的访问控制分为SaaS软件平台级访问控制层和租户级访问控制层两层，每层基于RBAC模型进行访问控制。但RBAC模型在细粒度访问控制方面存在局限性，无法适应SaaS模式下多因素约束用户权限的情况。ABAC模型是一种为解决行业分布式应用可信关系访问控制模型，可弥补这一缺陷，并具有较强的灵活性与可扩展性，但ABAC模型存在权限分配工作量大、访问规则制定缺乏上下文环境难度增加等问题，在SaaS模式下这些问题更为突出。目前已有将RBAC与ABAC模型结合实现访问控制的尝试，但都忽略了权限分配的复杂度问题，而在SaaS模式下为确保租户数据隐私，租户内用户对资源的访问权限通常交由租户管理员进行自主分配，若权限分配复杂度太高将直接影响SaaS使用推广。因此，有必要提供一种方法，充分利用RBAC与ABAC模型的优点，实现SaaS模式下高效、低复杂度的权限分配与灵活、细粒度的访问控制。

发明内容

本发明的目的就在于为了解决上述问题而提供一种基于资源权限树的SaaS资源访问控制方法，以实现SaaS模式下高效、低复杂度的权限分配与灵活、细粒度的访问控制。

本发明通过以下技术方案来实现上述目的：

一种基于资源权限树的SaaS资源访问控制方法，包括以下步骤：

步骤1、结合H-RBAC模型与ABAC模型，设计基于资源权限树的SaaS访问控制理论模型，简称H-RRBAC模型；

步骤2、基于H-RRBAC模型进行资源权限分配与访问控制，包括以下步骤：

步骤2.1、SaaS平台资源注册，并以代表最小业务单元的资源为根节点自动生成资源有向原子树；

步骤2.2、平台管理员按需组合资源有向原子树，生成资源有向树；