云平台访问权限控制方法及系统与流程

1.本发明涉及云计算技术，尤其涉及一种云平台访问权限控制方法及系统。


背景技术：

2.随着公有云业务的不断发展，大量应用在云环境中部署，并伴随着用户海量数据在云环境中的处理与存储。原来部署在私有云或企业内部网络的应用迁移到公有云环境中后，除了要对企业内部的数据进行访问控制，还要对企业与企业之间的数据进行访问控制。
3.cn112580006a，一种多云系统的访问权限控制方法、装置及认证服务器，公开了接收客户端发送的对象访问请求，所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识，所述目标对象为所述多个云系统中的目标云系统内的被访问对象；在权限策略集合中，获得与所述用户标识和所述对象标识相匹配的目标权限策略，所述权限策略集合中包含有多条权限策略信息，每条所述权限策略信息对应于一个用户以及一个被访问对象；根据所述目标权限策略，获得鉴权结果，所述鉴权结果表征所述目标用户是否具有对所述目标云系统内的所述目标对象进行访问的权限。
4.cn113872991a，一种云平台接口权限控制方法、装置、设备及介质，公开了获取用户终端针对云平台中目标接口发起的访问请求；对访问请求进行解析，以提取访问请求中的第一用户标识以及目标接口的接口标识；根据与第一用户标识对应的用户角色，确定出与第一用户标识对应的服务使用权限，并从云平台中查询与服务使用权限对应的目标服务；检测与接口标识对应的目标接口是否存在于目标服务中，如果存在，则允许访问。
5.现有的云平台访问权限控制方法往往只专注于访问权限级别是否达到要求，以及对于各种权限的风险判断，很少关注用户登录时的身份验证；此外，在权限控制过程中，租户的信任度会直接关联到最后的权限判断，但是现有技术中并不涉及该技术内容。


技术实现要素：

6.本发明实施例提供一种云平台访问权限控制方法及系统，能够至少解决现有技术中部分问题，也即解决现有技术很少关注用户登录时的身份验证以及不涉及租户的信任度的问题。
7.本发明实施例的第一方面，提供一种云平台访问权限控制方法，包括：目标用户登录云平台时，将所述目标用户的用户名发送至所述云平台的服务器，所述服务器基于证书颁发机构，以及所述目标用户返回的数字签名，对所述目标用户的身份进行验证；所述目标用户的身份验证通过后，向所述云平台发送接口调用请求，所述云平台根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别，判断所述目标用户是否具有调用权限，以及是否为所述接口调用请求分配对应的资源请求量；
若所述目标用户具有调用权限，并且为所述接口调用请求分配对应的资源请求量，则根据所述接口调用请求对所述云平台中具有调用权限的租户进行访问。
8.在一种可选的实施方式中，所述服务器基于证书颁发机构，以及所述目标用户返回的数字签名，对所述目标用户的身份进行验证包括：所述目标用户预先生成一对非对称密钥，其中，所述非对称密钥包括私钥和公钥，并将所述公钥注册在可信任的证书颁发机构中，生成相应的数字证书；所述目标用户登录云平台时，将所述目标用户的用户名发送至所述云平台的服务器，所述服务器向所述证书颁发机构请求所述目标用户的数字证书，并将所述数字证书发送至所述目标用户；通过随机生成器生成随机挑战值，并且使用私钥对所述随机挑战值以及所述数字证书进行数字签名，将所述数字签名发送回所述服务器；所述服务器根据所述公钥验证所述数字签名的有效性，若有效，则所述目标用户的身份验证通过，若无效，则所述目标用户的身份验证未通过。
9.在一种可选的实施方式中，所述云平台根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别，判断所述目标用户是否具有调用权限，以及是否为所述接口调用请求分配对应的资源请求量包括：获取所述目标用户的接口调用请求对应的调用服务名，基于预先构建的所有服务类型集合，判断所述调用服务名是否属于所述所有服务类型集合，若否，则拒绝所述目标用户的接口调用请求，并且返回错误操作信息；若是，则根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别；若所述目标用户对应的租户的安全级别不小于所述接口权限级别，则进一步确定所述接口调用请求对应的资源请求量，以及所述云平台根据所述接口调用请求分配的资源配额，结合所述云平台的剩余资源存量，判断是否为所述接口调用请求分配对应的资源请求量。
10.在一种可选的实施方式中，所述租户包括与所述目标用户有过交互历史且可信任的租户，所述根据所述接口调用请求对所述云平台中具有调用权限的租户进行访问包括：获取所述目标用户的用户属性信息、所述目标用户所在环境的环境属性信息以及所述目标用户的第一信誉信息确定所述租户对所述目标用户的第一信任值，若所述第一信任值大于等于第一预设信任阈值，则为所述目标用户分配访问角色，根据所述访问角色以及所述目标用户所在环境的环境属性信息判断所述目标用户的访问权限属性是否满足预设要求，若是，则进一步根据所述访问权限属性、所述环境属性信息以及所述访问角色对应的第二信誉信息确定数据拥有者对所述访问角色的第二信任值，若所述第二信任值大于等于第二预设信任阈值，则授予所述目标用户访问权限。
11.在一种可选的实施方式中，
所述获取所述目标用户的用户属性信息、所述目标用户所在环境的环境属性信息以及所述目标用户的第一信誉信息确定所述租户对所述目标用户的第一信任值包括：按照如下公式确定所述第一信任值：；其中，t1表示所述第一信任值，w1、w2、w3分别表示所述用户属性信息、所述环境属性信息以及第一信誉信息对应的权重值，na、ne、fr分别表示所述用户属性信息、所述环境属性信息以及第一信誉信息。
12.在一种可选的实施方式中，所述根据所述访问权限属性、所述环境属性信息以及所述访问角色对应的第二信誉信息确定数据拥有者对所述访问角色的第二信任值包括：基于所述访问权限属性、所述环境属性信息以及所述访问角色对应的第二信誉信息构建各自对应的模糊集合；基于所述模糊集合，结合预设模糊规则，通过隶属度函数确定所述模糊集合中各个元素的隶属度，并将所述隶属度映射为实际信任值作为所述第二信任值。
13.在一种可选的实施方式中，所述方法还包括判断所述租户是否可信：获取所述租户以租户角色参与的访问资源的数量，以及所述租户以租户角色参与的不合法事件数量，结合贝叶斯概率分布确定所述租户的初始信任值；获取所述目标用户对所述租户的信任记录，分别为所述初始信任值分配第一权重值和为所述信任记录分配第二权重值，根据所述初始信任值、所述第一权重值以及所述信任记录和所述第二权重值确定综合信任值；若所述综合信任值大于等于预设信任阈值，则认定所述租户可信，若所述综合信任值小于预设信任阈值，则认定所述租户不可信。
14.本发明实施例的第二方面，提供一种云平台访问权限控制系统，包括：第一单元，用于目标用户登录云平台时，将所述目标用户的用户名发送至所述云平台的服务器，所述服务器基于证书颁发机构，以及所述目标用户返回的数字签名，对所述目标用户的身份进行验证；第二单元，用于所述目标用户的身份验证通过后，向所述云平台发送接口调用请求，所述云平台根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别，判断所述目标用户是否具有调用权限，以及是否为所述接口调用请求分配对应的资源请求量；第三单元，用于若所述目标用户具有调用权限，并且为所述接口调用请求分配对应的资源请求量，则根据所述接口调用请求对所述云平台中具有调用权限的租户进行访问。
15.本发明实施例的第三方面，提供一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；
其中，所述处理器被配置为调用所述存储器存储的指令，以执行前述所述的方法。
16.本发明实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现前述所述的方法。
17.本发明实施例的有益效果可以参考具体实施方式中技术特征部分的技术效果，在此不再赘述。
附图说明
18.图1为本发明实施例云平台访问权限控制方法的流程示意图；图2为本发明实施例云平台访问权限控制系统的结构示意图。
具体实施方式
19.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
21.图1为本发明实施例云平台访问权限控制方法的流程示意图，如图1所示，所述方法包括：s101. 目标用户登录云平台时，将所述目标用户的用户名发送至所述云平台的服务器，所述服务器基于证书颁发机构，以及所述目标用户返回的数字签名，对所述目标用户的身份进行验证；示例性地，现有的云平台访问权限控制绝大部分只专注于访问权限级别是否达到要求，以及对于各种权限的风险判断，很少关注用户登录时的身份验证，随着企业在云平台投入的资源越来越多，有时候涉及多个用户登录，此时，用户登录的身份验证则显得尤为重要。
22.为此，本技术在目标用户登录云平台时，对其进行身份验证，具体地，基于安全算法的身份验证方法可以使用公钥基础设施（pki）和数字签名，这种方法利用了非对称加密技术，确保身份验证和数据完整性。
23.在一种可选的实施方式中，所述服务器基于证书颁发机构，以及所述目标用户返回的数字签名，对所述目标用户的身份进行验证包括：所述目标用户预先生成一对非对称密钥，其中，所述非对称密钥包括私钥和公钥，并将所述公钥注册在可信任的证书颁发机构中，生成相应的数字证书；所述目标用户登录云平台时，将所述目标用户的用户名发送至所述云平台的服务器，所述服务器向所述证书颁发机构请求所述目标用户的数字证书，并将所述数字证书发送至所述目标用户；通过随机生成器生成随机挑战值，并且使用私钥对所述随机挑战值以及所述数字
证书进行数字签名，将所述数字签名发送回所述服务器；所述服务器根据所述公钥验证所述数字签名的有效性，若有效，则所述目标用户的身份验证通过，若无效，则所述目标用户的身份验证未通过。
24.其中，目标用户可以生成一对非对称密钥：一个私钥和一个公钥，私钥绝对保密，而公钥可以发明。公钥被注册到一个可信任的证书颁发机构（ca）中，生成一个数字证书，证书中包含用户的公钥和一些标识信息，证书颁发机构负责验证用户身份，并签署证书，以确认公钥的真实性。
25.用户在登录时，将用户名发送到服务器，服务器向证书颁发机构请求用户的数字证书，然后将证书发回给用户。用户使用私钥对一个特定的随机挑战值进行数字签名，然后将签名发送回服务器，服务器使用之前验证过的公钥来验证数字签名的有效性。如果验证通过，说明用户拥有私钥，因此是合法用户。
26.其中，随机挑战值（random challenge value）是在数字签名过程中引入的一种随机性，用于增加签名的安全性和不可预测性。在数字签名中，签名者使用私钥对特定的数据进行签名，而随机挑战值就是为了确保每次签名都是不同的，从而防止重放攻击等威胁。在数字签名过程中，签名者可能会收到多个相同的请求，如果每次都使用相同的数据进行签名，攻击者可以复用签名来进行重放攻击。通过引入随机挑战值，每次签名都会使用不同的挑战值，从而防止攻击者使用相同的签名进行重放攻击。
27.其中，服务器根据所述公钥验证所述数字签名的有效性可以包括：使用公钥对签名数据进行解密，得到签名的摘要，从原始数据中重新计算摘要，比较解密后的摘要和重新计算的摘要是否匹配，如果解密后的摘要和重新计算的摘要匹配，说明签名是有效的；否则，签名无效。
28.数字证书通常有有效期限制，在证书到期之前，用户需要申请并获得更新的证书，如果用户的私钥泄露或其他安全问题，证书颁发机构可以将证书撤销，防止被滥用。基于pki和数字签名的身份验证方法提供了较高的安全性，因为私钥的保密性以及数字签名的特性能够有效地防止伪造和篡改。
29.s102. 所述目标用户的身份验证通过后，向所述云平台发送接口调用请求，所述云平台根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别，判断所述目标用户是否具有调用权限，以及是否为所述接口调用请求分配对应的资源请求量；示例性地，如果身份验证成功，服务器生成一个访问令牌（access token）并返回给目标用户，令牌包含有关用户身份和权限的信息，以及一些签名或加密机制来确保令牌的真实性和完整性。
30.目标用户获得访问令牌后，将其附加到每个接口调用请求中，云平台收到接口调用请求后，首先验证令牌的有效性和真实性，这可以涉及令牌的解密和验签过程，以确保令牌未被篡改；提取令牌中的用户信息，包括所属租户、权限级别等。
31.云平台根据用户的身份信息查询租户的安全级别和接口权限级别，比较用户权限级别与接口调用请求的所需权限级别；如果用户权限足够，继续；否则，拒绝请求并返回错误信息。如果用户有足够的权限，根据接口调用请求的资源需求，判断是否可以分配资源，这可能涉及到资源配额的检查，确保分配资源不超过用户的限制和系统的剩余资源。
32.如果权限和资源分配通过，云平台执行接口调用请求，处理数据或服务。云平台将操作结果返回给目标用户，并在响应中携带必要的信息。在整个过程中，云平台记录每个请求的日志，包括目标用户、请求内容、权限验证结果、资源分配情况等，以便后续审计和监控。
33.通过查询目标用户所属的租户的安全级别，以及接口调用请求的权限级别，系统可以判断用户是否具备调用权限，这种精确的权限控制确保只有具备足够权限的用户才能执行相应操作，降低了安全风险。此外，系统可以根据用户身份、权限级别和实时的资源状况，动态分配资源请求量，以确保资源的合理使用和优化系统性能，针对不同的用户和接口调用，系统可以进行资源预留、限制或动态调整，以满足业务需求和性能要求。通过对租户的安全级别和接口权限级别进行配置和管理，系统可以灵活适应不同的业务场景和需求，这种模块化的设计可以支持不断变化的业务需求，同时保持整体系统的可扩展性。
34.在一种可选的实施方式中，所述云平台根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别，判断所述目标用户是否具有调用权限，以及是否为所述接口调用请求分配对应的资源请求量包括：获取所述目标用户的接口调用请求对应的调用服务名，基于预先构建的所有服务类型集合，判断所述调用服务名是否属于所述所有服务类型集合，若否，则拒绝所述目标用户的接口调用请求，并且返回错误操作信息；若是，则根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别；若所述目标用户对应的租户的安全级别不小于所述接口权限级别，则进一步确定所述接口调用请求对应的资源请求量，以及所述云平台根据所述接口调用请求分配的资源配额，结合所述云平台的剩余资源存量，判断是否为所述接口调用请求分配对应的资源请求量。
35.访问控制(access control)是对系统用户或者计算机进行授权，使其可以访问网络或者操作计算机上的对象，是一种可以通过某种特定方式对主体进行控制，使其对客体的访问保持在一定的安全范围。访问控制最重要的任务就是保证系统的使用是在合法的范围，同时也是保护系统资源、维护系统安全的重要技术。
36.传统访问控制模型主要包括自主访问控制dac模型、强制访问控制mac模型，其中，dac模型，又称基于主体的访问控制模型，是一种最为普遍的访问控制模型，其模型中主体是通过自己去控制已拥有客体的所有访问权限。这种控制是主体自主的把访问权或访问权的某部分授权给其它主体，也就是用户根据自己的意愿，自主的与其他用户共享资源。自主访问控制模型的最大好处就是足够灵活，因为客体的创建者能够操作该客体的所有权限。缺点就是权限被传递出去后很难得到控制,会给系统带来许多潜在的风险，并且可能会出现信息资源的安全漏洞。同时扩展转移出去的权限因为无法控制，为系统带来了巨大的开销。
37.mac模型，又称基于安全等级的访问控制模型，其主体是不允许被干涉的。该模型通过标识系统中所有主体、客体的安全级别，将系统中的信息分密级和类进行管理，并且采取不能回避的存取控制方式去防止所有直接或者间接的攻击。也就是用户和资源都被标记
了固定的安全属性，在用户每次访问的时候，进行安全属性的检测，确定用户是否有资格访问该资源。其优点是管理集中，安全性较高。但是在应用系统的实际使用中灵活性差，且无法满足拥有大量主客体的应用系统对访问控制的要求。
38.本发明实施例以基于角色的访问控制模型（rbac模型）为权限管理的基础，对其进行改进。
39.rbac模型是在用户和权限之间引入了角色，通过给用户分配合适的角色,使用户获得相应角色的所有访问权限，以此来控制用户对系统资源的访问操作。其模型实现了分层管理，其中任何一层关系发生变化都不会影响到其他层之间的关系。rbac模型有三个实体，即用户、角色和权限，用户是指可以对系统数据和资源进行访问的主体，角色是指拥有某些权限以完成指定功能的资格或者权利集合，权限表示对系统资源进行访问的规则集合。
40.但是rbac模型实体关系只有三层，无法对系统资源实现更加详细且全面的描述，导致在管理粒度上不够细致。在组件数据库设计上，大多数组件的实现除了上述三个实体相对应的数据库表，还有用户-角色表、角色-权限表等之间的关联表，这样导致涉及的表众多且表间关系复杂，致使授权过程繁杂且开发人员不易理解，权限分配不够灵活。
41.为了更清楚地说明本发明实施例的方案，对相应的名词进行如下解释：用户即平台的注册用户，租户即对某种服务拥有一定权限的角色实体，是资源分配的基本对象，资源限额即对平台中某种服务使用的资源数量的最高上限，api接口级别即api接口对应的安全级别，租户级别即某一个租户对应的安全级别。
42.其中，每一个用户对应平台的多种服务，每一种服务对应多种租户身份。每种租户类型可以属于多个用户，用户通过租户身份获得相应服务的权限。租户对应的权限主要包括两种，分别是资源限额和 api调用权限。资源限额由一张租户和资源配额对应的关系表来操作。api的调用权限由租户对应api 接口级别表和租户对应租户级别表来操作。当某服务中租户的安全级别不低于所调用接口的安全级别时，该租户可以调用该接口。用户有资源请求时，要经过资源限额和已使用资源量的综合判断，确定用户是否还有使用一定量资源的权限。
43.其中，判断是否为所述接口调用请求分配对应的资源请求量可以包括：所述资源配额与所述资源请求量的差值是否不小于所述剩余资源存量，若是，则可以分配对应的资源请求量，若否，则拒绝进行资源分配。
44.示例性地，当系统要判断某一用户是否具有调用某一接口的权限时，首先会根据服务类型从用户租户表中获取该用户相应服务对应的租户类型，用户租户表中记录了用户名在该服务下对应的租户类型名和注册的站点类型； 再根据获取到的租户类型查询 api接口级别表，得到该租户类型对应的 api 接口安全级别值，接口级别表记录了各个api对应安全级别值；接着查询租户级别表，得到该租户类型的安全级别；租户级别表中记录了租户类型对应的安全级别值，根据这些结果进行判断，如果用户此服务对应的租户的安全级别不低于相应的api接口安全级别则有调用该接口的权限，否则不能调用该接口。
45.进一步地，如果系统想要判断某一用户是否具有使用某一资源固定量的权限时，首先要经过上述过程判断该用户是否具有调用获取该资源的接口权限，如果有，继续通过
租户资源权限表获取对应租户类型的资源使用限额，租户资源权限表中记录了相应服务下各类租户各种资源的使用限额，结合记账部分该用户对应资源已使用量，加上用户正在申请的资源量，判断其总量是否超过该租户类型对应的资源使用限额，进而判断用户是否具有使用所请求资源的权限。
46.可选地，用户在发送接口调用请求之前，需要进行身份验证，可以使用标准的身份验证协议，如oauth 2.0；在认证成功后，根据用户的身份信息获取其所属角色和租户信息。云平台维护一个预先构建的服务类型集合，包含所有合法的服务类型。在接收到用户的接口调用请求后，提取请求中的调用服务名，并判断该服务名是否属于预定义的服务类型集合中。若不属于集合，则拒绝请求，返回错误信息，否则进入下一步。
47.从用户的身份信息中获取其所属租户的安全级别和接口权限级别。将接口调用请求中的接口权限级别与租户的安全级别进行比较，确保用户有足够的权限进行调用。根据用户的身份信息和接口调用请求，查询用户的资源配额和云平台的剩余资源存量；根据用户的资源配额和云平台剩余资源，判断是否有足够的资源供应来满足接口调用请求。
48.如果用户具有足够的权限和足够的资源，根据业务需求或策略，确定为该接口调用请求分配的资源请求量；一旦权限、资源验证通过，云平台允许用户的接口调用请求，将请求交付给相应的服务实例进行处理。在调用过程中，可以进行实时的资源使用监控和计量，确保用户不超出分配的资源配额。
49.s103. 若所述目标用户具有调用权限，并且为所述接口调用请求分配对应的资源请求量，则根据所述接口调用请求对所述云平台中具有调用权限的租户进行访问。
50.示例性地，本技术中租户可以用于指示与所述目标用户有过交互历史且可信任的租户。实际应用中，若两个租户发生过交互历史，并且未发生不合法事件，则可以认为租户是可以信任的。若租户a中的用户需要跨租户访问租户b的资源，那么租户b就需要判断租户a中的用户是否可信，即涉及到租户之间的信任问题。租户b为发起信任的一方，称为信任者，租户a为被信任的一方，称为被信任者。
51.需要说明的是，租户是指租用云服务的实体，云服务提供商可以为多个租户提供服务，租户利用云平台来承载其业务。用户是指访问租户承载在云服务上的业务的实体，租户的业务可以供多个用户访问。角色是指在一个租户中用户的身份或工作职能，每个租户中可以有多个角色，但每个角色只能属于一个租户。数据拥有者是指对被访问的数据具有拥有权的租户。
52.实际应用中，对数据拥有者的资源进行访问所造成的数据泄露等：对值得信任的用户授子访问权限；拒绝不值得信任的用户的访问。
53.在一种可选的实施方式中，所述租户包括与所述目标用户有过交互历史且可信任的租户，所述根据所述接口调用请求对所述云平台中具有调用权限的租户进行访问包括：获取所述目标用户的用户属性信息、所述目标用户所在环境的环境属性信息以及所述目标用户的第一信誉信息确定所述租户对所述目标用户的第一信任值，若所述第一信任值大于等于第一预设信任阈值，则为所述目标用户分配访问角色，根据所述访问角色以及所述目标用户所在环境的环境属性信息判断所述目标用户的访问权限属性是否满足预设要求，
若是，则进一步根据所述访问权限属性、所述环境属性信息以及所述访问角色对应的第二信誉信息确定数据拥有者对所述访问角色的第二信任值，若所述第二信任值大于等于第二预设信任阈值，则授予所述目标用户访问权限。
54.本技术实施例根据目标用户的用户属性信息、环境属性信息以及第一信誉信息，租户可以建立针对目标用户的第一信任值，这可以帮助确定目标用户在系统中的可信程度。如果第一信任值满足预设信任阈值，目标用户将被分配适当的访问角色，这确保了仅在一定程度上信任的用户被授予系统访问权限。在分配访问角色后，租户根据目标用户所在环境的环境属性信息，评估其访问权限属性，这有助于确保目标用户的角色和权限与其当前环境相匹配，不同环境可能需要不同的权限，以便在不同情况下实现灵活的访问控制。第二信任值的计算结合了访问权限属性、环境属性和访问角色的第二信誉信息，形成多层次的信任度评估，这样的多层次评估考虑了多个因素，增强了对用户行为的分析，提高了信任度评估的精度。
55.示例性地，本技术实施例中用户属性信息可以包括身份证号、邮箱、联系方式等属性信息；环境属性指发出请求的时间（time）、访问时间长度(the length of access time)、地址（一般为ip）等；权限属性包括操作属性和资源属性；操作属性包括读（read）、写(write）、更新（update)、删除（delete）等；资源属性包括数据拥有者的资源的类别 (type）、保密等级(secret level) 等：目标用户的第一信誉信息可以包括目标用户的初始信誉评级，可以是系统内部给予的初始分数。
56.其中，第一信任值用于指示量化目标用户、租户和访问角色之间的信任程度。数据拥有者对访问角色的信任，是指数据拥有者从访问权限属性、环境属性信息以及访问角色的信誉信息这三个方面来计算访问角色的信任值。
57.在一种可选的实施方式中，所述获取所述目标用户的用户属性信息、所述目标用户所在环境的环境属性信息以及所述目标用户的第一信誉信息确定所述第一租户对所述目标用户的第一信任值包括：按照如下公式确定所述第一信任值：；其中，t1表示所述第一信任值，w1、w2、w3分别表示所述用户属性信息、所述环境属性信息以及第一信誉信息对应的权重值，na、ne、fr分别表示所述用户属性信息、所述环境属性信息以及第一信誉信息。
58.为用户属性、环境属性和第一信誉信息定义权重，以反映它们对信任值的重要程度，权重可以是根据领域专业知识或经验确定的固定值，也可以是通过数据分析来获得；对用户属性和环境属性进行归一化，将它们映射到一个统一的范围，如0到1之间，这样可以确保各属性在计算中具有相近的权重。本技术实施例中第一预设信任阈值和第二预设信任阈值可以值相同，也可以值不同，具体可以根据实际需求进行设置，本技术对此并不进行限定。
59.若所述第一信任值大于等于第一预设信任阈值，则为所述目标用户分配访问角色，其中，为目标用户分配访问角色是访问控制中的一部分，它涉及将特定的权限和权限范围分配给用户，以便他们可以在系统中执行特定的操作。访问角色是一组权限的集合，代表了用户在系统中的角色和职责，从而限制了他们能够执行的操作。
60.在系统中可以定义不同的访问角色，每个角色代表一组具有相似职责和权限的操作，例如，管理员、普通用户、数据分析师等可以是不同的角色，根据用户属性和需求，将目标用户分配到适合的访问角色，一个用户可以分配到一个或多个角色，取决于他们在系统中的职责。访问角色代表了在系统中具有特定权限集合的一类用户，每个角色具有一组操作权限，以允许用户执行相应的任务。不同的角色可以有不同的访问权限，从而使系统可以灵活地管理用户的访问和操作。
61.其中，访问权限属性用于指示与用户分配的访问角色相关联的权限属性，描述了用户在特定角色下可以执行的操作。系统根据用户的环境属性，查找该角色的访问权限属性，以确定用户在当前环境下可以执行的操作。
62.在一种可选的实施方式中，所述根据所述访问权限属性、所述环境属性信息以及所述访问角色对应的第二信誉信息确定数据拥有者对所述访问角色的第二信任值包括：基于所述访问权限属性、所述环境属性信息以及所述访问角色对应的第二信誉信息构建各自对应的模糊集合；基于所述模糊集合，结合预设模糊规则，通过隶属度函数确定所述模糊集合中各个元素的隶属度，并将所述隶属度映射为实际信任值作为所述第二信任值。
63.示例性地，假设访问权限属性的模糊集：low、medium、high；环境属性的模糊集：poor、fair、good；访问角色的第二信誉信息的模糊集：low、medium、high；预设模糊规则可以如下：如果访问权限属性是 high 且环境属性是 good，则信任值是 high；如果访问权限属性是 low 且环境属性是 poor，则信任值是 low。本技术实施例的隶属度函数可以将实际的输入值映射到模糊集中的隶属度，它通常是一个数学函数，可以是三角形函数、梯形函数等。以下是一个简单的三角形隶属函数的示例：low 访问权限属性的三角形隶属函数：峰值点：0.2、左侧斜率：0.2、右侧斜率：0.4；medium 访问权限属性的三角形隶属函数：峰值点：0.5、左侧斜率：0.2、右侧斜率：0.2；high 访问权限属性的三角形隶属函数：峰值点：0.8、左侧斜率：0.4、右侧斜率：0.2。
64.最后将所述隶属度映射为实际信任值作为所述第二信任值。
65.在一种可选的实施方式中，所述方法还包括判断所述租户是否可信：获取所述租户以租户角色参与的访问资源的数量，以及所述租户以租户角色参与的不合法事件数量，结合贝叶斯概率分布确定所述租户的初始信任值；获取所述目标用户对所述租户的信任记录，分别为所述初始信任值分配第一权重值和为所述信任记录分配第二权重值，根据所述初始信任值、所述第一权重值以及所述信任记录和所述第二权重值确定综合信任值；若所述综合信任值大于等于预设信任阈值，则认定所述租户可信，若所述综合信任值小于预设信任阈值，则认定所述租户不可信。
66.本技术实施例引入租户的可信性评估机制，通过分析租户的历史行为和信任记录，系统能够判断租户是否值得信任；引入了不同权重值来影响综合信任值的计算。将初始信任值、信任记录以及不同权重值结合起来，更好地综合了多种因素的影响，提供了更全面的信任评价；随着租户的行为和信任记录的变化，综合信任值也会随之变化，这使得系统能够实时地对租户的信任程度进行更新和调整，保持评价的准确性。
67.其中，不合法事件指的是在系统或平台中发生的违反规定、不符合法律、政策、规范或规则的事件。这些事件可能涉及违法行为、违反安全政策、违背使用条款或其他不当行为；不合法事件可能导致信息泄露、系统被入侵、数据损坏、服务中断等安全风险和问题。
68.租户以租户角色参与的不合法事件数量是用来衡量租户行为合规性的指标，通过记录和统计不合法事件的数量，可以评估租户在系统中的行为是否符合规定，以及是否存在潜在的风险。
69.假设一个开发者租户在云平台中访问资源时，恶意尝试非法访问其他租户的数据，这就是一个不合法事件。又或者，一个租户使用了未经授权的方式获取了系统中的敏感数据，也可以被视为不合法事件。
70.收集关于租户以租户角色参与的访问资源数量和不合法事件数量的数据，计算租户的行为频率，即访问资源数量和不合法事件数量的比值，这可以用来衡量租户的行为规模和合规性。使用贝叶斯概率分布来计算初始信任值。贝叶斯概率分布可以将先验知识（租户的行为频率）与新的观测数据（访问资源数量和不合法事件数量）结合起来，得出新的估计。将贝叶斯概率分布应用于租户的行为频率和观测数据，计算得出初始信任值。
71.所述获取所述目标用户对所述租户的信任记录可以包括：在系统中，记录用户和租户的操作日志，包括访问资源、修改设置等，这些日志可以用来追踪用户行为和交互历史；记录用户与租户之间的交互历史，包括请求、响应、交换的数据等，这些记录可以反映用户和租户之间的合作关系和信任情况。
72.分别为所述初始信任值分配第一权重值和为所述信任记录分配第二权重值，示例性地，本技术的第一权重和第二权重可以是根据领域专业知识或经验确定的固定值，也可以是通过数据分析来获得。其中，第一权重值可以与第二权重值相同，也可以不同，本技术实施例对此并不进行限定。
73.根据所述初始信任值、所述第一权重值以及所述信任记录和所述第二权重值确定综合信任值，可以通过加权平均的方式确定所述综合信任值，若所述综合信任值大于等于预设信任阈值，则认定所述租户可信，若所述综合信任值小于预设信任阈值，则认定所述租户不可信。
74.图2为本发明实施例云平台访问权限控制系统的结构示意图，本发明实施例的第二方面，提供一种云平台访问权限控制系统，包括：第一单元，用于目标用户登录云平台时，将所述目标用户的用户名发送至所述云平台的服务器，所述服务器基于证书颁发机构，以及所述目标用户返回的数字签名，对所述目标用户的身份进行验证；第二单元，用于所述目标用户的身份验证通过后，向所述云平台发送接口调用请求，所述云平台根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，
以及所述接口调用请求的接口权限级别，判断所述目标用户是否具有调用权限，以及是否为所述接口调用请求分配对应的资源请求量；第三单元，用于若所述目标用户具有调用权限，并且为所述接口调用请求分配对应的资源请求量，则根据所述接口调用请求对所述云平台中具有调用权限的租户进行访问。
75.本发明实施例的第三方面，提供一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为调用所述存储器存储的指令，以执行前述所述的方法。
76.本发明实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现前述所述的方法。
77.本发明可以是方法、装置、系统和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于执行本发明的各个方面的计算机可读程序指令。
78.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

技术特征：
1.一种云平台访问权限控制方法，其特征在于，包括：目标用户登录云平台时，将所述目标用户的用户名发送至所述云平台的服务器，所述服务器基于证书颁发机构，以及所述目标用户返回的数字签名，对所述目标用户的身份进行验证；所述目标用户的身份验证通过后，向所述云平台发送接口调用请求，所述云平台根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别，判断所述目标用户是否具有调用权限，以及是否为所述接口调用请求分配对应的资源请求量；若所述目标用户具有调用权限，并且为所述接口调用请求分配对应的资源请求量，则根据所述接口调用请求对所述云平台中具有调用权限的租户进行访问。2.根据权利要求1所述的方法，其特征在于，所述服务器基于证书颁发机构，以及所述目标用户返回的数字签名，对所述目标用户的身份进行验证包括：所述目标用户预先生成一对非对称密钥，其中，所述非对称密钥包括私钥和公钥，并将所述公钥注册在可信任的证书颁发机构中，生成相应的数字证书；所述目标用户登录云平台时，将所述目标用户的用户名发送至所述云平台的服务器，所述服务器向所述证书颁发机构请求所述目标用户的数字证书，并将所述数字证书发送至所述目标用户；通过随机生成器生成随机挑战值，并且使用私钥对所述随机挑战值以及所述数字证书进行数字签名，将所述数字签名发送回所述服务器；所述服务器根据所述公钥验证所述数字签名的有效性，若有效，则所述目标用户的身份验证通过，若无效，则所述目标用户的身份验证未通过。3.根据权利要求1所述的方法，其特征在于，所述云平台根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别，判断所述目标用户是否具有调用权限，以及是否为所述接口调用请求分配对应的资源请求量包括：获取所述目标用户的接口调用请求对应的调用服务名，基于预先构建的所有服务类型集合，判断所述调用服务名是否属于所述所有服务类型集合，若否，则拒绝所述目标用户的接口调用请求，并且返回错误操作信息；若是，则根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别；若所述目标用户对应的租户的安全级别不小于所述接口权限级别，则进一步确定所述接口调用请求对应的资源请求量，以及所述云平台根据所述接口调用请求分配的资源配额，结合所述云平台的剩余资源存量，判断是否为所述接口调用请求分配对应的资源请求量。4.根据权利要求1所述的方法，其特征在于，所述租户包括与所述目标用户有过交互历史且可信任的租户，所述根据所述接口调用请求对所述云平台中具有调用权限的租户进行访问包括：获取所述目标用户的用户属性信息、所述目标用户所在环境的环境属性信息以及所述目标用户的第一信誉信息确定所述租户对所述目标用户的第一信任值，若所述第一信任值
大于等于第一预设信任阈值，则为所述目标用户分配访问角色，根据所述访问角色以及所述目标用户所在环境的环境属性信息判断所述目标用户的访问权限属性是否满足预设要求，若是，则进一步根据所述访问权限属性、所述环境属性信息以及所述访问角色对应的第二信誉信息确定数据拥有者对所述访问角色的第二信任值，若所述第二信任值大于等于第二预设信任阈值，则授予所述目标用户访问权限。5.根据权利要求4所述的方法，其特征在于，所述获取所述目标用户的用户属性信息、所述目标用户所在环境的环境属性信息以及所述目标用户的第一信誉信息确定所述租户对所述目标用户的第一信任值包括：按照如下公式确定所述第一信任值：；其中，t1表示所述第一信任值，w1、w2、w3分别表示所述用户属性信息、所述环境属性信息以及第一信誉信息对应的权重值，na、ne、fr分别表示所述用户属性信息、所述环境属性信息以及第一信誉信息。6.根据权利要求4所述的方法，其特征在于，所述根据所述访问权限属性、所述环境属性信息以及所述访问角色对应的第二信誉信息确定数据拥有者对所述访问角色的第二信任值包括：基于所述访问权限属性、所述环境属性信息以及所述访问角色对应的第二信誉信息构建各自对应的模糊集合；基于所述模糊集合，结合预设模糊规则，通过隶属度函数确定所述模糊集合中各个元素的隶属度，并将所述隶属度映射为实际信任值作为所述第二信任值。7.根据权利要求1所述的方法，其特征在于，所述方法还包括判断所述租户是否可信：获取所述租户以租户角色参与的访问资源的数量，以及所述租户以租户角色参与的不合法事件数量，结合贝叶斯概率分布确定所述租户的初始信任值；获取所述目标用户对所述租户的信任记录，分别为所述初始信任值分配第一权重值和为所述信任记录分配第二权重值，根据所述初始信任值、所述第一权重值以及所述信任记录和所述第二权重值确定综合信任值；若所述综合信任值大于等于预设信任阈值，则认定所述租户可信，若所述综合信任值小于预设信任阈值，则认定所述租户不可信。8.一种云平台访问权限控制系统，其特征在于，包括：第一单元，用于目标用户登录云平台时，将所述目标用户的用户名发送至所述云平台的服务器，所述服务器基于证书颁发机构，以及所述目标用户返回的数字签名，对所述目标用户的身份进行验证；第二单元，用于所述目标用户的身份验证通过后，向所述云平台发送接口调用请求，所述云平台根据所述目标用户的身份信息查询所述目标用户对应的租户的安全级别，以及所述接口调用请求的接口权限级别，判断所述目标用户是否具有调用权限，以及是否为所述接口调用请求分配对应的资源请求量；第三单元，用于若所述目标用户具有调用权限，并且为所述接口调用请求分配对应的资源请求量，则根据所述接口调用请求对所述云平台中具有调用权限的租户进行访问。
9.一种电子设备，其特征在于，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为调用所述存储器存储的指令，以执行权利要求1至7中任意一项所述的方法。10.一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，所述计算机程序指令被处理器执行时实现权利要求1至7中任意一项所述的方法。

技术总结
本发明提供一种云平台访问权限控制方法及系统，涉及云计算技术领域，包括目标用户登录云平台时，将目标用户的用户名发送至云平台的服务器，服务器基于证书颁发机构，以及目标用户返回的数字签名，对目标用户的身份进行验证；目标用户的身份验证通过后，向云平台发送接口调用请求，云平台根据目标用户的身份信息查询目标用户对应的租户的安全级别，以及接口调用请求的接口权限级别，判断目标用户是否具有调用权限，以及是否为接口调用请求分配对应的资源请求量；若目标用户具有调用权限，并且为接口调用请求分配对应的资源请求量，则根据接口调用请求对云平台中具有调用权限的租户进行访问。本发明的方法能够准确控制云平台的访问权限。访问权限。访问权限。


技术研发人员：卞辉
受保护的技术使用者：勤源（江苏）科技有限公司
技术研发日：2023.08.07
技术公布日：2023/9/9