CN111611561A - 一种面向边缘分级用户的认证授权统一管控方法 - Google Patents

一种面向边缘分级用户的认证授权统一管控方法 Download PDF

Info

Publication number
CN111611561A
CN111611561A CN202010516534.5A CN202010516534A CN111611561A CN 111611561 A CN111611561 A CN 111611561A CN 202010516534 A CN202010516534 A CN 202010516534A CN 111611561 A CN111611561 A CN 111611561A
Authority
CN
China
Prior art keywords
user
authentication
password
node
account
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010516534.5A
Other languages
English (en)
Other versions
CN111611561B (zh
Inventor
葛光富
张骞
吴凯迪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 28 Research Institute
Original Assignee
CETC 28 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 28 Research Institute filed Critical CETC 28 Research Institute
Priority to CN202010516534.5A priority Critical patent/CN111611561B/zh
Publication of CN111611561A publication Critical patent/CN111611561A/zh
Application granted granted Critical
Publication of CN111611561B publication Critical patent/CN111611561B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

本发明提供了一种面向边缘分级用户的认证授权统一管控方法,包括:在服务中心构建边缘用户管理服务,对用户状态统一进行管理;在各终端节点构建节点管理权限控制器,为本节点管理员配备专有账户,提供身份验证、账户更改功能;依托在离线检测服务构建在离线权限控制器,获取在离线服务中心的状态,据此能够实时控制系统各应用统一为用户相应开放或关闭在线功能;构建边缘用户登录控制器,支持用户在线登录、历史用户离线登录、本节点管理员登录,并按照用户级别控制授权使用系统。本发明的方法简单易行,不仅能够为边缘分级用户提供认证授权的管控手段,同时简化统一了步骤环节,而且能够支撑用户在离线两者情况下的系统使用。

Description

一种面向边缘分级用户的认证授权统一管控方法
技术领域
本发明属于计算机技术领域,具体涉及一种面向边缘分级用户的认证授权统一管控方法。
背景技术
伴随着物联网、车联网领域的迅猛发展,边缘计算技术不断取得突破,各类云业务延展至边缘,进而提高了信息系统规模及其复杂度,为用户的身份认证与授权带来了挑战。同时多数应用系统的复杂多样环境及其可集群化使用需求,衍生构建了分级的用户体系,故在边缘计算环境下,信息系统将会面临着用户认证与按级授权的统一管理与控制需求。
综合军民用市场,有着大量的计算处理设备用于搭建各型信息系统,但这些设备的软硬件资源参差不齐、性能不一有些甚至较差,其中终端设备尤为突出,受限的计算、存储、网络资源会约束各地能够集成部署的(相应级别范围用户可使用的)系统功能集。因此,为实现用户和系统使用的集中统一管理与控制,增加系统的可管理性并降低可控风险,可运用于边缘分级用户体系下的支撑业务系统用户身份认证与授权的统一管控技术,成为信息系统软件服务平台统筹规划中的必要考虑因素。
目前暂未有针对边缘场景下分级用户的认证授权统一管控方法,故为此使用场景设计和规划统一系统的用户身份认证与功能按级授权,强化用户组织实施的一体化管理水平,同时为适配轻量化应用各类终端资源提供有力支撑,已成为当前信息系统建设中急需解决的问题。
因此,需要一种新的适用于边缘分级用户体系的认证授权统一管控方法。
发明内容
发明目的:本发明所要解决的技术问题是针对现有技术的不足,提供一种面向边缘分级用户的认证授权统一管控方法,能够立足于边缘应用场景实现分级体系下用户认证授权的一体化管理与控制。本发明具体包括以下步骤:包括:
在边缘服务中心构建边缘用户管理服务,接入边缘服务的全部用户的基础信息,并对所述用户的在线认证、账号变更、属性查询统一进行管理;
在各终端节点构建节点管理权限控制器,为本节点管理员配备专有账户,提供身份验证、账户更改功能;
在各终端节点依托在离线检测服务构建在离线权限控制器,获取在、离线边缘服务中心的状态,实时控制系统各应用统一为本节点用户相应开放或关闭在线功能;
在各终端节点构建边缘用户登录控制器,支持边缘用户在线登录、历史用户离线登录、本节点管理员登录,并按照登录用户的级别控制授权用户使用系统功能。
所述边缘是指在靠近物或数据源头的一侧,采用网络、计算、存储、应用核心能力为一体的开放平台,就近提供最近终端服务的设备集群环境。
本发明中,边缘服务中心是边缘集群环境为各终端节点统一提供服务的中心,该中心非物理层面的中心而属于逻辑层面上的中心,可以是集中部署在边缘中的某个固定物理节点,也可以是分布式部署在边缘中的各个节点中而作为虚拟化的中心存在。各终端节点是指本身能够作为独立节点来使用边缘服务的各个终端。在离线检测服务是指服务于本地应用的一项服务化功能,用于检测记录发布与边缘服务中心的连接在线或离线状态并发布变更通知。系统是指终端节点部署的应用业务系统。
所述在服务中心构建边缘用户管理服务,包括:
步骤a1,创建用户基础信息库,统一接入并存储边缘服务的全部用户的姓名、身份号码、人脸数据库、等级、角色信息,以及配置初始默认为未注册的账号、密码信息;在不配备人脸数据库时,由边缘服务中心定期更新发布系统动态认证码;
步骤a2,提供用户账户注册服务,支持通过身份号码、人脸图像查找用户基础信息库对比人脸数据库,或者,边缘服务中心不配备人脸数据库时,通过身份号码、验证码查找用户基础信息库对比系统动态认证码进行合法用户的认证,认证成功后且用户设置密码满足用户管理服务的用户密码策略(如包括最短密码长度、密码复杂性、密码历史内不重复)要求时登记用户的账号、密码;
步骤a3,提供用户属性查询服务,支持通过账号、密码查找用户基础信息库进行合法用户的认证,认证成功后按照待查询(姓名、身份号码、等级、角色等的一个或以上)属性列表来获取当前用户的相应列表属性信息;
步骤a4,提供用户登录认证服务,支持通过账号、密码查找用户基础信息库进行合法用户的认证,查找到即用户认证成功,认证成功时通过用户属性查询服务获取并同步返回登录用户的级别角色属性信息;
步骤a5,提供用户密码更改服务,支持通过账号、密码查找用户基础信息库进行合法用户的认证,认证成功后且新密码满足用户管理服务的用户密码策略要求时将用户的密码更改为新密码。
所述在各终端节点构建节点管理权限控制器,包括:
步骤b1,创建本节点管理员账户,为本节点管理员创建专有账户,专有账户包括账号、初始密码、级别、角色,并预置账户使用状态为未使用;
步骤b2,提供节点管理员账户更改功能,支持通过账号、密码匹配本节点管理员账户信息进行本节点管理员身份验证,验证通过后且新密码满足本节点管理员密码策略要求时将本节点管理员的密码更改为新密码;
步骤b3,提供节点管理员身份验证功能,支持通过账号、密码匹配本节点管理员账户信息来进行身份验证,匹配成功即是本节点管理员,如果管理员账户使用状态当前为未使用时进入节点管理员账户更改功能由用户完成密码更改,同时管理员账户使用状态变更为已使用,之后由用户重新进行身份验证。
所述在各终端节点依托本地的在离线检测服务构建在离线权限控制器,包括:
步骤c1,在离线中心状态接入,起始通过在离线检测服务的在离线服务中心状态即时检测功能查询获取记录本节点在线、离线边缘服务中心的状态,并支持应用查询;
步骤c2,在离线中心状态监听,依托在离线检测服务的在离线服务中心状态定时检测及其状态变更通知发布能力,订阅其发布的在离线中心状态变更通知来实时监听获取到本节点在线、离线边缘服务中心的状态变化;
步骤c3,在离线功能权限控制,在线、离线状态变化时向系统(本节点)各应用发布在离线中心状态变更通知,以控制(注:各应用收到通知状态变化为在线或离线时,相应开发或关闭在线功能)支撑系统能够统一为用户相应开放或关闭在线功能;
步骤c4,恢复在线用户再认证,离线恢复在线时,自动向边缘用户管理服务提交当前用户的账号、密码信息进行用户在线认证,未通过在线认证时进入用户在线登录功能由用户重新登录。
所述在各终端节点构建边缘用户登录控制器,包括:
步骤d1,提供用户账户注册功能,在线时边缘用户向边缘用户管理服务提交身份号码、人脸图像(或验证码)、账号、密码信息,通过其提供的用户账户注册服务进行用户账户注册,并向本节点返回账户注册结果;
步骤d2,提供用户密码更改功能,在线时边缘用户向边缘用户管理服务提交账号、当前密码、新密码信息,通过其提供的用户密码更改服务进行用户密码更改,并向本节点返回密码更改结果;
步骤d3,提供用户在线登录功能,在线时边缘用户向边缘用户管理服务提交账号、密码信息,通过其提供的用户登录认证服务进行在线用户的登录认证,并向本节点返回用户认证结果及其级别角色属性信息,本节点收到结果为认证通过时登录成功同时记录当前用户的账号密码及级别角色属性信息,并为之后的按级授权提供当前用户的级别角色属性信息;
步骤d4,提供用户离线登录功能,离线时边缘用户提交账号、密码信息,匹配历史用户账号密码记录信息进行用户离线认证,认证通过时登录成功同时为之后的按级授权提供当前用户的级别角色属性信息;
步骤d5,提供节点管理员登录功能,边缘用户向节点管理权限控制器提交账号、密码信息,通过其提供的节点管理员身份验证功能进行身份认证,认证通过时登录成功并为之后的按级授权提供当前用户的级别角色属性信息;
步骤d6,提供用户按级授权功能,结合当前登录用户的级别角色属性信息以及本终端节点可支持登入的用户级别角色范围,先判断当前登录用户级别是否在可登入用户级别范围内,在登录级别范围内时再根据当前用户可登入角色范围计算公式计算得到当前用户授权角色范围,支持用户从该范围中选取相应角色登入系统,以支撑其使用对应等级角色配备权限的系统功能集。
步骤d6中,所述当前用户可登入角色范围计算公式为:
C=A∩B={x∈A∧x∈B}
其中C为当前用户可登入角色范围集,x为当前用户可登入角色属性值,A为当前用户角色范围集,B为本终端节点可支持同级别(当前用户)用户登入的角色范围集。
有益效果:本发明在边缘分级用户体系下,在边缘服务中心构建用户管理服务,以及在各终端节点构建用户登录授权有关的一系列控制器,利用用户级别、角色属性和所处节点的可登入用户级别角色范围等关键信息,对用户的登录认证及按级授权进行全生命周期的管理和控制。本发明设计的边缘用户登录控制器,支持中心在册用户、节点历史用户、管理员的登录,并能够根据用户级别角色、在离线中心状态、节点管理身份为用户开放相应权限的系统功能,支撑边缘在离线场景的系统一体化运用,同时边缘用户管理服务接入配置了用户基础信息库,以及统一为边缘用户提供在线登录认证、账户变更、属性查询服务,增加了系统的可管理性并降低可控风险,进而增强了系统的合规安全使用并简化了复杂度,使得本发明方法能够更实用于分级用户业务信息系统,同时支撑应用本方法的系统在边缘服务环境中的高可用,有利于提高信息系统的运行效能以及降低系统的运营成本。
附图说明
下面结合附图和具体实施方式对本发明做更进一步的具体说明,本发明的上述和/或其他方面的优点将会变得更加清楚。
图1是本发明的面向边缘分级用户的认证授权统一管控方法的流程图。
图2是根据本发明实施例的构建边缘用户管理服务的过程示意图。
图3是根据本发明实施例的创建用户基础信息库的过程示意图。
图4是根据本发明实施例的用户账户注册服务的过程示意图。
图5是根据本发明实施例的用户属性查询服务的过程示意图。
图6是根据本发明实施例的用户登录认证服务的过程示意图。
图7是根据本发明实施例的用户密码更改服务的过程示意图。
图8是根据本发明实施例的构建节点管理权限控制器的过程示意图。
图9是根据本发明实施例的节点管理员账户更改的过程示意图。
图10是根据本发明实施例的节点管理员身份验证的过程示意图。
图11是根据本发明实施例的构建在离线权限控制器的过程示意图。
图12是根据本发明实施例的构建边缘用户登录控制器的过程示意图。
图13是根据本发明实施例的用户在线登录授权的过程示意图。
图14是根据本发明实施例的用户按级授权控制的过程示意图。
图15是根据本发明实施例的历史用户离线登录授权的过程示意图。
图16是根据本发明实施例的节点管理员登录授权的过程示意图。
具体实施方式
结合图1,根据本发明的一个实施例,一种面向边缘分级用户的认证授权统一管控方法,包括如下步骤:
第一步、在边缘服务中心构建边缘用户管理服务:如图2所示,创建用户基础信息库接入用户的基础信息,统一管控在线用户的账户注册、属性查询、登录认证、密码变更并提供相应的服务。包括:
(1-1)创建用户基础信息库:如图3所示,为边缘服务的全部用户创建基础信息库,为在线用户的认证登录授权提供基础信息支撑。详细步骤如下:
1)用户基础信息接入:通过向上级中心索取或本地导入的方式获取边缘服务的全部用户的姓名、身份号码、人脸数据库(或无)、等级、角色信息,并将这些信息预置存储到用户基础信息库,用户基础信息库未能配备人脸数据时获取接收由边缘服务中心定期更新发布的系统动态认证码;
2)用户账户信息预配置:在用户基础库中,为每个用户预先配置账户包括账号、密码信息,并标识这些信息的状态为未注册。
(1-2)用户账户注册服务:如图4所示,为边缘用户的账户注册提供服务支撑。
详细步骤如下:
1)用户认证注册信息接收:接收解析用户提交的认证注册信息包括身份号码、人脸图像(用户基础信息库未能配备人脸数据时为验证码)、注册账号、密码;
2)用户初始认证:通过用户提交的身份号码在用户基础信息库中进行查找,查找不到时用户初始认证失败并转到步骤4),查找到时通过用户提交的人脸图像比对库中该用户的人脸数据库(或通过用户提交的验证码比对库中该用户的系统动态认证码),比对失败时用户初始认证失败并转到步骤4),比对成功时通过用户的初始认证;
3)用户账户注册信息登记:检查用户提交的密码是否符合边缘用户管理服务的用户密码策略(例如包括最短密码长度不低于多少位,密码复杂性必须要含有数字、大写字母、小写字母、或特殊字符,密码多少次变更历史内不重复)要求,不符合要求时用户账户注册信息登记失败并转到步骤4),符合要求时登记用户的注册账号、密码信息;
4)用户账户注册结果返回:向用户返回账户注册结果为成功、或失败以及失败时原因。
(1-3)用户属性查询服务:如图5所示,为边缘用户的级别、角色等属性查询提供服务支撑。详细步骤如下:
1)用户属性查询信息接收:接收解析用户提交的属性查询信息包括账号、密码、待查询(姓名、身份号码、等级、角色等的一个或以上)属性列表;
2)用户账户认证:通过用户提交的账号在用户基础信息库中进行查找,查找不到时用户认证失败并转到步骤4),查找到时通过用户提交的密码比对库中该用户的密码,比对失败时用户认证失败并转到步骤4),比对成功时通过用户的账户认证;
3)用户属性查找:按照用户提交的待查询属性列表,从前往后依次查找库中该用户的对应属性项,查找不到时记录该查找失败项,查找到时获取该项的属性值,直至属性列表全部查找完毕;
4)用户属性查询结果返回:向用户返回属性查询结果包括查找成功项以及其属性值、失败项以及失败时原因。
(1-4)用户登录认证服务:如图6所示,为边缘用户的在线登录认证提供服务支撑。详细步骤如下:
1)用户登录认证信息接收:接收解析用户提交的登录认证信息包括账号、密码;
2)用户账户认证:通过用户提交的账号在用户基础信息库中进行查找,查找不到时用户认证失败并转到步骤4),查找到时通过用户提交的密码比对库中该用户的密码,比对失败时用户认证失败并转到步骤4),比对成功时通过用户的账户认证;
3)用户授权范围查询:通过用户属性查询服务获取库中该用户的级别、角色属性,获取用户的授权范围信息;
4)用户登录认证结果返回:向用户返回登录认证结果为成功以及当前用户的授权范围信息、或失败以及失败时原因。
(1-5)用户密码更改服务:如图7所示,为边缘用户的密码更改提供服务支撑。
详细步骤如下:
1)用户密码更改信息接收:接收解析用户提交的密码更改信息包括账号、密码、新密码;
2)用户账户认证:通过用户提交的账号在用户基础信息库中进行查找,查找不到时用户认证失败并转到步骤4),查找到时通过用户提交的密码比对库中该用户的密码,比对失败时用户认证失败并转到步骤4),比对成功时通过用户的账户认证;
3)用户密码变更:检查用户提交的新密码是否符合边缘用户管理服务的用户密码策略(例如包括最短密码长度不低于多少位,密码复杂性必须要含有数字、大写字母、小写字母、或特殊字符,密码多少次变更历史内不重复)要求,不符合要求时用户密码变更失败并转到步骤4),符合要求时更改用户的密码为新密码;
4)用户密码更改结果返回:向用户返回密码更改结果为成功、或失败以及失败时原因。
第二步、在各终端节点构建节点管理权限控制器:如图8所示,为本节点管理员配备专有账户,并提供节点管理员身份验证、账户更改功能。包括:
(2-1)创建本节点管理员账户:为本节点管理员创建专有账户包括用户账号、初始密码、级别、(可多)角色,并预置账户使用状态为未使用;
(2-2)节点管理员账户更改:如图9所示,为节点管理员提供密码更改功能。详细步骤如下:
1)节点管理员密码更改信息接收:接收解析用户提交的密码更改信息包括账号、密码、新密码;
2)节点管理员账户认证:通过用户提交的账号、密码比对本节点管理员账户信息,比对失败时用户认证失败并转到步骤4),比对成功时通过用户的账户认证;
3)节点管理员密码变更:检查用户提交的新密码是否符合节点管理员密码策略(例如包括最短密码长度不低于多少位,密码复杂性必须要含有数字、大写字母、小写字母、或特殊字符,密码多少次变更历史内不重复)要求,不符合要求时节点管理员密码变更失败并转到步骤4),符合要求时更改节点管理员的密码为新密码;
4)节点管理员密码更改结果返回:向用户返回密码更改结果为成功、或失败以及失败时原因。
(2-3)节点管理员身份验证:如图10所示,为节点管理员提供身份验证功能,用于支撑节点管理员的认证登录以及节点管理功能使用前控制身份确认。详细步骤如下:
1)节点管理员身份验证信息接收:接收解析用户提交的身份验证信息包括账号、密码;
2)节点管理员账户认证:通过用户提交的账号、密码比对本节点管理员账户信息,比对失败时用户认证失败并转到步骤4),比对成功时通过用户的账户认证;
3)节点管理员账户首次使用确认:首次使用管理员账户即节点管理员账户使用状态当前为未使用时,进入节点管理员账户更改功能由用户完成密码的更改,同时管理员账户使用状态变更为已使用,之后回到步骤1)重新由用户进行身份验证,而非首次使用管理员账户直接转到步骤4);
4)节点管理员身份验证结果返回:向用户返回身份验证结果为成功、或失败以及失败时原因。
第三步、在各终端节点构建在离线权限控制器:如图11所示,依托本地的在离线检测服务获取在、离线边缘服务中心的状态,并据此支撑系统实时控制各应用统一为本节点用户相应开放或关闭在线功能。包括:
(3-1)在离线中心状态接入:起始通过在离线检测服务的在离线服务中心状态即时检测功能查询获取记录本节点在、离线边缘服务中心状态,并支持应用查询;
(3-2)在离线中心状态监听:依托在离线检测服务的在离线服务中心状态定时检测及其状态变更通知发布能力,订阅其发布的在离线中心状态变更通知来实时监听获取到本节点在、离线边缘服务中心的状态变化,同时记录更新在、离线边缘服务中心状态;
(3-3)在离线功能权限控制:在离线状态变化时向系统(本节点)各应用发布在离线中心状态变更通知,以控制(注:各应用收到通知状态变化为在线或离线时,相应开发或关闭在线功能)支撑系统能够统一为用户相应开放或关闭在线功能;
(3-4)恢复在线用户再认证:离线恢复在线时,自动向边缘用户管理服务提交当前用户的账号、密码信息进行用户在线认证,未通过在线认证时进入用户在线登录功能由用户重新登录。
第四步、在各终端节点构建边缘用户登录控制器:如图12所示,支持边缘用户在线登录、历史用户离线登录、节点管理员登录,并按照用户级别控制授权使用系统。
包括:
(4-1)用户在线登录授权:如图13所示,为在线用户提供账户注册、密码更改、认证登录、按级授权。包括:
1)在线用户账户注册:在线时向边缘用户管理服务提交身份号码、人脸图像(用户基础信息库未能配备人脸数据时为验证码)、账号、密码信息,通过其提供的用户账户注册服务进行用户账户注册,并向本节点返回账户注册结果;
2)在线用户密码更改:在线时用户向边缘用户管理服务提交账号、当前密码、新密码信息,通过其提供的用户密码更改服务进行用户密码更改,并向本节点返回密码更改结果;
3)用户在线登录:在线时用户向边缘用户管理服务提交账号、密码信息,通过其提供的用户登录认证服务进行用户的登录认证,并向本节点返回用户认证结果及其级别角色属性信息,本节点收到结果为认证通过时登录成功同时记录当前用户的账号密码及级别角色属性信息,并为之后的按级授权提供当前用户的级别角色属性信息;
4)用户按级授权控制:如图14所示,结合当前登录用户的级别角色属性信息以及本终端节点可支持登入的用户级别角色范围,先判断当前登录用户级别是否在本节点可登入用户级别范围内,不在范围内时不给其授权使用系统并中止流程,在范围内时根据用户可登入角色范围计算公式:
C=A∩B={x∈A∧x∈B}
计算得到当前用户授权角色范围,并据此控制用户能够从该范围中选取角色登入系统,以支撑其以对应等级角色(配套相应权限功能集)的身份使用系统,其中C为当前用户可登入角色范围集,x为当前用户可登入角色属性值,A为当前用户角色范围集,B为本节点可支持同级别(当前用户)用户登入的角色范围集。例如:A={101,103,104},B={100,101,102,103},则C={x|(x=101)or(x=103)},表明此时用户可授权使用的角色属性标识是101和103的角色(即角色对应的功能集)。
(4-2)用户离线登录授权:如图15所示,为历史用户提供认证登录、按级授权。
包括:
1)用户离线登录:离线时用户提交账号、密码信息,匹配历史用户账号密码记录信息进行用户离线认证,认证通过时登录成功同时为之后的按级授权提供当前用户的级别角色属性信息;
2)用户按级授权控制:同理(4-1)中用户按级授权控制。
(4-3)节点管理员登录授权:如图16所示,为节点管理员提供认证登录、按级授权。包括:
1)节点管理员登录:用户向节点管理权限控制器提交账号、密码信息,通过其提供的节点管理员身份验证功能进行身份认证,认证通过时登录成功并为之后的按级授权提供当前用户的级别角色属性信息,同时为离线登录时标识登录形式为离线登录;
2)用户按级授权控制:同理(4-1)中用户按级授权控制
本发明提供了一种面向边缘分级用户的认证授权统一管控方法,具体实现该技术方案的方法和途径很多,以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

Claims (7)

1.一种面向边缘分级用户的认证授权统一管控方法,其特征在于,包括:
在边缘服务中心构建边缘用户管理服务,接入边缘服务的全部用户的基础信息,并对所述用户的在线认证、账号变更、属性查询统一进行管理;
在各终端节点构建节点管理权限控制器,为本节点管理员配备专有账户,提供身份验证、账户更改功能;
在各终端节点依托在离线检测服务构建在离线权限控制器,获取在、离线边缘服务中心的状态,实时控制系统各应用统一为本节点用户相应开放或关闭在线功能;
在各终端节点构建边缘用户登录控制器,支持边缘用户在线登录、历史用户离线登录、本节点管理员登录,并按照登录用户的级别控制授权用户使用系统功能。
2.根据权利要求1所述的方法,其特征在于,所述边缘是指在靠近物或数据源头的一侧,采用网络、计算、存储、应用核心能力为一体的开放平台,就近提供最近终端服务的设备集群环境。
3.根据权利要求2所述的方法,其特征在于,所述在边缘服务中心构建边缘用户管理服务,包括:
步骤a1,创建用户基础信息库,统一接入并存储边缘服务的全部用户的姓名、身份号码、人脸数据库、等级、角色信息,以及配置初始默认为未注册的账号、密码信息;在不配备人脸数据库时,由边缘服务中心定期更新发布系统动态认证码;
步骤a2,提供用户账户注册服务,支持通过身份号码、人脸图像查找用户基础信息库对比人脸数据库,或者,边缘服务中心不配备人脸数据库时,通过身份号码、验证码查找用户基础信息库对比系统动态认证码进行合法用户的认证,认证成功后且用户设置密码满足用户管理服务的用户密码策略要求时登记用户的账号、密码;
步骤a3,提供用户属性查询服务,支持通过账号、密码查找用户基础信息库进行合法用户的认证,认证成功后按照待查询属性列表来获取当前用户的相应列表属性信息;
步骤a4,提供用户登录认证服务,支持通过账号、密码查找用户基础信息库进行合法用户的认证,查找到即用户认证成功,认证成功时通过用户属性查询服务获取并同步返回登录用户的级别角色属性信息;
步骤a5,提供用户密码更改服务,支持通过账号、密码查找用户基础信息库进行合法用户的认证,认证成功后且新密码满足用户管理服务的用户密码策略要求时将用户的密码更改为新密码。
4.根据权利要求3所述的方法,其特征在于,所述在各终端节点构建节点管理权限控制器,包括:
步骤b1,创建本节点管理员账户,为本节点管理员创建专有账户,专有账户包括账号、初始密码、级别、角色,并预置账户使用状态为未使用;
步骤b2,提供节点管理员账户更改功能,支持通过账号、密码匹配本节点管理员账户信息进行本节点管理员身份验证,验证通过后且新密码满足本节点管理员密码策略要求时将本节点管理员的密码更改为新密码;
步骤b3,提供节点管理员身份验证功能,支持通过账号、密码匹配本节点管理员账户信息来进行身份验证,匹配成功即是本节点管理员,如果管理员账户使用状态当前为未使用时进入节点管理员账户更改功能由用户完成密码更改,同时管理员账户使用状态变更为已使用,之后由用户重新进行身份验证。
5.根据权利要求4所述的方法,其特征在于,所述在各终端节点依托本地的在离线检测服务构建在离线权限控制器,包括:
步骤c1,在离线中心状态接入,起始通过在离线检测服务的在离线服务中心状态即时检测功能查询获取记录本节点在线、离线边缘服务中心的状态,并支持应用查询;
步骤c2,在离线中心状态监听,依托在离线检测服务的在离线服务中心状态定时检测及其状态变更通知发布能力,订阅其发布的在离线中心状态变更通知来实时监听获取到本节点在线、离线边缘服务中心的状态变化;
步骤c3,在离线功能权限控制,在线、离线状态变化时向系统各应用发布在离线中心状态变更通知,以控制支撑系统能够统一为用户相应开放或关闭在线功能;
步骤c4,恢复在线用户再认证,离线恢复在线时,自动向边缘用户管理服务提交当前用户的账号、密码信息进行用户在线认证,未通过在线认证时进入用户在线登录功能由用户重新登录。
6.根据权利要求5所述的方法,所述在各终端节点构建边缘用户登录控制器,包括:
步骤d1,提供用户账户注册功能,在线时边缘用户向边缘用户管理服务提交身份号码、人脸图像、账号、密码信息,通过其提供的用户账户注册服务进行用户账户注册,并向本节点返回账户注册结果;
步骤d2,提供用户密码更改功能,在线时边缘用户向边缘用户管理服务提交账号、当前密码、新密码信息,通过其提供的用户密码更改服务进行用户密码更改,并向本节点返回密码更改结果;
步骤d3,提供用户在线登录功能,在线时边缘用户向边缘用户管理服务提交账号、密码信息,通过其提供的用户登录认证服务进行在线用户的登录认证,并向本节点返回用户认证结果及其级别角色属性信息,本节点收到结果为认证通过时登录成功同时记录当前用户的账号密码及级别角色属性信息,并为之后的按级授权提供当前用户的级别角色属性信息;
步骤d4,提供用户离线登录功能,离线时边缘用户提交账号、密码信息,匹配历史用户账号密码记录信息进行用户离线认证,认证通过时登录成功同时为之后的按级授权提供当前用户的级别角色属性信息;
步骤d5,提供节点管理员登录功能,边缘用户向节点管理权限控制器提交账号、密码信息,通过其提供的节点管理员身份验证功能进行身份认证,认证通过时登录成功并为之后的按级授权提供当前用户的级别角色属性信息;
步骤d6,提供用户按级授权功能,结合当前登录用户的级别角色属性信息以及本终端节点可支持登入的用户级别角色范围,先判断当前登录用户级别是否在可登入用户级别范围内,在登录级别范围内时再根据当前用户可登入角色范围计算公式计算得到当前用户授权角色范围,支持用户从该范围中选取相应角色登入系统,以支撑其使用对应等级角色配备权限的系统功能集。
7.根据权利要求6所述的方法,步骤d6中,所述当前用户可登入角色范围计算公式为:
C=A∩B={x∈A∧x∈B}
其中C为当前用户可登入角色范围集,x为当前用户可登入角色属性值,A为当前用户角色范围集,B为本终端节点可支持同级别用户登入的角色范围集。
CN202010516534.5A 2020-06-09 2020-06-09 一种面向边缘分级用户的认证授权统一管控方法 Active CN111611561B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010516534.5A CN111611561B (zh) 2020-06-09 2020-06-09 一种面向边缘分级用户的认证授权统一管控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010516534.5A CN111611561B (zh) 2020-06-09 2020-06-09 一种面向边缘分级用户的认证授权统一管控方法

Publications (2)

Publication Number Publication Date
CN111611561A true CN111611561A (zh) 2020-09-01
CN111611561B CN111611561B (zh) 2022-09-06

Family

ID=72200482

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010516534.5A Active CN111611561B (zh) 2020-06-09 2020-06-09 一种面向边缘分级用户的认证授权统一管控方法

Country Status (1)

Country Link
CN (1) CN111611561B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113923054A (zh) * 2021-12-10 2022-01-11 中国电子科技集团公司第二十八研究所 一种面向分级边缘用户的认证授权统一管控方法
WO2022057736A1 (zh) * 2020-09-16 2022-03-24 华为技术有限公司 授权方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104636408A (zh) * 2014-08-21 2015-05-20 中国科学院计算技术研究所 基于用户生成内容的新闻认证预警方法及系统
US20190122145A1 (en) * 2017-10-23 2019-04-25 Baidu Online Network Technology (Beijing) Co., Ltd. Method, apparatus and device for extracting information
CN109885775A (zh) * 2019-03-05 2019-06-14 重庆工商大学融智学院 一种实现生态环境空间大数据集成共享的方法
WO2020001373A1 (zh) * 2018-06-26 2020-01-02 杭州海康威视数字技术股份有限公司 一种本体构建方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104636408A (zh) * 2014-08-21 2015-05-20 中国科学院计算技术研究所 基于用户生成内容的新闻认证预警方法及系统
US20190122145A1 (en) * 2017-10-23 2019-04-25 Baidu Online Network Technology (Beijing) Co., Ltd. Method, apparatus and device for extracting information
WO2020001373A1 (zh) * 2018-06-26 2020-01-02 杭州海康威视数字技术股份有限公司 一种本体构建方法及装置
CN109885775A (zh) * 2019-03-05 2019-06-14 重庆工商大学融智学院 一种实现生态环境空间大数据集成共享的方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022057736A1 (zh) * 2020-09-16 2022-03-24 华为技术有限公司 授权方法及装置
CN113923054A (zh) * 2021-12-10 2022-01-11 中国电子科技集团公司第二十八研究所 一种面向分级边缘用户的认证授权统一管控方法

Also Published As

Publication number Publication date
CN111611561B (zh) 2022-09-06

Similar Documents

Publication Publication Date Title
US10757106B2 (en) Resource access control method and device
US20190286832A1 (en) Securely accessing and processing data in a multi-tenant data store
US9432358B2 (en) System and method of authenticating user account login request messages
EP2156308B1 (en) Extensible and programmable multi-tenant service architecture
US20060294580A1 (en) Administration of access to computer resources on a network
US20040024764A1 (en) Assignment and management of authentication & authorization
US10185607B1 (en) Data statement monitoring and control
CN101729551A (zh) 控制受信网络节点的访问权限的方法和系统
US11368462B2 (en) Systems and method for hypertext transfer protocol requestor validation
CN111611561B (zh) 一种面向边缘分级用户的认证授权统一管控方法
US20110131339A1 (en) Data access control method and system
WO2005074228A1 (en) System and method for a directory secured user account
US20180241751A1 (en) Automated system identification, authentication, and provisioning
US20180343309A1 (en) Migrating sessions using a private cloud - cloud technology
US8694471B2 (en) System and method for updating a cache using a gating mechanism and events
US20190028485A1 (en) Application-agnostic resource access control
US20200233907A1 (en) Location-based file recommendations for managed devices
CN112910904A (zh) 多业务系统的登录方法及装置
US20110296499A1 (en) Security Context Passing for Stateless System Management
EP3815329B1 (en) Registration of the same domain with different cloud services networks
US10333939B2 (en) System and method for authentication
US20070244896A1 (en) System and method for authenticating remote users
US10320920B2 (en) Automatic migration of communication sessions using a private cloud-cloud technology
WO2015062266A1 (en) System and method of authenticating user account login request messages
CN114489772A (zh) 工作流执行方法及装置、存储介质、设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant