CN111970253B - Pep的配置方法、装置、电子设备和存储介质 - Google Patents
Pep的配置方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN111970253B CN111970253B CN202010756720.6A CN202010756720A CN111970253B CN 111970253 B CN111970253 B CN 111970253B CN 202010756720 A CN202010756720 A CN 202010756720A CN 111970253 B CN111970253 B CN 111970253B
- Authority
- CN
- China
- Prior art keywords
- module
- data
- pep
- database
- pdp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000011156 evaluation Methods 0.000 claims abstract description 35
- 230000015654 memory Effects 0.000 claims description 18
- 238000012795 verification Methods 0.000 claims description 11
- 230000001360 synchronised effect Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种PEP的配置方法,在Kong网关内配置PEP模块,配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问。
Description
技术领域
本发明涉及访问控制方法,特别是一种提高访问和数据安全性的方法。
背景技术
RBAC(Role Base Access Control)基于角色的访问控制,是被访问资源的粗粒度权限控制模式,拥有同一个角色所获得的权限是相同的。现有静态的RBAC模式已无法满足企业的业务需求,同一个角色下无法区分查看的数据,更无法基于访问者的特征信息进行评估权限与安全,不管在数据和访问上都存在安全的问题。
ABAC(Attribute Base Access Control)基于属性的访问控制,也称细粒度访问控制,ABAC是ZTNA(Zero Trust Netware Access)零信任网络访问的一部分,是一种针对业务安全提供基于动态策略的控制模式。ABAC越来越受到企业的关注,也得到了市场的认可。
ABAC是由PDP、PEP、PAP、PIP几个关键服务模块组成,其中:
PDP(Policy Decision Point)策略决策点,其工作原理是决策引擎通过权限数据和策略数据的整合与解析,结合访问信息进行动态评估,最终返回给PEP请求的评估结果。PDP有自己的数据格式,为通过数据图形化方式定义并生成的PDP专用的数据格式文本,文本以JSON的方式存在,兼容XACML。
策略决策需要借助外部的数据,数据策略支持多种可配置模式的请求和解析,通过接口配置完成外部数据的获取,进行适合多种业务模式的处理与转换,结合处理PDP决策的结果,实现策略访问控制。
PAP(Policy Administrator Point)决策管理点,是用于给PDP提供权限数据和策略数据的定义,也是动态权限管理中心。
PEP(Policy Enforcement Point)策略执行点,是用于解析请求,根据上下文获取信息,并生成PDP策略决策的请求格式报文。这里生成的策略数据文本也是一种脚本语言,提供对资源权限数据的引用与处理,预设了对请求数据的逻辑判断和策略评估,根据PDP返回的决策结果验证请求的合法性。提取PDP需要的属性元素并生成报文,可携带附加信息,为业务的扩展提供支持,提供报文动态属性加密选项,保障通讯中的报文安全。
PIP(Policy Information Point)策略信息点,是提供PDP除权限数据以外的信息,譬如用户信息,一般这类非权限数据信息不会在PAP里定义,而需动态进行装载。
但是现有的API网关没有提供接入基于ABAC细粒度访问控制模块,因为网关仅解决了网络层安全问题,并未解决应用层的安全访问。
发明内容
本发明目的在于提供一种访问控制配置方法,用于解决现有的经由API网关的访问存在很大的安全隐患的技术问题。
为达成上述目的,本发明提出如下技术方案:
PEP的配置方法,
在Kong网关内配置PEP模块,配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;其中,
上述访问请求权限信息的元素是由存储有主体信息数据与客体信息数据并用于生产身份令牌的统一身份系统根据PEP模块的身份令牌验证请求而产生的;
上述反馈的评估结果是由PDP模块根据决策请求和PDP模块中的第二数据库中的数据而产生的,其中第二数据库中的数据是由第一数据库的数据进行同步而来,所述第一数据库为PAP模块的数据库,用于存储PAP模块从统一身份系统中获得客体信息数据、PAP模块定义好的权限数据和策略数据;
上述PAP模块配置于第一服务端口内,上述PDP模块配置于第二服务器端口内。
进一步的,在本发明中,所述PEP模块为通过修改Kong.conf配置文件而配置至Kong的运行环境plugins目录中;所述PEP模块为Lua脚本语言。
本发明的另一方面,在于提供一种PEP的配置装置,包括
第一配置模块,用于在Kong网关内配置PEP模块,配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块;
第二配置模块,接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
其中,
上述访问请求权限信息的元素是由存储有主体信息数据与客体信息数据并用于生产身份令牌的统一身份系统根据PEP模块的身份令牌验证请求而产生的;
上述反馈的评估结果是由PDP模块根据决策请求和PDP模块中的第二数据库中的数据而产生的,其中第二数据库中的数据是由第一数据库的数据进行同步而来,所述第一数据库为PAP模块的数据库,用于存储PAP模块从统一身份系统中获得客体信息数据、PAP模块定义好的权限数据和策略数据;
上述PAP模块配置于第一服务端口内,上述PDP模块配置于第二服务器端口内。
有益效果:
由以上技术方案可知,本发明的技术方案提供了一种PEP的配置方法,将其融入ABAC的策略访问控制机制中,通过与统一身份系统和PDP的关联,解决了网关的应用层安全问题,消除了业务上的安全隐患。
应当理解,前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。
结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见,或通过根据本发明教导的具体实施方式的实践中得知。
附图说明
附图不意在按比例绘制。在附图中,在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见,在每个图中,并非每个组成部分均被标记。现在,将通过例子并参考附图来描述本发明的各个方面的实施例,其中:
图1为本发明的各个模块之间的关系示意图;
图2为本发明的访问配置方法流程图;
图3为本发明的访问控制方法流程图;
图4为本发明的访问方法流程图。
具体实施方式
为了更了解本发明的技术内容,特举具体实施例并配合所附图式说明如下。
在本公开中参照附图来描述本发明的各方面,附图中示出了许多说明的实施例。本公开的实施例不必定意在包括本发明的所有方面。应当理解,上面介绍的多种构思和实施例,以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施,这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外,本发明公开的一些方面可以单独使用,或者与本发明公开的其他方面的任何适当组合来使用。
本发明的具体实施例网络访问安全问题出发,采用了细粒度访问控制方法,将网络访问事件涉及的主体、环境、客体、权限、策略等信息进行有机分配至网络中的组成模块中进行协调处理,使得网络访问本身的控制更加细粒化,从而确保了访问的安全性。本发明是对于传统的ABAC理念的实践,并且具有很好的效果。
实施例一、
如图1所示为本发明的各个模块的示意图。图中,各单元模块的介绍如下:
主体:主动请求方,包含设备、用户等具有身份标识的终端。
客体:被请求方,包含应用、数据库、操作系统、网络设备等资源。
PEP:策略实施点,向PDP请求决策和获取动态授权信息。
PAP:策略管理点,定义主体和客体的属性,实现属性间的逻辑关系,为PDP提供决策文本和权限数据。
PIP:策略信息点,获取权限或额外数据,为PDP的决策提供数据支撑。
PDP:策略决策点,决策引擎,支持ABAC、RBAC,可与风险评估引擎集成,对外提供PBAC的决策模式。
本发明首先提供一种访问控制配置方法,参考图2构建图1中所示各个模块的功能,具体包括以下步骤:
S100、配置Kong网关、第一服务端口、第二服务端口和统一身份系统,这里的统一身份系统包括图1中的统一身份模块和统一认证模块;其中,Kong网关作为访问代理,其内配置PEP模块,第一服务端口内配置PAP模块,第二服务端口内配置PDP模块,第一服务端口和第二服务端口共同构成授权中心。
S200、在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由。
S300、配置统一身份系统用于存储主体信息数据与客体信息数据并用于生产身份令牌,以及将被存储的客体信息数据给付PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块。上述工作,统一身份模块配备有数据库用于存储主体信息数据与客体信息数据,并将其中的客体信息数据通过Kafka传递给PAP模块,以及将主体信息数据与客体信息数据传递给统一认证模块以使其能够生产身份令牌。
S101、配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问。
S102、为所述PAP模块配置第一数据库作为本地存储之用,配置所述PAP模块从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块。
S103、为所述PDP模块配置第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;配置所述PDP模块根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
进一步的,在本发明的实施例中,所述第二数据库为Redis数据库为非关系型内存数据库,存放来自PAP传给PDP的数据供PIP使用。PDP本身与PIP关联,PIP通过其内动态装载的权限信息以外的数据给PDP进行决策提供依据,具体通过集群的Redis数据库提供对PIP数据支持。
进一步的,在本发明的实施例中,配置所述PAP模块提供注册登录端口,且配置PAP模块中多个权限数据模板和策略数据模板;配置所述PAP模块中策略数据与权限数据关联。通过注册登录,可以使得用户提前将对应的访问条件进行限定,包括访问主体、目标、环境等,具体通过PAP中提供的模板进行。
进一步的,在本发明的实施例中,为了实现细粒化管理,还配置所述统一身份系统响应客体的身份令牌验证请求,使得访问的各个关键环节均有严格把关,确保访问安全。
进一步的,在本发明的实施例中,为了实现细粒化管理,还配置所述PDP动态响应客体发来的细粒度权限数据请求提供权限数据,实际的访问在权限数据的约束下进行,确保了访问的安全。
具体的,在本发明的实施例中,所述PAP模块利用JAVA语言编写,且运行在Docker开源容器中。所述PEP模块为通过修改Kong.conf配置文件而配置至Kong的运行环境plugins目录中;所述PEP模块为Lua脚本语言。所述PDP模块为Golang语言,且运行在Docker开源容器中。
实施例二、访问控制配置模块
如图3所示,为实现实施例一中配置方法的对应模块。
所述配置模块用于配置Kong网关、第一服务端口、第二服务端口和统一身份系统;包括
第一模块配置装置,用于在Kong网关内配置PEP模块,在第一服务端口内配置PAP模块,在第二服务端口内配置PDP模块;
路由配置装置,用于在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由;
统一身份系统,用于存储主体信息数据与客体信息数据,以及将被存储的信息数据给付与PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块;
所述PEP模块配置为根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
PAP模块配置有第一数据库,所述PAP模块被配置为从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块;
PDP模块配置有第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;所述PDP模块还被配置为根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
实施例三、访问控制方法
网络按照实施例一中所述的访问控制配置方法进行配置,然后顺序执行以下步骤:
S401、在PAP模块中进行相应的权限数据和策略数据的定义并存储于第一数据库中。
S402、将第一数据库中的数据同步给PDP模块使PDP模块中第二数据库中的数据与第一数据库中的数据同步。
S403、在统一身份系统中存储主体信息数据与客体信息数据并用于生产身份令牌,并将被存储的信息数据给付与PAP模块。
S404、同一身份系统相应主体的认证请求并将身份令牌给付给主体。
S405、PEP模块接收经由Kong网关传来的携带主体以及身份令牌的访问请求,所述PEP模块将访问请求中的主体与身份令牌传递给同一身份系统进行身份令牌验证请求。
S406、统一认证中心进行身份令牌验证并在验证通过后将对应的客体、主体、环境信息传递给PEP模块形成访问请求权限信息的元素。
S407、PEP模块根据访问请求权限信息的元素生成决策请求并发送给PDP模块。
S408、PDP模块接收决策请求并进行解析,然后根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,所述评估结果根据决策请求选择第二数据库中相应的权限数据和策略数据进行解析获得。
S409、PEP模块根据评估结果决定是否提供相应客体的访问。
实施例四、关于PEP的配置方法、模块以及运行方法
上述整体方案中,PEP是其中必不可少的部分,主要负责主体访问时向PDP请求决策和获取动态授权信息。
具体的,本发明的实施例提供一种PEP的配置方法,包括:
S1011、在Kong网关内配置PEP模块,配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;其中,
上述访问请求权限信息的元素是由存储有主体信息数据与客体信息数据并用于生产身份令牌的统一身份系统根据PEP模块的身份令牌验证请求而产生的;
上述反馈的评估结果是由PDP模块根据决策请求和PDP模块中的第二数据库中的数据而产生的,其中第二数据库中的数据是由第一数据库的数据进行同步而来,所述第一数据库为PAP模块的数据库,用于存储PAP模块从统一身份系统中获得客体信息数据、PAP模块定义好的权限数据和策略数据;
上述PAP模块配置于第一服务端口内,上述PDP模块配置于第二服务器端口内。
与上述PEP的配置方法对应的,提供一种PEP的配置装置,包括
第一配置模块,用于在Kong网关内配置PEP模块,配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块;
第二配置模块,接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
其中,
上述访问请求权限信息的元素是由存储有主体信息数据与客体信息数据并用于生产身份令牌的统一身份系统根据PEP模块的身份令牌验证请求而产生的;
上述反馈的评估结果是由PDP模块根据决策请求和PDP模块中的第二数据库中的数据而产生的,其中第二数据库中的数据是由第一数据库的数据进行同步而来,所述第一数据库为PAP模块的数据库,用于存储PAP模块从统一身份系统中获得客体信息数据、PAP模块定义好的权限数据和策略数据;
上述PAP模块配置于第一服务端口内,上述PDP模块配置于第二服务器端口内。
实施例五、本发明的另一个实施例公开一种电子设备,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,例如通过总线或者其他方式连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行所述一种访问控制或配置方法。
处理器优选但不限于是中央处理器(Central Processing Unit,CPU)。例如,处理器还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的一种访问控制或配置方法对应的程序指令/模块,处理器通过运行存储在存储器的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的一种访问控制或配置方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器优选但不限于高速随机存取存储器,例如,还可以是非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器还可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的程序,可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (5)
1.PEP的配置方法,其特征在于:
在Kong网关内配置PEP模块,配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;其中,
上述访问请求权限信息的元素是由存储有主体信息数据与客体信息数据并用于生产身份令牌的统一身份系统根据PEP模块的身份令牌验证请求而产生的;
上述反馈的评估结果是由PDP模块根据决策请求和PDP模块中的第二数据库中的数据而产生的,其中第二数据库中的数据是由第一数据库的数据进行同步而来,所述第一数据库为PAP模块的数据库,用于存储PAP模块从统一身份系统中获得客体信息数据、PAP模块定义好的权限数据和策略数据;
上述PAP模块配置于第一服务端口内,上述PDP模块配置于第二服务端口内。
2.根据权利要求1所述的PEP的配置方法,其特征在于:所述PEP模块为通过修改Kong.conf配置文件而配置至Kong的运行环境plugins目录中;所述PEP模块通过Lua脚本语言编写。
3.PEP的配置装置,其特征在于:包括
第一配置模块,用于在Kong网关内配置PEP模块,配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块;
第二配置模块,接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
其中,
上述访问请求权限信息的元素是由存储有主体信息数据与客体信息数据并用于生产身份令牌的统一身份系统根据PEP模块的身份令牌验证请求而产生的;
上述反馈的评估结果是由PDP模块根据决策请求和PDP模块中的第二数据库中的数据而产生的,其中第二数据库中的数据是由第一数据库的数据进行同步而来,所述第一数据库为PAP模块的数据库,用于存储PAP模块从统一身份系统中获得客体信息数据、PAP模块定义好的权限数据和策略数据;
上述PAP模块配置于第一服务端口内,上述PDP模块配置于第二服务端口内。
4.一种电子设备,其特征在于,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-2任一项所述的方法。
5.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-2任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010756720.6A CN111970253B (zh) | 2020-07-31 | 2020-07-31 | Pep的配置方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010756720.6A CN111970253B (zh) | 2020-07-31 | 2020-07-31 | Pep的配置方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111970253A CN111970253A (zh) | 2020-11-20 |
| CN111970253B true CN111970253B (zh) | 2022-10-11 |
Family
ID=73363093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010756720.6A Active CN111970253B (zh) | 2020-07-31 | 2020-07-31 | Pep的配置方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111970253B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115622785B (zh) * | 2022-10-24 | 2024-06-07 | 哈尔滨工业大学 | 一种面向服务互联网的多层次零信任安全控制方法 |
| CN116760640B (zh) * | 2023-08-18 | 2023-11-03 | 建信金融科技有限责任公司 | 访问控制方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104009959A (zh) * | 2013-02-22 | 2014-08-27 | 中国科学院软件研究所 | 一种基于xacml的可验证的云访问控制方法 |
| CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
| EP3054646A1 (en) * | 2015-02-06 | 2016-08-10 | Axiomatics AB | Policy separation |
| CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
-
2020
- 2020-07-31 CN CN202010756720.6A patent/CN111970253B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104009959A (zh) * | 2013-02-22 | 2014-08-27 | 中国科学院软件研究所 | 一种基于xacml的可验证的云访问控制方法 |
| CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
| EP3054646A1 (en) * | 2015-02-06 | 2016-08-10 | Axiomatics AB | Policy separation |
| CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111970253A (zh) | 2020-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111541656B (zh) | 基于融合媒体云平台的身份认证方法及系统 | |
| US10965772B2 (en) | Interface invocation method and apparatus for hybrid cloud | |
| US10484385B2 (en) | Accessing an application through application clients and web browsers | |
| WO2022095730A1 (zh) | 业务通信方法、系统、装置及电子设备 | |
| CN111970254B (zh) | 访问控制及配置方法、装置、电子设备和存储介质 | |
| US7434252B2 (en) | Role-based authorization of network services using diversified security tokens | |
| CN110266764B (zh) | 基于网关的内部服务调用方法、装置及终端设备 | |
| EP4037360A1 (en) | Service layer dynamic authorization | |
| CN106209726B (zh) | 一种移动应用单点登录方法及装置 | |
| CN112788031B (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| KR20120002836A (ko) | 복수의 서비스에 대한 접근 제어 장치 및 방법 | |
| CN108319827B (zh) | 一种基于osgi框架的api权限管理系统及方法 | |
| CN111970253B (zh) | Pep的配置方法、装置、电子设备和存储介质 | |
| CN106330813A (zh) | 一种处理授权的方法、设备和系统 | |
| CN112131021A (zh) | 一种访问请求处理方法及装置 | |
| CN112511565B (zh) | 请求响应方法、装置、计算机可读存储介质及电子设备 | |
| CN109286620A (zh) | 用户权限管理方法、系统、设备和计算机可读存储介质 | |
| US20130312068A1 (en) | Systems and methods for administrating access in an on-demand computing environment | |
| CN111083093A (zh) | 调用端能力的方法和装置 | |
| CN105656995A (zh) | 基于分布式处理的数据共享方法和系统 | |
| CN111988284B (zh) | Pdp的配置方法、装置、电子设备和存储介质 | |
| CN114785612B (zh) | 一种云平台管理方法、装置、设备及介质 | |
| CN113259323B (zh) | 双重访问权限服务认证方法、装置、系统及存储介质 | |
| CN111355583A (zh) | 一种业务提供系统、方法、装置、电子设备及存储介质 | |
| CN111984622A (zh) | Pap的配置及运行方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Configuration method, device, electronic device, and storage medium of PEP Effective date of registration: 20230712 Granted publication date: 20221011 Pledgee: China Merchants Bank Co.,Ltd. Shanghai Branch Pledgor: Shanghai Para Software Co.,Ltd. Registration number: Y2023310000370 |