CN111970254A - 访问控制及配置方法、装置、电子设备和存储介质 - Google Patents
访问控制及配置方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN111970254A CN111970254A CN202010757910.XA CN202010757910A CN111970254A CN 111970254 A CN111970254 A CN 111970254A CN 202010757910 A CN202010757910 A CN 202010757910A CN 111970254 A CN111970254 A CN 111970254A
- Authority
- CN
- China
- Prior art keywords
- module
- data
- database
- request
- pdp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种访问控制及配置方法,该方法通过在Kong网关内配置PEP模块,第一服务端口内配置PAP模块,第二服务端口内配置PDP模块;并且建立这些模块之间的路由。其中统一身份系统用于存储主客体信息数据并生产身份令牌,以及进行相关数据的给付和身份验证;所述PEP模块用于从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并执行客体的访问;所述PAP模块从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据同步给提供给PDP模块;配置所述PDP模块根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
Description
技术领域
本发明涉及访问控制方法,特别是一种提高访问和数据安全性的方法。
背景技术
RBAC(Role Base Access Control)基于角色的访问控制,是被访问资源的粗粒度权限控制模式,拥有同一个角色所获得的权限是相同的。现有静态的RBAC模式已无法满足企业的业务需求,同一个角色下无法区分查看的数据,更无法基于访问者的特征信息进行评估权限与安全,不管在数据和访问上都存在安全的问题。
ABAC(Attribute Base Access Control)基于属性的访问控制,也称细粒度访问控制,ABAC是ZTNA(Zero Trust Netware Access)零信任网络访问的一部分,是一种针对业务安全提供基于动态策略的控制模式。ABAC越来越受到企业的关注,也得到了市场的认可。
ABAC是由PDP、PEP、PAP、PIP几个关键服务模块组成,其中:
PDP(Policy Decision Point)策略决策点,其工作原理是决策引擎通过权限数据和策略数据的整合与解析,结合访问信息进行动态评估,最终返回给PEP请求的评估结果。PDP有自己的数据格式,为通过数据图形化方式定义并生成的PDP专用的数据格式文本,文本以JSON的方式存在,兼容XACML。
策略决策需要借助外部的数据,数据策略支持多种可配置模式的请求和解析,通过接口配置完成外部数据的获取,进行适合多种业务模式的处理与转换,结合处理PDP决策的结果,实现策略访问控制。
PAP(Policy Administrator Point)决策管理点,是用于给PDP提供权限数据和策略数据的定义,也是动态权限管理中心。
PEP(Policy Enforcement Point)策略执行点,是用于解析请求,根据上下文获取信息,并生成PDP策略决策的请求格式报文。这里生成的策略数据文本也是一种脚本语言,提供对资源权限数据的引用与处理,预设了对请求数据的逻辑判断和策略评估,根据PDP返回的决策结果验证请求的合法性。提取PDP需要的属性元素并生成报文,可携带附加信息,为业务的扩展提供支持,提供报文动态属性加密选项,保障通讯中的报文安全。
PIP(Policy Information Point)策略信息点,是提供PDP除权限数据以外的信息,譬如用户信息,一般这类非权限数据信息不会在PAP里定义,而需动态进行装载。
但是现有的API网关没有提供接入基于ABAC细粒度访问控制模块,无法满足企业对业务细粒度策略访问控制的需求,由于无法控制应用层的业务访问安全,存在很大的应用安全访问隐患。
发明内容
本发明目的在于提供一种访问控制配置方法,用于解决现有的经由API网关的访问存在很大的安全隐患的技术问题。
为达成上述目的,本发明提出如下技术方案:
访问控制配置方法,配置Kong网关、第一服务端口、第二服务端口和统一身份系统;其中,
Kong网关内配置PEP模块,第一服务端口内配置PAP模块,第二服务端口内配置PDP模块;
在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由;
配置统一身份系统用于存储主体信息数据与客体信息数据并用于生产身份令牌,以及将被存储的客体信息数据给付PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块;
配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
为所述PAP模块配置第一数据库,配置所述PAP模块从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块使PDP模块;
为所述PDP模块配置第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;配置所述PDP模块根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
进一步的,在本发明中,所述第二数据库为Redis数据库。
进一步的,在本发明中,配置所述PAP模块提供注册登录端口,且配置PAP模块中多个权限数据模板和策略数据模板;配置所述PAP模块中策略数据与权限数据关联。
进一步的,在本发明中,还配置所述统一身份系统响应客体的身份令牌验证请求。
进一步的,在本发明中,还配置所述PDP动态响应客体发来的细粒度权限数据请求提供权限数据。
进一步的,在本发明中,所述PAP模块利用JAVA语言编写,且运行在Docker开源容器中。
进一步的,在本发明中,所述PEP模块为通过修改Kong.conf配置文件而配置至Kong的运行环境plugins目录中;所述PEP模块为Lua脚本语言。
进一步的,在本发明中,所述PDP模块为Golang语言,且运行在Docker开源容器中。
本发明的另一方面在于提供一种访问控制配置模块,
所述配置模块用于配置Kong网关、第一服务端口、第二服务端口和统一身份系统;包括
第一模块配置装置,用于在Kong网关内配置PEP模块,在第一服务端口内配置PAP模块,在第二服务端口内配置PDP模块;
路由配置装置,用于在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由;
同一身份系统,用于存储主体信息数据与客体信息数据,以及将被存储的信息数据给付与PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块;
所述PEP模块配置为根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
PAP模块配置有第一数据库,所述PAP模块被配置为从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块;
PDP模块配置有第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;所述PDP模块还被配置为根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
本发明的另一方面在于提供一种访问控制方法,网络按照上述访问控制配置方法进行配置,然后顺序执行以下步骤:
在PAP模块中进行相应的权限数据和策略数据的定义并存储于第一数据库中;
将第一数据库中的数据同步给PDP模块使PDP模块中第二数据库中的数据与第一数据库中的数据同步;
在统一身份系统中存储主体信息数据与客体信息数据并用于生产身份令牌,并将被存储的信息数据给付与PAP模块;
同一身份系统相应主体的认证请求并将身份令牌给付给主体;
PEP模块接收经由Kong网关传来的携带主体以及身份令牌的访问请求,所述PEP模块将访问请求中的主体与身份令牌传递给同一身份系统进行身份令牌验证请求;
统一认证中心进行身份令牌验证并在验证通过后将对应的客体、主体、环境信息传递给PEP模块形成访问请求权限信息的元素;
PEP模块根据访问请求权限信息的元素生成决策请求并发送给PDP模块;
PDP模块接收决策请求并进行解析,然后根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,所述评估结果根据决策请求选择第二数据库中相应的权限数据和策略数据进行解析获得;
PEP模块根据评估结果决定是否提供相应客体的访问。
本发明的另一方面在于提供一种电子设备,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行所述的方法。
本发明的另一方面在于一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行所述的方法。
有益效果:
由以上技术方案可知,本发明的技术方案提供了一种访问控制及配置方法,用于在主体和客体之间建立完善的控制逻辑,使得主体对客体的访问控制细粒度更高,访问更加安全。
该方法依赖统一身份系统进行主客体信息的预先存储,同时提供身份令牌的验证;依赖PAP进行数据的定义并供用户选择合适自己的模板,依赖PEP作为主体访问的策略执行点,与统一身份系统协同实现身份安全的验证,与PDP协同完成访问的评估工作并具体执行访问,在正式访问时再进一步向统一身份系统确认身份安全,实现动态控制,从而获得相应的功能权限进行对目标对象的访问。
上述整个过程,从前期数据、模板的预设工作以及后期访问的控制机制做到精细控制,有利于确保访问的安全性。
应当理解,前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。
结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见,或通过根据本发明教导的具体实施方式的实践中得知。
附图说明
附图不意在按比例绘制。在附图中,在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见,在每个图中,并非每个组成部分均被标记。现在,将通过例子并参考附图来描述本发明的各个方面的实施例,其中:
图1为本发明的各个模块之间的关系示意图;
图2为本发明的访问配置方法流程图;
图3为本发明的访问控制方法流程图;
图4为本发明的访问方法流程图。
具体实施方式
为了更了解本发明的技术内容,特举具体实施例并配合所附图式说明如下。
在本公开中参照附图来描述本发明的各方面,附图中示出了许多说明的实施例。本公开的实施例不必定意在包括本发明的所有方面。应当理解,上面介绍的多种构思和实施例,以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施,这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外,本发明公开的一些方面可以单独使用,或者与本发明公开的其他方面的任何适当组合来使用。
本发明的具体实施例网络访问安全问题出发,采用了细粒度访问控制方法,将网络访问事件涉及的主体、环境、客体、权限、策略等信息进行有机分配至网络中的组成模块中进行协调处理,使得网络访问本身的控制更加细粒化,从而确保了访问的安全性。本发明是对于传统的ABAC理念的实践,并且具有很好的效果。
如图1所示为本发明的各个模块的示意图。图中,各单元模块的介绍如下:
主体:主动请求方,包含设备、用户等具有身份标识的终端。
客体:被请求方,包含应用、数据库、操作系统、网络设备等资源。
PEP:策略实施点,向PDP请求决策和获取动态授权信息。
PAP:策略管理点,定义主体和客体的属性,实现属性间的逻辑关系,为PDP提供决策文本和权限数据。
PIP:策略信息点,获取权限或额外数据,为PDP的决策提供数据支撑。
PDP:策略决策点,决策引擎,支持ABAC、RBAC,可与风险评估引擎集成,对外提供PBAC的决策模式。
本发明首先提供一种访问控制配置方法,参考图2构建图1中所示各个模块的功能,具体包括以下步骤:
S100、配置Kong网关、第一服务端口、第二服务端口和统一身份系统,这里的统一身份系统包括图1中的统一身份模块和统一认证模块;其中,Kong网关作为访问代理,其内配置PEP模块,第一服务端口内配置PAP模块,第二服务端口内配置PDP模块,第一服务端口和第二服务端口共同构成授权中心。
S200、在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由。
S300、配置统一身份系统用于存储主体信息数据与客体信息数据并用于生产身份令牌,以及将被存储的客体信息数据给付PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块。上述工作,统一身份模块配备有数据库用于存储主体信息数据与客体信息数据,并将其中的客体信息数据通过Kafka传递给PAP模块,以及将主体信息数据与客体信息数据传递给统一认证模块以使其能够生产身份令牌。
S101、配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问。
S102、为所述PAP模块配置第一数据库作为本地存储之用,配置所述PAP模块从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块。
S103、为所述PDP模块配置第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;配置所述PDP模块根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
进一步的,在本发明的实施例中,所述第二数据库为Redis数据库为非关系型内存数据库,存放来自PAP传给PDP的数据供PIP使用。PDP本身与PIP关联,PIP通过其内动态装载的权限信息以外的数据给PDP进行决策提供依据,具体通过集群的Redis数据库提供对PIP数据支持。
进一步的,在本发明的实施例中,配置所述PAP模块提供注册登录端口,且配置PAP模块中多个权限数据模板和策略数据模板;配置所述PAP模块中策略数据与权限数据关联。通过注册登录,可以使得用户提前将对应的访问条件进行限定,包括访问主体、目标、环境等,具体通过PAP中提供的模板进行。
进一步的,在本发明的实施例中,为了实现细粒化管理,还配置所述统一身份系统响应客体的身份令牌验证请求,使得访问的各个关键环节均有严格把关,确保访问安全。
进一步的,在本发明的实施例中,为了实现细粒化管理,还配置所述PDP动态响应客体发来的细粒度权限数据请求提供权限数据,实际的访问在权限数据的约束下进行,确保了访问的安全。
具体的,在本发明的实施例中,所述PAP模块利用JAVA语言编写,且运行在Docker开源容器中。所述PEP模块为通过修改Kong.conf配置文件而配置至Kong的运行环境plugins目录中;所述PEP模块为Lua脚本语言。所述PDP模块为Golang语言,且运行在Docker开源容器中。
实施例二、访问控制配置模块
如图3所示,为实现实施例一中配置方法的对应模块。
所述配置模块用于配置Kong网关、第一服务端口、第二服务端口和统一身份系统;包括
第一模块配置装置,用于在Kong网关内配置PEP模块,在第一服务端口内配置PAP模块,在第二服务端口内配置PDP模块;
路由配置装置,用于在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由;
统一身份系统,用于存储主体信息数据与客体信息数据,以及将被存储的信息数据给付与PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块;
所述PEP模块配置为根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
PAP模块配置有第一数据库,所述PAP模块被配置为从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块;
PDP模块配置有第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;所述PDP模块还被配置为根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
实施例三、访问控制方法
网络按照实施例一中所述的访问控制配置方法进行配置,然后顺序执行以下步骤:
S401、在PAP模块中进行相应的权限数据和策略数据的定义并存储于第一数据库中。
S402、将第一数据库中的数据同步给PDP模块使PDP模块中第二数据库中的数据与第一数据库中的数据同步。
S403、在统一身份系统中存储主体信息数据与客体信息数据并用于生产身份令牌,并将被存储的信息数据给付与PAP模块。
S404、同一身份系统相应主体的认证请求并将身份令牌给付给主体。
S405、PEP模块接收经由Kong网关传来的携带主体以及身份令牌的访问请求,所述PEP模块将访问请求中的主体与身份令牌传递给同一身份系统进行身份令牌验证请求。
S406、统一认证中心进行身份令牌验证并在验证通过后将对应的客体、主体、环境信息传递给PEP模块形成访问请求权限信息的元素。
S407、PEP模块根据访问请求权限信息的元素生成决策请求并发送给PDP模块。
S408、PDP模块接收决策请求并进行解析,然后根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,所述评估结果根据决策请求选择第二数据库中相应的权限数据和策略数据进行解析获得。
S409、PEP模块根据评估结果决定是否提供相应客体的访问。
实施例四、本发明的另一个实施例公开一种电子设备,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,例如通过总线或者其他方式连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行所述一种访问控制或配置方法。
处理器优选但不限于是中央处理器(Central Processing Unit,CPU)。例如,处理器还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的一种访问控制或配置方法对应的程序指令/模块,处理器通过运行存储在存储器的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的一种访问控制或配置方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器优选但不限于高速随机存取存储器,例如,还可以是非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器还可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的程序,可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (12)
1.访问控制配置方法,其特征在于:
配置Kong网关、第一服务端口、第二服务端口和统一身份系统;其中,
Kong网关内配置PEP模块,第一服务端口内配置PAP模块,第二服务端口内配置PDP模块;
在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由;
配置统一身份系统用于存储主体信息数据与客体信息数据并用于生产身份令牌,以及将被存储的客体信息数据给付PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块;
配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
为所述PAP模块配置第一数据库,配置所述PAP模块从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块;
为所述PDP模块配置第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;配置所述PDP模块根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
2.根据权利要求1所述的访问控制配置方法,其特征在于:
所述第二数据库为Redis数据库。
3.根据权利要求1所述的访问控制配置方法,其特征在于:配置所述PAP模块提供注册登录端口,且配置PAP模块中多个权限数据模板和策略数据模板;配置所述PAP模块中策略数据与权限数据关联。
4.根据权利要求1所述的访问控制配置方法,其特征在于:还配置所述统一身份系统响应客体的身份令牌验证请求。
5.根据权利要求4所述的访问控制配置方法,其特征在于:还配置所述PDP动态响应客体发来的细粒度权限数据请求提供权限数据。
6.根据权利要求3所述的访问控制配置方法,其特征在于:所述PAP模块利用JAVA语言编写,且运行在Docker开源容器中。
7.根据权利要求1所述的访问控制配置方法,其特征在于:所述PEP模块为通过修改Kong.conf配置文件而配置至Kong的运行环境plugins目录中;所述PEP模块为Lua脚本语言。
8.根据权利要求1所述的访问控制配置方法,其特征在于:所述PDP模块为Golang语言,且运行在Docker开源容器中。
9.访问控制配置模块,其特征在于:
所述配置模块用于配置Kong网关、第一服务端口、第二服务端口和统一身份系统;包括
第一模块配置装置,用于在Kong网关内配置PEP模块,在第一服务端口内配置PAP模块,在第二服务端口内配置PDP模块;
路由配置装置,用于在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由;
同一身份系统,用于存储主体信息数据与客体信息数据,以及将被存储的信息数据给付与PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块;
所述PEP模块配置为根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
PAP模块配置有第一数据库,所述PAP模块被配置为从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块;
PDP模块配置有第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;所述PDP模块还被配置为根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
10.访问控制方法,其特征在于:网络按照权利要求1所述的访问控制配置方法进行配置,然后顺序执行以下步骤:
在PAP模块中进行相应的权限数据和策略数据的定义并存储于第一数据库中;
将第一数据库中的数据同步给PDP模块使PDP模块中第二数据库中的数据与第一数据库中的数据同步;
在统一身份系统中存储主体信息数据与客体信息数据并用于生产身份令牌,并将被存储的信息数据给付与PAP模块;
同一身份系统相应主体的认证请求并将身份令牌给付给主体;
PEP模块接收经由Kong网关传来的携带主体以及身份令牌的访问请求,所述PEP模块将访问请求中的主体与身份令牌传递给同一身份系统进行身份令牌验证请求;
统一认证中心进行身份令牌验证并在验证通过后将对应的客体、主体、环境信息传递给PEP模块形成访问请求权限信息的元素;
PEP模块根据访问请求权限信息的元素生成决策请求并发送给PDP模块;
PDP模块接收决策请求并进行解析,然后根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,所述评估结果根据决策请求选择第二数据库中相应的权限数据和策略数据进行解析获得;
PEP模块根据评估结果决定是否提供相应客体的访问。
11.一种电子设备,其特征在于,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-8、10任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-8、10任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010757910.XA CN111970254B (zh) | 2020-07-31 | 2020-07-31 | 访问控制及配置方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010757910.XA CN111970254B (zh) | 2020-07-31 | 2020-07-31 | 访问控制及配置方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111970254A true CN111970254A (zh) | 2020-11-20 |
| CN111970254B CN111970254B (zh) | 2022-11-04 |
Family
ID=73364114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010757910.XA Active CN111970254B (zh) | 2020-07-31 | 2020-07-31 | 访问控制及配置方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111970254B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112615900A (zh) * | 2020-11-25 | 2021-04-06 | 山东星宏电讯有限责任公司 | 一种基于Kong网关的应用服务自动维护方法、系统及设备 |
| CN113014603A (zh) * | 2021-04-01 | 2021-06-22 | 刘宏达 | 基于网络安全大数据的防护联动配置方法及大数据云系统 |
| CN113824791A (zh) * | 2021-09-23 | 2021-12-21 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104009959A (zh) * | 2013-02-22 | 2014-08-27 | 中国科学院软件研究所 | 一种基于xacml的可验证的云访问控制方法 |
| CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
| EP3054646A1 (en) * | 2015-02-06 | 2016-08-10 | Axiomatics AB | Policy separation |
| CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
-
2020
- 2020-07-31 CN CN202010757910.XA patent/CN111970254B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104009959A (zh) * | 2013-02-22 | 2014-08-27 | 中国科学院软件研究所 | 一种基于xacml的可验证的云访问控制方法 |
| CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
| EP3054646A1 (en) * | 2015-02-06 | 2016-08-10 | Axiomatics AB | Policy separation |
| CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112615900A (zh) * | 2020-11-25 | 2021-04-06 | 山东星宏电讯有限责任公司 | 一种基于Kong网关的应用服务自动维护方法、系统及设备 |
| CN113014603A (zh) * | 2021-04-01 | 2021-06-22 | 刘宏达 | 基于网络安全大数据的防护联动配置方法及大数据云系统 |
| CN113824791A (zh) * | 2021-09-23 | 2021-12-21 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111970254B (zh) | 2022-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111541656B (zh) | 基于融合媒体云平台的身份认证方法及系统 | |
| CN111970254B (zh) | 访问控制及配置方法、装置、电子设备和存储介质 | |
| CN113766507B (zh) | 服务层动态授权 | |
| US10484385B2 (en) | Accessing an application through application clients and web browsers | |
| CN110266764B (zh) | 基于网关的内部服务调用方法、装置及终端设备 | |
| US8839354B2 (en) | Mobile enterprise server and client device interaction | |
| US20120144501A1 (en) | Regulating access to protected data resources using upgraded access tokens | |
| KR101795592B1 (ko) | 기업용 클라우드 서비스의 접근 통제 방법 | |
| CN112788031B (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| CN110365684B (zh) | 应用集群的访问控制方法、装置和电子设备 | |
| KR20120002836A (ko) | 복수의 서비스에 대한 접근 제어 장치 및 방법 | |
| US20180103026A1 (en) | Secure authentication to provide mobile access to shared network resources | |
| CN111062028B (zh) | 权限管理方法及装置、存储介质、电子设备 | |
| US20200159887A1 (en) | Managing the display of hidden proprietary software code to authorized licensed users | |
| CN108319827B (zh) | 一种基于osgi框架的api权限管理系统及方法 | |
| US9237156B2 (en) | Systems and methods for administrating access in an on-demand computing environment | |
| CN108449315A (zh) | 请求合法性的校验装置、方法及计算机可读存储介质 | |
| CN109286620A (zh) | 用户权限管理方法、系统、设备和计算机可读存储介质 | |
| WO2016134482A1 (en) | License management for device management system | |
| CN111970253B (zh) | Pep的配置方法、装置、电子设备和存储介质 | |
| CN111355583B (zh) | 一种业务提供系统、方法、装置、电子设备及存储介质 | |
| CN111988284B (zh) | Pdp的配置方法、装置、电子设备和存储介质 | |
| CN113259323B (zh) | 双重访问权限服务认证方法、装置、系统及存储介质 | |
| CN115242433A (zh) | 数据处理方法、系统、电子设备及计算机可读存储介质 | |
| CN111984622A (zh) | Pap的配置及运行方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |