CN111984622A - Pap的配置及运行方法、装置、电子设备和存储介质 - Google Patents
Pap的配置及运行方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN111984622A CN111984622A CN202010756711.7A CN202010756711A CN111984622A CN 111984622 A CN111984622 A CN 111984622A CN 202010756711 A CN202010756711 A CN 202010756711A CN 111984622 A CN111984622 A CN 111984622A
- Authority
- CN
- China
- Prior art keywords
- module
- data
- pap
- database
- pep
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000011156 evaluation Methods 0.000 claims abstract description 36
- 230000001360 synchronised effect Effects 0.000 claims abstract description 9
- 230000015654 memory Effects 0.000 claims description 18
- 239000000126 substance Substances 0.000 claims description 6
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Abstract
本发明提供一种PAP的配置及运行方法,该方法在第一服务端口内配置PAP模块,为所述PAP模块配置第一数据库,配置PAP模块获得来自统一身份系统的客体信息数据、提供相应的权限数据和策略数据的定义并存储于第一数据库中;配置所述PAP模块将第一数据库中的权限数据和策略数据同步给PDP模块,以使得PDP模块对应的第二数据库得以根据第一数据库的数据进行同步,以及PDP模块得以根据PEP模块发来的决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,以使得PEP模块根据该评估结果决定是否提供对相应客体的访问。
Description
技术领域
本发明涉及访问控制方法,特别是一种提高访问和数据安全性的方法。
背景技术
RBAC(Role Base Access Control)基于角色的访问控制,是被访问资源的粗粒度权限控制模式,拥有同一个角色所获得的权限是相同的。现有静态的RBAC模式已无法满足企业的业务需求,同一个角色下无法区分查看的数据,更无法基于访问者的特征信息进行评估权限与安全,不管在数据和访问上都存在安全的问题。
ABAC(Attribute Base Access Control)基于属性的访问控制,也称细粒度访问控制,ABAC是ZTNA(Zero Trust Netware Access)零信任网络访问的一部分,是一种针对业务安全提供基于动态策略的控制模式。ABAC越来越受到企业的关注,也得到了市场的认可。
ABAC是由PDP、PEP、PAP、PIP几个关键服务模块组成,其中:
PDP(Policy Decision Point)策略决策点,其工作原理是决策引擎通过权限数据和策略数据的整合与解析,结合访问信息进行动态评估,最终返回给PEP请求的评估结果。PDP有自己的数据格式,为通过数据图形化方式定义并生成的PDP专用的数据格式文本,文本以JSON的方式存在,兼容XACML。
策略决策需要借助外部的数据,数据策略支持多种可配置模式的请求和解析,通过接口配置完成外部数据的获取,进行适合多种业务模式的处理与转换,结合处理PDP决策的结果,实现策略访问控制。
PAP(Policy Administrator Point)决策管理点,是用于给PDP提供权限数据和策略数据的定义,也是动态权限管理中心。
PEP(Policy Enforcement Point)策略执行点,是用于解析请求,根据上下文获取信息,并生成PDP策略决策的请求格式报文。这里生成的策略数据文本也是一种脚本语言,提供对资源权限数据的引用与处理,预设了对请求数据的逻辑判断和策略评估,根据PDP返回的决策结果验证请求的合法性。提取PDP需要的属性元素并生成报文,可携带附加信息,为业务的扩展提供支持,提供报文动态属性加密选项,保障通讯中的报文安全。
PIP(Policy Information Point)策略信息点,是提供PDP除权限数据以外的信息,譬如用户信息,一般这类非权限数据信息不会在PAP里定义,而需动态进行装载。
上述机制中,如何确保PDP能够高效且安全的处理来自PEP的多种请求是实现整个细粒度控制的关键环节,目前尚未有具体的落地方案。
发明内容
本发明目的在于提供一种访问控制配置方法,用于解决现有的PDP尚无法高效且安全处理PEP请求的技术问题。
为达成上述目的,本发明提出如下技术方案:
PAP的配置方法,
在第一服务端口内配置PAP模块,为所述PAP模块配置第一数据库,配置PAP模块获得来自统一身份系统的客体信息数据、提供相应的权限数据和策略数据的定义并存储于第一数据库中;
配置所述PAP模块将第一数据库中的权限数据和策略数据同步给PDP模块,以使得
PDP模块对应的第二数据库得以根据第一数据库的数据进行同步,以及PDP模块得以根据PEP模块发来的决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,以使得PEP模块根据该评估结果决定是否提供对相应客体的访问;其中,
所述决策请求为PEP模块经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成;
上述PEP模块配置于Kong网关内,PDP模块配置于第二服务端口内。
进一步的,在本发明中,配置所述PAP模块提供注册登录端口,且配置PAP模块中多个权限数据模板和策略数据模板;配置所述PAP模块中策略数据与权限数据关联。
进一步的,在本发明中,所述PAP模块利用JAVA语言编写,且运行在Docker开源容器中。
本发明的另一方面在于提供一种PAP的配置装置,包括
第一配置模块,用于在第一服务端口内配置PAP模块,为所述PAP模块配置第一数据库,配置PAP模块获得来自统一身份系统的客体信息数据、提供相应的权限数据和策略数据的定义并存储于第一数据库中;
第二配置模块,用于配置所述PAP模块将第一数据库中的权限数据和策略数据同步给PDP模块,以使得
PDP模块对应的第二数据库得以根据第一数据库的数据进行同步,以及PDP模块得以根据PEP模块发来的决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,以使得PEP模块根据该评估结果决定是否提供对相应客体的访问;其中,
所述决策请求为PEP模块经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成。
本发明的另一方面在于提供一种参照所述的PAP的配置方法所完成的PAP的运行方法,包括
以客体信息进行注册;
选择该客体信息对应的权限数据模板和策略数据模板;
登录;
在权限数据模板上定义权限数据并生成权限数据格式,在策略数据模板上定义策略数据并生成策略数据格式;
将权限数据格式和策略数据格式进行存储于第一数据库中,并同步给PDP模块。
有益效果:
由以上技术方案可知,本发明的技术方案提供了一种PAP的配置和运行方法,通过在PAP模块上进行定义权限数据和策略数据,并同步给PDP模块,使得PDP模块得以高效地处理和评估来自不同的PEP请求,并给出决策结果。上述整个过程,从前期数据、模板的预设工作以及后期访问的控制机制做到精细控制,有利于确保访问的安全性。
应当理解,前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。
结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见,或通过根据本发明教导的具体实施方式的实践中得知。
附图说明
附图不意在按比例绘制。在附图中,在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见,在每个图中,并非每个组成部分均被标记。现在,将通过例子并参考附图来描述本发明的各个方面的实施例,其中:
图1为本发明的各个模块之间的关系示意图;
图2为本发明的所整体访问配置方法流程图;
图3为本发明的整体访问控制方法流程图;
图4为本发明的访问方法流程图。
具体实施方式
为了更了解本发明的技术内容,特举具体实施例并配合所附图式说明如下。
在本公开中参照附图来描述本发明的各方面,附图中示出了许多说明的实施例。本公开的实施例不必定意在包括本发明的所有方面。应当理解,上面介绍的多种构思和实施例,以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施,这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外,本发明公开的一些方面可以单独使用,或者与本发明公开的其他方面的任何适当组合来使用。
本发明的具体实施例网络访问安全问题出发,采用了细粒度访问控制方法,将网络访问事件涉及的主体、环境、客体、权限、策略等信息进行有机分配至网络中的组成模块中进行协调处理,使得网络访问本身的控制更加细粒化,从而确保了访问的安全性。本发明是对于传统的ABAC理念的实践,并且具有很好的效果。
实施例一、
如图1所示为本发明的各个模块的示意图。图中,各单元模块的介绍如下:
主体:主动请求方,包含设备、用户等具有身份标识的终端。
客体:被请求方,包含应用、数据库、操作系统、网络设备等资源。
PEP:策略实施点,向PDP请求决策和获取动态授权信息。
PAP:策略管理点,定义主体和客体的属性,实现属性间的逻辑关系,为PDP提供决策文本和权限数据。
PIP:策略信息点,获取权限或额外数据,为PDP的决策提供数据支撑。
PDP:策略决策点,决策引擎,支持ABAC、RBAC,可与风险评估引擎集成,对外提供PBAC的决策模式。
本发明首先提供一种访问控制配置方法,参考图2构建图1中所示各个模块的功能,具体包括以下步骤:
S100、配置Kong网关、第一服务端口、第二服务端口和统一身份系统,这里的统一身份系统包括图1中的统一身份模块和统一认证模块;其中,Kong网关作为访问代理,其内配置PEP模块,第一服务端口内配置PAP模块,第二服务端口内配置PDP模块,第一服务端口和第二服务端口共同构成授权中心。
S200、在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由。
S300、配置统一身份系统用于存储主体信息数据与客体信息数据并用于生产身份令牌,以及将被存储的客体信息数据给付PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块。上述工作,统一身份模块配备有数据库用于存储主体信息数据与客体信息数据,并将其中的客体信息数据通过Kafka传递给PAP模块,以及将主体信息数据与客体信息数据传递给统一认证模块以使其能够生产身份令牌。
S101、配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问。
S102、为所述PAP模块配置第一数据库作为本地存储之用,配置所述PAP模块从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块。
S103、为所述PDP模块配置第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;配置所述PDP模块根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
进一步的,在本发明的实施例中,所述第二数据库为Redis数据库为非关系型内存数据库,存放来自PAP传给PDP的数据供PIP使用。PDP本身与PIP关联,PIP通过其内动态装载的权限信息以外的数据给PDP进行决策提供依据,具体通过集群的Redis数据库提供对PIP数据支持。
进一步的,在本发明的实施例中,配置所述PAP模块提供注册登录端口,且配置PAP模块中多个权限数据模板和策略数据模板;配置所述PAP模块中策略数据与权限数据关联。通过注册登录,可以使得用户提前将对应的访问条件进行限定,包括访问主体、目标、环境等,具体通过PAP中提供的模板进行。
进一步的,在本发明的实施例中,为了实现细粒化管理,还配置所述统一身份系统响应客体的身份令牌验证请求,使得访问的各个关键环节均有严格把关,确保访问安全。
进一步的,在本发明的实施例中,为了实现细粒化管理,还配置所述PDP动态响应客体发来的细粒度权限数据请求提供权限数据,实际的访问在权限数据的约束下进行,确保了访问的安全。
具体的,在本发明的实施例中,所述PAP模块利用JAVA语言编写,且运行在Docker开源容器中。所述PEP模块为通过修改Kong.conf配置文件而配置至Kong的运行环境plugins目录中;所述PEP模块为Lua脚本语言。所述PDP模块为Golang语言,且运行在Docker开源容器中。
实施例二、访问控制配置模块
如图3所示,为实现实施例一中配置方法的对应模块。
所述配置模块用于配置Kong网关、第一服务端口、第二服务端口和统一身份系统;包括
第一模块配置装置,用于在Kong网关内配置PEP模块,在第一服务端口内配置PAP模块,在第二服务端口内配置PDP模块;
路由配置装置,用于在第一服务端口与第二服务端口之间建立路由,在第二服务端口与Kong网关之间建立路由;在统一身份系统与第一服务端口、Kong网关以及主体访问接口之间建立路由;
统一身份系统,用于存储主体信息数据与客体信息数据,以及将被存储的信息数据给付与PAP模块、响应主体的认证请求并将身份令牌给付给主体、响应PEP模块的身份令牌验证请求并将访问请求权限信息的元素交付给PEP模块;
所述PEP模块配置为根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;
PAP模块配置有第一数据库,所述PAP模块被配置为从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义,并将上述数据存储于第一数据库中;还配置所述PAP模块将第一数据库中的权限数据和策略数据同步给提供给PDP模块;
PDP模块配置有第二数据库,所述第二数据库被配置为根据第一数据库的数据进行同步;所述PDP模块还被配置为根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。
实施例三、访问控制方法
网络按照实施例一中所述的访问控制配置方法进行配置,然后顺序执行以下步骤:
S401、在PAP模块中进行相应的权限数据和策略数据的定义并存储于第一数据库中。
S402、将第一数据库中的数据同步给PDP模块使PDP模块中第二数据库中的数据与第一数据库中的数据同步。
S403、在统一身份系统中存储主体信息数据与客体信息数据并用于生产身份令牌,并将被存储的信息数据给付与PAP模块。
S404、同一身份系统相应主体的认证请求并将身份令牌给付给主体。
S405、PEP模块接收经由Kong网关传来的携带主体以及身份令牌的访问请求,所述PEP模块将访问请求中的主体与身份令牌传递给同一身份系统进行身份令牌验证请求。
S406、统一认证中心进行身份令牌验证并在验证通过后将对应的客体、主体、环境信息传递给PEP模块形成访问请求权限信息的元素。
S407、PEP模块根据访问请求权限信息的元素生成决策请求并发送给PDP模块。
S408、PDP模块接收决策请求并进行解析,然后根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,所述评估结果根据决策请求选择第二数据库中相应的权限数据和策略数据进行解析获得。
S409、PEP模块根据评估结果决定是否提供相应客体的访问。
实施例四、关于PAP的配置方法、模块以及运行方法
上述整体方案中,PAP是其中必不可少的部分,主要负责权限数据和策略数据的定义,是整个细粒度控制系统里的先决条件。
具体的,本发明的实施例提供一种PAP的配置方法,包括:
S1021、在第一服务端口内配置PAP模块,为所述PAP模块配置第一数据库,配置PAP模块获得来自统一身份系统的客体信息数据、提供相应的权限数据和策略数据的定义并存储于第一数据库中;
S1022、配置所述PAP模块将第一数据库中的权限数据和策略数据同步给PDP模块,以使得
PDP模块对应的第二数据库得以根据第一数据库的数据进行同步,以及PDP模块得以根据PEP模块发来的决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,以使得PEP模块根据该评估结果决定是否提供对相应客体的访问;其中,
所述决策请求为PEP模块经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成。
上述PEP模块配置于Kong网关内,PDP模块配置于第二服务端口内。
进一步的,为了方便用户登录和注册,配置所述PAP模块提供注册登录端口,且配置PAP模块中多个权限数据模板和策略数据模板;配置所述PAP模块中策略数据与权限数据关联。
与上述PAP的配置方法对应的,本实施例提供一种PAP的配置装置,包括
第一配置模块,用于在第一服务端口内配置PAP模块,为所述PAP模块配置第一数据库,配置PAP模块获得来自统一身份系统的客体信息数据、提供相应的权限数据和策略数据的定义并存储于第一数据库中;
第二配置模块,用于配置所述PAP模块将第一数据库中的权限数据和策略数据同步给PDP模块,以使得
PDP模块对应的第二数据库得以根据第一数据库的数据进行同步,以及PDP模块得以根据PEP模块发来的决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,以使得PEP模块根据该评估结果决定是否提供对相应客体的访问;其中,
所述决策请求为PEP模块经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成。
上述参照PAP的配置方法所完成的PAP在运行时,参照以下过程进行:
Y101、以客体信息进行注册;
Y102、选择该客体信息对应的权限数据模板和策略数据模板;
Y103、登录;
Y104、在权限数据模板上定义权限数据并生成权限数据格式,在策略数据模板上定义策略数据并生成策略数据格式;
Y105、将权限数据格式和策略数据格式进行存储于第一数据库中,并同步给PDP模块。
实施例五、本发明的另一个实施例公开一种电子设备,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,例如通过总线或者其他方式连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行所述一种访问控制或配置方法。
处理器优选但不限于是中央处理器(Central Processing Unit,CPU)。例如,处理器还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的一种访问控制或配置方法对应的程序指令/模块,处理器通过运行存储在存储器的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的一种访问控制或配置方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器优选但不限于高速随机存取存储器,例如,还可以是非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器还可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成的程序,可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (7)
1.PAP的配置方法,其特征在于:
在第一服务端口内配置PAP模块,为所述PAP模块配置第一数据库,配置PAP模块获得来自统一身份系统的客体信息数据、提供相应的权限数据和策略数据的定义并存储于第一数据库中;
配置所述PAP模块将第一数据库中的权限数据和策略数据同步给PDP模块,以使得
PDP模块对应的第二数据库得以根据第一数据库的数据进行同步,以及PDP模块得以根据PEP模块发来的决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,以使得PEP模块根据该评估结果决定是否提供对相应客体的访问;其中,
所述决策请求为PEP模块经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成;
上述PEP模块配置于Kong网关内,PDP模块配置于第二服务端口内。
2.根据权利要求1所述的PAP的配置方法,其特征在于:配置所述PAP模块提供注册登录端口,且配置PAP模块中多个权限数据模板和策略数据模板;配置所述PAP模块中策略数据与权限数据关联。
3.根据权利要求2所述的PAP的配置方法,其特征在于:所述PAP模块利用JAVA语言编写,且运行在Docker开源容器中。
4.PAP的配置装置,其特征在于:包括
第一配置模块,用于在第一服务端口内配置PAP模块,为所述PAP模块配置第一数据库,配置PAP模块获得来自统一身份系统的客体信息数据、提供相应的权限数据和策略数据的定义并存储于第一数据库中;
第二配置模块,用于配置所述PAP模块将第一数据库中的权限数据和策略数据同步给PDP模块,以使得
PDP模块对应的第二数据库得以根据第一数据库的数据进行同步,以及PDP模块得以根据PEP模块发来的决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块,以使得PEP模块根据该评估结果决定是否提供对相应客体的访问;其中,
所述决策请求为PEP模块经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成。
5.一种参照权利要求2-3任意一项所述的PAP的配置方法所完成的PAP的运行方法,其特征在于:
以客体信息进行注册;
选择该客体信息对应的权限数据模板和策略数据模板;
登录;
在权限数据模板上定义权限数据并生成权限数据格式,在策略数据模板上定义策略数据并生成策略数据格式;
将权限数据格式和策略数据格式进行存储于第一数据库中,并同步给PDP模块。
6.一种电子设备,其特征在于,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-3任一项所述的方法。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求13任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010756711.7A CN111984622B (zh) | 2020-07-31 | 2020-07-31 | Pap的配置及运行方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010756711.7A CN111984622B (zh) | 2020-07-31 | 2020-07-31 | Pap的配置及运行方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111984622A true CN111984622A (zh) | 2020-11-24 |
| CN111984622B CN111984622B (zh) | 2023-10-31 |
Family
ID=73444825
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010756711.7A Active CN111984622B (zh) | 2020-07-31 | 2020-07-31 | Pap的配置及运行方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111984622B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103378987A (zh) * | 2012-04-24 | 2013-10-30 | 国际商业机器公司 | 用于对多个安全域进行策略管理的方法和系统 |
| CN103444148A (zh) * | 2011-03-22 | 2013-12-11 | 瑞典爱立信有限公司 | 控制部署的业务检测功能节点的路由选择或绕过的网络节点和方法 |
| US8787873B1 (en) * | 2011-11-04 | 2014-07-22 | Plusn Llc | System and method for communicating using bandwidth on demand |
| CN104009959A (zh) * | 2013-02-22 | 2014-08-27 | 中国科学院软件研究所 | 一种基于xacml的可验证的云访问控制方法 |
| CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
| CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
| CN108490204A (zh) * | 2011-09-25 | 2018-09-04 | 赛拉诺斯知识产权有限责任公司 | 用于多重分析的系统和方法 |
| US20190040378A1 (en) * | 2017-07-04 | 2019-02-07 | Curevac Ag | Novel nucleic acid molecules |
| CN110365700A (zh) * | 2019-07-30 | 2019-10-22 | 上海派拉软件股份有限公司 | 一种基于服务的访问控制方法 |
| US20200134551A1 (en) * | 2018-10-29 | 2020-04-30 | Simranjit Singh | System for facilitating international trade and method |
-
2020
- 2020-07-31 CN CN202010756711.7A patent/CN111984622B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103444148A (zh) * | 2011-03-22 | 2013-12-11 | 瑞典爱立信有限公司 | 控制部署的业务检测功能节点的路由选择或绕过的网络节点和方法 |
| CN108490204A (zh) * | 2011-09-25 | 2018-09-04 | 赛拉诺斯知识产权有限责任公司 | 用于多重分析的系统和方法 |
| US8787873B1 (en) * | 2011-11-04 | 2014-07-22 | Plusn Llc | System and method for communicating using bandwidth on demand |
| CN103378987A (zh) * | 2012-04-24 | 2013-10-30 | 国际商业机器公司 | 用于对多个安全域进行策略管理的方法和系统 |
| CN104009959A (zh) * | 2013-02-22 | 2014-08-27 | 中国科学院软件研究所 | 一种基于xacml的可验证的云访问控制方法 |
| CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
| CN106656937A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和访问令牌颁发方法、设备 |
| US20190040378A1 (en) * | 2017-07-04 | 2019-02-07 | Curevac Ag | Novel nucleic acid molecules |
| US20200134551A1 (en) * | 2018-10-29 | 2020-04-30 | Simranjit Singh | System for facilitating international trade and method |
| CN110365700A (zh) * | 2019-07-30 | 2019-10-22 | 上海派拉软件股份有限公司 | 一种基于服务的访问控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| LIHUA SONG 等: "Attribute-Based Access Control Using Smart Contracts for the Internet of Things", 《PROCEDIA COMPUTER SCIENCE》, vol. 174, pages 231 - 242, XP086229814, DOI: 10.1016/j.procs.2020.06.079 * |
| 刘敖迪 等: "基于区块链的大数据访问控制机制", 《软件学报》, vol. 30, no. 9, pages 2636 - 2654 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111984622B (zh) | 2023-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111541656B (zh) | 基于融合媒体云平台的身份认证方法及系统 | |
| CN111970254B (zh) | 访问控制及配置方法、装置、电子设备和存储介质 | |
| US9569630B2 (en) | Method and system for providing an encryption proxy | |
| US8839354B2 (en) | Mobile enterprise server and client device interaction | |
| CN111666578B (zh) | 数据管理的方法、装置、电子设备及计算机可读存储介质 | |
| DE60205289T2 (de) | System und Verfahren zur gesicherte Funkübertragung von Konfigurationsdaten | |
| DE102016226311A1 (de) | Authentifizierung eines lokalen gerätes | |
| US9081982B2 (en) | Authorized data access based on the rights of a user and a location | |
| CN112788031B (zh) | 基于Envoy架构的微服务接口认证系统、方法及装置 | |
| CN108319827B (zh) | 一种基于osgi框架的api权限管理系统及方法 | |
| US9237156B2 (en) | Systems and methods for administrating access in an on-demand computing environment | |
| CN110049031B (zh) | 一种接口安全认证方法及服务器、认证中心服务器 | |
| KR20170076861A (ko) | 기업용 클라우드 서비스의 접근 통제 방법 | |
| CN109962892A (zh) | 一种登录应用的认证方法及客户端、服务器 | |
| CN110730224B (zh) | 一种数据报送的方法及装置 | |
| EP3062254A1 (en) | License management for device management system | |
| CN111970253B (zh) | Pep的配置方法、装置、电子设备和存储介质 | |
| CN108243164B (zh) | 一种电子政务云计算跨域访问控制方法和系统 | |
| CN111988284B (zh) | Pdp的配置方法、装置、电子设备和存储介质 | |
| CN111984622A (zh) | Pap的配置及运行方法、装置、电子设备和存储介质 | |
| CN115102772B (zh) | 基于汽车soa的安全访问控制方法 | |
| CN113259323B (zh) | 双重访问权限服务认证方法、装置、系统及存储介质 | |
| CN106878378B (zh) | 网络通信管理中的散点处理方法 | |
| US20230418965A1 (en) | System and Method for Improving the Efficiency in Vehicular Data Access While Maintaining Data Security | |
| CN112637192A (zh) | 一种对微服务进行访问的授权方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |