CN112165454A - 访问控制方法、装置、网关和控制台 - Google Patents

访问控制方法、装置、网关和控制台 Download PDF

Info

Publication number
CN112165454A
CN112165454A CN202010916304.8A CN202010916304A CN112165454A CN 112165454 A CN112165454 A CN 112165454A CN 202010916304 A CN202010916304 A CN 202010916304A CN 112165454 A CN112165454 A CN 112165454A
Authority
CN
China
Prior art keywords
api
access request
service line
user
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010916304.8A
Other languages
English (en)
Other versions
CN112165454B (zh
Inventor
李严
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Cloud Network Technology Co Ltd
Original Assignee
Beijing Kingsoft Cloud Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Cloud Network Technology Co Ltd filed Critical Beijing Kingsoft Cloud Network Technology Co Ltd
Priority to CN202010916304.8A priority Critical patent/CN112165454B/zh
Publication of CN112165454A publication Critical patent/CN112165454A/zh
Application granted granted Critical
Publication of CN112165454B publication Critical patent/CN112165454B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种访问控制方法、装置、网关和控制台,通过网关接收API访问请求,API访问请求中包含签名和用户标识,签名通过业务线访问密钥确定,网关确定API访问请求来自于内网,根据业务线访问密钥进行签名验证,根据用户标识进行鉴权,网关在签名验证和鉴权通过的情况下,网关将API访问请求转发至对应的业务线接口,由于业务线访问密钥只能通过内网进行访问,避免了业务线访问密钥泄露后被黑客通过SDK编程调用API来操作用户的云资源,从而,提高了各云产品的安全性。

Description

访问控制方法、装置、网关和控制台
技术领域
本公开涉及计算机技术领域,尤其涉及一种访问控制方法、装置、网关和控制台。
背景技术
随着计算机技术的发展,网络能够提供的服务种类越来越多,云产品是基于网络产生的一种应用比较广泛的服务。
主用户通过购买云产品,在一定期限内享受云产品对应的服务,一个主用户可以设置多个子用户。现有技术中,主用户或者子用户在控制台上执行操作时,例如,主用户或者子用户点击关机按钮,首先获取主用户或者子用户的访问密钥,其中,访问密钥包括:访问密钥标识(AccessKey ID,AK)和秘密访问密钥(Secret Access Key,SK),访问密钥标识中包含用户标识,可以用于标识用户,使用主用户或者子用户的访问密钥计算签名,生成应用程序接口(Application Programming Interface,API)访问请求,网关接收到API访问请求后,根据访问密钥进行签名验证和鉴权,签名验证和鉴权都通过,网关转发所述API访问请求到相应的业务线接口,如果签名验证或鉴权未通过,网关则拒绝所述API访问请求。
然而,采用现有技术的方法,主用户或者子用户的访问密钥很容易暴露,如果主用户或者子用户的访问密钥泄露,非法用户例如黑客可以采用访问密钥通过软件开发工具包(Software Development Kit,SDK)编程的方式调用API操作云资源,例如:读取云存储的数据、购买云资源、释放云资源、删除云备份数据等,给用户造成严重的损失,因此,云资源的使用安全性不高。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种访问控制方法、装置、网关和控制台。
本公开第一方面提供一种访问控制方法,包括:
网关接收应用程序接口API访问请求,所述API访问请求中包含签名和用户标识,所述签名通过业务线访问密钥确定;
所述网关确定所述API访问请求来自于内网,根据所述业务线访问密钥进行签名验证,根据所述用户标识进行鉴权;
所述网关在所述签名验证和鉴权均通过的情况下,所述网关将所述API访问请求转发至对应的业务线接口。
可选的,还包括:
所述网关确定所述API访问请求来自于外网,拒绝所述API访问请求。
可选的,所述网关确定所述API访问请求来自于内网,包括:
所述网关确定所述API访问请求的源网络协议IP地址为内网IP地址。
可选的,所述业务线访问密钥包括:业务线访问密钥标识AK和业务线秘密访问密钥SK;
所述根据所述业务线访问密钥进对所述签名行签名验证,根据所述用户标识进行鉴权,包括:
所述网关从所述API访问请求中获取业务线AK;
所述网关根据所述业务线AK在网关的缓存中查询对应的业务线SK;
所述网关根据所述业务线AK和所述业务线SK进行签名验证;
所述网关从所述API访问请求中获取用户标识,查询所述用户标识对应的权限,进行鉴权。
可选的,所述用户为主用户时,相应的,用户标识包括:主用户的标识;
所述用户为子用户时,相应的,所述用户标识包括:主用户的标识和子用户的标识。
本公开第二方面提供一种访问控制方法,包括:
控制台接收用户对应用程序接口API对应的控件的操作请求;
所述控制台根据业务线访问密钥计算签名,根据所述签名、用户标识和所述操作请求生成API访问请求;
所述控制台向所述网关发送所述API访问请求。
可选的,所述业务线访问密钥包括:业务线访问密钥标识AK和业务线秘密访问密钥SK。
本公开第三方面提供一种访问控制装置,包括:
第一接收模块,用于接收应用程序接口API访问请求,所述API访问请求中包含签名和用户标识,所述签名通过业务线访问密钥确定;
第一处理模块,用于确定所述API访问请求来自于内网,根据所述业务线访问密钥进行签名验证,根据所述用户标识进行鉴权;
第一发送模块,用于在所述签名验证和鉴权均通过的情况下,将所述API访问请求转发至对应的业务线接口。
可选的,还包括:
所述第一处理模块还用于确定所述API访问请求来自于外网,拒绝所述API访问请求。
可选的,所述第一处理模块具体用于确定所述API访问请求的源网络协议IP地址为内网IP地址。
可选的,所述业务线访问密钥包括:业务线访问密钥标识AK和业务线秘密访问密钥SK;
所述第一处理模块具体用于从所述API访问请求中获取业务线AK;根据所述业务线AK在网关的缓存中查询对应的业务线SK;根据所述业务线AK和所述业务线SK进行签名验证;从所述API访问请求中获取用户标识,查询所述用户标识对应的权限,进行鉴权。
可选的,所述用户为主用户时,相应的,用户标识包括:主用户的标识;
所述用户为子用户时,相应的,所述用户标识包括:主用户的标识和子用户的标识。
本公开第四方面提供一种访问控制装置,包括:
第二接收模块,用于接收用户对应用程序接口API对应的控件的操作请求;
第二处理模块,用于根据业务线访问密钥计算签名,根据所述签名、用户标识和所述操作请求生成API访问请求;
第二发送模块,用于向所述网关发送所述API访问请求。
可选的,所述业务线访问密钥包括:业务线访问密钥标识AK和业务线秘密访问密钥SK。
本公开第五方面提供一种网关,包括:第一处理器,所述第一处理器用于执行存储于第一本地存储器或者第一云端存储器的计算机程序,所述计算机程序被第一处理器执行时实现第一方面所述的方法的步骤。
本公开第六方面提供一种控制台,包括:第二处理器,所述第二处理器用于执行存储于第二本地存储器或者第二云端存储器的计算机程序,所述计算机程序被处理器执行时实现第二方面所述的方法的步骤。
本公开第七方面提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法的步骤。
本公开第八方面提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现第二方面所述的方法的步骤。
本公开第九方面提供一种访问控制系统,包括:
如第三方面任一项所述的网关和如第四方面所述的控制台。
本公开提供的技术方案与现有技术相比具有如下优点:
通过网关接收API访问请求,API访问请求中包含签名和用户标识,签名通过业务线访问密钥确定的,网关确定API访问请求来自于内网,根据业务线访问密钥进行签名验证,根据用户标识进行鉴权,网关在签名验证和鉴权均通过的情况下,网关将API访问请求转发至对应的业务线接口,由于业务线访问密钥只能通过内网进行访问,避免了业务线访问密钥泄露后被黑客通过SDK编程调用API来操作用户的云资源,从而,提高了各云产品的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了说明本公开或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本公开提供的一种访问控制方法的流程示意图;
图2为本公开提供的另一种访问控制方法的流程示意图;
图3为本公开提供的一种访问控制系统的结构示意图;
图4为本公开提供的另一种访问控制装置的结构示意图;
图5为本公开提供的一种网关的结构示意图;
图6为本公开提供的另一种网关的结构示意图;
图7为本公开提供的一种控制台的结构示意图;
图8为本公开提供的另一种控制台的结构示意图;
图9为本公开提供的一种访问控制系统的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
用户可以通过至少两种方式访问API,其中,一种访问方式为通过对控制台上显示的API对应的控件的操作触发产生API访问请求,例如,点击操作某控件;另一种方式为通过SDK编程调用API,无论是通过操作控制台上的API对应的控件产生的API访问请求,还是通过SDK编程调用API产生的API访问请求都会经过网关,网关对API访问请求进行签名验证和鉴权,签名验证和鉴权均通过,则转发API访问请求到对应的业务线接口,否则,则拒绝API访问请求。
业务线访问密钥通常仅限于内网使用,业务线访问密钥可以包括业务线AK和业务线SK;在上述两种访问方式中,控制台属于内网,因此,通过操作控制台上的API对应的控件产生的API访问请求来自于内网。基于此,本公开设置对操作控制台上的API对应的控件进行操作时,根据业务线访问密钥生成API访问请求的签名,由于在进行鉴权时需要用到用户标识,因此,在API访问请求中还携带用户标识,从而,可以根据API访问请求中的业务线访问密钥进行签名验证,根据用户标识进行鉴权;而非法用户例如黑客通常只能在外网通过SDK编程调用API生成API访问请求,该API访问请求来自于外网;因此,本公开设置网关接收到API访问请求之后,如果访问请求的签名是根据业务线密钥生成的,则判断该API访问请求是否来自于内网,如果API访问请求来自于内网,则进行签名验证和鉴权,签名验证和鉴权均通过,则转发API访问请求到对应的业务线接口,如果API访问请求来自于外网,则拒绝API访问请求;或者,接收到API访问请求之后,如果访问请求的签名是根据业务线密钥生成的,进行签名验证和鉴权,签名验证和鉴权均通过,确定API访问请求是否来自于内网,若是,则转发API访问请求到对应的业务线接口,如果API访问请求来自于外网,则拒绝API访问请求;从而,即使业务线密钥泄露,非法用户也无法采用业务线访问密钥通过SDK编程调用API的方式访问云资源,从而,提高了云资源使用的安全性。
下面以几个实施例为例对本公开的技术方案进行描述,相同或者相似的步骤可以相互参考,不在多处进行重复的描述。
图1为本公开提供的一种访问控制方法的流程示意图,如图1所示,
S101、网关接收API访问请求。
其中,API访问请求中包含签名和用户标识,签名是通过业务线访问密钥确定的,业务线访问密钥仅限于在内网使用是合法的。
可选的,业务线访问密钥,包括:业务线AK和业务线SK。
当用户调用API操作云资源时,使用业务线访问密钥中的业务线AK和业务线SK生成API访问请求的签名,把业务线AK和计算得到签名填充到API访问请求中。由于业务线访问密钥中没有用户属性,因此,在API访问请求中还添加了用户标识。
可选的,可以对API访问请求进行加密处理,以提高数据传输的安全性。
网关可以是OpenAPI统一网关系统,所有的API的访问请求消息都要经过网关进行转发。
S102、网关确定API访问请求是否来自于内网,若是,执行S103,若否,执行S105。
可选的,网关可以根据API访问请求的源互联网协议(Internet Protocol,IP)地址判断API访问请求是否来自于内网,若源IP地址为内网IP地址则确定来自于内网,若源IP地址为外网IP地址则确定来自于外网。
其中,控制台的IP地址为内网IP地址。
S103、根据业务线访问密钥对签名进行签名验证,根据用户标识进行鉴权。
如果API访问请求来自于内网,网关根据业务线访问密钥进行签名验证,根据用户标识进行鉴权。
其中,签名验证的处理流程如下:
网关根据API访问请求中的业务线AK在网关的缓存中查询对应的业务线SK,利用业务线AK和业务线SK生成签名,将生成的签名与API访问请求中的签名进行一致性比对。如果两个签名一致,则签名验证通过。
鉴权的处理流程如下:
网关根据API访问请求中的用户标识确定发起API访问请求的用户信息。如果是主用户发起的API访问请求,可选的,由于主用户可以管理和控制其购买的所有云资源,则主用户不需要检查权限,鉴权通过;也可以根据主用户的标识,确定主用户是否有权限操作API访问请求请求的资源。如果是子用户发起的API访问请求,则根据用户标识,获取子用户的权限,权限指的是否允许用户对某种资源执行某种操作,子用户的权限是由主用户在创建子用户时分配的。如果子用户的权限中包括允许对API访问请求中的资源执行对应的操作,则鉴权通过。
S104、网关在签名验证和鉴权均通过的情况下,网关将API访问请求转发至对应的业务线接口。
网关在签名验证和鉴权通过的情况下,将API访问请求转发至对应的业务线接口,以访问对应的云资源。
如果签名验证或鉴权未通过,网关则拒绝API访问请求。
S105、网关确定API访问请求来自于外网,拒绝API访问请求。
可选的,网关根据API访问请求的源IP地址确定API访问请求来自于外网,由于业务线访问密钥只能在内网使用,则网关拒绝该API访问请求。例如,当非法用户通过SDK编程调用API生成API访问请求时,如果非法用户使用业务线访问密钥对API访问请求的内容进行签名计算,该API访问请求到达网关后,由于API访问请求的源IP地址是外网IP地址,网关拒绝该API访问请求。因此,用户通过SDK编程调用API时需使用用户的访问密钥对API访问请求的内容进行签名计算。
本实施例通过网关接收API访问请求,API访问请求中包含签名和用户标识,签名通过业务线访问密钥确定的,网关确定API访问请求来自于内网,根据业务线访问密钥进行签名验证,根据用户标识进行鉴权,网关在签名验证和鉴权通过的情况下,网关将所述API访问请求转发至对应的业务线接口,由于业务线访问密钥只能通过内网进行访问,避免了业务线访问密钥泄露后被黑客通过SDK编程调用API来操作用户的云资源,从而,提高了各云产品的安全性。
图2为本公开提供的另一种访问控制方法的流程示意图,如图2所示,
S201、用户通过控制台操作API对应的控件。
其中,控制台是云产品的管理控制平台。用户可以登录控制台,在控制台上管理和控制已购买的云资源,例如,云主机,云网络等。控制台把OpenAPI封装成了对应的按钮控件,用户在控制台上的操作实际是通过调用OpenAPI执行的。例如:用户在控制台上对某个云主机执行关机的操作,只需要登录控制台,选择某个云主机,点击关机按钮,该控件按钮调用关机操作对应的OpenAPI,从而,实现云主机的关机的操作。
S202、控制台根据业务线访问密钥计算签名,根据签名、用户标识和操作请求生成API访问请求。
当用户通过控制台触发API调用时,控制台根据用户操作的云产品所属的业务线,获取业务线访问密钥,根据业务线访问密钥中的业务线AK和业务线SK生成API访问请求的签名,根据计算得到签名、用户标识和操作请求生成API访问请求。由于API访问请求是控制台触发的,所以API访问请求中的源IP地址是内网IP地址。
可选的,用户为主用户时,API访问请求中的用户标识包括:主用户的标识;
用户为子用户时,API访问请求中的用户标识包括:主用户的标识和子用户的标识。
其中,主用户的标识用于标识API访问请求操作的资源归属的租户信息;子用户的标识用于标识当前控制台发起API访问请求的用户信息。
S203、控制台向网关发送API访问请求。
S204、网关确定API访问请求来自于内网,根据业务线访问密钥进行签名验证,根据用户标识进行鉴权。
S205、网关在签名验证和鉴权通过的情况下将所述API访问请求转发至对应的业务线接口。
S204-S205的详细描述可以参考图1所示实施例中相应的步骤,此处不再赘述。
本实施例通过用户通过控制台操作API对应的控件,控制台根据业务线访问密钥计算签名,根据签名、用户标识和所述操作请求生成API访问请求,控制台向网关发送API访问请求,网关接收API访问请求,网关确定API访问请求来自于内网,根据业务线访问密钥进行签名验证,根据用户标识进行鉴权,在签名验证和鉴权通过的情况下,允许操作访问请求请求的资源,由于业务线访问密钥只能通过内网进行访问,避免了业务线访问密钥泄露后被黑客通过SDK编程调用API来操作用户的云资源,从而,提高了各云产品的安全性。
图3为本公开提供的一种访问控制装置实施例的结构示意图,如图3所示,本实施例的装置包括:第一接收模块301、第一处理模块302和第一发送模块303,其中,第一接收模块301用于接收应用程序接口API访问请求,所述API访问请求中包含签名和用户标识,所述签名通过业务线访问密钥确定;第一处理模块302用于确定所述API访问请求来自于内网,根据所述业务线访问密钥进行签名验证,根据所述用户标识进行鉴权;第一发送模块303用于在所述签名验证和鉴权均通过的情况下,允许操作所述API访问请求请求的资源。
可选的,所述第一处理模块302还用于确定所述API访问请求来自于外网,拒绝所述API访问请求。
可选的,所述第一处理模块302具体用于确定所述API访问请求的源网络协议IP地址为内网IP地址。
可选的,所述业务线访问密钥包括:业务线访问密钥标识AK和业务线秘密访问密钥SK;
所述第一处理模块302具体用于从所述API访问请求中获取业务线AK;根据所述业务线AK在网关的缓存中查询对应的业务线SK;根据所述业务线AK和所述业务线SK进行签名验证;从所述API访问请求中获取用户标识,查询所述用户标识对应的权限,进行鉴权。
可选的,所述用户为主用户时,相应的,用户标识包括:主用户的标识;
所述用户为子用户时,相应的,所述用户标识包括:主用户的标识和子用户的标识。
图3所示实施例的装置对应的可用于执行上述各方法实施例中网关所执行的步骤,其实现原理和技术效果类似,此处不再赘述。
图4为本公开提供的另一种访问控制装置的结构示意图,如图4所示,本实施例的装置包括:第二接收模块401、第二处理模块402和第二发送模块403,其中,第二接收模块401用于接收用户对应用程序接口API对应的控件的操作请求;第二处理模块402用于根据业务线访问密钥计算签名,根据所述签名、用户标识和所述操作请求生成API访问请求;第二发送模块403用于向所述网关发送所述API访问请求。
可选的,所述业务线访问密钥包括:业务线访问密钥标识AK和业务线秘密访问密钥SK。
图4所示实施例的装置对应的可用于执行上述各方法实施例中控制台所执行的步骤,其实现原理和技术效果类似,此处不再赘述。
图5为本公开提供的一种网关的结构示意图,如图5所示,本本实施例的网关包括第一处理器501和第一本地存储器502,其中,第一处理器501用于执行存储于第一本地存储器502的计算机程序,所述计算机程序被处理器执行时实现上述各方法实施例中网关所执行的步骤。
图6为本公开提供的另一种网关的结构示意图,如图6所示,本本实施例的网关包括第一处理器501,其中,第一处理器501用于执行存储于第一云端存储器602的计算机程序,所述计算机程序被处理器执行时实现上述各方法实施例中网关所执行的步骤。
图7为本公开提供的一种控制台的结构示意图,如图7所示,本本实施例的控制台包括第二处理器701和第二本地存储器702,其中,第二处理器701用于执行存储于第二本地存储器702的计算机程序,所述计算机程序被处理器执行时实现上述各方法实施例中控制台所执行的步骤。
图8为本公开提供的另一种控制台的结构示意图,如图8所示,本本实施例的控制台包括第二处理器701,其中,第二处理器701用于执行存储于第二云端存储器802的计算机程序,所述计算机程序被处理器执行时实现上述各方法实施例中控制台所执行的步骤。
本公开还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述各方法实施例中网关所执行的步骤。
本公开还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述各方法实施例中控制台所执行的步骤。
图9为本公开提供的一种访问控制系统的结构示意图,本实施例的系统包括:如图3所示实施例的网关901和如图4所示实施例的控制台902,其中,网关901和控制台902分别用于对应执行图1到图2任一所示方法的步骤,其实现原理和技术效果类似,此处不再赘述。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (12)

1.一种访问控制方法,其特征在于,包括:
网关接收应用程序接口API访问请求,所述API访问请求中包含签名和用户标识,所述签名通过业务线访问密钥确定;
所述网关确定所述API访问请求来自于内网,根据所述业务线访问密钥对所述签名进行签名验证,根据所述用户标识进行鉴权;
所述网关在所述签名验证和鉴权均通过的情况下,所述网关将所述API访问请求转发至对应的业务线接口。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述网关确定所述API访问请求来自于外网,拒绝所述API访问请求。
3.根据权利要求1所述的方法,其特征在于,所述网关确定所述API访问请求来自于内网,包括:
所述网关确定所述API访问请求的源网络协议IP地址为内网IP地址。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述业务线访问密钥包括:业务线访问密钥标识AK和业务线秘密访问密钥SK;
所述根据所述业务线访问密钥对所述签名进行签名验证,根据所述用户标识进行鉴权,包括:
所述网关从所述API访问请求中获取业务线AK;
所述网关根据所述业务线AK在网关的缓存中查询对应的业务线SK;
所述网关根据所述业务线AK和所述业务线SK进行签名验证;
所述网关从所述API访问请求中获取用户标识,查询所述用户标识对应的权限,进行鉴权。
5.根据权利要求4所述的方法,其特征在于,所述用户为主用户时,相应的,用户标识包括:主用户的标识;
所述用户为子用户时,相应的,所述用户标识包括:主用户的标识和子用户的标识。
6.一种访问控制方法,其特征在于,包括:
控制台接收用户对应用程序接口API对应的控件的操作请求;
所述控制台根据业务线访问密钥计算签名,根据所述签名、用户标识和所述操作请求生成API访问请求;
所述控制台向网关发送所述API访问请求。
7.一种访问控制装置,其特征在于,包括:
第一接收模块,用于接收应用程序接口API访问请求,所述API访问请求中包含签名和用户标识,所述签名通过业务线访问密钥确定;
第一处理模块,用于确定所述API访问请求来自于内网,根据所述业务线访问密钥进行签名验证,根据所述用户标识进行鉴权;
第一发送模块,用于在所述签名验证和鉴权均通过的情况下,将所述API访问请求转发至对应的业务线接口。
8.一种访问控制装置,其特征在于,包括:
第二接收模块,用于接收用户对应用程序接口API对应的控件的操作请求;
第二处理模块,用于根据业务线访问密钥计算签名,根据所述签名、用户标识和所述操作请求生成API访问请求;
第二发送模块,用于向网关发送所述API访问请求。
9.一种网关,其特征在于,包括:第一处理器,所述处理器用于执行存储于第一本地存储器或者第一云端存储器的计算机程序,所述计算机程序被第一处理器执行时实现权利要求1-5任一项所述的方法的步骤。
10.一种控制台,其特征在于,包括:第二处理器,所述第二处理器用于执行存储于第二本地存储器或者第二云端存储器的计算机程序,所述计算机程序被第二处理器执行时实现权利要求6所述的方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求6所述的方法的步骤。
CN202010916304.8A 2020-09-03 2020-09-03 访问控制方法、装置、网关和控制台 Active CN112165454B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010916304.8A CN112165454B (zh) 2020-09-03 2020-09-03 访问控制方法、装置、网关和控制台

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010916304.8A CN112165454B (zh) 2020-09-03 2020-09-03 访问控制方法、装置、网关和控制台

Publications (2)

Publication Number Publication Date
CN112165454A true CN112165454A (zh) 2021-01-01
CN112165454B CN112165454B (zh) 2023-04-18

Family

ID=73858570

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010916304.8A Active CN112165454B (zh) 2020-09-03 2020-09-03 访问控制方法、装置、网关和控制台

Country Status (1)

Country Link
CN (1) CN112165454B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866212A (zh) * 2021-01-04 2021-05-28 北京金山云网络技术有限公司 云计算资源的访问控制方法、装置、计算机设备和介质
CN112948143A (zh) * 2021-03-04 2021-06-11 北京奇艺世纪科技有限公司 一种应用程序调用方法、装置及调用系统
CN113114562A (zh) * 2021-03-04 2021-07-13 上海赛可出行科技服务有限公司 一种基于开放平台的参数可配置的网关设计方法
CN114844648A (zh) * 2022-04-25 2022-08-02 北京市商汤科技开发有限公司 数据验证方法、数据处理方法及装置
CN114915435A (zh) * 2021-02-09 2022-08-16 网联清算有限公司 一种业务数据访问方法及系统
CN114945045A (zh) * 2022-05-18 2022-08-26 深圳渊联技术有限公司 网络服务响应方法、装置、网络设备和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9596606B1 (en) * 2016-04-25 2017-03-14 Verizon Patent And Licensing Inc. Application programming interface gateway for sponsored data services
CN110138568A (zh) * 2019-07-02 2019-08-16 云深互联(北京)科技有限公司 内网访问方法和系统
CN110784527A (zh) * 2019-10-18 2020-02-11 三体云智能科技有限公司 一种信息管理系统及方法
CN111211902A (zh) * 2019-11-29 2020-05-29 云深互联(北京)科技有限公司 一种基于企业浏览器实现的数字签名方法和装置
CN111600899A (zh) * 2020-05-25 2020-08-28 华人运通(上海)云计算科技有限公司 微服务访问控制方法、装置、电子设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9596606B1 (en) * 2016-04-25 2017-03-14 Verizon Patent And Licensing Inc. Application programming interface gateway for sponsored data services
CN110138568A (zh) * 2019-07-02 2019-08-16 云深互联(北京)科技有限公司 内网访问方法和系统
CN110784527A (zh) * 2019-10-18 2020-02-11 三体云智能科技有限公司 一种信息管理系统及方法
CN111211902A (zh) * 2019-11-29 2020-05-29 云深互联(北京)科技有限公司 一种基于企业浏览器实现的数字签名方法和装置
CN111600899A (zh) * 2020-05-25 2020-08-28 华人运通(上海)云计算科技有限公司 微服务访问控制方法、装置、电子设备及存储介质

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866212A (zh) * 2021-01-04 2021-05-28 北京金山云网络技术有限公司 云计算资源的访问控制方法、装置、计算机设备和介质
CN114915435A (zh) * 2021-02-09 2022-08-16 网联清算有限公司 一种业务数据访问方法及系统
CN114915435B (zh) * 2021-02-09 2024-03-19 网联清算有限公司 一种业务数据访问方法及系统
CN112948143A (zh) * 2021-03-04 2021-06-11 北京奇艺世纪科技有限公司 一种应用程序调用方法、装置及调用系统
CN113114562A (zh) * 2021-03-04 2021-07-13 上海赛可出行科技服务有限公司 一种基于开放平台的参数可配置的网关设计方法
CN112948143B (zh) * 2021-03-04 2024-01-12 北京奇艺世纪科技有限公司 一种应用程序调用方法、装置及调用系统
CN114844648A (zh) * 2022-04-25 2022-08-02 北京市商汤科技开发有限公司 数据验证方法、数据处理方法及装置
CN114945045A (zh) * 2022-05-18 2022-08-26 深圳渊联技术有限公司 网络服务响应方法、装置、网络设备和存储介质
CN114945045B (zh) * 2022-05-18 2023-09-26 深圳渊联技术有限公司 网络服务响应方法、装置、网络设备和存储介质

Also Published As

Publication number Publication date
CN112165454B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN112165454B (zh) 访问控制方法、装置、网关和控制台
EP3691215B1 (en) Access token management method, terminal and server
US20220394026A1 (en) Network identity protection method and device, and electronic equipment and storage medium
CN109729080B (zh) 基于区块链域名系统的访问攻击防护方法和系统
CN110311929B (zh) 一种访问控制方法、装置及电子设备和存储介质
JP6574168B2 (ja) 端末識別方法、ならびにマシン識別コードを登録する方法、システム及び装置
US20100242097A1 (en) System and method for managing application program access to a protected resource residing on a mobile device
CN112073400A (zh) 一种访问控制方法、系统、装置及计算设备
CN113179243B (zh) 一种接口调用的鉴权方法、装置、设备及存储介质
CN111355726B (zh) 一种身份授权登录方法、装置及电子设备和存储介质
CN112016106B (zh) 开放接口的认证调用方法、装置、设备和可读存储介质
CN111030812A (zh) 令牌验证方法、装置、存储介质及服务器
CN110795174B (zh) 一种应用程序接口调用方法、装置、设备及可读存储介质
CN111061685B (zh) 日志查询方法、装置、节点设备及存储介质
WO2017041562A1 (zh) 一种识别终端设备用户身份的方法和装置
CN108768928B (zh) 一种信息获取方法、终端及服务器
CN110943840B (zh) 一种签名验证方法
JP2020535530A (ja) リソース処理方法、装置、システムおよびコンピュータ読み取り可能な媒体
CN107645474B (zh) 登录开放平台的方法及登录开放平台的装置
CN109525613B (zh) 一种请求处理系统及方法
CN114268478B (zh) 边缘云平台的调用请求鉴权方法、装置、设备及介质
CN112416624B (zh) 基于开放平台的应用数据交互方法及系统
CN113452803B (zh) 一种验证方法、装置、服务器及存储介质
CN113364725B (zh) 一种非法探测事件检测方法、装置、设备及可读存储介质
CN113065120A (zh) 接口调用鉴权方法、装置、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant