CN112948842A - 一种鉴权方法及相关设备 - Google Patents
一种鉴权方法及相关设备 Download PDFInfo
- Publication number
- CN112948842A CN112948842A CN201911264301.4A CN201911264301A CN112948842A CN 112948842 A CN112948842 A CN 112948842A CN 201911264301 A CN201911264301 A CN 201911264301A CN 112948842 A CN112948842 A CN 112948842A
- Authority
- CN
- China
- Prior art keywords
- user
- authority
- data
- access
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种鉴权方法及相关设备。其中,该方法包括:数据服务器接收访问请求,该访问请求中携带用户的标识,用于请求访问业务数据,该数据服务器用于存储所述业务数据;该数据服务器产生权限策略获取请求,该权限策略获取请求中携带用户的标识;将该权限策略获取请求发送至分布式存储系统,该权限策略获取请求用于指示分布式存储系统根据用户的标识确定存储该用户的权限策略存储设备;接收存储该用户的权限策略的存储设备发送的用户的权限策略;根据用户的权限策略确定访问请求是否有访问所述业务数据的权限。上述方法能够避免在数据服务器上对用户的访问权限策略进行同步操作,提高数据服务器在鉴权时的准确性和可靠性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种鉴权方法及相关设备。
背景技术
在大数据场景中,数据服务器的数量非常巨大,种类繁多,为了保护各个数据服务器的安全,需要对数据服务器的访问进行鉴权,验证用户是否具有访问权限。而如何对众多数据服务器的访问进行有效的统一控制,是大数据安全领域非常重要的问题。
目前是利用一个权限管理服务器来统一管理一个数据中心(data center,DC)的所有数据服务器的访问权限策略,各个数据服务器需要提前通过权限管理服务器获取各个数据服务器对应的访问权限策略,且需要与权限管理服务器所管理的访问权限策略保持同步。当数据服务器数量过多时,权限管理服务器的性能将会严重下降,此外,每个数据服务器中存储的访问权限策略不能及时的更新,存在同步时延,导致数据服务器在进行鉴权时产生误判。
因此,如何保证权限管理服务器性能稳定,以及减小访问权限策略同步时延,提高鉴权准确性是目前亟待解决的问题。
发明内容
本发明实施例公开了一种鉴权方法及相关设备,能够使得权限管理服务器和各个数据服务器访问同一个分布式存储系统,从而提高数据服务器在进行鉴权时的准确性和可靠性。
第一方面,本申请提供了一种鉴权方法,包括:数据服务器接收访问请求,该访问请求中携带用户的标识,用于请求访问业务数据,所述数据服务器用于存储所述业务数据;该数据服务器产生权限策略获取请求,所述权限策略获取请求中携带用于指示所述分布式存储根据所述用户的标识确定在所述分布式存储系统中存储所述用户的权限策略存储设备;数据服务器接收存储所述用户的权限策略的存储设备发送的所述用户的权限策略;数据服务器根据所述用户的权限策略确定所述访问请求是否具有访问所述业务数据的权限。
可选的,数据服务器可以是物理机、物理机运行的虚拟机、或者是物理机上运行的数据库程序等。
在本申请提供的方案中,数据服务器在接收到访问请求之后,不再直接利用本地存储的权限策略进行鉴权,而是产生一个携带用户的标识的权限策略获取请求,并将其发送给分布式存储系统,分布式存储系统中存储了用户的权限策略,然后数据服务器接收存储用户的权限策略的存储设备发送的该用户的权限策略,并根据接收到的用户的权限策略对访问请求是否具有访问业务数据的权限作出判决。这样可以实时的获取到用户的权限策略,避免在本地存储用户的权限策略所导致的同步时延,且可以提高数据服务器在鉴权时的准确性和可靠性。
结合第一方面,在第一方面一种可能的实现方式中,数据服务器在根据用户的权限策略确定访问请求有访问所述业务数据的权限时,获取所述业务数据;当所述访问请求是其他数据中心发送的访问请求时,将所获取的业务数据发送至发送所述访问请求的数据中心。
在本申请提供的方案中,分布式存储系统还支持跨数据中心鉴权,即数据服务器可以对直接接收到的访问请求进行鉴权,也可以对通过其他数据中心转发的访问请求进行鉴权,当确定访问请求具有访问权限时,对于直接接收到的访问请求,可以直接将获取到的数据返回给用户,对于通过其他数据中心转发而接收到访问请求,则将获取到的数据返回至其他数据中心,进而返回给用户。这样可以提高数据服务器在进行鉴权时的灵活性和鉴权效率。
结合第一方面,在第一方面一种可能的实现方式中,数据服务器在接收到所述访问请求后,所述数据服务器判断所述访问请求是否为其他数据中心传输的访问请求;当所述访问请求为其他数据中心传输的访问请求时,所述数据服务器则产生所述权限策略获取请求。
在本申请提供的方案中,数据服务器会通过判断访问请求的来源而灵活的去获取权限策略,当接收到的是其他数据中心传输的访问请求,则会产生权限策略获取请求去分布式存储系统获取权限策略,当接收到的是用户直接发送的访问请求,则可能通过本地(即原先已经部署完成的)权限管理服务器获取权限策略。
第二方面,提供了一种鉴权方法,包括:分布式存储系统中的管理器接收数据服务器发送的权限策略获取请求,所述权限策略获取请求中携带用户的标识;根据所述用户的标识在所述分布式存储系统中确定存储所述用户的权限策略存储设备;存储所述用户的权限策略存储设备发送所述用户的权限策略至所述数据服务器。
在本申请提供的方案中,利用分布式存储系统对用户的权限策略进行存储,并在接收到数据服务器发送的权限策略获取请求之后,分布式存储系统中的管理器根据用户的标识确定存储该用户的权限策略存储设备,该权限策略存储设备将所存储的用户的权限策略发送给用户。相对于对所有用户的权限策略进行集中存储和管理来说,这样可以避免压力集中在管理器等单独的一台设备上面,可以更好的实现负载均衡,保证鉴权服务能够正常运行。
结合第二方面,在第二方面的一种可能的实现方式中,所述分布式存储系统中的管理器设置所述用户的权限策略;根据分布式算法将所述用户的权限策略存储至所述存储设备。
在本申请提供的方案中,分布式存储系统中的管理器可以自由灵活的配置用户的权限策略,并利用分布式算法等将配置好的权限策略存储至存储设备,保证各个存储设备之间能够负载均衡,从而保证整个分布式系统的良好性能和可靠性。
第三方面,提供了一种鉴权系统,包括:数据服务器和分布式存储系统,所述数据服务器用于存储业务数据,所述分布式存储系统用于存储用户的权限策略,其中,所述数据服务器接收访问请求,所述访问请求中携带用户的标识,用于请求访问业务数据;所述数据服务器产生权限策略获取请求,所述权限策略获取请求中携带所述用户的标识;所述数据服务器将所述权限策略获取请求发送至所述分布式存储系统中的管理器,所述管理器根据所述用户的标识在所述分布式存储系统中确定存储所述用户的权限策略存储设备;所述权限策略存储设备发送所述用户的权限策略至所述数据服务器;所述数据服务器根据所述用户的权限策略确定所述访问请求是否有访问所述业务数据的权限。
结合第三方面,在第三方面的一种可能的实现方式中,所述分布式系统中的管理器设置所述用户的权限策略;所述分布式系统中的管理器将所述用户的权限策略存储至所述权限策略存储设备。
结合第三方面,在第三方面的一种可能的实现方式中,所述数据服务器根据所述用户的权限策略确定所述访问请求有访问所述业务数据的权限时,获取所述业务数据;当所述访问请求是其他数据中心发送的访问请求时,将所获取的所述业务数据发送至发送所述访问请求的数据中心。
结合第三方面,在第三方面的一种可能的实现方式中,所述数据服务器在接收到所述访问请求之后,所述数据服务器判断所述访问请求是否为其他数据中心传输的访问请求;当所述访问请求为其他数据中心传输的访问请求时,则产生所述权限策略获取请求。
第四方面,提供了一种计算设备,包括:接收单元,用于接收访问请求,所述访问请求中携带用户的标识,用于请求访问业务数据;处理单元,用于产生权限策略获取请求,所述权限策略获取请求中携带所述用户的标识;发送单元,用于将所述权限策略获取请求发送至分布式系统,所述权限策略获取请求用于指示所述分布式存储系统根据所述用户的标识确定在所述分布式存储系统中存储所述用户的权限策略存储设备;所述接收单元,还用于接收存储所述用户的权限策略的存储设备发送的所述用户的权限策略;所述处理单元,还用于根据所述用户的权限策略确定所述访问请求是否有访问所述业务数据的权限。
结合第四方面,在第四方面的一种可能的实现方式中,所述处理单元,还用于在根据所述用户的权限策略确定所述访问请求有访问所述业务数据的权限时,获取所述业务数据;所述发送单元,还用于当所述访问请求是其他数据中心发送的访问请求时,将所获取的所述业务数据发送至发送所述访问请求的数据中心。
第五方面,提供了一种计算设备,包括:接收单元,用于接收数据服务器发送的权限策略获取请求,所述权限策略获取请求中携带用户的标识;处理单元,用于根据所述用户的标识在分布式存储系统中确定存储所述用户的权限策略存储设备,以使得所述权限策略存储设备发送所述用户的权限策略至所述数据服务器。
结合第五方面,在第五方面的一种可能的实现方式中,所述计算设备还包括设置单元,所述设置单元,用于设置所述用户的权限策略;所述处理单元,还用于根据分布式算法将所述用户额权限策略存储至所述存储设备。
第六方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,当该计算机程序被处理器执行时,可以实现上述第一方面以及结合上述第一方面中的任意一种实现方式所提供的鉴权方法的功能。
第七方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,当该计算机程序被处理器执行时,可以实现上述第二方面以及结合上述第二方面中的任意一种实现方式所提供的鉴权方法的功能。
第八方面,提供了一种计算机程序产品,该计算机程序产品包括指令,当该计算机程序产品被计算机执行时,使得计算机可以执行上述第一方面以及结合上述第一方面中的任意一种实现方式所提供的鉴权方法的流程。
第九方面,提供了一种计算机程序产品,该计算机程序产品包括指令,当该计算机程序产品被计算机执行时,使得计算机可以执行上述第二方面以及结合上述第二方面中的任意一种实现方式所提供的鉴权方法的流程。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种鉴权系统的结构示意图;
图2是本申请实施例提供的又一种鉴权系统的结构示意图;
图3是本申请实施例提供的一种鉴权方法的流程示意图;
图4是本申请实施例提供的又一种鉴权方法的流程示意图;
图5是本申请实施例提供的又一种鉴权系统的结构示意图;
图6是本申请实施例提供的一种计算设备的结构示意图;
图7是本申请实施例提供的又一种计算设备的结构示意图;
图8是本申请实施例提供的又一种计算设备的结构示意图;
图9是本申请实施例提供的又一种计算设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。
首先,结合附图对本申请中所涉及的部分用语和相关技术进行解释说明,以便于本领域技术人员理解。
数据服务器是指数据库应用程序所使用的数据库或者数据库服务器。
授权是指向用户授予某种权限。例如,业务提供方向用户授予执行某项操作的权限,业务提供方向用户授予对某个资源的访问权限,业务提供方向用户授予对某个资源执行某项操作的权限。业务提供方通过授予给用户权限,能够帮助业务提供方安全的控制其用户对其资源的访问权限,例如,控制哪些用户可以访问资源,以及控制这些用户可以访问的资源以及访问的方式。其中,访问的方式包括读取、写入、修改等操作。
鉴权是指验证用户是否拥有某种权限,根据向用户授予的权限来对用户进行鉴权。当某一用户向业务提供方请求执行某项操作时,业务提供方对该用户进行鉴权,只有在鉴权通过的情况下允许用户执行其所请求的操作。例如,用户请求对某个资源进行访问,根据向该用户的授权情况确定该用户已经拥有的权限,进而确定该用户是否拥有对所访问资源进行访问的权限,如果拥有则鉴权通过。
分布式存储系统(distributed storage system,DSS)是将数据分散存储在多台独立的设备上。传统的网络存储系统采用集中的存储服务器存放所有数据,存储服务器成为系统性能的瓶颈,也是可靠性和安全性的焦点,不能满足大规模存储应用的需要。分布式网络存储系统采用可扩展的系统结构,利用多台存储服务器分担存储负荷,不但提高了系统的可靠性、可用性和存取效率,还易于扩展。
目前的鉴权方案都是利用一个中心的权限管理服务器来统一管理一个数据中心(data center,DC)里的多个数据服务器的访问权限策略。如图1所示,其示出了一种鉴权系统的示意图。该鉴权系统100包括:数据中心110、权限管理服务器120和数据库(data base,DB)130。数据中心110中包括多个不同数据类型的数据服务器,例如分布式文件系统(hadoop distributed file system,HDFS)111、HIVE112、HBASE113,管理员可以通过权限管理服务器120提供的万维网(world wide web,Web)浏览器或restful接口访问权限管理服务器120,设置各个数据服务器的访问权限策略,并保存在数据库130中。各个数据服务器中部署了插件(plugin),利用该插件,各个数据服务器可以通过权限管理服务器120获取本数据服务器的访问权限策略并保存在本地存储中,当数据服务器接收到用户的访问请求时,需要对该访问请求进行鉴权。例如HDFS接收到用户的访问请求,HDFS利用从权限管理服务器120获取的本地的访问权限策略对该访问请求进行鉴权,从而确定该访问请求是否具有访问权限。此外,HDFS、HIVE和HBASE等数据服务器中存储的访问权限策略需要采用相应的机制与数据库130中存储的访问权限策略保持同步,例如采用定期同步的方式保持同步。
由于所有的数据服务器都需要通过权限管理服务器120来获取访问权限策略,因此当数据服务器数量过多时,权限管理服务器120的性能将会受到严重影响(即权限管理服务器120将会变成一个热点),导致鉴权不能正常进行。此外,每个数据服务器获取到的访问权限策略都需要和数据库130中存储的访问权限策略保持同步,而当数据库130中存储的访问权限策略进行更新时,数据服务器中存储访问权限策略并不能即时更新,而是存在一定延迟,可能会导致数据服务器在进行鉴权时产生误判。
基于上述,本申请提供了一种鉴权方法,可以避免权限管理服务器成为热点,保证权限管理服务器的性能,提高鉴权的准确性。
本申请实施例的技术方案可以应用于任何需要提供鉴权服务的系统中。例如,云服务系统、通信系统、交易系统等。例如,云服务系统可提供计算、存储、下载、安全等多项不同的业务,用户在访问云服务系统请求执行操作时,云服务系统需要对用户进行鉴权,在鉴权通过的情况下允许用户执行其所请求的操作,云服务系统中可部署本申请实施例提供的鉴权系统,通过该鉴权系统对用户进行鉴权。
图2示出了本申请实施例的一种鉴权系统的示意图。如图2所示,该鉴权系统200包括:权限管理服务器210,管理员可以通过Web访问权限管理服务器210,进而设置各个数据服务器的访问权限策略,以及对设置的访问权限策略进行增加、删除、修改、查询等操作,权限管理服务器210,还用于维护和管理各个数据服务器的访问权限策略;分布式存储系统220,用于存储各个数据服务器的访问权限策略等配置信息,具体的,分布式存储系统220会向权限管理服务器210提供一个写入接口,接收权限管理服务器210写入的数据服务器访问权限策略,分布式存储系统220在接收到写入的数据服务器访问权限策略之后,综合考虑数据服务器与分布式存储系统220中的存储服务器的亲和性(即存储数据服务器访问权限策略的存储服务器与该数据服务器之间的距离)、以及各个存储服务器之间的容量均衡等其它因素对写入的数据服务器访问权限策略进行存储,以保证整个分布式存储系统220的性能和可靠性;数据中心230,用于接收用户的访问请求并访问分布式存储系统220,完成对用户的鉴权操作。其中,数据中心230包括多个不同数据类型的数据服务器,即HDFS2310、HIVE2320和HBASE2330,数据服务器可以是物理机、或者是物理机上运行的虚拟机、或者是物理机上所运行的数据库程序,每个数据服务器中部署了插件,用于对接收到的访问请求进行权限决策判定,即判定接收到的访问请求是否具有访问权限。插件可以直接访问分布式存储系统220,并获取分布式存储系统220中所存储的该用户的访问权限策略,根据获取到的访问权限策略,判定所述访问请求是否有访问权限。数据中心240和数据中心250的结构与数据中心230的结构类似,都是包括多个数据服务器,每个数据服务器中部署了插件以访问分布式存储系统220,在此不再赘述。
在本申请实施例中,分布式存储系统220可以是HDFS存储系统、分布式键值(key-value,KV)存储系统、分布式表格存储系统或分布式数据库等,可以部署在云环境上的一个或多个计算设备(例如中心服务器),或者边缘环境中的一个或多个计算设备(例如服务器)上。
可以看出,图2所示的鉴权系统与图1所示的鉴权系统相比,数据服务器中的插件不需要再通过权限管理服务器从数据库中提前获取本数据服务器的访问权限策略并将其保存在本地存储中,而是利用分布式存储系统来存储每个数据服务器的访问权限策略,数据服务器与权限管理服务器共用这个分布式存储系统,若数据服务器需要进行鉴权,则直接实时访问该分布式存储系统以获取访问权限策略,这样可以有效避免权限管理服务器成为热点,保证权限管理服务器的性能,而且,权限管理服务器在修改、删除分布式存储系统中的访问权限策略时,数据服务器在获取分布式存储系统中的访问权限策略时可以感知到,不存在同步延迟问题,可以避免数据服务器在进行鉴权由于同步延迟而导致的误判,提高鉴权准确性。
结合图2所示的鉴权系统示意图,下面将结合图3描述本申请实施例提供的鉴权方法。如图3所示,该方法包括但不限于以下步骤:
S301:数据服务器接收访问请求。
具体地,每个数据中心都存在一个数据查询引擎(例如:onequery等),用于管理数据中心内的各个数据服务器的数据,提供数据访问服务。数据查询引擎接收到用户发送的访问请求之后,对该访问请求进行分析,该访问请求中携带数据中心的标识和访问路径,其中,每个数据中心具有唯一一个标识,访问路径包括用户所需要访问的数据对应的目录,根据该目录可以找到用户所请求访问的数据。
数据查询引擎判断访问请求中携带的数据中心的标识是否为本数据中心的标识,若是本数据中心的标识,则数据查询引擎根据访问路径将该访问请求转发至本数据中心内相应的数据服务器;若不是本数据中心的标识,则数据查询引擎则会将该访问请求转发至与该标识对应的远端数据中心的远端数据查询引擎,远端数据查询引擎在接收到访问请求之后,根据该访问请求中的访问路径将该访问请求转发至远端数据中心内相应的数据服务器。
进一步的,该访问请求中还携带用户的标识和资源信息(即所访问数据所在的数据表或文件等),该用户的标识可以唯一标识用户的身份,例如用户的名称、网际协议(internet protocol,IP)地址、身份证号码等。示例性的,访问请求中包括用户标识“123”、资源信息为“abc”,则需要验证用户标识为“123”的用户是否具备访问“abc”资源的权限。S302:数据服务器根据访问请求,产生权限策略获取请求。
具体地,数据服务器中配置的插件在接收到数据查询引擎转发的访问请求之后,根据该访问请求,产生一个权限策略获取请求,该权限策略获取请求中携带所述用户的标识,以根据权限策略获取请求的请求结果对该访问请求进行鉴权,即判断该请求是否具有访问所述访问请求所访问的数据的权限。该插件可以是一种计算机应用程序,用于对接收到的访问请求进行权限判决。
另外,在接收到所述访问请求后,所述数据服务器还会判断所述访问请求是由本数据数据产生的,还是由其他数据中心转发的,如果是由其他数据中心转发的,则在产生所述权限策略请求时,也会记录下转发所述访问请求的数据中心。
此外,值得说明的是,在数据服务器接收访问请求之前,管理员需要通过Web界面访问权限管理服务器,并在权限管理服务器中对每个数据服务器的访问权限策略进行配置,即需要配置哪些用户可以有权限访问该数据服务器中的数据,其中,管理员可以在所述权限管理服务其中对同一个数据中心的数据服务器的用户进行权限策略的配置,也可以对不同数据中心的数据服务器的用户的进行权限策略的配置。可选的,可以利用用户的标识来进行权限配置,由于用户标识可以唯一标识用户身份,因此当权限策略获取请求中携带该用户标识时,则说明该权限策略获取请求所对应的访问请求具有访问权限。
进一步的,权限管理服务器接收管理员通过Web界面配置的每个数据服务器的访问权限策略,并将接收到的访问权限策略等鉴权信息通过分布式存储系统提供的写入接口写入到分布式系统中,分布式存储系统综合考虑数据服务器与分布式存储系统中的存储服务器的亲和性(即存储数据服务器访问权限策略的存储服务器与该数据服务器之间的距离)、以及各个存储服务器之间的容量均衡等其它因素,对写入的数据服务器的访问权限策略进行持久化存储。然后,权限管理服务器对分布式存储系统中存储的访问权限策略进行管理,即可以对分布式存储系统中的访问权限策略进行增加、删除、修改和查询等操作,分布式存储系统可以是HDFS、分布式KV、分布式表格或分布式数据库等存储系统。
S303:数据服务器将权限策略获取请求发送至分布式存储系统中的管理器。
具体地,数据服务器中的插件将携带用户的标识的权限策略获取请求发送至分布式存储系统中的管理器,管理器在接收到该请求之后,利用预设的遍历算法或搜索算法等对每个存储服务器进行排查,确定存储所述用户的标识对应的权限策略的存储服务器,进而找到与该用户的标识对应的访问权限策略。需要说明的是,分布式存储系统是一个整体,其对外提供统一的接口,该接口类似于表述性状态转移(representational statetransfer,REST)接口、应用程序接口(application programming interface,API)等,即插件可以通过分布式存储系统提供的接口访问分布式存储系统中所存储的所有数据。
S304:数据服务器接收存储所述用户的权限策略的存储服务器发送的访问权限策略。
具体地,存储所述用户的权限策略的存储服务器找到与该用户的标识对应的访问权限策略,然后将其直接发送给数据服务器。
S305:数据服务器根据返回的访问权限策略,确定所述访问请求是否具有访问权限。
S306:如果确定所述访问请求具有访问权限,则数据服务器获取所述访问请求所要访问的数据,并返回所获取的数据。
具体地,数据服务器在接收到存储所述用户的权限策略的存储服务器返回的访问权限策略之后,则可以根据返回的访问权限策略判断该用户的访问请求是否具有访问权限,若具有访问权限,则数据服务器根据访问请求获取访问数据。如果在步骤302中判断所述数据访问请求是本数据中心产生的,则直接将所获取的数据返回给用户,如果在步骤302中判断所述数据访问请求是由其他数据中心转发的,则将所获取的数据传输至转发所述访问请求的数据中心。若判断所述访问请求不具有访问权限,则数据服务器不会获取所述访问请求所访问的数据,并提示用户不具备访问权限,需要获得授权之后才可以进行正常访问。
可选的,数据服务器在接收到存储服务器发送的访问权限策略之后,可以将该访问权限策略暂时缓存在本地,设置缓存期限,例如可以设置为缓存一周,这样,当该用户再次请求访问数据服务器中的数据时,就可以利用缓存中的访问权限策略对该用户进行鉴权,不需要再访问分布式存储系统,提高了鉴权效率。
此外,需要说明的是,若在步骤S301中数据查询引擎接收到的访问请求所请求访问的数据不是本地数据中心内的数据,那么数据查询引擎会将接收到的访问请求转发至访问请求所访问的数据所在的数据中心内的数据查询引擎,并由该数据查询引擎将访问请求发送至相应的数据服务器。那么该数据服务器执行步骤S302所描述的操作,即根据访问请求产生权限策略获取请求,然后将权限策略获取请求发送至分布式存储系统中的管理器,管理器找到存储所述用户的权限策略的存储服务器,并由该存储服务器将存储的所述用户的权限策略发送至数据服务器,数据服务器根据接收到的访问权限策略,确定访问请求是否具有访问权限,若具有访问权限,则数据服务器将所请求的数据通过数据查询引擎返回给转发所述访问请求的数据查询引擎,进而发送给用户。
参见图4,图4为本申请实施例提供的又一种鉴权方法的流程示意图。需要说明的是,在本实施例中,各个数据中心已经部署了本地权限管理系统,若用户发送的访问请求所请求访问的数据是本地数据中心内的数据,则通过本地权限管理系统进行鉴权,若访问请求所请求访问的数据不是本地数据中心内的数据,则需要利用分布式存储系统以完成鉴权。当然,所有跨数据中心的访问权限策略需要管理员提前通过中心权限管理服务器进行配置,并将其写入分布式存储系统中。
此外,各个数据中心部署的权限管理系统可以是如上述图1所示的方式进行创建得到,即属于同一个数据中心的各个数据服务器需要提前从本地权限管理服务器中获取该数据服务器相关的访问权限策略并保存在本地存储中;也可以是如上述图2所示的方式进行创建得到,即属于同一个数据中心的所有数据服务器与本地权限管理服务器共用同一个本地分布式存储系统,该本地分布式存储系统内存储了该数据中心内的所有数据服务器的访问权限策略,当数据服务器接收到针对本数据中心内的数据访问请求时,直接实时的通过访问本地分布式存储系统以完成鉴权。
如图4所示,该方法包括但不限于以下步骤:
S401:第一数据查询引擎接收用户发送的访问请求。
具体地,第一数据查询引擎为第一数据中心内的数据查询引擎,用于管理第一数据中心内的各个数据服务器的数据,提供数据访问服务。访问请求中携带数据中心的标识和访问路径。
S402:第一数据查询引擎判断访问请求中所携带的数据中心的标识是否为第一数据中心的标识,若是,则执行步骤S403;若不是,则执行步骤S406。
S403:第一数据查询引擎根据所述访问路径将该访问请求转发至第一数据中心内相应的数据服务器。
S404:数据服务器接收访问请求,并获取到访问权限策略。
具体地,数据服务器中的插件接收第一数据查询引擎转发的访问请求。此外,若第一数据中心部署的权限管理系统是如上述图1所示的方式进行创建得到,则数据服务器本地则已经存储了该数据服务器相关的所有访问权限策略,若第一数据中心部署的权限管理系统是如上述图2所示的方式进行创建得到,那么数据服务器中的插件则需要根据访问请求生成本地权限策略获取请求,并将其发送至本地分布式存储系统,然后接收存储所述用户的权限策略的本地存储服务器发送的所述用户的访问权限策略。
S405:数据服务器确定所述访问请求是否具有访问权限。
具体地,数据服务器中的插件根据获取到的访问权限策略进行判定,若具有访问权限,则返回相应的数据;若不具有访问权限,则不会返回相应的数据。
S406:第一数据查询引擎根据所述数据中心的标识将该访问请求转发至第二数据查询引擎。
具体地,第二数据查询引擎为与所述访问请求中携带的数据中心的标识对应的数据中心内的数据查询引擎,用于管理第二数据中心内的各个数据服务器的数据,提供数据访问服务。
S407:第二数据查询引擎根据所述访问路径将该访问请求转发至第二数据中心内相应的数据服务器。
S408:第二数据中心内的数据服务器根据该访问请求,产生权限策略获取请求。
具体地,第二数据中心内的数据服务器中的插件接收到访问请求之后,生成权限策略获取请求,该权限策略获取请求中携带用户的标识。
S409:该数据服务器将权限策略获取请求发送至分布式存储系统。
具体地,该数据服务器中的插件将携带用户的标识的权限策略获取请求发送至分布式存储系统中的管理器,管理器利用遍历算法或搜索算法等找到存储所述用户的标识对应的权限策略的存储服务器。
S410:该数据服务器接收存储所述用户的权限策略的存储服务器发送的访问权限策略。
S411:该数据服务器根据接收到的访问权限策略,确定所述访问请求是否具有访问权限,若具有访问权限,则执行S412;否则,执行S414。
具体地,该数据服务器中的插件接收到存储所述用户的权限策略的存储服务器返回的访问权限策略之后,判定该访问请求是否具有访问权限。
S412:该数据服务器将访问请求所请求访问的数据通过第二数据查询引擎发送给第一数据查询引擎。
S413:第一数据查询引擎将该访问请求所请求访问的数据发送给用户。
S414:该数据服务器将该用户不具有访问权限的消息通过第二数据查询引擎发送给第一数据查询引擎,并由第一数据查询引擎转发给用户。
容易理解,当各个数据中心已经部署了自己的权限管理系统的情况下,可以利用新增加的中心权限管理服务器和中心分布式存储系统来管理和存储跨数据中心的访问权限策略,实现对跨数据中心的访问权限策略的统一管理,而各个数据中心内的原来的权限管理系统可以保留,不会对原有的数据中心内的用户请求的鉴权方式产生影响,有效提高了整个系统的兼容性和安全性。
示例性的,如图5所示,各个数据中心内存在多个数据服务器,且每个数据中心内已经部署了权限管理服务器,该权限管理服务器负责维护和管理该数据中心内的各个数据服务器的访问权限策略,例如数据中心530内部署了权限管理服务器5310和数据查询引擎5320,权限管理服务器5310负责维护和管理数据服务器5330、数据服务器5340和数据服务器5350的访问权限策略,数据查询引擎5320用于管理数据服务器5330、数据服务器5340和数据服务器5350的数据,提供数据访问服务。每个数据服务器中存在一个插件,可以访问权限管理服务器5310所负责管理的访问权限策略。数据中心540和数据中心550的结构与数据中心530类似,在各个数据中心之上部署了分布式存储系统520和中心权限管理服务器510,管理员可以通过中心权限管理服务器510提供的Web浏览器设置跨数据中心的访问权限策略,中心权限管理服务器510负责维护和管理分布式存储系统520存储的跨数据中心的访问权限策略,各个数据服务器中的插件可以直接访问分布式存储系统520并获取分布式存储系统520中所存储的跨数据中心的访问权限策略。
例如,数据中心530存储的是社保局的相关数据,数据中心540存储的是警察局的相关数据,数据服务器5330存储人事部的相关数据,数据服务器5340存储财务部的相关数据,权限管理服务器5310维护和管理的策略为:财务表-读权限,授权给用户1;人事表-读权限,授权给用户1;数据服务器5430存储治安管理部的相关数据,数据服务器5440存储户政部相关数据,权限管理服务器5410维护和管理的策略为:犯人表-读权限,授权给用户2;户政表-读权限,授权给用户2。若用户1需要获取社保局的财务数据,则用户1向数据查询引擎5320发送访问请求,数据查询引擎5320在接收到该访问请求之后,判断出该访问请求所请求访问的数据是本数据中心(即社保局)内的数据,因此,数据查询引擎5320将该访问请求发送至数据服务器5340,数据服务器5340通过权限管理服务器5310所维护和管理的策略完成对用户1的鉴权,由于用户1是已经获得了授权,所以可以鉴权通过,数据服务器5340通过数据查询引擎5320将财务数据发送给用户1。同理,若用户1还需要获取社保局的人事数据,则用户1在向数据查询引擎5320发送访问请求之后,数据查询引擎5320判断出该访问请求所请求访问的数据仍是本数据中心内的数据,数据查询引擎5320将该访问请求发送至数据服务器5330,数据服务器5330通过权限管理服务器5310所维护和管理的策略可以完成对用户1的鉴权。类似的,用户2需要获取警察局的治安管理数据,则用户2向数据查询引擎5420发送访问请求,数据查询引擎5420在接收到该访问请求之后,判断出该访问请求所请求访问的数据是本数据中心(即警察局)内的数据,因此,数据查询引擎5420将该访问请求发送至数据服务器5430,数据服务器5430通过权限管理服务器5410所维护和管理的策略完成对用户2的鉴权,由于用户2是已经获得了授权,所以可以鉴权通过,数据服务器5430通过数据查询引擎5420将财务数据发送给用户2。
若用户1需要获取警察局的户政数据,则首先需要管理员通过中心权限管理服务器510定义新的策略:户政表-读权限,授权给用户1,并将其存储在分布式存储系统520中,用户1在向数据查询引擎5320发送访问请求之后,数据查询引擎5320判断出该访问请求所请求访问的数据不是本数据中心内的数据,而是其它数据中心(即警察局)内的数据,因此,数据查询引擎5320将该访问请求转发至数据查询引擎5420,数据查询引擎5420将接收到的访问请求发送至数据服务器5440,数据服务器5440根据接收到的访问请求,生成权限策略获取请求,并将其发送至分布式存储系统520,分布式存储系统520中存储所述用户的权限策略的存储服务器将所述用户的访问权限策略发送给数据服务器5440,数据服务器5440根据接收到访问权限策略完成对用户1的鉴权,由于用户1是提前已经获得了授权,所以可以鉴权通过,数据服务器5440通过数据查询引擎5420将用户请求访问的户政数据发送给数据查询引擎5320,数据查询引擎5320将接收到的户政数据返回给用户1。
需要说明的是,图4所示的方法实施例与图3所示的方法实施例基于同一思想,在具体实现过程中可以相互参照,为了简洁,在此不再赘述。
上述详细阐述了本申请实施例的方法,为了便于更好的实施本申请实施例的上述方案,相应地,下面还提供用于配合实施上述方案的相关设备。
参见图6,图6是本申请实施例提供的一种计算设备的结构示意图。如图6所示,该计算设备600包括接收单元610、处理单元620和发送单元630。其中,
接收单元610,用于接收访问请求,所述访问请求中携带用户的标识,用于请求访问业务数据。
具体地,所述接收单元610用于执行前述步骤S301和S304,且可选的执行前述步骤中可选的方法。
处理单元620,用于产生权限策略获取请求,所述权限策略获取请求中携带所述用户的标识。
具体地,所述处理单元620用于执行前述步骤S302和S305,且可选的执行前述步骤中可选的方法。
发送单元630,用于将所述权限策略获取请求发送至分布式系统,所述权限策略获取请求用于指示所述分布式存储系统根据所述用户的标识确定在所述分布式存储系统中存储所述用户的权限策略存储设备。
具体地,所述发送单元630用于执行前述步骤S303和S306,且可选的执行前述步骤中可选的方法。
所述接收单元610,还用于接收存储所述用户的权限策略的存储设备发送的所述用户的权限策略。
所述处理单元620,还用于根据所述用户的权限策略确定所述访问请求是否有访问所述业务数据的权限。
在一种可能的实现方式中,所述处理单元620,还用于在根据所述用户的权限策略确定所述访问请求有访问所述业务数据的权限时,获取所述业务数据;所述发送单元630,还用于当所述访问请求是其他数据中心发送的访问请求时,将所获取的所述业务数据发送至发送所述访问请求的数据中心。
应理解,上述计算设备的结构仅仅作为一种示例,不应构成具体的限定,可以根据需要对计算设备的各个单元进行增加、减少或合并。此外,计算设备中的各个单元的操作和/或功能分别为了实现上述图3和图4所描述的方法的相应流程,为了简洁,在此不再赘述。
参见图7,图7是本申请实施例提供的又一种计算设备的结构示意图。如图7所示,该计算设备700包括接收单元710、处理单元720和设置单元730。其中,
接收单元710,用于接收数据服务器发送的权限策略获取请求,所述权限策略获取请求中携带用户的标识。
具体地,所述接收单元710用于执行前述步骤S303,且可选的执行前述步骤中可选的方法。
处理单元720,用于根据所述用户的标识在分布式存储系统中确定存储所述用户的权限策略存储设备,以使得所述权限策略存储设备发送所述用户的权限策略至所述数据服务器。
具体地,所述处理单元720用于执行前述步骤S302和S304,且可选的执行前述步骤中可选的方法。
在一种可能的实现方式中,所述设置单元730,用于设置所述用户的权限策略;所述处理单元720,还用于根据分布式算法将所述用户权限策略存储至所述存储设备。
具体地,所述设置单元730用于执行前述步骤S302,且可选的执行前述步骤中可选的方法。
应理解,上述计算设备的结构仅仅作为一种示例,不应构成具体的限定,可以根据需要对计算设备的各个单元进行增加、减少或合并。此外,计算设备中的各个单元的操作和/或功能分别为了实现上述图3和图4所描述的方法的相应流程,为了简洁,在此不再赘述。
参见图8,图8为本申请实施例提供的一种计算设备的结构示意图。如图8所示,该计算设备800包括:处理器810、通信接口820以及存储器830,所述处理器810、通信接口820以及存储器830通过内部总线840相互连接。应理解,该计算设备可以是数据库服务器。
所述计算设备800可以是图2和图5中的数据服务器。图2和图5中的数据服务器所执行的功能实际上是由所述数据服务器的处理器810来执行。
所述处理器810可以由一个或者多个通用处理器构成,例如中央处理器(centralprocessing unit,CPU),或者CPU和硬件芯片的组合。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC)、可编程逻辑器件(programmablelogic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complexprogrammable logic device,CPLD)、现场可编程逻辑门阵列(field-programmable gatearray,FPGA)、通用阵列逻辑(generic array logic,GAL)或其任意组合。
总线840可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线840可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但不表示仅有一根总线或一种类型的总线。
存储器830可以包括易失性存储器(volatile memory),例如随机存取存储器(random access memory,RAM);存储器830也可以包括非易失性存储器(non-volatilememory),例如只读存储器(read-only memory,ROM)、快闪存储器(flash memory)、硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器830还可以包括上述种类的组合。程序代码可以是用来实现计算设备600所示的的功能单元,或者用于实现图3和图4所示的方法实施例中以数据服务器为执行主体的方法步骤。
参见图9,图9为本申请实施例提供的又一种计算设备的结构示意图。如图9所示,该计算设备900包括:处理器910、通信接口920以及存储器930,所述处理器910、通信接口920以及存储器930通过内部总线940相互连接。应理解,该计算设备可以是存储管理服务器。
所述计算设备900可以是图2和图5中的权限管理服务器。图2和图5中的权限管理服务器所执行的功能实际上是由所述权限管理服务器的处理器910来执行。
所述处理器910可以由一个或者多个通用处理器构成,例如CPU,或者CPU和硬件芯片的组合。上述硬件芯片可以是ASIC、PLD或其组合。上述PLD可以是CPLD、FPGA、GAL或其任意组合。
总线940可以是PCI总线或EISA总线等。所述总线940可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但不表示仅有一根总线或一种类型的总线。
存储器930可以包括易失性存储器,例如RAM;存储器930也可以包括非易失性存储器,例如ROM、快闪存储器、HDD或SSD;存储器930还可以包括上述种类的组合。程序代码可以是用来实现计算设备700所示的的功能单元,或者用于实现图3和图4所示的方法实施例中以权限管理服务器为执行主体的方法步骤。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,可以实现上述方法实施例中记载的任意一种的部分或全部步骤,以及实现上述图6所描述的任意一个功能单元的功能。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,可以实现上述方法实施例中记载的任意一种的部分或全部步骤,以及实现上述图7所描述的任意一个功能单元的功能。
本申请实施例还提供了一种计算机程序产品,当其在计算机或处理器上运行时,使得计算机或处理器执行上述任一个方法中的一个或多个步骤。上述所涉及的设备的各组成单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在所述计算机可读取存储介质中。
在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
还应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (16)
1.一种鉴权方法,其特征在于,所述方法包括:
数据服务器接收访问请求,所述访问请求中携带用户的标识,用于请求访问业务数据,所述数据服务器用于存储所述业务数据;
所述数据服务器产生权限策略获取请求,所述权限策略获取请求中携带所述用户的标识;
将所述权限策略获取请求发送至分布式存储系统,所述权限策略获取请求用于指示所述分布式存储系统根据所述用户的标识确定在所述分布式存储系统中存储所述用户的权限策略的存储设备;
接收存储所述用户的权限策略的存储设备发送的所述用户的权限策略;
根据所述用户的权限策略确定所述访问请求是否有访问所述业务数据的权限。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
在根据所述用户的权限策略确定所述访问请求有访问所述业务数据的权限时,获取所述业务数据;
当确定所述访问请求是其他数据中心发送的访问请求时,将所获取的所述业务数据发送至发送所述访问请求的数据中心。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到所述访问请求后,所述数据服务器判断所述访问请求是否为其他数据中心传输的访问请求;
当所述访问请求为其他数据中心传输的访问请求时,则产生所述权限策略获取请求。
4.一种鉴权方法,其特征在于,所述方法包括:
分布式存储系统中的管理器接收数据服务器发送的权限策略获取请求,所述权限策略获取请求中携带用户的标识;
根据所述用户的标识在所述分布式存储系统中确定存储所述用户的权限策略的存储设备;
存储所述用户的权限策略的存储设备发送所述用户的权限策略至所述数据服务器。
5.如权利要求4所述的鉴权方法,其特征在于,所述方法还包括:
所述分布式存储系统中的管理器设置所述用户的权限策略;
根据分布式算法将所述用户的权限策略存储至所述存储设备。
6.一种鉴权系统,其特征在于,包括:数据服务器和分布式存储系统,所述数据服务器用于存储业务数据,所述分布式存储系统用于存储用户的权限策略,其中,
所述数据服务器接收访问请求,所述访问请求中携带用户的标识,用于请求访问业务数据;
所述数据服务器产生权限策略获取请求,所述权限策略获取请求中携带所述用户的标识;
所述数据服务器将所述权限策略获取请求发送至所述分布式存储系统中的管理器,所述管理器根据所述用户的标识在所述分布式存储系统中确定存储所述用户的权限策略存储设备;
所述权限策略存储设备发送所述用户的权限策略至所述数据服务器;
所述数据服务器根据所述用户的权限策略确定所述访问请求是否有访问所述业务数据的权限。
7.如权利要求6所述的鉴权系统,其特征在于,
所述分布式系统中的管理器设置所述用户的权限策略;
所述分布式系统中的管理器将所述用户的权限策略存储至所述权限策略存储设备。
8.如权利要求6或7所述的鉴权系统,其特征在于,
所述数据服务器根据所述用户的权限策略确定所述访问请求有访问所述业务数据的权限时,获取所述业务数据;
当确定所述访问请求是其他数据中心发送的访问请求时,将所获取的所述业务数据发送至发送所述访问请求的数据中心。
9.如权利要求6或7所述的鉴权系统,其特征在于,
所述数据服务器在接收到所述访问请求之后,所述数据服务器判断所述访问请求是否为其他数据中心传输的访问请求;
当所述访问请求为其他数据中心传输的访问请求时,则产生所述权限策略获取请求。
10.一种计算设备,其特征在于,包括:
接收单元,用于接收访问请求,所述访问请求中携带用户的标识,用于请求访问业务数据;
处理单元,用于产生权限策略获取请求,所述权限策略获取请求中携带所述用户的标识;
发送单元,用于将所述权限策略获取请求发送至分布式系统,所述权限策略获取请求用于指示所述分布式存储系统根据所述用户的标识确定在所述分布式存储系统中存储所述用户的权限策略存储设备;
所述接收单元,还用于接收存储所述用户的权限策略的存储设备发送的所述用户的权限策略;
所述处理单元,还用于根据所述用户的权限策略确定所述访问请求是否有访问所述业务数据的权限。
11.如权利要求10所述的计算设备,其特征在于,
所述处理单元,还用于在根据所述用户的权限策略确定所述访问请求有访问所述业务数据的权限时,获取所述业务数据;
所述发送单元,还用于当所述访问请求是其他数据中心发送的访问请求时,将所获取的所述业务数据发送至发送所述访问请求的数据中心。
12.如权利要求10所述的计算设备,其特征在于,
在所述接收单元接收到所述访问请求后,所述处理单元判断所述访问请求是否为其他数据中心传输的访问请求;
当所述访问请求为其他数据中心传输的访问请求时,所述处理单元则产生所述权限策略获取请求。
13.一种计算设备,其特征在于,包括:
接收单元,用于接收数据服务器发送的权限策略获取请求,所述权限策略获取请求中携带用户的标识;
处理单元,用于根据所述用户的标识在分布式存储系统中确定存储所述用户的权限策略存储设备,以使得所述权限策略存储设备发送所述用户的权限策略至所述数据服务器。
14.如权利要求13所述的计算设备,其特征在于,所述计算设备还包括设置单元,
所述设置单元,用于设置所述用户的权限策略;
所述处理单元,还用于根据分布式算法将所述用户权限策略存储至所述存储设备。
15.一种计算设备,其特征在于,所述计算设备包括存储器和处理器,所述处理器执行所述存储器中存储的计算机指令,使得所述计算设备执行权利要求1-3任一项所述的方法。
16.一种计算设备,其特征在于,所述计算设备包括存储器和处理器,所述处理器执行所述存储器中存储的计算机指令,使得所述计算设备执行权利要求4-5任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911264301.4A CN112948842A (zh) | 2019-12-10 | 2019-12-10 | 一种鉴权方法及相关设备 |
| PCT/CN2020/134335 WO2021115231A1 (zh) | 2019-12-10 | 2020-12-07 | 一种鉴权方法和相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911264301.4A CN112948842A (zh) | 2019-12-10 | 2019-12-10 | 一种鉴权方法及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112948842A true CN112948842A (zh) | 2021-06-11 |
Family
ID=76226478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911264301.4A Pending CN112948842A (zh) | 2019-12-10 | 2019-12-10 | 一种鉴权方法及相关设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112948842A (zh) |
| WO (1) | WO2021115231A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113489689A (zh) * | 2021-06-21 | 2021-10-08 | 北京金山云网络技术有限公司 | 访问请求的鉴权方法及装置、存储介质、电子设备 |
| CN114039792A (zh) * | 2021-11-19 | 2022-02-11 | 度小满科技(北京)有限公司 | 一种数据访问权限控制方法、装置、设备及可读存储介质 |
| WO2023202321A1 (zh) * | 2022-04-22 | 2023-10-26 | 华为技术有限公司 | 一种数据管理的方法、系统及设备 |
| WO2024041334A1 (zh) * | 2022-08-22 | 2024-02-29 | 华为云计算技术有限公司 | 鉴权方法、装置、系统及存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116112550A (zh) * | 2022-12-29 | 2023-05-12 | 上海芯赛云计算科技有限公司 | 数据处理方法及装置、存储介质、电子装置 |
| CN116049860B (zh) * | 2023-03-06 | 2023-06-02 | 深圳前海环融联易信息科技服务有限公司 | 访问控制方法、装置、计算机设备及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457555A (zh) * | 2010-10-28 | 2012-05-16 | 中兴通讯股份有限公司 | 一种分布式存储的安全系统及方法 |
| DE102011077218B4 (de) * | 2011-06-08 | 2023-12-14 | Servicenow, Inc. | Zugriff auf in einer Cloud gespeicherte Daten |
| US10073791B2 (en) * | 2015-03-25 | 2018-09-11 | Vera | Securing files |
| CN106020912A (zh) * | 2016-06-02 | 2016-10-12 | 北京元心科技有限公司 | 基于云的SELinux策略加载方法、装置、终端设备及系统 |
| CN106815099B (zh) * | 2017-01-19 | 2020-09-18 | 腾讯科技(深圳)有限公司 | 鉴权系统和方法 |
| CN107483491A (zh) * | 2017-09-19 | 2017-12-15 | 山东大学 | 一种云环境下分布式存储的访问控制方法 |
-
2019
- 2019-12-10 CN CN201911264301.4A patent/CN112948842A/zh active Pending
-
2020
- 2020-12-07 WO PCT/CN2020/134335 patent/WO2021115231A1/zh active Application Filing
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113489689A (zh) * | 2021-06-21 | 2021-10-08 | 北京金山云网络技术有限公司 | 访问请求的鉴权方法及装置、存储介质、电子设备 |
| CN113489689B (zh) * | 2021-06-21 | 2023-09-19 | 北京金山云网络技术有限公司 | 访问请求的鉴权方法及装置、存储介质、电子设备 |
| CN114039792A (zh) * | 2021-11-19 | 2022-02-11 | 度小满科技(北京)有限公司 | 一种数据访问权限控制方法、装置、设备及可读存储介质 |
| CN114039792B (zh) * | 2021-11-19 | 2023-08-11 | 度小满科技(北京)有限公司 | 一种数据访问权限控制方法、装置、设备及可读存储介质 |
| WO2023202321A1 (zh) * | 2022-04-22 | 2023-10-26 | 华为技术有限公司 | 一种数据管理的方法、系统及设备 |
| WO2024041334A1 (zh) * | 2022-08-22 | 2024-02-29 | 华为云计算技术有限公司 | 鉴权方法、装置、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021115231A1 (zh) | 2021-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11088903B2 (en) | Hybrid cloud network configuration management | |
| CN112948842A (zh) | 一种鉴权方法及相关设备 | |
| EP2585970B1 (en) | Online service access controls using scale out directory features | |
| US9614855B2 (en) | System and method for implementing a secure web application entitlement service | |
| US8549326B2 (en) | Method and system for extending encrypting file system | |
| EP3169039B1 (en) | Method and system for managing security certificates in a networked application environment | |
| US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
| US20190319794A1 (en) | Distributed access control | |
| US11063922B2 (en) | Virtual content repository | |
| US11582232B2 (en) | Authority transfer system, server and method of controlling the server, and storage medium | |
| CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
| US20220368695A1 (en) | Container and resource access restriction | |
| EP3373551B1 (en) | Access control in a computer system | |
| US11647020B2 (en) | Satellite service for machine authentication in hybrid environments | |
| US20220417240A1 (en) | Virtual Machine Provisioning and Directory Service Management | |
| CN117118640A (zh) | 一种数据处理方法、装置、计算机设备以及可读存储介质 | |
| US10789179B1 (en) | Decentralized access management in information processing system utilizing persistent memory | |
| US20240007465A1 (en) | Controlling access to components of a software-defined data center in a hybrid environment | |
| US20220311777A1 (en) | Hardening remote administrator access | |
| US20240095338A1 (en) | Isolated runtime environments for securing secrets used to access remote resources from compute instances | |
| CN114707128A (zh) | 一种数据库访问方法、相关设备、存储介质及程序产品 | |
| CN115150170A (zh) | 安全策略配置方法、装置、电子设备和存储介质 | |
| CN116707883A (zh) | 一种访问控制方法及访问控制系统 | |
| CN117176415A (zh) | 集群访问方法、装置、电子设备及存储介质 | |
| CN114978583A (zh) | 一种工业物联智能虚拟专网系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |