CN113297589B - 设置集群权限的方法、装置及系统 - Google Patents
设置集群权限的方法、装置及系统 Download PDFInfo
- Publication number
- CN113297589B CN113297589B CN202110352368.4A CN202110352368A CN113297589B CN 113297589 B CN113297589 B CN 113297589B CN 202110352368 A CN202110352368 A CN 202110352368A CN 113297589 B CN113297589 B CN 113297589B
- Authority
- CN
- China
- Prior art keywords
- user
- application
- token
- authority
- cluster node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000013475 authorization Methods 0.000 claims abstract description 32
- 230000007246 mechanism Effects 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 11
- 230000027455 binding Effects 0.000 description 4
- 238000009739 binding Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000011217 control strategy Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241001522296 Erithacus rubecula Species 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本说明书实施例提供设置集群权限的方法、装置及系统,其中所述设置集群权限的方法应用于托管侧,所述托管侧上定义了一个或多个应用各自所需权限策略的信息,所述方法包括:在用户授权下,根据托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,将所述权限令牌下发给所述用户集群节点上的应用。
Description
技术领域
本说明书实施例涉及计算机技术领域,特别涉及一种设置集群权限的方法。本说明书一个或者多个实施例同时涉及一种设置集群权限的装置,一种计算设备,一种计算机可读存储介质及设置集群权限的系统。
背景技术
云服务,是一种基于互联网提供安全、可靠的计算和数据处理能力的服务。云服务的租户们可以使用云上资源来实现自己的项目。目前,在各云服务商部署的容器集群中,通过将权限绑定在用户集群节点上,使用户集群节点上的租户和云服务商的系统能够获取云资源信息。
但是,将权限绑定在用户集群节点上的管理方式容易发生越权风险。
发明内容
有鉴于此,本说明书实施例提供了一种设置集群权限的方法。本说明书一个或者多个实施例同时涉及一种设置集群权限的装置,一种计算设备,一种计算机可读存储介质及设置集群权限的系统,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种设置集群权限的方法,应用于托管侧,所述托管侧上定义了一个或多个应用各自所需权限策略的信息,所述方法包括:在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;将所述权限令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述权限令牌访问资源。
可选地,所述权限策略的信息为权限策略对应的角色。所述在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,包括:在用户授权下,根据所述托管侧上定义的一个或多个应用各自所需权限策略对应的角色,针对所述用户在用户集群节点上的应用,基于角色访问控制机制获得对应的角色令牌。所述将权限令牌下发给所述用户集群节点上的应用,包括:将所述角色令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述角色令牌访问资源。
可选地,所述将角色令牌下发给所述用户集群节点上的应用,包括:对所述角色令牌进行加密;将加密后的角色令牌以秘钥凭据的形式下发给所述用户集群节点的应用。
可选地,所述应用包括:系统组件应用和/或用户自定义组件应用。
可选地,所述托管侧上定义了一个或多个应用各自所需权限策略的信息,包括:所述托管侧上设置了自定义资源对象,使所述用户集群节点具有对应的自定义资源实例部署,所述自定义资源实例,用于声明用户集群节点上的一个或多个应用所需权限策略的信息。
可选地,所述方法还包括:响应于监听到所述自定义资源实例中一个或多个应用所需权限策略的信息的更新,根据所述更新,相应向所述用户集群节点中对应的应用下发对应的权限令牌、吊销对应的权限令牌的下发凭证、或更新对应的权限令牌。
可选地,所述方法还包括:接收用户集群节点针对所述应用发出的权限设置请求;根据所述权限设置请求,相应为所述用户集群节点上的应用下发或者吊销权限令牌。
可选地,所述权限设置请求触发所述自定义资源实例中对应应用所需权限策略的信息的更新。
可选地,所述方法还包括:在下发的权限令牌具有对应的有效期的情况下,托管侧根据所述有效期以及应用的需要,对下发的权限令牌进行轮转更新。
根据本说明书实施例的第二方面,提供了一种设置集群权限的装置,配置于托管侧,所述托管侧上定义了一个或多个应用各自所需权限策略的信息,所述装置包括:令牌获取模块,被配置为在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌。令牌下发模块,被配置为将所述权限令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述权限令牌访问资源。
根据本说明书实施例的第三方面,提供了一种设置集群权限的系统,包括:托管侧以及用户集群侧,所述用户集群侧包括若干个用户集群节点,其中,所述用户集群节点上设置了应用。所述托管侧,被配置为在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;将所述权限令牌下发给所述用户集群节点上的应用。所述应用,被配置为获取所述托管侧下发的权限令牌,使用所述权限令牌访问资源。
根据本说明书实施例的第四方面,提供了一种计算设备,包括:存储器和处理器;所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令:在用户授权下,根据托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;所述托管侧上定义了一个或多个应用各自所需权限策略的信息;将所述权限令牌下发给所述用户集群节点上的应用。
根据本说明书实施例的第五方面,提供了一种计算机可读存储介质,其存储有计算机指令,该计算机指令被处理器执行时实现本说明书任意实施例所述设置集群权限的方法的步骤。
本说明书一个实施例提供了设置集群权限的方法,由于托管侧上定义了一个或多个应用各自所需权限策略的信息,无需用户进行复杂的权限部署,只要用户授权,托管侧即可根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,将所述权限令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述权限令牌访问资源,因此,托管侧从应用维度进行权限的拆分定义,根据定义下发权限令牌给用户集群节点的应用,不仅减少了用户操作,而且实现了集群的节点基础服务权限的权限收敛和保护,避免同一节点上的租户共享同一权限产生越权风险。
附图说明
图1是本说明书一个实施例提供的一种设置集群权限的方法的流程图;
图2是本说明书一个实施例提供的设置集群权限的系统部署架构图;
图3是本说明书一个实施例提供的一种设置集群权限的装置的结构示意图;
图4是本说明书另一个实施例提供的一种设置集群权限的装置的结构示意图;
图5是本说明书一个实施例提供的一种设置集群权限的系统的结构示意图;
图6是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
角色访问控制机制,是一种提供身份管理与资源访问权限的机制。例如,角色访问控制机制可以允许创建并管理多个角色并按需分配权限策略,从而实现不同角色拥有不同资源访问权限的目的。
节点基础服务权限:用于云服务商部署的集群节点上的系统组件或用户后续部署的应用容器访问基础服务的资源模型或OpenAPI。
权限收敛:遵循权限最小化原则设置权限策略的权限大小和作用域。
在本说明书中,提供了一种设置集群权限的方法,本说明书同时涉及一种设置集群权限的装置,一种计算设备,一种计算机可读存储介质以及一种集群系统,在下面的实施例中逐一进行详细说明。
图1示出了根据本说明书一个实施例提供的一种设置集群权限的方法的流程图。所述方法应用于托管侧,所述托管侧上定义了一个或多个应用各自所需权限策略的信息。所述方法包括步骤102至步骤104。
步骤102:在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌。
步骤104:将所述权限令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述权限令牌访问资源。
可见,由于托管侧上定义了一个或多个应用各自所需权限策略的信息,无需用户进行复杂的权限部署,只要用户授权,托管侧即可根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,将所述权限令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述权限令牌访问资源,因此,托管侧从应用维度进行权限的拆分定义,根据定义下发权限令牌给用户集群节点的应用,不仅减少了用户操作,而且实现了集群的节点基础服务权限的权限收敛和保护,避免同一节点上的租户共享同一权限产生越权风险。另外,由于根据本实施例提供的方法,权限收敛在托管侧,无需在用户集群节点中部署多余的权限管理工具,对用户集群节点的容器无需侵入式修改,也无需在客户集群引入额外组件,用户无需负责权限管理工具的稳定性和大规模弹性场景下的可用性,因此,用户没有额外的运维负担。
例如,根据上述实施例提供的方法,可以在用户侧提供一键授权的功能选项,用户无需了解应用的工作细节,也无需自定义多个基础服务角色和绑定,也无需修改组件部署模板,只需要完成一键授权即可由托管侧进行基础服务权限的托管和相应凭证的下发,吊销等操作。由于用户无需进行复杂的模板配置和应用的权限部署,只需要调用统一的权限设置的接口一键授权即可完成权限设置,易用性和安全性更强。另外,对于用户集群节点来说,由于基础服务的系统组件的权限可以由托管侧托管统一管理,用户集群节点可以默认无任何权限,均可以由托管侧管理。当然,根据场景需要,用户集群节点可以保留例如删除秘钥凭据的能力。例如,在Kubernetes集群中,用户可以删除用户节点上的secret以直接按需吊销权限。
需要说明的是,本说明书实施例提供的方法对于权限策略的信息以及权限下发的具体实现方式,并不进行限制。例如,根据角色访问控制机制,可以在托管侧上定义一个或多个应用各自所需权限策略对应的角色,通过下发角色令牌的方式下发权限。具体地,例如,所述权限策略的信息为权限策略对应的角色。所述在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,包括:在用户授权下,根据所述托管侧上定义的一个或多个应用各自所需权限策略对应的角色,针对所述用户在用户集群节点上的应用,基于角色访问控制机制获得对应的角色令牌。所述将权限令牌下发给所述用户集群节点上的应用,包括:将所述角色令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述角色令牌访问资源。
为了更进一步保证下发角色令牌的安全,本说明书一个或多个实施例中,所述将角色令牌下发给所述用户集群节点上的应用,包括:对所述角色令牌进行加密;将加密后的角色令牌以秘钥凭据的形式下发给所述用户集群节点的应用。在该实施例中,托管侧下发的角色令牌经过加密,配合集群的秘钥凭据这一访问控制策略保护下发凭证的安全性。其中,秘钥凭据,用于保存扮演应用所需权限策略的角色令牌。其中对角色令牌加密可以采用AES(Advanced Encryption Standard,高级加密标准)加密方式。
根据上述实施例,集群节点的权限收敛到托管侧统一管理,并且以应用维度进行权限的拆分定义。每一个应用可以对应一个或多个secret(秘钥凭据)来下发权限。例如系统应用、用户选装的自定义应用等都可以由托管侧负责对应角色令牌的下发、更新轮转和吊销。所有下发到用户集群节点的角色令牌都经过托管侧内部加密处理,并且由托管侧负责定义轮转更新或吊销。可见,通过集群节点上的应用所需权限被托管侧收敛,以应用维度细粒度拆分了节点基础服务访问权限以及可选自定义应用,支持细粒度的应用的权限下发,增强了对节点权限管理的安全性,配合角色访问控制策略可以实现多租场景下的基础服务权限隔离,降低了权限泄露的风险,从而达到了安全上的增强。
需要说明的是,本说明书实施例提供的方法对于所述应用的具体形式并不进行限制。例如,所述应用可以包括:系统组件应用和/或用户自定义组件应用。可见,该实施例由使集群节点默认的系统组件应用的基础服务权限和后续可能添加到节点的用户自定义组件应用的可选组件权限均被收敛到托管侧,在多租场景下很好的提升了用户账号下云资源安全性。
为了托管侧的安全性和易用性,本说明书一个或多个实施例中,所述托管侧上定义了一个或多个应用各自所需权限策略的信息,包括:所述托管侧上设置了自定义资源对象,使所述用户集群节点具有对应的自定义资源实例部署,所述自定义资源实例,用于声明用户集群节点上的一个或多个应用所需权限策略的信息。在该实施例中,通过集群节点的自定义资源实例声明的方式对应用所需权限策略的信息进行定义,实现了声明式的管理,用户在使用上只需要一键授权,避免了大量的权限定义和管理工作,使托管侧的安全性和易用性都得以增强。
可以理解的是,由于实现了声明式的管理,在实例中的应用对应的权限策略的信息更新时(例如,托管侧根据系统需要更新权限或者按用户需要更新权限等场景),托管侧可以响应于该更新,自动对权限进行下发、更新或吊销,进一步增强托管侧的安全性和易用性。具体地,例如,所述方法还可以包括,响应于监听到所述自定义资源实例中一个或多个应用所需权限策略的信息的更新,根据所述更新,相应向所述用户集群节点中对应的应用下发对应的权限令牌、吊销对应的权限令牌的下发凭证、或更新对应的权限令牌。
另外,为了便于用户下发自定义应用的权限,本说明书一个或多个实施例中,还可以包括:接收用户集群节点针对所述应用发出的权限设置请求;根据所述权限设置请求,相应为所述用户集群节点上的应用下发或者吊销权限。例如,可以接收用户集群节点针对所述应用发出的权限吊销请求;根据所述权限吊销请求,吊销所述权限的下发凭证,再例如,可以接收用户集群节点发出的权限下发请求,确定所述权限下发请求针对的应用所需的权限策略的信息,根据确定的权限策略的信息,下发对应权限给所述用户集群节点上的应用。下发凭证,是一种数字资料,其中的内容可以包括赋与凭证所有者权限的权限策略的信息。例如,在应用于Kubernetes集群的应用场景下,下发凭证可以以秘钥凭据secret的形式实现。
结合监听自定义资源实例更新的实施方式,所述权限设置请求可以相应触发所述自定义资源实例中对应应用所需权限策略的信息的更新。所述根据权限设置请求,相应为所述用户集群节点上的应用下发或者吊销权限令牌的步骤,具体可以通过托管侧监听自定义资源实例的更新来实现。由于权限设置请求可以作用到自定义资源实例中配置的权限的更新,托管侧可以监听到该更新并发起调协下发新凭证或吊销凭证。例如,当用户自定义的组件不需要权限时,用户集群节点发出的针对该组件发出的权限吊销请求,可以触发对应CR实例的更新,使托管侧监听到该更新,进而取消该组件的凭证secret的下发。
考虑到某些场景下,应用的权限令牌可能存在有效期的要求,因此,本说明书一个或多个实施例中,所述方法还包括:在下发的权限令牌具有对应的有效期的情况下,托管侧根据所述有效期以及应用的需要,对下发的权限令牌进行轮转更新或吊销。通过该实施例,使得托管侧对用户集群节点中的应用的权限管理更加贴合场景需要。
下述结合附图2,以本说明书提供的设置集群权限的方法结合Kubernetes的托管组件(operator组件)对用户集群节点上的组件基于角色访问控制机制进行权限设置的具体实现为例,对所述设置集群权限的方法进行进一步说明。托管组件,是Kubernetes的扩展软件,它可以利用定制资源管理应用及其组件。图2示出了本说明书一个实施例提供的设置集群权限的系统部署架构图。在该设置集群权限的系统中,托管侧可以是云服务商托管的Kubernetes托管侧节点,即如图2所示的托管VPC(Virtual Private Cloud,虚拟私有云),用户集群节点即如图2所示的用户VPC。
如图2所示,托管侧的operator组件“addon-token-operator”从集群节点上必须安装的系统组件出发以组件维度做权限的拆分,每一个组件对应一个或多个系统角色,从而便于管理各系统组件所需的权限列表,做到细粒度的收敛,另一个目的是缩小权限泄露后的攻击面。在权限拆分的基础上,可以在托管侧集群中定义用于声明用户集群节点所需基础服务范围的K8s CRD(即自定义资源对象),使每个用户集群节点都可以有一个与之对应的CR实例部署。如图2所示,CR实例中包括对角色配置“addon-token”的声明。“addon-token-operator”可以利用元集群托管组件来感应集群创建,依据CR实例中声明的角色配置,相应向用户集群节点的应用下发角色令牌。
另外,用户还可以通过可选组件权限管理,自定义授权托管侧下发可选组件的角色权限或取消指定角色对应的权限。在某些应用场景下,也可以按需向用户展示托管侧定义的必装系统组件对应的角色,以便用户对必装系统组件对应的角色进行个性化调整。
“addon-token-operator”可以监听每个用户集群节点CR实例的更新,当CR实例中发生角色配置的变更时,“addon-token-operator”可以根据新的权限配置自动重新调协,调协过程中“addon-token-operator”可以重新扮演CR实例中声明的新角色,成功扮演获取的角色令牌可以以K8s secret即秘钥凭据的形式下发到用户集群中。
“addon-token-operator”在下发角色令牌之前,可以对角色令牌以AES方式加密。另外,还可以基于访问控制策略保护下发凭证的安全性,具体地,例如,可以结合用户集群托管主节点的原生组件“control-plane”创建秘钥凭据,用户集群secret,用来保存加密后的角色令牌。
基于应用场景的需要,下发的角色令牌可以具有有效期,例如,三个小时的有效期。“addon-token-operator”可以负责维护角色令牌的自动轮转和新凭证的再下发。
另外,当托管侧接收到用户的选装组件请求时,请求同样可以作用到CR实例进行权限的更新,“addon-token-operator”同样会监听该请求并发起调协完成新凭证的下发。当自选组件不需要权限时,通过集群绑定CR实例的修改同样可以由“addon-token-operator”吊销secret的下发。
下面,对“addon-token-operator”角色令牌的下发、轮转更新、吊销的过程进行示例性说明。
下发:例如,用户创建集群可能会部署如图2中用户VPC侧的一系列组件“存储组件”、“网络组件”、“日志组件”、“监控组件”等。这些组件需要访问云上自身账号下面的资源,因此,需要相应的权限。“addon-token-operator”响应于集群创建,根据声明的权限配置确定这些组件所需权限策略对应的角色,调用角色访问控制服务,获得角色令牌。“addon-token-operator”对角色令牌通过AES加密后以secret的形式,下发给用户集群节点上的这些组件。这些组件运行时,可以从下发的secret里得到角色令牌。其中,解密角色令牌的秘钥可以同时被下发在secret里,组件根据一定的算法来进行解密,解密后即可使用角色令牌去访问云上资源。
轮转更新:例如,“addon-token-operator”内可以设置有secret管理工具,该secret管理工具可以用于维护用户集群节点的secret及对应的有效期。在有效期过期之前,“addon-token-operator”会重新调用角色访问控制机制获得具有新的有效期的角色令牌。其中,该有效期可以是“addon-token-operator”根据场景需要设置具体有效期长度的。例如,“addon-token-operator”可以通过向角色访问控制机制传入有效期参数来使角色访问控制机制返回具有相应有效期的角色令牌。“addon-token-operator”更新用户VPC下的secret,使其保存具有新的有效期的角色令牌。
吊销:例如,“addon-token-operator”可以直接触发用户集群节点删除相应的secret即可达到吊销权限的目的。
通过上述实施例可见,在各云服务商部署的Kubernetes集群中,托管侧从应用维度进行权限的拆分定义,根据定义下发权限给用户集群节点的应用,从而云服务商自身部署在集群节点中的系统组件等应用能够正常获取到指定用户账号下的云资源信息,不必给集群节点绑定权限过大的基础服务权限,减少安全风险。而且各租户在通过Kubernetes集群部署自己的项目应用时,无需自己给节点绑定复杂的自定义权限,使用托管侧为应用下发的权限访问资源即可满足项目应用对基础服务云资源的访问权限要求,不仅减少用户操作,而且节点上部署的应用不存在通过其他租户给节点绑定的自定义权限跨租户访问的越权风险,保证租户管理的云资源的安全。因此,本说明书实施例提供的方法能够充分保证Kubernetes集群节点资源访问权限的收敛和保护。
与上述方法实施例相对应,本说明书还提供了设置集群权限的装置实施例,图3示出了本说明书一个实施例提供的一种设置集群权限的装置的结构示意图。所述装置可以配置于托管侧,所述托管侧上定义了一个或多个应用各自所需权限策略的信息。如图3所示,该装置包括:令牌获取模块302及令牌下发模块304。
该令牌获取模块302,被配置为在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;
该令牌下发模块304,被配置为将所述权限令牌下发给所述用户集群节点上的应用。
由于托管侧上定义了一个或多个应用各自所需权限策略的信息,无需用户进行复杂的权限部署,只要用户授权,托管侧即可根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,将所述权限令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述权限令牌访问资源,因此,托管侧从应用维度进行权限的拆分定义,根据定义下发权限令牌给用户集群节点的应用,不仅减少了用户操作,而且实现了集群的节点基础服务权限的权限收敛和保护,避免同一节点上的租户共享同一权限产生越权风险。
图4示出了本说明书另一个实施例提供的一种设置集群权限的装置的结构示意图。在该实施例中,所述权限策略的信息为权限策略对应的角色。所述令牌获取模块302,可以被配置为在用户授权下,根据所述托管侧上定义的一个或多个应用各自所需权限策略对应的角色,针对所述用户在用户集群节点上的应用,基于角色访问控制机制获得对应的角色令牌。所述令牌下发模块304,可以被配置为将所述角色令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述角色令牌访问资源。
为了更进一步保证下发角色令牌的安全,本说明书一个或多个实施例中,所述令牌下发模块304,包括:令牌加密子模块3042及凭据下发子模块3044。
该令牌加密子模块3042,可以被配置为对所述角色令牌进行加密。
该凭据下发子模块3044,可以被配置为将加密后的角色令牌以秘钥凭据的形式下发给所述用户集群节点的应用。
本说明书实施例通过集群节点上的应用所需权限被托管侧收敛,以应用维度细粒度拆分了节点基础服务访问权限以及可选自定义应用,支持细粒度的应用的权限下发,增强了对节点权限管理的安全性,配合角色访问控制策略可以实现多租场景下的基础服务权限隔离,降低了权限泄露的风险,从而达到了安全上的增强。
需要说明的是,本说明书实施例提供的方法对于所述应用的具体形式并不进行限制。例如,所述应用可以包括:系统组件应用和/或用户自定义组件应用。为了托管侧的安全性和易用性,本说明书一个或多个实施例中,所述托管侧上设置了自定义资源对象,使所述用户集群节点具有对应的自定义资源实例部署,所述自定义资源实例,用于声明用户集群节点上的一个或多个应用所需权限策略的信息。相应地,该装置的令牌下发模块304还可以被配置为响应于监听到所述自定义资源实例中一个或多个应用所需权限策略的信息的更新,根据所述更新,相应向所述用户集群节点中对应的应用下发对应的权限令牌、吊销对应的权限令牌的下发凭证、或更新对应的权限令牌。
另外,为了便于用户下发自定义应用的权限,本说明书一个或多个实施例中,该装置还可以包括:请求接收模块306,可以被配置为接收用户集群节点针对所述应用发出的权限设置请求。所述令牌下发模块304还可以被配置为根据所述权限设置请求,相应为所述用户集群节点上的应用下发或者吊销权限令牌。
结合监听自定义资源实例更新的实施方式,所述权限设置请求可以触发所述自定义资源实例中对应应用所需权限策略的信息的更新。
考虑到某些场景下,应用的权限令牌可能存在有效期的要求,因此,本说明书一个或多个实施例中,所述令牌下发模块304还可以被配置为在下发的权限令牌具有对应的有效期的情况下,根据所述有效期以及应用的需要,对下发的权限令牌进行轮转更新。
上述为本实施例的一种设置集群权限的装置的示意性方案。需要说明的是,该设置集群权限的装置的技术方案与上述的设置集群权限的方法的技术方案属于同一构思,设置集群权限的装置的技术方案未详细描述的细节内容,均可以参见上述设置集群权限的方法的技术方案的描述。
图5示出了本说明书一个实施例提供的一种设置集群权限的系统的结构示意图。如图5所示,该设置集群权限的系统可以包括:托管侧502以及用户集群侧504,所述用户集群侧504包括若干个用户集群节点506,其中,所述用户集群节点506上设置了应用508。
所述托管侧502,可以被配置为在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点506上的应用508,获取对应权限策略的信息的权限令牌;将所述权限令牌下发给所述用户集群节点506上的应用508。
所述应用508,可以被配置为获取所述托管侧502下发的权限令牌,使用所述权限令牌访问资源。
由于托管侧502上定义了一个或多个应用各自所需权限策略的信息,无需用户进行复杂的权限部署,只要用户授权,托管侧502即可根据所述托管侧上的定义,针对所述用户在用户集群节点506上的应用508,获取对应权限策略的信息,根据获取的权限策略的信息,下发对应权限给所述用户集群节点506上的应用508,使所述用户集群节点506上的应用508使用该权限访问资源,因此,托管侧502从应用维度进行权限的拆分定义,根据定义下发权限给用户集群节点506的应用508,不仅减少了用户操作,而且实现了集群的权限收敛和保护,避免同一节点上的租户共享同一权限产生越权风险。
可以理解的是,所述用户集群节点506可以是用户集群侧504中的任一个或多个用户集群节点,所述应用508可以是用户集群节点506中的任一个或多个应用。
图6示出了根据本说明书一个实施例提供的一种计算设备600的结构框图。该计算设备600的部件包括但不限于存储器610和处理器620。处理器620与存储器610通过总线630相连接,数据库650用于保存数据。
计算设备600还包括接入设备640,接入设备640使得计算设备600能够经由一个或多个网络660通信。这些网络的示例包括公用交换电话网(PSTN)、局域网(LAN)、广域网(WAN)、个域网(PAN)或诸如因特网的通信网络的组合。接入设备640可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC))中的一个或多个,诸如IEEE802.11无线局域网(WLAN)无线接口、全球微波互联接入(Wi-MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC)接口,等等。
在本说明书的一个实施例中,计算设备600的上述部件以及图6中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图6所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备600可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备600还可以是移动式或静止式的服务器。
其中,处理器620用于执行如下计算机可执行指令:
在用户授权下,根据托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;所述托管侧上定义了一个或多个应用各自所需权限策略的信息;
将所述权限令牌下发给所述用户集群节点上的应用。
上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的设置集群权限的方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述设置集群权限的方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机指令,该指令被处理器执行时以用于:
在用户授权下,根据托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;所述托管侧上定义了一个或多个应用各自所需权限策略的信息;
将所述权限令牌下发给所述用户集群节点上的应用。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的设置集群权限的方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述设置集群权限的方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。
Claims (12)
1.一种设置集群权限的方法,应用于托管侧,所述托管侧上从应用维度进行权限的拆分,定义了用户在用户集群节点上的一个或多个应用各自所需权限策略的信息,所述权限策略的信息包括权限策略对应的角色,所述方法包括:
在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;
所述在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,包括:
在用户授权下,根据所述托管侧上定义的一个或多个应用各自所需权限策略对应的角色,针对所述用户在用户集群节点上的应用,基于角色访问控制机制获得对应的角色令牌;
将所述权限令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述权限令牌访问资源;
所述将权限令牌下发给所述用户集群节点上的应用,包括:
将所述角色令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述角色令牌访问资源。
2.根据权利要求1所述的方法,所述将角色令牌下发给所述用户集群节点上的应用,包括:
对所述角色令牌进行加密;
将加密后的角色令牌以秘钥凭据的形式下发给所述用户集群节点的应用。
3.根据权利要求1所述的方法,所述应用包括:系统组件应用和/或用户自定义组件应用。
4.根据权利要求1所述的方法,所述托管侧上定义了一个或多个应用各自所需权限策略的信息,包括:
所述托管侧上设置了自定义资源对象,使所述用户集群节点具有对应的自定义资源实例部署,所述自定义资源实例,用于声明用户集群节点上的一个或多个应用所需权限策略的信息。
5.根据权利要求4所述的方法,还包括:
响应于监听到所述自定义资源实例中一个或多个应用所需权限策略的信息的更新,根据所述更新,相应向所述用户集群节点中对应的应用下发对应的权限令牌、吊销对应的权限令牌的下发凭证、或更新对应的权限令牌。
6.根据权利要求5所述的方法,还包括:
接收用户集群节点针对所述应用发出的权限设置请求;
根据所述权限设置请求,相应为所述用户集群节点上的应用下发或者吊销权限令牌。
7.根据权利要求6所述的方法,所述权限设置请求触发所述自定义资源实例中对应应用所需权限策略的信息的更新。
8.根据权利要求1所述的方法,还包括:
在下发的权限令牌具有对应的有效期的情况下,托管侧根据所述有效期以及应用的需要,对下发的权限令牌进行轮转更新。
9.一种设置集群权限的装置,配置于托管侧,所述托管侧上从应用维度进行权限的拆分,定义了用户在用户集群节点上的一个或多个应用各自所需权限策略的信息,所述权限策略的信息包括权限策略对应的角色,所述装置包括:
令牌获取模块,被配置为在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;所述在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,包括:在用户授权下,根据所述托管侧上定义的一个或多个应用各自所需权限策略对应的角色,针对所述用户在用户集群节点上的应用,基于角色访问控制机制获得对应的角色令牌;
令牌下发模块,被配置为将所述权限令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述权限令牌访问资源;所述将权限令牌下发给所述用户集群节点上的应用,包括:将所述角色令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述角色令牌访问资源。
10.一种设置集群权限的系统,包括:托管侧以及用户集群侧,所述用户集群侧包括若干个用户集群节点,其中,所述用户集群节点上设置了应用,所述托管侧上从应用维度进行权限的拆分,定义了用户在用户集群节点上的一个或多个应用各自所需权限策略的信息,所述权限策略的信息包括权限策略对应的角色;
所述托管侧,被配置为在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;将所述权限令牌下发给所述用户集群节点上的应用,所述在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,包括:在用户授权下,根据所述托管侧上定义的一个或多个应用各自所需权限策略对应的角色,针对所述用户在用户集群节点上的应用,基于角色访问控制机制获得对应的角色令牌;所述将权限令牌下发给所述用户集群节点上的应用,包括:将所述角色令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述角色令牌访问资源;
所述应用,被配置为获取所述托管侧下发的权限令牌,使用所述权限令牌访问资源。
11.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令:
在用户授权下,根据托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌;所述托管侧上从应用维度进行权限的拆分,定义了用户在用户集群节点上的一个或多个应用各自所需权限策略的信息;
所述在用户授权下,根据所述托管侧上的定义,针对所述用户在用户集群节点上的应用,获取对应权限策略的信息的权限令牌,包括:
在用户授权下,根据所述托管侧上定义的一个或多个应用各自所需权限策略对应的角色,针对所述用户在用户集群节点上的应用,基于角色访问控制机制获得对应的角色令牌;
将所述权限令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述权限令牌访问资源;
所述将权限令牌下发给所述用户集群节点上的应用,包括:
将所述角色令牌下发给所述用户集群节点上的应用,使所述用户集群节点上的应用使用所述角色令牌访问资源。
12.一种计算机可读存储介质,其存储有计算机指令,该计算机指令被处理器执行时实现权利要求1至8任意一项所述设置集群权限的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110352368.4A CN113297589B (zh) | 2021-03-31 | 2021-03-31 | 设置集群权限的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110352368.4A CN113297589B (zh) | 2021-03-31 | 2021-03-31 | 设置集群权限的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113297589A CN113297589A (zh) | 2021-08-24 |
| CN113297589B true CN113297589B (zh) | 2024-04-16 |
Family
ID=77319264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110352368.4A Active CN113297589B (zh) | 2021-03-31 | 2021-03-31 | 设置集群权限的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113297589B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113626878A (zh) * | 2021-08-25 | 2021-11-09 | 杭州溪塔科技有限公司 | 一种许可证应用方法及装置 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7336790B1 (en) * | 1999-12-10 | 2008-02-26 | Sun Microsystems Inc. | Decoupling access control from key management in a network |
| CN102088360A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理系统及其实现方法 |
| KR20120065783A (ko) * | 2010-12-13 | 2012-06-21 | 한국전자통신연구원 | 역할 기반 분산 제어 장치 및 방법 |
| CN104125219A (zh) * | 2014-07-07 | 2014-10-29 | 四川中电启明星信息技术有限公司 | 针对电力信息系统的身份集中授权管理方法 |
| CN104394141A (zh) * | 2014-11-21 | 2015-03-04 | 南京邮电大学 | 一种基于分布式文件系统的统一认证方法 |
| CN104537488A (zh) * | 2014-12-29 | 2015-04-22 | 中国南方电网有限责任公司 | 企业级信息系统功能权限统一管理方法 |
| CN106161462A (zh) * | 2016-08-29 | 2016-11-23 | 无锡华云数据技术服务有限公司 | 一种网络安全认证方法 |
| US9594922B1 (en) * | 2015-06-30 | 2017-03-14 | EMC IP Holding Company LLC | Non-persistent shared authentication tokens in a cluster of nodes |
| CN107835181A (zh) * | 2017-11-16 | 2018-03-23 | 泰康保险集团股份有限公司 | 服务器集群的权限管理方法、装置、介质和电子设备 |
| CN109033809A (zh) * | 2018-07-06 | 2018-12-18 | 航天星图科技(北京)有限公司 | 一种基于应用角色托管的用户集成系统及方法 |
| CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
| CN109643242A (zh) * | 2016-05-23 | 2019-04-16 | 摩根大通国家银行 | 用于多租户hadoop集群的安全设计和架构 |
| CN110990150A (zh) * | 2019-11-15 | 2020-04-10 | 北京浪潮数据技术有限公司 | 容器云平台的租户管理方法、系统、电子设备及存储介质 |
| CN112333244A (zh) * | 2020-10-16 | 2021-02-05 | 济南浪潮数据技术有限公司 | 一种集群互信方法、系统、设备及计算机可读存储介质 |
| CN112417379A (zh) * | 2020-11-10 | 2021-02-26 | 迈普通信技术股份有限公司 | 一种集群许可证管理方法、装置、授权服务器及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8387137B2 (en) * | 2010-01-05 | 2013-02-26 | Red Hat, Inc. | Role-based access control utilizing token profiles having predefined roles |
| US9003556B2 (en) * | 2013-02-28 | 2015-04-07 | Facebook, Inc. | Techniques for in-app user data authorization |
| US10044701B2 (en) * | 2016-05-24 | 2018-08-07 | Vantiv, Llc | Technologies for token-based authentication and authorization of distributed computing resources |
| US20180262510A1 (en) * | 2017-03-10 | 2018-09-13 | Microsoft Technology Licensing, Llc | Categorized authorization models for graphical datasets |
| US10990679B2 (en) * | 2018-05-07 | 2021-04-27 | Mcafee, Llc | Methods, systems, articles of manufacture and apparatus to verify application permission safety |
-
2021
- 2021-03-31 CN CN202110352368.4A patent/CN113297589B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7336790B1 (en) * | 1999-12-10 | 2008-02-26 | Sun Microsystems Inc. | Decoupling access control from key management in a network |
| CN102088360A (zh) * | 2009-12-08 | 2011-06-08 | 长春吉大正元信息技术股份有限公司 | 分布式授权管理系统及其实现方法 |
| KR20120065783A (ko) * | 2010-12-13 | 2012-06-21 | 한국전자통신연구원 | 역할 기반 분산 제어 장치 및 방법 |
| CN104125219A (zh) * | 2014-07-07 | 2014-10-29 | 四川中电启明星信息技术有限公司 | 针对电力信息系统的身份集中授权管理方法 |
| CN104394141A (zh) * | 2014-11-21 | 2015-03-04 | 南京邮电大学 | 一种基于分布式文件系统的统一认证方法 |
| CN104537488A (zh) * | 2014-12-29 | 2015-04-22 | 中国南方电网有限责任公司 | 企业级信息系统功能权限统一管理方法 |
| US9594922B1 (en) * | 2015-06-30 | 2017-03-14 | EMC IP Holding Company LLC | Non-persistent shared authentication tokens in a cluster of nodes |
| CN109643242A (zh) * | 2016-05-23 | 2019-04-16 | 摩根大通国家银行 | 用于多租户hadoop集群的安全设计和架构 |
| CN106161462A (zh) * | 2016-08-29 | 2016-11-23 | 无锡华云数据技术服务有限公司 | 一种网络安全认证方法 |
| CN107835181A (zh) * | 2017-11-16 | 2018-03-23 | 泰康保险集团股份有限公司 | 服务器集群的权限管理方法、装置、介质和电子设备 |
| CN109033809A (zh) * | 2018-07-06 | 2018-12-18 | 航天星图科技(北京)有限公司 | 一种基于应用角色托管的用户集成系统及方法 |
| CN109327477A (zh) * | 2018-12-06 | 2019-02-12 | 泰康保险集团股份有限公司 | 认证鉴权方法、装置及存储介质 |
| CN110990150A (zh) * | 2019-11-15 | 2020-04-10 | 北京浪潮数据技术有限公司 | 容器云平台的租户管理方法、系统、电子设备及存储介质 |
| CN112333244A (zh) * | 2020-10-16 | 2021-02-05 | 济南浪潮数据技术有限公司 | 一种集群互信方法、系统、设备及计算机可读存储介质 |
| CN112417379A (zh) * | 2020-11-10 | 2021-02-26 | 迈普通信技术股份有限公司 | 一种集群许可证管理方法、装置、授权服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113297589A (zh) | 2021-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10965734B2 (en) | Data management for an application with multiple operation modes | |
| JP6957764B2 (ja) | 高速スマートカードログオン | |
| US11018871B2 (en) | Key protection for computing platform | |
| EP3541104B1 (en) | Data management for an application with multiple operation modes | |
| JP5791633B2 (ja) | 通信システム、クラウドサーバ、移動通信装置、通信システムの制御方法、及びプログラム | |
| TWI469654B (zh) | 無線網路上用於傳送電子識別部分之方法及裝置 | |
| US11075900B2 (en) | Associating user accounts with enterprise workspaces | |
| US10349272B2 (en) | Virtual SIM card cloud platform | |
| US20190166125A1 (en) | Private Consolidated Cloud Service Architecture | |
| US20120303952A1 (en) | Dynamic Platform Reconfiguration By Multi-Tenant Service Providers | |
| EP2907076A1 (en) | Configuring and providing profiles that manage execution of mobile applications | |
| WO2015069460A1 (en) | Method and apparatus for offering cloud-based hsm services | |
| CN107924431B (zh) | 匿名应用程序包装 | |
| KR20200048298A (ko) | Ssp의 번들을 관리하는 방법 및 장치 | |
| CN115803735A (zh) | 网络中的数据库访问控制服务 | |
| CN105812370B (zh) | 智能卡处理方法、装置及系统 | |
| CN113297589B (zh) | 设置集群权限的方法、装置及系统 | |
| US20170270131A1 (en) | Synchronization and management of heterogeneous host directories in a security environment | |
| CA2829805A1 (en) | Managing application execution and data access on a device | |
| US20200395107A1 (en) | Secure environment device management | |
| US20160087963A1 (en) | Establishing secure computing devices for virtualization and administration | |
| CN112751803A (zh) | 管理对象的方法、设备、计算机可读存储介质 | |
| US11146406B2 (en) | Managing entitlement | |
| US11799629B2 (en) | Access authorization utilizing homomorphically encrypted access authorization objects | |
| WO2014158222A1 (en) | Data management for an application with multiple operation modes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40059135 Country of ref document: HK |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20240227 Address after: # 03-06, Lai Zan Da Building 1, 51 Belarusian Road, Singapore Applicant after: Alibaba Innovation Co. Country or region after: Singapore Address before: Room 01, 45th Floor, AXA Building, 8 Shanton Road, Singapore Applicant before: Alibaba Singapore Holdings Ltd. Country or region before: Singapore |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |