CN113382017A - 基于白名单的权限控制方法、装置、电子设备及存储介质 - Google Patents
基于白名单的权限控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113382017A CN113382017A CN202110729548.XA CN202110729548A CN113382017A CN 113382017 A CN113382017 A CN 113382017A CN 202110729548 A CN202110729548 A CN 202110729548A CN 113382017 A CN113382017 A CN 113382017A
- Authority
- CN
- China
- Prior art keywords
- service
- request
- address
- access
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000013475 authorization Methods 0.000 claims description 16
- 238000000605 extraction Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 5
- 230000002776 aggregation Effects 0.000 claims description 4
- 238000004220 aggregation Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000007726 management method Methods 0.000 description 55
- 230000006870 function Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 241000555745 Sciuridae Species 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000035876 healing Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及安全防护技术,揭露了一种基于白名单的权限控制方法,包括:创建应用平台的管理账户;利用管理账户对应用平台进行访问,并根据访问返回的字符生成管理账户的访问令牌;获取该应用平台中第一服务对第二服务的调用请求,对调用请求进行解析,得到服务名称,以及对应用调用请求进行IP地址溯源,得到服务IP地址;根据服务名称及访问令牌调用预先存储的白名单IP列表;将服务IP地址与白名单IP列表进行比对,并根据比对的结果对调用请求进行权限控制。此外,本发明还涉及区块链技术,资源数据可存储于区块链的节点。本发明还提出一种基于白名单的权限控制装置、设备及介质。本发明可以解决进行权限管控时的安全性较低的问题。
Description
技术领域
本发明涉及安全防护技术领域,尤其涉及一种基于白名单的权限控制方法、装置、电子设备及计算机可读存储介质。
背景技术
随着云平台的概念被提出,及云平台技术迅速的发展,人们越来越多的使用云平台来实现各种服务,以减轻客户端的存储及计算压力,正因如此,当海量服务集中于云平台服务器中时,大量的用户隐私数据也会在云平台服务器中进行计算,导致用户直接地对云平台服务器中的服务进行调用会存在严重的安全隐患,服务器的安全防护问题成为了人们越来越关注的重点。
目前对云平台中多服务进行安全防护的手段通常为基于IP的白名单验证。但实际应用中,由于不同用户在对云平台中的服务进行调用时,使用的是不同的IP,即每个服务在被调用时,使用的IP地址往往是变化的,进而导致利用白名单对IP地址进行验证的安全性不高。
发明内容
本发明提供一种基于白名单的权限控制方法、装置及计算机可读存储介质,其主要目的在于解决进行权限管控时的安全性较低的问题。
为实现上述目的,本发明提供的一种基于白名单的权限控制方法,包括:
创建应用平台的管理账户,对所述管理账户进行数据查询授权;利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,根据所述访问字符生成所述管理账户的访问令牌;
获取所述应用平台中第一服务对第二服务的调用请求,对所述调用请求进行解析,得到服务名称,以及对所述调用请求进行IP地址溯源,得到服务IP地址;
根据所述服务名称及所述访问令牌调用预先存储的白名单IP列表;
将所述服务IP地址在所述白名单IP列表进行检索,并根据检索的结果对所述调用请求进行权限控制。
可选地,所述对所述管理账户进行数据查询授权,包括:
获取所述应用平台的数据查询权限;
将所述数据查询权限进行字段转换,得到权限字段;
将所述权限字段添加至所述管理账户中。
可选地,所述利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,包括:
获取所述管理账户的登录信息,并根据所述登录信息生成访问请求;
利用所述访问请求对所述应用平台进行访问;
获取所述应用平台根据所述访问返回的应答数据,将所述应答数据汇集为所述访问字符。
可选地,所述根据所述访问字符生成所述管理账户的访问令牌,包括:
按照预设长度将所述访问字符进行切分,得到切分字段;
对所述切分字段进行加密封装及数据聚合,得到访问令牌。
可选地,所述对所述调用请求进行解析,得到服务名称,包括:
对所述调用请求进行结构划分,得到请求头;
利用预设解析器对所述请求头进行内容解析,得到请求头内容;
根据预先存储的字符构建规则表达式;
利用所述规则表达式提取所述请求头内容中的服务名称。
可选地,所述对所述应用调用请求进行IP地址溯源,得到服务IP地址,包括:
提取所述调用请求中的请求数据类;
对所述请求数据类进行反射操作,得到请求方法;
根据所述请求方法构建请求IP提取语句;
执行所述请求IP提取语句提取所述调用请求中的服务IP地址。
可选地,所述将所述服务IP地址在所述白名单IP列表进行检索,并根据检索的结果对所述调用请求进行权限控制,包括:
构建所述白名单IP列表的索引;
根据所述索引及所述服务IP地址在所述白名单IP列表中进行检索;
若检索到所述服务IP地址在所述白名单IP列表中,允许所述第一服务的调用请求对所述第二服务进行调用;
若检索到所述服务IP地址不在所述白名单IP列表中,禁止所述第一服务的调用请求对所述第二服务进行调用。
为了解决上述问题,本发明还提供一种基于白名单的权限控制装置,所述装置包括:
账户授权模块,用于创建应用平台的管理账户,对所述管理账户进行数据查询授权;
令牌生成模块,用于利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,根据所述访问字符生成所述管理账户的访问令牌;
请求分析模块,用于获取该应用平台中第一服务对第二服务的调用请求,对所述调用请求进行解析,得到服务名称,以及对所述应用调用请求进行IP地址溯源,得到服务IP地址;
白名单调用模块,用于根据所述服务名称及所述访问令牌调用预先存储的白名单IP列表;
权限控制模块,用于将所述服务IP地址在所述白名单IP列表进行检索,并根据检索的结果对所述调用请求进行权限控制。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现上述所述的基于白名单的权限控制方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现上述所述的基于白名单的权限控制方法。
本发明实施例通过创建管理账户,根据该管理账户对品台的访问生成访问令牌,在获取服务的调用请求后,利用该访问令牌实现对该调用方的IP白名单的查询,将调用请求中的IP地址在IP白名单中的地址进行检索,以实现对调用请求的权限管控,利用访问令牌查询白名单,避免了调用方的调用请求直接对平台数据的调用,提高了验证过程的安全性。因此本发明提出的基于白名单的权限控制方法、装置、电子设备及计算机可读存储介质,可以解决进行权限管控时的安全性较低的问题。
附图说明
图1为本发明一实施例提供的基于白名单的权限控制方法的流程示意图;
图2为本发明一实施例提供的获取访问字符的流程示意图;
图3为本发明一实施例提供的权限控制的流程示意图;
图4为本发明一实施例提供的基于白名单的权限控制装置的功能模块图;
图5为本发明一实施例提供的实现所述基于白名单的权限控制方法的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种基于白名单的权限控制方法。所述基于白名单的权限控制方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述基于白名单的权限控制方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。
参照图1所示,为本发明一实施例提供的基于白名单的权限控制方法的流程示意图。在本实施例中,所述基于白名单的权限控制方法包括:
S1、创建应用平台的管理账户,对所述管理账户进行数据查询授权。
本发明实施例中,所述应用平台为K8S平台,该应用平台中包含至少一个服务,所述服务以容器形式运行于所述应用平台中,在外界对该应用平台中的服务进行调用时,该应用平台可实现对至少一个服务的服务支持。
例如,所述应用平台中包含用于支持物品购买业务的服务1,用于支持订单生成服务的服务2,和用于支持付款业务的付款服务3;当用户在进行物品购买时,先调用服务1以实现物品的添加,购买信息的确认等服务,再调用服务3以实现对购买物品的付款,进而调用服务2生成该用户的购物订单。
本发明其他实施例中,所述应用平台也可以为任何具有集成服务,并对服务进行动态IP配置的平台,例如,paas平台、Nutanix Karbon平台等。
本发明实施例可通过所述应用平台中自带的账户建立选项建立该应用平台的管理账户,或者,通过具有账户创建功能的计算机指令创建所述应用平台的管理账户。
进一步地,通过对创建的管理账户进行数据查询授权,可使得该管理账户可用于对所述应用平台中各应用的元数据进行查询,所述元数据包括但不限于:每个服务的服务名称、每个服务对应的白名单IP地址等。
本发明其中一个实施例中,所述对所述管理账户进行数据查询授权,包括:
获取所述应用平台的数据查询权限;
将所述数据查询权限进行字段转换,得到权限字段;
将所述权限字段添加至所述管理账户中。
详细地,可通过具有数调用功能的计算机语句(如java语句,python语句等)从所述应用平台的配置文件中调用所述数据查询权限,所述数据查询权限可以为由多个字符组成的字符串,或者,由文字组成的文字内容等。
具体地,可利用预设的编码器对所述数据查询权限进行编码,以实现将所述数据查询权限进行字段转换,得到该数据查询权限对应的权限字段,并以附加字段或标签的形式将所述权限字段添加至所述管理账户中,以实现对该关联账户的授权。
例如,存在由多个字符组成的数据权限:wqf@&,可利用编码器按照预设编码规则将该数据权限进行编码,得到编码后的权限字段:35456。
进一步地,可将该编码后的权限字段以附加字段的形式添加至管理账户中,例如,存在管理账户Admin,则可在该管理账户后添加附属字段:Admin-35456。
或者,生成含有该权限字段的标签A,将该标签添加至管理账户Admin中:Admin-A。
S2、利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,根据所述访问字符生成所述管理账户的访问令牌。
本发明实施例中,可通过该管理账户对所述应用平台进行访问,进而获取该应用平台在接受所述访问后返回的访问字符;所述访问字符为该应用平台根据所述管理账户的访问,生成的允许访问的字符。
本发明其中一个实施例中,参图2所示,所述利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,包括:
S21、获取所述管理账户的登录信息,并根据所述登录信息生成访问请求;
S22、利用所述访问请求对所述应用平台进行访问;
S23、获取所述应用平台根据所述访问返回的应答数据,将所述应答数据汇集为所述访问字符。
详细地,所述登录信息在步骤S1中创建该管理账户时,获取由用户预先给定的登录信息,所述登录信息包括该管理账户设置的账号名称、账号密码等信息。
例如,获取该管理账户设置的账号名称Admin、账号密码xxxx,并将所述账号名称Admin、账号密码xxxx生成对所述应用平台进行访问的访问请求。
可通过预设的编译器将所述登录信息编译为所述访问请求,所述编译器包括但不限于Visual Studio编译器、Dev C++编译器、Visual C++编译器;将所述登录信息输入至所述编译器,即可利用该编译器自带的编译规则将所述登录信息编译为所述访问请求,以利用所述访问请求对所述应用平台进行访问。
示例性地,所述可可通过预设的编译器将所述登录信息编译为如下所示的访问请求:
https://应用平台IP地址/Admin/#/xxxx/login
其中,Admin为账号名称,xxxx为账号密码,login为登录请求类型。
进一步地,本发明实施例根据该访问字符生成访问令牌,所述访问令牌可用于对所述应用平台中的计算机指令进行标记,以使得被标记的计算机指令在对该应用平台进行访问时,无需验证登录。
例如,当所述应用平台接收到访问请求时,判断该访问请求是否包含所述访问令牌,若该访问请求不包含所述访问令牌时,则需要对该访问请求的访问进行验证登录(如,验证用户名与密码是否正确);若所述访问请求中包含所述访问令牌时,则可允许该访问请求的访问,无需验证登录。
本发明另一实施例中,所述根据所述访问字符生成所述管理账户的访问令牌,包括:
按照预设长度将所述访问字符进行切分,得到切分字段;
对所述切分字段进行加密封装及数据聚合,得到访问令牌。
详细地,可按照预设长度对所述第一字段进行切分,例如,存在第一字段:akucfghkw,可按照预设长度(3)对所述第一字段进行切分,得到三个字段“aku”、“cfg”和“hkw”。通过对所述第一字段进行切分,可将所述第一字段划分为多个较小字段,有利于提高对所述第一字段进行处理,生成访问令牌的效率。
具体地,可通过预设的加密算法进行加密封装,即利用加密算法对所述切分后的字段进行运算,所述加密算法包括但不限于哈希算法、DES算法。进行加密封装时,可同时采用一种或多种加密算法进行同步运算,以提高加密封装的效率。进一步地,可将加密后的切分字段写入同一文档的方式实现数据聚合。
S3、获取所述应用平台中第一服务对第二服务的调用请求,对所述调用请求进行解析,得到服务名称,以及对所述调用请求进行IP地址溯源,得到服务IP地址。
本发明实施例中,可通过预先安装的请求监听程序,实时获取该应用平台中第一服务对第二服务的调用请求;或者,通过具有请求监听功能的插件根据获取该应用平台中第一服务对第二服务的调用请求。
详细地,所述第一服务和第二服务为所述应用平台中的应用服务,不同的应用服务用于对不同的请求进行响应,以实现支持该应用平台中的各项功能。
例如,应用平台为购物平台,该购物平台中存在商品查询服务、付款服务、订单生成服务等多种与购物相关的应用服务,商品查询服务用于对商品查询的数据请求进行进行响应,付款服务用于对进行付款的数据请求进行响应,订单生成服务用于对生成产品购买订单的数据请求进行响应,通过不同的服务对不同的数据请求进行响应,可实现对不同的请求的支持,实现产品购买相关的功能。
获取所述调用请求后,可通过对该调用请求进行解析,以获取发出该调用请求的服务名称,以及,对所述调用请求进行IP地址溯源,得到发出该调用请求的服务IP地址。
本发明其中一个实施例中,所述对所述调用请求进行解析,得到服务名称,包括:
对所述调用请求进行结构划分,得到请求头;
利用预设解析器对所述请求头进行内容解析,得到请求头内容;
根据预先存储的字符构建规则表达式;
利用所述规则表达式提取所述请求头内容中的服务名称。
本发明其中一个实际应用场景中,由于调用请求多为根据预设的标准通信协议生成,因此,调用请求中的结构多为固定结构。
例如,调用请求中包含20行代码,其中,1至5行代码为请求头,6至20行代码为请求体;本发明实施例可根据该调用请求的标准通信协议对调用请求进行结构划分,得到该调用请求的请求头。
详细地,可利用预设的解析器对所述请求头中的代码进行解析,以获取请求头中包含的内容,所述解析器包括但不限于CarakanC/C++,SquirrelFishC++和SquirrelFishExtremeC++等。
具体地,所述名称字符可由用户预先定义,可根据所述标题字构建出具有标题提取功能的规则表达式,以提取所述请求头内容中的服务名称;所述规则表达式可用于对请求头内容中固定格式的字段进行提取。
例如,当所述请求头内容中服务名称的格式为“名称:…”,则可利用该规则表达式对所述请求头内容中格式为“名称:…”的部分进行提取,以获取所述服务名称。
本发明实施例中,所述对所述应用调用请求进行IP地址溯源,得到服务IP地址,包括:
提取所述调用请求中的请求数据类;
对所述请求数据类进行反射操作,得到请求方法;
根据所述请求方法构建请求IP提取语句;
执行所述请求IP提取语句提取所述调用请求中的服务IP地址。
详细地,可通过遍历所述调用请求中的数据类字段,以确定所述调用请求中的请求数据类。
例如,遍历所述调用请求,得到该调用请求中的数据类字段A,将所述数据类字段A与预设的标准数据类进行比对,若所述数据类字段A与标准数据类B相同,则确定数据类字段A的请求数据类为标准数据类B。
具体地,所述对所述请求数据类进行反射操作,得到请求方法,例如,利用如下java语句对所述请求数据类进行反射操作:
String name="Hualing";Class c1=name.getClass();System.out.println(c1.getName())。
其中,"Hualing"为所述请求数据类。
当对所述请求数据类进行反射操作后,即可得到请求方法。
示例性地,根据所述请求方法构建请求IP提取语句的具体方法包括:构建如下请求IP提取语句:String name=field.getName()。
通过执行所述请求IP提取语句,实现对所述调用请求中的服务IP地址进行提取,例如,通过执行所述请求IP提取语句确定所述调用请求中的第3行代码为所述服务IP地址,则提取出所述调用请求中的第3行代码,以实现对所述调用请求中的服务IP地址进行提取。
S4、根据所述服务名称及所述访问令牌调用预先存储的白名单IP列表。
本发明实施例中,可利用所述服务名称及所述访问令牌对应用平台中预先存储的白名单IP列表进行调用,所述白名单IP列表中包括多个IP地址,每个IP地址均为可对第二服务进行访问的IP地址。
例如,利用所述服务名称编译为白名单IP列表检索指令,该白名单IP列表检索指令通过所述访问令牌,可直接对应用平台中余下存储的数据进行查询,而无需进行登录验证,进而快速查询出预先存储的与可对第二服务进行访问的白名单IP列表。
S5、将所述服务IP地址与所述白名单IP列表进行比对,并根据检索的结果对所述调用请求进行权限控制。
本发明实施例中,可通过将所述服务IP地址与所述白名单IP列表进行比对,并依据比对的结果对该调用请求进行权限控制。
例如,将所述服务IP地址与所述白名单IP列表中每个IP地址进行检索,当该服务IP地址存在于所述白名单IP列表中时,则确定该服务IP地址可对第二服务进行调用,允许所述调用请求对所述第二服务进行调用;或者,当该服务IP地址不存在于所述白名单IP列表中时,则确定该服务IP地址不可对第二服务进行调用,禁止所述调用请求对所述第二服务进行调用。
本发明其中一个实施例中,参图3所示,所述将所述服务IP地址在所述白名单IP列表进行检索,并根据检索的结果对所述调用请求进行权限控制,包括:
S31、构建所述白名单IP列表的索引;
S32、根据所述索引及所述服务IP地址在所述白名单IP列表中进行检索;
S33、根据所述检索的结果判断所述服务IP地址是否在所述白名单IP列表中;
若检索到所述服务IP地址在所述白名单IP列表中,执行S34、允许所述第一服务的调用请求对所述第二服务进行调用;
若检索到所述服务IP地址不在所述白名单IP列表中,执行S35、禁止所述第一服务的调用请求对所述第二服务进行调用。
本发明实施例可通过mysql库中的CREATE INDEX构建所述白名单IP的索引,所述索引可用于快速对该白名单IP列表中的IP地址进行查询,有利于提高在所述白名单IP列表中检索所述服务IP地址的效率。
详细地,可根据该白名单IP列表中白名单IP的唯一字段构建所述索引,例如,该白名单IP列表中存在三个白名单IP:123.345.456、123.000.567、134.111.456,由于上述三个白名单IP的中间字段“345”、“000”、“111”具有唯一性,即,均不相同,则可利用中间字段作为该白名单IP列表中三个白名单IP的索引,以确保在对白名单IP进行查询时,可唯一查询到一个白名单IP,进而提高了查询的精确度。
进一步地,通过所述检索与所述服务IP地址在所述白名单IP列表中检索,若返回与所述服务IP地址相同的数据,则说明服务IP地址在所述白名单IP列表中,允许所述调用请求对所述第二服务进行调用;若没有返回与所述服务IP地址相同的数据(例如,返回NULL),则说明服务IP地址不在所述白名单IP列表中,禁止所述调用请求对所述第二服务进行调用。
本发明实施例通过创建管理账户,根据该管理账户对品台的访问生成访问令牌,在获取服务的调用请求后,利用该访问令牌实现对该调用方的IP白名单的查询,将调用请求中的IP地址与IP白名单中的地址进行比对,以实现对调用请求的权限管控,利用访问令牌查询白名单,避免了调用方的调用请求直接对平台数据的调用,提高了验证过程的安全性。因此本发明提出的基于白名单的权限控制方法,可以解决进行权限管控时的安全性较低的问题。
如图4所示,是本发明一实施例提供的基于白名单的权限控制装置的功能模块图。
本发明所述基于白名单的权限控制装置100可以安装于电子设备中。根据实现的功能,所述基于白名单的权限控制装置100可以包括账户授权模块101、令牌生成模块102、请求分析模块103、白名单调用模块104及权限控制模块105。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述账户授权模块101,用于创建应用平台的管理账户,对所述管理账户进行数据查询授权;
所述令牌生成模块102,用于利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,根据所述访问字符生成所述管理账户的访问令牌;
所述请求分析模块103,用于获取该应用平台中第一服务对第二服务的调用请求,对所述调用请求进行解析,得到服务名称,以及对所述应用调用请求进行IP地址溯源,得到服务IP地址;
所述白名单调用模块104,用于根据所述服务名称及所述访问令牌调用预先存储的白名单IP列表;
所述权限控制模块105,用于将所述服务IP地址与所述白名单IP列表进行比对,并根据检索的结果对所述调用请求进行权限控制。
详细地,本发明实施例中所述基于白名单的权限控制装置100中所述的各模块在使用时采用与上述图1至图3中所述的基于白名单的权限控制方法一样的技术手段,并能够产生相同的技术效果,这里不再赘述。
如图5所示,是本发明一实施例提供的实现基于白名单的权限控制方法的电子设备的结构示意图。
述电子设备可以包括处理器10、存储器11、通信总线12以及通信接口13,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如前端监控程序。
其中,所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(ControlUnit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行前端监控程序等),以及调用存储在所述存储器11内的数据,以执行电子设备的各种功能和处理数据。
所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据,例如前端监控程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述通信总线12可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
所述通信接口13用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
图5仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对所述电子设备1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的基于白名单的权限控制程序是多个指令的组合,在所述处理器10中运行时,可以实现:
创建应用平台的管理账户,对所述管理账户进行数据查询授权;
利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,根据所述访问字符生成所述管理账户的访问令牌;
获取该应用平台中第一服务对第二服务的调用请求,对所述调用请求进行解析,得到服务名称,以及对所述应用调用请求进行IP地址溯源,得到服务IP地址;
根据所述服务名称及所述访问令牌调用预先存储的白名单IP列表;
将所述服务IP地址与所述白名单IP列表进行比对,并根据检索的结果对所述调用请求进行权限控制。
具体地,所述处理器10对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
创建应用平台的管理账户,对所述管理账户进行数据查询授权;
利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,根据所述访问字符生成所述管理账户的访问令牌;
获取该应用平台中第一服务对第二服务的调用请求,对所述调用请求进行解析,得到服务名称,以及对所述应用调用请求进行IP地址溯源,得到服务IP地址;
根据所述服务名称及所述访问令牌调用预先存储的白名单IP列表;
将所述服务IP地址与所述白名单IP列表进行比对,并根据检索的结果对所述调用请求进行权限控制。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种基于白名单的权限控制方法,其特征在于,所述方法包括:
创建应用平台的管理账户,对所述管理账户进行数据查询授权;
利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,根据所述访问字符生成所述管理账户的访问令牌;
获取所述应用平台中第一服务对第二服务的调用请求,对所述调用请求进行解析,得到服务名称,以及对所述调用请求进行IP地址溯源,得到服务IP地址;
根据所述服务名称及所述访问令牌调用预先存储的白名单IP列表;
将所述服务IP地址在所述白名单IP列表进行检索,并根据检索的结果对所述调用请求进行权限控制。
2.如权利要求1所述的基于白名单的权限控制方法,其特征在于,所述对所述管理账户进行数据查询授权,包括:
获取所述应用平台的数据查询权限;
将所述数据查询权限进行字段转换,得到权限字段;
将所述权限字段添加至所述管理账户中。
3.如权利要求1所述的基于白名单的权限控制方法,其特征在于,所述利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,包括:
获取所述管理账户的登录信息,并根据所述登录信息生成访问请求;
利用所述访问请求对所述应用平台进行访问;
获取所述应用平台根据所述访问返回的应答数据,将所述应答数据汇集为所述访问字符。
4.如权利要求3所述的基于白名单的权限控制方法,其特征在于,所述根据所述访问字符生成所述管理账户的访问令牌,包括:
按照预设长度将所述访问字符进行切分,得到切分字段;
对所述切分字段进行加密封装及数据聚合,得到访问令牌。
5.如权利要求1所述的基于白名单的权限控制方法,其特征在于,所述对所述调用请求进行解析,得到服务名称,包括:
对所述调用请求进行结构划分,得到请求头;
利用预设解析器对所述请求头进行内容解析,得到请求头内容;
根据预先存储的字符构建规则表达式;
利用所述规则表达式提取所述请求头内容中的服务名称。
6.如权利要求1至5中任一项所述的基于白名单的权限控制方法,其特征在于,所述对所述应用调用请求进行IP地址溯源,得到服务IP地址,包括:
提取所述调用请求中的请求数据类;
对所述请求数据类进行反射操作,得到请求方法;
根据所述请求方法构建请求IP提取语句;
执行所述请求IP提取语句提取所述调用请求中的服务IP地址。
7.如权利要求1至5中任一项所述的基于白名单的权限控制方法,其特征在于,所述将所述服务IP地址在所述白名单IP列表进行检索,并根据检索的结果对所述调用请求进行权限控制,包括:
构建所述白名单IP列表的索引;
根据所述索引及所述服务IP地址在所述白名单IP列表中进行检索;
若检索到所述服务IP地址在所述白名单IP列表中,允许所述第一服务的调用请求对所述第二服务进行调用;
若检索到所述服务IP地址不在所述白名单IP列表中,禁止所述第一服务的调用请求对所述第二服务进行调用。
8.一种基于白名单的权限控制装置,其特征在于,所述装置包括:
账户授权模块,用于创建应用平台的管理账户,对所述管理账户进行数据查询授权;
令牌生成模块,用于利用所述管理账户对所述应用平台进行访问,获取所述应用平台返回的访问字符,根据所述访问字符生成所述管理账户的访问令牌;
请求分析模块,用于获取该应用平台中第一服务对第二服务的调用请求,对所述调用请求进行解析,得到服务名称,以及对所述应用调用请求进行IP地址溯源,得到服务IP地址;
白名单调用模块,用于根据所述服务名称及所述访问令牌调用预先存储的白名单IP列表;
权限控制模块,用于将所述服务IP地址在所述白名单IP列表进行检索,并根据检索的结果对所述调用请求进行权限控制。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的基于白名单的权限控制方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的基于白名单的权限控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110729548.XA CN113382017B (zh) | 2021-06-29 | 2021-06-29 | 基于白名单的权限控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110729548.XA CN113382017B (zh) | 2021-06-29 | 2021-06-29 | 基于白名单的权限控制方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113382017A true CN113382017A (zh) | 2021-09-10 |
| CN113382017B CN113382017B (zh) | 2022-11-04 |
Family
ID=77579942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110729548.XA Active CN113382017B (zh) | 2021-06-29 | 2021-06-29 | 基于白名单的权限控制方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113382017B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114185702A (zh) * | 2021-12-13 | 2022-03-15 | 中国平安财产保险股份有限公司 | 共享应用的跨平台调用方法、装置、设备及存储介质 |
| CN114500034A (zh) * | 2022-01-24 | 2022-05-13 | 北京新桥信通科技股份有限公司 | 一种数据服务安全管控方法及系统 |
| CN115987683A (zh) * | 2023-03-15 | 2023-04-18 | 中国信息通信研究院 | 区块链网络中节点访问控制方法、装置、设备和介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160227042A1 (en) * | 2014-03-18 | 2016-08-04 | Gubagoo, Inc. | Systems and methods for call backup and takeover using web and mobile interfaces |
| CN108520401A (zh) * | 2018-04-08 | 2018-09-11 | 深圳乐信软件技术有限公司 | 用户名单管理方法、装置、平台及存储介质 |
| CN110363026A (zh) * | 2019-07-19 | 2019-10-22 | 深圳前海微众银行股份有限公司 | 文件操作方法、装置、设备、系统及计算机可读存储介质 |
| CN112560067A (zh) * | 2020-12-25 | 2021-03-26 | 平安普惠企业管理有限公司 | 基于令牌权限校验的访问方法、装置、设备及存储介质 |
| CN112866217A (zh) * | 2021-01-05 | 2021-05-28 | 交通银行股份有限公司 | 一种基于令牌认证的微应用访问权限控制方法、装置 |
-
2021
- 2021-06-29 CN CN202110729548.XA patent/CN113382017B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160227042A1 (en) * | 2014-03-18 | 2016-08-04 | Gubagoo, Inc. | Systems and methods for call backup and takeover using web and mobile interfaces |
| CN108520401A (zh) * | 2018-04-08 | 2018-09-11 | 深圳乐信软件技术有限公司 | 用户名单管理方法、装置、平台及存储介质 |
| CN110363026A (zh) * | 2019-07-19 | 2019-10-22 | 深圳前海微众银行股份有限公司 | 文件操作方法、装置、设备、系统及计算机可读存储介质 |
| CN112560067A (zh) * | 2020-12-25 | 2021-03-26 | 平安普惠企业管理有限公司 | 基于令牌权限校验的访问方法、装置、设备及存储介质 |
| CN112866217A (zh) * | 2021-01-05 | 2021-05-28 | 交通银行股份有限公司 | 一种基于令牌认证的微应用访问权限控制方法、装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114185702A (zh) * | 2021-12-13 | 2022-03-15 | 中国平安财产保险股份有限公司 | 共享应用的跨平台调用方法、装置、设备及存储介质 |
| CN114500034A (zh) * | 2022-01-24 | 2022-05-13 | 北京新桥信通科技股份有限公司 | 一种数据服务安全管控方法及系统 |
| CN114500034B (zh) * | 2022-01-24 | 2023-01-31 | 北京新桥信通科技股份有限公司 | 一种数据服务安全管控方法及系统 |
| CN115987683A (zh) * | 2023-03-15 | 2023-04-18 | 中国信息通信研究院 | 区块链网络中节点访问控制方法、装置、设备和介质 |
| CN115987683B (zh) * | 2023-03-15 | 2023-07-28 | 中国信息通信研究院 | 区块链网络中节点访问控制方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113382017B (zh) | 2022-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113382017B (zh) | 基于白名单的权限控制方法、装置、电子设备及存储介质 | |
| CN113239106B (zh) | Excel文件导出方法、装置、电子设备及存储介质 | |
| CN113364753B (zh) | 反爬虫方法、装置、电子设备及计算机可读存储介质 | |
| CN102187346A (zh) | 用于使敏感信息安全的系统和过程 | |
| CN113434901A (zh) | 数据智能查询方法、装置、电子设备及存储介质 | |
| CN113704781A (zh) | 文件安全传输方法、装置、电子设备及计算机存储介质 | |
| CN106600082A (zh) | 业务系统中任务的处理方法、装置及业务体系构建系统 | |
| CN112446022A (zh) | 数据权限控制方法、装置、电子设备及存储介质 | |
| CN113127915A (zh) | 数据加密脱敏方法、装置、电子设备及存储介质 | |
| WO2023029509A1 (zh) | 动态服务发布方法、装置、电子设备及存储介质 | |
| CN112307052A (zh) | 一种数据管理方法、服务系统、终端及存储介质 | |
| CN111142863A (zh) | 一种页面生成的方法及装置 | |
| CN113434542B (zh) | 数据关系识别方法、装置、电子设备及存储介质 | |
| CN114626079A (zh) | 基于用户权限的文件查看方法、装置、设备及存储介质 | |
| CN113095806B (zh) | 工单处理方法与装置、电子设备和计算机可读存储介质 | |
| CN113221154A (zh) | 服务密码获取方法、装置、电子设备及存储介质 | |
| CN112988888B (zh) | 密钥管理方法、装置、电子设备及存储介质 | |
| CN115102770A (zh) | 基于用户权限的资源访问方法、装置、设备及存储介质 | |
| CN114911479A (zh) | 基于配置化的界面生成方法、装置、设备及存储介质 | |
| CN114978649A (zh) | 基于大数据的信息安全保护方法、装置、设备及介质 | |
| CN112307449B (zh) | 权限分级管理方法、装置、电子设备和可读存储介质 | |
| CN115001768A (zh) | 基于区块链的数据交互方法、装置、设备及存储介质 | |
| CN114840388A (zh) | 数据监控方法、装置、电子设备及存储介质 | |
| CN113792323A (zh) | 一种基于农产品的敏感数据加密方法、装置及电子设备 | |
| CN113127109A (zh) | 接口调用方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40049989 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |