CN113949563B - 一种基于策略的数据服务器资源访问控制方法 - Google Patents

Abstract

本发明公开了一种基于策略的数据服务器资源访问控制方法，采用策略控制对各种请求进行层层过滤，保障系统在有限的资源下正常运行和大资源开销的运算，能够动态规划减少资源占用、提高资源使用效率，提升系统的数据安全性和整体运行性能，使得服务器资源得到了大量的节省，在大型的项目中作用明显，大幅提升资源综合利用率。

Description

一种基于策略的数据服务器资源访问控制方法

技术领域

本发明涉及数据访问控制及数据安全领域，尤其涉及一种基于策略的数据服务器资源访问控制方法。

背景技术

为了更好的提高生产管理水平、搞高生产安全、提高生产效益、提高企业竞争力，很多企业在实时生产控制系统上增加投入。随着物联网技术的发展及各类传感器控制器的涌现和大规模使用，工业生产中各环节点均有大量数据产生，有大量的自动化网络化控制设备投入使用。然而随着物联网相关上下流产业的发展，数据的种类和数量越来越多，相关的信息系统能做的事情也越来越多，人们对系统的期望和要求越来越高，数据实时统计、分析、安全对生产在追求自动化信息化以及决策智能化的发展过程中，越发重要。系统集成和信息互通，但是经常实时查看一些数据，对设备运行状态趋势及生产发展的趋势做一些查询和判断。大量数据拉取和聚合等操作需要大量运算资源投入，但通常这种操作频率都是不太确定的，而且通常不太应该被频繁的调用。在资源有限的情况下，系统设计不当和用户操作不当，均容易造成网络拥堵和服务器卡顿甚至死机造成生产事故。但是这些系统功能对用户来说必不可少，不可或缺。而目前在广泛应用的解决方式主要是通过提高网络带宽、数据处理的运算能力，来抵消一些问题可能会出现的概率，只是抵销了一些概率，随着需要参与运算的数据量的增长和对实时时效要求的提高，问题会以更高量级的形式完全重现而且更加不可收拾。或者通过修改软件系统架构，增加缓存设计，通过一些读写分离的设计来改善应用。但这不太适合数据会持续增长的物联网相关场景。因为缓存和这些读写分离的本质绕不开情景下全量数据对内存的要求，而服务器的内存资源总是十分宝贵的。因而它只能适用少量高频数据的场景，对于需要某应用场景下全量数据进快速实时聚和统计等情形并不适用。人们需要一种动态的灵活的更加有针对性的系统化的设计。能够高效快速，具有一定自动判断能力的智能设计，可以动态规划减少资源占用，提高资源使用效率，提升系统的数据安全性和整体运行性能。

发明内容

本发明所要解决的技术问题是针对背景技术中所涉及到的缺陷，提供一种基于策略的数据服务器资源访问控制方法。

本发明为解决上述技术问题采用以下技术方案：

一种基于策略的数据服务器资源访问控制方法，包括如下步骤：

步骤1)，用户请求资源访问控制器，资源访问控制器对用户请求进行拒绝过滤：步骤1.1)，资源访问控制器从服务器获取过滤信息；

所述过滤信息包含用户特征、用户权限、用户IP信息、用户地域信息、用户请求资源的历史记录、以及用户的访问行为特征，其中，所述用户特征包含用户的爬虫物征和用户的机器人特征，所述用户IP信息包含用户IP白名单和用户IP黑名单，所述用户地域信息包含用户是否为国外用户、用户所在省份、用户所在城市；所述用户的访问行为特征包含用户常用IP和用户常住地址；

步骤1.2)，资源访问控制器获取数据服务器资源的实时状态：cpu、内存、网络、磁盘的使用率和空闲量；

步骤1.3)，结合过滤信息和获取的数据服务器资源的实时状态，依次调用拒绝服务策略组中的各个限制策略，按其限制条件进行拒绝判断，一旦判断为拒绝，则立刻对不当访问和受限访问进行拦截；

所述拒绝服务策略组中包含时段限制策略、地域限制策略、IP限制策略、访问特征限制策略、行为异常限制策略、条件互斥限制策略、资源限制策略、权限限制策略、频次限制策略、数量限制策略；

其中，所述访问特征限制策略用于在用户采用和其访问行为特征不符合的信息进行高频大量数据访问时拦截其访问；所述频次限制策略用于在单位时间内用户请求超过预设的次数阈值时对其访问进行拦截；所述数量限制策略用于在单位时间内用户请求数据量超过预设的数量阈值时对其访问进行拦截；

步骤2)，用户请求顺利通过拒绝过滤，资源访问控制器对用户请求进行资源访问控制策略匹配和响应；

步骤2.1)，资源访问控制器从服务器获取任务调度信息，并对任务调度信息做预处理；

所述任务调度信息包含日、月、季、年阶段设备状态数据的均值、极值、众数值，以及日、月、季、年阶段设备生产数据的均值、极值、众数值；

步骤2.2)，结合经预处理后的任务调度信息，根据用户请求的数据量和数据范围进行判断：

步骤2.2.1)，用户请求能够快速响应的，直接匹配调用零整策略进行响应；

所述零整策略为先对统计任务进行化整为零的中间值预处理、在需要的时候对这些中间值进行统计处理的过程，用于减少运算量、缩短响应时间；

步骤2.2.2)，相应需要利用预处理后的任务调度信息进行计算、会高频调用资源对其它服务造成影响的，匹配调用延时策略，通过请求相关授权或身份验证对数据资源安全和数据服务器资源的使用进行保护；

不能通过授权或身份验证的直接返回，通过授权或身份验证的请求进一步调用分批减量策略，对用户请求的响应上，进行限行限量，分页返回，进一步减少服务器的压力。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

本发明采用策略控制对各种请求进行层层过滤，保障系统在有限的资源下正常运行和大资源开销的运算，能够动态规划减少资源占用、提高资源使用效率，提升系统的数据安全性和整体运行性能，使得服务器资源得到了大量的节省，在大型的项目中作用明显，大幅提升资源综合利用率。

附图说明

图1是本发明的流程示意图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明：

本发明可以以许多不同的形式实现，而不应当认为限于这里所述的实施例。相反，提供这些实施例以便使本公开透彻且完整，并且将向本领域技术人员充分表达本发明的范围。在附图中，为了清楚起见放大了组件。

如图1所示，本发明公开了一种基于策略的数据服务器资源访问控制方法，包括如下步骤：

步骤1)，用户请求资源访问控制器，资源访问控制器对用户请求进行拒绝过滤：步骤1.1)，资源访问控制器从服务器获取过滤信息；

所述过滤信息包含用户特征、用户权限、用户IP信息、用户地域信息、用户请求资源的历史记录、以及用户的访问行为特征，其中，所述用户特征包含用户的爬虫物征和用户的机器人特征，所述用户IP信息包含用户IP白名单和用户IP黑名单，所述用户地域信息包含用户是否为国外用户、用户所在省份、用户所在城市；所述用户的访问行为特征包含用户常用IP和用户常住地址；

步骤1.2)，资源访问控制器获取数据服务器资源的实时状态：cpu、内存、网络、磁盘的使用率和空闲量；

步骤1.3)，结合过滤信息和获取的数据服务器资源的实时状态，依次调用拒绝服务策略组中的各个限制策略，按其限制条件进行拒绝判断，一旦判断为拒绝，则立刻对不当访问和受限访问进行拦截；

所述拒绝服务策略组中包含时段限制策略、地域限制策略、IP限制策略、访问特征限制策略、行为异常限制策略、条件互斥限制策略、资源限制策略、权限限制策略、频次限制策略、数量限制策略；

其中，所述访问特征限制策略用于在用户采用和其访问行为特征不符合的信息进行高频大量数据访问时拦截其访问；所述频次限制策略用于在单位时间内用户请求超过预设的次数阈值时对其访问进行拦截；所述数量限制策略用于在单位时间内用户请求数据量超过预设的数量阈值时对其访问进行拦截；

步骤2)，用户请求顺利通过拒绝过滤，资源访问控制器对用户请求进行资源访问控制策略匹配和响应；

步骤2.1)，资源访问控制器从服务器获取任务调度信息，并对任务调度信息做预处理；

所述任务调度信息包含日、月、季、年阶段设备状态数据的均值、极值、众数值，以及日、月、季、年阶段设备生产数据的均值、极值、众数值；

步骤2.2)，结合经预处理后的任务调度信息，根据用户请求的数据量和数据范围进行判断：

步骤2.2.1)，用户请求能够快速响应的，直接匹配调用零整策略进行响应；

所述零整策略为先对统计任务进行化整为零的中间值预处理、在需要的时候对这些中间值进行统计处理的过程，用于减少运算量、缩短响应时间；

步骤2.2.2)，相应需要利用预处理后的任务调度信息进行计算、会高频调用资源对其它服务造成影响的，匹配调用延时策略，通过请求相关授权或身份验证对数据资源安全和数据服务器资源的使用进行保护；

不能通过授权或身份验证的直接返回，通过授权或身份验证的请求进一步调用分批减量策略，对用户请求的响应上，进行限行限量，分页返回，进一步减少服务器的压力。

授权或身份验证的意义在于，一方面减少了不符和规定(不能通过授权和验证)和不必要(用户觉得麻烦，不一定要的请求会减少)的访问，另一方面，减少了单位时间内的合法访问的并发频次。

具体实施例：

实施例1：某大型EMS软件系统中有许多传感器、BMS系统及储能管理体系统等子系统，数据收集器、通讯主机、网关、终端控制服务器之间大量实时数据须24小时不间断处理。该系统软件为了安全运行，需要按一定频率统计设备的实时运行状态趋势。需要为决策者提供一些统计数据。比如聚合各设备每月的发电量、用电量、各设备各级别的告警量、无功运行时长等等统计数据等等。需要为决策者提供一些数据分析，比如用能预测，发电量预测，故障预测等。

实时要求和性能要求高，尤其设备状态趋势判断及快速触发必要的相关联动。需要更高更快的实时计算，快速响应，快速处理；尤其是涉及生产安全方面需要保证顺畅快速响应。

在此EMS软件系统中，因涉大量数据需要聚合统计，容易在数据服务器上形成大量资源资源占用，影响生安全和实时决策，大量数据运算占用数据服务资源同时倒致其它服务被延迟，影响整个系统的安全运行和性能。在这里，我们采用策略控制对各种请求进行层层过滤，同时保障系统在有限的资源下正常运行和大资源开销的运算。产环境实测数据显示，整体平衡下来，服务器资源得到了大量的节省，在大型的项目中作用明显，大幅提升资源综合利用率。

本技术领域技术人员可以理解的是，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种基于策略的数据服务器资源访问控制方法，其特征在于，包括如下步骤：

步骤1)，用户请求资源访问控制器，资源访问控制器对用户请求进行拒绝过滤：

步骤1.1)，资源访问控制器从服务器获取过滤信息；

所述过滤信息包含用户特征、用户权限、用户IP信息、用户地域信息、用户请求资源的历史记录、以及用户的访问行为特征，其中，所述用户特征包含用户的爬虫物征和用户的机器人特征，所述用户IP信息包含用户IP白名单和用户IP黑名单，所述用户地域信息包含用户是否为国外用户、用户所在省份、用户所在城市；所述用户的访问行为特征包含用户常用IP和用户常住地址；

步骤1.2)，资源访问控制器获取数据服务器资源的实时状态：cpu、内存、网络、磁盘的使用率和空闲量；

步骤1.3)，结合过滤信息和获取的数据服务器资源的实时状态，依次调用拒绝服务策略组中的各个限制策略，按其限制条件进行拒绝判断，一旦判断为拒绝，则立刻对不当访问和受限访问进行拦截；

所述拒绝服务策略组中包含时段限制策略、地域限制策略、IP限制策略、访问特征限制策略、行为异常限制策略、条件互斥限制策略、资源限制策略、权限限制策略、频次限制策略、数量限制策略；

其中，所述访问特征限制策略用于在用户采用和其访问行为特征不符合的信息进行高频大量数据访问时拦截其访问；所述频次限制策略用于在单位时间内用户请求超过预设的次数阈值时对其访问进行拦截；所述数量限制策略用于在单位时间内用户请求数据量超过预设的数量阈值时对其访问进行拦截；

步骤2)，用户请求顺利通过拒绝过滤，资源访问控制器对用户请求进行资源访问控制策略匹配和响应；

步骤2.1)，资源访问控制器从服务器获取任务调度信息，并对任务调度信息做预处理；所述任务调度信息包含日、月、季、年阶段设备状态数据的均值、极值、众数值，以及日、月、季、年阶段设备生产数据的均值、极值、众数值；

步骤2.2)，结合经预处理后的任务调度信息，根据用户请求的数据量和数据范围进行判断：

步骤2.2.1)，用户请求能够快速响应的，直接匹配调用零整策略进行响应；

所述零整策略为先对统计任务进行化整为零的中间值预处理、在需要的时候对这些中间值进行统计处理的过程，用于减少运算量、缩短响应时间；

步骤2.2.2)，相应需要利用预处理后的任务调度信息进行计算、会高频调用资源对其它服务造成影响的，匹配调用延时策略，通过请求相关授权或身份验证对数据资源安全和数据服务器资源的使用进行保护；

不能通过授权或身份验证的直接返回，通过授权或身份验证的请求进一步调用分批减量策略，对用户请求的响应上，进行限行限量，分页返回，进一步减少服务器的压力。