CN114268478B - 边缘云平台的调用请求鉴权方法、装置、设备及介质 - Google Patents

边缘云平台的调用请求鉴权方法、装置、设备及介质 Download PDF

Info

Publication number
CN114268478B
CN114268478B CN202111529395.0A CN202111529395A CN114268478B CN 114268478 B CN114268478 B CN 114268478B CN 202111529395 A CN202111529395 A CN 202111529395A CN 114268478 B CN114268478 B CN 114268478B
Authority
CN
China
Prior art keywords
interface
user
edge cloud
calling
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111529395.0A
Other languages
English (en)
Other versions
CN114268478A (zh
Inventor
刘海锋
苏寒
罗文杰
陈广汉
莫俊彬
潘桂新
李太德
游梓巍
莫忠蓁
卢列强
李志毅
罗平明
蔡佳煌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202111529395.0A priority Critical patent/CN114268478B/zh
Publication of CN114268478A publication Critical patent/CN114268478A/zh
Application granted granted Critical
Publication of CN114268478B publication Critical patent/CN114268478B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

本发明提供一种边缘云平台的调用请求鉴权方法、装置、设备及介质,该方法包括:获取用户终端发送的第一接口调用请求;所述第一接口调用请求包括用户虚拟机标识;校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同;若确定相同,则根据第一接口调用请求生成对应临时令牌;将所述临时令牌发送至用户终端,以使用户终端根据所述临时令牌和所需调用权限生成第二接口调用请求;接收用户终端发送的第二接口调用请求,对所述第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。本发明的边缘云平台的调用请求鉴权方法,通过多种鉴权方式和鉴权流程提高了鉴权准确性。

Description

边缘云平台的调用请求鉴权方法、装置、设备及介质
技术领域
本发明涉及数据处理技术领域,尤其涉及一种边缘云平台的调用请求鉴权方法、装置、设备及介质。
背景技术
MEC(英文全称为:Multi-access Edge Computing,中文为:边缘云)将高带宽、低时延、本地化业务下沉到网络边缘,成为5G网络重构和数字化转型的关键利器。其中,MEC边缘云接入协同平台简称边缘云平台或MEP平台负责管理边缘业务,承担着MEC边缘云中“云、网、边、端、业”的核心交互工作,它是边缘云CT(英文全称为:Communication Techonology,中文为:通讯技术产业)能力和IT(英文全称为:Information Techonology,中文为:信息技术产业)能力深度融合的关键一环。
MEP平台具有很高的开放性,但同时也容易产生安全风险问题。如果没有进行认证与授权就允许调用MEP接口,则恶意调用者可以发起恶性攻击或者窃取用户敏感信息。
目前边缘云平台对用户调用MEP接口的信息鉴权需要在边缘云平台本身架构上增加认证授权服务器,以通过认证授权服务器对调用信息进行鉴权,同时,鉴权也较为简单。这种鉴权方式增加了边缘云平台本身架构的部署难度,鉴权准确性也较低。
发明内容
本发明提供一种边缘云平台的调用请求鉴权方法、装置、设备及介质,用以解决目前的鉴权方式增加了边缘云平台本身架构的部署难度,鉴权准确性也较低的问题。
本发明第一方面提供一种边缘云平台的调用请求鉴权方法,包括:
获取用户终端发送的第一接口调用请求;所述第一接口调用请求包括用户虚拟机标识;
校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同;
若确定相同,则根据第一接口调用请求生成对应临时令牌;
将所述临时令牌发送至用户终端,以使用户终端根据所述临时令牌和所需调用权限生成第二接口调用请求;
接收用户终端发送的第二接口调用请求,对所述第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。
进一步地,如上所述的方法,所述边缘云平台包括API网关;
所述校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同,包括:
采用API网关校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。
进一步地,如上所述的方法,所述预设数据库还存储有用户虚拟机标识与调用权限范围的映射关系;
所述对所述第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理,包括:
对所述临时令牌进行校验;
若临时令牌的校验结果为通过,则根据用户虚拟机标识确定预设数据库中匹配的调用权限范围;
确定所需调用权限是否超过匹配的调用权限范围;
若确定所需调用权限没有超过匹配的调用权限范围,则确定对第二接口调用请求的鉴权结果为通过。
进一步地,如上所述的方法,所述预设数据库还存储有用户终端的注册网络地址;
所述确定对第二接口调用请求的鉴权结果为通过之后,还包括:
获取所述用户终端的当前网络地址;
确定预设数据库中是否存储有与所述用户终端的当前网络地址匹配的注册网络地址;
若确定存储有匹配的注册网络地址,则根据所述第二接口调用请求调用匹配的边缘云平台接口。
进一步地,如上所述的方法,所述边缘云平台还包括边缘云服务模块和用户面功能网元;
所述根据所述第二接口调用请求调用匹配的边缘云平台接口,包括:
采用API网关将所述第二接口调用请求发送至所述边缘云服务模块;
采用所述边缘云服务模块根据所述第二接口调用请求调用所述用户面功能网元的通信功能接口。
进一步地,如上所述的方法,所述边缘云平台还包括控制台模块;所述控制台模块与用户终端以及所述边缘云服务模块通信连接;
所述校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同之前,还包括:
采用控制台模块接收用户终端发送的用户注册信息;所述用户注册信息包括用户虚拟机标识和注册网络地址;
采用控制台模块根据所述用户注册信息分配所述边缘云服务模块中边缘云平台接口的调用权限范围;
采用控制台模块将所述用户注册信息和匹配的调用权限范围存储入预设数据库中。
进一步地,如上所述的方法,若鉴权处理结果为不通过,则所述方法还包括:
发送鉴权处理结果至用户终端。
本发明第二方面提供一种边缘云平台的调用请求鉴权装置,包括:
获取模块,用于获取用户终端发送的第一接口调用请求;所述第一接口调用请求包括用户虚拟机标识;
校验模块,用于校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同;
生成模块,用于若确定相同,则根据第一接口调用请求生成对应临时令牌;
发送模块,用于将所述临时令牌发送至用户终端,以使用户终端根据所述临时令牌和所需调用权限生成第二接口调用请求;
鉴权模块,用于接收用户终端发送的第二接口调用请求,对所述第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。
进一步地,如上所述的装置,所述边缘云平台包括API网关;
所述校验模块具体用于:
采用API网关校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。
进一步地,如上所述的装置,所述预设数据库还存储有用户虚拟机标识与调用权限范围的映射关系;
所述鉴权模块在对所述第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理时,具体用于:
对所述临时令牌进行校验;若临时令牌的校验结果为通过,则根据用户虚拟机标识确定预设数据库中匹配的调用权限范围;确定所需调用权限是否超过匹配的调用权限范围;若确定所需调用权限没有超过匹配的调用权限范围,则确定对第二接口调用请求的鉴权结果为通过。
进一步地,如上所述的装置,所述预设数据库还存储有用户终端的注册网络地址;
所述装置还包括:
地址校验模块,用于获取所述用户终端的当前网络地址;确定预设数据库中是否存储有与所述用户终端的当前网络地址匹配的注册网络地址;若确定存储有匹配的注册网络地址,则根据所述第二接口调用请求调用匹配的边缘云平台接口。
进一步地,如上所述的装置,所述边缘云平台还包括边缘云服务模块和用户面功能网元;
所述地址校验模块在根据所述第二接口调用请求调用匹配的边缘云平台接口时,具体用于:
采用API网关将所述第二接口调用请求发送至所述边缘云服务模块;采用所述边缘云服务模块根据所述第二接口调用请求调用所述用户面功能网元的通信功能接口。
进一步地,如上所述的装置,所述边缘云平台还包括控制台模块;所述控制台模块与用户终端以及所述边缘云服务模块通信连接;
所述装置还包括:
注册模块,用于采用控制台模块接收用户终端发送的用户注册信息;所述用户注册信息包括用户虚拟机标识和注册网络地址;采用控制台模块根据所述用户注册信息分配所述边缘云服务模块中边缘云平台接口的调用权限范围;采用控制台模块将所述用户注册信息和匹配的调用权限范围存储入预设数据库中。
进一步地,如上所述的装置,若鉴权处理结果为不通过,则所述装置还包括:
结果反馈模块,用于发送鉴权处理结果至用户终端。
本发明第三方面提供一种电子设备,包括:存储器,处理器;
存储器;用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为由所述处理器执行第一方面任一项所述的边缘云平台的调用请求鉴权方法。
本发明第四方面提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现第一方面任一项所述的边缘云平台的调用请求鉴权方法。
本发明第五方面提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现第一方面任一项所述的边缘云平台的调用请求鉴权方法。
本发明提供的一种边缘云平台的调用请求鉴权方法、装置、设备及介质,该方法包括:获取用户终端发送的第一接口调用请求;所述第一接口调用请求包括用户虚拟机标识;校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同;若确定相同,则根据第一接口调用请求生成对应临时令牌;将所述临时令牌发送至用户终端,以使用户终端根据所述临时令牌和所需调用权限生成第二接口调用请求;接收用户终端发送的第二接口调用请求,对所述第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。本发明的边缘云平台的调用请求鉴权方法,通过边缘云平台原生架构即可以实现鉴权流程,不会增加边缘云平台架构的部署难度。同时,通过给每个用户预设用户虚拟机标识,使每个用户都具有独一无二的标识,再结合临时令牌、调用权限的鉴权处理,通过多种鉴权方式和鉴权流程提高了鉴权准确性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1为可以实现本发明实施例的边缘云平台的调用请求鉴权方法的场景图;
图2为本发明第一实施例提供的边缘云平台的调用请求鉴权方法的流程示意图;
图3为本发明第二实施例提供的边缘云平台的调用请求鉴权方法的流程示意图;
图4为本发明第二实施例提供的边缘云平台的调用请求鉴权方法的架构示意图;
图5为本发明第二实施例提供的边缘云平台的调用请求鉴权方法中调用通信能力的流程示意图;
图6为本发明第三实施例提供的边缘云平台的调用请求鉴权装置的结构示意图;
图7为本发明第四实施例提供的电子设备的结构示意图。
通过上述附图,已示出本发明明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围,而是通过参考特定实施例为本领域技术人员说明本发明的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明的实施例进行描述。
为了清楚理解本申请的技术方案,首先对现有技术的方案进行详细介绍。目前边缘云平台对用户调用MEP接口的信息鉴权需要在边缘云平台本身架构上增加认证授权服务器。具体鉴权流程如下:API网关接收用户终端即API调用方发送的API认证请求消息,并将其转发到认证授权服务器。认证授权服务器对其进行认证,并将终端用户信息、访问权限和私钥生成标准token请求数据通过API网关返回API调用方。其中,公钥配置在API网关上,API调用方携带标准token请求数据向API网关发送API业务请求消息,API网关根据公钥对token请求数据进行验证,验证成功将API业务请求消息转发给后端服务并将业务应答返回API调用方。
目前的鉴权方式增加了边缘云平台本身架构的部署难度,同时,由于鉴权也较为简单,鉴权准确性也较低。
所以针对现有技术中目前的鉴权方式增加了边缘云平台本身架构的部署难度,鉴权准确性也较低的问题,发明人在研究中发现,为了解决该问题,可以通过设计将鉴权流程融入边缘云平台本身架构中,从而不需要增加额外的认证授权服务器。同时,可以增加鉴权流程的鉴权方式和鉴权流程,从而提高鉴权准确性。
具体的,首先获取用户终端发送的第一接口调用请求。第一接口调用请求包括用户虚拟机标识。然后校验用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。若确定相同,则根据第一接口调用请求生成对应临时令牌。将临时令牌发送至用户终端,以使用户终端根据临时令牌和所需调用权限生成第二接口调用请求。同时,接收用户终端发送的第二接口调用请求,并对第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。
本发明的边缘云平台的调用请求鉴权方法,通过边缘云平台原生架构即可以实现鉴权流程,不会增加边缘云平台架构的部署难度。同时,通过给每个用户预设用户虚拟机标识,使每个用户都具有独一无二的标识,再结合临时令牌、调用权限的鉴权处理,通过多种鉴权方式和鉴权流程提高了鉴权准确性。
发明人基于上述的创造性发现,提出了本申请的技术方案。
下面对本发明实施例提供的边缘云平台的调用请求鉴权方法的应用场景进行介绍。如图1所示,其中,1为边缘云平台,2为用户终端。本发明实施例提供的边缘云平台的调用请求鉴权方法对应的应用场景的网络架构中包括:边缘云平台1和用户终端2。边缘云平台1一般包括API网关、边缘云服务模块和用户面功能网元。用户终端2可以是服务器、电子设备等终端设备。
在用户终端2需要调用接口时,边缘云平台1获取用户终端发送的第一接口调用请求。第一接口调用请求包括用户虚拟机标识。然后边缘云平台1校验用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。若确定相同,则根据第一接口调用请求生成对应临时令牌。边缘云平台1将临时令牌发送至用户终端2,用户终端2根据临时令牌和所需调用权限生成第二接口调用请求。同时,用户终端2发送第二接口调用请求至边缘云平台1。边缘云平台1对该第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。在鉴权通过后,调用后端服务并将业务应答返回用户终端2。
下面结合说明书附图对本发明实施例进行介绍。
图2为本发明第一实施例提供的边缘云平台的调用请求鉴权方法的流程示意图,如图2所示,本实施例中,本发明实施例的执行主体为边缘云平台的调用请求鉴权装置,该边缘云平台的调用请求鉴权装置可以集成在电子设备中。则本实施例提供的边缘云平台的调用请求鉴权方法包括以下几个步骤:
步骤S101,获取用户终端发送的第一接口调用请求。第一接口调用请求包括用户虚拟机标识。
本实施例中,用户终端的用户在执行A应用的过程中,如果需要其他应用介入执行某些功能,此时,该用户授权另一个B应用权限后,用户终端根据A应用以及用户的授权可以生成第一接口调用请求。
用户终端在生成第一接口调用请求后,会发送至边缘云平台,由边缘云平台内部模块进行处理,比如内部的API网关。
用户终端一般与用户相绑定,每个用户终端可以采用虚拟机的方式分配内部资源,同时,虚拟机具有独一无二的用户虚拟机标识,从而可以以校验用户虚拟机标识的方式给后续调用接口提供一层安全防护。
若存放数据的是关系型数据库,则需要在获取数据后,存放于非关系型数据库,从而方便数据的校验。
步骤S102,校验用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。
本实施例中,预先在预设数据库中存储了用户虚拟机标识,该动作会在用户注册时完成,同时,会根据用户的需求不断的更新完善。
步骤S103,若确定相同,则根据第一接口调用请求生成对应临时令牌。
本实施例中,在确定用户虚拟机标识相同后,此时,完成了第一层的鉴权。可以根据第一接口调用请求生成匹配的临时令牌,以在后续流程中以校验临时令牌的方式,进一步执行鉴权。
步骤S104,将临时令牌发送至用户终端,以使用户终端根据临时令牌和所需调用权限生成第二接口调用请求。
本实施例中,用户终端在收到临时令牌时,会保留该临时令牌,并根据临时令牌和所需调用权限生成第二接口调用请求,该第二接口调用请求可以包括临时令牌、所需调用权限、用户终端的参数配置等。
步骤S105,接收用户终端发送的第二接口调用请求,对第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。
本实施例中,在接收到用户终端发送的第二接口调用请求后,可以对第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理,从而完成对用户终端调用接口的鉴权处理。
本发明实施例提供的一种边缘云平台的调用请求鉴权方法,该方法包括:获取用户终端发送的第一接口调用请求。第一接口调用请求包括用户虚拟机标识。校验用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。若确定相同,则根据第一接口调用请求生成对应临时令牌。将临时令牌发送至用户终端,以使用户终端根据临时令牌和所需调用权限生成第二接口调用请求。接收用户终端发送的第二接口调用请求,对第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。本发明的边缘云平台的调用请求鉴权方法,通过边缘云平台原生架构即可以实现鉴权流程,不会增加边缘云平台架构的部署难度。同时,通过给每个用户预设用户虚拟机标识,使每个用户都具有独一无二的标识,再结合临时令牌、调用权限的鉴权处理,通过多种鉴权方式和鉴权流程提高了鉴权准确性。
图3为本发明第二实施例提供的边缘云平台的调用请求鉴权方法的流程示意图,如图3所示,本实施例提供的边缘云平台的调用请求鉴权方法,是在本发明上一实施例提供的边缘云平台的调用请求鉴权方法的基础上,对各个步骤进行了进一步的细化。则本实施例提供的边缘云平台的调用请求鉴权方法包括以下步骤。
步骤S201,获取用户终端发送的第一接口调用请求。第一接口调用请求包括用户虚拟机标识。
本实施例中,步骤201的实现方式与本发明上一实施例中的步骤101的实现方式类似,在此不再一一赘述。
需要说明的是,边缘云平台包括API网关、控制台模块、边缘云服务模块以及用户面功能网元。
步骤S202,采用API网关校验用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。若是,则执行步骤S203,若否,则执行步骤S209。
本实施例中,将鉴权流程以安全访问控制插件的形式与API网关融合在了一块,从而使API网关可以实现对接口调用请求的鉴权,而不需要再增加额外的认证授权服务器。
该安全访问控制插件可以基于oauth2客户端授权模式机制实现,提供了临时令牌分发、临时令牌校验、API权限校验等能力。
可选的,本实施例中,边缘云平台还包括控制台模块。控制台模块与用户终端以及边缘云服务模块通信连接。
校验用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同之前,还包括:
采用控制台模块接收用户终端发送的用户注册信息。用户注册信息包括用户虚拟机标识和注册网络地址。
采用控制台模块根据用户注册信息分配边缘云服务模块中边缘云平台接口的调用权限范围。
采用控制台模块将用户注册信息和匹配的调用权限范围存储入预设数据库中。
本实施例中,控制台模块指边缘云管理控制台,通过控制台的分权分域能力,控制台的管理员管理边缘云用户并为边缘云用户分配边缘云平台的接口调用权限。
注册流程主要是记录用户通过用户终端发送的用户注册信息,用户注册信息可以包括用户虚拟机标识、注册网络地址、用户可调用权限范围、用户终端配置等数据。
具体可以包括:用户标识、虚拟机的实例标识、虚拟机的网络地址、应用管理的用户终端地址范围、带宽限制范围等。从而为后续的鉴权流程提供基础。
步骤S203,根据第一接口调用请求生成对应临时令牌。
本实施例中,步骤203的实现方式与本发明上一实施例中的步骤103的实现方式类似,在此不再一一赘述。
步骤S204,将临时令牌发送至用户终端,以使用户终端根据临时令牌和所需调用权限生成第二接口调用请求。
本实施例中,步骤204的实现方式与本发明上一实施例中的步骤104的实现方式类似,在此不再一一赘述。
步骤S205,接收用户终端发送的第二接口调用请求,对临时令牌进行校验。
本实施例中,由于临时令牌需要在校验用户虚拟机标识时生成,因而,当没有经过用户虚拟机标识校验的恶意调用者,是不具有临时令牌的,通过临时令牌可以进一步提高调用的安全性。
步骤S206,若临时令牌的校验结果为通过,则根据用户虚拟机标识确定预设数据库中匹配的调用权限范围。
本实施例中,由于预设设置时,每个用户的用户虚拟机标识都匹配有可调用权限的范围,因而,可以根据该可调用权限的范围进一步确定用户的当前调用是否超出匹配的调用权限范围。
步骤S207,确定所需调用权限是否超过匹配的调用权限范围。
若所需调用权限超过匹配的调用权限范围,则代表该次调用不符合要求,不能允许调用。
步骤S208,若确定所需调用权限没有超过匹配的调用权限范围,则确定对第二接口调用请求的鉴权结果为通过。
可选的,本实施例中,预设数据库还存储有用户终端的注册网络地址。
确定对第二接口调用请求的鉴权结果为通过之后,还包括:
获取用户终端的当前网络地址。
确定预设数据库中是否存储有与用户终端的当前网络地址匹配的注册网络地址。
若确定存储有匹配的注册网络地址,则根据第二接口调用请求调用匹配的边缘云平台接口。
本实施例中,在前述鉴权的流程上,增加了对用户终端网络地址的校验,若用户终端的当前网络地址与注册时对应的注册网络地址相同,则可进行接口调用。
可选的,本实施例中,边缘云平台还包括边缘云服务模块和用户面功能网元。
根据第二接口调用请求调用匹配的边缘云平台接口,包括:
采用API网关将第二接口调用请求发送至边缘云服务模块。
采用边缘云服务模块根据第二接口调用请求调用用户面功能网元的通信功能接口。
本实施例中,边缘云服务模块作为边缘云平台控制面的核心组件,提供应用管理、域名解析服务器配置、服务治理等功能。
步骤S209,若鉴权处理结果为不通过,则发送鉴权处理结果至用户终端。
本实施例的边缘云平台的调用请求鉴权方法中,注册的用户需要携带虚拟机唯一标识,以查询用户终端信息的接口,此设计可以隔离不同调用者的API权限。虚拟机唯一标识可以为虚机实例标识,该标识一般不为其他用户所知,减少了被泄露给恶意调用者的风险。同时,虚拟机唯一标识下,还可以细化针对用户的不同应用赋予不同的标识,从而可以确定出调用请求是由哪个应用发起。
本实施例的边缘云平台的调用请求鉴权方法提供了一套通用的身份认证和授权的机制,不再依赖后端的认证授权服务,更加高效便捷。本实施例引入了包括边缘云虚拟机的唯一标识、租户网络等相关资源信息作为认证因子,实现了多因子认证的方式,更加可靠、安全。同时,本方法提供了一种用户资源隔离的配置方式用来校验边缘云平台接口调用者的请求数据,可以使不同调用者间接口配置之间隔离,提高安全性。
为了更好的理解本实施例的边缘云平台的调用请求鉴权方法,下面将以实际应用场景为例,进行详细说明。
如图4所示,边缘云平台包括控制台模块,API网关,边缘云服务模块即缩写MEP服务,用户面功能网元即英文缩写UPF,具体的网络通信连接关系如图4所示,在此不再赘述。本实施例中以用户A和用户B进行举例说明。用户A和用户B设置有对应的虚拟机,每个虚拟机都具有对应的标识,各用户的用户应用服务都设置在虚拟机中运行。用户A或用户B的某个用户应用服务需要调用边缘云平台接口以获取通信能力的流程如图5所示,具体流程如下:
假设当前进行调用的为用户A的用户应用。用户A的用户应用通过控制台模块获取到API权限和验证信息后,向API网关申请调用MEP接口的临时令牌,API网关校验授权信息成功后,返回临时令牌。此时,用户B如果想恶意调用A的授权接口,由于无法通过虚拟机标识识别的流程,因而,无法影响到用户A。
用户A的用户应用通过临时令牌发起调用MEP接口请求,API网关收到请求后,校验临时令牌和调用权限,校验成功后,请求数据头部插入租户应用的IP地址,并转发到MEP服务模块。MEP服务模块解析请求,依据应用中的限制信息比如用户终端范围、网络范围等对请求头部的原始地址和请求中的具体内容进行校验,实现用户间配置安全隔离,校验完成后,调取CT通信能力并返回给用户A的用户应用服务。
图6为本发明第三实施例提供的边缘云平台的调用请求鉴权装置的结构示意图,如图6所示,本实施例中,该边缘云平台的调用请求鉴权装置300包括:
获取模块301,用于获取用户终端发送的第一接口调用请求。第一接口调用请求包括用户虚拟机标识。
校验模块302,用于校验用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。
生成模块303,用于若确定相同,则根据第一接口调用请求生成对应临时令牌。
发送模块304,用于将临时令牌发送至用户终端,以使用户终端根据临时令牌和所需调用权限生成第二接口调用请求。
鉴权模块305,用于接收用户终端发送的第二接口调用请求,对第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。
本实施例提供的边缘云平台的调用请求鉴权装置可以执行图2所示方法实施例的技术方案,其实现原理和技术效果与图2所示方法实施例类似,在此不再一一赘述。
同时,本发明提供的边缘云平台的调用请求鉴权装置在上一实施例提供的边缘云平台的调用请求鉴权装置的基础上,对边缘云平台的调用请求鉴权装置300进行了进一步的细化。
可选的,本实施例中,边缘云平台包括API网关。
校验模块302具体用于:
采用API网关校验用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。
可选的,本实施例中,预设数据库还存储有用户虚拟机标识与调用权限范围的映射关系。
鉴权模块305在对第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理时,具体用于:
对临时令牌进行校验。若临时令牌的校验结果为通过,则根据用户虚拟机标识确定预设数据库中匹配的调用权限范围。确定所需调用权限是否超过匹配的调用权限范围。若确定所需调用权限没有超过匹配的调用权限范围,则确定对第二接口调用请求的鉴权结果为通过。
可选的,本实施例中,预设数据库还存储有用户终端的注册网络地址。
边缘云平台的调用请求鉴权装置300还包括:
地址校验模块,用于获取用户终端的当前网络地址。确定预设数据库中是否存储有与用户终端的当前网络地址匹配的注册网络地址。若确定存储有匹配的注册网络地址,则根据第二接口调用请求调用匹配的边缘云平台接口。
可选的,本实施例中,边缘云平台还包括边缘云服务模块和用户面功能网元。
地址校验模块在根据第二接口调用请求调用匹配的边缘云平台接口时,具体用于:
采用API网关将第二接口调用请求发送至边缘云服务模块。采用边缘云服务模块根据第二接口调用请求调用用户面功能网元的通信功能接口。
可选的,本实施例中,边缘云平台还包括控制台模块。控制台模块与用户终端以及边缘云服务模块通信连接。
边缘云平台的调用请求鉴权装置300还包括:
注册模块,用于采用控制台模块接收用户终端发送的用户注册信息。用户注册信息包括用户虚拟机标识和注册网络地址。采用控制台模块根据用户注册信息分配边缘云服务模块中边缘云平台接口的调用权限范围。采用控制台模块将用户注册信息和匹配的调用权限范围存储入预设数据库中。
可选的,本实施例中,若鉴权处理结果为不通过,则边缘云平台的调用请求鉴权装置300还包括:
结果反馈模块,用于发送鉴权处理结果至用户终端。
本实施例提供的边缘云平台的调用请求鉴权装置可以执行图2-图5所示方法实施例的技术方案,其实现原理和技术效果与图2-图5所示方法实施例类似,在此不再一一赘述。
根据本发明的实施例,本发明还提供了一种电子设备、一种计算机可读存储介质和一种计算机程序产品。
如图7所示,图7是本发明第四实施例提供的电子设备的结构示意图。电子设备旨在各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图7所示,该电子设备包括:处理器401、存储器402。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理。
存储器402即为本发明所提供的非瞬时计算机可读存储介质。其中,存储器存储有可由至少一个处理器执行的指令,以使至少一个处理器执行本发明所提供的边缘云平台的调用请求鉴权方法。本发明的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本发明所提供的边缘云平台的调用请求鉴权方法。
存储器402作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本发明实施例中的边缘云平台的调用请求鉴权方法对应的程序指令/模块(例如,附图6所示的获取模块301、校验模块302、生成模块303、发送模块304和鉴权模块305)。处理器401通过运行存储在存储器402中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的边缘云平台的调用请求鉴权方法。
同时,本实施例还提供一种计算机产品,当该计算机产品中的指令由电子设备的处理器执行时,使得电子设备能够执行上述实施例一至二的边缘云平台的调用请求鉴权方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明实施例的其它实施方案。本发明旨在涵盖本发明实施例的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明实施例的一般性原理并包括本发明实施例未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明实施例的真正范围和精神由下面的权利要求书指出。
应当理解的是,本发明实施例并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明实施例的范围仅由所附的权利要求书来限制。

Claims (10)

1.一种边缘云平台的调用请求鉴权方法,其特征在于,包括:
获取用户终端发送的第一接口调用请求;所述第一接口调用请求包括用户虚拟机标识;
校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同;
若确定相同,则根据第一接口调用请求生成对应临时令牌;
将所述临时令牌发送至用户终端,以使用户终端根据所述临时令牌和所需调用权限生成第二接口调用请求;
接收用户终端发送的第二接口调用请求,对所述第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。
2.根据权利要求1所述的方法,其特征在于,所述边缘云平台包括API网关;
所述校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同,包括:
采用API网关校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同。
3.根据权利要求2所述的方法,其特征在于,所述预设数据库还存储有用户虚拟机标识与调用权限范围的映射关系;
所述对所述第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理,包括:
对所述临时令牌进行校验;
若临时令牌的校验结果为通过,则根据用户虚拟机标识确定预设数据库中匹配的调用权限范围;
确定所需调用权限是否超过匹配的调用权限范围;
若确定所需调用权限没有超过匹配的调用权限范围,则确定对第二接口调用请求的鉴权结果为通过。
4.根据权利要求3所述的方法,其特征在于,所述预设数据库还存储有用户终端的注册网络地址;
所述确定对第二接口调用请求的鉴权结果为通过之后,还包括:
获取所述用户终端的当前网络地址;
确定预设数据库中是否存储有与所述用户终端的当前网络地址匹配的注册网络地址;
若确定存储有匹配的注册网络地址,则根据所述第二接口调用请求调用匹配的边缘云平台接口。
5.根据权利要求4所述的方法,其特征在于,所述边缘云平台还包括边缘云服务模块和用户面功能网元;
所述根据所述第二接口调用请求调用匹配的边缘云平台接口,包括:
采用API网关将所述第二接口调用请求发送至所述边缘云服务模块;
采用所述边缘云服务模块根据所述第二接口调用请求调用所述用户面功能网元的通信功能接口。
6.根据权利要求5所述的方法,其特征在于,所述边缘云平台还包括控制台模块;所述控制台模块与用户终端以及所述边缘云服务模块通信连接;
所述校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同之前,还包括:
采用控制台模块接收用户终端发送的用户注册信息;所述用户注册信息包括用户虚拟机标识和注册网络地址;
采用控制台模块根据所述用户注册信息分配所述边缘云服务模块中边缘云平台接口的调用权限范围;
采用控制台模块将所述用户注册信息和匹配的调用权限范围存储入预设数据库中。
7.根据权利要求6所述的方法,其特征在于,若鉴权处理结果为不通过,则所述方法还包括:
发送鉴权处理结果至用户终端。
8.一种边缘云平台的调用请求鉴权装置,其特征在于,包括:
获取模块,用于获取用户终端发送的第一接口调用请求;所述第一接口调用请求包括用户虚拟机标识;
校验模块,用于校验所述用户虚拟机标识和预设数据库中存储的用户虚拟机标识是否相同;
生成模块,用于若确定相同,则根据第一接口调用请求生成对应临时令牌;
发送模块,用于将所述临时令牌发送至用户终端,以使用户终端根据所述临时令牌和所需调用权限生成第二接口调用请求;
鉴权模块,用于接收用户终端发送的第二接口调用请求,对所述第二接口调用信息中的临时令牌和所需调用权限进行鉴权处理。
9.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至7任一项所述的边缘云平台的调用请求鉴权方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至7任一项所述的边缘云平台的调用请求鉴权方法。
CN202111529395.0A 2021-12-14 2021-12-14 边缘云平台的调用请求鉴权方法、装置、设备及介质 Active CN114268478B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111529395.0A CN114268478B (zh) 2021-12-14 2021-12-14 边缘云平台的调用请求鉴权方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111529395.0A CN114268478B (zh) 2021-12-14 2021-12-14 边缘云平台的调用请求鉴权方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN114268478A CN114268478A (zh) 2022-04-01
CN114268478B true CN114268478B (zh) 2023-04-25

Family

ID=80827092

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111529395.0A Active CN114268478B (zh) 2021-12-14 2021-12-14 边缘云平台的调用请求鉴权方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN114268478B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978761B (zh) * 2022-06-28 2023-04-25 平安银行股份有限公司 一种接口授权方法、装置、电子设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016007563A1 (en) * 2014-07-07 2016-01-14 Symphony Teleca Corporation Remote Embedded Device Update Platform Apparatuses, Methods and Systems
WO2017071924A1 (en) * 2015-10-30 2017-05-04 British Telecommunications Public Limited Company Mobile information processing
CN110944330A (zh) * 2018-09-21 2020-03-31 华为技术有限公司 Mec平台部署方法及装置
CN112929319A (zh) * 2019-12-05 2021-06-08 中国电信股份有限公司 内容服务方法、系统、装置及计算机可读存储介质
CN113114656A (zh) * 2021-04-07 2021-07-13 丁志勇 基于边缘云计算的基础设施布局方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016007563A1 (en) * 2014-07-07 2016-01-14 Symphony Teleca Corporation Remote Embedded Device Update Platform Apparatuses, Methods and Systems
WO2017071924A1 (en) * 2015-10-30 2017-05-04 British Telecommunications Public Limited Company Mobile information processing
CN110944330A (zh) * 2018-09-21 2020-03-31 华为技术有限公司 Mec平台部署方法及装置
CN112929319A (zh) * 2019-12-05 2021-06-08 中国电信股份有限公司 内容服务方法、系统、装置及计算机可读存储介质
CN113114656A (zh) * 2021-04-07 2021-07-13 丁志勇 基于边缘云计算的基础设施布局方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Bin Han ; Stan Wong ; Christian Mannweiler."Context-Awareness Enhances 5G Multi-Access Edge Computing Reliability".《 IEEE Access》.2019,全文. *
周之皓."IMS虚拟化与车联网资源分配算法研究".《中国优秀硕士学位论文全文数据库(电子期刊)工程科技Ⅱ辑》.2021,全文. *

Also Published As

Publication number Publication date
CN114268478A (zh) 2022-04-01

Similar Documents

Publication Publication Date Title
CN109413032B (zh) 一种单点登录方法、计算机可读存储介质及网关
US10083290B2 (en) Hardware-based device authentication
CN105991614B (zh) 一种开放授权、资源访问的方法及装置、服务器
CN101729514B (zh) 一种业务调用的实现方法及装置和系统
CN113239377B (zh) 权限控制方法、装置、设备以及存储介质
US20160261607A1 (en) Techniques for identity-enabled interface deployment
WO2020134838A1 (zh) 权限验证方法及相关装置
US9172701B2 (en) Techniques for secure debugging and monitoring
CN102546648A (zh) 一种资源访问授权的方法
CN112165454B (zh) 访问控制方法、装置、网关和控制台
CN112948802B (zh) 单点登录方法、装置、设备及存储介质
CN109600337B (zh) 资源处理方法、装置、系统及计算机可读介质
WO2020173019A1 (zh) 访问凭证验证方法、装置、计算机设备及存储介质
US20180278611A1 (en) System and method for securing an inter-process communication via a named pipe
CN108881309A (zh) 大数据平台的访问方法、装置、电子设备及可读存储介质
WO2022143174A1 (zh) 一种数据传输方法、装置、设备、存储介质及计算机程序产品
KR101824562B1 (ko) 인증 게이트웨이 및 인증 게이트웨이의 인증 방법
CN114268478B (zh) 边缘云平台的调用请求鉴权方法、装置、设备及介质
CN114579951A (zh) 业务访问方法、电子设备及存储介质
CN107645474B (zh) 登录开放平台的方法及登录开放平台的装置
CN105814834B (zh) 用于公共云应用的基于推送的信任模型
US11070978B2 (en) Technique for authenticating a user device
CN104113511B (zh) 一种接入ims网络的方法、系统及相关装置
CN115134175B (zh) 一种基于授权策略的安全通讯方法及装置
CN116633562A (zh) 一种基于WireGuard的网络零信任安全交互方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant