CN114884728B - 一种基于角色访问控制令牌的安全访问方法 - Google Patents

一种基于角色访问控制令牌的安全访问方法 Download PDF

Info

Publication number
CN114884728B
CN114884728B CN202210487816.6A CN202210487816A CN114884728B CN 114884728 B CN114884728 B CN 114884728B CN 202210487816 A CN202210487816 A CN 202210487816A CN 114884728 B CN114884728 B CN 114884728B
Authority
CN
China
Prior art keywords
token
user
information
role
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210487816.6A
Other languages
English (en)
Other versions
CN114884728A (zh
Inventor
王建丽
陈亚红
于亚洲
张宇
薛付
周一帆
王容霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Lanjing Technology Co ltd
Original Assignee
Zhejiang Lanjing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Lanjing Technology Co ltd filed Critical Zhejiang Lanjing Technology Co ltd
Priority to CN202210487816.6A priority Critical patent/CN114884728B/zh
Publication of CN114884728A publication Critical patent/CN114884728A/zh
Application granted granted Critical
Publication of CN114884728B publication Critical patent/CN114884728B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开涉及访问控制领域,具体公开了一种基于角色访问控制令牌的安全访问方法;所述方法通过依据渔业资源管理平台的分区域层级特点,简化现有的六元组控制模型结构为三元组模型结构,将上述分区域的特点与访问控制中的角色属性相匹配,通过角色属性在同一网络域中的继承和不同网络域共享角色的设置,实现在用户信息变更时能够便捷地通过令牌访问设置,在保障用户访问安全控制的同时,提升了渔业管理平台用户对工作流程访问的便捷性。

Description

一种基于角色访问控制令牌的安全访问方法
技术领域
本发明涉及本发明涉及互联网领域,尤其涉及一种基于RBAC验证令牌的安全访问方法。
背景技术
渔业管服融合一体化平台系统中包含大量的物联网设备,物联网安全系统对这些物联网设备进行统一的安全管理,重点针对密钥管理、通信安全、权限认证等安全问题设计,以保证数据的保密性、完整性、可用性。对于资源受限的物联设备,配套一个边缘网关来执行设备身份认证、安全通信等功能。对于资源不受限的物联设备,可直接在物联设备上实现身份认证和安全通信等功能。在算法方面,采用基于标识的国密算法,并对算法进行轻量化设计,可应用于资源受限物联网设备,实现物联网设备认证、通信加密,保证数据的保密性和完整性。在密钥管理方面,建立统一的密钥分发管理体系,确保密钥的安全性。
但是上述方案中是对于密钥管理中的令牌的简单验证,并没有将令牌的验证与物联网深度相结合,且上述方案中对于是通常意义上对于令牌登录服务器的有效性执行验证,没有考虑到令牌验证与角色之间的动态化控制,当用户的角色或掉线时以及发生改变时,需要频繁的设置不同的权限控制,在安全和访问便利性的之间,无法做到很好的兼容。
发明内容
为解决上述方法之一,本申请提供了一种基于角色访问控制(role-based accesscontrol)令牌的安全访问方法,所述方法包括:
构建渔业管理服务平台的三元模型关系,三元组模型包括三个实体:主体、令牌权限和资源服务事件;将权限设置于主体的角色属性和令牌权限的映射关系;
根据渔业管理平台中的管理结构体系拓扑图,依据管理体系结构划分不同的网络域;同一网络域内的网关对于同一账户的访问认证请求做同步处理;在各域之间建立一个共享角色域,其中包括与具体渔业管平台中的结构体系无关的共享角色属性,共享角色属性与各个不同域中身份标识存在映射的关系,每个网络域设置其自身安全策略;当一个网络域中用户对另一网络域中的流程应用访问时,其身份可以通过共享角色在两个域之间进行映射;
赋予不同的管理结构体系拓扑图各层的角色属性,所述角色属性的权限信息独立于用户的身份标识ID,通过在访问令牌消息中权限标识信息,所述标识信息用于用户对于资源服务事件的控制权限。
可选的,主体的角色属性存在继承的现象,继承者实体的属性分为两部分:一部分属性继承自被继承者层级;一部分是自己特有的属性,自己特有的属性不会和继承属性冲突;
可选的,所述资源服务事件包括:对数据的读、写、新建、删除和对物联网设备的操作。
可选的,主体与令牌权限是一对多的关系,每个主体至少拥有一个令牌权限,一个令牌权限至少对应一个资源服务事件。
可选的,用户的身份ID信息与角色属性分离,用户身份ID信息将令牌权限与角色属性关联。
可选的,令牌权限的属性包括自身固有属性和权限继承的属性。
可选的,设定的网络区域内的任一物联网网关生成身份认证结果后,启动分布式共识机制,并计算与分布式共识机制相符合的合法数字串,将身份认证结果和合法数字串发送至域内其它的物联网网关。
可选的,用户登录过程中对于令牌包含时间信息的校验,实行动态的后台校验服务,所述令牌信息在分配登录后,该令牌信息基于时间校验信息而作废。
可选的,LDAP目录服务提供用户账户/账号集中管理,所有与用户账号相关的管理策略均在服务端配置,实现账号的集中维护和管理。
可选的,与用户身份ID信息相关联的角色属性中随着用户在渔业管理层级变化机构管理属性动态变化。
可选的,所述方法应用于渔业资源管理平台中的工作流程的业务审批。
本申请的方案,通过依据渔业资源管理平台的分区域层级特点,简化现有的六元组控制模型结构为三元组模型结构,同时将上述分区域的特点与访问控制中的角色属性相匹配,通过角色属性在同一网络域中的继承和不同网络域共享角色的设置,实现在用户信息变更时能够便捷地通过令牌访问设置,实现在保障用户访问安全控制的同时,提升了渔业管理平台用户对工作流程访问的便捷性。
附图说明
通过参考附图会更加清楚的理解本公开的特征和优点,附图是示意性的而不应理解为对本公开进行任何限制,在附图中图1 为应用分方法的系统示意图。
图2 本申请方法的流程示意图。
具体实施方式
参看下面的说明以及附图,本公开的这些或其他特征和特点、操作方法、结构的相关元素的功能、部分的结合以及制造的经济性可以被更好地理解,其中说明和附图形成了说明书的一部分。然而,可以清楚地理解,附图仅用作说明和描述的目的,并不意在限定本公开的保护范围。可以理解的是,附图并非按比例绘制。本公开中使用了多种结构图用来说明根据本公开的实施例的各种变形。
实施例1
如图1,所示,通过访问网络接收请求,通过认证中心执行消息的认证。
如图2所示,通常的六元组模型包括:主体(Subject,S)、客体(Object,O)、权限(Permission,P)、资源拥有者(Resource Owner,R)、令牌和事件(Event,E)。针对在渔业管理平台中,所述渔业管理平台中的管理机构的上下级结构的拓扑管理关系呈现分层特性;将管理结构的属性能赋予的角色属性能够被继承映射。本申请的方法,首先在认证中心中构建三元组模型,三元模式包括三个实体即:主体、令牌权限和资源服务事件。将通常的六元组关系中的将权限体现在主体的角色属性和令牌权限的映射关系中,将资源拥有者、客体、权限事件简化为资源服务事件。
在控制访问中,事件的不同,各种事件与主体之间的关系也各不相同。实体间的属性存在继承的现象,继承者实体的属性分为两部分:一部分属性继承自被继承者实体;一部分是自己特有的属性,自己特有的属性不会和继承属性冲突。继承者实体在继承了被继承者实体的属性后,受到被继承者实体属性的约束,其行为必须满足它所继承的属性。
方法通过三元组(S,P,E)表示访问控制所涉及到的实体。主体是主动发起访问请求的实体集合,通过S(t)={s1,s2,…,sn}表示t时刻物联网中的某个主动发起访问请求的主体si的集合。资源服务事件是物联网中可被访问的实体集合,可以是数据、文件、程序、物联网设备等虚拟和现实中所有可被访问的资源,通过E(t)={e1,e2,…,en}表示t时刻物联网中可被访问的资源ei的集合。令牌权限是主体S对资源服务事件E操作的范围和程度的实体集合,通过P={p1,p2,…,pn}表示物联网中的权限,包括数据的读、写、新建、删除和对物联网设备的操作等。
令牌是访问控制策略对主体授予的权限的实体集合,通过令牌tokenij(p,tstart,tend)={tokenij(p,tstart,tend)|i∈S(tstart),j∈O(tstart),p∈P}表示,tokenij(p,tstart,tend)表示tstart到tend期间主体si拥有对资源服务事件Ej的操作权限p。
在公司企业中,资源服务事件可以体现为对事件流程的审批和对系资源的审核管理,以及对于系统设备的管理设置等。
主体S与令牌是一对多的关系,即每个主体可以同时拥有多个令牌,每个令牌只能对应一个主体。一个令牌可以对应一个资源服务事件,同时一个资源服务事件的权限可以生成多个令牌分发给多个主体。
渔业管理平台中的机构管理角色属性作为用户即主体和令牌权限之间的关联中间层,将用户即主体和令牌权限关联起来;不同的角色属性通过不同是令牌权限来实现各自的功能。构建的三元组的的访问控制模型中,基于属性的访问控制基于角色属性的访问控制访问主体、资源服务事件(被访问的资源)、令牌权限(访问方式和外界条件)。
基于渔业管理平台中的管理角色的属性,即在用户身份标识中管理机构的角色属性。根据渔业管理平台中的管理结构体系拓扑图,依据管理体系结构划分不同的网络域;同一网络域内的网关对于同一账户的访问认证请求做同步处理;在各域之间建立一个共享角色域,其中包括与具体渔业管平台中的结构体系无关的共享角色属性,共享角色属性与各个不同域中身份标识存在映射的关系,每个网络域设置其自身安全策略;当一个网络域中用户对另一网络域中的流程应用访问时,其身份可以通过共享角色在两个域之间进行映射。
用户的身份ID信息与角色属性分离,将令牌权限与机构的角色属性关联。基于上述设置在渔业管理平台中,访问控制以实体的属性中的机构管理角色作为基础进行授权决策,它可以随着实体属性的变化。渔业管理结构的管理结构的变化,动态地更新访问控制策略,实现更加灵活的、细粒度的动态访问控制方法。将属性作为访问控制策略授权判断的依据和基础,用户满足访问控制策略中规定的属性条件即可获得策略规定的访问权限。比如,机构管理角色A的变化,并不会带来权限固有属性的变动。优选的方式,可只需将A身边标识信息在令牌列表中的权限赋值时间特性,在授予令牌相关的访问权限时与职务信息的变动时的自动更新增量信息即可。比如任期变动,离职变动等。通过tokenij(p,tstart,tend)做设置,tokenij表示tstart到tend期间主体si拥有对资源服务事件Ej的操作权限p。
可选的,权限自身固有的属性包括权限是永久赋予、按时间赋予还是按次数赋予等,但是权限所对应的用户信息,标识用户的ID信息与用户的管理角色属性剥离。因此对于权限固有的信息是可以永久赋予,对于角色信息的改变,而权限信息进行继承或约束。权限继承自其对应资源等访问和控制等属性受外界条件等属性的约束。将令牌权限的属性包括自身固有属性和从对应权限继承的属的属性包括自身固有属性和从对应权限继承的属性两部分。自身固有属性包括令牌拥有者、有效时间、是否拥有者、有效时间、是否可传递等。
如图1所示,本发明提供了的框架示意图包括认证中心和网关,用户端需要通过网关提供的API接口需要访问时,向认证中心发送,登录调用请求,认证中心调用登录接口,用户在登录的过程中需要通过静态口令和动态口令的同时验证,只要在两方面的认证均通过的情况下才能真正确认用户身份。双因素身份认证方式采用时间同步方式,要求认证服务器在同一时间,以同一方式和同样的算法生成当下时刻合法认证口令码,与此同时,用户的认证口令要和认证服务器上的认证口令在时间上保持一致,只有用户发来的认证口令码和服务器的认证口令码一致,用户身份才能确定。当校验用户身份信息和密码通过后,用户信息验证登录成功后,认证中心会向用户返回一个令牌信息。
如前所述根据渔业管理平台的机构管理特征,划分不同的认证网络区域。在相应的网络区域内的任一物联网网关生成身份认证结果后,启动分布式共识机制,并计算与分布式共识机制相符合的合法数字串,将身份认证结果和合法数字串发送至域内其它的物联网网关。首先计算出身份认证结果的域内任一物联网网关,启动分布式共识机制将计算出的身份认证结果在域内广播至域内除自身外的其它物联网网关。
在网络认证区域中身份信息涵盖有用户的角色定义,所述角色定义映射到所述用户的访问控制权限,所述身份固有属性,令牌的属性包括自身固有属性和从对应权限继承的属的属性包括自身固有属性和从对应权限继承的属性两部分。自身固有属性包括令牌拥有者、有效时间、是否拥有者、有效时间、是否可传递等。认证中心会根据渔业管理平台制定好的规则生成一个令牌信息,并将令牌信息与用户名以键值对的形式保存到安全验证服务器的redis数据库中。
登录过程中对于令牌包含时间信息的校验,实行动态的后台校验服务,所述令牌信息在分配登录后,该令牌信息基于时间校验信息而作废,所述令牌信息中仅对令牌结构体中的变更校验信息执行校验和存储。
相应的用户之前登录的令牌信息将被作废,将新生成的增量令牌信息和个人身份相关信息保存到登录信息表中;并在校验与令牌相关的接口访问服务中会使用到登录信息表的数据。
示例性的,渔业管理服务平台可以管理用户身份信息的目录数据库,认证中心的权限由渔业管理服务平台进行设置管理。用户执行单点登录通过诸如LDAP目录服务提供用户账户/账号集中管理。所有与账号等相关的管理策略均在服务端配置,实现账号的集中维护和管理。用户端账号及密码通过认证中心进行验证,管理员或渔业管理服务平台只须维护服务器条目即可。对用户的身份信息中的条目信息,按照树形结构进行组织,具体信息数据存储在条目中,条目可以看成关系数据库中的表记录,条目是具有区别名(Distinguished Name,DN)的属性(attribute)。
DN是用来引用条目,DN相当于关系数据库中的主键。属性由类型(type)和值(value)组成。用户身份信息是作为登录步骤的唯一入口凭证,在完成登录步骤之后,再执行令牌的验证,只有验证成功之后才能执行访问服务。每个结点用一个条目来保存,通过object Class的类型来控制不同结点需要的数据。每一个条目都有一个唯一的区别名DN。属性定义并区分不同角色的权限;用户端根据不同的权限配置,控制和验证登录会话。
目录信息是以树形结构进行存储的,在树根一般定义域名,其次定义一个或多个组织或组织单元。一个组织单元可以包含用户账户相关信息。通过将数据的存储设计组织成树形结构,实现与现实中的物理模型结构直接对应,减少关系型数据库的表结构的转换。比如,可以映射与渔业管理人员所属机构的拓扑结构信息,从机构的结构信息中保存不同用户的账户信息,通过不同的机构层级的标识信息对用户名等执行编码设置权限属性值。
可选的,示例性的,在根节点下,其子节点中分别包括用户、用户组、用户角色、权限、网络应用资源信息等目录数据。所有用户条目都被置于用户节点下。cn(commonName)属性是每一个用户条目的唯一标志符。每一个用户条目中包含相应的用户基本信息,方便用户管理和应用系统的调用。目录树中的用户组和访问角色分别被置于对应节点下,用户组和访问角色均可嵌套以实现对具体组织机构和用户身份的模型化。目录树中所有的应用资源信息被置于应用分支节点下,应用资源信息节点也可进行嵌套以实现对具体应用系统的模型化。为方便统一授权,对应的在权限节点下放置了针对网络应用资源的用户权限,通过将一个权限对象赋予用户、用户组、访问角色以实现用户对平台应用资源的访问权限。
用户端接收认证中心发送的令牌信息,并向认证中心执行发送包含令牌的令牌服务请求消息,所述认证中心接收该令牌服务请求消息,解析消息体中的令牌信息,并进行验证,当验证成功时,用户端执行应用服务的调用;否则拒绝。
用户可以在调用登录接口时携带用户身份标识等用户信息作为接口访问服务的参数。渔业管理平台服务器在对用户令牌信息基于用户端在发起登录时,认证中心首先判断终端是否存在相同的登录,如果存在相同登录时,强制先登录的设备下线,以保障安全。
当登录请求到达时,对登录请求进行拦截,除登录接口外,其余接口可以接收相同用户发送的令牌信息。
为实现任务服务的快捷性,被强制下线用户之前发送服务访问请求能够完成并延续,认证中心设置时间阈值,在阈值范围内的先前相同账户信息延续服务。认证中心首先需要从服务访问令牌消息中解析出令牌信息,诸如令牌字符串,并校验令牌信息是否合法。如果是,则正常访问服务,如果否则拒绝访问。
认证中心在对合法的令牌通过校验后,提取出保存在redis数据库中的用户信息,通过用户信息中更新的角色增量属性信息,获取用户的访问增量权限信息,获取此用户所能访问的资源服务事件的地址。校验服务访问令牌消息中的资源服务事件地址是否在用户所能访问的地址列表中,若不存在,则否决该请求,提示无权限并返回。
轻量级服务访问令牌框架采用的轻量级服务访问令牌支持无状态的会话应用,使用签名和加密来验证和保护会话内容。服务访问令牌消息由三部分组成:头信息(header),消息体(payload)和签名(signature) 和标识增量信息字段。头信息指定了该令牌使用的签名算法。服务访问令牌消息,设置有效时间段字段Time valid,由服务端自行设置的值;初始化后会记录时间Time lisit,在使用令牌验证时,判断当前时间Time current是否属于有效时间段,若超出有效时间段,则重新初始化,然后更新认证中心数据库中的令牌。所述标识增量信息字段指示是否存在为增量信息。
用户每次调用登录接口时都会产生新的令牌,令牌根据后台认证中心设置的时效性,服务器在校验之前提取判断服务访问指令中头信息中的时间信息,当判断时间信息已经超期,用户使用过时的令牌访问接口将被系统直接否决。
认证中心区分令牌超时还是过期失效,令牌超时不等同于令牌失效,令牌失效是为账号在其他设备上登录导致,此时自己被强制下线,需要重新登录得到最新的令牌才可继续使用。令牌超时是令牌一直都是最新的,只是超过了使用期限,此时认证中心为用户生成新的令牌以继续使用,并不需要用户再次调用登录接口;仅验证令牌是否为正在使用的登录账户的超时令牌时效性。当判断令牌有效时,在设定的网络区域内的任一物联网网关生成或确认身份认证结果后,启动分布式共识机制,并计算与分布式共识机制相符合的合法数字串,将身份认证结果和合法数字串发送至网络域内其它的物联网网关。首先计算出身份认证结果的域内任一物联网网关,启动分布式共识机制将计算出的身份认证结果在域内广播至域内除自身外的其它物联网网关。
为保障单一用户的数据访问同步性,所述基于RBCA的设备访问控制执行同时在先的校验,结合结合令牌校验策略和 XMPP 强制下线策略,设置基于令牌校验的 XMPP 强制下线策略,应用于后台的登录接口和Check 令牌接口,所述Check 令牌用于检测令牌是否有效,当令牌因为超时而失效时,返回给前端用户一个新的可以使用的令牌,作为访问接口的凭证,记录在登录信息表中,并保存设备类型和设备唯一标识码,作为后续操作使用。
当用户在移动端使用登录功能时,后台为其生成了新的令牌并保存到认证中心的redis 数据库中,作为之后一段时间内访问接口的有效凭证,同时切断该用户的XMPP连接,为其建立新的XMPP连接做准备。
所述认证访问服务中基于在同一域内网关的访问信息进行收集并认证,可选的所述认证中心的日志中记录所述用户的访问信息,根据所述访问信息日志。当用户端在同一区域内通过其它网关访问时,调用接口提示令牌失效、断线重连之前或自动登录之前,则需要校验令牌同时确保 XMPP 可连接,此时需要用基于令牌校验的强制下线策略。
调用Check 令牌接口时首先需要校验令牌,此时有两种情况:令牌有效和令牌无效。当令牌有效时,根据传入的参数判断是否需要进行强制断开连接操作,如需要强制断开连接,则根据令牌从redis数据库中查询出用户名等信息,根据规则组拼连接的信息,进行查询连接有效性、断开连接等操作,返回处理结果。
当令牌无效时,需要判断是否为令牌超时,此时需要根据用户的信息基于同一区域网络,在访问日志中,查询最后登录的信息,对比最后登录时的令牌和传入的令牌是否相符,如不符,则为令牌失效,也就是该账号已在其他设备上登录过,用户端需要重新登录执行校验。当用户端收到特定的返回值后需要直接返回到登录界面;如令牌相符,则说明是令牌超过了使用期限,此时为用户生成一个可使用的令牌返回,同时更新后台数据中与此人令牌相关的数据,最后根据传入的参数判断是否需要强制断开连接,还是继续执行连接。
可选的,所述系统中可设置有均衡服务,负载均衡器,用于根据预设的负载均衡策略,确定认证中心服务器集群中用于接收安全认证消息的第一认证服务器;并对所述访问请求消息的目标访问地址进行重定向,以将所述安全认证转发给所述第一服务器。可选的,当接收到用户端发送的安全认证请求时,对所述请求进行解析,得到域名地址;通过预置域名解析服务按照预置负载均衡算法对所述域名地址进行域名解析,得到公网网络协议地址,并将所述公网网络协议地址发送到所述目标终端。
所述预置负载均衡算法用于指示将所述域名地址按照预置权重分配到所述不同的服务器中;服务请求为所述目标终端根据所述公网网络协议地址生成的访问认证请求。负载均衡模块采用Nginx负载均衡器实现平台的负载均衡。Nginx负载均衡器作为轻量级高并发的Web服务器,负载均衡模块,可以包括有一个服务负载预测模块,所述服务预测模块通过、接着服务负载预测模块通过差分整合自回归移动平均模型(Auto regressiveIntegrated Moving Average model,ARIMA)分析时间序列,计算服务负载预测值。均衡算法可以是,通过不同的评分函数以及权重得出候选服务器的综合得分为评分函数加权求和所得,负载均衡模块最后根据得分情况,选取对应为服务器即容器或实例可以运行的最佳微服务器。所述评分函数可以采用 balance resource allocation 算法,通过分析服务器的CPU和内存利用率,以达到集群均衡状态的目标。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文缩写:ROM)、随机存取存储器(英文全称:Random Access Memory,英文缩写:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
如在本申请所使用的,术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体,该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如,组件可以是,但不限于是:在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例,在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中,并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外,这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如,来自一个组件的数据,该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号,以本地和/或远程过程的方式进行通信。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.一种基于角色访问控制令牌的安全访问方法,其特征在于:所述方法包括:
构建渔业管理服务平台的三元模型,所述三元组模型包括三个实体:主体、令牌权限和资源服务事件;将权限分置于主体的角色属性和令牌权限的映射关系中;
根据渔业管理平台中的管理结构体系拓扑图,依据管理体系结构划分不同的网络域;同一网络域内的网关对于同一账户的访问认证请求做同步处理;在各网络域之间建立一个共享角色域,其包括与渔业管理平台中的结构体系无关的共享角色属性,共享角色属性与各个不同网络域中用户的身份标识ID存在映射的关系,每个网络域设置其自身安全策略;当一个网络域中用户对另一网络域中的流程应用访问时,其身份通过共享角色在两个域之间进行映射;
赋予不同的管理结构体系拓扑图各层的角色属性;所述角色属性的权限信息独立于用户的身份标识ID,在访问令牌消息中设置权限标识信息,所述标识信息用于用户对于资源服务事件的控制权限;
其中,三元模型中实体的角色属性设置为继承特征,继承者实体的属性分为两部分:一部分属性继承自被继承者层级;一部分是自己特有的属性,自己特有的属性不与继承属性冲突,所述角色属性映射到所述用户的访问控制权限;
认证中心根据渔业管理平台制定的规则生成令牌信息,并将令牌信息与用户信息以键值对的形式保存到安全验证服务器的redis数据库中;用户登录渔业管理平台时,认证中心对用于登录的令牌信息中包含的时间信息做校验,在对令牌信息通过校验后,提取出保存在redis数据库中的用户信息,通过用户信息中更新的角色属性信息,获取用户的访问权限信息,获取此用户所能访问的资源服务事件的地址。
2.如权利要求1所述的方法,其特征在于:所述资源服务事件包括对数据的读、写、新建、删除和对物联网设备的操作。
3.如权利要求2所述的方法,其特征在于:主体与令牌权限是一对多的关系,每个主体至少拥有一个令牌权限,一个令牌权限至少对应一个资源服务事件。
4.如权利要求3所述的方法,其特征在于:用户的身份ID信息与角色属性分离,用户身份ID信息将令牌权限与角色属性关联。
5.如权利要求4所述的方法,其特征在于:认证中心通过LDAP目录服务的方式提供用户账户集中管理,所有与用户账号相关的管理策略均在服务端配置,实现账号的集中维护和管理。
6.如权利要求5所述的方法,其特征在于:用户身份ID信息相关联的角色属性因用户在渔业管理服务平台中的管理属性变动而做动态变化。
7.如权利要求1-6中任意一项所述的方法,所述方法应用于渔业管理平台中的工作流程的业务审批。
CN202210487816.6A 2022-05-06 2022-05-06 一种基于角色访问控制令牌的安全访问方法 Active CN114884728B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210487816.6A CN114884728B (zh) 2022-05-06 2022-05-06 一种基于角色访问控制令牌的安全访问方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210487816.6A CN114884728B (zh) 2022-05-06 2022-05-06 一种基于角色访问控制令牌的安全访问方法

Publications (2)

Publication Number Publication Date
CN114884728A CN114884728A (zh) 2022-08-09
CN114884728B true CN114884728B (zh) 2023-04-07

Family

ID=82674234

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210487816.6A Active CN114884728B (zh) 2022-05-06 2022-05-06 一种基于角色访问控制令牌的安全访问方法

Country Status (1)

Country Link
CN (1) CN114884728B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100574210C (zh) * 2004-12-29 2009-12-23 北京邮电大学 一种基于无等级角色间映射的访问控制方法
US20070214497A1 (en) * 2006-03-10 2007-09-13 Axalto Inc. System and method for providing a hierarchical role-based access control
CN104573478B (zh) * 2014-11-20 2018-11-06 深圳市远行科技股份有限公司 一种Web应用的用户权限管理系统
CN105550854A (zh) * 2016-01-26 2016-05-04 中标软件有限公司 一种云环境管理平台的访问控制装置
CN113992406A (zh) * 2021-10-27 2022-01-28 杭州云象网络技术有限公司 一种用于联盟链跨链的权限访问控制方法

Also Published As

Publication number Publication date
CN114884728A (zh) 2022-08-09

Similar Documents

Publication Publication Date Title
AU2019206006B2 (en) System and method for biometric protocol standards
US7617522B2 (en) Authentication and authorization across autonomous network systems
US8387137B2 (en) Role-based access control utilizing token profiles having predefined roles
US7062563B1 (en) Method and system for implementing current user links
US7340770B2 (en) System and methodology for providing community-based security policies
US8387136B2 (en) Role-based access control utilizing token profiles
US7827598B2 (en) Grouped access control list actions
KR100389160B1 (ko) 외부 시스템 로그인을 위한 자동 서버 결정을 허용하는방법 및 장치
US5748890A (en) Method and system for authenticating and auditing access by a user to non-natively secured applications
EP2585970B1 (en) Online service access controls using scale out directory features
US7103784B1 (en) Group types for administration of networks
KR101496329B1 (ko) 네트워크의 디바이스 보안 등급 조절 방법 및 장치
US20060294580A1 (en) Administration of access to computer resources on a network
US20100132019A1 (en) Redundant multifactor authentication in an identity management system
US20100299738A1 (en) Claims-based authorization at an identity provider
JP5383838B2 (ja) 認証連携システム、idプロバイダ装置およびプログラム
CN109413080B (zh) 一种跨域动态权限控制方法及系统
WO2002061653A2 (en) System and method for resource provisioning
CN113839966B (zh) 一种基于微服务的安全管理系统
KR102611045B1 (ko) 다중 신뢰도 기반 접근통제 시스템
US8726335B2 (en) Consigning authentication method
US9467448B2 (en) Consigning authentication method
CN114884728B (zh) 一种基于角色访问控制令牌的安全访问方法
US8793356B2 (en) Transparent resource administration using a read-only domain controller
KR20020032892A (ko) 다수 유닉스 서버의 사용자 패스워드 통합 관리 시스템 및방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant