CN115913676B - 云原生应用的访问控制方法、装置、电子设备及存储介质 - Google Patents
云原生应用的访问控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115913676B CN115913676B CN202211375136.1A CN202211375136A CN115913676B CN 115913676 B CN115913676 B CN 115913676B CN 202211375136 A CN202211375136 A CN 202211375136A CN 115913676 B CN115913676 B CN 115913676B
- Authority
- CN
- China
- Prior art keywords
- application
- user terminal
- access control
- token
- application request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种云原生应用的访问控制方法,应用于云原生环境中,包括:拦截用户终端发送的应用请求,解析所述应用请求以获得所述应用请求对应的协议信息;基于所述协议信息和预先配置的规则对所述用户终端进行粗粒度的访问控制,确定被所述用户终端访问的资源是否需要进行身份验证和访问控制保护;验证所述用户终端的用户令牌以及所述应用请求中携带的相关资源属性,对所述用户终端进行细粒度的访问控制;存储所述用户终端的用户令牌和所述用户令牌对应的相关资源属性,并设置所述用户令牌的过期策略;能够在使用最小算力和存储空间的情况下,对流量进行细粒度权限管控,从而降低云原生环境下实现零信任访问控制的成本。
Description
技术领域
本申请属于信息安全技术领域,特别涉及一种云原生应用的访问控制方法、装置、电子设备及存储介质。
背景技术
云原生技术使组织能够在公共、私有和混合云等现代动态环境中,构建和运行可扩展的应用程序;零信任是一种实现基础设施安全性的理念,它假定不存在受信任的网络边界,并且每个网络请求都必须经过身份验证才能发生,零信任基于永不信任,始终验证的原则,并依赖其他网络安全方法,如网络流量控制和访问控制等。
云原生环境下,基于服务网格的流量监测和控制的方法和实现手段都发生了的变化,那么面对更频繁、更复杂的服务间访问流量,如何进一步提高网络的访问安全性是亟待解决的问题。
针对上述问题,本申请提出了一种云原生应用的访问控制方法。
发明内容
为了解决所述现有技术的不足,本申请提供了一种云原生应用的访问控制方法,在云原生环境下进行高性能、带权限的访问控制,能够在使用最小算力和存储空间的情况下,对流量进行细粒度权限管控,从而降低云原生环境下实现零信任访问控制的成本。
本申请所要达到的技术效果通过以下方案实现:
第一方面,本申请实施例提供一种云原生应用的访问控制方法,包括:
通过第一方式拦截用户终端发送的应用请求,解析所述应用请求以获得所述应用请求对应的协议信息,其中所述第一方式包括:透明代理的方式;
基于所述协议信息和预先配置的规则对所述用户终端进行粗粒度的访问控制,确定被所述用户终端访问的资源是否需要进行身份验证和访问控制保护;
验证所述用户终端的用户令牌以及所述应用请求中携带的相关资源属性,对所述用户终端进行细粒度的访问控制,若验证成功,则将所述应用请求转发至相应的应用服务器,若验证失败,则阻断所述应用请求并将状态返回至所述用户终端;
存储所述用户终端的用户令牌和所述用户令牌对应的相关资源属性,并设置所述用户令牌的过期策略。
进一步地,所述解析所述应用请求以获得所述应用请求对应的协议信息,包括:获取所述应用请求中的首个数据包的数据内容,基于所述数据内容获得协议信息,所述协议信息包括:协议类型。
进一步地,所述基于所述协议信息和预先配置的规则对所述用户终端进行粗粒度的访问控制,确定被所述用户终端访问的资源是否需要进行身份验证和访问控制保护,包括:
基于所述协议类型判断所述应用请求是否为目标协议类型,根据所述预先配置的规则对所述用户终端进行粗粒度的访问控制,若是所述目标协议类型,则允许所述用户终端进行继续访问,若不是所述目标协议类型,则直接拒绝所述用户终端的访问,其中所述目标类协议类型包括:HTTP协议类型。
进一步地,所述通过第一方式拦截用户终端发送的应用请求之前,还包括:
检测所述用户终端的应用部署行为,自动将数据平面代理添加到所述应用的容器中,用于拦截所述应用的网络访问数据。
进一步地,所述预先配置的规则包括:同一应用内部的微服务应用之间允许相互之间的通信,不同应用的微服务之间禁止通信。
进一步地,所述验证所述用户终端的用户令牌以及所述应用请求中携带的相关资源属性,对所述用户终端进行细粒度的访问控制,若验证成功,则将所述应用请求转发至相应的应用服务器,若验证失败,则阻断所述应用请求并将状态返回至所述用户终端,包括:
提取所述用户令牌的令牌信息,若提取成功且所述令牌信息在有效期内,则允许所述用户终端的访问;若提取失败,则将所述用户终端判定为匿名流量并基于匿名访问策略来对所述用户终端进行访问控制。
进一步地,所述基于匿名访问策略来对所述用户终端进行访问控制,包括:基于以下信息的一项或者多项对所述用户终端进行访问控制:所述用户终端的类型、所述应用的组编号、微服务名称、微服务端口号、源地址、源服务名。
第二方面,本申请实施例提供一种云原生应用的访问控制方法装置,包括:
流量拦截模块,用于通过第一方式拦截用户终端发送的应用请求,解析所述应用请求以获得所述应用请求对应的协议信息,其中所述第一方式包括:透明代理的方式;
第一判断模块,用于基于所述协议信息和预先配置的规则对所述用户终端进行粗粒度的访问控制,确定被所述用户终端访问的资源是否需要进行身份验证和访问控制保护;
访问控制模块,用于验证所述用户终端的用户令牌以及所述应用请求中携带的相关资源属性,对所述用户终端进行细粒度的访问控制,若验证成功,则将所述应用请求转发至相应的应用服务器,若验证失败,则阻断所述应用请求并将状态返回至所述用户终端;
存储模块,用于存储所述用户终端的用户令牌和所述用户令牌对应的相关资源属性,并设置所述用户令牌的过期策略。
第三方面,本申请实施例提供一种电子设备,包括存储器,收发机,处理器;存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行处理器,用于读取所述存储器中的计算机程序并执行上述任一项所述的云原生应用的访问控制方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于使计算机执行上述任一项所述的云原生应用的访问控制方法。
通过本申请实施例提供的云原生应用的访问控制方法,实现了增强服务内部访问流量的安全性,同时大幅降低传统方案带来的应用改造负担的技术效果。
附图说明
为了更清楚地说明本申请实施例或现有的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实施例中的云原生应用的访问控制方法的流程示意图;
图2为本申请一实施例中的云原生应用的访问控制装置的结构示意图一;
图3为本申请一实施例中的云原生应用的访问控制装置的零信任数据代理子模块的示意图;
图4为本申请一实施例中的云原生应用的访问控制方法的访问控制流程示意图;
图5为本申请一实施例中的云原生应用的访问控制方法的流量加密的主要流程;
图6为本申请一实施例中的云原生应用的访问控制装置的结构示意图二;
图7为本申请一实施例中的电子设备的示意框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,除非另外定义,本公开一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
本申请中的专业术语、缩写和名词解释如下所示:
云原生(Cloud Native):整套现代的云服务技术规范体系,是容器化、服务网格、微服务、DevOps、声明式应用程序接口、持续交付等技术在内的总称,其定义和内涵非常宽泛,并随着技术进步快速演化。
Kubernetes:简称K8s,是开源的、用于管理云平台中多个主机上的容器化的应用,是目前使用最为广泛的云平台基础设施之一。虽然本申请中提及的云原生基础设施通常意指Kubernetes,但应该注意到,云原生基础设施有被替代和进化的可能,但其容器管理、应用部署、服务和路由、配置管理等基础特性是具有广泛性的,现在或者将来出现的能实现其功能的其他云平台可以应用于本申请,对此不做限定。
Pod:是Kubernetes逻辑上的最小运行单元,Pod是一组容器的集合。
Sidecar(边车):将应用程序的组件部署到单独的进程或容器中,以提供隔离、封装和观测。这种模式被命名为Sidecar,因为它类似于附在摩托车上的边车。边车作为附加到父应用程序的应用程序组件,与父应用程序共享相同的生命周期,并能拦截父应用程序的数据请求,观察父应用程序中的活动情况。
细粒度权限,是相对于服务粒度的访问控制列表而言,更复杂的权限控制规则。若访问控制规则中命中以下信息中的一条,则被视为细粒度权限:特定被授权主体、特定资源唯一标识、特定的请求URI。细粒度权限需要更多计算和存储资源,在本申请实施例中,通过零信任访问控制模块独立处理;另外,粗粒度权限则是与细粒度权限对应的,其仅进行粗略的判断或者过滤,相当于是进行大范围的判断。
mTLS:一种额外规定客户端也经过身份验证的TLS。
下面结合附图,详细说明本申请的各种非限制性实施方式。
首先,参照图1,对发明的云原生应用的访问控制方法进行详细说明:
在本实施例中,用户终端的应用程序部署在云原生环境中,其中云原生环境包括Kubernetes。应用程序的开发人员均理解应用是部署于云原生环境的,应用是如何启动的,应用使用的通信协议;但无需了解与云平台的网络环境、零信任、流量控制与协议解析的技术细节。
步骤S100,通过第一方式拦截用户终端发送的应用请求,解析所述应用请求以获得所述应用请求对应的协议信息,其中所述第一方式包括:透明代理的方式;
本示例中的通过第一方式拦截用户终端发送的应用请求,采用的方式可以但不限于是透明代理的方式,具体地,可以通过流量控制组件来实现,该流量控制组件是一种在云原生环境基础设施上运行的网络基础组件,其可以使用透明代理的方式拦截用户终端或者说是客户端发送至应用服务器的所有应用请求,并对应用请求进行协议分析;
示例性地,解析所述应用请求以获得所述应用请求对应的协议信息,包括:获取所述应用请求中的首个数据包的数据内容,基于所述数据内容获得协议信息,所述协议信息包括:协议类型;
示例性地,协议类型可以包括但不限于:HTTP 、HTTP2或gRPC等;通常情况下,多数常见协议在数据包头的数百字节包含有协议的类型或特征,因此这种检测是高效且精准的。
所述通过第一方式拦截用户终端发送的应用请求之前,还包括:
检测所述用户终端的应用部署行为,自动将数据平面代理添加到所述应用的容器中,用于拦截所述应用的网络访问数据。
步骤S200,基于所述协议信息和预先配置的规则对所述用户终端进行粗粒度的访问控制,确定被所述用户终端访问的资源是否需要进行身份验证和访问控制保护;
基于上一步骤获得的协议类型,判断所述应用请求是否为目标协议类型,根据所述预先配置的规则对所述用户终端进行粗粒度的访问控制,若是所述目标协议类型,则允许所述用户终端进行继续访问,若不是所述目标协议类型,则直接拒绝所述用户终端的访问,其中所述目标类协议类型包括:HTTP协议类型。
示例性地,获得的协议类型是HTTP类型,则判定是属于目标协议类型,其中在预先配置的规则中定义了目标协议类型表示能够允许访问的协议类型,因此允许用户终端继续进行访问,即可将应用请求转发至下一个模块进行访问控制;获得的协议如果不是HTTP类型,则判定不属于目标协议类型,则根据预先配置的规定中的相关定义,则不允许用户终端的访问,即直接拒绝用户终端的访问,返回相应的拒绝消息。
示例性地,所述预先配置的规则包括:同一应用内部的微服务应用之间允许相互之间的通信,不同应用的微服务之间禁止通信。
例如,将应用程序的微服务,根据归属的应用不同划分两个区域,分别为应用A区域与应用B区域。应用A区域内访问策略为:对来自应用A区域的HTTP请求则允许访问,对HTTPS以外的协议则禁止访问,对来自其它区域的请求则禁止访问;应用B区域内访问策略为:对来自应用B区域的HTTP请求则允许访问,对HTTPS以外的协议则禁止访问,对来自其它区域的请求禁止访问。
示例性地,所有微服务的微服务节点IP和服务名称列表均被存储,如果隶属于应用A区域的微服务收到来自应用A区域自身的请求,则允许将该请求交由后续步骤处理,否则阻断连接并返回错误信息;如果隶属于应用B区域的微服务收到来自应用B区域自身的请求,则允许将该请求交由后续步骤处理,否则阻断连接并返回错误信息。
示例性地,细粒度权限可以是以下任一项的授权或判断:特定被授权主体、特定资源唯一标识、特定的请求URI。细粒度权限需要更多计算和存储资源,在本申请实施例中,通过零信任访问控制模块独立处理;而粗粒度权限则是与细粒度权限对应的,其仅进行粗略的判断或者过滤,相当于是进行大范围的判断,例如对协议类型进行判断等,此处为示例性地。
步骤S300,验证所述用户终端的用户令牌以及所述应用请求中携带的相关资源属性,对所述用户终端进行细粒度的访问控制,若验证成功,则将所述应用请求转发至相应的应用服务器,若验证失败,则阻断所述应用请求并将状态返回至所述用户终端;
示例性地,提取所述用户令牌的令牌信息,若提取成功且所述令牌信息在有效期内,则允许所述用户终端的访问;进一步地,继续判断所述令牌信息是否在缓存中,如果是则执行流量代理,表示表示验证成功,将应用请求转发至相应的应用服务器。
若提取失败,则将所述用户终端判定为匿名流量并基于匿名访问策略来对所述用户终端进行访问控制;
所述基于匿名访问策略来对所述用户终端进行访问控制,包括:基于以下信息的一项或者多项对所述用户终端进行访问控制:所述用户终端的类型、所述应用的组编号、微服务名称、微服务端口号、源地址、源服务名。
若判定所述用户终端符合匿名访问策略,则允许所述用户终端直接进行访问,并将所述应用请求发送至应用服务器。
步骤S400,存储所述用户终端的用户令牌和所述用户令牌对应的相关资源属性,并设置所述用户令牌的过期策略。
存储已认证令牌及其对应的相关资源信息,以使用户终端多次访问同类型资源时可快速地反馈验证结果;可以设置用户令牌过期策略,并根据当前令牌的数量和存储占用情况定时或惰性地清除令牌缓存。
与传统的访问控制方法(虚拟专用网络、中心化的零信任网关等)相比,本申请提供了一种云原生应用的访问控制方法,增强了服务内部访问流量的安全性,同时大幅降低了传统方案带来的应用改造负担。
下面根据图2来对本申请的另一实施例进行详细描述:
图2示出了云原生应用的访问控制装置的结构示意图一,如图2所示,所述云原生应用的访问控制装置包括零信任流量拦截模块,协议检测模块M150、策略模块M160、零信任访问控制模块M140、令牌缓存模块M130;其中,所述零信任流量拦截模块包括数据代理注入子模块M100、数据平面组件认证子模块M110以及零信任数据代理子模块M120,并且零信任流量拦截模块的零信任数据代理子模块M120、协议检测模块M150、策略模块M160、零信任访问控制模块M140、令牌缓存模块M130都工作在云原生基础设施的数据平面中,各个模块之间的逻辑关系参见图2。
基于上面的结构,对本申请提供的另一云原生应用的访问控制方法做进一步解释,本实施例提供一种云原生应用的访问控制的方法,具体涉及云原生环境下流量拦截和访问控制,包括:
1、 在云原生环境基础设施(例如,Kubernetes)中进行流量控制。流量控制组件一种是在云原生环境基础设施上运行的网络基础组件,它使用透明代理的方式拦截客户端发送至应用的所有请求,并对请求进行协议分析;
2、若协议分析成功,基于预先配置的规则和协议类型,决定访问的资源是否需要进行身份验证和访问控制保护、是否需要开启流量加密等高级特性;
3、验证用户令牌及请求中携带的相关资源属性,进行用户细粒度访问控制,得到验证结果,若验证成功则将请求转发至应用服务器,否则阻断请求并将状态返回给客户端;
4、对用户令牌和与之关联的资源属性进行内部缓存,并设置过期令牌策略,将过期令牌进行删除。
本申请的另实施例提供一种云原生应用的访问控制的装置,具体涉及云原生环境下流量拦截和访问控制,该装置包括:
1、零信任流量拦截模块 :该模块包含两类功能组件,分别数据平面(Data Plane)与控制平面(Control Plane),如图2所示。
数据平面主要包含数据代理注入子模块,它是一个超轻量级、透明的微型代理,其先于应用程序启动,能完整地代理每个应用程序的网络访问请求数据,并尝试对流量进行协议分析,它对被保护应用无侵入性,被保护应用对这个过程是无感知的;
控制平面安装在云基础设施平台,用于控制数据平面的行为。它包含一个代理注入子模块,其负责将应用程序启动前,将数据平面代理注入到应用程序中。
控制平面它还包含一个数据认证平台子模块,负责内部通信加密时的证书管理。应该理解,将应用程序实现为多个微服务时,这些服务之间的网络将发送敏感的数据。任何可以访问网络的人都可能读取这些敏感数据并伪造请求。该模块负责代理组件的证书颁发和认证工作。在实施例三中展示了其工作流程。
2、协议检测模块:检测协议类型,并基于预先配置的规则、协议类型,决定访问的资源是否需要进行身份验证和访问控制保护、是否需要开启负载均衡、重试等高级特性;
3、策略模块:存储并管理预先配置的规则,计算访问策略结果集并向外提供查询服务;策略模块中包含两类粒度的策略,一类是服务粗粒度访问策略,包含服务的名称、端口、协议类型、源地址等信息,另一类是细粒度访问策略,包含被授权主体(如用户)、组、资源等信息。
4、零信任访问控制模块:用于对请求初步验证令牌合法性,根据令牌中的主体信息和资源信息与访问控制列表进行比对,得到验证结果以决定请求是否应当被放行或阻断。
5、缓存模块:用于高效地存储已认证令牌及关联资源信息,以使用户终端多次访问同类型资源时可快速地反馈验证结果。并根据当前令牌的数量和存储占用情况定时或惰性地清除令牌缓存。需要留意,令牌缓存模块不负责令牌签发工作,令牌由独立令牌服务完成发放且不包含在本申请中。
参照图3,下面对本申请的另一实施例所公开的云原生应用的访问控制装置的零信任数据代理子模块进行详细描述;
图3示出了本申请中的零信任数据代理子模块完成部署后,对每个微服务的请求进行代理的示意图。当来自应用外部的流量(即外部请求)被路由到微服务所在Pod,还是来自微服务内部的流量直接访问Pod(即内部请求),请求都会首先由零信任数据代理子模块进行解析,并交由后续模块处理。
下面介绍本申请零信任流量控制方案,对SaaS场景下的应用程序进行零信任粗粒度访问控制和逻辑隔离。
在本实施例中,用户终端的应用程序部署在云原生环境(例如,Kubernetes)中。应用程序的开发人员应当知晓:应用是部署于云原生环境的,应用是如何启动的,应用使用的通信协议。但无需了解与云平台的网络环境、零信任、流量控制与协议解析的技术细节。
在本实施例中,约定以下具体场景:有两个应用程序,每个应用程序都由多个微服务组成。同一应用内部的微服务应用之间允许相互间通信,不同应用的微服务应用之间禁止通信。应用的微服务之间,使用gRPC与HTTP协议进行通信,其它协议是禁止的。
本实施例包含以下实施步骤:
步骤一:在云基础设施(如Kubernetes中),部署零信任流量拦截模块的控制平面(Control Plane)。零信任流量拦截模块的控制平面是云基础设施的组件,其符合云原生基础设施组件的规范约定,因此可以通过云基础设施启用、禁用或删除。通过控制平面命令行工具可部署零信任流量拦截模块。
步骤二:为应用程序制定访问策略,并将访问策略存储在策略模块中。区域内访问控制策略和区域间访问控制策略。应当理解,区域并不具有特定的物理意义,仅是一组访问控制策略的组合。由于同一类型的应用往往拥有极其类似的访问控制策略,故将其划定为同一区域可以显著降低管理负担。
同一应用内部的微服务应用之间允许相互间通信,不同应用的微服务应用之间禁止通信。因此最佳实践将应用程序的微服务,根据归属的应用不同划分两个区域,分别为应用A区域与应用B区域。
可约定使用gRPC与HTTP协议进行通信。因此在本示例中应用A区域内访问策略为:对来自应用A区域的HTTP请求允许访问,对HTTPS以外的协议禁止访问,对来自其它区域的请求禁止访问。应用B区域内访问策略为:对来自应用B区域的HTTP请求允许访问,对HTTPS以外的协议禁止访问,对来自其它区域的请求禁止访问。
为应用指定组唯一编号。在本实施例中简单采用顺序号作为微服务编号。应当理解,在应用拥有多个微服务群时,使用有含义的应用名作为编号是最佳实践的。
将上述应用组编号、微服务名称、微服务端口号、源地址、源服务名、动作,存储于策略模块中。
步骤三:在应用部署启动前,零信任流量拦截模块检测到应用的部署行为,自动将数据平面(Data Plane)代理采用服务网格和边车模式(Sidecar)添加到应用的Pod中,以拦截目标应用的网络访问数据,并对流量进行拦截、协议分析和流量转发。零信任流量拦截模块完成注入后,每个Pod中至少包含一个应用程序容器和一个零信任流量拦截模块容器。
具体地,零信任流量拦截模块完成安装后,云原生基础设施在应用部署事件发生时,主动将相关事件以消息的形式,发送至零信任流量拦截模块。一个应用部署事件中,包含创建应用所需要的必要信息,例如应用的镜像信息、配置信息、服务端点信息和注解等。
此时,零信任流量拦截模块的数据代理注入子模块,检查资源中是否存在特定的注解。当该注解存在时,它将零信任数据代理子模块添加到 Pod 中。随后,云原生基础平台将接管后续Pod的启动工作。零信任数据代理子模块被设置为优先于应用程序启动,以便在应用程序启动时即可检测所有的流量。
步骤四:零信任数据代理子模块接收数据调用协议检测模块 ,执行协议检测,以确定流量是否为 HTTP /HTTP2或gRPC中的一种。具体地,协议检测模块通过客户端所发送的首个数据包的内容以确定协议类型。多数常见协议在数据包头的数百字节包含协议的类型或特征,因此这种检测是高效且精准的。
如果请求被识别为HTTP流量,零信任数据代理子模块将提供 HTTP 层的路由,并交由后续模块处理。如果没有命中,则默认将流量视为TCP流量,如果该流量来自应用内部则开启mTLS(相互传输层安全)。在本实用例中,零信任流量拦截模块存储所有微服务的微服务节点IP和服务名称列表,如果隶属于A区域的微服务收到来自A区域自身的请求,则零信任流量拦截模块允许将该请求交由后续步骤处理,否则阻断连接并返回错误信息。
零信任数据代理子模块在确定协议后,进行协议解析并获取源/目标区域、源/目标应用组标识、源/目标应用名称、请求端口、协议类型信息。
随后执行以下步骤,将其与预加载的访问策略匹配。零信任数据代理子模块是否已经获取相应的协议信息,如果否,则终止连接。根据区域内和区域外访问策略(例如,协议、端口、源/目标区域组等)决定是否允许访问。如果匹配成功则予以放行。如果未匹配成功,则终止连接。如果匹配成功则予以放行。零信任数据代理子模块将标记此连接相关联的后续请求,将其标记为放行,直至连接断开。
参照图4,下面对本申请的一实施例中的云原生应用的访问控制方法的访问控制流程示意图进行详细描述;对已经上线运行的云原生应用程序,进行透明的零信任访问控制的主要流程可参照图4;
本实施例提供一种零信任流量控制方案,对已经上线运行的云原生应用程序,无需改造的情况下进行应用无感知的、透明的零信任访问控制。
先决条件一:在策略模块中,为应用程序配置适当的访问策略。
示例性地,设置某个被授权主体已完成认证并获得合法令牌后,允许从Internet访问应用微服务特定的细粒度资源,其中被授权主体可以是各类用户终端;一般地,被授权主体是指用户终端、角色或是程序,需要访问应用系统中的资源。示例性地,对资源的请求默认设置为禁止访问;示例性地,对未登录的非授权请求设置为禁止访问。对每条策略进行排序并确定优先级。默认地,禁止访问策略的优先级高于允许访问条目。
应当理解,系统中的资源由资源类型和资源描述来确定。资源类型是在应用系统中预先定义的,常见的资源类型有URI、界面元素(例如,菜单项、按钮)或具体的数据。
应用程序的管理人员应当将被授权主体唯一标识符、被授权主体的类型、资源类型、资源唯一标识符、动作、应用组编号、微服务名称、微服务端口号、源地址、源服务名的列表,根据优先级从高到低依次排列,并存储于策略模块中。
先决条件二:令牌服务对已获得访问身份的用户登录颁发令牌,令牌由三部分组成:令牌头,令牌体和令牌签名。令牌头中包含令牌类型、签名算法、密钥ID等。令牌体中包含用户终端唯一标识、用户名、令牌过期时间、颁发者信息,还可包含用户元数据和客户端类型等附加信息。令牌签名中包含令牌颁发者对令牌的签名信息。用户终端浏览器获得令牌后,将在后继的请求头中发送。
零信任数据代理子模块和令牌缓存模块通过预先配置并信任令牌服务的数字签名证书,以决定是否应当信任其所颁发的令牌,在本申请中令牌缓存模块和缓存模块指代相同的意思。
步骤一:执行关于组件安装的所有步骤,即在云基础设施中部署零信任流量拦截模块的控制平面。零信任流量拦截模块检测到应用的部署行为,添加到应用的Pod中,以拦截目标应用的网络访问数据。它将代理并监测所有访问应用程序的流量。所述模块执行粗粒度访问控制策略,并将成功放行的流量进行后续处理。此步骤参照之前的实施例,不再赘述。
应当注意,零信任数据代理子模块仅进行粗粒度的流量控制,在请求被放行后,零信任访问控制模块执行后续更深度的检查。将访问权限控制依次交由两个控制模块分别处理的原因是,代理模块负责应用与应用之间的边界隔离,处理的数据量大,对延迟亦有较高要求但其逻辑相对简单。而访问控制模块作为深度的权限检测模块,其需要与策略模块、令牌缓存模块通信,其逻辑具有一定复杂性。此外,访问控制模块的特性是可选的,若某些场景无需进行权限控制,则该模块不会对流量进行任何额外处理直接放行。
步骤二:零信任访问控制模块解析请求并进行权限验证。首先,尝试提取请求中的令牌信息。令牌信息应当存在于请求的以下位置:以W3C规范中约定格式存放于HTTP头中的Authorization段、特定名称的HTTP头或特定名称的Cookie。应用的开发人员和令牌颁发者理应知晓令牌的存储位置及相关的细节,并在零信任访问控制模块中完成配置。
若令牌提取成功且未过期,则跳转至后续步骤,交由令牌缓存模块处理并等待返回结果。
若令牌提取未成功,则零信任访问模块将其视为匿名流量并向策略模块查询相关联策略。具体地,策略查询请求包含为:被授权主体的类型(例如,匿名)、应用组编号、微服务名称、微服务端口号、源地址、源服务名。若策略模块匹配到相关的策略并成功返回,则零信任访问控制模块将请求放行,并转发给受保护的应用程序。若策略模块未找到相关的策略,则结束请求处理,并向调用者返回代码为未授权(通常为HTTP 403)响应。
步骤三:令牌缓存模块解析、验证并缓存令牌。令牌缓存模块是零信任访问控制模块的前置模块,用以检查令牌有效性、是否命中缓存。为高效地处理令牌解析,令牌缓存模块创建一组令牌槽,用于存放令牌摘要等信息并恰当地处理失效令牌。令牌槽的生成和令牌的存储通过以下步骤实现:
a. 获取用户请求中的令牌中的失效时间,计算当前令牌距离过期时间(单位为分)m;
b. 若对应的槽不存在,则创建Sm作为存放所有过期时间分钟数为m的令牌;
c. 特殊地,若m的值大于某个时间上限,则创建Smax作为存放所有过期时间超过该时间上限的令牌。通常地,令牌有效期时间的上限,不应低于所有应用默认配置的上限,如24*60 min。至此,令牌槽集合{S1, S2, S3... Smax}创建完成。其目的,是使所有令牌均按时间顺序放在令牌槽中,且令牌槽只有在真实请求到达时才被创建,以节省存储空间占用。同时对于偶然少数超过正常时间区间的令牌单独管理,以避免槽数量过大影响计算性能。
d. 令牌缓存模块中包含一个槽扫描定时任务。槽扫描定时任务定时刷新令牌槽期时间。其每隔1分钟将槽{S1, S2, S3... Smax-1}的过期时间减1。即,定时任务执行完成后,令牌槽集合被更新为{S0, S1, S2...Smax-2, Smax}。此时所有失效令牌存储于S0中,移除S0中所有令牌,并将S0释放。执行此任务后,即确保在每一分钟内,{S1, S2, S3...Smax}中存储了对应过期时间的令牌。
令牌缓存模块读取请求中的令牌,并对其进行哈希运算。根据步骤二中获得的过期时间,查找令牌对应的槽、以及相邻槽中是否已存在该令牌。这是因为,定时任务的运行有一定的时间间隔,Sn中既包含第n分钟以后过期的令牌,也可能包含n-1分钟后过期的、还未移除的令牌。
若该令牌的哈希值已存在,向零信任访问控制模块返回验证成功的信息。若未找到该令牌的摘要信息,则执行以下步骤。
a. 验证令牌的时间戳是否已到期,签名内容是否合法,以确保访问令牌是否有效;
b. 若令牌验证通过,则将用户令牌的哈希值与用户唯一ID压入槽中。若失败,断开请求。槽中数据以B+树结构存储以方便后续快速查询。
步骤四:零信任访问控制模块向策略模块发送查询请求,其中包含被授权主体ID、访问应用。策略模块执行策略检索是否有相关被授权主体的访问策略,并将策略返回给零信任访问控制模块。如果匹配成功则予以放行。如果未匹配成功,则终止处理并返回并向调用者返回HTTP代码为未授权(403)的响应。如果匹配成功则予以放行。
参照图5,对本申请一实施例中的云原生应用的访问控制方法的流量加密的主要流程进行详细描述;
本申请提供一种零信任流量控制方案,对已经上线运行的数据库,无需改造的情况下,进行零信任访问控制和流量加密。
本实施例详细阐述服务间通信中对流量的加密处理。本实施例以未加密的TCP流量作为示例,但应该意识到,对未加密的HTTP或gRPC流量亦使用相同方法进行处理。为降低实施例的复杂度,下面对流量加密的细节进行描述。
场景假设:
应用程序和数据库部署在云原生基础设施中。应用程序和数据库处于不同的Pod中,并已经正确设置了服务名称。示例性地,允许应用程序访问数据库资源。
步骤一:执行关于组件安装的步骤,即在云基础设施中部署零信任访问监测模块的控制平面。零信任访问监测模块检测到应用的部署行为,添加到应用的Pod中,以拦截目标应用的网络访问数据。它将代理并监测所有访问应用程序的流量。此步骤在之前的实施例中已经详尽描述,不再赘述。
具体地,零信任数据代理子模块在自身启动时,从数据平面组件认证子模块 中获得证书并验证证书的有效性。零信任数据代理子模块的根证书、证书均由零信任流量拦截模块在初始化时自动注入,由数据平面组件认证子模块签发,因此所有零信任数据代理子模块之间存在相互的、双向的信任关系。具体地,数据平面组件认证子模块为每一个微服务Pod上运行的数据代理子模块都颁发一张TLS证书,并将该证书安全地分发给所有代理。
这些证书将用于后续的双向加密步骤。
步骤二:零信任数据代理子模块查询策略模块,查找允许应用程序访问数据库资源的访问策略。若成功匹配则继续后继流程,否则直接断开该连接。
步骤三:受保护应用程序启动后,将在初始化过程中试图连接数据库。零信任数据代理子模块拦截该请求,获取源/目标区域、源/目标应用组标识、源/目标应用名称、请求端口、协议类型信息。随后试图进行协议检测,判断是否为HTTP流量。
经检测无法识别请求具体类型的,无需进行更深度的访问控制策略检查。默认地,零信任数据代理子模块跳过协议检测和深度解析,判定此流量为已知的未加密TCP流量。一旦零信任代理模块发现数据库服务的标准端口在预定义的端口列表中,即被判定为未加密流量。
步骤四:执行自动mTLS对未加密流量进行加密。零信任数据代理子模块是一个分布式模块,它以边车(Sidecar)形式守护应用程序的执行。当应用程序间试图通信时,零信任数据代理子模块为应用程序建立连接。
零信任数据代理子模块使用mTLS协议商定通信密钥,完成与目标服务器的安全连接。零信任数据代理子模块将加密后的数据包转发至目的数据库服务,数据库服务所在Pod的零信任模块解密数据,并将解密后的数据转发到数据库服务中。
零信任数据代理子模块检测到一条策略,该策略表明该服务(用户终端A的APP1服务)与数据库服务的连接是被允许的。对同一连接中的后续请求,零信任数据代理子模块将标记此连接相关联的后续请求,将其标记为放行,直至连接结束。
与传统的访问控制方法(虚拟专用网络、中心化的零信任网关等)相比,本实施例提供了一种新的云原生环境下零信任应用的流量控制方案,增强了服务内部访问流量的安全性,同时大幅降低了传统方案带来的应用改造负担。
图6为本申请一实施例中的云原生应用的访问控制装置的结构示意图二;
云原生应用的访问控制装置包括:
流量拦截模块,用于通过第一方式拦截用户终端发送的应用请求,解析所述应用请求以获得所述应用请求对应的协议信息,其中所述第一方式包括:透明代理的方式;
第一判断模块,用于基于所述协议信息和预先配置的规则对所述用户终端进行粗粒度的访问控制,确定被所述用户终端访问的资源是否需要进行身份验证和访问控制保护;
访问控制模块,用于验证所述用户终端的用户令牌以及所述应用请求中携带的相关资源属性,对所述用户终端进行细粒度的访问控制,若验证成功,则将所述应用请求转发至相应的应用服务器,若验证失败,则阻断所述应用请求并将状态返回至所述用户终端;
存储模块,用于存储所述用户终端的用户令牌和所述用户令牌对应的相关资源属性,并设置所述用户令牌的过期策略。
需要说明的是,本申请一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本申请特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还公开一种电子设备;
具体地,图4示出了本实施例所提供的一种云原生应用的访问控制方法的电子设备的硬件结构示意图,该设备可以包括:处理器410、存储器420、输入/输出接口430、通信接口440和总线 450。其中,处理器410、存储器420、输入/输出接口430和通信接口440通过总线450实现彼此之间在设备内部的通信连接。
处理器410可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案。
存储器420可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器420可以存储操作系统和其他应用程序,在通过软件或者固件来实现本申请实施例所提供的技术方案时,相关的程序代码保存在存储器420中,并由处理器410来调用执行。
输入/输出接口430用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口440用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如,USB、网线等)实现通信,也可以通过无线方式(例如,移动网络、WIFI、蓝牙等)实现通信。
总线450包括一通路,在设备的各个组件(例如,处理器410、存储器420、输入/输出接口430和通信接口440)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器410、存储器420、输入/输出接口430、通信接口440以及总线450,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本申请实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的云原生应用的访问控制方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请一个或多个实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的云原生应用的访问控制方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的云原生应用的访问控制方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本申请的范围(包括权利要求)被限于这些例子;在本申请的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本申请的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本申请的具体实施例对本申请进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种云原生应用的访问控制方法,应用于云原生环境中,其特征在于,所述方法包括:
通过第一方式拦截用户终端发送的应用请求,解析所述应用请求以获得所述应用请求对应的协议信息,其中所述第一方式包括:透明代理的方式;
基于所述协议信息和预先配置的规则对所述用户终端进行粗粒度的访问控制,确定被所述用户终端访问的资源是否需要进行身份验证和访问控制保护;
验证所述用户终端的用户令牌以及所述应用请求中携带的相关资源属性,对所述用户终端进行细粒度的访问控制,若验证成功,则将所述应用请求转发至相应的应用服务器,若验证失败,则阻断所述应用请求并将状态返回至所述用户终端;
存储所述用户终端的用户令牌和所述用户令牌对应的相关资源属性,并设置所述用户令牌的过期策略;
所述基于所述协议信息和预先配置的规则对所述用户终端进行粗粒度的访问控制,确定被所述用户终端访问的资源是否需要进行身份验证和访问控制保护,包括:
基于所述协议类型判断所述应用请求是否为目标协议类型,根据所述预先配置的规则对所述用户终端进行粗粒度的访问控制,若是所述目标协议类型,则允许所述用户终端进行继续访问,若不是所述目标协议类型,则直接拒绝所述用户终端的访问,其中所述目标类协议类型包括:HTTP协议类型。
2.如权利要求1所述的云原生应用的访问控制方法,其特征在于,所述解析所述应用请求以获得所述应用请求对应的协议信息,包括:获取所述应用请求中的首个数据包的数据内容,基于所述数据内容获得协议信息,所述协议信息包括:协议类型。
3.如权利要求1或2所述的云原生应用的访问控制方法,其特征在于,所述通过第一方式拦截用户终端发送的应用请求之前,还包括:
检测所述用户终端的应用部署行为,自动将数据平面代理添加到所述应用的容器中,用于拦截所述应用的网络访问数据。
4.如权利要求3所述的云原生应用的访问控制方法,其特征在于,所述预先配置的规则包括:同一应用内部的微服务应用之间允许相互之间的通信,不同应用的微服务之间禁止通信。
5.如权利要求4所述的云原生应用的访问控制方法,其特征在于,所述验证所述用户终端的用户令牌以及所述应用请求中携带的相关资源属性,对所述用户终端进行细粒度的访问控制,若验证成功,则将所述应用请求转发至相应的应用服务器,若验证失败,则阻断所述应用请求并将状态返回至所述用户终端,包括:
提取所述用户令牌的令牌信息,若提取成功且所述令牌信息在有效期内,则允许所述用户终端的访问;若提取失败,则将所述用户终端判定为匿名流量并基于匿名访问策略来对所述用户终端进行访问控制。
6.如权利要求5所述的云原生应用的访问控制方法,其特征在于,所述基于匿名访问策略来对所述用户终端进行访问控制,包括:基于以下信息的一项或者多项对所述用户终端进行访问控制:所述用户终端的类型、所述应用的组编号、微服务名称、微服务端口号、源地址、源服务名。
7.基于权利要求1所述的云原生应用的访问控制方法的访问控制装置,应用于云原生环境中,其特征在于,所述装置包括:
流量拦截模块,用于通过第一方式拦截用户终端发送的应用请求,解析所述应用请求以获得所述应用请求对应的协议信息,其中所述第一方式包括:透明代理的方式;
第一判断模块,用于基于所述协议信息和预先配置的规则对所述用户终端进行粗粒度的访问控制,确定被所述用户终端访问的资源是否需要进行身份验证和访问控制保护;
访问控制模块,用于验证所述用户终端的用户令牌以及所述应用请求中携带的相关资源属性,对所述用户终端进行细粒度的访问控制,若验证成功,则将所述应用请求转发至相应的应用服务器,若验证失败,则阻断所述应用请求并将状态返回至所述用户终端;
存储模块,用于存储所述用户终端的用户令牌和所述用户令牌对应的相关资源属性,并设置所述用户令牌的过期策略。
8.一种电子设备,其特征在于,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行处理器,用于读取所述存储器中的计算机程序并执行权利要求1至6中的任一项所述的云原生应用的访问控制方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于使计算机执行权利要求1至6中的任一项所述的云原生应用的访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211375136.1A CN115913676B (zh) | 2022-11-04 | 2022-11-04 | 云原生应用的访问控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211375136.1A CN115913676B (zh) | 2022-11-04 | 2022-11-04 | 云原生应用的访问控制方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115913676A CN115913676A (zh) | 2023-04-04 |
| CN115913676B true CN115913676B (zh) | 2023-06-02 |
Family
ID=86471868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211375136.1A Active CN115913676B (zh) | 2022-11-04 | 2022-11-04 | 云原生应用的访问控制方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115913676B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116319096B (zh) * | 2023-05-19 | 2023-09-05 | 浪潮通信信息系统有限公司 | 算力网络操作系统的访问系统、方法、装置、设备及介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375308A (zh) * | 2016-08-31 | 2017-02-01 | 上海宽惠网络科技有限公司 | 一种面向混合云的跨云用户认证系统 |
| WO2017157200A1 (zh) * | 2016-03-17 | 2017-09-21 | 阿里巴巴集团控股有限公司 | 特征词汇提取方法及装置 |
| CN109639730A (zh) * | 2019-01-21 | 2019-04-16 | 北京工业大学 | 基于令牌的http无状态协议下信息系统数据接口认证方法 |
| CN110971570A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 网络访问权限控制方法、装置及计算设备 |
| CN111756729A (zh) * | 2020-06-23 | 2020-10-09 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
| CN112966245A (zh) * | 2021-04-07 | 2021-06-15 | 中国南方电网有限责任公司 | 一种基于信息度量的电网信息系统访问控制方法和系统 |
| CN113158198A (zh) * | 2020-01-22 | 2021-07-23 | 华为技术有限公司 | 访问控制方法、装置、终端设备和存储介质 |
| CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2822002B1 (fr) * | 2001-03-12 | 2003-06-06 | France Telecom | Authentification cryptographique par modules ephemeres |
-
2022
- 2022-11-04 CN CN202211375136.1A patent/CN115913676B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017157200A1 (zh) * | 2016-03-17 | 2017-09-21 | 阿里巴巴集团控股有限公司 | 特征词汇提取方法及装置 |
| CN106375308A (zh) * | 2016-08-31 | 2017-02-01 | 上海宽惠网络科技有限公司 | 一种面向混合云的跨云用户认证系统 |
| CN110971570A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 网络访问权限控制方法、装置及计算设备 |
| CN109639730A (zh) * | 2019-01-21 | 2019-04-16 | 北京工业大学 | 基于令牌的http无状态协议下信息系统数据接口认证方法 |
| CN113158198A (zh) * | 2020-01-22 | 2021-07-23 | 华为技术有限公司 | 访问控制方法、装置、终端设备和存储介质 |
| CN111756729A (zh) * | 2020-06-23 | 2020-10-09 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
| CN112966245A (zh) * | 2021-04-07 | 2021-06-15 | 中国南方电网有限责任公司 | 一种基于信息度量的电网信息系统访问控制方法和系统 |
| CN113225333A (zh) * | 2021-05-06 | 2021-08-06 | 西安电子科技大学 | 零信任下的网络资源访问控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| Token Based Privacy Preserving Access Control in Wireless Sensor Networks;R. Tanuja;2015 International Conference on Advanced Computing and Communications (ADCOM);全文 * |
| 云计算数据安全及访问控制关键技术研究;郝嘉禄;信息科技辑;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115913676A (zh) | 2023-04-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12058133B2 (en) | Federated identity management for data repositories | |
| KR102429633B1 (ko) | 다수의 웹사이트들 간의 자동 로그인 방법 및 장치 | |
| CN112073400B (zh) | 一种访问控制方法、系统、装置及计算设备 | |
| US20200236093A1 (en) | Extracting Encryption Keys to Enable Monitoring Services | |
| JP5635978B2 (ja) | 人間が介入しないアプリケーションのための認証されたデータベース接続 | |
| US7237118B2 (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
| US7900240B2 (en) | Multilayer access control security system | |
| CN111314340B (zh) | 认证方法及认证平台 | |
| US8977857B1 (en) | System and method for granting access to protected information on a remote server | |
| JPWO2011089788A1 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| KR101817152B1 (ko) | 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법 | |
| US20180227288A1 (en) | Password security | |
| CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
| CN115913676B (zh) | 云原生应用的访问控制方法、装置、电子设备及存储介质 | |
| CN115996122A (zh) | 访问控制方法、装置及系统 | |
| US20230351028A1 (en) | Secure element enforcing a security policy for device peripherals | |
| CN114172698A (zh) | 一种业务请求处理方法、Web服务器、设备及介质 | |
| CN115801292A (zh) | 访问请求的鉴权方法和装置、存储介质及电子设备 | |
| CN115795493A (zh) | 访问控制策略部署方法和相关装置、以及访问控制系统 | |
| KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 | |
| CN118233117A (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| CN116975805A (zh) | 一种数据处理方法、装置、设备、存储介质及产品 | |
| WO2016192765A1 (en) | Authentication and authorization based on credentials and ticket |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |