CN116319096B - 算力网络操作系统的访问系统、方法、装置、设备及介质 - Google Patents
算力网络操作系统的访问系统、方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116319096B CN116319096B CN202310566652.0A CN202310566652A CN116319096B CN 116319096 B CN116319096 B CN 116319096B CN 202310566652 A CN202310566652 A CN 202310566652A CN 116319096 B CN116319096 B CN 116319096B
- Authority
- CN
- China
- Prior art keywords
- access
- authentication
- module
- power network
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000011156 evaluation Methods 0.000 claims abstract description 29
- 238000012545 processing Methods 0.000 claims abstract description 12
- 238000013475 authorization Methods 0.000 claims description 37
- 230000008569 process Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 6
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000004422 calculation algorithm Methods 0.000 abstract description 7
- 238000007726 management method Methods 0.000 description 104
- 238000012795 verification Methods 0.000 description 16
- 230000007246 mechanism Effects 0.000 description 15
- 239000002071 nanotube Substances 0.000 description 9
- 230000008859 change Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000003044 adaptive effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 210000004556 brain Anatomy 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 238000013209 evaluation strategy Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000877 morphologic effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000031068 symbiosis, encompassing mutualism through parasitism Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及计算机技术领域,提供一种算力网络操作系统的访问系统、方法、装置、设备及介质,所述系统包括:信任评估引擎模块、算力网络资源管理模块、API代理模块、安全代理模块和认证鉴权中心模块;信任评估引擎模块动态生成第一访问管理策略;API代理模块供访问方发起认证请求或对目标域的访问请求;安全代理模块供被访问方基于域策略对访问请求进行鉴权;认证鉴权中心模块根据认证请求结合第一访问管理策略与第二访问管理策略,对访问方进行认证;算力网络资源管理模块在确定访问请求通过令牌校验与域内资源权限校验时,将访问请求路由至与访问请求对应的资源操作的API进行处理。本申请可提高算力网络操作系统的访问效率。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种算力网络操作系统的访问系统、方法、装置、设备及介质。
背景技术
算力网络通过网络连接广泛分布于云、边、端的多级多样算力,通过感知算力的状态和算力应用的需求,实现算力和需求的高效匹配与调度,在提高算网资源利用率的同时,为各行各业提供泛在、高品质、低成本的算力。算力网络操作系统作为算力网络的核心基础,遵循向下管资源、向上支撑应用的原则和理念。其所纳管的资源具有空间泛在、时间多变、归属不同、形式多样等特点,向上支撑的应用具有环境多变、场景复杂、需求多样等特点。这使得算力网络在提供泛在算力的同时,也导致系统具有分布式、多模块协作、开放共生、多方接入等特征,亟需为众多参与方提供安全可信、弹性适配的统一访问机制,保障算力网络基础设施的安全、稳定和可靠。
传统的安全访问机制普遍基于边界安全架构,即根据被保护资源的安全要求,通过企业防火墙、Web防火墙、入侵检测系统(Intrusion Detection System,IDS)、入侵防御系统(Intrusion Prevention System,IPS)、网关等安全设备,将物理网络划分为可信和不可信两个区域。这在系统相对封闭、业务形态相对固定、参与方划分较简单的场景,可以满足安全防护的要求。但应对算力网络的应用场景时,存在以下问题:算力网络提供开放共生的机制,其访问者包括算力供应者、算网运营者、算网运维者、算力消费者以及构建整体算力网络的基础应用和丰富算力形态的上层应用,在本身支持通用算力、智能算力和超算算力的基础上,灵活部署于其上的应用可生产出更加丰富的多样算力,从而加剧了算力资源的异构性,这使得传统安全访问机制以固定访问规则的方法难以覆盖这样的参与方众多、资源异构且动态的场景;其次,因算力网络旨在提供算力的高效流通,其运营过程中需对算力和网络做编排操作,这导致传统的网络边界难以存在,从而无法用传统方法设定安全边界;另外,算力网络的丰富功能需要多应用、多模块分布式协作实现,这增加了域内的横向访问,而传统的安全访问机制缺乏对域内横向攻击的防范。由此,基于上述问题,导致当前进行算力网络操作系统的访问时效率低下。
发明内容
本申请实施例提供一种算力网络操作系统的访问系统、方法、装置、设备及介质,用以提高进行算力网络操作系统的访问时的效率。
第一方面,本申请实施例提供一种算力网络操作系统的访问系统,包括信任评估引擎模块、算力网络资源管理模块、应用程序编程接口API代理模块、安全代理模块和认证鉴权中心模块;
所述信任评估引擎模块用于根据系统信息动态生成第一访问管理策略并上传至所述认证鉴权中心模块;
所述API代理模块用于供访问方基于用户注册信息发起认证请求或基于令牌发起对目标域的访问请求;所述访问方包括用户、设备与服务中的至少一项;
所述安全代理模块用于供被访问方基于域策略对所述访问请求进行鉴权,并上报产生的系统信息至所述信任评估引擎模块;
所述认证鉴权中心模块用于根据认证请求中的用户注册信息,结合所述第一访问管理策略与第二访问管理策略,对所述访问方进行认证,在所述用户注册信息通过认证时根据认证结果返回令牌至所述访问方;所述第二访问管理策略是所述认证鉴权中心模块中预置的基于最小权限原则设定的访问管理策略;
所述算力网络资源管理模块用于在确定所述访问请求通过令牌校验和域内资源权限校验后,将所述访问请求路由至与所述访问请求对应的资源操作的API进行处理,并将得到的资源操作结果传输至所述访问方。
在一个实施例中,所述算力网络资源管理模块与所述认证鉴权中心模块还用于通过所述安全代理模块将运行过程产生的系统信息上传至所述信任评估引擎模块,以供所述信任评估引擎模块根据所述系统信息动态生成所述第一访问管理策略。
在一个实施例中,所述第一访问管理策略包括用户信任等级的评估策略、用户异常行为的检测策略、异常访问的检测策略、系统超阈值访问的熔断策略。
在一个实施例中,还包括加密解密模块;
所述加密解密模块用于所述访问请求、所述认证请求、所述令牌以及所述资源操作结果在传输过程的信息加解密。
在一个实施例中,所述认证鉴权中心模块包括用户管理模块、认证鉴权授权模块、令牌管理模块与策略管理模块;
所述用户管理模块用于完成用户与角色、权限、资源的抽象和管理;用于为所述认证鉴权授权模块提供所述访问方的认证所需的用户基础信息;所述认证包括信息认证、鉴权和授权;
所述认证鉴权授权模块用于基于所述用户管理模块提供的用户基础信息对认证请求进行信息认证,并结合所述第一访问管理策略与第二访问管理策略对认证请求进行鉴权和授权;
所述令牌管理模块用于基于所述认证鉴权授权模块生成的鉴权结果与授权结果进行令牌的生成,以及用于对令牌进行更新与废弃;
所述策略管理模块用于管理所述信任评估引擎模块上传的所述第一访问管理策略与所述第二访问管理策略。
第二方面,本申请实施例提供一种算力网络操作系统的访问方法,应用于第一方面所述的算力网络操作系统的访问系统,所述算力网络操作系统的访问方法包括:
接收访问请求,对所述访问请求进行令牌校验与域内资源权限校验;所述访问请求是访问方基于令牌对目标域发起的;所述访问方包括用户、设备与服务中的至少一项;
若所述访问请求通过所述令牌校验与所述域内资源权限校验,将所述访问请求路由至所述访问请求对应的资源操作的API进行处理;
将处理后的资源操作结果传输至所述访问方。
在一个实施例中,还包括:
接收所述访问方基于用户注册信息发起认证请求;
根据所述认证请求中的用户注册信息,结合第一访问管理策略与第二访问管理策略,对所述访问方进行认证;其中,所述第一访问管理策略是动态生成的;
若所述用户注册信息通过认证,根据认证结果返回令牌至所述访问方。
第三方面,本申请实施例提供一种算力网络操作系统的访问装置,包括:
接收模块,用于接收访问请求,对所述访问请求进行令牌校验与域内资源权限校验;所述访问请求是访问方基于令牌对目标域发起的;所述访问方包括用户、设备与服务中的至少一项;
路由模块,用于若所述访问请求通过所述令牌校验与所述域内资源权限校验,将所述访问请求路由至所述访问请求对应的资源操作的API进行处理;
传输模块,用于将处理后的资源操作结果传输至所述访问方。
第四方面,本申请实施例提供一种设备,所述设备为电子设备,包括处理器和存储有计算机程序的存储器,所述处理器执行所述程序时实现第二方面所述的算力网络操作系统的访问方法。
第五方面,本申请实施例提供一种介质,所述介质为计算机可读存储介质,包括计算机程序,所述计算机程序被处理器执行时实现第二方面所述的算力网络操作系统的访问方法。
本申请实施例提供的算力网络操作系统的访问系统、方法、装置、设备及介质,通过对算力网络操作系统的用户、设备与服务统一抽象为注册用户,以便捷地实现算力网络各参与方和资源的动态变更;对每一访问方进行认证、令牌校验与域内资源权限校验,实现持续、智能、分布式的访问校验,提供安全可信、弹性适配的统一访问机制,便于算力网络操作系统的生态开放;将鉴权过程分解为认证鉴权中心模块获取令牌和算力网络资源管理模块基于令牌进行令牌校验、资源权限校验的两次鉴权,可降低认证鉴权中心模块的负载,实现算力网络纳管资源的大规模扩展;由此,可以提高进行算力网络操作系统的访问时的效率。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的算力网络操作系统的访问系统的结构示意图;
图2是本申请实施例提供的算力网络操作系统的访问方法的流程示意图;
图3是本申请实施例提供的算力网络操作系统的访问方法中访问过程的流程示意图之一;
图4是本申请实施例提供的算力网络操作系统的访问方法中访问过程的流程示意图之二;
图5是本申请实施例提供的算力网络操作系统的访问方法中认证过程的流程示意图;
图6是本申请算力网络操作系统的访问装置实施例的功能模块示意图;
图7是本申请实施例提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面结合实施例对本申请提供的算力网络操作系统的访问系统、方法、装置、设备及介质进行详细描述。
图1为本申请实施例提供的算力网络操作系统的访问系统的结构示意图。参照图1,本申请实施例提供一种算力网络操作系统的访问系统,该系统可以包括信任评估引擎模块、算力网络资源管理模块、应用程序编程接口(Application Programming Interface,API)代理模块、安全代理模块和认证鉴权中心模块。
需要说明的是,本申请中还可以包括算力网络操作系统。
其中,算力网络操作系统用于将纳管资源中操作一致的资源驱动划分至同一个算力网络资源管理模块;算力网络操作系统可以根据需要划分多个算力网络资源管理模块。在算力网络资源管理模块中根据资源操作特性进行所管理资源的权限管理;通过算力网络资源管理模块的增删,实现算力网络操作系统资源驱动的弹性变动。
在访问系统中,算力网络资源管理模块既可作为提供相应资源操作服务的被访问方,又可作为为完成自身业务而与算力网络操作系统各服务进行协作的访问方。将算力网络资源管理模块抽象为访问系统中的域,在认证鉴权中心模块中的用户管理模块进行域的创建、删除、更新等操作;域作为被访问方,需部署安全代理模块和域策略;域作为访问方,需部署统一API代理。
算力网络操作系统的域内由多服务共同完成相应资源的创建、启动、暂停、删除、更新、查询等操作,该操作可根据所管理资源的特性进行衍生。
域策略用于指定用户在其资源配额范围内,对域内资源可执行的具体操作权限;特别地,用户在域内的资源配额由域内服务管理和维护。
域策略用于用户认证和初步鉴权通过后,结合本域的资源管理详情对该次访问的详细鉴权。
安全代理模块(也可以简称为安全代理)部署于被访问方,用于截获统一API代理发送的访问请求;对访问请求进行解码;提取访问请求中的令牌并校验令牌有效性;对令牌校验有效的访问请求,根据令牌所载访问者认证和鉴权信息,向被访问方的域策略管理获取访问方是否拥有此次访问资源的相应操作权限;对访问方拥有此次访问资源相应操作权限的请求,将访问请求路由至资源驱动的相应API进行处理;并将处理结果反馈至访问方;同时收集被访问方(包括算力网络资源管理模块与认证鉴权中心模块)运行时产生的系统信息并上报至信任评估引擎。
API代理模块(也可以称为统一API代理)部署于访问方,用于供访问方基于用户注册信息发起认证请求或基于令牌发起对目标域的访问请求;访问方(也可以称为访问者)包括用户、设备与服务中的至少一项。
目标域即访问方需要进行访问时所指定的域。
API代理模块为访问请求提供统一接口,完成访问请求的合法性校验、访问信息的编解码和访问请求的转发。
具体的,统一接口对访问入参的合法性进行校验;根据访问请求中的访问协议调用相应算法库,对访问请求和返回消息体进行编解码;根据访问请求中的目的端,将请求转至相应资源服务API;接收访问请求的返回信息。
信任评估引擎模块用于根据系统信息动态生成第一访问管理策略并上传至认证鉴权中心模块。
信任评估引擎模块可以根据收集到的系统信息,采用机器学习技术动态调整访问管理策略,得到第一访问管理策略。
信任评估引擎模块收集到的系统信息可以包括设备和服务器操作系统的访问信息和运行信息、算力网络操作系统的访问信息和运行信息;该信息形式具体包括不限于日志记录、性能数据、告警信息、故障信息等。
其中,第一访问管理策略包括用户信任等级的评估策略、用户异常行为的检测策略、异常访问的检测策略、系统超阈值访问的熔断策略。
认证鉴权中心模块(也可以称为统一认证鉴权中心)用于根据认证请求中的用户注册信息,结合第一访问管理策略与第二访问管理策略,对访问方进行认证,在用户注册信息通过认证时根据认证结果返回令牌至访问方。
其中,第二访问管理策略是认证鉴权中心模块中预置的基于最小权限原则设定的访问管理策略,属于静态访问管理策略。
需要说明的是,当用户注册信息通过信息认证、通过鉴权并得到授权时,判定用户注册信息通过认证。
上述用户可以包括算力网络的算力供应者、算网运营者、算网运维者、算力消费者以及构建整体算力网络的基础应用和丰富算力形态的上层应用等所有需要访问算力网络的访问方和提供服务的被访问方。
其中,认证鉴权中心模块包括用户管理模块、认证鉴权授权模块、令牌(token)管理模块与策略管理模块。
用户管理模块用于完成用户与角色、权限、资源的抽象和管理;用于为认证鉴权授权模块提供访问方的认证所需的用户基础信息;认证包括信息认证、鉴权和授权。
通过用户管理模块,可以对算力网络操作系统的用户、设备与服务统一抽象为在统一认证鉴权中心注册的用户,通过用户的注册和注销便捷地实现算力网络各参与方和资源的动态变更。
用户管理模块的用户根据是否可提供API接口,可将用户分为两类:不提供API接口的用户定义为普通用户,可提供API接口的用户定义为服务用户。
普通用户需具有用户认证所需属性和标识用户资源域所需属性。
普通用户具有的属性包括:用户名、邮箱、手机号、密码等用户认证所需信息,以及所属用户组(group)、项目(project)、域(domain)和所拥有的角色(role)等用于规范资源权限的属性。
用户组用以标识用户所属组织;域用以标识算力网络可提供操作相同的资源组合,域内包含项目、用户;项目用以标识资源配额的资源组合,与用户具有多对多的关系。
普通用户在一套访问控制机制下拥有唯一用户名,设置可属多域,即可操作多类型资源;在单域内可属多项目,即拥有该域内多资源组合的配额;可拥有多角色,即可在多域多项目中,设置不同权限。
服务用户除具有普通用户所需属性外,还具有所提供服务的不同网络平面的API接入点信息。
服务用户具有的属性包括:用户名、密码认证信息,以及所属用户组、项目、域和所拥有的角色,特别地,还包括标识其可提供服务的服务目录属性。
服务用户在单域内拥有唯一用户名;所属该域下特殊项目,即拥有该域下全部资源权限,但不拥有资源配额。服务目录属性包括该服务可提供的服务名称和服务访问API接入点;特别地,该API接入点可根据算力网络安全需求,提供不同网络平面,如控制面、数据面、管理网络(admin)面、内部网络(internal)面、外部网络(external)面等;可根据用户的权限返回其可见的服务及服务的访问平面。
用户管理模块可提供用户、用户组、域、项目、角色、服务目录的创建、更新、查询、删除、指派等操作。通过域的创建和删除实现弹性扩展算力网络操作系统可提供的资源操作驱动;域内的用户作为域内服务访问其他服务的安全认证标识。
本申请的被访问方可以指提供算力网络资源管理的服务或服务集。如管理算力资源的算控制器,管理网络资源的网控制器,管理数据资源的控制器,对多资源进行编排的算网大脑,管理用户信息资源的认证鉴权中心等,均可抽象为域在认证鉴权中心进行注册。
例如,算控制器、网控制器、数控制器、算网大脑等均对外提供相应资源管理的API接口,作为服务用户进行配置。算控制器完成算力资源的管理,算力资源包括以CPU算力为主的通用算力如裸金属、云主机、容器等,也包括智算算力和超算算力,在具体实施中,也可以将通用算力、智算算力和超算算力分别划分为不同的域,从而作为不同注册服务用户进行配置;网控制器完成网络资源的管理,网络资源包括无线网、核心网、IP网、传输网等;数控制器完成数据资源的管理;算网大脑完成算力、网络和数据融合的资源模板的管理。
认证鉴权中心模块和信任评估引擎模块作为算力网络操作系统的参与方,分别完成用户信息资源和信任评估资源的管理,抽象为服务用户。服务用户兼具普通用户的所有属性,也可对算力网络操作系统中权限范围内的资源进行访问。
认证鉴权中心模块可作为对认证鉴权授权所需资源进行管理的被访问方,认证鉴权授权所需资源包括用户信息、认证策略、鉴权策略、授权策略、令牌信息等。
信任评估引擎模块可作为对信任评估所需资源进行管理的被访问方,信任评估所需资源包括系统运行信息、信任评估策略等。
以算控制器为例,其需在统一认证鉴权中心注册算控制器域和算控制器用户。算控制器域作为服务提供和资源类型的划分,以API接入点标识其对外提供的API地址,根据安全和管理需求可划分不同网络平面。域内完成算力资源管理的多个服务或应用均以用户算控制器的权限和配额与算力网络操作系统中其他服务或应用进行交互。作为服务提供者,算控制器需部署安全代理模块和域策略。安全代理模块完成接收到的请求信息的解密、令牌有效性校验和域内资源权限判断。域策略完成域内资源配额管理和用户访问的域策略管理。安全代理模块通过域策略进行域内资源权限判断,域策略以本次访问的用户基本信息和被访问资源标识综合评定本次访问是否有权限。用户基本信息包括用户名、用户组、域、项目、角色;资源标识包括资源名、域、项目、具体资源以及对资源进行的具体操作信息。
认证鉴权授权模块用于基于用户管理模块提供的用户基础信息,对认证请求进行信息认证、鉴权和授权;
认证鉴权授权模块用于用户认证、访问请求的鉴权和授权操作;用户认证指基于用户管理模块所提供的用户信息确认访问用户的合法性;鉴权、授权结果包括用户基础信息,本次请求的域、项目和相应的角色,以及该次认证可访问服务的API接入点平面;鉴权、授权结果需发送至令牌管理模块,获取鉴权、授权的令牌返回给访问方。
令牌管理模块用于基于认证鉴权授权模块生成的鉴权结果与授权结果进行令牌的生成,以及用于对令牌进行更新与废弃;
令牌指上述鉴权结果、授权结果、附加令牌管理信息等信息被加密后的字符串;附加令牌管理信息指令牌有效期、校验机制、更新机制和失效机制所需要的信息。
策略管理模块用于管理信任评估引擎模块上传的第一访问管理策略与基于最小权限原则的第二访问管理策略。
第二访问管理策略包括基于角色和域、服务、项目多要素设定的规则类策略,第一访问管理策略为信任评估引擎生成的动态的访问管理策略;策略管理操作包括规则的创建、更新、删除、查询、激活、去激活以及规则的编排等。
进一步还需要说明的是,算力网络操作系统的访问系统还可以包括加密解密模块;
加密解密模块可以部署于访问方和被访问方,为访问过程提供基础的信息加解密功能。
加密解密模块用于访问请求、认证请求、令牌以及资源操作结果在传输过程的信息加解密。
加密解密模块用于为访问过程提供包括多种加解密算法的算法库。算法库可以包括散列函数MD5、SHA-256、SHA-512,对称加密算法DES、AES,非对称加密算法RSA等。
可以理解地,上述各组件或各模块可根据业务需求采用单实体部署或集群部署,且不限定部署载体为服务器、云主机、容器或微服务。
本申请实施例提供的算力网络操作系统的访问系统,通过对算力网络操作系统的用户、设备与服务统一抽象为注册用户,以便捷地实现算力网络各参与方和资源的动态变更;对每一访问方进行认证、令牌校验与域内资源权限校验,实现持续、智能、分布式的访问校验,提供安全可信、弹性适配的统一访问机制,便于算力网络操作系统的生态开放;将鉴权过程分解为认证鉴权中心模块获取令牌和算力网络资源管理模块基于令牌进行令牌校验、资源权限校验的两次鉴权,可降低认证鉴权中心模块的负载,实现算力网络纳管资源的大规模扩展;由此,可以提高进行算力网络操作系统的访问时的效率。
以“不信任任何人”和持续验证的方式对所有访问控制严格执行最小权限,并对所有访问过程实时跟踪和动态评估。可解决背景技术中所指出的现有访问技术无法适配算力网络中访问方属性各异、资源动态异构、缺乏域内访问攻击防范的问题。
图2为本申请实施例提供的算力网络操作系统的访问方法的流程示意图。参照图2,本申请实施例提供一种算力网络操作系统的访问方法,该方法可以包括:
步骤100,接收访问请求,对访问请求进行令牌校验与域内资源权限校验;
需要说明的是,本申请实施例提供的算力网络操作系统的访问方法可以应用于上述的算力网络操作系统的访问系统。
其中,访问请求是访问方基于令牌对目标域发起的;访问方包括用户、设备与服务中的至少一项。
本申请中,已完成用户注册的访问方可以基于上述API代理模块发起访问请求。
算力网络资源管理模块的安全代理模块截获访问请求,对访问请求进行解码,提取访问请求中的令牌,并校验提取的令牌是否有效。
若经校验,提取的令牌有效,安全代理模块向域策略请求本次用户请求的资源操作权限。域策略结合用户角色,域和本次请求的项目、具体资源以及对资源进行的具体操作信息,查询用户在被访问方域内的资源配额和具体操作权限,返回访问请求是否有效,实现访问请求的域内资源权限校验。
需要说明的是,对于访问请求无令牌或令牌过期的访问请求,返回访问结果给访问方。访问方可以根据返回信息发起令牌申请或刷新后再次发起请求。
步骤200,若访问请求通过令牌校验与域内资源权限校验,将访问请求路由至访问请求对应的资源操作的API进行处理;
若访问请求的令牌有效且具有在被访问方域内的资源配额和具体操作权限,则确定访问请求通过令牌校验与域内资源权限校验。
因此,安全代理模块可以将访问请求路由至域内与该请求对应的资源操作的具体API以完成本次请求操作。
若确定访问请求不具备在被访问方域内的资源配额和具体操作权限,则通过API代理模块返回请求失败的详情给访问方。
步骤300,将处理后的资源操作结果传输至访问方。
安全代理模块获取访问请求对应的资源操作的API执行访问请求对应的操作得到的资源操作结果,并通过API代理模块返回资源操作结果给访问方。
图3为本申请实施例提供的算力网络操作系统的访问方法中访问过程的流程示意图之一,如图3所示,在一些实施例中,已注册用户可以发起访问,安全代理模块校验访问请求中令牌(token)的有效性,以此确定令牌是否有效。
若令牌无效,则会向访问方返回信息,访问方可以根据返回信息,确定是否更正后再次发起访问,由此确定是否再次认证与鉴权。
若否则访问结束,若是则进入用户认证流程,再次获取令牌或刷新令牌发起访问。
若令牌有效,则安全代理模块结合域策略校验此次请求有效性以确定请求是否有效。
若请求有效,则在域内资源管理服务完成访问请求后访问结束。
若请求无效,则向访问方返回信息,访问方可以根据返回信息,确定是否更正后再次发起访问,由此确定是否再次认证与鉴权。
若否则访问结束,若是则进入用户认证流程,再次获取令牌或刷新令牌发起访问。
图4为本申请实施例提供的算力网络操作系统的访问方法中访问过程的流程示意图之二,如图4所示,在一些实施例中,访问方可以通过统一API代理对服务端发起访问请求,统一API代理可以校验请求格式的合法性,校验不通过的请求直接返回,校验通过的请求经访问方安全代理模块对访问请求中的关键信息进行加密后路由至被访问方安全代理模块。
被访问方安全代理模块对访问请求中的关键信息进行解密,获取访问令牌(token)并校验令牌有效性。若令牌校验通过,则向被访问方策略管理请求用户此次请求的资源操作是否有权限。
被访问方策略管理根据策略信息编排用户此次请求响应的资源策略信息,并根据该策略信息校验此次请求是否有权限,并向被访问方安全代理模块返回该用户此次请求的权限校验结果。
若确定权限校验结果为无权限,被访问方安全代理模块返回该用户此次请求没有相应资源操作权限至统一API代理,并由统一API代理确定无资源权限,返回信息至访问方。
若确定有权限,被访问方安全代理模块发送资源操作请求至被访问方资源操作API,并接收被访问方资源操作API返回的资源操作结果。
被访问方安全代理模块向统一API代理返回此次请求操作结果,统一API代理再向访问方返回此次请求操作结果。
本申请实施例提供的算力网络操作系统的访问方法,通过对算力网络操作系统的用户、设备与服务统一抽象为注册用户,以便捷地实现算力网络各参与方和资源的动态变更;对每一访问方进行认证、令牌校验与域内资源权限校验,实现持续、智能、分布式的访问校验,提供安全可信、弹性适配的统一访问机制,便于算力网络操作系统的生态开放;将鉴权过程分解为认证鉴权中心模块获取令牌和算力网络资源管理模块基于令牌进行令牌校验、资源权限校验的两次鉴权,可降低认证鉴权中心模块的负载,实现算力网络纳管资源的大规模扩展;由此,可以提高进行算力网络操作系统的访问时的效率。
需要说明的是,该方法在接收访问请求,对访问请求进行令牌校验与域内资源权限校验之前,还可以包括:
步骤1,接收访问方基于用户注册信息发起认证请求;
步骤2,根据认证请求中的用户注册信息,结合第一访问管理策略与第二访问管理策略,对访问方进行认证;
步骤3,若用户注册信息通过认证,根据认证结果返回令牌至访问方。
在一些实施例中,访问方在统一认证鉴权中心(即认证鉴权中心模块)注册后可以用户名和密码发起认证,以获取令牌。图5为本申请实施例提供的算力网络操作系统的访问方法中认证过程的流程示意图,如图5所示,访问方通过统一API代理发起认证请求(需要说明的是,向统一认证鉴权中心发起的认证请求,实质是对统一认证鉴权中心的访问请求,因此在进行认证时,认证请求也可以称为访问请求),统一API代理校验该请求格式的合法性,校验不通过的请求直接返回,校验通过的请求经访问方安全代理模块对请求中的关键信息进行加密后路由至统一认证鉴权中心。
统一认证鉴权中心作为被访问方,由其域内安全代理模块对访问请求中加密的关键信息进行解密;由认证鉴权模块提取访问请求中如用户名、密码等用以标识用户有效性的关键信息,并向用户管理模块获取用户信息,完成用户认证,认证不通过向访问方返回认证不通过结果及对应的认证信息,认证通过则携带用户信息向策略管理模块请求该用户相应的鉴权授权的策略信息。该策略信息包括系统内置作为第二访问管理策略的规则性策略和信任评估引擎动态生成的第一访问管理策略。
认证鉴权模块根据相应策略信息结合用户信息完成此次鉴权授权,并将鉴权授权结果发送至令牌(token)管理模块获取相应令牌。鉴权授权结果信息包括用户名、域、项目、角色、信用分值和该用户可以访问的API接入点平面。
令牌管理模块对用户鉴权授权结果附加令牌管理信息,如令牌签发时间、过期时间、校验机制等返回给认证鉴权授权模块。最终由认证鉴权授权模块作为统一认证鉴权中心对外API向访问方返回用户认证通过的令牌。
本实施例将鉴权过程分解为认证鉴权中心模块获取令牌和算力网络资源管理模块基于令牌进行令牌校验、资源权限校验的两次鉴权,可降低认证鉴权中心模块的负载,实现算力网络纳管资源的大规模扩展;由此,可以提高进行算力网络操作系统的访问时的效率。
将鉴权过程分解为统一认证鉴权中心获取令牌和各域内基于令牌信息校验资源权限和配额的两次鉴权,令牌有效性校验分布在各域内完成;资源配额管理和域策略管理也分布在域内完成,域可根据自身资源特性灵活配置域策略。避免令牌集中校验导致统一认证鉴权中心成为算力网络操作系统纳管资源规模扩大的瓶颈;同时为更多形态算网资源的纳管提供统一便捷的接入方式。
进一步地,本申请还提供一种算力网络操作系统的访问装置。
参照图6,图6为本申请算力网络操作系统的访问装置实施例的功能模块示意图。
所述算力网络操作系统的访问装置包括:
接收模块610,用于接收访问请求,对所述访问请求进行令牌校验与域内资源权限校验;所述访问请求是访问方基于令牌对目标域发起的;所述访问方包括用户、设备与服务中的至少一项;
路由模块620,用于若所述访问请求通过所述令牌校验与所述域内资源权限校验,将所述访问请求路由至所述访问请求对应的资源操作的API进行处理;
传输模块630,用于将处理后的资源操作结果传输至所述访问方。
本申请实施例提供的算力网络操作系统的访问装置,通过对算力网络操作系统的用户、设备与服务统一抽象为注册用户,以便捷地实现算力网络各参与方和资源的动态变更;对每一访问方进行认证、令牌校验与域内资源权限校验,实现持续、智能、分布式的访问校验,提供安全可信、弹性适配的统一访问机制,便于算力网络操作系统的生态开放;将鉴权过程分解为认证鉴权中心模块获取令牌和算力网络资源管理模块基于令牌进行令牌校验、资源权限校验的两次鉴权,可降低认证鉴权中心模块的负载,实现算力网络纳管资源的大规模扩展;由此,可以提高进行算力网络操作系统的访问时的效率。
在一个实施例中,所述算力网络操作系统的访问装置还包括:
接收单元,用于接收访问方基于用户注册信息发起认证请求;
认证模块,用于根据所述认证请求中的用户注册信息,结合第一访问管理策略与第二访问管理策略,对所述访问方进行认证;其中,所述第一访问管理策略是动态生成的;
返回模块,用于若所述用户注册信息通过认证,根据认证结果返回令牌至所述访问方。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(Communication Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的计算机程序,以执行算力网络操作系统的访问方法的步骤,例如包括:
接收访问请求,对所述访问请求进行令牌校验与域内资源权限校验;所述访问请求是访问方基于令牌对目标域发起的;所述访问方包括用户、设备与服务中的至少一项;
若所述访问请求通过所述令牌校验与所述域内资源权限校验,将所述访问请求路由至所述访问请求对应的资源操作的API进行处理;
将处理后的资源操作结果传输至所述访问方。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例还提供一种介质,所述介质为计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于使处理器执行上述各实施例提供的方法的步骤,例如包括:
接收访问请求,对所述访问请求进行令牌校验与域内资源权限校验;所述访问请求是访问方基于令牌对目标域发起的;所述访问方包括用户、设备与服务中的至少一项;
若所述访问请求通过所述令牌校验与所述域内资源权限校验,将所述访问请求路由至所述访问请求对应的资源操作的API进行处理;
将处理后的资源操作结果传输至所述访问方。
所述计算机可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (9)
1.一种算力网络操作系统的访问系统,其特征在于,包括信任评估引擎模块、算力网络资源管理模块、应用程序编程接口API代理模块、安全代理模块和认证鉴权中心模块;
所述信任评估引擎模块用于根据系统信息动态生成第一访问管理策略并上传至所述认证鉴权中心模块;
所述API代理模块用于供访问方基于用户注册信息发起认证请求或基于令牌发起对目标域的访问请求;所述访问方包括用户、设备与服务中的至少一项;
所述安全代理模块用于供被访问方基于域策略对所述访问请求进行鉴权,并上报产生的系统信息至所述信任评估引擎模块;
所述认证鉴权中心模块用于根据认证请求中的用户注册信息,结合所述第一访问管理策略与第二访问管理策略,对所述访问方进行认证,在所述用户注册信息通过认证时根据认证结果返回令牌至所述访问方;所述第二访问管理策略是所述认证鉴权中心模块中预置的基于最小权限原则设定的访问管理策略;
所述算力网络资源管理模块用于在确定所述访问请求通过令牌校验和域内资源权限校验后,将所述访问请求路由至与所述访问请求对应的资源操作的API进行处理,并将得到的资源操作结果传输至所述访问方。
2.根据权利要求1所述的算力网络操作系统的访问系统,其特征在于,所述算力网络资源管理模块与所述认证鉴权中心模块还用于通过所述安全代理模块将运行过程产生的系统信息上传至所述信任评估引擎模块,以供所述信任评估引擎模块根据所述系统信息动态生成所述第一访问管理策略。
3.根据权利要求2所述的算力网络操作系统的访问系统,其特征在于,所述第一访问管理策略包括用户信任等级的评估策略、用户异常行为的检测策略、异常访问的检测策略、系统超阈值访问的熔断策略。
4.根据权利要求1所述的算力网络操作系统的访问系统,其特征在于,还包括加密解密模块;
所述加密解密模块用于所述访问请求、所述认证请求、所述令牌以及所述资源操作结果在传输过程的信息加解密。
5.根据权利要求1所述的算力网络操作系统的访问系统,其特征在于,所述认证鉴权中心模块包括用户管理模块、认证鉴权授权模块、令牌管理模块与策略管理模块;
所述用户管理模块用于完成用户与角色、权限、资源的抽象和管理;用于为所述认证鉴权授权模块提供所述访问方的认证所需的用户基础信息;所述认证包括信息认证、鉴权和授权;
所述认证鉴权授权模块用于基于所述用户管理模块提供的用户基础信息对认证请求进行信息认证,并结合所述第一访问管理策略与第二访问管理策略对认证请求进行鉴权和授权;
所述令牌管理模块用于基于所述认证鉴权授权模块生成的鉴权结果与授权结果进行令牌的生成,以及用于对令牌进行更新与废弃;
所述策略管理模块用于管理所述信任评估引擎模块上传的所述第一访问管理策略与所述第二访问管理策略。
6.一种算力网络操作系统的访问方法,其特征在于,应用于权利要求1-5任一项所述的算力网络操作系统的访问系统,所述算力网络操作系统的访问方法包括:
接收访问请求,对所述访问请求进行令牌校验与域内资源权限校验;所述访问请求是访问方基于令牌对目标域发起的;所述访问方包括用户、设备与服务中的至少一项;
若所述访问请求通过所述令牌校验与所述域内资源权限校验,将所述访问请求路由至所述访问请求对应的资源操作的API进行处理;
将处理后的资源操作结果传输至所述访问方。
7.根据权利要求6所述的算力网络操作系统的访问方法,其特征在于,还包括:
接收所述访问方基于用户注册信息发起认证请求;
根据所述认证请求中的用户注册信息,结合第一访问管理策略与第二访问管理策略,对所述访问方进行认证;其中,所述第一访问管理策略是动态生成的;
若所述用户注册信息通过认证,根据认证结果返回令牌至所述访问方。
8.一种设备,所述设备为电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求6至7任一项所述的算力网络操作系统的访问方法。
9.一种介质,所述介质为计算机可读存储介质,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求6至7任一项所述的算力网络操作系统的访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310566652.0A CN116319096B (zh) | 2023-05-19 | 2023-05-19 | 算力网络操作系统的访问系统、方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310566652.0A CN116319096B (zh) | 2023-05-19 | 2023-05-19 | 算力网络操作系统的访问系统、方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116319096A CN116319096A (zh) | 2023-06-23 |
| CN116319096B true CN116319096B (zh) | 2023-09-05 |
Family
ID=86801759
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310566652.0A Active CN116319096B (zh) | 2023-05-19 | 2023-05-19 | 算力网络操作系统的访问系统、方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116319096B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769642B1 (en) * | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
| CN112188493A (zh) * | 2020-10-22 | 2021-01-05 | 深圳云之家网络有限公司 | 一种鉴权认证方法、系统及相关设备 |
| CN112560067A (zh) * | 2020-12-25 | 2021-03-26 | 平安普惠企业管理有限公司 | 基于令牌权限校验的访问方法、装置、设备及存储介质 |
| CN114465807A (zh) * | 2022-02-24 | 2022-05-10 | 重庆邮电大学 | 一种基于机器学习的零信任api网关动态信任评估与访问控制方法及系统 |
| CN114598540A (zh) * | 2022-03-18 | 2022-06-07 | 北京启明星辰信息安全技术有限公司 | 访问控制系统、方法、装置及存储介质 |
| CN114978635A (zh) * | 2022-05-11 | 2022-08-30 | 中国电信股份有限公司 | 跨域认证方法及装置、用户注册方法及装置 |
| CN115834127A (zh) * | 2022-10-19 | 2023-03-21 | 重庆川仪自动化股份有限公司 | 一种基于临时授权的边缘计算网关数据分发方法及系统 |
| CN115913676A (zh) * | 2022-11-04 | 2023-04-04 | 上海申石软件有限公司 | 云原生应用的访问控制方法、装置、电子设备及存储介质 |
| CN115982694A (zh) * | 2022-12-27 | 2023-04-18 | 北京天融信网络安全技术有限公司 | 一种资源访问的方法、装置、设备及介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6334920B2 (ja) * | 2014-01-07 | 2018-05-30 | キヤノン株式会社 | 権限管理サーバー及び権限管理方法 |
| US11431503B2 (en) * | 2020-12-10 | 2022-08-30 | Kyndryl, Inc. | Self-sovereign data access via bot-chain |
-
2023
- 2023-05-19 CN CN202310566652.0A patent/CN116319096B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8769642B1 (en) * | 2011-05-31 | 2014-07-01 | Amazon Technologies, Inc. | Techniques for delegation of access privileges |
| CN112188493A (zh) * | 2020-10-22 | 2021-01-05 | 深圳云之家网络有限公司 | 一种鉴权认证方法、系统及相关设备 |
| CN112560067A (zh) * | 2020-12-25 | 2021-03-26 | 平安普惠企业管理有限公司 | 基于令牌权限校验的访问方法、装置、设备及存储介质 |
| CN114465807A (zh) * | 2022-02-24 | 2022-05-10 | 重庆邮电大学 | 一种基于机器学习的零信任api网关动态信任评估与访问控制方法及系统 |
| CN114598540A (zh) * | 2022-03-18 | 2022-06-07 | 北京启明星辰信息安全技术有限公司 | 访问控制系统、方法、装置及存储介质 |
| CN114978635A (zh) * | 2022-05-11 | 2022-08-30 | 中国电信股份有限公司 | 跨域认证方法及装置、用户注册方法及装置 |
| CN115834127A (zh) * | 2022-10-19 | 2023-03-21 | 重庆川仪自动化股份有限公司 | 一种基于临时授权的边缘计算网关数据分发方法及系统 |
| CN115913676A (zh) * | 2022-11-04 | 2023-04-04 | 上海申石软件有限公司 | 云原生应用的访问控制方法、装置、电子设备及存储介质 |
| CN115982694A (zh) * | 2022-12-27 | 2023-04-18 | 北京天融信网络安全技术有限公司 | 一种资源访问的方法、装置、设备及介质 |
Non-Patent Citations (1)
| Title |
|---|
| Ranjit Kaur ; Raminder Pal Singh.Enhanced cloud computing security and integrity verification via novel encryption techniques.《2014 International Conference on Advances in Computing, Communications and Informatics (ICACCI)》.2014,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116319096A (zh) | 2023-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11025435B2 (en) | System and method for blockchain-based cross-entity authentication | |
| US10756885B2 (en) | System and method for blockchain-based cross entity authentication | |
| AU2019206006B2 (en) | System and method for biometric protocol standards | |
| Lim et al. | Blockchain technology the identity management and authentication service disruptor: a survey | |
| Megouache et al. | Ensuring user authentication and data integrity in multi-cloud environment | |
| CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
| US9729531B2 (en) | Accessing a computer resource using an access control model and policy | |
| Habiba et al. | Cloud identity management security issues & solutions: a taxonomy | |
| US20210136068A1 (en) | Telecom node control via blockchain | |
| CN110489996B (zh) | 一种数据库数据安全管理方法及系统 | |
| Zhong et al. | Distributed blockchain‐based authentication and authorization protocol for smart grid | |
| Malik et al. | Federated identity management (FIM): Challenges and opportunities | |
| CN111880919A (zh) | 数据调度方法、系统和计算机设备 | |
| Guo et al. | Using blockchain to control access to cloud data | |
| Jamal et al. | Reliable access control for mobile cloud computing (MCC) with cache-aware scheduling | |
| Pon et al. | Blockchain based cloud service security architecture with distributed machine learning for smart device traffic record transaction | |
| CN110189440A (zh) | 一种基于区块链的智能锁监管设备及其方法 | |
| US11611435B2 (en) | Automatic key exchange | |
| Brock et al. | Toward a framework for cloud security | |
| CN116319096B (zh) | 算力网络操作系统的访问系统、方法、装置、设备及介质 | |
| CN114679473A (zh) | 基于分布式数字身份的金融账户治理系统及方法 | |
| Shere et al. | A review of federated identity management of OpenStack cloud | |
| US11954672B1 (en) | Systems and methods for cryptocurrency pool management | |
| CN117294465B (zh) | 一种基于跨域通信的属性加密系统及方法 | |
| Elgedawy et al. | CRESCENT+: a self-protecting framework for reliable composite web service delivery |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |