CN118018248A - 访问控制方法、系统、电子设备及存储介质 - Google Patents

访问控制方法、系统、电子设备及存储介质 Download PDF

Info

Publication number
CN118018248A
CN118018248A CN202410009704.9A CN202410009704A CN118018248A CN 118018248 A CN118018248 A CN 118018248A CN 202410009704 A CN202410009704 A CN 202410009704A CN 118018248 A CN118018248 A CN 118018248A
Authority
CN
China
Prior art keywords
access
account
target
instruction
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410009704.9A
Other languages
English (en)
Inventor
欧阳亚
段少明
刘星
付鹏宇
熊思伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peng Cheng Laboratory
Original Assignee
Peng Cheng Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peng Cheng Laboratory filed Critical Peng Cheng Laboratory
Priority to CN202410009704.9A priority Critical patent/CN118018248A/zh
Publication of CN118018248A publication Critical patent/CN118018248A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种访问控制方法、系统、电子设备及存储介质,方法包括:获取服务集群发送的多个服务器的存储卷的路径信息;响应于输入端指令,创建目标账号并确定对应的目标卷,将目标卷的路径信息和目标账号存储至访问策略表中;在权限配置指令下,根据目标账号生成目标卷的访问配置文件并发送到服务集群后映射到所有的服务器上;接收客户端发送的访问请求并解析,当客户端的待验证账号与目标账号对应时,生成第一准许访问指令;将第一准许访问指令和对应的目标卷的路径信息发送给客户端,使客户端在第一准许访问指令下,基于目标卷的路径信息对服务集群中的目标卷进行访问操作。本申请提升了各个端之间的交互性,降低了系统的复杂度。

Description

访问控制方法、系统、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种访问控制方法、系统、电子设备及存储介质。
背景技术
可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)是一种用于访问控制决策管理的标准,XACML使用XML语言来定义和描述访问控制策略,能够灵活地控制和管理对资源的访问。
相关技术中,XACML标准实现的权限控制系统中的各个标准模块相互独立,组件之间的通信和协调存在困难,往往需要引入上下文处理器的接口来调用各个标准模块实现通信,标准模块之间的交互性差;并且,在各个标准模块进行协同工作时,还需要额外部署决策端和引入额外的工具完成策略的同步,增加了系统的复杂度。
发明内容
本申请实施例的主要目的在于提出一种访问控制方法、系统、电子设备及存储介质,能够提升各个端之间的交互性,并降低系统的复杂度。
为实现上述目的,本申请实施例的第一方面提出了一种访问控制方法,应用于权限配置中心,所述方法包括:获取服务集群发送的多个存储卷的路径信息,其中,多个所述存储卷的路径信息至少来自所述服务集群中的多个服务器;响应于输入端的账号创建指令,创建目标账号,以及响应于所述输入端的权限配置指令,从多个所述存储卷中确定所述目标账号对应的目标卷,并将所述目标卷的路径信息和对应的所述目标账号存储至预设的访问策略表中;在所述权限配置指令下,根据所述目标账号生成所述目标卷的访问配置文件,并将所述访问配置文件发送到所述服务集群中,以使所述服务集群将所述访问配置文件映射到所有的所述服务器上;接收客户端发送的访问请求并解析,得到所述客户端中的待验证账号,当所述待验证账号与所述访问策略表中的所述目标账号对应时,生成第一准许访问指令;将所述第一准许访问指令和对应的所述目标卷的路径信息发送给所述客户端,以使所述客户端在所述第一准许访问指令下,基于所述目标卷的路径信息对所述服务集群中的所述目标卷进行访问操作。
根据本申请的一些实施例,所述访问策略表还存储有访问策略,所述方法还包括:响应于所述输入端的策略创建指令,为所述目标账号创建访问策略;将所述访问策略、所述目标卷的路径信息和对应的所述目标账号存储至预设的访问策略表中。
根据本申请的一些实施例,所述当所述待验证账号与所述访问策略表中的所述目标账号对应时,生成第一准许访问指令,包括:当所述待验证账号与所述访问策略表中的所述目标账号对应时,确定所述目标账号是否存在对应的访问策略;若所述目标账号存在对应的访问策略,生成第一准许访问指令,并更新所述访问策略。
根据本申请的一些实施例,所述方法还包括:当在所述访问策略表中无法查询所述待验证账号时,对所述待验证账号进行创建,并创建对应的访问策略;从多个所述存储卷中确定所述待验证账号对应的目标卷;将所述访问策略、所述目标卷的路径信息和对应的所述待验证账号存储至所述访问策略表中。
根据本申请的一些实施例,所述访问策略包括环境信息;所述为所述目标账号创建访问策略,包括:根据所述目标账号的属性对所述目标账号允许访问的环境信息进行限制;其中,所述环境信息包括环境版本信息、环境配置和环境资源;将所述环境信息作为所述目标账号的访问策略并保存至所述访问策略表中,以使得所述目标账号根据所述环境信息对对应的所述服务器进行逐层访问。
根据本申请的一些实施例,所述访问策略包括写入权限;所述为所述目标账号创建访问策略,包括:设置所述目标账号在对应的服务器的限制写入次数;将所述限制写入次数作为所述目标账号的访问策略并保存至所述访问策略表中,以禁止写入次数超过所述限制写入次数的所述目标账号对对应的所述服务器进行访问;其中,所述目标账号的写入次数通过写入函数进行累计。
根据本申请的一些实施例,所述访问策略包括读取容量权限;所述为所述目标账号创建访问策略,包括:设置所述目标账号在对应的服务器的限制读取容量;将所述限制读取容量作为所述目标账号的访问策略并保存至所述访问策略表中,以禁止读取容量超过所述限制读取容量的所述目标账号对对应的所述服务器进行访问;其中,所述目标账号的读取容量通过读取函数进行累计。
根据本申请的一些实施例,所述访问策略表还存储有所述目标账号对应的账号密码;所述接收客户端发送的访问请求并解析,得到所述客户端中的待验证账号之前,还包括:接收客户端发送的账号验证请求并解析,得到所述客户端的待验证账号和对应的验证密码;当所述待验证账号与所述访问策略表中的所述目标账号对应、以及所述验证密码与所述账号密码对应时,生成账号验证通过指令,以使得所述待验证账号根据所述账号验证通过指令从所述服务集群中确定需要访问的服务器。
为实现上述目的,本申请实施例的第二方面提出了一种访问控制方法,应用于客户端,所述方法包括:响应于待验证账号的访问输入指令,生成访问请求;向权限配置中心发送所述访问请求,以使所述权限配置中心解析所述访问请求,得到所述待验证账号,当所述待验证账号与所述访问策略表中的目标账号对应时,生成第一准许访问指令,其中,所述访问策略表包括目标卷的路径信息和对应的目标账号,所述目标账号是所述权限配置中心响应于输入端的账号创建指令创建的,所述目标卷是所述权限配置中心在获取服务集群发送的多个存储卷的路径信息后,再响应于输入端的权限配置指令,从多个所述存储卷中确定的,多个所述存储卷的路径信息至少来自所述服务集群中的多个服务器;接收所述权限配置中心发送的第一准许访问指令和对应的所述目标卷的路径信息,在所述第一准许访问指令下,基于所述目标卷的路径信息对所述服务集群中的所述目标卷进行访问操作,其中,所述第一准时指令是所述权限配置中心在所述待验证账号与所述访问策略表中的所述目标账号对应时生成的。
为实现上述目的,本申请实施例的第三方面提出了一种访问控制方法,应用于服务集群,所述服务集群包括多个服务器,所述方法包括:向权限配置中心发送多个存储卷的路径信息,以使得所述权限配置中心在响应输入端的账号创建指令,创建目标账号,以及响应于所述输入端的权限配置指令之后,从多个所述存储卷中确定所述目标账号对应的目标卷,并将所述目标卷的路径信息和对应的所述目标账号存储至预设的访问策略表中;其中,多个所述存储卷的路径信息至少来自所述服务集群中的多个服务器;接收所述权限配置中心发送的所述目标卷的访问配置文件,并将所述访问配置文件映射到所有的所述服务器上;其中,所述访问配置文件由所述权限配置中心在所述权限配置指令下,根据所述目标账号生成;在客户端获取第一准许访问指令之后,准许所述客户端基于所述目标卷的路径信息对所述目标卷进行访问操作;其中,所述第一准许访问指令由所述权限配置中心接收所述客户端发送的访问请求并解析,得到所述客户端中的待验证账号,当所述待验证账号与所述访问策略表中的所述目标账号对应时生成;所述第一准许访问指令和所述目标卷的路径通过所述权限配置中心发送至所述客户端。
为实现上述目的,本申请实施例的第四方面提出了一种访问控制系统,应用于权限配置中心,所述系统包括:路径信息获取模块,用于获取服务集群发送的多个存储卷的路径信息,其中,多个所述存储卷的路径信息至少来自所述服务集群中的多个服务器;存储模块,用于响应于输入端的账号创建指令,创建目标账号,以及响应于所述输入端的权限配置指令,从多个所述存储卷中确定所述目标账号对应的目标卷,并将所述目标卷的路径信息和对应的所述目标账号存储至预设的访问策略表中;访问配置文件映射模块,用于在所述权限配置指令下,根据所述目标账号生成所述目标卷的访问配置文件,并将所述访问配置文件发送到所述服务集群中,以使所述服务集群将所述访问配置文件映射到所有的所述服务器上;第一准许访问指令生成模块,用于接收客户端发送的访问请求并解析,得到所述客户端中的待验证账号,当所述待验证账号与所述访问策略表中的所述目标账号对应时,生成第一准许访问指令;访问模块,用于将所述第一准许访问指令和对应的所述目标卷的路径信息发送给所述客户端,以使所述客户端在所述第一准许访问指令下,基于所述目标卷的路径信息对所述服务集群中的所述目标卷进行访问操作。
为实现上述目的,本申请实施例的第五方面提出了一种电子设备,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现本申请第一、第二和第三方面实施例任一项所述的访问控制方法。
为实现上述目的,本申请实施例的第六方面提出了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本申请第一、第二和第三方面实施例任一项所述的访问控制方法。
本申请提出的访问控制方法、系统、电子设备及存储介质,不需要引入额外的接口,即可实现权限配置中心、服务集群和客户端的交互。具体来说,本申请能够通过权限配置中心统一获取服务集群发送的多个存储卷的路径信息,多个存储卷的路径信息至少来自服务集群中的多个服务器,因此,不必每次都经由接口去对应的标准模块去查询存储卷;本申请能够响应于输入端的账号创建指令,创建目标账号,以及响应于输入端的权限配置指令,从多个存储卷中确定目标账号对应的目标卷,并将目标卷的路径信息和对应的目标账号存储至预设的访问策略表中,因此,在判断客户端可以对哪些目标卷进行访问时,只需要从权限配置中心的访问策略表获取即可,使得客户端能够更加快速地加载到对应的目标卷。另外,通过建立访问策略表,可以方便地查询每个目标账号可以访问的目标卷,使得权限配置更加直观。在权限配置指令下,根据目标账号生成目标卷的访问配置文件,并将访问配置文件发送到服务集群中,以使服务集群将访问配置文件映射到所有的服务器上,以减少系统的复杂度,避免每台服务器都需要进行配置的情况,也提升了配置的一致性和效率;并且,还通过接收客户端发送的访问请求并解析,得到客户端中的待验证账号,当待验证账号与访问策略表中的目标账号对应时,表明待验证账号已经预先在访问策略表中存储,从而生成第一准许访问指令,简化了验证的步骤,提升了系统的响应速度;本申请还能通过将第一准许访问指令和对应的目标卷的路径信息发送给客户端,以使客户端在第一准许访问指令下,基于目标卷的路径信息对服务集群中的目标卷进行访问操作,能够使权限配置中心、客户端、服务集群进行直接交互,提升了各个端之间的交互性,降低了系统的复杂度。
附图说明
图1是本申请实施例提供的访问控制系统的结构示意图;
图2是本申请实施例提供的访问控制方法的流程图;
图3是本申请实施例提供的访问控制方法的又一个流程图;
图4是本申请实施例提供的访问策略表存储示意图;
图5是本申请实施例提供的生成第一准许访问指令的流程图;
图6是本申请实施例提供的访问控制方法的再一个流程图;
图7是本申请实施例提供的目标账号以及访问策略的创建流程图;
图8是本申请实施例提供的为目标账号创建访问策略的流程图;
图9是本申请实施例提供的客户端进行逐层访问的示意图;
图10是本申请实施例提供的创建访问策略的流程图;
图11是本申请实施例提供的为目标账号创建访问策略的流程图;
图12是本申请实施例提供的得到客户端中的待验证账号之前的流程图;
图13是本申请实施例提供的对客户端的初步验证过程介绍流程图;
图14是本申请实施例提供的应用于客户端的访问控制方法的流程图;
图15是本申请实施例提供的应用于服务集群的访问控制方法的流程图;
图16是本申请实施例提供的访问控制系统在权限配置中心的功能模块示意图;
图17是本申请实施例提供的访问控制系统在客户端的功能模块示意图;
图18是本申请实施例提供的访问控制系统在服务集群的功能模块示意图;
图19是本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
相关技术中,访问控制的基本过程如下。策略管理点(Policy AdministrationPoint,PAP)产生需要的安全策略,策略执行点(Policy Enforcement Point,PEP)截获用户发送的访问控制请求,并将截获的访问控制请求发送给上下文处理器,由上下文处理器把请求统一成可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)的格式的访问控制请求。上下文处理器将产生的XACML格式的访问控制请求发送给访问控制决策点(Policy Decision Point,PDP),请求PDP进行访问控制决策。PDP将请求发送给上下文处理器,之后,上下文处理器依据属性请求的类型,向策略信息点(PolicyInformation Point,PIP)发送属性请求。PIP根据请求向不同的实体请求不同的属性信息,并将得到的信息返回给上下文处理器。上下文处理器将属性信息和资源的上下文信息发送给PDP,PDP根据策略信息、属性信息等进行访问控制决策,并将决策结果返回给上下文处理器。上下文处理器将决策结果返回PEP,以执行相应的决策结果。在返回的决策结果中可能是拒绝,也可能是许可。
由此可知,对于相关技术所采用的技术方案来说,访问控制请求需要经过多个端点进行转发和处理,系统的复杂度高,由此可能会增加系统的延迟,并且造成各个端点之间的交互负担。各个端点之间都需要经过上下文处理器进行信息交换和协调,可能引发信息丢失问题。并且每次都需要通过上下文处理器将不同的访问控制请求统一成XACML格式的访问控制请求,增加了系统的复杂度。
基于此,本申请实施例提供了一种访问控制方法、系统、电子设备及存储介质,能够提升各个端之间的交互性,并降低系统的复杂度。
本申请实施例提供的访问控制方法、系统、电子设备及存储介质,具体通过如下实施例进行说明,首先描述本申请实施例中的访问控制系统。
请参照图1,在一些实施例中,访问控制系统包括权限配置中心101、客户端102、服务集群103以及管理员104。在一些实施例中,本申请的访问控制系统可以基于glusterfs建立,或者其他分布式文件系统,如Hadoop分布式文件系统建立。
在一些实施例中,可以理解的是,glusterfs是一种开源分布式文件系统,能够通过将数据分布在不同的节点上,提供文件存储和访问功能,实现数据的高可用性。访问控制系统可以包括权限配置中心101、服务集群102、客户端103和管理员104。具体来说,权限配置中心101是一个中央控制节点,负责存储和管理权限配置信息。权限配置中心101可以获取服务集群102发送的多个存储卷的路径信息,并根据输入端的账号创建指令和权限配置指令来创建目标账号和确定目标账号对应的目标卷。权限配置中心101还负责维护预设的访问策略表,将目标卷的路径信息和对应的目标账号存储在表中。在一些实施例中,权限配置中心101内设置管理员104,管理员104可以通过登录管理账号,实现权限配置中心101、服务集群102和客户端103之间的交互和一些基础配置,比如对访问策略的环境配置等等。在一些实施例中,权限配置中心101也可以不设置管理员104,由权限配置中心实现交互。服务集群102是指由多个独立服务器组成的计算资源集合,用于存储目标卷的数据。服务集群102可以通过将负载分布到多个服务器上来提高性能和可靠性,服务集群102可以将访问配置文件映射到所有的服务器上,以便客户端103在准许访问指令下,通过访问配置文件中的目标卷路径信息对目标卷进行访问操作。客户端103是发起访问请求的用户或应用程序。客户端103可以发送访问请求给权限配置中心101,并提供待验证账号,并在验证通过后执行相应的访问操作。
本申请实施例中的访问控制方法可以通过如下实施例进行说明。
需要说明的是,在本申请的各个具体实施方式中,当涉及到需要根据用户信息、用户行为数据,用户历史数据以及用户位置信息等与用户身份或特性相关的数据进行相关处理时,都会先获得用户的许可或者同意。而且,对这些数据的收集、使用和处理等,都会遵守相关法律法规和标准。此外,当本申请实施例需要获取用户的敏感个人信息时,会通过弹窗或者跳转到确认页面等方式获得用户的单独许可或者单独同意,在明确获得用户的单独许可或者单独同意之后,再获取用于使本申请实施例能够正常运行的必要的用户相关数据。
图2是本申请实施例提供的访问控制方法的一个可选的流程图,图2中的方法应用于权限配置中心,方法可以包括但不限于包括步骤S101至步骤S105。
步骤S101,获取服务集群发送的多个存储卷的路径信息,其中,多个存储卷的路径信息至少来自服务集群中的多个服务器。
在一些实施例中,服务集群是一个由多个服务器组成的集合,用于提供各种服务和资源。服务器的存储卷可以指服务器上的逻辑存储单元,可以是物理磁盘、分布式存储系统或云存储服务等,存储卷用于存储和管理数据。存储卷提供了一个逻辑上独立的存储空间,可以存储文件、数据库、应用程序和其他数据。存储卷的路径信息是指存储卷在服务器文件系统中的位置。在一些实施例中,存储卷路径可以使用类似于"/dev/sda1"的形式表示。"/dev"表示设备文件夹,"sda1"表示物理磁盘上的第一个分区,对于不同类型的存储卷,路径信息可能会有所不同。在一些实施例中,每个服务器内都存储有存储卷,权限配置中心可以获取每个存储卷的路径信息,以便得到访问权限的客户端能够根据路径信息对相应的存储卷进行访问。在一些实施例中,本申请的访问控制方法可以基于glusterfs建立,具体本申请的客户端可以基于glusterfs的客户端建立,本申请的服务集群可以基于glusterfs的服务端建立,等等。
步骤S102,响应于输入端的账号创建指令,创建目标账号,以及响应于输入端的权限配置指令,从多个存储卷中确定目标账号对应的目标卷,并将目标卷的路径信息和对应的目标账号存储至预设的访问策略表中。
在一些实施例中,输入端即客户前端,输入端可以为应用程序和其他形式的用户界面,例如网页前端、聊天机器人、语音识别系统、命令行页面等等。每个输入端都对应一个目标账号,根据目标账号可以在访问策略表中进行存储,以便每次输入端需要对服务器进行访问时,都可以直接去访问策略表中查询对应的权限。因此,若输入端在权限配置中心的访问策略表中没有相应的账号信息,那么输入端在需要对服务器进行访问时,会自动发出账号创建指令以及权限配置指令,权限配置中心对输入端创建目标账号,而由于每个输入端都具有特定的权限范围,只能访问指定的目标卷,因此,为目标账号进行权限配置,以限制目标账号可以访问的服务器的目标卷。可以理解的是,由于每个目标账号都可能被允许访问多个目标卷,因此,在访问策略表中,每个目标账号可以对应多个目标卷的路径信息。
在一些实施例中,输入端还可以发出策略创建指令,权限配置中心根据输入端对应的目标账号创建对应的访问策略,例如对目标账号的访问环境进行设置、对目标账号的读写次数进行限制等等,并将目标账号、路径信息和访问策略一一对应存储在访问策略表中,输入端通过查询访问策略表即可得到可访问的目标卷的路径信息以及访问服务器时的访问策略。可以理解的是,通过创建访问策略表,权限配置中心可以更加准确地控制输入端对不同存储卷的访问权限。
步骤S103,在权限配置指令下,根据目标账号生成目标卷的访问配置文件,并将访问配置文件发送到服务集群中,以使服务集群将访问配置文件映射到所有的服务器上。
在一些实施例中,权限配置中心可以根据每个目标账号可以访问的目标卷生成访问配置文件,并将访问配置文件发送到服务集群中。例如,目标账号1可以访问目标卷a1、a2和a3,目标账号2可以访问目标卷b1、b2和b3,那么对于目标账号1可以根据a1、a2和a3生成访问配置文件,对于目标账号2可以根据b1、b2和b3生成访问配置文件,将访问配置文件发送到服务集群中,服务集群可以将目标配置文件映射到所有的服务器上。映射完毕之后,服务集群中存在目标卷a1、a2、a3、b1、b2和b3的服务器都可以被目标账号对应的客户端进行访问,而不存在目标卷a1、a2、a3、b1、b2和b3的服务器则不可以被目标账号对应的客户端进行访问。进一步,客户端只能访问服务器中对应的目标卷,即只能访问目标卷a1、a2、a3、b1、b2和b3,而不能访问其他没有访问权限的目标卷。
可以理解的是,在glusterfs等分布式文件系统中,可以将访问配置文件映射到所有的服务器上,以实现数据的同步。可以理解的是,在一些无法同步的情况下,可以使用配置管理工具在整个服务集群中自动分发和管理访问配置文件。或者,也可以使用集中式配置服务来完成访问配置文件的映射,具体来说,可以将配置文件存储在一个预设的中心位置,并通知服务集群上的所有服务器通过访问该服务来获取访问配置文件,并提供访问配置文件的动态更新和通知功能。可以理解的是,通过将访问配置文件发送到服务集群中,以使服务集群将访问配置文件映射到所有的服务器上,可以确保只有具有访问权限的目标账号对应的客户端可以访问包含目标卷的服务器,这种映射方式可以避免客户端尝试访问没有访问权限的目标卷,从而提高服务器资源的利用效率。同时,权限配置中心或者管理员不需要在每个服务器中对每个目标账号的访问权限进行一一配置,减少了管理负担,提高了配置效率。
步骤S104,接收客户端发送的访问请求并解析,得到客户端中的待验证账号,当待验证账号与访问策略表中的目标账号对应时,生成第一准许访问指令。
在一些实施例中,可以将访问请求转换为可操作的数据结构,如字典或者对象,并从解析后的请求数据中提取出待验证的账号信息。还可以对提取出的账号信息进行格式验证,确保其符合预期的格式要求。
可以理解的是,待验证账号即客户端对应的账号,每个客户端对应一个账号,通过对客户端的待验证账号与访问策略表中的目标账号进行比对,可以确定待验证账号可以访问的目标卷的路径。示例性地,可以通过在系统中创建一个插件或者算法,自动对待验证账号和目标账号进行比对,当待验证账号与访问策略表中的目标账号对应时,说明待验证账号在访问策略表中存储有对应的目标卷的路径信息,因此可以生成第一准许访问指令,通知客户端可以对目标卷进行访问。在一些实施例中,访问策略表存储有目标账号对应的访问策略,在访问策略表中查找到与待验证账号对应的目标账号之后,需要查询待验证账号是否有对应的访问策略,若待验证账号存在对应的访问策略,则生成第一准许访问指令,若待验证账号不存在对应的访问策略,则向客户端发送禁止访问的指令。
可以理解的是,通过将待验证账号与访问策略表中的目标账号进行比对,客户端只需要发送访问请求并提供待验证账号,权限配置中心就可以自动进行比对,无需再进行复杂的授权流程,提高了客户端访问的效率。
步骤S105,将第一准许访问指令和对应的目标卷的路径信息发送给客户端,以使客户端在第一准许访问指令下,基于目标卷的路径信息对服务集群中的目标卷进行访问操作。
可以理解的是,权限配置中心向客户端发送第一准许访问指令之后,说明客户端具有对对应的目标卷的访问权限,此时,根据可访问的目标卷的路径信息,客户端可以确定被允许访问的服务器,并在被允许访问的服务器中选取需要访问的目标服务器进行访问,从而提高了访问的响应速度。
示例性地,若目标卷的路径信息为/data/shared_volume的字符串(仅作举例),为了访问这个目标卷,客户端可以通过该路径信息对目标卷进行访问操作。可以理解的是,客户端对目标卷进行访问操作具体可以为读取目标卷中的文件内容、向目标卷写入数据、创建新文件等等。
本申请提出的访问控制方法、系统、电子设备及存储介质,不需要引入额外的接口,即可实现权限配置中心、服务集群和客户端的交互。具体来说,本申请能够通过权限配置中心统一获取服务集群发送的多个存储卷的路径信息,多个存储卷的路径信息至少来自服务集群中的多个服务器,因此,不必每次都经由接口去对应的标准模块去查询存储卷;本申请能够响应于输入端的账号创建指令,创建目标账号,以及响应于输入端的权限配置指令,从多个存储卷中确定目标账号对应的目标卷,并将目标卷的路径信息和对应的目标账号存储至预设的访问策略表中,因此,在判断客户端可以对哪些目标卷进行访问时,只需要从权限配置中心的访问策略表获取即可,使得客户端能够更加快速地加载到对应的目标卷。另外,通过建立访问策略表,可以方便地查询每个目标账号可以访问的目标卷,使得权限配置更加直观。在权限配置指令下,根据目标账号生成目标卷的访问配置文件,并将访问配置文件发送到服务集群中,以使服务集群将访问配置文件映射到所有的服务器上,以减少系统的复杂度,避免每台服务器都需要进行配置的情况,也提升了配置的一致性和效率;并且,还通过接收客户端发送的访问请求并解析,得到客户端中的待验证账号,当待验证账号与访问策略表中的目标账号对应时,表明待验证账号已经预先在访问策略表中存储,从而生成第一准许访问指令,简化了验证的步骤,提升了系统的响应速度;本申请还能通过将第一准许访问指令和对应的目标卷的路径信息发送给客户端,以使客户端在第一准许访问指令下,基于目标卷的路径信息对服务集群中的目标卷进行访问操作,能够使权限配置中心、客户端、服务集群进行直接交互,提升了各个端之间的交互性,降低了系统的复杂度。
请参照图3,在一些实施例中,访问策略表还存储有访问策略,访问控制方法还包括:步骤S201至步骤S202:
步骤S201,响应于输入端的策略创建指令,为目标账号创建访问策略。
在一些实施例中,输入端可以向权限配置中心发出策略创建指令,权限配置中心根据输入端可访问的环境、读写的权限等为目标账号创建对应访问策略。具体来说,访问策略是指用于确定系统对资源的访问控制规则集合,访问策略定义了目标账号可以在什么条件下访问资源,以及访问时所应用的可能的行为集合。示例性地,目标账号的访问策略可以由一组规则组成,这些规则可以包括匹配用户、角色、资源、环境变量和请求属性等方面的条件。
进一步,每个服务器都可以在权限配置中心查询目标账号对应的访问策略,并根据访问策略确定是否可以授权或拒绝目标用户对资源的访问。访问策略可以通过定义在权限配置中心中,从而实现对目标用户访问的资源的准确、可靠的访问控制。
步骤S202,将访问策略、目标卷的路径信息和对应的目标账号存储至预设的访问策略表中。
如图4所示,在一些实施例中,可以在访问策略表中,将访问策略、目标卷的路径信息和目标账号一一对应存储在访问策略表中,图4中,访问策略可以包括环境信息(Env)以及读(r)写(w)策略等等,路径信息可以为/dir1/subdir1/*、/dir1/subdir2/data1、/dir2/subdir3/data1、map/user1等等,每个目标账号可以对应多条路径信息,目标账号可以根据不同的路径信息访问对应的目标卷。在客户端通过待验证账号或者待验证账号和验证密码在访问策略表中查询到对应的目标账号时,可以一并获取目标账号可访问的目标卷的路径信息以及目标账号的访问策略。例如,若在权限配置中心的访问策略表中,用户1对应的账号1与客户端的用户1对应的账号1和密码1一致,那么客户端可以获取账号1与密码1下的访问策略以及目标卷的路径信息。在一些实施例中,可以由管理员对待验证账号和目标账号进行验证,管理员具有对所有配置信息的读写权限。
请参照图5,在一些实施例中,当待验证账号与访问策略表中的目标账号对应时,生成第一准许访问指令,可以包括步骤S301至步骤S302:
步骤S301,当待验证账号与访问策略表中的目标账号对应时,确定目标账号是否存在对应的访问策略。
可以理解的是,若访问策略表中存在与待验证账号对应的目标账号,确定目标账号是否存在对应的访问策略,以确保账号的安全和访问控制的有效性。具体来说,访问策略是一种定义授权规则的机制,规定了具体的目标账号或者角色有权访问特定资源,以及可以执行的操作,如果目标账号没有相应的访问策略,那么意味着该账号可能无法正确地受限制访问资源或执行相应的操作,可能会导致潜在的安全漏洞和数据泄露风险,因此,需要确定目标账号是否存在对应的访问策略。
步骤S302,若目标账号存在对应的访问策略,生成第一准许访问指令,并更新访问策略。
可以理解的是,若目标账号存在对应的访问策略,则说明目标账号的访问可以得到适当的控制和限制,因此,可以生成目标账号的第一准许访问指令,允许客户端对具有访问权限的服务器进行访问。在一些实施例中,一些目标账号也可以不存在对应的访问策略,目标账号的只需要具备响应角色或者群组的权限即可被授权访问。
在一些实施例中,目标账号可以根据第一准许访问指令进行相应的访问,此时,可以更新访问策略。具体来说,访问策略有可能对目标账号的写入次数进行限制,例如规定目标账号的总体写入次数为30次,或者对某个目标服务器的总体写入次数为30次,那么,目标账号对应的客户端得到第一准许访问指令之后对目标服务器进行写入时,可以对目标账号的写入次数进行累计,若客户端对目标服务器写入一次,那么更新访问策略为总体写入次数加1次,客户端在访问策略中累计的写入次数达到30次后,禁止客户端对目标服务器进行访问。总体而言,可以对客户端在目标服务器的访问状态进行实时监测,并对应更新访问策略表中目标账号的访问策略,以对目标账号的访问进行限制。可以理解的是,可以在权限配置中心、服务集群中的每个服务器中对访问策略进行更新。
请参照图6,在一些实施例中,访问控制方法还可以包括步骤S401至步骤S403:
步骤S401,当在访问策略表中无法查询待验证账号时,对待验证账号进行创建,并创建对应的访问策略。
在一些实施例中,当访问策略表中无法查询待验证账号时,说明出现查询错误或者待验证账号并不存在于访问策略表中。此时,可以先根据待验证账号在访问策略表中进行重新查询,重新查询的次数达到预设次数的时候,如重新查询的次数达到3次的时候,依然无法在访问策略表中查询到对应的待验证账号,说明待验证账号并不存在于访问策略表中,此时,由于待验证账号对应的客户端具有访问控制资源的需求,因此,可以对待验证账号进行创建,并创建待验证账号对应的访问策略,如对待验证账号的访问环境的限制等等。
步骤S402,从多个存储卷中确定待验证账号对应的目标卷。
在一些实施例中,可以对所有的存储卷进行遍历,得到存储卷的信息,包括存储卷的名称、权限设置等,之后,检查存储卷的权限设置,包括读取权限和写入权限,之后,检查待验证账号是否在存储卷的授权访问列表中,若待验证账号在授权访问列表中,则说明待验证账号有访问对应的存储卷的权限,此时,可以将存储卷作为待验证账号对应的目标卷。在一些实施例中,由于目标卷可能对于不同的输入端设置了不同的权限,因此也可以通过待验证账号所在的输入端来确定待验证账号是否有存储卷的访问权限,若待验证账号具有对存储卷的访问权限,则将对应的存储卷作为待验证账号的目标卷。
步骤S403,将访问策略、目标卷的路径信息和对应的待验证账号存储至访问策略表中。
可以理解的是,将访问策略、目标卷的路径信息和待验证账号一一对应存储至访问策略表中,可以便于对待验证账号的访问策略、目标卷的路径信息进行快速查询,也便于对访问策略表进行维护和更新。
请参照图7,本申请通过一个实施例对目标账号以及访问策略的创建流程进行介绍。在一些实施例中,输入端提交待验证账号至权限配置中心,若权限配置中心的访问策略表中存在对应的目标用户,则在访问策略表中查询目标用户是否存在访问策略,若目标用户存在对应的访问策略,则在访问策略表中更新访问策略,之后,权限配置中心通过管理员将更新了访问策略的目标账号、对应的访问策略、目标卷的路径信息挂载至服务集群,服务集群再映射到各个服务器上,使得各个服务器在权限配置层(即Posix acl层)进行权限配置,以便后续客户端需要对某个服务器进行访问时,可以在权限配置层中直接查询是否存在相关的访问策略。可以理解的是,权限配置层可以是权限配置中心在每个服务器中部署的一个用于决策的层,也可以是权限配置中心在服务集群的中心服务器配置的一个用于决策的层,当客户端需要对对应的服务器进行访问时,通过服务器去权限配置层进行访问,即可查询客户端对应的目标账号是否存在对应的访问策略,权限配置层可以存储并实时更新访问策略表。在另一个实施例中,服务器也可以直接去权限配置中心查询访问策略表,本申请实施例对此不作具体限制。
在图7中,若输入端对应的待验证账号在访问策略表中不存在,则对待验证账号进行创建,并创建对应的访问策略之后,将创建得到的目标账号和对应的访问策略存储在访问策略表中。之后,管理员在服务集群中进行用户的挂载,此流程已在上文展开,在此不予赘述。示例性地,若是在访问策略表中存在目标用户,但不存在对应的访问策略,则对访问策略进行创建,具体流程不再赘述。
可以理解的是,在本申请的权限配置中心存储的访问策略表中,以及映射到服务集群中存储的相关数据,均采用XACML的格式进行存储,由此,在交互的过程中,不必再借助上下文处理器进行格式的转换,提高了访问控制决策的效率。
请参照图8在一些实施例中,访问策略包括环境信息;为目标账号创建访问策略,可以包括步骤S501至步骤S502:
步骤S501,根据目标账号的属性对目标账号允许访问的环境信息进行限制;其中,环境信息包括环境版本信息、环境配置和环境资源。
在一些实施例中,目标账号的属性可以是客户端的角色、身份等等,可以根据目标账号的属性对环境信息进行限制,确保目标账号对应的客户端能够根据环境信息进行逐层访问的限制。环境版本信息指的是服务器中使用的软件、应用程序或系统的版本号,环境配置指的是服务器的配置参数,环境资源指的是服务器的物理资源(如存储设备等)或者逻辑资源(如数据库、文件系统等)。可以理解的是,环境信息可以包括环境版本信息、环境配置和环境资源中的至少一个,也可以包括其他环境信息,具体可以根据目标账号的属性进行设置,对此不作限制。
示例性地,若目标账号对应的用户端允许访问的环境版本为版本2、环境配置B和环境资源Y,那么,该用户端将被允许访问版本2、环境配置B和环境资源Y的服务器,而无法访问其他环境版本、环境配置和环境资源的服务器。
步骤S502,将环境信息作为目标账号的访问策略并保存至访问策略表中,以使得目标账号根据环境信息对对应的服务器进行逐层访问。
在一些实施例中,本申请的访问控制系统是基于glusterfs进行建立的,glusterfs使用了FUSE来在用户空间实现文件系统功能,FUSE是一种用于开发用户空间文件系统的框架,允许用户空间的程序像内核文件系统一样对文件进行操作,从而实现对服务器的逐层访问,也即是说,实现对每个服务器的细粒度访问。
在一些实施例中,当客户端访问每个服务器时,可以先到权限配置中心查询是否有相应的访问策略,若客户端存在对应的访问策略,则允许客户端对对应的服务器进行访问。若在访问策略中,并未对客户端的环境进行限制,那么,用户可以继续访问别的服务器,而若是已经对客户端的环境进行限制,那么判断当前服务器是否符合客户端的访问策略,若不符合,则禁止客户端对此服务器进行访问,客户端继续往下游服务器进行访问。可以理解的是,在每次对服务器进行访问时,若客户端的访问策略中对访问的环境进行了限制,那么在每个客户端访问的服务器中,都需要根据访问策略判断是否允许客户端进行访问,从而实现客户端访问的细粒度控制。
示例性地,若客户端对应的访问策略为仅能访问iOS版本的服务器,那么,当客户端对服务器1进行访问时,需要判断服务器1是否为iOS版本,若服务器1是iOS版本,则可以进行访问,若服务器1不是iOS版本,则不能进行访问。之后,若是客户端继续访问下游服务器,同样需要对每个服务器的环境进行相同判断,此处不再赘述。而若是客户端的访问策略中,不对可访问的服务器进行限制,那么,客户端可以对任何版本的服务器进行访问。由此,实现了访问的细粒度控制。
可以理解的是,目标账号的访问策略中可能不存在环境信息,因此,目标账号对对应的服务器的访问可以不受环境的限制,直接一直往下游进行访问。例如,目标账号的访问策略中没有对客户端的访问版本进行限制,那么客户端可以访问任意操作系统和软件的版本,例如Linux版本、Windows版本、iOS版本等等。
请参照图9,本申请通过一个实施例介绍客户端根据环境信息对对应的服务器进行逐层访问的过程。在一些实施例中,当客户端需要进行访问控制时,即需要进行输入输出操作时,可以先根据待验证账号和验证密码在权限配置进行初步验证,以确定需要访问的服务器,当客户端的读写操作到达服务集群的某个服务器时,首先经过权限控制层,权限控制层校验客户端是否存在访问策略以及目标卷的路径信息,若不存在相应的访问策略则通过权限配置中心或者权限配置中心设置的管理员通知客户端没有访问权限,禁止客户端对服务器进行访问。如果客户端存在对应的访问策略,查看该访问策略是否有其他附加属性字段,如环境信息、写入次数等等,如果客户端不存在属性字段则直接根据其他的目标卷的访问路径往下游的服务器进行透传。
若策略中包含客户端相关的其他附加属性字段,如访问的服务器的版本等,则通过权限配置中心或者权限配置中心配备的管理员对客户端发送通知,以使得客户端对附加属性进行获取,在一些实施例中,客户端可以通过system/envxlator的路径完成属性信息采集工作。
在一些实施例中,在对客户端附加的所有属性信息均采集完毕后,与权限配置中心存储的XAXML格式的文件进行匹配,如果匹配通过则表明对应服务器的环境信息符合客户端的访问策略,客户端可以对服务器进行访问,否则通过权限配置中心或者权限配置中心的管理员通知客户端没有访问权限。
请参照图10,在一些实施例中,访问策略包括写入权限;为目标账号创建访问策略,可以包括步骤S601至步骤S602:
步骤S601,设置目标账号在对应的服务器的限制写入次数。
在一些实施例中,由于服务器的资源有限,为了将服务器的资源公平分配,可以限制目标账号的写入次数,防止目标账号占用或者滥用过多的服务器资源,同时,通过设置目标账号在对应的服务器的限制写入次数,可以减少对资源的恶意占用和破坏性操作,提高服务器的安全性和稳定性。
步骤S602,将限制写入次数作为目标账号的访问策略并保存至访问策略表中,以禁止写入次数超过限制写入次数的目标账号对对应的服务器进行访问;其中,目标账号的写入次数通过写入函数进行累计。
可以理解的是,限制写入次数可以根据实际情况进行调整,例如可以限制目标账号1的写入次数为100次,等等,本申请实施例对此不作具体限制。进一步,可以将限制写入次数作为目标账号的访问策略并保存至访问策略表中,并通过写入函数对目标账号的写入次数进行累计,每次目标账号在访问服务器时进行1次写入操作,写入函数都会与历史的总写入次数进行累加,直到目标账号的写入操作达到访问策略中的限制写入次数,则禁止目标账号进行写入操作。
在一些实施例中,限制写入次数可以对目标用户对服务集群的所有服务器生效,也可以对服务集群的指定服务器生效,本申请实施例对此不作具体限制。
请参照图11,在一些实施例中,访问策略包括读取容量权限;为目标账号创建访问策略,可以包括步骤S701至步骤S702:
步骤S701,设置目标账号在对应的服务器的限制读取容量。
可以理解的是,一些服务器的读取容量是有限的,限制目标账号的读取容量可以确保服务器资源被公平分配,避免某个用户占用过多资源导致其他用户的读取操作受到影响,提高整体网络的稳定性和性能。同时,设置目标账号在对应的服务器的限制读取容量,可以防止恶意用户或恶意程序通过大量读取操作对服务器进行攻击、滥用或非法操作,保护服务器和系统的安全。
步骤S702,将限制读取容量作为目标账号的访问策略并保存至访问策略表中,以禁止读取容量超过限制读取容量的目标账号对对应的服务器进行访问;其中,目标账号的读取容量通过读取函数进行累计。
可以理解的是,限制读取容量可以根据实际情况进行调整,例如可以限制目标账号1的读取容量为服务器的总存储容量的30%,等等,本申请实施例对此不作具体限制。进一步,可以将限制读取容量作为目标账号的访问策略并保存至访问策略表中,并通过读取容量对目标账号的读取容量进行累计,每次目标账号在访问服务器时进行1次读取操作,写入函数都会对读取的容量与历史总读取容量进行叠加,直到目标账号的读取操作达到访问策略中的限制读取容量,也即达到了服务器的总存储容量的30%,则禁止目标账号进行写入操作。
在一些实施例中,限制读取容量可以对目标用户对服务集群的所有服务器生效,也可以对服务集群的指定服务器生效,本申请实施例对此不作具体限制。可以理解的是,每个客户端的访问策略可以既对客户端的限制写入次数进行设置,又可以对客户端的限制读取容量进行设置。
请参照图12,在一些实施例中,访问策略表还存储有目标账号对应的账号密码;接收客户端发送的访问请求并解析,得到客户端中的待验证账号之前,还可以包括步骤S801至步骤S802:
步骤S801,接收客户端发送的账号验证请求并解析,得到客户端的待验证账号和对应的验证密码。
可以理解的是,可以先对客户端的待验证账号进行初步校验,若初步校验通过,客户端可以得到可以访问的目标卷和对应的路径信息,根据可以访问的目标卷和对应的路径信息,从服务集群中确定需要访问的目标服务器。之后,再由客户端发送对目标服务器的访问请求,从而实现对目标账号的双鉴权。具体来说,权限配置中心可以接收客户端发送的账号验证请求,并根据账号验证请求进行解析,得到客户端的待验证账号和验证密码。
步骤S802,当待验证账号与访问策略表中的目标账号对应、以及验证密码与账号密码对应时,生成账号验证通过指令,以使得待验证账号根据账号验证通过指令从服务集群中确定需要访问的服务器。
在一些实施例中,权限配置中心根据待验证账号和验证密码在访问策略表中进行校验,若是待验证账号与访问策略表中的目标账号对应、以及验证密码与账号密码对应时,则表明待验证账号已在访问策略表中进行预先保存,并且存在对应的目标卷的路径信息,生成账号验证通过指令和对应的目标卷的路径信息发送给客户端,以使得待验证账号对应的客户端根据账号验证通过指令和对应的路径信息从服务集群中确定需要访问的服务器。例如,待验证账号为123,对应的验证密码为abc,那么,若在访问策略表中记载目标账号为123,对应的账号密码为abc,则生成账号验证通过指令。进一步,若是获取的目标卷的路径信息为/dir1/subdir2/data1,则可以根据此路径信息去访问对应的服务器。进一步,每个目标账号可能对应多个路径信息。
请参照图13,在一些实施例中,对客户端的初步验证过程进行介绍。具体地,假设服务集群已经创建好目标账号对应的目标卷(target_vol),为了解决相关技术中无差别挂载的问题,本申请对客户端进行用户密码鉴权,以对哪些待验证账号可以访问对应的服务器进行筛选。具体地,客户端需要对目标卷进行挂载时,首先向权限配置中心或者权限配置中心设置的管理员发送待验证账号(user)和验证密码(password),权限配置中心在收到待验证账号和验证密码后通过查询访问策略表完成校验,校验通过后客户端成功加载目标卷(targe_vol),否则提示用户校验异常,挂载失败。进一步,权限配置中心校验成功后向客户端发送账号验证通过指令、服务端的目标卷以及对应的路径信息。客户端根据目标卷的路径信息对服务器进行访问,由此,在客户端对服务器进行访问的时候,就不必每访问一个服务器就额外输入待验证账号和验证密码,只需要查询权限配置中心本来就已经保存的访问策略表即可。
在图13中,mount-t glusterfs-o acl--user user--passwd pwd server1:/target_vol/mnt/gluster表示客户端(t glusterfs)根据待验证账号(user)和验证密码(pwd),在权限配置中心验证通过后,将会挂载到server1(服务器1)上的/target_vol目录中,挂载点为mnt/gluster。进一步来说,在服务集群的每个服务器中,挂载/文件存储都有对应的目标卷,客户端可以对服务器中的目标卷进行读写和管理;性能/元数据缓存用于缓存服务器中目标卷的元数据,以提高服务器的性能和响应速度;系统/环境变量用于配置服务器所在系统的环境变量,这些变量包括系统的配置信息、运行时的参数等;集群/复制用于服务器中各个目标卷的集群和复制模式,能够对目标卷进行备份,确保服务器的高可用性。协议/客户端用于配置服务器端支持的客户端的访问协议,以及客户端使用的协议等参数。在部分实施例中,权限配置中心的协议/服务器端用于配置存储服务集群端中各个服务器的访问协议,而XACML转换器可以将客户端的请求转换格式的访问策略。同时,XACML转换器可以将权限配置中心、客户端以及服务集群之间的交互数据都转换为XACML格式,以便对客户端的访问控制和权限进行管理,提高访问的速度和效率。进一步说,权限配置中心的输入输出统计用于记录客户端在不同的服务器的输入输出情况,以便对客户端的访问进行更加精确的控制。在一些实施例中,访问策略表用于对客户端的访问进行详细的控制,相当于记录客户端的访问规则,而存储/POSIX用于配置文件和目录的可移植操作系统接口(Portable Operating System Interface,POSIX)访问控制列表,对客户端的访问权限进行详细的控制,确保存储可以支持POSIX标准的文件访问和管理。可以理解的是,权限配置中心和服务器内的配置功能不限于上述实施例,在实际应用的过程中,权限配置中心和服务器内的配置可以进行自行调整,本申请实施例对此不作具体限制。
请参照图14,在一些实施例中,本申请又提出了一种访问控制方法,应用于客户端,方法可以包括步骤S901至步骤S903:
步骤S901,响应于待验证账号的访问输入指令,生成访问请求。
步骤S902,向权限配置中心发送访问请求,以使权限配置中心解析访问请求,得到待验证账号,当待验证账号与访问策略表中的目标账号对应时,生成第一准许访问指令,其中,访问策略表包括目标卷的路径信息和对应的目标账号,目标账号是权限配置中心响应于输入端的账号创建指令创建的,目标卷是权限配置中心在获取服务集群发送的多个存储卷的路径信息后,再响应于输入端的权限配置指令,从多个存储卷中确定的,多个存储卷的路径信息至少来自服务集群中的多个服务器。
步骤S903,接收权限配置中心发送的第一准许访问指令和对应的目标卷的路径信息,在第一准许访问指令下,基于目标卷的路径信息对服务集群中的目标卷进行访问操作,其中,第一准时指令是权限配置中心在待验证账号与访问策略表中的目标账号对应时生成的。
该应用于客户端的访问控制方法的具体实施方式与上述应用于权限配置中心的访问控制方法的具体实施例基本相同,在此不再赘述。
请参照图15,在一些实施例中,本申请还提出了一种访问控制方法,应用于服务集群,服务集群包括多个服务器,方法可以包括步骤S1001至步骤S1003:
步骤S1001,向权限配置中心发送多个存储卷的路径信息,以使得权限配置中心在响应输入端的账号创建指令,创建目标账号,以及响应于输入端的权限配置指令之后,从多个存储卷中确定目标账号对应的目标卷,并将目标卷的路径信息和对应的目标账号存储至预设的访问策略表中;其中,多个存储卷的路径信息至少来自服务集群中的多个服务器。
步骤S1002,接收权限配置中心发送的目标卷的访问配置文件,并将访问配置文件映射到所有的服务器上;其中,访问配置文件由权限配置中心在权限配置指令下,根据目标账号生成。
步骤S1003,在客户端获取第一准许访问指令之后,准许客户端基于目标卷的路径信息对目标卷进行访问操作;其中,第一准许访问指令由权限配置中心接收客户端发送的访问请求并解析,得到客户端中的待验证账号,当待验证账号与访问策略表中的目标账号对应时生成;第一准许访问指令和目标卷的路径通过权限配置中心发送至客户端。
该应用于服务集群的访问控制方法的具体实施方式与上述应用于权限配置中心的访问控制方法的具体实施例基本相同,在此不再赘述。
请参照图16,在一些实施例中,本申请实施例还提供一种访问控制系统,可以实现上述访问控制方法,访问控制系统应用于权限配置中心,访问控制系统包括:
路径信息获取模块1601,用于获取服务集群发送的多个存储卷的路径信息,其中,多个存储卷的路径信息至少来自服务集群中的多个服务器;
存储模块1602,用于响应于输入端的账号创建指令,创建目标账号,以及响应于输入端的权限配置指令,从多个存储卷中确定目标账号对应的目标卷,并将目标卷的路径信息和对应的目标账号存储至预设的访问策略表中;
访问配置文件映射模块1603,用于在权限配置指令下,根据目标账号生成目标卷的访问配置文件,并将访问配置文件发送到服务集群中,以使服务集群将访问配置文件映射到所有的服务器上;
第一准许访问指令生成模块1604,用于接收客户端发送的访问请求并解析,得到客户端中的待验证账号,当待验证账号与访问策略表中的目标账号对应时,生成第一准许访问指令;
访问模块1605,用于将第一准许访问指令和对应的目标卷的路径信息发送给客户端,以使客户端在第一准许访问指令下,基于目标卷的路径信息对服务集群中的目标卷进行访问操作。
该访问控制系统的具体实施方式与上述访问控制方法的具体实施例基本相同,在此不再赘述。在满足本申请实施例要求的前提下,访问控制系统还可以设置其他功能模块,以实现上述实施例中的访问控制方法。
请参阅图17,本申请实施例还提供一种访问控制系统,可以实现上述访问控制方法,访问控制系统应用于客户端,访问控制系统包括:
访问请求生成模块1701,用于响应于待验证账号的访问输入指令,生成访问请求;
访问请求发送模块1702,用于向权限配置中心发送访问请求,以使权限配置中心解析访问请求,得到待验证账号,当待验证账号与访问策略表中的目标账号对应时,生成第一准许访问指令,其中,述访问策略表包括目标卷的路径信息和对应的目标账号,目标账号是权限配置中心响应于输入端的账号创建指令创建的,目标卷是权限配置中心在获取服务集群发送的多个存储卷的路径信息后,再响应于输入端的权限配置指令,从多个存储卷中确定的,多个存储卷的路径信息至少来自服务集群中的多个服务器;
目标卷访问操作模块1703,用于接收权限配置中心发送的第一准许访问指令和对应的目标卷的路径信息,在第一准许访问指令下,基于目标卷的路径信息对服务集群中的目标卷进行访问操作,其中,第一准时指令是权限配置中心在待验证账号与访问策略表中的目标账号对应时生成的。
该访问控制系统的具体实施方式与上述访问控制方法的具体实施例基本相同,在此不再赘述。在满足本申请实施例要求的前提下,访问控制系统还可以设置其他功能模块,以实现上述实施例中的访问控制方法。
请参阅图18,本申请实施例还提供一种访问控制系统,可以实现上述访问控制方法,访问控制系统应用于服务集群,访问控制系统包括:
访问策略表存储模块1801,用于向权限配置中心发送多个存储卷的路径信息,以使得权限配置中心在响应输入端的账号创建指令,创建目标账号,以及响应于输入端的权限配置指令之后,从多个存储卷中确定目标账号对应的目标卷,并将目标卷的路径信息和对应的目标账号存储至预设的访问策略表中;其中,多个存储卷的路径信息至少来自服务集群中的多个服务器;
映射模块1802,用于接收权限配置中心发送的目标卷的访问配置文件,并将访问配置文件映射到所有的服务器上;其中,访问配置文件由权限配置中心在权限配置指令下,根据目标账号生成;
准许操作模块1803,用于在客户端获取第一准许访问指令之后,准许客户端基于目标卷的路径信息对目标卷进行访问操作;其中,第一准许访问指令由权限配置中心接收客户端发送的访问请求并解析,得到客户端中的待验证账号,当待验证账号与访问策略表中的目标账号对应时生成;第一准许访问指令和目标卷的路径通过权限配置中心发送至客户端。
该访问控制系统的具体实施方式与上述访问控制方法的具体实施例基本相同,在此不再赘述。在满足本申请实施例要求的前提下,访问控制系统还可以设置其他功能模块,以实现上述实施例中的访问控制方法。
本申请实施例还提供了一种电子设备,电子设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述访问控制方法。该电子设备可以为包括平板电脑、车载电脑等任意智能终端。
请参阅图19,图19示意了另一实施例的电子设备的硬件结构,电子设备包括:
处理器1901,可以采用通用的CPU(CentralProcessingUnit,中央处理器)、微处理器、应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案;
存储器1902,可以采用只读存储器(ReadOnlyMemory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)等形式实现。存储器1902可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1902中,并由处理器1901来调用执行本申请实施例的访问控制方法;
输入/输出接口1903,用于实现信息输入及输出;
通信接口1904,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信;
总线1905,在设备的各个组件(例如处理器1901、存储器1902、输入/输出接口1903和通信接口1904)之间传输信息;
其中处理器1901、存储器1902、输入/输出接口1903和通信接口1904通过总线1905实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述访问控制方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图中示出的技术方案并不构成对本申请实施例的限定,可以包括比图示更多或更少的步骤,或者组合某些步骤,或者不同的步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”和“若干”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。

Claims (13)

1.一种访问控制方法,其特征在于,应用于权限配置中心,所述方法包括:
获取服务集群发送的多个存储卷的路径信息,其中,多个所述存储卷的路径信息至少来自所述服务集群中的多个服务器;
响应于输入端的账号创建指令,创建目标账号,以及响应于所述输入端的权限配置指令,从多个所述存储卷中确定所述目标账号对应的目标卷,并将所述目标卷的路径信息和对应的所述目标账号存储至预设的访问策略表中;
在所述权限配置指令下,根据所述目标账号生成所述目标卷的访问配置文件,并将所述访问配置文件发送到所述服务集群中,以使所述服务集群将所述访问配置文件映射到所有的所述服务器上;
接收客户端发送的访问请求并解析,得到所述客户端中的待验证账号,当所述待验证账号与所述访问策略表中的所述目标账号对应时,生成第一准许访问指令;
将所述第一准许访问指令和对应的所述目标卷的路径信息发送给所述客户端,以使所述客户端在所述第一准许访问指令下,基于所述目标卷的路径信息对所述服务集群中的所述目标卷进行访问操作。
2.根据权利要求1所述的访问控制方法,其特征在于,所述访问策略表还存储有访问策略,所述方法还包括:
响应于所述输入端的策略创建指令,为所述目标账号创建访问策略;
将所述访问策略、所述目标卷的路径信息和对应的所述目标账号存储至预设的访问策略表中。
3.根据权利要求2所述的访问控制方法,其特征在于,所述当所述待验证账号与所述访问策略表中的所述目标账号对应时,生成第一准许访问指令,包括:
当所述待验证账号与所述访问策略表中的所述目标账号对应时,确定所述目标账号是否存在对应的访问策略;
若所述目标账号存在对应的访问策略,生成第一准许访问指令,并更新所述访问策略。
4.根据权利要求3所述的访问控制方法,其特征在于,所述方法还包括:
当在所述访问策略表中无法查询所述待验证账号时,对所述待验证账号进行创建,并创建对应的访问策略;
从多个所述存储卷中确定所述待验证账号对应的目标卷;
将所述访问策略、所述目标卷的路径信息和对应的所述待验证账号存储至所述访问策略表中。
5.根据权利要求2所述的访问控制方法,其特征在于,所述访问策略包括环境信息;所述为所述目标账号创建访问策略,包括:
根据所述目标账号的属性对所述目标账号允许访问的环境信息进行限制;其中,所述环境信息包括环境版本信息、环境配置和环境资源;
将所述环境信息作为所述目标账号的访问策略并保存至所述访问策略表中,以使得所述目标账号根据所述环境信息对对应的所述服务器进行逐层访问。
6.根据权利要求2所述的访问控制方法,其特征在于,所述访问策略包括写入权限;所述为所述目标账号创建访问策略,包括:
设置所述目标账号在对应的服务器的限制写入次数;
将所述限制写入次数作为所述目标账号的访问策略并保存至所述访问策略表中,以禁止写入次数超过所述限制写入次数的所述目标账号对对应的所述服务器进行访问;其中,所述目标账号的写入次数通过写入函数进行累计。
7.根据权利要求2所述的访问控制方法,其特征在于,所述访问策略包括读取容量权限;所述为所述目标账号创建访问策略,包括:
设置所述目标账号在对应的服务器的限制读取容量;
将所述限制读取容量作为所述目标账号的访问策略并保存至所述访问策略表中,以禁止读取容量超过所述限制读取容量的所述目标账号对对应的所述服务器进行访问;其中,所述目标账号的读取容量通过读取函数进行累计。
8.根据权利要求1所述的访问控制方法,其特征在于,所述访问策略表还存储有所述目标账号对应的账号密码;所述接收客户端发送的访问请求并解析,得到所述客户端中的待验证账号之前,还包括:
接收客户端发送的账号验证请求并解析,得到所述客户端的待验证账号和对应的验证密码;
当所述待验证账号与所述访问策略表中的所述目标账号对应、以及所述验证密码与所述账号密码对应时,生成账号验证通过指令,以使得所述待验证账号根据所述账号验证通过指令从所述服务集群中确定需要访问的服务器。
9.一种访问控制方法,其特征在于,应用于客户端,所述方法包括:
响应于待验证账号的访问输入指令,生成访问请求;
向权限配置中心发送所述访问请求,以使所述权限配置中心解析所述访问请求,得到所述待验证账号,当所述待验证账号与所述访问策略表中的目标账号对应时,生成第一准许访问指令,其中,所述访问策略表包括目标卷的路径信息和对应的目标账号,所述目标账号是所述权限配置中心响应于输入端的账号创建指令创建的,所述目标卷是所述权限配置中心在获取服务集群发送的多个存储卷的路径信息后,再响应于输入端的权限配置指令,从多个所述存储卷中确定的,多个所述存储卷的路径信息至少来自所述服务集群中的多个服务器;
接收所述权限配置中心发送的第一准许访问指令和对应的所述目标卷的路径信息,在所述第一准许访问指令下,基于所述目标卷的路径信息对所述服务集群中的所述目标卷进行访问操作,其中,所述第一准时指令是所述权限配置中心在所述待验证账号与所述访问策略表中的所述目标账号对应时生成的。
10.一种访问控制方法,其特征在于,应用于服务集群,所述服务集群包括多个服务器,所述方法包括:
向权限配置中心发送多个存储卷的路径信息,以使得所述权限配置中心在响应输入端的账号创建指令,创建目标账号,以及响应于所述输入端的权限配置指令之后,从多个所述存储卷中确定所述目标账号对应的目标卷,并将所述目标卷的路径信息和对应的所述目标账号存储至预设的访问策略表中;其中,多个所述存储卷的路径信息至少来自所述服务集群中的多个服务器;
接收所述权限配置中心发送的所述目标卷的访问配置文件,并将所述访问配置文件映射到所有的所述服务器上;其中,所述访问配置文件由所述权限配置中心在所述权限配置指令下,根据所述目标账号生成;
在客户端获取第一准许访问指令之后,准许所述客户端基于所述目标卷的路径信息对所述目标卷进行访问操作;其中,所述第一准许访问指令由所述权限配置中心接收所述客户端发送的访问请求并解析,得到所述客户端中的待验证账号,当所述待验证账号与所述访问策略表中的所述目标账号对应时生成;所述第一准许访问指令和所述目标卷的路径通过所述权限配置中心发送至所述客户端。
11.一种访问控制系统,其特征在于,应用于权限配置中心,所述系统包括:
路径信息获取模块,用于获取服务集群发送的多个存储卷的路径信息,其中,多个所述存储卷的路径信息至少来自所述服务集群中的多个服务器;
存储模块,用于响应于输入端的账号创建指令,创建目标账号,以及响应于所述输入端的权限配置指令,从多个所述存储卷中确定所述目标账号对应的目标卷,并将所述目标卷的路径信息和对应的所述目标账号存储至预设的访问策略表中;
访问配置文件映射模块,用于在所述权限配置指令下,根据所述目标账号生成所述目标卷的访问配置文件,并将所述访问配置文件发送到所述服务集群中,以使所述服务集群将所述访问配置文件映射到所有的所述服务器上;
第一准许访问指令生成模块,用于接收客户端发送的访问请求并解析,得到所述客户端中的待验证账号,当所述待验证账号与所述访问策略表中的所述目标账号对应时,生成第一准许访问指令;
访问模块,用于将所述第一准许访问指令和对应的所述目标卷的路径信息发送给所述客户端,以使所述客户端在所述第一准许访问指令下,基于所述目标卷的路径信息对所述服务集群中的所述目标卷进行访问操作。
12.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至8、权利要求9和权利要求10任一项所述的访问控制方法。
13.一种计算机可读存储介质,所述存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8、权利要求9和权利要求10任一项所述的访问控制方法。
CN202410009704.9A 2024-01-03 2024-01-03 访问控制方法、系统、电子设备及存储介质 Pending CN118018248A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410009704.9A CN118018248A (zh) 2024-01-03 2024-01-03 访问控制方法、系统、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410009704.9A CN118018248A (zh) 2024-01-03 2024-01-03 访问控制方法、系统、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN118018248A true CN118018248A (zh) 2024-05-10

Family

ID=90947031

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410009704.9A Pending CN118018248A (zh) 2024-01-03 2024-01-03 访问控制方法、系统、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN118018248A (zh)

Similar Documents

Publication Publication Date Title
US10484385B2 (en) Accessing an application through application clients and web browsers
US10650156B2 (en) Environmental security controls to prevent unauthorized access to files, programs, and objects
CN112597472B (zh) 单点登录方法、装置及存储介质
US8904549B2 (en) Server system, control method, and storage medium for securely executing access to data of a tenant
CN108289098B (zh) 分布式文件系统的权限管理方法和装置、服务器、介质
US10148637B2 (en) Secure authentication to provide mobile access to shared network resources
US20140310769A1 (en) Techniques for delegation of access privileges
CN113239377B (zh) 权限控制方法、装置、设备以及存储介质
WO2021013033A1 (zh) 文件操作方法、装置、设备、系统及计算机可读存储介质
US20170187705A1 (en) Method of controlling access to business cloud service
JP2017004301A (ja) 認証サーバーシステム、方法、プログラムおよび記憶媒体
WO2011162750A1 (en) Authorization control
US20170353451A1 (en) Method and apparatus for issuing a credential for an incident area network
US20210144138A1 (en) Authority transfer system, server and method of controlling the server, and storage medium
CN109543448B (zh) Hdfs文件访问权限控制方法、设备及存储介质
CN114531945A (zh) 可上网设备的基于模板的载入
US11882154B2 (en) Template representation of security resources
CN107077576B (zh) 网络上的操作限制实施
CN106330836B (zh) 一种服务端对客户端的访问控制方法
US20140041053A1 (en) Data block access control
CN112995164A (zh) 资源访问的鉴权方法及装置、存储介质、电子设备
US20220374532A1 (en) Managed metastorage
US11657172B2 (en) Policy-based mobile access to shared network resources
US20220255970A1 (en) Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices
CN118018248A (zh) 访问控制方法、系统、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination