CN107465650A - 一种访问控制方法及装置 - Google Patents
一种访问控制方法及装置 Download PDFInfo
- Publication number
- CN107465650A CN107465650A CN201610395197.2A CN201610395197A CN107465650A CN 107465650 A CN107465650 A CN 107465650A CN 201610395197 A CN201610395197 A CN 201610395197A CN 107465650 A CN107465650 A CN 107465650A
- Authority
- CN
- China
- Prior art keywords
- access request
- access
- white list
- authentication
- api
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种访问控制方法及装置。接收到API的访问请求,根据预设的查询列表以及与所述访问请求对应的访问控制信息以及预设的查询列表进行访问控制;当判定所述访问请求通过所述访问控制时,根据与所述访问请求对应的鉴权信息以及预设的第一白名单进行鉴权;当判定所述访问请求通过所述鉴权时,接受所述访问请求。通过两级控制实现鉴权并且细化了控制粒度的范围。
Description
技术领域
本申请属于云计算领域,具体地说,涉及一种访问控制方法及装置。
背景技术
鉴权(authentication)是指验证用户是否拥有访问***的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。
然而这种方式的弱点十分明显,一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。
与此同时,现有技术中,通过API带上访问key的方式对访问进行鉴权,访问控制粒度范围往往比较大,且采用一种方式控制权限,缺乏分级机制。
为了克服这种鉴权方式的缺点,需要一个更加可靠的访问控制方法。
发明内容
有鉴于此,本申请所要解决的技术问题是提供了一种鉴权方法及装置。
为了解决上述技术问题,本申请公开了一种鉴权方法,包括:
接收到API的访问请求,,根据与所述访问请求对应的访问控制信息以及预设的查询列表进行访问控制;
当判定所述访问请求通过所述访问控制时,根据与所述访问请求对应的鉴权信息以及预设的第一白名单进行鉴权;
当判定所述访问请求通过所述鉴权时,接受所述访问请求。
其中,所述方法进一步包括:当根据所述访问控制信息判定所述访问请求未通过访问控制时,获取第二白名单,并根据所述第二白名单对所述访问请求进行鉴权。
其中,获取所述访问请求的访问控制信息,具体包括:获取所述访问请求的源IP地址以及所述访问请求对应的访问者签名。
其中,根据所述访问控制信息判定所述访问请求通过访问控制,具体包括:根据所述访问请求的源IP地查询预设的IP地址列表和/或根据所述访问请求对应的访问者签名查询预设的访问者签名列表,按照预设策略判断所述访问请求是否通过所述访问控制。
其中,获取所述访问请求对应的鉴权信息,具体包括:获取所述访问请求对应的API的语义、所述访问请求对应的源应用的信息,并根据所述源应用的信息获取与所述源应用对应的所述预设的第一白名单。
其中,根据所述鉴权信息以及预设的第一白名单判定所述访问请求通过鉴权,具体包括:根据所述API的语义、所述源应用的信息,查询所述第一白名单,判断所述访问请求对所述访问请求的目标是否有权限。
其中,所述第一白名单包括:发出访问请求的API与源应用之间的对应关系;和/或,发出访问请求的API与目标信息的对应关系;
所述第二白名单包括:发出访问请求的API与源应用以及目标信息的对应关系。
其中,所述方法进一步包括:修改所述第一白名单以及所述第二白名单以动态调整所述访问控制和所述鉴权的鉴权粒度。
本申请还公开一种鉴权装置,包括:
访问控制模块,用于接收到API的访问请求,根据与所述访问请求对应的访问控制信息以及预设的查询列表进行访问控制;
鉴权模块,用于当判定所述访问请求通过所述访问控制时,根据与所述访问请求对应的鉴权信息以及预设的第一白名单进行鉴权;
第一响应模块,用于当根据所述鉴权信息以及预设的第一白名单判定所述访问请求通过鉴权时,接受所述访问请求。
所述装置进一步包括第二响应模块:当根据所述访问控制信息判定所述访问请求未通过访问控制时,所述第二响应模块用于获取第二白名单,并根据所述第二白名单对所述访问请求进行鉴权。
其中,所述访问控制模块,具体用于:获取所述访问请求的源IP地址以及所述访问请求对应的访问者签名。
其中,所述访问控制模块,具体用于:根据所述访问请求的源IP地查询预设的IP地址列表和/或根据所述访问请求对应的访问者签名查询预设的访问者签名列表,按照预设策略判断所述访问请求是否通过所述访问控制。
其中,所述鉴权模块,具体用于:获取所述访问请求对应的API的语义、所述访问请求对应的源应用的信息,并根据所述源应用的信息获取与所述源应用对应的所述预设的第一白名单。
其中,所述鉴权模块,具体用于,根据所述API的语义、所述源应用的信息,查询所述第一白名单,判断所述访问请求对所述访问请求的目标是否有权限。
其中,所述第一白名单包括:发出访问请求的API与源应用之间的对应关系;和/或发出访问请求的API与目标信息的对应关系;
所述第二白名单包括:发出访问请求的API与源应用以及目标信息的对应关系。
其中,所述装置进一步包括鉴权粒度调整模块,所述鉴权粒度调整模块用于,修改所述第一白名单以及所述第二白名单以动态调整所述访问控制和所述鉴权的鉴权粒度。
与现有技术相比,本申请可以获得包括以下技术效果:
1)通过API的语义对通过API发起的访问进行鉴权,避免了使用API带上访问KEY进行鉴权的繁琐,也避免了访问KEY丢失造成的麻烦;
2)通过修改第一白名单和第二白名单调整鉴权的粒度,能将鉴权粒度控制在任意范围;
3)采用访问控制以及鉴权的两级控制方式,进一步保证了被访问数据的安全性。
当然,实施本申请的任一产品必不一定需要同时达到以上所述的所有技术效果。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的典型应用场景示例图;
图2是本申请实施例一的技术流程图;
图3是本申请实施例三的装置结构示意图;
图4是本申请应用场景实例的技术流程图。
具体实施方式
以下将配合附图及实施例来详细说明本申请的实施方式,藉此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
如在说明书及权利要求当中使用了某些词汇来指称特定组件。本领域技术人员应可理解,硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包含”为一开放式用语,故应解释成“包含但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决所述技术问题,基本达到所述技术效果。此外,“耦接”一词在此包含任何直接及间接的电性耦接手段。因此,若文中描述一第一装置耦接于一第二装置,则代表所述第一装置可直接电性耦接于所述第二装置,或通过其他装置或耦接手段间接地电性耦接至所述第二装置。说明书后续描述为实施本申请的较佳实施方式,然所述描述乃以说明本申请的一般原则为目的,并非用以限定本申请的范围。本申请的保护范围当视所附权利要求所界定者为准。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者***中还存在另外的相同要素。
图1所示为本申请实施例的一个典型应用***示例图。图1为一个云计算集群自动化运维***System,至少包括存储管理器Master、基础服务集群Cluster、客户端Client、服务器集群。其中,存储管理器Master是云计算自动化运维***System中用于存储运维***管理元数据的服务;所述基础服务集群Cluster在集群中运行运维***System的基础服务,如图1中的Service1~ServiceN;所述客户端Client,存在于所有的System管理的机器上,用来完成运维***对***System所管理的机器和上面运行的应用的管理工作,如图1所示的Client1~ClientN;所述服务器集群是运维***System所有Service所在集群,通常由五台机器组成,主要运行所述运维***System的关键服务;位于运维***System内外的所有服务均通过带有语义的API与存储管理器Master进行通信。以下部分将结合图2所示实施例进一步阐述在这样一个典型的云计算集群自动化运维***中,本申请一种访问控制方法的实现过程。
图2是本申请实施例一的技术流程图,结合图2,本申请一种访问控制方法可由如下步骤实现:
步骤S210:接收到API的访问请求,根据与所述访问请求对应的访问控制信息以及预设的查询列表进行访问控制;
步骤S220:当判定所述访问请求通过所述访问控制时,根据与所述访问请求对应的鉴权信息以及预设的第一白名单进行鉴权;
步骤S230:当判定所述访问请求通过所述鉴权时,接受所述访问请求。
具体的,在步骤S210中,当存储管理器Master接收到通过语义API发出的访问请求时,首先获取访问请求的访问控制信息,其中访问控制信息可以包括根据所述访问请求解析到的源IP地址(源IP地址也可以与访问请求绑定发送,也可以是封装在访问请求中携带发送,本发明不限于此)以及所述访问请求携带的访问者签名。本申请的鉴权方法需经历两级控制,所述访问控制信息用于访问控制。
所述访问者签名即发出访问请求的访问者的信息,当有应用调用API时,内置签名服务会默认给访问者打个签名,解析所述访问者签名即可知道调用这一API的访问者信息。与此同时,本申请实施例中,对所述访问请求进行解析,获取发出所述访问请求的源IP地址。
需要说明的是,本申请所述的“访问请求”,包括对目标信息的读/写/删除/创建/调用中的至少一个,后续不再赘述。
具体的,所述访问控制可以是如下两种可行的方式:
其一,预先设置具有访问权限的IP地址列表,当获取到访问控制信息中的所述源IP地址时,根据所述源IP地址查询预设的IP地址列表,若能查询的到,则说明所述源IP具有对存储管理器Master的访问权限,可通过访问控制并进一步获取所述访问请求的鉴权信息。
其二,预先设置具有访问权限的访问者签名列表,当获取到访问控制信息中的所述访问请求对应的访问者签名时,根据所述访问者签名查询预设的访问者签名列表,若有能够匹配的,则判定所述访问请求通过访问控制并可以进一步获取所述访问请求对应的鉴权信息。
当然需要说明的是,上述两种访问控制的方式可以单独使用也可以组合进行鉴权,本申请并不限制于此。
具体的,在步骤S220中,当判定所述访问请求通过访问控制之后,进一步地,获取所述访问请求对应的鉴权信息。其中,鉴权信息进一步包括所述访问请求对应的API的语义、所述访问请求对应的源应用的信息。当获取所述访问请求对应的源应用的信息后,获取与所述源应用的信息对应的预设的所述第一白名单。其中,所述鉴权信息可以是所述访问请求中携带的,也可以是通过与所述访问请求绑定且被解析获得的。
由于云计算集群自动运维***System中,任意其他的服务访问存储管理器Master时,只有唯一的方式,即通过API,这些API带有不同的语义,每个语义都由工作人员根据需要进行自定义。当访问请求中不带访问的目标信息时,存储管理器Master能够通过解析这些语义确定API的行为,即通过这些API发出的访问请求具体访问那些数据。因此,本申请将API的语义用于鉴权,可以直接通过API的语义获取所述访问请求的目标内容,即所述访问请求是对存储管理器Master管理的某一应用/服务,甚至是某一应用/服务的某一部分元数据信息。
获得所述访问请求对应的API的语义之后,对所述API的语义进行分析,获取所述访问请求对应的源应用的信息,并根据所述源应用的信息查询预设的所述源应用对应的第一白名单。具体的,所述第一白名单中包括:发出访问请求的API与源应用之间的对应关系;和/或,发出访问请求的API与目标信息的对应关系。
例如:所述第一白名单可以是以如下表一的形式展现:
表一
或如下形式:
表一中,Name1~Name3为不同API的语义,A1~A5为发出访问请求的源应用,带有不同标号的S表示被可访问的目标信息。
如以上表格所示的第一白名单,能够通过语义为Name1的API进行访问源应用有源应用或服务为A1\A2\A3,云计算运维***System中的其他应用或服务,通过Name1这一API并无访问权限。同样,能够通过语义为Name2的API进行数据访问的源应用或服务为A1\A3,除A1/A3之外,通过这个API发出的访问请求对于Master中管理的任何数据都是没有访问权限的。
进一步,如上述表格所示,A1通过语义为Name1的API对S1进行访问时,只能够访问到S1的S11\S13\S14等部分信息或数据,然而A1通过语义为Name2的API对S1进行访问时,可以访问到服务S1的S12\S15等部分信息或数据。上述表格只是第一白名单的一种存在方式,所述第一白名单还可以以下下表二形式出现:
表二
表二中,通过语义为Name1的API对Master中的数据进行访问的源应用只有A1\A2\A3,除此之外,其他应用通过语义为Name1的API对Master中的数据进行访问时,在鉴权时是无法通过的。同理,能通过Name3这一语义API对Master进行访问的只有A2\A3\A4\A5等应用或服务。
对比上述表一和表二所示,第一白名单的两种不同形式,其控制粒度是不同的。按照表一的方式,第一白名单的匹配规则有两层,第一层是不同语义的API与发出请求的不同应用/服务的匹配规则,第二层中包含的是不同语义的API与Master中特定信息/数据的匹配规则。然而表二中,只有一层匹配规则,其对鉴权的控制粒度范围显然大于表一所示。当然,表一表二所示的第一白名单的存在方式均可根据需求进行调整。上述表格内容仅供举例说明使用,对本申请并不构成任何限制。
具体的,在步骤S220中,根据所述鉴权信息对所述访问请求进行鉴权,只需根据所述鉴权信息查询第一白名单判断所述访问请求是否允许访问,若为否,则返回访问失败的错误信息。
需要说明的是,当根据所述访问控制信息判定所述访问请求未通过访问控制时,获取第二白名单,并根据所述第二白名单对所述访问请求进行鉴权。具体地,第二白名单中包括:发出访问请求的API与源应用以及目标信息的对应关系。所述第二白名单可以有如下表三的存在形式:
表三
如表三所示,针对未通过访问控制的访问请求,根据第二访问白名单的匹配规则对所述访问请求进行响应。
本实施例中,针对由API发的访问请求,分别获取其访问控制信息和鉴权信息,对所述访问请求进行两级控制,实现了云计算集群自动运维***的有序且严密的鉴权。相较于传统的通过API的语义对通过API发起的访问进行鉴权的方式,本申请实施例提供的鉴权方式,直接通过API的语义对接收到的访问请求进行行为分析以及鉴权,避免了密码丢失带来的不便,直接高效;其次,本申请实施例中,采用两级控制方式,进一步保证了被访问数据的安全。
在本申请实施例二中,修改鉴权的粒度范围可以由如下的实施方式实现:
修改所述第一白名单以及所述第二白名单以动态调整所述访问控制和所述鉴权的鉴权粒度。
承接图2对应的实施例,针对表一所对应的第一白名单进行修改从而进一步缩小鉴权的粒度范围。表四为表一的一种可行修改方式,如下所示:
表四
如表四所示,经过对第一访问白名单的修改,通过某一语义API对Master发起的访问请求被进一步细化控制。
通过Name1这一语义API发起的访问请求可以访问的目标信息有S11\S13\S14,根据白名单所示,这一访问请求只能对S11进行读操作、对S13进行写操作、对S14进行删除操作,除上述以外的任何操作都是没有权限的。当然,上述表格及其内容仅供举例使用,并不对本申请构成任何限制。
具体,在做粒度控制时,表四中的源应用、可访问的目标信息以及访问类型都可根据需求进行修改且粒度可以更加细化,此处不做赘述。
针对表三所对应的第二白名单进行修改从而进一步缩小鉴权的粒度范围同第一白名单相似,此处不再赘述。
本实施例中,通过修改第一白名单和第二白名单的过滤规则,可以自由缩放权限控制的访问粒度范围。相对于现有技术,本申请实施例可以进一步缩小访问权限的控制力度范围,从而实现进一步严格以及细化的的鉴权,提高了被访问数据的安全性。
图3是本申请实施例三的装置结构示意图,结合图3,本申请一种访问控制装置具体包括鉴权模块访问控制模块310、鉴权模块、鉴权模块320、第一响应模块330。
所述访问控制模块310,用于接收到API的访问请求,根据与所述访问请求对应的访问控制信息以及预设的查询列表进行访问控制;
所述鉴权模块320,用于当判定所述访问请求通过所述访问控制时,根据与所述访问请求对应的鉴权信息以及预设的第一白名单进行鉴权;
所述第一响应模块330,用于当根据所述鉴权信息以及预设的第一白名单判定所述访问请求通过鉴权时,接受所述访问请求。
所述装置进一步包括第二响应模块340:当根据所述访问控制信息判定所述访问请求未通过访问控制时,所述第二响应模块用于获取第二白名单,并根据所述第二白名单对所述访问请求进行鉴权。
其中,所述访问控制模块310,具体用于:获取所述访问请求的源IP地址以及所述访问请求对应的访问者签名。
其中,所述访问控制模块310,具体用于:根据所述访问请求的源IP地查询预设的IP地址列表和/或根据所述访问请求对应的访问者签名查询预设的访问者签名列表,按照预设策略判断所述访问请求是否通过所述访问控制。
其中,所述鉴权模块320,具体用于:获取所述访问请求对应的API的语义、所述访问请求对应的源应用的信息。
其中,所述鉴权模块320,具体还用于:根据所述源应用的信息获取与所述源应用对应的第一白名单。
其中,所述鉴权模块320,具体用于,根据所述API的语义、所述源应用的信息,查询所述第一白名单,判断所述访问请求对所述访问请求的目标是否有权限。
其中,所述第一白名单包括:发出访问请求的API与源应用之间的对应关系;和/或发出访问请求的API与目标信息的对应关系;
所述第二白名单包括:发出访问请求的API与源应用以及目标信息的对应关系。
其中,所述装置进一步包括鉴权粒度调整模块350,所述鉴权粒度调整模块用于,修改所述第一白名单以及所述第二白名单以动态调整所述访问控制和所述鉴权的鉴权粒度。
图3所示装置可以执行图1及图2所示实施例所述方法,其实现原理和技术效果不再赘述。
应用实例
以下将结合图4详细阐述本申请一种鉴权方法在一种特定应用场景下的具体实现方式。
阿里天基作为云计算集群自动化运维***,需要存储大量的Meta信息,TjMaster是整个天基***Meta信息存储交换的中心,TjMaster数据的正确性关系到整个天基***的稳定性和可用性,TjMaster的唯一访问入口是语义API。
在天基***中,由于天基管理着大量的集群,天基的各个服务和client都可以通过TjMaster提供的语义API对TjMaster进行读写访问,对于TjMaster管理的元数据,并不是每个应用都可以读/写,因此需要对每个服务的读/写进行鉴权,在天基中采用通过API的语义来进行鉴权,控制每个服务对不同元数据的读/写权限。
TjMaster Meta数据的访问主要分为两大类,一类是天基client,天基client分布在所有天基托管的机器上,每台天基管理的机器都存在一个天基client;另一类是天际的service,这些service主要分布在一个天基集群中,天基集群由5台左右的机器组成,上面运行TjMaster和天基的各个关键服务,天基service功能各异,对TjMaster上面的Meta信息的访问需求也和service功能相关。
为了实施对TjMaster访问的权限控制,采用本申请的鉴权方法,通过两级控制控制语义API对TjMaster的访问。
首先,当TjMaster接收到API的访问请求时,先获取所述访问请求的访问控制信息从而对所述访问请求进行访问控制。具体的,访问控制信息可以是访问请求对应的源IP地址或者访问者的签名,从而根据所述访问控制信息区分出,接收到的访问请求来自天基集群外部访问还是天基集群内部访问。
当判断所述访问请求来自天基集群内部时,进一步获取所述访问请求的鉴权信息。具体的,鉴权信息包括所述访问请求对应的API的语义以及所述访问请求的源应用的信息,得到源应用的信息后,获取源应用对应的第一白名单。具体的,所述第一白名单中,列举了访问请求和应用之间的对应关系,即一个来自天基内部访问能够访问到哪些应用;进一步的,所述白名单还例举了发出访问请求的API的语义与源应用之间的对应关系,即来自天基内部的哪些应用可以通过某一特定API发出的访问请求;进一步地,所述白名单还例举了来自天基内部的源应用通过某一特定API发出的访问请求,对哪些目标信息有访问权限。
当根据第一白名单的过滤规则判断所述访问请求通过鉴权,即所述访问请求有权限对其访问的目标进行访问时,接受所述访问请求,若是未通过鉴权,则返回访问失败的错误信息。
需要说明的是,所述第一白名单和所述第二白名单都可以修改,从而可以更改白名单的匹配规则从限定鉴权的控制粒度。
另,需要说明的是,若是所述访问请求未通过访问控制,即,当根据所述访问请求的源IP地址或访问者签名判断所述访问请求来自非天基集群内部,则获取非天基集群对应的第二白名单。具体的,所述第二白名单中列举了访问请求以及访问请求的访问控制信息与源应用的目标信息之间的对应关系。即,一个来自天基集群外部的对某一源应用的某一特定信息是否具有访问权限。
具体的,一种白名单以代码实现的格式例举如下:
AddMachine这个API的语义是往TjMaster添加一台机器的Meta信息,这个白名单定义了此API允许操作的四个字段(allowed_field),以及API的调用来源是否来自天基集群(is_public如果是false,则此API自能来自天基集群),允许调用的应用(allowed_apps)。通过此白名单,我们可以知道通过AddMachine这个语义API发出的请求会修改四个字段、且只能被来自天基集群的service调用,且只能允许machine_manager和healing_service调用。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (18)
1.一种访问控制方法,其特征在于,包括:
接收到API的访问请求,根据与所述访问请求对应的访问控制信息以及预设的查询列表进行访问控制;
当判定所述访问请求通过所述访问控制时,根据与所述访问请求对应的鉴权信息以及预设的第一白名单进行鉴权;
当判定所述访问请求通过所述鉴权时,接受所述访问请求。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
当根据所述访问控制信息判定所述访问请求未通过访问控制时,获取第二白名单,并根据所述第二白名单对所述访问请求进行鉴权。
3.如权利要求1所述的方法,其特征在于,所述与所述访问请求对应的访问控制信息,具体包括:
所述访问请求的源IP地址以及所述访问请求对应的访问者签名。
4.如权利要求3所述的方法,其特征在于,判定所述访问请求通过所述访问控制,具体包括:
根据所述访问请求的源IP地查询预设的IP地址列表和/或根据所述访问请求对应的访问者签名查询预设的访问者签名列表,按照预设策略判断所述访问请求是否通过所述访问控制。
5.如权利要求1所述的方法,其特征在于,所述与所述访问请求对应的鉴权信息,具体包括:
所述访问请求对应的API的语义、所述访问请求对应的源应用的信息。
6.如权利要求5所述的方法,其特征在于,所述方法还包括,
根据所述源应用的信息获取与所述源应用对应的所述预设的第一白名单。
7.如权利要求6所述的方法,其特征在于,所述判定所述访问请求通过鉴权,具体包括:
根据所述API的语义、所述源应用的信息,查询所述第一白名单,判断所述访问请求对所述访问请求的目标是否有权限。
8.如权利要求2所述的方法,其特征在于,
所述第一白名单包括:发出访问请求的API与源应用之间的对应关系;和/或,发出访问请求的API与目标信息的对应关系;
所述第二白名单包括:发出访问请求的API与源应用以及目标信息的对应关系。
9.如权利要求8所述的方法,其特征在于,所述方法进一步包括:
修改所述第一白名单以及所述第二白名单以动态调整所述访问控制和所述鉴权的鉴权粒度。
10.一种访问控制装置,其特征在于,包括:
鉴权模块访问控制模块,用于接收到API的访问请求,根据与所述访问请求对应的访问控制信息以及预设的查询列表进行访问控制;
鉴权模块鉴权模块,用于当判定所述访问请求通过所述访问控制时,根据与所述访问请求对应的鉴权信息以及预设的第一白名单进行鉴权;
第一响应模块,用于当根据所述鉴权信息以及预设的第一白名单判定所述访问请求通过鉴权时,接受所述访问请求。
11.如权利要求10所述的装置,其特征在于,所述装置进一步包括第二响应模块:
当根据所述访问控制信息判定所述访问请求未通过访问控制时,所述第二响应模块,用于获取第二白名单,并根据所述第二白名单对所述访问请求进行鉴权。
12.如权利要求10所述的装置,其特征在于,所述访问控制模块,具体用于:
获取所述访问请求的源IP地址以及所述访问请求对应的访问者签名。
13.如权利要求12所述的装置,其特征在于,所述访问控制模块,具体用于:
根据所述访问请求的源IP地查询预设的IP地址列表和/或根据所述访问请求对应的访问者签名查询预设的访问者签名列表,按照预设策略判断所述访问请求是否通过所述访问控制。
14.如权利要求10所述的装置,其特征在于,所述鉴权模块,具体用于:
获取所述访问请求对应的API的语义、所述访问请求对应的源应用的信息。
15.如权利要求14所述的装置,其特征在于,所述鉴权模块,具体还用于:
根据所述源应用的信息获取与所述源应用对应的所述预设的第一白名单。
16.如权利要求14所述的装置,其特征在于,所述鉴权模块,具体用于,根据所述API的语义、所述源应用的信息,查询所述第一白名单,判断所述访问请求对所述访问请求的目标是否有权限。
17.如权利要求11所述的装置,其特征在于,
所述第一白名单包括:发出访问请求的API与源应用之间的对应关系;和/或,发出访问请求的API与目标信息的对应关系;
所述第二白名单包括:发出访问请求的API与源应用以及目标信息的对应关系。
18.如权利要求17所述的装置,其特征在于,所述装置进一步包括鉴权粒度调整模块;
所述鉴权粒度调整模块用于,修改所述第一白名单以及所述第二白名单以动态调整所述访问控制和所述鉴权的鉴权粒度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610395197.2A CN107465650B (zh) | 2016-06-06 | 2016-06-06 | 一种访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610395197.2A CN107465650B (zh) | 2016-06-06 | 2016-06-06 | 一种访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107465650A true CN107465650A (zh) | 2017-12-12 |
| CN107465650B CN107465650B (zh) | 2020-10-27 |
Family
ID=60545623
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610395197.2A Active CN107465650B (zh) | 2016-06-06 | 2016-06-06 | 一种访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107465650B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471409A (zh) * | 2018-03-15 | 2018-08-31 | 苏州思必驰信息科技有限公司 | 语音对话平台的应用程序接口鉴权配置方法及*** |
| CN109492358A (zh) * | 2018-09-25 | 2019-03-19 | 国网浙江省电力有限公司信息通信分公司 | 一种开放接口统一认证方法 |
| CN109739806A (zh) * | 2018-12-28 | 2019-05-10 | 安谋科技(中国)有限公司 | 内存访问方法、内存访问控制器和片上*** |
| CN110414226A (zh) * | 2018-04-28 | 2019-11-05 | 北京安天网络安全技术有限公司 | 一种基于关键目标防护的安全维护方法及*** |
| CN110647540A (zh) * | 2019-08-13 | 2020-01-03 | 平安普惠企业管理有限公司 | 业务数据查询方法、装置、计算机设备和存储介质 |
| CN112738100A (zh) * | 2020-12-29 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 数据访问的鉴权方法、装置、鉴权设备和鉴权*** |
| CN112733103A (zh) * | 2021-01-11 | 2021-04-30 | 浪潮云信息技术股份公司 | 接口访问的控制方法和装置 |
| CN117336101A (zh) * | 2023-11-29 | 2024-01-02 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、***、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1816192A (zh) * | 2005-02-04 | 2006-08-09 | 法国无线电话公司 | 用于应用的执行的安全管理的方法 |
| CN101034990A (zh) * | 2007-02-14 | 2007-09-12 | 华为技术有限公司 | 权限管理方法及装置 |
| US20120030354A1 (en) * | 2010-08-02 | 2012-02-02 | Ebay, Inc. | Application platform with flexible permissioning |
| CN103514052A (zh) * | 2013-08-15 | 2014-01-15 | 飞天诚信科技股份有限公司 | 一种多应用之间互访的方法和智能卡 |
| CN104317626A (zh) * | 2014-11-13 | 2015-01-28 | 北京奇虎科技有限公司 | 终端设备中应用软件权限控制的方法、装置和*** |
| CN105404796A (zh) * | 2015-10-21 | 2016-03-16 | 浪潮电子信息产业股份有限公司 | 一种JavaScript源文件保护的方法及装置 |
-
2016
- 2016-06-06 CN CN201610395197.2A patent/CN107465650B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1816192A (zh) * | 2005-02-04 | 2006-08-09 | 法国无线电话公司 | 用于应用的执行的安全管理的方法 |
| CN101034990A (zh) * | 2007-02-14 | 2007-09-12 | 华为技术有限公司 | 权限管理方法及装置 |
| US20120030354A1 (en) * | 2010-08-02 | 2012-02-02 | Ebay, Inc. | Application platform with flexible permissioning |
| CN103514052A (zh) * | 2013-08-15 | 2014-01-15 | 飞天诚信科技股份有限公司 | 一种多应用之间互访的方法和智能卡 |
| CN104317626A (zh) * | 2014-11-13 | 2015-01-28 | 北京奇虎科技有限公司 | 终端设备中应用软件权限控制的方法、装置和*** |
| CN105404796A (zh) * | 2015-10-21 | 2016-03-16 | 浪潮电子信息产业股份有限公司 | 一种JavaScript源文件保护的方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471409A (zh) * | 2018-03-15 | 2018-08-31 | 苏州思必驰信息科技有限公司 | 语音对话平台的应用程序接口鉴权配置方法及*** |
| CN110414226A (zh) * | 2018-04-28 | 2019-11-05 | 北京安天网络安全技术有限公司 | 一种基于关键目标防护的安全维护方法及*** |
| CN109492358A (zh) * | 2018-09-25 | 2019-03-19 | 国网浙江省电力有限公司信息通信分公司 | 一种开放接口统一认证方法 |
| CN109739806A (zh) * | 2018-12-28 | 2019-05-10 | 安谋科技(中国)有限公司 | 内存访问方法、内存访问控制器和片上*** |
| CN110647540A (zh) * | 2019-08-13 | 2020-01-03 | 平安普惠企业管理有限公司 | 业务数据查询方法、装置、计算机设备和存储介质 |
| CN112738100A (zh) * | 2020-12-29 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 数据访问的鉴权方法、装置、鉴权设备和鉴权*** |
| CN112738100B (zh) * | 2020-12-29 | 2023-09-01 | 北京天融信网络安全技术有限公司 | 数据访问的鉴权方法、装置、鉴权设备和鉴权*** |
| CN112733103A (zh) * | 2021-01-11 | 2021-04-30 | 浪潮云信息技术股份公司 | 接口访问的控制方法和装置 |
| CN117336101A (zh) * | 2023-11-29 | 2024-01-02 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、***、设备及介质 |
| CN117336101B (zh) * | 2023-11-29 | 2024-02-23 | 南京中孚信息技术有限公司 | 一种细粒度网络接入控制方法、***、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107465650B (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107465650A (zh) | 一种访问控制方法及装置 | |
| US10326795B2 (en) | Techniques to provide network security through just-in-time provisioned accounts | |
| WO2021169112A1 (zh) | 基于共享权限的业务数据处理方法、装置、设备和介质 | |
| CA2930253C (en) | Single set of credentials for accessing multiple computing resource services | |
| US11108825B2 (en) | Managed real-time communications between user devices | |
| US8839234B1 (en) | System and method for automated configuration of software installation package | |
| US8990950B2 (en) | Enabling granular discretionary access control for data stored in a cloud computing environment | |
| CN109889517B (zh) | 数据处理方法、权限数据集创建方法、装置及电子设备 | |
| US7954135B2 (en) | Techniques for project lifecycle staged-based access control | |
| CN108289098B (zh) | 分布式文件***的权限管理方法和装置、服务器、介质 | |
| CN105812350B (zh) | 一种跨平台单点登录*** | |
| US20140215575A1 (en) | Establishment of a trust index to enable connections from unknown devices | |
| WO2011142996A2 (en) | Methods and systems for forcing an application to store data in a secure storage location | |
| US9871778B1 (en) | Secure authentication to provide mobile access to shared network resources | |
| US9081982B2 (en) | Authorized data access based on the rights of a user and a location | |
| CN108053088A (zh) | 一种用户管理***、方法和装置 | |
| US9237156B2 (en) | Systems and methods for administrating access in an on-demand computing environment | |
| CN116438778A (zh) | 承担的替代身份的持久源值 | |
| US20240048562A1 (en) | Sponsor delegation for multi-factor authentication | |
| US20240007458A1 (en) | Computer user credentialing and verification system | |
| CN107623701A (zh) | 一种基于802.1x的快速安全认证方法与装置 | |
| EP2947593B1 (en) | Security apparatus session sharing | |
| CN114070616A (zh) | 一种基于redis缓存的分布式会话共享方法及*** | |
| US11907394B1 (en) | Isolation and authorization for segregated command and query database resource access | |
| CN115659394A (zh) | 数据库访问***、方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |