CN112580006A - 一种多云***的访问权限控制方法、装置及认证服务器 - Google Patents
一种多云***的访问权限控制方法、装置及认证服务器 Download PDFInfo
- Publication number
- CN112580006A CN112580006A CN202011554144.3A CN202011554144A CN112580006A CN 112580006 A CN112580006 A CN 112580006A CN 202011554144 A CN202011554144 A CN 202011554144A CN 112580006 A CN112580006 A CN 112580006A
- Authority
- CN
- China
- Prior art keywords
- target
- user
- information
- identifier
- cloud system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000012795 verification Methods 0.000 claims description 96
- 238000012216 screening Methods 0.000 claims description 20
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 48
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000013461 design Methods 0.000 description 7
- 235000014510 cooky Nutrition 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种多云***的访问权限控制方法、装置及认证服务器,方法应用于认证服务器,认证服务器对应于多个云***,云***中包含有多个被访问对象,所述方法包括:接收客户端发送的对象访问请求,所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识,所述目标对象为所述多个云***中的目标云***内的被访问对象;在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,所述权限策略集合中包含有多条权限策略信息,每条所述权限策略信息对应于一个用户以及一个被访问对象;根据所述目标权限策略,获得鉴权结果,所述鉴权结果表征所述目标用户是否具有对所述目标云***内的所述目标对象进行访问的权限。
Description
技术领域
本申请涉及权限管理技术领域,尤其涉及一种多云***的访问权限控制方法、装置及认证服务器。
背景技术
随着技术的发展,越来越多的云服务提供上为用户提供不同功能的云服务。对于不同的云服务提供商,可以通过统一认证中心对用户访问各个云***的资源或功能的权限进行管理。
目前对多云***的访问权限的管理中,通常是按照云***进行权限管理,例如,某个用户具有对某一个或多个云***的访问权限,另一个用户没有对某一个云***的访问权限,基于此,在对用户提出的访问请求进行鉴权时,只能确定出用户是否具有对某个云***的资源或功能进行访问的权限,而无法确定用户是否具有对云***中不同的资源或功能的访问权限。
因此,在对用户的访问权限进行管理时,无法权限粒度上的细分,导致对用户的访问权限管理的灵活性较差。
发明内容
有鉴于此,本申请提供一种多云***的访问权限控制方法、装置及认证服务器,用于解决现有技术中对用户的访问权限管理的灵活性较差的技术问题。
本申请提供了一种多云***的访问权限控制方法,应用于认证服务器,所述认证服务器对应于多个云***,所述云***中包含有多个被访问对象,所述方法包括:
接收客户端发送的对象访问请求,所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识,所述目标对象为所述多个云***中的目标云***内的被访问对象;
在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,所述权限策略集合中包含有多条权限策略信息,每条所述权限策略信息对应于一个用户以及一个被访问对象;
根据所述目标权限策略,获得鉴权结果,所述鉴权结果表征所述目标用户是否具有对所述目标云***内的所述目标对象进行访问的权限。
上述方法,优选的,在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,包括:
在权限策略集合中,筛选与所述用户标识和/或所述用户标识对应的用户组标识相匹配的初始策略信息;所述用户组标识为所述目标用户所属的目标用户组的标识;所述目标用户组中还包含有一个或多个其他用户;
在所述初始策略信息中,筛选出与所述对象标识相匹配的目标权限策略。
上述方法,优选的,在权限策略集合中,筛选与所述用户标识和/或所述用户标识对应的用户组标识相匹配的初始策略信息,包括:
在权限策略集合中,筛选与所述用户标识相匹配的第一策略信息;
在所述权限策略集合中,筛选与所述用户组标识相匹配的第二策略信息,所述第一策略信息和/或所述第二策略信息组成初始策略信息。
上述方法,优选的,还包括:
将所述鉴权结果传输给所述目标云***。
上述方法,优选的,所述对象访问请求中还包含所述目标用户的身份验证标识;
其中,所述身份验证标识在所述目标用户登录到所述目标云***时生成,所述身份验证标识表征所述目标用户成功登录所述目标。
上述方法,优选的,所述方法还包括:
接收所述客户端发送的用户登录请求,所述用户登录请求至少包含所述目标用户的验证信息和所述目标云***的***标识;
根据所述***标识,对所述验证信息进行验证,以得到验证结果,所述验证结果表征所述目标用户是否通过所述目标云***的身份验证;
在所述验证结果表征所述目标用户通过所述目标云***的身份验证的情况下,获得所述目标用户的身份验证标识。
上述方法,优选的,根据所述***标识,对所述验证信息进行验证,以得到验证结果,包括:
获得所述验证信息对应的验证签名信息;
将所述***标识对应的标准签名信息与所述验证签名信息进行比对,以得到验证结果。
上述方法,优选的,获得所述验证信息对应的验证签名信息,包括:
利用签名算法,对所述验证信息中的用户名和密码进行签名,以得到验证签名信息;
或者,
利用签名算法,对所述验证信息中的访问秘钥进行签名,以得到验证签名信息。
本申请还提供了一种多云***的访问权限控制装置,应用于认证服务器,所述认证服务器对应于多个云***,所述云***中包含有多个被访问对象,所述装置包括:
请求接收单元,用于接收客户端发送的对象访问请求,所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识,所述目标对象为所述多个云***中的目标云***内的被访问对象;
策略获得单元,用于在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,所述权限策略集合中包含有多条权限策略信息,每条所述权限策略信息对应于一个用户以及一个被访问对象;
结果获得单元,用于根据所述目标权限策略,获得鉴权结果,所述鉴权结果表征所述目标用户是否具有对所述目标云***内的所述目标对象进行访问的权限。
本申请还提供了一种认证服务器,所述认证服务器对应于多个云***,所述云***中包含有多个被访问对象,所述认证服务器包括:
传输模块,用于接收客户端发送的对象访问请求,所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识,所述目标对象为所述多个云***中的目标云***内的被访问对象;
处理器,用于在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,所述权限策略集合中包含有多条权限策略信息,每条所述权限策略信息对应于一个用户以及一个被访问对象;根据所述目标权限策略,获得鉴权结果,所述鉴权结果表征所述目标用户是否具有对所述目标云***内的所述目标对象进行访问的权限。
本申请还提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现上述任一项所述的多云***的访问权限控制方法。
本申请还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的多云***的访问权限控制方法。
从上述技术方案可以看出,本申请公开的一种多云***的访问权限控制方法、装置及认证服务器中,在接收到客户端发送的对象访问请求之后,可以在权限策略集合中获得到与对象访问请求相匹配的目标权限策略,进而就可以得到表征对象访问请求中的目标用户是否能够对目标云***中的目标对象进行访问的鉴权结果。可见,本申请中通过对多个云***的访问权限粒度细分到每个云***中的被访问对象,就可以在用户通过客户端对云***进行访问时,实现对用户访问云***中的被访问对象的权限控制,从而提高权限管理的灵活性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例一提供的一种多云***的访问权限管理方法的流程图;
图2-图5分别为本申请实施例的应用示例图;
图6为本申请实施例一提供的一种多云***的访问权限管理方法的部分流程图;
图7-图8分别为本申请实施例一提供的一种多云***的访问权限管理方法的另一流程图;
图9为本申请实施例的另一应用示例图;
图10为本申请实施例一提供的一种多云***的访问权限管理方法的另一部分流程图;
图11为本申请实施例二提供的一种多云***的访问权限管理装置的结构示意图;
图12为本申请实施例二提供的一种多云***的访问权限管理装置的另一结构示意图;
图13为本申请实施例三提供的一种认证服务器的结构示意图;
图14-图16分别为本申请实施例适用于金融行业进行用户身份认证和权限管理的示例图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参考图1,为本申请实施例一提供的一种多云***的访问权限管理方法的实现流程图,该方法适用于能够进行数据处理的认证服务器中,如计算机或服务器等设备,需要说明的是,认证服务器对应于多个云***,如图2中所示,每个云***为部署在云端的电子设备所实现,在每个云***中均包含有多个被访问对象,如可以被访问的数据资源或者功能组件等对象。本实施例中的技术方案主要用于实现对用户访问云***中的被访问对象的权限控制,从而提高权限管理的灵活性。
具体的,本实施例中的方法可以包含以下步骤:
步骤101:接收客户端发送的对象访问请求。
其中,对象访问请求中至少包含有目标用户的用户标识和目标对象的对象标识,目标用户即为需要对目标对象进行访问的用户,而目标对象为多个云***中的某个或多个目标云***内的被访问对象,如某张图片资源或者某个计算功能等。
需要说明的是,对象访问请求可以是在目标用户登录到目标云***之后,在目标用户的客户端上所呈现的目标云***的操作界面上对目标对象如资源或功能等对应的控件进行点击或选中等操作所生成的请求,以表征目标用户需要对目标对象进行访问。此时,目标用户的用户标识可以为能够唯一表征目标用户的用户名称、编码或者标号等信息,而目标对象的对象标识可以为能够唯一表征目标对象的对象名称、编码或者存储路径等信息。
另外需要特别说明的是,由于本实施例中为了实现多云***的访问权限的统一管理,将访问权限的管理控制集中在本实施例中的认证服务器中,因此,在对象访问请求在客户端上被生成并发送给目标云***后,客户端上根据目标云***所返回的需要对对象访问请求进行鉴权的回复信息将对象访问请求通过重定向发送给本实施例中的认证服务器,由此,本实施例中的认证服务器能够通过与客户端之间的通信连接接收到客户端发送的对象访问请求,如图3中所示。
而目标用户所对应的客户端可以为手机、pad或计算机等终端或设备。
步骤102:在权限策略集合中,获得与用户标识和对象标识相匹配的目标权限策略。
其中,权限策略集合为预先配置的集合,在权限策略集合中可以包含有多条权限策略信息,每条权限策略信息对应于一个用户以及一个被访问对象,每个权限策略信息中包含有用户是否具有对被访问对象的访问权限的信息。例如,权限策略集合以包含多个字段的表格来实现,如图4中所示,表格中包含有多行字段,每一行字段包含有用户列、对象列和权限列,在用户列中记录用户的标识,在对象列中记录对象的标识,在权限列中记录是否具有访问权限的信息,基于此,每一行字段中的权限列中的信息表征用户列中的用户是否具有对象列中的对象进行访问的权限,例如,以allow表示用户A对被访问对象B具有访问权限,以deny表示用户A对被访问对象C不具有访问权限。需要说明的是,表格中可以包含有对应于同一用户的多行字段,对应于同一用户的多行字段分别用于记录该用户分别对不同的被访问对象是否具有访问权限。需要说明的是,表格中可以包含有对应于同一被访问对象的多行字段,对应于同一被访问对象的多行字段分别用于记录不同的用户分别对该被访问对象是否具有访问权限。
进一步的,在多云***中,两个甚至更多个用户可以被绑定到同一个用户组中,如图5中所示,而同一用户组中的用户具有相同的访问权限,如对同一个或多个被访问对象具有相同的访问权限。另外,一个用户可以只单独存在并不绑定在任意用户组中,或者,也可以只被绑定到用户组中,或者,也可以同时单独存在且被绑定到某一个或多个用户组中。
基于此,在权限策略集合中的权限策略信息还可以是对应于用户组和被访问对象的权限策略信息,用户组对应的权限策略信息中包含该用户组中的用户是否具有对被访问对象的访问权限的信息。例如,如图4中所示,表格中的行字段的用户列还可以对应于用户组,此时,在用户列中记录用户组的标识,在对象列中记录对象的标识,在权限列中记录是否具有访问权限的信息,基于此,每一行字段中的权限列中的信息表征用户列中的用户组中的用户是否具有对象列中的对象进行访问的权限,例如,以allow表示用户组X中的用户A和D对被访问对象B具有访问权限,以deny表示用户组Y中的用户A和D对被访问对象C不具有访问权限。需要说明的是,表格中可以包含有对应于同一用户组的多行字段,对应于同一用户组的多行字段分别用于记录该用户组分别对不同的被访问对象是否具有访问权限。需要说明的是,表格中可以包含有对应于同一被访问对象的多行字段,对应于同一被访问对象的多行字段分别用于记录不同的用户组分别对该被访问对象是否具有访问权限。
需要说明的是,区别于一个用户只能对应于一个云***的访问权限管理,本实施例中通过将访问权限细分到被访问对象的粒度,由此,每条权限策略信息能够对应于被访问对象而不是多个被访问对象所属的云***。
基于此,本实施例中在获得到用户标识和对象标识之后,在权限策略集合中进行权限策略信息的筛选,从而获得到与对象访问请求中的用户标识和对象标识均匹配的目标权限策略,在该目标权限策略中包含有目标用户是否具有对目标对象的访问权限的信息。
步骤103:根据目标权限策略,获得鉴权结果。
其中,鉴权结果表征目标用户是否具有对目标云***内的目标对象进行访问的权限。
具体的,本实施例中可以对目标权限策略中的目标用户是否具有对目标对象的访问权限的信息进行分析判断,由此解析出目标用户是否具有对目标云***内的目标对象进行访问的权限,由此生成鉴权结果。
其中,鉴权结果中可以使用标识来表征目标用户是否具有对目标云***内的目标对象进行访问的权限,例如,以allow表征目标用户具有对目标云***内的目标对象进行访问的权限,以deny表征目标用户不具有对目标云***内的目标对象进行访问的权限。
由上述方案可知,本申请实施例一提供的一种多云***的访问权限管理方法中,在接收到客户端发送的对象访问请求之后,可以在权限策略集合中获得到与对象访问请求相匹配的目标权限策略,进而就可以得到表征对象访问请求中的目标用户是否能够对目标云***中的目标对象进行访问的鉴权结果。可见,本实施例中通过对多个云***的访问权限粒度细分到每个云***中的被访问对象,就可以在用户通过客户端对云***进行访问时,实现对用户访问云***中的被访问对象的权限控制,从而提高权限管理的灵活性。
在一种实现方式中,步骤102中在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略时,具体可以通过以下步骤实现,如图6中所示:
步骤601:在权限策略集合中,筛选与用户标识和/或用户标识对应的用户组标识相匹配的初始策略信息。
其中,用户组标识为目标用户所属的目标用户组的标识,目标用户组中除了包含有目标用户,还可以包含有一个或多个其他用户,处于该目标用户组中的所有用户对被访问对象的访问权限是相同的。
具体的,本实施例中可以只在权限策略集合中筛选与用户标识相匹配的初始策略信息;
或者,只在权限策略集合中筛选与用户标识对应的用户组标识相匹配的初始策略信息;
或者,同时在权限策略集合中筛选与用户标识相匹配的第一策略信息以及与用户标识对应的用户组标识相匹配的第二策略信息,筛选出来的第一策略信息和/或第二策略信息组成初始策略信息;
或者,本实施例中先在权限策略集合中筛选与用户标识相匹配的第一策略信息,如果在权限策略集合中没有筛选出与用户标识相匹配的第一策略信息,再在权限策略集合中筛选与用户标识对应的用户组标识相匹配的第二策略信息,以作为初始策略信息。
具体的,以筛选与用户标识相匹配的权限策略信息为例,本实施例中可以将用户标识与权限策略集合中的每条权限策略信息中的用户进行比对,进而筛选出与用户标识相匹配的初始策略信息。例如,本实施例中在权限策略集合的表格中,将用户标识与表格中的用户列中的用户进行比对,进而筛选出与用户标识相匹配的一行或多行字段,筛选出的每行字段分别对应于一条权限策略信息,即与用户标识相匹配的初始策略信息。筛选与用户组标识相匹配的权限策略信息的实现方式可以参考以上方式,此处不再详述。
需要说明的是,与用户标识相匹配的初始策略信息可以有一条或多条。
步骤602:在初始策略信息中,筛选出与对象标识相匹配的目标权限策略。
其中,本实施例中可以将对象标识与初始策略信息进行比对,进而筛选出与对象标识相匹配的目标权限策略。例如,本实施例中在筛选出的与用户标识相匹配的一行或多行字段中,将对象标识对这些字段中的对象列中的被访问对象进行比对,进而筛选出与用户标识以及对象标识均相匹配的一行或多个字段,筛选出的每行字段分别于一条权限策略信息,即目标权限策略。
在一种实现方式中,在步骤103之后,本实施例中的方法还可以包括以下步骤,如图7中所示:
步骤104:将鉴权结果传输给目标云***。
其中,本实施例中的认证服务器将鉴权结果传输给目标云***之后,目标云***就可以基于鉴权结果中目标用户是否具有对被访问对象的访问权限的信息来允许或禁止目标用户对目标对象的访问。例如,在鉴权结果表征目标用户具有对目标对象如图片的访问权限的情况下,目标云***允许目标用户对图片进行查看或者允许目标用户对图片进行下载;再如,在鉴权结果表征目标用户不具有对图片的访问权限的情况下,目标云***禁止目标用户对目标对象如图片进行查看。
进一步的,本实施例中在获得到鉴权结果之后,还可以将鉴权结果传输给客户端,以提示目标用户。另外,可以在目标用户对目标对象没有访问权限时,进一步提示目标用户可以通过获得访问权限后再进行对象访问。
在一种实现方式中,对象访问请求中还可以包含有目标用户的身份验证标识,该身份验证标识在目标用户登录到目标云***时生成,且该身份验证标识用于表征目标用户成功登录到目标云***,即目标用户在登录目标云***时被认证服务器进行身份验证且验证通过。
其中,身份验证标识可以用字符串来表示。
具体的,在目标用户需要登录到目标云***时,在认证服务器上对目标用户进行身份验证。基于此,在步骤101之前,本实施例中的方法还可以包含如下对目标用户进行身份验证的步骤,如图8中所示:
步骤105:接收客户端发送的用户登录请求。
其中,用户登录请求至少包含目标用户的验证信息和目标云***的***标识。
具体的,目标用户的验证信息可以根据目标用户登录目标云***的方式有不同的实现:在目标用户通过页面登录目标云***时,目标用户的验证信息中包含有目标用户在页面上输入的用户名和密码等信息;在目标用户通过接口如执行程序等方式登录目标云***时,目标用户的验证信息包含有执行程序中所包含的目标用户的访问密钥等信息。
需要说明的是,在目标用户在客户端上进行目标云***的登录操作如输入用户名和密码或者触发执行程序开始运行等操作时,客户端将登录操作所生成的初始的用户登录请求发送给目标云***,此时初始的用户登录请求中可以只包含有目标用户的验证信息,由于本实施例中为了实现多云***的访问权限的统一管理,将访问权限的管理控制集中在本实施例中的认证服务器中,因此,在用户登录请求在客户端上被生成并发送给目标云***之后,客户端上根据目标云***所返回的需要对目标用户进行身份验证的回复信息将用户登录请求通过重定向发送给本实施例中的认证服务器,此时,认证服务器所接收到的用户登录请求中还包含有目标云***的***标识,以表征需要对目标用户登录目标云***进行身份验证。由此,本实施例中的认证服务器能够通过与客户端之间的通信连接接收到客户端发送的用户登录请求,如图9中所示。
步骤106:根据***标识,对验证信息进行验证,以得到验证结果。
其中,验证结果表征目标用户是否通过目标云***的身份验证。
具体的,本实施例中在对验证信息进行验证时,可以通过以下方式实现,如图10中所示:
步骤1001:获得验证信息对应的验证签名信息。
具体的,本实施例中可以通过对验证信息使用签名算法进行加密或编码处理,以得到验证签名信息。
在一种实现方式中,本实施例中可以利用签名算法如加密算法等对验证信息中的用户名和密码进行签名,以得到验证签名信息;
在另一种实现方式中,本实施例中可以利用签名算法对验证信息中的访问秘钥进行签名,以得到验证签名信息。
以上两种实现方式分别对应于这里的两种访问方式:一种为目标用户在页面上通过用户名和密码登录的方式,此时,利用签名算法对用户名和密码进行签名,得到验证签名信息,以便于验证用户身份;另一种为使用程序调用产品服务的方式,此时,将密钥对如AccessKeyID和AccessKeySecret作为程序的输入参数,利用签名算法对密钥对进行签名,得到验证签名信息,以便于验证用户身份。
步骤1002:将***标识对应的标准签名信息与验证签名信息进行比对,以得到验证结果。
例如,本实施例中可以先在认证服务器中预先存储有各个云***的标准签名信息的签名库中获得目标云***的标准签名信息,再将目标云***的标准签名信息与利用签名算法对验证信息进行签名所得到的验证签名信息进行比对,以得到验证结果。
其中,在***标识对应的标准签名信息与验证签名信息相一致的情况下,表征验证结果表征目标用户通过目标云***的身份验证;在***标识对应的标准签名信息与验证签名信息不一致的情况下,验证结果表征目标用户没有通过目标云***的身份验证。
步骤107:判断验证结果是否表征目标用户通过目标云***的身份验证,在验证结果表征目标用户通过目标云***的身份验证的情况下,执行步骤108。
具体的,本实施例中可以对验证结果中的内容进行判断,例如,在验证结果为1时,验证结果表征目标用户通过目标云***的身份验证,在验证结果为0时,验证结果表征目标用户没有通过目标云***的身份验证。
步骤108:获得目标用户的身份验证标识。
其中,本实施例中可以按照验证标识的生成规则,为目标用户生成身份验证标识,也可以称为访问票据,以表征目标用户通过目标云***的身份验证。
另外,本实施例中认证服务器在对目标用户进行身份验证时,可以为目标用户登录到目标云***提供全局票据、服务票据和全局会话等标识信息,以表征目标用户通过客户端登录目标云***的登录状态,以便于在目标用户通过其他终端如手机等再次登录目标云***时,控制目标用户退出在客户端上对目标云***的登录状态。
参考图11,为本申请实施例二提供的一种多云***的访问权限管理装置的结构示意图,该装置可以配置在能够进行数据处理的认证服务器中,如计算机或服务器等设备,需要说明的是,认证服务器对应于多个云***,如图2中所示,每个云***为部署在云端的电子设备所实现,在每个云***中均包含有多个被访问对象,如可以被访问的数据资源或者功能组件等对象。本实施例中的技术方案主要用于实现对用户访问云***中的被访问对象的权限控制,从而提高权限管理的灵活性。
具体的,本实施例中的装置可以包括以下单元:
请求接收单元1101,用于接收客户端发送的对象访问请求,所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识,所述目标对象为所述多个云***中的目标云***内的被访问对象;
策略获得单元1102,用于在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,所述权限策略集合中包含有多条权限策略信息,每条所述权限策略信息对应于一个用户以及一个被访问对象;
结果获得单元1103,用于根据所述目标权限策略,获得鉴权结果,所述鉴权结果表征所述目标用户是否具有对所述目标云***内的所述目标对象进行访问的权限。
由上述方案可知,本申请实施例二提供的一种多云***的访问权限控制装置中,在接收到客户端发送的对象访问请求之后,可以在权限策略集合中获得到与对象访问请求相匹配的目标权限策略,进而就可以得到表征对象访问请求中的目标用户是否能够对目标云***中的目标对象进行访问的鉴权结果。可见,本实施例中通过对多个云***的访问权限粒度细分到每个云***中的被访问对象,就可以在用户通过客户端对云***进行访问时,实现对用户访问云***中的被访问对象的权限控制,从而提高权限管理的灵活性。
在一种实现方式中,策略获得单元1102具体用于:在权限策略集合中,筛选与所述用户标识和/或所述用户标识对应的用户组标识相匹配的初始策略信息;所述用户组标识为所述目标用户所属的目标用户组的标识;所述目标用户组中还包含有一个或多个其他用户;在所述初始策略信息中,筛选出与所述对象标识相匹配的目标权限策略。
可选的,策略获得单元1102在权限策略集合中,筛选与所述用户标识和/或所述用户标识对应的用户组标识相匹配的初始策略信息时,具体用于:在权限策略集合中,筛选与所述用户标识相匹配的第一策略信息;在所述权限策略集合中,筛选与所述用户组标识相匹配的第二策略信息,所述第一策略信息和/或所述第二策略信息组成初始策略信息。
在一种实现方式中,结果获得单元1103还用于:将所述鉴权结果传输给所述目标云***。
在一种实现方式中,所述对象访问请求中还包含所述目标用户的身份验证标识;其中,所述身份验证标识在所述目标用户登录到所述目标云***时生成,所述身份验证标识表征所述目标用户成功登录所述目标。
在一种实现方式中,本实施例中的装置还可以包括以下单元,如图12中所示:
身份验证单元1104,用于在请求接收单元1101接收所述客户端发送的用户登录请求之后,所述用户登录请求至少包含所述目标用户的验证信息和所述目标云***的***标识;根据所述***标识,对所述验证信息进行验证,以得到验证结果,所述验证结果表征所述目标用户是否通过所述目标云***的身份验证;在所述验证结果表征所述目标用户通过所述目标云***的身份验证的情况下,获得所述目标用户的身份验证标识。
在一种实现方式中,身份验证单元1104在根据所述***标识,对所述验证信息进行验证,以得到验证结果时,具体用于:获得所述验证信息对应的验证签名信息;例如,利用签名算法,对所述验证信息中的用户名和密码进行签名,以得到验证签名信息;或者,利用签名算法,对所述验证信息中的访问秘钥进行签名,以得到验证签名信息;之后,将所述***标识对应的标准签名信息与所述验证签名信息进行比对,以得到验证结果。
需要说明的是,本实施例中各单元的具体实现可以参考前文中的相应内容,此处不再详述。
参考图13,为本申请实施例三提供的一种认证服务器的结构示意图,该认证服务器可以对应于多个云***,如图2中所示,每个云***为部署在云端的电子设备所实现,在每个云***中均包含有多个被访问对象,如可以被访问的数据资源或者功能组件等对象。本实施例中的技术方案主要用于实现对用户访问云***中的被访问对象的权限控制,从而提高权限管理的灵活性。
具体的,本实施例中的认证服务器可以包括以下结构:
传输模块1301,用于接收客户端发送的对象访问请求,所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识,所述目标对象为所述多个云***中的目标云***内的被访问对象;
处理器1302,用于在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,所述权限策略集合中包含有多条权限策略信息,每条所述权限策略信息对应于一个用户以及一个被访问对象;根据所述目标权限策略,获得鉴权结果,所述鉴权结果表征所述目标用户是否具有对所述目标云***内的所述目标对象进行访问的权限。
当然,本实施例中的认证服务器中还可以包含有存储器,用于存储应用程序和应用程序运行所产生的数据,在处理器1302执行存储器所存储的应用程序时,可以实现处理器1302的以上功能。
由上述方案可知,本申请实施例三提供的一种认证服务器中,在接收到客户端发送的对象访问请求之后,可以在权限策略集合中获得到与对象访问请求相匹配的目标权限策略,进而就可以得到表征对象访问请求中的目标用户是否能够对目标云***中的目标对象进行访问的鉴权结果。可见,本实施例中通过对多个云***的访问权限粒度细分到每个云***中的被访问对象,就可以在用户通过客户端对云***进行访问时,实现对用户访问云***中的被访问对象的权限控制,从而提高权限管理的灵活性。
本申请实施例还提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现上述任一实施例所述的多云***的访问权限控制方法。
本申请实施例还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一实施例所述的多云***的访问权限控制方法。
以金融行业在云端配置的多个云***的用户与权限管理为例,对本申请中的技术方案进行举例说明:
本申请的发明人在多云生态下对用户的身份认证以及权限进行管理时发现,目前有多种不同的实现方案,但均有一定的缺陷,如下:
在一种实现方案中,不同应用***分别维护着一套用户身份认证***,这对于管理不同***的管理员来说,需要分别录入自己的用户名和密码进行登录,授权,操作等,使用和管理及其不方便,后期形成单点登录的解决方案,认证过程由***自动完成。以基于cookie的单点登录为例,其主要原理是将用户名和密码加密之后存储在cookie中,之后用户访问网站过程中校验用户目前登录态,若校验不通过则在cookie中取出用户名和密码进行登录,从用户角度来看,认为只进行了一次输入用户名和密码的登录操作,实际上已经经过多次传送用户名和密码,增加了被盗风险,且该统一登录方案不能跨域访问,每一个***都有一套登录认证体系,增加了代码复杂性,局限性较大。
而对于基于CAS的统一认证中心登录方式,是单独部署一个独立的认证中心,用来提供认证服务,但是由于本身权限控制的复杂度,单独的CAS认证无法满足权限粒度的细分。
基于以上缺陷,本申请的发明人为了解决企业在多云生态(多云***的场景)下对用户的身份认证、权限管理的统一管理的问题,提供一种多云生态下统一用户全生命周期管理的身份访问与控制体系,有效较少权限管控的成本,为多云生态提供更加灵活便捷的控制台访问方式。例如,可以基于统一认证中心CAS(Central Authentication Server)的统一认证体系,将用户全生命周期的管理与用户权限管理单独作为一套认证***,实现多云生态下使用同一用户与相同权限登录操作云平台。
具体设计方案如下:
本申请中搭建单独的一套统一认证中心,即前文中的认证服务器,多云生态下,各云管理体系不再管理单独的用户身份访问与权限控制模块,通过单独的统一认证中心,单独管理用户新建、授权、登录、鉴权以及删除等全生命周期的账号管理,并能对资源和操作提供安全的访问方式。访问管理主要通过用户、用户组绑定授权策略的方式实现,访问密钥由用户名和密码组成,或者由AccessKeyID和AccessKeySecret组成,用于云服务API请求的身份认证。用户在发生功能或者资源访问时,首先认证身份,然后是访问权限验证,以上两步通过后才能访问资源,否则访问会被拒绝。
首先,多云形态下统一用户生命周期管理的单点登录设计:
一、统一身份访问与权限控制体系数据库设计:
如图14中所示,本申请所提出的统一身份认证方案中,用专属的用户信息数据库来存储用户信息,包括用户名,密码,手机号,邮箱以及所属用户组,用户对应的访问密钥等信息。基于CAS的原理,CAS Server是统一身份认证中心(即认证服务器),用户信息存储在数据库DB(database)中,在用户认证时通过查询DB鉴权验证。CAS Client部署在客户端的应用***中(即客户端),设置一个URL将用户身份认证请求重定向到CAS Server,从而实现登录、验证和注销的操作。
二、统一身份访问与权限控制体系方案设计:
当用户首次通过域名登录***时,先将网页重定向到统一身份认证服务器,进行首次登录,根据用户输入的用户名、口令等用户信息凭证进行身份验证,如果验证通过,则生成一个访问认证证据,即前文中的身份验证标识,当用户访问该云***下其他资源或功能时,将会携带该访问票据提交CAS统一身份认证服务器后进行验证,此时管理员打开该***时便不再需要再次提交登录信息。
为了实现单点登录功能,CAS提供了全局票据TGT(ticket granting ticket)、服务票据ST(service ticket)和全局会话(ticket granting cookies)。基于CAS单点登录的统一身份认证方案的工作流程如图14中所示:
具体描述:
1、用户以Web方式访问云***001;
2、***001发现用户尚未进行身份认证,将页面请求重定向到CAS Server;
3、用户输入相关认证信息并验证通过;
4、认证通过后认证中心为用户带着相关认证跳转到相应的云***001进行登录;
5、认证通过后认证中心为用户带着相关认证跳转到相应的云***002进行登录(或);
6、认证通过后认证中心为用户带着相关认证跳转到相应的云***004进行登录(或);到不同的云***,如云***001;
7、云***返回客户端用户登录云***的信息。
其次,多云形态下统一用户生命周期管理的权限管理控制:
用户在进行统一单点登录后,由于本身权限控制粒度不够细致,在登录平台后可操作的功能与资源需要进一步认证。如图15中所示,当用户通过浏览器点击云平台上的某一资源或者某一接口级别的功能时,浏览器会带着该用户信息与统一认证中心的权限控制模块进行校验,若身份校验通过,用户可以操作平台对应的功能和资源,若鉴权失败,则返回无权限操作,联系管理员授权的提示信息。
一、统一身份访问与权限控制体系数据库设计:
前文提到本申请提出的统一身份认证方案中,用专属的用户信息数据库来存储用户信息。此外,为对用户权限进行进一步的管理,在数据库设计上单独用来存放平台的策略数据。权限控制方案基于IAM基础上实现,策略是组成该方案的关键要素:基于用户与用户组绑定策略,实现鉴权,确认用户是否有操作平台某一功能或资源的权限。鉴权流程如图15所示。
二、统一身份访问与权限控制体系方案设计
IAM权限管理体系是一种更精细的访问控制,达到多用户不同角色管理整个云平台的目的。当用户已经登录***后,在平台操作某一资源时,浏览器会将该操作向统一认证中心鉴权。用户在发起访问请求时,***根据用户被授权的访问策略中的action进行鉴权判断,检查规则如图15所示:
1、用户发起访问请求;
2、***将请求重定向到CAS Server;
3、***在被授予的访问权限中,优先寻找基于IAM项目授权的权限,即在权限策略集合中筛选相匹配的权限策略信息action,在权限中寻找请求对应的action;
4、如果找到匹配的Allow或者Deny的action,云***001进行访问控制,并返回请求的鉴权决定,Allow或者Deny,鉴权结束;
5、如果找到匹配的Allow或者Deny的action,云***002进行访问控制,并返回请求的鉴权决定,Allow或者Deny,鉴权结束;
6、如果找到匹配的Allow或者Deny的action,云***004进行访问控制,并返回请求的鉴权决定,Allow或者Deny,鉴权结束;
7、云***向用户返回请求对应的内容,如资源或功能等。
以下参考图16,对鉴权结果的获取过程进行说明:
首先,在获得到访问请求之后,查找有没有与访问请求对应的IAM权限策略信息,如果有,那么直接可以得到鉴权结果,Allow或者Deny,鉴权结束;
如果没有与访问请求对应的IAM权限策略信息,那么判断用户是否被加入到用户组,如果有,查找有没有与用户组对应的IAM权限策略信息,如果有直接可以得到鉴权结果,Allow或者Deny,鉴权结束;
而如果该用户没有被加入到用户组或者没有与用户所加入的用户组对应的IAM权限策略信息,那么也得到鉴权结果,即Deny,鉴权结束。
综上,多云模式下企业多采取不同云下分别使用一套用户与权限控制体系存在很大缺陷,有鉴于此,本申请中通过设置单独的一套用户全生命周期管理的身份访问与权限控制体系,来解决多云生态下多种身份认证,单独权限控制的现状,从而降低用户注册,登录,权限控制的管理成本。而且统一身份访问与权限控制体系同时能够减少***冗余,方便各***管理员管理自己的产品,如CVM管理员在不同朵云下拥有相同的管理权限。相较于传统的用户模式,该模式更适应于现企业中面临的实际痛点,能够为企业提升管理效率。
可见,本申请中的技术方案可以有效解决多云部署形态下平台用户的管理。从用户的角度来讲,同一用户(云平台上的产品管理员角色)只需通过一套认证体系即可方便管理自己所运维的产品;对于平台管理端来讲,独立的用户认证体系,摆脱了平台端管理的复杂架构与冗余,各个平台不再需要单独维护一套管理用户的模块,能够更专注于自身产品的开发;此外,在维护用户信息数据字段,用户全生命周期的管理,用户统一授权,权限管控等方面能够有更好的可操作性,不会造成多个平台多个用户管理模块的不易管理性,或者某个平台用户缺失,造成产品管理员角色缺失,影响产品的管理与运维。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种多云***的访问权限控制方法,其特征在于,应用于认证服务器,所述认证服务器对应于多个云***,所述云***中包含有多个被访问对象,所述方法包括:
接收客户端发送的对象访问请求,所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识,所述目标对象为所述多个云***中的目标云***内的被访问对象;
在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,所述权限策略集合中包含有多条权限策略信息,每条所述权限策略信息对应于一个用户以及一个被访问对象;
根据所述目标权限策略,获得鉴权结果,所述鉴权结果表征所述目标用户是否具有对所述目标云***内的所述目标对象进行访问的权限。
2.根据权利要求1所述的方法,其特征在于,在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,包括:
在权限策略集合中,筛选与所述用户标识和/或所述用户标识对应的用户组标识相匹配的初始策略信息;所述用户组标识为所述目标用户所属的目标用户组的标识;所述目标用户组中还包含有一个或多个其他用户;
在所述初始策略信息中,筛选出与所述对象标识相匹配的目标权限策略。
3.根据权利要求2所述的方法,其特征在于,在权限策略集合中,筛选与所述用户标识和/或所述用户标识对应的用户组标识相匹配的初始策略信息,包括:
在权限策略集合中,筛选与所述用户标识相匹配的第一策略信息;
在所述权限策略集合中,筛选与所述用户组标识相匹配的第二策略信息,所述第一策略信息和/或所述第二策略信息组成初始策略信息。
4.根据权利要求1所述的方法,其特征在于,还包括:
将所述鉴权结果传输给所述目标云***。
5.根据权利要求1所述的方法,其特征在于,所述对象访问请求中还包含所述目标用户的身份验证标识;
其中,所述身份验证标识在所述目标用户登录到所述目标云***时生成,所述身份验证标识表征所述目标用户成功登录所述目标。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收所述客户端发送的用户登录请求,所述用户登录请求至少包含所述目标用户的验证信息和所述目标云***的***标识;
根据所述***标识,对所述验证信息进行验证,以得到验证结果,所述验证结果表征所述目标用户是否通过所述目标云***的身份验证;
在所述验证结果表征所述目标用户通过所述目标云***的身份验证的情况下,获得所述目标用户的身份验证标识。
7.根据权利要求6所述的方法,其特征在于,根据所述***标识,对所述验证信息进行验证,以得到验证结果,包括:
获得所述验证信息对应的验证签名信息;
将所述***标识对应的标准签名信息与所述验证签名信息进行比对,以得到验证结果。
8.根据权利要求7所述的方法,其特征在于,获得所述验证信息对应的验证签名信息,包括:
利用签名算法,对所述验证信息中的用户名和密码进行签名,以得到验证签名信息;
或者,
利用签名算法,对所述验证信息中的访问秘钥进行签名,以得到验证签名信息。
9.一种多云***的访问权限控制装置,其特征在于,应用于认证服务器,所述认证服务器对应于多个云***,所述云***中包含有多个被访问对象,所述装置包括:
请求接收单元,用于接收客户端发送的对象访问请求,所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识,所述目标对象为所述多个云***中的目标云***内的被访问对象;
策略获得单元,用于在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,所述权限策略集合中包含有多条权限策略信息,每条所述权限策略信息对应于一个用户以及一个被访问对象;
结果获得单元,用于根据所述目标权限策略,获得鉴权结果,所述鉴权结果表征所述目标用户是否具有对所述目标云***内的所述目标对象进行访问的权限。
10.一种认证服务器,其特征在于,所述认证服务器对应于多个云***,所述云***中包含有多个被访问对象,所述认证服务器包括:
传输模块,用于接收客户端发送的对象访问请求,所述对象访问请求至少包含目标用户的用户标识和目标对象的对象标识,所述目标对象为所述多个云***中的目标云***内的被访问对象;
处理器,用于在权限策略集合中,获得与所述用户标识和所述对象标识相匹配的目标权限策略,所述权限策略集合中包含有多条权限策略信息,每条所述权限策略信息对应于一个用户以及一个被访问对象;根据所述目标权限策略,获得鉴权结果,所述鉴权结果表征所述目标用户是否具有对所述目标云***内的所述目标对象进行访问的权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011554144.3A CN112580006A (zh) | 2020-12-24 | 2020-12-24 | 一种多云***的访问权限控制方法、装置及认证服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011554144.3A CN112580006A (zh) | 2020-12-24 | 2020-12-24 | 一种多云***的访问权限控制方法、装置及认证服务器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112580006A true CN112580006A (zh) | 2021-03-30 |
Family
ID=75139682
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011554144.3A Pending CN112580006A (zh) | 2020-12-24 | 2020-12-24 | 一种多云***的访问权限控制方法、装置及认证服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112580006A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113420275A (zh) * | 2021-07-19 | 2021-09-21 | 北京百度网讯科技有限公司 | 数据连接处理方法、相关装置及计算机程序产品 |
CN113645249A (zh) * | 2021-08-17 | 2021-11-12 | 杭州时趣信息技术有限公司 | 一种服务器密码管控方法、***及存储介质 |
CN113938477A (zh) * | 2021-09-07 | 2022-01-14 | 西安电子科技大学 | 一种基于区块链的跨域图片传播访问控制方法及*** |
CN114980095A (zh) * | 2021-05-08 | 2022-08-30 | 中移互联网有限公司 | 数据访问方法及数据访问装置 |
WO2023024057A1 (zh) * | 2021-08-27 | 2023-03-02 | 京东方科技集团股份有限公司 | 跨域授权处理方法及跨域调用处理方法 |
WO2023109782A1 (zh) * | 2021-12-17 | 2023-06-22 | 北京字跳网络技术有限公司 | 一种基于云文档组件的数据处理方法及装置 |
TWI820961B (zh) * | 2022-10-11 | 2023-11-01 | 中華電信股份有限公司 | 基於微服務及公雲元件處理情資的電子裝置及方法 |
TWI825525B (zh) * | 2021-12-14 | 2023-12-11 | 中華電信股份有限公司 | 多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101042699A (zh) * | 2007-04-28 | 2007-09-26 | 华中科技大学 | 基于访问控制的安全搜索引擎*** |
CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制***及控制方法 |
CN103701801A (zh) * | 2013-12-26 | 2014-04-02 | 四川九洲电器集团有限责任公司 | 一种资源访问控制方法 |
CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理***及方法 |
CN105978933A (zh) * | 2016-04-25 | 2016-09-28 | 青岛海信电器股份有限公司 | 一种网页请求及响应方法、终端、服务器和*** |
CN108900483A (zh) * | 2018-06-13 | 2018-11-27 | 江苏物联网研究发展中心 | 云存储细粒度访问控制方法、数据上传和数据访问方法 |
CN111241523A (zh) * | 2020-01-08 | 2020-06-05 | 中国联合网络通信集团有限公司 | 认证处理方法、装置、设备和存储介质 |
-
2020
- 2020-12-24 CN CN202011554144.3A patent/CN112580006A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101042699A (zh) * | 2007-04-28 | 2007-09-26 | 华中科技大学 | 基于访问控制的安全搜索引擎*** |
CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制***及控制方法 |
CN103701801A (zh) * | 2013-12-26 | 2014-04-02 | 四川九洲电器集团有限责任公司 | 一种资源访问控制方法 |
CN105577665A (zh) * | 2015-12-24 | 2016-05-11 | 西安电子科技大学 | 一种云环境下的身份和访问控制管理***及方法 |
CN105978933A (zh) * | 2016-04-25 | 2016-09-28 | 青岛海信电器股份有限公司 | 一种网页请求及响应方法、终端、服务器和*** |
CN108900483A (zh) * | 2018-06-13 | 2018-11-27 | 江苏物联网研究发展中心 | 云存储细粒度访问控制方法、数据上传和数据访问方法 |
CN111241523A (zh) * | 2020-01-08 | 2020-06-05 | 中国联合网络通信集团有限公司 | 认证处理方法、装置、设备和存储介质 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114980095A (zh) * | 2021-05-08 | 2022-08-30 | 中移互联网有限公司 | 数据访问方法及数据访问装置 |
CN114980095B (zh) * | 2021-05-08 | 2023-10-27 | 中移互联网有限公司 | 数据访问方法及数据访问装置 |
CN113420275A (zh) * | 2021-07-19 | 2021-09-21 | 北京百度网讯科技有限公司 | 数据连接处理方法、相关装置及计算机程序产品 |
CN113420275B (zh) * | 2021-07-19 | 2023-07-28 | 北京百度网讯科技有限公司 | 数据连接处理方法、相关装置及计算机程序产品 |
CN113645249A (zh) * | 2021-08-17 | 2021-11-12 | 杭州时趣信息技术有限公司 | 一种服务器密码管控方法、***及存储介质 |
WO2023024057A1 (zh) * | 2021-08-27 | 2023-03-02 | 京东方科技集团股份有限公司 | 跨域授权处理方法及跨域调用处理方法 |
CN113938477A (zh) * | 2021-09-07 | 2022-01-14 | 西安电子科技大学 | 一种基于区块链的跨域图片传播访问控制方法及*** |
CN113938477B (zh) * | 2021-09-07 | 2022-10-21 | 西安电子科技大学 | 一种基于区块链的跨域图片传播访问控制方法及*** |
TWI825525B (zh) * | 2021-12-14 | 2023-12-11 | 中華電信股份有限公司 | 多雲整合應用服務之身分識別與存取管控系統、方法及其電腦可讀媒介 |
WO2023109782A1 (zh) * | 2021-12-17 | 2023-06-22 | 北京字跳网络技术有限公司 | 一种基于云文档组件的数据处理方法及装置 |
TWI820961B (zh) * | 2022-10-11 | 2023-11-01 | 中華電信股份有限公司 | 基於微服務及公雲元件處理情資的電子裝置及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112580006A (zh) | 一种多云***的访问权限控制方法、装置及认证服务器 | |
JP6426189B2 (ja) | 生体認証プロトコル標準のためのシステムおよび方法 | |
EP1427160B1 (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
KR102520361B1 (ko) | 서비스로서의 아이덴티티 인프라 스트럭처 | |
US8225384B2 (en) | Authentication system for enhancing network security | |
US8141138B2 (en) | Auditing correlated events using a secure web single sign-on login | |
US8387136B2 (en) | Role-based access control utilizing token profiles | |
US8997196B2 (en) | Flexible end-point compliance and strong authentication for distributed hybrid enterprises | |
EP2238711B1 (en) | Selective authorization based on authentication input attributes | |
US8800003B2 (en) | Trusted device-specific authentication | |
US8387137B2 (en) | Role-based access control utilizing token profiles having predefined roles | |
EP1914658B1 (en) | Identity controlled data center | |
US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
US8209394B2 (en) | Device-specific identity | |
US7987357B2 (en) | Disabling remote logins without passwords | |
US20090235345A1 (en) | Authentication system, authentication server apparatus, user apparatus and application server apparatus | |
US7428748B2 (en) | Method and system for authentication in a business intelligence system | |
US11956228B2 (en) | Method and apparatus for securely managing computer process access to network resources through delegated system credentials | |
US8875244B1 (en) | Method and apparatus for authenticating a user using dynamic client-side storage values | |
Wang et al. | Research on cross-platform unified resource access control management system | |
US20220247578A1 (en) | Attestation of device management within authentication flow | |
KR101066729B1 (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템 | |
Eldridge et al. | Final report for the network authentication investigation and pilot. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |