访问控制方法、电子设备及存储介质转让专利
申请号 : CN202011092569.7
文献号 : CN112243003B
文献日 : 2023-04-11
发明人 : 王犇 , 徐佳棋 , 梁露文 , 廖德甫
申请人 : 中移(杭州)信息技术有限公司 , 中国移动通信集团有限公司
摘要 :
本发明实施例涉及通信领域,公开了一种访问控制方法、电子设备及存储介质。访问控制方法包括:获取第二区域信息;第二区域信息包括:第二区域内的各管理节点、访问第二区域内的各管理节点的各用户的信息;生成各用户的访问控制策略;向第二区域内的各管理节点发布访问控制策略,供第二区域内的各管理节点根据在各用户的访问控制策略中查询到的与发起访问请求的用户对应的访问控制策略,进行访问控制。本发明实施例访问控制方法能够简化访问控制过程,提高访问控制效率。
权利要求 :
1.一种访问控制方法,其特征在于,应用于第一区域管理节点,包括:获取第二区域信息;所述第二区域信息包括:第二区域内的各管理节点、访问所述第二区域内的各管理节点的各用户的信息;
生成所述各用户的访问控制策略;
向所述第二区域内的各管理节点发布所述访问控制策略,供所述第二区域内的各管理节点根据在所述各用户的访问控制策略中查询到的与发起访问请求的用户对应的访问控制策略,进行访问控制;
其中,所述第一区域和所述第二区域内都包含边缘计算中的边缘端集群;
所述第一区域是权威区,所述第二区域是非权威区。
2.根据权利要求1所述的访问控制方法,其特征在于,所述生成所述各用户的访问控制策略后,还包括:若所述访问控制策略需要更新,则在更新所述访问控制策略后通知所述第二区域内的各管理节点,供所述第二区域内的各管理节点获取更新后的所述访问控制策略。
3.根据权利要求2所述的访问控制方法,其特征在于,在所述更新所述访问控制策略后,还包括:若接收到用于同步访问控制策略的策略同步请求,则检测所述策略同步请求中是否携带同步访问控制令牌;其中,所述同步访问控制令牌由所述第一区域管理节点生成并发送给所述第二区域内的各管理节点;
若确定携带所述同步访问控制令牌,则将更新后的所述访问控制策略反馈给发送所述策略同步请求的管理节点。
4.根据权利要求3所述的访问控制方法,其特征在于,所述同步访问控制令牌通过以下方式生成:接收用于生成同步访问控制令牌的令牌生成请求;
检测所述令牌生成请求中是否携带管理员令牌,若携带所述管理员令牌则生成所述同步访问控制令牌;
其中,所述管理员令牌由所述第一区域管理节点生成并发送给对所述第一区域管理节点具备管理权限的用户端。
5.一种访问控制方法,其特征在于,应用于第二区域管理节点,包括:接收用户的访问请求;
根据预先从第一区域管理节点接收到的各用户的访问控制策略,查询与发起所述访问请求的所述用户对应的访问控制策略;
根据所述查询到的访问控制策略,对所述用户进行访问控制;
其中,所述第一区域和所述第二区域内都包含边缘计算中的边缘端集群;
所述第一区域是权威区,所述第二区域是非权威区。
6.根据权利要求5所述的访问控制方法,其特征在于,在所述根据预先从第一区域管理节点接收到的各用户的访问控制策略,查询与发起所述访问请求的所述用户对应的访问控制策略前,还包括:检测所述访问请求是否携带用户访问令牌;
若携带所述用户访问令牌,则再执行所述根据预先从第一区域管理节点接收到的各用户的访问控制策略,查询与发起所述访问请求的所述用户对应的访问控制策略;
其中,所述用户访问令牌由所述第二区域管理节点生成并发送给用户端。
7.根据权利要求6所述的访问控制方法,其特征在于,所述用户访问令牌通过以下方式生成:接收用于生成用户访问令牌的令牌生成请求;
检测所述令牌生成请求中是否携带管理员令牌,若携带所述管理员令牌,则根据所述从第一区域管理节点接收到的各用户的访问控制策略,生成与各用户的用户访问令牌,所述用户访问令牌与所述访问控制策略一一对应;其中,所述管理员令牌由所述第二区域管理节点生成并发送给对所述第二区域管理节点具备管理权限的用户端;
所述查询与发起所述访问请求的所述用户对应的访问控制策略,包括:根据所述访问请求中携带的用户访问令牌,查询与所述携带的用户访问令牌对应的访问控制策略,并将查询到的所述对应的访问控制策略,作为所述用户对应的访问控制策略。
8.根据权利要求5至7中任一项所述的访问控制方法,其特征在于,还包括:若需要对各用户的访问控制策略进行更新,则向所述第一区域管理节点发送用于同步访问控制策略的策略同步请求,所述策略同步请求携带同步访问控制令牌;其中,所述同步访问控制令牌由所述第一区域管理节点生成并发送给所述第二区域管理节点;
接收所述第一区域管理节点反馈的更新后的所述访问控制策略。
9.一种电子设备,其特征在于,包括:
至少一个处理器;
与所述至少一个处理器通信连接的存储器;所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至4中任一项所述的访问控制方法;或者,执行如权利要求5至8中任一项所述的访问控制方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的访问控制方法;或者,实现如权利要求5至8中任一所述的访问控制方法。
说明书 :
访问控制方法、电子设备及存储介质
技术领域
[0001] 本发明实施例涉及通信领域,特别涉及一种访问控制方法、电子设备及存储介质。
背景技术
[0002] 边缘计算是指在靠近物或数据源头的一侧,采用网络、计算、存储、应用核心能力为一体的开放平台,就近提供计算资源。边缘集群数目多,分布分散,这些特点导致处于边缘端的集群设备易于被攻击,资源难以管理。
[0003] 相关的边缘计算访问控制方法使用秘钥进行访问控制,需要服务端和客户端多次发送请求协商出秘钥对,使用时先进行秘钥配对,匹配成功后服务端为客户端处理访问请求,其中,客户端的访问请求必须在客户端被允许的访问范围内,当需要对客户端的访问范围和操作权限进行修改时,必须停止服务端对客户端访问控制,对客户端的访问范围进行修改后,再对客户端进行访问控制。
[0004] 因此,相关的边缘计算访问控制方法存在以下问题:为客户端提供请求服务前需要多次协商得到秘钥对;修改用户的访问范围时,必须停止服务端对客户端的访问控制,使得边缘计算访问控制过程复杂,访问控制效率低。
发明内容
[0005] 本发明实施方式的目的在于提供一种访问控制方法、电子设备及存储介质,使得简化访问控制过程,提高访问控制效率。
[0006] 为解决上述技术问题,本发明的实施方式提供了一种访问控制方法,应用于第一区域管理节点,包括以下步骤:获取第二区域信息;第二区域信息包括:第二区域内的各管理节点、访问第二区域内的各管理节点的各用户的信息;生成各用户的访问控制策略;向第二区域内的各管理节点发布访问控制策略,供第二区域内的各管理节点根据在各用户的访问控制策略中查询到的与发起访问请求的用户对应的访问控制策略,进行访问控制。
[0007] 本发明的实施方式还提供了一种访问控制方法,应用于第二区域管理节点,包括:接收用户的访问请求;根据预先从第一区域管理节点接收到的各用户的访问控制策略,查询与发起访问请求的用户对应的访问控制策略;根据查询到的访问控制策略,对用户进行访问控制。
[0008] 本发明的实施方式还提供了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行上述的应用于第一区域管理节点的访问控制方法,或者,能够执行上述的应用于第二区域管理节点的访问控制方法。
[0009] 本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时实现上述的应用于第一区域管理节点的访问控制方法,或者,能够执行上述的应用于第二区域管理节点的访问控制方法。
[0010] 本发明实施方式相对于相关技术而言,通过利用第一区域管理节点获取包括第二区域内的各管理节点、访问第二区域内的各管理节点的各用户的信息,生成各用户的访问控制策略,向第二区域内的各管理节点发布访问控制策略,供第二区域内的各管理节点根据发起访问请求的用户对应的访问控制策略进行访问控制,利用第二区域管理节点通过接收用户的请问请求,根据查询到的访问控制策略对用户进行访问控制,由于用户的访问控制策略在第一区域管理节点生成,向第二区域内的各管理节点发布,由第二区域内的各管理节点根据从第一区域管理节点接收的访问策略对用户进行访问控制,用户端与提供服务的第一区域管理节点、第二区域管理节点不需要经过多次协商;在第一区域管理节点生成、修改访问控制策略的时间内,第二区域内的管理节点依然可以对用户进行访问控制;因此,本申请的访问控制方法可以简化访问控制过程,提高访问控制效率。
[0011] 另外,生成各用户的访问控制策略后,还包括:若访问控制策略需要更新,则在更新访问控制策略后通知第二区域内的各管理节点,供第二区域内的各管理节点获取更新后的访问控制策略。本实施例中,若访问控制策略需要更新,在更新访问控制策略后通知第二区域内的各管理节点,获取更新后的访问控制策略,由于第一区域管理节点在更新访问控制策略后通知第二区域管理节点获取更新后的访问控制策略,第二区域管理节点可以在收到通知后再获取更新的访问控制策略,避免第二区域在更新访问控制策略前就尝试获取更新的访问控制策略从而造成第二区域管理节点的时间资源浪费,因此,可以提高访问控制效率。
[0012] 另外,在更新访问控制策略后,还包括:若接收到用于同步访问控制策略的策略同步请求,则检测策略同步请求中是否携带同步访问控制令牌;其中,同步访问控制令牌由第一区域管理节点生成并发送给第二区域内的各管理节点;若确定携带同步访问控制令牌,则将更新后的访问控制策略反馈给发送策略同步请求的管理节点。本实施例中,若接收到用于同步访问控制策略的策略同步请求,检测策略同步请求中是否携带同步访问控制令牌,若确定携带同步访问控制令牌,将更新后的访问控制策略发送给发送策略同步请求的管理节点,由于同步访问控制令牌由第一区域管理节点生成并发送给第二区域内的各管理节点,第一区域管理节点可以根据策略同步请求中携带的同步访问控制令牌确认发送同步请求的是第二区域管理节点,避免将访问控制策略发送给其他节点,因此,可以提高访问控制的安全性。
[0013] 另外,同步访问控制令牌通过以下方式生成:接收用于生成同步访问控制令牌的令牌生成请求;检测令牌生成请求中是否携带管理员令牌,若携带管理员令牌则生成同步访问控制令牌;其中,管理员令牌由第一区域管理节点生成并发送给对第一区域管理节点具备管理权限的用户端。本实施例中,管理员令牌由第一区域管理节点生成并发送给对第一区域管理节点具备管理权限的用户端,使得管理员在令牌生成请求中携带管理员令牌,生成同步访问控制令牌,第一区域管理节点通过管理员令牌确认管理员身份后,生成同步访问控制令牌,发送给第二区域管理节点,可以提高访问控制的安全性。
[0014] 另外,在根据预先从第一区域管理节点接收到的各用户的访问控制策略,查询与发起访问请求的用户对应的访问控制策略前,还包括:检测访问请求是否携带用户访问令牌;若携带用户访问令牌,则再执行根据预先从第一区域管理节点接收到的各用户的访问控制策略,查询与发起访问请求的用户对应的访问控制策略;其中,用户访问令牌由第二区域管理节点生成并发送给用户端。本实施例中,访问令牌由第二区域管理节点生成并发送给用户端,第二区域管理节点在查询发起访问请求的用户对应的访问控制策略前检测用户拥有用户访问令牌,确认用户携带用户访问令牌后才查询用户对应的访问控制策略,即第二区域管理节点只对携带了用户访问令牌的用户进行访问控制,而不是对所有发送请求的用户都进行访问控制,其中,用户访问令牌由第二区域管理节点生成,因此,拥有用户访问令牌的用户相当于获得了第二区域管理节点的认证,可以提高访问控制的安全性。
[0015] 另外,用户访问令牌通过以下方式生成:接收用于生成用户访问令牌的令牌生成请求;检测令牌生成请求中是否携带管理员令牌,若携带管理员令牌,则根据从第一区域管理节点接收到的各用户的访问控制策略,生成与各用户的用户访问令牌,用户访问令牌与访问控制策略一一对应;其中,管理员令牌由第二区域管理节点生成并发送给对第二区域管理节点具备管理权限的用户端;查询与发起访问请求的用户对应的访问控制策略,包括:根据访问请求中携带的用户访问令牌,查询与携带的用户访问令牌对应的访问控制策略,并将查询到的对应的访问控制策略,作为用户对应的访问控制策略。本实施例中,由于用户访问令牌与访问控制策略一一对应,因此,第二区域管理节点通过检测访问请求中是否携带用户访问令牌就可以快速筛选掉没有访问控制策略对应的用户,提高访问控制效率;由于用户访问令牌需要由管理员向第二区域管理节点发送携带管理员令牌的令牌生成请求,第二区域管理节点通过管理员令牌确认管理员身份后,生成用户访问控制令牌,发送给用户端,可以提高访问控制的安全性。
附图说明
[0016] 一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
[0017] 图1是根据本发明第一实施方式提供的访问控制方法流程图;
[0018] 图2是根据本发明第一实施方式提供的访问控制系统的结构示意图;
[0019] 图3是根据本发明第二实施方式提供的访问控制方法流程图;
[0020] 图4是根据本发明第三实施方式提供的访问控制方法流程图;
[0021] 图5是根据本发明第四实施方式提供的访问控制方法流程图;
[0022] 图6是根据本发明第五实施方式提供的访问控制电子设备示意图。
具体实施方式
[0023] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
[0024] 本发明的第一实施方式涉及一种访问控制方法,应用于第一区域管理节点,具体流程如图1所示。
[0025] 步骤101,获取第二区域信息;第二区域信息包括:第二区域内的各管理节点、访问第二区域内的各管理节点的各用户的信息;
[0026] 步骤102,生成各用户的访问控制策略;
[0027] 步骤103,向第二区域内的各管理节点发布访问控制策略,供第二区域内的各管理节点根据在各用户的访问控制策略中查询到的与发起访问请求的用户对应的访问控制策略,进行访问控制。
[0028] 下面对本实施方式的访问控制方法的实现细节进行具体的说明,以下内容仅为方便理解提供的实现细节,并非实施本方案的必须。
[0029] 本实施方式的访问控制方法可以用于边缘计算中,利用边缘端集群对用户进行访问控制。本实施方式的访问控制方法可以通过构造一个访问控制系统实现,其中,一个访问控制系统可以包括一个第一区域、多个第二区域,由访问控制系统实现本实施方式的访问控制方法。访问控制方法可以实现由边缘端第一区域内的管理节点,生成对用户端进行访问控制需要访问控制资源,如访问控制策略,由边缘端第二区域内的管理节点根据第一区域管理节点生成的访问控制资源,对用户进行访问控制。
[0030] 在步骤101中,第一区域管理节点通过与第二区域管理节点预先建立的连接,获取第二区域管理节点信息。第一区域可以是一个包含一个集群的区域,也可以是一个包含多个集群的区域;第二区域可以是一个包含一个集群的区域,也可以是一个包含多个集群的区域,第二区域可以有多个,每个第二区域中可以包含一个集群,也可以包含多个集群。第一区域可以是权威区,第二区域可以是非权威区,权威区可以向全部或部分非权威区下发访问控制策略,管理非权威区;非权威区接受权威区下发的访问控制策略,接收非权威区的管理。一个集群中包括管理节点、工作节点,其中,管理节点是用于进行访问控制的节点,管理节点可以有一个主管理节点,多个备份管理节点,由主管理节点进行访问控制,备份管理节点对主管理节点进行数据备份及实时监控,当主管理节点出现问题无法工作时,备份管理节点可以代替主管理节点进行工作,使集群维持正常工作;工作节点可以有一个或多个,工作节点用于集群负载分担。集群中的管理节点可以通过raft协议选举出一个主管理节点,其他管理节点作为备份管理节点。若集群中需要加入新的节点,新节点需要使用符合集群的认证和授权方式加入。第一区域内的所有节点和第二区域内的所有节点可以是能够运行多种CPU架构、多种操作系统类型的设备。例如,如图2所示,可以由一个包含单个集群的权威区对两个分别包含单个集群的非权威区进行访问控制。其中,边缘节点组由预先对工作节点划分得到,一个边缘节点组中可以包含一个或多个工作节点。
[0031] 进一步地,为了保证能够选择出主管理节点,管理节点可以设置为奇数个。优选地,为一个集群设置3个管理节点即可适用于大部分场景。
[0032] 操作人员可以通过一个访问控制页面配置访问控制资源,设置用户访问控制参数,第一区域通过获取各用户的访问控制参数,得到各用户的信息。参数中包含用户访问的第二区域管理节点,即,对此用户进行访问控制的第二区域管理节点。第一区域管理节点通过获取用户访问控制参数,获取用户与第二区域管理节点的对应关系,从而获取各第二区域管理节点与各用户的对应关系及各用户的信息。其中,用户访问的第二区域管理节点可以对用户进行访问控制。
[0033] 在步骤102中,第一区域管理节点通过获取操作人员配置访问控制资源时设置的用户访问控制参数,获取用户被指定的可访问范围和可操作权限,以生成访问控制策略。其中,用户被指定的可访问范围包括:用户被指定可访问的命名空间、节点、应用等;用户被指定的在可访问的命名空间、节点、应用中的可操作权限,可操作权限包括:创建、删除、更新、查看、拒绝等。
[0034] 在步骤103中,第一区域管理节点向第二区域管理节点发布访问控制策略可以点对点的发送形式,向各用户访问的第二区域内各管理节点发送访问控制策略,也可以使用一条发布访问控制策略的专用广播信道,第一区域管理节点使用此广播信道以广播形式发布访问控制策略,第二区域管理节点监听此广播信道,接收第一区域管理节点发送的广播消息,从而接收访问控制策略。当有用户向第二区域管理节点发起访问请求,第二区域管理节点在接收的各用户的访问控制策略中,查询与发起访问请求的用户对应的访问控制策略,根据查询到的访问控制策略对用户进行访问控制。其中,第二区域管理节点可以将从第一区域管理节点接收的用户对应的访问控制策略以用户和访问控制策略的对应关系储存在节点内,或节点外的储存区域中;用户和访问控制策略的对应关系可以用列表的形式储存。
[0035] 本实施例中,通过获取包括第二区域内的各管理节点、访问第二区域内的各管理节点的各用户的信息,生成各用户的访问控制策略,向第二区域内的各管理节点发布访问控制策略,供第二区域内的各管理节点根据发起访问请求的用户对应的访问控制策略进行访问控制,由于用户的访问控制策略在第一区域管理节点生成,向第二区域内的各管理节点发布,由第二区域内的各管理节点根据从第一区域管理节点接收的访问策略对用户进行访问控制,用户端与提供服务的第一区域管理节点、第二区域管理节点不需要经过多次协商;在第一区域管理节点生成、修改访问控制策略的时间内,第二区域内的管理节点依然可以对用户进行访问控制;因此,本申请的访问控制方法可以简化访问控制过程,提高访问控制效率。
[0036] 在一个例子中,访问控制方法还包括:在步骤101之前,第一区域管理节点与第二区域管理节点之间通过注册建立连接,不同区域的管理节点之间可以建立跨区域的连接。其中,可以选择将全部管理节点都进行注册连接,如,将全部主管理节点进行注册连接,也可以选择只将部分管理节点进行注册连接。完成注册连接的两个节点可以获取对方的某些信息,例如,将一个第一区域管理节点A与一个第二区域管理节点B进行注册接连后,第一区域管理节点A可以获取第二区域管理节点B的地址,第二区域管理节点B可以获取第一区域管理节点A的地址、第一区域管理节点A获取的访问第二区域管理节点B的用户的信息。其中,访问第二区域管理节点B的用户的信息可以包括:此用户的地址。
[0037] 在一个例子中,访问控制方法还包括:在步骤101之前,第一区域中的节点通过设置权威控制标志,标志节点属于第一区域。当第二区域管理节点与第一区域管理节点进行注册连接时,第二区域管理节点可以根据权威控制标志确认第一区域管理节点的身份。
[0038] 在一个例子中,访问控制方法还包括:在步骤101之前,第一区域中所有节点、第二区域中所有节点通过设置访问控制标志,标志节点进行访问控制。当第一区域管理节点、第二区域管理节点进行注册连接时,若检测到一个第二区域管理节点没有访问控制标志,则第一区域管理节点不会生成访问此管理节点的用户的访问控制策略,生成的其他用户的访问控制策略中的用户可访问范围不包含此第二区域管理节点。
[0039] 在一个例子中,访问控制方法还包括:在步骤102,生成各用户的访问控制策略之后,将生成的用户的访问控制策略储存在一个存储区域中,其中,存储区域可以位于第一区域管理节点内,也可以位于第一区域管理节点外,第一区域管理节点可以对存储的访问控制策略进行新增、删除,修改,查看等操作。
[0040] 在一个例子中,第一区域管理节点对用户的访问控制策略进行更新后,可以立即向第二区域管理节点发送更新的访问控制策略,以便第二区域管理节点及时获取更新的访问控制策略。
[0041] 在一个例子中,第一区域管理节点对用户的访问控制策略进行更新后,可以将更新的访问控制策略暂时储存在某个存储区域中,在预设时间后,将此预设时间内更新的访问控制策略及对应的用户的关系发送给第二区域管理节点,以避免与第二区域管理节点的通信过于频繁从而对第二区域管理节点对用户的访问控制造成影响。
[0042] 在一个例子中,第一区域管理节点对用户的访问控制策略进行更新后,可以将更新的访问控制策略暂时储存在某个存储区域中,当第二区域管理节点向第一区域管理节点发送请求后,将存储区域中储存的更新的访问控制策略及对应的用户的关系发送给第二区域管理节点。
[0043] 在一个例子中,访问控制方法,应用于第一管理节点,还包括:获取第一区域信息;第一区域信息包括:第一区域内的各管理节点、访问第一区域内的各管理节点的各用户的信息;生成各用户的访问控制策略;接收用户的访问请求;根据生成的各用户的访问控制策略,查询与发起访问请求的用户对应的访问控制策略;根据查询到的访问控制策略,对用户进行访问控制。
[0044] 进一步地,访问控制方法还包括:检测访问请求是否携带用户访问令牌;若携带用户访问令牌,则再执行根据生成的各用户的访问控制策略,查询与发起访问请求的用户对应的访问控制策略;其中,用户访问令牌由第一区域管理节点生成并发送给用户端。
[0045] 进一步地,用户访问令牌通过以下方式生成:接收用于生成用户访问令牌的令牌生成请求;检测令牌生成请求中是否携带管理员令牌,若携带管理员令牌,则根据生成的各用户的访问控制策略,生成与各用户的用户访问令牌,用户访问令牌与访问控制策略一一对应;其中,管理员令牌由第一区域管理节点生成并发送给对第一区域管理节点具备管理权限的用户端;查询与发起访问请求的用户对应的访问控制策略,包括:根据访问请求中携带的用户访问令牌,查询与携带的用户访问令牌对应的访问控制策略,并将查询到的对应的访问控制策略,作为用户对应的访问控制策略。
[0046] 上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
[0047] 本发明的第二实施方式涉及一种访问控制方法,应用于第一区域管理节点,第二实施方式与第一实施方式大致相同,主要区别之处在于:在本发明第二实施方式中,第一区域管理节点还可以对已生成的访问控制策略进行更新。
[0048] 本发明第二实施方式的具体流程如图3所示。
[0049] 步骤301,获取第二区域信息;第二区域信息包括:第二区域内的各管理节点、访问第二区域内的各管理节点的各用户的信息;
[0050] 步骤302,生成各用户的访问控制策略;
[0051] 步骤303,向第二区域内的各管理节点发布访问控制策略,供第二区域内的各管理节点根据在各用户的访问控制策略中查询到的与发起访问请求的用户对应的访问控制策略,进行访问控制;
[0052] 步骤304,若访问控制策略需要更新,则在更新访问控制策略后通知第二区域内的各管理节点,供第二区域内的各管理节点获取更新后的访问控制策略;
[0053] 其中,步骤301、步骤302、步骤303与第一实施方式的步骤101、步骤102、步骤103大致相同,不再赘述。
[0054] 在步骤304中,当已有的用户对应的访问控制策略需要调整时,可以通过第一区域生成新的访问控制策略,发送给第二区域管理节点,第二区域管理节点使用用户对应的新的访问控制策略对用户进行访问控制。第一区域管理节点在更新访问控制策略后通知第二区域内的各管理节点,因此,第二区域内的各管理节点接收到更新访问控制策略的通知后,可以在收到通知后的某个时间获取更新的访问控制策略。其中,第一区域管理节点可以只向更新完成的访问控制策略对应的用户所访问的第二区域管理节点发布通知,也可以向所有第二区域内的管理节点都发布通知。
[0055] 本实施例中,若访问控制策略需要更新,在更新访问控制策略后通知第二区域内的各管理节点,获取更新后的访问控制策略,由于第一区域管理节点在更新访问控制策略后通知第二区域管理节点获取更新后的访问控制策略,第二区域管理节点可以在收到通知后再获取更新的访问控制策略,避免第二区域在更新访问控制策略前就尝试获取更新的访问控制策略从而造成第二区域管理节点的时间资源浪费,因此,可以提高访问控制效率。
[0056] 在一个例子中,在步骤303更新访问控制策略后,还包括:若接收到用于同步访问控制策略的策略同步请求,则检测策略同步请求中是否携带同步访问控制令牌;其中,同步访问控制令牌由第一区域管理节点生成并发送给第二区域内的各管理节点;若确定携带同步访问控制令牌,则将更新后的访问控制策略反馈给发送策略同步请求的管理节点。
[0057] 本实施例中,同步访问控制令牌可以是一个标识信息,策略同步请求中有一个标识区域,用于存放同步访问控制令牌。若第一区域管理节点接收到用于同步访问控制策略的策略同步请求,检测策略同步请求中是否携带同步访问控制令牌,若确定携带同步访问控制令牌,将更新后的访问控制策略发送给发送策略同步请求的管理节点,由于同步访问控制令牌由第一区域管理节点生成并发送给第二区域内的各管理节点,第一区域管理节点可以根据策略同步请求中携带的同步访问控制令牌确认发送同步请求的是第二区域管理节点,避免将访问控制策略发送给其他节点,因此,可以提高访问控制的安全性。
[0058] 在一个例子中,同步访问控制令牌通过以下方式生成:接收用于生成同步访问控制令牌的令牌生成请求;检测令牌生成请求中是否携带管理员令牌,若携带管理员令牌则生成同步访问控制令牌;其中,管理员令牌由第一区域管理节点生成并发送给对第一区域管理节点具备管理权限的用户端。生成同步访问控制令牌可以发生在第一区域管理节点获取第二区域信息(步骤301)后的任意步骤前后,本实施例不对此做限定。
[0059] 本实施例中,管理员令牌由第一区域管理节点生成并发送给对第一区域管理节点具备管理权限的用户端,使得管理员在令牌生成请求中携带管理员令牌,生成同步访问控制令牌,第一区域管理节点通过管理员令牌确认管理员身份后,生成同步访问控制令牌,发送给第二区域管理节点,可以提高访问控制的安全性。
[0060] 上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
[0061] 本发明的第三实施方式涉及一种访问控制方法,应用于第二区域管理节点,即,本实施方式的访问控制方法可以用于边缘计算中,在如第一实施方式中介绍的访问控制系统中的非权威区中应用实现。由边缘端第二区域内的管理节点,即访问控制系统中的非权威区内的管理节点,根据接收的边缘第一区域内的管理节点,即访问控制系统中的权威区内的管理节点生成的访问控制策略,对用户进行访问控制。
[0062] 本实施方式的具体流程如图4所示。
[0063] 步骤401,接收用户的访问请求;
[0064] 步骤402,根据预先从第一区域管理节点接收到的各用户的访问控制策略,查询与发起访问请求的用户对应的访问控制策略;
[0065] 步骤403,根据查询到的访问控制策略,对用户进行访问控制。
[0066] 在步骤401中,用户可以是一个普通用户,也可以是被设置为管理员的用户。用户的访问请求可以是对所在的第二区域中的一个节点上的一个应用涉及的参数进行修改,也可以是对其他第二区域中的一个节点上的一个应用的信息进行查看等。若此用户是管理员,还可以对所在的第二区域内各管理节点进行管理,发送管理访问请求。
[0067] 在步骤402中,第二区域管理节点可以将从第一区域管理节点接收的各用户与其对应的访问控制策略储存在节点内或节点外的一个储存区域,当接收用户的访问请求后,第二区域管理节点在储存区域中查询发起访问请求的用户对应的访问控制策略。其中,访问控制策略包括用户被指定的可访问范围、可操作权限。用户被指定的可访问范围包括:用户被指定可访问的命名空间、节点、应用等;用户被指定的在可访问的命名空间、节点、应用中的可操作权限,可操作权限包括:创建、删除、更新、查看、拒绝等。
[0068] 在步骤403中,根据查询到的访问控制策略,可以根据访问控制策略中的用户被指定的可访问范围、可操作权限,判断用户发送的访问请求需要访问的目的地址是否在用户被指定的可访问范围内、执行访问请求需要的操作权限是否在用户被指定的可操作权限内,从而判断此访问请求是否可以执行。若查询到用户有对应的访问控制策略,且访问请求可以执行,第二区域管理节点执行此访问请求,并将执行结果返回给用户;若未查询到用户对应的访问控制策略,或用户拥有对应的访问控制策略但访问请求不可以执行,第二区域管理节点向用户返回访问请求不能执行的通知。
[0069] 本实施例中,通过接收用户的请问请求,根据查询到的访问控制策略对用户进行访问控制,由于查询到的访问控制策略是根据预先从第一区域管理节点接收的各用户的访问控制策略,第二区域管理节点可以对不同用户根据用户对应的访问控制策略,对用户进行访问控制,不需要与用户端进行多次协商,因此,本申请的访问控制方法可以简化访问控制过程,提高访问控制效率。
[0070] 在一个例子中,访问控制方法还包括:若需要对各用户的访问控制策略进行更新,则向第一区域管理节点发送用于同步访问控制策略的策略同步请求,策略同步请求携带同步访问控制令牌;其中,同步访问控制令牌由第一区域管理节点生成并发送给第二区域管理节点;接收第一区域管理节点反馈的更新后的访问控制策略。第二区域管理节点收到同步访问控制令牌后,可以将同步访问控制令牌储存在本节点内的存储区域中。
[0071] 在一个例子中,第二区域管理节点可以是在接收到第一区域管理节点发送的通知后,确认需要对各用户的访问控制策略进行更新。当第二区域管理节点接收第一区域管理节点反馈的更新后的访问控制策略后,还判断更新后的访问控制策略是否与访问本节点的用户相关,若相关,储存更新后的访问控制策略;若不相关,丢弃此更新后的访问控制策略。
[0072] 在一个例子中,访问控制方法还包括:在步骤401,接收用户的访问请求之后,将接收的用户的访问请求储存在一个存储区域中,其中,存储区域可以位于第二区域管理节点内,也可以位于第二区域管理节点外,第二区域管理节点可以对存储的访问控制策略进行删除,修改,查看等操作。
[0073] 不难发现,本实施方式为与第一至第二施方式相对应的方法实施例,本实施方式可与第一至第二实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
[0074] 上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
[0075] 本发明的第四实施方式涉及一种访问控制方法,应用于第二区域管理节点,第四实施方式与第三实施方式大致相同,主要区别之处在于:在本发明第四实施方式中,第二区域管理节点查询发起访问请求的用户对应的访问控制策略前,还检测用户是否携带用户访问令牌。
[0076] 本发明第四实施方式的具体流程如图5所示。
[0077] 步骤501,接收用户的访问请求;
[0078] 步骤502,检测访问请求是否携带用户访问令牌;
[0079] 步骤503,若携带用户访问令牌,则再执行根据预先从第一区域管理节点接收到的各用户的访问控制策略,查询与发起访问请求的用户对应的访问控制策略;其中,用户访问令牌由第二区域管理节点生成并发送给用户端;
[0080] 步骤504,根据查询到的访问控制策略,对用户进行访问控制。
[0081] 其中,步骤501、步骤504与第三实施方式中的步骤301、步骤303大致相同,不再赘述。
[0082] 在步骤502中,用户访问令牌由第二区域管理节点生成,发送给对应的用户端。用户访问令牌可以是一个标识信息,用户发送的访问请求中有一个标识区域,用于存放用户访问令牌。
[0083] 在步骤503中,当第二区域管理节点检测到访问请求携带用户访问令牌,再执行根据预先从第一区域管理节点接收到的各用户的访问控制策略,查询与发起访问请求的用户对应的访问控制策略;其中,用户访问令牌由第二区域管理节点生成并发送给用户端。当第二区域管理节点未检测到访问请求携带用户访问令牌,则第二区域管理节点不执行此用户访问请求,并向用户返回拒绝执行通知。
[0084] 本实施例中,访问令牌由第二区域管理节点生成并发送给用户端,第二区域管理节点在查询发起访问请求的用户对应的访问控制策略前检测用户拥有用户访问令牌,确认用户携带用户访问令牌后才查询用户对应的访问控制策略,即第二区域管理节点只对携带了用户访问令牌的用户进行访问控制,而不是对所有发送请求的用户都进行访问控制,其中,用户访问令牌由第二区域管理节点生成,因此,拥有用户访问令牌的用户相当于获得了第二区域管理节点的认证,可以提高访问控制的安全性。
[0085] 在一个例子中,用户访问令牌通过以下方式生成:
[0086] 接收用于生成用户访问令牌的令牌生成请求;检测令牌生成请求中是否携带管理员令牌,若携带管理员令牌,则根据从第一区域管理节点接收到的各用户的访问控制策略,生成与各用户的用户访问令牌,用户访问令牌与访问控制策略一一对应;其中,管理员令牌由第二区域管理节点生成并发送给对第二区域管理节点具备管理权限的用户端。
[0087] 本实施例中,由于用户访问令牌与访问控制策略一一对应,因此,第二区域管理节点通过检测访问请求中是否携带用户访问令牌就可以快速筛选掉没有访问控制策略对应的用户,提高访问控制效率;由于用户访问令牌需要由管理员向第二区域管理节点发送携带管理员令牌的令牌生成请求,第二区域管理节点通过管理员令牌确认管理员身份后,生成用户访问控制令牌,发送给用户端,可以提高访问控制的安全性。
[0088] 上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
[0089] 本发明第五实施方式涉及一种电子设备,如图6所示,包括:
[0090] 至少一个处理器601;与至少一个处理器通信连接的存储器602;其中,存储器602存储有可被至少一个处理器601执行的指令,指令被至少一个处理器601执行上述的应用于第一区域管理节点的访问控制方法,或者,能够执行上述的应用于第二区域管理节点的访问控制方法。
[0091] 其中,存储器602和处理器601采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器601和存储器602的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器601处理的信息通过天线在无线介质上进行传输,进一步,天线还接收信息并将信息传送给处理器601。
[0092] 处理器601负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器602可以被用于存储处理器在执行操作时所使用的信息。
[0093] 本发明第六实施方式涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
[0094] 即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0095] 本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。