【技术实现步骤摘要】
PEP的配置方法、装置、电子设备和存储介质
本专利技术涉及访问控制方法,特别是一种提高访问和数据安全性的方法。
技术介绍
RBAC(RoleBaseAccessControl)基于角色的访问控制,是被访问资源的粗粒度权限控制模式,拥有同一个角色所获得的权限是相同的。现有静态的RBAC模式已无法满足企业的业务需求,同一个角色下无法区分查看的数据,更无法基于访问者的特征信息进行评估权限与安全,不管在数据和访问上都存在安全的问题。ABAC(AttributeBaseAccessControl)基于属性的访问控制,也称细粒度访问控制,ABAC是ZTNA(ZeroTrustNetwareAccess)零信任网络访问的一部分,是一种针对业务安全提供基于动态策略的控制模式。ABAC越来越受到企业的关注,也得到了市场的认可。ABAC是由PDP、PEP、PAP、PIP几个关键服务模块组成,其中:PDP(PolicyDecisionPoint)策略决策点,其工作原理是决策引擎通过权限数据和策略数据的整合与解析,结合访问信...
【技术保护点】
1.PEP的配置方法,其特征在于:/n在Kong网关内配置PEP模块,配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;其中,/n上述访问请求权限信息的元素是由存储有主体信息数据与客体信息数据并用于生产身份令牌的统一身份系统根据PEP模块的身份令牌验证请求而产生的;/n上述反馈的评估结果是由PDP模块根据决策请求和PDP模块中的第二数据库中的数据而产生的,其中第二数据库中的数据是由第一数据库的数据进行同步而来,所述第一数据库...
【技术特征摘要】
1.PEP的配置方法,其特征在于:
在Kong网关内配置PEP模块,配置所述PEP模块用于根据经由Kong的访问请求从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块,以及接收PDP模块反馈的评估结果并根据该评估结果决定是否提供对相应客体的访问;其中,
上述访问请求权限信息的元素是由存储有主体信息数据与客体信息数据并用于生产身份令牌的统一身份系统根据PEP模块的身份令牌验证请求而产生的;
上述反馈的评估结果是由PDP模块根据决策请求和PDP模块中的第二数据库中的数据而产生的,其中第二数据库中的数据是由第一数据库的数据进行同步而来,所述第一数据库为PAP模块的数据库,用于存储PAP模块从统一身份系统中获得客体信息数据、PAP模块定义好的权限数据和策略数据;
上述PAP模块配置于第一服务端口内,上述PDP模块配置于第二服务器端口内。
2.根据权利要求1所述的PEP的配置方法,其特征在于:所述PEP模块为通过修改Kong.conf配置文件而配置至Kong的运行环境plugins目录中;所述PEP模块为Lua脚本语言。
3.PEP的配置装置,其特征在于:包括
第一配置模块,用于在Kong网关内配置PEP模块,配置所...
【专利技术属性】
技术研发人员:吴良华,谭翔,
申请(专利权)人:上海派拉软件股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。