【技术实现步骤摘要】
本专利技术涉及网络安全领域,具体为一种低代码sdn访问控制方法及系统。
技术介绍
1、软件定义网络(software-defined networking,sdn)是一种革命性的网络范式。sdn将网络设备控制平面与数据平面解耦,用户可以基于sdn提供的接口根据网络业务需求编排网络应用程序。如附图1所示,应用平面有各种各样的应用程序;控制平面主要组件包括网络控制器和网络信息库;数据平面由各种网络设备组成(例如交换机、虚拟交换机、路由器、虚拟路由器)。应用程序通过北向接口编排业务逻辑,业务编排逻辑交由网络控制器,网络控制器通过南向接口与数据平面上的设备进行通信。
2、低代码开发是一种以图形用户界面为基础的应用构建方法,让业务开发者通过简单的拖放组件和模型驱动的逻辑来构建应用程序。这种开发平台使得开发者无需深入编码工作,从而减轻了非技术背景开发者的负担,同时也为专业开发人员提供了支持。利用低代码平台,开发者可以快速搭建和推出业务应用,提升了开发效率和生产力,同时降低了成本,增强了灵活性,有助于进一步推动业务发展。
3、低代码sdn的架构如附图2所示,为用户提供了灵活高效的低代码编排能力。sdn控制层根据网络业务需求提供原子能力;原子能力有对应的图形界面接口,用户可以根据自己的业务需求通过拖拽的方式编排业务逻辑;此外,用户可以根据自身业务的发展向sdn控制层注册新的原子能力。sdn控制器也可以根据网络状态向用户直接开放原子能力,便于用户使用现有的开放接口编排业务。
4、虽然低代码sdn面向用户提供了灵
技术实现思路
1、本专利技术提供一种低代码sdn访问控制方法及系统,用于解决在网络用户及业务多样且变化的情况下低代码sdn网络访问管理复杂的问题,从而可以合理分配原子能力使用权限,提高原子能力管理效率、增强网络安全性。
2、本专利技术为实现上述目的所采用的技术方案是:
3、一种低代码sdn访问控制方法,包括以下步骤:
4、1)获取当前用户及业务属性,采集当前用户业务所处条件,根据用户及业务属性与所处条件匹配访问控制策略,构建预授权的原子能力集合;
5、2)判定预授权的原子能力集合是否能够满足网络业务需求,如果不满足,则根据网络状态信息注册原子能力,否则,执行步骤3);
6、3)判断用户业务之间授权的原子能力是否存在冲突,如果存在冲突,则根据用户业务的优先级决定是否激活原子能力,否则,授权原子能力。
7、所述步骤1)包括以下步骤:
8、1.1)将当前用户及业务属性a与访问控制策略所绑定的用户及业务属性b进行对比,如果b包含所有a,并且用户业务所处条件符合访问控制策略中的条件,则匹配成功,读取访问控制策略中预授权的原子能力,若匹配失败,则继续遍历访问控制策略集合;
9、1.2)遍历所有用户及业务属性,最终形成预授权的原子能力集合。
10、所述访问控制策略的格式为:{用户,<业务,优先级>,原子能力,权限,条件},其中:
11、所述用户表示用户注册时提供的属性信息;
12、所述业务表示业务注册时提供的属性信息;
13、所述优先级表示由系统管理员及用户围绕网络业务协商制定的每个业务对应的访问优先级;
14、所述原子能力表示将网络功能拆分为最小、最基本的可编程单元;
15、所述权限表示用户对原子能力进行可用、可读、可修改的权限;
16、所述条件表示用户在进行访问控制过程中的条件是否满足规定。
17、所述步骤2)中,根据网络状态信息注册原子能力具体为:
18、系统管理员发出原子能力注册请求,根据原子能力注册请求自动生成原子能力,并放入原子能力集合中。
19、所述根据原子能力注册请求自动生成原子能力,具体为:
20、(1)系统管理员建立包括网络设备之间的连接方式,设备类型、拓扑描述、设备配置信息、设置协议与标准支持的网络状态信息知识图谱;
21、(2)获取已有的原子能力自动化部署规范;
22、(3)结合自动化部署规范,以及网络状态信息知识图谱中的网络设备之间的连接方式、拓扑描述、设备配置信息,通过提示工程技术,大语言模型对网络状态进行智能化分析,得到可用的设备及端口;
23、(4)基于智能化分析结果,根据系统管理员提供的网络安全策略、性能需求、故障与恢复策略、网络服务需求、监控需求,通过提示工程技术,大语言模型根据网络状态信息知识图谱中的设备类型、设备配置信息、设置协议与标准支持自动生成原子能力。
24、所述步骤3)具体为:
25、当用户业务使用的原子能力同时对应到相同的实体时,则用户业务之间授权的原子能力存在冲突,将访问控制策略中优先级高者,优先授权原子能力。
26、一种低代码sdn访问控制系统,包括:
27、策略管理层,用于生成并存储访问控制策略;
28、控制实施层,用于采集当前用户及业务属性,采集当前用户业务所处条件,并根据访问控制策略进行访问控制。
29、所述策略管理层包括:
30、策略库,用于存储包括注册业务信息、注册用户信息、网络原子能力库的访问控制策略;
31、网络原子能力库,用于存储网络业务所需的原子能力;
32、网络状态信息库,用于存储网络状态信息;
33、网络业务管理模块,用于接收网络业务注册,生成注册业务信息;
34、用户管理模块,用于接收用户信息注册,生成注册用户信息;
35、原子能力动态生成模块,用于根据网络状态信息库、网络原子能力注册请求动态生成原子能力。
36、所述控制实施层包括:
37、用户及业务信息采集模块,用于采集当前用户及业务属性a,采集当前用户业务所处条件;
38、属性匹配模块,用于遍历策略管理层中的策略库,根据采集到的当前用户及业务属性a,以及用户业务所处条件,从策略库中匹配出有关a的访问控制策略px,得到px中预授权的原子能力abilityx,将abilityx与px绑定得到<abilityx,px>,最终得到有关<abilityx,px>的本文档来自技高网...
【技术保护点】
1.一种低代码SDN访问控制方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种低代码SDN访问控制方法,其特征在于,所述步骤1)包括以下步骤:
3.根据权利要求2所述的一种低代码SDN访问控制方法,其特征在于,所述访问控制策略的格式为:{用户,<业务,优先级>,原子能力,权限,条件},其中:所述用户表示用户注册时提供的属性信息;
4.根据权利要求1所述的一种低代码SDN访问控制方法,其特征在于,所述步骤2)中,根据网络状态信息注册原子能力具体为:
5.根据权利要求4所述的一种低代码SDN访问控制方法,其特征在于,所述根据原子能力注册请求自动生成原子能力,具体为:
6.根据权利要求1所述的一种低代码SDN访问控制方法,其特征在于,所述步骤3)具体为:
7.一种低代码SDN访问控制系统,其特征在于,包括:
8.根据权利要求7所述的一种低代码SDN访问控制系统,其特征在于,所述策略管理层包括:
9.根据权利要求7所述的一种低代码SDN访问控制系统,其特征在于,所述控制
10.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,当所述计算机程序被处理器执行时,实现如权利要求1-6任一项所述的一种低代码SDN访问控制方法。
...【技术特征摘要】
1.一种低代码sdn访问控制方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种低代码sdn访问控制方法,其特征在于,所述步骤1)包括以下步骤:
3.根据权利要求2所述的一种低代码sdn访问控制方法,其特征在于,所述访问控制策略的格式为:{用户,<业务,优先级>,原子能力,权限,条件},其中:所述用户表示用户注册时提供的属性信息;
4.根据权利要求1所述的一种低代码sdn访问控制方法,其特征在于,所述步骤2)中,根据网络状态信息注册原子能力具体为:
5.根据权利要求4所述的一种低代码sdn访问控制方法,其特征在于,所述...
【专利技术属性】
技术研发人员:薛涛,张海宾,王梓玙,张莹,李静媛,
申请(专利权)人:西安电子科技大学杭州研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。