【技术实现步骤摘要】
本申请涉及云计算,特别是涉及一种访问控制方法、装置、设备、存储介质和程序产品。
技术介绍
1、随着通信技术的发展,出现了mec(multi-access edge computing,移动边缘计算)技术,mec能够将云计算服务部署在距离用户设备更近的位置,从而能够降低网络延迟并提高网络性能。
2、现有mec节点部署于基于nfv(network function virtualization,网络功能虚拟化)+sdn(software defined network,软件定义网络)技术的云平台上,通过vpc(virtualprivate cloud,虚拟私有云)、安全组、acl(access control list,访问控制列表)等手段实现资源隔离与访问控制,但是由于网络中mec节点的数量极大,基于vpc、安全组、acl的互访策略配置复杂,容易出现漏配、错配等情况,如果互访策略配置错误,mec节点间的访问可能存在安全隐患。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种能够实现动态访问控制的访问控制方法、装置、设备、存储介质和程序产品。
2、第一方面,本申请提供了一种访问控制方法,该方法包括:获取目标通信网络中部署的资源池中虚拟资源的访问策略配置信息;获取资源池中虚拟资源的资源信息,资源信息包括虚拟资源的生命周期信息以及虚拟资源上部署的业务的业务连接信息;根据访问策略配置信息和资源信息,确定资源池中的虚拟资源相互访问的第一访问策略;根据第一访问策
3、在其中一个实施例中,第一访问策略包括对资源池中的虚拟资源所发送的控制消息进行转发的策略,根据第一访问策略对资源池中的虚拟资源的相互访问进行控制处理,包括:截取资源池中的第一虚拟资源发送的用于访问虚拟资源池中第二虚拟资源的目标控制消息;根据第一访问策略确定目标控制消息的转发策略;根据目标控制消息的转发策略对目标控制消息进行处理。
4、在其中一个实施例中,根据目标控制消息的转发策略对目标控制消息进行处理,包括:若目标控制消息的转发策略为允许转发,则将目标控制消息转发至软件定义网络sdn控制器,以由sdn控制器根据目标控制消息更新交换机中部署的流表,更新后的流表用于供交换机根据更新后的流表将第一虚拟资源发送的数据转发至第二虚拟资源。
5、在其中一个实施例中,根据目标控制消息的转发策略对目标控制消息进行处理,包括:若目标控制消息的转发策略为不允许转发,则将目标控制消息丢弃处理。
6、在其中一个实施例中,方法还包括:在用户对资源池中的虚拟资源进行访问的过程中,接收用户的身份认证请求;根据身份认证请求对用户进行身份认证,并根据身份认证结果确定用户访问资源池中的虚拟资源的第二访问策略;根据第二访问策略对用户对资源池中的虚拟资源的访问进行控制处理。
7、在其中一个实施例中,根据第二访问策略对用户对资源池中的虚拟资源的访问进行控制处理,包括:根据第二访问策略生成网络编程脚本;根据网络编程脚本更新sdn控制器网络编程脚本,以由sdn控制器更新交换机中部署的流表,更新后的流表用于供交换机根据更新后的流表转发用户和被访问的虚拟资源之间的数据。
8、在其中一个实施例中,方法还包括:获取用户访问过程中的流量信息和日志信息;根据流量信息和日志信息确定用户访问是否出现异常;若用户访问出现异常时,生成用户的动态访问控制策略脚本;根据动态访问控制策略脚本更新sdn控制器网络编程脚本,以由sdn控制器更新交换机中部署的流表,更新后的流表用于供交换机根据更新后的流表对用户的数据转发进行阻断处理。
9、第二方面,本申请还提供了一种访问控制装置,该装置包括:
10、第一获取模块,用于获取目标通信网络中部署的资源池中虚拟资源的访问策略配置信息;
11、第二获取模块,用于获取资源池中虚拟资源的资源信息,资源信息包括虚拟资源的生命周期信息以及虚拟资源上部署的业务的业务连接信息;
12、确定模块,用于根据访问策略配置信息和资源信息,确定资源池中的虚拟资源相互访问的第一访问策略;
13、控制模块,用于根据第一访问策略对资源池中的虚拟资源的相互访问进行控制处理。
14、在其中一个实施例中,第一访问策略包括对资源池中的虚拟资源所发送的控制消息进行转发的策略,该控制模块,具体用于截取资源池中的第一虚拟资源发送的用于访问虚拟资源池中第二虚拟资源的目标控制消息;根据第一访问策略确定目标控制消息的转发策略;根据目标控制消息的转发策略对目标控制消息进行处理。
15、在其中一个实施例中,该控制模块,具体用于若目标控制消息的转发策略为允许转发,则将目标控制消息转发至软件定义网络sdn控制器,以由sdn控制器根据目标控制消息更新交换机中部署的流表,更新后的流表用于供交换机根据更新后的流表将第一虚拟资源发送的数据转发至第二虚拟资源。
16、在其中一个实施例中,该控制模块,具体用于若目标控制消息的转发策略为不允许转发,则将目标控制消息丢弃处理。
17、在其中一个实施例中,该装置还包括身份认证模块,用于在用户对资源池中的虚拟资源进行访问的过程中,接收用户的身份认证请求;根据身份认证请求对用户进行身份认证,并根据身份认证结果确定用户访问资源池中的虚拟资源的第二访问策略;根据第二访问策略对用户对资源池中的虚拟资源的访问进行控制处理。
18、在其中一个实施例中,该身份认证模块,具体用于根据第二访问策略生成网络编程脚本;根据网络编程脚本更新sdn控制器网络编程脚本,以由sdn控制器更新交换机中部署的流表,更新后的流表用于供交换机根据更新后的流表转发用户和被访问的虚拟资源之间的数据。
19、在其中一个实施例中,还包括阻断模块,用于获取用户访问过程中的流量信息和日志信息;根据流量信息和日志信息确定用户访问是否出现异常;若用户访问出现异常时,生成用户的动态访问控制策略脚本;根据动态访问控制策略脚本更新sdn控制器网络编程脚本,以由sdn控制器更新交换机中部署的流表,更新后的流表用于供交换机根据更新后的流表对用户的数据转发进行阻断处理。
20、第三方面,本申请还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面任一所述的访问控制方法。
21、第四方面,本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面任一所述的访问控制方法。
22、第五方面,本申请还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一方面任一所述的访问控制方法。
23、上述访问控制方法、装置、设备、存储介质和程序产品,首先,获取目标通信网络中部署的资源池中虚拟资源的访问策略配置信息,然后,获取资源池中虚拟资源的包括虚本文档来自技高网...
【技术保护点】
1.一种访问控制方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一访问策略包括对所述资源池中的虚拟资源所发送的控制消息进行转发的策略,所述根据所述第一访问策略对所述资源池中的虚拟资源的相互访问进行控制处理,包括:
3.根据权利要求2所述的方法,其特征在于,所述根据所述目标控制消息的转发策略对所述目标控制消息进行处理,包括:
4.根据权利要求2所述的方法,其特征在于,所述根据所述目标控制消息的转发策略对所述目标控制消息进行处理,包括:
5.根据权利要求1至4任一所述的方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述根据所述第二访问策略对所述用户对所述资源池中的虚拟资源的访问进行控制处理,包括:
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
8.一种访问控制装置,其特征在于,所述装置包括:
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
11.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种访问控制方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述第一访问策略包括对所述资源池中的虚拟资源所发送的控制消息进行转发的策略,所述根据所述第一访问策略对所述资源池中的虚拟资源的相互访问进行控制处理,包括:
3.根据权利要求2所述的方法,其特征在于,所述根据所述目标控制消息的转发策略对所述目标控制消息进行处理,包括:
4.根据权利要求2所述的方法,其特征在于,所述根据所述目标控制消息的转发策略对所述目标控制消息进行处理,包括:
5.根据权利要求1至4任一所述的方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述根据所述第二...
【专利技术属性】
技术研发人员:陈鸿杰,陈文华,蒋春元,李澄宇,魏俊,
申请(专利权)人:中国电信股份有限公司技术创新中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。