【技术实现步骤摘要】
本申请涉及计算机,尤其涉及一种基于云计算技术的访问控制方法以及相关装置。
技术介绍
1、云系统可以向消费方提供诸如网络、网络带宽、服务器、存储,或者应用等资源作为服务。在云系统中通常采用访问控制策略保证安全。具体的,通过配置访问控制策略(policy),确保云系统中主体(例如用户或者终端设备)对客体(例如云资源)的操作或者访问遵循访问控制策略,防止资源滥用和数据泄露。
2、访问控制策略主要可分为:自主访问控制(discretionary access control,dac)策略以及强制访问控制(mandatory access control,mac)策略。自主访问控制策略用于向用户授予权限,使得用户可以对资源进行访问或者操作。强制访问控制策略用于设置权限边界。当云系统收到用户的请求后,首先使用强制访问控制策略校验该用户的请求。若校验通过,则该用户需要自主访问控制策略的授权;若校验失败,则云系统直接拒绝该用户的请求。
3、当前常见的基于云计算技术的访问控制方法有:组织服务控制策略(organizations service control policy)、组织标签策略(organizations tagpolicy)、虚拟私有云(virtual private cloud,vpc)终端节点策略(endpoint policy)或者权限边界(permissions boundary)等多种配置方法。以组织服务控制策略为例,组织服务控制策略中需要将访问控制策略与组织、组织单元(organizational
技术实现思路
1、第一方面,本申请实施例提出一种基于云计算技术的访问控制方法,方法应用于云管理平台,云管理平台用于管理基础设施,基础设施包括至少一个云数据中心,每个云数据中心设置有多个服务器,方法包括:云管理平台获取并记录管理员配置的第一访问控制策略,其中,配置第一访问控制策略包括配置至少一个第一请求属性信息,第一请求属性信息包括第一请求属性、第一请求属性的期望值、第一请求属性的匹配方式中的一者或任意组合;云管理平台获取用户触发的第一访问请求,第一访问请求携带有目标请求属性;云管理平台检测目标请求属性与第一请求属性是否匹配,得到第一匹配结果。
2、具体的,请求属性信息指的是访问请求所关联的各类上下文属性信息。
3、本申请实施例中,将请求属性信息与访问控制策略绑定,当访问请求携带的请求属性与访问控制策略绑定的请求属性信息匹配时,使用该访问控制策略校验该访问请求。实现访问控制策略的灵活配置,使得访问控制策略可适应复杂多变的场景。访问控制策略的生效条件设置为请求属性,因此,云管理平台可以便捷的精准索引到需要生效的访问控制策略。提升使用访问控制策略校验访问请求的效率。
4、结合第一方面,在一种可能的实现方式中,云管理平台根据第一匹配结果和自身记录的第一访问控制策略允许或拒绝第一访问请求。
5、具体的,当第一匹配结果指示目标请求属性与第一请求属性匹配,则云管理平台使用第一访问控制策略校验第一访问请求。校验结果指示允许第一访问请求,或者,校验结果指示拒绝第一访问请求。
6、当第一匹配结果指示目标请求属性与第一请求属性不匹配,则云管理平台继续查找与目标请求属性相匹配的其他访问控制策略(目的是找到访问控制策略所包括的请求属性与该目标请求属性相匹配)。当云管理平台无法找到与目标请求属性(第一访问请求)相匹配的访问控制策略,云管理平台拒绝该第一访问请求。
7、结合第一方面,在一种可能的实现方式中,云管理平台获取并记录管理员配置的第二访问控制策略,其中,配置第二访问控制策略包括配置至少一个第二请求属性信息,第二请求属性信息包括第二请求属性、第二请求属性的期望值、第二请求属性的匹配方式中的一者或任意组合;云管理平台检测目标请求属性与第二请求属性是否匹配,得到第二匹配结果。
8、具体的,云管理平台还可以配置多个访问控制策略。在校验用户触发的第一访问请求的过程中,云管理平台还可以检测多个访问控制策略中每个访问控制策略所关联的请求属性是否与目标请求属性匹配。通过上述方法,提升配置访问控制策略的实现灵活性,提升对用户触发的第一访问请求的鉴权可靠性。
9、结合第一方面,在一种可能的实现方式中,云管理平台根据第一匹配结果、自身记录的第一访问控制策略、第二匹配结果、自身记录的第二访问控制策略允许或拒绝第一访问请求。
10、具体的,云管理平台还可以使用目标请求属性相匹配的多个访问控制策略对目标请求属性进行鉴权匹配。然后根据该与目标请求属性相匹配的多个访问控制策略中每个访问控制策略与目标请求属性的匹配结果,确定允许第一访问请求还是拒绝第一访问请求。与目标请求属性相匹配的多个访问控制策略,指的是该访问控制策略包括的请求属性与目标请求属性(第一访问请求携带的请求属性)匹配。例如,与目标请求属性相匹配的多个访问控制策略包括:第一访问控制策略和第二访问控制策略。云管理平台根据第一匹配结果(第一访问控制策略包括的第一请求属性与目标请求属性的匹配结果)、第一访问控制策略、第二匹配结果(第二访问控制策略包括的第二请求属性与目标请求属性的匹配结果),和第二访问控制策略允许或拒绝第一访问请求。通过上述方法,提升配置访问控制策略的灵活性,提升对用户触发的第一访问请求的鉴权可靠性。
11、结合第一方面,在一种可能的实现方式中,云管理平台检测目标请求属性与第一请求属性是否匹配,得到第一匹配结果,具体包括:云管理平台提取第一访问请求中的目标请求属性;云管理平台根据第一请求属性的匹配方式,匹配第一请求属性的期望值与目标请求属性的值,得到第一匹配结果。
12、具体的,云管理平台使用第一访问控制策略对第一访问请求进行鉴权的过程中,云管理平台从第一访问请求中提取目标请求属性。然后根据第一访问控制策略包括的第一请求属性的匹配方式,匹配第一请求属性的期望值和目标请求属性的值,得到第一匹配结果。在配置访问控制策略的过程中,可以通过配置请求属性的匹配方式以及请求属性的期望值,设置对访问请求的匹配规则,提升配置的便利性。
13、结合第一方面,在一种可能的实现方式中,匹配方式包括字符串模糊匹配、字符串完全匹配、地址范围判断、比较数值大小中的一者或任意组合。也就是说,访问控制策略可以同时配置多个匹配方式,在访问控制策略配置有多个匹配方式时,访问请求的目标请求属性需要同时满足访问控制策略配置的多个匹配方式指示的匹配规则,才能使用该访问控制策略校验该访问请求。
14、结合第一方面,在一种可能的实现方式中,第一访问控制策略包括请求属性字段、请求属性的期望值字段、请求属性的值字段本文档来自技高网...
【技术保护点】
1.一种基于云计算技术的访问控制方法,其特征在于,所述方法应用于云管理平台,所述云管理平台用于管理基础设施,所述基础设施包括至少一个云数据中心,每个云数据中心设置有多个服务器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述云管理平台检测所述目标请求属性与所述第一请求属性是否匹配,得到所述第一匹配结果,具体包括:
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述匹配方式包括字符串模糊匹配、字符串完全匹配、地址范围判断、比较数值大小中的一者或任意组合。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述第一访问控制策略包括请求属性字段、请求属性的期望值字段、请求属性的值字段、匹配方式字段、效果字段以及请求类型字段,其中,所述请求属性字段用于标识所述第一访问请求的请求属性,所述请求属性的期望值
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述请求属性包括:用户标识ID、用户身份标识、用户所属组织ID、用户在组织中的位置路径、用户携带的标签、用户身份类型、用户身份是否通过多因素认证、用户的身份识别与访问管理标识IAM ID、用户客户端应用名称、请求访问资源的标识、请求访问资源所属组织ID、请求访问资源在组织中的位置路径、请求访问资源所属账号ID、请求的源互联网协议IP地址、请求的源虚拟私有云VPC、请求经过的VPC终端节点、请求是否经由云服务转发、请求的云服务转发链路、或者,请求是否使用安全套接层SSL发送中的一者或任意组合。
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述云管理平台获取并记录管理员配置的所述第一访问控制策略之前,所述方法还包括:
10.一种云管理平台,其特征在于,所述云管理平台用于管理基础设施,所述基础设施包括至少一个云数据中心,每个云数据中心设置有多个服务器,所述云管理平台包括:
11.根据权利要求10所述的云管理平台,其特征在于,所述云管理平台还包括:
12.根据权利要求10所述的云管理平台,其特征在于,
13.根据权利要求12所述的云管理平台,其特征在于,
14.根据权利要求10至13中任一项所述的云管理平台,其特征在于,
15.根据权利要求10至14中任一项所述的云管理平台,其特征在于,所述匹配方式包括字符串模糊匹配、字符串完全匹配、地址范围判断、比较数值大小中的一者或任意组合。
16.根据权利要求10至15中任一项所述的云管理平台,其特征在于,
17.根据权利要求10至16中任一项所述的云管理平台,其特征在于,所述请求属性包括用户标识ID、用户身份标识、用户所属组织ID、用户在组织中的位置路径、用户携带的标签、用户身份类型、用户身份是否通过多因素认证、用户的身份识别与访问管理标识IAM ID、用户客户端应用名称、请求访问资源的标识、请求访问资源所属组织ID、请求访问资源在组织中的位置路径、请求访问资源所属账号ID、请求的源互联网协议IP地址、请求的源虚拟私有云VPC、请求经过的VPC终端节点、请求是否经由云服务转发、请求的云服务转发链路、或者,请求是否使用安全套接层SSL发送中的一者或任意组合。
18.根据权利要求10至17中任一项所述的云管理平台,其特征在于,所述云管理平台还包括:
19.一种计算设备集群,其特征在于,包括至少一个计算设备,每个计算设备包括处理器和存储器;
20.一种包含指令的计算机程序产品,其特征在于,当所述指令被计算设备集群运行时,使得所述计算设备集群执行如权利要求的1-9所述的方法。
21.一种计算机可读存储介质,其特征在于,包括计算机程序指令,当所述计算机程序指令由计算设备集群执行时,所述计算设备集群执行如权利要求1-9所述的方法。
...【技术特征摘要】
1.一种基于云计算技术的访问控制方法,其特征在于,所述方法应用于云管理平台,所述云管理平台用于管理基础设施,所述基础设施包括至少一个云数据中心,每个云数据中心设置有多个服务器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述云管理平台检测所述目标请求属性与所述第一请求属性是否匹配,得到所述第一匹配结果,具体包括:
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述匹配方式包括字符串模糊匹配、字符串完全匹配、地址范围判断、比较数值大小中的一者或任意组合。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述第一访问控制策略包括请求属性字段、请求属性的期望值字段、请求属性的值字段、匹配方式字段、效果字段以及请求类型字段,其中,所述请求属性字段用于标识所述第一访问请求的请求属性,所述请求属性的期望值字段用于匹配所述请求属性的期望值和所述请求属性的值,所述效果字段用于标识允许或拒绝所述第一访问请求,所述请求类型字段用于标识所述第一访问请求的请求类型。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述请求属性包括:用户标识id、用户身份标识、用户所属组织id、用户在组织中的位置路径、用户携带的标签、用户身份类型、用户身份是否通过多因素认证、用户的身份识别与访问管理标识iam id、用户客户端应用名称、请求访问资源的标识、请求访问资源所属组织id、请求访问资源在组织中的位置路径、请求访问资源所属账号id、请求的源互联网协议ip地址、请求的源虚拟私有云vpc、请求经过的vpc终端节点、请求是否经由云服务转发、请求的云服务转发链路、或者,请求是否使用安全套接层ssl发送中的一者或任意组合。
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述云管理平台获取并记录管理员配置的所述第一访问控制策略之...
【专利技术属性】
技术研发人员:林维博,李俊,敬棠钧,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。