一种访问控制方法及装置与流程

本发明实施例涉及云资源技术领域，尤其涉及一种访问控制方法及装置。

背景技术：

在云服务场景，特别是公有云场景中，同一个云项目中会出现新上线资源池和旧资源池并存的情况。新上线资源池是指刚刚推出，上线时间较短的资源池；旧资源池是指较早推出，上线时间较长的资源池。新上线资源池通常需要维持数月，作为友好用户测试期。在新上线资源池的友好用户测试期内，所有用户都可以访问旧资源池，但仅允许选择的友好用户看到并访问新上线资源池的资源。从而，可以将暴露出的问题控制在友好用户范围内，避免风险扩大，并根据暴露的问题和友好用户的反馈，对新上线资源池进行整改，同时还可以保障友好用户的使用体验，避免被其他用户的使用所干扰。

实际应用中，身份和访问管理(Identity and Access Management，IAM)服务器通常用于负责，对请求访问同一云项目中的所有新、老资源池的所有用户，做统一注册和身份认证管理。这样将导致非友好用户也可以访问新上线资源池，从而对风险控制以及友好用户的使用造成严重干扰。

现有技术中的一种解决方案为，在新上线资源池控制台边界的防火墙上设置网络协议(Internet Protocol，IP)地址白名单，仅允许友好用户访问新上线资源池，但该种方式对IP地址做了严格限制，友好用户只有通过指定IP地址的终端才能访问新上线资源池，不能通过其它IP地址访问新上线资源池；并且，如果IP地址发生变化，则需要在防火墙上重新进行配置，从而导致用户的使用体验较差。

技术实现要素：

本发明实施例提供一种访问控制方法及装置，能够允许友好用户通过具有任意IP地址的终端访问新上线资源池。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明实施例提供一种访问控制方法，应用于专属IAM模块，一个专属IAM模块对应一个新上线资源池，且保存有与专属IAM模块对应的新上线资源池对应的友好用户组中的用户的账号信息，该方法包括：首先，专属IAM模块接收门户服务器发送的第一账号信息。其中，第一账号信息为请求访问专属IAM模块对应的新上线资源池的已登录用户的账号信息，已登录用户为已登录门户服务器的用户。其次，专属IAM模块根据保存的友好用户组中的用户的账号信息，对第一账号信息进行认证。而后，专属IAM模块向门户服务器发送认证指示消息，认证指示消息用于指示第一账号信息是否认证通过。

由于专属IAM模块是根据“账号信息”对专属IAM模块对应的新上线资源池，所对应的友好用户组中的已登录用户进行身份认证的，而不是根据用户所在终端的“IP地址”进行认证的，因而位于任意地点的友好用户组中的用户，均可以根据账号信息通过任意IP地址的终端访问新上线资源池，而不受终端IP地址的限制，从而提高了用户的使用体验。

在一种可能的设计中，在根据保存的友好用户组中的用户的账号信息，对第一账号信息进行认证之前，方法还包括：专属IAM模块接收全局IAM模块发送的第二账号信息。其中，第二账号信息为与专属IAM模块对应的新上线资源池对应的友好用户组中的用户的账号信息。这种在专属IAM模块中设置友好用户组中的用户的账号信息的方式较为简单便捷。

在一种可能的设计中，当新上线资源池的上线时间大于或者等于预设时间阈值时，该方法还包括：专属IAM模块接收全局IAM模块发送的所有用户的账号信息。从而，专属IAM模块中保存有所有用户的账号信息，可以对请求访问该专属IAM模块对应的新上线资源池的所有已登录用户，进行身份验证。

第二方面，本发明实施例提供一种控制访问方法，应用于全局IAM模块，全局IAM模块保存有所有用户的注册信息，注册信息包括账号信息，该方法包括：全局IAM模块接收门户服务器发送的第一账号信息。其中，第一账号信息为请求访问旧资源池的已登录用户的账号信息。而后，全局IAM模块根据保存的所有用户的注册信息，对第一账号信息进行认证。并且，全局IAM模块分别将所有用户中与每个新上线资源池对应的友好用户组中的用户的账号信息，发送至新上线资源池对应的专属IAM模块中。

因而，全局IAM模块可以对所有请求访问旧资源池的已登录用户的账号信息进行认证。并且，全局IAM模块分别将所有用户中与每个新上线资源池对应的友好用户组中的用户的账号信息，发送至新上线资源池对应的专属IAM模块，可以简单便捷地在专属IAM模块中设置友好用户组中的用户的账号信息。

在一种可能的设计中，该方法还包括：当新上线资源池的上线时间大于或者等于预设时间阈值时，全局IAM模块将所有用户的账号信息发送至新上线资源池对应的专属IAM模块中，从而使得专属IAM模块中可以保存有所有用户的账号信息，因而可以对请求访问该专属IAM模块对应的新上线资源池的所有已登录用户，进行身份验证。

在一种可能的设计中，注册信息还包括密码信息，方法还包括：首先，全局IAM模块接收门户服务器发送的第二账号信息和密码信息。其中，第二账号信息和密码信息为请求登录门户服务器的用户的账号信息和密码信息。其次，全局IAM模块根据保存的所有用户的注册信息，对第二账号信息和密码信息进行认证。而后，全局IAM模块向门户服务器发送认证指示消息，认证指示消息用于指示第二账号信息和密码信息是否认证通过。从而，全局IAM模块可以对请求登录门户服务器的所有用户的身份进行认证。

第三方面，提供一种访问控制方法，应用于门户服务器，该方法包括：首先，门户服务器在用户登录门户服务器后，指示终端向已登录用户显示资源池列表。其次，门户服务器接收终端发送的新上线资源池访问请求，新上线资源池访问请求包括已登录用户的账号信息和待访问新上线资源池标识。而后，门户服务器将已登录用户的账号信息发送给待访问新上线资源池标识对应的专属身份和访问管理IAM模块。之后，门户服务器接收专属IAM模块发送的第一认证指示消息，第一认证指示消息用于指示已登录用户的账号信息是否认证通过。最后，当第一认证指示消息指示认证通过时，允许已登录用户访问待访问新上线资源池。

这样，当已登录用户想要访问新上线资源池时，门户服务器可以将已登录用户的账号信息发送给新上资源池对应的专属IAM模块，以使得专属IAM模块是根据保存的友好用户组中的用户的“账号信息”对已登录用户进行身份认证的，而不是根据用户所在终端的“IP地址”进行认证，因而位于任意地点的友好用户组中的用户，均可以根据账号信息通过任意IP地址的终端访问新上线资源池，而不受终端IP地址的限制，从而提高了用户的使用体验。

在一种可能的设计中，在该方法之前还包括：在方法之前还包括：首先，门户服务器接收终端发送的登录请求消息，登录请求消息包括请求登录门户服务器的用户的账号信息和密码信息。其次，门户服务器将请求登录门户服务器的用户的账号信息和密码信息发送给全局IAM模块。然后，门户服务器接收全局IAM模块发送的第二认证指示消息。其中，第二认证指示消息用于指示请求登录门户服务器的用户的账号信息和密码信息是否认证通过。而后，若第二认证指示消息指示认证通过，则门户服务器允许用户登录。从而，全局IAM模块可以对请求登录门户服务器的所有用户的身份进行认证。

在一种可能的设计中，门户服务器指示终端向已登录用户显示资源池列表包括：当不存在上线时间大于或者等于预设时间阈值的新上线资源池时，门户服务器指示终端在资源池列表中，向已登录用户显示所有旧资源池和对应的友好用户组中的用户包括已登录用户的所有新上线资源池。

这样，友好用户组中的用户可以在终端上看到并点击新上线资源池和旧资源池，从而请求访问新上线资源池和旧资源池。而非友好用户组中的用户仅可以在终端上看到并点击旧资源池，而不会看到新上线资源池，从而无法请求并访问新上线资源池，新上线资源池对应的专属IAM模块也就不会对非友好用户组中的用户的账号信息进行认证，从而减少了专属IAM模块的工作负荷。

在一种可能的设计中，当存在上线时间大于或者等于预设时间阈值的新上线资源池时，门户服务器指示终端在资源池列表中，向已登录用户显示所有旧资源池和上线时间大于或者等于预设时间阈值的所有新上线资源池，以及上线时间小于预设时间阈值的新上线资源池中，对应的友好用户组中的用户包括已登录用户的所有新上线资源池。从而，可以在新上线资源池通过友好用户测试期时，将该新上线资源池对所有用户开放，而不仅是对友好用户组中的用户开放。

在一种可能的设计中，该方法还包括：门户服务器接收终端发送的旧资源池访问请求，旧资源池访问请求包括已登录用户的账号信息和待访问旧资源池标识。而后，门户服务器将已登录用户的账号信息发送给全局IAM模块，以通过全局IAM模块对请求访问旧资源池的已登录用户的账号信息进行认证。

又一方面，本发明实施例提供了一种系统，该系统包括上述方面的可以实现专属IAM模块的功能的装置、可以实现全局IAM模块的功能的装置和可以实现门户服务器的功能的装置。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述专属IAM模块所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述全局IAM模块所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述门户服务器所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

相较于现有技术，本发明实施例提供的方案中，专属IAM模块根据保存的友好用户组中用户的账号信息对已登录用户进行身份认证，而不是根据“IP地址”进行认证，因而位于任意地点的友好用户组中的用户，均可以根据账号信息通过任意IP地址的终端访问新上线资源池，从而提高了用户的使用体验。

为了便于理解，示例的给出了部分与本发明相关概念的说明以供参考。如下所示：

门户网站：指通向某类综合性互联网信息资源并提供有关信息服务的应用系统，是门户服务器管理的网站。

资源池：本发明实施例中是指云服务场景下的云资源池，是多个云资源的集合。这里的云资源可以包括云计算资源、云存储资源等，资源池中的云资源通常需要通过多个物理承载设备予以承载。

单点登录：在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

控制台：是存放管理工具的框架，包括文件夹和其他容器、网页和其他管理项。控制台带有窗口，这些窗口能提供控制台树视图和由控制台树中的项引发的管理属性、服务及事件的视图。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种访问控制系统的基本架构示意图；

图2为本发明实施例提供的一种改进的访问控制系统的基本架构示意图；

图3为本发明实施例提供的一种访问控制方法流程图；

图4为本发明实施例提供的另一种访问控制方法流程图；

图5为本发明实施例提供的一种门户服务器指示终端显示资源池列表的方法流程图；

图6A为本发明实施例提供的一种终端显示界面示意图；

图6B为本发明实施例提供的另一种终端显示界面示意图；

图7为本发明实施例提供的另一种访问控制方法流程图；

图8为本发明实施例提供的另一种访问控制方法流程图；

图9为本发明实施例提供的一种专属IAM模块的结构示意图；

图10为本发明实施例提供的一种全局IAM模块的结构示意图；

图11为本发明实施例提供的一种门户服务器的结构示意图；

图12A为本发明实施例提供的另一种专属IAM模块的结构示意图；

图12B为本发明实施例提供的另一种专属IAM模块的结构示意图；

图13A为本发明实施例提供的另一种全局IAM模块的结构示意图；

图13B为本发明实施例提供的另一种全局IAM模块的结构示意图；

图14A为本发明实施例提供的另一种门户服务器的结构示意图；

图14B为本发明实施例提供的另一种门户服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1提供了一种云服务场景下，资源池访问控制系统的基本架构示意图。该资源池访问控制系统包括终端、门户服务器、访问控制装置、防火墙、控制台和物理承载设备。其中，门户服务器可以与至少一个终端相连，以接收用户通过终端发送的登录请求或资源池访问请求；门户服务器还与访问控制装置相连，以将用户的登录请求或资源池访问请求中携带的用户的身份信息，发送给访问控制装置进行认证；门户服务器还可以与多个控制台相连，每个控制台对应一个资源池，以将用户的资源池访问请求重定向至待请求资源池对应的控制台，从而访问待请求资源池；每个控制台可以与至少一个物理承载设备相连，该至少一个物理承载设备用于承载该控制台对应的资源池。具体的，这里的访问控制装置具体可以是IAM服务器，这里的终端具体可以是电脑、手机、iPad等物理设备。如图1所示，一个云项目中可以同时存在多个资源池，不同资源池可以位于不同的地理位置，例如北京、上海、深圳等。这里的资源池具体可以包括多个较早推出的旧资源池和多个刚推出的新上线资源池。用户可以在终端上通过单点登录门户服务器，即登录门户网站的方式，访问该云项目中的所有资源池。

现有技术通过在图1所示的新上线资源池对应的控制台边界的防火墙上，设置IP地址白名单，以使得在新上线资源池的友好用户测试期内，仅允许友好用户组中的用户访问新上线资源池。该种方式对IP地址做了严格限制，友好组中的用户只有通过白名单中指定的IP地址对应的终端，才能访问新上线资源池，而不能通过其它IP地址对应的终端访问新上线资源池，从而降低了用户使用体验。

针对上述问题，本发明实施例提出了一种改进的访问控制系统，其基本架构示意图可以参见图2。其中，与图1所示架构相比，在图2所示的架构中，访问控制装置包括全局IAM模块和至少一个专属IAM模块，不同IAM模块可以分别设置于不同的物理设备中，也可以集成在同一个物理设备中，这里不做具体限定。其中，全局IAM模块中保存有所有用户的注册信息，该注册信息包括账号信息和密码信息等用户的身份信息。全局IAM模块用于负责对请求登录门户服务器的用户进行身份认证，并对请求访问所有旧资源池的用户进行身份认证。这里的已登录用户是指已经成功登录门户服务器的用户。每个专属IAM模块对应一个新上线资源池，例如，如图2所示，新上线资源池1对应于专属IAM模块1，新上线资源池2对应于专属IAM模块2等。专属IAM模块中仅保存有该专属IAM模块对应的新上线资源池对应的友好用户组中用户的账号信息，专属IAM模块用于负责对请求访问对应的新上线资源池的已登录用户的账号信息进行认证。

其中，专属IAM模块根据保存的新上线资源池对应的友好用户组中的用户的“账号信息”，对请求访问该专属IAM模块对应的新上线资源池的已登录用户的“账号信息”进行认证，而不是根据“IP地址”对已登录用户进行身份认证的，因而位于任意地点的友好用户组中的用户，可以通过具有任意IP地址的终端，访问新上线资源池，而不会受到IP地址的限制，从而可以提高用户的使用体验。

结合图2所示的基本架构示意图，本发明实施例提供了一种访问控制方法，参见图3，该方法可以包括：

301、在用户登录门户服务器后，门户服务器指示终端向已登录用户显示资源池列表。

其中，这里的已登录用户是指已登录门户服务器的用户，即已登录门户服务器管理的门户网站的用户。在用户通过终端以及浏览器成功登录门户服务器后，门户服务器可以指示终端显示资源池列表。资源池列表用于向已登录用户呈现可以访问的资源池。

302、门户服务器接收终端发送的新上线资源池访问请求，新上线资源池访问请求包括已登录用户的账号信息和待访问新上线资源池标识。

303、门户服务器将已登录用户的账号信息发送给待访问新上线资源池标识对应的专属IAM模块。

当已登录用户请求访问资源池列表中的一个新上线资源池时，登录用户可以通过终端向门户服务器发送新上线资源池访问请求，并在新上线资源池访问请求中携带该已登录用户的账号信息和待访问新上线资源池标识。其中，待访问新上线资源池标识用于唯一标识该待访问新上线资源池。

在步骤302-303中，门户服务器在接收到请求访问新上线资源池的已登录用户发送的新上线资源池访问请求时，可以将新上线资源池访问请求中已登录用户的账户信息，转发给待访问新上线资源池标识对应的专属IAM模块。

304、专属IAM模块在接收门户服务器发送的第一账号信息后，根据保存的友好用户组中的用户的账号信息，对第一账号信息进行认证。

其中，这里的第一账号信息是指门户服务器在步骤303中发送的，请求访问专属IAM模块对应的新上线资源池的已登录用户的账号信息。在接收到已登录用户的账号信息后，待访问新上线资源池标识对应的专属IAM模块可以根据保存的友好用户组中的用户的账号信息，对该第一账号信息进行认证。

当已登录用户为待访问新上线资源池对应的友好用户组中的用户时，该已登录用户的账号信息可以通过专属IAM模块的认证；当已登录用户为待访问新上线资源池对应的非友好用户组中的用户时，该已登录用户的账号信息不能通过专属IAM模块的认证。

305、专属IAM模块向门户服务器发送认证指示消息，认证指示消息用于指示第一账号信息是否认证通过。

专属IAM模块在步骤304中对第一账号信息进行认证后，可以将认证结果通过认证指示消息发送给门户服务器，以通知门户服务器第一账号信息是否认证通过。

306、门户服务器在接收专属IAM模块发送的第一认证指示消息后，当第一认证指示消息指示认证通过时，允许已登录用户访问待访问新上线资源池。

在接收专属IAM模块发送的第一认证指示消息后，当第一认证指示消息指示认证通过时，门户服务器允许已登录用户访问待访问新上线资源池；当第一认证指示消息指示未认证通过时，门户服务器不允许已登录用户访问待访问新上线资源池。

具体的，当门户服务器允许已登录用户访问待访问新上线资源池时，可以将已登录用户通过终端发送的新上线资源池访问请求，重定向至待访问新上线资源池对应的控制台，从而通过控制台访问待访问新上线资源池。

在本发明实施例提供的访问控制方法中，专属IAM模块负责对请求访问对应的新上线资源池的已登录用户的账号信息进行认证，当已登录用户请求访问新上线资源池时，新上线资源池对应的专属IAM模块可以判断该已登录用户的账号信息，是否与自身保存的友好用户组中的用户的某个账号信息相匹配。若匹配，则说明该已登录信息是友好用户组中的用户，该已登录用户通过身份认证，并可以访问该新上线资源池。若不匹配，则说明专属IAM模块中并未保存该已登录用户的账号信息，该已登录用户属于该新上线资源池对应的非友好用户组中的用户，因而不能通过身份认证，也无法访问该新上线资源池。

因此，若请求访问该新上线资源池的已登录用户，为非友好用户组中的用户，则已登录用户的账号信息无法通过该专属IAM模块的认证，从而无法访问该新上线资源池；而当请求访问该新上线资源池的已登录用户，为友好用户组中的用户时，则已登录用户的账号信息可以通过该专属IAM模块的认证，从而可以访问该新上线资源池。因而，当新上线资源池的提供的服务、功能或运行系统出现问题时，可以将新上线资源池暴露出的问题控制在友好用户范围内，避免风险扩大，并根据暴露的问题和友好用户的反馈，对新上线资源池进行整改，同时，还可以保障友好用户的使用体验，避免非友好用户的使用干扰。

并且，由于专属IAM模块是根据“账号信息”对已登录用户进行身份认证的，而不是根据“IP地址”进行认证的，因而位于任意地点的友好用户组中的用户，均可以根据账号信息通过任意IP地址的终端访问新上线资源池，即可以达到“账号白名单”的效果，而不受终端IP地址的限制，即便终端的IP地址发生了变化，也不会影响友好用户组中的用户正常访问新上线资源池，从而提高了用户的使用体验。

需要说明的是，在本发明实施例中，专属IAM模块中保存的新上线资源池对应的友好用户组中的用户的账号信息，具体可以是预先设置的，也可以是通过全局IAM模块或其它设备或装置发送给专属IAM模块的，这里不予以具体限定。

可选地，参见图4，在上述步骤304之前，该方法还可以包括：

307、全局IAM模块分别将所有用户中与每个新上线资源池对应的友好用户组中的用户的账号信息，发送至新上线资源池对应的专属IAM模块中。

由于全局IAM模块中保存有所有用户的注册信息，注册信息中包括账号信息，因而可以通过全局IAM模块将新上线资源池对应的友好用户组中的用户的账号信息，发送给专属IAM模块，且该种方式更为简单便捷。

与步骤307相对应，专属IAM模块可以接收全局IAM模块发送的“第二账号信息”，这里的“第二账号信息”为全局IAM模块在步骤307中发送的，与专属IAM模块对应的新上线资源池对应的友好用户组中的用户的账号信息。在接收到全局IAM模块发送的第二账号信息并保存之后，专属IAM模块可以根据保存的友好用户组中的用户的账号信息，对请求访问新上线资源池的已登录用户的账号信息进行认证。

具体的，在上述步骤301中，门户服务器指示终端向已登录用户显示资源池列表，可以包括如图5所示的步骤3011和步骤3012：

3011、当不存在上线时间大于或者等于预设时间阈值的新上线资源池时，门户服务器指示终端在资源池列表中，向已登录用户显示所有旧资源池和对应的友好用户组中的用户包括已登录用户的所有新上线资源池。

其中，该预设时间阈值可以为预设的友好用户测试期的时长。当不存在上线时间大于或者等于预设时间阈值的新上线资源池时，各新上资源池均在友好用户测试期内，此时可以向已登录用户显示所有旧资源池和对应的友好用户组中的用户包括已登录用户的所有新上线资源池。这样，友好用户组中的用户可以在终端上看到并点击对应的新上线资源池和旧资源池，从而请求访问对应的新上线资源池和旧资源池。而非友好用户组中的用户仅可以在终端上看到并点击旧资源池，而不会看到新上线资源池，从而无法请求并访问新上线资源池，新上线资源池对应的专属IAM模块也就不会对非友好用户组中的用户的账号信息进行认证，从而减少了专属IAM模块的工作负荷。

示例性的，若用户1为图2所示的新上线资源池1(上海资源池)对应的友好用户组中的用户，但不是图2的新上线资源池2(北京资源池)对应的友好用户组中的用户，则参见图6A所示的终端显示界面，用户1通过终端登录门户服务器后，可以在终端显示的资源池列表中，看到新上线资源池1(上海资源池)和所有旧资源池，但无法看到新上线资源池2(北京资源池)。用户1可以点击终端上显示的资源池，以对其进行访问。

此外，当不存在上线时间大于或者等于预设时间阈值的新上线资源池时，门户服务器还可以指示终端在资源池列表中向已登录用户显示所有资源池，若已登录用户不是某个新上线资源池对应的友好用户组中的用户，则该新上线资源池的显示方式区别于其它资源池的显示方式，且点击该新上线资源池后无响应。这样，非友好用户组中的用户虽然可以在终端上看到新上线资源池，但无法请求并访问新上线资源池。

示例性的，参见图6B，用户1通过终端登录后，可以在终端上看到图2所示的所有资源池，但新上线资源池2(北京资源池)的图标的显示形式区别于其它资源池的图标的显示形式，且点击后无响应，用户1无法访问新上线资源池2中的资源。

3012、当存在上线时间大于或者等于预设时间阈值的新上线资源池时，门户服务器指示终端在资源池列表中，向已登录用户显示所有旧资源池和上线时间大于或者等于预设时间阈值的所有新上线资源池，以及上线时间小于预设时间阈值的新上线资源池中，对应的友好用户组中的用户包括已登录用户的所有新上线资源池。

当新上线资源池的上线时间大于或者等于预设时间阈值时，该新上线资源池已经通过友好用户测试期，该新上线资源池提供的服务、功能以及运行系统等已趋于稳定，此时可以将该新上线资源池对所有用户开放，而不仅是对友好用户组中的用户开放。因而，门户服务器可以指示终端在资源池列表中，向已登录用户显示所有旧资源池和上线时间大于或者等于预设时间阈值的所有新上线资源池，以及上线时间小于预设时间阈值的新上线资源池中，对应的友好用户组中的用户包括已登录用户的所有新上线资源池。

进一步地，当新上线资源池的上线时间大于或者等于预设时间阈值时，该方法还可以包括：全局IAM模块将所有用户的账号信息发送至新上线资源池对应的专属IAM模块中。

这样，可以使得上线时间大于或者等于预设时间阈值的新上线资源池对应的专属IAM模块中，保存有所有用户的账号信息。当已登录用户请求访问该新上线资源池时，无论该已登录用户是友好用户组中的用户还是非友好用户组中的用户，只要该已登录用户为已注册的合法用户，其账号信息均可以通过该专属IAM模块的认证，从而允许该已登录用户访问该新上线资源池。

需要说明的是，由于专属IAM模块中之前已保存了对应的新上线资源池对应的友好用户组的用户的账号信息，因而当新上线资源池的上线时间大于或者等于预设时间阈值时，全局IAM模块可以仅将新上线资源池对应的非友好用户组的用户的账号信息，发送给新上线资源池对应的专属IAM模块，以使得专属IAM模块中可以保存有所有用户的账号信息。

此外，当新上线资源池的上线时间大于或者等于预设时间阈值时，若有新用户进行注册，则全局IAM模块可以保存新用户的注册信息，并将新用户的账号信息同步发送至该新上线资源池对应的专属IAM模块中。

进一步地，参见图7，在上述步骤301之前，该方法还可以包括：

701、门户服务器接收终端发送的登录请求消息，登录请求消息包括请求登录门户服务器的用户的账号信息和密码信息。

702、门户服务器将请求登录门户服务器的用户的账号信息和密码信息发送给全局IAM模块。

703、全局IAM模块在接收门户服务器发送的第二账号信息和密码信息后，根据保存的所有用户的注册信息，对第二账号信息和密码信息进行认证。

其中，这里的第二账号信息和密码信息是指，门户服务器在步骤702中发送的，请求登录门户服务器的用户的账号信息和密码信息。

704、全局IAM模块向门户服务器发送认证指示消息，认证指示消息用于指示第二账号信息和密码信息是否认证通过。

705、在接收到全局IAM模块发送的第二认证指示消息后，若第二认证指示消息指示认证通过，则门户服务器允许用户登录。

其中，步骤705中门户服务器接收到的“第二认证指示消息”，即为步骤704中全局IAM模块发送的“认证指示消息”，用于指示请求登录门户服务器的用户的账号信息和密码信息是否认证通过。

此外，若第二认证指示消息指示未认证通过，则门户服务器不允许用户登录。

需要说明的是，在本发明实施例中，请求登录门户服务器的用户的账号信息和密码信息等身份信息是由全局IAM模块进行认证的。

进一步地，在上述步骤705之后，参见图8，本发明实施例提供的方法还可以包括：

801、门户服务器接收终端发送的旧资源池访问请求，旧资源池访问请求包括已登录用户的账号信息和待访问旧资源池标识。

802、门户服务器将已登录用户的账号信息发送给全局IAM模块。

门户服务器根据待访问旧资源池标识确定已登录用户想要访问的是旧资源池，因而可以将已登录用户的账号信息发送给全局IAM模块进行认证。

803、在接收到门户服务器发送的第一账号信息后，全局IAM模块根据保存的所有用户的注册信息，对第一账号信息进行认证。

需要说明的是，与步骤304中的“第一账号信息”不同，步骤803中的“第一账号信息”是指门户服务器在步骤802中发送的，请求访问旧资源池的已登录用户的账号信息。

可见，在本发明实施例中，全局IAM模块负责对请求登录门户服务器的已登录用户的账号信息和密码信息进行验证，并对请求访问旧资源池的已登录用户的账号信息进行认证；而专属IAM模块则专门对请求访问该专属IAM模块对应的新上线资源池的已登录用户的账号信息进行认证。

需要说明的是，全局IAM模块以及每个专属IAM模块可以分别设置于不同的物理设备中，并且当专属IAM模块与对应的资源池位于相同地理位置时，可以减少用户的访问控制时延，从而提高用户使用体验。例如，上海资源池对应的专属IAM模块可以设置在上海，北京资源池对应的专属IAM模块可以设置在北京。当然，全局IAM模块与所有专属IAM模块也可以集成在一个物理设备中，这里不作具体限定。

如图9所示，本发明实施例提供一种专属IAM模块900的装置结构示意图。该专属IAM模块900可以包括：接收单元901，用于接收门户服务器发送的第一账号信息，第一账号信息为请求访问专属IAM模块对应的新上线资源池的已登录用户的账号信息，已登录用户为已登录门户服务器的用户；认证单元902，用于根据保存的友好用户组中的用户的账号信息，对第一账号信息进行认证；发送单元903，用于向门户服务器发送认证指示消息，认证指示消息用于指示第一账号信息是否认证通过。

进一步地，图9所示的装置可以用于执行上述方法流程中专属IAM模块执行的任一流程。

如图10所示，本发明实施例提供一种全局IAM模块1000的装置结构示意图。该专属IAM模块1000可以包括：接收单元1001，用于接收门户服务器发送的第一账号信息，第一账号信息为请求访问旧资源池的已登录用户的账号信息；认证单元1002，用于根据保存的所有用户的注册信息，对第一账号信息进行认证；发送单元1003，用于分别将所有用户中与每个新上线资源池对应的友好用户组中的用户的账号信息，发送至新上线资源池对应的专属IAM模块中。

进一步地，图10所示的装置可以用于执行上述方法流程中全局IAM模块执行的任一流程。

如图11所示，本发明实施例提供一种门户服务器1100的装置结构示意图。该门户服务器1100可以包括：指示单元1101，用于在用户登录门户服务器后，指示终端向已登录用户显示资源池列表；接收单元1102，用于接收终端发送的新上线资源池访问请求，新上线资源池访问请求包括已登录用户的账号信息和待访问新上线资源池标识；发送单元1103，用于将已登录用户的账号信息发送给待访问新上线资源池标识对应的专属身份和访问管理IAM模块；接收单元1102还用于，接收专属IAM模块发送的第一认证指示消息，第一认证指示消息用于指示已登录用户的账号信息是否认证通过；处理单元1104，用于当第一认证指示消息指示认证通过时，允许已登录用户访问待访问新上线资源池。

进一步地，图11所示的装置可以用于执行上述方法流程中门户服务器执行的任一流程。

上述主要从各个网元之间交互的角度对本发明实施例提供的方案进行了介绍。可以理解的是，各个网元，例如专属IAM模块、全局IAM模块以及门户服务器等为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明实施例可以根据上述方法示例对专属IAM模块、全局IAM模块以及门户服务器等进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元的情况下，图12A示出了上述实施例中所涉及的专属IAM模块的一种可能的结构示意图。专属IAM模块1200包括：处理模块1202和通信模块1203。处理模块1202用于对专属IAM模块的动作进行控制管理，例如，处理模块1202用于支持专属IAM模块执行图3和图4中的过程304，和/或用于本文所描述的技术的其它过程。通信模块1203用于支持专属IAM模块与其他网络实体的通信，例如与图2、图3、图4或图7中示出的功能模块或网络实体之间的通信。专属IAM模块还可以包括存储模块1201，用于存储专属IAM模块的程序代码和数据。

其中，处理模块1202可以是处理器或控制器，例如可以是中央处理器(Central Processing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块1203可以是通信接口、收发电路等。存储模块1201可以是存储器。

当处理模块1202为处理器，通信模块1203为通信接口，存储模块1201为存储器时，本发明实施例所涉及的专属IAM模块可以为图12B所示的专属IAM模块。

参阅图12B所示，该专属IAM模块1210包括：处理器1212、通信接口1213、存储器1211以及总线1214。其中，通信接口1213、处理器1212以及存储器1211通过总线1214相互连接；总线1214可以是外设部件互连标准(Peripheral Component Interconnect，PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在采用集成的单元的情况下，图13A示出了上述实施例中所涉及的全局IAM模块的一种可能的结构示意图。全局IAM模块1300包括：处理模块1302和通信模块1303。处理模块1302用于对全局IAM模块的动作进行控制管理，例如，处理模块1302用于支持全局IAM模块执行图7中的过程703，图8中的过程703和803，和/或用于本文所描述的技术的其它过程。通信模块1303用于支持全局IAM模块与其他网络实体的通信，例如与图2、图4、图7或图8中示出的功能模块或网络实体之间的通信。全局IAM模块还可以包括存储模块1301，用于存储第一单元的程序代码和数据。

其中，处理模块1302可以是处理器或控制器，例如可以是中央处理器CPU，通用处理器，数字信号处理器DSP，专用集成电路ASIC，现场可编程门阵列FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块1303可以是通信接口、收发电路等。存储模块1301可以是存储器。

当处理模块1302为处理器，通信模块1303为通信接口，存储模块1301为存储器时，本发明实施例所涉及的全局IAM模块可以为图13B所示的全局IAM模块。

参阅图13B所示，该全局IAM模块1310包括：处理器1312、通信接口1313、存储器1311以及总线1314。其中，通信接口1313、处理器1312以及存储器1311通过总线1314相互连接；总线1314可以是外设部件互连标准PCI总线或扩展工业标准结构EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图13B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在采用集成的单元的情况下，图14A示出了上述实施例中所涉及的门户服务器的一种可能的结构示意图。门户服务器1400包括：处理模块1402和通信模块1403。处理模块1402用于对门户服务器的动作进行控制管理，例如，处理模块1402用于支持门户服务器执行图3和图4中的过程306，图7中的过程306或过程705，图8中的过程705，和/或用于本文所描述的技术的其它过程。通信模块1403用于支持门户服务器与其他网络实体的通信，例如与图2、图3、图4、图5、图7或图8中示出的功能模块或网络实体之间的通信。门户服务器还可以包括存储模块1401，用于存储第一单元的程序代码和数据。

其中，处理模块1402可以是处理器或控制器，例如可以是中央处理器CPU，通用处理器，数字信号处理器DSP，专用集成电路ASIC，现场可编程门阵列FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块1403可以是通信接口、收发电路等。存储模块1401可以是存储器。

当处理模块1402为处理器，通信模块1403为通信接口，存储模块1401为存储器时，本发明实施例所涉及的门户服务器可以为图14B所示的门户服务器。

参阅图14B所示，该门户服务器1410包括：处理器1412、通信接口1413、存储器1411以及总线1414。其中，通信接口1413、处理器1412以及存储器1411通过总线1414相互连接；总线1414可以是外设部件互连标准PCI总线或扩展工业标准结构EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图14B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明另一实施例提供一种系统，其基本结构示意图可以参见图2，该系统可以包括至少一个如图所示的专属IAM模块，如图所示的全局模块，以及如图所示的门户服务器。其中，专属IAM模块、全局IAM模块以及门户服务器用于执行上述方法实施例中提供的访问控制方法。

具体的，一个专属IAM模块对应一个新上线资源池，且保存有与所述专属IAM模块对应的新上线资源池对应的友好用户组中的用户的账号信息。专属IAM模块可以用于接收门户服务器发送的第一账号信息，所述第一账号信息为请求访问所述专属IAM模块对应的新上线资源池的已登录用户的账号信息，所述已登录用户为已登录所述门户服务器的用户；根据保存的友好用户组中的用户的账号信息，对所述第一账号信息进行认证；向所述门户服务器发送认证指示消息，所述认证指示消息用于指示所述第一账号信息是否认证通过。

其中，全局IAM模块保存有所有用户的注册信息，所述注册信息包括账号信息，可以用于接收门户服务器发送的第一账号信息，所述第一账号信息为请求访问旧资源池的已登录用户的账号信息；根据保存的所有用户的注册信息，对所述第一账号信息进行认证；分别将所有用户中与每个新上线资源池对应的友好用户组中的用户的账号信息，发送至所述新上线资源池对应的专属IAM模块中。

门户服务器可以用于，在用户登录门户服务器后，指示终端向已登录用户显示资源池列表；接收终端发送的新上线资源池访问请求，所述新上线资源池访问请求包括已登录用户的账号信息和待访问新上线资源池标识；将所述已登录用户的账号信息发送给所述待访问新上线资源池标识对应的专属身份和访问管理IAM模块；接收所述专属IAM模块发送的第一认证指示消息，所述第一认证指示消息用于指示所述已登录用户的账号信息是否认证通过；当所述第一认证指示消息指示认证通过时，允许所述已登录用户访问所述待访问新上线资源池。

结合本发明公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read Only Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于核心网接口设备中。当然，处理器和存储介质也可以作为分立组件存在于核心网接口设备中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。