一种云平台的访问限制的方法及装置与流程

本发明涉及通信技术，尤指一种云平台的访问限制的方法及装置。

背景技术：

在云计算时代，大量异构的资源通过云平台统一管理，通过访问api接口作为云平台提供的主要管理资源的方式，通过管理api访问限制，可以极大的增加云平台的安全，有利于避免ddos攻击等各种尝试性攻击，可以极大的增加云平台的安全，保护客户资产。现有的访问控制方法是通过对访问来源的ip进行限制来进行api的访问限制，本方法改进了访问限制方法，从数据层面进行了访问限制，避免了伪造ip等方式进行api访问，造成用户数据被恶意操作或破坏的可能。本方法和系统可以管理api访问限制，可以极大的增加云平台的安全，有利于避免ddos攻击等各种尝试性攻击，可以极大的增加云平台的安全，保护客户资产。

技术实现要素：

为了解决上述技术问题，本发明提供了一种云平台的访问控制的方法及装置，以实现对api接口的访问限制，可以极大的增加云平台的安全。

一种云平台的访问控制的方法，包括：

接收到应用程序编程接口api访问请求后，根据api的标识查询api访问信息和预设的api访问策略；

根据所述api访问信息确定所述api访问请求对应的api访问行为是否满足所述api访问策略，如满足，则允许所述api访问行为；如不满足，则拒绝所述api访问行为。

进一步地，所述接收到应用程序编程接口api访问请求后，还包括：

存储所述api访问请求对应的api访问信息。

进一步地，所述api访问信息包括以下的一项或多项：

api接口信息、用户标识信息、用户单位时间访问次数、api接口最后的访问时间，访问来源ip信息。

进一步地，所述api访问策略包括以下的一项或多项：

同一api接口相同用户访问频率小于阈值；或

访问时间间隔大于或等于预定时长；或

ip在指定ip段内。

进一步地，所述允许所述api访问行为后，还包括：

操作数据前，若确定api访问请求中的用户标识与数据中的用户标识相同或者满足预定关系，则允许操作数据。

一种云平台的访问控制的装置，其中，包括：

查询模块，用于接收到应用程序编程接口api访问请求后，根据api的标识查询api访问信息和预设的api访问策略；

控制模块，用于根据所述api访问信息确定所述api访问请求对应的api访问行为是否满足所述api访问策略，如满足，则允许所述api访问行为；如不满足，则拒绝所述api访问行为。

进一步地，所述装置还包括：

存储模块，用于存储所述api访问请求对应的api访问信息。

进一步地，所述api访问信息包括以下的一项或多项：api接口信息、用户标识信息、用户单位时间访问次数、api接口最后的访问时间，访问来源ip信息。

进一步地，所述api访问策略包括以下的一项或多项：同一api接口相同用户访问频率小于阈值；或访问时间间隔大于或等于预定时长；或ip在指定ip段内。

进一步地，所述控制模块，允许所述api访问行为后，还包括：操作数据前，若确定api访问请求中的用户标识与数据中的用户标识相同或者满足预定关系，则允许操作数据。

一种云平台的访问控制的装置，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，其中，当所述指令被所述处理器执行时，实现上述云平台的访问控制的方法。

本发明实施例的方案主要应用于云平台的api(applicationprogramminginterface，应用程序编程接口)接口访问管理，通过设置api访问限制策略，在api访问时，检测是否满足api访问限制策略，实现api的访问限制和访问放行。

在云计算时代，大量异构的资源通过云平台统一管理，通过访问api接口作为云平台提供的主要管理资源的方式，通过管理api访问限制，可以极大的增加云平台的安全，有利于避免ddos攻击等各种尝试性攻击，可以极大的增加云平台的安全，保护客户资产。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为本发明实施例的一种云平台的访问控制的方法的流程图；

图2为本发明实施例的一种云平台的访问控制的装置的示意图；

图3为本发明应用示例的一种云平台的访问控制的装置的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1为本发明实施例的一种云平台的访问控制的方法的流程图，如图1所示，本实施例的方法可以包括：

步骤101、接收到应用程序编程接口api访问请求后，根据api的标识查询api访问信息和预设的api访问策略；

步骤102、根据所述api访问信息确定所述api访问请求对应的api访问行为是否满足所述api访问策略，如满足，则转步骤103；如不满足，则步骤104。

步骤103、允许所述api访问行为；

步骤104、拒绝所述api访问行为。

本实施例的方法通过设置api访问限制策略，在api访问时，检测是否满足api访问策略，实现api的访问限制和访问放行，通过对api接口的访问限制，可以极大的增加云平台的安全。

相应地，本实施例提供一种云平台的访问控制的装置，如图2所示，本实施例的装置200可以包括：

查询模块201，用于接收到应用程序编程接口api访问请求后，根据api的标识查询api访问信息和预设的api访问策略；

控制模块202，根据所述api访问信息确定所述api访问请求对应的api访问行为是否满足所述api访问策略，如满足，则允许所述api访问行为；如不满足，则拒绝所述api访问行为。

在一实施例中，所述装置还可以包括：

存储模块203，用于存储所述api访问请求对应的api访问信息。

本实施例的装置通过设置api访问限制策略，在api访问时，检测是否满足api访问策略，实现api的访问限制和访问放行，通过对api接口的访问限制，可以极大的增加云平台的安全。

当然，对于本实施例的云平台的访问控制的装置中的功能模块也可以有不同的划分。

图3为本发明应用示例的一种云平台的访问控制的装置的示意图，如图3所示，本示例的装置300可以包括：api访问策略设置模块301、api访问控制模块302、api接口访问信息储存模块303，其中，

api访问策略设置模块301，设置以下一项或多项api访问策略：api接口相同用户访问频率(例如每分钟访问次数限制默认为100次)，访问时间间隔限制(单用户、单api接口每秒访问次数不超过3次)，ip段限制(设置访问api接口的ip段)。

通过设置api访问策略可以为判断api接口访问行为是否为安全的访问行为提供判断依据。

api接口访问信息储存模块303储存api接口访问行为信息，包含api接口信息，系统中唯一的用户id信息，用户单位时间访问次数(单位时间例如可以包括一分钟和一秒钟，api接口被调用的时候会在api接口访问信息储存模块303中存储调用信息，包括：调用时间，api接口最后的访问时间，访问来源ip信息等api访问信息，其中，调用时间可以精确到秒和分钟，不同维护的调用时间还会计算调用次数，相同调用时间会进行调用次数累加。举例说明如下，2018年7月15日，13点15分01秒进行了一次api接口调用，13点15分05秒进行了一次api接口调用，则记录信息为13点15分某api调用次数为2，13点15分05秒api接口调用次数为1，最后调用时间为13点15分05秒。

通过储存api接口访问行为信息，即最后的api访问时间，访问的用户id，可以判断单位时间，即一秒内的同一用户id访问同一api接口次数，可以为判断api接口访问行为是否为安全的访问行为提供判断依据。

除系统的登录接口外，所有的api接口访问时必须带有系统中存在的用户id，否则认为该访问行为异常，直接拒绝。系统的登录接口访问控制方式为判断同一用户账户密码、单位时间的访问登录接口频率，其余接口的访问控制依据同一用户id，单位时间的访问api接口频率。api接口访问信息储存模块303一般采用nosql(非关系型数据库)技术，默认为redis数据库集群，能较好的满足系统访问api接口并发度比较高的使用场景。

api访问控制模块302接收到api访问请求后访问api接口访问信息储存模块303查询api访问信息。api访问控制模块302访问通过查询到的api访问信息，然后访问api访问策略设置模块301查询api访问策略，判断当前访问的api接口访问行为是否满足api访问策略，如果满足访问策略，则放行api接口访问，如不满足api访问策略，则返回不满足api访问策略的信息，并拒绝此次api接口访问行为。

api访问控制模块302通过查询api访问策略设置模块301和api接口访问信息储存模块303，可以判断api接口访问行为是否为安全的访问行为。通过查询api访问策略设置模块301，可以取得api接口相同用户访问频率，访问时间间隔限制，ip段限制等访问控制策略。通过api接口访问信息储存模块303可以取得当前访问id的访问api接口的之前的访问数据，包括系统中唯一的用户id对应的api访问接口信息api接口最后的访问时间，访问来源ip信息等api访问信息，通过api接口最后的访问时间可以计算单位时间的访问频率如果满足访问策略，则放行api接口访问，如不满足api访问策略，则返回不满足api访问策略的信息，并拒绝此次api接口访问行为。

api访问控制模块302还可以通过api访问控制api操作，在操作数据时进行数据所有权校验。

系统中的所有与用户或与用户操作有关的业务数据都绑定用户id，用户只能操作属于自己的数据，无法操作不属于自己的数据。所有的api接口进行数据操作时，都会带有用户id，只有数据中的用户id与进行操作时的用户id相同或者判断该用户id对此数据有操作权限，即上级用户id可以操作下级用户id的数据，才是有效操作，否则，该api接口操作权限错误的提示信息。通过本发明实施例的方案，可以保证所有用户的用户数据安全，不会被越权操作保证系统稳定与用户数据安全。

本实施例的方法可以管理云平台的api接口访问限制，可以根据自定义的api访问策略灵活管理api访问行为，可以极大的增加云平台的安全，有利于避免ddos攻击等各种尝试性攻击，可以极大的增加云平台的安全，保护客户资产。

本发明实施例还提供一种云平台的访问限制的装置，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，其中，当所述指令被所述处理器执行时，实现上述云平台的访问限制的方法。

本发明实施例还提供了一种计算机可读存储介质，其存储有计算机可执行指令，所述计算机可执行指令被执行时实现所述云平台的访问限制的方法。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、模块中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于ram、rom、eeprom、闪存或其他存储器技术、cd-rom、数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储模块、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。