访问控制方法及系统、存储介质与流程

本公开涉及计算机技术领域，具体涉及一种访问控制方法、一种访问控制处理系统以及一种存储介质。

背景技术：

混合云融合了公有云和私有云，是近年来云计算的主要模式和发展方向。在混合云模式下，一般将重要、隐私数据保存于私有云中，如何管理私有云数据安全就显得尤为重要。

为保证网路、数据安全，现有技术一般采用防火墙网络或堡垒机。但上述的方案并不能实现百分百的数据安全。此外，上述的方案也不能保证数据传输的可控、可审计。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

本公开的目的在于提供一种访问控制方法、一种访问控制系统以及一种存储介质，能够提升私有云数据安全。进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的一个或者多个问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的第一方面，提供一种访问控制方法，包括：

响应于一业务请求端发起的服务请求，对所述服务请求进行访问令牌校验；

在访问令牌校验成功时，利用访问控制列表对所述服务请求进行api权限校验；

在api权限校验成功时，将所述服务请求转发至对应私有云执行的目标服务。

在本公开的一种示例性实施例中，所述业务请求端发起的服务请求之前，所述方法包括：

接收所述业务请求端发起的令牌申请请求；其中所述令牌申请请求包括应用id和密钥；

对所述应用id和密钥进行合法性校验，并在校验成功时向所述业务请求端签发访问令牌；所述访问令牌包括身份信息、有效期信息以及加密签名信息。

在本公开的一种示例性实施例中，所述对所述服务请求进行访问令牌校验包括：

按预设顺序依次对所述访问令牌包含的加密签名信息、有效期信息以及身份信息进行验证，并在所述加密签名信息、有效期信息以及身份信息分别验证成功时，判定所述访问令牌校验成功；或者

若在所述加密签名信息、有效期信息以及身份信息任意一项验证失败时，判定所述访问令牌校验失败以拒绝所述服务请求。

在本公开的一种示例性实施例中，所述服务请求包括身份信息、目标api信息；所述利用访问控制列表对所述服务请求进行api权限校验，包括：

根据所述身份信息向数据库查询所述访问控制列表，以确定所述目标api是否为所述身份信息对应的允许调用的api。

在本公开的一种示例性实施例中，所述在api权限校验成功时，所述方法还包括：

获取对应的目标api当前流量，并判断当前流量是否超过预设阈值；

在所述目标api对应的当前流量小于预设阈值时，将所述服务请求转发至对应私有云执行的目标服务；或者

在所述目标api对应的当前流量大于或等于预设阈值时，拒绝所述服务请求。

在本公开的一种示例性实施例中，所述方法还包括：

接收所述目标服务响应于所述服务请求生成的服务响应数据，将所述服务响应数据转发至所述业务请求端；以及

根据所述服务响应数据生成日志数据并保存。

在本公开的一种示例性实施例中，所述接收所述目标服务响应于所述服务请求生成的服务响应数据，将所述服务响应数据转发至所述业务请求端；以及根据所述服务响应数据生成日志数据并保存包括：

对所述服务响应数据进行解析以获取原始响应数据，按预设规则对所述原始响应数据进行数据筛查，并在数据筛选通过时再将所述服务响应数据转发至所述业务请求端；以及

基于所述原始响应数据生成日志数据并保存。

根据本公开的第二方面，提供另一种访问控制方法，包括：

业务请求端向接入网关发送一服务请求；

所述接入网关接收所述服务请求，对所述服务请求进行访问令牌校验；

在访问令牌校验成功时，利用访问控制列表对所述服务请求进行api权限校验；

在api权限校验成功时，将所述服务请求转发至对应私有云执行的目标服务；

所述目标服务接收所述服务请求，并基于所述服务请求生成对应的服务响应数据，将所述服务响应数据发送至接入网关；

所述接入网关接收所述服务响应数据并转发至所述业务请求端。

根据本公开的第三方面，提供另一种访问控制系统，包括：

业务请求端，用于向接入网关发起服务请求；

接入网关，用于接收业务请求端发起的服务请求，并对所述服务请求进行访问令牌校验、api权限校验；并在访问令牌校验且api权限校验成功时，将所述服务请求转发至对应私有云执行的目标服务；以及将目标服务反馈的服务数据转发至所述业务请求端；

私有云，用于承载目标服务，响应所述服务请求生成服务响应数据并发送至所述接入网关。

根据本公开的第四方面，提供一种存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述实施例中所述的访问控制方法。

本公开的一种实施例所提供的访问控制方法中，通过利用接入网关对各业务请求端发起的服务请求进行多重验证，并仅在验证成功后才将服务请求发送至对应的私有云目标服务。实现了将私有云访问封装成api的形式注册到接入网关，供外部调用。利用接入网关来对服务请求进行多重校验，进一步提升各私有云中数据的安全性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示意性示出本公开示例性实施例中一种访问控制方法的流程示意图；

图2示意性示出本公开示例性实施例中一种根据流量进行控制的方法的流程示意图；

图3示意性示出本公开示例性实施例中一种访问控制方法的流程示意图；

图4示意性示出本公开示例性实施例中一种访问控制方法的流程示意图；

图5示意性示出本公开示例性实施例中一种访问控制装置组成示意图；

图6示意性示出本公开示例性实施例中一种访问控制系统的组成示意图；

图7示意性示出本公开示例性实施例中一种电子设备的组成示意图；

图8示意性示出本公开示例性实施例中一种程序产品的示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

本示例实施方式中首先提供了一种访问控制方法，可以应用于对私有云的管理。参考图1中所示，上述的访问控制方法可以包括以下步骤：

步骤s11，响应于一业务请求端发起的服务请求，对所述服务请求进行访问令牌校验；

步骤s12，在访问令牌校验成功时，利用访问控制列表对所述服务请求进行api权限校验；

步骤s13，在api权限校验成功时，将所述服务请求转发至对应私有云执行的目标服务。

本示例实施方式所提供的访问控制方法，通过配置一接入网关，并利用该接入网关对各业务请求端发起的服务请求进行多重验证，并仅在验证成功后才将服务请求发送至对应的私有云目标服务。实现了将私有云访问封装成api的形式注册到接入网关，供外部调用。利用接入网关来对服务请求进行多重校验，进一步提升各私有云中数据的安全性。

下面，将结合附图及实施例对本示例实施方式中的访问控制方法中各个步骤进行更详细的说明。

步骤s11，响应于一业务请求端发起的服务请求，对所述服务请求进行访问令牌校验。

本示例实施方式中，可以提供一网关，该网关可以对应多个私有云，各私有云可以对应有多个允许访问的api（applicationprogramminginterface，应用程序接口）。同时接收各业务请求端对各私有云的访问请求或服务请求。举例来说，该接入网关可以搭建于公有云，使得各业务请求端可以通过该执行于公有云的接入网关来访问私有云；或者接入网关以插件形式运行。上述的业务请求端可以是客户终端，也可以是运行一应用程序的私有云。本公开对业务请求端的形式不做特殊限定。

具体来说，业务请求端发起的服务请求可以包括业务发起端的身份信息、访问令牌以及待访问的私有云对应的api信息等等。上述的服务请求可以是具体的api请求。接入网关在接收到服务请求后，可以首先对访问令牌进行验证。

具体来说，业务请求端发起对服务请求之前，需要首先获得访问令牌，也就是代表合法身份的凭证。因此，业务发起端可以首先向接入网关发送令牌申请请求。其中，令牌申请请求可以包括应用id和密钥。访问令牌的签发需要业务请求端提交应用id和密钥。

接入网关查验应用id和密钥的合法性，并在校验成功时向所述业务请求端签发访问令牌。签发的访问令牌可以是附带身份信息、有效期信息的jwt（jsonwebtoken）格式的访问令牌，并且附带单向加密的签名信息。

接入网关对访问令牌进行验证时，可以首先对访问令牌的加密签名有效性进行验证，如果加密签名验证失败，则服务请求会被拒绝，接入网关生成拒绝访问信息反馈至业务请求端，并断开网络连接。在加密签名验证成功后，可以检查访问令牌的有效期进行校验，判断访问令牌是否过期，过期的访问令牌同样会被拒绝并断开连接。在有效期信息校验成功后，对访问令牌的身份信息进行校验，判断身份信息是否被列入预设的屏蔽名单中。若屏蔽名单包含当前的身份信息，则服务请求会被拒绝并断开连接。

当然，在本公开的其他示例性实施例中，也可以配置其他的校验顺序，对访问令牌的加密签名、有效期和身份信息进行校验。例如，依次对身份信息、有效期和加密签名进行校验，等等。本公开对上述各项的校验顺序不做特殊限定。

步骤s12，在访问令牌校验成功时，利用访问控制列表对所述服务请求进行api权限校验。

本示例实施方式中，在访问令牌验证完成后，便可以执行acl（accesscontrollist，访问控制列表）验证。acl可以用于控制调用方是否拥有调用api的权限。举例来说，acl权限校验可以包括对身份信息、目标api信息的验证。此外，还可以包括对调用方法的验证。acl可以向管理员申请，得到审批后在接入网关会自动生效。在acl中，可以存储有业务请求端对应的身份信息、应用id，以及该身份信息对应的具有访问权限的若干个api的信息和调用方式等等。其中，api信息可以是接口id等标识信息。

具体来说，可以将已生效的acl存储在一数据库中。接入网关在验证访问令牌的合法性后，便可以利用上述的身份信息、api信息，以及调用方法向数据库中查询。如果查询结果为空，或部分错误，则判定为校验失败。例如，身份信息验证存在，但当前请求访问的api信息不存在，则判定为校验失败；或者，身份信息、api信息验证存在，但调用方法错误，则判定为校验失败。同时向服务请求端反馈拒绝信息，并断开网络连接。仅在上述的身份信息、api信息，以及调用方法均查询存在且匹配成功，则判定为acl权限验证成功，再将服务请求转发到目标服务。

步骤s13，在api权限校验成功时，将所述服务请求转发至对应私有云执行的目标服务。

本示例实施方式中，在访问令牌、api权限校验成功后，接入网关便可以将服务请求转发至对应的目标服务所在的私有云。由目标服务接收并处理该服务请求。

基于上述内容，本示例实施方式中，在api权限校验验证成功后，还可以对目标api的流量信息进行验证和控制。具体来说，参考图2所示，可以包括：

步骤s21，获取对应的目标api当前流量，并判断当前流量是否超过预设阈值；

步骤s22，在所述目标api对应的当前流量小于预设阈值时，将所述服务请求转发至对应私有云执行的目标服务；或者

步骤s23，在所述目标api对应的当前流量大于或等于预设阈值时，拒绝所述服务请求。

举例来说，各api的流量信息可以包括上行流量统计数据和下行流量统计数据。用户可以预先对各api的上行流量和下行流量自定义警戒阈值。

在api权限校验成功后，可以对目标api对应的当前流量与预设阈值进行比较。若当前流量小于阈值，再将服务请求转发至目标服务。或者，如果当前流量超过设定的阈值，请求会被拒绝并断开连接。同时，生成流量警戒提示信息，并发送至指定的邮件地址或短信信息，给管理员以提醒。

此外，本示例实施方式中，参考图3所示，上述的方法还可以包括：

步骤s14，接收所述目标服务响应于所述服务请求生成的服务响应数据，将所述服务响应数据转发至所述业务请求端；以及

根据所述服务响应数据生成日志数据并保存。

具体来说，目标服务生成服务响应数据并发送至接入网关，并由接入网关向业务发起端进行转发。同时，由于api调用后，目标服务反馈的服务响应数据一般以分块的方式进行传输，数据内容无法直接进行查看。接入网关在接收到服务响应数据后，便可以进行解析以获取原始响应数据，再将原始响应数据保存到本地存储或外部存储空间；并根据原始响应数据的完整内容生成对应日志信息进行保存。

此外，接入网关还可以根据api请求过程生成日志数据，记录服务请求的完整内容。举例来说，日志字段可以包括：时间、来源、目标、请求长度、返回长度、消耗时间等。

通过对请求和返回的完整内容生成日志并进行保存，基于所述原始响应数据生成日志数据并保存，可以记录详细的日志数据和传输内容，便于后续对内容进行统计分析和审计。

此外，在本公开的其他示例性实施例中，接入网关在获取原始响应数据后，还可以按预设规则对原始响应数据进行数据筛查，并在数据筛选通过时再将所述服务响应数据转发至所述业务请求端；或者，在数据筛查不通过时，停止向业务发起端对服务响应数据的转发。举例来说，可以预先配置筛查的关键词，对表单或内容进行敏感词筛查。在查询到敏感词后，再次判断业务请求端是否具有该些数据的权限信息。从而决定是否将该些服务响应数据转发至业务请求端。进一步的实现对私有云中隐私数据的安全控制。

本示例实施方式中还提供了一种访问控制方法，参考图4中所示，上述的访问控制方法可以包括以下步骤：

步骤s31，业务请求端向接入网关发送一服务请求；

步骤s32，所述接入网关接收所述服务请求，对所述服务请求进行访问令牌校验；

步骤s33，在访问令牌校验成功时，利用访问控制列表对所述服务请求进行api权限校验；

步骤s34，在api权限校验成功时，将所述服务请求转发至对应私有云执行的目标服务；

步骤s35，所述目标服务接收所述服务请求，并基于所述服务请求生成对应的服务响应数据，将所述服务响应数据发送至接入网关；

步骤s36，所述接入网关接收所述服务响应数据并转发至所述业务请求端。

本公开提供的访问控制方法，通过配置接入网关，利用接入网关对业务请求端的所有api调用的服务请求进行授权，并对服务请求进行访问令牌的验证、acl检查；将私有云功能通过api方式提供给外部调用，避免了直接暴露基础服务给外部调用，从而提供了更安全、更可控的访问控制管理机制。另外，通过利用接入网关进行流量的监控和完整数据的日志存储，实现了以api粒度设置流量阈值来防止流量超限；以及保存api调用的详细内容，为事后审计提供全面的数据支撑。并且，存储的数据为接入网关解析后的传输内容，可以有效的提高数据内容审计的效率。

需要注意的是，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

进一步的，参考图5所示，本示例的实施方式中还提供了一种访问控制装置50，可以包括：访问令牌验证模块501、api权限验证模块502和数据转发模块503。其中，

所述访问令牌验证模块501可以用于响应于一业务请求端发起的服务请求，对所述服务请求进行访问令牌校验。

所述api权限验证模块502可以用于在访问令牌校验成功时，利用访问控制列表对所述服务请求进行api权限校验。

所述数据转发模块503可以用于在api权限校验成功时，将所述服务请求转发至对应私有云执行的目标服务。

进一步的，参考图6所示，本示例的实施方式中还提供了一种访问控制系统600，可以包括：业务请求端601、接入网关603以及私有云604。其中，

所述业务请求端601可以用于向所述接入网关发起服务请求。

所述接入网关603可以用于接收业务请求端发起的服务请求，并对所述服务请求进行访问令牌校验、api权限校验；并在访问令牌校验且api权限校验成功时，将所述服务请求转发至对应私有云执行的目标服务；以及将目标服务反馈的服务数据转发至所述业务请求端。

所述私有云604可以用于承载目标服务，响应所述服务请求生成服务响应数据并发送至所述接入网关。

参考图6所示系统网络架构，业务请求端（601、607）可以是多个，例如电脑、手机等形式。通过网络602与接入网关603进行数据传输。接入网关603通过网络602可以对接多个私有云（604、605、606），并进行数据的传输。

上述的访问控制装置50、访问控制系统600中各模块的具体细节已经在对应的访问控制方法中进行了详细的描述，因此此处不再赘述。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式（包括固件、微代码等），或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

下面参照图7来描述根据本发明的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于：上述至少一个处理单元710、上述至少一个存储单元720、连接不同系统组件（包括存储单元720和处理单元710）的总线730。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元710执行，使得所述处理单元710执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元710可以执行如图1中所示的方法步骤。

存储单元720可以包括易失性存储单元形式的可读介质，例如随机存取存储单元（ram）7201和/或高速缓存存储单元7202，还可以进一步包括只读存储单元（rom）7203。

存储单元720还可以包括具有一组（至少一个）程序模块7205的程序/实用工具7204，这样的程序模块7205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线730可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备700也可以与一个或多个外部设备70（例如键盘、指向设备、蓝牙设备等）通信，还可与一个或者多个使得用户能与该电子设备700交互的设备通信，和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备（例如路由器、调制解调器等等）通信。这种通信可以通过输入/输出（i/o）接口750进行。并且，电子设备700还可以通过网络适配器760与一个或者多个网络（例如局域网（lan），广域网（wan）和/或公共网络，例如因特网）通信。如图所示，网络适配器760通过总线730与电子设备700的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备700使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是cd-rom，u盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、终端装置、或者网络设备等）执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

参考图8所示，描述了根据本发明的实施方式的用于实现上述方法的程序产品800，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网（lan）或广域网（wan），连接到用户计算设备，或者，可以连接到外部计算设备（例如利用因特网服务提供商来通过因特网连接）。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限。