算力网络操作系统的访问系统、方法、装置、设备及介质与流程

本技术涉及计算机，具体涉及一种算力网络操作系统的访问系统、方法、装置、设备及介质。

背景技术：

1、算力网络通过网络连接广泛分布于云、边、端的多级多样算力，通过感知算力的状态和算力应用的需求，实现算力和需求的高效匹配与调度，在提高算网资源利用率的同时，为各行各业提供泛在、高品质、低成本的算力。算力网络操作系统作为算力网络的核心基础，遵循向下管资源、向上支撑应用的原则和理念。其所纳管的资源具有空间泛在、时间多变、归属不同、形式多样等特点，向上支撑的应用具有环境多变、场景复杂、需求多样等特点。这使得算力网络在提供泛在算力的同时，也导致系统具有分布式、多模块协作、开放共生、多方接入等特征，亟需为众多参与方提供安全可信、弹性适配的统一访问机制，保障算力网络基础设施的安全、稳定和可靠。

2、传统的安全访问机制普遍基于边界安全架构，即根据被保护资源的安全要求，通过企业防火墙、web防火墙、入侵检测系统（intrusion detection system，ids）、入侵防御系统（intrusion prevention system，ips）、网关等安全设备，将物理网络划分为可信和不可信两个区域。这在系统相对封闭、业务形态相对固定、参与方划分较简单的场景，可以满足安全防护的要求。但应对算力网络的应用场景时，存在以下问题：算力网络提供开放共生的机制，其访问者包括算力供应者、算网运营者、算网运维者、算力消费者以及构建整体算力网络的基础应用和丰富算力形态的上层应用，在本身支持通用算力、智能算力和超算算力的基础上，灵活部署于其上的应用可生产出更加丰富的多样算力，从而加剧了算力资源的异构性，这使得传统安全访问机制以固定访问规则的方法难以覆盖这样的参与方众多、资源异构且动态的场景；其次，因算力网络旨在提供算力的高效流通，其运营过程中需对算力和网络做编排操作，这导致传统的网络边界难以存在，从而无法用传统方法设定安全边界；另外，算力网络的丰富功能需要多应用、多模块分布式协作实现，这增加了域内的横向访问，而传统的安全访问机制缺乏对域内横向攻击的防范。由此，基于上述问题，导致当前进行算力网络操作系统的访问时效率低下。

技术实现思路

1、本技术实施例提供一种算力网络操作系统的访问系统、方法、装置、设备及介质，用以提高进行算力网络操作系统的访问时的效率。

2、第一方面，本技术实施例提供一种算力网络操作系统的访问系统，包括信任评估引擎模块、算力网络资源管理模块、应用程序编程接口api代理模块、安全代理模块和认证鉴权中心模块；

3、所述信任评估引擎模块用于根据系统信息动态生成第一访问管理策略并上传至所述认证鉴权中心模块；

4、所述api代理模块用于供访问方基于用户注册信息发起认证请求或基于令牌发起对目标域的访问请求；所述访问方包括用户、设备与服务中的至少一项；

5、所述安全代理模块用于供被访问方基于域策略对所述访问请求进行鉴权，并上报产生的系统信息至所述信任评估引擎模块；

6、所述认证鉴权中心模块用于根据认证请求中的用户注册信息，结合所述第一访问管理策略与第二访问管理策略，对所述访问方进行认证，在所述用户注册信息通过认证时根据认证结果返回令牌至所述访问方；所述第二访问管理策略是所述认证鉴权中心模块中预置的基于最小权限原则设定的访问管理策略；

7、所述算力网络资源管理模块用于在确定所述访问请求通过令牌校验和域内资源权限校验后，将所述访问请求路由至与所述访问请求对应的资源操作的api进行处理，并将得到的资源操作结果传输至所述访问方。

8、在一个实施例中，所述算力网络资源管理模块与所述认证鉴权中心模块还用于通过所述安全代理模块将运行过程产生的系统信息上传至所述信任评估引擎模块，以供所述信任评估引擎模块根据所述系统信息动态生成所述第一访问管理策略。

9、在一个实施例中，所述第一访问管理策略包括用户信任等级的评估策略、用户异常行为的检测策略、异常访问的检测策略、系统超阈值访问的熔断策略。

10、在一个实施例中，还包括加密解密模块；

11、所述加密解密模块用于所述访问请求、所述认证请求、所述令牌以及所述资源操作结果在传输过程的信息加解密。

12、在一个实施例中，所述认证鉴权中心模块包括用户管理模块、认证鉴权授权模块、令牌管理模块与策略管理模块；

13、所述用户管理模块用于完成用户与角色、权限、资源的抽象和管理；用于为所述认证鉴权授权模块提供所述访问方的认证所需的用户基础信息；所述认证包括信息认证、鉴权和授权；

14、所述认证鉴权授权模块用于基于所述用户管理模块提供的用户基础信息对认证请求进行信息认证，并结合所述第一访问管理策略与第二访问管理策略对认证请求进行鉴权和授权；

15、所述令牌管理模块用于基于所述认证鉴权授权模块生成的鉴权结果与授权结果进行令牌的生成，以及用于对令牌进行更新与废弃；

16、所述策略管理模块用于管理所述信任评估引擎模块上传的所述第一访问管理策略与所述第二访问管理策略。

17、第二方面，本技术实施例提供一种算力网络操作系统的访问方法，应用于第一方面所述的算力网络操作系统的访问系统，所述算力网络操作系统的访问方法包括：

18、接收访问请求，对所述访问请求进行令牌校验与域内资源权限校验；所述访问请求是访问方基于令牌对目标域发起的；所述访问方包括用户、设备与服务中的至少一项；

19、若所述访问请求通过所述令牌校验与所述域内资源权限校验，将所述访问请求路由至所述访问请求对应的资源操作的api进行处理；

20、将处理后的资源操作结果传输至所述访问方。

21、在一个实施例中，还包括：

22、接收所述访问方基于用户注册信息发起认证请求；

23、根据所述认证请求中的用户注册信息，结合第一访问管理策略与第二访问管理策略，对所述访问方进行认证；其中，所述第一访问管理策略是动态生成的；

24、若所述用户注册信息通过认证，根据认证结果返回令牌至所述访问方。

25、第三方面，本技术实施例提供一种算力网络操作系统的访问装置，包括：

26、接收模块，用于接收访问请求，对所述访问请求进行令牌校验与域内资源权限校验；所述访问请求是访问方基于令牌对目标域发起的；所述访问方包括用户、设备与服务中的至少一项；

27、路由模块，用于若所述访问请求通过所述令牌校验与所述域内资源权限校验，将所述访问请求路由至所述访问请求对应的资源操作的api进行处理；

28、传输模块，用于将处理后的资源操作结果传输至所述访问方。

29、第四方面，本技术实施例提供一种设备，所述设备为电子设备，包括处理器和存储有计算机程序的存储器，所述处理器执行所述程序时实现第二方面所述的算力网络操作系统的访问方法。

30、第五方面，本技术实施例提供一种介质，所述介质为计算机可读存储介质，包括计算机程序，所述计算机程序被处理器执行时实现第二方面所述的算力网络操作系统的访问方法。

31、本技术实施例提供的算力网络操作系统的访问系统、方法、装置、设备及介质，通过对算力网络操作系统的用户、设备与服务统一抽象为注册用户，以便捷地实现算力网络各参与方和资源的动态变更；对每一访问方进行认证、令牌校验与域内资源权限校验，实现持续、智能、分布式的访问校验，提供安全可信、弹性适配的统一访问机制，便于算力网络操作系统的生态开放；将鉴权过程分解为认证鉴权中心模块获取令牌和算力网络资源管理模块基于令牌进行令牌校验、资源权限校验的两次鉴权，可降低认证鉴权中心模块的负载，实现算力网络纳管资源的大规模扩展；由此，可以提高进行算力网络操作系统的访问时的效率。