一种云平台及访问控制方法、存储介质与流程

本技术涉及边缘云领域，尤其涉及一种云平台及访问控制方法、存储介质。

背景技术：

1、云平台依托于云计算技术实现边缘侧的计算、网络、存储、安全及各类应用能力。云平台的应用场景也很广泛，云平台在工业互联网、智慧农业、能源物联网、安防监控、智慧园区、新零售、云游戏、虚拟现实(virtual reality，vr)/增强现实(augmented reality，ar)、智能家居、智慧医疗、车联网、智慧交通等多个行业都可以发挥巨大作用。无论在哪个应用场景，云平台上部署了相当数量该场景的应用，以实现应用场景的支持。因此，云平台对所部署的应用进行访问控制就成为了行业需要解决的一个问题。

2、现有技术是通过控制网络四元组访问策略实现对云平台上应用的访问控制，但是在只向访问者开放云平台上部分应用的场景下，由于只控制了网络访问，导致通过验证的访问者能够访问到云平台上的所有应用，存在安全隐患。

技术实现思路

1、本技术实施例提供一种云平台及访问控制方法、存储介质，能够提高访问应用过程中的安全性。

2、本技术的技术方案是这样实现的：

3、第一方面，本技术实施例提供一种云平台，所述云平台包括网关和访问控制单元；所述云平台关联至少一个应用；其中：

4、所述网关，用于向所述访问控制单元发送登录判断请求；所述登录判断请求携带目标对象针对目标应用的请求登录信息；所述请求登录信息包括第一映射信息和第一网络信息；所述第一映射信息为所述目标对象的授权码与所述目标应用的应用令牌之间的映射关系；

5、所述访问控制单元，用于在接收到所述登录判断请求的情况下，根据所述第一映射信息和预存的第二映射信息确定所述目标对象的目标编号；并从预设白名单中查找所述目标编号对应的预存网络信息；所述第二映射信息为所述目标对象的所述目标编号与所述授权码之间的映射关系；

6、所述访问控制单元，还用于若判断出所述第一网络信息与所述预存网络信息相同，则向所述网关返回允许登录的第一判断结果；以供所述网关基于所述第一判断结果允许所述目标对象登录所述目标应用。

7、在上述云平台中，所述网关，还用于若接收到所述访问控制单元返回的所述第一判断结果，则允许所述目标对象登录所述目标应用，并将所述应用令牌返回至所述目标对象；对所述目标对象针对所述目标应用的后续访问请求进行拦截；所述后续访问请求中携带所述应用令牌；

8、所述网关，还用于根据所述后续访问请求确定所述目标对象当前的第二网络信息；并向所述访问控制单元发送访问判断请求；所述访问判断请求携带目标对象针对目标应用的请求访问信息；所述请求访问信息包括所述第二网络信息和所述应用令牌。

9、在上述云平台中，所述访问控制单元，还用于在根据所述第一映射信息和预存的第二映射信息确定所述目标对象的目标编号之后，将所述目标编号与所述应用令牌存储为第三映射信息。

10、在上述云平台中，所述访问控制单元，还用于在接收到所述网关发送的所述访问判断请求的情况下，根据所述应用令牌和预存的第三映射信息确定所述目标对象的目标编号；并从所述预设白名单中查找所述目标编号对应的预存网络信息；

11、所述访问控制单元，还用于若所述第二网络信息与所述预存网络信息相同，则向所述网关返回允许访问的第二判断结果；以供所述网关基于所述第二判断结果允许所述目标对象继续访问所述目标应用。

12、在上述云平台中，所述身份认证单元，用于接收所述目标对象针对所述目标应用的第一访问请求；并在判断出所述目标对象未登录所述目标应用的情况下，判断所述目标对象是否进行过身份验证；若判断出所述目标对象未进行过身份验证，则向所述目标对象开放身份验证页面，以供所述目标对象在所述身份验证页面上进行身份验证；

13、所述身份认证单元，还用于若所述目标对象的身份验证通过，则为所述目标对象分配所述授权码，以供所述目标对象通过所述授权码登录所述目标应用。

14、在上述云平台中，所述应用前端单元，用于通过所述授权码向所述应用后端单元发起登录请求；所述登录请求携带所述授权码；

15、所述网关，还用于对所述登录请求进行拦截；并获取所述授权码；

16、所述网关，还用于将所述授权码发送至所述应用后端单元，以供所述应用后端单元返回对应的所述应用令牌；将所述授权码和所述应用令牌确定为所述第一映射信息。

17、在上述云平台中，所述应用后端单元，还用于通过所述授权码向所述身份认证单元申请访问所述目标应用的访问令牌；

18、所述身份认证单元，还用于将所述授权码和所述访问令牌确定为第四映射信息；并将所述第四映射信息发送至所述访问控制单元内；

19、所述身份认证单元，还用于在接收到所述应用后端单元发送的所述访问令牌的情况下，根据所述目标对象发送的所述第一访问请求确定所述目标编码，将所述目标编码和所述访问令牌确定为第五映射信息；并将所述第五映射信息发送至所述访问控制单元内，以供所述访问控制单元根据所述第四映射信息和所述第五映射信息确定所述第二映射信息。

20、在上述云平台中，所述访问控制单元，还用于若判断出所述第一网络信息与所述预存网络信息不同，则向所述网关返回不允许登录的第三判断结果；

21、所述网关，还用于若接收到所述访问控制单元返回的所述第三判断结果，则向所述目标对象开放登录失败页面，拒绝所述目标对象登录所述目标应用。

22、第二方面，本技术实施例提供一种访问控制方法，应用于云平台，所述云平台包括网关和访问控制单元；所述云平台关联至少一个应用；所述方法包括：

23、所述网关向所述访问控制单元发送登录判断请求；所述登录判断请求携带目标对象针对目标应用的请求登录信息；所述请求登录信息包括第一映射信息和第一网络信息；所述第一映射信息为所述目标对象的授权码与所述目标应用的应用令牌之间的映射关系；

24、所述访问控制单元在接收到所述登录判断请求的情况下，根据所述第一映射信息和预存的第二映射信息确定所述目标对象的目标编号；并从预设白名单中查找所述目标编号对应的预存网络信息；所述第二映射信息为所述目标对象的所述目标编号与所述授权码之间的映射关系；

25、所述访问控制单元若判断出所述第一网络信息与所述预存网络信息相同，则向所述网关返回允许登录的第一判断结果；以供所述网关基于所述第一判断结果允许所述目标对象登录所述目标应用。

26、第三方面，本技术实施例提供一种存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如上述的访问控制方法。

27、本技术实施例提供了一种云平台及访问控制方法、存储介质，云平台包括网关和访问控制单元；云平台关联至少一个应用；其中：网关，用于向访问控制单元发送登录判断请求；登录判断请求携带目标对象针对目标应用的请求登录信息；请求登录信息包括第一映射信息和第一网络信息；第一映射信息为目标对象的授权码与目标应用的应用令牌之间的映射关系；访问控制单元，用于在接收到登录判断请求的情况下，根据第一映射信息和预存的第二映射信息确定目标对象的目标编号；并从预设白名单中查找目标编号对应的预存网络信息；第二映射信息为目标对象的目标编号与授权码之间的映射关系；访问控制单元，还用于若判断出第一网络信息与预存网络信息相同，则向网关返回允许登录的第一判断结果；以供网关基于第一判断结果允许目标对象登录目标应用；采用上述实现方案，通过在云平台内设置访问控制单元和网关，通过访问控制单元和网关相结合能够在目标对象登陆云平台上的应用时，对该目标对象针对该目标应用的访问进行精细化控制，进而提高了访问应用过程中的安全性。