[发明专利]一种边缘云场景下用户权限控制与转移方法及系统

说明书

本发明提供一种边缘云场景下用户权限控制与转移方法，终端设备获取属性信息，并进行整合形成属性集，向边缘云系统发起访问请求；边缘云系统对终端设备的访问权限进行判定，采用基于属性集进行访问判定；判定通过后，终端设备在授权许可的范围内访问边缘云系统。防止了信息泄露，避免了边缘云间用户流动性大带来的权限控制复杂的问题。实现权限的细粒度访问控制，保障云系统与服务得到正确、安全的使用。本发明还针对边缘云权限控制粒度小、用户权限转移等需求，引入权限控制层，实现边缘云用户权限控制与转移。

技术领域

本发明涉及云计算安全保密领域，尤其涉及一种边缘云场景下用户权限控制与转移方法及系统。

背景技术

边缘云场景下，用户登陆云终端，访问边缘云资源/业务时，需要进行权限控制，防止恶意用户登陆边缘云进行非法操作。为了防止信息泄露，用户权限分配遵循最小化的原则，导致权限控制更加复杂。

而且，边缘云用户访问流动性大，如果无法及时的进行匹配判断，并确定用户访问权限的话，将导致用户无法及时进行云服务，如果访问权限未能准确的及时的匹配将导致用户超权限访问，或者无法实现本权限内的访问。还导致访问无法进行，严重影响用户的使用体验。

发明内容

为了克服上述现有技术中的不足，本发明提供一种边缘云场景下用户权限控制与转移方法，方法包括：

步骤一，终端设备获取属性信息，并进行整合形成属性集，向边缘云系统发起访问请求；

步骤二，边缘云系统对终端设备的访问权限进行判定，采用基于属性集进行访问判定；

步骤三，判定通过后，终端设备在授权许可的范围内访问边缘云系统。

进一步需要说明的是，步骤一还包括：终端设备向预设地址对应的边缘节点发出访问请求；

所述预设地址对应的边缘节点验证终端设备身份权限信息；

验证通过后，预设地址对应的边缘节点的访问控制器获取所述终端设备的属性集，构造出基于属性的访问请求，交由决策模块进行属性信息执行判定；

决策模块将所述属性集与本地边缘策略库中的预设信息进行对比；

若匹配，则根据属性集中的属性信息，执行操作，并向访问控制器返回结果。

进一步需要说明的是，若本地属性不匹配，决策模块则请求访问控制中心节点；

若与控制中心节点连接成功，则查询访问控制中心的中心策略库，进行属性匹配，若属性匹配，则根据属性信息，执行操作，并向访问控制器返回结果；将控制中心的预设信息下载到本地边缘策略库中；

若与控制中心节点连接未成功，决策模块向访问控制器发出判定失败信息，并返回判定结果；

访问控制器根据判定结果对所述终端设备的访问进行放行或者阻断。

进一步需要说明的是，步骤二还包括：

根据属性集中包括的每个属性信息按照预设的顺序分别进行验证；

执行验证通过的属性信息，并向终端设备反馈执行结果。

进一步需要说明的是，方法还包括：

终端设备向当前边缘节点发出用户转移请求；

边缘节点验证终端设备身份权限信息且通过后，向目标边缘节点发出用户转移请求；

边缘节点与目标边缘节点互相确认所述终端设备身份合法后，所述目标边缘节点进行接收转移信息；

目标边缘节点的访问控制器接收终端设备转移信息，配置终端设备信息；