[发明专利]访问控制及配置方法、装置、电子设备和存储介质

说明书

本发明提供一种访问控制及配置方法，该方法通过在Kong网关内配置PEP模块，第一服务端口内配置PAP模块，第二服务端口内配置PDP模块；并且建立这些模块之间的路由。其中统一身份系统用于存储主客体信息数据并生产身份令牌，以及进行相关数据的给付和身份验证；所述PEP模块用于从统一身份系统处获得访问请求权限信息的元素而生成决策请求并发送给PDP模块，以及接收PDP模块反馈的评估结果并执行客体的访问；所述PAP模块从统一身份系统中获得客体信息数据、提供相应的权限数据和策略数据的定义，并将上述数据同步给提供给PDP模块；配置所述PDP模块根据决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块。

技术领域

本发明涉及访问控制方法，特别是一种提高访问和数据安全性的方法。

背景技术

RBAC(Role Base Access Control)基于角色的访问控制，是被访问资源的粗粒度权限控制模式，拥有同一个角色所获得的权限是相同的。现有静态的RBAC模式已无法满足企业的业务需求，同一个角色下无法区分查看的数据，更无法基于访问者的特征信息进行评估权限与安全，不管在数据和访问上都存在安全的问题。

ABAC(Attribute Base Access Control)基于属性的访问控制，也称细粒度访问控制，ABAC是ZTNA(Zero Trust Netware Access)零信任网络访问的一部分，是一种针对业务安全提供基于动态策略的控制模式。ABAC越来越受到企业的关注，也得到了市场的认可。

ABAC是由PDP、PEP、PAP、PIP几个关键服务模块组成，其中：

PDP(Policy Decision Point)策略决策点，其工作原理是决策引擎通过权限数据和策略数据的整合与解析，结合访问信息进行动态评估，最终返回给PEP请求的评估结果。PDP有自己的数据格式，为通过数据图形化方式定义并生成的PDP专用的数据格式文本，文本以JSON的方式存在，兼容XACML。

策略决策需要借助外部的数据，数据策略支持多种可配置模式的请求和解析，通过接口配置完成外部数据的获取，进行适合多种业务模式的处理与转换，结合处理PDP决策的结果，实现策略访问控制。

PAP(Policy Administrator Point)决策管理点，是用于给PDP提供权限数据和策略数据的定义，也是动态权限管理中心。

PEP(Policy Enforcement Point)策略执行点，是用于解析请求，根据上下文获取信息，并生成PDP策略决策的请求格式报文。这里生成的策略数据文本也是一种脚本语言，提供对资源权限数据的引用与处理，预设了对请求数据的逻辑判断和策略评估，根据PDP返回的决策结果验证请求的合法性。提取PDP需要的属性元素并生成报文，可携带附加信息，为业务的扩展提供支持，提供报文动态属性加密选项，保障通讯中的报文安全。

PIP(Policy Information Point)策略信息点，是提供PDP除权限数据以外的信息，譬如用户信息，一般这类非权限数据信息不会在PAP里定义，而需动态进行装载。

但是现有的API网关没有提供接入基于ABAC细粒度访问控制模块，无法满足企业对业务细粒度策略访问控制的需求，由于无法控制应用层的业务访问安全，存在很大的应用安全访问隐患。

发明内容

本发明目的在于提供一种访问控制配置方法，用于解决现有的经由API网关的访问存在很大的安全隐患的技术问题。

为达成上述目的，本发明提出如下技术方案：

访问控制配置方法，配置Kong网关、第一服务端口、第二服务端口和统一身份系统；其中，

Kong网关内配置PEP模块，第一服务端口内配置PAP模块，第二服务端口内配置PDP模块；