(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111521566.5 (22)申请日 2021.12.13 (71)申请人 北京思特奇信息技 术股份有限公司 地址 100086 北京市海淀区中关村南大街6 号14层 申请人 北京邮电大 学 (72)发明人 吴智辰　裘晓峰　高骏捷　寿国础　 刘乃希　陈远强　孙浩　张文蕾　 李继清　李洪星　薛俊礼　刘雅琼　 胡怡红　 (74)专利代理 机构 北京汇信合知识产权代理有 限公司 1 1335 代理人 林聪源 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/32(2006.01) (54)发明名称 一种基于安全属性的微服务访问控制方法、 系统及装置 (57)摘要 本发明提供一种基于安全属性的微服务访 问控制方法、 系统及装置， 涉及网络安全技术领 域， 包括： 接收用户的微服务访问请求， 包括微服 务名称； 据微服务名称查询并获取对应的所有安 全属性及属性值； 获取用户对应微服务的所有安 全属性的属性值， 并与微服务的所有安全属性值 的属性值进行比对， 获取授权 结果； 若允许授权， 微服务根据访问请求向用户返回访问结果。 本发 明的有益效果是： 保留k8s系统本身提供的基于 角色访问控制中的用户角色， 并为用户分配属 性， 根据安全属性对用户进行权 限限制， 实现了 对微服务资源访问的安全管理， 同时遵循动态 性、 可拓展性原则， 实现了对微服务资源访问的 动态、 细粒度管理。 权利要求书2页 说明书9页 附图2页 CN 114422183 A 2022.04.29 CN 114422183 A 1.一种基于安全属性的微 服务访问控制方法， 其特 征在于， 包括： 接收用户的微 服务访问请求， 包括 微服务名称； 根据所述 微服务名称查询并获取对应的所有安全属性及属性 值； 获取所述用户对应所述微服务的所有安全属性的属性值， 并与 所述微服务的所有安全 属性值的属性 值进行比对， 获取授权结果； 若允许授权， 所述 微服务根据所述访问请求向所述用户返回访问结果。 2.根据权利要求1所述的微服务访问控制方法， 其特征在于： 所述安全属性包括危险系 数、 安全等级和用户角色， 所述 危险系数和危险等级的优先级高于所述用户角色。 3.根据权利要求1所述的微服务访 问控制方法， 其特征在于： 在用户进行注册时， 根据 用户管理策略为用户分配安全属性及属性 值。 4.根据权利要求1所述的微服务访问控制方法， 其特征在于： 所述微服务中不同资源具 有不同的安全属性； 通用资源的安全属性的属性 值由创建时固定分配； 用户在访问微服务过程中创建资源的安全属性， 属性值继承该所述用户当前的安全属 性的属性 值， 并随之动态变化。 5.根据权利要求1所述的微服务访问控制方法， 其特征在于： 所述访问请求中还包括用 户令牌信息； 接收用户的微服务访 问请求时， 首先解析并验证用户的所述令牌信息， 保证用户为合 法用户， 同时实现限流。 6.根据权利要求1所述的微服务访问控制方法， 其特征在于： 所述用户安全属性的属性 值根据所述用户访问过程中的访问行为、 环境动态变化。 7.根据权利要求1所述的微 服务访问控制方法， 其特 征在于： 预设安全 控制策略； 根据所述微服务的安全属性的属性值与对应的所述用户的安全属性的属性值比对结 果， 匹配所述 安全控制策略； 若匹配成功， 则允许授权， 否则， 拒绝授权 。 8.根据权利要求7所述的微服务访问控制方法， 其特征在于： 所述安全控制策略包括多 个所述微服务对所述 安全属性的要求； 根据所述安全属性的优先级逐个匹配所述用户的安全属性的属性值与所述微服务对 各所述安全属性的要求； 匹配过程中， 若一个所述 安全属性未满足要求， 则拒绝授权 。 9.一种实现如权利要求1～8任一项所述的微服务访 问控制方法的系统， 其特征在于， 包括： 设于远端云的身份中心和设于边缘云的API网关、 访问控制模块、 k8s连接代理模块和 微服务模块； 所述身份中心， 用于： 用户进行身份信息注 册； 管理员根据管理策略对所述用户分配安全属性及安全属性 值； 所述API网关， 用于： 接收用户的访问请求；权　利　要　求　书 1/2 页 2 CN 114422183 A 2解析并验证所述用户的访问请求中的令牌信息， 保证用户为 合法用户； 向所述访问控制模块传送所述用户的请求信息； 接收并记录所述访问控制模块的授权结果， 若允许授权， 则与所述k8s连接代 理模块交 互， 并获取 该用户对应的执 行权； 根据所述执 行权将所述访问请求 转发至所述 微服务模块对应的微 服务； 所述访问控制模块， 用于： 根据所述用户访问请求中的微 服务名称查询并获取对应的所有安全属性及属性 值； 获取所述用户对应所述微服务的所有安全属性的属性值， 并与 所述微服务的所有安全 属性值的属性 值进行比对， 获取授权结果； 所述微服务模块， 用于： 对应的所述 微服务接收访问请求， 向所述用户返回访问结果。 10.一种实现如权利要求9所述的微服务访问控制系统的装置， 其特征在于： 包括至少 三台电子设备， 所述电子设备均包含输入、 输出、 存储、 控制、 通信单元， 分别用于设置身份 中心、 设置API网关和访问控制模块以及设置微 服务模块。权　利　要　求　书 2/2 页 3 CN 114422183 A 3