[发明专利]一种鉴权方法及相关设备

说明书

本申请提供一种鉴权方法及相关设备。其中，该方法包括：数据服务器接收访问请求，该访问请求中携带用户的标识，用于请求访问业务数据，该数据服务器用于存储所述业务数据；该数据服务器产生权限策略获取请求，该权限策略获取请求中携带用户的标识；将该权限策略获取请求发送至分布式存储系统，该权限策略获取请求用于指示分布式存储系统根据用户的标识确定存储该用户的权限策略存储设备；接收存储该用户的权限策略的存储设备发送的用户的权限策略；根据用户的权限策略确定访问请求是否有访问所述业务数据的权限。上述方法能够避免在数据服务器上对用户的访问权限策略进行同步操作，提高数据服务器在鉴权时的准确性和可靠性。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种鉴权方法及相关设备。

背景技术

在大数据场景中，数据服务器的数量非常巨大，种类繁多，为了保护各个数据服务器的安全，需要对数据服务器的访问进行鉴权，验证用户是否具有访问权限。而如何对众多数据服务器的访问进行有效的统一控制，是大数据安全领域非常重要的问题。

目前是利用一个权限管理服务器来统一管理一个数据中心(data center，DC)的所有数据服务器的访问权限策略，各个数据服务器需要提前通过权限管理服务器获取各个数据服务器对应的访问权限策略，且需要与权限管理服务器所管理的访问权限策略保持同步。当数据服务器数量过多时，权限管理服务器的性能将会严重下降，此外，每个数据服务器中存储的访问权限策略不能及时的更新，存在同步时延，导致数据服务器在进行鉴权时产生误判。

因此，如何保证权限管理服务器性能稳定，以及减小访问权限策略同步时延，提高鉴权准确性是目前亟待解决的问题。

发明内容

本发明实施例公开了一种鉴权方法及相关设备，能够使得权限管理服务器和各个数据服务器访问同一个分布式存储系统，从而提高数据服务器在进行鉴权时的准确性和可靠性。

第一方面，本申请提供了一种鉴权方法，包括：数据服务器接收访问请求，该访问请求中携带用户的标识，用于请求访问业务数据，所述数据服务器用于存储所述业务数据；该数据服务器产生权限策略获取请求，所述权限策略获取请求中携带用于指示所述分布式存储根据所述用户的标识确定在所述分布式存储系统中存储所述用户的权限策略存储设备；数据服务器接收存储所述用户的权限策略的存储设备发送的所述用户的权限策略；数据服务器根据所述用户的权限策略确定所述访问请求是否具有访问所述业务数据的权限。

可选的，数据服务器可以是物理机、物理机运行的虚拟机、或者是物理机上运行的数据库程序等。

在本申请提供的方案中，数据服务器在接收到访问请求之后，不再直接利用本地存储的权限策略进行鉴权，而是产生一个携带用户的标识的权限策略获取请求，并将其发送给分布式存储系统，分布式存储系统中存储了用户的权限策略，然后数据服务器接收存储用户的权限策略的存储设备发送的该用户的权限策略，并根据接收到的用户的权限策略对访问请求是否具有访问业务数据的权限作出判决。这样可以实时的获取到用户的权限策略，避免在本地存储用户的权限策略所导致的同步时延，且可以提高数据服务器在鉴权时的准确性和可靠性。

结合第一方面，在第一方面一种可能的实现方式中，数据服务器在根据用户的权限策略确定访问请求有访问所述业务数据的权限时，获取所述业务数据；当所述访问请求是其他数据中心发送的访问请求时，将所获取的业务数据发送至发送所述访问请求的数据中心。

在本申请提供的方案中，分布式存储系统还支持跨数据中心鉴权，即数据服务器可以对直接接收到的访问请求进行鉴权，也可以对通过其他数据中心转发的访问请求进行鉴权，当确定访问请求具有访问权限时，对于直接接收到的访问请求，可以直接将获取到的数据返回给用户，对于通过其他数据中心转发而接收到访问请求，则将获取到的数据返回至其他数据中心，进而返回给用户。这样可以提高数据服务器在进行鉴权时的灵活性和鉴权效率。