CN108243175A - 一种基于桶策略的访问控制方法及装置 - Google Patents
一种基于桶策略的访问控制方法及装置 Download PDFInfo
- Publication number
- CN108243175A CN108243175A CN201611229337.5A CN201611229337A CN108243175A CN 108243175 A CN108243175 A CN 108243175A CN 201611229337 A CN201611229337 A CN 201611229337A CN 108243175 A CN108243175 A CN 108243175A
- Authority
- CN
- China
- Prior art keywords
- target
- bucket
- strategy
- resource
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种基于桶策略的访问控制方法及装置。该方法应用于云存储系统,包括:接收目标用户发送的针对目标资源的目标类型操作的访问请求;确定目标资源所对应的目标存储桶;判断目标用户是否为目标存储桶的所有者;当判断结果为否时,根据预设桶策略库中与目标存储桶相对应的目标桶策略,判断该访问请求是否被允许,其中,目标桶策略为采用访问策略语言预先为所述目标存储桶所设置的,目标桶策略的策略内容为:允许和/或禁止预定用户对预定资源执行预定类型操作,预定资源为所述目标存储桶或所述目标存储桶内的对象;若被允许,授予目标用户对目标资源执行目标类型操作的访问权限。通过本方案,可以提高云存储系统的安全性。
Description
技术领域
本发明涉及云存储技术领域,特别是涉及一种基于桶策略的访问控制方法及装置。
背景技术
云存储,是指通过集群应用、网格技术或分布式文件系统等功能,将网络中各种不同存储类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统,它是在云计算的概念上延伸和发展出来的一个新的概念。
随着云存储的快速发展,云存储安全问题成为用户和业界关注的焦点,云存储的非法访问、数据破坏、信息泄露等安全风险,降低了用户对云存储安全的信任。
因此,工业界在发展各自云计算服务规模、性能的同时,也不断提升云计算平台的安全能力。对于云安全中的访问控制技术,各大云计算服务提供商和开源云平台在体系结构、控制手段、具体技术等方面都有所研究,并运用到实际运营当中,以满足下列3个方面的安全需求:第一,保护自身免受外来攻击;第二,确保云计算环境中不同租户之间的数据独立性,具体地,在一个云环境中,通常会有两个以上的租户,他们之间的数据不能互相干扰,而且在未经授权的情况下,一个租户不能访问另一个租户的数据;第三,确保自身平台安全,比如访问控制、身份认证等基础性的要求。
现有技术中,常采用ACL(Access Control List,访问控制列表)来描述用户能对存储桶(Bucket)或存储桶内的对象(Object)进行操作的权限,主要包括读、写、完全控制3种级别的权限,在存储桶和对象的所有者未指定存储桶和对象的ACL时,系统会使用默认的ACL来控制用户访问。所有存储桶默认其所有者具有完全控制权限,所有者可以通过修改和更新ACL来控制其他用户的不同权限。其中,对象是用户操作的基本数据单元;存储桶是云存储平台上的一个存储空间,每个所有者可拥有一个到多个存储桶,它是存放对象的容器,所有的对象都必须存放在特定的存储桶中。
但当应用基于ACL的访问控制方法时,针对若干匿名用户,若授予了权限,则所有的匿名用户都将被授予权限,无法根据实际需求,只针对某一个或某一类匿名用户授予权限,使得针对匿名用户的访问控制不具有针对性,导致云存储系统的安全性较低。
发明内容
本发明实施例的目的在于提供一种基于桶策略的访问控制方法及装置,以提高云存储系统的安全性。具体技术方案如下:
第一方面,本发明实施例提供了一种基于桶策略的访问控制方法,应用于云存储系统,所述方法包括:
接收目标用户发送的针对目标资源的目标类型操作的访问请求,其中,所述目标资源的数据类型为存储桶或对象;
确定所述目标资源所对应的目标存储桶;
判断所述目标用户是否为所述目标存储桶的所有者;
当判断结果为否时,根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述访问请求是否被允许;其中,所述目标桶策略为采用访问策略语言预先为所述目标存储桶所设置的,所述目标桶策略的策略内容为:允许和/或禁止预定用户对预定资源执行预定类型操作,所述预定资源为所述目标存储桶或所述目标存储桶内的对象;
若被允许,授予所述目标用户对所述目标资源执行所述目标类型操作的访问权限。
可选地,在所述接收目标用户发送的针对目标资源的目标类型操作的访问请求的步骤之前,所述方法还包括:
接收管理者发送的关于所述目标存储桶的桶策略添加请求;其中,所述桶策略添加请求包括所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息;
根据所述桶策略添加请求所携带的所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息,采用所述访问策略语言,创建所述目标桶策略;将所述目标桶策略添加到所述预设桶策略库中。
可选地,本发明实施例提供的基于桶策略的访问控制方法,还包括:
若所述访问请求被拒绝,根据所述目标资源对应的访问控制列表,判断所述访问请求是否被允许;
如果是,执行所述授予所述目标用户对所述目标资源执行所述目标类型操作的访问权限的步骤。
可选地,所述根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述访问请求是否被允许的步骤,包括:
根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式拒绝;
若不被显示拒绝,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式允许;
若被显示允许,判定所述访问请求被允许。
可选地,所述判断所述目标用户对所述目标资源的所述目标类型操作是否被显式拒绝的步骤,包括:
判断所述目标桶策略的策略内容中是否指示所述目标用户被拒绝对所述目标资源执行所述目标类型操作。
可选地,所述判断所述目标用户对所述目标资源的所述目标类型操作是否被显式允许的步骤,包括:
判断所述目标桶策略的策略内容中是否指示所述目标用户被允许对所述目标资源执行所述目标类型操作。
可选地,所述访问策略语言为JSON语言。
可选地,在所述将所述目标桶策略添加到预设桶策略库中的步骤之前,所述方法还包括:
判断所述目标桶策略是否符合所述JSON语言的格式;
若符合,判断所述目标桶策略中的策略元素是否齐全,其中,所述策略元素与所述预定用户的用户信息以及预定类型操作的类型信息相关;
若齐全,判断所述策略元素中每一元素的值是否均符合对应的预设规则;
所述将所述目标桶策略添加到预设桶策略库中的步骤,包括:
在所述策略元素中每一元素的值均符合对应的预设规则的情况下,将所述目标桶策略添加到预设桶策略库中。
可选地,本发明实施例提供的基于桶策略的访问控制方法,还包括:
若所述策略元素中每一元素的值不是均符合对应的预设规则,生成错误提示信息。
第二方面,本发明实施例提供了一种基于桶策略的访问控制装置,应用于云存储系统,所述装置包括:
第一接收模块,用于接收目标用户发送的针对目标资源的目标类型操作的访问请求,其中,所述目标资源的数据类型为存储桶或对象;
确定模块,用于确定所述目标资源所对应的目标存储桶;
第一判断模块,用于判断所述目标用户是否为所述目标存储桶的所有者;
第二判断模块,用于在所述第一判断模块的判断结果为否的情况下,根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述访问请求是否被允许;其中,所述目标桶策略为采用访问策略语言预先为所述目标存储桶所设置的,所述目标桶策略的策略内容为:允许和/或禁止预定用户对预定资源执行预定类型操作,所述预定资源为所述目标存储桶或所述目标存储桶内的对象;
授予模块,用于当所述第二判断模块的判断结果为被允许的情况下,授予所述目标用户对所述目标资源执行所述目标类型操作的访问权限。
可选地,本发明实施例提供的基于桶策略的访问控制装置,还包括:
第二接收模块,用于在所述第一接收模块接收目标用户发送的针对目标资源的目标类型操作的访问请求之前,接收管理者发送的关于所述目标存储桶的桶策略添加请求;其中,所述桶策略添加请求包括所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息;
创建模块,用于根据所述桶策略添加请求所携带的所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息,采用所述访问策略语言,创建所述目标桶策略;
添加模块,用于将所述目标桶策略添加到所述预设桶策略库中。
可选地,本发明实施例提供的基于桶策略的访问控制装置,还包括:
第三判断模块,用于在所述第二判断模块的判断结果为被拒绝的情况下,根据所述目标资源对应的访问控制列表,判断所述访问请求是否被允许;如果是,触发所述授予模块。
可选地,所述第二判断模块,包括:
第一判断子模块,用于根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式拒绝;
第二判断子模块,用于在所述第一判断子模块的判断结果为不被显示拒绝的情况下,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式允许;
判定子模块,用于在所述第二判断子模块的判断结果为被显示允许的情况下,判定所述访问请求被允许。
可选地,所述第一判断子模块,具体用于:
根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述目标桶策略的策略内容中是否指示所述目标用户被拒绝对所述目标资源执行所述目标类型操作。
可选地,所述第二判断子模块,具体用于:
在所述第一判断子模块的判断结果为不被显示拒绝的情况下,判断所述目标桶策略的策略内容中是否指示所述目标用户被允许对所述目标资源执行所述目标类型操作。
可选地,所述访问策略语言为JSON语言。
可选地,本发明实施例提供的基于桶策略的访问控制装置,还包括:
第四判断模块,用于在所述添加模块将所述目标桶策略添加到预设桶策略库中之前,判断所述目标桶策略是否符合所述JSON语言的格式;
第五判断模块,用于在所述第四判断模块的判断结果为符合的情况下,判断所述目标桶策略中的策略元素是否齐全,其中,所述策略元素与所述预定用户的用户信息以及预定类型操作的类型信息相关;
第六判断模块,用于在所述第五判断模块的判断结果为齐全的情况下,判断所述策略元素中每一元素的值是否均符合对应的预设规则;
所述添加模块,具体用于:
在所述第六判断模块的判断结果为均符合的情况下,将所述目标桶策略添加到预设桶策略库中。
可选地,本发明实施例提供的基于桶策略的访问控制装置,还包括:
生成模块,用于在所述第六判断模块的判断结果不为均符合的情况下,生成错误提示信息。
应用本发明实施例提供的技术方案,可以根据实际需求,预先创建目标桶策略,允许和/或禁止预定用户对预定资源执行预定类型操作,基于桶策略的定义,可以理解的是,预定用户可以为所有的匿名用户,也可以为满足某些条件的部分匿名用户,或者来自特定源IP地址的匿名用户,如此,当接收到的目标用户发送的针对目标资源的目标类型操作的访问请求,根据目标桶策略判定该访问请求被允许时,目标用户便可以被授予相关权限,可以理解的是,目标用户可以为预定用户中的一个或多个用户。与现有技术相比,可以看出,应用本发明实施例提供的基于桶策略的访问控制方法,能够只针对某一个或某一类匿名用户授予权限,使得针对匿名用户的访问控制更具有针对性,提高云存储的安全性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于桶策略的访问控制方法的第一种流程示意图;
图2为本发明实施例提供的基于桶策略的访问控制方法的第二种流程示意图;
图3为本发明实施例提供的基于桶策略的访问控制方法的第三种流程示意图;
图4为本发明实施例提供的基于桶策略的访问控制方法的第四种流程示意图;
图5为本发明实施例提供的基于桶策略的访问控制方法的第五种流程示意图;
图6为本发明实施例提供的基于桶策略的访问控制方法的第六种流程示意图;
图7为本发明实施例提供的基于桶策略的访问控制装置的第一种结构示意图;
图8为本发明实施例提供的基于桶策略的访问控制装置的第二种结构示意图;
图9为本发明实施例提供的基于桶策略的访问控制装置的第三种结构示意图;
图10为本发明实施例提供的基于桶策略的访问控制装置的第四种结构示意图;
图11为本发明实施例提供的基于桶策略的访问控制装置的第五种结构示意图;
图12为本发明实施例提供的基于桶策略的访问控制装置的第六种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高云存储系统的安全性,本发明实施例提供了一种基于桶策略的访问控制方法及装置。
下面首先对本发明实施例所提供的一种基于桶策略的访问控制方法进行介绍。
需要说明的是,桶策略是由桶的所有者指定的桶访问许可,另外,桶策略也可以是由被赋予了相应权限的用户进行创建或设置。设置桶策略后,后续对该桶的访问请求都将受到桶策略的限制,这种限制表现为接受或拒绝请求。
另外,本发明实施例所提供的一种基于桶策略的访问控制方法的执行主体可以为一种基于桶策略的访问控制装置。
参见图1,本发明实施例提供了一种基于桶策略的访问控制方法,包括如下步骤:
S101,接收目标用户发送的针对目标资源的目标类型操作的访问请求。
其中,目标资源的数据类型为存储桶或对象。
需要说明的是,目标用户可以为云存储系统上的租户、云存储系统上的账户或者某一账户下包含的用户;而目标用户可以进行操作的资源的数据类型可以为存储桶本身或者某一存储桶内的一个或多个对象,这都是合理的。
可以理解的是,一个租户可以有多个账户,而一个账户下可以有多个用户。
S102,确定目标资源所对应的目标存储桶。
其中,可以根据目标用户访问请求中携带的目标资源的标识信息,确定目标资源对应的目标存储桶,以便后续进行访问请求的验证。
S103,判断目标用户是否为目标存储桶的所有者,若为否,执行S104。
需要说明的是,默认情况下,目标存储桶的所有者拥有对目标存储桶以及目标存储桶内的所有对象的完全控制权限,但在创建目标存储桶对应的桶策略时,可能会出现禁止了目标存储桶所有者的一些权限的误操作,那么,为防止由于这种误操作而使得目标存储桶的所有者无法行使某些权限的现象发生,可以首先判断目标用户是否为目标存储桶的所有者,如果是,则直接授予目标用户对目标资源执行目标类型操作的访问权限,否则,执行S104,作进一步判断。
S104,根据预设桶策略库中与目标存储桶相对应的目标桶策略,判断该访问请求是否被允许,若被允许,执行S105。
其中,目标桶策略为采用访问策略语言预先为目标存储桶所设置的,实际应用中,访问策略语言可以为JSON语言;目标桶策略的策略内容为:允许和/或禁止预定用户对预定资源执行预定类型操作,且预定资源为目标存储桶或目标存储桶内的对象。
可以理解的是,桶策略是兼具用户层次和账户层次的控制策略,因此预定用户可以为云存储系统上的租户、云存储系统上的账户或者某一账户下包含的用户,而现有技术中的ACL只可以授予账户,不能授予账户下的用户权限。由此可知,当预定用户所属的账户与目标存储桶对应的账户不一致时,或者预定用户所属的租户与目标存储桶对应的租户不一致时,预定用户也可以根据目标桶策略中设置的相应权限,访问目标资源,从而实现不同租户间或者跨账户的资源操作以及桶策略管理,在云存储系统上,实现更加灵活的访问控制,提高云存储系统的安全性。
具体地,参见图2所示,所述根据预设桶策略库中与目标存储桶相对应的目标桶策略,判断该访问请求是否被允许的步骤,可以包括:
S1041,根据预设桶策略库中与目标存储桶相对应的目标桶策略,判断目标用户对目标资源的目标类型操作是否被显式拒绝,如果否,则执行S1042。
需要说明的是,基于访问策略语言的含义,可以理解的是,桶策略包括以下元素:
资源,指存储桶和/或对象,即能够被允许或拒绝访问的云存储系统资源,其中,在桶策略中,可以使用云存储系统设置的资源名称来标识资源;
操作,对于每个资源,云存储系统都支持一组操作,其中,允许(或拒绝)的资源操作可以通过使用操作关键字来进行指定,如删除桶可以用操作关键字DeleteBucket来进行指定;
Effect,当用户请求特定操作时的效果,可以是允许或拒绝,其中,如果没有显式允许对资源的访问权限,则隐式拒绝访问,当然,也可显式拒绝对资源的访问,这样可确保用户即使在被其他策略授予了访问权限的情况下,也无法访问该资源;而与现有技术中的ACL只能用来授予权限相比,可以看出桶策略能够实现更灵活精细的访问控制,从而提高云存储系统的安全性;
Principal,允许对资源执行操作的账户或用户,仅用于在存储桶策略中指定委托人,即,本条桶策略描述所作用的用户;它是作为权限获得者的用户、账户、服务或其他实体。
可以理解的是,显式拒绝具有最高优先级,当桶策略中对访问请求显式拒绝时,即是有其他策略授予了访问权限,也能确保发出该访问请求的用户无法访问对应的资源。
因此,在目标用户不是目标存储桶的所有者时,可以首先根据预设桶策略库中与目标存储桶相对应的目标桶策略,判断目标用户对目标资源的目标类型操作是否被显式拒绝,若判断结果为是,那么,便可以不再进行后续判断,直接拒绝目标用户的访问请求。
更具体地,所述判断目标用户对目标资源的目标类型操作是否被显式拒绝的步骤,可以包括:
判断目标桶策略的策略内容中是否指示目标用户被拒绝对目标资源执行目标类型操作。
需要说明的是,当目标桶策略的策略内容中,与目标用户对目标资源的目标类型操作相关的描述中Effect的元素值表示拒绝,比如为“Deny”时,则指示目标用户被拒绝对目标资源执行目标类型操作。
S1042,判断目标用户对目标资源的目标类型操作是否被显式允许;如果是,则判定该访问请求被允许,执行S105。
具体地,所述判断目标用户对目标资源的目标类型操作是否被显式允许的步骤,可以包括:
判断目标桶策略的策略内容中是否指示目标用户被允许对目标资源执行目标类型操作。
需要说明的是,当目标桶策略的策略内容中,与目标用户对目标资源的目标类型操作相关的描述中Effect的元素值表示允许,比如为“Allow”时,则指示目标用户被允许对目标资源执行目标类型操作。
S105,授予目标用户对目标资源执行目标类型操作的访问权限。
可以理解的是,在S104执行结果为是时,即目标用户发送的访问请求被允许时,便可以授予目标用户对目标资源执行目标类型操作的访问权限。
应用图1所示发明实施例提供的技术方案,可以根据实际需求,预先创建目标桶策略,允许和/或禁止预定用户对预定资源执行预定类型操作,基于桶策略的定义,可以理解的是,预定用户可以为所有的匿名用户,也可以为满足某些条件的部分匿名用户,或者来自特定源IP地址的匿名用户,如此,当接收到的目标用户发送的针对目标资源的目标类型操作的访问请求,根据目标桶策略判定该访问请求被允许时,目标用户便可以被授予相关权限,可以理解的是,目标用户可以为预定用户中的一个或多个用户。与现有技术相比,可以看出,应用图1所示发明实施例提供的基于桶策略的访问控制方法,能够只针对某一个或某一类匿名用户授予权限,使得针对匿名用户的访问控制更具有针对性,提高云存储的安全性能。
更进一步地,实际应用中,为实现更灵活地访问控制及其他具体需求,还可以结合桶策略和访问控制列表共同进行访问控制,在图1所示发明实施例的基础上,如图3所示,在S104的判断结果为否的情况下,本发明实施例所提供的一种基于桶策略的访问控制方法,还可以包括:
S106,根据目标资源对应的访问控制列表,判断该访问请求是否被允许;如果是,执行S105。
可以理解的是,目标资源与目标存储桶相对应,桶策略与目标存储桶相对应,而访问控制列表,即ACL,则是和目标资源相对应,当目标资源是目标存储桶时,目标资源对应的ACL,便是描述了用户对目标存储桶进行操作权限的ACL,当目标资源是目标存储桶内的某一对象时,目标资源对应的ACL,便是具体描述了用户对该对象进行操作权限的ACL。
更进一步地,在图1所示实施例的基础上,如图4所示,本发明实施例提供的一种基于桶策略的访问控制方法,在S101之前,还可以包括:
S107,接收管理者发送的关于目标存储桶的桶策略添加请求。
其中,桶策略添加请求包括预定资源的标识信息、预定用户的用户信息以及预定类型操作的类型信息;管理者可以为目标存储桶的所有者,也可以为被授予了设置或创建桶策略权限的用户。
可以理解的是,当需要明确预定用户对预定资源请求预定操作时的效果为显式拒绝或显式允许时,桶策略添加请求中还可以包括Effect元素。此外,实际应用中,为实现更灵活、精细化地访问控制,提高云存储系统的安全性,预定用户还可以为来自特定源IP地址的一类用户,或者从特定网页发起请求的一类用户,此外,桶策略添加请求中还可以携带其他元素,用于控制特性资源属性的访问,当使用JSON语言编写桶策略时,可以通过Condition字段实现限定,具体实现过程为现有技术,此处不再赘述。
S108,根据桶策略添加请求所携带的预定资源的标识信息、预定用户的用户信息以及预定类型操作的类型信息,采用访问策略语言,创建目标桶策略。
可以理解的是,预定资源的标识信息可以为资源名称或其他能够唯一标识该资源的信息;预定用户的用户信息可以为用户名称或者其他可以唯一识别该用户的信息;预定类型操作的类型信息可以为表示读或写操作的信息,更具体地,可以为预设操作名称等唯一标识该操作的信息,其中,可以理解的是,桶策略中的操作关键字与资源访问接口以及预定类型操作的类型信息一一对应,举例而言,当预定类型操作的类型信息为预设操作名称时,部分具体的对应关系可以如下表所示:
实际应用中,访问策略语言可以为JSON语言,关于JSON语言以及如何使用JSON语言编写桶策略,均为现有技术,此处不再赘述。
举例而言,针对云存储系统,授予用户标识信息为111111的用户对存储桶examplebucket下的所有对象执行下载对象数据的权限,其具体实现可以如下所示:
其中,Version为版本信息,表示该桶策略是2012年10月17日的版本;Id为描述桶策略的字符串;每个桶策略中可以包含多个Statement;krn:ksc:iam:111111:root与krn:ksc:ks3:::examplebucket/*,分别表示被授权的用户信息,以及KRN(Kingsoft ResourceName,金山资源名称)资源:存储桶examplebucket下的所有对象,krn和ksc是默认前缀,默认前缀可以理解为识别标识,用于区别服务的提供商。
S109,将目标桶策略添加到预设桶策略库中。
需要说明的是,当创建好目标桶策略后,可以将目标桶策略进行保存,并添加到预设桶策略库中,以便后续及时地基于该目标桶策略进行访问控制。
在图1所示发明实施例的基础上,还可以根据实际需求,预先在接收目标用户发送的针对目标资源的目标类型操作的访问请求的步骤之前,接收管理者发送的关于目标存储桶的桶策略添加请求,并根据桶策略添加请求所携带的预定资源的标识信息、预定用户的用户信息以及预定类型操作的类型信息,采用访问策略语言,创建目标桶策略,然后将创建好的目标桶策略添加到预设桶策略库中,以便后续利用目标桶策略实现用户对目标存储桶及目标存储桶内的对象的访问控制。
更进一步地,为保证创建好的目标桶策略的合法性与有效性,在图4所示实施例的基础上,当所述访问策略语言为JSON语言时,如图5所示,本发明实施例提供的一种基于桶策略的访问控制方法,在S109之前,还可以增加对目标桶策略进行验证的步骤,包括:
S110,判断目标桶策略是否符合JSON语言的格式,若符合,则执行S111。
S111,判断目标桶策略中的策略元素是否齐全,若齐全,则执行S112。
具体地,可以根据实际情况,判断目标桶策略中的策略元素,如资源、操作、Effect或者Principal等是否齐全。
可以理解的是,策略元素与预定用户的用户信息以及预定类型操作的类型信息相关。
S112,判断策略元素中每一元素的值是否均符合对应的预设规则;若均符合,执行S109。
举例而言,定义Effect的值为“Deny”或者“Allow”,其中“Deny”表示显式拒绝,“Allow”表示显式允许,若检测到Effect的值为“1”,则表明此Effect元素的值不符合Effect取值的预设规则。
即,所述将所述目标桶策略添加到预设桶策略库中的步骤,可以包括:
在策略元素中每一元素的值均符合对应的预设规则的情况下,将目标桶策略添加到预设桶策略库中。
需要说明的是,当S112的执行结果为否时,即策略元素中每一元素的值不是均符合对应的预设规则,还可以生成错误提示信息,以使得管理者及时地做出相应处理。
可以理解的是,考虑到目标桶策略在创建时逻辑的严密性,在图5所示发明实施例的基础上,本发明实施例提供的一种基于桶策略的访问控制方法,如图6所示,还可以包括:
S113,生成错误提示信息。
其中,当S110、S111、S112中的任一步骤的执行结果为否时,都会执行S113,及时地生成错误提示信息,并进行相应处理,省略后续不必要的验证过程。
相应于上述方法实施例,本发明实施例提供了一种基于桶策略的访问控制装置,与图1所示方法实施例相对应,如图7所示,所述装置包括:
第一接收模块701,用于接收目标用户发送的针对目标资源的目标类型操作的访问请求,其中,所述目标资源的数据类型为存储桶或对象;
确定模块702,用于确定所述目标资源所对应的目标存储桶;
第一判断模块703,用于判断所述目标用户是否为所述目标存储桶的所有者;
第二判断模块704,用于在所述第一判断模块703的判断结果为否的情况下,根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述访问请求是否被允许;其中,所述目标桶策略为采用访问策略语言预先为所述目标存储桶所设置的,所述目标桶策略的策略内容为:允许和/或禁止预定用户对预定资源执行预定类型操作,所述预定资源为所述目标存储桶或所述目标存储桶内的对象;
授予模块705,用于在所述第二判断模块704的判断结果为被允许的情况下,授予所述目标用户对所述目标资源执行所述目标类型操作的访问权限。
应用图7所示发明实施例提供的技术方案,可以根据实际需求,预先创建目标桶策略,允许和/或禁止预定用户对预定资源执行预定类型操作,基于桶策略的定义,可以理解的是,预定用户可以为所有的匿名用户,也可以为满足某些条件的部分匿名用户,或者来自特定源IP地址的匿名用户,如此,当接收到的目标用户发送的针对目标资源的目标类型操作的访问请求,根据目标桶策略判定该访问请求被允许时,目标用户便可以被授予相关权限,可以理解的是,目标用户可以为预定用户中的一个或多个用户。与现有技术相比,可以看出,应用图7所示发明实施例提供的基于桶策略的访问控制方法,能够只针对某一个或某一类匿名用户授予权限,使得针对匿名用户的访问控制更具有针对性,提高云存储的安全性能。
其中,如图8所示,所述第二判断模块704,可以包括:
第一判断子模块7041,用于根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式拒绝;
第二判断子模块7042,用于在所述第一判断子模块7041的判断结果为不被显示拒绝的情况下,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式允许;
判定子模块7043,用于在所述第二判断子模块7042的判断结果为被显示允许的情况下,判定所述访问请求被允许。
更具体地,所述第一判断子模块7041,具体可以用于:
根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述目标桶策略的策略内容中是否指示所述目标用户被拒绝对所述目标资源执行所述目标类型操作。
更具体地,所述第二判断子模块7042,具体可以用于:
在所述第一判断子模块7041的判断结果为不被显示拒绝的情况下,判断所述目标桶策略的策略内容中是否指示所述目标用户被允许对所述目标资源执行所述目标类型操作。
更进一步地,实际应用中,为实现更灵活地访问控制及其他具体需求,还可以结合桶策略和访问控制列表共同进行访问控制,在包括第一接收模块701,确定模块702,第一判断模块703,第二判断模块704及授予模块705的基础上,本发明实施例所提供的一种基于桶策略的访问控制装置,与图3所示方法实施例相对应,如图9所示,还可以包括:
第三判断模块706,用于在所述第二判断模块704的判断结果为被拒绝的情况下,根据所述目标资源对应的访问控制列表,判断所述访问请求是否被允许;如果是,触发所述授予模块705。
更进一步地,在包括第一接收模块701,确定模块702,第一判断模块703,第二判断模块704,授予模块705的基础上,本发明实施例所提供的一种基于桶策略的访问控制装置,与图4所示方法实施例相对应,如图10所示,还可以包括:
第二接收模块707,用于在所述第一接收模块701接收目标用户发送的针对目标资源的目标类型操作的访问请求之前,接收管理者发送的关于所述目标存储桶的桶策略添加请求;其中,所述桶策略添加请求包括所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息;
创建模块708,用于根据所述桶策略添加请求所携带的所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息,采用所述访问策略语言,创建所述目标桶策略;
添加模块709,用于将所述目标桶策略添加到所述预设桶策略库中。
在图7所示发明实施例的基础上,还可以根据实际需求,预先在接收目标用户发送的针对目标资源的目标类型操作的访问请求的步骤之前,接收管理者发送的关于目标存储桶的桶策略添加请求,并根据桶策略添加请求所携带的预定资源的标识信息、预定用户的用户信息以及预定类型操作的类型信息,采用访问策略语言,创建目标桶策略,然后将创建好的目标桶策略添加到预设桶策略库中,以便后续利用目标桶策略实现用户对目标存储桶及目标存储桶内的对象的访问控制。
具体地,所述访问策略语言可以为JSON语言。
更进一步地,在包括第一接收模块701,确定模块702,第一判断模块703,第二判断模块704,授予模块705,第二接收模块707,创建模块708,添加模块709的基础上,本发明实施例所提供的一种基于桶策略的访问控制装置,与图5所示方法实施例相对应,如图11所示,还可以包括:
第四判断模块710,用于在所述添加模块709将所述目标桶策略添加到预设桶策略库中之前,判断所述目标桶策略是否符合所述JSON语言的格式;
第五判断模块711,用于在所述第四判断模块710的判断结果为符合的情况下,判断所述目标桶策略中的策略元素是否齐全,其中,所述策略元素与所述预定用户的用户信息以及预定类型操作的类型信息相关;
第六判断模块712,用于在所述第五判断模块711的判断结果为齐全的情况下,判断所述策略元素中每一元素的值是否均符合对应的预设规则;
具体地,所述添加模块709,具体可以用于:
在所述第六判断模块712的判断结果为均符合的情况下,将所述目标桶策略添加到预设桶策略库中。
可以理解的是,考虑到目标桶策略在创建时逻辑的严密性,在包括第一接收模块701,确定模块702,第一判断模块703,第二判断模块704,授予模块705,第二接收模块707,创建模块708,添加模块709,第四判断模块710,第五判断模块711,第六判断模块712的基础上,本发明实施例所提供的一种基于桶策略的访问控制装置,与图6所示方法实施例相对应,如图11所示,还可以包括:
生成模块713,用于在所述第四判断模块710、第五判断模块711、第六判断模块712的任一判断结果为否的情况下,生成错误提示信息。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (18)
1.一种基于桶策略的访问控制方法,应用于云存储系统,其特征在于,所述方法包括:
接收目标用户发送的针对目标资源的目标类型操作的访问请求,其中,所述目标资源的数据类型为存储桶或对象;
确定所述目标资源所对应的目标存储桶;
判断所述目标用户是否为所述目标存储桶的所有者;
当判断结果为否时,根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述访问请求是否被允许;其中,所述目标桶策略为采用访问策略语言预先为所述目标存储桶所设置的,所述目标桶策略的策略内容为:允许和/或禁止预定用户对预定资源执行预定类型操作,所述预定资源为所述目标存储桶或所述目标存储桶内的对象;
若被允许,授予所述目标用户对所述目标资源执行所述目标类型操作的访问权限。
2.根据权利要求1所述的方法,其特征在于,在所述接收目标用户发送的针对目标资源的目标类型操作的访问请求的步骤之前,所述方法还包括:
接收管理者发送的关于所述目标存储桶的桶策略添加请求;其中,所述桶策略添加请求包括所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息;
根据所述桶策略添加请求所携带的所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息,采用所述访问策略语言,创建所述目标桶策略;将所述目标桶策略添加到所述预设桶策略库中。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
若所述访问请求被拒绝,根据所述目标资源对应的访问控制列表,判断所述访问请求是否被允许;
如果是,执行所述授予所述目标用户对所述目标资源执行所述目标类型操作的访问权限的步骤。
4.根据权利要求1或2所述的方法,其特征在于,所述根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述访问请求是否被允许的步骤,包括:
根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式拒绝;
若不被显示拒绝,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式允许;
若被显示允许,判定所述访问请求被允许。
5.根据权利要求4所述的方法,其特征在于,所述判断所述目标用户对所述目标资源的所述目标类型操作是否被显式拒绝的步骤,包括:
判断所述目标桶策略的策略内容中是否指示所述目标用户被拒绝对所述目标资源执行所述目标类型操作。
6.根据权利要求4所述的方法,其特征在于,所述判断所述目标用户对所述目标资源的所述目标类型操作是否被显式允许的步骤,包括:
判断所述目标桶策略的策略内容中是否指示所述目标用户被允许对所述目标资源执行所述目标类型操作。
7.根据权利要求2所述的方法,其特征在于,所述访问策略语言为JSON语言。
8.根据权利要求7所述的方法,其特征在于,在所述将所述目标桶策略添加到预设桶策略库中的步骤之前,所述方法还包括:
判断所述目标桶策略是否符合所述JSON语言的格式;
若符合,判断所述目标桶策略中的策略元素是否齐全,其中,所述策略元素与所述预定用户的用户信息以及预定类型操作的类型信息相关;
若齐全,判断所述策略元素中每一元素的值是否均符合对应的预设规则;
所述将所述目标桶策略添加到预设桶策略库中的步骤,包括:
在所述策略元素中每一元素的值均符合对应的预设规则的情况下,将所述目标桶策略添加到预设桶策略库中。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
若所述策略元素中每一元素的值不是均符合对应的预设规则,生成错误提示信息。
10.一种基于桶策略的访问控制装置,应用于云存储系统,其特征在于,所述装置包括:
第一接收模块,用于接收目标用户发送的针对目标资源的目标类型操作的访问请求,其中,所述目标资源的数据类型为存储桶或对象;
确定模块,用于确定所述目标资源所对应的目标存储桶;
第一判断模块,用于判断所述目标用户是否为所述目标存储桶的所有者;
第二判断模块,用于在所述第一判断模块的判断结果为否的情况下,根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述访问请求是否被允许;其中,所述目标桶策略为采用访问策略语言预先为所述目标存储桶所设置的,所述目标桶策略的策略内容为:允许和/或禁止预定用户对预定资源执行预定类型操作,所述预定资源为所述目标存储桶或所述目标存储桶内的对象;
授予模块,用于在所述第二判断模块的判断结果为被允许的情况下,授予所述目标用户对所述目标资源执行所述目标类型操作的访问权限。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于在所述第一接收模块接收目标用户发送的针对目标资源的目标类型操作的访问请求之前,接收管理者发送的关于所述目标存储桶的桶策略添加请求;其中,所述桶策略添加请求包括所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息;
创建模块,用于根据所述桶策略添加请求所携带的所述预定资源的标识信息、所述预定用户的用户信息以及所述预定类型操作的类型信息,采用所述访问策略语言,创建所述目标桶策略;
添加模块,用于将所述目标桶策略添加到所述预设桶策略库中。
12.根据权利要求10或11所述的装置,其特征在于,所述装置还包括:
第三判断模块,用于在所述第二判断模块的判断结果为被拒绝的情况下,根据所述目标资源对应的访问控制列表,判断所述访问请求是否被允许;如果是,触发所述授予模块。
13.根据权利要求10或11所述的装置,其特征在于,所述第二判断模块,包括:
第一判断子模块,用于根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式拒绝;
第二判断子模块,用于在所述第一判断子模块的判断结果为不被显示拒绝的情况下,判断所述目标用户对所述目标资源的所述目标类型操作是否被显式允许;
判定子模块,用于在所述第二判断子模块的判断结果为被显示允许的情况下,判定所述访问请求被允许。
14.根据权利要求13所述的装置,其特征在于,所述第一判断子模块,具体用于:
根据预设桶策略库中与所述目标存储桶相对应的目标桶策略,判断所述目标桶策略的策略内容中是否指示所述目标用户被拒绝对所述目标资源执行所述目标类型操作。
15.根据权利要求13所述的装置,其特征在于,所述第二判断子模块,具体用于:
在所述第一判断子模块的判断结果为不被显示拒绝的情况下,判断所述目标桶策略的策略内容中是否指示所述目标用户被允许对所述目标资源执行所述目标类型操作。
16.根据权利要求11所述的装置,其特征在于,所述访问策略语言为JSON语言。
17.根据权利要求16所述的装置,其特征在于,所述装置还包括:
第四判断模块,用于在所述添加模块将所述目标桶策略添加到预设桶策略库中之前,判断所述目标桶策略是否符合所述JSON语言的格式;
第五判断模块,用于在所述第四判断模块的判断结果为符合的情况下,判断所述目标桶策略中的策略元素是否齐全,其中,所述策略元素与所述预定用户的用户信息以及预定类型操作的类型信息相关;
第六判断模块,用于在所述第五判断模块的判断结果为齐全的情况下,判断所述策略元素中每一元素的值是否均符合对应的预设规则;
所述添加模块,具体用于:
在所述第六判断模块的判断结果为均符合的情况下,将所述目标桶策略添加到预设桶策略库中。
18.根据权利要求17所述的装置,其特征在于,所述装置还包括:
生成模块,用于在所述第六判断模块的判断结果不为均符合的情况下,生成错误提示信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611229337.5A CN108243175B (zh) | 2016-12-27 | 2016-12-27 | 一种基于桶策略的访问控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611229337.5A CN108243175B (zh) | 2016-12-27 | 2016-12-27 | 一种基于桶策略的访问控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108243175A true CN108243175A (zh) | 2018-07-03 |
CN108243175B CN108243175B (zh) | 2021-03-12 |
Family
ID=62702767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611229337.5A Active CN108243175B (zh) | 2016-12-27 | 2016-12-27 | 一种基于桶策略的访问控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108243175B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110414211A (zh) * | 2019-07-29 | 2019-11-05 | 浪潮软件集团有限公司 | 一种基于资源的ioss权限管理方法 |
CN111309592A (zh) * | 2020-01-14 | 2020-06-19 | 浙江省北大信息技术高等研究院 | 一种权限检查方法、装置、存储介质及终端 |
CN111443899A (zh) * | 2020-04-17 | 2020-07-24 | 广州汇量信息科技有限公司 | 一种元素处理方法、装置、电子设备及存储介质 |
CN111913913A (zh) * | 2020-08-07 | 2020-11-10 | 星辰天合(北京)数据科技有限公司 | 访问请求的处理方法和装置 |
CN112668051A (zh) * | 2020-12-31 | 2021-04-16 | 北京聚云科技有限公司 | 一种数据获取方法及装置 |
CN112685778A (zh) * | 2020-12-31 | 2021-04-20 | 北京聚云科技有限公司 | 一种数据存储方法及装置 |
CN113138825A (zh) * | 2021-04-28 | 2021-07-20 | 北京乐学帮网络技术有限公司 | 一种信息展示方法、装置、计算机设备及存储介质 |
CN113381969A (zh) * | 2020-03-09 | 2021-09-10 | 北京达佳互联信息技术有限公司 | 资源访问控制方法、装置及设备和存储介质 |
CN113794722A (zh) * | 2021-09-15 | 2021-12-14 | 北京金山云网络技术有限公司 | 一种用户权限管理方法、装置、电子设备及存储介质 |
CN114374524A (zh) * | 2020-10-14 | 2022-04-19 | 北京金山云网络技术有限公司 | 对象存储的访问控制方法和装置、存储介质和电子装置 |
CN115174128A (zh) * | 2021-03-19 | 2022-10-11 | 北京金山云网络技术有限公司 | 一种登录管理方法、装置及私有云控制服务器 |
US20230136843A1 (en) * | 2021-10-28 | 2023-05-04 | Red Hat, Inc. | Managing access to block storage in cloud computing environments |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103677829A (zh) * | 2013-12-13 | 2014-03-26 | 北京同有飞骥科技股份有限公司 | 对象操作访问控制的系统和方法 |
CN104767761A (zh) * | 2015-04-23 | 2015-07-08 | 四川师范大学 | 一种云存储平台访问控制方法及装置 |
CN105357201A (zh) * | 2015-11-12 | 2016-02-24 | 中国科学院信息工程研究所 | 一种对象云存储访问控制方法和系统 |
-
2016
- 2016-12-27 CN CN201611229337.5A patent/CN108243175B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103677829A (zh) * | 2013-12-13 | 2014-03-26 | 北京同有飞骥科技股份有限公司 | 对象操作访问控制的系统和方法 |
CN104767761A (zh) * | 2015-04-23 | 2015-07-08 | 四川师范大学 | 一种云存储平台访问控制方法及装置 |
CN105357201A (zh) * | 2015-11-12 | 2016-02-24 | 中国科学院信息工程研究所 | 一种对象云存储访问控制方法和系统 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110414211A (zh) * | 2019-07-29 | 2019-11-05 | 浪潮软件集团有限公司 | 一种基于资源的ioss权限管理方法 |
CN111309592A (zh) * | 2020-01-14 | 2020-06-19 | 浙江省北大信息技术高等研究院 | 一种权限检查方法、装置、存储介质及终端 |
CN111309592B (zh) * | 2020-01-14 | 2023-09-19 | 杭州未名信科科技有限公司 | 一种权限检查方法、装置、存储介质及终端 |
CN113381969A (zh) * | 2020-03-09 | 2021-09-10 | 北京达佳互联信息技术有限公司 | 资源访问控制方法、装置及设备和存储介质 |
CN113381969B (zh) * | 2020-03-09 | 2023-06-27 | 北京达佳互联信息技术有限公司 | 资源访问控制方法、装置及设备和存储介质 |
CN111443899A (zh) * | 2020-04-17 | 2020-07-24 | 广州汇量信息科技有限公司 | 一种元素处理方法、装置、电子设备及存储介质 |
CN111913913A (zh) * | 2020-08-07 | 2020-11-10 | 星辰天合(北京)数据科技有限公司 | 访问请求的处理方法和装置 |
CN111913913B (zh) * | 2020-08-07 | 2024-02-13 | 北京星辰天合科技股份有限公司 | 访问请求的处理方法和装置 |
CN114374524A (zh) * | 2020-10-14 | 2022-04-19 | 北京金山云网络技术有限公司 | 对象存储的访问控制方法和装置、存储介质和电子装置 |
CN112668051A (zh) * | 2020-12-31 | 2021-04-16 | 北京聚云科技有限公司 | 一种数据获取方法及装置 |
CN112685778A (zh) * | 2020-12-31 | 2021-04-20 | 北京聚云科技有限公司 | 一种数据存储方法及装置 |
CN115174128A (zh) * | 2021-03-19 | 2022-10-11 | 北京金山云网络技术有限公司 | 一种登录管理方法、装置及私有云控制服务器 |
CN113138825A (zh) * | 2021-04-28 | 2021-07-20 | 北京乐学帮网络技术有限公司 | 一种信息展示方法、装置、计算机设备及存储介质 |
CN113794722A (zh) * | 2021-09-15 | 2021-12-14 | 北京金山云网络技术有限公司 | 一种用户权限管理方法、装置、电子设备及存储介质 |
US20230136843A1 (en) * | 2021-10-28 | 2023-05-04 | Red Hat, Inc. | Managing access to block storage in cloud computing environments |
US11914877B2 (en) * | 2021-10-28 | 2024-02-27 | Red Hat, Inc. | Managing access to block storage in cloud computing environments |
Also Published As
Publication number | Publication date |
---|---|
CN108243175B (zh) | 2021-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108243175A (zh) | 一种基于桶策略的访问控制方法及装置 | |
CN110298188B (zh) | 动态访问权限的控制方法及系统 | |
JP3880607B2 (ja) | プログラム権限情報データ構造 | |
CN102567454B (zh) | 实现云计算环境中数据的粒度自主访问控制的方法和系统 | |
US7519826B2 (en) | Near real-time multi-party task authorization access control | |
CN104735055B (zh) | 一种基于信任度的跨域安全访问控制方法 | |
CN114417287B (zh) | 数据处理方法、系统、设备及存储介质 | |
US9961082B2 (en) | Access control for digital data | |
CN103038778A (zh) | 授权控制 | |
CN113542214B (zh) | 一种访问控制方法、装置、设备及机器可读存储介质 | |
CN109587151A (zh) | 访问控制方法、装置、设备及计算机可读存储介质 | |
Talegaon et al. | Administrative models for role based access control in android | |
EP2725511B1 (en) | Managing application execution and data access on a device | |
Farroha et al. | Challenges of “operationalizing” dynamic system access control: Transitioning from ABAC to RAdAC | |
KR101768942B1 (ko) | 사용자 접속에 대한 보안 인증 시스템 및 그 방법 | |
Gnesi et al. | My data, your data, our data: managing privacy preferences in multiple subjects personal data | |
US20170054729A1 (en) | Identity Management System | |
CN108205630A (zh) | 一种多用户下基于SeLinux的资源访问方法及装置 | |
CN115879156A (zh) | 动态脱敏方法、装置、电子设备及储存介质 | |
CN106503493B (zh) | 一种应用权限管理方法及系统 | |
CN115022008A (zh) | 一种访问风险评估方法、装置、设备及介质 | |
Alipour et al. | A policy based access control model for web services | |
CN117614724B (zh) | 一种基于体系细粒度处理的工业互联网访问控制方法 | |
JP7205134B2 (ja) | 情報処理装置およびプログラム | |
CN114143100B (zh) | 授权控制方法、系统、智能终端及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |