CN109165516A - 一种访问控制方法和装置 - Google Patents
一种访问控制方法和装置 Download PDFInfo
- Publication number
- CN109165516A CN109165516A CN201810923557.0A CN201810923557A CN109165516A CN 109165516 A CN109165516 A CN 109165516A CN 201810923557 A CN201810923557 A CN 201810923557A CN 109165516 A CN109165516 A CN 109165516A
- Authority
- CN
- China
- Prior art keywords
- task
- access control
- attribute information
- strategy
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本申请实施例提供了一种访问控制方法和装置,涉及自动化运维技术领域,包括:获取运维任务的资源访问请求,资源访问请求中携带组成运维任务的对象,然后确定运维任务中各个对象的属性信息,将运维任务中各个对象的属性信息与预设的访问控制策略进行匹配,之后再根据运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求。由于在进行资源访问控制时,将运维任务中各个对象的属性信息与访问控制策略进行匹配,而不是根据单一的用户安全级别,故在自动化运维中,可以根据不同需求以及针对的对象设置不同的访问控制策略,实现多元化的资源访问控制,提高了资源访问控制的灵活性。
Description
技术领域
本发明涉及自动化运维技术领域,尤其涉及一种访问控制方法和装置。
背景技术
自动化运维是数据中心工作的重要组成部分,通过设计和执行自动化任务和工具来替代重复的人工运维操作,减少人力成本的同时提升整体的运维水平和服务能力。目前数据中心自动化运维工作内容包括自动化测试、自动化发布、自动化部署、自动化监控、自动化预警恢复、自动化代码管理、自动化安全检测等领域。为了保证数据中心的信息资源不被非法访问,在自动化运维过程中,需要对数据中心的运维资源访问进行控制。传统采用强制访问控制,在强制访问控制中,每个用户及文件都被赋予一定的安全级别,用户的安全级别只能由系统确认。系统通过比较用户和访问的资源的安全级别来决定访问权限。然而现阶段数据中心的自动化运维中,参与自动化运维的人员构成复杂、纳入访问控制范围的运维资源规模巨大且变化迅速、自动化运维关联的执行任务多且复杂,传统的强制访问控制方法仅仅根据等级对资源进行访问控制,其控制形式单一,不再适应现阶段数据中心的自动化运维。
发明内容
由于现有技术中强制访问控制方法控制形式单一的问题,本申请实施例提供了一种访问控制方法和装置。
第一方面,本申请实施例提供了一种访问控制方法,该方法包括:
获取运维任务的资源访问请求,所述资源访问请求中携带组成所述运维任务的对象;
确定所述运维任务中各个对象的属性信息;
将所述运维任务中各个对象的属性信息与预设的访问控制策略进行匹配;
根据所述运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求。
可选地,所述运维任务的对象包括任务执行主体、任务内容、任务执行环境、任务执行所操作资源。
可选地,所述访问控制策略包括第一策略和第二策略;
所述根据所述运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求,包括:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配,且所述运维任务中各个对象的属性信息与所述第二策略不匹配时,阻止所述运维任务的资源访问请求,否则允许所述运维任务的资源访问请求。
可选地,所述访问控制策略包括第一策略和第二策略;
所述根据所述运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求,包括:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配且所述运维任务中各个对象的属性信息与所述第二策略不匹配后,接收用户输入的例外授权指令;
根据所述例外授权指令允许所述运维任务的资源访问请求。
第二方面,本申请实施例提供了一种访问控制装置,包括:
获取模块,用于获取运维任务的资源访问请求,所述资源访问请求中携带组成所述运维任务的对象;
处理模块,用于确定所述运维任务中各个对象的属性信息;
匹配模块,用于将所述运维任务中各个对象的属性信息与预设的访问控制策略进行匹配;
判断模块,用于根据所述运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求。
可选地,所述运维任务的对象包括任务执行主体、任务内容、任务执行环境、任务执行所操作资源。
可选地,所述访问控制策略包括第一策略和第二策略;
所述判断模块具体用于:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配,且所述运维任务中各个对象的属性信息与所述第二策略不匹配时,阻止所述运维任务的资源访问请求,否则允许所述运维任务的资源访问请求。
可选地,所述访问控制策略包括第一策略和第二策略;
所述判断模块具体用于:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配且所述运维任务中各个对象的属性信息与所述第二策略不匹配后,接收用户输入的例外授权指令;
根据所述例外授权指令允许所述运维任务的资源访问请求。
第三方面,本申请实施例提供了一种访问控制设备,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行第一方面所述方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,其存储有可由访问控制设备执行的计算机程序,当所述程序在访问控制设备上运行时,使得所述访问控制设备执行第一方面所述方法的步骤。
本申请实施例中,由于在进行资源访问控制时,将运维任务中各个对象的属性信息与访问控制策略进行匹配,而不是根据单一的用户安全级别,故在自动化运维中,可以根据不同需求以及针对的对象设置不同的访问控制策略,然后通过对象的属性信息与访问控制策略匹配,实现多元化的资源访问控制,提高了资源访问控制的灵活性。因此,本申请实施例中的访问控制方法更适用于现阶段自动化运维的人员构成复杂、运维资源规模巨大且变化迅速以及自动化运维关联的执行任务多且复杂的场景。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例适用的系统架构示意图;
图2为本申请实施例提供的一种访问控制方法的流程示意图;
图3为本申请实施例提供的运维任务的对象的示意图;
图4为本申请实施例提供的一种访问控制装置的结构示意图;
图5为本申请实施例提供的一种访问控制设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例中的技术方案适用于自动化运维中的资源访问控制,其中,自动化运维包括自动化测试、自动化发布、自动化部署、自动化监控、自动化预警恢复、自动化代码管理、自动化安全检测等。
本申请实施例适用的系统架构如图1所示,该系统架构中包括访问装置101、访问控制装置102以及资源中心103,其中,访问控制装置102包括策略实施点1021、策略决策点1022、策略信息点1023、策略管理点1024、策略响应点1025。任务执行主体在访问装置上发起运维任务,若运维任务涉及操作资源,则向资源中心103发送资源访问请求。策略实施点1021负责拦截运维任务的资源访问请求,收集资源访问请求中携带的组成运维任务的对象并发送至策略决策点1022。策略决策点1022收到资源访问请求后,从策略信息点1023获取资源访问请求关联对象的属性信息,同时从策略管理点1024中获取访问控制策略,其中策略管理点1024预先保存了根据业务和安全需求设定的访问控制策略清单。策略决策点1022根据资源访问请求关联对象的属性信息、访问控制策略评估生成策略结果,并将策略结果返回策略实施点1021。策略实施1021向策略响应点1025反馈策略结果,策略响应点1021支持对策略结果的例外审核和修改调整,比如在特定情况下,运维人员可以例外授权将策略结果中需要被阻止的资源访问请求修改为允许访问,以满足特定情况下的需求。策略响应点1021同时对本次资源访问请求进行记录和告警处理操作。策略实施1021结合策略响应点1025的反馈,生成本次资源访问请求的请求结果,对于允许的资源访问请求,转发到资源中心103。
基于图1所示的系统架构图,本申请实施例提供的一种访问控制方法的流程,该流程可以由访问控制装置执行,如图2所示,该流程的具体步骤包括:
步骤S201,获取运维任务的资源访问请求,资源访问请求中携带组成所述运维任务的对象。
步骤S202,确定运维任务中各个对象的属性信息。
可选地,运维任务的对象至少包括任务执行主体、任务内容、任务执行环境、任务执行所操作资源,如图3所示。
具体地,任务执行主体指申请访问控制授权的实体,可以指特定的运维人员和组织,也可以是发起自动化任务的系统、平台或工具。任务执行主体的属性信息为与主体相关的用于定义主体的身份和特征的信息,例如运维人员的姓名、部门、职级、角色等,运维工具的名称、代号、执行权限等。
任务内容指实现访问控制的运行载体,一般指实现自动化运维操作并通过机器执行的工作单元。作为运行载体,运维任务存在相应的安全属性信息来定义特征,例如运维任务的操作类型、生效域、是否存在危险操作等。
任务执行环境指描述访问申请操作发生时的环境信息,其属性信息包括:当前执行操作的时间、当前网络安全等级、执行工作终端类型等。
任务执行所操作资源指访问控制所管控的资源实体,一般指数据中心管理的运维资源项,包括软件、IT系统、硬件、运维支持设备、环境设备等等。资源关联的安全属性较多,以服务器为例,其属性信息包括服务器名称、IP地址、所有者、部署物理区域、关联应用系统、承载的业务功能等。
具体实施中,访问控制装置根据各个对象查询数据库获取各个对象的属性信息。
在一种可能的实施方式中,访问控制装置调用接口访问外部数据库,获取运维任务中各个对象的属性信息。示例性地,当运维任务的执行主体为运维人员小王,访问控制装置可以调用接口访问人力资源系统,获取运维人员小王的部门、职级、角色等。
在一种可能的实施方式中,访问控制装置可以预先存储运维任务中对象的属性信息,在接收到资源访问请求时,通过本地查询获取各对象的属性信息。
步骤S203,将运维任务中各个对象的属性信息与预设的访问控制策略进行匹配。
访问控制策略根据实际需求进行设定,可以针对运维任务中一个对象设置访问控制策略,也可以针对运维任务中多个对象设置访问控制策略。比如,针对运维任务中的任务执行主体设置访问控制策略,示例性地,运维人员小张允许访问所属组织的资源。比如针对运维任务中的任务执行主体、任务执行环境、任务执行所操作资源设置访问控制策略,示例性地,设置访问控制策略为A数据中心在0点至上午8点自动将数据发送至B数据中心进行备份。访问控制策略可以是一个或多个。当访问控制策略为多个时,访问控制装置在接收到资源访问请求后,将运维任务中对象的属性信息依次与各个访问控制策略进行匹配。
步骤S204,根据运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许运维任务的资源访问请求。
由于在进行资源访问控制时,将运维任务中各个对象的属性信息与访问控制策略进行匹配,而不是根据单一的用户安全级别,故在自动化运维中,可以根据不同需求以及针对的对象设置不同的访问控制策略,然后通过对象的属性信息与访问控制策略匹配,实现多元化的资源访问控制,因此,本申请实施例中的访问控制方法更适用于现阶段自动化运维的人员构成复杂、运维资源规模巨大且变化迅速以及自动化运维关联的执行任务多且复杂的场景。
具体地,在步骤S204中,针对根据运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许运维任务的资源访问请求,本申请实施例提供了至少以下两种实施方式:
在一种可能的实施方式中,访问控制策略包括第一策略和第二策略;
在确定运维任务中各个对象的属性信息与第一策略匹配,且运维任务中各个对象的属性信息与第二策略不匹配时,阻止运维任务的资源访问请求,否则允许运维任务的资源访问请求。可选地,第一策略为阻止策略,即运维任务各个对象中至少存在一个对象的属性信息与第一策略匹配时,运维任务的资源访问请求被阻止。第二策略为例外策略,即运维任务各个对象中至少存在一个对象的属性信息与第二策略匹配时,不管该运维任务中是否存在属性信息与第一策略匹配的对象,该运维任务的资源访问请求都被允许。
下面结合具体实施场景进行说明,设定基于生产安全的考虑,数据中心的访问控制策略包括2条阻止策略和1条例外策略。阻止策略(1)为:任务执行人员不能操作跨组织的运维资源。阻止策略(2)为:执行环境中工作终端不能操作跨网络环境域的运维资源。例外策略(1)为:版本同步的运维任务可以在生产环境终端操作测试环境服务器。上述访问控制策略预先保存在策略管理节点的策略清单中。
实施例一、设定A数据中心的运维人员小王发起运维任务操作B数据中心的服务器,A数据中心向B数据中心发送资源访问请求。策略实施点拦截资源访问请求,并将资源访问请求发送至策略信息点,策略信息点将资源访问请求关联对象的属性信息发送至策略实施点,具体如表1所示:
表1
策略实施点从策略管理点中获取2条阻止策略和1条例外策略,然后将运维任务中各个对象的属性信息与2条阻止策略和1条例外策略进行匹配。由表1可知,小王(任务执行主体)所属组织为A数据中心,服务器(任务执行所操作资源)所属组织为B数据中心,由于任务执行主体与任务执行所操作资源不属于同一组织,因此与阻止策略(1)匹配,与阻止策略(2)和例外策略(1)不匹配,策略实施点确定策略匹配结果为阻止资源访问请求。策略实施点将阻止资源访问请求的匹配结果发送至策略响应点,策略响应点记录本次资源访问请求并生成告警。策略实施点阻止本次运维任务的资源访问请求。
实施例二、运维工具C在生产环境域的工作终端发起版本同步的运维任务操作测试环境域的服务器。策略实施点拦截资源访问请求,并将资源访问请求发送至策略信息点,策略信息点将资源访问请求关联对象的属性信息发送至策略实施点,具体如表2所示:
表2
策略实施点从策略管理点中获取2条阻止策略和1条例外策略,然后将运维任务中各个对象的属性信息与2条阻止策略和1条例外策略进行匹配。由表2可知,任务执行环境中执行终端所属网络环境域为生产环境域,而服务器(任务执行所操作资源)所属网络环境域为测试环境域,由于执行终端所属网络环境域与服务器所属网络环境域不相同,而阻止策略(2)为:执行环境中工作终端不能操作跨网络环境域的运维资源,因此该资源访问请求与阻止策略(2)匹配。由于运维任务内容为版本同步,而例外策略(1)为版本同步的运维任务可以在生产环境终端操作测试环境服务器,因此该资源访问请求与例外策略(1)匹配,策略实施点确定策略匹配结果为允许资源访问请求。策略实施点将允许资源访问请求的匹配结果发送至策略响应点,策略响应点记录本次资源访问请求。策略实施点将本次运维任务的资源访问请求转发至服务器。由于预先根据实际需求以及各个对象设置访问控制策略,故在接收到资源访问请求后,可以将运维任务各个对象的属性信息与访问控制策略进行匹配确定是否允许该资源访问请求,从而提高了资源访问控制的灵活性。
在另一种可能的实施方式中,访问控制策略包括第一策略和第二策略,在确定运维任务中各个对象的属性信息与第一策略匹配且运维任务中各个对象的属性信息与第二策略不匹配后,接收用户输入的例外授权指令,根据例外授权指令允许运维任务的资源访问请求。可选地,第一策略为阻止策略,即运维任务各个对象中至少存在一个对象的属性信息与第一策略匹配时,运维任务的资源访问请求被阻止。第二策略为例外策略,即运维任务各个对象中至少存在一个对象的属性信息与第二策略匹配时,不管该运维任务中是否存在属性信息与第一策略匹配的对象,该运维任务的资源访问请求都被允许。
下面结合具体实施场景进行说明,设定基于生产安全的考虑,数据中心的访问控制策略包括2条阻止策略和1条例外策略。阻止策略(1)为:任务执行人员不能操作跨组织的运维资源。阻止策略(2)为:执行环境中工作终端不能操作跨网络环境域的运维资源。例外策略(1)为:版本同步的运维任务可以在生产环境终端操作测试环境服务器。上述访问控制策略预先保存在策略管理节点的策略清单中。
设定A数据中心的运维人员小王发起运维任务操作B数据中心的服务器,A数据中心向B数据中心发送资源访问请求。策略实施点拦截资源访问请求,并将资源访问请求发送至策略信息点,策略信息点将资源访问请求关联对象的属性信息发送至策略实施点,具体如表1所示。策略实施点从策略管理点中获取2条阻止策略和1条例外策略,然后将运维任务中各个对象的属性信息与2条阻止策略和1条例外策略进行匹配,得到该资源访问请求与阻止策略(1)匹配。策略实施点将阻止资源访问请求的匹配结果发送至策略响应点,策略响应点接收用户输入的例外授权指令,然后根据例外授权指令将匹配结果修改为允许资源访问请求,并将修改后的匹配结果发送至策略实施点,策略实施点根据修改后的匹配结果将该资源访问请求发送至B数据中心。
由于在根据预设的访问控制策略与运维任务中各个对象属性信息进行匹配后,结合运维人员的具体需求调整匹配结果,从而能适用特定情况下的资源访问控制,提高了自动化运维的灵活性。
基于相同的技术构思,本申请实施例提供了一种访问控制装置,如图4所示,该装置400包括:
获取模块401,用于获取运维任务的资源访问请求,所述资源访问请求中携带组成所述运维任务的对象;
处理模块402,用于确定所述运维任务中各个对象的属性信息;
匹配模块403,用于将所述运维任务中各个对象的属性信息与预设的访问控制策略进行匹配;
判断模块404,用于根据所述运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求。
可选地,所述运维任务的对象包括任务执行主体、任务内容、任务执行环境、任务执行所操作资源。
可选地,所述访问控制策略包括第一策略和第二策略;
所述判断模块404具体用于:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配,且所述运维任务中各个对象的属性信息与所述第二策略不匹配时,阻止所述运维任务的资源访问请求,否则允许所述运维任务的资源访问请求。
可选地,所述访问控制策略包括第一策略和第二策略;
所述判断模块404具体用于:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配且所述运维任务中各个对象的属性信息与所述第二策略不匹配后,接收用户输入的例外授权指令;
根据所述例外授权指令允许所述运维任务的资源访问请求。
基于相同的技术构思,本申请实施例提供了一种访问控制设备,如图5所示,包括至少一个处理器501,以及与至少一个处理器连接的存储器502,本申请实施例中不限定处理器501与存储器502之间的具体连接介质,图5中处理器501和存储器502之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
在本申请实施例中,存储器502存储有可被至少一个处理器501执行的指令,至少一个处理器501通过执行存储器502存储的指令,可以执行前述的访问控制方法中所包括的步骤。
其中,处理器501是电子设备的控制中心,可以利用各种接口和线路连接访问控制设备的各个部分,通过运行或执行存储在存储器502内的指令以及调用存储在存储器502内的数据,实现资源访问控制。可选的,处理器501可包括一个或多个处理单元,处理器501可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器501中。在一些实施例中,处理器501和存储器502可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器501可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器502作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器502可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器502还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
基于同一发明构思,本申请实施例提供了一种计算机可读存储介质,其存储有可由访问控制设备执行的计算机程序,当所述程序在访问控制设备上运行时,使得所述访问控制设备执行访问控制方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种访问控制方法,其特征在于,包括:
获取运维任务的资源访问请求,所述资源访问请求中携带组成所述运维任务的对象;
确定所述运维任务中各个对象的属性信息;
将所述运维任务中各个对象的属性信息与预设的访问控制策略进行匹配;
根据所述运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求。
2.如权利要求1所述的方法,其特征在于,所述运维任务的对象包括任务执行主体、任务内容、任务执行环境、任务执行所操作资源。
3.如权利要求1或2所述的方法,其特征在于,所述访问控制策略包括第一策略和第二策略;
所述根据所述运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求,包括:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配,且所述运维任务中各个对象的属性信息与所述第二策略不匹配时,阻止所述运维任务的资源访问请求,否则允许所述运维任务的资源访问请求。
4.如权利要求1或2所述的方法,其特征在于,所述访问控制策略包括第一策略和第二策略;
所述根据所述运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求,包括:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配且所述运维任务中各个对象的属性信息与所述第二策略不匹配后,接收用户输入的例外授权指令;
根据所述例外授权指令允许所述运维任务的资源访问请求。
5.一种访问控制装置,其特征在于,包括:
获取模块,用于获取运维任务的资源访问请求,所述资源访问请求中携带组成所述运维任务的对象;
处理模块,用于确定所述运维任务中各个对象的属性信息;
匹配模块,用于将所述运维任务中各个对象的属性信息与预设的访问控制策略进行匹配;
判断模块,用于根据所述运维任务中各个对象的属性信息与预设的访问控制策略的匹配结果确定是否允许所述运维任务的资源访问请求。
6.如权利要求5所述的装置,其特征在于,所述运维任务的对象包括任务执行主体、任务内容、任务执行环境、任务执行所操作资源。
7.如权利要求5或6所述的装置,其特征在于,所述访问控制策略包括第一策略和第二策略;
所述判断模块具体用于:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配,且所述运维任务中各个对象的属性信息与所述第二策略不匹配时,阻止所述运维任务的资源访问请求,否则允许所述运维任务的资源访问请求。
8.如权利要求5或6所述的方法,其特征在于,所述访问控制策略包括第一策略和第二策略;
所述判断模块具体用于:
在确定所述运维任务中各个对象的属性信息与所述第一策略匹配且所述运维任务中各个对象的属性信息与所述第二策略不匹配后,接收用户输入的例外授权指令;
根据所述例外授权指令允许所述运维任务的资源访问请求。
9.一种访问控制设备,其特征在于,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行权利要求1~4任一权利要求所述方法的步骤。
10.一种计算机可读存储介质,其特征在于,其存储有可由访问控制设备执行的计算机程序,当所述程序在访问控制设备上运行时,使得所述访问控制设备执行权利要求1~4任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810923557.0A CN109165516A (zh) | 2018-08-14 | 2018-08-14 | 一种访问控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810923557.0A CN109165516A (zh) | 2018-08-14 | 2018-08-14 | 一种访问控制方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109165516A true CN109165516A (zh) | 2019-01-08 |
Family
ID=64895629
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810923557.0A Pending CN109165516A (zh) | 2018-08-14 | 2018-08-14 | 一种访问控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109165516A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131176A (zh) * | 2019-12-04 | 2020-05-08 | 北京北信源软件股份有限公司 | 资源访问控制方法、装置、设备及存储介质 |
| CN111371738A (zh) * | 2020-02-10 | 2020-07-03 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
| WO2020250103A1 (en) * | 2019-06-12 | 2020-12-17 | International Business Machines Corporation | Policy-based triggering of revision of access control information |
| CN113065153A (zh) * | 2021-03-08 | 2021-07-02 | 北京大数据先进技术研究院 | 数字对象资源控制及授权方法、装置、设备及存储介质 |
| CN113824673A (zh) * | 2020-06-18 | 2021-12-21 | 应急管理部化学品登记中心 | 危化品公共信息服务平台细粒度操作控制方法和系统 |
| CN114465763A (zh) * | 2021-12-24 | 2022-05-10 | 天翼云科技有限公司 | 一种资源访问控制方法、装置和存储介质 |
| CN115016948A (zh) * | 2022-08-08 | 2022-09-06 | 阿里巴巴(中国)有限公司 | 一种资源访问方法、装置、电子设备及可读存储介质 |
| CN116455679A (zh) * | 2023-06-16 | 2023-07-18 | 杭州美创科技股份有限公司 | 异常数据库运维流量监控方法、装置及计算机设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、系统和设备 |
| CN103853986A (zh) * | 2014-01-03 | 2014-06-11 | 李凤华 | 一种访问控制方法和装置 |
| CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
| CN104917761A (zh) * | 2015-05-29 | 2015-09-16 | 西安电子科技大学 | 一种通用的访问控制方法及装置 |
| CN106034112A (zh) * | 2015-03-12 | 2016-10-19 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
| CN107306247A (zh) * | 2016-04-18 | 2017-10-31 | 电信科学技术研究院 | 资源访问控制方法及装置 |
-
2018
- 2018-08-14 CN CN201810923557.0A patent/CN109165516A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、系统和设备 |
| CN103853986A (zh) * | 2014-01-03 | 2014-06-11 | 李凤华 | 一种访问控制方法和装置 |
| CN104811465A (zh) * | 2014-01-27 | 2015-07-29 | 电信科学技术研究院 | 一种访问控制的决策方法和设备 |
| CN106034112A (zh) * | 2015-03-12 | 2016-10-19 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
| CN104917761A (zh) * | 2015-05-29 | 2015-09-16 | 西安电子科技大学 | 一种通用的访问控制方法及装置 |
| CN107306247A (zh) * | 2016-04-18 | 2017-10-31 | 电信科学技术研究院 | 资源访问控制方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020250103A1 (en) * | 2019-06-12 | 2020-12-17 | International Business Machines Corporation | Policy-based triggering of revision of access control information |
| US11206262B2 (en) | 2019-06-12 | 2021-12-21 | International Business Machines Corporation | Policy-based triggering of revision of access control information |
| GB2599582A (en) * | 2019-06-12 | 2022-04-06 | Ibm | Policy-based triggering of revision of access control information |
| CN111131176A (zh) * | 2019-12-04 | 2020-05-08 | 北京北信源软件股份有限公司 | 资源访问控制方法、装置、设备及存储介质 |
| CN111371738A (zh) * | 2020-02-10 | 2020-07-03 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
| CN113824673A (zh) * | 2020-06-18 | 2021-12-21 | 应急管理部化学品登记中心 | 危化品公共信息服务平台细粒度操作控制方法和系统 |
| CN113065153A (zh) * | 2021-03-08 | 2021-07-02 | 北京大数据先进技术研究院 | 数字对象资源控制及授权方法、装置、设备及存储介质 |
| CN114465763A (zh) * | 2021-12-24 | 2022-05-10 | 天翼云科技有限公司 | 一种资源访问控制方法、装置和存储介质 |
| CN115016948A (zh) * | 2022-08-08 | 2022-09-06 | 阿里巴巴(中国)有限公司 | 一种资源访问方法、装置、电子设备及可读存储介质 |
| CN115016948B (zh) * | 2022-08-08 | 2022-11-25 | 阿里巴巴(中国)有限公司 | 一种资源访问方法、装置、电子设备及可读存储介质 |
| CN116455679A (zh) * | 2023-06-16 | 2023-07-18 | 杭州美创科技股份有限公司 | 异常数据库运维流量监控方法、装置及计算机设备 |
| CN116455679B (zh) * | 2023-06-16 | 2023-09-08 | 杭州美创科技股份有限公司 | 异常数据库运维流量监控方法、装置及计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109165516A (zh) | 一种访问控制方法和装置 | |
| AU2018374912B2 (en) | Model training system and method, and storage medium | |
| TWI798550B (zh) | 多方聯合進行風險識別的方法和裝置 | |
| Suciu et al. | Comparative analysis of distributed ledger technologies | |
| US20200351258A1 (en) | Blockchain Operating System | |
| CN109584082A (zh) | 基于区块链的保险理赔方法、电子装置及存储介质 | |
| CN105337928B (zh) | 用户身份识别方法、安全保护问题生成方法及装置 | |
| CN105095970B (zh) | 第三方应用的执行方法及系统 | |
| CN109766696A (zh) | 软件权限的设置方法及装置、存储介质、电子装置 | |
| CN103853986A (zh) | 一种访问控制方法和装置 | |
| CN106991334A (zh) | 一种数据存取的方法、系统及装置 | |
| CN112528251B (zh) | 用户账号权限管理方法、装置、设备以及可读介质 | |
| CN104753909B (zh) | 信息更新后的鉴权方法、装置及系统 | |
| CN110458572B (zh) | 用户风险的确定方法和目标风险识别模型的建立方法 | |
| CN109547488A (zh) | 一种基于联盟区块链的可信数据计算及交换系统 | |
| CN112560114B (zh) | 调用智能合约的方法及装置 | |
| CN109583190A (zh) | 监控进程的方法和装置 | |
| CN108965291A (zh) | 混合应用程序的注册登录方法、系统及计算机设备 | |
| CN110213290A (zh) | 数据获取方法、api网关以及存储介质 | |
| CN106021566A (zh) | 一种提高单台数据库并发处理能力的方法、装置及系统 | |
| CN105224541B (zh) | 数据的唯一性控制方法、信息存储方法及装置 | |
| CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
| CN107085516A (zh) | 一种修改配置的方法及装置 | |
| CN107193833A (zh) | 数据库访问的监控方法和装置 | |
| CN106875175B (zh) | 一种便于支付主体扩展的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190108 |