CN110069911B - 访问控制方法、装置、系统、电子设备和可读存储介质 - Google Patents
访问控制方法、装置、系统、电子设备和可读存储介质 Download PDFInfo
- Publication number
- CN110069911B CN110069911B CN201910322763.0A CN201910322763A CN110069911B CN 110069911 B CN110069911 B CN 110069911B CN 201910322763 A CN201910322763 A CN 201910322763A CN 110069911 B CN110069911 B CN 110069911B
- Authority
- CN
- China
- Prior art keywords
- access
- attribute information
- information
- current
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种访问控制方法,用于控制主体访问客体,其特征在于,所述方法包括:步骤S1,获取访问权限信息,所述访问权限信息包括不同时刻的访问属性信息和与所述访问属性信息对应的访问权限;步骤S2,获取所述主体发出的访问请求,其中,所述访问请求包含当前访问状态信息;以及步骤S3,根据在步骤S2中获取的所述当前访问状态信息确定是否满足预定条件,如果满足预定条件则通过所述访问权限信息确定第一访问权限,并根据该第一访问权限处理所述访问请求。本公开还提供了一种访问控制装置、访问控制系统、电子设备和计算机可读存储介质。
Description
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种访问控制方法、装置、系统和可读存储介质。
背景技术
现有的应用程序编程接口(Application Programming Interface,API)或代理访问的访问策略大多基于静态规则进行控制,缺少基于动态访问属性(例如时间、空间、环境等)的变化进行自适应访问控制,当访问的主体属性、客体属性和环境属性变化时,很难及时感知并作出相应的响应,无法进行风险自适应的访问控制。
发明内容
本公开鉴于上述问题,提供了一种访问控制方法、装置、系统、电子设备和可读存储介质。通过在主体的访问属性信息发生变化时,进行持续的对访问权限进行决策,增强了服务访问的安全性,并在相邻两次访问请求对应的访问属性信息相同时,以上次授权结果处理本次访问请求,提高了代理节点的效率。
本公开的一个方面提供了一种访问控制方法,包括:步骤S1,获取访问权限信息,所述访问权限信息包括不同时刻的访问属性信息和与所述访问属性信息对应的访问权限;步骤S2,获取所述主体发出的访问请求,其中,所述访问请求包含当前访问状态信息;以及步骤S3,判断在步骤S2中获取的所述当前访问状态信息是否满足预定条件,如果满足预定条件则通过所述访问权限信息确定第一访问权限,并根据该第一访问权限处理所述访问请求。
根据本公开的实施例,步骤S1包括:获取当前访问属性信息;判断所述访问权限信息中是否存在当前访问属性信息;以及在不存在当前访问属性信息的情况下,根据所述当前访问属性信息和所述访问权限信息确定所述访问请求对应的访问权限,并存储所述当前访问属性信息与所述当前访问属性信息对应访问权限之间的对应关系。
根据本公开的实施例,所述确定是否满足预定条件包括:根据在步骤S2中获取的所述当前访问状态信息确定当前访问属性信息,并根据当前访问属性信息查询对应的会话记录;在所述当前访问属性信息及会话记录与前一次访问请求的访问属性信息及会话记录不一致的情况下,确定满足所述预定条件;以及在一致的情况下,根据所述前一次访问请求所对应的第二访问权限处理所述访问请求。
根据本公开的实施例,当同一访问属性信息所对应的访问权限发生变化时,修改该访问属性信息对应的所述会话记录。
根据本公开的实施例,访问权限包括:允许所述主体访问所述客体、拒绝所述主体访问所述客体或所述主体再次发送所述访问请求后允许该主体访问所述客体。
本公开的另一个方面提供了一种访问控制装置,包括:第一获取模块,用于获取访问权限信息,所述访问权限信息包括不同时刻的访问属性信息和与所述访问属性信息对应的访问权限;第二获取模块,用于获取所述主体发出的访问请求,其中,所述访问请求包含当前访问状态信息;以及处理模块,用于判断在步骤S2中获取的所述当前访问状态信息是否满足预定条件,如果满足预定条件则通过所述访问权限信息确定第一访问权限,并根据该第一访问权限处理所述访问请求。
根据本公开的实施例,第一获取模块包括:获取子模块,用于获取当前访问属性信息;判断子模块,用于判断所述访问权限信息中是否存在当前访问属性信息;以及处理子模块,用于在不存在当前访问属性信息的情况下,根据所述当前访问属性信息和所述访问权限信息确定当前访问属性信息对应的访问权限,并存储所述当前访问属性信息与所述当前访问属性信息对应访问权限之间的对应关系。
根据本公开的实施例,处理模块包括:查询子模块,用于根据所述当前访问状态信息确定当前访问属性信息,并根据当前访问属性信息查询对应的会话记录;第一确定子模块,用于在所述当前访问属性信息及会话记录与前一次访问请求的访问属性信息及会话记录不一致的情况下,确定满足所述预定条件;以及第二确定子模块,用于在所述当前访问属性信息及会话记录与前一次访问请求中的访问属性信息及会话记录一致的情况下,根据所述前一次访问请求所对应的第二访问权限处理所述访问请求。
本公开的另一个方面提供了一种访问控制系统,其特征在于,包括:上述任意一项所述的访问控制装置;主体,所述主体包括前置应用;以及客体,所述客体包括访问资源;其中,所述主体配置为经由所述前置应用将访问请求发送至所述访问控制装置,由所述访问控制装置处理所述访问请求。
本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上述任意一项的访问控制方法。
本公开的另一方面提供了一种非暂态计算机可读存储介质,其中存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的可以应用访问控制方法的示例性系统架构;
图2A示意性示出了根据本公开的实施例的访问控制方法的流程图;
图2B示意性示出了根据本公开实施例的获取访问权限信息的方法流程图;
图2C示意性示出了根据本公开实施例的确定是否满足预定条件的方法流程图;
图2D示意性示出了根据本公开另一实施例的访问控制方法的示意图;
图3示意性示出了根据本公开的实施例的访问控制装置的框图;以及
图4示意性示出了根据本公开实施例的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种访问控制方法,用于控制主体访问客体,其特征在于,所述方法包括:步骤S1,获取访问权限信息,所述访问权限信息包括不同时刻的访问属性信息和与所述访问属性信息对应的访问权限;步骤S2,获取所述主体发出的访问请求,其中,所述访问请求包含当前访问状态信息;以及步骤S3,根据在步骤S2中获取的所述当前访问状态信息确定是否满足预定条件,如果满足预定条件则通过所述访问权限信息确定第一访问权限,并根据该第一访问权限处理所述访问请求。
图1示意性示出了根据本公开实施例的可以应用访问控制方法的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括访问控制系统101、终端设备103和服务器105。
终端设备103上例如可以安装有各种通讯客户端前置应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
用户可以使用终端设备103上安装的前置应用访问服务器105中的应用程序编程接口。访问控制系统101对终端设备103访问应用程序编程接口的权限进行控制。例如,终端设备103向访问控制系统101发出访问服务器105中的应用程序编程接口的请求,访问控制系统101可以应用根据本公开实施例的访问控制方法以确定该访问请求的访问权限。
终端设备103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
需要说明的是,本公开实施例所提供的控制方法一般可以由访问控制系统101执行。
下面结合图2A、图2B、图2C和图2D说明根据本公开实施例的访问控制方法的实施方式。
图2A示意性示出了根据本公开的实施例的访问控制方法的流程图。
如图2A所示,该方法包括在操作S1~S3。该方法应用于控制主体访问客体。
根据本公开的实施例,主体例如可以是经由前置应用请求访问客体的客户端设备。客体例如可以是服务器,服务器中包括各种应用程序编程接口。
在操作S1,获取访问权限信息,所述访问权限信息包括不同时刻的访问属性信息和与所述访问属性信息对应的访问权限。
根据本公开的实施例,访问属性信息例如可以包括但不限于主体环境信息、主体属性信息、客体标识信息及客体环境信息。
主体环境信息例如可以包括但不限于主体的时间信息、空间信息和风险信息。其中,时间信息例如访问时间的范围、时间段、星期段、节假日等;空间信息例如访问来源的地理位置、IP范围、接入网络、浏览器类型、客户端类型等;主体的风险信息例如访问设备的安全级别、风险分等。主体属性信息例如主体标识、访问用户标识等。
客体标识信息例如可以是资源ID、服务器IP等。客体环境信息至少包括客体的风险信息,例如请求访问的资源的风险级别、安全性等。应该理解的是,客体的风险信息还可以包括客体其它相关信息,例如客体的IP地址与风险分等。
根据本公开的实施例,访问属性信息例如还可以包括主体和客体之间的访问流量等。
根据本公开的实施例,获取访问权限信息,例如可以是图1中所示的访问控制系统101实时对主体和客体进行监测,当检测到主体环境信息、主体属性信息、客体标识信息及客体环境信息发生变化时,重新确定主体访问客体的权限,从而获取到不同时刻的访问属性信息和访问属性信息对应的访问权限。
根据本公开的实施例,访问权限包括但不限于允许访问、拒绝访问、二次认证后允许访问、允许以观察者模式访问等。允许访问即允许请求主体访问客体(例如客体中的资源);拒绝访问即拒绝请求主体访问客体;二次认证后允许访问即对于身份可疑的请求主体,允许该请求主体二次认证后访问客体;允许以观察者模式访问即允许该请求主体访问客体,但同时对其进行监控,当出现可疑行为时,可拒绝其访问客体。
图2B示意性示出了根据本公开实施例的操作S1获取访问权限信息的方法流程图。
如图2B所示,该方法包括操作S11~S13。
在操作S11,获取当前访问属性信息。
在操作S12,判断访问权限信息中是否存在当前访问属性信息。
在操作S13,在不存在当前访问属性信息的情况下,根据当前访问属性信息和访问权限信息,确定当前访问属性信息对应的访问权限,并存储当前访问属性信息与当前访问属性信息对应访问权限之间的对应关系。
根据本公开的实施例,在操作S11和S12,例如可以是图1中所示的访问控制系统101实时对主体和客体进行监测,并判断每一时刻获取的监测结果在访问权限信息中是否存在。
根据本公开的实施例,访问权限信息中不存在当前访问属性信息表明当前的主体环境信息、主体属性信息、客体标识信息及客体环境信息较之之前的主体环境信息、主体属性信息、客体标识信息及客体环境信息发生变化。
根据本公开的实施例,当主体风险值、客体风险值、时间信息、空间信息、主体属性信息和客体标识信息中任一信息不属于所存储的主体风险值、客体风险值、时间信息、空间信息、主体属性信息和客体标识信息时,确定该主体风险值、客体风险值、时间信息、空间信息、主体属性信息和客体标识信息发生变化。或者,也可以设备为主体风险值或客体风险值的变化量超过一预设值时认为其发生变化。
根据本公开的实施例,主体风险值、客体风险值、时间信息、空间信息、主体属性信息和客体标识信息无变化时,不做权限判定处理;主体风险值、客体风险值、时间信息、空间信息、主体属性信息和客体标识信息有变化时,根据该主体风险值、客体风险值、时间信息、空间信息、主体属性信息和客体标识信息重新决策出对应的访问权限,并进行记录存储。
根据本公开的实施例,在操作S13,当确定当前的主体环境信息、主体属性信息、客体标识信息及客体环境信息较之之前的主体环境信息、主体属性信息、客体标识信息及客体环境信息发生变化的情况下,根据当前访问属性信息和访问权限信息,确定当前访问属性信息对应的访问权限。
例如可以是根据当前访问属性信息与大量的历史访问属性信息之间的差异满足的配置规则确定当前访问属性信息对应的访问权限。配置规则例如可以是当差异大于阈值时,当前访问属性信息对应的访问权限为拒绝访问,当差异在预设范围内时,当前访问属性信息对应的访问权限为二次认证后允许访问等等。
又例如可以是根据大量的历史访问属性信息和访问权限的对应关系进行神经网络学习,建立对应关系模型。将当前访问属性信息作为对应关系模型的输入,从而获得当前访问属性信息的的访问权限。
下表1以时间信息为访问时间的时间段、空间信息为客户端类型、主体属性信息为访问用户标识、客体标识信息为资源ID为例,示意性说明不同的访问属性信息与访问权限之间的对应关系如下表所示。
表1
返回参考图2A,在操作S2,获取所述主体发出的访问请求,其中,所述访问请求包含当前访问状态信息。
根据本公开的实施例,在操作S2,当前访问状态信息例如可以包括但不限于当前访问请求的主体环境信息、主体属性信息、客体标识信息等。
根据本公开的实施例,在操作S2,当接收到主体发出的访问请求后,从访问请求中解析出主体环境信息、主体属性信息、客体标识信息。
在操作S3,判断当前访问状态信息是否满足预定条件,例如可以包括:根据当前访问状态信息,确定当前访问属性信息,其中,所述当前访问属性信息包括所述当前访问状态信息和根据所述当前访问状态信息确定的客体环境信息;以及判断访问权限信息中是否存在与当前属性信息一致的访问属性信息。
根据本公开的实施例,在操作S3,满足预定条件例如可以是访问权限信息中不存在与当前访问属性信息一致的访问属性信息。
根据本公开的实施例,在操作S3,例如可以是在访问权限信息中不存在与当前属性信息一致的访问属性信息的情况下,根据访问权限信息确定第一访问权限。例如可以是根据当前属性信息与访问权限信息的差异满足的配置规则确定第一访问权限。
图2C示意性示出了根据本公开实施例的操作S3中确定是否满足预定条件的方法流程图。
如图2C所示,该方法包括操作S31~S33。
在操作S31,根据当前访问状态信息确定当前访问属性信息,并根据当前访问属性信息查询对应的会话记录。
在操作S32,在当前访问属性信息和会话记录与前一次访问请求中的访问属性信息及会话记录不一致的情况下,确定满足预定条件。
在操作S33,在当前访问属性信息和会话记录与前一次访问请求中的访问属性信息及会话记录一致的情况下,确定不满足预定条件,根据前一次访问请求对应的第二访问权限处理所述访问请求。
根据本公开的实施例,会话记录例如可以是根据用户的输入操作记录的访问属性信息和访问权限之间的对应关系。例如可以是当同一访问属性信息所对应的访问权限发生变化时,修改该访问属性信息对应的会话记录。具体地,通过人工(例如管理员)操作来改变该访问属性信息对应的访问权限,例如,用户A可以访问资源B,通过人工操作设置用户A不可以访问资源B,此时需要对会话记录进行变更,强制删除会话记录(即删除该访问属性信息对应的会话记录);用户A不可以访问资源B,通过人工操作设置用户A可以访问资源B,此时需要新增相应会话记录。根据本公开的实施例,在操作S33,对于前一次访问请求,已对该前一次访问请求中的主体环境信息、主体属性信息、客体标识信息及客体环境信息及其对应的访问权限以及上述信息的会话记录进行记录。
根据本公开的实施例,例如可以根据当前访问属性信息中的主体的IP地址,确定该主体上一次访问客体时的访问属性信息和会话记录。
根据本公开的实施例,在操作S33,在当前访问属性信息和会话记录与前一次访问请求中的访问属性信息及会话记录一致的情况下,根据前一次访问请求对应的第二访问权限处理该访问请求,不再重新获取访问权限,提高处理效率。图2D示意性示出了根据本公开另一实施例的访问控制方法的示意图。
如图2D所示,访问控制系统200包括监控和决策模块210、获取模块220和访问控制模块230。监控和决策模块210,例如执行上文参考图2A描述的操作S1,例如可以是实时监控访问属性信息,其中,访问属性信息例如可以包括主体主体环境信息、主体属性信息、客体标识信息及客体环境信息。在确定访问属性信息与历史访问属性信息相比发生变化的情况下,根据监控和决策模块210中的配置规则确定访问属性信息和访问属性信息对应的访问权限之间的对应关系。并将确定后的对应关系发送到访问控制模块230。当确定后的对应关系与访问控制模块230之前存储的对应关系不一致的情况下,修改访问控制模块230中的对应关系,或者删除访问控制模块230中的对应关系。
当主体发出用于访问客体中的资源的访问请求时,访问控制系统200中的获取模块220能够识别当前访问请求中的当前访问状态信息,其中,当前访问状态信息例如可以包括主体环境信息、主体属性信息、客体标识信息。并从监控和决策模块210获得客体环境信息,从而确定当前访问属性信息。并将当前访问属性信息发送给访问控制模块230。
在一些实施例中,访问控制模块230得到当前访问属性信息后,访问控制模块230查看当前访问属性信息是否与上一次的访问属性信息一致,若一致根据上一次的访问权限处理当前访问请求。若不一致,将该访问属性信息发送到监控和决策模块210。监控和决策模块210根据当前访问属性信息和历史的访问权限信息,确定当前访问请求的访问权限。
在另一些实施例中,访问控制模块230得到当前访问属性信息后,查看会话记录,当当前访问属性信息和会话记录与上一次的访问属性信息和会话记录一致的情况下,根据上一次的访问权限处理当前访问请求。若不一致,将该访问属性信息发送到监控和决策模块210。监控和决策模块210根据当前访问属性信息和历史的访问权限信息,确定当前访问请求的访问权限。
图3示意性示出了根据本公开的实施例的访问控制装置300的框图。
如图3所示,访问控制装置300包括第一获取模块310、第二获取模块320和处理模块330。
第一获取模块310,例如执行上文参考图2A描述的操作S1,用于获取访问权限信息,所述访问权限信息包括访问属性信息和与所述访问属性信息对应的访问权限。
第二获取模块320,例如执行上文参考图2A描述的操作S2,用于获取所述主体发出的访问请求,其中,所述访问请求包含当前访问属性信息。
处理模块330,例如执行上文参考图2A描述的操作S3,用于判断所述当前访问状态信息是否满足预定条件,如果满足预定条件则通过所述访问权限信息确定第一访问权限,并根据该第一访问权限处理所述访问请求。
根据本公开的实施例,第一获取模块包括:获取子模块,用于获取当前访问属性信息;判断子模块,用于判断所述访问权限信息中是否存在当前访问属性信息;以及处理子模块,用于在不存在当前访问属性信息的情况下,根据所述当前访问属性信息和所述访问权限信息确定当前访问属性信息对应的访问权限,并存储所述当前访问属性信息与所述当前访问属性信息对应访问权限之间的对应关系。
根据本公开的实施例,处理模块包括:查询子模块,用于根据所述当前访问状态信息确定当前访问属性信息,并根据当前访问属性信息查询对应的会话记录;第一确定子模块,用于在所述当前访问属性信息及会话记录与前一次访问请求的访问属性信息及会话记录不一致的情况下,确定满足所述预定条件;以及第二确定子模块,用于在所述当前访问属性信息及会话记录与前一次访问请求中的访问属性信息及会话记录一致的情况下,根据所述前一次访问请求所对应的第二访问权限处理所述访问请求。
根据本公开的实施例,还包括修改模块,用于当同一访问属性信息所对应的访问权限发生变化时,修改该访问属性信息对应的所述会话记录。
根据本公开的实施例,所述访问权限包括:允许所述主体访问所述客体、拒绝所述主体访问所述客体或所述主体再次发送所述访问请求后允许该主体访问所述客体。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块310、第二获取模块320和处理模块330中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块310、第二获取模块320和处理模块330中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块310、第二获取模块320和处理模块330中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图4示意性示出了根据本公开实施例的电子设备的方框图。图4示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
参阅图4,电子设备400包括处理器410、计算机可读存储介质420。该电子设备400可以执行根据本公开实施例的方法。
具体地,处理器410例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器410还可以包括用于缓存用途的板载存储器。处理器410可以是用于执行上述方法。
计算机可读存储介质420,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
计算机可读存储介质420可以包括计算机程序421,该计算机程序421可以包括代码/计算机可执行指令,其在由处理器410执行时使得处理器410执行根据本公开实施例的方法或其任何变形。
计算机程序421可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序421中的代码可以包括一个或多个程序模块,例如包括421A、模块421B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器410执行时,使得处理器410可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线、光缆、射频信号等等,或者上述的任意合适的组合。
尽管已参照本公开的特定示例性实施例示出并描述本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (9)
1.一种访问控制方法,用于控制主体访问客体,其特征在于,所述方法包括:
步骤S1,获取访问权限信息,所述访问权限信息包括不同时刻的访问属性信息和与所述访问属性信息对应的访问权限;
步骤S2,获取所述主体发出的访问请求,其中,所述访问请求包含当前访问状态信息;以及
步骤S3,判断在步骤S2中获取的所述当前访问状态信息是否满足预定条件,根据在步骤S2中获取的所述当前访问状态信息确定当前访问属性信息,并根据当前访问属性信息查询对应的会话记录;
在所述当前访问属性信息及会话记录与前一次访问请求的访问属性信息及会话记录不一致的情况下,确定满足所述预定条件,则通过所述访问权限信息确定第一访问权限,并根据该第一访问权限处理所述访问请求;以及
在一致的情况下,根据所述前一次访问请求所对应的第二防问权限处理所述访问请求;
其中,所述访问属性信息可以包括主体环境信息、主体属性信息、客体标识信息及客体环境信息。
2.根据权利要求1所述的访问控制方法,其特征在于,所述步骤S1包括:
获取当前访问属性信息;
判断所述访问权限信息中是否存在当前访问属性信息;以及
在不存在当前访问属性信息的情况下,根据所述当前访问属性信息和所述访问权限信息确定当前访问属性信息对应的访问权限,并存储所述当前访问属性信息与所述当前访问属性信息对应访问权限之间的对应关系。
3.根据权利要求1所述的访问控制方法,其特征在于,当同一访问属性信息所对应的访问权限发生变化时,修改该访问属性信息对应的所述会话记录。
4.根据权利要求1所述的访问控制方法,其特征在于,所述访问权限包括:允许所述主体访问所述客体、拒绝所述主体访问所述客体或所述主体再次发送所述访问请求后允许该主体访问所述客体。
5.一种访问控制装置,其特征在于,所述访问控制装置包括:
第一获取模块,用于获取访问权限信息,所述访问权限信息包括不同时刻的访问属性信息和与所述访问属性信息对应的访问权限;
第二获取模块,用于获取主体发出的访问请求,其中,所述访问请求包含当前访问状态信息;以及
处理模块,用于判断获取的所述当前访问状态信息是否满足预定条件,如果满足预定条件则通过所述访问权限信息确定第一访问权限,并根据该第一访问权限处理所述访问请求;
其中,所述处理模块包括:
查询子模块,用于根据所述当前访问状态信息确定当前访问属性信息,并根据当前访问属性信息查询对应的会话记录;
第一确定子模块,用于在所述当前访问属性信息及会话记录与前一次访问请求的防问属性信息及会话记录不一致的情况下,确定满足所述预定条件;以及
第二确定子模块,用于在所述当前访问属性信息及会话记录与前一次访问请求中的访问属性信息及会话记录一致的情况下,根据所述前一次访问请求所对应的第二访问权限处理所述访问请求。
6.根据权利要求5所述的访问控制装置,其特征在于,所述第一获取模块包括:
获取子模块,用于获取当前访问属性信息;
判断子模块,用于判断所述访问权限信息中是否存在当前访问属性信息;以及
处理子模块,用于在不存在当前访问属性信息的情况下,根据所述当前访问属性信息和所述访问权限信息确定当前访问属性信息对应的访问权限,并存储所述当前访问属性信息与所述当前访问属性信息对应访问权限之间的对应关系。
7.一种访问控制系统,其特征在于,包括:
如权利要求5~6任意一项所述的访问控制装置;
主体,所述主体包括前置应用;以及
客体,所述客体包括访问资源;
其中,所述主体配置为经由所述前置应用将访问请求发送至所述访问控制装置,由所述访问控制装置处理所述访问请求。
8.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1~4任意一项的访问控制方法。
9.一种非暂态计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如权利要求1~4任意一项的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910322763.0A CN110069911B (zh) | 2019-04-19 | 2019-04-19 | 访问控制方法、装置、系统、电子设备和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910322763.0A CN110069911B (zh) | 2019-04-19 | 2019-04-19 | 访问控制方法、装置、系统、电子设备和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110069911A CN110069911A (zh) | 2019-07-30 |
| CN110069911B true CN110069911B (zh) | 2021-05-14 |
Family
ID=67368301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910322763.0A Active CN110069911B (zh) | 2019-04-19 | 2019-04-19 | 访问控制方法、装置、系统、电子设备和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110069911B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111259375A (zh) * | 2020-01-09 | 2020-06-09 | 青岛海尔科技有限公司 | 应用于物联网操作系统的访问请求的处理方法及装置 |
| WO2021185245A1 (en) * | 2020-03-17 | 2021-09-23 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Access-control method and electronic device |
| CN112347224B (zh) * | 2020-06-11 | 2021-12-31 | 广州锦行网络科技有限公司 | 一种基于自然语言处理的增强最小特权访问控制的方法 |
| CN111737687B (zh) * | 2020-06-30 | 2024-02-06 | 中国工商银行股份有限公司 | 网页应用系统的访问控制方法、系统、电子设备和介质 |
| CN112115484B (zh) * | 2020-09-27 | 2023-11-21 | 中国工商银行股份有限公司 | 应用程序的访问控制方法、装置、系统及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101207485A (zh) * | 2007-08-15 | 2008-06-25 | 深圳市同洲电子股份有限公司 | 对用户进行统一身份安全认证的系统及其方法 |
| CN101297310A (zh) * | 2005-11-15 | 2008-10-29 | 株式会社东芝 | 内容管理系统和内容管理方法 |
| CN102611687A (zh) * | 2011-12-19 | 2012-07-25 | 上海华御信息技术有限公司 | 一种基于反馈的控制访问权限的系统及方法 |
| CN106649772A (zh) * | 2016-12-27 | 2017-05-10 | 上海上讯信息技术股份有限公司 | 一种访问数据的方法及设备 |
| CN109460644A (zh) * | 2018-10-22 | 2019-03-12 | 平安科技(深圳)有限公司 | 一种用户权限的确定方法和装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7487102B2 (en) * | 2001-03-09 | 2009-02-03 | Debra Castille | Process of interfacing a patient indirectly with their own electronic medical records |
| JP6092533B2 (ja) * | 2012-06-29 | 2017-03-08 | キヤノン株式会社 | 画像形成装置とその制御方法、及びプログラム |
| CN103078845B (zh) * | 2012-12-19 | 2017-05-10 | 华为技术有限公司 | 访问控制列表的校验方法和共享存储系统 |
| US9037849B2 (en) * | 2013-04-30 | 2015-05-19 | Cloudpath Networks, Inc. | System and method for managing network access based on a history of a certificate |
| US20150040192A1 (en) * | 2013-07-31 | 2015-02-05 | Michael Christopher Kobold | Graduated access multi-password authentication |
| CN103853986B (zh) * | 2014-01-03 | 2017-02-15 | 李凤华 | 一种访问控制方法和装置 |
-
2019
- 2019-04-19 CN CN201910322763.0A patent/CN110069911B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101297310A (zh) * | 2005-11-15 | 2008-10-29 | 株式会社东芝 | 内容管理系统和内容管理方法 |
| CN101207485A (zh) * | 2007-08-15 | 2008-06-25 | 深圳市同洲电子股份有限公司 | 对用户进行统一身份安全认证的系统及其方法 |
| CN102611687A (zh) * | 2011-12-19 | 2012-07-25 | 上海华御信息技术有限公司 | 一种基于反馈的控制访问权限的系统及方法 |
| CN106649772A (zh) * | 2016-12-27 | 2017-05-10 | 上海上讯信息技术股份有限公司 | 一种访问数据的方法及设备 |
| CN109460644A (zh) * | 2018-10-22 | 2019-03-12 | 平安科技(深圳)有限公司 | 一种用户权限的确定方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110069911A (zh) | 2019-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110069911B (zh) | 访问控制方法、装置、系统、电子设备和可读存储介质 | |
| US11456965B2 (en) | Network service request throttling system | |
| US8327441B2 (en) | System and method for application attestation | |
| US8713646B2 (en) | Controlling access to resources on a network | |
| US8590052B2 (en) | Enabling granular discretionary access control for data stored in a cloud computing environment | |
| CN110311926B (zh) | 一种应用访问控制方法、系统和介质 | |
| US9083692B2 (en) | Apparatus and method of providing security to cloud data to prevent unauthorized access | |
| US20180332017A1 (en) | Authenticating a device based on communication patterns in a group of devices | |
| WO2014151227A1 (en) | Delegating authorization to applications on a client device in a networked environment | |
| CN111104675A (zh) | 系统安全漏洞的检测方法和装置 | |
| US20170289269A1 (en) | Delegating a reverse proxy session to its instantiating portlet session | |
| US10382398B2 (en) | Application signature authorization | |
| US20230254146A1 (en) | Cybersecurity guard for core network elements | |
| CN111274595A (zh) | 一种资源访问的控制方法及装置 | |
| KR101784312B1 (ko) | 인증되지 않는 액세스를 방지하기 위해 클라우드 데이터에 보안을 제공하는 전자 장치 및 이의 보안 제공 방법 | |
| US20220255970A1 (en) | Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices | |
| US11431711B2 (en) | Method, device and computer program product for service access | |
| CN113641966B (zh) | 一种应用集成方法、系统、设备及介质 | |
| CN113765986B (zh) | 一种开放平台的流量控制方法和服务器 | |
| US11902327B2 (en) | Evaluating a result of enforcement of access control policies instead of enforcing the access control policies | |
| CN117473547A (zh) | 一种数据库权限管理的方法和装置 | |
| CN111314332A (zh) | 访问控制方法、装置、计算机系统和计算机可读存储介质 | |
| CN117540361A (zh) | 单点登录认证方法、装置、设备、介质和程序产品 | |
| CN116821869A (zh) | 资源访问控制方法、装置、介质及电子设备 | |
| CN113132303A (zh) | 由防火墙执行的信息处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |