CN110096856A - 一种访问控制方法、系统、电子设备及介质 - Google Patents
一种访问控制方法、系统、电子设备及介质 Download PDFInfo
- Publication number
- CN110096856A CN110096856A CN201910322762.6A CN201910322762A CN110096856A CN 110096856 A CN110096856 A CN 110096856A CN 201910322762 A CN201910322762 A CN 201910322762A CN 110096856 A CN110096856 A CN 110096856A
- Authority
- CN
- China
- Prior art keywords
- attribute
- main body
- condition
- sub
- inspection condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- General Factory Administration (AREA)
Abstract
一种访问控制方法,用于控制主体访问客体,所述方法包括:步骤S1,判断所述主体的属性是否满足预设的检查条件,其中,所述主体的属性被设置为通过所述主体的环境属性或行为属性中的至少之一来表征;步骤S2,在所述主体的属性满足所述检查条件时,允许所述主体访问所述客体;以及步骤S3,在所述主体的属性不满足所述检查条件时,不允许所述主体访问所述客体。另外本发明还提供了一种访问控制系统、电子设备和可读计算机介质。本发明基于主体的属性,从多维度对主体的访问进行控制,确保访问的安全性和可靠性。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种访问控制方法、系统、电子设备及介质。
背景技术
在网络安全技术中,主体访问客体往往需要授权。目前常见的授权系统是基于角色的权限访问控制(Role-Based Access Control,RBAC),在RBAC系统中,权限和角色相关联,用户通过成为适当角色的成员而得到这些角色的权限,用户很容易通过篡改自己的身份成为具有访问某客体的角色,安全性不高。
发明内容
(一)要解决的技术问题
基于上述技术问题,本发明提供了一种访问控制方法、系统、电子设备及介质,该访问控制方法基于主体的属性,从多维度对主体的访问进行控制,确保访问的安全性和可靠性。
(二)技术方案
第一方面,本发明提供了一种访问控制方法,用于控制主体访问客体。所述方法包括:步骤S1,判断所述主体的属性是否满足预设的检查条件,其中,所述主体的属性被设置为通过所述主体的环境属性或行为属性中的至少之一来表征;步骤S2,在所述主体的属性满足所述检查条件时,允许所述主体访问所述客体;以及步骤S3,在所述主体的属性不满足所述检查条件时,不允许所述主体访问所述客体。
可选地,所述方法在所述步骤S1之前还包括:步骤S0,设置所述检查条件,其中所述检查条件包括强制条件和/或多个准入条件。其中,所述步骤S1包括:在所述检查条件包括所述强制条件的情况下,判断所述主体的属性是否满足所述强制条件,得到第一判断结果;在所述检查条件包括所述多个准入条件的情况下,判断所述主体的属性是否满足所述多个准入条件中的至少一个,得到第二判断结果;以及在所述第一判断结果或所述第二判断结果中的任意一个为否时,确定所述主体的属性不满足所述检查条件;否则,确定所述主体的属性满足所述检查条件。
可选地,所述环境属性包括至少一个环境子属性,所述行为属性包括至少一个行为子属性,所述检查条件包括至少一个检查子条件。其中,所述步骤S1包括:针对所述至少一个检查子条件中的每个检查子条件,设置至少一个检查点;通过所述至少一个检查点中的每个检查点,验证至少一个子属性,所述至少一个子属性属于所述至少一个环境子属性和/或所述至少一个行为子属性;若所述至少一个检查点中的全部检查点均验证通过,则确定所述至少一个检查点对应的检查子条件验证通过;否则则确定所述至少一个检查点对应的检查子条件验证不通过。
可选地,所述至少一个检查点中的每个检查点包括与所述至少一个子属性对应的预设阈值范围和/或白名单。其中,所述验证至少一个子属性包括:验证所述至少一个子属性是否在所述预设阈值范围或所述白名单内;若是则验证通过,若否则验证不通过。
可选地,所述至少一个检查点中的每个检查点包括与所述至少一个子属性对应的黑名单。其中,所述验证至少一个子属性包括:验证所述至少一个子属性是否在所述黑名单内;若是则验证不通过,若否则验证通过。
可选地,所述方法还包括:在不允许所述主体访问所述客体的情况下,判断所述主体的属性是否可修复以满足所述检查条件;以及在所述主体的属性可修复的情况下,修复所述主体的属性以使所述主体的属性满足所述检查条件。
第二方面,本发明提供了一种访问控制系统,用于控制主体访问客体。所述系统包括判断模块和访问授权模块。所述判断模块用于判断所述主体的属性是否满足预设的检查条件,其中,所述主体的属性被设置为通过所述主体的环境属性或行为属性中的至少之一来表征。所述访问授权模块用于在所述主体的属性满足所述检查条件时,允许所述主体访问所述客体,以及在所述主体的属性不满足所述检查条件时,不允许所述主体访问所述客体。
可选地,所述系统还包括条件设置模块。所述条件设置模块用于设置所述检查条件,其中所述检查条件包括强制条件和/或多个准入条件。其中,所述判断模块还包括第一判断子模块、第二判断子模块、以及确定子模块。所述第一判断子模块用于在所述检查条件包括所述强制条件的情况下,判断所述主体的属性是否满足所述强制条件,得到第一判断结果。所述第二判断子模块用于在所述检查条件包括所述多个准入条件的情况下,判断所述主体的属性是否满足所述多个准入条件中的至少一个,得到第二判断结果。所述确定子模块用于在所述第一判断结果或所述第二判断结果中的任意一个为否时,确定所述主体的属性不满足所述检查条件,否则确定所述主体的属性满足所述检查条件。
第三方面,本发明提供了一种电子设备。所述电子设备包括处理器和存储器。所述存储器存储有计算机可执行程序。该程序在被所述处理器执行时,使得所述处理器执行上述的访问控制方法。
第四方面,本发明提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述的访问控制方法。
(三)有益效果
本发明提供了一种访问控制方法、系统、电子设备及介质,本发明基于主体的属性判断对主体的访问权限进行控制,其中主体的属性可以包括主体的环境属性和/或行为属性,从而可以从多维度对主体的访问进行控制,确保了访问的安全性和可靠性。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1A示意性示出了本公开实施例的访问控制方法流程图;
图1B示意性示出了本公开另一实施例的访问控制方法流程图;
图2示意性示出了本公开实施例的访问控制方法的应用场景;
图3示意性示出了本公开实施例的强制条件和多个准入条件结构图;
图4示意性示出了本公开实施例的访问控制方法中的验证流程图;
图5示意性示出了本公开实施例的访问控制系统的结构框图;以及
图6示意性示出了本公开实施例的电子设备的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
图1A示意性示出了本公开实施例的访问控制方法流程图。
如图1A所示,根据本公开的实施例的访问控制方法包括步骤S1、以及步骤S2或步骤S3。
在步骤S1,判断主体的属性是否满足预设的检查条件,其中,所述主体的属性被设置为通过所述主体的环境属性或行为属性中的至少之一来表征。
根据本公开的实施例,该主体例如可以是能够接收用户操作的物理机、云桌面、移动终端或者PC(即,个人笔记本电脑)等。所述客体可以是该主体所要访问的服务器上的应用程序、应用功能、API接口或者数据等。
根据本公开的实施例,所述主体的环境属性包括至少一个环境子属性。该环境子属性,例如可以是该主体的地理位置、该主体的设备类型(例如是PC还是移动终端)、该主体是否具有漏洞等。根据本公开的实施例,主体的行为属性可以包括至少一个行为子属性。该行为子属性,例如可以是用户通过该主体所执行的日常操作行为、或者同一工作组中的用户在该主体上的操作习惯等。用户的日常操作行为可以是,例如用户一般在9:00上班后第一件事是通过PC端来查看邮件,而后在PC上打开具有某种属性的文件夹进行事务处理等行为。
根据本公开的实施例,在步骤S1之前,还可以获取主体的属性。例如,从主体的环境属性和用户行为分析系统接收数据,从所接收的数据中提取出主体的属性。
步骤S2,在主体的属性满足检查条件时,允许主体访问客体。
步骤S3,在主体的属性不满足检查条件时,不允许主体访问客体。
根据本公开的一些实施例,从对主体授权控制的约束力维度而言,该检查条件可以包括强制条件和/或多个准入条件。检查条件可以包括强制条件和/或多个准入条件,具体包括了该检查条件可以同时包括强制条件和多个准入条件,或者该检查条件仅包括强制条件,或者该检查条件仅包括多个准入条件三种情况。
其中,强制条件是主体的属性必须满足的条件。如果预先设置有强制条件,那么主体的属性必须满足该强制条件,该主体才有可能被允许访问客体,否则该主体就不会被授权访问客体。
多个准入条件是主体的属性可以选择性满足其中之一的条件。例如,可以是只有当该多个准入条件都不满足时,对主体访问客体的授权结果为不通过;而如果主体的属性满足该多个准入条件其中至少一个,则主体可以具有允许访问客体的可能(在这种情况下,是否最终授权还要进一步考虑是否还有强制条件、以及在存在强制条件时主体的属性是否强制条件)。根据本公开的实施例,如果预先设置有多个准入条件,那么主体的属性可以仅满足该多个准入条件中的某一个,此时对主体是否被允许访问客体可以基于强制条件(如果有)等进一步判断。而当主体的属性不能满足所有的准入条件中任意一个准入条件时,会确定主体访问客体的授权结果为不通过。
根据本公开的另一些实施例,从检查条件所要检查的要素维度而言,该检查条件可以包括一个或多个子检查条件。例如,每个子检查条件针对主体的属性的一个或多个相关联的方面(例如,一个或多个环境子属性、或者一个或多个行为子属性)进行检查。例如,有的子检查条件可以用于检查该主体所在的地理位置,有的子检查条件可以用于检查该主体是否有漏洞,有的子检查条件可以用于检查用户在该主体上的操作行为等。
对于每个子检查条件,可以设置至少一个检查点。当该至少一个检查点中所有检查点都验证通过时,确定对应的子检查条件通过验证。例如,对于检查该主体是否有漏洞的子检查条件,可以设置多个检查点,其中不同的检查点用来验证主体中是否存在不同种类的漏洞。只有在每个检查点都验证表明主体中不存在漏洞时,可以确定主体中不存在漏洞(即,用于检查该主体是否有漏洞的子检查条件验证通过)。
图1B示意性示出了本公开另一实施例的访问控制方法流程图。图1B中的示例中,检查条件中同时包括强制条件和多个准入条件。
如图1B所示,根据本公开的实施例,该访问控制方法在步骤S1~S3以外,还包括步骤S0,并且步骤S1具体可以包括步骤S11、S12、和S13或S14。
在步骤S0,设置检查条件,其中该检查条件包括强制条件和多个准入条件。
在步骤S11,判断主体的属性是否满足强制条件,得到第一判断结果。
在步骤S12,判断主体的属性是否满足多个准入条件中的至少一个,得到第二判断结果。
在步骤S13,在第一判断结果和第二判断结果均为是时,确定主体的属性满足检查条件。此后可以执行步骤S2,允许主体访问客体。
在步骤S14,在第一判断结果或第二判断结果中的任意一个为否时,确定主体的属性不满足检查条件。此后可以执行步骤S3,不允许主体访问客体。
需要说明的是,图1B示例的是检查条件中同时包括强制条件和多个准入条件时的访问控制方法,仅是本公开实施例的方法的一个示例。根据本公开的另一些实施例,在步骤S0中设置的该检查条件可以是仅包括强制条件或该多个准入条件二者之一。
例如,若该检查条件仅包括强制条件,则不存在步骤S12的基于多个准入条件的判断。在这种情况下只要步骤S11中基于强制条件判断得到的第一判断结果为否,就可以在步骤S14中确定主体的属性不满足该检查条件;或者,若步骤S11中得到的第一判断结果为是,就可以在步骤S13中确定主体的属性满足该检查条件。
又例如,若该检查条件仅包括该多个准入条件,则不存在步骤S11的基于强制条件的判断。在这种情况下只要步骤S12中基于多个准入条件的判断得到的第二判断结果为否,就可以在步骤S14中确定主体的属性不满足该检查条件;或者,若步骤S12中得到的第二判断结果为是,就可以在步骤S13中确定主体的属性满足该检查条件。
由此可见,对于检查条件包括强制条件和/或多个准入条件对应的三种情况而言,只要基于强制条件得到的第一判断结果或基于多个准入条件得到的第二判断结果中的任意一个为否时,就可以确定主体的属性不满足检查条件,否则就可以确定主体的属性满足检查条件。
根据本公开实施例的访问控制方法,基于主体的属性判断对主体的访问权限进行控制,可以从不同维度对主体的访问权项进行控制,确保了访问的安全性和可靠性。
图2示意性示出了本公开实施例的访问控制方法的应用场景。图2中的应用场景示例的是用户通过PC、移动终端等设备访问公司服务器上的某一应用、或数据等。
根据本公开的实施例,该主体例如可以是用户所使用的物理机、云桌面、移动终端或者PC(即,个人笔记本电脑)等。客体可以是该主体所要访问的服务器上的应用程序、应用功能、API接口或者数据等。
结合图2和图1B,首先在步骤S0中设置检查条件。在图2的示例中,该检查条件同时包括强制条件和多个准入条件。
具体地,往往一个公司服务器中的资料只有本公司局域网内才能访问,在这种情况下就可以在步骤S0中设置强制条件,该强制条件用于检查主体是否属于本公司局域网。只有当主体属于公司局域网(例如主体是通过本公司局域网连接的设备)时,在步骤S11中判断主体的属性满足该强制条件。
又例如,公司服务器中可能会存储有不同保密级别的资料,并且具有不同属性的主体对该资料的访问权限可以有所不同,此时在步骤S0中可以对于同一资源可以设置多个不同的准入条件,当主体的属性满足该多个不同的准入条件中的至少一个条件时,就可以给予该主体与该主体的属性所满足的准入条件相适应的权限,来访问该具有不同保密级别的资源。或者,该多个准入条件也可以是多个针对相同访问权限的并行可选的条件。例如在一个实施例中,该多个准入条件可以包括访问时间为9:00am-18:00之间、访问行为为仅查看数据、访问终端的认证为特定设备(例如,公司高管的所使用的特定设备)等。例如,当该主体的行为属性为仅查看数据时,可以不考虑主体访问的时间段以及终端设备的特性。
根据本公开的实施例,还可以包括获取主体的属性(例如主体环境属性和行为属性),例如,在步骤S1之前获取主体的属性。其中,该获取主体的属性可以是实时获取,也可以是仅在监控到主体的属性有变更时获取。
如前所述,根据本公开的实施例,检查条件可以包括至少一个检查子条件。在这种情况下,步骤S1具体可以包括:针对至少一个检查子条件中的每个检查子条件,设置至少一个检查点;通过至少一个检查点中的每个检查点,验证至少一个子属性,其中,至少一个子属性属于至少一个环境子属性和/或至少一个行为子属性;若至少一个检查点中的全部检查点均验证通过,则确定至少一个检查点对应的检查子条件验证通过;否则则确定至少一个检查点对应的检查子条件验证不通过。
根据本公开的一些实施例,至少一个检查点中的每个检查点中可以设置与至少一个子属性对应的预设阈值范围和/或白名单。其中,验证至少一个子属性包括:验证至少一个子属性是否在预设阈值范围或白名单内;若是则验证通过,若否则验证不通过。
根据本公开的另一些实施例,至少一个检查点中的每个检查点可以设置与至少一个子属性对应的黑名单。其中,验证至少一个子属性,包括验证至少一个子属性是否在黑名单内;若是则验证不通过,若否则验证通过。
以下结合图3和图4的示例,更好地对本公开实施例的访问控制方法进行说明。其中,图3和图4的示例中,该检查条件同时包括了强制条件和多个准入条件。
图3示意性示出了本公开实施例的强制条件和多个准入条件结构图。图4示意性示出了本公开实施例的访问控制方法中的验证流程图。
如图3和图4所示,当该检查条件包括强制条件时,对于强制条件可以设置一个或多个第一检查点(例如,第一检查点1,第一检查点2,,...,第一检查点n)。每个第一检查点用于验证至少一个环境子属性和/或至少一个行为子属性中的至少一个子属性,其中每个第一检查点可以对主体的授权控制中强制性要求的至少一个子属性进行验证。
第一检查点可以包括预设阈值范围或白名单。当该第一检查点所要验证的至少一个子属性在预设阈值范围或白名单内时,则至少一个子属性通过该第一检查点的验证。例如第一检查点1用于验证主体的地理位置,若该第一检查点中预设的白名单为上海、北京和武汉,那么只有主体的地理位置为上海、北京或武汉时,才能通过该第一检查点1的验证。或者,每个第一检查点可以包括黑名单,当该第一检查点所要验证的至少一个子属性在黑名单内时,则至少一个子属性不通过该第一检查点的验证。
根据本公开的实施例,当至少一个第一检查点全部验证通过,则确定主体通过该强制条件的验证,否则则确定主体未通过该强制条件的验证。
当该检查条件包括多个准入条件时,每个准入条件可以包括一个或多个第二检查点。例如,图4中一个准入条件对应的第二检查点包括第二检查点11,第二检查点12,...,第二检查点1n;另一个准入条件对应的第二检查点包括第二检查点21,第二检查点22,...,第二检查点2n。参见图3和图4,每个第二检查点用于验证至少一个环境子属性和/或至少一个行为子属性中的至少一个子属性。
第二检查点可以包括预设阈值范围或白名单,当该第二检查点所验证的至少一个子属性在预设阈值范围或白名单内时,则该至少一个子属性通过该第二检查点的验证。例如,第二检查点11用于验证终端设备的类型,该第二检查点中预设的白名单为PC,则只有PC才能通过该第二检查点的验证。或者,第二检查点可以包括黑名单,当该第二检查点所要验证的至少一个子属性在黑名单内时,则至少一个子属性不通过该第二检查点的验证。
对于每一个准入条件所设置的至少一个第二检查点,当至少一个第二检查点全部验证通过,则确定主体通过了对应的准入条件的验证;否则则确定主体未通过对应的准入条件的验证。根据本公开的实施例,当多个准入条件中至少一个通过验证时,主体就可以通过该多个准入条件的验证。
根据本公开的实施例,该访问控制方法还可以包括:在不允许主体访问客体的情况下,判断主体的属性是否可修复以满足检查条件;以及在主体的属性可修复的情况下,修复主体的属性以使主体的属性满足检查条件。待修复之后在步骤S1中判断该主体的属性满足该检查条件,从而可以允许该主体访问客体。例如,当主体的安全等级较低(例如,存在漏洞)时,经过图1A或图1B的方法流程后不允许主体访问客体。这时,判断主体存在漏洞的问题是否可以被修复以提高主体的安全等级。如果该漏洞可以被修复,则可以修复该漏洞并在漏洞修复之后执行图1A或图1B的方法流程,这时主体就被允许访问客体了。然而,有些主体的属性是不可修复的,例如主体的地理位置。例如当服务器上的一些数据资料仅允许在国内访问,此时如果黑客在国外想通过PC端来访问服务器上的数据资料将不被允许,而且该主体的地理位置属性也不可修复。
图5示意性示出了本公开实施例的访问控制系统500的结构框图。
如图5所示,该访问控制系统500可以用于控制主体访问客体。系统500包括判断模块501和访问授权模块502。该访问控制系统500可以用于访问参考图1A~图4所描述的方法。
判断模块501用于判断主体的属性是否满足预设的检查条件,其中,主体的属性被设置为通过主体的环境属性或行为属性中的至少之一来表征。
访问授权模块502用于在主体的属性满足检查条件时,允许主体访问客体,以及在主体的属性不满足检查条件时,不允许主体访问客体。
根据本公开的实施例,系统还包括条件设置模块503。条件设置模块503用于设置检查条件,其中检查条件包括强制条件和/或多个准入条件。其中,判断模块501还可以包括第一判断子模块、第二判断子模块、以及确定子模块。第一判断子模块用于在检查条件包括强制条件的情况下,判断主体的属性是否满足强制条件,得到第一判断结果。第二判断子模块用于在检查条件包括多个准入条件的情况下,判断主体的属性是否满足多个准入条件中的至少一个,得到第二判断结果。确定子模块用于在第一判断结果或第二判断结果中的任意一个为否时,确定主体的属性不满足检查条件,否则确定主体的属性满足检查条件。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,判断模块501、访问授权模块502、以及条件设置模块503中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,判断模块501、访问授权模块502、以及条件设置模块503中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,判断模块501、访问授权模块502、以及条件设置模块503中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图6示意性示出了本公开实施例的电子设备600的结构框图。
参见图6,根据本发明实施例的电子设备600包括:处理器601和存储器602,该电子设备600可以执行根据本发明实施例的方法。
具体的,处理器601例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器601还可以包括用于缓存用途的板载存储器。处理器601可以是用于执行根据本发明实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
存储器602,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
存储器602可以包括计算机程序6021,该计算机程序6021可以包括代码/计算机可执行指令,其在由处理器601执行时使得处理器601执行例如上面本发明实施例的方法流程及其任何变形。
计算机程序6021可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序6021中的代码可以包括一个或多个程序模块,例如包括6021A、模块6021B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器601执行时,使得处理器601可以执行例如上面结合本发明实施例的方法流程及其任何变形。
本发明的实施例还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本申请实施例的方法。
根据本公开的实施例,计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线、光缆、射频信号等等,或者上述的任意合适的组合。
本领域技术人员可以理解,本申请的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本申请中。特别地,在不脱离本申请精神和教导的情况下,本申请的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本申请的范围。
Claims (10)
1.一种访问控制方法,用于控制主体访问客体,其特征在于,所述方法包括:
步骤S1,判断所述主体的属性是否满足预设的检查条件,其中,所述主体的属性被设置为通过所述主体的环境属性或行为属性中的至少之一来表征;
步骤S2,在所述主体的属性满足所述检查条件时,允许所述主体访问所述客体;以及
步骤S3,在所述主体的属性不满足所述检查条件时,不允许所述主体访问所述客体。
2.根据权利要求1所述的访问控制方法,其特征在于,所述方法在所述步骤S1之前还包括:
步骤S0,设置所述检查条件,其中所述检查条件包括强制条件和/或多个准入条件;
其中,所述步骤S1包括:
在所述检查条件包括所述强制条件的情况下,判断所述主体的属性是否满足所述强制条件,得到第一判断结果;
在所述检查条件包括所述多个准入条件的情况下,判断所述主体的属性是否满足所述多个准入条件中的至少一个,得到第二判断结果;以及
在所述第一判断结果或所述第二判断结果中的任意一个为否时,确定所述主体的属性不满足所述检查条件;否则,确定所述主体的属性满足所述检查条件。
3.根据权利要求1所述的访问控制方法,其特征在于,所述环境属性包括至少一个环境子属性,所述行为属性包括至少一个行为子属性,所述检查条件包括至少一个检查子条件;
其中,所述步骤S1包括:
针对所述至少一个检查子条件中的每个检查子条件,设置至少一个检查点;
通过所述至少一个检查点中的每个检查点,验证至少一个子属性,所述至少一个子属性属于所述至少一个环境子属性和/或所述至少一个行为子属性;
若所述至少一个检查点中的全部检查点均验证通过,则确定所述至少一个检查点对应的检查子条件验证通过;否则则确定所述至少一个检查点对应的检查子条件验证不通过。
4.根据权利要求3所述的访问控制方法,其特征在于,所述至少一个检查点中的每个检查点包括与所述至少一个子属性对应的预设阈值范围和/或白名单;其中,所述验证至少一个子属性包括:
验证所述至少一个子属性是否在所述预设阈值范围或所述白名单内;若是则验证通过,若否则验证不通过。
5.根据权利要求3所述的访问控制方法,其特征在于,所述至少一个检查点中的每个检查点包括与所述至少一个子属性对应的黑名单;其中,所述验证至少一个子属性包括:
验证所述至少一个子属性是否在所述黑名单内;若是则验证不通过,若否则验证通过。
6.根据权利要求1所述的访问控制方法,其特征在于,所述方法还包括:
在不允许所述主体访问所述客体的情况下,判断所述主体的属性是否可修复以满足所述检查条件;以及
在所述主体的属性可修复的情况下,修复所述主体的属性以使所述主体的属性满足所述检查条件。
7.一种访问控制系统,用于控制主体访问客体,其特征在于,所述系统包括:
判断模块,用于判断所述主体的属性是否满足预设的检查条件,其中,所述主体的属性被设置为通过所述主体的环境属性或行为属性中的至少之一来表征;
访问授权模块,用于在所述主体的属性满足所述检查条件时,允许所述主体访问所述客体,以及在所述主体的属性不满足所述检查条件时,不允许所述主体访问所述客体。
8.根据权利要求7所述的访问控制系统,其特征在于,所述系统还包括条件设置模块;
所述条件设置模块用于设置所述检查条件,其中所述检查条件包括强制条件和/或多个准入条件;
其中,所述判断模块还包括:
第一判断子模块,用于在所述检查条件包括所述强制条件的情况下,判断所述主体的属性是否满足所述强制条件,得到第一判断结果;
第二判断子模块,用于在所述检查条件包括所述多个准入条件的情况下,判断所述主体的属性是否满足所述多个准入条件中的至少一个,得到第二判断结果;以及
确定子模块,用于在所述第一判断结果或所述第二判断结果中的任意一个为否时,确定所述主体的属性不满足所述检查条件,否则确定所述主体的属性满足所述检查条件。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
存储器,其存储有计算机可执行程序,该程序在被所述处理器执行时,使得所述处理器执行根据权利要求1-6中任意一项所述的访问控制方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现根据权利要求1-6中任意一项所述的访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910322762.6A CN110096856B (zh) | 2019-04-19 | 2019-04-19 | 一种访问控制方法、系统、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910322762.6A CN110096856B (zh) | 2019-04-19 | 2019-04-19 | 一种访问控制方法、系统、电子设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110096856A true CN110096856A (zh) | 2019-08-06 |
| CN110096856B CN110096856B (zh) | 2022-02-11 |
Family
ID=67445462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910322762.6A Active CN110096856B (zh) | 2019-04-19 | 2019-04-19 | 一种访问控制方法、系统、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110096856B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4822231B2 (ja) * | 2005-07-19 | 2011-11-24 | ジェムアルト エスアー | 長い摂動による故障の検出 |
| CN105227572A (zh) * | 2015-10-19 | 2016-01-06 | 武汉大学 | 一种移动平台上基于情景感知的访问控制系统及方法 |
| EP3073704A1 (en) * | 2015-03-23 | 2016-09-28 | Comarch Technologies Spólka z Ograniczona Odpowiedzialnoscia | Method of data securing transmitted over bluetooth and transmitter device transmitting secured data over bluetooth |
| CN107612929A (zh) * | 2017-10-18 | 2018-01-19 | 南京航空航天大学 | 一种基于信息流的多级安全访问控制模型 |
| CN108270718A (zh) * | 2016-12-30 | 2018-07-10 | 北京观数科技有限公司 | 一种基于Hadoop集群的控制方法和系统 |
| CN108667818A (zh) * | 2018-04-20 | 2018-10-16 | 北京元心科技有限公司 | 云端设备以及云网端协同控制访问权限的方法 |
| US10129247B2 (en) * | 2013-03-15 | 2018-11-13 | Telesign Corporation | System and method for utilizing behavioral characteristics in authentication and fraud prevention |
| CN109117664A (zh) * | 2018-07-19 | 2019-01-01 | 北京明朝万达科技股份有限公司 | 应用程序的访问控制方法和装置 |
-
2019
- 2019-04-19 CN CN201910322762.6A patent/CN110096856B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4822231B2 (ja) * | 2005-07-19 | 2011-11-24 | ジェムアルト エスアー | 長い摂動による故障の検出 |
| US10129247B2 (en) * | 2013-03-15 | 2018-11-13 | Telesign Corporation | System and method for utilizing behavioral characteristics in authentication and fraud prevention |
| EP3073704A1 (en) * | 2015-03-23 | 2016-09-28 | Comarch Technologies Spólka z Ograniczona Odpowiedzialnoscia | Method of data securing transmitted over bluetooth and transmitter device transmitting secured data over bluetooth |
| CN105227572A (zh) * | 2015-10-19 | 2016-01-06 | 武汉大学 | 一种移动平台上基于情景感知的访问控制系统及方法 |
| CN108270718A (zh) * | 2016-12-30 | 2018-07-10 | 北京观数科技有限公司 | 一种基于Hadoop集群的控制方法和系统 |
| CN107612929A (zh) * | 2017-10-18 | 2018-01-19 | 南京航空航天大学 | 一种基于信息流的多级安全访问控制模型 |
| CN108667818A (zh) * | 2018-04-20 | 2018-10-16 | 北京元心科技有限公司 | 云端设备以及云网端协同控制访问权限的方法 |
| CN109117664A (zh) * | 2018-07-19 | 2019-01-01 | 北京明朝万达科技股份有限公司 | 应用程序的访问控制方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110096856B (zh) | 2022-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3561708B1 (en) | Method and device for classifying uniform resource locators based on content in corresponding websites | |
| CN103201747B (zh) | 用于验证多个数据处理系统的方法和设备 | |
| CN108537042A (zh) | 自定义插件生成方法、装置、设备及存储介质 | |
| CN110933103B (zh) | 反爬虫方法、装置、设备和介质 | |
| CN107688533B (zh) | 应用程序测试方法、装置、计算机设备和存储介质 | |
| CN103366116B (zh) | 移动终端的应用程序潜在威胁的预判系统、方法及装置 | |
| CN110414603B (zh) | 用于检测移动设备的方法、装置、计算机系统和介质 | |
| CN107392028A (zh) | 敏感信息的检测方法及其检测装置、存储介质、电子设备 | |
| CN109447384A (zh) | 风控系统的验证方法、装置、设备及存储介质 | |
| CN111698224A (zh) | 水质监测终端用户验证方法、系统及水质监测物联终端 | |
| CN109299719A (zh) | 基于字符分割的弹幕校验方法、装置、终端及存储介质 | |
| CN110096856A (zh) | 一种访问控制方法、系统、电子设备及介质 | |
| CN105653445B (zh) | 一种满足do‑178c测试结果的实现方法 | |
| KR102304237B1 (ko) | 인프라 자산 취약점 자동 진단을 통한 컴플라이언스 관리 시스템 및 그 방법 | |
| CN113542238B (zh) | 一种基于零信任的风险判定方法及系统 | |
| CN116303069A (zh) | 一种车载终端的测试方法、装置、上位机、系统及介质 | |
| CN110781833A (zh) | 一种认证方法、装置及电子设备 | |
| CN114285664A (zh) | 异常用户识别方法、系统、设备及介质 | |
| JP7448003B2 (ja) | システム及び方法 | |
| CN111787112A (zh) | 一种基于邮件内容的安全审计方法 | |
| CN110457932A (zh) | 确定资源访问权限的方法、装置、设备及介质 | |
| CN115242491B (zh) | 一种基于网络爬虫的app云探测方法和系统 | |
| CN115037531A (zh) | 一种未授权访问漏洞检测方法、设备、系统 | |
| CN111885006B (zh) | 页面访问、授权访问方法和装置 | |
| RU2768859C1 (ru) | Способ оптимизации системы периметральной сигнализации на приемо-сдаточных испытаниях на определение вероятности проникновения нарушителя на объект защиты и интенсивности ложных срабатываний системы |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |