CN110298188B - 动态访问权限的控制方法及系统 - Google Patents
动态访问权限的控制方法及系统 Download PDFInfo
- Publication number
- CN110298188B CN110298188B CN201910693982.XA CN201910693982A CN110298188B CN 110298188 B CN110298188 B CN 110298188B CN 201910693982 A CN201910693982 A CN 201910693982A CN 110298188 B CN110298188 B CN 110298188B
- Authority
- CN
- China
- Prior art keywords
- information
- resource
- main body
- preset
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
一种动态访问权限的控制方法及系统,所述方法包括:获取任意一个主体设备发送的资源访问请求,所述资源访问请求包括主体设备的主体信息及被访问资源的资源信息;获取所述主体设备和所述被访问资源的属性信息;获取所述主体设备所处的环境信息;基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限;以及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。所述方法及系统解决了传统授权系统的静态授权、粗粒度授权、仅在访问前进行的缺陷。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种动态访问权限的控制方法及系统。
背景技术
传统访问控制场景,通常由用户、资源、角色、授权策略等基本因素构成,其特点是授权访问是预先定义、静态的过程,控制粒度较粗,且授权过程仅发生在首次访问资源时,完成后不再进行控制。
随着主体、资源范围的扩大,用户身份可分为人、PC设备、服务器、移动终端设备,资源范围按不同粒度分为应用、应用功能、服务接口、数据四类资源。授权过程需要根据主体、资源、属性、授权策略多个维度进行判定,是一个动态过程。授权对象的精细化访问控制,即包含谁、使用什么设备访问资源、在何时何地如何操作、操作结果。并对整个访问过程实施动态访问控制策略。因此,提出一种满足实际发展需求的动态访问权限的控制系统及方法很有必要。
发明内容
(一)要解决的技术问题
针对目前存在的技术问题,本发明提出一种动态访问权限的控制方法及系统,用于解决传统授权系统的授权访问是预先定义、静态的过程,控制粒度较粗,且授权过程仅发生在首次访问资源时,完成后不再进行控制等问题。
(二)技术方案
本发明提供一种动态访问权限的控制方法,包括:获取任意一个主体设备发送的资源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息,获取所述主体设备和所述被访问资源的属性信息,获取所述主体设备所处的环境信息,基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,以及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
可选地,上述基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,包括:判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息,响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为预设属性信息以及所述环境信息是否为预设环境信息,其中,当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
可选地,上述判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息,包括:根据所述主体信息制定所述主体设备对应的用户角色,根据所述资源信息制定所述资源对应的资源角色,对所述用户角色及所述资源角色进行关联计算,得到关联计算结果,基于所述关联计算结果判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息。
可选地,上述方法还包括以下至少一项:建立主体身份库,所述主体身份库用于存储所述预设主体信息,建立资源库,所述资源库用于存储所述预设资源信息,所述预设资源信息至少包括其对应的资源的资源标识,建立属性库,所述属性库用于存储所述预设主体信息对应的主体设备的环境信息、所述预设资源信息对应的资源的资源类型、所述预设资源信息对应的资源的安全等级以及所述预设资源信息对应的资源的可用状态信息。
可选地,上述方法还包括:响应于所述主体设备不具有访问所述资源的权限,拒绝所述主体设备访问所述资源或引导所述主体设备执行修复操作。
本发明另一方面提供一种动态访问权限的控制系统,包括:动态决策模块、环境感知模块。其中,动态决策模块,用于获取任意一个发起资源访问请求的主体设备所发送的资源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息,以及用于获取所述主体设备和所述被访问资源的属性信息。环境感知模块,用于获取所述主体设备所处的环境信息。所述动态决策模块还用于:基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,以及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
可选地,上述系统还包括:主体身份库模块、资源库模块以及属性库模块。其中,主体身份库模块用于存储预设主体信息,资源库模块用于存储预设资源信息,属性库模块用于存储预设属性信息以及预设环境信息,其中,所述动态决策模块用于判断所述主体信息是否为所述预设主体信息以及所述资源信息是否为所述预设资源信息,响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为所述预设属性信息以及所述环境信息是否为所述预设环境信息,其中,当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
可选地,上述系统还包括权限及策略管理模块,用于制定授权策略;所述权限及策略管理模块包括:用户角色管理模块、资源角色管理模块以及授权策略管理模块。其中,用户角色管理模块用于根据所述主体信息制定所述主体设备对应的用户角色,资源角色管理模块用于根据所述被访问资源的资源信息制定资源角色,授权策略管理模块用于对所述用户角色及所述资源角色做关联计算,得到关联计算结果作为所述授权策略。
可选地,上述预设属性信息包括主体属性信息以及资源属性信息。所述主体属性信息包括所述预设主体信息对应的主体设备的用户名、标识以及状态信息,所述资源属性信息包括所述预设资源信息对应的资源的资源类型信息、资源安全等级信息以及可用状态信息。
可选地,上述环境信息包括时间信息、网络地址信息、地理位置信息以及环境风险信息,每一所述预设资源信息对应的资源设置有唯一标识。
本发明实施例第三方面提供了一种动态访问权限的控制系统。所述动态访问权限的控制系统包括一个或多个处理器以及一个或多个存储器。所述一个或多个存储器中存储有计算机可执行指令,所述指令被所述一个或多个处理器执行时用以实现如上所述的动态访问权限的控制方法。
(三)有益效果
本发明提供的一种动态访问权限的控制方法及系统,通过识别访问主体、被访问资源、权限策略,结合动态主体、资源、环境多类属性,经过主体角色、资源角色的动态绑定,在主体访问资源的全流程,实时动态进行多维度、细粒度的权限策略及授权评估,以动态控制主体设备端的访问资源的权限。
附图说明
为了更完整地理解本发明及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本发明实施例的动态访问权限的控制方法的流程图;
图2示意性示出了根据本发明实施例的基于角色关联的控制方法的流程图;
图3示意性示出了根据本发明另一实施例的动态访问权限的控制方法的流程图;
图4-图7示意性示出了根据本发明实施例的动态访问权限的控制系统的框图;以及
图8示意性示出了根据本发明实施例的用于动态访问权限的控制的计算机系统的方框图。
具体实施方式
以下,将参照附图来描述本发明的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本发明的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本发明实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
本发明实施例提出一种动态访问权限的控制方法及系统,通过识别访问主体、被访问资源、权限策略,结合动态主体、资源、环境多类属性,经过主体角色、资源角色的动态绑定,在主体访问资源的全流程,实时动态进行多维度、细粒度的权限策略及授权评估。动态授权评估结果可用于指导、控制访问过程及最终授权访问结果,评估结果以接口方式对外发布。通过本发明,实现了主体、资源、属性、角色、权限之间的动态关联与动态绑定,实现资源访问全流程的细粒度、动态访问控制及决策控制。
图1示意性示出了根据本发明实施例的动态访问权限的控制方法的流程图。
如图1所示,该方法包括操作S110~S150。
在操作S110,获取任意一个主体设备发送的资源访问请求,其中,资源访问请求包括主体设备的主体信息及被访问资源的资源信息。
根据本发明的实施例,主体设备可以是物理PC、云桌面虚拟机、服务器等等。被访问资源可以包括多种类型的资源,例如包括应用、应用功能、数据接口服务、数据等等类型。其中,当主体设备需要访问资源时,可以通过发送资源访问请求,资源所在服务器通过对资源访问请求进行授权验证,验证通过则允许主体设备访问相应资源。
其中,主体设备的主体信息例如可以是设备标识,用于唯一表示主体设备。资源信息例如可以是资源标识,用于唯一表示资源,该资源标识例如可以是唯一标识索引或者唯一密码等等。
在操作S120,获取主体设备和被访问资源的属性信息。
根据本发明的实施例,属性信息例如包括主体设备的主体属性信息和被访问资源的资源属性信息。主体属性信息例如可以包括主体标识、主体状态信息等等。资源属性信息例如包括资源类型、资源安全等级,资源可用状态信息等等。
在操作S130,获取主体设备所处的环境信息。
根据本发明的实施例,主体设备所处的环境信息例如包括访问时间、网络地址、地理位置、环境风险信息等等。
在操作S140,基于主体信息、资源信息、属性信息以及环境信息,判断主体设备是否具有访问资源的权限。
在操作S150,响应于主体设备具有访问资源的权限,允许主体设备访问资源。另外,如果主体设备不具有访问资源的权限,拒绝主体设备访问资源或引导主体设备执行修复操作。
根据本发明的实施例,由于主体信息、资源信息、属性信息的细粒度划分,实现在授权过程可以根据多因素进行验证,保证资源访问的安全性。另外,由于主体设备的环境信息是实时变化的,因此,基于环境信息进行授权验证可以实现动态授权的效果,实现主体设备每次访问资源都实时验证该环境信息,而不是仅在首次访问时授权验证,以此实现了动态授权,提高资源访问的安全性。
根据本发明的实施例,操作S140包括操作S141~S142(具体参见图2所示)。
其中,在操作S141,首先判断主体信息是否为预设主体信息以及资源信息是否为预设资源信息。
其中,预设主体信息可以是预先存储的主体设备的相关信息,例如,预先存储有多个主体设备,该多个主体设备对应的预设主体信息可以是主体信息(主体标识),例如主体标识包括主体设备1、主体设备2、主体设备3等等。同理,预设资源信息可以是预先存储的资源的相关信息,例如,预先存储有多个资源,该多个资源对应的预设资源信息可以是资源信息(资源标识),例如资源标识包括资源1、资源2、资源3等等。当接收到主体设备1访问资源1时,确定主体设备1为预设主体信息,资源1为预设资源信息,此时,可以进一步判断属性信息是否为预设属性信息以及环境信息是否为预设环境信息。
在操作S142,响应于主体信息为预设主体信息以及资源信息为预设资源信息,判断属性信息是否为预设属性信息以及环境信息是否为预设环境信息,当属性信息为预设属性信息以及环境信息为预设环境信息时,主体设备具有访问资源的权限。
例如,主体设备的预设属性信息例如包括主体设备上一次访问正常,资源的预设属性信息例如包括资源处于可访问状态。预设环境信息包括主体设备的访问时间为预设时间(例如预设时间为9:00~18: 00)。
例如,主体设备1需要访问资源1时,如果主体设备1的属性信息包括主体设备1上一次访问正常,资源1的属性信息包括当前资源 1处于可访问状态,主体设备的当前访问时间为12:00,则允许主体设备1访问资源1。
如果主体设备1上一次访问异常、资源1处于不可访问状态、或者主体设备的当前访问时间不是预设时间,则拒绝主体设备1访问资源1。
图2示意性示出了根据本发明实施例的基于角色关联的控制方法的流程图。
例如,预先定义:能够访问资源的预设主体包括主体设备1、主体设备2、主体设备3,预设资源包括资源1、资源2、资源3。其中,主体设备1和主体设备2属于第一类用户角色,主体设备3属于第二类用户角色,资源1属于第一类资源角色,资源2和资源3属于第二类资源角色。并且预先定义如下预设角色规则:第一类用户角色能够访问第一类资源角色,第二类用户角色能够访问第二类资源角色。
如图2所示,操作S141包括操作S1411~S1414。
在操作S1411,根据主体信息制定主体设备对应的用户角色。
在操作S1412,根据资源信息制定资源对应的资源角色。
在操作S1413,对用户角色及资源角色进行关联计算,得到关联计算结果。
在操作S1414,基于关联计算结果判断主体信息是否为预设主体信息以及资源信息是否为预设资源信息。
例如,在主体设备1访问资源1时,制定主体设备1对应的用户角色为第一类用户角色,制定资源1对应的用户角色为第一类资源角色,关联计算得到的关联计算结果为第一类用户角色访问第一类资源角色。此时,第一类用户角色访问第一类资源角色满足预设角色规则,则允许主体设备1访问资源1。
当主体设备1访问资源2时,制定主体设备1对应的用户角色为第一类用户角色,制定资源2对应的用户角色为第二类资源角色,关联计算得到的关联计算结果为第一类用户角色访问第二类资源角色。此时,第一类用户角色访问第二类资源角色不满足预设角色规则,则拒绝主体设备1访问资源2。
图3示意性示出了根据本发明另一实施例的动态访问权限的控制方法的流程图。该方法用于控制主体设备端通过数据通路访问资源,如图3所示,该方法包括操作S110~S150以及操作S310~S340。其中,操作S110~S150与上参考图1描述的操作相同或类似。
在操作S310,建立主体身份库,主体身份库用于存储预设主体信息。
在操作S320,建立资源库,资源库用于存储预设资源信息,预设资源信息至少包括其对应的资源的资源标识。
在操作S330,建立属性库,属性库用于存储预设主体信息对应的主体设备的环境信息、预设资源信息对应的资源的资源类型、预设资源信息对应的资源的安全等级以及预设资源信息对应的资源的可用状态信息。
具体地,在进获取任意一个主体设备发送的资源访问请求之前,首先会建立主体身份库、资源库及属性库,然后定义预设主体信息、预设资源信息及属性信息,并将预设主体信息、预设资源信息及属性信息分别录入主体身份库、资源库及属性库,预设资源信息与被访问的资源一一对应,至少用于表示其对应的资源类型。预设主体信息即表明当前有哪些主体设备可以访问资源,预设资源信息表明具体访问什么类型的资源。
按照服务粒度,将被访问的资源分为四大类:应用、应用功能、数据接口服务及数据,每一资源采用唯一标识索引或者唯一密码来用于资源签名,确保资源唯一性。属性信息例如包括主体属性、资源属性。主体属性包含用户名、标识、状态信息;资源属性包括资源类型、资源安全等级、可用状态信息;环境属性包括:时间、网络地址、地理位置、环境风险信息。
信息预设完成后,获取主体设备发送的资源访问请求。判断主体信息是否为预设主体信息,同时,判断资源信息是否为预设资源信息,如果均满足,则进一步判断属性信息是否为预设属性信息以及环境信息是否为预设环境信息,否则,拒绝主体设备访问资源。
其中,预设的主体信息中包括获取的主体设备的主体信息,则表明该设备具有访问权限。主体设备包括物理PC、云桌面虚拟机、服务器等,若预设的主体信息中只包含有物理PC的主体信息,则只允许物理PC进行访问,而云桌面虚拟机、服务器等不能访问。预设的资源信息中包括资源访问请求中携带的资源信息,则表明具有目前主体设备访问的资源。例如,当加入预设的资源信息包括应用、应用功能以及接口服务三类资源时,而当前主体设备发送的网络资源请求中需要请求的是数据资源,则当前主体设备不能访问资源。
其中,判断属性信息是否为预设属性信息以及环境信息是否为预设环境信息之前,首先获取主体设备所处的环境信息及主体设备和被访问资源的属性信息。
在主体设备访问资源时,其所处的环境信息发生着变化,因此通过部署环境感知模块,动态的感知主体设备所处的环境信息。
根据本发明的实施例,可以根据主体信息、资源信息、属性信息及环境信息,判断主体设备是否具有访问主体信息资源的权限,如果是,允许主体设备访问资源,否则,执行操作S340。
其中,操作S340,响应于主体设备不具有访问资源的权限,拒绝主体设备访问资源或引导主体设备执行修复操作,执行操作S340之后,可以返回执行操作S120。
首先,根据主体信息制定主体设备对应的用户角色,根据资源信息制定资源角色,然后将用户角色与资源角色建立授权的规则集,使得主体设备与访问的资源信息按照规则对应,根据关联计算结果及主体信息、资源信息、属性信息及环境信息,自动完成授权规则集的计算、判定,从而实现主体设备访问资源的权限控制。若判断结果符合访问标准,允许主体设备访问资源,否则,执行操作S340。
在上述操作S340中,引导主体执行修复,如软件安装、补丁安装、网络切换、杀毒等等。修复后以便持续感知再授权访问。因为主体设备在访问资源时,环境信息在发生改变,比如初始设置必须是使用本地网络进行资源访问,主体设备开始使用的是本地网络进行资源的访问,但是由于某种原因,网络从本地网络变为WiFi网络,此时决策计算的结果是该主体设备没有访问资源的权限,但引导主体设备执行修复后,重新感知主体设备的环境信息时,网络又变成正常的本地网络,此时则可授予该主题设备访问资源的权限。又比如,访问前主体设备的安全风险等级在标准范围内,当主体设备访问资源时,由于主体设备受到恶意攻击使得安全风险等级超范围,此时,决策计算的结果将不满足访问资源的权限,但引导主体设备执行修复后,当重新感知设备环境信息时,由于恶意攻击被解除,此时,主体设备能够访问资源。因此,通过环境信息的动态感知,即可实现主体设备动态访问资源的控制。
通过上述方法,基于主体、资源、环境、属性等多个维度对主体设备端访问资源权限进行动态权限决策评估及判定,实现资源访问全流程的细粒度、动态访问控制及决策控制。
图4-图7示意性示出了根据本发明实施例的动态访问权限的控制系统的框图。该系统用于控制主体设备端通过数据通路访问资源,结合图 4、图6、图7所示,动态访问权限的控制系统400包括:动态决策模块 410以及环境感知模块420。
其中,动态决策模块410用于获取任意一个发起资源访问请求的接受主体设备所任意一个主体设备发送的资源访问请求,其中,资源访问请求包括主体设备的主体信息及被访问资源的资源信息,以及用于获取主体设备和被访问资源的属性信息。
环境感知模块420用于用于获取主体设备所处的环境信息。例如,用于提供多维度的环境感知能力,如物理PC感知、云桌面虚拟机感知、服务器感知,提供环境状态的采集、分析能力,作为安全属性进行持续状态评估,并实时上报环境风险信息到属性库,为动态决策引擎计算提供环境属性。
动态决策模块410还用于:基于主体信息、资源信息、属性信息以及环境信息,判断主体设备是否具有访问资源的权限,以及响应于主体设备具有访问资源的权限,允许主体设备访问资源。
结合图5、图6、图7所示,本发明的另一实施例中的动态访问权限的控制系统400还包括:主体身份库模块430、资源库模块440、属性库模块450以及权限及策略管理模块460。其中,图7中的数值“1 至11”可以表示执行的步骤,例如从数值小的步骤依次执行到数值大的步骤。
主体身份库模块430,用于存储预设主体信息,即提供主体身份信息及存储服务,提供用户、用户组、组织机构等主体身份的统一信息存储服务,提供身份目录信息及存储服务,预设主体信息即表明当前有哪些主体设备可以访问资源。主体身份库由权限策略中进行授权引用。
资源库模块440,用于存储预设资源信息,预设资源信息表明具体访问什么类型的资源。资源是对外提供服务的实体,按照服务粒度,分为四类资源信息:应用资源信息、应用功能资源信息、数据接口服务资源信息、数据资源信息。每一资源信息采用唯一标识索引、唯一密码,可用于资源签名。权限中心可对资源库进行授权引用。
属性库模块450,用于存储预设属性信息以及预设环境信息。
其中,预设属性信息包括主体属性信息以及资源属性信息,主体属性信息包括预设主体信息对应的主体设备的用户名、标识以及状态信息,资源属性信息包括预设资源信息对应的资源的资源类型信息、资源安全等级信息以及可用状态信息。
即,属性库模块包含各类主体、资源、环境的详细属性信息,属性库模块按照不同类别进行组织,主体属性信息包含用户名、标识、状态信息;资源属性信息包括资源类型信息、资源安全等级信息、可用状态信息;环境属性信息包括时间信息、网络地址信息、地理位置信息、环境风险信息。
其中,动态决策模块410用于判断主体信息是否为预设主体信息以及资源信息是否为预设资源信息,响应于主体信息为预设主体信息以及资源信息为预设资源信息,判断属性信息是否为预设属性信息以及环境信息是否为预设环境信息,其中,当属性信息为预设属性信息以及环境信息为预设环境信息时,主体设备具有访问资源的权限。
权限及策略管理模块460,用于制定授权策略,以对访问权限、授权策略进行集中管理。其中,权限及策略管理模块460例如包括用户角色管理模块、资源角色管理模块和授权策略管理模块。其中,用户角色管理模块,用于根据主体信息制定主体设备对应的用户角色。资源角色管理模块,用于根据被访问资源的资源信息制定资源角色。授权策略管理模块,用于对用户角色及资源角色做关联计算,得到关联计算结果作为得到授权策略。
具体地,权限及策略管理模块460可以按内容分为角色管理、授权策略管理。角色管理按类型分为用户角色管理、资源角色管理;用户管理角色根据主体信息制定用户角色,资源角色管理根据被访问的资源信息制定资源角色,授权策略管理将用户角色、资源角色动态绑定,建立关联关系,制定授权策略,实现授权的规则集。
其中,动态决策模块410可以提供动态计算引擎,动态计算引擎根据主体信息、资源信息、属性信息、结合用户角色、资源角色及授权策略对数据通路发送的动态访问决策请求进行授权规则集的动态决策计算,得到动态访问决策结果,根据动态访问决策结果控制主体设备端通过数据通路访问资源。动态决策模块可为对外提供授权接口服务,为外部各类设备、应用提供统一授权服务。动态决策模块结合各模块存储的信息控制主体访问资源权限的过程,通过将识别访问主体、被访问资源、权限策略,结合动态主体、资源、环境多类属性,经过主体角色、资源角色的动态绑定,实现动态访问权限的控制。
具体地,动态决策模块接受任意一个主体设备发送的资源访问请求,该资源访问请求中包括主体设备的主体信息及被访问资源的资源信息,判断主体信息是否为预设主体信息,同时,判断资源信息是否为预设资源信息,如果均满足,表明该主体设备具有访问资格,且具有主体设备访问的资源,则获取环境信息,根据主体信息、资源信息、属性信息及环境信息,判断主体设备是否具有访问资源的权限,如果是,允许主体设备访问资源,否则,拒绝主体设备访问资源或引导主体设备执行修复,再动态获取主体设备当前的环境信息,继续根据获取的主体设备当前的环境状态信息判断主体设备访问资源的权限。
其中,引导主体执行修复,如软件安装、补丁安装、网络切换、杀毒等等。修复后以便持续感知再授权访问。动态获取环境信息是因为主体设备在访问资源时,环境信息在发生改变,比如初始设置必须是使用本地网络进行资源访问,主体设备开始使用的是本地网络进行资源的访问,但是由于某种原因,网络从本地网络变为WiFi网络,此时决策计算的结果是该主体设备没有访问资源的权限,但引导主体设备执行修复后,重新感知主体设备的环境信息时,网络又变成正常的本地网络,此时则可授予该主题设备访问资源的权限。又比如,目前主体设备的安全风险等级在标准范围内,当主体设备访问资源时,由于主体设备收到恶意攻击使得安全风险等级超范围,此时,决策计算的结果将不满足访问资源的权限,当引导主体设备执行修复后,重新感知设备环境信息时,由于恶意攻击被解除,此时,主体设备能够访问资源。因此,通过环境信息的动态感知,实现主体设备动态访问资源的控制。
综上所述,本发明提出一种基于主体、资源、环境、属性等多个维度的动态访问权限的控制方法及系统,用于控制主体设备端通过数据通路访问资源,解决了传统授权系统的静态授权、粗粒度授权、仅在访问前进行的弊端。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,动态决策模块410、环境感知模块420、主体身份库模块 430、资源库模块440、属性库模块450以及权限及策略管理模块460 中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,拦截模块201、识别模块202、响应模块 203中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,动态决策模块410、环境感知模块420、主体身份库模块430、资源库模块440、属性库模块450以及权限及策略管理模块 460中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图8示意性示出了根据本发明实施例的用于动态访问权限的控制的计算机系统的方框图。图8示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图8所示,实现动态访问权限的控制的计算机系统800包括处理器801、计算机可读存储介质802。该系统800可以执行根据本公开实施例的方法。
具体地,处理器801例如可以包括通用微处理器、指令集处理器和 /或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器801还可以包括用于缓存用途的板载存储器。处理器801可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质802,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
计算机可读存储介质802可以包括计算机程序803,该计算机程序 803可以包括代码/计算机可执行指令,其在由处理器801执行时使得处理器801执行根据本公开实施例的方法或其任何变形。
计算机程序803可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序803中的代码可以包括一个或多个程序模块,例如包括803A、模块803B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器 801执行时,使得处理器801可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,动态决策模块410、环境感知模块420、主体身份库模块430、资源库模块440、属性库模块450以及权限及策略管理模块460中的至少一个可以实现为参考图8描述的计算机程序模块,其在被处理器801执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
尽管已经参照本发明的特定示例性实施例示出并描述了本发明,但在不背离所附权利要求及其等同物限定的本发明的精神和范围的情况下,可对本发明进行形式和细节上的多种改变。因此,本发明的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (10)
1.一种动态访问权限的控制方法,其特征在于,包括:
获取任意一个主体设备发送的资源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息;
获取所述主体设备和所述被访问资源的属性信息,其中,所述属性信息包括所述主体设备的主体属性信息和所述被访问资源的资源属性信息,其中,所述主体属性信息包括主体状态信息,所述资源属性信息包括资源可用状态信息;
获取所述主体设备所处的环境信息,其中,所述环境信息包括网络地址、地址位置、环境风险信息中的至少一个;
基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,其中,在所述主体信息为预设主体信息、所述资源信息为预设资源信息、所述主体状态信息表征主体设备上一次访问正常、所述资源可用状态信息表征资源处于可用状态以及所述环境信息为预设环境信息的情况下,表征所述主体设备具有访问所述资源的权限;以及
响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
2.根据权利要求1所述的动态访问权限的控制方法,其特征在于,所述基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,包括:
判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息;以及
响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为预设属性信息以及所述环境信息是否为预设环境信息;
其中,当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
3.根据权利要求2所述的动态访问权限的控制方法,其特征在于,所述判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息,包括:
根据所述主体信息制定所述主体设备对应的用户角色;
根据所述资源信息制定所述资源对应的资源角色;
对所述用户角色及所述资源角色进行关联计算,得到关联计算结果;以及
基于所述关联计算结果判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息。
4.根据权利要求1所述的动态访问权限的控制方法,其特征在于,所述方法还包括以下至少一项:
建立主体身份库,所述主体身份库用于存储所述预设主体信息;
建立资源库,所述资源库用于存储所述预设资源信息,所述预设资源信息至少包括其对应的资源的资源标识;以及
建立属性库,所述属性库用于存储所述预设主体信息对应的主体设备的环境信息、所述预设资源信息对应的资源的资源类型、所述预设资源信息对应的资源的安全等级以及所述预设资源信息对应的资源的可用状态信息。
5.根据权利要求1所述的动态访问权限的控制方法,其特征在于,所述方法还包括:响应于所述主体设备不具有访问所述资源的权限,拒绝所述主体设备访问所述资源或引导所述主体设备执行修复操作。
6.一种动态访问权限的控制系统,其特征在于,包括:
动态决策模块,用于获取任意一个发起资源访问请求的主体设备所发送的资源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息,以及用于获取所述主体设备和所述被访问资源的属性信息,其中,所述属性信息包括所述主体设备的主体属性信息和所述被访问资源的资源属性信息,其中,所述主体属性信息包括主体状态信息,所述资源属性信息包括资源可用状态信息;
环境感知模块,用于获取所述主体设备所处的环境信息,其中,所述环境信息包括网络地址、地址位置、环境风险信息中的至少一个;
所述动态决策模块还用于:基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,其中,在所述主体信息为预设主体信息、所述资源信息为预设资源信息、所述主体状态信息表征主体设备上一次访问正常、所述资源可用状态信息表征资源处于可用状态以及所述环境信息为预设环境信息的情况下,表征所述主体设备具有访问所述资源的权限,以及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
7.根据权利要求6所述的动态访问权限的控制系统,其特征在于,所述系统还包括:
主体身份库模块,用于存储预设主体信息;
资源库模块,用于存储预设资源信息;
属性库模块,用于存储预设属性信息以及预设环境信息;
其中,所述动态决策模块用于判断所述主体信息是否为所述预设主体信息以及所述资源信息是否为所述预设资源信息,响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为所述预设属性信息以及所述环境信息是否为所述预设环境信息,其中,当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
8.根据权利要求7所述的动态访问权限的控制系统,其特征在于,所述系统还包括权限及策略管理模块,用于制定授权策略;所述权限及策略管理模块包括:
用户角色管理模块,用于根据所述主体信息制定所述主体设备对应的用户角色;
资源角色管理模块,用于根据所述被访问资源的资源信息制定资源角色;以及
授权策略管理模块,用于对所述用户角色及所述资源角色做关联计算,得到关联计算结果作为所述授权策略。
9.根据权利要求7所述的动态访问权限的控制系统,其特征在于,所述预设属性信息包括主体属性信息以及资源属性信息:
所述主体属性信息包括所述预设主体信息对应的主体设备的用户名、标识以及状态信息;
所述资源属性信息包括所述预设资源信息对应的资源的资源类型信息、资源安全等级信息以及可用状态信息。
10.根据权利要求7所述的动态访问权限的控制系统,其特征在于,所述环境信息包括时间信息、网络地址信息、地理位置信息以及环境风险信息,每一所述预设资源信息对应的资源设置有唯一标识。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2019101087556 | 2019-02-02 | ||
| CN201910108755.6A CN109918924A (zh) | 2019-02-02 | 2019-02-02 | 动态访问权限的控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110298188A CN110298188A (zh) | 2019-10-01 |
| CN110298188B true CN110298188B (zh) | 2021-04-23 |
Family
ID=66961486
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910108755.6A Pending CN109918924A (zh) | 2019-02-02 | 2019-02-02 | 动态访问权限的控制方法及系统 |
| CN201910693982.XA Active CN110298188B (zh) | 2019-02-02 | 2019-07-29 | 动态访问权限的控制方法及系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910108755.6A Pending CN109918924A (zh) | 2019-02-02 | 2019-02-02 | 动态访问权限的控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN109918924A (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11165788B2 (en) | 2019-09-16 | 2021-11-02 | International Business Machines Corporation | Score based permission system |
| CN111131176B (zh) * | 2019-12-04 | 2022-07-01 | 北京北信源软件股份有限公司 | 资源访问控制方法、装置、设备及存储介质 |
| CN111064718B (zh) * | 2019-12-09 | 2022-08-02 | 国网河北省电力有限公司信息通信分公司 | 一种基于用户上下文及策略的动态授权方法和系统 |
| CN113824673A (zh) * | 2020-06-18 | 2021-12-21 | 应急管理部化学品登记中心 | 危化品公共信息服务平台细粒度操作控制方法和系统 |
| CN111931140A (zh) * | 2020-07-31 | 2020-11-13 | 支付宝(杭州)信息技术有限公司 | 权限管理方法、资源访问控制方法、装置和电子设备 |
| CN112134848B (zh) * | 2020-08-27 | 2023-03-24 | 中央广播电视总台 | 融合媒体云自适应访问控制方法、装置、终端及介质 |
| CN112165461A (zh) * | 2020-09-10 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 一种零信任动态授权方法、装置和计算机设备 |
| CN112187799B (zh) * | 2020-09-28 | 2023-04-07 | 京东科技控股股份有限公司 | 资源访问策略生成方法及装置、存储介质、电子设备 |
| CN112351005B (zh) * | 2020-10-23 | 2022-11-15 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| CN112733185A (zh) * | 2020-12-30 | 2021-04-30 | 普华云创科技(北京)有限公司 | 一种基于属性访问控制资源的方法和系统 |
| CN113407929A (zh) * | 2021-02-05 | 2021-09-17 | 北京理工大学 | 一种研发设计资源的访问授权方法及系统 |
| CN112818399B (zh) * | 2021-02-06 | 2021-09-10 | 曙光星云信息技术(北京)有限公司 | 大数据访问权限动态调整方法及大数据访问控制设备 |
| CN115412270A (zh) * | 2021-05-27 | 2022-11-29 | 华为技术有限公司 | 基于应用身份的访问控制方法、相关装置及系统 |
| CN116579007B (zh) * | 2023-07-13 | 2023-09-19 | 中国人民解放军国防科技大学 | 细粒度数据访问权限控制方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034990A (zh) * | 2007-02-14 | 2007-09-12 | 华为技术有限公司 | 权限管理方法及装置 |
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、系统和设备 |
| CN103020498A (zh) * | 2012-11-19 | 2013-04-03 | 广东亚仿科技股份有限公司 | 一种智能化动态权限控制方法和系统 |
| CN105488366A (zh) * | 2014-10-13 | 2016-04-13 | 阿里巴巴集团控股有限公司 | 一种数据权限的控制方法和系统 |
| CN108667818A (zh) * | 2018-04-20 | 2018-10-16 | 北京元心科技有限公司 | 云端设备以及云网端协同控制访问权限的方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8850535B2 (en) * | 2011-08-05 | 2014-09-30 | Safefaces LLC | Methods and systems for identity verification in a social network using ratings |
| CN102611687A (zh) * | 2011-12-19 | 2012-07-25 | 上海华御信息技术有限公司 | 一种基于反馈的控制访问权限的系统及方法 |
| CN105550587A (zh) * | 2015-12-11 | 2016-05-04 | 北京元心科技有限公司 | 在多系统的终端设备中控制系统资源访问的方法及装置 |
| CN107239714A (zh) * | 2017-05-31 | 2017-10-10 | 北京凤凰理理它信息技术有限公司 | 浏览器控制访问权限方法、装置、存储介质及电子设备 |
| CN109150853B (zh) * | 2018-08-01 | 2021-06-08 | 喻伟 | 基于角色访问控制的入侵检测系统及方法 |
-
2019
- 2019-02-02 CN CN201910108755.6A patent/CN109918924A/zh active Pending
- 2019-07-29 CN CN201910693982.XA patent/CN110298188B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034990A (zh) * | 2007-02-14 | 2007-09-12 | 华为技术有限公司 | 权限管理方法及装置 |
| CN102447677A (zh) * | 2010-09-30 | 2012-05-09 | 北大方正集团有限公司 | 资源访问控制方法、系统和设备 |
| CN103020498A (zh) * | 2012-11-19 | 2013-04-03 | 广东亚仿科技股份有限公司 | 一种智能化动态权限控制方法和系统 |
| CN105488366A (zh) * | 2014-10-13 | 2016-04-13 | 阿里巴巴集团控股有限公司 | 一种数据权限的控制方法和系统 |
| CN108667818A (zh) * | 2018-04-20 | 2018-10-16 | 北京元心科技有限公司 | 云端设备以及云网端协同控制访问权限的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110298188A (zh) | 2019-10-01 |
| CN109918924A (zh) | 2019-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110298188B (zh) | 动态访问权限的控制方法及系统 | |
| US10650156B2 (en) | Environmental security controls to prevent unauthorized access to files, programs, and objects | |
| CN104683336B (zh) | 一种基于安全域的安卓隐私数据保护方法及系统 | |
| US9332019B2 (en) | Establishment of a trust index to enable connections from unknown devices | |
| CN108243175B (zh) | 一种基于桶策略的访问控制方法及装置 | |
| US8990900B2 (en) | Authorization control | |
| CN105404819A (zh) | 一种数据访问控制方法、装置以及终端 | |
| KR101565590B1 (ko) | 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템 | |
| CN110300125B (zh) | Api访问控制方法及api访问代理装置 | |
| CN109766708B (zh) | 数据资源的访问方法、系统、计算机系统及存储介质 | |
| CN106330958A (zh) | 一种安全访问方法及装置 | |
| CN105827645B (zh) | 一种用于访问控制的方法、设备与系统 | |
| US11580206B2 (en) | Project-based permission system | |
| WO2020156135A1 (zh) | 一种访问控制策略的处理方法、装置及计算机可读存储介质 | |
| US10594693B2 (en) | Electronic device identification | |
| CN106951795A (zh) | 一种应用程序数据访问隔离方法及装置 | |
| CN107566375B (zh) | 访问控制方法和装置 | |
| CN111177703B (zh) | 操作系统数据完整性的确定方法及装置 | |
| CN113672974A (zh) | 权限管理方法、装置、设备及存储介质 | |
| Zhang et al. | A Small Leak Will Sink Many Ships: Vulnerabilities Related to mini-programs Permissions | |
| CN114978651B (zh) | 一种隐私计算存证方法、装置、电子设备及存储介质 | |
| US20220255970A1 (en) | Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices | |
| CN113179285B (zh) | 视频物联网高性能密码服务方法、装置和系统 | |
| US8621557B2 (en) | Information processing system judging whether manipulation is possible or not based on access control policy and method of operation thereof | |
| JP2018147444A (ja) | 分析プログラムを実行する計算機システム、及び、分析プログラムの実行を監視する方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |