CN111131176A - 资源访问控制方法、装置、设备及存储介质 - Google Patents
资源访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111131176A CN111131176A CN201911230531.9A CN201911230531A CN111131176A CN 111131176 A CN111131176 A CN 111131176A CN 201911230531 A CN201911230531 A CN 201911230531A CN 111131176 A CN111131176 A CN 111131176A
- Authority
- CN
- China
- Prior art keywords
- access
- access device
- target resource
- trust level
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种资源访问控制方法、装置、设备及存储介质,涉及网络信息安全技术领域。该方法通过对目标资源分配最小信任等级,根据访问设备的多种属性数据,计算获取访问设备的信任等级,并根据访问设备的信任等级、以及目标资源的最小信任等级,采用预设访问策略,确定访问设备对目标资源的访问权限,并对具有访问权限的设备,通过网关进行目标资源的访问。通过对访问设备信任等级的评估,综合目标资源的最小信任等级,确定访问设备的访问权限,使得资源访问的安全性更高,从而对网络信息的安全提供了保障。
Description
技术领域
本发明涉及网络信息安全技术领域,具体而言,涉及一种资源访问控制方法、装置、设备及存储介质。
背景技术
随着信息技术的快速发展,云计算、大数据、物联网、移动互联、人工智能等新兴技术为各类企业的信息化发展及现代化建设带来了新的生产力,但同时也给信息安全带来了新挑战。一方面,云计算、移动互联导致的企业边界瓦解,难以继续基于边界构筑企业的安全防线;另一方面,外部攻击和内部攻击愈演愈烈,以APT(AdvancedPersistentThreat,高级持续性威胁)为代表的高级持续攻击仍然能找到各种漏洞突破企业的边界,同时,内部业务的非授权访问、有意的数据窃取等内部威胁层出不穷;另外,行业层面对企业安全的监管力度逐步加强,也对企业安全提出了更高的要求。只有充分的认识到这些新IT时代的安全挑战,才能更好的进行应对。
传统的基于边界的网络安全架构在某种程度上假设、或默认了内网是安全的,认为安全就是构筑企业的数字护城河,通过防火墙、WAF(Web应用防护系统)、IPS(IntrusionPrevention System,网络入侵防护系统)等边界安全产品或方案对企业网络出口进行重重防护而忽略了企业内网的安全。
针对上述企业内网的安全防护,目前还没有一种行之有效的解决方法。
发明内容
本发明的目的在于,针对上述现有技术中的不足,提供一种资源访问控制方法、装置、设备及存储介质,以解决如何提高企业内网安全防护的问题。
为实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明实施例提供了一种资源访问控制方法,包括:
接收访问设备发送的资源访问请求,所述资源访问请求包括:所述访问设备的身份信息和目标资源的信息;
根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,所述访问设备的列表信息包括:来自所述多个数据源的所述访问设备的属性数据;
根据所述列表信息中的属性数据,确定所述访问设备的信任等级;
根据所述访问设备的信任等级以及访问所述目标资源的最小信任等级,采用预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
可选地,所述多个数据源包括:资产管理系统、目录服务系统、网络基础设施系统,漏洞扫描系统中的至少一个资产中心系统;
所述根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,包括:
根据所述访问设备的身份信息,分别从所述至少一个资产中心系统中获取所述访问设备在每个资产中心系统中的属性数据,所述访问设备的属性数据包括:所述访问设备在所述至少一个资产中心系统中的属性数据。
可选地,所述多个数据源还包括:配置管理服务系统、执行策略服务系统、补丁清单服务系统、病毒查杀服务系统中至少一个管理代理系统;
所述根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,包括:
根据所述访问设备的身份信息,分别从所述至少一个管理代理系统中获取所述访问设备在每个管理代理系统中的属性数据,所述访问设备的属性数据包括:所述访问设备在所述至少一个管理代理系统中的属性数据。
可选地,所述多个数据源还包括:证书认证系统;
所述根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,包括:
根据所述访问设备的身份信息,从所述证书认证系统中获取所述访问设备在所述证书认证系统中的属性数据,所述访问设备的属性数据包括:所述访问设备在所述证书认证系统中的属性数据。
可选地,所述根据所述访问设备的信任等级以及访问所述目标资源的最小信任等级,采用预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限,包括:
根据所述访问设备的信任等级、访问所述目标资源的最小信任等级,以及所述目标资源所在设备的预设权限数据,采用所述预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
可选地,所述目标资源所在设备的预设权限数据包括下述至少一种信息:所述目标资源所在设备的所有者信息、允许访问所述目标资源所在设备的配置信息、所述目标资源所在设备的虚拟局域网VLAN的显示访问权限;
其中,所述配置信息包括下述至少一种信息:用户、用户组、分配的域名系统DNS信息、动态主机配置协议DHCP信息。
可选地,所述方法还包括:
对所述多个数据源中所述访问设备的属性数据进行监测;
若监测到存在至少一个数据源中所述访问设备的属性数据发生改变,则根据改变的属性数据对所述访问设备的列表信息进行更新;
根据更新后的所述访问设备的列表信息,更新所述访问设备的信任等级;
根据更新后的所述访问设备的信任等级以及访问所述目标资源的最小信任等级,采用所述预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
第二方面,本申请实施例还提供一种资源访问控制装置,包括:接收模块、获取模块、确定模块;
所述接收模块,用于接收访问设备发送的资源访问请求,所述资源访问请求包括:所述访问设备的身份信息和目标资源的信息;
所述获取模块,用于根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,所述访问设备的列表信息包括:来自所述多个数据源的所述访问设备的属性数据;
所述确定模块,用于根据所述列表信息中的属性数据,确定所述访问设备的信任等级;根据所述访问设备的信任等级以及访问所述目标资源的最小信任等级,采用预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
可选地,所述多个数据源包括:资产管理系统、目录服务系统、网络基础设施系统,漏洞扫描系统中的至少一个资产中心系统;
所述获取模块,具体用于根据所述访问设备的身份信息,分别从所述至少一个资产中心系统中获取所述访问设备在每个资产中心系统中的属性数据,所述访问设备的属性数据包括:所述访问设备在所述至少一个资产中心系统中的属性数据。
可选地,所述多个数据源还包括:配置管理服务系统、执行策略服务系统、补丁清单服务系统、病毒查杀服务系统中至少一个管理代理系统;
所述获取模块,还具体用于根据所述访问设备的身份信息,分别从所述至少一个管理代理系统中获取所述访问设备在每个管理代理系统中的属性数据,所述访问设备的属性数据包括:所述访问设备在所述至少一个管理代理系统中的属性数据。
可选地,所述多个数据源还包括:证书认证系统;
所述获取模块,还具体用于根据所述访问设备的身份信息,从所述证书认证系统中获取所述访问设备在所述证书认证系统中的属性数据,所述访问设备的属性数据包括:所述访问设备在所述证书认证系统中的属性数据。
可选地,所述第二确定模块,具体用于根据所述访问设备的信任等级、访问所述目标资源的最小信任等级,以及所述目标资源所在设备的预设权限数据,采用所述预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
可选地,所述目标资源所在设备的预设权限数据包括下述至少一种信息:所述目标资源所在设备的所有者信息、允许访问所述目标资源所在设备的配置信息、所述目标资源所在设备的虚拟局域网VLAN的显示访问权限;其中,所述配置信息包括下述至少一种信息:用户、用户组、分配的域名系统DNS信息、动态主机配置协议DHCP信息。
可选地,装置还包括:监测模块、更新模块;
所述监测模块,用于对所述多个数据源中所述访问设备的属性数据进行监测;
所述更新模块,用于若监测到存在至少一个数据源中所述访问设备的属性数据发生改变,则根据改变的属性数据对所述访问设备的列表信息进行更新;根据更新后的所述访问设备的列表信息,更新所述访问设备的信任等级;
所述确定模块,具体用于根据更新后的所述访问设备的信任等级以及访问所述目标资源的最小信任等级,采用所述预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
第三方面,本申请实施例还提供一种资源访问控制设备,包括:存储器和处理器,所述存储器存储有所述处理器可执行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所提供的任一资源访问控制方法。
第四方面,本申请实施例还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被读取并执行时,实现上述第一方面所提供的任一资源访问控制方法。
本申请的有益效果是:
本申请所提供的资源访问控制方法、装置、设备及存储介质中,通过对目标资源分配最小信任等级,根据访问设备的多种属性数据,计算获取访问设备的信任等级,并根据访问设备的信任等级、以及目标资源的最小信任等级,采用预设访问策略,确定访问设备对目标资源的访问权限,并对具有访问权限的设备,通过网关进行目标资源的访问。通过对访问设备信任等级的评估,综合目标资源的最小信任等级,确定访问设备的访问权限,使得资源访问的安全性更高,从而对网络信息的安全提供了保障。
其次,通过从多个数据源中获取访问设备的属性数据,基于尽量多的数据源对访问设备的信任等级进行评估,使得评估结果准确性更好,更具意义。
另外,通过对访问设备的属性数据的实时更新,以使得可以对访问设备的信任等级进行实时评估,从而不断更新访问设备对目标资源的访问权限,保证了资源访问的有效性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种资源访问控制方法的流程示意图;
图2为本申请实施例提供的另一种资源访问控制方法的流程示意图;
图3为本申请实施例提供的又一种资源访问控制方法的流程示意图;
图4为本申请实施例提供的一种资源访问控制系统框图;
图5为本申请实施例提供的一种资源访问控制装置的示意图;
图6为本申请实施例提供的另一种资源访问控制装置的示意图;
图7为本申请实施例提供的又一种资源访问控制装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
图1为本申请实施例提供的一种资源访问控制方法的流程示意图,该方法的执行主体可以为具备对资源进行访问控制功能的控制器或者是服务器。如图1所示,该方法可以包括:
S101、接收访问设备发送的资源访问请求,资源访问请求包括:访问设备的身份信息和目标资源的信息。
需要说明的是,本实施例中,访问设备可以是企业内部的多台子设备,该多台子设备可以由主控制器或者是服务器进行控制,对于每一台子设备,均对应有设备的身份信息(设备标识),例如:设备的ID,设备的编号等。
可选地,资源访问请求可以包括访问设备的身份信息以及目标资源(待访问资源)的信息。服务器接收到访问设备的身份信息以及目标资源的信息后,可以确定当前申请资源访问的设备是哪个,该设备想要访问哪些资源。
S102、根据访问设备的身份信息,从预设的多个数据源中获取访问设备的列表信息,访问设备的列表信息包括:来自多个数据源的访问设备的属性数据。
可选地,可以将访问设备的身份信息与数据源中存储的多个访问设备的身份信息进行匹配,从而根据数据源中该访问设备与其属性数据的对应关系,获取访问设备的列表信息。
在一些实施例中,访问设备的列表信息可以包括访问设备的多个属性数据,该多个属性数据可以来源于不同的数据源,多个属性数据集合形成访问设备的列表信息。设备列表信息可以是一个不断更新的实时数据库,其可以对服务器实时采集的各访问设备的属性数据进行存储,其中,设备列表信息中存储的设备的属性数据可以实时更新,以保证访问设备属性信息的准确性。
S103、根据列表信息中的属性数据,确定访问设备的信任等级。
在本实施例中,访问设备的列表信息中的属性数据,一定程度上可以反映该访问设备的安全性能,访问设备的安全性能越高,其对应的信任等级越高。其中,信任等级可以理解为其具备资源访问的权限大小,信任等级越高,其对目标资源信息的访问权限越大。
S104、根据访问设备的信任等级以及访问目标资源的最小信任等级,采用预设的访问策略,确定访问设备是否具有目标资源的访问权限。
在一些实施例中,根据目标资源的不同,目标资源被划分为不同的信任等级,不同的等级代表着资源不同的敏感度,等级越高,资源的敏感度越高,对访问该资源的访问设备的安全性能也要求越高。
可选地,本申请中,目标资源可以代表所有访问控制机制将覆盖的应用、服务和基础设施。例如:在线知识库、财务数据库、公司核心业务库、链路层访问、实验室网络等。每个目标资源都分配一个访问所需的最小信任等级。
可选地,可以根据上述步骤S103中确定的访问设备的信任等级,以及目标资源的最小信任等级,采用预设的访问策略,确定访问设备对该目标资源的访问权限。其中,访问策略可以理解为描述授权判定必须满足的一系列规则,包含对目标资源、信任等级和其他影响授权判定的因子的程序式表示。
在上述确定出访问设备对目标资源的访问权限后,若该访问设备可以对目标资源进行访问,则可以通过目标资源的访问网关,访问该目标资源。需要说明的是,访问网关是访问资源的唯一通道,如SSH(Secure Shell,安全协议)服务器、Web代理或支持802.1x(基于Client/Server的访问控制和认证协议)认证的网络等,网关负责对授权访问进行强制执行。
综上所述,本实施例提供的资源访问控制方法,通过对目标资源分配最小信任等级,根据访问设备的多种属性数据,计算获取访问设备的信任等级,并根据访问设备的信任等级、以及目标资源的最小信任等级,采用预设访问策略,确定访问设备对目标资源的访问权限,并对具有访问权限的设备,通过网关进行目标资源的访问。通过对访问设备信任等级的评估,综合目标资源的最小信任等级,确定访问设备的访问权限,使得资源访问的安全性更高,从而对网络信息的安全提供了保障。
可选地,多个数据源可以包括:资产管理系统、目录服务系统、网络基础设施系统,漏洞扫描系统中的至少一个资产中心系统。
上述步骤S102中,根据访问设备的身份信息,从预设的多个数据源中获取访问设备的列表信息,可以包括:根据访问设备的身份信息,分别从至少一个资产中心系统中获取访问设备在每个资产中心系统中的属性数据,访问设备的属性数据包括:访问设备在至少一个资产中心系统中的属性数据。
在一些实施例中,访问设备的属性数据可以包括:资产中心数据。资产中心数据可以包括:资产管理数据、目标服务数据、网络基础设施数据、漏洞扫描数据等。可选地,访问设备的资产中心数据可以通过至少一个资产中心系统进行获取。其中,至少一个资产中心系统可以包括上述的:资产管理系统、目录服务系统、网络基础设施系统,漏洞扫描系统。对于不同的资产中心数据,可以在对应的资产中心系统中获取。需要说明的是,本实施例中仅列举了部分资产中心系统,以作为示例来进行说明,实际应用中,资产中心系统并不限于上述所列举的。
可选地,多个数据源还可以包括:配置管理服务系统、执行策略服务系统、补丁清单服务系统、病毒查杀服务系统中至少一个管理代理系统。
根据访问设备的身份信息,从预设的多个数据源中获取访问设备的列表信息,可以包括:根据访问设备的身份信息,分别从至少一个管理代理系统中获取访问设备在每个管理代理系统中的属性数据,访问设备的属性数据包括:访问设备在至少一个管理代理系统中的属性数据。
在另一些实施例中,访问设备的属性数据可以包括:管理代理数据。管理代理数据可以包括:配置管理服务数据、执行策略服务数据、补丁清单服务数据、病毒查杀服务数据等。可选地,访问设备的管理代理数据可以通过至少一个管理代理系统进行获取。其中,至少一个管理代理系统可以包括上述的:配置管理服务系统、执行策略服务系统、补丁清单服务系统、病毒查杀服务系统等。对于不同的管理代理数据,可以在对应的管理代理系统中获取。与上述的资产中心系统类似,本实施例中仅列举了部分管理代理系统,实际应用中,管理代理系统并不限于上述所列举的。
可选地,多个数据源还可以包括:证书认证系统;根据访问设备的身份信息,从预设的多个数据源中获取访问设备的列表信息,可以包括:根据访问设备的身份信息,从证书认证系统中获取访问设备在证书认证系统中的属性数据,访问设备的属性数据包括:访问设备在证书认证系统中的属性数据。
在另一些实施例中,访问设备的属性数据还可以包括:证书认证数据。可选地,访问设备的证书认证数据可以通过证书认证系统进行获取。其中,证书认证系统可以包括证书颁发机构等。同样的,本实施例中也仅列举了部分证书认证系统,实际应用中,证书认证系统并不限于上述所列举的。
可选地,通过从多个数据源中获取访问设备的属性数据,基于尽量多的数据源对访问设备的信任等级进行评估,使得评估结果准确性更好,更具意义。
图2为本申请实施例提供的另一种资源访问控制方法的流程示意图,可选地,如图2所示,上述步骤S104中,根据访问设备的信任等级以及访问目标资源的最小信任等级,采用预设的访问策略,确定访问设备是否具有目标资源的访问权限,可以包括:
S201、根据访问设备的信任等级、访问目标资源的最小信任等级,以及目标资源所在设备的预设权限数据,采用预设的访问策略,确定访问设备是否具有目标资源的访问权限。
可选地,目标资源所在设备的预设权限数据可以包括下述至少一种信息:目标资源所在设备的所有者信息、允许访问目标资源所在设备的配置信息、目标资源所在设备的虚拟局域网VLAN的显示访问权限等。其中,配置信息包括下述至少一种信息:用户、用户组、分配的域名系统DNS信息、动态主机配置协议DHCP信息。
可选地,在根据访问设备的列表信息中的属性数据,确定访问设备的信任等级时,对于不同的属性数据,其所占的权重是不同的,也即,假设根据访问设备的A、B、C三个属性数据,计算访问设备的信任等级,由于A、B、C三个属性数据对于该访问设备而言,其所占的安全性能比重是存在区别的,可能A属性更影响该设备的安全性能,那么在计算信任等级时,属性A的权重较大,同理的,对于其他的多个属性,均可以确定各属性所占的权重比值。
在一些实施例中,可以根据由访问设备采集探针采集的访问设备的属性数据、以及目标资源所在设备的预设权限数据,确定各属性数据在访问设备计算信任等级时所占的权重比值。其中,由采集探针采集的访问设备的属性数据可以包含最近一次在设备上执行安全扫描的时间及扫描结果、活动目录的最后同步策略和时间戳、操作系统版本和补丁等级、已安装的软件、查杀病毒集合、高危端口开放情况、是否安装设备认证等。可选地,目标资源所在设备的预设权限数据可以是通过系统管理员、安全员手动维护而产生的。
可选地,根据确定出的访问设备的各属性数据的权重比值后,可以对各属性数据采用加权算法,计算该访问设备的信任等级。从而进一步地将该访问设备的信任等级,与目标资源的最小信任等级进行比对,若访问设备的信任等级大于或等于目标资源的最小信任等级,则确定访问设备具有目标资源的访问权限。
图3为本申请实施例提供的又一种资源访问控制方法的流程示意图,可选地,如图3所示,该方法还可以包括:
S301、对多个数据源中访问设备的属性数据进行监测。
S302、若监测到存在至少一个数据源中访问设备的属性数据发生改变,则根据改变的属性数据对访问设备的列表信息进行更新。
需要说明的是,本申请所提供的资源访问控制方法可以实现实时的访问控制,也即,可以不断的对访问设备进行信任评估,获取访问设备的信任等级。可选地,对于任意的访问设备,其对于目标资源的访问权限不是维持不变,当访问设备因某些属性数据发生变化,例如:病毒查杀、补丁修补等使得访问设备的安全性能提高后,相应的访问设备的信任等级也会提高,当信任等级达到目标资源的最小信任等级后,访问设备对目标资源的访问权限即可以由禁止访问更新为允许访问。
在一些实施例中,服务器还可以对数据源中,各访问设备的属性数据进行实时监控,并对访问设备的列表信息中的属性数据进行实时更新,以保证访问设备属性数据的精确性,实现资源访问的动态控制。
S303、根据更新后的访问设备的列表信息,更新访问设备的信任等级。
可选地,可以根据更新后的访问设备的列表信息中的属性数据,进一步地确定访问设备当前的信任等级,并将访问设备前一时刻的信任等级更新为当前最新的信任等级。
S304、根据更新后的访问设备的信任等级以及访问目标资源的最小信任等级,采用预设的访问策略,确定访问设备是否具有目标资源的访问权限。
进一步地,可以根据更新后的访问设备的信任等级,采用前述的预设访问策略,确定访问设备对目标资源的访问权限。
需要说明的是,对于任意的访问设备,在不同的时间段,其对目标资源的访问权限是会存在变化的,当访问设备的信任等级提高时,访问设备的信任等级满足目标资源的最小信任等级时,访问设备即可以对目标资源进行访问。
图4为本申请实施例提供的一种资源访问控制系统框图,可选地,在实现本申请上述方法的资源访问控制设备上还可以安装有资源访问控制系统,如图4所示,该资源访问控制系统可以包括:设备属性数据模块、信任评估模块、动态检测评估模块等三个模块。设备属性数据模块中的设备属性数据会实时报送至信任评估模块,信任评估模块对设备进行信任等级评估后,会将评估结果实时报送至动态检测评估模块,动态评估检测模块还可以反馈设备待优化信息至设备属性数据模块,以使得通过设备属性数据的优化,提升设备的信任等级。
其中,设备属性数据模块可以包括但不限于:关键补丁模块、安全基线模块、恶意代码检测模块、病毒木马查杀模块、关键注册表模块、关键进程模块、关键服务模块、违规外联模块、高维端口模块等。其中,该资源访问控制系统可以通过关键补丁模块获取关键补丁数据、通过恶意代码检测模块获取高危代码数据、通过病毒木马查杀模块获取病毒数据、通过关键注册表模块获取注册表数据等。信任评估模块可以包括:实时触发模块、实时检测模块、实时识别模块、实时比对模块、实时关联模块、实时计算模块、实时报送模块等多个数据处理模块。动态检测评估模块可以包括:信任等级展示模块、访问控制实时判断模块、感知插件实时响应模块等。
可选地,访问控制设备将获取的访问设备的所有属性数据发送至设备属性数据模块,并触发信任评估模块,根据设备属性数据模块中存储的设备属性数据,计算访问设备的信任等级。其中,信任评估模块在接收实时触发后,会对设备属性数据模块中的多个属性数据进行检测,并对检测到的数据进行识别,以将来自不同数据源的多个不同格式的属性数据转换为统一格式。在通过将通过探针采集的设备属性数据与预设权限数据进行比对,以确定不同属性数据在信任等级计算中所占的权重比值。接下来,可以通过数据实时关联,将同一设备的属性数据关联起来,也即,将来自不同数据源的数据聚合、关联到访问设备,并且当访问设备的属性数据发生更新时,直接将更新后的数据合并到访问设备的列表信息中。而对于初次评估的访问设备,需要为该访问设备新建列表信息。进一步地,在数据关联之后,可以采用加权算法,对访问设备的多个属性数据进行加权计算,得到访问设备的信任等级,并将计算结果实时报送给动态检测评估模块。
可选地,动态检测评估模块可以对访问设备的信任等级进行实时展示,并根据访问设备的信任等级、以及目标资源的最小信任等级,采用预设的访问策略,判断访问设备对目标资源的访问权限。同时,动态评估检测模块还可以实时感知设备属性数据,并反馈设备当前信任等级所对应的设备属性数据存在的缺陷,以使得设备端可以对相应的属性缺陷进行补正优化,以使得缺陷补正后的设备的信任等级可以满足目标资源的最小信任等级。
综上所述,本申请实施例所提供的资源访问控制方法中,通过对目标资源分配最小信任等级,根据访问设备的多种属性数据,计算获取访问设备的信任等级,并根据访问设备的信任等级、以及目标资源的最小信任等级,采用预设访问策略,确定访问设备对目标资源的访问权限,并对具有访问权限的设备,通过网关进行目标资源的访问。通过对访问设备信任等级的评估,综合目标资源的最小信任等级,确定访问设备的访问权限,使得资源访问的安全性更高,从而对网络信息的安全提供了保障。
其次,通过从多个数据源中获取访问设备的属性数据,基于尽量多的数据源对访问设备的信任等级进行评估,使得评估结果准确性更好,更具意义。
另外,通过对访问设备的属性数据的实时更新,以使得可以对访问设备的信任等级进行实时评估,从而不断更新访问设备对目标资源的访问权限,保证了资源访问的有效性。
下述对用以执行的本申请所提供的资源访问控制方法的装置、设备及存储介质等进行说明,其具体的实现过程以及技术效果参见上述,下述不再赘述。
图5为本申请实施例提供的一种资源访问控制装置的示意图,如图5所示,该资源访问控制装置可以包括:接收模块501、获取模块502、确定模块503;
接收模块501,用于接收访问设备发送的资源访问请求,资源访问请求包括:访问设备的身份信息和目标资源的信息;
获取模块502,用于根据访问设备的身份信息,从预设的多个数据源中获取访问设备的列表信息,访问设备的列表信息包括:来自多个数据源的访问设备的属性数据;
确定模块503,用于根据列表信息中的属性数据,确定访问设备的信任等级;根据访问设备的信任等级以及访问目标资源的最小信任等级,采用预设的访问策略,确定访问设备是否具有目标资源的访问权限。
可选地,多个数据源包括:资产管理系统、目录服务系统、网络基础设施系统,漏洞扫描系统中的至少一个资产中心系统;
获取模块502,具体用于根据访问设备的身份信息,分别从至少一个资产中心系统中获取访问设备在每个资产中心系统中的属性数据,访问设备的属性数据包括:访问设备在至少一个资产中心系统中的属性数据。
可选地,多个数据源还包括:配置管理服务系统、执行策略服务系统、补丁清单服务系统、病毒查杀服务系统中至少一个管理代理系统;
获取模块502,还具体用于根据访问设备的身份信息,分别从至少一个管理代理系统中获取访问设备在每个管理代理系统中的属性数据,访问设备的属性数据包括:访问设备在至少一个管理代理系统中的属性数据。
可选地,多个数据源还包括:证书认证系统;
获取模块502,还具体用于根据访问设备的身份信息,从证书认证系统中获取访问设备在证书认证系统中的属性数据,访问设备的属性数据包括:访问设备在证书认证系统中的属性数据。
可选地,确定模块503,具体用于根据访问设备的信任等级、访问目标资源的最小信任等级,以及目标资源所在设备的预设权限数据,采用预设的访问策略,确定访问设备是否具有目标资源的访问权限。
可选地,目标资源所在设备的预设权限数据包括下述至少一种信息:目标资源所在设备的所有者信息、允许访问目标资源所在设备的配置信息、目标资源所在设备的虚拟局域网VLAN的显示访问权限;其中,配置信息包括下述至少一种信息:用户、用户组、分配的域名系统DNS信息、动态主机配置协议DHCP信息。
可选地,如图6所示,该装置还包括:监测模块505、更新模块507;
监测模块505,用于对多个数据源中访问设备的属性数据进行监测;
更新模块507,用于若监测到存在至少一个数据源中访问设备的属性数据发生改变,则根据改变的属性数据对访问设备的列表信息进行更新;根据更新后的访问设备的列表信息,更新访问设备的信任等级;
确定模块503,具体用于根据更新后的访问设备的信任等级以及访问目标资源的最小信任等级,采用预设的访问策略,确定访问设备是否具有目标资源的访问权限。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
图7为本申请实施例提供的又一种资源访问控制装置的示意图,该装置可以集成于设备或者设备的芯片,该设备可以是具备资源访问控制功能的计算设备或服务器。
该资源访问控制装置包括:存储器702、处理器701。存储器702和处理器701通过总线连接。
存储器702用于存储程序,处理器701调用存储器702存储的程序,以执行上述方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本发明还提供一种程序产品,例如计算机可读存储介质,包括程序,该程序在被处理器执行时用于执行上述方法实施例。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
上仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种资源访问控制方法,其特征在于,包括:
接收访问设备发送的资源访问请求,所述资源访问请求包括:所述访问设备的身份信息和目标资源的信息;
根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,所述访问设备的列表信息包括:来自所述多个数据源的所述访问设备的属性数据;
根据所述列表信息中的属性数据,确定所述访问设备的信任等级;
根据所述访问设备的信任等级以及访问所述目标资源的最小信任等级,采用预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
2.根据权利要求1所述的方法,其特征在于,所述多个数据源包括:资产管理系统、目录服务系统、网络基础设施系统,漏洞扫描系统中的至少一个资产中心系统;
所述根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,包括:
根据所述访问设备的身份信息,分别从所述至少一个资产中心系统中获取所述访问设备在每个资产中心系统中的属性数据,所述访问设备的属性数据包括:所述访问设备在所述至少一个资产中心系统中的属性数据。
3.根据权利要求1所述的方法,其特征在于,所述多个数据源还包括:配置管理服务系统、执行策略服务系统、补丁清单服务系统、病毒查杀服务系统中至少一个管理代理系统;
所述根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,包括:
根据所述访问设备的身份信息,分别从所述至少一个管理代理系统中获取所述访问设备在每个管理代理系统中的属性数据,所述访问设备的属性数据包括:所述访问设备在所述至少一个管理代理系统中的属性数据。
4.根据权利要求1所述的方法,其特征在于,所述多个数据源还包括:证书认证系统;
所述根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,包括:
根据所述访问设备的身份信息,从所述证书认证系统中获取所述访问设备在所述证书认证系统中的属性数据,所述访问设备的属性数据包括:所述访问设备在所述证书认证系统中的属性数据。
5.根据权利要求1所述的方法,其特征在于,所述根据所述访问设备的信任等级以及访问所述目标资源的最小信任等级,采用预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限,包括:
根据所述访问设备的信任等级、访问所述目标资源的最小信任等级,以及所述目标资源所在设备的预设权限数据,采用所述预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
6.根据权利要求5所述的方法,其特征在于,所述目标资源所在设备的预设权限数据包括下述至少一种信息:所述目标资源所在设备的所有者信息、允许访问所述目标资源所在设备的配置信息、所述目标资源所在设备的虚拟局域网VLAN的显示访问权限;
其中,所述配置信息包括下述至少一种信息:用户、用户组、分配的域名系统DNS信息、动态主机配置协议DHCP信息。
7.根据权利要求1-6中任一所述的方法,其特征在于,所述方法还包括:
对所述多个数据源中所述访问设备的属性数据进行监测;
若监测到存在至少一个数据源中所述访问设备的属性数据发生改变,则根据改变的属性数据对所述访问设备的列表信息进行更新;
根据更新后的所述访问设备的列表信息,更新所述访问设备的信任等级;
根据更新后的所述访问设备的信任等级以及访问所述目标资源的最小信任等级,采用所述预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
8.一种资源访问控制装置,其特征在于,包括:接收模块、获取模块、确定模块;
所述接收模块,用于接收访问设备发送的资源访问请求,所述资源访问请求包括:所述访问设备的身份信息和目标资源的信息;
所述获取模块,用于根据所述访问设备的身份信息,从预设的多个数据源中获取所述访问设备的列表信息,所述访问设备的列表信息包括:来自所述多个数据源的所述访问设备的属性数据;
所述确定模块,用于根据所述列表信息中的属性数据,确定所述访问设备的信任等级;根据所述访问设备的信任等级以及访问所述目标资源的最小信任等级,采用预设的访问策略,确定所述访问设备是否具有所述目标资源的访问权限。
9.一种资源访问控制设备,其特征在于,包括:存储器和处理器,所述存储器存储有所述处理器可执行的计算机程序,所述处理器执行所述计算机程序时实现上述权利要求1-7任一项所述的资源访问控制方法。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被读取并执行时,实现上述权利要求1-7任一项所述的资源访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911230531.9A CN111131176B (zh) | 2019-12-04 | 2019-12-04 | 资源访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911230531.9A CN111131176B (zh) | 2019-12-04 | 2019-12-04 | 资源访问控制方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111131176A true CN111131176A (zh) | 2020-05-08 |
| CN111131176B CN111131176B (zh) | 2022-07-01 |
Family
ID=70497538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911230531.9A Active CN111131176B (zh) | 2019-12-04 | 2019-12-04 | 资源访问控制方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111131176B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
| CN112087469A (zh) * | 2020-09-18 | 2020-12-15 | 全球能源互联网研究院有限公司 | 面向电力物联网设备和用户的零信任动态访问控制方法 |
| CN112351005A (zh) * | 2020-10-23 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| CN113253691A (zh) * | 2021-06-18 | 2021-08-13 | 武汉科迪智能环境股份有限公司 | 设备管理方法和装置 |
| CN113591075A (zh) * | 2021-07-26 | 2021-11-02 | 深信服科技股份有限公司 | 终端安全管控方法、装置及存储介质 |
| CN114095189A (zh) * | 2020-07-31 | 2022-02-25 | 中国电信股份有限公司 | 用于设备权限的配置方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060005032A1 (en) * | 2004-06-15 | 2006-01-05 | Adam Cain | Method and system for enabling trust-based authorization over a network |
| US7086085B1 (en) * | 2000-04-11 | 2006-08-01 | Bruce E Brown | Variable trust levels for authentication |
| CN102449633A (zh) * | 2009-06-01 | 2012-05-09 | 皇家飞利浦电子股份有限公司 | 访问权限的动态确定 |
| CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
| CN103795688A (zh) * | 2012-10-31 | 2014-05-14 | 中国航天科工集团第二研究院七○六所 | 一种基于属性的模糊访问控制计算方法 |
| CN106034112A (zh) * | 2015-03-12 | 2016-10-19 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
| CN109165516A (zh) * | 2018-08-14 | 2019-01-08 | 中国银联股份有限公司 | 一种访问控制方法和装置 |
| CN109918924A (zh) * | 2019-02-02 | 2019-06-21 | 北京奇安信科技有限公司 | 动态访问权限的控制方法及系统 |
| CN110233817A (zh) * | 2018-03-06 | 2019-09-13 | 广州西麦科技股份有限公司 | 一种基于云计算的容器安全系统 |
-
2019
- 2019-12-04 CN CN201911230531.9A patent/CN111131176B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7086085B1 (en) * | 2000-04-11 | 2006-08-01 | Bruce E Brown | Variable trust levels for authentication |
| US20060005032A1 (en) * | 2004-06-15 | 2006-01-05 | Adam Cain | Method and system for enabling trust-based authorization over a network |
| CN102449633A (zh) * | 2009-06-01 | 2012-05-09 | 皇家飞利浦电子股份有限公司 | 访问权限的动态确定 |
| CN103795688A (zh) * | 2012-10-31 | 2014-05-14 | 中国航天科工集团第二研究院七○六所 | 一种基于属性的模糊访问控制计算方法 |
| CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
| CN106034112A (zh) * | 2015-03-12 | 2016-10-19 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
| CN110233817A (zh) * | 2018-03-06 | 2019-09-13 | 广州西麦科技股份有限公司 | 一种基于云计算的容器安全系统 |
| CN109165516A (zh) * | 2018-08-14 | 2019-01-08 | 中国银联股份有限公司 | 一种访问控制方法和装置 |
| CN109918924A (zh) * | 2019-02-02 | 2019-06-21 | 北京奇安信科技有限公司 | 动态访问权限的控制方法及系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114095189A (zh) * | 2020-07-31 | 2022-02-25 | 中国电信股份有限公司 | 用于设备权限的配置方法及装置 |
| CN112055029A (zh) * | 2020-09-16 | 2020-12-08 | 全球能源互联网研究院有限公司 | 零信任电力物联网设备和用户实时信任度评估方法 |
| CN112055029B (zh) * | 2020-09-16 | 2023-04-07 | 全球能源互联网研究院有限公司 | 用于零信任电力物联网设备的用户实时信任度评估方法 |
| CN112087469A (zh) * | 2020-09-18 | 2020-12-15 | 全球能源互联网研究院有限公司 | 面向电力物联网设备和用户的零信任动态访问控制方法 |
| CN112351005A (zh) * | 2020-10-23 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| CN112351005B (zh) * | 2020-10-23 | 2022-11-15 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
| CN113253691A (zh) * | 2021-06-18 | 2021-08-13 | 武汉科迪智能环境股份有限公司 | 设备管理方法和装置 |
| CN113253691B (zh) * | 2021-06-18 | 2021-09-14 | 武汉科迪智能环境股份有限公司 | 设备管理方法和装置 |
| CN113591075A (zh) * | 2021-07-26 | 2021-11-02 | 深信服科技股份有限公司 | 终端安全管控方法、装置及存储介质 |
| CN113591075B (zh) * | 2021-07-26 | 2023-11-07 | 深信服科技股份有限公司 | 终端安全管控方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111131176B (zh) | 2022-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111131176B (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| US11245714B2 (en) | Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking | |
| Banerjee et al. | A blockchain future for internet of things security: a position paper | |
| JP5961638B2 (ja) | アプリケーション証明のためのシステムおよび方法 | |
| US9582335B2 (en) | System and method for distributing processing of computer security tasks | |
| US9143509B2 (en) | Granular assessment of device state | |
| US7966650B2 (en) | Dynamic internet address assignment based on user identity and policy compliance | |
| US20210314250A1 (en) | Auto re-segmentation to assign new applications in a microsegmented network | |
| CA2868741A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| US11588859B2 (en) | Identity-based enforcement of network communication in serverless workloads | |
| US10320829B1 (en) | Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network | |
| US12010133B2 (en) | Security threat monitoring for network-accessible devices | |
| US20240111904A1 (en) | Secure hashing of large data files to verify file identity | |
| US20230334150A1 (en) | Restricted execution mode for network-accessible devices | |
| US20230319012A1 (en) | Hybrid web application firewall | |
| Chhikara et al. | Analyzing security solutions in cloud computing | |
| CN118233117A (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| GB2618654A (en) | Hybrid web application firewall | |
| GB2559821A (en) | Secure access by behavior recognition | |
| Yosefian et al. | Study and evaluation of the security challenges in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |