CN111181979A - 访问控制方法、装置、计算机设备和计算机可读存储介质 - Google Patents
访问控制方法、装置、计算机设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN111181979A CN111181979A CN201911421999.6A CN201911421999A CN111181979A CN 111181979 A CN111181979 A CN 111181979A CN 201911421999 A CN201911421999 A CN 201911421999A CN 111181979 A CN111181979 A CN 111181979A
- Authority
- CN
- China
- Prior art keywords
- access
- security
- security evaluation
- value
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种访问控制方法、装置、计算机设备和计算机可读存储介质。该访问控制方法包括:接收访问请求;确定访问请求对应的实体层,其中,实体层包括四个访问实体,分别为访问用户、访问设备、访问代理服务和代理服务设备;针对每个访问实体,获取访问实体的安全评估数据,并根据安全评估数据计算访问实体的安全评估值;根据所有访问实体的安全评估值确定访问请求的安全评估值;以及当访问请求的安全评估值小于安全阈值时,向访问代理服务发送阻隔访问请求的命令。通过本发明能够降低权限判断的复杂性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种访问控制方法、装置、计算机设备和计算机可读存储介质。
背景技术
传统的访问控制方法,通常基于物理边界,而随着云服务、移动终端以及网络的网站,物理边界已经逐渐趋于瓦解,同时,外部攻击的多样化和内部威胁的加剧的并行发展,基于物理边界的安全措施正在失效。
为了在现有环境下提升访问控制的安全有效性,现有技术提出一种访问控制方法,在该访问控制方法中,访问客体不会直接暴露给访问主体,而是在访问客体与访问主体之间设置可信代理服务,同时提出对访问主体“零信任”的观点,由访问控制服务对可信代理服务接收到的访问请求进行权限判断,实现访问控制。
但是,发明人发现,在进行权限判断时,为了提升访问客体的安全性,需要设置较多的信任评价规则,而且各信任评价负责相互独立没有关联,使得权限判断复杂,因此,提供一种访问控制方法、装置、计算机设备和计算机可读存储介质,以降低权限判断的复杂性,成为本领域亟需解决的技术问题。
发明内容
本发明的目的是提供一种访问控制方法、装置、计算机设备和计算机可读存储介质,用于解决现有技术中的上述技术问题。
一方面,为实现上述目的,本发明提供了一种访问控制方法。
该访问控制方法包括:接收访问请求;确定访问请求对应的实体层,其中,实体层包括四个访问实体,分别为访问用户、访问设备、访问代理服务和代理服务设备;针对每个访问实体,获取访问实体的安全评估数据,并根据安全评估数据计算访问实体的安全评估值;根据所有访问实体的安全评估值确定访问请求的安全评估值;以及当访问请求的安全评估值小于安全阈值时,向访问代理服务发送阻隔访问请求的命令。
进一步地,根据安全评估数据计算访问实体的安全评估值的步骤包括:预置安全评估模型;响应于配置操作,预置安全评估规则;根据安全评估数据和安全评估模型计算访问实体的安全动态值;根据安全评估数据和安全评估规则计算访问实体的安全基准值;当安全动态值大于或等于安全基准值时,确定安全基准值为访问实体的安全评估值,当安全动态值小于安全基准值时,计算安全动态值与第一权重的积得到第一乘积,计算安全基准值和第二权重的积得到第二乘积,计算第一乘积和第二乘积的和得到访问实体的安全评估值。
进一步地,根据所有访问实体的安全评估值确定访问请求的安全评估值的步骤包括:获取访问用户的安全评估值、访问设备的安全评估值、访问代理服务的安全评估值和代理服务设备的安全评估值中的最小值,以得到访问请求的安全评估值。
进一步地,获取访问实体的安全评估数据的步骤包括:获取访问用户的历史访问数据,以得到访问用户的安全评估数据。
进一步地,获取访问实体的安全评估数据的步骤包括:发送数据请求至数据采集服务,其中,数据采集服务用于采集访问设备的运行状态参数;接收数据采集服务上传的运行状态参数,以得到访问设备的安全评估数据。
进一步地,获取访问实体的安全评估数据的步骤包括:获取访问代理服务接收到的历史访问请求和对应的历史访问应答;解析历史访问请求和历史访问应答,以得到访问代理服务的安全评估数据。
进一步地,获取访问实体的安全评估数据的步骤包括:采集代理服务设备的运行状态参数,以得到代理服务设备的安全评估数据。
另一方面,为实现上述目的,本发明提供了一种访问控制装置。
该访问控制装置包括:访问请求接收模块,用于接收访问请求;访问实体确定模块,确定访问请求对应的实体层,其中,实体层包括四个访问实体,分别为访问用户、访问设备、访问代理服务和代理服务设备;评估数据获取模块,用于针对每个访问实体,获取访问实体的安全评估数据;第一评估值计算模块,用于根据安全评估数据计算访问实体的安全评估值;第二评估值计算模块,用于根据所有访问实体的安全评估值确定访问请求的安全评估值;以及访问指令发送模块,用于当访问请求的安全评估值小于安全阈值时,向访问代理服务发送阻隔访问请求的命令。
为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的访问控制方法、装置、计算机设备和计算机可读存储介质,接收到访问请求后,确定对应的四个访问实体,也即确定访问请求对应的访问用户、访问设备、访问代理服务和代理服务设备,然后针对四个访问实体,分别获取安全评估数据进行安全评估,得到每个访问实体的安全评估值,最后根据所有访问实体的安全评估值来确定访问请求的安全评估值,将访问请求的安全评估值与安全阈值进行比对,将安全评估值小于安全阈值的访问请求进行阻隔,访问代理服务不对这类型的访问请求进行转发,通过本发明,基于权限判断实现了对访问请求的安全控制,其中,在权限判断时,将访问请求的安全性映射在访问用户、访问设备、访问代理服务和代理服务设备四个维度,然后通过该四个维度的安全评估值确定访问请求的安全评估值,降低了权限判断的复杂性。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例一提供的访问控制方法的流程图;
图2为本发明实施例二提供的访问控制方法的流程图;
图3为本发明实施例三提供的访问控制装置的框图;
图4为本发明实施例四提供的计算机设备的硬件结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了降低权限判断的复杂性,本发明提供了一种访问控制方法、装置、计算机设备和计算机可读存储介质,在该访问控制方法中,将一个访问请求的安全性映射在四个维度的安全性,也即包括访问用户、访问设备、访问代理服务和代理服务设备的四个访问实体的安全性,在接收到访问请求后,确定该访问请求由哪个访问用户发出、来自于哪个访问设备、由哪种访问代理服务代理以及该访问代理服务处于哪个代理服务设备,然后这对每个访问实体,获取安全评估数据,并根据获取到的安全评估数据计算该访问实体的安全评估值,最终根据所有访问实体的安全评估值确定访问请求的安全评估值,根据访问请求的安全评估值判断访问请求的权限,当访问请求的安全评估值小于安全阈值时,向访问代理服务发送阻隔访问请求的命令。从中可以看出,本发明在判断访问请求的访问权限时,通过访问请求的安全评估值进行判断,而访问请求的安全评估值基于访问用户、访问设备、访问代理服务和代理服务设备的四个访问实体的安全性来确定,降低了权限判断的复杂性。
关于本发明提供的访问控制方法、装置、计算机设备和计算机可读存储介质的具体实施方式,将在下文中详细描述。
实施例一
本发明实施例一提供了一种访问控制方法,该访问控制方法可应用于“零信任”系统,在该系统中,访问客体与访问主体之间设置可信代理服务,该实施例提供的访问控制方法作为一种访问控制服务,对可信代理服务接收到的访问请求进行权限判断,控制可信代理服务是否将访问主体发成的访问请求转发至访问客体,通过该方法,能够降低对权限判断的复杂性,具体地,图1为本发明实施例一提供的访问控制方法的流程图,如图所示,该实施例一提供的访问控制方法包括如下的步骤S101至步骤S105。
步骤S101:接收访问请求。
具体地,访问主体发出的访问请求首先到达可信代理服务,可信代理服务将访问请求发送给访问控制服务,访问控制服务接收到该访问请求后,对访问请求的权限进行判断。其中,访问请求可以为业务请求,对应的可信代理服务为针对应用的可信代理服务,此时,访问请求满足权限要求时,可信代理服务将访问请求转发给业务应用;访问请求也可以为API调用请求,对应的可信代理服务为针对API的可信代理服务,此时,访问请求满足权限要求时,可信代理服务将访问请求转发给服务、API或接口。
步骤S102:确定访问请求对应的实体层。
其中,实体层包括四个访问实体,分别为访问用户、访问设备、访问代理服务和代理服务设备。
在接收到访问请求后,通过对访问请求的请求消息进行解析,即可确定该访问请求由哪个访问用户发出、来自于哪个访问设备、由哪种访问代理服务代理以及该访问代理服务处于哪个代理服务设备。在本发明中,访问用户、访问设备、访问代理服务和代理服务设备分别作为一个访问实体,形成一个实体层,对访问请求的权限判断依托于实体层的安全性。
步骤S103:针对每个访问实体,获取访问实体的安全评估数据,并根据安全评估数据计算访问实体的安全评估值。
可选地,对于访问用户,获取访问用户的安全评估数据时,具体为获取访问用户的历史访问数据,作为安全评估数据,通过历史访问数据能够准确体现用户的访问特点,进一步可选地,在系统的各个代理服务设备上,分别获取访问用户的历史访问数据,该历史访问数据可包括用户历史访问的访问客体、访问时间、访问频率等,基于这些数据计算访问用户的安全评估值。
对于访问设备,获取访问设备的安全评估数据时,具体为获取访问设备的运行状态参数,作为安全评估数据,进一步可选地,在访问设备设置数据采集服务,该数据采集服务用于采集访问设备的运行状态参数,该运行状态参数包括设备的密码、病毒库状态、下载和需要下载的系统补丁以及历史运行的进程等,在获取访问设备的安全评估数据时,发送数据请求至数据采集服务,数据采集服务将采集到的上述运行状态参数上传,得到访问设备的安全评估数据,基于这些数据计算访问设备的安全评估值。
对于访问代理服务,获取访问代理服务的安全评估数据时,具体为获取代理服务设备接收到的历史访问请求和对应的历史访问应答,将解析该历史访问请求和历史访问应答得到的数据作为安全评估数据,通过解析历史访问请求和历史访问应答得到的数据能够判断代理服务本身的安全状态,例如,在访问应答中通过明文的方式返回敏感数据时,表明该访问代理服务的安全性较差。
对于代理服务设备,获取代理服务设备的安全评估数据时,具体为获取代理服务设备的运行状态参数,作为安全评估数据,进一步可选地,若访问控制服务运用于代理服务设备上时,可直接采集代理服务设备的运行状态参数,或者,在代理服务设备上也设置数据采集服务,该数据采集服务用于采集代理服务设备的运行状态参数,该运行状态参数包括设备运行的进程以及设备的负载情况等,基于这些数据计算代理服务设备的安全评估值。
步骤S104:根据所有访问实体的安全评估值确定访问请求的安全评估值。
通过上述步骤S103,可得到访问用户、访问设备、访问代理服务和代理服务设备的安全评估值,在该步骤S104中,可选地,对四个安全评估值进行加权计算,得到访问请求的安全评估值,进一步得,可针对不同的访问客体,对访问用户、访问设备、访问代理服务和代理服务设备设置不同的加权权重,以灵活的满足的四个访问实体针对不同访问客体体现出的权重差异。
或者,可选地,获取访问用户的安全评估值、访问设备的安全评估值、访问代理服务的安全评估值和代理服务设备的安全评估值中的最小值,以得到访问请求的安全评估值。在该可选地的实施例中,以四个访问实体中最小的安全评估值作为访问请求的安全评估值,能够提升对访问请求的安全控制能力。
步骤S105:当访问请求的安全评估值小于安全阈值时,向访问代理服务发送阻隔访问请求的命令。
在该步骤中,将访问请求的安全评估值与预设的安全阈值进行比对,当安全评估值达不到安全阈值时,表明该访问请求的安全性较差,此时,向访问代理服务发送阻隔访问请求的命令,访问代理服务接收到阻隔访问请求的命令时,不对访问请求进行转发;当安全评估值达到安全阈值时,表明该访问请求的安全性较号,此时,向访问代理服务发送允许访问请求的命令,访问代理服务接收到允许访问请求的命令时,将访问请求进行转发。
在该实施例提供的访问控制方法,接收到访问请求后,确定对应的四个访问实体,也即确定访问请求对应的访问用户、访问设备、访问代理服务和代理服务设备,然后针对四个访问实体,分别获取安全评估数据进行安全评估,得到每个访问实体的安全评估值,最后根据所有访问实体的安全评估值来确定访问请求的安全评估值,将访问请求的安全评估值与安全阈值进行比对,将安全评估值小于安全阈值的访问请求进行阻隔,访问代理服务不对这类型的访问请求进行转发,因此,采用本发明提供的访问控制方法,基于权限判断实现了对访问请求的安全控制,其中,在权限判断时,将访问请求的安全性映射在访问用户、访问设备、访问代理服务和代理服务设备四个维度,然后通过该四个维度的安全评估值确定访问请求的安全评估值,降低了权限判断的复杂性。
实施例二
本发明实施例二提供了一种优选地访问控制方法,以对可信代理服务接收到的访问请求进行权限判断,进而控制可信代理服务是否将访问主体发成的访问请求转发至访问客体,部分技术特征与上述实施例一的技术特征相同,具体描述和相应技术效果可参考上述实施例一。进一步,该实施例二通过同时设置安全评估模型和安全评估规则,将安全评估规则作为信任基线,发挥信任基线的可控性和分析模型的灵活性,提升信任计算的准确性,降低信任计算的误判概率。具体地,图2为本发明实施例二提供的访问控制方法的流程图,如图2所示,该实施例二提供的访问控制方法包括如下的步骤S201至步骤S209。
步骤S201:预置安全评估模型,响应于配置操作,预置安全评估规则。
具体地,针对实体层包括的四个访问实体,也即访问用户、访问设备、访问代理服务和代理服务设备,分别预置安全评估模型和安全评估规则。
可选地,针对每一个访问实体设置一种或多种安全评估模型,例如,以历史的安全评估数据和对应的安全评估值作为样本数据,输入人工智能模型(例如神经网络模型),对人工智能模型进行训练,训练得到一种安全评估模型,将当前的安全评估数据输入训练好的人工智能模型后,即根据当前安全评估数据计算安全评估值。当一个访问实体具有多种安全评估模型时,可对各安全评估模型得到的安全评估值进行加权计算。各访问实体的安全评估模型相互独立,分别通过安全评估数据计算自身的安全评估值。在本发明中,安全评估模型时针对大数据分析算法得到的评价访问实体安全性的模型。
可选地,设置人机交互页面,通过人机交互页面,可对访问用户、访问设备、访问代理服务和代理服务设备分别进行安全评估规则的配置,该安全评估规则定义出信任的基础要求也即必满足项,例如定义安全评估值为1的访问用户必须是某ip网段的用户,定义安全评估值为0.7及以上的访问设备必须具有当前最高版本的病毒库等。在本发明中,安全评估规则是指通过配置方式得到的访问实体达到对应安全评估值时所需的信任条件。
步骤S202:接收访问请求。
步骤S203:确定访问请求对应的实体层。
步骤S204:针对每个访问实体,获取访问实体的安全评估数据。
步骤S205:根据安全评估数据和安全评估模型计算访问实体的安全动态值。
在该步骤中,针对一个访问实体,可在安全评估数据中获取安全评估模型所需的数据,输入至安全评估模型,得到通过安全评估模型对该访问实体的安全评估结果,也即安全动态值。
步骤S206:根据安全评估数据和安全评估规则计算访问实体的安全基准值。
在该步骤中,针对一个访问实体,可在安全评估数据中获取安全评估规则所需的数据,根据安全评估规则进行判断,得到通过安全评估规则对该访问实体的安全评估结果,也即安全基准值。
步骤S207:当安全动态值大于或等于安全基准值时,确定安全基准值为访问实体的安全评估值,当安全动态值小于安全基准值时,计算安全动态值与第一权重的积得到第一乘积,计算安全基准值和第二权重的积得到第二乘积,计算第一乘积和第二乘积的和得到访问实体的安全评估值。
在该步骤中,将安全动态值与安全基准值进行比对,当安全动态值大于或等于安全基准值时,由于安全基准值为信任的基础要求,此时以安全基准值为准;当安全动态值小于安全基准值时,结合安全动态值和安全基准值,对二者进行加权计算,得到访问实体的安全评估值。
步骤S208:根据所有访问实体的安全评估值确定访问请求的安全评估值。
步骤S209:当访问请求的安全评估值小于安全阈值时,向访问代理服务发送阻隔访问请求的命令。
在该实施例提供的访问控制方法中,对一个安全实体进行安全评估时,同时设置安全评估模型和安全评估规则,引入信任基线的方式,规定了信任等级阈值和必须满足项。
在该实施例提供的访问控制方法中,在对访问实体的安全评估值,结合安全评估模型和安全评估规则,安全评估规则作为信任基准,将静态的信任基准和分析模型相结合,充分发挥了基线的可控性和分析模型的灵活性,解决了信任计算的误判问题。
实施例三
对应于上述实施例一,本发明实施例三提供了一种访问控制装置,相应技术特征和技术效果可参考上文,该处不再赘述。图3为本发明实施例三提供的访问控制装置的框图,如图3所示,该装置包括访问请求接收模块301、访问实体确定模块302、评估数据获取模块303、第一评估值计算模块304和第二评估值计算模块305。
访问请求接收模块301用于接收访问请求;访问实体确定模块302用于确定访问请求对应的实体层,其中,实体层包括四个访问实体,分别为访问用户、访问设备、访问代理服务和代理服务设备;评估数据获取模块303用于针对每个访问实体,获取访问实体的安全评估数据;第一评估值计算模块304用于根据安全评估数据计算访问实体的安全评估值;第二评估值计算模块305用于根据所有访问实体的安全评估值确定访问请求的安全评估值;以及访问指令发送模块306用于当访问请求的安全评估值小于安全阈值时,向访问代理服务发送阻隔访问请求的命令。
可选地,在一种实施例中,第一评估值计算模块304在根据安全评估数据计算访问实体的安全评估值时,具体执行的步骤包括:预置安全评估模型;响应于配置操作,预置安全评估规则;根据安全评估数据和安全评估模型计算访问实体的安全动态值;根据安全评估数据和安全评估规则计算访问实体的安全基准值;当安全动态值大于或等于安全基准值时,确定安全基准值为访问实体的安全评估值,当安全动态值小于安全基准值时,计算安全动态值与第一权重的积得到第一乘积,计算安全基准值和第二权重的积得到第二乘积,计算第一乘积和第二乘积的和得到访问实体的安全评估值。
可选地,在一种实施例中,第二评估值计算模块305在根据所有访问实体的安全评估值确定访问请求的安全评估值时,具体执行的步骤包括:获取访问用户的安全评估值、访问设备的安全评估值、访问代理服务的安全评估值和代理服务设备的安全评估值中的最小值,以得到访问请求的安全评估值。
可选地,在一种实施例中,评估数据获取模块303在获取访问实体的安全评估数据时,具体执行的步骤包括:获取访问用户的历史访问数据,以得到访问用户的安全评估数据。
可选地,在一种实施例中,评估数据获取模块303在获取访问实体的安全评估数据时,具体执行的步骤包括:发送数据请求至数据采集服务,其中,数据采集服务用于采集访问设备的运行状态参数;接收数据采集服务上传的运行状态参数,以得到访问设备的安全评估数据。
可选地,在一种实施例中,评估数据获取模块303在获取访问实体的安全评估数据时,具体执行的步骤包括:获取访问代理服务接收到的历史访问请求和对应的历史访问应答;解析历史访问请求和历史访问应答,以得到访问代理服务的安全评估数据。
可选地,在一种实施例中,评估数据获取模块303在获取访问实体的安全评估数据时,具体执行的步骤包括:采集代理服务设备的运行状态参数,以得到代理服务设备的安全评估数据。
实施例四
本实施例四还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备01至少包括但不限于:可通过系统总线相互通信连接的存储器011、处理器012,如图4所示。需要指出的是,图4仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件,例如实施例二的访问控制装置的程序代码等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器012在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如访问控制方法等。
实施例五
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储访问控制装置,被处理器执行时实现实施例一的访问控制方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种访问控制方法,其特征在于,包括:
接收访问请求;
确定所述访问请求对应的实体层,其中,所述实体层包括四个访问实体,分别为访问用户、访问设备、访问代理服务和代理服务设备;
针对每个所述访问实体,获取所述访问实体的安全评估数据,并根据所述安全评估数据计算所述访问实体的安全评估值;
根据所有所述访问实体的安全评估值确定所述访问请求的安全评估值;以及
当所述访问请求的安全评估值小于安全阈值时,向所述访问代理服务发送阻隔所述访问请求的命令。
2.根据权利要求1所述的访问控制方法,其特征在于,根据所述安全评估数据计算所述访问实体的安全评估值的步骤包括:
预置安全评估模型;
响应于配置操作,预置安全评估规则;
根据所述安全评估数据和所述安全评估模型计算所述访问实体的安全动态值;
根据所述安全评估数据和所述安全评估规则计算所述访问实体的安全基准值;
当所述安全动态值大于或等于所述安全基准值时,确定所述安全基准值为所述访问实体的安全评估值,当所述安全动态值小于所述安全基准值时,计算所述安全动态值与第一权重的积得到第一乘积,计算所述安全基准值和第二权重的积得到第二乘积,计算所述第一乘积和所述第二乘积的和得到所述访问实体的安全评估值。
3.根据权利要求1所述的访问控制方法,其特征在于,根据所有所述访问实体的安全评估值确定所述访问请求的安全评估值的步骤包括:
获取所述访问用户的安全评估值、所述访问设备的安全评估值、所述访问代理服务的安全评估值和所述代理服务设备的安全评估值中的最小值,以得到所述访问请求的安全评估值。
4.根据权利要求1所述的访问控制方法,其特征在于,获取所述访问实体的安全评估数据的步骤包括:
获取所述访问用户的历史访问数据,以得到所述访问用户的安全评估数据。
5.根据权利要求1所述的访问控制方法,其特征在于,获取所述访问实体的安全评估数据的步骤包括:
发送数据请求至数据采集服务,其中,所述数据采集服务用于采集所述访问设备的运行状态参数;
接收所述数据采集服务上传的所述运行状态参数,以得到所述访问设备的安全评估数据。
6.根据权利要求1所述的访问控制方法,其特征在于,获取所述访问实体的安全评估数据的步骤包括:
获取所述访问代理服务接收到的历史访问请求和对应的历史访问应答;
解析所述历史访问请求和所述历史访问应答,以得到所述访问代理服务的安全评估数据。
7.根据权利要求1所述的访问控制方法,其特征在于,获取所述访问实体的安全评估数据的步骤包括:
采集所述代理服务设备的运行状态参数,以得到所述代理服务设备的安全评估数据。
8.一种访问控制装置,其特征在于,包括:
访问请求接收模块,用于接收访问请求;
访问实体确定模块,确定所述访问请求对应的实体层,其中,所述实体层包括四个访问实体,分别为访问用户、访问设备、访问代理服务和代理服务设备;
评估数据获取模块,用于针对每个所述访问实体,获取所述访问实体的安全评估数据;
第一评估值计算模块,用于根据所述安全评估数据计算所述访问实体的安全评估值;
第二评估值计算模块,用于根据所有所述访问实体的安全评估值确定所述访问请求的安全评估值;以及
访问指令发送模块,用于当所述访问请求的安全评估值小于安全阈值时,向所述访问代理服务发送阻隔所述访问请求的命令。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421999.6A CN111181979B (zh) | 2019-12-31 | 2019-12-31 | 访问控制方法、装置、计算机设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421999.6A CN111181979B (zh) | 2019-12-31 | 2019-12-31 | 访问控制方法、装置、计算机设备和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111181979A true CN111181979A (zh) | 2020-05-19 |
| CN111181979B CN111181979B (zh) | 2022-06-07 |
Family
ID=70657670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911421999.6A Active CN111181979B (zh) | 2019-12-31 | 2019-12-31 | 访问控制方法、装置、计算机设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111181979B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112115484A (zh) * | 2020-09-27 | 2020-12-22 | 中国工商银行股份有限公司 | 应用程序的访问控制方法、装置、系统及介质 |
| CN112351005A (zh) * | 2020-10-23 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719824A (zh) * | 2009-11-24 | 2010-06-02 | 北京信息科技大学 | 一种基于网络行为检测的信任度评估系统和方法 |
| CN101729321A (zh) * | 2009-12-22 | 2010-06-09 | 北京理工大学 | 一种基于信任评估机制的动态跨域访问控制方法 |
| CN103338194A (zh) * | 2013-03-06 | 2013-10-02 | 中国电力科学研究院 | 一种基于信誉度评估的跨安全域访问控制系统和方法 |
| CN105763561A (zh) * | 2016-04-15 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种攻击防御方法和装置 |
| CN105991596A (zh) * | 2015-02-15 | 2016-10-05 | 中兴通讯股份有限公司 | 一种访问控制方法和系统 |
| CN107222433A (zh) * | 2017-04-18 | 2017-09-29 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
| CN110197062A (zh) * | 2019-05-29 | 2019-09-03 | 轲飞(北京)环保科技有限公司 | 一种虚拟机动态访问控制方法及控制系统 |
| CN110300124A (zh) * | 2019-02-02 | 2019-10-01 | 奇安信科技集团股份有限公司 | 一种访问控制方法、系统、电子设备及可读介质 |
| WO2019237523A1 (zh) * | 2018-06-11 | 2019-12-19 | 平安科技(深圳)有限公司 | 安全风险评估方法、装置、计算机设备和存储介质 |
-
2019
- 2019-12-31 CN CN201911421999.6A patent/CN111181979B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719824A (zh) * | 2009-11-24 | 2010-06-02 | 北京信息科技大学 | 一种基于网络行为检测的信任度评估系统和方法 |
| CN101729321A (zh) * | 2009-12-22 | 2010-06-09 | 北京理工大学 | 一种基于信任评估机制的动态跨域访问控制方法 |
| CN103338194A (zh) * | 2013-03-06 | 2013-10-02 | 中国电力科学研究院 | 一种基于信誉度评估的跨安全域访问控制系统和方法 |
| CN105991596A (zh) * | 2015-02-15 | 2016-10-05 | 中兴通讯股份有限公司 | 一种访问控制方法和系统 |
| CN105763561A (zh) * | 2016-04-15 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种攻击防御方法和装置 |
| CN107222433A (zh) * | 2017-04-18 | 2017-09-29 | 中国科学院信息工程研究所 | 一种基于sdn网络路径的访问控制方法及系统 |
| WO2019237523A1 (zh) * | 2018-06-11 | 2019-12-19 | 平安科技(深圳)有限公司 | 安全风险评估方法、装置、计算机设备和存储介质 |
| CN110300124A (zh) * | 2019-02-02 | 2019-10-01 | 奇安信科技集团股份有限公司 | 一种访问控制方法、系统、电子设备及可读介质 |
| CN110197062A (zh) * | 2019-05-29 | 2019-09-03 | 轲飞(北京)环保科技有限公司 | 一种虚拟机动态访问控制方法及控制系统 |
Non-Patent Citations (1)
| Title |
|---|
| 左英男: ""零信任架构在关键信息基础设施安全保护中的应用研究"", 《保密科学技术》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112115484A (zh) * | 2020-09-27 | 2020-12-22 | 中国工商银行股份有限公司 | 应用程序的访问控制方法、装置、系统及介质 |
| CN112115484B (zh) * | 2020-09-27 | 2023-11-21 | 中国工商银行股份有限公司 | 应用程序的访问控制方法、装置、系统及介质 |
| CN112351005A (zh) * | 2020-10-23 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 物联网通信方法、装置、可读存储介质及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111181979B (zh) | 2022-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
| CN110383278A (zh) | 用于检测恶意计算事件的系统和方法 | |
| CN111181979B (zh) | 访问控制方法、装置、计算机设备和计算机可读存储介质 | |
| CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US20190281064A1 (en) | System and method for restricting access to web resources | |
| CN112291258B (zh) | 网关风险控制方法及装置 | |
| CN112395612A (zh) | 一种恶意文件检测方法、装置、电子设备及存储介质 | |
| CN113010896A (zh) | 确定异常对象的方法、装置、设备、介质和程序产品 | |
| CN112016078A (zh) | 一种登录设备的封禁检测方法、装置、服务器和存储介质 | |
| CN113542442B (zh) | 一种恶意域名检测方法、装置、设备及存储介质 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| KR102213460B1 (ko) | 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법 | |
| US8364776B1 (en) | Method and system for employing user input for website classification | |
| US10511974B2 (en) | System and method of identifying potentially dangerous devices during the interaction of a user with banking services | |
| US20210133357A1 (en) | Privacy Preserving Centralized Evaluation of Sensitive User Features for Anomaly Detection | |
| CN108650249B (zh) | Poc攻击检测方法、装置、计算机设备和存储介质 | |
| CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及系统 | |
| US10984105B2 (en) | Using a machine learning model in quantized steps for malware detection | |
| KR20140089571A (ko) | 스캐닝 룰을 업데이트하는 시스템 및 방법 | |
| CN107844702B (zh) | 基于云防护环境下网站木马后门检测方法及装置 | |
| CN111953633A (zh) | 基于终端环境的访问控制方法及访问控制装置 | |
| CN111753293B (zh) | 一种操作行为监测方法、装置及电子设备和存储介质 | |
| US11928208B2 (en) | Calculation device, calculation method, and calculation program | |
| CN110413871B (zh) | 应用推荐方法、装置及电子设备 | |
| US10846395B2 (en) | Detecting suspicious application overlays on a device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Applicant after: Qianxin Wangshen information technology (Beijing) Co., Ltd Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: Qianxin Technology Group Co.,Ltd. Applicant before: Wangshen information technology (Beijing) Co., Ltd |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |