CN111209574B - 访问控制与访问行为识别方法、系统、设备及存储介质 - Google Patents

访问控制与访问行为识别方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN111209574B
CN111209574B CN201811399966.1A CN201811399966A CN111209574B CN 111209574 B CN111209574 B CN 111209574B CN 201811399966 A CN201811399966 A CN 201811399966A CN 111209574 B CN111209574 B CN 111209574B
Authority
CN
China
Prior art keywords
target data
access
application program
behavior
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811399966.1A
Other languages
English (en)
Other versions
CN111209574A (zh
Inventor
吴晓昕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201811399966.1A priority Critical patent/CN111209574B/zh
Publication of CN111209574A publication Critical patent/CN111209574A/zh
Application granted granted Critical
Publication of CN111209574B publication Critical patent/CN111209574B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供一种访问控制及访问行为识别方法、系统、设备及存储介质,其中,访问控制方法包括:接收当前应用程序在请求访问目标数据时产生的权限获取请求;从目标数据对应的访问参考信息中,获取至少一个在前应用程序对目标数据的访问行为信息;根据至少一个在前应用程序对目标数据的访问行为信息,调整当前应用程序对目标数据的访问权限;根据调整后的访问权限控制当前应用程序对目标数据的访问。本实施例中,在对目标数据进行访问控制时,综合考虑了目标数据使用全链路中的数据变化细节,并可据此动态调整应用程序的访问权限,这使得对目标数据的访问控制更加合理、更加灵活。

Description

访问控制与访问行为识别方法、系统、设备及存储介质
技术领域
本申请涉及数据安全技术领域,尤其涉及一种访问控制与访问行为识别方法、系统、设备及存储介质以及一种数据处理方法、设备及存储介质。
背景技术
目前,在数据安全领域中,通常会为不同应用程序配置不同数据资源的访问权限,每个应用程序只能访问自己拥有访问权限的数据资源内的数据。这样,当某一应用程序发起对某一数据的访问请求时,可根据该数据所在的数据资源以及该应用程序可访问的数据资源判断该应用程序对该数据是否具有访问权限,以保证该数据的安全性。
但是,这种访问控制方式比较死板,不够灵活,导致访问控制的效果不佳。
发明内容
本申请的多个方面提供一种访问控制与访问行为识别方法、系统、设备及存储介质,以提高访问控制的灵活性和合理性。
本申请实施例提供一种访问控制方法,包括:
接收当前应用程序在请求访问目标数据时产生的权限获取请求;
从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限;
根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问。
本申请实施例还提供一种访问行为识别方法,包括:
获取目标数据对应的访问参考信息,所述访问参考信息包含至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序;
若存在,将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。
本申请实施例还提供一种访问控制设备,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用以执行一条或多条计算机指令,以用于:
通过所述通信组件接收当前应用程序在请求访问目标数据时产生的权限获取请求;
从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限;
根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问。
本申请实施例还提供一种监控设备,包括存储器和处理器;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器耦合,用以执行一条或多条计算机指令,以用于:
获取目标数据对应的访问参考信息,所述访问参考信息包含至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序;
若存在,将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。
本申请实施例还提供一种访问控制系统,包括访问控制设备和监控设备;
所述访问控制设备,用于接收当前应用程序在请求访问目标数据时产生的权限获取请求;从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息;根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限;根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问;
所述监控设备,用于获取所述目标数据对应的访问参考信息;根据所述至少一个在前应用程序对所述目标数据的访问行为信息,确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序;若存在,将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。
本申请实施例还提供一种数据处理方法,包括:
计算设备,接收访问请求,其中,所述访问请求包括第一权限;
所述计算设备,根据所述访问请求,获取目标数据及目标权限;
所述计算设备,确定所述第一权限与所述目标权限满足预设条件;
所述计算设备,将所述目标数据发送给所述访问请求对应的请求端。
本申请实施例还提供一种计算设备,包括存储器和处理器;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器耦合,用以执行一条或多条计算机指令,以用于:
接收访问请求,其中,所述访问请求包括第一权限;
根据所述访问请求,获取目标数据及目标权限;
确定所述第一权限与所述目标权限满足预设条件;
将所述目标数据发送给所述访问请求对应的请求端。
本申请实施例还提供一种存储计算机指令的计算机可读存储介质,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行前述的访问控制方法。
本申请实施例还提供一种存储计算机指令的计算机可读存储介质,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行前述的访问行为识别方法。
本申请实施例还提供一种存储计算机指令的计算机可读存储介质,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行前述的数据处理方法。
在本申请实施例中,将目标数据的生命周期中发生过的访问行为承载在其对应的访问参考信息中,在应用程序访问目标数据时,可基于目标数据对应的访问参考信息调整应用程序的访问权限。因此,本实施例中,在对目标数据进行访问控制时,综合考虑了目标数据使用全链路中的数据变化细节,并可据此动态调整应用程序的访问权限,这使得对目标数据的访问控制更加合理、更加灵活。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一实施例提供的一种访问控制方法的流程示意图;
图2为本申请一实施例提供的另一种访问控制方法的流程示意图;
图3为本申请另一实施例提供的一种访问行为识别方法的流程示意图;
图4为本申请又一实施例提供的一种访问控制设备的结构示意图;
图5为本申请又一实施例提供的一种监控设备的结构示意图;
图6为本申请又一实施例提供的一种访问控制系统的结构示意图;
图7为本申请又一实施例提供的一种数据处理方法的流程示意图;
图8为本申请又一实施例提供的一种计算设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有技术中,基于数据资源的访问控制方式比较死板,不够灵活,访问控制效果不佳。在本申请的一些实施例中:将目标数据的生命周期中发生过的访问行为承载在其对应的访问参考信息中,在应用程序访问目标数据时,可基于目标数据对应的访问参考信息调整应用程序的访问权限。因此,本实施例中,在对目标数据进行访问控制时,综合考虑了目标数据使用全链路中的数据变化细节,并可据此动态调整应用程序的访问权限,这使得对目标数据的访问控制更加合理、更加灵活。
以下结合附图,详细说明本申请各实施例提供的技术方案。
图1为本申请一实施例提供的一种访问控制方法的流程示意图。如图1所示,该方法包括:
100、接收当前应用程序在请求访问目标数据时产生的权限获取请求;
101、从目标数据对应的访问参考信息中,获取至少一个在前应用程序对目标数据的访问行为信息;
102、根据至少一个在前应用程序对目标数据的访问行为信息,调整当前应用程序对目标数据的访问权限;
103、根据调整后的访问权限控制当前应用程序对目标数据的访问。
本实施例提供的访问控制方法可应用于各种需要对数据进行访问控制的场景中。例如,云存储服务器中数据的访问控制、企业服务器中数据的访问控制等等,本实施例对此不作限定。对应于不同的应用场景,本实施例中的目标数据可以存储在不同的存储设备中。例如,目标数据可以存储在上述的云存储服务器中,也可以存储在上述的企业服务器中,当然,目标数据还可以存储在其它存储设备中,本实施例对此不作限定。
另外,本实施例中,为了方便描述,以当前应用程序为例进行技术方案的说明,但应当理解的是,本实施例提供的访问控制方法适用于目标数据的生命周期中涉及到的任意应用程序。同样的,本实施例中,以目标数据为例进行技术方案的说明,但应当理解的是,本实施例提供的访问控制方法适用于需要进行访问控制的任意数据。
在本实施例中,在当前应用程序发起对目标数据的访问请求时,可产生一权限获取请求。该权限获取请求可以是当前应用程序发起的,也可以是目标数据所在的存储设备在接收到当前应用程序对目标数据的访问请求时所发起的,当然,还可以是本实施例提供的访问控制方法的实施主体在监听到当前应用程序对目标数据的访问请求时自主生成的,本实施例对此不作限定。其中,权限获取请求中可携带当前应用程序的描述信息以及目标数据的描述信息。其中,当前应用程序的描述信息可以包括名称标识、类型、调用者的ID等等,目标数据的描述信息可以包括名称标识、数据类型、安全级别等等,但本实施例并不限于此。
在接收到当前应用程序对应的权限获取请求时,可获取目标数据对应的访问参考信息。在一些实际应用中,访问参考信息可携带在目标数据的文件头中,与目标数据存储在同一存储设备中。当然,在另一些实际应用中,也可在建立访问参考信息与目标数据的关联关系后,将访问参考信息独立于目标数据进行存储。当然,本实施例中访问参考信息的存储方式也并不限于这两种。对于独立存储的情形,可在获取目标数据对应的访问参考信息的过程中,根据权限获取请求中携带的目标数据的名称标识等信息确定出其对应的访问参考信息,据此,可从访问参考信息的存储位置中查找到该访问参考信息并进行获取。
其中,访问参考信息中可包含至少一个在前应用程序对目标数据的访问行为信息。访问行为信息用于反映至少一个在前应用程序对目标数据的历史访问行为。在一些实际应用中,访问行为信息中可包含至少一个在前应用程序对目标数据的访问行为类型,例如,读行为、写行为、脱敏处理行为、加密行为等等;访问行为信息中还可包含访问行为的过程记录,例如,写行为过程中所写入数据的属性记录、读行为的持续时长等等,当然,根据实际需要,访问行为信息中可仅包含前述内容中的一部分,也可包含其它内容,本实施例对此不作限定。
值得说明的是,访问参考信息中可包含相对于当前应用程序的所有在前应用程序对目标数据的访问行为信息,这有利于确定出目标数据使用全链路中的所有数据变化细节。当然,访问参考信息中也可包含相对于当前应用程序的部分在前应用程序对目标数据的访问行为信息。例如,可预先设定可能造成目标数据发生数据变化的访问行为类型,并将发生这些访问行为类型的当前应用程序对目标数据的访问行为信息携带在目标数据对应的访问参考信息。又例如,可将访问行为的发生时间距离当前应用程序的访问时间最近的几个在前应用程序对目标数据的访问行为信息携带在目标数据对应的访问参考信息。当然,本实施例并不限于此。
从而可根据目标数据的变化细节来调整当前应用程序对目标数据的访问权限。在根据目标数据的访问参考信息调整当前应用程序对目标数据的访问权限时,可以是在基于本领域中现有的访问控制方式所确定出的当前应用程序对目标数据的访问权限的基础上进行权限调整,当然,也可以是结合其它权限参考条件来进行权限调整,本实施例对此不作限定。在对当前应用对目标数据的访问权限进行合理调整后,可根据调整后的访问权限控制当前应用程序对目标数据的访问。
本实施例中,基于数据资源的访问控制方式比较死板,不够灵活,访问控制效果不佳。在本申请的一些实施例中:将目标数据的生命周期中发生过的访问行为承载在其对应的访问参考信息中,在应用程序访问目标数据时,可基于目标数据对应的访问参考信息调整应用程序的访问权限。因此,本实施例中,在对目标数据进行访问控制时,综合考虑了目标数据使用全链路中的数据变化细节,并可据此动态调整应用程序的访问权限,这使得对目标数据的访问控制更加合理、更加灵活。
在上述或下述实施例中,可将当前应用程序对目标数据的访问行为信息更新至访问参考信息中,用以调整后续应用程序对目标数据的访问权限。
本实施例中,可在当前应用程序访问目标数据的过程中,记录当前应用程序对目标数据的访问行为信息。其中,访问行为信息中包含的内容可参考前文,在此不再赘述。而且,可将记录的当前应用程序对目标数据的访问行为信息更新至目标数据对应的访问参考信息中。对于当前应用程序的后续应用程序来说,当前应用程序对目标数据的访问行为信息将作为调整这些后续应用程序对目标数据的访问权限的参考。
在一些实际应用中,当目标数据对应的访问参考信息携带在目标数据的文件头中时,可以旁路的方式将当前应用程序对目标数据的访问行为信息写入目标文件的文件头中。例如,可调用目标数据所在的存储设备的调用接口,将当前应用程序对目标数据的访问行为信息写入目标文件的文件头中,这样,访问行为信息的更新过程和当前应用程序对目标数据的访问过程相互独立,互不影响,可避免访问行为信息的更新过程对当前应用程序对目标数据的访问过程的影响。
同理,用于调整当前应用程序对目标数据的访问权限的访问参考信息中所包含的至少一个在前应用程序对目标数据的访问行为信息,也可采用更新的方式添加到目标数据对应的访问参考信息。更新方式可参照当前应用程序的更新方式,在此不再赘述。
值得说明的是,将至少一个在前应用程序对目标数据的访问行为信息更新至目标数据对应的访问参考信息中的更新时机可以有多种。在一些实现方式中,可在在前应用访问目标数据的过程中或访问过程结束后,即将访问行为信息更新至目标数据对应的访问参考信息。在另一些实现方式中,也可在在前应用访问目标数据的过程中或访问过程结束后,暂存访问行为信息,并在处理任务空闲时或定期将访问行为信息更新至目标数据对应的访问参考信息,本实施对此不作限定。
本实施例中,通过将应用程序对目标数据的访问行为更新至目标数据对应的访问参考信息中,可保持访问参考信息中内容的新鲜度,据此,可在访问控制时基于最新、最全的目标数据的变化细节来确定访问控制结果,这使得访问控制更加的合理,更加的准确。
在上述或下述实施例中,还可预先设置目标数据对应的基础访问权限配置规则,目标数据对应的基础访问权限配置规则可与目标数据关联保存。例如,可参考访问参考信息与目标数据的关联存储方式,将基础访问权限配置规则携带在目标数据的文件头中,或者在建立基础访问权限配置规则与目标数据的关联关系后,将基础访问权限配置规则独立于目标数据进行存储,且本实施例并不限于此。这样,目标数据对应的访问参考信息及基础访问权限配置规则,将在目标数据的生命周期中,与目标数据一同流动,并且,可共同作为调整当前应用程序对目标数据的访问权限的依据。另外,为了避免恶意应用程序通过篡改目标数据对应的访问参考信息或基础访问权限配置规则的方式达到恶意访问的目的,可将目标数据对应的访问参考信息及基础访问权限配置规则进行加密保存。关于目标数据对应的基础访问权限配置规则的预先配置方案将在后文中详述。
据此,在根据至少一个在前应用程序对目标数据的访问行为信息,调整当前应用程序对目标数据的访问权限过程中,可根据目标数据对应的基础访问权限配置规则,确定当前应用程序对目标数据的基础访问权限;并根据至少一个在前应用程序对目标数据的访问行为信息及当前应用程序对目标数据的基础访问权限,确定当前应用程序对目标数据的访问权限。
其中,在根据至少一个在前应用程序对目标数据的访问行为信息及当前应用程序对目标数据的基础访问权限,确定当前应用程序对目标数据的访问权限时,可根据至少一个在前应用程序对目标数据的访问行为信息,调整当前应用程序对目标数据的基础访问权限,以得到调整后的访问权限。也可单独基于至少一个在前应用程序对目标数据的访问行为信息确定出当前应用程序对目标数据可具有的访问权限,并将确定出的当前应用程序对目标数据可具有的访问权限以及当前应用程序对目标数据的基础访问权限进行加权求和或求平均值等叠加计算处理,并根据叠加计算处理的结果确定当前应用程序对目标数据的访问权限。当然,还可采用其它实现方式,本实施例对此不作限定。
为了确定当前应用程序对目标数据的基础访问权限,可基于目标数据对应的基础访问权限配置规则,根据当前应用程序本身的各项属性及目标数据的各项属性,确定当前应用程序对目标数据的基础访问权限。例如,当前应用程序的类型为视频类,目标数据的安全级别为最低级时,若目标数据对应的基础访问权限配置规则中规定视频类应用程序只具有读权限且数据的安全级别为最低级时可开放所有访问权限,则综合当前应用程序层面和目标数据层面的权限配置结果,可确定当前应用程序对目标数据的基础访问权限为读权限。
考虑到通常是由用户调用应用程序来发起对目标数据的访问请求,本实施例中,在应用程序层面和数据层面基础上,还可从访问角色层面分析应用程序应当具有的访问权限。
本实施例中,可确定当前应用程序的调用者的访问角色;根据目标数据对应的基础访问权限配置规则,确定调用者的访问角色对目标数据的初始访问权限;根据目标数据对应的基础访问权限配置规则,确定当前应用程序对目标数据的初始访问权限;基于调用者的访问角色对目标数据的初始访问权限以及当前应用程序对目标数据的初始访问权限,确定当前应用程序对目标数据的基础访问权限。
如前文记载,权限获取请求中可携带应用程序的调用者ID,基于应用程序的调用者ID可确定应用程序的调用者的访问角色。在一些实际应用中,可预先建立各调用者ID与各访问角色之间的对应关系,据此,可根据应用程序的调用者ID查找到该调用者的访问角色,当然,还可采用其它实现方式确定应用程序调用者的访问角色,本实施例对此不做限定。另外,访问角色是指各种类型的用户账号扮演的角色。例如,对于数据的拥有者来说,其主账号对应的访问角色可以是管理员角色,其创建的某一子账号对应的访问角色可以是财务角色,可以是运维角色,当然还可定义其扮演其它角色。对于临时账号来说,其对应的访问角色为临时访客等等,本实施例对此不作限定。根据不同应用场景,可使用不同的用户账号扮演同一访问角色,而在同一应用场景中,同一用户账号也可使用不同的访问角色,本实施例对此也不做限定。用户账号的访问角色可由数据的拥有者根据安全需求自定义,当然也可根据其它需求或由其它主体进行定义。
在确定出当前应用程序的调用者当访问角色后,可从访问角色层面、应用程序层面以及数据层面进行基础访问权限的综合分析,以确定出更合理、更准确的基础访问权限。
在利用目标数据对应的基础访问权限配置规则之前,可预先设置目标数据对应的基础访问权限配置规则。根据不同的基础访问权限配置需求,可在基础访问权限配置规则中设定不同的配置层面。配置层面可以有应用程序层面、访问角色层面及数据层面等,当然,还可以有其它配置层面,本实施例对此不作限定。相应地,上文中虽然仅介绍了依据应用程序层面、访问角色层面及数据层面对基础访问权限进行分析的实施方式,但本实施例并不限于此,当基础访问权限配置规则中包含其它配置层面时,本实施例也可将其它配置层面作为分析依据。
以目标数据对应的基础访问权限配置规则中设定的配置层面包括应用程序层面、访问角色层面及数据层面为例,本实施例中,可根据目标数据的内容,确定目标数据的数据类型;根据目标数据的数据类型及目标数据所属行业的安全需求,确定目标数据的安全级别;基于目标数据拥有者的安全需求,建立一个或多个应用程序与安全级别之间的权限关系以及一个或多个访问角色与安全级别之间的权限关系,作为目标数据对应的基础访问权限配置规则。
在一些实际应用中,为了提高目标数据的分类和分级的准确性,可对目标数据拥有者的所有或部分数据进行无监督聚类,据此可获得至少一个数据类型,在此基础上,可通过人工干预的形式对无监督聚类后获得的至少一个数据类型进行修正,并通过机器学习算法记忆这些人工干预的过程,以优化聚类效果。当然,本实施例中,还可采用其它聚类方式对数据进行聚类,本实施例对此不作限定。之后,可根据每个数据类型所属行业领域的安全需求,为每个数据类型下的数据配置不同的安全级别。其中,数据类型及安全级别可以标签的形式携带在数据的访问参考信息中。据此,可确定出目标数据对应的数据类型及安全级别。
本实施例中,可采用多种实现方式建立一个或多个应用程序与安全级别之间的权限关系以及一个或多个访问角色与安全级别之间的权限关系。以下提供一种可选的实现方式,但本实施例并不限于此:目标数据对应的基础访问权限配置规则可实现为映射表的形式,在映射表中建立条件与结果的映射关系。其中,条件可包括目标数据的相关属性,例如数据类型、安全级别等,还可包括应用程序的相关属性,例如名称标识、类型等,还可包含访问角色的相关属性,例如角色标识、类型等,当然,还可以是其它条件。其中,结果可以是访问权限调整方式,当然也可以是访问权限结果,本实施例对此不作限定。据此,可建立一个或多个应用程序与安全级别之间的权限关系以及一个或多个访问角色与安全级别之间的权限关系。
基于上述实现方式所预先配置的目标数据对应的基础访问权限配置规则,本实施例中,可在目标数据的访问参考信息中携带目标数据的数据类型和安全级别,据此,可从至少一个在前应用程序对目标数据的访问行为信息中,获取至少一个在前应用程序对目标数据的访问行为类型;根据至少一个在前应用程序对目标数据的访问行为类型,判断至少一个在前应用程序对目标数据的访问行为是否会引起目标数据的安全级别发生变化;若判断结果为是,根据至少一个在前应用程序对目标数据的访问行为类型调整访问参考信息中的目标数据的安全级别,并根据目标数据调整后的安全级别对当前应用程序对目标数据的基础访问权限进行调整,得到调整后的访问权限。
如前文记载,在前应用程序对目标数据的访问行为可能引起目标数据变化,而目标数据的变化,可能导致目标数据的安全级别发生变化。据此,可根据在前应用程序对目标数据的访问行为类型调整目标数据的安全级别,并可将调整后的安全级别更新至目标数据的访问参考信息中。
其中,可预先设定不同访问行为类型对应的安全级别调整策略。例如,若至少一个在前应用程序对目标数据的访问行为类型包括脱敏行为类型,则降低目标数据的安全级别。又例如,若至少一个在前应用程序对目标数据的访问行为类型包括写入更高安全级别内容的行为类型,则提高目标数据的安全级别。其中,安全等级降低或提高的程度可根据实际需要进行设定,例如,对于脱敏行为类型,可设定将目标数据的安全级别降低两级。又例如,对于写入更高安全级别内容的行为类型,可设定将目标数据的安全等级调整为所写入的内容对应的安全级别。当然,这仅是示例性的,本实施例中所采用安全级别调整策略并不限于此。
当目标数据的安全级别发生变化时,可按预设的调整策略调整当前应用程序对目标数据的基础访问权限。例如,可按照调整前的安全级别及目标数据对应的基础访问权限配置规则确定出当前应用程序对目标数据的基础访问权限,并可在目标数据的安全级别降低,放宽当前应用程序对目标数据的基础访问权限,以得到当前应用程序对目标数据的访问权限;还可在目标数据的安全级别升高,收缩当前应用程序对目标数据的基础访问权限,以得到当前应用程序对目标数据的访问权限。又例如,可按照调整后的安全级别及目标数据对应的基础访问权限配置规则确定出当前应用程序对目标数据的基础访问权限,并作为当前应用程序对目标数据的访问权限。
据此,可实现根据目标数据对应的访问参考信息调整当前应用程序对目标数据的基础访问权限,以得到调整后的访问权限。
在上述或下述实施例中,还可将目标数据对应的访问参考信息发送至监控设备,以供监控设备根据访问参考信息确定是否存在对目标数据的访问行为异常的异常应用程序;接收监控设备在确定存在异常应用程序时发送的异常行为提示信息,异常行为提示信息包括异常应用程序的标识信息和异常行为类型;根据异常行为类型调整异常应用程序对目标数据的访问权限。其中,当目标数据对应的访问参考信息存储在非本地位置时,可首选获取目标数据对应的访问参考信息,之后再将目标数据对应的访问参考信息发送至监控设备,也可控制目标数据对应的访问参考信息所在的存储设备将目标数据对应的访问参考信息发送至监控设备。
本实施例中,基于目标数据对应的访问参考信息中所包含的一个或多个应用程序对目标数据的访问行为信息,可将访问参考信息作为数据防护的依据。在一些实际应用中,可将应用程序对目标数据的访问行为类型以及根据本实施例提供的访问控制方法所确定出的应用程序对目标数据的访问权限等内容携带在访问行为信息中。这样,监控设备可根据访问参考信息中的访问行为信息及其它信息,审计针对目标数据发生的访问行为,并发现异常行为。
当接收到监控设备发送的异常行为提示信息时,可根据预设的风险控制策略调整异常应用程序的访问权限,例如,可调整目标数据对应的基础访问权限配置规则中,异常应用程序与各安全级别的权限关系,将异常应用程序对应各安全级别的权限全部降低。
尤其是针对当前应用程序,可通过监控设备对当前应用程序的访问行为进行监控,可在当前应用程序对目标数据发生异常访问行为时,及时获知该异常访问行为,并及时阻断该异常访问行为,从而实现数据的主动防护。
图2为本申请一实施例提供的另一种访问控制方法的流程示意图。图2中以两个应用程序为例对目标数据的访问控制过程进行了展示,如图2所示,首先对目标数据进行数据扫描,以确定目标数据的数据分类及安全等级等属性信息,之后将目标数据的属性信息(图2中的meta data0)携带在访问参考信息中,同时,预置的基础访问控制配置规则也与目标数据关联。应用1为目标数据生命周期中第一个发起访问请求的应用,因此,可根据目标数据对应的基础访问控制配置规则及访问参考信息中的目标数据的属性信息,确定出应用1对目标数据的访问权限。应用1访问目标数据的过程中所产生的访问行为信息(图2中得meta data1)将更新至目标数据对应的访问参考信息中。之后,应用2发起对目标数据的访问请求,此时,可根据更新后的访问行为信息(图2中得meta data1)、目标数据的属性信息(图2中的meta data0)及目标数据对应的基础访问控制配置规则来确定应用2对目标数据的访问权限。应用2访问目标数据的过程中所产生的访问行为信息(图2中得meta data2)将更新至目标数据对应的访问参考信息中。在目标数据对应的访问参考信息产生时将目标数据对应的访问参考信息发送至监控设备,并可在目标数据对应的访问参考信息发生更新时将监控设备中的目标数据对应的访问参考信息进行更新,以供监控设备根据访问参考信息确定是否存在对目标数据的访问行为异常的异常应用程序。
图3为本申请另一实施例提供的一种访问行为识别方法的流程示意图。如图3所示,该方法包括:
300、获取目标数据对应的访问参考信息,访问参考信息包含至少一个应用程序对目标数据的访问行为信息;
301、根据至少一个应用程序对目标数据的访问行为信息,确定至少一个应用程序中是否存在对目标数据的访问行为异常的异常应用程序;
302、若存在,将异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出异常行为提示信息。
本实施例提供的访问行为识别方法可应用于各种访问行为识别场景中,例如,数据访问控制过程中的异常行为识别场景。当然,本实施例并不限于此。
本实施例中,可定期获取目标数据对应的访问参考信息,也可接收访问参考信息所在的设备主动发送的目标数据对应的访问参考信息。其中,目标数据对应的访问参考信息中可包含至少一个应用程序对目标数据的访问行为信息,当然,目标数据的访问参考信息中还可包含目标数据的属性信息等其它内容,例如,目标数据的数据类型、安全级别等。
本实施例中,可根据至少一个应用程序对目标数据的访问行为信息,还可结合目标数据对应的访问参考信息中的其它内容,审计至少一个应用程序对目标数据的访问行为,当发现异常访问行为时,定位发起异常访问行为的应用程序,并将其确定为异常应用程序。其中,异常访问行为包括尝试进行超越访问权限的操作行为、在异常时间或异常地点发起访问的行为、频繁访问的行为或者大规模访问的行为等等,当然,本实施例并不限于此。
基于发现的异常访问行为,可将异常行为类型和异常应用程序的标识信息添加到异常行为提示信息中,并输出异常行为提示信息。其中,可在本实施例提供的访问行为识别方法的实施主体中展示异常行为提示信息,管理人员可根据异常行为提示信息进行风险控制,例如,调整异常应用程序的访问权限等。也可将异常行为提示信息输出至访问控制设备,以供访问控制设备根据异常行为提示信息中包含的异常行为类型调整异常应用程序对目标数据的访问权限。
其中,当目标数据对应的访问参考信息中包含至少一个在前应用程序对目标数据的访问行为信息时,本实施例可识别出针对目标数据发生的历史访问行为中存在的异常访问行为,从而可基于识别出的异常访问行为调整在前应用程序的访问权限。当目标数据对应的访问参考信息中包含当前应用程序对目标数据的访问行为信息时,本实施例可识别出当前应用程序对目标数据正在进行的访问行为是否为异常访问行为,若为异常访问行为,可及时发出报警或其它处理,例如,可及时通知访问控制设备或管理人员,以及时阻断当前应用程序的异常访问行为,从而可实现数据的主动防护。
在上述或下述实施例中,可从至少一个应用程序对目标数据的访问行为信息中,获取至少一个应用程序对目标数据的访问行为类型;根据至少一个应用程序对目标数据的访问行为类型,确定至少一个应用程序对目标数据的访问行为是否超出其对目标数据的访问权限,以确定至少一个应用程序中是否存在对目标数据的访问行为异常的异常应用程序。
本实施例中,访问行为信息中可包括应用程序对目标数据的访问行为类型,当然,还可包括其它与应用程序对目标数据的访问行为相关的内容。访问行为信息中还可包含应用程序对目标数据的访问权限,当然,应用程序对目标数据的访问权限也可不包含在访问行为信息中,而以其它数据形式携带在访问参考信息中,或者,本实施例提供的访问行为识别方法的实施主体也可从其它途径获取到应用程序对目标数据的访问权限。其中,此处所指的应用程序对目标数据的访问权限可以是根据前述实施例中提供的访问控制方法所确定的应用程序对目标数据的访问权限。而且,对于同一应用程序而言,当其对目标数据发起过多次访问请求时,每次访问请求所分配到的访问权限可能不完全相同。
例如,当前应用程序对目标数据的访问参考信息中可包含当前应用程序对目标数据的访问行为类型,以及当前应用程序所具有的对目标数据的访问权限。当前应用程序对目标数据的访问权限可以是根据目标数据对应的访问参考信息调整后的权限。其中,当前应用程序对目标数据的访问权限的确定过程可参考前述各实施例中提供的访问控制方法,在此不再赘述。
若根据至少一个应用程序对目标数据的访问行为类型,确定存在对目标数据的访问行为超出其对目标数据的访问权限的应用程序,则将这类应用程序确定为异常应用程序。
例如,若当前应用程序对目标数据的访问行为类型为写行为,而当前应用程序对目标数据仅具有读权限而不具有写权限,则可认为当前应用程序的实际访问行为超出了其应具有的访问权限,据此可将当前应用程序确定为异常应用程序。
另外,正如上文提及的,本实施例中,可根据至少一个应用程序对目标数据的访问行为信息,还可结合目标数据对应的访问参考信息中的其它内容,审计至少一个应用程序对目标数据的访问行为。在依据访问行为信息审计应用程序的访问行为的基础上,还可基于目标数据对应的访问参考信息中的其它内容来综合审计应用程序的访问行为,从而更加合理的确定出异常访问行为。
例如,若根据访问行为信息确定出一在前应用程序曾经发起过对目标数据的读行为,在读行为发生时,该在前应用程序并不具有读行为的权限,因此,基于访问行为信息,该在前应用程序应当被确定为异常应用程序。但是,在该当前应用程序之后,目标数据被执行了脱敏处理,脱敏处理改变了目标数据的安全等级,在当前,该在前应用程序可被允许对目标数据进行读行为,基于此,该在前应用程序可被确定为正常应用程序,而无需修改访问权限。
据此。在综合考虑目标数据对应的访问参考信息中包含的各方面的内容基础上,可更加合理的审计应用程序对目标数据的访问行为,并更精准地确定出异常应用程序。
图4为本申请又一实施例提供的一种访问控制设备的结构示意图。如图4所示,该访问控制设备包括:存储器40、处理器41以及通信组件42。
存储器40,用于存储计算机程序,并可被配置为存储其它各种数据以支持在蓝牙设备上的操作。这些数据的示例包括用于在蓝牙设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,信息,图片,视频等。
存储器40可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器41,与存储器40和通信组件42耦合,用于执行存储器50中的计算机程序,以用于:
通过通信组件42接收当前应用程序在请求访问目标数据时产生的权限获取请求;
从目标数据对应的访问参考信息中,获取至少一个在前应用程序对目标数据的访问行为信息;
根据至少一个在前应用程序对目标数据的访问行为信息,调整当前应用程序对目标数据的访问权限;
根据调整后的访问权限控制当前应用程序对目标数据的访问。
在一可选实施例中,处理器41还用于:
将当前应用程序对目标数据的访问行为信息更新至访问参考信息中,用以调整后续应用程序对目标数据的访问权限。
在一可选实施例中,处理器41在从目标数据对应的访问参考信息中,获取至少一个在前应用程序对目标数据的访问行为信息之前,还用于:
在至少一个在前应用程序访问目标数据过程中,记录至少一个在前应用程序对目标数据的访问行为信息;
将至少一个在前应用程序对目标数据的访问行为信息添加至目标数据对应的访问参考信息中。
在一可选实施例中,处理器41在根据至少一个在前应用程序对目标数据的访问行为信息,调整当前应用程序对目标数据的访问权限时,用于:
根据目标数据对应的基础访问权限配置规则,确定当前应用程序对目标数据的基础访问权限;
根据至少一个在前应用程序对目标数据的访问行为信息,调整当前应用程序对目标数据的基础访问权限,以得到调整后的访问权限。
在一可选实施例中,处理器41在根据目标数据对应的基础访问权限配置规则,确定当前应用程序对目标数据的基础访问权限时,用于:
确定当前应用程序的调用者的访问角色;
根据目标数据对应的基础访问权限配置规则,确定调用者的访问角色对目标数据的初始访问权限;
根据目标数据对应的基础访问权限配置规则,确定当前应用程序对目标数据的初始访问权限;
基于调用者的访问角色对目标数据的初始访问权限以及当前应用程序对目标数据的初始访问权限,确定当前应用程序对目标数据的基础访问权限。
在一可选实施例中,处理器41在根据目标数据对应的基础访问权限配置规则,确定当前应用程序对目标数据的基础访问权限之前,还用于:
根据目标数据的内容,确定目标数据的数据类型;
根据目标数据的数据类型及目标数据所属行业的安全需求,确定目标数据的安全级别;
基于目标数据拥有者的安全需求,建立一个或多个应用程序与安全级别之间的权限关系以及一个或多个访问角色与安全级别之间的权限关系,作为目标数据对应的基础访问权限配置规则。
在一可选实施例中,目标数据的访问参考信息中包含目标数据的数据类型和安全级别,处理器41在根据至少一个在前应用程序对目标数据的访问行为信息,调整当前应用程序对目标数据的基础访问权限,以得到调整后的访问权限时,用于:
从至少一个在前应用程序对目标数据的访问行为信息中,获取至少一个在前应用程序对目标数据的访问行为类型;
根据至少一个在前应用程序对目标数据的访问行为类型,判断至少一个在前应用程序对目标数据的访问行为是否会引起目标数据的安全级别发生变化;
若判断结果为是,根据至少一个在前应用程序对目标数据的访问行为类型调整访问参考信息中的目标数据的安全级别,并根据目标数据调整后的安全级别对当前应用程序对目标数据的基础访问权限进行调整,得到调整后的访问权限。
在一可选实施例中,处理器41在根据至少一个在前应用程序对目标数据的访问行为类型调整目标数据的安全级别时,用于:
若至少一个在前应用程序对目标数据的访问行为类型包括脱敏行为类型,则降低目标数据的安全级别;或者
若至少一个在前应用程序对目标数据的访问行为类型包括写入更高安全级别内容的行为类型,则提高目标数据的安全级别。
在一可选实施例中,处理器41在根据目标数据调整后的安全级别对当前应用程序对目标数据的基础访问权限进行调整,得到调整后的访问权限时,用于:
若目标数据的安全级别降低,放宽当前应用程序对目标数据的基础访问权限,以得到调整后的访问权限;
若目标数据的安全级别升高,收缩当前应用程序对目标数据的基础访问权限,以得到调整后的访问权限。
在一可选实施例中,处理器41还用于:
将目标数据对应的访问参考信息发送至监控设备,以供监控设备根据访问参考信息确定是否存在对目标数据的访问行为异常的异常应用程序;
接收监控设备在确定存在异常应用程序时发送的异常行为提示信息,异常行为提示信息包括异常应用程序的标识信息和异常行为类型;
根据异常行为类型调整异常应用程序对目标数据的访问权限。
进一步,如图4所示,该访问控制设备还包括:电源组件43等其它组件。图4中仅示意性给出部分组件,并不意味着访问控制设备只包括图4所示组件。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由访问控制设备执行的各步骤。
图5为本申请又一实施例提供的一种监控设备的结构示意图。如图5所示,该监控设备包括:存储器50、处理器51。
存储器50,用于存储计算机程序,并可被配置为存储其它各种数据以支持在蓝牙设备上的操作。这些数据的示例包括用于在蓝牙设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,信息,图片,视频等。
存储器50可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器51,与存储器50耦合,用于执行存储器50中的计算机程序,以用于:
获取目标数据对应的访问参考信息,访问参考信息包含至少一个应用程序对目标数据的访问行为信息;
根据至少一个应用程序对目标数据的访问行为信息,确定至少一个应用程序中是否存在对目标数据的访问行为异常的异常应用程序;
若存在,将异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出异常行为提示信息。
在一可选实施例中,处理器51在根据至少一个应用程序对目标数据的访问行为信息,确定至少一个应用程序中是否存在对目标数据的访问行为异常的异常应用程序时,用于:
从至少一个应用程序对目标数据的访问行为信息中,获取至少一个应用程序对目标数据的访问行为类型;
根据至少一个应用程序对目标数据的访问行为类型,确定至少一个应用程序对目标数据的访问行为是否超出其对目标数据的访问权限,以确定至少一个应用程序中是否存在对目标数据的访问行为异常的异常应用程序。
进一步,如图5所示,该监控设备还包括:通信组件52、电源组件53等其它组件。图5中仅示意性给出部分组件,并不意味着监控设备只包括图5所示组件。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由监控设备执行的各步骤。
其中,图4和图5中的通信组件被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件还包括基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现的近场通信(NFC)模块,以促进短程通信。
其中,图4和图5中的电源组件,为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源,及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。
图6为本申请又一实施例提供的一种访问控制系统的结构示意图,如图6所示,该访问控制系统可包括:访问控制设备60和监控设备61;
访问控制设备60,用于将目标数据对应的访问参考信息发送至监控设备61,访问控制信息中包含至少一个应用程序对目标数据的访问行为信息;接收监控设备61在确定存在异常应用程序时发送的异常行为提示信息,异常行为提示信息包括异常应用程序的标识信息和异常行为类型;根据异常行为类型调整异常应用程序对目标数据的访问权限;
监控设备61,用于获取目标数据对应的访问参考信息;根据至少一个应用程序对目标数据的访问行为信息,确定至少一个应用程序中是否存在对目标数据的访问行为异常的异常应用程序;若存在,将异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出异常行为提示信息至访问控制设备60。
值得说明的是,虽然本实施例中只描述了访问控制设备60与监控设备61之间交互过程,但在本实施例提供的访问控制系统中,访问控制设备60和监控设备61还可独立执行其它操作,例如,访问控制设备60可调整当前应用程序对目标数据的访问权限,等等。关于访问控制设备60和监控设备61可独立执行的其它操作,可参见本文中前述的相关实施例,在此不再赘述。另外,访问控制设备60与监控设备61之间交互过程中的技术细节也可基于本文中前述的相关实施例中的描述而确定,在此也不再赘述。但这些都应当属于本申请的保护范围之内。
图7为本申请又一实施例提供的一种数据处理方法的流程示意图。如图7所示,该方法包括:
700、计算设备,接收访问请求,其中,访问请求包括第一权限;
701、计算设备,根据访问请求,获取目标数据及目标权限;
702、计算设备,确定第一权限与目标权限满足预设条件;
703、计算设备,将目标数据发送给访问请求对应的请求端。
本实施例中,计算设备在接收到针对目标数据的访问请求时,可获取访问请求中包含的第一权限。其中,第一权限可以是访问请求所请求的数据处理权限,例如,读权限、写权限、修改数据名称权限等等。当然,第一权限还可以是访问请求所请求的其它类型的权限,本实施例对此不作限定。
根据访问请求,计算设备可获取目标数据及目标权限。其中,目标权限可根据前文各实施例提供的访问控制方法来确定,也即是根据目标数据对应的访问参考信息来确定访问请求对应的目标权限,具体过程在此不再赘述。
据此,计算设备可确定访问请求包含的第一权限与目标数据对应的目标权限是否满足预设条件,并在满足该预设条件时,将目标数据发送给访问请求对应的请求端,以完成对访问请求的响应。
为了提高计算设备所确定出的目标权限的精准度,本实施例中,访问请求中还可包含第二权限,第二权限包括请求端ID,目标权限为目标权限数据集,目标权限数据集包括多个请求端ID及一个请求端ID对应的一个或多个目标权限。
据此,计算设备可根据访问请求包含的第一权限和第二权限以及目标权限数据集来确定第一权限与目标权限是否满足预设条件。以下将以第二权限中包含的请求段ID为例,对确定第一权限与目标权限是否满足预设条件的操作进行说明。
计算设备可根据第二权限包含的请求端ID,检索目标权限数据集。
当请求端ID未包含在目标权限数据集中时,确定第一权限与目标权限不满足预设条件。这种情况下,计算设备将拒绝当次访问请求。
当请求端ID包含在目标权限数据集中,则基于目标权限数据集,确定请求端ID对应的一个或多个目标权限,并判断当次访问请求包含的第一权限是否属于请求端ID对应的一个或多个目标权限。如果判断结果为否,则确定第一权限与目标权限不满足预设条件,计算设备可拒绝当次访问请求;如果判断结果为是,则确定第一权限与目标权限满足预设条件,计算设备可将目标数据发送给请求端ID对应的请求端。
其中,目标权限数据集中的请求端ID对应的一个或多个目标权限可根据前文各实施例提供的访问控制方法来确定,也即是,可根据目标数据对应的访问参考信息确定请求端ID对应的一个或多个目标权限。可选地,请求端ID可映射至应用程序类型、访问角色等等层面,从而可根据前文各实施例提供的访问控制方法从各个层面来确定请求端ID对应的一个或多个目标权限。据此确定出的目标权限将更加合理、更加精准。
另外,为了进一步保证目标数据的安全,本实施例中,目标权限数据集还包括一个请求端ID对应的一个或多个通信协议。
计算设备可根据请求端ID,检索目标权限数据集,获取请求端ID对应的一个或多个通信协议;将目标数据,基于通信协议,发送给访问请求对应的请求端。
当确定第一权限与目标权限符合预设条件时,计算设备可基于目标权限数据集,确定访问请求对应的请求端所被允许的一个或多个通信协议,并在响应当次访问请求时,按照确定出的通信协议将目标数据发送至请求端,从而进一步保证目标数据的安全性,防止数据泄露。
图8为本申请又一实施例提供的一种计算设备的结构示意图。如图8所示,该计算设备包括:存储器80、处理器81和通信组件82。
存储器80,用于存储计算机程序,并可被配置为存储其它各种数据以支持在蓝牙设备上的操作。这些数据的示例包括用于在蓝牙设备上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,信息,图片,视频等。
存储器80可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
处理器81,与存储器80和通信组件82耦合,用于执行存储器80中的计算机程序,以用于:
通过通信组件82接收访问请求,其中,访问请求包括第一权限;
根据访问请求,获取目标数据及目标权限;
确定第一权限与目标权限满足预设条件;
通过通信组件将目标数据发送给访问请求对应的请求端。
在一可选实施例中,访问请求还包括第二权限,第二权限包括请求端ID;目标权限为目标权限数据集,目标权限数据集包括多个请求端ID及一个请求端ID对应的一个或多个目标权限。
在一可选实施例中,处理器81在确定第一权限与目标权限满足预设条件时,用于:
根据请求端ID,检索目标权限数据集,获取请求端ID对应的一个或多个目标权限;
确定第一权限属于一个或多个目标权限。
在一可选实施例中,目标权限数据集还包括一个请求端ID对应的一个或多个通信协议。
在一可选实施例中,处理器81在通过通信组件82将目标数据发送给访问请求对应的请求端时,用于:
根据请求端ID,检索目标权限数据集,获取请求端ID对应的一个或多个通信协议;
将目标数据,基于通信协议,通过通信组件82发送给访问请求对应的请求端。
进一步,如图8所示,该监控设备还包括:电源组件83等其它组件。图8中仅示意性给出部分组件,并不意味着计算设备只包括图8所示组件。
其中,图8中的通信组件82,被配置为便于通信组件所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件还包括基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现的近场通信(NFC)模块,以促进短程通信。
其中,图8中的电源组件83,为电源组件所在设备的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源,及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。
相应地,本申请实施例还提供一种存储有计算机程序的计算机可读存储介质,计算机程序被执行时能够实现上述方法实施例中可由计算设备执行的各步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (34)

1.一种访问控制方法,其特征在于,包括:
接收当前应用程序在请求访问目标数据时产生的权限获取请求;
从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限;
根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问。
2.根据权利要求1所述的方法,其特征在于,还包括:
将所述当前应用程序对所述目标数据的访问行为信息更新至所述访问参考信息中,用以调整后续应用程序对所述目标数据的访问权限。
3.根据权利要求1所述的方法,其特征在于,在所述从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息之前,还包括:
在所述至少一个在前应用程序访问所述目标数据过程中,记录所述至少一个在前应用程序对所述目标数据的访问行为信息;
将所述至少一个在前应用程序对所述目标数据的访问行为信息添加至所述目标数据对应的访问参考信息中。
4.根据权利要求1所述的方法,其特征在于,所述根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限,包括:
根据所述目标数据对应的基础访问权限配置规则,确定所述当前应用程序对所述目标数据的基础访问权限;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的基础访问权限,以得到调整后的访问权限。
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标数据对应的基础访问权限配置规则,确定所述当前应用程序对所述目标数据的基础访问权限,包括:
确定所述当前应用程序的调用者的访问角色;
根据所述目标数据对应的基础访问权限配置规则,确定所述调用者的访问角色对所述目标数据的初始访问权限;
根据所述目标数据对应的基础访问权限配置规则,确定所述当前应用程序对所述目标数据的初始访问权限;
基于所述调用者的访问角色对所述目标数据的初始访问权限以及所述当前应用程序对所述目标数据的初始访问权限,确定所述当前应用程序对所述目标数据的基础访问权限。
6.根据权利要求4所述的方法,其特征在于,在所述根据所述目标数据对应的基础访问权限配置规则,确定所述当前应用程序对所述目标数据的基础访问权限之前,还包括:
根据所述目标数据的内容,确定所述目标数据的数据类型;
根据所述目标数据的数据类型及所述目标数据所属行业的安全需求,确定所述目标数据的安全级别;
基于所述目标数据拥有者的安全需求,建立一个或多个应用程序与所述安全级别之间的权限关系以及一个或多个访问角色与所述安全级别之间的权限关系,作为所述目标数据对应的基础访问权限配置规则。
7.根据权利要求6所述的方法,其特征在于,所述目标数据的访问参考信息中包含所述目标数据的数据类型和安全级别,所述根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的基础访问权限,以得到调整后的访问权限,包括:
从所述至少一个在前应用程序对所述目标数据的访问行为信息中,获取所述至少一个在前应用程序对所述目标数据的访问行为类型;
根据所述至少一个在前应用程序对所述目标数据的访问行为类型,判断所述至少一个在前应用程序对所述目标数据的访问行为是否会引起所述目标数据的安全级别发生变化;
若判断结果为是,根据所述至少一个在前应用程序对所述目标数据的访问行为类型调整所述访问参考信息中的所述目标数据的安全级别,并根据所述目标数据调整后的安全级别对所述当前应用程序对所述目标数据的基础访问权限进行调整,得到调整后的访问权限。
8.根据权利要求7所述的方法,其特征在于,所述根据所述至少一个在前应用程序对所述目标数据的访问行为类型调整所述目标数据的安全级别,包括:
若所述至少一个在前应用程序对所述目标数据的访问行为类型包括脱敏行为类型,则降低所述目标数据的安全级别;或者
若所述至少一个在前应用程序对所述目标数据的访问行为类型包括写入更高安全级别内容的行为类型,则提高所述目标数据的安全级别。
9.根据权利要求8所述的方法,其特征在于,所述根据所述目标数据调整后的安全级别对所述当前应用程序对所述目标数据的基础访问权限进行调整,得到调整后的访问权限,包括:
若所述目标数据的安全级别降低,放宽所述当前应用程序对所述目标数据的基础访问权限,以得到调整后的访问权限;
若所述目标数据的安全级别升高,收缩所述当前应用程序对所述目标数据的基础访问权限,以得到调整后的访问权限。
10.根据权利要求1-9任一项所述的方法,其特征在于,还包括:
将所述目标数据对应的访问参考信息发送至监控设备,以供所述监控设备根据所述访问参考信息确定是否存在对所述目标数据的访问行为异常的异常应用程序;
接收所述监控设备在确定存在异常应用程序时发送的异常行为提示信息,所述异常行为提示信息包括异常应用程序的标识信息和异常行为类型;
根据所述异常行为类型调整所述异常应用程序对所述目标数据的访问权限。
11.一种访问行为识别方法,其特征在于,包括:
获取目标数据对应的访问参考信息,所述访问参考信息包含至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序;
若存在,将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。
12.根据权利要求11所述的方法,其特征在于,所述根据所述至少一个在前应用程序对所述目标数据的访问行为信息,确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序,包括:
从所述至少一个在前应用程序对所述目标数据的访问行为信息中,获取所述至少一个在前应用程序对所述目标数据的访问行为类型;
根据所述至少一个在前应用程序对所述目标数据的访问行为类型,确定所述至少一个在前应用程序对所述目标数据的访问行为是否超出其对所述目标数据的访问权限,以确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序。
13.一种访问控制设备,其特征在于,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用以执行一条或多条计算机指令,以用于:
通过所述通信组件接收当前应用程序在请求访问目标数据时产生的权限获取请求;
从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限;
根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问。
14.根据权利要求13所述的设备,其特征在于,所述处理器还用于:
将所述当前应用程序对所述目标数据的访问行为信息更新至所述访问参考信息中,用以调整后续应用程序对所述目标数据的访问权限。
15.根据权利要求13所述的设备,其特征在于,所述处理器在从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息之前,还用于:
在所述至少一个在前应用程序访问所述目标数据过程中,记录所述至少一个在前应用程序对所述目标数据的访问行为信息;
将所述至少一个在前应用程序对所述目标数据的访问行为信息添加至所述目标数据对应的访问参考信息中。
16.根据权利要求13所述的设备,其特征在于,所述处理器在根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限时,用于:
根据所述目标数据对应的基础访问权限配置规则,确定所述当前应用程序对所述目标数据的基础访问权限;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的基础访问权限,以得到调整后的访问权限。
17.根据权利要求16所述的设备,其特征在于,所述处理器在根据所述目标数据对应的基础访问权限配置规则,确定所述当前应用程序对所述目标数据的基础访问权限时,用于:
确定所述当前应用程序的调用者的访问角色;
根据所述目标数据对应的基础访问权限配置规则,确定所述调用者的访问角色对所述目标数据的初始访问权限;
根据所述目标数据对应的基础访问权限配置规则,确定所述当前应用程序对所述目标数据的初始访问权限;
基于所述调用者的访问角色对所述目标数据的初始访问权限以及所述当前应用程序对所述目标数据的初始访问权限,确定所述当前应用程序对所述目标数据的基础访问权限。
18.根据权利要求16所述的设备,其特征在于,所述处理器在根据所述目标数据对应的基础访问权限配置规则,确定所述当前应用程序对所述目标数据的基础访问权限之前,还用于:
根据所述目标数据的内容,确定所述目标数据的数据类型;
根据所述目标数据的数据类型及所述目标数据所属行业的安全需求,确定所述目标数据的安全级别;
基于所述目标数据拥有者的安全需求,建立一个或多个应用程序与所述安全级别之间的权限关系以及一个或多个访问角色与所述安全级别之间的权限关系,作为所述目标数据对应的基础访问权限配置规则。
19.根据权利要求18所述的设备,其特征在于,所述目标数据的访问参考信息中包含所述目标数据的数据类型和安全级别,所述处理器在根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的基础访问权限,以得到调整后的访问权限时,用于:
从所述至少一个在前应用程序对所述目标数据的访问行为信息中,获取所述至少一个在前应用程序对所述目标数据的访问行为类型;
根据所述至少一个在前应用程序对所述目标数据的访问行为类型,判断所述至少一个在前应用程序对所述目标数据的访问行为是否会引起所述目标数据的安全级别发生变化;
若判断结果为是,根据所述至少一个在前应用程序对所述目标数据的访问行为类型调整所述访问参考信息中的所述目标数据的安全级别,并根据所述目标数据调整后的安全级别对所述当前应用程序对所述目标数据的基础访问权限进行调整,得到调整后的访问权限。
20.根据权利要求19所述的设备,其特征在于,所述处理器在根据所述至少一个在前应用程序对所述目标数据的访问行为类型调整所述目标数据的安全级别时,用于:
若所述至少一个在前应用程序对所述目标数据的访问行为类型包括脱敏行为类型,则降低所述目标数据的安全级别;或者
若所述至少一个在前应用程序对所述目标数据的访问行为类型包括写入更高安全级别内容的行为类型,则提高所述目标数据的安全级别。
21.根据权利要求20所述的设备,其特征在于,所述处理器在根据所述目标数据调整后的安全级别对所述当前应用程序对所述目标数据的基础访问权限进行调整,得到调整后的访问权限时,用于:
若所述目标数据的安全级别降低,放宽所述当前应用程序对所述目标数据的基础访问权限,以得到调整后的访问权限;
若所述目标数据的安全级别升高,收缩所述当前应用程序对所述目标数据的基础访问权限,以得到调整后的访问权限。
22.根据权利要求13-21任一项所述的设备,其特征在于,所述处理器还用于:
将所述目标数据对应的访问参考信息发送至监控设备,以供所述监控设备根据所述访问参考信息确定是否存在对所述目标数据的访问行为异常的异常应用程序;
接收所述监控设备在确定存在异常应用程序时发送的异常行为提示信息,所述异常行为提示信息包括异常应用程序的标识信息和异常行为类型;
根据所述异常行为类型调整所述异常应用程序对所述目标数据的访问权限。
23.一种监控设备,其特征在于,包括存储器和处理器;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器耦合,用以执行一条或多条计算机指令,以用于:
获取目标数据对应的访问参考信息,所述访问参考信息包含至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序;
若存在,将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。
24.根据权利要求23所述的设备,其特征在于,所述处理器在根据所述至少一个在前应用程序对所述目标数据的访问行为信息,确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序时,用于:
从所述至少一个在前应用程序对所述目标数据的访问行为信息中,获取所述至少一个在前应用程序对所述目标数据的访问行为类型;
根据所述至少一个在前应用程序对所述目标数据的访问行为类型,确定所述至少一个在前应用程序对所述目标数据的访问行为是否超出其对所述目标数据的访问权限,以确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序。
25.一种访问控制系统,其特征在于,包括访问控制设备和监控设备;
所述访问控制设备,用于接收当前应用程序在请求访问目标数据时产生的权限获取请求;从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息;根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限;根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问;
所述监控设备,用于获取所述目标数据对应的访问参考信息;根据所述至少一个在前应用程序对所述目标数据的访问行为信息,确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序;若存在,将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。
26.一种存储计算机指令的计算机可读存储介质,其特征在于,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行权利要求1~10任一项所述的访问控制方法。
27.一种存储计算机指令的计算机可读存储介质,其特征在于,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行权利要求11-12任一项所述的访问行为识别方法。
28.一种数据处理方法,其特征在于,包括:
计算设备,接收访问请求,其中,所述访问请求包括第一权限;
所述计算设备,根据所述访问请求,获取目标数据及目标权限;
所述计算设备,确定所述第一权限与所述目标权限满足预设条件;
所述计算设备,将所述目标数据发送给所述访问请求对应的请求端;
其中,获取所述目标权限的过程包括:
接收当前应用程序在请求访问所述目标数据时产生的权限获取请求;
从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限,作为所述目标权限。
29.根据权利要求28所述的方法,其特征在于,其中,所述访问请求还包括第二权限,所述第二权限包括所述请求端ID;
所述目标权限为目标权限数据集,所述目标权限数据集包括多个请求端ID及一个请求端ID对应的一个或多个目标权限。
30.根据权利要求29所述的方法,其特征在于,确定所述第一权限与所述目标权限满足预设条件,包括:
根据所述请求端ID,检索目标权限数据集,获取所述请求端ID对应的一个或多个目标权限;
确定所述第一权限属于所述一个或多个目标权限。
31.根据权利要求30所述的方法,其特征在于,其中,所述目标权限数据集还包括一个请求端ID对应的一个或多个通信协议。
32.根据权利要求31所述的方法,其特征在于,将所述目标数据发送给所述访问请求对应的请求端,包括:
根据所述请求端ID,检索目标权限数据集,获取所述请求端ID对应的一个或多个通信协议;
将所述目标数据,基于所述通信协议,发送给所述访问请求对应的请求端。
33.一种计算设备,其特征在于,包括存储器、处理器和通信组件;
所述存储器用于存储一条或多条计算机指令;
所述处理器与所述存储器和所述通信组件耦合,用以执行一条或多条计算机指令,以用于:
通过所述通信组件接收访问请求,其中,所述访问请求包括第一权限;
根据所述访问请求,获取目标数据及目标权限;
确定所述第一权限与所述目标权限满足预设条件;
通过所述通信组件将所述目标数据发送给所述访问请求对应的请求端;
其中,所述处理器在获取所述目标权限时,用于:
接收当前应用程序在请求访问所述目标数据时产生的权限获取请求;
从所述目标数据对应的访问参考信息中,获取至少一个在前应用程序对所述目标数据的访问行为信息;
根据所述至少一个在前应用程序对所述目标数据的访问行为信息,调整所述当前应用程序对所述目标数据的访问权限,作为所述目标权限。
34.一种存储计算机指令的计算机可读存储介质,其特征在于,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行权利要求28-32任一项所述的数据处理方法。
CN201811399966.1A 2018-11-22 2018-11-22 访问控制与访问行为识别方法、系统、设备及存储介质 Active CN111209574B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811399966.1A CN111209574B (zh) 2018-11-22 2018-11-22 访问控制与访问行为识别方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811399966.1A CN111209574B (zh) 2018-11-22 2018-11-22 访问控制与访问行为识别方法、系统、设备及存储介质

Publications (2)

Publication Number Publication Date
CN111209574A CN111209574A (zh) 2020-05-29
CN111209574B true CN111209574B (zh) 2023-06-20

Family

ID=70784085

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811399966.1A Active CN111209574B (zh) 2018-11-22 2018-11-22 访问控制与访问行为识别方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN111209574B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112199666B (zh) * 2020-09-30 2023-02-03 江苏恒宝智能系统技术有限公司 设备通信方法、装置、系统和电子设备
CN114510291B (zh) * 2022-01-27 2023-10-24 百度在线网络技术(北京)有限公司 数据调用方法、装置、电子设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106951795A (zh) * 2016-01-07 2017-07-14 阿里巴巴集团控股有限公司 一种应用程序数据访问隔离方法及装置
CN107798252A (zh) * 2017-10-27 2018-03-13 维沃移动通信有限公司 一种文件访问方法及移动终端
CN108427886A (zh) * 2018-01-25 2018-08-21 上海掌门科技有限公司 一种应用程序访问权限设置方法、系统、设备及可读介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090313079A1 (en) * 2008-06-12 2009-12-17 Microsoft Corporation Managing access rights using projects
WO2014160715A1 (en) * 2013-03-26 2014-10-02 Jvl Ventures, Llc Systems, methods, and computer program products for managing access control
US10936740B2 (en) * 2016-02-11 2021-03-02 Global Software Innovation Pty Ltd Systems and methods for securing an entity-relationship system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106951795A (zh) * 2016-01-07 2017-07-14 阿里巴巴集团控股有限公司 一种应用程序数据访问隔离方法及装置
CN107798252A (zh) * 2017-10-27 2018-03-13 维沃移动通信有限公司 一种文件访问方法及移动终端
CN108427886A (zh) * 2018-01-25 2018-08-21 上海掌门科技有限公司 一种应用程序访问权限设置方法、系统、设备及可读介质

Also Published As

Publication number Publication date
CN111209574A (zh) 2020-05-29

Similar Documents

Publication Publication Date Title
CN108809775B (zh) 对智能设备进行控制的方法及设备
US20200356682A1 (en) Method, a system, a device and a readable medium for setting access permission for an application
CN111209575B (zh) 数据保护方法、生成方法、传输方法、设备及存储介质
US8095112B2 (en) Adjusting security level of mobile device based on presence or absence of other mobile devices nearby
CN102033744B (zh) 用于控制用户的场景信息的使用的方法和设备
CN110909373B (zh) 一种访问控制方法、设备、系统及存储介质
US20190342289A1 (en) Network Authentication Method and Apparatus
US11138323B2 (en) Blockchain-based content management system, method, apparatus, and electronic device
CN104580344A (zh) 用于生成资源访问控制决策的方法和系统
CN111209574B (zh) 访问控制与访问行为识别方法、系统、设备及存储介质
CN110069911B (zh) 访问控制方法、装置、系统、电子设备和可读存储介质
US11184773B2 (en) Security auditing system and method
US11258826B2 (en) Policy separation
US10097629B2 (en) Methods, systems, devices, and products for peer recommendations
US20150020167A1 (en) System and method for managing files
EP3477526B1 (en) Method and system for securely controlling access to data
CN109495397B (zh) 流量控制方法及装置
KR101059058B1 (ko) 위치 기반 서비스 접근 제어 장치, 방법 및 시스템
WO2020173266A1 (en) Method for creating and managing permissions for accessing yang data in yang-based datastores.
US11630809B2 (en) Method and system for using micro objects
CN113761581A (zh) 区块链中的权限管控方法、装置和电子设备
CN113726617A (zh) 用于控制设备的方法及相关装置、计算机可读介质
US20200042731A1 (en) Method for blocking access of malicious application and storage device implementing the same
CN117201498A (zh) 一种基于微服务架构的资产管理系统
CN116756775A (zh) 文件的管理方法、装置、存储介质以及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant