CN111488594A - 一种基于云服务器的权限检查方法、装置、存储介质及终端 - Google Patents
一种基于云服务器的权限检查方法、装置、存储介质及终端 Download PDFInfo
- Publication number
- CN111488594A CN111488594A CN202010140849.4A CN202010140849A CN111488594A CN 111488594 A CN111488594 A CN 111488594A CN 202010140849 A CN202010140849 A CN 202010140849A CN 111488594 A CN111488594 A CN 111488594A
- Authority
- CN
- China
- Prior art keywords
- authority
- cloud server
- detected
- resource type
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000010586 diagram Methods 0.000 claims abstract description 49
- 238000013475 authorization Methods 0.000 claims description 42
- 238000004590 computer program Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000009191 jumping Effects 0.000 description 3
- 102100023513 Flotillin-2 Human genes 0.000 description 2
- 101000828609 Homo sapiens Flotillin-2 Proteins 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 101001087274 Solanum lycopersicum Pto-interacting protein 1 Proteins 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于云服务器的权限检查方法、装置、存储介质及终端,所述方法包括:获取待检测云服务器所配置的委托权限集合;获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合;通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的日志信息;基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合;根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对应的权限集合生成权限策略图;将所述权限策略图和所述委托权限集合进行对比检查,输出检查结果。因此,采用本申请实施例,可以降低委托权限被误用的安全风险。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种基于云服务器的权限检查方法、 装置、存储介质及终端。
背景技术
云服务委托权限是指云服务通过委托授权的方式所获得访问其他云服务的 权限。公有云上的各个云服务之间存在业务的交互关系,有些云服务需要调用 其他云服务来进行协同工作,因此,公有云提供基于临时凭证的云服务委托功 能,用户使用云服务委托可以将操作权限授权给云服务,实现对其他云服务的 访问操作,如华为云的委托授权、阿里云的RAM(Resource Access Management)。 通过委托授权,云服务会自动获取用户的临时访问密钥,以避免把密钥(AK/SK) 暴露在配置文件中所产生的安全风险。云服务通过委托授权的方式获得的权限, 就是委托权限。
目前,对于云环境下的访问控制权限的研究主要是针对权限策略本身的语 法、结构化语言的优化等方面,云上用户可通过配置委托权限的方式给云服务 授权,使其拥有访问其他云服务的权限,但是,由于权限配置项繁多,用户若 对系统的权限策略语法和规则不熟悉,很容易为云服务配置了过高的委托权限, 导致云服务拥有了多于业务需求的不必要访问权限,从而提高了委托权限被误 用的安全风险。
发明内容
本申请实施例提供了一种基于云服务器的权限检查方法、装置、存储介质 及终端。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单 的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘 这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为 后面的详细说明的序言。
第一方面,本申请实施例提供了一种基于云服务器的权限检查方法,所述 方法包括:
获取待检测云服务器所配置的委托权限集合;
获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集 合;
通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的日志 信息;
基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合;
根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对应的权 限集合生成权限策略图;
将所述权限策略图和所述委托权限集合进行对比检查,输出检查结果。
可选的,所述获取待检测云服务器的委托权限集合之前,还包括:
通过预设应用程序接口获取委托权限配置信息;
根据所述委托权限配置信息获取待检测云服务器的授权项名称;
基于所述授权项名称检索所述授权项的权限策略名称,生成权限策略列表;
将所述权限策略列表进行遍历,获取所述权限策略列表中各权限策略的资 源类型,生成资源类型集合;
将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应 的可访问资源类型集合。
可选的,所述将所述权限策略图和所述委托权限集合进行对比检查,输出 检查结果之后,还包括:
将所述检查结果发送至客户端进行显示。
第二方面,本申请实施例提供了一种基于云服务器的权限检查装置,其特 征在于,所述装置包括:
第一集合获取模块,用于获取待检测云服务器所配置的委托权限集合;
第二集合获取模块,用于获取所述待检测云服务器所配置的委托权限集合 对应的可访问资源类型集合;
信息产生模块,用于通过配置日志采集引擎,获取所述待检测云服务器的 实际业务产生的日志信息;
第一集合生成模块,用于基于所述日志信息生成所述待检测云服务器的实 际业务对应的权限集合;
策略图生成模块,用于根据所述可访问资源类型集合对应的逻辑结构,将 所述实际业务对应的权限集合生成权限策略图;
结果输出模块,用于将所述权限策略图和所述委托权限集合进行对比检查, 输出检查结果。
可选的,所述装置还包括:
信息获取模块,用于通过预设应用程序接口获取委托权限配置信息;
名称获取模块,用于根据所述委托权限配置信息获取待检测云服务器的授 权项名称;
列表生成模块,用于基于所述授权项名称检索所述授权项的权限策略名称, 生成权限策略列表;
第二集合生成模块,用于将所述权限策略列表进行遍历,获取所述权限策 略列表中各权限策略的资源类型,生成资源类型集合;
第三集合生成模块,用于将所述资源类型集合进行合并后生成所述待检测 云服务器所委托权限对应的可访问资源类型集合。
可选的,所述装置还包括:
结果发送模块,用于将所述检查结果发送至客户端进行显示。
第三方面,本申请实施例提供一种计算机存储介质,所述计算机存储介质 存储有多条指令,所述指令适于由处理器加载并执行上述的方法步骤。
第四方面,本申请实施例提供一种终端,可包括:处理器和存储器;其中, 所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行 上述的方法步骤。
本申请实施例提供的技术方案可以包括以下有益效果:
在本申请实施例中,用户终端首先获取待检测云服务器所配置的委托权限 集合,再获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类 型集合,通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的 日志信息,然后基于所述日志信息生成所述待检测云服务器的实际业务对应的 权限集合,根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对 应的权限集合生成权限策略图,最后将所述权限策略图和所述委托权限集合进 行对比检查,输出检查结果。由于本申请基于日志分析、云API接口调用、权 限分析等技术手段和方法,分析云服务器访问其他云服务的委托权限配置情况, 以帮助用户检查云服务器所分配的委托权限是否合理,从而降低委托权限被误用的安全风险。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的, 并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明 的实施例,并与说明书一起用于解释本发明的原理。
图1是本申请实施例提供的一种基于云服务器的权限检查方法的流程示意 图;
图2是本申请实施例提供的一种策略检查模块处理流程图;
图3是本申请实施例提供的某云服务器的授权项名称示意图;
图4是本申请实施例提供的权限策略列表示意图;
图5是本申请实施例提供的权限策略Pt2资源类型示意图;
图6是本申请实施例提供的对象存储服务实例日志记录示例图;
图7A和图7B是本申请实施例提供的云审计服务日志记录示例图;
图8是本申请实施例提供的云服务器委托访问云资源的权限策略示意图;
图9是本申请实施例提供的委托权限策略获取示意图;
图10是本申请实施例提供的一种基于云服务器的权限检查的系统逻辑示 意图;
图11是本申请实施例提供的另一种基于云服务器的权限检查方法的流程 示意图;
图12是本申请实施例提供的一种基于云服务器的权限检查装置的结构示 意图;
图13是本申请实施例提供的另一种基于云服务器的权限检查装置的结构 示意图;
图14是本申请实施例提供的一种终端的结构示意图。
具体实施方式
以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人 员能够实践它们。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实 施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前 提下所获得的所有其它实施例,都属于本发明保护的范围。
下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同 或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一 致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本发明的 一些方面相一致的装置和方法的例子。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述 目的,而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言, 可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中, 除非另有说明,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联 关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同 时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一 种“或”的关系。
到目前为止,对于云环境下的访问控制权限的研究主要是针对权限策略本 身的语法、结构化语言的优化等方面,云上用户可通过配置委托权限的方式给 云服务授权,使其拥有访问其他云服务的权限,但是,由于权限配置项繁多, 用户若对系统的权限策略语法和规则不熟悉,很容易为云服务配置了过高的委 托权限,导致云服务拥有了多于业务需求的不必要访问权限,从而提高了委托 权限被误用的安全风险。为此,本申请提供了一种基于云服务器的权限检查方 法、装置、存储介质及终端,以解决上述相关技术问题中存在的问题。本申请 提供的技术方案中,由于本申请基于日志分析、云API接口调用、权限分析等 技术手段和方法,分析云服务器访问其他云服务的委托权限配置情况,以帮助 用户检查云服务器所分配的委托权限是否合理,从而降低委托权限被误用的安 全风险,下面采用示例性的实施例进行详细说明。
下面将结合附图1-附图11,对本申请实施例提供的基于云服务器的权限检 查方法进行详细介绍。该方法可依赖于计算机程序实现,可运行于基于冯诺依 曼体系的基于云服务器的权限检查装置上。该计算机程序可集成在应用中,也 可作为独立的工具类应用运行。其中,本申请实施例中的基于云服务器的权限 检查装置可以为用户终端,包括但不限于:个人电脑、平板电脑、手持设备、 车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备等。 在不同的网络中用户终端可以叫做不同的名称,例如:用户设备、接入终端、 用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终 端、终端、无线通信设备、用户代理或用户装置、蜂窝电话、无绳电话、个人 数字处理(personaldigital assistant,PDA)、5G网络或未来演进网络中的 终端设备等。
请参见图1,为本申请实施例提供了一种基于云服务器的权限检查方法的 流程示意图。如图1所示,本申请实施例的所述方法可以包括以下步骤:
S101,获取待检测云服务器所配置的委托权限集合;
其中,云服务器是由CPU、内存、操作系统、云硬盘组成的最基础的计算 组件。云服务器创建成功后,用户可以像使用自己的本地PC或物理服务器一样, 在云上使用服务器。
在本申请实施例中,用户终端首先通过预设API接口(应用程序接口)获 取委托权限配置信息,然后根据委托权限配置信息获取待检测云服务器的授权 项名称,再基于授权项名称检索授权项的权限策略名称,生成权限策略列表, 然后将权限策略列表进行遍历,获取权限策略列表中各权限策略的资源类型, 生成资源类型集合,最后将资源类型集合进行合并生成待检测云服务器所委托 权限对应的可访问资源类型集合。
S102,获取所述待检测云服务器所配置的委托权限集合对应的可访问资源 类型集合;
在一种可能的实现方式中,例如图2所示,用户终端首先读取委托权限配 置信息,再获取待测云服务器授权项名称,然后检索权限策略名称,获取权限 策略列表P,再遍历权限策略列表,获取每个权限策略列表对应的资源类型集 合Pti,最后合并资源类型集合,得到待测云服务器被委托权限的可访问资源 类型集合T。
具体的,用户终端首先调用云平台提供的API接口读取委托权限配置信息, 查询待测云服务器的授权项名称,再根据授权项名称,检索授权项的权限策略 名称,形成权限策略列表P=[P1,P2,…,Pn](n>=1,n为整数),然后依次遍历权 限策略列表,读取每个权限策略的内容,以Pi(1=<i<=n,i为整数)为例,提 取权限策略Pi中的资源类型,形成权限策略Pi的资源类型集合 Pti={Pti1,Pti2,...,Ptim}(1=<i<=n,i为整数;m>=1,m为整数),最后依次获 取并计算所有资源类型集合的并集,剔除重复项,即为待测云服务器被委托授 权的可访问资源类型集合T=(Pt1∪Pt2∪...∪Ptn)。
例如,以华为云为例,例如图3所示,某云服务器的授权项名称为test_ecs, 查询该委托授权项的权限策略名称,例如图4所示,得到权限策略列表的项包 括”obs_read_for_custom”,”OBS_Operator”,即权限策略列表为 P=[”obs_read_for_custom”,”OBS_Operator”]。依次遍历权限策略列表P, 提取每个权限策略中的资源类型,以权限策略Pt2为例,提取其资源类型集合 为Pt2,剔除Pt2中的重复项,得到Pt2={“obs:bucket”,”obs:object”}, 例如图5所示。获取并计算所有资源类型集合的并集,剔除重复项,即为待测 云服务器被委托授权的可访问资源类型集合T=Pt1∪Pt2。
S103,通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生 的日志信息;
在本申请实施例中,日志采集主要功能是配置日志采集引擎,获取云服务 器实际业务产生的日志信息,并从中提取与委托权限相关的日志记录。该功能 的具体流程如下:
①读取待测云服务器的可访问资源类型集合T的子项值,比如读取T的子 项值为”obs:bucket”;查询并匹配“云服务类型与关键字对应列表”的“云 服务类型关键字”项,如果匹配成功,则获取云服务类型。通过字符串匹配云 服务类型的关键字“obs”,确定对象存储服务是可访问的云服务类型。依次遍 历可访问资源集合T,执行该步骤,直至获取所有的可访问云服务类型,形成 可访问云服务列表。
云服务类型与关键字对应列表的示例如下。
表1云服务与关键字对应列表示例
②根据可访问服务类型列表,依次调用每个云服务类型对应的API接口, 获取每个云服务类型对应的云服务实例名称列表。比如,可访问服务类型列表 包括对象存储服务、文件服务,则分别调用对象存储服务、文件服务的API接 口,获取对象存储服务、文件服务对应的所有云服务实例名称列表。
表2云服务实例名称列表示例
③遍历云服务实例名称列表,为对应的云服务实例配置相应的日志采集引 擎,包括设置日志采集的配置文件、配置日志采集规则、启动采集引擎,以采 集云服务实例的日志信息。若配置成功,则设置日志采集引擎状态为Ture,若 配置失败,则设置日志采集引擎状态为False。其中,云审计日志采集引擎是 通过配置追踪器的方式,采集多个云服务实例的日志信息。对象存储日志采集 引擎是通过配置对象存储服务的日志采集代理,收集单个对象存储服务实例的 日志信息。
④依次获取每一类云服务实例的日志文件,检索云服务器委托的日志记录, 即为云服务器委托相关的日志记录。比如,华为云的云服务委托的关键字符串 是“op_svc_ecs”,检索“op_svc_ecs”,若匹配成功,则该条日志记录即为云 服务器委托相关的日志记录。
⑤进一步地,以云服务器的“委托名称”值作为关键字设置日志信息过滤 规则,若日志记录中检索到“委托名称”值,则提取该条日志记录。比如,“委 托名称”值为“test_ecs”,则检索包含“test_ecs”的日志记录。
⑥对上一步获取到的日志记录内容进行预处理,提取的关键字段内容,至 少包括源地址、访问时间、操作名称、访问资源名称。
比如,通过对象存储服务日志采集引擎,获取对象存储服务实例test---zm 的日志信息,通过检索“委托名称”的值“test_ecs”,获取到相应的日志记录, 并提取关键字段内容,包括源地址、访问时间、操作名称、访问资源名称。例 如图6所示,图6是对象存储服务实例日志记录示例。
比如,通过云审计服务日志采集引擎,调用API接口获取资产的日志信息, 获取test---zm的日志信息。例如图7A和7B所示的云审计服务日志记录示例。
⑦根据云服务类型进行日志归类,将提取的内容存储到委托访问日志数据 库中。源地址是指访问云服务实例的云服务器实例的地址信息,源地址是用于 识别发起访问的云服务器的身份信息;访问时间是指云服务器访问操作发起的 时间;操作名称是指发起的访问操作的类型,比如GET.OBJECT是指获取一个对 象;访问资源名称是指访问的云服务资源的名称,以对象存储服务为例,日志 信息中解析出的test---zm是桶名称,123.jpeg是对象名称,则访问资源名称 为test---zm:123.jpeg。
表3委托访问日志数据库表示例
S104,基于所述日志信息生成所述待检测云服务器的实际业务对应的权限 集合;
在本申请实施例中,基于步骤S103可得到采集的日志信息,在得到日志信 息后,通过分析日志信息得到的实际业务所需权限。
S105,根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对 应的权限集合生成权限策略图;
在本申请实施例中,多个云服务器允许共用一个委托权限,云服务器被授 予委托权限后,具备了访问其他云服务的权限,在实际的业务中会访问对象存 储服务、文件服务等资源。云服务器通过委托权限访问其他云服务资源的权限 策略图的逻辑结构例如图8所示。
在一种可行的实现方式中,构建生成权限策略图实施步骤如下:
①读取委托访问日志数据库,按照源地址进行分类,并将源地址对应的云 服务器作为[1]级节点构建权限策略图。
②依次遍历并取出[1]级节点对应的数据库表项。比如提取源地址ECS1对 应的数据库表项为Table1,则Table1中记录的是与ECS1对应的委托访问相关 的数据信息。
③将取出的数据库表项按照云服务类型进行分类,并将每一类云服务作为 权限策略图的[2]级节点。
④依次遍历并取出[2]级节点对应的数据库表项。
⑤将取出的数据库表项按照云服务实例进行分类,并将每一个实例作为权 限策略图的[3]级节点。
⑥依次遍历并取出[3]级节点对应的数据库表项。
⑦从数据库表项中提取出<资源名称,权限>二元组作为[4]级节点,连接到 对应的[3]级父节点之下,其中,这里的资源名称为“访问资源名称”,权限为 “操作名称”。
⑧检查[3]级节点数据库表项是否遍历完成,若未遍历全部云服务器类型, 则跳转到第⑥步。
⑨检查[2]级节点数据库表项是否遍历完成,若未遍历全部云服务器类型, 则跳转到第④步。
⑩检查委托访问日志数据库[1]级节点云服务器是否遍历完成,若未遍历全 部的[1]级节点,则跳转到第②步。
执行完上述步骤后,待测委托权限相关的云服务器的权限策略图构建完成, 该权限策略图即为云服务器实际维持正常业务所需的权限策略。
S106,将所述权限策略图和所述委托权限集合进行对比检查,输出检查结 果。
在一种可行的实现方式中,申请过多的委托权限有可能被恶意程序使用, 存在安全风险,结合权限策略树的结果,与委托权限分配的权限策略进行对比 分析,用户可对申请的不合理权限进行修改和调整。
进一步地,具体对比检查分析流程如下,①读取[1]级节点的元素,若[1] 级节点数量大于1,则说明多个云服务器与待测云服务器采用了同一个委托权 限,若在后续分析过程中出检查出权限分配不合理情况,应重新为云服务器分 配新的委托策略,不可在原有委托权限上直接修改,以免影响其他云服务器的 正常业务;若[1]级节点数量为1,则说明只有待测云服务器采用了该委托权限, 则可以在原有委托权限上直接修改和调整权限策略。②获取委托权限策略,依 次取出权限策略中所有的云服务类型,构成云服务类型集合,假设云服务类型 集合为B。查询委托访问日志数据库中的日志采集引擎项的取值,将取值为 False的云服务类型从集合B中移出,即B=(B-日志采集引擎取值为False的 云服务类型),例如图9所示。③取出权限策略图的[2]级节点云服务的集合, 假设[2]级节点云服务集合为C,则集合(B-C)的结果即为云服务器过量申请 却未使用的云服务,若(B-C)为空,则未申请过量的云服务。④依次遍历权限 策略图的[3]级节点,结合用户实际业务需求配置权限粒度,检查委托权限配置 是否合理。比如,若[3]级节点中仅包含部分云服务实例,则表明维持正常业务 仅需访问该部分的云服务实例,对比分析委托权限,若委托权限所配置可访问 云服务的范畴大于[3]级节点,则可予以修改和调整,仅配置[3]级节点出现的 云服务实例即可,若配置的可访问服务过多容易引入安全风险。⑤依次遍历权 限策略图的[3]级节点、[4]级节点。读取[4]级节点中的权限信息,形成对应的 [3]级节点的权限信息集合D,检查委托权限中为对应的云服务所配置的权限集 合E,若所配置的委托权限集合E大于权限集合D,则集合(E-D)的结果即为 对应的云服务过量分配的委托权限。用户可结合业务需求,对委托权限策略进 行修改和调整。⑥结合[4]级节点的<资源名称,权限>的二元组的分析结果,用 户可配置更加细粒度的委托权限,比如,若在实际业务中仅需要对某几个资源 进行访问,则仅针对维持业务所必需的云服务资源配置访问权限。
例如图10所示,图10为一种基于云服务器的权限检查的系统逻辑流程图, 当对待检测云上资产进行分析时,日志采集模块中的基本配置单元进行配置、 在通过日志采集引擎采集日志输入分析对比模块。策略检查模块通过配置信息 采集进行委托权限策略分析,将分析结果输入日志采集模块和分析对比模块。 最后日志分析对比模块进行日志信息关联分析生成权限策略图,然后生成维持 正常业务所需权限集合,最后进行对比分析,分析后将分析结果输出。
在本申请实施例中,用户终端首先获取待检测云服务器所配置的委托权限 集合,再获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类 型集合,通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的 日志信息,然后基于所述日志信息生成所述待检测云服务器的实际业务对应的 权限集合,根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对 应的权限集合生成权限策略图,最后将所述权限策略图和所述委托权限集合进 行对比检查,输出检查结果。由于本申请基于日志分析、云API接口调用、权 限分析等技术手段和方法,分析云服务器访问其他云服务的委托权限配置情况, 以帮助用户检查云服务器所分配的委托权限是否合理,从而降低委托权限被误用的安全风险。
请参见图11,为本申请实施例提供的一种基于云服务器的权限检查的流程 示意图。本实施例以基于云服务器的权限检查应用于用户终端中来举例说明。 该基于云服务器的权限检查可以包括以下步骤:
S201,通过预设应用程序接口获取委托权限配置信息;
S202,根据所述委托权限配置信息获取待检测云服务器的授权项名称;
S203,基于所述授权项名称检索所述授权项的权限策略名称,生成权限策 略列表;
S204,将所述权限策略列表进行遍历,获取所述权限策略列表中各权限策 略的资源类型,生成资源类型集合;
S205,将所述资源类型集合进行合并后生成所述待检测云服务器所委托权 限对应的可访问资源类型集合。
S206,获取待检测云服务器所配置的委托权限集合;
S207,获取所述待检测云服务器所配置的委托权限集合对应的可访问资源 类型集合;
S208,通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生 的日志信息;
S209,基于所述日志信息生成所述待检测云服务器的实际业务对应的权限 集合;
S210,根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对 应的权限集合生成权限策略图;
S211,将所述权限策略图和所述委托权限集合进行对比检查,输出检查结 果。
在本申请实施例中,用户终端首先获取待检测云服务器所配置的委托权限 集合,再获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类 型集合,通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的 日志信息,然后基于所述日志信息生成所述待检测云服务器的实际业务对应的 权限集合,根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对 应的权限集合生成权限策略图,最后将所述权限策略图和所述委托权限集合进 行对比检查,输出检查结果。由于本申请基于日志分析、云API接口调用、权 限分析等技术手段和方法,分析云服务器访问其他云服务的委托权限配置情况, 以帮助用户检查云服务器所分配的委托权限是否合理,从而降低委托权限被误用的安全风险。
下述为本发明系统实施例,可以用于执行本发明方法实施例。对于本发明 系统实施例中未披露的细节,请参照本发明方法实施例。
请参见图10,其示出了本发明一个示例性实施例提供的基于云服务器的权 限检查系统的逻辑示意图。该基于云服务器的权限检查系统可以通过软件、硬 件或者两者的结合实现成为终端的全部或一部分。该系统包括策略检查模块、 日志采集模块和分析对比模块。
策略检查模块,用于通过预设应用程序接口读取委托权限配置信息,根据 所述委托权限配置信息获取待检测云服务器的授权项名称,基于所述授权项名 称检索所述授权项的权限策略名称,生成权限策略列表;将所述权限策略列表 进行遍历,获取所述权限策略列表中各权限策略的资源类型,生成资源类型集 合;将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应 的可访问资源类型集合。
日志采集模块,用于通过配置日志采集引擎,获取所述待检测云服务器的 实际业务产生的日志信息,在所述日志信息中收集云服务器实际业务产生的日 志信息,并从中提取与委托权限相关的日志记录。
分析对比模块,用于根据所述可访问资源类型集合对应的逻辑结构,将所 述实际业务对应的权限集合生成权限策略图,将所述权限策略图和所述委托权 限集合进行对比检查,输出检查结果。
在本申请实施例中,用户终端首先获取待检测云服务器所配置的委托权限 集合,再获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类 型集合,通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的 日志信息,然后基于所述日志信息生成所述待检测云服务器的实际业务对应的 权限集合,根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对 应的权限集合生成权限策略图,最后将所述权限策略图和所述委托权限集合进 行对比检查,输出检查结果。由于本申请基于日志分析、云API接口调用、权 限分析等技术手段和方法,分析云服务器访问其他云服务的委托权限配置情况, 以帮助用户检查云服务器所分配的委托权限是否合理,从而降低委托权限被误用的安全风险。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明 装置实施例中未披露的细节,请参照本发明方法实施例。
请参见图12,其示出了本发明一个示例性实施例提供的基于云服务器的权 限检查装置的结构示意图。该基于云服务器的权限检查装置可以通过软件、硬 件或者两者的结合实现成为终端的全部或一部分。该装置1包括第一集合获取 模块10、第二集合获取模块20、信息产生模块30、第一集合生成模块40、策 略图生成模块50、结果输出模块60。
第一集合获取模块10,用于获取待检测云服务器所配置的委托权限集合;
第二集合获取模块20,用于获取所述待检测云服务器所配置的委托权限集 合对应的可访问资源类型集合;
信息产生模块30,用于通过配置日志采集引擎,获取所述待检测云服务器 的实际业务产生的日志信息;
第一集合生成模块40,用于基于所述日志信息生成所述待检测云服务器的 实际业务对应的权限集合;
策略图生成模块50,用于根据所述可访问资源类型集合对应的逻辑结构, 将所述实际业务对应的权限集合生成权限策略图;
结果输出模块60,用于将所述权限策略图和所述委托权限集合进行对比检 查,输出检查结果。
可选的,如图13所示,所述装置1还包括:
信息获取模块70,用于通过预设应用程序接口获取委托权限配置信息;
名称获取模块80,用于根据所述委托权限配置信息获取待检测云服务器的 授权项名称;
列表生成模块90,用于基于所述授权项名称检索所述授权项的权限策略名 称,生成权限策略列表;
第二集合生成模块100,用于将所述权限策略列表进行遍历,获取所述权 限策略列表中各权限策略的资源类型,生成资源类型集合;
第三集合生成模块110,用于将所述资源类型集合进行合并后生成所述待 检测云服务器所委托权限对应的可访问资源类型集合;
结果发送模块120,用于将所述检查结果发送至客户端进行显示。
需要说明的是,上述实施例提供的基于云服务器的权限检查装置在执行基 于云服务器的权限检查方法时,仅以上述各功能模块的划分进行举例说明,实 际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备 的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另 外,上述实施例提供的基于云服务器的权限检查装置与基于云服务器的权限检 查方法实施例属于同一构思,其体现实现过程详见方法实施例,这里不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请实施例中,用户终端首先获取待检测云服务器所配置的委托权限 集合,再获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类 型集合,通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的 日志信息,然后基于所述日志信息生成所述待检测云服务器的实际业务对应的 权限集合,根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对 应的权限集合生成权限策略图,最后将所述权限策略图和所述委托权限集合进 行对比检查,输出检查结果。由于本申请基于日志分析、云API接口调用、权 限分析等技术手段和方法,分析云服务器访问其他云服务的委托权限配置情况, 以帮助用户检查云服务器所分配的委托权限是否合理,从而降低委托权限被误用的安全风险。
本发明还提供一种计算机可读介质,其上存储有程序指令,该程序指令被 处理器执行时实现上述各个方法实施例提供的基于云服务器的权限检查方法。 本发明还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使 得计算机执行上述各个方法实施例所述的基于云服务器的权限检查方法。
请参见图14,为本申请实施例提供了一种终端的结构示意图。如图14所 示,所述终端1000可以包括:至少一个处理器1001,至少一个网络接口1004, 用户接口1003,存储器1005,至少一个通信总线1002。
其中,通信总线1002用于实现这些组件之间的连接通信。
其中,用户接口1003可以包括显示屏(Display)、摄像头(Camera),可 选用户接口1003还可以包括标准的有线接口、无线接口。
其中,网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI 接口)。
其中,处理器1001可以包括一个或者多个处理核心。处理器1001利用各 种借口和线路连接整个电子设备1000内的各个部分,通过运行或执行存储在存 储器1005内的指令、程序、代码集或指令集,以及调用存储在存储器1005内 的数据,执行电子设备1000的各种功能和处理数据。可选的,处理器1001可 以采用数字信号处理(Digital SignalProcessing,DSP)、现场可编程门阵列 (Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable Logic Array,PLA)中的至少一种硬件形式来实现。处理器1001可集成中央处 理器(Central Processing Unit,CPU)、图像处理器(Graphics ProcessingUnit, GPU)和调制解调器等中的一种或几种的组合。其中,CPU主要处理操作系统、 用户界面和应用程序等;GPU用于负责显示屏所需要显示的内容的渲染和绘制; 调制解调器用于处理无线通信。可以理解的是,上述调制解调器也可以不集成 到处理器1001中,单独通过一块芯片进行实现。
其中,存储器1005可以包括随机存储器(Random Access Memory,RAM), 也可以包括只读存储器(Read-Only Memory)。可选的,该存储器1005包括非 瞬时性计算机可读介质(non-transitory computer-readable storage medium)。 存储器1005可用于存储指令、程序、代码、代码集或指令集。存储器1005可 包括存储程序区和存储数据区,其中,存储程序区可存储用于实现操作系统的 指令、用于至少一个功能的指令(比如触控功能、声音播放功能、图像播放功 能等)、用于实现上述各个方法实施例的指令等;存储数据区可存储上面各个方 法实施例中涉及到的数据等。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图14所示,作为一种计算机存储介质的存储器 1005中可以包括操作系统、网络通信模块、用户接口模块以及基于云服务器的 权限检查应用程序。
在图14所示的终端1000中,用户接口1003主要用于为用户提供输入的接 口,获取用户输入的数据;而处理器1001可以用于调用存储器1005中存储的 基于云服务器的权限检查应用程序,并具体执行以下操作:
获取待检测云服务器所配置的委托权限集合;
获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集 合;
通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的日志 信息;
基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合;
根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对应的权 限集合生成权限策略图;
将所述权限策略图和所述委托权限集合进行对比检查,输出检查结果。
在一个实施例中,所述处理器1001在执行所述获取待检测云服务器的委托 权限集合之前时,还执行以下操作:
通过预设应用程序接口获取委托权限配置信息;
根据所述委托权限配置信息获取待检测云服务器的授权项名称;
基于所述授权项名称检索所述授权项的权限策略名称,生成权限策略列表;
将所述权限策略列表进行遍历,获取所述权限策略列表中各权限策略的资 源类型,生成资源类型集合;
将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应 的可访问资源类型集合。
在本申请实施例中,用户终端首先获取待检测云服务器所配置的委托权限 集合,再获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类 型集合,通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的 日志信息,然后基于所述日志信息生成所述待检测云服务器的实际业务对应的 权限集合,根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对 应的权限集合生成权限策略图,最后将所述权限策略图和所述委托权限集合进 行对比检查,输出检查结果。由于本申请基于日志分析、云API接口调用、权 限分析等技术手段和方法,分析云服务器访问其他云服务的委托权限配置情况, 以帮助用户检查云服务器所分配的委托权限是否合理,从而降低委托权限被误用的安全风险。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程, 是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机 可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。 其中,所述的存储介质可为磁碟、光盘、只读存储记忆体或随机存储记忆体等。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之 权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。
Claims (9)
1.一种基于云服务器的权限检查方法,其特征在于,所述方法包括:
获取待检测云服务器所配置的委托权限集合;
获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合;
通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的日志信息;
基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合;
根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对应的权限集合生成权限策略图;
将所述权限策略图和所述委托权限集合进行对比检查,输出检查结果。
2.根据权利要求1所述的方法,其特征在于,所述获取待检测云服务器的委托权限集合之前,还包括:
通过预设应用程序接口获取委托权限配置信息;
根据所述委托权限配置信息获取待检测云服务器的授权项名称;
基于所述授权项名称检索所述授权项的权限策略名称,生成权限策略列表;
将所述权限策略列表进行遍历,获取所述权限策略列表中各权限策略的资源类型,生成资源类型集合;
将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应的可访问资源类型集合。
3.根据权利要求1所述的方法,其特征在于,所述将所述权限策略图和所述委托权限集合进行对比检查,输出检查结果之后,还包括:
将所述检查结果发送至客户端进行显示。
4.一种基于云服务器的权限检查系统,其特征在于,所述系统包括策略检查模块、日志采集模块和分析对比模块;
策略检查模块,用于通过预设应用程序接口读取委托权限配置信息,根据所述委托权限配置信息获取待检测云服务器的授权项名称,基于所述授权项名称检索所述授权项的权限策略名称,生成权限策略列表;将所述权限策略列表进行遍历,获取所述权限策略列表中各权限策略的资源类型,生成资源类型集合;将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应的可访问资源类型集合。
日志采集模块,用于通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的日志信息,在所述日志信息中收集云服务器实际业务产生的日志信息,并从中提取与委托权限相关的日志记录。
分析对比模块,用于根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对应的权限集合生成权限策略图,将所述权限策略图和所述委托权限集合进行对比检查,输出检查结果。
5.一种基于云服务器的权限检查装置,其特征在于,所述装置包括:
第一集合获取模块,用于获取待检测云服务器所配置的委托权限集合;
第二集合获取模块,用于获取所述待检测云服务器所配置的委托权限集合对应的可访问资源类型集合;
信息产生模块,用于通过配置日志采集引擎,获取所述待检测云服务器的实际业务产生的日志信息;
第一集合生成模块,用于基于所述日志信息生成所述待检测云服务器的实际业务对应的权限集合;
策略图生成模块,用于根据所述可访问资源类型集合对应的逻辑结构,将所述实际业务对应的权限集合生成权限策略图;
结果输出模块,用于将所述权限策略图和所述委托权限集合进行对比检查,输出检查结果。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
信息获取模块,用于通过预设应用程序接口获取委托权限配置信息;
名称获取模块,用于根据所述委托权限配置信息获取待检测云服务器的授权项名称;
列表生成模块,用于基于所述授权项名称检索所述授权项的权限策略名称,生成权限策略列表;
第二集合生成模块,用于将所述权限策略列表进行遍历,获取所述权限策略列表中各权限策略的资源类型,生成资源类型集合;
第三集合生成模块,用于将所述资源类型集合进行合并后生成所述待检测云服务器所委托权限对应的可访问资源类型集合。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
结果发送模块,用于将所述检查结果发送至客户端进行显示。
8.一种计算机存储介质,其特征在于,所述计算机存储介质存储有多条指令,所述指令适于由处理器加载并执行如权利要求1~3任意一项的方法步骤。
9.一种终端,其特征在于,包括:处理器和存储器;其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行如权利要求1~3任意一项的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010140849.4A CN111488594B (zh) | 2020-03-03 | 2020-03-03 | 一种基于云服务器的权限检查方法、装置、存储介质及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010140849.4A CN111488594B (zh) | 2020-03-03 | 2020-03-03 | 一种基于云服务器的权限检查方法、装置、存储介质及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111488594A true CN111488594A (zh) | 2020-08-04 |
| CN111488594B CN111488594B (zh) | 2023-11-03 |
Family
ID=71791312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010140849.4A Active CN111488594B (zh) | 2020-03-03 | 2020-03-03 | 一种基于云服务器的权限检查方法、装置、存储介质及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111488594B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111814174A (zh) * | 2020-09-04 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 数据访问的控制方法、装置和计算机设备 |
| CN112052030A (zh) * | 2020-08-24 | 2020-12-08 | 东风汽车有限公司 | 车载应用程序的接口权限配置方法、存储介质和系统 |
| CN112306780A (zh) * | 2020-11-20 | 2021-02-02 | 上海达龙信息科技有限公司 | 云应用服务器的自检方法、装置、存储介质及电子设备 |
| CN112699411A (zh) * | 2021-01-04 | 2021-04-23 | 北京金山云网络技术有限公司 | 操作审计信息的存储方法、装置和计算机可读存储介质 |
| CN113591126A (zh) * | 2021-08-12 | 2021-11-02 | 北京滴普科技有限公司 | 一种数据权限处理方法及计算机可读存储介质 |
Citations (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101512962A (zh) * | 2006-09-08 | 2009-08-19 | 微软公司 | 控制权限的委托 |
| CN102082827A (zh) * | 2010-12-21 | 2011-06-01 | 北京高森明晨信息科技有限公司 | 应用型云计算的委托方法和装置 |
| US20120110180A1 (en) * | 2010-06-15 | 2012-05-03 | Van Biljon Willem Robert | Objects in a Virtual Computing Infrastructure |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN103546479A (zh) * | 2013-10-31 | 2014-01-29 | 浪潮(北京)电子信息产业有限公司 | 一种基于云计算的安全访问方法 |
| CN103780581A (zh) * | 2012-10-23 | 2014-05-07 | 江南大学 | 一种基于云存储的加密文件访问控制系统及方法 |
| US20140250500A1 (en) * | 2011-09-29 | 2014-09-04 | Chung Jong Lee | Security-enhanced cloud system and security management method thereof |
| US20140282894A1 (en) * | 2013-03-15 | 2014-09-18 | Sky Socket, Llc | Delegating authorization to applications on a client device in a networked environment |
| CN104079437A (zh) * | 2010-08-12 | 2014-10-01 | 华为终端有限公司 | 实现权限管理控制的方法及终端 |
| CN105074720A (zh) * | 2013-02-27 | 2015-11-18 | 微软技术许可有限责任公司 | 基于云的环境中的自主策略管理 |
| US20160119357A1 (en) * | 2014-10-22 | 2016-04-28 | CloudHealth Technologies, Inc. | Automated and Policy Driven Optimization of Cloud Infrastructure Through Delegated Actions |
| US20160381021A1 (en) * | 2015-06-24 | 2016-12-29 | International Business Machines Corporation | User managed access scope specific obligation policy for authorization |
| US20170171201A1 (en) * | 2015-12-09 | 2017-06-15 | Canon Kabushiki Kaisha | Authorization delegation system, information processing apparatus, authorization server, control method, and storage medium |
| CN106992994A (zh) * | 2017-05-24 | 2017-07-28 | 腾讯科技(深圳)有限公司 | 一种云服务的自动化监控方法和系统 |
| CN107948235A (zh) * | 2017-09-01 | 2018-04-20 | 清华大学 | 基于jar的云数据安全管理与审计装置 |
| CN108076052A (zh) * | 2016-11-18 | 2018-05-25 | 佳能株式会社 | 授权服务器、非暂时性计算机可读介质以及权限委托系统 |
| US20180152441A1 (en) * | 2016-11-25 | 2018-05-31 | Canon Kabushiki Kaisha | Authority verification system, authority verification method, and computer-readable storage medium |
| CN108701182A (zh) * | 2016-08-31 | 2018-10-23 | 甲骨文国际公司 | 多租户身份云服务的数据管理 |
| US20180375886A1 (en) * | 2017-06-22 | 2018-12-27 | Oracle International Corporation | Techniques for monitoring privileged users and detecting anomalous activities in a computing environment |
| US20190007458A1 (en) * | 2017-07-03 | 2019-01-03 | Puresec Ltd. | Methods for securing serverless functions |
| CN109525593A (zh) * | 2018-12-20 | 2019-03-26 | 中科曙光国际信息产业有限公司 | 一种对hadoop大数据平台集中安全管控系统及方法 |
| US20190098056A1 (en) * | 2017-09-28 | 2019-03-28 | Oracle International Corporation | Rest-based declarative policy management |
| CN109891851A (zh) * | 2016-11-04 | 2019-06-14 | 微软技术许可有限责任公司 | 用于隔离的集合的委托授权 |
| US20190318100A1 (en) * | 2018-04-17 | 2019-10-17 | Oracle International Corporation | High granularity application and data security in cloud environments |
-
2020
- 2020-03-03 CN CN202010140849.4A patent/CN111488594B/zh active Active
Patent Citations (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101512962A (zh) * | 2006-09-08 | 2009-08-19 | 微软公司 | 控制权限的委托 |
| US20120110180A1 (en) * | 2010-06-15 | 2012-05-03 | Van Biljon Willem Robert | Objects in a Virtual Computing Infrastructure |
| CN104079437A (zh) * | 2010-08-12 | 2014-10-01 | 华为终端有限公司 | 实现权限管理控制的方法及终端 |
| CN102082827A (zh) * | 2010-12-21 | 2011-06-01 | 北京高森明晨信息科技有限公司 | 应用型云计算的委托方法和装置 |
| US20140250500A1 (en) * | 2011-09-29 | 2014-09-04 | Chung Jong Lee | Security-enhanced cloud system and security management method thereof |
| CN103780581A (zh) * | 2012-10-23 | 2014-05-07 | 江南大学 | 一种基于云存储的加密文件访问控制系统及方法 |
| CN105074720A (zh) * | 2013-02-27 | 2015-11-18 | 微软技术许可有限责任公司 | 基于云的环境中的自主策略管理 |
| US20140282894A1 (en) * | 2013-03-15 | 2014-09-18 | Sky Socket, Llc | Delegating authorization to applications on a client device in a networked environment |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN103546479A (zh) * | 2013-10-31 | 2014-01-29 | 浪潮(北京)电子信息产业有限公司 | 一种基于云计算的安全访问方法 |
| US20160119357A1 (en) * | 2014-10-22 | 2016-04-28 | CloudHealth Technologies, Inc. | Automated and Policy Driven Optimization of Cloud Infrastructure Through Delegated Actions |
| US20160381021A1 (en) * | 2015-06-24 | 2016-12-29 | International Business Machines Corporation | User managed access scope specific obligation policy for authorization |
| US20170171201A1 (en) * | 2015-12-09 | 2017-06-15 | Canon Kabushiki Kaisha | Authorization delegation system, information processing apparatus, authorization server, control method, and storage medium |
| CN108701182A (zh) * | 2016-08-31 | 2018-10-23 | 甲骨文国际公司 | 多租户身份云服务的数据管理 |
| CN109891851A (zh) * | 2016-11-04 | 2019-06-14 | 微软技术许可有限责任公司 | 用于隔离的集合的委托授权 |
| CN108076052A (zh) * | 2016-11-18 | 2018-05-25 | 佳能株式会社 | 授权服务器、非暂时性计算机可读介质以及权限委托系统 |
| US20180152441A1 (en) * | 2016-11-25 | 2018-05-31 | Canon Kabushiki Kaisha | Authority verification system, authority verification method, and computer-readable storage medium |
| CN106992994A (zh) * | 2017-05-24 | 2017-07-28 | 腾讯科技(深圳)有限公司 | 一种云服务的自动化监控方法和系统 |
| US20180375886A1 (en) * | 2017-06-22 | 2018-12-27 | Oracle International Corporation | Techniques for monitoring privileged users and detecting anomalous activities in a computing environment |
| US20190007458A1 (en) * | 2017-07-03 | 2019-01-03 | Puresec Ltd. | Methods for securing serverless functions |
| CN107948235A (zh) * | 2017-09-01 | 2018-04-20 | 清华大学 | 基于jar的云数据安全管理与审计装置 |
| US20190098056A1 (en) * | 2017-09-28 | 2019-03-28 | Oracle International Corporation | Rest-based declarative policy management |
| US20190318100A1 (en) * | 2018-04-17 | 2019-10-17 | Oracle International Corporation | High granularity application and data security in cloud environments |
| CN109525593A (zh) * | 2018-12-20 | 2019-03-26 | 中科曙光国际信息产业有限公司 | 一种对hadoop大数据平台集中安全管控系统及方法 |
Non-Patent Citations (3)
| Title |
|---|
| 崔冬: "基于权限细分的安全云计算服务关键技术与系统" * |
| 沈海波;: "基于OAuth 2.0扩展的访问控制委托架构", no. 03 * |
| 袁家斌;魏利利;曾青华;: "面向移动终端的云计算跨域访问委托模型", no. 03 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112052030A (zh) * | 2020-08-24 | 2020-12-08 | 东风汽车有限公司 | 车载应用程序的接口权限配置方法、存储介质和系统 |
| CN111814174A (zh) * | 2020-09-04 | 2020-10-23 | 平安国际智慧城市科技股份有限公司 | 数据访问的控制方法、装置和计算机设备 |
| CN111814174B (zh) * | 2020-09-04 | 2020-12-08 | 平安国际智慧城市科技股份有限公司 | 数据访问的控制方法、装置和计算机设备 |
| CN112306780A (zh) * | 2020-11-20 | 2021-02-02 | 上海达龙信息科技有限公司 | 云应用服务器的自检方法、装置、存储介质及电子设备 |
| CN112699411A (zh) * | 2021-01-04 | 2021-04-23 | 北京金山云网络技术有限公司 | 操作审计信息的存储方法、装置和计算机可读存储介质 |
| CN112699411B (zh) * | 2021-01-04 | 2024-04-09 | 北京金山云网络技术有限公司 | 操作审计信息的存储方法、装置和计算机可读存储介质 |
| CN113591126A (zh) * | 2021-08-12 | 2021-11-02 | 北京滴普科技有限公司 | 一种数据权限处理方法及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111488594B (zh) | 2023-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111488594B (zh) | 一种基于云服务器的权限检查方法、装置、存储介质及终端 | |
| EP3726411B1 (en) | Data desensitising method, server, terminal, and computer-readable storage medium | |
| CN105117544B (zh) | 基于移动云计算的Android平台App风险评估方法与装置 | |
| JP2017532649A (ja) | 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム | |
| RU2722693C1 (ru) | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника | |
| CN112000992B (zh) | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 | |
| CN112235253B (zh) | 数据资产的梳理方法、装置、计算机设备和存储介质 | |
| CN108287901A (zh) | 用于生成信息的方法和装置 | |
| CN110851461A (zh) | 非关系型数据库的审计方法、装置和存储介质 | |
| CN108154024B (zh) | 一种数据检索方法、装置及电子设备 | |
| CN111275599B (zh) | 一种基于大数据集成算法的群租房预警方法、装置、存储介质及终端 | |
| CN115858322A (zh) | 日志数据处理方法、装置和计算机设备 | |
| CN113377876B (zh) | 基于Domino平台的数据分库处理方法、装置及平台 | |
| US10979443B2 (en) | Automatic traffic classification of web applications and services based on dynamic analysis | |
| CN110442782B (zh) | 一种云资源检索方法与装置 | |
| CN112685255A (zh) | 一种接口监控方法、装置、电子设备及存储介质 | |
| CN112214769A (zh) | 基于SGX架构的Windows系统的主动度量系统 | |
| CN111427972A (zh) | 搜索业务数据的方法、装置、业务搜索系统和存储介质 | |
| CN116955390A (zh) | 一种数据库语句的处理方法、装置、设备及存储介质 | |
| CN110881030A (zh) | 基于logstash的记录web服务管理员操作日志的方法及装置 | |
| CN115827589A (zh) | 一种权限验证方法、装置、电子设备及存储介质 | |
| CN114765599A (zh) | 子域名采集方法、装置 | |
| CN112528339A (zh) | 一种基于Caché数据库的数据脱敏方法及电子设备 | |
| CN113691575A (zh) | 通信方法、装置及系统 | |
| CN110874305A (zh) | 用户操作的记录方法、装置及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200821 Address after: Room 101, building 1, block C, Qianjiang Century Park, ningwei street, Xiaoshan District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Weiming Information Technology Co.,Ltd. Applicant after: Institute of Information Technology, Zhejiang Peking University Address before: Room 288-1, 857 Xinbei Road, Ningwei Town, Xiaoshan District, Hangzhou City, Zhejiang Province Applicant before: Institute of Information Technology, Zhejiang Peking University Applicant before: Hangzhou Weiming Information Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20200804 Assignee: Zhejiang Visual Intelligence Innovation Center Co.,Ltd. Assignor: Institute of Information Technology, Zhejiang Peking University|Hangzhou Weiming Information Technology Co.,Ltd. Contract record no.: X2023330000927 Denomination of invention: A permission checking method, device, storage medium, and terminal based on cloud servers Granted publication date: 20231103 License type: Common License Record date: 20231219 |