CN112187799A - 资源访问策略生成方法及装置、存储介质、电子设备 - Google Patents
资源访问策略生成方法及装置、存储介质、电子设备 Download PDFInfo
- Publication number
- CN112187799A CN112187799A CN202011043317.5A CN202011043317A CN112187799A CN 112187799 A CN112187799 A CN 112187799A CN 202011043317 A CN202011043317 A CN 202011043317A CN 112187799 A CN112187799 A CN 112187799A
- Authority
- CN
- China
- Prior art keywords
- resource
- access
- accessed
- access request
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例是关于一种资源访问策略生成方法及装置、存储介质、电子设备,涉及计算机技术领域,该方法包括:接收访问请求,并对所述访问请求进行解析,得到待访问系统资源的应用地址、与所述待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息;对所述应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;根据所述决策结果生成访问策略,并将所述访问策略发送给应用系统,以使得应用系统根据所述访问策略,判断是否能够将所述待访问系统资源推送至所述访问请求的发起者对应的终端设备。本发明实施例提高了系统资源的安全性。
Description
技术领域
本发明实施例涉及计算机技术领域,具体而言,涉及一种资源访问策略生成方法、资源访问策略生成装置、资源访问方法、计算机可读存储介质以及电子设备。
背景技术
信息安全技术领域一个非常重要的方面就是访问控制,即通过控制对系统资源的访问权限实现对系统信息的保护。随着企业的发展运行的信息系统越来越多,需要保护的系统资源也随之增加,而网络系统中因为拥有复杂的页面层次和表单元素,使权限管理系统的资源维护工作变得繁琐,因此,如何减少系统资源维护工作量,是亟需解决的问题。
为了解决上述问题,现有技术采用的方案为:对于接入权限控制的应用,在系统初始化时,通过开发人员整理系统中所有需要被保护的资源信息,再由安全管理员手动的将该需要被保护的资源信息添加到权限管理系统的资源管理模块;当用户对需要某一资源信息进行访问时,权限管理系统在接收到该访问请求后,需要将该访问请求发送给安全管理员,安全管理员在判断该资源信息存在于资源管理模块中,且用户具有对该资源信息的访问权限时,为用户开放该资源信息的权限,以使得用户完成对该资源信息的访问。
但是,上述方法存在如下缺陷:无法实现自动的根据访问请求生成访问策略。
因此,需要提供一种新的资源访问策略生成方法及装置。
需要说明的是,在上述背景技术部分发明的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本发明的目的在于提供一种资源访问策略生成方法、资源访问策略生成装置、资源访问方法、计算机可读存储介质以及电子设备,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的无法实现自动的根据访问请求生成访问策略的问题。
根据本公开的一个方面,提供一种资源访问策略生成方法,包括:
接收访问请求,并对所述访问请求进行解析,得到待访问系统资源的应用地址、与所述待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息;
对所述应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;
根据所述决策结果生成访问策略,并将所述访问策略发送给应用系统,以使得应用系统根据所述访问策略,判断是否能够将所述待访问系统资源推送至与所述访问请求的发起者对应的终端设备。
在本公开的一种示例性实施例中,所述根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果,包括:
根据所述上下文信息中包括的应用地址判断所述待访问系统资源是否开启权限控制,得到第一判断结果;
根据所述上下文信息中包括的资源客体信息是否维护在所述权限管理系统中,得到第二判断结果;
根据所述上下文信息中包括的主体信息判断所述访问请求的发起者是否具有访问权限,得到第三判断结果;
根据所述第一判断结果、第二判断结果以及第三判断结果,得到所述决策结果。
在本公开的一种示例性实施例中,所述决策结果包括:匹配到与所述待访问系统资源对应的授权策略、未匹配到与所述待访问系统资源对应的授权策略以及不存在与所述待访问系统资源对应的资源客体信息中的至少一种;
其中,根据所述第一判断结果、第二判断结果以及第三判断结果,得到所述决策结果,包括:
在所述第一判断结果、第二判断结果以及第三判断结果均为是时,得到所述决策结果为匹配到与所述待访问系统资源对应的授权策略;
在所述第一判断结果为是、第二判断结果为是,第三判断结果为否时,得到所述决策结果为未匹配到与所述待访问系统资源对应的授权策略;
在所述第一判断结果为否,或者第二判断结果为否时,得到所述决策结果为不存在与所述待访问系统资源对应的资源客体信息。
在本公开的一种示例性实施例中,所述访问策略包括资源策略和角色策略中的至少一种;
其中,所述根据所述决策结果生成访问策略,包括:
根据所述访问请求以及所述决策结果生成策略发现消息,并将所述策略发现消息推送至预设的消息队列中;
在监测到所述预设的消息队列中存在所述策略发现消息时,根据所述决策结果以及预设的应用维度生成所述访问策略。
在本公开的一种示例性实施例中,所述根据所述决策结果以及预设的应用维度生成所述访问策略,包括:
当所述决策结果为未匹配到与所述待访问系统资源对应的授权策略时,根据所述角色维度以及所述主体信息,生成所述角色策略;
当所述决策结果为不存在与所述待访问系统资源对应的资源客体信息时,根据所述资源维度以及所述应用地址,生成资源策略。
在本公开的一种示例性实施例中,所述根据所述资源维度以及所述应用地址,生成资源策略,包括:
获取所述待访问系统资源的被拦截次数以及与所述访问请求对应的IP地址;
在判断所述拦截次数小于预设阈值,且所述IP地址并未存在于预设的黑名单地址中时,根据所述资源维度以及所述应用地址,生成资源策略。
根据本公开的一个方面,提供一种资源访问方法,包括:
对接收到的访问请求进行拦截,并将所述访问请求发送至权限管理系统,并接收权限管理系统发送的访问策略;其中,所述访问策略是所述权限管理系统在接收到所述访问请求以后,根据上述任意一项所述的资源访问策略生成方法生成的;
根据所述访问策略判断所述访问请求中包括的与所访问系统资源对应的资源客体信息是否存在于权限管理系统中;
在确定与所访问系统资源对应的资源客体信息是否存在于权限管理系统中时,根据所述访问策略判断所述访问请求的发起者是否具有对所述待访问系统资源的访问权限;
在判断所述访问请求的发起者具有对所述待访问系统资源的访问权限时,将所述待访问系统资源推送至所述访问请求的发起者对应的终端设备,以使得所述终端设备对所述资源客体信息进行加载,实现对所述待访问系统资源的访问。
根据本公开的一个方面,提供一种资源访问策略生成装置,包括:
请求解析模块,用于接收访问请求,并对所述访问请求进行解析,得到待访问系统资源的应用地址、与所述待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息;
信息组装模块,用于对所述应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;
访问策略生成模块,用于根据所述决策结果生成访问策略,并将所述访问策略发送给应用系统,以使得应用系统根据所述访问策略,判断是否能够将所述待访问系统资源推送至与所述访问请求的发起者对应的终端设备。
根据本公开的一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的资源访问策略生成方法,以及上述所述的资源访问方法。
根据本公开的一个方面,提供一种电子设备,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的资源访问策略生成方法,以及上述所述的资源访问方法。
本发明实施例提供的一种资源访问策略生成方法,一方面,接收访问请求,并对访问请求进行解析,得到待访问系统资源的应用地址、与待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息;并对应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;再根据决策结果生成访问策略,并将访问策略发送给应用系统,以使得应用系统根据访问策略,判断是否能够将待访问系统资源推送至与访问请求的发起者对应的终端设备,解决了现有技术中无法实现自动的根据访问请求生成访问策略的问题,提高了访问策略的生成效率;另一方面,由于决策结果是根据上下文信息得到的,且上下文信息中包括了系统资源的应用地址、访问请求的发起者的主体信息以及与系统资源对应的资源客体信息,因此该决策结果中既包括了系统资源的决策结果,也包括了用户的决策结果,进而使得应用系统根据访问策略,判断是否对判断是否能够将待访问系统资源推送至与访问请求的发起者对应的终端设备,进一步的提高了系统资源的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出根据本发明示例实施例的一种资源访问策略生成方法的流程图。
图2示意性示出根据本发明示例实施例的一种资源访问系统的框图。
图3示意性示出根据本发明示例实施例的一种根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果的方法流程图。
图4示意性示出根据本发明示例实施例的一种根据所述决策结果生成访问策略的方法流程图。
图5根据本发明示例实施例的一种根据所述决策结果以及预设的应用维度生成所述访问策略的方法流程图。
图6示意性示出根据本发明示例实施例的一种资源访问方法的流程图。
图7示意性示出根据本发明示例实施例的另一种资源访问策略生成方法的流程图。
图8示意性示出根据本发明示例实施例的一种资源访问策略生成装置的框图。
图9示意性示出根据本发明示例实施例的一种资源访问装置的框图。
图10示意性示出根据本发明示例实施例的一种用于实现上述资源访问策略生成方法以及资源访问方法的电子设备。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本发明将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本发明的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本发明的各方面变得模糊。
此外,附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本示例实施方式中首先提供了一种资源访问策略生成方法,该方法可以运行于权限管理系统所在的服务器、服务器集群或云服务器等;当然,本领域技术人员也可以根据需求在其他平台运行本发明的方法,本示例性实施例中对此不做特殊限定。参考图1所示,该资源访问策略生成方法可以包括以下步骤:
步骤S110.接收访问请求,并对所述访问请求进行解析,得到待访问系统资源的应用地址、与所述待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息;
步骤S120.对所述应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;
步骤S130.根据所述决策结果生成访问策略,并将所述访问策略发送给应用系统,以使得应用系统根据所述访问策略,判断是否能够将所述待访问系统资源推送至与所述访问请求的发起者对应的终端设备。
上述资源访问策略生成方法中,一方面,接收访问请求,并对访问请求进行解析,得到待访问系统资源的应用地址、与待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息;并对应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;再根据决策结果生成访问策略,并将访问策略发送给应用系统,以使得应用系统根据访问策略,判断是否能够将待访问系统资源推送至与访问请求的发起者对应的终端设备,解决了现有技术中无法实现自动的根据访问请求生成访问策略的问题,提高了访问策略的生成效率;另一方面,由于决策结果是根据上下文信息得到的,且上下文信息中包括了系统资源的应用地址、访问请求的发起者的主体信息以及与系统资源对应的资源客体信息,因此该决策结果中既包括了系统资源的决策结果,也包括了用户的决策结果,进而使得应用系统根据访问策略,判断是否能够将待访问系统资源推送至与访问请求的发起者对应的终端设备,进一步的提高了系统资源的安全性。
以下,将结合附图对本发明示例实施例资源访问策略生成方法中包括的步骤进行详细的解释以及说明。
首先,对本发明示例实施例包括的资源访问系统进行解释以及说明。
参考图2所示,该资源访问系统可以包括终端设备210、应用系统220以及权限管理系统230,该权限管理系统可以是RBAC(Role-Based Access Control:基于角色的访问控制)系统。其中,应用系统220分别与终端设备210以及权限管理系统230连接。
具体的,用户通过终端设备向应用系统发起对某一待访问系统资源(应用资源)的访问请求,当应用系统接收到该访问请求以后,对该访问请求进行拦截,并将该访问请求转发至权限管理系统,当权限管理系统接收到该访问请求以后,对该访问请求进行解析,进而根据解析结果中包括的应用地址、所述用户的主体信息以及与所述系统资源对应的资源客体信息,生成访问策略,再将该访问策略发送至应用系统,当应用系统接收到该访问策略以后,可以根据该访问策略决定是否能够将待访问系统资源推送至与访问请求的发起者对应的终端设备。
其次,对步骤S110-步骤S130进行解释以及说明。
在步骤S110中,接收访问请求,并对所述访问请求进行解析,得到待访问系统资源的应用地址、与所述待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息。
具体的,用户在接入权限控制的应用系统后,可以通过终端设备发起对待访问系统资源的访问请求,当应用系统接收到该访问请求后,对该访问请求进行拦截,再将其转发到权限管理系统,当权限管理系统接收到该访问请求后,可以对该解析请求的资源链接进行解析,得到待访问系统资源的应用地址、请求主体信息及资源客体信息;其中,请求主体信息可以为访问请求的发起者的用户登录名称,可以在权限管理系统中对该用户登录名称进行管理;应用地址可以为待访问系统资源的域名地址,资源客体信息可以为待访问系统资源中所包括的具体资源内容。
在步骤S120中,对所述应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果。
在本示例实施例中,首先,对应用地址、资源客体信息以及主体信息进行组装;其中,应用地址用于对待访问系统资源的应用状态进行确定,主体信息可以用于对访问请求的发起者的状态进行确定。此处需要补充说明的是,在对应用地址、资源客体信息以及主体信息进行组装的过程中,其具体的组装顺序可以按照应用地址、资源客体信息以及主体信息进行依次组装,例如,具体的组装过程可以为:将应用地址、资源客体信息以及主体信息进行依次拼接,应用地址、资源客体信息以及主体信息可以基于预设的符号进行间隔,此处的预设符号例如可以包括空格键、逗号或者分号等等,也可以根据实际需要自行选取,此处不做特殊限定;其目的是为了可以顺序的对待访问系统资源的状态、资源客体信息的状态以及访问请求的发起者的状态进行依次判断;譬如,当待访问系统资源的状态为未开启访问权限时,后续即可不用再进行判断,直接生成对应的决策结果即可,通过该方法,可以提高决策结果的生成效率。当然,也可以按照实际需要对组装的顺序进行调整,本示例对此不做特殊限制。
其次,当得到上述上下文信息以后,可以根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果。具体的,参考图3所示,根据上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果可以包括步骤S310-步骤S340。其中:
在步骤S310中,根据所述上下文信息中包括的应用地址判断所述待访问系统资源是否开启权限控制,得到第一判断结果。
在步骤S320中,根据所述上下文信息中包括的资源客体信息是否维护在所述权限管理系统中,得到第二判断结果。
在步骤S330中,根据所述上下文信息中包括的主体信息判断所述访问请求的发起者是否具有访问权限,得到第三判断结果。
在步骤S340中,根据所述第一判断结果、第二判断结果以及第三判断结果,得到所述决策结果。
其中,上述决策结果可以包括:匹配到与所述待访问系统资源对应的授权策略、未匹配到与所述待访问系统资源对应的授权策略以及不存在与所述待访问系统资源对应的资源客体信息等等。
其中,根据所述第一判断结果、第二判断结果以及第三判断结果,得到所述决策结果,包括:
在所述第一判断结果、第二判断结果以及第三判断结果均为是时,得到所述决策结果为匹配到与所述待访问系统资源对应的授权策略;
在所述第一判断结果为是、第二判断结果为是,第三判断结果为否时,得到所述决策结果为未匹配到与所述待访问系统资源对应的授权策略;
在所述第一判断结果为否,或者第二判断结果为否时,得到所述决策结果为不存在与所述待访问系统资源对应的资源客体信息。也即就是:在第一判断结果为否、第二判断结果为是、第三判断结果为是时,得到的决策结果为:不存在与所述待访问系统资源对应的资源客体信息;在第一判断结果为否、第二判断结果为否、第三判断结果为是时,得到的决策结果为:不存在与所述待访问系统资源对应的资源客体信息;在判断第一判断结果为是、第二判断结果为否、第三判断结果为是时,得到的决策结果为:不存在与所述待访问系统资源对应的资源客体信息;在判断第一判断结果为否、第二判断结果为否、第三判断结果为否时,得到的决策结果为:不存在与所述待访问系统资源对应的资源客体信息。
也就是说,如果待访问系统资源开启了权限控制、且与待访问系统资源对应的资源客体信息存在于权限管理系统中、且访问请求的发起者具有对该系统资源的访问权限,则可以生成匹配到与所述待访问系统资源对应的授权策略这一决策结果,进而可以根据该决策结果生成允许访问的访问策略,使得访问请求的发起者可以成功的对待访问系统资源进行访问;反之,如果访问请求的发起者不具有对该待访问系统资源的访问权限,则可以生成未匹配到与所述待访问系统资源对应的授权策略这一决策结果;进一步的,如果待访问系统资源为开启权限控制,或者资源客体信息未存在于权限控制系统中,则可以生成不存在与所述待访问系统资源对应的资源客体信息这一决策结果。
在步骤S130中,根据所述决策结果生成访问策略,并将所述访问策略发送给应用系统,以使得应用系统根据所述访问策略,判断是否对所述访问请求的发起者开放所述待访问系统资源的访问权限。
在本示例实施例中,当得到上述决策结果以后,可以根据决策结果生成访问策略;其中,该访问策略包括资源策略和角色策略之中的至少一个。具体的,参考图4所示,根据所述决策结果生成访问策略可以包括步骤S410-步骤S420。其中:
在步骤S410中,根据所述访问请求以及所述决策结果生成策略发现消息,并将所述策略发现消息推送至预设的消息队列中。
在本示例实施例中,首先,根据访问请求以及决策结果生成策略发现消息,其中,只有在决策结果为未匹配到与所述待访问系统资源对应的授权策略,或者不存在与所述待访问系统资源对应的资源客体信息时,才需要根据范根请求以及决策结果生成策略发现消息;当决策结果为匹配到与所述待访问系统资源对应的授权策略时,可以直接生成允许访问的访问策略。然后,可以将该策略发现消息推送(push)至预设的消息队列中;其中,该预设的消息队列例如可以是安全管理员所在的消息队列。
在步骤S420中,在监测到所述预设的消息队列中存在所述策略发现消息时,根据所述决策结果以及预设的应用维度生成所述访问策略。
在本示例实施例中,当安全管理员登录权限管理系统后,可以查看消息队列中有策略发现消息生成策略发现列表,然后,根据策略发现消息中包括的决策结果以及预设的应用维度生成访问策略。具体的,参考图5所示,根据所述决策结果以及预设的应用维度生成所述访问策略可以包括步骤S510以及步骤S520。其中:
在步骤S510中,当所述决策结果为未匹配到与所述待访问系统资源对应的授权策略时,根据所述角色维度以及所述主体信息,生成所述角色策略。
在步骤S520中,当所述决策结果为不存在与所述待访问系统资源对应的资源客体信息时,根据所述资源维度以及所述应用地址,生成资源策略。
具体的,根据所述资源维度以及所述应用地址,生成资源策略,可以包括:首先,获取所述待访问系统资源的被拦截次数以及与所述访问请求对应的IP地址;其次,在判断所述拦截次数小于预设阈值,且所述IP地址并未存在于预设的黑名单地址中时,根据所述资源维度以及所述应用地址,生成资源策略。
以下,将对步骤S510以及步骤S520进行解释以及说明。具体的,安全管理员登录权限管理系统,查看权限策略发现列表,可以以应用维度根据决策结果分别生成资源策略和角色策略。譬如,对于选择决策结果为“未匹配到与所述待访问系统资源对应的授权策略”的策略发现消息,点击生成角色策略(角色维度),则系统为访问请求的发起者生成一条待审核状态的角色策略,审核通过后,访问请求的发起者拥有访问该资源的权限。
又譬如,对于勾选决策结果为“不存在与所述待访问系统资源对应的资源客体信息”的策略发现消息数据,安全管理员可以选择是否添加递进属性对拦截到的待访问系统资源在拦截次数、以及访问请求对应的ip段等维度再进行一层过滤,当过滤完成以后,点击生成资源策略(资源维度),则对应应用系统的资源管理模块下批量生成系统资源,创建成功后自动回写资源所处路径。通过该方法,可以解决现有技术中存在的对于接入权限控制的应用,在系统初始化时需要开发人员整理系统中所有需要被保护的资源信息,由安全管理员手动添加到权限管理系统的资源管理模块,且后续如果进行系统功能扩展,也需要不断维护应用的资源信息,对于页面层次结构复杂的web应用,工作量大且容易出现人工维护错误的问题,使得待访问系统资源以及与其对应的资源客体信息可以自动的维护到权限管理系统中,提高了资源的维护效率。
图6示意性示出了根据本发明实例实施例的一种资源访问方法,该资源访问方法可以运行于应用系统。参考图6所示,该资源访问方法可以包括步骤S610-步骤S640。其中:
在步骤S610中,对接收到的访问请求进行拦截,并将所述访问请求发送至权限管理系统,并接收权限管理系统发送的访问策略;其中,所述访问策略是所述权限管理系统在接收到所述访问请求以后,根据上述资源访问策略生成方法生成的。
在步骤S620中,根据所述访问策略判断所述访问请求中包括的与所访问系统资源对应的资源客体信息是否存在于权限管理系统中。
在步骤S630中,在确定与所访问系统资源对应的资源客体信息是否存在于权限管理系统中时,根据所述访问策略判断所述访问请求的发起者是否具有对所述待访问系统资源的访问权限。
在步骤S640中,在判断所述访问请求的发起者具有对所述待访问系统资源的访问权限时,将所述待访问系统资源推送至所述访问请求的发起者对应的终端设备,以使得所述终端设备对所述资源客体信息进行加载,实现对所述待访问系统资源的访问。
图6示意性示出的示例实施例中,一方面,提高了访问请求的发起者对待访问系统资源的访问效率;另一方面,提高了待访问系统资源的安全性,同时也提高了应用系统的安全性。
以下,将结合图7对本发明示例实施例的资源访问策略生成方法进行进一步的解释以及说明。具体的,参考图7所示,该资源访问策略生成方法可以包括以下步骤:
步骤S701,用户通过终端设备向应用系统请求应用资源;
步骤S702,应用系统拦截请求,并将其转发到权限管理系统;
步骤S703,权限管理系统组装上下文,并触发授权认证模块;
步骤S704,判断授权认证是否通过,如果通过,则跳转至步骤S708;如果不通过,则跳转至步骤S705;
步骤S705,判断应用是否处于策略发现模式,如果是,则跳转至步骤S706,如果否,则跳转至步骤S709;
步骤S706,记录请求信息以及决策结果;
步骤S707,安全管理员操作生成权限策略;
步骤S708,正常展示系统页面;
步骤S709,应用处于权限控制模式,页面提示没有权限访问。
图7所示出的示例实施例,通俗来讲,也就是:加入应用系统A接入权限管理控制,系统A开启策略发现模式,当用户登录系统A,在展示首页加载js文件进行页面初始化时,会默认发起一些对系统资源的请求,请求被转发到权限管理系统,解析资源链接获取应用编码,发现系统A处于策略发现模式,如果决策结果为应用无此策略资源,则返回授权通过,应用系统的页面可正常展示,权限管理系统记录资源请求内容及决策结果,安全管理员登录权限管理系统可进行批量生成资源策略的操作;如果决策结果为未匹配到授权策略,则返回授权通过,应用系统的页面可正常展示,权限管理系统记录资源请求内容及决策结果,安全管理员登录权限管理系统,可直接在策略发现节点根据系统引导进行角色策略的生成操作。
本发明示例实施例所提供的资源访问策略生成方法,一方面,增加了权限策略发现机制,实现监控用户对各应用系统的资源请求,统计请求频率等信息为后续添加报警机制及性能优化做参考;另一方面,可以自动批量生成资源策略,减少系统数据初始化的繁琐工作,降低权限管理系统的维护成本;再一方面,可以自动生成角色策略,便捷安全管理员的系统操作。
本公开还提供了一种资源访问策略生成装置。参考图8所示,该资源访问策略生成装置可以包括请求解析模块810、信息组装模块820以及访问策略生成模块830。其中:
请求解析模块810可以用于接收访问请求,并对所述访问请求进行解析,得到待访问系统资源的应用地址、与所述待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息;
信息组装模块820可以用于对所述应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;
访问策略生成模块830可以用于根据所述决策结果生成访问策略,并将所述访问策略发送给应用系统,以使得应用系统根据所述访问策略,判断是否能够将所述待访问系统资源推送至所述访问请求的发起者对应的终端设备。
在本公开的一种示例性实施例中,所述根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果,包括:
根据所述上下文信息中包括的应用地址判断所述待访问系统资源是否开启权限控制,得到第一判断结果;
根据所述上下文信息中包括的资源客体信息是否维护在所述权限管理系统中,得到第二判断结果;
根据所述上下文信息中包括的主体信息判断所述访问请求的发起者是否具有访问权限,得到第三判断结果;
根据所述第一判断结果、第二判断结果以及第三判断结果,得到所述决策结果。
在本公开的一种示例性实施例中,所述决策结果包括:匹配到与所述待访问系统资源对应的授权策略、未匹配到与所述待访问系统资源对应的授权策略以及不存在与所述待访问系统资源对应的资源客体信息中的至少一种;
其中,根据所述第一判断结果、第二判断结果以及第三判断结果,得到所述决策结果,包括:
在所述第一判断结果、第二判断结果以及第三判断结果均为是时,得到所述决策结果为匹配到与所述待访问系统资源对应的授权策略;
在所述第一判断结果为是、第二判断结果为是,第三判断结果为否时,得到所述决策结果为未匹配到与所述待访问系统资源对应的授权策略;
在所述第一判断结果为否,或者第二判断结果为否时,得到所述决策结果为不存在与所述待访问系统资源对应的资源客体信息。
在本公开的一种示例性实施例中,所述访问策略包括资源策略和/或角色策略;
其中,所述根据所述决策结果生成访问策略,包括:
根据所述访问请求以及所述决策结果生成策略发现消息,并将所述策略发现消息推送至预设的消息队列中;
在监测到所述预设的消息队列中存在所述策略发现消息时,根据所述决策结果以及预设的应用维度生成所述访问策略。
在本公开的一种示例性实施例中,所述根据所述决策结果以及预设的应用维度生成所述访问策略,包括:
当所述决策结果为未匹配到与所述待访问系统资源对应的授权策略时,根据所述角色维度以及所述主体信息,生成所述角色策略;
当所述决策结果为不存在与所述待访问系统资源对应的资源客体信息时,根据所述资源维度以及所述应用地址,生成资源策略。
在本公开的一种示例性实施例中,所述根据所述资源维度以及所述应用地址,生成资源策略,包括:
获取所述待访问系统资源的被拦截次数以及与所述访问请求对应的IP地址;
在判断所述拦截次数小于预设阈值,且所述IP地址并未存在于预设的黑名单地址中时,根据所述资源维度以及所述应用地址,生成资源策略。
本公开还提供了一种资源访问装置。参考图9所示,该资源访问装置可以包括访问请求拦截模块910、第一判断模块920、第二判断模块930以及访问权限开放模块940。其中:
访问请求拦截模块910可以用于对接收到的访问请求进行拦截,并将所述访问请求发送至权限管理系统,并接收权限管理系统发送的访问策略;其中,所述访问策略是所述权限管理系统在接收到所述访问请求以后,根据上述任意一项所述的资源访问策略生成方法生成的;
第一判断模块920可以用于根据所述访问策略判断所述访问请求中包括的与所访问系统资源对应的资源客体信息是否存在于权限管理系统中;
第二判断模块930可以用于在确定与所访问系统资源对应的资源客体信息是否存在于权限管理系统中时,根据所述访问策略判断所述访问请求的发起者是否具有对所述待访问系统资源的访问权限;
访问权限开放模块940可以用于在判断所述访问请求的发起者具有对所述待访问系统资源的访问权限时,将所述待访问系统资源推送至所述访问请求的发起者对应的终端设备,以使得所述终端设备对所述资源客体信息进行加载,实现对所述待访问系统资源的访问。
上述资源访问策略生成装置以及资源访问装置中各模块的具体细节已经在对应的资源访问策略生成方法以及资源访问方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
在本发明的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图10来描述根据本发明的这种实施方式的电子设备1000。图10显示的电子设备1000仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图10所示,电子设备1000以通用计算设备的形式表现。电子设备1000的组件可以包括但不限于:上述至少一个处理单元1010、上述至少一个存储单元1020、连接不同系统组件(包括存储单元1020和处理单元1010)的总线1030以及显示单元1040。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元1010执行,使得所述处理单元1010执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图1中所示的步骤S110:接收访问请求,并对所述访问请求进行解析,得到待访问系统资源的应用地址、访问请求的发起者的主体信息以及与所述待访问系统资源对应的资源客体信息;步骤S120:对所述应用地址、主体信息以及资源客体信息进行组装,得到上下文信息,并根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;步骤S130:根据所述决策结果生成访问策略,并将所述访问策略发送给应用系统,以使得应用系统根据所述访问策略,判断是否能够将所述待访问系统资源推送至所述访问请求的发起者对应的终端设备。
又例如,所述处理单元1010还可以执行如图6中所示的步骤S610:对接收到的访问请求进行拦截,并将所述访问请求发送至权限管理系统,并接收权限管理系统发送的访问策略;其中,所述访问策略是所述权限管理系统在接收到所述访问请求以后,根据上述所述的资源访问策略生成方法生成的;步骤S620:根据所述访问策略判断所述访问请求中包括的与所访问系统资源对应的资源客体信息是否存在于权限管理系统中;步骤S630:在确定与所访问系统资源对应的资源客体信息是否存在于权限管理系统中时,根据所述访问策略判断所述访问请求的发起者是否具有对所述待访问系统资源的访问权限;步骤S640:在判断所述访问请求的发起者具有对所述待访问系统资源的访问权限时,将所述待访问系统资源推送至所述访问请求的发起者对应的终端设备,以使得所述终端设备对所述资源客体信息进行加载,实现对所述待访问系统资源的访问。
存储单元1020可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)10201和/或高速缓存存储单元10202,还可以进一步包括只读存储单元(ROM)10203。
存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204,这样的程序模块10205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1030可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1000也可以与一个或多个外部设备1100(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1000交互的设备通信,和/或与使得该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1050进行。并且,电子设备1000还可以通过网络适配器1060与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1060通过总线1030与电子设备1000的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1000使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本发明实施方式的方法。
在本发明的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明的实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里发明的发明后,将容易想到本发明的其他实施例。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由权利要求指出。
Claims (10)
1.一种资源访问策略生成方法,其特征在于,包括:
接收访问请求,并对所述访问请求进行解析,得到待访问系统资源的应用地址、与所述待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息;
对所述应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;
根据所述决策结果生成访问策略,并将所述访问策略发送给应用系统,以使得应用系统根据所述访问策略,判断是否能够将所述待访问系统资源推送至与所述访问请求的发起者对应的终端设备。
2.根据权利要求1所述的资源访问策略生成方法,其特征在于,所述根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果,包括:
根据所述上下文信息中包括的应用地址判断所述待访问系统资源是否开启权限控制,得到第一判断结果;
根据所述上下文信息中包括的资源客体信息是否维护在所述权限管理系统中,得到第二判断结果;
根据所述上下文信息中包括的主体信息判断所述访问请求的发起者是否具有访问权限,得到第三判断结果;
根据所述第一判断结果、第二判断结果以及第三判断结果,得到所述决策结果。
3.根据权利要求2所述的资源访问策略生成方法,其特征在于,所述决策结果包括:匹配到与所述待访问系统资源对应的授权策略、未匹配到与所述待访问系统资源对应的授权策略以及不存在与所述待访问系统资源对应的资源客体信息中的至少一种;
其中,根据所述第一判断结果、第二判断结果以及第三判断结果,得到所述决策结果,包括:
在所述第一判断结果、第二判断结果以及第三判断结果均为是时,得到所述决策结果为匹配到与所述待访问系统资源对应的授权策略;
在所述第一判断结果为是、第二判断结果为是,第三判断结果为否时,得到所述决策结果为未匹配到与所述待访问系统资源对应的授权策略;
在所述第一判断结果为否,或者第二判断结果为否时,得到所述决策结果为不存在与所述待访问系统资源对应的资源客体信息。
4.根据权利要求3所述的资源访问策略生成方法,其特征在于,所述访问策略包括资源策略和角色策略之中的至少一种;
其中,所述根据所述决策结果生成访问策略,包括:
根据所述访问请求以及所述决策结果生成策略发现消息,并将所述策略发现消息推送至预设的消息队列中;
在监测到所述预设的消息队列中存在所述策略发现消息时,根据所述决策结果以及预设的应用维度生成所述访问策略。
5.根据权利要求4所述的资源访问策略生成方法,其特征在于,所述根据所述决策结果以及预设的应用维度生成所述访问策略,包括:
当所述决策结果为未匹配到与所述待访问系统资源对应的授权策略时,根据所述角色维度以及所述主体信息,生成所述角色策略;
当所述决策结果为不存在与所述待访问系统资源对应的资源客体信息时,根据所述资源维度以及所述应用地址,生成资源策略。
6.根据权利要求5所述的资源访问策略生成方法,其特征在于,所述根据所述资源维度以及所述应用地址,生成资源策略,包括:
获取所述待访问系统资源的被拦截次数以及与所述访问请求对应的IP地址;
在判断所述拦截次数小于预设阈值,且所述IP地址并未存在于预设的黑名单地址中时,根据所述资源维度以及所述应用地址,生成资源策略。
7.一种资源访问方法,其特征在于,包括:
对接收到的访问请求进行拦截,并将所述访问请求发送至权限管理系统,并接收权限管理系统发送的访问策略;其中,所述访问策略是所述权限管理系统在接收到所述访问请求以后,根据上述权利要求1-6任一项所述的资源访问策略生成方法生成的;
根据所述访问策略判断所述访问请求中包括的与所访问系统资源对应的资源客体信息是否存在于权限管理系统中;
在确定与所访问系统资源对应的资源客体信息是否存在于权限管理系统中时,根据所述访问策略判断所述访问请求的发起者是否具有对所述待访问系统资源的访问权限;
在判断所述访问请求的发起者具有对所述待访问系统资源的访问权限时,将所述待访问系统资源推送至所述访问请求的发起者对应的终端设备,以使得所述终端设备对所述资源客体信息进行加载,实现对所述待访问系统资源的访问。
8.一种资源访问策略生成装置,其特征在于,包括:
请求解析模块,用于接收访问请求,并对所述访问请求进行解析,得到待访问系统资源的应用地址、与所述待访问系统资源对应的资源客体信息以及访问请求的发起者的主体信息;
信息组装模块,用于对所述应用地址、资源客体信息以及主体信息进行组装,得到上下文信息,并根据所述上下文信息对访问请求的发起者的访问权限进行认证,得到决策结果;
访问策略生成模块,用于根据所述决策结果生成访问策略,并将所述访问策略发送给应用系统,以使得应用系统根据所述访问策略,判断是否能够将所述待访问系统资源推送至与所述访问请求的发起者对应的终端设备。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-6任一项所述的资源访问策略生成方法,以及权利要求7所述的资源访问方法。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-6任一项所述的资源访问策略生成方法,以及权利要求7所述的资源访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011043317.5A CN112187799B (zh) | 2020-09-28 | 2020-09-28 | 资源访问策略生成方法及装置、存储介质、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011043317.5A CN112187799B (zh) | 2020-09-28 | 2020-09-28 | 资源访问策略生成方法及装置、存储介质、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112187799A true CN112187799A (zh) | 2021-01-05 |
| CN112187799B CN112187799B (zh) | 2023-04-07 |
Family
ID=73946641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011043317.5A Active CN112187799B (zh) | 2020-09-28 | 2020-09-28 | 资源访问策略生成方法及装置、存储介质、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112187799B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472820A (zh) * | 2021-09-06 | 2021-10-01 | 中铁信弘远(北京)软件科技有限责任公司 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
| CN114422197A (zh) * | 2021-12-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于策略管理的权限访问控制方法及系统 |
| CN114726639A (zh) * | 2022-04-24 | 2022-07-08 | 国网河南省电力公司信息通信公司 | 一种访问控制策略自动编排方法及系统 |
| CN115225363A (zh) * | 2022-07-13 | 2022-10-21 | 中国电信股份有限公司 | 边缘能力的开放方法及装置、存储介质、电子设备 |
| WO2022247626A1 (zh) * | 2021-05-27 | 2022-12-01 | 华为技术有限公司 | 基于应用身份的访问控制方法、相关装置及系统 |
| CN117424764A (zh) * | 2023-12-19 | 2024-01-19 | 中关村科学城城市大脑股份有限公司 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103176817A (zh) * | 2012-12-21 | 2013-06-26 | 中国电力科学研究院 | 一种基于自学习的Linux安全策略配置方法 |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN109951485A (zh) * | 2019-03-20 | 2019-06-28 | 重庆邮电大学 | 一种基于sdn的物联网访问控制方法 |
| CN110197075A (zh) * | 2018-04-11 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 资源访问方法、装置、计算设备以及存储介质 |
| CN110298188A (zh) * | 2019-02-02 | 2019-10-01 | 奇安信科技集团股份有限公司 | 动态访问权限的控制方法及系统 |
| CN110855651A (zh) * | 2019-11-05 | 2020-02-28 | 中盈优创资讯科技有限公司 | 一种基于流量驱动的访问控制策略的自动生成方法及系统 |
| CN111064718A (zh) * | 2019-12-09 | 2020-04-24 | 国网河北省电力有限公司信息通信分公司 | 一种基于用户上下文及策略的动态授权方法和系统 |
-
2020
- 2020-09-28 CN CN202011043317.5A patent/CN112187799B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103176817A (zh) * | 2012-12-21 | 2013-06-26 | 中国电力科学研究院 | 一种基于自学习的Linux安全策略配置方法 |
| CN103532981A (zh) * | 2013-10-31 | 2014-01-22 | 中国科学院信息工程研究所 | 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法 |
| CN110197075A (zh) * | 2018-04-11 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 资源访问方法、装置、计算设备以及存储介质 |
| CN110298188A (zh) * | 2019-02-02 | 2019-10-01 | 奇安信科技集团股份有限公司 | 动态访问权限的控制方法及系统 |
| CN109951485A (zh) * | 2019-03-20 | 2019-06-28 | 重庆邮电大学 | 一种基于sdn的物联网访问控制方法 |
| CN110855651A (zh) * | 2019-11-05 | 2020-02-28 | 中盈优创资讯科技有限公司 | 一种基于流量驱动的访问控制策略的自动生成方法及系统 |
| CN111064718A (zh) * | 2019-12-09 | 2020-04-24 | 国网河北省电力有限公司信息通信分公司 | 一种基于用户上下文及策略的动态授权方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 谢辉等: "基于UCON模型的PMI体系结构", 《计算机工程与设计》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022247626A1 (zh) * | 2021-05-27 | 2022-12-01 | 华为技术有限公司 | 基于应用身份的访问控制方法、相关装置及系统 |
| CN113472820A (zh) * | 2021-09-06 | 2021-10-01 | 中铁信弘远(北京)软件科技有限责任公司 | 一种基于零信任模型的云资源安全隔离控制方法及系统 |
| CN114422197A (zh) * | 2021-12-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于策略管理的权限访问控制方法及系统 |
| CN114726639A (zh) * | 2022-04-24 | 2022-07-08 | 国网河南省电力公司信息通信公司 | 一种访问控制策略自动编排方法及系统 |
| CN114726639B (zh) * | 2022-04-24 | 2023-08-22 | 国网河南省电力公司信息通信公司 | 一种访问控制策略自动编排方法及系统 |
| CN115225363A (zh) * | 2022-07-13 | 2022-10-21 | 中国电信股份有限公司 | 边缘能力的开放方法及装置、存储介质、电子设备 |
| CN115225363B (zh) * | 2022-07-13 | 2024-01-30 | 中国电信股份有限公司 | 边缘能力的开放方法及装置、存储介质、电子设备 |
| CN117424764A (zh) * | 2023-12-19 | 2024-01-19 | 中关村科学城城市大脑股份有限公司 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
| CN117424764B (zh) * | 2023-12-19 | 2024-02-23 | 中关村科学城城市大脑股份有限公司 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112187799B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112187799B (zh) | 资源访问策略生成方法及装置、存储介质、电子设备 | |
| CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
| US10158670B1 (en) | Automatic privilege determination | |
| CN109670297B (zh) | 业务权限的开通方法、装置、存储介质及电子设备 | |
| US10592399B2 (en) | Testing web applications using clusters | |
| US10362046B1 (en) | Runtime behavior of computing resources of a distributed environment | |
| US9535727B1 (en) | Identifying virtual machines that perform inconsistent with a profile | |
| CN109995523B (zh) | 激活码管理方法及装置、激活码生成方法及装置 | |
| CN112838951B (zh) | 一种终端设备的运维方法、装置、系统及存储介质 | |
| EP4066459A1 (en) | Security service | |
| CN111954240A (zh) | 网络故障处理方法、装置及电子设备 | |
| WO2021155683A1 (zh) | 日志打印方法、装置、电子设备和存储介质 | |
| CN111586177B (zh) | 集群会话防丢失方法及系统 | |
| CN113922995A (zh) | 一种云桌面共享方法、装置、存储介质及电子设备 | |
| CN112953896A (zh) | 日志报文的回放方法及装置 | |
| CN111935092B (zh) | 一种基于第三方应用的信息交互方法、装置和电子设备 | |
| CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
| EP3483768A1 (en) | Static program analysis of a partial software program | |
| CN114357449A (zh) | 异常进程检测方法及装置、电子设备和存储介质 | |
| CN110825599A (zh) | 信息管理系统监控方法、装置、介质、电子设备和系统 | |
| CN113612756B (zh) | 共享登录方法及装置、计算机可读存储介质、电子设备 | |
| CN114640585B (zh) | 一种资源更新方法、装置、电子设备和存储介质 | |
| CN112632022B (zh) | 对象存储方法及装置、计算机可读存储介质以及电子设备 | |
| CN114756298B (zh) | 程序实例管理方法及装置、计算机存储介质、电子设备 | |
| EP4095726A1 (en) | System and method for building a security monitor in a microkernel |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 221, 2 / F, block C, 18 Kechuang 11th Street, Daxing District, Beijing, 100176 Applicant after: Jingdong Technology Holding Co.,Ltd. Address before: Room 221, 2 / F, block C, 18 Kechuang 11th Street, Daxing District, Beijing, 100176 Applicant before: Jingdong Digital Technology Holding Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |