CN112464213B - 一种操作系统访问控制方法、装置、设备及存储介质 - Google Patents

一种操作系统访问控制方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN112464213B
CN112464213B CN202011293747.2A CN202011293747A CN112464213B CN 112464213 B CN112464213 B CN 112464213B CN 202011293747 A CN202011293747 A CN 202011293747A CN 112464213 B CN112464213 B CN 112464213B
Authority
CN
China
Prior art keywords
role
target
login
target user
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011293747.2A
Other languages
English (en)
Other versions
CN112464213A (zh
Inventor
王传国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202011293747.2A priority Critical patent/CN112464213B/zh
Publication of CN112464213A publication Critical patent/CN112464213A/zh
Application granted granted Critical
Publication of CN112464213B publication Critical patent/CN112464213B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种操作系统访问控制方法,该方法包括以下步骤:接收目标用户的访问请求,访问请求中携带目标用户的用户名;基于目标用户的用户名,确定目标用户具有的角色集;确定目标用户的登陆地址和登陆时间;根据登陆地址、登陆时间及角色集中每个角色的连接限制数据,确定角色集中是否存在允许登陆的目标角色;如果存在,则允许目标用户以目标角色登陆,以使目标用户对操作系统进行访问。应用本申请所提供的技术方案,加强了对操作系统访问控制的安全性,而且不需要额外的硬件设备的支持,避免增加额外的硬件成本。本申请还公开了一种操作系统访问控制装置、设备及存储介质,具有相应技术效果。

Description

一种操作系统访问控制方法、装置、设备及存储介质
技术领域
本申请涉及计算机应用技术领域,特别是涉及一种操作系统访问控制方法、装置、设备及存储介质。
背景技术
随着计算机技术的快速发展,Linux、Unix等各种操作系统的应用越来越广泛,对操作系统访问的安全性问题也受到越来越多的关注。
目前,对操作系统的访问多是通过账号+密码的形式保障安全性,更进一步可能会通过指纹识别、人脸识别、虹膜识别等对用户身份进行二次验证。
单纯使用账号+密码的形式,如果密码泄漏,则容易被非法登陆,安全性较弱,通过指纹识别、人脸识别、虹膜识别等对用户身份进行二次验证的方式,需要增加额外的硬件设备,如需要指纹识别设备、人脸识别设备、虹膜识别设备等的支持,硬件成本较高。
综上所述,如何加强对操作系统的安全访问,避免增加额外的硬件成本,是目前本领域技术人员急需解决的技术问题。
发明内容
本申请的目的是提供一种操作系统访问控制方法、装置、设备及存储介质,以加强对操作系统的安全访问,避免增加额外的硬件成本。
为解决上述技术问题,本申请提供如下技术方案:
一种操作系统访问控制方法,包括:
接收目标用户的访问请求,所述访问请求中携带所述目标用户的用户名;
基于所述目标用户的用户名,确定所述目标用户具有的角色集;
确定所述目标用户的登陆地址和登陆时间;
根据所述登陆地址、所述登陆时间及所述角色集中每个角色的连接限制数据,确定所述角色集中是否存在允许登陆的目标角色;
如果存在,则允许所述目标用户以所述目标角色登陆,以使所述目标用户对操作系统进行访问。
在本申请的一种具体实施方式中,所述基于所述目标用户的用户名,确定所述目标用户具有的角色集,包括:
在用户和角色配置文件中,查找与所述目标用户的用户名对应的角色;
将查找到的角色构成的集合确定为所述目标用户具有的角色集。
在本申请的一种具体实施方式中,所述根据所述登陆地址、所述登陆时间及所述角色集中每个角色的连接限制数据,确定所述角色集中是否存在允许登陆的目标角色,包括:
确定所述目标用户的登陆地址和登陆时间;
将所述登陆地址和所述登陆时间与所述角色集中每个角色的连接限制数据进行对比;
根据对比结果,确定所述角色集中是否存在允许登陆的目标角色。
在本申请的一种具体实施方式中,所述根据对比结果,确定所述角色集中是否存在允许登陆的目标角色,包括:
如果所述角色集中存在连接限制数据包含所述登陆地址和所述登陆时间的角色,则确定所述角色集中存在允许登录的目标角色,并将首个对比成功的角色确定为所述目标角色。
在本申请的一种具体实施方式中,在所述允许所述目标用户以所述目标角色登陆之后,还包括:
在角色和权能配置文件中,获取所述目标角色的所有权能;
基于所述目标角色的所有权能,确定当前的访问进程的能力集;
在所述访问进程的生命周期中,针对所述访问进程及其子进程的每个特权操作,根据该特权操作的能力集与所述访问进程的能力集的匹配关系,确定是否允许执行该特权操作。
在本申请的一种具体实施方式中,所述根据该特权操作的能力集与所述访问进程的能力集的匹配关系,确定是否允许执行该特权操作,包括:
如果所述访问进程的能力集包含该特权操作的能力集,则确定允许执行该特权操作。
在本申请的一种具体实施方式中,还包括:
在所述目标用户对操作系统进行访问过程中,如果在设定时长内没有任何操作,则断开与所述目标用户的连接。
一种操作系统访问控制装置,包括:
访问请求接收单元,用于接收目标用户的访问请求,所述访问请求中携带所述目标用户的用户名;
角色集确定单元,用于基于所述目标用户的用户名,确定所述目标用户具有的角色集;
登陆信息确定单元,用于确定所述目标用户的登陆地址和登陆时间;
目标角色确定单元,用于根据所述登陆地址、所述登陆时间及所述角色集中每个角色的连接限制数据,确定所述角色集中是否存在允许登陆的目标角色;
登陆控制单元,用于在所述角色集中存在允许登陆的目标角色的情况下,允许所述目标用户以所述目标角色登陆,以使所述目标用户对操作系统进行访问。
一种操作系统访问控制设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述操作系统访问控制方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述操作系统访问控制方法的步骤。
应用本申请实施例所提供的技术方案,接收到目标用户的访问请求后,基于访问请求中携带的目标用户的用户名,可以确定目标用户具有的角色集,确定目标用户的登陆地址和登陆时间,根据登陆地址、登陆时间及角色集中每个角色的连接限制数据,可以确定角色集中是否存在允许登陆的目标角色,如果存在,则可以允许目标用户以目标角色登陆,目标用户可以对操作系统进行访问。通过目标用户的登陆地址、登陆时间、具有的角色和每个角色的连接限制数据,可以对是否允许目标用户登陆并进行访问进行判定,加强了对操作系统访问控制的安全性,而且不需要额外的硬件设备的支持,避免增加额外的硬件成本。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种操作系统访问控制方法的实施流程图;
图2为本申请实施例中一种操作系统访问控制具体过程示意图;
图3为本申请实施例中一种操作系统访问控制装置的结构示意图;
图4为本申请实施例中一种操作系统访问控制设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1所示,为本申请实施例所提供的一种操作系统访问控制方法的实施流程图,该方法可以包括以下步骤:
S110:接收目标用户的访问请求。
访问请求中携带目标用户的用户名。
在实际应用中,用户可以根据实际需要通过用户名、密码等登陆操作系统,发起对操作系统的访问请求。
本申请实施例可以在接收到目标用户的访问请求后,先对其进行常规的用户名、密码的验证,验证通过后,再进行本申请其他步骤的操作。目标用户可以为任意一个用户,访问请求中可以携带目标用户的用户名。
S120:基于目标用户的用户名,确定目标用户具有的角色集。
在接收到目标用户的访问请求后,可以对访问请求进行解析,获得访问请求中携带的目标用户的用户名。基于目标用户的用户名,可以确定目标用户具有的角色集。一个用户可以具有多个角色,其所具有的多个角色构成角色集。
在本申请的一种具体实施方式中,该步骤可以包括以下步骤:
步骤一:在用户和角色配置文件中,查找与目标用户的用户名对应的角色;
步骤二:将查找到的角色构成的集合确定为目标用户具有的角色集。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,可以预先进行用户名和角色对应关系的配置,构成用户和角色配置文件。用户名可以唯一标识一个用户。用户和角色配置文件指明一个用户具有的角色,一个用户具有的角色可以有多个。
用户和角色配置文件中各项配置格式可以如下:
用户名;角色。
其中,如果一个用户具有多个角色,则多个角色中间可以以逗号间隔开。
举例而言:
test1;day_sys_r,night_guest_r
root;day_sys_r,night_sys_r
test2;secadm_r
在上述示例中,用户名为test1的用户具有两个角色,day_sys_r和 night_guest_r,即白天系统管理员、夜晚访客;用户名为root的用户具有两个角色,day_sys_r和night_sys_r,即白天系统管理员、夜晚系统管理员;用户名为test2的用户具有一个角色,secadm_r,即安全管理员。
需要说明的是,上述示例仅为一种具体形式,在实际应用中,可以根据具体场景等设定不同形式。
在接收到目标用户的访问请求后,可以解析得到目标用户的用户名。通过目标用户的用户名,可以在用户和角色配置文件中查找该用户名对应的角色。查找到的角色可能有一个或多个。将查找到的角色构成的集合确定为目标用户具有的角色集。
S130:确定目标用户的登陆地址和登陆时间。
在本申请实施例中,接收到目标用户的访问请求后,对访问请求进行解析,还可以获得目标用户的登陆地址,如登陆IP地址等。接收到目标用户的访问请求的时间即可认为是登陆时间。
S140:根据登陆地址、登陆时间及角色集中每个角色的连接限制数据,确定角色集中是否存在允许登陆的目标角色。
在本申请实施例中,可以预先进行每个角色的连接限制的配置,构成连接限制配置文件。连接限制配置文件可以指明一个角色允许其登陆的时间范围和地址范围。地址可以为IP地址。
以地址为IP地址为例,连接限制配置文件中各项配置格式可以如下:
角色名;时间范围;IP地址范围。
其中,IP地址范围和时间范围都可为多个,多个IP地址范围或者多个时间范围中间可以以逗号间隔开;范围起始和范围结束之间以横线间隔开;IP 地址以字符串格式标识,如果中间没有横线则表示为单个IP地址,如果有横线则范围起始和结束必须都明确存在,否则无效,跳过;时间以时:分的格式表示,范围起始和结束必须明确存在,否则无效,跳过;如果没有IP范围,则表示不限制登陆IP;如果没有时间范围,则表示不限制登陆时间。
举例而言:
day_sys_r;8:00-11:30,14:00-18:00;192.168.1.1-192.168.1.254,172.16.0.8,127. 0.0.1
night_sys_r;0:00-8:00,18:00-24:00;192.168.1.2,127.0.0.1
secadm_r;127.0.0.1
上述示例中,允许角色day_sys_r(白天系统管理员)在上午8点到11点 30分、下午14点到18点的时间范围内,在IP范围192.168.1.1-192.168.1.254、 IP地址172.16.0.8、以及本地(127.0.0.1)登陆;允许角色night_sys_r(夜晚系统管理员)在凌晨0点到上午8点、下午18点到晚上24点的时间范围内,在IP地址192.168.1.2和本地(127.0.0.1)登陆;允许角色secadm_r(安全管理员)在任意时间登陆,但只能在本地登陆。
需要说明的是,上述示例仅为一种具体形式,在实际应用中,可以根据具体场景等设定不同形式。
连接限制配置文件中每一项表明一个角色所对应的连接限制数据。通过连接限制配置文件可以确定目标用户具有的角色集中每个角色的连接限制数据。根据登陆地址、登陆时间及角色集中每个角色的连接限制数据,可以确定角色集中是否存在允许登陆的目标角色。
在本申请的一种具体实施方式中,该步骤可以包括以下步骤:
第一个步骤:将登陆地址和登陆时间与角色集中每个角色的连接限制数据进行对比;
第二个步骤:根据对比结果,确定角色集中是否存在允许登陆的目标角色。
为便于描述,将上述两个步骤结合起来进行说明。
在本申请实施例中,在确定得到目标用户的登陆地址和登陆时间等登陆信息后,可以将登陆地址和登陆时间与角色集中每个角色的连接限制数据进行对比。可以按照角色集中角色的顺序,逐一进行对比。
对于角色集中每个角色而言,该角色的连接限制数据包括允许该角色登陆的时间范围和地址范围,将目标用户的登陆地址和登陆时间与该角色的连接限制数据进行对比,如果登陆地址在允许该角色登陆的地址范围内,且登陆时间在允许该角色登陆的时间范围内,则可以确定目标用户的登陆时间和登陆地址与该角色的连接限制数据对比成功。反之,如果目标用户的登陆地址不在允许该角色登陆的地址范围内,或者目标用户的登陆时间不在允许该角色登陆的时间范围内,都可以认为目标用户的登陆时间和登陆地址与该角色的连接限制数据对比不成功。
根据对比结果,可以确定角色集中是否存在允许登陆的目标角色,目标角色即为对比成功的角色。具体的,如果角色集中存在连接限制数据包含登陆地址和登陆时间的角色,则确定角色集中存在允许登陆的目标角色,并将首个对比成功的角色确定为目标角色。
在实际应用中,连接限制配置文件中不同角色的允许登陆的时间范围和地址范围的设定可能出现交叠。如果一个用户具有多个角色,则可以认为其在用户和角色配置文件中对应的越靠前的角色的优先级越高。本申请中将首个比对成功的角色确定为目标角色,在确定出首个比对成功的角色后可以不再对角色集中后面的其他角色进行对比,以保证目标用户可以使用较高优先级的角色进行登陆。
S150:如果角色集中存在允许登陆的目标角色,则允许目标用户以目标角色登陆,以使目标用户对操作系统进行访问。
在步骤S140根据登陆地址、登陆时间及角色集中每个角色的连接限制数据,确定角色集中是否存在允许登陆的目标角色。如果存在,则可以允许目标用户以目标角色登陆,这样目标用户就可以对操作系统进行访问。操作系统可以是Linux或Unix等操作系统。如果不存在,则可以拒绝目标用户的访问请求,同时可以记录日志。
应用本申请实施例所提供的方法,接收到目标用户的访问请求后,基于访问请求中携带的目标用户的用户名,可以确定目标用户具有的角色集,确定目标用户的登陆地址和登陆时间,根据登陆地址、登陆时间及角色集中每个角色的连接限制数据,可以确定角色集中是否存在允许登陆的目标角色,如果存在,则可以允许目标用户以目标角色登陆,目标用户可以对操作系统进行访问。通过目标用户的登陆地址、登陆时间、具有的角色和每个角色的连接限制数据,可以对是否允许目标用户登陆并进行访问进行判定,加强了对操作系统访问控制的安全性,而且不需要额外的硬件设备的支持,避免增加额外的硬件成本。
在本申请的一个实施例中,在允许目标用户以目标角色登陆之后,该方法还可以包括以下步骤:
步骤一:在角色和权能配置文件中,获取目标角色的所有权能;
步骤二:基于目标角色的所有权能,确定当前的访问进程的能力集;
步骤三:在访问进程的生命周期中,针对访问进程及其子进程的每个特权操作,根据该特权操作的能力集与访问进程的能力集的匹配关系,确定是否允许执行该特权操作。
为便于描述,将上述三个步骤结合起来进行说明。
在本申请实施例中,可以预先进行角色和权能的对应关系的配置,构成角色和权能配置文件。角色和权能配置文件可以指明一个角色具备的权能。
角色和权能配置文件中各项配置格式可以如下:
角色;权能。
其中,一个角色具备的权能可以有多个,多个权能中间以逗号间隔开;如果权能为空,则该角色不具有任何特权权能;可以进一步拆分角色的权能,把一类角色按时间范围和IP地址范围进一步划分,形成多个角色,各角色所具备的权能可以不完全相同,可以有细微差别。比如,系统管理员可以分为白天系统管理员、夜晚系统管理员、本地系统管理员、外部系统管理员等。
举例而言:
day_sys_r;CAP_NET_ADMIN,CAP_NET_RAW,CAP_SYS_MODULE,CAP _SYS_ADMIN,CAP_SYS_BOOT,CAP_SYS_TIME,CAP_AUDIT_WRITE
night_sys_r;CAP_NET_ADMIN,CAP_NET_RAW,CAP_SYS_MODULE,CA P_SYS_ADMIN,CAP_SYS_BOOT,CAP_SYS_TIME,CAP_AUDIT_WRITE
secadm_r;CAP_SETGID,CAP_SETUID,CAP_AUDIT_WRITE
上述示例分别表示day_sys_r(白天系统管理员)、night_sys_r(夜晚系统管理员)和secadm_r(安全管理员)具备的特权权能。
需要说明的是,上述示例仅为一种具体形式,在实际应用中,可以根据具体场景等设定不同形式。
在接收到目标用户的访问请求,确定目标用户具有的角色集中存在允许登陆的目标角色,并允许目标用户以目标角色登陆后,目标用户即可登陆到操作系统,对操作系统进行相应访问。
在允许目标用户以目标角色登陆之后,可以在角色和权能配置文件中,获取目标角色的所有权能。基于目标角色的所有权能,可以确定当前的访问进程的能力集。子进程自动继承父进程的能力集,访问进程的所有级子进程与访问进程具有同样的能力集。
比如,目标角色为白天系统管理员,则基于该目标角色的所有权能,可以确定当前访问进程的能力集应包括CAP_NET_ADMIN、CAP_NET_RAW、 CAP_SYS_MODULE、CAP_SYS_ADMIN、CAP_SYS_BOOT、 CAP_SYS_TIME、CAP_AUDIT_WRITE所对应的能力。
在访问进程的生命周期中,针对访问进程及其子进程的每个特权操作,可以根据该特权操作的能力集与访问进程的能力集的匹配关系,确定是否允许执行该特权操作。可以预先为每个特权操作设定能力集,并进行相应标记。在访问进程及其子进程执行所需操作的过程中,如果是特权操作,则先确定该特权操作的能力集,将访问进程的能力集与该特权操作的能力集进行匹配,得到相应的匹配关系,根据该匹配关系可以确定是否允许执行该特权操作。
具体的,如果访问进程的能力集包含该特权操作的能力集,则可以确定允许执行该特权操作。相应的,如果访问进程的能力集未包含该特权操作的能力集,则表明访问进程及其子进程不具有执行该特权操作的能力,拒绝其执行该特权操作。以进一步加强对操作系统的访问安全性。
图2所示为本申请实施例所提供的技术方案的具体过程示意图,在有用户要登陆时,通过用户和角色配置文件、连接限制配置文件进行连接认证,确定要登陆的用户具有的角色集中是否存在允许登陆的目标角色,即进行角色匹配,如果匹配成功,则进一步通过用户和角色配置文件、角色和权能配置文件确定目标角色的所有权能,以在访问进程的生命周期中,针对访问进程及其子进程的每个特权操作,根据该特权操作的能力集与访问进程的能力集的匹配关系,确定是否允许执行该特权操作,进行特权操作控制。如果匹配失败,则拒绝目标用户登陆。
在相关技术中,用户通过用户名和密码登陆,虽然也可能会设定特权能力,但是如果出现密码泄漏,则可能多个用户、多种角色的密码都泄漏了,无法对非法登陆和非法操作进行限制和防御。本申请在基于角色的访问控制方案的基础上,增加了允许登陆的地址范围和时间范围的限制,即使出现意外的密码泄漏,仍因为存在允许登陆的地址范围的时间范围的限制,所以可以有效防御非法登陆和非法操作,进一步增强了系统安全性和稳定性。
在实际应用本申请实施例的过程中,一个用户虽然可以对应多个角色,但因为登陆地址和登陆时间的不同,可以使得同一时刻只能具备一个角色,不同时刻可能具备不同角色。一个用户因为其登陆时所在的地方(IP地址)、登陆时的时间等的不同,其角色/权限可能产生变化。例如,虽然登陆时间都是上午9点,但是用户在公司内和在家里所具备的角色/权限是不一样的。
在本申请的一个实施例中,在目标用户对操作系统进行访问过程中,如果在设定时长内没有任何操作,则断开与目标用户的连接。可以根据实际情况设定一个时长,在目标用户对操作系统进行访问过程中,如果在设定时长内没有监测到目标用户的任何操作,则可以认为目标用户已经离开或者网络出现故障,可以断开与目标用户的连接,以防止非法用户利用该连接对操作系统进行访问,产生安全隐患。
需要说明的是,在Linux中,本申请实施例所提供的技术方案可以通过 PAM模块执行。PAM模块全称是Pluggable Authentication Module for Linux(可插入式授权管理模块),在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。PAM可以应用在许多程序与服务上,比如登录程序(login、su)的PAM身份验证(口令认证、限制登录)、passwd强制密码、用户进程实时管理、向用户分配系统资源等。不同角色的权能控制可以通过Capability机制实现特权拆分、单独赋能。基于 Capability机制,可以用更小的粒度控制超级管理员权限,将root的特权分割成不同的能力,每种能力代表一定的特权操作,在进程运行时仅分派所需的特权,而不是所有的特权,可以让系统更安全。
本申请实施例所提供的技术方案既可对本地访问进行控制,也可对远程访问进行控制。在实际应用中,对Linux的远程访问一般以SSH(Secure Shell,安全外壳)协议进行,可以在/etc/pam.d/sshd中增加一行认证规则:auth required pam_limit.so,其中,pam_limit.so为认证模块so的名称,不固定,可更改。如果是基于其他协议的远程访问,则可以修改为其他相应的配置文件。如果是本地非SSH登陆,则需要修改配置文件/etc/pam.d/login,以127.0.0.1去配置文件比对。
相应于上面的方法实施例,本申请实施例还提供了一种操作系统访问控制装置,下文描述的操作系统访问控制装置与上文描述的操作系统访问控制方法可相互对应参照。
参见图3所示,该装置可以包括以下单元:
访问请求接收单元310,用于接收目标用户的访问请求,访问请求中携带目标用户的用户名;
角色集确定单元320,用于基于目标用户的用户名,确定目标用户具有的角色集;
登陆信息确定单元330,用于确定目标用户的登陆地址和登陆时间;
目标角色确定单元340,用于根据登陆地址、登陆时间及角色集中每个角色的连接限制数据,确定角色集中是否存在允许登陆的目标角色;
登陆控制单元350,用于在角色集中存在允许登陆的目标角色的情况下,允许目标用户以目标角色登陆,以使目标用户对操作系统进行访问。
应用本申请实施例所提供的装置,接收到目标用户的访问请求后,基于访问请求中携带的目标用户的用户名,可以确定目标用户具有的角色集,确定目标用户的登陆地址和登陆时间,根据登陆地址、登陆时间及角色集中每个角色的连接限制数据,可以确定角色集中是否存在允许登陆的目标角色,如果存在,则可以允许目标用户以目标角色登陆,目标用户可以对操作系统进行访问。通过目标用户的登陆地址、登陆时间、具有的角色和每个角色的连接限制数据,可以对是否允许目标用户登陆并进行访问进行判定,加强了对操作系统访问控制的安全性,而且不需要额外的硬件设备的支持,避免增加额外的硬件成本。
在本申请的一种具体实施方式中,角色集确定单元320,用于:
在用户和角色配置文件中,查找与目标用户的用户名对应的角色;
将查找到的角色构成的集合确定为目标用户具有的角色集。
在本申请的一种具体实施方式中,目标角色确定单元340,用于:
将登陆地址和登陆时间与角色集中每个角色的连接限制数据进行对比;
根据对比结果,确定角色集中是否存在允许登陆的目标角色。
在本申请的一种具体实施方式中,目标角色确定单元340,用于:
如果角色集中存在连接限制数据包含登陆地址和登陆时间的角色,则确定角色集中存在允许登录的目标角色,并将首个对比成功的角色确定为目标角色。
在本申请的一种具体实施方式中,还包括特权操作控制单元,用于:
在允许目标用户以目标角色登陆之后,在角色和权能配置文件中,获取目标角色的所有权能;
基于目标角色的所有权能,确定当前的访问进程的能力集;
在访问进程的生命周期中,针对访问进程及其子进程的每个特权操作,根据该特权操作的能力集与访问进程的能力集的匹配关系,确定是否允许执行该特权操作。
在本申请的一种具体实施方式中,特权操作控制单元,用于:
如果访问进程的能力集包含该特权操作的能力集,则确定允许执行该特权操作。
在本申请的一种具体实施方式中,还包括连接断开控制单元,用于:
在目标用户对操作系统进行访问过程中,如果在设定时长内没有任何操作,则断开与目标用户的连接。
相应于上面的方法实施例,本申请实施例还提供了一种操作系统访问控制设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述操作系统访问控制方法的步骤。
如图4所示,为操作系统访问控制设备的组成结构示意图,操作系统访问控制设备可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行操作系统访问控制方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
接收目标用户的访问请求,访问请求中携带目标用户的用户名;
基于目标用户的用户名,确定目标用户具有的角色集;
确定目标用户的登陆地址和登陆时间;
根据登陆地址、登陆时间及角色集中每个角色的连接限制数据,确定角色集中是否存在允许登陆的目标角色;
如果存在,则允许目标用户以目标角色登陆,以使目标用户对操作系统进行访问。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能(比如数据对比功能、关系配置功能)所需的应用程序等;存储数据区可存储使用过程中所创建的数据,如配置数据、对比数据等。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口13可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中操作系统访问控制设备的限定,在实际应用中操作系统访问控制设备可以包括比图4 所示的更多或更少的部件,或者组合某些部件。
相应于上面的方法实施例,本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述操作系统访问控制方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器 (RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。

Claims (7)

1.一种操作系统访问控制方法,其特征在于,包括:
接收目标用户的访问请求,所述访问请求中携带所述目标用户的用户名;
基于所述目标用户的用户名,确定所述目标用户具有的角色集;具体包括:在用户和角色配置文件中,查找与所述目标用户的用户名对应的角色;将查找到的角色构成的集合确定为所述目标用户具有的角色集;
确定所述目标用户的登陆地址和登陆时间;
根据所述登陆地址、所述登陆时间及所述角色集中每个角色的连接限制数据,确定所述角色集中是否存在允许登陆的目标角色;具体包括:将所述登陆地址和所述登陆时间与所述角色集中每个角色的连接限制数据进行对比;根据对比结果,确定所述角色集中是否存在允许登陆的目标角色;如果所述角色集中存在连接限制数据包含所述登陆地址和所述登陆时间的角色,则确定所述角色集中存在允许登录的目标角色,并将首个对比成功的角色确定为所述目标角色;
如果存在,则允许所述目标用户以所述目标角色登陆,以使所述目标用户对操作系统进行访问。
2.根据权利要求1所述的方法,其特征在于,在所述允许所述目标用户以所述目标角色登陆之后,还包括:
在角色和权能配置文件中,获取所述目标角色的所有权能;
基于所述目标角色的所有权能,确定当前的访问进程的能力集;
在所述访问进程的生命周期中,针对所述访问进程及其子进程的每个特权操作,根据该特权操作的能力集与所述访问进程的能力集的匹配关系,确定是否允许执行该特权操作。
3.根据权利要求2所述的方法,其特征在于,所述根据该特权操作的能力集与所述访问进程的能力集的匹配关系,确定是否允许执行该特权操作,包括:
如果所述访问进程的能力集包含该特权操作的能力集,则确定允许执行该特权操作。
4.根据权利要求1至3之中任一项所述的方法,其特征在于,还包括:
在所述目标用户对操作系统进行访问过程中,如果在设定时长内没有任何操作,则断开与所述目标用户的连接。
5.一种操作系统访问控制装置,其特征在于,包括:
访问请求接收单元,用于接收目标用户的访问请求,所述访问请求中携带所述目标用户的用户名;
角色集确定单元,用于基于所述目标用户的用户名,确定所述目标用户具有的角色集;用于在用户和角色配置文件中,查找与所述目标用户的用户名对应的角色;将查找到的角色构成的集合确定为所述目标用户具有的角色集;
登陆信息确定单元,用于确定所述目标用户的登陆地址和登陆时间;
目标角色确定单元,用于根据所述登陆地址、所述登陆时间及所述角色集中每个角色的连接限制数据,确定所述角色集中是否存在允许登陆的目标角色;用于将所述登陆地址和所述登陆时间与所述角色集中每个角色的连接限制数据进行对比;根据对比结果,确定所述角色集中是否存在允许登陆的目标角色;用于如果所述角色集中存在连接限制数据包含所述登陆地址和所述登陆时间的角色,则确定所述角色集中存在允许登录的目标角色,并将首个对比成功的角色确定为所述目标角色;
登陆控制单元,用于在所述角色集中存在允许登陆的目标角色的情况下,允许所述目标用户以所述目标角色登陆,以使所述目标用户对操作系统进行访问。
6.一种操作系统访问控制设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述操作系统访问控制方法的步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述操作系统访问控制方法的步骤。
CN202011293747.2A 2020-11-18 2020-11-18 一种操作系统访问控制方法、装置、设备及存储介质 Active CN112464213B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011293747.2A CN112464213B (zh) 2020-11-18 2020-11-18 一种操作系统访问控制方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011293747.2A CN112464213B (zh) 2020-11-18 2020-11-18 一种操作系统访问控制方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN112464213A CN112464213A (zh) 2021-03-09
CN112464213B true CN112464213B (zh) 2022-07-08

Family

ID=74837763

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011293747.2A Active CN112464213B (zh) 2020-11-18 2020-11-18 一种操作系统访问控制方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112464213B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113836547B (zh) * 2021-08-30 2023-12-22 济南浪潮数据技术有限公司 一种限制普通用户登陆监控平台的方法、系统及监控平台
CN115085968B (zh) * 2022-04-29 2023-08-04 麒麟软件有限公司 一种Linux下基于自定义标签的登录认证方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104036166A (zh) * 2014-06-11 2014-09-10 中国人民解放军国防科学技术大学 支持强制访问控制的用户提权方法
CN111131324A (zh) * 2019-12-31 2020-05-08 北京网众共创科技有限公司 业务系统的登陆方法及装置、存储介质、电子装置
CN111698228A (zh) * 2020-05-28 2020-09-22 中国平安财产保险股份有限公司 系统访问权限授予方法、装置、服务器及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104036166A (zh) * 2014-06-11 2014-09-10 中国人民解放军国防科学技术大学 支持强制访问控制的用户提权方法
CN111131324A (zh) * 2019-12-31 2020-05-08 北京网众共创科技有限公司 业务系统的登陆方法及装置、存储介质、电子装置
CN111698228A (zh) * 2020-05-28 2020-09-22 中国平安财产保险股份有限公司 系统访问权限授予方法、装置、服务器及存储介质

Also Published As

Publication number Publication date
CN112464213A (zh) 2021-03-09

Similar Documents

Publication Publication Date Title
CN110463161B (zh) 用于访问受保护资源的口令状态机
US11544356B2 (en) Systems and methods for dynamic flexible authentication in a cloud service
US9166966B2 (en) Apparatus and method for handling transaction tokens
US8572689B2 (en) Apparatus and method for making access decision using exceptions
US8726339B2 (en) Method and apparatus for emergency session validation
US8572686B2 (en) Method and apparatus for object transaction session validation
US8572714B2 (en) Apparatus and method for determining subject assurance level
US8752123B2 (en) Apparatus and method for performing data tokenization
US8752124B2 (en) Apparatus and method for performing real-time authentication using subject token combinations
US20090235345A1 (en) Authentication system, authentication server apparatus, user apparatus and application server apparatus
US8806602B2 (en) Apparatus and method for performing end-to-end encryption
US8752157B2 (en) Method and apparatus for third party session validation
CN112464213B (zh) 一种操作系统访问控制方法、装置、设备及存储介质
US20130047204A1 (en) Apparatus and Method for Determining Resource Trust Levels
US20130047245A1 (en) Apparatus and Method for Performing Session Validation to Access Confidential Resources
US8572724B2 (en) Method and apparatus for network session validation
US8584202B2 (en) Apparatus and method for determining environment integrity levels
CN114244568A (zh) 基于终端访问行为的安全接入控制方法、装置和设备
US8850515B2 (en) Method and apparatus for subject recognition session validation
US7134017B2 (en) Method for providing a trusted path between a client and a system
CN112565209B (zh) 一种网元设备访问控制方法及设备
US8572688B2 (en) Method and apparatus for session validation to access third party resources
US8584201B2 (en) Method and apparatus for session validation to access from uncontrolled devices
US9159065B2 (en) Method and apparatus for object security session validation
US8726340B2 (en) Apparatus and method for expert decisioning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant