CN113381969B - 资源访问控制方法、装置及设备和存储介质 - Google Patents
资源访问控制方法、装置及设备和存储介质 Download PDFInfo
- Publication number
- CN113381969B CN113381969B CN202010158715.5A CN202010158715A CN113381969B CN 113381969 B CN113381969 B CN 113381969B CN 202010158715 A CN202010158715 A CN 202010158715A CN 113381969 B CN113381969 B CN 113381969B
- Authority
- CN
- China
- Prior art keywords
- resource access
- access request
- current resource
- global
- strategies
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本公开关于一种资源访问控制方法、装置及设备和存储介质。该资源访问控制方法包括:接收当前资源访问请求;获取当前资源访问请求所请求访问的资源相关的所有全局策略,上述全局策略包括在指定约束条件下允许或拒绝用户访问指定资源的规则集合;判断获取的所有全局策略中是否存在与发送当前资源访问请求的用户匹配的全局策略;若获取的所有全局策略中存在与发送当前资源访问请求的用户匹配的全局策略,则当匹配的任意一个全局策略中包含拒绝操作时,拒绝执行当前资源访问请求,当匹配的所有全局策略中只包含允许操作时,允许执行当前资源访问请求。本公开实施例,可以通过指定约束条件来对访问环境等进行限制,从而提高资源访问控制的灵活性。
Description
技术领域
本公开涉及通信领域,尤其涉及一种资源访问控制方法、资源访问控制装置及资源访问控制设备和存储介质。
背景技术
现在的社会是一个高速发展的社会,科技发达,信息流通,人们之间的交流越来越密切,生活也越来越方便,大数据就是这个高科技时代的产物。
在大数据时代,数据已经成为公司核心的竞争力。数据安全事件频发给企业造成了不可挽回的损失。如何对公司大数据平台内各个环节的数据进行访问权限控制,已经是公司数据安全建设中的一项重要任务。
传统的权限模型包括基于角色的访问控制(Role-Based Access Control,简称RBAC)模型,在RBAC模型中,角色与资源建立关系,当某些用户需要一批同样资源的权限时,只需要构建一个角色并赋予使用这批资源的权限。当用户加入这个角色时,则拥有该角色的所有权限。
但是,RBAC模型基于角色进行访问控制,无法对访问环境进行限制,控制灵活性差。
发明内容
本公开提供一种资源访问控制方法、资源访问控制装置及资源访问控制设备和存储介质,以至少解决资源访问控制灵活性差的问题。本公开的技术方案如下:
根据本公开实施例的第一方面,提供一种资源访问控制方法,包括:
接收当前资源访问请求;
获取所述当前资源访问请求所请求访问的资源相关的所有全局策略,所述全局策略包括在指定约束条件下允许或拒绝用户访问指定资源的规则集合;
判断获取的所有所述全局策略中是否存在与发送所述当前资源访问请求的用户匹配的全局策略;
若获取的所有所述全局策略中存在与发送所述当前资源访问请求的用户匹配的全局策略,则当匹配的任意一个全局策略中包含拒绝操作时,拒绝执行所述当前资源访问请求,当匹配的所有全局策略中只包含允许操作时,允许执行所述当前资源访问请求。
在一实施例中,在所述判断获取的所有所述全局策略中是否存在与发送所述当前资源访问请求的用户匹配的全局策略之后,所述方法还包括:
若获取的所有所述全局策略中均不存在与发送所述当前资源访问请求的用户匹配的全局策略,则根据预存的用户和默认策略的授权关系,获取所述用户可使用的默认策略,所述默认策略包括允许指定用户访问指定资源的规则集合,所述授权关系由所述默认策略确定;
若获取到所述用户可使用的默认策略,则对所述默认策略进行解析,以确定是否允许执行所述当前资源访问请求。
在一实施例中,所述对所述默认策略进行解析,以确定是否允许执行所述当前资源访问请求,包括:
判断所述默认策略中包含的指定资源是否包括所述当前资源访问请求所请求访问的资源;
若不包括所述当前资源访问请求所请求访问的资源,则拒绝执行所述当前资源访问请求;
若包括所述当前资源访问请求所请求访问的资源,则判断是否存在与所述默认策略对应的条件策略,所述条件策略包括对对应的所述默认策略中的指定资源进行访问的行规则、列规则及其之间的运算关系;
若不存在与所述默认策略对应的所述条件策略,则允许执行所述当前资源访问请求;
若存在与所述默认策略对应的所述条件策略,则确定所述当前资源访问请求所请求访问的资源中与所述条件策略匹配的目标资源,允许执行目标资源访问请求,拒绝执行所述当前资源访问请求所请求访问的资源中除所述目标资源之外的其他资源访问请求。
在一实施例中,所述判断获取的所有所述全局策略中是否存在与发送所述当前资源访问请求的用户匹配的全局策略,包括:
判断符合获取的所有全局策略中所述指定约束条件的所有用户是否包括发送所述当前资源访问请求的用户;
若所有用户包括发送所述当前资源访问请求的用户,则获取的所有全局策略中存在与发送所述当前资源访问请求的用户匹配的全局策略;
若所有用户不包括发送所述当前资源访问请求的用户,则获取的所有全局策略中均不存在与发送所述当前资源访问请求的用户匹配的全局策略。
根据本公开实施例的第二方面,提供一种资源访问控制装置,包括:
接收模块,被配置为接收当前资源访问请求;
第一获取模块,被配置为获取所述接收模块接收的所述当前资源访问请求所请求访问的资源相关的所有全局策略,所述全局策略包括在指定约束条件下允许或拒绝用户访问指定资源的规则集合;
第一判断模块,被配置为判断所述第一获取模块获取的所有所述全局策略中是否存在与发送所述当前资源访问请求的用户匹配的全局策略;
第一控制模块,被配置为若所述第一判断模块判断出获取的所有所述全局策略中存在与发送所述当前资源访问请求的用户匹配的全局策略,则当匹配的任意一个全局策略中包含拒绝操作时,拒绝执行所述当前资源访问请求,当匹配的所有全局策略中只包含允许操作时,允许执行所述当前资源访问请求。
在一实施例中,所述装置还包括:
第二获取模块,被配置为在所述第一判断模块判断获取的所有所述全局策略中是否存在与发送所述当前资源访问请求的用户匹配的全局策略之后,若获取的所有所述全局策略中均不存在与发送所述当前资源访问请求的用户匹配的全局策略,则根据预存的用户和默认策略的授权关系,获取所述用户可使用的默认策略,所述默认策略包括允许指定用户访问指定资源的规则集合,所述授权关系由所述默认策略确定;
第二控制模块,被配置为若所述第二获取模块获取到所述用户可使用的默认策略,则对所述默认策略进行解析,以确定是否允许执行所述当前资源访问请求。
在一实施例中,所述第二控制模块包括:
第一判断子模块,被配置为判断所述默认策略中包含的指定资源是否包括所述当前资源访问请求所请求访问的资源;
第一控制子模块,被配置为若所述第一判断子模块判断出不包括所述当前资源访问请求所请求访问的资源,则拒绝执行所述当前资源访问请求;
第二判断子模块,被配置为若所述第一判断子模块判断出包括所述当前资源访问请求所请求访问的资源,则判断是否存在与所述默认策略对应的条件策略,所述条件策略包括对对应的所述默认策略中的指定资源进行访问的行规则、列规则及其之间的运算关系;
第二控制子模块,被配置为若所述第二判断子模块判断出不存在与所述默认策略对应的所述条件策略,则允许执行所述当前资源访问请求;
第三控制子模块,被配置为若所述第二判断子模块判断出存在与所述默认策略对应的所述条件策略,则确定所述当前资源访问请求所请求访问的资源中与所述条件策略匹配的目标资源,允许执行目标资源访问请求,拒绝执行所述当前资源访问请求所请求访问的资源中除所述目标资源之外的其他资源访问请求。
在一实施例中,所述第一判断模块包括:
第三判断子模块,被配置为判断符合获取的所有全局策略中所述指定约束条件的所有用户是否包括发送所述当前资源访问请求的用户;
第一确定子模块,被配置为若所述第三判断子模块判断出所有用户包括发送所述当前资源访问请求的用户,则获取的所有全局策略中存在与发送所述当前资源访问请求的用户匹配的全局策略;
第二确定子模块,被配置为若所述第三判断子模块判断出所有用户不包括发送所述当前资源访问请求的用户,则获取的所有全局策略中均不存在与发送所述当前资源访问请求的用户匹配的全局策略。
根据本公开实施例的第三方面,提供一种资源访问控制设备,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现上述资源访问控制方法。
根据本公开实施例的第四方面,提供一种存储介质,当所述存储介质中的指令由资源访问控制设备的处理器执行时,使得资源访问控制设备能够执行上述任一项所述的资源访问控制方法。
根据本公开实施例的第五方面,提供一种计算机程序产品,当所述计算机程序产品在电子设备上运行时,使得所述电子设备执行上述资源访问控制方法。
本公开的实施例提供的技术方案至少带来以下有益效果:
通过获取当前资源访问请求所请求访问的资源相关的所有全局策略,并在获取的所有全局策略中存在与发送当前资源访问请求的用户匹配的全局策略时,基于匹配的全局策略拒绝或者允许执行当前资源访问请求,由于全局策略包括在指定约束条件下允许或拒绝用户访问指定资源的规则集合,因此,可以通过指定约束条件来对访问环境等进行限制,从而提高资源访问控制的灵活性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理,并不构成对本公开的不当限定。
图1是本公开一示例性实施例示出的一种资源访问控制方法的流程图。
图2是本公开一示例性实施例示出的另一种资源访问控制方法的流程图。
图3是本公开一示例性实施例示出的对默认策略进行解析处理的流程图。
图4是本公开一示例性实施例示出的一种资源访问控制装置的框图。
图5是本公开一示例性实施例示出的另一种资源访问控制装置的框图。
图6是本公开一示例性实施例示出的另一种资源访问控制装置的框图。
图7是本公开一示例性实施例示出的另一种资源访问控制装置的框图。
图8是本公开一示例性实施例示出的一种资源访问控制设备的框图。
图9是本公开一示例性实施例示出的一种适用于资源访问控制方法的设备的框图。
具体实施方式
为了使本领域普通人员更好地理解本公开的技术方案,下面将结合附图,对本公开实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
图1是本公开一示例性实施例示出的一种资源访问控制方法的流程图,该方法可以应用在数据平台的权限中心,如图1所示,该资源访问控制方法包括以下步骤:
在步骤S101中,接收当前资源访问请求。
在该实施例中,当前资源访问请求所请求访问的资源是进行访问控制的最小单位,可以包括但不局限于Hive表、报表和按钮中的至少一项等。其中,Hive是一个构建在分布式系统架构上的数据仓库框架,是一个通用的、可伸缩的数据处理平台。Hive表是位于Hive平台的数据库表。
在步骤S102中,获取当前资源访问请求所请求访问的资源相关的所有全局策略,上述全局策略包括在指定约束条件下允许或拒绝用户访问指定资源的规则集合。
其中,全局策略对符合指定约束条件(condition)的所有用户生效,指定约束条件可以用来对访问环境和主体等进行限制,以提高资源访问控制的灵活性。其中,访问环境可以包括但不局限于发送当前资源访问请求的用户对应的IP等。
例如,某一全局策略为:允许预设IP段的用户读某一Hive表,则该全局策略的含义是:允许IP段为预设IP段的所有用户都可以读该Hive表。又例如,某一全局策略为:拒绝预设IP段的用户读某一Hive表,则该全局策略的含义是:拒绝IP段为预设IP段的所有用户都可以读该Hive表。
在该实施例中,可以通过查询全局策略中的指定资源是否包括当前资源访问请求所请求访问的资源,将包括当前资源访问请求所请求访问的资源的全局策略作为当前资源访问请求所请求访问的资源相关的所有全局策略。
例如,当前资源访问请求所请求访问的资源为资源1,权限中心包括全局策略1、全局策略2、全局策略3和全局策略4,其中,全局策略1和全局策略2中的指定资源为资源1,全局策略3中的指定资源为资源1和资源2,全局策略4中的指定资源为资源2,则当前资源访问请求所请求访问的资源相关的所有全局策略为全局策略1、全局策略2和全局策略3。
可选地,该方法还可以包括:接收并保存配置的全局策略。
在该实施例中,可以通过规则引擎接收并保存配置的全局策略,以提高配置的灵活性。
在步骤S103中,判断获取的所有全局策略中是否存在与发送当前资源访问请求的用户匹配的全局策略,若获取的所有全局策略中存在与发送当前资源访问请求的用户匹配的全局策略,则执行步骤S104。
其中,可以通过判断符合获取的所有全局策略中指定约束条件的所有用户是否包括发送当前资源访问请求的用户来判断获取的所有全局策略中是否存在与发送当前资源访问请求的用户匹配的全局策略,若所有用户包括发送当前资源访问请求的用户,则获取的所有全局策略中存在与用户匹配的全局策略,若所有用户均不包括发送当前资源访问请求的用户,则获取的所有全局策略中均不存在与发送当前资源访问请求的用户匹配的全局策略。
例如,符合全局策略1的指定约束条件的用户包括用户11和用户12,符合全局策略2的指定约束条件的用户包括用户11和用户13,符合全局策略3的指定约束条件的用户包括用户14,发送当前资源访问请求的用户为用户11,由于符合全局策略1的指定约束条件的用户和符合全局策略1的指定约束条件的用户中均包括用户11,因此,获取的所有全局策略中存在与发送当前资源访问请求的用户匹配的全局策略,且匹配的全局策略为全局策略1和全局策略2。
在该实施例中,可以通过规则引擎来判断符合获取的所有全局策略中指定约束条件的所有用户是否包括发送当前资源访问请求的用户,以提高全局策略的解析速度。
在步骤S104中,当匹配的任意一个全局策略中包含拒绝操作时,拒绝执行当前资源访问请求,当匹配的所有全局策略中只包含允许操作时,允许执行当前资源访问请求。
继续上例进行描述,例如,全局策略1为拒绝访问资源1,全局策略2为允许访问资源1,则由于当前匹配的一个全局策略中包含拒绝操作,因此,拒绝执行当前资源访问请求。例如,全局策略1为允许访问资源1,全局策略2为允许访问资源1,则由于当前匹配的全局策略中只包含允许操作,因此,允许执行当前资源访问请求。
在该实施例中,当匹配的任意一个全局策略中包含拒绝操作时,拒绝执行当前资源访问请求,当匹配的所有全局策略中只包含允许操作时,允许执行当前资源访问请求,以保证资源的安全性。
上述实施例,通过获取当前资源访问请求所请求访问的资源相关的所有全局策略,并在获取的所有全局策略中存在与发送当前资源访问请求的用户匹配的全局策略时,基于匹配的全局策略拒绝或者允许执行当前资源访问请求,由于全局策略包括在指定约束条件下允许或拒绝用户访问指定资源的规则集合,因此,可以通过指定约束条件来对访问环境等进行限制,从而提高资源访问控制的灵活性。
图2是本公开一示例性实施例示出的另一种资源访问控制方法的流程图,如图2所示,在上述步骤S103之后,若获取的所有全局策略中均不存在与发送当前资源访问请求的用户匹配的全局策略,则该资源访问控制方法还包括以下步骤:
在步骤S105中,根据预存的用户和默认策略的授权关系,获取用户可使用的默认策略,默认策略包括允许指定用户访问指定资源的规则集合,授权关系由默认策略确定。
其中,默认策略只对指定用户生效,默认策略中的指定资源可以包括一个或多个资源。
其中,预存的用户和默认策略的授权关系是由默认策略包含的指定用户确定的,例如,默认策略11包含的指定用户为用户11和用户12,则用户11和用户12与默认策略11建立授权关系,又例如,默认策略12包含的指定用户为用户13,则用户13与默认策略12建立授权关系。
该实施例通过默认策略来实现对用户和待访问的资源进行限制,从而更灵活地实现对资源的访问控制。
可选地,该方法还可以包括:接收并保存配置的默认策略。
在该实施例中,可以通过规则引擎接收并保存配置的默认策略,以提高配置的灵活性。
在步骤S106中,若获取到用户可使用的默认策略,则对默认策略进行解析,以确定是否允许执行当前资源访问请求。
在该实施例中,可以通过规则引擎对默认策略进行解析,以提高默认策略的解析速度。
其中,如图3所示,步骤S106可以包括:
在步骤S1061中,判断默认策略中包含的指定资源是否包括当前资源访问请求所请求访问的资源,若不包括当前资源访问请求所请求访问的资源,则执行步骤S1062,若包括当前资源访问请求所请求访问的资源,则执行步骤S1063。
在步骤S1062中,拒绝执行当前资源访问请求,操作结束。
在步骤S1063中,获取与默认策略对应的条件策略。
在步骤S1064中,判断是否存在与默认策略对应的条件策略,若不存在对应的条件策略,则执行步骤S1065,若存在对应的条件策略,则执行步骤S1066,条件策略包括对对应的默认策略中的指定资源进行访问的行规则、列规则及其之间的运算关系。
其中,对指定资源进行访问的列规则包括对指定资源中的字段进行限定的规则,对指定资源进行访问的行规则包括对指定资源中的字段取值范围进行限定的规则,运算关系可以包括但不局限于与(and)、或(or)关系等。
该实施例通过条件策略可以更好地对资源进行列级控制和行级控制,从而实现对资源更灵活的控制。
可选地,该方法还可以包括:接收并保存配置的条件策略。
在该实施例中,可以通过规则引擎接收并保存配置的条件策略,以提高配置的灵活性。
在步骤S1065中,允许执行当前资源访问请求。
若未获取到对应的条件策略,则表明未对默认策略中指定资源的字段或字段取值范围进行限制,因此,允许执行当前资源访问请求。
在步骤S1066中,确定当前资源访问请求所请求访问的资源中与条件策略匹配的目标资源,允许执行目标资源访问请求,拒绝执行当前资源访问请求所请求访问的资源中除目标资源之外的其他资源访问请求。
若获取到对应的条件策略,则表明对默认策略中指定资源的字段或字段取值范围进行限制,确定当前资源访问请求所请求访问的资源中与条件策略匹配的目标资源,允许执行目标资源访问请求,拒绝执行当前资源访问请求所请求访问的资源中除目标资源之外的其他资源访问请求。
例如,条件策略为允许访问默认策略中资源11的“城市”字段和“性别”字段,则允许访问资源11中的“城市”字段和“性别”字段,拒绝访问资源11中除“城市”字段和“性别”字段之外的其他字段。
例如,条件策略为允许访问默认策略中资源11的“城市”字段取值为“北京”和“性别”字段的取值为“女”,“城市”字段和“性别”字段的运算关系为and,则允许访问资源11中的“城市”字段取值为“北京”and“性别”字段取值为“女”的目标资源,拒绝访问除上述目标资源之外的其他资源。
在该实施例中,可以通过规则引擎执行上述步骤S1065,以提高条件策略的解析速度。
上述实施例,在获取的所有全局策略中均不存在与发送当前资源访问请求的用户匹配的全局策略时,通过获取用户可使用的默认策略,并对默认策略进行解析,以确定是否允许执行当前资源访问请求,由于该实施例通过默认策略来实现对用户和待访问的资源进行限制,从而更好地实现对资源的访问控制。
图4是本公开一示例性实施例示出的一种资源访问控制装置的框图。参照图4,该装置包括:
接收模块41被配置为接收当前资源访问请求。
第一获取模块42被配置为获取接收模块41接收的当前资源访问请求所请求访问的资源相关的所有全局策略,全局策略包括在指定约束条件下允许或拒绝用户访问指定资源的规则集合。
第一判断模块43被配置为判断第一获取模块42获取的所有全局策略中是否存在与发送当前资源访问请求的用户匹配的全局策略。
第一控制模块44被配置为若第一判断模块43判断出获取的所有全局策略中存在与发送当前资源访问请求的用户匹配的全局策略,则当匹配的任意一个全局策略中包含拒绝操作时,拒绝执行当前资源访问请求,当匹配的所有全局策略中只包含允许操作时,允许执行当前资源访问请求。
图5是本公开一示例性实施例示出的另一种资源访问控制装置的框图,如图5所示,在图4所示实施例的基础上,该资源访问控制装置还可以包括:
第二获取模块45被配置为在第一判断模块43判断获取的所有全局策略中是否存在与发送当前资源访问请求的用户匹配的全局策略之后,若获取的所有全局策略中均不存在与发送当前资源访问请求的用户匹配的全局策略,则根据预存的用户和默认策略的授权关系,获取用户可使用的默认策略,默认策略包括允许指定用户访问指定资源的规则集合,授权关系由默认策略确定。
第二控制模块46被配置为若第二获取模块45获取到用户可使用的默认策略,则对默认策略进行解析,以确定是否允许执行当前资源访问请求。
图6是本公开一示例性实施例示出的另一种资源访问控制装置的框图,如图6所示,在图5所示实施例的基础上,第二控制模块46可以包括:
第一判断子模块461被配置为判断默认策略中包含的指定资源是否包括当前资源访问请求所请求访问的资源。
第一控制子模块462被配置为若第一判断子模块461判断出不包括当前资源访问请求所请求访问的资源,则拒绝执行当前资源访问请求。
第二判断子模块463被配置为若第一判断子模块461判断出包括当前资源访问请求所请求访问的资源,则判断是否存在与默认策略对应的条件策略,条件策略包括对对应的默认策略中的指定资源进行访问的行规则、列规则及其之间的运算关系。
第二控制子模块464被配置为若第二判断子模块463判断出不存在与默认策略对应的条件策略,则允许执行当前资源访问请求。
第三控制子模块465被配置为若第二判断子模块463判断出存在与默认策略对应的条件策略,则确定当前资源访问请求所请求访问的资源中与条件策略匹配的目标资源,允许执行目标资源访问请求,拒绝执行当前资源访问请求所请求访问的资源中除目标资源之外的其他资源访问请求。
图7是本公开一示例性实施例示出的另一种资源访问控制装置的框图,如图7所示,在图4-图6任一所示实施例的基础上,第一判断模块43可以包括:
第三判断子模块431被配置为判断符合获取的所有全局策略中指定约束条件的所有用户是否包括发送当前资源访问请求的用户。
第一确定子模块432被配置为若第三判断子模块431判断出所有用户包括发送当前资源访问请求的用户,则获取的所有全局策略中存在与发送当前资源访问请求的用户匹配的全局策略。
第二确定子模块433被配置为若第三判断子模块431判断出所有用户不包括发送当前资源访问请求的用户,则获取的所有全局策略中均不存在与发送当前资源访问请求的用户匹配的全局策略。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图8是本公开一示例性实施例示出的一种资源访问控制设备的框图。如图8所示,该资源访问控制设备包括处理器810、用于存储处理器810可执行指令的存储器820;其中,处理器被配置为执行上述指令,以实现上述资源访问控制方法。除了图8所示的处理器810及存储器820之外,该资源访问控制设备通常根据信息发送的实际功能,还可以包括其他硬件,对此不再赘述。
在示例性实施例中,还提供了一种包括指令的存储介质,例如包括指令的存储器820,上述指令可由处理器810执行以完成上述资源访问控制方法。可选地,存储介质可以是非临时性计算机可读存储介质,例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供一种计算机程序产品,当计算机程序产品在电子设备上运行时,使得电子设备执行上述资源访问控制方法。
图9是本公开一示例性实施例示出的一种适用于资源访问控制方法的设备的框图,如图9所示,本公开实施例给出一种适用于资源访问控制方法的设备900,包括:射频(Radio Frequency,RF)电路910、电源920、处理器930、存储器940、输入单元950、显示单元960、摄像头970、通信接口980、以及无线保真(Wireless Fidelity,Wi-Fi)模块990等部件。本领域技术人员可以理解,图9中示出的设备的结构并不构成对设备的限定,本申请实施例提供的设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图9对设备900的各个构成部件进行具体的介绍:
RF电路910可用于通信或通话过程中,数据的接收和发送。特别地,RF电路910在接收到基站的下行数据后,发送给处理器930处理;另外,将待发送的上行数据发送给基站。通常,RF电路910包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(LowNoise Amplifier,LNA)、双工器等。
此外,RF电路910还可以通过无线通信与网络和其他设备通信。无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(Global System of Mobilecommunication,GSM)、通用分组无线服务(General Packet Radio Service,GPRS)、码分多址(Code Division Multiple Access,CDMA)、宽带码分多址(Wideband Code DivisionMultiple Access,WCDMA)、长期演进(Long Term Evolution,LTE)、电子邮件、短消息服务(Short Messaging Service,SMS)等。
Wi-Fi技术属于短距离无线传输技术,设备900通过Wi-Fi模块990可以连接接入点(Access Point,AP),从而实现数据网络的访问。Wi-Fi模块990可用于通信过程中,数据的接收和发送。
设备900可以通过通信接口980与其他设备实现物理连接。可选的,通信接口980与其他设备的通信接口通过电缆连接,实现设备900和其他设备之间的数据传输。
由于在本申请实施例中,设备900能够实现通信业务,向其他联系人发送信息,因此设备900需要具有数据传输功能,即设备900内部需要包含通信模块。虽然图9示出了RF电路910、Wi-Fi模块990、和通信接口980等通信模块,但是可以理解的是,设备900中存在上述部件中的至少一个或者其他用于实现通信的通信模块(如蓝牙模块),以进行数据传输。
例如,当设备900为手机时,设备900可以包含RF电路910,还可以包含Wi-Fi模块990;当设备900为计算机时,设备900可以包含通信接口980,还可以包含Wi-Fi模块990;当设备900为平板电脑时,设备900可以包含Wi-Fi模块。
存储器940可用于存储软件程序以及模块。处理器930通过运行存储在存储器940的软件程序以及模块,从而执行设备900的各种功能应用以及数据处理,并且当处理器930执行存储器940中的程序代码后,可以实现本公开实施例图1、图2、图3中的部分或全部过程。
可选的,存储器940可以主要包括存储程序区和存储数据区。其中,存储程序区可存储操作系统、各种应用程序(比如通信应用)以及人脸识别模块等;存储数据区可存储根据设备的使用所创建的数据(比如各种图片、视频文件等多媒体文件,以及人脸信息模板)等。
此外,存储器940可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元950可用于接收用户输入的数字或字符信息,以及产生与设备900的用户设置以及功能控制有关的键信号输入。
可选的,输入单元950可包括触控面板951以及其他输入设备952。
其中,触控面板951,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板951上或在触控面板951附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板951可以包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器930,并能接收处理器930发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板951。
可选的,其他输入设备952可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元960可用于显示由用户输入的信息或提供给用户的信息以及设备900的各种菜单。显示单元960即为设备900的显示系统,用于呈现界面,实现人机交互。
显示单元960可以包括显示面板961。可选的,显示面板961可以采用液晶显示屏(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置。
进一步的,触控面板951可覆盖显示面板961,当触控面板951检测到在其上或附近的触摸操作后,传送给处理器930以确定触摸事件的类型,随后处理器930根据触摸事件的类型在显示面板961上提供相应的视觉输出。
虽然在图9中,触控面板951与显示面板961是作为两个独立的部件来实现设备900的输入和输入功能,但是在某些实施例中,可以将触控面板951与显示面板961集成而实现设备900的输入和输出功能。
处理器930是设备900的控制中心,利用各种接口和线路连接各个部件,通过运行或执行存储在存储器940内的软件程序和/或模块,以及调用存储在存储器940内的数据,执行设备900的各种功能和处理数据,从而实现基于设备的多种业务。
可选的,处理器930可包括一个或多个处理单元。可选的,处理器930可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器930中。
摄像头970,用于实现设备900的拍摄功能,拍摄图片或视频。摄像头970还可以用于实现设备900的扫描功能,对扫描对象(二维码/条形码)进行扫描。
设备900还包括用于给各个部件供电的电源920(比如电池)。可选的,电源920可以通过电源管理系统与处理器930逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗等功能。
需要说明的是,本公开实施例处理器930可以执行图8中处理器810的功能,存储器940存储处理器810中的内容。
在示例性实施例中,设备900可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述资源访问控制方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (8)
1.一种资源访问控制方法,其特征在于,包括:
接收当前资源访问请求;
获取所述当前资源访问请求所请求访问的资源相关的所有全局策略,所述全局策略包括在指定约束条件下允许或拒绝用户访问指定资源的规则集合,所述约束条件用于限制用户的访问环境和/或主体;
判断获取的所有所述全局策略中是否存在与发送所述当前资源访问请求的用户匹配的全局策略,包括:
判断符合获取的所有全局策略中所述指定约束条件的所有用户是否包括发送所述当前资源访问请求的用户;
若所有用户包括发送所述当前资源访问请求的用户,则获取的所有全局策略中存在与发送所述当前资源访问请求的用户匹配的全局策略;
若所有用户不包括发送所述当前资源访问请求的用户,则获取的所有全局策略中均不存在与发送所述当前资源访问请求的用户匹配的全局策略;
若获取的所有所述全局策略中存在与发送所述当前资源访问请求的用户匹配的全局策略,则当匹配的任意一个全局策略中包含拒绝操作时,拒绝执行所述当前资源访问请求,当匹配的所有全局策略中只包含允许操作时,允许执行所述当前资源访问请求。
2.根据权利要求1所述的资源访问控制方法,其特征在于,在所述判断获取的所有所述全局策略中是否存在与发送所述当前资源访问请求的用户匹配的全局策略之后,所述方法还包括:
若获取的所有所述全局策略中均不存在与发送所述当前资源访问请求的用户匹配的全局策略,则根据预存的用户和默认策略的授权关系,获取所述用户可使用的默认策略,所述默认策略包括允许指定用户访问指定资源的规则集合,所述授权关系由所述默认策略确定;
若获取到所述用户可使用的默认策略,则对所述默认策略进行解析,以确定是否允许执行所述当前资源访问请求。
3.根据权利要求2所述的资源访问控制方法,其特征在于,所述对所述默认策略进行解析,以确定是否允许执行所述当前资源访问请求,包括:
判断所述默认策略中包含的指定资源是否包括所述当前资源访问请求所请求访问的资源;
若不包括所述当前资源访问请求所请求访问的资源,则拒绝执行所述当前资源访问请求;
若包括所述当前资源访问请求所请求访问的资源,则判断是否存在与所述默认策略对应的条件策略,所述条件策略包括对对应的所述默认策略中的指定资源进行访问的行规则、列规则及其之间的运算关系;
若不存在与所述默认策略对应的所述条件策略,则允许执行所述当前资源访问请求;
若存在与所述默认策略对应的所述条件策略,则确定所述当前资源访问请求所请求访问的资源中与所述条件策略匹配的目标资源,允许执行目标资源访问请求,拒绝执行所述当前资源访问请求所请求访问的资源中除所述目标资源之外的其他资源访问请求。
4.一种资源访问控制装置,其特征在于,包括:
接收模块,被配置为接收当前资源访问请求;
第一获取模块,被配置为获取所述接收模块接收的所述当前资源访问请求所请求访问的资源相关的所有全局策略,所述全局策略包括在指定约束条件下允许或拒绝用户访问指定资源的规则集合,所述约束条件用于限制用户的访问环境和/或主体;
第一判断模块,被配置为判断所述第一获取模块获取的所有所述全局策略中是否存在与发送所述当前资源访问请求的用户匹配的全局策略,所述第一判断模块包括:
第三判断子模块,被配置为判断符合获取的所有全局策略中所述指定约束条件的所有用户是否包括发送所述当前资源访问请求的用户;
第一确定子模块,被配置为若所述第三判断子模块判断出所有用户包括发送所述当前资源访问请求的用户,则获取的所有全局策略中存在与发送所述当前资源访问请求的用户匹配的全局策略;
第二确定子模块,被配置为若所述第三判断子模块判断出所有用户不包括发送所述当前资源访问请求的用户,则获取的所有全局策略中均不存在与发送所述当前资源访问请求的用户匹配的全局策略;
第一控制模块,被配置为若所述第一判断模块判断出获取的所有所述全局策略中存在与发送所述当前资源访问请求的用户匹配的全局策略,则当匹配的任意一个全局策略中包含拒绝操作时,拒绝执行所述当前资源访问请求,当匹配的所有全局策略中只包含允许操作时,允许执行所述当前资源访问请求。
5.根据权利要求4所述的资源访问控制装置,其特征在于,所述装置还包括:
第二获取模块,被配置为在所述第一判断模块判断获取的所有所述全局策略中是否存在与发送所述当前资源访问请求的用户匹配的全局策略之后,若获取的所有所述全局策略中均不存在与发送所述当前资源访问请求的用户匹配的全局策略,则根据预存的用户和默认策略的授权关系,获取所述用户可使用的默认策略,所述默认策略包括允许指定用户访问指定资源的规则集合,所述授权关系由所述默认策略确定;
第二控制模块,被配置为若所述第二获取模块获取到所述用户可使用的默认策略,则对所述默认策略进行解析,以确定是否允许执行所述当前资源访问请求。
6.根据权利要求5所述的资源访问控制装置,其特征在于,所述第二控制模块包括:
第一判断子模块,被配置为判断所述默认策略中包含的指定资源是否包括所述当前资源访问请求所请求访问的资源;
第一控制子模块,被配置为若所述第一判断子模块判断出不包括所述当前资源访问请求所请求访问的资源,则拒绝执行所述当前资源访问请求;
第二判断子模块,被配置为若所述第一判断子模块判断出包括所述当前资源访问请求所请求访问的资源,则判断是否存在与所述默认策略对应的条件策略,所述条件策略包括对对应的所述默认策略中的指定资源进行访问的行规则、列规则及其之间的运算关系;
第二控制子模块,被配置为若所述第二判断子模块判断出不存在与所述默认策略对应的所述条件策略,则允许执行所述当前资源访问请求;
第三控制子模块,被配置为若所述第二判断子模块判断出存在与所述默认策略对应的所述条件策略,则确定所述当前资源访问请求所请求访问的资源中与所述条件策略匹配的目标资源,允许执行目标资源访问请求,拒绝执行所述当前资源访问请求所请求访问的资源中除所述目标资源之外的其他资源访问请求。
7.一种资源访问控制设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述指令,以实现如权利要求1至3中任一项所述的资源访问控制方法。
8.一种存储介质,其特征在于,当所述存储介质中的指令由资源访问控制设备的处理器执行时,使得资源访问控制设备能够执行如权利要求1至3中任一项所述的资源访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010158715.5A CN113381969B (zh) | 2020-03-09 | 2020-03-09 | 资源访问控制方法、装置及设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010158715.5A CN113381969B (zh) | 2020-03-09 | 2020-03-09 | 资源访问控制方法、装置及设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113381969A CN113381969A (zh) | 2021-09-10 |
CN113381969B true CN113381969B (zh) | 2023-06-27 |
Family
ID=77568518
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010158715.5A Active CN113381969B (zh) | 2020-03-09 | 2020-03-09 | 资源访问控制方法、装置及设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113381969B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113949563B (zh) * | 2021-10-15 | 2023-10-10 | 傲普(上海)新能源有限公司 | 一种基于策略的数据服务器资源访问控制方法 |
CN114465763A (zh) * | 2021-12-24 | 2022-05-10 | 天翼云科技有限公司 | 一种资源访问控制方法、装置和存储介质 |
CN114329602A (zh) * | 2021-12-30 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种访问控制方法、服务器、电子设备及存储介质 |
CN115037799B (zh) * | 2022-06-01 | 2024-01-05 | 阿里巴巴(中国)有限公司 | 限流方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011062743A2 (en) * | 2009-11-20 | 2011-05-26 | Microsoft Corporation | Controlling resource access based on resource properties |
WO2012012438A1 (en) * | 2010-07-21 | 2012-01-26 | Citrix Systems, Inc. | Systems and methods for providing a smart group for access control |
CN108243175A (zh) * | 2016-12-27 | 2018-07-03 | 北京金山云网络技术有限公司 | 一种基于桶策略的访问控制方法及装置 |
CN108366068A (zh) * | 2018-02-26 | 2018-08-03 | 浙江大学 | 一种软件定义网络下基于策略语言的云端网络资源管理控制系统 |
-
2020
- 2020-03-09 CN CN202010158715.5A patent/CN113381969B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011062743A2 (en) * | 2009-11-20 | 2011-05-26 | Microsoft Corporation | Controlling resource access based on resource properties |
WO2012012438A1 (en) * | 2010-07-21 | 2012-01-26 | Citrix Systems, Inc. | Systems and methods for providing a smart group for access control |
CN103119907A (zh) * | 2010-07-21 | 2013-05-22 | 思杰系统有限公司 | 提供用于访问控制的智能组的系统和方法 |
CN108243175A (zh) * | 2016-12-27 | 2018-07-03 | 北京金山云网络技术有限公司 | 一种基于桶策略的访问控制方法及装置 |
CN108366068A (zh) * | 2018-02-26 | 2018-08-03 | 浙江大学 | 一种软件定义网络下基于策略语言的云端网络资源管理控制系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113381969A (zh) | 2021-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113381969B (zh) | 资源访问控制方法、装置及设备和存储介质 | |
US10915550B2 (en) | Data processing method, apparatus, system, and storage medium | |
US10848946B2 (en) | Network access method, device, and system | |
US10445392B2 (en) | Official account quick response code generation method and server, official account following method and server, and terminal | |
US20140150071A1 (en) | Social authentication of users | |
US20170006044A1 (en) | Privileged identity management | |
CN107147647A (zh) | 一种网页授权方法及装置 | |
CN107277066A (zh) | 账户管理方法、便携式电子设备以及账户管理系统 | |
WO2017054585A1 (zh) | 网络接入方法、装置及系统 | |
CN110333917A (zh) | 基于微服务的数据处理方法、装置、设备及可读存储介质 | |
WO2022148254A1 (zh) | 一种用户信息分析结果反馈方法及其装置 | |
JP2023536784A (ja) | コミュニケーションプラットフォーム上でホストされたコミュニケーションチャンネル | |
WO2023030265A1 (zh) | 控制方法及电子设备 | |
CN106528156B (zh) | 一种页面数据处理方法和装置 | |
US9027106B2 (en) | Organizational attribution of user devices | |
EP4030802A1 (en) | Method and apparatus for managing subscription data | |
WO2018210214A1 (zh) | 设备定位方法及装置 | |
US10673905B1 (en) | Service-level authorization policy management | |
CN113569288A (zh) | 权限管理方法、装置及电子设备 | |
CN104573437A (zh) | 信息认证方法、装置和终端 | |
CN108449352A (zh) | 一种基于云计算的保护计算机系统安全的方法 | |
CN108093450A (zh) | 一种网络切换方法及终端设备 | |
CN110928463B (zh) | 控制远程设备的方法、装置及系统、业务服务器和存储介质 | |
CN113194450A (zh) | 蓝牙设备管理方法及装置 | |
CN106161371B (zh) | 一种找回帐号信息的方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |