CN113612740B - 权限管理方法、装置、计算机可读介质及电子设备 - Google Patents
权限管理方法、装置、计算机可读介质及电子设备 Download PDFInfo
- Publication number
- CN113612740B CN113612740B CN202110825408.2A CN202110825408A CN113612740B CN 113612740 B CN113612740 B CN 113612740B CN 202110825408 A CN202110825408 A CN 202110825408A CN 113612740 B CN113612740 B CN 113612740B
- Authority
- CN
- China
- Prior art keywords
- current user
- user
- data
- access
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请属于计算机技术领域,具体涉及一种权限管理方法、权限管理装置、计算机可读介质以及电子设备,可以应用于自动驾驶领域。该权限管理方法包括:响应于远程桌面访问请求,获取当前用户的登录信息;解析所述登录信息,得到所述当前用户的身份属性以及所述当前用户所在的接入点;根据所述身份属性和所述接入点确定所述当前用户的数据访问权限;基于远程访问的虚拟桌面向所述当前用户展示与所述数据访问权限相匹配的数据资源。本申请实施例提供的技术方案可以提高数据资源的安全性。
Description
技术领域
本申请属于计算机技术领域,具体涉及一种权限管理方法、权限管理装置、计算机可读介质以及电子设备,可以应用于自动驾驶领域。
背景技术
为了保证数据资源安全性,一般会根据用户登录的账户为用户分配指定的角色,并按照角色为用户分配固定的权限。然而,由于存在账户被借用或者冒用等情形,这将导致数据泄露的风险。
发明内容
本申请的目的在于提供一种权限管理方法、权限管理装置、计算机可读介质以及电子设备,至少在一定程度上克服相关技术中存在的数据安全性差的技术问题。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请实施例的一个方面,提供一种权限管理方法,其特征在于,包括:响应于远程桌面访问请求,获取当前用户的登录信息;解析所述登录信息,得到所述当前用户的身份属性以及所述当前用户所在的接入点;根据所述身份属性和所述接入点确定所述当前用户的数据访问权限;基于远程访问的虚拟桌面向所述当前用户展示与所述数据访问权限相匹配的数据资源。
根据本申请实施例的一个方面,提供一种权限管理装置,包括:获取模块,被配置为响应于远程桌面访问请求,获取当前用户的登录信息;解析模块,被配置为解析所述登录信息,得到所述当前用户的身份属性以及所述当前用户所在的接入点;确定模块,被配置为根据所述身份属性和所述接入点确定所述当前用户的数据访问权限;展示模块,被配置为基于远程访问的虚拟桌面向所述当前用户展示与所述数据访问权限相匹配的数据资源。
在本申请的一些实施例中,基于以上技术方案,所述解析模块包括:信息解析模块,被配置为解析所述登录信息,得到所述登录信息中携带的用户登录凭证和本地桌面地址;身份判定模块,被配置为根据所述用户登录凭证对所述当前用户进行身份判定,得到所述当前用户的身份属性;接入点判定模块,被配置为根据所述本地桌面地址对所述当前用户进行接入点判定,得到所述当前用户所在的接入点。
在本申请的一些实施例中,基于以上技术方案,所述身份判定模块被配置为:根据所述用户登录凭证确定所述当前用户登录的账户;获取与所述账户相关联的多个维度的身份属性。
在本申请的一些实施例中,基于以上技术方案,所述用户登录凭证包括所述当前用户输入的登录用户名和登录密钥;所述身份判定模块还被配置为:将所述登录用户名和登录密钥发送至认证中心;通过所述认证中心对所述登录用户名和登录密钥进行身份认证;当所述身份认证的认证结果为认证通过时,将与所述登录用户名相关联的账户确定为所述当前用户登录的账户。
在本申请的一些实施例中,基于以上技术方案,所述接入点判定模块被配置为:查找所述本地桌面地址所在的地址分段;根据所述地址分段与接入点的映射关系确定所述当前用户所在的接入点。
在本申请的一些实施例中,基于以上技术方案,所述接入点判定模块还被配置为:根据所述地址分段与接入点的映射关系确定所述地址分段归属的原始接入点;解析所述登录信息,得到所述当前用户请求访问的请求接入点;将所述原始接入点与所述请求接入点进行一致性比对;当比对结果为一致时,将所述原始接入点作为所述当前用户所在的接入点。
在本申请的一些实施例中,基于以上技术方案,所述确定模块包括:关系确定模块,被配置为根据所述身份属性和所述接入点确定所述当前用户与角色的组包含关系;权限查找模块,被配置为在动态配置的权限数据库中查找与所述当前用户所属的角色相匹配的数据访问权限,所述动态配置的权限数据库是在多个静态权限数据库的基础上对用户权限进行动态调整的数据库。
在本申请的一些实施例中,基于以上技术方案,所述身份属性包括所述当前用户所归属的用户集群的集群属性、所述当前用户在所述用户集群中的业务属性和环境属性;所述多个静态权限数据库包括对应于所述集群属性和所述业务属性的角色权限数据库、对应于所述环境属性的环境权限数据库以及对应于所述接入点的接入点基本权限数据库。
在本申请的一些实施例中,基于以上技术方案,所述展示模块包括:通道获取模块,被配置为获取所述当前用户发起数据访问请求的数据访问通道;资源获取模块,被配置为通过所述数据访问通道从相应的资源数据库获取与所述数据访问权限相匹配的数据资源;桌面生成模块,被配置为生成用于向所述当前用户展示所述数据资源的基于远程访问的虚拟桌面。
在本申请的一些实施例中,基于以上技术方案,所述数据访问通道包括全球广域网通道或者安全外壳协议通道中的至少一种;所述资源获取模块被配置为:当所述数据访问通道为全球广域网通道时,通过所述全球广域网通道向网络资源数据库转发网络访问请求,以从所述网络资源数据库获取与所述数据访问权限相匹配的数据资源;当所述数据访问通道为安全外壳协议通道时,通过所述安全外壳协议通道登录与所述数据访问权限相匹配的跳板机,并通过所述跳板机访问系统资源数据库,以从所述系统资源数据库获取与所述数据访问权限相匹配的数据资源。
在本申请的一些实施例中,基于以上技术方案,所述桌面生成模块被配置为:获取用于向所述当前用户展示所述数据资源的资源清单;生成基于远程访问的虚拟桌面,并在所述虚拟桌面上展示所述资源清单。
在本申请的一些实施例中,基于以上技术方案,所述桌面生成模块还被配置为:响应于对所述资源清单中的资源对象的触发操作,获取与所述资源对象相对应的与所述数据访问权限相匹配的数据资源,并在所述虚拟桌面上展示所述数据资源。
根据本申请实施例的一个方面,提供一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如以上技术方案中的权限管理方法。
根据本申请实施例的一个方面,提供一种电子设备,该电子设备包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器被配置为经由执行所述可执行指令来执行如以上技术方案中的权限管理方法。
根据本申请实施例的一个方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行如以上技术方案中的权限管理方法。
在本申请实施例提供的技术方案中,通过识别用户所在的接入点,可以在用户的静态权限的基础上,根据不同的接入点对用户的数据访问权限进行动态调整,从而实现对用户权限的动态管理,避免因固定权限而导致数据泄露的问题,因此可以提高数据访问的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性地示出了应用本申请技术方案的示例性系统架构框图。
图2示意性地示出了本申请一个实施例中的资源访问的流程图。
图3示意性地示出了本申请一个实施例中的权限管理方法的步骤流程图。
图4示意性地示出了本申请一个实施例中解析登录信息的步骤流程图。
图5示意性地示出了本申请一个实施例中基于编译室接入点生成的交互界面。
图6示意性地示出了本申请一个实施例中基于国内接入点的专用客户端生成的交互界面。
图7示意性地示出了本申请一个实施例中基于国内接入点的个人办公电脑生成的交互界面。
图8示意性地示出了本申请实施例在一个应用场景中的网络架构。
图9示意性地示出了本申请实施例提供的权限管理装置的结构框图。
图10示意性示出了适于用来实现本申请实施例的电子设备的计算机系统结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
本申请技术方案可以应用于自动驾驶领域中,例如用于在自动驾驶云服务平台的开发过程和使用过程中进行用户权限管理。
以自动驾驶云服务平台的开发过程为例,需要采集数据、标注数据、数据存储和计算,开发过程中要使用数据、上传代码镜像、做模型训练和模拟方案、仿真评价、查看和下载程序运行结果报告和程序运行日志、部署应用和调试等诸多工作。而自动驾驶开发过程中采集的数据绝大部分都是测绘数据,属于国家测绘相关法规规定的保密数据,甚至涉及到国家机密和国家安全,相关法规对于这部分的数据存储和使用做了详细的规范,采集、存储和使用都需要遵循国家保密法等相关法律法规的规定。
自动驾驶开发是一个全球协作的产业链,数据采集、数据标注、模型开发和算法训练,模拟仿真以及仿真评价等各个环节分散在全球各地。在传统的权限管理体系下,只能要求所有的开发人员在有甲级测绘资质企业的编译室进行开发和调试,会造成极大的编译室建设成本、运营成本以及人工和差旅成本,以致于无法使用,阻碍自动驾驶业务的开发和行业的进度。例如用户在出差期间,特别是在海外出差,使用的权限体系没有任何变化。而自动驾驶开发过程中往往要查看原始数据,而这些数据都是涉密数据,不能在国内出差期间下载,甚至不能在境外出差期间查看。
本申请技术方案通过一系列产品和技术手段保证了相关数据的合规的存储和使用,同时又能记录用户的所有行为,对于数据的使用和运行结果报告的下载、日志的查看做了合规处理和限制,确保通过云服务的方式合规的使用数据。
图1示意性地示出了应用本申请技术方案的示例性系统架构框图。
如图1所示,系统架构100可以包括终端设备110、网络120和服务器130。终端设备110可以包括智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、车载终端、智能电视等,但并不局限于此。服务器130可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云计算服务的云服务器。网络120可以是能够在终端设备110和服务器130之间提供通信链路的各种连接类型的通信介质,例如可以是有线通信链路或者无线通信链路。
根据实现需要,本申请实施例中的系统架构可以具有任意数目的终端设备、网络和服务器。例如,服务器130可以是由多个服务器设备组成的服务器群组。另外,本申请实施例提供的技术方案可以应用于终端设备110,也可以应用于服务器130,或者可以由终端设备110和服务器130共同实施,本申请对此不做特殊限定。
举例而言,终端设备110上可以安装远程登录客户端,当用户在终端设备110上登录账户时,通过实施本申请技术方案,可以根据用户自身属性、使用环境以及接入点等信息为用户分配动态控制的数据访问权限,从而按照数据访问权限访问服务器130上的数据资源。
图2示意性地示出了本申请一个实施例中的资源访问的流程图。
如图2所示,用户210表示登录并发起数据访问的系统注册用户,不同的用户具有不同的身份属性,其身份属性例如可以包括用户所在的公司、在公司内的职能、实际的办公地点等用于区分用户的身份角色的属性信息。
由于用户分布地域的不同,用户在登陆账户以访问数据时,需要通过接入点220接入到数据中心,从而由数据中心向用户提供所需的数据资源。按分布地域划分,接入点220例如可以包括海外办公室、国内办公室、编译室等等。
在接入点220上可以配置不同类型的接入客户端230,例如可以包括个人办公电脑和专用设备。
访问通道240是用于将不同的接入点220接入数据中心的专用信道通路,每个接入点220可以对应于一个专用的访问通道240。
当用户210通过访问通道240接入数据中心后,可以对应生成基于远程访问的虚拟桌面250。
根据用户210自身的属性、接入点220、接入客户端230和访问通道240的不同,可以为用户210分配动态确定的数据访问权限260。
根据不同的数据访问权限260可以从数据中心的资源数据库270中获取与权限相匹配的数据资源,从而将数据资源展示在虚拟桌面上,以供用户查看和使用。
在本申请的一个实施例中,数据中心的服务器可以是基于云技术实现的云服务器,数据中心用于存储数据资源的数据库也可以是基于云存储的存储系统。
下面结合具体实施方式对本申请提供的权限管理方法、权限管理装置、计算机可读介质以及电子设备等技术方案做出详细说明。
图3示意性地示出了本申请一个实施例中的权限管理方法的步骤流程图,该权限管理方法可以由图1所示的终端设备或者服务器执行,也可以由终端设备和服务器共同执行,本申请实施例以终端设备上执行的权限管理方法作为示例进行说明。如图3所示,该权限管理方法主要可以包括如下的步骤S310至步骤S340。
步骤S310:响应于远程桌面访问请求,获取当前用户的登录信息。
步骤S320:解析登录信息,得到当前用户的身份属性以及当前用户所在的接入点。
步骤S330:根据身份属性和接入点确定当前用户的数据访问权限。
步骤S340:基于远程访问的虚拟桌面向当前用户展示与数据访问权限相匹配的数据资源。
在本申请实施例提供的权限管理方法中,通过识别用户所在的接入点,可以在用户的静态权限的基础上,根据不同的接入点对用户的数据访问权限进行动态调整,从而实现对用户权限的动态管理,避免因固定权限而导致数据泄露的问题,因此可以提高数据访问的安全性。
以下结合具体应用场景对本申请实施例中的权限管理方法的各个方法步骤做进一步说明。
在步骤S310中,响应于远程桌面访问请求,获取当前用户的登录信息。
远程桌面,即桌面虚拟化,是指将计算机的终端系统(也称作桌面)进行虚拟化,以达到桌面使用的安全性和灵活性。基于桌面虚拟化技术,用户可以远程地通过任何设备,在任何地点,任何时间通过网络访问该虚拟桌面系统。
当前用户的登录信息可以包括用户的登录凭证和用户当前登录的桌面地址。其中,登录凭证用于表示当前用户的身份合法性,例如可以包括当前用户的登录用户名和相应的登录密钥。桌面地址用于表示用户当前登录设备的网络地址,例如可以包括互联网协议地址,即IP地址。
在本申请的一个实施例中,当用户首次登录账户时,可以输入登录用户名和相应的登录密钥以登录账户,进而发起远程桌面访问请求。基于登录用户名和登录密钥可以对当前用户的身份进行合法性校验,当校验通过时即可以根据登录用户名和登录密钥生成相应的登录凭证。
在本申请的一个实施例中,用户也可以采用手势识别、生物特征识别(如指纹识别、人脸识别、虹膜识别)或者其他的登录方式,基于用户登录过程中采集到的相关特征信息即可用于生成用户的登录凭证。
在本申请的一个实施例中,当用户成功登录账户后,可以记录用户的登录凭证,例如可以记录相应的Session对象。当用户在Session对象的有效期内访问远程虚拟桌面时,可以直接基于保存的Session对象获取用户的登录凭证,而无需重复验证。
在步骤S320中,解析登录信息,得到当前用户的身份属性以及当前用户所在的接入点。
当用户发起远程桌面访问请求时,会基于请求内容封装作为登录信息的数据报文,并将数据报文通过网络专线发送至数据中心。在本申请的一个实施例中,向数据中心发送的数据报文会被拦截下来,并对其进行解析处理,得到当前用户的身份属性和当前用户所在的接入点。
图4示意性地示出了本申请一个实施例中解析登录信息的步骤流程图。如图4所示,在以上实施例的基础上,步骤S320中的解析登录信息,得到当前用户的身份属性以及当前用户所在的接入点,可以包括如下的步骤S410至步骤S430。
步骤S410:解析登录信息,得到登录信息中携带的用户登录凭证和本地桌面地址。
登录信息为一个封装了用户请求内容的数据报文,在对其进行解析处理后,可以得到在报文头部携带的本地桌面地址以及在报文主体部分携带的登录凭证。
步骤S420:根据用户登录凭证对当前用户进行身份判定,得到当前用户的身份属性。
在本申请的一个实施例中,对当前用户进行身份判定的方法可以包括:根据用户登录凭证确定当前用户登录的账户;获取与账户相关联的多个维度的身份属性。
在本申请的一个实施例中,用户登录凭证包括当前用户输入的登录用户名和登录密钥。在此基础上,根据用户登录凭证确定当前用户登录的账户的方法可以包括:将登录用户名和登录密钥发送至认证中心;通过认证中心对登录用户名和登录密钥进行身份认证;当身份认证的认证结果为认证通过时,将与登录用户名相关联的账户确定为当前用户登录的账户。
由认证中心对登录用户名和登录密钥进行身份认证且认证通过后,还可以将登录用户名和登录密钥进行关联后记录为Session对象,以便后续访问或认证时能够直接获取Session对象作为当前用户的登录凭证。
在本申请的一个实施例中,与账户相关联的身份属性可以包括当前用户所归属的用户集群的集群属性、当前用户在用户集群中的业务属性和环境属性。例如当前用户为企业员工,用户集群即为当前用户所在的企业,集群属性可以是企业名称或者其他用于区分企业的标识性信息。业务属性可以是用户在企业中的职能,环境属性可以是用户在企业中的办公地点、办公设备或者其他与环境地域相关的标识信息。
步骤S430:根据本地桌面地址对当前用户进行接入点判定,得到当前用户所在的接入点。
在本申请的一个实施例中,通过对网络地址进行分段处理,可以确定归属于每个接入点的一个或者多个地址分段,从而根据本地桌面地址、地址分段以及接入点三者之间的对应关系进行接入点判定,得到当前用户所在的接入点。
在本申请的一个实施例中,根据本地桌面地址对当前用户进行接入点判定的方法可以包括:查找本地桌面地址所在的地址分段;根据地址分段与接入点的映射关系确定当前用户所在的接入点。
在本申请的一个实施例中,可以按照本地桌面地址所在的地址分段,确定与该地址分段具有映射关系的接入点作为当前用户所在的接入点。
在本申请的一个实施例中,当前用户在登录远程桌面或者发起网络请求时,可以自主选择接入点,也可以由远程桌面根据用户的本地桌面地址为当前用户推荐接入点。在此基础上,登录信息中还会携带当前用户请求访问的请求接入点。本申请实施例可以对用户请求访问的请求接入点与实际使用的接入点进行一致性比对,从而根据比对结果确定用户的实际接入点。
在本申请的一个实施例中,根据地址分段与接入点的映射关系确定当前用户所在的接入点的方法可以包括:根据地址分段与接入点的映射关系确定地址分段归属的原始接入点;解析登录信息,得到当前用户请求访问的请求接入点;将原始接入点与请求接入点进行一致性比对;当比对结果为一致时,将原始接入点作为当前用户所在的接入点。
在步骤S330中,根据身份属性和接入点确定当前用户的数据访问权限。
在本申请的一个实施例中,根据身份属性和接入点确定当前用户的数据访问权限的方法可以包括:根据身份属性和接入点确定当前用户与角色的组包含关系;在动态配置的权限数据库中查找与当前用户所属的角色相匹配的数据访问权限,动态配置的权限数据库是在多个静态权限数据库的基础上对用户权限进行动态调整的数据库。
在本申请实施例中,角色是为用户分配数据访问权限的依据,具有相同角色的用户将被划分至同一个分组,数据中心将按照分组的方式限制角色的数据访问权限,从而控制角色分组中的每个用户的数据访问权限。
在本申请的一个实施例中,用户的身份属性包括当前用户所归属的用户集群的集群属性、当前用户在用户集群中的业务属性和环境属性;多个静态权限数据库包括对应于集群属性和业务属性的角色权限数据库、对应于环境属性的环境权限数据库以及对应于接入点的接入点基本权限数据库。
在多个固定的静态权限数据库的基础上,利用用户所在的接入点,可以实现对静态权限的提权或者降权效果,从而有效控制在不同地域分区上基于接入点的控制来提高数据安全性。
在步骤S340中,基于远程访问的虚拟桌面向当前用户展示与数据访问权限相匹配的数据资源。
在本申请的一个实施例中,基于远程访问的虚拟桌面向当前用户展示与数据访问权限相匹配的数据资源的方法可以包括:获取当前用户发起数据访问请求的数据访问通道;通过数据访问通道从相应的资源数据库获取与数据访问权限相匹配的数据资源;生成用于向当前用户展示数据资源的基于远程访问的虚拟桌面。
在本申请的一个实施例中,数据访问通道包括全球广域网通道(Web Access);通过数据访问通道从相应的资源数据库获取与数据访问权限相匹配的数据资源,包括:通过全球广域网通道向网络资源数据库转发网络访问请求,以从网络资源数据库获取与数据访问权限相匹配的数据资源。
在本申请的一个实施例中,数据访问通道包括安全外壳协议通道(SSH Access);通过数据访问通道从相应的资源数据库获取与数据访问权限相匹配的数据资源,包括:通过安全外壳协议通道登录与数据访问权限相匹配的跳板机;通过跳板机访问系统资源数据库,以从系统资源数据库获取与数据访问权限相匹配的数据资源。
在本申请的一个实施例中,通过跳板机访问系统资源数据库的方法可以包括:通过跳板机对当前用户进行白名单认证;若白名单认证的认证结果为认证通过,则通过跳板机访问系统资源数据库;若白名单认证的认证结果为认证失败,则拒绝当前用户的访问请求。白名单用于记录与跳板机相对应的接入点的准入权限,基于跳板机进行白名单认证,可以控制特定的角色只能登录特定接入点对应的跳板机。
在本申请的一个实施例中,用户所在的接入点可以包括海外接入点、国内接入点和编译室接入点。其中海外接入点表示分布于海外办公室的接入点,海外接入点可以通过海外专线连接到数据中心。国内接入点表示分布于国内办公室的接入点,国内接入点可以通过国内专线连接到数据中心。编译室接入点表示编译室所在的接入点,可以通过数据中心的内部网络专线进行数据传输。
在本申请的一个实施例中,用户是通过虚拟桌面的方式来进行登录的,例如可以使用citrix或者iOA软件作为远程登录客户端。
citrix是提供桌面虚拟化解决方案的软件产品,可将Windows操作系统的桌面和应用转变为一种按需服务,向任何地点、使用任何设备的任何用户交付。使用citrix可以安全地向台式计算机、平板电脑、笔记本电脑、智能电话、车载终端或者瘦客户端等设备交付单个Windows、Web和SaaS(Software-as-a-Service,软件即服务)应用或整个虚拟桌面。
iOA是基于零信任安全管理系统的无边界网络产品,采用基于可信身份、可信设备、可信应用、可信链路授予访问权限,并强制所有访问都必须经过认证、授权和加密,助力企业工位于任何地点(Anywhere)、任何时间(Anytime)使用任何设备(Any device)都可以安全地访问授权资源以处理任何业务(Any work)的新型“4A办公”方式。
在本申请实施例中,可以设置三个登录接入点,即海外接入点、国内接入点和编译室接入点。其中,表1为本申请一个事实例中的三种接入点的权限差异列表。
表1
如表1所示,不同的权限体系对应的访问资源是不一样的。通过iOA/citrix的登录信息和相关技术约定解析,即可判定不同的用户接入点和角色以及该角色在不同接入点的动态权限,进而可以向用户展示不同的接入资源信息。在本申请实施例中,相同的用户在不同的接入点上具有不同的数据访问权限。在识别确定用户所在的接入点后,可以按照相应的数据访问权限生成虚拟桌面,从而在交互界面上展示包括不同数据资源列表的虚拟桌面。
图5示意性地示出了本申请一个实施例中基于编译室接入点生成的交互界面。如图5所示,用户在编译室内访问时,可以获取全部资源,产品交互界面会展示该用户能访问的所有资源清单,点击对应的资源即可打开相关的资源系统进行业务处理。
图6示意性地示出了本申请一个实施例中基于国内接入点的专用客户端生成的交互界面。如图6所示,用户在国内办公室内使用专用客户端访问时,可以获取合规处理后的受限资源,产品交互界面会展示该用户能访问的资源清单,点击对应的资源即可打开相关的资源系统进行业务处理。访问这些资源系统后端对应的数据库会有所不同,例如要访问涉及到人脸和车牌号的图像数据时,会访问经过GPS偏转、人脸和车牌模糊处理后的数据,同时这些数据只能查看,而不能截图保存和下载。
图7示意性地示出了本申请一个实施例中基于国内接入点的个人办公电脑生成的交互界面。如图7所示,用户在国内办公室内使用个人办公室设备登录访问时,权限仅限于限制资源,对应只能展示少量的资源系统。在本申请实施例中,基于海外接入点的个人办公电脑生成的交互界面与图7相同,即只能向用户展示少量的资源系统。
图8示意性地示出了本申请实施例在一个应用场景中的网络架构。如图8所示,用户在发起网络数据访问请求时,在本申请实施例网络架构下的处理流程包括如下的步骤。
步骤S801:用户通过登录接入点向对应的网关设备发起登录请求。如图所示,当用户通过普通设备登录国内接入点或者海外接入点时,可以将登录请求发送至相应的万维网网关;当用户通过专用设备登录国内接入点时,可以将登录请求发送至相应的国内网关;当用户通过公用设备登录编译室接入点时,可以将登录请求发送至相应的编译室网关。
步骤S802:网关设备将登录请求发送至认证中心,通过认证中心进行请求判定和接入点判定,以判断用户接入点。认证中心可以根据桌面IP地址查询接入点并校验桌面配置信息,桌面配置信息是接入点下从属的桌面IP地址信息。认证中心进行桌面登录一致性判定以确定原始登录桌面的认证请求。
用户的数据访问权限不做动态生成,而是根据用户的三要素(公司、职能和使用环境)和角色的对应关系进行穷举。其中,使用环境指的是用户办公的地点,例如办公室、专用设备和编译室。
根据帐号的三要素加上判定的接入点可以进行四要素认证,并确认相应的动态权限;更新身份认证系统中帐号和角色的组包含关系,从而确定与角色对应的数据访问权限。本申请实施例中的身份验证系统例如可以包括AD(Active Directory,活动目录)认证或者LDAP(Lightweight Directory Access Protocol,轻量目录访问协议)认证。AD主要是Windows用户、设备和应用程序的目录。AD要求提供一个Microsoft域控制器,当存在时,用户就可以单点登录位于域结构中的Windows资源。LDAP主要在Windows结构之外工作,重点放在Linux/Unix环境和更多技术应用程序上。LDAP没有相同的域或单点登录概念,其主要通过开源解决方案实现,因此比AD具有更大的灵活性。
步骤S803:在云服务器CAAS上记录用户的session对象。云服务器CAAS上记录的session对象可以包括用户的用户名ID以及相应的接入点,同时可以记录session对象的过期策略,例如可以记录session对象的有效时长。另外,在云服务器CAAS上可以记录经过认证后的授权信息。例如可以包括用户身份和密码的认证结果,接入点网关的IP地址校验信息、接入点的一致性判定结果、接入点访问白名单等等。
步骤S804:通过全球广域网通道(Web Access)向网络代理服务器发送数据访问请求,并由网络代理服务器将数据访问请求转发至网络资源数据库。网络代理服务器可以包括转发代理服务器Proxy或反向代理服务器Nginx中的至少一种。
步骤S805:由网关设备向基于iOA或者citrix实现的远程虚拟桌面发送数据访问请求,远程虚拟桌面通过安全外壳协议通道(SSH Access)登录跳板机,在通过跳板机连接至边缘节点后,由边缘节点向系统资源数据库发送数据访问请求。系统资源数据库中可以存储需要较高数据访问权限才能进行数据访问的敏感数据。
在本申请实施例提供的技术方案中,无论用户是在办公室还是在编译室,以及在国内或者海外出差的情况下,都可以很方便地通过办公室、编译室登录系统来使用平台,解决了传统方案只能在编译室使用专用终端进行编程和运行的烦恼。对于合规来讲,本申请实施例实现了不同的角色在不同地点的动态权限,保证了在编译室外用户100%不能触碰到敏感数据,但又能在合规的前提下最大限度的使用平台和数据,提升了研发效率,降低了办公成本。对于平台来讲,一方面满足了国家监管部门对于测绘数据和高精度地图等敏感数据等合规管控,一方面满足了开发者和客户对于数据使用的要求及研发时效性的要求,又能安全合规的实现项目的交付,提升了企业的业务处理效率。
应当注意,尽管在附图中以特定顺序描述了本申请中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
以下介绍本申请的装置实施例,可以用于执行本申请上述实施例中的权限管理方法。图9示意性地示出了本申请实施例提供的权限管理装置的结构框图。如图9所示,权限管理装置900包括:获取模块910,被配置为响应于远程桌面访问请求,获取当前用户的登录信息;解析模块920,被配置为解析所述登录信息,得到所述当前用户的身份属性以及所述当前用户所在的接入点;确定模块930,被配置为根据所述身份属性和所述接入点确定所述当前用户的数据访问权限;展示模块940,被配置为基于远程访问的虚拟桌面向所述当前用户展示与所述数据访问权限相匹配的数据资源。
在本申请的一些实施例中,基于以上技术方案,所述解析模块920包括:信息解析模块,被配置为解析所述登录信息,得到所述登录信息中携带的用户登录凭证和本地桌面地址;身份判定模块,被配置为根据所述用户登录凭证对所述当前用户进行身份判定,得到所述当前用户的身份属性;接入点判定模块,被配置为根据所述本地桌面地址对所述当前用户进行接入点判定,得到所述当前用户所在的接入点。
在本申请的一些实施例中,基于以上技术方案,所述身份判定模块被配置为:根据所述用户登录凭证确定所述当前用户登录的账户;获取与所述账户相关联的多个维度的身份属性。
在本申请的一些实施例中,基于以上技术方案,所述用户登录凭证包括所述当前用户输入的登录用户名和登录密钥;所述身份判定模块还被配置为:将所述登录用户名和登录密钥发送至认证中心;通过所述认证中心对所述登录用户名和登录密钥进行身份认证;当所述身份认证的认证结果为认证通过时,将与所述登录用户名相关联的账户确定为所述当前用户登录的账户。
在本申请的一些实施例中,基于以上技术方案,所述接入点判定模块被配置为:查找所述本地桌面地址所在的地址分段;根据所述地址分段与接入点的映射关系确定所述当前用户所在的接入点。
在本申请的一些实施例中,基于以上技术方案,所述接入点判定模块还被配置为:根据所述地址分段与接入点的映射关系确定所述地址分段归属的原始接入点;解析所述登录信息,得到所述当前用户请求访问的请求接入点;将所述原始接入点与所述请求接入点进行一致性比对;当比对结果为一致时,将所述原始接入点作为所述当前用户所在的接入点。
在本申请的一些实施例中,基于以上技术方案,所述确定模块930包括:关系确定模块,被配置为根据所述身份属性和所述接入点确定所述当前用户与角色的组包含关系;权限查找模块,被配置为在动态配置的权限数据库中查找与所述当前用户所属的角色相匹配的数据访问权限,所述动态配置的权限数据库是在多个静态权限数据库的基础上对用户权限进行动态调整的数据库。
在本申请的一些实施例中,基于以上技术方案,所述身份属性包括所述当前用户所归属的用户集群的集群属性、所述当前用户在所述用户集群中的业务属性和环境属性;所述多个静态权限数据库包括对应于所述集群属性和所述业务属性的角色权限数据库、对应于所述环境属性的环境权限数据库以及对应于所述接入点的接入点基本权限数据库。
在本申请的一些实施例中,基于以上技术方案,所述展示模块940包括:通道获取模块,被配置为获取所述当前用户发起数据访问请求的数据访问通道;资源获取模块,被配置为通过所述数据访问通道从相应的资源数据库获取与所述数据访问权限相匹配的数据资源;桌面生成模块,被配置为生成用于向所述当前用户展示所述数据资源的基于远程访问的虚拟桌面。
在本申请的一些实施例中,基于以上技术方案,所述数据访问通道包括全球广域网通道或者安全外壳协议通道中的至少一种;所述资源获取模块被配置为:当所述数据访问通道为全球广域网通道时,通过所述全球广域网通道向网络资源数据库转发网络访问请求,以从所述网络资源数据库获取与所述数据访问权限相匹配的数据资源;当所述数据访问通道为安全外壳协议通道时,通过所述安全外壳协议通道登录与所述数据访问权限相匹配的跳板机,并通过所述跳板机访问系统资源数据库,以从所述系统资源数据库获取与所述数据访问权限相匹配的数据资源。
在本申请的一些实施例中,基于以上技术方案,所述桌面生成模块被配置为:获取用于向所述当前用户展示所述数据资源的资源清单;生成基于远程访问的虚拟桌面,并在所述虚拟桌面上展示所述资源清单。
在本申请的一些实施例中,基于以上技术方案,所述桌面生成模块还被配置为:响应于对所述资源清单中的资源对象的触发操作,获取与所述资源对象相对应的与所述数据访问权限相匹配的数据资源,并在所述虚拟桌面上展示所述数据资源。
本申请各实施例中提供的权限管理装置的具体细节已经在对应的方法实施例中进行了详细的描述,此处不再赘述。
图10示意性地示出了用于实现本申请实施例的电子设备的计算机系统结构框图。
需要说明的是,图10示出的电子设备的计算机系统1000仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图10所示,计算机系统1000包括中央处理器1001(Central Processing Unit,CPU),其可以根据存储在只读存储器1002(Read-Only Memory,ROM)中的程序或者从存储部分1008加载到随机访问存储器1003(Random Access Memory,RAM)中的程序而执行各种适当的动作和处理。在随机访问存储器1003中,还存储有系统操作所需的各种程序和数据。中央处理器1001、只读存储器1002以及随机访问存储器1003通过总线1004彼此相连。输入/输出接口1005(Input/Output接口,即I/O接口)也连接至总线1004。
以下部件连接至输入/输出接口1005:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如局域网卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至输入/输出接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
特别地,根据本申请的实施例,各个方法流程图中所描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被中央处理器1001执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (13)
1.一种权限管理方法,其特征在于,包括:
响应于远程桌面访问请求,获取当前用户的登录信息;
解析所述登录信息,得到所述当前用户的身份属性以及所述当前用户所在的接入点;所述身份属性包括所述当前用户所归属的用户集群的集群属性、所述当前用户在所述用户集群中的业务属性和环境属性;
根据所述身份属性和所述接入点确定所述当前用户的数据访问权限;
获取所述当前用户发起数据访问请求的数据访问通道,所述数据访问通道包括全球广域网通道或者安全外壳协议通道中的至少一种;
当所述数据访问通道为全球广域网通道时,通过所述全球广域网通道向网络资源数据库转发网络访问请求,以从所述网络资源数据库获取与所述数据访问权限相匹配的数据资源;
当所述数据访问通道为安全外壳协议通道时,通过所述安全外壳协议通道登录与所述数据访问权限相匹配的跳板机,并通过所述跳板机访问系统资源数据库,以从所述系统资源数据库获取与所述数据访问权限相匹配的数据资源;
生成用于向所述当前用户展示所述数据资源的基于远程访问的虚拟桌面。
2.根据权利要求1所述的权限管理方法,其特征在于,解析所述登录信息,得到所述当前用户的身份属性以及所述当前用户所在的接入点,包括:
解析所述登录信息,得到所述登录信息中携带的用户登录凭证和本地桌面地址;
根据所述用户登录凭证对所述当前用户进行身份判定,得到所述当前用户的身份属性;
根据所述本地桌面地址对所述当前用户进行接入点判定,得到所述当前用户所在的接入点。
3.根据权利要求2所述的权限管理方法,其特征在于,根据所述用户登录凭证对所述当前用户进行身份判定,包括:
根据所述用户登录凭证确定所述当前用户登录的账户;
获取与所述账户相关联的多个维度的身份属性。
4.根据权利要求3所述的权限管理方法,其特征在于,所述用户登录凭证包括所述当前用户输入的登录用户名和登录密钥;根据所述用户登录凭证确定所述当前用户登录的账户,包括:
将所述登录用户名和登录密钥发送至认证中心;
通过所述认证中心对所述登录用户名和登录密钥进行身份认证;
当所述身份认证的认证结果为认证通过时,将与所述登录用户名相关联的账户确定为所述当前用户登录的账户。
5.根据权利要求2所述的权限管理方法,其特征在于,根据所述本地桌面地址对所述当前用户进行接入点判定,包括:
查找所述本地桌面地址所在的地址分段;
根据所述地址分段与接入点的映射关系确定所述当前用户所在的接入点。
6.根据权利要求5所述的权限管理方法,其特征在于,根据所述地址分段与接入点的映射关系确定所述当前用户所在的接入点,包括:
根据所述地址分段与接入点的映射关系确定所述地址分段归属的原始接入点;
解析所述登录信息,得到所述当前用户请求访问的请求接入点;
将所述原始接入点与所述请求接入点进行一致性比对;
当比对结果为一致时,将所述原始接入点作为所述当前用户所在的接入点。
7.根据权利要求1所述的权限管理方法,其特征在于,根据所述身份属性和所述接入点确定所述当前用户的数据访问权限,包括:
根据所述身份属性和所述接入点确定所述当前用户与角色的组包含关系;
在动态配置的权限数据库中查找与所述当前用户所属的角色相匹配的数据访问权限,所述动态配置的权限数据库是在多个静态权限数据库的基础上对用户权限进行动态调整的数据库。
8.根据权利要求7所述的权限管理方法,其特征在于,所述多个静态权限数据库包括对应于所述集群属性和所述业务属性的角色权限数据库、对应于所述环境属性的环境权限数据库以及对应于所述接入点的接入点基本权限数据库。
9.根据权利要求1所述的权限管理方法,其特征在于,生成用于向所述当前用户展示所述数据资源的基于远程访问的虚拟桌面,包括:
获取用于向所述当前用户展示所述数据资源的资源清单;
生成基于远程访问的虚拟桌面,并在所述虚拟桌面上展示所述资源清单。
10.根据权利要求9所述的权限管理方法,其特征在于,所述方法还包括:
响应于对所述资源清单中的资源对象的触发操作,获取与所述资源对象相对应的与所述数据访问权限相匹配的数据资源,并在所述虚拟桌面上展示所述数据资源。
11.一种权限管理装置,其特征在于,包括:
获取模块,被配置为响应于远程桌面访问请求,获取当前用户的登录信息;
解析模块,被配置为解析所述登录信息,得到所述当前用户的身份属性以及所述当前用户所在的接入点;所述身份属性包括所述当前用户所归属的用户集群的集群属性、所述当前用户在所述用户集群中的业务属性和环境属性;
确定模块,被配置为根据所述身份属性和所述接入点确定所述当前用户的数据访问权限;
展示模块,被配置为获取所述当前用户发起数据访问请求的数据访问通道,所述数据访问通道包括全球广域网通道或者安全外壳协议通道中的至少一种;当所述数据访问通道为全球广域网通道时,通过所述全球广域网通道向网络资源数据库转发网络访问请求,以从所述网络资源数据库获取与所述数据访问权限相匹配的数据资源;当所述数据访问通道为安全外壳协议通道时,通过所述安全外壳协议通道登录与所述数据访问权限相匹配的跳板机,并通过所述跳板机访问系统资源数据库,以从所述系统资源数据库获取与所述数据访问权限相匹配的数据资源;生成用于向所述当前用户展示所述数据资源的基于远程访问的虚拟桌面。
12.一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现权利要求1至10中任意一项所述的权限管理方法。
13.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至10中任意一项所述的权限管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110825408.2A CN113612740B (zh) | 2021-07-21 | 2021-07-21 | 权限管理方法、装置、计算机可读介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110825408.2A CN113612740B (zh) | 2021-07-21 | 2021-07-21 | 权限管理方法、装置、计算机可读介质及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113612740A CN113612740A (zh) | 2021-11-05 |
CN113612740B true CN113612740B (zh) | 2022-08-26 |
Family
ID=78305036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110825408.2A Active CN113612740B (zh) | 2021-07-21 | 2021-07-21 | 权限管理方法、装置、计算机可读介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113612740B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114268494A (zh) * | 2021-12-22 | 2022-04-01 | 赛尔网络有限公司 | 安全访问方法、系统、设备及介质 |
CN114465766B (zh) * | 2021-12-27 | 2023-08-04 | 天翼云科技有限公司 | 基于ssh的远程访问方法、装置、电子设备和存储介质 |
CN114500023A (zh) * | 2022-01-18 | 2022-05-13 | 江苏银承网络科技股份有限公司 | 多云环境下的堡垒机访问控制方法 |
CN114640672A (zh) * | 2022-02-11 | 2022-06-17 | 网宿科技股份有限公司 | 一种远程访问边缘设备的方法、设备及系统 |
CN115268728A (zh) * | 2022-05-16 | 2022-11-01 | 苏州峰之鼎信息科技有限公司 | 一种桌面内容呈现方法、装置、交互终端、服务器及介质 |
CN115174174B (zh) * | 2022-06-24 | 2024-04-12 | 百融至信(北京)科技有限公司 | 控制电子管理平台的方法和装置 |
CN115296866B (zh) * | 2022-07-19 | 2024-03-12 | 天翼云科技有限公司 | 一种边缘节点的访问方法及装置 |
CN116545781B (zh) * | 2023-07-06 | 2023-11-24 | 广东维信智联科技有限公司 | 一种云访问数据安全管理系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582769A (zh) * | 2009-07-03 | 2009-11-18 | 杭州华三通信技术有限公司 | 用户接入网络的权限设置方法和设备 |
CN103916412A (zh) * | 2012-12-31 | 2014-07-09 | 深圳市傲冠软件股份有限公司 | 一种it设备远程运维的方法和系统 |
CN103996000A (zh) * | 2014-05-16 | 2014-08-20 | 深圳市东信时代信息技术有限公司 | 权限管理系统及方法 |
CN112492028A (zh) * | 2020-11-26 | 2021-03-12 | 中国人寿保险股份有限公司 | 云桌面登录方法、装置、电子设备及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102665211B (zh) * | 2011-12-16 | 2017-11-07 | 中兴通讯股份有限公司 | 一种数字移动网络联盟权限控制方法及装置 |
JP2018022252A (ja) * | 2016-08-02 | 2018-02-08 | マーベリック株式会社 | 広告配信システム |
CN108881108A (zh) * | 2017-05-09 | 2018-11-23 | 北京京东尚科信息技术有限公司 | 权限管理的方法和装置 |
-
2021
- 2021-07-21 CN CN202110825408.2A patent/CN113612740B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582769A (zh) * | 2009-07-03 | 2009-11-18 | 杭州华三通信技术有限公司 | 用户接入网络的权限设置方法和设备 |
CN103916412A (zh) * | 2012-12-31 | 2014-07-09 | 深圳市傲冠软件股份有限公司 | 一种it设备远程运维的方法和系统 |
CN103996000A (zh) * | 2014-05-16 | 2014-08-20 | 深圳市东信时代信息技术有限公司 | 权限管理系统及方法 |
CN112492028A (zh) * | 2020-11-26 | 2021-03-12 | 中国人寿保险股份有限公司 | 云桌面登录方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113612740A (zh) | 2021-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113612740B (zh) | 权限管理方法、装置、计算机可读介质及电子设备 | |
CN108923908B (zh) | 授权处理方法、装置、设备及存储介质 | |
US11658993B2 (en) | Systems and methods for traffic inspection via an embedded browser | |
CN113468511B (zh) | 数据处理方法、装置、计算机可读介质及电子设备 | |
EP3484125B1 (en) | Method and device for scheduling interface of hybrid cloud | |
CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
CN108140098B (zh) | 建立容器之间的信任 | |
US11489933B2 (en) | Systems and methods for gamification of SaaS applications | |
CN110597832A (zh) | 基于区块链网络的政务信息处理方法、装置、电子设备及存储介质 | |
CN111556006A (zh) | 第三方应用系统登录方法、装置、终端及sso服务平台 | |
US10951396B2 (en) | Tamper-proof management of audit logs | |
CN105516059B (zh) | 一种资源访问控制方法和装置 | |
CN111683047B (zh) | 越权漏洞检测方法、装置、计算机设备及介质 | |
US11531929B2 (en) | Systems and methods for machine generated training and imitation learning | |
CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
US11290574B2 (en) | Systems and methods for aggregating skills provided by a plurality of digital assistants | |
CN113392415A (zh) | 数据仓库的访问控制方法、系统和电子设备 | |
KR20230027241A (ko) | 공유 자원 식별 | |
CN109635529A (zh) | 账号共用检测方法、装置、介质及电子设备 | |
CN115037743A (zh) | 云数据库操作中的租户用户管理 | |
US20060248578A1 (en) | Method, system, and program product for connecting a client to a network | |
CN112118238A (zh) | 认证登录的方法、装置、系统、设备及存储介质 | |
US11036308B2 (en) | Automated keyboard mapping for virtual desktops | |
CN117494186A (zh) | 一种基于Alluxio集群数据的权限管理方法、系统及电子设备 | |
US20230132478A1 (en) | Policy-controlled token authorization |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40055357 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |