CN113612802B - 一种访问控制方法、装置、设备及可读存储介质 - Google Patents
一种访问控制方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN113612802B CN113612802B CN202111168143.XA CN202111168143A CN113612802B CN 113612802 B CN113612802 B CN 113612802B CN 202111168143 A CN202111168143 A CN 202111168143A CN 113612802 B CN113612802 B CN 113612802B
- Authority
- CN
- China
- Prior art keywords
- access
- access control
- result
- linked list
- subject
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000013475 authorization Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 7
- 238000012986 modification Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 description 21
- 238000010586 diagram Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000002085 persistent effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 238000004883 computer application Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种访问控制方法、装置、设备及可读存储介质,该方法包括:接收并解析访问请求,确定访问请求对应的主体和客体;利用安全访问策略,得到主体是否有权访问客体的第一结果,并确定是否存在匹配的访问控制链表;若存在访问控制链表,则利用访问控制链表,得到主体是否有权访问客体的第二结果;若得到第二结果,则利用第二结果对访问请求进行控制处理;若未得到第二结果,则利用第一结果对访问请求进行控制处理。本申请,借助访问控制链表可以提升安全访问策略的灵活性和安全性。
Description
技术领域
本申请涉及安全保障技术领域,特别是涉及一种访问控制方法、装置、设备及可读存储介质。
背景技术
信息系统的安全目标是通过一组规则来控制和管理主体对客体的访问,这些访问控制规则称为安全策略,安全策略反应信息系统对安全的需求。安全模型是制定安全策略的依据,安全模型是指用形式化的方法来准确地描述安全的重要方面(机密性、完整性和可用性)及其与系统行为的关系。访问控制模型是从访问控制的角度描述安全系统,主要针对系统中主体对客体的访问及其安全控制。访问控制安全模型中一般包括主体、客体和权限。通常访问控制可以分自主访问控制(Discretionary Access Control,DAC)和强制访问控制(Mandatory Access Control,MAC)。
自主访问控制机制允许对象的属主来制定针对该对象的保护策略。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。但是,自主访问控制的一个最大问题是主体的权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性,但其难以更改访问策略,灵活性差。即,自主访问控制和强制访问控制均难以满足实际控制需求。
综上所述,如何有效地解决访问控制等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本申请的目的是提供一种访问控制方法、装置、设备及可读存储介质,通过访问控制链表,能够在各种复杂状况下配置访问控制规则,灵活、方便的进行细粒度的访问控制权限的设定,保护了各种系统上的资源的安全性。
为解决上述技术问题,本申请提供如下技术方案:
一种访问控制方法,包括:
接收并解析访问请求,确定所述访问请求对应的主体和客体;
利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,并确定是否存在匹配的访问控制链表;
若存在所述访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果;
若得到所述第二结果,则利用所述第二结果对所述访问请求进行控制处理;
若未得到所述第二结果,则利用所述第一结果对所述访问请求进行控制处理。
优选地,若所述访问控制链表为属性访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果,包括:
获取所述主体和所述客体的属性信息;
从所述属性访问控制链表中查询与所述属性信息匹配的所述第二结果。
优选地,若所述访问控制链表为场景访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果,包括:
获取所述访问请求对应的场景信息;
从所述场景访问控制链表中查询与所述场景信息匹配的所述第二结果。
优选地,还包括:
接收访问控制链表修改请求,得到修改内容;
利用所述修改内容对所述访问控制链表进行修改。
优选地,还包括:
接收访问控制链表查看请求;
输出所述访问控制链表。
优选地,若所述安全访问策略为自主访问策略,则所述利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,包括:
获取所述客体对应的授权列表;
在所述授权列表中查找所述主体,得到所述主体是否有权访问所述客体的第一结果。
优选地,若所述安全访问策略为强制访问策略,则所述利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,包括:
获取所述主体的安全标签和所述客体的安全标签;
比对所述主体的安全标签和所述客体的安全标签,得到所述主体是否有权访问所述客体的第一结果。
一种访问控制装置,包括:
请求接收模块,用于接收并解析访问请求,确定所述访问请求对应的主体和客体;
第一结果确定模块,用于利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,并确定是否存在匹配的访问控制链表;
第二结果确定模块,用于若存在所述访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果;
第一访问控制模块,用于若得到所述第二结果,则利用所述第二结果对所述访问请求进行控制处理;
第二访问控制模块,用于若未得到所述第二结果,则利用所述第一结果对所述访问请求进行控制处理。
一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述访问控制方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述访问控制方法的步骤。
应用本申请实施例所提供的方法,接收并解析访问请求,确定访问请求对应的主体和客体;利用安全访问策略,得到主体是否有权访问客体的第一结果,并确定是否存在匹配的访问控制链表;若存在访问控制链表,则利用访问控制链表,得到主体是否有权访问客体的第二结果;若得到第二结果,则利用第二结果对访问请求进行控制处理;若未得到第二结果,则利用第一结果对访问请求进行控制处理。
在接收到访问请求之后,首先确定出访问对应的主体和客体。然后,利用安全访问策略,确定主体是否有权访问该客体所对应的第一结果。与此同时,还进一步明确是否存在匹配的访问控制链表。如果存在访问控制链表,则基于访问控制链表,再次确定主体是否有权访问该客体所对应的第二结果。当存在第二结果的情况下,优先使用第二结果来对该访问请求进行控制处理。即,在有安全访问策略的基础上,可以根据实际控制需求增加访问控制链表来确定主体是否有权访问客体,借助访问控制链表可以提升安全访问策略的灵活性和安全性。
相应地,本申请实施例还提供了与上述访问控制方法相对应的访问控制装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中一种访问控制方法的实施流程图;
图2为本申请实施例中一种访问控制方法的具体实施示意图;
图3为本申请实施例中一种访问控制装置的结构示意图;
图4为本申请实施例中一种电子设备的结构示意图;
图5为本申请实施例中一种电子设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例中一种访问控制方法的流程图,该方法包括以下步骤:
S101、接收并解析访问请求,确定访问请求对应的主体和客体。
接收到访问请求后,对该访问请求进行解析,可以确定访问请求对应的主体和客体。
其中,主体可以是进程或线程,客体(即被访问对象)可以是文件、目录、TCP/UDP端口、共享内存段、I/O设备、表、视图、过程等。
S102、利用安全访问策略,得到主体是否有权访问客体的第一结果,并确定是否存在匹配的访问控制链表。
通常,安全访问策略包括自主访问控制策略和强制访问控制策略。在本申请实施例中,该安全访问策略可以具体为自主访问控制策略,也可以为强制访问控制策略。下面,分别以不同的安全访问策略为例,对具体如何得到第一结果进行详细说明:
若安全访问策略为自主访问策略,则步骤S102利用安全访问策略,得到主体是否有权访问客体的第一结果,包括:
步骤一、获取客体对应的授权列表;
步骤二、在授权列表中查找主体,得到主体是否有权访问客体的第一结果。
为便于描述,下面将上述两个步骤结合起来进行说明。
自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表来限定哪些主体针对哪些客体可以执行什么操作。也就是说,在确定主体和客体之后,便可以先获取到客体的属主为其设置的授权列表。得到客体的授权列表之后,便可在授权列表中查找该主体,从对应的权限设置明确该主体是否有权访问该客体。也就是说,第一结果可以为主体有权访问该客体,也可以为主体无权访问该客体。
若安全访问策略为强制访问策略,则步骤S102利用安全访问策略,得到主体是否有权访问客体的第一结果,具体包括:
步骤一、获取主体的安全标签和客体的安全标签;
步骤二、比对主体的安全标签和客体的安全标签,得到主体是否有权访问客体的第一结果。
为便于描述,下面将上述两个步骤结合起来进行说明。
强制访问控制对访问主体和客体(即受控对象)标识两个安全标签,一个是具有偏序关系的安全等级标签,另一个是非等级分类标签,通过比较主体和客体的访问标签来决定一个主体是否能够访问某个客体。即,主体和客体各自具有一组安全标签。每当主体尝试访问对象时,都会由系统强制施行授权规则——检查安全标签并决定是否可进行访问。任何主体对任何对象的任何操作都将根据一组授权规则(也称策略)进行测试,决定操作是否允许。
为了提高安全访问策略的安全性和灵活性,还可以根据实际需求,设置访问控制链表。即,在该访问控制链表中,可以设置原本自主访问控制或强制访问控制无法设置或调整的访问控制规则。具体的,在基于安全访问策略确定第一结果的同时,可以进一步明确有无匹配的访问控制链表。如果不存在访问控制链表,则可直接跳转至执行步骤S105,若存在访问控制链表,则可执行步骤S103。
S103、利用访问控制链表,得到主体是否有权访问客体的第二结果。
该访问控制链表可以为安全访问策略无法设置的访问规则。也就是说,基于访问控制链表,确认一下主体是否有权访问该客体。需要注意的是,第二结果与第一结果可以相关也可以不同,对于同一个访问请求,可以仅有第一结果而无第二结果。第一和第二之间仅区别二者的确定主体是否有权访问客体的参考依据不同。
具体的,该访问控制链表包括属性访问控制链表和场景访问控制链表。不同的访问控制链表对应确定第二结果的具体实现过程如下:
方式一:若访问控制链表为属性访问控制链表,则步骤S103利用访问控制链表,得到主体是否有权访问客体的第二结果,包括:
步骤一、获取主体和客体的属性信息;
步骤二、从属性访问控制链表中查询与属性信息匹配的第二结果。
也就是说,可以在属性访问控制链表中设置属性之间的访问权限。如此,便可以基于属性来确定主体是否有权访问客体。
具体的,在属性访问控制链表中可以配置主体或客体的属性规则。主体属性是主体的特征,例如:访问进程是系统进程、访问进程的父进程ID是1234等;客体属性是客体的特征,例如:被访问文件是系统文件、被访问文件的属主是root等。主体属性和客体属性,访问控制实现程序可以动态获取。通过在属性访问控制链表中配置属性规则,可以通过属性判断更加细粒度的控制主体对客体的访问。
例1:某个重要的系统文件B,里面保存着敏感的业务数据,属性设为机密,只允许A账号运行的程序来访问,避免敏感信息泄露。当B文件中的敏感的业务数据被A账号删除或A账号判断不再需要保密时,即系统文件B不再含有敏感数据时,A账号可以将文件B的属性由机密变为普通,系统文件B将自动允许A账号以外的账号访问。
例2、业务系统自动将一些文件存档,在属性访问控制链表中设置存档的文件属性为存档,存档的文件不允许任何程序修改。存档文档一般有一个存档有效期(如:一年),一年后不再具有存档价值,属性变为非存档,非存档的文件允许相关程序修改。
方式二:若访问控制链表为场景访问控制链表,则步骤S103利用访问控制链表,得到主体是否有权访问客体的第二结果,包括:
步骤一、获取访问请求对应的场景信息;
步骤二、从场景访问控制链表中查询与场景信息匹配的第二结果。
也就是说,可以在场景访问控制链表中设置不同场景下的主体与客体的访问权限。如此,在满足特定场景的情况下,可以明确主体是否可以访问客体。
具体的,在场景访问控制链表中可以配置场景规则。场景为超越主体和客体的全局变量,例如:访问操作发生时的系统时间、访问操作发生时的系统运行模式、访问操作发生时的各种具体业务场景等。通过在场景访问控制链表中配置场景规则,可以通过场景约束更加细粒度的控制主体对客体的访问。
例1、业务系统一般设有调试账号。重要的系统资源,在系统正常运行的场景下不允许调试账号访问;可以通过设置场景访问控制链表中实现,在系统运行在调试模式场景下时,允许该调试账号访问重要的系统资源,以便抓取系统信息,方便定位问题。
例2、业务系统可以分为前台运行场景和后台运行场景。通过场景访问控制链表,可实现在前台运行场景,业务系统中的程序可以访问用于前台显示的窗口或命令行界面;在切换到后台运行场景时,用于显示的窗口或命令行界面等前台资源,业务系统中的程序将自动不能访问。
在实际应用中,可以根据需求,仅设置属性访问控制链表,也可仅设置场景访问控制链表,还可同时设置属性访问控制链表和场景访问控制链表。下面以强制访问控制为例,对该访问控制链表以及以相应地访问控制链表来确定主体是否有权访问客体进行详细说明。
对于某个重要的系统日志文件,可以配置规则禁止所有进程访问该文件,这样所有进程对该文件的任何访问操作都将失败。但某个系统属性的进程无法访问这个重要的系统文件,可能会影响系统的正常行为,进而影响系统的稳定性,那就必须配置规则把这个系统属性的进程放过去,让其访问成功。如果有多个这样的系统属性的进程,且如果这些进程有着相同的目录结构,那么可以在配置规则中加入通配符匹配这些进程。但如果这些系统属性的进程散落在各个地方,那配置的强制访问控制规则将无能为力了。
基于此,在本实施例中,可以在强制访问控制机制实现过程中加入主体属性和客体属性,强制访问控制实现程序动态获取主体属性和客体属性,在主客体规则匹配成功后,如果对应规则下面还有关联的属性规则(即属性访问控制链表),则匹配属性规则,在本实施例中则可设置主体进程属性为“SYSTEM”的所有进程允许访问客体系统日志文件。
但是,这样还有一个问题,所有非“SYSTEM”属性的进程,在任何情况下都无法访问这个重要的系统日志文件。如果当前业务系统开发了一个日志转发程序(假设程序名称为LogSend),要把这个客体系统日志文件发送到备份服务器上,同时将当前的这个客体系统日志文件删除,那么这个日志转发程序的操作将失败。此时,可以通过在主客体规则下面再关联场景规则(即场景访问控制链表)来继续增强强制访问控制机制的细粒度控制能力。假设日志转发程序通常在系统空闲(例如:凌晨2点到3点)时运行,可以关联一个时间场景规则,允许LogSend程序凌晨2点到3点访问该客体系统日志文件,则可以通过计划任务在凌晨2点到3点时间段内启动LogSend程序进行系统日志文件的转发和删除工作。
S104、若得到第二结果,则利用第二结果对访问请求进行控制处理。
当存在第二结果时,则表明在区别于安全访问策略之外,存在与访问请求匹配的访问控制链表,并基于该访问控制链表可以得到主体是否有权访问相应客体的判断结果。
在存在第二结果的情况下,优先采用第二结果对访问请求进行控制处理。也就是说,无论第一结果如何,只要第二结果表明该主体有权访问该客体,则允许该主体访问客体;否则,禁止该主体访问该客体。
S105、若未得到第二结果,则利用第一结果对访问请求进行控制处理。
在不存在第二结果时,则表明在区别于安全访问策略之外,不存在与访问请求匹配的访问控制链表。此时,可直接利用第一结果来对访问请求进行控制处理。即,第一结果表明该主体有权访问该客体,则允许该主体访问客体;否则,禁止该主体访问该客体。
优选地,由于实际应用过程中,用户需求可能会发生变化,因而在本实施例中还提出针对访问控制链表的查看、修改更新处理策略。
查看的实现过程,包括:
步骤一、接收访问控制链表查看请求;
步骤二、输出访问控制链表。
具体的,可以对外提供标准化的用户接口(如命令行或UI界面),可以方便的用户查看以及进一步手动修改访问控制链表。
其中,修改更新具体的实现过程,包括:
步骤一、接收访问控制链表修改请求,得到修改内容;
步骤二、利用修改内容对访问控制链表进行修改。
举例说明:采用强制访问控制策略的情况下,当需求变动时,访问控制规则更新模块首先修改强制访问控制规则的持久存储(数据库或配置文件),然后通知刷新内存。强制访问控制实现程序刷新内部的访问控制链表(包含内嵌的属性访问控制链表和场景访问控制链表)。
应用本申请实施例所提供的方法,接收并解析访问请求,确定访问请求对应的主体和客体;利用安全访问策略,得到主体是否有权访问客体的第一结果,并确定是否存在匹配的访问控制链表;若存在访问控制链表,则利用访问控制链表,得到主体是否有权访问客体的第二结果;若得到第二结果,则利用第二结果对访问请求进行控制处理;若未得到第二结果,则利用第一结果对访问请求进行控制处理。
在接收到访问请求之后,首先确定出访问对应的主体和客体。然后,利用安全访问策略,确定主体是否有权访问该客体所对应的第一结果。与此同时,还进一步明确是否存在匹配的访问控制链表。如果存在访问控制链表,则基于访问控制链表,再次确定主体是否有权访问该客体所对应的第二结果。当存在第二结果的情况下,优先使用第二结果来对该访问请求进行控制处理。即,在有安全访问策略的基础上,可以根据实际控制需求增加访问控制链表来确定主体是否有权访问客体,借助访问控制链表可以提升安全访问策略的灵活性和安全性。
下面以强制访问控制策略为例并请参考图2,对如何利用访问控制链表来对其进行增强处理的具体实现进行详细说明。
具体的,可以设置以下模块:
增强型强制访问控制规则持久存储模块:即添加了属性访问控制规则和场景访问控制规则的强制访问控制规则数据结构化存储在数据库或配置文件(如:XML文件)中。
增强型强制访问控制系统初始化模块:强制访问控制实现程序初始化时,读取存储在数据库或配置文件中的强制访问控制规则(包括属性访问控制规则和场景访问控制规则),缓存在程序内部的访问控制链表中。
增强型强制访问控制系统规则匹配模块:强制访问控制实现程序拦截到资源访问时,遍历访问控制规则链表(包括内嵌的属性访问控制链表和场景访问控制链表),获取该动作是否有权执行。
增强型强制访问控制系统规则更新模块:强制访问控制规则需要变动时,访问控制规则更新模块首先修改强制访问控制规则的持久存储(数据库或配置文件),然后通知刷新内存。强制访问控制实现程序刷新内部的访问控制链表(包括内嵌的属性访问控制链表和场景访问控制链表)。
访问控制规则查看与更新模块:提供标准化的用户接口(命令行或UI界面),可以方便的查看或手动修改强制访问控制规则(包含属性访问控制规则和场景访问控制规则)。
也就是说,通过在通用强制访问控制模型中增加属性访问控制链表和场景访问控制链表。属性访问控制链表和场景访问控制链表内嵌在通用强制访问控制模型的主客体规则访问控制链表的内部。系统在拦截到具体的主体对客体的访问控制动作时,先进行通用强制访问控制规则链表的匹配。匹配到具体某一条规则时,程序再判断该条具体规则下面是否挂靠有属性访问控制链表或场景访问控制链表。如果该条规则没有挂靠的属性访问控制链表或场景访问控制链表,则按照通用访问控制链表匹配的结果返回。如果该条具体规则下面内嵌有属性访问控制链表或场景访问控制链表,则依次进行属性访问控制链表的匹配和场景访问控制链表的匹配,两个中的任何一个匹配成功,按照相应匹配结果返回,否则,按照通用强制访问控制规则的结果返回。
相应于上面的方法实施例,本申请实施例还提供了一种访问控制装置,下文描述的访问控制装置与上文描述的访问控制方法可相互对应参照。
参见图3所示,该装置包括以下模块:
请求接收模块101,用于接收并解析访问请求,确定访问请求对应的主体和客体;
第一结果确定模块102,用于利用安全访问策略,得到主体是否有权访问客体的第一结果,并确定是否存在匹配的访问控制链表;
第二结果确定模块103,用于若存在访问控制链表,则利用访问控制链表,得到主体是否有权访问客体的第二结果;
第一访问控制模块104,用于若得到第二结果,则利用第二结果对访问请求进行控制处理;
第二访问控制模块105,用于若未得到第二结果,则利用第一结果对访问请求进行控制处理。
应用本申请实施例所提供的装置,接收并解析访问请求,确定访问请求对应的主体和客体;利用安全访问策略,得到主体是否有权访问客体的第一结果,并确定是否存在匹配的访问控制链表;若存在访问控制链表,则利用访问控制链表,得到主体是否有权访问客体的第二结果;若得到第二结果,则利用第二结果对访问请求进行控制处理;若未得到第二结果,则利用第一结果对访问请求进行控制处理。
在接收到访问请求之后,首先确定出访问对应的主体和客体。然后,利用安全访问策略,确定主体是否有权访问该客体所对应的第一结果。与此同时,还进一步明确是否存在匹配的访问控制链表。如果存在访问控制链表,则基于访问控制链表,再次确定主体是否有权访问该客体所对应的第二结果。当存在第二结果的情况下,优先使用第二结果来对该访问请求进行控制处理。即,在有安全访问策略的基础上,可以根据实际控制需求增加访问控制链表来确定主体是否有权访问客体,借助访问控制链表可以提升安全访问策略的灵活性和安全性。
在本申请的一种具体实施方式中,若访问控制链表为属性访问控制链表,则第二结果确定模块103,具体用于获取主体和客体的属性信息;从属性访问控制链表中查询与属性信息匹配的第二结果。
在本申请的一种具体实施方式中,若访问控制链表为场景访问控制链表,则第二结果确定模块103,具体用于获取访问请求对应的场景信息;从场景访问控制链表中查询与场景信息匹配的第二结果。
在本申请的一种具体实施方式中,还包括:修改更新模块,用于接收访问控制链表修改请求,得到修改内容;利用修改内容对访问控制链表进行修改。
在本申请的一种具体实施方式中,还包括:查看模块,用于接收访问控制链表查看请求;输出访问控制链表。
在本申请的一种具体实施方式中,若安全访问策略为自主访问策略,则第一结果确定模块102,具体用于获取客体对应的授权列表;在授权列表中查找主体,得到主体是否有权访问客体的第一结果。
在本申请的一种具体实施方式中,若安全访问策略为强制访问策略,则第一结果确定模块102,具体用于获取主体的安全标签和客体的安全标签;比对主体的安全标签和客体的安全标签,得到主体是否有权访问客体的第一结果。
相应于上面的方法实施例,本申请实施例还提供了一种电子设备,下文描述的一种电子设备与上文描述的一种访问控制方法可相互对应参照。
参见图4所示,该电子设备包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的访问控制方法的步骤。
具体的,请参考图5,图5为本实施例提供的一种电子设备的具体结构示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储器332通信,在电子设备301上执行存储器332中的一系列指令操作。
电子设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的访问控制方法中的步骤可以由电子设备的结构实现。
相应于上面的方法实施例,本申请实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种访问控制方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的访问控制方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
Claims (10)
1.一种访问控制方法,其特征在于,包括:
接收并解析访问请求,确定所述访问请求对应的主体和客体;
利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,并确定是否存在匹配的访问控制链表;所述访问控制链表中设置有所述安全访问策略无法设置或调整的访问控制规则;
若存在所述访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果;
若得到所述第二结果,则利用所述第二结果对所述访问请求进行控制处理;
若未得到所述第二结果,则利用所述第一结果对所述访问请求进行控制处理。
2.根据权利要求1所述的访问控制方法,其特征在于,若所述访问控制链表为属性访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果,包括:
获取所述主体和所述客体的属性信息;
从所述属性访问控制链表中查询与所述属性信息匹配的所述第二结果。
3.根据权利要求1所述的访问控制方法,其特征在于,若所述访问控制链表为场景访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果,包括:
获取所述访问请求对应的场景信息;
从所述场景访问控制链表中查询与所述场景信息匹配的所述第二结果。
4.根据权利要求1所述的访问控制方法,其特征在于,还包括:
接收访问控制链表修改请求,得到修改内容;
利用所述修改内容对所述访问控制链表进行修改。
5.根据权利要求1所述的访问控制方法,其特征在于,还包括:
接收访问控制链表查看请求;
输出所述访问控制链表。
6.根据权利要求1至5任一项所述的访问控制方法,其特征在于,若所述安全访问策略为自主访问策略,则所述利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,包括:
获取所述客体对应的授权列表;
在所述授权列表中查找所述主体,得到所述主体是否有权访问所述客体的第一结果。
7.根据权利要求1至5任一项所述的访问控制方法,其特征在于,若所述安全访问策略为强制访问策略,则所述利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,包括:
获取所述主体的安全标签和所述客体的安全标签;
比对所述主体的安全标签和所述客体的安全标签,得到所述主体是否有权访问所述客体的第一结果。
8.一种访问控制装置,其特征在于,包括:
请求接收模块,用于接收并解析访问请求,确定所述访问请求对应的主体和客体;
第一结果确定模块,用于利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,并确定是否存在匹配的访问控制链表;所述访问控制链表中设置有所述安全访问策略无法设置或调整的访问控制规则;
第二结果确定模块,用于若存在所述访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果;
第一访问控制模块,用于若得到所述第二结果,则利用所述第二结果对所述访问请求进行控制处理;
第二访问控制模块,用于若未得到所述第二结果,则利用所述第一结果对所述访问请求进行控制处理。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述访问控制方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述访问控制方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111168143.XA CN113612802B (zh) | 2021-10-08 | 2021-10-08 | 一种访问控制方法、装置、设备及可读存储介质 |
PCT/CN2022/078099 WO2023056727A1 (zh) | 2021-10-08 | 2022-02-25 | 一种访问控制方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111168143.XA CN113612802B (zh) | 2021-10-08 | 2021-10-08 | 一种访问控制方法、装置、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113612802A CN113612802A (zh) | 2021-11-05 |
CN113612802B true CN113612802B (zh) | 2022-02-18 |
Family
ID=78310704
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111168143.XA Active CN113612802B (zh) | 2021-10-08 | 2021-10-08 | 一种访问控制方法、装置、设备及可读存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113612802B (zh) |
WO (1) | WO2023056727A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113612802B (zh) * | 2021-10-08 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
CN117278327B (zh) * | 2023-11-21 | 2024-01-26 | 北京熠智科技有限公司 | 一种针对网络请求的访问控制方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101729403A (zh) * | 2009-12-10 | 2010-06-09 | 上海电机学院 | 基于属性和规则的访问控制方法 |
CN104094618A (zh) * | 2013-01-29 | 2014-10-08 | 华为技术有限公司 | 访问控制方法、装置及系统 |
CN105959322A (zh) * | 2016-07-13 | 2016-09-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于多保护策略融合的强制访问控制方法及系统 |
CN108614969A (zh) * | 2018-05-02 | 2018-10-02 | 北京搜狐新媒体信息技术有限公司 | 一种系统启动后加载的强制访问控制方法及系统 |
CN109992983A (zh) * | 2019-04-15 | 2019-07-09 | 苏州浪潮智能科技有限公司 | 一种强制访问控制方法、装置、设备及可读存储介质 |
CN109995738A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种访问控制方法、网关及云端服务器 |
EP3509004A1 (en) * | 2018-01-03 | 2019-07-10 | Siemens Aktiengesellschaft | Adaption of mac policies in industrial devices |
CN112733165A (zh) * | 2021-01-07 | 2021-04-30 | 苏州浪潮智能科技有限公司 | 一种文件访问控制方法、装置及介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101631113B (zh) * | 2009-08-19 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种有线局域网的安全访问控制方法及其系统 |
US20110321117A1 (en) * | 2010-06-23 | 2011-12-29 | Itt Manufacturing Enterprises, Inc. | Policy Creation Using Dynamic Access Controls |
CN104484617B (zh) * | 2014-12-05 | 2017-09-26 | 中国航空工业集团公司第六三一研究所 | 一种基于多策略融合的数据库访问控制方法 |
CN109460673A (zh) * | 2018-10-22 | 2019-03-12 | 南瑞集团有限公司 | 基于强制访问控制保护移动终端敏感数据的方法及系统 |
EP3699799A1 (en) * | 2019-02-22 | 2020-08-26 | Siemens Aktiengesellschaft | Method for granting access to objects in a computerized system, computer program product, and field device |
CN113612802B (zh) * | 2021-10-08 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
-
2021
- 2021-10-08 CN CN202111168143.XA patent/CN113612802B/zh active Active
-
2022
- 2022-02-25 WO PCT/CN2022/078099 patent/WO2023056727A1/zh unknown
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101729403A (zh) * | 2009-12-10 | 2010-06-09 | 上海电机学院 | 基于属性和规则的访问控制方法 |
CN104094618A (zh) * | 2013-01-29 | 2014-10-08 | 华为技术有限公司 | 访问控制方法、装置及系统 |
CN105959322A (zh) * | 2016-07-13 | 2016-09-21 | 浪潮(北京)电子信息产业有限公司 | 一种基于多保护策略融合的强制访问控制方法及系统 |
CN109995738A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种访问控制方法、网关及云端服务器 |
EP3509004A1 (en) * | 2018-01-03 | 2019-07-10 | Siemens Aktiengesellschaft | Adaption of mac policies in industrial devices |
CN108614969A (zh) * | 2018-05-02 | 2018-10-02 | 北京搜狐新媒体信息技术有限公司 | 一种系统启动后加载的强制访问控制方法及系统 |
CN109992983A (zh) * | 2019-04-15 | 2019-07-09 | 苏州浪潮智能科技有限公司 | 一种强制访问控制方法、装置、设备及可读存储介质 |
CN112733165A (zh) * | 2021-01-07 | 2021-04-30 | 苏州浪潮智能科技有限公司 | 一种文件访问控制方法、装置及介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2023056727A1 (zh) | 2023-04-13 |
CN113612802A (zh) | 2021-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10540173B2 (en) | Version control of applications | |
US10404708B2 (en) | System for secure file access | |
CN100468343C (zh) | 应用程序的控制方法及装置 | |
US9680763B2 (en) | Controlling distribution of resources in a network | |
EP3133507A1 (en) | Context-based data classification | |
US20080244738A1 (en) | Access control | |
CN113612802B (zh) | 一种访问控制方法、装置、设备及可读存储介质 | |
US8024771B2 (en) | Policy-based method for configuring an access control service | |
US11443067B2 (en) | Restricting access and edit permissions of metadata | |
CN105827645B (zh) | 一种用于访问控制的方法、设备与系统 | |
US8135762B2 (en) | System and method for determining true computer file type identity | |
US8887241B2 (en) | Virtual roles | |
US20230224307A1 (en) | Methods and systems to identify a compromised device through active testing | |
CN111460496A (zh) | 基于用户角色的权限配置方法、电子装置及存储介质 | |
US9313208B1 (en) | Managing restricted access resources | |
CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
US10977218B1 (en) | Distributed application development | |
US10402185B2 (en) | Precision locking a database server during the upgrade of a system landscape | |
CN114861160A (zh) | 提升非管理员账户权限的方法及装置、设备、存储介质 | |
KR100985073B1 (ko) | 네트워크 공유폴더 접근 제어 장치 및 방법 | |
US11954203B2 (en) | Methods and systems for identifying a compromised device through its unmanaged profile | |
US11343258B2 (en) | Methods and systems for identifying a compromised device through its managed profile | |
US11645402B2 (en) | Methods and systems for identifying compromised devices from file tree structure | |
US20230418964A1 (en) | Generating customized policy decision point services for controlling access to computing resources | |
CN117272351A (zh) | 一种操作系统用户权限管理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |