CN115174185B - 一种访问控制方法及装置 - Google Patents

Abstract

本申请提供了一种访问控制方法及装置，该方法响应主体对客体的访问请求，获取主体的度量值及客体的度量值；若基于主体的度量值确定主体为不可信主体，或，基于客体的度量值确定客体为不可信客体，从访问策略库中查找出与主体和客体匹配的目标访问控制策略；若基于主体的度量值确定主体为可信主体，且基于客体的度量值确定可信客体，获取主体和客体的完整性标识值和机密性标识值；基于主体的完整性标识值和机密性标识值和客体的完整性标识值及机密性标识值，从访问策略库中查找出与主体和客体匹配的目标访问控制策略；基于目标访问控制策略，控制主体对客体进行访问。

Description

一种访问控制方法及装置

技术领域

本申请涉及计算机技术领域，特别涉及一种访问控制方法及装置。

背景技术

随着容器技术的不断发展和完善，国内外众多云服务供应商由传统的虚机云转向容器云服务。

目前的容器云服务多基于Docker容器技术，由Docker容器技术生成的容器实例即Docker容器。但是，伴随着Docker容器技术的广泛应用，Docker容器存在的资源隔离不彻底及访问权限模糊等安全缺陷也暴露出来，其中，在存在上述安全缺陷的情况下，Docker容器及其部分资源会被随意访问，导致Docker容器及其资源的安全性差。

发明内容

本申请提供如下技术方案：

本申请一方面提供一种访问控制方法，包括：

响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值，所述度量值表征完整属性，所述客体至少包括Docker容器及其资源；

若基于所述主体的度量值确定所述主体为不可信主体，或，基于所述客体的度量值确定所述客体为不可信客体，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

若基于所述主体的度量值确定所述主体为可信主体，且基于所述客体的度量值确定所述可信客体，获取所述主体和所述客体的完整性标识值和机密性标识值，所述主体或所述客体的完整性标识值越大，所述主体或所述客体的完整级别越高，所述主体或所述客体的机密性标识值越大，所述主体或所述客体的机密级别越高，所述完整性标识值基于所述度量值和预期度量值确定得到；

基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

基于所述目标访问控制策略，控制所述主体对所述客体进行访问。

可选的，所述响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值之前，还包括：

在获取到主体对客体的访问请求的情况下，对所述主体进行身份认证；

若身份认证通过，则执行响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值的步骤。

可选的，所述基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略，包括：

比较所述主体的完整性标识值和所述客体的完整性标识值，确定所述主体和所述客体的完整性级别高低关系，比较所述主体的机密性标识值和所述客体的机密性标识值，确定所述主体和所述客体的机密性级别高低关系；

从访问策略库中查找出与所述完整性级别大小关系和所述机密性级别大小关系对应的目标访问控制策略。

可选的，所述获取所述主体的度量值及所述客体的度量值，包括：

从度量列表中获取所述主体的度量值及所述客体的度量值，所述度量列表中包括第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值，所述信息数据库中包括所述主体和所述客体的完整性标识值和机密性标识值，所述第一扩展度量值为对所述Docker容器所属主机的度量值进行扩展运算得到的度量值；

所述从度量列表中获取所述主体的度量值及所述客体的度量值之前，还包括：

获取度量列表；

确定所述度量列表是否满足完整性条件；

若满足完整性条件，则执行所述从度量列表中获取所述主体的度量值及所述客体的度量值的步骤。

可选的，所述获取所述主体和所述客体的完整性标识值和机密性标识值，包括：

从所述信息数据库中获取所述主体和所述客体的完整性标识值和机密性标识值。

可选的，所述确定所述度量列表是否满足完整性条件，包括：

对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到第二扩展度量值；

从目标寄存器中获取第三扩展度量值，所述第三扩展度量值为在将所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值存储至所述度量列表之前，对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到的扩展度量值；

确定所述第二扩展度量值和所述第三扩展度量值是否一致。

可选的，所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值的确定过程，包括：

获取目标配置文件；

若所述目标配置文件中包含所述主体的配置信息、所述客体的配置信息、所述信息数据库的配置信息和所述访问策略库的配置信息，分别对所述主体、所述客体、所述信息数据库和所述访问策略库进行完整性度量，得到所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值。

可选的，所述方法还包括：

对所述客体的完整性标识值和机密性标识值进行更新，得到更新后的完整性标识值和机密性标识值，所述更新后的完整性标识值和机密性标识值与所述主体的完整性标识值和机密性标识值一致。

本申请另一方面提供一种访问控制装置，包括：

第一获取模块，用于响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值，所述度量值表征完整属性，所述客体至少包括Docker容器及其资源；

第一查找模块，用于若基于所述主体的度量值确定所述主体为不可信主体，或，基于所述客体的度量值确定所述客体为不可信客体，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

第二获取模块，用于若基于所述主体的度量值确定所述主体为可信主体，且基于所述客体的度量值确定所述可信客体，获取所述主体和所述客体的完整性标识值和机密性标识值，所述主体或所述客体的完整性标识值越大，所述主体或所述客体的完整级别越高，所述主体或所述客体的机密性标识值越大，所述主体或所述客体的机密级别越高，所述完整性标识值基于所述度量值和预期度量值确定得到；

第二查找模块，用于基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

控制模块，用于基于所述目标访问控制策略，控制所述主体对所述客体进行访问。

可选的，所述装置还包括：

身份认证模块，用于在获取到主体对客体的访问请求的情况下，对所述主体进行身份认证；

若身份认证通过，则触发所述第一获取模块响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值。

与现有技术相比，本申请的有益效果为：

在本申请中，通过响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值，基于度量值确定出主体为不可信主体或客体为不可信客体情况下，查找出对应的目标访问控制策略，在基于度量值确定出主体为可信主体且客体为可信客体的情况下，获取主体和客体的完整性标识值和机密性标识值，基于完整性标示值和机密性标识值，查找出对应的目标访问控制策略，在此基础上，基于目标访问控制策略，控制主体对客体进行访问，避免主体对客体进行随意访问，保证客体的安全性，如，在Docker容器存在资源隔离不彻底及访问权限模糊等安全缺陷的情况下，避免主体对Docker容器及其资源进行随意访问，保证Docker容器及其资源的安全性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例1提供的一种访问控制方法的流程示意图；

图2是本申请实施例2提供的一种访问控制方法的流程示意图；

图3是本申请实施例3提供的一种访问控制方法的流程示意图；

图4是本申请提供的一种访问控制装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

本申请提供的访问控制方法依赖于预先构建的访问控制模型，其中，预先构建访问控制模型的过程如下：

步骤1.1：对Docker容器所在的系统进行定义。

步骤1.1.1：定义1，访问行为的发起方，主体集合S：Docker容器的进程、Docker服务进程和主机进程等(D1、D2、D3…Dn)，其中通过TPM的身份认证和/或完整性度量，符合预期运行状态的被称为可信主体ST，未通过TPM的身份认证和/或完整性度量的被称为非可信主体，记作SNT，满足S＝(D1、D2、D3…Dn)和S＝{SNT∪ST}。

预期运行状态可以理解为：通过身份认证及通过完整性度量。

对主体进行身份认证的方式为：生成密钥对，分发公钥给主体，签发公钥和主体的身份凭证，用来对主体进行身份认证。

对主体进行完整性度量的方式为：

对主体进行哈希计算，得到哈希值，将哈希值作为主体的度量值；

若主体的预期度量值集合中存在与主体的度量值一致的度量值，则确定主体通过完整性度量。

主体的预期度量值集合中包括多个不同的预期度量值，多个不同的预期度量值为主体在不同的安全运行状态下，对主体进行哈希计算得到的度量值。

步骤1.1.2：定义2，访问行为的被动接受方，客体集合O：可读可写镜像层(RWFI1、RWFI2、RWFI3…RWFIm)，宿主机文件(HF1、HF2、HF3…HFb)，共享数据卷(SV1、SV2、SV3…SVk)，假设一个访问过程的主体为D1，其他主体(D2、D3…Dn)此时也是客体(如，D1为为主机进程，客体为Docker容器的进程或Docker容器的资源)，客体O＝(RWFI1、RWFI2、RWFI3…RWFIn、H1、H2、H3…Hb、SV1、SV2、SV3…SVk、D2、D3…Dn)。其中通过TPM的完整性度量，符合预期状态的被称为可信客体OT，未通过TPM的完整性度量，不符合预期状态的被称为非可信客体，记作ONT，满足OT+ONT＝O。

可读可写镜像层、共享数据卷可以理解为：Docker容器的资源。

预期状态可以为但不局限于：通过完整性度量。

对客体进行完整性度量的方式可以参见对主体进行完整性度量的方式。

步骤1.1.3：定义3，系统环境E＝(S、O、V)，包括主体集合S，客体结合O，以及访问动作集合V，V＝(r、w)，r表示读，w表示写。

步骤1.1.4：定义4，结合BLP和BIBA模型，为每个主体、客体定义安全标识Slevel＝{(Ilv，Clr)}，其中Ilv完整性标识和Clr机密性标识)，并将主体和客体的安全标识及安全标识值存储在信息数据库中，信息数据库中的主体安全标识的初始值为{(Ilv_max，Clr_max)}，客体安全标识的初始值为{(Ilv_min，Clr_min)}。

所述主体或所述客体的完整性标识值越大，所述主体或所述客体的完整级别越高，所述主体或所述客体的完整性标识值越小，所述主体或所述客体的完整级别越低；

所述主体或所述客体的机密性标识值越大，所述主体或所述客体的机密级别越高；所述主体或所述客体的机密性标识值越小，所述主体或所述客体的机密级别越低。

机密性标识值支持由系统管理员设定。

确定主体完整性标识值的方式可以为：

确定主体的度量值；

获取主体的预期度量值集合；

若主体的预期度量值集合中存在与主体的度量值一致的度量值，则对主体的预期度量值集合中的预期度量值进行排序，确定与主体的度量值一致的度量值在主体的预期度量值集合中的排序位置，基于排序位置，确定主体的完整性标识值。

采用与确定主体的完整性标识值相同的方式，确定客体的完整性标识值，在此不再赘述确定客体的完整性标识值的过程。

步骤1.1.6：定义安全标识更新策略，具体为：为保证共享数据卷，共享镜像层的机密性和完整性，当客体被主体访问后，客体的安全标识更新为与主体的安全标识一致的安全标识。

步骤1.1.7：定义7，为客体(ORFI1、ORFI2、ORFI3…ORFIm-1、ORFIm)增加属主标识参数Pnumber；number为容器的命名空间空间号，具有唯一性。

步骤1.2：针对Docker容器所在系统制定访问策略。

步骤1.2.1：访问策略一，无论客体和主体安全标识中的完整性标识和机密性标识级别如何，非可信主体均不能对其进行任何操作，确保客体机密性和完整性不被破坏。

步骤1.2.2：访问策略二，无论客体和主体安全标识中的完整性标识和机密性标识如何，非可信客体均不能被任何操作，以免其主体的机密性和完整性被破坏。

步骤1.2.3：访问策略三，可信主体的保密性级别高于可信客体且可信客体的完整性级别高于可信主体的时，可信主体可对可信客体进行读取操作，保证高密级可信客体的信息不泄露。

步骤1.2.4：访问策略四，可信主体的保密性级别低于可信客体且可信客体的完整性级别低于可信主体的时，可信主体可对可信客体进行写操作，高完整性可信客体信息完整性不被破坏。

步骤1.2.5：访问策略五，若可信主体为Docker容器进程时，只能对其所属的可信可读可写容器化虚拟网元的镜像文件进行操作，可信可读可写容器化虚拟网元的镜像文件不可被其它容器化虚拟网元读写。

步骤1.2.6：访问策略六，对于多用户共享可信客体或宿主机文件，被读取后，根据定义6依照可信主体的安全标识更新自身的完整性级别和机密性级别。

基于上述访问控制模型，预先确定主体和客体的度量值、完整性标识值和机密性标识值及访问控制策略，将预先确定的主体的度量值、完整性标识值和机密性标识值及客体的度量值、完整性标识值和机密性标识值存储至信息数据库中，将预先确定的访问控制策略存储在访问策略库中。

基于上述访问控制模型，参照图1，为本申请实施例1提供的一种访问控制方法的流程示意图，如图1所示，该方法可以包括但并不局限于以下步骤：

步骤S101、响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值。

所述度量值表征完整属性，所述客体至少包括Docker容器及其资源。

本实施例中，获取所述主体的度量值及所述客体的度量值，可以包括但不局限于：

S1011、从度量列表中获取所述主体的度量值及所述客体的度量值。

本实施例中，所述度量列表中可以包括第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值，所述信息数据库中包括所述主体和所述客体的完整性标识值和机密性标识值，所述第一扩展度量值为对所述Docker容器所属主机的度量值进行扩展运算得到的度量值。

本实施例中，可以对所述Docker容器所属主机的BIOS和操作系统进行完整性度量，得到所述Docker容器所属主机的度量值，并可以将所述Docker容器所属主机的度量值存放在平台配置寄存器PCR₀至PCR₇中，平台配置寄存器PCR₀至PCR₇中存放的度量值相互具有差异。

对所述Docker容器所属主机的度量值进行扩展运算，得到第一扩展度量值，可以包括但不局限于：

S10111、从PCR₀至PCR₇中存放的度量值，选择两个度量值分别作为第一待组合度量值和第二待组合度量值；

S10112、将第一待组合度量值和第二待组合度量值组合在一起，得到组合度量值，对组合度量值进行哈希计算，得到哈希计算结果，将哈希计算结果作为第一待组合度量值；

S10113、从PCR₀至PCR₇中存放的度量值未进行组合的度量值中选择一个度量值作为第二待组合度量值，返回执行所述将第一待组合度量值和第二待组合度量值组合在一起的步骤，直至PCR₀至PCR₇中存放的度量值中均已进行过组合。

本实施例中，步骤S10111-S10113可以通过以下公式执行：

PCR₁₀＝Hash(…Hash(Hash(PCR₀||PCR₁)…)PCR₇…)

||表示将两个度量值组合在一起，Hash()表示进行哈希计算，PCR₀…PCR₇表示PCR₀…PCR₇中存放的度量值，PCR₁₀表示第一扩展度量值。

本实施例中，所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值的确定过程，可以包括：

获取目标配置文件；

若所述目标配置文件中包含所述主体的配置信息、所述客体的配置信息、所述信息数据库的配置信息和所述访问策略库的配置信息，分别对所述主体、所述客体、所述信息数据库和所述访问策略库进行完整性度量，得到所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值。

当然，获取所述主体的度量值及所述客体的度量值，也可以包括但不局限于：

S1012、对主体进行哈希计算，得到哈希值，将哈希值作为主体的度量值；

S1013、对客体进行哈希计算，得到哈希值，将哈希值作为客体的度量值。

步骤S102、若基于所述主体的度量值确定所述主体为不可信主体，或，基于所述客体的度量值确定所述客体为不可信客体，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略。

本实施例中，可以获取主体的预期度量值集合和客体的预期度量值集合，若主体的预期度量值集合中不存在与主体的度量值一致的度量值，则确定主体为不可信主体；若客体的预期度量值集合中不存在与客体的度量值一致的度量值，则确定客体为不可信客体。

本实施例中，访问策略库中包括多条访问控制策略，多条访问控制策略可以参见上述访问策略一至六。

若所述主体为不可信主体，或，所述客体为不可信客体，从访问策略库中查找出的目标访问控制策略为上述访问策略一或上述访问策略二。

步骤S103、若基于所述主体的度量值确定所述主体为可信主体，且基于所述客体的度量值确定所述可信客体，获取所述主体和所述客体的完整性标识值和机密性标识值。

其中，所述主体或所述客体的完整性标识值越大，所述主体或所述客体的完整级别越高，所述主体或所述客体的机密性标识值越大，所述主体或所述客体的机密级别越高，所述完整性标识值基于所述度量值和预期度量值确定得到。

本实施例中，可以获取主体的预期度量值集合和客体的预期度量值集合，若主体的预期度量值集合中存在与主体的度量值一致的度量值，则确定主体为可信主体；若客体的预期度量值集合中存在与客体的度量值一致的度量值，则确定客体为可信客体。

对应步骤S1011，本步骤，可以包括但不局限于：

S1031、从上述信息数据库中获取所述主体和所述客体的完整性标识值和机密性标识值。

对应步骤S1012-1013，本步骤可以包括但不局限于：

S1032、获取主体的预期度量值集合和客体的预期度量值集合；

S1033、若主体的预期度量值集合中存在与主体的度量值一致的度量值，则对主体的预期度量值集合中的预期度量值进行排序，确定与主体的度量值一致的度量值在主体的预期度量值集合中的排序位置，基于排序位置，确定主体的完整性标识值。

S1034、若客体的预期度量值集合中存在与客体的度量值一致的度量值，则对客体的预期度量值集合中的预期度量值进行排序，确定与客体的度量值一致的度量值在主体的预期度量值集合中的排序位置，基于排序位置，确定客体的完整性标识值。

步骤S104、基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略。

本步骤，可以包括但不局限于：

S1041、比较所述主体的完整性标识值和所述客体的完整性标识值，确定所述主体和所述客体的完整性级别高低关系，比较所述主体的机密性标识值和所述客体的机密性标识值，确定所述主体和所述客体的机密性级别高低关系。

S1042、从访问策略库中查找出与所述完整性级别大小关系和所述机密性级别大小关系对应的目标访问控制策略。

若所述完整性级别高低关系为所述主体的完整性级别高于所述客体的完整性级别，且所述主体的保密性级别高于所述客体的保密性级别，从访问策略库中查找出目标访问控制策略为上述访问策略三。

若所述完整性级别高低关系为所述主体的完整性级别低于所述客体的完整性级别，且所述主体的保密性级别低于所述客体的保密性级别，从访问策略库中查找出目标访问控制策略为上述访问策略四。

步骤S105、基于所述目标访问控制策略，控制所述主体对所述客体进行访问。

本步骤，可以包括但不局限于：直接基于所述目标访问控制策略，控制所述主体对所述客体进行访问。

本步骤，也可以包括但不局限于：

S1051、从访问策略库中获取访问控制判定策略，确定所述主体和所述客体是否满足访问控制判定策略。

可以理解的是，访问策略库中的上述访问策略五为访问控制判定策略。

若满足，则执行步骤S1052。

S1052、基于所述目标访问控制策略，控制所述主体对所述客体进行访问。

本实施例中，在基于所述目标访问控制策略，控制所述主体对所述客体进行访问之后，还可以对所述客体的完整性标识值和机密性标识值进行更新，得到更新后的完整性标识值和机密性标识值，所述更新后的完整性标识值和机密性标识值与所述主体的完整性标识值和机密性标识值一致。

本实施例中，通过响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值，基于度量值确定出主体为不可信主体或客体为不可信客体情况下，查找出对应的目标访问控制策略，在基于度量值确定出主体为可信主体且客体为可信客体的情况下，获取主体和客体的完整性标识值和机密性标识值，基于完整性标示值和机密性标识值，查找出对应的目标访问控制策略，在此基础上，基于目标访问控制策略，控制主体对客体进行访问，避免主体对客体进行随意访问，保证客体的安全性，如，在Docker容器存在资源隔离不彻底及访问权限模糊等安全缺陷的情况下，避免主体对Docker容器及其资源进行随意访问，保证Docker容器及其资源的安全性。

作为本申请另一可选实施例，参照图2，为本申请提供的一种访问控制方法实施例2的流程示意图，本实施例主要是对上述实施例1描述的访问控制方法的扩展方案，该方法可以包括但不局限于以下步骤：

步骤S201、在获取到主体对客体的访问请求的情况下，对所述主体进行身份认证。

对所述主体进行身份认证，可以包括但不局限于：

获取所述主体的加密身份凭证，由可信平台模块基于主体的加密身份凭证对所述主体进行认证，认证成功则身份认证通过。

若身份认证通过，则执行步骤S22；若身份认证不通过，则拒绝主体对客体的访问请求。

步骤S202、响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值，所述度量值表征完整属性，所述客体至少包括Docker容器及其资源。

步骤S203、若基于所述主体的度量值确定所述主体为不可信主体，或，基于所述客体的度量值确定所述客体为不可信客体，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略。

步骤S204、若基于所述主体的度量值确定所述主体为可信主体，且基于所述客体的度量值确定所述可信客体，获取所述主体和所述客体的完整性标识值和机密性标识值。

所述主体或所述客体的完整性标识值越大，所述主体或所述客体的完整级别越高，所述主体或所述客体的机密性标识值越大，所述主体或所述客体的机密级别越高，所述完整性标识值基于所述度量值和预期度量值确定得到；

步骤S205、基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

步骤S206、基于所述目标访问控制策略，控制所述主体对所述客体进行访问。

步骤S202-S206的详细过程可以参见实施例1中步骤S101-S105，在此不再赘述。

通过响应主体对客体的访问请求，对所述主体进行身份认证，若身份认证通过，获取所述主体的度量值及所述客体的度量值，基于度量值确定出主体为不可信主体或客体为不可信客体情况下，查找出对应的目标访问控制策略，在基于度量值确定出主体为可信主体且客体为可信客体的情况下，获取主体和客体的完整性标识值和机密性标识值，基于完整性标示值和机密性标识值，查找出对应的目标访问控制策略，在此基础上，基于目标访问控制策略，控制主体对客体进行访问，避免主体对客体进行随意访问，保证客体的安全性，如，在Docker容器存在资源隔离不彻底及访问权限模糊等安全缺陷的情况下，避免主体对Docker容器及其资源进行随意访问，保证Docker容器及其资源的安全性。

作为本申请另一可选实施例，参照图3，为本申请提供的一种访问控制方法实施例3的流程示意图，本实施例主要是对上述实施例1描述的访问控制方法的扩展方案，该方法可以包括但不局限于以下步骤：

步骤S301、响应主体对客体的访问请求，获取度量列表。

步骤S302、确定所述度量列表是否满足完整性条件。

若是，则可以确定度量列表中所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值未被篡改，进而确定所述主体、所述客体、所述信息数据库和所述访问策略库未被篡改，在此基础上，执行步骤S303。

所述确定所述度量列表是否满足完整性条件，可以包括：

S3021、对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到第二扩展度量值；

S3022、从目标寄存器中获取第三扩展度量值，所述第三扩展度量值为在将所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值存储至所述度量列表之前，对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到的扩展度量值。

本实施例中，可以采用与对所述Docker容器所属主机的度量值进行扩展运算相同的运算方式，对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算。

S3023、确定所述第二扩展度量值和所述第三扩展度量值是否一致。

若一致，则执行步骤S303。

步骤S303、从所述度量列表中获取所述主体的度量值及所述客体的度量值。

所述度量值表征完整属性，所述客体至少包括Docker容器及其资源。

本步骤为实施例1中步骤S101的一种具体实施方式。

步骤S304、若基于所述主体的度量值确定所述主体为不可信主体，或，基于所述客体的度量值确定所述客体为不可信客体，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略。

步骤S305、若基于所述主体的度量值确定所述主体为可信主体，且基于所述客体的度量值确定所述可信客体，从所述信息数据库中获取所述主体和所述客体的完整性标识值和机密性标识值。

所述主体或所述客体的完整性标识值越大，所述主体或所述客体的完整级别越高，所述主体或所述客体的机密性标识值越大，所述主体或所述客体的机密级别越高，所述完整性标识值基于所述度量值和预期度量值确定得到。

本步骤为实施例1中步骤S103的一种具体实施方式。

步骤S306、基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

步骤S37、基于所述目标访问控制策略，控制所述主体对所述客体进行访问。

本实施例中，通过响应主体对客体的访问请求，获取度量列表，确定所述度量列表是否满足完整性条件，若是，则可以确定度量列表中所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值未被篡改，进而确定所述主体、所述客体、所述信息数据库和所述访问策略库未被篡改，在此基础上，响应主体对客体的访问请求，从度量列表中获取所述主体的度量值及所述客体的度量值，基于度量值确定出主体为不可信主体或客体为不可信客体情况下，查找出对应的目标访问控制策略，在基于度量值确定出主体为可信主体且客体为可信客体的情况下，从信息数据库中获取主体和客体的完整性标识值和机密性标识值，基于完整性标示值和机密性标识值，查找出对应的目标访问控制策略，在此基础上，基于目标访问控制策略，控制主体对客体进行访问，避免主体对客体进行随意访问，保证客体的安全性，如，在Docker容器存在资源隔离不彻底及访问权限模糊等安全缺陷的情况下，避免主体对Docker容器及其资源进行随意访问，保证Docker容器及其资源的安全性。

接下来对本申请提供的一种访问控制装置进行介绍，下文介绍的访问控制装置与上文介绍的访问控制方法可相互对应参照。

请参见图4，访问控制装置包括：第一获取模块100、第一查找模块200、第二获取模块300、第二查找模块400和控制模块500。

第一获取模块100，用于响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值，所述度量值表征完整属性，所述客体至少包括Docker容器及其资源；

第一查找模块200，用于若基于所述主体的度量值确定所述主体为不可信主体，或，基于所述客体的度量值确定所述客体为不可信客体，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

第二获取模块300，用于若基于所述主体的度量值确定所述主体为可信主体，且基于所述客体的度量值确定所述可信客体，获取所述主体和所述客体的完整性标识值和机密性标识值，所述主体或所述客体的完整性标识值越大，所述主体或所述客体的完整级别越高，所述主体或所述客体的机密性标识值越大，所述主体或所述客体的机密级别越高，所述完整性标识值基于所述度量值和预期度量值确定得到；

第二查找模块400，用于基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

控制模块500，用于基于所述目标访问控制策略，控制所述主体对所述客体进行访问。

本实施例中，访问控制装置还可以包括：

身份认证模块，用于在获取到主体对客体的访问请求的情况下，对所述主体进行身份认证；

若身份认证通过，则触发所述第一获取模块100响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值。

第二查找模块400，具体可以用于：

比较所述主体的完整性标识值和所述客体的完整性标识值，确定所述主体和所述客体的完整性级别高低关系，比较所述主体的机密性标识值和所述客体的机密性标识值，确定所述主体和所述客体的机密性级别高低关系；

从访问策略库中查找出与所述完整性级别大小关系和所述机密性级别大小关系对应的目标访问控制策略。

所述第一获取模块100，具体可以用于：

从度量列表中获取所述主体的度量值及所述客体的度量值，所述度量列表中包括第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值，所述信息数据库中包括所述主体和所述客体的完整性标识值和机密性标识值，所述第一扩展度量值为对所述Docker容器所属主机的度量值进行扩展运算得到的度量值；

所述装置还包括：

第三获取模块，用于获取度量列表；

第一确定模块，用于确定所述度量列表是否满足完整性条件，若满足完整性条件，则触发所述第一获取模块100从度量列表中获取所述主体的度量值及所述客体的度量值。

第一确定模块，具体可以用于：

对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到第二扩展度量值；

从目标寄存器中获取第三扩展度量值，所述第三扩展度量值为在将所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值存储至所述度量列表之前，对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到的扩展度量值；

确定所述第二扩展度量值和所述第三扩展度量值是否一致。

所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值的确定过程，可以包括：

获取目标配置文件；

若所述目标配置文件中包含所述主体的配置信息、所述客体的配置信息、所述信息数据库的配置信息和所述访问策略库的配置信息，分别对所述主体、所述客体、所述信息数据库和所述访问策略库进行完整性度量，得到所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值。

本实施例中，第二获取模块300，具体可以用于：

从所述信息数据库中获取所述主体和所述客体的完整性标识值和机密性标识值。

本实施例中，访问控制装置还可以包括：

更新模块，用于对所述客体的完整性标识值和机密性标识值进行更新，得到更新后的完整性标识值和机密性标识值，所述更新后的完整性标识值和机密性标识值与所述主体的完整性标识值和机密性标识值一致。

需要说明的是，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

以上对本申请所提供的一种访问控制方法及装置进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (7)

1.一种访问控制方法，其特征在于，包括：

响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值，所述度量值表征完整属性，所述客体至少包括Docker容器及其资源；

若基于所述主体的度量值确定所述主体为不可信主体，或，基于所述客体的度量值确定所述客体为不可信客体，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

若基于所述主体的度量值确定所述主体为可信主体，且基于所述客体的度量值确定所述可信客体，获取所述主体和所述客体的完整性标识值和机密性标识值，所述主体或所述客体的完整性标识值越大，所述主体或所述客体的完整级别越高，所述主体或所述客体的机密性标识值越大，所述主体或所述客体的机密级别越高，所述完整性标识值基于所述度量值和预期度量值确定得到；

基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

基于所述目标访问控制策略，控制所述主体对所述客体进行访问；

所述获取所述主体的度量值及所述客体的度量值，包括：从度量列表中获取所述主体的度量值及所述客体的度量值，所述度量列表中包括第一扩展度量值、所述主体的度量值、所述客体的度量值、信息数据库的度量值和所述访问策略库的度量值，所述信息数据库中包括所述主体和所述客体的完整性标识值和机密性标识值，所述第一扩展度量值为对所述Docker容器所属主机的度量值进行扩展运算得到的度量值；

所述从度量列表中获取所述主体的度量值及所述客体的度量值之前，还包括：获取度量列表；确定所述度量列表是否满足完整性条件；若满足完整性条件，则执行所述从度量列表中获取所述主体的度量值及所述客体的度量值的步骤；

所述确定所述度量列表是否满足完整性条件，包括：对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到第二扩展度量值；从目标寄存器中获取第三扩展度量值，所述第三扩展度量值为在将所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值存储至所述度量列表之前，对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到的扩展度量值；确定所述第二扩展度量值和所述第三扩展度量值是否一致；

所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值的确定过程，包括：获取目标配置文件；若所述目标配置文件中包含所述主体的配置信息、所述客体的配置信息、所述信息数据库的配置信息和所述访问策略库的配置信息，分别对所述主体、所述客体、所述信息数据库和所述访问策略库进行完整性度量，得到所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值。

2.根据权利要求1所述的方法，其特征在于，所述响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值之前，还包括：

在获取到主体对客体的访问请求的情况下，对所述主体进行身份认证；

若身份认证通过，则执行响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值的步骤。

3.根据权利要求1所述的方法，其特征在于，所述基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略，包括：

比较所述主体的完整性标识值和所述客体的完整性标识值，确定所述主体和所述客体的完整性级别高低关系，比较所述主体的机密性标识值和所述客体的机密性标识值，确定所述主体和所述客体的机密性级别高低关系；

从访问策略库中查找出与所述完整性级别大小关系和所述机密性级别大小关系对应的目标访问控制策略。

4.根据权利要求1所述的方法，其特征在于，所述获取所述主体和所述客体的完整性标识值和机密性标识值，包括：

从所述信息数据库中获取所述主体和所述客体的完整性标识值和机密性标识值。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

对所述客体的完整性标识值和机密性标识值进行更新，得到更新后的完整性标识值和机密性标识值，所述更新后的完整性标识值和机密性标识值与所述主体的完整性标识值和机密性标识值一致。

6.一种访问控制装置，其特征在于，包括：

第一获取模块，用于响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值，所述度量值表征完整属性，所述客体至少包括Docker容器及其资源；

第一查找模块，用于若基于所述主体的度量值确定所述主体为不可信主体，或，基于所述客体的度量值确定所述客体为不可信客体，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

第二获取模块，用于若基于所述主体的度量值确定所述主体为可信主体，且基于所述客体的度量值确定所述可信客体，获取所述主体和所述客体的完整性标识值和机密性标识值，所述主体或所述客体的完整性标识值越大，所述主体或所述客体的完整级别越高，所述主体或所述客体的机密性标识值越大，所述主体或所述客体的机密级别越高，所述完整性标识值基于所述度量值和预期度量值确定得到；

第二查找模块，用于基于所述主体的完整性标识值和机密性标识值和所述客体的完整性标识值及机密性标识值，从访问策略库中查找出与所述主体和所述客体匹配的目标访问控制策略；

控制模块，用于基于所述目标访问控制策略，控制所述主体对所述客体进行访问；

所述第一获取模块，具体用于：从度量列表中获取所述主体的度量值及所述客体的度量值，所述度量列表中包括第一扩展度量值、所述主体的度量值、所述客体的度量值、信息数据库的度量值和所述访问策略库的度量值，所述信息数据库中包括所述主体和所述客体的完整性标识值和机密性标识值，所述第一扩展度量值为对所述Docker容器所属主机的度量值进行扩展运算得到的度量值；

所述装置还包括：

第三获取模块，用于获取度量列表；

第一确定模块，用于确定所述度量列表是否满足完整性条件；若满足完整性条件，则执行所述从度量列表中获取所述主体的度量值及所述客体的度量值的步骤；

所述第一确定模块，具体用于对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到第二扩展度量值；从目标寄存器中获取第三扩展度量值，所述第三扩展度量值为在将所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值存储至所述度量列表之前，对所述第一扩展度量值、所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值进行扩展运算，得到的扩展度量值；确定所述第二扩展度量值和所述第三扩展度量值是否一致；

所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值的确定过程，包括：获取目标配置文件；若所述目标配置文件中包含所述主体的配置信息、所述客体的配置信息、所述信息数据库的配置信息和所述访问策略库的配置信息，分别对所述主体、所述客体、所述信息数据库和所述访问策略库进行完整性度量，得到所述主体的度量值、所述客体的度量值、所述信息数据库的度量值和所述访问策略库的度量值。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

身份认证模块，用于在获取到主体对客体的访问请求的情况下，对所述主体进行身份认证；

若身份认证通过，则触发所述第一获取模块响应主体对客体的访问请求，获取所述主体的度量值及所述客体的度量值。