CN115396140A - 应用访问控制方法、装置、存储介质及计算机设备 - Google Patents

应用访问控制方法、装置、存储介质及计算机设备 Download PDF

Info

Publication number
CN115396140A
CN115396140A CN202210841956.9A CN202210841956A CN115396140A CN 115396140 A CN115396140 A CN 115396140A CN 202210841956 A CN202210841956 A CN 202210841956A CN 115396140 A CN115396140 A CN 115396140A
Authority
CN
China
Prior art keywords
access
application
access control
behavior
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210841956.9A
Other languages
English (en)
Inventor
强倩
杨欢欢
郭煜
朱天
苗玲玲
李晓勇
熊颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN202210841956.9A priority Critical patent/CN115396140A/zh
Publication of CN115396140A publication Critical patent/CN115396140A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种应用访问控制方法、装置、存储介质及计算机设备,主要在于能够能够避免修改应用程序代码,同时能够实现更高安全水平的访问控制机制。其中包括:获取应用的资源访问行为;确定所述资源访问行为对应的访问主体和访问客体;根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。

Description

应用访问控制方法、装置、存储介质及计算机设备
技术领域
本发明涉及计算机技术领域,尤其是涉及一种应用访问控制方法、装置、存储介质及计算机设备。
背景技术
现有应用在进行资源访问时往往会出现违规或者越权访问的行为,为了避免出现这种安全疏漏,需要对应用进行访问控制。
目前,通常采用修改应用程序代码的方式来对应用进行访问控制。然而,在有些情况下,修改应用程序代码并不具备可行性,比如缺少应用的相关文档或者代码,此外,这种方式所能达到的安全水平有限,其无法实现更高安全水平的访问控制机制。
发明内容
本发明提供了一种应用访问控制方法、装置、存储介质及计算机设备,主要在于能够避免修改应该程序代码,同时能够实现更高安全水平的访问控制机制。
根本本发明的第一个方面,提供一种应用访问控制方法,包括:
获取应用的资源访问行为;
确定所述资源访问行为对应的访问主体和访问客体;
根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
可选地,所述获取应用的资源访问行为,包括:
若所述应用为B/S架构,则利用浏览器钩子插件,拦截所述资源访问行为;
若所述应用为C/S架构或者单机类型应用,则利用系统驱动层的钩子函数,拦截所述资源访问行为。
可选地,若拦截的所述资源访问行为URL,则所述确定所述资源访问行为对应的访问主体和访问客体,包括:
对所述URL进行解析,得到所述访问主体和所述访问客体。
可选地,所述根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制,包括:
根据所述访问主体和所述访问客体,判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则;
若所述资源访问行为满足所述访问控制规则,则放行所述应用的资源访问行为;
若所述资源访问行为不满足所述访问控制规则,则阻止所述应用的资源访问行为。
可选地,所述根据所述访问主体和所述访问客体,判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则,包括:
确定所述访问主体和所述访问客体分别对应的安全标记;
基于所述访问主体和所述访问客体分别对应的安全标记,判定所述资源访问行为是否满足所述访问控制规则。
可选地,所述方法还包括:
根据所述访问控制策略中的安全审计规则,记录相应的访问控制信息,并将所述访问控制信息发送至目标设备中进行保存和分析。
可选地,所述方法还包括:
接收策略管理端下发的访问控制策略,并保存至本地;
当所述策略管理端对所述访问控制策略更新时,接收所述策略管理端下发的更新信息,并基于所述更新信息,对本地的所述访问控制策略进行更新。
根据本发明的第二个方面,提供一种应用访问控制装置,包括:
获取单元,用于获取应用的资源访问行为;
确定单元,用于确定所述资源访问行为对应的访问主体和访问客体;
控制单元,用于根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
可选地,所述获取单元,具体用于若所述应用为B/S架构,则利用浏览器钩子插件,拦截所述资源访问行为;若所述应用为C/S架构或者单机类型应用,则利用系统驱动层的钩子函数,拦截所述资源访问行为。
可选地,所述确定单元,具体用于对所述URL进行解析,得到所述访问主体和所述访问客体。
可选地,所述控制单元,包括:判定模块、放行模块和阻止模块,
所述判定模块,用于根据所述访问主体和所述访问客体,判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则;
所述放行模块,用于若所述资源访问行为满足所述访问控制规则,则放行所述应用的资源访问行为;
所述阻止模块,用于若所述资源访问行为不满足所述访问控制规则,则阻止所述应用的资源访问行为。
可选地,所述判定模块,具体用于确定所述访问主体和所述访问客体分别对应的安全标记;基于所述访问主体和所述访问客体分别对应的安全标记,判定所述资源访问行为是否满足所述访问控制规则。
可选地,所述装置还包括:记录单元,
所述记录单元,用于根据所述访问控制策略中的安全审计规则,记录相应的访问控制信息,并将所述访问控制信息发送至目标设备中进行保存和分析。
可选地,所述装置还包括:接收单元和更新单元,
所述接收单元,用于接收策略管理端下发的访问控制策略,并保存至本地;
所述更新单元,用于当所述策略管理端对所述访问控制策略更新时,接收所述策略管理端下发的更新信息,并基于所述更新信息,对本地的所述访问控制策略进行更新。
根据本发明的第三个方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
获取应用的资源访问行为;
确定所述资源访问行为对应的访问主体和访问客体;
根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
根据本发明的第四个方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
获取应用的资源访问行为;
确定所述资源访问行为对应的访问主体和访问客体;
根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
本发明提供的一种应用访问控制方法、装置、存储介质及计算机设备,与目前修改应用程序代码的方式相比,能够获取应用的资源访问行为;并确定所述资源访问行为对应的访问主体和访问客体;最终根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。由此通过访问控制策略,能够在不修改应用程序代码的前提下,对应用的资源访问行为进行拦截和安全控制,从而能够防止应用层的违规和越权访问行为,同时由于该访问控制策略是管理员自定义的,因此会极大提高应用安全保护水平,此外,本发明通过一种通用性的安全增强机制能够同时支持多种应用的安全增强,从而能够有效降低安全成本和管理难度。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1示出了本发明实施例提供的一种应用访问控制方法流程示意图;
图2示出了本发明实施例提供的另一种应用访问控制方法流程示意图;
图3示出了本发明实施例提供的一种应用访问控制装置的结构示意图;
图4示出了本发明实施例提供的另一种应用访问控制装置的结构示意图;
图5示出了本发明实施例提供的一种计算机设备的实体结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
目前,在有些情况下,修改应用程序代码并不具备可行性,比如缺少应用的相关文档或者代码,此外,修改应用程序代码的方式所能达到的安全水平有限,其无法实现更高安全水平的访问控制机制。
为了解决上述问题,本发明实施例提供了一种应用访问控制方法,应用于用户终端对应的代理端,如图1所示,该方法包括:
101、获取应用的资源访问行为。
其中,资源访问行为为本地应用程序的资源访问行为。
本发明实施例主要适用于在无法修改应用程序代码的情况下,对应用访问进行安全控制的场景,还可以适用于在应用流程中需要增加额外的访问控制点,或者增加更高安全强度的访问控制机制的场景,比如基于细粒度的访问控制或者基于安全标记的访问控制,以提高应用安全水平。本发明实施例的执行主体为可以进行应用访问控制的装置或者设备,具体可以设置在客户端一侧。
本发明实施例在不修改现有应用的程序代码情况下,可以对应用运行过程中的资源访问行为进行监视,依据策略管理端制定的应用访问控制策略,对这些资源访问行为进行检查和控制,确定是否阻止或允许这些资源访问行为,并将相关过程信息进行记录,发送到指定设备中保存和分析。
对于本发明实施例,在对资源访问行为进行安全控制的过程中,需要先拦截应用的资源访问行为,针对该过程,步骤101具体包括:若所述应用为B/S架构,则利用浏览器钩子插件,拦截所述资源访问行为;若所述应用为C/S架构或者单机类型应用,则利用系统驱动层的钩子函数,拦截所述资源访问行为。
具体地,代理端在本地应用运行的过程中,可以根据应用类型采用相应的拦截方法,拦截应用的资源访问行为。例如,当运行的本地应用为B/S(Browser/Sever浏览器/服务器)架构时,可以采用浏览器钩子机制(如IE的BHO,BrowserHelperObject),制作浏览器插件,拦截资源访问行为(URL);当运行的本地应用为C/S(Client/Sever客户端/服务器)架构时,可以利用在系统驱动层设置的钩子函数,拦截应用的资源访问行为,以便代理端根据访问控制策略,对拦截的资源访问行为进行安全控制,以及对应用访问控制事件进行安全审计,并将记录结果发送到指定设备保存和分析。
需要说明的是,本发明实施例中所涉及的资源访问行为的拦截方法并不以上述为限,还可以为其他拦截方法。
102、确定所述资源访问行为对应的访问主体和访问客体。
其中,访问主体为正在用户端操作进行资源访问的身份用户,访问客体为被访问主体访问的对象,如用户正在访问的网页或者文件。对于本发明实施例,在拦截应用的资源访问行为后,根据该资源访问行为,获取访问主体的标识信息和访问客体的标识信息,以便根据该访问主体的标识信息和访问客体的标识信息,采用访问控制策略对应用的资源访问行为进行控制,即判定是否阻止该资源访问行为或者允许该资源访问行为。
103、根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
其中,本发明实施例中的访问控制策略是由策略管理端制定的,策略管理端会将制定好的访问控制策略下发到相应的用户终端代理端,由代理端对应用的资源访问行为进行监控。该访问控制策略中主要包括:应用访问控制主客体定义,即应用访问主体的标识信息及其身份确定方法,应用访问客体的标识信息及其身份确定方法,应用访问主体安全标记,应用访问客体安全标记;应用访问控制规则,即定义哪些主体能以什么方式访问哪些客体;安全审计规则,即关于这些应用访问控制事件的审计结果应该如何保存和分析。其中,访问控制策略中的访问控制规则具体可以包括:自住型访问控制规则,如应用控制列表(ACL)、细粒度的访问控制等;强制型访问控制规则,如面向安全保密的BLP模型规则、面向完整性保护的Biba模型规则等;基于角色的访问控制规则等。需要说明的是,本发明实施例中所涉及的访问控制规则并不局限于上述几种,还可以包括其他类型的访问控制规则。
具体地,在拦截应用的资源访问行为后,需要判定该资源访问行为是否满足相应的访问控制规则,如果资源访问行为满足相应的访问控制规则,则该资源访问行为被允许;如果资源访问行为不满足相应的访问控制规则,则阻止该资源访问行为,从而能够有效防止应用层的违规和越权访问行为,也会极大提高应用安全保护水平。
本发明实施例提供的一种应用访问控制方法,通过应用访问控制策略,能够在不修改应用程序代码的前提下,对应用的资源访问行为进行拦截和安全控制,从而能够防止应用层的违规和越权访问行为,同时由于该访问控制策略是管理员自定义的,因此会极大提高应用安全保护水平,此外,本发明实施例通过一种通用性的安全增强机制能够同时支持多种应用的安全增强,从而能够有效降低安全成本和管理难度。
进一步的,为了更好的说明上述对应用访问的安全控制过程,作为对上述实施例的细化和扩展,本发明实施例提供了另一种应用访问控制方法,如图2所示,所述方法包括:
201、获取应用的资源访问行为。
其中,本发明实施例中的代理端可以运行在传统计算机系统或虚拟计算机中。具体而言,传统计算机系统可以由硬件(子)系统和软件(子)系统组成。硬件(子)系统可以是借助电、磁、光、机械等原理构成的各种物理部件的有机组合,是系统赖以工作的实体。软件(子)系统可以是各种程序和文件,用于指挥全系统按指定的要求进行工作。例如,传统计算机系统可以包括但不限于PC机或笔记本等。虚拟计算机可以是通过软件模拟的具有完整硬件系统功能的,运行在一个完全隔离环境中的完整计算机系统。例如,基于KVM、VMware等虚拟化平台的计算机。
对于本发明实施例,拦截应用的资源访问行为的具体过程与步骤101相同,在此不再赘述。需要说明的是,本发明实施例的代理端安装在用户终端上,当用户操作用户终端进行资源访问时,代理端可以对该资源访问行为进行监控,本发明实施例中的用户终端可以为移动通信设备、个人台式计算机、通过软件模拟的具有完整硬件系统功能的且运行在一个完全隔离环境中的虚拟计算机等。
202、确定所述资源访问行为对应的访问主体和访问客体。
对于本发明实施例,当拦截的资源访问行为为URL时,可以对该URL进行解析,获取访问客体的标识信息和访问主体的标识信息,从而能够确定资源访问行为对应的访问主体和访问客体。
203、根据所述访问主体和所述访问客体,判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则。
对于本发明实施例,针对判定资源访问行为是否满足访问控制规则的具体过程,作为一种可选实施方式,所述方法包括:确定所述访问主体和所述访问客体分别对应的安全标记;基于所述访问主体和所述访问客体分别对应的安全标记,判定所述资源访问行为是否满足所述访问控制规则。其中,访问主体对应的安全标记可以为安全保密级别安全标记,如公开级、秘密级、机密级、绝密级等,也可以为完整性级别安全标记,如可信、不可信等,除此之前,还可以为其他类型的安全标记,本发明实施例对此不做具体限定。
例如,访问控制策略中的访问控制规则为带有高级别安全标记的访问主体可以访问带有低级别安全标记的访问客体,如果访问主体对应的安全标记为秘密级,而访问客体对应的安全标记为绝密级,则该资源访问行为被阻止;如果访问主体对应的安全标记为机密级,而访问客体对应的安全标记为公开级,则该资源访问行为被允许。
进一步地,如果应用访问控制策略中包括多条访问控制规则,则可以先根据访问主体的标识信息、访问客体的标识信息、访问主体对应的安全标记、访问客体对应的安全标记,从多条访问控制规则中筛选与该资源访问行为相关的目标访问控制规则,之后判定该资源访问行为是否满足该目标访问控制策略,如果资源访问行为满足该目标访问控制规则,则该资源访问行为被允许;如果资源访问行为不满足该目标访问控制规则,则该资源访问行为不被允许。
进一步地,如果目标访问控制规则存在两条或者两条以上,则进行逐条判定,如果资源访问行为满足所有目标访问控制策略,则对其进行放行,否则,进行阻止。
需要说明的是,本发明实施例中所涉及的访问控制规则并不局限于上述,也可以为其他类型的访问控制规则。
进一步地,本发明实施例中所涉及的访问控制策略是在策略管理端进行制定的,具体进行策略制定时,可以先根据用户的属性信息,对用户进行分组,之后根据分组用户,制定相应的访问控制策略。
204、若所述资源访问行为满足所述访问控制规则,则放行所述应用的资源访问行为;若所述资源访问行为不满足所述访问控制规则,则阻止所述应用的资源访问行为。
为了进一步提高应用安全的保护水平,在资源访问行为被允许后,还需要针对本次访问行为,记录相关信息,因此本发明实施例中的访问控制策略中不仅包括应用访问控制规则,还包括安全审计规则,利用安全审计规则,记录相关的访问控制信息。基于此,所述方法包括:根据所述访问控制策略中的安全审计规则,记录相应的访问控制信息,并将所述访问控制信息发送至目标设备中进行保存和分析。
具体地,可以根据访问主体和访问客体分别对应的安全标记,进行访问控制信息的记录。例如,如果访问客体的安全标记对应的安全级别较高,则可以全面记录本次访问行为的访问控制信息。再比如,如果访问主体的安全标记为可信,则可以部分记录本次访问行为的访问控制信息。
在具体应用场景中,代理端会接收策略管理端下发的访问控制策略,当策略管理端对访问控制策略更新时,代理端也会同步进行更新,基于此,所述方法包括:接收策略管理端下发的访问控制策略,并保存至本地;当所述策略管理端对所述访问控制策略更新时,接收所述策略管理端下发的更新信息,并基于所述更新信息,对本地的所述访问控制策略进行更新。需要说明的是,策略管理端的访问控制策略可以被执行修改、删除和查询等操作。
具体地,用户终端代理端中都安装有策略接收和更新程序。策略接收和更新程序可以接收来自策略管理端下发的策略库,并更新到本地保存的应用访问控制策略清单中。在一些示例中,策略接收和更新程序可以通过代码注入方式作为操作系统内核程序的动态链接库。另外,在一些示例中,策略接收和更新程序可以作为一个独立的进程。在这种情况下,一般要求操作系统内核对策略接收和更新进程进行保护,防止其运行被中断。为了防止用户规避应用访问控制机制,可以采用进程监视和安全保护机制,防止代理程序被卸载或被终止运行。
本发明实施例提供的另一种应用访问控制方法,通过通过应用访问控制策略,能够在不修改应用程序代码的前提下,对应用的资源访问行为进行拦截和安全控制,从而能够防止应用层的违规和越权访问行为,同时由于该访问控制策略是管理员自定义的,因此会极大提高应用安全保护水平,此外,本发明实施例通过一种通用性的安全增强机制能够同时支持多种应用的安全增强,从而能够有效降低安全成本和管理难度。
进一步地,作为图1的具体实现,本发明实施例提供了一种应用访问控制装置,如图3所示,所述装置包括:获取单元31、确定单元32和控制单元33。
所述获取单元31,可以用于获取应用的资源访问行为。
所述确定单元32,可以用于确定所述资源访问行为对应的访问主体和访问客体。
所述控制单元33,可以用于根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
在具体应用场景中,所述获取单元31,具体可以用于若所述应用为B/S架构,则利用浏览器钩子插件,拦截所述资源访问行为;若所述应用为C/S架构或者单机类型应用,则利用系统驱动层的钩子函数,拦截所述资源访问行为。
在具体应用场景中,所述确定单元32,具体可以用于对所述URL进行解析,得到所述访问主体和所述访问客体。
在具体应用场景中,所述控制单元33,如图4所示,包括:判定模块331、放行模块332和阻止模块333。
所述判定模块331,可以用于根据所述访问主体和所述访问客体,判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则。
所述放行模块332,可以用于若所述资源访问行为满足所述访问控制规则,则放行所述应用的资源访问行为。
所述阻止模块333,可以用于若所述资源访问行为不满足所述访问控制规则,则阻止所述应用的资源访问行为。
进一步地,所述判定模块331,具体可以用于确定所述访问主体和所述访问客体分别对应的安全标记;基于所述访问主体和所述访问客体分别对应的安全标记,判定所述资源访问行为是否满足所述访问控制规则。
在具体应用场景中,所述装置还包括:记录单元34。
所述记录单元34,可以用于根据所述访问控制策略中的安全审计规则,记录相应的访问控制信息,并将所述访问控制信息发送至目标设备中进行保存和分析。
在具体应用场景中,所述装置还包括:接收单元35和更新单元36。
所述接收单元35,可以用于接收策略管理端下发的访问控制策略,并保存至本地。
所述更新单元36,可以用于当所述策略管理端对所述访问控制策略更新时,接收所述策略管理端下发的更新信息,并基于所述更新信息,对本地的所述访问控制策略进行更新。
需要说明的是,本发明实施例提供的一种应用访问控制装置所涉及各功能模块的其他相应描述,可以参考图1所示方法的对应描述,在此不再赘述。
基于上述如图1所示方法,相应的,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:获取应用的资源访问行为;确定所述资源访问行为对应的访问主体和访问客体;根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
基于上述如图1所示方法和如图3所示装置的实施例,本发明实施例还提供了一种计算机设备的实体结构图,如图5所示,该计算机设备包括:处理器41、存储器42、及存储在存储器42上并可在处理器上运行的计算机程序,其中存储器42和处理器41均设置在总线43上所述处理器41执行所述程序时实现以下步骤:获取应用的资源访问行为;确定所述资源访问行为对应的访问主体和访问客体;根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
通过发明实施例的技术方案,能够获取应用的资源访问行为;并确定所述资源访问行为对应的访问主体和访问客体;最终根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。由此通过访问控制策略,能够在不修改应用程序代码的前提下,对应用的资源访问行为进行拦截和安全控制,从而能够防止应用层的违规和越权访问行为,同时由于该访问控制策略是管理员自定义的,因此会极大提高应用安全保护水平,此外,本发明通过一种通用性的安全增强机制能够同时支持多种应用的安全增强,从而能够有效降低安全成本和管理难度。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。

Claims (10)

1.一种应用访问控制方法,其特征在于,应用于代理端,包括:
获取应用的资源访问行为;
确定所述资源访问行为对应的访问主体和访问客体;
根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
2.根据权利要求1所述的方法,其特征在于,所述获取应用的资源访问行为,包括:
若所述应用为B/S架构,则利用浏览器钩子插件,拦截所述资源访问行为;
若所述应用为C/S架构或者单机类型应用,则利用系统驱动层的钩子函数,拦截所述资源访问行为。
3.根据权利要求2所述的方法,其特征在于,若拦截的所述资源访问行为URL,则所述确定所述资源访问行为对应的访问主体和访问客体,包括:
对所述URL进行解析,得到所述访问主体和所述访问客体。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制,包括:
根据所述访问主体和所述访问客体,判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则;
若所述资源访问行为满足所述访问控制规则,则放行所述应用的资源访问行为;
若所述资源访问行为不满足所述访问控制规则,则阻止所述应用的资源访问行为。
5.根据权利要求4所述的方法,其特征在于,所述根据所述访问主体和所述访问客体,判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则,包括:
确定所述访问主体和所述访问客体分别对应的安全标记;
基于所述访问主体和所述访问客体分别对应的安全标记,判定所述资源访问行为是否满足所述访问控制规则。
6.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
根据所述访问控制策略中的安全审计规则,记录相应的访问控制信息,并将所述访问控制信息发送至目标设备中进行保存和分析。
7.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
接收策略管理端下发的访问控制策略,并保存至本地;
当所述策略管理端对所述访问控制策略更新时,接收所述策略管理端下发的更新信息,并基于所述更新信息,对本地的所述访问控制策略进行更新。
8.一种应用访问控制装置,其特征在于,包括:
获取单元,用于获取应用的资源访问行为;
确定单元,用于确定所述资源访问行为对应的访问主体和访问客体;
控制单元,用于根据所述访问主体、所述访问客体和访问控制策略,对所述应用的资源访问行为进行安全控制。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
CN202210841956.9A 2022-07-18 2022-07-18 应用访问控制方法、装置、存储介质及计算机设备 Pending CN115396140A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210841956.9A CN115396140A (zh) 2022-07-18 2022-07-18 应用访问控制方法、装置、存储介质及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210841956.9A CN115396140A (zh) 2022-07-18 2022-07-18 应用访问控制方法、装置、存储介质及计算机设备

Publications (1)

Publication Number Publication Date
CN115396140A true CN115396140A (zh) 2022-11-25

Family

ID=84116608

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210841956.9A Pending CN115396140A (zh) 2022-07-18 2022-07-18 应用访问控制方法、装置、存储介质及计算机设备

Country Status (1)

Country Link
CN (1) CN115396140A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116132198A (zh) * 2023-04-07 2023-05-16 杭州海康威视数字技术股份有限公司 基于轻量化上下文语义的物联网隐私行为感知方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116132198A (zh) * 2023-04-07 2023-05-16 杭州海康威视数字技术股份有限公司 基于轻量化上下文语义的物联网隐私行为感知方法及装置

Similar Documents

Publication Publication Date Title
US11237817B2 (en) Operating system update management for enrolled devices
Snyder et al. Most websites don't need to vibrate: A cost-benefit approach to improving browser security
RU2568295C2 (ru) Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
RU2522019C1 (ru) Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной
US9032318B2 (en) Widget security
US20060090192A1 (en) Method and system for ensuring that computer programs are trustworthy
EP3753221B1 (en) System and method for monitoring effective control of a machine
Bleikertz et al. Secure cloud maintenance: protecting workloads against insider attacks
US9516031B2 (en) Assignment of security contexts to define access permissions for file system objects
JP5990646B2 (ja) 仮想マシンにおける強制保護制御
Wong et al. Threat modeling and security analysis of containers: A survey
Barlev et al. Secure yet usable: Protecting servers and Linux containers
CN103430153B (zh) 用于计算机安全的接种器和抗体
CN115396140A (zh) 应用访问控制方法、装置、存储介质及计算机设备
CN117032894A (zh) 容器安全状态检测方法、装置、电子设备及存储介质
JP2002304231A (ja) コンピュータシステム
Merlo et al. Android vs. SEAndroid: An empirical assessment
Salehi et al. Welcome to Binder: A kernel level attack model for the Binder in Android operating system
Powers et al. Whitelist malware defense for embedded control system devices
US8788845B1 (en) Data access security
EP3243313B1 (en) System and method for monitoring a computer system using machine interpretable code
Abdullah et al. File integrity monitor scheduling based on file security level classification
CN111400750B (zh) 基于访问过程判定的可信度量方法和装置
JP2002304318A (ja) コンピュータシステムおよびその使用制御方法
US20220366039A1 (en) Abnormally permissive role definition detection systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination