CN116756776A - 访问控制方法、装置、桌面操作系统登录平台和处理器 - Google Patents

访问控制方法、装置、桌面操作系统登录平台和处理器 Download PDF

Info

Publication number
CN116756776A
CN116756776A CN202310806399.1A CN202310806399A CN116756776A CN 116756776 A CN116756776 A CN 116756776A CN 202310806399 A CN202310806399 A CN 202310806399A CN 116756776 A CN116756776 A CN 116756776A
Authority
CN
China
Prior art keywords
operating system
target
identity
authentication
target object
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310806399.1A
Other languages
English (en)
Inventor
陈锦祥
李粤
赵春
许娇阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310806399.1A priority Critical patent/CN116756776A/zh
Publication of CN116756776A publication Critical patent/CN116756776A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种访问控制方法、装置、桌面操作系统登录平台和处理器。涉及金融科技领域,该方法包括:获取客户端的操作系统的目标版本信息,以及目标对象的身份信息;确定与目标版本信息对应的目标数据处理规则;按照身份认证规则对目标对象的身份进行认证,得到目标认证结果;根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限;根据访问权限,按照通信规则控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问。通过本申请,解决了相关技术中没有兼容不同操作系统的客户端的统一的身份认证、授权管理方法,造成的桌面操作系统无法对采用不同操作系统登录桌面操作系统的对象进行访问控制的技术问题。

Description

访问控制方法、装置、桌面操作系统登录平台和处理器
技术领域
本发明涉及金融科技领域,具体而言,涉及一种访问控制方法、装置、桌面操作系统登录平台和处理器。需要说明的是,本申请公开的方法和装置可用于金融科技领域进行访问权限的控制,也可用于除金融科技领域之外的任意领域进行访问权限的控制,本申请公开的访问控制方法、装置、桌面操作系统登录平台和处理器的应用领域不做限定。
背景技术
在企业管理中,为了使得企业与不同的公司更便捷的对接业务,企业中可能包括具有不同操作系统的客户端,为减少IT运维工作量,提升系统安全性,提供兼容不同的客户端的统一认证是很有必要的。通过网络身份认证对用户和终端进行统一管理,只有授权的企业用户有权通过网络身份认证,登录到已注册且已授权的指定终端。
基于Linux内核的桌面操作系统的系统用户账号是独立创建、本地维护、单机版部署,无法保证用户账号的唯一性,无法实现集中对登录桌面操作系统的用户账号进行身份鉴别和权限分配,存在无法实名制管理,也无法对企业内网部署的具有不同操作系统的客户端在登录桌面操作系统时进行统一的身份鉴别控制和资源访问授权管理的问题。
通常桌面操作系统的身份认证服务,不支持用户对终端的访问权限控制和用户策略管理,在企业内部引入了新的账号体系,不能满足企业用户统一管理的要求。企业内部现有的统一认证系统也不支持对终端的认证登录功能,无法进行用户对终端的访问策略管理。
针对相关技术中没有兼容不同操作系统的客户端的统一的身份认证、授权管理方法,造成的桌面操作系统无法对采用不同操作系统登录桌面操作系统的对象进行访问控制的技术问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种访问控制方法、装置、桌面操作系统登录平台和处理器,以至少解决没有兼容不同操作系统的客户端的统一的身份认证、授权管理方法,造成的桌面操作系统无法对采用不同操作系统登录桌面操作系统的对象进行访问控制的技术问题。
为了实现上述目的,根据本申请的一个方面,提供了一种访问控制方法。该方法包括:获取客户端的操作系统的目标版本信息,以及通过客户端登录桌面操作系统的目标对象的身份信息,其中,客户端的操作系统为以下任意之一:Windows操作系统、UOS操作系统和Kylin操作系统;确定与目标版本信息对应的目标数据处理规则,其中,目标数据处理规则包括身份认证规则和通信规则;根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果;根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限;根据访问权限,按照通信规则控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问。
可选地,根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果,包括:在获取通过客户端登录桌面操作系统的目标对象的身份信息之前,目标对象未通过客户端成功登录桌面操作系统的情况下,获取存储在服务端的符合身份认证规则的第一认证信息;确定第一认证信息与身份信息是否匹配,若第一认证信息与身份信息匹配,确定目标认证结果为认证成功。
可选地,还包括:在目标认证结果表征目标对象的身份认证成功的情况下,允许目标对象登录桌面操作系统;获取目标对象登录桌面操作系统的登录时间;根据登录时间,对第一认证信息进行加密,并缓存在客户端。
可选地,根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果,包括:在目标对象之前已通过客户端成功登录桌面操作系统的情况下,获取缓存在客户端的符合身份认证规则的第二认证信息;确定第二认证信息与身份信息是否匹配,若第二认证信息与身份信息匹配,确定目标认证结果为认证成功。
可选地,确定与目标版本信息对应的目标数据处理规则,包括:获取与N条版本信息对应的M条数据处理规则,其中,N条版本信息包括目标版本信息,M条数据处理规则包括目标数据处理规则,N和M为大于1的整数,M不大于N;在N条版本信息中确定目标版本信息;确定目标版本信息对应的数据处理规则为目标数据处理规则。
可选地,根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限,包括:在目标认证结果表征目标对象的身份认证成功的情况下,确定身份信息对应的身份等级;根据身份信息对应的身份等级,确定目标对象对桌面操作系统的访问权限。
可选地,还包括:按照通信规则获取目标对象在桌面操作系统上的操作日志;根据操作日志,统计目标对象在桌面操作系统上的异常访问行为。
为了实现上述目的,根据本申请的另一方面,提供了一种桌面操作系统登录平台。该桌面操作系统登录平台包括:身份管理组件,统一认证组件,授权组件和审查日志组件,其中,身份管理组件用于获取客户端的操作系统的目标版本信息,以及通过客户端登录桌面操作系统的目标对象的身份信息;统一认证组件用于确定与目标版本信息对应的目标数据处理规则,并按照目标数据处理规则对身份信息进行认证;授权组件用于校验目标对象的访问权限;审查日志组件用于对目标对象操作桌面操作系统的日志进行审查。
为了实现上述目的,根据本申请的另一方面,提供了一种访问控制装置。该装置包括:获取模块,用于获取客户端的操作系统的目标版本信息,以及通过客户端登录桌面操作系统的目标对象的身份信息,其中,客户端的操作系统为以下任意之一:Windows操作系统、UOS操作系统和Kylin操作系统;第一确定模块,用于确定与目标版本信息对应的目标数据处理规则,其中,目标数据处理规则包括身份认证规则和通信规则;认证模块,用于根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果;第二确定模块,用于根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限;控制模块,用于根据访问权限,按照通信规则控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问。
为了实现上述目的,根据本申请的另一方面,提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述中任意一项的访问控制方法。
为了实现上述目的,根据本申请的另一方面,提供了一种电子设备,包括一个或多个处理器和存储器,存储器用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现上述中任意一项的访问控制方法。
通过本申请,采用以下步骤:获取客户端的操作系统的目标版本信息,以及通过客户端登录桌面操作系统的目标对象的身份信息,其中,客户端的操作系统为以下任意之一:Windows操作系统、UOS操作系统和Kylin操作系统;确定与目标版本信息对应的目标数据处理规则,其中,目标数据处理规则包括身份认证规则和通信规则;根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果;根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限;根据访问权限,按照通信规则控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问,达到了对登录桌面操作系统的目标对象进行统一的身份认证及授权管理的目的,解决了相关技术中没有兼容不同操作系统的客户端的统一的身份认证、授权管理方法,造成的桌面操作系统无法对采用不同操作系统登录桌面操作系统的对象进行访问控制的技术问题,进而实现了对登录桌面操作系统的目标对象进行访问控制的技术效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的访问控制方法的流程图;
图2是根据本申请实施例提供的桌面操作系统登录平台的示意图;
图3是根据本申请可选实施例提供的桌面操作系统登录平台应用场景的示意图;
图4是根据本申请实施例提供的访问控制装置的示意图;
图5是根据本发明实施例提供的用于进行访问控制方法的电子设备的结构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本系统和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
下面结合优选的实施步骤对本发明进行说明,图1是根据本申请实施例提供的访问控制方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,获取客户端的操作系统的目标版本信息,以及通过客户端登录桌面操作系统的目标对象的身份信息,其中,客户端的操作系统为以下任意之一:Windows操作系统、UOS操作系统和Kylin操作系统。
在企业管理中,通过企业所属的客户端登录企业所属的网络进行办公是一种提高企业数据安全性的有效方法,采用这种方法需要通过网络身份认证对用户和终端进行统一管理,只有授权的企业用户有权通过网络身份认证,并登录到已注册且已授权的指定桌面操作系统。在企业经营的过程中,为了使得企业与不同的公司更便捷的对接业务,企业中可能包括具有不同操作系统的客户端,例如,企业中可能有员工采用Windows操作系统的客户端工作,也有员工采用UOS操作系统的客户端工作,还有员工采用Kylin操作系统的客户端工作。为了使得采用不同操作系统的客户端的员工都能登录企业内部的桌面操作系统,可以提供一种兼容不同操作系统的客户端登录桌面操作系统时的统一认证方法。其中,Windows操作系统是最常见和广泛使用的操作系统之一,具有提供图形用户界面和进行多任务处理的能力。UOS操作系统(Unified Operating System,简称UOS)是一款基于Linux内核的操作系统,可以实现“自主可控”,提供更加安全、可靠、高效的服务;Kylin操作系统是一款面向服务器的操作系统,可以提供高性能、高安全性和高稳定性的操作系统平台,并且包括服务器版、桌面版、高性能计算版和云平台版等多个版本。
需要说明的是,本发明提到的桌面操作系统可以是企业内部处于工作需要建立的内网的桌面操作系统,而客户端的操作系统指的是员工工作时使用的电脑的操作系统。本发明的目的是提供一种能够兼容具有不同操作系统的客户端登录某个桌面操作系统时的统一认证方法,使得采用不同操作系统的客户端的员工都能在自己的客户端上登录企业内部的桌面操作系统。客户端的操作系统的目标版本信息可以包括操作系统的类型以及对应的版本号。
本发明提供一种使得目标对象能够认证目标对象的身份,使得目标对象能够登录桌面操作系统,并控制目标对象的访问权限的方法,本步骤中的场景是目标对象向桌面操作系统提交自身的身份信息,希望通过身份信息登录至桌面操作系统中,桌面操作系统响应目标对象的操作,可以对目标对象的身份进行认证并对目标对象在桌面操作系统中的操作进行授权。访问控制方法的执行主体可以是桌面操作系统中实现用户管理功能的登录平台,也即桌面操作系统登录平台,具体可以是公司内部的服务器;目标对象可以是登录桌面操作系统的用户;身份信息可以是表征目标对象身份的标识,具体可以是用户的登录名和/或登录密码,登录密码可以是静态的文本密码,也可以是动态的验证码,还可以是目标对象的生物信息,例如指纹或面部特征。
步骤S102,确定与目标版本信息对应的目标数据处理规则,其中,目标数据处理规则包括身份认证规则和通信规则。
本步骤中,由于不同的操作系统有不同的认证标准,所以可以根据获取到的客户端的操作系统当前的目标版本信息,确定目标对象使用的客户端的操作系统认可的身份认证规则和通信规则,以便桌面操作系统在后续进程中能够顺利与客户端进行交互。身份认证规则具体可以是验证身份的标识码的编写格式等,例如,以字母开始或以特殊字符收尾等。通信规则具体可以是客户端的操作系统能够读取或能够支持通信协议。
步骤S103,根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果。
本步骤中,桌面操作系统登录平台在获取到目标对象的身份信息时,可以按照身份认证规则对目标对象的身份进行认证,目标认证结果可以是认证成功,或者是认证失败。当目标认证结果为认证成功时,说明目标对象是桌面操作系统认可的安全账户,可以登录桌面造作系统;当目标认证结果为失败时,说明目标对象不是桌面操作系统认可的安全账户,目标对象登录桌面操作系统的请求失败。
步骤S104,根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限。
本步骤中,在得到对目标对象进行身份认证并得到目标认证结果后,可以确定目标对象对桌面操作系统的访问权限。可以先根据目标认证结果首次判断目标对象对桌面操作系统的访问权限,当目标认证结果为认证失败时,可以判断出目标对象没有登录桌面操作系统的权限,即目标对象没有访问桌面操作系统的权限;当目标认证结果为认证成功时,可以初步判断目标对象可以访问桌面操作系统,还可以结合身份信息,具体判断目标对象可以在桌面操作系统上进行何种操作,能够访问哪个应用程序。身份信息可以标识出本次登录桌面操作系统的目标对象是某个具体的用户,可以确定身份信息在桌面操作系统中的登录平台上登记的访问权限。
步骤S105,根据访问权限,按照通信规则控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问。
本步骤中,可以根据目标对象的访问权限,按照通信规则控制桌面操作系统中的应用程序对目标对象的访问请求进行回应。在目标对象登录桌面操作系统后,可以正常显示系统中的应用程序,目标对象可以通过计算机操作,请求访问某个应用程序,如果目标对象对应的访问权限表征目标对象可以访问这个应用程序,桌面操作系统可以按照通信规则控制应用程序接受目标对象的访问请求,使得目标对象可以正常访问这个应用程序;如果访问权限表征目标对象不可以访问这个应用程序,桌面操作系统可以按照通信规则控制应用程序拒绝目标对象的访问请求,使得目标对象无法访问这个应用程序。
本申请实施例提供的访问控制方法,通过上述步骤,达到了对登录桌面操作系统的目标对象进行统一的身份认证及授权管理的目的,解决了相关技术中没有兼容不同操作系统的客户端的统一的身份认证、授权管理方法,造成的桌面操作系统无法对采用不同操作系统登录桌面操作系统的对象进行访问控制的技术问题,进而实现了对登录桌面操作系统的目标对象进行访问控制的技术效果。
作为一种可选的实施例,根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果,可以通过以下步骤实现:在获取通过客户端登录桌面操作系统的目标对象的身份信息之前,目标对象未通过客户端成功登录桌面操作系统的情况下,获取存储在服务端的符合身份认证规则的第一认证信息;确定第一认证信息与身份信息是否匹配,若第一认证信息与身份信息匹配,确定目标认证结果为认证成功。
可选地,上述目标对象通过客户端登录桌面操作系统的操作有可能是目标对象首次通过客户端登录桌面操作系统,也即在获取通过客户端登录桌面操作系统的目标对象的身份信息之前,目标对象未通过客户端成功登录桌面操作系统,其中,桌面操作系统包括客户端部分的操作软件,也包括服务器中的操作软件,客户端部分的操作软件可以与服务器中的操作软件进行通讯。此时,可以预先在服务器中配置符合身份认证规则的第一认证信息,由于之前目标对象未通过客户端成功登录桌面操作系统,所以客户端没有缓存能够认证身份信息的认证信息,所以客户端可以与服务器进行通讯,通过将身份信息与服务器中存储的符合身份认证规则的第一认证信息匹配确认目标认证结果。需要说明的是,如果企业内部本身有身份认证系统和自身的认证方法,桌面操作系统可以与企业原先的身份认证系统进行通讯,将身份信息交由企业的身份认证系统进行认证,最后获取目标认证结果即可。
以身份信息包括用户名和密码为例,第一认证信息可以是预先配置在服务器中的用户名和对应的密码,服务器在存储用户名时可以明文存储,但是在存储对应的密码时,可以对密码以某种固定的算法进行加密得到密文存储。为了提高密文存储的安全性,可以先配置用户名,再生成随机数并与用户名对应的密码拼接,再对拼接后的密码进行加密,得到第一认证信息,其中,可以将用户名和/或配置用户名部分的时间戳作为密码的随机数;在对第一认证信息和身份信息进行匹配时,可以对身份信息进行同样的加密处理,比较加密之后的密文和第一认证信息是否相同,如果加密后的密文与第一认证信息相同,那么可以确认目标认证结果为认证成功,如果加密后的密文与第一认证信息不同,可以确认目标认证结果为认证失败。
作为一种可选的实施例,还可以包括:在目标认证结果表征目标对象的身份认证成功的情况下,允许目标对象登录桌面操作系统;获取目标对象登录桌面操作系统的登录时间;根据登录时间,对第一认证信息进行加密,并缓存在客户端。
可选地,在确认目标认证结果为认证成功的情况下,可以允许目标对象登录桌面操作系统,此时客户端的桌面操作系统已经与服务端的操作系统进行了通讯,并且获取了第一认证信息,为了减少下次登录认证花费的时间,提高认证登录的效率,可以将第一认证信息并加密缓存在客户端,在下次目标对象在客户端登录操作系统的时候,可以直接读取本地缓存进行身份验证。
需要说明的是,此时获取的第一认证信息可以是对配置在服务端的身份信息加密后的认证信息,也可以是未加密的配置在服务端的身份信息。当获取的第一认证信息为未加密的身份信息时,可以采用与上述方法类似的方法,对未加密的身份信息进行加密后缓存,加密时不用获取配置身份信息时的时间,可以获取本次登录时间,将登录时间和/或用户名作为随机数与密码拼接后整体加密,并缓存在客户端。
作为一种可选的实施例,根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果,可以通过以下步骤实现:在目标对象之前已通过客户端成功登录桌面操作系统的情况下,获取缓存在客户端的符合身份认证规则的第二认证信息;确定第二认证信息与身份信息是否匹配,若第二认证信息与身份信息匹配,确定目标认证结果为认证成功。
可选地,如果之前已经从客户端成功登录桌面操作系统,此时客户端可以有缓存在客户端本地的符合身份认证规则的第二认证信息,可以通过判断第二认证信息与身份信息是否匹配来确认目标认证结果。需要说明的是,第二认证信息可以是以密文形式缓存的,与上述匹配方法类似,可以通过预先确定的加密方式对身份信息进行加密,然后判断加密后的身份信息是否与第二认证信息相同,进而确定目标认证结果。
作为一种可选地实施例,确定与目标版本信息对应的目标数据处理规则,包括:获取与N条版本信息对应的M条数据处理规则,其中,N条版本信息包括目标版本信息,M条数据处理规则包括目标数据处理规则,N和M为大于1的整数,M不大于N;在N条版本信息中确定目标版本信息;确定目标版本信息对应的数据处理规则为目标数据处理规则。
可选地,桌面操作系统中可以存储版本信息与数据处理规则的对应关系,每一类操作系统的每个版本都应该对应一种该版本认可的数据处理规则。需要说明的是,有可能某些版本之间差距不大,存在好几个版本通用一种数据处理规则的情况,所以桌面操作系统中存储的对应关系应该包括与N条版本信息对应的M条数据处理规则,M不大于N。
作为一种可选的实施例,根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限,可以通过以下步骤实现:在目标认证结果表征目标对象的身份认证成功的情况下,确定身份信息对应的身份等级;根据身份信息对应的身份等级,确定目标对象对桌面操作系统的访问权限。
可选地,在实际生活中,不同工作内容的对象可以具有不同的身份等级,不同内容的对象可以在桌面操作系统中具有不同的访问权限,因此,可以在桌面操作系统上配置身份等级和访问权限的对应关系,以及身份信息和身份等级的对应关系,在确认目标认证结果为成功的情况下,可以确认身份信息对应的身份等级,并通过身份等级确认访问权限。
作为一种可选的实施例,还可以包括:按照通信规则获取目标对象在桌面操作系统上的操作日志;根据操作日志,统计目标对象在桌面操作系统上的异常访问行为。
可选地,在目标对象登录桌面操作系统并在桌面操作系统上进行操作时,桌面操作系统可以以操作日志的形式记录目标对象在系统上的操作。桌面操作系统可以按照通信规则收集一段时间内的操作日志,然后统计操作日志中记载的异常访问行为,并将异常访问行为发送至桌面操作系统的运维人员,以便运维人员对桌面操作系统进行管理。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种桌面操作系统登录平台,需要说明的是,本申请实施例的桌面操作系统登录平台可以用于执行本申请实施例所提供的用于访问控制方法。以下对本申请实施例提供的桌面操作系统登录平台进行介绍。
图2是根据本申请实施例提供的桌面操作系统登录平台的示意图。如图2所示,该桌面操作系统登录平台20包括:身份管理组件21,统一认证组件22,授权组件23和审查日志组件24,其中:
身份管理组件21用于获取客户端的操作系统的目标版本信息,以及通过客户端登录桌面操作系统的目标对象的身份信息。
统一认证组件22与身份管理组件21连接,用于确定与目标版本信息对应的目标数据处理规则,并按照目标数据处理规则对身份信息进行认证。
授权组件23与统一认证组件22连接,用于校验目标对象的访问权限。
审查日志组件24与授权组件23连接,用于对目标对象操作桌面操作系统的日志进行审查。
本申请实施例提供的桌面操作系统登录平台,通过获取通过客户端登录桌面操作系统的目标对象的身份信息;根据身份信息,对目标对象的身份进行认证,得到目标认证结果;根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限;根据访问权限,控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问,达到了对登录桌面操作系统的目标对象进行统一的身份认证及授权管理的目的,解决了相关技术中没有兼容不同操作系统的客户端的统一的身份认证、授权管理方法,造成的桌面操作系统无法对采用不同操作系统登录桌面操作系统的对象进行访问控制的技术问题,进而实现了对登录桌面操作系统的目标对象进行访问控制的技术效果。
作为一种具体的实施例,图3是根据本申请可选实施例提供的桌面操作系统登录平台应用场景的示意图,如图3所示,登录桌面系统的流程包括登录、身份认证、权限校验和登录记录,每个流程对应桌面操作系统登录平台中的一个组件,并执行一步操作。
身份管理组件获取用户信息时,需要用户的基本信息,主要是用户名、姓名以及其它用户属性。在预先设定桌面操作系统登录平台的身份库时,用户信息可以由管理员进行录入,每一个用户账号对应一个真实的员工,如果此时在企业内部已经存在一套用户身份管理系统,还可以将企业原有的组织信息和用户数据同步过来。在用户登录桌面操作系统时,需要客户端向桌面操作系统提供某个确定的用户信息。
统一认证组件在认证用户身份时,会接收用户在客户端提出的身份认证请求,在身份认证时可以采用传统的密码认证、安全性更高的证书认证,或者更便捷的生物特征认证等方式。对于企业内部已有用户认证系统的情况下,也可以将使用企业现有的认证系统作为认证后端,完成实际认证。
如果企业已有一套用户管理系统,本发明提供的桌面操作系统登录平台的目的,除了增加用户属性外,更重要的是对用户访问操作系统以及其它网络对象的授权校验。用户认证通过后,由授权组件来校验用户是否允许访问桌面操作系统上的资源。在企业中,员工一般都有自己的专用机器,部门内部也会有一些公共使用的机器,通过授权组件,可以集中控制员工对这些机器上系统的访问策略,也包括对其它例如打印机、网络文件夹、外设等资源的访问控制。
在对用户进行授权后,可以将用户的操作日志可以上送到审查日志组件,审查日志组件可以对用户行为进行监控,也可以通过集中的数据处理,发现异常的访问记录,提高系统的安全性。
并且在认证成功后,可以缓存用户信息到本地,这个缓存数据有两个作用,一是避免频繁的向服务端请求用户信息,二是提供离线场景下的登录能力。
缓存数据会将用户信息、认证信息和授权信息分别存储,相当于在桌面操作系统本地提供了一个离线的用户源、认证源和授权策略。由于桌面操作系统以及一些应用会在使用中多次调用用户接口,所以用户信息获取的优先级是本地缓存高于网络请求调用的,只有在用户不存在或者缓存超过一定时间后才会去请求服务端,以减少服务端的压力。认证源是服务端的优先级高于本地客户端的缓存,这样可以保障认证因子的有效性,同时提高的认证可靠性。同样,为保障策略的及时性,用户授权信息同样可以是服务端的优先级高于本地客户端的缓存。
对于静态密码认证方式,本地缓存可以只保存通过哈希算法处理后的数据,保证密码非明文存储且不可逆。可以使用用户名和当前时间戳作为盐值生成密码本地缓存。
为提高安全性,需要定期修改密码,为了避免在用户认证服务端密码被修改后,又长期使用离线登录,实际密码与系统本地缓存不一致的情况,可以通过离线登录切换在线来刷新本地缓存。在实际应用中还有可能出现以下三种情况:如果统一认证组件上的密码被修改,这个时候离线登录仍需要使用旧密码来通过本地缓存的验证;登录到桌面操作系统后,配置网络或VPN连接到桌面操作系统登录平台,这个时候可以自动更新系统中的用户缓存,但是无法更新用户密码缓存;用户注销或者锁屏后,再次进入系统需要重新认证,此时变成在线认证状态,需要使用新密码认证登录,并缓存新密码到本地,旧密码自动失效,后续桌面操作系统离线场景也需要使用新密码登录。
本方案提供的访问控制方法可以是一套基于Linux桌面操作系统的在线鉴别用户身份的强认证方法,支持对用户账号的实名制管理、用户对桌面操作系统的数据、应用程序等资源的访问控制,同时可以兼容对接企业原有相关用户身份认证系统,建立统一的管理体系,确保安全性和易用性。
本方案的技术效果主要包括:(1)建立桌面操作系统登录平台,用于统一存储用户唯一身份标识和访问权限信息,解决分散存储在各个桌面操作系统本地的账号管理无法进行实名制、集中控制等问题;(2)在网络身份认证基础上,增加对终端用户的访问控制和用户策略管控,弥补普通统一认证管控不足问题,包括但不限于支持;(3)对接企业内部现有的用户管理系统,通过同步组织和人员信息,以及调用统一认证接口,使用企业内部已有的统一认证系统作为身份源和认证源,具备规模化管理能力;(4)支持首次登录后用户认证信息缓存到本地,满足终端在离线场景使用。
本申请实施例还提供了一种访问控制装置,需要说明的是,本申请实施例的访问控制装置可以用于执行本申请实施例所提供的用于访问控制方法。以下对本申请实施例提供的访问控制装置进行介绍。
图4是根据本申请实施例的访问控制装置的示意图。如图4所示,该装置包括:获取模块41,第一确定模块42,认证模块43,第二确定模块44和控制模块45。
获取模块41,用于获取客户端的操作系统的目标版本信息,以及通过客户端登录桌面操作系统的目标对象的身份信息,其中,客户端的操作系统为以下任意之一:Windows操作系统、UOS操作系统和Kylin操作系统。
第一确定模块42,与获取模块41连接,用于确定与目标版本信息对应的目标数据处理规则,其中,目标数据处理规则包括身份认证规则和通信规则。
认证模块43,与第一确定模块42连接,用于根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果。
第二确定模块44,与认证模块43连接,用于根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限。
控制模块45,与第二确定模块44连接,用于根据访问权限,按照通信规则控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问。
本申请实施例提供的访问控制装置,通过获取通过客户端登录桌面操作系统的目标对象的身份信息;根据身份信息,对目标对象的身份进行认证,得到目标认证结果;根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限;根据访问权限,控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问,达到了对登录桌面操作系统的目标对象进行统一的身份认证及授权管理的目的,解决了相关技术中没有兼容不同操作系统的客户端的统一的身份认证、授权管理方法,造成的桌面操作系统无法对采用不同操作系统登录桌面操作系统的对象进行访问控制的技术问题,进而实现了对登录桌面操作系统的目标对象进行访问控制的技术效果。
所述访问控制装置包括处理器和存储器,上述获取模块41,第一确定模块42,认证模块43,第二确定模块44和控制模块45等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来对登录桌面操作系统的目标对象进行统一的身份认证及授权管理。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现所述访问控制方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述访问控制方法。
图5是根据本发明实施例提供的用于进行访问控制方法的电子设备的结构示意图,如图5所示,本发明实施例提供了一种电子设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:获取客户端的操作系统的目标版本信息,以及通过客户端登录桌面操作系统的目标对象的身份信息,其中,客户端的操作系统为以下任意之一:Windows操作系统、UOS操作系统和Kylin操作系统;确定与目标版本信息对应的目标数据处理规则,其中,目标数据处理规则包括身份认证规则和通信规则;根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果;根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限;根据访问权限,按照通信规则控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问。
可选地,在本可选实施例中,处理器执行程序时还可以实现以下步骤:根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果,包括:在获取通过客户端登录桌面操作系统的目标对象的身份信息之前,目标对象未通过客户端成功登录桌面操作系统的情况下,获取存储在服务端的符合身份认证规则的第一认证信息;确定第一认证信息与身份信息是否匹配,若第一认证信息与身份信息匹配,确定目标认证结果为认证成功。
可选地,在本可选实施例中,处理器执行程序时还可以实现以下步骤:还包括:在目标认证结果表征目标对象的身份认证成功的情况下,允许目标对象登录桌面操作系统;获取目标对象登录桌面操作系统的登录时间;根据登录时间,对第一认证信息进行加密,并缓存在客户端。
可选地,在本可选实施例中,处理器执行程序时还可以实现以下步骤:根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果,包括:在目标对象之前已通过客户端成功登录桌面操作系统的情况下,获取缓存在客户端的符合身份认证规则的第二认证信息;确定第二认证信息与身份信息是否匹配,若第二认证信息与身份信息匹配,确定目标认证结果为认证成功。
可选地,在本可选实施例中,处理器执行程序时还可以实现以下步骤:确定与目标版本信息对应的目标数据处理规则,包括:获取与N条版本信息对应的M条数据处理规则,其中,N条版本信息包括目标版本信息,M条数据处理规则包括目标数据处理规则,N和M为大于1的整数,M不大于N;在N条版本信息中确定目标版本信息;确定目标版本信息对应的数据处理规则为目标数据处理规则。
可选地,在本可选实施例中,处理器执行程序时还可以实现以下步骤:根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限,包括:在目标认证结果表征目标对象的身份认证成功的情况下,确定身份信息对应的身份等级;根据身份信息对应的身份等级,确定目标对象对桌面操作系统的访问权限。
可选地,在本可选实施例中,处理器执行程序时还可以实现以下步骤:还包括:按照通信规则获取目标对象在桌面操作系统上的操作日志;根据操作日志,统计目标对象在桌面操作系统上的异常访问行为。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取客户端的操作系统的目标版本信息,以及通过客户端登录桌面操作系统的目标对象的身份信息,其中,客户端的操作系统为以下任意之一:Windows操作系统、UOS操作系统和Kylin操作系统;确定与目标版本信息对应的目标数据处理规则,其中,目标数据处理规则包括身份认证规则和通信规则;根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果;根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限;根据访问权限,按照通信规则控制桌面操作系统包括的应用程序接受目标对象的访问,或拒绝目标对象的访问。
可选地,在本实施例中,数据设备还用于执行适用于如下方法步骤的程序:根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果,包括:在获取通过客户端登录桌面操作系统的目标对象的身份信息之前,目标对象未通过客户端成功登录桌面操作系统的情况下,获取存储在服务端的符合身份认证规则的第一认证信息;确定第一认证信息与身份信息是否匹配,若第一认证信息与身份信息匹配,确定目标认证结果为认证成功。
可选地,在本实施例中,数据设备还用于执行适用于如下方法步骤的程序:还包括:在目标认证结果表征目标对象的身份认证成功的情况下,允许目标对象登录桌面操作系统;获取目标对象登录桌面操作系统的登录时间;根据登录时间,对第一认证信息进行加密,并缓存在客户端。
可选地,在本实施例中,数据设备还用于执行适用于如下方法步骤的程序:根据身份信息,按照身份认证规则对目标对象的身份进行认证,得到目标认证结果,包括:在目标对象之前已通过客户端成功登录桌面操作系统的情况下,获取缓存在客户端的符合身份认证规则的第二认证信息;确定第二认证信息与身份信息是否匹配,若第二认证信息与身份信息匹配,确定目标认证结果为认证成功。
可选地,在本可选实施例中,处理器执行程序时还可以实现以下步骤:确定与目标版本信息对应的目标数据处理规则,包括:获取与N条版本信息对应的M条数据处理规则,其中,N条版本信息包括目标版本信息,M条数据处理规则包括目标数据处理规则,N和M为大于1的整数,M不大于N;在N条版本信息中确定目标版本信息;确定目标版本信息对应的数据处理规则为目标数据处理规则。
可选地,在本实施例中,数据设备还用于执行适用于如下方法步骤的程序:根据目标认证结果和身份信息,确定目标对象对桌面操作系统的访问权限,包括:在目标认证结果表征目标对象的身份认证成功的情况下,确定身份信息对应的身份等级;根据身份信息对应的身份等级,确定目标对象对桌面操作系统的访问权限。
可选地,在本实施例中,数据设备还用于执行适用于如下方法步骤的程序:还包括:按照通信规则获取目标对象在桌面操作系统上的操作日志;根据操作日志,统计目标对象在桌面操作系统上的异常访问行为。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (11)

1.一种访问控制方法,其特征在于,包括:
获取客户端的操作系统的目标版本信息,以及通过所述客户端登录桌面操作系统的目标对象的身份信息,其中,所述客户端的操作系统为以下任意之一:
Windows操作系统、UOS操作系统和Kylin操作系统;
确定与所述目标版本信息对应的目标数据处理规则,其中,所述目标数据处理规则包括身份认证规则和通信规则;
根据所述身份信息,按照所述身份认证规则对所述目标对象的身份进行认证,得到目标认证结果;
根据所述目标认证结果和所述身份信息,确定所述目标对象对所述桌面操作系统的访问权限;
根据所述访问权限,按照所述通信规则控制所述桌面操作系统包括的应用程序接受所述目标对象的访问,或拒绝所述目标对象的访问。
2.根据权利要求1所述的方法,其特征在于,所述根据所述身份信息,按照所述身份认证规则对所述目标对象的身份进行认证,得到目标认证结果,包括:
在所述获取通过客户端登录桌面操作系统的目标对象的身份信息之前,所述目标对象未通过所述客户端成功登录所述桌面操作系统的情况下,获取存储在服务端的符合所述身份认证规则的第一认证信息;
确定所述第一认证信息与所述身份信息是否匹配,若所述第一认证信息与所述身份信息匹配,确定所述目标认证结果为认证成功。
3.根据权利要求2所述的方法,其特征在于,还包括:
在所述目标认证结果表征所述目标对象的身份认证成功的情况下,允许所述目标对象登录所述桌面操作系统;
获取所述目标对象登录所述桌面操作系统的登录时间;
根据所述登录时间,对所述第一认证信息进行加密,并缓存在所述客户端。
4.根据权利要求1所述的方法,其特征在于,所述根据所述身份信息,按照所述身份认证规则对所述目标对象的身份进行认证,得到目标认证结果,包括:
在所述目标对象之前已通过所述客户端成功登录所述桌面操作系统的情况下,获取缓存在所述客户端的符合所述身份认证规则的第二认证信息;
确定所述第二认证信息与所述身份信息是否匹配,若所述第二认证信息与所述身份信息匹配,确定所述目标认证结果为认证成功。
5.根据权利要求1所述的方法,其特征在于,所述确定与所述目标版本信息对应的目标数据处理规则,包括:
获取与N条版本信息对应的M条数据处理规则,其中,所述N条版本信息包括所述目标版本信息,所述M条数据处理规则包括目标数据处理规则,N和M为大于1的整数,M不大于N;
在所述N条版本信息中确定所述目标版本信息;
确定所述目标版本信息对应的数据处理规则为所述目标数据处理规则。
6.根据权利要求1所述的方法,其特征在于,所述根据所述目标认证结果和所述身份信息,确定所述目标对象对所述桌面操作系统的访问权限,包括:
在所述目标认证结果表征所述目标对象的身份认证成功的情况下,确定所述身份信息对应的身份等级;
根据所述身份信息对应的身份等级,确定所述目标对象对所述桌面操作系统的访问权限。
7.根据权利要求1至6中任意一项所述的方法,其特征在于,还包括:
按照所述通信规则获取所述目标对象在所述桌面操作系统上的操作日志;
根据所述操作日志,统计所述目标对象在所述桌面操作系统上的异常访问行为。
8.一种访问控制装置,其特征在于,包括:
获取模块,用于获取客户端的操作系统的目标版本信息,以及通过所述客户端登录桌面操作系统的目标对象的身份信息,其中,所述客户端的操作系统为以下任意之一:Windows操作系统、UOS操作系统和Kylin操作系统;
第一确定模块,用于确定与所述目标版本信息对应的目标数据处理规则,其中,所述目标数据处理规则包括身份认证规则和通信规则;
认证模块,用于根据所述身份信息,按照所述身份认证规则对所述目标对象的身份进行认证,得到目标认证结果;
第二确定模块,用于根据所述目标认证结果和所述身份信息,确定所述目标对象对所述桌面操作系统的访问权限;
控制模块,用于根据所述访问权限,按照所述通信规则控制所述桌面操作系统包括的应用程序接受所述目标对象的访问,或拒绝所述目标对象的访问。
9.一种桌面操作系统登录平台,其特征在于,包括:身份管理组件,统一认证组件,授权组件和审查日志组件,其中,
所述身份管理组件用于获取客户端的操作系统的目标版本信息,以及通过所述客户端登录桌面操作系统的目标对象的身份信息;
所述统一认证组件用于确定与所述目标版本信息对应的目标数据处理规则,并按照所述目标数据处理规则对所述身份信息进行认证;
所述授权组件用于校验所述目标对象的访问权限;
所述审查日志组件用于对所述目标对象操作桌面操作系统的日志进行审查。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至7中任意一项所述的访问控制方法。
11.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的访问控制方法。
CN202310806399.1A 2023-06-30 2023-06-30 访问控制方法、装置、桌面操作系统登录平台和处理器 Pending CN116756776A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310806399.1A CN116756776A (zh) 2023-06-30 2023-06-30 访问控制方法、装置、桌面操作系统登录平台和处理器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310806399.1A CN116756776A (zh) 2023-06-30 2023-06-30 访问控制方法、装置、桌面操作系统登录平台和处理器

Publications (1)

Publication Number Publication Date
CN116756776A true CN116756776A (zh) 2023-09-15

Family

ID=87949554

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310806399.1A Pending CN116756776A (zh) 2023-06-30 2023-06-30 访问控制方法、装置、桌面操作系统登录平台和处理器

Country Status (1)

Country Link
CN (1) CN116756776A (zh)

Similar Documents

Publication Publication Date Title
CN109361517B (zh) 一种基于云计算的虚拟化云密码机系统及其实现方法
US10326795B2 (en) Techniques to provide network security through just-in-time provisioned accounts
US20170289134A1 (en) Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database
CN111931144B (zh) 一种操作系统与业务应用统一安全登录认证方法及装置
CN111314340B (zh) 认证方法及认证平台
US9462068B2 (en) Cross-domain inactivity tracking for integrated web applications
CN111526111B (zh) 登录轻应用的控制方法、装置和设备及计算机存储介质
CN108632241B (zh) 一种多应用系统统一登录方法和装置
CN111447220B (zh) 认证信息管理方法、应用系统的服务端及计算机存储介质
CN110912929B (zh) 一种基于区域医疗的安全管控中台系统
US11570035B2 (en) Techniques for accessing logical networks via a virtualized gateway
CN108289074B (zh) 用户账号登录方法及装置
CN111737232A (zh) 数据库管理方法、系统、装置、设备及计算机存储介质
CN111966459A (zh) 一种虚拟云桌面系统
CN106295384B (zh) 一种大数据平台访问控制方法、装置和认证服务器
US20140007197A1 (en) Delegation within a computing environment
US20190222574A1 (en) Automating establishment of initial mutual trust during deployment of a virtual appliance in a managed virtual data center environment
US20190132304A1 (en) Loopback verification of multi-factor authentication
CN113271207A (zh) 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质
CN106529216B (zh) 一种基于公共存储平台的软件授权系统及软件授权方法
US20230179591A1 (en) Mechanism of common authentication for both supervisor and guest clusters
CN109802927A (zh) 一种安全服务提供方法及装置
CN116756776A (zh) 访问控制方法、装置、桌面操作系统登录平台和处理器
CN111107105B (zh) 一种身份认证系统及其身份认证方法
CN114065183A (zh) 一种权限控制方法、装置、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination