CN117216783A - 一种访问控制方法、装置、电子设备和存储介质 - Google Patents
一种访问控制方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN117216783A CN117216783A CN202311281727.7A CN202311281727A CN117216783A CN 117216783 A CN117216783 A CN 117216783A CN 202311281727 A CN202311281727 A CN 202311281727A CN 117216783 A CN117216783 A CN 117216783A
- Authority
- CN
- China
- Prior art keywords
- target user
- access
- resource
- request
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000008859 change Effects 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 9
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 7
- 238000013475 authorization Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 description 15
- 238000012550 audit Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000001276 controlling effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种访问控制方法、装置、电子设备和存储介质,涉及计算机技术领域。方法包括:获取目标用户通过终端发送的资源访问请求;其中,所述资源访问请求包括目标用户、请求上下文信息,请求访问的目标资源;对所述资源访问请求进行审计与合规检测;针对通过审计与合规检测的资源访问请求,根据获取到的所述目标用户的用户属性信息或请求上下文信息,动态调整所述目标用户的访问权限;根据所述目标用户调整后的访问权限,以及预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问。本发明方案可以根据用户的资源访问请求的具体内容,动态调整用户的访问权限,可以实现细粒度的访问控制,满足每个资源访问请求的具体需求。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种访问控制方法、装置、电子设备和存储介质。
背景技术
数据权限控制是软件系统中的常见功能,作为软件系统的一种安全控制机制,用于控制数据的显示或操作,以确保敏感数据的安全性和隐私性,防止未经授权的用户访问和操作数据。它可以帮助维护数据的完整性和准确性,提高数据的安全性,降低数据泄露的风险。
目前,大部分系统采用基于角色的访问控制模型来进行访问控制,而基于角色的访问控制模型需要维护大量的角色和授权关系,无法做到访问控制的细粒度控制与授权,因此亟需一种新的访问控制方法。
发明内容
本发明提供了一种访问控制方法、装置、电子设备和存储介质。
根据本发明的一方面,提供了一种访问控制方法,包括:
获取目标用户通过终端发送的资源访问请求;其中,所述资源访问请求包括目标用户、请求上下文信息,请求访问的目标资源;
对所述资源访问请求进行审计与合规检测;
针对通过审计与合规检测的资源访问请求,根据获取到的所述目标用户的用户属性信息或所述请求上下文信息,动态调整所述目标用户的访问权限;
根据所述目标用户调整后的访问权限,以及预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问。
根据本发明的另一方面,提供了一种访问控制装置,包括:
请求获取模块,用于获取目标用户通过终端发送的资源访问请求;其中,所述资源访问请求包括目标用户、请求上下文信息,请求访问的目标资源;
审计模块,用于对所述资源访问请求进行审计与合规检测;
权限调整模块,用于针对通过审计与合规检测的资源访问请求,根据获取到的所述目标用户的用户属性信息或所述请求上下文信息,动态调整所述目标用户的访问权限;
授权模块,用于根据所述目标用户调整后的访问权限,以及预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问。
根据本发明的另一方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任意实施例所述的访问控制方法。
根据本发明的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使计算机执行本发明任意实施例所述的访问控制方法。
根据本发明的技术,可以根据用户的资源访问请求的具体内容,动态调整用户的访问权限,可以实现细粒度的访问控制,满足每个资源访问请求的具体需求。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本发明的限定。其中:
图1是根据本发明实施例的一种访问控制方法的流程示意图;
图2是根据本发明实施例的另一种访问控制方法的流程示意图;
图3是根据本发明实施例的另一种访问控制方法的流程示意图;
图4是根据本发明实施例的一种访问控制装置的示意图;
图5是用来实现本发明实施例的访问控制方法的电子设备的框图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明实施例的一种访问控制方法的流程示意图。本实施例可适用于对用户资源访问请求进行控制的场景,典型的,适用于对企业的资源访问控制系统中用户访问请求进行控制的情况。该方法可由一种访问控制装置来执行,该装置采用软件和/或硬件的方式实现,优选是配置于电子设备中,例如配置在服务器设备中。
如图1所示,该方法具体包括如下:
S101、获取目标用户通过终端发送的资源访问请求。
本实施例中,目标用户示例性的可以是某一企业的任一员工,该企业配置有资源访问控制系统,企业员工通过该资源访问控制系统,访问企业内部资源;需要说明的是,资源访问控制系统可以是企业内部管理系统。而终端设备可以智能手机、平板等移动终端,也可以是电脑设备,在此不做具体限定。所述资源访问请求示例性的为http请求,该请求中包括目标用户、请求上下文信息,请求访问的目标资源;其中,目标用户可是用户的名称标识;请求上下文信息可以包括目标用户请求访问目标资源时的时间、地点、设备信息等。
S102、对所述资源访问请求进行审计与合规检测。
在通过步骤S101获取到资源访问请求后,需要对资源访问请求进行审计与合规检测,其中,审计是对资源访问请求进行记录、分析和验证的过程,以确定是否存在违规行为或潜在的安全风险。合规检测则是根据组织的政策和法规要求,对资源访问请求进行合规性检查,以防止不合规或非法的资源访问请求进入系统。如此通过审计与合规检测,可以确定资源请求是否合法。如果不合法,可以直接拦截;否则进行步骤S103-S104做进一步的授权验证。
在一种可选的实现方式中,对所述资源访问请求进行审计与合规检测,包括:记录所述资源访问请求的详细信息,例如通过记录审计日志的方式来记录资源访问请求所包括的目标用户、请求上下文信息,请求访问的目标资源;进一步的,对记录的所述资源访问请求进行分析,以确定异常行为和安全风险;例如,可以检测到未经授权的访问、越权访问、敏感数据泄露等异常行为;进而对分析出的异常行为进行验证,以确定是否存在真正的违规请求。进一步的,根据组织的政策和法规要求对所述资源访问请求进行合规性检查。需要说明的是,除了可以对资源访问请求进行合规检测,还可以基于预设的合规规则,对企业用户具备的访问权限进行合规检测。
本实施例中,针对审计日志,响应于用户触发的日志导致操作或者响应于定时导出审计日志的请求,可以将记录的审计日志转换为预设格式的内容并生成审计报告,以便审计人员进行分析和检查。
S103、针对通过审计与合规检测的资源访问请求,根据所述用户属性信息或请求上下文信息,动态调整所述目标用户的访问权限。
本实施例中,在资源访问访问控制系统中,可以预先根据目标用户的属性、目标用户在系统中的角色、目标用户的设备信息、IP地址等多维度信息,为用户分配相应的固有访问权限,由此实现细粒度的权限分配。后续可以根据目标用户的资源访问请求,动态调整目标用户固有的访问权限,例如限制部分访问权限,或者新增部分权限等,具体调整过程如下。
企业的资源访问控制系统预先配置有属性引擎,在接收到目标用户的资源访问请求后,属性引擎可以获取目标用户的用户属性信息,其中,用户属性信息可以包括目标用户在资源访问控制系统中的用户身份(例如用户名、用户ID、邮箱等)、角色(例如员工、管理员、访客等)、用户所属的组织/部门/团队等;除此之外,属性引擎还可以获取用户的访问历史,用户的设备信息、用户的位置信息(例如IP地址、地理位置)等信息。
在此基础上,针对通过审计与合规检测的资源访问请求,根据所述用户属性信息或请求上下文信息,动态调整所述目标用户的访问权限,可以包括如下步骤:确定所述目标用户的用户属性信息是否发生变化,若是,则根据变化后的用户属性信息调整目标用户的访问权限;例如,目标用户升职了,则为目标用户赋予新的访问权限;又或者,目标用户转岗,需要限制目标用户某一个或多个已有的访问权限;确定请求上下文信息是否发生变化,可以将请求上下文信息里历史访问时的上下文进行比较,以确定是否发生变化;例如目标用户前N次的访问是在A市进行的,当前的资源访问请求是在B市进行的,如此可以确定请求的上下文中的位置信息发生了变化;此时可以调整所述目标用户的访问权限,例如限制目标用户部分访问权限。
S104、根据所述目标用户调整后的访问权限,以及预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问。
本实施例中,通过步骤S103可以根据访问请求的具体情况,动态调整目标用户的访问权限,实现了对用户访问权限的细粒度的控制。在重新确定目标用户的访问权限后,可以结合预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问;其中,预设的资源访问策略中至少包括了访问目标资源所需的权限要求。需要说明的是,步骤S104的过程可以基于资源访问控制系统中配置的策略评估引擎实现。
本发明实施例中,可以根据用户的资源访问请求的具体内容,动态调整用户的访问权限,可以实现细粒度的访问控制,满足每个资源访问请求的具体需求。
图2是根据本发明实施例的另一种访问控制方法的流程示意图。如图2所示,该访问控制方法具体包括如下步骤:
S201、获取目标用户通过终端发送的资源访问请求。
其中,所述资源访问请求包括目标用户、请求上下文信息,请求访问的目标资源。
S202、对所述资源访问请求进行审计与合规检测。
可选的,记录所述资源访问请求的详细信息,并对记录的所述资源访问请求进行分析,以确定异常行为和安全风险;对所述资源访问请求进行合规性检查。
S203、针对通过审计与合规检测的资源访问请求,根据所述用户属性信息或请求上下文信息,动态调整所述目标用户的访问权限。
可选的,确定所述目标用户的用户属性信息或请求上下文信息是否发生变化;若是,则根据变化后的用户属性信息或请求上下文信息,调整所述目标用户的访问权限。
本实施例中,除了可以按照步骤S203实现目标用户的权限调整外,还可以通过确定是否存在由目标用户继承的权限,以便基于目标用户可继承的访问权限,对目标用户的访问权限进行更新调整。
S204、根据所述目标用户的用户属性信息,确定所述目标用户能够继承的访问权限;根据所述目标用户能够继承的访问权限,调整所述目标用户的访问权限。
本实施例中,可基于属性驱动的方式,确定是否存在目标用户可继承的访问权限。可选的,根据目标用户的用户属性信息,结合预设的属性继承策略,确定目标用户能够继承的访问权限。示例性的,如果目标用户所所属部门被赋予新的访问权限,那么属于该部门的目标用户可以继承这个新的访问权限;根据目标用户能够继承的访问权限,调整目标用户的访问权限,可选的,将目标用户可继承的访问权限直接赋予目标用户。
S205、根据预设的权限继承策略,判断是否存在需要由所述目标用户继承的访问权限;若存在,则根据需要由所述目标用户继承的访问权限,调整所述目标用户的访问权限。
本实施例中,除了基于属性驱动的方式确定目标用户可继承的访问权限外,还可以基于策略控制的权限继承。也即可以预先设定权限继承策略,在目标用户访问资源时,基于权限继承策略确定是否存在需要由目标用户继承的访问权限;其中,权限继承策略中规定了在特定条件下哪些访问权限可以继承给目标用户。若存在,则将需要由目标用户继承的访问权限,直接赋予目标用户。
S206、根据所述目标用户调整后的访问权限,以及预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问。
本实施例中,通过权限继承的方式,可以丰富目标用户的访问权限;且实现了动态权限的动态传播。
图3是根据本发明实施例的另一种访问控制方法的流程示意图。如图3所示,该方法具体包括如下:
S301、获取目标用户通过终端发送的资源访问请求。
其中,所述资源访问请求包括目标用户、请求上下文信息,请求访问的目标资源。
S302、对所述资源访问请求进行审计与合规检测。
可选的,记录所述资源访问请求的详细信息,并对记录的所述资源访问请求进行分析,以确定异常行为和安全风险;对所述资源访问请求进行合规性检查。
S303、针对通过审计与合规检测的资源访问请求,根据所述用户属性信息或请求上下文信息,动态调整所述目标用户的访问权限。
可选的,确定所述目标用户的用户属性信息或请求上下文信息是否发生变化;若是,则根据变化后的用户属性信息或请求上下文信息,调整所述目标用户的访问权限。
本实施例中,除了可以按照步骤S203实现目标用户的权限调整外,还可以通过确定是否存在由目标用户继承的权限,以便基于目标用户可继承的访问权限,对目标用户的访问权限进行更新调整。
S304、根据所述目标用户的用户属性信息,确定所述目标用户能够继承的访问权限;根据所述目标用户能够继承的访问权限,调整所述目标用户的访问权限。
S305、根据预设的权限继承策略,判断是否存在需要由所述目标用户继承的访问权限;若存在,则根据需要由所述目标用户继承的访问权限,调整所述目标用户的访问权限。
S306、记录所述目标用户对应的访问权限变更信息,以便审计人员查看。
本实施例中,在通过步骤S303-S305调整目标用户的访问权限后,还可以通过资源访问控制系统中专门的权限变更记录模块,对目标用户访问权限的变更情况进行记录,包括记录目标用户新增的访问权限或被限制的访问权限,甚至还可以记录目标用户的角色变更。如此后续审计人员可以根据变更记录进行查看,以了解目标用户的权限变更历史。
S307、根据所述目标用户调整后的访问权限,以及预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问。
S308、响应于所述目标用户触发的岗位调整事件或离职事件,按照预设的权限传播策略,将所述目标用户的访问权限传播给其他用户。
本实施例中,目标用户除了可以继承相应的访问权限外,还可以在特定条件下,将目标用户的权限传播给其他用户。示例性的,在目标用户转岗或离职后,可以按照预先设置的权限传播策略,将目标用户的权限传播给其他用户,例如某一员工离职后,该员工的权限可以传播给部门领导;其中,权限传播策略中规定了权限传播的条件、对象等信息。需要说明的是,按照权限传播策略传递权限,可以保证权限传播的安全性和合规性。
本实施例中,还设置了缓存机制,用于存储已经评估过的资源访问请求结果,避免重复评估。除此之外,由于很对企业会会设置众多部门,甚至开设多个子公司,针对这种场景,还可以通过赋予用户跨组织或跨域的访问权限,使得用户可以实现跨组织或跨域访问资源。
图4是根据本发明实施例的访问控制装置的结构示意图,本实施例可适用于对用户资源访问请求进行控制的场景。如图4所示,该装置400具体包括:
请求获取模块401,用于获取目标用户通过终端发送的资源访问请求;其中,所述资源访问请求包括目标用户、请求上下文信息,请求访问的目标资源;
审计模块402,用于对所述资源访问请求进行审计与合规检测;
权限调整模块403,用于针对通过审计与合规检测的资源访问请求,根据获取到的所述目标用户的用户属性信息或所述请求上下文信息,动态调整所述目标用户的访问权限;
授权模块404,用于根据所述目标用户调整后的访问权限,以及预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问。
在上述实施例的基础上,可选的,权限调整模块包括:
变化确定单元,用于确定所述目标用户的用户属性信息或请求上下文信息是否发生变化;
第一调整单元,用于若是,则根据变化后的用户属性信息或请求上下文信息,调整所述目标用户的访问权限。
在上述实施例的基础上,可选的,权限调整模块包括:
第一继承判断单元,用于根据所述目标用户的用户属性信息,确定所述目标用户能够继承的访问权限;
第二调整单元,用于根据所述目标用户能够继承的访问权限,调整所述目标用户的访问权限。
在上述实施例的基础上,可选的,还包括继承调整模块,用于:
根据预设的权限继承策略,判断是否存在需要由所述目标用户继承的访问权限;若存在,则根据需要由所述目标用户继承的访问权限,调整所述目标用户的访问权限。
在上述实施例的基础上,可选的,还包括:
权限传播模块,用于响应于所述目标用户触发的岗位调整事件或离职事件,按照预设的权限传播策略,将所述目标用户的访问权限传播给其他用户。
在上述实施例的基础上,可选的,还包括:
权限变更记录模块,用于记录所述目标用户对应的访问权限变更信息,以便审计人员查看。
在上述实施例的基础上,可选的,审计模块用于:
记录所述资源访问请求的详细信息,并对记录的所述资源访问请求进行分析,以确定异常行为和安全风险;
对所述资源访问请求进行合规性检查。
上述产品可执行本发明任意实施例所提供的方法,具备执行方法相应的功能模块和有益效果。
本发明的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和发明等处理,均符合相关法律法规的规定,且不违背公序良俗。
根据本发明的实施例,本发明还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图5示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如执行访问控制方法。
在一些实施例中,访问控制方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM13并由处理器11执行时,可以执行上文描述的访问控制方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行访问控制方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程访问控制装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
Claims (10)
1.一种访问控制方法,其特征在于,包括:
获取目标用户通过终端发送的资源访问请求;其中,所述资源访问请求包括目标用户、请求上下文信息,请求访问的目标资源;
对所述资源访问请求进行审计与合规检测;
针对通过审计与合规检测的资源访问请求,根据获取到的所述目标用户的用户属性信息或所述请求上下文信息,动态调整所述目标用户的访问权限;
根据所述目标用户调整后的访问权限,以及预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问。
2.根据权利要求1所述的方法,其特征在于,根据获取到的所述目标用户的用户属性信息或请求上下文信息,动态调整所述目标用户的访问权限,包括:
确定所述目标用户的用户属性信息或请求上下文信息是否发生变化;
若是,则根据变化后的用户属性信息或请求上下文信息,调整所述目标用户的访问权限。
3.根据权利要求1或2所述的方法,其特征在于,根据获取到的所述目标用户的用户属性信息,动态调整所述目标用户的访问权限,还包括:
根据所述目标用户的用户属性信息,确定所述目标用户能够继承的访问权限;
根据所述目标用户能够继承的访问权限,调整所述目标用户的访问权限。
4.根据权利要求3所述的方法,其特征在于,还包括:
根据预设的权限继承策略,判断是否存在需要由所述目标用户继承的访问权限;若存在,则根据需要由所述目标用户继承的访问权限,调整所述目标用户的访问权限。
5.根据权利要求1所述的方法,其特征在于,还包括:
响应于所述目标用户关联的岗位调整事件或离职事件,按照预设的权限传播策略,将所述目标用户的访问权限传播给其他用户。
6.根据权利要求1所述的方法,其特征在于,还包括:
记录所述目标用户对应的访问权限变更信息,以便审计人员查看。
7.根据权利要求1所述的方法,其特征在于,对所述资源访问请求进行审计与合规检测,包括:
记录所述资源访问请求的详细信息,并对记录的所述资源访问请求进行分析,以确定异常行为和安全风险;
对所述资源访问请求进行合规性检查。
8.一种访问控制装置,其特征在于,包括:
请求获取模块,用于获取目标用户通过终端发送的资源访问请求;其中,所述资源访问请求包括目标用户、请求上下文信息,请求访问的目标资源;
审计模块,用于对所述资源访问请求进行审计与合规检测;
权限调整模块,用于针对通过审计与合规检测的资源访问请求,根据获取到的所述目标用户的用户属性信息或所述请求上下文信息,动态调整所述目标用户的访问权限;
授权模块,用于根据所述目标用户调整后的访问权限,以及预设的资源访问策略,确定是否授权所述目标用户对所述目标资源进行访问。
9.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的访问控制方法。
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行根据权利要求1-7中任一项所述的访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311281727.7A CN117216783A (zh) | 2023-10-07 | 2023-10-07 | 一种访问控制方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311281727.7A CN117216783A (zh) | 2023-10-07 | 2023-10-07 | 一种访问控制方法、装置、电子设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117216783A true CN117216783A (zh) | 2023-12-12 |
Family
ID=89051024
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311281727.7A Pending CN117216783A (zh) | 2023-10-07 | 2023-10-07 | 一种访问控制方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117216783A (zh) |
-
2023
- 2023-10-07 CN CN202311281727.7A patent/CN117216783A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111416811B (zh) | 越权漏洞检测方法、系统、设备及存储介质 | |
US9282114B1 (en) | Generation of alerts in an event management system based upon risk | |
US9747581B2 (en) | Context-dependent transactional management for separation of duties | |
EP2866411A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
US11188667B2 (en) | Monitoring and preventing unauthorized data access | |
CN107819743B (zh) | 资源访问控制方法及终端设备 | |
CN110069911B (zh) | 访问控制方法、装置、系统、电子设备和可读存储介质 | |
US20210266743A1 (en) | Optimizing Authentication and Management of Wireless Devices in Zero Trust Computing Environments | |
CN105827645B (zh) | 一种用于访问控制的方法、设备与系统 | |
US10192262B2 (en) | System for periodically updating backings for resource requests | |
US20230155817A1 (en) | Managing secret values using a secrets manager | |
CN115204733A (zh) | 数据审计方法、装置、电子设备及存储介质 | |
CN111030997A (zh) | 内外网流量监控及过滤方法、装置、电子设备及存储介质 | |
CN112769739A (zh) | 数据库操作违规处理方法、装置及设备 | |
CN117216783A (zh) | 一种访问控制方法、装置、电子设备和存储介质 | |
CN114285664A (zh) | 异常用户识别方法、系统、设备及介质 | |
CN112464176A (zh) | 一种权限管理方法、装置、电子设备及存储介质 | |
US20220368712A1 (en) | Anomalous and suspicious role assignment determinations | |
CN114006758B (zh) | 一种设备标识的管理方法、装置及存储介质 | |
RU2799117C1 (ru) | Способ и система предотвращения получения несанкционированного доступа к объектам корпоративной сети | |
CN117195297B (zh) | 基于erp的数据安全与隐私保护系统及方法 | |
Rein et al. | Threat model of the testing subsystem for rare mobile device owners | |
CN117668788A (zh) | 访问控制方法、装置、电子设备和存储介质 | |
CN117675374A (zh) | 资源安全防护方法、装置、设备及存储介质 | |
CN115473732A (zh) | 一种Web应用账号的共享方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |