CN117494173B - 一种控制策略的管理方法、系统、设备及介质 - Google Patents

一种控制策略的管理方法、系统、设备及介质 Download PDF

Info

Publication number
CN117494173B
CN117494173B CN202311827334.1A CN202311827334A CN117494173B CN 117494173 B CN117494173 B CN 117494173B CN 202311827334 A CN202311827334 A CN 202311827334A CN 117494173 B CN117494173 B CN 117494173B
Authority
CN
China
Prior art keywords
control strategy
target
control
directory
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311827334.1A
Other languages
English (en)
Other versions
CN117494173A (zh
Inventor
沈忠立
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Metabrain Intelligent Technology Co Ltd
Original Assignee
Suzhou Metabrain Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Metabrain Intelligent Technology Co Ltd filed Critical Suzhou Metabrain Intelligent Technology Co Ltd
Priority to CN202311827334.1A priority Critical patent/CN117494173B/zh
Publication of CN117494173A publication Critical patent/CN117494173A/zh
Application granted granted Critical
Publication of CN117494173B publication Critical patent/CN117494173B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

本发明涉及数据处理领域,公开了一种控制策略的管理方法、系统、设备及介质。包括:若捕获到钩子事件,获取其对应的主体目录、客体目录和客体类型;将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合,判断客体目录是否为根目录;若存在与目标关键字匹配的第二控制策略集合且客体目录为根目录,获取第二控制策略集合的更新时间,根据更新时间将第二控制策略集合保存至权限集合并在权限集合中获取满足第一优先级的目标第二控制策略集合,获取目标第二控制策略集合中与主体目录匹配的目标权限,控制主体执行目标权限访问客体。本发明提升了管理及匹配控制策略的效率。

Description

一种控制策略的管理方法、系统、设备及介质
技术领域
本发明涉及数据处理领域,尤其涉及一种控制策略的管理方法、系统、设备及介质。
背景技术
eBPF(extended Berkeley Packet Filter,在内核运行沙箱程序的技术)技术毫无疑问是当下最火的技术之一。2014年,eBPF首次出现在Linux(开源电脑操作系统内核)内核中,经过社区不断迭代,目前eBPF在技术上已经十分成熟,并在故障诊断、网络优化、安全控制和性能监控等领域获得大量应用,项目数量呈爆炸式增涨。eBPF虽然强大,但不是万能的,与开发普通的应用程序相比,它存在着很多的限制,往往会给开发者带来一定的不便。比如,eBPF 指令集有限,这意味着它没有办法去完成某些复杂的任务,如复杂的字符串处理和循环等。且eBPF 栈空间大小有限,只有512字节,eBPF能够调用的函数也比较有限,只能调用内核提供的 helper(辅助函数)函数,无法像开发其它应用程序一样任意地调用三方库,给应用开发工作上带来了不便。
因此,亟需提出一种控制策略的管理方法以解决相关技术中存在的缺陷。
发明内容
有鉴于此,本发明提出了一种控制策略的管理方法、系统、设备及介质。
基于上述目的,本发明实施例的一方面提供了一种控制策略的管理方法,应用于eBPF程序,具体包括如下步骤:
响应于捕获到钩子事件,获取所述钩子事件对应的主体目录、客体目录和客体类型;
将所述客体目录和客体类型作为目标关键字,在所述主体目录对应的第一控制策略集合中查询是否存在与所述目标关键字匹配的第二控制策略集合,并判断所述客体目录是否为根目录;
响应于存在与所述目标关键字匹配的第二控制策略集合且所述客体目录为根目录,获取所述第二控制策略集合的更新时间,根据所述更新时间将所述第二控制策略集合保存至权限集合;
根据所述更新时间在所述权限集合中获取满足第一优先级的目标第二控制策略集合,将所述目标第二控制策略集合中与所述主体目录匹配的权限作为目标权限,控制所述主体目录对应的主体执行所述目标权限访问所述客体目录对应的客体。
在一些实施方式中, 所述的控制策略的管理方法还包括:
响应于存在与所述目标关键字匹配的第二控制策略集合且所述客体目录不为根目录,获取所述第二控制策略集合的更新时间,根据所述更新时间将所述第二控制策略集合保存至权限集合;
将所述客体目录的父目录作为新的所述客体目录,返回将所述客体目录和客体类型作为目标关键字,在所述主体目录对应的第一控制策略集合中查询是否存在与所述目标关键字匹配的第二控制策略集合,并判断所述客体目录是否为根目录的步骤。
在一些实施方式中, 所述的控制策略的管理方法还包括:响应于接收到策略文件,对所述策略文件预处理并保存至内存;
响应于所述eBPF程序重新启动,重新获取所述内存中预处理后的所述策略文件以更新所述第一控制策略集合和所述第二控制策略集合。
在一些实施方式中,所述更新所述第一控制策略集合和所述第二控制策略集合的步骤,包括:
将重新获取的预处理后的所述策略文件与所述内存中已存储的预处理后的所述策略文件进行比对,根据比对结果调整所述第一控制策略集合和所述第二控制策略集合中的控制策略。
在一些实施方式中,所述根据比对结果调整所述第一控制策略集合和所述第二控制策略集合中的控制策略的步骤,包括:
若比对结果为存在重复的控制策略,根据各所述策略文件的创建时间在重新获取的预处理后的所述策略文件和重复的所述策略文件中确定第一目标策略文件,将所述第一目标策略文件中的第一主体目录、第一客体目录和第一权限分别更新至所述第一控制策略集合和所述第二控制策略集合相应字段中。
在一些实施方式中,所述的控制策略的管理方法还包括:
若比对结果为存在冲突,根据各所述策略文件的创建时间在重新获取的预处理后的所述策略文件和冲突的所述策略文件中确定第二目标策略文件,将所述第二目标策略文件中的第二主体目录、第二客体目录和第二权限分别更新至所述第一控制策略集合和所述第二控制策略集合相应字段中。
在一些实施方式中,所述的控制策略的管理方法还包括:若比对结果为不存在重复且不存在冲突,将重新获取的预处理后的所述策略文件中的第三主体目录、第三客体目录和第三权限分别更新至所述第一控制策略集合和所述第二控制策略集合相应字段中。
在一些实施方式中,所述的控制策略的管理方法还包括:
响应于不存在与所述目标关键字匹配的第二控制策略集合且所述客体目录不为根目录,将所述客体目录的父目录作为新的所述客体目录,并返回将所述客体目录和客体类型作为目标关键字,在所述主体目录对应的第一控制策略集合中查询是否存在与所述目标关键字匹配的第二控制策略集合的步骤。
在一些实施方式中,所述根据所述更新时间将所述第二控制策略集合保存至权限集合的步骤,包括:
将所述第二控制策略集合的所述更新时间与所述权限集合中已保存的其他所述第二控制策略集合的所述更新时间进行比较,以将所述权限集合中所有所述第二控制策略集合按照更新时间顺序排序存储。
在一些实施方式中,所述根据所述更新时间在所述权限集合中获取满足第一优先级的目标第二控制策略集合的步骤,包括:
将所述权限集合中所述更新时间与当前时间的时间差最短的第二控制策略集合作为满足所述第一优先级的目标第二控制策略集合。
在一些实施方式中,所述将所述权限集合中所述更新时间与当前时间的时间差最短的第二控制策略集合作为满足所述第一优先级的目标第二控制策略集合的步骤,包括:
将所述权限集合中所有所述第二控制策略集合按照更新时间顺序排序存储,将所述权限集合中排序末位的第二控制策略集合作为所述目标第二控制策略集合。
在一些实施方式中,所述的控制策略的管理方法还包括:
将所述权限集合中所述更新时间与当前时间的时间差最长的第二控制策略集合作为满足所述第一优先级的目标第二控制策略集合。
在一些实施方式中,所述将所述权限集合中所述更新时间与当前时间的时间差最长的第二控制策略集合作为满足所述第一优先级的目标第二控制策略集合的步骤,包括:
将所述权限集合中所有所述第二控制策略集合按照更新时间顺序排序存储,将所述权限集合中排序首位的第二控制策略集合作为所述目标第二控制策略集合。
在一些实施方式中, 所述的控制策略的管理方法还包括:
响应于不存在与所述目标关键字匹配的第二控制策略集合且所述客体目录为根目录,确定所述主体目录对应的主体没有权限访问所述客体目录对应的客体。
在一些实施方式中,所述第一控制策略集合包括一一对应第一关键字字段和第一值字段,所述第一关键字字段包括若干由客体目录和客体类型组合的关键字,所述第一值字段包括若干指向各所述第二控制策略集合的指针。
在一些实施方式中,所述第二控制策略集合包括一一对应第二关键字字段和第二值字段,所述第二关键字字段包括由若干主体目录构成的关键字,所述第二值字段包括若干权限。
在一些实施方式中,所述策略文件的文件格式包括YAML文件格式。
本发明实施例的另一方面,还提供了一种控制策略的管理系统,所述的控制策略的管理系统包括:
获取单元,用于响应于捕获到钩子事件,获取所述钩子事件对应的主体目录、客体目录和客体类型;
查询单元,用于将所述客体目录和客体类型作为目标关键字,在所述主体目录对应的第一控制策略集合中查询是否存在与所述目标关键字匹配的第二控制策略集合,并判断所述客体目录是否为根目录;
存储单元,用于响应于存在与所述目标关键字匹配的第二控制策略集合且所述客体目录为根目录,获取所述第二控制策略集合的更新时间,根据所述更新时间将所述第二控制策略集合保存至权限集合;
控制单元,用于根据所述更新时间在所述权限集合中获取满足第一优先级的目标第二控制策略集合,将所述目标第二控制策略集合中与所述主体目录匹配的权限作为目标权限,控制所述主体目录对应的主体执行所述目标权限访问所述客体目录对应的客体。
本发明实施例的又一方面,还提供了一种计算机设备,包括:至少一个处理器;以及存储器,所述存储器存储有可在所述处理器上运行的计算机程序,所述计算机程序由所述处理器执行时实现如上方法的步骤。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
本发明至少具有以下有益技术效果:本发明提供的控制策略的管理方法,通过采用map-in-map(集合嵌套)方式设计用于存储控制策略的各集合,即将第一控制策略集合和第二控制策略集合通过嵌套的方式分别存储各主体和各客体各自对应的多条控制策略,便于在捕获到钩子事件时快速根据主体目录和客体目录查询到客体各层级目录中能够使用的控制策略,并引入更新时间作为优先级判断的标准,通过对比客体各层级目录中控制策略的优先级快速确定最终匹配的目标权限,减少了大量检索次数,使得主体能够快速执行目标权限后对客体进行授权访问,避免了在内核中大量复杂的字符串比较,为应用产品在访问控制模型中提供一种有效的控制策略存储和匹配的方法,提高了管理及匹配控制策略的效率。
此外,本发明还提供了一种控制策略的管理系统、一种计算机设备和一种计算机可读存储介质,同样能实现上述技术效果,这里不再赘述。
本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明提供的控制策略的管理方法的一实施例的框图;
图2为本发明提供的第一控制策略集合和第二控制策略集合间关系的一实施例的示意图;
图3为本发明提供的权限存储结构的一实施例的示意图;
图4为本发明提供的构造第一控制策略集合和第二控制策略集合的一实施例的流程示意图;
图5为本发明提供的控制策略的管理方法的一实施例的流程示意图;
图6为本发明提供的控制策略的管理系统的一实施例的示意图;
图7为本发明提供的计算机设备的一实施例的结构示意图;
图8为本发明提供的计算机可读存储介质的一实施例的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了一种控制策略的管理方法的实施例。控制策略的管理方法应用于eBPF程序,如图1所示,其包括如下步骤:
步骤S100,响应于捕获到钩子事件,获取钩子事件对应的主体目录、客体目录和客体类型。
在一些实施方式中,eBPF技术是一中能够在内核运行沙箱程序的技术,提供了一种在内核事件和用户程序事件发生时安全注入代码的机制,使得非内核开发人员也可以对内核进行控制。eBPF程序是指能够在操作系统内核中执行的沙盒程序,分为用户态和内核态部分。其中,用户态部分负责将eBPF程序加载到内核中,能够传入任何配置参数,并以用户友好的方式向用户空间显示eBPF程序收集的信息。内核态部分主要负责在内核中执行特定事件,如需要也会将执行的结果发送至用户空间。访问控制模型是一种从访问控制的角度出发描述安全系统并建立安全模型的方法,而其中访问控制是指主体依据某些控制策略或者权限对客体本身或是客体内资源进行的不同授权访问,过程中涉及的三个关键要素为主体、客体和控制策略。
在一些实施方式中,本发明的客体类型包括文件类型和目录类型。
步骤S200,将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合,并判断客体目录是否为根目录。
在一些实施方式中,图2为本发明提供的第一控制策略集合和第二控制策略集合间关系的一实施例的示意图。eBPF map(一种数据结构)是内核态和用户态沟通的桥梁,本质上是以键值方式存储在内核中的数据结构。本申请中采用map-in-map设计用于存储主体、客体和控制策略信息的eBPF map,eBPF map包括第一控制策略集合和第二控制策略集合。将第一控制策略集合设计为map-in-map中的外层集合(Outer Map),将第二控制策略集合设计为map-in-map中的内层集合(Inner Map),其中,第一控制策略集合为BPF_MAP_TYPE_HASH_OF_MAPS(一种map类型)类型,第二控制策略集合为BPF_MAP_TYPE_HASH(一种map类型)类型。如图2所示,第一控制策略集合(Outer Map)中的Key(键)包括客体(object)和客体类型(type),第一控制策略集合中的Value(值)包括直向某一个第二控制策略集合(Inner Map)的指针。第二控制策略集合(Inner Map)中的Key包括主体(subject),第二控制策略集合中的Value包括权限(mode),其中每个第二控制策略集合中还包括latest_update字段用以标识该客体列表最新的更新时间,图2中timestamp为更新时间。图3为本发明提供的权限存储结构的一实施例的示意图。权限采用按比特位设计的方式设置,有利于减少对内核有限空间的占用,图3中Deny为主体禁用客体的权限,Directory为主体查询客体中目录的权限,Read为主体对客体的可读权限,Write为主体对客体的可写权限,Exec为主体对客体的可执行存储的权限,Reserve为权限存储结构中预分配的存储空间。
在一些实施方式中,主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配,即查询客体是否针对主体配置了控制策略。
步骤S300,响应于存在与目标关键字匹配的第二控制策略集合且客体目录为根目录,获取第二控制策略集合的更新时间,根据更新时间将第二控制策略集合保存至权限集合。
在一些实施方式中,因为在eBPF map引入了时间戳(即更新时间)作为优先级判断的关键元素,通过更新时间的时间大小确定权限优先级,即可以将最新的更新时间对应的控制策略作为第一优先级的控制策略,则第一优先级控制策略对应的权限为第一优先级权限,然后按照时间由大到小的顺序依次判断各权限优先级。或者将距离当前时间最远的更新时间对应的控制策略作为第一优先级的控制策略,则将第一优先级控制策略对应的权限为第一优先级权限,然后按照时间由小到大的顺序依次判断各权限优先级。因为哈希表相较于普通的数组或者链表不同,哈希表中数据属于乱序插入,无法采用先入先匹配或者后入先匹配的方式来确定权限优先级,通过引入时间戳作为优先级判断标准,避免了对各控制策略进行大量检索的次数,实现快速确定最终匹配的目标权限的目的。
步骤S400,根据更新时间在权限集合中获取满足第一优先级的目标第二控制策略集合,将目标第二控制策略集合中与主体目录匹配的权限作为目标权限,控制主体目录对应的主体执行目标权限访问客体目录对应的客体。
本发明提供的控制策略的管理方法,通过采用map-in-map方式设计用于存储控制策略的各集合,即将第一控制策略集合和第二控制策略集合提供嵌套的方式分别存储各主体和各客体各自对应的多条控制策略,便于在捕获到钩子事件时快速根据主体目录和客体目录查询到客体各层级目录中能够使用的控制策略,并引入更新时间作为优先级判断的标准,通过对比客体各层级目录中控制策略的优先级快速确定最终匹配的目标权限,减少了大量检索次数,使得主体能够快速执行目标权限后对客体进行授权访问,避免了在内核中大量复杂的字符串比较,为应用产品在访问控制模型中提供一种有效的控制策略存储和匹配的方法,提高了管理及匹配控制策略的效率。
在一些实施方式中,本申请的控制策略的管理方法还包括:响应于存在与目标关键字匹配的第二控制策略集合且客体目录不为根目录,获取第二控制策略集合的更新时间,根据更新时间将第二控制策略集合保存至权限集合;将客体目录的父目录作为新的客体目录,返回将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合,并判断客体目录是否为根目录的步骤。
在一些实施方式中,本申请的控制策略的管理方法还包括:响应于不存在与目标关键字匹配的第二控制策略集合且客体目录不为根目录,将客体目录的父目录作为新的客体目录,并返回将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合的步骤。
在一些实施方式中,本申请的控制策略的管理方法还包括:响应于不存在与目标关键字匹配的第二控制策略集合且客体目录为根目录,确定主体目录对应的主体没有权限访问客体目录对应的客体。
在一些实施方式中,根据更新时间将第二控制策略集合保存至权限集合的步骤,包括:将第二控制策略集合的更新时间与权限集合中已保存的其他第二控制策略集合的更新时间进行比较,以将权限集合中所有第二控制策略集合按照更新时间顺序排序存储。
在一些实施方式中,根据更新时间在权限集合中获取满足第一优先级的目标第二控制策略集合的步骤,包括:将权限集合中更新时间与当前时间的时间差最短的第二控制策略集合作为满足第一优先级的目标第二控制策略集合。
在一些实施方式中,将权限集合中更新时间与当前时间的时间差最短的第二控制策略集合作为满足第一优先级的目标第二控制策略集合的步骤,包括:将权限集合中所有第二控制策略集合按照更新时间顺序排序存储,将权限集合中排序末位的第二控制策略集合作为更新时间与当前时间的时间差最短的第二控制策略集合,并将排序末位的第二控制策略集合作为目标第二控制策略集合。
在一些实施方式中,本申请的控制策略的管理方法还包括:将权限集合中更新时间与当前时间的时间差最长的第二控制策略集合作为满足第一优先级的目标第二控制策略集合。
在一些实施方式中,将权限集合中更新时间与当前时间的时间差最长的第二控制策略集合作为满足第一优先级的目标第二控制策略集合的步骤,包括:将权限集合中所有第二控制策略集合按照更新时间顺序排序存储,将权限集合中排序首位的第二控制策略集合作为更新时间与当前时间的时间差最长的第二控制策略集合,并将排序首位的第二控制策略集合作为目标第二控制策略集合。
本发明提供的控制策略的管理方法,通过采用Map精确检索匹配控制策略的方式,通过对比客体各层级目录权限的优先级确定主体与客体间最终权限,大大减少了检索Map次数,并且采用Map检索和存储避免了在内核态做复杂的字符串比较。
在一些实施方式中,本申请的控制策略的管理方法还包括:响应于接收到策略文件,对策略文件预处理并保存至内存;响应于eBPF程序重新启动,重新获取内存中预处理后的策略文件以更新第一控制策略集合和第二控制策略集合。
在一些实施方式中,更新第一控制策略集合和第二控制策略集合的步骤,包括:将重新获取的预处理后的策略文件与内存中已存储的预处理后的策略文件进行比对,根据比对结果调整第一控制策略集合和第二控制策略集合中的控制策略。
在一些实施方式中,根据比对结果调整第一控制策略集合和第二控制策略集合中的控制策略的步骤,包括:若比对结果为存在重复的控制策略,根据各策略文件的创建时间在重新获取的预处理后的策略文件和重复的策略文件中确定第一目标策略文件,将第一目标策略文件中的第一主体目录、第一客体目录和第一权限分别更新至第一控制策略集合和第二控制策略集合相应字段中。
在一些实施方式中,本申请的控制策略的管理方法还包括:若比对结果为存在冲突,根据各策略文件的创建时间在重新获取的预处理后的策略文件和冲突的策略文件中确定第二目标策略文件,将第二目标策略文件中的第二主体目录、第二客体目录和第二权限分别更新至第一控制策略集合和第二控制策略集合相应字段中。
在一些实施方式中,本申请的控制策略的管理方法还包括:若比对结果为不存在重复且不存在冲突,将重新获取的预处理后的策略文件中的第三主体目录、第三客体目录和第三权限分别更新至第一控制策略集合和第二控制策略集合相应字段中。
在一些实施方式中,策略文件的文件格式包括YAML(一种表达数据序列化的格式)文件格式。
在一些实施方式中,图4为本发明提供的构造第一控制策略集合和第二控制策略集合的一实施例的流程示意图。控制策略以YAML文件的方式导入或者提供网络数据接收的方式导入,在eBPF应用接收到控制策略后将各控制策略中的规矩进行整合,例如删除无效的规则等,将整合后的控制策略写入eBPF Map中。
在一些实施方式中,以控制策略通过YAML文件的方式导入为例,对构造eBPF Map以得到第一控制策略集合和第二控制策略集合的过程进行说明:
1.从x.YAML文件读取控制策略后,首先会将YAML文件所有控制策略内容转化为Json格式,并将转化后的Json格式的控制策略另存为x.json文件中,同时将每条规则按照key-value的方式保存至CacheMap(内存)中,CacheMap可视为eBPF Map的影子,CacheMap与eBPF Map内容一致。其中,CacheMap的Key为object和subject,value为mode。
2.eBPF应用每次重启会重新加载x.json文件,用以更新eBPF Map中第一控制策略集合和第二控制策略集合存储对应存储的控制策略。
3.每次收到新的规则时,会将新的规则与CacheMap中的规则做比对,根据比对结果对eBPF Map内容进行增删改。
在一些实施方式中,x.json文件存在的意义在于YAML规则文件有可能为多个,可能会存在x=a和x=b的重复情况,并且不同x.json其中规则会有冲突,所以根据文件创建时间决定哪个json文件内的控制策略生效,其生效优先级与eBPF Map中的timestamp优先级标准保持一致。
本发明提供的控制策略的管理方法,通过YAML文件的增删改触发规则整合,规则整合的目的是将主体和客体都相同但权限不同的规则根据优先级进行覆盖生成一条规则,同时将新增或者删除的规则在内存里做统一处理,然后将处理后的规则一并更新至Map中,避免了控制策略重复存储的问题。
在一些实施方式中,第一控制策略集合包括一一对应第一关键字字段和第一值字段,第一关键字字段包括若干由客体目录和客体类型组合的关键字,第一值字段包括若干指向各第二控制策略集合的指针。
在一些实施方式中,第二控制策略集合包括一一对应第二关键字字段和第二值字段,第二关键字字段包括由若干主体目录构成的关键字,第二值字段包括若干权限。
图5为本发明提供的控制策略的管理方法的一实施例的流程示意图。以图5为例,对控制策略的管理方法的处理流程进行说明:当内核捕获到hook(钩子)事件后,首先检索当前客体是否配置控制策略,然后检索客体所在的各级目录是否配置控制策略,例如当前客体目录为/root/1.txt,客体类型为文件类型,首先检索客体目录/root/1.txt中是否配置了控制策略,再检索其父目录/root是否配置了控制策略。然后将各级目录及当前客体检索出的Inner Maps以timestamp为依据选择出优先级最高的Inner Map,最后通过在InnerMap获取主体目录匹配的控制策略确定最后的执行权限。图5中current_path为用于在Outer Map进行匹配的客体目录,path_o为钩子事件中获取的初始客体目录,path_s为钩子事件中获取的主体目录,type_i为钩子事件中获取的客体类型,type_i=dir表示客体类型为目录类型。
在一些实施例中,请参照图6所示,本发明还提供了一种控制策略的管理系统,本申请的控制策略的管理系统包括:
获取单元110,用于响应于捕获到钩子事件,获取钩子事件对应的主体目录、客体目录和客体类型;
查询单元120,用于将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合,并判断客体目录是否为根目录;
存储单元130,用于响应于存在与目标关键字匹配的第二控制策略集合且客体目录为根目录,获取第二控制策略集合的更新时间,根据更新时间将第二控制策略集合保存至权限集合;
控制单元140,用于根据更新时间在权限集合中获取满足第一优先级的目标第二控制策略集合,将目标第二控制策略集合中与主体目录匹配的权限作为目标权限,控制主体目录对应的主体执行目标权限访问客体目录对应的客体。
在一些实施例中,本申请的控制策略的管理系统还包括:
返回单元,用于响应于存在与目标关键字匹配的第二控制策略集合且客体目录不为根目录,获取第二控制策略集合的更新时间,根据更新时间将第二控制策略集合保存至权限集合;将客体目录的父目录作为新的客体目录,返回将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合,并判断客体目录是否为根目录的步骤。
在一些实施例中,本申请的控制策略的管理系统还包括:预处理单元,用于响应于接收到策略文件,对策略文件预处理并保存至内存;更新单元,用于响应于eBPF程序重新启动,重新获取内存中预处理后的策略文件以更新第一控制策略集合和第二控制策略集合。
在一些实施例中,更新单元进一步用于:将重新获取的预处理后的策略文件与内存中已存储的预处理后的策略文件进行比对,根据比对结果调整第一控制策略集合和第二控制策略集合中的控制策略。
在一些实施例中,更新单元进一步用于:若比对结果为存在重复的控制策略,根据各策略文件的创建时间在重新获取的预处理后的策略文件和重复的策略文件中确定第一目标策略文件,将第一目标策略文件中的第一主体目录、第一客体目录和第一权限分别更新至第一控制策略集合和第二控制策略集合相应字段中。
在一些实施例中,更新单元进一步用于:若比对结果为存在冲突,根据各策略文件的创建时间在重新获取的预处理后的策略文件和冲突的策略文件中确定第二目标策略文件,将第二目标策略文件中的第二主体目录、第二客体目录和第二权限分别更新至第一控制策略集合和第二控制策略集合相应字段中。
在一些实施例中,更新单元进一步用于:若比对结果为不存在重复且不存在冲突,将重新获取的预处理后的策略文件中的第三主体目录、第三客体目录和第三权限分别更新至第一控制策略集合和第二控制策略集合相应字段中。
在一些实施例中,返回单元还用于:响应于不存在与目标关键字匹配的第二控制策略集合且客体目录不为根目录,将客体目录的父目录作为新的客体目录,并返回将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合的步骤。
在一些实施例中,存储单元进一步用于:将第二控制策略集合的更新时间与权限集合中已保存的其他第二控制策略集合的更新时间进行比较,以将权限集合中所有第二控制策略集合按照更新时间顺序排序存储。
在一些实施例中,控制单元进一步用于:将权限集合中更新时间与当前时间的时间差最短的第二控制策略集合作为满足第一优先级的目标第二控制策略集合。
在一些实施例中,控制单元进一步用于:将权限集合中所有第二控制策略集合按照更新时间顺序排序存储,将权限集合中排序末位的第二控制策略集合作为更新时间与当前时间的时间差最短的第二控制策略集合,并将排序末位的第二控制策略集合作为目标第二控制策略集合。
在一些实施例中,控制单元进一步用于:将权限集合中更新时间与当前时间的时间差最长的第二控制策略集合作为满足第一优先级的目标第二控制策略集合。
在一些实施例中,控制单元进一步用于:将权限集合中所有第二控制策略集合按照更新时间顺序排序存储,将权限集合中排序首位的第二控制策略集合作为更新时间与当前时间的时间差最长的第二控制策略集合,并将排序首位的第二控制策略集合作为目标第二控制策略集合。
在一些实施例中,控制单元进一步用于:响应于不存在与目标关键字匹配的第二控制策略集合且客体目录为根目录,确定主体目录对应的主体没有权限访问客体目录对应的客体。
本发明提供的控制策略的管理系统,通过采用map-in-map方式设计用于存储控制策略的各集合,即将第一控制策略集合和第二控制策略集合提供嵌套的方式分别存储各主体和各客体各自对应的多条控制策略,便于在捕获到钩子事件时快速根据主体目录和客体目录查询到客体各层级目录中能够使用的控制策略,并引入更新时间作为优先级判断的标准,通过对比客体各层级目录中控制策略的优先级快速确定最终匹配的目标权限,减少了大量检索次数,使得主体能够快速执行目标权限后对客体进行授权访问,避免了在内核中大量复杂的字符串比较,为应用产品在访问控制模型中提供一种有效的控制策略存储和匹配的方法,提高了管理及匹配控制策略的效率。
基于同一发明构思,根据本发明的另一个方面,如图7所示,本发明的实施例还提供了一种计算机设备30,在该计算机设备30中包括处理器310以及存储器320,存储器320存储有可在处理器上运行的计算机程序321,处理器310执行程序时执行控制策略的管理方法的步骤,具体包括:
响应于捕获到钩子事件,获取钩子事件对应的主体目录、客体目录和客体类型;
将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合,并判断客体目录是否为根目录;
响应于存在与目标关键字匹配的第二控制策略集合且客体目录为根目录,获取第二控制策略集合的更新时间,根据更新时间将第二控制策略集合保存至权限集合;
根据更新时间在权限集合中获取满足第一优先级的目标第二控制策略集合,将目标第二控制策略集合中与主体目录匹配的权限作为目标权限,控制主体目录对应的主体执行目标权限访问客体目录对应的客体。
在一些实施方式中,控制策略的管理方法还包括:响应于存在与目标关键字匹配的第二控制策略集合且客体目录不为根目录,获取第二控制策略集合的更新时间,根据更新时间将第二控制策略集合保存至权限集合;将客体目录的父目录作为新的客体目录,返回将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合,并判断客体目录是否为根目录的步骤。
在一些实施方式中,控制策略的管理方法还包括:响应于接收到策略文件,对策略文件预处理并保存至内存;响应于eBPF程序重新启动,重新获取内存中预处理后的策略文件以更新第一控制策略集合和第二控制策略集合。
在一些实施方式中,更新第一控制策略集合和第二控制策略集合的步骤,包括:将重新获取的预处理后的策略文件与内存中已存储的预处理后的策略文件进行比对,根据比对结果调整第一控制策略集合和第二控制策略集合中的控制策略。
在一些实施方式中,根据比对结果调整第一控制策略集合和第二控制策略集合中的控制策略的步骤,包括:若比对结果为存在重复的控制策略,根据各策略文件的创建时间在重新获取的预处理后的策略文件和重复的策略文件中确定第一目标策略文件,将第一目标策略文件中的第一主体目录、第一客体目录和第一权限分别更新至第一控制策略集合和第二控制策略集合相应字段中。
在一些实施方式中,控制策略的管理方法还包括:若比对结果为存在冲突,根据各策略文件的创建时间在重新获取的预处理后的策略文件和冲突的策略文件中确定第二目标策略文件,将第二目标策略文件中的第二主体目录、第二客体目录和第二权限分别更新至第一控制策略集合和第二控制策略集合相应字段中。
在一些实施方式中,控制策略的管理方法还包括:若比对结果为不存在重复且不存在冲突,将重新获取的预处理后的策略文件中的第三主体目录、第三客体目录和第三权限分别更新至第一控制策略集合和第二控制策略集合相应字段中。
在一些实施方式中,控制策略的管理方法还包括:响应于不存在与目标关键字匹配的第二控制策略集合且客体目录不为根目录,将客体目录的父目录作为新的客体目录,并返回将客体目录和客体类型作为目标关键字,在主体目录对应的第一控制策略集合中查询是否存在与目标关键字匹配的第二控制策略集合的步骤。
在一些实施方式中,根据更新时间将第二控制策略集合保存至权限集合的步骤,包括:将第二控制策略集合的更新时间与权限集合中已保存的其他第二控制策略集合的更新时间进行比较,以将权限集合中所有第二控制策略集合按照更新时间顺序排序存储。
在一些实施方式中,根据更新时间在权限集合中获取满足第一优先级的目标第二控制策略集合的步骤,包括:将权限集合中更新时间与当前时间的时间差最短的第二控制策略集合作为满足第一优先级的目标第二控制策略集合。
在一些实施方式中,将权限集合中更新时间与当前时间的时间差最短的第二控制策略集合作为满足第一优先级的目标第二控制策略集合的步骤,包括:将权限集合中所有第二控制策略集合按照更新时间顺序排序存储,将权限集合中排序末位的第二控制策略集合作为更新时间与当前时间的时间差最短的第二控制策略集合,并将排序末位的第二控制策略集合作为目标第二控制策略集合。
在一些实施方式中,控制策略的管理方法还包括:将权限集合中更新时间与当前时间的时间差最长的第二控制策略集合作为满足第一优先级的目标第二控制策略集合。
在一些实施方式中,将权限集合中更新时间与当前时间的时间差最长的第二控制策略集合作为满足第一优先级的目标第二控制策略集合的步骤,包括:将权限集合中所有第二控制策略集合按照更新时间顺序排序存储,将权限集合中排序首位的第二控制策略集合作为更新时间与当前时间的时间差最长的第二控制策略集合,并将排序首位的第二控制策略集合作为目标第二控制策略集合。
在一些实施方式中,控制策略的管理方法还包括:响应于不存在与目标关键字匹配的第二控制策略集合且客体目录为根目录,确定主体目录对应的主体没有权限访问客体目录对应的客体。
在一些实施方式中,第一控制策略集合包括一一对应第一关键字字段和第一值字段,第一关键字字段包括若干由客体目录和客体类型组合的关键字,第一值字段包括若干指向各第二控制策略集合的指针。
在一些实施方式中,第二控制策略集合包括一一对应第二关键字字段和第二值字段,第二关键字字段包括由若干主体目录构成的关键字,第二值字段包括若干权限。
本发明提供的计算机设备,通过采用map-in-map方式设计用于存储控制策略的各集合,即将第一控制策略集合和第二控制策略集合提供嵌套的方式分别存储各主体和各客体各自对应的多条控制策略,便于在捕获到钩子事件时快速根据主体目录和客体目录查询到客体各层级目录中能够使用的控制策略,并引入更新时间作为优先级判断的标准,通过对比客体各层级目录中控制策略的优先级快速确定最终匹配的目标权限,减少了大量检索次数,使得主体能够快速执行目标权限后对客体进行授权访问,避免了在内核中大量复杂的字符串比较,为应用产品在访问控制模型中提供一种有效的控制策略存储和匹配的方法,提高了管理及匹配控制策略的效率。
基于同一发明构思,根据本发明的另一个方面,如图8所示,本发明的实施例还提供了一种计算机可读存储介质40,计算机可读存储介质40存储有被处理器执行时执行如上方法的计算机程序410。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。

Claims (20)

1.一种控制策略的管理方法,其特征在于,应用于eBPF程序,包括:
响应于捕获到钩子事件,获取所述钩子事件对应的主体目录、客体目录和客体类型;
将所述客体目录和客体类型作为目标关键字,在所述主体目录对应的第一控制策略集合中查询是否存在与所述目标关键字匹配的第二控制策略集合,并判断所述客体目录是否为根目录;
响应于存在与所述目标关键字匹配的第二控制策略集合且所述客体目录为根目录,获取所述第二控制策略集合的更新时间,根据所述更新时间将所述第二控制策略集合保存至权限集合;
根据所述更新时间在所述权限集合中获取满足第一优先级的目标第二控制策略集合,将所述目标第二控制策略集合中与所述主体目录匹配的权限作为目标权限,控制所述主体目录对应的主体执行所述目标权限访问所述客体目录对应的客体。
2.根据权利要求1所述的控制策略的管理方法,其特征在于,还包括:
响应于存在与所述目标关键字匹配的第二控制策略集合且所述客体目录不为根目录,获取所述第二控制策略集合的更新时间,根据所述更新时间将所述第二控制策略集合保存至权限集合;
将所述客体目录的父目录作为新的所述客体目录,返回将所述客体目录和客体类型作为目标关键字,在所述主体目录对应的第一控制策略集合中查询是否存在与所述目标关键字匹配的第二控制策略集合,并判断所述客体目录是否为根目录的步骤。
3.根据权利要求1所述的控制策略的管理方法,其特征在于,还包括:
响应于接收到策略文件,对所述策略文件预处理并保存至内存;
响应于所述eBPF程序重新启动,重新获取所述内存中预处理后的所述策略文件以更新所述第一控制策略集合和所述第二控制策略集合。
4.根据权利要求3所述的控制策略的管理方法,其特征在于,所述更新所述第一控制策略集合和所述第二控制策略集合的步骤,包括:
将重新获取的预处理后的所述策略文件与所述内存中已存储的预处理后的所述策略文件进行比对,根据比对结果调整所述第一控制策略集合和所述第二控制策略集合中的控制策略。
5.根据权利要求4所述的控制策略的管理方法,其特征在于,所述根据比对结果调整所述第一控制策略集合和所述第二控制策略集合中的控制策略的步骤,包括:
若比对结果为存在重复的控制策略,根据各所述策略文件的创建时间在重新获取的预处理后的所述策略文件和重复的所述策略文件中确定第一目标策略文件,将所述第一目标策略文件中的第一主体目录、第一客体目录和第一权限分别更新至所述第一控制策略集合和所述第二控制策略集合相应字段中。
6.根据权利要求5所述的控制策略的管理方法,其特征在于,还包括:
若比对结果为存在冲突,根据各所述策略文件的创建时间在重新获取的预处理后的所述策略文件和冲突的所述策略文件中确定第二目标策略文件,将所述第二目标策略文件中的第二主体目录、第二客体目录和第二权限分别更新至所述第一控制策略集合和所述第二控制策略集合相应字段中。
7.根据权利要求6所述的控制策略的管理方法,其特征在于,还包括:
若比对结果为不存在重复且不存在冲突,将重新获取的预处理后的所述策略文件中的第三主体目录、第三客体目录和第三权限分别更新至所述第一控制策略集合和所述第二控制策略集合相应字段中。
8.根据权利要求1所述的控制策略的管理方法,其特征在于,还包括:
响应于不存在与所述目标关键字匹配的第二控制策略集合且所述客体目录不为根目录,将所述客体目录的父目录作为新的所述客体目录,并返回将所述客体目录和客体类型作为目标关键字,在所述主体目录对应的第一控制策略集合中查询是否存在与所述目标关键字匹配的第二控制策略集合的步骤。
9.根据权利要求1所述的控制策略的管理方法,其特征在于,所述根据所述更新时间将所述第二控制策略集合保存至权限集合的步骤,包括:
将所述第二控制策略集合的所述更新时间与所述权限集合中已保存的其他所述第二控制策略集合的所述更新时间进行比较,以将所述权限集合中所有所述第二控制策略集合按照更新时间顺序排序存储。
10.根据权利要求1所述的控制策略的管理方法,其特征在于,所述根据所述更新时间在所述权限集合中获取满足第一优先级的目标第二控制策略集合的步骤,包括:
将所述权限集合中所述更新时间与当前时间的时间差最短的第二控制策略集合作为满足所述第一优先级的目标第二控制策略集合。
11.根据权利要求10所述的控制策略的管理方法,其特征在于,所述将所述权限集合中所述更新时间与当前时间的时间差最短的第二控制策略集合作为满足所述第一优先级的目标第二控制策略集合的步骤,包括:
将所述权限集合中所有所述第二控制策略集合按照更新时间顺序排序存储,将所述权限集合中排序末位的第二控制策略集合作为所述目标第二控制策略集合。
12.根据权利要求10所述的控制策略的管理方法,其特征在于,还包括:
将所述权限集合中所述更新时间与当前时间的时间差最长的第二控制策略集合作为满足所述第一优先级的目标第二控制策略集合。
13.根据权利要求12所述的控制策略的管理方法,其特征在于,所述将所述权限集合中所述更新时间与当前时间的时间差最长的第二控制策略集合作为满足所述第一优先级的目标第二控制策略集合的步骤,包括:
将所述权限集合中所有所述第二控制策略集合按照更新时间顺序排序存储,将所述权限集合中排序首位的第二控制策略集合作为所述目标第二控制策略集合。
14.根据权利要求1所述的控制策略的管理方法,其特征在于,还包括:
响应于不存在与所述目标关键字匹配的第二控制策略集合且所述客体目录为根目录,确定所述主体目录对应的主体没有权限访问所述客体目录对应的客体。
15.根据权利要求1所述的控制策略的管理方法,其特征在于,所述第一控制策略集合包括一一对应第一关键字字段和第一值字段,所述第一关键字字段包括若干由客体目录和客体类型组合的关键字,所述第一值字段包括若干指向各所述第二控制策略集合的指针。
16.根据权利要求1所述的控制策略的管理方法,其特征在于,所述第二控制策略集合包括一一对应第二关键字字段和第二值字段,所述第二关键字字段包括由若干主体目录构成的关键字,所述第二值字段包括若干权限。
17.根据权利要求3所述的控制策略的管理方法,其特征在于,所述策略文件的文件格式包括YAML文件格式。
18.一种控制策略的管理系统,其特征在于,包括:
获取单元,用于响应于捕获到钩子事件,获取所述钩子事件对应的主体目录、客体目录和客体类型;
查询单元,用于将所述客体目录和客体类型作为目标关键字,在所述主体目录对应的第一控制策略集合中查询是否存在与所述目标关键字匹配的第二控制策略集合,并判断所述客体目录是否为根目录;
存储单元,用于响应于存在与所述目标关键字匹配的第二控制策略集合且所述客体目录为根目录,获取所述第二控制策略集合的更新时间,根据所述更新时间将所述第二控制策略集合保存至权限集合;
控制单元,用于根据所述更新时间在所述权限集合中获取满足第一优先级的目标第二控制策略集合,将所述目标第二控制策略集合中与所述主体目录匹配的权限作为目标权限,控制所述主体目录对应的主体执行所述目标权限访问所述客体目录对应的客体。
19.一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1至17任意一项所述的方法的步骤。
20.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行如权利要求1至17任意一项所述的方法的步骤。
CN202311827334.1A 2023-12-28 2023-12-28 一种控制策略的管理方法、系统、设备及介质 Active CN117494173B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311827334.1A CN117494173B (zh) 2023-12-28 2023-12-28 一种控制策略的管理方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311827334.1A CN117494173B (zh) 2023-12-28 2023-12-28 一种控制策略的管理方法、系统、设备及介质

Publications (2)

Publication Number Publication Date
CN117494173A CN117494173A (zh) 2024-02-02
CN117494173B true CN117494173B (zh) 2024-03-01

Family

ID=89685253

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311827334.1A Active CN117494173B (zh) 2023-12-28 2023-12-28 一种控制策略的管理方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN117494173B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104683362A (zh) * 2015-03-27 2015-06-03 合肥工业大学 一种细粒度隐私安全的访问控制系统及其访问控制方法
CN114205191A (zh) * 2021-12-13 2022-03-18 四川启睿克科技有限公司 一种api网关系统及运行方法
WO2023001773A1 (de) * 2021-07-20 2023-01-26 Siemens Aktiengesellschaft Absicherung eines einrichtevorgangs eines unterverzeichnisses und einer netzwerkschnittstelle für eine containerinstanz

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230061234A1 (en) * 2021-08-27 2023-03-02 Kpmg Llp System and method for integrating a data risk management engine and an intelligent graph platform

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104683362A (zh) * 2015-03-27 2015-06-03 合肥工业大学 一种细粒度隐私安全的访问控制系统及其访问控制方法
WO2023001773A1 (de) * 2021-07-20 2023-01-26 Siemens Aktiengesellschaft Absicherung eines einrichtevorgangs eines unterverzeichnisses und einer netzwerkschnittstelle für eine containerinstanz
CN114205191A (zh) * 2021-12-13 2022-03-18 四川启睿克科技有限公司 一种api网关系统及运行方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘兆平 ; .访问控制技术实现与展望.才智.2010,(04),全文. *

Also Published As

Publication number Publication date
CN117494173A (zh) 2024-02-02

Similar Documents

Publication Publication Date Title
US10783198B2 (en) Row-based data filtering at a database level
RU2408070C2 (ru) Механизмы обнаруживаемости и перечисления в иерархически защищенной системе хранения данных
JP4255373B2 (ja) ネットワークファイルシステムのための管理および同期化アプリケーション
US20050015674A1 (en) Method, apparatus, and program for converting, administering, and maintaining access control lists between differing filesystem types
US20100031312A1 (en) Method for policy based and granular approach to role based access control
Zhang et al. MRMondrian: Scalable multidimensional anonymisation for big data privacy preservation
US11899810B2 (en) Systems and methods for determining database permissions
US20230401241A1 (en) System for lightweight objects
US20160231952A1 (en) Filesystem management
CN114281653B (zh) 应用程序的监控方法、装置及计算设备
US9875248B2 (en) System and method for identifying a file path using tree data structure
US11537735B2 (en) Trusted enterprise data assets via data confidence fabrics
KR101989074B1 (ko) 데이터베이스 샤딩 환경에서의 복제 로그 기반의 마이그레이션
CN111831744B (zh) Dapp的链上数据检索系统、方法及介质
CN117494173B (zh) 一种控制策略的管理方法、系统、设备及介质
US20190147047A1 (en) Object-level image query and retrieval
US9009731B2 (en) Conversion of lightweight object to a heavyweight object
US10657139B2 (en) Information processing apparatus and non-transitory computer readable medium for distributed resource management
CN108376104B (zh) 节点调度方法及装置、计算机可读存储介质
US7987470B1 (en) Converting heavyweight objects to lightwight objects
US20220188339A1 (en) Network environment synchronization apparatus and method
US20230161772A1 (en) Optimized policy data structure for distributed authorization systems
JP2006185150A (ja) ファイル管理システム、ファイル管理方法およびファイル管理プログラム
CN117951155A (zh) 数据处理方法、装置、电子设备及存储介质
KR20190016735A (ko) 데이터베이스 샤딩 환경에서의 데이터에 대한 락 제어

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant