动态访问权限的控制方法及系统转让专利
申请号 : CN201910693982.X
文献号 : CN110298188B
文献日 : 2021-04-23
发明人 : 张泽洲 , 魏勇 , 简明 , 左英男
申请人 : 奇安信科技集团股份有限公司
摘要 :
一种动态访问权限的控制方法及系统,所述方法包括:获取任意一个主体设备发送的资源访问请求,所述资源访问请求包括主体设备的主体信息及被访问资源的资源信息;获取所述主体设备和所述被访问资源的属性信息;获取所述主体设备所处的环境信息;基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限;以及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。所述方法及系统解决了传统授权系统的静态授权、粗粒度授权、仅在访问前进行的缺陷。
权利要求 :
1.一种动态访问权限的控制方法,其特征在于,包括:获取任意一个主体设备发送的资源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息;
获取所述主体设备和所述被访问资源的属性信息,其中,所述属性信息包括所述主体设备的主体属性信息和所述被访问资源的资源属性信息,其中,所述主体属性信息包括主体状态信息,所述资源属性信息包括资源可用状态信息;
获取所述主体设备所处的环境信息,其中,所述环境信息包括网络地址、地址位置、环境风险信息中的至少一个;
基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,其中,在所述主体信息为预设主体信息、所述资源信息为预设资源信息、所述主体状态信息表征主体设备上一次访问正常、所述资源可用状态信息表征资源处于可用状态以及所述环境信息为预设环境信息的情况下,表征所述主体设备具有访问所述资源的权限;以及
响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
2.根据权利要求1所述的动态访问权限的控制方法,其特征在于,所述基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,包括:
判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息;以及响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为预设属性信息以及所述环境信息是否为预设环境信息;
其中,当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
3.根据权利要求2所述的动态访问权限的控制方法,其特征在于,所述判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息,包括:根据所述主体信息制定所述主体设备对应的用户角色;
根据所述资源信息制定所述资源对应的资源角色;
对所述用户角色及所述资源角色进行关联计算,得到关联计算结果;以及基于所述关联计算结果判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息。
4.根据权利要求1所述的动态访问权限的控制方法,其特征在于,所述方法还包括以下至少一项:
建立主体身份库,所述主体身份库用于存储所述预设主体信息;
建立资源库,所述资源库用于存储所述预设资源信息,所述预设资源信息至少包括其对应的资源的资源标识;以及
建立属性库,所述属性库用于存储所述预设主体信息对应的主体设备的环境信息、所述预设资源信息对应的资源的资源类型、所述预设资源信息对应的资源的安全等级以及所述预设资源信息对应的资源的可用状态信息。
5.根据权利要求1所述的动态访问权限的控制方法,其特征在于,所述方法还包括:响应于所述主体设备不具有访问所述资源的权限,拒绝所述主体设备访问所述资源或引导所述主体设备执行修复操作。
6.一种动态访问权限的控制系统,其特征在于,包括:动态决策模块,用于获取任意一个发起资源访问请求的主体设备所发送的资源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息,以及用于获取所述主体设备和所述被访问资源的属性信息,其中,所述属性信息包括所述主体设备的主体属性信息和所述被访问资源的资源属性信息,其中,所述主体属性信息包括主体状态信息,所述资源属性信息包括资源可用状态信息;
环境感知模块,用于获取所述主体设备所处的环境信息,其中,所述环境信息包括网络地址、地址位置、环境风险信息中的至少一个;
所述动态决策模块还用于:基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,其中,在所述主体信息为预设主体信息、所述资源信息为预设资源信息、所述主体状态信息表征主体设备上一次访问正常、所述资源可用状态信息表征资源处于可用状态以及所述环境信息为预设环境信息的情况下,表征所述主体设备具有访问所述资源的权限,以及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
7.根据权利要求6所述的动态访问权限的控制系统,其特征在于,所述系统还包括:主体身份库模块,用于存储预设主体信息;
资源库模块,用于存储预设资源信息;
属性库模块,用于存储预设属性信息以及预设环境信息;
其中,所述动态决策模块用于判断所述主体信息是否为所述预设主体信息以及所述资源信息是否为所述预设资源信息,响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为所述预设属性信息以及所述环境信息是否为所述预设环境信息,其中,当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
8.根据权利要求7所述的动态访问权限的控制系统,其特征在于,所述系统还包括权限及策略管理模块,用于制定授权策略;所述权限及策略管理模块包括:用户角色管理模块,用于根据所述主体信息制定所述主体设备对应的用户角色;
资源角色管理模块,用于根据所述被访问资源的资源信息制定资源角色;以及授权策略管理模块,用于对所述用户角色及所述资源角色做关联计算,得到关联计算结果作为所述授权策略。
9.根据权利要求7所述的动态访问权限的控制系统,其特征在于,所述预设属性信息包括主体属性信息以及资源属性信息:所述主体属性信息包括所述预设主体信息对应的主体设备的用户名、标识以及状态信息;
所述资源属性信息包括所述预设资源信息对应的资源的资源类型信息、资源安全等级信息以及可用状态信息。
10.根据权利要求7所述的动态访问权限的控制系统,其特征在于,所述环境信息包括时间信息、网络地址信息、地理位置信息以及环境风险信息,每一所述预设资源信息对应的资源设置有唯一标识。
说明书 :
动态访问权限的控制方法及系统
技术领域
[0001] 本发明涉及计算机技术领域,尤其涉及一种动态访问权限的控制方法及系统。
背景技术
[0002] 传统访问控制场景,通常由用户、资源、角色、授权策略等基本因素构成,其特点是授权访问是预先定义、静态的过程,控制粒度较粗,且授权过程仅发生在首次访问资源时,
完成后不再进行控制。
完成后不再进行控制。
[0003] 随着主体、资源范围的扩大,用户身份可分为人、PC设备、服务器、移动终端设备,资源范围按不同粒度分为应用、应用功能、服务接口、数据四类资源。授权过程需要根据主
体、资源、属性、授权策略多个维度进行判定,是一个动态过程。授权对象的精细化访问控
制,即包含谁、使用什么设备访问资源、在何时何地如何操作、操作结果。并对整个访问过程
实施动态访问控制策略。因此,提出一种满足实际发展需求的动态访问权限的控制系统及
方法很有必要。
体、资源、属性、授权策略多个维度进行判定,是一个动态过程。授权对象的精细化访问控
制,即包含谁、使用什么设备访问资源、在何时何地如何操作、操作结果。并对整个访问过程
实施动态访问控制策略。因此,提出一种满足实际发展需求的动态访问权限的控制系统及
方法很有必要。
发明内容
[0004] (一)要解决的技术问题
[0005] 针对目前存在的技术问题,本发明提出一种动态访问权限的控制方法及系统,用于解决传统授权系统的授权访问是预先定义、静态的过程,控制粒度较粗,且授权过程仅发
生在首次访问资源时,完成后不再进行控制等问题。
生在首次访问资源时,完成后不再进行控制等问题。
[0006] (二)技术方案
[0007] 本发明提供一种动态访问权限的控制方法,包括:获取任意一个主体设备发送的资源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资
源信息,获取所述主体设备和所述被访问资源的属性信息,获取所述主体设备所处的环境
信息,基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体
设备是否具有访问所述资源的权限,以及响应于所述主体设备具有访问所述资源的权限,
允许所述主体设备访问所述资源。
源信息,获取所述主体设备和所述被访问资源的属性信息,获取所述主体设备所处的环境
信息,基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体
设备是否具有访问所述资源的权限,以及响应于所述主体设备具有访问所述资源的权限,
允许所述主体设备访问所述资源。
[0008] 可选地,上述基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,包括:判断所述主体信息是否为预设
主体信息以及所述资源信息是否为预设资源信息,响应于所述主体信息为所述预设主体信
息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为预设属性信息以及所
述环境信息是否为预设环境信息,其中,当所述属性信息为所述预设属性信息以及所述环
境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
主体信息以及所述资源信息是否为预设资源信息,响应于所述主体信息为所述预设主体信
息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为预设属性信息以及所
述环境信息是否为预设环境信息,其中,当所述属性信息为所述预设属性信息以及所述环
境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
[0009] 可选地,上述判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息,包括:根据所述主体信息制定所述主体设备对应的用户角色,根据所述资源信
息制定所述资源对应的资源角色,对所述用户角色及所述资源角色进行关联计算,得到关
联计算结果,基于所述关联计算结果判断所述主体信息是否为预设主体信息以及所述资源
信息是否为预设资源信息。
息制定所述资源对应的资源角色,对所述用户角色及所述资源角色进行关联计算,得到关
联计算结果,基于所述关联计算结果判断所述主体信息是否为预设主体信息以及所述资源
信息是否为预设资源信息。
[0010] 可选地,上述方法还包括以下至少一项:建立主体身份库,所述主体身份库用于存储所述预设主体信息,建立资源库,所述资源库用于存储所述预设资源信息,所述预设资源
信息至少包括其对应的资源的资源标识,建立属性库,所述属性库用于存储所述预设主体
信息对应的主体设备的环境信息、所述预设资源信息对应的资源的资源类型、所述预设资
源信息对应的资源的安全等级以及所述预设资源信息对应的资源的可用状态信息。
信息至少包括其对应的资源的资源标识,建立属性库,所述属性库用于存储所述预设主体
信息对应的主体设备的环境信息、所述预设资源信息对应的资源的资源类型、所述预设资
源信息对应的资源的安全等级以及所述预设资源信息对应的资源的可用状态信息。
[0011] 可选地,上述方法还包括:响应于所述主体设备不具有访问所述资源的权限,拒绝所述主体设备访问所述资源或引导所述主体设备执行修复操作。
[0012] 本发明另一方面提供一种动态访问权限的控制系统,包括:动态决策模块、环境感知模块。其中,动态决策模块,用于获取任意一个发起资源访问请求的主体设备所发送的资
源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源
信息,以及用于获取所述主体设备和所述被访问资源的属性信息。环境感知模块,用于获取
所述主体设备所处的环境信息。所述动态决策模块还用于:基于所述主体信息、所述资源信
息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,以
及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源
信息,以及用于获取所述主体设备和所述被访问资源的属性信息。环境感知模块,用于获取
所述主体设备所处的环境信息。所述动态决策模块还用于:基于所述主体信息、所述资源信
息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,以
及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
[0013] 可选地,上述系统还包括:主体身份库模块、资源库模块以及属性库模块。其中,主体身份库模块用于存储预设主体信息,资源库模块用于存储预设资源信息,属性库模块用
于存储预设属性信息以及预设环境信息,其中,所述动态决策模块用于判断所述主体信息
是否为所述预设主体信息以及所述资源信息是否为所述预设资源信息,响应于所述主体信
息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为
所述预设属性信息以及所述环境信息是否为所述预设环境信息,其中,当所述属性信息为
所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述
资源的权限。
于存储预设属性信息以及预设环境信息,其中,所述动态决策模块用于判断所述主体信息
是否为所述预设主体信息以及所述资源信息是否为所述预设资源信息,响应于所述主体信
息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为
所述预设属性信息以及所述环境信息是否为所述预设环境信息,其中,当所述属性信息为
所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述
资源的权限。
[0014] 可选地,上述系统还包括权限及策略管理模块,用于制定授权策略;所述权限及策略管理模块包括:用户角色管理模块、资源角色管理模块以及授权策略管理模块。其中,用
户角色管理模块用于根据所述主体信息制定所述主体设备对应的用户角色,资源角色管理
模块用于根据所述被访问资源的资源信息制定资源角色,授权策略管理模块用于对所述用
户角色及所述资源角色做关联计算,得到关联计算结果作为所述授权策略。
户角色管理模块用于根据所述主体信息制定所述主体设备对应的用户角色,资源角色管理
模块用于根据所述被访问资源的资源信息制定资源角色,授权策略管理模块用于对所述用
户角色及所述资源角色做关联计算,得到关联计算结果作为所述授权策略。
[0015] 可选地,上述预设属性信息包括主体属性信息以及资源属性信息。所述主体属性信息包括所述预设主体信息对应的主体设备的用户名、标识以及状态信息,所述资源属性
信息包括所述预设资源信息对应的资源的资源类型信息、资源安全等级信息以及可用状态
信息。
信息包括所述预设资源信息对应的资源的资源类型信息、资源安全等级信息以及可用状态
信息。
[0016] 可选地,上述环境信息包括时间信息、网络地址信息、地理位置信息以及环境风险信息,每一所述预设资源信息对应的资源设置有唯一标识。
[0017] 本发明实施例第三方面提供了一种动态访问权限的控制系统。所述动态访问权限的控制系统包括一个或多个处理器以及一个或多个存储器。所述一个或多个存储器中存储
有计算机可执行指令,所述指令被所述一个或多个处理器执行时用以实现如上所述的动态
访问权限的控制方法。
有计算机可执行指令,所述指令被所述一个或多个处理器执行时用以实现如上所述的动态
访问权限的控制方法。
[0018] (三)有益效果
[0019] 本发明提供的一种动态访问权限的控制方法及系统,通过识别访问主体、被访问资源、权限策略,结合动态主体、资源、环境多类属性,经过主体角色、资源角色的动态绑定,
在主体访问资源的全流程,实时动态进行多维度、细粒度的权限策略及授权评估,以动态控
制主体设备端的访问资源的权限。
在主体访问资源的全流程,实时动态进行多维度、细粒度的权限策略及授权评估,以动态控
制主体设备端的访问资源的权限。
附图说明
[0020] 为了更完整地理解本发明及其优势,现在将参考结合附图的以下描述,其中:
[0021] 图1示意性示出了根据本发明实施例的动态访问权限的控制方法的流程图;
[0022] 图2示意性示出了根据本发明实施例的基于角色关联的控制方法的流程图;
[0023] 图3示意性示出了根据本发明另一实施例的动态访问权限的控制方法的流程图;
[0024] 图4‑图7示意性示出了根据本发明实施例的动态访问权限的控制系统的框图;以及
[0025] 图8示意性示出了根据本发明实施例的用于动态访问权限的控制的计算机系统的方框图。
具体实施方式
[0026] 以下,将参照附图来描述本发明的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本发明的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细
节以提供对本发明实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细
节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免
不必要地混淆本发明的概念。
节以提供对本发明实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细
节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免
不必要地混淆本发明的概念。
[0027] 本发明实施例提出一种动态访问权限的控制方法及系统,通过识别访问主体、被访问资源、权限策略,结合动态主体、资源、环境多类属性,经过主体角色、资源角色的动态
绑定,在主体访问资源的全流程,实时动态进行多维度、细粒度的权限策略及授权评估。动
态授权评估结果可用于指导、控制访问过程及最终授权访问结果,评估结果以接口方式对
外发布。通过本发明,实现了主体、资源、属性、角色、权限之间的动态关联与动态绑定,实现
资源访问全流程的细粒度、动态访问控制及决策控制。
绑定,在主体访问资源的全流程,实时动态进行多维度、细粒度的权限策略及授权评估。动
态授权评估结果可用于指导、控制访问过程及最终授权访问结果,评估结果以接口方式对
外发布。通过本发明,实现了主体、资源、属性、角色、权限之间的动态关联与动态绑定,实现
资源访问全流程的细粒度、动态访问控制及决策控制。
[0028] 图1示意性示出了根据本发明实施例的动态访问权限的控制方法的流程图。
[0029] 如图1所示,该方法包括操作S110~S150。
[0030] 在操作S110,获取任意一个主体设备发送的资源访问请求,其中,资源访问请求包括主体设备的主体信息及被访问资源的资源信息。
[0031] 根据本发明的实施例,主体设备可以是物理PC、云桌面虚拟机、服务器等等。被访问资源可以包括多种类型的资源,例如包括应用、应用功能、数据接口服务、数据等等类型。
其中,当主体设备需要访问资源时,可以通过发送资源访问请求,资源所在服务器通过对资
源访问请求进行授权验证,验证通过则允许主体设备访问相应资源。
其中,当主体设备需要访问资源时,可以通过发送资源访问请求,资源所在服务器通过对资
源访问请求进行授权验证,验证通过则允许主体设备访问相应资源。
[0032] 其中,主体设备的主体信息例如可以是设备标识,用于唯一表示主体设备。资源信息例如可以是资源标识,用于唯一表示资源,该资源标识例如可以是唯一标识索引或者唯
一密码等等。
一密码等等。
[0033] 在操作S120,获取主体设备和被访问资源的属性信息。
[0034] 根据本发明的实施例,属性信息例如包括主体设备的主体属性信息和被访问资源的资源属性信息。主体属性信息例如可以包括主体标识、主体状态信息等等。资源属性信息
例如包括资源类型、资源安全等级,资源可用状态信息等等。
例如包括资源类型、资源安全等级,资源可用状态信息等等。
[0035] 在操作S130,获取主体设备所处的环境信息。
[0036] 根据本发明的实施例,主体设备所处的环境信息例如包括访问时间、网络地址、地理位置、环境风险信息等等。
[0037] 在操作S140,基于主体信息、资源信息、属性信息以及环境信息,判断主体设备是否具有访问资源的权限。
[0038] 在操作S150,响应于主体设备具有访问资源的权限,允许主体设备访问资源。另外,如果主体设备不具有访问资源的权限,拒绝主体设备访问资源或引导主体设备执行修
复操作。
复操作。
[0039] 根据本发明的实施例,由于主体信息、资源信息、属性信息的细粒度划分,实现在授权过程可以根据多因素进行验证,保证资源访问的安全性。另外,由于主体设备的环境信
息是实时变化的,因此,基于环境信息进行授权验证可以实现动态授权的效果,实现主体设
备每次访问资源都实时验证该环境信息,而不是仅在首次访问时授权验证,以此实现了动
态授权,提高资源访问的安全性。
息是实时变化的,因此,基于环境信息进行授权验证可以实现动态授权的效果,实现主体设
备每次访问资源都实时验证该环境信息,而不是仅在首次访问时授权验证,以此实现了动
态授权,提高资源访问的安全性。
[0040] 根据本发明的实施例,操作S140包括操作S141~S142(具体参见图2所示)。
[0041] 其中,在操作S141,首先判断主体信息是否为预设主体信息以及资源信息是否为预设资源信息。
[0042] 其中,预设主体信息可以是预先存储的主体设备的相关信息,例如,预先存储有多个主体设备,该多个主体设备对应的预设主体信息可以是主体信息(主体标识),例如主体
标识包括主体设备1、主体设备2、主体设备3等等。同理,预设资源信息可以是预先存储的资
源的相关信息,例如,预先存储有多个资源,该多个资源对应的预设资源信息可以是资源信
息(资源标识),例如资源标识包括资源1、资源2、资源3等等。当接收到主体设备1访问资源1
时,确定主体设备1为预设主体信息,资源1为预设资源信息,此时,可以进一步判断属性信
息是否为预设属性信息以及环境信息是否为预设环境信息。
标识包括主体设备1、主体设备2、主体设备3等等。同理,预设资源信息可以是预先存储的资
源的相关信息,例如,预先存储有多个资源,该多个资源对应的预设资源信息可以是资源信
息(资源标识),例如资源标识包括资源1、资源2、资源3等等。当接收到主体设备1访问资源1
时,确定主体设备1为预设主体信息,资源1为预设资源信息,此时,可以进一步判断属性信
息是否为预设属性信息以及环境信息是否为预设环境信息。
[0043] 在操作S142,响应于主体信息为预设主体信息以及资源信息为预设资源信息,判断属性信息是否为预设属性信息以及环境信息是否为预设环境信息,当属性信息为预设属
性信息以及环境信息为预设环境信息时,主体设备具有访问资源的权限。
性信息以及环境信息为预设环境信息时,主体设备具有访问资源的权限。
[0044] 例如,主体设备的预设属性信息例如包括主体设备上一次访问正常,资源的预设属性信息例如包括资源处于可访问状态。预设环境信息包括主体设备的访问时间为预设时
间(例如预设时间为9:00~18: 00)。
间(例如预设时间为9:00~18: 00)。
[0045] 例如,主体设备1需要访问资源1时,如果主体设备1的属性信息包括主体设备1上一次访问正常,资源1的属性信息包括当前资源 1处于可访问状态,主体设备的当前访问时
间为12:00,则允许主体设备1访问资源1。
间为12:00,则允许主体设备1访问资源1。
[0046] 如果主体设备1上一次访问异常、资源1处于不可访问状态、或者主体设备的当前访问时间不是预设时间,则拒绝主体设备1访问资源1。
[0047] 图2示意性示出了根据本发明实施例的基于角色关联的控制方法的流程图。
[0048] 例如,预先定义:能够访问资源的预设主体包括主体设备1、主体设备2、主体设备3,预设资源包括资源1、资源2、资源3。其中,主体设备1和主体设备2属于第一类用户角色,
主体设备3属于第二类用户角色,资源1属于第一类资源角色,资源2和资源3属于第二类资
源角色。并且预先定义如下预设角色规则:第一类用户角色能够访问第一类资源角色,第二
类用户角色能够访问第二类资源角色。
主体设备3属于第二类用户角色,资源1属于第一类资源角色,资源2和资源3属于第二类资
源角色。并且预先定义如下预设角色规则:第一类用户角色能够访问第一类资源角色,第二
类用户角色能够访问第二类资源角色。
[0049] 如图2所示,操作S141包括操作S1411~S1414。
[0050] 在操作S1411,根据主体信息制定主体设备对应的用户角色。
[0051] 在操作S1412,根据资源信息制定资源对应的资源角色。
[0052] 在操作S1413,对用户角色及资源角色进行关联计算,得到关联计算结果。
[0053] 在操作S1414,基于关联计算结果判断主体信息是否为预设主体信息以及资源信息是否为预设资源信息。
[0054] 例如,在主体设备1访问资源1时,制定主体设备1对应的用户角色为第一类用户角色,制定资源1对应的用户角色为第一类资源角色,关联计算得到的关联计算结果为第一类
用户角色访问第一类资源角色。此时,第一类用户角色访问第一类资源角色满足预设角色
规则,则允许主体设备1访问资源1。
用户角色访问第一类资源角色。此时,第一类用户角色访问第一类资源角色满足预设角色
规则,则允许主体设备1访问资源1。
[0055] 当主体设备1访问资源2时,制定主体设备1对应的用户角色为第一类用户角色,制定资源2对应的用户角色为第二类资源角色,关联计算得到的关联计算结果为第一类用户
角色访问第二类资源角色。此时,第一类用户角色访问第二类资源角色不满足预设角色规
则,则拒绝主体设备1访问资源2。
角色访问第二类资源角色。此时,第一类用户角色访问第二类资源角色不满足预设角色规
则,则拒绝主体设备1访问资源2。
[0056] 图3示意性示出了根据本发明另一实施例的动态访问权限的控制方法的流程图。该方法用于控制主体设备端通过数据通路访问资源,如图3所示,该方法包括操作S110~
S150以及操作S310~S340。其中,操作S110~S150与上参考图1描述的操作相同或类似。
S150以及操作S310~S340。其中,操作S110~S150与上参考图1描述的操作相同或类似。
[0057] 在操作S310,建立主体身份库,主体身份库用于存储预设主体信息。
[0058] 在操作S320,建立资源库,资源库用于存储预设资源信息,预设资源信息至少包括其对应的资源的资源标识。
[0059] 在操作S330,建立属性库,属性库用于存储预设主体信息对应的主体设备的环境信息、预设资源信息对应的资源的资源类型、预设资源信息对应的资源的安全等级以及预
设资源信息对应的资源的可用状态信息。
设资源信息对应的资源的可用状态信息。
[0060] 具体地,在进获取任意一个主体设备发送的资源访问请求之前,首先会建立主体身份库、资源库及属性库,然后定义预设主体信息、预设资源信息及属性信息,并将预设主
体信息、预设资源信息及属性信息分别录入主体身份库、资源库及属性库,预设资源信息与
被访问的资源一一对应,至少用于表示其对应的资源类型。预设主体信息即表明当前有哪
些主体设备可以访问资源,预设资源信息表明具体访问什么类型的资源。
体信息、预设资源信息及属性信息分别录入主体身份库、资源库及属性库,预设资源信息与
被访问的资源一一对应,至少用于表示其对应的资源类型。预设主体信息即表明当前有哪
些主体设备可以访问资源,预设资源信息表明具体访问什么类型的资源。
[0061] 按照服务粒度,将被访问的资源分为四大类:应用、应用功能、数据接口服务及数据,每一资源采用唯一标识索引或者唯一密码来用于资源签名,确保资源唯一性。属性信息
例如包括主体属性、资源属性。主体属性包含用户名、标识、状态信息;资源属性包括资源类
型、资源安全等级、可用状态信息;环境属性包括:时间、网络地址、地理位置、环境风险信
息。
例如包括主体属性、资源属性。主体属性包含用户名、标识、状态信息;资源属性包括资源类
型、资源安全等级、可用状态信息;环境属性包括:时间、网络地址、地理位置、环境风险信
息。
[0062] 信息预设完成后,获取主体设备发送的资源访问请求。判断主体信息是否为预设主体信息,同时,判断资源信息是否为预设资源信息,如果均满足,则进一步判断属性信息
是否为预设属性信息以及环境信息是否为预设环境信息,否则,拒绝主体设备访问资源。
是否为预设属性信息以及环境信息是否为预设环境信息,否则,拒绝主体设备访问资源。
[0063] 其中,预设的主体信息中包括获取的主体设备的主体信息,则表明该设备具有访问权限。主体设备包括物理PC、云桌面虚拟机、服务器等,若预设的主体信息中只包含有物
理PC的主体信息,则只允许物理PC进行访问,而云桌面虚拟机、服务器等不能访问。预设的
资源信息中包括资源访问请求中携带的资源信息,则表明具有目前主体设备访问的资源。
例如,当加入预设的资源信息包括应用、应用功能以及接口服务三类资源时,而当前主体设
备发送的网络资源请求中需要请求的是数据资源,则当前主体设备不能访问资源。
理PC的主体信息,则只允许物理PC进行访问,而云桌面虚拟机、服务器等不能访问。预设的
资源信息中包括资源访问请求中携带的资源信息,则表明具有目前主体设备访问的资源。
例如,当加入预设的资源信息包括应用、应用功能以及接口服务三类资源时,而当前主体设
备发送的网络资源请求中需要请求的是数据资源,则当前主体设备不能访问资源。
[0064] 其中,判断属性信息是否为预设属性信息以及环境信息是否为预设环境信息之前,首先获取主体设备所处的环境信息及主体设备和被访问资源的属性信息。
[0065] 在主体设备访问资源时,其所处的环境信息发生着变化,因此通过部署环境感知模块,动态的感知主体设备所处的环境信息。
[0066] 根据本发明的实施例,可以根据主体信息、资源信息、属性信息及环境信息,判断主体设备是否具有访问主体信息资源的权限,如果是,允许主体设备访问资源,否则,执行
操作S340。
操作S340。
[0067] 其中,操作S340,响应于主体设备不具有访问资源的权限,拒绝主体设备访问资源或引导主体设备执行修复操作,执行操作S340之后,可以返回执行操作S120。
[0068] 首先,根据主体信息制定主体设备对应的用户角色,根据资源信息制定资源角色,然后将用户角色与资源角色建立授权的规则集,使得主体设备与访问的资源信息按照规则
对应,根据关联计算结果及主体信息、资源信息、属性信息及环境信息,自动完成授权规则
集的计算、判定,从而实现主体设备访问资源的权限控制。若判断结果符合访问标准,允许
主体设备访问资源,否则,执行操作S340。
对应,根据关联计算结果及主体信息、资源信息、属性信息及环境信息,自动完成授权规则
集的计算、判定,从而实现主体设备访问资源的权限控制。若判断结果符合访问标准,允许
主体设备访问资源,否则,执行操作S340。
[0069] 在上述操作S340中,引导主体执行修复,如软件安装、补丁安装、网络切换、杀毒等等。修复后以便持续感知再授权访问。因为主体设备在访问资源时,环境信息在发生改变,
比如初始设置必须是使用本地网络进行资源访问,主体设备开始使用的是本地网络进行资
源的访问,但是由于某种原因,网络从本地网络变为WiFi网络,此时决策计算的结果是该主
体设备没有访问资源的权限,但引导主体设备执行修复后,重新感知主体设备的环境信息
时,网络又变成正常的本地网络,此时则可授予该主题设备访问资源的权限。又比如,访问
前主体设备的安全风险等级在标准范围内,当主体设备访问资源时,由于主体设备受到恶
意攻击使得安全风险等级超范围,此时,决策计算的结果将不满足访问资源的权限,但引导
主体设备执行修复后,当重新感知设备环境信息时,由于恶意攻击被解除,此时,主体设备
能够访问资源。因此,通过环境信息的动态感知,即可实现主体设备动态访问资源的控制。
比如初始设置必须是使用本地网络进行资源访问,主体设备开始使用的是本地网络进行资
源的访问,但是由于某种原因,网络从本地网络变为WiFi网络,此时决策计算的结果是该主
体设备没有访问资源的权限,但引导主体设备执行修复后,重新感知主体设备的环境信息
时,网络又变成正常的本地网络,此时则可授予该主题设备访问资源的权限。又比如,访问
前主体设备的安全风险等级在标准范围内,当主体设备访问资源时,由于主体设备受到恶
意攻击使得安全风险等级超范围,此时,决策计算的结果将不满足访问资源的权限,但引导
主体设备执行修复后,当重新感知设备环境信息时,由于恶意攻击被解除,此时,主体设备
能够访问资源。因此,通过环境信息的动态感知,即可实现主体设备动态访问资源的控制。
[0070] 通过上述方法,基于主体、资源、环境、属性等多个维度对主体设备端访问资源权限进行动态权限决策评估及判定,实现资源访问全流程的细粒度、动态访问控制及决策控
制。
制。
[0071] 图4‑图7示意性示出了根据本发明实施例的动态访问权限的控制系统的框图。该系统用于控制主体设备端通过数据通路访问资源,结合图 4、图6、图7所示,动态访问权限
的控制系统400包括:动态决策模块 410以及环境感知模块420。
的控制系统400包括:动态决策模块 410以及环境感知模块420。
[0072] 其中,动态决策模块410用于获取任意一个发起资源访问请求的接受主体设备所任意一个主体设备发送的资源访问请求,其中,资源访问请求包括主体设备的主体信息及
被访问资源的资源信息,以及用于获取主体设备和被访问资源的属性信息。
被访问资源的资源信息,以及用于获取主体设备和被访问资源的属性信息。
[0073] 环境感知模块420用于用于获取主体设备所处的环境信息。例如,用于提供多维度的环境感知能力,如物理PC感知、云桌面虚拟机感知、服务器感知,提供环境状态的采集、分
析能力,作为安全属性进行持续状态评估,并实时上报环境风险信息到属性库,为动态决策
引擎计算提供环境属性。
析能力,作为安全属性进行持续状态评估,并实时上报环境风险信息到属性库,为动态决策
引擎计算提供环境属性。
[0074] 动态决策模块410还用于:基于主体信息、资源信息、属性信息以及环境信息,判断主体设备是否具有访问资源的权限,以及响应于主体设备具有访问资源的权限,允许主体
设备访问资源。
设备访问资源。
[0075] 结合图5、图6、图7所示,本发明的另一实施例中的动态访问权限的控制系统400还包括:主体身份库模块430、资源库模块440、属性库模块450以及权限及策略管理模块460。
其中,图7中的数值“1 至11”可以表示执行的步骤,例如从数值小的步骤依次执行到数值大
的步骤。
其中,图7中的数值“1 至11”可以表示执行的步骤,例如从数值小的步骤依次执行到数值大
的步骤。
[0076] 主体身份库模块430,用于存储预设主体信息,即提供主体身份信息及存储服务,提供用户、用户组、组织机构等主体身份的统一信息存储服务,提供身份目录信息及存储服
务,预设主体信息即表明当前有哪些主体设备可以访问资源。主体身份库由权限策略中进
行授权引用。
务,预设主体信息即表明当前有哪些主体设备可以访问资源。主体身份库由权限策略中进
行授权引用。
[0077] 资源库模块440,用于存储预设资源信息,预设资源信息表明具体访问什么类型的资源。资源是对外提供服务的实体,按照服务粒度,分为四类资源信息:应用资源信息、应用
功能资源信息、数据接口服务资源信息、数据资源信息。每一资源信息采用唯一标识索引、
唯一密码,可用于资源签名。权限中心可对资源库进行授权引用。
功能资源信息、数据接口服务资源信息、数据资源信息。每一资源信息采用唯一标识索引、
唯一密码,可用于资源签名。权限中心可对资源库进行授权引用。
[0078] 属性库模块450,用于存储预设属性信息以及预设环境信息。
[0079] 其中,预设属性信息包括主体属性信息以及资源属性信息,主体属性信息包括预设主体信息对应的主体设备的用户名、标识以及状态信息,资源属性信息包括预设资源信
息对应的资源的资源类型信息、资源安全等级信息以及可用状态信息。
息对应的资源的资源类型信息、资源安全等级信息以及可用状态信息。
[0080] 即,属性库模块包含各类主体、资源、环境的详细属性信息,属性库模块按照不同类别进行组织,主体属性信息包含用户名、标识、状态信息;资源属性信息包括资源类型信
息、资源安全等级信息、可用状态信息;环境属性信息包括时间信息、网络地址信息、地理位
置信息、环境风险信息。
息、资源安全等级信息、可用状态信息;环境属性信息包括时间信息、网络地址信息、地理位
置信息、环境风险信息。
[0081] 其中,动态决策模块410用于判断主体信息是否为预设主体信息以及资源信息是否为预设资源信息,响应于主体信息为预设主体信息以及资源信息为预设资源信息,判断
属性信息是否为预设属性信息以及环境信息是否为预设环境信息,其中,当属性信息为预
设属性信息以及环境信息为预设环境信息时,主体设备具有访问资源的权限。
属性信息是否为预设属性信息以及环境信息是否为预设环境信息,其中,当属性信息为预
设属性信息以及环境信息为预设环境信息时,主体设备具有访问资源的权限。
[0082] 权限及策略管理模块460,用于制定授权策略,以对访问权限、授权策略进行集中管理。其中,权限及策略管理模块460例如包括用户角色管理模块、资源角色管理模块和授
权策略管理模块。其中,用户角色管理模块,用于根据主体信息制定主体设备对应的用户角
色。资源角色管理模块,用于根据被访问资源的资源信息制定资源角色。授权策略管理模
块,用于对用户角色及资源角色做关联计算,得到关联计算结果作为得到授权策略。
权策略管理模块。其中,用户角色管理模块,用于根据主体信息制定主体设备对应的用户角
色。资源角色管理模块,用于根据被访问资源的资源信息制定资源角色。授权策略管理模
块,用于对用户角色及资源角色做关联计算,得到关联计算结果作为得到授权策略。
[0083] 具体地,权限及策略管理模块460可以按内容分为角色管理、授权策略管理。角色管理按类型分为用户角色管理、资源角色管理;用户管理角色根据主体信息制定用户角色,
资源角色管理根据被访问的资源信息制定资源角色,授权策略管理将用户角色、资源角色
动态绑定,建立关联关系,制定授权策略,实现授权的规则集。
资源角色管理根据被访问的资源信息制定资源角色,授权策略管理将用户角色、资源角色
动态绑定,建立关联关系,制定授权策略,实现授权的规则集。
[0084] 其中,动态决策模块410可以提供动态计算引擎,动态计算引擎根据主体信息、资源信息、属性信息、结合用户角色、资源角色及授权策略对数据通路发送的动态访问决策请
求进行授权规则集的动态决策计算,得到动态访问决策结果,根据动态访问决策结果控制
主体设备端通过数据通路访问资源。动态决策模块可为对外提供授权接口服务,为外部各
类设备、应用提供统一授权服务。动态决策模块结合各模块存储的信息控制主体访问资源
权限的过程,通过将识别访问主体、被访问资源、权限策略,结合动态主体、资源、环境多类
属性,经过主体角色、资源角色的动态绑定,实现动态访问权限的控制。
求进行授权规则集的动态决策计算,得到动态访问决策结果,根据动态访问决策结果控制
主体设备端通过数据通路访问资源。动态决策模块可为对外提供授权接口服务,为外部各
类设备、应用提供统一授权服务。动态决策模块结合各模块存储的信息控制主体访问资源
权限的过程,通过将识别访问主体、被访问资源、权限策略,结合动态主体、资源、环境多类
属性,经过主体角色、资源角色的动态绑定,实现动态访问权限的控制。
[0085] 具体地,动态决策模块接受任意一个主体设备发送的资源访问请求,该资源访问请求中包括主体设备的主体信息及被访问资源的资源信息,判断主体信息是否为预设主体
信息,同时,判断资源信息是否为预设资源信息,如果均满足,表明该主体设备具有访问资
格,且具有主体设备访问的资源,则获取环境信息,根据主体信息、资源信息、属性信息及环
境信息,判断主体设备是否具有访问资源的权限,如果是,允许主体设备访问资源,否则,拒
绝主体设备访问资源或引导主体设备执行修复,再动态获取主体设备当前的环境信息,继
续根据获取的主体设备当前的环境状态信息判断主体设备访问资源的权限。
信息,同时,判断资源信息是否为预设资源信息,如果均满足,表明该主体设备具有访问资
格,且具有主体设备访问的资源,则获取环境信息,根据主体信息、资源信息、属性信息及环
境信息,判断主体设备是否具有访问资源的权限,如果是,允许主体设备访问资源,否则,拒
绝主体设备访问资源或引导主体设备执行修复,再动态获取主体设备当前的环境信息,继
续根据获取的主体设备当前的环境状态信息判断主体设备访问资源的权限。
[0086] 其中,引导主体执行修复,如软件安装、补丁安装、网络切换、杀毒等等。修复后以便持续感知再授权访问。动态获取环境信息是因为主体设备在访问资源时,环境信息在发
生改变,比如初始设置必须是使用本地网络进行资源访问,主体设备开始使用的是本地网
络进行资源的访问,但是由于某种原因,网络从本地网络变为WiFi网络,此时决策计算的结
果是该主体设备没有访问资源的权限,但引导主体设备执行修复后,重新感知主体设备的
环境信息时,网络又变成正常的本地网络,此时则可授予该主题设备访问资源的权限。又比
如,目前主体设备的安全风险等级在标准范围内,当主体设备访问资源时,由于主体设备收
到恶意攻击使得安全风险等级超范围,此时,决策计算的结果将不满足访问资源的权限,当
引导主体设备执行修复后,重新感知设备环境信息时,由于恶意攻击被解除,此时,主体设
备能够访问资源。因此,通过环境信息的动态感知,实现主体设备动态访问资源的控制。
生改变,比如初始设置必须是使用本地网络进行资源访问,主体设备开始使用的是本地网
络进行资源的访问,但是由于某种原因,网络从本地网络变为WiFi网络,此时决策计算的结
果是该主体设备没有访问资源的权限,但引导主体设备执行修复后,重新感知主体设备的
环境信息时,网络又变成正常的本地网络,此时则可授予该主题设备访问资源的权限。又比
如,目前主体设备的安全风险等级在标准范围内,当主体设备访问资源时,由于主体设备收
到恶意攻击使得安全风险等级超范围,此时,决策计算的结果将不满足访问资源的权限,当
引导主体设备执行修复后,重新感知设备环境信息时,由于恶意攻击被解除,此时,主体设
备能够访问资源。因此,通过环境信息的动态感知,实现主体设备动态访问资源的控制。
[0087] 综上所述,本发明提出一种基于主体、资源、环境、属性等多个维度的动态访问权限的控制方法及系统,用于控制主体设备端通过数据通路访问资源,解决了传统授权系统
的静态授权、粗粒度授权、仅在访问前进行的弊端。
的静态授权、粗粒度授权、仅在访问前进行的弊端。
[0088] 根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单
元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、
单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门
阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电
路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实
现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实
现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分
地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、
单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门
阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电
路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实
现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实
现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分
地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
[0089] 例如,动态决策模块410、环境感知模块420、主体身份库模块 430、资源库模块440、属性库模块450以及权限及策略管理模块460 中的任意多个可以合并在一个模块中实
现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块
的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公
开的实施例,拦截模块201、识别模块202、响应模块 203中的至少一个可以至少被部分地实
现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的
系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他
的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以
其中任意几种的适当组合来实现。或者,动态决策模块410、环境感知模块420、主体身份库
模块430、资源库模块440、属性库模块450以及权限及策略管理模块 460中的至少一个可以
至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功
能。
现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块
的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公
开的实施例,拦截模块201、识别模块202、响应模块 203中的至少一个可以至少被部分地实
现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的
系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他
的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以
其中任意几种的适当组合来实现。或者,动态决策模块410、环境感知模块420、主体身份库
模块430、资源库模块440、属性库模块450以及权限及策略管理模块 460中的至少一个可以
至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功
能。
[0090] 图8示意性示出了根据本发明实施例的用于动态访问权限的控制的计算机系统的方框图。图8示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带
来任何限制。
来任何限制。
[0091] 如图8所示,实现动态访问权限的控制的计算机系统800包括处理器801、计算机可读存储介质802。该系统800可以执行根据本公开实施例的方法。
[0092] 具体地,处理器801例如可以包括通用微处理器、指令集处理器和 /或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器801还可以包括用于缓存用
途的板载存储器。处理器801可以是用于执行根据本公开实施例的方法流程的不同动作的
单一处理单元或者是多个处理单元。
途的板载存储器。处理器801可以是用于执行根据本公开实施例的方法流程的不同动作的
单一处理单元或者是多个处理单元。
[0093] 计算机可读存储介质802,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、
器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储
装置,如光盘(CD‑ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链
路。
器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储
装置,如光盘(CD‑ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链
路。
[0094] 计算机可读存储介质802可以包括计算机程序803,该计算机程序 803可以包括代码/计算机可执行指令,其在由处理器801执行时使得处理器801执行根据本公开实施例的
方法或其任何变形。
方法或其任何变形。
[0095] 计算机程序803可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序803中的代码可以包括一个或多个程序模块,例如包括
803A、模块803B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可
以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器 801
执行时,使得处理器801可以执行根据本公开实施例的方法或其任何变形。
803A、模块803B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可
以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器 801
执行时,使得处理器801可以执行根据本公开实施例的方法或其任何变形。
[0096] 根据本公开的实施例,动态决策模块410、环境感知模块420、主体身份库模块430、资源库模块440、属性库模块450以及权限及策略管理模块460中的至少一个可以实现为参
考图8描述的计算机程序模块,其在被处理器801执行时,可以实现上面描述的相应操作。
考图8描述的计算机程序模块,其在被处理器801执行时,可以实现上面描述的相应操作。
[0097] 本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/
系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被
执行时,实现根据本公开实施例的方法。
系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被
执行时,实现根据本公开实施例的方法。
[0098] 根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器
(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD‑ROM)、光
存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可
以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或
者与其结合使用。
(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD‑ROM)、光
存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可
以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或
者与其结合使用。
[0099] 附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代
表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个
用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所
标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际
上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要
注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规
定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组
合来实现。
表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个
用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所
标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际
上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要
注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规
定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组
合来实现。
[0100] 尽管已经参照本发明的特定示例性实施例示出并描述了本发明,但在不背离所附权利要求及其等同物限定的本发明的精神和范围的情况下,可对本发明进行形式和细节上
的多种改变。因此,本发明的范围不应该限于上述实施例,而是应该不仅由所附权利要求来
进行确定,还由所附权利要求的等同物来进行限定。
的多种改变。因此,本发明的范围不应该限于上述实施例,而是应该不仅由所附权利要求来
进行确定,还由所附权利要求的等同物来进行限定。