动态访问权限的控制方法及系统转让专利
申请号 : CN201910693982.X
文献号 : CN110298188B
文献日 : 2021-04-23
发明人 : 张泽洲 , 魏勇 , 简明 , 左英男
申请人 : 奇安信科技集团股份有限公司
摘要 :
权利要求 :
1.一种动态访问权限的控制方法,其特征在于,包括:获取任意一个主体设备发送的资源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息;
获取所述主体设备和所述被访问资源的属性信息,其中,所述属性信息包括所述主体设备的主体属性信息和所述被访问资源的资源属性信息,其中,所述主体属性信息包括主体状态信息,所述资源属性信息包括资源可用状态信息;
获取所述主体设备所处的环境信息,其中,所述环境信息包括网络地址、地址位置、环境风险信息中的至少一个;
基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,其中,在所述主体信息为预设主体信息、所述资源信息为预设资源信息、所述主体状态信息表征主体设备上一次访问正常、所述资源可用状态信息表征资源处于可用状态以及所述环境信息为预设环境信息的情况下,表征所述主体设备具有访问所述资源的权限;以及
响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
2.根据权利要求1所述的动态访问权限的控制方法,其特征在于,所述基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,包括:
判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息;以及响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为预设属性信息以及所述环境信息是否为预设环境信息;
其中,当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
3.根据权利要求2所述的动态访问权限的控制方法,其特征在于,所述判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息,包括:根据所述主体信息制定所述主体设备对应的用户角色;
根据所述资源信息制定所述资源对应的资源角色;
对所述用户角色及所述资源角色进行关联计算,得到关联计算结果;以及基于所述关联计算结果判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息。
4.根据权利要求1所述的动态访问权限的控制方法,其特征在于,所述方法还包括以下至少一项:
建立主体身份库,所述主体身份库用于存储所述预设主体信息;
建立资源库,所述资源库用于存储所述预设资源信息,所述预设资源信息至少包括其对应的资源的资源标识;以及
建立属性库,所述属性库用于存储所述预设主体信息对应的主体设备的环境信息、所述预设资源信息对应的资源的资源类型、所述预设资源信息对应的资源的安全等级以及所述预设资源信息对应的资源的可用状态信息。
5.根据权利要求1所述的动态访问权限的控制方法,其特征在于,所述方法还包括:响应于所述主体设备不具有访问所述资源的权限,拒绝所述主体设备访问所述资源或引导所述主体设备执行修复操作。
6.一种动态访问权限的控制系统,其特征在于,包括:动态决策模块,用于获取任意一个发起资源访问请求的主体设备所发送的资源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息,以及用于获取所述主体设备和所述被访问资源的属性信息,其中,所述属性信息包括所述主体设备的主体属性信息和所述被访问资源的资源属性信息,其中,所述主体属性信息包括主体状态信息,所述资源属性信息包括资源可用状态信息;
环境感知模块,用于获取所述主体设备所处的环境信息,其中,所述环境信息包括网络地址、地址位置、环境风险信息中的至少一个;
所述动态决策模块还用于:基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,其中,在所述主体信息为预设主体信息、所述资源信息为预设资源信息、所述主体状态信息表征主体设备上一次访问正常、所述资源可用状态信息表征资源处于可用状态以及所述环境信息为预设环境信息的情况下,表征所述主体设备具有访问所述资源的权限,以及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
7.根据权利要求6所述的动态访问权限的控制系统,其特征在于,所述系统还包括:主体身份库模块,用于存储预设主体信息;
资源库模块,用于存储预设资源信息;
属性库模块,用于存储预设属性信息以及预设环境信息;
其中,所述动态决策模块用于判断所述主体信息是否为所述预设主体信息以及所述资源信息是否为所述预设资源信息,响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为所述预设属性信息以及所述环境信息是否为所述预设环境信息,其中,当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
8.根据权利要求7所述的动态访问权限的控制系统,其特征在于,所述系统还包括权限及策略管理模块,用于制定授权策略;所述权限及策略管理模块包括:用户角色管理模块,用于根据所述主体信息制定所述主体设备对应的用户角色;
资源角色管理模块,用于根据所述被访问资源的资源信息制定资源角色;以及授权策略管理模块,用于对所述用户角色及所述资源角色做关联计算,得到关联计算结果作为所述授权策略。
9.根据权利要求7所述的动态访问权限的控制系统,其特征在于,所述预设属性信息包括主体属性信息以及资源属性信息:所述主体属性信息包括所述预设主体信息对应的主体设备的用户名、标识以及状态信息;
所述资源属性信息包括所述预设资源信息对应的资源的资源类型信息、资源安全等级信息以及可用状态信息。
10.根据权利要求7所述的动态访问权限的控制系统,其特征在于,所述环境信息包括时间信息、网络地址信息、地理位置信息以及环境风险信息,每一所述预设资源信息对应的资源设置有唯一标识。
说明书 :
动态访问权限的控制方法及系统
技术领域
背景技术
完成后不再进行控制。
体、资源、属性、授权策略多个维度进行判定,是一个动态过程。授权对象的精细化访问控
制,即包含谁、使用什么设备访问资源、在何时何地如何操作、操作结果。并对整个访问过程
实施动态访问控制策略。因此,提出一种满足实际发展需求的动态访问权限的控制系统及
方法很有必要。
发明内容
生在首次访问资源时,完成后不再进行控制等问题。
源信息,获取所述主体设备和所述被访问资源的属性信息,获取所述主体设备所处的环境
信息,基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息,判断所述主体
设备是否具有访问所述资源的权限,以及响应于所述主体设备具有访问所述资源的权限,
允许所述主体设备访问所述资源。
主体信息以及所述资源信息是否为预设资源信息,响应于所述主体信息为所述预设主体信
息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为预设属性信息以及所
述环境信息是否为预设环境信息,其中,当所述属性信息为所述预设属性信息以及所述环
境信息为所述预设环境信息时,所述主体设备具有访问所述资源的权限。
息制定所述资源对应的资源角色,对所述用户角色及所述资源角色进行关联计算,得到关
联计算结果,基于所述关联计算结果判断所述主体信息是否为预设主体信息以及所述资源
信息是否为预设资源信息。
信息至少包括其对应的资源的资源标识,建立属性库,所述属性库用于存储所述预设主体
信息对应的主体设备的环境信息、所述预设资源信息对应的资源的资源类型、所述预设资
源信息对应的资源的安全等级以及所述预设资源信息对应的资源的可用状态信息。
源访问请求,其中,所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源
信息,以及用于获取所述主体设备和所述被访问资源的属性信息。环境感知模块,用于获取
所述主体设备所处的环境信息。所述动态决策模块还用于:基于所述主体信息、所述资源信
息、所述属性信息以及所述环境信息,判断所述主体设备是否具有访问所述资源的权限,以
及响应于所述主体设备具有访问所述资源的权限,允许所述主体设备访问所述资源。
于存储预设属性信息以及预设环境信息,其中,所述动态决策模块用于判断所述主体信息
是否为所述预设主体信息以及所述资源信息是否为所述预设资源信息,响应于所述主体信
息为所述预设主体信息以及所述资源信息为所述预设资源信息,判断所述属性信息是否为
所述预设属性信息以及所述环境信息是否为所述预设环境信息,其中,当所述属性信息为
所述预设属性信息以及所述环境信息为所述预设环境信息时,所述主体设备具有访问所述
资源的权限。
户角色管理模块用于根据所述主体信息制定所述主体设备对应的用户角色,资源角色管理
模块用于根据所述被访问资源的资源信息制定资源角色,授权策略管理模块用于对所述用
户角色及所述资源角色做关联计算,得到关联计算结果作为所述授权策略。
信息包括所述预设资源信息对应的资源的资源类型信息、资源安全等级信息以及可用状态
信息。
有计算机可执行指令,所述指令被所述一个或多个处理器执行时用以实现如上所述的动态
访问权限的控制方法。
在主体访问资源的全流程,实时动态进行多维度、细粒度的权限策略及授权评估,以动态控
制主体设备端的访问资源的权限。
附图说明
具体实施方式
节以提供对本发明实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细
节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免
不必要地混淆本发明的概念。
绑定,在主体访问资源的全流程,实时动态进行多维度、细粒度的权限策略及授权评估。动
态授权评估结果可用于指导、控制访问过程及最终授权访问结果,评估结果以接口方式对
外发布。通过本发明,实现了主体、资源、属性、角色、权限之间的动态关联与动态绑定,实现
资源访问全流程的细粒度、动态访问控制及决策控制。
其中,当主体设备需要访问资源时,可以通过发送资源访问请求,资源所在服务器通过对资
源访问请求进行授权验证,验证通过则允许主体设备访问相应资源。
一密码等等。
例如包括资源类型、资源安全等级,资源可用状态信息等等。
复操作。
息是实时变化的,因此,基于环境信息进行授权验证可以实现动态授权的效果,实现主体设
备每次访问资源都实时验证该环境信息,而不是仅在首次访问时授权验证,以此实现了动
态授权,提高资源访问的安全性。
标识包括主体设备1、主体设备2、主体设备3等等。同理,预设资源信息可以是预先存储的资
源的相关信息,例如,预先存储有多个资源,该多个资源对应的预设资源信息可以是资源信
息(资源标识),例如资源标识包括资源1、资源2、资源3等等。当接收到主体设备1访问资源1
时,确定主体设备1为预设主体信息,资源1为预设资源信息,此时,可以进一步判断属性信
息是否为预设属性信息以及环境信息是否为预设环境信息。
性信息以及环境信息为预设环境信息时,主体设备具有访问资源的权限。
间(例如预设时间为9:00~18: 00)。
间为12:00,则允许主体设备1访问资源1。
主体设备3属于第二类用户角色,资源1属于第一类资源角色,资源2和资源3属于第二类资
源角色。并且预先定义如下预设角色规则:第一类用户角色能够访问第一类资源角色,第二
类用户角色能够访问第二类资源角色。
用户角色访问第一类资源角色。此时,第一类用户角色访问第一类资源角色满足预设角色
规则,则允许主体设备1访问资源1。
角色访问第二类资源角色。此时,第一类用户角色访问第二类资源角色不满足预设角色规
则,则拒绝主体设备1访问资源2。
S150以及操作S310~S340。其中,操作S110~S150与上参考图1描述的操作相同或类似。
设资源信息对应的资源的可用状态信息。
体信息、预设资源信息及属性信息分别录入主体身份库、资源库及属性库,预设资源信息与
被访问的资源一一对应,至少用于表示其对应的资源类型。预设主体信息即表明当前有哪
些主体设备可以访问资源,预设资源信息表明具体访问什么类型的资源。
例如包括主体属性、资源属性。主体属性包含用户名、标识、状态信息;资源属性包括资源类
型、资源安全等级、可用状态信息;环境属性包括:时间、网络地址、地理位置、环境风险信
息。
是否为预设属性信息以及环境信息是否为预设环境信息,否则,拒绝主体设备访问资源。
理PC的主体信息,则只允许物理PC进行访问,而云桌面虚拟机、服务器等不能访问。预设的
资源信息中包括资源访问请求中携带的资源信息,则表明具有目前主体设备访问的资源。
例如,当加入预设的资源信息包括应用、应用功能以及接口服务三类资源时,而当前主体设
备发送的网络资源请求中需要请求的是数据资源,则当前主体设备不能访问资源。
操作S340。
对应,根据关联计算结果及主体信息、资源信息、属性信息及环境信息,自动完成授权规则
集的计算、判定,从而实现主体设备访问资源的权限控制。若判断结果符合访问标准,允许
主体设备访问资源,否则,执行操作S340。
比如初始设置必须是使用本地网络进行资源访问,主体设备开始使用的是本地网络进行资
源的访问,但是由于某种原因,网络从本地网络变为WiFi网络,此时决策计算的结果是该主
体设备没有访问资源的权限,但引导主体设备执行修复后,重新感知主体设备的环境信息
时,网络又变成正常的本地网络,此时则可授予该主题设备访问资源的权限。又比如,访问
前主体设备的安全风险等级在标准范围内,当主体设备访问资源时,由于主体设备受到恶
意攻击使得安全风险等级超范围,此时,决策计算的结果将不满足访问资源的权限,但引导
主体设备执行修复后,当重新感知设备环境信息时,由于恶意攻击被解除,此时,主体设备
能够访问资源。因此,通过环境信息的动态感知,即可实现主体设备动态访问资源的控制。
制。
的控制系统400包括:动态决策模块 410以及环境感知模块420。
被访问资源的资源信息,以及用于获取主体设备和被访问资源的属性信息。
析能力,作为安全属性进行持续状态评估,并实时上报环境风险信息到属性库,为动态决策
引擎计算提供环境属性。
设备访问资源。
其中,图7中的数值“1 至11”可以表示执行的步骤,例如从数值小的步骤依次执行到数值大
的步骤。
务,预设主体信息即表明当前有哪些主体设备可以访问资源。主体身份库由权限策略中进
行授权引用。
功能资源信息、数据接口服务资源信息、数据资源信息。每一资源信息采用唯一标识索引、
唯一密码,可用于资源签名。权限中心可对资源库进行授权引用。
息对应的资源的资源类型信息、资源安全等级信息以及可用状态信息。
息、资源安全等级信息、可用状态信息;环境属性信息包括时间信息、网络地址信息、地理位
置信息、环境风险信息。
属性信息是否为预设属性信息以及环境信息是否为预设环境信息,其中,当属性信息为预
设属性信息以及环境信息为预设环境信息时,主体设备具有访问资源的权限。
权策略管理模块。其中,用户角色管理模块,用于根据主体信息制定主体设备对应的用户角
色。资源角色管理模块,用于根据被访问资源的资源信息制定资源角色。授权策略管理模
块,用于对用户角色及资源角色做关联计算,得到关联计算结果作为得到授权策略。
资源角色管理根据被访问的资源信息制定资源角色,授权策略管理将用户角色、资源角色
动态绑定,建立关联关系,制定授权策略,实现授权的规则集。
求进行授权规则集的动态决策计算,得到动态访问决策结果,根据动态访问决策结果控制
主体设备端通过数据通路访问资源。动态决策模块可为对外提供授权接口服务,为外部各
类设备、应用提供统一授权服务。动态决策模块结合各模块存储的信息控制主体访问资源
权限的过程,通过将识别访问主体、被访问资源、权限策略,结合动态主体、资源、环境多类
属性,经过主体角色、资源角色的动态绑定,实现动态访问权限的控制。
信息,同时,判断资源信息是否为预设资源信息,如果均满足,表明该主体设备具有访问资
格,且具有主体设备访问的资源,则获取环境信息,根据主体信息、资源信息、属性信息及环
境信息,判断主体设备是否具有访问资源的权限,如果是,允许主体设备访问资源,否则,拒
绝主体设备访问资源或引导主体设备执行修复,再动态获取主体设备当前的环境信息,继
续根据获取的主体设备当前的环境状态信息判断主体设备访问资源的权限。
生改变,比如初始设置必须是使用本地网络进行资源访问,主体设备开始使用的是本地网
络进行资源的访问,但是由于某种原因,网络从本地网络变为WiFi网络,此时决策计算的结
果是该主体设备没有访问资源的权限,但引导主体设备执行修复后,重新感知主体设备的
环境信息时,网络又变成正常的本地网络,此时则可授予该主题设备访问资源的权限。又比
如,目前主体设备的安全风险等级在标准范围内,当主体设备访问资源时,由于主体设备收
到恶意攻击使得安全风险等级超范围,此时,决策计算的结果将不满足访问资源的权限,当
引导主体设备执行修复后,重新感知设备环境信息时,由于恶意攻击被解除,此时,主体设
备能够访问资源。因此,通过环境信息的动态感知,实现主体设备动态访问资源的控制。
的静态授权、粗粒度授权、仅在访问前进行的弊端。
元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、
单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门
阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电
路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实
现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实
现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分
地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块
的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公
开的实施例,拦截模块201、识别模块202、响应模块 203中的至少一个可以至少被部分地实
现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的
系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他
的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以
其中任意几种的适当组合来实现。或者,动态决策模块410、环境感知模块420、主体身份库
模块430、资源库模块440、属性库模块450以及权限及策略管理模块 460中的至少一个可以
至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功
能。
来任何限制。
途的板载存储器。处理器801可以是用于执行根据本公开实施例的方法流程的不同动作的
单一处理单元或者是多个处理单元。
器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储
装置,如光盘(CD‑ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链
路。
方法或其任何变形。
803A、模块803B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可
以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器 801
执行时,使得处理器801可以执行根据本公开实施例的方法或其任何变形。
考图8描述的计算机程序模块,其在被处理器801执行时,可以实现上面描述的相应操作。
系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被
执行时,实现根据本公开实施例的方法。
(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD‑ROM)、光
存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可
以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或
者与其结合使用。
表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个
用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所
标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际
上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要
注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规
定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组
合来实现。
的多种改变。因此,本发明的范围不应该限于上述实施例,而是应该不仅由所附权利要求来
进行确定,还由所附权利要求的等同物来进行限定。