一种访问控制方法、装置、设备及机器可读存储介质与流程

1.本公开涉及通信技术领域，尤其是涉及一种访问控制方法、装置、设备及机器可读存储介质。


背景技术：

2.云平台以强大的并行计算以及分布式存储能力为支撑，为用户提供各种应用与服务。云平台面向多类用户，平台的访问控制系统应为不同类别的用户提供权限控制，资源访问限制，从而使用户更安全地使用平台。访问控制包含主体、客体、控制策略三个要素，主体是指提出访问资源的具体请求，是某一操作动作的发起者，比如用户；客体是被访问资源的实体，比如数据资源；控制策略是主体对客体的相关访问规则集合。
3.访问控制的主要目的是限制访问主体对客体的访问，保障数据资源在合法范围内得以有效使用和管理。一般的访问控制模型具有决策功能和执行功能，根据访问控制策略规则、上下文信息、主体和客体的信息等执行决策，根据决策结果对访问执行放行、阻断等操作。
4.一种访问控制策略中采用自主访问。自主访问控制是基于主体的识别来限制对客体的访问，并且判断请求是否符合控制策略，它允许访问权的传递，但传递的权限不好管理，存在不确定的安全隐患。自主访问控制系统中每个节点可以自主地控制其他人对自己数据的访问，每个资源数据对象对应一个访问控制列表acl，它包括所允许访问的用户和组列表，以及每个用户或组的访问级别。但该方法容易引发安全漏洞，而且访问控制列表的维护性和扩展性能差，权限的授予与回收的灵活性较差。


技术实现要素：

5.有鉴于此，本公开提供一种访问控制方法、装置及电子设备、机器可读存储介质，以改善上述安全性不足、灵活性不足至少之一的问题。
6.具体地技术方案如下：
7.本公开提供了一种访问控制方法，应用于安全设备，所述方法包括：接收客户端发送的用户的访问请求，认证所述用户的合法性；获取合法的用户的角色信息和岗位信息，根据用户的角色信息判断用户是否具有所述访问请求关联的功能权限，根据用户的岗位信息判断用户是否具有所述访问请求关联的数据类别的权限；将具有关联的用户具有相应权限的访问请求转发至云平台，并将云平台根据所述访问请求返回的信息转发至客户端。
8.作为一种技术方案，所述接收客户端发送的用户的访问请求，认证所述用户的合法性，包括：根据记录的用户的动作记录，生成关联于该用户的信任值，认证信任值大于等于第一阈值的用户为合法用户，所述第一阈值关联于所述用户的角色信息和岗位信息。
9.作为一种技术方案，包括：认证信任值大于等于第一阈值且小于第二阈值的用户为二次审批用户，对二次审批用户根据预设策略进行二次审批，认证二次审批通过的二次审批用户为合法用户。
10.作为一种技术方案，所述接收客户端发送的用户的访问请求，包括：接受已登录用户的访问请求，认证所述用户的合法性；所述已登录用户是安全设备根据用户发送的登录请求完成验证后允许登录的用户。
11.本公开同时提供了一种访问控制装置，应用于安全设备，所述装置包括：账户模块，用于接收客户端发送的用户的访问请求，认证所述用户的合法性；权限模块，用于获取合法的用户的角色信息和岗位信息，根据用户的角色信息判断用户是否具有所述访问请求关联的功能权限，根据用户的岗位信息判断用户是否具有所述访问请求关联的数据类别的权限；转发模块，用于将具有关联的用户具有相应权限的访问请求转发至云平台，并将云平台根据所述访问请求返回的信息转发至客户端。
12.作为一种技术方案，所述接收客户端发送的用户的访问请求，认证所述用户的合法性，包括：根据记录的用户的动作记录，生成关联于该用户的信任值，认证信任值大于等于第一阈值的用户为合法用户，所述第一阈值关联于所述用户的角色信息和岗位信息。
13.作为一种技术方案，包括：认证信任值大于等于第一阈值且小于第二阈值的用户为二次审批用户，对二次审批用户根据预设策略进行二次审批，认证二次审批通过的二次审批用户为合法用户。
14.作为一种技术方案，所述接收客户端发送的用户的访问请求，包括：接受已登录用户的访问请求，认证所述用户的合法性；所述已登录用户是安全设备根据用户发送的登录请求完成验证后允许登录的用户。
15.本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的访问控制方法。
16.本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的访问控制方法。
17.本公开提供的上述技术方案至少带来了以下有益效果：
18.根据预先定义及可以灵活更改重新配置的对应于不同功能权限的角色信息和不同数据类别的岗位信息，定义相对应的用户的访问权限，从而实现对用户权限灵活配置，以安全设备作为云平台的代理，居中验证和转发用户访问请求的合法性和权限，提高云平台的安全性。
附图说明
19.为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。
20.图1是本公开一种实施方式中的访问控制方法的流程图；
21.图2是本公开一种实施方式中的访问控制装置的结构图；
22.图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
23.在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
24.应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
25.本公开提供一种访问控制方法、装置及电子设备、机器可读存储介质，以改善上述安全性不足、灵活性不足至少之一的问题。
26.具体地，技术方案如后述。
27.在一种实施方式中，本公开提供了一种访问控制方法，应用于安全设备，所述方法包括：接收客户端发送的用户的访问请求，认证所述用户的合法性；获取合法的用户的角色信息和岗位信息，根据用户的角色信息判断用户是否具有所述访问请求关联的功能权限，根据用户的岗位信息判断用户是否具有所述访问请求关联的数据类别的权限；将具有关联的用户具有相应权限的访问请求转发至云平台，并将云平台根据所述访问请求返回的信息转发至客户端。
28.具体地，如图1，包括以下步骤：
29.步骤s11，接收客户端发送的用户的访问请求，认证所述用户的合法性；
30.步骤s12，获取合法的用户的角色信息和岗位信息，根据用户的角色信息判断用户是否具有所述访问请求关联的功能权限，根据用户的岗位信息判断用户是否具有所述访问请求关联的数据类别的权限；
31.步骤s13，将具有关联的用户具有相应权限的访问请求转发至云平台，并将云平台根据所述访问请求返回的信息转发至客户端。
32.根据预先定义及可以灵活更改重新配置的对应于不同功能权限的角色信息和不同数据类别的岗位信息，定义相对应的用户的访问权限，从而实现对用户权限灵活配置，以安全设备作为云平台的代理，居中验证和转发用户访问请求的合法性和权限，提高云平台的安全性
33.在一种实施方式中，所述接收客户端发送的用户的访问请求，认证所述用户的合法性，包括：根据记录的用户的动作记录，生成关联于该用户的信任值，认证信任值大于等于第一阈值的用户为合法用户，所述第一阈值关联于所述用户的角色信息和岗位信息。
34.在一种实施方式中，包括：认证信任值大于等于第一阈值且小于第二阈值的用户为二次审批用户，对二次审批用户根据预设策略进行二次审批，认证二次审批通过的二次审批用户为合法用户。
35.在一种实施方式中，所述接收客户端发送的用户的访问请求，包括：接受已登录用户的访问请求，认证所述用户的合法性；所述已登录用户是安全设备根据用户发送的登录请求完成验证后允许登录的用户。
36.在一种实施方式中，安全设备作为访问控制系统，包括安全代理、认证管理、账户管理、权限管理、云监控功能单元。其中，安全代理单元是访问的入口，代理转发用户的登录和资源操作请求，通过权限切面实现业务规则的适配，细粒度控制访问的流向，实现合法用户的单点登录等；认证管理单元配合安全代理实现用户登录统一身份认证，对新账户进行注册，对登录的账户进行认证等；账户管理单元对用户信息进行保存，并维护用户的基础数据参数、环境参数和信任值数据等，依据信任值和信任值阈值设置关联于阈值的动作；权限管理单元对系统的角色进行定义，分配用户关联的角色可操作功能的权限，对数据类别按岗位属性划分，实现不同用户的不同数据访问权限，用户可访问的数据受规则集约束；云监控单元记录用户操作和访问环境等信息，对用户行为进行分析计算更新用户的信任值和告警设置，并实现对日志进行导出、推送、自定义类型展示等。
37.访问控制系统能够代理外部网络上的客户端访问云平台，从而能在一定程度上保护原始网页信息不被攻击破坏，能够提升云平台的安全性。当用户发送http登录请求时会被访问控制系统拦截，访问控制系统解析登录信息，判断用户的合法性，将收到的返回结果转回给用户，对合法的用户完成单点登录。当用户成功登录后对资源的访问请求也是通过访问控制系统验证后转发给云平台，访问控制系统解析请求的xml中api字段或url中的关键字在权限管理模块的权限数据库进行查询，结合访问返回结果进行访问控制，对允许的正常操作请求会直接转发给云平台，禁止的操作会被阻断，对低信任值的用户的行为将根据策略选择阻断、告警、或二次审批等操作，并将返回结果转给用户，例如，用户信任值低于第一阈值的，认证用户不合法，对于用户访问请求进行阻断，信任值高于第一阈值但低于第二阈值的，对用户根据预设策略进行二次审批，预设策略可以是云平台审批、人工审批或其他符合要求的预先设置的策略。
38.为每个用户分配角色信息和岗位信息，用户的角色信息决定用户的功能权限，用户的岗位信息决定其可访问的数据类别，提高对数据访问的灵活性和安全性。可以在功能和数据两个层面自定义业务访问规则，基于不同的业务需求进行细粒度数据访问控制，规则的属性可以包含：控制的数据业务数据表、字段名、判断条件、判断对象、岗位、优先级等。
39.系统管理员在信任管理处配置指定用户的信任策略，策略包括信任阈值设置和超过阈值后的执行动作，执行动作包括：阻断、告警、二次授权等。当受监控的用户访问完成身份验证后，初始化信任值，然后对其行为进行监测和信息分析，对于可疑行为根据行为种类结合行为库更新可信度，当该用户的信任度低于阈值时执行指定的动作。
40.信任值的计算是基于用户行为数据，行为数据库记录用户行为，其数据来源从网络流量中挖掘，比如：用户登录异常次数、用户非法连接次数、用户扫描重要端口次数等。在用户与平台的交互过程中，表现合法并且能够正常的结束的用户行为对应信任值的一个正增量，表现非法的行为对应信任值的一个负增量，并且基于时间对信任值进行调整，如果用户活跃度过低即长久没有与云平台互动，则会使其信任值下降。该动态用户信任值评估方法根据新行为的动作增量来更新被监控用户的信任值，根据动态的信任值变化结合安全策略来保证云平台安全，保护云平台资源不被破坏。
41.实时监控用户行为、用户环境信息、用户操作信息等，考虑用户行为信息和用户环境信息对用户的权限信息存在的影响性。用户操作记录的类别包括用户操作类日志和平台管理日志。用户操作类日志记录用户对云平台资源的操作行为、操作对象、操作时间等。平
台管理日志是记录运维人员对云平台的维护工作。并可配置告警配置，对权限监控，对权限信任值发生变化，存在潜在危险的访问等进行邮件推送告警和系统告警等功能。
42.在一种实施方式中，本公开同时提供了一种访问控制装置，如图2，应用于安全设备，所述装置包括：账户模块21，用于接收客户端发送的用户的访问请求，认证所述用户的合法性；权限模块22，用于获取合法的用户的角色信息和岗位信息，根据用户的角色信息判断用户是否具有所述访问请求关联的功能权限，根据用户的岗位信息判断用户是否具有所述访问请求关联的数据类别的权限；转发模块23，用于将具有关联的用户具有相应权限的访问请求转发至云平台，并将云平台根据所述访问请求返回的信息转发至客户端。
43.在一种实施方式中，所述接收客户端发送的用户的访问请求，认证所述用户的合法性，包括：根据记录的用户的动作记录，生成关联于该用户的信任值，认证信任值大于等于第一阈值的用户为合法用户，所述第一阈值关联于所述用户的角色信息和岗位信息。
44.在一种实施方式中，包括：认证信任值大于等于第一阈值且小于第二阈值的用户为二次审批用户，对二次审批用户根据预设策略进行二次审批，认证二次审批通过的二次审批用户为合法用户。
45.在一种实施方式中，所述接收客户端发送的用户的访问请求，包括：接受已登录用户的访问请求，认证所述用户的合法性；所述已登录用户是安全设备根据用户发送的登录请求完成验证后允许登录的用户。
46.装置实施方式与对应的方法实施方式相同或相似，在此不再赘述。
47.在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的访问控制方法，从硬件层面而言，硬件架构示意图可以参见图3所示。
48.在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的访问控制方法。
49.这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：ram(radom access memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。
50.上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
51.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
52.本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方
面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
53.本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
54.而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
55.这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
56.本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
57.以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。