一种控制用户访问对象的方法和系统与流程

1.本发明涉及计算机安全技术领域，尤其涉及一种控制用户访问对象的方法和系统。


背景技术：

2.在安全访问控制领域，现有的权限控制方法例如rbac(role-based-access-control)模型，因为其对授权管理能力的支持而被广泛的使用。通过角色的引入，只需要将权限分配给具有相应责任和资格的角色，用户就可以通过被赋予各种角色而获得该角色的所有权限。用户、角色和权限三者之间的关系也存在对应的关系。但是将rbac模型应用到工作流中，具有以下问题：(1)用户凭借角色获得任务处理的权限，但是角色也可能处理角色责任外的任务，没有考虑到角色任务的多样性。(2)rbac模型对于工作流任务中权限的动态分配和权限的最小原则支持性较差。(3)用户通过角色获得相应的权限后，权限会一直存在，送也是一个安全隐患。
3.而如果选择基于任务的访问控制模型，(task-based access control，tbac)将访问权限与工作流任务联系起来，从任务的角度来建立访问控制模型，用户的权限随着任务的执行而被激活，并且在任务执行完成后，权限被收回，这样便在一定程度上满足了权限的动态分配和最小原则。鉴于tbac模型中，任务权限随着执行任务的环境变化而变化，因此它非常适用于工作流系统的安全模型。但是tbac模型的缺点是没有进一步的给出形式化描述，也没有考虑各种安全约束。
4.而在例如专利cn201811483548所公开的一种控制用户访问对象的系统和方法中，通过设置有向无环图结构表征权限关系以实现权限管理的精细化程度和灵活性，然而，对于复杂的分布式系统而言，并不是所有的节点信息都是正确的，以访问对象作为权限控制的客体，并不能区分访问对象所述的分布式节点的真实性，特别是在分布式系统中存在着为了信息安全而设置的虚拟节点时，若访问对象对应于虚拟节点时则无法进行正确的权限管理，并且对于恶意访问也无法进行权限管理的细分。


技术实现要素：

5.本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明公开一种控制用户访问对象的方法，所述方法包括如下步骤：
6.步骤1，通过分布式系统的中间服务平台获取用户访问对象的请求；
7.步骤2，将所述用户访问对象的表达形式转换为预设形式后，通过摘要算法计算预设形式的用户访问对象的数据摘要，并根据所述用户访问对象的数据摘要在所述数据表中查询所述用户访问对象的所属的节点；
8.步骤3，判断用户访问对象对应的所述所属的节点的类型形式，当判断所述节点的类型为真实节点时，则在所述数据表中查询该节点对应的权限管理策略，根据该节点对应的权限管理策略反馈用户访问对象的请求；
9.步骤4，当判断所述节点的类型为虚拟节点时，中间服务平台对该用户进行可信验证，当判断该用户为可信用户后，允许用户访问所述中间服务平台的可信区域，其中，所述可信区域包括虚拟节点信息对应的数据表；
10.步骤5，遍历所述虚拟节点信息对应的数据表，查询是否存在用户访问对象对应的虚拟节点，若存在，则查询该虚拟节点对应的真实节点，并按照该真实节点的权限管理策略反馈用户访问对象的请求，若不存在，则判断该虚拟节点为蜜罐节点，并判断该用户的访问为恶意访问以及记录该用户的信息数据。
11.更进一步地，在所述步骤1之前，需要验证用户的身份，所述中间服务平台接收用户的登录请求，在完成登录验证后，所述中间服务平台验证该用户对应的第一访问权限，其中，所述第一访问权限包括可以访问的分布式系统的节点id范围。
12.更进一步地，在所述查询所述用户访问对象的所属的节点之后，判断所述的节点id是否存在于该用户的第一访问权限对应的节点id范围内，若不在该用户的第一权限范围内，则判断该用户的访问为恶意访问以及记录该用户的信息数据。
13.更进一步地，所述步骤1进一步包括：所述中间服务平台的数据表中存储有所述分布式系统中各个节点内容的数据摘要，所述数据表中还存储有各个节点的id和所述数据摘要的对应关系。
14.更进一步地，所述步骤2中的所述在所述数据表中查询所述用户访问对象的所属的节点进一步包括：在原有的数据表中查询该访问对象对应的所属节点，若未查询到对应的节点id信息，则更新数据表中的各个节点内容的数据摘要。
15.更进一步地，在预设周期内，若未查询到对应的节点id信息的次数大于预设值则判断该用户的访问请求为恶意访问，记录该用户的信息数据并发送至系统管理人员。
16.本发明还公开了一种控制用户访问对象的系统，包括如下模块：
17.请求获取模块，通过分布式系统的中间服务平台获取用户访问对象的请求，所述中间服务平台的数据表中存储有所述分布式系统中各个节点内容的数据摘要，所述数据表中还存储有各个节点的id和所述数据摘要的对应关系；
18.对象判断模块，将所述用户访问对象的表达形式转换为预设形式后，通过摘要算法计算预设形式的用户访问对象的数据摘要，并根据所述用户访问对象的数据摘要在所述数据表中查询所述用户访问对象的所属的节点，在原有的数据表中查询该访问对象对应的所属节点，若未查询到对应的节点id信息，则更新数据表中的各个节点内容的数据摘要，然后在更新后的数据表中继续查找访问对象对应的节点id信息，当在预设周期内，若未查询到对应的节点id信息的次数大于预设值则判断该用户的访问请求为恶意访问，记录该用户的信息数据并发送至系统管理人员；
19.节点判断模块，判断用户访问对象对应的所述所属的节点的类型形式，当判断所述节点的类型为真实节点时，则在所述数据表中查询该节点对应的权限管理策略，根据该节点对应的权限管理策略反馈用户访问对象的请求；
20.虚拟节点对应的管理模块，当判断所述节点的类型为虚拟节点时，中间服务平台对该用户进行可信验证，当判断该用户为可信用户后，允许用户访问所述中间服务平台的可信区域，其中，所述可信区域包括虚拟节点信息对应的数据表，遍历所述虚拟节点信息对应的数据表，查询是否存在用户访问对象对应的虚拟节点，若存在，则查询该虚拟节点对应
的真实节点，并按照该真实节点的权限管理策略反馈用户访问对象的请求，若不存在，则判断该虚拟节点为蜜罐节点，并判断该用户的访问为恶意访问以及记录该用户的信息数据。
21.更进一步地，在所述请求获取模块之前，需要验证用户的身份，所述中间服务平台接收用户的登录请求，在完成登录验证后，所述中间服务平台验证该用户对应的第一访问权限，其中，所述第一访问权限包括可以访问的分布式系统的节点id范围，并且，在所述查询所述用户访问对象的所属的节点之后，判断所述的节点id是否存在于该用户的第一访问权限对应的节点id范围内，若不在该用户的第一权限范围内，则判断该用户的访问为恶意访问以及记录该用户的信息数据。
22.本发明进一步公开了一种电子系统，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的一种控制用户访问对象的方法中的步骤。
23.本发明进一步公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的控制用户访问对象的方法中的步骤。
24.本发明与现有技术相比，本发明的有益效果是：
①
本发明针对于存在虚拟节点/蜜罐节点的分布式系统中，进行相应的精细化权限管理，在本发明中，通过设置中间服务平台用于记录访问对象与节点的关系，同时，在中间服务平台中开辟安全可信区域，用于存储虚拟节点的映射关系；
②
设置多种判断用户存在恶意访问的判断规则，例如，判断用户请求的对象是否超出登录时对应的权限，例如判断用户的在周期内的请求对象是否需要多次更新数据列表，判断用户访问对象是否属于蜜罐节点等以此确定用户的访问是否存在恶意；
③
用户在登录后，依然需要遵循各个节点的访问权限管理原则，即若范围对应的节点需要用户提供针对于该节点的认证信息，则用户需要进行提供以此实现不同节点的细粒化权限管理。
附图说明
25.从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制，而是将重点放在示出实施例的原理上。在图中，在不同的视图中，相同的附图标记指定对应的部分。
26.图1是本发明的一种控制用户访问对象的方法的流程图。
具体实施方式
27.下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
28.现在将参考附图描述实现本发明各个实施例的移动终端。在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身并没有特定的意义。因此，"模块"与"部件"可以混合地使用。
29.移动终端可以以各种形式来实施。例如，本发明中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、pda(个人数字助理)、pad(平板电脑)、pmp(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字tv、台式计算机等等的固定终端。下面，假设终端是移动终端。然而，本领域技术人员将理解的是，除了特别用于移动
目的的元件之外，根据本发明的实施方式的构造也能够应用于固定类型的终端。
30.如图1所示的一种控制用户访问对象的方法，所述方法包括如下步骤：
31.步骤1，通过分布式系统的中间服务平台获取用户访问对象的请求；
32.步骤2，将所述用户访问对象的表达形式转换为预设形式后，通过摘要算法计算预设形式的用户访问对象的数据摘要，并根据所述用户访问对象的数据摘要在所述数据表中查询所述用户访问对象的所属的节点；
33.步骤3，判断用户访问对象对应的所述所属的节点的类型形式，当判断所述节点的类型为真实节点时，则在所述数据表中查询该节点对应的权限管理策略，根据该节点对应的权限管理策略反馈用户访问对象的请求；
34.步骤4，当判断所述节点的类型为虚拟节点时，中间服务平台对该用户进行可信验证，当判断该用户为可信用户后，允许用户访问所述中间服务平台的可信区域，其中，所述可信区域包括虚拟节点信息对应的数据表；
35.步骤5，遍历所述虚拟节点信息对应的数据表，查询是否存在用户访问对象对应的虚拟节点，若存在，则查询该虚拟节点对应的真实节点，并按照该真实节点的权限管理策略反馈用户访问对象的请求，若不存在，则判断该虚拟节点为蜜罐节点，并判断该用户的访问为恶意访问以及记录该用户的信息数据。
36.更进一步地，在所述步骤1之前，需要验证用户的身份，所述中间服务平台接收用户的登录请求，在完成登录验证后，所述中间服务平台验证该用户对应的第一访问权限，其中，所述第一访问权限包括可以访问的分布式系统的节点id范围。
37.更进一步地，在所述查询所述用户访问对象的所属的节点之后，判断所述的节点id是否存在于该用户的第一访问权限对应的节点id范围内，若不在该用户的第一权限范围内，则判断该用户的访问为恶意访问以及记录该用户的信息数据。
38.更进一步地，所述步骤1进一步包括：所述中间服务平台的数据表中存储有所述分布式系统中各个节点内容的数据摘要，所述数据表中还存储有各个节点的id和所述数据摘要的对应关系。
39.更进一步地，所述步骤2中的所述在所述数据表中查询所述用户访问对象的所属的节点进一步包括：在原有的数据表中查询该访问对象对应的所属节点，若未查询到对应的节点id信息，则更新数据表中的各个节点内容的数据摘要。
40.更进一步地，在预设周期内，若未查询到对应的节点id信息的次数大于预设值则判断该用户的访问请求为恶意访问，记录该用户的信息数据并发送至系统管理人员。
41.本发明还公开了一种控制用户访问对象的系统，包括如下模块：
42.请求获取模块，通过分布式系统的中间服务平台获取用户访问对象的请求，所述中间服务平台的数据表中存储有所述分布式系统中各个节点内容的数据摘要，所述数据表中还存储有各个节点的id和所述数据摘要的对应关系；
43.对象判断模块，将所述用户访问对象的表达形式转换为预设形式后，通过摘要算法计算预设形式的用户访问对象的数据摘要，并根据所述用户访问对象的数据摘要在所述数据表中查询所述用户访问对象的所属的节点，在原有的数据表中查询该访问对象对应的所属节点，若未查询到对应的节点id信息，则更新数据表中的各个节点内容的数据摘要，然后在更新后的数据表中继续查找访问对象对应的节点id信息，当在预设周期内，若未查询
到对应的节点id信息的次数大于预设值则判断该用户的访问请求为恶意访问，记录该用户的信息数据并发送至系统管理人员；
44.节点判断模块，判断用户访问对象对应的所述所属的节点的类型形式，当判断所述节点的类型为真实节点时，则在所述数据表中查询该节点对应的权限管理策略，根据该节点对应的权限管理策略反馈用户访问对象的请求；
45.虚拟节点对应的管理模块，当判断所述节点的类型为虚拟节点时，中间服务平台对该用户进行可信验证，当判断该用户为可信用户后，允许用户访问所述中间服务平台的可信区域，其中，所述可信区域包括虚拟节点信息对应的数据表，遍历所述虚拟节点信息对应的数据表，查询是否存在用户访问对象对应的虚拟节点，若存在，则查询该虚拟节点对应的真实节点，并按照该真实节点的权限管理策略反馈用户访问对象的请求，若不存在，则判断该虚拟节点为蜜罐节点，并判断该用户的访问为恶意访问以及记录该用户的信息数据。
46.更进一步地，在所述请求获取模块之前，需要验证用户的身份，所述中间服务平台接收用户的登录请求，在完成登录验证后，所述中间服务平台验证该用户对应的第一访问权限，其中，所述第一访问权限包括可以访问的分布式系统的节点id范围，并且，在所述查询所述用户访问对象的所属的节点之后，判断所述的节点id是否存在于该用户的第一访问权限对应的节点id范围内，若不在该用户的第一权限范围内，则判断该用户的访问为恶意访问以及记录该用户的信息数据。
47.本发明进一步公开了一种电子系统，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的一种控制用户访问对象的方法中的步骤。
48.本发明进一步公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的控制用户访问对象的方法中的步骤。
49.在本实施例中，不同节点可以存储有对应的权限名单，将所述权限名单表中的首级索引表作为当前初始索引表；获取所述待更新名单表内相应级别更新索引表中的各更新索引值；将各所述更新索引值与所述当前初始索引表中的初始索引值进行比对；将未存在于所述当前初始索引表中的更新索引值插入所述初始索引表，获取所述待更新索引值指向的下级内存块并对应插入所述用户访问对象权限名单表。
50.在本实施例中，在用户进行中间平台登录时，可以基于预定义访问许可和用户之间的映射关系，确定所述用户的访问权限信息；或者在中间平台上存储用户信息和对应的权限映射关系以此实现第一层的权限确定。
51.更进一步地，在本实施例中，在进行用户与节点之间的联系前，若不需要更新数据表，则可以通过getserverstate()函数，判断节点的服务是否运行正常，返回整型:0表示停止，1运行表示，当接收到节点运行正常的返回值后，才可以开始“则在所述数据表中查询该节点对应的权限管理策略，根据该节点对应的权限管理策略反馈用户访问对象的请求”的技术内容。
52.在本实施中，根据该节点对应的权限管理策略反馈用户访问对象的请求进一步包括，节点直接与用户进行交互，例如反馈需要输入用户的其他信息或者提出问题进行进一步权限认证，比如用户请求的对象为“数学相关对象”，则对应的真实节点为数学节点，在进
行反馈时，可以为解决一个和用户请求的对象相关的问题来进行，这里不进行赘述。
53.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
54.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
55.虽然上面已经参考各种实施例描述了本发明，但是应当理解，在不脱离本发明的范围的情况下，可以进行许多改变和修改。因此，其旨在上述详细描述被认为是例示性的而非限制性的，并且应当理解，以下权利要求(包括所有等同物)旨在限定本发明的精神和范围。以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后，技术人员可以对本发明作各种改动或修改，这些等效变化和修饰同样落入本发明权利要求所限定的范围。