本申请公开了一种访问控制方法、装置、设备及可读存储介质,该方法包括:接收并解析访问请求,确定访问请求对应的主体和客体;利用安全访问策略,得到主体是否有权访问客体的第一结果,并确定是否存在匹配的访问控制链表;若存在访问控制链表,则利用访问控制链表,得到主体是否有权访问客体的第二结果;若得到第二结果,则利用第二结果对访问请求进行控制处理;若未得到第二结果,则利用第一结果对访问请求进行控制处理。本申请,借助访问控制链表可以提升安全访问策略的灵活性和安全性。可以提升安全访问策略的灵活性和安全性。可以提升安全访问策略的灵活性和安全性。
【技术实现步骤摘要】
一种访问控制方法、装置、设备及可读存储介质
[0001]本申请涉及安全保障
,特别是涉及一种访问控制方法、装置、设备及可读存储介质。
技术介绍
[0002]信息系统的安全目标是通过一组规则来控制和管理主体对客体的访问,这些访问控制规则称为安全策略,安全策略反应信息系统对安全的需求。安全模型是制定安全策略的依据,安全模型是指用形式化的方法来准确地描述安全的重要方面(机密性、完整性和可用性)及其与系统行为的关系。访问控制模型是从访问控制的角度描述安全系统,主要针对系统中主体对客体的访问及其安全控制。访问控制安全模型中一般包括主体、客体和权限。通常访问控制可以分自主访问控制(Discretionary Access Control,DAC)和强制访问控制(Mandatory Access Control,MAC)。
[0003]自主访问控制机制允许对象的属主来制定针对该对象的保护策略。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。但是,自主访问控制的一个最大问题是主体的权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性,但其难以更改访问策略,灵活性差。即,自主访问控制和强制访问控制均难以满足实际控制需求。
[0004]综上所述,如何有效地解决访问控制等问题,是目前本领域技术人员急需解决的技术问题。
技术实现思路
[0005]本申请的目的是提供一种访问控制方法、装置、设备及可读存储介质,通过访问控制链表,能够在各种复杂状况下配置访问控制规则,灵活、方便的进行细粒度的访问控制权限的设定,保护了各种系统上的资源的安全性。
[0006]为解决上述技术问题,本申请提供如下技术方案:一种访问控制方法,包括:接收并解析访问请求,确定所述访问请求对应的主体和客体;利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,并确定是否存在匹配的访问控制链表;若存在所述访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果;若得到所述第二结果,则利用所述第二结果对所述访问请求进行控制处理;若未得到所述第二结果,则利用所述第一结果对所述访问请求进行控制处理。
[0007]优选地,若所述访问控制链表为属性访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果,包括:获取所述主体和所述客体的属性信息;
从所述属性访问控制链表中查询与所述属性信息匹配的所述第二结果。
[0008]优选地,若所述访问控制链表为场景访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果,包括:获取所述访问请求对应的场景信息;从所述场景访问控制链表中查询与所述场景信息匹配的所述第二结果。
[0009]优选地,还包括:接收访问控制链表修改请求,得到修改内容;利用所述修改内容对所述访问控制链表进行修改。
[0010]优选地,还包括:接收访问控制链表查看请求;输出所述访问控制链表。
[0011]优选地,若所述安全访问策略为自主访问策略,则所述利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,包括:获取所述客体对应的授权列表;在所述授权列表中查找所述主体,得到所述主体是否有权访问所述客体的第一结果。
[0012]优选地,若所述安全访问策略为强制访问策略,则所述利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,包括:获取所述主体的安全标签和所述客体的安全标签;比对所述主体的安全标签和所述客体的安全标签,得到所述主体是否有权访问所述客体的第一结果。
[0013]一种访问控制装置,包括:请求接收模块,用于接收并解析访问请求,确定所述访问请求对应的主体和客体;第一结果确定模块,用于利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,并确定是否存在匹配的访问控制链表;第二结果确定模块,用于若存在所述访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果;第一访问控制模块,用于若得到所述第二结果,则利用所述第二结果对所述访问请求进行控制处理;第二访问控制模块,用于若未得到所述第二结果,则利用所述第一结果对所述访问请求进行控制处理。
[0014]一种电子设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述访问控制方法的步骤。
[0015]一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述访问控制方法的步骤。
[0016]应用本申请实施例所提供的方法,接收并解析访问请求,确定访问请求对应的主体和客体;利用安全访问策略,得到主体是否有权访问客体的第一结果,并确定是否存在匹配的访问控制链表;若存在访问控制链表,则利用访问控制链表,得到主体是否有权访问客
体的第二结果;若得到第二结果,则利用第二结果对访问请求进行控制处理;若未得到第二结果,则利用第一结果对访问请求进行控制处理。
[0017]在接收到访问请求之后,首先确定出访问对应的主体和客体。然后,利用安全访问策略,确定主体是否有权访问该客体所对应的第一结果。与此同时,还进一步明确是否存在匹配的访问控制链表。如果存在访问控制链表,则基于访问控制链表,再次确定主体是否有权访问该客体所对应的第二结果。当存在第二结果的情况下,优先使用第二结果来对该访问请求进行控制处理。即,在有安全访问策略的基础上,可以根据实际控制需求增加访问控制链表来确定主体是否有权访问客体,借助访问控制链表可以提升安全访问策略的灵活性和安全性。
[0018]相应地,本申请实施例还提供了与上述访问控制方法相对应的访问控制装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
[0019]为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0020]图1为本申请实施例中一种访问控制方法的实施流程图;图2为本申请实施例中一种访问控制方法的具体实施示意图;图3为本申请实施例中一种访问控制装置的结构示意图;图4为本申请实施例中一种电子设备的结构示意图;图5为本申请实施例中一种电子设备的具体结构示意图。
具体实施方式
[0021]为了使本
的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0022]请参考图1,图1为本申请实施例中一种访问控制方法的流程图,该方法包括以下步骤:S101、接收并解析访问请求本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,包括:接收并解析访问请求,确定所述访问请求对应的主体和客体;利用安全访问策略,得到所述主体是否有权访问所述客体的第一结果,并确定是否存在匹配的访问控制链表;若存在所述访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果;若得到所述第二结果,则利用所述第二结果对所述访问请求进行控制处理;若未得到所述第二结果,则利用所述第一结果对所述访问请求进行控制处理。2.根据权利要求1所述的访问控制方法,其特征在于,若所述访问控制链表为属性访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果,包括:获取所述主体和所述客体的属性信息;从所述属性访问控制链表中查询与所述属性信息匹配的所述第二结果。3.根据权利要求1所述的访问控制方法,其特征在于,若所述访问控制链表为场景访问控制链表,则利用所述访问控制链表,得到所述主体是否有权访问所述客体的第二结果,包括:获取所述访问请求对应的场景信息;从所述场景访问控制链表中查询与所述场景信息匹配的所述第二结果。4.根据权利要求1所述的访问控制方法,其特征在于,还包括:接收访问控制链表修改请求,得到修改内容;利用所述修改内容对所述访问控制链表进行修改。5.根据权利要求1所述的访问控制方法,其特征在于,还包括:接收访问控制链表查看请求;输出所述访问控制链表。6.根据权利要求1至5任一项所述的访问控制方法,其特征在于,若所述安全访问策略为自主访问策略,则所述利用安全访问策略,...
【专利技术属性】
技术研发人员:邢希双,宋桂香,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。