一种动态访问控制方法及系统技术方案

一种动态访问控制方法及系统，用于控制请求主体动态访问资源，其中，方法包括：S1，建立至少一个请求主体和至少一个资源之间的访问规则；S2，当接收到任意一个请求主体发出的资源访问请求时，获取访问规则，并根据访问规则判定该请求主体是否具有访问该资源的权限，如果是，则执行S3，否则，执行S6；S3，判断资源访问请求是否满足安全条件，如果是，则执行S4，否则，执行S5；S4，允许该请求主体访问该资源；S5，改变访问规则，以使该请求主体不具有访问该资源的权限；S6，拒绝该请求主体访问该资源。实现基于身份进行访问控制，并根据风险评估对访问控制进行动态调整。

A Dynamic Access Control Method and System

A dynamic access control method and system is used to control the dynamic access of the requesting subject to resources. The method includes: S1, establishing access rules between at least one requesting subject and at least one resource; S2, when receiving a resource access request from any requesting subject, obtaining access rules and determining whether the requesting subject has access to the resource according to the access rules. The permission of the resource, if it is, executes S3, otherwise executes S6; S3, judges whether the resource access request meets the security conditions, if it is, executes S4, otherwise executes S5; S4, allows the requesting subject to access the resource; S5, changes the access rules so that the requesting subject does not have access to the resource; S6, denies the requesting subject access to the resource. Realize identity-based access control, and dynamically adjust access control according to risk assessment.

【技术实现步骤摘要】
一种动态访问控制方法及系统
本公开涉及一种动态访问控制的方法及系统。
技术介绍
现有的访问控制技术大多以网络为中心，基于网络通信五元组(即源IP地址、源端口、目的IP地址、目的端口和传输层协议)制定访问控制规则。云计算是多种技术混合演进的结果，由于其成熟度较高，现代的电子基础设施趋于云化和移动化，基于五元组的通信难以应对云化电子基础设施灵活访问的控制需求。此外，现有技术的访问控制规则多为静态控制，无法根据主体属性、客体属性和环境属性进行动态变更，缺乏对风险进行感知和度量的能力，无法进行风险自适应的动态访问控制。
技术实现思路
本公开鉴于上述问题，提供了一种动态访问控制方法及系统。通过为请求主体和资源建立数字身份，基于数字身份对请求主体访问资源进行控制，并根据风险评估对访问控制进行动态调整，从而更好地制成新型IT环境下的业务访问需求。本公开的一个方面提供了一种动态访问控制方法，方法包括：S1，建立至少一个请求主体和至少一个资源之间的访问规则；S2，当接收到任意一个所述请求主体发出的资源访问请求时，获取所述访问规则，并根据所述访问规则判定该请求主体是否具有访问所述资源的权限，如果是，则执行S3，否则，执行S6；S3，判断所述资源访问请求是否满足安全条件，如果是，则执行S4，否则，执行S5；S4，允许所述请求主体访问所述资源；S5，改变所述访问规则，以使所述请求主体不具有访问所述资源的权限；S6，拒绝所述请求主体访问所述资源。可选地，所述步骤S2中，当接收到任意一个所述请求主体发出的资源访问请求时，获取所述访问规则包括：获取所述资源访问请求中的请求主体数字身份及资源数字身份；根据所述请求主体数字身份获取所述请求主体的主体信息，根据所述资源数字身份获取所述资源的资源信息；根据所述主体信息及资源信息，查询出所述请求主体与资源之间的访问规则。可选地，所述判断所述资源访问请求是否满足安全条件包括：获取所述请求主体与资源之间的当前流量；根据所述当前流量判断所述资源访问请求是否满足所述安全条件。可选地，所述判断所述资源访问请求是否满足安全条件包括：获取所述请求主体的主体信息；根据所述主体信息判断所述资源访问请求是否满足所述安全条件。可选地，所述判断所述资源访问请求是否满足安全条件包括：获取所述请求主体所处环境的环境信息；根据所述环境信息判断所述资源访问请求是否满足所述安全条件。可选地，所述步骤S4中，允许所述请求主体访问所述资源，包括：将所述资源访问请求通过代理转发至所述资源；将所述资源访问请求对应的资源响应通过该代理转发至所述请求主体。本公开另一方面还提供了一种动态访问控制系统，系统包括：管理模块，用于建立至少一个请求主体和至少一个资源之间的访问规则；风险评估模块，用于当执行模块接收到任意一个所述请求主体发出的资源访问请求时，判断所述资源访问请求是否满足安全条件，生成判断结果；授权判定模块，用于当执行模块接收到任意一个所述请求主体发出的资源访问请求时，获取所述管理模块中该请求主体与资源之间的访问规则，并接收所述风险评估模块的判断结果，根据上述访问规则和判断结果确定是否允许所述请求主体访问所述资源，生成授权响应；执行模块，用于接收任意一个所述请求主体发出的资源访问请求，并获取所述授权判定模块的授权响应，根据所述授权响应执行是否将所述资源访问请求转发至所述资源，以及是否将所述资源访问请求对应的资源响应转发至所述请求主体。可选地，所述风险评估模块获取所述请求主体与资源之间的当前流量，并根据所述当前流量判断所述资源访问请求是否满足所述安全条件。可选地，所述风险评估模块获取所述请求主体的主体信息，根据所述主体信息判断所述资源访问请求是否满足所述安全条件。可选地，所述风险评估模块获取所述请求主体所处环境的环境信息，根据所述环境信息判断所述资源访问请求是否满足所述安全条件。附图说明为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：图1示意性示出了根据本公开实施例提供的动态访问控制方法的流程图。图2示意性示出了根据本公开实施例提供的动态访问控制系统的框图。具体实施方式根据结合附图对本公开示例性实施例的以下详细描述，本公开的其它方面、优势和突出特征对于本领域技术人员将变得显而易见。在本公开中，术语“包括”和“含有”及其派生词意为包括而非限制；术语“或”是包含性的，意为和/或。在本说明书中，下述用于描述本公开原理的各种实施例只是说明，不应该以任何方式解释为限制公开的范围。参照附图的下述描述用于帮助全面理解由权利要求及其等同物限定的本公开的示例性实施例。下述描述包括多种具体细节来帮助理解，但这些细节应认为仅仅是示例性的。因此，本领域普通技术人员应认识到，在不背离本公开的范围和精神的情况下，可以对本文中描述的实施例进行多种改变和修改。此外，为了清楚和简洁起见，省略了公知功能和结构的描述。此外，贯穿附图，相同参考数字用于相似功能和操作。图1示意性示出了根据本公开实施例提供的动态访问控制方法的流程图。如图1所示，该方法包括如下操作：S1，建立至少一个请求主体和至少一个资源之间的访问规则。在操作S1中，首先，建立至少一个请求主体的数字身份，并建立至少一个资源的数字身份，这是实现以身份为中心进行动态访问控制的前提。具体地，包括为参与动态访问控制的用户、设备、应用、接口和数据建立数字身份。数字身份是指将真实身份信息浓缩为数字代码，可通过网络、相关设备等查询和识别的公共密钥，在互联网中具有代表身份的重要作用。其次，根据请求主体的数字身份和资源的数字身份形成统一的身份库，并对所有数字身份进行生命周期管理。然后，建立上述至少一个请求主体和至少一个资源之间的访问规则，根据建立的访问规则生成权限库，以对访问规则进行管理。访问规则中规定了具有访问权限的请求主体与资源之间的映射关系。S2，当接收到任意一个请求主体发出的资源访问请求时，获取访问规则，并根据该访问规则判断该请求主体是否具有访问该资源的权限，若是，执行S3，否则，执行S6。在本公开实施例中，请求主体不是基于五元组访问资源，而是基于操作S1中建立的数字身份进行资源访问。当接收到任意一个请求主体发出的资源访问请求时，对该资源访问请求进行解析，可以获取得到该资源访问请求中请求主体的数字身份和资源的数字身份；根据得到的请求主体数字身份可以获取请求主体的主体信息(包括用户信息、设备信息和接口信息)，根据资源数字身份可以获取资源的资源信息(包括应用信息和数据信息)；根据得到的主体信息和资源信息，查询规则库，可以查询出该请求主体与资源之间的访问规则。根据该访问规则判断该请求主体是否具有访问该资源的权限，若该请求主体具有访问该资源的权限，执行S3，若该请求主体不具有访问该资源的权限，执行S6。S3，判断该资源访问请求是否满足安全条件，若是，执行S4，否则，执行S5。为了实现动态的访问控制，需要在接收到请求主体的资源访问请求时进行实时风险判定，结合风险判定和访问规则共同确定该请求主体是否具有访问该资源的权限。具体地，接收到请求主体的资源访问请求时，采集该请求主体与资源之间的当前流量(即访问流量信息)，基于数据分析技术和人工智能技术对该访问流量信息进行分析，确定该资源访问请求的风险等级，从而判断本文档来自技高网...

【技术保护点】
1.一种动态访问控制方法，其特征在于，方法包括：S1，建立至少一个请求主体和至少一个资源之间的访问规则；S2，当接收到任意一个所述请求主体发出的资源访问请求时，获取所述访问规则，并根据所述访问规则判定该请求主体是否具有访问所述资源的权限，如果是，则执行S3，否则，执行S6；S3，判断所述资源访问请求是否满足安全条件，如果是，则执行S4，否则，执行S5；S4，允许所述请求主体访问所述资源；S5，改变所述访问规则，以使所述请求主体不具有访问所述资源的权限；S6，拒绝所述请求主体访问所述资源。

【技术特征摘要】
1.一种动态访问控制方法，其特征在于，方法包括：S1，建立至少一个请求主体和至少一个资源之间的访问规则；S2，当接收到任意一个所述请求主体发出的资源访问请求时，获取所述访问规则，并根据所述访问规则判定该请求主体是否具有访问所述资源的权限，如果是，则执行S3，否则，执行S6；S3，判断所述资源访问请求是否满足安全条件，如果是，则执行S4，否则，执行S5；S4，允许所述请求主体访问所述资源；S5，改变所述访问规则，以使所述请求主体不具有访问所述资源的权限；S6，拒绝所述请求主体访问所述资源。2.根据权利要求1所述的动态访问控制方法，其特征在于，所述步骤S2中，当接收到任意一个所述请求主体发出的资源访问请求时，获取所述访问规则包括：获取所述资源访问请求中的请求主体数字身份及资源数字身份；根据所述请求主体数字身份获取所述请求主体的主体信息，根据所述资源数字身份获取所述资源的资源信息；根据所述主体信息及资源信息，查询出所述请求主体与资源之间的访问规则。3.根据权利要求1所述的动态访问控制方法，其特征在于，所述判断所述资源访问请求是否满足安全条件包括：获取所述请求主体与资源之间的当前流量；根据所述当前流量判断所述资源访问请求是否满足所述安全条件。4.根据权利要求1所述的动态访问控制方法，其特征在于，所述判断所述资源访问请求是否满足安全条件包括：获取所述请求主体的主体信息；根据所述主体信息判断所述资源访问请求是否满足所述安全条件。5.根据权利要求1所述的动态访问控制方法，其特征在于，所述判断所述资源访问请求是否满足安全条件包括：获取所述请求主体所处环境的环境信息；根据所述环境信息判断所述资源访问请求是...

【专利技术属性】
技术研发人员：左英男，张泽洲，魏勇，简明，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京,11