A dynamic access control method and system is used to control the dynamic access of the requesting subject to resources. The method includes: S1, establishing access rules between at least one requesting subject and at least one resource; S2, when receiving a resource access request from any requesting subject, obtaining access rules and determining whether the requesting subject has access to the resource according to the access rules. The permission of the resource, if it is, executes S3, otherwise executes S6; S3, judges whether the resource access request meets the security conditions, if it is, executes S4, otherwise executes S5; S4, allows the requesting subject to access the resource; S5, changes the access rules so that the requesting subject does not have access to the resource; S6, denies the requesting subject access to the resource. Realize identity-based access control, and dynamically adjust access control according to risk assessment.
【技术实现步骤摘要】
一种动态访问控制方法及系统
本公开涉及一种动态访问控制的方法及系统。
技术介绍
现有的访问控制技术大多以网络为中心,基于网络通信五元组(即源IP地址、源端口、目的IP地址、目的端口和传输层协议)制定访问控制规则。云计算是多种技术混合演进的结果,由于其成熟度较高,现代的电子基础设施趋于云化和移动化,基于五元组的通信难以应对云化电子基础设施灵活访问的控制需求。此外,现有技术的访问控制规则多为静态控制,无法根据主体属性、客体属性和环境属性进行动态变更,缺乏对风险进行感知和度量的能力,无法进行风险自适应的动态访问控制。
技术实现思路
本公开鉴于上述问题,提供了一种动态访问控制方法及系统。通过为请求主体和资源建立数字身份,基于数字身份对请求主体访问资源进行控制,并根据风险评估对访问控制进行动态调整,从而更好地制成新型IT环境下的业务访问需求。本公开的一个方面提供了一种动态访问控制方法,方法包括:S1,建立至少一个请求主体和至少一个资源之间的访问规则;S2,当接收到任意一个所述请求主体发出的资源访问请求时,获取所述访问规则,并根据所述访问规则判定该请求主体是否具有访问所述资源的权限,如果是,则执行S3,否则,执行S6;S3,判断所述资源访问请求是否满足安全条件,如果是,则执行S4,否则,执行S5;S4,允许所述请求主体访问所述资源;S5,改变所述访问规则,以使所述请求主体不具有访问所述资源的权限;S6,拒绝所述请求主体访问所述资源。可选地,所述步骤S2中,当接收到任意一个所述请求主体发出的资源访问请求时,获取所述访问规则包括:获取所述资源访问请求中的请求主体数字身份及资源 ...
【技术保护点】
1.一种动态访问控制方法,其特征在于,方法包括:S1,建立至少一个请求主体和至少一个资源之间的访问规则;S2,当接收到任意一个所述请求主体发出的资源访问请求时,获取所述访问规则,并根据所述访问规则判定该请求主体是否具有访问所述资源的权限,如果是,则执行S3,否则,执行S6;S3,判断所述资源访问请求是否满足安全条件,如果是,则执行S4,否则,执行S5;S4,允许所述请求主体访问所述资源;S5,改变所述访问规则,以使所述请求主体不具有访问所述资源的权限;S6,拒绝所述请求主体访问所述资源。
【技术特征摘要】
1.一种动态访问控制方法,其特征在于,方法包括:S1,建立至少一个请求主体和至少一个资源之间的访问规则;S2,当接收到任意一个所述请求主体发出的资源访问请求时,获取所述访问规则,并根据所述访问规则判定该请求主体是否具有访问所述资源的权限,如果是,则执行S3,否则,执行S6;S3,判断所述资源访问请求是否满足安全条件,如果是,则执行S4,否则,执行S5;S4,允许所述请求主体访问所述资源;S5,改变所述访问规则,以使所述请求主体不具有访问所述资源的权限;S6,拒绝所述请求主体访问所述资源。2.根据权利要求1所述的动态访问控制方法,其特征在于,所述步骤S2中,当接收到任意一个所述请求主体发出的资源访问请求时,获取所述访问规则包括:获取所述资源访问请求中的请求主体数字身份及资源数字身份;根据所述请求主体数字身份获取所述请求主体的主体信息,根据所述资源数字身份获取所述资源的资源信息;根据所述主体信息及资源信息,查询出所述请求主体与资源之间的访问规则。3.根据权利要求1所述的动态访问控制方法,其特征在于,所述判断所述资源访问请求是否满足安全条件包括:获取所述请求主体与资源之间的当前流量;根据所述当前流量判断所述资源访问请求是否满足所述安全条件。4.根据权利要求1所述的动态访问控制方法,其特征在于,所述判断所述资源访问请求是否满足安全条件包括:获取所述请求主体的主体信息;根据所述主体信息判断所述资源访问请求是否满足所述安全条件。5.根据权利要求1所述的动态访问控制方法,其特征在于,所述判断所述资源访问请求是否满足安全条件包括:获取所述请求主体所处环境的环境信息;根据所述环境信息判断所述资源访问请求是...
【专利技术属性】
技术研发人员:左英男,张泽洲,魏勇,简明,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。