动态访问权限的控制方法及系统技术方案

一种动态访问权限的控制方法及系统，所述方法包括：获取任意一个主体设备发送的资源访问请求，所述资源访问请求包括主体设备的主体信息及被访问资源的资源信息；获取所述主体设备和所述被访问资源的属性信息；获取所述主体设备所处的环境信息；基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息，判断所述主体设备是否具有访问所述资源的权限；以及响应于所述主体设备具有访问所述资源的权限，允许所述主体设备访问所述资源。所述方法及系统解决了传统授权系统的静态授权、粗粒度授权、仅在访问前进行的缺陷。

Control Method and System of Dynamic Access Rights

【技术实现步骤摘要】
动态访问权限的控制方法及系统
本专利技术涉及计算机
，尤其涉及一种动态访问权限的控制方法及系统。
技术介绍
传统访问控制场景，通常由用户、资源、角色、授权策略等基本因素构成，其特点是授权访问是预先定义、静态的过程，控制粒度较粗，且授权过程仅发生在首次访问资源时，完成后不再进行控制。随着主体、资源范围的扩大，用户身份可分为人、PC设备、服务器、移动终端设备，资源范围按不同粒度分为应用、应用功能、服务接口、数据四类资源。授权过程需要根据主体、资源、属性、授权策略多个维度进行判定，是一个动态过程。授权对象的精细化访问控制，即包含谁、使用什么设备访问资源、在何时何地如何操作、操作结果。并对整个访问过程实施动态访问控制策略。因此，提出一种满足实际发展需求的动态访问权限的控制系统及方法很有必要。
技术实现思路
(一)要解决的技术问题针对目前存在的技术问题，本专利技术提出一种动态访问权限的控制方法及系统，用于解决传统授权系统的授权访问是预先定义、静态的过程，控制粒度较粗，且授权过程仅发生在首次访问资源时，完成后不再进行控制等问题。(二)技术方案本专利技术提供一种动态访问权限的控制方法，包括：获取任意一个主体设备发送的资源访问请求，其中，所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息，获取所述主体设备和所述被访问资源的属性信息，获取所述主体设备所处的环境信息，基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息，判断所述主体设备是否具有访问所述资源的权限，以及响应于所述主体设备具有访问所述资源的权限，允许所述主体设备访问所述资源。可选地，上述基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息，判断所述主体设备是否具有访问所述资源的权限，包括：判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息，响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息，判断所述属性信息是否为预设属性信息以及所述环境信息是否为预设环境信息，其中，当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时，所述主体设备具有访问所述资源的权限。可选地，上述判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息，包括：根据所述主体信息制定所述主体设备对应的用户角色，根据所述资源信息制定所述资源对应的资源角色，对所述用户角色及所述资源角色进行关联计算，得到关联计算结果，基于所述关联计算结果判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息。可选地，上述方法还包括以下至少一项：建立主体身份库，所述主体身份库用于存储所述预设主体信息，建立资源库，所述资源库用于存储所述预设资源信息，所述预设资源信息至少包括其对应的资源的资源标识，建立属性库，所述属性库用于存储所述预设主体信息对应的主体设备的环境信息、所述预设资源信息对应的资源的资源类型、所述预设资源信息对应的资源的安全等级以及所述预设资源信息对应的资源的可用状态信息。可选地，上述方法还包括：响应于所述主体设备不具有访问所述资源的权限，拒绝所述主体设备访问所述资源或引导所述主体设备执行修复操作。本专利技术另一方面提供一种动态访问权限的控制系统，包括：动态决策模块、环境感知模块。其中，动态决策模块，用于获取任意一个发起资源访问请求的主体设备所发送的资源访问请求，其中，所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息，以及用于获取所述主体设备和所述被访问资源的属性信息。环境感知模块，用于获取所述主体设备所处的环境信息。所述动态决策模块还用于：基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息，判断所述主体设备是否具有访问所述资源的权限，以及响应于所述主体设备具有访问所述资源的权限，允许所述主体设备访问所述资源。可选地，上述系统还包括：主体身份库模块、资源库模块以及属性库模块。其中，主体身份库模块用于存储预设主体信息，资源库模块用于存储预设资源信息，属性库模块用于存储预设属性信息以及预设环境信息，其中，所述动态决策模块用于判断所述主体信息是否为所述预设主体信息以及所述资源信息是否为所述预设资源信息，响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息，判断所述属性信息是否为所述预设属性信息以及所述环境信息是否为所述预设环境信息，其中，当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时，所述主体设备具有访问所述资源的权限。可选地，上述系统还包括权限及策略管理模块，用于制定授权策略；所述权限及策略管理模块包括：用户角色管理模块、资源角色管理模块以及授权策略管理模块。其中，用户角色管理模块用于根据所述主体信息制定所述主体设备对应的用户角色，资源角色管理模块用于根据所述被访问资源的资源信息制定资源角色，授权策略管理模块用于对所述用户角色及所述资源角色做关联计算，得到关联计算结果作为所述授权策略。可选地，上述预设属性信息包括主体属性信息以及资源属性信息。所述主体属性信息包括所述预设主体信息对应的主体设备的用户名、标识以及状态信息，所述资源属性信息包括所述预设资源信息对应的资源的资源类型信息、资源安全等级信息以及可用状态信息。可选地，上述环境信息包括时间信息、网络地址信息、地理位置信息以及环境风险信息，每一所述预设资源信息对应的资源设置有唯一标识。本专利技术实施例第三方面提供了一种动态访问权限的控制系统。所述动态访问权限的控制系统包括一个或多个处理器以及一个或多个存储器。所述一个或多个存储器中存储有计算机可执行指令，所述指令被所述一个或多个处理器执行时用以实现如上所述的动态访问权限的控制方法。(三)有益效果本专利技术提供的一种动态访问权限的控制方法及系统，通过识别访问主体、被访问资源、权限策略，结合动态主体、资源、环境多类属性，经过主体角色、资源角色的动态绑定，在主体访问资源的全流程，实时动态进行多维度、细粒度的权限策略及授权评估，以动态控制主体设备端的访问资源的权限。附图说明为了更完整地理解本专利技术及其优势，现在将参考结合附图的以下描述，其中：图1示意性示出了根据本专利技术实施例的动态访问权限的控制方法的流程图；图2示意性示出了根据本专利技术实施例的基于角色关联的控制方法的流程图；图3示意性示出了根据本专利技术另一实施例的动态访问权限的控制方法的流程图；图4-图7示意性示出了根据本专利技术实施例的动态访问权限的控制系统的框图；以及图8示意性示出了根据本专利技术实施例的用于动态访问权限的控制的计算机系统的方框图。具体实施方式以下，将参照附图来描述本专利技术的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本专利技术的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本专利技术实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本专利技术的概念。本专利技术实施例提出一种动态访问权限的控制方法及系统，通过识别访问主体、被访问资源、权限策略，结合动态主体、资源、环境多类属性，经过主体角色、资源角色的动态绑定，在主体访问资源的全流程，实时动态进行多维度、细粒度的权限策略及授权评估。动本文档来自技高网...

【技术保护点】
1.一种动态访问权限的控制方法，其特征在于，包括：获取任意一个主体设备发送的资源访问请求，其中，所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息；获取所述主体设备和所述被访问资源的属性信息；获取所述主体设备所处的环境信息；基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息，判断所述主体设备是否具有访问所述资源的权限；以及响应于所述主体设备具有访问所述资源的权限，允许所述主体设备访问所述资源。

【技术特征摘要】
2019.02.02 CN 20191010875561.一种动态访问权限的控制方法，其特征在于，包括：获取任意一个主体设备发送的资源访问请求，其中，所述资源访问请求包括所述主体设备的主体信息及被访问资源的资源信息；获取所述主体设备和所述被访问资源的属性信息；获取所述主体设备所处的环境信息；基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息，判断所述主体设备是否具有访问所述资源的权限；以及响应于所述主体设备具有访问所述资源的权限，允许所述主体设备访问所述资源。2.根据权利要求1所述的动态访问权限的控制方法，其特征在于，所述基于所述主体信息、所述资源信息、所述属性信息以及所述环境信息，判断所述主体设备是否具有访问所述资源的权限，包括：判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息；以及响应于所述主体信息为所述预设主体信息以及所述资源信息为所述预设资源信息，判断所述属性信息是否为预设属性信息以及所述环境信息是否为预设环境信息；其中，当所述属性信息为所述预设属性信息以及所述环境信息为所述预设环境信息时，所述主体设备具有访问所述资源的权限。3.根据权利要求2所述的动态访问权限的控制方法，其特征在于，所述判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息，包括：根据所述主体信息制定所述主体设备对应的用户角色；根据所述资源信息制定所述资源对应的资源角色；对所述用户角色及所述资源角色进行关联计算，得到关联计算结果；以及基于所述关联计算结果判断所述主体信息是否为预设主体信息以及所述资源信息是否为预设资源信息。4.根据权利要求1所述的动态访问权限的控制方法，其特征在于，所述方法还包括以下至少一项：建立主体身份库，所述主体身份库用于存储所述预设主体信息；建立资源库，所述资源库用于存储所述预设资源信息，所述预设资源信息至少包括其对应的资源的资源标识；以及建立属性库，所述属性库用于存储所述预设主体信息对应的主体设备的环境信息、所述预设资源信息对应的资源的资源类型、所述预设资源信息对应的资源的安全等级以及所述预设资源信息对应的资源的可用状态信息。5.根据权利要求1所述的动态访问权限的控制方法，其特征在于，所述方法还包括：响应于所述主体设备不具有访问所述资源的权...

【专利技术属性】
技术研发人员：张泽洲，魏勇，简明，左英男，
申请(专利权)人：奇安信科技集团股份有限公司，
类型：发明
国别省市：北京,11