【技术实现步骤摘要】
一种访问控制方法、设备、系统及存储介质
本申请涉及数据安全
,尤其涉及一种访问控制方法、设备、系统及存储介质。
技术介绍
在数据安全领域中,当用户发起对目标计算设备中文件的访问请求时,通常需要对用户的访问请求进行访问控制,以避免数据泄露。现有的访问控制方式,通常是由数据方预先配置每个访问角色对目标计算设备中的存储资源的访问权限,比如,对于该OSS目标计算设备,数据方可预先配置每个访问角色可访问哪个bucket(桶)资源,或者每个访问角色可访问的哪个bucket中的哪个object(对象)。据此,当某个用户发起的对某个文件的访问请求时,即可验证该用户的访问角色是否具有访问权限,从而实现访问控制。但是,现有的这种访问控制方式不够灵活,访问控制的效果不够精准。
技术实现思路
本申请的多个方面提供一种访问控制方法、设备、系统及存储介质,用以提高访问控制的灵活度和精准度。本申请实施例提供一种访问控制系统,包括:配置服务器、目标计算设备和鉴权服务器;所述配置服务器用于:确定数据方在所述目标计算设...
【技术保护点】
1.一种访问控制系统,其特征在于,包括:配置服务器、目标计算设备和鉴权服务器;/n所述配置服务器用于:确定数据方在所述目标计算设备中的至少一个文件所属的文件类型,根据一个或多个访问角色在所述文件所属的文件类型下的访问权限,为所述文件针对一个或多个访问角色分别生成鉴权信息;将所述一个或多个鉴权信息输出至所述目标计算设备;/n所述目标计算设备用于:接收用户的文件访问请求,所述文件访问请求用于请求访问目标文件,将根据所述用户的访问角色获取的所述目标文件对应的鉴权信息携带在鉴权请求中并发送给所述鉴权服务器;/n所述鉴权服务器用于:根据所述目标文件对应的鉴权信息生成鉴权结果并发送至所...
【技术特征摘要】
1.一种访问控制系统,其特征在于,包括:配置服务器、目标计算设备和鉴权服务器;
所述配置服务器用于:确定数据方在所述目标计算设备中的至少一个文件所属的文件类型,根据一个或多个访问角色在所述文件所属的文件类型下的访问权限,为所述文件针对一个或多个访问角色分别生成鉴权信息;将所述一个或多个鉴权信息输出至所述目标计算设备;
所述目标计算设备用于:接收用户的文件访问请求,所述文件访问请求用于请求访问目标文件,将根据所述用户的访问角色获取的所述目标文件对应的鉴权信息携带在鉴权请求中并发送给所述鉴权服务器;
所述鉴权服务器用于:根据所述目标文件对应的鉴权信息生成鉴权结果并发送至所述目标计算设备,以供所述目标计算设备根据所述鉴权结果处理所述文件访问请求。
2.根据权利要求1所述的系统,其特征在于,所述配置服务器在将所述一个或多个鉴权信息输出至所述目标计算设备时,用于:
在为所述文件针对一个或多个访问角色分别生成鉴权信息后,调用所述目标计算设备的调用接口,将所述一个或多个鉴权信息输出至所述目标计算设备;或者,
接收所述目标计算设备根据所述文件访问请求发送的鉴权信息获取请求,所述鉴权信息获取请求携带所述目标文件的标识及所述用户的访问角色,根据所述目标文件的标识与所述用户的访问角色确定所述目标文件针对所述用户的访问角色的鉴权信息并返回给所述目标计算设备。
3.根据权利要求1或2所述的系统,其特征在于,所述配置服务器还用于:
当所述文件所属的文件类型发生变化和/或一个或多个访问角色在所述文件所属文件类型下的访问权限发生变化时,更新所述文件针对一个或多个访问角色的鉴权信息,将更新后的所述一个或多个鉴权信息输出至所述目标计算设备。
4.根据权利要求1或2所述的系统,其特征在于,所述目标计算设备还用于:
在接收到所述配置服务器输出的所述文件针对一个或多个访问角色的鉴权信息时,将所述鉴权信息写入所述文件的描述信息的第一预留字段中。
5.根据权利要求4所述的系统,其特征在于,所述文件的描述信息中还包括第二预留字段,所述第二预留字段用于存储一个或多个访问角色对所述文件在所述目标计算设备中占用的存储资源的访问权限;
所述目标计算设备在接收用户的文件访问请求之后,还用于:从所述目标文件的描述信息中读取所述第二预留字段中的用户的访问角色对所述目标文件在所述目标计算设备中占用的存储资源的访问权限,并将所述用户的访问角色对所述目标文件在所述目标计算设备中占用的存储资源的访问权限携带在所述鉴权请求中。
6.根据权利要求1所述的系统,其特征在于,所述配置服务器在确定数据方在所述目标计算设备中至少一个文件所属的文件类型之前,还用于:
基于文件内容,对所述数据方在所述目标计算设备中的文件进行聚类,以获得至少一个文件类型;
根据所述文件类型下的文件包含的关键词及所述文件类型下的文件所属的行业领域,确定所述文件类型的标识,所述文件类型的标识用于所述数据方为所述文件类型针对一个或多个访问角色配置访问权限。
7.根据权利要求6所述的系统,其特征在于,所述配置服务器还用于:
根据所述文件类型的标识及其下的文件所属的行业领域,确定所述文件类型对应的安全级别,所述安全级别用于所述数据方配置所述安全级别下一个或多个访问角色具有的访问权限。
8.根据权利要求7所述的系统,其特征在于,所述配置服务器在根据一个或多个访问角色在所述文件所属的文件类型下的访问权限,为所述文件针对一个或多个访问角色分别生成鉴权信息之前,还用于:
根据所述文件类型对应的安全级别以及所述安全级别下一个或多个访问角色具有的访问权限,确定一个或多个访问角色对所述文件类型的访问权限;
根据一个或多个访问角色对所述文件类型的访问权限,确定一个或多个访问角色在所述文件所属的文件类型下的访问权限。
9.根据权利要求6所述的系统,其特征在于,所述配置服务器在基于文件内容,对所述数据方在所述目标计算设备中的文件进行聚类之前,还用于:
向数据授权中心发送针对所述数据方在所述目标计算设备中的文件的访问授权请求;
在获取到所述数据授权中心下发的临时授权密钥后,利用所述临时授权密钥以临时访问角色向所述目标计算设备发送文件访问请求;
在通过所述鉴权服务器的访问权限验证后,扫描所述数据方在所述目标计算设备中的文件。
10.一种访问控制方法,其特征在于,包括:
确定数据方在目标计算设备中的至少一个文件所属的文件类型;
根据一个或多个访问角色在所述文件所属的文件类型下的访问权限,为所述文件针对所述一个或多个访问角色分别生成鉴权信息;
将所述一个或多个鉴权信息输出至所述目标计算设备,以供所述目标计算设备根据所述一个或多个鉴权信息对所述文件进行访问控制。
11.根据权利要求10所述的方法,其特征在于,所述将所述一个或多个鉴权信息输出至目标计算设备,包括:
在为所述文件针对一个或多个访问角色分别生成鉴权信息后,调用所述目标计算设备的调用接口,将所述一个或多个鉴权信息输出至所述目标计算设备;或者,
接收所述目标计算设备根据所述文件访问请求发送的鉴权信息获取请求,所述鉴权信息获取请求携带所述目标文件的标识及所述用户的访问角色,根据所述目标文件的标识与所述用户的访问角色确定所述目标文件针对所述用户的访问角色的鉴权信息并返回给所述目标计算设备。
12.根据权利要求10或11所述的方法,其特征在于,当所述文件所属的文件类型发生变化和/或一个或多个访问角色在所述文件所属文件类型下的访问权限发生变化时,更新所述文件针对一个或多个访问角色的鉴权信息,将更新后的一个或多个鉴权信息输出至所述目标计算设备。
13.根据权利要求10或11所述的方法,其特征在于,所述将所述一个或多个鉴权信息输出至所述目标计算设备,包括:
将所述文件针对一个或多个访问角色的鉴权信息发送至所述目标计算设备,以由所述目标计算设备针对所述文件,将所述文件针对一个或多个访问角色的鉴权信息写入所述文件的描述信息的第一预留字段中。
<...
【专利技术属性】
技术研发人员:刘敬良,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。