访问控制与访问行为识别方法、系统、设备及存储介质技术方案

本申请实施例提供一种访问控制及访问行为识别方法、系统、设备及存储介质，其中，访问控制方法包括：接收当前应用程序在请求访问目标数据时产生的权限获取请求；从目标数据对应的访问参考信息中，获取至少一个在前应用程序对目标数据的访问行为信息；根据至少一个在前应用程序对目标数据的访问行为信息，调整当前应用程序对目标数据的访问权限；根据调整后的访问权限控制当前应用程序对目标数据的访问。本实施例中，在对目标数据进行访问控制时，综合考虑了目标数据使用全链路中的数据变化细节，并可据此动态调整应用程序的访问权限，这使得对目标数据的访问控制更加合理、更加灵活。

Access control and access behavior identification methods, systems, devices and storage media

【技术实现步骤摘要】
访问控制与访问行为识别方法、系统、设备及存储介质
本申请涉及数据安全
，尤其涉及一种访问控制与访问行为识别方法、系统、设备及存储介质以及一种数据处理方法、设备及存储介质。
技术介绍
目前，在数据安全领域中，通常会为不同应用程序配置不同数据资源的访问权限，每个应用程序只能访问自己拥有访问权限的数据资源内的数据。这样，当某一应用程序发起对某一数据的访问请求时，可根据该数据所在的数据资源以及该应用程序可访问的数据资源判断该应用程序对该数据是否具有访问权限，以保证该数据的安全性。但是，这种访问控制方式比较死板，不够灵活，导致访问控制的效果不佳。
技术实现思路
本申请的多个方面提供一种访问控制与访问行为识别方法、系统、设备及存储介质，以提高访问控制的灵活性和合理性。本申请实施例提供一种访问控制方法，包括：接收当前应用程序在请求访问目标数据时产生的权限获取请求；从所述目标数据对应的访问参考信息中，获取至少一个在前应用程序对所述目标数据的访问行为信息；根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的访问权限；根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问。本申请实施例还提供一种访问行为识别方法，包括：获取目标数据对应的访问参考信息，所述访问参考信息包含至少一个在前应用程序对所述目标数据的访问行为信息；根据所述至少一个在前应用程序对所述目标数据的访问行为信息，确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序；若存在，将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。本申请实施例还提供一种访问控制设备，包括存储器、处理器和通信组件；所述存储器用于存储一条或多条计算机指令；所述处理器与所述存储器和所述通信组件耦合，用以执行一条或多条计算机指令，以用于：通过所述通信组件接收当前应用程序在请求访问目标数据时产生的权限获取请求；从所述目标数据对应的访问参考信息中，获取至少一个在前应用程序对所述目标数据的访问行为信息；根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的访问权限；根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问。本申请实施例还提供一种监控设备，包括存储器和处理器；所述存储器用于存储一条或多条计算机指令；所述处理器与所述存储器耦合，用以执行一条或多条计算机指令，以用于：获取目标数据对应的访问参考信息，所述访问参考信息包含至少一个在前应用程序对所述目标数据的访问行为信息；根据所述至少一个在前应用程序对所述目标数据的访问行为信息，确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序；若存在，将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。本申请实施例还提供一种访问控制系统，包括访问控制设备和监控设备；所述访问控制设备，用于接收当前应用程序在请求访问目标数据时产生的权限获取请求；从所述目标数据对应的访问参考信息中，获取至少一个在前应用程序对所述目标数据的访问行为信息；根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的访问权限；根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问；所述监控设备，用于获取所述目标数据对应的访问参考信息；根据所述至少一个在前应用程序对所述目标数据的访问行为信息，确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序；若存在，将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。本申请实施例还提供一种数据处理方法，包括：计算设备，接收访问请求，其中，所述访问请求包括第一权限；所述计算设备，根据所述访问请求，获取目标数据及目标权限；所述计算设备，确定所述第一权限与所述目标权限满足预设条件；所述计算设备，将所述目标数据发送给所述访问请求对应的请求端。本申请实施例还提供一种计算设备，包括存储器和处理器；所述存储器用于存储一条或多条计算机指令；所述处理器与所述存储器耦合，用以执行一条或多条计算机指令，以用于：接收访问请求，其中，所述访问请求包括第一权限；根据所述访问请求，获取目标数据及目标权限；确定所述第一权限与所述目标权限满足预设条件；将所述目标数据发送给所述访问请求对应的请求端。本申请实施例还提供一种存储计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行前述的访问控制方法。本申请实施例还提供一种存储计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行前述的访问行为识别方法。本申请实施例还提供一种存储计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行前述的数据处理方法。在本申请实施例中，将目标数据的生命周期中发生过的访问行为承载在其对应的访问参考信息中，在应用程序访问目标数据时，可基于目标数据对应的访问参考信息调整应用程序的访问权限。因此，本实施例中，在对目标数据进行访问控制时，综合考虑了目标数据使用全链路中的数据变化细节，并可据此动态调整应用程序的访问权限，这使得对目标数据的访问控制更加合理、更加灵活。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1为本申请一实施例提供的一种访问控制方法的流程示意图；图2为本申请一实施例提供的另一种访问控制方法的流程示意图；图3为本申请另一实施例提供的一种访问行为识别方法的流程示意图；图4为本申请又一实施例提供的一种访问控制设备的结构示意图；图5为本申请又一实施例提供的一种监控设备的结构示意图；图6为本申请又一实施例提供的一种访问控制系统的结构示意图；图7为本申请又一实施例提供的一种数据处理方法的流程示意图；图8为本申请又一实施例提供的一种计算设备的结构示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。现有技术中，基于数据资源的访问控制方式比较死板，不够灵活，访问控制效果不佳本文档来自技高网...

【技术保护点】
1.一种访问控制方法，其特征在于，包括：/n接收当前应用程序在请求访问目标数据时产生的权限获取请求；/n从所述目标数据对应的访问参考信息中，获取至少一个在前应用程序对所述目标数据的访问行为信息；/n根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的访问权限；/n根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问。/n

【技术特征摘要】
1.一种访问控制方法，其特征在于，包括：
接收当前应用程序在请求访问目标数据时产生的权限获取请求；
从所述目标数据对应的访问参考信息中，获取至少一个在前应用程序对所述目标数据的访问行为信息；
根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的访问权限；
根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问。


2.根据权利要求1所述的方法，其特征在于，还包括：
将所述当前应用程序对所述目标数据的访问行为信息更新至所述访问参考信息中，用以调整后续应用程序对所述目标数据的访问权限。


3.根据权利要求1所述的方法，其特征在于，在所述从所述目标数据对应的访问参考信息中，获取至少一个在前应用程序对所述目标数据的访问行为信息之前，还包括：
在所述至少一个在前应用程序访问所述目标数据过程中，记录所述至少一个在前应用程序对所述目标数据的访问行为信息；
将所述至少一个在前应用程序对所述目标数据的访问行为信息添加至所述目标数据对应的访问参考信息中。


4.根据权利要求1所述的方法，其特征在于，所述根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的访问权限，包括：
根据所述目标数据对应的基础访问权限配置规则，确定所述当前应用程序对所述目标数据的基础访问权限；
根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的基础访问权限，以得到调整后的访问权限。


5.根据权利要求4所述的方法，其特征在于，所述根据所述目标数据对应的基础访问权限配置规则，确定所述当前应用程序对所述目标数据的基础访问权限，包括：
确定所述当前应用程序的调用者的访问角色；
根据所述目标数据对应的基础访问权限配置规则，确定所述调用者的访问角色对所述目标数据的初始访问权限；
根据所述目标数据对应的基础访问权限配置规则，确定所述当前应用程序对所述目标数据的初始访问权限；
基于所述调用者的访问角色对所述目标数据的初始访问权限以及所述当前应用程序对所述目标数据的初始访问权限，确定所述当前应用程序对所述目标数据的基础访问权限。


6.根据权利要求4所述的方法，其特征在于，在所述根据所述目标数据对应的基础访问权限配置规则，确定所述当前应用程序对所述目标数据的基础访问权限之前，还包括：
根据所述目标数据的内容，确定所述目标数据的数据类型；
根据所述目标数据的数据类型及所述目标数据所属行业的安全需求，确定所述目标数据的安全级别；
基于所述目标数据拥有者的安全需求，建立一个或多个应用程序与所述安全级别之间的权限关系以及一个或多个访问角色与所述安全级别之间的权限关系，作为所述目标数据对应的基础访问权限配置规则。


7.根据权利要求6所述的方法，其特征在于，所述目标数据的访问参考信息中包含所述目标数据的数据类型和安全级别，所述根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的基础访问权限，以得到调整后的访问权限，包括：
从所述至少一个在前应用程序对所述目标数据的访问行为信息中，获取所述至少一个在前应用程序对所述目标数据的访问行为类型；
根据所述至少一个在前应用程序对所述目标数据的访问行为类型，判断所述至少一个在前应用程序对所述目标数据的访问行为是否会引起所述目标数据的安全级别发生变化；
若判断结果为是，根据所述至少一个在前应用程序对所述目标数据的访问行为类型调整所述访问参考信息中的所述目标数据的安全级别，并根据所述目标数据调整后的安全级别对所述当前应用程序对所述目标数据的基础访问权限进行调整，得到调整后的访问权限。


8.根据权利要求7所述的方法，其特征在于，所述根据所述至少一个在前应用程序对所述目标数据的访问行为类型调整所述目标数据的安全级别，包括：
若所述至少一个在前应用程序对所述目标数据的访问行为类型包括脱敏行为类型，则降低所述目标数据的安全级别；或者
若所述至少一个在前应用程序对所述目标数据的访问行为类型包括写入更高安全级别内容的行为类型，则提高所述目标数据的安全级别。


9.根据权利要求8所述的方法，其特征在于，所述根据所述目标数据调整后的安全级别对所述当前应用程序对所述目标数据的基础访问权限进行调整，得到调整后的访问权限，包括：
若所述目标数据的安全级别降低，放宽所述当前应用程序对所述目标数据的基础访问权限，以得到调整后的访问权限；
若所述目标数据的安全级别升高，收缩所述当前应用程序对所述目标数据的基础访问权限，以得到调整后的访问权限。


10.根据权利要求1-9任一项所述的方法，其特征在于，还包括：
将所述目标数据对应的访问参考信息发送至监控设备，以供所述监控设备根据所述访问参考信息确定是否存在对所述目标数据的访问行为异常的异常应用程序；
接收所述监控设备在确定存在异常应用程序时发送的异常行为提示信息，所述异常行为提示信息包括异常应用程序的标识信息和异常行为类型；
根据所述异常行为类型调整所述异常应用程序对所述目标数据的访问权限。


11.一种访问行为识别方法，其特征在于，包括：
获取目标数据对应的访问参考信息，所述访问参考信息包含至少一个在前应用程序对所述目标数据的访问行为信息；
根据所述至少一个在前应用程序对所述目标数据的访问行为信息，确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序；
若存在，将所述异常应用程序的标识信息和异常行为类型添加至异常行为提示信息中并输出所述异常行为提示信息。


12.根据权利要求11所述的方法，其特征在于，所述根据所述至少一个在前应用程序对所述目标数据的访问行为信息，确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序，包括：
从所述至少一个在前应用程序对所述目标数据的访问行为信息中，获取所述至少一个在前应用程序对所述目标数据的访问行为类型；
根据所述至少一个在前应用程序对所述目标数据的访问行为类型，确定所述至少一个在前应用程序对所述目标数据的访问行为是否超出其对所述目标数据的访问权限，以确定所述至少一个在前应用程序中是否存在对所述目标数据的访问行为异常的异常应用程序。


13.一种访问控制设备，其特征在于，包括存储器、处理器和通信组件；
所述存储器用于存储一条或多条计算机指令；
所述处理器与所述存储器和所述通信组件耦合，用以执行一条或多条计算机指令，以用于：
通过所述通信组件接收当前应用程序在请求访问目标数据时产生的权限获取请求；
从所述目标数据对应的访问参考信息中，获取至少一个在前应用程序对所述目标数据的访问行为信息；
根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的访问权限；
根据调整后的访问权限控制所述当前应用程序对所述目标数据的访问。


14.根据权利要求13所述的设备，其特征在于，所述处理器还用于：
将所述当前应用程序对所述目标数据的访问行为信息更新至所述访问参考信息中，用以调整后续应用程序对所述目标数据的访问权限。


15.根据权利要求13所述的设备，其特征在于，所述处理器在从所述目标数据对应的访问参考信息中，获取至少一个在前应用程序对所述目标数据的访问行为信息之前，还用于：
在所述至少一个在前应用程序访问所述目标数据过程中，记录所述至少一个在前应用程序对所述目标数据的访问行为信息；
将所述至少一个在前应用程序对所述目标数据的访问行为信息添加至所述目标数据对应的访问参考信息中。


16.根据权利要求13所述的设备，其特征在于，所述处理器在根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的访问权限时，用于：
根据所述目标数据对应的基础访问权限配置规则，确定所述当前应用程序对所述目标数据的基础访问权限；
根据所述至少一个在前应用程序对所述目标数据的访问行为信息，调整所述当前应用程序对所述目标数据的基础访问权限，以得到调整后的访问权限。


17.根据权利要求16所述的设备，其特征在于，所述处理器在根据所述目标数据对应的基础访问权限配置...

【专利技术属性】
技术研发人员：吴晓昕，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY