本申请提供一种访问控制方法、装置、设备和存储介质,该方法包括:接收终端发送的访问请求,所述访问请求中携带有待访问的目标资源标识以及发出所述访问请求的应用标识;获取所述应用标识对应的目标应用属性信息和所述目标资源标识对应的访问配置信息;根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限;当所述终端具备通过所述目标应用访问所述目标资源的权限时,允许所述终端通过所述目标应用访问所述目标资源。本申请通过在访问过程对用户发起数据资源访问的应用程序执行校验,确保主体的安全可信,提高数据访问安全性。提高数据访问安全性。提高数据访问安全性。
【技术实现步骤摘要】
访问控制方法、装置、设备和存储介质
[0001]本申请涉及信息安全
,具体而言,涉及一种访问控制方法、装置、设备和存储介质。
技术介绍
[0002]访问控制是给出一套方法,将系统中的所有功能标识出来,组织起来,托管起来,将所有的数据组织起来标识出来托管起来,然后提供一个简单的唯一的接口,这个接口的一端是应用系统一端是权限引擎。权限引擎所回答的只是:谁是否对某资源具有实施某个动作(运动、计算)的权限。返回的结果只有:有、没有、权限引擎异常了。
[0003]访问控制是几乎所有系统(包括计算机系统和非计算机系统)都需要用到的一种技术。访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
[0004]访问控制包含主体、客体和访问安全策略三部分,传统模型主要通过用户身份和终端身份来识别业务发起的主体,客体控制主要集中在资源本身及对主体的授权,未对发起实际数据请求的载体进行控制,存在通过漏洞或伪造脚本程序在访问过程中对受保护的资源持续非法请求的风险。
技术实现思路
[0005]本申请实施例的目的在于提供一种访问控制方法、装置、设备和存储介质,通过在访问过程对用户发起数据资源访问的应用程序执行校验,确保主体的安全可信。
[0006]本申请实施例第一方面提供了一种访问控制方法,包括:接收终端发送的访问请求,所述访问请求中携带有待访问的目标资源标识以及发出所述访问请求的应用标识;获取所述应用标识对应的目标应用属性信息和所述目标资源标识对应的访问配置信息;根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限;当所述终端具备通过所述目标应用访问所述目标资源的权限时,允许所述终端通过所述目标应用访问所述目标资源。
[0007]于一实施例中,所述根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限,包括:判断所述目标资源标识对应的访问配置信息是否启用;当所述目标资源标识对应的访问配置信息未启用时,则确定所述终端具备通过所述目标应用访问所述目标资源的权限。
[0008]于一实施例中,所述根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限,还包括:当所述目标资源标识对应的访问配置信息已启用时,判断所述属性信息在所述访问配置信息中是否被标记为可信应用;当所述属性信息在所述访问配置信息中被标记为可信应用时,确定所述终端具备通过所述目标应用访问所述目标资源的权限。
[0009]于一实施例中,所述根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限,还包括:当所述属性信息在所述访问配置信息中被标记为非可信应用时,确定所述终端不具备通过所述目标应用访问所述目标资源的权限。
[0010]于一实施例中,所述属性信息包括:所述目标应用的软件包名称、应用指纹、发布厂商或者程序签名中的一个或多个。
[0011]于一实施例中,在所述接收终端发送的访问请求之前,还包括:接收所述终端的身份认证请求,所述身份认证请求中携带有所述终端的标识;根据所述终端的标识对应的目标认证策略对所述终端进行身份认证,并在所述终端的身份认证成功时,执行所述接收终端发送的访问请求的步骤。
[0012]于一实施例中,所述目标认证策略包括:用户身份认证和/或设备认证。
[0013]本申请实施例第二方面提供了一种访问控制装置,包括:第一接收模块,用于接收终端发送的访问请求,所述访问请求中携带有待访问的目标资源标识以及发出所述访问请求的应用标识;获取模块,用于获取所述应用标识对应的目标应用属性信息和所述目标资源标识对应的访问配置信息;判断模块,用于根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限;允许模块,用于当所述终端具备通过所述目标应用访问所述目标资源的权限时,允许所述终端通过所述目标应用访问所述目标资源。
[0014]于一实施例中,所述判断模块用于:判断所述目标资源标识对应的访问配置信息是否启用;当所述目标资源标识对应的访问配置信息未启用时,则确定所述终端具备通过所述目标应用访问所述目标资源的权限。
[0015]于一实施例中,所述判断模块还用于:当所述目标资源标识对应的访问配置信息已启用时,判断所述属性信息在所述访问配置信息中是否被标记为可信应用;当所述属性信息在所述访问配置信息中被标记为可信应用时,确定所述终端具备通过所述目标应用访问所述目标资源的权限。
[0016]于一实施例中,所述判断模块还用于:当所述属性信息在所述访问配置信息中被标记为非可信应用时,确定所述终端不具备通过所述目标应用访问所述目标资源的权限。
[0017]于一实施例中,所述属性信息包括:所述目标应用的软件包名称、应用指纹、发布厂商或者程序签名中的一个或多个。
[0018]于一实施例中,还包括:第二接收模块,用于在所述接收终端发送的访问请求之前,接收所述终端的身份认证请求,所述身份认证请求中携带有所述终端的标识;认证模块,用于根据所述终端的标识对应的目标认证策略对所述终端进行身份认证,并在所述终端的身份认证成功时,执行所述接收终端发送的访问请求的步骤。
[0019]于一实施例中,所述目标认证策略包括:用户身份认证和/或设备认证。
[0020]本申请实施例第三方面提供了一种电子设备,包括:存储器,用以存储计算机程序;处理器,用以执行所述计算机程序,以实现本申请实施例第一方面及其任一实施例的方法。
[0021]本申请实施例第四方面提供了一种非暂态电子设备可读存储介质,包括:程序,当其藉由电子设备运行时,使得所述电子设备执行本申请实施例第一方面及其任一实施例的
方法。
[0022]本申请提供的访问控制方法、装置、设备和存储介质,通过预先给资源信息设置可信性访问配置信息,在终端对资源访问过程中,增加对访问终端中应用程序的权限校验过程,通过目标应用的属性信息与待访问目标资源的访问配置信息,来判断该目标应用是否具备访问目标资源的权限,只有在目标应用具备访问目标资源的权限时,才允许终端通过该目标应用访问目标资源,进一步保证访问主体的可信性,提高数据访问的安全性。
附图说明
[0023]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0024]图1为本申请一实施例的电子设备的结构示意图;
[0025]图2为本申请一实施例的访问控制系统的场景示意图;
[0026]图3为本申请一实施例的访问控制方法的流程示本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,其特征在于,包括:接收终端发送的访问请求,所述访问请求中携带有待访问的目标资源标识以及发出所述访问请求的应用标识;获取所述应用标识对应的目标应用属性信息和所述目标资源标识对应的访问配置信息;根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限;当所述终端具备通过所述目标应用访问所述目标资源的权限时,允许所述终端通过所述目标应用访问所述目标资源。2.根据权利要求1所述的方法,其特征在于,所述根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限,包括:判断所述目标资源标识对应的访问配置信息是否启用;当所述目标资源标识对应的访问配置信息未启用时,则确定所述终端具备通过所述目标应用访问所述目标资源的权限。3.根据权利要求2所述的方法,其特征在于,所述根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限,还包括:当所述目标资源标识对应的访问配置信息已启用时,判断所述属性信息在所述访问配置信息中是否被标记为可信应用;当所述属性信息在所述访问配置信息中被标记为可信应用时,确定所述终端具备通过所述目标应用访问所述目标资源的权限。4.根据权利要求3所述的方法,其特征在于,所述根据所述属性信息与所述访问配置信息,判断所述终端是否具备通过所述目标应用访问所述目标资源的权限,还包括:当所述属性信息在所述访问配置信息中被标记为非可信应用时,确定所述终端不具备通过所述目...
【专利技术属性】
技术研发人员:范潇,张泽洲,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。