本申请实施例提供了一种资源访问控制的方法、装置、设备及存储介质,属于计算机技术领域。该方法过将自定义规则语言编译后运行在规则服务器上,使规则服务器在用户访问资源时对用户是否有访问权限进行分析,能够防止用户简单直接的访问与他拥有相同权限的用户资源,从而可以避免攻击者尝试访问与他拥有相同权限的用户的资源,以提高系统的安全性。此外,本申请提供的访问控制机制会在用户首次访问时根据任务需要定义具体不同的角色,为不同角色分配资源和操作权限,在用户访问非法资源超过一定次数时,动态的更改用户的权限,在用户曾多次尝试访问非法资源时,降低用户的权限,以提高系统的安全性。高系统的安全性。高系统的安全性。
【技术实现步骤摘要】
资源访问控制的方法、装置、设备及存储介质
[0001]本申请涉及计算机
,尤其涉及一种资源访问控制的方法、装置、设备及存储介质。
技术介绍
[0002]为了提高数据资源的安全性,需要对资源进行访问控制。访问控制是在数据、应用、系统、网络和权限等层面进行实现的。对于银行、证券等重要金融机构,访问控制是信息安全的关注重点。
[0003]通常来说,主要的访问控制类型可以包括三种:自主访问控制、强制访问控制和基于角色访问控制。其中,角色访问控制由于能够有效避免数据访问时的纵向越权(纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源),从而得以广泛应用。基于角色的访问控制是通过对角色的访问所进行的控制,角色(Role)是一定数量的权限的集合,用户通过成为适当角色的成员而得到其角色的权限。
[0004]然而,基于角色的访问控制机制无法防止发生横向越权,横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源。举例来说,用户a,和用户b都可以查看订单,但是用户a不正当获取到用户b的查看订单统一资源定位(Uniform Resource Locator,URL)后,就可以访问b的订单情况。因而,如果在支付等交易环节发生横向越权,将会造成不可估量的损失和影响。
技术实现思路
[0005]本申请提供了一种资源访问控制的方法、装置、设备及存储介质,通过在用户访问数据资源的过程中,按照规则语言模型,根据用户的行为字段、权限字段、历史访问信息等对用户的访问结果进行分析,从而获取是否允许用户进行资源访问结果过程,能够保证避免用户非法访问数据资源的问题。
[0006]第一方面,提供了一种资源访问控制的方法,其中,所述方法包括:
[0007]接收用户终端发送的访问请求,所述访问请求用于请求访问数据资源,且所述访问请求包括访问用户对应的用户标识ID;
[0008]对所述访问请求进行规则语言转换,获取目标规则语言的访问请求,所述目标规则语言与访问请求对应的原始规则语言不同,且所述目标规则语言与所述数据资源对应的语言规则一致;
[0009]根据所述用户ID从规则数据库查询是否存在所述用户ID对应的历史访问信息,并获取查询结果,所述历史访问信息为所述目标规则语言,所述目标规则语言与访问请求对应的原始语言不同;
[0010]当所述查询结果指示所述规则数据库不存在所述用户ID对应的历史访问信息时,根据所述用户ID为所述访问用户分配第一访问权限;当所述查询结果指示所述规则数据库存在所述用户ID对应的历史访问数据时,根据所述用户ID从所述规则数据库获取所述访问
用户的第二访问权限,其中,所述第一访问权限为用户首次访问时对应的权限,所述第二访问权限为用户非首次访问时对应的权限;
[0011]根据所述访问请求获取行为字段,并将所述行为字段、所述第一访问权限或所述第二访问权限,以及非法访问次数输入规则服务器,所述行为字段用于指示访问用户的访问行为,且所述行为字段、访问权限和非法访问次数均为目标规则语言;
[0012]获取所述规则服务器输出的访问分析结果,所述访问分析结果用于指示是否允许所述访问用户进行访问数据。
[0013]本申请实施例提供的资源访问控制的方法,可以具有以下有益技术效果:1、防止具有相同角色的用户横向越权查看数据资源。具体地,本提案提供的基于规则语言的资源访问控制方法通过设置自定义规则语言,并将该规则语言进行编译后运行在规则服务器上,能够对用户访问资源的合法性进行判断,可以防止用户简单直接地访问与其具有相同权限的用户资源,从而可以在访问资源过程中,避免攻击者容易访问、篡改其他用户资源的问题,提高系统以及数据资源的安全性。2、本申请实施例提供的基于规则语言的资源访问控制方法,在用户首次访问数据资源时,服务器可以为不同角色分配不同的资源访问权限,或者资源操作权限,在后续访问过程中,可以根据用户非法访问的次数,动态更改用户的权限,在用户多次尝试访问非法资源时,降低用户权限,从而提高资源的安全性。
[0014]结合第一方面,在第一方面的某些实现方式中,所述历史访问数据包括以下至少一项:
[0015]用户ID对应的所述第一访问权限或所述第二访问权限、用户ID对应的历史访问中的非法访问次数、合法访问次数。
[0016]结合第一方面,在第一方面的某些实现方式中,所述方法还包括:
[0017]当确定所述用户是首次访问数据资源时,根据所述访问请求获取所述用户对应的用户信息,所述用户信息包括所述用户ID、为访问用户分配的第一权限;
[0018]将获取的用户信息存储至规则数据库。
[0019]结合第一方面,在第一方面的某些实现方式中,所述对所述访问请求进行规则语言转换,获取目标规则语言的访问请求,具体包括:
[0020]通过规则服务器中的RE文件,将所述访问请求从所述原始规则语言转换为所述目标规则语言,所述原始规则语言为所述访问请求输入时对应的规则语言。
[0021]结合第一方面,在第一方面的某些实现方式中,对所述访问请求进行规则语言转换之前,所述方法还包括:
[0022]生成所述RE文件,所述RE文件用于指示转换为所述目标规则语言的规则。
[0023]结合第一方面,在第一方面的某些实现方式中,所述生成RE文件,具体包括:
[0024]对第一语言进行第一分析处理,所述第一分析处理包括去掉注释和/或词法分析,所述第一语言为自定义语言;
[0025]利用所述目标规则语言将处理后的所述第一语言转换为中间语言,所述中间语言为对所述第一语言进行述目标规则语言转换后获得的语言;
[0026]将所述中间语言编译为对应的代码;
[0027]根据所述代码生成所述RE文件。
[0028]本申请实施例提供的资源访问的方法,通过将自定义规则语言编译后运行在规则
服务器上,使规则服务器在用户访问资源时对用户是否有访问权限进行分析,能够防止用户简单直接的访问与他拥有相同权限的用户资源,从而可以避免攻击者尝试访问与他拥有相同权限的用户的资源,以提高系统的安全性。此外,本申请提供的访问控制机制会在用户首次访问时根据任务需要定义具体不同的角色,为不同角色分配资源和操作权限,在用户访问非法资源超过一定次数时,动态的更改用户的权限,在用户曾多次尝试访问非法资源时,降低用户的权限,以提高系统的安全性。
[0029]第二方面,提供了一种资源访问控制的装置,包括:
[0030]接收模块,用于接收用户终端发送的访问请求,所述访问请求用于请求访问数据资源,且所述访问请求包括访问用户对应的用户标识ID;
[0031]转换模块,用于对所述访问请求进行规则语言转换,获取目标规则语言的访问请求,所述目标规则语言与访问请求对应的原始规则语言不同,且所述目标规则语言与所述数据资源对应的语言规则一致;
[0032]处理模块,用于根据所述用户ID从规则数据库查询是否存在所述用户ID对应的历史访问信息,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种资源访问控制的方法,其特征在于,所述方法包括:接收用户终端发送的访问请求,所述访问请求用于请求访问数据资源,且所述访问请求包括访问用户对应的用户标识ID;对所述访问请求进行规则语言转换,获取转换为目标规则语言的访问请求,所述目标规则语言与所述访问请求对应的原始规则语言不同,且所述目标规则语言与所述数据资源对应的语言规则一致;根据所述用户ID从规则数据库查询是否存在所述用户ID对应的历史访问信息,并获取查询结果,所述历史访问信息为所述目标规则语言;当所述查询结果指示所述规则数据库不存在所述用户ID对应的历史访问信息时,根据所述用户ID为所述访问用户分配第一访问权限;当所述查询结果指示所述规则数据库存在所述用户ID对应的历史访问数据时,根据所述用户ID从所述规则数据库获取所述访问用户的第二访问权限,其中,所述第一访问权限为用户首次访问时对应的权限,所述第二访问权限为用户非首次访问时对应的权限;根据所述访问请求获取行为字段,并将所述行为字段、所述第一访问权限或所述第二访问权限,以及非法访问次数输入规则服务器,所述行为字段用于指示访问用户的访问行为,且所述行为字段、访问权限和非法访问次数均为目标规则语言;获取所述规则服务器输出的访问分析结果,所述访问分析结果用于指示是否允许所述访问用户进行访问数据。2.根据权利要求1所述的方法,其特征在于,所述历史访问数据包括以下至少一项:用户ID对应的所述第一访问权限或所述第二访问权限、用户ID对应的历史访问中的非法访问次数、合法访问次数。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:当确定所述用户是首次访问数据资源时,根据所述访问请求获取所述用户对应的用户信息,所述用户信息包括所述用户ID、为访问用户分配的第一权限;将获取的用户信息存储至规则数据库。4.根据权利要求1或2所述的方法,其特征在于,所述对所述访问请求进行规则语言转换,获取目标规则语言的访问请求,具体包括:通过规则服务器中的RE文件,将所述访问请求从所述原始规则语言转换为所述目标规则语言,所述原始规则语言为所述访问请求输入时对应的规则语言。5.根据权利要求4所述的方法,其特征在于,对所述访问请求进行规则语言转换之前,所述方法还包括:生成所述RE文件,所述RE文件用于指示转换为所述目标规则语言的规则。6.根据权利要求5所述的方法,...
【专利技术属性】
技术研发人员:李桄宇,
申请(专利权)人:平安付科技服务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。