基于安全敏感度的访问控制方法、相关装置及系统制造方法及图纸

本申请提供了基于安全敏感度的访问控制方法、相关装置及系统。在该方法中，客体设备接收到主体设备发送的用于访问第一资源的访问请求后，可以根据基于安全敏感度的访问策略判断是否允许主体设备访问第一资源，并在判断结果为是时，响应该访问请求以访问第一资源。该方法通过基于安全敏感度的访问策略来约束分布式系统中的跨设备访问，可以减少客体设备中资源对外暴露的方式，避免各个设备的安全敏感度的差异性所带来的安全和隐私泄露风险，确保客体设备中数据的机密性和完整性，保障数据安全。全。全。

【技术实现步骤摘要】
基于安全敏感度的访问控制方法、相关装置及系统
[0001]本申请要求于2021年4月12日提交中国专利局、申请号为202110391171.1、申请名称为“基于安全敏感度的访问控制方法、相关装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。


[0002]本申请涉及计算机及通信
，尤其涉及基于安全敏感度的访问控制方法、相关装置及系统。

技术介绍

[0003]随着智能终端的发展，用户生活中的设备种类及数量越来越多，各个设备互通互联的分布式场景也正在逐渐实现。在分布式场景中，各个设备中的应用程序(application，APP)之间互相调用、共享资源等等，将成为未来的趋势。
[0004]如何让分布式场景中的设备之间能够安全地共享资源，保证设备中资源的机密性和完整性，避免潜在的安全及用户隐私泄露风险，从而为用户提供安全、有效的全联接场景，是一个新的挑战。

技术实现思路

[0005]本申请提供了基于安全敏感度的访问控制方法、相关装置及系统，可以避免分布式场景中各个设备的安全敏感度的差异性所带来的安全和隐私泄露风险。
[0006]第一方面，本申请实施例提供了一种基于安全敏感度的访问控制方法，该方法应用于包含第一设备和第二设备的通信系统，该方法包括：第一设备向第二设备发送访问请求，访问请求用于第一设备访问第二设备中的第一资源；第二设备根据第一访问策略，确定允许第一设备访问第一资源，第一访问策略描述了第二设备根据安全敏感度开放资源的规则，安全敏感度由电子设备关联的用户隐私度相关，电子设备关联的用户隐私度越高，电子设备的安全敏感度越高；第二设备响应访问请求访问第一资源。
[0007]在第一方面提供的方法中，第一设备也可以称为主体设备，第二设备也可以称为客体设备。
[0008]实施第一方面提供的方法，可以根据设备的安全敏感度制定访问策略，客体设备可以通过该访问策略来约束分布式系统中的跨设备访问，减少客体设备中资源对外暴露的方式，可以避免分布式场景中各个设备的安全敏感度的差异性所带来的安全和隐私泄露风险，确保客体设备中数据的机密性和完整性，保障数据安全。
[0009]结合第一方面，在一些实施方式中，第一设备向第二设备发送访问请求之前，可以根据第一访问策略，确定允许第一设备访问第一资源。这样，可以通过主客体双重鉴权的方式，避免主体设备和/或客体设备被恶意攻击带来的风险，进一步保障客体设备的数据安全。
[0010]结合上一实施方式，第一设备向第二设备发送访问请求之前，第二设备可以向第
一设备发送第一访问策略。这样可以使得第一设备根据第一访问策略来进行访问控制。在另一些实施方式中，第一设备可以预置该第一访问策略。
[0011]结合第一方面，在一些实施方式中，第一访问策略的实现方式具体包括以下几种：
[0012]1.第一访问策略指示：允许具备第一安全敏感度的电子设备访问具备第二安全敏感度的电子设备中的第二资源，和/或，不允许具备第三安全敏感度的电子设备访问具备第四安全敏感度的电子设备中的第三资源。
[0013]第一访问策略实现为上述第1种方式时，第二设备可以根据第一访问策略、第一设备的安全敏感度、第二设备的安全敏感度，确定允许第一设备访问第一资源。
[0014]2.第一访问策略指示：允许具备第五安全敏感度的电子设备访问第二设备中的第四资源，和/或，不允许具备第六安全敏感度的电子设备访问第二设备中的第五资源。
[0015]第一访问策略实现为上述第2种方式时，第二设备可以根据第一访问策略、第一设备的安全敏感度，确定允许第一设备访问第一资源。
[0016]其中，第一设备的安全敏感度由以下一项或多项确定：当前时间、第一设备的用户的状态、第一设备的设备类型、位置或屏幕状态。
[0017]第一设备的安全敏感度可以有以下几种设置方式：(1)第一设备的安全敏感度由第一设备自主设置。(2)第一设备的安全敏感度由第一设备根据接收到的用户操作设置。(3)通信系统还包括第三设备，第一设备的安全敏感度由第三设备根据接收到的用户操作确定后，发送给第一设备和/或第二设备。
[0018]当第一设备的安全敏感度由第三设备根据接收到的用户操作确定后，发送给第一设备和/或第二设备时，第一设备向第二设备发送访问请求之前，第三设备可以显示第一用户界面，第一用户界面显示有一个或多个安全敏感度选项，一个或多个安全敏感度选项分别对应于不同的安全敏感度；第三设备接收到作用于安全敏感度选项的第一操作；第三设备确定第一设备的安全敏感度为，接收到第一操作的安全敏感度选项所对应的安全敏感度；第三设备将第一设备的安全敏感度发送给第一设备和/或第二设备。
[0019]在一些实施方式中，第二设备根据第一访问策略，确定允许第一设备访问第一资源之前，第一设备可以向第二设备发送第一设备的安全敏感度。
[0020]3.第一访问策略指示：允许第一设备访问第二设备中的第六资源，和/或，不允许第一设备访问第二设备中的第七资源。
[0021]第一访问策略实现为上述第3种方式时，第二设备可以根据第一访问策略，直接确定允许第一设备访问第一资源。
[0022]结合第一方面的方法，在一些实施方式中，第一访问策略可以由第二设备自主设置；或者，第一访问策略由第二设备根据接收到的用户操作设置；或者，通信系统还包括第三设备，第一访问策略由第三设备根据接收到的用户操作确定后，发送给第二设备。
[0023]第一访问策略由第三设备根据接收到的用户操作确定后，发送给第二设备时，第二设备根据第一访问策略，确定允许第一设备访问第一资源之前，方法还可以包括：第三设备显示第二用户界面，第二用户界面显示有一个或多个资源选项，一个或多个资源选项分别对应有控件，资源选项用于指示第二设备中的资源；第三设备接收到作用于控件的第二操作；第三设备确定第一访问策略，第一访问策略包括：允许第一设备访问接收到第二操作的控件对应的资源选项所指示的第二设备中的资源；第三设备将第一访问策略发送给第二
设备。
[0024]结合第一方面的方法，在一些实施方式中，第二设备响应访问请求访问第一资源之前，第二设备可以先确定具备第一权限，第一权限包括访问第一资源的权限。在一些实施方式中，该第一权限具体包括第一设备访问第一资源的权限。
[0025]第二方面，本申请提供了一种基于安全敏感度的访问控制方法，该方法应用于第二设备，该方法包括：第二设备接收到第一设备发送的访问请求，访问请求用于第一设备访问第二设备中的第一资源；第二设备根据第一访问策略，确定允许第一设备访问第一资源，第一访问策略描述了第二设备根据安全敏感度开放资源的规则，安全敏感度由电子设备关联的用户隐私度相关，电子设备关联的用户隐私度越高，电子设备的安全敏感度越高；第二设备响应访问请求访问第一资源。
[0026]在第二方面提供的方法中，第二设备所执行的各项操作，可参考第一方面提供的方法中关于第二设备侧的相关描述，这里不再赘述。...

【技术保护点】

【技术特征摘要】
1.一种基于安全敏感度的访问控制方法，其特征在于，所述方法应用于包含第一设备和第二设备的通信系统，所述方法包括：所述第一设备向所述第二设备发送访问请求，所述访问请求用于所述第一设备访问所述第二设备中的第一资源；所述第二设备根据第一访问策略，确定允许所述第一设备访问所述第一资源，所述第一访问策略描述了所述第二设备根据安全敏感度开放资源的规则，所述安全敏感度由电子设备关联的用户隐私度相关，所述电子设备关联的用户隐私度越高，所述电子设备的安全敏感度越高；所述第二设备响应所述访问请求访问所述第一资源。2.根据权利要求1所述的方法，其特征在于，所述第一设备向所述第二设备发送访问请求之前，所述方法还包括：所述第一设备根据所述第一访问策略，确定允许所述第一设备访问所述第一资源。3.根据权利要求2所述的方法，其特征在于，所述第一设备向所述第二设备发送访问请求之前，所述方法还包括：所述第二设备向所述第一设备发送所述第一访问策略。4.根据权利要求1
‑
3任一项所述的方法，其特征在于，所述第一访问策略指示：允许具备第一安全敏感度的电子设备访问具备第二安全敏感度的电子设备中的第二资源，和/或，不允许具备第三安全敏感度的电子设备访问具备第四安全敏感度的电子设备中的第三资源；所述第二设备根据第一访问策略，确定允许所述第一设备访问所述第一资源，具体包括：所述第二设备根据第一访问策略、所述第一设备的安全敏感度、所述第二设备的安全敏感度，确定允许所述第一设备访问所述第一资源。5.根据权利要求1
‑
3任一项所述的方法，其特征在于，所述第一访问策略指示：允许具备第五安全敏感度的电子设备访问所述第二设备中的第四资源，和/或，不允许具备第六安全敏感度的电子设备访问所述第二设备中的第五资源；所述第二设备根据第一访问策略，确定允许所述第一设备访问所述第一资源，具体包括：所述第二设备根据第一访问策略、所述第一设备的安全敏感度，确定允许所述第一设备访问所述第一资源。6.根据权利要求4或5所述的方法，其特征在于，所述第一设备的安全敏感度由以下一项或多项确定：当前时间、所述第一设备的用户的状态、所述第一设备的设备类型、位置或屏幕状态。7.根据权利要求4
‑
6任一项所述的方法，其特征在于，所述第一设备的安全敏感度由所述第一设备自主设置；或者，所述第一设备的安全敏感度由所述第一设备根据接收到的用户操作设置；或者，所述通信系统还包括第三设备，所述第一设备的安全敏感度由所述第三设备根据接收
到的用户操作确定后，发送给所述第一设备和/或所述第二设备。8.根据权利要求7所述的方法，其特征在于，所述第一设备的安全敏感度由所述第三设备根据接收到的用户操作确定后，发送给所述第一设备和/或所述第二设备；所述第一设备向所述第二设备发送访问请求之前，所述方法还包括：所述第三设备显示第一用户界面，所述第一用户界面显示有一个或多个安全敏感度选项，所述一个或多个安全敏感度选项分别对应于不同的安全敏感度；所述第三设备接收到作用于所述安全敏感度选项的第一操作；所述第三设备确定所述第一设备的安全敏感度为，接收到所述第一操作的安全敏感度选项所对应的安全敏感度；所述第三设备将所述第一设备的安全敏感度发送给所述第一设备和/或所述第二设备。9.根据权利要求4
‑
8任一项所述的方法，其特征在于，所述第二设备根据第一访问策略，确定允许所述第一设备访问所述第一资源之前，所述方法还包括：所述第一设备向所述第二设备发送所述第一设备的安全敏感度。10.根据权利要求1
‑
3任一项所述的方法，其特征在于，所述第一访问策略指示：允许所述第一设备访问所述第二设备中的第六资源，和/或，不允许所述第一设备访问所述第二设备中的第七资源。11.根据权利要求1
‑
10任一项所述的方法，其特征在于，所述第一访问策略由所述第二设备自主设置；或者，所述第一访问策略由所述第二设备根据接收到的用户操作设置；或者，所述通信系统还包括第三设备，所述第一访问策略由所述第三设备根据接收到的用户操作确定后，发送给所述第二设备。12.根据权利要求11所述的方法，其特征在于，所述第一访问策略由所述第三设备根据接收到的用户操作确定后，发送给所述第二设备；所述第二设备根据第一访问策略，确定允许所述第一设备访问所述第一资源之前，所述方法还包括：所述第三设备显示第二用户界面，所述第二用户界面显示有一个或多个资源选项，所述一个或多个资源选项分别对应有控件，所述资源选项用于指示所述第二设备中的资源；所述第三设备接收到作用于所述控件的第二操作；所述第三设备确定所述第一访问策略，所述第一访问策略包括：允许所述第一设备访问接收到所述第二操作的控件对应的资源选项所指示的所述第二设备中的资源；所述第三设备将所述第一访问策略发送给所述第二设备。13.根据权利要求1
‑
12任一项所述的方法，其特征在于，所述第二设备响应所述访问请求访问所述第一资源之前，所述方法还包括：所述第二设备确定具备第一权限，所述第一权限包括访问所述第一资源的权限。14.一种基于安全敏感度的访问控制方法，其特征在于，所述方法应用于第二设备，所述方法包括：所述第二设备接收到第一设备发送的访问请求，所述访问请求用于所述第一设备访问
所述第二设备中的第一资源；所述第二设备根据第一访问策略，确定允许所述第一设备访问所述第一资源，所述第一访问策略描述了所述第二设备根据安全敏感度开放资源的规则，所述安全敏感度由电子设备关联的用户隐私度相关，所述电子设备关联的用户隐私度越高，所述电子设备的安全敏感度越高；所述第二设备响应所述访问请求访问所述第一资源。15.根据权利要求14所述的方法，其特征在于，所述第二设备接收到第一设备发送的访问请求之前，所述方法还包括：所述第二设备向所述第一设备发送所述第一访问策略。16.根据权利要求14或15所述的方法，其特征在于，所述第一访问策略指示：允许具备第一安全敏感度的电子设备访问具备第二安全敏感度的电子设备中的第二资源，和/或，不允许具备第三安全敏感度的电子设备访问具备第四安全敏感度的电子设备中的第三资源；所述第二设备根据第一访问策略，确定允许所述第一设备访问所述第一资源，具体包括：所述第二设备根据第一访问策略、所述第一设备的安全敏感度、所述第...

【专利技术属性】
技术研发人员：任兵飞，毛哲文，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：