System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种基于用户客户端环境感知的敏感信息分级访问控制方法技术_技高网
当前位置: 首页 > 专利查询>郑州云智信安安全技术有限公司专利>正文

一种基于用户客户端环境感知的敏感信息分级访问控制方法技术

技术编号:39978320 阅读:8 留言:0更新日期:2024-01-09 01:19
本发明专利技术提供一种基于用户客户端环境感知的敏感信息分级访问控制方法。该方法包括:步骤1:利用客户端感知当前客户端所在终端的运行环境信息;步骤2:将感知的所述终端的运行环境信息传输到服务器端;步骤3:服务器端根据所述终端的运行环境信息,判断所述终端的多维度环境信息,所述多维度环境信息包括终端是否为授信终端、终端是否被二次授权、终端的接入网络是否为可信网络、终端是否开启安全软件和终端与服务器端之间的地理位置关系;步骤4:服务器端根据所述终端的多维度环境信息,结合预设的访问控制列表中计算得到所述终端在服务器端上可访问的数据等级。本发明专利技术可以满足复杂场景下用户多维度细粒度控制的需求。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及计算机,尤其涉及一种基于用户客户端环境感知的敏感信息分级访问控制方法


技术介绍

1、目前针对用户终端的环境感知方法各有不同,有些感知的终端环境信息比较单一,没有充分考虑终端可能存在的安全漏洞或者没有考虑网络环境的不可信因素。针对敏感数据的访问控制,目前常用的方法主要包括控制到数据的库和表,或者是控制到数据库表中的数据的行或者列等粗粒度控制方法,并没有针对数据的自身敏感程度做分级分类,也没有针对分级分类后的数据做访问控制。


技术实现思路

1、为了解决现有的终端感知方法存在的不足以及满足用户对多维度细粒度访问控制的需求,本专利技术提供一种基于用户客户端环境感知的敏感信息分级访问控制方法。

2、本专利技术提供一种基于用户客户端环境感知的敏感信息分级访问控制方法,包括:

3、步骤1:利用客户端感知当前客户端所在终端的运行环境信息;

4、步骤2:将感知的所述终端的运行环境信息传输到服务器端;

5、步骤3:服务器端根据所述终端的运行环境信息,判断所述终端的多维度环境信息,所述多维度环境信息包括终端是否为授信终端、终端是否被二次授权、终端的接入网络是否为可信网络、终端是否开启安全软件和终端与服务器端之间的地理位置关系;

6、步骤4:服务器端根据所述终端的多维度环境信息,结合预设的访问控制列表中计算得到所述终端在服务器端上可访问的数据等级。

7、进一步地,步骤1中,具体包括:

8、采集终端的主机名、cpu序列号、内存硬件信息、mac地址,并分别存储至对应的变量中;

9、采集终端当前所处的网络信息,包括终端的ip地址、子网掩码、网关地址和dns服务器,并分别存储至对应的变量中;

10、采集终端的进程信息,包括进程的id、进程名称、进程命令行参数和进程所属用户,根据所述进程信息判断是否存在需要二次授权的进程和/或安全软件,并将判断结果分别存储至对应的变量中;

11、采集终端的位置信息,并存储至对应的变量中。

12、进一步地,步骤2具体包括:

13、客户端将存储的所有变量信息进行封装成传输对象,将客户端内置的安全码和所述传输对象一起进行散列得到客户端签名,将所述客户端签名和所述传输对象传输到服务器端。

14、进一步地,步骤3具体包括:

15、服务器端接收客户端签名和传输对象后,将服务器端的安全码和所述传输对象一起进行散列得到服务器端签名,若所述服务器端签名和所述客户端签名一致,则对所述传输对象进行解析得到所有变量信息;

16、服务器端读取各个变量中存储的终端的运行环境信息,将各项运行环境信息与服务器端内置的可信指标项进行比较,得到所述终端的多维度环境信息。

17、进一步地,所述预设的访问控制列表包括第一访问控制列表、第二访问控制列表、第三访问控制列表、第四访问控制列表和第五访问控制列表;

18、其中,所述第一访问控制列表存储有授信终端和非授信终端分别对应的可访问的数据等级信息;所述第二访问控制列表存储有终端被二次授权和未被二次授权分别对应的可访问的数据等级信息;所述第三访问控制列表存储有终端的接入网络为可信网络和不可信网络时分别对应的可访问的数据等级信息;所述第四访问控制列表存储有终端开启安全软件和未开启安全软件时分别对应的可访问的数据等级信息;所述第五访问控制列表存储有终端与服务器处于不同地理位置时分别对应的可访问的数据等级信息。

19、进一步地,步骤4具体包括:

20、服务器端根据所述终端的多维度环境信息,在各自对应的访问控制列表中查询得到所述终端在服务器端可访问的数据等级;

21、综合各个查询结果,将其中最小的可访问的数据等级作为所述终端在服务器端上可访问的数据等级。

22、本专利技术的有益效果:

23、本专利技术主要是通过感知多维度的终端环境数据,对发起访问请求的终端的可信度做评判,同时将要访问的敏感数据提前做分类分级的处理,根据访问终端的可信度评级来对应相应等级和类型的可访问的数据,弥补了现有访问控制技术中对终端环境感知的不足,消除了一些潜在的安全隐患和漏洞,同时提供了更精确度的数据访问控制的方法,满足了复杂场景下用户多维度细粒度控制的需求。

本文档来自技高网...

【技术保护点】

1.一种基于用户客户端环境感知的敏感信息分级访问控制方法,其特征在于,包括:

2.根据权利要求1所述的一种基于用户客户端环境感知的敏感信息分级访问控制方法,其特征在于,步骤1中,具体包括:

3.根据权利要求2所述的一种基于用户客户端环境感知的敏感信息分级访问控制方法,其特征在于,步骤2具体包括:

4.根据权利要求3所述的一种基于用户客户端环境感知的敏感信息分级访问控制方法,其特征在于,步骤3具体包括:

5.根据权利要求1所述的一种基于用户客户端环境感知的敏感信息分级访问控制方法,其特征在于,所述预设的访问控制列表包括第一访问控制列表、第二访问控制列表、第三访问控制列表、第四访问控制列表和第五访问控制列表;

6.根据权利要求5所述的一种基于用户客户端环境感知的敏感信息分级访问控制方法,其特征在于,步骤4具体包括:

【技术特征摘要】

1.一种基于用户客户端环境感知的敏感信息分级访问控制方法,其特征在于,包括:

2.根据权利要求1所述的一种基于用户客户端环境感知的敏感信息分级访问控制方法,其特征在于,步骤1中,具体包括:

3.根据权利要求2所述的一种基于用户客户端环境感知的敏感信息分级访问控制方法,其特征在于,步骤2具体包括:

4.根据权利要求3所述的一种基于用户客户端环境感知的敏感...

【专利技术属性】
技术研发人员:张乾坤董得东许大辰杨振华
申请(专利权)人:郑州云智信安安全技术有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有