设备访问权限的控制方法、装置及堡垒机与流程

本发明涉及通信安全技术领域，更具体的说，涉及一种设备访问权限的控制方法、装置及堡垒机。

背景技术：

随着网络的发展，通信安全越来越受到重视。在一些特殊网络环境下(如企业内网)，为了保护客户的设备资产或者应用资产不被未授权的用户使用，需要对设备访问权限进行控制管理，允许特定用户在特定的权限许可范围内使用特定账号访问特定设备。

现有的权限控制管理方案一般是利用堡垒机给用户分配某个设备使用某个帐号的权限，具体采用一对一的分配方式，如：给甲用户分一号设备用a帐号访问的权限，甲用户就可以利用a账号去访问一号设备。因此，权限的最大规模应为用户数*设备数*帐号数。

然而，当用户和设备的数量规模达到一定的程度时，权限的最大规模也会相应的变得非常多，导致维护工作量变得非常大。例如，在需要新增权限时，必须对大量的权限记录进行比对，以判断该新增权限是否已经存在。

技术实现要素：

有鉴于此，本发明的目的在于提供了一种设备访问权限的控制方法、装置及堡垒机，以解决现有权限控制管理方案因采用一对一的分配的操作方式，从而导致维护工作量非常大的问题。

为达此目的，本发明采用以下技术方案：

一种设备访问权限的控制方法，包括：

获取数据库中的用户信息、设备信息和账号信息；

将所述用户信息、设备信息和账号信息分别与权限信息进行匹配；其中，所述权限信息包括多个应用场景下的规则信息；

将满足所述每个应用场景下的规则信息要求的用户信息、设备信息和账号信息组合，得到三元组信息。

可选地，所述每个应用场景下的规则信息均包括：用户特征信息、设备特征信息和账号特征信息；其中，所述将所述用户信息、设备信息和账号信息分别与权限信息进行匹配，包括：

分别匹配所述用户信息与所述每个应用场景下的用户特征信息、所述设备信息与所述每个应用场景下的设备特征信息、以及所述账号信息与所述每个应用场景下的账号特征信息；

其中，满足所述每个应用场景下的规则信息要求为：所述用户信息、所述设备信息以及所述账号信息，均与同一个应用场景下的用户特征信息、设备特征信息和账号特征信息完全匹配成功。

可选地，所述用户特征信息包括：包括至少一个用户属性的判决条件的集合；所述设备特征信息包括：包括至少一个设备属性的判决条件的集合；所述账号特征信息包括：包括至少一个账号属性的判决条件的集合。

可选地，还包括：

在得到的所述三元组信息中添加对应的访问规则信息，其中，所述访问规则信息用于限制设备访问权限的范围。

一种设备访问权限的控制装置，包括：

获取单元，用于获取数据库中的用户信息、设备信息和账号信息；

匹配单元，用于将所述用户信息、设备信息和账号信息分别与权限信息进行匹配；其中，所述权限信息包括多个应用场景下的规则信息；

组合单元，用于将满足所述每个应用场景下的规则信息要求的用户信息、设备信息和账号信息组合，得到三元组信息。

可选地，所述每个应用场景下的规则信息均包括：用户特征信息、设备特征信息和账号特征信息；其中，所述匹配单元，包括：

匹配子单元，用于分别匹配所述用户信息与所述每个应用场景下的用户特征信息、所述设备信息与所述每个应用场景下的设备特征信息、以及所述账号信息与所述每个应用场景下的账号特征信息；

其中，满足所述每个应用场景下的规则信息要求为：所述用户信息、所述设备信息以及所述账号信息，均与同一个应用场景下的用户特征信息、设备特征信息和账号特征信息完全匹配成功。

可选地，所述用户特征信息包括：包括至少一个用户属性的判决条件的集合；所述设备特征信息包括：包括至少一个设备属性的判决条件的集合；所述账号特征信息包括：包括至少一个账号属性的判决条件的集合。

可选地，还包括：

添加单元，用于在得到的所述三元组信息中添加对应的访问规则信息，其中，所述访问规则信息用于限制设备访问权限的范围。

一种堡垒机，包括：存储器和处理器；

所述存储器用于存储计算机程序代码；

所述处理器用于执行所述存储器存储的代码，用于获取数据库中的用户信息、设备信息和账号信息；将所述用户信息、设备信息和账号信息分别与权限信息进行匹配；其中，所述权限信息包括多个应用场景下的规则信息；将满足所述每个应用场景下的规则信息要求的用户信息、设备信息和账号信息组合，得到三元组信息。

可选地，所述每个应用场景下的规则信息均包括：用户特征信息、设备特征信息和账号特征信息；其中，所述处理器执行将所述用户信息、设备信息和账号信息分别与权限信息进行匹配时，用于：分别匹配所述用户信息与所述每个应用场景下的用户特征信息、所述设备信息与所述每个应用场景下的设备特征信息、以及所述账号信息与所述每个应用场景下的账号特征信息；

其中，满足所述每个应用场景下的规则信息要求为：所述用户信息、所述设备信息以及所述账号信息，均与同一个应用场景下的用户特征信息、设备特征信息和账号特征信息完全匹配成功。

与现有技术相比，本发明具有以下有效效果：

本发明提供了一种设备访问权限的控制方法中，所述权限信息中包括多个应用场景下的规则信息，因此，将数据库中的用户信息、设备信息和账号信息和权限信息进行匹配，是将数据库中的用户信息、设备信息和账号信息以不同应用场景的方式进行分配权限，得到的是每个应用场景下的权限，缩小了权限的最大规模，解决了现有权限控制管理方案因采用一对一的分配的操作方式，从而导致维护工作量非常大的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种设备访问权限的控制方法流程图。

图2为本发明实施例二提供的一种设备访问权限的控制方法流程图。

图3为本发明实施例三提供的一种设备访问权限的控制装置的结构示意图。

图4为本发明实施例四提供的一种堡垒机的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本实施例提供了一种设备访问权限的控制方法、装置及堡垒机，以解决现有权限控制管理方案因采用一对一的分配的操作方式，从而导致维护工作量非常大的问题。

请参阅图1所示，本实施例公开的设备访问权限的控制方法，包括步骤：

s101、获取数据库中的用户信息、设备信息和账号信息。

其中，堡垒机的数据库中存储有大数据量的用户信息、设备信息和账号用户，需要对用户信息、设备信息和账号信息进行访问权限的设定。因此，分别读取数据库中存储的每一个用户信息、设备信息和账号信息。

s102、将所述用户信息、设备信息和账号信息分别与权限信息进行匹配。

其中，所述权限信息包括多个应用场景下的规则信息。每一种应用场景下的规则信息，用于说明该应用场景下的设备访问权限，将用户信息、设备信息和账号信息与权限信息中的每一种应用场景下的规则信息，可以判断用户信息、设备信息和账号信息是否符合每一种应用场景下的设备访问权限。

还需要说明的是，在执行本实施例公开的设备访问权限的控制方法之前，还需要配置每一种应用场景下的规则信息。

可选地，本申请的另一实施例中，步骤s102中提出的每个应用场景下的规则信息均可包括：用户特征信息、设备特征信息和账号特征信息。其中，用户特征信息用于说明每一种应用场景下的用户属性特征，且包括该应用场景下的用户信息的判决条件；设备特征信息用于说明每一种应用场景下的设备属性特征，且包括应用场景下的设备信息的判决条件；账号特征信息用于说明每一种应用场景下的账号属性特征，且包括应用场景下的账号信息的判决条件。

可选地，每一个应用场景下的用户信息的判决条件、每一种应用场景下的设备信息的判决条件和每一种应用场景下的账号信息的判决条件，可以包括：等于/不等于、包含/不包含、正则匹配、前缀为/不为、后缀为/不为、大(等)于/小(等)于等。

每一种应用场景下包括的用户特征信息、设备特征信息和账号特征信息可如下表所示。

上表中，每一行均是一种应用场景下包括的用户特征信息、设备特征信息和账号特征信息。

基于上述内容的每个应用场景下的规则信息，步骤s102的一种实施方式，包括：

分别匹配所述用户信息与所述每个应用场景下的用户特征信息、所述设备信息与所述每个应用场景下的设备特征信息、以及所述账号信息与所述每个应用场景下的账号特征信息。

其中，将s101中获取得到的用户信息和一个应用场景下的用户特征信息进行匹配，判断获取得到的用户信息是否符合每一个应用场景下的用户信息的判决条件。将s101中获取得到的设备信息和该应用场景下的设备特征信息进行匹配，判断获取得到的设备信息是否符合每一个应用场景下的设备信息的判决条件。将s101中获取得到的账号信息和该应用场景下的账号特征信息进行匹配，判断获取得到的账号信息是否符合每一个应用场景下的账号信息的判决条件。

s103、将满足所述每个应用场景下的规则信息要求的用户信息、设备信息和账号信息组合，得到三元组信息。

其中，若将用户信息、设备信息和账号信息与一个应用场景下的规则信息相匹配，则将用户信息、设备信息和账号信息组合，形成三元组信息。并且，堡垒机的数据库中存储的所有的用户信息、设备信息和账号信息均进行匹配完毕后，得到的每一个三元组信息，组合成三元组信息列表。

本实施例中，权限信息中包括多个应用场景下的规则信息，因此，将数据库中的用户信息、设备信息和账号信息和权限信息进行匹配，是将数据库中的用户信息、设备信息和账号信息以不同应用场景的方式进行分配权限，得到的是每个应用场景下的权限，缩小了权限的最大规模，解决了现有权限控制管理方案因采用一对一的分配的操作方式，从而导致维护工作量非常大的问题。

还需要说明的是，在步骤s102的可选实施例中，每个应用场景下的规则信息均可包括：用户特征信息、设备特征信息和账号特征信息。并且，以用户特征信息、设备特征信息和账号特征信息，对用户信息、设备信息和账号信息进行匹配。则在步骤s103中，满足所述每个应用场景下的规则信息要求为：所述用户信息、所述设备信息以及所述账号信息，均与同一个应用场景下的用户特征信息、设备特征信息和账号特征信息完全匹配成功。

在本申请实施例的设备访问权限的控制方法执行完毕之后，堡垒机可以按照三元组信息，对用户的访问请求进行访问权限的匹配。具体的，用户通过终端的web页面或者应用程序输入访问请求，堡垒机接收该访问请求，获取该访问请求对应的用户信息、设备信息和账号信息；堡垒机将用户信息、设备信息和账号信息，与三元组信息进行匹配，若能够与三元组信息成功匹配，说明通过用户的访问请求，构建连接关系。如若不能成功匹配，则说明用户的访问受限，则拒绝连接。

可选地，本申请的另一实施例中，步骤s103之后，还包括下述步骤：

在得到的所述三元组信息中添加对应的访问规则信息，其中，所述访问规则信息用于限制设备访问权限的范围。

其中，所述访问规则信息可以包括磁盘映射、剪切板、文件上传下载、访问时间、访问地址等元素的限制条件，可参见图2。

基于此，在接收到用户输入的访问请求之后，在访问请求对应的用户信息、设备信息和账号信息匹配成功，还需要利用所述访问规则信息核实用户的访问请求的权限是否在许可范围。

具体的，针对访问规则信息中包括的限制条件，获取该访问请求对应的信息，例如：访问规则信息中包括有访问时间的限定条件，则需要读取用户输入的访问请求对应的时间。将读取的访问请求对应的信息，判断其是否符合访问规则信息的限制条件要求。

可选地，本申请的另一实施例中，用户信息、设备信息和账号信息，均可以用多个属性来描述，而每个属性还可以有多个值。例如：用户属性包括用户帐号名、用户姓名、所属用户组、类型(正式、临时)、管理角色(超级管理员、配置管理员、操作员、审计员等)、以及其他自定义属性。设备属性包括设备名、设备ip、简要描述、责任人、设备类型(主机/网络设备/数据库/应用系统等)、以及其他自定义属性。帐号属性包括帐号名、帐号类型(特权/非特权)、以及其他自定义属性。因此，每个应用场景下的用户特征信息、设备特征信息和账户特征信息均可以包括多个属性的判决条件。

具体的，所述用户特征信息包括：包括至少一个用户属性的判决条件的集合；所述设备特征信息包括：包括至少一个设备属性的判决条件的集合；所述账号特征信息包括：包括至少一个账号属性的判决条件的集合。并且，每一个用户属性的判决条件还可以包括多个不同用户属性值对应的判决条件，每一个设备属性的判决条件还可以包括多个不同设备属性值对应的判决条件，每一个账号属性的判决条件还可以包括多个不同账号属性值对应的判决条件。

在用户特征信息、设备特征信息和账户特征信息均为包括多个属性的判决条件的集合的情况下，步骤s101中，会对应读取数据库中存储的对应的用户属性、设备属性和账号属性。步骤s102中，需要将读取得到的用户信息中的每一种属性的属性值，和用户属性的集合中的对应属性的属性值的判决条件进行匹配，将读取得到的设备信息中的每一种属性的属性值，和设备属性的集合中的对应属性的属性值的判决条件进行匹配，将读取得到的账户信息中的每一个属性的属性值，和账户属性的集合中的对应属性的属性值的判断条件进行匹配。对应的，步骤s103中，满足所述每个应用场景下的规则信息要求为：用户信息中的每一种属性的属性值，和一个应用场景下的用户属性的集合中的对应属性的属性值的判决条件成功匹配；设备信息中的每一种属性的属性值，和同样该应用场景下的设备属性的集合中的对应属性的属性值的判决条件成功匹配；账号信息中的每一种属性的属性值，和同样该应用场景下的账号属性的集合中的对应属性的属性值的判决条件成功匹配。

可选地，堡垒机中的数据库中保存的用户信息、设备信息和账户信息均可以调整。本申请的另一实施例中，若需要增加用户、设备或者账号，则在数据库中对应增加用户信息、设备信息或者账号信息。针对新增加的用户信息、设备信息或者账号信息，判断其相匹配的应用场景，确定其对应的权限。若需要删除用户、设备或者账号，则将三元组信息中对应存储的用户信息、设备信息或者账号信息删除。

本申请另一实施例公开了一种设备访问权限的控制装置，如图3所示，包括：

获取单元301，用于获取数据库中的用户信息、设备信息和账号信息。

匹配单元302，用于将所述用户信息、设备信息和账号信息分别与权限信息进行匹配；其中，所述权限信息包括多个应用场景下的规则信息。

组合单元303，用于将满足所述每个应用场景下的规则信息要求的用户信息、设备信息和账号信息组合，得到三元组信息。

可选地，本申请的另一实施例中，所述每个应用场景下的规则信息均包括：用户特征信息、设备特征信息和账号特征信息；其中，匹配单元302包括：

匹配子单元，用于分别匹配所述用户信息与所述每个应用场景下的用户特征信息、所述设备信息与所述每个应用场景下的设备特征信息、以及所述账号信息与所述每个应用场景下的账号特征信息。

其中，满足所述每个应用场景下的规则信息要求为：所述用户信息、所述设备信息以及所述账号信息，均与同一个应用场景下的用户特征信息、设备特征信息和账号特征信息完全匹配成功。

可选地，本申请的另一实施例中，所述用户特征信息包括：包括至少一个用户属性的判决条件的集合；所述设备特征信息包括：包括至少一个设备属性的判决条件的集合；所述账号特征信息包括：包括至少一个账号属性的判决条件的集合。

可选地，本申请的另一实施例中，所述设备访问权限的控制装置，还包括：

添加单元，用于在得到的所述三元组信息中添加对应的访问规则信息，其中，所述访问规则信息用于限制设备访问权限的范围。

本申请上述几个实施例中，各个单元的具体工作过程可参见方法的实施例内容，此处不再赘述。

本申请另一实施例还公开了一种设备访问权限的控制装置，如图4所示，包括：存储器401和处理器402；其中：

存储器401用于存储计算机程序代码。

处理器402用于执行存储器401存储的代码，用于获取数据库中的用户信息、设备信息和账号信息；将所述用户信息、设备信息和账号信息分别与权限信息进行匹配；其中，所述权限信息包括多个应用场景下的规则信息；将满足所述每个应用场景下的规则信息要求的用户信息、设备信息和账号信息组合，得到三元组信息。

可选地，本申请的另一实施例中，所述每个应用场景下的规则信息均包括：用户特征信息、设备特征信息和账号特征信息；其中，处理器402执行将所述用户信息、设备信息和账号信息分别与权限信息进行匹配时，用于：分别匹配所述用户信息与所述每个应用场景下的用户特征信息、所述设备信息与所述每个应用场景下的设备特征信息、以及所述账号信息与所述每个应用场景下的账号特征信息。

其中，满足所述每个应用场景下的规则信息要求为：所述用户信息、所述设备信息以及所述账号信息，均与同一个应用场景下的用户特征信息、设备特征信息和账号特征信息完全匹配成功。

可选地，本申请的另一实施例中，所述用户特征信息包括：包括至少一个用户属性的判决条件的集合；所述设备特征信息包括：包括至少一个设备属性的判决条件的集合；所述账号特征信息包括：包括至少一个账号属性的判决条件的集合。

可选地，本申请的另一实施例中，处理器402还用于：在得到的所述三元组信息中添加对应的访问规则信息，其中，所述访问规则信息用于限制设备访问权限的范围。

本申请上述几个实施例中，处理器402的具体工作过程可参见方法的实施例内容，此处不再赘述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。