动态访问权限的控制方法及系统与流程

本发明涉及信息安全领域，尤其涉及一种动态访问权限的控制方法及系统。

背景技术：

传统访问控制场景，通常由用户、资源、角色、授权策略等基本因素构成，其特点是授权访问是预先定义、静态的过程，控制粒度较粗，且授权过程仅发生在首次访问资源时，完成后不再进行控制。

随着主体、资源范围的扩大，用户身份可分为人、pc设备、服务器、移动终端设备，资源范围按不同粒度分为应用、应用功能、服务接口、数据四类资源。授权过程需要根据主体、资源、属性、授权策略多个维度进行判定，是一个动态过程。授权对象的精细化访问控制，即包含准、使用什么设备访问资源、在何时何地如何操作、操作结果。并对整个访问过程实施动态访问控制策略。因此，提出一种满足实际发展需求的动态访问权限的控制系统及方法很有必要。

技术实现要素：

(一)要解决的技术问题

针对目前存在的技术问题，本发明提出一种动态访问权限的控制方法及系统，用于解决传统授权系统的授权访问是预先定义、静态的过程，控制粒度较粗，且授权过程仅发生在首次访问资源时，完成后不再进行控制等问题。

(二)技术方案

本发明提供一种动态访问权限的控制方法，包括：s1，获取任意一个主体设备发送的资源访问请求，其中，资源访问请求包括主体设备的主体信息及被访问资源的资源信息；s2，判断主体信息是否为预设主体信息，同时，判断资源信息是否为预设资源信息，如果均满足，则执行步骤s3，否则，拒绝主体设备访问资源；s3，获取主体设备所处的环境信息及属性信息；s4，根据主体信息、资源信息、属性信息及环境信息，判断主体设备是否具有访问资源的权限，如果是，则执行步骤s5，否则，执行步骤s6；s5，允许主体设备访问资源；s6，拒绝主体设备访问资源或引导主体设备执行修复，并执行s3。

可选地，根据主体信息、资源信息、属性信息及环境信息，判断主体设备是否具有访问资源的权限包括：根据主体信息制定主体设备对应的用户角色；根据资源信息制定资源对应的资源角色；对用户角色及资源角色进行关联计算，根据关联计算结果及主体信息、资源信息、属性信息及环境信息判断主体设备是否具有访问所述资源的权限。

可选地，方法还包括：s0，建立资源库，用于存储与资源一一对应的预设资源信息，该预设资源信息至少用于表示其对应资源的资源类型。

可选地，方法还包括：s0′，建立属性库，用于存储环境信息及资源对应的资源类型、资源的安全等级及可用状态信息。

可选地，方法还包括：s0″，建立主体身份库，用于存储预设主体信息。

本发明另一方面提供一种动态访问权限的控制系统，包括：主体身份库模块，用于提供预设主体信息；资源库模块，用于提供预设资源信息；环境感知模块，用于动态获取任意一个主体设备的环境信息；属性库模块，用于提供属性信息及主体设备的环境信息；权限及策略管理模块，用于制定授权策略；动态决策模块，用于接受任意一个主体设备发送的资源访问请求，根据预设主体信息、预设资源信息、属性信息、环境信息及授权策略判断主体设备能否访问资源。

可选地，资源访问请求中包括主体设备的主体信息及被访问资源的资源信息，动态决策模块判断主体设备能否访问资源时，判断主体信息是否为预设主体信息，同时，判断资源信息是否为预设资源信息，如果均满足，则获取环境信息及属性信息，根据主体信息、资源信息及环境信息，判断主体设备是否具有访问所述资源的权限，如果是，允许主体设备访问所述资源，否则，拒绝主体设备访问资源或引导主体设备执行修复，再动态获取主体设备当前的环境信息。

可选地，权限及策略管理模块包括：用户角色管理模块，用于根据主体信息制定主体设备对应的用户角色；资源角色管理模块，用于根据被访问资源的资源信息制定资源角色；授权策略管理模块，用于对用户角色及资源角色做关联计算，得到授权策略。

可选地，属性信息包括主体属性信息及资源属性信息；主体属性信息包括主体设备的用户名、标识及状态信息；资源属性信息包括资源的资源类型信息、资源安全等级信息及可用状态信息。环境信息包括时间信息、网络地址信息、地理位置信息及环境风险信息。

可选地，每一资源设置有唯一标识索引及唯一密码。

(三)有益效果

本发明提供的一种动态访问权限的控制方法及系统，通过识别访问主体、被访问资源、权限策略，结合动态主体、资源、环境多类属性，经过主体角色、资源角色的动态绑定，在主体访问资源的全流程，实时动态进行多维度、细粒度的权限策略及授权评估，以动态控制主体设备端的访问资源的权限。

附图说明

为了更完整地理解本发明及其优势，现在将参考结合附图的以下描述，其中：

图1示意性示出了根据本发明实施例的动态访问权限的控制方法的流程图。

图2示意性示出了根据本发明实施例的动态访问权限的控制系统的框图。

图3示意性示出了根据本发明实施例的动态访问权限的控制系统各模块之间关系的示意图。

具体实施方式

以下，将参照附图来描述本发明的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本发明的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本发明实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

本发明实施例提出一种动态访问权限的控制方法及系统，通过识别访问主体、被访问资源、权限策略，结合动态主体、资源、环境多类属性，经过主体角色、资源角色的动态绑定，在主体访问资源的全流程，实时动态进行多维度、细粒度的权限策略及授权评估。动态授权评估结果可用于指导、控制访问过程及最终授权访问结果，评估结果以接口方式对外发布。通过本发明，实现了主体、资源、属性、角色、权限之间的动态关联与动态绑定，实现资源访问全流程的细粒度、动态访问控制及决策控制。

图1示意性示出了根据本发明实施例的动态访问权限的控制方法的流程图。该方法用于控制主体设备端通过数据通路访问资源，如图1所示，包括：

s1，获取任意一个主体设备发送的资源访问请求，其中，资源访问请求包括述主体设备的主体信息及被访问资源的资源信息。

在进行操作s1之前，首先会建立主体身份库、资源库及属性库，然后定义预设主体信息、预设资源信息及属性信息，并将预设主体信息、预设资源信息及属性信息分别录入主体身份库、资源库及属性库，预设资源信息与被访问的资源一一对应，至少用于表示其对应的资源类型。预设主体信息即表明当前有哪些主体设备可以访问资源，预设资源信息表明具体访问什么类型的资源。

按照服务粒度，将被访问的资源分为四大类：应用、应用功能、数据接口服务及数据，每一资源采用唯一标识索引、唯一密码，可用于资源签名。属性信息具体的包括主体属性、资源属性及环境属性。主体属性包含用户名、标识、状态信息；资源属性包括资源类型、资源安全等级、可用状态信息；环境属性包括：时间、网络地址、地理位置、环境风险信息。

信息预设完成后，获取主体设备发送的资源访问请求。

s2，判断主体信息是否为预设主体信息，同时，判断资源信息是否为预设资源信息，如果均满足，则执行步骤s3，否则，拒绝主体设备访问资源。

上述操作s2中，预设的主体信息中包括获取的主体设备的主体信息，则表明该设备具有访问权限。主体设备包括物理pc、云桌面虚拟机、服务器等，若预设的主体信息中只包含有物理pc的主体信息，则只允许物理pc进行访问，而云桌面虚拟机、服务器等不能访问。预设的资源信息中包括资源访问请求中携带的资源信息，则表明具有目前主体设备访问的资源。加入预设的资源信息中只有应用、应用功能及接口服务三类资源，而当前主体设备发送的网络情缘请求中需要请求的是数据资源，则当前主体设备不能访问资源。

s3，获取主体设备所处的环境信息及属性信息。

在主体设备访问资源时，其所处的环境信息发生着变化，因此通过部署环境感知模块，动态的感知主体设备所处的环境信息。

s4，根据主体信息、资源信息、属性信息及环境信息，判断主体设备是否具有访问主体信息资源的权限，如果是，则执行步骤s5，否则，执行步骤s6。

在上述操作s4中，首先，根据主体信息制定主体设备对应的用户角色，根据资源信息制定资源角色，然后将用户角色与资源角色建立授权的规则集，使得主体设备与访问的资源信息按照规则对应，根据关联计算结果及主体信息、资源信息、属性信息及环境信息，自动完成授权规则集的计算、判定，从而实现主体设备访问资源的权限控制。若判断结果符合访问标准，则执行步骤s5，否则，执行步骤s6。

s5，允许主体设备访问资源；

s6，拒绝主体设备访问资源或引导主体设备执行修复，并执行s3。

在上述操作s6中，引导主体执行修复，如软件安装、补丁安装、网络切换、杀毒等等。修复后以便持续感知再授权访问。因为主体设备在访问资源时，环境信息在发生改变，比如初始设置必须是使用本地网络进行资源访问，主体设备开始使用的是本地网络进行资源的访问，但是由于某种原因，网络从本地网络变为wifi网络，此时决策计算的结果是该主体设备没有访问资源的权限，但引导主体设备执行修复后，重新感知主体设备的环境信息时，网络又变成正常的本地网络，此时则可授予该主题设备访问资源的权限。又比如，访问前主体设备的安全风险等级在标准范围内，当主体设备访问资源时，由于主体设备受到恶意攻击使得安全风险等级超范围，此时，决策计算的结果将不满足访问资源的权限，但引导主体设备执行修复后，当重新感知设备环境信息时，由于恶意攻击被解除，此时，主体设备能够访问资源。因此，通过环境信息的动态感知，即可实现主体设备动态访问资源的控制。

通过上述方法，基于主体、资源、环境、属性等多个维度对主体设备端访问资源权限进行动态权限决策评估及判定，实现资源访问全流程的细粒度、动态访问控制及决策控制。

图2示意性示出了根据本发明实施例的动态访问权限的控制系统的框图。该系统用于控制主体设备端通过数据通路访问资源，如图2所示，包括：

主体身份库模块，用于提供预设主体信息，即提供主体身份信息及存储服务，提供用户、用户组、组织机构等主体身份的统一信息存储服务，提供身份目录信息及存储服务，预设主体信息即表明当前有哪些主体设备可以访问资源。主体身份库由权限策略中进行授权引用。

资源库模块，用于提供预设资源信息，预设资源信息表明具体访问什么类型的资源。资源是对外提供服务的实体，按照服务粒度，分为四类资源信息：应用资源信息、应用功能资源信息、数据接口服务资源信息、数据资源信息。每一资源信息采用唯一标识索引、唯一密码，可用于资源签名。权限中心可对资源库进行授权引用。

属性库模块，用于提供属性信息。属性库模块包含各类主体、资源、环境的详细属性信息，属性库模块按照不同类别进行组织，主体属性信息包含用户名、标识、状态信息；资源属性信息包括资源类型信息、资源安全等级信息、可用状态信息；环境属性信息包括时间信息、网络地址信息、地理位置信息、环境风险信息。

环境感知模块，用于提供多维度的环境感知能力，如物理pc感知、云桌面虚拟机感知、服务器感知，提供环境状态的采集、分析能力，作为安全属性进行持续状态评估，并实时上报环境风险信息到属性库，为动态决策引擎计算提供环境属性。

权限及策略管理模块，用于对访问权限、授权策略进行集中管理。按内容分为角色管理、授权策略管理。角色管理按类型分为用户角色管理、资源角色管理；用户管理角色根据主体信息制定用户角色，资源角色管理根据被访问的资源信息制定资源角色，授权策略管理将用户角色、资源角色动态绑定，建立关联关系，制定授权策略，实现授权的规则集。

动态决策模块，提供动态计算引擎，动态计算引擎根据主体信息、资源信息、属性信息、结合用户角色、资源角色及授权策略对数据通路发送的动态访问决策请求进行授权规则集的动态决策计算，得到动态访问决策结果，根据动态访问决策结果控制主体设备端通过数据通路访问资源。动态决策模块可为对外提供授权接口服务，为外部各类设备、应用提供统一授权服务。动态决策模块与上述各模块之间的关系如图3所示，从图中可以清楚的看出，动态决策模块结合各模块存储的信息控制主体访问资源权限的过程，通过将识别访问主体、被访问资源、权限策略，结合动态主体、资源、环境多类属性，经过主体角色、资源角色的动态绑定，实现动态访问权限的控制。

具体地，动态决策模块接受任意一个主体设备发送的资源访问请求，该资源访问请求中包括主体设备的主体信息及被访问资源的资源信息，判断主体信息是否为预设主体信息，同时，判断资源信息是否为预设资源信息，如果均满足，表明该主体设备具有访问资格，且具有主体设备访问的资源，则获取环境信息，根据主体信息、资源信息、属性信息及环境信息，判断主体设备是否具有访问资源的权限，如果是，允许主体设备访问资源，否则，拒绝主体设备访问资源或引导主体设备执行修复，再动态获取主体设备当前的环境信息，继续根据获取的主体设备当前的环境状态信息判断主体设备访问资源的权限。

其中，引导主体执行修复，如软件安装、补丁安装、网络切换、杀毒等等。修复后以便持续感知再授权访问。动态获取环境信息是因为主体设备在访问资源时，环境信息在发生改变，比如初始设置必须是使用本地网络进行资源访问，主体设备开始使用的是本地网络进行资源的访问，但是由于某种原因，网络从本地网络变为wifi网络，此时决策计算的结果是该主体设备没有访问资源的权限，但引导主体设备执行修复后，重新感知主体设备的环境信息时，网络又变成正常的本地网络，此时则可授予该主题设备访问资源的权限。又比如，目前主体设备的安全风险等级在标准范围内，当主体设备访问资源时，由于主体设备收到恶意攻击使得安全风险等级超范围，此时，决策计算的结果将不满足访问资源的权限，当引导主体设备执行修复后，重新感知设备环境信息时，由于恶意攻击被解除，此时，主体设备能够访问资源。因此，通过环境信息的动态感知，实现主体设备动态访问资源的控制。

综上所述，本发明提出一种基于主体、资源、环境、属性等多个维度的动态访问权限的控制方法及系统，用于控制主体设备端通过数据通路访问资源，解决了传统授权系统的静态授权、粗粒度授权、仅在访问前进行的弊端。

尽管已经参照本发明的特定示例性实施例示出并描述了本发明，但在不背离所附权利要求及其等同物限定的本发明的精神和范围的情况下，可对本发明进行形式和细节上的多种改变。因此，本发明的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。