应用访问控制方法、装置、存储介质及计算机设备与流程 专利技术说明

电子通信装置的制造及其应用技术1.本发明涉及计算机技术领域，尤其是涉及一种应用访问控制方法、装置、存储介质及计算机设备。背景技术：2.现有应用在进行资源访问时往往会出现违规或者越权访问的行为，为了避免出现这种安全疏漏，需要对应用进行访问控制。3.目前，通常采用修改应用程序代码的方式来对应用进行访问控制。然而，在有些情况下，修改应用程序代码并不具备可行性，比如缺少应用的相关文档或者代码，此外，这种方式所能达到的安全水平有限，其无法实现更高安全水平的访问控制机制。技术实现要素：4.本发明提供了一种应用访问控制方法、装置、存储介质及计算机设备，主要在于能够避免修改应该程序代码，同时能够实现更高安全水平的访问控制机制。5.根本本发明的第一个方面，提供一种应用访问控制方法，包括：6.获取应用的资源访问行为；7.确定所述资源访问行为对应的访问主体和访问客体；8.根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。9.可选地，所述获取应用的资源访问行为，包括：10.若所述应用为b/s架构，则利用浏览器钩子插件，拦截所述资源访问行为；11.若所述应用为c/s架构或者单机类型应用，则利用系统驱动层的钩子函数，拦截所述资源访问行为。12.可选地，若拦截的所述资源访问行为url，则所述确定所述资源访问行为对应的访问主体和访问客体，包括：13.对所述url进行解析，得到所述访问主体和所述访问客体。14.可选地，所述根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制，包括：15.根据所述访问主体和所述访问客体，判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则；16.若所述资源访问行为满足所述访问控制规则，则放行所述应用的资源访问行为；17.若所述资源访问行为不满足所述访问控制规则，则阻止所述应用的资源访问行为。18.可选地，所述根据所述访问主体和所述访问客体，判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则，包括：19.确定所述访问主体和所述访问客体分别对应的安全标记；20.基于所述访问主体和所述访问客体分别对应的安全标记，判定所述资源访问行为是否满足所述访问控制规则。21.可选地，所述方法还包括：22.根据所述访问控制策略中的安全审计规则，记录相应的访问控制信息，并将所述访问控制信息发送至目标设备中进行保存和分析。23.可选地，所述方法还包括：24.接收策略管理端下发的访问控制策略，并保存至本地；25.当所述策略管理端对所述访问控制策略更新时，接收所述策略管理端下发的更新信息，并基于所述更新信息，对本地的所述访问控制策略进行更新。26.根据本发明的第二个方面，提供一种应用访问控制装置，包括：27.获取单元，用于获取应用的资源访问行为；28.确定单元，用于确定所述资源访问行为对应的访问主体和访问客体；29.控制单元，用于根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。30.可选地，所述获取单元，具体用于若所述应用为b/s架构，则利用浏览器钩子插件，拦截所述资源访问行为；若所述应用为c/s架构或者单机类型应用，则利用系统驱动层的钩子函数，拦截所述资源访问行为。31.可选地，所述确定单元，具体用于对所述url进行解析，得到所述访问主体和所述访问客体。32.可选地，所述控制单元，包括：判定模块、放行模块和阻止模块，33.所述判定模块，用于根据所述访问主体和所述访问客体，判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则；34.所述放行模块，用于若所述资源访问行为满足所述访问控制规则，则放行所述应用的资源访问行为；35.所述阻止模块，用于若所述资源访问行为不满足所述访问控制规则，则阻止所述应用的资源访问行为。36.可选地，所述判定模块，具体用于确定所述访问主体和所述访问客体分别对应的安全标记；基于所述访问主体和所述访问客体分别对应的安全标记，判定所述资源访问行为是否满足所述访问控制规则。37.可选地，所述装置还包括：记录单元，38.所述记录单元，用于根据所述访问控制策略中的安全审计规则，记录相应的访问控制信息，并将所述访问控制信息发送至目标设备中进行保存和分析。39.可选地，所述装置还包括：接收单元和更新单元，40.所述接收单元，用于接收策略管理端下发的访问控制策略，并保存至本地；41.所述更新单元，用于当所述策略管理端对所述访问控制策略更新时，接收所述策略管理端下发的更新信息，并基于所述更新信息，对本地的所述访问控制策略进行更新。42.根据本发明的第三个方面，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：43.获取应用的资源访问行为；44.确定所述资源访问行为对应的访问主体和访问客体；45.根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。46.根据本发明的第四个方面，提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以下步骤：47.获取应用的资源访问行为；48.确定所述资源访问行为对应的访问主体和访问客体；49.根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。50.本发明提供的一种应用访问控制方法、装置、存储介质及计算机设备，与目前修改应用程序代码的方式相比，能够获取应用的资源访问行为；并确定所述资源访问行为对应的访问主体和访问客体；最终根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。由此通过访问控制策略，能够在不修改应用程序代码的前提下，对应用的资源访问行为进行拦截和安全控制，从而能够防止应用层的违规和越权访问行为，同时由于该访问控制策略是管理员自定义的，因此会极大提高应用安全保护水平，此外，本发明通过一种通用性的安全增强机制能够同时支持多种应用的安全增强，从而能够有效降低安全成本和管理难度。附图说明51.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：52.图1示出了本发明实施例提供的一种应用访问控制方法流程示意图；53.图2示出了本发明实施例提供的另一种应用访问控制方法流程示意图；54.图3示出了本发明实施例提供的一种应用访问控制装置的结构示意图；55.图4示出了本发明实施例提供的另一种应用访问控制装置的结构示意图；56.图5示出了本发明实施例提供的一种计算机设备的实体结构示意图。具体实施方式57.下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。58.目前，在有些情况下，修改应用程序代码并不具备可行性，比如缺少应用的相关文档或者代码，此外，修改应用程序代码的方式所能达到的安全水平有限，其无法实现更高安全水平的访问控制机制。59.为了解决上述问题，本发明实施例提供了一种应用访问控制方法，应用于用户终端对应的代理端，如图1所示，该方法包括：60.101、获取应用的资源访问行为。61.其中，资源访问行为为本地应用程序的资源访问行为。62.本发明实施例主要适用于在无法修改应用程序代码的情况下，对应用访问进行安全控制的场景，还可以适用于在应用流程中需要增加额外的访问控制点，或者增加更高安全强度的访问控制机制的场景，比如基于细粒度的访问控制或者基于安全标记的访问控制，以提高应用安全水平。本发明实施例的执行主体为可以进行应用访问控制的装置或者设备，具体可以设置在客户端一侧。63.本发明实施例在不修改现有应用的程序代码情况下，可以对应用运行过程中的资源访问行为进行监视，依据策略管理端制定的应用访问控制策略，对这些资源访问行为进行检查和控制，确定是否阻止或允许这些资源访问行为，并将相关过程信息进行记录，发送到指定设备中保存和分析。64.对于本发明实施例，在对资源访问行为进行安全控制的过程中，需要先拦截应用的资源访问行为，针对该过程，步骤101具体包括：若所述应用为b/s架构，则利用浏览器钩子插件，拦截所述资源访问行为；若所述应用为c/s架构或者单机类型应用，则利用系统驱动层的钩子函数，拦截所述资源访问行为。65.具体地，代理端在本地应用运行的过程中，可以根据应用类型采用相应的拦截方法，拦截应用的资源访问行为。例如，当运行的本地应用为b/s(browser/sever浏览器/服务器)架构时，可以采用浏览器钩子机制(如ie的bho，browserhelperobject)，制作浏览器插件，拦截资源访问行为(url)；当运行的本地应用为c/s(client/sever客户端/服务器)架构时，可以利用在系统驱动层设置的钩子函数，拦截应用的资源访问行为，以便代理端根据访问控制策略，对拦截的资源访问行为进行安全控制，以及对应用访问控制事件进行安全审计，并将记录结果发送到指定设备保存和分析。66.需要说明的是，本发明实施例中所涉及的资源访问行为的拦截方法并不以上述为限，还可以为其他拦截方法。67.102、确定所述资源访问行为对应的访问主体和访问客体。68.其中，访问主体为正在用户端操作进行资源访问的身份用户，访问客体为被访问主体访问的对象，如用户正在访问的网页或者文件。对于本发明实施例，在拦截应用的资源访问行为后，根据该资源访问行为，获取访问主体的标识信息和访问客体的标识信息，以便根据该访问主体的标识信息和访问客体的标识信息，采用访问控制策略对应用的资源访问行为进行控制，即判定是否阻止该资源访问行为或者允许该资源访问行为。69.103、根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。70.其中，本发明实施例中的访问控制策略是由策略管理端制定的，策略管理端会将制定好的访问控制策略下发到相应的用户终端代理端，由代理端对应用的资源访问行为进行监控。该访问控制策略中主要包括：应用访问控制主客体定义，即应用访问主体的标识信息及其身份确定方法，应用访问客体的标识信息及其身份确定方法，应用访问主体安全标记，应用访问客体安全标记；应用访问控制规则，即定义哪些主体能以什么方式访问哪些客体；安全审计规则，即关于这些应用访问控制事件的审计结果应该如何保存和分析。其中，访问控制策略中的访问控制规则具体可以包括：自住型访问控制规则，如应用控制列表(acl)、细粒度的访问控制等；强制型访问控制规则，如面向安全保密的blp模型规则、面向完整性保护的biba模型规则等；基于角色的访问控制规则等。需要说明的是，本发明实施例中所涉及的访问控制规则并不局限于上述几种，还可以包括其他类型的访问控制规则。71.具体地，在拦截应用的资源访问行为后，需要判定该资源访问行为是否满足相应的访问控制规则，如果资源访问行为满足相应的访问控制规则，则该资源访问行为被允许；如果资源访问行为不满足相应的访问控制规则，则阻止该资源访问行为，从而能够有效防止应用层的违规和越权访问行为，也会极大提高应用安全保护水平。72.本发明实施例提供的一种应用访问控制方法，通过应用访问控制策略，能够在不修改应用程序代码的前提下，对应用的资源访问行为进行拦截和安全控制，从而能够防止应用层的违规和越权访问行为，同时由于该访问控制策略是管理员自定义的，因此会极大提高应用安全保护水平，此外，本发明实施例通过一种通用性的安全增强机制能够同时支持多种应用的安全增强，从而能够有效降低安全成本和管理难度。73.进一步的，为了更好的说明上述对应用访问的安全控制过程，作为对上述实施例的细化和扩展，本发明实施例提供了另一种应用访问控制方法，如图2所示，所述方法包括：74.201、获取应用的资源访问行为。75.其中，本发明实施例中的代理端可以运行在传统计算机系统或虚拟计算机中。具体而言，传统计算机系统可以由硬件(子)系统和软件(子)系统组成。硬件(子)系统可以是借助电、磁、光、机械等原理构成的各种物理部件的有机组合，是系统赖以工作的实体。软件(子)系统可以是各种程序和文件，用于指挥全系统按指定的要求进行工作。例如，传统计算机系统可以包括但不限于pc机或笔记本等。虚拟计算机可以是通过软件模拟的具有完整硬件系统功能的，运行在一个完全隔离环境中的完整计算机系统。例如，基于kvm、vmware等虚拟化平台的计算机。76.对于本发明实施例，拦截应用的资源访问行为的具体过程与步骤101相同，在此不再赘述。需要说明的是，本发明实施例的代理端安装在用户终端上，当用户操作用户终端进行资源访问时，代理端可以对该资源访问行为进行监控，本发明实施例中的用户终端可以为移动通信设备、个人台式计算机、通过软件模拟的具有完整硬件系统功能的且运行在一个完全隔离环境中的虚拟计算机等。77.202、确定所述资源访问行为对应的访问主体和访问客体。78.对于本发明实施例，当拦截的资源访问行为为url时，可以对该url进行解析，获取访问客体的标识信息和访问主体的标识信息，从而能够确定资源访问行为对应的访问主体和访问客体。79.203、根据所述访问主体和所述访问客体，判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则。80.对于本发明实施例，针对判定资源访问行为是否满足访问控制规则的具体过程，作为一种可选实施方式，所述方法包括：确定所述访问主体和所述访问客体分别对应的安全标记；基于所述访问主体和所述访问客体分别对应的安全标记，判定所述资源访问行为是否满足所述访问控制规则。其中，访问主体对应的安全标记可以为安全保密级别安全标记，如公开级、秘密级、机密级、绝密级等，也可以为完整性级别安全标记，如可信、不可信等，除此之前，还可以为其他类型的安全标记，本发明实施例对此不做具体限定。81.例如，访问控制策略中的访问控制规则为带有高级别安全标记的访问主体可以访问带有低级别安全标记的访问客体，如果访问主体对应的安全标记为秘密级，而访问客体对应的安全标记为绝密级，则该资源访问行为被阻止；如果访问主体对应的安全标记为机密级，而访问客体对应的安全标记为公开级，则该资源访问行为被允许。82.进一步地，如果应用访问控制策略中包括多条访问控制规则，则可以先根据访问主体的标识信息、访问客体的标识信息、访问主体对应的安全标记、访问客体对应的安全标记，从多条访问控制规则中筛选与该资源访问行为相关的目标访问控制规则，之后判定该资源访问行为是否满足该目标访问控制策略，如果资源访问行为满足该目标访问控制规则，则该资源访问行为被允许；如果资源访问行为不满足该目标访问控制规则，则该资源访问行为不被允许。83.进一步地，如果目标访问控制规则存在两条或者两条以上，则进行逐条判定，如果资源访问行为满足所有目标访问控制策略，则对其进行放行，否则，进行阻止。84.需要说明的是，本发明实施例中所涉及的访问控制规则并不局限于上述，也可以为其他类型的访问控制规则。85.进一步地，本发明实施例中所涉及的访问控制策略是在策略管理端进行制定的，具体进行策略制定时，可以先根据用户的属性信息，对用户进行分组，之后根据分组用户，制定相应的访问控制策略。86.204、若所述资源访问行为满足所述访问控制规则，则放行所述应用的资源访问行为；若所述资源访问行为不满足所述访问控制规则，则阻止所述应用的资源访问行为。87.为了进一步提高应用安全的保护水平，在资源访问行为被允许后，还需要针对本次访问行为，记录相关信息，因此本发明实施例中的访问控制策略中不仅包括应用访问控制规则，还包括安全审计规则，利用安全审计规则，记录相关的访问控制信息。基于此，所述方法包括：根据所述访问控制策略中的安全审计规则，记录相应的访问控制信息，并将所述访问控制信息发送至目标设备中进行保存和分析。88.具体地，可以根据访问主体和访问客体分别对应的安全标记，进行访问控制信息的记录。例如，如果访问客体的安全标记对应的安全级别较高，则可以全面记录本次访问行为的访问控制信息。再比如，如果访问主体的安全标记为可信，则可以部分记录本次访问行为的访问控制信息。89.在具体应用场景中，代理端会接收策略管理端下发的访问控制策略，当策略管理端对访问控制策略更新时，代理端也会同步进行更新，基于此，所述方法包括：接收策略管理端下发的访问控制策略，并保存至本地；当所述策略管理端对所述访问控制策略更新时，接收所述策略管理端下发的更新信息，并基于所述更新信息，对本地的所述访问控制策略进行更新。需要说明的是，策略管理端的访问控制策略可以被执行修改、删除和查询等操作。90.具体地，用户终端代理端中都安装有策略接收和更新程序。策略接收和更新程序可以接收来自策略管理端下发的策略库，并更新到本地保存的应用访问控制策略清单中。在一些示例中，策略接收和更新程序可以通过代码注入方式作为操作系统内核程序的动态链接库。另外，在一些示例中，策略接收和更新程序可以作为一个独立的进程。在这种情况下，一般要求操作系统内核对策略接收和更新进程进行保护，防止其运行被中断。为了防止用户规避应用访问控制机制，可以采用进程监视和安全保护机制，防止代理程序被卸载或被终止运行。91.本发明实施例提供的另一种应用访问控制方法，通过通过应用访问控制策略，能够在不修改应用程序代码的前提下，对应用的资源访问行为进行拦截和安全控制，从而能够防止应用层的违规和越权访问行为，同时由于该访问控制策略是管理员自定义的，因此会极大提高应用安全保护水平，此外，本发明实施例通过一种通用性的安全增强机制能够同时支持多种应用的安全增强，从而能够有效降低安全成本和管理难度。92.进一步地，作为图1的具体实现，本发明实施例提供了一种应用访问控制装置，如图3所示，所述装置包括：获取单元31、确定单元32和控制单元33。93.所述获取单元31，可以用于获取应用的资源访问行为。94.所述确定单元32，可以用于确定所述资源访问行为对应的访问主体和访问客体。95.所述控制单元33，可以用于根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。96.在具体应用场景中，所述获取单元31，具体可以用于若所述应用为b/s架构，则利用浏览器钩子插件，拦截所述资源访问行为；若所述应用为c/s架构或者单机类型应用，则利用系统驱动层的钩子函数，拦截所述资源访问行为。97.在具体应用场景中，所述确定单元32，具体可以用于对所述url进行解析，得到所述访问主体和所述访问客体。98.在具体应用场景中，所述控制单元33，如图4所示，包括：判定模块331、放行模块332和阻止模块333。99.所述判定模块331，可以用于根据所述访问主体和所述访问客体，判定所述资源访问行为是否满足所述访问控制策略中的访问控制规则。100.所述放行模块332，可以用于若所述资源访问行为满足所述访问控制规则，则放行所述应用的资源访问行为。101.所述阻止模块333，可以用于若所述资源访问行为不满足所述访问控制规则，则阻止所述应用的资源访问行为。102.进一步地，所述判定模块331，具体可以用于确定所述访问主体和所述访问客体分别对应的安全标记；基于所述访问主体和所述访问客体分别对应的安全标记，判定所述资源访问行为是否满足所述访问控制规则。103.在具体应用场景中，所述装置还包括：记录单元34。104.所述记录单元34，可以用于根据所述访问控制策略中的安全审计规则，记录相应的访问控制信息，并将所述访问控制信息发送至目标设备中进行保存和分析。105.在具体应用场景中，所述装置还包括：接收单元35和更新单元36。106.所述接收单元35，可以用于接收策略管理端下发的访问控制策略，并保存至本地。107.所述更新单元36，可以用于当所述策略管理端对所述访问控制策略更新时，接收所述策略管理端下发的更新信息，并基于所述更新信息，对本地的所述访问控制策略进行更新。108.需要说明的是，本发明实施例提供的一种应用访问控制装置所涉及各功能模块的其他相应描述，可以参考图1所示方法的对应描述，在此不再赘述。109.基于上述如图1所示方法，相应的，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：获取应用的资源访问行为；确定所述资源访问行为对应的访问主体和访问客体；根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。110.基于上述如图1所示方法和如图3所示装置的实施例，本发明实施例还提供了一种计算机设备的实体结构图，如图5所示，该计算机设备包括：处理器41、存储器42、及存储在存储器42上并可在处理器上运行的计算机程序，其中存储器42和处理器41均设置在总线43上所述处理器41执行所述程序时实现以下步骤：获取应用的资源访问行为；确定所述资源访问行为对应的访问主体和访问客体；根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。111.通过发明实施例的技术方案，能够获取应用的资源访问行为；并确定所述资源访问行为对应的访问主体和访问客体；最终根据所述访问主体、所述访问客体和访问控制策略，对所述应用的资源访问行为进行安全控制。由此通过访问控制策略，能够在不修改应用程序代码的前提下，对应用的资源访问行为进行拦截和安全控制，从而能够防止应用层的违规和越权访问行为，同时由于该访问控制策略是管理员自定义的，因此会极大提高应用安全保护水平，此外，本发明通过一种通用性的安全增强机制能够同时支持多种应用的安全增强，从而能够有效降低安全成本和管理难度。112.显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。113.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!