CN112035824A - 一种权限管理方法、装置、设备及计算机可读存储介质 - Google Patents
一种权限管理方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112035824A CN112035824A CN202010901369.5A CN202010901369A CN112035824A CN 112035824 A CN112035824 A CN 112035824A CN 202010901369 A CN202010901369 A CN 202010901369A CN 112035824 A CN112035824 A CN 112035824A
- Authority
- CN
- China
- Prior art keywords
- management
- terminal
- control strategy
- target
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本实施例公开了一种权限管理方法,该方法包括:接收管理平台发送的与终端对应的管控策略;其中,管控策略是管理平台设置的用于管理外接设备的操作权限的;确定有目标外接设备接入终端,获取目标外接设备的设备类型,基于管控策略和设备类型设置目标外接设备的操作权限;其中,终端为具有特定操作***的终端;本实施例还同时公开了一种权限管理装置、设备、管理平台和计算机可读存储介质。
Description
技术领域
本发明涉及通信设备技术领域,尤其涉及一种权限管理方法、装置、设备及计算机可读存储介质。
背景技术
随着计算机功能的多样化,一般会给计算机配备多个具有输入输出功能的外接设备;在对外接设备的操作权限进行管控时,相对技术中具有针对Windows操作***和Linux操作***外接设备的管控方案。但是,针对Linux操作***的管控方案只能用户手动在计算机上设置来实现对外接设备的管控,无法对外接设备的操作权限的智能管控。
发明内容
有鉴于此,本发明实施例期望提供一种权限管理方法、装置、设备及计算机可读存储介质,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
为达到上述目的,本发明的技术方案是这样实现的:
第一方面,提供一种权限管理方法,包括:
接收管理平台发送的与终端对应的管控策略;其中,所述管控策略是所述管理平台设置的用于管理外接设备的操作权限的;
确定有目标外接设备接入所述终端,获取所述目标外接设备的设备类型,基于所述管控策略和所述设备类型设置所述目标外接设备的操作权限;其中,所述终端为具有特定操作***的终端。
可选的,所述基于所述管控策略和所述设备类型设置所述目标外接设备的操作权限,包括:
若所述目标外接设备的设备类型为第一类型,基于所述管控策略设置所述目标外接设备的操作权限为许可所述目标外接设备与所述终端通信。
可选的,所述方法还包括:
若所述目标外接设备的设备类型为第二类型,从所述管控策略中获取与所述第二类型对应的第二目标操作权限;
设置所述目标外接设备的操作权限为所述第二目标操作权限。
可选的,所述获取所述目标外接设备的设备类型,包括:
获取所述目标外接设备的通信数据包;
基于所述通信数据包的标记特征值,确定所述目标外接设备的设备类型。
可选的,所述基于所述通信数据包的标记特征值,确定所述目标外接设备的设备类型,包括:
若所述标记特征值包括输入性字段,确定所述目标外接设备的设备类型为第一类型;
若所述标记特征值包括存储性字段,确定所述目标外接设备的设备类型为第二类型。
可选的,所述方法还包括:
获取所述目标外接设备的存储路径并卸载存储路径当前的挂载目录;
将所述目标外接设备重新挂载至目标目录;
在所述目标目录下进行安全检测,并将检测结果上传至所述管理平台。
第二方面,提供一种权限管理方法,包括:
生成用于管理外接设备操作权限的管控策略;
从所述管控策略中获取每一组终端对应的管控策略,并发送所述管控策略至对应的每一组终端;其中,所述管控策略用于每一组终端基于所述管控策略和外接设备的设备类型设置接入的外接设备的操作权限,所述每一组终端中包括至少一个终端;其中,所述至少一个终端为具有特定操作***的终端。
可选的,所述方法还包括:
更新用于管理外接设备操作权限的管控策略,并将更新后的管控策略发送至与所述管控策略对应的终端。
可选的,所述方法还包括:
针对同一组终端的目标外接设备的管控策略是相同的。
第三方面,提供一种权限管理装置,包括:
接收单元,用于接收管理平台发送的与终端对应的管控策略;其中,所述管控策略是所述管理平台设置的用于管理外接设备的操作权限的;
处理单元,用于确定有目标外接设备接入所述终端,获取所述目标外接设备的设备类型,基于所述管控策略和所述设备类型设置所述目标外接设备的操作权限;其中,所述终端为具有特定操作***的终端。
第四方面,提供一种权限管理装置,包括:
生成单元,生成用于管理外接设备操作权限的管控策略;
发送单元,用于从所述管控策略中获取每一组终端对应的管控策略,并发送所述管控策略至对应的每一组终端;其中,所述管控策略用于每一组终端基于所述管控策略和外接设备的设备类型设置接入的外接设备的操作权限,所述每一组终端中包括至少一个终端;其中,所述至少一个终端为具有特定操作***的终端。
第五方面,提供一种终端,包括:
第一处理器;用于运行计算机程序;
第一存储器,用于存储能够在第一处理器上运行的计算机程序;
其中,所述第一处理器,用于运行计算机程序时,执行上述的权限管理方法的步骤。
第六方面,提供一种管理平台,包括:
第二处理器,用于运行计算机程序;
第二存储器,用于存储能够在第二处理器上运行的计算机程序;
其中,所述第二处理器,用于运行计算机程序时,执行上述的权限管理方法的步骤。
第七方面,提供一种计算机可读存储介质,所述存储介质上存储有计算机程序,计算机程序被处理器执行时,实现上述的权限管理方法的步骤。
本发明实施例所提供的权限管理方法、装置、设备及计算机可读存储介质,接收管理平台发送的与终端对应的用于管理外接设备的操作权限的管控策略,并在确定有目标外接设备接入终端,获取目标外接设备的设备类型,基于管控策略和设备类型设置目标外接设备的操作权限;终端为具有特定操作***的终端,如此,具有Linux操作***的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限,不需要人为手动来设置外接设备的操作权限,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
附图说明
图1为本发明实施例提供的一种权限管理方法的流程示意图;
图2为本发明实施例提供的另一种权限管理方法的流程示意图;
图3a为本发明实施例提供的又一种权限管理方法的流程示意图;
图3b为本发明另一实施例提供的一种权限管理方法的流程示意图;
图4为本发明实施例提供的USB外接设备分类图;
图5为本发明另一实施例提供的另一种权限管理方法的流程示意图;
图6为本发明实施例提供的一种USB设备监听框架图;
图7为本发明实施例提供的存储路径的示意图;
图8为本发明另一实施例提供的又一种权限管理方法的流程示意图;
图9为本发明实施例提供的管理平台与终端之间的关系示意图;
图10为本发明实施例提供的一种权限管理装置的结构示意图;
图11为本发明实施例提供的另一种权限管理装置的结构示意图;
图12为本发明实施例提供的一种终端的结构示意图;
图13为本发明实施例提供的另一种管理平台的结构示意图。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
本发明的实施例提供一种权限管理方法,该方法可以应用于终端中,参照图1所示,该方法包括以下步骤:
步骤101、终端接收管理平台发送的与终端对应的管控策略。
其中,管控策略是管理平台设置的用于管理外接设备的操作权限的。
具体来说,终端接收管理平台发送的管控策略,并存储在终端的缓存区域,本实施例中的管控策略是用户在管理平台设置的。本实施例中的终端可以为具有特定操作***的终端;在一种可行的实现方式中,特定操作***可以包括Linux操作***。
步骤102、终端确定有目标外接设备接入终端,获取目标外接设备的设备类型,基于管控策略和设备类型设置目标外接设备的操作权限。
其中,操作权限可以是放通、禁止、可读或可写,也可以是其他操作权限,在此不做限制。
在本实施例中外接设备可以是USB设备,在一种可行的实现方式中,外接设备可以包括U盘、鼠标、键盘、打印机、移动硬盘以及便携设备等;当然,外接设备也可以是其他外接设备,在此不做限制。
本发明实施例所提供的权限管理方法,接收管理平台发送的与终端对应的用于管理外接设备的操作权限的管控策略,并在确定有目标外接设备接入终端,获取目标外接设备的设备类型,基于管控策略和设备类型设置目标外接设备的操作权限;终端为具有特定操作***的终端,如此,具有Linux操作***的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限,不需要人为手动来设置外接设备的操作权限,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
基于前述实施例,本发明的实施例提供一种权限管理方法,参照图2所示,该方法可以包括以下步骤:
步骤201、管理平台生成用于管理外接设备操作权限的管控策略。
其中,用户可以在管理平台设置相应的管控策略,并存储在管理平台的缓存区域。需要说明的是,本实施例中的缓存区域可以存储多种不同的管控策略。
步骤202、管理平台从管控策略中获取每一组终端对应的管控策略,并发送管控策略至对应的每一组终端。
其中,管控策略用于每一组终端基于管控策略和外接设备的设备类型设置接入的外接设备的操作权限,每一组终端中包括至少一个终端;至少一个终端中的每一个终端均为具有特定操作***的终端。
需要说明的是,同一组终端的管控策略相同,不同组终端的管控策略可以相同也可以不同。
本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的权限管理方法,生成用于管理外接设备操作权限的管控策略,从管控策略中获取每一组终端对应的管控策略并发送管控策略至对应的每一组终端,终端接收管理平台发送的管控策略,在确定有目标外接设备接入终端,获取目标外接设备的设备类型,并基于管控策略和设备类型设置外接设备的操作权限,如此,具有Linux操作***的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限,不需要人为手动来设置外接设备的操作权限,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
基于前述实施例,本发明的实施例提供一种权限管理方法,参照图3a和图3b所示,该方法可以包括以下步骤:
步骤301、管理平台生成用于管理外接设备操作权限的管控策略。
其中,用户在管理平台的操作界面设置管控策略,并存储在管理平台的缓存区域。
步骤302、管理平台从管控策略中获取每一组终端对应的管控策略,并发送管控策略至对应的每一组终端端。
步骤303、终端接收管理平台发送的与终端对应的管控策略。
其中,本发明实施例中的终端可以是任一组终端中的任一终端。
步骤304、终端确定有目标外接设备接入终端,获取目标外接设备的设备类型。
本实施例中的外接设备主要是通用串行总线(Universal Serial Bus,USB),如图4所示,USB外接设备主要有两大类,一类是USB的输入型设备(包括USB鼠标、键盘、打印机等等),该类设备接入主机后仅仅用于办公,不会有病毒威胁,故该类型的USB外接设备需要加白,直接放通正常使用;另一类是USB的存储型设备(包括U盘、移动硬盘、便携设备等等),该类设备也属于块设备。
需要说明的是,步骤304之后,如图3a所示可以执行步骤305,或如图3b所示,可以执行步骤306-步骤307;
步骤305、若目标外接设备的设备类型为第一类型,终端基于管控策略设置目标外接设备的操作权限为许可目标外接设备与终端通信。
其中,本实施例中的第一类型可以是输入型,也可以是其他无威胁性的设备类型,在此不做限制,目标外接设备与终端通信可以包括放通或过滤加白。
步骤306、若目标外接设备的设备类型为第二类型,终端从管控策略中获取与第二类型对应的第二目标操作权限。
其中,本实施例中的第二类型可以是存储型,也可以是其他具有存储功能的块设备类型,在此不做限制,终端根据确定出的设备类型,从存储在终端缓存区上的管控策略中获取与设备类型相对应的第二目标操作权限。
步骤307、终端设置目标外接设备的操作权限为第二目标操作权限。
其中,根据接入终端的设备类型和存储在终端缓存区中的管控策略,确定外接设备具体的操作权限。
具体来说,当目标外接设备为存储型设备时,第二目标操作权限可以是放通、禁止、可读或可写,当然,也可以是其他操作权限,在此不做限制。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的权限管理方法,管理平台生成用于管理外接设备操作权限的管控策略,并发送至相应终端,终端确定有外接设备接入,基于管控策略和设备类型设置外接设备的操作权限;如此,具有Linux操作***的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限,不需要人为手动来设置外接设备的操作权限,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
基于前述实施例,本实施例提供了一种权限管理方法,参照图5所示,该方法可以包括以下步骤:
步骤401、管理平台生成用于管理外接设备操作权限的管控策略。
步骤402、管理平台从管控策略中获取每一组终端对应的管控策略,并发送管控策略至对应的每一组终端。
步骤403、终端接收管理平台发送的与终端对应的管控策略。
步骤404、终端确定有目标外接设备接入终端,获取目标外接设备的通信数据包。
其中,确定是否有目标外接设备接入,可以是通过监听线程来实现的;以外接设备包括USB设备为例进行说明,终端接收到管控策略,并完成配置之后会拉起一个线程,专门用于监听终端的USB接入的信息。如图6所示,具有Linux操作***的终端的应用层上可以设置有USB监听程序,此时可以通过该USB监听程序来监听USB设备是否接入。需要说明的是,该USB监听程序可以同时监听多个USB设备。
步骤405、终端基于通信数据包的标记特征值,确定目标外接设备的设备类型。
本实施例中确定设备类型,以USB设备为例进行说明,如图6所示,Linux操作***终端的内核上设置有udev模块,该模块通过套接(socket)接口与应用层的USB监听程序绑定,建立通信连接,此时内核可以通过udev模块和USB监听程序来抓取通信数据包,并基于通信数据包的特征值来判断设备类型。
步骤405可通过步骤405a和步骤405b来实现。
步骤405a、若标记特征值包括输入性字段,终端确定目标外接设备的设备类型为第一类型。
如果标记特征值是输入性字段,则终端确定目标外接设备的设备类型为输入型设备。其中输入性字段可以是输入(Input)字段,当然也可以是其他能够确定出输入型设备的字段,在此不做限制。
步骤405b、若标记特征值包括存储性字段时,终端确定目标外接设备的设备类型为第二类型。
如果标记特征值是存储性字段,则终端确定目标外接设备的设备类型为存储型设备。其中存储型字段可以是Dev字段,当然也可以是其他能够确定出存储型设备的字段,在此不做限制。
这里终端获取目标外接设备的设备类型,当然也可以通过现有技术来确定目标外接设备的设备类型。
步骤406、若目标外接设备的设备类型为第一类型,终端基于管控策略设置目标外接设备的操作权限为许可目标外接设备与终端通信。
步骤407、若目标外接设备的设备类型为第二类型,终端从管控策略中获取与第二类型对应的第二目标操作权限。
步骤408、终端设置目标外接设备的操作权限为第二目标操作权限。
基于前述实施例,在本发明的其他实施例中,该方法还可以包括以下步骤:
步骤409、终端获取目标外接设备的存储路径并卸载存储路径当前的挂载目录。
本实施例中终端获取目标外接设备的存储路径,具体来说,就是终端获取目标外接设备的盘符,如图7所示,Linux操作***的USB盘符分类包括:本地主盘符和外部嵌入盘符,本地主盘符至少包括次盘符sad1和次盘符sad2,外部嵌入盘符也至少包括次盘符sad1和次盘符sad2。基于Linux的终端安装部署时,是可以自带图形化界面的,USB挂载的盘符是根据***Linux终端时的先后顺序来随机生成的,盘符可以是sdb/sdc/sdd/,vdb/vdc/vdd/。
需要说明的是,在Linux中一切皆文件,而对USB存储设备(包括U盘、移动硬盘等等)在Linux中则是统一被识别为块设备,即***终端后会有新目录生成,目录中可能会存在病毒威胁,所以在接入具有Linux操作***的终端时,需要进行挂载病毒查杀,并处置消除后续的使用安全风险。
步骤410、终端将目标外接设备重新挂载至目标目录。
本实施例中终端获取到准确的盘符后,需要先卸载该盘符现有的挂载目录。因为不同***挂载盘符不同,需要统一为功能可控的目录,卸载完成后重新挂载到功能指定的目录。
需要说明的是,本发明能兼容目前绝大多数的Linux操作***(包含centos5-centos7、红帽5-红帽7、suse、ubuntu12-ubuntu16等等),满足几乎所有类型的Linux服务器的管控需求。
步骤411、在目标目录下进行安全检测,并将检测结果上传至管理平台。
本实施例中的的安全检测可以是杀毒检测,在指定的目标目录下,基于终端的杀毒程序,对目标外接设备进行杀毒检测,防止其携带的病毒威胁终端,并将检测结果上传至管理平台,统一展示,整个过程实现闭环,消除Linux终端外接设备的安全问题。需要说明的是,一旦有外接设备接入终端,首先执行步骤409至步骤411,即自动挂载步骤以实现外接设备自动与终端建立通信连接。
基于前述实施例,在本发明的其它实施例中,该方法还可以包括:
步骤412、管理平台更新用于管理外接设备操作权限的管控策略,并将更新后的管控策略发送至与管控策略对应的终端。
本实施例中,当管理平台的管控策略发生更新或新增策略分组时,此时会通过套接(socket)接口网络通讯,将该更新的管控策略或新增的管控策略以json数据流形式同步到对应组的终端上,终端负责解析该json数据流,并将数据流写入终端后台缓存区域。
在本发明的其它实施例中,针对同一组终端的外接设备的管控策略是相同的。
其中,第一组终端中的多个终端上的外接设备的管控策略是相同的,第二组终端中的多个终端上的外接设备的管控策略是相同的。
在本发明的其他实施例中,以外接设备为USB设备为例,参照图8所示,可以包括:
管理平台侧,A1、用户在策略中心用户界面(User Interface,UI)上配置USB管控策略,并存储在管理平台的缓存区域;A2、将管控策略在后台配置打包下发给相应终端。
终端侧,B1、终端接收管理平台发送的管控策略;B2、对管控策略进行配置解析;此时,B3、USB监听线程检测USB设备是否接入,若监听到有USB设备接入,确定外接设备类型;B4、若USB设备为输入型设备,则直接过滤加白;B5、若USB设备为存储型设备,根据管控策略进行权限判断,可以是禁用、可读或可写。需要说明的是,B6、USB设备接入后,进行自动挂载与终端建立通信连接,基于终端的杀毒程序进行威胁文件检测,可以选择不处置和自动处置两种方式中的任意一种,检测结束之后将威胁消息日志打包,并上报消息。
管理平台侧,A3、接收终端的上报消息,并解析存入后台数据库;A4、在UI实时刷新,展示数据库日志。
在本发明的其他实施例中,以外接设备为USB设备为例,参照图8所示,管理平台(MGR)和终端(AGENT)可以是一对一或一对多的关系,终端至少包括第一终端、第二终端和第三终端,其中,第一终端和第二终端是位于第一组终端中的终端,第三终端是位于第二组终端中的终端。终端和管理平台之间是通过socket通信(TCP协议)来建立长连接的。并通过管理平台的心跳模式(定时检测)来监控终端和管理平台之间是否还存在连接,保持数据流的交互。在管理平台的操作界面上,创建不同分组的来管控各个终端。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例所提供的权限管理方法,管理平台生成用于管理外接设备操作权限的管控策略,并发送至相应终端,终端确定有外接设备接入,获取外接设备的设备类型,基于管控策略和设备类型设置外接设备的操作权限;如此,具有Linux操作***的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限,不需要人为手动来设置外接设备的操作权限,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
基于前述实施例,本发明的实施例提供一种权限管理装置,该装置可以应用于图1、图3a、图3b和图5对应的实施例提供的一种权限管理方法中,参照图10所示,该装置可以包括:接收单元41和处理单元42,其中:
接收单元41,用于接收管理平台发送的与终端对应的管控策略;其中,管控策略是管理平台设置的用于管理外接设备的操作权限的;
处理单元42,用于确定有目标外接设备接入终端,获取目标外接设备的设备类型,基于管控策略和设备类型设置目标外接设备的操作权限;其中,终端为具有特定操作***的终端。
在本发明的其他实施例中,该处理单元42可以实现以下步骤:
若目标外接设备的设备类型为第一类型,基于管控策略设置目标外接设备的操作权限为许可目标外接设备与终端通信。
在本发明的其他实施例中,该处理单元42还可以实现以下步骤:
若目标外接设备的设备类型为第二类型,从管控策略中获取与第二类型对应的第二目标操作权限;
设置目标外接设备的操作权限为第二目标操作权限。
在本发明的其他实施例中,该处理单元42还可以实现以下步骤:
获取目标外接设备的通信数据包;
基于通信数据包的标记特征值,确定目标外接设备的设备类型。
在本发明的其他实施例中,该处理单元42还可以实现以下步骤:
若标记特征值包括输入性字段,确定目标外接设备的设备类型为第一类型;
若标记特征值包括存储性字段,确定目标外接设备的设备类型为第二类型。
在本发明的其他实施例中,参照图9所示,该装置还可以包括:获取单元43,
获取单元43,用于获取目标外接设备的存储路径并卸载存储路径当前的挂载目录;
获取单元43,还用于将目标外接设备重新挂载至目标目录;
获取单元43,还用于在目标目录下进行安全检测,并将检测结果上传至管理平台。
需要说明的是,本发明实施例中各个单元之间的信息交互实现过程可以参照图1、图3a、图3b和图5对应的实施例提供的权限管理方法中的描述,此处不再赘述。
本发明实施例所提供的权限管理装置,具有Linux操作***的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限,不需要人为手动来设置外接设备的操作权限,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
基于前述实施例,本发明实施例提供一种权限管理装置,该装置可以应用于图2、图3a、图3b和图5对应的实施例提供的一种权限管理方法中,参照图11所示,该装置可以包括:生成单元44和发送单元45,其中:
生成单元44,生成用于管理外接设备操作权限的管控策略;
发送单元45,用于从管控策略中获取每一组终端对应的管控策略,并发送管控策略至对应的每一组终端;
其中,管控策略用于每一组终端基于管控策略和外接设备的设备类型设置接入的外接设备的操作权限,每一组终端中包括至少一个终端;至少一个终端中的每一个终端均为具有特定操作***的终端。
在本发明实施例中,该发送单元45还可以实现如下步骤:
更新用于管理外接设备操作权限的管控策略,并将更新后的管控策略发送至与管控策略对应的终端。
需要说明的是,本发明实施例中各个单元之间的信息交互实现过程可以参照图2、图3a、图3b和图5对应的实施例提供的权限管理方法中的描述,此处不再赘述。
本发明实施例所提供的权限管理装置,具有Linux操作***的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限,不需要人为手动来设置外接设备的操作权限,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
基于前述实施例,本发明的实施例提供一种终端,该终端可以应用于图1、图3a、图3b和图5对应的实施例提供的一种权限管理方法中,参照图12所示,该终端可以包括:第一处理器51、第一存储器52和第一通信总线53,其中:
第一通信总线53用于实现第一处理器51和第一存储器52之间的通信连接;
第一处理器51用于运行第一存储器52中存储的程序时,以实现以下步骤
接收管理平台发送的与终端对应的管控策略;其中,管控策略是管理平台设置的用于管理外接设备的操作权限的;
确定有目标外接设备接入终端,获取目标外接设备的设备类型,基于管控策略和设备类型设置目标外接设备的操作权限;其中,终端为具有特定操作***的终端。
在本发明的其他实施例中,该第一处理器51可以实现以下步骤:
若目标外接设备的设备类型为第一类型,基于管控策略设置目标外接设备的操作权限为许可目标外接设备与终端通信。
在本发明的其他实施例中,该第一处理器51还可以实现以下步骤:
若目标外接设备的设备类型为第二类型,从管控策略中获取与第二类型对应的第二目标操作权限;
设置目标外接设备的操作权限为第二目标操作权限。
在本发明的其他实施例中,该第一处理器51还可以实现以下步骤:
获取目标外接设备的通信数据包;
基于通信数据包的标记特征值,确定目标外接设备的设备类型。
在本发明的其他实施例中,该第一处理器51还可以实现以下步骤:
若标记特征值包括输入性字段,确定目标外接设备的设备类型为第一类型;
若标记特征值包括存储性字段,确定目标外接设备的设备类型为第二类型。
在本发明的其他实施例中,该第一处理器51还可以实现以下步骤:
获取目标外接设备的存储路径并卸载存储路径当前的挂载目录;
将目标外接设备重新挂载至目标目录;
在目标目录下进行安全检测,并将检测结果上传至管理平台。
需要说明的是,本实施例中处理器所执行的步骤的具体实现过程,可以参照图1、图3a、图3b和图5对应的实施例提供的权限管理方法中的实现过程,此处不再赘述。
本发明实施例所提供的终端,具有Linux操作***的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限,不需要人为手动来设置外接设备的操作权限,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
基于前述实施例,本发明实施例提供一种管理平台,该管理平台可以应用于图2、图3a、图3b和图5对应的实施例提供的一种权限管理方法中,参照图13所示,该管理平台可以包括:第二处理器61、第二存储区62和第二通信总线63,其中:
第二通信总线63用于实现第二处理器61和第二存储器62之间的通信连接;
第二处理器61用于运行第二存储器62中存储的程序时,以实现以下步骤:
生成用于管理外接设备操作权限的管控策略。
从管控策略中获取每一组终端对应的管控策略,并发送管控策略至对应的每一组终端;
其中,管控策略用于每一组终端基于管控策略和外接设备的设备类型设置接入的外接设备的操作权限,每一组终端中包括至少一个终端;至少一个终端中的每一个终端均为具有特定操作***的终端。
在本发明的其他实施例中,该第二处理器61还可以实现以下步骤:
更新用于管理外接设备操作权限的管控策略,并将更新后的管控策略发送至与管控策略对应的终端。
需要说明的是,本实施例中处理器所执行的步骤的具体实现过程,可以参照图2、图3a、图3b和图5对应的实施例提供的权限管理方法中的实现过程,此处不再赘述。
本发明实施例所提供的管理平台,具有Linux操作***的终端能够基于管理平台设置并发送的管控策略自动设置终端的外接设备的操作权限,不需要人为手动来设置外接设备的操作权限,解决了相对技术中针对Linux操作***无法对外接设备操作权限进行自动管控的问题,实现了对外接设备的操作权限的自动管控,提高了对外接设备的操作权限的管控的智能性。
基于前述实施例,本发明的实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,以实现上述实施例中权限管理方法的步骤。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
本发明是参照本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (14)
1.一种权限管理方法,其特征在于,应用于终端,所述方法包括:
接收管理平台发送的与终端对应的管控策略;其中,所述管控策略是所述管理平台设置的用于管理外接设备的操作权限的;
确定有目标外接设备接入所述终端,获取所述目标外接设备的设备类型,基于所述管控策略和所述设备类型设置所述目标外接设备的操作权限;其中,所述终端为具有特定操作***的终端。
2.根据权利要求1所述的方法,其特征在于,所述基于所述管控策略和所述设备类型设置所述目标外接设备的操作权限,包括:
若所述目标外接设备的设备类型为第一类型,基于所述管控策略设置所述目标外接设备的操作权限为许可所述目标外接设备与所述终端通信。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述目标外接设备的设备类型为第二类型,从所述管控策略中获取与所述第二类型对应的第二目标操作权限;
设置所述目标外接设备的操作权限为所述第二目标操作权限。
4.根据权利要求1所述的方法,其特征在于,所述获取所述目标外接设备的设备类型,包括:
获取所述目标外接设备的通信数据包;
基于所述通信数据包的标记特征值,确定所述目标外接设备的设备类型。
5.根据权利要求4所述的方法,其特征在于,所述基于所述通信数据包的标记特征值,确定所述目标外接设备的设备类型,包括:
若所述标记特征值包括输入性字段,确定所述目标外接设备的设备类型为第一类型;
若所述标记特征值包括存储性字段,确定所述目标外接设备的设备类型为第二类型。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述目标外接设备的存储路径并卸载所述存储路径当前的挂载目录;
将所述目标外接设备重新挂载至目标目录;
在所述目标目录下进行安全检测,并将检测结果上传至所述管理平台。
7.一种权限管理方法,其特征在于,应用于管理平台,所述方法包括:
生成用于管理外接设备操作权限的管控策略;
从所述管控策略中获取每一组终端对应的管控策略,并发送所述管控策略至对应的每一组终端;其中,所述管控策略用于每一组终端基于所述管控策略和外接设备的设备类型设置接入的外接设备的操作权限,所述每一组终端中包括至少一个终端;其中,所述至少一个终端为具有特定操作***的终端。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
更新用于管理外接设备操作权限的管控策略,并将更新后的管控策略发送至与所述管控策略对应的终端。
9.根据权利要求7所述的方法,其特征在于,
针对同一组终端的外接设备的管控策略是相同的。
10.一种权限管理装置,其特征在于,所述装置包括:
接收单元,用于接收管理平台发送的与终端对应的管控策略;其中,所述管控策略是所述管理平台设置的用于管理外接设备的操作权限的;
处理单元,用于确定有目标外接设备接入所述终端,获取所述目标外接设备的设备类型,基于所述管控策略和所述设备类型设置所述目标外接设备的操作权限;其中,所述终端为具有特定操作***的终端。
11.一种权限管理装置,其特征在于,所述装置包括:
生成单元,生成用于管理外接设备操作权限的管控策略;
发送单元,用于从所述管控策略中获取每一组终端对应的管控策略,并发送所述管控策略至对应的一组终端;其中,所述管控策略用于每一组终端基于所述管控策略和外接设备的设备类型设置接入的外接设备的操作权限,所述每一组终端中包括至少一个终端;其中,所述至少一个终端均为具有特定操作***的终端。
12.一种终端,其特征在于,所述终端包括:
第一处理器,用于运行计算机程序;
第一存储器,用于存储能够在所述第一处理器上运行的计算机程序;
其中,所述第一处理器,用于运行计算机程序时,执行权利要求1至6任一项所述的权限管理方法的步骤。
13.一种管理平台,其特征在于,所述管理平台包括:
第二处理器,用于运行计算机程序;
第二存储器,用于存储能够在所述第二处理器上运行的计算机程序;
其中,所述第二处理器,用于运行计算机程序时,执行权利要求7至9任一项所述的权限管理方法的步骤。
14.一种计算机可读存储介质,所述存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至6或7至9任一项所述的权限管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010901369.5A CN112035824A (zh) | 2020-08-31 | 2020-08-31 | 一种权限管理方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010901369.5A CN112035824A (zh) | 2020-08-31 | 2020-08-31 | 一种权限管理方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112035824A true CN112035824A (zh) | 2020-12-04 |
Family
ID=73587036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010901369.5A Pending CN112035824A (zh) | 2020-08-31 | 2020-08-31 | 一种权限管理方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112035824A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113297121A (zh) * | 2021-06-16 | 2021-08-24 | 深信服科技股份有限公司 | 一种接口管理方法、装置、设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488114A (zh) * | 2009-02-18 | 2009-07-22 | 北京飞天诚信科技有限公司 | Linux***下USB设备的处理方法 |
| CN104657690A (zh) * | 2013-11-20 | 2015-05-27 | 中兴通讯股份有限公司 | 外部设备控制方法及装置 |
| CN111259462A (zh) * | 2020-01-13 | 2020-06-09 | 奇安信科技集团股份有限公司 | 终端的外设管控处理方法、装置、电子设备及存储介质 |
-
2020
- 2020-08-31 CN CN202010901369.5A patent/CN112035824A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488114A (zh) * | 2009-02-18 | 2009-07-22 | 北京飞天诚信科技有限公司 | Linux***下USB设备的处理方法 |
| CN104657690A (zh) * | 2013-11-20 | 2015-05-27 | 中兴通讯股份有限公司 | 外部设备控制方法及装置 |
| CN111259462A (zh) * | 2020-01-13 | 2020-06-09 | 奇安信科技集团股份有限公司 | 终端的外设管控处理方法、装置、电子设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113297121A (zh) * | 2021-06-16 | 2021-08-24 | 深信服科技股份有限公司 | 一种接口管理方法、装置、设备及可读存储介质 |
| CN113297121B (zh) * | 2021-06-16 | 2024-02-23 | 深信服科技股份有限公司 | 一种接口管理方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8700751B2 (en) | Optimizing fibre channel zoneset configuration and activation | |
| WO2021051878A1 (zh) | 基于用户权限的云资源获取方法、装置及计算机设备 | |
| AU2014235181B2 (en) | Certificate based profile confirmation | |
| EP3671508A1 (en) | Customizing operating system kernels with secure kernel modules | |
| WO2015096695A1 (zh) | 一种应用程序的安装控制方法、***及装置 | |
| CN105721426B (zh) | 终端设备的访问授权方法、服务器、目标终端设备及*** | |
| EP3493090B1 (en) | Control method and unit of mobile storage devices, and storage medium | |
| KR20160005114A (ko) | 이미지 분석 및 관리 | |
| TW200915063A (en) | Remote health monitoring and control | |
| EP3249527B1 (en) | Operation method and device for vnf package | |
| CN114003943B (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| CN106254312B (zh) | 一种通过虚拟机异构实现服务器防攻击的方法及装置 | |
| KR20100027104A (ko) | 방화벽을 구축하는 방법, 시스템 및 컴퓨터 프로그램 | |
| US11678261B2 (en) | Distributed wireless communication access security | |
| CN106502840A (zh) | 一种数据备份方法、装置及*** | |
| US20230273782A1 (en) | Information processing method, device, apparatus and system, medium, andprogram | |
| CN114244568B (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
| CN113872951B (zh) | 混合云安全策略下发方法、装置、电子设备和存储介质 | |
| CN112035824A (zh) | 一种权限管理方法、装置、设备及计算机可读存储介质 | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| WO2017193845A1 (zh) | 虚拟网络功能的审计方法和装置 | |
| CN111290776A (zh) | 一种用于管理区块链节点的管理装置及方法 | |
| CN115499487B (zh) | 一种服务器配置文件的更新方法、装置、存储介质及设备 | |
| CN114861160A (zh) | 提升非管理员账户权限的方法及装置、设备、存储介质 | |
| US11087020B2 (en) | Providing transparency in private-user-data access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |