CN117459320B - 数据的访问控制方法和装置 - Google Patents

数据的访问控制方法和装置 Download PDF

Info

Publication number
CN117459320B
CN117459320B CN202311761951.6A CN202311761951A CN117459320B CN 117459320 B CN117459320 B CN 117459320B CN 202311761951 A CN202311761951 A CN 202311761951A CN 117459320 B CN117459320 B CN 117459320B
Authority
CN
China
Prior art keywords
information
user
data
access request
data access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311761951.6A
Other languages
English (en)
Other versions
CN117459320A (zh
Inventor
岳炳词
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinhua San Network Information Security Software Co ltd
Original Assignee
Xinhua San Network Information Security Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinhua San Network Information Security Software Co ltd filed Critical Xinhua San Network Information Security Software Co ltd
Priority to CN202311761951.6A priority Critical patent/CN117459320B/zh
Publication of CN117459320A publication Critical patent/CN117459320A/zh
Application granted granted Critical
Publication of CN117459320B publication Critical patent/CN117459320B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种数据的访问控制方法和装置,方法包括:接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;根据该数据标识,获取所请求的目标数据的分级分类信息;向零信任***发送用户标识信息和分级分类信息;接收零信任***返回的安全防护信息;根据安全防护信息,对数据访问请求进行处理。由于本申请根据用户的用户标识信息及分级分类信息在零信任***获取安全防护信息,零信任***表征了零信任防护的设计思想,并对不同情况的参数组合设置了不同的安全防护信息,可满足用户在不同场景、不同地域、不同访问时间下的动态访问控制需求,从而提升了对数据访问控制的灵活性。

Description

数据的访问控制方法和装置
技术领域
本申请涉及网络安全技术领域,特别涉及一种数据的访问控制方法和装置。
背景技术
随着云计算、物联网的不断发展,数据成为了数字经济时代重要的生产要素,正在不断地改变人类社会的生产和生活方式。以云计算、物联网相关的应用为基础,使得数据量呈爆发式增长态势,由此带来的数据安全越来越重要,在用户访问数据的过程中实现控制对于数据安全是非常重要的。
相关技术中,当前对数据的访问控制,主要是对数据服务API(应用程序编程接口,Application Programming Interface)的访问控制,具体通过零信任API代理实现用户对数据服务API的动态最小化权限控制。由于该访问控制过程是通过设置用户和数据表、API的绑定关系来实现的,该绑定关系造成了策略固定化,难以满足用户在不同场景、不同地域、不同访问时间下的访问控制需求,从而降低了对数据访问控制的灵活性。
发明内容
本申请实施例提供了一种数据的访问控制方法和装置。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
第一方面,本申请实施例提供了一种数据的访问控制方法,应用于网络安全设备,方法包括:
接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;
根据目标数据的数据标识,获取所请求的目标数据的分级分类信息;
向零信任***发送用户标识信息和分级分类信息;
接收零信任***返回的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
根据安全防护信息,对数据访问请求进行处理。
第二方面,本申请实施例提供了一种数据的访问控制方法,应用于零信任***,方法包括:
接收网络安全设备发送的用户标识信息和分级分类信息;用户标识信息为发起数据访问请求的用户的信息,分级分类信息为数据访问请求对应的目标数据的分级分类信息;
根据用户标识信息和分级分类信息,获取数据访问请求对应的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
发送安全防护信息给网络安全设备,以使网络安全设备基于安全防护信息处理数据访问请求。
第三方面,本申请实施例提供了一种数据的访问控制装置,装置包括:
第一接收模块,用于接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;
获取模块,用于根据目标数据的数据标识,获取所请求的目标数据的分级分类信息;
发送模块,用于向零信任***发送用户标识信息和分级分类信息;
第二接收模块,用于接收零信任***返回的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
处理模块,用于根据安全防护信息,对数据访问请求进行处理。
第四方面,本申请实施例提供了一种数据的访问控制装置,装置包括:
接收模块,用于接收网络安全设备发送的用户标识信息和分级分类信息;用户标识信息为发起数据访问请求的用户的信息,分级分类信息为数据访问请求对应的目标数据的分级分类信息;
获取模块,用于根据用户标识信息和分级分类信息,获取数据访问请求对应的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
发送模块,用于发送安全防护信息给网络安全设备,以使网络安全设备基于安全防护信息处理数据访问请求。
本申请实施例提供的技术方案可以包括以下有益效果:
在本申请实施例中,本申请根据用户的用户标识信息及分级分类信息在零信任***获取安全防护信息,零信任***表征了零信任防护的设计思想,并对不同情况的参数组合设置了不同的安全防护信息,可满足用户在不同场景、不同地域、不同访问时间下的动态访问控制需求,从而提升了对数据访问控制的灵活性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是本申请实施例提供的一种数据的访问控制方法的流程示意图;
图2是本申请提供的另一种数据的访问控制方法的流程示意图;;
图3是本申请提供的一种数据的访问控制网络架构示意图;
图4是本申请提供的一种数据的访问控制***的结构示意图;
图5是本申请提供的一种数据的访问控制装置的结构示意图;
图6是本申请提供的另一种数据的访问控制装置的结构示意图;
图7是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
以下描述和附图充分地示出本申请的具体实施方案,以使本领域的技术人员能够实践它们。
应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是如所附权利要求书中所详述的、本申请的一些方面相一致的***和方法的例子。
在本申请的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。此外,在本申请的描述中,除非另有说明,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
目前,对数据的访问控制时,主要是对数据服务API(应用程序编程接口,Application Programming Interface)的访问控制,具体通过零信任API代理实现用户对数据服务API的动态最小化权限控制。
本申请的发明人注意到,由于该访问控制过程是通过设置用户和数据表、API的绑定关系来实现的,该绑定关系造成了策略固定化,难以满足用户在不同场景、不同地域、不同访问时间下的访问控制需求,从而降低了对数据访问控制的灵活性。
为了能够解决对数据访问控制的灵活性低的问题,本申请发明人研究发现,接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;根据该数据标识,获取所请求的目标数据的分级分类信息;向零信任***发送用户标识信息和分级分类信息;接收零信任***返回的安全防护信息;根据安全防护信息,对数据访问请求进行处理。由于本申请根据用户的用户标识信息及分级分类信息在零信任***获取安全防护信息,零信任***表征了零信任防护的设计思想,并对不同情况的参数组合设置了不同的安全防护信息,可满足用户在不同场景、不同地域、不同访问时间下的动态访问控制需求,从而提升了对数据访问控制的灵活性。
本申请提供了一种数据的访问控制方法和装置,以解决上述相关技术问题中存在的问题。下面将结合附图1-附图3,对本申请实施例提供的数据的访问控制方法进行详细介绍。该方法可依赖于计算机程序实现,可运行于基于冯诺依曼体系的数据的访问控制***上。该计算机程序可集成在应用中,也可作为独立的工具类应用运行。
请参见图1,为本申请实施例提供了一种数据的访问控制方法的流程示意图,应用于网络安全设备。如图1所示,本申请实施例的方法可以包括以下步骤:
S101,接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;
其中,网络安全设备例如为数据网关,用户可以是请求读取数据的用户,也可以是请求存储数据的数据源用户;数据访问请求是请求读取数据的用户或者请求存储数据的数据源用户通过客户端发出的;用户的用户标识信息是标记用户唯一性的参数,目标数据的数据标识是标记数据唯一性的参数,以上参数是数据访问请求中携带的。
在一种可能的实现方式中,数据源用户通过客户端直接对网络安全设备发出用于存储数据的数据访问请求,此时网络安全设备可接收来自客户端的数据访问请求。
在另一种可能的实现方式中,请求读取数据的用户通过客户端对零信任***发出数据访问请求,零信任***在身份验证通过后可将该数据访问请求发送至网络安全设备,网络安全设备接收零信任***发送的数据访问请求。
S102,根据目标数据的数据标识,获取所请求的目标数据的分级分类信息;
其中,分级分类信息是通过数据访问请求携带的请求访问的目标数据的数据标识和预先存储的数据标识和分级分类信息之间的映射关系进行获取的。
在本申请实施例中,本申请可根据数据的用途和场景对数据库中的数据标识进行分级分类,得到各数据标识对应的分级分类信息,然后存储各数据标识与各数据标识对应的分级分类信息之间的映射关系。通过该映射关系,在网络安全设备接收到数据访问请求后能快速确定出请求访问的目标数据的数据标识对应的分级分类信息。
在本申请实施例中,在根据目标数据的数据标识,获取所请求的目标数据的分级分类信息时,首先根据数据标识,从预先存储的数据标识和分级分类信息之间的映射关系中,获取对应的分级分类信息;然后将获取的分级分类信息作为所请求的目标数据的分级分类信息。
S103,向零信任***发送用户标识信息和分级分类信息;
其中,零信任是新一代的网络安全防护理念,默认不信任企业网络内外的任何人、设备和***,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。
具体的,零信任***是基于零信任架构开发的纯软件***,该软件***作为中间件应用程序运行在服务器上或者本地终端设备。零信任***为能够基于用户信息触发动态执行安全策略的安全平台。
在本申请实施例中,在得到用户标识信息和分级分类信息后,可将用户标识信息和分级分类信息发送至零信任***。
S104,接收零信任***返回的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
其中,安全防护信息可以包括用户属性信息和至少一个安全策略对象,安全策略对象包括属性参数、动作参数以及允许执行动作参数所指示的处理操作的访问规则;访问规则包含属性参数对应的许可取值区间。安全防护信息还可以仅为动作参数;其中,上述动作参数为零信任***基于用户的用户属性信息及至少一个安全策略对象确定出的目标安全策略对象中的动作参数;用户属性信息中的属性参数的参数值在许可取值区间内,许可取值区间为目标安全策略对象的访问规则所包含的属性参数对应的许可取值区间,访问规则为允许执行目标安全策略对象的动作参数所指示的处理操作的访问规则;用户属性信息为零信任***基于用户标识信息确定的,至少一个安全策略对象为零信任***基于分级分类信息确定的。
具体的,属性参数例如为属性1、属性2、……属性n中的某个属性;动作参数例如为加密、区块链存储、脱敏、允许访问、禁止访问等动作集中的某个动作;访问规则用于描述属性参数和动作参数的关联关系。
例如,关联关系为:允许访问(data<属地>==主体<属地>),表示只允许用户访问来源于其所属地的数据,如:哈尔滨的警员只能访问来源于哈尔滨的数据;允许访问(ip属于内网地址):表示只允许访问ip为公安内网地址;允许访问(用户组<用户组1>):表示只允许用户组1的用户访问;例如用户Level(level<3)->脱敏(字段1,……字段i)表示在警员级别低于3时,对某些数据进行脱敏。
在本申请实施例中,在将用户标识信息和分级分类信息发送至零信任***后,可接收到零信任***返回的安全防护信息。
S105,根据安全防护信息,对数据访问请求进行处理。
在一种可能的实现方式中,在根据安全防护信息,对数据访问请求进行处理时,首先从至少一个安全策略对象中,确定出包含用户属性信息中的属性参数的目标安全策略对象;然后在用户属性信息中的属性参数的参数值在许可取值区间内的情况下,确定用户属性信息中的属性参数满足目标安全策略对象中的访问规则;最后在用户属性信息中的属性参数满足目标安全策略对象中的访问规则的情况下,根据目标安全策略对象中的动作参数,对数据访问请求进行处理。
例如,从至少一个安全策略对象中,确定出目标安全策略对象,该目标策略安全对象包含用户属性信息中的属性参数,即目标策略安全对象的属性参数和用户属性信息中的属性参数相同;此时判定用户属性信息中的属性参数是否满足目标安全策略对象中的访问规则,例如满足的规则是:(data<属地>==主体<属地>),表示只允许用户访问来源于其所属地的数据,此时才会根据目标安全策略对象中的动作参数(例如允许访问),对数据访问请求进行处理;如:哈尔滨的警员只能访问来源于哈尔滨的数据。
在另一种可能的实现方式中,在根据安全防护信息,对数据访问请求进行处理时,对数据访问请求执行动作参数对应的处理操作。当数据访问请求执行的动作参数为多个时,多个动作参数为互斥的动作参数,可基于实际业务场景中业务的处理顺序依次调用并执行多个动作参数对应的处理操作。
具体的,动作参数对应的处理操作例如为禁止访问、允许访问、某些字段脱敏、加密存储、区块链存储等。
在本申请实施例中,首先接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;然后根据该数据标识,获取所请求的目标数据的分级分类信息;再向零信任***发送用户标识信息和分级分类信息;其次接收零信任***返回的安全防护信息;最后根据安全防护信息,对数据访问请求进行处理。由于本申请根据用户的用户标识信息及分级分类信息在零信任***获取安全防护信息,零信任***表征了零信任防护的设计思想,并对不同情况的参数组合设置了不同的安全防护信息,可满足用户在不同场景、不同地域、不同访问时间下的动态访问控制需求,从而提升了对数据访问控制的灵活性。
请参见图2,为本申请实施例提供了一种数据的访问控制方法的流程示意图,应用于零信任***。如图2所示,本申请实施例的方法可以包括以下步骤:
S201,接收网络安全设备发送的用户标识信息和分级分类信息;用户标识信息为发起数据访问请求的用户的信息,分级分类信息为数据访问请求对应的目标数据的分级分类信息;
在一种可能的实现方式中,在接收网络安全设备发送的用户标识信息和分级分类信息之前,请求读取数据的用户通过客户端登录零信任***并访问应用程序,身份校验通过后可存储用户标识信息与用户属性信息之间的映射关系,然后用户通过应用程序发出用于读取数据的数据访问请求后,零信任***将来自用户的数据访问请求发送至网络安全设备。
在本申请实施例中,首先接收来自用户的身份认证请求,对用户的身份进行校验;身份认证请求携带用户的用户标识信息;然后在身份校验通过的情况下,根据用户的用户标识信息,从数据库获取用户的用户属性信息;最后存储用户标识信息与用户属性信息之间的映射关系。
在本申请实施例中,零信任***将来自用户的数据访问请求发送至网络安全设备后,可接收到网络安全设备发送的用户标识信息和分级分类信息。
S202,根据用户标识信息和分级分类信息,获取数据访问请求对应的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
在本申请实施例中,根据用户标识信息和分级分类信息,获取数据访问请求对应的安全防护信息时,首先根据用户标识信息,从预先存储的用户标识信息和用户属性信息之间的映射关系中,获取对应的用户属性信息;然后根据分级分类信息,从预先配置的分级分类信息与安全策略对象的映射关系中,获取对应的至少一个安全策略对象;最后根据用户属性信息以及至少一个安全策略对象,获取数据访问请求对应的安全防护信息。
具体的,用户属性信息包括零信任***从客户端获取到用户的属性信息,例如IP地址(内网、外网地址)、地理位置、当前执行任务,还包括获取的静态属性信息,例如警号、身份证号、级别、职务所属组织等。
具体的,安全策略对象包括属性参数、动作参数以及允许执行动作参数所指示的处理操作的访问规则;访问规则包含属性参数对应的许可取值区间。
在一种可能的实现方式中,根据用户属性信息以及至少一个安全策略对象,获取数据访问请求对应的安全防护信息时,首先从至少一个安全策略对象中,确定出包含用户属性信息中的属性参数的目标安全策略对象;然后确定用户属性信息中的属性参数是否满足目标安全策略对象中的访问规则;如果是,将目标安全策略对象中的动作参数作为数据访问请求对应的安全防护信息。
在一种可能的实现方式中,根据用户属性信息以及至少一个安全策略对象,获取数据访问请求对应的安全防护信息时,直接将用户属性信息以及至少一个安全策略对象作为数据访问请求对应的安全防护信息。
S203,发送安全防护信息给网络安全设备,以使网络安全设备基于安全防护信息处理数据访问请求。
在本申请实施例中,在得到安全防护信息后,可发送安全防护信息给网络安全设备,以使网络安全设备基于安全防护信息处理数据访问请求。
例如图3所示,图3是本申请提供的一种数据的访问控制网络架构,该架构包括数据源、客户端、部署的应用程序、零信任***、数据网关以及数据库;请求读取数据的用户通过客户端登录零信任***并访问应用程序,身份校验通过后可存储用户标识信息与用户属性信息之间的映射关系,然后用户通过应用程序发出用于读取数据的数据访问请求后,零信任***将来自用户的数据访问请求发送至数据网关;或者数据源用户直接发出用于存储数据的数据访问请求至数据网关;数据网关接收到数据访问请求后,获取用户的用户标识信息及数据访问请求对应的目标数据的分级分类信息,并发送给零信任***;零信任***根据用户标识信息和分级分类信息,获取数据访问请求对应的安全防护信息,并发送给数据网关;数据网关接收零信任***返回的安全防护信息,根据安全防护信息,对数据访问请求进行处理,以对数据库中的数据进行保护。
在本申请实施例中,首先接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;然后根据该数据标识,获取所请求的目标数据的分级分类信息;再向零信任***发送用户标识信息和分级分类信息;其次接收零信任***返回的安全防护信息;最后根据安全防护信息,对数据访问请求进行处理。由于本申请根据用户的用户标识信息及分级分类信息在零信任***获取安全防护信息,零信任***表征了零信任防护的设计思想,并对不同情况的参数组合设置了不同的安全防护信息,可满足用户在不同场景、不同地域、不同访问时间下的动态访问控制需求,从而提升了对数据访问控制的灵活性。
下述为本申请***实施例,可以用于执行本申请方法实施例。对于本申请***实施例中未披露的细节,请参照本申请方法实施例。
请参见图4,其示出了本申请一个示例性实施例提供的数据的访问控制***的结构示意图。该***1包括网络安全设备和零信任***;
网络安全设备,用于接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;根据目标数据的数据标识,获取所请求的目标数据的分级分类信息;向零信任***发送用户标识信息和分级分类信息;
零信任***,用于接收用户标识信息和分级分类信息;根据用户标识信息和分级分类信息,获取数据访问请求对应的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;发送安全防护信息给网络安全设备;
网络安全设备,用于接收安全防护信息;根据安全防护信息,对数据访问请求进行处理。
在本申请实施例中,首先接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;然后根据该数据标识,获取所请求的目标数据的分级分类信息;再向零信任***发送用户标识信息和分级分类信息;其次接收零信任***返回的安全防护信息;最后根据安全防护信息,对数据访问请求进行处理。由于本申请根据用户的用户标识信息及分级分类信息在零信任***获取安全防护信息,零信任***表征了零信任防护的设计思想,并对不同情况的参数组合设置了不同的安全防护信息,可满足用户在不同场景、不同地域、不同访问时间下的动态访问控制需求,从而提升了对数据访问控制的灵活性。
请参见图5,其示出了本申请一个示例性实施例提供的数据的访问控制装置的结构示意图。该装置1包括第一接收模块10、获取模块20、发送模块30、第二接收模块40、处理模块50。
第一接收模块10,用于接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;
获取模块20,用于根据目标数据的数据标识,获取所请求的目标数据的分级分类信息;
发送模块30,用于向零信任***发送用户标识信息和分级分类信息;
第二接收模块40,用于接收零信任***返回的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
处理模块50,用于根据安全防护信息,对数据访问请求进行处理。
可选的,处理模块,包括:
第一确定单元,用于从至少一个安全策略对象中,确定出包含用户属性信息中的属性参数的目标安全策略对象;
第二确定单元,用于在用户属性信息中的属性参数的参数值在许可取值区间内的情况下,确定用户属性信息中的属性参数满足目标安全策略对象中的访问规则;
处理单元,用于在用户属性信息中的属性参数满足目标安全策略对象中的访问规则的情况下,根据目标安全策略对象中的动作参数,对数据访问请求进行处理。
可选的,处理模块具体用于:
对数据访问请求执行动作参数对应的处理操作。
可选的,获取模块包括:
获取单元,用于根据数据标识,从预先存储的数据标识和分级分类信息之间的映射关系中,获取对应的分级分类信息;
第三确定单元,用于将获取的分级分类信息作为所请求的目标数据的分级分类信息。
需要说明的是,上述实施例提供的数据的访问控制***在执行数据的访问控制方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的数据的访问控制装置与数据的访问控制方法实施例属于同一构思,其体现实现过程详见方法实施例,这里不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请实施例中,首先接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;然后根据该数据标识,获取所请求的目标数据的分级分类信息;再向零信任***发送用户标识信息和分级分类信息;其次接收零信任***返回的安全防护信息;最后根据安全防护信息,对数据访问请求进行处理。由于本申请根据用户的用户标识信息及分级分类信息在零信任***获取安全防护信息,零信任***表征了零信任防护的设计思想,并对不同情况的参数组合设置了不同的安全防护信息,可满足用户在不同场景、不同地域、不同访问时间下的动态访问控制需求,从而提升了对数据访问控制的灵活性。
请参见图6,其示出了本申请一个示例性实施例提供的数据的访问控制装置的结构示意图。该装置2包括接收模块60、获取模块70、发送模块80。
接收模块60,用于接收网络安全设备发送的用户标识信息和分级分类信息;用户标识信息为发起数据访问请求的用户的信息,分级分类信息为数据访问请求对应的目标数据的分级分类信息;
获取模块70,用于根据用户标识信息和分级分类信息,获取数据访问请求对应的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
发送模块80,用于发送安全防护信息给网络安全设备,以使网络安全设备基于安全防护信息处理数据访问请求。
可选的,获取模块,包括:
第一获取单元,用于根据用户标识信息,从预先存储的用户标识信息和用户属性信息之间的映射关系中,获取对应的用户属性信息;
第二获取单元,用于根据分级分类信息,从预先配置的分级分类信息与安全策略对象的映射关系中,获取对应的至少一个安全策略对象;
第三获取单元,用于根据用户属性信息以及至少一个安全策略对象,获取数据访问请求对应的安全防护信息。
可选的,第三获取单元,包括:
第一确定子单元,用于将用户属性信息以及至少一个安全策略对象作为数据访问请求对应的安全防护信息;或者,
第二确定子单元,用于从至少一个安全策略对象中,确定出包含用户属性信息中的属性参数的目标安全策略对象;
第三确定子单元,用于在用户属性信息中的属性参数的参数值在许可取值区间内的情况下,确定用户属性信息中的属性参数满足目标安全策略对象中的访问规则;
第四确定子单元,用于在用户属性信息中的属性参数满足目标安全策略对象中的访问规则的情况下,将目标安全策略对象中的动作参数作为数据访问请求对应的安全防护信息。
可选的,装置2还包括:
身份校验模块,用于接收用户的身份认证请求,对用户的身份进行校验;身份认证请求携带用户的用户标识信息;
用户属性信息获取模块,用于在身份校验通过的情况下,根据用户的用户标识信息,从数据库获取用户的用户属性信息;
数据存储模块,用于存储用户标识信息与用户属性信息之间的映射关系。
需要说明的是,上述实施例提供的数据的访问控制***在执行数据的访问控制方法时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的数据的访问控制装置与数据的访问控制方法实施例属于同一构思,其体现实现过程详见方法实施例,这里不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请实施例中,首先接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;然后根据该数据标识,获取所请求的目标数据的分级分类信息;再向零信任***发送用户标识信息和分级分类信息;其次接收零信任***返回的安全防护信息;最后根据安全防护信息,对数据访问请求进行处理。由于本申请根据用户的用户标识信息及分级分类信息在零信任***获取安全防护信息,零信任***表征了零信任防护的设计思想,并对不同情况的参数组合设置了不同的安全防护信息,可满足用户在不同场景、不同地域、不同访问时间下的动态访问控制需求,从而提升了对数据访问控制的灵活性。
本申请还提供一种计算机可读介质,其上存储有程序指令,该程序指令被处理器执行时实现上述各个方法实施例提供的数据的访问控制方法。
本申请还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各个方法实施例的数据的访问控制方法。
请参见图7,图7为一个实施例中电子设备的内部结构示意图,应用于电子设备。如图7所示,该电子设备包括通过***总线连接的处理器、非易失性存储介质、存储器和网络接口。其中,该电子设备的非易失性存储介质存储有操作***、数据库和计算机可读指令,数据库中可存储有控件信息序列,该计算机可读指令被处理器执行时,可使得处理器实现一种数据的访问控制方法。该电子设备的处理器用于提供计算和控制能力,支撑整个电子设备的运行。该电子设备的存储器中可存储有计算机可读指令,该计算机可读指令被处理器执行时,可使得处理器执行一种数据的访问控制方法。该电子设备的网络接口用于与终端连接通信。本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提出了一种电子设备,电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;
根据目标数据的数据标识,获取所请求的目标数据的分级分类信息;
向零信任***发送用户标识信息和分级分类信息;
接收零信任***返回的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
根据安全防护信息,对数据访问请求进行处理。
在一个实施例中,处理器在执行根据安全防护信息,对数据访问请求进行处理时,具体执行以下操作:
从至少一个安全策略对象中,确定出包含用户属性信息中的属性参数的目标安全策略对象;
在用户属性信息中的属性参数的参数值在许可取值区间内的情况下,确定用户属性信息中的属性参数满足目标安全策略对象中的访问规则;
在用户属性信息中的属性参数满足目标安全策略对象中的访问规则的情况下,根据目标安全策略对象中的动作参数,对数据访问请求进行处理。
在一个实施例中,处理器在执行根据安全防护信息,对数据访问请求进行处理时,具体执行以下操作:
对数据访问请求执行动作参数对应的处理操作;动作参数为零信任***基于用户的用户属性信息及至少一个安全策略对象确定出的目标安全策略对象中的动作参数;用户属性信息中的属性参数的参数值在许可取值区间内,许可取值区间为目标安全策略对象包括的访问规则所包含的属性参数对应的许可取值区间,访问规则为允许执行目标安全策略对象包括的动作参数所指示的处理操作的访问规则;用户属性信息为零信任***基于用户标识信息确定的,至少一个安全策略对象为零信任***基于分级分类信息确定的。
在一个实施例中,处理器在执行根据目标数据的数据标识,获取所请求的目标数据的分级分类信息时,具体执行以下操作:
根据数据标识,从预先存储的数据标识和分级分类信息之间的映射关系中,获取对应的分级分类信息;
将获取的分级分类信息作为所请求的目标数据的分级分类信息。
在一个实施例中,提出了另一种电子设备,电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
接收网络安全设备发送的用户标识信息和分级分类信息;用户标识信息为发起数据访问请求的用户的信息,分级分类信息为数据访问请求对应的目标数据的分级分类信息;
根据用户标识信息和分级分类信息,获取数据访问请求对应的安全防护信息,安全防护信息用于对用户访问目标数据时的数据访问请求进行安全访问控制;
发送安全防护信息给网络安全设备,以使网络安全设备基于安全防护信息处理数据访问请求。
在一个实施例中,处理器在执行根据用户标识信息和分级分类信息,获取数据访问请求对应的安全防护信息时,具体执行以下操作:
根据用户标识信息,从预先存储的用户标识信息和用户属性信息之间的映射关系中,获取对应的用户属性信息;
根据分级分类信息,从预先配置的分级分类信息与安全策略对象的映射关系中,获取对应的至少一个安全策略对象;
根据用户属性信息以及至少一个安全策略对象,获取数据访问请求对应的安全防护信息。
在一个实施例中,处理器在执行根据用户属性信息以及至少一个安全策略对象,获取数据访问请求对应的安全防护信息时,具体执行以下操作:
将用户属性信息以及至少一个安全策略对象作为数据访问请求对应的安全防护信息;或者,
从至少一个安全策略对象中,确定出包含用户属性信息中的属性参数的目标安全策略对象;
在用户属性信息中的属性参数的参数值在许可取值区间内的情况下,确定用户属性信息中的属性参数满足目标安全策略对象中的访问规则;
在用户属性信息中的属性参数满足目标安全策略对象中的访问规则的情况下,将目标安全策略对象中的动作参数作为数据访问请求对应的安全防护信息。
在一个实施例中,处理器还执行以下操作:
接收来自用户的身份认证请求,对用户的身份进行校验;身份认证请求携带用户的用户标识信息;
在身份校验通过的情况下,根据用户的用户标识信息,从数据库获取用户的用户属性信息;
存储用户标识信息与用户属性信息之间的映射关系。
在本申请实施例中,首先接收数据访问请求,数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;然后根据该数据标识,获取所请求的目标数据的分级分类信息;再向零信任***发送用户标识信息和分级分类信息;其次接收零信任***返回的安全防护信息;最后根据安全防护信息,对数据访问请求进行处理。由于本申请根据用户的用户标识信息及分级分类信息在零信任***获取安全防护信息,零信任***表征了零信任防护的设计思想,并对不同情况的参数组合设置了不同的安全防护信息,可满足用户在不同场景、不同地域、不同访问时间下的动态访问控制需求,从而提升了对数据访问控制的灵活性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,数据的访问控制的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,的存储介质可为磁碟、光盘、只读存储记忆体或随机存储记忆体等。
以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。

Claims (9)

1.一种数据访问控制方法,其特征在于,应用于网络安全设备,所述方法包括:
接收数据访问请求,所述数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;
根据所述目标数据的数据标识,获取所请求的目标数据的分级分类信息;
向零信任***发送所述用户标识信息和所述分级分类信息;
接收所述零信任***返回的安全防护信息,所述安全防护信息用于对所述用户访问所述目标数据时的数据访问请求进行安全访问控制;
根据所述安全防护信息,对所述数据访问请求进行处理;
所述安全防护信息包括动作参数;所述动作参数为所述零信任***基于用户的用户属性信息及至少一个安全策略对象确定出的目标安全策略对象中的动作参数;所述用户属性信息中的属性参数的参数值在许可取值区间内,所述许可取值区间为所述目标安全策略对象的访问规则所包含的属性参数对应的许可取值区间,所述访问规则为允许执行所述目标安全策略对象的动作参数所指示的处理操作的访问规则;
所述根据所述安全防护信息,对所述数据访问请求进行处理,包括:
对所述数据访问请求执行所述动作参数对应的处理操作。
2.根据权利要求1所述的方法,其特征在于,所述安全防护信息包括用户属性信息和至少一个安全策略对象,所述安全策略对象包括属性参数、动作参数以及允许执行所述动作参数所指示的处理操作的访问规则;所述访问规则包含属性参数对应的许可取值区间;
所述根据所述安全防护信息,对所述数据访问请求进行处理,包括:
从所述至少一个安全策略对象中,确定出包含所述用户属性信息中的属性参数的目标安全策略对象;
在所述用户属性信息中的所述属性参数的参数值在所述许可取值区间内的情况下,确定所述用户属性信息中的所述属性参数满足所述目标安全策略对象中的所述访问规则;
在所述用户属性信息中的所述属性参数满足所述目标安全策略对象中的所述访问规则的情况下,根据所述目标安全策略对象中的所述动作参数,对所述数据访问请求进行处理。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述根据所述目标数据的数据标识,获取所请求的目标数据的分级分类信息,包括:
根据所述数据标识,从预先存储的数据标识和分级分类信息之间的映射关系中,获取对应的分级分类信息;
将获取的分级分类信息作为所请求的目标数据的分级分类信息。
4.一种数据访问控制方法,其特征在于,应用于零信任***,所述方法包括:
接收网络安全设备发送的用户标识信息和分级分类信息;所述用户标识信息为发起数据访问请求的用户的信息,所述分级分类信息为所述数据访问请求对应的目标数据的分级分类信息;
根据所述用户标识信息和所述分级分类信息,获取所述数据访问请求对应的安全防护信息,所述安全防护信息用于对所述用户访问所述目标数据时的数据访问请求进行安全访问控制;
所述安全防护信息包括动作参数;所述动作参数为所述零信任***基于用户的用户属性信息及至少一个安全策略对象确定出的目标安全策略对象中的动作参数;所述用户属性信息中的属性参数的参数值在许可取值区间内,所述许可取值区间为所述目标安全策略对象的访问规则所包含的属性参数对应的许可取值区间,所述访问规则为允许执行所述目标安全策略对象的动作参数所指示的处理操作的访问规则;
发送所述安全防护信息给所述网络安全设备,以使所述网络安全设备基于所述安全防护信息处理所述数据访问请求。
5.根据权利要求4所述的方法,其特征在于,所述根据所述用户标识信息和所述分级分类信息,获取所述数据访问请求对应的安全防护信息,包括:
根据所述用户标识信息,从预先存储的用户标识信息和用户属性信息之间的映射关系中,获取对应的用户属性信息;
根据所述分级分类信息,从预先配置的分级分类信息与安全策略对象的映射关系中,获取对应的至少一个安全策略对象;
根据所述用户属性信息以及所述至少一个安全策略对象,获取所述数据访问请求对应的安全防护信息。
6.根据权利要求5所述的方法,其特征在于,所述安全策略对象包括属性参数、动作参数以及允许执行所述动作参数所指示的处理操作的访问规则;所述访问规则包含属性参数对应的许可取值区间;
所述根据所述用户属性信息以及至少一个安全策略对象,获取所述数据访问请求对应的安全防护信息,包括:
将所述用户属性信息以及所述至少一个安全策略对象作为所述数据访问请求对应的安全防护信息;或者,
从所述至少一个安全策略对象中,确定出包含所述用户属性信息中的属性参数的目标安全策略对象;
在所述用户属性信息中的所述属性参数的参数值在所述许可取值区间内的情况下,确定所述用户属性信息中的所述属性参数满足所述目标安全策略对象中的所述访问规则;
在所述用户属性信息中的所述属性参数满足所述目标安全策略对象中的所述访问规则的情况下,将所述目标安全策略对象中的所述动作参数作为所述数据访问请求对应的安全防护信息。
7.根据权利要求4-6任一项所述的方法,其特征在于,所述方法还包括:
接收用户的身份认证请求,对所述用户的身份进行校验;所述身份认证请求携带所述用户的用户标识信息;
在所述身份校验通过的情况下,根据所述用户的用户标识信息,从数据库获取所述用户的用户属性信息;
存储所述用户标识信息与所述用户属性信息之间的映射关系。
8.一种数据访问控制装置,其特征在于,所述装置包括:
第一接收模块,用于接收数据访问请求,所述数据访问请求携带用户的用户标识信息及请求访问的目标数据的数据标识;
获取模块,用于根据所述目标数据的数据标识,获取所请求的目标数据的分级分类信息;
发送模块,用于向零信任***发送所述用户标识信息和所述分级分类信息;
第二接收模块,用于接收所述零信任***返回的安全防护信息,所述安全防护信息用于对所述用户访问所述目标数据时的数据访问请求进行安全访问控制;
处理模块,用于根据所述安全防护信息,对所述数据访问请求进行处理;
所述安全防护信息包括动作参数;所述动作参数为所述零信任***基于用户的用户属性信息及至少一个安全策略对象确定出的目标安全策略对象中的动作参数;所述用户属性信息中的属性参数的参数值在许可取值区间内,所述许可取值区间为所述目标安全策略对象的访问规则所包含的属性参数对应的许可取值区间,所述访问规则为允许执行所述目标安全策略对象的动作参数所指示的处理操作的访问规则;
所述根据所述安全防护信息,对所述数据访问请求进行处理,包括:
对所述数据访问请求执行所述动作参数对应的处理操作。
9.一种数据访问控制装置,其特征在于,所述装置包括:
接收模块,用于接收网络安全设备发送的用户标识信息和分级分类信息;所述用户标识信息为发起数据访问请求的用户的信息,所述分级分类信息为所述数据访问请求对应的目标数据的分级分类信息;
获取模块,用于根据所述用户标识信息和所述分级分类信息,获取所述数据访问请求对应的安全防护信息,所述安全防护信息用于对所述用户访问所述目标数据时的数据访问请求进行安全访问控制;
发送模块,用于发送所述安全防护信息给所述网络安全设备,以使所述网络安全设备基于所述安全防护信息处理所述数据访问请求;
所述安全防护信息包括动作参数;所述动作参数为零信任***基于用户的用户属性信息及至少一个安全策略对象确定出的目标安全策略对象中的动作参数;所述用户属性信息中的属性参数的参数值在许可取值区间内,所述许可取值区间为所述目标安全策略对象的访问规则所包含的属性参数对应的许可取值区间,所述访问规则为允许执行所述目标安全策略对象的动作参数所指示的处理操作的访问规则。
CN202311761951.6A 2023-12-20 2023-12-20 数据的访问控制方法和装置 Active CN117459320B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311761951.6A CN117459320B (zh) 2023-12-20 2023-12-20 数据的访问控制方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311761951.6A CN117459320B (zh) 2023-12-20 2023-12-20 数据的访问控制方法和装置

Publications (2)

Publication Number Publication Date
CN117459320A CN117459320A (zh) 2024-01-26
CN117459320B true CN117459320B (zh) 2024-03-26

Family

ID=89583980

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311761951.6A Active CN117459320B (zh) 2023-12-20 2023-12-20 数据的访问控制方法和装置

Country Status (1)

Country Link
CN (1) CN117459320B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104917761A (zh) * 2015-05-29 2015-09-16 西安电子科技大学 一种通用的访问控制方法及装置
CN111931234A (zh) * 2020-08-13 2020-11-13 中国民航信息网络股份有限公司 一种数据访问控制方法及***
CN113051602A (zh) * 2021-01-22 2021-06-29 东南大学 一种基于零信任架构的数据库细粒度访问控制方法
CN113098695A (zh) * 2021-04-21 2021-07-09 金陵科技学院 一种基于用户属性的微服务统一权限控制方法与***
CN114465807A (zh) * 2022-02-24 2022-05-10 重庆邮电大学 一种基于机器学习的零信任api网关动态信任评估与访问控制方法及***
JP2022162461A (ja) * 2021-04-12 2022-10-24 株式会社日立製作所 動的アクセス認可システム及び動的アクセス認可方法
CN115499210A (zh) * 2022-09-15 2022-12-20 中国工业互联网研究院 一种基于标识的工业互联网数据动态访问控制方法及平台
CN116938486A (zh) * 2022-04-01 2023-10-24 上海云盾信息技术有限公司 一种访问控制的方法、装置、***、设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220224535A1 (en) * 2021-01-14 2022-07-14 Cloudentity, Inc. Dynamic authorization and access management

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104917761A (zh) * 2015-05-29 2015-09-16 西安电子科技大学 一种通用的访问控制方法及装置
CN111931234A (zh) * 2020-08-13 2020-11-13 中国民航信息网络股份有限公司 一种数据访问控制方法及***
CN113051602A (zh) * 2021-01-22 2021-06-29 东南大学 一种基于零信任架构的数据库细粒度访问控制方法
JP2022162461A (ja) * 2021-04-12 2022-10-24 株式会社日立製作所 動的アクセス認可システム及び動的アクセス認可方法
CN113098695A (zh) * 2021-04-21 2021-07-09 金陵科技学院 一种基于用户属性的微服务统一权限控制方法与***
CN114465807A (zh) * 2022-02-24 2022-05-10 重庆邮电大学 一种基于机器学习的零信任api网关动态信任评估与访问控制方法及***
CN116938486A (zh) * 2022-04-01 2023-10-24 上海云盾信息技术有限公司 一种访问控制的方法、装置、***、设备及存储介质
CN115499210A (zh) * 2022-09-15 2022-12-20 中国工业互联网研究院 一种基于标识的工业互联网数据动态访问控制方法及平台

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
零信任体系技术研究;余海;郭庆;房利国;;通信技术;20200810(08);全文 *

Also Published As

Publication number Publication date
CN117459320A (zh) 2024-01-26

Similar Documents

Publication Publication Date Title
CN105897663A (zh) 一种确定访问权限的方法、装置及设备
CN110138767B (zh) 事务请求的处理方法、装置、设备和存储介质
CN109145638A (zh) 一种获取自加载模块函数的方法及装置
CN111177703A (zh) 操作***数据完整性的确定方法及装置
JP5317020B2 (ja) 情報処理システム、情報処理方法
CN117459320B (zh) 数据的访问控制方法和装置
CN111324799B (zh) 搜索请求的处理方法及装置
CN109711193B (zh) 一种存储空间的共享方法和装置
CN117251837A (zh) 一种***接入方法、装置、电子设备及存储介质
CN111538566A (zh) 镜像文件处理方法、装置、***、电子设备及存储介质
CN107018140B (zh) 一种权限控制方法和***
CN113467823B (zh) 一种配置信息的获取方法、装置、***及存储介质
CN115733666A (zh) 一种密码管理方法、装置、电子设备及可读存储介质
CN112468356B (zh) 路由器接口测试方法、装置、电子设备和存储介质
CN114417397A (zh) 行为画像的构建方法、装置、存储介质及计算机设备
CN111953637B (zh) 一种应用服务方法与装置
CN111242778B (zh) 数据处理方法、装置、计算机设备和存储介质
CN107562420B (zh) 一种Linux环境网络接口结构体内存处理方法及装置
CN112311716A (zh) 一种基于openstack的数据访问控制方法、装置及服务器
CN112507254B (zh) 一种应用程序授权方法及装置
CN115150141B (zh) 一种单点登录方法以及单点管理设备
CN116961993A (zh) 服务配置方法、***、设备及介质
CN115408701B (zh) 人工智能与大数据结合的数据资产漏洞分析方法及***
CN114168994A (zh) 数据处理方法及***
CN116954823A (zh) 权限管理方法、装置、电子设备、存储介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant