[发明专利]一种访问控制方法、装置、设备及机器可读存储介质

说明书

本公开提供一种访问控制方法、装置、设备及机器可读存储介质，该方法包括：接收客户端发送的用户的访问请求，认证所述用户的合法性；获取合法的用户的角色信息和岗位信息，根据用户的角色信息判断用户是否具有所述访问请求关联的功能权限，根据用户的岗位信息判断用户是否具有所述访问请求关联的数据类别的权限；将具有关联的用户具有相应权限的访问请求转发至云平台，并将云平台根据所述访问请求返回的信息转发至客户端。通过本公开的技术方案，根据对应于不同功能权限的角色信息和不同数据类别的岗位信息，定义相对应的用户的访问权限，从而实现对用户权限灵活配置，居中验证和转发用户访问请求的合法性和权限，提高云平台的安全性。

技术领域

本公开涉及通信技术领域，尤其是涉及一种访问控制方法、装置、设备及机器可读存储介质。

背景技术

云平台以强大的并行计算以及分布式存储能力为支撑，为用户提供各种应用与服务。云平台面向多类用户，平台的访问控制系统应为不同类别的用户提供权限控制，资源访问限制，从而使用户更安全地使用平台。访问控制包含主体、客体、控制策略三个要素，主体是指提出访问资源的具体请求，是某一操作动作的发起者，比如用户；客体是被访问资源的实体，比如数据资源；控制策略是主体对客体的相关访问规则集合。

访问控制的主要目的是限制访问主体对客体的访问，保障数据资源在合法范围内得以有效使用和管理。一般的访问控制模型具有决策功能和执行功能，根据访问控制策略规则、上下文信息、主体和客体的信息等执行决策，根据决策结果对访问执行放行、阻断等操作。

一种访问控制策略中采用自主访问。自主访问控制是基于主体的识别来限制对客体的访问，并且判断请求是否符合控制策略，它允许访问权的传递，但传递的权限不好管理，存在不确定的安全隐患。自主访问控制系统中每个节点可以自主地控制其他人对自己数据的访问，每个资源数据对象对应一个访问控制列表ACL，它包括所允许访问的用户和组列表，以及每个用户或组的访问级别。但该方法容易引发安全漏洞，而且访问控制列表的维护性和扩展性能差，权限的授予与回收的灵活性较差。

发明内容

有鉴于此，本公开提供一种访问控制方法、装置及电子设备、机器可读存储介质，以改善上述安全性不足、灵活性不足至少之一的问题。

具体地技术方案如下：

本公开提供了一种访问控制方法，应用于安全设备，所述方法包括：接收客户端发送的用户的访问请求，认证所述用户的合法性；获取合法的用户的角色信息和岗位信息，根据用户的角色信息判断用户是否具有所述访问请求关联的功能权限，根据用户的岗位信息判断用户是否具有所述访问请求关联的数据类别的权限；将具有关联的用户具有相应权限的访问请求转发至云平台，并将云平台根据所述访问请求返回的信息转发至客户端。

作为一种技术方案，所述接收客户端发送的用户的访问请求，认证所述用户的合法性，包括：根据记录的用户的动作记录，生成关联于该用户的信任值，认证信任值大于等于第一阈值的用户为合法用户，所述第一阈值关联于所述用户的角色信息和岗位信息。

作为一种技术方案，包括：认证信任值大于等于第一阈值且小于第二阈值的用户为二次审批用户，对二次审批用户根据预设策略进行二次审批，认证二次审批通过的二次审批用户为合法用户。

作为一种技术方案，所述接收客户端发送的用户的访问请求，包括：接受已登录用户的访问请求，认证所述用户的合法性；所述已登录用户是安全设备根据用户发送的登录请求完成验证后允许登录的用户。

本公开同时提供了一种访问控制装置，应用于安全设备，所述装置包括：账户模块，用于接收客户端发送的用户的访问请求，认证所述用户的合法性；权限模块，用于获取合法的用户的角色信息和岗位信息，根据用户的角色信息判断用户是否具有所述访问请求关联的功能权限，根据用户的岗位信息判断用户是否具有所述访问请求关联的数据类别的权限；转发模块，用于将具有关联的用户具有相应权限的访问请求转发至云平台，并将云平台根据所述访问请求返回的信息转发至客户端。