[发明专利]访问控制方法、装置、计算机设备和计算机可读存储介质

说明书

本发明提供了一种访问控制方法、装置、计算机设备和计算机可读存储介质。该访问控制方法包括：接收访问请求；确定访问请求对应的实体层，其中，实体层包括四个访问实体，分别为访问用户、访问设备、访问代理服务和代理服务设备；针对每个访问实体，获取访问实体的安全评估数据，并根据安全评估数据计算访问实体的安全评估值；根据所有访问实体的安全评估值确定访问请求的安全评估值；以及当访问请求的安全评估值小于安全阈值时，向访问代理服务发送阻隔访问请求的命令。通过本发明能够降低权限判断的复杂性。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种访问控制方法、装置、计算机设备和计算机可读存储介质。

背景技术

传统的访问控制方法，通常基于物理边界，而随着云服务、移动终端以及网络的网站，物理边界已经逐渐趋于瓦解，同时，外部攻击的多样化和内部威胁的加剧的并行发展，基于物理边界的安全措施正在失效。

为了在现有环境下提升访问控制的安全有效性，现有技术提出一种访问控制方法，在该访问控制方法中，访问客体不会直接暴露给访问主体，而是在访问客体与访问主体之间设置可信代理服务，同时提出对访问主体“零信任”的观点，由访问控制服务对可信代理服务接收到的访问请求进行权限判断，实现访问控制。

但是，发明人发现，在进行权限判断时，为了提升访问客体的安全性，需要设置较多的信任评价规则，而且各信任评价负责相互独立没有关联，使得权限判断复杂，因此，提供一种访问控制方法、装置、计算机设备和计算机可读存储介质，以降低权限判断的复杂性，成为本领域亟需解决的技术问题。

发明内容

本发明的目的是提供一种访问控制方法、装置、计算机设备和计算机可读存储介质，用于解决现有技术中的上述技术问题。

一方面，为实现上述目的，本发明提供了一种访问控制方法。

该访问控制方法包括：接收访问请求；确定访问请求对应的实体层，其中，实体层包括四个访问实体，分别为访问用户、访问设备、访问代理服务和代理服务设备；针对每个访问实体，获取访问实体的安全评估数据，并根据安全评估数据计算访问实体的安全评估值；根据所有访问实体的安全评估值确定访问请求的安全评估值；以及当访问请求的安全评估值小于安全阈值时，向访问代理服务发送阻隔访问请求的命令。

进一步地，根据安全评估数据计算访问实体的安全评估值的步骤包括：预置安全评估模型；响应于配置操作，预置安全评估规则；根据安全评估数据和安全评估模型计算访问实体的安全动态值；根据安全评估数据和安全评估规则计算访问实体的安全基准值；当安全动态值大于或等于安全基准值时，确定安全基准值为访问实体的安全评估值，当安全动态值小于安全基准值时，计算安全动态值与第一权重的积得到第一乘积，计算安全基准值和第二权重的积得到第二乘积，计算第一乘积和第二乘积的和得到访问实体的安全评估值。

进一步地，根据所有访问实体的安全评估值确定访问请求的安全评估值的步骤包括：获取访问用户的安全评估值、访问设备的安全评估值、访问代理服务的安全评估值和代理服务设备的安全评估值中的最小值，以得到访问请求的安全评估值。

进一步地，获取访问实体的安全评估数据的步骤包括：获取访问用户的历史访问数据，以得到访问用户的安全评估数据。

进一步地，获取访问实体的安全评估数据的步骤包括：发送数据请求至数据采集服务，其中，数据采集服务用于采集访问设备的运行状态参数；接收数据采集服务上传的运行状态参数，以得到访问设备的安全评估数据。

进一步地，获取访问实体的安全评估数据的步骤包括：获取访问代理服务接收到的历史访问请求和对应的历史访问应答；解析历史访问请求和历史访问应答，以得到访问代理服务的安全评估数据。

进一步地，获取访问实体的安全评估数据的步骤包括：采集代理服务设备的运行状态参数，以得到代理服务设备的安全评估数据。