一種用于訪問控制的方法、設備與系統的制作方法
【專利摘要】本發明的目的是提供一種用于訪問控制的方法、設備與系統。本發明通過基于訪問請求中主體與客體的安全角色類型以及安全等級,來確定與該訪問請求相對應的操作信息。與現有技術相比,本發明通過實施基于角色的多等級模型,在基于角色的強制訪問控制的基礎上增加分等級角色,解決了當同一角色用戶過多時,僅基于角色的強制訪問控制無法滿足要求的問題,有效地同時保證保密性和完整性,相比較傳統的BLP、RBAC模型更適應現代社會多元化的要求。
【專利說明】
一種用于訪問控制的方法、設備與系統
技術領域
[0001]本發明涉及信息安全技術領域,尤其涉及一種用于訪問控制的技術。
【背景技術】
[0002]隨著計算機技術和網絡的飛速發展,人們對計算機的使用也愈加頻繁、使用范圍愈加廣泛,如通過計算機進行交流、娛樂、休閑等。然而,對計算機的依賴也為使用者的信息安全帶來了威脅。
[0003 ]訪問控制,就是控制主體對系統中資源的訪問。訪問控制三個要素:主體(Subject),指一個提出請求或要求的實體,是訪問操作的主動發起者;客體(Object),接受其他實體訪問的被動實體;控制策略,是指主體對客體的操作行為集和約束條件集。
[0004]信息安全的三元組:保密性(Confidentiality),是指確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體;可用性(Availability),確保授權用戶或實體對信息及資源的正常使用不被異常拒絕,允許其可靠而及時地訪問信息;完整性(Integrity),確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改,同時還要防止授權用戶對系統及信息進行不恰當的篡改,保持信息內、外部表示的一致性。
[0005]強制訪問控制中,信息分成等級和類,主體與客體都被標記了固定的安全屬性(SP安全標記)。系統中所有對象必須遵循強制訪問控制,在每次訪問發生時,系統檢測安全屬性以確定主體是否有權訪問客體,保證每個用戶只能訪問被標明可以訪問的信息系統。
[0006]常見的強制訪問控制模型一般包括以下兩類:
[0007]Bell-Lapadula模型(BLP模型),主要用于保證信息的保密性,防止保密信息被未授權的主體訪問。依照信息的保密性設置級別(絕密,機密,秘密等)。特征是“下讀上寫”,即主體可以讀安全級別比他低或相等的客體,可以寫安全級別比他高或相等的客體。
[0008]Biba模型,用于解決應用程序數據的完整性問題。依照信息的完整性設置級別(高完整性、中完整性、低完整性)。特征與BLP相反,為“上讀下寫”,即主體可以讀安全級別高于他的客體,可以寫安全級別低于他的客體。
[0009]Be 11-Lapadula和Biba模型雖然適用于不同的領域,但Be I Ι-Lapadula模型和Biba模型在實際的運用中都存在一定的局限性,保證完整性就不能保證保密性,而保證了保密性完整性又可能遭到破壞,因此兩者均無法兼具保密性與完整性。
【發明內容】
[0010]本發明的目的是提供一種用于訪問控制的方法、設備與系統。
[0011]根據本發明的一個方面,提供了一種在第一設備端用于訪問控制的方法,其中,該方法包括以下步驟:
[0012]X獲取與系統內的各類對象相對應的安全角色類型以及安全等級;
[0013]其中,該方法還包括以下步驟:
[0014]a獲取主體對客體的訪問請求,其中,所述主體與客體屬于所述系統內的對象;
[0015]b根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0016]優選地,所述步驟b包括:
[0017]-基于所述客體所對應的類別,根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0018]優選地,所述步驟b包括:
[0019]-確定所述主體與所述客體所對應的安全角色類型是否相同;
[0020]-若所述主體與所述客體所對應的安全角色類型相同,則基于所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0021]優選地,所述確定與所述訪問請求相對應的操作信息的步驟包括以下至少任一項:
[0022]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體與所述客體所對應的安全等級相同,則所述主體對所述客體可執行任意操作;
[0023]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級高于所述客體所對應的安全等級,則所述主體對所述客體可執行只讀操作;
[0024]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級低于所述客體所對應的安全等級,則所述主體對所述客體不可執行任何操作。
[0025]優選地,該方法還包括以下步驟:
[0026]-根據系統內的各類對象的歷史記錄信息,確定或調整與所述對象相對應的安全角色類型以及安全等級。
[0027]更優選地,所述歷史記錄信息包括以下至少任一項:
[0028]-所述主體的操作歷史記錄;
[0029]-所述客體的被操作歷史記錄。
[0030]優選地,該方法還包括以下步驟:
[0031 ]-獲取第二設備端所發送的訪問控制設置規則;
[0032]其中,所述步驟X包括:
[0033]-根據所述訪問控制設置規則,確定與系統內的各類對象相對應的安全角色類型以及安全等級。
[0034]更優選地,所述步驟b包括:
[0035]-根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,基于所述訪問控制設置規則,確定與所述訪問請求相對應的操作信息。
[0036]根據本發明的另一方面,還提供了一種用于訪問控制的第一設備,其中,該設備包括:
[0037]安全獲取裝置,用于獲取與系統內的各類對象相對應的安全角色類型以及安全等級;
[0038]其中,該設備還包括:
[0039]請求獲取裝置,用于獲取主體對客體的訪問請求,其中,所述主體與客體屬于所述系統內的對象;
[0040]確定裝置,用于根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0041]優選地,所述確定裝置用于:
[0042]-基于所述客體所對應的類別,根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0043]優選地,所述確定裝置包括:
[0044]類型確定單元,用于確定所述主體與所述客體所對應的安全角色類型是否相同;
[0045]確定單元,用于若所述主體與所述客體所對應的安全角色類型相同,則基于所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0046]優選地,所述確定單元用于以下至少任一項:
[0047]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體與所述客體所對應的安全等級相同,則所述主體對所述客體可執行任意操作;
[0048]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級高于所述客體所對應的安全等級,則所述主體對所述客體可執行只讀操作;
[0049]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級低于所述客體所對應的安全等級,則所述主體對所述客體不可執行任何操作。
[0050]優選地,該設備還包括:
[0051 ]調整裝置,用于根據系統內的各類對象的歷史記錄信息,確定或調整與所述對象相對應的安全角色類型以及安全等級。
[0052]更優選地,所述歷史記錄信息包括以下至少任一項:
[0053]-所述主體的操作歷史記錄;
[0054]-所述客體的被操作歷史記錄。
[0055]優選地,該設備還包括:
[0056]規則獲取裝置,用于獲取第二設備端所發送的訪問控制設置規則;
[0057]其中,所述安全獲取裝置用于:
[0058]-根據所述訪問控制設置規則,確定與系統內的各類對象相對應的安全角色類型以及安全等級。
[0059]更優選地,所述確定裝置用于:
[0060]-根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,基于所述訪問控制設置規則,確定與所述訪問請求相對應的操作信息。
[0061]根據本發明的再一方面,還提供了一種用于訪問控制的系統,其中,所述系統包括如上述所述的第一設備,以及第二設備,其中,所述第二設備將訪問控制設置規則發送至所述第一設備。
[0062]與現有技術相比,本發明通過基于訪問請求中主體與客體的安全角色類型以及安全等級,來確定與該訪問請求相對應的操作信息,從而通過實施基于角色的多等級模型,在基于角色的強制訪問控制的基礎上增加分等級角色,解決了當同一角色用戶過多時,僅基于角色的強制訪問控制無法滿足要求的問題,有效地同時保證保密性和完整性,相比較傳統的BLP、RBAC模型更適應現代社會多元化的要求。
[0063]而且,本發明還可以基于所述客體所對應的類別,根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息;從而對不同類型的客體所能執行的操作進行限制,同時保證了保密性和完整性。
[0064]而且,本發明還可以根據系統內的各類對象的歷史記錄信息,確定或調整與所述對象相對應的安全角色類型以及安全等級;從而實時地和/或自動地調整與所述對象相對應的安全角色類型以及安全等級,在降低用戶設置操作的基礎上,實時保證系統內訪問控制的安全性,從而有效地同時保證保密性和完整性。
[0065]而且,本發明還可以從第二設備處獲取訪問控制設置規則,根據所述訪問控制設置規則,確定與系統內的各類對象相對應的安全角色類型以及安全等級;進一步地,根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,基于所述訪問控制設置規則,確定與所述訪問請求相對應的操作信息;從而由第二設備端對一個或多個第一設備端的訪問控制設置規則進行統一控制,便于訪問控制系統的管理。
【附圖說明】
[0066]通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述,本發明的其它特征、目的和優點將會變得更明顯:
[0067]圖1示出根據本發明的一個優選實施例的一種系統邏輯架構示意圖;
[0068]圖2示出根據本發明一個方面的一種用于訪問控制的第一設備示意圖;
[0069]圖3示出根據本發明另一個方面的一種用于訪問控制的方法流程圖;
[0070]圖4示出利用現有強制訪問控制模型的訪問控制示意圖;
[0071]圖5示出根據本發明一個優選實施例的一種利用本發明的訪問控制模型的訪問控制不意圖。
[0072]附圖中相同或相似的附圖標記代表相同或相似的部件。
【具體實施方式】
[0073]在更加詳細地討論示例性實施例之前應當提到的是,一些示例性實施例被描述成作為流程圖描繪的處理或方法。雖然流程圖將各項操作描述成順序的處理,但是其中的許多操作可以被并行地、并發地或者同時實施。此外,各項操作的順序可以被重新安排。當其操作完成時所述處理可以被終止,但是還可以具有未包括在附圖中的附加步驟。所述處理可以對應于方法、函數、規程、子例程、子程序等等。
[0074]在上下文中所稱“第一設備”和/或“第二設備”,均可包括以下所述的“計算機設備”。所述計算機設備,也稱為“電腦”,是指可以通過運行預定程序或指令來執行數值計算和/或邏輯計算等預定處理過程的智能電子設備,其可以包括處理器與存儲器,由處理器執行在存儲器中預存的存續指令來執行預定處理過程,或是由ASIC、FPGA、DSP等硬件執行預定處理過程,或是由上述二者組合來實現。計算機設備包括但不限于服務器、個人電腦、筆記本電腦、平板電腦、智能手機等。
[0075]所述計算機設備包括用戶設備與網絡設備。其中,所述用戶設備包括但不限于電腦、智能手機、PDA等;所述網絡設備包括但不限于單個網絡服務器、多個網絡服務器組成的服務器組或基于云計算(Cloud Computing)的由大量計算機或網絡服務器構成的云,其中,云計算是分布式計算的一種,由一群松散耦合的計算機集組成的一個超級虛擬計算機。其中,所述計算機設備可單獨運行來實現本發明,也可接入網絡并通過與網絡中的其他計算機設備的交互操作來實現本發明。其中,所述計算機設備所處的網絡包括但不限于互聯網、廣域網、城域網、局域網、VPN網絡等。
[0076]需要說明的是,所述用戶設備、網絡設備和網絡等僅為舉例,其他現有的或今后可能出現的計算機設備或網絡如可適用于本發明,也應包含在本發明保護范圍以內,并以引用方式包含于此。
[0077]這里所公開的具體結構和功能細節僅僅是代表性的,并且是用于描述本發明的示例性實施例的目的。但是本發明可以通過許多替換形式來具體實現,并且不應當被解釋成僅僅受限于這里所闡述的實施例。
[0078]應當理解的是,雖然在這里可能使用了術語“第一”、“第二”等等來描述各個單元,但是這些單元不應當受這些術語限制。使用這些術語僅僅是為了將一個單元與另一個單元進行區分。舉例來說,在不背離示例性實施例的范圍的情況下,第一單元可以被稱為第二單元,并且類似地第二單元可以被稱為第一單元。這里所使用的術語“和/或”包括其中一個或更多所列出的相關聯項目的任意和所有組合。
[0079]這里所使用的術語僅僅是為了描述具體實施例而不意圖限制示例性實施例。除非上下文明確地另有所指,否則這里所使用的單數形式“一個”、“一項”還意圖包括復數。還應當理解的是,這里所使用的術語“包括”和/或“包含”規定所陳述的特征、整數、步驟、操作、單元和/或組件的存在,而不排除存在或添加一個或更多其他特征、整數、步驟、操作、單元、組件和/或其組合。
[0080]還應當提到的是,在一些替換實現方式中,所提到的功能/動作可以按照不同于附圖中標示的順序發生。舉例來說,取決于所涉及的功能/動作,相繼示出的兩幅圖實際上可以基本上同時執行或者有時可以按照相反的順序來執行。
[0081]下面結合附圖對本發明作進一步詳細描述。
[0082]圖1示出根據本發明的一個優選實施例的一種系統邏輯架構示意圖。
[0083]其中,該系統可包括一個或多個第一設備以及一個或多個第二設備。為簡便描述,在此,圖1以三個第一設備與一個第二設備為例進行說明。本領域技術人員應能理解,包含其他的設備數量的系統邏輯架構同樣適用于本發明,并包含在本發明的保護范圍中。
[0084]其中,所述第一設備為用于執行訪問控制的客戶端設備,或稱代理端設備;所述第一設備可以直接是被保護的電腦,也可以與被保護的電腦通過各類連接方式相連接,以對被保護的電腦實行訪問控制,從而進行保護。所述第一設備可接受所述第二設備的各種命令,以實施系統信息的權限分配,如對系統內各類對象相對應的安全角色類型和/或安全等級的權限分配等。
[0085]在此,本領域技術人員應能理解,所述第一設備可以通過與所述第二設備相交互的方式,來獲取系統信息的權限分配;也可以直接自行確定系統信息的權限分配。當所述第一設備自行確定系統信息的權限分配時,該系統邏輯架構中可以不包含第二設備。
[0086]所述第二設備與一個或多個第一設備通過各類方式相連接,如物理連接或無線連接等,以向所述第一設備發送各類命令。
[0087]所述第一設備可以包含一個或多個數據庫,或與其他外部數據庫相連接,以在所述數據庫中保存該系統內各類對象相對應的安全角色類型和/或安全等級的權限分配等信息。在此,本領域技術人員應能理解,圖1所示的數據庫為外部數據庫,而所述第一設備可以直接包含數據庫,從而不再與其他外部數據庫相相連接,圖1中所示的方式僅為示例,并非對本發明的限制。
[0088]圖2示出根據本發明一個方面的一種用于訪問控制的第一設備示意圖。
[0089]其中,所述第一設備包括安全獲取裝置1、請求獲取裝置2、確定裝置3。具體地,所述安全獲取裝置I獲取與系統內的各類對象相對應的安全角色類型以及安全等級;所述請求獲取裝置2獲取主體對客體的訪問請求,其中,所述主體與客體屬于所述系統內的對象;所述確定裝置3根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0090]所述安全獲取裝置I獲取與系統內的各類對象相對應的安全角色類型以及安全等級。
[0091]具體地,所述安全獲取裝置I可直接基于所述第一設備自行設置的安全角色類型和/或安全等級,通過內部交互以獲取與系統內的各類對象相對應的安全角色類型以及安全等級;或者,所述安全獲取裝置I與其他設備,如第二設備相交互,以獲取其他設備所發送的系統內的各類對象相對應的安全角色類型以及安全等級。
[0092]其中,所述系統包括但不限于由所述第一設備、所述第一設備相關聯的其他設備(如第二設備等)、或其他系統內的設備中的至少任一項所組成的系統。該系統與所述第一設備的訪問控制相關聯。
[0093]所述對象包括但不限于系統中的用戶、文件、進程等。本領域技術人員應能理解,其他系統對象如能適用于本發明,同樣包含在本發明的保護范圍內。
[0094]其中,所述安全角色類型即將系統內的對象分為不同類型來管理信息,對于不同的角色類型,所對應的權限不同。所述安全角色類型可基于所述訪問控制系統的設置而進行設置,本領域技術人員應能理解,不同的訪問控制系統中所設置的安全角色類型可能不同。
[0095]所述安全等級即將系統內的對象分為不同的安全等級來管理信息,對于不同的安全等級,所對應的權項不同。所述安全等級可基于所述訪問控制系統的設置而進行設置,本領域技術人員應能理解,不同的訪問控制系統中所設置的安全等級設置可能不同。
[0096]例如,所述安全角色類型可以包括:安全管理員S0、系統管理員SA、安全用戶MU、一般用戶UX等。所述安全等級可以劃分為N個等級,以標識不同的安全級別,如劃分為7個等級,安全等級7的級別最高,安全等級I的級別最低等。
[0097]其中,以Linux系統為例,安全管理員SO是指以安全管理員賬戶登錄以后su-root成功后的狀態;安全管理員可以進行安全策略的配置管理,安全管理員S07級為最高安全等級,可以具有所有權限,例如,僅SO 7級用戶可以卸載軟件;
[0098]系統管理員SA,是指系統管理員SA在賬戶登錄以后su-root成功后的狀態。系統管理員僅能做系統管理操作,例如增刪改用戶等。
[0099]安全用戶MU,是指可以進行普通安全信息分發操作的用戶。
[0100]一般用戶UX,是指未設置安全屬性的普通用戶。
[0101]本領域技術人員應能理解,其他的安全角色類型和/或安全等級劃分方式同樣適用于本發明,在此不再贅述,并包含在本發明的保護范圍內。
[0102]優選地,所述第一設備還包括規則獲取裝置(未示出),其中,所述規則獲取裝置獲取第二設備端所發送的訪問控制設置規則;所述安全獲取裝置I根據所述訪問控制設置規貝1J,確定與系統內的各類對象相對應的安全角色類型以及安全等級。
[0103]具體地,所述規則獲取裝置通過根據各類通信協議,基于預定的API,與所述第二設備相交互,以獲取所述第二設備端所發送的訪問控制設置規則。其中,所述獲取可以是依據事件觸發的,如當所述第二設備或所述第一設備滿足預定的事件條件、或基于用戶的主動操作而獲取;或者,所述獲取也可以是依據時間觸發的,如周期性地或在預定時間從所述第二設備端處獲取。
[0104]當基于觸發來獲取時,所述觸發可以是所讀第二設備觸發,然后直接將所述訪問控制設置規則發送給所述第一設備;也可以是所述第一設備觸發,然后所述第一設備向所述第二設備發送規則獲取請求,所述第二設備基于該請求來發送所述訪問控制設置規則。例如,所述第二設備可以周期性地主動發送所述訪問控制設置規則至所述第一設備,所述第一設備也可以周期性地向所述第二設備發送規則獲取請求,所述第二設備基于該請求以發送最新的訪問控制設置規則至所述第一設備。
[0105]其中,所述訪問控制設置規則中包括但不限于對系統內各個對象的安全角色類型和/或安全等級的設置規則(如滿足何種條件則將該對象設置為何種安全角色類型和/或安全等級)、各個對象的安全角色類型和/或安全等級的更改規則(如滿足何種條件下則調整該對象的安全角色類型和/或安全等級)等;優選地,所述訪問控制規則中還可以包括安全角色類型和/或安全等級與對應的操作信息的對應關系的設置規則等。
[0106]例如,所述訪問控制設置規則可以包括根據不同的對象類型、創建操作者、創建時間、修改時間、存儲路徑、其他屬性信息等中的一項或多項來確定所述對象所對應的安全角色類型和/或安全等級。
[0107]然后,所述安全獲取裝置I根據所述訪問控制設置規則,對系統內的各個對象進行分析,當某個對象的相應條件(如各類屬性)與該訪問控制設置規則相匹配時,則基于該訪問控制設置規則,將該對象設置為對應的安全角色類型以及安全等級。
[0108]所述請求獲取裝置2獲取主體對客體的訪問請求,其中,所述主體與客體屬于所述系統內的對象。
[0109]具體地,所述請求獲取裝置2通過基于該設備自身的輸入設備,獲取主體對客體的訪問請求;或者,基于各類傳輸協議,通過預定的API,與其他設備相交互,以獲取從其他設備處所發送的主體對客體的訪問請求。
[0110]其中,所述主體與客體屬于所述系統內的對象;一般地,所述主體即為該系統的用戶或可將所述主體視作該系統中的用戶,所述客體即為該系統內的文件或進程等。在此,所述文件為廣義上的文件概念,即一切皆為文件,如命令、網絡、端口等;所述進程同樣為廣義上的進程概念,即為服務等。
[0111]所述訪問請求包括但不限于對客體的各類操作請求,如讀、寫、執行、刪除、修改等。
[0112]所述確定裝置3根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0113]具體地,所述確定裝置3根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,基于預定的訪問控制規則,確定上述安全角色類型與安全等級下,與所述訪問請求相對應的操作信息。
[0114]在此,本領域技術人員應能理解,所述確定裝置3可以基于所述安全角色類型或所述安全等級與操作信息的映射,來直接確定與所述訪問請求相對應的操作信息;例如,當所述主體的安全角色類型為系統管理員SA、安全類型為7級,且所述客體的安全角色類型為一般用戶UX、安全等級為任意級別時,則所述主體對所述客體擁有讀、寫、刪除、執行、進程操作等操作權利。
[0115]或者,所述確定裝置3可通過對主體與客體所對應的安全角色類型或所述安全等級進行比較,基于比較結果,來確定與所述訪問請求相對應的操作信息;例如,當所述主體的安全角色類型為系統管理員SA、安全類型為7級,且所述客體的安全角色類型為安全用戶SA、安全等級為I級時,由于所述主體的安全等級大于所述客體的安全等級,則所述主體對所述客體擁有讀、執行等操作權利。
[0116]優選地,當所述第一設備獲取第二設備端所發送的訪問控制設置規則時,所述確定裝置3根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,基于所述訪問控制設置規則,確定與所述訪問請求相對應的操作信息。
[0117]具體地,所述訪問控制設置規則中還包括安全角色類型和/或安全等級與對應的操作信息的對應關系的設置規則等,因此,所述確定裝置3可基于所述訪問控制設置規則中所預設的映射關系,確定與所述訪問請求相對應的操作信息。
[0118]其中,由于所述第二設備可以同時向所述多個第一設備發送所述訪問控制設置規貝1J,從而對所述訪問控制設置規則進行更新,因此,能夠對多個所述第一設備進行統一管理與設置。
[0119]優選地,所述確定裝置3可以基于所述客體所對應的類別,根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0120]具體地,所述客體的類別包括但不限于文件或進程等。在此,所述文件為廣義上的文件概念,即一切皆為文件,如命令、網絡、端口等;所述進程同樣為廣義上的進程概念,即為服務等。
[0121]當所述客體所對應的類別不同時,即使所述主體與所述客體所對應的安全角色類型、以及所述主體與所述客體所對應的安全等級均相同,所確定的與所述訪問請求相對應的操作信息也不相同。
[0122]例如,當所述客體是文件時,候選操作信息可以是對文件的讀、寫、刪除、執行等;當所述客體是進程時,候選操作信息可以是進程的執行或操作等。
[0123]優選地,所述確定裝置3包括類型確定單元(未示出)以及確定單元(未示出);其中,所述類型確定單元確定所述主體與所述客體所對應的安全角色類型是否相同;若所述主體與所述客體所對應的安全角色類型相同,則所述確定單元基于所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0124]具體地,所述類型確定單元首先確定所述主體與所述客體所對應的安全角色類型是否相同,若所述主體與所述客體所對應的安全角色類型不同,則可拒絕所述主體對所述客體的訪問;或優選地,若所述主體與所述客體所對應的安全角色類型不同,所述確定裝置3可基于其他規則來繼續判斷所述訪問請求所對應的操作信息;例如,僅當所述主體與所述客體所對應的安全角色類型滿足預定的條件(如所述主體為安全管理員SO或所述客體為一般用戶UX)時,才繼續比較所述主體與所述客體的安全等級,否則,則拒絕所述主體對所述客體的訪問。
[0125]而若當所述主體與所述客體所對應的安全角色類型相同時,則所述確定單元則繼續判斷所述主體與所述客體所對應的安全等級,基于所述安全等級的不同,來確定與所述訪問請求相對應的操作信息。
[0126]更優選地,所述確定單元用于以下至少任一項:
[0127]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體與所述客體所對應的安全等級相同,則所述主體對所述客體可執行任意操作:例如,當所述客體是文件時,則允許對文件的讀,寫,執行,刪除等,當所述客體是進程時,則允許進程操作。
[0128]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級高于所述客體所對應的安全等級,則所述主體對所述客體可執行只讀操作;
[0129]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級低于所述客體所對應的安全等級,則所述主體對所述客體不可執行任何操作。
[0130]優選地,所述第一設備還包括調整裝置(未示出),其中,所述調整裝置根據系統內的各類對象的歷史記錄信息,確定或調整與所述對象相對應的安全角色類型以及安全等級。
[0131 ]具體地,所述調整裝置可通過獲取系統記錄,如log文件,來獲取系統內各類對象的歷史記錄信息;優選地,所述歷史記錄信息中包括所述主體的操作歷史記錄(即該主體對客體的操作歷史記錄)和/或所述客體的被操作歷史記錄(即該客體被某主體所操作的被操作歷史記錄),所述操作歷史記錄和/或所述被操作歷史記錄中還包括了如主體與客體的相關信息(類別、安全角色類型、安全等級)、操作時間、操作結果、操作來源等信息。
[0132]所述調整裝置基于所述歷史記錄信息,基于預制的規則或基于機器學習所獲取的規則,判斷所述對象的操作歷史記錄或被操作歷史記錄是否符合安全要求或是否存在安全風險,然后基于上述判定信息,確定或調整與所述對象相對應的安全角色類型以及安全等級。
[0133]例如,若某對象的歷史記錄信息顯示,該對象作為客體時,被某安全等級小于該對象的主體連續頻繁的請求訪問多次,則可調高該客體的安全等級。
[0134]優選地,所述第一設備可以發出提示信息,以使得用戶針對該歷史記錄信息來重新調整系統的控制設置規則等。
[0135]圖3示出根據本發明另一個方面的一種用于訪問控制的方法流程圖。
[0136]具體地,在步驟SI中,所述第一設備獲取與系統內的各類對象相對應的安全角色類型以及安全等級;在步驟S2中,所述第一設備獲取主體對客體的訪問請求,其中,所述主體與客體屬于所述系統內的對象;在步驟S3中,所述第一設備根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0137]在步驟SI中,所述第一設備獲取與系統內的各類對象相對應的安全角色類型以及安全等級。
[0138]具體地,在步驟SI中,所述第一設備可直接基于所述第一設備自行設置的安全角色類型和/或安全等級,通過內部交互以獲取與系統內的各類對象相對應的安全角色類型以及安全等級;或者,在步驟SI中,所述第一設備與其他設備,如第二設備相交互,以獲取其他設備所發送的系統內的各類對象相對應的安全角色類型以及安全等級。
[0139]其中,所述系統包括但不限于由所述第一設備、所述第一設備相關聯的其他設備(如第二設備等)、或其他系統內的設備中的至少任一項所組成的系統。該系統與所述第一設備的訪問控制相關聯。
[0140]所述對象包括但不限于系統中的用戶、文件、進程等。本領域技術人員應能理解,其他系統對象如能適用于本發明,同樣包含在本發明的保護范圍內。
[0141]其中,所述安全角色類型即將系統內的對象分為不同類型來管理信息,對于不同的角色類型,所對應的權限不同。所述安全角色類型可基于所述訪問控制系統的設置而進行設置,本領域技術人員應能理解,不同的訪問控制系統中所設置的安全角色類型可能不同。
[0142]所述安全等級即將系統內的對象分為不同的安全等級來管理信息,對于不同的安全等級,所對應的權項不同。所述安全等級可基于所述訪問控制系統的設置而進行設置,本領域技術人員應能理解,不同的訪問控制系統中所設置的安全等級設置可能不同。
[0143]例如,所述安全角色類型可以包括:安全管理員S0、系統管理員SA、安全用戶MU、一般用戶UX等。所述安全等級可以劃分為N個等級,以標識不同的安全級別,如劃分為7個等級,安全等級7的級別最高,安全等級I的級別最低等。
[0144]其中,以Linux系統為例,安全管理員SO是指以安全管理員賬戶登錄以后su-root成功后的狀態;安全管理員可以進行安全策略的配置管理,安全管理員S07級為最高安全等級,可以具有所有權限,例如,僅SO 7級用戶可以卸載軟件;
[0145]系統管理員SA,是指系統管理員SA在賬戶登錄以后su-root成功后的狀態。系統管理員僅能做系統管理操作,例如增刪改用戶等。
[0146]安全用戶MU,是指可以進行普通安全信息分發操作的用戶。
[0147]—般用戶UX,是指未設置安全屬性的普通用戶。
[0148]本領域技術人員應能理解,其他的安全角色類型和/或安全等級劃分方式同樣適用于本發明,在此不再贅述,并包含在本發明的保護范圍內。
[0149]優選地,所述方法還包括步驟S4(未示出),其中,在步驟S4中,所述第一設備獲取第二設備端所發送的訪問控制設置規則;在步驟SI中,所述第一設備根據所述訪問控制設置規則,確定與系統內的各類對象相對應的安全角色類型以及安全等級。
[0150]具體地,在步驟S4中,所述第一設備通過根據各類通信協議,基于預定的API,與所述第二設備相交互,以獲取所述第二設備端所發送的訪問控制設置規則。其中,所述獲取可以是依據事件觸發的,如當所述第二設備或所述第一設備滿足預定的事件條件、或基于用戶的主動操作而獲取;或者,所述獲取也可以是依據時間觸發的,如周期性地或在預定時間從所述第二設備端處獲取。
[0151]當基于觸發來獲取時,所述觸發可以是所讀第二設備觸發,然后直接將所述訪問控制設置規則發送給所述第一設備;也可以是所述第一設備觸發,然后所述第一設備向所述第二設備發送規則獲取請求,所述第二設備基于該請求來發送所述訪問控制設置規則。例如,所述第二設備可以周期性地主動發送所述訪問控制設置規則至所述第一設備,所述第一設備也可以周期性地向所述第二設備發送規則獲取請求,所述第二設備基于該請求以發送最新的訪問控制設置規則至所述第一設備。
[0152]其中,所述訪問控制設置規則中包括但不限于對系統內各個對象的安全角色類型和/或安全等級的設置規則(如滿足何種條件則將該對象設置為何種安全角色類型和/或安全等級)、各個對象的安全角色類型和/或安全等級的更改規則(如滿足何種條件下則調整該對象的安全角色類型和/或安全等級)等;優選地,所述訪問控制規則中還可以包括安全角色類型和/或安全等級與對應的操作信息的對應關系的設置規則等。
[0153]例如,所述訪問控制設置規則可以包括根據不同的對象類型、創建操作者、創建時間、修改時間、存儲路徑、其他屬性信息等中的一項或多項來確定所述對象所對應的安全角色類型和/或安全等級。
[0154]然后,在步驟SI中,所述第一設備根據所述訪問控制設置規則,對系統內的各個對象進行分析,當某個對象的相應條件(如各類屬性)與該訪問控制設置規則相匹配時,則基于該訪問控制設置規則,將該對象設置為對應的安全角色類型以及安全等級。
[0155]在步驟S2中,所述第一設備獲取主體對客體的訪問請求,其中,所述主體與客體屬于所述系統內的對象。
[0156]具體地,在步驟S2中,所述第一設備通過基于該設備自身的輸入設備,獲取主體對客體的訪問請求;或者,基于各類傳輸協議,通過預定的API,與其他設備相交互,以獲取從其他設備處所發送的主體對客體的訪問請求。
[0157]其中,所述主體與客體屬于所述系統內的對象;一般地,所述主體即為該系統的用戶或可將所述主體視作該系統中的用戶,所述客體即為該系統內的文件或進程等。在此,所述文件為廣義上的文件概念,即一切皆為文件,如命令、網絡、端口等;所述進程同樣為廣義上的進程概念,即為服務等。
[0158]所述訪問請求包括但不限于對客體的各類操作請求,如讀、寫、執行、刪除、修改等。
[0159]在步驟S3中,所述第一設備根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0160]具體地,在步驟S3中,所述第一設備根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,基于預定的訪問控制規則,確定上述安全角色類型與安全等級下,與所述訪問請求相對應的操作信息。
[0161 ]在此,本領域技術人員應能理解,在步驟S3中,所述第一設備可以基于所述安全角色類型或所述安全等級與操作信息的映射,來直接確定與所述訪問請求相對應的操作信息;例如,當所述主體的安全角色類型為系統管理員SA、安全類型為7級,且所述客體的安全角色類型為一般用戶UX、安全等級為任意級別時,則所述主體對所述客體擁有讀、寫、刪除、執行、進程操作等操作權利。
[0162]或者,在步驟S3中,所述第一設備可通過對主體與客體所對應的安全角色類型或所述安全等級進行比較,基于比較結果,來確定與所述訪問請求相對應的操作信息;例如,當所述主體的安全角色類型為系統管理員SA、安全類型為7級,且所述客體的安全角色類型為安全用戶SA、安全等級為I級時,由于所述主體的安全等級大于所述客體的安全等級,則所述主體對所述客體擁有讀、執行等操作權利。
[0163]優選地,當所述第一設備獲取第二設備端所發送的訪問控制設置規則時,在步驟S3中,所述第一設備根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,基于所述訪問控制設置規則,確定與所述訪問請求相對應的操作信息。
[0164]具體地,所述訪問控制設置規則中還包括安全角色類型和/或安全等級與對應的操作信息的對應關系的設置規則等,因此,在步驟S3中,所述第一設備可基于所述訪問控制設置規則中所預設的映射關系,確定與所述訪問請求相對應的操作信息。
[0165]其中,由于所述第二設備可以同時向所述多個第一設備發送所述訪問控制設置規貝1J,從而對所述訪問控制設置規則進行更新,因此,能夠對多個所述第一設備進行統一管理與設置。
[0166]優選地,在步驟S3中,所述第一設備可以基于所述客體所對應的類別,根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0167]具體地,所述客體的類別包括但不限于文件或進程等。在此,所述文件為廣義上的文件概念,即一切皆為文件,如命令、網絡、端口等;所述進程同樣為廣義上的進程概念,即為服務等。
[0168]當所述客體所對應的類別不同時,即使所述主體與所述客體所對應的安全角色類型、以及所述主體與所述客體所對應的安全等級均相同,所確定的與所述訪問請求相對應的操作信息也不相同。
[0169]例如,當所述客體是文件時,候選操作信息可以是對文件的讀、寫、刪除、執行等;當所述客體是進程時,候選操作信息可以是進程的執行或操作等。
[0170]優選地,所述步驟S3包括步驟S31(未示出)以及步驟S32(未示出);其中,在步驟S31中,所述第一設備確定所述主體與所述客體所對應的安全角色類型是否相同;若所述主體與所述客體所對應的安全角色類型相同,則在步驟S32中,所述第一設備基于所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。
[0171]具體地,在步驟S31中,所述第一設備首先確定所述主體與所述客體所對應的安全角色類型是否相同,若所述主體與所述客體所對應的安全角色類型不同,則可拒絕所述主體對所述客體的訪問;或優選地,若所述主體與所述客體所對應的安全角色類型不同,在步驟S3中,所述第一設備可基于其他規則來繼續判斷所述訪問請求所對應的操作信息;例如,僅當所述主體與所述客體所對應的安全角色類型滿足預定的條件(如所述主體為安全管理員SO或所述客體為一般用戶UX)時,才繼續比較所述主體與所述客體的安全等級,否則,則拒絕所述主體對所述客體的訪問。
[0172]而若當所述主體與所述客體所對應的安全角色類型相同時,則在步驟S32中,所述第一設備則繼續判斷所述主體與所述客體所對應的安全等級,基于所述安全等級的不同,來確定與所述訪問請求相對應的操作信息。
[0173]更優選地,在步驟S32中,所述第一設備可執行以下至少任一項:
[0174]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體與所述客體所對應的安全等級相同,則所述主體對所述客體可執行任意操作:例如,當所述客體是文件時,則允許對文件的讀,寫,執行,刪除等,當所述客體是進程時,則允許進程操作。
[0175]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級高于所述客體所對應的安全等級,則所述主體對所述客體可執行只讀操作;
[0176]-若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級低于所述客體所對應的安全等級,則所述主體對所述客體不可執行任何操作。
[0177]優選地,所述方法還包括步驟S5(未示出),其中,在步驟S5中,所述第一設備根據系統內的各類對象的歷史記錄信息,確定或調整與所述對象相對應的安全角色類型以及安全等級。
[0178]具體地,在步驟S5中,所述第一設備可通過獲取系統記錄,如log文件,來獲取系統內各類對象的歷史記錄信息;優選地,所述歷史記錄信息中包括所述主體的操作歷史記錄(即該主體對客體的操作歷史記錄)和/或所述客體的被操作歷史記錄(即該客體被某主體所操作的被操作歷史記錄),所述操作歷史記錄和/或所述被操作歷史記錄中還包括了如主體與客體的相關信息(類別、安全角色類型、安全等級)、操作時間、操作結果、操作來源等信息。
[0179]在步驟S5中,所述第一設備基于所述歷史記錄信息,基于預制的規則或基于機器學習所獲取的規則,判斷所述對象的操作歷史記錄或被操作歷史記錄是否符合安全要求或是否存在安全風險,然后基于上述判定信息,確定或調整與所述對象相對應的安全角色類型以及安全等級。
[0180]例如,若某對象的歷史記錄信息顯示,該對象作為客體時,被某安全等級小于該對象的主體連續頻繁的請求訪問多次,則可調高該客體的安全等級。
[0181]優選地,所述第一設備可以發出提示信息,以使得用戶針對該歷史記錄信息來重新調整系統的控制設置規則等。
[0182]圖4示出利用現有強制訪問控制模型的訪問控制示意圖。
[0183]具體地,用戶發出操作或命令,經過系統訪問后,在內核級進行相應的控制操作,所述控制操作包括文件系統、進程控制、內存控制、硬件界面等。
[0184]圖5示出根據本發明一個優選實施例的一種利用本發明的訪問控制模型的訪問控制不意圖。
[0185]其中,圖5中的MAC,即為Mandatory Access Control,強制訪問控制;DAC,即為Discret1nary Access Control,自主訪問控制。
[0186]具體地,用戶級首先進行數字簽名及認證,然后,用戶發出操作或命令,并進行訪問控制。在所述訪問控制中,通過安全內核進行訪問控制的策略檢查;若檢查通過,則執行系統訪問;若未通過,則直接返回錯誤。
[0187]與圖4相比,若采用圖5以及本發明所述的訪問控制方法,則僅擁有如系統管理員等角色權限,或系統自定義有訪問權限的訪問角色,并不能夠訪問該系統內的全部文件;而是需要當安全角色類型以及安全等級兩種條件均滿足后,才能夠執行相應的訪問,因此,保證了訪問控制的安全性與完整性。
[0188]需要注意的是,本發明可在軟件和/或軟件與硬件的組合體中被實施,例如,可采用專用集成電路(ASIC)、通用目的計算機或任何其他類似硬件設備來實現。在一個實施例中,本發明的軟件程序可以通過處理器執行以實現上文所述步驟或功能。同樣地,本發明的軟件程序(包括相關的數據結構)可以被存儲到計算機可讀記錄介質中,例如,RAM存儲器,磁或光驅動器或軟磁盤及類似設備。另外,本發明的一些步驟或功能可采用硬件來實現,例如,作為與處理器配合從而執行各個步驟或功能的電路。
[0189]另外,本發明的一部分可被應用為計算機程序產品,例如計算機程序指令,當其被計算機執行時,通過該計算機的操作,可以調用或提供根據本發明的方法和/或技術方案。而調用本發明的方法的程序指令,可能被存儲在固定的或可移動的記錄介質中,和/或通過廣播或其他信號承載媒體中的數據流而被傳輸,和/或被存儲在根據所述程序指令運行的計算機設備的工作存儲器中。在此,根據本發明的一個實施例包括一個裝置,該裝置包括用于存儲計算機程序指令的存儲器和用于執行程序指令的處理器,其中,當該計算機程序指令被該處理器執行時,觸發該裝置運行基于前述根據本發明的多個實施例的方法和/或技術方案。
[0190]對于本領域技術人員而言,顯然本發明不限于上述示范性實施例的細節,而且在不背離本發明的精神或基本特征的情況下,能夠以其他的具體形式實現本發明。因此,無論從哪一點來看,均應將實施例看作是示范性的,而且是非限制性的,本發明的范圍由所附權利要求而不是上述說明限定,因此旨在將落在權利要求的等同要件的含義和范圍內的所有變化涵括在本發明內。不應將權利要求中的任何附圖標記視為限制所涉及的權利要求。此夕卜,顯然“包括”一詞不排除其他單元或步驟,單數不排除復數。裝置權利要求中陳述的多個單元或裝置也可以由一個單元或裝置通過軟件或者硬件來實現。第一,第二等詞語用來表示名稱,而并不表示任何特定的順序。
【主權項】
1.一種在第一設備端用于訪問控制的方法,其中,該方法包括以下步驟: X獲取與系統內的各類對象相對應的安全角色類型以及安全等級; 其中,該方法還包括以下步驟: a獲取主體對客體的訪問請求,其中,所述主體與客體屬于所述系統內的對象;b根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。2.根據權利要求1所述的方法,其中,所述步驟b包括: -基于所述客體所對應的類別,根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。3.根據權利要求1或2所述的方法,其中,所述步驟b包括: -確定所述主體與所述客體所對應的安全角色類型是否相同; -若所述主體與所述客體所對應的安全角色類型相同,則基于所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。4.根據權利要求3所述的方法,其中,所述確定與所述訪問請求相對應的操作信息的步驟包括以下至少任一項: -若所述主體與所述客體所對應的安全角色類型相同,且所述主體與所述客體所對應的安全等級相同,則所述主體對所述客體可執行任意操作; -若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級高于所述客體所對應的安全等級,則所述主體對所述客體可執行只讀操作; -若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級低于所述客體所對應的安全等級,則所述主體對所述客體不可執行任何操作。5.根據權利要求1至4中任一項所述的方法,其中,該方法還包括以下步驟: -根據系統內的各類對象的歷史記錄信息,確定或調整與所述對象相對應的安全角色類型以及安全等級。6.根據權利要求5所述的方法,其中,所述歷史記錄信息包括以下至少任一項: -所述主體的操作歷史記錄; -所述客體的被操作歷史記錄。7.根據權利要求1至6中任一項所述的方法,其中,該方法還包括以下步驟: -獲取第二設備端所發送的訪問控制設置規則; 其中,所述步驟X包括: -根據所述訪問控制設置規則,確定與系統內的各類對象相對應的安全角色類型以及安全等級。8.根據權利要求7所述的方法,其中,所述步驟b包括: -根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,基于所述訪問控制設置規則,確定與所述訪問請求相對應的操作信息。9.一種用于訪問控制的第一設備,其中,該設備包括: 安全獲取裝置,用于獲取與系統內的各類對象相對應的安全角色類型以及安全等級; 其中,該設備還包括:請求獲取裝置,用于獲取主體對客體的訪問請求,其中,所述主體與客體屬于所述系統內的對象; 確定裝置,用于根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。10.根據權利要求9所述的第一設備,其中,所述確定裝置用于: -基于所述客體所對應的類別,根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。11.根據權利要求9或10所述的第一設備,其中,所述確定裝置包括: 類型確定單元,用于確定所述主體與所述客體所對應的安全角色類型是否相同; 確定單元,用于若所述主體與所述客體所對應的安全角色類型相同,則基于所述主體與所述客體所對應的安全等級,確定與所述訪問請求相對應的操作信息。12.根據權利要求11所述的第一設備,其中,所述確定單元用于以下至少任一項: -若所述主體與所述客體所對應的安全角色類型相同,且所述主體與所述客體所對應的安全等級相同,則所述主體對所述客體可執行任意操作; -若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級高于所述客體所對應的安全等級,則所述主體對所述客體可執行只讀操作; -若所述主體與所述客體所對應的安全角色類型相同,且所述主體的安全等級低于所述客體所對應的安全等級,則所述主體對所述客體不可執行任何操作。13.根據權利要求9至12中任一項所述的第一設備,其中,該設備還包括: 調整裝置,用于根據系統內的各類對象的歷史記錄信息,確定或調整與所述對象相對應的安全角色類型以及安全等級。14.根據權利要求13所述的第一設備,其中,所述歷史記錄信息包括以下至少任一項: -所述主體的操作歷史記錄; -所述客體的被操作歷史記錄。15.根據權利要求9至14中任一項所述的第一設備,其中,該設備還包括: 規則獲取裝置,用于獲取第二設備端所發送的訪問控制設置規則; 其中,所述安全獲取裝置用于: -根據所述訪問控制設置規則,確定與系統內的各類對象相對應的安全角色類型以及安全等級。16.根據權利要求15所述的第一設備,其中,所述確定裝置用于: -根據所述主體與所述客體所對應的安全角色類型,結合所述主體與所述客體所對應的安全等級,基于所述訪問控制設置規則,確定與所述訪問請求相對應的操作信息。17.—種用于訪問控制的系統,其中,所述系統包括如權利要求9至16中任一項所述的第一設備,以及第二設備,其中,所述第二設備將訪問控制設置規則發送至所述第一設備。
【文檔編號】H04L29/06GK105827645SQ201610327330
【公開日】2016年8月3日
【申請日】2016年5月17日
【發明人】梁繼良, 馬驊, 田昕輝, 夏攀, 竇雯
【申請人】北京優炫軟件股份有限公司