一种对象访问的控制方法和装置
技术领域
本申请涉及计算机领域,尤其涉及一种对象访问的控制方法和装置。
背景技术
在可信计算领域,由可信管理服务器为各个终端配置控制策略来控制终端上的对象的访问操作。目前的配置方式是由可信管理服务器针对不同的终端分别逐项选择配置的内容配置给各个终端,这种方式的配置效率较低。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供了一种对象访问的控制方法和装置,以至少解决相关技术中对象访问策略的配置效率较低的技术问题。
根据本申请实施例的一个方面,提供了一种对象访问的控制方法,包括:
接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标控制策略,所述目标控制策略用于指示对访问目标对象的行为所进行的控制操作,所述目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的所述目标对象的第一访问日志进行学习的过程,所述第一访问日志包括对所述目标对象的访问行为所进行的控制操作;
响应所述策略获取指示从所述可信管理服务器获取所述目标控制策略;
向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标控制策略在所述第一终端上确认生效;
执行所述目标控制策略在所述第一终端上对访问所述目标对象的行为进行控制。
可选地,使用所述目标控制策略在所述第一终端上对访问所述目标对象的操作进行控制包括:
截获在所述第一终端上执行的目标访问行为;
确定所述第一终端是否处于策略学习模式;
在确定所述第一终端处于策略学习模式的情况下,将所述目标访问行为与所述目标控制策略进行匹配,得到第一匹配结果;
根据所述第一匹配结果生成第二访问日志;
上报所述第二访问日志,并放行所述目标访问行为。
可选地,确定所述第一终端是否处于策略学习模式包括:
接收启动指示,其中,所述启动指示用于指示所述第一终端启动第二策略学习过程;
响应所述启动指示启动所述第二策略学习过程,并确定所述第一终端处于所述策略学习模式;
在接收到关闭指示的情况下,关闭所述第二策略学习过程,并确定所述第一终端未处于所述策略学习模式。
可选地,在确定所述第一终端是否处于策略学习模式之后,所述方法还包括:
在确定所述第一终端未处于所述策略学习模式下的情况下,将所述目标访问行为与所述目标控制策略进行匹配,得到第二匹配结果;
根据所述第二匹配结果控制所述目标访问行为。
可选地,根据所述第二匹配结果控制所述目标访问行为包括:
在所述目标访问行为与属于第一类型的控制策略匹配,或者,所述目标访问行为与属于第二类型的控制策略不匹配的情况下,放行所述目标访问行为,其中,所述属于第一类型的控制策略用于指示对目标对象具有访问特权的访问端,所述属于第二类型的控制策略用于防止对所述目标对象进行篡改;
在所述目标访问行为与所述属于第二类型的策略匹配的情况下,拦截所述目标访问行为;
生成审计日志,其中,所述审计日志用于记录所述目标访问行为匹配到的控制策略和对所述目标访问行为执行的操作;
向所述可信管理服务器上报所述审计日志。
可选地,将所述目标访问行为与所述目标控制策略进行匹配,得到所述第二匹配结果包括:
将所述目标控制策略与策略缓存库中存储的策略进行匹配,其中,所述策略缓存库用于记录具有对应关系的历史控制策略和执行结果,所述历史控制策略是在所述第一终端上执行过的控制策略;
在匹配到目标历史控制策略的情况下,按照所述目标历史控制策略对应的执行结果对所述目标访问行为进行处理;
在未匹配到所述目标历史控制策略的情况下,将所述目标访问行为与所述目标控制策略进行匹配,得到所述第二匹配结果。
可选地,将所述目标访问行为与所述目标控制策略进行匹配包括:
在所述目标控制策略包括属于第一类型的控制策略的情况下,将所述目标访问行为与所述属于第一类型的控制策略进行匹配,其中,所述属于第一类型的控制策略用于指示对目标对象具有访问特权的访问端;
在所述目标访问行为与所述属于第一类型的控制策略不匹配,或者,所述目标控制策略不包括所述属于第一类型的控制策略的情况下,将所述目标访问行为与属于第二类型的控制策略进行匹配,其中,所述属于第二类型的控制策略用于防止对所述目标对象进行篡改。
根据本申请实施例的另一方面,还提供了一种对象访问的控制装置,包括:
第一接收模块,用于接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标控制策略,所述目标控制策略用于指示对访问目标对象的行为所进行的控制操作,所述目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的所述目标对象的第一访问日志进行学习的过程,所述第一访问日志包括对所述目标对象的访问行为所进行的控制操作;
获取模块,用于响应所述策略获取指示从所述可信管理服务器获取所述目标控制策略;
发送模块,用于向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标控制策略在所述第一终端上确认生效;
第一控制模块,用于执行所述目标控制策略在所述第一终端上对访问所述目标对象的行为进行控制。
根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的方法。
根据本申请实施例的另一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器通过计算机程序执行上述的方法。
在本申请实施例中,采用接收策略获取指示,其中,策略获取指示用于指示第一终端从可信管理服务器获取目标控制策略,目标控制策略用于指示对访问目标对象的行为所进行的控制操作,目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,第一策略学习过程为对第二终端上的目标对象的第一访问日志进行学习的过程,第一访问日志包括对目标对象的访问行为所进行的控制操作;响应策略获取指示从可信管理服务器获取目标控制策略;向可信管理服务器发送策略生效信息,其中,策略生效信息用于指示目标控制策略在第一终端上确认生效;执行目标控制策略在第一终端上对访问目标对象的行为进行控制的方式,通过在第二终端上执行的用于对所述第二终端上的所述目标对象的控制策略进行学习的第一策略学习过程生成目标控制策略,将目标控制策略配置给除第二终端之外的第一终端,使得目标控制策略在第一终端上生效后,第一终端能够通过执行目标控制策略对访问目标对象的行为进行控制,避免了选择控制策略时的重复操作,达到了快速配置对象访问的控制策略的目的,从而实现了提高对象访问策略的配置效率的技术效果,进而解决了相关技术中对象访问策略的配置效率较低的技术问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请实施例的对象访问的控制方法的硬件环境的示意图;
图2是根据本申请实施例的一种可选的对象访问的控制方法的流程图;
图3是根据本申请可选的实施方式的一种控制策略生效过程的示意图;
图4是根据本申请可选的实施方式的一种策略学习过程的示意图;
图5是根据本申请可选的实施方式的一种访问行为的处理过程的示意图;
图6是根据本申请实施例的另一种可选的对象访问策略的配置方法的流程图;
图7是根据本申请可选的实施方式的一种策略模板的配置过程的示意图;
图8是根据本申请实施例的一种访问日志的备份过程的示意图;
图9是根据本申请可选的实施方式的另一种策略模板的配置过程的示意图;
图10是根据本申请实施例的一种可选的对象访问的控制装置的示意图;
图11是根据本申请实施例的一种终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
可选地,在本实施例中,图1是根据本申请实施例的对象访问的控制方法的硬件环境的示意图,上述对象访问的控制方法可以应用于如图1所示的由终端101和服务器103所构成的硬件环境中。如图1所示,服务器103通过网络与终端101进行连接,可用于为终端或终端上安装的客户端提供服务(如游戏服务、应用服务等),可在服务器上或独立于服务器设置数据库,用于为服务器103提供数据存储服务,上述网络包括但不限于:广域网、城域网或局域网,服务器103可以但不限于作为管理中心用于对终端101上的对象访问控制策略进行管理,包括:配置、删改、启动、关闭等等,终端101并不限定于PC、手机、平板电脑等。本申请实施例的对象访问的控制方法可以由服务器103来执行,也可以由终端101来执行,还可以是由服务器103和终端101共同执行。其中,终端101执行本申请实施例的对象访问的控制方法也可以是由安装在其上的客户端来执行。
根据本申请实施例的一方面,提供了一种对象访问的控制的方法实施例。图2是根据本申请实施例的一种可选的对象访问的控制方法的流程图,如图2所示,该方法可以包括以下步骤:
步骤S202,接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标控制策略,所述目标控制策略用于指示对访问目标对象的行为所进行的控制操作,所述目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的所述目标对象的第一访问日志进行学习的过程,所述第一访问日志包括对所述目标对象的访问行为所进行的控制操作;
步骤S204,响应所述策略获取指示从所述可信管理服务器获取所述目标控制策略;
步骤S206,向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标控制策略在所述第一终端上确认生效;
步骤S208,执行所述目标控制策略在所述第一终端上对访问所述目标对象的行为进行控制。
通过上述步骤S202至步骤S208,通过在第二终端上执行的用于对所述第二终端上的所述目标对象的控制策略进行学习的第一策略学习过程生成目标控制策略,将目标控制策略配置给除第二终端之外的第一终端,使得目标控制策略在第一终端上生效后,第一终端能够通过执行目标控制策略对访问目标对象的行为进行控制,避免了选择控制策略时的重复操作,达到了快速配置对象访问的控制策略的目的,从而实现了提高对象访问策略的配置效率的技术效果,进而解决了相关技术中对象访问策略的配置效率较低的技术问题。
可选地,在本实施例中,上述对象访问的控制的方法可以但不限于由上述终端101执行。对于终端101来说,服务器103作为管理中心可以为其提供对象访问控制策略的管理服务,终端101也可以作为服务器为其他终端提供服务,比如:多媒体播放服务,多媒体制作服务,直播服务,游戏服务,购物服务,金融理财服务等等。终端101也可以但不限于包括手机,平板,智能穿戴设备,智能家居设备,PC等等。
在步骤S202提供的技术方案中,上述目标对象可以但不限于包括:文件、文件夹、数据包(比如:网络数据包、本地数据包)、应用、小程序等等。
可选地,在本实施例中,目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,第一策略学习过程为对第二终端上的目标对象的第一访问日志进行学习的过程,第一访问日志包括对目标对象的访问行为所进行的控制操作。在第二终端上执行第一策略学习过程来对第二终端上的目标对象的第一访问日志进行学习时,能够在可信管理服务器生成第一策略学习过程对应的策略模板,可信管理服务器可以使用该策略模板为其他终端配置对应的目标控制策略。生成的目标控制策略能够配置给第二终端之外的其他终端,比如第一终端,使得第一终端能够对访问目标对象的操作进行控制。
可选地,在本实施例中,第一终端可以但不限于通过心跳的方式得到策略获取指示的通知。
在步骤S204提供的技术方案中,第一终端接收到策略获取指示,得知其需要获取的目标控制策略后,可以但不限于以发送请求的方式从可信管理服务器获取目标控制策略。比如:第一终端向可信管理服务器发送请求以向可信管理服务器请求目标控制策略,可信管理服务器响应第一终端的请求向第一终端提供目标控制策略,第一终端从而获取到目标控制策略。
在步骤S206提供的技术方案中,第一终端从可信管理服务器获取到目标控制策略后,第一终端向可信管理服务器发送用于指示目标控制策略在第一终端上确认生效的策略生效信息,以使可信管理服务器得知目标控制策略以在第一终端上生效。
可选地,在本实施例中,第一终端上的目标控制策略生效后,还可以将第二访问日志上传至可信管理服务器。
在步骤S208提供的技术方案中,第一终端可以通过执行目标控制策略对访问目标对象的行为进行控制,访问目标对象的行为可以但不限于包括:读写行为(读取、写入等操作)、删改行为(删除、修改等操作)、查询行为等等。
在一个可选的实施方式中,提供了一种控制策略在终端上生效的方式,图3是根据本申请可选的实施方式的一种控制策略生效过程的示意图,如图3所示,管理中心(相当于上述可信管理服务器)下发控制策略到终端上安装的代理程序,代理程序负责策略的存储和重启恢复,同时代理程序也会处理来自终端管理界面的策略,然后把收到的控制策略等发送到Xbase服务程序,Xbase程序解析策略格式,最后配置到内核来执行。
作为一种可选的实施例,执行所述目标控制策略在所述第一终端上对访问所述目标对象的行为进行控制包括:
S11,截获在所述第一终端上执行的目标访问行为;
S12,确定所述第一终端是否处于策略学习模式;
S13,在确定所述第一终端处于策略学习模式的情况下,将所述目标访问行为与所述目标控制策略进行匹配,得到第一匹配结果;
S14,根据所述第一匹配结果生成第二访问日志;
S15,上报所述第二访问日志,并放行所述目标访问行为。
可选地,在本实施例中,在第一终端处于不同的模式下,对截获的目标访问行为执行不同的操作,如果第一终端处于策略学习模式,则将目标访问行为与目标控制策略进行匹配,得到第一匹配结果,生成并上报第二访问日志,但第一终端对于截获的目标访问行为不会根据第一匹配结果进行操作控制,而是均执行放行的操作。
可选地,在本实施例中,上述策略学习模式可以但不限于是指文件的访问控制学习模式,终端上执行的学习模式还可以包括:全盘学习模式、网络控制学习模式、白名单学习模式等等。只有确定了第一终端处于文件的访问控制学习模式下,才会对目标访问行为和目标控制策略执行匹配操作,并生成和上报第二访问日志。第一终端在其他的学习模式下可以但不限于执行各自对应的操作,比如:第一终端在全盘学习模式下对目标访问行为直接执行放行操作并生成和上报全盘学习模式的日志。
作为一种可选的实施例,确定所述第一终端是否处于策略学习模式包括:
S21,接收启动指示,其中,所述启动指示用于指示所述第一终端启动第二对象的第二策略学习过程;
S22,响应所述启动指示启动所述第二策略学习过程,并确定所述第一终端处于所述策略学习模式;
S23,在接收到关闭指示的情况下,关闭所述第二策略学习过程,并确定所述第一终端未处于所述策略学习模式。
可选地,在本实施例中,第一终端执行第二策略学习过程时相当于第一终端处于策略学习模式。
可选地,在本实施例中,第一终端可以根据可信管理服务器的指示启动或者关闭第二策略学习过程,在第二策略学习过程中产生的第二访问日志会被第一终端上传到可信管理服务器上,可信管理服务器可以利用这些第二访问日志生成策略模板用于为其他终端配置控制策略。
可选地,在本实施例中,第二策略学习过程可以但不限于是对目标控制策略进行学习的过程,第一终端在第二策略学习过程中处于访问控制的学习状态,在访问控制的学习状态下,第一终端可以对截获的目标访问行为均执行放行的操作,并根据不同的第一匹配结果来选择是否上报第二访问日志。比如:如果第一匹配结果指示了目标访问行为匹配到了目标控制策略,则放行目标访问行为并生成第二访问日志进行上报,如果第一匹配结果指示了目标访问行为未匹配到目标控制策略,则放行目标访问行为但不生成第二访问日志。
作为一种可选的实施例,在确定所述第一终端是否处于策略学习模式之后,还包括:
S31,在确定所述第一终端未处于所述策略学习模式下的情况下,将所述目标访问行为与所述目标控制策略进行匹配,得到第二匹配结果;
S32,根据所述第二匹配结果控制所述目标访问行为。
可选地,在本实施例中,在目标控制策略生效后,第一终端可以使用目标控制策略对第一终端上执行的目标访问行为进行控制,对于从第一终端上截获的目标访问行为,将其与目标控制策略进行匹配,根据第一终端当前的模式以及得到的匹配结果处理目标访问行为,从而实现对目标访问行为的控制。如果第一终端未处于策略学习模式下,则将目标访问行为与目标控制策略进行匹配,得到第二匹配结果,根据第二匹配结果控制目标访问行为,控制方式可以但不限于包括对目标访问行为进行放行或者拦截操作等等。
可选地,在本实施例中,第一终端中运行了一个或者多个进程,这些进程可以被分类为超级进程和普通进程,超级进程可以是实现该对象访问的控制功能的进程,对于从不同类型的进程上截获的目标访问行为可以进行不同的操作,在将所述目标访问行为与所述目标控制策略进行匹配,得到第二匹配结果之前,还可以确定目标访问行为是否来自超级进程,对于来自超级进程的目标访问行为,直接放行,对于来自普通进程的目标访问行为进行目标控制策略的匹配。
作为一种可选的实施例,根据所述第二匹配结果控制所述目标访问行为包括:
S41,在所述目标访问行为与所述属于第一类型的控制策略匹配,或者,所述目标访问行为与所述属于第二类型的控制策略不匹配的情况下,放行所述目标访问行为,其中,所述属于第一类型的控制策略用于指示对目标对象具有访问特权的访问端,所述属于第二类型的控制策略用于防止对所述目标对象进行篡改;
S42,在所述目标访问行为与所述属于第二类型的控制策略匹配的情况下,拦截所述目标访问行为;
S43,生成审计日志,其中,所述审计日志用于记录所述目标访问行为匹配到的控制策略和对所述目标访问行为执行的操作;
S44,向所述可信管理服务器上报所述审计日志。
可选地,在本实施例中,目标访问行为与属于第一类型的控制策略匹配可以认为目标访问行为对目标对象是具有访问特权的,或者,目标访问行为与属于第二类型的控制策略不匹配可以认为无需防止目标访问行为对目标对象进行篡改,对于上述情况下的目标访问行为可以进行放行处理。
可选地,在本实施例中,如果目标访问行为与属于第二类型的控制策略匹配可以认为需要防止目标访问行为对目标对象进行篡改,则对目标访问行为进行拦截,避免其对目标对象进行操作。
可选地,在本实施例中,对于匹配到目标控制策略的目标访问行为可以生成审计日志来记录目标访问行为匹配到的控制策略和对目标访问行为执行的操作,并将审计日志上报给可信管理服务器,可信管理服务器可以根据该审计日志为第一终端或者其他终端继续配置控制策略。
在一个可选的实施方式中,提供了一种策略学习过程,图4是根据本申请可选的实施方式的一种策略学习过程的示意图,如图4所示,在可信管理服务器上对终端进行选择,并输入要保护的目录或文件,可信管理服务器确定终端是否正在学习状态,如果终端不在学习状态,则创建开启学习策略(相当于上述启动指示)并通知终端获取策略,终端开启学习模式并向可信管理服务器发送开启确认,在学习过程中,终端上报学习过程中产生的日志,可信管理服务器采集终端上报的访问日志。学习时间结束后,可信管理服务器选择终端并判断终端是否正在学习状态,如果是,则可信管理服务器创建关闭学习策略(相当于上述关闭指示)并通知终端获取策略,终端获取到关闭学习策略,则关闭学习模式并向可信管理服务器进行关闭确认。学习模式关闭后可以生成策略模板,生成的策略模板允许进行编辑和修改等操作。
可选地,在本可选的实施方式中,可信管理服务器生成的策略、终端上报确认的学习模式的开启状态和关闭状态、终端上报的日志和生成的策略模板均可以写入数据库进行存储。
可选地,在本可选的实施方式中,终端在学习模式下需要处于在线状态,并且没有执行其他的学习任务,如果正在执行其他学习任务(比如:网络学习任务、白名单学习任务、全盘学习任务等)会提示异常。
可选地,在本可选的实施方式中,可以但不限于通过心跳通知终端获取学习模式策略。终端开启学习模式后,向可信管理服务器发送的日志可以标记出日志状态为学习模式状态。
可选地,在本可选的实施方式中,当前终端在学习模式下被设置为学习模式的关闭按钮可点击。终端确认关闭学习模式后,可多次点击生成策略模板。并且生成的策略模板可在线进行编辑和修改。
作为一种可选的实施例,将所述目标访问行为与所述目标控制策略进行匹配,得到所述第二匹配结果包括:
S51,将所述目标控制策略与策略缓存库中存储的策略进行匹配,其中,所述策略缓存库用于记录具有对应关系的历史控制策略和执行结果,所述历史控制策略是在所述第一终端上执行过的控制策略;
S52,在匹配到目标历史控制策略的情况下,按照所述目标历史控制策略对应的执行结果对所述目标访问行为进行处理;
S53,在未匹配到所述目标历史控制策略的情况下,将所述目标访问行为与所述目标控制策略进行匹配,得到所述第二匹配结果。
可选地,在本实施例中,可以建立策略缓存库来记录具有对应关系的历史控制策略和执行结果,历史控制策略是在第一终端上执行过的控制策略。第一终端上每次使用控制策略对读写操作进行控制时,可以将匹配到的控制策略和执行结果记录在策略缓存库中,在使用目标控制策略控制目标访问行为之前,可以首先查看策略缓存库是否记录了相应的控制策略和执行结果的对应关系,如果已经记录,则直接按照策略缓存库中的记录对目标访问行为进行控制,否则再匹配目标控制策略。从而能够起到节省操作时间,提高控制效率的目的。
作为一种可选的实施例,将所述目标访问行为与所述目标控制策略进行匹配包括:
S61,在所述目标控制策略包括属于第一类型的控制策略的情况下,将所述目标访问行为与所述属于第一类型的控制策略进行匹配,其中,所述属于第一类型的控制策略用于指示对目标对象具有访问特权的访问端;
S62,在所述目标访问行为与所述属于第一类型的控制策略不匹配,或者,所述目标控制策略不包括所述属于第一类型的控制策略的情况下,将所述目标访问行为与属于第二类型的控制策略进行匹配,其中,所述属于第二类型的控制策略用于防止对所述目标对象进行篡改。
可选地,在本实施例中,目标控制策略可以分为属于第一类型的控制策略和属于第二类型的控制策略,属于第一类型的控制策略用于指示对第二对象具有访问特权的访问端,属于第二类型的控制策略用于防止对第二对象进行篡改。匹配过程中优先对属于第一类型的控制策略进行匹配,其次对属于第二类型的控制策略进行匹配。
可选地,在本实施例中,目标对象可以但不限于包括目标文件,即目标控制策略用于对目标文件的操作进行控制,控制的方式可以但不限于包括:设置用于指示对目标文件具有访问特权的访问端的属于第一类型的控制策略作为访问白名单,以及,设置用于防止对目标文件进行篡改的属于第二类型的控制策略。
可选地,在本实施例中,属于第二类型的控制策略可以是目标控制策略中一定会包括的,用来对目标对象进行保护,属于第一类型的控制策略可以作为可选项,在目标控制策略中可以包括属于第一类型的控制策略,也可以不包括属于第一类型的控制策略。
可选地,在本实施例中,如果目标控制策略中包括属于第一类型的控制策略,则优先匹配属于第一类型的控制策略,获取匹配结果。如果目标控制策略中不包括属于第一类型的控制策略,或者,目标访问行为与属于第一类型的控制策略不匹配,则继续匹配属于第二类型的控制策略,获取匹配结果。
在一个可选的实施方式中,提供了一种终端对访问行为的处理过程,终端上配置的控制策略可以但不限于由内核来执行,终端中通过维护访问控制策略库来存储控制策略,内核收到策略后会更新访问控制策略库,如果是删除策略,还可以清空缓存库。图5是根据本申请可选的实施方式的一种访问行为的处理过程的示意图,如图5所示,内核截获终端上的访问行为,判断终端是否处于学习模式。
如果终端当前未处于学习模式,内核还可以确定当前的访问行为是否为超级进程(例如:产品本身进程)的访问行为,如果是则直接放行不生成审计。终端可以将曾经执行过的控制策略存储在缓存中,以便后续快速得到策略匹配结果。如果当前的访问行为不是超级进程的访问行为,则判断是否在缓存内,如果是则根据缓存里的结果决定是放行或拦截,最后都要生成审计。如果未在缓存中找到,则优先匹配特权策略,如果匹配中,则更新缓存库,放行当前的访问行为并生成审计。如果特权策略未匹配,则匹配防篡改策略,如果匹配中,则更新缓存库,拦截当前的访问行为并生成审计。如果都未匹配中,则放行当前的访问行为不生成审计。
如果终端当前处于学习模式,则判断是全盘学习状态还是访问控制学习状态,如果是全盘学习状态,则直接放行当前的访问行为并生成审计。如果是访问控制学习状态,则优先匹配特权策略,其次匹配防篡改策略,匹配到任意一种策略,放行当前的访问行为并生成审计;都未匹配中,放行当前的访问行为但不生成审计。
根据本申请实施例的另一方面,还提供了一种对象访问策略的配置的方法实施例。
图6是根据本申请实施例的另一种可选的对象访问策略的配置方法的流程图,如图6所示,该方法可以包括以下步骤:
步骤S602,向第一终端发送策略获取指示,其中,所述策略获取指示用于指示所述第一终端从可信管理服务器获取目标控制策略,所述目标控制策略用于对访问目标对象的操作进行控制,所述目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程用于对所述第二终端上的所述目标对象的控制策略进行学习;
步骤S604,在接收到所述第一终端发送的策略获取请求的情况下,响应所述策略获取请求向所述第一终端发送所述目标控制策略;
步骤S606,接收所述第一终端发送的策略生效信息,其中,所述策略生效信息用于指示所述目标控制策略在所述第一终端上确认生效。
通过上述步骤S602至步骤S606,通过在第二终端上执行的用于对所述第二终端上的所述目标对象的控制策略进行学习的第一策略学习过程生成目标控制策略,将目标控制策略配置给除第二终端之外的第一终端,使得目标控制策略在第一终端上生效后,第一终端能够通过执行目标控制策略对访问目标对象的行为进行控制,避免了选择控制策略时的重复操作,达到了快速配置对象访问的控制策略的目的,从而实现了提高对象访问策略的配置效率的技术效果,进而解决了相关技术中对象访问策略的配置效率较低的技术问题。
可选地,在本实施例中,上述对象访问策略的配置的方法可以但不限于由上述服务器103执行。
在步骤S602提供的技术方案中,上述目标对象可以但不限于包括:文件、文件夹、数据包(比如:网络数据包、本地数据包)、应用、小程序等等。
可选地,在本实施例中,目标控制策略用于对访问目标对象的操作进行控制,访问目标对象的行为可以但不限于包括:读写行为(读取、写入等操作)、删改行为(删除、修改等操作)、查询行为等等。
可选地,在本实施例中,目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,第一策略学习过程为对第二终端上的目标对象的第一访问日志进行学习的过程,第一访问日志包括对目标对象的访问行为所进行的控制操作。在第二终端上执行第一策略学习过程来对第二终端上的目标对象的第一访问日志进行学习时,能够生成第一策略学习过程对应的目标控制策略。生成的目标控制策略能够配置给第二终端之外的其他终端,比如第一终端,使得第一终端能够对访问目标对象的操作进行控制。
可选地,在本实施例中,可信管理服务器可以但不限于通过心跳的方式通知第一终端获取目标控制策略。
在步骤S604提供的技术方案中,第一终端接收到策略获取指示,得知其需要获取的目标控制策略后,可信管理服务器可以但不限于接收第一终端发送的请求的方式为第一终端提供目标控制策略。比如:第一终端向可信管理服务器发送策略获取请求以向可信管理服务器请求目标控制策略,可信管理服务器响应第一终端的策略获取请求向第一终端提供目标控制策略,第一终端从而获取到目标控制策略。
在步骤S606提供的技术方案中,可信管理服务器通过接收第一终端发送的策略生效信息来确认目标控制策略已在第一终端生效。
可选地,在本实施例中,目标控制策略在第一终端上生效后,可信管理服务器还可以采集第一终端上传的第二访问日志和审计日志等等。
作为一种可选的实施例,向第一终端发送策略获取指示包括:
S71,确定一个或者多个终端,其中,所述一个或者多个终端包括所述第一终端;
S72,确定所述一个或者多个终端对应的第一策略模板;
S73,使用所述第一策略模板生成所述目标控制策略;
S74,向所述一个或者多个终端发送所述策略获取指示,其中,所述策略获取指示用于指示所述一个或者多个终端从所述可信管理服务器获取所述目标控制策略。
可选地,在本实施例中,每次配置控制策略的终端和策略模板均可以多选,比如:将目标控制策略配置给多个终端,将多个策略模板配置给一个终端,或者将多个策略模板配置给多个终端等等。
可选地,在本实施例中,所述目标控制策略包括:属于第一类型的控制策略和属于第二类型的控制策略,其中,所述属于第一类型的控制策略用于指示对目标对象具有访问特权的访问端,所述属于第二类型的控制策略用于防止对所述目标对象进行篡改。
可选地,在本实施例中,目标对象可以但不限于包括目标文件,即目标控制策略用于对目标文件的操作进行控制,控制的方式可以但不限于包括:设置用于指示对目标文件具有访问特权的访问端的属于第一类型的控制策略作为访问白名单,以及,设置用于防止对目标文件进行篡改的属于第二类型的控制策略。
可选地,在本实施例中,属于第二类型的控制策略是目标控制策略中一定会包括的,用来对目标对象进行保护,属于第一类型的控制策略可以作为可选项,在目标控制策略中可以包括属于第一类型的控制策略,也可以不包括属于第一类型的控制策略。
作为一种可选的实施例,在向第一终端发送策略获取指示之后,还包括:
S81,向所述第一终端发送启动指示,其中,所述启动指示用于指示所述第一终端启动第二策略学习过程;
S82,获取所述第一终端在所述第二策略学习过程中上报的第二访问日志,其中,所述第二访问日志是使用所述目标控制策略对所述第一终端上执行的目标访问行为进行匹配而生成的;
S83,向所述第一终端发送关闭指示,其中,所述关闭指示用于指示关闭所述第二策略学习过程;
S84,在确认所述第一终端关闭所述第二策略学习过程的情况下,根据所述第二访问日志生成第二策略模板,其中,所述第二策略模板用于生成控制策略。
可选地,在本实施例中,可信管理服务器可以通过控制第一终端执行第二策略学习过程来生成第二策略模板,第二策略模板可以但不限于用于生成控制策略。
可选地,在本实施例中,可信管理服务器可以通过发送指示信息来指示第一终端启动或者关闭第二策略学习过程,可信管理服务器在第一终端执行第二策略学习过程中采集第一终端产生的第二访问日志,从而在可信管理服务器上生成第二策略模板。第一终端执行第二策略学习过程时第一终端处于策略学习模式。
在一个可选的实施方式中,提供了一种策略模板的配置过程,图7是根据本申请可选的实施方式的一种策略模板的配置过程的示意图,如图7所示,在可信管理服务器上选择终端(可多选),并选择策略模板(可多选),可信管理服务器使用选择的策略模板生成控制策略并创建策略获取指示,通过心跳通知终端获取控制策略,响应终端发送的策略获取请求为终端提供控制策略,终端上的策略生效后,接收终端上报的访问日志。选择的控制策略和终端上报的访问日志均可以被写入到数据库中。
可选地,在本实施例中,可信管理服务器可以对获取到的第一终端上报的对所述第二对象执行操作的第二访问日志进行备份。图8是根据本申请实施例的一种访问日志的备份过程的示意图,如图8所示,读取配置文件获取保留日志文件的天数,在保留期限内每日凌晨备份日志,判断内存空间是否充足,如果充足,则将日志备份到本地sql文件。如果内存空间不充足,则定时检测磁盘空间,发起空间警告提示管理员,由管理员手动处理空间。
作为一种可选的实施例,根据所述第二访问日志生成第二策略模板包括:
S91,生成所述第二访问日志对应的对象控制策略;
S92,获取策略模板标识,其中,所述策略模板标识用于唯一标识所述第二策略模板;
S93,生成具有所述策略模板标识和所述对象控制策略的所述第二策略模板。
可选地,在本实施例中,策略模板标识用于唯一标识所述第二策略模板,可以是模板名称、模板编号等形式。
可选地,在本实施例中,对象控制策略可以但不限于包括保护目录或文件。
作为一种可选的实施例,生成具有所述策略模板标识和所述对象控制策略的所述第二策略模板包括:
S101,确定所述策略模板标识与数据库中存储的标识是否重复,以及,所述策略模板标识是否为空;
S102,在所述策略模板标识与数据库中存储的标识不重复,并且,所述策略模板标识不为空的情况下,确定所述对象控制策略与所述数据库中存储的控制策略是否重复;
S103,在确定所述策略模板与所述数据库中存储的控制策略不重复的情况下,生成具有所述策略模板标识和所述对象控制策略的所述第二策略模板。
可选地,在本实施例中,为策略模板配置的模板标识为不重复并且不为空的,以实现对策略模板的唯一标识。
可选地,在本实施例中,生成的第二访问日志对应的对象控制策略为不重复的。
在一个可选的实施方式中,提供了另一种策略模板的配置过程,图9是根据本申请可选的实施方式的另一种策略模板的配置过程的示意图,如图9所示,在可信管理服务器上输入保护目录或文件,并输入策略模板名称,判断策略模板名称是否为空或重复,如果为空或重复,则提示失败,失败原因为名称为空或重复。如果不为空且不重复,则判断保护目标是否重复,如果重复,则提示失败,失败原因为保护目录重复。如果保护目录不重复,则创建文件访问控制策略模板,将策略信息写入数据库。
作为一种可选的实施例,在接收所述第一终端发送的策略生效信息之后,还包括:
S111,获取所述第一终端上报的审计日志,其中,所述审计日志是使用所述目标控制策略对所述第一终端上执行的目标访问行为进行控制而生成的;
S112,存储所述审计日志。
可选地,在本实施例中,可信管理服务器还可以获取第一终端上报的审计日志进行存储,审计日志可以但不限于用来生成策略模板。审计日志是使用目标控制策略对第一终端上执行的目标访问行为进行控制而生成的。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
根据本申请实施例的另一个方面,还提供了一种用于实施上述对象访问的控制方法的对象访问的控制装置。图10是根据本申请实施例的一种可选的对象访问的控制装置的示意图,如图10所示,该装置可以包括:
第一接收模块102,用于接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标控制策略,所述目标控制策略用于指示对访问目标对象的行为所进行的控制操作,所述目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的所述目标对象的第一访问日志进行学习的过程,所述第一访问日志包括对所述目标对象的访问行为所进行的控制操作;
获取模块104,用于响应所述策略获取指示从所述可信管理服务器获取所述目标控制策略;
第一发送模块106,用于向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标控制策略在所述第一终端上确认生效;
第一控制模块108,用于执行所述目标控制策略在所述第一终端上对访问所述目标对象的行为进行控制。
需要说明的是,该实施例中的第一接收模块102可以用于执行本申请实施例中的步骤S202,该实施例中的获取模块104可以用于执行本申请实施例中的步骤S204,该实施例中的第一发送模块106可以用于执行本申请实施例中的步骤S206,该实施例中的第一控制模块108可以用于执行本申请实施例中的步骤S208。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现。
通过上述模块,通过在第二终端上执行的用于对所述第二终端上的所述目标对象的控制策略进行学习的第一策略学习过程生成目标控制策略,将目标控制策略配置给除第二终端之外的第一终端,使得目标控制策略在第一终端上生效后,第一终端能够通过执行目标控制策略对访问目标对象的行为进行控制,避免了选择控制策略时的重复操作,达到了快速配置对象访问的控制策略的目的,从而实现了提高对象访问策略的配置效率的技术效果,进而解决了相关技术中对象访问策略的配置效率较低的技术问题。
作为一种可选的实施例,所述控制模块包括:
截获单元,用于截获在所述第一终端上执行的目标访问行为;
确定单元,用于确定所述第一终端是否处于策略学习模式;
第一匹配单元,用于在确定所述第一终端处于策略学习模式的情况下,将所述目标访问行为与所述目标控制策略进行匹配,得到第一匹配结果;
第一生成单元,用于根据所述第一匹配结果生成第二访问日志;
第一上报单元,用于上报所述第二访问日志,并放行所述目标访问行为。
作为一种可选的实施例,所述确定单元用于:
接收启动指示,其中,所述启动指示用于指示所述第一终端启动第二策略学习过程;
响应所述启动指示启动所述第二策略学习过程,并确定所述第一终端处于所述策略学习模式;
在接收到关闭指示的情况下,关闭所述第二策略学习过程,并确定所述第一终端未处于所述策略学习模式。
作为一种可选的实施例,所述装置还包括:
匹配模块,用于在确定所述第一终端是否处于策略学习模式之后,在确定所述第一终端未处于所述策略学习模式下的情况下,将所述目标访问行为与所述目标控制策略进行匹配,得到第二匹配结果;
第二控制模块,用于根据所述第二匹配结果控制所述目标访问行为。
作为一种可选的实施例,所述第二控制模块包括:
放行单元,用于在所述目标访问行为与属于第一类型的控制策略匹配,或者,所述目标访问行为与属于第二类型的控制策略不匹配的情况下,放行所述目标访问行为,其中,所述属于第一类型的控制策略用于指示对目标对象具有访问特权的访问端,所述目标对象包括所述目标对象,所述属于第二类型的控制策略用于防止对所述目标对象进行篡改;
拦截单元,用于在所述目标访问行为与所述属于第二类型的策略匹配的情况下,拦截所述目标访问行为;
第二生成单元,用于生成审计日志,其中,所述审计日志用于记录所述目标访问行为匹配到的控制策略和对所述目标访问行为执行的操作;
第二上报单元,用于向所述可信管理服务器上报所述审计日志。
作为一种可选的实施例,所述匹配模块包括:
第二匹配单元,用于将所述目标控制策略与策略缓存库中存储的策略进行匹配,其中,所述策略缓存库用于记录具有对应关系的历史控制策略和执行结果,所述历史控制策略是在所述第一终端上执行过的控制策略;
处理单元,用于在匹配到目标历史控制策略的情况下,按照所述目标历史控制策略对应的执行结果对所述目标访问行为进行处理;
第三匹配单元,用于在未匹配到所述目标历史控制策略的情况下,将所述目标访问行为与所述目标控制策略进行匹配,得到所述第二匹配结果。
作为一种可选的实施例,所述第一匹配单元,或者,所述匹配模块用于:
在所述目标控制策略包括属于第一类型的控制策略的情况下,将所述目标访问行为与所述属于第一类型的控制策略进行匹配,其中,所述属于第一类型的控制策略用于指示对目标对象具有访问特权的访问端;
在所述目标访问行为与所述属于第一类型的控制策略不匹配,或者,所述目标控制策略不包括所述属于第一类型的控制策略的情况下,将所述目标访问行为与属于第二类型的控制策略进行匹配,其中,所述属于第二类型的控制策略用于防止对所述目标对象进行篡改。
根据本申请实施例的另一个方面,还提供了一种用于实施上述对象访问的控制方法的服务器或终端。
图11是根据本申请实施例的一种终端的结构框图,如图11所示,该终端可以包括:一个或多个(图中仅示出一个)处理器1101、存储器1103、以及传输装置1105,如图11所示,该终端还可以包括输入输出设备1107。
其中,存储器1103可用于存储软件程序以及模块,如本申请实施例中的对象访问的控制方法和装置对应的程序指令/模块,处理器1101通过运行存储在存储器1103内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的对象访问的控制方法。存储器1103可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1103可进一步包括相对于处理器1101远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置1105用于经由一个网络接收或者发送数据,还可以用于处理器与存储器之间的数据传输。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1105包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1105为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器1103用于存储应用程序。
处理器1101可以通过传输装置1105调用存储器1103存储的应用程序,以执行下述步骤:
接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标控制策略,所述目标控制策略用于指示对访问目标对象的行为所进行的控制操作,所述目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的所述目标对象的第一访问日志进行学习的过程,所述第一访问日志包括对所述目标对象的访问行为所进行的控制操作;
响应所述策略获取指示从所述可信管理服务器获取所述目标控制策略;
向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标控制策略在所述第一终端上确认生效;
执行所述目标控制策略在所述第一终端上对访问所述目标对象的行为进行控制。
采用本申请实施例,提供了一种对象访问的控制的方案。通过在第二终端上执行的用于对所述第二终端上的所述目标对象的控制策略进行学习的第一策略学习过程生成目标控制策略,将目标控制策略配置给除第二终端之外的第一终端,使得目标控制策略在第一终端上生效后,第一终端能够通过执行目标控制策略对访问目标对象的行为进行控制,避免了选择控制策略时的重复操作,达到了快速配置对象访问的控制策略的目的,从而实现了提高对象访问策略的配置效率的技术效果,进而解决了相关技术中对象访问策略的配置效率较低的技术问题。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解,图11所示的结构仅为示意,终端可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile InternetDevices,MID)、PAD等终端设备。图11其并不对上述电子装置的结构造成限定。例如,终端还可包括比图11中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图11所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行对象访问的控制方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
接收策略获取指示,其中,所述策略获取指示用于指示第一终端从可信管理服务器获取目标控制策略,所述目标控制策略用于指示对访问目标对象的行为所进行的控制操作,所述目标控制策略是通过在第二终端上执行的第一策略学习过程生成的,所述第一策略学习过程为对所述第二终端上的所述目标对象的第一访问日志进行学习的过程,所述第一访问日志包括对所述目标对象的访问行为所进行的控制操作;
响应所述策略获取指示从所述可信管理服务器获取所述目标控制策略;
向所述可信管理服务器发送策略生效信息,其中,所述策略生效信息用于指示所述目标控制策略在所述第一终端上确认生效;
执行所述目标控制策略在所述第一终端上对访问所述目标对象的行为进行控制。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
