一种访问控制方法、装置、设备和存储介质

技术领域

本申请涉及控制技术领域，具体而言，涉及一种访问控制方法、装置、设备和存储介质。

背景技术

为了保证数据的安全，通常在对数据进行访问时，需要对访问进行控制，在现有技术中，只要账号正确，无论通过哪个应用进行访问都可以访问成功，但是这数据库中的数据而言存在安全隐患，例如，当攻击者对应用进行伪装后，能够使该应用非法获取数据，当这样的应用对数据库进行访问时，存在数据泄露的风险。

发明内容

有鉴于此，本申请实施例提供了一种访问控制方法、装置、设备和存储介质，以降低数据泄露的风险。

第一方面，本申请实施例提供了一种访问控制方法，所述方法包括：

接收到访问请求后，确定发起所述访问请求的访问应用的应用标识，以及所述访问应用的运行环境信息；

根据所述应用标识判断所述访问应用是否具备访问权限，根据所述运行环境信息判断所述访问应用是否满足对应的访问要求；

在所述访问应用具备访问权限，且所述访问应用满足对应的访问要求时，执行访问接入流程。

可选地，所述运行环境信息包括以下至少一种：

所述访问应用的源文件信息和所述访问应用在运行时所占用的设备资源信息。

可选地，所述设备资源信息包括：

所述访问应用在运行时所占用的进程的进程信息、所述进程的输入输出IO信息，以及所述访问应用在运行时所占用的CPU内存的大小。

可选地，所述根据所述运行环境信息判断所述访问应用是否满足对应的访问要求，包括：

当所述运行环境信息包括所述源文件信息时，判断所述源文件信息是否属于指定格式的源文件信息；

当所述运行环境信息包括所述进程信息时，判断所述进程是否属于指定进程；

当所述运行环境信息包括所述IO信息时，判断所述IO是否属于指定的IO；

当所述运行环境信息包括所述访问应用在运行时所占用的CPU内存的大小时，判断所述应用在运行时所占用的CPU内存的大小是否满足指定大小。

可选地，所述方法还包括：

当所述访问应用不具备访问权限和/或所述访问应用不满足对应的访问要求时，则拒绝所述访问请求。

第二方面，本申请实施例提供了一种访问控制装置，所述装置包括：

确定单元，用于接收到访问请求后，确定发起所述访问请求的访问应用的应用标识，以及所述访问应用的运行环境信息；

判断单元，用于根据所述应用标识判断所述访问应用是否具备访问权限，根据所述运行环境信息判断所述访问应用是否满足对应的访问要求；

访问单元，用于在所述访问应用具备访问权限，且所述访问应用满足对应的访问要求时，执行访问接入流程。

可选地，所述运行环境信息包括以下至少一种：

所述访问应用的源文件信息和所述访问应用在运行时所占用的设备资源信息。

可选地，所述判断单元用于根据所述运行环境信息判断所述访问应用是否满足对应的访问要求时，包括：

当所述运行环境信息包括所述源文件信息时，判断所述源文件信息是否属于指定格式的源文件信息；

当所述运行环境信息包括所述进程信息时，判断所述进程是否属于指定进程；

当所述运行环境信息包括所述IO信息时，判断所述IO是否属于指定的IO；

当所述运行环境信息包括所述访问应用在运行时所占用的CPU内存的大小时，判断所述应用在运行时所占用的CPU内存的大小是否满足指定大小。

可选地，所述访问单元，还用于：

当所述访问应用不具备访问权限和/或所述访问应用不满足对应的访问要求时，则拒绝所述访问请求。

第三方面，本申请实施例还提供了一种电子设备，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当电子设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行时执行如第一方面所述方法的步骤。

第四方面，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行如第一方面所述方法的步骤。

本申请实施例至少具有以下有益效果：

在本申请中，在接收到访问请求后，需要确定出发起该访问请求的访问应用的应用标识，以及该访问应用的运行环境信息，由于不同的应用具有不同的应用标识，以及不同的应用的运行环境是不同的，因此通过上述两种信息可以确定出唯一的应用，然后判断该应用标识是否具备访问权限，以及运行环境信息是否满足访问要求，只有都满足时，才可以确定该应用为合法应用，进而执行访问接入流程，通过上述方法，有利于降低数据泄露的风险。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例一提供的一种访问控制方法的流程示意图；

图2为本申请实施例二提供的一种访问控制装置的结构示意图；

图3为本申请实施例三提供了一种电子设备。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要提前说明的是，本申请涉及到的方法可以应用在数据库设备上，也可以应用到中间设备上，例如：在满足访问要求后通过中间设备对数据库设备中的数据进行访问，下面以执行在数据库设备上为例进行说明。

实施例一

图1为本申请实施例一提供的一种访问控制方法的流程示意图，如图1所示，该方法包括以下步骤：

步骤101、接收到访问请求后，确定发起所述访问请求的访问应用的应用标识，以及所述访问应用的运行环境信息。

步骤102、根据所述应用标识判断所述访问应用是否具备访问权限，根据所述运行环境信息判断所述访问应用是否满足对应的访问要求。

步骤103、在所述访问应用具备访问权限，且所述访问应用满足对应的访问要求时，执行访问接入流程。

具体的，在数据库设备中预先设置具有访问权限的应用的应用标识，以及进行访问时访问应用的运行环境信息需要满足的访问要求，在设定好上述的应用标识和访问要求后表示具有上述应用标识且满足访问要求的应用能够进行正常访问，例如：设定应用标识为1，运行环境信息为A的应用能够进行访问，只有访问应用的应用标识为1，且该访问应用的运行环境信息为A时，才直接访问接入流程，由于不同的应用具有不同的应用标识，且不同的应用的运行环境参数也是不同的，因此通过上述方式可以确定出唯一的应用，进而使得只有合法的应用才能进行访问接入，因此通过上述方法有利于降低数据泄露的风险。

在一个可行的实施方案中，所述运行环境信息包括以下至少一种：

所述访问应用的源文件信息和所述访问应用在运行时所占用的设备资源信息。

需要说明的是，具体使用何种信息作为运行环境信息可以根据实际需要进行设定，在此不做具体限定，当然，运行环境信息还可以包括其他信息，可以根据实际需要设定需要的运行环境信息，在此也不做具体限定。

在一个可行的实施方案中，所述设备资源信息包括：

所述访问应用在运行时所占用的进程的进程信息、所述进程的输入输出IO信息，以及所述访问应用在运行时所占用的CPU内存的大小。

需要说明的是，具体使用何种信息作为设备资源信息可以根据实际需要进行设定，在此不做具体限定，当然，设备资源信息还可以包括其他信息，可以根据实际需要设定需要的设备资源信息，在此也不做具体限定。

在一个可行的实施方案中，在执行根据所述运行环境信息判断所述访问应用是否满足对应的访问要求的步骤时：

当所述运行环境信息包括所述源文件信息时，判断所述源文件信息是否属于指定格式的源文件信息；

当所述运行环境信息包括所述进程信息时，判断所述进程是否属于指定进程；

当所述运行环境信息包括所述IO信息时，判断所述IO是否属于指定的IO；

当所述运行环境信息包括所述访问应用在运行时所占用的CPU内存的大小时，判断所述应用在运行时所占用的CPU内存的大小是否满足指定大小。

具体的，当访问应用具备访问权限时，需要进一步判断该应用的运行环境信息是否满足访问要求，当访问要求设定为指定格式的源文件信息时，则需要判断该应用的运行环境信息包括的源文件信息是否为该指定格式的源文件信息，如果是，则执行访问接入流程；当访问要求设定为指定进程时，则判断访问应用的运行环境信息包括的进程信息是否为指定进行，如果是，则执行访问接入流程；当访问要求设定为指定的IO时，则判断访问应用的运行环境信息包括的IO信息是否为指定的IO，如果是，则执行访问接入流程；当访问要求设定为指定大小时，则判断访问应用的运行环境信息包括的应用在运行时所占用的CPU内存的大小是否满足指定大小，如果满足，则执行访问接入的流程。

需要说明的是，设定访问要求时包括的具体运行环境信息可以根据实际需要进行设定，例如：选择上述信息中的至少一种或者多种组合的方式来设定访问要求，具体的访问要求在此不做具体限定。当然，运行环境信息还可以包括其他内容，在此不做具体限定。

在一个可行的实施方案中，所述访问应用不具备访问权限和/或所述访问应用不满足对应的访问要求时，则拒绝所述访问请求。

具体的，当访问应用不具备访问权限和访问应用不满足对应的访问要求中的任一一个不满足要求时，表示该访问应用为非法应用，为了保证数据的安全性，此时拒绝本次访问请求，进而使得本次访问请求无法访问到数据。

实施例二

图2为本申请实施例二提供的一种访问控制装置的结构示意图，如图2所示，该装置包括：

确定单元21，用于接收到访问请求后，确定发起所述访问请求的访问应用的应用标识，以及所述访问应用的运行环境信息；

判断单元22，用于根据所述应用标识判断所述访问应用是否具备访问权限，根据所述运行环境信息判断所述访问应用是否满足对应的访问要求；

访问单元23，用于在所述访问应用具备访问权限，且所述访问应用满足对应的访问要求时，执行访问接入流程。

在一个可行的实施方案中，所述运行环境信息包括以下至少一种：

所述访问应用的源文件信息和所述访问应用在运行时所占用的设备资源信息。

在一个可行的实施方案中，所述判断单元用于根据所述运行环境信息判断所述访问应用是否满足对应的访问要求时，包括：

当所述运行环境信息包括所述源文件信息时，判断所述源文件信息是否属于指定格式的源文件信息；

当所述运行环境信息包括所述进程信息时，判断所述进程是否属于指定进程；

当所述运行环境信息包括所述IO信息时，判断所述IO是否属于指定的IO；

当所述运行环境信息包括所述访问应用在运行时所占用的CPU内存的大小时，判断所述应用在运行时所占用的CPU内存的大小是否满足指定大小。

在一个可行的实施方案中，所述访问单元，还用于：

当所述访问应用不具备访问权限和/或所述访问应用不满足对应的访问要求时，则拒绝所述访问请求。

关于实施例二的详细说明可参考实施例一的相关原理，在此不再详细赘述。

实施例三

如图3所示，图3为本申请实施例三提供了一种电子设备，该设备包括处理器301、存储介质302和总线303，所述存储介质302存储有所述处理器301可执行的机器可读指令，当电子设备运行时，所述处理器301与所述存储介质302之间通过总线303通信，所述处理器301执行所述机器可读指令，以执行时执行如实施例一所述方法的步骤。。

实施例四

本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述实施例一中的方法步骤。

本申请实施例所提供的装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，前述描述的系统、装置和单元的具体工作过程，均可以参考上述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请提供的实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释，此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

最后应说明的是：以上所述实施例，仅为本申请的具体实施方式，用以说明本申请的技术方案，而非对其限制，本申请的保护范围并不局限于此，尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。