一種動態訪問控制方法及系統，用于控制請求主體動態訪問資源，其中，方法包括：S1，建立至少一個請求主體和至少一個資源之間的訪問規則；S2，當接收到任意一個請求主體發出的資源訪問請求時，獲取訪問規則，并根據訪問規則判定該請求主體是否具有訪問該資源的權限，如果是，則執行S3，否則，執行S6；S3，判斷資源訪問請求是否滿足安全條件，如果是，則執行S4，否則，執行S5；S4，允許該請求主體訪問該資源；S5，改變訪問規則，以使該請求主體不具有訪問該資源的權限；S6，拒絕該請求主體訪問該資源。實現基于身份進行訪問控制，并根據風險評估對訪問控制進行動態調整。

技術領域

本公開涉及一種動態訪問控制的方法及系統。

背景技術

現有的訪問控制技術大多以網絡為中心，基于網絡通信五元組(即源IP地址、源端口、目的IP地址、目的端口和傳輸層協議)制定訪問控制規則。云計算是多種技術混合演進的結果，由于其成熟度較高，現代的電子基礎設施趨于云化和移動化，基于五元組的通信難以應對云化電子基礎設施靈活訪問的控制需求。

此外，現有技術的訪問控制規則多為靜態控制，無法根據主體屬性、客體屬性和環境屬性進行動態變更，缺乏對風險進行感知和度量的能力，無法進行風險自適應的動態訪問控制。

發明內容

本公開鑒于上述問題，提供了一種動態訪問控制方法及系統。通過為請求主體和資源建立數字身份，基于數字身份對請求主體訪問資源進行控制，并根據風險評估對訪問控制進行動態調整，從而更好地制成新型IT環境下的業務訪問需求。

本公開的一個方面提供了一種動態訪問控制方法，方法包括：S1，建立至少一個請求主體和至少一個資源之間的訪問規則；S2，當接收到任意一個所述請求主體發出的資源訪問請求時，獲取所述訪問規則，并根據所述訪問規則判定該請求主體是否具有訪問所述資源的權限，如果是，則執行S3，否則，執行S6；S3，判斷所述資源訪問請求是否滿足安全條件，如果是，則執行S4，否則，執行S5；S4，允許所述請求主體訪問所述資源；S5，改變所述訪問規則，以使所述請求主體不具有訪問所述資源的權限；S6，拒絕所述請求主體訪問所述資源。

可選地，所述步驟S2中，當接收到任意一個所述請求主體發出的資源訪問請求時，獲取所述訪問規則包括：獲取所述資源訪問請求中的請求主體數字身份及資源數字身份；根據所述請求主體數字身份獲取所述請求主體的主體信息，根據所述資源數字身份獲取所述資源的資源信息；根據所述主體信息及資源信息，查詢出所述請求主體與資源之間的訪問規則。

可選地，所述判斷所述資源訪問請求是否滿足安全條件包括：獲取所述請求主體與資源之間的當前流量；根據所述當前流量判斷所述資源訪問請求是否滿足所述安全條件。

可選地，所述判斷所述資源訪問請求是否滿足安全條件包括：獲取所述請求主體的主體信息；根據所述主體信息判斷所述資源訪問請求是否滿足所述安全條件。

可選地，所述判斷所述資源訪問請求是否滿足安全條件包括：獲取所述請求主體所處環境的環境信息；根據所述環境信息判斷所述資源訪問請求是否滿足所述安全條件。

可選地，所述步驟S4中，允許所述請求主體訪問所述資源，包括：將所述資源訪問請求通過代理轉發至所述資源；將所述資源訪問請求對應的資源響應通過該代理轉發至所述請求主體。