一種訪問控制方法，用于控制主體訪問客體，所述方法包括：步驟S1，判斷所述主體的屬性是否滿足預設的檢查條件，其中，所述主體的屬性被設置為通過所述主體的環境屬性或行為屬性中的至少之一來表征；步驟S2，在所述主體的屬性滿足所述檢查條件時，允許所述主體訪問所述客體；以及步驟S3，在所述主體的屬性不滿足所述檢查條件時，不允許所述主體訪問所述客體。另外本發明還提供了一種訪問控制系統、電子設備和可讀計算機介質。本發明基于主體的屬性，從多維度對主體的訪問進行控制，確保訪問的安全性和可靠性。

技術領域

本發明涉及互聯網技術領域，尤其涉及一種訪問控制方法、系統、電子設備及介質。

背景技術

在網絡安全技術中，主體訪問客體往往需要授權。目前常見的授權系統是基于角色的權限訪問控制(Role-Based Access Control，RBAC)，在RBAC系統中，權限和角色相關聯，用戶通過成為適當角色的成員而得到這些角色的權限，用戶很容易通過篡改自己的身份成為具有訪問某客體的角色，安全性不高。

發明內容

(一)要解決的技術問題

基于上述技術問題，本發明提供了一種訪問控制方法、系統、電子設備及介質，該訪問控制方法基于主體的屬性，從多維度對主體的訪問進行控制，確保訪問的安全性和可靠性。

(二)技術方案

第一方面，本發明提供了一種訪問控制方法，用于控制主體訪問客體。所述方法包括：步驟S1，判斷所述主體的屬性是否滿足預設的檢查條件，其中，所述主體的屬性被設置為通過所述主體的環境屬性或行為屬性中的至少之一來表征；步驟S2，在所述主體的屬性滿足所述檢查條件時，允許所述主體訪問所述客體；以及步驟S3，在所述主體的屬性不滿足所述檢查條件時，不允許所述主體訪問所述客體。

可選地，所述方法在所述步驟S1之前還包括：步驟S0，設置所述檢查條件，其中所述檢查條件包括強制條件和/或多個準入條件。其中，所述步驟S1包括：在所述檢查條件包括所述強制條件的情況下，判斷所述主體的屬性是否滿足所述強制條件，得到第一判斷結果；在所述檢查條件包括所述多個準入條件的情況下，判斷所述主體的屬性是否滿足所述多個準入條件中的至少一個，得到第二判斷結果；以及在所述第一判斷結果或所述第二判斷結果中的任意一個為否時，確定所述主體的屬性不滿足所述檢查條件；否則，確定所述主體的屬性滿足所述檢查條件。

可選地，所述環境屬性包括至少一個環境子屬性，所述行為屬性包括至少一個行為子屬性，所述檢查條件包括至少一個檢查子條件。其中，所述步驟S1包括：針對所述至少一個檢查子條件中的每個檢查子條件，設置至少一個檢查點；通過所述至少一個檢查點中的每個檢查點，驗證至少一個子屬性，所述至少一個子屬性屬于所述至少一個環境子屬性和/或所述至少一個行為子屬性；若所述至少一個檢查點中的全部檢查點均驗證通過，則確定所述至少一個檢查點對應的檢查子條件驗證通過；否則則確定所述至少一個檢查點對應的檢查子條件驗證不通過。

可選地，所述至少一個檢查點中的每個檢查點包括與所述至少一個子屬性對應的預設閾值范圍和/或白名單。其中，所述驗證至少一個子屬性包括：驗證所述至少一個子屬性是否在所述預設閾值范圍或所述白名單內；若是則驗證通過，若否則驗證不通過。

可選地，所述至少一個檢查點中的每個檢查點包括與所述至少一個子屬性對應的黑名單。其中，所述驗證至少一個子屬性包括：驗證所述至少一個子屬性是否在所述黑名單內；若是則驗證不通過，若否則驗證通過。

可選地，所述方法還包括：在不允許所述主體訪問所述客體的情況下，判斷所述主體的屬性是否可修復以滿足所述檢查條件；以及在所述主體的屬性可修復的情況下，修復所述主體的屬性以使所述主體的屬性滿足所述檢查條件。