有效
资源访问控制方法和资源访问控制系统
常英卓、王晓春、花小齐、王斌、韩志峰、刘帅
中国移动通信集团陕西有限公司
常
常英卓机构 暂无
技术领域 暂无
王
王晓春机构 暂无
技术领域 暂无
花
花小齐机构 暂无
技术领域 暂无
王
王斌机构 暂无
技术领域 暂无
韩
韩志峰机构 暂无
技术领域 暂无
刘
刘帅机构 暂无
技术领域 暂无
摘要
本申请公开了一种资源访问控制方法和资源访问控制系统。其中,该方法包括接收客户端发送的资源访问请求;所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息;在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下,接收权限认证系统发送的所述用户的最新权限信息;根据所述最新权限信息,生成令牌;将所述令牌传输至所述客户端和网关,以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口,以使所述客户端根据所述令牌访问所述网关,以通过所述防火墙端口获取到所述最新权限信息对应的资源。根据本申请实施例的资源访问控制方法,能够提高企业内网资源的安全性。
1.一种资源访问控制方法,其特征在于,应用于安全控制平台,所述方法包括:接收客户端发送的资源访问请求;所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息;在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下,接收权限认证系统发送的所述用户的最新权限信息;根据所述最新权限信息,生成令牌;将所述令牌传输至所述客户端和网关,以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口,以使所述客户端根据所述令牌访问所述网关,以通过所述防火墙端口获取所述最新权限信息对应的资源;所述在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下,接收权限认证系统发送的获取所述用户的最新权限信息之前,所述方法还包括:对所述终端设备的特征信息进行认证;在所述终端设备的特征信息认证通过的情况下,对所述用户的身份特征信息进行认证;所述在所述终端设备的特征信息认证通过的情况下,对所述用户的身份特征信息进行认证,具体包括:在所述终端设备的特征信息认证通过的情况下,接收权限认证系统发送的认证口令;将所述认证口令发送至所述客户端,以使所述用户在所述客户端填写所述认证口令;获取所述用户在所述客户端填写的所述认证口令;根据所述用户填写的认证口令与从所述权限认证系统中获取的认证口令,对所述用户的身份特征信息进行认证。
2.根据权利要求1所述的资源访问控制方法,其特征在于,所述令牌包括客户端所处的终端设备的特征信息、所述用户的特征信息、所述用户的最新权限信息、网关地址信息、通信密钥中的至少一种。
3.一种资源访问控制方法,其特征在于,应用于客户端,所述方法包括:发送资源访问请求至安全控制平台,以使所述安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下,接收权限认证系统发送的所述用户的最新权限信息,并根据所述最新权限信息,生成令牌,再将所述令牌传输至所述客户端和网关;所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息;接收所述安全控制平台传输的所述令牌;根据所述令牌访问所述网关,以通过防火墙端口获取所述最新权限信息对应的资源,所述防火墙端口为所述网关根据所述令牌开启的所述最新权限信息对应的防火墙端口;所述接收所述安全控制平台传输的所述令牌之前,所述方法还包括:接收所述安全控制平台发送的认证口令,并等待用户填写所述认证口令,所述安全控制平台发送的认证口令由权限认证系统生成;将用户填写的认证口令发送至所述安全控制平台,以通过所述安全控制平台对所述权限认证系统生成的认证口令和所述用户填写的认证口令进行匹配,以及在匹配成功时将所述用户填写的认证口令发送至所述权限认证系统,以使所述安全控制平台通过所述权限认证系统获取所述用户的最新权限信息,并根据所述最新权限信息,生成令牌,再将所述令牌传输至所述客户端和网关。
4.根据权利要求3所述的资源访问控制方法,其特征在于,所述发送资源访问请求至安全控制平台之前,所述方法还包括:响应于用户在客户端上的资源访问请求,对所述客户端所处的终端设备的特征信息和用户的特征信息进行检测;所述发送资源访问请求至安全控制平台,具体包括:当所述客户端所处的终端设备的特征信息和所述用户的特征信息均达到预设访问安全条件的情况下,向所述安全控制平台发送所述资源访问请求。
5.一种资源访问控制系统,其特征在于,所述系统包括安全控制平台和客户端;所述安全控制平台用于执行权利要求1-2任一项所述的方法;所述客户端用于执行权利要求3-4任一项所述的方法。
6.根据权利要求5所述的资源访问控制系统,其特征在于,所述系统还包括监控装置;所述监控装置用于获取网络端口、客户端地址、网关地址的通信流量中的至少一种;根据所述通信流量,确定用户是否存在违规访问行为;在所述用户存在违规访问行为的情况下,对所述违规访问行为进行记录,并输出告警信息。
7.根据权利要求6所述的资源访问控制系统,其特征在于,所述系统还包括权限认证系统;所述权限认证系统用于实时获取所述用户的访问行为信息,对所述访问行为信息进行分析,以确定所述用户是否存在违规访问行为;在所述用户存在违规访问行为,且所述违规访问行为的次数达到第一阈值时,降低所述用户的安全信任等级;根据降低后的用户的安全信任等级,确定所述用户的最新权限信息。
8.一种资源访问控制装置,其特征在于,应用于安全控制平台,所述装置包括:第一接收模块,用于接收客户端发送的资源访问请求;所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息;第一获取模块,用于在所述终端设备的特征信息和所述用户的特征信息均认证通过的情况下,通过权限认证装置获取所述用户的最新权限信息;生成模块,用于在获取所述用户的最新权限信息之后,根据所述最新权限信息,生成令牌;传输模块,用于将所述令牌传输至所述客户端和网关,以使所述网关根据所述令牌开启所述最新权限信息对应的防火墙端口,以使所述客户端根据所述令牌访问所述网关,以通过所述防火墙端口获取所述最新权限信息对应的资源;第一认证模块,用于对所述终端设备的特征信息进行认证;第二认证模块,用于在所述终端设备的特征信息认证通过的情况下,对所述用户的身份特征信息进行认证;所述第二认证模块具体包括:第一获取子模块,用于在所述终端设备的特征信息认证通过的情况下,接收权限认证系统发送的认证口令;第一发送子模块,用于将所述认证口令发送至所述客户端,以使所述用户在所述客户端填写所述认证口令;第二获取子模块,用于获取所述用户在所述客户端填写的所述认证口令;认证子模块,用于根据所述用户填写的认证口令与从所述权限认证系统中获取的认证口令,对所述用户的身份特征信息进行认证。
9.一种资源访问控制装置,其特征在于,应用于客户端,所述装置包括:第一发送模块,用于发送资源访问请求至安全控制平台,以使所述安全控制平台在终端设备的特征信息和用户的特征信息均认证通过的情况下,接收权限认证系统发送的所述用户的最新权限信息,并根据所述最新权限信息,生成令牌,再将所述令牌传输至所述客户端和网关;所述资源访问请求中包括所述客户端所处的终端设备的特征信息和用户的特征信息;第二接收模块,用于在发送资源访问请求至安全控制平台之后,接收所述安全控制平台传输的所述令牌;访问模块,用于在接收所述安全控制平台传输的所述令牌之后,根据所述令牌访问所述网关,以通过防火墙端口获取所述最新权限信息对应的资源,所述防火墙端口为所述网关根据所述令牌开启的所述最新权限信息对应的防火墙端口;第三接收模块,用于接收所述安全控制平台发送的认证口令,并等待用户填写所述认证口令,所述安全控制平台发送的认证口令由权限认证系统生成;第二发送模块,用于将用户填写的认证口令发送至所述安全控制平台,以通过所述安全控制平台对所述权限认证系统生成的认证口令和所述用户填写的认证口令进行匹配,以及在匹配成功时将所述用户填写的认证口令发送至所述权限认证系统,以使所述安全控制平台通过所述权限认证系统获取所述用户的最新权限信息,并根据所述最新权限信息,生成令牌,再将所述令牌传输至所述客户端和网关。
10.一种电子设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;所述处理器执行所述计算机程序指令时实现如权利要求1-4任意一项所述的资源访问控制方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-4任意一项所述的资源访问控制方法。
12.一种计算机程序产品,其特征在于,所述计算机程序产品中的指令由电子设备的处理器执行时,使得所述电子设备执行如权利要求1-4任意一项所述的资源访问控制方法。
