访问控制策略的制定方法、装置及系统制造方法及图纸

本发明专利技术公开了一种访问控制策略的制定方法、装置及系统，属于网络技术领域。该方法可以应用于资源服务器中，该方法包括：接收控制终端发送的针对目标账号的策略制定请求；根据该策略制定请求，向控制终端提供可选的地理区域；接收该控制终端在该可选的地理区域中所选定的安全地理区域；制定访问控制策略，该访问控制策略中记录有该目标账号与该安全地理区域的对应关系。在该方法中，控制终端可以直接根据各个接入终端所在地的地理位置，在可选的地理区域内选定安全地理区域，而无需再确定IP网段，该访问控制策略的制定过程中，控制终端的操作较为简单，控制策略的制定效率较高。本发明专利技术用于访问控制策略的制定。

【技术实现步骤摘要】

本专利技术涉及网络
，特别涉及一种访问控制策略的制定方法、装置及系统。
技术介绍
访问控制策略是指资源服务器中预先存储的，用于限制终端对该资源服务器中的资源进行访问时所依据的策略，该访问控制策略可以保证资源服务器的资源只能被指定的终端所获取，以确保访问的安全性。相关技术中，控制终端(即云计算租户，或资源服务器的安全管理员)可以在资源服务器中注册用户账号，以租用该资源服务器的资源。在制定针对该用户账号的访问控制策略时，资源服务器可以根据控制终端所选定的互联网协议(英文：InternetProtocol；简称：IP)网段进行制定，即资源服务器中可以在该访问控制策略中存储该用户账号与该选定的IP网段的对应关系，并根据该访问控制策略中存储的对应关系，对访问该资源服务器的终端进行验证。但是，在根据IP网段制定访问控制策略时，控制终端需要先获取各个接入终端所在地的IP网段，然后再将该获取到的各个IP网段上报至资源服务器，在该访问控制策略的制定过程中，控制终端的操作较为复杂。
技术实现思路
为了解决相关技术中访问控制策略的制定过程中控制终端操作较为复杂的问题，本专利技术提供了一种访问控制策略的制定方法、装置及系统。所述技术方案如下：第一方面，提供了一种访问控制策略的制定方法，该方法可以应用于资源服务器，该方法包括：接收控制终端发送的针对目标账号的策略制定请求；根据该策略制定请求，向该控制终端提供可选的地理区域；接收该控制终端在该可选的地理区域中所选定的安全地理区域；制定访问控制策略，该访问控制策略中记录有该目标账号与该安全地理区域的对应关系。本专利技术提供的访问控制策略的制定方法中，资源服务器可以向控制终端提供可选的地理区域，因此控制终端可以直接根据各个接入终端所在地的地理位置，在该可选的地理区域内选定安全地理区域，而无需再确定IP网段，该访问控制策略的制定过程中，控制终端的操作较为简单，访问控制策略的制定效率较高。并且相对于抽象的IP网段，地理位置的选定更为直观。可选的，在该接收控制终端发送的针对目标账号的策略制定请求之后，该方法还可以包括：接收该控制终端发送的验证终端的标识以及安全距离范围，并在该访问控制策略中记录该目标账号、该验证终端的标识以及该安全距离范围的对应关系。因此该资源服务器还可以根据该验证终端的标识以及该安全距离范围对接入终端进行验证，进一步提高了验证的灵活性和安全性。可选的，资源服务器向该控制终端提供可选的地理区域具体可以包括：从定位服务器中获取可选的地理区域的地图；向该控制终端发送该可选的地理区域的地图，以便该控制终端在显示屏上显示该地图，并在该地图上选定安全地理区域。由于地图显示较为直观，可以提高控制终端选定安全地理区域的效率，从而提高了该访问控制策略的制定效率。可选的，在该制定访问控制策略之后，该方法还可以包括：当接收到接入终端发送的针对该目标账号的访问请求时，向定位服务器发送定位请求，该定位请求中携带有该接入终端的标识；接收该定位服务器发送的该接入终端的地理位置，该地理位置是由该定位服务器根据该接入终端的标识对该接入终端进行定位后获取的；根据该访问控制策略，判断该接入终端的地理位置是否满足安全访问条件；当该接入终端的地理位置满足安全访问条件时，允许该接入终端访问该资源服务器。可选的，该安全访问条件可以包括：该接入终端的地理位置位于该安全地理区域内。可选的，该定位请求中还携带有该目标账号所对应的验证终端的标识，在该向定位服务器发送定位请求之后，该方法还包括：接收该定位服务器发送的该验证终端的地理位置；该安全访问条件还包括：该接入终端的地理位置与该验证终端的地理位置之间的距离位于该安全距离范围内。根据该验证终端与接入终端之间的地理位置进行进一步验证，提高了验证的安全性。可选的，该资源服务器中预先存储有该目标账号与该目标密钥的对应关系，当该接入终端的地理位置满足安全访问条件时，允许该接入终端访问该资源服务器具体可以包括：当该接入终端的地理位置满足安全访问条件时，向该接入终端发送第一验证请求，该第一验证请求用于请求该接入终端提供密钥信息；接收该接入终端发送的密钥信息；当该密钥信息与该目标密钥相同时，允许该接入终端访问该资源服务器。可选的，在判断该接入终端的地理位置是否满足安全访问条件之后，该方法还包括：当该接入终端的地理位置不满足安全访问条件时，生成目标验证信息；向该接入终端发送第二验证请求，该第二验证请求用于请求该接入终端提供验证信息；接收该接入终端发送的验证信息；当该验证信息与该目标验证信息相同时，允许该接入终端访问该资源服务器。当该接入终端的地理位置满足安全访问条件时，接入终端只需要通过简单的密钥验证，即可对该资源服务器进行访问；当该接入终端的地理位置不满足安全访问条件时，该接入终端还需要通过复杂度较高的验证码验证才能对该资源服务器进行访问。也即是，该资源服务器可以根据接入终端的地理位置灵活调整访问控制策略，该访问控制的过程较为灵活。第二方面，本专利技术提供了一种访问控制策略的制定方法，应用于控制终端，所述方法可以包括：向资源服务器发送针对目标账号的策略制定请求；接收该资源服务器提供的可选的地理区域；在该可选的地理区域中选定安全地理区域；向该资源服务器发送该选定的安全地理区域，以便该资源服务器根据该安全地理区域制定访问控制策略。可选的，在向资源服务器发送针对目标账号的策略制定请求之后，该方法还可以包括：向资源服务器发送验证终端的标识以及安全距离范围，以便该资源服务器将该目标账号、该验证终端的标识以及该安全距离范围的对应关系记录在该访问控制策略中。可选的，该资源服务器提供的可选的地理区域是该资源服务器从定位服务器中获取可选的地理区域的地图；控制终端可以在显示屏上显示该地图，并在该地图上选定该安全地理区域。第三方面，本专利技术提供了一种访问控制策略的制定装置，该装置可以应用于资源服务器中，该访问控制策略的制定装置包括至少一个模块，该至少一个模块用于实现上述第一方面所提供的访问控制策略的制定方法。第四方面，本专利技术提供了一种访问控制策略的制定装置，该装置可以应用于控制终端中，该访问控制策略的制定装置包括至少一个模块，该至少一个模块用于实现上述第二方面所提供的访问控制策略的制定方法。第五方面，提供了另一种访问控制策略的制定装置，该装置可以包括：处理器，存储器和总线；该总线用于连接该处理器和该存储器，该处理器用于执行该存储器中存储的程序，该程序可以包括第一方面所提供的访问控制策略的制定方法。第六方面，提供了另一种访问控制策略的制定装置，该装置可以包括：处理器，存储器和总线；该总线用于连接该处理器和该存储器，该处理器用于执行该存储器中存储的程序，该程序可以包括第二方面所提供的访问控制策略的制定方法。第七方面，提供了一种计算机存储介质，用于储存为上述访问控制策略的制定装置所用的计算机软件指令，其包含用于执行第五方面为访问控制策略的制定装置所设计的程序。第八方面，提供了一种计算机存储介质，用于储存为上述访问控制策略的制定装置所用的计算机软件指令，其包含用于执行第六方面为访问控制策略的制定装置所设计的程序。第九方面，提供了一种访问控制策略的制定系统，该系统可以包括：资源服务器、控制终端和定位服务器；其中，该资源本文档来自技高网...

【技术保护点】
一种访问控制策略的制定方法，其特征在于，应用于资源服务器，所述方法包括：接收控制终端发送的针对目标账号的策略制定请求；根据所述策略制定请求，向所述控制终端提供可选的地理区域；接收所述控制终端在所述可选的地理区域中所选定的安全地理区域；制定访问控制策略，所述访问控制策略中记录有所述目标账号与所述安全地理区域的对应关系。

【技术特征摘要】
1.一种访问控制策略的制定方法，其特征在于，应用于资源服务器，所述方法包括：接收控制终端发送的针对目标账号的策略制定请求；根据所述策略制定请求，向所述控制终端提供可选的地理区域；接收所述控制终端在所述可选的地理区域中所选定的安全地理区域；制定访问控制策略，所述访问控制策略中记录有所述目标账号与所述安全地理区域的对应关系。2.根据权利要求1所述的方法，其特征在于，在所述接收控制终端发送的针对目标账号的策略制定请求之后，所述方法还包括：接收所述控制终端发送的验证终端的标识以及安全距离范围；在所述访问控制策略中记录所述目标账号、所述验证终端的标识以及所述安全距离范围的对应关系。3.根据权利要求1或2所述的方法，其特征在于，所述向所述控制终端提供可选的地理区域，包括：从定位服务器中获取可选的地理区域的地图；向所述控制终端发送所述可选的地理区域的地图，以便所述控制终端在显示屏上显示所述地图，并在所述地图上选定安全地理区域。4.根据权利要求2所述的方法，在所述制定访问控制策略之后，所述方法还包括：当接收到接入终端发送的针对所述目标账号的访问请求时，向定位服务器发送定位请求，所述定位请求中携带有所述接入终端的标识；接收所述定位服务器发送的所述接入终端的地理位置，所述地理位置是由所述定位服务器根据所述接入终端的标识对所述接入终端进行定位后获取的；根据所述访问控制策略，判断所述接入终端的地理位置是否满足安全访问条件；当所述接入终端的地理位置满足安全访问条件时，允许所述接入终端访问所述资源服务器。5.根据权利要求4所述的方法，其特征在于，所述安全访问条件包括：所述接入终端的地理位置位于所述安全地理区域内。6.根据权利要求4或5所述的方法，其特征在于，所述定位请求中还携带有所述目标账号所对应的验证终端的标识，在所述向定位服务器发送定位请求之后，所述方法还包括：接收所述定位服务器发送的所述验证终端的地理位置；所述安全访问条件还包括：所述接入终端的地理位置与所述验证终端的地理位置之间的距离位于所述安全距离范围内。7.根据权利要求4所述的方法，其特征在于，所述资源服务器中预先存储有所述目标账号与目标密钥的对应关系，所述当所述接入终端的地理位置满足安全访问条件时，允许所述接入终端访问所述资源服务器，包括：当所述接入终端的地理位置满足安全访问条件时，向所述接入终端发送第一验证请求，所述第一验证请求用于请求所述接入终端提供密钥信息；接收所述接入终端发送的密钥信息；当所述密钥信息与所述目标密钥相同时，允许所述接入终端访问所述资源服务器。8.根据权利要求4所述的方法，其特征在于，在所述判断所述接入终端的地理位置是否满足安全访问条件之后，所述方法还包括：当所述接入终端的地理位置不满足安全访问条件时，生成目标验证信息；向所述接入终端发送第二验证请求，所述第二验证请求用于请求所述接入终端提供验证信息；接收所述接入终端发送的验证信息；当所述验证信息与所述目标验证信息相同时，允许所述接入终端访问所述资源服务器。9.一种访问控制策略的制定方法，其特征在于，应用于控制终端，所述方法包括：向资源服务器发送针对目标账号的策略制定请求；接收所述资源服务器提供的可选的地理区域；在所述可选的地理区域中选定安全地理区域；向所述资源服务器发送所述安全地理区域，以便所述资源服务器根据所述安全地理区域制定访问控制策略。10.根据权利要求9所述的方法，其特征在于，在所述向资源服务器发送针对目标账号的策略制定请求之后，所述方法还包括：向所述资源服务器发送验证终端的标识以及安全距离范围，以便所述资源服务器将所述目标账号、所述验证终端的标识以及所述安全距离范围的对应关系记录在所述访问控制策略中。11.一种访问控制策略的制定装置，其特征在于，所述装置包括：第一接收模块，用于接收控制终端发送的针对目标...

【专利技术属性】
技术研发人员：梁中校，
申请(专利权)人：杭州华为数字技术有限公司，
类型：发明
国别省市：浙江;33